.An toàn cho thẻ tớn dụng

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu các kỹ thuật đảm bảo an toàn thông tin trong việc sử dụng tiền điện tử (Trang 67 - 72)

2.3 .MỘT SỐ BÀI TOÁN ĐẶC TRƢNG TRONG TMĐT

2.3.4.1 .An toàn cho thẻ tớn dụng

Trong kinh doanh trực tuyến B2C, hầu hết cỏc khỏch hàng dựng thẻ tớn dụng để thanh toỏn. Thẻ tớn dụng là loại thẻ nhƣ Visa, MasterCard... cú tớnh quốc tế, chủ thẻ cú thể dựng đƣợc trờn toàn cầu. Tờn gọi là tớn dụng vỡ ngõn hàng tạm ứng trƣớc cho chủ thẻ số tiến thanh toỏn, sau đú chủ thẻ trả nợ thời điểm nào đú.

Cả một ngành cụng nghiệp lớn đang tồn tại trong lĩnh vực xử lý cỏc giao dịch thẻ tớn dụng trực tuyến với cỏc cụng ty nhƣ First Data Corp, Total System Corp, và National Data Corp, chi tiết hoỏ cỏc giao dịch phớa sau mối quan hệ giữa nhà băng, ngƣời bỏn hàng và ngƣời dựng thẻ tớn dụng. Hàng triệu cửa hàng bỏch hoỏ trờn toàn nƣớc Mỹ đƣợc trang bị cỏc trạm đầu cuối (Hewlett-Package Verifone là nhà sản xuất hàng đầu của thiết bị này) thụng qua đú thể tớn dụng đƣợc kiểm tra, nhập số thẻ và biờn lai đƣợc in ra. Ngƣời dựng ký vào biờn lai này để xỏc thực việc mua hàng.

Càng nhiều ngƣời dựng thẻ tớn dụng để mua hàng, cỏc cụng ty kinh doanh trực tuyến sẽ càng thu đƣợc nhiều lợi nhuận hơn. Song điều này chỉ đỳng khi cỏc cụng ty này khụng là nạn nhõn của những gian lận thẻ tớn dụng.

Thật khụng may mắn khi cỏc gian lận thẻ tớn dụng cú thể nhanh chúng biến những kỳ mua sắm của cỏc cụng ty nhỏ thành những cơn ỏc mộng lớn. Rủi ro ở chỗ nếu ngƣời mua dựng thẻ tớn dụng của ngƣời khỏc trỏi phộp để mua hàng qua mạng, khi chủ thẻ phỏt hiện và khởi kiện với ngõn hàng. Ngõn hàng sẽ quy trỏch nhiệm cho cụng ty cung cấp sản phẩm/dịch vụ. Vậy thiệt hại cuối cựng thuộc về cụng ty. Cỏc cụng ty khụng những khụng đƣợc thu tiền mà cũn bị mất tiền cho chi phớ điều tra, kiện tụng,...

Trƣớc khi nhận số thẻ tớn dụng của ngƣời mua qua Internet bạn cần cú một chứng nhận ngƣời bỏn thẻ. Nếu bạn đó hoạt động kinh doanh thỡ đơn giản là yờu cầu nhà băng của bạn cung cấp chứng nhận này. Nếu bạn chƣa cú bất cứ cỏi gỡ thỡ bạn cú thể thực hiện việc này nhanh chúng tại một nhà băng nào đú hoặc truy nhập vào một WEB site cú cỏc mẫu đăng ký trực tuyến.

Số thẻ và chi tiết của giao dịch đƣợc lƣu lại và xử lý, nhƣng khụng cú sự xuất hiện của ngƣời mua, và khi một vụ thanh toỏn bị lỡ, nú vẫn đƣợc lƣu lại trờn hệ thống.

Trong quỏ trỡnh chuyển đổi để chiết khấu ngƣời bỏn đƣợc đảm bảo thanh toỏn. Ngƣời mua đƣợc đảm bảo về việc sẽ nhận đƣợc hàng hoỏ và một số đảm bảo cú giới hạn khỏc chống lại việc bị lừa hoặc mất thẻ .

Cửa hàng trờn WEB của bạn cần phần mềm nào để cú thể xử lý thẻ tớn dụng? Ở mức đơn giản nhất, bạn phải cú sẵn một số biểu mẫu cú khả năng mó hoỏ bảo mật, vớ dụ SSL, một tiờu chuẩn đối với cả cỏc trỡnh duyệt của Microsoft và Netscape, điều đú cũng cú nghĩa là mỏy chủ của bạn phải cú một khoỏ mó hoỏ. Tiếp theo bạn phải cú chƣơng trỡnh đúng vai trũ là một giỏ mua hàng, cho phộp ngƣời dựng thu thập cỏc mặt hàng cần mua, tớnh giỏ và thuế sau đú đƣa ra một hoỏ đơn cuối cựng để phờ chuẩn. Cuối cựng nếu nhƣ bạn khụng muốn xử lý cỏc tệp giao dịch bằng tay hoặc xử lý một gúi cỏc tệp, thỡ bạn phải cần một cơ chế giao dịch điện tử.

Thẻ tớn dụng biết “nhận” chủ: Hai cụng ty chuyờn sản xuất thẻ tớn dụng của Mỹ đó giới thiệu loại thẻ tớn dụng mới khỏ an toàn và thõn thiện với ngƣời dựng, cú thể giỳp ngăn chặn gian lận trong cỏc giao dịch ngõn hàng thụng qua mạng điện tử.

Thẻ tớn dụng này bao gồm 12 phớm bấm, một bộ vi xử lý và một màn hỡnh hiển thị số nhỳng nhằm đảm bảo an toàn trong việc giao dịch ngõn hàng trờn mạng và bằng điện thoại, chống gian lận điện tử và ăn cắp số ID (đặc biệt trong việc giao dịch thƣơng mại qua mạng và kinh doanh cổ phiếu).

Thẻ tớn dụng này cú một số chế độ chứng thực chủ sở hữu cho việc giao dịch thƣơng mại thụng qua mạng điện thoại và giao dịch qua mỏy ATM. Khi nhập số PIN của thẻ thụng qua phớm bấm, ngƣời dựng sẽ nhận lại một mó số đƣợc xem là password để dựng tại thời điểm tức thời. Đõy là password dựng một lần, sẽ thay đổi tựy theo việc dựng giao dịch thụng qua email, web hay điện thoại di động.

Sản phẩm, do hai cụng ty Innovative Card Technologies và eMue Technologies nghiờn cứu và chế tạo, đó đạt đƣợc khỏ nhiều giải thƣởng về bảo mật và đó đƣợc triển lóm tại Paris (Phỏp) từ ngày 13 đến 15-11-2007.

Xỏc thực định danh hay ID số húa (Digital Identification):

Cỏc khoỏ bảo mật trờn mỏy chủ, đƣợc biết đến nhƣ là cỏc ID số hoỏ, đƣợc cung cấp bởi một số cơ quan chứng nhận thẩm quyền, là nơi cấp phộp và bảo dƣỡng cỏc bản ghi diễn biến trờn cỏc ID số hoỏ này. Tổ chức chứng thực thẩm quyền lớn nhất đƣợc điều hành bởi VeriSign Inc, một cụng ty đƣợc thành lập vào năm 1995 chuyờn về lĩnh vực quản lý cỏc chứng nhận số hoỏ. Cụng ty xử lý cỏc yờu cầu ID số hoỏ cho cỏc cụng ty nhƣ American Online, Microsoft, Netscape, tuy nhiờn bạn cũng cú thể trực tiếp cú cỏc ID số hoỏ trờn WEB site của cụng ty. Hố năm 1998, VeriSign thu phớ 349 USD cho mỏy chủ ID đầu tiờn mà cụng ty mua và 249 USD cho thờm mỗi mỏy chủ ID tiếp theo. Một Mỏy chủ ID toàn cục - Global Server ID, 128 bit cú mức chi phớ 695 USD.

Cụng nghệ nền tảng cho cỏc ID số hoỏ của VeriSign là SSL đƣợc xõy dựng đầu tiờn bởi RSA Technologies inc, nay là một đơn vị của Sercurity Dynamics. Mỗi thụng điệp đƣợc mó hoỏ bằng hai mó hoặc khoỏ là một chuỗi cỏc bit làm thay đổi giỏ trị đó đƣợc số hoỏ của dữ liệu đƣợc đƣa vào hay lấy ra khỏi chƣơng trỡnh. Một khoỏ cụng khai đƣợc dựng để mó hoỏ cỏc thụng điệp, trong khi khoỏ riờng thứ hai đƣợc dựng để giải mó. Tớnh thống nhất và xỏc thực của cỏc khoỏ riờng đƣợc đảm bảo bởi cơ quan chứng nhận thẩm quyền nhƣ VeriSign. Một mỏy chủ ID số hoỏ cho phộp bạn ký vào văn bản điện tử và chứng thực chữ ký của mỡnh với cơ quan chứng nhận thẩm quyền.

2.3.4.2.Giả danh đồng tiền số, dựng đồng tiến số khụng đỳng cấu trỳc.

1/.Phõn tỏch đồng tiền số:

Trờn gúc độ an toàn, để trỏnh sự giả mạo từ phớa ngƣời dựng, ngõn hàng phải ký lờn cỏc đồng tiền trƣớc khi chuyển cho ngƣời dựng trong giao thức rỳt tiền. Nếu khụng cú những kỹ thuật đặc biệt, ngõn hàng sẽ dễ dàng tạo lập danh sỏch cỏc đồng tiền số của từng ngƣời dựng, và tiếp đú là hồ sơ chi tiờu của anh ta. Bởi vậy để đảm bảo tớnh riờng tƣ cho ngƣời dựng, hệ thống phải ẩn giấu đƣợc mối quan hệ giữa ngƣời dựng và đồng tiền của anh ta trƣớc mọi cố gắng của ngõn hàng.

Để đảm bảo tớnh vụ danh của đồng tiền, ngõn hàng sẽ dựng chữ ký mự để ký lờn đồng tiền điều này tạo cơ hội cho kẻ xấu xõm nhập, gian lận đồng tiền. Khi kẻ xấu lợi dụng, tạo đồng tiền khụng đỳng cấu trỳc gửi đến ngõn hàng, để ngõn hàng xỏc nhận đồng tiền đú, làm cho đồng tiền đú cú giỏ trị hợp phỏp, hay để lấy một đồng tiền cú giỏ trị lớn hơn giỏ trị thực của nú.

2/.Giải phỏp kỹ thuật.

Để giải quyết cỏc vấn đề trờn, ngƣời ta dựng thuật toỏn Cut – and – Choose và chữ ký mự (blind Signature).

Với chữ ký mự, hệ thống đảm bảo cho ngƣời dựng vẫn đƣợc nhận đồng tiền hợp lệ, trong khi ngõn hàng khụng thể xỏc định đƣợc đồng tiền (serial ) mà anh ta vừa rỳt. Mặc dự vậy, để bảo vệ ngõn hàng (với xỏc xuất tựy ý) trƣớc khả năng lừa dối (tạo đồng tiền khụng đỳng cấu trỳc hoặc với ý đồ xấu) của ngƣời dựng, hệ thống dựng kỹ thuật Cut – and – Choose, trong đú ngƣời dựng buộc phải đƣa ra nhiều đồng tiền dự tuyển để ngõn hàng chọn một, để ký sau khi kiểm tra cỏc đồng tiền cũn lại.

2.3.4.3.Đồng tiền tiờu nhiều lần

1/.Bài toỏn:

Khú khăn tiềm tàng và lớn nhất trong việc đảm bảo an toàn cho hệ thống là việc ngƣời dựng dễ dàng sao chộp cỏc đồng tiền số bởi chỳng chỉ là cỏc giỏ trị số (bits) thụng thƣờng trong mỏy tớnh. Kẻ gian lận cú thể lợi dụng đặc điểm này bằng cỏch cố tỡnh dựng cỏc phiờn bản của cựng một đồng tiền điện tử trong cỏc giao dịch thanh toỏn khỏc nhau. Trờn cơ sở đú, anh ta cú thể tiờu cựng một đồng tiền nhiều lần (thực hiện nhiều lần giao thức thanh toỏn) với nhiều nhà cung cấp (khụng nhất thiết khỏc nhau), hiện tƣợng này gọi là “double – spending”.

Trũ gian lận này khụng thể bị phỏt hiện ngay trong quỏ trỡnh giao dịch bởi đặc trƣng của hệ thống là thanh toỏn ngoại tuyến (khụng kết nối với ngõn hàng). Vỡ vậy trong quỏ trỡnh thanh toỏn ngƣời ta luụn cần cú thủ thục kiểm tra tớnh hợp lệ của đồng tiền số, bao gồm cấu trỳc đồng tiền và hiệu lực thanh toỏn hiện thời của chỳng (đồng tiền đó đƣợc tiờu lần nào chƣa).

2/.Giải phỏp kỹ thuật:

Giải phỏp cho hệ thống chống lại double-spending là cung cấp cho ngõn hàng khả năng phỏt hiện đƣợc định danh của kẻ gian lận khi cơ quan này thu hồi nhiều lần một đồng tiền (after the fact). Thủ tục thanh toỏn dũi hỏi ngƣời dựng phải đỏp ứng một số yờu cầu từ phớa nhà cung cấp. Dữ liệu gửi trả này chứa một phần nhƣng khụng đủ thụng tin về định danh ngƣời dựng. Khi đú, nếu ngƣời dựng cố tỡnh gian lận “double – spending”, anh ta buộc phải đỏp ứng hai yờu cầu khỏc nhau. Trờn cơ sở cỏc đỏp ứng này, ngõn hàng sẽ dễ dàng rỳt ra định danh ngƣời dựng. Kỹ thuật ẩn dấu định danh ngƣời dựng trong cỏc đỏp ứng gọi là “secret splitting”.

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu các kỹ thuật đảm bảo an toàn thông tin trong việc sử dụng tiền điện tử (Trang 67 - 72)

Tải bản đầy đủ (PDF)

(128 trang)