Đang tải... (xem toàn văn)
Nghiên cứu vấn đề xác thực trong hệ thống thanh toán điện tử
ĐẠI HỌC QUỐC GIA HÀ NỘITRƯỜNG ĐẠI HỌC CÔNG NGHỆNgô Đức HùngNGHIÊN CỨU VẤN ĐỀ XÁC THỰC TRONG HỆ THỐNG THANH TOÁN ĐIỆN TỬKHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUYNgành: Công nghệ thông tinHÀ NỘI - 2009 iiĐẠI HỌC QUỐC GIA HÀ NỘITRƯỜNG ĐẠI HỌC CÔNG NGHỆNgô Đức HùngNGHIÊN CỨU VẤN ĐỀ XÁC THỰC TRONG HỆ THỐNG THANH TOÁN ĐIỆN TỬKHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUYNgành: Các Hệ thống thông tinCán bộ hướng dẫn: ThS. Lương Việt NguyênHÀ NỘI - 2009 Tóm tắt nội dung của Khóa luận tốt nghiệpMục đích của khóa luận là nghiên cứu và đưa ra những giải pháp khoa học cho các bài toán xác thực trong quá trình TTĐT. Từ đó, đánh giá ưu nhược điểm của các giải pháp, chỉ rõ giải pháp nào sẽ đạt hiệu quả tối ưu đối với từng loại hình TTĐT. Đối tượng nghiên cứu của khóa luận văn là các bài toán phát sinh khi TTĐT. Khóa luận nghiên cứu một cách tương đối đầy đủ các hình thức TTĐT cho đến thời điểm hiện tại. Dựa trên các kết quả đó, nêu các giải pháp tương ứng với từng bài toán cụ thể.Khóa luận tốt nghiệp nghiên cứu một cách khoa học các hình thức TTĐT hiện đang được ứng dụng rộng rãi, đồng thời tìm hiểu cơ chế bảo mật, xác thực của các hệ thống TTĐT đó, nhằm đưa ra giải pháp toàn diện để phát triển hệ thống TTĐT ở Việt Nam.iii MỤC LỤC HÀ NỘI - 2009 i HÀ NỘI - 2009 .iiMỤC LỤC ivDANH MỤC CÁC BẢNG BIỂU .viDANH MỤC CÁC KÝ HIỆU .viiLỜI CÁM ƠN viiiMỞ ĐẦU 1CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN VÀ DỊCH VỤ XÁC THỰC41.1. Khái qt về an tồn thơng tin 41.2. Vấn đề xác thực trong an tồn thơng tin 6 1.2.1. Khái niệm 6 1.2.2. Phân loại xác thực 7 1.2.3. Các nhân tố xác thực 7 1.2.4. Xác thực mạnh nhiều yếu tố .7 1.2.5. Một vài cơng cụ xác thực .91.3. Chữ ký số - Cơng cụ được ứng dụng rộng dãi nhất 12 1.3.1. Khái qt về chữ ký điện tử .12 1.3.2. Vấn đề an tồn của chữ ký điện tử .13 1.3.3. Ứng dụng 141.4. Cơ sở hạ tầng về mật mã khóa cơng khai .16CHƯƠNG 2: THANH TỐN ĐIỆN TỬ 202.1. Tổng quan về TTĐT .20 2.1.1. Khái niệm chung về TTĐT 20 2.1.2. Các đặc trưng của TTĐT 202.2. Các mơ hình TTĐT .212.3. Vấn đề an ninh trong TTĐT .23CHƯƠNG 3: XÁC THỰC TRONG CÁC HỆ THỐNG THANH TỐN ĐIỆN TỬ .243.1. Vai trò của xác thực trong thanh tốn .243.2. Các phương thức thanh tốn chính .243.3. Hoạt động xác thực diễn ra như thế nào .25iv 3.3.1. Card Payment .25 3.3.1.1. Phương pháp xác thực .25 3.3.1.2. Những kỹ thuật về bảo mật .263.3.2. e-Payment 31 3.3.2.1. Phương pháp xác thực .31 3.3.3.2. Những kỹ thuật về bảo mật .32 3.3.3.2.1. e-Banking .32 3.3.3.2.2. e-Commerce .353.3.3. Mobile Payment (m-Payment) .40 3.3.3.1. Phương thức xác thực 40 3.3.3.2. Những kỹ thuật về bảo mật .41KẾT LUẬN .44PHỤ LỤC45TÀI LIỆU THAM KHẢO .54v DANH MỤC CÁC BẢNG BIỂUHình 1. Một hệ thống xác thực sinh trắc họcHình 2. Quá trình ký và kiểm tra chữ kýHình 3. Sơ đồ một hệ thống PKIHình 4. Mô hình kiến trúc CA phân cấpHình 5. Một chiếc thẻ thanh toán có gắn chip ICHình 6. Máy chấp nhận thẻ thanh toán POSHình 7. Thẻ thừ và máy đọc thẻ từHình 8. Một chip an ninh có kích thước 3x5 mm được đưa vào bên trong thẻ và được phóng lớn ra. Các điểm tiếp xúc trên thẻ cho phép thiết bị điện tử có thể truy cập chip.Hình 9. Mô hình TTĐTHình 10. Các nhân tố tham gia vào TMĐTHình 11. Giao thức SSLHình 12. Thanh toán bằng điện thoại di độngHình 13. Mô hình triển khai công nghệ WAPvi DANH MỤC CÁC KÝ HIỆUKý hiệu Chú giải API Application Programming InterfaceATTT An toàn thông tinCA Certification AuthorityCI Credit InstitutionCNTT Công nghệ thông tinCP Certificate PolicyCSDL Cơ sở dữ liệuDSS Digital Signature StandardHTTT Hệ thống thông tinIBPS Inter Bank Payment SystemNHNN Ngân hàng Nhà nước Việt NamNHTM Ngân hàng Thương mạiNHTW Ngân hàng Trung ƯơngPIN Personal Identification NumberPKI Public Key InfrastructureRA Registration AuthoritySub CA Subordinate CATAD Terminal Access DeviceTCTD Tổ chức Tín dụngTMĐT Thương mại điện tửTTĐT Thanh toán điện tửTTTT Trung tâm thanh toánvii LỜI CÁM ƠNLời đầu tiên, em xin gửi lời cám ơn sâu sắc tới ThS. Lương Việt Nguyên – Bộ môn Các Hệ thống thông tin – Khoa Công Nghệ Thông Tin – Trường Đại Học Công Nghệ - Đại học Quốc Gia Hà Nội, người đã hết lòng hướng dẫn, tạo điều kiện cho em trong suốt quá trình thực hiện khóa luận.Em xin cám ơn PGS.TS. Trịnh Nhật Tiến, các thầy, các cô trong trường Đại học Công Nghệ - Đại học Quốc Gia Hà Nội đã tận tình giảng dạy chúng em, giúp đỡ động viên chúng em từ những ngày đầu bước vào cánh cổng trường Đại học. Thầy cô đã tạo cho chúng em môi trường học tập, những điều kiện thuận lợi cho chúng em được học tập tốt, trang bị cho chúng em những kiến thức quý báu giúp chúng em có thể vững bước trong tương lai.Cám ơn các bạn sinh viên K50 đã giúp đỡ, cùng nghiên cứu và chia sẻ với tôi trong suốt quá trình học Đại học và thời gian hoàn thành khóa luận.Hà Nội, 05/2009 Ngô Đức Hùngviii MỞ ĐẦUTTĐT là trở ngại lớn thứ hai đối với việc mở rộng và phát huy hiệu quả thực sự của ứng dụng TMĐT, chỉ sau yếu tố về nhận thức của người tiêu dùng. Hiện nay, một số lượng không nhỏ doanh nghiệp và ngân hàng tại Việt Nam đã bắt đầu chú ý tới các hình thức TTĐT, và sử dụng các công cụ xác thực như một biện pháp tiện lợi, an toàn, nhằm giảm chi phí và thủ tục giao dịch. Tuy nhiên, nỗi lo về những rủi ro và nguy cơ tiềm ẩn trong thanh toán trực tuyến đang làm chậm bước tiến của ứng dụng TMĐT trong thời đại công nghệ thông tin ngày nay. Để khắc phục vấn đề này, cần phải đưa ra giải pháp xác thực toàn diện nhằm đảm bảo an toàn tối đa cho các giao dịch trực tuyến nói chung và TTĐT nói riêng. Có được niềm tin của người tiêu dùng thì hệ thống TTĐT mới dễ dàng phát triển được, và chúng ta hoàn toàn có thể tin tưởng vào một tương lai không xa, cả thế giới sẽ bước vào một nền kinh tế mới, nền kinh tế không tiền mặt.Hệ thống TTĐT đang trở thành nhu cầu phát triển và điều kiện để Việt Nam hội nhập với thế giới. Tuy nhiên, do chưa nắm rõ các kiến thức về chứng thực số và công nghệ trong hệ thống thanh toán trực tuyến, nhiều doanh nghiệp, tổ chức, vẫn tỏ ra thận trọng và chưa triển khai hệ thống này.Thực tế cho thấy những nước có nền TMĐT phát triển là những nước đã xây dựng được một cơ sở hạ tầng thanh toán khá hoàn thiện. Và trong tất cả các phương thức thanh toán, ngân hàng luôn ở vị trí trung tâm với vai trò là nhà cung cấp trực tiếp dịch vụ hoặc tổ chức trung gian hỗ trợ hệ thống TTĐT.Giám đốc trung tâm CNTT BIDV đưa ra con số minh chứng cho thói quen sử dụng tiền mặt của người dân VN: 4 triệu người dân Singapore sở hữu 30 triệu thẻ các loại (ATM, tín dụng, ghi nợ .); còn tại Việt Nam, 85 triệu người dân mới có 6,2 triệu thẻ và khoảng 10 triệu tài khoản. Do thiếu sự kết nối tổng thể giữa các ngân hàng, khách hàng và nhà cung cấp dịch vụ, hàng hóa khiến người tiêu dùng chưa mạnh dạn tham gia cũng như thụ hưởng các tiện ích từ TTĐT (TTĐT).Đối với mạng lưới thanh toán thẻ của ngân hàng, hiện vẫn tồn tại tới ba liên minh (liên minh của Vietcombank, hệ thống kết nối giữa ANZ và Sacombank, và hệ thống của ngân hàng Đông Á). Do đó, nếu người mua và người bán có tài khoản ở những ngân hàng hoặc liên minh khác thì việc TTĐT gần như không thực hiện được trong giao dịch thương mại trực tuyến. 1 Thực tế, các ngân hàng và nhà cung cấp đang rất chủ động trong việc đưa ra các phương thức thanh toán. Chẳng hạn, Pacific Airlines (hiện nay là Jetstar Pacific) hợp tác với một số tổ chức cho phép TTĐT đối với các thẻ tín dụng quốc tế hoặc thẻ ghi nợ nội địa của VCB; Techcombank hợp tác với chodientu.vn cung cấp dịch vụ thanh toán trực tuyến đối với các khách hàng của Techcombank khi mua hàng trên website này . Tuy nhiên, đó chỉ là những giải pháp được triển khai trong một phạm vi hẹp. TTĐT ở VN đang có sự giao thoa, mỗi bên (ngân hàng và nhà cung cấp) đều chủ động đưa ra những giải pháp riêng mà thiếu vai trò chỉ huy của NHNN. Trong khi các ngân hàng nỗ lực mở rộng điểm chấp nhận thanh toán bằng thẻ tín dụng, thì các nhà cung cấp cũng chủ động khắc phục bằng những giải pháp tình thế là đàm phán với từng ngân hàng để thiết lập hệ thống cho phép khách hàng thanh toán bằng cách sử dụng thẻ do ngân hàng phát hành hoặc khấu trừ thẳng vào tài khoản ngân hàng (như trường hợp của các doanh nghiệp kể trên) .Mô hình của các nước trên thế giới là xây dựng một trung tâm chuyển mạch tài chính ở tầm quốc gia với nhiệm vụ chuyển mạch kết nối giao dịch thanh toán giữa các bên khác nhau, xử lý thanh toán bù trừ và quyết toán giá trị thanh toán. Ngoài ra, có một số cổng thanh toán. Các cổng này có thể do một số công ty tư nhân xây dựng để cung cấp dịch vụ. Sau một thời gian, công ty Chuyển Mạch Tài Chính Quốc Gia Banknet đã chính thức ra mắt. Mục tiêu của Banknetvn là kết nối các hệ thống thanh toán thẻ của các ngân hàng ở VN, tạo thành một hệ thống thanh toán thẻ chung cho quốc gia và kết nối với các tổ chức thẻ quốc tế. Hoạt động của Banknet hoàn toàn khác với các liên minh thẻ đang tồn tại ở chỗ, các liên minh thẻ thực chất là sự thỏa thuận của một số ngân hàng với nhau, thường do một ngân hàng đã đi trước một bước về hệ thống thẻ, nghiệp vụ thẻ đứng ra chủ trì, các ngân hàng khác sẽ tham gia theo sự chủ trì đó và chịu ảnh hưởng chi phối của ngân hàng chủ trì. Còn Banknet tạo ra một hệ thống nền tảng công nghệ và dịch vụ chuyển mạch kết nối dùng chung, một sân chơi bình đẳng cho tất cả các ngân hàng tham gia kết nối. Gần đây NHNN đã quan tâm nhiều hơn đến vấn đề này qua việc ban hành các quy chế, chuẩn mực về thanh toán thẻ, chỉ đạo và hỗ trợ Banknetvn hoạt động và phát triển theo hướng thực sự là trung tâm chuyển mạch thanh toán của quốc gia, tổ chức các hội thảo nghiên cứu về giải pháp trung tâm thanh toán tối ưu . Với những chuyển biến tích cực kể trên, hy vọng những vướng mắc trong TTĐT sẽ dần được gỡ bỏ.2 [...]... về thanh toán, các hình thức thanh toán, đặc điểm và vấn đề an ninh, bảo mật trong các hình thức thanh toán hiện nay Chương 3: Vấn đề xác thực trong các hệ thống TTĐT Giới thiệu chi tiết các hệ thống TTĐT đang và sẽ được ứng dụng trên toàn thế giới, nghiên cứu và đưa ra những giải pháp xác thực tốt nhất cho các hệ thống thanh toán trực tuyến 3 CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ DỊCH VỤ XÁC THỰC... khác nhau trong việc TTĐT trên mạng như: ma trận ngẫu nhiên, One time-One password token và tiêu chuẩn mới nhất trong TTĐT SET (Secure Electronic Transaction), nhằm đảm bảo các phiên giao dịch của người sử dụng 23 CHƯƠNG 3: XÁC THỰC TRONG CÁC HỆ THỐNG THANH TOÁN ĐIỆN TỬ 3.1 Vai trò của xác thực trong thanh toán Hiện tại, hầu hết các dịch vụ mua bán hàng hoá trên mạng đều sử dụng hình thức thanh toán bằng... tăng lên Thanh toán điện tử TTĐT hình thức thanh toán có sử dụng các thiết bị điện tử công nghệ cao, các giao dịch được tiến hành qua mạng TTĐT là việc thanh toán tiền qua các thông điệp điện tử (Electronic message) thay cho việc thanh toán bằng tiền mặt Về mục đích, TTĐT là hệ thống cho phép các bên tham gia có thể tiến hành mua bán được Tuy nhiên, cách giao dịch thì lại hoàn toàn mới, người thực hiện... TTĐT đã được thực hiện hoàn toàn tự động? Đó là cơ quan có chức năng xác thực chữ ký điện tử trong hệ thống ngân hàng Việt Nam Cơ quan này có nhiệm vụ xây dựng thuật toán chữ ký điện tử, cung cấp chữ ký điện tử cho người tham gia hệ thống và kiểm soát những chữ ký điện tử ấy Không mấy ai dám mạo hiểm "quẳng tiền lên mạng" khi chưa có cơ sở tin cậy chắc chắn, cũng như được pháp luật công nhận Trong các... dữ liệu điện tử đó và xác thực danh tính người gửi 1.3.2 Vấn đề an toàn của chữ ký điện tử Chữ ký điện tử đã được ứng dụng và biết đến từ khá lâu Việt Nam cũng đã triển khai Theo nghị định 44 của Chính phủ, từ năm 2002 đã thừa nhận các yếu tố của chứng từ điện tử và chữ ký điện tử trong thanh toán của hệ thống ngân hàng Nhắc tới chữ ký điện tử, người ta nghĩ ngay đến sự an toàn và hữu dụng Tuy nhiên,... chương trình ứng dụng mà thôi Trong một mạng lưới tín nhiệm, việc xác thực là một cách để đảm bảo rằng người dùng chính là người mà họ nói họ là, và người dùng hiện đang thi hành những chức năng trong một hệ thống, trên thực tế, chính là người đã được ủy quyền để làm những việc đó 1.2.2 Phân loại xác thực Xác thực thực thể (Entity Authentication) Xác thực thực thể là xác thực định danh của một đối tượng... phỏng tiền mặt là mô hình tiền điện tử (electronic cash) 2.3 Vấn đề an ninh trong TTĐT Dạng thức đơn giản và cổ xưa nhất của thanh toán là hàng đổi hàng Trong thế giới hiện đại, các hình thức thanh toán bao gồm tiền mặt, chuyển khoản, tín dụng, ghi nợ, séc Trong giao dịch thương mại, thanh toán thường phải đi kèm với hóa đơn và biên nhận Trong các giao dịch phức tạp, thanh toán còn bao gồm cả chuyển cổ... tham gia giao thức truyền tin Thực thể hay đối tượng có thể là người dùng, thiết bị đầu cuối Tức là một thực thể được xác thực bằng định danh của nó đối với thực thể thứ hai trong một giao thức, và bên thứ hai đã thực sự tham gia vào giao thức Xác thực dữ liệu (Data Authentication) Xác thực dữ liệu là một kiểu xác thực đảm bảo một thực thể được chứng thực là nguồn gốc thực sự tạo ra dữ liệu này ở một... và các cơ quan chứng thực Đối với thanh toán truyền thống, thì mạng lưới thông tin chỉ là phương tiện để trao đổi dữ liệu Đối với TTĐT, thì mạng lưới thông tin chính là thị trường 2.2 Các mô hình TTĐT Hệ thống TTĐT thực hiện thanh toán cho khách hàng theo một số cách, mà tiền mặt và séc thông thường không thể làm được Hệ thống thanh toán cũng cung cấp khả năng điều khiển thanh toán hàng hóa và dịch... thanh toán Card Payment Hình 5 Một chiếc thẻ thanh toán có gắn chip IC Quá trình thanh toán chủ yếu thực hiện trên các thiết bị đầu cuối như máy ATM, POS Chủ thẻ quẹt thẻ thanh toán của mình vào các thiết bị thanh toán đó và tiến hành giao dịch của mình sau những thao tác xác thực người dùng Ngày nay mã PIN vẫn là giải pháp xác thực chính cho loại hình thanh toán này, cùng với xu hướng chuyển dấn sang . HỌC CÔNG NGHỆNgô Đức HùngNGHIÊN CỨU VẤN ĐỀ XÁC THỰC TRONG HỆ THỐNG THANH TOÁN ĐIỆN TỬKHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUYNgành: Các Hệ thống thông. HỌC CÔNG NGHỆNgô Đức HùngNGHIÊN CỨU VẤN ĐỀ XÁC THỰC TRONG HỆ THỐNG THANH TOÁN ĐIỆN TỬKHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUYNgành: Công nghệ thông tinHÀ
