ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ HOÀNG PHƯƠNG BẮC MỘT SỐ CÔNG CỤ CÔNG NGHỆ THÔNG TIN DÙNG TRONG THANH TOÁN ĐIỆN TỬ LUẬN VĂN THẠC SĨ Hà Nội - 2009 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ HOÀNG PHƯƠNG BẮC MỘT SỐ CÔNG CỤ CÔNG NGHỆ THÔNG TIN DÙNG TRONG THANH TOÁN ĐIỆN TỬ Ngành: Công nghệ Thông tin Chuyên ngành: Hệ thống Thông tin Mã số : 60.05 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Trịnh Nhật Tiến Hà Nội - 2009 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -3- MỤC LỤC LỜI CAM ĐOAN . 3 BẢNG CHỮ VIẾT TẮT . 8 DANH MỤC HÌNH VẼ. 11 CHƢƠNG 1 MỘT SỐ KHÁI NIỆM CƠ BẢN . CÁC KHÁI NIỆM TRONG TOÁN HỌC. Số nguyên tố và nguyên tố cùng nhau. Không gian Zn và Zn* . Khái niệm phần tử nghịch đảo trong Zn . Khái niệm nhóm, nhóm con, nhóm Cyclic . Bộ phần tử sinh .7 Bài toán đại diện. Hàm một phía và hàm một phía có cửa sập . Độ phức tạp tính toán . TỔNG QUAN VỀ AN TOÀN THÔNG TIN . Tại sao phải đảm bảo an toàn thông tin . Một số vấn đề rủi ro mất an toàn thông tin. Xâm phạm tính bí mật. Xâm phạm tính toàn vẹn . Xâm phạm tính sẵn sàng . Giả mạo nguồn gốc giao dịch . Chối bỏ giao dịch . Các hiểm họa đối với hệ thống giao dịch . Chiến lƣợc đảm bảo an toàn thông tin . TỔNG QUAN VỀ THANH TOÁN ĐIỆN TỬ . Khái niệm Thƣơng mại điện tử . Vấn đề thanh toán điện tử . 26 LUAN VAN CHAT LUONG download : add luanvanchat@agmail. CÔNG CỤ CNTT DÙNG TRONG THANH TOÁN ĐIỆN TỬ .1 Hạ tầng cơ sở bảo đảm an toàn thông tin . Mạng riêng ảo.3 Hạ tầng mật mã hóa công khai . Một số tiện ích dùng trong thanh toán điện tử . Thanh toán bằng các loại thẻ . Thanh toán bằng séc điện tử . Thanh toán bằng tiền điện tử. 31 CHƢƠNG 2 HẠ TẦNG CƠ SỞ BẢO ĐẢM AN TOÀN THÔNG TIN. HẠ TẦNG MẠNG MÁY TÍNH. Mạng Lan, Wan, Intranet, Extranet và Internet . Mạng cục bộ ( LAN) . Mạng diện rộng- WAN . Mạng Intranet, Extranet . Một số dịch vụ internet (internet services) . World Wide Web – WWW . Thƣ điện tử – Email . Truyền, tải tập tin – FTP . Làm việc từ xa – Telnet . Nhóm tin tức – Usenet, newsgroup . Dịch vụ danh mục (Directory Services) .3 Các nhà cung cấp dịch vụ trên Internet . Nhà cung cấp dich vụ ISP (Internet Service Provider) . Nhà cung cấp dịch vụ IAP (Internet Access Provider) . Nhà cung cấp dịch vụ ICP (Internet Content Provider) . Cấp phát tên miền (Internet Domain Name Provider) . Cho thuê máy chủ web - hosting (Server Space Provider) . 39 LUAN VAN CHAT LUONG download : add luanvanchat@agmail. HẠ TẦNG ĐẢM BẢO AN TOÀN THÔNG TIN.2 Mạng riêng ảo . VPN truy nhập từ xa . VPN điểm tới điểm .3 Các giao thức đảm bảo an toàn truyền tin . Giao thức SSL . Giao thức SHTTP . Giao thức IPSec . Giao thức TCP/IP . Giao thức bảo mật SET. Công nghệ xây dựng PKI . Công nghệ OpenCA . Công nghệ SSL. Giao thức truyền tin an toàn tầng liên kết dữ liệu (Data Link). Giao thức truyền tin an toàn tầng ứng dụng(Application). Một số công nghệ bảo đảm an toàn thông tin trên thế giới . HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI (PKI) . Khái niệm về PKI . Hiện trạng sử dụng chứng chỉ số trên thế giới và ở Việt Nam . Các thành phần kỹ thuật cơ bản của PKI . Chứng chỉ khóa công khai ( Chứng chỉ số) . Các đối tƣợng cơ bản của hệ thống PKI . Chủ thể và các đối tƣợng sử dụng . Đối tƣợng quản lý chứng chỉ số . Đối tƣợng quản lý đăng ký chứng chỉ số . Các hoạt động cơ bản trong hệ thống PKI. Mô hình tổng quát của hệ thống PKI . Thiết lập các chứng chỉ số . Khởi tạo các EE (End Entity) . Các hoạt động liên quan đến chứng chỉ số .6 Những vấn đề cơ bản trong xây dựng hệ thống CA . Các mô hình triển khai hệ thống CA . Những chức năng bắt buộc trong quản lý PKI . 91 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -6- CHƢƠNG 3 MỘT SỐ TIỆN ÍCH DÙNG TRONG THANH TOÁN ĐIỆN TỬ . THẺ THANH TOÁN . Giới thiệu về thẻ thông minh . Khái niệm thẻ thông minh . Phân loại thẻ thông minh . Các chuẩn trong thẻ thông minh . Phần cứng của thẻ thông minh . Hệ điều hành của thẻ thông minh . Các giao thức với thẻ thông minh . Giao thức truyền thông với thẻ thông minh .2 Giao thức xác thực với thẻ thông minh . Thẻ thanh toán. Luồng giao dịch trên ATM . Chu trình giao dịch trên POS . Quy trình thực hiện các giao dịch thẻ tín dụng: .TIỀN ĐIỆN TỬ . Giới thiệu về tiền điện tử . Khái niệm tiền điện tử . Cấu trúc tiền điện tử . Phân loại tiền điện tử . Tính chất của tiền điện tử . Các giao thức với tiền điện tử . Một số vấn đề đối với tiền điện tử . Vấn đề ẩn danh ngƣời dùng . Vấn đề giả mạo và tiêu một đồng tiền nhiều lần. Lƣợc đồ CHAUM-FIAT-NAOR .1 Giao thức rút tiền .2 Giao thức thanh toán.3 Giao thức gửi . 131 LUAN VAN CHAT LUONG download : add luanvanchat@agmail. Khởi tạo tài khoản . Giao thức rút tiền . Giao thức thanh toán. Giao thức gửi . Một số hệ thống tiền điện tử . Hệ thống FIRST VIRTUAL . Hệ thống tiền điện tử DIGICASH . Hệ thống MILLICENT . Hệ thống MONDEX . Hệ thống PAYWORD . 147 TÀI LIỆU THAM KHẢO. 148 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -8- BẢNG CHỮ VIẾT TẮT ARLs Authority Revocation Lists ATTT An toàn thông tin BIN Bank Identification Number CA Certificate Authority CRLs Certificate Revocation Lists DES Data Encryption Standard DNS Domain Name System DSS Digital Signature Standard EE End Entity HTTPS Secure Hypertext Transaction Standard IIN Issuer Identification Number ISPs Internet Service Providers NSPs Network Service Providers POS Point of Sale PIN Personal Identification Number PKC Public Key Certificate PKI Public Key Infrastructure SET Secure Electronic Transaction RA Registration Authorities SSL Secure Socket Layer TLS Transport Layer Security TMĐT Thƣơng mại điện tử TTĐT Thanh toán điện tử LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -9- DANH MỤC HÌNH VẼ Hình 1.1: Các lớp bảo vệ thông tin.2 : Một hệ thống mạng riêng ảo .1 : Mạng cục bộ LAN .2 : Các topology mạng cục bộ .3: Mạng diện rộng (WAN) .4 : Kiến trúc mạng Internet .5: Bức tƣờng lửa.6 : Máy phục vụ uỷ quyền (Proxy server).7 : Mô hình VPN truy nhập từ xa .8 : Mô hình VPN cục bộ .9: Mô hình VPN mở rộng .10: Vị trí SSL trong mô hình OSI .11: Hệ mã hóa khóa đối xứng .12: Hệ mã hóa khóa công khai .14: Mô hình quá trình ký có sử dụng hàm băm .15: Quá trình kiểm thử .16: Mô hình ký của loại chữ ký khôi phục thông điệp .17: Sơ đồ chữ ký một lần của Schnorr .19: Sơ đồ chữ ký mù dựa trên chữ ký RSA .20: Các đối tƣợng và hoạt động cơ bản trong hệ thống PKI .21: Kiến trúc CA phân cấp .22: Kiến trúc CA mạng lƣới .23: Kiến trúc CA danh sách tin cậy .90 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.1: Các điểm tiếp xúc theo chuẩn ISO 7816-2 .2: Cấu trúc file trong thẻ thông minh .3: Cấu trúc file EF .4: Cấu trúc của APDU phản hồi .5: Mã trả về của SW1, SW2 .6: Mã hoá bit trực tiếp .8: Lệnh ghi dữ liệu vào thẻ .9: Lệnh đọc dữ liệu từ thẻ .10: Cấu trúc của một khối truyền .11: Thẻ thông minh xác thực thực thể ngoài .12: Thực thể ngoài xác thực thẻ thông minh .13: Luồng giao dịch trên ATM .14: Quy trình cấp phép .15: Quy trình giao dịch thẻ tín dụng .16: Mô hình giao dịch của hệ thống tiền điện tử cùng ngân hàng .17: Mô hình giao dịch của hệ thống tiền điện tử liên ngân hàng . 125 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -11- MỞ ĐẦU Trong những thập kỷ gần đây, sự phát triển mạnh mẽ của Internet đã và đang làm thay đổi một cách căn bản cách thức hoạt động của nhiều lĩnh vực kinh tế - xã hội, trong đó có hoạt động thƣơng mại. Khâu quan trọng nhất trong hoạt động TMĐT là “thanh toán”, bởi vì mục tiêu cuối cùng của cuộc trao đổi thƣơng mại là ngƣời mua nhận đƣợc những cái gì cần mua và ngƣời bán nhận đƣợc số tiền thanh toán. Vấn đề an toàn thông tin (ATTT) trong các giao dịch luôn là một yêu cầu cần phải có đối với mọi hoạt động thƣơng mại, đặc biệt là hoạt động thƣơng mại điện tử vì các quy trình giao dịch đƣợc thực hiện qua Internet - một môi trƣờng truyền thông công cộng. Các thành tựu của ngành mật mã, đặc biệt là lý thuyết mật mã khoá công khai đã cung cấp các giải pháp ATTT cho các hoạt động thƣơng mại, tạo cơ sở cho việc xây dựng các hệ thống thanh toán điện tử. Cơ sở hạ tầng mã khoá công khai (PKI - Public Key Infrastructure) cùng các tiêu chuẩn và công nghệ ứng dụng của nó có thể đƣợc coi là một giải pháp tổng hợp và độc lập để giải quyết vấn đề ATTT. PKI bản chất là một hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng đƣợc sử dụng để khởi tạo, lƣu trữ và quản lý các chứng chỉ khóa công khai (Public Key Certificate) cũng nhƣ các khoá công khai và khóa bí mật (khóa riêng). Hiện nay ở Việt Nam, việc nghiên cứu, ứng dụng và triển khai PKI nói chung và dịch vụ cung cấp chứng chỉ số nói riêng là vấn đề còn mang tính thời sự. Bằng việc sử dụng chứng chỉ và chữ ký số, những ứng dụng cho phép PKI đƣa ra nhiều đặc tính đảm bảo an toàn thông tin cho ngƣời sử dụng đặc biệt là trong các giao dịch điện tử. Mỗi mô hình thanh toán điện tử đại diện cho một phƣơng thức thanh toán điện tử khác nhau nhƣ thanh toán bằng tiền mặt, bằng séc, bằng các loại thẻ…Mỗi phƣơng thức thanh toán điện tử có các giao thức đƣợc xây dựng dựa trên nền tảng lý thuyết mật mã, đảm bảo cho các giao dịch thanh toán thực hiện an toàn và theo đúng quy trình. Vì vậy, mỗi phƣơng thức thanh toán đều phải có các giao thức rõ ràng, đảm bảo an toàn cho việc giao dịch thông tin giữa các bên tham gia.
## Tổng quan nghiên cứu
Trong bối cảnh sự phát triển mạnh mẽ của Internet và công nghệ thông tin, hoạt động thương mại điện tử (TMĐT) ngày càng trở nên phổ biến và quan trọng. Theo số liệu từ đội cấp cứu máy tính CERT, số lượng các vụ tấn công trên Internet đã tăng từ dưới 200 vụ năm 1989 lên đến hơn 2.200 vụ vào năm 1994, cho thấy mức độ rủi ro ngày càng gia tăng trong môi trường mạng. Vấn đề an toàn thông tin (ATTT) trong các giao dịch điện tử, đặc biệt là thanh toán điện tử, trở thành yêu cầu cấp thiết nhằm bảo vệ tính bí mật, toàn vẹn và sẵn sàng của dữ liệu giao dịch.
Luận văn tập trung nghiên cứu về các công cụ công nghệ thông tin dùng trong thanh toán điện tử, với mục tiêu phân tích hạ tầng cơ sở đảm bảo an toàn thông tin, hạ tầng mật mã khóa công khai (PKI), và các tiện ích thanh toán điện tử như thẻ thanh toán, tiền điện tử. Phạm vi nghiên cứu tập trung vào các công nghệ và giải pháp được áp dụng tại Việt Nam và trên thế giới trong giai đoạn từ năm 2000 đến 2009.
Nghiên cứu có ý nghĩa quan trọng trong việc nâng cao nhận thức và ứng dụng các giải pháp bảo mật trong thanh toán điện tử, góp phần thúc đẩy sự phát triển bền vững của TMĐT, giảm thiểu rủi ro mất an toàn thông tin, và tăng cường niềm tin của người dùng vào các hệ thống thanh toán trực tuyến.
## Cơ sở lý thuyết và phương pháp nghiên cứu
### Khung lý thuyết áp dụng
Luận văn dựa trên các lý thuyết và mô hình sau:
- **Lý thuyết mật mã khóa công khai (Public Key Cryptography):** Cung cấp nền tảng cho việc mã hóa, giải mã và xác thực trong các giao dịch điện tử, đặc biệt là trong hệ thống PKI.
- **Mô hình hạ tầng khóa công khai (PKI):** Bao gồm các thành phần kỹ thuật như chứng chỉ số, các đối tượng quản lý chứng chỉ, và các hoạt động liên quan đến cấp phát, thu hồi chứng chỉ.
- **Lý thuyết an toàn thông tin:** Bao gồm các khái niệm về tính bí mật, tính toàn vẹn, tính sẵn sàng, xác thực nguồn gốc và chống chối cãi trong giao dịch điện tử.
- **Mô hình thanh toán điện tử:** Phân loại các mô hình trả trước, trả sau, thanh toán trực tuyến và ngoại tuyến, cùng các giao thức bảo mật như SSL, SET, IPSec.
Các khái niệm chuyên ngành được sử dụng bao gồm: chứng chỉ số (Public Key Certificate), chữ ký số (Digital Signature), mạng riêng ảo (VPN), tường lửa (Firewall), thẻ thông minh (Smart Card), tiền điện tử (E-cash).
### Phương pháp nghiên cứu
- **Nguồn dữ liệu:** Thu thập từ các tài liệu học thuật, báo cáo ngành, các tiêu chuẩn kỹ thuật và các nghiên cứu thực tiễn về công nghệ thanh toán điện tử và an toàn thông tin.
- **Phương pháp phân tích:** Phân tích định tính các mô hình, giao thức và công nghệ bảo mật; so sánh ưu nhược điểm của các giải pháp; đánh giá thực trạng ứng dụng tại Việt Nam.
- **Cỡ mẫu và chọn mẫu:** Nghiên cứu tập trung vào các hệ thống thanh toán điện tử phổ biến và các công nghệ bảo mật được triển khai trong các tổ chức tài chính, ngân hàng và doanh nghiệp thương mại điện tử.
- **Timeline nghiên cứu:** Nghiên cứu được thực hiện trong giai đoạn từ 2007 đến 2009, tập trung vào việc cập nhật các công nghệ mới và đánh giá hiệu quả ứng dụng tại thời điểm đó.
## Kết quả nghiên cứu và thảo luận
### Những phát hiện chính
- **Tăng trưởng các vụ tấn công mạng:** Số vụ tấn công trên Internet tăng từ khoảng 200 vụ năm 1989 lên hơn 2.200 vụ năm 1994, với hàng trăm nghìn máy tính của các tổ chức lớn bị ảnh hưởng, cho thấy nhu cầu cấp thiết về an toàn thông tin trong TMĐT.
- **Hiệu quả của hạ tầng PKI:** PKI được đánh giá là giải pháp tổng hợp và độc lập hiệu quả nhất trong việc đảm bảo an toàn thông tin cho các giao dịch điện tử, với khả năng quản lý chứng chỉ số và khóa công khai một cách an toàn.
- **Ứng dụng các giao thức bảo mật:** Giao thức SSL và SET được sử dụng phổ biến trong thanh toán điện tử, trong đó SSL có ưu điểm dễ triển khai trên trình duyệt, còn SET cung cấp mức độ bảo mật cao hơn nhưng phức tạp và ít phổ biến hơn.
- **Tiện ích thanh toán đa dạng:** Thanh toán bằng thẻ tín dụng, thẻ “tiền mặt”, séc điện tử và tiền điện tử đều có những ưu nhược điểm riêng, trong đó thẻ tín dụng phổ biến nhất nhưng có rủi ro về an toàn, còn tiền điện tử mang lại tính ẩn danh và tiện lợi cao.
### Thảo luận kết quả
Nguyên nhân của sự gia tăng các vụ tấn công mạng là do sự phát triển nhanh chóng của Internet và các dịch vụ TMĐT mà chưa đồng bộ về các giải pháp bảo mật. So với các nghiên cứu trước đây, kết quả này khẳng định xu hướng toàn cầu về gia tăng rủi ro an ninh mạng.
Việc áp dụng PKI và các giao thức bảo mật như SSL, IPSec đã tạo ra bước tiến lớn trong việc bảo vệ thông tin giao dịch, tuy nhiên vẫn tồn tại các thách thức về chi phí, tính phức tạp và khả năng mất dữ liệu trong quá trình truyền tải qua mạng công cộng.
Dữ liệu có thể được trình bày qua biểu đồ tăng trưởng số vụ tấn công mạng theo năm, bảng so sánh ưu nhược điểm các giao thức bảo mật và các phương thức thanh toán điện tử.
## Đề xuất và khuyến nghị
- **Triển khai rộng rãi hạ tầng PKI:** Đẩy mạnh ứng dụng PKI trong các hệ thống thanh toán điện tử để nâng cao tính bảo mật và xác thực giao dịch, đặt mục tiêu tăng tỷ lệ giao dịch an toàn lên trên 90% trong vòng 3 năm tới, do các tổ chức tài chính và doanh nghiệp thực hiện.
- **Tăng cường đào tạo và nâng cao nhận thức:** Tổ chức các khóa đào tạo về an toàn thông tin và sử dụng các công cụ bảo mật cho nhân viên và người dùng cuối, nhằm giảm thiểu rủi ro do lỗi con người, thực hiện liên tục hàng năm.
- **Phát triển và áp dụng các giao thức bảo mật tiên tiến:** Khuyến khích nghiên cứu và ứng dụng các giao thức bảo mật mới như TLS phiên bản cao, giao thức xác thực đa yếu tố, nhằm nâng cao khả năng chống tấn công và bảo vệ dữ liệu, triển khai trong 2 năm tới.
- **Xây dựng chính sách và quy định pháp lý chặt chẽ:** Hoàn thiện khung pháp lý về giao dịch điện tử và bảo vệ thông tin cá nhân, tạo môi trường pháp lý thuận lợi cho việc áp dụng các công nghệ bảo mật, thực hiện trong vòng 1-2 năm, do các cơ quan quản lý nhà nước chủ trì.
## Đối tượng nên tham khảo luận văn
- **Ngân hàng và tổ chức tài chính:** Nâng cao hiệu quả bảo mật trong các giao dịch thanh toán điện tử, giảm thiểu rủi ro mất mát tài chính.
- **Doanh nghiệp thương mại điện tử:** Áp dụng các công nghệ bảo mật để tăng cường niềm tin khách hàng và đảm bảo an toàn giao dịch.
- **Cơ quan quản lý nhà nước:** Xây dựng chính sách, quy định và hướng dẫn kỹ thuật về an toàn thông tin và thanh toán điện tử.
- **Nhà nghiên cứu và sinh viên ngành công nghệ thông tin:** Tìm hiểu các mô hình, công nghệ và giải pháp bảo mật trong TMĐT để phát triển nghiên cứu và ứng dụng thực tiễn.
## Câu hỏi thường gặp
1. **PKI là gì và tại sao quan trọng trong thanh toán điện tử?**
PKI là hạ tầng khóa công khai giúp quản lý chứng chỉ số và khóa mã hóa, đảm bảo xác thực và bảo mật thông tin trong giao dịch điện tử, giảm thiểu rủi ro giả mạo và gian lận.
2. **Giao thức SSL và SET khác nhau như thế nào?**
SSL dễ triển khai trên trình duyệt và phổ biến hơn, trong khi SET cung cấp bảo mật cao hơn với chữ ký số và ví điện tử nhưng phức tạp và ít được sử dụng rộng rãi.
3. **VPN có vai trò gì trong bảo mật thanh toán điện tử?**
VPN tạo ra mạng riêng ảo an toàn trên nền mạng công cộng, bảo vệ dữ liệu truyền tải khỏi bị nghe trộm và tấn công, đặc biệt trong kết nối từ xa.
4. **Các rủi ro chính trong thanh toán điện tử là gì?**
Bao gồm xâm phạm tính bí mật, tính toàn vẹn, tính sẵn sàng, giả mạo nguồn gốc giao dịch và chối bỏ giao dịch, có thể dẫn đến mất mát tài chính và uy tín.
5. **Tiền điện tử khác gì so với tiền mặt truyền thống?**
Tiền điện tử có thể lưu trữ và giao dịch trực tuyến với tính ẩn danh cao, tiện lợi và nhanh chóng, nhưng cũng đòi hỏi các biện pháp bảo mật nghiêm ngặt để tránh giả mạo và tiêu dùng nhiều lần.
## Kết luận
- Luận văn đã làm rõ vai trò thiết yếu của an toàn thông tin trong thanh toán điện tử, đặc biệt trong bối cảnh phát triển TMĐT tại Việt Nam.
- Hạ tầng PKI và các giao thức bảo mật như SSL, SET là nền tảng kỹ thuật quan trọng để đảm bảo an toàn giao dịch.
- Các tiện ích thanh toán đa dạng như thẻ tín dụng, thẻ thông minh và tiền điện tử đều có ưu nhược điểm cần được cân nhắc khi áp dụng.
- Đề xuất các giải pháp kỹ thuật, đào tạo và chính sách nhằm nâng cao hiệu quả bảo mật trong thanh toán điện tử.
- Khuyến nghị các bước tiếp theo bao gồm triển khai PKI rộng rãi, hoàn thiện khung pháp lý và phát triển công nghệ bảo mật tiên tiến.
Các tổ chức tài chính và doanh nghiệp cần phối hợp triển khai các giải pháp bảo mật, đồng thời tăng cường đào tạo và nâng cao nhận thức người dùng để đảm bảo an toàn trong thanh toán điện tử.