Nghiên cứu một số bài toán về an toàn thông tin trong giai đoạn rút tiền điện tử

Trên toàn thế giới, tiền điện tử đã và đang được ứng dụng thành công, đem lại lợi ích cho người dùng.Tuy nhiên trong quá trình sử dụng tiền điện tử đã nảy sinh một số vấn đề đáng quan t

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

NGUYỄN HỮU HẢI

NGHIÊN CỨU MỘT SỐ BÀI TOÁN VỀ

AN TOÀN THÔNG TIN TRONG GIAI ĐOẠN RÚT TIỀN ĐIỆN TỬ

Chuyên ngành: Truyền dữ liệu và mạng máy tính

Mã số: 60.48.15

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI – 2012

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: PGS.TS TRỊNH NHẬT TIẾN

Phản biện 1: ……… Phản biện 2: ………

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc

sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: giờ ngày tháng năm…

Có thể tìm hiểu luận văn tại:

Thư viện của Học viện Công nghệ Bưu chính Viễn thông

LỜI NÓI ĐẦU

Ngày nay cùng với sự phát triển vượt bậc về khoa học công nghệ, sự mở rộng và phổ biến của Internet Từ những nhu cầu thực tế đã thúc đẩy sự phát triển thương mại điện tử Từ những hình thức thanh toán đơn giản đến nhu cầu thanh toán hiện đại đòi hỏi phải có những hình thức thanh toán thông minh, an toàn Điều đó dẫn đến công nghệ thanh toán điện tử ra đời và một trong những

công nghệ đó là thanh toán tiền điện tử

Trên toàn thế giới, tiền điện tử đã và đang được ứng

dụng thành công, đem lại lợi ích cho người dùng.Tuy nhiên trong quá trình sử dụng tiền điện tử đã nảy sinh một

số vấn đề đáng quan tâm như: người dùng gian lận giá trị đồng tiền, tiêu nhiều lần một đồng tiền hay xác định danh tính người sở hữu đồng tiền

Vì vậy, luận văn đi vào nghiên cứu một số bài toán trong hệ thống tiền điện tử và trình bày những cách giải quyết phù hợp cho các vấn đề trên

- Mục đích của luận văn

Mục đích của luận văn là nghiên cứu một số giải pháp khoa học cho các bài toán phát sinh trong quá trình rút tiền điện tử, so sánh, đánh giá ưu nhược điểm của các giải pháp và chỉ rõ giải pháp nào phù hợp với từng loại tiền điện tử

- Đối tượng nghiên cứu

Đối tượng nghiên cứu là các bài toán phát sinh khi dùng tiền điện tử

- Phương pháp nghiên cứu

Để nghiên cứu được các bài toán tiền điện tử, luận văn nghiên cứu về An toàn thông tin, tiền điện tử, chỉ rõ cấu trúc, tính chất các loại tiền điện tử đã và đang được sử

dụng trên thế giới Từ đó, phân tích để thấy rõ các bài toán

đã phát sinh như thế nào trong quá trình sử dụng tiền điện

tử, và nêu lên các giải pháp phù hợp cho từng bài toán

- Kết cấu của luận văn

Luận văn gồm 3 chương

Chương 1: Trình bày tổng quan về An toàn thông tin,

chức năng, nhiệm vụ và các phương pháp An toàn thông tin

Chương 2: Trình bầy khái niệm về tiền điện tử Nêu

một số bài toán phát sinh trong quá trình dùng tiền điện tử Đối với mỗi bài toán, nêu ra các giải pháp, phân tích rõ ưu nhược điểm của các giải pháp

Chương 3: Thử nghiệm hệ thống tiền điện tử

Cuối cùng là kết luận lại những điểm chính, những đóng góp chính của luận văn, đồng thời chỉ ra những điểm cần khắc phục và định hướng phát triển tiếp theo cho luận văn

Chương 1 MỘT SỐ KHÁI NIỆM CƠ BẢN

1.1 TỔNG QUAN VỀ AN TOÀN THÔNG TIN

1.1.1 Chức năng, nhiệm vụ của ATTT

- Bảo đảm bí mật (Bảo mật)

- Bảo đảm toàn vẹn

- Bảo đảm xác thực (Chứng thực)

Xác thực đúng thực thể cần kết nối, giao dịch Xác thực đúng thực thể có trách nhiệm về nội dung thông tin

- Bảo đảm sẵn sang

1.1.2 Các phương pháp ATTT

1.1.2.1 Nội dung ATTT

a) Nội dung chính

b) Nội dung chuyên ngành

1.1.2.2 Các chiến lược bảo đảm ATTT

a) Cấp quyền hạn tối thiểu (Least Privilege)

b) Phòng thủ theo chiều sâu (Defense in Depth)

1.1.2.3 Các giải pháp bảo đảm ATTT

a) Phương pháp che giấu, bảo đảm toàn vẹn và xác thực thông tin

b) Phương pháp kiểm soát lối vào ra của thông tin c) Phát hiện và xử lý các lỗ hổng trong ATTT

d) Phối hợp các phương pháp

1.1.2.4 Các kỹ thuật bảo đảm ATTT

 Kỹ thuật diệt trừ: Virus máy tính, chương trình trái phép

 Kỹ thuật tường lửa: Ngăn chặn truy cập trái phép, lọc thông tin không hợp phép

 Kỹ thuật mạng riêng ảo: Tạo ra hành lang riêng cho thông tin “đi lại”

 Kỹ thuật mật mã: Mã hóa, ký số, các giao thức mật mã, chống chối cãi, hàm băm

 Kỹ thuật giấu tin: Che giấu thông tin trong môi trường dữ liệu khác

 Kỹ thuật thủy ký: Bảo vệ quyền tài liệu số hóa

 Kỹ thuật truy tìm dấu vết kẻ trộm thông tin

1.1.2.5 Các công nghệ bảo đảm thông tin

 Công nghệ chung: tưởng lửa, mạng riêng ảo, PKI, Thẻ thông minh,…

e) Phục vụ các hoạt động giáo dục, đào tạo

f) Bảo vệ bản quyền thông tin số hóa

1.1.3.1 Công cụ bảo đảm an toàn thông tin

a) Mật mã (Cryptography)

* Khái niệm mật mã

* Khái niệm mã hóa (Encryption)

* Khái niệm ký số (Digital Signature)

1.2 TỔNG QUAN VỀ TIỀN ĐIỆN TỬ

1.2.1 Khái niệm tiền điện tử

1.2.2 Thanh toán bằng tiền điện tử

Hình 1.0: Mô hình giao dịch cơ bản của hệ thống Tiền điện tử

Hình 1.1: Mô hình phương thức thanh toán

1.2.3 Cấu trúc của Tiền điện tử

Số sê-ri của đồng tiền

Giá trị của đồng tiền

Hạn định của đồng tiền

Các thông tin khác

1.2.4 Tính chất của tiền điện tử

1.2.4.1 Tính an toàn (Security)

* Đảm bảo đồng tiền điện tử không bị sao chép,

không bị sử dụng lại

* Sự giả mạo (forgery)

 Các gian lận thường gặp trong hệ thống thanh toán là sự giả mạo Tương tự như tiền giấy, có hai loại giả mạo đối với tiền điện tử

 Giả mạo đồng tiền: tạo ra đồng tiền giả giống như thật, nhưng không có

 xác nhận rút tiền của ngân hàng

 Tiêu một đồng tiền nhiều lần: là sử dụng cùng một đồng tiền nhiều lần (thuật ngữ tương đương như double spending, hay multiple spending, hay repeat spending)

số người khác như David Chaum, “tính riêng tư” có nghĩa

là trong quá trình thanh toán, người trả tiền phải được ẩn danh, không để lại dấu vết, ngân hang không nói được tiền giao dịch là của ai

1.2.4.4 Tính độc lập (Portability)

Tính chất này có nghĩa là sự an toàn của Tiền điện tử không phụ thuộc vào vị trí địa lý Tiền có thể được chuyển qua mạng máy tính hoặc lưu trữ vào các thiết bị nhớ khác nhau

1.2.4.5 Tính chuyển nhƣợng đƣợc

Hình 1.2: Mô hình giao dịch có tính chuyển nhƣợng

1.2.4.6 Tính phân chia đƣợc (Divisibility)

Chương 2 MỘT SỐ BÀI TOÁN VỀ ATTT

TRONG GIAI ĐOẠN RÚT TIỀN ĐIỆN

+ Vấn đề ẩn danh người sử dụng đồng tiền

+ Vấn đề ngăn chặn tiêu một đồng tiền “điện tử”

nhiều lần (double-spending)

2.1.1 Vấn đề ẩn danh người sử dụng đồng tiền

Ẩn danh là đặc tính rất quan trọng của phương thức thanh toán bằng tiền điện tử Tính ẩn danh được hiểu là người tiêu tiền phải được ẩn danh và không để lại dấu vết, nghĩa là ngân hàng không thể biết được: tiền giao dịch là của ai

2.1.2 Vấn đề gian lận giá trị đồng tiền

Việc Ngân hàng dùng chữ ký “mù” để ký vào đồng

tiền làm nảy sinh một vấn đề khác, đó là: ông A gian lận, gửi tới ngân hàng đồng tiền ghi giá trị 50 $ để xin chữ ký của họ trên đồng tiền này, nhưng lại báo với ngân hàng

rằng đồng tiền đó chỉ ghi giá trị 1$ Như vậy ông A đã có

đồng tiền 50 $ cùng với chữ ký của ngân hàng, nhưng tài

khoản của ông chỉ bị khấu trừ 1 $ Ông A đã “thắng”

đậm

2.2 GIẢI PHÁP CHO BÀI TOÁN “ẨN DANH”

VÀ “CHỐNG GIAN LẬN GIÁ TRỊ ĐỒNG TIỀN”

2.2.1 Giới thiệu giải pháp

a) Phương pháp thứ nhất

b) Phương pháp thứ hai

2.2.2 Lược đồ Chaum-Fiat-Naor

2.2.2.1 Giới thiệu lược đồ Chaum-Fiat-Naor

Hình 2.0 : Khái quát lược đồ Chaum – Fiat – Naor

2.2.2.2 Nội dung lược đồ Chaum-Fiat-Naor

a) Giao thức Rút tiền:

b) Giao thức Thanh toán:

c) Giao thức Gửi tiền:

2.2.2.3 Phân tích và đánh giá

a) Nhận xét chung:

b) Chi phí thực hiện luợc đồ:

c) Khả năng Tấn công luợc đồ:

2.2.3 Lược đồ Brand

2.2.3.1 Giới thiệu lƣợc đồ Brand

2.2.3.2 Nội dung lƣợc đồ Brand

a) Khởi tạo tài khoản:

Hình 2.1: Quá trình khởi tạo tài khoản của lƣợc đồ Brand

b) Chứng minh đại diện tài khoản:

Alice (Người chứng

minh)

Ngân hàng(Người kiểm tra)

Biết u1 và u2 là đại diện

của I = g1u1 g2u2

Chỉ biết I, g1,g2 Không biết

u1 và u2 Tạo 2 số ngẫu nhiên w1 và

Hình 2.2 : Quá trình chứng minh đại diện tài khoản của lƣợc đồ

Brand

chứng minh đại diện

= hca và

mr = zcb

Tính r’ = ru + v modq

Đồng tiền: A, B,

Sign(A, B)

với

Sign ( A, B) = (z’, a’,

b’,r’)

Hình 2.3: Giao thức rút tiền trong lƣợc đồ Brand

d) Giao thức thanh toán:

Alice

Bob

A, b, sign(A, B)

AB ≠ 1 Kiểm tra sign (

Hình 2.4: Giao thức thanh toán

e) Giao thức gửi Tiền:

2.2.3.3 Phân tích và đánh giá

a) Nhận xét chung:

Lược đồ này sử dụng những lý thuyết toán học phức tạp, khó hiểu được đầy dủ Do vậy lược đồ này không phổ biến bằng lược đồ CHAUM – FIAT – NAOR

Lược đồ không sử dụng giao thức “cut and choose” như CHAUM –FIAT-NAOR, nên không phải tạo k mẫu khác nhau cũng như không phải giữ những bản copy của phần định danh (định danh được chia làm hai phần) Ngân hàng cũng không cần kiểm tra k/2 mẫu trước khi tiến hành ký

Độ an toàn của lược đồ Brand sẽ phụ thuộc vào độ khó của việc tính toán logarit rời rạc và dĩ nhiên sẽ an toàn hơn lược đồ sử dụng RSA

Trong lược đồ này, định danh của người mua hàng (Alice) được ẩn danh hoàn toàn Người bán hàng và ngân hàng hoàn toàn không biết định danh của Alice, trừ khi Alice có hành vi gian lận, tiêu một đồng tiền nhiều lần

b) Phát hiện định danh trong trường hợp tiêu một đông tiền 2 lần:

c) Khả năng Tấn công lược đồ:

Chương 3 THỬ NGHIỆM CHƯƠNG TRÌNH

3.5.1 Giao diện chính chương trình

Hình 3.0: Quá trình nhập số liệu cho chương trình

Hình 3.1: Kết quả chương trình

3.5.2 Hướng dẫn sử dụng

Bước 1: Khởi tạo project: RSA_Project

Hình 3.2: Khởi tạo project RSA_Project

Hình 3.3: Đặt tên cho project

Hình 3.4: Lưu project

Bước 2: Viết mã chương trình:

Hình 3.5: Mã chương trình

+ Khi chạy ta có giao diện: Nhập các thông số cần thiết

Hình 3.8: Quá trình nhập số liệu cho chương trình

+ Kết quả đạt được:

Hình 3.9: Kết quả chương trình

KẾT LUẬN

Sau một thời gian làm việc, với sự nỗ lực của bản thân và sự tận tình chỉ bảo của thầy giáo PGS.TS.Trịnh

Nhật Tiến tôi đã hoàn thành luận văn của mình

Khóa luận đã trình bày những kiến thức tổng quát về tiền điện tử, nghiên cứu và phân tích giải pháp cho các bài toán này sinh khi rút tiền điện tử

Những kết quả chính của luận văn là:

1/ Nghiên cứu và tìm hiểu trong tài liệu để hệ thống lại các vấn đề sau:

Cơ sở khoa học của tiền điện tử:

+ Khái niệm, mô hình, tính chất và cấu trúc của tiền điện tử

+ Tìm hiểu và so sánh hai hệ thống thanh toán điện tử: hệ thống thanh toán trực tuyến và hệ thống thanh toán ngoại tuyến

+ Nghiên cứu và phân tích hai vấn đề cơ bản trong giai đoạn rút tiền điện tử:

Vấn đề ẩn danh người sử dụng tiền điện tử

Vấn đề chống gian lận giá trị đồng tiền

2/ Chương trình ký số RSA

Hướng phát triển tiếp theo của luận văn là nghiên cứu sâu hơn nữa về vấn đề ATTT trong quá trình rút tiền điện tử phân tích các mô hình tiền điện tử, phát hiện các lỗ hổng an toàn trong các mô hình tiền điện tử và

đề xuất các mô hình Tiền điện tử hiệu quả

DANH MỤC TÀI LIỆU THAM KHẢO

Tiếng Việt

[1] GS Phan Đình Diệu (2006), Lý thuyết Mật Mã và An

toàn thông tin, nhà xuất bản Đại học quốc gia Hà

http://caislab.icu.ac.kr/Paper/thesis_files/2004/Thesi s_bgKim.pdf

[5] D.Chaum, A.Fiat, and M.Naor, Untraceable electronic cash, In Advances in Cryptology-Crypto

'88

[6] Ricarda Weber Digital Payment Systems 2000 [7] http://en.wikipedia.org/wiki/Electronic_money [8] http://www.ex.ac.uk/~RDavies/arian/emoneyfaq.html