một số công cụ công nghệ thông tin dùng trong thanh toán điện tử

Vấn đề an toàn thông tin ATTT trong các giao dịch luôn là một yêu cầu cần phải có đối với mọi hoạt động thương mại, đặc biệt là hoạt động thương mại điện tử vì các quy trình giao dịch đư

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

LỜI CAM ĐOAN

Tôi xin cam đoan toàn bộ nội dung bản luận văn “Một số công cụ công

nghệ thông tin dùng trong thanh toán điện tử” là do tôi tự sưu tầm, tra cứu và

tìm hiểu theo tài liệu tham khảo và làm theo hướng dẫn của người hướng dẫn khoa học

Nội dung bản luận văn chưa từng được công bố hay xuất bản dưới bất kỳ hình thức nào và cũng không được sao chép từ bất kỳ một công trình nghiên cứu nào Các nguồn lấy từ tài liệu tham khảo đều được chú thích rõ ràng, đúng quy định

Nếu sai tôi xin hoàn toàn chịu trách nhiệm

Hà nội, tháng 09 năm 2009

Người cam đoan

Hoàng Phương Bắc

LỜI CẢM ƠN

Lời đầu tiên, tôi xin được gửi lời cảm ơn chân thành và sâu sắc tới PGS.TS Trịnh Nhật Tiến, người thầy đã cho tôi những định hướng và ý kiến quý báu trong suốt quá trình hoàn thành luận văn

Tôi xin cảm ơn các thầy, cô trong khoa Công Nghệ Thông Tin cùng các thầy cô trong trường Đại học Công Nghệ - ĐHQGHN đã giảng dạy, truyền đạt cho tôi những kiến thức quý báu trong những năm học qua

Tôi xin được gửi lời cảm ơn sâu sắc tới gia đình và bạn bè, những người luôn kịp thời động viên, khích lệ giúp đỡ tôi vượt qua những khó khăn để tôi có thể hoàn thành nhiệm vụ của mình

Do còn hạn chế về nhiều mặt nên luận văn không thể tránh khỏi những thiếu sót Rất mong nhận được sự chỉ bảo, góp ý của Thầy, cô và các bạn

Hà Nội, Tháng 9 năm 2009

Học viên

Hoàng Phương Bắc

MỤC LỤC

LỜI CAM ĐOAN 2

LỜI CẢM ƠN 3

MỤC LỤC 4

BẢNG CHỮ VIẾT TẮT 9

DANH MỤC HÌNH VẼ 10

MỞ ĐẦU 12

CHƯƠNG 1 MỘT SỐ KHÁI NIỆM CƠ BẢN 14

1.1 CÁC KHÁI NIỆM TRONG TOÁN HỌC 14

1.1.1 Số nguyên tố và nguyên tố cùng nhau 14

1.1.2 Đồng dư thức 14

1.1.3 Không gian Z n và Z n * .15

1.1.4 Khái niệm phần tử nghịch đảo trong Zn 15

1.1.5 Khái niệm nhóm, nhóm con, nhóm Cyclic 16

1.1.6 Bộ phần tử sinh 16

1.1.7 Bài toán đại diện 17

1.1.8 Hàm một phía và hàm một phía có cửa sập 17

1.1.9 Độ phức tạp tính toán 18

1.2 TỔNG QUAN VỀ AN TOÀN THÔNG TIN 19

1.2.1 Tại sao phải đảm bảo an toàn thông tin 19

1.2.2 Một số vấn đề rủi ro mất an toàn thông tin 20

1.2.2.1 Xâm phạm tính bí mật .20

1.2.2.2 Xâm phạm tính toàn vẹn 21

1.2.2.3 Xâm phạm tính sẵn sàng 21

1.2.2.4 Giả mạo nguồn gốc giao dịch 22

1.2.2.5 Chối bỏ giao dịch 22

1.2.2.6 Các hiểm họa đối với hệ thống giao dịch 22

1.2.3 Chiến lược đảm bảo an toàn thông tin 25

1.3 TỔNG QUAN VỀ THANH TOÁN ĐIỆN TỬ 27

1.3.1 Khái niệm Thương mại điện tử 27

1.3.2 Vấn đề thanh toán điện tử 27

1.4 CÔNG CỤ CNTT DÙNG TRONG THANH TOÁN ĐIỆN TỬ 29

1.4.1 Hạ tầng cơ sở bảo đảm an toàn thông tin 29

1.4.1.1 Tường lửa 29

1.4.1.2 Mạng riêng ảo 29

1.4.1.3 Hạ tầng mật mã hóa công khai 30

1.4.2 Một số tiện ích dùng trong thanh toán điện tử 31

1.4.2.1 Thanh toán bằng các loại thẻ 31

1.4.2.2 Thanh toán bằng séc điện tử 31

1.4.2.3 Thanh toán bằng tiền điện tử 32

CHƯƠNG 2 HẠ TẦNG CƠ SỞ BẢO ĐẢM AN TOÀN THÔNG TIN 33

2.1 HẠ TẦNG MẠNG MÁY TÍNH 33

2.1.1 Mạng Lan, Wan, Intranet, Extranet và Internet 33

2.1.1.1 Mạng cục bộ ( LAN) 33

2.1.1.2 Mạng diện rộng- WAN 35

2.1.1.3 Mạng Intranet, Extranet 35

2.1.1.4 Mạng Internet 36

2.1.2 Một số dịch vụ internet (internet services) 37

2.1.2.1 World Wide Web – WWW 37

2.1.2.2 Thư điện tử – Email 37

2.1.2.3 Truyền, tải tập tin – FTP 38

2.1.2.4 Tán gẫu – Chat 38

2.1.2.5 Làm việc từ xa – Telnet 38

2.1.2.6 Nhóm tin tức – Usenet, newsgroup 39

2.1.2.7 Dịch vụ danh mục (Directory Services) 39

2.1.3 Các nhà cung cấp dịch vụ trên Internet 39

2.1.3.1 Nhà cung cấp dich vụ ISP (Internet Service Provider) 39

2.1.3.2 Nhà cung cấp dịch vụ IAP (Internet Access Provider) 39

2.1.3.3 Nhà cung cấp dịch vụ ICP (Internet Content Provider) 40

2.1.3.4 Cấp phát tên miền (Internet Domain Name Provider) 40

2.1.3.5 Cho thuê máy chủ web - hosting (Server Space Provider) 40

2.2 HẠ TẦNG ĐẢM BẢO AN TOÀN THÔNG TIN 41

2.2.1 Tường lửa 41

2.2.2 Mạng riêng ảo 43

2.2.2.1 VPN truy nhập từ xa 43

2.2.2.2 VPN điểm tới điểm 45

2.2.3 Các giao thức đảm bảo an toàn truyền tin 48

2.2.3.1 Giao thức SSL 48

2.2.3.2 Giao thức SHTTP 48

2.2.3.3 Giao thức IPSec 49

2.2.3.4 Giao thức TCP/IP 49

2.2.3.5 Giao thức bảo mật SET 50

2.2.4 Công nghệ xây dựng PKI 51

2.2.4.1 Công nghệ OpenCA 51

2.2.4.2 Công nghệ SSL 52

2.2.4.3 Giao thức truyền tin an toàn tầng liên kết dữ liệu (Data Link) 55

2.2.4.4 Giao thức truyền tin an toàn tầng ứng dụng(Application) .56

2.2.4.5 Một số công nghệ bảo đảm an toàn thông tin trên thế giới 58

2.3 HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI (PKI) 59

2.3.1 Khái niệm về PKI 59

2.3.2 Hiện trạng sử dụng chứng chỉ số trên thế giới và ở Việt Nam 60

2.3.3 Các thành phần kỹ thuật cơ bản của PKI 62

2.3.3.1 Mã hóa 62

2.3.3.2 Chữ ký số 65

2.3.3.3 Chứng chỉ khóa công khai ( Chứng chỉ số) 75

2.3.4 Các đối tượng cơ bản của hệ thống PKI 80

2.3.4.1 Chủ thể và các đối tượng sử dụng 80

2.3.4.2 Đối tượng quản lý chứng chỉ số 81

2.3.4.3 Đối tượng quản lý đăng ký chứng chỉ số 82

2.3.5 Các hoạt động cơ bản trong hệ thống PKI 83

2.3.5.1 Mô hình tổng quát của hệ thống PKI 83

2.3.5.2 Thiết lập các chứng chỉ số 83

2.3.5.3 Khởi tạo các EE (End Entity) 83

2.3.5.4 Các hoạt động liên quan đến chứng chỉ số 84

2.3.6 Những vấn đề cơ bản trong xây dựng hệ thống CA 87

2.3.6.1 Các mô hình triển khai hệ thống CA 87

2.3.6.2 Những chức năng bắt buộc trong quản lý PKI 92

CHƯƠNG 3 MỘT SỐ TIỆN ÍCH DÙNG TRONG THANH TOÁN ĐIỆN TỬ 95

3.1 THẺ THANH TOÁN 95

3.1.1 Giới thiệu về thẻ thông minh 95

3.1.1.1 Khái niệm thẻ thông minh 95

3.1.1.2 Phân loại thẻ thông minh 95

3.1.1.3 Các chuẩn trong thẻ thông minh 97

3.1.1.4 Phần cứng của thẻ thông minh 98

3.1.1.5 Hệ điều hành của thẻ thông minh 100

3.1.2 Các giao thức với thẻ thông minh 104

3.1.2.1 Giao thức truyền thông với thẻ thông minh 104

3.1.2.2 Giao thức xác thực với thẻ thông minh 110

3.1.3 Thẻ thanh toán 112

3.1.3.1 Luồng giao dịch trên ATM 112

3.1.3.2 Chu trình giao dịch trên POS 113

3.1.3.3 Quy trình thực hiện các giao dịch thẻ tín dụng: 117

3.2.TIỀN ĐIỆN TỬ 119

3.2.1 Giới thiệu về tiền điện tử 120

3.2.1.1 Khái niệm tiền điện tử 120

3.2.1.2 Cấu trúc tiền điện tử 120

3.2.1.3 Phân loại tiền điện tử 121

3.2.1.4 Tính chất của tiền điện tử 122

3.2.1.5 Các giao thức với tiền điện tử 124

3.2.2 Một số vấn đề đối với tiền điện tử 128

3.2.2.1 Vấn đề ẩn danh người dùng 128

3.2.2.2 Vấn đề giả mạo và tiêu một đồng tiền nhiều lần 128

3.2.3 Lược đồ CHAUM-FIAT-NAOR 129

3.2.3.1 Giao thức rút tiền 130

3.2.3.2 Giao thức thanh toán 131

3.2.3.3 Giao thức gửi 131

3.2.3.4 Đánh giá 131

3.2.3.5 Chi phí 132

3.2.3.6 Tấn công 132

3.2.4 Lược đồ BRAND 133

3.2.4.1 Khởi tạo tài khoản 133

3.2.4.2 Giao thức rút tiền 134

3.2.4.3 Giao thức thanh toán 135

3.2.4.4 Giao thức gửi 136

3.2.4.5 Đánh giá 136

3.2.5 Một số hệ thống tiền điện tử 137

3.2.5.1 Hệ thống FIRST VIRTUAL 137

3.2.5.2 Hệ thống tiền điện tử DIGICASH 139

3.5.2.3 Hệ thống MILLICENT 142

3.5.2.4 Hệ thống MONDEX 144

3.5.2.5 Hệ thống PAYWORD 145

KẾT LUẬN 148

TÀI LIỆU THAM KHẢO 149

BẢNG CHỮ VIẾT TẮT

ARLs Authority Revocation Lists

ATTT An toàn thông tin

BIN Bank Identification Number

CA Certificate Authority

CRLs Certificate Revocation Lists

DES Data Encryption Standard

DSS Digital Signature Standard

HTTPS Secure Hypertext Transaction Standard IIN Issuer Identification Number

ISPs Internet Service Providers

NSPs Network Service Providers

PIN Personal Identification Number

PKC Public Key Certificate

PKI Public Key Infrastructure

SET Secure Electronic Transaction

RA Registration Authorities

TLS Transport Layer Security

TMĐT Thương mại điện tử

TTĐT Thanh toán điện tử

DANH MỤC HÌNH VẼ

Hình 1.1: Các lớp bảo vệ thông tin 25

Hình 1.2 : Một hệ thống mạng riêng ảo 291 Hình 2.1 : Mạng cục bộ LAN 33

Hình 2.2 : Các topology mạng cục bộ 34

Hình 2.3: Mạng diện rộng (WAN) 35

Hình 2.4 : Kiến trúc mạng Internet 36

Hình 2.5: Bức tường lửa 41

Hình 2.6 : Máy phục vụ uỷ quyền (Proxy server) 42

Hình 2.7 : Mô hình VPN truy nhập từ xa 44

Hình 2.8 : Mô hình VPN cục bộ 45

Hình 2.9: Mô hình VPN mở rộng 46

Hình 2.10: Vị trí SSL trong mô hình OSI 52

Hình 2.11: Hệ mã hóa khóa đối xứng 63

Hình 2.12: Hệ mã hóa khóa công khai 64

Hình 2.13: Chữ ký số 65

Hình 2.14: Mô hình quá trình ký có sử dụng hàm băm 67

Hình 2.15: Quá trình kiểm thử 67

Hình 2.16: Mô hình ký của loại chữ ký khôi phục thông điệp 67

Hình 2.17: Sơ đồ chữ ký một lần của Schnorr 70

H ình 2.18: Sơ đồ chữ ký mù 73

Hình 2.19: Sơ đồ chữ ký mù dựa trên chữ ký RSA 74

Hình 2.20: Các đối tượng và hoạt động cơ bản trong hệ thống PKI 83

Hình 2.21: Kiến trúc CA phân cấp 87

Hình 2.22: Kiến trúc CA mạng lưới 89

Hình 2.23: Kiến trúc CA danh sách tin cậy 91

Hình 3.1: Các điểm tiếp xúc theo chuẩn ISO 7816-2 98

Hình 3.2: Cấu trúc file trong thẻ thông minh 100

Hình 3.3: Cấu trúc file EF 102

Hình 3.4: Cấu trúc của APDU phản hồi 106

Hình 3.5: Mã trả về của SW1, SW2 106

Hình 3.6: Mã hoá bit trực tiếp 107

Hình 3.7: Đảo bit 107

Hình 3.8: Lệnh ghi dữ liệu vào thẻ 108

Hình 3.9: Lệnh đọc dữ liệu từ thẻ 108

Hình 3.10: Cấu trúc của một khối truyền 109

Hình 3.11: Thẻ thông minh xác thực thực thể ngoài 110

Hình 3.12: Thực thể ngoài xác thực thẻ thông minh 111

Hình 3.13: Luồng giao dịch trên ATM 112

Hình 3.14: Quy trình cấp phép 117

Hình 3.15: Quy trình giao dịch thẻ tín dụng 118

Hình 3.16: Mô hình giao dịch của hệ thống tiền điện tử cùng ngân hàng 124

Hình 3.17: Mô hình giao dịch của hệ thống tiền điện tử liên ngân hàng 126

MỞ ĐẦU

Trong những thập kỷ gần đây, sự phát triển mạnh mẽ của Internet đã và đang làm thay đổi một cách căn bản cách thức hoạt động của nhiều lĩnh vực kinh tế - xã hội, trong đó có hoạt động thương mại Khâu quan trọng nhất trong hoạt động TMĐT là

“thanh toán”, bởi vì mục tiêu cuối cùng của cuộc trao đổi thương mại là người mua nhận được những cái gì cần mua và người bán nhận được số tiền thanh toán

Vấn đề an toàn thông tin (ATTT) trong các giao dịch luôn là một yêu cầu cần phải có đối với mọi hoạt động thương mại, đặc biệt là hoạt động thương mại điện tử vì các quy trình giao dịch được thực hiện qua Internet - một môi trường truyền thông công cộng Các thành tựu của ngành mật mã, đặc biệt là lý thuyết mật mã khoá công khai đã cung cấp các giải pháp ATTT cho các hoạt động thương mại, tạo cơ sở cho việc xây dựng các hệ thống thanh toán điện tử

Cơ sở hạ tầng mã khoá công khai (PKI - Public Key Infrastructure) cùng các tiêu chuẩn và công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc lập để giải quyết vấn đề ATTT PKI bản chất là một hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các chứng chỉ khóa công khai (Public Key Certificate) cũng như các khoá công khai

và khóa bí mật (khóa riêng)

Hiện nay ở Việt Nam, việc nghiên cứu, ứng dụng và triển khai PKI nói chung và dịch vụ cung cấp chứng chỉ số nói riêng là vấn đề còn mang tính thời sự Bằng việc sử dụng chứng chỉ và chữ ký số, những ứng dụng cho phép PKI đưa ra nhiều đặc tính đảm bảo an toàn thông tin cho người sử dụng đặc biệt là trong các giao dịch điện tử Mỗi mô hình thanh toán điện tử đại diện cho một phương thức thanh toán điện tử khác nhau như thanh toán bằng tiền mặt, bằng séc, bằng các loại thẻ…Mỗi phương thức thanh toán điện tử có các giao thức được xây dựng dựa trên nền tảng lý thuyết mật mã, đảm bảo cho các giao dịch thanh toán thực hiện an toàn và theo đúng quy trình Vì vậy, mỗi phương thức thanh toán đều phải có các giao thức rõ ràng, đảm bảo

an toàn cho việc giao dịch thông tin giữa các bên tham gia

Luận văn thực hiện với mục đích nghiên cứu về hạ tầng cơ sở đảm bảo an toàn thông tin, hạ tầng mật mã khóa công khai PKI (Các thành phần kỹ thuật của PKI, các đối tượng và các hoạt động trong hệ thống PKI .), và một số công cụ dùng trong thanh toán điện tử (thẻ thanh toán, giải pháp và công nghệ sử dụng tiền điện tử)

Nội dung chính của Luận văn gồm có:

Chương 1: Các khái niệm cơ bản

Trong chương này sẽ trình bày một số khái niệm toán học, tổng quan về an toàn thông tin, một số vấn đề rủi ro mất an toàn thông tin, các chiến lược đảm bảo an toàn thông tin và tổng quan về thanh toán điện tử trong thương mại điện tử

Chương 2: Hạ tầng cơ sở đảm bảo an toàn thông tin

Trong chương này trình bày tổng quan về hạ tầng mạng, hạ tầng đảm bảo an toàn thông tin, các giao thức đảm bảo an toàn truyền tin và hạ tầng mã hoá khóa công khai (PKI) (các thành phần kỹ thuật, các đối tượng, các hoạt động cơ bản, công nghệ và giao thức của PKI)

Chương 3: Một số tiện ích dùng trong thanh toán điện tử

Trong chương này giới thiệu một số tiện ích dùng trong thanh toán điện tử: Thẻ thanh toán (thẻ thông minh, thẻ tín dụng .), và một số hệ thống thanh toán bằng tiền điện tử

CHƯƠNG 1 MỘT SỐ KHÁI NIỆM CƠ BẢN

1.1 CÁC KHÁI NIỆM TRONG TOÁN HỌC

1.1.1 Số nguyên tố và nguyên tố cùng nhau

Số nguyên tố là số nguyên dương chỉ chia hết cho 1 và chính nó

Ví dụ: 2, 3, 5,…

Các hệ mật mã thường dùng các số nguyên tố cỡ 512 bit hoặc lớn hơn

Hai số nguyên dương m và n được gọi là nguyên tố cùng nhau, nếu ước số chung

lớn nhất của chúng bằng 1, ký hiệu gcd(m, n) = 1

Ví dụ: 8 và 17 là hai số nguyên tố cùng nhau

1.1.2 Đồng dư thức

1) Định nghĩa

Cho a và b là các số nguyên, khi đó a được gọi là đồng dư với b theo modulo n,

ký hiệu là ab mod n nếu a, b chia cho n có cùng số dư Số nguyên n được gọi là modulo của đồng dư

Ví dụ: 5  7 mod 2 vì: 5 mod 2 = 1 và 7 mod 2 = 1

2) Tính chất

Cho a, a1, b, b1, cZ Ta có các tính chất sau:

+ ab mod n nếu và chỉ nếu a và b có cùng số dư khi chia cho n

+ Tính phản xạ: aa mod n

+ Tính đối xứng: Nếu ab mod n thì ba mod n

+ Tính giao hoán: Nếu ab mod n và bc mod n thì ac mod n

+ Nếu aa1 mod n, bb1 mod n thì a+ba1+b1 mod n và aba1b1 mod n

dư nhỏ nhất của a theo modulo n Cũng vì vậy, a và r cùng thuộc một lớp tương đương Do đó r có thể đơn giản được sử dụng để thể hiện lớp tương đương [1]

1.1.3 Không gian Zn và Zn *

Không gian các số nguyên theo modulo n: Z n là tập hợp các số nguyên không âm

nhỏ hơn n Tức là: Z n = {0, 1, 2,… n-1} Tất cả các phép toán trong Z n đều được thực

hiện theo modulo n

Ví dụ: 4-1 = 7(mod 9) vì 4*7  1(mod 9)

1.1.5 Khái niệm nhóm, nhóm con, nhóm Cyclic

Ví dụ: {3, 5} là bộ phần tử sinh của Z7*, bởi vì:

1 = 36 mod 7 = 56 mod 7 2 = 32 mod 7 = 54 mod 7

3 = 31 mod 7 = 55 mod 7 4 = 34 mod 7 = 52 mod 7

5 = 35 mod 7 = 51 mod 7 6 = 33 mod 7 = 53 mod 7

2 không phải là phần tử sinh của Z7*, bởi vì:

{2, 22, 23, 24, 25, 26} = {1, 4, 1, 2, 4, 1}  {1, 2, 4}

Tuy nhiên {1, 2, 4} là tập con của {1, 2, 3, 4, 5, 6} = Z7*, dó đó số 2 được gọi là

“phần tử sinh của nhóm G(3)”, G(3) là nhóm có 3 thành phần {1, 2, 4}

1.1.7 Bài toán đại diện

Gọi g là phần tử sinh của nhóm con G(q) thuộc Zn* Bài toán logarit rời rạc liên quan đến việc tìm số mũ a, sao cho:

a = loggh mod n (với h  G (q))

{2, 3} là 2 phần tử sinh của nhóm con G (11) trong Z23*

Bài toán đại diện là với h = 13  G (11), tìm {a1, a2} sao cho:

Một hàm một phía là hàm mà dễ dàng tính toán ra quan hệ một chiều, nhưng rất

khó để tính ngược lại Ví như biết x thì có thể dễ dàng tính ra f(x), nhưng nếu biết f(x) thì rất khó tính ra được x Trong trường hợp này “khó” có nghĩa là để tính ra được kết

quả thì phải mất rất nhiều thời gian để tính toán

Ví dụ:

Tính y = f(x) = α x mod p là dễ nhưng tính ngược lại x = log α y là bài toán “khó”

(bài toán logarit rời rạc)

2) Hàm một phía có cửa sập

F(x) được gọi là hàm một phía có cửa sập nếu tính xuôi y = f(x) thì dễ, nhưng

tính ngược x = f -1 (y) thì khó, tuy nhiên nếu có “cửa sập” thì vấn đề tính ngược trở nên

dễ dàng Cửa sập ở đây là một điều kiện nào đó giúp chúng ta dễ dàng tính ngược [1]

Ví dụ:

y = f(x) =x b mod n tính xuôi thì dễ nhưng tính ngược x= y a mod n thì khó, vì phải

biết a với a * b 1 (mod((n)) trong đó (n) = (p-1)(q-1)) Nhưng nếu biết cửa sập

p, q thì ta tính (n) sau đó tính a trở nên dễ dàng

1.1.9 Độ phức tạp tính toán

Độ phức tạp tính toán (về không gian hay thời gian) của một tiến trình tính toán

là số ô nhớ được dùng hay số các phép toán sơ cấp được thực hiện trong tiến trình tính toán đó Dữ liệu đầu vào đối với một thuật toán thường được biểu diễn qua các từ trong một bảng ký tự nào đó Độ dài của một từ là số ký tự trong từ đó

Cho thuật toán A trên bảng ký tự Z ( tức là có các đầu vào là các từ trong Z) Độ phức tạp tính toán của thuật toán A được hiểu như một hàm số f a (n) sao cho với mỗi số

n thì f a (n) là số ô nhớ, hay số phép toán sơ cấp tối đa mà A cần để thực hiện tiến trình tính toán của mình trên các dữ liệu vào có độ dài nhỏ hơn hoặc bằng n Ta nói: thuật toán A có độ phức tạp thời gian đa thức, nếu có một đa thức p(n) sao cho với mọi n đủ lớn ta có: f a (n)  p(n), trong đó f a (n) là độ phức tạp tính toán theo thời gian của A Bài toán P được gọi là “giải được” nếu tồn tại thuật toán để giải nó, tức là thuật toán làm việc có kết thúc trên mọi dữ liệu đầu vào của bài toán Bài toán P được gọi là

“giải được trong thời gian đa thức” nếu có thuật toán giải nó với độ phức tạp thời gian

đa thức [1]

1.2 TỔNG QUAN VỀ AN TOÀN THÔNG TIN

1.2.1 Tại sao phải đảm bảo an toàn thông tin

Ngày nay, với sự phát triển mạnh mẽ của công nghệ thông tin thì việc ứng dụng các công nghệ mạng máy tính trở nên vô cùng phổ cập và cần thiết

Công nghệ mạng máy tính đã mang lại những lợi ích to lớn Sự xuất hiện mạng Internet cho phép mọi người có thể truy cập, chia sẻ và khai thác thông tin một cách dễ dàng và hiệu quả Việc ứng dụng các mạng cục bộ trong các tổ chức, công ty hay trong quốc gia là rất phong phú Các hệ thống chuyển tiền của các ngân hàng hàng ngày có thể chuyển hàng tỷ đôla qua hệ thống của mình Các thông tin về kinh tế, chính trị, khoa học xã hội được trao đổi rộng rãi Nhất là trong quân sự và kinh tế, bí mật là yếu

tố vô cùng quan trọng, do vậy các thông tin về quân sự và kinh tế được xem như là các thông tin tuyệt mật và cần được bảo vệ cẩn thận Đó cũng là một quá trình tiến triển hợp logic, một yêu cầu thực tế tất yếu đặt ra cần phải được giải quyết Những thông tin này khi bị lộ có thể làm thay đổi cục diện của một cuộc chiến tranh hay làm phá sản nhiều công ty và làm xáo động thị trường

Internet không chỉ cho phép truy cập vào nhiều nơi trên thế giới mà còn cho phép nhiều người không mời mà tự ghé thăm máy tính của chúng ta Internet có những kỹ thuật tuyệt vời cho phép mọi người truy nhập, khai thác, chia sẻ thông tin Nhưng nó cũng là nguy cơ chính dẫn đến thông tin bị hư hỏng hoặc bị phá hủy hoàn toàn, là đối tượng cho nhiều người tấn công với các mục đích khác nhau Đôi khi cũng chỉ đơn giản là thử tài hay đùa bỡn với người khác Nguy hiểm hơn là các thông tin quan trọng

có liên quan đến an ninh của một quốc gia, bí mật kinh doanh của một tổ chức kinh tế hay các thông tin về tài chính, lại thường là mục tiêu nhằm vào của các tổ chức tình báo nước ngoài hoặc của kẻ cắp nói chung Thử tưởng tượng nếu có kẻ xâm nhập được vào hệ thống chuyển tiền của các ngân hàng, thì ngân hàng đó sẽ chịu những thiệt hại

to lớn như mất tiền và có thể dẫn tới phá sản Đó là chưa tính đến mức độ nguy hại, một hậu quả không thể lường trước được khi hệ thống an ninh quốc gia bị đe dọa

Để hình dung được mức độ nguy hại mà kẻ tấn công gây ra như thế nào, chúng ta thử tìm hiểu những con số mà đội cấp cứu máy tính CERT (Computer Emegency Response Team) đã cung cấp cho chúng ta như sau: số lượng các vụ tấn công trên Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, và 2241 vào năm 1994 [1]

Các vụ tấn công này có quy mô khổng lồ, có tới 100.000 máy tính có mặt trên Internet, của các công ty lớn như AT&T, IBM; của các trường đại học, các cơ quan nhà nước, các tổ chức quân sự, nhà băng,… bị tấn công Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương pháp tấn công cũng liên tục được hoàn thiện Như vậy, khi phải đối mặt với những khó khăn đó chúng ta phải giải quyết ra làm sao?

Chính vì vậy vấn đề an toàn thông tin trở thành yêu cầu chung của mọi hoạt động kinh tế xã hội và giao tiếp của con người, và là vấn đề cấp bách cần được cọi trọng và quan tâm đặc biệt

1.2.2 Một số vấn đề rủi ro mất an toàn thông tin

1.2.2.1 Xâm phạm tính bí mật

Các hệ thống TMĐT lưu giữ dữ liệu của người dùng và lấy lại các thông tin về sản phẩm từ các CSDL kết nối với máy chủ Web Ngoài các thông tin về sản phẩm, các CSDL có thể chứa các thông tin có giá trị và mang tính riêng tư

Khi giao dịch qua internet, thông tin giao dịch được truyền đi trên mạng, những thông tin này rất có thể bị nghe nén, hay bị dò rỉ, bị đánh cắp trên đường truyền làm lộ tính bí mật của cuộc giao dịch Trong một cuộc giao dịch điện tử nói việc đảm bảo tính

bí mật luôn phải đặt lên hàng đầu.Bằng không, doanh nghiệp có thể gặp những nguy

cơ như nghe trộm, giả mạo, mạo danh hay chối cãi nguồn gốc

Khi những thông tin nhạy cảm như thông tin cá nhân, thông tin thẻ tín dụng, thông tin giao dịch… bị lấy cắp trên đường truyền gây ra những thiệt hại không nhỏ

với cả hai bên giao dịch Một phần mềm đặc biệt, được gọi là trình đánh hơi (sniffer)

đưa ra cách móc nối vào Internet và ghi lại thông tin qua các máy tính đặc biệt (thiết bị định tuyến - router) trên đường đi từ nguồn tới đích Chương trình sniffer gần giống với việc móc nối vào đường dây điện thoại để nghe thông tin cuộc đàm thoại Chương trình sniffer có thể đọc thông báo thư tín điện tử cũng như các thông tin TMĐT

Tình trạng lấy cắp số thẻ tín dụng là một vấn đề quá rõ ràng, nhưng các thông tin thỏa thuận hợp đồng, hoặc các trang dữ liệu được phát hành gửi đi cho các chi nhánh của hãng có thể bị chặn xem một cách dễ dàng Thông thường các thông tin bí mật của hãng, các thông tin trong cuộc giao kết hợp đồng còn có giá trị hơn nhiều so với một

số thẻ tín dụng, các thông tin bị lấy cắp của hãng có thể trị giá đến hàng triệu đô la

Phá hoại điều khiển (Cyber vandalism) là một ví dụ về xâm phạm tính toàn vẹn Cyber vandalism phá (xóa bỏ để không đọc được) một trang web đang tồn tại Cyber Vandalism xảy ra bất cứ khi nào, khi các cá nhân thay đổi định kỳ nội dung trang web của họ

Tấn công toàn vẹn chính và việc sửa đổi một yêu cầu và gửi nó tới máy chủ của một công ty thực Máy chủ thương mại không biết được tấn công này, nó chỉ kiểm tra

số thẻ tin dụng của khách hàng và tiếp tục thực hiện yêu cầu

1.2.2.4 Giả mạo nguồn gốc giao dịch

Giao dịch trên mạng là loại hình giao dịch không biên giới, có tính chất toàn cầu Các bên giao dịch không gặp nhau, thậm chí không hề quen biết nhau, và đây cũng chính là cơ hội để cho kẻ xấu lợi dụng để thực hiện mục đích của mình Vì vậy, việc kiểm tra tính đúng đắn của thông tin trong giao dịch cần phải được thực hiện thường xuyên để phòng tránh những rủi ro như thông tin gây nhiễu, giả mạo hay lừa đảo Mặc dù đã dùng những biện pháp kỹ thuật để bảo mật thông tin trong giao dịch, song khi nhận được các thông tin người dùng vẫn phải kiểm tra tính đúng đắn, xác thực của thông tin

1.2.2.5 Chối bỏ giao dịch

Chối bỏ giao dịch được được định nghĩa là sự không thừa nhận của một trong các thực thể tham gia truyền thông, anh ta không tham gia tất cả hoặc một phần cuộc truyền thông … Khác với giao dịch thông thường khi đối tác hai bên biết mặt nhau, thì trong giao dịch điện tử được thực hiện trong môi trường Internet … Các bên tham gia giao dịch điện tử ở cách xa nhau về địa lý, thậm chí họ có thể không biết mặt nhau thì vấn đề chối bỏ giao dịch có thể xảy ra rất cao và luật pháp cho chúng chưa nhiều, gây

ra những thiệt hại to lớn cho bên tham giao dịch

1.2.2.6 Các hiểm họa đối với hệ thống giao dịch

1) Hiểm họa với máy chủ

Máy chủ là liên kết thứ 3 trong bộ ba máy khách Internet máy chủ (Client Internet-Server), bao gồm đường dẫn TMĐT giữa một người dùng và một máy chủ thương mại Máy chủ có những điểm yếu dễ bị tấn công và một đối tượng nào đó có thể lợi dụng những điểm yếu này để phá huỷ, hoặc thu được các thông tin một cách trái phép Hiểm hoạ đối với máy chủ bao gồm máy chủ Web, máy chủ CSDL và các phần mềm của chúng, các chương trình phụ trợ bất kỳ có chứa dữ liệu, các chương trình tiện ích được cài đặt trong máy chủ

-Hiểm họa với máy chủ CSDL:

Các hệ thống TMĐT lưu giữ dữ liệu của người dùng và lấy lại các thông tin về sản phẩm từ các CSDL kết nối với máy chủ Web Ngoài các thông tin về sản phẩm, các CSDL có thể chứa các thông tin có giá trị và mang tính riêng tư Tính bí mật luôn sẵn sàng trong các CSDL, thông qua các đặc quyền được thiết lập trong CSDL

Tuy nhiên, một số CSDL lưu giữ mật khẩu/tên người dùng một cách không an toàn, hoặc dựa vào máy chủ Web để có an toàn Khi an toàn bị vi phạm, CSDL bị dùng bất hợp pháp, làm lộ hoặc tải về các thông tin mang tính cá nhân và quý giá Các chương trình con ngựa thành Tơroa nằm ẩn trong hệ thống CSDL cũng có thể làm lộ các thông tin bằng việc giáng cấp các thông tin này (có nghĩa là chuyển các thông tin nhạy cảm sang một vùng ít được bảo vệ của CSDL, do đó bất cứ ai cũng có thể xem xét các thông tin này) Khi các thông tin bị giáng cấp, tất cả những người dùng, không ngoại trừ những đối tượng xâm nhập trái phép cũng có thể truy nhập

Hiểm họa với máy chủ web:

Các máy chủ Web được thiết lập chạy ở các mức đặc quyền khác nhau Mức thẩm quyền cao nhất có độ mềm dẻo cao nhất, cho phép các chương trình thực hiện tất

cả các chỉ lệnh của máy và không giới hạn truy nhập vào tất cả các phần của hệ thống, không ngoại trừ các vùng nhạy cảm và phải có thẩm quyền Việc thiết lập một máy chủ Web chạy ở mức thẩm quyền cao có thể gây hiểm hoạ về an toàn đối với máy chủ Web Trong hầu hết thời gian, máy chủ Web cung cấp các dịch vụ thông thường và thực hiện các nhiệm vụ với một mức thẩm quyền rất thấp Nếu một máy chủ Web chạy

ở mức thẩm quyền cao, một đối tượng xấu có thể lợi dụng một máy chủ Web để thực hiện các lệnh trong chế độ thẩm quyền

Một trong các file nhạy cảm nhất trên máy chủ Web chứa mật khẩu và tên người dùng của máy chủ Web Nếu file này bị tổn thương, bất kỳ ai cũng có thể thâm nhập vào các vùng thẩm quyền, bằng cách giả mạo một người nào đó Do đó, có thể giả danh để lấy được các mật khẩu và tên người dùng nên các thông tin liên quan đến người dùng không còn bí mật nữa

2) Hiểm họa với máy khách

Cho đến khi được biểu diễn trên web, các trang web chủ yếu được biểu diễn dưới trạng thái tĩnh Thông qua ngôn ngữ biểu diễn siêu văn bản HTML, các trang tĩnh cũng

ở dạng động một phần chứ không đơn thuần chỉ hiển thị nội dung và cung cấp liên kết các trang web với thông tin bổ sung Việc dùng những nội dung động (active content) mang lại sự sống động cho web tĩnh nhưng đã gây ra một số rủi ro cho trong TMĐT Gây ra những hiểm họa với máy khách Active content được dùng trong TMĐT để đặt các khoản mục mà chúng ta muốn mua trong giỏ mua hàng và tính toán tổng số hóa đơn, bao gồm thuế bán hàng, các chi phí vận chuyển và chi phí xử lý

Các nhà phát triển nắm lấy active content vì nó tận dụng tối đa chức năng của HTML và bổ sung thêm sự sống cho các trang web, làm cho trang web có tương tác với người dùng cao hơn Nó cũng giảm bớt gánh nặng cho các máy chủ khi phải xử lý nhiều dữ liệu Gánh nặng này được chuyển bớt sang cho máy khách nhàn dỗi của người dùng

Active content cho các trang Web khả năng thực hiện các hoạt động trong suốt hoàn toàn đối với bất kỳ người nào xem duyệt trang Web chứa chúng Bất kỳ ai cố tình gây hại cho một máy khách đều có thể nhúng một active content gây hại vào các trang Web Kỹ thuật lan truyền này được gọi là con ngựa thành Tơroa

Các cookie được dùng để nhớ các thông tin yêu cầu của khách hàng, hoặc tên người dùng và mật khẩu Nhiều active content gây hại có thể lan truyền thông qua các cookie, chúng có thể phát hiện được nội dung của các file phía máy khách, hoặc thậm chí có thể huỷ bỏ các file được lưu giữ trong các máy khách Trên máy tính cá nhân có lưu một số lượng lớn các cookie giống như trên Internet và một số các cookie có thể chứa các thông tin nhạy cảm và mang tính chất cá nhân

Như vậy, các hiểm hoạ đối với máy khách khi khai thác thông tin qua Internet là lớn và rất khó nhận diện

3) Các hiểm họa đối với kênh truyền thông

Internet đóng vai trò kết nối một khách hàng với một tài nguyên TMĐT (máy tính dịch vụ thương mại) Chúng ta đã xem xét các hiểm hoạ đối với các máy khách, máy chủ, các tài nguyên tiếp theo chính là kênh truyền thông, các kênh này được dùng

để kết nối các máy khách và máy chủ

Các thông báo trên Internet được gửi đi theo một đường dẫn ngẫu nhiên, từ nút nguồn tới nút đích Các thông báo đi qua một số máy tính trung gian trên mạng trước khi tới đích cuối cùng và mỗi lần đi chúng có thể đi theo những tuyến đường khác nhau Không có gì đảm bảo rằng tất cả các máy tính mà thông báo đi qua trên Internet đều an toàn Những đối tượng trung gian có thể đọc các thông báo, sửa đổi, hoặc thậm chí có thể loại bỏ hoàn toàn các thông báo của chúng ta ra khỏi Internet Do vậy, các thông báo được gửi đi trên mạng là đối tượng có khả năng bị xâm phạm đến tính bí mật, tính toàn vẹn và tính sẵn sàng [3]

1.2.3 Chiến lược đảm bảo an toàn thông tin

Giới hạn quyền: Đây là nguyên tắc cơ bản trong an toàn nói chung Đối với mỗi người dùng hệ thống chỉ được truy nhập vào một số tài nguyên hệ thống nhất định, đủ

để dùng cho công việc của mình Phòng thủ theo chiều sâu: phân ra thành nhiểu lớp bảo vệ Dưới đây là hình vẽ tượng trưng cho lớp bảo vệ đó

Hình 1.1: Các lớp bảo vệ thông tin

Thông tin nằm ở tầng trong cùng, trên nó là sự giới hạn quyền truy nhập, tiếp theo là giới hạn đăng nhập và mật khẩu, tiếp theo là mã hóa thông tin, tiếp theo là bảo

vệ vât lý (khóa cửa phòng máy tính, khóa bàn phím, ổ ghi…), ngoài cùng là tường lửa

Các phương pháp bảo đảm an toàn thông tin:

1) Kiểm soát truy nhập thông tin Bao gồm:

+ Kiểm soát, ngăn chặn các thông tin vào ra hệ thống máy tính

+ Kiểm soát, cấp quyền sử dụng các thông tin trong hệ thống máy tính

+ Kiểm soát, tìm diệt Vius vào ra hệ thống máy tính

Công cụ, kỹ thuật sử dụng để kiểm soát truy nhập là: Mật khẩu, tường lửa, mạng riêng

ảo, nhận dạng, xác thực thực thể, cấp quyền hạn

2) Bảo mật thông tin

Nhằm đảm bảo thông tin không bị lộ đối với người không được phép

Công cụ, kỹ thuật sử dụng để bảo mật thông tin là: Mã hóa ( Thay đổi hình dạng dữ liệu gốc, người khác khó nhận ra), giấu tin (cất giấu dữ liệu này trong môi trường dữ liệu khác)

3) Bảo toàn thông tin

Nhằm ngăn chặn, hạn chế việc bổ sung, loại bỏ và sửa dữ liệu không được phép Công cụ, kỹ thuật sử dụng để bảo toàn thông tin là: Mã hóa, giấu tin, hàm băm, ký số, thủy ký

Thông tin Mã hóa

dữ liệu

Bảo vệ bằng phương pháp vật lí

Password đăng nhập

Quyền truy nhập

4) Xác thực nguồn gốc thông tin

Nhằm xác thực đúng thực thể cần kết nối, giao dịch, nguồn gốc của thông tin Công cụ, kỹ thuật sử dụng để xác thực nguồn gốc thông tin là: Chữ ký số, giao thức xác thực thông tin

5) Phương pháp chống chối cãi

Nhằm xác thực đúng thực thể có trách nhiệm về nội dung thông tin

Công cụ, kỹ thuật sử dụng để xác thực thực thể, chống chối cãi là: Chữ ký số, giao thức xác thực thông tin, truy tìm dấu vết

6) Kiểm soát và xử lý các « lỗ hổng » an ninh

Phát hiện và xử lý các « lỗ hổng » trong các thuật toán, các giao thức mật mã giấu tin, trong các giao thức mạng, hệ điều hành mạng và trong các ứng dụng [1]

1.3 TỔNG QUAN VỀ THANH TOÁN ĐIỆN TỬ

1.3.1 Khái niệm Thương mại điện tử

Ngày nay, Khi Internet phát triển mạnh mẽ và ngày càng trở nên phổ cập, thì khái niệm TMĐT (E- commerce) không còn xa lạ với dân cư mạng nói riêng, và toàn

xã hội nói chung Đó là quá trình mua bán hàng hóa hay dịch vụ thông qua việc truyền

dữ liệu giữa các máy tính trong chính sách phân phối tiếp thị thông qua mạng internet Bao gồm tất cả các loại giao dịch thương mại trong đó tất cả các đối tác thương mại dùng kỹ thuật công nghệ thông tin

1.3.2 Vấn đề thanh toán điện tử

Thanh toán là một trong những vấn đề phức tạp nhất của hoạt động thương mại điện tử (TMĐT) Hoạt động TMĐT chỉ phát huy được tính ưu việt của nó khi áp dụng được hình thức thanh toán từ xa - thanh toán điện tử

Thanh toán điện tử (electronic payment) là việc thanh toán tiền thông qua các

thông điệp điện tử (electronic message) thay cho việc thanh toán bằng séc hay tiền mặt Bản chất của mô hình thanh toán điện tử cũng là mô phỏng lại những mô hình mua bán truyền thống, nhưng từ các thủ tục giao dịch, thao tác xử lý dữ liệu rồi thực hiện chuyển khoản, tất cả đều thực hiện thông qua hệ thống máy tính được nối mạng bằng các giao thức riêng chuyên dụng [7],[8]

Về mặt mô hình, một phương thức thanh toán nói chung là một mô tả hoạt động của một hệ thống xử lý phân tán có nhiều bên tham gia, trong đó có hai bên cơ bản là bên mua (người trả tiền) và bên bán (người được trả tiền) Các bên được đại diện bởi các máy tính của mình nối với nhau qua mạng máy tính, sử dụng chúng để thực hiện các giao thức thanh toán

Hệ thống có thể có các tổ chức tài chính (ví dụ các ngân hàng) đại diên cho mỗi bên Trong một số hệ thống thanh toán lại sử dụng một thực thể khác đóng vai trò là người môi giới, đảm nhiệm việc phát hành những hình thức của tiền hoặc một vật thể

nào đó mang giá trị trao đổi thanh toán thường được gọi là đồng tiền số (digital coin) hoặc séc điện tử (electronic cheque) và đổi lại thành tiền mặt

Đặc trưng của mô hình thanh toán điện tử là các bên tham gia sẽ trao đổi với nhau các chứng từ được số hoá (thành những chuỗi bit máy tính có thể dùng được) Bản chất là bên được thanh toán có thể thông qua ngân hàng của mình (tất nhiên là phải liên hệ với ngân hàng của bên thanh toán) để chuyển tiền vào tài khoản của mình Các quá trình này sẽ được phản ánh trong các giao thức thanh toán của mỗi hệ thống

Có 2 mô hình thanh toán được sử dụng trong thanh toán điện tử là:

Mô hình trả sau:

Trong mô hình này, thời điểm tiền mặt được rút ra khỏi tài khoản bên mua để chuyển sang bên bán, xảy ra ngay (pay-now) hoặc sau (pay-later) giao dịch mua bán Hoạt động của hệ thống dựa trên nguyên tắc tín dụng (credit credential) Nó còn được

gọi là mô hình mô phỏng Séc (Cheque-like model)

Mô hình trả trước:

Trong mô hình này, khách hàng liên hệ với ngân hàng (hay công ty môi giới – broker) để có được chứng từ do ngân hàng phát hành Chứng từ hay đồng tiền số này mang dấu ấn của ngân hàng, được đảm bảo bởi ngân hàng và do đó có thể dùng ở bất

cứ nơi nào đã có xác lập hệ thống thanh toán với ngân hàng này

Vì nó có thể sử dụng giống như tiền mặt, do đó mô hình này còn được gọi là mô hình mô phỏng tiền mặt (Cash-like model)

Có 2 hình thức thanh toán trong thanh toán điện tử là :

Thanh toán ngoại tuyến (off-line payment)

Phiên giao dịch giữa người sử dụng và nhà cung cấp có thể diễn ra, mà không cần đến sự tham gia của ngân hàng Nói cách khác, nhà cung cấp tự kiểm tra tính hợp

lệ của đồng tiền, mà không cần sự trợ giúp của bên thứ ba

Thanh toán trực tuyến (online payment)

Trong mỗi lần giao dịch, nhà cung cấp sẽ yêu cầu ngân hàng kiểm tra tính hợp lệ của đồng tiền do người dùng chuyển trước khi chấp nhận thanh toán Vì vậy, hệ thống thanh toán trực tuyến có khả năng kiểm tra được tính tin cậy của đồng tiền

Thanh toán trực tuyến thích hợp với những giao dịch có giá trị lớn Với hệ thống này, quá trình thanh toán và gửi tiền vào ngân hàng tách biệt nhau trong mỗi lần giao dịch Do vậy, chi phí về thời gian cũng như tiền bạc sẽ tốn kém hơn [3], [7], [8]

1.4 CÔNG CỤ CNTT DÙNG TRONG THANH TOÁN ĐIỆN TỬ 1.4.1 Hạ tầng cơ sở bảo đảm an toàn thông tin

1.4.1.1 Tường lửa

Tường lửa được dùng như một hàng rào giữa một mạng (cần được bảo vệ) và internet hoặc mạng khác (có khả năng gây ra mối đe dọa) Mạng và các máy tính cần được bảo vệ nằm bên trong bức tường lửa, các mạng khác nằm ở bên ngoài Các bức tường lửa có các đặc điểm sau đây:

Tất cả các luồng thông tin từ trong ra ngoài, từ ngoài vào trong đều phải chịu sự quản lý của nó

Chỉ có các luồng thông tin được phép đi qua nó

Bức tường lửa tự bảo vệ mình

Các bức tường lửa hoạt động ở tầng ứng dụng Chúng cũng có thể hoạt động ở tầng mạng và tầng vận tải Các site của công ty khác nhau phải có một bức tường lửa cho mỗi kết nối ngoài với internet Đảm bảo một phạm vi an toàn không thể phá vỡ Ngoài ra, mỗi bức tường lửa trong công ty phải tuân theo chính sách an toàn

1.4.1.2 Mạng riêng ảo

Mạng riêng ảo VPN (Virtual Private Network) là giải pháp công nghệ cho phép thiết lập mạng dùng riêng trên nền mạng công cộng sẵn có bằng cơ chế mã hóa, tạo ra các “đường hầm ảo” thông suốt và bảo mật

Bảo mật của VPN còn được hỗ trợ bằng công nghệ thẻ thông minh và sinh trắc học Micrsoft đã tích hợp một giao thức khác gọi là EAP-TLS trong Windows, chuyên trách công việc này cho VPN truy cập từ xa

EAP-TLS là chữ viết tắt của Extensible Authentication Protocol - Transport Layer Security (giao thức thẩm định quyền truy cập có thể mở rộng - bảo mật lớp truyền dẫn) Kết nối dựa trên giao thức này đòi hỏi có một chứng nhận người dùng (user certificate) trên cả máy khách và máy chủ IAS của mạng VPN Đây là cơ chế có mức độ an toàn nhất ở cấp độ người dùng

Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như "Văn phòng" tại gia) hoặc người dùng (Nhân viên di động) truy cập đến từ bên ngoài [3]

1.4.1.3 Hạ tầng mật mã hóa công khai

Nhu cầu sử dụng dịch vụ chữ ký số trong đời sống xã hội đang ngày được quan tâm Để có thể triển khai dịch vụ này thì cần phải có một cơ sở hạ tầng mật mã hóa công khai (PKI) hoàn chỉnh, ổn định

Khái niệm PKI đã được thế giới biết đến từ hơn 20 năm nay, hiện đang được coi

là giải pháp tốt nhất trong việc bảo mật, xác thực và toàn vẹn dữ liệu trong các giao dịch điện tử với các ứng dụng trực tuyến như ngân hàng điện tử, thanh toán điện tử, ký

số tài liệu, xác thực đăng nhập…

Hàng triệu người trên khắp thế giới đã truy cập vào các website để thực hiện các tác vụ như thanh toán ngân hàng, mua bán trực tuyến… và PKI được sử dụng để đảm bảo an toàn cho các phiên giao dịch đó

Tại Việt Nam, giao dịch điện tử cũng đã được phát triển mạnh mẽ cả ở khối Nhà nước cũng như khối thương mại – doanh nghiệp, và đi kèm theo đó là nhu cầu cần

có ứng dụng chữ ký số (chữ ký điện tử), nhiều Bộ, ngành đã và đang chuẩn bị triển khai các dịch vụ công trực tuyến bắt buộc phải sử dụng chữ ký số mới đạt yêu cầu dịch

vụ hoàn chỉnh, điển hình như thuế điện tử (e-tax) của Tổng cục Thuế, ngân hàng điện

tử banking) của Ngân hàng Nhà nước, chứng nhận nguồn gốc xuất xứ điện tử certificate of origin) của Bộ Công Thương…

(e-Cơ sở hạ tầng khoá công khai PKI có thể hiểu là một tập hợp các công cụ, phương tiện và các giao thức đảm bảo an toàn truyền tin cho các giao dịch trên mạng máy tính công khai Đó là nền móng mà trên đó các ứng dụng, các hệ thống an toàn bảo mật thông tin được thiết lập [2], [13]

Hình 1.2 : Một hệ thống mạng riêng ảo

1.4.2 Một số tiện ích dùng trong thanh toán điện tử

1.4.2.1 Thanh toán bằng các loại thẻ

1) Thẻ tín dụng

Thanh toán bằng thẻ tín dụng là phương thức được sử dụng rộng rãi nhất hiện nay trên Internet Để thực hiện giao dịch, người mua hàng chỉ việc cung cấp số hiệu thẻ và thời hạn sử dụng của tấm thẻ, người bán sẽ chuyển các thông tin này đến ngân hàng để xác nhận giao dịch Phương thức thanh toán này chủ yếu thực hiện thanh toán theo kiểu trực tuyến

Ưu điểm: Đây là phương thức thanh toán đơn giản và dễ sử dụng

Nhược điểm: Kiểu thanh toán này không an toàn cho cả hai bên mua và bán,

không cho phép ẩn danh, chi phí cao và không cho phép thanh toán nhỏ lẻ

2) Thẻ “tiền mặt”

Thẻ “tiền mặt” được phát triển đáp ứng nhu cầu giảm việc giữ tiền mặt của khách

hàng và mong muốn phương tiện thanh toán thuận tiện và linh hoạt hơn Thẻ “tiền

mặt” được phân loại theo đặc điểm vật lý thành hai loại: thẻ từ và thẻ thông minh

Thẻ từ, đã tồn tại khá lâu, sử dụng các vạch từ để lưu trữ thông tin, trong khi thẻ thông minh sử dụng công nghệ vi mạch để lưu trữ thông tin, khắc phục nhược điểm về tính an toàn của thẻ từ Thẻ thông minh được thiết kế nhằm ngăn chặn tình trạng giả mạo và làm sai lệch các thông tin được lưu giữ

1.4.2.2 Thanh toán bằng séc điện tử

Séc điện tử chính là một hình thức thể hiện của séc giấy Nói cách khác, séc điện

tử bao gồm tất cả các thông tin trên séc giấy truyền thống nhưng có thể chuyển được bằng thư điện tử (e-mail), có khuôn dạng đặc biệt được gửi trên Internet Bên trong bức thư điện tử là tất cả các thông tin giống như trên một tấm séc giấy gồm tên người hưởng, số tiền, ngày thanh toán, số tài khoản người trả tiền và ngân hàng của người trả Séc điện tử được “ký” bằng chữ ký điện tử của người gửi và được mã hoá bằng khoá công khai của người nhận Nó cũng gồm một xác nhận số từ ngân hàng của người gửi xác nhận rằng số tài khoản là hợp lệ và thuộc về người ký tờ séc này

1.4.2.3 Thanh toán bằng tiền điện tử

Đây là phương tiện thanh toán được sử dụng trong thương mại điện tử Tiền điện

tử e-cash (còn gọi là tiền mặt số, xu điện tử…) có các thông tin giống như trên tiền

mặt thông thường: nơi phát hành, giá trị bao nhiêu và số seri duy nhất

Người tiêu dùng có thể mua tiền mặt điện tử và lưu trữ nó trong một ví tiền số (digital wallet hoặc electronic purse) trên một đĩa nhớ Ví tiền số gồm bàn phím và màn hình Nó có thể được kết nối tới tài khoản ngân hàng của người tiêu dùng và có thể nạp thêm tiền bất cứ lúc nào

Người dùng có thể tiêu tiền số tại bất kỳ cửa hàng nào chấp nhận tiền mặt điện

tử, mà không phải mở tài khoản hay chuyển đi số thẻ tín dụng [3],[7],[8]

CHƯƠNG 2 HẠ TẦNG CƠ SỞ BẢO ĐẢM AN TOÀN

THÔNG TIN 2.1 HẠ TẦNG MẠNG MÁY TÍNH

2.1.1 Mạng Lan, Wan, Intranet, Extranet và Internet

2.1.1.1 Mạng cục bộ ( LAN)

Các mạng cục bộ (Local area networks-LANs) nối kết các máy tính và các thiết

bị xử lý thông tin khác trong một khu vực hạn chế, như văn phòng, lớp học, tòa nhà, nhà máy sản xuất, hay nơi làm việc khác LANs đã trở nên thông dụng trong nhiều tổ chức đối với việc cung cấp các khả năng mạng viễn thông nối kết nhiều người dùng trong các văn phòng, bộ phận, và các nhóm làm việc khác

LANs sử dụng nhiều phương tiện viễn thông, như dây điện thoại thông thường, cáp đồng trục, hay thậm chí các hệ thống vô tuyến để nối các trạm máy vi tính và các thiết bị ngoại vi với nhau Để giao tiếp qua mạng, mỗi PC thường có một bo mạch được gọi là một card giao tiếp mạng Phần lớn LANs dùng một máy vi tính mạnh hơn

có dung lượng đĩa cứng lớn, được gọi là file server hay máy chủ mạng, chứa chương trình hệ điều hành mạng kiểm soát viễn thông, cách dùng và chia sẻ tài nguyên mạng

Ví dụ, nó phân phối các bản sao các tập tin dữ liệu thông thường và các bộ phần mềm đến các máy vi tính khác trong mạng và kiểm soát truy cập đến các máy in và các thiết

bị ngoại vi khác đã được chia sẻ

Hình 2.1 : Mạng LAN cho phép chia sẻ tài nguyên phần cứng, phần mềm và dữ liệu

Topo mạng cục bộ

Topo (hay topology) mạng là sơ đồ vật lý của một mạng cục bộ

Mạng LAN đầu tiên sử dụng kiểu kênh/tuyến (Bus) Dây cáp mạnh tạo thành một kênh duy nhất và các máy trạm nối vào đó Để giải quyết tranh chấp, mạng bus sử dụng vài loại kỹ thuật quản lý tranh chấp Kỹ thuật này nhằm loại bỏ dữ liệu bị hỏng

do tranh chấp Mạng có ưu điểm là thiết kế đơn giản nhưng khó kiểm soát và không thể đưa thêm một trạm vào giữa mạng

Kiểu hình sao (Star) giải quyết vấn đề mở rộng mạng bằng cách đưa vào một bộ tập trung là Hub, nhờ đó việc bổ sung thêm người sử dụng khá đơn giản nhưng độ tin cậy thấp vì tất cả máy tính phụ thuộc vào máy chủ trung tâm

Kiểu vòng (Ring) tạo ra cách duy nhất để chống tình trạng tranh chấp, một trạm làm việc chỉ có thể truyền dữ liệu khi sở hữu một thẻ bài, là đơn vị đặc biệt chạy vòng trong mạng này

Hình 2.2 : Các topology mạng cục bộ (vòng, sao, tuyến)

2.1.1.2 Mạng diện rộng- WAN

Các mạng viễn thông bao phủ một phạm vi địa lý rộng lớn được gọi là mạng diện rộng (wide area network-WAN) Các mạng bao phủ một thành phố lớn hay phạm vi thủ đô (metropolitan area network-MAN) cũng có thể được bao gồm trong loại này Các mạng lớn như vậy đã trở nên cần thiết cho việc thực hiện các hoạt động hàng ngày của nhiều tổ chức kinh doanh và chính phủ và những người dùng cuối của nó Ví dụ, WAN được dùng bởi nhiều công ty đa quốc gia để chuyển và nhận thông tin giữa các nhân viên, khách hàng, nhà cung cấp, và các tổ chức khác qua nhiều thành phố, vùng, quốc gia và thế giới Hình minh họa một ví dụ của một mạng diện rộng toàn cầu cho một công ty đa quốc gia lớn

Hình 2.3: Mạng diện rộng (WAN)

2.1.1.3 Mạng Intranet, Extranet

- Intranet : Là mạng cục bộ dành cho các nhân viên bên trong tổ chức

+ Mạng riêng gồm nhiều LAN & WAN

+ Sử dụng các giao thức để liên lạc như : TCP/IP, IPX/SPX

+ Thường có Firewalls nếu có kết nối Internet

- Extranet : Dạng mở rộng của Intranet, cho phép kết nối từ ngoài vào

+ Một kiểu mạng Intranet mở rộng

+ Dành cho giao tiếp với khách hàng, đại lý bên ngoài

2.1.1.4 Mạng Internet

- Internet : kết nối nhiều LAN, tạo khả năng truy cập mở trên toàn cầu

+ Mạng cộng đồng diện rộng, sử dụng giao thức TCP/IP

+ Gồm nhiều Intranet kết nối bằng đường điện thoại, vệ tinh

+ Mỗi máy tính trong mạng có một địa chỉ IP duy nhất

Các mạng xương sống được kiểm soát bởi các Nhà cung cấp dịch vụ mạng (Network Service Providers - NSPs) như MCI, Sprint, UUNET/MIS… Mỗi mạng xương sống xử lý hơn 300 terabytes/tháng Các mạng con đến từ các Nhà cung cấp dịch vụ Internet (Internet Service Provider - ISPs) trao đổi dữ liệu với NSP tại các điểm truy cập mạng (Network Access Points - NAPs) Hình sau đây minh họa các kết nối giữa ISP, NAP và các mạng xương sống

Hình 2.4 : Kiến trúc mạng Internet

Khi người sử dụng gửi một yêu cầu lên Internet từ máy tính của mình, nó sẽ theo mạng ISP, di chuyển qua một hay nhiều mạng xương sống và băng qua mạng ISP khác đến máy tính chứa thông tin quan tâm Câu trả lời cho yêu cầu đó sẽ theo thứ tự lộ trình tương tự Bất kỳ yêu cầu và kết quả trả lời nào cũng đều không theo lộ trình định sẵn Thật vậy, chúng bị tách ra thành các gói và mỗi gói lại theo những lộ trình khác nhau Những lộ trình này được xác định bởi các máy tính đặc biệt gọi là Router Các Router có những bản đồ mạng trên Internet có thể cập nhật được cho phép chúng xác định đường đi cho các gói tin

2.1.2 Một số dịch vụ internet (internet services)

2.1.2.1 World Wide Web – WWW

Đây là dịch vụ thông dụng nhất trên Internet Để sử dụng dịch vụ này, người dùng cần có một trình duyệt web thường được gọi là browser Hai trình duyệt thông dụng nhất hiện nay là Internet Explorer của công ty Microsoft và Netscape Navigator của công ty Netscape

Để truy cập vào một trang web, chúng ta cần phải biết địa chỉ (URL – Uniform Resource Location) của trang web đó Ví dụ: Để truy cập vào trang web của công ty Microsoft, ta gõ vào: http://www.microsoft.com/

Trong mỗi trang web truy cập vào, chúng ta có thể thấy được văn bản, hình ảnh,

âm thanh, … được trang trí và trình bày hết sức đẹp mắt Ngoài ra, để có thể di chuyển tới các trang web khác, chúng ta có thể sử dụng các siêu liên kết (hyperlink) Do con trỏ chuột thường thay đổi hình dạng ngang qua một đối tượng có chứa hyperlink nên đây là cách đơn giản để nhận diện chúng

Sự ra đời của www là một bước ngoặt lớn của mạng Internet, nó tạo cơ hội cho chúng ta truy cập đến một kho thông tin khổng lồ với hàng triệu triệu trang web Điều này mở ra nhiều cơ hội và thách thức lớn cho công việc của chúng ta trong hiện tại và tương lai Dịch vụ này sử dụng giao thức HTTP (Hypertext Transfer Protocol)

2.1.2.2 Thư điện tử – Email

Email (Electronic mail) là dịch vụ trao đổi các thông điệp điện tử bằng mạng viễn thông Các thông điệp này thường được mã hóa dưới dạng văn bản ASCII Tuy nhiên, chúng ta cũng có thể gửi các tập tin hình ảnh, âm thanh cũng như các tập tin chương trình kèm theo email Email là một trong những dịch vụ ban đầu của Internet

và được sử dụng rất rộng rãi Chiếm phần lớn lưu lượng trên mạng Internet là email Giao thức thường dùng để gửi/nhận email là SMTP (Simple Mail Transfer Protocol)/POP3 (Post Office Protocol 3)

Để sử dụng dịch vụ email, chúng ta cần phải có:

Địa chỉ email Một địa chỉ email thường có dạng name@domainname Ví dụ, trong địa chỉ email hpbac@gmail.com, hpbac đóng vai trò là tên hộp thư (name), gmail.com là tên miền (domain name)

Tên đăng nhập và mật khẩu để truy cập vào hộp thư: Điều này đảm bảo rằng chỉ

có chính chúng ta mới có thể đọc và gửi các thư của chính mình

Địa chỉ email được quản lý bởi 1 mail server Tại Việt Nam, các nhà cung cấp dịch vụ email thường là các ISP như VNPT, FPT, SaigonNet, Do đó, tên miền trong các địa chỉ email của chúng ta thường có dạng : hcm.vnn.vn, hcm.fpt.vn, saigonnet.vn,… Tuy nhiên, có rất nhiều website trên Internet cung cấp dịch vụ email miễn phí Thông dụng nhất vẫn là Yahoo, Hotmail, Gmail…

2.1.2.3 Truyền, tải tập tin – FTP

FTP (File Transfer Protocol) là dịch vụ dùng để trao đổi các tập tin giữa các máy tính trên Internet với nhau FTP thường được dùng để truyền (upload) các trang web từ những người thiết kế đến các máy chủ Nó cũng thường được dùng để tải (download) các chương trình và các tập tin từ các máy chủ trên mạng về máy của người sử dụng

2.1.2.4 Tán gẫu – Chat

Dịch vụ tán gẫu cho phép người dùng có thể trao đổi trực tuyến với nhau qua mạng Internet Cách thông dụng nhất là trao đổi bằng văn bản Nếu đường truyền tốt, chúng ta có thể trò chuyện tương tự như nói chuyện điện thoại Nếu máy có gắn webcam, ta còn có thể thấy hình của người đang nói chuyện từ bất kỳ nơi nào trên thế giới Ngoài ra, hiện nay nhiều trang web cũng gắn chức năng diễn đàn trao đổi thảo luận, cho phép người sử dụng tạo ra các phòng chat, và tán gẫu bằng văn bản hoặc giọng nói

2.1.2.5 Làm việc từ xa – Telnet

Dịch vụ telnet cho phép người sử dụng kết nối vào 1 máy tính ở xa và làm việc trên máy đó Nhờ dịch vụ này, người ta có thể ngồi tại máy tính ở nhà và kết nối vào máy ở cơ quan để làm việc như đang ngồi tại cơ quan vậy

Để sử dụng dịch vụ này, cần phải có 1 chương trình máy khách (telnet client program) Và máy chủ để kết nối phải bật dịch vụ Telnet server Chẳng hạn, nếu máy khách sử dụng hệ điều hành windows, chúng ta có thể gọi lệnh Start/ Run và gõ dòng lệnh sau : telnet <tên máy chủ telnet>, và nhập vào user name và password để đăng nhập

2.1.2.6 Nhóm tin tức – Usenet, newsgroup

Dịch vụ usenet hay newsgroup là dịch vụ cho phép người sử dụng tham gia vào các nhóm tin tức, để đọc và tham gia trao đổi, thảo luận theo từng chủ đề với mọi người trên thế giới Chúng ta không phải tốn phí khi gia nhập các nhóm tin tức, có thể viết và gửi bài vào một chủ đề nào đó, để mọi người cùng đọc và thảo luận

Để sử dụng dịch vụ này, cần phải có 1 chương trình máy khách (newsreader) Sử dụng chương trình này chúng ta có thể tìm kiếm các chủ đề quan tâm, tìm đọc các bài trao đổi, cũng như tham gia viết bài và tạo ra các chủ đề mới nếu muốn

2.1.2.7 Dịch vụ danh mục (Directory Services)

Dịch vụ danh mục giúp cho người ta có thể tiếp xúc và sử dụng tài nguyên trên máy chủ ở bất cứ nơi nào trong mạng mà không cần biết vị trí vật lý của chúng Dịch

vụ danh mục rất giống với dịch vụ hỗ trợ danh mục điện thoại cung cấp số điện thoại khi đưa vào tên của một người Với tên duy nhất của một người, máy chủ, hay tài nguyên, dịch vụ danh mục sẽ trả về địa chỉ mạng và thông tin khác gắn liền với tên đó Bình thường thì người ta sử dụng dịch vụ danh mục một cách gián tiếp thông qua giao diện ứng dụng Một ứng dụng có thể tương tác với dịch vụ danh mục thông qua tên tài nguyên mà người sử dụng tạo ra để sau đó tham chiếu đến tài nguyên thông qua tên này

2.1.3 Các nhà cung cấp dịch vụ trên Internet

2.1.3.1 Nhà cung cấp dich vụ ISP (Internet Service Provider)

Là nhà cung cấp các dịch vụ trên Internet, như là : www, ftp, e-mail, chat, newsletter, telnet, netphone… Các dịch vụ này có thể có hoặc không tùy theo nhà cung cấp dịch vụ

Các cá nhân, tổ chức muốn gia nhập vào mạng Internet cần phải đăng ký với một ISP để có tài khoản (account) kết nối Internet và có thể sử dụng được các dịch vụ của nhà cung cấp đó

2.1.3.2 Nhà cung cấp dịch vụ IAP (Internet Access Provider)

Là nhà cung cấp dịch vụ kết nối truy cập Internet Các ISP phải đăng ký với IAP

để có đường kết nối truy cập Internet quốc tế Ở mỗi nước, có thể có nhiều ISP nhưng chỉ có 1 vài IAP Thông thường các IAP cũng là các ISP, nhưng không phải ISP nào cũng là IAP Ở nước ta, nhà cung cấp đường truyền Internet lớn nhất là VNPT

2.1.3.3 Nhà cung cấp dịch vụ ICP (Internet Content Provider)

Là các nhà cung cấp nội dung lên Internet, như là : các cơ quan thông tấn báo chí, các tổ chức doanh nghiệp, chính phủ… Việc cung cấp nội dung lên Internet, tùy thuộc vào chính sách của mỗi quốc gia, có thể phải xin phép hoặc không

Hiện nay, có rất nhiều cơ quan, tổ chức cung cấp các thông tin, tài nguyên lên mạng một cách miễn phí Chẳng hạn, chúng ta có thể tìm thấy rất nhiều nội dung quý giá từ các kho học liệu mở, thư viện điện tử của các trường đại học, cao đẳng, các tổ chức chính phủ, phi chính phủ, các cơ quan thông tấn, báo chí, các doanh nghiệp…

2.1.3.4 Cấp phát tên miền (Internet Domain Name Provider)

Tên miền là một dạng tài nguyên trên Internet, được gắn với một địa chỉ IP dùng

để xác định duy nhất một vị trí trên mạng Internet Vì vậy, cần có một cơ quan làm nhiệm vụ cấp phát tên miền, theo nguyên tắc “ai đăng ký trước thì được” – tức là tên miền mới phải không trùng với một tên miền nào đã đăng ký trước, và phải đóng một khoản phí theo quy định Thường đây là mức phí để lưu giữ tên miền trong một khoảng thời gian nào đó

Hiện nay, InterNIC là cơ quan cấp phát tên miền quốc tế Ở mỗi nước có một tổ chức chịu trách nhiệm cấp phát tên miền đặc trưng cho nước đó

2.1.3.5 Cho thuê máy chủ web - hosting (Server Space Provider)

Các tổ chức, đơn vị muốn thiết lập 1 website và đưa thông tin lên Internet, cần phải mua một tên miền và thuê 1 máy chủ để lưu trữ website (gọi là hosting) Nhà cung cấp dịch vụ cho thuê không gian máy chủ để lưu trữ website được gọi là Server Space Provider

Khi chọn máy chủ hosting, cần phải xem kỹ tính năng của server có đáp ứng được yêu cầu kỹ thuật của website đã thiết kế hay không, chủ yếu là server chạy trên nền hệ điều hành nào, cơ sở dữ liệu và các ngôn ngữ script mà server hỗ trợ Ví dụ : với cấu hình “Windows + SQL Server, Access + ASP” nghĩa là server chạy hệ điều hành Windows, hỗ trợ CSDL SQL Server và Access, các trang web có thể sử dụng ngôn ngữ lập trình (server script) là ASP

Giá cả thuê máy chủ còn thay đổi tùy theo không gian thuê nhiều hay ít, và băng thông mạng (bandwidth) hay lưu lượng truyền tối đa có thể tiếp nhận Ngoài ra, cũng cần lưu ý các dịch vụ hỗ trợ khác, như là : có hỗ trợ upload, download bằng ftp, có theo dõi tình hình website, quản lý bảo mật, sao lưu và khắc phục sự cố…[3],[15]