Nghiên cứu phân tích giải pháp an ninh thông tin cho dịch vụ ngân hàng internet banking

Trong luận văn này, tôi xin được phép tìm hiểu về hạ tầng khóa công khai PKI và các giải pháp ứng dụng hạ tầng khóa công khai trong việc triển khai các chương trình bảo mật, bảo vệ an to

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

-

DƯ MINH HIẾU

NGHIÊN CỨU PHÂN TÍCH GIẢI PHÁP AN NINH THÔNG TIN CHO DỊCH VỤ NGÂN HÀNG “ INTERNET BANKING ” Chuyên ngành : Kỹ thuật máy tính và truyền thông

LUẬN VĂN THẠC SĨ KỸ THUẬT

KỸ THUẬT MÁY TÍNH VÀ TRUYỀN THÔNG

NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS.TS NGUYỄN THỊ HOÀNG LAN

HÀ NỘI - 2014

LỜI CAM ĐOAN

Tôi xin cam đoan đề tài nghiên cứu của tôi hoàn toàn do tôi tự làm dưới sự hướng dẫn của cô giáo PGS.TS Nguyễn Thị Hoàng Lan Những kết quả tìm hiểu và nghiên cứu trình bày trong luận văn là hoàn toàn trung thực và chưa từng được công

bố trong bất cứ công trình nào

Nếu xảy ra bất cứ điều không đúng như những lời cam đoan trên, tôi xin chịu hoàn toàn trách nhiệm trước Viện và Nhà trường

Hà Nội, tháng 02 năm 2014

Tác giả

Dư Minh Hiếu

LỜI CẢM ƠN

Để hoàn thành bài luận văn này, tôi xin tỏ lòng biết ơn sâu sắc đến PGS.TS Nguyễn Thị Hoàng Lan, người đã tận tình hướng dẫn tôi trong suốt quá trình viết khóa luận tốt nghiệp

Tôi cũng xin chân thành cảm ơn quý Thầy, Cô Viện Công nghệ Thông tin & Truyền thông, Trường Đại học Bách Khoa Hà Nội, đặc biệt là các thầy cô trong bộ môn Kỹ thuật máy tính đã tận tình truyền đạt kiến thức trong thời gian học tập và nghiên cứu tại đây Với vốn kiến thức được tiếp thu trong quá trình học tập và nghiên cứu không chỉ là nền tảng cho quá trình nghiên cứu khóa luận mà còn là hành trang quí báu để tôi có thể tìm tòi, phát huy trong công việc cũng như trong

cuộc sống một cách vững chắc và tự tin

Tôi cũng thầm biết ơn sự ủng hộ gia đình và bạn bè – những người thân yêu luôn là chỗ dựa vững chắc cho tôi

Cuối cùng, tôi xin kính chúc Quý Thầy cô, Gia đình, bạn bè dồi dào sức khỏe

và thành công trong sự nghiệp cao quý

Xin trân trọng cảm ơn!

Học viên

Dư Minh Hiếu

MỤC LỤC

LỜI CAM ĐOAN 2

LỜI CẢM ƠN 3

MỤC LỤC 4

DANH M ỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT 6

DANH M ỤC CÁC HÌNH VẼ 7

L ỜI NÓI ĐẦU 8

CHƯƠNG 1: INTERNET BANKING VÀ VẤN ĐỀ BẢO MẬT THÔNG TIN 9 1.1 Tính cấp thiết của đề tài và nhiệm vụ : 9

1.1.1 Nhiệm vụ của luận văn 10

1.1.2 Tổng quan về sự phát triển ngân hàng điện tử tại Việt Nam 11

1.1.3 Giới thiệu một số dịch vụ ngân hàng điện tử tại Việt Nam 12

1.2 Giới thiệu về Internet Banking và những giải pháp bảo mật trong dịch vụ Internet Banking của NH Citibank CN Hà Nội : 19

1.2.1 Mã hóa 22

1.2.2 Chữ ký số 22

1.2.3 Các chứng thực (xác nhận) 23

1.2.4 Giao thức giao dịch điện tử bảo mật 25

CHƯƠNG 2: TÌM HIỂU VỀ HẠ TẦNG KHÓA CÔNG KHAI PKI 27

2.1 Tìm hiểu về hạ tầng khóa công khai PKI 27

2.1.1 Khái niệm hạ tầng cơ sở mật mã khóa công khai 27

2.1.2 Các thành phần của PKI 27

2.2 Tổ chức chứng thực (Certification Authority) 28

2.3 Trung tâm đăng ký (Registration Authorities) 29

2.4 Thực thể cuối (Người giữ chứng thư số và Clients) 30

2.5 Hệ thống lưu trữ (Repositories) 30

2.5.1 - Phân phối cá nhân 30

2.5.2 - Phân phối công khai 30

2.6 Một số chức năng của PKI 31

2.6.1 Chứng thực (certification) 31

2.6.2 Thẩm tra (validation) 31

2.6.3 Một số chức năng khác 32

CHƯƠNG 3 : PHÂN TÍCH GIẢI PHÁP AN NINH CHO DỊCH VỤ INTERNET BANKING C ỦA NH CITIBANK CN HÀ NỘI 37

3.1 Khảo sát giải pháp triển khai tác nghiệp tại NH Citibank HN 37

3.1.1 Sơ đồ triển khai giải pháp an ninh 37

3.1.2 Mô hình triển khai Entrust IdentityGuard ở NH Citibank 37

3.1.3 Công cụ mã hóa, giải mã dữ liệu trong quy trình thanh toán 38

3.2 Phân tích quy trình xác thực người dùng của Entrust IdentityGuard 39

3.2.1 Tìm hiểu phương pháp xác thực trong Entrust IdentityGuard 39

3.2.2 Phân tích qui trình xử lý thông tin trong xác thực người dùng 42

3.2.3 Đề xuất giải pháp an ninh trong qui trình sử dụng OTP Token và OTP Password khi xác thực thông tin người dùng : 43

3.3 Phân tích công cụ mã hóa, giải mã dữ liệu trong quy trình thanh toán 45

3.3.1 Phần mềm công cụ SMIME mã hóa dữ liệu : 45

3.3.2 Phân tích quy trình mã hóa dữ liệu với file encrypt.ini 53

3.3.3 Phân tích quy trình giải mã dữ liệu với file decrypt.ini 55

3.3.4 Đề xuất giải pháp an toàn thông tin trong việc khởi tạo file mã hóa, giải mã 56

K ẾT LUẬN 57

TÀI LI ỆU THAM KHẢO 58

PH Ụ LỤC : 59

DANH M ỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT

HTTPS Secure Hypertext Transaction Standard

IEEE Institute of Electrical & Electronic Engineers ISO International Organization for Standardization

OCSP Online Certificate Status Protocol

S/MIME Secure Multipurpose Internet Mail Extensions

DANH M ỤC CÁC HÌNH VẼ

Hình 2.1: Các thành phần PKI 28

Hình 2.2: Đường dẫn chứng thư số chéo 35

Hình 3.1 : Mô hình triển khai Entrust IdentityGuard 38

Hình 3.2 : Phương pháp xác thực trong Entrust IdentityGuard 40

Hình 3.3 : Chứng chỉ sổ 47

Hình 3.4 : Nội dung file S/MIME 51

L ỜI NÓI ĐẦU

Trong thời đại bùng nổ các dịch vụ trên Internet như hiện nay, các tổ chức tài chính, ngân hàng, ngày càng cung cấp đa dạng các sản phẩm, dịch vụ, trong đó dịch

vụ ngân hàng trực tuyến Internet Banking là một hướng đi mũi nhọn để các ngân hàng, tổ chức tài chính phát triển thị trường Tuy vậy, bên cạnh những lợi ích mà dịch vụ ngân hàng trực tuyến đem lại, các tổ chức tài chính, ngân hàng phải đau đầu

để tìm ra các giải pháp bảo mật tốt nhất nhằm bảo vệ được thông tin của khách hàng khi họ tham gia vào các dịch vụ trên hệ thống Internet Banking Đây được coi là quyền lợi chính đáng của khách hàng và cũng là trách nhiệm không thể coi nhẹ của các tổ chức tài chính, ngân hàng

Chính vì vậy mà cho đến nay, hầu hết các ngân hàng, tổ chức tài chính đã triển khai các hệ thống bảo mật nhằm đảm bảo tính an ninh thông tin với rất nhiều công nghệ và phương pháp ví dụ như sử dụng mật khẩu, số định danh cá nhân, chứng chỉ số sử dụng PKI, các thiết bị bảo mật vật lý như Smart Card, mật khẩu dùng 1 lần (OTP), USB, yếu tố sinh trắc học để bảo vệ danh tính Mức độ bảo mật phụ thuộc vào từng nhóm công nghệ và đối tượng hay những giao dịch cụ thể cần được bảo vệ

Trong luận văn này, tôi xin được phép tìm hiểu về hạ tầng khóa công khai (PKI) và các giải pháp ứng dụng hạ tầng khóa công khai trong việc triển khai các chương trình bảo mật, bảo vệ an toàn an ninh thông tin cho các khách hàng sử dụng

dịch vụ Ngân hàng trực tuyến Internet Banking của NH Citibank

Nội dung bài luận văn được tóm tắt như sau :

Chương I : Internet Banking và vấn đề bảo mật thông tin

Chương II : Tìm hiểu về hạ tầng khóa công khai PKI, phương pháp bảo mật thông tin và ứng dụng hạ tầng khóa công khai trong việc bảo mật thông tin giao

dịch thanh toán của khách hàng

Chương III : Phân tích các giải pháp ứng dụng hạ tầng khóa công khai PKI với

dịch vụ Internet Banking của ngân hàng Citibank trong việc truyền nhận, bảo mật thông tin giao dịch của khách hàng và thông qua đó đề xuất một số giải pháp nhằm tăng cường tính bảo mật, an toàn thông tin của dịch vụ

CHƯƠNG 1: INTERNET BANKING VÀ VẤN ĐỀ BẢO MẬT THÔNG TIN

1.1 Tính c ấp thiết của đề tài và nhiệm vụ :

Thời gian qua nhiều ngân hàng đã đưa ra các dịch vụ Internet Banking, Home Banking, ATM, Phone Banking và Mobile Banking Tất cả các dịch vụ đó là nền tảng cho chính ngân hàng trong việc hỗ trợ khách hàng thuận tiện hơn trong

việc quản lý tài khoản cũng như thực hiện các giao dịch thanh toán một cách tiện

lợi nhất Đồng thời các dịch vụ này cũng đóng góp phần quan trọng thay đổi nhận thức của khách hàng về các kênh TTĐT

Về phía ngân hàng, mức độ sẵn sàng cho thanh toán trực tuyến đã ở mức cao: ví dụ thanh toán qua thẻ, tài khoản Tuy nhiên, mức độ đồng nhất về chuẩn nghiệp vụ, bảo mật hay các chuẩn khác (chuẩn dữ liệu ) dành cho dịch vụ Internet Banking vẫn còn hạn chế và các ngân hàng vẫn chưa tạo được “tiếng nói” chung Nhiều ngân hàng sử dụng nhiều giải pháp, cách thức, phương thức khác nhau trong

việc triển khai các công nghệ bảo mật, nhằm đảm bảo an toàn an ninh thông tin cho khách hàng trong giao dịch, nhưng tựu chung lại thì hầu hết các giải pháp bảo mật

hiện thời đều đang được phát triển dựa trên nền tảng cơ sở khóa công khai (PKI) và được cung cấp bởi một số ít các nhà chứng thực, công ty bảo mật hàng đầu trên thế

giới

Nếu những phương pháp bảo mật, an toàn thông tin cho dịch vụ Internet Banking ngày càng được phát triển thì đây chính là cơ sở cho các ngân hàng phát triển dịch vụ ngân hàng điện tử - nền tảng quan trọng cho sự phát triển thương mại điện tử ở Việt Nam và hạn chế thanh toán bằng tiền mặt trong nền kinh tế Đồng thời số lượng khách hàng gia tăng, khoản tiền giao dịch qua ngân hàng cũng tăng đột biến theo Không những thế, một sự thay đổi tích cực khác sẽ xuất hiện trong mối quan hệ giữa ngân hàng với khách hàng theo hướng ngày càng sâu đậm hơn Khách hàng trực tuyến cảm thấy tiện lợi hơn cả về thời gian và tiền bạc so với các khách hàng ngoại tuyến

Công nghệ thông tin phát triển như vũ bão đang được các ngân hàng áp dụng

ngày một nhiều hơn, giúp hoạt động hiệu quả hơn Tuy nhiên, nó cũng chính là con dao hai lưỡi có thể phá sụp các ngân hàng bất cứ lúc nào bởi sự tấn công từ bên ngoài Những “gian lận công nghệ cao” trong lĩnh vực ngân hàng đang xuất hiện ngày một nhiều Số lượng ngân hàng bị ảnh hưởng bởi các hacker cũng tăng lên

từng ngày Hoạt động của hệ thống ngân hàng rất nhạy cảm và tiềm ẩn nhiều rủi ro:

Rủi ro về quy trình nghiệp vụ - rủi ro tín dụng, rủi ro lãi suất, rủi ro ngoại hối, rủi ro quản trị; rủi ro về hệ thống, về con người; rủi ro liên quan đến khách hàng, đến đối tác của khách hàng Vì thế, việc đảm bảo an toàn cho hoạt động ngân hàng nói chung và đặc biệt là bảo mật và an toàn thông tin ngân hàng luôn là một trọng tâm đối với cả hệ thống ngân hàng

1.1.1 Nhiệm vụ của luận văn

Như đã nêu ở tính cấp thiết của đề tài, thì bài luận văn đã tập trung vào việc nghiên cứu phân tích giải pháp an ninh thông tin cho dịch vụ “Internet Banking” trước hết là thông qua việc tìm hiểu về hạ tầng khóa công khai (PKI) , các thành

phần của PKI và một số chức năng quan trọng, đặc trưng của hạ tầng khóa công khai PKI

Tiếp sau đó trong bài luận văn là phần khảo sát thực tế giải pháp triển khai tác nghiệp tại NH Citibank CN Hà nội với hệ thống Entrust Identity Guard và công

cụ mã hóa, giải mã SMIME Tool dùng trong việc bảo mật thông tin giao dịch của khách hàng Hệ thống Entrust Identity Guard và công cụ SMIME chính là những

giải pháp an ninh thông tin dành cho dịch vụ Internet Banking của NH Citibank HN được xây dựng dựa trên mô hình lý thuyết hạ tầng khóa công khai PKI và được cung cấp, triển khai tới mỗi khách hàng khi có nhu cầu thanh toán, giao dịch với ngân hàng thông qua dịch vụ Internet Banking

Với phần khảo sát thực tế như trên thì bài luận văn cũng đã đưa ra được sự phân tích về khía cạnh lý thuyết cũng như kỹ thuật của hệ thống Entrust và công cụ SMIME dựa trên nền tảng PKI và đồng thời đề xuất thêm một số giải pháp an ninh thông tin nhằm củng cố thêm tính an toàn, bảo mật thông tin cho dịch vụ Internet Banking của ngân hàng

1.1.2 Tổng quan về sự phát triển ngân hàng điện tử tại Việt Nam

Thương mại điện tử (TMĐT)

TMĐT là một khái niệm dùng để chỉ quá trình mua và bán một sản phẩm (hữu hình) hoặc dịch vụ (vô hình) thông qua một mạng điện tử (electronic network), phương tiện trung gian (medium) phổ biến nhất của TMĐT là Internet Qua môi trường mạng, người ta có thể thiết lập giao dịch, thanh toán, mua bán bất cứ sản phẩm gì từ hàng hoá cho đến dịch vụ, kể cả dịch vụ ngân hàng Theo dự báo của e-Marketer thì tổng thu nhập từ thương mại điện tử của thế giới sẽ đạt trên 2.7 tỷ USD trong năm 2004, doanh thu TMĐT tại VN vẫn còn hạn chế (khoảng 20 triệu USD) Theo thống kê chưa đầy đủ, do nhiều nguyên nhân tại VN nước ta mới có hơn 3.000 doanh nghiệp có website riêng chiếm khoảng 2% tổng số doanh nghiệp đã đăng ký kinh doanh, như vậy là còn quá khiêm tốn

Dịch vụ ngân hàng điện tử (E-Banking)

Ngân hàng điện tử được hiểu là các nghiệp vụ, các sản phẩm dịch vụ ngân hàng truyền thống trước đây được phân phối trên các kênh mới như Internet, điện thoại, mạng không dây… Hiện nay, ngân hàng điện tử tồn tại dưới hai hình thức: hình thức ngân hàng trực tuyến, chỉ tồn tại dựa trên môi trường mạng Internet, cung cấp dịch vụ 100% thông qua môi trường mạng; và mô hình kết hợp giữa hệ thống ngân hàng thương mại truyền thống và điện tử hoá các dịch vụ truyền thống, tức là phân phối những sản phẩm dịch vụ cũ trên những kênh phân phối mới Ngân hàng điện tử tại Việt Nam chủ yếu phát triển theo mô hình này

Sự phát triển ngân hàng điện tử tại Việt Nam

Cùng với sự phát triển của thương mại điện tử, ngân hàng điện tử tại Việt Nam cũng đã có được những bước tiến quan trọng Tuy nhiên, do tính chất còn quá mới mẻ và do khách hàng cũng chưa thực sự quan tâm lắm tới những dịch vụ này, các ngân hàng thương mại tại Việt Nam vẫn đang thận trọng và dè dặt khi tung ra những sản phẩm dịch vụ mới Cụ thể, đối với dịch vụ PC-banking, trên thị trường mới chỉ có vài ngân hàng thương mại cung cấp dịch vụ ngân hàng tại nhà “home-banking” (Vietcombank, Incombank, ACB, Eximbank .) và 2 ngân hàng nước

ngoài là ANZ và Citibank cung cấp Dịch vụ Phone-banking, có các ngân hàng cung cấp là VCB, ACB, Techcombank, HSBC, ANZ và Citibank… Dịch vụ Mobile-banking thì có ngân hàng Incombank, ACB và Techcombank…, ngoài ra, các ngân hàng khác chỉ mới dừng lại ở việc thiết lập các trang web chủ yếu để giới thiệu ngân hàng và cung cấp thông tin dịch vụ Riêng Ngân hàng Nông nghiệp và PTNTVN đang triển khai thử nghiệm dự án E-banking

Bên cạnh đó, để phục vụ cho hệ thống thanh toán cho TMĐT, VASC đã xây dựng cổng thanh toán VASC Payment để làm cơ sở cho hệ thống thanh toán qua mạng Internet và hệ thống quản lý chứng chỉ số - VASC CA (Certificate Authority),

để cung cấp chữ ký điện tử và chứng nhận điện tử để làm cơ sở pháp lý cho giao dịch điện tử, tạo niềm tin cho khách hàng cũng như nhà cung cấp dịch vụ, là xương sống cho sự phát triển thương mại điện tử trong thời gian tới

1.1.3 Giới thiệu một số dịch vụ ngân hàng điện tử tại Việt Nam

Về nguyên tắc, thực chất của dịch vụ ngân hàng điện tử là việc thiết lập một kênh trao đổi thông tin tài chính giữa khách hàng và ngân hàng nhằm phục vụ nhu cầu sử dụng dịch vụ ngân hàng của khách hàng một cách nhanh chóng, an toàn và thuận tiện Sau rất nhiều tìm tòi, thử nghiệm và ứng dụng, hiện nay dịch vụ ngân hàng điện tử được các ngân hàng thương mại Việt Nam cung cấp qua các kênh chính sau đây: ngân hàng tại nhà (home-banking, Internet-banking); ngân hàng tự động qua điện thoại (Phone-banking, mobile banking); ngân hàng qua mạng không dây (Wireless-banking)…

- Dịch vụ ngân hàng tại nhà (home-banking):

Home-banking là kênh phân phối dịch vụ của ngân hàng điện tử, cho phép khách hàng thực hiện hầu hết các giao dịch chuyển khoản với ngân hàng (nơi khách hàng mở tài khoản) tại nhà, tại văn phòng công ty mà không cần đến ngân hàng

Ứng dụng và phát triển Home-banking là một bước tiến mau mắn của các ngân hàng thương mại Việt Nam trước sức ép rất lớn của tiến trình hội nhập toàn cầu về dịch vụ ngân hàng Đứng về phía khách hàng, Home-banking đã mang lại những lợi ích thiết thực: nhanh chóng- an toàn- thuận tiện Và khẩu hiệu “Dịch vụ

ngân hàng 24 giờ mỗi ngày, bảy ngày mỗi tuần” chính là ưu thế lớn nhất mà mô hình ngân hàng “hành chính” truyền thống không thể nào sánh được Hiện nay, dịch

vụ Home-banking tại Việt Nam đã được nhiều ngân hàng tại Việt Nam ứng dụng và triển khai rộng rãi như: Ngân hàng Á Châu www.acb.com.vn; Ngân hàng công thương Việt Nam www.icb.com.vn; Ngân hàng ngoại Thương VN www.vcb.com.vn; Ngân hàng kỹ thương www.techcombank.com.vn, Ngân hàng xuất nhập khẩu Việt Nam www.eximbank.com.vn …

Dịch vụ ngân hàng tại nhà được xây dựng trên một trong hai nền tảng: hệ thống các phần mềm ứng dụng (Software Base) và nền tảng công nghệ web (Web Base), thông qua hệ thống máy chủ, mạng Internet và máy tính con của khách hàng, thông tin tài chính sẽ được thiết lập, mã hoá, trao đổi và xác nhận giữa ngân hàng và khách hàng Mặc dù có một số điểm khác biệt, nhưng nhìn chung, chu trình sử dụng dịch vụ ngân hàng tại nhà bao gồm các bước cơ bản sau đây:

Bước 1: Thiết lập kết nối

Khách hàng kết nối máy tính của mình với hệ thống máy tính của ngân hàng qua mạng Internet, sau đó truy cập vào trang web của ngân hàng phục vụ mình (hoặc giao diện người sử dụng của phần mềm) Sau khi kiểm tra và xác nhận khách hàng (User ID, Password…), khách hàng sẽ được thiết lập một đường truyền bảo mật (https) và đăng nhập (login) vào mạng máy tính của ngân hàng

Bước 2: Thực hiện yêu cầu dịch vụ

Dịch vụ NHĐT rất phong phú và đa dạng, có thể là truy vấn thông tin tài khoản, thiết lập nghiệp vụ chuyển tiền, hủy bỏ việc chi trả séc, thanh toán điện tử …

và rất nhiều các dịch vụ trực tuyến khác

Trên website (hoặc giao diện người sử dụng) có sẵn hệ thống Menu chọn lựa

và hướng dẫn cụ thể các bước để thực hiện quá trình giao dịch Tất cả mọi việc khách hàng phải làm chỉ là chọn dịch vụ, cung cấp thông tin theo yêu cầu của dịch

vụ và của ngân hàng

Bước 3: Xác nhận giao dịch, kiểm tra thông tin và thoát khỏi mạng (thông qua chữ ký điện tử, xác nhận điện tử, chứng từ điện tử …) :

Khi giao dịch được thực hiện hoàn tất, khách hàng kiểm tra lại giao dịch và thoát khỏi mạng, những thông tin chứng từ cần thiết sẽ được quản lí, lưu trữ và gửi tới khách hàng khi có yêu cầu

Ví dụ : Dịch vụ Home-banking của ngân hàng TMCP Á Châu :

Trên cơ sở Ngân hàng Nhà nước đã cho phép sử dụng chữ ký điện tử trong thanh toán, giao dịch ngân hàng, Ngân hàng TMCP Á Châu đã phát triển hệ thống Homebanking để phục vụ nhu cầu thanh toán và chuyển tiền trong nước Để sử dụng dịch vụ, khách hàng chỉ cần tới chi nhánh gần nhất của ACB và hoàn tất thủ tục đăng ký sử dụng địch vụ Với tài khoản tại Ngân hàng Á Châu, khách hàng có thể thực hiện tất cả các giao dịch thanh toán qua ngân hàng như :

Chuyển khoản (funds transfer): Khách hàng có thể chuyển tiền từ tài khoản tiền gửi thanh toán của khách hàng đến các tài khoản khác thuộc hệ thống Ngân hàng Á Châu

Thanh toán hoá đơn (Bill payment): Khách hàng thanh toán các hoá dơn như cước phí điện, nước, điện thoại, Internet…

Chuyển tiền (Money transfer): Khách hàng chuyển tiền từ tài khoản của mình đến các tài khoản khác mở tại hệ thống ACB hoặc người nhận tiền mặt bằng

chứng minh nhân dân, passport… trong hoặc ngoài hệ thống ACB

Ngoài ra khách hàng có thể tra cứu thông tin tài khoản, thông tin tài chính, thông tin ngân hàng… một cách an toàn, bảo mật, chính xác và tiện lợi

Đối với khách hàng là doanh nghiệp, quy trình thanh toán qua banking được thực hiện tương đối phức tạp hơn với quy trình bảo mật, xác nhận an toàn hơn Mỗi doanh nghiệp sẽ được hệ thống Home-banking cung cấp hai loại User có mã số truy cập, mật khẩu khác nhau được phân quyền Lệnh thanh toán của khách hàng chuyển đến Ngân hàng thông qua hệ thống Home-banking được ký 2 chữ ký điện tử theo đúng quy định chứng từ của Ngân hàng Nhà nước và hầu hết được thực hiện ngay trong ngày làm việc

Home Dịch vụ ngân hàng tự động qua điện thoại (Phone-banking)

Phone-banking là hệ thống tự động trả lời hoạt động 24/24, khách hàng nhấn

vào các phím trên bàn phím điện thoại theo mã do ngân hàng quy định trước, để yêu cầu hệ thống trả lời thông tin cần thiết

Cũng như PC-banking, dịch vụ ngân hàng được cung cấp qua một hệ thống máy chủ và phần mềm quản lý đặt tại ngân hàng, liên kết với khách hàng thông qua tổng đài của dịch vụ Thông qua các phím chức năng được định nghĩa trước, khách hàng sẽ được phục vụ một cách tự động hoặc thông qua nhân viên tổng đài

Khi đăng ký sử dụng dịch vụ Phone-banking, khách hàng sẽ được cung cấp một mã khách hàng, hoặc mã tài khoản và tuỳ theo dịch vụ đăng ký, khách hàng có thể sử dụng nhiều dịch vụ khác nhau Nhìn chung, quy trình sử dụng dịch vụ Phone-banking như sau:

Đăng ký sử dụng dịch vụ: Khách hàng phải cung cấp các thông tin cần thiết

và ký vào hợp đồng đồng ý sử dụng dịch vụ Phone-banking Sau đó, khách hàng sẽ được cung cấp 2 số định danh duy nhất là mã khách hàng và mã khoá truy nhập hệ thống, ngoài ra khách hàng sẽ được cung cấp một mã tài khoản nhằm tạo sự thuận tiện trong giao dịch vũng như đảm bảo an toàn và bảo mật

Xử lý một giao dịch: Khi khách hàng quay số tới tổng đài, nhập mã khách hàng và khoá truy nhập dịch vụ, theo lời nhắc trên điện thoại, khách hàng chọn phím chức năng tương ứng với dịch vụ mình cần thực hiện giao dịch Khách hàng

có thể thay đổi, chỉnh sửa trước khi xác nhận giao dịch với ngân hàng, chứng từ giao dịch sẽ được in ra và gửi tới khách hàng khi giao dịch được xử lý xong

Qua Phone-banking, khách hàng có thể sử dụng rất nhiều dịch vụ ngân hàng như : hướng dẫn sử dụng dịch vụ, giới thiệu thông tin về dịch vụ ngân hàng, cung cấp thông tin tài khoản và bảng kê các giao dịch, báo nợ, báo có, cung cấp thông tin ngân hàng như lãi suất, tỷ giá hối đoái, chuyển tiền, thanh toán hoá đơn và dịch vụ

hỗ trợ khách hàng, thực hiện mọi lúc mọi nơi kể cả ngoài giờ hành chính (ví dụ VCB HCM qua số 8225414 )

Ví dụ 1: Dịch vụ ngân hàng qua điện thoại của Techcombank (Techcombank voice access) – Vocaly

Ngân hàng kỹ thương Việt Nam với sự hỗ trợ của Trung tâm công nghệ thông tin của Học viện bưu chính viễn thông (CDIT) đã xây dựng hệ thống dịch vụ giao dịch qua tổng đài tự động (Techcombank voice access) – gọi tắt là Vocaly Để

sử dụng dịch vụ này, khách hàng dùng điện thoại cố định hoặc điện thoại di động, gọi đến số 1570 sẽ được tổng đài tự động hướng dẫn các bước tiếp theo để hoàn tất giao dịch Thông qua hướng dẫu chi tiết và các phím chức năng, sau khi xác nhận khách hàng, hệ thống Vocaly sẽ cung cấp cho khách hàng các dịch vụ sau:

Nghe thông tin tài khoản và 2 biến động tài khoản gần nhất

Tra cứu thông tin hỗ trợ khách hàng (Lãi suất tiền gửi; tỉ giá quy đổi (mua vào – bán ra) các loại ngoại tệ ; hộp thư …

Ngoài ra, khách hàng còn có thể thay đổi mật khẩu hoặc nghe những hướng dẫn và thông báo mới của ngân hàng

Ví dụ 2: Dịch vụ Phone-banking của ngân hàng Vietcombank TP.HCM Gọi 8225414, khách hàng sẽ được cung cấp nhanh các thông tin mới nhất liên quan đến tỷ giá các ngoại tệ, lãi suất tiền gửi, lãi suất tiền vay của Ngân hàng ngoại thương chi nhánh TP HCM (Vietcombank HCM) Với hướng dẫn chi tiết và các phím số chức năng khách hàng có thể sử dụng các dịch vụ như: nghe số dư tài khoản; nghe tỷ giá ngoại tệ; nghe lãi suất tiền gửi (đồng Việt Nam, USD); nghe lãi suất tiền vay và thay đổi mật mã… Ngoài dịch vụ truy cập nhanh, còn những dịch

vụ cộng thêm mà khách hàng sẽ được cung cấp khi liên hệ trực tiếp với ngân hàng

- Dịch vụ ngân hàng qua ĐTDĐ (Mobile-banking):

Cùng với sự phát triển của mạng thông tin di động, dịch vụ ngân hàng tại Việt Nam cũng đã nhanh chóng ứng dụng những công nghệ mới này

Mobile - banking là một kênh phân phối sản phẩm dịch vụ ngân hàng qua hệ thống mạng điện thoại di động Về nguyên tắc, đây chính là quy trình thông tin được mã hoá, bảo mật và trao đổi giữa trung tâm xử lý của ngân hàng và thiết bị di động của khách hàng (ĐTDĐ, Pocket PC, Palm…)

Dịch vụ này đã được Ngân hàng Á Châu và Ngân hàng kỹ thương triển khai trong vài năm gần đây, và các ngân hàng khác cũng đã và đang bắt đầu xây dựng hệ

thống và cung ứng dịch vụ Mobile-banking do tính chất thuận tiện, nhanh chóng đặc trưng của nó

Ví dụ : Dịch vụ Mobile -banking của ngân hàng TMCP Á Châu:

Mobile-banking là một phương tiện phân phối sản phẩm dịch vụ ngân hàng của Ngân hàng Á Châu, khách hàng dùng điện thoại di động nhắn tin theo mẫu của Ngân hàng, gửi đến số 997 để sử dụng dịch vụ Tất cả các khách hàng đều có thể sử dụng dịch vụ Mobile-banking của Ngân hàng Á Châu với nhiều dịch vụ như:

Dịch vụ cung cấp thông tin sản phẩm dịch vụ ngân hàng như tỷ giá, giá chứng khoán …

Dịch vụ cung cấp thông tin tài khoản cá nhân, số dư, bảng kê giao dịch, số

dư lưu ký chứng khoán, thông báo số dư tự động …

Dịch vụ thanh toán hoá đơn dịch vụ, mua sắm hàng hoá, thanh toán hoá đơn điện, nước, điện thoại…

Dịch vụ môi giới chứng khoán (theo dõi thông tin tài khoản, đặt lệnh mua bán…)

Để đăng ký sử dụng dịch vụ, khách hàng đăng ký tại chi nhánh ACB gần nhất và được cấp mật mã sử dụng thanh toán trên hệ thống Mobile-banking Khi khách hàng soạn tin nhắn theo quy định của ngân hàng cho từng dịch vụ gửi tới ngân hàng theo số 997 sẽ được ngân hàng thực hiện và thông báo kết quả thông tin, giao dịch theo yêu cầu cụ thể Sau đây là một vài mẫu tin nhắn yêu cầu dịch vụ:

Xem thông tin tỷ giá: ACB Tygia (Tg) {Loại ngoại tệ} : ACB Tygia USD EUR GOLD

Xem thông tin giá chứng khoán: ACB GiaCK (CK) {Loại chứng khoán}: ACB GiaCK Ree Sam Hap

° Dịch vụ thanh toán thông qua hệ thống Mobile-banking: Khách hàng có thể

sử dụng dịch vụ này để thanh toán tiền mua sắm hàng hoá dịch vụ tại các siêu thị, nhà hàng, trang web bán hàng trên mạng… Khi khách hàng gửi tin nhắn yêu cầu thanh toán theo mẫu có sẵn, ngân hàng sẽ gửi tin nhắn để xác nhận giao dịch và thực hiện việc trả tiền cho các đại lý Bên cạnh đó, khách hàng còn có thể sử dụng

dịch vụ này để thanh toán hoá đơn (điện, nước, điện thoại và điện thoại di động…) hay thậm chí có thể giao dịch chứng khoán qua ĐTDD chỉ bằng vài tin nhắn dơn giản

° Giao dịch chứng khoán trên Mobile - banking: (Khách hàng đến Công ty chứng khoán ACBS đăng ký sử dụng dịch vụ) và thực hiện giao dịch qua các tin nhắn theo mẫu như :

+ Đặt lệnh mua bán chứng khoán:

ACB Mua/Bán {Mã chứng khoán} {Số lượng} {Giá mua} {Loại lệnh}

VD : ACB Mua REE 100 21000 D0

+ Lệnh hủy giao dịch mua bán : ACB Huy {Mã chứng khoán} {Số thứ tự lệnh}…

Quy trình cụ thể còn thông qua nhiều bước như xác nhận khách hàng, kiểm tra mật mã, xác định lệnh… được thực hiện chi tiết khi khách hàng sử dụng thực sự dịch vụ của ngân hàng

- Internet banking:

Internet banking cũng là một trong những kênh phân phối các sản phẩm dịch

vụ của ngân hàng, mang ngân hàng đến nhà, văn phòng, trường học, đến bất kỳ nơi đâu và bất cứ lúc nào Với máy tính kết nối Internet, bạn sẽ được cung cấp và được hướng dẫn các sản phẩm, các dịch vụ của ngân hàng Qua Internet banking các bạn

có thể gởi đến ngân hàng những thắc mắc, góp ý với ngân hàng và được trả lời sau một thời gian nhất định Tuy nhiên, với tính chất bảo mật không cao bằng dịch vụ ngân hàng tại nhà hoặc Kiosk-banking, dịch vụ Internet-banking vẫn còn được cung cấp hạn chế và đòi hỏi quá trình xác nhận giao dịch phức tạp hơn

- Kiosk ngân hàng:

Là sự phát triển của dịch vụ ngân hàng hướng tới việc phục vụ khách hàng với chất lượng cao nhất và thuận tiện nhất Trên đường phố sẽ đặt các trạm làm việc với đường kết nối Internet tốc độ cao Khi khách hàng cần thực hiện giao dịch hoặc yêu cầu dịch vụ, họ chỉ cần truy cập, cung cấp số chứng nhận cá nhân và mật khẩu

để sử dụng dịch vụ của hệ thống ngân hàng phục vụ mình Đây cũng là một hướng phát triển đáng lưu tâm cho các nhà lãnh đạo các ngân hàng thương mại Việt Nam

1.2 Gi ới thiệu về Internet Banking và những giải pháp bảo mật trong d ịch vụ Internet Banking của NH Citibank CN Hà Nội :

Citi là một trong các ngân hàng nước ngoài hàng đầu tại Việt Nam với các chi nhánh tại Hà Nội và TP Hồ Chí Minh, và một mạng lưới liên kết trải rộng khắp

64 tỉnh thành tại Việt Nam Ngân hàng Citi cung cấp đa dạng các dịch vụ ngân hang tại Việt Nam bao gồm mảng dịch vụ ngân hàng cho các công ty đa quốc gia, dịch vụ ngân hàng đầu tư và các dịch vụ giao dịch, bao gồm thương mại, quản lý tiền mặt,

và các dịch vụ liên quan đến chứng khoán

Citi kết hợp cả thế mạnh về mạng lưới và tài nguyên toàn cầu với dấu ấn lớn tại thị trường địa phương để đưa ra các sản phẩm mang tính sáng tạo cao, đáp ứng nhu cầu ngày càng đa dạng của các khách hàng tại Việt Nam và các các khách hàng đang tìm kiếm cơ hội đầu tư tại quốc gia có tốc độ phát triển đáng kể này

Năm 2007, Citi được trao giải thưởng Ngân hàng tốt nhất Việt nam và Ngân hàng quản lý tiền mặt tốt nhất Việt Nam bởi tạp chí The Asset Triple A

Citi cũng đã nhận được hàng loạt các giải thưởng khác như Ngân hàng nước ngoài tốt nhất Việt Nam, Ngân hàng quản lý tiền mặt và các sản phẩm tiền tệ tốt nhất, Ngân hàng lưu ký tốt nhất, và cả Ngân hàng có nền tảng ngân hàng trực tuyến tốt nhất

Citi cũng là ngân hàng Hoa kỳ đầu tiên đón nhận giấy phép thành lập chi nhánh tại Việt nam năm 1994 và cũng là ngân hàng Hoa kỳ đầu tiên mở một chi nhánh với đầy đủ chức năng tại Hà Nội vào năm 1994 Vào năm 2001, Citi tiếp tục trở thành ngân hàng đầu tiên cung cấp các dịch vụ ngân hàng trực tuyến tại Việt Nam

Sau gần hai mươi năm vắng bóng trên thị trường, Citi tái hoạt động tại thị trường Việt Nam vào năm 1993 và từ đó đã đóng vài trò quan trọng trong quá trình phát triển thị trường tài chính tại Việt Nam

Dịch vụ Internet Banking của NH Citibank đang được xem trọng là một trong những bước đi chiến lược trong việc phát triển, mở rộng toàn bộ hệ thống

cũng như tiếp cận người tiêu dùng một phương án thân thiện và một cách mạnh mẽ

+ Nhu cầu ngày càng tăng về việc dự đoán luồng tiền

+ Tự động hoá quy trình và quản lý thông tin

Bên cạnh đấy thì hệ thống Internet Banking của Citi được xây dựng lên cũng

tuân thủ đúng, đầy đủ theo luật định của NHNN cũng như các luật liên quan chặt

chẽ trong việc quản lý thông tin, cơ sở dữ liệu trong nghành tài chính, ngân hàng

+ 2002 - Quốc hội Mỹ thông qua luật Sarbanes-Oxley (SOX)

+ Quy trình tự động hoá và thanh toán thẳng ảnh hưởng trực tiếp đến bảo mật và mối quan tâm ở mọi cấp về yêu cầu quản lý tuân thủ (tự động hoá quy trình nội bộ, với các đối tác bên ngoài…)

Song song bên cạnh việc đầu tư có chiều sâu vào nền tảng kỹ thuật thì Citi

cũng luôn xác định được dịch vụ hỗ trợ khách hàng luôn đóng vai trò vô cùng quan trọng và luôn đảm bảo, thỏa mãn được mọi yêu cầu cũng như mục đích chính của khách hàng:

Tính minh bạch – yêu cầu trạng thái luồng tiền tập trung từ tất cả các tài khoản trong cùng một quốc gia, cùng khu vực, toàn cầu và thông tin trực tuyến về luồng tiền

Tính kiểm soát – Khả năng kiểm soát quy trình luồng tiền và tính thanh khoản để đảm bảo tuân thủ các quy định của quản lý nguồn vốn (Treasury) và các yêu cầu pháp lý

Tính hiệu quả – Yêu cầu tập trung dữ liệu về luồng tiền và các công cụ phân tích để hỗ trợ các quyết định và giúp công ty sử dụng các nguồn lực tài chính hiệu quả hơn để tăng doanh hu trên vốn và giảm chi phí

Lịch sử phát triển của hệ thống Ngân hàng trực tuyến IB :

1996 : Đưa dịch vụ Ngân hàng điện tử vào thị trường

2001 : Phát triển dịch vụ Ngân hàng điện tử Internet

2003 : Triển khai Citi-Treasury –Hệ thống mua bán ngoại tệ trực tiếp

2003 : Triển khai hệ thống tra cứu thông tin khách hàng trên nền tảng base : Citigroup Corporate Portal

Web-2006 : Triển khai dịch vụ Ngân hàng điện tử Internet cho giao dịch chứng khoán

2007 : Triển khai dịch vụ đầu tư trực tuyến qua Internet Banking

2007 : Triển khai module Treasury Vision (Hệ thống tập trung thông tin và cung cấp báo cáo tài chính)

Những giải pháp bảo mật trong hệ thống thanh toán điện tử của NH Citibank :

Như đã nói ở trên, ngân hàng trực tuyến – Banking online đang được nhiều ngân hàng tại Việt Nam triển khai như một phương tiện để chiến thắng trong cuộc chiến giành thị phần

Hiện Việt Nam có tỷ lệ người dùng Internet rất lớn và con số này đang không ngừng tăng lên Đây được xem là cơ hội cực kỳ thuận lợi cho các ngân hàng tiến hành "cuộc cách mạng" chuyển từ giao dịch ngân hàng truyền thống sang ngân hàng điện tử

Có thể nói, các ngân hàng tại Việt Nam đã không bỏ lỡ cơ hội tuyệt vời để

“lôi kéo” khách hàng này, đặc biệt là các khách hàng trẻ

Nhưng cùng với sự phát triển nhanh chóng của dịch vụ Ngân hàng trực tuyến thì những lo ngại về tính bảo mật và độ an toàn của loại giao dịch này cũng ngày càng tăng lên , giải pháp tháo gỡ những lo ngại này của khách hàng chính là trong quá trình chuyển đổi từ giao dịch ngân hàng truyền thống đến ngân hàng điện

tử, các ngân hàng cần triển khai các ứng dụng một cách thuận tiện và thật sự bảo mật mới đem lại cho khách hàng lòng tin và trải nghiệm giao dịch ngân hàng an toàn Đây cũng là ưu tiên hàng đầu của Citibank tại Việt Nam

Khách hàng của Citi tại Việt Nam có tỷ lệ tương tác công nghệ số cao Vì vậy cung cấp môi trường giao dịch an toàn cho khách hàng luôn là ưu tiên hàng đầu của Citibank tại Việt Nam

Citi đã nỗ lực thực hiện nhiều biện pháp tại Việt nam để bảo vệ cho quý khách có được trải nghiệm về giao dịch ngân hàng trực tuyến an toàn như: An ninh đăng nhập, nhập bằng bàn phím ảo khi đăng nhập, lớp an ninh thứ hai khi đăng nhập, tự động ngắt kết nối, khóa tự động, dùng biểu tượng Pad lock và chứng chỉ số VeriSign, giao thức bảo mật SSL, nhiều bức tường lửa, Citi Alerts cho tất cả các giao dịch của khách hàng, thông báo lịch sử đăng nhập của khách hàng

Cụ thể về những biện pháp mà Citibank đã áp dụng :

1.2.1 Mã hóa

Mã hóa là phương thức biến đổi thông tin từ định dạng thông thường thành một dạng khác (mã hóa) không giống như ban đầu nhưng có thể khôi phục lại được (giải mã)

Mục tiêu của mã hóa là nhằm bảo vệ các thông tin nhạy cảm Trong một hệ thống mã hóa, một thông điệp được mã hóa bằng cách dùng một khóa Văn bản đã được mã hóa (Giai đoạn chuyển thông tin nguyên gốc ban đầu thành các dạng thông tin được mã hóa – gọi là bản mã) sau đó được chuyển tới người nhận, ở đó nó được giải mã (Thực hiện biến đổi bản mã để thu lại thông tin nguyên gốc như trước khi

mã hóa) bằng cách sử dụng một khóa để tạo ra thông điệp gốc

1.2.2 Chữ ký số

Chữ ký số được sử dụng cho việc xác thực người gửi bằng việc áp dụng mã hóa khóa công khai lại Để tạo ra một chữ ký số, người gửi mã hóa một thông điệp với chìa khóa riêng của mình Trong trường hợp này, bất cứ người nhận nào đó có chìa khóa công khai của họ đều có thể đọc nó, song người nhận có thể tin chắc rằng người gửi thực sự là tác giả của thông điệp Một chữ ký số thường được gắn kèm

với thông điệp được gửi, cũng giống như chữ ký viết tay Tính chân thực và việc xác nhận được đảm bảo bằng việc sử dụng chữ ký số

Khi kết hợp với kỹ thuật số hóa thông điệp, việc mã hóa sử dụng khóa riêng cho phép người sử dụng ký thông điệp Một số hóa thông điệp là một giá trị được tạo ra cho một thông điệp mang tính duy nhất cho thông điệp đó (không thể tạo ra 2 thông điệp khác nhau có cùng số hóa thông điệp- xác suất 1/1048 ) Một số hóa thông điệp được tạo ra bằng cách đưa thông điệp qua một chức năng mã hóa một cửa, tức là một nơi không thể quay lại Khi số của thông điệp được mã hóa dùng riêng của người gửi và được ghép thêm vào thông điệp gốc, kết quả được gọi là chữ

ký số hóa của thông điệp Người nhận chữ ký số hóa có thể chắc chắn rằng thông điệp thực sự đến từ người gửi

Chữ ký số được xem là chữ ký điện tử an toàn khi đáp ứng các điều kiện sau:

- Chữ ký số được tạo ra trong thời gian chứng thư số có hiệu lực và kiểm tra được bằng khoá công khai ghi trên chứng thư số có hiệu lực đó

- Chữ ký số được tạo ra bằng việc sử dụng khoá bí mật tương ứng với khoá công khai ghi trên chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số hoặc tổ chức cung cấp dịch vụ chứng thực chữ

ký số nước ngoài được công nhận tại Việt Nam cấp

- Khóa bí mật chỉ thuộc sự kiểm soát của người ký tại thời điểm ký

- Khóa bí mật và nội dung thông điệp dữ liệu chỉ gắn duy nhất với người ký khi người đó ký số thông điệp dữ liệu

Việc giả mạo chữ kí điện tử là hoàn toàn có thể Vì vậy trong giao dịch các doanh nghiệp thường phải sử dụng các biện pháp như: không hoàn toàn dựa vào chữ kí điện tử hoặc gọi điện cho đối tác để chứng thực

1.2.3 Các chứng thực (xác nhận)

Để xác nhận về nhân thân, được phát hành bởi một cơ quan chứng thực bên thứ ba CA (third- party certificate authority) đáng tin cậy

Một chứng thực bao gồm các bản ghi các thông số như seri, tên người chủ sở hữu, các chìa khóa công khai của người chủ sở hữu (một cho việc trao đổi khóa bí mật với tư cách là người nhận và một cho chữ ký số với tư cách người gửi), một thuật toán sử dụng những khóa này, loại hình chứng thực, tên của CA và chữ ký số của CA Việc chứng thực được củng cố thêm bằng việc sử dụng các giấy chứng nhận

Sự cần thiết của chứng thực: Trước khi hai bên sử dụng mã hóa khóa công cộng để tiến hành kinh doanh, mỗi bên muốn được đảm bảo rằng bên kia là xác thực Trước khi A nhận một thông điệp với chữ ký số hóa của B, anh ta muốn được đảm bảo rằng khóa công cộng thuộc về B chứ không phải thuộc ai đó cải trang B trên một trang mở Một cách để đảm bảo chắc chắn rằng khóa công cộng thuộc về B

là phải nhận được nó trên một kênh được đảm bảo trực tiếp từ B Tuy nhiên, trong hầu hết các trường hợp, giải pháp này là không thực tế Một giải pháp thay thế cho việc truyền tải đảm bảo về khóa là sử dụng một bên thứ ba được ủy thác để xác nhận rằng khóa công cộng thuộc về B Bên thứ ba như vậy gọi là cơ quan chứng nhận CA CA có thể yêu cầu B xuất trình CMND cho một công chứng viên trước khi phát hành chứng nhận

Các nhà chứng thực điện tử CA cung cấp cho khách hàng đầy đủ thông tin và cách sử dụng khóa mã và phải đảm bảo những điều kiện sau:

- Chứng thực danh tính của những người tham gia giao dịch: Chỉ có chủ sở hữu của chứng chỉ số mới có thể ký chữ ký điện tử và gửi thông điệp đi Và người nhận thông điệp tin tưởng thông điệp đúng là của người chủ hợp pháp gửi đến

- Bảo mật được thông tin: Thông điệp được mã hoá trước khi chuyển đi

- Đảm bảo tính toàn vẹn của dữ liệu khi đến người nhận: Thông tin đã được

mã hoá sẽ không bị sửa đổi trên đường

Sau khi B đã cung cấp một bằng chứng về nhận dạng, cơ quan cấp chứng nhận sẽ tạo ra một thông điệp chứa đựng tên của B và khóa công cộng của anh ta Thông điệp này được gọi là một giấy chứng nhận, được ký số hóa bởi cơ quan chứng nhận Nó chứa đựng các thông tin nhận dạng người chủ cũng như một bản

copy của một trong các khóa công cộng của người chủ Để đạt lợi ích tốt nhất, khóa công cộng của cơ quan chứng nhận nên được càng nhiều người biết càng tốt

Ở Việt Nam hiện nay việc xây dựng phát triển hệ thống CA là một nhân tố rất quan trọng giúp thúc đẩy nền TMĐT VN phát triển Do đó mới chỉ có 1 số tổ chức đứng ra cung cấp thử nghiệm và phát triển chữ kí điện tử như VDC,VASC Bộ Thông tin và Truyền thông (MIC) đang xây dựng trung tâm chứng thực điện tử quốc gia RootCA.Và tất nhiên tính an toàn của chữ kí điện tử do những tổ chức này cung cấp không thể so sánh đuợc với các đại gia lâu năm trên thế giới như Verisign, Entrust, RSA

1.2.4 Giao thức giao dịch điện tử bảo mật

SET (secure electronic transaction protocol)

SET là giao thức điện tử an toàn tập hợp những kỹ thuật mã hoá và bảo mật nhằm mục đích đảm bảo an toàn cho các giao dịch mua bán trên mạng Mục đích của SET là bảo vệ hệ thống thẻ tín dụng, tạo cho khách hàng, doanh nghiệp, ngân hàng, các tổ chức tài chính sự tin cậy trong khi giao dịch mua bán trên Internet

Tóm lại SET được thiết lập để bảo mật những thông tin về cá nhân cũng như thông tin về tài chính trong quá trình mua bán và giao dịch trên mạng

Giao thức SET được thiết kế nguyên thủy bởi Visa và MasterCard vào năm

1997 và được phát triển dần lên từ đó Giao thức SET đáp ứng được 4 yêu cầu về bảo mật trong TMĐT: xác thực, mã hóa, tính chân thực, tính không thoái thác Ngoài ra SET xác định hình thức thông điệp, hình thức chứng thực, và thể thức trao đổi thông điệp Trong giao thức SET, có 4 thực thể: người chủ sở hữu thẻ, người kinh doanh thẻ, cơ quan chứng thực CA và cổng nối thanh toán Vai trò của cơ quan phát hành, cơ quan nhận thanh toán và cơ quan nhãn hiệu vượt quá tầm của các đặc tính giao thức SET

SSL (secure socket layer)

SSL là giao thức an toàn tầng vận chuyển, ban đầu được phát triển bởi Netscape Sau đó phiên bản 3 của nó được thiết kế cho đầu vào công cộng và trở thành chuẩn Internet

Giao thức SSL đã được sử dụng rộng rãi trên mạng Internet trong việc xác thực và mã hoá thông tin giữa máy trạm và máy chủ SSL có thể sử dụng để hỗ trợ các giao dịch an toàn cho rất nhiều ứng dụng khác nhau trên Internet SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:

+ Xác thực máy chủ: Cho phép người sử dụng xác thực được máy chủ muốn kết nối Lúc này, phía người sử dụng sẽ sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằng chứng chỉ và khoá công cộng của máy chủ là có giá trị và được cấp phát bởi một CA trong danh sách các CA đáng tin cậy của máy trạm

+ Xác thực máy trạm: Cho phép phía máy chủ xác thực được người sử dụng muốn kết nối Phía máy chủ cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xem chứng chỉ và khoá công cộng của máy chủ có giá trị hay không và được cấp phát bởi một CA trong danh sách các CA đáng tin cậy không

+ Mã hoá kết nối: Tất cả các thông tin trao đổi giữa máy trạm và máy chủ được mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật

IPsec (internet protocol security)

IPSec là một giao thức mạng về bảo mật, cho phép việc truyền tải dữ liệu được mã hóa an toàn ở lớp mạng (Network Layer) theo mô hình OSI thông qua mạng công cộng như Internet

IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật:

- Mã hoá quá trình truyền thông tin

- Đảm bảo tính nguyên vẹn của dữ liệu

- Phải được xác thực giữa các giao tiếp

- Chống quá trình replay trong các phiên bảo mật

CHƯƠNG 2: TÌM HIỂU VỀ HẠ TẦNG KHÓA CÔNG KHAI PKI

2.1 Tìm hi ểu về hạ tầng khóa công khai PKI

2.1.1 Khái niệm hạ tầng cơ sở mật mã khóa công khai

Hạ tầng khóa công khai (Public Key Infrastructure - PKI) là một cơ chế để cho một bên thứ 3 (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin Cơ chế này cho phép gán cho mỗi chủ thể trong hệ thống một cặp khóa công khai/khóa bí mật Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm phối hợp khác tại các địa điểm của người dùng Khóa công khai thường được phân phối trong chứng thực khóa công khai (chứng chỉ số)

Các dịch vụ và phạm vi ứng dụng của PKI

Các dịch vụ sử dụng PKI có khả năng đảm bảo năm yêu cầu sau:

- Bảo mật thông tin

- Toàn vẹn thông tin

- Xác thực thực thể

- Chống chối bỏ

- Tính pháp lý

Phạm vi ứng dụng của PKI

Phạm vi ứng dụng của PKI bao trùm các hệ thống từ lớn tới nhỏ và thuộc

nhiều lĩnh vực như: ngân hàng, tài chính, viễn thông, hàng không, các nghành công nghiệp hay cho hoạt động trao đổi công văn giữa các Sở, Ban, Nghành,…

2.1.2 Các thành phần của PKI

Một hệ thống PKI gồm 4 thành phần sau:

- Certification Authorities (CA): Cấp và thu hồi chứng thư số

- Registration Authorities (RA): Gắn kết giữa khoá công khai và định danh của người giữ chứng thư số

- Clients

o Người sử dụng chứng thư số PKI hay theo cách khác được xác định

Hình 2.1 : Các thành phần PKI 2.2 Tổ chức chứng thực (Certification Authority)

Trong hạ tầng cơ sở khoá công khai, chứng thư số có vai trò gắn kết giữa định danh với khoá công khai Sự gắn kết này thể hiện trong dạng cấu trúc dữ liệu được ký số được đề cập đến như chứng thư số đã được thảo luận ở phần trước Một

certificate authority (CA) là một thực thể PKI có trách nhiệm cấp chứng thư số cho các thực thể khác trong hệ thống

Tổ chức chứng thực - CA cũng được gọi là bên thứ ba được tin tưởng vì người sử dụng cuối tin tưởng vào chữ ký số của CA trên chứng thư số trong khi thực hiện những hoạt động mã hoá khoá công khai cần thiết Tổ chức cung cấp dịch

vụ chứng thực - Certification Service Provider (CSP) là một thuật ngữ khác nhắc đến CA được sử dụng trong luận văn

Thông thường, CA thực hiện chức năng xác thực bằng cách cấp chứng thư số cho các CA khác và cho thực thể cuối (người giữ chứng thư số) trong hệ thống Nếu

CA nằm ở đỉnh của mô hình phân cấp PKI và chỉ cấp chứng thư số cho những CA ở mức thấp hơn thì chứng thư số này được gọi là chứng thư số gốc “root certificate”

2.3 Trung tâm đăng ký (Registration Authorities)

Mặc dù CA có thể thực hiện những chức năng đăng ký cần thiết, nhưng đôi khi cần có thực thể độc lập thực hiện chức năng này Thực thể này được gọi là

“registration authority”- trung tâm đăng ký Ví dụ khi số lượng thực thể cuối trong miền PKI tăng lên và số thực thể cuối này được phân tán khắp nơi về mặt địa lý thì việc đăng ký tại một CA trung tâm trở thành vấn đề khó giải quyết Để giải quyết vấn đề này cần thiết phải có một hoặc nhiều RAs (trung tâm đăng ký địa phương)

Mục đích chính của RA là để giảm tải công việc của CA Chức năng thực hiện của một RA cụ thể sẽ khác nhau tuỳ theo nhu cầu triển khai PKI nhưng chủ yếu bao gồm những chức năng sau:

- Xác thực cá nhân chủ thể đăng ký chứng thư số

- Kiểm tra tính hợp lệ của thông tin do chủ thể cung cấp

- Xác nhận quyền của chủ thể đối với những thuộc tính chứng thư số được yêu cầu

- Kiểm tra xem chủ thể có thực sự sở hữu khoá bí mật đang được đăng ký hay không - điều này thường được đề cập đến như sự chứng minh sở hữu (proof of possession - POP)

- Tạo cặp khoá bí mật /công khai

- Phân phối bí mật được chia sẻ đến thực thể cuối (ví dụ: khoá công khai của CA)

- Thay mặt chủ thể thực thể cuối khởi tạo quá trình đăng ký với CA

- Lưu trữ khoá bí mật

- Khởi sinh qúa trình khôi phục khoá

- Phân phối thẻ bài vật lý (ví dụ như thẻ thông minh) chứa khoá bí mật Nhìn chung, RA xử lý việc trao đổi (thường liên quan đến tương tác người dùng) giữa chủ thể thực thể cuối và quá trình đăng ký, phân phối chứng thư số và quản lý vòng đời chứng thư số/khoá Tuy nhiên, trong bất kỳ trường hợp nào thì RA cũng chỉ đưa

ra những khai báo tin cậy ban đầu về chủ thể Chỉ CA mới có thể cấp chứng thư số hay đưa ra thông tin trạng thái thu hồi chứng thư số như CRL

2.4 Thực thể cuối (Người giữ chứng thư số và Clients)

Thực thể cuối trong PKI có thể là con người, thiết bị, và thậm chí là một chương trình phần mềm nhưng thường là người sử dụng hệ thống Thực thể cuối sẽ thực hiện những chức năng mật mã (mã hoá, giải mã và ký số)

2.5 Hệ thống lưu trữ (Repositories)

Chứng thư số (khoá công khai) và thông tin thu hồi chứng thư số phải được phân phối sao cho những người cần đến chứng thư số đều có thể truy cập và lấy được Có 2 phương pháp phân phối chứng thư số:

2.5.1 - Phân phối cá nhân

Phân phối cá nhân là cách phân phối cơ bản nhất Trong phương pháp này thì mỗi cá nhân sẽ trực tiếp đưa chứng thư số của họ cho người dùng khác Việc này có thể thực hiện theo một số cơ chế khác nhau Chuyển giao bằng tay chứng thư số được lưu trong đĩa mềm hay trong một số các môi trường lưu trữ khác Cũng có thể phân phối bằng cách gắn chứng thư số trong e-mail để gửi cho người khác Cách này thực hiện tốt trong một nhóm ít người dùng nhưng khi số lượng người dùng tăng lên thì có thể xảy ra vấn đề về quản lý

2.5.2 - Phân phối công khai

Một phương pháp khác phổ biến hơn để phân phối chứng thư số (và thông

tin thu hồi chứng thư số) là công bố các chứng thư số rộng rãi, các chứng thư số này

có thể sử dụng một cách công khai và được đặt ở vị trí có thể truy cập dễ dàng Những vị trí này được gọi là cơ sở dữ liệu Dưới đây là ví dụ về một số hệ thống lưu trữ:

- X.500 Directory System Agents (DSAs)

- Lightweight Directory Access Protocol (LDAP) Server

- Online Certificate Status Protocol (OCSP) Responders

- Domain name System (DNS) và Web servers

- File Transfer Protocol (FTP) Servers và Corporate Databases

2.6 Một số chức năng của PKI

Những hệ thống cho phép PKI có những chức năng khác nhau Nhưng nhìn chung

có hai chức năng chính là: chứng thực và thẩm tra

2.6.1 Chứng thực (certification)

Chứng thực là chức năng quan trọng nhất của hệ thống PKI Đây là quá trình ràng buộc khoá công khai với định danh của thực thể CA là thực thể PKI thực hiện chức năng chứng thực Có hai phương pháp chứng thực:

- Tổ chức chứng thực (CA) tạo ra cặp khoá công khai / khoá bí mật và tạo

ra chứng thư số cho phần khoá công khai của cặp khoá

- Người sử dụng tự tạo cặp khoá và đưa khoá công khai cho CA để CA tạo chứng thư số cho khoá công khai đó Chứng thư số đảm bảo tính toàn vẹn của khoá công khai và các thông tin gắn cùng

2.6.2 Thẩm tra (validation)

Quá trình xác định liệu chứng thư số đã đưa ra có thể được sử dụng đúng mục đích thích hợp hay không được xem như là quá trình kiểm tra tính hiệu lực của chứng thư số Quá trình này bao gồm một số bước sau:

- Kiểm tra xem liệu có đúng là CA được tin tưởng đã ký số lên chứng thư số hay không (xử lý theo đường dẫn chứng thư số)

- Kiểm tra chữ ký số của CA trên chứng thư số để kiểm tra tính toàn vẹn

- Xác định xem chứng thư số còn ở trong thời gian có hiệu lực hay không

- Xác định xem chứng thư số đã bị thu hồi hay chưa

- Xác định xem chứng thư số đang được sử dụng có đúng mục đích, chính sách, giới hạn hay không (bằng cách kiểm tra những trường mở rộng cụ thể như mở rộng chính sách chứng thư số hay mở rộng việc sử dụng khoá)

 Khởi tạo ban đầu

Khi hệ thống trạm của chủ thể nhận được các thông tin cần thiết để liên lạc với CA thì quá trình khởi tạo bắt đầu Những thông tin này có thể là khoá công khai của CA, chứng thư số của CA, cặp khóa công /bí mật của chủ thể

Một số hệ thống khác sử dụng cơ chế dựa trên password trong giai đoạn khởi tạo Người dùng cuối liên lạc với CA khi nhận được password và sau đó thiết lập một kênh bảo mật để truyền những thông tin cần thiết Giai đoạn khởi tạo thường tiếp tục với quá trình chứng thực

 Khôi phục cặp khoá

Hầu hết hệ thống PKI tạo ra hai cặp khoá cho người sử dụng cuối, một để ký

số và một để mã hoá Lý do để tạo hai cặp khoá khác nhau xuất phát từ yêu cầu khôi phục và sao lưu dự phòng khoá

Tuỳ theo chính sách của tổ chức, bộ khoá mã (mã và giải mã) và những thông tin liên quan đến khoá của người sử dụng phải được sao lưu để có thể lấy lại được dữ liệu khi người sử dụng mất khoá bí mật hay rời khỏi đơn vị

Còn khoá để ký số được sử dụng tuỳ theo mục đích cá nhân nên không được sao lưu Riêng khoá bí mật của CA thì được lưu giữ dự phòng trong một thời gian dài để giải quyết những vấn đề nhầm lẫn có thể xảy ra trong tương lai Hệ thống PKI có những công cụ để thực hiện chức năng sao lưu và khôi phục khoá

 Tạo khoá

Cặp khoá công khai/bí mật có thể được tạo ở nhiều nơi Chúng có thể được tạo

ra bằng phần mềm phía client và được gửi đến CA để chứng thực CA cũng có thể tạo

ra cặp khoá trước khi chứng thực Trong trường hợp này, CA tự tạo cặp khoá và gửi khoá bí mật này cho người sử dụng theo một cách an toàn Nếu khoá do bên thứ ba tạo

ra thì những khoá này phải được CA tin cậy trong miền xác nhận trước khi sử dụng

 Hạn sử dụng và cập nhật khoá

Một trong những thuộc tính của chứng thư số là thời gian hiệu lực Thời gian hiệu lực của mỗi cặp khoá được xác định theo chính sách sử dụng Các cặp khoá của người sử dụng nên được cập nhật khi có thông báo về ngày hết hạn Hệ thống sẽ thông báo về tình huống này trong một thời gian nhất định Chứng thư số mới sẽ được người cấp công bố tự động sau thời gian hết hạn

 Xâm hại khoá

Đây là trường hợp không bình thường nhưng nếu xảy ra thì khoá mới sẽ được công bố và tất cả người sử dụng trong hệ thống sẽ nhận thấy điều này Xâm hại đến khoá của CA là một trường hợp đặc biệt Và trong trường hợp này thì CA sẽ công bố lại tất cả các chứng thư số với CA-certificate mới của mình

 Thu hồi

Chứng thư số được công bố sẽ được sử dụng trong khoảng thời gian có hiệu lực Nhưng trong trường hợp khoá bị xâm hại hay có sự thay đổi trong thông tin của chứng thư số thì chứng thư số mới sẽ được công bố, chứng thư số cũ sẽ bị thu hồi

 Công bố và gửi thông báo thu hồi chứng thư số

Một chứng thư số được cấp cho người sử dụng cuối sẽ được gửi đến cho

người nắm giữ và hệ thống lưu trữ để có thể truy cập công khai Khi một chứng thư

số bị thu hồi vì một lý do nào đó, tất cả người sử dụng trong hệ thống sẽ được thông báo về việc này Phương thức để công bố và gửi những thông báo thu hồi đã được

đề cập chi tiết trong nội dung về chứng thư số ở phần trên

 Xác thực chéo

Xác thực chéo là một trong những đặc tính quan trọng nhất của hệ thống PKI Chức năng này được sử dụng để nối hai miền PKI khác nhau Xác thực chéo là cách để thiết lập môi trường tin cậy giữa hai CA dưới những điều kiện nhất định

Những điều kiện này được xác định theo yêu cầu của người sử dụng Những người sử dụng ở các miền khác nhau chỉ có thể giao tiếp an toàn với người khác sau khi việc xác thực chéo giữa các CA thành công

Xác thực chéo được thiết lập bằng cách tạo chứng thư số CA xác thực lẫn nhau Nếu CA-1 và CA-2 muốn thiết lập xác thực chéo thì cần thực hiện một số bước sau:

- CA-1 công bố CA - certificate cho CA-2

- CA-2 công bố CA - certificate cho CA-1

- CA-1 và CA-2 sẽ sử dụng những trường mở rộng xác định trong chứng thư số để đặt những giới hạn cần thiết trong CA-certificate

Việc xác thực chéo đòi hỏi phải có sự kiểm tra cẩn thận các chính sách PKI Nếu cả hai đều có cùng hoặc tương tự chính sách của nhau thì việc xác thực chéo sẽ

có ý nghĩa Ngược lại, sẽ có những tình huống không mong muốn xuất hiện trong trường hợp chính sách PKI của một miền trở thành một phần của miền khác

Trường mở rộng “Policy mapping”, “name constraints” và “policy constraints” của chứng thư số X.509 chuẩn được sử dụng trong xác thực chéo để đưa ra một số giới hạn trong môi trường tin cậy

Mô hình chỉ ra chứng thư số chéo được cấp giữa mỗi CA và chứng thư số thực thể cuối được CA cấp Người cấp của một chứng thư số là chủ thể của chứng thư số khác Khoá công khai được xác nhận trong một chứng thư số tương ứng với khoá bí mật được sử dụng để ký chứng thư số khác

Hình 2.2 : Đường dẫn chứng thư số chéo

Hình 2.2 minh hoạ đường dẫn cấp chứng thư số được xây dựng giữa 2 CA (2

CA này đã thiết lập mối quan hệ tin cậy sử dụng xác thực chéo ngang hàng)

5/ Quản lý thời gian

6/ Giao tiếp giữa các PKI

Kỹ thuật bảo mật thông tin

Phần này giới thiệu hệ mã hóa công khai RSA Đây là hệ mã hóa thường được dùng trong các hệ PKI phục vụ bảo mật thong tin

Sơ đồ:

- Chọn ngẫu nhiên và độc lập hai số nguyên tố lớn p và q với p≠q

- Tính: n=p*q

- Tính giá trị hàm số Ф(n)=(p-1)*(q-1)

- Chọn số ngẫu nhiên b, 1<b< Ф(n) và là số nguyên tố cùng nhau với Ф(n)

- Tính a là nghịch đảo của b đối với Ф(n): ab≡1(mod Ф(n))

- Khi đó b là khóa mã hóa công khai và a là khóa giải mã bí mật

Lập mã

- Chọn P=C=Zn với n=p*q, Zn={0,1,2, ,n-1}

- Giả sử x là bản rõ cần mã hóa, khi đó bản mã y được tạo ra

theo công thức: y=xb(mod n)

dịch vụ Internet Banking được cung cấp, xây dựng dựa trên nền tảng hạ tầng khóa

công khai PKI này

CHƯƠNG 3 : PHÂN TÍCH GIẢI PHÁP AN NINH CHO DỊCH VỤ

INTERNET BANKING C ỦA NH CITIBANK CN HÀ NỘI

3.1 Kh ảo sát giải pháp triển khai tác nghiệp tại NH Citibank HN 3.1.1 Sơ đồ triển khai giải pháp an ninh

3.1.2 Mô hình tri ển khai Entrust IdentityGuard ở NH Citibank

Việc tích hợp Entrust IdentityGuard cho Ngân hàng Citibank chính là tích hợp vào các dịch vụ Internet Banking mà Ngân hàng Citibank cung cấp tới các khách hàng thông qua mạng Internet Trong mô hình này, tôi đưa ra ba phương pháp xác thực mà Entrust IdentityGuard hỗ trợ Những phương pháp này dễ dàng trong việc tích hợp triển khai hệ thống, tăng mức độ bảo mật cho các dịch và thuận tiện cho các khách hàng khi sử dụng Đó là:

· Xác thực bằng thẻ lưới áp dụng cho quá trình đăng nhập vào chương trình Internet Banking của Ngân hàng Citibank

· Xác thực bằng OTP Token (sử dụng Entrust OTP Token hoặc Safeword card OTP Token) áp dụng cho dịch vụ giao dịch thanh toán, chuyển khoản qua Internet

· Xác thực bằng OTP gửi bằng tin nhắn SMS tới thiết bị mobile (điện thoại

di động) của các khách hàng áp dụng cho dịch vụ giao dịch thanh toán qua Internet

Tùy thuộc vào qui mô, mức độ rủi ro của từng dịch vụ mà Ngân hàng Citibank có thể triển khai phương pháp xác thực thẻ lưới + OTP Token hoặc thẻ lưới + OTP gửi qua SMS hoặc cả ba phương pháp

Hình 3.1 : Mô hình tri ển khai Entrust IdentityGuard

Các thành phần trong mô hình

· Các khách hàng có thể sử dụng các phương pháp xác thực thẻ lưới, OTP Token, OTP gửi bằng SMS để xác thực trước khi sử dụng một dịch vụ nào đó của Ngân hàng Citibank

· Nhà cung cấp dịch vụ:

o Gửi nhận tin nhắn SMS: có trách nhiệm gửi và nhận tin nhắn giữa các khách hàng và Ngân hàng Citibank

o Internet: nơi đặt máy chủ của Ngân hàng Citibank

· Ngân hàng Citibank: nơi cung cấp các dịch vụ về thanh toán, giao dịch trực tuyến cho các khách hàng qua mạng Internet, mạng di động,…

o Máy chủ dịch vụ: cung cấp các dịch vụ giá trị gia tăng như: vấn tin, xem sao kê tài khoản, khởi tạo các giao dịch, tư vấn đầu tư,…

o Hệ thống core trung tâm thanh toán: là hệ thống phần mềm chuyên dụng trong lĩnh vực thanh toán, chuyển khoản của ngân hàng

o Máy chủ xác thực: hệ thống này có trách nhiệm xác thực các khách hàng trước khi họ tham ra vào một dịch vụ thanh toán trực tuyến của Ngân hàng

Citibank

3.1.3 Công c ụ mã hóa, giải mã dữ liệu trong quy trình thanh toán

Đây là một chương trình được phát triển bởi nhà cung cấp dịch vụ bảo mật Entrusst dựa trên hạ tầng khóa công khai PKI mà qua đó bạn có thể mã hóa các file

cần thiết bởi các chứng chỉ số cũng được cung cấp bởi Verisign

Như đã trình bày cơ bản ở trên, PKI – Public Key Infrastructure là hạ tầng khóa công khai đã được đặt làm nền tảng cho phần mềm mã hóa nhằm bảo vệ các thông tin cho khách hàng

Mã hóa khóa công khai – Public Key Encryption :

Là phương thức sử dụng 2 cặp khóa private key và public key để mã hóa các thông tin quan trọng trong giao dịch của khách hàng với Citibank khi được truyền lên chương trình Internet Banking CitiDirect

Người gửi, khách hàng sẽ sử dụng public key chỗ mà private key trung gian

sẽ được giải mã dữ liệu sau khi nhận được file từ người gửi

Private key được biết đến như là 1 thông số duy nhất mà khách hàng được giao cho và phải được đảm bảo tính bí mật

Public key thì được phân phối tới từng khách hàng , những người mà họ

muốn có những phương pháp giao tiếp bảo mật với private key của họ Khách hàng

sẽ mã hóa các thông tin giao dịch, file giao dịch của mình bởi public key của Citibank – là nơi nhận Khi file đã được mã hóa thì nó chỉ thể can thiệp, chỉnh sửa hay xem bởi Citibank – là người nhận file với việc sử dụng private key để giải mã,

đồng nghĩa với việc file này không thể xem hoặc giải mã được bởi đơn vị khác

3.2 Phân tích quy trình xác th ực người dùng của Entrust IdentityGuard

3.2.1 Tìm hi ểu phương pháp xác thực trong Entrust IdentityGuard

Entrust IdentityGuard có thể cung cấp hai loại xác thực đồng thời là:

· Các phương pháp xác thực mạnh người dùng khi truy cập dịch vụ

· Các phương pháp xác thực 2 chiều giúp người dùng có thể kiểm tra tính chân thật của các Web site dịch vụ trực tuyến

Chúng ta sẽ đi sâu hơn vào từng loại xác thực, đầu tiên là các phương pháp xác thực mạnh người dùng khi truy cập dịch vụ Entrust hỗ trợ 6 lựa chọn phương pháp xác thực có thể thực hiện riêng lẻ hoặc kết hợp đồng thời, bao gồm:

· Xác thực người dùng bằng ma trận lưới ngẫu nhiên Mỗi khách hàng sẽ được cấp một thẻ bảo mật trên đó in một ma trận hàng/cột với các giá trị trong các ô