Luận văn Một số công cụ công nghệ thông tin dùng trong thanh toán điện tử

-1-

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

HOÀNG PHƯƠNG BẮC

MỘT SỐ CÔNG CỤ CÔNG NGHỆ THÔNG TIN

DÙNG TRONG THANH TOÁN ĐIỆN TỬ

LUẬN VĂN THẠC SĨ

Hà Nội - 2009

-2-

LỜI CAM ĐOAN

Tôi xin cam đoan toàn bộ nội dung bản luận văn “Một số công cụ công

nghệ thông tin dùng trong thanh toán điện tử” là do tôi tự sưu tầm, tra cứu và

tìm hiểu theo tài liệu tham khảo và làm theo hướng dẫn của người hướng dẫn

khoa học .

Nội dung bản luận văn chưa từng được công bố hay xuất bản dưới bất kỳ

hình thức nào và cũng không được sao chép từ bất kỳ một công trình nghiên cứu

nào. Các nguồn lấy từ tài liệu tham khảo đều được chú thích rõ ràng, đúng quy

định.

Nếu sai tôi xin hoàn toàn chịu trách nhiệm.

Hà nội, tháng 09 năm 2009

Người cam đoan

Hoàng Phương Bắc

-3-

LỜI CẢM ƠN

Lời đầu tiên, tôi xin được gửi lời cảm ơn chân thành và sâu sắc tới PGS.TS

Trịnh Nhật Tiến, người thầy đã cho tôi những định hướng và ý kiến quý báu

trong suốt quá trình hoàn thành luận văn.

Tôi xin cảm ơn các thầy, cô trong khoa Công Nghệ Thông Tin cùng các

thầy cô trong trường Đại học Công Nghệ - ĐHQGHN đã giảng dạy, truyền đạt

cho tôi những kiến thức quý báu trong những năm học qua.

Tôi xin được gửi lời cảm ơn sâu sắc tới gia đình và bạn bè, những người

luôn kịp thời động viên, khích lệ giúp đỡ tôi vượt qua những khó khăn để tôi có

thể hoàn thành nhiệm vụ của mình.

Do còn hạn chế về nhiều mặt nên luận văn không thể tránh khỏi những

thiếu sót. Rất mong nhận được sự chỉ bảo, góp ý của Thầy, cô và các bạn.

Hà Nội, Tháng 9 năm 2009

Học viên

Hoàng Phương Bắc

-4-

MỤC LỤC

LỜI CAM ĐOAN........................................................................................................2

LỜI CẢM ƠN .............................................................................................................3

MỤC LỤC...................................................................................................................4

BẢNG CHỮ VIẾT TẮT..............................................................................................9

DANH MỤC HÌNH VẼ.............................................................................................10

MỞ ĐẦU...................................................................................................................12

CHƯƠNG 1 MỘT SỐ KHÁI NIỆM CƠ BẢN.....................................................14

1.1. CÁC KHÁI NIỆM TRONG TOÁN HỌC...............................................................14

1.1.1. Số nguyên tố và nguyên tố cùng nhau.......................................................14

1.1.2. Đồng dư thức ...........................................................................................14

*

1.1.3. Không gian Z_nvà Z_n................................................................................15

1.1.4. Khái niệm phần tử nghịch đảo trong Z_n....................................................15

1.1.5. Khái niệm nhóm, nhóm con, nhóm Cyclic................................................16

1.1.6. Bộ phần tử sinh ........................................................................................16

1.1.7 Bài toán đại diện........................................................................................17

1.1.8. Hàm một phía và hàm một phía có cửa sập...............................................17

1.1.9. Độ phức tạp tính toán ...............................................................................18

1.2. TỔNG QUAN VỀ AN TOÀN THÔNG TIN...........................................................19

1.2.1. Tại sao phải đảm bảo an toàn thông tin.....................................................19

1.2.2. Một số vấn đề rủi ro mất an toàn thông tin................................................20

1.2.2.1. Xâm phạm tính bí mật. ......................................................................20

1.2.2.2. Xâm phạm tính toàn vẹn....................................................................21

1.2.2.3. Xâm phạm tính sẵn sàng....................................................................21

1.2.2.4. Giả mạo nguồn gốc giao dịch ............................................................22

1.2.2.5. Chối bỏ giao dịch ..............................................................................22

1.2.2.6. Các hiểm họa đối với hệ thống giao dịch ...........................................22

1.2.3. Chiến lược đảm bảo an toàn thông tin ......................................................25

1.3. TỔNG QUAN VỀ THANH TOÁN ĐIỆN TỬ ........................................................27

1.3.1. Khái niệm Thương mại điện tử.................................................................27

1.3.2. Vấn đề thanh toán điện tử.........................................................................27

-5-

1.4. CÔNG CỤ CNTT DÙNG TRONG THANH TOÁN ĐIỆN TỬ.............................29

1.4.1 Hạ tầng cơ sở bảo đảm an toàn thông tin ...................................................29

1.4.1.1. Tường lửa..........................................................................................29

1.4.1.2. Mạng riêng ảo...................................................................................29

1.4.1.3 Hạ tầng mật mã hóa công khai............................................................30

1.4.2. Một số tiện ích dùng trong thanh toán điện tử...........................................31

1.4.2.1. Thanh toán bằng các loại thẻ .............................................................31

1.4.2.2. Thanh toán bằng séc điện tử ..............................................................31

1.4.2.3. Thanh toán bằng tiền điện tử..............................................................32

CHƯƠNG 2 HẠ TẦNG CƠ SỞ BẢO ĐẢM AN TOÀN THÔNG TIN............33

2.1. HẠ TẦNG MẠNG MÁY TÍNH...............................................................................33

2.1.1. Mạng Lan, Wan, Intranet, Extranet và Internet........................................33

2.1.1.1. Mạng cục bộ ( LAN) .........................................................................33

2.1.1.2. Mạng diện rộng- WAN......................................................................35

2.1.1.3. Mạng Intranet, Extranet.....................................................................35

2.1.1.4. Mạng Internet ....................................................................................36

2.1.2. Một số dịch vụ internet (internet services)................................................37

2.1.2.1. World Wide Web – WWW................................................................37

2.1.2.2. Thư điện tử – Email...........................................................................37

2.1.2.3. Truyền, tải tập tin – FTP....................................................................38

2.1.2.4. Tán gẫu – Chat ..................................................................................38

2.1.2.5. Làm việc từ xa – Telnet.....................................................................38

2.1.2.6. Nhóm tin tức – Usenet, newsgroup...................................................39

2.1.2.7. Dịch vụ danh mục (Directory Services) .............................................39

2.1.3 Các nhà cung cấp dịch vụ trên Internet ......................................................39

2.1.3.1. Nhà cung cấp dich vụ ISP (Internet Service Provider) .......................39

2.1.3.2. Nhà cung cấp dịch vụ IAP (Internet Access Provider) .......................39

2.1.3.3. Nhà cung cấp dịch vụ ICP (Internet Content Provider) .....................40

2.1.3.4. Cấp phát tên miền (Internet Domain Name Provider) ........................40

2.1.3.5. Cho thuê máy chủ web - hosting (Server Space Provider)..................40

-6-

2.2. HẠ TẦNG ĐẢM BẢO AN TOÀN THÔNG TIN....................................................41

2.2.1 Tường lửa..................................................................................................41

2.2.2 Mạng riêng ảo ...........................................................................................43

2.2.2.1. VPN truy nhập từ xa..........................................................................43

2.2.2.2. VPN điểm tới điểm............................................................................45

2.2.3 Các giao thức đảm bảo an toàn truyền tin.................................................48

2.2.3.1. Giao thức SSL...................................................................................48

2.2.3.2. Giao thức SHTTP..............................................................................48

2.2.3.3. Giao thức IPSec.................................................................................49

2.2.3.4. Giao thức TCP/IP ..............................................................................49

2.2.3.5. Giao thức bảo mật SET......................................................................50

2.2.4. Công nghệ xây dựng PKI .........................................................................51

2.2.4.1. Công nghệ OpenCA ..........................................................................51

2.2.4.2. Công nghệ SSL..................................................................................52

2.2.4.3. Giao thức truyền tin an toàn tầng liên kết dữ liệu (Data Link)............55

2.2.4.4. Giao thức truyền tin an toàn tầng ứng dụng(Application). .................56

2.2.4.5. Một số công nghệ bảo đảm an toàn thông tin trên thế giới .................58

2.3. HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI (PKI) ................................................59

2.3.1. Khái niệm về PKI.....................................................................................59

2.3.2. Hiện trạng sử dụng chứng chỉ số trên thế giới và ở Việt Nam...................60

2.3.3. Các thành phần kỹ thuật cơ bản của PKI ..................................................62

2.3.3.1. Mã hóa ..............................................................................................62

2.3.3.2. Chữ ký số ..........................................................................................65

2.3.3.3. Chứng chỉ khóa công khai ( Chứng chỉ số) ........................................75

2.3.4. Các đối tượng cơ bản của hệ thống PKI....................................................80

2.3.4.1. Chủ thể và các đối tượng sử dụng......................................................80

2.3.4.2. Đối tượng quản lý chứng chỉ số.........................................................81

2.3.4.3. Đối tượng quản lý đăng ký chứng chỉ số............................................82

2.3.5. Các hoạt động cơ bản trong hệ thống PKI.................................................83

2.3.5.1. Mô hình tổng quát của hệ thống PKI .................................................83

2.3.5.2. Thiết lập các chứng chỉ số .................................................................83

2.3.5.3. Khởi tạo các EE (End Entity) ............................................................83

2.3.5.4. Các hoạt động liên quan đến chứng chỉ số .........................................84

2.3.6 Những vấn đề cơ bản trong xây dựng hệ thống CA ...................................87

2.3.6.1. Các mô hình triển khai hệ thống CA..................................................87

2.3.6.2. Những chức năng bắt buộc trong quản lý PKI ...................................92

-7-

CHƯƠNG 3 MỘT SỐ TIỆN ÍCH DÙNG TRONG THANH TOÁN ĐIỆN TỬ..95

3.1. THẺ THANH TOÁN ...............................................................................................95

3.1.1. Giới thiệu về thẻ thông minh ....................................................................95

3.1.1.1. Khái niệm thẻ thông minh .................................................................95

3.1.1.2. Phân loại thẻ thông minh ...................................................................95

3.1.1.3. Các chuẩn trong thẻ thông minh ........................................................97

3.1.1.4. Phần cứng của thẻ thông minh...........................................................98

3.1.1.5. Hệ điều hành của thẻ thông minh.....................................................100

3.1.2. Các giao thức với thẻ thông minh...........................................................104

3.1.2.1. Giao thức truyền thông với thẻ thông minh......................................104

3.1.2.2 Giao thức xác thực với thẻ thông minh .............................................110

3.1.3. Thẻ thanh toán........................................................................................112

3.1.3.1. Luồng giao dịch trên ATM ..............................................................112

3.1.3.2. Chu trình giao dịch trên POS...........................................................113

3.1.3.3. Quy trình thực hiện các giao dịch thẻ tín dụng:................................117

3.2.TIỀN ĐIỆN TỬ.......................................................................................................119

3.2.1. Giới thiệu về tiền điện tử........................................................................120

3.2.1.1. Khái niệm tiền điện tử .....................................................................120

3.2.1.2. Cấu trúc tiền điện tử ........................................................................120

3.2.1.3. Phân loại tiền điện tử.......................................................................121

3.2.1.4. Tính chất của tiền điện tử ................................................................122

3.2.1.5. Các giao thức với tiền điện tử.........................................................124

3.2.2. Một số vấn đề đối với tiền điện tử ..........................................................128

3.2.2.1. Vấn đề ẩn danh người dùng.............................................................128

3.2.2.2. Vấn đề giả mạo và tiêu một đồng tiền nhiều lần...............................128

3.2.3. Lược đồ CHAUM-FIAT-NAOR ...........................................................129

3.2.3.1 Giao thức rút tiền..............................................................................130

3.2.3.2 Giao thức thanh toán.........................................................................131

3.2.3.3 Giao thức gửi....................................................................................131

3.2.3.4. Đánh giá..........................................................................................131

3.2.3.5. Chi phí.............................................................................................132

3.2.3.6. Tấn công..........................................................................................132

-8-

3.2.4. Lược đồ BRAND ...................................................................................133

3.2.4.1. Khởi tạo tài khoản ...........................................................................133

3.2.4.2. Giao thức rút tiền.............................................................................134

3.2.4.3. Giao thức thanh toán........................................................................135

3.2.4.4. Giao thức gửi...................................................................................136

3.2.4.5. Đánh giá..........................................................................................136

3.2.5. Một số hệ thống tiền điện tử...................................................................137

3.2.5.1. Hệ thống FIRST VIRTUAL ............................................................137

3.2.5.2. Hệ thống tiền điện tử DIGICASH....................................................139

3.5.2.3. Hệ thống MILLICENT....................................................................142

3.5.2.4. Hệ thống MONDEX........................................................................144

3.5.2.5. Hệ thống PAYWORD .....................................................................145

KẾT LUẬN.............................................................................................................148

TÀI LIỆU THAM KHẢO........................................................................................149

-9-

BẢNG CHỮ VIẾT TẮT

ARLs

ATTT

BIN

Authority Revocation Lists

An toàn thông tin

Bank Identification Number

Certificate Authority

CA

CRLs

DES

DNS

DSS

EE

Certificate Revocation Lists

Data Encryption Standard

Domain Name System

Digital Signature Standard

End Entity

HTTPS

IIN

Secure Hypertext Transaction Standard

Issuer Identification Number

Internet Service Providers

Network Service Providers

Point of Sale

ISPs

NSPs

POS

Personal Identification Number

Public Key Certificate

Public Key Infrastructure

Secure Electronic Transaction

Registration Authorities

Secure Socket Layer

PKC

PKI

SET

RA

SSL

TLS

TMĐT

TTĐT

Transport Layer Security

Thương mại điện tử

Thanh toán điện tử

-10-

DANH MỤC HÌNH VẼ

Hình 1.1: Các lớp bảo vệ thông tin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Hình 1.2 : Một hệ thống mạng riêng ảo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291

Hình 2.1 : Mạng cục bộ LAN . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Hình 2.2 : Các topology mạng cục bộ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Hình 2.3: Mạng diện rộng (WAN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Hình 2.4 : Kiến trúc mạng Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Hình 2.5: Bức tường lửa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Hình 2.6 : Máy phục vụ uỷ quyền (Proxy server). . . . . . . . . . . . . . . . . . . . . . . . 42

Hình 2.7 : Mô hình VPN truy nhập từ xa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Hình 2.8 : Mô hình VPN cục bộ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Hình 2.9: Mô hình VPN mở rộng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Hình 2.10: Vị trí SSL trong mô hình OSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

Hình 2.11: Hệ mã hóa khóa đối xứng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Hình 2.12: Hệ mã hóa khóa công khai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Hình 2.13: Chữ ký số . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Hình 2.14: Mô hình quá trình ký có sử dụng hàm băm . . . . . . . . . . . . . . . . . . . 67

Hình 2.15: Quá trình kiểm thử . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Hình 2.16: Mô hình ký của loại chữ ký khôi phục thông điệp . . . . . . . . . . . . . .67

Hình 2.17: Sơ đồ chữ ký một lần của Schnorr . . . . . . . . . . . . . . . . . . . . . . . . . . 70

H ình 2.18: Sơ đồ chữ ký mù . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73

Hình 2.19: Sơ đồ chữ ký mù dựa trên chữ ký RSA . . . . . . . . . . . . . . . . . . . . . . 74

Hình 2.20: Các đối tượng và hoạt động cơ bản trong hệ thống PKI . . . . . . . . . 83

Hình 2.21: Kiến trúc CA phân cấp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87

Hình 2.22: Kiến trúc CA mạng lưới . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89

Hình 2.23: Kiến trúc CA danh sách tin cậy . . . . . . . . . . . . . . . . . . . . . . . . . . . .91

-11-

Hình 3.1: Các điểm tiếp xúc theo chuẩn ISO 7816-2 . . . . . . . . . . . . . . . . . . . . 98

Hình 3.2: Cấu trúc file trong thẻ thông minh . . . . . . . . . . . . . . . . . . . . . . . . . ..100

Hình 3.3: Cấu trúc file EF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102

Hình 3.4: Cấu trúc của APDU phản hồi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

Hình 3.5: Mã trả về của SW1, SW2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

Hình 3.6: Mã hoá bit trực tiếp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107

Hình 3.7: Đảo bit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107

Hình 3.8: Lệnh ghi dữ liệu vào thẻ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Hình 3.9: Lệnh đọc dữ liệu từ thẻ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Hình 3.10: Cấu trúc của một khối truyền . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

Hình 3.11: Thẻ thông minh xác thực thực thể ngoài . . . . . . . . . . . . . . . . . . . 110

Hình 3.12: Thực thể ngoài xác thực thẻ thông minh . . . . . . . . . . . . . . . . . . . 111

Hình 3.13: Luồng giao dịch trên ATM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

Hình 3.14: Quy trình cấp phép . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Hình 3.15: Quy trình giao dịch thẻ tín dụng . . . . . . . . . . . . . . . . . . . . . . . . . . 118

Hình 3.16: Mô hình giao dịch của hệ thống tiền điện tử cùng ngân hàng . . . 124

Hình 3.17: Mô hình giao dịch của hệ thống tiền điện tử liên ngân hàng . . . 126

-12-

MỞ ĐẦU

Trong những thập kỷ gần đây, sự phát triển mạnh mẽ của Internet đã và đang làm

thay đổi một cách căn bản cách thức hoạt động của nhiều lĩnh vực kinh tế - xã hội,

trong đó có hoạt động thương mại. Khâu quan trọng nhất trong hoạt động TMĐT là

“thanh toán”, bởi vì mục tiêu cuối cùng của cuộc trao đổi thương mại là người mua

nhận được những cái gì cần mua và người bán nhận được số tiền thanh toán.

Vấn đề an toàn thông tin (ATTT) trong các giao dịch luôn là một yêu cầu cần

phải có đối với mọi hoạt động thương mại, đặc biệt là hoạt động thương mại điện tử vì

các quy trình giao dịch được thực hiện qua Internet - một môi trường truyền thông

công cộng. Các thành tựu của ngành mật mã, đặc biệt là lý thuyết mật mã khoá công

khai đã cung cấp các giải pháp ATTT cho các hoạt động thương mại, tạo cơ sở cho

việc xây dựng các hệ thống thanh toán điện tử.

Cơ sở hạ tầng mã khoá công khai (PKI - Public Key Infrastructure) cùng các tiêu

chuẩn và công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc

lập để giải quyết vấn đề ATTT. PKI bản chất là một hệ thống công nghệ vừa mang

tính tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý

các chứng chỉ khóa công khai (Public Key Certificate) cũng như các khoá công khai

và khóa bí mật (khóa riêng).

Hiện nay ở Việt Nam, việc nghiên cứu, ứng dụng và triển khai PKI nói chung và

dịch vụ cung cấp chứng chỉ số nói riêng là vấn đề còn mang tính thời sự. Bằng việc sử

dụng chứng chỉ và chữ ký số, những ứng dụng cho phép PKI đưa ra nhiều đặc tính

đảm bảo an toàn thông tin cho người sử dụng đặc biệt là trong các giao dịch điện tử.

Mỗi mô hình thanh toán điện tử đại diện cho một phương thức thanh toán điện tử

khác nhau như thanh toán bằng tiền mặt, bằng séc, bằng các loại thẻ…Mỗi phương

thức thanh toán điện tử có các giao thức được xây dựng dựa trên nền tảng lý thuyết

mật mã, đảm bảo cho các giao dịch thanh toán thực hiện an toàn và theo đúng quy

trình. Vì vậy, mỗi phương thức thanh toán đều phải có các giao thức rõ ràng, đảm bảo

an toàn cho việc giao dịch thông tin giữa các bên tham gia.

Luận văn thực hiện với mục đích nghiên cứu về hạ tầng cơ sở đảm bảo an toàn

thông tin, hạ tầng mật mã khóa công khai PKI (Các thành phần kỹ thuật của PKI, các

đối tượng và các hoạt động trong hệ thống PKI. . .), và một số công cụ dùng trong

thanh toán điện tử (thẻ thanh toán, giải pháp và công nghệ sử dụng tiền điện tử).

-13-

Nội dung chính của Luận văn gồm có:

Chương 1: Các khái niệm cơ bản

Trong chương này sẽ trình bày một số khái niệm toán học, tổng quan về an toàn

thông tin, một số vấn đề rủi ro mất an toàn thông tin, các chiến lược đảm bảo an toàn

thông tin và tổng quan về thanh toán điện tử trong thương mại điện tử.

Chương 2: Hạ tầng cơ sở đảm bảo an toàn thông tin

Trong chương này trình bày tổng quan về hạ tầng mạng, hạ tầng đảm bảo an toàn

thông tin, các giao thức đảm bảo an toàn truyền tin và hạ tầng mã hoá khóa công khai

(PKI) (các thành phần kỹ thuật, các đối tượng, các hoạt động cơ bản, công nghệ và

giao thức của PKI)

Chương 3: Một số tiện ích dùng trong thanh toán điện tử

Trong chương này giới thiệu một số tiện ích dùng trong thanh toán điện tử: Thẻ

thanh toán (thẻ thông minh, thẻ tín dụng. . .), và một số hệ thống thanh toán bằng tiền

điện tử.

-14-

CHƯƠNG 1 MỘT SỐ KHÁI NIỆM CƠ BẢN

1.1. CÁC KHÁI NIỆM TRONG TOÁN HỌC

1.1.1. Số nguyên tố và nguyên tố cùng nhau

Số nguyên tố là số nguyên dương chỉ chia hết cho 1 và chính nó.

Ví dụ: 2, 3, 5,…

Các hệ mật mã thường dùng các số nguyên tố cỡ 512 bit hoặc lớn hơn.

Hai số nguyên dương m và n được gọi là nguyên tố cùng nhau, nếu ước số chung

lớn nhất của chúng bằng 1, ký hiệu gcd(m, n) = 1.

Ví dụ: 8 và 17 là hai số nguyên tố cùng nhau.

1.1.2. Đồng dư thức

1) Định nghĩa

Cho a và b là các số nguyên, khi đó a được gọi là đồng dư với b theo modulo n,



ký hiệu là a b mod n nếu a, b chia cho n có cùng số dư. Số nguyên n được gọi là

modulo của đồng dư.

Ví dụ: 5  7 mod 2 vì: 5 mod 2 = 1 và 7 mod 2 = 1

2) Tính chất



Cho a, a₁, b, b₁, c Z. Ta có các tính chất sau:



+ a b mod n nếu và chỉ nếu a và b có cùng số dư khi chia cho n



+ Tính phản xạ: a a mod n



+ Tính đối xứng: Nếu a b mod n thì b a mod n



+ Tính giao hoán: Nếu a b mod n và b c mod n thì a c mod n



+ Nếu a a₁mod n, b b₁mod n thì a+b a₁+b₁mod n và ab a₁b₁mod n

3) Lớp tương đương

Lớp tương đương của một số nguyên a là tập hợp các số nguyên đồng dư với a

theo modulo n.

Cho n cố định đồng dư với n trong không gian Z vào các lớp tương đương. Nếu





a=qn +r, trong đó 0

r

n thì a r mod n. Vì vậy mỗi số nguyên a là đồng dư theo

modulo n với duy nhất một số nguyên trong khoảng từ 0 đến n-1 và được gọi là thặng

dư nhỏ nhất của a theo modulo n. Cũng vì vậy, a và r cùng thuộc một lớp tương

đương. Do đó r có thể đơn giản được sử dụng để thể hiện lớp tương đương. [1]

-15-

*

1.1.3. Không gian Z_nvà Z_n

Không gian các số nguyên theo modulo n: Z_nlà tập hợp các số nguyên không âm

nhỏ hơn n. Tức là: Z_n= {0, 1, 2,… n-1}. Tất cả các phép toán trong Z_nđều được thực

hiện theo modulo n.

Ví dụ: Z₂₅={0,1, 2,..., 24}. Trong Z₂₅: 12 + 20 = 7(mod 25)

*

Không gian Z_nlà tập hợp các số nguyên p thuộc Z_nsao cho ước chung lớn nhất

*

của p và n là 1. Tức là, Z_n= {p thuộc Z_n| gcd(n, p) = 1}

Ví dụ: Z₂= { 0,1 }; Z^*= {1} vì gcd(1, 2)=1

2

1.1.4. Khái niệm phần tử nghịch đảo trong Z_n

1) Định nghĩa

Cho aZ_n. Nghịch đảo nhân của a theo modulo n là một số nguyên xZ_nsao cho

a*x1 (mod n). Nếu tồn tại thì đó là giá trị duy nhất và a gọi là khả đảo, nghịch đảo

của a ký hiệu là a^-1.

2) Tính chất

+ Cho a,bZ_n. Phép chia của a cho b theo modulo n là tích của a và b^-1theo

modulo n, và chỉ được xác định khi b có nghịch đảo theo modulo n.

+ Giả sử d=gcd(a, n). Phương trình đồng dư ax  b (mod n) có nghiệm x nếu và

chỉ nếu d chia hết cho b, trong trường hợp các nghiệm d nằm trong khoảng 0 đến n-1

thì các nghiệm đồng dư theo modulo n/d. [1]

Ví dụ: 4^-1= 7(mod 9) vì 4*7  1(mod 9).

-16-

1.1.5. Khái niệm nhóm, nhóm con, nhóm Cyclic

1) Nhóm

Nhóm là bộ các phần tử (G, *) thỏa mãn các tính chất sau:

+ Tính chất kết hợp: ( x * y ) * z = x * ( y * z )

+ Tính chất tồn tại phần tử trung gian e  G: e * x= x * e = x , x  G

+ Tính chất tồn tại phần tử nghịch đảo x’  G: x’ * x = x * x’ = e

2) Nhóm con

Nhóm con là bộ các phần tử ( S, * ) là nhóm thỏa mãn các tính chất sau:

1/ S  G, phần tử trung gian e  S

2/ x, y  S => x * y  S

3) Nhóm cylic

Nhóm Cyclic là nhóm mà mọi phần tử x của nó được sinh ra từ một phần tử đặc

biệt g  G. Phần tử này được gọi là phần tử nguyên thủy, tức là:

Với  x  G:  n  N mà gⁿ= x.

Ví dụ: (Z⁺, *) là một nhóm cyclic có phần tử sinh là 1

1.1.6. Bộ phần tử sinh

{g₁, …, g_k} được gọi là bộ phần tử sinh nếu mỗi g_ilà một phần tử sinh và những



phần tử này khác nhau (g_ig_jnếu i j).

Ví dụ: {3, 5} là bộ phần tử sinh của Z₇*, bởi vì:

1 = 3⁶mod 7 = 5⁶mod 7

2 = 3²mod 7 = 5⁴mod 7

3 = 3¹mod 7 = 5⁵mod 7

4 = 3⁴mod 7 = 5²mod 7

6 = 3³mod 7 = 5³mod 7

5 = 3⁵mod 7 = 5¹mod 7

2 không phải là phần tử sinh của Z₇*, bởi vì:

2

3

4

5

6



{2, 2 , 2 , 2 , 2 , 2 } = {1, 4, 1, 2, 4, 1}

{1, 2, 4}

Tuy nhiên {1, 2, 4} là tập con của {1, 2, 3, 4, 5, 6} = Z₇*, dó đó số 2 được gọi là

“phần tử sinh của nhóm G(3)”, G(3) là nhóm có 3 thành phần {1, 2, 4}.

-17-

1.1.7 Bài toán đại diện

Gọi g là phần tử sinh của nhóm con G(q) thuộc Zn*. Bài toán logarit rời rạc liên

quan đến việc tìm số mũ a, sao cho:



a = log_gh mod n (với h G (q)).





Cho k 2, 1 a_iq, i = 1… k.

Bài toán đại diện là: cho h thuộc G(q), tìm {a₁, …, a_k}, của bộ phần tử sinh

{g₁, …, g_k}, sao cho:

a₁

a

k

2

h = g_{1 *}g_{2 *}… _*g_kmod n.

{a₁, …, a_k} được gọi là đại diện (presentation).

Ví dụ: Cho tập Z₂₃*, thì ta có thể tìm được:

Nhóm con G (11) = {1, 2, 3, 4, 6, 8, 9, 12, 13, 16, 18} với những phần tử sinh g_i

là: 2, 3, 4, 6, 8, 9, 12, 13, 16, 18.

{2, 3} là 2 phần tử sinh của nhóm con G (11) trong Z₂₃*.



Bài toán đại diện là với h = 13 G (11), tìm {a1, a2} sao cho:

13 = 2^a1* 3^a2mod 23

Logarit hai vế, có a₁*log(2) + a₂*log(3) = log(13) mod 23.

Kết quả là: a₁= 2 và a₂=2, vì 22 * 32 = 4*9 = 36 = 13 mod 23.

Hay a₁= 7 và a₂= 11, vì 27 * 311 = 128*177147 = 13 mod 23.

1.1.8. Hàm một phía và hàm một phía có cửa sập

1) Hàm một phía

Một hàm một phía là hàm mà dễ dàng tính toán ra quan hệ một chiều, nhưng rất

khó để tính ngược lại. Ví như biết x thì có thể dễ dàng tính ra f(x), nhưng nếu biết f(x)

thì rất khó tính ra được x. Trong trường hợp này “khó” có nghĩa là để tính ra được kết

quả thì phải mất rất nhiều thời gian để tính toán.

Ví dụ:

Tính y = f(x) = α^xmod p là dễ nhưng tính ngược lại x = log_αy là bài toán “khó”

(bài toán logarit rời rạc)

-18-

2) Hàm một phía có cửa sập

F(x) được gọi là hàm một phía có cửa sập nếu tính xuôi y = f(x) thì dễ, nhưng

tính ngược x = f^-1(y) thì khó, tuy nhiên nếu có “cửa sập” thì vấn đề tính ngược trở nên

dễ dàng. Cửa sập ở đây là một điều kiện nào đó giúp chúng ta dễ dàng tính ngược. [1]

Ví dụ:

y = f(x) =x^bmod n tính xuôi thì dễ nhưng tính ngược x= y^amod n thì khó, vì phải

biết a với a * b 1 (mod( (n)) trong đó  (n) = (p-1)(q-1)). Nhưng nếu biết cửa sập

p, q thì ta tính  (n) sau đó tính a trở nên dễ dàng.

1.1.9. Độ phức tạp tính toán

Độ phức tạp tính toán (về không gian hay thời gian) của một tiến trình tính toán

là số ô nhớ được dùng hay số các phép toán sơ cấp được thực hiện trong tiến trình tính

toán đó. Dữ liệu đầu vào đối với một thuật toán thường được biểu diễn qua các từ

trong một bảng ký tự nào đó. Độ dài của một từ là số ký tự trong từ đó.

Cho thuật toán A trên bảng ký tự Z ( tức là có các đầu vào là các từ trong Z). Độ

phức tạp tính toán của thuật toán A được hiểu như một hàm số f_a(n) sao cho với mỗi số

n thì f_a(n) là số ô nhớ, hay số phép toán sơ cấp tối đa mà A cần để thực hiện tiến trình

tính toán của mình trên các dữ liệu vào có độ dài nhỏ hơn hoặc bằng n. Ta nói: thuật

toán A có độ phức tạp thời gian đa thức, nếu có một đa thức p(n) sao cho với mọi n đủ

lớn ta có: f_a(n)  p(n), trong đó f_a(n) là độ phức tạp tính toán theo thời gian của A.

Bài toán P được gọi là “giải được” nếu tồn tại thuật toán để giải nó, tức là thuật

toán làm việc có kết thúc trên mọi dữ liệu đầu vào của bài toán. Bài toán P được gọi là

“giải được trong thời gian đa thức” nếu có thuật toán giải nó với độ phức tạp thời gian

đa thức. [1]

-19-

1.2. TỔNG QUAN VỀ AN TOÀN THÔNG TIN

1.2.1. Tại sao phải đảm bảo an toàn thông tin

Ngày nay, với sự phát triển mạnh mẽ của công nghệ thông tin thì việc ứng dụng

các công nghệ mạng máy tính trở nên vô cùng phổ cập và cần thiết.

Công nghệ mạng máy tính đã mang lại những lợi ích to lớn. Sự xuất hiện mạng

Internet cho phép mọi người có thể truy cập, chia sẻ và khai thác thông tin một cách dễ

dàng và hiệu quả. Việc ứng dụng các mạng cục bộ trong các tổ chức, công ty hay trong

quốc gia là rất phong phú. Các hệ thống chuyển tiền của các ngân hàng hàng ngày có

thể chuyển hàng tỷ đôla qua hệ thống của mình. Các thông tin về kinh tế, chính trị,

khoa học xã hội được trao đổi rộng rãi. Nhất là trong quân sự và kinh tế, bí mật là yếu

tố vô cùng quan trọng, do vậy các thông tin về quân sự và kinh tế được xem như là các

thông tin tuyệt mật và cần được bảo vệ cẩn thận. Đó cũng là một quá trình tiến triển

hợp logic, một yêu cầu thực tế tất yếu đặt ra cần phải được giải quyết. Những thông tin

này khi bị lộ có thể làm thay đổi cục diện của một cuộc chiến tranh hay làm phá sản

nhiều công ty và làm xáo động thị trường.

Internet không chỉ cho phép truy cập vào nhiều nơi trên thế giới mà còn cho phép

nhiều người không mời mà tự ghé thăm máy tính của chúng ta. Internet có những kỹ

thuật tuyệt vời cho phép mọi người truy nhập, khai thác, chia sẻ thông tin. Nhưng nó

cũng là nguy cơ chính dẫn đến thông tin bị hư hỏng hoặc bị phá hủy hoàn toàn, là đối

tượng cho nhiều người tấn công với các mục đích khác nhau. Đôi khi cũng chỉ đơn

giản là thử tài hay đùa bỡn với người khác. Nguy hiểm hơn là các thông tin quan trọng

có liên quan đến an ninh của một quốc gia, bí mật kinh doanh của một tổ chức kinh tế

hay các thông tin về tài chính, lại thường là mục tiêu nhằm vào của các tổ chức tình

báo nước ngoài hoặc của kẻ cắp nói chung. Thử tưởng tượng nếu có kẻ xâm nhập được

vào hệ thống chuyển tiền của các ngân hàng, thì ngân hàng đó sẽ chịu những thiệt hại

to lớn như mất tiền và có thể dẫn tới phá sản. Đó là chưa tính đến mức độ nguy hại,

một hậu quả không thể lường trước được khi hệ thống an ninh quốc gia bị đe dọa.

Để hình dung được mức độ nguy hại mà kẻ tấn công gây ra như thế nào, chúng ta

thử tìm hiểu những con số mà đội cấp cứu máy tính CERT (Computer Emegency

Response Team) đã cung cấp cho chúng ta như sau: số lượng các vụ tấn công trên

Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào

năm 1991, 1400 vào năm 1993, và 2241 vào năm 1994. [1]

-20-

Các vụ tấn công này có quy mô khổng lồ, có tới 100.000 máy tính có mặt trên

Internet, của các công ty lớn như AT&T, IBM; của các trường đại học, các cơ quan

nhà nước, các tổ chức quân sự, nhà băng,… bị tấn công. Không chỉ số lượng các cuộc

tấn công tăng lên nhanh chóng, mà các phương pháp tấn công cũng liên tục được hoàn

thiện. Như vậy, khi phải đối mặt với những khó khăn đó chúng ta phải giải quyết ra

làm sao?

Chính vì vậy vấn đề an toàn thông tin trở thành yêu cầu chung của mọi hoạt động

kinh tế xã hội và giao tiếp của con người, và là vấn đề cấp bách cần được cọi trọng và

quan tâm đặc biệt.

1.2.2. Một số vấn đề rủi ro mất an toàn thông tin.

1.2.2.1. Xâm phạm tính bí mật.

Các hệ thống TMĐT lưu giữ dữ liệu của người dùng và lấy lại các thông tin về

sản phẩm từ các CSDL kết nối với máy chủ Web. Ngoài các thông tin về sản phẩm,

các CSDL có thể chứa các thông tin có giá trị và mang tính riêng tư.

Khi giao dịch qua internet, thông tin giao dịch được truyền đi trên mạng, những

thông tin này rất có thể bị nghe nén, hay bị dò rỉ, bị đánh cắp trên đường truyền làm lộ

tính bí mật của cuộc giao dịch. Trong một cuộc giao dịch điện tử nói việc đảm bảo tính

bí mật luôn phải đặt lên hàng đầu.Bằng không, doanh nghiệp có thể gặp những nguy

cơ như nghe trộm, giả mạo, mạo danh hay chối cãi nguồn gốc ...

Khi những thông tin nhạy cảm như thông tin cá nhân, thông tin thẻ tín dụng,

thông tin giao dịch… bị lấy cắp trên đường truyền gây ra những thiệt hại không nhỏ

với cả hai bên giao dịch. Một phần mềm đặc biệt, được gọi là trình đánh hơi (sniffer)

đưa ra cách móc nối vào Internet và ghi lại thông tin qua các máy tính đặc biệt (thiết bị

định tuyến - router) trên đường đi từ nguồn tới đích. Chương trình sniffer gần giống

với việc móc nối vào đường dây điện thoại để nghe thông tin cuộc đàm thoại. Chương

trình sniffer có thể đọc thông báo thư tín điện tử cũng như các thông tin TMĐT.

Tình trạng lấy cắp số thẻ tín dụng là một vấn đề quá rõ ràng, nhưng các thông tin

thỏa thuận hợp đồng, hoặc các trang dữ liệu được phát hành gửi đi cho các chi nhánh

của hãng có thể bị chặn xem một cách dễ dàng. Thông thường các thông tin bí mật của

hãng, các thông tin trong cuộc giao kết hợp đồng còn có giá trị hơn nhiều so với một

số thẻ tín dụng, các thông tin bị lấy cắp của hãng có thể trị giá đến hàng triệu đô la.

-21-

1.2.2.2. Xâm phạm tính toàn vẹn

Mối hiểm họa đối với tính toàn vẹn tồn tại khi một thành viên trái phép có thể

sửa đổi các thông tin trong một thông báo. Các giao dịch ngân hàng không được bảo

vệ, ví dụ tổng số tiền gửi được chuyển đi trên internet, là chủ thể của xâm phạm tính

toàn vẹn. Tất nhiên, tính xâm phạm toàn vẹn bao hàm cả xâm phạm tính bí mật. Bởi vì

một đối tượng xâm phạm (sửa đổi thông tin trái phép) có thể đọc và làm sáng tỏ thông

tin. Không giống hiểm họa với tính bí mật. Các hiểm họa tới tính toàn vẹn gây ra sự

thay đổi trong các hoạt động của một cá nhân hoặc một công ty, do nội dung cuộc

truyền thông bị thay đổi

Phá hoại điều khiển (Cyber vandalism) là một ví dụ về xâm phạm tính toàn vẹn.

Cyber vandalism phá (xóa bỏ để không đọc được) một trang web đang tồn tại.

Cyber Vandalism xảy ra bất cứ khi nào, khi các cá nhân thay đổi định kỳ nội dung

trang web của họ.

Tấn công toàn vẹn chính và việc sửa đổi một yêu cầu và gửi nó tới máy chủ của

một công ty thực. Máy chủ thương mại không biết được tấn công này, nó chỉ kiểm tra

số thẻ tin dụng của khách hàng và tiếp tục thực hiện yêu cầu.

1.2.2.3. Xâm phạm tính sẵn sàng

Mục đích của xâm phạm tính sẵn sàng là phá vỡ quá trình xử lý thông thường

của máy tính hoặc chối bỏ toàn bộ quá trình xử lý.

Xâm phạm tính sẵn sàng là tấn công từ chối giao dịch. Khi khách hàng, đối tác

thấy các sản phẩm hàng hóa của doanh nghiệp, nhà cung cấp…thỏa mãn các yêu cầu

về sản phẩm của họ, họ muốn thỏa thuận giao kết hợp đồng với nhà cung cấp. Một kết

nối giao dịch đến nhà cung cấp được thiết lập. Tấn công từ chối giao dịch sẽ ngăn cản

làm chậm thậm chí từ chối sự kết nối giao dịch này. Điều này ảnh hưởng rất lớn đến

hoạt động thương mại của doanh nghiệp, gây tổn thất doanh thu, thậm chí gây mất

lòng tin của khách hàng- yếu tố được chú trọng hàng đầu của doanh nghiệp.

-22-

1.2.2.4. Giả mạo nguồn gốc giao dịch

Giao dịch trên mạng là loại hình giao dịch không biên giới, có tính chất toàn cầu.

Các bên giao dịch không gặp nhau, thậm chí không hề quen biết nhau, và đây cũng

chính là cơ hội để cho kẻ xấu lợi dụng để thực hiện mục đích của mình. Vì vậy, việc

kiểm tra tính đúng đắn của thông tin trong giao dịch cần phải được thực hiện thường

xuyên để phòng tránh những rủi ro như thông tin gây nhiễu, giả mạo hay lừa đảo.

Mặc dù đã dùng những biện pháp kỹ thuật để bảo mật thông tin trong giao dịch,

song khi nhận được các thông tin người dùng vẫn phải kiểm tra tính đúng đắn, xác

thực của thông tin.

1.2.2.5. Chối bỏ giao dịch

Chối bỏ giao dịch được được định nghĩa là sự không thừa nhận của một trong các

thực thể tham gia truyền thông, anh ta không tham gia tất cả hoặc một phần cuộc

truyền thông … Khác với giao dịch thông thường khi đối tác hai bên biết mặt nhau, thì

trong giao dịch điện tử được thực hiện trong môi trường Internet … Các bên tham gia

giao dịch điện tử ở cách xa nhau về địa lý, thậm chí họ có thể không biết mặt nhau thì

vấn đề chối bỏ giao dịch có thể xảy ra rất cao và luật pháp cho chúng chưa nhiều, gây

ra những thiệt hại to lớn cho bên tham giao dịch.

1.2.2.6. Các hiểm họa đối với hệ thống giao dịch

1) Hiểm họa với máy chủ

Máy chủ là liên kết thứ 3 trong bộ ba máy khách - Internet - máy chủ (Client -

Internet-Server), bao gồm đường dẫn TMĐT giữa một người dùng và một máy chủ

thương mại. Máy chủ có những điểm yếu dễ bị tấn công và một đối tượng nào đó có

thể lợi dụng những điểm yếu này để phá huỷ, hoặc thu được các thông tin một cách

trái phép. Hiểm hoạ đối với máy chủ bao gồm máy chủ Web, máy chủ CSDL và các

phần mềm của chúng, các chương trình phụ trợ bất kỳ có chứa dữ liệu, các chương

trình tiện ích được cài đặt trong máy chủ.

Hiểm họa với máy chủ CSDL:

Các hệ thống TMĐT lưu giữ dữ liệu của người dùng và lấy lại các thông tin về

sản phẩm từ các CSDL kết nối với máy chủ Web. Ngoài các thông tin về sản phẩm,

các CSDL có thể chứa các thông tin có giá trị và mang tính riêng tư. Tính bí mật luôn

sẵn sàng trong các CSDL, thông qua các đặc quyền được thiết lập trong CSDL.

-23-

Tuy nhiên, một số CSDL lưu giữ mật khẩu/tên người dùng một cách không an

toàn, hoặc dựa vào máy chủ Web để có an toàn. Khi an toàn bị vi phạm, CSDL bị

dùng bất hợp pháp, làm lộ hoặc tải về các thông tin mang tính cá nhân và quý giá. Các

chương trình con ngựa thành Tơroa nằm ẩn trong hệ thống CSDL cũng có thể làm lộ

các thông tin bằng việc giáng cấp các thông tin này (có nghĩa là chuyển các thông tin

nhạy cảm sang một vùng ít được bảo vệ của CSDL, do đó bất cứ ai cũng có thể xem

xét các thông tin này). Khi các thông tin bị giáng cấp, tất cả những người dùng, không

ngoại trừ những đối tượng xâm nhập trái phép cũng có thể truy nhập.

Hiểm họa với máy chủ web:

Các máy chủ Web được thiết lập chạy ở các mức đặc quyền khác nhau. Mức

thẩm quyền cao nhất có độ mềm dẻo cao nhất, cho phép các chương trình thực hiện tất

cả các chỉ lệnh của máy và không giới hạn truy nhập vào tất cả các phần của hệ thống,

không ngoại trừ các vùng nhạy cảm và phải có thẩm quyền. Việc thiết lập một máy

chủ Web chạy ở mức thẩm quyền cao có thể gây hiểm hoạ về an toàn đối với máy chủ

Web. Trong hầu hết thời gian, máy chủ Web cung cấp các dịch vụ thông thường và

thực hiện các nhiệm vụ với một mức thẩm quyền rất thấp. Nếu một máy chủ Web chạy

ở mức thẩm quyền cao, một đối tượng xấu có thể lợi dụng một máy chủ Web để thực

hiện các lệnh trong chế độ thẩm quyền.

Một trong các file nhạy cảm nhất trên máy chủ Web chứa mật khẩu và tên người

dùng của máy chủ Web. Nếu file này bị tổn thương, bất kỳ ai cũng có thể thâm nhập

vào các vùng thẩm quyền, bằng cách giả mạo một người nào đó. Do đó, có thể giả

danh để lấy được các mật khẩu và tên người dùng nên các thông tin liên quan đến

người dùng không còn bí mật nữa.

2) Hiểm họa với máy khách

Cho đến khi được biểu diễn trên web, các trang web chủ yếu được biểu diễn dưới

trạng thái tĩnh. Thông qua ngôn ngữ biểu diễn siêu văn bản HTML, các trang tĩnh cũng

ở dạng động một phần chứ không đơn thuần chỉ hiển thị nội dung và cung cấp liên kết

các trang web với thông tin bổ sung. Việc dùng những nội dung động (active content)

mang lại sự sống động cho web tĩnh nhưng đã gây ra một số rủi ro cho trong TMĐT.

Gây ra những hiểm họa với máy khách. Active content được dùng trong TMĐT để đặt

các khoản mục mà chúng ta muốn mua trong giỏ mua hàng và tính toán tổng số hóa

đơn, bao gồm thuế bán hàng, các chi phí vận chuyển và chi phí xử lý.

-24-

Các nhà phát triển nắm lấy active content vì nó tận dụng tối đa chức năng của

HTML và bổ sung thêm sự sống cho các trang web, làm cho trang web có tương tác

với người dùng cao hơn. Nó cũng giảm bớt gánh nặng cho các máy chủ khi phải xử lý

nhiều dữ liệu. Gánh nặng này được chuyển bớt sang cho máy khách nhàn dỗi của

người dùng.

Active content cho các trang Web khả năng thực hiện các hoạt động trong suốt

hoàn toàn đối với bất kỳ người nào xem duyệt trang Web chứa chúng. Bất kỳ ai cố tình

gây hại cho một máy khách đều có thể nhúng một active content gây hại vào các trang

Web. Kỹ thuật lan truyền này được gọi là con ngựa thành Tơroa.

Các cookie được dùng để nhớ các thông tin yêu cầu của khách hàng, hoặc tên

người dùng và mật khẩu. Nhiều active content gây hại có thể lan truyền thông qua các

cookie, chúng có thể phát hiện được nội dung của các file phía máy khách, hoặc thậm

chí có thể huỷ bỏ các file được lưu giữ trong các máy khách. Trên máy tính cá nhân có

lưu một số lượng lớn các cookie giống như trên Internet và một số các cookie có thể

chứa các thông tin nhạy cảm và mang tính chất cá nhân.

Như vậy, các hiểm hoạ đối với máy khách khi khai thác thông tin qua Internet là

lớn và rất khó nhận diện.

3) Các hiểm họa đối với kênh truyền thông

Internet đóng vai trò kết nối một khách hàng với một tài nguyên TMĐT (máy

tính dịch vụ thương mại). Chúng ta đã xem xét các hiểm hoạ đối với các máy khách,

máy chủ, các tài nguyên tiếp theo chính là kênh truyền thông, các kênh này được dùng

để kết nối các máy khách và máy chủ.

Các thông báo trên Internet được gửi đi theo một đường dẫn ngẫu nhiên, từ nút

nguồn tới nút đích. Các thông báo đi qua một số máy tính trung gian trên mạng trước

khi tới đích cuối cùng và mỗi lần đi chúng có thể đi theo những tuyến đường khác

nhau. Không có gì đảm bảo rằng tất cả các máy tính mà thông báo đi qua trên Internet

đều an toàn. Những đối tượng trung gian có thể đọc các thông báo, sửa đổi, hoặc thậm

chí có thể loại bỏ hoàn toàn các thông báo của chúng ta ra khỏi Internet. Do vậy, các

thông báo được gửi đi trên mạng là đối tượng có khả năng bị xâm phạm đến tính bí

mật, tính toàn vẹn và tính sẵn sàng. [3]

-25-

1.2.3. Chiến lược đảm bảo an toàn thông tin

Giới hạn quyền: Đây là nguyên tắc cơ bản trong an toàn nói chung. Đối với mỗi

người dùng hệ thống chỉ được truy nhập vào một số tài nguyên hệ thống nhất định, đủ

để dùng cho công việc của mình. Phòng thủ theo chiều sâu: phân ra thành nhiểu lớp

bảo vệ. Dưới đây là hình vẽ tượng trưng cho lớp bảo vệ đó.

Thông tin

Mã hóa

dữ liệu

Password

đăng

Quyền

truy nhập

Bảo vệ bằng

phương pháp

vật lí

nhập

Hình 1.1: Các lớp bảo vệ thông tin

Thông tin nằm ở tầng trong cùng, trên nó là sự giới hạn quyền truy nhập, tiếp

theo là giới hạn đăng nhập và mật khẩu, tiếp theo là mã hóa thông tin, tiếp theo là bảo

vệ vât lý (khóa cửa phòng máy tính, khóa bàn phím, ổ ghi…), ngoài cùng là tường lửa.

Các phương pháp bảo đảm an toàn thông tin:

1) Kiểm soát truy nhập thông tin. Bao gồm:

+ Kiểm soát, ngăn chặn các thông tin vào ra hệ thống máy tính

+ Kiểm soát, cấp quyền sử dụng các thông tin trong hệ thống máy tính

+ Kiểm soát, tìm diệt Vius vào ra hệ thống máy tính

Công cụ, kỹ thuật sử dụng để kiểm soát truy nhập là: Mật khẩu, tường lửa, mạng riêng

ảo, nhận dạng, xác thực thực thể, cấp quyền hạn.

2) Bảo mật thông tin.

Nhằm đảm bảo thông tin không bị lộ đối với người không được phép.

Công cụ, kỹ thuật sử dụng để bảo mật thông tin là: Mã hóa ( Thay đổi hình dạng dữ

liệu gốc, người khác khó nhận ra), giấu tin (cất giấu dữ liệu này trong môi trường dữ

liệu khác).

3) Bảo toàn thông tin

Nhằm ngăn chặn, hạn chế việc bổ sung, loại bỏ và sửa dữ liệu không được phép.

Công cụ, kỹ thuật sử dụng để bảo toàn thông tin là: Mã hóa, giấu tin, hàm băm, ký số,

thủy ký.

-26-

4) Xác thực nguồn gốc thông tin

Nhằm xác thực đúng thực thể cần kết nối, giao dịch, nguồn gốc của thông tin.

Công cụ, kỹ thuật sử dụng để xác thực nguồn gốc thông tin là: Chữ ký số, giao thức

xác thực thông tin.

5) Phương pháp chống chối cãi

Nhằm xác thực đúng thực thể có trách nhiệm về nội dung thông tin.

Công cụ, kỹ thuật sử dụng để xác thực thực thể, chống chối cãi là: Chữ ký số, giao

thức xác thực thông tin, truy tìm dấu vết.

6) Kiểm soát và xử lý các « lỗ hổng » an ninh.

Phát hiện và xử lý các « lỗ hổng » trong các thuật toán, các giao thức mật mã

giấu tin, trong các giao thức mạng, hệ điều hành mạng và trong các ứng dụng. [1]

-27-

1.3. TỔNG QUAN VỀ THANH TOÁN ĐIỆN TỬ

1.3.1. Khái niệm Thương mại điện tử

Ngày nay, Khi Internet phát triển mạnh mẽ và ngày càng trở nên phổ cập, thì

khái niệm TMĐT (E- commerce) không còn xa lạ với dân cư mạng nói riêng, và toàn

xã hội nói chung. Đó là quá trình mua bán hàng hóa hay dịch vụ thông qua việc truyền

dữ liệu giữa các máy tính trong chính sách phân phối tiếp thị thông qua mạng internet.

Bao gồm tất cả các loại giao dịch thương mại trong đó tất cả các đối tác thương

mại dùng kỹ thuật công nghệ thông tin.

1.3.2. Vấn đề thanh toán điện tử

Thanh toán là một trong những vấn đề phức tạp nhất của hoạt động thương mại

điện tử (TMĐT). Hoạt động TMĐT chỉ phát huy được tính ưu việt của nó khi áp dụng

được hình thức thanh toán từ xa - thanh toán điện tử.

Thanh toán điện tử (electronic payment) là việc thanh toán tiền thông qua các

thông điệp điện tử (electronic message) thay cho việc thanh toán bằng séc hay tiền

mặt. Bản chất của mô hình thanh toán điện tử cũng là mô phỏng lại những mô hình

mua bán truyền thống, nhưng từ các thủ tục giao dịch, thao tác xử lý dữ liệu rồi thực

hiện chuyển khoản, tất cả đều thực hiện thông qua hệ thống máy tính được nối mạng

bằng các giao thức riêng chuyên dụng. [7],[8].

Về mặt mô hình, một phương thức thanh toán nói chung là một mô tả hoạt động

của một hệ thống xử lý phân tán có nhiều bên tham gia, trong đó có hai bên cơ bản là

bên mua (người trả tiền) và bên bán (người được trả tiền). Các bên được đại diện bởi

các máy tính của mình nối với nhau qua mạng máy tính, sử dụng chúng để thực hiện

các giao thức thanh toán.

Hệ thống có thể có các tổ chức tài chính (ví dụ các ngân hàng) đại diên cho mỗi

bên. Trong một số hệ thống thanh toán lại sử dụng một thực thể khác đóng vai trò là

người môi giới, đảm nhiệm việc phát hành những hình thức của tiền hoặc một vật thể

nào đó mang giá trị trao đổi thanh toán thường được gọi là đồng tiền số (digital coin)

hoặc séc điện tử (electronic cheque) và đổi lại thành tiền mặt.

Đặc trưng của mô hình thanh toán điện tử là các bên tham gia sẽ trao đổi với

nhau các chứng từ được số hoá (thành những chuỗi bit máy tính có thể dùng được).

Bản chất là bên được thanh toán có thể thông qua ngân hàng của mình (tất nhiên là

phải liên hệ với ngân hàng của bên thanh toán) để chuyển tiền vào tài khoản của mình.

Các quá trình này sẽ được phản ánh trong các giao thức thanh toán của mỗi hệ thống.

-28-

Có 2 mô hình thanh toán được sử dụng trong thanh toán điện tử là:

Mô hình trả sau:

Trong mô hình này, thời điểm tiền mặt được rút ra khỏi tài khoản bên mua để

chuyển sang bên bán, xảy ra ngay (pay-now) hoặc sau (pay-later) giao dịch mua bán.

Hoạt động của hệ thống dựa trên nguyên tắc tín dụng (credit credential). Nó còn được

gọi là mô hình mô phỏng Séc (Cheque-like model)

Mô hình trả trước:

Trong mô hình này, khách hàng liên hệ với ngân hàng (hay công ty môi giới –

broker) để có được chứng từ do ngân hàng phát hành. Chứng từ hay đồng tiền số này

mang dấu ấn của ngân hàng, được đảm bảo bởi ngân hàng và do đó có thể dùng ở bất

cứ nơi nào đã có xác lập hệ thống thanh toán với ngân hàng này.

Vì nó có thể sử dụng giống như tiền mặt, do đó mô hình này còn được gọi là mô

hình mô phỏng tiền mặt (Cash-like model).

Có 2 hình thức thanh toán trong thanh toán điện tử là :

Thanh toán ngoại tuyến (off-line payment)

Phiên giao dịch giữa người sử dụng và nhà cung cấp có thể diễn ra, mà không

cần đến sự tham gia của ngân hàng. Nói cách khác, nhà cung cấp tự kiểm tra tính hợp

lệ của đồng tiền, mà không cần sự trợ giúp của bên thứ ba.

Thanh toán trực tuyến (online payment)

Trong mỗi lần giao dịch, nhà cung cấp sẽ yêu cầu ngân hàng kiểm tra tính hợp lệ

của đồng tiền do người dùng chuyển trước khi chấp nhận thanh toán. Vì vậy, hệ thống

thanh toán trực tuyến có khả năng kiểm tra được tính tin cậy của đồng tiền.

Thanh toán trực tuyến thích hợp với những giao dịch có giá trị lớn. Với hệ thống

này, quá trình thanh toán và gửi tiền vào ngân hàng tách biệt nhau trong mỗi lần giao

dịch. Do vậy, chi phí về thời gian cũng như tiền bạc sẽ tốn kém hơn. [3], [7], [8].

-29-

1.4. CÔNG CỤ CNTT DÙNG TRONG THANH TOÁN ĐIỆN TỬ

1.4.1 Hạ tầng cơ sở bảo đảm an toàn thông tin

1.4.1.1. Tường lửa

Tường lửa được dùng như một hàng rào giữa một mạng (cần được bảo vệ) và

internet hoặc mạng khác (có khả năng gây ra mối đe dọa). Mạng và các máy tính cần

được bảo vệ nằm bên trong bức tường lửa, các mạng khác nằm ở bên ngoài. Các bức

tường lửa có các đặc điểm sau đây:

Tất cả các luồng thông tin từ trong ra ngoài, từ ngoài vào trong đều phải chịu sự

quản lý của nó.

Chỉ có các luồng thông tin được phép đi qua nó.

Bức tường lửa tự bảo vệ mình.

Các bức tường lửa hoạt động ở tầng ứng dụng. Chúng cũng có thể hoạt động ở

tầng mạng và tầng vận tải. Các site của công ty khác nhau phải có một bức tường lửa

cho mỗi kết nối ngoài với internet. Đảm bảo một phạm vi an toàn không thể phá vỡ.

Ngoài ra, mỗi bức tường lửa trong công ty phải tuân theo chính sách an toàn.

1.4.1.2. Mạng riêng ảo

Mạng riêng ảo VPN (Virtual Private Network) là giải pháp công nghệ cho phép

thiết lập mạng dùng riêng trên nền mạng công cộng sẵn có bằng cơ chế mã hóa, tạo ra

các “đường hầm ảo” thông suốt và bảo mật.

Bảo mật của VPN còn được hỗ trợ bằng công nghệ thẻ thông minh và sinh trắc

học. Micrsoft đã tích hợp một giao thức khác gọi là EAP-TLS trong Windows, chuyên

trách công việc này cho VPN truy cập từ xa.

EAP-TLS là chữ viết tắt của Extensible Authentication Protocol - Transport

Layer Security (giao thức thẩm định quyền truy cập có thể mở rộng - bảo mật lớp

truyền dẫn). Kết nối dựa trên giao thức này đòi hỏi có một chứng nhận người dùng

(user certificate) trên cả máy khách và máy chủ IAS của mạng VPN. Đây là cơ chế có

mức độ an toàn nhất ở cấp độ người dùng.

-30-

Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng

chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như "Văn

phòng" tại gia) hoặc người dùng (Nhân viên di động) truy cập đến từ bên ngoài. [3]

Hình 1.2 : Một hệ thống mạng riêng ảo

1.4.1.3 Hạ tầng mật mã hóa công khai

Nhu cầu sử dụng dịch vụ chữ ký số trong đời sống xã hội đang ngày được quan

tâm. Để có thể triển khai dịch vụ này thì cần phải có một cơ sở hạ tầng mật mã hóa

công khai (PKI) hoàn chỉnh, ổn định.

Khái niệm PKI đã được thế giới biết đến từ hơn 20 năm nay, hiện đang được coi

là giải pháp tốt nhất trong việc bảo mật, xác thực và toàn vẹn dữ liệu trong các giao

dịch điện tử với các ứng dụng trực tuyến như ngân hàng điện tử, thanh toán điện tử, ký

số tài liệu, xác thực đăng nhập…

Hàng triệu người trên khắp thế giới đã truy cập vào các website để thực hiện các

tác vụ như thanh toán ngân hàng, mua bán trực tuyến… và PKI được sử dụng để đảm

bảo an toàn cho các phiên giao dịch đó.

Tại Việt Nam, giao dịch điện tử cũng đã được phát triển mạnh mẽ cả ở khối Nhà

nước cũng như khối thương mại – doanh nghiệp, và đi kèm theo đó là nhu cầu cần

có ứng dụng chữ ký số (chữ ký điện tử), nhiều Bộ, ngành đã và đang chuẩn bị triển

khai các dịch vụ công trực tuyến bắt buộc phải sử dụng chữ ký số mới đạt yêu cầu dịch

vụ hoàn chỉnh, điển hình như thuế điện tử (e-tax) của Tổng cục Thuế, ngân hàng điện

tử (e-banking) của Ngân hàng Nhà nước, chứng nhận nguồn gốc xuất xứ điện tử (e-

certificate of origin) của Bộ Công Thương…

Cơ sở hạ tầng khoá công khai PKI có thể hiểu là một tập hợp các công cụ,

phương tiện và các giao thức đảm bảo an toàn truyền tin cho các giao dịch trên mạng

máy tính công khai. Đó là nền móng mà trên đó các ứng dụng, các hệ thống an toàn

bảo mật thông tin được thiết lập. [2], [13].