Khóa luận Nghiên cứu vấn đề xác thực trong hệ thống thanh toán điện tử

TTĐT là trở ngại lớn thứ hai đối với việc mở rộng và phát huy hiệu quả thực sự của ứng dụng TMĐT, chỉ sau yếu tố về nhận thức của người tiêu dùng. Hiện nay, một số lượng không nhỏ doanh nghiệp và ngân hàng tại Việt Nam đã bắt đầu chú ý tới các hình thức TTĐT, và sử dụng các công cụ xác thực như một biện pháp tiện lợi, an toàn, nhằm giảm chi phí và thủ tục giao dịch. Tuy nhiên, nỗi lo về những rủi ro và nguy cơ tiềm ẩn trong thanh toán trực tuyến đang làm chậm bước tiến của ứng dụng TMĐT trong thời đại công nghệ thông tin ngày nay. Để khắc phục vấn đề này, cần phải đưa ra giải pháp xác thực toàn diện nhằm đảm bảo an toàn tối đa cho các giao dịch trực tuyến nói chung và TTĐT nói riêng. Có được niềm tin của người tiêu dùng thì hệ thống TTĐT mới dễ dàng phát triển được, và chúng ta hoàn toàn có thể tin tưởng vào một tương lai không xa, cả thế giới sẽ bước vào một nền kinh tế mới, nền kinh tế không tiền mặt.

Hệ thống TTĐT đang trở thành nhu cầu phát triển và điều kiện để Việt Nam hội nhập với thế giới. Tuy nhiên, do chưa nắm rõ các kiến thức về chứng thực số và công nghệ trong hệ thống thanh toán trực tuyến, nhiều doanh nghiệp, tổ chức, vẫn tỏ ra thận trọng và chưa triển khai hệ thống này.

Thực tế cho thấy những nước có nền TMĐT phát triển là những nước đã xây dựng được một cơ sở hạ tầng thanh toán khá hoàn thiện. Và trong tất cả các phương thức thanh toán, ngân hàng luôn ở vị trí trung tâm với vai trò là nhà cung cấp trực tiếp dịch vụ hoặc tổ chức trung gian hỗ trợ hệ thống TTĐT.

 

doc62 trang | Chia sẻ: luyenbuizn | Lượt xem: 1297 | Lượt tải: 0download
Bạn đang xem trước 20 trang nội dung tài liệu Khóa luận Nghiên cứu vấn đề xác thực trong hệ thống thanh toán điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Ngô Đức Hùng NGHIÊN CỨU VẤN ĐỀ XÁC THỰC TRONG HỆ THỐNG THANH TOÁN ĐIỆN TỬ KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công nghệ thông tin HÀ NỘI - 2009 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Ngô Đức Hùng NGHIÊN CỨU VẤN ĐỀ XÁC THỰC TRONG HỆ THỐNG THANH TOÁN ĐIỆN TỬ KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Các Hệ thống thông tin Cán bộ hướng dẫn: ThS. Lương Việt Nguyên HÀ NỘI - 2009 Tóm tắt nội dung của Khóa luận tốt nghiệp Mục đích của khóa luận là nghiên cứu và đưa ra những giải pháp khoa học cho các bài toán xác thực trong quá trình TTĐT. Từ đó, đánh giá ưu nhược điểm của các giải pháp, chỉ rõ giải pháp nào sẽ đạt hiệu quả tối ưu đối với từng loại hình TTĐT. Đối tượng nghiên cứu của khóa luận văn là các bài toán phát sinh khi TTĐT. Khóa luận nghiên cứu một cách tương đối đầy đủ các hình thức TTĐT cho đến thời điểm hiện tại. Dựa trên các kết quả đó, nêu các giải pháp tương ứng với từng bài toán cụ thể. Khóa luận tốt nghiệp nghiên cứu một cách khoa học các hình thức TTĐT hiện đang được ứng dụng rộng rãi, đồng thời tìm hiểu cơ chế bảo mật, xác thực của các hệ thống TTĐT đó, nhằm đưa ra giải pháp toàn diện để phát triển hệ thống TTĐT ở Việt Nam. MỤC LỤC DANH MỤC CÁC BẢNG BIỂU Hình 1. Một hệ thống xác thực sinh trắc học Hình 2. Quá trình ký và kiểm tra chữ ký Hình 3. Sơ đồ một hệ thống PKI Hình 4. Mô hình kiến trúc CA phân cấp Hình 5. Một chiếc thẻ thanh toán có gắn chip IC Hình 6. Máy chấp nhận thẻ thanh toán POS Hình 7. Thẻ thừ và máy đọc thẻ từ Hình 8. Một chip an ninh có kích thước 3x5 mm được đưa vào bên trong thẻ và được phóng lớn ra. Các điểm tiếp xúc trên thẻ cho phép thiết bị điện tử có thể truy cập chip. Hình 9. Mô hình TTĐT Hình 10. Các nhân tố tham gia vào TMĐT Hình 11. Giao thức SSL Hình 12. Thanh toán bằng điện thoại di động Hình 13. Mô hình triển khai công nghệ WAP DANH MỤC CÁC KÝ HIỆU Ký hiệu Chú giải API Application Programming Interface ATTT An toàn thông tin CA Certification Authority CI Credit Institution CNTT Công nghệ thông tin CP Certificate Policy CSDL Cơ sở dữ liệu DSS Digital Signature Standard HTTT Hệ thống thông tin IBPS Inter Bank Payment System NHNN Ngân hàng Nhà nước Việt Nam NHTM Ngân hàng Thương mại NHTW Ngân hàng Trung Ương PIN Personal Identification Number PKI Public Key Infrastructure RA Registration Authority Sub CA Subordinate CA TAD Terminal Access Device TCTD Tổ chức Tín dụng TMĐT Thương mại điện tử TTĐT Thanh toán điện tử TTTT Trung tâm thanh toán LỜI CÁM ƠN Lời đầu tiên, em xin gửi lời cám ơn sâu sắc tới ThS. Lương Việt Nguyên – Bộ môn Các Hệ thống thông tin – Khoa Công Nghệ Thông Tin – Trường Đại Học Công Nghệ - Đại học Quốc Gia Hà Nội, người đã hết lòng hướng dẫn, tạo điều kiện cho em trong suốt quá trình thực hiện khóa luận. Em xin cám ơn PGS.TS. Trịnh Nhật Tiến, các thầy, các cô trong trường Đại học Công Nghệ - Đại học Quốc Gia Hà Nội đã tận tình giảng dạy chúng em, giúp đỡ động viên chúng em từ những ngày đầu bước vào cánh cổng trường Đại học. Thầy cô đã tạo cho chúng em môi trường học tập, những điều kiện thuận lợi cho chúng em được học tập tốt, trang bị cho chúng em những kiến thức quý báu giúp chúng em có thể vững bước trong tương lai. Cám ơn các bạn sinh viên K50 đã giúp đỡ, cùng nghiên cứu và chia sẻ với tôi trong suốt quá trình học Đại học và thời gian hoàn thành khóa luận. Hà Nội, 05/2009 Ngô Đức Hùng MỞ ĐẦU TTĐT là trở ngại lớn thứ hai đối với việc mở rộng và phát huy hiệu quả thực sự của ứng dụng TMĐT, chỉ sau yếu tố về nhận thức của người tiêu dùng. Hiện nay, một số lượng không nhỏ doanh nghiệp và ngân hàng tại Việt Nam đã bắt đầu chú ý tới các hình thức TTĐT, và sử dụng các công cụ xác thực như một biện pháp tiện lợi, an toàn, nhằm giảm chi phí và thủ tục giao dịch. Tuy nhiên, nỗi lo về những rủi ro và nguy cơ tiềm ẩn trong thanh toán trực tuyến đang làm chậm bước tiến của ứng dụng TMĐT trong thời đại công nghệ thông tin ngày nay. Để khắc phục vấn đề này, cần phải đưa ra giải pháp xác thực toàn diện nhằm đảm bảo an toàn tối đa cho các giao dịch trực tuyến nói chung và TTĐT nói riêng. Có được niềm tin của người tiêu dùng thì hệ thống TTĐT mới dễ dàng phát triển được, và chúng ta hoàn toàn có thể tin tưởng vào một tương lai không xa, cả thế giới sẽ bước vào một nền kinh tế mới, nền kinh tế không tiền mặt. Hệ thống TTĐT đang trở thành nhu cầu phát triển và điều kiện để Việt Nam hội nhập với thế giới. Tuy nhiên, do chưa nắm rõ các kiến thức về chứng thực số và công nghệ trong hệ thống thanh toán trực tuyến, nhiều doanh nghiệp, tổ chức, vẫn tỏ ra thận trọng và chưa triển khai hệ thống này. Thực tế cho thấy những nước có nền TMĐT phát triển là những nước đã xây dựng được một cơ sở hạ tầng thanh toán khá hoàn thiện. Và trong tất cả các phương thức thanh toán, ngân hàng luôn ở vị trí trung tâm với vai trò là nhà cung cấp trực tiếp dịch vụ hoặc tổ chức trung gian hỗ trợ hệ thống TTĐT. Giám đốc trung tâm CNTT BIDV đưa ra con số minh chứng cho thói quen sử dụng tiền mặt của người dân VN: 4 triệu người dân Singapore sở hữu 30 triệu thẻ các loại (ATM, tín dụng, ghi nợ...); còn tại Việt Nam, 85 triệu người dân mới có 6,2 triệu thẻ và khoảng 10 triệu tài khoản. Do thiếu sự kết nối tổng thể giữa các ngân hàng, khách hàng và nhà cung cấp dịch vụ, hàng hóa khiến người tiêu dùng chưa mạnh dạn tham gia cũng như thụ hưởng các tiện ích từ TTĐT (TTĐT). Đối với mạng lưới thanh toán thẻ của ngân hàng, hiện vẫn tồn tại tới ba liên minh (liên minh của Vietcombank, hệ thống kết nối giữa ANZ và Sacombank, và hệ thống của ngân hàng Đông Á). Do đó, nếu người mua và người bán có tài khoản ở những ngân hàng hoặc liên minh khác thì việc TTĐT gần như không thực hiện được trong giao dịch thương mại trực tuyến. Thực tế, các ngân hàng và nhà cung cấp đang rất chủ động trong việc đưa ra các phương thức thanh toán. Chẳng hạn, Pacific Airlines (hiện nay là Jetstar Pacific) hợp tác với một số tổ chức cho phép TTĐT đối với các thẻ tín dụng quốc tế hoặc thẻ ghi nợ nội địa của VCB; Techcombank hợp tác với chodientu.vn cung cấp dịch vụ thanh toán trực tuyến đối với các khách hàng của Techcombank khi mua hàng trên website này... Tuy nhiên, đó chỉ là những giải pháp được triển khai trong một phạm vi hẹp. TTĐT ở VN đang có sự giao thoa, mỗi bên (ngân hàng và nhà cung cấp) đều chủ động đưa ra những giải pháp riêng mà thiếu vai trò chỉ huy của NHNN. Trong khi các ngân hàng nỗ lực mở rộng điểm chấp nhận thanh toán bằng thẻ tín dụng, thì các nhà cung cấp cũng chủ động khắc phục bằng những giải pháp tình thế là đàm phán với từng ngân hàng để thiết lập hệ thống cho phép khách hàng thanh toán bằng cách sử dụng thẻ do ngân hàng phát hành hoặc khấu trừ thẳng vào tài khoản ngân hàng (như trường hợp của các doanh nghiệp kể trên)... Mô hình của các nước trên thế giới là xây dựng một trung tâm chuyển mạch tài chính ở tầm quốc gia với nhiệm vụ chuyển mạch kết nối giao dịch thanh toán giữa các bên khác nhau, xử lý thanh toán bù trừ và quyết toán giá trị thanh toán. Ngoài ra, có một số cổng thanh toán. Các cổng này có thể do một số công ty tư nhân xây dựng để cung cấp dịch vụ. Sau một thời gian, công ty Chuyển Mạch Tài Chính Quốc Gia Banknet đã chính thức ra mắt. Mục tiêu của Banknetvn là kết nối các hệ thống thanh toán thẻ của các ngân hàng ở VN, tạo thành một hệ thống thanh toán thẻ chung cho quốc gia và kết nối với các tổ chức thẻ quốc tế. Hoạt động của Banknet hoàn toàn khác với các liên minh thẻ đang tồn tại ở chỗ, các liên minh thẻ thực chất là sự thỏa thuận của một số ngân hàng với nhau, thường do một ngân hàng đã đi trước một bước về hệ thống thẻ, nghiệp vụ thẻ đứng ra chủ trì, các ngân hàng khác sẽ tham gia theo sự chủ trì đó và chịu ảnh hưởng chi phối của ngân hàng chủ trì. Còn Banknet tạo ra một hệ thống nền tảng công nghệ và dịch vụ chuyển mạch kết nối dùng chung, một sân chơi bình đẳng cho tất cả các ngân hàng tham gia kết nối. Gần đây NHNN đã quan tâm nhiều hơn đến vấn đề này qua việc ban hành các quy chế, chuẩn mực về thanh toán thẻ, chỉ đạo và hỗ trợ Banknetvn hoạt động và phát triển theo hướng thực sự là trung tâm chuyển mạch thanh toán của quốc gia, tổ chức các hội thảo nghiên cứu về giải pháp trung tâm thanh toán tối ưu... Với những chuyển biến tích cực kể trên, hy vọng những vướng mắc trong TTĐT sẽ dần được gỡ bỏ. Dịch vụ TMĐT ở Việt Nam chỉ có thể chia thành ba loại: Các website rao vặt đáp ứng nhu cầu mua bán của các cá nhân, các website của doanh nghiệp để quảng cáo sản phẩm và chăm sóc khách hàng và các cửa hàng điện tử (e-store). Điều này có nghĩa TMĐT Việt Nam hiện chỉ phát triển mạnh ở khâu cung cấp thông tin (quảng cáo, đưa thông tin lên website...) chứ chưa đẩy mạnh được khâu thanh toán. Số lượng mặt hàng được bày bán trực tuyến cũng còn ít; ngoài ra, việc thanh toán chủ yếu vẫn là thu tiền trực tiếp... Phương pháp nghiên cứu chính của khóa luận là tìm hiểu các bài báo khoa học, các mô hình thanh toán trực tuyến lớn trên thế giới, tìm hiểu về mô hình và thực trạng về an ninh, an toàn thông tin, để từ đó đưa ra giải pháp ứng dụng xác thức phù hợp. Nội dung của khóa luận văn gồm có phần mở đầu, ba chương nội dung và phần kết luận: Chương 1: Tổng quan về an toàn thông tin và dịch vụ xác thực Giới thiệu những khái niệm cơ bản nhất về lĩnh vực an toàn thông tin, các công cụ xác thực được sử dụng trong ngành khoa học này. Chương 2: Thanh toán điện tử Giới thiệu tổng quát về thanh toán, các hình thức thanh toán, đặc điểm và vấn đề an ninh, bảo mật trong các hình thức thanh toán hiện nay. Chương 3: Vấn đề xác thực trong các hệ thống TTĐT Giới thiệu chi tiết các hệ thống TTĐT đang và sẽ được ứng dụng trên toàn thế giới, nghiên cứu và đưa ra những giải pháp xác thực tốt nhất cho các hệ thống thanh toán trực tuyến. CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ DỊCH VỤ XÁC THỰC Có thể kết luận rằng, trên thế giới hiện nay, nhu cầu về TMĐT rất phổ biến, nhưng các vấn đề hạ tầng trong TTĐT vẫn chưa được giải quyết tương xứng và đáp ứng được các đòi hỏi đặt ra. Việc nghiên cứu xây dựng các hệ thống TTĐT để đảm bảo an toàn thông tin trong các dịch vụ TMĐT là một hướng nghiên cứu rất cần thiết hiện nay. Việc xây dựng các hệ thống TTĐT về mặt kỹ thuật chính là ứng dụng các thành tựu của lý thuyết mật mã. Các mô hình thanh toán sử dụng các giao thức mật mã được xây dựng để đảm bảo an toàn cho việc giao dịch thông tin giữa các bên tham gia. 1.1. Khái quát về an toàn thông tin Với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông tin của doanh nghiệp như chiến lược kinh doanh, các thông tin về khách hàng, nhà cung cấp, tài chính, mức lương nhân viên,…đều được lưu trữ trên hệ thống máy tính. Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng. Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của doanh nghiệp. An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một trong các đặc điểm sau là không an toàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ). Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn)... Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc giảm bớt các nguy hiểm. Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng các yêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó. Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng. Khi đánh giá độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất lượng. Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn thông tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra các chính sách và phương pháp đề phòng cần thiết. Các dịch vụ an toàn thông tin cung cấp các giải pháp an toàn cho máy tính và các kết nối. Bao gồm: Đảm bảo tính bí mật (Confidentiality): Thông tin không thể bị truy nhập trái phép bởi những người không có thẩm quyền. Đảm bảo tính toàn vẹn (Integrity): Thông tin không thể bị sửa đổi, bị làm giả bởi những người không có thẩm quyền. Đảm bảo tính xác thực (Authentication): Xác thực đúng nguồn gốc thông tin và người cung cấp thông tin. Đảm bảo việc chống chối cãi (Non-repudiation): Thông tin được cam kết về mặt pháp luật của người cung cấp. Đảm bảo tính sẵn sàng (Availability): Thông tin luôn sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền. 1.2. Vấn đề xác thực trong an toàn thông tin 1.2.1. Khái niệm Xác thực (Authentication) là một hành động nhằm thiết lập hoặc chứng thực một cái gì đó (hoặc một người nào đó) đáng tin cậy, có nghĩa là, những lời khai báo do người đó đưa ra hoặc về vật đó là sự thật. Xác thực một đối tượng còn có nghĩa là công nhận nguồn gốc của đối tượng, trong khi, xác thực một người thường bao gồm việc thẩm tra nhận dạng của họ. Việc xác thực thường phụ thuộc vào một hoặc nhiều nhân tố xác thực (authentication factors) để minh chứng cụ thể. Hình 1. Một hệ thống xác thực sinh trắc học Trong an ninh máy tính (computer security), xác thực là một quy trình nhằm cố gắng xác minh nhận dạng số (digital identity) của phần truyền gửi thông tin (sender) trong giao thông liên lạc chẳng hạn như một yêu cầu đăng nhập. Phần gửi cần phải xác thực có thể là một người dùng sử dụng một máy tính, bản thân một máy tính hoặc một chương trình ứng dụng máy tính (computer program). Ngược lại sự tin cậy mù quáng hoàn toàn không thiết lập sự đòi hỏi nhận dạng, song chỉ thiết lập quyền hoặc địa vị hẹp hòi của người dùng hoặc của chương trình ứng dụng mà thôi. Trong một mạng lưới tín nhiệm, việc xác thực là một cách để đảm bảo rằng người dùng chính là người mà họ nói họ là, và người dùng hiện đang thi hành những chức năng trong một hệ thống, trên thực tế, chính là người đã được ủy quyền để làm những việc đó. 1.2.2. Phân loại xác thực Xác thực thực thể (Entity Authentication) Xác thực thực thể là xác thực định danh của một đối tượng tham gia giao thức truyền tin. Thực thể hay đối tượng có thể là người dùng, thiết bị đầu cuối. Tức là một thực thể được xác thực bằng định danh của nó đối với thực thể thứ hai trong một giao thức, và bên thứ hai đã thực sự tham gia vào giao thức. Xác thực dữ liệu (Data Authentication) Xác thực dữ liệu là một kiểu xác thực đảm bảo một thực thể được chứng thực là nguồn gốc thực sự tạo ra dữ liệu này ở một thời điểm nào đó, đảm bảo tính toàn vẹn dữ liệu. 1.2.3. Các nhân tố xác thực Những nhân tố xác thực (authentication factors) dành cho con người nói chung được phân loại theo ba trường hợp sau: Những cái mà người dùng sở hữu bẩm sinh (Something the user is): chẳng hạn, vết lăn tay hoặc mẫu hình võng mạc mắt, chuỗi DNA, mẫu hình về giọng nói, sự xác minh chữ ký, tín hiệu sinh điện đặc hữu do cơ thể sống tạo sinh (unique bio-electric signals), hoặc những biệt danh sinh trắc (biometric identifier)... Những cái gì người dùng có (Something the user possesses): chẳng hạn, chứng minh thư (ID card), chứng chỉ an ninh (security token), chứng chỉ phần mềm (software token) hoặc điện thoại di động (cell phone)... Những gì người dùng biết (Something the user knows): chẳng hạn, mật khẩu, mật khẩu ngữ (pass phrase) hoặc số định danh cá nhân (PIN)... 1.2.4. Xác thực mạnh nhiều yếu tố Hình thức xác thực dựa vào những gì thực thể biết (mã định danh PIN, mật khẩu...) bộc lộ nhiều hạn chế, vì trí nhớ của con người là có hạn, không thể cùng một lúc nhớ được quá nhiều thông tin. Hơn thế nữa, những thứ mà người dùng biết để đăng nhập hệ thống là những thứ được sử dụng lại nhiều lần mỗi khi xác thực, có thể vì một lý do nào đó thông tin này bị nghe trộm hay lộ ra ngoài và kẻ xấu rất dễ lợi dụng những sơ hở đó để giả danh người dùng nhằm thực hiện những hành vi bất hợp pháp. Những hệ thống xác thực như vậy được gọi là xác thực yếu, cần phải có một giải pháp an toàn hơn việc sử dụng đi sử dụng lại nhiều lần một cách đăng nhập. Một tổ hợp của những phương pháp trên được kết hợp để sử dụng, chẳng hạn, thẻ ngân hàng kết hợp với số định danh cá nhân PIN. Trong những trường hợp này, thuật ngữ được dùng là xác thực hai nhân tố (two-factor authentication). Trong lịch sử, vết lăn tay được dùng là một phương pháp xác minh đáng tin nhất, song trong những vụ kiện tòa án gần đây ở Mỹ và ở nhiều nơi khác, người ta đã có nhiều nghi ngờ có tính chất căn bản, về tính đáng tin cậy của dấu lăn tay. Những phương pháp sinh trắc khác được coi là khả quan hơn (quét võng mạng mắt và quét vết lăn tay là vài ví dụ), song có những bằng chứng chỉ ra rằng những phương pháp này trên thực tế dễ bị giả mạo. Trong ngữ cảnh của dữ liệu máy tính, nhiều phương pháp mật mã đã được xây dựng như chữ ký số và phương pháp xác thực bằng thử thách-trả lời (challenge-response authentication). Đây là ví dụ về vấn đề không thể giả mạo được nếu chìa khóa của người khởi thủy không bị thỏa hiệp. Rằng việc người khởi thủy hay bất cứ ai ngoài kẻ tấn công biết (hoặc không biết) về một sự thỏa hiệp nào đấy là một việc chẳng có dính dáng gì hết. Không ai có thể chứng minh được những phương pháp xác thực dùng mật mã này có an toàn hay không, vì có thể những tiến triển trong toán học không lường trước được có thể làm cho chúng, sau này, trở nên dễ bị phá vỡ. Nếu xảy ra, thì việc này sẽ làm cho những phương pháp xác minh được dùng trong quá khứ trở nên không tin cậy. Cụ thể là, một bản giao kèo được ký bằng chữ điện tử có thể sẽ bị nghi ngờ về tính trung thực của nó khi người ta phát hiện ra một tấn công mới đối với kỹ thuật mật mã dùng trong các chữ ký. Một giải pháp được đưa ra là việc kết hợp nhiều yếu tố xác thực lại để tạo ra một hệ thống an toàn hơn, bảo mật hơn. Một hệ thống như vậy gọi là xác thực mạnh nhiều yếu tố. Khi thực thể bị lộ một vài thông tin thì kẻ gian chưa thể hoàn toàn làm chủ được hệ thống. Hình thức kết hợp nhiều yếu tố lại hiển nhiên an toàn hơn hẳn so với việc chỉ sử dụng một yếu tố để xác thực. 1.2.5. Một vài công cụ xác thực Username và Password Sự kết hợp của một username và password là cách xác thực cơ bản nhất. Với kiểu xác thực này, chứng từ ủy nhiệm người dùng được đối chiếu với chứng từ được lưu trữ trên CSDL hệ thống , nếu trùng khớp username và password, thì người dùng được xác thực và nếu không người dùng bị cấm truy cập. Phương thức này không bảo mật lắm vì chứng từ xác nhận người dùng được gửi đi xác thực trong tình trạng plain text, tức không được mã hóa và có thể bị tóm trên đường truyền. Chữ ký số Với những thỏa thuận thông thường, hai đối tác xác nhận sự đồng ý bằng cách kí tay vào cuối các hợp đồng. Và bằng cách nào đó người ta phải thể hiện đó là chữ ký của họ và kẻ khác không thể giả mạo. Mọi cách sao chép trên văn bản thường dễ bị phát hiện vì bản sao có thể phân biệt được với bản gốc. Các giao dịch trên mạng cũng được thực hiện theo cách tương tự như vậy. Nghĩa là người gửi và người nhận cũng phải ký vào hợp đồng. Việc ký trên các văn bản truyền qua mạng khác với văn bản giấy bình thường bởi nội dung của văn bản đều được biểu diễn dưới dạng số hóa (chỉ dùng hai số 0 và 1, ta gọi văn bản này là văn bản số). Việc giả mạo và sao chép lại đối với văn bản số là việc hoàn toàn dễ dàng và không thể phân biệt được bản gốc với bản sao. Vậy một chữ ký ở cuối văn bản loại này không thể chịu trách nhiệm đối với toàn bộ nội dung văn bản. Một chữ ký thể hiện trách nhiệm đối với toàn bộ văn bản phải là chữ ký được ký trên từng bit văn bản. Chữ ký số có thể được kiểm tra nhờ dùng một thuật toán kiểm tra công khai. Như vậy, bất kỳ ai cũng có thể kiểm tra được chữ ký số. Chứng chỉ số Chứng chỉ số là một “chứng nhận” khóa công khai của thực thể nào đó. Nó bao gồm khoá công khai của thực thể và các thông tin định danh của thực thể. Hai thành phần này gắn kết với nhau thông qua chữ ký của nhà phát hành chứng chỉ. Chứng chỉ số đảm bảo một cách chính xác đối tượng với những thông tin định danh tường minh trên, nó sở hữu một khoá bí mật tương ứng. Dựa vào điều kiện trên mà đối tượng có thể truy cập vào các hệ thống xác thực, hoặc thực hiện các kết nối an toàn. Chứng chỉ số chỉ có ý nghĩa khi nó đựơc ký bởi nhà phát hành chứng chỉ (Certificate Authority - CA). Bởi nếu không có chữ ký của nhà phát hành chứng chỉ thì không có mối liên hệ giữa khoá công khai của thực thể và thông tin định danh, đồng nghĩa chứng chỉ số vô giá trị. Như vậy chứng chỉ số phải tồn tại trong một hệ thống mà ở đó nhà phát hành chứng chỉ là một nhân tố quan trọng. Mặt khác chứng chỉ cũng có thời gian sử dụng nhất định nên nó cần được thu hồi khi cần thiết và trạng thái thu hồi của chứng chỉ cũng phải được công bố rộng rãi cho toàn bộ hệ thống thông qua danh sách thu hồi chứng chỉ (CRL - Certificate Revocation List). Trong mô hình xác thực bằng chứng chỉ. Người sử dụng có thể xác thực anh ta bằng cách trình cho hệ thống chứng chỉ của chính mình. Thông qua chữ ký của nhà phát hành chứng chỉ trên khoá công khai và các thông tin định danh, anh ta có thể chứng minh rằng mình đang sở hữu một khoá riêng tương ứng. Khoá riêng thường có giá trị rất lớn và thường được lưu trong các file được bảo vệ bởi mật khẩu, hoặc trong các phần cứng như thẻ thông minh. Các file hay một số loại thẻ thông minh (lưu trữ và bảo vệ khóa riêng, ví dụ như thiết bị Entrust Ikey) được bảo vệ bởi mật khẩu hoặc số PIN. Để xác thực chính mình, người dùng phải đưa ra những thông tin về mật khẩu hoặc số PIN mà chỉ có người đó mới biết. Với thông tin đó, hệ thống mới có thể truy nhập vào thiết bị lưu trữ khóa riêng để sử dụng khoá riêng của người dùng phục vụ cho việc xác thực. Thông qua các thao tác toán học hệ thống chứng minh sự tương ứng giữa khoá riêng và khoá công khai có trong chứng chỉ. Mặt khác khoá công khai và các thông tin định danh được gắn kết với nhau thông qua chữ ký của nhà phát hành chứng chỉ nên danh tính của người dùng được xác thực. Một cơ chế khác là sử dụng các giao thức mã hoá với thẻ thông minh để chứng minh rằng người sử dụng sở hữu khoá riêng tương ứng. Khoá riêng được lưu trong thẻ thông minh, hệ thống xác thực cung cấp một thông tin. Thẻ thông minh sử dụng khoá riêng mã hoá thông tin đó và gửi trả lại cho hệ thống. Hệ thống sử dụng khoá công khai trên chứng chỉ giải mã để lấy lại thông tin ban đầu. Nếu hai thông tin là giống nhau thì chứng tỏ một điều là thẻ thông minh có chứa một khoá riêng tương ứng. Như thế người sử dụng được xác thực. Việc ứng dụng cơ chế nào cho hệ thống là tuỳ thuộc vào cơ sở hạ tầng vật lý và hoàn cảnh ứng dụng mà ta sử dụng. Dù ứng dụng cơ chế xác thực bằng chứng chỉ nào, thì đều phải được xây dựng trên sự tin tưởng vào nhà phát hành chứng chỉ. Vì nếu chứng chỉ bị giả mạo hay nhà phát hành chứng chỉ làm giả chứng chỉ, thì hệ thống của ta sụp đổ hoàn toàn. Như vậy về bản chất cơ chế xác thực có được là do chữ ký của nhà phát hành chứng chỉ, tức là nhà phát hành chứng chỉ đã chứng minh các thông tin định danh của người sử dụng thông qua chữ ký của mình. Challenge Handshake Authentication Protocol (CHAP) Challenge Handshake Authentication Protocol (CHAP) cũng là mô hình xác thực dựa trên username/password. Khi user cố gắng logon vào hệ thống, server đảm nhiệm vai trò xác thực sẽ gửi một thông điệp thử thách (challenge message) trở lại máy tính user. Lúc này máy tính user sẽ phản hồi lại username và password được mã hóa. Server xác thực sẽ so sánh phiên bản xác thực user được lưu giữ với phiên bản mã hóa vừa nhận, nếu trùng khớp, user sẽ có quyền truy cập. Bản thân password không bao giờ được gửi qua network. Phương thức CHAP thường được sử dụng khi user logon vào các remote servers của công ty chẳng hạn như RAS server. Dữ liệu chứa password được mã hóa gọi là password băm (hash password). Một gói băm là một loại mã hóa không có phương cách giải mã. Kerberos Xác thực Kerberos dùng một Server trung tâm để kiểm tra việc xác thực user và cấp phát thẻ thông hành (service tickets) để user có thể truy cập vào tài nguyên. Kerberos là một phương thức rất an toàn trong xác thực bởi vì nó dùng cấp độ mã hóa rất mạnh. Kerberos cũng dựa trên độ chính xác của thời gian xác thực giữa Server và Client Computer, và là nền tảng xác thực chính của nhiều hệ điều hành như Unix

Các file đính kèm theo tài liệu này:

  • docNgo Duc Hung_K50HTTT_Khoa luan tot nghiep dai hoc.doc
Tài liệu liên quan