Đồ án Tìm hiểu giải pháp và công nghệ tiền điện tử

Bé gi¸o dôc vµ ®µo t¹o Tr­êng ®¹i häc d©n lËp h¶i phßng -------o0o------- T×m hiÓu gi¶I ph¸p vµ c«ng nghÖ tiÒn ®iÖn tö ®å ¸n tèt nghiÖp ®¹i häc hÖ chÝnh quy Ngµnh: C«ng nghÖ Th«ng tin Sinh viªn thùc hiÖn: NguyÔn ViÕt Huy Gi¸o viªn h­íng dÉn: ThS. TrÇn Ngäc Th¸i M· sè sinh viªn: 10340 H¶i Phßng, 08 /2007 H¶i Phßng - 2007 MỤC LỤC LỜI CẢM ƠN Lời đầu tiên, em muốn bày tỏ lòng biết ơn chân thành đối với các thầy giáo, cô giáo trường Đại học Dân lập Hải Phòng, những người thầy không những đã tận tình truyền đạt kiến thức mà còn luôn động viên, quan tâm, giúp đỡ chúng em trong học tập cũng như trong cuộc sống suốt bốn năm theo học tại trường. Em xin chân thành cám ơn thầy giáo Th.S Trần Ngọc Thái, người thầy đã trực tiếp giảng dạy và hướng dẫn, định hướng cho em trong suốt qúa trình làm tốt nghiệp; lúc nghiên cứu tìm hiểu đề tài cũng như lúc tiến hành làm đề tài để em có được rất nhiều kiến thức bổ ích, giúp em hoàn thành đề tài và phục vu cho công việc sau này. Em xin nhớ mãi công lao của thầy cô . Hơn hết, em xin cảm tạ ơn nghĩa sinh thành và công lao dạy dỗ giúp em khôn lớn trưởng thành của bố mẹ và gia đình; cám ơn các bạn sinh viên Khoa Công nghệ thông tin nói riêng và các bạn sinh viên Trường Đại học dân lập Hải Phòng nói chung đã luôn bên cạnh em kịp thời động viên giúp đỡ những lúc em khó khăn nhất. Hải Phòng, ngày 30 tháng 07 năm 2007 Sinh viên Nguyễn Viết Huy MỞ ĐẦU Sự phát triển nhanh chóng của mạng và công nghệ thông tin, sự bùng nổ của Internet đã mang lại những thay đổi chưa từng thấy trong thương mại điện tử, nó tác động mạnh mẽ đến lĩnh vực ngân hàng truyền thống, thúc đẩy sự phát triển thương mại điện tử và làm xuất hiện hàng ngày các sản phẩm mới có liên quan đến ngân hàng như thẻ tín dụng, giao dịch ngân hàng qua điện thoại di động ... và tiền điện tử hay ví điện tử cũng đang trở thành hiện thực. Trên thế giới, tiền điện tử đã và đang được ứng dụng thành công, nhưng khái niệm “tiền điện tử” vẫn còn khá mới mẻ ở Việt nam. Tuy nhiên với xu thế hội nhập vào nền kinh tế thế giới, phát triển các dịch vụ của thương mại điện tử là xu hướng tất yếu, chúng ta phải tìm hiểu và ứng dụng những dịch vụ mới trên thế giới. Luận văn đề cập đến Giải pháp và công nghệ sử dụng tiền điện tử, dựa trên việc tìm hiểu các phương thức thanh toán trong Thương mại điện tử, những hệ thống tiền điện tử điển hình và những lý thuyết mật mã được áp dụng trong giải pháp tiền điện tử, tìm hiểu tình hình sử dụng tiền điện tử ở một số quốc gia. Luận văn gồm 3 chương: Chương 1: Các khái niệm cơ bản. Trong chương này sẽ trình bày một số khái niệm toán học, vấn đề mã hoá, ký số, chữ ký mù, vấn đề xưng danh được áp dụng trong giải pháp tiền điện tử. Chương 2: Thanh toán trong thương mại điện tử. Trong chương này sẽ trình bày tổng quan về thương mại điện tử và thanh toán trong thương mại điện tử. Chương 3: Thanh toán bằng tiền điện tử. Trong chương này sẽ tìm hiểu chi tiết về tiền điện tử, khái niệm, đặc điểm, phân loại…Tìm hiểu một số vấn đề xảy ra trong quá trình sử dụng tiền điện tử. Chương 4: Chương trình mô phỏng. Xây dựng chương trình mô phỏng sử dụng tiền điện tử lưu trữ trong tài khoản hạn chế được các vấn đề xảy ra đối với tiền điện tử. Chương 1. CÁC KHÁI NIỆM CƠ BẢN 1.1 MỘT SỐ KHÁI NIỆM TOÁN HỌC. Phần này trình bày về một số khái niệm toán học cơ bản sau: 1.1.1 Số nguyên tố và nguyên tố cùng nhau. 1.1.2 Đồng dư thức Tính chất của đồng dư. Không gian Zn và Zn* Phần tử nghịch đảo. Khái niệm nhóm, nhóm con, nhóm Cyclic. Bộ phần tử sinh (Generator-tuple). 1.1.3 Hàm băm. Định nghĩa. Tính chất Hàm băm SHA Hàm băm MD5 Thuật toán MD5. 1.2 CÁC KHÁI NIỆM VỀ Mà HOÁ. Phần này trình bày về khái niệm mã hóa và một số hệ mã hóa sau: 1.2.1 Khái niệm mã hóa. 1.2.1.1. Hệ mã hóa. 1.2.1.2 Những khả năng của hệ mật mã. 1.2.2 Các phương pháp mã hóa. 1.2.2.1. Mã hóa đối xứng. Khái niệm Các vấn đề đối với Hệ mã hoá đối xứng. 1.2.2.2 Mã hóa phi đối xứng (Mã hóa công khai). Khái niệm và Các điều kiện của một hệ mã hoá công khai. 1.2.3 Một số hệ mã hoá cụ thể. 1.2.3.1 Hệ mã hoá RSA. 1.2.3.2 Hệ mã hoá ElGamal. 1.3 KHÁI NIỆM VỀ KÝ ĐIỆN TỬ. Phần này trình bày về khái niệm ký điện tử và một số sơ đồ ký: 1.3.1 Định nghĩa. 1.3.2 Phân loại sơ đồ chữ ký điện tử. 1.3.3.1 Sơ đồ chữ ký Elgamal. 1.3.3.2 Sơ đồ chữ ký RSA. 1.3.3.3 Sơ đồ chữ ký Schnorr. 1.4 VẤN ĐỀ XÁC THỰC. Phần này trình bày về khái niệm xác thực và công cụ xác thực: 1.4.1 Khái niệm xác thực. 1.4.2 Khái niệm xác thực số (điện tử). Khái niệm. Các phương pháp xác thực. 1.4.3 Công cụ xác thực: Chứng chỉ số. 1.4.3.1 Khái niệm chứng chỉ số (Digital Certificate). Khái niệm. Thành phần của chứng chỉ số. 1.4.3.2 Định dạng X.509 của chứng chỉ số. 1.5 VẤN ĐỀ XƯNG DANH. Phần này trình bày về bài toán xưng danh và một số sơ đồ định danh: 1.5.1 Bài toán xưng danh. 1.5.2 Sơ đồ định danh SCHNORR. 1.5.3 Sơ đồ định danh OKAMOTO . Chương 2: THANH TOÁN TRONG THƯƠNG MẠI ĐIỆN TỬ 2.1 TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ. 2.1.1 Khái niệm thương mại điện tử. Theo Ủy ban Châu Âu: Thương mại điện tử được hiểu là việc thực hiện hoạt động kinh doanh qua các phương tiện điện tử. Nó dựa trên việc xử lý và truyền dữ liệu điện tử dưới dạng text, âm thanh và hình ảnh. Theo Tổ chức Thương mại Thế giới: Thương mại điện tử bao gồm việc sản xuất, quảng cáo, bán hàng và phân phối sản phẩm được mua bán và thanh toán trên mạng Internet, nhưng được giao nhận một cách hữu hình cả các sản phẩm được giao nhận cũng như những thông tin số hóa thông qua mạng Internet. 2.1.2 Các đặc trưng của Thương mại điện tử. Các bên tiến hành giao dịch không tiếp xúc trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước. Được thực hiện trên thị trường không có biên giới (thị trường thống nhất toàn cầu) và trực tiếp tác động tới môi trường cạnh tranh toàn cầu. Trong hoạt động giao dịch có sự tham gia của ít nhất ba chủ thể, một bên không thể thiếu được là người cung cấp dịch vụ mạng, và các cơ quan chứng thực. Đối với thương mại điện tử, thì mạng lưới thông tin chính là thị trường. 2.1.3 Các mô hình thương mại điện tử. Mô hình B2C (Business–To–Customer: Nhà cung cấp tới khách hàng): B2C là hình thức giao dịch giữa một doanh nghiệp và người tiêu dùng tại các cửa hàng trên Internet thường là các Website Internet, bao gồm việc hỗ trợ khách hàng trực tuyến và bán lẻ hàng hóa trực tuyến. Thường không đòi hỏi hóa đơn chứng từ. Mô hình này còn gọi là mô hình luôn bán điện tử (E – Business). Mô hình B2B (Business to Business: Nhà cung cấp tới nhà cung cấp): B2B là loại hình cho phép thực hiện giao dịch giữa các doanh nghiệp với nhau hay giữa các chi nhánh với tổng công ty. Các hoạt động có thể gồm đàm phán ký kết hợp đồng, đặt hàng qua hệ thống catalog trực tuyến, quản lý điều phối hàng hóa giữa các chi nhánh, tìm kiếm đối tác, đấu giá gọi thầu và bao gồm cả việc bán lẻ hàng hóa trực tuyến. Giao dịch B2B phải có hóa đơn chứng từ điện tử đầy đủ giá trị pháp lý. Mô hình này còn gọi là mô hình TMĐT (E – Commerce). Mô hình P2P (Peer to Peer: cá nhân tới cá nhân): P2P là việc kinh doanh TMĐT giữa người tiêu dùng và người tiêu dùng (hai nhóm đối tượng trong đó người bán và người mua đều là cá nhân. Mô hình B2G (Business To Government–doanh nghiệp với Chính phủ): B2G gồm mọi giao dịch giữa các doanh nghiệp với cơ quan chính quyền. Bên cạnh việc mua bán hàng hoá, chính phủ có thể cung cấp các dịch vụ của mình cho doanh nghiệp qua mạng như thu thuế, trả tiền, đăng ký kinh doanh. 2.2 CÁC PHƯƠNG THỨC THANH TOÁN. 2.2.1 Khái niệm thanh toán điện tử. Thanh toán điện tử là việc thanh toán tiền qua các thông điệp điện tử (Electronic message) thay cho việc thanh toán bằng tiền mặt. Về mục đích, TTĐT là hệ thống cho phép các bên tham gia có thể tiến hành mua bán được. Tuy nhiên, cách giao dịch thì lại hoàn toàn mới, người thực hiện giao dịch xử lý thanh toán bằng phương pháp thông qua các khâu được thực hiện trên máy tính. Bản chất của mô hình TTĐT cũng là mô phỏng lại những mô hình mua bán truyền thống, nhưng tất cả các quá trình đều được thực hiện thông qua hệ thống máy tính, được nối bằng các giao thức riêng chuyên dụng. Các bên mua - bán có thể giao dịch với nhau, không phải gặp nhau, không cần dùng tiền mặt. Các bên trong hệ thống TTĐT sẽ trao đổi với nhau các chứng từ số hóa. 2.2.2 Các mô hình thanh toán. Có nhiều tiêu chí để phân biệt phương thức thanh toán điện tử, một trong các tiêu chí đó là sự chênh lệch khác biệt giữa thời điểm bên trả tiền trao chứng từ ủy nhiệm cho bên được trả và thời điểm trả tiền thực sự xuất tiền khỏi tài khoản của người mua. Với tiêu chí này, phương thức thanh toán điện tử có thể phân thành hai mô hình chính: mô hình trả sau và mô hình trả trước. Trong mô hình trả sau, thời điểm bên trả tiền trao chứng từ ủy thác cho bên được trả, xảy ra trước thời điểm trả tiền thực sự (xuất tiềnkhỏi tài khoản của người mua để trả cho người bán). Trong mô hình trả trước, hai thời điểm này diễn ra theo thứ tự ngược lại, người mua phải trả tiền thực sự trước khi chứng từ ủy nhiệm được sử dụng trong các giao dịch mua bán. Mô hình trả sau: Với mô hình trả sau, thời điểm tiền mặt được rút ra khỏi tài khoản bên mua để chuyển sang bên bán xảy ra ngay (pay-now) hoặc sau (pay-later) giao dịch mua bán. Hoạt động của hệ thống trên dựa trên nguyên tắc tín dụng (credit crendental) có tác dụng giống như séc (cheque). Bên bán có hai cách lựa chọn: hoặc là chấp nhận giá trị thay thế của tín dụng đó và chỉ liên lạc chuyển khoản với ngân hàng của mình sau này (pay-later), hoặc liên lạc với ngân hàng của mình khi quá trình mua bán đang diễn ra việc chuyển khoản xảy ra ngay trong quá trình giao dịch. Với pha chuyển khoản (chearing process), người được thanh toán sẽ yêu cầu chuyển khoản với ngân hàng đại diện của mình (Acquirer) để thực hiện liên lạc với ngân hàng đại diện của người thanh toán, thực hiện kiểm tra/chấp nhận chứng từ tín dụng, khi đó việc chuyển tiền thực sự sẽ diễn ra giữa tài khoản của người thanh toán và người được thanh toán. Kết thúc quá trình này, ngân hàng đại diện của bên thanh toán sẽ gửi một thông báo lưu ý sự chuyển khoản đó cho khách hàng của mình (notification). Mô hình thanh toán này tương tự như phương thức thanh toán bằng séc nên thường được gọi là mô hình mô phỏng séc (chequelike model). Pha chuyển tiền này nếu được làm ngay trong khi giao dịch thì an toàn nhất nhưng tốc độ xử lý giao dịch sẽ chậm, chi phí truyền tin và xử lý dữ liệu trực tuyến trên các máy chủ ở các nhà băng sẽ cao. Vì vậy, mô hình pay-later được sử dụng khi số tiền thanh toán là không lớn. Mô hình trả trước: Trong mô hình trả trước, khách hàng liên hệ với ngân hàng (hay công ty môi giới – broker) để có được chứng từ do ngân hàng phát hành (chứng từ hay đồng tiền số này mang dấu ấn của ngân hàng), được đảm bảo bởi ngân hàng và do đó có thể dùng ở bất cứ nơi nào đã có xác lập hệ thống thanh toán với ngân hàng này. Để đổi lấy chứng từ của ngân hàng, tài khoản của khách hàng sẽ bị chiết khấu đi tương ứng với giá trị của chứng từ đó. Như vậy, khách hàng đã thực sự trả tiền trước khi có thể sử dụng chứng từ này để mua hàng và thanh toán. Chương 3: THANH TOÁN BẰNG TIỀN ĐIỆN TỬ 3.1 GIỚI THIỆU TIỀN ĐIỆN TỬ. 3.1.1 Khái niệm tiền điện tử. Tiền điện tử (e-money, digital money, digital cash, electronic money, electronic currency, digital currency hay internet money) là thuật từ vẫn còn mơ hồ và chưa định nghĩa đầy đủ. Tuy nhiên có thể hiểu Tiền điện tử là loại tiền trao đổi theo phương pháp “điện tử”, liên quan đến mạng máy tính và những hệ thống chứa giá trị ở dạng số (digital stored value systems). Hệ thống Tiền điện tử cho phép người dùng có thể thanh toán khi mua hàng, hoặc sử dụng các dịch vụ nhờ truyền đi các “dãy số” từ máy tính (hay thiết bị lưu trữ như smart card) này tới máy tính khác (hay smart card). Giống như dãy số (serial) trên tiền giấy, dãy số của tiền điện tử là duy nhất. Mỗi “đồng” tiền điện tử được phát hành bởi một tổ chức (ngân hàng) và biểu diễn một lượng tiền thật nào đó. 3.1.2 Lược đồ giao dịch. Lược đồ giao dịch của hệ thống tiền điện tử cơ bản, có 3 giao dịch chính sau: Hình 2:Mô hình giao dịch cơ bản của hệ thống Tiền điện tử Rút tiền: A chuyển tiền của ông ta từ tài khoản ở ngân hàng vào ‘Túi’ của mình (Nó có thể là smart card hay là máy Pc). Thanh toán: A chuyển tiền từ ‘Túi’ của ông ta đến ông B. Gửi tiền: B chuyển tiền nhận được vào tài khoản của ông ta ở ngân hàng. Lược đồ trên có 3 đối tượng tham gia vào quá trình giao dịch, đó là: Tổ chức tài chính. A: Người trả tiền (Người mua hàng). B: Người được trả tiền (Người bán hàng). Trong lược đồ giao dịch này, có thể thực hiện 2 kiểu giao dịch: trực tuyến (online) và ngoại tuyến (offline). Trực tuyến: ông B liên lạc với ngân hàng và kiểm tra tính hợp lệ của đồng tiền trước khi tiến hành thủ tục thanh toán và phân phối hàng. Quá trình thanh toán và quá trình trả tiền (ghi tiền vào tài khoản người bán) được tiến hành đồng thời. Ngoại tuyến: quá trình giao dịch với ngân hàng và việc kiểm tra tính hợp lệ của đồng tiền được tiến hành sau quá trình thanh toán. 3.1.3 Phân loại. Phân loại theo bản chất tiền điện tử. Hiện nay tiền điện tử có thể chia thành hai loại: Tiền điện tử định danh (identified e-money) và Tiền điện tử ẩn danh (anonymous identified e-money). Tiền điện tử định danh chứa thông tin định danh của người sử dụng từ khi bắt đầu rút tiền từ ngân hàng. Kiểu lưu thông tin người dùng giống như trường hợp sử dụng thẻ tín dụng trong thanh toán, tiền điện tử định danh cũng cho phép ngân hàng lưu dấu vết của tiền khi luân chuyển. Tiền điện tử ẩn danh giống như tiền giấy thực sự. Đồng tiền điện tử ẩn danh được rút từ một tài khoản, có thể được tiêu xài hay chuyển cho người khác mà không để lại dấu vết. Phân loại theo hình thức sử dụng Đồng tiền điện tử dạng mềm: là loại tiền được lưu trữ trong các thiết bị di động dưới dạng tệp (file) và khách hàng có thể sử dụng chúng ở bất kỳ đâu và vào việc gì. Mỗi đồng tiền điện tử đại diện cho một thông tin, có một giá trị, một số seri, thời hạn nhất định và chữ ký xác nhận của ngân hàng ấn hành. Tiền điện tử là loại rất dễ sao chép, giá trị hiệu lực của chúng phụ thuộc vào số seri duy nhất của nó. Khách hàng chuyển đồng tiền điện tử tới người bán, người bán kiểm tra xem “tiền có bị tiêu 2 lần” hay không tại ngân hàng cấp phát. Nếu đã bị sử dụng thì nó sẽ bị từ chối, còn nếu chưa số seri của đồng tiền điện tử sẽ được nhập vào cơ sở dữ liệu tiền đã sử dụng để chống sử dụng 2 lần và giá trị của tiền sẽ được lưu vào tài khoản của người bán. Vấn đề lưu trữ tiền điện tử gặp nhiều hạn chế bởi bộ nhớ lưu trữ của di động thường nhỏ, đôi khi nó phải lưu trong các bộ nhớ hỗ trợ cho di động. Dẫn đến người sử dụng phải có cơ chế bảo vệ tiền của mình. Tiền điện tử dạng thẻ: đây là trường hợp tiền được lưu vào các thiết bị Smard card của điện thoại. Tiền loại này có thể được đại diện như là các số đếm đơn giản, nhưng vấn đề quan trọng là bảo mật chúng trên smart card. Để giao dịch tiền loại này, smart card của khách hàng và dịch vụ thanh toán của người bán phải được xác thực lẫn nhau thông qua một kênh truyền an toàn được cài đặt giữa 2 bên. Sau đó tiền điện tử sẽ được truyển giao. Hướng tiếp cận này rất tiện dụng bởi vì smart card cung cấp hình thức bổ sung linh động Tài khoản: Đây là trường hợp tiền được lưu trữ tại các cơ quan tài chính tin cậy. Phụ thuộc vào hệ thống thanh toán, tài khoản có thể coi như tài khoản tín thẻ tín dụng, tài khoản ngân hàng hoặc một số hình thức khác. Thông thường khi nhận được một đơn hàng, khách hàng gửi thông điệp (có yếu tố xác thực và bản quyền tác giả) tới người bán, thông điệp này cho phép các cơ quan tài chính xác minh khách hàng và thẩm định cho phép thanh toán. Có nhiều hệ thống thanh toán sử dụng hình thức này. 3.1.4 Những đặc điểm của tiền điện tử. Hiện nay tồn tại nhiều hệ thống tiền điện tử khác nhau. Tuy nhiên chúng có chung các đặc điểm cơ bản sau: 1) Tính an toàn Tiền điện tử phải không thể bị sao chép (sử dụng lại) hay giả mạo. Chính vì vậy khi phát triển hệ thống tiền điện tử, phải quan tâm đến vấn đề giảm thiểu rủi ro về sự giả mạo và xây dựng một hệ thống xác thực tốt. Tính an toàn không chỉ ở phần mềm của hệ thống, mà còn thể hiện ở quá trình giao dịch của người tham gia hệ thống. 2) Tính riêng tư Quá trình thanh toán của người trả tiền phải được ẩn danh, không để lại dấu vết, nghĩa là ngân hàng không nói được tiền giao dịch là của ai. 3) Tính độc lập Việc sử dụng tiền điện tử không phụ thuộc vào bất kỳ vị trí địa lý nào. Tiền có thể được chuyển qua mạng máy tính hay chứa trên những thiết bị nhớ khác nhau. 4) Tính chuyển nhượng Cho phép hai bên có thể chuyển tiền cho nhau mà không phải liên hệ với bên thứ 3 (ngân hàng). Tính chuyển nhượng là đặc trưng của tiền mặt, nó cho phép người sở hữu tiền chuyển cho người khác, mà không cần liên hệ với ngân hàng. 5) Tính phân chia Người dùng có thể phân chia đồng tiền số của mình thành những đồng tiền có giá trị nhỏ hơn, với điều kiện tổng giá trị của các đồng tiền này bằng giá trị của đồng tiền điện tử ban đầu. 6) Tính dễ sử dụng Tính dễ sử dụng đồng tiền với người dùng là đặc tính rất quan trọng. Bởi vì tiền điện tử là một giải pháp mang tính phổ biến, nhắm đến nhiều đối tượng sử dụng. 7) Hình thức thanh toán • Trực tuyến: Ông B sẽ yêu cầu Ngân hàng kiểm tra tính hợp lệ (tiền này trước đây đã tiêu xài chưa) của đồng tiền mà ông A chuyển, trước khi chấp nhận việc thanh toán (cách này giống việc sử dụng thẻ tín dụng). Thanh toán trực tuyến cần thiết cho giao dịch có giá trị lớn. Hệ thống yêu cầu phải liên lạc với ngân hàng trong suốt mỗi lần giao dịch, chính vì thế sẽ tốn chi phí nhiều hơn (tiền và thời gian). Hệ thống trực tuyến phải có khả năng kiểm tra sự đáng tin của người trả tiền. Nó hầu như là không thể bảo vệ tính ẩn danh của người sử dụng, bên cạnh đó hệ thống yêu cầu phải liên lạc với phía thứ 3 trong mỗi lần giao dịch, chính vì điều này mà hệ thống trực tuyến không cho phép chuyển nhượng. • Ngoại tuyến: Ông B kiểm tra tiền của ông A, sau khi những giao dịch thanh toán đã hoàn thành. Điều này có nghĩa là ông A có thể tự do chuyển tiền cho ông B bất cứ lúc nào, mà không liên quan đến phía thứ 3 (chẳng hạn như Ngân hàng). Hệ thống ngoại tuyến có vẻ thực hiện tiện lợi hơn, tuy nhiên dễ gặp vấn đề “Tiêu xài nhiều lần”, do đó nó phù hợp cho những giao dịch có giá trị thấp. 3.2 MỘT SỐ VẤN ĐỀ VỀ TIỀN ĐIỆN TỬ. Hai vấn đề lớn nhất hiện nay đặt ra đối với tiền điện tử bao gồm: vấn đề ẩn danh người sử dụng và vấn đề ngăn chặn người sử dụng tiêu một đồng tiền điện tử nhiều lần (double-spending). Tuỳ theo từng loại tiền điện tử, sẽ có những giải pháp khác nhau để giải quyết những vấn đề này. 3.2.1 Vấn đề ẩn danh. Tính ẩn danh là một đặc tính rất quan trọng của phương thức thanh toán bằng tiền điện tử, đây là ưu điểm của phương thức này so với những phương thức khác. Tính ẩn danh là quá trình thanh toán của người trả tiền phải được ẩn danh và không để lại dấu vết, nghĩa là ngân hàng sẽ không nói được: tiền giao dịch là của ai. Trong hệ thống tiền điện tử, để giải quyết vấn đề trên người ta đã sử dụng kỹ thuật “chữ ký số mù”. Chữ ký số mù là một dạng đặc biệt của chữ ký điện tử, nó đòi hỏi người ký thực hiện ký vào một thông điệp mà không biết nội dung của nó. Thêm vào đó, người ký sau này có thể nhìn thấy cặp chữ ký/thông điệp, nhưng không thể biết được là mình đã ký thông điệp đó khi nào và ở đâu (mặc dù anh ta có thể kiểm tra được chữ ký đó là đúng đắn). Chữ ký số mù đảm bảo ngân hàng không thể có được bất cứ mối liên hệ nào giữa đồng tiền điện tử và chủ sở hữu của nó. Tuỳ theo từng hệ thống tiền điện tử cụ thể mà sẽ áp dụng những sơ đồ chữ ký số mù khác nhau. Mỗi lược đồ có những ưu và nhược điểm khác nhau. 3.2.2 Vấn đề tiêu xài hai lần. Với tính chất dạng số hoá, nên với Tiền điện tử, dễ dàng tạo bản sao từ bản gốc. Chúng ta không thể phân biệt được đây là bản sao từ một bản gốc nào đấy, chính vì thế việc giả mạo là không thể phát hiện được. Một hệ thống tiền điện tử tầm thường sẽ cho phép tạo bản sao của tiền điện tử và kẻ gian có thể tiêu xài bản sao này bình thường mà không bị phát hiện. Để giải quyết vấn đề này, tuỳ theo từng loại hệ thống tiền điện tử mà có giải pháp khác nhau. Đối với hệ thống Tiền điện tử trực tuyến: Hệ thống yêu cầu người bán hàng liên lạc tới ngân hàng với mỗi lần bán. Ngân hàng lưu giữ thông tin tất cả những đồng tiền điện tử đã tiêu xài trước đấy và có thể dễ dàng cho người bán hàng biết đồng tiền nào còn khả năng tiêu xài được. Nếu ngân hàng báo rằng đồng tiền nào đó đã thực sự được tiêu xài rồi, thì người bán hàng lập tức từ chối bán hàng. Điều này giống như cách mà những nhà bán hàng hiện tại kiểm tra thẻ tín dụng tại những điểm bán hàng. Đối với hệ thống Tiền điện tử ngoại tuyến: Việc phát hiện trường hợp “tiêu xài hai lần” sẽ được thực hiện bằng hai cách khác nhau. Cách thứ nhất là tạo thẻ thông minh đặc biệt (special smart card) chứa con chip chống trộm cắp. Trong những hệ thống khác, chip này còn được gọi là “người theo dõi”. Chip theo dõi sẽ lưu một lượng nhỏ dữ liệu của tất cả những tiền điện tử đã được tiêu xài qua smart card. Nếu người sở hữu smart card đó cố gắng sao chép tiền điện tử này và tiêu xài nó lần hai, thì chip theo dõi (được gắn vào smart card) sẽ phát hiện được hành động này, và không cho phép giao dịch “tiêu xài”. Bởi vì chip theo dõi dùng để chống sự gian dối, người sở hữu smart card này không thể xoá được dữ liệu trừ khi họ phá huỷ smart card. Cách thứ hai là dựa vào cấu trúc của tiền điện tử và những giao thức mật mã để có thể truy vết tìm ra kẻ gian lận (tiêu xài hai lần). Nếu như người sử dụng biết rằng họ sẽ bị bắt khi cố tính gian lận, về lý thuyết thì tỷ lệ hành động gian lận sẽ bị giảm đi. Điều thuận lợi của phương pháp là chúng không đòi hỏi những con chip đặc biệt. Hệ thống có thể được phát triển trên chương trình phần mềm (software) và có thể chạy trên máy tính cá nhân thông thường hay smartcard. Tiền điện tử định danh-ngoại tuyến (Identified offline): Dựa vào thông tin định danh để truy vết tìm ra kẻ gian lận. Trong quá trình giao dịch, định danh của người sử dụng được tích luỹ đầy đủ trên đường đi của đồng tiền và thông tin định danh sẽ “trưởng thành” ở mỗi lần nó được tiêu xài. Những chi tiết thông tin mỗi lần giao dịch được gắn vào phần tiền điện tử, và đi với nó khi nó được chuyển từ người này sang người khác. Khi tiền điện tử chuyển tới ngân hàng, họ kiểm tra dữ liệu của nó, để xem tiền điện tử có bị tiêu xài hai lần không? Ngân hàng sử dụng những thông tin này để lần theo vết của những giao dịch, để phát hiện ra người nào tiêu xài hai lần. Tiền điện tử ẩn danh-ngoại tuyến (Anonymous Offline): Đây là dạng phức tạp nhất, bởi vì hệ thống phải làm sao vừa đảm bảo tính ẩn danh của người dùng, vừa đảm bảo có thể truy vết được định danh người dùng trong trong hợp xảy ra vi phạm (tiêu xài hai lần). Giải pháp cho hệ thống này là gắn thông tin lên đồng tiền ở mỗi lần giao dịch. Thông tin này sẽ ‘trưởng thành’ với mỗi giao dịch. Khi tiền điện tử đến ngân hàng, họ sẽ kiểm tra trong cơ sở dữ liệu xem tiền này đã được tiêu chưa. Nếu ngân hàng phát hiện tiền này đã được tiêu trước đây, thì họ sẽ sử dụng thông tin tích luỹ để xác định định danh của kẻ gian lận (người tiêu xài hai lần). cy nhiên thông tin được tích luỹ trong trường hợp này chỉ có thể dùng để lần theo vết giao dịch nếu như tiền điện tử được tiêu hai lần, nghĩa là chỉ khi có gian lận thì ngân hàng mới có thể truy lại thông tin của người sử dụng. Nếu tiền điện tử ẩn danh không bị tiêu hai lần, thì ngân hàng không thể phát hiện được định danh của người tiêu tiền, cũng như không thể xây dựng lại đường đi của tiền điện tử. Chương 4. CHƯƠNG TRÌNH MÔ PHỎNG 4.1 MÔ TẢ HỆ THỐNG. Trong hệ thống này, tiền điện tử được phát hành dưới dạng thẻ nạp, có nhiều loại thẻ mang mệnh giá khác nhau được người dùng nạp vào tài khoản. Để sử dụng hệ thống, người dùng sẽ phải đăng ký tạo tài khoản, hệ thống sau khi kiểm tra và xác minh các thông tin của người dùng sẽ cấp cho người dùng một số tài khoản. Người dùng sử dụng số tài khoản và mật khẩu để đăng nhập vào hệ thống. Khi người dùng có thể thực hiện giao dịch chuyển tiền từ tài khoản của mình sang tài khoản của người khác theo hai cách: - Thực hiện trực tiếp sau khi đăng nhập vào hệ thống, trường hợp này được áp dụng đối với các hình thức chuyển tiền giữa nhưng người dùng của hệ thống. Số dư trong tài khoản chuyển đi sẽ bị khấu trừ, số dư trong tài khoản chuyển đến sẽ được cộng thêm. - Thực hiện gián tiếp thông qua các hệ thống ủy quyền, trường hợp này được áp dụng khi người dùng thực hiện thanh toán cho người dùng khác thông qua các website bán hàng trên mạng (các website này đã đăng ký tài khoản tại hệ thống). Khi giao dịch gián tiếp người dùng sẽ phải nhập vào số tài khoản và mật khẩu thanh toán khi đăng ký tài khoản, hệ thống sẽ thực hiện kiểm tra và xác nhận giao dịch. Toàn bộ thông tin giao dịch sẽ được mã hóa và ký xác nhận và lưu trữ trong hệ thống. 4.2. MÔ HÌNH HỆ THỐNG: MÔ PHỎNG SỬ DỤNG TIỀN ĐIỆN TỬ 4.2.1. Giai đoạn 1: “ĐĂNG KÝ TÀI KHOẢN” Sơ đồ: NGƯỜI DÙNG HỆ THỐNG - Tên tài khoản - Mật khẩu - Họ tên - Địa chỉ - Mã bưu chính - Quốc gia - Số chứng minh thư - Email - Điện thoại - Mật khẩu thanh toán - Số bảo mật - Số bảo mật - Số tài khoản - Chữ ký - Kiểm tra thông tin - Mã hóa mật khẩu - Tạo số tài khoản - Tạo chữ ký Các bước thực hiện: Bước 1: HỆ THỐNG sinh ngẫu nhiên số bảo mật gửi cho NGƯỜI DÙNG Bước 2: NGƯỜI DÙNG nhập các thông tin xác minh và số bảo mật nhận được rồi gửi lại cho HỆ THỐNG. Bước 3: HỆ THỐNG kiểm tra và xác minh các thông tin của người dùng. - Nếu đúng sẽ tạo một tải khoản mới và bộ chữ ký, - Mã hóa mật khẩu và mật khẩu thanh toán của NGƯỜI DÙNG. - Gửi số tài khoản và chữ ký cho người dùng. Ghi chú: Số bảo mật: Được sử dụng để ngăn chặn hình thức tấn công tràn hệ thống của hacker. Chữ ký: Người dùng sẽ ký trên các giao dịch sau này để xác nhận. Các kỹ thuật sử dụng: - Kỹ thuật sinh số ngẫu nhiên. - Kỹ thuật tóm lược thông điệp MD5. - Kỹ thuật chữ ký số RSA. 4.2.2. Giai đoạn: “NẠP TIỀN” Sơ đồ: NGƯỜI DÙNG HỆ THỐNG Số bảo mật Số thẻ nạp Số bảo mật Xác nhận Kiểm tra thông tin Cộng tiền vào TK Các bước thực hiện: Bước 1: HỆ THỐNG sinh ngẫu nhiên số bảo mật gửi cho NGƯỜI DÙNG. Bước 2: NGƯỜI DÙNG nhập số tài khoản, mật khẩu và số bảo mật. Bước 3: HỆ THỐNG kiểm tra thông tin và xác nhận NGƯỜI DÙNG Bước 4: NGƯỜI DÙNG chọn chức năng “Nạp tiền”, Bước 5: HỆ THỐNG sinh ngẫu nhiên số bảo mật gửi cho NGƯỜI DÙNG. Bước 6: NGƯỜI DÙNG nhập số thẻ nạp và số bảo mật rồi gửi cho HỆ THỐNG Bước 7: HỆ THỐNG kiểm tra các thông tin, nếu chính xác thực hiện cộng thêm tiền vào tài khoản của NGƯỜI DÙNG. Các kỹ thuật sử dụng: - Kỹ thuật sinh số ngẫu nhiên. 4.2.3. Giai đoạn: “GIAO DỊCH TRỰC TIẾP” Sơ đồ: NGƯỜI DÙNG HỆ THỐNG Số bảo mật Số bảo mật Số tài khoản Số tiền Lý do Yêu cầu ký Chữ ký Các bước thực hiện: Bước 1: HỆ THỐNG sinh ngẫu nhiên số bảo mật gửi cho NGƯỜI DÙNG. Bước 2: NGƯỜI DÙNG nhập số tài khoản, mật khẩu và số bảo mật. Bước 3: HỆ THỐNG kiểm tra thông tin và xác nhận NGƯỜI DÙNG Bước 4: NGƯỜI DÙNG chọn chức năng “giao dịch”, Bước 5: HỆ THỐNG sinh ngẫu nhiên số bảo mật gửi cho NGƯỜI DÙNG. Bước 6: NGƯỜI DÙNG nhập số tài khoản chuyển tiền đến, số lượng tiền chuyển, lý do chuyển tiền và số bảo mật Bước 7: HỆ THỐNG kiểm tra các thông tin, nếu chính xác yêu cầu NGƯỜI DÙNG ký lên các thông tin và thực hiện giao dịch. Bước 8: NGƯỜI DÙNG ký xác nhận lên thông tin giao dịch và gửi lại cho HỆ THỐNG Các kỹ thuật sử dụng: - Kỹ thuật sinh số ngẫu nhiên. - Kỹ thuật tóm lược thông điệp MD5. - Kỹ thuật chữ ký số RSA. 4.2.4. Giai đoạn: “GIAO DỊCH GIÁN TIẾP” Sơ đồ: NGƯỜI DÙNG HỆ THỐNG Số bảo mật Số bảo mật Mật khẩu t.toán Số tiền Lý do Yêu cầu ký Chữ ký Các bước thực hiện: Bước 1: NGƯỜI DÙNG thực hiện chức năng thanh toán tại một website khác đã thực hiện đăng ký sử dụng chức năng giao dịch của HỆ THỐNG. Bước 2: HỆ THỐNG sinh ngẫu nhiên số bảo mật gửi cho NGƯỜI DÙNG. Bước 3: NGƯỜI DÙNG nhập số tài khoản của NGƯỜI DÙNG, mật khẩu thanh toán và số bảo mật. Bước 4: HỆ THỐNG kiểm tra thông tin và xác nhận NGƯỜI DÙNG Bước 5: HỆ THỐNG kiểm tra các thông tin, nếu chính xác yêu cầu NGƯỜI DÙNG ký lên các thông tin và thực hiện giao dịch. Bước 6: NGƯỜI DÙNG ký xác nhận lên thông tin giao dịch và gửi lại cho HỆ THỐNG Ghi chú: NGƯỜI DÙNG không cần phải đăng nhập vào HỆ THỐNG. Các kỹ thuật sử dụng: - Kỹ thuật sinh số ngẫu nhiên. - Kỹ thuật tóm lược thông điệp MD5. - Kỹ thuật chữ ký số RSA. 4.3 GIAO DIỆN CHƯƠNG TRÌNH Trang chủ: Trang đăng ký: Trang kết quả đăng ký tài khoản: Trang đăng nhập: Trang số dư tài khoản: Trang giao dịch trực tiếp: Trang lịch sử giao dịch: Trang thông tin người dùng Trang giao dịch gián tiếp: Trang kết quả thanh toán: KẾT LUẬN Sau một thời gian nghiên cứu tìm hiểu, các vấn đề đã tìm hiểu được: Cở sở toán học của an toàn và bảo mật thông tin. Các khái niệm và ứng dụng an toàn, an ninh và bảo mật thông tin Các khái niệm và mô hình thương mại điện tử Tiền điện tử và các loại tiền điện tử được sử dụng Xây dựng được chương trình mô phỏng sử dụng tiền điện tử trong thanh toán trực tuyến trên Internet. Thời gian nghiên cứu thực hiện đồ án tốt nghiệp này đã giúp em có những hiểu biết về lĩnh vực an toàn bảo mật thông tin, giúp ích cho công việc của em trong tương lai. Hướng phát triển của đề tài, phát triển chương trình thành một ứng dụng hoàn thiện và triển khai được trong thực tế. Bằng sự nỗ lực của bản thân và sự hướng dẫn nhiệt tình của Thạc sĩ Trần Ngọc Thái em đã tổng hợp lại thành đồ án tốt nghiệp này. Kính mong các thầy đóng góp ý kiến để đồ án của em được hoàn thiện hơn nữa. Em xin chân thành cám ơn ! Hải Phòng, ngày 30 tháng 07 năm 2007 Sinh viên Nguyễn Viết Huy TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt: 1. GS.TS Phan Đình Diệu, Giáo trình Lý thuyết mật mã và an toàn thông tin. 2. PGS.TS Trịnh Nhật Tiến, Giáo trình An toàn dữ liệu. Tài liệu tiếng Anh: 3. D.Chaum, A.Fiat, and M.Naor, Untraceable electronic cash, In Advances in Cryptology-Crypto '88. 4. A.Menezes, P.Van Oorschot, and S.Vanstone, Handbook of Applied Cryptography, CRC Press,1996. 5. Brands Stefan, An efficient Off-line electronic cash system based on the representation problem, Technical report. 6. Rüçhan Ziya, Encryption Techniques, Cash Security Protocols, Cash systems, The degree of master of Sciences in Engineering Management. 7. Yiannis Tsiounis, Efficient Electronic Cash New Notions and Techniques. 8. Mandana Jahanian Farsi, Digital Cash, Master’s Thesis in Computer Science.University of Torontos. 9. Committee on Payment and Settlement Systems, Survey of developments in electronic money and internet and mobile payments, March 2004. 10. J. Orlin Grabbe, Cryptography and Number Theory for Digital Cash. 11. Felix Stalder, PhD Student, Electronic Money: Preparing the Stage, Faculty of Information Studies, University of Toronto. Website: 12. 13. 14. 15. 16.