Tài liệu Nghiên cứu tìm hiểu hạ tầng cơ sở khóa công khai dựa trên dấu hiệu sinh trắc học và ứng dụng

ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG -------˜ ™ ------- TẠ THỊ THÙY LINH NGHIÊN CỨU TÌM HIỂU HẠ TẦNG CƠ SỞ KHÓA CÔNG KHAI DỰA TRÊN DẤU HIỆU SINH TRẮC HỌC VÀ ỨNG DỤNG Chuyên ngành : Khoa học máy tính Mã số : 60.48.01 Thái Nguyên 2012 1 MỤC LỤC Trang LỜI MỞ ĐẦU.............................................................................................................6 DANH MỤC TỪ VIẾT TẮT...................................................................................10 DANH MỤC HÌNH VẼ............................................................................................11 CHƯƠNG 1. KHẢO SÁT THỰC TRẠNG ỨNG DỤNG THƯƠNG MẠI ĐIỆN TỬ VÀ HỆ THỐNG AN NINH BIOPKI, KHẢ NĂNG TRIỂN KHAI THẺ THÔNG MINH Ở VIỆT NAM...............................................................................12 1.1. KHÁI QUÁT THỰC TRẠNG ỨNG DỤNG THƯƠNG MẠI ĐIỆN TỬ Ở THẾ GIỚI VÀ VIỆT NAM...............................................................................................................12 1.1.1. Khảo sát về thương mại điê ên tử, giao dịch điê ên tử trên thế giới.............12 1.1.2. Tình hình phát triển các giao dịch điênê tử ở Viê êt Nam............................13 1.1.3. Một số vấn đề về sự phát triển của thương mại điện tử ở Viê tê Nam........14 1.2. KHẢO SÁT BIOPKI - KHẢ NĂNG TRIỂN KHAI THẺ THÔNG MINH SINH TRẮC HỌC Ở VIỆT NAM....................................................................................................15 1.2.1 Nhu cầu đảm bảo an toàn thông tin sử dụng dấu hiệu sinh trắc.............15 1.2.2. Khảo sát hệ BioPKI - khả năng triển khai thẻ thông minh sinh trắc học ở Việt Nam......................................................................................................................16 1.3. HỆ THỐNG CƠ SỞ PHÁP LÝ CHO GIAO DỊCH ĐIỆN TỬ VÀ ĐẢM BẢO AN TOÀN THÔNG TIN SỬ DỤNG SINH TRẮC Ở VIỆT NAM......................................................18 1.4. KHÁI QUÁT VỀ CÁC GIẢI PHÁP CÔNG NGHỆ BẢO MẬT AN TOÀN THÔNG TIN VÀ AN NINH MẠNG................................................................................................19 1.4.1. Các công nghệ mật mã.............................................................................19 1.4.2. Các công nghệ chứng thực.......................................................................20 1.4.3. Công nghệ sinh trắc học..........................................................................20 CHƯƠNG 2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI PKI VÀ MÔ HÌNH TRIỂN KHAI HỆ THỐNG PKI TẠI VIỆT NAM...............................................22 2.1. HỆ MẬT MÃ..................................................................................................22 2.1.1.Hệ mật mã khóa bí mật..............................................................................23 2.1.2.Hệ mật mã khóa công khai.........................................................................24 2.1.3.Hê ê RSA........................................................................................................27 2.1.3.1. Các bước thực hiện của thuật toán RSA.............................................27 2.1.3.2. Đô ô an toàn của hê ô RSA......................................................................27 2.1.4.Hê ê ELGAMAL............................................................................................28 2.2. CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI PKI (PUBLIC KEY INFRASTRUCTURE)....29 2.2.1. Khái niệm...................................................................................................29 2.2.2.Các thành phần chủ yếu của PKI..............................................................29 2 2.2.2.1. Tổ chức chứng thực CA (Certification Authorities)..........................30 2.2.2.2. Trung tâm đăng ký RA (Registration Authorities).............................31 2.2.2.3. Các thực thể đầu cuối (End Entities - EE).........................................31 2.2.2.4. Kho lưu trữ các chứng chỉ..................................................................32 2.2.3.Các chức năng của PKI.............................................................................32 2.2.3.1. Chứng thực (Certification).................................................................32 2.2.3.2. Thẩm tra (Verification).......................................................................32 2.2.3.3. Một số chức năng khác.......................................................................33 2.2.4. Chữ ký số...................................................................................................35 2.2.4.1 Khái niệm............................................................................................35 2.2.4.2. Ưu điểm của chữ ký số.......................................................................35 2.2.4.3. Cách tạo chữ ký số.............................................................................37 2.2.5.Chứng chỉ số..............................................................................................39 2.2.5.1. Định nghĩa..........................................................................................39 2.2.5.2. Chức năng của chứng chỉ số..............................................................40 2.2.5.3. Phân loại chứng chỉ số........................................................................40 2.2.5.4. Chứng chỉ khóa công khai X.509.......................................................41 2.2.6.Các mô hình PKI.......................................................................................42 2.2.6.1. Mô hình đơn.......................................................................................42 2.2.6.2. Mô hình phân cấp...............................................................................43 2.2.6.3. Mô hình mắt lưới................................................................................44 2.2.6.4. Mô hình hỗn hợp................................................................................45 2.2.6.5. Mô hình web.......................................................................................46 2.2.6.6. Mô hình PKI ở Việt Nam hiện nay...................................................47 2.2.7.Vấn đề an toàn trong hệ thống PKI..........................................................49 2.3. HỆ THỐNG AN NINH DỰA TRÊN DẤU HIỆU SINH TRẮC HỌC BIOPKI...........50 2.3.1.Sinh trắc học là gì?...................................................................................50 2.3.2.Khái niê êm BioPKI.....................................................................................52 2.3.3.Mô hình kiến trúc tổng thể hệ thống BioPKI............................................53 2.3.3.1. Hệ thống con CA (Certification Authority).......................................53 2.3.3.2. Hệ thống con RA (Registration Authority)........................................54 2.3.3.3. Hệ thống con LRA (Local Registration Authority)...........................55 2.3.3.4. Ứng dụng người dùng (Application Client).......................................55 2.3.4.Khảo sát các thành phần chức năng của hệ thống BioPKI......................55 2.3.4.1. Hệ thống con CA.................................................................................55 2.3.4.2. Hệ thống con RA.................................................................................56 2.3.4.3. Hệ thống con LRA..............................................................................57 2.3.5.Khảo sát một số dịch vụ lõi của hệ thống BioPKI....................................57 2.3.5.1. Quản lý người dùng............................................................................57 2.3.5.2. Cấp phát chứng thư mới......................................................................57 3 2.3.5.3. Hủy chứng thư theo yêu cầu..............................................................57 2.3.6.Phân tích các hướng tiếp cận nghiên cứu hệ thống BioPKI....................58 2.3.6.1. Giải pháp 1: Đối sánh đặc trưng sinh trắc thay mật khẩu (Password) xác thực chủ thể................................................................................................58 2.3.6.2. Giải pháp 2: Sinh khóa sinh trắc mã hóa khóa cá nhân.....................59 2.3.6.3. Giải pháp 3: Sinh khóa cá nhân sinh trắc học....................................61 CHƯƠNG 3. ỨNG DỤNG CHỮ KÝ SỐ TRONG BÀI TOÁN XÁC THỰC BẢNG ĐIỂM.............................................................................................................62 3.1. BÀI TOÁN..........................................................................................................62 3.2. GIỚI THIỆU VỀ PHẦN MỀM..............................................................................62 3.2.1. Tên phần mềm: Mã hóa và ứng dụng chữ ký số......................................62 3.2.2. Mục tiêu và việc thực hiện của phần mềm................................................62 3.2.3. Các chức năng chính của phần mềm........................................................62 3.2.4. Lựa chọn công nghệ..................................................................................63 3.3. YÊU CẦU PHẦN CỨNG VÀ PHẦN MỀM...........................................................63 3.3.1. Máy trạm...................................................................................................63 3.3.2. Máy chủ.....................................................................................................63 3.4. PHÂN TÍCH CÁC ĐỐI TƯỢNG........................................................................63 3.4.1.Người dùng của hệ thống...........................................................................63 3.4.2.Mô hình usecase tổng quát.........................................................................64 3.4.3. Chức năng cho người dùng.......................................................................64 3.4.3.1. Mô hình usecase..................................................................................64 3.4.3.2. Mô tả chi tiết các chức năng chính.....................................................65 3.4.4. Quản trị hệ thống.....................................................................................67 3.4.4.1. Mô hình usecase..................................................................................67 3.4.4.2. Chi tiết các chức năng.........................................................................67 3.4.5.Sơ đồ logic.................................................................................................68 3.4.5.1. Đăng nhập...........................................................................................68 3.4.5.2. Tạo mới Người dùng..........................................................................68 3.4.5.3. Sinh cặp khóa bí mật - công khai.......................................................69 3.4.5.4. Ký xác nhận và mã hóa file...............................................................69 3.4.5.5. Giải mã và xác thực file.....................................................................70 3.4.6.Sơ đồ trình tự.............................................................................................70 3.4.6.1. Đăng nhập...........................................................................................70 3.4.6.2. Mã hóa file..........................................................................................71 3.4.6.4. Giải mã file.........................................................................................72 3.4.7. Sơ đồ ERD (Entity Relationship Diagram).............................................72 3.4.8. Sơ đồ triển khai hệ thống.........................................................................73 3.5. Thiết kế cơ sở dữ liệu.......................................................................................73 3.5.1. USER (Người dùng).................................................................................73 4 3.5.2. MESSAGE (Thư)......................................................................................73 3.6. Giao diện phần mềm........................................................................................74 KẾT LUẬN................................................................................................................76 TÀI LIỆU THAM KHẢO..........................................................................................78 5 LỜI MỞ ĐẦU Trong kỷ nguyên của công nghệ thông tin, với sự phát triển mạnh mẽ, rộng rãi và phổ biến của Internet một mặt nó đem lại cho con người nhiều ứng dụng tiện lợi, các hoạt động truyền thống trong thế giới thực đang dần được số hóa. Mặt khác nó đặt ra nhiều vấn đề về sự an toàn, an ninh và tính tin cậy của những giao dịch trên Internet. Người dùng vẫn luôn cảm thấy không an toàn khi thực hiện các giao dịch trên mạng khi mà hàng loạt tội phạm máy tính như lừa đảo, phá hoại, vi phạm bí mật riêng tư ngày càng phát triển tinh vi và phức tạp. Chẳng hạn khi gửi một mẫu tin có thể là: văn bản, giọng nói, hình ảnh, phim video…Người nhận có quyền nghi ngờ: thông tin đó có phải là của đối tác không, nó có bị ai xâm phạm, và nó đã bị ai giải mã chưa…Những thử thách này đã thu hút sự chú ý của nhiều nhà khoa học trong lĩnh vực nghiên cứu về mâ ôt mã để bảo mật thông tin. Năm 1976, hê ô mâ ôt mã khóa công khai (Public key) ra đời là mô ôt cuô ôc cách mạng trong bước tiến của ngành mâ ôt mã. Ở đây người ta đã giải quyết được vấn đề trao đổi khoá, ký số cũng như xác thực thông điê pô mà ở hê ô mâ tô mã khoá bí mâ tô chưa giải quyết được. Trong mâ tô mã khoá công khai, mô ôt khoá dùng để mã hoá thì 6 được công khai hoàn toàn gọi là khoá công khai, mô ôt khoá dùng để giải mã thì được giữ bí mâ tô không cần phải phân phối hay trao đổi gọi là khoá bí mâ ôt. Quan hê ô giữa khoá công khai và khoá bí mâ tô là quan hê ô 1-1, nhưng biết được khoá này thì rất khó để suy ra khoá kia và ngược lại. Vấn đề đă ôt ra là viê ôc sinh ra các că ôp khoá công khai/bí mâ ôt như thế nào, làm sao để quản lý và phân phối được khoá công khai, làm sao để để đảm bảo an toàn, xác thực được thông tin của người gửi đến đúng địa chỉ người nhâ nô trong mô tô xã hô ôi có hàng trăm triê uô người? Những khó khăn trên sẽ được giải quyết bởi mô tô tổ chức gọi là cơ sở hạ tầng khoá công khai PKI (Public key Infrastracture). PKI đảm bảo sự an toàn, thông suốt cho các giao dịch điện tử, đảm bảo sự tin cậy cho các trao đổi thông tin nhạy cảm giữa các tổ chức cho dù mỗi liên hệ kinh doanh giữa họ trước đó còn chưa được thiết lập. PKI chính là bộ khung của các chính sách, dịch vụ và phần mềm mã hóa, đáp ứng nhu cầu bảo mật, an toàn cho người sử dụng. Tuy nhiên mô ôt vấn đề then chốt của PKI là bảo vệ khóa cá nhân do nó dễ bị lộ hoặc đánh cắp. Chính vì vậy một hướng nghiên cứu nhằm giải quyết vấn đề trên là tích hợp các dấu hiệu sinh trắc học vào hạ tầng khóa công khai PKI gọi là BioPKI (Biometrics Public Key Infrastructure). Sinh trắc học là các đặc điểm về sinh học hay các đặc trưng riêng của con người như khuôn mặt, vân tay, giọng nói, dáng điệu, chiều cao... Đây là những thông tin mang tính duy nhất của mỗi cá nhân, do vậy không thể bị ăn cắp cũng như giả mạo. Hiện nay dấu hiệu sinh trắc học vân tay đang được sử dụng rộng rãi nhất và có tính tin cậy cao. Theo hướng nghiên cứu này hệ thống BioPKI không chỉ vượt qua được các hạn chế về bảo mật của hệ PKI mà còn có khả năng thẩm định xác thực người dùng. Xuất phát từ những vấn đề trên, em đã chọn đề tài “Nghiên cứu tìm hiểu cơ sở hạ tầng khóa công khai dựa trên dấu hiệu sinh trắc học và ứng dụng” làm chủ đề cho viê ôc nghiên cứu trong luận văn của mình. Đối với Viê ôt Nam ta thì đây là những vấn đề còn mới nên chưa có nhiều tài liê uô trong nước. Do đó chắc chắn nô ôi dung đề tài luâ nô văn còn nhiều thiếu sót, em mong được các thầy cô góp ý để luâ nô văn được hoàn chỉnh hơn. 1. Mục tiêu và nhiệm vụ nghiên cứu của đề tài Luận văn tập trung nghiên cứu tìm hiểu các thành phần, mô hình và các dịch vụ lõi của PKI, bước đầu nghiên cứu khảo sát hệ thống BioPKI và các giải pháp tiếp 7 cận hệ thống BioPKI; tìm hiểu mô hình chữ ký số và ứng dụng chữ ký số trong bài toán xác thực bảng điểm. 2. Ý nghĩa khoa học của đề tài: Những nội dung nghiên cứu của đề tài một mặt trình bày khái quát về thực trạng ứng dụng thương mại điện tử ở thế giới và Việt Nam và nhu cầu cấp thiết về thiết lập môi trường an ninh đảm bảo an toàn cho các giao dịch điện tử trên internet hiện nay. Trong luận văn trình bày những kiến thức cơ bản về hạ tầng cơ sở khóa công khai PKI và giải pháp cơ sở hạ tầng khóa công khai dựa trên dấu hiệu sinh trắc học BioPKI. Với hệ thống BioPKI, sử dụng dấu hiệu sinh trắc học vân tay là một giải pháp khả thi và giải quyết vấn được vấn đề mấu chốt về bảo vệ khóa cá nhân trong hệ thống PKI. Kết quả nghiên cứu bước đầu về hệ thống BioPKI và chương trình thử nghiệm về ứng dụng chữ ký số tạo cơ sở để tiếp tục nghiên cứu và cải tiến giải pháp an toàn thông tin trong tương lai dựa trên mô hình ứng dụng tích hợp dấu hiệu sinh trắc học vào các thiết bị kỹ thuâ tô nhằm tăng cường an toàn cho các giao dịch điện tử. Đó là nhu cầu và cũng là nhiệm vụ có tính chất then chốt trong công cuộc xây dựng và phát triển bền vững toàn diện các ngành kinh tể quốc dân, thực hiện công nghiệp hóa – hiện đại hóa đất nước, hội nhập quốc tế và đầu tư nước ngoài. 3. Phương pháp nghiên cứu: Phương pháp nghiên cứu chủ yếu của luận văn là tra cứu, phân tích, tổng hợp, nội dung các tài liệu tham khảo, các bài báo khoa học liên quan đến nội dung nghiên cứu của đề tài được công bố trong những năm gần đây kết hợp với phương pháp cài đặt, thử nghiệm chương trình và đánh giá. 4. Phạm vi nghiên cứu: - Phạm vi nghiên của luận văn khảo sát thực trạng giao dịch điện tử, nhu cầu các giải pháp về an toàn thông tin ở Việt Nam; nghiên cứu giải pháp hạ tầng khóa công khai PKI như các mô hình và giải pháp triển khai PKI ở Việt Nam; thuật toán RSA; ELGAMAL, chữ ký số; khảo sát hệ thống an ninh BioPKI dựa trên dấu hiê uô sinh trắc và phân tích một số giải pháp tích hợp dấu hiệu sinh trắc trong hệ thống BioPKI; 8 - Do hạn chế nhất định về cơ sở vật chất và điều kiện tiếp cận thực tế với lĩnh vực an toàn bảo mật thông tin trong giao dịch điện tử nên việc cài đặt chương trình ứng dụng chỉ mang tính thử nghiệm. 5. Bố cục của luâ ân văn Ngoài phần mở đầu và kết luận, luận văn được tổ chức thành 3 chương như sau: Chương 1: Khảo sát thực trạng ứng dụng thương mại điện tử và hệ thống an ninh BioPKI, khả năng triển khai – vân tay, thẻ thông minh ở Việt Nam. Khảo sát thực trạng ứng dụng thương mại điện tử ở trên thế giới nói chung và ở Việt Nam nói riêng, tìm hiểu một số vấn đề cản trở sự phát triển của TMĐT ở Việt Nam; khảo sát hệ thống BioPKI, khả năng triển khai thẻ thông minh ở Việt Nam; tìm hiểu hệ thống cơ sở pháp lý cho giao dịch điện tử. Từ thực trạng đó đề tài tiếp tục tìm hiểu một cách khái quát về các giải pháp công nghệ bảo mật an toàn thông tin và an ninh mạng hiện nay. Chương 2: Hạ tầng khóa công khai – PKI và mô hình triển khai hệ thống PKI tại Việt Nam. Trong chương này trình bày tổng quan về lý thuyết mật mã, hệ mật mã bí mật, hệ mật mã công khai, khái niệm, thuật toán hệ RSA, ELGAMAL. Đề tài đi sâu vào nghiên cứu hạ tầng cơ sở khóa công khai PKI với những chức năng, thành phần, các mô hình, dịch vụ về chữ ký số, chứng chỉ số....giúp ta nhận thấy được tại sao chúng ta phải xây dựng hệ thống PKI. Tiếp đó là phần trình bày khái quát về hạ tầng khóa công khai dựa trên dấu hiệu sinh trắc học gọi là BioPKI như: khái niê m ô , kiến trúc tổng quan, chức năng, dịch vụ của BioPKI, và phân tích một số hướng tiếp cận nghiên cứu hệ BioPKI. Chương 3: Thiết kế và ứng dụng chữ ký số. Phân tích, thiết kế và cài đặt demo chương trình ứng dụng về chữ ký số dựa trên thuật toán RSA trong bài toán xác thực bảng điểm. 9 DANH MỤC TỪ VIẾT TẮT PKI BioPKI CA RA RSA LRA CLRs DES EE SSL EDR WWW WTO NBS Public Key Infrastructure Biometrics Public Key Infrastructure Certification Authorities Registration Authorities Riverst Shamir Adleman Local Registration Authority Certificate Revocation Lists Data Encryption Standard End Entities Secure Socket Layer Entity Relationship Diagram World Wide Web World Trade Organization National Bureau of Standard 10 DANH MỤC HÌNH VẼ Hình 2.1 Mô hình mã hóa đối xứng......................................................................23 Hình 2.2 Mô hình mã hoá khoá công khai............................................................25 Hình 2.3 Qui trình tạo chữ ký số...........................................................................37 Hình 2.4 Qui trình tạo chữ ký...............................................................................38 Hình 2.5 Qui trình kiểm tra, xác thực chữ ký.........................................................39 Hình 2.6 Mô hình CA đơn.....................................................................................43 Hình 2.7 Mô hình CA phân cấp.............................................................................43 Hình 2.8 Mô hình CA dạng lưới............................................................................44 Hình 2.9 Mô hình PKI dạng hỗn hợp....................................................................46 Hình 2.10 Mô hình PKI Việt Nam hiện nay...........................................................48 Hình 2.11 Các đặc trưng sinh trắc học.......................................................................50 Hình 2.12 Hướng tiếp cận hệ thống BioPKI..........................................................52 Hình 2.13 Mô hình kiến trúc tổng thể hệ thống BioPKI.........................................53 Hình 2.14 Hệ thống xác thực mật khẩu và thẩm định sinh trắc vân tay.................58 Hình 2.15 Hệ thống BioPKI xác thực thẩm định sinh trắc theo phương pháp mật mã sinh trắc học (Biometric Encryption – BE)......................................................60 Hình 2.16 Hệ thống BioPKI dùng khóa cá nhân sinh trắc học..............................61 Hình 3.1 Mô hình ca sử dụng tổng quát................................................................64 Hình 3.2 Sơ đồ ca sử dụng người dùng.................................................................64 Hình 3.3 Sơ đồ ca sử dụng Quản trị hệ thống........................................................67 Hình 3.4. Sơ đồ triển khai hệ thống.......................................................................73 Hình 3.5 Giao diện Đăng nhập.............................................................................74 Hình 3.6 Giao diện Quản trị người dùng ..............................................................75 Hình 3.7 Giao diện chính của người dùng.............................................................75 Hình 3.8 Giao diện chính của người dùng.............................................................75 11 Chương 1 Khảo sát thực trạng ứng dụng thương mại điện tử và hệ thống an ninh BioPKI, khả năng triển khai thẻ thông minh ở Việt Nam 1.1. Khái quát thực trạng ứng dụng thương mại điện tử ở thế giới và Việt Nam 1.1.1. Khảo sát về thương mại điê ân tử, giao dịch điê ân tử trên thế giới Ngày nay, cùng với các ứng dụng công nghệ thông tin, hình thức thương mại truyền thống đang dần thay đổi sang một hình thức khác đó là thương mại điện tử. Thương mại điện tử bắt đầu xuất hiện từ những năm 1970 ban đầu chỉ là hoạt động chuyển nhượng quỹ điện tử giữa các ngân hàng thông qua các mạng an toàn tư nhân. Đến thập kỷ1980, biên giới thương mại điện tử mở rộng đến các hoạt động trao đổi nội bộ dữ liệu điện tử và thư viện điện tử. Các dịch vụ trực tuyến bắt đầu xuất hiện vào giữa những năm 1980. Chỉ đến thập kỷ 1990, thương mại điện tử mới chuyển từ hệ thống cục bộ sang mạng toàn cầu Internet với sự đóng góp của hàng loạt tên tuổi lớn như Amazon.com. Yahoo!, eBay.com,... Ngày nay người ta hiểu khái niê m ô thương mại điê ôn tử thông thường là tất cả các phương pháp tiến hành kinh doanh và các quy trình quản trị thông qua các kênh điê nô tử mà trong đó Internet đóng vai trò cơ bản và công nghê ô thông tin được coi là điều kiê ôn tiên quyết. Thông thường có 3 đối tượng chính tham gia vào hoạt đô nô g thương mại điê ôn tử là: Người tiêu dùng – C (Custumer) giữ vai trò quyết định sự thành công của thương mại điê nô tử; Doanh nghiê ôp – B (Business) đóng vai trò là đô nô g lực phát triển thương mại điê ôn tử và Chính phủ – G (Goverment) giữ vai trò định hướng, điều tiết và quản lý các hoạt đô ông thương mại điê ôn tử. Các hình thức hoạt đô nô g của giao dịch thương mại điê nô tử: • Thư điênê tử (e – mail): Các tổ chức, cá nhân có thể gửi thư cho nhau mô ôt cách trực tuyến thông qua mạng. Đây là hình thức phổ biến nhất và dễ thực hiê ôn nhất, hầu như mọi người ở mọi lứa tuổi đều có thể sử dụng. • Thanh toán điê ên tử (e – payment): là viê ôc thanh toán tiền thông qua hê ô thống mạng chẳng hạn như: trả lương bằng cách chuyển tiền trực tiếp vào tài khoản, 12 trả tiền mua hàng bằng thẻ tín dụng, thẻ mua hàng,...), trao đổi dữ liê uô điê ôn tử tài chính (FEDI). • Trao đổi dữ liêuê điênê tử : là viê cô chuyển giao thông tin từ máy tính điê nô tử này sang máy tính điê ôn tử khác bằng phương tiê nô điê ôn tử. • Truyền tải nô êi dung: tin tức, phim ảnh, chương trình phát thanh, truyền hình, chương trình phần mềm, vé máy bay, vé xem phim, hợp đồng bảo hiểm....được số hoá và truyền gửi theo mạng. • Mua bán hàng hoá hữu hình: hàng hoá hữu hình là tất cả các loại hàng hoá mà con người sử dụng được chào bán và được chọn mua thông qua mạng như: ô tô, xe máy, thực phẩm, vâ ôt dụng, thuốc, quần áo,...Người xem hàng, chọn hàng hoá và nhà cung cấp trên mạng, sau đó xác nhâ nô mua và tiền điê nô tử của người mua sẽ gửi hàng hoá theo đường truyền thống đến tay người mua. Các hình thức hoạt đô nô g của thương mại điê nô tử vẫn đang ngày mô tô mở rô nô g và có nhiều sáng tạo. Ngày nay, rất nhiều ngành công nghiê ôp cũng như các lĩnh xã hô ôi khác nhau cũng tham gia vào thị trường thương mại điê nô tử. Như vâ ôy, lợi ích mà thương mại điê nô tử đem lại cho cuô ôc sống của con người hiê nô đại cũng ngày mô tô mở rô ông hơn, nâng cao hơn. 1.1.2. Tình hình phát triển các giao dịch điê n â tử ở Viê tâ Nam Trong bảng xếp hạng của Miniwatts Maketing Group, tính đến tháng 3 năm 2008, Việt Nam đứng thứ 17 trong top các quốc gia có nhiều người sử dụng Internet nhất trên thế giới và có tốc độ tăng trưởng số người dùng internet nhanh số 1 thế giới (giai đoạn 2000 – 2008). So với các quốc gia trong khu vực Châu Á, tính đến hết năm 2007, Việt Nam hiện có số người sử dụng internet đứng thứ 5 sau Trung Quốc, Nhật Bản, Ấn Độ, Hàn Quốc và Inđônexia. Đến năm 2011, Viê ôt Nam vẫn được xếp hạng thứ 5 ở châu Á. Đó mới là đánh giá về lượng, còn nếu đánh giá về chiều sâu thì đến nay Viê ôt Nam vẫn xếp hạng ở vị trí thấp hơn nhiều. Trong khối Asean, Viê ôt nam chỉ đứng trước Lào, Campuchia và Myanmar. Với tốc độ phát triển như vậy nên các ứng dụng của Internet, đặc biệt là các dịch vụ thương mại điện tử được tiếp nhận một cách nhanh chóng. Kết quả điều tra trong 2 năm 2006 và 2007 cho thấy ứng dụng thương mại điện tử của doanh nghiệp ngày càng mở rộng trên mọi cấp độ và phát triển nhanh ở 13 những ứng dụng có độ phức tạp cao. Tỷ lệ doanh nghiệp có website năm 2007 là 38%, tỷ lệ tham gia sàn giao dịch là 10%, tỷ lệ kết nối có sở dữ liệu với đối tác là 15% và có đến 80% doanh nghiệp được khảo sát có sử dụng hình thức ứng dụng thương mại điện tử phổ biến là e – mail trong đó có 65% doanh nghiệp nhận đặt hàng qua thư điện tử. Trong các doanh nghiệp hiện nay, tỷ lệ cán bộ chuyên trách về thương mại điện tử cũng gia tăng rõ rệt với mức trung bình là 2.7 người trong một doanh nghiệp, tăng gấp đôi so với con số 1.5 của năm 2006. Trong năm 2006 đánh dấu sự hội nhập kinh tế quốc tế sâu sắc và toàn diện của Việt Nam.Việt Nam đã trở thành thành viên chính thức thứ 150 của Tổ chức Thương mại Thế giới (WTO).Trong bối cảnh đó, thương mại điện tử là một công cụ quan trọng được nhiều doanh nghiệp quan tâm ứng dụng như hoạt động giao dịch mua bán tại các sàn thương mại điện tử, dịch vụ kinh doanh trực tuyến, số lượng các website doanh nghiệp. Nhiều doanh nghiệp đã ký được nhiều hợp đồng với các đối tác thông qua sàn giao dịch thương mại điện tử. Từ năm 2007, lĩnh vực thanh toán điện tử đã thực sự phát triển nhanh chóng và toàn diện. Thứ nhất, toàn ngành ngân hàng đã có 15 ngân hàng lắp đặt và đưa vào sử dụng 4.300 máy ATM, 24.000 máy POS. Thứ hai, 29 ngân hàng đã phát hành 8,4 triệu thẻ thanh toán và hình thành nên các liên minh thẻ. Trong đó, hệ thống các ngân hàng thành viên của Smartlink và Banknetvn chiếm khoảng 90% thị phần thẻ của cả nước và đang liên kết với nhau để từng bước thống nhất toàn thị trường thẻ. Các ngân hàng thương mại đã xây dựng lộ trình để chuyển dần từ công nghệ sử dụng thẻ từ sang công nghệ chíp điện tử. 1.1.3. Một số vấn đề về sự phát triển của thương mại điện tử ở Viê tâ Nam Tuy nhiên, bên cạnh những thành công và thuận lợi thì thương mại điện tử của Việt Nam cũng đang phải đối mặt với một số vấn đề lớn làm cản trở sự phát triển và mở rộng thị trường, hợp tác quốc tế. Trước hết là vấn đề an toàn, an ninh mạng, tội phạm liên quan đến thương mại điện tử. Những hành vi lợi dụng công nghệ để phạm tội ngày một gia tăng; tình trạng đột nhập tài khoản, trộm thông tin thẻ thanh toán đã gây ảnh hưởng không nhỏ đến các hoạt động thương mại điện tử lành mạnh. Bên cạnh đó, hình thức thanh toán điện tử hay giao dịch điện tử ở Việt Nam cho đến nay hầu như vẫn chưa thực 14 sự đáp ứng được nhu cầu của người dùng do các vấn đề luật pháp, về ngân hàng và các nhà cung cấp dịch vụ thanh toán trung gian. Do vậy, người mua hàng trên mạng cuối cùng vẫn phải thanh toán bằng tiền mặt hoặc chuyển khoản cho nhà cung cấp qua một thiết bị trung gian khác mà không thể thanh toán trực tiếp trên website bán hàng. Chính điều này đã gây cản trở không ít đến các hoạt động trực tuyến, gia tăng chi phí và tổn hại kinh tế của người tham gia. Ở Viê ôt Nam hiê nô này còn một số quy định bất hợp lý cho thương mại điện tử. Những quy định về cấp phép thành lập websitte hay mua bán tên miền chưa phù hợp với thực tiễn. Cùng với tiến bộ công nghệ, sự phát triển phong phú, đa dạng của thương mại điện tử luôn đặt ra những vấn đề mới cho hệ thống pháp luật về thương mại điện tử. Sự bùng nổ của trò chơi trực tuyến dẫn đến nhu cầu xác định tính hợp pháp của tài sản ảo, các vụ tranh chấp về tên miền cần có tư duy quản lý thích hợp với loại tài nguyên đặt biệt này, việc gửi thư điện tử quảng cáo thương mại với số lượng lớn đòi hỏi phải có biện pháp bảo vệ người tiêu dùng. Ngoài ra, nhận thức của doanh nghiệp và người dân về thương mại điện tử nhìn chung vẫn còn thấp và chưa phổ biến rộng rãi, đồng đều trên khắp các tỉnh thành, chủ yếu là tập trung vào các thành phố lớn; cơ sở hạ tầng phục vụ cho thương mại điện tử còn yếu kém, sơ sài. Điều này cũng gây ảnh hưởng không nhỏ đến sự phát triển của thương mại điện tử Việt Nam. 1.2. Khảo sát BioPKi - Khả năng triển khai thẻ thông minh sinh trắc học ở Việt Nam 1.2.1 Nhu cầu đảm bảo an toàn thông tin sử dụng dấu hiệu sinh trắc Sự bùng nổ các mạng mở trên toàn cầu và nguy cơ an ninh thông tin đã dẫn đến phát triển phương pháp bảo đảm an toàn cho các hệ thống thông tin truyền thông và dữ liệu được truyền và lưu trữ trên những hệ thống đó. Việc phát triển cơ sở hạ tầng thông tin là một mảnh đất màu mỡ đối với các loại tội phạm máy tính, bao gồm cả lừa đào và vi phạm bí mật riêng tư. Những hoạt động kinh doanh điện tử sẽ không thể tiến triển cho đến khi các phương pháp bảo đảm an ninh dữ liệu được khách hàng và người sử dụng chấp nhận và tin tưởng. Bài toán an toàn thông tin trong kỷ nguyên số không chỉ thách thức các nước nghèo, có ngành công nghệ 15 thông tin chậm phát triển mà còn thách thức đối với cả những cường quốc như Mỹ, Nhật Bản, Pháp, Đức,... Tuy nhiên, chúng ta khó có thể đảm bảo an toàn thông tin 100%, nhưng ta có thể giảm bớt rủi ro không mong muốn dưới tác động từ mọi phía của lĩnh vực hoạt động kinh tế xã hội. Những giải pháp công nghệ đơn lẻ như những sản phẩm Anti – Viurs, Firewall... không đủ cung cấp sự an toàn cần thiết cho hầu hết các tổ chức. An toàn thông tin là một mắt xích liên kết hai yếu tố: công nghệ và con người. Do vậy, để cải tiến giải pháp an toàn thông tin hiện nay là cần phải tập trung dựa trên 2 yếu tố đó. Một trong các xu hướng mới và khả thi là tích hợp các dấu hiệu đặc trưng của con người vào hệ thống. Đây là những thông tin mang tính duy nhất của mỗi cá nhân, do vậy không thể bị ăn cắp cũng như giả mạo. Đặc trưng sinh trắc này đã được tích hợp vào nhiều thiết bị và phổ biến nhất có lẽ là hệ thống các thẻ. Ngày nay, thẻ được xem là phương tiện cộng cụ để quản lý xã hội phát triển an toàn và văn minh, thẻ được dùng phổ biến trong nhiều lĩnh vực của đời sống và xã hội hiện đại. Do sự phát triển ngày càng tinh vi, phức tạp của hàng loạt tội phạm trên internet như lừa đảo, ăn cắp tài khoản để truy nhập trái phép, ảnh hưởng nghiêm trọng đến hệ thống nên việc dùng mật khẩu truy nhập Internet không còn đảm bảo an toàn nữa. Vì vậy chúng ta cần đến một giải pháp công nghệ bảo mật tiên tiến và tin cậy hơn đó là thẻ thông minh và thẻ sinh trắc học. 1.2.2. Khảo sát hệ BioPKI - khả năng triển khai thẻ thông minh sinh trắc học ở Việt Nam Thẻ thông minh là một loại hàng hoá đặc biệt, đồng thời là công cụ quản lý hoạt động của con người, đảm bảo cho xã hội phát triển an toàn bền vững. Sự phát triển nhanh chóng của các ứng dụng thẻ chip trên thế giới đã có những ảnh hưởng lớn tới sự phát triển của ngành công nghệ thẻ Việt Nam. Cũng như nhiều quốc gia đang phát triển, thị trường thẻ bắt đầu từ việc sử dụng thẻ tín dụng của các ngân hàng.Về mặt này, thị trường Việt Nam hiện tồn tại 2 loại thẻ, khách nước ngoài vào Việt Nam phần lớn dùng các loại thẻ EMV, JCB, AMEX,...; còn thẻ tín dụng nội địa thì có các thẻ của nhân hàng ngoại thương Việt Nam (Vietcombank), ngân hàng xuất nhập khẩu Việt Nam (Eximbank) và ngân hàng Á Châu (ACB). 16 Số lượng chủ sở hữu thẻ ACB từ năm 1996 đến 2002 theo thống kê là 21.701 chủ thẻ. Năm 2002 Eximbank đã phát hành 1200 thẻ tín dụng. Đặc biệt, sau khi Vietcombank đưa vào sử dụng máy rút tiền tự động (ATM), đến nay VCB đã chiếm 40% thị phần trong nước với hơn 200.000 tài khoản cá nhân và 200 máy ATM lắp trên toàn quốc và số thẻ phát hành là 136.100 thẻ. Ngân hàng nông nghiệp và phát triển nông thôn sau 5 tháng khai trương dịch vụ đã có 52 máy ATM và 60.000 thẻ.Hiện tại có hàng chục ngân hàng chấp nhận thanh toán thẻ. So với tổng số dân hiện nay thị số lượng phát hành thẻ tín dụng là quá bé nhỏ do gặp phải một rào cản hết sức khó khăn, đó là thói quen sử dụng tiền mặt của người dân. Bên cạnh đó, khi sử dụng thẻ tín dụng khách hàng phải đóng phí phát hành thẻ 50.000 đến 100.000 đồng, ngoài ra còn phải đóng các loại phí như phí phát hành lại thẻ, phí rút tiền mặt...Tuy nhiên một trong những hạn chế làm cho thị trường thẻ tín dụng ít được mọi người quan tâm trong thời gian qua là các đại lý thanh toán thẻ vẫn chưa rộng. Đầu năm 2004, Eximbank mới có 7000 điểm xác thực thẻ; ACB có hơn 3000 đại lý nhận thanh toán thẻ và rút tiền...Các địa điểm chấp nhận thanh toán thẻ chủ yếu là tập chung ở một số nhà hàng, khách sạn, siêu thị, cửa hàng...Trong khi đó, hệ thống chợ, bệnh viện, điểm vui chơi giải trí,...vẫn chưa được trang bị các máy đọc xác thực thẻ. Trước thực tế đòi hỏi của công cuộc hội nhập quốc tế, để có thể phát hành các loại thẻ trong lĩnh vực tài chính tiền tệ, hiện nay, một số ngân hàng lớn đã đầu tư được những trang thiết bị tin cậy, bảo đảm an toàn bảo mật và tiện lợi trên phạm vi cả nước. Ngân hàng ngoại thương Việt Nam đã có hơn 200 máy ATM lắp đặt trên toàn quốc và hàng nghìn điểm chấp nhận thẻ. Vừa qua ngân hàng TechCombank đã ký thoả thuận và phát triển dịch vụ thẻ với Vietcombank, Mastercard International và 10 ngân hàng thương mại cổ phần. Cũng thông qua hợp đồng đại lý với Vietcombank, 11 ngân hàng TMCP trong liên minh thẻ có thể phát hành thẻ và thanh toán thẻ ghi nợ mang thương hiệu Conect24, triển khai hệ thống ATM và điểm chấp nhận thẻ. Hiện tại, Chính phủ đang trong tiến trình cải cách hành chính mạnh mẽ và toàn diện. Thực hiện hiệp ước thương mại Việt - Mỹ, các cam kết gia nhập tổ chức thương mại thế giới (WTO), hội nhập quốc tế & kêu gọi đầu tư nước ngoài để xây 17 dựng và phát triển kinh tế xác hội một cách an toàn và bền vững. Những yêu cầu khách quan trong sự nghiệp Công nghiệp hoá và hiện đại hoá, xây dựng và bảo vệ Tổ quốc đòi hỏi phải đầu tư xây dựng và phát triển ngành thẻ của Việt Nam ngang tầm thời đại công nghệ thông tin trên phạm vi toàn cầu. Tình hình này đã tạo ra những thị trường, nhu cầu về sử dụng thẻ thông minh. Vai trò của thẻ thông minh là không thể phủ nhận, nhiều quốc gia trên thế giới sử dụng thẻ như là một vật thiết yếu gắn liền với mọi sinh hoạt của con người trong cuộc sống hàng ngày. Vì vậy, thị trường thẻ thông minh rất sôi động với số lượng đông đảo nhà cung ứng, các nhà khai thác và phát triển các lĩnh vực ứng dụng sản phẩm. Các tổ chức trên thế giới đều đặt mục tiêu là đến năm 2010, tất cả các hệ thống thẻ từ sẽ được thay thế bằng thẻ chip. Hiện tại thị trường thẻ thông minh ở Việt Nam còn rất non trẻ và manh mún, chủ yếu là sản phẩm nhập ngoại và cung cấp cho một số chuyên ngành hẹp, trong nước chỉ mới sản xuất được các loại thẻ từ. Trong khi đó, những ứng dụng của thẻ thông minh là rất rộng lớn bởi những tính năng, tiện ích mà nó mang lại đáp ứng được những yêu cầu của nhịp sống hiện đại. Việt Nam nhanh chóng triển khai dự án sản xuất thẻ thông minh như là một trong những chiến lược phát triển ngành công nghệ cao đáp ứng nhu cầu hội nhập cùng thế giới. Nhận thức được tầm quan trọng và tính cấp bách của dự án, Chính phủ đã đưa dự án vào trong chương trình KT – KT về Công nghệ vật liệu và được các bộ ngành rất quan tâm. Công ty ELINCO với lợi thế được sự ủng hộ thích hợp từ phía cơ quan Nhà nước, trở thành nhà sản xuất thẻ thông minh đầu tiên trong thị trường có chọn lọc và tập trung, chắc chắn sản phẩm của dự án sẽ có chỗ đứng vững chắc trên thị trường. 1.3. Hệ thống cơ sở pháp lý cho giao dịch điện tử và đảm bảo an toàn thông tin sử dụng sinh trắc ở Việt Nam Luật Giao dịch điện tử (ban hành năm 2005) và luật Công nghệ thông tin (ban hành 2006) ra đời là môi trường pháp lý cho các giao dịch điện tử tương đối hoàn thiện nhờ một loạt các văn bản qui phạm pháp luật hướng dẫn 2 luật này được ban hành trong năm 2007 như: - Nghị định số 26/2007/NĐ-CP ngày 15/02/2007 qui định chi tiết thi hành Luật Giao dịch điện tử về Chữ ký số và dịch vụ chứng thực chữ ký số. Đây là nền 18 tảng để thiết lập một cơ chế đảm bảo an ninh an toàn cũng như độ tin cậy của các giao dịch điện tử, thúc đẩy thương mại điện tử phát triển mạnh mẽ hơn. - Nghị định số 27/2007/NĐ-CP qui định về Giao dịch điện tử trong hoạt động tài chính. - Nghị định số 35/2007NĐ-CP qui định về Giao dịch điện tử trong hoạt động ngân hàng. Nghị định này tập trung hướng dẫn việc áp dụng Luật Giao dịch điện tử cho các hoạt động ngân hàng cụ thể, bảo đảm những điều kiện cần thiết về môi trường pháp lý để củng cố, phát triển các giao dịch điện tử an toàn và hiệu quả đối với hệ thống ngân hàng. - Nghị định số 63/2007/NĐ-CP qui định xử phạtvi phạm hành chính trong lĩnh vực công nghệ thông tin. - Nghị định số 64/2007/NĐ – CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước. Chữ ký điện tử, hay vấn đề đảm bảo giá trị pháp lý của chứng từ điện tử, hiện là khúc mắc lớn nhất trong quá trình triển khai các giao dịch thương mại điện tử có giá trị cao hoặc giao dịch hành chính đòi hỏi con dấu và chữ ký. Về mặt pháp lý, Nghị định Chữ ký số và Dịch vụ chứng thực chữ ký số đã đặt nền tảng cho việc ứng dụng loại chữ ký số vẫn chưa được triển khai rộng rãi tại Việt Nam do còn thiếu những giải pháp công nghệ và cơ chế quản lý tương ứng để thực hiện hóa các qui định của Nghị định này. Nghị định Chữ ký số và Dịch vụ chứng thực chữ ký số tập chung giải quyết một số vấn đề có tính then chốt trong việc cung cấp, sử dụng dịch vụ chữ ký số, việc thành lập Tổ chức chứng thực chữ ký số quốc gia, và giá trị pháp lý của chữ ký số trong mối tương quan với chữ ký và con dấu truyền thống của cơ quan, tổ chức. 1.4. Khái quát về các giải pháp công nghệ bảo mật an toàn thông tin và an ninh mạng 1.4.1. Các công nghệ mật mã Công nghệ mật mã là nền tảng của tất cả các công nghệ bảo vệ thông tin. Công nghệ này cung cấp 5 dịch vụ cơ bản: đảm bảo bí mật, toàn vẹn dữ liệu, chứng thực thông điệp, chức thực người dùng và chống chối bỏ. Đối với mật mã khóa đối xứng, việc nghiên cứu được thực hiện trong lĩnh vực công nghệ ứng dụng mật mã 19 khối. Mật mã công khai RSA và EEC đều được phát triển đồng thời. Tuy nhiên rất nhiều nghiên cứu của RSA và ECC được thực hiện nhằm giải quyết những yếu tố sai sót để tăng năng suất tính toán. Đặc biệt, một số nghiên cứu như: thuật toán modular, thuật toán trường hữu hạn, và thuật toán đường cong elip đã được thực hiện. Ngoài ra, các nghiên cứu cũng được thực hiện một cách đồng bộ về mặt giao thức thiết lập khóa, chương trình ứng dụng mật mã, và công nghệ phân tích độ bền vững trong lĩnh vực khóa đối xứng. 1.4.2. Các công nghệ chứng thực Các công nghệ chứng thực được chia thành 2 nhóm là công nghệ hạ tầng khóa công khai PKI (Public Key Infratruction) và công nghệ PIM. Công nghệ PKI dựa trên nền tảng hệ mật mã khóa công khai cùng với các chính sách, các kiến trúc hệ thống và cơ chế ứng dụng rộng rãi trên thế giới. Các công nghệ hệ thống PKI dựa trên hệ mật mã khóa công khai cũng đang được phát triển cùng với các sản phẩm được liên kết với lĩnh vực ứng dụng nhằm tăng cường chức năng VA (Validation Authority), chức năng khôi phục khóa, tăng cường sử dụng thẻ thông minh và chấp nhận các dịch vụ bảo mật, chấp nhận phương thức mật mã đường cong elip trong thuật toán chữ ký số, tích hợp công nghệ không dây vào các sản phẩm chứng thực, xây dựng hệ thống PKI toàn cầu. Bên cạnh công nghệ PKI, công nghệ PMI được dùng trong việc quản lý quyền của người sử dụng. 1.4.3. Công nghệ sinh trắc học Sinh trắc học là độ đo các đặc điểm về hành vi (chữ ký, dáng đi, thói quen...) hoặc các thuộc tính vật lý mang tính duy nhất của cơ thể con người (vân tay, giọng nói, khuôn mặt, mống mắt, ADN...). Công nghệ sinh trắc học được dùng để đo các đặc điểm vật lý và đặc điểm hành vi của con người bằng các thiết bi tự động và sử dụng công cụ đo lường để xác định các cá nhân, phản chiếu thông tin nhận được từ một phần cơ thể hoặc từ các đặc điểm hành vi cá nhân. Công nghệ này có một lợi thế là không có rủi ro khi cho thuê (nhượng) mật khẩu hoặc thẻ ID cho người khác, hoặc làm mất mát, chiếm đoạt hay sao chép chúng. Về mặt công nghệ hiện tại, mặt, vân tay, và mống mắt đã được đưa vào sử dụng, một số công nghệ sinh trắc khác như (gân), mu bàn tay, ADN, dáng điệu, chiều cao...cũng đang được thúc đẩy phát 20