DANH MỤC CÁC KÝ HIỆU .
DANH MỤC HÌNH ẢNH .
DANH MỤC SƠ ĐỒ .
PHẦN MỞ ĐẦU. 1
CHƢƠNG 1: TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU, CƠ SỞ LÝ
LUẬN VỀ GIAO DỊCH, DỊCH VỤ XÁC THỰC, AN NINH THÔNG TIN
TRONG GIAO DỊCH ĐIỆN TỬ TẠI NGÂN HÀNG . 6
1.1. Tổng quan tình hình nghiên cứu về xác thực giao dịch trong ngân hàng.6
1.2. Tổng quan về giao dịch trong ngân hàng .
1.3. Các loại hình giao dịch.
1.4. Vấn đề an ninh trong giao dịch.
1.4.1. Khái quát về vấn đề an ninh trong giao dịch
14.2. Vấn đề xác thực trong an toàn thông tin
1.4.3. Vấn đề xác thực trong an toàn thông tin
1.4.4. Phân loại xác thực.
1.4.5. Các nhân tố xác thực.
1.4.6. Một vài công cụ xác thực và đánh giá
1.5. Lý thuyết về lựa chọn công nghệ .
1.5.1. Công nghệ thích hợp .
1.5.2. Một số phương pháp lựa chọn công nghệ
18 trang |
Chia sẻ: lanphuong92 | Lượt xem: 537 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Luận văn Nghiên cứu và đề xuất lựa chọn công nghệ xác thực trong giao dịch tại ngân hàng TMCP đại chúng Việt Nam, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC KINH TẾ
---------------------
NGUYỄN QUANG HÙNG
NGHIÊN CỨU VÀ ĐỀ XUẤT LỰA CHỌN CÔNG NGHỆ
XÁC THỰC TRONG GIAO DỊCH
TẠI NGÂN HÀNG TMCP ĐẠI CHÚNG VIỆT NAM
LUẬN VĂN THẠC SĨ
QUẢN TRỊ CÔNG NGHỆ VÀ PHÁT TRIỂN DOANH NGHIỆP
Hà Nội – 2016
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC KINH TẾ
---------------------
NGUYỄN QUANG HÙNG
NGHIÊN CỨU VÀ ĐỀ XUẤT LỰA CHỌN CÔNG NGHỆ
XÁC THỰC TRONG GIAO DỊCH
TẠI NGÂN HÀNG TMCP ĐẠI CHÚNG VIỆT NAM
Chuyên ngành: Quản trị công nghệ và Phát triển doanh nghiệp
Mã số: Chuyên ngành thí điểm
LUẬN VĂN THẠC SĨ
QUẢN TRỊ CÔNG NGHỆ VÀ PHÁT TRIỂN DOANH NGHIỆP
NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS. LÊ QUÂN
Hà Nội – 2016
LỜI CAM ĐOAN
Tôi xin cam đoan tên để tài “Nghiên cứu và đề xuất lựa chọn công nghệ
xác thực trong giao dịch tại ngân hàng TMCP Đại chúng Việt Nam” là mới
chƣa từng đƣợc ai công bố trong bất kỳ công trình nào khác.
Các số liệu, kết quả nêu trong luận văn là trung thực qua khảo sát thực tiễn
Tác giả
Nguyễn Quang Hùng
LỜI CẢM ƠN
Trƣớc hết, với lòng trân trọng sâu sắc, tôi xin gửi lời cám ơn chân thành
nhất tới PGS.TS.Lê Quân. Thầy đã tận tình giúp đỡ, hƣớng dẫn, chỉ bảo giúp
tôi hoàn thành luận văn này.
Tôi cũng xin cám ơn các thầy, cô trong chƣơng trình Quản trị Công nghệ
đã giúp đỡ, chỉ dạy trong suốt quá trình học tập tại trƣờng ĐH Kinh Tế - ĐH
Quốc Gia Hà Nội.
MỤC LỤC
DANH MỤC CÁC KÝ HIỆU ........................ Error! Bookmark not defined.
DANH MỤC HÌNH ẢNH .............................. Error! Bookmark not defined.
DANH MỤC SƠ ĐỒ ...................................... Error! Bookmark not defined.
PHẦN MỞ ĐẦU ............................................................................................... 1
CHƢƠNG 1: TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU, CƠ SỞ LÝ
LUẬN VỀ GIAO DỊCH, DỊCH VỤ XÁC THỰC, AN NINH THÔNG TIN
TRONG GIAO DỊCH ĐIỆN TỬ TẠI NGÂN HÀNG ..................................... 6
1.1. Tổng quan tình hình nghiên cứu về xác thực giao dịch trong ngân hàng ...... 6
1.2. Tổng quan về giao dịch trong ngân hàng .... Error! Bookmark not defined.
1.3. Các loại hình giao dịch .................................. Error! Bookmark not defined.
1.4. Vấn đề an ninh trong giao dịch ..................... Error! Bookmark not defined.
1.4.1. Khái quát về vấn đề an ninh trong giao dịchError! Bookmark not
defined.
14.2. Vấn đề xác thực trong an toàn thông tinError! Bookmark not
defined.
1.4.3. Vấn đề xác thực trong an toàn thông tinError! Bookmark not
defined.
1.4.4. Phân loại xác thực ............................ Error! Bookmark not defined.
1.4.5. Các nhân tố xác thực ........................ Error! Bookmark not defined.
1.4.6. Một vài công cụ xác thực và đánh giáError! Bookmark not
defined.
1.5. Lý thuyết về lựa chọn công nghệ ................. Error! Bookmark not defined.
1.5.1. Công nghệ thích hợp ........................ Error! Bookmark not defined.
1.5.2. Một số phương pháp lựa chọn công nghệError! Bookmark not
defined.
CHƢƠNG 2: PHƢƠNG PHÁP NGHIÊN CỨUError! Bookmark not
defined.
2.1. Lƣu đồ quy trình nghiên cứu ........................ Error! Bookmark not defined.
2.2. Thống kê từ việc sử dụng công nghệ xác thực trong một số ngân
hàng khác .............................................................. Error! Bookmark not defined.
2.3. Nghiên cứu dựa vào các phƣơng pháp khảo sát, phỏng vấn, quan sát, so
sánh và tƣ vấn các chuyên gia, nhân viên và khách hàng trực tiếp giao dịch
trong ngân hàng ..................................................... Error! Bookmark not defined.
2.3.1. Khảo sát ý kiến khách hàng ............. Error! Bookmark not defined.
2.3.2. Khảo sát cán bộ bảo mật .................. Error! Bookmark not defined.
2.3.3. Khảo sát tư vấn chuyên gia. ............. Error! Bookmark not defined.
2.4 Phƣơng pháp tổng hợp, phân tích so sánh, đánh giáError! Bookmark not
defined.
CHƢƠNG 3 : THỰC TRẠNG VẤN ĐỀ XÁC THỰC TRONG GIAO DỊCH
TẠI PVCOMBANK ........................................ Error! Bookmark not defined.
3.1 Giới thiệu sơ lƣợc về ngân hàng PVcomBankError! Bookmark not
defined.
3.2 Thực trạng ........................................................ Error! Bookmark not defined.
3.2.1 Thực trạng về nhân sự ....................... Error! Bookmark not defined.
3.2.2 Thực trạng về cơ sở hạ tầng .............. Error! Bookmark not defined.
3.2.3 Phân tích SWOT hệ thống Công nghệ và Nghiệp vụ của PvcomBank
.................................................................... Error! Bookmark not defined.
3.2.4 Thực trạng về hệ thống xác thực trong giao dịch điện tử ........ Error!
Bookmark not defined.
CHƢƠNG 4 : ĐỀ XUẤT LOẠI HÌNH XÁC THỰC VỚI MỘT SỐ GIAO DỊCH
ĐIỆN TỬ TẠI NGÂN HÀNG PVCOMBANK GIAI ĐOẠN 2017-2020 ... Error!
Bookmark not defined.
4.1. Giao dịch thanh toán thẻ (Card Payment) ... Error! Bookmark not defined.
4.2 Giao dịch Internet Banking ............................ Error! Bookmark not defined.
4.3 Giao dịch Mobile Banking ............................. Error! Bookmark not defined.
KẾT LUẬN ..................................................... Error! Bookmark not defined.
TÀI LIỆU THAM KHẢO ............................................................................... 11
PHỤ LỤC
PHẦN MỞ ĐẦU
1. Tính cấp thiết của đề tài
Giao dịch ngân hàng là một trong những nhu cầu thiết yếu nhất của xã
hội hiện đại. Trong giao dịch ngân hàng đƣợc chia thành hai loại cơ bản nhất:
Đó là giao dịch trực tiếp tại quầy giao dịch của ngân hàng hoặc giao dịch điện
tử. Giao dịch trực tiếp là hình thức truyền thống, khách hàng phải đến trực
tiếp ngân hàng để giao dịch, hình thức này đã tồn tại từ những ngày sơ khai
của ngành ngân hàng và sẽ còn tồn tại tƣơng đối lâu trong thời gian tới tại
Việt Nam và vẫn chiếm tỉ lệ giao dịch cao hơn các loại hình giao dịch khác.
Giao dịch điện tử là xu thế của Việt Nam và các nƣớc trên thế giới. Hiện nay,
một số lƣợng không nhỏ doanh nghiệp và ngân hàng tại Việt Nam đã bắt đầu
chú ý tới các hình thức giao dịch điện tử, và sử dụng các công cụ xác thực
trong giao dịch nhƣ một biện pháp tiện lợi, an toàn, nhằm giảm chi phí và thủ
tục giao dịch. Để đáp ứng đƣợc giao dịch thành công thì không thể thiếu yếu
tố xác thực khách hàng, và lựa chọn công nghệ xác thực đảm bảo yếu tố tiện
lợi và an toàn là bí quyết công nghệ của mỗi ngân hàng. Những nỗi lo về các
rủi ro và nguy cơ tiềm ẩn trong việc xác thực khách hàng trong giao dịch là
bài toán khó. Để khắc phục vấn đề này, cần phải đƣa ra giải pháp xác thực
toàn diện nhằm đảm bảo an toàn tối đa cho các giao dịch (trực tiếp, điện tử).
Có đƣợc niềm tin và tiện lợi của khách hàng thì ngân hàng mới có chỗ đứng
trên thị trƣờng, cạnh tranh đƣợc các ngân hàng khác và mang lại giá trị cho
bản thân doanh nghiệp.
Trên thế giới hiện nay có rất nhiều các phƣơng thức để xác thực giao
dịch cho khách hàng nhƣ: chứng minh nhân dân, chữ ký tay, chữ ký số, võng
mạc mắt, vân tay, token key, số điện thoại di động, password, nhƣng lựa
chọn công nghệ nào để áp dụng cho từng loại giao dịch tại ngân hàng là một
bài toán khó và nhiệm vụ của bài luận văn này phải nghiên cứu các công nghệ
xác thực và đƣa ra đề xuất cho ngân hàng PVcomBank trong giai đoạn 2017-
2020. Trong luận văn này tác giả chỉ tập trung vào phân tích và lựa chọn công
nghệ xác thực cho hình thức giao dịch gián tiếp (hình thức giao dịch điện tử)
Ngân hàng Thƣơng mại cổ phần Đại chúng Việt Nam (PVcomBank)
tiền thân là hợp nhất của Tổng Công ty Tài chính Dầu Khí Việt Nam (Thành
viên tập đoàn Dầu khí Việt Nam) và Ngân hàng Thƣơng mại cổ phần Phƣơng
Tây (Westernbank). PVcomBank có tổng tài sản đạt gần 100.000 tỷ đồng, vốn
điều lệ 9.000 tỷ đồng, trong đó cổ đông lớn là Tập đoàn Dầu khí Việt Nam
(chiếm 52%) và cổ đông chiến lƣợc Morgan Stanley (6,7%). Với mạng
lƣới 140 điểm giao dịch tại các tỉnh thành trọng điểm trên toàn quốc; nguồn
nhân lực chất lƣợng cao và bề dày kinh nghiệm trong cung cấp các dịch vụ
cho các doanh nghiệp trong ngành Dầu khí, năng lƣợng, hạ tầng; PVcomBank
cung cấp các sản phẩm dịch vụ đa dạng đáp ứng đầy đủ các nhu cầu của
khách hàng tổ chức và cá nhân
PVcomBank đã lựa chọn Công ty tƣ vấn Boston Consulting Group
(BCG) để cùng hoạch định chiến lƣợc Mục tiêu cho PVcomBank. Một trong
những chiến lƣợc đến năm 2020 là:
Trở thành ngân hàng xếp thứ 07 tại Việt Nam đến năm 2020.
Quy mô tài sản : 180 ngàn tỉ
Quy mô tiền gửi : 80 ngàn tỉ
Tập trung khách hàng doanh nghiệp lớn tại Tập đoàn Dầu khí
Chính sách phát triển các sản phẩm khác biệt, nâng cao tính cạnh
tranh bằng chất lƣợng đội ngũ nhân sự dựa trên nền tảng công nghệ tiên
tiến và bảo mật.
Duy trì và phát triển mạng lƣới bản lẻ, phát triển các loại hình dịch vụ
giao dịch điện tử hiện đại nhất, tạo hình ảnh ấn tƣợng cho ngân hàng bằng
các loại hình giao dịch hiện đại và an toàn
Nhƣ vậy việc nâng cao năng lực công nghệ là mà học viên lựa chọn là
một trong những đề tài đang nóng hổi trong việc cạnh tranh công nghệ tại các
ngân hàng hiện nay. Đề tài “Lựa chọn công nghệ xác thực trong giao dịch tại
ngân hàng” là đề tài cấp thiết phù hợp với chiến lƣợc của Ngân hàng giai
đoạn 2017-2020 và phù hợp với chuyên ngành đào tạo
Câu hỏi nghiên cứu của luận văn:
Câu hỏi 1: Các hình thức xác thực trong giao dịch đang đƣợc áp dụng tại các
ngân hàng ở Việt Nam nhƣ thế nào?
Câu hỏi 2: Các khách hàng, các cán bộ bảo mật, các chuyên gia đánh giá nhƣ
thế nào về các hình thức xác thực trong giao dịch điện tử?
Câu hỏi 3: Sau khi dựa vào thực tế, nghiên cứu, đánh giá tác giả đề xuất các
hình thức xác thực nào cho giao dịch điện tử tại Ngân hàng PvcomBank?
2. Mục đích và nhiệm vụ nghiên cứu:
a. Mục đích nghiên cứu:
Nâng cao khả năng cạnh tranh của PVcomBank trong giao dịch ngân
hàng bằng cách tìm ra phƣơng thức xác thực phù hợp với từng loại giao dịch,
mang lại tiện ích cho khách hàng, hỗ trợ công tác quản trị tốt (đối với ngân
hàng), giảm thiểu rủi ro trong giao dịch (cả ngân hàng và khách hàng), tận
dụng công nghệ này để phát triển thêm các tiện ích gia tăng. Từ đó để xây
dựng giải pháp toàn diện về công nghệ ngân hàng cho PVcomBank
Hoàn thiện một số nội dung về chiến lƣợc kinh doanh và công nghệ của
PVcomBank giai đoạn 2017- 2020
b. Nhiệm vụ nghiên cứu :
Nhiệm vụ thứ nhất :
Nghiên cứ các công cụ lý thuyết và các mô hình xác thực hiện tại đang
đƣợc nghiên cứu và áp dụng trên thế giới : Password, chữ ký số, chứng chỉ số,
CHAP, Kerberos, Token, Vân tay, Quét võng mạc mắt, nhận dạng khuôn mặt,
Nghiên cứu các mô hình giao dịch và thanh toán, đặc trƣng của các loại
hình giao dịch điện tử, vấn đề an ninh trong việc giao dịch ngân hàng
Nhiệm vụ thứ hai :
Nghiên cứu đƣợc thực trạng sử dụng và đánh giá về vấn đề xác thực
trong giao dịch ngân hàng nhƣ thế nào
Nhiệm vụ thứ ba :
Phân tích ƣu nhƣợc điểm của các loại hình xác thực và đề xuất loại
hình công nghệ xác thực ứng dụng trong một số giao dịch điện tử tại
PVcomBank giai đoạn 2017-2020
3. Đối tƣợng và phạm vi nghiên cứu:
a. Đối tƣợng nghiên cứu:
Công nghệ xác thực trong giao dịch ngân hàng điện tử
b. Phạm vi nghiên cứu:
Các hình thức giao dịch và xác thực đang đƣợc áp dụng trong lãnh thổ
Việt Nam, thời gian trong vòng 3 năm trở lại đây
4. Những đóng góp của luận văn nghiên cứu:
Luận văn đánh giá đƣợc thực trạng các loại hình xác thực trong giao
dịch điện tử đang đƣợc sử dụng tại Việt Nam.
Tìm hiểu đƣợc nguyên tắc hoạt động của xác thực trong từng loại hình
giao dịch điện tử tƣơng ứng.
Đề xuất đƣợc loại hình xác thực phù hợp với một số giao dịch điện tử
tại ngân hàng PVcomBank giai đoạn 2017-2020.
5. Kết cấu của luận văn
Nội dung của luận văn gồm có phần mở đầu, bốn chƣơng nội dung và
phần kết luận:
Chƣơng 1: Tổng quan tình hình nghiên cứu, cơ sở lý luận về giao dịch,
dịch vụ xác thực, an ninh thông tin trong giao dịch điện tử tại ngân hàng
Chƣơng 2: Phƣơng pháp nghiên cứu
Chƣơng 3: Thực trạng vấn đề xác thực trong giao dịch tại PVcomBank
Chƣơng 4: Đề xuất loại hình xác thực cho một số giao dịch điện tử tại
ngân hàng PVcomBank giai đoạn 2017-2020
CHƢƠNG 1: TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU, CƠ SỞ LÝ
LUẬN VỀ GIAO DỊCH, DỊCH VỤ XÁC THỰC, AN NINH THÔNG TIN
TRONG GIAO DỊCH ĐIỆN TỬ TẠI NGÂN HÀNG
1.1. Tổng quan tình hình nghiên cứu về xác thực giao dịch trong ngân hàng
Thời gian gần đây có rất nhiều nghiên cứu khác nhau về vấn đề xác
thực trong giao dịch điện tử thuộc các khu vực, đơn vị ở tất cả các loại hình
giao dịch khác nhau. Có rất nhiều vụ lừa đảo, mất tiền của khách hàng trong
ngân hàng đều liên quan đến vấn đề xác thực trong giao dịch. Có rất nhiều bài
viết, nghiên cứu về vấn đề này và đƣợc quan tâm chỉ đạo đặc biệt từ cơ quan
chính phủ, ngân hàng nhà nƣớc về an toàn thông tin trong giao dịch. Điều này
chứng tỏ vấn để xác thực trong giao dịch ngày càng đƣợc quan tâm, trở thành
đề tài nóng hổi không chỉ trên các diễn đàn công nghệ thông tin, ngân hàng và
các tạp chí có tiếng mà còn đƣợc các tác giả đƣa vào công trình nghiên cứu
khoa học cấp bộ, cấp quốc gia hay trong cả bài luận án tiến sĩ.
Cụ thể, bài viết về xác thực OTP (One time Password) của tác giả Nguyễn
Minh Đức-Viện Công nghệ Thông tin và Truyền thông (CDIT) đƣợc đăng trên
trang 19- Tạp chí an toàn thông tin số 25 ngày 14 tháng 05 năm 2014. Giải pháp
hiện tại ở Việt nam đang đƣợc ứng dụng khá mạnh ở lĩnh vực ngân hàng trong
các khâu thanh toán, rút tiền. Ở một số lĩnh vực khác cũng áp dụng giải pháp
OTP vào phục vụ chủ yếu cho các khâu liên quan đến giao dịch, xác thực. Giải
pháp OTP của CDIT đƣợc phát triển dựa trên web-base, có khả năng tƣơng thích
với nhiều nền tảng phát triển phần mềm nổi tiếng hiện nay. Với cơ chế bảo mật
có độ tin cậy cao đi kèm với giá thành rẻ, trong tƣơng lai giải pháp OTP sẽ thay
thế dần công nghệ RSA, một công nghệ bảo mật nổi tiếng nhƣng khá tốn kém.
Bài báo này sẽ giới thiệu về nền tảng công nghệ, giải pháp kỹ thuật và hƣớng
triển khai cũng nhƣ ứng dụng thực tế.
Một công trình nghiên cứu về xác thực Onetime Password của Trung
tâm Nghiên cứu & Phát triển thuộc công ty Cổ phần Tập đoàn MK (được
công bố và trao Danh hiệu Sao Khuê 2016 đã đươc tổ chức từ 9h00 ngày
23/4/2016 : tại Hội trường Cung trí thức thành phố, 80 Trần Thái Tông, Cầu
Giấy, Hà Nội. Chương trình đã được truyền hình trực tiếp trên kênh VTC1 từ
9:30 ngày 23/4/2016). Công trình đã nghiên cứu, xây dựng và phát triển Sản
phẩm Xác thực bảo mật bằng Mật khẩu một lần KeyPass™ OTP - Sử dụng
thiết bị xác thực mềm. KeyPass™ OTP - Sử dụng thiết bị xác thực mềm nhằm
đáp ứng nhu cầu bảo mật và tiếp cận các nguồn thông tin với các mức độ bảo
mật khác nhau; hỗ trợ các tổ chức, doanh nghiệp giảm thiểu những rủi ro về
nguy cơ mất dữ liệu do việc truy cập trái phép từ bên ngoài. Đây là một
phƣơng thức xác thức mới nằm trong Giải pháp xác thực bảo mật toàn diện
KeyPass™ OTP của MK Group, cung cấp đấy đủ tất cả các phƣơng thức hiện
có trên thị trƣờng trong nƣớc và quốc tế để tạo ra Mật khẩu sử dụng 1 lần cho
các giao dịch trực tuyến nhƣ Hard Token, Thẻ Thông minh (Smartcard),
Mobile SMS, Mobile SIM, Thẻ EMV, thẻ Cào (Scratch-Off-Card).
Một bài viết khác đƣợc công bố trên báo an toàn thông tin của Thạc sĩ
Đặng Mạnh Phổ (Giám đốc Ban Công nghệ thông tin- Ngân hàng BIDV) về
vấn đề xác thực đa yếu tố. Đây là phƣơng thức xác thực dựa trên nhiều yếu tố
xác thực kết hợp, là mô hình xác thực yêu cầu kiểm chứng ít nhất là hai yếu tố
xác thực. Trong phƣơng thức này có thể có sự kết hợp của bất cứ yếu tố nào,
ví dụ nhƣ đặc tính bẩm sinh, những cái bạn có để chứng minh hoặc những gì
bạn biết để chứng minh.
Một nghiên cứu khác về vấn đề bảo mật và an toàn thông tin trong
thƣơng mại điện tử của tác giả Vũ Anh Tuấn (Luận văn thạc sĩ khoa học-
Công nghệ thông tin, mã số: 60.48.01). Tác giả đề cập đến vấn đề thanh toán
trong thƣơng mại điện tử, các công cụ sử dụng trong vấn đề an toàn thƣơng
mại điện tử, các kỹ thuật ngăn ngừa rủi ro trong thƣơng mại điện tử
Một bài viết khác đăng trên báo PCWorld, số 284, trang 27 về chữ ký
số, cụ thể ngày 31/12/2008, bộ TTTT đã ban hành 6 loại tiêu chuẩn trong
giao dịch điện tử được quy định buộc phải áp dụng “chữ ký số” (CKS) và
chứng thực số. Như vậy về mặt pháp lý, CKS đã được luật hoá. Trên môi
trƣờng mạng, bất cứ dạng thông tin nào đƣợc sử dụng để nhận biết một con
ngƣời đều đƣợc coi là chữ ký điện tử (CKĐT). Ví dụ: 1 đoạn âm thanh hoặc
hình ảnh đƣợc chèn vào cuối e-mail, đó là CKĐT. CKS là một dạng CKĐT,
với độ an toàn cao và đƣợc sử dụng rộng rãi. CKS đƣợc phát triển trên lý
thuyết về mật mã và thuật toán mã hóa bất đối xứng. Thuật toán mã hóa dựa
vào cặp khoá bí mật (Privatekey) và công khai (Publickey), trong đó ngƣời
chủ chữ ký sẽ giữ khóa Privatekey cho cá nhân dùng để tạo chữ ký,
PublicKey của cá nhân hay tổ chức đó đƣợc công bố rộng rãi dùng để kiểm
tra chữ ký. Khi đƣợc sử dụng cho việc mã hóa: PrivateKey để giải mã;
PublicKey dùng cho mã hóa. CKS đƣợc phát triển và ứng dụng rộng rãi hiện
nay dựa trên thuật toán RSA (Tên viết tắt của ba tác giả: Rivest, Shamir và
Adleman), là cơ sở quan trọng để hình thành hạ tầng khóa công khai
(PublicKey Infrastructure) cho phép ngƣời sử dụng của một mạng công cộng
không bảo mật nhƣ Internet trao đổi dữ liệu và tiền một cách an toàn, thông
qua việc sử dụng một cặp mã khóa công khai và bí mật đƣợc cấp phát, sử
dụng qua một nhà cung cấp chứng thực CA (Certificate Authority) đƣợc tín
nhiệm. Việc thừa nhận CKS thuộc quyền sở hữu của một cá nhân nào đó, cần
phải đƣợc một tổ chức CA chứng thực. Và CA chứng nhận phải đƣợc thừa
nhận về tính pháp lý và kỹ thuật.
Một bài báo giới thiệu về chữ ký số trong giao dịch điện tử đƣợc Thạc sĩ
Chu Thị Dƣơng và Thạc sĩ Phan Thị Thu Thủy giới thiệu (Đƣợc nêu tại Điều 3,
mục 11, Nghị định 26/2007/NĐ-CP, ngày 15/2/2007 về Chữ ký số & Dịch vụ
chứng thực chữ ký số). Chữ ký số về bản chất là một thông điệp dữ liệu (file
text, tập hợp các ký tự hoặc một loại thông điệp dữ liệu nhất định do phần mềm
ký số sinh ra dựa trên các thuật toán nhất định). Công thức để sinh ra chữ ký số
phụ thuộc vào ba yếu tố đầu vào: (i) bản thân văn bản điện tử cần ký; (ii) khóa
bí mật (private key) và (iii) phần mềm để ký số. Khóa bí mật đơn giản có thể là
một mật khẩu (password) hoặc một thông điệp dữ liệu. Phần mềm ký số là
phần mềm có chức năng tạo ra các chữ ký số từ hai yếu tố là văn bản cần ký và
khóa bí mật và gắn chữ ký số đƣợc tạo ra vào thông điệp gốc.
Thực tế cho thấy các dạng điện tử hóa của chữ ký truyền thống nhƣ
scan chữ ký, phô tô chữ ký, đánh máy tên và địa chỉ vào trong thông điệp dữ
liệu không đảm bảo đƣợc độ an toàn cho chữ ký và nội dung văn bản đƣợc
ký vì những lý do sau:
- Dễ giả mạo chữ ký;
- Dữ liệu tạo chữ ký không gắn duy nhất với ngƣời ký;
- Dữ liệu tạo chữ ký không thuộc sự kiểm soát của ngƣời ký;
- Khó phát hiện các thay đổi đối với nội dung thông điệp sau khi ký;
- Khó phát hiện các thay đổi đối với bản thân chữ ký sau khi đã ký 1.
Chữ ký số có thể khắc phục đƣợc những nhƣợc điểm trên. Trong các quy
trình ký số hiện nay, quy trình phổ biến nhất là sử dụng công nghệ khóa công
khai (PKI). Theo quy trình này, chữ ký số là một dạng chữ ký điện tử đƣợc tạo
ra bằng sự rút gọn thông điệp dữ liệu đang cần ký và mã hóa bằng khóa bí mật
(của hệ thống mật mã không đối xứng), thông điệp dữ liệu đƣợc tạo ra chính là
chữ ký số. Chữ ký số và văn bản ban đầu cùng với khoá công khai của ngƣời
ký cho phép ngƣời nhận thông điệp có thể xác định đƣợc chính xác:
- Chữ ký số đƣợc tạo ra bằng đúng khoá bí mật tƣơng ứng với khoá
công khai trong cùng một cặp khóa;
- Nội dung thông điệp đƣợc ký có đảm bảo tính toàn vẹn từ sau khi
đƣợc ký (hay sau khi chữ ký số đƣợc tạo ra hay không) hay không. Chữ ký
trên giấy không thể áp dụng đối với các văn bản điện tử (ví dụ trên file word,
pdf, excel) vì trong giao dịch điện tử các bên không gặp mặt nhau trực tiếp
để thực hiện ký kết, hơn nữa do đặc thù của các văn bản điện tử việc xác định
và tìm ra các thay đổi trong nội dung rất khó thực hiện. Chữ ký số giúp giải
quyết vấn đề trên và tăng cƣờng tính bảo mật và toàn vẹn nội dung văn bản
tốt hơn nhiều lần so với chữ ký trên giấy.
Bên cạnh đó, chữ ký số rất khó giả mạo nhƣ trong trƣờng hợp của chữ
ký trên giấy và con dấu. Bản chất của chữ ký trên giấy là phải giống nhau qua
các lần ký, chính vì thế việc cắt dán, sao chép hay ký giả sẽ đƣợc thực hiện và
rất khó bị phát hiện do các chữ ký trên giấy của một ngƣời phải giống nhau.
Tuy nhiên, với công nghệ ký số mỗi chữ ký gắn với văn bản đƣợc ký sẽ hoàn
toàn khác nhau nếu nội dung văn bản đó chỉ khác nhau dù một chi tiết nhỏ.
Hơn nữa, việc xác thực một ngƣời có phải là chủ của chữ ký số lại có thể
đƣợc thực hiện dễ dàng và chính xác. Với công nghệ khóa công khai, chữ ký
số có một số ƣu điểm hơn so với chữ ký trên giấy.
Bên cạnh đó, xác thực thời gian ký điện tử cũng dễ dàng hơn và khó giả
mạo hơn đối với chữ ký bằng giấy với sự hỗ trợ của các máy chủ lƣu trữ về
thời gian ký (trusted time-stamping server).
Chữ ký số giữ vai trò đảm bảo an toàn cho các giao dịch điện tử. Đây là
yếu tố quan trọng nhất và là điều kiện tiên quyết khi chuyển các giao dịch có
giá trị lớn trên giấy tờ sang giao dịch trên mạng, đem lại lợi thế cạnh tranh
cho các doanh nghiệp trong bối cảnh hội nhập kinh tế quốc tế. Thay vì việc
truy cập một website, điền các mẫu (form) đặt hàng, giao dịch có sẵn, sau đó
in ra giấy và ký theo phƣơng thức truyền thống rồi gửi đơn hàng qua bƣu điện
hoặc fax, việc sử dụng chữ ký số cho phép những bƣớc cuối cùng trong quy
TÀI LIỆU THAM KHẢO
Tài liệu Tiếng Việt
1. Giáo trình bảo mật và an toàn thông tin, TS Nguyễn Khanh Văn- ĐHBK
Hà Nội -2013
2. Phạm Thế Bảo và cộng sự, 2007. Tổng quan các phương pháp xác định
khuôn mặt người. Hà Nội: Nxb Thống kê.
3. Trần Thị Thanh Hải và Eric Marchand, 2009. Một số phương pháp đối
sánh ảnh thời gian thực. Trung tâm MICA, Trƣờng đại học Bách Khoa
Hà Nội.
4. Khung kiến trúc của chính phủ điện tử (Ban hành kèm theo Văn bản số
1178/BTTTT-THH ngày 21/4/2015 của Bộ Thông tin và Truyền thông)
5. Giải pháp xác thực trong ứng dụng công nghệ thông tin (Bộ thông tin và
truyền thông-2011).
Tài liệu Tiếng Anh
6. Anil K.Jain, 1996. Artifical Neural network : A tutorial. Proceedings of
the IEEE.
7. Byung-Joo Oh, 2003. Face Recognition by Using Neural Network
Classifiers based on PCA and LDA. Daejeon, Korea.
8. Howard Demuth, 2002. Neural network Toolbox : For use with MATLAB.
9. Ion Marqués, 2010. Face recognition Algorithms. Universidad del País Vasco.
10. Lindasay I Smith, 2002. A tutorial on Principal Components Analysis.
John Wiley & Sons Inc.
11. Tom M.Mitchell, 1997. Machine Learning. McGraw-Hill.
12. Volkan Akalin, 2003. Face recognition using eigenfaces and neural
network. The Middle East Technical University.
Website
13. otocol)
14.
15.
16. ,
17.
18. Challenge Handshake Authentincation Protocol - RFC
(https://tools.ietf.org/html/rfc1994)
19. Kerberos: An Authentication Sewice for Computer Network.
20. Token Authentication (https://github.com/NancyFx/Nancy/wiki/Token-
Authentication)
21. Biometrics and User Authentication (https://www.sans.org/reading-
room/whitepapers/authentication/biometrics-user-authentication-122)
Các file đính kèm theo tài liệu này:
- 00050007821_8345_2003147.pdf