Tải bản đầy đủ (.docx) (22 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Hệ điều hành

Report EPayment System

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.31 MB, 22 trang )

BÁO CÁO AN TOÀN BẢO MẬT THÔNG TIN
Khảo sát về hệ thống thanh toán điện tử
Giáo viên hướng dẫn: TS. Phạm Văn Hậu
Học viên: Nguyễn Tuấn Anh
Mã học viên: CH1402002


Hệ thống thanh toán điện tử

Mục lục

Trang 2/ 22


Hệ thống thanh toán điện tử

List of Figures
List of Tables

Trang 3/ 22


Hệ thống thanh toán điện tử

1. GIỚI THIỆU CÁC HÌNH THỨC THANH TOÁN ĐIỆN TỬ
1.1. HỆ THỐNG THANH TOÁN ĐIỆN TỬ SỬ DỤNG THẺ THÔNG MINH(SMARTCARD
BASED ELECTRONIC PAYMENT)
Thẻ thông minh (smart card) là dạng thẻ được tích hợp chip nhúng cung cấp cho người sử dụng tính di
động. Nó kết hợp cả thẻ nhựa và thẻ từ cho các mục đích xác định vào trong cùng một thẻ, có thể được
dùng để truy cập nhiều dịch vụ, hệ thống mạng và Internet cho phép nó được sử dụng nhiều tính năng
và ứng dụng.


Hệ thống thanh toán thẻ thông minh cung cấp cơ chế bảo mật xác thật 3 yếu tố (three-factor) cho việc
xác minh và xác thực của người dùng. Ba yếu tố bao gồm mã định danh (PIN), chữ ký số, dấu vân tay
sinh trắc học. Cơ chế này nhằm tăng mức độ bảo mật cho hệ thống. Thẻ tín dụng (credit card) , thẻ ghi
nợ (debit cards) và thẻ trả trước (prepaid card) là hình thức phổ biến nhất của thanh toán điện tử hiện
nay.

Figure - Smart cards

1.2. HỆ THỐNG THANH TOÁN TRỰC TUYẾN (ONLINE PAYMENT SYSTEM)
Hệ thống thanh toán trực tuyến được dựa trên hệ thống Internet Banking, bao gồm việc chuyển tiền
hoặc mua sắm trực tuyến thông qua Internet. Người dùng có thể chuyển tiền tới bên thứ ba từ tài khoản
ngân hàng của họ hoặc họ có thể sử dụng thẻ tín dụng, ghi nợ và trả trước để thực hiện việc mua sắm
trực tuyến.
Hệ thống thanh toán trực tuyến cho phép khách hàng của một đơn vị tài chính thực hiện giao dịch trên
một website đã được bảo mật vận hành bởi đơn vị đó, có thể là ngân hàng bán lẻ, ngân hàng ảo, hiệp
hội tín dụng hoặc cộng đồng. Để truy cập và sử dụng tiện ích của ngân hàng trực tuyến, khách hàng sử
dụng kết nối internet và pải đăng ký một tài khoản để xác minh. Tài khoản này cho phép khách hàng
kết nối mã số khách hàng của họ với nhiều tài khoản khác mà họ nắm giữ , ví dụ như séc, tài khoản tiết
kiệm, vay, thẻ tín dụng ….

Trang 4/ 22


Hệ thống thanh toán điện tử

Figure - Giao dịch trực tuyến hoạt động thế nào

1.3. HỆ THỐNG THANH TOÁN DI ĐỘNG (MOBILE PHONE BASED PAYMENT SYSTEM)

Hệ thống này cho phép khách hàng sử dụng điện thoại di động để chi trả cho giao dịch theo

nhiều cách khác nhau. Khách hàng có thể gửi tin nhắn SMS, xác nhận mà PIN, sử dụng giao
thức ứng dụng không dây (WAP Wireless Application Protocol) để thực hiện thanh toán trực
Trang 5/ 22


Hệ thống thanh toán điện tử

tuyến, hoặc các phần khác trong giao dịch bằng điện thoại. Ngoài ra với sự phát triển của điện
thoại di động ngày nay thì chúng ta còn có thể sử dụng các cách thức khác như hồng ngoại,
Bluetooth, NFC...

Figure - Mobile banking

1.4. HỆ THỐNG THANH TOÁN VÍ ĐIỆN TỬ (ELECTRONIC WALLET PAYMENT
SYSTEM)

Hệ thống ví điện tử cung cấp tất cả các tính năng của chiếc ví ngày nay trong một chiếc thẻ
thông minh tiện lợi, loại bỏ sự cần thiết của nhiều loại thẻ trong một chiếc ví. Ngoài ra ví điện
tử cũng cung cấp nhiều tính năng bảo mật mà chiếc ví thông thường không có.
Ví dụ nổi bật nhất là ví điện tử Paypal. Paypal cho phép thanh toán và chuyển khoản được thực
hiện thông qua Internet. Hiện tại nó là một trong những cách nhanh nhất để nhận và trả tiền
trực tuyến. Với Paypal tiền được gửi mà không cần hiển thị thông tin tài chính. Ngoài ra người
dùng còn có thể linh hoạt trả tiền sử dụng tài khoản ngân hàng, tín dụng thông qua Paypal.
Một loại ví điện tử nổi tiếng khác là Windows Phone Wallet, được phát triển bởi
Microsoft. Windows Phone Wallet có thể được sử dụng cho micro-payments, ví điện tử này
loại bỏ việc phải nhập lại thông tin cá nhân quá nhiều lần đem lại tốc độ và tính hiệu quả cao
hơn khi mua sắm trực tuyến.
Ngoài ra một loại ví điện tử khác đang nổi lên là Google Wallet, có tính năng tương tự
PayPal. Nó cũng cung cấp khả năng bảo mật mà cho đến nay vẫn an toàn, ngoài ra nó còn cung
cấp tinh năng gửi thanh toán qua đính kèm trong email. Nó hoạt động tương thích với tất cả các

loại thẻ ghi nợ, tín dụng, trên mọi thiết bị di động. Với tính năng “tap and pay”, Google Wallet
cho phép người sử dụng thanh toán tại hàng triệu điểm cửa hàng trên toàn thế giới.
1.5. HỆ THỐNG THANH TOÁN CHI PHIẾU ĐIỆN TỬ (ELECTRONIC CHEQUE PAYMENT
SYSTEM)

Chi phiếu điện tử cũng tương đương chi phiếu giấy. Người chi trả viết chi phiếu điện tự trên
máy tính, ký nó và gửi qua Internet. Người chi trả ký chi phiếu điện tử bằng cách sử dụng thiết
bị phần cứng bảo mật và đính kèm chứng thực đã được xác nhận (được ký bởi ngân hàng phát
hành).

Trang 6/ 22


Hệ thống thanh toán điện tử

Figure - Chi phiếu điện tử người chi tới người thụ hưởng

Người thụ hưởng nhận chi phiếu điện tử, xác minh chữ ký người chi trả, xác nhận, viết phiếu
ký quỹ và ký phiếu đó.

Figure - Người thụ hưởng kiểm tra chi phiếu

2. PHƯƠNG THỨC HOẠT ĐỘNG
2.1. HỆ THỐNG THANH TOÁN BẰNG THẺ
2.1.1

Thẻ tín dụng

Hệ thống thanh toán bằng thẻ tín dụng đã được áp dụng từ những năm đầu 1960. Có rất nhiều
công ty phát hành thẻ trên thị trường, nhưng thẻ Visa và Master là 2 loại chính trên thị trường

quốc tế. Có năm đối tượng tham gia vào một giao dịch trên thẻ tín dụng:
• Chủ thẻ
• Người bán
• Ngân hàng phá hành thẻ: nơi phát hành thẻ tín dụng và vận hành tải khoản thẻ
• Ngân hàng chấp nhận: xử lý hóa đơn của người bán. Người bán phải đăng ký với
ngân hàng chấp nhận thẻ.
• Mạng thẻ tín dụng : Liên doanh giữa các nhà phát hành thẻ. Kết nối ngân hàng
phát hành thẻ với ngân hàng chấp nhận thẻ và điều phối trao đổi thông tin, dòng
vốn. Ví dụ như là thẻ Visa và Master.
Trang 7/ 22


Hệ thống thanh toán điện tử

Cách thức vận hành 3 bước
• Bước 1 : Cấp phép
Ở bước này, người bán phải yêu cầu sự chấp nhận cho việc thanh toán từ ngân hàng
phát hành thẻ
 Chủ thẻ trình thẻ cho người bán tại nơi bán hàng
 Sau khi quét thẻ trên thiết bị thanh toán, thông tin thẻ sẽ được gửi đến ngân
hàng chấp nhận thẻ (hoặc đơn vị chấp nhận xử lý) thông qua kết nối Internet
hoặc đường dây điện thoại
 Ngân hàng chấp nhận thẻ hoặc đơn vị chấp nhận xử lý chuyển tiếp thông tin
thẻ tới mạng thẻ tín dụng
 Mạng thẻ tín dụng sẽ xác minh và cấp phép thanh toán từ ngân hàng phát
hành thẻ. Yêu cầu cấp phép bao gồm:
• Số thẻ
• Ngày hết hạn
• Địa chỉ hóa đơn
• Mã bảo mật thẻ - ví dụ CVV (Card Verification Value)

• Số tiền thanh toán

Figure - Credit card authorization



Bước 2 : Xác thực (Authentication)

Trong bước này, ngân hàng phát hành thẻ xác thực tính hợp lệ của thẻ tín dụng của khách hàng,
sử dụng các công cụ chống gian lận như Dịch vụ xác thực địa chỉ (AVS Address Verification
Service) và mã bảo mật của thẻ như CVV, CVV2, CVC2 , CID, 4DBC.

Trang 8/ 22


Hệ thống thanh toán điện tử

 Ngân hàng phát hành thẻ nhận yêu cầu cấp phép thanh toán từ mạng thẻ tín dụng
 Ngân hàng phát hành thẻ kiểm tra số thẻ, số tiền sẵn có, địa chỉ thanh toán và mã bảo

mật thẻ
 Ngân hàng phát hành thẻ ưng thuận hoặc từ chối, giao dịch gửi hồi đáp tương ứng cho

người bán theo trình tự ngược lại: mạng thẻ tín dụng, ngân hàng chấp nhận thẻ hoặc đơn
vị xử lý
 Khi người bán được cấp phép, ngân hàng phát hành thẻ sẽ một khoản tiền rong tài khoản

của chủ thẻ. Thiết bị thanh toán của người bán sẽ tổng hợp lại và xử lý một lần vào cuối
ngày
 Người bán cung cấp hóa đơn cho khách hàng để kết thúc cuộc mua bán.


Figure - Credit card authentication



Bước 3 : thanh toán bù trừ và quyết toán

Trong bước thanh toán bù trừ, giao dịch được ghi lên cả hóa đơn tháng của chủ thẻ và bản kê
của người bán.Nó diễn ra cùng lúc với quá trình quyết toán.

Trang 9/ 22


Hệ thống thanh toán điện tử

 Vào cuối mỗi ngày làm việc, người bán gửi tất cả các ủy quyền đã được chấp thuận

trong một dợt tới ngân hàng chấp nhận thẻ hoặc đơn vị xử lý.
 Thông tin đó được định hướng tới mạng thẻ tín dụng để quyết toán.
 Mạng tín dụng chuyển mỗi giao dịch được chấp nhận tới ngân hàng phát hành thẻ
 Thông thường trong khoản 24 tới 48 tiếng cho một giao dịch, ngân hàng phát hành thẻ

sẽ chuyển khoản (số tiền sẽ ít hơn vì phí chuyển tiền, nếu khác ngân hàng, tiền này cũng
được chia sẻ với mạng tín dụng VISA, MASTER … )
 Mạng thẻ tín dụng trả cho ngân hàng chấp nhận thẻ và đơn vị chấp nhận xử lý phần trăm

tương ứng từ quỹ còn lại.
 Ngân hàng chấp nhận thẻ tăng tiền trong tài khoản của người bán.
 Ngân hàng phát hành thẻ đăng thông tin giao dịch vào tài khoản của chủ thẻ. Chủ thẻ


nhận thông báo và chi trả hóa đơn.

Trang 10/ 22


Hệ thống thanh toán điện tử

Figure - Credit card clearing and settlement

2.1.2
Thẻ ghi nợ
Thẻ ghi nợ gần giống như thẻ tín dụng hay thẻ ATM. Trong khi thẻ tín dụng là một cách để “trả sau”
(pay later), thẻ ghi nợ là một cách “trả liền” (pay now). Thẻ ghi nợ có thể là trực tuyến (dựa vào mã
PIN) hoặc ngoại tuyến (dựa vào chữ ký).
Thẻ ghi nợ trực tuyến, sử dụng mã PIN để xác thực khách hàng và truy cập trực tuyến thông tin số dư
tài khoản. Thẻ ghi nợ thường là các thẻ ATM được nâng cấp và chúng hoạt động giống như các hoạt
động của một giao dịch ATM. Các đơn vị tài chính chứng thực khách hàng bằng cách so khớp mã PIN
với số tài khoản trực tiếp thông qua thiết bị của người nhận tiền (người bán). Giao dịch của thẻ ghi nợ
sử dụng cùng một cách chuyển khoản điện tử (EFT Electronic Fund Transfer) như giao dịch ATM.
Thẻ ghi nợ ngoại tuyến, chứng thực khách hàng thông qua một chữ ký được ghi sẵn. Vì vậy quy trình
giao dịch giống với giao dịch thẻ tín dụng và thông qua mạng lưới thẻ các giao dịch được kết toán vào
cuối mỗi ngày làm việc.

Trang 11/ 22


Hệ thống thanh toán điện tử

Figure - Debit Card Payment System Transactions


Bước 1: Người chi trả nhập mà PIN để xác thực giao dịch
Bước 2 & bước 3: Đơn vị tài chính của người thụ hướng (người bán hàng), yêu cầu xác thực từ
đơn vị tài chính của người chi trả thông qua mạng EFT
Bước 4: Đơn vị tài chính của người chi trả xác nhận tiền và các khoản ghi nợ của người chi trả
Bước 5: Mạng EFT xác thực cuộc mua bán.
Bước 6: Mạng EFT xác định nợ ròng và các khoản ghi nợ của các đơn vị tài chính và quyết
toán các khoản của họ sử dụng ACH
Bước 7: Người bán nhận được khoản giao dịch, trừ khoản phí áp dụng và các chi phí khác được
định giá bởi đơn vị tài chính chấp nhận thẻ và các tổ chức trung gian khác để giao dịch.
Bước 8: Cuối mỗi ngày làm việc. Đơn vị tài chính phát hành thẻ và chấp nhận thẻ thiết lập
quyết toán ròng của tất cả các giao dịch giữa họ với ACH.
2.1.3

Thẻ trả trước

Thẻ trả trước là các thẻ đã được nạp một số tiền nhất định có thể được dùng để chi trả hoặc
chuyển cho một cá nhân hoặc người bán hàng giống như sử dụng tiền giấy. Ngoài tiền mặt ra,
thẻ trả trước có thể cho phép nhiều thứ khác như điểm mua sắm, thời gian gọi điện … Một vài
thẻ trả trước có thể là thẻ thông minh nếu có nhúng microchip. Chíp nhúng này có thể lưu trữ
giá trị hoặc thực hiện tính toán. Thẻ này có thể được dùng để thay thế tiền mặt, thẻ điện thoại,
thẻ quà tặng … Loại thẻ này có thể chứa một số tiền có giá cố định một lần hoặc nó có thể
tương tác với thiết bị đọc ghi để tăng giá trị thẻ. Các loại thẻ này thường được dùng cho các
giao dịch nhỏ.

Trang 12/ 22


Hệ thống thanh toán điện tử

Figure - Stored Value Card Payment System Transactions


Bước 1 và 2 : Khách hàng mua thẻ trả trước
Bước 3, 4 và 5 : Khi khách hàng trả tiền cho hàng hóa hoặc dịch vụ với thẻ trả trước các ký
hiệu điện tử hoặc thẻ chuyển từ thẻ sang máy tính tiền của người bán.
Bước 6 : Người bán liên hệ với đơn vị phát hành giá trị thẻ trả trước và trình các token thanh
toán
Bước 7 : Mạng lưới thanh toán thông báo đơn vị tài chính cấp thẻ trả một tiền tương ứng cho
đơn vị tài chính chấp nhận thẻ và quyết toán ròng diễn ra cuối ngày.
2.2. ELECTRONIC CHECK AND ACCOUNT TRANSFER PAYMENT SYSTEMS

Thanh toán chi phiếu giấy vẫn rất thông dụng ở nhiều nước. Xu hướng này đang thay đổi
nhanh chóng do chi phiếu giấy vận hành rất tốn kém và chi phí trung bình cho chi phiếu thường
khá cao trong trường hợp kiểm tra chi phiếu bị trả lại. Ý tưởng cơ bản của chi phiếu điện tử là
thay thế cho chi phiếu giấy. Chữ ký số mã hoá công khai có thể tay thế chữ ký tay mà không
cần tạo ra công cụ mới với nhiều vấn đề về pháp lý, thương mại…
2.2.1 Electronic check payment system
Trong các hệ thống này, mỗi chi phiếu thường được sinh ra và ký số bởi người chi trả trước khi được
chuyển qua mạng tới người thụ hưởng để xác minh. Người thụ hưởng ký hậu phi phiếu bằng cách áp
dụng một chữ ký điện tử khác trước khi gửi tới mạng ngân hàng. Mạng tài chính hiện tại có thể được
dùng để làm rõ , xác thực chi phiếu điện tử giữa ngân hàng của người chi trả và người thụ hưởng. Để
đảm bảo tính khả dụng của các khoản tiền trong quá trình mua hàng, chi phiếu nên được thanh toán
trực tuyến. Chữ ký số sẽ đảm bảo mỗi bên tham gia giao dịch được định danh rõ ràng. Một chi phiếu
điện tử đã ký được chuyển từ người thụ hưởng tới ngân hàng chấp nhận để xác thực và thanh toán với
ngân hàng phát hành chi phiếu. Giống như trong thanh toán thẻ tín dụng trực tuyến, việc tạo và xác
Trang 13/ 22


Hệ thống thanh toán điện tử

minh chữ ký số là bắt buộc. Tiền sẽ được trừ từ tài khoản người chi tại thời điểm mua hàng hoặc sau

đó.

Figure - Electronic Check Payment System Transactions

Bước 1: Người chi gửi chi phiếu điện tử với tất cả thông tin cần thiết và chữ ký mã hóa.
Bước 2: Người thụ hưởng gửi lại hóa đơn sau khi nhận chi phiếu điện tử
Bước 3: Người thụ hưởng xác nhận chữ ký của người chi trả và gửi nó tới ngân hàng của người
thụ hưởng dưới dạng thư mã hóa (Secure Envelope) chưa thông thi chi phiếu chi tiết.
Bước 4: Ngân hàng của người thụ hưởng kiểm tra chữ ký của người chi trả và người thụ hưởng
và gửi chi phiếu điện tử cho thanh toán bù trừ ACH.
Bước 5: Ngân hàng của người chi trả xác minh chữ ký của người chi trả, trừ tiền tài khoản của
họ và gửi email thông báo.
Thông thường, chi phiếu điện tử được viết bằng ngôn ngữ FSML (Financial Service Markup
Language), ngôn ngữ này hỗ trợ cấu trúc dữ liệu và chữ ký mã hóa cần thiết cho chi phiếu điện
tử. Chứng chỉ X.509 được dùng với chi phiếu điện tử để xác minh chữ ký số. X.509 được cấp
cho khách hàng tại thời điểm mở tài khoản tại ngân hàng. Chữ ký mã hóa rất phù hợp để bảo
mật chi phiếu điện tử khỏi việc giả mạo, gian lận vì nó bảo đảm tính toàn vẹn, xác thực và
không thể chối bỏ.
2.2.2 Electronic account transfer payment
Đây là một phương thức thanh toán thay thế cho phương chi phiếu điện tử và thanh toán bằng thẻ.
Trong phương pháp thanh toán này, người chi trả xác thực số tiền cần chuyển khoản, thông thường thì
trong cùng mạng lưới ngân hàng. Hệ thống thanh toán này hỗ trợ không chỉ thanh toán giữa người bánkhách hàng mà con giữa khách hàng-khách hàng. Tài khoản của cá nhân có thể được nạp tiền sử dụng
hệ thống thanh toán bằng thẻ. Giao tiếp với ngân hàng được bảo vệ với việc sử dụng SSL và chứng
thực dựa trên mật khẩu. Mật khẩu thường được yêu cầu phải đủ phức tạp. Paypal, Yahoo Pay Direct và
Prepay là một vài ứng dụng thương mại của loại hình thanh toán này.

Trang 14/ 22


Hệ thống thanh toán điện tử


Figure - - Electronic Account Transfer Payment System Transactions

Bước 1: Chọn hệ thống thanh toán
Bước 2: Chuyển hướng tới hệ thông thanh toán với chi tiết giao dịch
Bước 3: Thanh toán được xác thực qua SSL
Bước 4: Chuyển hướng tới người bán với chỉ thị thanh toán
Bước 5: Chỉ thị thanh toán từ hệ thống thanh toán
Bước 6: Nhận hàng hoặc dịch vụ
2.3. ELECTRONIC CASH PAYMENT SYSTEM

Tiền điện tử là một kho lưu trữ giá trị tiền tệ dưới dạng số, có thể được dùng để thực hiện giao
dịch mọi lúc. Hệ thống thanh toán tiền điện tử là một hệ thống thanh toán trực tiếp ẩn danh
dựa trên token mà trong đó công cụ thanh toán bao gồm thẻ tín dụng điện tử độc lập trả trước
phát hành bởi đơn vị tài chính đáng tin cậy. Khách hàng có thể sử dụng hệ thống tiền điện tử để
thanh toán qua Internet mà không cần liên hệ với ngân hàng trong quá trình thanh toán.

Trang 15/ 22


Hệ thống thanh toán điện tử

Figure - Electronic Cash Payment System Transactions

Thông thường, một hệ thống thanh toán tiền điện tử bao gồm 3 pha :




Rút tiền (Withdrawal)

Thanh toán (Payment)
Gửi tiền (Deposit)

Bước 1: Rút tiền, người trả rút các đồng tiền điện tử có mệnh giá cụ thể từ ngân hàng trực
tuyến của mình. Mỗi đồng tiền nay bao gồm số serial và mệnh giá. Để chứng thực, mỗi đồng
tiền này đều được ký bởi ngân hàng.
Bước 2: Thanh toán, người dùng thu thập một lượng chính xác đồng tiền điện tử và gửi qua
mạng để thực hiện việc chi trả. Người thụ hưởng có thể kiểm tra tính xác thực bằng cách kiểm
tra chữ ký của ngân hàng trên đồng tiền.
Bước 3: Gửi tiền, người thụ hưởng gửi các đồn tiền này tới ngân hàng để xác minh nhằm tránh
việc tiêu tiền kép. Ngân hàng tránh việc tiêu tiền kép bằng cách duy trì một cơ sở dữ liệu của
tất cả số serial của các đồng tiền đã được chi. Nếu các số serial của các đồng tiền không nằm cơ
sở dữ liệu đó thì cuộc thanh toán là hợp lệ và các số này sẽ được xem như đã được chi tiêu và
được thêm vào cơ sở dữ liệu đã nêu.
Hệ thống thanh toán tiền mặt điện tử được mô hình theo hệ thống thanh toán tiền giấy truyền
thống, vì vậy nó cũng có những đặc tính như hệ thống truyền thống này. Một vài đặc tính nổi
bật như sau:


Tính ẩn danh (Anonymity)

Giống như trong hệ thống truyền thống, hệ thống thanh toán tiền điện tử là ẩn danh vì
không thể truy ngược lại một cá nhân cụ thể nào nếu chỉ dựa vào số serial của đồng tiền, nó
Trang 16/ 22


Hệ thống thanh toán điện tử

được gọi là “không thể truy dấu một cách vô điều kiện”. Ngay cả ngân hàng cũng sẽ không biết
nếu áp dụng việc ký đồng tiền với chữ ký mù (blind signatures). Đồng tiền được che đậy khỏi

người dùng bằng một yếu tố gay mù và người dùng gửi chúng cho ngân hàng để ký lên. Như
vậy ngay cả ngân hàng cũng không thể biết được thông tin.


Tính bảo mật (Security)

Các vấn đề bảo mật quan trọng nhất củ hệ thống này là giả mạo và chi tiêu kép (hoặc đa chi
tiêu). Cũng như hệ thống thanh toán truyền thông, sự giải mạo là vấn đề chính của thanh toán
điện tử. Ở đây các đồng giả mạo được tạo với đầy đủ đặc tính của đồng thật ngoại trừ chúng
không thể được rút ở ngân hàng tương ứng. Tuy nhiên nếu áp dụng xác thực người dùng
nghiêm ngặt và toàn vẹn gói tin thì việc giả mạo token có thể tránh được.
Sử dụng một token để chi tiêu lập đi lập lại gọi là chi tiêu kép hoặc đa chi tiêu hoặc chi tiêu
lập. Phương pháp duy nhất để đối phó đó là phải kiểm tra cơ sở dữ liệu như đã nêu.


Tính chia hết (Divisibility)

Người dùng cần có các mệnh giá chính xác tại thời điểm mua hàng để thanh toán và họ cần
phải giữ nhiều mệnh giá sẽ dẫn đến chi phí lưu trữ không mong muốn và vấn đề khi xử lý
đồng tiền (cũng giống như có tiền với quá nhiều mệnh giá trong bóp). Nếu là thanh toán
trực tuyến, thì không có vấn đề gì. Trong trường hợp ngoại tuyến, thì giải pháp hệ thống
tiền có thể chia nhỏ đã được đề xuất.


Tính chuyển nhượng (transferability)

Tính chuyển nhượng trong hệ thống thanh toán tiền điện tử có nghĩa là khi một người thụ
hưởng nhận tiền điện tử trong một giao dịch, họ có thể tiêu nó mà không cần gửi tiền vào ngân
hàng trước rồi sau đó mới lấy ra đồng mới.
Có nhiều hệ thống thanh toán tiền điện tử, trong đó phổ biến nhất là hai hệ thống sau:

 Digicash
 Mondex
2.4. MOBILE PAYMENT SYSTEM

3. MỘT SỐ VẤN ĐỀ BẢO MẬT
Ở chương này sẽ trình bày về các vấn đề bảo mật và một số giải pháp cho các hệ thống thanh
toán điện tử. Chương này sẽ được chia ra làm 2 phần:
1. Góc nhìn hệ thống: mô tả chi tiết về mặt kỹ thuật
Trang 17/ 22


Hệ thống thanh toán điện tử

2. Góc nhìn người dùng: mô tả về nhưng vấn đề an ninh mà người dùng quan tâm
3.1
3.1.1

GÓC NHÌN HỆ THỐNG
Hệ thống thanh toán khi có thẻ - Card Present (CP)

3.1.1.1. Giới thiệu
Thuật ngữ giao dịch hiện diện thẻ (card-present-transaction [CP]) có nghĩa là tại thời điểm
thanh toán chủ thẻ phải trình thẻ cho người bán. Nhưng giao dịch online thông qua internet cho
dù có sử dụng thẻ thông qua đầu đọc thẻ thì đều không được tính trong loại này và được gọi là
giao dịch không hiện diện thẻ (card-not-present-transaction [CNP]).
Trong một giao dịch CP, thông tin thẻ được chuyển tới công thanh toán và xác thực. Trong các
giao dịch này thì sự gian lận của người mua hoàn toàn không phải lỗi của người bán vì xác thực
được thực hiện bởi công thanh toán.
Hệ thống thống trị trong loại giao dịch này là EMV (Europay, Mastercard and Visa) được biết
tới với tên khác là Chip và PIN. Hệ thống này là một bộ giao thức phức tạp và một tập các điều

kiện để tương tác giữa thẻ tín dụng thông minh và thiết bị thanh toán. Người bán hàng có thể
chỉ cần sử dụng một loại thiết bị cho tất cả các hãng thẻ. Khía cạnh vật lý của thẻ EMV được
dựa trên chuẩn ISO/IEC 7816.
Giao dịch dịch EMV có bốn bước chính.
 Đọc thông tin cần thiết từ thẻ bằng thiết bị
 Xác nhận tính xác thực của thẻ, có 3 phương pháp được gọi là các phương thức xác thực
thẻ (Card Authentication Method [CAM]): “xác thực dữ liệu tĩnh” (Static-DataAuthentication[SDA]), “xác thực dữ liệu động” (Dynamic-Data-Authentication [DDA]),
và “kết hợp DDA với ứng dụng mã hóa” (Combind-DDA-with-Application-Crytogram
[CDA]).
 Xác minh chủ thẻ thông qua đàm phán giữa thẻ và thiết bị đọc để chọn phương pháp xác
minh. Bằng cách này, đối tượng dữ liệu lưu trữ phương pháp xác minh được lựa chọn
được gọi là CVM (Cardholder Verification Method). Thông thường sẽ là sử dụng PIN,
chữ ký chủ thẻ hoặc không cần xác minh.
 Bước cuối cùng là xác thực giao dịch. Ở bước này thiết bị sẽ xác nhận rằng chủ thẻ có
đủ tiền cho giao dịch hiện hành

Trang 18/ 22


Hệ thống thanh toán điện tử

Figure - A complete run of a Chip and PIN protocol

SDA: là phương thức đơn giản nhất để xác thực thẻ. Phương pháp này không chống lại được
tấn công phát lại. Thực tế, phương pháp này không hề yêu cầu thẻ có chip xử lý vì nó không
yêu cầu chip xử lý thực hiện phương thức mã hóa nào, chỉ có dữ liệu tĩnh được ký bởi ngân
hành phát hành được trao đổi giữa thẻ và thiết bị đọc. Phương pháp này dễ dàng bị tấn công
bằng cách sao chép thông tin tĩnh này vào thẻ giả mạo và sử dụng ứng dụng đọc thẻ chấp nhận
bất cứ mọi PIN, loại thẻ giả mạo này thường được gọi là “Yes-card”. Phương thức tấn công này
có thể được bảo vệ bằng giao dịch trực tuyến nhờ vào liên hệ với ngân hàng bởi người bán để

xác minh mã bảo mật (MAC) của thẻ.
DDA: phương pháp này yêu cầu chip của thẻ phải thực hiện thuật toán mã hóa công khai.
Phương thức này tự sinh ra một đoạn mã duy nhất (unique cryptogram) cho mỗi giao dịch. Mỗi
thẻ sẽ có một khóa bí mật để xác minh tính xác thực của nó và ngược lại mỗi thiết bị có mà
công khai của VISA hay MasterCard để xác minh chứng chỉ của thẻ. Tuy nhiên phương pháp
này cũng không bảo mật khi giao dịch ngoại tuyến.
CDA: Phương pháp này đòi hỏi thẻ phải có khả năng thực hiện thuật toán mã hoá RSA. Trên
thực tế, CDA tương tự phương thức DDA nhưng thêm một bước trong đó thẻ phải inh ra chữ
ký thứ hai để xác nhận thẻ đã được chứng thực cho quá trình xác thực hiện tại.
3.1.1.2. Tấn công SDA
Trong SDA chỉ có mã đối xứng được sử dụng và sau khi xác nhận mã PIN, thiết bị gửi đển thẻ
dữ liệu của giao dịch và sau đó thẻ sẽ tính mã chứng thực (MAC) trên dữ liệu đó và nó được
gọi là chứng chỉ giao dịch. Trong trường hợp giao dịch trực tuyến thì thẻ chỉ có thể chứng mình
chứng thực của nó nếu điểm bán hàng kết nối với ngân hàng. Tuy nhiên khi giao dịch ngoại
tuyến thì thẻ thông minh rất kém về bảo mật vì nhiệm vụ xác thực mã PIN được thực hiện bởi
chính chiếc thẻ và kẻ tấn công có thể lập trình chiếc thẻ giả đế nó chấp nhận mọi mã PIN.

Trang 19/ 22


Hệ thống thanh toán điện tử

3.1.1.3. MITM với hệ thống EMV
Tuy nhiên ngay cả khi chứng thực trực tuyến thì vẫn có thể bị tấn công bởi kỹ thuật Man-In-TheMiddle và lỗ hổng nằm ở bước xác thực PIN không được chứng thực (đối tượng, nguồn xác thực PIN
không được chứng thực)

Figure - Man-In-The-Middle Attack in EMV

Sơ lược quá trình xác minh chủ thẻ thì trong trường hợp nhập đúng mã PIN, thẻ sẽ lời với mã
9000 ngược lại thì là 63Cx (x: là số lần nhập PIN bởi người dùng). Nhưng điểm yếu nằm ở chỗ

thiết bị thẻ không xác thực là ai gửi mã trả lời .
Dữ liệu chứng thực được gửi tới ngân hàng bao gồm “Terminal Verification Results” (TVR) và
“Issuer Appliation Data” (IAD). Điểm yếu của quá trình này nằm ở chỗ trong trường hợp xác
thự thành công, nó không cho biết phương thức nào được sử dụng (PIN hay chữ ký). Vì vậy kẻ
tấn công sử dụng lỗ hỏng này có thể thực hiện tấn công MITM bằng cách chặn kết nối giữa thẻ
và thiết bị để lừa thiết bị bằng cách gửi mã trả lời 9000, mà không gửi mã PIN tới thẻ và vì vậy
thẻ sẽ cho là thiết bị không có phương thức xác nhận bằng mã PIN nên sẽ sử dụng phương thức
xác nhận bằng chữ ký. Ngược lại, bởi vì thẻ không nhận được mã PIN sai nên số lần thử sai
vẫn không tăng. Kết quả là TVR bits không được đặt, bởi vì không hề có lần thử hay thất bại
nào vì vậy cả thiết bị đọc thẻ và thẻ đều bị lừa. Thiết bị tin rằng xác nhận mã PIN đã thành
công sau khi nhận mã trả lời 9000 và sau đó tạo ra giá trị zero cho TVR, và vì thế thẻ tin rằng
thiết bị không hỗ trợ chứng thực mã PIN và do đó chấp nhận kết quả zero từ thiết bị đọc.
Table - Terminal Verification Results (TVR) in EMV Standard

bit
1
2
3
4
5
6
7
8

Description
Reserverd
Reserverd
Online PIN entered
PIN is not entered
PIN pad does not work

Number of attempt to enter PIN exceeded
Unrecognized CVM
Cardholder verification was not successful

Trang 20/ 22


Hệ thống thanh toán điện tử

3.1.1.4. Số không dự đoán (NU) và Pre-Play Attack
Trong trường hợp giao dịch ATM, thẻ chip không tham gia vào quá trình chứng thực mà chính
ATM sẽ mã hoá và trả PIN về cho ngân hàng phát hành. Sau khi chứng thực giao dịch qua
mạng ATM, ATM sẽ chuyển cho the dữ liệu bao gồm một con số không dự đoán được
(unpredictable number [UN], thường được gọi là số nonce 32bit) để chắc chắn rằng giao dịch
hiện tại không phải là lập lại mà là một giao dịch mới hoàn toàn. Để trả lời, thẻ sẽ trả
“Authorization Request Crytogram” (ARQC), là mã bảo mật được tính toán trên dữ liệu và
“Applicatrion Transaction Counter” (ATC) cùng với Issure Application Data (IAD). Kịch bản
tấn công vào phương pháp này có thể được thực hiện bằng cách tay thế số UN, và được gọi là
Pre-Play attack.
Kẻ tấn công đầu tiên sẽ lưu lại ARQC bằng cách sử dụng thiết bị đã bị nhiễm mã độc. ARQC
này liên quan tới số nonce N. Sau đó kẻ ấn công chuyển nó tới ATM mà ATM đó sẽ sinh ra một
số nonce N’ (như đã trình bày). Vậy bây giờ nhiệm vụ của kẻ tấn công là thay thế số N’ bằng N
khi ATM chuyển dữ liệu tới mạng ATM

Figure - Pre-Play attack against EMV

3.1.1.5. Replay attack với hệ thống EMV
Mặc dù thẻ thông minh là một thiết bị chống phá hoại và cũng thuận tiện để mang đi, nhưng nó
cũng gặp vấn đề với giao diện người dùng. Nói cách khác, nó không có giao tiếp IO, vì vậy
việc nhập PIN phải thông qua thiết bị khác dẫn đến không việc không tự kiểm soát được an

toàn. Ví dụ như kẻ tấn công sử dụng Camera và quét thẻ kép, hack thiết bị đọc thẻ, thiết bị đọc
thẻ giả mạo, thiết bị quét thiết bị đọc thẻ.
3.1.2

Hệ thống thanh toán khi không có thẻ - Card Not Present (CNP)

CNP là loại thanh toán khi giao dịch mà không cần trình thẻ cho người bán và 
thường được diễn ra qua Internet hoặc điện thọi. Bởi vì không có thiết bị đọc thẻ tại nơi bán
trong loại giao dịch này, nên không có quy trình chuẩn để chứng thực chủ thẻ và đây là thách
Trang 21/ 22


Hệ thống thanh toán điện tử

thức lớn cho vấn đề an ninh trong giao dịch CNP.
CNP được chia ra 2 hướng tiếp cận chính: đầu tiên là dựa trên giao thức EMV 
trong đó khách hàng tại thời điểm mua hàng phải có thẻ. Chứng thực cho loại giao tức này
được gọi là chứng thực 2 yếu tố (Two-factor),nghĩa là thẻ thông minh và mật khẩu như là
SET/EMV và EMV/CAP. Hướng thứ hai thì khách hàng không cần thẻ tại thời điểm giao dịch, ví
dụ như 3D SET và 3D SSL (gọi chung là 3D Secure , ban đầu được biết đến như Verified-By-Visa
hay MasterCard-Secure-Code.
3.1.2.1 3D Secure
3.1.2.2 SET
3.1.2.3 SET/EMV
3.1.2.4 Chip Authentication Program : EMV/CAP
3.1.3

Hệ thống tiền điện tử

3.1.4


NFC và hệ thống không tiếp xúc

3.1.5

Google Wallet, Android Pay, Apple Pay

3.2

GÓC NHÌN NGƯỜI DÙNG

4. TÀI LIỆU THAM KHẢO
[1] Solat, S. (2017). Security of Electronic Payment Systems: A Comprehensive Survey. CoRR,
abs/1701.04556.
[2] Mandadi, Ravi Kumar (2006).Comparison of Current On-line Payment Technologies, Linköping
Institute of Technology
[3] S. J. Murdoch, S. Drimer, R. Anderson and M. Bond, "Chip and PIN is Broken," 2010 IEEE
Symposium on Security and Privacy, Oakland, CA, USA, 2010, pp. 433-446.
doi: 10.1109/SP.2010.33
[4] .Bogdan-Alexandru URS, Security Issues and Solutions in E-Payment Systems, Fiat Iustitia,No.1,
2015, PP.172

Trang 22/ 22



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×