Tải bản đầy đủ (.pdf) (125 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Các hệ thống thanh toán điện tử

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.23 MB, 125 trang )

..

LỜI NĨI ĐẦU
Từ khi mới ra đời ngành cơng nghệ thơng tin đã có những đóng góp quan trọng, có những
ảnh hưởng to lớn trong nhiều lĩnh vực khác nhau từ những ngành tính tốn trong khoa học như
tốn, lý, hoá đến các ngành trong lĩnh vực vui chơi giải trí và đặc biệt là sự đóng góp trong các
hoạt động kinh tế hàng ngày. Sự ảnh hưởng này ngày càng diễn ra sâu rộng, mạnh mẽ và nhanh
chóng bởi một lẽ là tốc độ phát triển công nghệ thông tin đang diễn ra rất nhanh, đa dạng. Vì thế
có nhiều vấn đề trước đây tưởng như không thực hiện được thì giờ đây nhờ máy tính đã trở
thành hiện thực.
Với sự bùng nổ của mạng máy tính nhất là mạng Internet trong thời gian gần đây, u cầu
tính tốn, trao đổi thông tin ở mọi lúc, mọi nơi ngày càng càng trở nên cấp thiết. Không chỉ trong
lĩnh vực tính tốn mà ngay cả trong các hoạt động kinh tế xã hội. Thương mại điện tử
(Ecommerce) hay thương mại trên Web đã và đang trở nên sôi động không chỉ trên phạm vi khu
vực mà trên toàn thế giới.
Trong thương mại điện tử thì khâu thanh tốn vẫn ln là một vấn đề bức súc nhất. Khi
mua bán hàng trực tuyến đã trở thành hiện thực thì người ta lại quan tâm đến sự an toàn của các
hệ thống thanh tốn đó. Các biện pháp kỹ thuật nào đảm bảo cho các thanh toán trên mạng được
thực hiện an tồn và bảo mật? Có nhiều mơ hình thanh tốn khác nhau, các đặc điểm của từng
mơ hình thanh tốn, sự khác và giống nhau giữa chúng là gì? Những yêu cầu đặt ra cũng như ưu
nhược điểm của từng hệ thống? Đó cũng chính là những mục tiêu luận văn này.
Đề tài: “Các hệ thống thanh toán điện tử” được trình bày trong những 2 phần với 8
chương với các nội dung chính sau:
Phần 1: Trình bày các nền tảng cơ sở và yêu cầu cho các giao dịch trực tuyến, được trình
bày trong 3 chương:
Chương I : Tổng quan về thanh tốn điện tử
Giới thiệu sự hình thành cơng nghệ thanh tốn điện tử và quy trình chung khi thanh toán
điện tử, sự phân loại thanh toán điện tử và sơ lược về các hệ thống thanh toán. Một số các khái
niệm cơ bản trong thương mại điện tử.
Chương II : Cơ sở cho các thanh toán điện tử
Trình bày các hiểm hoạ đối với các hệ thống thanh toán điện tử và cơ sở để bảo vệ các


thanh tốn đó. Các biện pháp kỹ thuật như các loại mã hoá cũng như ký thuật xác thực dùng chữ
ký điện tử.
i


Các hệ thống thanh toán điện tử
Chương III : Yêu cầu chung cho các giao dịch thanh toán
Để thanh toán điện tử có tính ứng dụng thực tế, các giao dịch điện tử cần phải đảm bảo các
tính chất như bảo mật, không thể phủ nhận tức thời và không dấu vết.
Phần 2: Trình bày các hệ thống thanh tốn điện tử trong 5 chương:
Chương IV : Thanh toán dùng tiền điện tử
Trình bày tổng quan về hệ thống thanh toán điện tử dùng tiền điện tử. Từ khái niệm cơ bản
“xu điện tử”, “chữ ký mù”, cơ chế hoạt động đến những biện pháp kỹ thuật bảo đảm cho sự vận
hành của hệ thống.
Chương V : Thanh toán dùng séc điện tử
Trình bày tổng quan từ quy trình thanh toán séc giấy phát triển đến hệ thống thanh toán
dùng séc điện tử. Ví dụ và những phân tích một hệ thống thực tế dùng séc điện tử.
Chương VI : Thanh toán cho các giao dịch nhỏ
Giới thiệu hệ thống thanh toán rất phù hợp cho các giao dịch trên mạng địi hỏi chi phí
giao dịch thấp cho các sản phẩm giá trị nhỏ. Chương 6 cũng tập trung phân tích đến các nhân tố
kỹ thuật giảm chi phí giao dịch, yếu tố quyết định đến sự tồn tại của hệ thống này
Chương VII : Thanh toán trực tuyến dùng thẻ tín dụng
Trình bày về hệ thống thanh tốn dùng thẻ tín dụng, hệ thống phổ biến nhất cho các giao
dịch trên mạng trong đó tập trung phân tích một số mơ hình thanh tốn dùng thẻ tín dụng thực tế.
Chương VIII : Đánh giá, khuyến nghị
Do khuôn khổ của giai đoạn thực hiện luận văn cũng như kinh nghiệm của bản thân phạm
vi của đề tài lại rộng nên những gì đạt được trong đồ án chỉ là những kết quả bước đầu, chắc
chắn không thể tránh khỏi thiếu sót. Tơi rất mong được sự chỉ dẫn, đóng góp ý kiến của thầy cơ
và các bạn để chương trình được hồn thiện hơn. Qua đây cho phép tơi một lần nữa được gửi lời
cảm ơn chân thành đến các thày, cô trong Khoa Công nghệ thông tin, Trung tâm Đào tạo sau đại

học, Trường Đại Học Bách Khoa Hà Nội và đặc biệt là TS. Đặng Văn Chuyết, người đã nhiệt
tình giúp đỡ tơi trong suốt q trình học tập, nghiên cứu tại trường cũng như trong thời gian thực
hiện và hoàn thành luận văn tốt nghiệp này.
Hà Nội 11/2005
Trương Quốc Tuấn
Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

ii


Các hệ thống thanh toán điện tử

Mục lục
PHẦN 1 - CƠ SỞ CỦA CÁC GIAO DỊCH TRỰC TUYẾN
Chương 1. Tổng quan về thanh tốn điện tử……………………………………...2
1.1. Sự hình thành cơng nghệ thanh tốn điện tử.............................................................3
1.2. Quy trình chung khi thanh toán điện tử ....................................................................4
1.3. Phân loại các thanh toán điện tử ...............................................................................5
1.4. Khái quát về về các hệ thống thanh toán điện tử ......................................................7
1.5. Một số khái niệm trong thương mại điện tử..............................................................8

Chương 2. Cơ sở cho các thanh toán điện tử…………………………………….12
2.1. Các hiểm hoạ đối với an toàn thương mại điện tử ..................................................12
2.1.1. Các hiểm hoạ với máy khách ...................................................................................... 12
2.1.2. Các hiểm hoạ đối với kênh truyền thông .................................................................... 13
2.1.3. Các hiểm hoạ đối với máy chủ.................................................................................... 15
2.1.4. Các hiểm hoạ đối với máy chủ Web ........................................................................... 15

2.2. Bảo vệ các kênh truyền thông .................................................................................16
2.3. Phân loại mã hố .....................................................................................................17

2.4. Mã hố băm.............................................................................................................18
2.5. Mã hóa đối xứng .....................................................................................................19
2.6. Mã hố cơng khai ....................................................................................................21
2.7. Chữ ký điện tử.........................................................................................................27
2.7.1. Q trình ký điện tử..................................................................................................... 27
2.7.2. Quá trình kiểm tra chữ ký điện tử ............................................................................... 27

Chương 3. Yêu cầu chung cho các giao dịch thanh toán………………………..29
3.1. Ẩn danh người dùng và không dấu vết ...................................................................29
3.2. Ẩn danh người dùng................................................................................................32
3.3. Giao dịch khơng dấu vết .........................................................................................34
3.3.1. Ngẫu nhiên hố tổng chặt trong iKP ........................................................................... 34
3.3.2. Ngẫu nhiên hoá tổng chặt trong SET .......................................................................... 34

3.4. Bảo mật dữ liệu giao dịch thanh toán......................................................................35
3.4.1. Hàm giả ngẫu nhiên..................................................................................................... 35
3.4.2. Chữ ký kép .................................................................................................................. 37
Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

iii


Các hệ thống thanh tốn điện tử

3.5 Tính khơng thể phủ nhận các thơng điệp giao dịch thanh tốn................................38
3.6. Tính tức thời của giao dịch thanh toán....................................................................41
3.6.1. Nhãn thời gian ............................................................................................................. 41

PHẦN 2 - CÁC HỆ THỐNG THANH TOÁN ĐIỆN TỬ
Chương 4. Thanh toán dùng tiền điện tử………………………………………...43

4.1. Các đặc điểm của tiền điện tử .................................................................................45
4.2. Hệ thống hoạt động của tiền điện tử .......................................................................46
4.3. Mua bán tiền điện tử thông qua các máy chủ tiền tệ...............................................46
4.4. Sử dụng tiền điện tử ................................................................................................47
4.5. Mơ hình thực tế - Ecash ..........................................................................................48
4.5.1. Mơ hình Ecash............................................................................................................. 49
4.5.2. Tiền Ecash ................................................................................................................... 50
4.5.3. Khố bảo vệ................................................................................................................. 51
4.5.4. Chống sử dụng 2 lần.................................................................................................... 52
4.5.5. Rút tiền ........................................................................................................................ 53
4.5.6. Sử dụng Ecash ............................................................................................................. 55
4.5.7. Thực hiện thanh toán................................................................................................... 55
4.5.8. Kiểm chứng thanh toán ............................................................................................... 56
4.5.9. Đổi tiền........................................................................................................................ 56
4.5.10. Tích hợp trên Web..................................................................................................... 57
4.5.11. Chuyển Ecash giữa người sử dụng............................................................................ 57

Chương 5. Thanh toán dùng séc điện tử………………………………………...60
5.1. Khái niệm cơ bản ....................................................................................................60
5.2. Xác thực séc điện tử ................................................................................................62
5.3. Mơ hình thực tế NetBill ..........................................................................................62
5.3.1. Tổng quan về giao thức ............................................................................................... 63
5.3.2. Thủ tục xác thực .......................................................................................................... 64
5.3.3. Giao thức giao dịch ..................................................................................................... 65
5.3.4. Pha 1 - Yêu cầu báo giá............................................................................................... 65
5.3.5. Pha 2 - Chuyển hàng ................................................................................................... 66
5.3.6. Pha 3 - Thanh toán ...................................................................................................... 66
Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

iv



Các hệ thống thanh toán điện tử

Chương 6. Thanh toán cho các giao dịch nhỏ………………….………………..69
6.1. Giới thiệu.................................................................................................................69
6.2. Tổng quan về thanh tốn nhỏ ..................................................................................70
6.3. Nhân tố chi phí – tác động chính trong thanh tốn nhỏ ..........................................73
6.4. Các giải pháp chính.................................................................................................74
6.4.1. Giải quyết tranh chấp và hồn trả................................................................................ 74
6.4.2. Sử dụng đường dẫn trả phí .......................................................................................... 76
6.4.3. Mạng thanh tốn mở.................................................................................................... 77

6.5. Hệ thống millicent...................................................................................................80
6.5.1. Mơ hình Millicent........................................................................................................ 80

Chương 7. Thanh tốn trực tuyến dùng thẻ tín dụng……………………………85
7.1. Tổng quan về thẻ tín dụng.......................................................................................85
7.2. Giao dịch qua thư, điện thoại ..................................................................................88
7.2. Thanh tốn mạng khơng an tồn .............................................................................89
7.3. Mơ hình thực tế First Virtual ..................................................................................89
7.4. Giao dịch an toàn SSL.............................................................................................92
7.5. Mơ hình SET ...........................................................................................................95
7.5.1. Mơ hình tin cậy SET ................................................................................................... 96
7.5.2. Cấu trúc thông điệp SET ............................................................................................. 98
7.5.3. Khởi tạo thanh toán .................................................................................................... 99
7.5.4. Đặt hàng ................................................................................................................... 100
7.5.5. Xác thực ................................................................................................................... 102
7.5.6. Ghi nhận thanh toán ................................................................................................. 103


Chương 8. Đánh giá, khuyến nghị……………………………………………..107
8.1. Tiêu chí đánh giá hệ thống thanh toán ..................................................................107
8.2. Đánh giá ................................................................................................................109
8.2.1. Hệ thống thanh toán tiền điện tử ............................................................................... 110
8.2.2. Hệ thống thanh toán dựa trên tài khoản .................................................................... 111

8.3. Khuyến nghị ..........................................................................................................112
8.4. Thanh toán điện tử ở Việt Nam…………………………………………………………115

Kết luận và hướng phát triển của đề tài………………...…………………..……117
Tài liệu tham khảo………………………………………………………...….….118
Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

v


Các hệ thống thanh tốn điện tử

Mục lục hình vẽ
Hình 2-1: Mơ hình mã hố đối xứng đơn giản.............................................................................. 19
Hình 2-2: Mơ hình mã hố đối xứng............................................................................................. 20
Hình 2-3: Mã hố cơng khai.......................................................................................................... 22
Hình 2-4: Hệ mật khố cơng khai – Bí mật................................................................................... 23
Hình 2-5: Hệ mật khố cơng khai – Xác thực............................................................................... 25
Hình 2-6: Hệ mật khố cơng khai – Bí mật và xác thực ............................................................... 26
Hình 2-7: Q trình ký điện tử ...................................................................................................... 27
Hình 2-8: Kiểm tra chữ ký điện tử ................................................................................................ 28
Hình 3-1: Bộ trộn Chuam.............................................................................................................. 30
Hình 3-2: Chuỗi các bộ trộn.......................................................................................................... 31
Hình 3-3: Hệ thống thanh tốn First Virtual ................................................................................. 33

Hình 3-4: Một giao dịch thanh tốn đơn giản ............................................................................... 39
Hình 3-5: Các thơng điệp khơng phủ nhận ................................................................................... 40
Hình 3-6: Các thơng điệp 1KP ...................................................................................................... 42
Hình 4-1: Các thực thể và chức năng của chúng trong hệ thống Ecash........................................ 50
Hình 4-2: Chữ ký “mù” trong quá trình rút tiền............................................................................ 50
Hình 4-3: Xu điện tử Ecash mệnh giá 10-cent .............................................................................. 51
Hình 4-4: Chống sử dụng 2 lần trong Ecash ................................................................................. 53
Hình 4-5: Thơng điệp u cầu rút tiền .......................................................................................... 54
Hình 4-6: Tích hợp Ecash vào hệ thống Web ............................................................................... 57
Hình 4-7: Chuyển tiền trong Ecash ............................................................................................... 58
Hình 5-1: Hệ thống séc điện tử ..................................................................................................... 60
Hình 5-2: Mơ hình thực thể NetBill .............................................................................................. 62
Hình 5-3: Giao thức giao dịch NetBill .......................................................................................... 63
Hình 6-1: Các thanh tốn nhỏ qua một PSP.................................................................................. 70
Hình 6-2: Các thanh tốn thơng qua PSP...................................................................................... 71
Hình 6-3: Thanh tốn trực tuyến qua PSP..................................................................................... 72
Hình 6-4: Thanh tốn nhỏ qua 2 PSP............................................................................................ 73
Hình 6-5: Thanh tốn thẻ tín dụng SSL ........................................................................................ 75
Hình 6-6: Tương tác giữa 2 PSPs.................................................................................................. 78
Hình 6-7: Tương tác trong mạng lưới PSP.................................................................................... 78
Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

vi


Các hệ thống thanh tốn điện tử
Hình 6-8: Mơ hình Millicent ......................................................................................................... 80
Hình 6-9: Mua scrip mơi giới........................................................................................................ 82
Hình 6-10: Mua hàng từ người bán ............................................................................................... 82
Hình 6-11: Tiếp tục trả cho người bán cũ ..................................................................................... 83

Hình 8-12: Cấu trúc của scrip ....................................................................................................... 83
Hình 7-1: Các thành phần trong giao dịch thẻ tín dụng ................................................................ 86
Hình 7-2: Mua hàng với First Virtual ........................................................................................... 91
Hình 7-4: Các thành phần chính trong SSL .................................................................................. 93
Hình 7-5: Các trao đổi chính trong thủ tục bắt tay........................................................................ 94
Hình 7-6: Đóng gói dữ liệu ........................................................................................................... 95
Hình 7-7: Mơ hình SET................................................................................................................. 95
Hình 7-8: Định nghĩa chứng chỉ trong X.509 phiên bản 3............................................................ 96
Hình 7-9: Cây phân cấp cơ quan cấp chứng chỉ trong SET .......................................................... 97
Hình 7-10 Tên của thực thể trong SET ......................................................................................... 98
Hình 7-12: Thơng điệp khởi tạo .................................................................................................... 99
Hình 7-13: u cầu đặt hàng....................................................................................................... 100
Hình 7-14: Cấu trúc của đơn hàng .............................................................................................. 100
Hình 7-15: Cấu trúc lệnh đặt hàng .............................................................................................. 101
Hình 7-16: Thơng điệp phản hồi từ người bán............................................................................ 101
Hình 7-17: Xây dựng u cầu xác thực cho thanh tốn .............................................................. 102
Hình 7-19: Phản hồi xác thực...................................................................................................... 103
Hình 7-20: Ghi nhận nhiều thanh tốn trong một u cầu .......................................................... 103
Hình 7-21: Các thơng điệp ghi nhận ........................................................................................... 104
Hình 8-1: Lược đồ thanh tốn tiền điện tử .................................................................................. 110
Hình 8-2: Lược đồ thanh tốn thẻ tín dụng ................................................................................. 112
Hình 8-3 Chữ ký mù.................................................................................................................... 114

Mục lục bảng
Bảng 1: So sánh các cơng nghệ thanh tốn………………………………………………..….…13
Bảng 2: Mã hố cơng khai và mã hố đối xứng………………….……………………….……..31
Bảng 3: Đánh giá các hệ thống thanh toán…………………………………………………..…109

Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội


vii


Phần 1
cơ sở của các giao dch trực tuyến

1


Các hệ thống thanh tốn điện tử

CHƯƠNG

1
THANH TỐN ĐIỆN TỬ
Thanh toán điện tử là một trong những bộ phận cấu thành thương mại điện tử. Theo Kalakota
trong cuốn “E-commerce: A manager’s guide”, (Addison Wesley, 1997) một cách khái quát thì:
Thanh tốn điện tử là q trình thanh tốn tài chính giữa người mua và người bán. Điểm cốt lõi
của quá trình này là việc ứng dụng các cơng nghệ thanh tốn tài chính (ví dụ như mã hố số thẻ
tính dụng, séc điện tử, hoặc ví điện tử) giữa ngân hàng, nhà trung gian và các bên tham gia hợp
pháp. Các ngân hàng và tổ chức tín dụng hiện nay sử dụng các phương thức này nhằm mục đích
nâng cao hiệu quả hoạt động trong bối cảnh phát triển của nền kinh tế số, với một số lợi ích như
giảm các chi phí cơng nghệ, giảm các chi phí xử lý, hoạt động và tính thương mại trực tuyến.
Với những lợi ích nêu trên, tăng cường khả năng sử dụng thanh toán điện tử sẽ là một cách
cắt giảm đáng kể các chi phí hoạt động. Theo tính tốn của các ngân hàng thì việc giao dịch bằng
tiền và séc rất tốn kém, do đó họ tìm kiếm các giải pháp khác với chi phí thấp hơn. Hiện nay ở
Mỹ thì các giao dịch bằng tiền mặt chiếm khoảng 54% và bằng séc là 29%. Các giao dịch thông
qua các giao dịch điện tử (như tín dụng, dư nợ và các công cụ khác) chiếm khoảng 17%. Dự báo
con số này sẽ tăng lên trong thời gian tới.
Tuy nhiên vấn đề đặt ra trong thương mại điện tử là bằng cách nào khách hàng có thể thanh

tốn cho các giao dịch trực tuyến khi mua rất nhiều các loại hàng hoá và dịch vụ khác nhau. Đối
với nhiều trang Web mua hàng, khách hàng có thể xem, đặt vơ số các hàng hoá và dịch vụ khác
nhau nhưng vấn đề an ninh thanh toán qua mạng cho họ lại chưa được đảm bảo. Về giải pháp
cho các vấn đề thanh tốn trực tuyến, hiện tại khó có thể đưa ra một giải pháp hồn hảo nhất. Ví
dụ như trong Cybercash, người sử dụng phải cài đặt các phần mềm cho khách hàng - gọi là ví
điện tử, trong trình duyệt Web của họ. Phần mềm này sau đó kết nối với sau đó kết nối với các
chương trình dùng tiền điện tử chạy trên máy chủ của người bán hàng. Mỗi nhà cung cấp dịch vụ
cho khách hàng chỉ chạy một phần mềm máy chủ duy nhất chung khi cung cấp dịch vụ cho các
Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

2


Các hệ thống thanh toán điện tử
khách hàng nhằm giảm bớt các chi phí về tiền và thời gian cũng như các cố gắng trong việc sử
dụng quá nhiều phần mềm khác nhau của các nhà cung cấp khác nhau.
Các cơng nghệ thanh tốn ra đời nhằm giải quyết các vấn đề trong thanh tốn khơng trực
tuyến. Trong mua bán không qua mạng, rất nhiều ngân hàng phát hành trái phiếu không dựa trên
số tiền đảm bảo thực tế của họ, do đó các ngân hàng hối đối sẽ gặp khó khăn khi muốn biết
chính xác thơng tin về các ngân hàng khác trong hệ thống thanh toán của họ. Các cơng nghệ
thanh tốn được xây dựng trên cơ sở mức dự trữ bắt buộc của nhà nước hoặc ngân hàng trung
ương.
Mục đích của thương mại trực tuyến là phát triển một nhóm nhỏ các phương thức thanh tốn
có thể được sử dụng rộng rãi trong các khách hàng và được các nhà bán hàng cũng như ngân
hàng chấp nhận.

1.1. Sự hình thành cơng nghệ thanh tốn điện tử
Các cơng nghệ thanh toán bắt đầu từ việc phát triển với việc chuyển tiền bằng điện, ví dụ
như dịch vụ của Western Union giúp một cá nhân có thể chuyển tiền cho người nào đó ở tại hai
địa điểm khác nhau thông qua lệnh chuyển tiền của họ từ một quầy cung cấp dịch vụ của

Western Union. Tiền chỉ có thể được chuyển giao cho khách hàng sau khi đáp ứng được các điều
kiện nhận diện. Trong trường hợp này, không có sự tham gia của bất cứ một ngân hàng nào cả,
Western Union chỉ đơn thuần là một công ty điện tín. Sự an tồn của thanh tốn dựa trên khả
năng tài chính của hãng. Cịn đối với Western Union, an tồn trong giao dịch được kiểm sốt
thơng qua các thông điệp được gửi đi trong từng giao dịch riêng lẻ. Các thông tin này không
được công bố rộng rãi mà chỉ khách hàng và người nhận biết được khoản tiền được chuyển giao.
Chữ ký được sử dụng như một cơng cụ xác nhận nhằm mục đích cho biết q trình chuyển giao
đã được hồn thành khi khách hàng đã nhận được tiền.
Trong suốt những năm 1960-1970, công nghệ mạng phát triển đã tạo ra một phương thức
chuyển tiền mới. Đó là phương thức chuyển tiền điện tử (Electronic Funds Transfer). Các hệ
thống chuyển tiền điện tử được áp dụng đã giảm được đáng kể thời gian thực hiện giao dịch, ví
dụ như việc chuyển các lệnh chuyển tiền giữa các ngân hàng. Tuy nhiên các hệ thống chuyển
tiền điện tử khơng làm thay đổi hệ thống thanh tốn. Rất nhiều phương thức cải tiến trong khâu
thanh toán trong hại thập kỷ đó đều nhằm mục đích giảm thiểu các chi phí hoạt động của ngân
hàng ví dụ như chi phí cho các yêu cầu phục vụ, tốc độ làm các thủ tục hối đối và giảm các sai
sót trong các nghiệp vụ ngân hàng. Mặc dù vậy, đối với hệ thống chuyển tiền điện tử, các khách
Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

3


Các hệ thống thanh tốn điện tử
hàng cũng rất ít sử dụng trong thời gian mới áp dụng ban đầu. Các sáng kiến trong thương mại
điện tử hiện nay đều nhằm mục đích tạo ra một cách thức đơn giản trong giao dịch thanh tốn và
mang tính tức thời. Trong một giao dịch điện tử, các khâu kiểm tra hối đoái, tiến hành thủ tục
thanh toán sẽ diễn ra ngay lập tức từ khi khách hàng gửi một lệnh yêu cầu chuyển tiền để thanh
toán cho một giao dịch mua bán trên mạng.
Hệ thống thanh toán điện tử cho khách hàng đang phát triển rất nhanh chóng. Hiện tại có
một vài cơng nghệ giúp khách hàng trong khâu thanh tốn:
¾ Cơng nghệ phục vụ khách hàng: thẻ tín dụng, thẻ cho vay, các máy rút tiền tự động,

thẻ lưu giá trị và ngân hàng điện tử.
¾ Cơng nghệ trợ giúp cho thương mại điện tử: tiền điện tử, séc điện tử, thẻ thơng minh
và thẻ tính dụng mã hố.
¾ Cơng nghệ hỗ trợ cho các công ty: các hệ thống thanh tốn ngân hàng cung cấp cho
khách hàng, ví dụ như hệ thống thanh toán hối đoái giữa các ngân hàng được thực
hiện thơng qua hệ thống thanh tốn hối đối tự động cho phép các cơng ty có thể trả
lương cho các nhân viên trực tiếp vào tài khoản của họ.

1.2. Quy trình chung khi thanh tốn điện tử
1. Khách hàng tìm kiếm các hạng mục hàng hố và dịch vụ. Sử dụng trình duyệt Web,
khách hàng có thể xem trực tiếp các catalogue (danh mục) trên trang Web của người
bán Web.
2. Khách hàng chọn lựa các hạng mục mà họ cần thông qua việc đánh giá, so sánh giá
cả, nhãn hiệu, chất lượng và các biến số khác của nhiều người bán khác nhau.
3. Khách hàng điền những thơng tin thanh tốn và điạ chỉ liên hệ vào đơn đặt hàng
(Order Form) của Website bán hàng (còn gọi là Website thương mại điện tử). Doanh
nghiệp nhận được yêu cầu mua hàng hoá hay dịch vụ của khách hàng và phản hồi xác
nhận tóm tắt lại những thơng tin cần thiết nh mặt hàng đã chọn, địa chỉ giao nhận và
số phiếu đặt hàng...
4. Khách hàng kiểm tra lại các thơng tin, lựa chọn phương thức thanh tốn và kích vào
nút "đặt hàng", từ bàn phím hay chuột của máy tính, để gửi thơng tin trả về cho
doanh nghiệp.

Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

4


Các hệ thống thanh toán điện tử
5. Doanh nghiệp nhận và lưu trữ thông tin đặt hàng đồng thời chuyển tiếp thơng tin

thanh tốn (số thẻ tín dụng, ngày đáo hạn, chủ thẻ ...) đã được mã hoá đến máy chủ
(Server, thiết bị xử lý dữ liệu) của Trung tâm cung cấp dịch vụ xử lý thẻ trên mạng
Internet. Với q trình mã hóa các thơng tin thanh tốn của khách hàng được bảo mật
an toàn nhằm chống gian lận trong các giao dịch (chẳng hạn doanh nghiệp sẽ không
biết được thơng tin về thẻ tín dụng của khách hàng).
6. Khi Trung tâm Xử lý thẻ tín dụng nhận được thơng tin thanh tốn, sẽ giải mã thơng
tin và xử lý giao dịch đằng sau bức tường lửa FireWall và thông qua một đường
truyền tách rời khỏi mạng Internet, nhằm mục đích bảo mật tuyệt đối cho các giao
dịch thương mại, định dạng lại giao dịch và chuyển tiếp thông tin thanh toán đến ngân
hàng của doanh nghiệp (Acquirer) theo một đường dây thuê bao riêng (một đường
truyền số liệu riêng biệt).
7. Ngân hàng của doanh nghiệp gởi thông điệp điện tử yêu cầu thanh toán (authorization
request) đến ngân hàng hoặc cơng ty cung cấp thẻ tín dụng của khách hàng (Issuer).
Và tổ chức tài chính này sẽ phản hồi là đồng ý hoặc từ chối thanh toán đến trung tâm
xử lý thẻ tín dụng trên mạng Internet.
8. Trung tâm xử lý thẻ tín dụng trên Internet sẽ tiếp tục chuyển tiếp những thông tin
phản hồi trên đến doanh nghiệp, và tùy theo đó doanh nghiệp thơng báo cho khách
hàng được rõ là đơn đặt hàng sẽ được thực hiện hay khơng.

1.3. Phân loại các thanh tốn điện tử
Có nhiều cách phân loại mơ hình thanh tốn khác nhau tuỳ theo tiêu chí phân loại khác nhau.

Phân loại theo giá trị của giao dịch
Dựa theo giá trị của giao dịch ta có 3 hệ thống thanh tốn sau:
Thanh tốn nhỏ (micro payments) – giao dịch có giá trị nhỏ hơn hoặc xấp xỉ bằng 5 Dollar.
Phương án phù hợp là dựa trên tiền điện tử (electronic cash) chi phí giao dịch cho các hệ thống
này gần như bằng khơng.
Thanh tốn tiêu dùng (consumer payments)– giao dịch có giá trị nằm trong khoảng từ 5
đến 500 Dollar. Các thanh toán tiêu dùng thơng thường được thực hiện bằng credit card.
Thanh tốn kinh doanh (business payments) – giao dịch có giá trị trên 500 Dollar. Ghi nợ

trực tiếp (direct debit) hay dùng hoá đơn (invoice) là các giải pháp phù hợp nhất.
Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

5


Các hệ thống thanh toán điện tử

Phân loại theo thời điểm thanh tốn
Dựa theo thời điểm thanh tốn ta có 3 hệ thống thanh toán sau:
Trả trước (pre-paid) : Với hệ thống thanh toán trả trước ta phải trả tiền trước khi mua các
sản phẩm hay dịch vụ. Các hệ thống trả trước cơ bản làm việc bằng cách lưu tiền điện tử - digital
money vào trong ổ đĩa cứng hay thẻ thông minh (smart card). File lưu trữ tiền điện tử này được
gọi là ví ảo (virtual wallet). Tiền điện tử có thể được sử dụng bất cứ khi nào để thanh toán cho
hàng hoá và các dịch vụ trực tuyến. Ưu điểm của tiền mặt điện tử (electronic cash) là nó ẩn danh.
Khơng ai có khả năng truy ngược người đã trả cho hàng hoá hay dịch vụ đó. Nhược điểm của
phương thức này là lưu trữ trên phải lưu trữ trên ổ đĩa cứng hoặc smart card. Nếu mất file này thì
cũng có nghĩa là mất ví. Và bất cứ ai tìm được nội dung của ví đều có thể sử dụng nó. Trong khi
đó các hệ thống thanh toán trả ngay lại dựa trên khái niệm trả ngay lúc giao dịch.
Trả ngay (instant-paid) : Các hệ thống trả ngay là các hệ thống phức tạp nhất trong q
trình thực hiện, nó u cầu truy nhập trực tiếp vào cơ sở dữ liệu bên trong các ngân hàng để có
thể trả tức thì. Các u cầu về an ninh nghiêm ngặt hơn và các hệ thống thanh toán ngay là các
hệ thống mạnh nhất.
Trả sau (post-paid) : Khác với trả trước, ở các hệ thống thanh toán trả sau các giao dịch
truy cập tới ngân hàng được thực hiện sau khi yêu cầu xử lý được thực thi. Các hệ thống thanh
toán trả sau cho phép việc mua các sản phẩm trước khi thanh toán. Credit card là một trong
những hệ thống thanh toán trả sau phổ biến nhất, cả trong thế giới thật và trong thế giới ảo của
mạng Internet.

Bảng 1: So sánh các công nghệ thanh tốn

Trả trước

Trả ngay

Trả sau

Tính chấp nhận

Cao

Thấp

Thấp

Tính ẩn danh

Thấp

Cao

Trung bình

Khả năng chuyển đổi

Cao

Cao

Cao


Tính hiệu quả

Thấp

Cao

Cao

Tính linh hoạt

Thấp

Thấp

Thấp

Tính tích hợp

Cao

Thấp

Trung bình

Độ tin cậy

Cao

Cao


Cao

Độ an tồn

Trung bình

Cao

Trung bình

Tính sử dụng

Cao

Trung bình

Trung bình

Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

6


Các hệ thống thanh toán điện tử

Phân loại theo bản chất của giao dịch
Dựa vào bản chất của các giao dịch ta có các 2 hệ thống thanh tốn sau:
Các hệ thống thanh tốn B2C
¾ Ví điện tử - Digital Wallets
¾ Tiền điện tử - Digital Cash

Các hệ thống lưu trữ giá trị trực tuyến
(Online Stored Value Systems)
Các hệ thống lưu trữ giá trị thẻ Smart Card
(Smart Card Stored Value Systems)
¾ Các hệ thống thanh tốn cân đối tích luỹ - Digital Accumulating Balance Payment
Systems
¾ Các hệ thống thanh tốn thẻ tín dụng - Digital Credit Card Payment Systems
¾ Các hệ thống thanh toán séc - Digital Checking Payment Systems
Các hệ thống thanh tốn B2B
Có 2 hệ thống chính
¾ Các hệ thống thay thế ngân hàng truyền thống
¾ Các hệ thống ngân hàng truyền thống mở rộng tới thị trường B2B

1.4. Khái quát về về các hệ thống thanh toán điện tử
Ví điện tử - Digital Wallets
Xác thực khách hàng (người mua) bằng việc sử dụng chữ ký điện tử hoặc các phương pháp
mã hoá khác, lưu và truyền giá trị, đảm bảo an ninh cho giao dịch thanh toán từ khách hàng tới
người bán.
Các dạng ví điện tử:
Client-based digital wallets là các ứng dụng phần mềm khách hàng (người mua) cài đặt
trên máy của họ, tạo sự thuận tiện cho khách hàng bằng việc tự động điền thông tin vào các form
tại các cửa hàng trực tuyến.
Server-based digital wallets là phần mềm xác thực, thanh toán sản phẩm và dịch vụ được
bán cho các tổ chức tài chính. Người bán (người cung cấp sản phẩm) có thể mua hệ thống này
một cách trực tiếp hoặc là một phần của dịch vụ tài chính.
Luận Văn Cao học Ngành Cơng Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

7



Các hệ thống thanh toán điện tử
Tiền điện tử - Digital Cash
Còn được gọi là e-cash.
Các dạng điện tử của giá trị lưu trữ hay chuyển đổi. Yêu cầu có người trung gian trong quá
trình chuyển đổi.
Các hệ thống thanh toán lưu trữ giá trị trực tuyến (Online stored value payment systems)
cho phép người mua thực hiện một thanh toán trực tuyến tới người bán và các cá thể khác dựa
vào giá trị được lưu trên một tài khoản online.
Các hệ thống lưu trữ giá trị thẻ Smart Card (Smart cards Stored Value Systems) cũng như
các hệ thống lưu trữ giá trị dựa nhưng trên cơ sở các thẻ credit card đã được gắn chip lưu trữ các
thông tin cá nhân.
Các hệ thống thanh tốn cân đối tích luỹ
(Digital Accumulating Balance Payment Systems)
Cho phép người sử dụng thực hiện thanh tốn nhỏ (micropayment) - tích luỹ các thanh
tốn, cân đối tài khoản khi được thanh toán vào cuối mỗi tháng.
Các hệ thống thanh tốn thẻ tín dụng
(Digital Credit Card Payment Systems)
Tìm kiếm sự mở rộng của các chức năng trong của các thẻ credit card đang tồn tại để trở
thành một cơng cụ thanh tốn trực tuyến.
Các hệ thống thanh tốn séc
(Digital Checking Payment Systems)
Tìm kiếm sự mở rộng của các chức năng trong của các tài khoản séc đang tồn tại để trở
thành một cơng cụ thanh tốn trực tuyến.

1.5. Một số khái niệm trong thương mại điện tử
Issuing Bank (Issuer) - Ngân hàng phát hành thẻ là thành viên chính thức của các Tổ chức
thẻ quốc tế, là Ngân hàng cung cấp thẻ cho khách hàng. Ngân hàng phát hành chịu trách nhiệm
tiếp nhận hồ sơ xin cấp thẻ, xử lý và phát hành thẻ, mở và quản lý tài khoản thẻ, đồng thời thực
hiện việc thanh toán cuối cùng với chủ thẻ.


Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

8


Các hệ thống thanh toán điện tử
Merchant - Người bán hay Cơ sở chấp nhận thẻ là các thành phần kinh doanh hàng hố và
dịch vụ có ký kết với Ngân hàng thanh toán về việc chấp nhận thanh toán thẻ như: nhà hàng,
khách sạn, cửa hàng... Các đơn vị này phải trang bị máy móc kỹ thuật để tiếp nhận thẻ thanh toán
tiền mua hàng hoá, dịch vụ, trả nợ thay cho tiền mặt.
Acquirer - Ngân hàng đại lý hay Ngân hàng thanh toán là Ngân hàng trực tiếp ký hợp
đồng với cơ sở tiếp nhận và thanh toán các chứng từ giao dịch do cơ sở chấp nhận thẻ xuất trình.
Một Ngân hàng có thể vừa đóng vai trị thanh tốn thẻ vừa đóng vai trị phát hành.
Cardholder - Chủ thẻ hay Người mua là Là người có tên ghi trên thẻ được dùng thẻ để chi
trả thanh tốn tiền mua hàng hố, dịch vụ. Chỉ có chủ thẻ mới có thể sử dụng thẻ của mình mà
thơi. Mỗi khi thanh toán cho các cơ sở chấp nhận thẻ về hàng hoá dịch vụ hoặc trả nợ, chủ thẻ
phải xuất trình thẻ để nơi đây kiểm tra theo qui trình và lập biên lai thanh tốn.
Bulletin board - Còn gọi là danh sách báo động khẩn cấp, là một danh sách liệt kê những
số thẻ không được phép thanh tốn hay khơng được phép mua hàng hóa, dịch vụ. Đó là những
thẻ tiêu dùng quá hạn mức, thẻ giả mạo đang lưu hành, thẻ bị lộ mật mã cá nhân (PIN), thẻ bị
mất cắp, thất lạc, thẻ bị loại bỏ... Danh sách được cập nhật liên tục và gởi đến cho tất cả các
Ngân hàng thanh toán để thông báo kịp thời cho cơ sở chấp nhận.
Credit limt - Hạn mức tín dụng được hiểu là tổng số tín dụng tối đa mà Ngân hàng phát
hành thẻ cấp cho chủ thẻ sử dụng đối với từng loại thẻ.
Card account - Tài khoản thẻ là tài khoản được mở riêng cho việc sử dụng và thanh toán
thẻ của chủ thẻ.
Personal Identificate Number - Số PIN là mã số cá nhân riêng của chủ thẻ để thực hiện
giao dịch rút tiền tại các máy rút tiền tự động. Mã số này do Ngân hàng phát hành thẻ cung cấp
cho chủ thẻ khi phát hành. Đối với mã số PIN, người chủ thẻ phải giữ bí mật, chỉ một mình mình
biết.

BIN (Bank Identificate Number) - Là mã số chỉ Ngân hàng phát hành thẻ. Trong hiệp hội
thẻ có nhiều ngân hàng thành viên, mỗi ngân hàng thành viên có một mã số riêng giúp thuận lợi
trong thanh toán và truy xuất.
Statement date - Ngày sao kê là ngày ngân hàng phát hành thẻ lập các sao kê về khoản chi
tiêu mà chủ thẻ phải thanh toán trong tháng.
Due date - Ngày đáo hạn là ngày mà ngân hàng phát hành qui định cho chủ thẻ thanh tốn
tồn bộ hay một phần trong giá trị sao kê trên.
Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

9


Các hệ thống thanh toán điện tử
PSP (Processing Service Provider) - là nhà cung cấp dịch vụ xử lý thanh toán qua mạng.
Merchant Account - là tài khoản thanh toán của các doanh nghiệp khi tham gia TMĐT
mà nó cho phép chuyển tiền vào tài khoản của doanh nghiệp hay hoàn trả lại tiền thu được cho
khách hàng, nếu giao dịch bị hủy bỏ vì khơng đáp ứng được những yêu cầu thỏa thuận nào đó
giữa người bán và người mua (chẳng hạn như chất lượng sản phẩm) thông qua bán hàng hoá
hoặc dịch vụ trên mạng Internet. Merchant Account phải được đăng ký tại các ngân hàng/ tổ
chức tín dụng cho phép doanh nghiệp nhận được các khoản thanh tốn bằng thẻ tín dụng.
Monthly fee - Phí trả tháng Đây là phí mà doanh nghiệp phải trả cho những khoản liên
quan đến dịch vụ chẳng hạn như: bảng kê (ghi những số tiền nhập & xuất ở tài khoản của doanh
nghiệp trong một khoảng thời kỳ nhất định: hàng tháng, hàng tuần ...), phí truy cập mạng, phí
duy trì dịch vụ thanh tốn qua mạng, ...
Transaction fee - Phí giao dịch là phần phí mà doanh nghiệp phải trả cho trung tâm xử lý
thẻ tín dụng qua mạng Internet. Thông thường từ 30 - 50 cent cho mỗi giao dịch.
Discount rate - Phí chiết khấu. Phần giá trị mà doanh nghiệp phải trả cho Ngân hàng thanh
tốn (Acquirer). Thơng thường mức phí này chiếm từ 2,5% đến 5% tổng giá trị thanh tốn qua
thẻ tín dụng. Phí chiết khấu được tính dựa vào kiểu kinh doanh hàng hố, dịch vụ trên mạng của
Doanh nghiệp và các yếu tố khác (chất lượng hàng hố, dịch vụ, loại thẻ tín dụng ...)

ClearingHouse (Processing Center) - Trung tâm xử lý hay ClearingHouse là nơi thực
hiện quá trình xác minh và cân đối tài khoản.
Stored value payments systems - là hệ thống mà các tài khoản được tạo ra bằng cách đặt
cọc tiền vào trong một tài khoản, tiền có thể được được trả hoặc rút khi cần
Accumulating balance payment systems - là hệ thống mà các tài khoản mà các khoản chi
tiêu được tích luỹ và người tiêu dùng chi trả một cách định kỳ.
Digital Cash - tiền điện tử tạo ra một dạng tiền tệ riêng có thể sử dụng trong các Website
thương mại.
Online store value systems - là các hệ thống dựa trên cách thức thanh toán trước
(prepayment) thẻ ghi nợ (debit card) hay tài khoản séc (checking account) để tạo ra giá trị trong
một tài khoản có thể sử dụng cho mua bán trong thương mại điện tử.

Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

10


Các hệ thống thanh toán điện tử
Digital accumulating balance payment systems - hệ thống thanh tốn cân đối tích luỹ là các hệ thống tích luỹ các thanh tốn nhỏ và yêu cầu người sử dụng thanh toán định kỳ. Các hệ
thống này đặc biệt phù hợp với sử lý thanh toán nhỏ cho các tài khoản điện tử.
Digital credit accounts - Các tài khoản tín dụng điện tử - mở rộng chức năng trực tuyến
của các hệ thống thanh tốn thẻ tín dụng.
Digital checking systems - Các hệ thống séc số tạo ra các séc điện tử (digital checks) cho
tiền trả trong thương mại điện tử và mở rộng chức năng của các hệ thống ngân hàng.

Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

11



Các hệ thống thanh toán điện tử

CHƯƠNG

2
CƠ SỞ CHO CÁC
THANH TỐN ĐIỆN TỬ
2.1. Các hiểm hoạ đối với an tồn thương mại điện tử
Để xem xét các yêu cầu an toàn thương mại điện tử, chúng ta sẽ kiểm tra tồn bộ quy trình
thanh tốn, bắt đầu từ khách hàng và kết thúc là máy chủ thanh toán. Một hệ thống an tồn là
một hệ thống có tồn bộ các thành phần trong nó an tồn. Chẳng hạn nếu các liên kết viễn thơng
được thiết lập an tồn nhưng có biện pháp an toàn nào cho các máy khách hoặc máy chủ Web,
máy chủ thanh tốn thì chắc chắn khơng tồn tại an tồn truyền thơng. Một ví dụ khác nếu máy
khách bị nhiễm virus thì các thơng tin bị nhiễm virus có thể được chuyển tới các máy chủ web
hoặc máy chủ thanh toán. Do vậy các giao dịch an toàn chừng nào tất cả các yếu tố của hệ thống
đều an toàn. Các mục tiếp theo trong phần này sẽ trình bày về các hiểm hoạ đối với thương mại
điện tử.

2.1.1. Các hiểm hoạ với máy khách
Các trang Web càng ngày càng trở nên hấp dẫn hơn với sự hỗ trợ của nội dung động
(active content). Và khi nói đến các nội dung động người ta nói đến các chương trình được cài
vào các trang Web (một cách trong suốt đối với người dùng) và tạo ra các hoạt động. Nội dung
động được cung cấp theo một số dạng, phổ biến nhất là Applets, AtiveX controls, Java Script và
VBScript.
Nội dung động được chạy như thế nào? Rất đơn giản, chỉ cần sử dụng trình duyệt Web
xem một trang Web có chứa nội đung động, Applet được tự động tải về và chạy song song với
trang Web đang xem. Và vấn đề bắt đầu nảy sinh. Do các mô đun động được cài vào trong các
trang Web có thể hồn tồn trong suốt với người dùng; do đó bất kỳ ai cố tình muốn gây hại cho
máy khách có thể nhúng một nội dung động có hại vào các trang Web. Kỹ thuật lan truyền này
được gọi là con ngựa thành Troy. Con ngựa thành Troy là một chương trnhf ẩn trong các chương

Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

12


Các hệ thống thanh tốn điện tử
trình khác hoặc trong các trang Web. Con ngựa thành Troy có thể thâm nhập vào máy tính và gửi
các thơng tin bí mật ngược trở lại. Nguy hiểm hơn, chương trình có thể sửa đổi và xố bỏ thơng
tin trên một máy khách.
Việc đưa nội dung động vào trang các trang Web thương mại điện tử gây ra một số rủi ro.
Các chương trình gây hại có thể được phát tán qua các trang Web, phát hiện ra số thẻ tín dụng,
tên người dùng và mật khẩu. Những thông tin này thường được lưu trong một tập tin đặc biệt,
các tệp này được gọi là cookie (các khai báo yêu cầu). Nhiều nội dung động gây hại có thể lan
truyền thơng qua các cookie, chúng có thể phát hiện được nội dung trong cookie của máy khách
hoặc thậm chí xố bỏ các thơng tin đó.

2.1.2. Các hiểm hoạ đối với kênh truyền thơng
Các chuyên gia phân chia hiểm hoạ với kênh truyền thông ra 3 loại: loại đảm bảo tính bí
mật (secrecy), loại đảm bảo tính tồn vẹn (integrity), loại đảm bảo tính sẵn sàng (necessity).
Trong đó:


Tính bí mật ngăn chặn việc khám phá trái phép dữ liệu và đảm bảo xác thực nguồn
gốc dữ liệu.



Tính tồn vẹn ngăn chặn sửa đổi trái phép dữ liệu.




Tính sẵn sàng ngăn chặn, khơng cho phép làm ngưng trễ dữ liệu và chống chối bỏ.

Các mối hiểm hoạ đối với tính bí mật
Đe doạ tính bí mật là một trong những mối hiểm hoạ hàng đầu và rất phổ biến. Kế tiếp theo
tính bí mật là tính riêng tư. Đảm bảo tính bí mật là ngăn chặn khám phá trái phép thơng tin. Đảm
bảo tính riêng tư là bảo vệ các quyền cá nhân trong việc chống khám phá. Ví dụ trong dịch vụ
thư điện tử: bằng cách sử dụng kỹ thuật mã hố các thơng báo thư tín điện tử có thể chống lại các
xâm phạm tính bí mật; cịn tính riêng tư: có cho phép người của công ty cung cấp dịch vụ được
đọc và sử dụng các nội dung trong thông tin thư điện tử hay không.
Khi người dùng đưa các thông tin về thẻ tín dụng lên Web, một đối tượng có chủ tâm xấu
có hể ghi lại các gói thơng tin (xâm phạm tính bí mật) một cách khơng mấy khó khăn. Một phần
mềm đặc biệt gọi là chương trình đánh hơi (sniffer) đưa ra các cách móc nối vào Internet và ghi
lại các thông tin đi qua thiết bị định tuyến trên đường đi từ nguồn tới đích. (Tương tự với việc
móc thêm một đường điện thoại và thi lại cuộc hội thoại). Các chương trình đánh hơi có thể đọc
các thơng báo thư tín điện tử cũng như các thông tin thương mại điện tử.
Để tránh việc xâm phạm tính bí mật là một việc rất khó. Chẳng hạn có những trang Web
chuyên làm nhiệm vụ thu thập các trang Web đề mô, ghi vào nhật ký URL các trang Web mà
Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

13


Các hệ thống thanh toán điện tử
người sử dụng vừa đến vì việc này giúp cho người quản lý Web xác định luông thông tin đã tới
trang Web. Tuy nhiên chính việc ghi lại này các trang Web đã vi phạm tính bí mật của khách
hàng.
Một biện pháp bảo đảm tính bí mật phổ biến là sử dụng các trang Web có cung cấp dịch vụ
“trình duyệt ẩn danh”. Ví dụ trang Web có tên Anonymizer đóng vai trị như một bức tường lửa
và che dấu thông tin cá nhân. Nó tránh làm lộ bằng cách đặt địa chỉ Anonymizer vào phần trước

của các địa chỉ URL bất kỳ. Lưới chắn này chỉ cho phép các site khác biết thông tin về Web site
đến là Anonymizer mà khơng biết gì về khách hàng. Ví dụ khi duyệt trang vnexpress.net thì
anonymizer sẽ đưa ra địa chỉ như sau:
http:// www.anonymizer.com: 8080/

Các hiểm hoạ đối với tính tồn vẹn
Mối hiểm hoạ đối với tính tồn vẹn tồn tại khi một thành viên trái phép có thể sửa đổi các
thơng tin trong một thơng báo. Các giao dịch khơng được bảo vệ, ví dụ tổng số tiền gửi được
chuyển đi trên Internet, là chủ thể của xâm phạm tính tồn vẹn. Khơng giống hiểm hoạ với tính
bí mật (người xem đơn giản chỉ muốn xem thơng tin), các hiểm hoạ đối với tính tồn vẹn gây ra
là sự thay đổi các hoạt động của một cá nhân hoặc một công ty, do nội dung truyền thông đã bị
sửa đổi.
Phá hoại điều khiển (Cyber vadalism) là một ví dụ về xâm phạm tính tồn vẹn. Phá hoại
điều khiển có thể phá huỷ một trang Web đang tồn tại. Giả mạo (Masquerading) hoặc đánh lừa
(Spoofing) là một trong những cách phá hoại Website. Bằng cách sử dụng một kẽ hở trong máy
chủ tên miền (DNS), thủ phạm có thể thay thế vào đó các địa chỉ Website giả mạo.

Các hiểm hoạ đối với tính sẵn sàng
Mục đích của các hiểm hoạ đối với tính sẵn sàng là phá vỡ q trình xử lý thơng thường
của máy tính, hoặc chối bỏ tồn bộ q trình xử lý. Một máy tính khi vấp phải hiểm hoạ này, q
trình xử lý thường bị chậm lại với một tốc độ khó chấp nhận. Ví dụ nếu tốc độ xử lý của máy rút
tiền tự động từ 1 giây, 2 giây lên đến 30 giây thậm chí hàng phút thì người sử dụng sẽ không
muốn sử dụng các máy này nữa. Việc trì hỗn sẽ có thể khiến cho khách hàng chuyển sang các
Website thương mại của đối thủ cạnh tranh. Kiểu tấn cơng đối với tính sẵn sàng làm cho các dịch
vụ cung cấp trở nên kém hấp dẫn và khơng cịn hữu ích. Rõ ràng một tờ báo mang tính thời sự sẽ
trở nên vơ nghĩa hay chẳng có giá trị gì với mọi người nếu nó đưa ra các tin tức đã xảy ra 3 ngày
trước đó.

Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội


14


Các hệ thống thanh toán điện tử

2.1.3. Các hiểm hoạ đối với máy chủ
Máy chủ là liên kết thứ 3 trong bộ ba máy: khách – Internet – máy chủ, bao gồm đường
dẫn thương mại điện tử từ một người sử dụng đến một máy chủ thương mại. Máy chủ có các
điểm yếu dễ bị tấn cơng và một đối tượng nào đó có thể lợi dụng những điểm yếu này để phá huỷ
hoặc thu thập thông tin một cách trái phép. Một điểm truy nhập là máy chủ Web và các phần
mềm của nó. Các điểm truy nhập khác là các chương trình phụ trợ có chứa dữ liệu, ví dụ như
một cơ sở dữ liệu và máy chủ của nó. Các điểm truy nhập nguy hiểm có thể là các chương trình
giao diện chung (CGI) hoặc là các chương trình tiện ích được cài vào máy chủ. Khơng một hệ
thống nào được coi là an toàn tuyệt đối, chính vị vậy người quản trị máy chủ thương mại cần
phải đảm bảo rằng các chính sách an tồn đã được đưa ra có khả năng kiểm sốt tất cả các phần
của một hệ thống thương mại điện tử.

2.1.4. Các hiểm hoạ đối với máy chủ Web
Phần mềm máy chủ Web được thiết kế để chuyển các trang Web cho cáy yêu cầu của
HTTP. Các phần mềm máy chủ Web ít gặp rủi ro, nó được thiết kế với dịch vụ Web và đảm bảo
mục đích thiết kế chính. Một máy chủ Web có thể dàn xếp tính bí mật nếu nó giữ các danh sách
thư mục tự động được lựa chọn thiết lập mặc định. Xâm phạm tính bí mật xảy ra khi một trình
duyệt Web có thể phát hiện ra tên danh mục của một máy chủ. Ví dụ khi truy nhập thường thì
trang web ngầm định là index.html. Nếu tập này khơng có trong thư mục người truy cập có thể
lựa chọn vào các danh mục mà không bị giới hạn.
Một số trang Web yêu cầu thiết lập lại tên người dùng và mật khẩu cho từng trang trong
vùng nội dung quan trọng. Cách thích hợp nhất để nhớ tên người dùng và mật khẩu là lưu giữ
các thơng tin bí mật người sử dụng trong một Cookie có trên máy người này. Theo cách này một
máy chủ Web có thể yêu cầu xác nhận dữ liệu, bằng cách yêu cầu máy tính gửi cho một Cookie.
Vấn đề rắc rối xảy ra là các thơng tin có trong một cookie có thể được truyền đi khơng an tồn và

một đối tượng có thể nghe trộm hoặc sao chép. Với tình huống này, máy chủ Web cần yêu cầu
truyền cookie an toàn.
Một trong những tệp nhạy cảm nhất trên máy chủ Web (nếu tồn tại) chứa mật khẩu và tên
người dùng máy chủ Web. Nếu tệp này bị khám phá, bất kỳ ai cũng có thể xâm nhập vào vùng
có thẩm quyền bằng cách giả mạo một người nào đó. Do có thể giả danh để lấy được các mật
khẩu và tên người dùng nên các thông tin liên quan đến người sử dụng khơng cịn bí mật nữa.
Hầu hết các máy chủ Web lưu giữ bí mật các thông tin xác thực người dùng. Người quản trị máy

Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

15


Các hệ thống thanh tốn điện tử
chủ Web có nhiệm vụ đảm bảo rằng máy chủ Web được chỉ dẫn áp dụng các cơ chế bảo vệ đối
với dữ liệu.
Những mật khẩu (người dùng chọn) cũng là một điểm yếu dễ bị tấn công. Đôi khi, người
sử dụng chọn các mật khẩu dễ đốn, vì chúng có thể là tên thời con gái của mẹ, tên của một
trong số các côn, số điện thoại, hoặc số hiệu nhận dạng của người đó. Người ta gọi việc đốn
nhận mật khẩu thơng qua một chương trình lặp sử dụng từ điển điện tử là tấn công từ điển. Một
khi đã biết được mật khẩu của người dùng, bất kỳ ai cũng có thể truy nhập vào một máy chủ mà
không bị phát hiện trong một khoảng thời gian dài.

2.2. Bảo vệ các kênh truyền thông
Như đã đề cập ở trên, bảo vệ các kênh truyền thơng là một phần khó nhất cũng là phần
quan trọng nhất trong an toàn thương mại điện tử. Khó có thể có một ngày mà các báo, tạp chí
khơng đăng tin về các vụ tấn cơng trên Internet, truy nhập vào một hệ thống máy tính thơng qua
các kênh truyển thơng khơng an tồn. Việc cung cấp kênh thanh tốn an tồn cũng đồng nghĩa
với việc đảm bảo tính tồn vẹn của thơng báo và tính sẵn sàng của kênh. Thêm vào đó một kế
hoạch an tồn đầy đủ còn bao gồm cả xác thực, đảm bảo rằng người đang sử dụng máy tính đúng

là người mà họ nhận.
Một biện pháp cơ bản nhất trong bảo vệ các kênh truyền thơng là mã hố.
Mã hố là q trình mã các thơng tin, bằng cách sử dụng một phương pháp tốn học và
một khố bí mật để sinh ra một chuỗi các ký tự khó hiểu. Thực chất là việc che dấu các thông
báo, chỉ người gửi và người nhận có thể đọc nó. Khoa học nghiên cứu mã hố được gọi là mật
mã.
Mật mã khơng cố gắng che dấu văn bản, nó chuyển đổi văn bản sang dạng chuỗi ký tự,
chúng ta có thể nhìn được nhưng khơng hiểu nghĩa của nó. Một chuỗi ký tự khó hiểu được sinh
ra bằng cách kết hợp các bit, tương tự với các ký tự trong bảng chữ cái hoặc số, tạo thành một
thơng báo có vẻ như được lắp ráp ngẫu nhiên.
Chương trình chuyển đổi văn bản rõ sang văn bản mã được gọi là chương trình mã hố.
Các thơng báo được mã hố ngay trước khi chúng được gửi đi qua mạng. Khi tới đích chủ định,
chương trình giải mã sẽ chuyển đổi văn bản mã thành văn bản rõ ban đầu. Chương trình mã hố
và logic sau chúng gọi là thuật toán mã hoá là một yếu tố cực kỳ quan trọng. Biết được tầm quan
trọng của một số thuật tốn, chính phủ Mỹ đã đã ngăn cấm việc công bố rộng rãi và chi tiết đối
với chúng. Hiện tại việc xuất khẩu một số thuật toán được xem là bất hợp pháp. Điều này đã ảnh

Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

16


Các hệ thống thanh toán điện tử
hưởng đến một số công ty của Mỹ cung cấp các phần mềm mã hố hoặc phần mềm có chứa phần
mềm mã hố.
Một thuộc tính hấp dẫn và cần thiết của các thuật tốn hoặc các chương trình mã hố là
một người có thể biết chi tiết chương trình mã hố hoặc thuật tốn nhưng vẫn khơng có khả năng
giải mã thơng báo nếu khơng biết khố được sử dụng trong q trình mã hoá. Độ dài tối thiểu
của một khoá là 40 bits, nó có thể dài hơn, chẳng hạn 128 bits, sẽ đảm bảo và an tồn hơn nhiều.
Với một khố đủ dài thì các thơng báo sẽ khó bị phát hiện.


2.3. Phân loại mã hố
Kiểu của khố và chương trình mã hố được sử dụng để “giữ bí mật” một thơng báo được
chia làm 3 loại:


Mã băm



Mã hố đối xứng



Mã hố cơng khai

Mã băm là một q trình sử dụng thuật tốn băm để tính tốn một số, được gọi là giá trị
băm, từ một thơng báo có độ dài bất kỳ. Nó chính là “dấu vân tay” của một thơng báo vì nó gần
như là duy nhất với mỗi thơng báo. Do sinh ra các thuật toán băm chất lượng tốt, khả năng xảy ra
tình trạng hai thơng báo khác nhau có cùng kết quả băm là vơ cùng nhỏ. Mã hố kết quả băm là
một cách thích hợp để phát hiện nếu thông báo bị sửa đổi trong quá trình chuyển tiếp, bởi vì giá
trị băm ban đầu và giá trị băm mà người nhận tính tốn được sẽ khơng trùng khớp nếu thơng báo
bị sửa đổi.
Mã hóa đối xứng (mã hoá khoá riêng) chỉ sử dụng một khoá số, chẳng hạn như
87697988997, để mã hoá và giải mã dữ liệu. Do sử dụng chung một khố bí mật, cả người gửi và
người nhận đều phải biết khoá này. Việc mã hố và giải mã thơng báo sử dụng mã hoá đối xứng
là rất nhanh và hiệu quả. Tuy nhiên, khoá phải được lưu giữ cẩn thận. Nếu khoá bị lộ, tất cả các
thơng báo trước đó đều bị lộ và cả người gửi lẫn người nhận phải sử dụng khố mới cho các cuộc
truyền thơng tiếp theo. Q trình phân phối khố mới cho các thành viên là rất khó khăn. Một
vấn đề nảy sinh đối với mã hoá đối xứng cho mã hoá đối xứng là chúng khơng thích hợp cho các

mơi trường lớn, chẳng hạn trên Internet. Do mỗi cặp thành viên truyền thông trên Internet phải
có một khố bí mật thì khi họ muốn trao đổi thơng tin với nhau một cách an tồn số lượng khoá
cần sẽ là rất lớn, giống như các đường dây điện thoại riêng khơng có chuyển mạch. Với N thành
viên tham gia chúng ta cần có tổ hợp C(2,N) khố bí mật. Ví dụ nếu 12 người muốn truyền thơng
với nhau, chúng ta cần có 66 khố bí mật.
Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

17


Các hệ thống thanh toán điện tử
Với mã hoá phi đối xứng (mã hố cơng khai), việc mã hố và giải mã các thông báo được
thực hiện bằng cách sử dụng một cặp khoá. Năm 1977, Ronald River, Adi Shamir và Leonard
Adleman đã phát minh ra hệ khóa cơng khai RSA ( lấy các chữ cái đầu tiên trong tên của các tác
giả đặt cho thuật toán). Trong hệ mật này, một khoá trong cặp khoá (được gọi là khoá công khai)
được phân phối công khai cho bất kỳ ai muốn truyền thơng an tồn với người giữ cặp khố.
Khố cơng khai được sử dụng để mã hố các thơng báo. Khoá thứ hai (được gọi là khoá riêng)
được người sở hữu lưu giữ bí mật. Người sở hữu này sử dụng khoá riêng sử dụng các khoá riêng
để giải mã các thơng báo nhận được. Nói chung, một hệ mật làm việc như sau: nếu Bob muốn
gửi một thông báo tới Alice, anh ta cần có khố cơng khai của Alice. Sau đó, anh ta mã hố
thơng báo định gửi cho Alice với khố cơng khai của cơ. Một khi thơng báo được mã hố, chỉ có
Alice mới có thể đọc được thơng báo vì chỉ mình cơ có khố riêng cùng cặp để giải mã thơng
báo. Ngược lại, Alice có thể gửi một thơng báo bí mật cho Bob sử dụng khố cơng khai của Bob,
bằng cách mã hố thơng báo với khố cơng khai của Bob. Khi nhận được thơng báo này, Bob sử
dụng khố riêng cùng cặp để giải mã và đọc nó.

2.4. Mã hố băm
Một biến thể của MAC là hàm băm. Hàm băm là hàm có đầu vào là thơng báo M có kích
thước thay đổi, đầu ra là một mã băm H(M) có kích thước cố định. Đơi khi người ta gọi đầu ra
của hàm băm là tóm lược thơng báo. Mã băm là một hàm của tất cả các bit trong thông báo, đồng

thời nó cung cấp khả năng phát hiện lỗi: nếu A tha đổi bit bất kỳ hoặc nhiều bit trong thông báo
dẫn đến kết quả là mã băm cũng thay đổi theo.
Mục đích của mã băm là tạo ra một “dấu vân tay” cho một thông báo hoặc một khối dữ
liệu. Hàm băm được sử dụng trong xác thực thông báo. Để xác thực thông báo một hàm băm H
phải bao gồm các tích chất sau đây:


H được áp dụng cho một khối dữ liệu có kích cỡ bất kỳ.



Đầu ra của H có độ dài cố định.



Dễ dàng tính tốn H(x) với mọi x cho trước



Với mọi mã h cho trước, khơng thể tìm được x sao cho H(x)=h. Đơi khi tính chất
này được gọi là tính chất một chiều.



Với mọi khối x cho trước, khơng thể tìm được y ≠ x sao cho H(y) = H(x). Đôi khi
tính chất này được gọi là tính chất va chạm yếu (khả năng trùng ít).



Khơng thể tìm được bất kỳ cặp (x,y) nào sao cho H(x) = H(y). Tính chất này được

gọi là va chạm mạnh.

Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội

18


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×