Nghiên cứu vấn đề xác thực trong hệ thống thanh toán điện tử

Tài liệu tham khảo công nghệ thông tin Nghiên cứu vấn đề xác thực trong hệ thống thanh toán điện tử

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Ngô Đức Hùng

NGHIÊN CỨU VẤN ĐỀ XÁC THỰC TRONG HỆ

THỐNG THANH TOÁN ĐIỆN TỬ

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Công nghệ thông tin

HÀ NỘI - 2009

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Ngô Đức Hùng

NGHIÊN CỨU VẤN ĐỀ XÁC THỰC TRONG HỆ

THỐNG THANH TOÁN ĐIỆN TỬ

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Các Hệ thống thông tin

Cán bộ hướng dẫn: ThS Lương Việt Nguyên

HÀ NỘI - 2009

Tóm tắt nội dung của Khóa luận tốt nghiệp

Mục đích của khóa luận là nghiên cứu và đưa ra những giải pháp khoa học chocác bài toán xác thực trong quá trình TTĐT Từ đó, đánh giá ưu nhược điểm của cácgiải pháp, chỉ rõ giải pháp nào sẽ đạt hiệu quả tối ưu đối với từng loại hình TTĐT Đốitượng nghiên cứu của khóa luận văn là các bài toán phát sinh khi TTĐT Khóa luậnnghiên cứu một cách tương đối đầy đủ các hình thức TTĐT cho đến thời điểm hiện tại.Dựa trên các kết quả đó, nêu các giải pháp tương ứng với từng bài toán cụ thể

Khóa luận tốt nghiệp nghiên cứu một cách khoa học các hình thức TTĐT hiệnđang được ứng dụng rộng rãi, đồng thời tìm hiểu cơ chế bảo mật, xác thực của các hệthống TTĐT đó, nhằm đưa ra giải pháp toàn diện để phát triển hệ thống TTĐT ở ViệtNam

MỤC LỤC

MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ DỊCH VỤ XÁC THỰC 4

1.1 Khái quát về an toàn thông tin 4

1.2 Vấn đề xác thực trong an toàn thông tin 6

1.2.1 Khái niệm 6

1.2.2 Phân loại xác thực 7

1.2.3 Các nhân tố xác thực 7

1.2.4 Xác thực mạnh nhiều yếu tố 7

1.2.5 Một vài công cụ xác thực 9

1.3 Chữ ký số - Công cụ được ứng dụng rộng dãi nhất 12

1.3.1 Khái quát về chữ ký điện tử 12

1.3.2 Vấn đề an toàn của chữ ký điện tử 13

1.3.3 Ứng dụng 14

1.4 Cơ sở hạ tầng về mật mã khóa công khai 16

CHƯƠNG 2: THANH TOÁN ĐIỆN TỬ 20

2.1 Tổng quan về TTĐT 20

2.1.1 Khái niệm chung về TTĐT 20

2.1.2 Các đặc trưng của TTĐT 21

2.2 Các mô hình TTĐT 21

2.3 Vấn đề an ninh trong TTĐT 23

CHƯƠNG 3: XÁC THỰC TRONG CÁC HỆ THỐNG THANH TOÁN ĐIỆN TỬ 24

3.1 Vai trò của xác thực trong thanh toán 24

3.2 Các phương thức thanh toán chính 24

3.3 Hoạt động xác thực diễn ra như thế nào 25

3.3.1 Card Payment 25

3.3.1.1 Phương pháp xác thực 25

3.3.1.2 Những kỹ thuật về bảo mật 26

3.3.2 e-Payment 31

3.3.2.1 Phương pháp xác thực 31

3.3.3.2 Những kỹ thuật về bảo mật 32

3.3.3.2.1 e-Banking 32

3.3.3.2.2 e-Commerce 35

3.3.3 Mobile Payment (m-Payment) 40

3.3.3.1 Phương thức xác thực 40

3.3.3.2 Những kỹ thuật về bảo mật 41

KẾT LUẬN 44

PHỤ LỤC 45

TÀI LIỆU THAM KHẢO 54

DANH MỤC CÁC BẢNG BIỂU

Hình 1 Một hệ thống xác thực sinh trắc học

Hình 2. Quá trình ký và kiểm tra chữ ký

Hình 3 Sơ đồ một hệ thống PKI

Hình 4 Mô hình kiến trúc CA phân cấp

Hình 5 Một chiếc thẻ thanh toán có gắn chip IC

Hình 6. Máy chấp nhận thẻ thanh toán POS

Hình 7. Thẻ thừ và máy đọc thẻ từ

Hình 8 Một chip an ninh có kích thước 3x5 mm được đưa vào bên trong

thẻ và được phóng lớn ra Các điểm tiếp xúc trên thẻ cho phépthiết bị điện tử có thể truy cập chip

Hình 9 Mô hình TTĐT

Hình 10 Các nhân tố tham gia vào TMĐT

Hình 11 Giao thức SSL

Hình 12 Thanh toán bằng điện thoại di động

Hình 13 Mô hình triển khai công nghệ WAP

DANH MỤC CÁC KÝ HIỆU

LỜI CÁM ƠN

Lời đầu tiên, em xin gửi lời cám ơn sâu sắc tới ThS Lương Việt Nguyên – Bộmôn Các Hệ thống thông tin – Khoa Công Nghệ Thông Tin – Trường Đại Học CôngNghệ - Đại học Quốc Gia Hà Nội, người đã hết lòng hướng dẫn, tạo điều kiện cho emtrong suốt quá trình thực hiện khóa luận

Em xin cám ơn PGS.TS Trịnh Nhật Tiến, các thầy, các cô trong trường Đại họcCông Nghệ - Đại học Quốc Gia Hà Nội đã tận tình giảng dạy chúng em, giúp đỡ độngviên chúng em từ những ngày đầu bước vào cánh cổng trường Đại học Thầy cô đã tạocho chúng em môi trường học tập, những điều kiện thuận lợi cho chúng em được họctập tốt, trang bị cho chúng em những kiến thức quý báu giúp chúng em có thể vữngbước trong tương lai

Cám ơn các bạn sinh viên K50 đã giúp đỡ, cùng nghiên cứu và chia sẻ với tôitrong suốt quá trình học Đại học và thời gian hoàn thành khóa luận

Hà Nội, 05/2009

Hệ thống TTĐT đang trở thành nhu cầu phát triển và điều kiện để Việt Nam hộinhập với thế giới Tuy nhiên, do chưa nắm rõ các kiến thức về chứng thực số và côngnghệ trong hệ thống thanh toán trực tuyến, nhiều doanh nghiệp, tổ chức, vẫn tỏ ra thậntrọng và chưa triển khai hệ thống này.

Thực tế cho thấy những nước có nền TMĐT phát triển là những nước đã xâydựng được một cơ sở hạ tầng thanh toán khá hoàn thiện Và trong tất cả các phươngthức thanh toán, ngân hàng luôn ở vị trí trung tâm với vai trò là nhà cung cấp trực tiếpdịch vụ hoặc tổ chức trung gian hỗ trợ hệ thống TTĐT

Giám đốc trung tâm CNTT BIDV đưa ra con số minh chứng cho thói quen sửdụng tiền mặt của người dân VN: 4 triệu người dân Singapore sở hữu 30 triệu thẻ cácloại (ATM, tín dụng, ghi nợ ); còn tại Việt Nam, 85 triệu người dân mới có 6,2 triệuthẻ và khoảng 10 triệu tài khoản Do thiếu sự kết nối tổng thể giữa các ngân hàng,khách hàng và nhà cung cấp dịch vụ, hàng hóa khiến người tiêu dùng chưa mạnh dạntham gia cũng như thụ hưởng các tiện ích từ TTĐT (TTĐT)

Đối với mạng lưới thanh toán thẻ của ngân hàng, hiện vẫn tồn tại tới ba liên minh(liên minh của Vietcombank, hệ thống kết nối giữa ANZ và Sacombank, và hệ thốngcủa ngân hàng Đông Á) Do đó, nếu người mua và người bán có tài khoản ở nhữngngân hàng hoặc liên minh khác thì việc TTĐT gần như không thực hiện được tronggiao dịch thương mại trực tuyến

Thực tế, các ngân hàng và nhà cung cấp đang rất chủ động trong việc đưa ra cácphương thức thanh toán Chẳng hạn, Pacific Airlines (hiện nay là Jetstar Pacific) hợptác với một số tổ chức cho phép TTĐT đối với các thẻ tín dụng quốc tế hoặc thẻ ghi nợnội địa của VCB; Techcombank hợp tác với chodientu.vn cung cấp dịch vụ thanh toántrực tuyến đối với các khách hàng của Techcombank khi mua hàng trên website này Tuy nhiên, đó chỉ là những giải pháp được triển khai trong một phạm vi hẹp TTĐT ở

VN đang có sự giao thoa, mỗi bên (ngân hàng và nhà cung cấp) đều chủ động đưa ranhững giải pháp riêng mà thiếu vai trò chỉ huy của NHNN Trong khi các ngân hàng

nỗ lực mở rộng điểm chấp nhận thanh toán bằng thẻ tín dụng, thì các nhà cung cấpcũng chủ động khắc phục bằng những giải pháp tình thế là đàm phán với từng ngânhàng để thiết lập hệ thống cho phép khách hàng thanh toán bằng cách sử dụng thẻ dongân hàng phát hành hoặc khấu trừ thẳng vào tài khoản ngân hàng (như trường hợpcủa các doanh nghiệp kể trên)

Mô hình của các nước trên thế giới là xây dựng một trung tâm chuyển mạch tàichính ở tầm quốc gia với nhiệm vụ chuyển mạch kết nối giao dịch thanh toán giữa cácbên khác nhau, xử lý thanh toán bù trừ và quyết toán giá trị thanh toán Ngoài ra, cómột số cổng thanh toán Các cổng này có thể do một số công ty tư nhân xây dựng đểcung cấp dịch vụ

Sau một thời gian, công ty Chuyển Mạch Tài Chính Quốc Gia Banknet đã chínhthức ra mắt Mục tiêu của Banknetvn là kết nối các hệ thống thanh toán thẻ của cácngân hàng ở VN, tạo thành một hệ thống thanh toán thẻ chung cho quốc gia và kết nốivới các tổ chức thẻ quốc tế Hoạt động của Banknet hoàn toàn khác với các liên minhthẻ đang tồn tại ở chỗ, các liên minh thẻ thực chất là sự thỏa thuận của một số ngânhàng với nhau, thường do một ngân hàng đã đi trước một bước về hệ thống thẻ, nghiệp

vụ thẻ đứng ra chủ trì, các ngân hàng khác sẽ tham gia theo sự chủ trì đó và chịu ảnhhưởng chi phối của ngân hàng chủ trì Còn Banknet tạo ra một hệ thống nền tảng côngnghệ và dịch vụ chuyển mạch kết nối dùng chung, một sân chơi bình đẳng cho tất cảcác ngân hàng tham gia kết nối

Gần đây NHNN đã quan tâm nhiều hơn đến vấn đề này qua việc ban hành cácquy chế, chuẩn mực về thanh toán thẻ, chỉ đạo và hỗ trợ Banknetvn hoạt động và pháttriển theo hướng thực sự là trung tâm chuyển mạch thanh toán của quốc gia, tổ chứccác hội thảo nghiên cứu về giải pháp trung tâm thanh toán tối ưu Với những chuyểnbiến tích cực kể trên, hy vọng những vướng mắc trong TTĐT sẽ dần được gỡ bỏ

Dịch vụ TMĐT ở Việt Nam chỉ có thể chia thành ba loại: Các website rao vặtđáp ứng nhu cầu mua bán của các cá nhân, các website của doanh nghiệp để quảng cáosản phẩm và chăm sóc khách hàng và các cửa hàng điện tử (e-store) Điều này cónghĩa TMĐT Việt Nam hiện chỉ phát triển mạnh ở khâu cung cấp thông tin (quảngcáo, đưa thông tin lên website ) chứ chưa đẩy mạnh được khâu thanh toán Số lượngmặt hàng được bày bán trực tuyến cũng còn ít; ngoài ra, việc thanh toán chủ yếu vẫn làthu tiền trực tiếp

Phương pháp nghiên cứu chính của khóa luận là tìm hiểu các bài báo khoa học,các mô hình thanh toán trực tuyến lớn trên thế giới, tìm hiểu về mô hình và thực trạng

về an ninh, an toàn thông tin, để từ đó đưa ra giải pháp ứng dụng xác thức phù hợp

Nội dung của khóa luận văn gồm có phần mở đầu, ba chương nội dung và phầnkết luận:

Chương 1: Tổng quan về an toàn thông tin và dịch vụ xác thực

Giới thiệu những khái niệm cơ bản nhất về lĩnh vực an toàn thông tin, các công

cụ xác thực được sử dụng trong ngành khoa học này

Chương 2: Thanh toán điện tử

Giới thiệu tổng quát về thanh toán, các hình thức thanh toán, đặc điểm và vấn đề

an ninh, bảo mật trong các hình thức thanh toán hiện nay

Chương 3: Vấn đề xác thực trong các hệ thống TTĐT

Giới thiệu chi tiết các hệ thống TTĐT đang và sẽ được ứng dụng trên toàn thếgiới, nghiên cứu và đưa ra những giải pháp xác thực tốt nhất cho các hệ thống thanhtoán trực tuyến

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ

DỊCH VỤ XÁC THỰC

Có thể kết luận rằng, trên thế giới hiện nay, nhu cầu về TMĐT rất phổ biến,nhưng các vấn đề hạ tầng trong TTĐT vẫn chưa được giải quyết tương xứng và đápứng được các đòi hỏi đặt ra Việc nghiên cứu xây dựng các hệ thống TTĐT để đảmbảo an toàn thông tin trong các dịch vụ TMĐT là một hướng nghiên cứu rất cần thiếthiện nay

Việc xây dựng các hệ thống TTĐT về mặt kỹ thuật chính là ứng dụng các thànhtựu của lý thuyết mật mã Các mô hình thanh toán sử dụng các giao thức mật mã đượcxây dựng để đảm bảo an toàn cho việc giao dịch thông tin giữa các bên tham gia

1.1 Khái quát về an toàn thông tin

Với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông tin củadoanh nghiệp như chiến lược kinh doanh, các thông tin về khách hàng, nhà cung cấp,tài chính, mức lương nhân viên,…đều được lưu trữ trên hệ thống máy tính Cùng với

sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinhdoanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượngkhác nhau qua Internet hay Intranet Việc mất mát, rò rỉ thông tin có thể ảnh hưởngnghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng

Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thểdẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tincủa doanh nghiệp

An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khảnăng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tácđộng đến độ an toàn của hệ thống là nhỏ nhất Hệ thống có một trong các đặc điểm sau

là không an toàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền truynhập tìm cách lấy và sử dụng (thông tin bị rò rỉ) Các thông tin trong hệ thống bị thaythế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn)

Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ

có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảmbảo hoạt động đúng đắn Mục tiêu của an toàn bảo mật trong công nghệ thông tin là

đưa ra một số tiêu chuẩn an toàn Ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặcgiảm bớt các nguy hiểm Do kỹ thuật truyền nhận và xử lý thông tin ngày càng pháttriển đáp ứng các yêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào

đó Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng Khi đánh giá độ

an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cáchgiảm tối thiểu rủi ro Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quátrình kiểm tra chất lượng

Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toànthông tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra các chính sách

và phương pháp đề phòng cần thiết Các dịch vụ an toàn thông tin cung cấp các giảipháp an toàn cho máy tính và các kết nối Bao gồm:

Đảm bảo tính bí mật (Confidentiality): Thông tin không thể bị truy nhập trái

phép bởi những người không có thẩm quyền

Đảm bảo tính toàn vẹn (Integrity): Thông tin không thể bị sửa đổi, bị làm giả

bởi những người không có thẩm quyền

Đảm bảo tính xác thực (Authentication): Xác thực đúng nguồn gốc thông tin và

người cung cấp thông tin

Đảm bảo việc chống chối cãi (Non-repudiation): Thông tin được cam kết về

mặt pháp luật của người cung cấp

Đảm bảo tính sẵn sàng (Availability): Thông tin luôn sẵn sàng để đáp ứng sử

dụng cho người có thẩm quyền

1.2 Vấn đề xác thực trong an toàn thông tin

1.2.1 Khái niệm

Xác thực (Authentication) là một hành động nhằm thiết lập hoặc chứng thực mộtcái gì đó (hoặc một người nào đó) đáng tin cậy, có nghĩa là, những lời khai báo dongười đó đưa ra hoặc về vật đó là sự thật Xác thực một đối tượng còn có nghĩa làcông nhận nguồn gốc của đối tượng, trong khi, xác thực một người thường bao gồmviệc thẩm tra nhận dạng của họ Việc xác thực thường phụ thuộc vào một hoặc nhiều

nhân tố xác thực (authentication factors) để minh chứng cụ thể

Hình 1 Một hệ thống xác thực sinh trắc học

Trong an ninh máy tính (computer security), xác thực là một quy trình nhằm cốgắng xác minh nhận dạng số (digital identity) của phần truyền gửi thông tin (sender)trong giao thông liên lạc chẳng hạn như một yêu cầu đăng nhập Phần gửi cần phải xácthực có thể là một người dùng sử dụng một máy tính, bản thân một máy tính hoặc một

chương trình ứng dụng máy tính (computer program) Ngược lại sự tin cậy mù quáng

hoàn toàn không thiết lập sự đòi hỏi nhận dạng, song chỉ thiết lập quyền hoặc địa vịhẹp hòi của người dùng hoặc của chương trình ứng dụng mà thôi.

Trong một mạng lưới tín nhiệm, việc xác thực là một cách để đảm bảo rằngngười dùng chính là người mà họ nói họ là, và người dùng hiện đang thi hành nhữngchức năng trong một hệ thống, trên thực tế, chính là người đã được ủy quyền để làmnhững việc đó

1.2.2 Phân loại xác thực

Xác thực thực thể (Entity Authentication)

Xác thực thực thể là xác thực định danh của một đối tượng tham gia giao thứctruyền tin Thực thể hay đối tượng có thể là người dùng, thiết bị đầu cuối Tức là mộtthực thể được xác thực bằng định danh của nó đối với thực thể thứ hai trong một giaothức, và bên thứ hai đã thực sự tham gia vào giao thức

Xác thực dữ liệu (Data Authentication)

Xác thực dữ liệu là một kiểu xác thực đảm bảo một thực thể được chứng thực

là nguồn gốc thực sự tạo ra dữ liệu này ở một thời điểm nào đó, đảm bảo tính toànvẹn dữ liệu

1.2.3 Các nhân tố xác thực

Những nhân tố xác thực (authentication factors) dành cho con người nói chungđược phân loại theo ba trường hợp sau:

Những cái mà người dùng sở hữu bẩm sinh (Something the user is): chẳng

hạn, vết lăn tay hoặc mẫu hình võng mạc mắt, chuỗi DNA, mẫu hình về giọng nói, sựxác minh chữ ký, tín hiệu sinh điện đặc hữu do cơ thể sống tạo sinh (unique bio-electric signals), hoặc những biệt danh sinh trắc (biometric identifier)

Những cái gì người dùng có (Something the user possesses): chẳng hạn, chứng

minh thư (ID card), chứng chỉ an ninh (security token), chứng chỉ phần mềm (softwaretoken) hoặc điện thoại di động (cell phone)

Những gì người dùng biết (Something the user knows): chẳng hạn, mật khẩu,

mật khẩu ngữ (pass phrase) hoặc số định danh cá nhân (PIN)

1.2.4 Xác thực mạnh nhiều yếu tố

Hình thức xác thực dựa vào những gì thực thể biết (mã định danh PIN, mậtkhẩu ) bộc lộ nhiều hạn chế, vì trí nhớ của con người là có hạn, không thể cùng một

lúc nhớ được quá nhiều thông tin Hơn thế nữa, những thứ mà người dùng biết để đăngnhập hệ thống là những thứ được sử dụng lại nhiều lần mỗi khi xác thực, có thể vì một

lý do nào đó thông tin này bị nghe trộm hay lộ ra ngoài và kẻ xấu rất dễ lợi dụngnhững sơ hở đó để giả danh người dùng nhằm thực hiện những hành vi bất hợp pháp.Những hệ thống xác thực như vậy được gọi là xác thực yếu, cần phải có một giải pháp

an toàn hơn việc sử dụng đi sử dụng lại nhiều lần một cách đăng nhập Một tổ hợp củanhững phương pháp trên được kết hợp để sử dụng, chẳng hạn, thẻ ngân hàng kết hợpvới số định danh cá nhân PIN Trong những trường hợp này, thuật ngữ được dùng là

xác thực hai nhân tố (two-factor authentication)

Trong lịch sử, vết lăn tay được dùng là một phương pháp xác minh đáng tin nhất,song trong những vụ kiện tòa án gần đây ở Mỹ và ở nhiều nơi khác, người ta đã cónhiều nghi ngờ có tính chất căn bản, về tính đáng tin cậy của dấu lăn tay Nhữngphương pháp sinh trắc khác được coi là khả quan hơn (quét võng mạng mắt và quét vếtlăn tay là vài ví dụ), song có những bằng chứng chỉ ra rằng những phương pháp nàytrên thực tế dễ bị giả mạo

Trong ngữ cảnh của dữ liệu máy tính, nhiều phương pháp mật mã đã được xâydựng như chữ ký số và phương pháp xác thực bằng thử thách-trả lời (challenge-response authentication) Đây là ví dụ về vấn đề không thể giả mạo được nếu chìakhóa của người khởi thủy không bị thỏa hiệp Rằng việc người khởi thủy hay bất cứ aingoài kẻ tấn công biết (hoặc không biết) về một sự thỏa hiệp nào đấy là một việcchẳng có dính dáng gì hết Không ai có thể chứng minh được những phương pháp xácthực dùng mật mã này có an toàn hay không, vì có thể những tiến triển trong toán họckhông lường trước được có thể làm cho chúng, sau này, trở nên dễ bị phá vỡ Nếu xảy

ra, thì việc này sẽ làm cho những phương pháp xác minh được dùng trong quá khứ trởnên không tin cậy Cụ thể là, một bản giao kèo được ký bằng chữ điện tử có thể sẽ bịnghi ngờ về tính trung thực của nó khi người ta phát hiện ra một tấn công mới đối với

kỹ thuật mật mã dùng trong các chữ ký

Một giải pháp được đưa ra là việc kết hợp nhiều yếu tố xác thực lại để tạo ra một

hệ thống an toàn hơn, bảo mật hơn Một hệ thống như vậy gọi là xác thực mạnh nhiềuyếu tố Khi thực thể bị lộ một vài thông tin thì kẻ gian chưa thể hoàn toàn làm chủđược hệ thống Hình thức kết hợp nhiều yếu tố lại hiển nhiên an toàn hơn hẳn so vớiviệc chỉ sử dụng một yếu tố để xác thực

1.2.5 Một vài công cụ xác thực

Username và Password

Sự kết hợp của một username và password là cách xác thực cơ bản nhất Với kiểuxác thực này, chứng từ ủy nhiệm người dùng được đối chiếu với chứng từ được lưu trữtrên CSDL hệ thống , nếu trùng khớp username và password, thì người dùng được xácthực và nếu không người dùng bị cấm truy cập Phương thức này không bảo mật lắm

vì chứng từ xác nhận người dùng được gửi đi xác thực trong tình trạng plain text, tức

không được mã hóa và có thể bị tóm trên đường truyền

Chữ ký số

Với những thỏa thuận thông thường, hai đối tác xác nhận sự đồng ý bằng cách kítay vào cuối các hợp đồng Và bằng cách nào đó người ta phải thể hiện đó là chữ kýcủa họ và kẻ khác không thể giả mạo Mọi cách sao chép trên văn bản thường dễ bịphát hiện vì bản sao có thể phân biệt được với bản gốc

Các giao dịch trên mạng cũng được thực hiện theo cách tương tự như vậy Nghĩa

là người gửi và người nhận cũng phải ký vào hợp đồng Việc ký trên các văn bảntruyền qua mạng khác với văn bản giấy bình thường bởi nội dung của văn bản đềuđược biểu diễn dưới dạng số hóa (chỉ dùng hai số 0 và 1, ta gọi văn bản này là văn bảnsố) Việc giả mạo và sao chép lại đối với văn bản số là việc hoàn toàn dễ dàng vàkhông thể phân biệt được bản gốc với bản sao Vậy một chữ ký ở cuối văn bản loạinày không thể chịu trách nhiệm đối với toàn bộ nội dung văn bản Một chữ ký thể hiệntrách nhiệm đối với toàn bộ văn bản phải là chữ ký được ký trên từng bit văn bản.Chữ ký số có thể được kiểm tra nhờ dùng một thuật toán kiểm tra công khai Nhưvậy, bất kỳ ai cũng có thể kiểm tra được chữ ký số

Chứng chỉ số

Chứng chỉ số là một “chứng nhận” khóa công khai của thực thể nào đó Nó baogồm khoá công khai của thực thể và các thông tin định danh của thực thể Hai thànhphần này gắn kết với nhau thông qua chữ ký của nhà phát hành chứng chỉ

Chứng chỉ số đảm bảo một cách chính xác đối tượng với những thông tin địnhdanh tường minh trên, nó sở hữu một khoá bí mật tương ứng Dựa vào điều kiện trên

mà đối tượng có thể truy cập vào các hệ thống xác thực, hoặc thực hiện các kết nối antoàn.

Chứng chỉ số chỉ có ý nghĩa khi nó đựơc ký bởi nhà phát hành chứng chỉ(Certificate Authority - CA) Bởi nếu không có chữ ký của nhà phát hành chứng chỉ thìkhông có mối liên hệ giữa khoá công khai của thực thể và thông tin định danh, đồngnghĩa chứng chỉ số vô giá trị Như vậy chứng chỉ số phải tồn tại trong một hệ thống mà

ở đó nhà phát hành chứng chỉ là một nhân tố quan trọng Mặt khác chứng chỉ cũng cóthời gian sử dụng nhất định nên nó cần được thu hồi khi cần thiết và trạng thái thu hồicủa chứng chỉ cũng phải được công bố rộng rãi cho toàn bộ hệ thống thông qua danhsách thu hồi chứng chỉ (CRL - Certificate Revocation List)

Trong mô hình xác thực bằng chứng chỉ Người sử dụng có thể xác thực anh tabằng cách trình cho hệ thống chứng chỉ của chính mình Thông qua chữ ký của nhàphát hành chứng chỉ trên khoá công khai và các thông tin định danh, anh ta có thểchứng minh rằng mình đang sở hữu một khoá riêng tương ứng Khoá riêng thường cógiá trị rất lớn và thường được lưu trong các file được bảo vệ bởi mật khẩu, hoặc trongcác phần cứng như thẻ thông minh

Các file hay một số loại thẻ thông minh (lưu trữ và bảo vệ khóa riêng, ví dụ nhưthiết bị Entrust Ikey) được bảo vệ bởi mật khẩu hoặc số PIN Để xác thực chính mình,người dùng phải đưa ra những thông tin về mật khẩu hoặc số PIN mà chỉ có người đómới biết Với thông tin đó, hệ thống mới có thể truy nhập vào thiết bị lưu trữ khóariêng để sử dụng khoá riêng của người dùng phục vụ cho việc xác thực Thông qua cácthao tác toán học hệ thống chứng minh sự tương ứng giữa khoá riêng và khoá côngkhai có trong chứng chỉ Mặt khác khoá công khai và các thông tin định danh được gắnkết với nhau thông qua chữ ký của nhà phát hành chứng chỉ nên danh tính của ngườidùng được xác thực

Một cơ chế khác là sử dụng các giao thức mã hoá với thẻ thông minh để chứngminh rằng người sử dụng sở hữu khoá riêng tương ứng Khoá riêng được lưu trong thẻthông minh, hệ thống xác thực cung cấp một thông tin Thẻ thông minh sử dụng khoáriêng mã hoá thông tin đó và gửi trả lại cho hệ thống Hệ thống sử dụng khoá côngkhai trên chứng chỉ giải mã để lấy lại thông tin ban đầu Nếu hai thông tin là giốngnhau thì chứng tỏ một điều là thẻ thông minh có chứa một khoá riêng tương ứng Nhưthế người sử dụng được xác thực

Việc ứng dụng cơ chế nào cho hệ thống là tuỳ thuộc vào cơ sở hạ tầng vật lý vàhoàn cảnh ứng dụng mà ta sử dụng Dù ứng dụng cơ chế xác thực bằng chứng chỉ nào,

thì đều phải được xây dựng trên sự tin tưởng vào nhà phát hành chứng chỉ Vì nếuchứng chỉ bị giả mạo hay nhà phát hành chứng chỉ làm giả chứng chỉ, thì hệ thống của

ta sụp đổ hoàn toàn Như vậy về bản chất cơ chế xác thực có được là do chữ ký củanhà phát hành chứng chỉ, tức là nhà phát hành chứng chỉ đã chứng minh các thông tinđịnh danh của người sử dụng thông qua chữ ký của mình

Challenge Handshake Authentication Protocol (CHAP)

Challenge Handshake Authentication Protocol (CHAP) cũng là mô hình xác thựcdựa trên username/password Khi user cố gắng logon vào hệ thống, server đảm nhiệmvai trò xác thực sẽ gửi một thông điệp thử thách (challenge message) trở lại máy tínhuser Lúc này máy tính user sẽ phản hồi lại username và password được mã hóa.Server xác thực sẽ so sánh phiên bản xác thực user được lưu giữ với phiên bản mã hóavừa nhận, nếu trùng khớp, user sẽ có quyền truy cập Bản thân password không baogiờ được gửi qua network Phương thức CHAP thường được sử dụng khi user logonvào các remote servers của công ty chẳng hạn như RAS server Dữ liệu chứa passwordđược mã hóa gọi là password băm (hash password) Một gói băm là một loại mã hóakhông có phương cách giải mã

Kerberos

Xác thực Kerberos dùng một Server trung tâm để kiểm tra việc xác thực user vàcấp phát thẻ thông hành (service tickets) để user có thể truy cập vào tài nguyên.Kerberos là một phương thức rất an toàn trong xác thực bởi vì nó dùng cấp độ mã hóarất mạnh Kerberos cũng dựa trên độ chính xác của thời gian xác thực giữa Server vàClient Computer, và là nền tảng xác thực chính của nhiều hệ điều hành như Unix,Windows…

thực Tokens chứa chuỗi text hoặc giá trị số duy nhất thông thường mỗi giá trị này chỉ

sử dụng một lần

Smartcards là ví dụ điển hình về xác thực tokens Một smartcard là một thẻ nhựa

có gắn một chip máy tính lưu trữ các loại thông tin điện tử khác nhau Nội dung thôngtin của card được đọc với một thiết bị đặc biệt

Biometrics

Biometrics (phương pháp nhận dạng sinh trắc học) là mô hình xác thực dựa trênđặc điểm sinh học của từng cá nhân Quét dấu vân tay (fingerprint scanner), quét võngmạc mắt (retinal scanner), nhận dạng giọng nói (voice-recognition), nhận dạng khuônmặt (face-recognition) Vì nhận dạng sinh trắc học hiện rất tốn kém chi phí khi triểnkhai nên không được chấp nhận rộng rãi như các phương thức xác thực khác

Mutual Authentication

Mutual authentication (xác thực lẫn nhau) là kỹ thuật bảo mật mà mỗi thành phầntham gia giao tiếp với nhau kiểm tra lẫn nhau Trước hết server chứa tài nguyên kiểmtra “giấy phép truy cập” của client và sau đó client lại kiểm tra “giấy phép cấp tàinguyên” của server Điều này giống như khi bạn giao dịch với một server của ngânhàng, bạn cần kiểm tra server xem có đúng của ngân hàng không hay là một cái bẫycủa hacker giăng ra, và ngược lại server ở ngân hàng sẽ kiểm tra bạn

1.3 Chữ ký số - Công cụ được ứng dụng rộng dãi nhất

1.3.1 Khái quát về chữ ký điện tử

Chữ ký điện tử là thuật ngữ chỉ mọi phương thức khác nhau để một cá nhân, đơn

vị có thể "ký tên" vào một dữ liệu điện tử, thể hiện sự chấp thuận và xác nhận tínhnguyên bản của nội dung dữ liệu đó

Chữ ký điện tử rất đa dạng, có thể là một tên hoặc hình ảnh cá nhân kèm theo dữliệu điện tử, một mã khoá bí mật, hay một dữ liệu sinh trắc học (chẳng hạn như hìnhảnh mặt, dấu vân tay, hình ảnh mống mắt ) có khả năng xác thực người gửi

Hình 2 Quá trình ký và kiểm tra chữ ký

Trong giao dịch điện tử hiện nay trên thế giới, chữ ký số là hình thức chữ ký điện

tử phổ dụng nhất Chữ ký số bao gồm một cặp mã khoá, gồm khoá bí mật và khoácông khai Trong đó, khoá bí mật được người gửi sử dụng để ký (hay mã hoá) một dữliệu điện tử, còn khoá công khai được người nhận sử dụng để mở dữ liệu điện tử đó vàxác thực danh tính người gửi

1.3.2 Vấn đề an toàn của chữ ký điện tử

Chữ ký điện tử đã được ứng dụng và biết đến từ khá lâu Việt Nam cũng đã triểnkhai Theo nghị định 44 của Chính phủ, từ năm 2002 đã thừa nhận các yếu tố củachứng từ điện tử và chữ ký điện tử trong thanh toán của hệ thống ngân hàng

Nhắc tới chữ ký điện tử, người ta nghĩ ngay đến sự an toàn và hữu dụng Tuynhiên, nó có phải là một khái niệm quá xa vời? Ông Phan Thái Trung, chuyên giaCNTT, trường ĐH Xây dựng giải thích: "Chữ ký điện tử khác với các loại chữ ký khácnhư chữ ký tay rồi đưa quét lên trên hình ảnh hoặc là những chữ ký nhận dạng sinhhọc Chữ ký điện tử nó có hai phần, thứ nhất là nó chứa mật khẩu của mình, chỉ mộtmình mình biết, phần thứ hai là nó chứa những cái mã công cộng để tất cả mọi người

thế giới đều có thể sử dụng được, hai cái đấy kết hợp với nhau chắc chắn và bằngnhững thuật toán đã được xác định".

Việc ứng dụng chữ ký điện tử vào cuộc sống cũng không phải là một vấn đề quáphức tạp Ngay sau khi có nghị định của Chính phủ, ngành Ngân hàng đã ứng dụng đểthực hiện các giao dịch điện tử theo quy định chuẩn của Quốc tế Một cơ quan đượcgiao trách nhiệm và cơ chế để quản lý hệ thống giao dịch điện tử đó là Cục tin họcNgân hàng Nhà nước Việt Nam Vậy thì, Cục tin học Ngân hàng đóng vai trò gì trongnhững hoạt động TTĐT đã được thực hiện hoàn toàn tự động? Đó là cơ quan có chứcnăng xác thực chữ ký điện tử trong hệ thống ngân hàng Việt Nam Cơ quan này cónhiệm vụ xây dựng thuật toán chữ ký điện tử, cung cấp chữ ký điện tử cho người thamgia hệ thống và kiểm soát những chữ ký điện tử ấy

Không mấy ai dám mạo hiểm "quẳng tiền lên mạng" khi chưa có cơ sở tin cậychắc chắn, cũng như được pháp luật công nhận Trong các hoạt động TMĐT trên thếgiới, chứng thực số được sử dụng làm căn cứ xác định tính hợp pháp, giống như cáchình thức xác thực truyền thống là chữ ký và con dấu hiện nay Khi có tranh chấp vềpháp lý trong các hoạt động điện tử, chứng thực số có giá trị bằng chứng và căn cứtương tự như các hình thức xác thực cũ này

Với các đặc điểm nổi bật như không thể giả mạo, chứng thực nguồn gốc xuất xứ,các quốc gia phát triển đều đã sử dụng chứng thực số như một bằng chứng pháp lý từrất sớm Đây là yếu tố rất quan trọng để có thể phát triển TMĐT, vì không ai dám mạohiểm với tiền của mình, khi họ chưa chắc chắn được rằng các hoạt động đó có đượcđảm bảo, và có được pháp luật công nhận hay không

Chìa khóa của các hoạt động giao dịch điện tử nằm ở chính những chữ ký điện

tử, công cụ để đảm bảo tính pháp lý của các giao dịch điện tử Khó khăn hiện naykhông nằm ở mặt công nghệ, không quá phức tạp khi ứng dụng, thế nhưng để triểnkhai, cần sự quản lý tập trung của Nhà nước hay cho các doanh nghiệp tư nhân vànước ngoài khai thác dịch vụ này Với kinh nghiệm của nước ngoài, đó là việc của cáccông ty

1.3.3 Ứng dụng

Một e-mail có thể được ký bằng chữ ký điện tử, đảm bảo người nhận có thể chắcchắn rằng đó đúng là e-mail của người gửi, chứ không phải e-mail giả mạo Để làmđược điều này, người gửi và người nhận sẽ phải sử dụng cùng một hệ thống chứng

thực số, do một Nhà cung cấp chứng chỉ số (Certificate Authority, viết tắt là CA) cungcấp.

Trong thực tế, hình các chứng thực số được sử dụng nhiều nhất trong các giaodịch TMĐT, đặc biệt trong các hoạt động thanh toán trực tuyến của ngân hàng Mộtwebsite dịch vụ ngân hàng có thể khẳng định về tính xác thực của mình với nhữngngười truy cập vào bằng cách sử dụng một hình thức chứng thực số, đảm bảo website

đó không phải là giả mạo

Người sử dụng, ngoài hình thức bảo mật thông thường như mật khẩu, cũng phảidùng một chứng thực số cá nhân để khẳng định danh tính của mình, xác nhận các hoạtđộng giao dịch của mình với dịch vụ ngân hàng Chứng thực số sẽ giúp ngân hàng đảmbảo các khách hàng không thể chối cãi các giao dịch của mình, khi họ đã dùng chứngthực số

Các hoạt động liên ngân hàng (như chuyển khoản, thanh toán ) trong giao dịchđiện tử cũng đều phải sử dụng chứng thực số để xác định rõ danh tính của mỗi bên,khẳng định trách nhiệm và các hoạt động của từng bên trong giao dịch Đây là quytrình bảo mật quan trọng, cũng như cơ sở về mặt pháp lý để căn cứ khi thực hiện cáchoạt động giao dịch trực tuyến

Không chỉ nằm trong lĩnh vực TMĐT, chứng thực số hiện còn được sử dụng nhưmột dạng chứng minh thư cá nhân Tại các nước công nghệ phát triển, chứng thực số

CA được tích hợp vào các chip nhớ nằm trong thẻ căn cước, thẻ tín dụng để tăngcường khả năng bảo mật, chống giả mạo, cho phép chủ thẻ xác thực danh tính củamình trên nhiều hệ thống khác nhau, chẳng hạn như xe bus, thẻ rút tiền ATM, kiểmsoát hải quan, ra vào chung cư v.v

Một ví dụ về chữ ký số (chữ ký RSA)

1 Thuật toán sinh khóa của sơ đồ chữ ký RSA

Sinh ra hai số nguyên tố lớn ngẫu nhiên p và q

Các giá trị n và b công khai, các giá trị p, q, a bí mật.

2 Thuật toán ký và kiểm tra chữ ký

(n) = 7926x6996 = 55450296Chọn b = 5 và từ ab = 5a 1 (mod 55450296) ta có a = 44360237Khoá công khai là (n = 55465219, b = 5) và khoá riêng là a = 44360237

Sinh chữ ký:

Giả sử x = 31229978Chữ ký y = xa mod n = 3122997844360237 mod 55465219 = 30729435Xác nhận chữ ký :

Tính yb mod n= 307294355 mod 55465219 = 31229978 = x

B chấp nhận chữ ký

1.4 Cơ sở hạ tầng về mật mã khóa công khai

Hạ tầng khóa công khai (Public key infrastructure, viết tắt PKI) là một cơ chế đểcho một bên thứ ba (thường là nhà cung cấp chứng thực số CA) cung cấp và xác thực

định danh các bên tham gia vào quá trình trao đổi thông tin Cơ chế này cũng cho phépgán cho mỗi người sử dụng trong hệ thống một cặp khóa công khai/bí mật Các quátrình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềmphối hợp khác tại các địa điểm của người dùng Khóa công khai thường được phânphối trong chứng thực khóa công khai

Hình 3 Sơ đồ một hệ thống PKI

Cơ sở hạ tầng về mật mã khóa công khai (Public Key Infrastructure - PKI) có thểhiểu là: tập hợp các công cụ, phương tiện cùng các giao thức bảo đảm an toàn truyềntin cho các giao dịch trên mạng máy tính công khai Đó là nền móng mà trên đó cácứng dụng, các hệ thống an toàn bảo mật thông tin được thiết lập

Nhà cung cấp chứng thực số CA

Những bức tranh hay những chiếc đĩa CD âm nhạc, nếu chữ ký trên bức tranh vàtrên đĩa CD đấy không được đăng ký với cơ quan nào, chỉ là ký chơi thôi thì chữ ký đókhông có ý nghĩa về mặt pháp lý Thế nhưng, nếu bạn đăng ký bản quyền bức tranh và

ký chữ ký của mình với cơ quan đăng ký bản quyền thì chính chữ ký đó lại có giá trị Tương tự như vậy, chữ ký điện tử nếu có giá trị về mặt pháp lý thì phải đượcđăng ký và được hoạt động trong một lĩnh vực nào đó mới có tác dụng về mặt pháp lý

Và đó là công việc của những cơ quan xác thực Nếu Cục tin học thống kê ngân hàng

là một cơ quan xác thực chữ ký điện tử từ năm 2002 thì đến cuối năm 2003 công typhần mềm và truyền thông VASC là đơn vị thứ hai tại Việt Nam cung cấp dịch vụ xác

thực chữ ký điện tử cho ngân hàng ACB Tuy nhiên, xung quanh vấn đề này vẫn cònnhiều điều cần cụ thể hơn

Hình 4 Mô hình kiến trúc CA phân cấp

Trong kiến trúc này, các CA đều nằm dưới một CA gốc (RootCA) Root CA cấpchứng chỉ cho các CA thứ cấp (SubCA) và các user SubCA cấp chứng chỉ cho userthuộc tổ chức của mình Trong mô hình này, tất cả các đối tượng trong hệ thống đềuphải biết khoá công khai của RootCA Tất cả các chứng chỉ số đều có thể được kiểmchứng bằng cách kiểm tra đường dẫn của chứng chỉ số đó đến RootCA

Trong kiến trúc của hệ thống CA này, tất cả các đối tượng đều dựa trên sự tin cậyđối với CA gốc duy nhất Khoá công khai của RootCA phải được phân phát cho cácđối tượng đã được xác thực để đảm bảo sự tin cậy trong hệ thống Sự tin cậy này đượchình thành theo các cấp từ RootCA đến các SubCA và đến các đối tượng sử dụng Trong thế giới ảo trên Internet, các bên giao dịch nhiều khi không đủ căn cứ để

có thể xác minh đối tác của mình Một nhà cung cấp CA do đó sẽ đóng vai trò quantrọng của bên thứ ba, đứng ra xác nhận và đảm bảo danh tính cho những cá nhân tổchức sử dụng các chứng chỉ số mà mình cung cấp Khi các bên tham gia vào giao dịchtrực tuyến, nhờ các chữ ký số và những thông tin mà những chứng chỉ số tạo ra, họ cóthể xác minh một cách chắc chắn về danh tính của đối tác mà mình đang giao dịch Dovai trò bảo đảm về độ tin cậy rất cao, nên các nhà cung cấp CA sẽ là những đối tượngđược quản lý theo những tiêu chuẩn rất chặt chẽ

Có thể thấy, PKI thực sự đã trở thành một giải pháp hiệu quả hàng đầu cho việcđảm bảo an toàn, an ninh cho các hệ thống thông tin lớn trên thế giới Từ những kếtquả ứng dụng PKI trong nước và trên thế giới như trên, ta có thể khẳng định PKI làmột hạ tầng cơ sở về mật mã khóa công khai tin tưởng để lựa chọn cho mục đích xâydựng lên những hệ thống thông tin lớn an toàn Đặc biệt là những hệ thống thanh toántrong lĩnh vực Ngân hàng tài chính, nơi đòi hỏi độ an toàn rất cao, nơi mà mỗi sai sót

dù nhỏ nhất cũng có thể gây ra một thảm họa

CHƯƠNG 2: THANH TOÁN ĐIỆN TỬ

2.1 Tổng quan về TTĐT

2.1.1 Khái niệm chung về TTĐT

Thanh toán là sự chuyển giao tài sản của một bên (người hoặc công ty, tổ chức)cho bên kia, thường được sử dụng khi trao đổi sản phẩm hoặc dịch vụ trong một giaodịch có ràng buộc pháp lý

Thanh toán truyền thống

Mua bán là hình thức thường gặp nhất của giao dịch tài chính Một món hàngđược trao đổi với một món hàng khác hoặc được qui thành tiền Giao dịch này làm cholượng tiền của người mua giảm đi và người bán tăng lên

Thanh toán điện tử

TTĐT hình thức thanh toán có sử dụng các thiết bị điện tử công nghệ cao, cácgiao dịch được tiến hành qua mạng TTĐT là việc thanh toán tiền qua các thông điệpđiện tử (Electronic message) thay cho việc thanh toán bằng tiền mặt Về mục đích,TTĐT là hệ thống cho phép các bên tham gia có thể tiến hành mua bán được Tuynhiên, cách giao dịch thì lại hoàn toàn mới, người thực hiện giao dịch xử lý thanh toánbằng phương pháp thông qua các khâu được thực hiện trên máy tính Bản chất của môhình TTĐT cũng là mô phỏng lại những mô hình mua bán truyền thống, nhưng từ cácthủ tục giao dịch, các thao tác xử lý dữ liệu, quá trình chuyển tiền… tất cả đều đượcthực hiện thông qua hệ thống máy tính, được nối bằng các giao thức riêng chuyêndụng

Với TTĐT, các bên mua – bán có thể giao dịch với nhau, không phải gặp nhau,không cần dùng tiền mặt Các bên trong hệ thống TTĐT sẽ trao đổi với nhau cácchứng từ số hóa Bên được thanh toán có thể thông qua ngân hàng của mình để chuyểntiền vào tài khoản của mình Các quá trình này được phản ánh trong các giao thứcthanh toán của hệ thống, đó là thứ tự các bước gửi thông tin và xử lý số liệu giữa cácbên, mục đích là chuyển đầy đủ các chứng từ thanh toán, đảm bảo an toàn và côngbằng cho mọi bên theo yêu cầu tường minh ban đầu

Trong hoạt động giao dịch TTĐT đều có sự tham gia của ít nhất ba chủ thể, mộtbên không thể thiếu được là người cung cấp dịch vụ mạng, và các cơ quan chứng thực.Đối với thanh toán truyền thống, thì mạng lưới thông tin chỉ là phương tiện đểtrao đổi dữ liệu Đối với TTĐT, thì mạng lưới thông tin chính là thị trường.

2.2 Các mô hình TTĐT

Hệ thống TTĐT thực hiện thanh toán cho khách hàng theo một số cách, mà tiềnmặt và séc thông thường không thể làm được Hệ thống thanh toán cũng cung cấp khảnăng điều khiển thanh toán hàng hóa và dịch vụ qua thời gian bằng cách cho phépngười mua trả tiền ngay, trả tiền sau hay trả tiền trước Thẻ tín dụng cung cấp khảnăng thanh toán bằng tiền mặt qua tính sẵn sàng cho phép hoãn việc trả tiền hàng hóa

và dịch vụ đã được phê chuẩn trước

Có nhiều tiêu chí để phân biệt phương thức TTĐT, một trong các tiêu chí đó là

sự chênh lệch khác biệt giữa thời điểm bên trả tiền trao chứng từ ủy nhiệm cho bênđược trả và thời điểm trả tiền thực sự xuất tiền khỏi tài khoản của người mua Với tiêuchí này, phương thức TTĐT có thể phân thành hai mô hình chính: mô hình trả sau và

mô hình trả trước Trong mô hình trả sau, thời điểm bên trả tiền trao chứng từ ủy tháccho bên được trả, xảy ra trước thời điểm trả tiền thực sự (xuất tiền khỏi tài khoản củangười mua để trả cho người bán) Trong mô hình trả trước, hai thời điểm này diễn ratheo thứ tự ngược lại, người mua phải trả tiền thực sự trước khi chứng từ ủy nhiệmđược sử dụng trong các giao dịch mua bán

Mô hình trả sau

Với mô hình trả sau, thời điểm tiền mặt được rút ra khỏi tài khoản bên mua đểchuyển sang bên bán xảy ra ngay (pay-now) hoặc sau (pay-later) giao dịch mua bán.Hoạt động của hệ thống trên dựa trên nguyên tắc tín dụng (credit crendental) nào đó cótác dụng giống như séc (cheque) Bên bán có hai cách lựa chọn: hoặc là chấp nhận giátrị thay thế của tín dụng đó và chỉ liên lạc chuyển khoản với ngân hàng của mình saunày (pay-later), hoặc liên lạc với ngân hàng của mình khi quá trình mua bán đang diễn

ra việc chuyển khoản xảy ra ngay trong quá trình giao dịch

Với pha chuyển khoản (chearing process), người được thanh toán sẽ yêu cầuchuyển khoản với ngân hàng đại diện của mình (Acquirer) để thực hiện liên lạc vớingân hàng đại diện của người thanh toán, thực hiện kiểm tra/chấp nhận chứng từ tíndụng, khi đó việc chuyển tiền thực sự sẽ diễn ra giữa tài khoản của người thanh toán

và người được thanh toán

Kết thúc quá trình này, ngân hàng đại diện của bên thanh toán sẽ gửi một thôngbáo lưu ý sự chuyển khoản đó cho khách hàng của mình Mô hình thanh toán nàytương tự như phương thức thanh toán bằng séc nên thường được gọi là mô hình môphỏng séc (cheque-like model)

Pha chuyển tiền thực sự này nếu được làm ngay trong giao dịch thì an toàn nhất.Nhưng như vậy thì tốc độ xử lý giao dịch sẽ chậm, chi phí truyền tin và xử lý dữ liệutrực tuyến trên các máy chủ ở các nhà băng sẽ cao Vì vậy, mô hình pay-later cần được

ưu tiên sử dụng khi số tiền thanh toán là không lớn

Mô hình trả trước

Trong mô hình trả trước, khách hàng liên hệ với ngân hàng (hay công ty môi giới– broker) để có được chứng từ do ngân hàng phát hành (chứng từ hay đồng tiền số nàymang dấu ấn của ngân hàng), được đảm bảo bởi ngân hàng và do đó có thể dùng ở bất

cứ nơi nào đã có xác lập hệ thống thanh toán với ngân hàng này Để đổi lấy chứng từcủa ngân hàng, tài khoản của khách hàng sẽ bị triết khấu đi tương ứng với giá trị củachứng từ đó Như vậy, khách hàng đã thực sự trả tiền trước khi có thể sử dụng chứng

từ này để mua hàng và thanh toán

Chứng từ ở đây không phải do khách hàng tạo ra, không phải dành cho một cuộcmua bán cụ thể mà do ngân hàng phát hành và có thể sử dụng vào mọi mục đích thanh

toán Vì nó có thể sử dụng giống như tiền mặt và do đó mô hình còn được gọi là môhình mô phỏng tiền mặt (cash-like model).

Khi có người mua hàng tại một cửa hàng nào đó và thanh toán bằng chứng từnày, cửa hàng sẽ tiến hành kiểm tra tính hợp lệ của chúng dựa trên những thông tin đặcbiệt do ngân hàng tạo ra trên đó Sau đó, cửa hàng có thể chọn một trong hai cách: thứnhất là liên hệ với ngân hàng để chuyển vào tài khoản của mình ngay trước khi chấpnhận giao hàng (deposit-now), thứ hai là chấp nhận và liên hệ chuyển tiền sau vào thờigian thích hợp (deposit-later)

Trường hợp riêng phổ biến của mô hình mô phỏng tiền mặt là mô hình tiền điện

Những sơ hở của người sử dụng trong việc để lộ thông tin mật của các thẻ thanhtoán bởi các Hacker, các trang web phishing, các chương trình Keylogger, khi sửdụng đã gây nên những thiệt hại không nhỏ không chỉ cho người chủ sở hữu mà còncho các doanh nghiệp cung cấp dịch vụ tài chính trực tuyến Để bảo vệ quyền lợi củakhách hàng của mình, các ngân hàng cùng các công ty bảo mật đã đưa ra nhiều giảipháp bảo mật khác nhau trong việc TTĐT trên mạng như: ma trận ngẫu nhiên, Onetime-One password token và tiêu chuẩn mới nhất trong TTĐT SET (Secure ElectronicTransaction), nhằm đảm bảo các phiên giao dịch của người sử dụng