BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ HỌC PHẦN BÁO CÁO ĐỀ TÀI Chuyên ngành: An Tồn Thơng Tin Sinh viên thực : Nguyễn Văn Thành Thịnh_AT140638 Dương Ngô Nam Anh Nguyễn Anh Tuấn Giảng viên hướng dẫn : Thầy Phạm Minh Thuấn Hà Nội 9/2021 MỤC LỤC Contents PHẦN I: LÝ THUYẾT VỀ THANH TOÁN ĐIỆN TỬ 1.1 Giới thiệu chung thương mại điện tử .3 1.1.1 Khái niệm thương mai điện tử .3 1.1.2 Thương mai điện tử - lợi ích cho doanh nghiệp 1.1.3 Các vấn đề thương mại điện tử 1.2 Giới thiệu chung toán điện tử 1.2.1 Khái niệm toán điện tử 1.2.2 Lợi ích tốn điện tử .6 1.2.3 Ứng dụng toán điện tử .8 1.2.4 Các vấn đề toán điện tử Việt Nam 1.3 Tổng quan tốn tín dụng 1.3.1 Nguồn gốc thẻ toán .9 1.3.2 Khái niệm thẻ toán 1.3.3 Phân loại thẻ toán 10 PHẦN II: MƠ HÌNH GIẢI PHÁP THANH TOÁN ĐIỆN TỬ 13 2.1 Tổng quan giao thúc iKP 13 2.1.1 Lịch sử hình thành giao thức iKP 13 2.1.2 Các khái niệm hQ giao thức iKP 13 2.2 Giao thức 1KP 18 2.2.1 Giới thiệu 18 2.2.2 Định nghĩa thông điệp 18 2.2.3 Cơ chế giao thúc 19 2.3 Giao thức 2KP 21 2.1.1 Giới thiệu 21 2.1.2 Cơ chế giao thức 21 2.4 Giao thúc 3KP 23 2.4.1 Giới thiệu 23 2.4.2 Cơ chế giao thức 23 PHẦN I: LÝ THUYẾT VỀ THANH TOÁN ĐIỆN TỬ 1.1 Giới thiệu chung thương mại điện tử 1.1.1 Khái niệm thương mai điện tử Thương mại điện tử ? Thương mại điện tử (e-commerce) việc thực giao dịch thương mại dựa công cụ điện tử (electronic) mà cụ thể mạng Internet WWW (World Wide Web - tức trang web hay website) Ví dụ: việc trưng bày hình ảnh hàng hóa, thông tin doanh nghiệp website phần Thương mại điện tử, hay liên lạc với khách hàngqua email, tìm kiếm khách hàngthơng qua việc tìm kiếm thơng tin mạng Internet v.v [6] Có nhiều cấp độ thực Thương mại điện tử Ở cấp độ bản, doanh nghiệp có website trưng bày thơng tin, hình ảnh, tìm kiếm khách hàng qua mạng, liên hệ với khách hàng qua email Ở cấp độ cao doanh nghiệp thực số giao dịch mạng cho khách hàng đặt hàng thẳng từ mạng, quản lý thông tin khách hàng, đơn hàng sở liệu tự động mạng, xử lý tốn qua mạng thẻ tín dụng v.v 1.1.2 Thương mai điện tử - lợi ích cho doanh nghiệp Lợi ích thương mại điện tử ? Trong bối cảnh hội nhập kinh tế toàn cầu nay, việc tận dụng lợi thế, khai thác, ứng dụng Công nghệ để tiến hành kinh doanh có hiệu mục tiêu mà Doanh nghiệp hướng tới, nhiều Doanh nghiệp thành công Thế giới khẳng định Thương mại điện tử công cụ hữu hiệu giúp họ hạn chế trở ngại phát huy tiềm để đứng vững mơi trường cạnh tranh khốc liệt mang tính tồn cầu, khẳng định tính tất yếu việc phát triển thương mại điện tử lợi ích to lớn mà đem lại Vậy lợi ích mà Thương Mại Điện Tử mang lại ? Quảng bá thơng tin tiếp thị cho thị trường tồn cầu với chi phí cực thấp: với vài chục đơ-la Mỹ tháng, doanh nghiệp đưa thơng tin quảng cáo đến với vài trăm triệu người xem từ nơi giới Đây điều mà có Thương Mại Điện Tử làm cho doanh nghiệp Thử so sánh với quảng cáo báo Tuổi Trẻ với vài triệu độc giả, lần quảng cáo doanh nghiệp phải trả 50 đơ-la Mỹ, cịn doanh nghiệp có website mình, doanh nghiệp quảng cáo thơng tin 24 ngày, ngày tuần, lượng độc giả doanh nghiệp hàng trăm triệu người từ nơi giới Chi phí cho website doanh nghiệp tháng ước tính (kinh tế nhất) là: đơ-la Mỹ chi phí lưu trữ trực tuyến (hosting), 10-20 đơ-la Mỹ trả cho chi phí quảng cáo (liệt kê địa web doanh nghiệp dạng danh bạ doanh nghiệp điện tử Dĩ nhiên, chi phí tối thiểu cho website doanh nghiệp Nếu doanh nghiệp có khả tài chính, doanh nghiệp th quảng cáo với chi phí cao để mong quảng cáo tốt Dịch vụ tốt cho khách hàng: với Thương Mại Điện Tử, doanh nghiệp cung cấp catalogue, brochure, thơng tin, bảng báo giá cho đối tượng khách hàng cách nhanh chóng, doanh nghiệp tạo điều kiện cho khách hàng mua hàng trực tiếp từ mạng v.v… Nói tóm lại, Thương Mại Điện Tử mang lại cho doanh nghiệp công cụ để làm hài lòng khách hàng, thời đại ngày nay, yếu tố thời gian thực vàng bạc, đủ kiên nhẫn phải chờ đợi thơng tin vài ngày Hơn nữa, ngày chất lượng dịch vụ thái độ phục vụ yếu tố quan trọng việc tìm giữ khách hàng Nếu doanh nghiệp không xử lý yêu cầu thông tin đối tượng quan tâm cách nhanh chóng, họ khơng kiên nhẫn chờ đợi, có đối thủ cạnh tranh săn đón họ Tăng doanh thu: với Thương Mại Điện Tử, đối tượng khách hàng doanh nghiệp khơng cịn bị giới hạn mặt địa lý, hay thời gian làm việc Doanh nghiệp khơng bán hàng cho cư dân thành phố doanh nghiệp, mà doanh nghiệp cịn bán hàng tồn Viêt Nam nước khác Doanh nghiệp không ngồi chờ khách hàng tự tìm đến với doanh nghiệp mà doanh nghiệp tích cực chủ động tìm khách hàng cho Vì thế, chắn số lượng khách hàng doanh nghiệp tăng lên đáng kể dẫn đến doanh thu nhảy vọt Đó điều mà doanh nghiệp mơ ước Tuy nhiên, xin nhắc lại với doanh nghiệp chất lượng giá sản phẩm hay dịch vụ doanh nghiệp phải tốt, không, Thương Mại Điện Tử không giúp cho doanh nghiệp Giảm chi phí hoạt động: với Thương mại điện tử, doanh nghiệp tốn nhiều cho việc thuê cửa hàng, mặt bằng, đông đảo nhân viên phục vụ, không cần phải đầu tư nhiều cho kho chứa Chỉ cần khoảng 10 triệu đồng xây dựng website bán hàng qua mạng, sau chi phí vận hành website tháng không triệu đồng Nếu website doanh nghiệp trưng bày thơng tin, hình ảnh sản phẩm, doanh nghiệp tiết kiệm chi phí in ấn brochure, catalogue chi phí gửi bưu điện ấn phẩm Và đặc biệt doanh nghiệp doanh nghiệp làm hàng xuất khẩu, doanh nghiệp ngồi nhà tìm kiếm khách hàng qua mạng, khơng cần phải tốn nhiều cho chuyến đích thân “xuất ngoại” Lợi cạnh tranh: việc kinh doanh mạng “sân chơi” cho sáng tạo, nơi đây, doanh nghiệp áp dụng ý tưởng hay nhất, dịch vụ hỗ trợ, chiến lược tiếp thị v.v… Và tất đối thủ cạnh tranh doanh nghiệp áp dụng Thương Mại Điện Tử, phần thắng thuộc sáng tạo hay để tạo nét đặc trưng cho doanh nghiệp, sản phẩm, dịch vụ để thu hút giữ khách hàng Với lợi ích to lớn thương mại điện tử bước khẳng định mạnh Có thể khẳng định thương mại điện tử trở xu hướng phát triển tất yếu Việt Nam tương lai Tất nhiên nước phát triển giới giao dịch thương mại điện tử trở thành phổ biến hàng chục năm Như phát triển mạnh mẽ thương mại điện tử có phát sinh vấn đề ? Hay nói cách khác vấn đề thương mại điện tử Việt Nam ? 1.1.3 Các vấn đề thương mại điện tử Các vấn đề thương mại điện tử ? Thực tế cho thấy Internet tạo vô số hội phát triển kinh doanh cho khu vực lợi tham gia vào giao dịch tồn cầu mà khơng cần phải bận tâm nhiều chi phí Làm để tận dụng Internet mở rộng thị trường, tìm thêm hội cho sản phẩm, dịch vụ trở thành điều mà doanh nhân, doanh nghiệp Việt Nam không quan tâm Dù nhận thức thương mại điện tử có nhiều chuyển biến tích cực có số Website như: tienphong-vdc.com.vn, nynaflowers.com, goodsonlines.com thực thành công khâu bán hàng qua mạng, song Việt Nam chưa có thương mại điện tử theo nghĩa khái niệm Vậy đâu hạn chế thương mại điện tử Việt Nam ? Các chuyên gia lĩnh vực thương mại điện tử nhìn nhận nhứng lý sau: + Web thương mại điện tử - lượng lẫn sức hấp dẫn + Chưa có sở pháp lý thức, chờ lệnh + Thanh tốn, bảo mật, chứng thực ỏ trạng thái chờ đợi 1.2 Giới thiệu chung toán điện tử 1.2.1 Khái niệm toán điện tử Thanh toán điện tử ? Thanh tốn khâu thiếu phiên giao dịch thương mại Vậy hiểu toán điện tử ? Thanh tốn điện tử việc ngân hàng thực toán theo yêu cầu khách hàng mở tài khoản tiền gửi ngân hàng, thông qua việc khách hàng chuyển tới ngân hàng phục vụ u cầu tốn qua mạng máy tính Q trình tốn điện tử q trình thiết lập, tiếp nhận, xử lý lệnh chi qua mạng máy tính, kể từ ngân hàng nhận lệnh chi khách hàng đến hoàn tất việc tốn cho người nhận Hay nói cách khác, tốn điện tử hình thức tốn tiến hành thông qua môi trường Internet Thông qua hệ thống tốn điện tử, th bao Internet tiến hành hoạt động toán, chi trả, chuyển tiền v.v Thơng thường hệ thống tốn điện tử liên kết với mạng toán riêng ngân hàng hay mạng chuyên toán khác mạng toán thẻ điều hành tổ chức Visa MasterCard Thơng qua hệ thống tốn điện tử, th bao Internet tiến hành tốn phương tiện sẵn có họ thẻ tín dụng hay toán trực tiếp tài khoản họ ngân hàng Thanh tốn điện tử khơng giới hạn hoạt động toán cá nhân ngân hàng, cá nhân với doanh nghiệp hay doanh nghiệp với ngân hàng mà cịn cho phép tiến hành toán ngân hàng Hệ thống toán điện tử cung cấp dịch vụ toán cho thuê bao Internet từ Internet tiến hành toán vào mạng riêng ngân hàng Các hệ thống toán điện tử đóng vai trị cổng Internet mạng ngân hàng Cổng nhận yêu cầu tốn từ Internet sau chuyển đổi khn dạng liệu từ dạng TCP/IP sang dạng liệu sử dụng mạng ngân hàng Thông tin sau chuển đổi gửi đến máy chủ mạng ngân hàng để tiến hành sử lý tốn Thơng tin phản hồi từ máy chủ mạng ngân hàng gửi Internet cổng biến đổi tương tự 1.2.2 Lợi ích toán điện tử Trong giới kinh doanh, có nhiều phương pháp tốn khác nhau: khách hàng trả tiền mặt, trả séc dùng thẻ tín dụng Trong nội dung đồ án người viết đồ án đề cập đến lợi ích việc tốn thẻ tín dụng Đây hình thức tốn dễ để áp dụng trực tuyến Và xin nói thêm giao thức toán điện tử iKP phất triển dựa mơ hình tốn thẻ tín dụng, giao thức iKP IBM đưa với tham vọng áp dụng cho mơ hình tốn phổ biến mơ hình tốn dựa thẻ tín dụng hướng mà giao thức iKP muốn hướng tới Như khách hàng doanh nghiệp có thuận lợi chấp nhận tốn thẻ tín dụng :  Thứ nhất: Thanh tốn thẻ tín dụng ln tạo điều kiện thuận lợi cho khách hàng Không phải viết séc hay viết vào mẫu đơn đặt hàng, cho vào phong bì gửi khơng cần phải gọi điện Khách hàng đặt hàng 24 tiếng ngày, ngày tuần, cần dùng thẻ tín dụng, nhập số nhấn chuột vào biểu tượng hồn giao dịch tốn Thứ hai: Thanh tốn thẻ tín dụng hình thức tốn tốt nhất, có uy tín chứng tỏ hoạt động kinh doanh doanh nghiệp mang tính chuyên nghiệp cao  Thứ ba: Khi chấp nhận tốn thẻ tín dụng, khách hàng đặt hàng trước tốn sau Từ khâu đặt hàng lúc sản phẩm đóng gói, vận chuyển thực nhanh chóng Nếu khách hàng đặt hàng toán qua đường bưu điện fax họ gửi séc phải đợi gia hạn séc sau gửi hàng Như gây bất tiện, nhiều thời gian để hồn giao dịch tốn  Thứ tư: Khi kinh doanh Internet, đối tượng khách hàng doanh nghiệp tồn cầu, mà biết khách hàng nước phát triển thường tốn thẻ tín dụng mua hàng Do việc doanh nghiệp khơng chấp nhận tốn thẻ tín dụng có nghĩa doanh nghiệp từ chối bán hàng Khách hàng không mua hàng họ thấy mua bán không thuận tiện họ dễ dàng tìm thấy nhà cung cấp khác Còn Việt Nam, phương pháp tốn thẻ tín dụng cịn chưa phổ biến doanh nghiệp có kế hoạch kinh doanh mạng có chiến lược thu hút khách hàng tồn giới doanh nghiệp nên chấp nhận tốn thẻ tín dụng Và cịn nhiều lợi ích khác  1.2.3 Ứng dụng toán điện tử Thanh toán điện tử ứng dụng cho hai lĩnh vực chính: Các hệ thống toán tuý hệ thống toán phần hệ thống thương mại điện tử  Hệ thống toán tuý (được xem dịch vụ ngân hàng nhà) Dịch vụ cho phép người dùng nhà sử dụng máy tính cá nhân kết nối Internet để truy xuất thông tin tài khoản khách hàng ngân hàng Quan trọng dịch vụ cho phép người dùng sử dụng dịch vụ toán, chuyển tiền v.v ngân hàng máy tính cá nhân Lợi nhóm dịch vụ mang lại tiện dụng cho khách hàng: Thay phải đến ngân hàng để tốn, người dùng ngồi nhà mà sử dụng ác dịch vụ ngân hàng  Hệ thống thương mại điện tử sử dụng toán điện tử Hệ thống thương mại điện tử cung cấp dịc vụ bán hàng, giao dịch môi trường Internet Quá trình mua hàng gồm bước: Người mua hàng đăng nhập vào siêu thị ảo, chọn mua hàng tiến hành tốn Trong q trình toán liên kết đến hệ thống toán điện tử Sử dụng thương mại điện tử người mua hàng thường chấp nhận tốn thẻ, hình thức tốn có độ an tồn cao Thanh tốn điện tử mở rộng phạm vi phục vụ khách hàng ngành ngân hàng, mang lại tiện nghi ngân hàng nhà cho người dùng Thanh toán điện tử dần chiếm ưu lĩnh vực tốn liên ngân hàng Ngân hàng có xu hướng thay liên kết mạng riêng liên ngân hàng liên kết qua Internet để giảm chi phí giao dịch, hấp dẫn khách hàng chi phí tiện nghi sử dụng dịch vụ ngân hàng Thanh toán điện tử giải pháp cho ngân hàng chưa có hệ thống tốn liên ngân hàng 1.2.4 Các vấn đề toán điện tử Việt Nam Hiện Việt Nam nói chưa có hệ thống tốn điện tử mang nghĩa nó, ngân hàng nước ta chưa có hệ thống tốn liên ngân hàng Gần đây, lên ngân hàng, doanh nghiệp địi hỏi áp dụng hệ thống tốn điện tử mở tương lai tươi sáng cho thương mại điện tử Việt Nam Tiêu biểu VNEMART - Sàn giao dịch Thương mại điện tử Việt Nam có triển khai hệ thống tốn điện tử đánh dấu bước phát triển Tuy nhiên mà hành lang pháp lý thương mại điện tử chưa hồn thiện vấn đề triển khai hệ thơng tốn điện tử khó trở thành thực Ở tác giả viết đồ án xin giởi thiệu thêm số thông tin sàn giao dịch Thương mại điện tử VNEMART : VNEMART với bước khởi đẩu gian nan tới thương mại điện tử thức khai trương vào ngày 23/4/2003 Đây dự án Phịng Thương mại Cơng nghiệp Việt Nam (VCCI) Cơng ty Điện tốn Truyền Số liệu (VDC) Ngân hàng Công thương Việt Nam (ICB) phối hợp triển khai Sau gần nǎm thai nghén, đời VNEMART so với giới muộn mằn mở hội giao thương cho doanh nghiệp Việt Nam để xuất hàng hố, tìm kiếm đối tác bạn hàng thị trường giới Khi điều kiện pháp lý Việt Nam hoàn thiện hơn, doanh nghiệp ký kết hợp đồng tốn qua mạng Như nói trở ngại lớn Thanh toán điện tử Việt Nam hàng lang pháp lý Thương mại điện tử Việt Nam cần sở luật để phát triển, vấn đề sống cịn toán điện tử nước ta Thanh toán điện tử thách thức 1.3 Tổng quan tốn tín dụng 1.3.1 Nguồn gốc thẻ toán Phương pháp toán thẻ đời sớm ông Frank Mc Namara, doanh nhân người Mỹ, phát minh vào năm 1949 Những thẻ tốn có tên “Diner’s Club” thể ưu việt việt trội so với phương pháp toán truyền thống Đây phương pháp có nhiều hứa hẹn tương lại, phương pháp toán kiểu – phương pháp tốn thẻ, đặc biệt thẻ tín dụng (Credit Card ) Trước tìm hiểu phương pháp tốn kiểu này, tìm hiểu khái niệm thẻ tốn, có phương pháp toán thẻ ? 1.3.2 Khái niệm thẻ tốn Đối với thẻ tốn có nhiều khái niệm để diễn đạt nó, cách diễn đạt nhằm làm bật nội dung Sau số khái niệm thẻ toán: Thẻ toán (thẻ chi trả) phương tiện tốn tiền mua hàng hố, dịch vụ dùng để rút tiền mặt Ngân hàng đại lý 10 PHẦN II: MƠ HÌNH GIẢI PHÁP THANH TOÁN ĐIỆN TỬ 2.1 Tổng quan giao thúc iKP 2.1.1 Lịch sử hình thành giao thức iKP Internet trở thành diễn trường tiềm hứa hẹn hỗ trợ cho thương mại điện tử Trong nhiều năm qua, ứng dụng chủ yếu Internet e-mail (SMTP), telnet (remote login), news (NNTP), fpt (file transfer protocol),.v.v.v gần WWW với giao thức HTTP (hypertext transfer protocol) Từ năm 1993, số tổ chức quốc tế công ty WWW consortium, NSCA, Netscape Comm Corp đưa hàng loạt "chuẩn" bảo mật SSL (secure socket layer), S-HTTP (secure hypertext transfer protocol), SET (secure electronic transactions), làm sở tăng cường cho ứng dụng thương mại điện tử Internet Tuy nhiên, câu hỏi đặt là: "Làm để toán?" "Việc tốn an tồn?", vvv.Vấn đề nảy sinh làm chuyên gia lĩnh vực thương mại điện tử phải suy nghĩ tìm hướng giải cho vấn đề Từ năm 1994, có nhiều mơ hình giao thức khác đưa để giải vấn đề toán điện, giao thức toán chuyên gia lĩnh vực thương mại điện tử quan tâm họ giao thức iKP Viện nghiên cứu IBM ( IBM Research) đưa iKP họ giao thức toán điện tử gọi Internet Keyed Protocol (iKP) giải việc toán giao dịch đa phương Internet (secure multi -Party transactions), dựa mơ hình thẻ điện tử iKP gồm giao 1KP, 2KP, 3KP ( iKP gọi họ giao thức toán điện tử ) xây dựng dựa tảng mật mã đại ( mật mã khóa cơng khai, thuật tốn mã hóa RSA ) thực kết hợp phần mềm và/hoặc phần cứng iKP mô người chơi chủ yếu giao dịch thương mại Internet Customer ( đại diện cho khách hàng), Merchant ( đại diện cho doanh nghiệp) Acquier ( đại diện cho ngân hàng) Mục tiêu iKP đặt sở cho toán điện tử tương lai dùng công nghệ credit-card truyền thống Phát triển theo hướng mở, iKP ủng hộ nhiều hãng tài lực q trình xây dựng hồn chỉnh 2.1.2 Các khái niệm hQ giao thức iKP a, Khái niệm ve Party 14 Hình 2-1 Các Pary mơ hình toán Một thực tế mà nhận thấy rằng, q trình giao dịch tốn có tham gia bên, bên mua , bên bán bên toán Party khái niệm để bên tham gia trình giao dịch điện tử khách hàng(Customer), thương gia(Merchant), ngân hàng toán(Acquirer Bank),ngân hàng phát hành thẻ(Issuer Bank), tổ chức thẻ tín dụng(Credit Card association ), tổ chức chứng nhận khố cơng khai(CA), kẻ gian(Adversary) Sau tìm hiểu rõ Party: + Tổ chức thẻ tín dụng Master Card,Visa Card, vv + Ngân hàng phát hành thẻ ( Issuer ) Là thành viên thức Tổ chức thẻ quốc tế xác định số định danh gọi BIN ( Bank Identification Number).Đây mã số Ngân hàng phát hành thẻ.Trong hiệp hội thẻ có nhiều ngân hàng thành viên, ngân hàng thành viên có mã số riêng giúp thuận lợi toán truy xuất Ngân hàng phát hành thẻ cung cấp thẻ cho Customer ngân hàng phát hành chịu trách nhiệm tiếp nhận hồ sơ xin cấp thẻ, xử lý phát hành thẻ, mở quản lý tài khoản thẻ, đồng thời thực việc toán cuối với chủ thẻ + Khách hàng ( Customer ) Là chủ sở hữu thẻ tín dụng cung cấp thẻ Ngân hàng phát hành thẻ chịu quản lý Ngân hàng phát hành thẻ Đây đối tượng phát yêu cầu toán cho sở chấp nhận thẻ(Merchant) cách sử dụng máy tính kết nối mạng.Mỗi chủ thẻ có mơt mã số bí mật gọi PIN (Personal 15 Identification Number).Đó mã số cá nhân chủ thẻ để thực giao dịch rút tiền máy rút tiền tự động Mã số Ngân hàng phát hành thẻ cung cấp cho chủ thẻ phát hành Đối với mã số PIN, người chủ thẻ phải giữ bí mật, mình biết + Cơ sở chấp nhận thẻ (Merchant) Là thành phần kinh doanh hàng hoá dịch vụ có ký kết với Ngân hàng toán việc chấp nhận toán thẻ như: nhà hàng, khách sạn, cửa hàng Các đơn vị phải trang bị máy móc kỹ thuật để tiếp nhận thẻ toán tiền mua hàng hoá, dịch vụ, trả nợ thay cho tiền mặt + Ngân hàng đại lý hay Ngân hàng toán(Acquier) Là Ngân hàng trực tiếp ký hợp đồng với sở tiếp nhận toán chứng từ giao dịch sở chấp nhận thẻ xuất trình Một Ngân hàng vừa đóng vai trị tốn thẻ vừa đóng vai trị phát hành + Kẻ gian(Adversary) Đây khái niêm trừu tượng, hiểu kẻ tham gia công vào hệ thống nhằm mục đích kiếm lợi cho riêng mình.Nó tham gia nhiều vai diễn khác nhau:  Đóng vai Customer ‘rởm’ với mục đích mua hàng khơng trả tiền,  Đóng vai sở chấp nhận thẻ mạo danh với mục đích lấy tiền Customer mà khơng sản phẩm  Kẻ nghe trộm(listen eavesdropper): người nghe trộm thông điệp bí mật số PIN  Kẻ phá hoại – thay đổi thông tin(active attacker): Kẻ tạo message giả mạo gửi cho Customer  Đối thủ cạnh tranh (Adversary): Kẻ có khả lấy khóa từ Party xác thực  Kẻ tạo sử dụng Vius(Intruder) với mục đích phá hoại  Nội gian ( insider ): Người nội hay tay với âm mưu phá hoại + Tổ chức chứng nhận khóa cơng khai(Certification Authority) Là tổ chức có khóa bí mật (SKC), công khai PKC để chứng nhận khóa cơng khai Party b, Các u cau cúa Party 16 Các yêu cầu hệ tốn điện tử Internet địi hỏi bao gồm yêu cầu đối tác tham gia mua bán mạng để đảm bảo quyền lợi cho Có bên (đối tượng tham gia giao dịch ) liên quan đến mua bán mạng Customer, Merchant Acquirer Sau số yêu cầu bản: + Yêu cầu Acquirer Để đảm bảo quyền lợi cho mình, Issuer/Acquirer cần yêu cầu sau: A1.Bằng chứng xác thực giao dịch Customer ( Proof of transaction authorisation by Customer) Mục đích yêu cầu ngân hàng biết đích xác giao dịch thực Customer thật, khơng phải kẻ mạo danh ( tránh việc gian lận thực Merchant ) Khi Merchant yêu cầu Acquier ghi nợ vào tài khoản tín dụng đó, Acquier nên sở hữu chứng giả chối cãi để xác minh Customer cho phép việc tốn hay nói cách khách chứng cớ chứng minh Customer chấp nhận tham gia giao dịch toán Với yêu cầu Customer phải chịu trách nhiệm giao dịch toán ( chống chối bỏ) Chú ý thơng tin giao dịch tối thiểu cần phải có: số tiền tốn, thời điểm tốn thơng tin nhận dạng Merchant Và phải đảm bảo Adversary khơng biết thơng tin đồng thời khơng có khả lệnh cho phiên giao dịch.Và nhớ Merchant Adversary Merchant sinh lệnh giả mạo Chúng ta phân biệt chứng xác thực giao dịch Customer chứng cớ yếu ( Weak Proof-những chứng khơng chắn) chứng mang tính rõ ràng chắn ( undeniable receipt)  Chứng cớ không chắn ( Weak Proof ): Customer xác thực với Acquier lại khơng phù hợp với Party thứ ba Ví dụ số tiền toán, đơn vị tiền tệ  Chứng cớ rõ ràng chắn ( undeniable receipt ): biên lai phủ nhận được-không thể chối bỏ Ví dụ số thẻ A2.Chứng nhận xác minh Merchant(Certification and authentication of Merchant) Bằng chứng xác thực việc trả tiền người mua đến với người bán.Đây yêu cầu cần thiết, Acquier phải chắn tốn với Merchant tin tưởng với kẻ lừa đảo 17 + Yêu cầu Merchant M1.Bằng chứng xác thực giao dịch Acquier(Proof of transaction authorisation by Acquirer) Merchant cần biết đích xác tiền vào tài khoản từ Ngân hàng Do Merchant cần chứng xác thực Acquier Đó thơng tin để chứng nhận xác minh tính đắn Acquier Các thông tin cần lưu ý: số tiền, thời điểm giao dịch, thông tin xác định phiên giao dịch đó.Chúng ta cần phân biệt rõ hai loại chừng cớ nói ( mục 1.3.1-A1 ):  Chứng cớ không chắn(Weak Proof)  Chứng cớ rõ ràng chắn ( undeniable receipt ) M2.Hỗ trợ đợt giao dịch nhỏ(Support for batching of small payments) Đối với giao dịch tốn đơn lẻ Merchant cấn hỗ trợ dịch vụ nhỏ lẻ không thiết lúc phải yêu cấu Customer tham gia giao dịch cách cầu kỳ phức tạp Merchant cần ý đến hiệu giao dịch toán lẻ M3.Chống chối bỏ từ Customer ( Non-repudiation from customer ) Mục đích yêu cầu Merchant cần xác thực giao dịch Customer Khi Customer đồng ý tham gia giao dịch tốn khơng thể chối cãi phủ nhận giao dịch + Yêu cầu Customer C1.Chống giả mạo Customer toán(Unauthorised payment is impossible) Đây yêu cầu quan trọng Customer.Chỉ có Customer có chủ quyền giao dịch chuyển khoản tài khoản mình.Bởi hacker kẻ lừa đảo sinh đợt giao dịch giả, mạo danh Customer tham gia giao dịch cách hợp pháp chúng biết mã PIN số thẻ Do yêu cầu bảo đảm an toàn tài khoản Customer C2.Bằng chứng xác thực giao dịch Acquier ( Proof of transaction authorisation by Acquirer ) Customer yêu cầu có chứng từ Ngân hàng giao dịch tài khoản Chúng ta cần phân biệt hai loại chứng cớ sau:  Chứng cớ không chắn (Weak Proof)  Chứng cớ rõ ràng(undeniable receipt) C3.Biên lai toán nhận từ Merchant(Receipt from Merchant) Với yêu cầu Customer muốn chứng cớ Merchant nhận 18 tiền dịch vụ hàng hố mà mua C4.Bảo vệ tính riêng tư đơn hàng(Privacy of order information or anonymity) Customer không muốn thông tin mua bán (mặt hàng, số lượng, số tiền) lộ cho người biết C5.Chứng nhận xác minh Merchant(Certification and authentication of Merchant) C6.Tính ẩn danh ( Anonymity ) Khách hàng không muốn thông tin thân bị tiết lộ cho người ngồi.Đó u cầu bảo vệ tính riêng tư khách hàng tham giao giao dịch điện tử C7.Hỗ trợ việc khúc mắc sau giao dịch ( Support for disputability of payments) Khi kết thúc giao dịch Customer cần tranh cãi để bảo vệ quyền lợi có vấn đề náy sinh 2.2 Giao thức 1KP 2.2.1 Giới thiệu Giao thức họ giao thức iKP giao thức 1KP.Trong phần tìm hiểu chế hoạt động nó.Theo giao thức 1KP Customer Merchant có quyền sở hữu khóa cơng khai ( PK A ) chứng thực khóa cơng khai Acquirer ( CERTA ) Mọi Customer C có số PIN bí mật, thơng tin bí mật khơng thể tiết lộ cho ai, kẻ khác biết mã PIN họ dễ dàng truy cập vào tài khoản khách hàng thực giao dịch.Khi Customer Merchant thực trao đổi thông tin cho nhau, họ dùng khóa cơng khai Acquirer để mã hóa thơng tin trước truyền đi.Thuật tốn mã hóa dùng RSA - thuật toán mật mã đại.Để chứng nhận khóa cơng khai Acquirer.Thì Customer Merchant cần phải có chứng thực khóa cơng khái Acquirer ( CERTA ) Để tìm hiểu chế hoạt động giao thức 1KP, ta cần biết số khái niệm sau: 2.2.2 Định nghĩa thông điệp Để tìm hiểu chế hoạt động giao thức 1KP, ta cần biết số khái niệm sau: □ OFFER: Đơn hàng chào hàng mà Merchant gửi cho Customer.Nó gồm 19 trường thơng tin:  OFFER description : Các mô tả đơn hàng OFFER  Amount : Tổng tiền toán  Currency: đơn vị tiền tệ  Date: ngày giao dịch  ID of Merchant: mã xác thực Merchant □ ORDER: Đơn hàng mà Customer gửi lại cho Merchant để xác minh lại đơn chào hàng Merchant , bao gồm trường thông tin sau: ORDER description : Các mô tả ORDER Amount: tổng tiền toán Currency: đơn vị tiền tệ Date: ngày giao dịch ID of Merchant : mã xác thực Merchant delivery address: địa phân phát hàng Địa phân phát hàng phụ thuộc vào sản phẩm giao, địa thực số nhà đường phố … (địa vật lý), địa logic email Những sản phẩm phân phát theo địa logic phần mềm, tài liệu …vv Cịn sản phẩm khơng thể phân phát theo địa logic hoa, tranh ảnh …vv sẽ gửi theo địa vật lý □ SLIP : Là đối tượng mà Customer tạo để ma hóa gửi cho Merchant , bao gồm trường thông tin sau:  Amount: tổng tiền toán  Currency: đơn vị tiền tệ  Date: ngày giao dịch  ID of Merchant : mã xác thực Merchant  Credit card number : số thẻ tín dụng Customer  Expiration date : ngày hết hạn thẻ  PIN : mã số cá nhân Customer  H(ORDER): giá trị hàm băm nội dung đối tượng ORDER □ AUTH : Là đối tượng mà Acquirer cấu thành để phản hồi cho Merchant thơng tin xác thực phiên gíao dịch :  approved/rejected: thông tin phản hồi chấp nhận ( approved ) từ chối ( rejected ) giao dịch  H(amount, currency, date, ID of Merchant) : giá trị hàm băm thông tin ( amount, currency, date, ID of Merchant ) H(ORDER) : giá trị hàm băm thông tin ORDER    2.2.3 Cơ chế giao thúc  Sau Customer đặt đơn toán , Merchant gửi cho Customer mẫu tốn chứa thơng tin đơn hàng Merchant ( ngày tháng giao dịch, số lượng hàng, số tiền tốn, ID Merchant, khóa cơng khai A 20 chứng thực khóa cơng khai này) Có thể Customer biết xác thơng tin đơn hàng Merchant mà minh giao dịch chẳng tổn hại an tồn Customer gửi lại thơng tin cho Merchant để khẳng định nhận thơng tin xác từ Merchant Customer kiểm tra lại tính hợp lệ thơng tin chứng thực khóa cơng khai CERTA Acquirer mà thực việc mã hóa SLIP khóa cơng khai Sau C tạo thành thơng điệp (đối tượng ) SLIP mã hóa khóa công khai A tạo thành mã y = EA(SLIP) truyền mã với thơng điệp ORDER cho Merchant  Merchant nhận thông tin từ Customer truyền tới , thực kiểm tra thông tin ORDER xem có thich hợp với lời đặt hàng OFFER khơng Sau Merchant thực băm ORDER, thu giá trị băm ORDER h = H(ORDER) gửi h với mã y tới Acquirer  Acquirer nhận thông tin từ Merchant h y Acquirer thực giải mã mã y khóa riêng Nếu giải mã bị lỗi thơng báo giao dịch khơng hợp lệ ( Customer khơng dùng khóa cơng khai Acquirer để mã hóa SLIP ) Ngược lại, giải mã thành công Acquirer lấy thông tin từ thông điệp SLIP để cấu thành thông điệp ORDER để thực băm : H(ORDER) so sánh với giá trị h Merchant gửi đến Nếu có sai khác, thông tin h SLIP bị thay đổi Acquirer thực kiểm tra số PIN Customer , ID Merchant cung cấp Customer Nếu kiểm tra thỏa mãn , Acquirer tạo thông điệp xác thực AUTH với thông tin phản hồi approved, thông điệp Acquirer ký lên chữ ký số SA SA tạo nhờ thuật toán tạo chữ ký số hệ mật mã đại RSA có sử dụng khóa bí mật SKA Thơng điệp thu SA( AUTH, EA(SLIP)) gửi lại cho Merchant Merchant kiểm tra tính hợp lệ chữ ký khóa cơng khai Acquirer, thỏa mãn thông tin Acquirer xác minh đắn Merchant xem lại lần thông tin nhận trước gửi lại chữ ký số nhận từ Acquirer tới Customer  Customer nhận thông tin phản hồi từ Merchant kết thúc giao dịch muốn thực tiếp giao dịch khác Giao thức 1KP giao thức đơn giản họ giao thức iKP Trong giao thức 1KP có Acquirer có quyền sở hữu khóa cơng khai phân phát cặp khóa cơng khai cho Customer, Merchant dùng để thực  21 mã hóa xác thực chữ ký Giao thức 2KP có Party có quyền sở hữu cặp khóa cơng khai Acquirer Merchant Ở giao thức 3KP có Party có quyền sở hữu khóa cơng khai Acquirer, Merchant Customer.Giao thức 2KP 3KP giải chi tiết phần tiếp sau Hình 2-2 Giao thức 1KP 2.3 Giao thức 2KP 2.1.1 Giới thiệu Sự khác 2KP so với 1KP là: Merchant có khố cặp khóa cơng khai/bí mật, Merchant phân phối khố cơng khai PKM chứng thực khóa cơng khai CERTM cho Customer Để rõ ràng, ta giả sử có Acquier chứng thực tất Merchant Chúng ta mã hoá thông tin đơn đặt hàng ( ORDER ) 2.1.2 Cơ chế giao thức 22 Hình 2-3 Giao thức 2KP Như giao thức 1KP, Customer nhận đơn chào hàng OFFER với chứng thực khóa cơng khai Acquirer CERT A, giao thức 2KP Customer cịn nhận từ Merchant khóa cơng khai PK M, chứng thực khóa cơng khai CERTM Merchant Sau nhận OFFER, PK M, CERTM, CERTA Customer thực tạo SLIP mã hóa khóa cơng khai Acquirer PK A thu EA(SLIP), ORDER tạo thành mã hóa khóa cơng khai Merchant PK M thu EM(ORDER) Customer gửi EA(SLIP), EM(ORDER) tới Merchant Các thông tin gửi tới Merchant đường truyền mã hóa Merchant nhận thông tin Customer gửi tới E A(SLIP), EM(ORDER), thực giải mã ORDER khóa bí mật SK M thực kiểm tra tính đắn thơng tin ORDER Giao dịch bị hủy bỏ Merchant nếu:  Giải mã ORDER không thành công: điều chứng tỏ Customer không mã hóa ORDER khóa cơng khai Merchant gửi tới, thông tin đường truyền bị thay đổi  Các thông tin nhận từ việc giải mã ORDER không hợp lệ thỏa thuận trước 23 Các thơng tin ORDER sau kiểm tra tính đắn Merchant thực băm mảnh thu h = H(ORDER) Merchant gửi chứng thực khóa cơng khai CERTM với SM(EA(SLIP),h) chữ ký số lên E A(SLIP) h tới Acquirer  Acquirer nhận thông tin từ Merchant CERT M, SM(EA(SLIP),h) thực xác thực chữ ký Merchant khóa cơng khai Merchant lấy chứng thực khóa cơng khai CERT M Nếu chữ ký khơng hợp lệ Acquirer phản hồi lại cho Merchant thông điệp AUTH với nội dung từ chối giao dịch ( rejected ).Ngược lại Acquirer tiếp tục giải mã E A( SLIP ) kiểm tra, xác thực thông tin SLIP ( amount, currecy, date, ID Merchant ) Thông tin xác thực AUTH, H(ORDER) E A(SLIP) Acquirer ký lên gửi tới Merchant  Merchant nhận chữ ký số Acquirer SA(AUTH, EA(SLIP), H(ORDER)), xác thực chữ ký ký lên chữ ký đó, gửi cho Customer  Customer xác thức chữ ký Và kết thúc giao dịch tiếp tục giao dịch Giao thức 2KP chế gần giống với giao thức 1KP Sự khác hai giao thức bổ sung quyền sở hữu khóa cơng khai Merchant phát sinh thêm số chức Party Ở giao thức 2KP thông tin truyền Customer Merchant mã hóa, độ an tồn bảo mật thông tin giao thức 1KP Giao thức 3KP có giải vấn đề tốt hai giao thức ? Sau chi tiết hóa giao thức 3KP 2.4 Giao thúc 3KP 2.4.1 Giới thiệu giao thức trên, Merchant Acquirer xác Customer tham gia giao dịch hay tổ chức Khi kết thúc giao dịch, chứng phiên giao dịch Customer khó truy lùng lại Giao thức 3KP khắc phục nhược điểm đó, Customer tham gia giao thức 3KP sở hữu chứng thực khóa cơng khai CERT C Đây chứng thực chứng minh tính pháp nhân Customer tham gia giao dịch, Customer phải chịu trách nhiệm trước pháp luật có cố xảy Để hiểu rõ giao thức 3KP biết qua phần chế giao thức: 2.4.2 Cơ chế giao thức Ở 24 Hình 2-4 Giao thức 3KP Customer nhận thông điệp OFFER với chứng thực khóa cơng khai Merchant Acquirer CERT M, CERTA Customer thực công việc sau : Sinh thông điệp ORDER SLIP  Dùng khóa cơng khai Acquirer ( PKA) để mã hóa thơng điệp SLIP vừa tạo thành thu mã EA(SLIP)  Customer dùng khóa cơng khai Merchant ( PKM ) để mã hóa thơng điệp ORDER thu EM(ORDER)  Customer dùng khóa bí mật SKC ký lên hai mã EA(SLIP) EM(ORDER) thu chữ ký số SC(EA(SLIP), EM(ORDER))  Cuối Customer gửi mã chữ ký số SC(EA(SLIP),EM(ORDER))) với CERTC tới Merchant để xác thực  Merchant sau nhận chứng thực khóa cơng khai CERTC, chữ ký SC(EA(SLIP),EM(ORDER))) thực tác vụ sau:  Merchant thực giải mã EM(ORDER).Giao dịch bị hủy bỏ việc giải mã không thành công Hủy bỏ giao dịch cách Merchant gửi thông điệp thông báo cho Customer biết giao dịch không không hợp lệ bị hủy bỏ Nếu giải mã thành công, Merchant tiếp tục thực tác vụ  Đối chiếu, kiểm tra thông tin ORDER xem có hợp lệ khơng Nếu tồn thơng tin khơng thỏa mãn giao dịch tốn bị  25 hủy bỏ Ngược lại, Merchant tiếp tục thực tác vụ tiếp  Băm mảnh ORDER thu H(ORDER)  Thực sinh chữ ký mã E A(SLIP) giá trị băm H(ORDER) thu SM(EA(SLIP),H(ORDER))  Gửi SM(EA(SLIP),H(ORDER)) với chứng thực khóa cơng khai CERTM tới Acquirer để xử lý  Acquirer nhận SM(EA(SLIP),H(ORDER)) với chứng thực khóa cơng khai CERTM thực :  Xác thực chữ ký Merchant gửi đến  Giải mã EA(SLIP) kiểm tra tính hợp lệ thơng tin SLIP  Thực kiểm tra H(ORDER)  Nếu tồn thông không hợp lệ Acquirer gửi thông điệp AUTH với nội dung từ chối giao dịch toán, gửi cho Merchant kèm với chữ ký SA(AUHT, EA(SLIP), H(ORDER))  Merchant nhận thơng tin phản hồi từ Acquirer thực việc sinh chữ ký số lên chữ ký Acquirer thu S M(SA(AUHT, EA(SLIP), H(ORDER))), gửi lại cho Customer  Customer nhận thông tin lại chữ ký SM(SA(AUHT, EA(SLIP), H(ORDER))) từ Merchant bắt đầu xác thực thông tin để biết kết giao dịch Customer kết thúc giao dịch tiếp tục thực phiên giao dịch giao thức 3KP thông tin đường truyền mã hóa thơng tin ký nhận để xác minh nguồn gốc thông tin Party gửi Rõ ràng giao thức 3KP đem lại minh bạch an toàn giao thức Ở 26 27 ... Chưa có sở pháp lý thức, chờ lệnh + Thanh toán, bảo mật, chứng thực ỏ trạng thái chờ đợi 1.2 Giới thiệu chung toán điện tử 1.2.1 Khái niệm toán điện tử Thanh toán điện tử ? Thanh tốn khâu khơng... 23 PHẦN I: LÝ THUYẾT VỀ THANH TOÁN ĐIỆN TỬ 1.1 Giới thiệu chung thương mại điện tử 1.1.1 Khái niệm thương mai điện tử Thương mại điện tử ? Thương mại điện tử (e-commerce) việc thực... I: LÝ THUYẾT VỀ THANH TOÁN ĐIỆN TỬ 1.1 Giới thiệu chung thương mại điện tử .3 1.1.1 Khái niệm thương mai điện tử .3 1.1.2 Thương mai điện tử - lợi ích cho doanh