Cá hệ thống thanh toán điện tử

Mục đích của thương mại trực tuyến là phát triển một nhóm nhỏ các phương thức thanh toán có thể được sử dụng r ng rãi trong các khách hàng và được các nhà bán hàng c ng nh ngân ộ ũ ưhàng

Tổng quan về thanh toán đ ệ i n tử

Sự hình thành công nghệ thanh toán đ ệ i n tử

Các công nghệ thanh toán đã phát triển mạnh mẽ, điển hình là dịch vụ chuyển tiền của Western Union, cho phép cá nhân chuyển tiền cho người khác ở địa điểm khác nhau Tiền chỉ được chuyển giao cho khách hàng sau khi đáp ứng các điều kiện nhận diện, mà không cần sự tham gia của ngân hàng An toàn giao dịch được kiểm soát qua các thông tin riêng biệt trong từng giao dịch, chỉ khách hàng và người nhận mới biết số tiền được chuyển Chữ ký được sử dụng như một công cụ xác nhận, đảm bảo rằng quá trình chuyển giao đã hoàn thành khi khách hàng nhận được tiền.

Trong những năm 1960-1970, công nghệ mạng đã phát triển phương thức chuyển tiền điện tử (Electronic Funds Transfer), cho phép thực hiện giao dịch nhanh chóng giữa các ngân hàng Mặc dù các hệ thống này không thay đổi đáng kể hệ thống thanh toán, nhưng chúng đã giúp giảm thiểu chi phí hoạt động của ngân hàng, bao gồm chi phí phục vụ và thời gian xử lý giao dịch Những cải tiến này cũng nhằm giảm thiểu sai sót trong các nghiệp vụ ngân hàng, góp phần nâng cao hiệu quả trong việc chuyển tiền.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội cho thấy rằng, trong thời gian đầu áp dụng, các hàng hóa ít được sử dụng Các sáng kiến trong thương mại điện tử hiện nay chủ yếu nhằm tạo ra phương thức giao dịch thanh toán đơn giản và tức thời Trong một giao dịch điện tử, các bước kiểm tra và thủ tục thanh toán diễn ra ngay lập tức khi khách hàng gửi yêu cầu chuyển tiền cho giao dịch mua bán trực tuyến.

Quy trình chung khi thanh toán đ ệ i n tử

1 Khách hàng tìm kiếm các hạng mục hàng hoá và dịch vụ Sử dụng trình duy t Web, ệ khách hàng có thể xem trực tiếp các catalogue (danh mục) trên trang Web của người bán Web

2 Khách hàng chọn lựa các hạng mục mà họ cần thông qua vi c ánh giá, so sánh giá ệ đ cả, nhãn hiệu, chất lượng và các biến số khác của nhiều người bán khác nhau

3 Khách hàng đ ềi n những thông tin thanh toán và đ ại chỉ liên hệ vào đơ đặn t hàng (Order Form) của Website bán hàng (còn gọi là Website thương mại đ ệ ửi n t ) Doanh nghiệp nhận được yêu cầu mua hàng hoá hay dịch vụ của khách hàng và phản hồi xác nhận tóm tắt lại những thông tin cần thiết nh mặt hàng đã chọn, địa chỉ giao nhận và số phiếu đặt hàng

4 Khách hàng kiểm tra lại các thông tin, lựa chọn phương thức thanh toán và kích vào nút "đặt hàng", từ bàn phím hay chuột của máy tính, để gửi thông tin tr vềả cho doanh nghiệp

Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội 5

5 Doanh nghiệp nhận và lưu trữ thông tin đặt hàng đồng thời chuy n ti p thông tin ể ế thanh toán (số thẻ tín dụng, ngày đáo hạn, ch thủ ẻ ) đã được mã hoá n máy chđế ủ (Server, thiết bị xử lý d li u) c a Trung tâm cung c p d ch v xửữ ệ ủ ấ ị ụ lý th trên m ng ẻ ạ Internet Với quá trình mã hóa các thông tin thanh toán của khách hàng được bảo mật an toàn nhằm chống gian lận trong các giao dịch (chẳng hạn doanh nghiệp sẽ không biết được thông tin về thẻ tín dụng của khách hàng)

6 Khi Trung tâm Xử lý thẻ tín dụng nhận được thông tin thanh toán, sẽ giải mã thông tin và xử lý giao dịch đằng sau b c tường lửa FireWall và thông qua một đường ứ truyền tách rời khỏi mạng Internet, nhằm mục đích bảo mật tuyệt đối cho các giao dịch thương mại, định dạng lại giao dịch và chuyển tiếp thông tin thanh toán đến ngân hàng của doanh nghiệp (Acquirer) theo một đường dây thuê bao riêng (một đường truyền s li u riêng bi t) ố ệ ệ

7 Ngân hàng của doanh nghiệp gởi thông đ ệi p đ ệi n tử yêu cầu thanh toán (authorization request) đến ngân hàng hoặc công ty cung cấp thẻ tín dụng của khách hàng (Issuer)

Và tổ chức tài chính này sẽ phản hồi là đồng ý hoặc từ chối thanh toán đến trung tâm xử lý thẻ tín dụng trên mạng Internet

8 Trung tâm xử lý thẻ tín dụng trên Internet sẽ tiếp tục chuyển tiếp những thông tin phản hồi trên đến doanh nghiệp, và tùy theo đó doanh nghiệp thông báo cho khách hàng được rõ là đơn đặt hàng sẽ được thực hiện hay không.

Phân loại các thanh toán đ ệ i n tử

Có nhiều cách phân loại mô hình thanh toán khác nhau tuỳ theo tiêu chí phân loại khác nhau

Phân lo ạ i theo giá tr ị ủ c a giao d ch ị

Dựa theo giá trị của giao dịch ta có 3 hệ thống thanh toán sau:

Thanh toán nhỏ (micro payments) là các giao dịch có giá trị nhỏ, thường khoảng 5 đô la Giải pháp tối ưu cho loại hình này là sử dụng tiền điện tử, vì chi phí giao dịch cho các hệ thống này gần như bằng không.

Thanh toán tiêu dùng là các giao dịch có giá trị từ 5 đến 500 đô la Thông thường, các thanh toán này được thực hiện qua thẻ tín dụng.

Business payments involve transactions exceeding $500, where direct debit and invoicing are the most suitable solutions.

Phân lo ạ i theo th ờ đ ể i i m thanh toán

Dựa theo thời đ ểm thanh toán ta có 3 hệ thống thanh toán sau: i

Trả trước (pre-paid) là hình thức thanh toán yêu cầu người dùng trả tiền trước khi mua sản phẩm hoặc dịch vụ Các hệ thống trả trước hoạt động bằng cách lưu trữ tiền điện tử vào ổ đĩa cứng hoặc thẻ thông minh, được gọi là ví ảo Tiền điện tử có thể được sử dụng để thanh toán cho hàng hóa và dịch vụ trực tuyến, với ưu điểm là ẩn danh, không ai có thể truy ngược người đã trả tiền Tuy nhiên, nhược điểm của phương thức này là yêu cầu lưu trữ trên ổ đĩa cứng hoặc smart card, nếu mất file thì có nghĩa là mất ví và bất cứ ai tìm được nội dung của ví đều có thể sử dụng nó.

Bảng 1: So sánh các công nghệ thanh toán

Trả trước Trả ngay Trả sau

Tính chấp nhận Cao Thấp Thấp

Tính ẩn danh Thấp Cao Trung bình

Khả năng chuyển đổi Cao Cao Cao

Tính hiệu quả Thấp Cao Cao

Tính linh hoạt Thấp Thấp Thấp

Tính tích hợp Cao Thấp Trung bình Độ tin cậy Cao Cao Cao Độ an toàn Trung bình Cao Trung bình

Tính sử ụ d ng Cao Trung bình Trung bình

Phân lo ạ i theo b ả n ch ấ t c ủ a giao d ị ch

Dựa vào bản chất của các giao dịch ta có các 2 hệ thống thanh toán sau:

Các hệ thống thanh toán B2C ắ Vớ đ ệ ửi n t - Digital Wallets ắ Tiề đ ệ ửn i n t - Digital Cash

Các hệ thống lưu trữ giá trị trực tuyến

Các hệ thống lưu trữ giá trị thẻ Smart Card

Smart card stored value systems offer a convenient method for digital accumulating balance payments, enabling users to manage their funds efficiently Digital credit card payment systems provide a secure and flexible option for online transactions, allowing consumers to make purchases with ease Additionally, digital checking payment systems facilitate direct bank transfers, ensuring quick and reliable payment processing for various services.

Các hệ th ng thanh toán B2B ố

Có 2 hệ thống chính ắ Cỏc hệ ố th ng thay th ngõn hàng truyền thống ế ắ Cỏc hệ ố th ng ngõn hàng truy n th ng m r ng t i th trường B2B ề ố ở ộ ớ ị

Khái quát về ề v các hệ thống thanh toán đ ệ i n tử

Ví đ ệi n tử - Digital Wallets

Xác thực khách hàng thông qua chữ ký điện tử và các phương pháp mã hóa khác giúp lưu trữ và truyền tải giá trị, đảm bảo an ninh cho giao dịch thanh toán giữa khách hàng và người bán.

Các dạng ví đ ệi n tử:

Ví dụ về ví điện tử dựa trên khách hàng là các ứng dụng phần mềm mà người mua cài đặt trên thiết bị của mình, giúp tự động điền thông tin vào các biểu mẫu khi mua sắm trực tuyến, mang lại sự thuận tiện cho khách hàng.

Server-based digital wallets là phần mềm dùng để xác thực và thanh toán cho sản phẩm và dịch vụ, thường được cung cấp cho các tổ chức tài chính Các nhà cung cấp sản phẩm có thể mua hệ thống này trực tiếp hoặc thông qua các dịch vụ tài chính khác.

Tiền đ ệi n tử - Digital Cash

Còn được gọi là e-cash

Các dạng i n tử ủđ ệ c a giá trị ư l u trữ hay chuyển đổi Yêu cầu có người trung gian trong quá trình chuyển đổi

Hệ thống thanh toán lưu trữ giá trị trực tuyến cho phép người mua thực hiện thanh toán trực tuyến cho người bán và các cá nhân khác dựa trên số tiền được

Hệ thống lưu trữ giá trị thẻ Smart Card (Smart cards Stored Value Systems) tương tự như các hệ thống lưu trữ giá trị khác, nhưng dựa trên công nghệ thẻ tín dụng với chip lưu trữ thông tin cá nhân.

Các hệ thống thanh toán cân đối tích luỹ

(Digital Accumulating Balance Payment Systems)

Cho phép người sử dụng th c hi n thanh toán nh (micropayment) - tích lu các thanh ự ệ ỏ ỹ toán, cân đối tài khoản khi được thanh toán vào cuối mỗi tháng

Các hệ thống thanh toán thẻ tín dụng

(Digital Credit Card Payment Systems)

Tìm kiếm sự mở rộng c a các ch c n ng trong củủ ứ ă a các th credit card ang t n t i để tr ẻ đ ồ ạ ở thành một công cụ thanh toán trực tuyến

Các hệ thống thanh toán séc

Tìm kiếm sự mở rộng c a các ch c n ng trong c a các tài kho n séc ang t n t i ủ ứ ă ủ ả đ ồ ạ để tr ở thành một công cụ thanh toán trực tuyến

1.5 M ộ t s ố khái ni m trong th ươ ng m ạ đ ệ ệ i i n t ử

Merchant là những người bán hoặc cơ sở kinh doanh hàng hóa và dịch vụ, như nhà hàng, khách sạn, và cửa hàng, có hợp đồng với Ngân hàng thanh toán để chấp nhận thanh toán bằng thẻ Các đơn vị này cần trang bị thiết bị kỹ thuật để tiếp nhận thanh toán tiền cho hàng hóa, dịch vụ, thay thế cho việc sử dụng tiền mặt.

Ngân hàng đại lý, hay còn gọi là Ngân hàng thanh toán, là tổ chức tài chính trực tiếp ký hợp đồng với cơ sở chấp nhận thẻ để thực hiện việc thanh toán các giao dịch Một ngân hàng có thể đồng thời đóng vai trò thanh toán thẻ và phát hành thẻ, giúp tối ưu hóa quy trình giao dịch cho cả người tiêu dùng và các doanh nghiệp.

Chủ thẻ là người có tên trên thẻ, có quyền sử dụng thẻ để thanh toán cho hàng hóa và dịch vụ Chỉ riêng chủ thẻ mới được phép sử dụng thẻ của mình Khi thực hiện thanh toán tại các cơ sở, chủ thẻ cần xuất trình thẻ để được kiểm tra theo quy trình và nhận biên lai thanh toán.

Bảng thông báo, hay còn gọi là danh sách báo động khẩn cấp, là danh sách liệt kê các thẻ không được phép thanh toán hoặc mua hàng hóa, dịch vụ Các thẻ này bao gồm thẻ tiêu dùng vượt hạn mức, thẻ giả mạo đang lưu hành, thẻ bị lộ mã PIN, thẻ bị mất cắp, thất lạc, và thẻ bị lỗi Danh sách này được cập nhật liên tục và gửi đến tất cả các ngân hàng thanh toán để thông báo kịp thời cho các cơ sở chấp nhận thẻ.

Credit limt - Hạn m c tín d ng được hi u là t ng s tín d ng t i a mà Ngân hàng phát ứ ụ ể ổ ố ụ ố đ hành thẻ ấ c p cho chủ thẻ ử ụ s d ng đối v i từng loại thẻ ớ

Card account - Tài khoản thẻ là tài khoản được mở riêng cho việc sử dụng và thanh toán thẻ của chủ thẻ

Số PIN (Personal Identification Number) là mã số cá nhân của chủ thẻ, dùng để thực hiện giao dịch rút tiền tại máy ATM Mã số này được Ngân hàng phát hành thẻ cung cấp cho chủ thẻ khi phát hành Chủ thẻ cần giữ bí mật về mã số PIN, chỉ có mình họ biết để đảm bảo an toàn cho tài khoản.

Mã số BIN (Bank Identifier Number) là mã định danh của ngân hàng phát hành thẻ Trong hiệp hội thẻ, mỗi ngân hàng thành viên được cấp một mã riêng, giúp quản lý giao dịch thanh toán và truy xuất thông tin hiệu quả.

Statement date - Ngày sao kê là ngày ngân hàng phát hành thẻ lập các sao kê về khoản chi tiêu mà chủ thẻ phải thanh toán trong tháng

Ngày đáo hạn là thời điểm mà ngân hàng quy định cho chủ thẻ thực hiện thanh toán toàn bộ hoặc một phần số tiền trong hóa đơn sao kê.

PSP (Processing Service Provider) - là nhà cung cấp dịch vụ ử x lý thanh toán qua mạng

Merchant Account là tài khoản thanh toán cho doanh nghiệp tham gia thương mại điện tử, cho phép chuyển tiền vào tài khoản của doanh nghiệp hoặc hoàn trả tiền cho khách hàng khi giao dịch bị hủy do không đáp ứng yêu cầu nào đó giữa người bán và người mua, chẳng hạn như chất lượng sản phẩm Để sử dụng Merchant Account, doanh nghiệp cần đăng ký tại ngân hàng hoặc tổ chức tín dụng, cho phép nhận thanh toán bằng thẻ tín dụng.

Phí trả tháng là khoản chi mà doanh nghiệp phải thanh toán cho các dịch vụ liên quan, bao gồm bảng kê ghi lại số tiền nhập và xuất trong tài khoản doanh nghiệp theo chu kỳ nhất định như hàng tháng hoặc hàng tuần, cũng như các khoản phí cho truy cập mạng và duy trì dịch vụ thanh toán trực tuyến.

Cơ sở cho các thanh toán đ ệ i n tử

Bảo vệ các kênh truyền thông

Các kênh truyền thông đóng vai trò quan trọng trong an toàn thương mại điện tử Hàng ngày, các báo và tạp chí đều đưa tin về các vụ tấn công mạng và việc truy cập trái phép vào hệ thống máy tính qua các kênh không an toàn Để đảm bảo an toàn, việc cung cấp kênh thanh toán an toàn cần phải đi đôi với việc bảo vệ tính toàn vẹn của thông báo và tính sẵn sàng của kênh Ngoài ra, một kế hoạch an toàn toàn diện cần bao gồm xác thực, đảm bảo rằng người sử dụng máy tính thực sự là người mà họ tuyên bố.

Một biện pháp cơ bản nhất trong bảo vệ các kênh truyền thông là mã hoá

Mã hóa là quá trình biến đổi thông tin thành một chuỗi ký tự khó hiểu thông qua các phương pháp toán học và một khóa bí mật Mục đích của mã hóa là để che giấu thông điệp, chỉ cho phép người gửi và người nhận có thể đọc được Ngành khoa học nghiên cứu về mã hóa được gọi là mật mã học.

Mật mã không chỉ đơn thuần là che giấu thông tin, mà còn chuyển đổi dữ liệu thành chuỗi ký tự mà chúng ta có thể nhìn thấy nhưng không hiểu được ý nghĩa của nó Một chuỗi ký tự khó hiểu được tạo ra bằng cách kết hợp các bit, tương tự như các ký tự trong bảng chữ cái, tạo thành một thông điệp có vẻ ngẫu nhiên.

Chương trình chuyển đổi văn bản rõ sang văn bản mã được gọi là chương trình mã hóa Các thông báo được mã hóa ngay trước khi gửi qua mạng, và chương trình

Luận văn cao học ngành Công nghệ Thông tin tại ĐH Bách Khoa Hà Nội 17 đã chỉ ra rằng một số công ty Mỹ cung cấp các phần mềm mã hóa hoặc phần mềm tích hợp công nghệ mã hóa.

Một thuộc tính quan trọng của các thuật toán mã hóa là ngay cả khi biết chi tiết về chương trình, người khác vẫn không thể giải mã thông điệp nếu không có khóa mã hóa Độ dài tối thiểu của khóa là 40 bits, nhưng một khóa dài hơn, như 128 bits, sẽ cung cấp mức độ bảo mật cao hơn Với khóa đủ dài, các thông điệp sẽ trở nên khó bị phát hiện và bảo vệ thông tin hiệu quả hơn.

Phân loại mã hoá

Kiểu của khoá và chương trình mã hoá được sử dụng để “gi bí m t” m t thông báo được ữ ậ ộ chia làm 3 loại:

Mã băm là quá trình sử dụng thuật toán để tính toán giá trị băm từ một thông báo có độ dài bất kỳ, đóng vai trò như "dấu vân tay" của thông báo đó Mỗi thông báo sẽ có một giá trị băm duy nhất, và khả năng xảy ra tình trạng hai thông báo khác nhau có cùng giá trị băm là rất thấp nhờ vào các thuật toán băm chất lượng cao Việc mã hóa kết quả băm giúp phát hiện sự sửa đổi của thông báo trong quá trình truyền tải, vì giá trị băm ban đầu và giá trị băm do người nhận tính toán sẽ không trùng khớp nếu thông báo bị thay đổi.

Mã hóa đối xứng (mã hoá khoá riêng) chỉ sử dụng m t khoá s , ch ng hạn như ộ ố ẳ

Mã hóa và giải mã dữ liệu sử dụng cùng một khóa bí mật, yêu cầu cả người gửi và người nhận đều phải biết khóa này Phương pháp mã hóa đối xứng rất nhanh và hiệu quả, nhưng khóa cần được bảo mật cẩn thận; nếu khóa bị lộ, tất cả thông báo trước đó sẽ bị rò rỉ và cả hai bên phải sử dụng khóa mới cho các cuộc trao đổi tiếp theo Việc phân phối khóa mới cho các thành viên gặp nhiều khó khăn, đặc biệt trong các môi trường lớn như Internet, nơi mỗi cặp thành viên cần một khóa bí mật riêng Số lượng khóa cần thiết sẽ tăng lên theo cấp số nhân; ví dụ, nếu có 12 người muốn giao tiếp an toàn, sẽ cần đến 66 khóa bí mật.

Mã hoá phi đối xứng, hay còn gọi là mã hoá công khai, sử dụng cặp khoá để mã hoá và giải mã thông báo Vào năm 1977, Ronald Rivest, Adi Shamir và Leonard Adleman phát minh ra hệ thống khoá công khai RSA Trong hệ thống này, khoá công khai được phân phối rộng rãi, cho phép bất kỳ ai muốn giao tiếp an toàn với người sở hữu cặp khoá Khoá công khai được dùng để mã hoá thông điệp, trong khi khoá riêng được giữ bí mật bởi người sở hữu Ví dụ, nếu Bob muốn gửi một thông điệp cho Alice, anh ta sẽ sử dụng khoá công khai của Alice để mã hoá thông điệp Chỉ có Alice mới có thể giải mã thông điệp đó bằng khoá riêng của mình Tương tự, Alice có thể gửi thông điệp bí mật cho Bob bằng cách mã hoá với khoá công khai của Bob, và Bob sẽ sử dụng khoá riêng của mình để giải mã.

Mã hoá băm

Một biến thể của MAC là hàm b m, với đầu vào là thông báo M có kích thước thay đổi và đầu ra là mã băm H(M) có kích thước cố định Đầu ra của hàm băm thường được gọi là tóm lược thông báo Mã băm là hàm của tất cả các bit trong thông báo, đồng thời cung cấp khả năng phát hiện lỗi: nếu có sự thay đổi ở bất kỳ bit nào trong thông báo, mã băm cũng sẽ thay đổi theo.

Mã băm tạo ra "dấu vân tay" cho thông báo, giúp xác thực dữ liệu Hàm băm phải đáp ứng các tính chất cần thiết để đảm bảo tính chính xác trong việc xác thực thông báo.

• H được áp dụng cho m t kh i d li u có kích c b t k ộ ố ữ ệ ỡ ấ ỳ

• Đầu ra của H có độ dài c định ố

• Dễ dàng tính toán H(x) với mọi x cho trước

• Với mọi mã h cho trước, không thể tìm được x sao cho H(x)=h Đôi khi tính chất này được gọi là tính chất một chiều

• Với mọi khối x cho trước, không thể tìm được y ≠ x sao cho H(y) = H(x) Đôi khi tính chất này được gọi là tính ch t va ch m y u (kh n ng trùng ít) ấ ạ ế ả ă

• Không thể tìm được bấ ỳt k cặp (x,y) nào sao cho H(x) = H(y) Tính ch t này được ấ gọi là va chạm mạnh

Mã hóa đối xứng

Trong mã hóa đối xứng, bản rõ được chuyển đổi thành bản mã thông qua một thuật toán và một khóa Khóa là giá trị độc lập với bản rõ, và đầu ra của thuật toán phụ thuộc vào khóa xác định Khi thay đổi khóa, đầu ra của thuật toán cũng sẽ thay đổi tương ứng.

Khi bản mã được tạo ra, nó có thể được truyền đi và được giải mã trở lại thành bản rõ ban đầu nhờ một thuật toán giải mã sử dụng cùng một khóa đã được dùng khi mã hóa Độ an toàn của bản mã phụ thuộc vào một số yếu tố, trong đó thuật toán mã hóa phải đủ mạnh để việc giải mã chỉ dựa vào bản mã là không khả thi Đặc biệt, độ an toàn của mã hóa đối xứng phụ thuộc vào sự bí mật của khóa, không phụ thuộc vào sự bí mật của thuật toán Điều này có nghĩa là việc giải mã một thông báo dựa vào bản mã và thông tin về thuật toán mã hóa/giải mã là không thể thực hiện được, chỉ cần giữ bí mật của khóa mà không cần giữ bí mật của thuật toán.

Mã hoá đối xứng được sử dụng rộng rãi nhờ vào đặc tính không cần giữ bí mật của thuật toán Điều này cho phép các nhà sản xuất dễ dàng sản xuất chip mã hoá với chi phí thấp, đồng thời dễ dàng tích hợp vào nhiều sản phẩm khác Tuy nhiên, khi áp dụng mã hoá đối xứng, vấn đề an toàn quan trọng nhất vẫn là bảo mật của khoá.

Hình 2-1: Mô hình mã hoá đối xứng đơn giản

Hãy chú ý đến các yếu tố cơ bản của lược đồ mã hóa trong hình 2-2 Nguồn A tạo ra một thông báo rõ ràng X = [X1, X2, …, XM], trong đó các phần tử của X là các ký tự từ một bảng chữ cái hữu hạn Trước đây, bảng chữ cái thường bao gồm 26 chữ cái cơ bản, nhưng hiện nay, bảng chữ cái nhị phân {0,1} được sử dụng phổ biến hơn Khi thực hiện mã hóa, một khóa có dạng K = [K1, ].

K2, …,Ki] được sinh ra Nếu khoá do nguồn sinh ra, khoá phải được chuyển n đế đích theo một

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội yêu cầu sinh viên sử dụng các kênh an toàn để truyền và phân phối khóa an toàn cho cả nguồn và đích Việc này đảm bảo bảo mật thông tin trong quá trình giao tiếp và xử lý dữ liệu.

Với đầu vào là thông báo X và khoá mã K, đầu ra của thuật toán mã hoá là một bản mã Y

= [Y1, Y2, …,YN] Chúng ta có thể viết như sau:

Khi người nhận hợp pháp nh n ậ được bản mã có thể giải mã bản mã nhờ dùng một khoá (dùng trong khi mã hoá) như sau:

Hình 2-2: Mô hình mã hoá đối xứng

Thuật toán mã hóa DES (Data Encryption Standard) là một phương pháp mã hóa đối xứng được thiết kế bởi IBM vào những năm 1970 và đã được NIST công nhận.

Nguồn của thông báo Đích

Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã chấp nhận thuật toán mã hóa DES cho các ứng dụng thương mại và chính phủ DES là một thuật toán mã hóa khối sử dụng khóa 56 bit với kích thước khối 64 bit Thuật toán này có các quy tắc và phép biến đổi phức tạp nhằm tối ưu hóa hiệu suất khi triển khai phần cứng, nhưng lại chậm hơn khi thực hiện bằng phần mềm Tuy nhiên, sự chậm chạp trong việc “mềm hóa” không còn là vấn đề lớn ngày nay do tốc độ xử lý của CPU đã tăng đáng kể so với 30 năm trước Trong nhiều năm, chính phủ Mỹ đã công nhận thuật toán mã hóa DES.

Mặc dù 56 bit được coi là an toàn tuyệt đối và không thể bị phá, thực tế cho thấy điều này không hoàn toàn chính xác Vào ngày 17 tháng 7 năm 1998, tổ chức EFF (Electronic Frontier Foundation) đã công bố việc phát triển một hệ thống phần cứng có khả năng giải mã DES trong vòng 4.5 ngày với chi phí khoảng 220,000 USD Thậm chí, có thông tin cho rằng những thiết bị tương tự có thể được thiết kế với giá dưới 50,000 USD Từ đó, có thể suy luận rằng một hệ thống giải mã DES-56 bit có thể được xây dựng trong một ngày với chi phí dưới 1,000,000 USD.

Triple DES (3DES) là phiên bản nâng cao của DES, mặc dù chậm hơn gấp ba lần nhưng lại an toàn hơn nhiều nếu được sử dụng đúng cách 3DES đã trở nên phổ biến hơn DES do DES đã yếu và dễ bị tấn công trước sự phát triển nhanh chóng của công nghệ Triple DES sử dụng ba khoá K1, K2 và K3 để mã hoá dữ liệu, mang lại độ bảo mật cao hơn cho thông tin.

Trong đó các EK(P) và DK(P) tương ứng bi u diể ễn mã hoá và giải mã của thuật toán DES với khoá K và văn bản rõ P

Quá trình giải mã văn bản mã thực hiện như sau:

Việc sử dụng ba khóa độc lập 56 bit trong thuật toán 3DES tạo ra một khóa hiệu quả với độ dài 168 bit Một biến thể phổ biến là sử dụng hai khóa (trong đó K3 = K1), dẫn đến khóa có độ dài 112 bit Ngoài ra, một biến thể khác là sử dụng ba khóa giống nhau (K3 = K2 = K1), cho phép việc lưu trữ khóa trở nên hiệu quả hơn.

Mã hoá công khai

Whitfield Diffie, người đồng phát minh ra mã hoá công khai cùng với Martin Hellman tại Đại học Stanford, đã suy luận rằng yêu cầu thứ hai phủ định bản chất của mật mã Theo ông, bản chất của mật mã đảm bảo tính bí mật trong liên lạc, và việc tạo ra các hệ mật không đảm bảo tính bí mật này là không thể.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội yêu cầu người sử dụng các hệ thống phải chia sẻ các khóa của trung tâm phân phối khóa (KDC) Điều này là cần thiết vì trung tâm này có khả năng lưu trữ khóa một cách an toàn.

Vấn đề thứ hai mà Diffie đề cập là chữ ký số Nếu việc sử dụng mật mã trở nên phổ biến không chỉ trong lĩnh vực quân sự mà còn trong thương mại và cá nhân, thì các thông báo và tài liệu điện tử cần phải có chữ ký Chữ ký số sẽ có hiệu lực tương tự như chữ ký trên giấy tờ.

Hình 2-3: Mã hoá công khai Các hệ ậ m t khoá công khai

Các thuật toán mã hóa khóa công khai sử dụng một khóa để mã hóa và một khóa khác để giải mã, tạo thành cặp khóa Chúng có những đặc điểm cơ bản như khả năng bảo mật cao, dễ dàng chia sẻ khóa công khai mà không làm giảm tính an toàn của thông tin.

• Không thể xác định được khoá gi i mã n u chỉ căn cứả ế vào các thông tin v thu t ề ậ toán và khoá mã hoá

Một số thuật toán, chẳng hạn như RSA, cũng có tính chất sau:

• Một trong hai khoá được sử dụng để mã hoá, khoá còn lại được sử dụng để giải mã

Hình 2-3 mô tả quá trình mã hoá công khai

1 Alice sử dụng m t thu t toán mã hoá công khai ộ ậ để tạo ra m t c p khoá; khoá riêng ộ ặ (private) được giữ mật và m t khoá công khai Alice c ng chu n b các thông đ ệộ ũ ẩ ị i p cần gửi cho Bob

2 Alice gửi khoá công khai đếp Bob, không mã hoá Do khoá riêng không thể suy ra từ việc phân tích khoá công khai nên việc gửi khóa công khai không cần mã hoá là vẫn an toàn

3 Alice từ bây giờ có thể chứng minh định danh của mình với Bob (gọi là quá trình xác thực) Để xác thực Alice chỉ ầ c n sử ụ d ng khoá riêng mã hoá thông đ ệi p và gửi tới Bob

4 Bob dùng khoá công khai để giải mã thông đ ệi p Gi i mã thành công s ch ng t rằng ả ẽ ứ ỏ thông đ ệi p được gửi từ Alice (do chỉ một mình Alice có khóa riêng h p v i khoá công ợ ớ khai đã gửi cho Bob)

5 Bob mã hoá thông đ ệi p dùng khoá công khai của Alice để gửi lạ Đi ây là một quá trình an toàn vì chỉ ộ m t mình Alice mới có khoá riêng trong cặp để giải mã thông đ ệi p

6 Alice giải mã thông đ ệi p v i khoá riêng ớ

Hình 2-4: Hệ ậ m t khoá công khai – Bí m t ậ

Nguồn của thông báo Đích

Phân tích mã X* (X ước lượng) Đích B

Với giải pháp này, mọi thành viên trong nhóm truyền thông đều có thể truy cập vào khoá công khai, trong khi khoá riêng của từng người được bảo mật Sự an toàn trong quá trình liên lạc phụ thuộc vào việc giữ bí mật khoá riêng Mỗi thành viên có quyền thay đổi khoá riêng của mình bất kỳ lúc nào và công bố khoá công khai mới để thay thế khoá công khai cũ.

Mã hóa khóa công khai và mã hóa khóa đối xứng có những đặc điểm quan trọng khác nhau Trong mã hóa đối xứng, khóa sử dụng được gọi là khóa mật, trong khi đó, mã hóa công khai sử dụng hai loại khóa: khóa công khai và khóa riêng.

Bảng 2: Mã hoá công khai và mã hoá đối xứng

Mã hoá đối xứng Mã hoá công khai

Các yêu cầu khi sử ụ d ng

Quá trình mã hoá và giải mã sử dụng cùng một thuật toán với cùng một khoá

Người gửi và người nhận phải sử dụng chung thuật toán và khoá

Một thuật toán mã hóa sử dụng cặp khóa để thực hiện quá trình mã hóa và giải mã Trong đó, một khóa được dùng để mã hóa dữ liệu, trong khi khóa còn lại được sử dụng để giải mã Cả người sử dụng và người nhận đều sở hữu một khóa trong cặp khóa này.

Các yêu cầu an toàn

Khoá phải giữ bí mật

Không thể giải mã được thông báo nếu không có thêm các thông tin có giá trị khác

Các thông tin về thuật toán, các mẫu bản mã không đủ để xác định khoá

Một trong hai khóa cần được bảo mật Để giải mã thông báo, cần phải có thêm thông tin giá trị khác Các thông tin về thuật toán, một trong các khóa và mẫu bản mã không đủ để xác định khóa.

Chúng ta xem xét kỹ các yếu tố trong lược đồ mã hoá khoá công khai (hình 2-4):

Nguồn A thông báo rõ ràng với nội dung X = [X1, X2, …, XM], trong đó các phần tử Xi (i = 1 M) là chữ cái trong một bảng mã A dự định gửi thông báo này đến đích B, người sẽ tạo ra một cặp khóa bao gồm khóa công khai KU b và khóa riêng KRb Chỉ B biết khóa riêng KRb, trong khi khóa công khai KUb được công bố công khai, cho phép A truy cập vào khóa công khai này.

Với đầu vào là thông báo X và khoá mã hoá KUb A tạo ra một bản mã Y = [Y1, Y2, …,YN] với Y = EKUb(X)

Người nhận hợp lệ (người s hữở u khoá riêng) thu được X, qua phép bi n đổi ngược X = ế

Đối phương có thể khôi phục lại thông báo X và khóa KRb nếu họ có thông tin về thuật toán mã hóa và giải mã Bằng cách tạo ra một bản rõ ước lượng của X, họ có thể phục hồi thông tin cần thiết Tuy nhiên, để đọc được các thông báo mới, đối phương cần khôi phục khóa KRb bằng cách sinh ra một khóa mới.

Chữ ký đ ệ i n tử

Chữ ký điện tử sử dụng công nghệ khóa công khai để ký và mã hóa tài liệu cũng như giao dịch Nguyên lý hoạt động của chữ ký điện tử đảm bảo tính bảo mật thông tin, giúp xác thực danh tính và ngăn chặn việc giả mạo.

2.7.1 Quá trình ký đ ệi n t ử Đầu tiên, thông đ ệi p được tính toán b i hàm b m m t chi u (one-way hash function), hàm ở ă ộ ề này tính toán thông đ ệi p và trả về một b n tóm tắt của thông đ ệả i p (message digest), hàm băm một chiều đảm bảo rằng bản tóm tắt của thông đ ệp này là duy nhất và bất kỳ mộ ửi t s a đổi dù nh ỏ nhất trên thông đ ệi p cũng s gây ra thay đổi cho b n tóm t t này Sau đẽ ả ắ ó người g i s dùng khoá ử ẽ riêng của mình mã hoá bản tóm tắt này Nội dung sau khi được mã hoá chính là "chữ ký đ ệi n tử" (digital signature) của thông đ ệ đi p ó được ký bởi người gửi Chữ ký đ ệi n t này sử ẽ được g i đến ử cho người nhận kèm với thông đ ệi p

Hình 2-7: Quá trình ký đ ệi n tử

2.7.2 Quá trình kiểm tra chữ ký đ ệi n tử

Khi người nhận nhận được thông điệp, họ sẽ sử dụng khóa công khai của người gửi để giải mã chữ ký điện tử Kết quả giải mã này là bản tóm tắt của thông điệp đã gửi Tiếp theo, người nhận sẽ sử dụng hàm băm để tính toán lại bản tóm tắt từ nội dung của thông điệp Nếu kết quả trùng khớp với bản tóm tắt đã giải mã, quá trình kiểm tra thành công; ngược lại, có thể kết luận rằng thông điệp đã bị giả mạo hoặc thông tin đã bị thay đổi trong quá trình truyền tải.

Hình 2-8: Ki m tra chể ữ ký đ ệi n tử

Yêu cầu chung cho các giao dịch thanh toán

Ẩn danh người dùng và không dấu vết

Để bảo vệ danh tính người dùng một cách hiệu quả, việc sử dụng một bí danh thay cho tên thật là cần thiết Tuy nhiên, nếu một giao dịch trực tuyến có thể truy tìm về máy chủ gốc mà chỉ được sử dụng bởi một người duy nhất, thì tính năng ẩn danh sẽ không còn hiệu quả Do đó, cần có các biện pháp bảo mật mạnh mẽ hơn để đảm bảo rằng thông tin cá nhân không bị lộ.

Dịch vụ bảo mật trực tuyến cung cấp sự bảo vệ cho thông tin cá nhân và dữ liệu nhạy cảm của người dùng Một trong những giải pháp hiệu quả là sử dụng mạng lưới các máy chủ "ẩn danh", cho phép người dùng định tuyến thông điệp một cách an toàn Nhờ vào hệ thống này, thông điệp được gửi đi từ các máy chủ ẩn danh, giúp bảo vệ nguồn gốc và danh tính của người gửi.

Chuỗi các host ẩn danh

Cơ chế ẩn danh người dùng và không dấu vết dựa trên một loạt các host ẩn danh, hay còn gọi là “bộ trộn”, được đề xuất bởi D Chaum Cơ chế này hoàn toàn độc lập với hệ thống thanh toán và cũng được sử dụng để bảo vệ việc phân tích lưu lượng.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội trình bày 30 ý tưởng cơ bản, minh họa qua hình 3-1 Trong mô hình này, thông điệp được gửi từ A, B và C (đại diện cho các khách hàng ẩn danh) đến "bộ trộn" Từ bộ trộn, thông điệp sẽ được chuyển tiếp đến X, Y, Z (đại diện cho những người bán hoặc ngân hàng cần thông tin khách hàng) Thông điệp sẽ được mã hóa bằng khóa công khai của bộ trộn, EM Nếu khách hàng A muốn gửi thông điệp tới người bán Y, A sẽ gửi thông điệp tới bộ trộn với cấu trúc đã định sẵn.

Sau đó bộ trộn sẽ giải mã và gửi kết quả đến Y:

Chỉ có Y mới có thể đọ được thông đ ệc i p này do nó được mã hoá với khoá công khai của

Y, EY Nếu bộ trộn là “tin cậy”, Y sẽ không thể biết nguồn gốc (nơi xuất phát) thông đ ệi p đã gửi cho nó Đ ềi u trở ngại lớn nhất theo lược đồ này là bộ trộn cần phải được hoàn toàn tin cậy Một cách để vượt qua được vấn đề ộ trộn không tin cậy bằ b ng cách s d ng m t chu i các b tr n ử ụ ộ ỗ ộ ộ

Nếu A muốn Y gửi trả một thông i p, A có th gửđ ệ ể i kèm m t địa ch tr về ẩộ ỉ ả n danh trong thông đ ệi p gửi tới Y

Theo cách này thì thông đ ệi p trả ề v thực sự gửi đến b tr n, ch duy nh t b tr n bi t ai là ộ ộ ỉ ấ ộ ộ ế người sẽ nhận lại thông đ ệi p

Một đặc tính nổi bật của lược đồ trộn là khả năng bảo vệ thông tin trong quá trình phân tích lưu lượng Điều này được thực hiện thông qua việc gửi các thông điệp giả từ các nguồn khác nhau như A, B, C tới một địa chỉ trung gian, giúp tăng cường tính bảo mật và riêng tư cho dữ liệu.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội tập trung vào việc xử lý các thông điệp X, Y, Z Tất cả các thông điệp này, dù thật hay giả, đều được tạo ra ngẫu nhiên với độ dài cố định và được gửi đi với tần suất nhất định Hơn nữa, các thông điệp cần được chia nhỏ thành các khối có độ dài cố định và được mã hóa để đảm bảo tính bảo mật, ngăn chặn việc đọc trái phép.

Vấn đề mộ ộ ột b tr n có thể được xử lý bằng cách sử dụng một ma trận hoặc mạng các bộ trộn, không cần sử dụng một b tr n duy nhất Chỉ cần một b tr n "tin cậy" trong chuỗi các bộ trộn là đủ để đảm bảo tính an toàn Ma trận lớn hơn sẽ tăng xác suất có ít nhất một bộ trộn tin cậy Trong chuỗi các b tr n, g i E ộ ộ ọ i là khóa công khai của b tr n Mix i, i=1, 2, 3 Công thức ộ ộ ứ đệ quy cấu trúc của một thông điệp được đề cập.

E Recipient (Next recipient, E Next recipient (…)

Nếu A muốn gửi một thông điệp ẩn danh và không dấu vết tới Y, giao thức gửi sẽ được thực hiện như sau: A sẽ sử dụng các phương pháp mã hóa và truyền thông an toàn để đảm bảo rằng thông điệp không thể bị theo dõi hoặc phát hiện bởi bên thứ ba.

A ặặặặặ Mix1: E 1 (Mix2, E 2 (Mix3, E 3 (Y, Message)))

Mix1 ặặặặặ Mix2: E 2 (Mix3, E 3 (Y, Message))

Hình 3-2: Chuỗi các bộ trộn

“Thông điệp” có thể được mã hóa bằng khóa công khai của Y, giúp đơn giản hóa quá trình Nguyên lý cơ bản A cung cấp địa chỉ để đảm bảo tính ẩn danh trong trường hợp sử dụng bộ trộn A có thể ngẫu nhiên chọn một đường trả về qua chuỗi các bộ trộn (ví dụ: Mix2, Mix1) và mã hóa định danh cùng vị trí của mình nhiều lần bằng khóa công khai của các bộ trộn trên đường trả về.

Nơi nhận thông điệp (Y) có khả năng chuyển tiếp thông điệp đến bộ trộn đầu tiên, và từ đây, quá trình hoạt động tương tự như khi chuyển đổi từ A đến Y.

Việc thiết lập một mạng lưới các bộ trộn đòi hỏi chi phí cao và phức tạp cả về kỹ thuật lẫn tổ chức Mô hình thực nghiệm của hệ thống thư điện tử ẩn danh với địa chỉ trả về, được phát triển bởi Gulcu và Tsudik, cùng với hệ thống mạng nhiều lớp (onion), sẽ được trình bày chi tiết hơn trong các chương tiếp theo.

Ẩn danh người dùng

Cách hiệu quả nhất để bảo vệ danh tính của người mua là sử dụng một bí danh thay vì tên thật Để đảm bảo rằng các giao dịch thanh toán khác nhau của cùng một người mua không thể liên kết với nhau, cần bổ sung tính không dấu vết cho các giao dịch này.

First Virtual Holdings, Inc is the pioneering company that introduced an online payment system utilizing the existing Internet infrastructure, including technologies such as e-mail, TELNET, S/MIME, and FINGER.

Mặc dù ban đầu không sử dụng các mã hóa, First Virtual đã nhận ra rằng việc bảo vệ thông tin xác thực giữa họ và các người bán là rất cần thiết Điều này nhằm tránh tình trạng giao hàng lớn cho những khách hàng gian lận.

Sử dụng hệ thống First Virtual, khách hàng sẽ được cung cấp một VirtualPIN (VPIN), là một chuỗi các ký tự dùng như một biệt hiệu thay thế cho số thẻ tín dụng VirtualPIN có thể được gửi một cách an toàn qua thư điện tử Ngay cả khi bị mất thẻ, một khách hàng gian lận cũng sẽ không thể sử dụng nó vì tất cả các giao dịch đều được xác nhận qua email trước khi rút tiền từ thẻ tín dụng Nếu ai đó cố gắng sử dụng trái phép VirtualPIN của khách hàng, First Virtual sẽ nhận diện VirtualPIN bị đánh cắp khi khách hàng trả lời câu hỏi xác định.

Việc "gian lận" trong yêu cầu xác thực từ First Virtual sẽ dẫn đến việc VirtualPIN bị hủy ngay lập tức Điều này không chỉ bảo đảm tính bí mật cho các giao dịch thanh toán mà còn bảo vệ thông tin của người bán và ngăn chặn hành vi nghe lén.

Hình 3-3 minh hoạ ộ m t giao dịch thanh toán của First Virtual (FV)

Khách hàng gửi hóa đơn mua hàng kèm theo VPIN của mình cho người bán Người bán sau đó gửi yêu cầu xác thực VPIN tới First Virtual Nếu VPIN được xác nhận hợp lệ, người bán sẽ tiến hành cung cấp các dịch vụ hoặc sản phẩm đã đặt hàng.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội yêu cầu khách hàng cung cấp thông tin thanh toán cho First Virtual First Virtual sẽ xác nhận ý kiến của khách hàng về việc đồng ý thanh toán dịch vụ Khách hàng có quyền từ chối thanh toán nếu dịch vụ không đáp ứng mong đợi Nếu dịch vụ không đạt yêu cầu, khách hàng có thể báo cáo gian lận, dẫn đến việc giao dịch bị hủy và VPIN sẽ không còn hiệu lực Ngược lại, nếu khách hàng đồng ý thanh toán, số tiền sẽ được trừ từ tài khoản của họ và chuyển vào tài khoản của người bán, kèm theo các giao dịch liên ngân hàng.

Hình 3-3: Hệ thống thanh toán First Virtual

Giao dịch thanh toán trong trường hợp này có rủi ro thấp, vì dịch vụ cung cấp chỉ là thông tin thuần túy Nếu khách hàng gian lận không thanh toán cho dịch vụ đã được cung cấp, người bán vẫn không phải chịu thiệt hại lớn, và VPIN sẽ được sử dụng để liệt kê vào “sổ đen” ngay lập tức Bên cạnh đó, các thông tin xác thực cần được mã hóa khi trao đổi giữa First Virtual và người bán trước mỗi giao hàng lớn.

Giao dịch không dấu vết

Hiện tại, chỉ có một cơ chế duy nhất cung cấp khả năng n danh tuyệt đối, đó là chữ ký mù (blind signature), nhưng chỉ áp dụng cho tiền điện tử và sẽ được thảo luận trong các chương sau Trong phần này, chúng ta sẽ xem xét hai cơ chế cho phép đạt được mức độ ẩn danh nhất định, đảm bảo rằng người bán không thể liên kết các giao dịch sử dụng cùng một công cụ thanh toán, với giả định không có sự hiệp lực từ nhà cung cấp dịch vụ thanh toán.

3.3.1 Ngẫu nhiên hoá tổng chặt trong iKP

Cơ chế iKP là một phần của giao thức phức tạp hơn sẽ được mô tả chi tiết ở phần sau Khi thực hiện giao dịch thanh toán, khách hàng sẽ chọn ngẫu nhiên một số RC và tạo ra biệt hiệu IDC theo cách nhất định.

BAN là số tài khoản của khách hàng tại ngân hàng, ví dụ như số thẻ tín dụng hoặc thẻ ghi nợ Hàm cửa sập một chiều đảm bảo không tiết lộ bất kỳ thông tin nào về BAN, được chọn một cách ngẫu nhiên Người bán chỉ nhận được IDC mà không có BAN, vì vậy họ không thể tính toán ra BAN Trong mỗi giao dịch thanh toán, một số ngẫu nhiên khác nhau được lựa chọn, do đó người bán cũng nhận được các mặt nạ khác nhau Qua cơ chế này, rõ ràng người bán không thể liên hệ hai thanh toán khác nhau từ một BAN.

3.3.2 Ngẫu nhiên hoá tổng chặt trong SET

Trong mô hình SET, người bán chỉ nhận được tổng số tiền từ lệnh thanh toán Lệnh thanh toán bao gồm nhiều thông tin quan trọng, trong đó có những thông tin cơ bản cần thiết.

• Số tài khoản, PAN (ví dụ như ố s thẻ tín dụng …)

• Ngày hế ạt h n c a th (CardExpiry) ủ ẻ

• Một giá trị bí mật được biết giữa người sở hữu thẻ, trung tâm thanh toán (payment gateway), trung tâm chứng thực thẻ (PANSecret)

• Một giá trị thời gian hiện thời để tránh kiểu tấn công “tra từ đ ể i n” (ExNonce)

Do giá trị thời gian hiện tại khác nhau trong mỗi giao dịch thanh toán, người bán không thể liên hệ hai giao dịch mặc dù sử dụng cùng một PAN.

Bảo mật dữ liệu giao dịch thanh toán

3.4 B ả o m ậ t d ữ ệ li u giao d ị ch thanh toán

Dữ liệu giao dịch thanh toán thông thường gồm 2 phần: lệnh thanh toán và thông tin đặt hàng

Lệnh thanh toán có thể bao gồm số thẻ tín dụng hoặc số tài khoản ngân hàng của khách hàng, với mục đích chính là bảo vệ tính mật và ngăn chặn việc sử dụng sai trái từ các thành phần không hợp pháp, bao gồm cả những người bán không trung thực Thông tin trong lệnh thanh toán thường là duy nhất, giúp xác định rõ người mua Do đó, việc bảo vệ dữ liệu thanh toán không chỉ ngăn chặn hành vi phạm pháp mà còn đảm bảo tính danh tính và quyền riêng tư của người mua.

Thông tin đặt hàng có thể bao gồm loại và số lượng hàng hóa, dịch vụ, giá mua, hoặc đơn giản hơn là số hóa đơn Thông thường, các cổng thanh toán (payment gateway) không được cung cấp thông tin về thói quen mua sắm của khách hàng Vì vậy, thông tin đặt hàng thường được mã hóa để bảo vệ quyền riêng tư của người tiêu dùng.

Mặc dù các lệnh thanh toán và thông tin đặt hàng cần được mã hóa để bảo mật, vẫn cần có sự liên hệ giữa chúng để xác định rõ người bán, người mua và cổng thanh toán Nếu không, trong trường hợp tranh chấp, khách hàng sẽ gặp khó khăn trong việc chứng minh rằng lệnh thanh toán của họ liên quan đến một đơn hàng cụ thể.

Giao thức iKP (i = 1, 2, 3) được phát triển bởi IBM Research, kết hợp với công nghệ giao dịch an toàn của Microsoft và Visa, cùng với giao thức thanh toán điện tử SEPP của MasterCard, hỗ trợ các giao dịch thẻ tín dụng Cơ chế 1KP cung cấp khả năng bảo mật thông tin đặt hàng cho cổng thanh toán, đồng thời đảm bảo tính bảo mật của lệnh thanh toán đối với người bán Ngoài ra, 1KP cũng đảm bảo tính ẩn danh của khách hàng, bảo vệ thông tin cá nhân khi giao dịch.

Khi bắt đầu m t giao d ch khách hàng ch n m t s ng u nhiên Rộ ị ọ ộ ố ẫ C và tạo ra một m t n ặ ạ một lần DC theo cách sau:

Số tài khoản ngân hàng (BAN) của khách hàng, như số thẻ tín dụng hoặc thẻ ghi nợ, được bảo mật thông qua hàm cửa sập một chiều, đảm bảo không tiết lộ thông tin cá nhân Hàm HMAC được sử dụng để tạo ra một mã giả ngẫu nhiên, giúp người bán chỉ nhìn thấy thông tin đã được mã hóa mà không biết được nội dung thực sự của nó.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội đề cập đến việc bảo mật thông tin khách hàng trong các giao dịch Do việc lựa chọn ngẫu nhiên các tham số giao dịch, người bán không thể liên kết các giao dịch của cùng một khách hàng Một trong những phương pháp tấn công mà người bán có thể thử là tính toán tổng hợp các kế hoạch giao dịch, nhưng khả năng thành công rất thấp do số ngẫu nhiên lớn tạo ra sự phức tạp cao Ngân hàng của người bán có được thông tin cần thiết để tính toán IDC và xác định độ chính xác của giao dịch Mã giả được khuyến nghị chỉ sử dụng một lần cho mỗi giao dịch để đảm bảo an toàn.

Sự bảo mật thông tin thanh toán của ngân hàng đối với người bán được đảm bảo thông qua một quy trình tương tự Để bắt đầu một giao dịch thanh toán, khách hàng chọn một số ngẫu nhiên, tạo ra một mã SALTC khác nhau cho mỗi giao dịch và gửi mã này cho người bán dưới dạng hiển thị (không mã hóa).

Sử dụng cùng hàm ch t trước ó người bán s chu n b mộặ đ ẽ ẩ ị t thông i p mô tả thông tin đặt hàng đ ệ theo mẫu: h k (SALT C , DESC )

Ngân hàng của người bán có thể nhận ra sự khác biệt của tổng chặt cho mỗi thanh toán, nhưng không đủ thông tin để tính toán DESC Tuy nhiên, họ có thể nghe trộm trên đường kết nối giữa khách hàng và người bán, nơi mà SALTC được gửi ở dạng hiện Nếu khả năng của DESC hạn chế, ngân hàng có thể tính toán tất cả các trường hợp của tổng chặt với một SALTC để thu thập thông tin thanh toán Mặc dù ngân hàng của người bán là bên tin cậy, việc này vẫn được coi là hiếm gặp Để gửi thông tin thanh toán tới ngân hàng mà người bán không thể đọc được, iKP sử dụng mã hóa khóa công khai, trong đó khách hàng mã hóa thông tin cần thiết.

• Giá của các hàng hoá định mua

• Lệnh thanh toán (số thẻ tín dụng, đôi khi cả cardPIN)

• Một số ngẫu nhiên R C để tạo mã thời gian với khoá công khai của ngân hàng của người bán

Thông điệp mã hóa sau khi được gửi cho người bán sẽ được chuyển tiếp đến ngân hàng của họ Khách hàng cần có chứng chỉ khóa công khai của ngân hàng, do một tổ chức chứng thực đáng tin cậy cung cấp Nhờ đó, chỉ ngân hàng của người bán mới có thể giải mã thông điệp.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội đã thu hút sự quan tâm của 37 người bán, những người đã giải mã thành công thông điệp Bên cạnh đó, việc kết hợp với RC ngân hàng của người bán giúp xác định tính chính xác của mã một lần IDC của khách hàng.

Mối liên hệ giữa thông tin đặt hàng và lệnh thanh toán được thiết lập thông qua giá trị của hợp đồng (SALTC, DESC) và dữ liệu thanh toán chung mà tất cả các bên đều biết Giá trị ổn định này là duy nhất cho từng giao dịch.

SET là một kỹ thuật thanh toán thẻ tín dụng an toàn trên mạng mở, được phát triển bởi Visa và MasterCard từ năm 1996 Công nghệ mã hóa RSA của Data Security, Inc là nền tảng của SET, nhưng cần có giấy phép để sử dụng Mặc dù SET không được sử dụng rộng rãi bên ngoài nước Mỹ, nhiều phương pháp mã hóa khác đã được phát triển để thay thế RSA Để bảo vệ thông tin thẻ tín dụng của khách hàng khỏi kẻ nghe trộm và những người bán hàng không đáng tin cậy, SET áp dụng chữ ký kép, giúp bảo vệ tính bí mật của thông tin đặt hàng với các cổng thanh toán.

Theo một kịch bản đơn giản, PI là lệnh thanh toán và OI là thông tin đặt hàng M là người bán hàng và P là cổng thanh toán Mục tiêu là đảm bảo rằng người bán hàng M không thể đọc lệnh thanh toán PI, trong khi cổng thanh toán P không thể đọc thông tin đặt hàng OI Để đạt được điều này, khách hàng sẽ tính toán một chữ ký kép DS cho yêu cầu thanh toán Cụ thể, khách hàng ký PI và OI, sau đó gửi cho P và M tương ứng bằng cách áp dụng mã hóa hàm băm h(.) và khóa mật DC từ thuật toán khóa công khai.

Khách hàng tính: DS = D C ( h( h(PI), h(OI) ) )

Vì M chỉ cần bi t OI, và P ch cầế ỉ n bi t PI, h có được t ng ph n an toàn nh là t ng t ng ế ọ ừ ầ ư ổ ổ chập:

Ng ườ i bán nh ậ n đượ c: OI, h(PI), DS

Payment gateway nh ậ n đượ c : PI, h(OI), DS

Tuy nhiên, cả hai đều có thể xác nhận chữ ký kép DS Khi P đồng ý, xác nhận đơn đặt hàng là chính xác và mã trả về là đồng ý, P sẽ ký vào PI Ngược lại, khi M đồng ý, M sẽ ký vào OI.

Trong SET, h(PI) và h(OI) là tổng chặt SHA-01 theo định dạng PKCS #7:

Luận Văn Cao học Ngành Công Nghệ Thông Tin - ĐH Bách Khoa Hà Nội 38 contentInfo ContentInfo, digest Digest }

Trong giao thức SET, khách hàng gửi thông tin cá nhân (PI) cho người bán dưới dạng mã hóa thay vì gửi trực tiếp cho tổ chức thanh toán (pg) Thông tin này được mã hóa bằng thuật toán mã hóa đối xứng với một khóa mật K, và khóa mật này được mã hóa bằng khóa công khai của pg, EP, đảm bảo chỉ pg P mới có thể giải mã và đọc được thông tin.

Khỏch hàng ặặặặặ Ng ườ i bỏn: OI, h(PI), DS, E P (K), E K (P, PI, h(OI))

Tính tức thời của giao dịch thanh toán

Dịch vụ này cung cấp khả năng bảo vệ chống lại các cuộc tấn công lặp lại thông điệp, giúp ngăn chặn các bên không đáng tin cậy lợi dụng thông tin đã bị đánh cắp để thực hiện các giao dịch thanh toán trái phép.

Trong mô hình 1KP có 5 giá trị là duy nhất cho mỗi giao dịch thanh toán:

• Định danh giao dịch: TID M , do người bán quyết định;

• Thờ đ ểi i m thanh toán: DATE;

• Số ngẫu nhiên: NONCE M , người bán chọn;

• Số ngẫu nhiên: SALT C , do khách hàng chọn;

• Số ngẫu nhiên: R C , do khách hàng chọn

TIDM, DATE và NONCEM là ba giá trị quan trọng được sử dụng để đảm bảo tính toàn vẹn và xác thực của thông điệp giao dịch thanh toán, ngoại trừ thông điệp khởi tạo Ba giá trị này được gộp lại và xem là giá trị TM Tất cả các thông điệp thanh toán đều dựa trên giá trị SALTC và RC, đảm bảo tính xác thực và toàn vẹn của giao dịch, đồng thời thực hiện các nhiệm vụ khác như đã trình bày ở các mục trên.

Khách hàng khởi tạo giao dịch thanh toán bằng cách gửi thông đ ệi p khởi tạo “Initiate”, sử dụng biệt hiệu (mặt nạ) IDC

Người bán sẽ cung cấp thông tin hóa đơn (Invoice) bao gồm ID định danh của người bán Giá trị COM là biên bản thông tin chung về giao dịch, giúp tất cả các bên tham gia nắm rõ thông tin liên quan.

7COM = h( PRICE, ID M , TR M , ID C , h k (SALT C , DESC) )

Hình 3-6: Các thông đ ệi p 1KP

Thông điệp thanh toán được mã hóa bằng khóa công khai của ngân hàng người bán Khách hàng và người bán thỏa thuận về giá cả và thông tin thanh toán trước khi gửi thông điệp Ngân hàng của người bán chỉ có thể tính toán giá trị thanh toán nhưng không biết được thông tin chi tiết, đảm bảo tính bí mật của thông tin thanh toán Lệnh thanh toán từ khách hàng bao gồm số thẻ và mã PIN.

Yêu cầu xác thực “Auth-Request” bao gồm thông tin từ hóa đơn và thông tin thanh toán Giá trị của hk(SALTC, DESC) cùng với COM sẽ tạo ra mối liên hệ giữa thông tin thanh toán và lệnh thanh toán.

Resp là giá trị xác thực từ ngân hàng của người bán, có thể là "yes" hoặc "no" Thông điệp phản hồi xác thực được gọi là "Auth-Response" và được ký bởi ngân hàng của người bán.

Người bán sẽ chuyển tiếp thông điệp "Auth-Response" đến khách hàng CERT A là chứng chỉ khóa công khai của ngân hàng người bán, thường được lấy từ thư viện khóa công khai.

PhÇn 2 PhÇn 2 PhÇn 2 PhÇn 2 PhÇn 2 Các hệ thống thanh toán điện tử Các hệ thống thanh toán điện tử Các hệ thống thanh toán điện tử Các hệ thống thanh toán điện tử Các hệ thống thanh toán điện tử

THANH TOÁN DÙNG TIỀ Đ Ệ N I N TỬ

Tiền điện tử, hay tiền số, sở hữu hai đặc tính vượt trội so với tiền giấy nhờ công nghệ blockchain: tính an toàn và tính cá nhân Những đặc tính linh hoạt này đã mở ra cơ hội cho các thị trường mới và ứng dụng đa dạng Tiền số đánh dấu một quá trình chuyển đổi từ phương thức thanh toán cũ sang hình thức thanh toán mới – thanh toán trực tuyến Mặc dù tiền điện tử đã phát triển trong khoảng 30 năm qua, tiền giấy vẫn giữ vị trí thống trị do khách hàng thiếu niềm tin vào hệ thống thanh toán ngân hàng, sự thiếu hụt giao dịch hối đoái, thanh toán chuyển khoản, và không có lãi suất thực sự khi gửi tiền vào ngân hàng.

Tiền giấy vẫn được sử dụng rộng rãi trong các giao dịch kinh doanh vì nó cung cấp sự linh hoạt và tiện lợi trong quá trình mua và bán Để thay thế phương thức thanh toán bằng tiền giấy, các hệ thống thanh toán điện tử cần phải có một số đặc tính mà hiện nay các thẻ tín dụng và thẻ nợ chưa có Tiền giấy là phương tiện thanh toán hợp pháp, cho phép người sở hữu sử dụng nó mà không cần phải qua tài khoản ngân hàng, và nó cũng giúp loại trừ các rủi ro cho người nhận thanh toán.

Khi so sánh tiền giấy với thẻ tín dụng và thẻ nợ, các loại thẻ này có những hạn chế nhất định, như không thể trao tay do công nghệ Thẻ tín dụng và thẻ nợ xác nhận chủ sở hữu là người phát hành và chỉ có giá trị khi người sử dụng có tài khoản liên kết Chúng không phải là phương tiện thanh toán hợp pháp, và người bán có quyền từ chối chấp nhận thanh toán bằng thẻ Cả hai loại thẻ yêu cầu người mua và người bán phải có mối quan hệ tài khoản cùng hệ thống xác nhận khách hàng Tương tự, séc cũng đòi hỏi người thanh toán cần có kiến thức nhất định về quy trình thanh toán và hệ thống đảm bảo séc.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội tập trung vào việc phát triển các phương thức thanh toán điện tử tiện lợi, nhằm khắc phục những hạn chế của các loại thẻ tín dụng và thẻ ghi nợ, đồng thời sở hữu những đặc tính tương tự như tiền giấy.

Mua bán tiề đ ệ ử n i n t thông qua các máy ch ti n t .46 ủ ề ệ 4.4 Sử ụ d ng tiề đ ệ n i n tử

THANH TOÁN DÙNG TIỀ Đ Ệ N I N TỬ

Tiền điện tử, hay còn gọi là tiền số, sở hữu hai đặc tính vượt trội so với tiền giấy nhờ vào công nghệ blockchain, đó là tính an toàn và tính cá nhân Sự linh hoạt của tiền điện tử đã tạo ra cơ hội cho các thị trường mới và ứng dụng đa dạng Tiền số đánh dấu một bước chuyển mình từ phương thức thanh toán truyền thống sang hình thức thanh toán hiện đại - thanh toán trực tuyến Mặc dù tiền điện tử đã phát triển trong khoảng 30 năm qua, tiền giấy vẫn giữ vị trí quan trọng do khách hàng thiếu niềm tin vào hệ thống thanh toán ngân hàng, hạn chế trong giao dịch và chuyển khoản, cũng như không có lãi suất thực sự khi gửi tiền vào ngân hàng.

Tiền giấy vẫn được sử dụng rộng rãi trong các giao dịch kinh doanh vì nó mang lại sự tiện lợi trong quá trình mua bán Để thay thế phương thức thanh toán bằng tiền giấy, các hệ thống thanh toán điện tử cần có những đặc tính mà thẻ tín dụng và thẻ nợ hiện tại chưa đáp ứng Tiền giấy là phương tiện thanh toán hợp pháp, cho phép người sử dụng quyền sở hữu và có thể sử dụng mà không cần thông qua tài khoản ngân hàng Hơn nữa, tiền giấy giúp giảm thiểu rủi ro cho người nhận thanh toán.

Khi so sánh tiền giấy với thẻ tín dụng và thẻ nợ, các loại thẻ này có những hạn chế nhất định, như không thể trao tay do công nghệ Thẻ tín dụng và thẻ nợ xác nhận chủ sở hữu là người phát hành và không phải là phương tiện thanh toán hợp pháp, do đó người bán có quyền từ chối chấp nhận thanh toán bằng thẻ Cả hai loại thẻ đều yêu cầu người mua và người bán phải có mối quan hệ tài khoản và hệ thống xác nhận khách hàng Tương tự, việc sử dụng séc cũng đòi hỏi người thanh toán phải có kiến thức nhất định về quy trình thanh toán và hệ thống đảm bảo séc.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội nhấn mạnh sự cần thiết phát triển các phương thức thanh toán điện tử tiện lợi, nhằm khắc phục những hạn chế của thẻ tín dụng và thẻ ghi nợ, đồng thời mang lại những ưu điểm tương tự như tiền giấy.

Mỗi hệ thống tiền tệ đều có bốn đặc điểm chính: giá trị tiền tệ, khả năng chuyển đổi, tính dễ nắm bắt và độ an toàn Những đặc điểm này tạo nên tính ổn định và hiệu quả của hệ thống, giúp người dùng tin tưởng và sử dụng tiền tệ một cách hiệu quả.

Tiền điện tử là một phương tiện thanh toán trung gian cho các loại tiền tệ, hàng hóa, dịch vụ, tín dụng và các khoản ký quỹ trong tài khoản ngân hàng Nó cho phép chuyển khoản và chuyển giao các khoản lợi nhuận điện tử Mặc dù hầu hết tiền điện tử được sử dụng trong hệ thống ngân hàng, không phải tất cả khách hàng đều sử dụng cùng một loại tiền điện tử do một ngân hàng phát hành, thậm chí không cùng một lãnh thổ quốc gia.

Do đó các ngân hàng cần phải có sự phối hợp trong quá trình phát hành thẻ

Tiền điện tử có thể được sử dụng để giao dịch và chuyển đổi một cách thuận tiện thông qua các phương pháp điều khiển từ xa, cho phép người dùng thực hiện các giao dịch ở bất kỳ đâu như tại nhà, nơi làm việc hoặc trong các chuyến đi Tiền điện tử có thể được lưu trữ trong bộ nhớ máy tính hoặc trên các thiết bị thông minh, giúp việc chuyển đổi trở nên dễ dàng Tuy nhiên, để tránh tình trạng tiền giả, tiền điện tử nên được lưu trữ trong một phần không thể thay thế và an toàn Thiết bị ngoại vi cần có giao diện phù hợp với các phương thức nhận diện và phải có màn hình hiển thị rõ ràng nội dung thẻ.

Tiền điện tử phải đáp ứng các yêu cầu lâu dài và không dễ dàng bị sao chép, đồng thời đảm bảo an toàn và khả năng thanh toán hai lần Vấn đề thanh toán hai lần có thể phát sinh khi khách hàng sử dụng cùng một số tiền để mua hàng ở nhiều nơi khác nhau, làm khó khăn cho việc kiểm soát giao dịch Để giảm thiểu hạn chế này, các hệ thống cần áp dụng nguyên tắc ngăn chặn và có biện pháp mạnh mẽ khi sự cố xảy ra.

4.2 H ệ th ố ng ho ạ t độ ng c ủ a ti ề n đ ệ i n t ử

4.3 Mua bán ti ề đ ệ n i n t thông qua các máy ch ủ ti ề ử n t ệ

Quá trình giao dịch mua bán tiền điện tử từ máy tính trực tuyến bao gồm hai bước chính: tạo tài khoản và duy trì số dư tài khoản để đáp ứng yêu cầu của các giao dịch Một số khách hàng có nhu cầu mua tiền điện tử bằng tiền mặt để bảo mật thông tin cá nhân hoặc vì không có tài khoản ngân hàng.

Hiện nay, hầu hết các hệ thống tiền điện tử yêu cầu khách hàng phải có tài khoản tại ngân hàng trực tuyến trung tâm Yêu cầu này sẽ hạn chế sự tham gia

Luận Văn Cao học Ngành Công Nghệ Thông Tin tại ĐH Bách Khoa Hà Nội đề cập đến việc xử lý các giao dịch chồng chéo và yêu cầu khách hàng có khả năng tiếp xúc cũng như chi trả cho các dịch vụ trong và ngoài nước Để hỗ trợ khách hàng truy cập mạng toàn cầu, việc chuyển đổi tiền tệ là cần thiết, cho phép nhà cung cấp dịch vụ chấp nhận nhiều loại tiền tệ từ người sử dụng ở các quốc gia khác nhau Điều này giúp thanh toán bằng tiền tệ địa phương và chuyển khoản về các ngân hàng địa phương Thiết lập một hiệp hội giữa các ngân hàng trực tuyến được coi là một trong những giải pháp khả thi cho vấn đề này.

Thanh toán dùng séc đ ệ i n tử

Khái niệm cơ ả b n

Séc điện tử, giống như séc giấy, chứa thông tin yêu cầu ngân hàng thanh toán một khoản tiền nhất định cho người nhận Việc chuyển đổi từ séc giấy sang séc điện tử thông qua mạng cho phép xử lý séc một cách linh hoạt và đồng thời cung cấp các dịch vụ mới, chẳng hạn như kiểm tra tính chính xác của số tiền cho phép Các yêu cầu về độ an toàn thanh toán cũng được tăng cường nhờ vào việc kiểm tra chữ ký điện tử và khả năng tích hợp kiểm tra thanh toán vào quy trình đặt hàng và thanh toán.

Hình 5-1 mô tả ệ h thống sử ụ d ng séc iđ ện tử

Hình 5-1: Hệ thống séc đ ệi n tử

2 Select goods, Pay digital check

5 Forward check to the bank

Có 5 thành phần tham gia vào hệ ố th ng: người mua, người bán, ngân hàng c a người mua, ủ ngân hàng của người bán và trung tâm thanh toán (clearing house) Người sử dụng dùng m t ộ trình duyệt web truy cập đến các web server trên mạng Internet Người sử ụ d ng xem và lựa chọn sản phẩm và dịch vụ cung cấp Trình duy t ph i cung cệ ả ấp khả năng x lý các định d ng séc i n ử ạ đ ệ tử Ngân hàng làm nhiệm vụ xử lý các séc đ ện tử tương tự như công việc xửi lý séc gi y ấ

Giao dịch séc điện tử thường bao gồm ba bước cơ bản Đầu tiên, khách hàng thực hiện thanh toán Tiếp theo, người bán gửi séc điện tử đến ngân hàng của mình Cuối cùng, ngân hàng của người bán sẽ trao đổi với trung tâm thanh toán hoặc ngân hàng của người mua để hoàn tất quá trình thanh toán.

Bước 1: Thanh toán mua hàng

1 Khách hàng truy cập vào máy chủ của người bán, máy ch th c hi n trình di n ủ ự ệ ễ các mặt hàng cho người mua lựa chọn

2 Khách hàng lựa chọn mặt hàng và thanh toán bằng cách gửi một séc đ ệi n tử đến cho người bán Séc có thể được gử ởi mộ ạt d ng trao đổi an toàn nào ó (Ho c là đ ặ thư đ ệ i n tử hoặc là trên một hộp thoại - tuỳ thuộc vào từng mô hình)

3 Người bán có thể thực hiện kiểm tra tính đúng đắn của séc đ ệi n tử với ngân hàng của mình và ký hậu vào séc

4 Giả định là séc được chấp nhận

Bước 2: Chuyển séc vào ngân hàng người bán

5 Người bán chuyển tiếp thông tin v séc tới ngân hàng của mình ề

Bước 3: Thanh toán séc giữa các ngân hàng

6 Ngân hàng của người bán chuyển tiếp séc đ ệi n tử tới trung tâm thanh toán để lấy tiền Quá trình này được thực hiện hoàn toàn giống với quá trình thực hiện với séc giấy

7 Trung tâm thanh toán sẽ làm việc với ngân hàng của khách hàng, thanh toán séc và chuyển tiền đến ngân hàng của người bán, ngân hàng người bán sau đó cập nhật lại thông tin về tài khoản người bán

8 Sau đó một khoảng thời gian, ngân hàng của người mua cập nhật lại tài khoản khách hàng với các thông tin rút tiền

Séc điện tử chứa thông tin được ký bằng khóa mật của khách hàng, đảm bảo tính xác thực cho người nhận, như người bán hoặc ngân hàng của người bán Người nhận sử dụng khóa công khai của người gửi để giải mã chữ ký điện tử, từ đó xác nhận rằng người gửi thực sự đã ký vào séc.

Khách hàng là người duy nhất biết và có thể sử dụng khóa mật, do đó việc họ ký một tấm séc là điều không thể phủ nhận.

Séc điện tử yêu cầu có chữ ký của ngân hàng phát hành, đảm bảo tính xác thực cho người nhận rằng séc được phát hành từ một tài khoản ngân hàng Người nhận có thể xác minh ngân hàng phát hành thông qua khóa công khai của ngân hàng đó Đối với các khoản thanh toán lớn, có thể áp dụng các yêu cầu an toàn bổ sung để tăng cường bảo mật.

Hệ thống NetBill bao gồm ba thành phần chính: khách hàng, người bán và máy chủ NetBill Máy chủ này có nhiệm vụ quản lý tài khoản của cả khách hàng và người bán, tương tự như các tài khoản trong tổ chức tài chính Khi khách hàng thực hiện giao dịch mua hàng, tài khoản NetBill của họ sẽ bị ghi nợ, trong khi tài khoản của người bán sẽ được ghi có tương ứng với giá trị hàng hóa Khách hàng có thể nạp tiền vào tài khoản NetBill thông qua chuyển khoản từ ngân hàng, và người bán cũng có thể chuyển tiền từ tài khoản NetBill vào tài khoản ngân hàng của mình.

Hình 5-2: Mô hình thực thể NetBill

Thanh toán cho các giao dịch nhỏ

Giới thiệu

Hệ thống mạng Internet hiện nay cho phép thanh toán cho hàng hóa và dịch vụ có giá trị thấp, tuy nhiên, giá trị sản phẩm thường nhỏ và không phụ thuộc vào số lượng khách hàng lớn Các nhà cung cấp hàng hóa và dịch vụ thường mong muốn khách hàng thanh toán một khoản phí hợp lý cho các giao dịch nhỏ Thanh toán bằng thẻ tín dụng, phương thức phổ biến nhất, yêu cầu chi phí tối thiểu cho một giao dịch là 20 cents, điều này làm cho nó không phù hợp với các giao dịch có giá trị thấp hơn mức này Ngoài ra, việc sử dụng thẻ tín dụng cho các thanh toán nhỏ còn gặp phải những khó khăn như độ trễ, can thiệp của người dùng, tranh chấp tiềm ẩn và chi phí xử lý cao.

Các vấn đề trên tạo ra khó khăn cho người dùng và dịch vụ giá trị sản phẩm thấp trên Internet Hiện nay, hầu hết dịch vụ và ứng dụng thường được tài trợ qua quảng cáo hoặc yêu cầu trả trước một khoản lớn Một cơ chế thanh toán trực tiếp sẽ là nguồn bổ sung quan trọng cho các nhà buôn nhỏ và các ứng dụng không thể hoặc không có tiềm năng sử dụng quảng cáo Động lực này thúc đẩy sự ra đời và phát triển của các lược đồ và hệ thống thanh toán vi mô.

Trong chương này, tác giả nhấn mạnh tầm quan trọng của việc cung cấp các dịch vụ thanh toán nhỏ với chi phí thấp Một yêu cầu cơ bản cho một hệ thống thanh toán nhỏ là khả năng xử lý các giao dịch với số tiền tối thiểu, thường là dưới 20 cents Số tiền tối thiểu này được xem như một tham số quan trọng của hệ thống.

Trong phần 6.3, chúng ta sẽ phân tích các yếu tố chi phí ảnh hưởng đến thanh toán trực tuyến, trong khi phần 6.4 sẽ đề cập đến các cơ chế xử lý các vấn đề liên quan đến chi phí đó Trước tiên, chúng ta sẽ xem xét tổng quan về các hệ thống thanh toán nhỏ.

Tổng quan về thanh toán nhỏ

Có nhiều động cơ phát triển các cơ chế thanh toán nhỏ, tập trung vào việc thực hiện bởi các nhà cung cấp dịch vụ thanh toán (PSP) Những cơ chế này cho phép người bán thu được số tiền nhỏ từ khách hàng thông qua các thanh toán không trực tuyến giá trị thấp, thanh toán ẩn danh, hoặc hệ thống cho phép người bán thu một lần lớn nhưng khách hàng có thể thực hiện nhiều thanh toán nhỏ sau đó Đồ án này tập trung vào các thanh toán nhỏ từ khách hàng đến người bán thông qua một hoặc một vài PSP PSP duy trì mối liên hệ lâu dài với cả khách hàng và người bán, nhận các thanh toán từ khách hàng và chuyển khoản cho người bán Mô hình này giả định mối quan hệ giữa khách hàng và người bán không thường xuyên, với vai trò chính của PSP là cung cấp sự thuận tiện cho các giao dịch an toàn và hiệu quả.

Hình 6-1: Các thanh toán nhỏ qua một PSP

Hình 6-1 minh họa mối quan hệ thanh toán giữa các bên, bao gồm thanh toán nhỏ không thường xuyên từ khách hàng đến người bán, và thanh toán định kỳ dài hạn từ khách hàng đến PSP, sau đó từ PSP đến người bán Hình vẽ này không thể hiện luồng thông tin cần thiết.

Hình 6-2: Các thanh toán thông qua PSP

Chấp nhận thanh toán và xác thực thanh toán có thể được tích hợp hoặc tách biệt thành hai quá trình riêng rẽ Việc tách biệt này đặc biệt phù hợp khi PSP đóng vai trò là cầu nối giữa khách hàng và người bán Trong kịch bản này, khách hàng chấp nhận thanh toán với PSP, sau đó PSP gửi hóa đơn xác thực thanh toán tới người bán Tình huống này có thể áp dụng khi PSP cũng là nhà cung cấp dịch vụ truyền thông cho khách hàng, hoặc khi ISP kết hợp với PSP để nâng cao trải nghiệm thanh toán Xác thực người dùng chủ yếu liên quan đến PSP và người bán, trong khi xác thực thanh toán hoàn toàn độc lập với quá trình chấp nhận thanh toán giữa khách hàng và PSP Chúng ta có thể áp dụng các cơ chế bảo mật để đảm bảo rằng khách hàng đồng ý thanh toán, ví dụ như việc sử dụng gateway di động để xác định thiết bị của khách hàng.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội tập trung vào việc phát triển các phương pháp xác thực người dùng Các kỹ thuật bao gồm việc sử dụng khóa chung, mã PIN, giọng nói và các phương pháp nhận dạng khác nhằm nâng cao tính bảo mật và tiện lợi trong việc xác định danh tính người dùng.

Trong một kịch bản khác, PSP không nằm trên “đường nối” giữa khách hàng và người bán, dẫn đến việc khách hàng hoặc người bán phải liên hệ với PSP để xác thực thanh toán khi cần Thông thường, khi sử dụng trình duyệt web, PSP không phải là ISP Trong hầu hết các hệ thống thanh toán nhỏ, khách hàng sẽ liên hệ với PSP để thực hiện thanh toán và yêu cầu xác thực hóa đơn thanh toán PO Để hoạt động hiệu quả, PSP sẽ gửi xác thực đến khách hàng, và thông tin này sẽ được chuyển tiếp đến người bán Người bán sau đó sẽ thanh toán các PO, thường thông qua xử lý lưới với các hóa đơn khác nhau để nhận được một thanh toán tích lũy.

Hình 6-3 minh họa quá trình thanh toán trực tuyến, đồng thời thể hiện mô hình đang được triển khai trong hệ thống thanh toán của Qpass, Ipin và TrivNet.

Hình 6-3: Thanh toán trực tuyến qua PSP

2 Offer 3 Approve Payment 4 Approve Payment (Payment order)

Hiện tại, chúng ta chỉ mới đề cập đến mô hình của một PSP cung cấp dịch vụ cho cả khách hàng và người bán Giải pháp PSP là đơn giản và hiệu quả, nhưng chưa có một PSP nào chiếm ưu thế trong lĩnh vực thanh toán nhỏ Thực tế cho thấy có rất nhiều PSP cạnh tranh trong lĩnh vực này, và khi thanh toán nhỏ ngày càng phát triển, số lượng PSP mới cũng gia tăng.

Việc yêu cầu tất cả khách hàng và người bán phải có tài khoản riêng với nhiều nhà cung cấp dịch vụ thanh toán (PSP) là không thực tế Do đó, các hệ thống thanh toán nhỏ cần hỗ trợ giao tiếp giữa các PSP và khách hàng, cũng như giữa các người bán, cho phép thanh toán tích lũy và duy trì mối quan hệ lâu dài Điều này cho phép một PSP có thể thực hiện giao dịch mua hàng từ người bán của một PSP khác, như minh họa trong cấu trúc cơ bản của mô hình hai PSP ở hình 6-4.

Hình 6-4: Thanh toán nhỏ qua 2 PSP

Nhân tố chi phí – tác động chính trong thanh toán nhỏ

Để đảm bảo thanh toán hợp lý, cần xem xét các yếu tố chi phí ảnh hưởng đến quá trình này Có ba phân loại chi phí chính: chi phí tranh chấp, đền bù và xử lý Nhiều hệ thống thanh toán cho phép khách hàng khiếu nại về các giao dịch hoặc từ chối thanh toán trong một số trường hợp Trong một số tình huống, các nhà cung cấp dịch vụ thanh toán (PSP) có thể yêu cầu người bán hoàn trả số tiền thanh toán Thực tế cho thấy, tranh chấp và yêu cầu hoàn trả thường xảy ra nhiều hơn trong các giao dịch trực tuyến so với giao dịch mặt đối mặt Các chi phí này bao gồm cả khoản tiền hoàn trả.

Chi phí xử lý thanh toán nhỏ là một yếu tố quan trọng ảnh hưởng đến việc áp dụng các hệ thống thanh toán Các nhà cung cấp dịch vụ thanh toán thẻ tín dụng thường phải chịu chi phí xử lý khoảng $50 và khoản tiền phạt $100 cho các tranh chấp Để giảm thiểu những chi phí này, các hệ thống thanh toán cần tối ưu hóa quy trình xử lý và thiết kế giao diện người dùng đơn giản, lý tưởng là các giao diện "click and pay" Hơn nữa, việc sử dụng phần mềm chuẩn như trình duyệt web thay vì cài đặt phần mềm ví tiền trên máy tính sẽ giúp giảm chi phí cài đặt và hỗ trợ Đặc biệt, các nhà cung cấp dịch vụ thanh toán (PSP) cần có khả năng tương tác với nhau, cho phép khách hàng thanh toán qua các PSP khác, từ đó chia sẻ chi phí hỗ trợ và thu hút khách hàng Cuối cùng, chi phí liên quan đến phần cứng, phần mềm và truyền thông cho việc xử lý thanh toán cũng cần được tối ưu hóa để giảm thiểu chi phí tổng thể.

Các giải pháp chính

6.4.1 Giải quyết tranh chấp và hoàn trả

Tranh chấp và hoàn trả phổ biến nhất trong giao dịch trực tuyến là khi khách hàng không đồng ý với việc giao dịch Để hiểu rõ hơn, chúng ta cần xem xét quy trình thực hiện giao dịch bằng thẻ tín dụng qua Internet hoặc điện thoại, trong đó thông tin thẻ tín dụng được gửi đến người bán Thông tin này thường được mã hóa bằng SSL/TLS, giúp bảo vệ dữ liệu Tuy nhiên, việc chỉ cần cung cấp số thẻ tín dụng khiến bất kỳ ai có thông tin này đều có khả năng tham gia giao dịch, dẫn đến nhiều tranh chấp liên quan đến thanh toán thẻ tín dụng.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội cho thấy tỷ lệ sử dụng Internet ngày càng cao Tình trạng này tạo ra nhiều thách thức cho các nhà phát hành thẻ Tuy nhiên, tỷ lệ này chỉ giảm khi có cơ chế phạt đối với những người bán hàng có nhiều tranh chấp.

Hình 6-5: Thanh toán thẻ tín dụng SSL

Để giảm thiểu tranh chấp và hoàn trả liên quan đến việc chấp nhận thanh toán của khách hàng, việc thiết lập một quy trình xử lý thanh toán an toàn là rất quan trọng Quy trình này nên tuân theo các tiêu chuẩn đã được xác định để đảm bảo tính hiệu quả và an toàn trong giao dịch.

1 Người bán trình diễn các sản phẩm và dịch vụ tới khách hàng Trong m t k ch b n ộ ị ả duyệt thông thường, một chào hàng thường thông qua một đường dẫn siêu văn bản, gọi là trả phí theo đường dẫn (per-fee link) Ngoài ra còn có các mô tả về chào hàng có thể ằ n m cả ở trong và ngoài đường dẫn trả trả phí

2 Thông thường, trình diện sẽ trình diễn các mô tả chào hàng hàng Khách hàng thực hiện quá trình thanh toán đơn giản bằng cách bấm chọ đường dẫ đó Kết quả của n n thao tác đó là việc chuyển các tham số ủ c a đường dẫn trả phí tới PSP, cung cấp đầy đủ các thông tin thanh toán

3 Ở đ ể i m này, trong h u h t các trường h p, khách hàng đã chi trả căầ ế ợ n c vào thông ứ tin đã được mô tả trong đường dẫn trả phí Tuy nhiên, một người bán có m c ích ụ đ xấu có thể có thể cung cấp một mô t khác v i các thông tin thanh toán tới PSP Do ả ớ đó, PSP c n ph i xác định l i r ng khách hàng đầ ả ạ ằ ã đồng ý tr theo úng mô t Quá ả đ ả trình này thường được thực hiện bằng việc gửi một yêu cầu xác nhận chấp nhận

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội đề cập đến hệ thống thanh toán trực tuyến, cho phép khách hàng thực hiện giao dịch trên một trang web Sau khi gửi yêu cầu thanh toán, khách hàng có quyền đồng ý hoặc từ chối yêu cầu này.

4 Khi PSP xác nhận khách hàng đã chấp nhận thanh toán, PSP phát hành ra một hoá đơn thanh toán đã xác th c (PO) g i t i khách hàng PO thường được xác thựự ử ớ c b i ở chữ ký của PSP hoặc sử dụng khoá chung gi a PSP và người bán Đểữ phòng kh ả năng hoá đơn thanh toán bị “mất cắp” trên đường tới khách hàng, quá trình trao đổi thường được mã hoá sử dụng SSL

5 Trình duyệt của khách hàng thường tự động x lý hoá đơn ã xác th c b ng cách ử đ ự ằ gửi nó tới người bán như là một yêu cầu Nếu xử dụng m t ph n m m ví i n t , ộ ầ ề đ ệ ử phần mềm này có thể thay đổi PO trước khi gửi nó đến người bán (thêm vào chữ ký của khách hàng hoặc xác nhận hoá đơn đó)

6 Hoá đơn sau đ được kiểm định bởi người bán, kiểm tra xem có đúng xác nhận của ó PSP hay không Việc này có thể thực hiện thông qua sử dụng m t khoá MAC, khoá ộ dùng chung giữa PSP và người bán, hoặc là chữ ký khoá công khai của PSP Ngay khi hoá đơn thanh toán được xác nhận h p lợ ệ, người bán sẽ cung cấp hàng hoá và dịch vụ cho khách hàng

7 Trong xử lý không trực tuyến, các xử lí lưới (xử lý “batch”) người bán đặt các hoá đơn và nhận tiền v ề

6.4.2 Sử ụ d ng đường d n trả phí ẫ

Các hệ thống thanh toán nhỏ được thiết kế cho giao dịch giá trị thấp, vì vậy yếu tố quan trọng là tạo ra trải nghiệm người dùng tự nhiên, thuận tiện và nhanh chóng Khách hàng thường không muốn chi trả nhiều cho hàng hóa và dịch vụ, đồng thời cũng không muốn tốn thời gian và sức lực trong quá trình thanh toán Giải pháp "click và pay" (chọn và trả) sẽ là lựa chọn phù hợp, đồng thời giúp giảm chi phí hỗ trợ khách hàng Quy trình thanh toán này trở thành một phần mở rộng của các giao diện trình duyệt web, cho phép người dùng dễ dàng mua thông tin hay dịch vụ chỉ bằng cách nhấp vào đường dẫn thanh toán, tương tự như cách họ chọn một đường dẫn thông thường.

Có nhiều phương pháp để triển khai đường dẫn trả phí, trong đó các nhà quản lý và phát triển web đề xuất một cú phá chuẩn Đề xuất này hỗ trợ nhiều cách thể hiện đường dẫn trả phí như nhúng, applet hoặc các thành phần tương tác Tuy nhiên, tất cả những cách này đều yêu cầu phần mở rộng của trình duyệt web tiêu chuẩn để hiển thị đường dẫn trả phí, chẳng hạn như các bộ đính kèm plug-in, bộ điều khiển Active X hoặc applet Ngoài ra, cũng cần cài đặt một phần mềm "ví điện tử" trên máy tính của khách hàng.

Trong một số trường hợp, có thể sử dụng đường dẫn trả phí trên một trình duyệt web chuẩn và chỉ cần thêm giá bán vào đường dẫn Như hình 6-2, thông tin trao đổi giữa khách hàng và người bán đều thông qua PSP hoặc nhà cung cấp liên kết chặt chẽ với PSP Trong kịch bản này, PSP có khả năng thay đổi đường dẫn trả phí bằng cách bổ sung thông tin mô tả sản phẩm và giá trước khi gửi tới khách hàng.

click here to receive the song [5 cents charge]

Thông tin về giá sản phẩm được xác nhận bởi gateway thanh toán, dẫn đến việc lượng thanh toán phải trả tương ứng Khách hàng đồng ý với thỏa thuận bằng cách chọn đường dẫn cụ thể Quy trình này thường được áp dụng trong các giao dịch di động, nơi người bán chỉ cung cấp thông tin thô, trong khi mobile gateway mã hóa và cung cấp giao diện phù hợp với thiết bị của người dùng.

Thanh toán trực tuyến dùng thẻ tín dụng

Mô hình thực tế First Virtual

THANH TOÁN THẺ TÍN DỤNG

7.1 T ổ ng quan v ề th ẻ tín d ụ ng

Phương thức thanh toán bằng thẻ tín dụng bao gồm hai bước chính: người bán giới thiệu giá cả và các dịch vụ, sau đó người mua thông báo phương thức thanh toán cùng thông tin liên quan Trước đây, việc gửi thông tin thanh toán trên website không được đảm bảo an toàn Khách hàng có thể tìm hiểu sản phẩm trực tuyến nhưng thường phải thoát khỏi mạng để thực hiện giao dịch bằng thẻ tín dụng Điều này cho thấy các trang web chỉ đóng vai trò giới thiệu sản phẩm mà không hỗ trợ trực tiếp trong quá trình thanh toán.

Hiện nay, các công ty như CyberCash, VISA và First Virtual đang triển khai hệ thống thanh toán với các mô hình bảo mật khác nhau Mặc dù họ cạnh tranh để phát triển các tiêu chuẩn an toàn, người tiêu dùng vẫn cần thận trọng khi thực hiện thanh toán trực tuyến Dù khách hàng có thể cảm thấy an tâm khi sử dụng thẻ tín dụng qua mạng, nhưng thực tế, việc phát triển các phương thức thanh toán vẫn còn nhiều thiếu sót so với những gì mà các trang web thương mại điện tử thể hiện.

Các phương thức thanh toán đa dạng yêu cầu khách hàng thiết lập tài khoản hoặc cài đặt phần mềm đặc biệt Tuy nhiên, không phải ngân hàng nào cũng thực hiện tất cả các phương thức này Để tránh mất khách hàng do lựa chọn thanh toán, ngân hàng thực hiện kiểm tra thủ công Họ thu thập thông tin từ các thẻ tín dụng trực tuyến và vào cuối ngày, sẽ kiểm tra và thông báo cho khách hàng nếu có vấn đề.

Thanh toán trong thương mại điện tử chỉ diễn ra khi có các tiêu chuẩn an toàn thanh toán, đảm bảo an toàn cho cơ chế và giao thức thanh toán Hiện nay, các công ty như Microsoft/Visa và Netscape/Verifone đang nỗ lực đơn giản hóa quy trình thanh toán bằng cách phát triển phần mềm cho ngân hàng, người bán và dịch vụ Phần mềm ngân hàng giúp các ngân hàng sử dụng hệ thống máy tính hiện có để nhận diện và mã hóa số thẻ tín dụng, trong khi phần mềm dành cho người bán cho phép họ thực hiện giao dịch và bán hàng hóa trực tuyến Khách hàng có thể kết nối với các cửa hàng điện tử thông qua trình duyệt web của mình.

Hình 7-1: Các thành phần trong giao dịch thẻ tín dụng

Các ki ể u thanh toán b ằ ng th ẻ tín d ụ ng

Hệ thống thanh toán bằng thẻ tín dụng được chia thành ba nhóm chính Phương thức thanh toán đầu tiên là trao đổi thẻ tín dụng chưa mã hóa qua mạng chung, như điện thoại hoặc Internet Tuy nhiên, mức độ bảo mật trên Internet còn yếu, dẫn đến nhiều vấn đề trong phương thức này, vì bất kỳ kẻ xấu nào cũng có thể đọc được số thẻ tín dụng và sử dụng các chương trình quét để đánh cắp thông tin.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội đề cập đến việc truyền tải số thẻ tín dụng qua Internet và gửi thông tin liên quan đến thẻ Xác thực là vấn đề quan trọng, yêu cầu các chương trình đảm bảo rằng người sử dụng thẻ là chủ sở hữu thực sự Mặc dù thẻ tín dụng có thể được mã hóa trước khi giao dịch, vẫn cần xem xét các yếu tố như chi phí giao dịch, đặc biệt là đối với các giao dịch nhỏ, vì chi phí có thể vượt quá lợi ích Do đó, thanh toán qua nhận diện của bên thứ ba được coi là giải pháp cho các vấn đề bảo mật và nhận diện.

Thanh toán bằng thẻ tín dụng đã trở thành phương thức phổ biến nhất trên Internet Khách hàng chỉ cần truy cập vào các trang web, chọn sản phẩm hoặc dịch vụ cần thiết và nhập thông tin thẻ tín dụng vào mẫu HTML Thông tin này được gửi đến trang web, nơi có thể thu thập và gửi đến ngân hàng định kỳ hoặc thiết lập kết nối trực tiếp để kiểm tra khả năng tín dụng của người dùng ngay lập tức.

Trong hệ thống thanh toán thẻ tín dụng, có bốn bên tham gia chính: khách hàng, người bán, hãng phát hành thẻ và ngân hàng của người bán Để thực hiện giao dịch, khách hàng và người bán cần thiết lập mối quan hệ với hãng phát hành thẻ và ngân hàng của người bán Hãng phát hành thẻ sẽ cung cấp thẻ cho khách hàng để thực hiện thanh toán.

Khi khách hàng sử dụng thẻ tín dụng tại các cửa hàng hoặc siêu thị, người bán cần thông báo cho ngân hàng của mình về khả năng chấp nhận thẻ từ các chi nhánh khác nhau Khách hàng sẽ chọn hàng hóa hoặc dịch vụ và đưa thẻ tín dụng cho người bán Người bán kiểm tra tính hợp lệ của thẻ bằng cách gửi thông tin đến ngân hàng của mình Thông qua mạng tài chính, yêu cầu này sẽ được chuyển đến ngân hàng phát hành thẻ của khách hàng, nơi xác thực thông tin và gửi chứng thực trở lại cho người bán Quy trình này, mặc dù có vẻ phức tạp, là cách thức thanh toán bằng thẻ phổ biến hiện nay.

Mặc dù một số công ty yêu cầu khách hàng cung cấp thông tin thẻ tín dụng không được mã hóa, hầu hết các công ty đều áp dụng mã hóa để bảo vệ thông tin thẻ, giao dịch và dữ liệu khách hàng Nếu không có mã hóa, hacker có thể dễ dàng chặn và thay đổi thông tin để phục vụ mục đích xấu của họ.

Hacker có thể sử dụng các chương trình sniffer để sao chép thông tin thẻ tín dụng, dẫn đến việc thông tin này bị sử dụng sai mục đích nếu khách hàng không bảo vệ địa chỉ vận chuyển của mình Mặc dù việc trộm cắp thông tin thẻ tín dụng không phải là điều mới mẻ, nhưng Internet đã tạo điều kiện cho các cuộc tấn công này trở nên dễ dàng hơn Để bảo đảm an toàn cho thanh toán thẻ tín dụng, hai chuẩn mã hóa chính đã được phát triển gần đây: Secure Socket Layer (SSL) và Secure Electronic Transactions (SET) SSL chỉ mã hóa thông tin giữa trình duyệt web và máy chủ, trong khi SET cung cấp một hệ thống thanh toán toàn diện, bao gồm cả ngân hàng trong quá trình giao dịch.

7.2 Giao d ị ch qua th ư đ ệ , i n tho ạ i

Trong nhiều năm, thẻ tín dụng đã tạo ra khả năng thanh toán mà không cần sự gặp mặt trực tiếp giữa người mua và người bán Một số công ty thẻ tín dụng cho phép khách hàng thực hiện giao dịch qua thư hoặc điện thoại, được gọi là giao dịch MOTO (Mail Order/Telephone Order) Các công ty này cũng đã thiết lập thêm các quy định mới cho các giao dịch này nhằm đảm bảo tính an toàn và bảo mật.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội nhấn mạnh rằng việc xác thực thông tin chủ thẻ trong giao dịch là rất quan trọng Người bán thường không thể kiểm tra tính chính xác của chủ sở hữu thẻ hoặc chữ ký trên thẻ Để tăng cường độ tin cậy, các chủ thẻ thường được yêu cầu cung cấp thêm thông tin như tên và địa chỉ Khi hàng hóa vật lý được đặt hàng, yêu cầu về việc giao hàng đến địa chỉ đã đăng ký là cần thiết để đảm bảo an toàn cho các đơn hàng giá trị cao Tuy nhiên, việc không có chữ ký của chủ thẻ có thể dẫn đến rủi ro cho người bán, vì khách hàng có thể từ chối thanh toán cho giao dịch mà không cần chứng minh.

Mặc dù thanh toán này vẫn tiềm ẩn rủi ro về khả năng giả mạo, nhưng nó vẫn được ưa chuộng nhờ vào những lợi ích vượt trội mà nó mang lại.

7.2 Thanh toán m ạ ng không an toàn

Giao dịch an toàn SSL

First Virtual đã áp dụng một phương pháp bán hàng an toàn mà không cần sử dụng các thuật toán mã hóa Một cách tiếp cận khác là thiết lập kết nối an toàn để thông tin thẻ tín dụng có thể được truyền trực tiếp trên mạng Để thực hiện điều này, có hai yêu cầu bảo mật cơ bản Thứ nhất, cần có phương tiện mã hóa truyền thông giữa khách hàng và người bán để ngăn chặn việc đánh cắp thông tin thẻ tín dụng Thứ hai, người bán phải được xác thực để ngăn chặn kẻ tấn công mạo danh và lấy cắp thông tin thẻ.

Các dịch vụ bảo mật hiện nay có thể được cung cấp bằng cách sử dụng công nghệ mã hóa SSL (Secure Socket Layer) SSL là một giao thức được thiết kế để bảo mật thông tin giữa các ứng dụng, sử dụng cơ chế bảo mật "socket" Giao thức này được phát triển bởi Netscape Corporation vào năm

Năm 1994, Netscape quyết định cung cấp SSL miễn phí mặc dù đã có bản quyền, từ đó SSL trở thành tiêu chuẩn mới cho bảo mật tầng giao vận (TLS).

Các thành phần trong trao đổi SSL sử dụng chứng chỉ để gán định danh với khóa công khai Để đảm bảo tính tin cậy, các phần mềm tham gia phải được xác thực qua chứng chỉ của tổ chức cấp chứng chỉ uy tín Hiện nay, hầu hết các máy chủ web và trình duyệt đều hỗ trợ thực hiện các cuộc hội thoại SSL.

Người bán cần sử dụng SSL và xin giấy chứng nhận từ tổ chức cấp phát để nhận chứng chỉ X.509, xác thực danh tính trên Internet Chứng chỉ này đi kèm với khóa riêng được cấu hình trên máy chủ web trước khi thực hiện giao dịch SSL Các trình duyệt web thường được cài đặt sẵn để tin cậy một số chứng chỉ từ nhà cung cấp, và danh sách này có thể thay đổi khi cần Những chứng chỉ này tạo ra cơ sở tin cậy cho các giao dịch SSL, cho phép trang web của người bán xác nhận danh tính với khách hàng.

Giao thức SSL cho phép truyền dữ liệu an toàn giữa hai bên thông qua một "socket bảo mật," tương tự như khi sử dụng socket thông thường Điều này có nghĩa là các ứng dụng bảo mật có thể hoạt động song song với các ứng dụng không bảo mật Ví dụ, máy chủ web có thể chạy trên cổng 80 mà không sử dụng SSL, trong khi cùng lúc, một ứng dụng tương tự có thể hoạt động trên cổng 443 với kết nối được bảo vệ bởi SSL.

Giao thức SSL bao gồm các thành phần cơ bản như được mô tả trong Hình 7-4 Khi thiết lập kết nối socket cho SSL, quy trình bắt tay (Handshake) thực hiện các bước cần thiết để xác định danh tính của các bên và trao đổi các tham số mã hóa cho phiên kế tiếp Sau đó, dữ liệu ứng dụng được tính toán cùng với các tham số và chuyển đổi thành các gói Application_Data qua các kết nối socket bên dưới Nếu cần thay đổi các tham số mã hóa trong phiên làm việc, khối mã hóa sẽ được điều chỉnh tương ứng.

Change_Cipher tham gia thực hiện Tương t n u có b t k v n đề tr c tr c nào x y ra giao thức ự ế ấ ỳ ấ ụ ặ ả cảnh báo Alert sẽ đảm nhiệm

Hình 7-4: Các thành phần chính trong SSL

Trong thủ tục bắt tay, có nhiều yếu tố cần xem xét như khách hàng, máy chủ và thuật toán mã hóa được sử dụng Quá trình bắt tay phụ thuộc vào việc xác thực giữa hai bên Hình 7-5 minh họa một quy trình bắt tay điển hình.

Hình 7-5: Các trao đổi chính trong thủ ụ t c bắt tay

Sau khi thủ tục kết nối hoàn tất, máy chủ và máy khách sẽ nhận thông báo rằng kết nối socket đã thành công, từ đó quá trình chuyển dữ liệu sẽ bắt đầu Dữ liệu được đóng gói trong các đơn vị Application_Data, với kích thước và định dạng có thể thay đổi tùy thuộc vào phương thức mã hóa được sử dụng.

Hình 7-6 mô tả cách thức dữ liệu của người sử ụ d ng được phân mảnh ra các đ ạo n 2 14 bytes

Nếu cả hai bên đồng ý sử dụng nén, dữ liệu sẽ được nén theo thuật toán đã thỏa thuận trước khi xử lý Tùy thuộc vào thuật toán mã hóa, người dùng có hai lựa chọn: tạo ra một đơn vị dữ liệu GenericStreamCipher kèm theo MAC hoặc sử dụng GenericBlockCipher, trong đó dữ liệu được mã hóa toàn bộ cùng với MAC Độ dài của trường MAC phụ thuộc vào thuật toán được sử dụng, và trường PAD cũng được thêm vào để đảm bảo kích thước của GenericBlockCipher phù hợp với thuật toán.

Đánh giá, khuyến nghị

Tiêu chí đánh giá hệ thống thanh toán

Tính ẩn danh, riêng tư

Trong các giao dịch, tính ẩn danh có thể được bảo vệ, nghĩa là danh tính của người bán, người mua và số tiền giao dịch không thể xác định Ví dụ, trong giao dịch thẻ ghi nợ, thông tin mua hàng được lưu lại, cho phép xác định số tiền và loại hàng đã mua, do đó không đảm bảo tính riêng tư Ngược lại, khi khách hàng thanh toán bằng tiền mặt, không ai có thể xác định nguồn gốc tiền mua hàng, và không có mối liên hệ nào giữa danh tính của người mua và hóa đơn Hệ thống thanh toán bằng tiền mặt hoàn toàn ẩn danh.

Quyền của khách hàng liên quan đến việc bảo vệ thông tin mua bán của mình, được gọi là tính riêng tư Luật pháp ở nhiều quốc gia quy định rõ ràng về quyền của ngân hàng, các công ty và bên thứ ba trong việc sử dụng thông tin cá nhân, bao gồm cả thông tin liên quan đến giao dịch và thanh toán.

Tính khả dụng của phương thức thanh toán được định nghĩa là mức độ chấp nhận thanh toán trên các website thương mại Tiền mặt có tính khả dụng cao vì được chấp nhận ở mọi nơi Thẻ tín dụng và thẻ ghi nợ cũng có tính khả dụng cao do có thể sử dụng ở nhiều địa điểm khác nhau Tuy nhiên, tính khả dụng này có thể phụ thuộc vào vị trí địa lý; chẳng hạn, thanh toán bằng séc có thể phổ biến ở một số quốc gia nhưng lại ít được chấp nhận ở nơi khác.

Khách hàng có thể lựa chọn phương thức thanh toán phù hợp với nhu cầu tài chính của họ Hiện nay, có nhiều hệ thống và lược đồ thanh toán đa dạng để khách hàng lựa chọn.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội cần phải phù hợp với dịch vụ ứng dụng mong muốn Tiền sử dụng trong hệ thống này cần có khả năng chuyển đổi để sử dụng được trong một hệ thống khác Ví dụ, người sử dụng có thể chuyển đổi từ tiền điện tử (ecash) sang tiền mặt hoặc chuyển vào tài khoản ngân hàng.

Sự hiệu quả của hệ thống thanh toán được đánh giá qua khả năng chấp nhận các giao dịch nhỏ (micropayment) với giá trị chỉ vài cent Một hệ thống thanh toán hiệu quả cần xử lý số lượng lớn giao dịch nhỏ mà không làm giảm hiệu năng, đồng thời không tính phí giao dịch cao hơn giá trị sản phẩm Các hệ thống thanh toán như Millicent, Ecoin đáp ứng tiêu chí này, thường được sử dụng cho các sản phẩm như bài báo, tin tức hoặc báo cáo trên các trang web.

Một hệ thống tương tác không chỉ phụ thuộc vào một công ty mà cho phép nhiều thành viên tham gia, giúp dễ dàng đáp ứng yêu cầu của khách hàng và đạt được sự chấp nhận cao Hệ thống lý tưởng sẽ chấp nhận thanh toán bằng mọi loại tiền tệ và có khả năng chuyển đổi tiền giữa nhiều hệ thống thanh toán khác nhau Ví dụ, tiền trên hai hệ thống tiền điện tử khác nhau có thể được sử dụng trên một nền tảng chung.

Khách hàng và nhà kinh doanh đều mong muốn một hệ thống thanh toán đáng tin cậy Khách hàng chỉ sử dụng hệ thống khi họ có niềm tin vào độ an toàn của nó Một hệ thống tin cậy cần có khả năng phòng thủ tốt, bảo vệ khỏi các cuộc tấn công của hacker cũng như các mối đe dọa từ dịch vụ gây giảm hiệu năng.

Thương mại điện tử đang phát triển mạnh mẽ, kéo theo nhu cầu nâng cấp cơ sở hạ tầng thanh toán điện tử Hệ thống này cần có khả năng mở rộng để đáp ứng lượng khách hàng và người bán mới mà vẫn đảm bảo hiệu suất xử lý và chất lượng dịch vụ cao.

Internet là một mạng mở, do đó các hệ thống thanh toán điện tử cần có khả năng chống lại các tấn công mạng Khách hàng phải được đảm bảo an toàn khi thực hiện thanh toán trực tuyến, và ngân hàng cùng các tổ chức phát hành thẻ cần bảo vệ thông tin cá nhân khỏi việc bị đánh cắp hoặc sử dụng sai mục đích Đặc biệt, tiền điện tử cần có khả năng chống thanh toán hai lần Độ tin cậy là mức độ mà khách hàng tin tưởng rằng tiền và thông tin cá nhân của họ được bảo vệ, và tất cả các bên tham gia thanh toán đều phải đáng tin cậy Người sử dụng cần phải được đảm bảo rằng thanh toán được thực hiện chính xác, và ngay cả khi hệ thống không hoàn hảo, ít nhất họ cũng phải được cam kết rằng ngân hàng, người bán hay tổ chức thẻ sẽ không sử dụng thông tin sai mục đích.

Đánh giá

Bảng 3: Đánh giá các hệ thống thanh toán

CÁC HỆ THỐNG THANH TOÁN TIÊU CHÍ ĐÁNH GIÁ Tiền đ ệi n tử Séc đ ệ ửi n t Thanh toán nhỏ Thẻ tín dụng

Tính bảo mật * X Độ tin cậy * X *

(*) Tuỳ thuộc vào từng trường hợp áp dụng cá biệt

8.2.1 Hệ thống thanh toán tiề đ ện i n tử

Một trong những đặc tính nổi bật của tiền điện tử là tính ẩn danh Các hệ thống như eCash cho phép bảo vệ quyền riêng tư của người dùng, ngay cả khi có sự tham gia của các bên liên quan như ngân hàng của người bán và đại diện trung tâm phát hành tiền điện tử.

Hình 8-1: Lược đồ thanh toán tiền đ ệi n t ử

Lược đồ cho thấy, sau khi lưu trữ tiền điện tử trong "ví điện tử", người dùng có thể thực hiện giao dịch mua hàng mà không cần liên hệ với trung tâm thanh toán Phương pháp này giúp cắt giảm chi phí giao dịch một cách hiệu quả.

Một tính năng quan trọng của tiền điện tử là khả năng chống thanh toán hai lần Tuy nhiên, tiền điện tử cũng chỉ là một mẩu dữ liệu có thể bị sao chép Để đảm bảo rằng tiền điện tử không bị sử dụng lặp lại, ngân hàng phát hành cần phải ghi lại số serial của tất cả các xu điện tử đã thanh toán Điều này dẫn đến việc tạo ra một ngân hàng dữ liệu "số serial đã thanh toán" với kích thước có thể rất lớn và khó kiểm soát Để giải quyết vấn đề này, có thể sử dụng thời hạn thanh toán trong tiền điện tử, cho phép xóa bỏ số serial của lượng tiền quá hạn khỏi danh sách Phần mềm ví tiền điện tử cũng cần đảm bảo rằng tiền điện tử sẽ được chuyển về ngân hàng trước khi quá hạn.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội tập trung vào việc xử lý khối lượng dữ liệu lớn Để hiệu quả trong việc quản lý dữ liệu, phương án kết hợp xử lý đồng thời từ nhiều ngân hàng có thể được áp dụng Tuy nhiên, phương án này gặp khó khăn khi có một lượng lớn người dùng tiền điện tử truy cập cùng lúc, dẫn đến độ trễ xử lý cao và dấu hiệu tràn dữ liệu.

Một nhược điểm lớn của các hệ thống thanh toán điện tử là yêu cầu bổ sung thiết bị phần mềm hoặc phần cứng cho cả khách hàng và người bán Những kiến thức cần thiết khi sử dụng hệ thống mới, cùng với các đặc điểm kỹ thuật mà người sử dụng phải thực hiện, tạo thành những rào cản chính trong việc áp dụng thanh toán điện tử.

8.2.2 Hệ thống thanh toán dựa trên tài khoản Đặc tính nội tr i đầu tiên c a các h th ng d a trên tài kho n là tính kh dụng Khi phát ổ ủ ệ ố ự ả ả triển các hệ thống thanh toán đ ệi n tử các hệ thống thanh toán dựa trên tài khoản sẽ chiế ưm u thế Đ ềi u này có được là do th tín d ng là m t phương ti n thanh toán d “s hoá” nh t Thêm vào ẻ ụ ộ ệ ễ ố ấ đó vi c tri n khai các h th ng thanh toán dùng th tín d ng nói riêng và các h th ng thanh toán ệ ể ệ ố ẻ ụ ệ ố dựa trên tài khoản nói chung cũng rất dễ dàng dựa trên cơ sở kỹ thu t hi n t i V n s dụậ ệ ạ ẫ ử ng n n ề tảng thanh toán cũ và sử dụng máy tính nh là m t thi t b đầu cu i, tri n khai h th ng thanh ư ộ ế ị ố ể ệ ố toán sẽ không cần thêm bất cứ mộ ề ảt n n t ng ph n c ng hay ph n m m b sung nào phía khách ầ ứ ầ ề ổ ở hàng

Các hệ thống thanh toán này có khả năng mở rộng linh hoạt, cho phép tăng số lượng người dùng mà không gây tổn hao về mặt hiệu suất Việc thêm người sử dụng mới chỉ cần tăng số lượng tài khoản mà không cần xây dựng thêm cơ sở dữ liệu lớn để ghi nhận giao dịch, giúp phòng chống giả mạo hiệu quả Một ưu thế khác của các hệ thống này là sự quen thuộc của khách hàng, cả về mặt kỹ thuật lẫn dễ dàng trong sử dụng.

Các hệ thống thanh toán dựa trên tài khoản có một số hạn chế, trong đó đáng chú ý nhất là khả năng truy dấu vết của các giao dịch, dẫn đến việc thiếu tính ẩn danh cho khách hàng Khi thực hiện giao dịch, danh tính của khách hàng có thể bị ghi nhận Thêm vào đó, các hệ thống thanh toán này thường mang tính chất tập trung, làm tăng chi phí giao dịch Ví dụ, trong giao dịch thẻ tín dụng, có sự tham gia của nhiều bên như người bán, người mua, ngân hàng phát hành thẻ và tổ chức thẻ, điều này khiến cho quá trình giao dịch trở nên phức tạp và tốn kém, đặc biệt là đối với các giao dịch có giá trị thấp.

Hình 8-2: Lược đồ thanh toán thẻ tín dụng

Số lượng thành phần tham gia giao dịch càng nhiều thì tính an toàn của hệ thống càng giảm Mọi thành viên trong giao dịch đều có thể là mục tiêu của các cuộc tấn công Khách hàng có nguy cơ bị đánh cắp thông tin tài khoản, trong khi người bán phải đối mặt với rủi ro khi giao dịch bằng thẻ bị đánh cắp Ngân hàng và các tổ chức phát hành thẻ cũng chịu rủi ro lớn hơn khi mở rộng khoản tín dụng cho phép khách hàng sử dụng thẻ.

Quản lý tài khoản trong các hệ thống tài khoản thường phụ thuộc vào sự kiểm soát của một công ty cung cấp dịch vụ, điều này làm giảm tính tương tác do hạn chế sự tham gia của các công ty khác Sự thiếu minh bạch, như việc có một mã tương tác riêng hoặc thông tin bí mật, dẫn đến việc khó khăn trong việc tham gia và làm giảm độ tin cậy của hệ thống Khi một công ty chỉ có một kênh duy nhất để quản lý tính an toàn, điều này càng làm tăng rủi ro và giảm tính hiệu quả trong quản lý tài khoản.

Khuyến nghị

Sự phát triển mạnh mẽ của giao dịch trực tuyến khẳng định rằng thương mại điện tử là một xu hướng không thể đảo ngược Các số liệu thống kê cho thấy tổng giá trị của các giao dịch trực tuyến ngày càng tăng, phản ánh sự chuyển dịch mạnh mẽ sang nền tảng số.

Luận văn cao học ngành Công nghệ thông tin tại ĐH Bách Khoa Hà Nội đang thu hút sự chú ý khi giao dịch điện tử B2B tăng trưởng nhanh chóng Theo báo cáo của IDC, giá trị của các giao dịch này dự kiến sẽ đạt một con số ấn tượng trong thời gian tới.

Trong khi giá trị giao dịch B2C dự kiến sẽ đạt hàng trăm tỷ đô la trong vài năm tới, thị trường giao dịch điện tử đang có tiềm năng phát triển mạnh mẽ với giá trị lên đến 7000 tỷ đô la Tuy nhiên, những trở ngại trong việc triển khai các hệ thống thanh toán điện tử không thể bị xem nhẹ Vấn đề đặt ra là những yếu tố nào đang cản trở sự phát triển này, và các báo cáo gần đây đã chỉ ra rằng có nhiều thách thức cần được giải quyết.

Bảo mật thanh toán là yếu tố quan trọng hàng đầu trong mua sắm trực tuyến Khách hàng thường e ngại khi cung cấp thông tin thẻ tín dụng nếu họ không có sự đảm bảo rằng các thông tin này sẽ được truyền tải và sử dụng một cách an toàn.

Tính riêng tư là một vấn đề quan trọng trong mua sắm trực tuyến, khi các siêu thị thường yêu cầu khách hàng cung cấp thông tin cá nhân như địa chỉ và thông tin thẻ Khách hàng không muốn hành vi mua sắm của họ bị ghi nhận và theo dõi Họ chỉ mong muốn có thể tiếp cận sản phẩm nhanh chóng mà không phải trải qua các thủ tục xác thực phức tạp.

Mỗi thành viên tham gia hệ thống thanh toán đều có những m i quan tâm riêng: ố

• Những quan tâm c a khách hàng v tính riêng t , bảủ ề ư o m t thanh toán và thuận tiện ậ

Người bán thường quan tâm đến số lượng khách hàng trực tuyến, các phương thức thanh toán, cũng như chi phí thiết lập một hệ thống bán hàng trực tuyến hiệu quả.

Nhu cầu xây dựng một hệ thống thanh toán đa dạng ngày càng tăng do các nhà cung cấp dịch vụ thanh toán không đáp ứng đủ số lượng khách hàng hoặc người bán mong muốn Để giải quyết vấn đề này, cần áp dụng các yêu cầu của thương mại điện tử, từ đó phát triển một hệ thống hỗ trợ nhiều phương thức thanh toán như thẻ tín dụng, thẻ ghi nợ, thẻ trả trước, và thẻ thông minh.

Viễn cảnh khi triển khai hệ thống hỗ trợ nhiều hình thức thanh toán:

Để nâng cao tính bảo mật và cung cấp nhiều lựa chọn thanh toán, hệ thống thanh toán cần thiết lập cơ chế bảo vệ thông tin cá nhân Điều này không chỉ giúp tăng cường độ tin cậy của khách hàng mà còn tạo sự an tâm trong các giao dịch trực tuyến.

Với sự đa dạng trong các tùy chọn thanh toán, tính bảo mật cao và chính sách bảo vệ quyền riêng tư hợp lý, các nhà cung cấp dịch vụ thanh toán thu hút được nhiều khách hàng và người bán hơn.

Một yêu cầu quan trọng trong việc xây dựng hệ thống cung cấp dịch vụ là bảo vệ tính riêng tư Hệ thống cần được thiết kế để không một thành phần nào biết được toàn bộ quá trình giao dịch, nhưng vẫn có khả năng khôi phục giao dịch khi cả ba bên tham gia cung cấp thông tin cần thiết để giải quyết tranh chấp Ý tưởng cốt lõi là người bán không biết danh tính khách hàng và không cần truy cập vào bất kỳ thông tin cá nhân nào của họ Ngân hàng cũng không cần biết thông tin về đơn hàng, mà chỉ cần đảm bảo rằng tài khoản của khách hàng đủ khả năng thanh toán cho đơn hàng đó.

Lược đồ bảo vệ tính riêng tư dựa trên kỹ thuật “chữ ký mù”

• Người ký không cần bi t v n i dung thông i p mà h ký, thông i p hoàn toàn b ế ề ộ đ ệ ọ đ ệ ị làm “mù”

• Từ thông đ ệp có chữ ký mù, thông đ ệp có thể được khôi phục lại đầy đủ với i i ch ữ ký trên đó từ bên gửi

Sau khi thông điệp đã được ký, nó có thể được xác định là văn bản hợp pháp Tuy nhiên, người kiểm tra không thể xác định ai là người đã tạo ra văn bản đó.

Mô hình thanh toán nhỏ rất phù hợp với thương mại điện tử, đặc biệt cho các giao dịch có giá trị thấp chỉ vài cent Các ứng dụng tiêu biểu bao gồm các trang web trả tiền theo nội dung như hình ảnh, video hoặc bài viết Mặc dù giá trị giao dịch nhỏ, nhưng lợi nhuận có thể đạt được từ số lượng người sử dụng lớn và thường xuyên Việc sử dụng thẻ tín dụng trong mô hình này không hiệu quả do phí giao dịch thường cao hơn giá trị sản phẩm.

Khi triển khai các hệ thống thanh toán nhỏ, một thách thức quan trọng là cắt giảm chi phí giao dịch trong khi vẫn đảm bảo trải nghiệm tốt cho khách hàng Để giảm chi phí, giải pháp hiệu quả là tích lũy nhiều giao dịch nhỏ và thực hiện thanh toán một lần Việc này có thể thực hiện bằng cách tích lũy giao dịch của một người dùng hoặc nhiều người tại một nhà cung cấp dịch vụ Ngoài ra, khách hàng cũng có thể tích lũy giao dịch từ nhiều người bán khác nhau thông qua một nhà cung cấp dịch vụ thanh toán (PSP) Để xử lý các tranh chấp có thể phát sinh, khách hàng cần liên hệ trực tiếp với người bán và sử dụng chữ ký điện tử làm chứng cứ.

Thanh toán đ ệ i n tử ở Việt Nam

Theo báo cáo của tổ chức tình báo kinh tế EIU và IBM, Việt Nam xếp hạng 60/64 quốc gia trong khảo sát về độ sẵn sàng ứng dụng công nghệ thông tin (E-readiness) trong môi trường số.

"E-readiness" là chỉ số đánh giá môi trường kinh doanh điện tử của một quốc gia, dựa trên 100 tiêu chí về số lượng và chất lượng Chỉ số này xem xét hạ tầng công nghệ, môi trường kinh tế chung, mức độ áp dụng thương mại điện tử của người tiêu dùng và doanh nghiệp, cũng như các yếu tố xã hội và văn hóa ảnh hưởng đến việc sử dụng Internet Ngoài ra, nó còn đánh giá tính sẵn có của các dịch vụ hỗ trợ cho doanh nghiệp trong lĩnh vực kinh doanh điện tử.

Với các đánh giá trong nước, Bộ thương mại xếp hạng các trang web thương mạ đ ệ ử ởi i n t Vi t ệ Nam như sau:

3 vị trí đứng u đầ ứng với 3 mô hình thanh toán:

B2C: www.tienphong-vdc.com.vn (Trung tâm Dịch vụ ă V n hoá Tiềnphong-VDC)

C2C: www.haya.com.vn (Công ty Vietnam's Shopping Online and IT Center)

B2B: www.acea.com (Công ty TNHH Siêu thị trực tuyến Việt Nam )

Theo kết quả khảo sát, trang web www.tienphong-vdc.com.vn đạt doanh thu 100 triệu đồng mỗi tháng Trong khi đó, www.haya.com.vn được xác định là trang web đấu giá điện tử duy nhất Ngoài ra, www.acea.com chủ yếu cung cấp thông tin về doanh nghiệp.

Thương mại điện tử tại Việt Nam hiện đang trong giai đoạn khởi đầu, với nhiều thách thức cần vượt qua Hệ thống thanh toán liên doanh nghiệp (B2B) còn thiếu, số lượng hệ thống thanh toán liên khách hàng (C2C) rất hạn chế, và ngay cả những trang web thương mại điện tử được coi là thành công cũng gặp khó khăn trong việc thu hút người mua.

Một trong những trở ngại lớn nhất cho việc triển khai thanh toán điện tử ở Việt Nam là sự thiếu hụt hành lang pháp lý cho các giao dịch trực tuyến Cụ thể, trong khi dịch vụ chứng thực điện tử cần phải hội nhập với tiêu chuẩn quốc tế, Luật Giao dịch điện tử vẫn chưa được ban hành, dẫn đến tình trạng ngành ngân hàng hoạt động trong sự lưỡng lự, vừa thực hiện các giao dịch điện tử vừa phải tuân thủ các quy định chưa rõ ràng.

Một trong những trở ngại lớn đối với thương mại điện tử tại Việt Nam là rào cản thanh toán quốc tế Thiếu các hành lang pháp lý rõ ràng đã khiến việc giải quyết tranh chấp và gian lận thương mại trong giao dịch trực tuyến trở nên khó khăn Hơn nữa, việc sử dụng "tài khoản thẻ tín chùa" đã khiến Việt Nam bị đưa vào danh sách đen, dẫn đến việc không thể thực hiện mua sắm trực tuyến từ các địa chỉ nước ngoài.

Nắm vững kỹ thuật trong các mô hình thanh toán là yếu tố quan trọng không thể bỏ qua Một số thuật toán mã hóa cơ bản được sử dụng trong thanh toán điện tử cần được công bố công khai Việc áp dụng các thuật toán này có thể ảnh hưởng đến an ninh quốc gia.

Tiềm năng thương mại điện tử ở Việt Nam rất lớn, với sự phát triển nhanh chóng của công nghệ thông tin Việt Nam đang trở thành mảnh đất màu mỡ cho các ứng dụng thanh toán điện tử Hiện có nhiều hệ thống thanh toán điện tử khác nhau, mỗi mô hình thanh toán đều phù hợp với những tình huống sử dụng riêng biệt.

Việc triển khai mô hình thanh toán bằng thẻ tín dụng được cho là thuận lợi nhất nhờ vào sự gia tăng nhanh chóng số lượng thẻ tín dụng đăng ký Các khâu xử lý kỹ thuật đã được cải thiện đáng kể, cùng với chính sách bảo vệ quyền lợi người tiêu dùng của các tổ chức phát hành thẻ, giúp tăng nhanh lượng khách hàng tham gia giao dịch Tuy nhiên, điều này cũng đồng nghĩa với việc các doanh nghiệp bán hàng trực tuyến phải đối mặt với rủi ro cao hơn.

Các hình thức thanh toán như séc, hóa đơn ghi nợ và chuyển khoản đang trong giai đoạn thử nghiệm Các giao dịch chủ yếu tập trung vào lĩnh vực doanh nghiệp, tuy nhiên, các giao dịch liên doanh sẽ chưa thể thực hiện cho đến khi có một khung pháp lý rõ ràng.

Các giao dịch nhỏ và tiền điện tử đang ngày càng phổ biến, đặc biệt trong các dịch vụ nghe nhạc trực tuyến và chơi game trực tuyến Sự phát triển mạnh mẽ của các nền tảng này đã tạo ra nhiều cơ hội mới cho người dùng Tuy nhiên, thói quen sử dụng tiền điện tử vẫn đang trong quá trình hình thành và phát triển.

Việc triển khai các dịch vụ thanh toán điện tử tại Việt Nam gặp nhiều khó khăn do yêu cầu phải phát triển đồng bộ với các hệ thống thanh toán khác Đặc biệt, quá trình chuyển tiền từ tài khoản sang tiền điện tử cần thời gian để áp dụng thực tế hiệu quả.

Kết luận và huớng phát triển của đề tài

Qua 8 chương luận vă đn ã trình bày được những vấn đề quan trọng nhất trong thanh toán đ ệi n t Các khái ni m c bảử ệ ơ n trong thanh toán i n t Quy trình thanh toán i n t Đểđ ệ ử đ ệ ử th c ự hiện tiếp những đánh giá hệ thống luận văn tổ chức, phân loại các mô hình hệ thống thanh toán Để các mô hình thanh toán có thể triển khai trong thực tế, luận văn trình bày các biện pháp bảo vệ cho các hệ thống thanh toán nói chung cũng như các phương thức đảm bảo an toàn cho các bên tham gia vào giao dịch trực tuyến nói riêng Phần trọng tâm của luận văn thực hiện và việc phân tích các hệ thống thanh toán trực tuyến, ánh giá các mặ ưđ t u, nhược đ ểi m của từng hệ thống và cuối cùng là đưa ra những khuyến nghị, giải pháp bước đầu để hạn chế các nhược đ ểi m đồng thời nâng cao tính ng dụng thực tiễn ứ

Luận văn trình bày một loạt vấn đề rộng lớn liên quan đến nhiều lĩnh vực trong công nghệ thông tin và truyền thông Mặc dù đã cố gắng khái quát hóa các vấn đề, nhưng do hạn chế về thời gian và dung lượng, một số thiếu sót vẫn không thể tránh khỏi Tuy nhiên, cách tiếp cận toàn diện này là lựa chọn ban

Trong giai đ ạo n tiếp theo, hướng phát triển tiếp theo của đề tài là:

- Tiếp tục cài đặt thử nghiệm triển khai các hệ ống thanh toán trực tuyến, để đưa ra các th đánh giá có c s th c ti n cao hơn ơ ở ự ễ

- Tập trung nghiên cứu sâu hơn các giải pháp bảo mật trong truyền thông nói chung và trong các hệ thống thanh toán nói riêng

Đặc biệt, việc sâu nghiên cứu các vấn đề cụ thể sẽ giúp tích hợp và triển khai các hệ thống thanh toán hiệu quả trên nền tảng cơ sở hạ tầng thanh toán hiện có.

Tiêu đề	Các Hệ Thống Thanh Toán Điện Tử
Trường học	Trường Đại Học
Chuyên ngành	Công Nghệ Thông Tin
Thể loại	Luận Văn

Định dạng
Số trang	125
Dung lượng	8,83 MB