Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 14 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
14
Dung lượng
268,81 KB
Nội dung
Tổng quanvềthươngmại điện tử-internet(P4)
Hệ thống thanh toán điệntử
Thanh toán trực tuyến là một trong những vấn đề cốt yếu của TMĐT. Thiếu hạ
tầng thành toán, chưa thể có thương mạiđiệntử theo đúng nghĩa của nó. Từ số này,
chúng tôi sẽ giới thiệu một loạt bài về nội dung này. Những vấn đề được đề cập tới bao
gồm khái lược về một hệ thống thanh toán điệntửđiện hình cho TMĐT.
1.
SET (Secure Socket Layer)
2.
Thanh toán điệntử và các giao thức
3.Lược đồ bảo mật trong các hệ thống thanh toán điện tử
1. SET (Secure Socket Layer)
Phương pháp thanh toán Internet cho TMĐT B2C phổ biến nhất là thẻ tín dụng.
Tuy nhiên, một mối lo ngại cho khách hàng là vấn đề an ninh khi *** qua Internet
những thông tin về thẻ tín dụng, bao gồm tên, số thẻ, ngày hết hiệu lực. Người mua
còn lo ngại về vấn đề bảo vệ sự riêng tư. Họ không muốn người khác biết họ là ai, hay
họ mua gì. Họ cũng muốn tin chắc rằng không ai thay đổI đơn đặt hàng của họ và rằng
họ đang liên hệ với nmgườI bán hàng thực sự và không phải với một người giả danh.
Hiện nay, nhiều công ty sử dụng giao thức SSL(Secure Socket Layer) để cung
cấp sự bảo mật và bảovệ sự riêng tư. Giao thức này cho phép khách hàng mã hoá đơn
đặt hàng của họ tại máy tính cá nhân củâ họ.Tuy nhiên, giao thức này không cung cấp
cho kháchhàng mọi sự bảo vệ mà họ có thể có.
Visa và MasterCard đã cùng nhau phát triển một giaothức an toàn hơn, được
gọi là SET (Secure ElectronicTransaction). Về lý thuyết, đó là một giao thức hoàn
hảo.Ví dụ, một sự khác biệt điển hình giữa SET và SSL đượcsử dụng rộng rãi là SSL
không bao gồm một chứng thựckhách hàng yêu cầu phần mềm đặc biệt (được gọi là
vísố - digital wallet) tại máy tính cá nhân của họ. SSL đượcthiết lập trong trình duyệt,
do đó không cần một phầnmềm đặc biệt nào. Kế hoạch Visa và MasterCard phảichấp
nhận các thông điệp chỉ khi chúng tuân thủ giaothức SET.
Tuy nhiên, SET không phổ biến nhanh như nhiềungười mong đợi do tính phức
tạp, thời gian phản hồichậm, và sự cần thiết phải cài đặt ví số ở máy tính củakhách
hàng. Nhiều ngân hàng ảo và cửa hàng điện tửduy trì giao thức SSL, thậm chí một số
cửa hàng điện tử, như Wal-Mart Online, đi theo cả hai giao thức SSL vàSET. Ngoài ra,
theo một cuộc khảo sát do Forrest Research thực hiện, chỉ có 1% kế hoạch kinh doanh
điện tử di chuyển sang SET.
MasterCard cho biết ví số có thể sẽ được phân phốI như là phần mềm được gắn
thêm vào phiên bản Windows tiếp theo. Tuy nhiên, Visa quyết định không chờ đợi.
Visa đồng ý cung cấp một cổng nối xử lý thẻ tín dụng được gắn vào giao thức mã hoá
SSL cơ bản. Wells Fargo, một trong những công ty ngân hàng Web lớn nhất sử dụng
một dịch vụ xử lý thanh toán không SET (SETfree), dịch vụ bổ sung các chứng thực
cho việc mã hoá dữ liệu SSL. Các chứng thực được lưu giữ ở các thẻ thông minh và
những thẻ này cho thể được đọc từ một bàn phím đặc biệt có thêm khe cắm.
SET là một sự thất bại? Hay chúng ta nên chờ đợI thêm chút nữa cho đến khi ví
điện tử ở thẻ thông minh được sử dụng rộng rãi hơn và SET trở nên dễ dàng hơn cho
chúng ta?
2. Thanh toán điệntử và các giao thức
Chúng ta đã biết một trong những vấn đề chủ yếu của TMĐT là: thanh toán và
sự bảo mật của nó. Các hệ thống thanh toán an toàn là điều bắt buộc phải có để đảm
bảo thành công của TMĐT và chúng là đối tượng đề cập đến của phần này.
Khi mua một chiếc bánh ham-bơ-gơ ở một cửa hàng ăn nhanh, chúng ta đã trả
tiền với hoá đơn thanh toán bằng giấy giá trị vài đôla và có thể nhận lại vài xu tiền
thừa. Để có một bữa trưa tuyệt vời ở một cửa hàng ăn Pháp, chúng ta có thể trả tiền
với một thẻ tín dụng. Để trả tiền cho hoá đơn thanh toán sử dụng điện, chúng ta ***
một tấm séc giấy. Đó là những phương pháp thanh toán ngoại tuyến điển hình. Người
ta ước tính là khoảng 55% các giao dịch của người tiêu dùng ở Mỹ được thanh toán
bằng tiền mặt và 29% bằng séc. Tín dụng, ghi nợ, và những giao dịch điệntử khác
chiếm khoảng 15% tất cả các giao dịch của người tiêu dùng. Số tiền mà Mỹ phảI chi
cho việc xử lý các thanh toán này là 60 tỷ USD hàng năm, con số này tương ứng với
1% tổng sản lượng quốc gia (GNP).
Sự xuất hiện của việc mua hàng điệntử trên Internet yêu cầu phải có những
phương thức thanh toán mới: Tiền mặt không thể là một phương tiện thanh toán giữa
những người mua và người bán cách xa nhau trên không gian ảo. Do đó, thẻ tín dụng
trở thành một phương pháp thanh toán phổ biến nhất cho việc mua hàng ảo được tiến
hành bởi người tiêu dùng.
Máy tính yêu cầu bạn đọc vào số thẻ, tên người sở hữu thẻ, ngày hết hạn thẻ. ở
nhiều khu kinh doanh điện tử, câu trả lời cho những câu hỏi này được mã hoá. Tuy
nhiên, không phải tất cả người tiêu dùng đều tin tưởng vào tính an toàn của việc truyền
các thông điệp trực tuyến. Do đó, những người bán buộc phải cung cấp nhiều khả năng
lựa chọn cho việc truyền các thông tin về thẻ tín dụng, sao cho người mua có thể lựa
chọn phương pháp mà họ ưa thích. (Ngay cả khi thanh toán điệntử đang trở nên phổ
biến nhanh chóng, nhiều khách hàng vẫn sợ cung cấp thông tin thẻ tín dụng của họ
trên mạng. Trong khi khách hàng đang làm quen với các hệ thống mới, các nhà kinh
doanh phải cung cấp đa khả năng lựa chọn trong thanh toán trong giai đoạn chuyển
tiếp này. Quá trình thực hiện thanh toán phức tạp phải không trở thành một sự cản trở
cho việc truy cập của khách hàng. Ví dụ, khách hàng có thể được phép gõ thông tin thẻ
trực tuyến cũng như là gọi một số điện thoại miễn phí. Một số site thậm chí còn chấp
nhận một bản fax, một e-mail hay một thư in ấn trong một phong bì có niêm phong.
Trung tâm gọi, với chi phí nhân công của nó, và chi phí xử lý fax, e-mail, thư in
ấn có nghĩa là thanh toán dựa trên giao thức SET sẽ thực sự trở thành một phương
pháp kinh tế nhất đối với các nhà kinh doanh. Tuy nhiên, một số ít site thươngmại chỉ
chuyên dùng giao thức SET, giao thức yêu cầu việc tải xuống một "ví điện tử". Nhiều
khách hàng không đủ kiên trì và một số không thể thực hiện quá trình cài đặt kỹ thuật.
Do đó, các nhà kinh doanh phải mở ra các phương pháp thanh toán thân thiện người
dùng để lựa chọn. Các nhà kinh doanh cần phải đi theo con đường tìm hiểu của khách
hàng trong việc lựa chọn các phương pháp thanh toán.). Khách hàng có thể *** thông
tin thẻ trực tuyến hay bằng cách gọi điện thoại miễn phí.
Giao thức giao dịch điệntử an toàn cho thanh toán thẻ tín dụng: Một vấn đề cơ
bản là "Sự mã hoá có đủ an toàn để bảo vệ thông tin mật và sự xác thực?". Bạn có thể
nhớ rằng người bán hàng trong mọi giao dịch thẻ tín dụng ngoạI tuyến đều có thông
tin về thẻ tín dụng của khách hàng.Điều này có nghĩa là thông tin thẻ tín dụng có thể bị
lợi dụng. Điều này cũng đúng trong thươngmại Internet.ở đây, nguy cơ thậm chí còn
lớn hơn vì bọn tin tặc (hackers) có thể đọc các thông tin thẻ khi thông tin này được
truyền trên Internet.
Nguy cơ sử dụng giả mạo thẻ tín dụng của một người khác cũng thường xuyên
có trừ phi một giao thức có thể xác nhận tính chân thật của ngườI chủ sở hữu thẻ ở
phía bên kia của không gian ảo. Liệu việc *** thông tin thẻ bằng fax, điện thoại, e-
mail, hay thư bảo đảm có tránh được nguy cơ này? Tất nhiên là không. Thực vậy, các
kỹ thuật mã hoá thích hợp là sự bảo vệ an toàn nhất chống lại việc "nghe trộm" trong
quá trình truyền thông tin.
Không chỉ vấn đề bảo mật trong quá trình truyền thông tin là cần được giải
quyết mà còn cả vấn đề chứng thực người chủ sở hữu thẻ. Thậm chí một mật khẩu
cũng không thể loại trừ được hoàn toàn nguy cơ nếu một kẻ có mưu đồ xấu đăng ký
với một cái tên giả. Người tiêu dùng cần phải trình một chứng thực xác nhận, chứng
thực này có thể được lưu giữ ở một thẻ thông minh sao cho những kẻ giả mạo không
thể lạm dụng thông tin của thẻ ngay cả khi thông tin cso thể bị lộ ra. Đó là những gì
mà giao thức SET đang cố gắng đạt được. SET được giới thiệu ở phần 4.
Chuyển tiền điệntử (Electronic Fund Transfer) và thẻ ghi nợ trên Internet:
Chuyển tiền điệntử (EFT), một phương pháp thanh toán điệntử phổ biến, chuyển một
giá trị tiền từ một tài khoản ngân hàng sang tài khoản ngân hàng khác ở cùng Ngay cả
khi thanh toán điệntử đang trở nên phổ biến nhanh chóng, nhiều khách hàng vẫn sợ
cung cấp thông tin thẻ tín dụng của họ trên mạng. Trong khi khách hàng đang làm
quen với các hệ thống mới, các nhà kinh doanh phải cung cấp đa khả năng lựa chọn
trong thanh toán trong giai đoạn chuyển tiếp này. Quá trình thực hiện thanh toán phức
tạp phải không trở thành một sự cản trở cho việc truy cập của khách hàng.
Ví dụ, khách hàng có thể được phép gõ thông tin thẻ trực tuyến cũng như là gọi
một số điện thoại miễn phí. Một số site thậm chí còn chấp nhận một bản fax, một e-
mail hay một thư in ấn trong một phong bì có niêm phong.Trung tâm gọi, với chi phí
nhân công của nó, và chi phí xử lý fax, e-mail, thư in ấn có nghĩa là thanh toán dựa
trên giao thức SET sẽ thực sự trở thành một phương pháp kinh tế nhất đối với các nhà
kinh doanh. Tuy nhiên, một số ít site thươngmại chỉ chuyên dùng giao thức SET, giao
thức yêu cầu việc tải xuống một "ví điện tử". Nhiều khách hàng không đủ kiên trì và
một số không thể thực hiện quá trình cài đặt kỹ thuật. Do đó, các nhà kinh doanh phải
mở ra các phương pháp thanh toán thân thiện ngườI dùng để lựa chọn. Các nhà kinh
doanh cần phải đi theo con đường tìm hiểu của khách hàng trong việc lựa chọn các
phương pháp thanh toán.
Các nhà kinh doanh cung cấp nhiều khả năng lựa chọn trong thanh toán một
ngân hàng hay ở một ngân hàng khác. EFT được sử dụng từ những năm 70 qua các
phòng thanh toán bằng trao đổi séc tự động (ở các ngân hàng - ND) (ACH). Hiện nay,
chúng ta cũng có thể sử dụng một EFT dựa trên Internet, có nghĩa là sự gắn liền giữa
các ngân hàng ảo với việc bảo vệ an toàn trong quá trình truyền thông tin là một điều
bắt buộc. Cấu trúc của EFT dựa trên Internet và mối quan hệ của nó với các thẻ ghi nợ
cũng được mô tả ở phần 8.5. Yêu cầu phải có sự chứng thực cho các chủ sở hữu thẻ
EFT và sự cần thiết phải hoà trộn đa chứng thực vào một thẻ thông minh cũng được
mô tả ở phần 5.
Thẻ mang giá trị (stored-value card) và tiền điệntử (e-cash): Giả sử một người
tiêu dùng mua một bức tranh số hay nghe nhạc trên Internet với một khoản phí là 0,25
USD. Anh ta hay cô ta sẽ trả khoản tiền đó như thế nào? Chi phí tối thiểu để xử lý một
khoản thanh toán bằng thẻ tín dụng vào khoảng 1,00 USD, khoản tiền này người bán
hàng sẽ phải trả (theo First Virtual 1999, một trung gian thanh toán dựa trên Internet).
Điều này có nghĩa là không có cách nào bán những hàng hoá nhỏ như vậy trừ phi một
phương pháp thanh toán tiết kiệm hơn được phát triển. Đó là lý do tại sao một phương
pháp được gọi là vi thanh toán (micropayment) là cần thiết.
Tiền điệntử có thể là câu trả lời cho vấn đề này. Nó đượcsử dụng tương tự như
cách thức mà các thẻ mang giá trị được sử dụng để trả tiền cho điện thoại trên xe buýt,
dướI đường ngầm hay điện thoại công cộng. Vấn đề là làm thế nào để thích ứng và
tích hợp tiền điệntử không dựa trên Internet có sẵn trong các thẻ thông minh với hệ
thống ngân hàng ảo dựa trên Internet. Vấn đề này được trình bày ở phần 6.
Hệ thống séc điện tử: Séc giấy là một phương pháp thanh toán phổ biến nhất
đối với những người trả tiền ở xa tại nhiều nước, bao gồm cả Mỹ. Song chi phí xử lý
cao của séc giấy là một vấn đề. Chi phí giao dịch séc giấy trung bình là 0 , 79 USD,
gấp đôi chi phí của một dịch vụ ACH. Dường như cần phải phát triển một hệ thống xử
lý séc điệntử (e-check) có tính kinh tế hơn nữa. Tuy nhiên, do chi phí phát hành séc
hiện hành được ngân hàng chịu, sẽ không có sự khuyến khích mạnh mẽ nào thúc đẩy
người trả tiền sử dụng séc điện tử, loại séc sẽ làm giảm số lượng tiền dự trữ dùng để
chi tiêu hàng ngày hay để trả lại (float) do tốc độ cao của lưu thông điện tử. Song, hệ
thống séc điệntử được dự đoán là sẽ trở thành phương tiện thanh toán chủ yếu, đặc
biệt đối với môi trường TMĐT B2B, trong đó khối lượng thanh toán thường lớn. Do
một hệ thống séc điệntử không có float tương đốI giống với EFT, cần thiết phải so
sánh các đặc điểm của hai loại hình thanh toán điệntử này.
Ngoài ra, có nhiều vấn đề liên quan đến việc thực hiện séc điện tử. Ví dụ, nguy
cơ không thực hiện được thường có trong hệ thống séc là một vấn đề. Chúng ta cần
phải tìm hiểu khả năng giảm tỷ lệ không thực hiện được bằng việc sử dụng các khả
năng của điệp viên thông minh trong hệ thống séc điện tử. Chúng ta sẽ cùng tìm hiểu
từng phương pháp một ở phần sau.
3. Lược đồ bảo mật trong các hệ thống thanh toán điệntử
Trước khi chúng ta đề cập đến từng phương pháp thanh toán điện tử, sẽ hữu ích
nếu xem xét đến lược đồ bảo mật, những lược đồ được sử dụng phổ biến trong các
phương pháp thanh toán điện tử. Bốn yêu cầu chủ yếu về bảo mật cho việc thanh toán
điện tử an toàn bao gồm:
- Xác thực (Authentication): một phương pháp kiểm tra nhân thân của người
mua trước khi việc thanh toán được chứng thực.
- Mã hoá (Encryption): một quá trình làm cho các thông điệp không thể giải
đoán được ngoại trừ bởi những người có một khoá giải mã được cho phép sử dụng.
- Tính toàn vẹn (Integrity): bảo đảm rằng thông tin sẽ không bị vô tình hay ác ý
thay đổi hay phá hỏng trong quá trình truyền đi.
- Tính không thoái thác (Nonrepudiation): bảo vệ chống lại sự từ chối của
khách hàng đối với những đơn hàng đã đặt và sự từ chối của người bán hàng đối với
những khoản thanh toán đã được trả
CÁC LƯỢC ĐỒ BẢO MẬT (SECURITY SCHEMES)
Các lược đồ bảo mật cơ bản được thực hiện cho các hệ thống thanh toán điệntử
là mã hoá, chữ ký điện tử, tóm tắt thông tin, và sử dụng các chứng thực và cơ quan
chứng thực (CA). Có hai loại mã hoá: mã hoá khoá bí mật và mã hoá khoá công khai.
Mã hoá Khoá bí mật (Secret Key Cryptography). Trong nhiều năm, người ta đã sử
dụng một hệ thống bảo mật dựa trên một khoá bí mật đơn. Trong thiết kế mã hoá khoá
bí mật này, còn được biết đến như là mã hoá đối xứng, hay mã hoá khoá riêng, cùng
một khoá được sử dụng bởi một người *** (cho việc mã hoá) và một người nhận (cho
việc giải mã). Thuật toán được chấp nhận rộng rãi nhất cho việc mã hoá khoá bí mật là
Chuẩn Mã hoá Dữ liệu (Data Encryption Standard - DES) (Schneier 1996). Một số
chuyên gia mã hoá tin rằng, thuật toán DES có thể phá mã được. Tuy nhiên, DES được
đánh giá là đủ an toàn bởi vì việc phá mã phải mất nhiều năm với chi phí hàng triệu đô
la. Giao thức SET chấp nhận thuật toán DES với chìa khoá 64 bit của nó.
Bạn hãy lưu ý rằng vấn đề với một khoá đơn là ở chỗ khoá cần được chuyển
đến phía tương ứng. Hệ thống mã hoá khoá công khai được mô tả tiếp theo đây sẽ giảI
quyết được vấn đề trao đổi khoá riêng.
Mã hoá khoá công khai: Mã hoá khoá công khai, còn được biết đến như là mã
hoá không đối xứng, sử dụng hai khoá khác nhau: một khoá công khai và một khoá
riêng. Khoá công khai thì tất cả người sử dụng được phép đều biết, song khoá riêng thì
chỉ có một người được biết - người sở hữu nó. Chìa khoá riêng được cài đặt ở máy tính
của người chủ sở hữu và không được *** cho bất cứ ai. Để *** một thông điệp an toàn
có sử dụng mã hoá khoá công khai, người *** mã hoá thông điệp với chìa khoá công
khai của người nhận. Việc này yêu cầu khoá công khai của người nhận được giao từ
trước.
Thông điệp được mã hoá bằng cách này chỉ có thể được giải mã với chìa khoá
riêng của người nhận.Thuật toán phổ biến nhất với mã hoá khoá công khai là thuật
toán RSA (Rivest, Shamir và Adelman) với nhiều kích cỡ khoá khác nhau, như 1,024
bit. Thuật toán này không bao giờ bị phá bởi bọn tin tặc, do đó nó được coi là phương
pháp mã hoá an toàn nhất được biết cho đến nay.
Mã hoá khoá công khai, RSA, thường được sử dụng để truyền khoá bí mật của
thuật toán DES bởi vì thuật toán DES hiệu quả và nhanh hơn trong việc thực hiện mã
hóa và giải mã.
[...]... của CA Cơ quan chứng thực (Certificate Authority) (CA): Một cơ quan chứng thực là một tổ chức, công cộng tư nhân, tổ chức này cố gắng đáp ứng nhu cầu về các dịch vụ bên thứ ba đáng tin cậy trong TMĐT Một CA hoàn thành tốt việc này bằng việc phát hành các chứng thực số xác nhận cho một số dữ kiện nào đó về đối tượng của chứng thực VeriSign là một CA tiên phong (VeriSign 1999) Dịch vụ Bưu điện Postal... CA được xác định trong phạm vi quốc gia, cơ quan được gọi là cơ quan chứng thực địa chính trị (GCA) Để trao đổi các chứng thực trên phạm vi quốc tế, một cơ quan chứng thực nhãn hiệu (BCA) như là VeriSign cần chứng thực cho GCA Cuối cùng, một cơ quan chứng thực nguồn gốc đơn (RCA) cần chứng thực cho BCA Cho đến bây giờ, ngườI ta vẫn chưa quyết định được là cơ quan nào sẽ trở thành RCA Trường hợp ứng dụng... Thông điệp đã bị biến đổi này được gọi là một bản tóm tắt thông điệp Các chứng thực (Certificates): Một chứng thực thường ngụ ý nói đến một chứng thực về nhân thân được phát hành bởi một cơ quan chứng thực bên thứ ba (third-party certificate authority - (CA) đáng tin cậy Một chứng thực bao gồm các bản ghi như số sêri, tên người chủ sở hữu, các chìa khoá công khai của người chủ sở hữu (một cho việc trao... cậy khác, tạo nên một hệ thống cấp bậc từ thấp đến cao các CA Trong điều kiện sử dụng thẻ tín dụng, cơ quan chứng thực chủ sở hữu thẻ (CCA) phát hành chứng thực cho người sở hữu thẻ, cơ quan chứng thực người kinh doanh (MCA), phát hành chứng thực cho người kinh doanh quản lý các cửa hàng ảo, và cơ quan chứng thực cổng nốI thanh toán (PCA) phát hành chứng thực cho các nhà cung cấp dịch vụ cổng nối thanh... nào đó về việc tiến hành một giao dịch, nó có thể được sử dụng để phòng tránh việc từ chối thi hành nghĩa vụ Tương tự, một dấu thời gian (time stamp) là một xác nhận số không thể giả mạo bằng cách mã hoá có nội dung là một văn bản đang tồn tại ở một thời gian cụ thể Một CA có thể giữ những bằng chứng này tại máy tính của CA tuỳ theo yêu cầu của khách hàng Kế hoạch bảo mật trên bao gồm 5 yêu cầu về bảo... trao đổi khóa bí mật, có thể bảo đảm sự xác thực và không từ chối thi hành nghĩa vụ của người nhận • Chứng thực giao dịch và dấu thời gian được lưu giữ ở CA bên thứ ba là một bằng chứng của bên thứ ba về sự xác thực và không từ chối thi hành nghĩa vụ của cả người *** và người nhận . Tổng quan về thương mại điện tử - internet (P4)
Hệ thống thanh toán điện tử
Thanh toán trực tuyến là một trong.
Chuyển tiền điện tử (Electronic Fund Transfer) và thẻ ghi nợ trên Internet:
Chuyển tiền điện tử (EFT), một phương pháp thanh toán điện tử phổ biến, chuyển