3.3.3.2.1. e-Banking
Giao thức SSL
SSL (Secure Socket Layer ) là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 43) nhằm mã hoá toàn bộ thông tin đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch điện tử như truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet. Giao thức SSL tổ hợp nhiều giải thuật mã hóa nhằm đảm bảo quá trình trao đổi thông tin trên mạng được bảo mật. Việc mã hóa dữ liệu diễn ra một cách trong suốt, hỗ trợ nhiều giao thức khác chạy trên nền giao thức TCP.
SSL hiện nay là giao thức bảo mật rất phổ biến trên Internet trong các hoạt động TMĐT. Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá chia xẻ tạm thời (session key) được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn đỏi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba (CA) thông qua giấy chứng thực điện tử (digital certificate) dựa trên mật mã công khai (thí dụ RSA).
Giải pháp mật khẩu sử dụng một lần (OTP – Ontime Transaction Password)
Sau khi người sử dụng đăng nhập vào hệ thống, với mỗi giao dịch được tiến hành, hệ thống sẽ sinh ra một mật khẩu động dưới dạng những con số và gửi về điện thoại di động cho người sử dụng. Mật khẩu động này như một nhân tố xác thực thứ hai, và thường có giá trị trong thời gian ngắn khoảng vài chục giây, sau thời gian này nếu người sử dụng không thực hiện giao dịch, mật khẩu động này sẽ không còn giá trị, và hệ thống sẽ tự sinh ra một mật khẩu mới.
Internet Banking
Là một hệ thống phần mềm cho phép các khách hàng có tài khoản trong ngân hàng có thể thực hiện các giao dịch ngân hàng trực tuyến thông qua Internet. Các dịch vụ Internet Banking thông thường được áp dụng như: Truy vấn số dư, sao kê giao dịch và nhiều dịch vụ mang lại nhiều tiện ích cho khách hàng (Chuyển khoản, chuyển tiền, thanh toán hoá đơn, TTĐT, đặt chỗ, mua vé máy bay, nạp tài khoản di động trả trước…).
Áp dụng và triển khai Internet Banking sẽ mang lại nhiều giá trị cho ngân hàng và khách hàng trong quá trình cung cấp các dịch vụ ngân hàng một cách hiệu quả, tiết kiệm nhiều chi phí về tài chính và thời gian.
Một đặc điểm rất quan trọng trong bất kỳ giải pháp Internet Banking nào là phải đảm bảo tính xác thực và an toàn trong giao dịch. Điều này phụ thuộc vào nhiều yếu tố khác nhau và với sự tiến bộ của công nghệ, các ngân hàng có thể lựa chọn các giải pháp bảo mật khác nhau cho giải pháp Internet Banking mà mình chọn ứng dụng. Có nhiều phương pháp để giải quyết vấn đề xác thực và bảo mật giao dịch an toàn như: Sử dụng bàn phím ảo, phương pháp mật khẩu một lần (One Time Password), xác thực hai phương thức (Two Factor Authentication), hay dùng thiết bị khóa phần cứng (Hardware Token), thẻ thông minh có chữ ký số (PKI Smartcard). Các ngân hàng lớn trên thế giới thường sử dụng các giải pháp xác thực và an toàn giao dịch dựa trên hạ tầng khóa công khai (PKI) cùng với sự tham gia của Hardware Token (TTM tích hợp sẵn đầu đọc cổng USB) hay thẻ thông minh (PKI Smartcard).
So với các giải pháp khác, giải pháp bảo mật sử dụng chữ ký điện tử giải quyết đồng thời được 4 vấn đề quan trọng trong các giao dịch điện tử là: Xác thực người dùng, bảo mật thông tin giao dịch, toàn vẹn dữ liệu và chống chối bỏ. Bên cạnh đó, mỗi khách hàng sẽ được cung cấp một bộ thiết bị gồm: Thẻ Smartcard bên trong có chứa chứng chỉ số và cặp khóa công khai/ khóa riêng (PrivateKey/PublicKey) và một đầu đọc TTM tiếp xúc.
Khi khách hàng ở bất kỳ đâu có máy tính nối mạng Internet, họ chỉ thực hiện một việc rất đơn giản là gắn đầu đọc (hỗ trợ cổng USB) vào máy tính, vào trang web Internet Banking của ngân hàng và gắn thẻ vào đầu đọc, sau đó khách hàng đăng nhập hệ thống hay thực hiện các giao dịch ngân hàng và yêu cầu nhập đúng số PIN của thẻ. Tất cả các quy trình phát hành, cá thể và quản lý thẻ đều được tuân theo chuẩn GlobalPlatform (tên riêng của chuẩn TTM đa ứng dụng), hệ thống trang web sử dụng giao thức SSL (Security Socket Layer), chứng chỉ Website (Chứng chỉ số dành cho website để kiểm tra sự giả mạo - nếu có) và hỗ trợ mọi trình duyệt như IE, Firefox...
3.3.3.2.2. e-Commerce
Hình 10. Các nhân tố tham gia vào TMĐT
Những nhân tố tham gia trong giao dịch TMĐT
Chủ thẻ (Cardholder): Là người có tên ghi trên thẻ được dùng thẻ để chi trả thanh toán tiền mua hàng hoá, dịch vụ. Chỉ có chủ thẻ mới có thể sử dụng thẻ của mình mà thôi. Mỗi khi thanh toán cho các cơ sở chấp nhận thẻ vể hàng hoá dịch vụ hoặc trả nợ, chủ thẻ phải xuất trình thẻ để nơi đây kiểm tra theo qui trình và lập biên lai thanh toán.
Tổ chức phát hành thẻ (issuers): Là thành viên chính thức của các Tổ chức thẻ quốc tế, là Ngân hàng cung cấp thẻ cho khách hàng. Ngân hàng phát hành chịu trách nhiệm tiếp nhận hồ sơ xin cấp thẻ, xử lý và phát hành thẻ, mở và quản lý tài khoản thẻ, đồng thời thực hiện việc thanh toán cuối cùng với chủ thẻ.
Tổ chức chấp nhận thể (merchants): Là các thành phần kinh doanh hàng hoá và dịch vụ có ký kết với Ngân hàng thanh toán về việc chấp nhận thanh toán thẻ như: nhà hàng, khách sạn, cửa hàng... Các đơn vị này phải trang bị máy móc kỹ thuật để tiếp nhận thẻ thanh toán tiền mua hàng hoá, dịch vụ, trả nợ thay cho tiền mặt.
Ngân hàng thanh toán (acquirers): Là Ngân hàng trực tiếp ký hợp đồng với cơ sở tiếp nhận và thanh toán các chứng từ giao dịch do cơ sở chấp nhận thẻ xuất trình. Một Ngân hàng có thể vừa đóng vai trò thanh toán thẻ vừa đóng vai trò phát hành.
Nhà cung cấp dịch vụ (payment system providers): là một bên thứ ba đảm bảo an toàn thanh toán, tạo liên kết giữa tổ chức phát hành thẻ và ngân hàng, ví dụ như Paypal, Onepay, Paynet...
Giao thức SET
Hiện nay, trong việc thanh toán qua mạng, các tổ chức tín dụng và các nhà cung cấp dịch vụ xử lý thanh toán thẻ tín dụng trên thế giới áp dụng công nghệ bảo mật cao cấp là SET. SET là viết tắt của các từ Secure Electronic Transaction, là một nghi thức tập hợp những kỹ thuật mã hoá và bảo mật nhằm mục đích đảm bảo an toàn cho các giao dịch mua bán trên mạng.
Đây là một kỹ thuật bảo mật, mã hóa được phát triển bởi VISA, MASTER CARD và các tổ chức khác trên thế giới. Mục địch của SET là bảo vệ hệ thống thẻ tín dụng, tạo cho khách hàng, doanh nghiệp, ngân hàng, các tổ chức tài chính... sự tin cậy trong khi giao dịch mua bán trên Internet.
Những tiêu chuẩn và công nghệ SET được áp dụng và thể hiện nhất quán trong các doanh nghiệp, các ngân hàng/công ty cấp thẻ, tổ chức tín dụng và trung tâm xử lý thẻ tín dụng qua mạng. Ngoài ra, SET thiết lập một phơng thức hoạt động phối hợp tương hỗ (method of interoperability) nhằm bảo mật các dịch vụ qua mạng trên các phần cứng và phần mềm khác nhau.
Tóm lại SET được thiết lập để bảo mật những thông tin về cá nhân cũng như thông tin về tài chính trong quá trình mua bán và giao dịch trên mạng.
Với SET thì các thành phần tham gia TMĐT được hưởng những lợi ích gì?
Doanh nghiệp (người bán) được bảo vệ không bị mất hàng hoá hay dịch vụ bởi:
• Những thẻ tín dụng không hợp lệ. • Người chủ thẻ không đồng ý chi trả. Ngân hàng được bảo vệ bởi:
• Giao dịch mua bán không được sự đồng ý giữa các thành phần tham gia vào giao dịch hoặc các giao dịch không hợp lệ (Thẻ tín dụng không hợp lệ, người bán giả danh...)
Người mua được bảo vệ để:
• Không bị đánh cắp thẻ tín dụng. • Không bị người bán giả danh
Giao thức xác thực máy chủ SSL
Một chuẩn chung trên Internet Xác thực SSL là nền tảng cơ bản của một cơ sở hạ tầng Internet tin cậy bằng việc cho phép các Website trao đổi thông tin một cách an toàn, đảm bảo tin cậy với khách hàng.
Xác thực máy chủ SSL đảm bảo yêu cầu về tính bảo mật, tính toàn vẹn, tính xác thực và không thoái thác trong các giao dịch điện tử. Xác thực máy chủ SSL thực hiện hai chức năng cần thiết để thiết lập một Website tin cậy là:
Xác thực máy chủ SSL: Xác thực máy chủ cho phép người sử dụng nhận diện
máy chủ Web là có thực và đáng tin cậy. Các trình duyệt tự động kiểm tra một xác thực máy chủ và mã số công cộng (puplic ID) xem có giá trị hay không và có được một CA tin cậy cung cấp việc xác thực đó và được cài đặt sẵn trong phần mềm trình duyệt. Việc xác thực máy chủ SSL là sống còn đối với các giao dịch TMĐT an toàn mà ở đó người sử dụng muốn xác minh, nhận diện máy chủ nhận các thông tin (chẳng hạn số thẻ tín dụng) có đáng tin cậy hay không.
Mã hoá SSL: Các xác nhận máy chủ SSL thiết lập một kênh an toàn cho phép tất
cả các thông tin được gửi giữa một trình duyệt Web của người sử dụng với một máy chủ Web được mã hoá bằng phần mềm gửi và được giải mã bằng một phần mềm nhận, bảo vệ tính cá nhân của thông tin khỏi sự can thiệp trên Internet. Như vậy, mọi dữ liệu truyền qua một kết nối SSL được mã hoá sẽ được bảo vệ bằng một cơ chế có thể dò ra được mọi sự giả mạo, nghĩa là, để tự động xác định các dữ liệu đó có bị sửa đổi hay không trên đường truyền. Điều này có ý nghĩa là người sử dụng có thể truyền một cách an toàn, bí mật các dữ liệu cá nhân như số thẻ tín dụng tới một Website và tin tưởng.
Hình 11. Giao thức SSL
Giao thức SSL trở thành một chuẩn chung trên Web cho việc xác thực các Website đối với trình duyệt Web của người sử dụng và cho việc mã hoá các giao tiếp giữa các trình duyệt của người sử dụng với các máy chủ Web. Xác thực máy chủ SSL được thực hiện bởi các tổ chức thực hiện CA (Certificate Authorities) như Verisign hoặc thawte. CA sử dụng các phương pháp xác minh cẩn thận, tỉ mỉ để đảm bảo việc xác thực khách hàng họ là ai trước khi đưa họ ra với quảng đại quần chúng. Các xác thực số SSL của bản thân các CA đã được ký sẵn bên trong các trình duyệt và trên các máy chủ có tiếng, kể cả trình duyệt Netscape Communicator và Microsoft Internet Explorer mà chúng ta thường đang sử dụng. Vì vậy, đơn giản chỉ cần cài đặt một xác thực số lên một máy chủ Web có khả năng SSL khi giao tiếp với các trình duyệt Web nêu trên là được.
Các mã số máy chủ lợi dụng SSL để làm việc một cách trong suốt giữa các Website và các trình duyệt Web của người sử dụng. Giao thức SSL sử dụng một tổ hợp mã hoá khoá công cộng không đối xứng và mã hoá đối xứng. Quá trình hoạt động của giao thức này bắt đầu bằng việc thiết lập một kết nối SSL – cho phép máy chủ xác lập bản thân nó đối với người sử dụng trình duyệt, sau đó cho phép máy chủ và trình duyệt đó hợp tác với nhau để tạo ra các khoá đối xứng sử dụng để mã hoá, giải mã, dò tìm những kẻ đột nhập nếu có.
Ứng dụng công nghệ xác thực máy chủ SSL trong các giao dịch thương mại trực tuyến được diễn ra theo các bước sau:
1. Một khách hàng làm quen với Website và truy nhập một địa chỉ URL an toàn, được đảm bảo bằng mã số máy chủ. Điều này có thể là một mẫu đơn đặt hàng trực tuyến thu thập những thông tin cá nhân từ khách hàng như địa chỉ, số điện thoại, số thẻ tín dụng hoặc các thông tin thanh toán khác.
2. Trình duyệt của khách hàng tự động truyền cho máy chủ số phiên bản SSL của trình duyệt đó, các cài đặt mật mã, các dữ liệu được sinh ngẫu nhiên, và những thông tin khác mà máy chủ đó cần để giao tiếp với khách hàng sử dụng SSL.
3. Máy chủ trả lời, tự động truyền tới trình duyệt của người sử dụng xác nhận số của Website cùng với số phiên bản SSL của máy chủ, các thiết lập mật mã.
4. Trình duyệt của người sử dụng xem xét các thông tin chứa trong xác nhận máy chủ đó và xác nhận rằng: Xác nhận máy chủ đó có giá trị và còn trong thời hạn sử dụng; Cơ quan chức năng xác thực CA cho máy chủ này có quyền được ký và là một cơ quan xác thực tin cậy, xác thực của cơ quan này được liệt kê sẵn trong trình duyệt đang sử dụng; Khoá công cộng của CA này được cài đặt sẵn trong trình duyệt đang sử dụng, xác nhận tính hợp lệ của chữ ký điện tử của người cung cấp; Tên miền được chỉ định bằng xác thực máy chủ khớp với tên miền thực của máy chủ đó. Nếu máy chủ này không được xác thực, người sử dụng sẽ được cảnh báo rằng một kết nối được mã hoá, được xác thực có thể không thiết lập được.
5. Nếu máy chủ đó được xác thực thành công, trình duyệt Web của khách hàng này sẽ tạo ra một khoá phiên (session key) duy nhất để mã hoá tất cả các giao tiếp với Website đó bằng việc sử dụng mã hoá không đối xứng.
6. Trình duyệt của người sử dụng tự mã hoá khoá phiên đó bằng khoá công cộng của site sao cho chỉ site đó mới có thể đọc được khoá phiên đó, rồi gửi nó tới máy chủ.
7. Máy chủ giải mã cho khoá phiên đó bằng việc sử dụng khoá cá nhân của chính nó.
8. Trình duyệt gửi một thông điệp tới máy chủ thông báo cho máy chủ biết rằng các thông điệp tiếp sau đó từ khách hàng sẽ được mã hoá bằng khoá phiên đó.
9. Máy chủ sau đó gửi một thông điệp tới khách hàng thông báo với khách hàng rằng các thông điệp tiếp sau từ máy chủ sẽ được mã hoá bằng khóa phiên đó.
10. Một phiên giao dịch an toàn SSL bây giờ đã được thiết lập. Giao thực máy chủ SSL sau đó sử dụng mã hoá đối xứng để mã hoá và giải mã thông điệp bên trong phiên giao dịch an toàn SSL này.
11. Một khi phiên giao dịch kết thúc, khoá phiên sẽ được vô hiệu hoá. Tất cả quá trình trên diễn tự động trong vài giây, chính vì thế mà giao thức xác thực máy chủ SSL giúp cho các giao dịch điện tử này được thực hiện trực tuyến, an toàn; đồng thời nó cũng không gây ra bất cứ phiền toái nào cho người sử dụng, tạo điệu kiện cho việc mở rộng các ứng dụng TMĐT.
3.3.3. Mobile Payment (m-Payment)
3.3.3.1. Phương thức xác thực
Trong hình thức thanh toán m-Payment, phương thức xác thực sử dụng rộng rãi nhất hiện nay là xác thực hai yếu tố, kết hợp mã PIN của chủ tài khoản và quyền sở hữu thiết bị di động. Các ngân hàng còn phát triển ứng dụng đưa vào chính điện thoại di động nhằm tạo sự tiện lợi và an toàn giao dịch cho khách hàng. Điện thoại di động còn là một yếu tố xác thực bổ sung cho những hình thức TTĐT khác (xác thực nhiều yếu tố).
Hình 12. Thanh toán bằng điện thoại di động
Thanh toán bằng điện thoại di động được coi như là một công cụ thanh toán mới, phương thức truy cập và xử lý các giao dịch tài chính cũng được đơn giản hóa đi. Thậm chí các giao dịch này được thực hiện thông qua những nhà cũng cấp dịch vụ MSP