2.3. Các vấn đề bảo mật trong thương mại điện tử
TMĐT chủ yếu qua các Website bán hàng qua mạng. Vậy vấn đề bảo mật trong TMĐT liên quan đến sự an toàn của các Website:
Các trang Web rất dễ bị tấn công hai chiều.
Tấn công Web server sẽ gây tổn hại đến danh tiếng và tiền bạc của công ty.
Web server có thể bị khai thác làm căn cứ để tấn công vào hệ thống máy tính của một tổ chức.
Người dùng thiếu công cụ và kiến thức để đối phó vói các hiểm họa an toàn.
Vậy một Web site thương mại điện tử muốn an toàn phải đáp ứng một số tiêu chí sau: tính toàn vẹn, tính bảo mật, từ chối dịch vụ, xác thực.
2.3.1. Giao thức bảo mật SSL
SSL [5, 10] là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (Socket 443) nhằm mã hóa toàn bộ thông tin đến đi được sử dụng rộng rãi trong giao dịch điện tử như truyền số liệu thẻ tín dụng, số bí mật cá nhân(PIN) trên mạng Internet. Giao thức SSL được hình thành và phát triển đầu năm 1994 bởi nhóm nghiên cứu Netscape và ngày nay trở thành chuẩn mực bảo mật trên mạng Internet. Phiên bản SSL hiện nay là 3.0 vẫn đang được bổ xung và hoàn thiện.
Cách hoạt động của SSL:
Điểm cơ bản của SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, ví dụ như Web server và các trình duyệt khách (browsers), do đó được sử dụng trong nhiều ứng dụng khác nhau trên môi trường Internet. Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hóa sử dụng trong SSL được phổ biến công khai, trừ khóa chia sẻ tạm thời (session key) được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính.
Giao thức SSL còn yêu cầu Web server phải được chứng thực điện tử (digital certificate) dựa trên mật mã công khai (RSA).
Giao thức SSL dựa trên hai nhóm con giao thức là giao thức “bắt tay” (handshake protocol) và giao thức “bản ghi” (record protocol). Giao thức bắt tay xác định các tham số giao dịch giữa hai đối tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến hành mã hóa và truyền tin hai chiều giữa hai đối tượng đó. Khi trình duyệt web và máy chủ web, làm việc với nhau, máy chủ và máy khách sẽ trao đổi “lời chào” dưới dạng các thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các chuẩn thuật toán mã hóa và nén số liệu có thể trao đổi giữa hai ứng dụng. Ngoài ra các ứng ụng còn trao đổi “số nhận dạng, khóa theo phiên” (session ID, session key) duy nhất cho lần làm việc đó. Sau đó ứng dụng khách (trình duyệt) yêu cầu có chứng thực điện tử (digital certificate) xác thực của ứng dụng chủ (web server).
Chứng thực điện tử thường được xác nhận rỗng rãi bởi một cơ quan trung gian là CA (Certificate Authority) như RSA Sercurity hay VeriSign Inc, … một dạng tổ chức độc lập, trung lập và có uy tín. Các tổ chức này cung cấp dịch vụ “xác nhận” số nhận dạng của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch trên mạng, ở đây là các máy chủ Web server.
Sau khi kiểm chứng chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các thông tin
trong chứng chỉ điện tử để giải mã hóa thông điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể giải mã. Trên cơ sở đó, hai ứng dụng trao đổi khóa chính (master key) - khóa bí mật hay khóa đối xứng - làm cơ sở mã hóa luồng thông tin dữ liệu qua lại giữa hai ứng dụng khách chủ.
Các thuật toán mã hóa và xác thực của SSL được sử dụng bao gồm: DES: chuẩn mã hóa dữ liệu ra đời năm 1997.
DSA: thuật toán chữ ký điện tử. KEA: thuật toán trao đổi khóa.
MD5: Thuật toán tạo giá trị băm, phát minh bởi Rivest.
RC2,RC4: mã hóa Rivest, phát triển bởi công ty RSA Data Security. RSA key exchange: thuật toán trao đổi khóa cho SSL dựa trên thuật toán
RSA.
SHA-1: thuật toán hàm băm an toàn.
SKIPJACK: thuật toán khóa đối xứng phân loại. Triple DES: mã hóa DES ba lần.
2.3.2. Mật khẩu OTP
OTP (one time password) [10] là một loại mật khẩu chỉ hợp lệ cho một phiên làm việc hoặc một giao dịch. Vấn đề quan trọng nhất khi sử dụng mật khẩu OTP là nó tránh được tấn công lập lại trong trường hợp sử dụng mật khẩu thông thường.
Tạo mật khẩu OTP dựa trên thuật toán sinh ngẫu nhiên. Thuật toán này thực sự cần thiết vì nếu không sẽ dễ dàng đoán được mật khẩu OTP ở các phiên trước. Một số cách sinh mật khẩu OTP:
Lấy từ thời gian đồng bộ hóa giữa xác thực server và client để phân phối mật khẩu (OTP chỉ hợp lệ trong khoảng thời gian ngắn).
Sử dụng thuật toán sinh ngẫu nhiên hoặc một theo một biến đếm để sinh mật khẩu OTP.
CHƢƠNG 3: THƢƠNG MẠI ĐIỆN TỬ CHO THUÊ BAO DI ĐỘNG ĐỘNG
3.1. Bài toán
Hiện nay có rất nhiều hình thức thanh toán thương mại điển tử: khách hàng có thể chuyển khoản qua ATM, gửi mã thẻ cào điện thoại của công ty viễn thông, sử dụng dịch vụ TMĐT của ngân hàng tự cung cấp, sử dụng ví điện tử của các công ty cung cấp giải pháp TMĐT.
Một số giải pháp thương mại điện tử đang triển khai tại Việt Nam:
A. Chuyển khoản qua ATM:
Doanh nghiệp bán hàng qua mạng mở tài khoản tại nhiều ngân hàng khác nhau.
Khách hàng mua hàng tại Website của doanh nghiệp sẽ thanh toán bằng hình thức chuyển tiền cho doanh nghiệp qua thẻ ATM.
Ví dụ: khách hàng mua tivi tại một Website bán hàng qua mạng: chọn tivi vào giỏ mua hàng, Website sẽ yêu cầu khách hàng nhập các thông tin liên quan đến đơn hàng như số điện thoại, email, địa chỉ giao hàng, … và yêu cầu khách hàng chuyển tiền vào tài khoản tại ngân hàng. Khách hàng ra ATM chuyển tiền vào tài khoản của Website bán hàng. Website bán hàng thấy tài khoản ngân hàng tăng sẽ xác nhận đơn hàng đã được thanh toán.
B. Ngân hàng cung cấp dịch vụ TMĐT:
Khách hàng còn có tài khoản tại ngân hàng cung cấp dịch vụ TMĐT. Khách hàng mua hàng tại Website của doanh nghiệp có chấp nhận thẻ của
ngân hàng cung cấp dịch vụ TMĐT sẽ thanh toán bằng cách trừ trực tiếp trong tài khoản ngân hàng.
Ví dụ: khách hàng mua tivi tại một Website bán hàng qua mạng: chọn tivi vào giỏ mua hàng và chọn thanh toán sẽ yêu cầu khách hàng xác thực qua Website của ngân hàng sẽ trừ tiền tài khoản khách hàng và tăng tài khoản của Website bán hàng, Website bán hàng xác nhận giao dịch của khách hàng đã được thanh toán.
C. Ví điện tử:
Khách hàng có tài khoản ảo tại công ty cung cấp giải pháp TMĐT.
Khách hàng có tài khoản tại các ngân hàng mà công ty cung cấp giải pháp TMĐT kết nối trực tiếp tới.
Qua Website của công ty cung cấp giải pháp TMĐT sẽ chuyển tiền từ tài khoản ngân hàng sang tài khoản ảo.
Khách hàng mua hàng tại Website của doanh nghiệp có chấp nhận tài khoản ảo của công ty cung cấp giải pháp TMĐT sẽ thanh toán bằng cách trừ tiền tài khoản ảo.
Ví dụ: khách hàng mua tivi tại một Website bán hàng qua mạng: chọn tivi vào giỏ mua hàng và chọn thanh toán sẽ yêu cầu khách hàng xác thực qua Website của của công ty cung cấp giải pháp TMĐT sẽ trừ tiền tài khoản ảo khách hàng và tăng tài khoản ảo của Website bán hàng, Website bán hàng xác nhận giao dịch của khách hàng đã được thanh toán.
Qua các phân tích các đặc điểm và ví dụ về các mô hình TMĐT đã triển khai ở trên chúng tôi thấy có một số nhược điểm như sau:
Chuyển khoản qua ATM:
Doanh nghiệp phải đăng ký tài khoản tại nhiều ngân hàng khác nhau. Khách hàng phải ra ATM chuyển khoản cho doanh nghiệp.
Thời gian thanh toán giao dịch lâu. Ngân hàng cung cấp dịch vụ TMĐT:
Khách hàng phải có tài khoản tại ngân hàng cung cấp dịch vụ TMĐT. Không thể mua hàng mọi lúc mọi nơi do phải vào Website bán hàng qua
Internet.
Thanh toán qua Website không an toàn do có thể bị lộ mật khẩu. Ví điện tử:
Nạp tiền, chuyển khoản cho tài khoản ảo phải qua Website của công ty cung cấp giải pháp TMĐT.
Không thể mua hàng mọi lúc mọi nơi do phải vào Website bán hàng qua Internet.
Thanh toán qua Website không an toàn do có thể bị lộ mật khẩu.
Mục tiêu của luận văn là đưa ra một giải pháp thanh toán thương mại điện tử an toàn, tiện lợi và khắc phục được nhược điểm của các mô hình TMĐT nêu trên.
Với mục tiêu như vậy luận văn đề xuất giải pháp sử dụng điện thoại di động để thanh toán TMĐT:
Có tài khoản tại các ngân hàng: Agribank, Vietinbank, Bidv, DongaBank, Techcombank, … hoặc không cần tài khoản ở ngân hàng.
Đăng ký tài khoản ảo tại công ty cung cấp giải pháp TMĐT.
Nạp tiền trực tiếp từ tài khoản ngân hàng sang tài khoản ảo thông qua tin nhắn SMS hoặc qua Website.
Thanh toán thương mại điện tử qua SMS hoặc Website và được xác thực bởi tin nhắn SMS.
Với giải pháp nêu trên dẫn đến việc xây dựng mô hình TMĐT cho thuê bao di động:
SMS GATEWAY 8xxx: thuê đầu số giá trị gia tăng của các công ty viễn thông giúp khách hàng có thể gửi tin nhắn SMS tới công ty cung cấp giải pháp TMĐT và nhận tin nhắn phản hồi.
BANK GATEWAY: kết nối với các ngân hàng để thực hiện yêu cầu trừ tiền trong tài khoản của khách hàng.
Hệ thống thẻ trả trước Prepaidcard: quản lý đại lý phát hành thẻ, quản lý thẻ cho khách hàng.
Hệ thống tài khoản ảo Airtime: quản lý tài khoản ảo của khách hàng, doanh nghiệp kết nối, có thể nạp tiền trực tiếp từ tài khoản ngân hàng vào tài khoản ảo.
Doanh nghiệp kết nối như đại lý vé máy bay, siêu thị trực tuyến, dạy học trực tuyến,… kết nối vào hệ thống thanh toán qua Internet.
Khách hàng mua hàng bằng cách gửi tin nhắn SMS hoặc qua các Website bán hàng.
3.2. Mô hình thẻ trả trước PrepaidCard
Thẻ trả trước Prepaid Card là thẻ có một giá trị tiền được ghi sẵn trong thẻ đó và có thể sử dụng để mua hàng hóa và dịch vụ tại các cửa hàng hoặc đại lý của doanh nghiệp. Thẻ có thể được phát hành với một số dư đã đặt sẵn (pre-paid) hoặc sẽ được nạp tiền khi khách hàng mua thẻ (store-value). Đối với thẻ trả trước store-value thì sau khi phát hành, chủ thẻ có thể được nạp tiền vào thẻ trong các lần tiếp theo.
Trong mô hình dự kiến thẻ sẽ được áp dụng theo mô hình store-value và có thể nạp tiếp bằng chính tài khoản của khách hàng tại ngân hàng. Thẻ trả trước được thanh toán qua kênh Internet hoặc SMS.
3.2.1. Phát hành thẻ
Để đáp ứng nhu cầu thanh toán không dùng tiền mặt cũng như gia tăng tiện ích thanh toán trên các kênh bán hàng mới (Internet, Mobile), các doanh nghiệp bán lẻ thực hiện phát hành thẻ trả trước cho khách hàng.
Thông qua ký kết các thỏa thuận hợp tác với nhà cung cấp, nhà cung cấp và doanh nghiệp thực hiện việc hợp tác phát hành thẻ trả trước cho khách hàng thông qua các bước sau:
Doanh nghiệp đăng ký một số mã số phát hành trên hệ thống của nhà cung cấp. Mã số phát hành sẽ là duy nhất và được dùng để phân biệt thẻ trả trước phát hành thuộc doanh nghiệp nào.
Xác định số lượng thẻ sẽ phát hành: thông qua nhu cầu thực tế và từng thời điểm thì doanh nghiệp sẽ xác định thông số để phát hành thẻ cho khách hàng của mình: số lượng, ngày phát hành, ngày kích hoạt.
Nhà cung cấp sẽ tạo ra trong hệ thống các số thẻ tương ứng theo yêu cầu của doanh nghiệp. Khái niệm thẻ trong hệ thống của nhà cung cấp sẽ được phân loại theo:
o Loại thẻ: áp dụng cho từng doanh nghiệp phát hành. o Sản phẩm thẻ: hỗ trợ Store – Value.
o Tính năng sản phẩm: Cài đặt các tính năng có sẵn cho từng loại thẻ (có giới hạn trong tài khoản).
o Loại hình thẻ: Thẻ in và phân phối qua doanh nghiệp hoặc thẻ điện tử phân phối qua Internet.
Tùy theo điều kiện thỏa thuận giữa các doanh nghiệp và nhà cung cấp thì thẻ sẽ do nhà cung cấp in hoặc doanh nghiệp tự in thẻ cho khách hàng của mình thông qua file do nhà cung cấp gửi.
Doanh nghiệp nhận file dữ liệu thẻ và phân phối cho khách hàng thông qua hệ thống đại lý của mình.
3.2.2. Kích hoạt thẻ
Các thẻ do doanh nghiệp và nhà cung cấp phát hành cho khách hàng trước khi sử dụng phải qua bước kích hoạt. Mục đích của việc kích hoạt là khách hàng đăng ký thẻ đang có với số điện thoại và cung cấp thông tin các nhân cho nhà cung cấp và doanh nghiệp (Tên, Địa chỉ, Số chứng minh nhân dân) để thuận tiện trong việc gửi hàng và xác thực tính hợp lệ giao dịch.
Các hình thức kích hoạt thẻ khách hàng: Kích hoạt qua Internet:
o Khách hàng truy cập vào Website của nhà cung cấp.
o Khách hàng chọn mục kích hoạt thẻ. Trên màn hình kích hoạt khách hàng nhập thông tin cá nhân, số thẻ và số series để kích hoạt thẻ.
o Hệ thống của nhà cung cấp sẽ tạo thông tin khách hàng trên cơ sở dữ liệu, tạo thông tin về tài khoản của khách hàng. Sau khi khởi tạo thành công hệ thống gửi mật khẩu về điện thoại khách hàng
(Trong lần sau khách hàng có thể truy cập vào trang web để kiểm tra thông tin tài khoản thẻ trả trước của mình).
Kích hoạt qua tin nhắn SMS:
o Khách hàng gửi tin nhắn tới đầu số để kích hoạt.
o Hệ thống của nhà cung cấp tạo thông tin khách hàng trong hệ thống tài khoản ảo (Airtime) và gửi mật khẩu thanh toán về cho khách hàng.
o Khách hàng có thể truy cập vào Website nhà cung cấp để cập nhật thông tin và kiểm tra tài khoản bằng số điện thoại và mật khẩu do nhà cung cấp gửi.
Kích hoạt qua hệ thống Call Center:
o Khách hàng gọi điện đến tổng đài để nhờ tổng đài hỗ trợ kích hoạt từ xa.
o Khách hàng đọc thông tin cá nhân cho nhân viên chăm sóc khách hàng nhập thông tin.
o Hệ thống của nhà cung cấp tạo thông tin khách hàng và gửi mật khẩu thanh toán về điện thoại cho khách hàng.
o Khách hàng có thể đang nhập vào Web site để cập nhật các thông tin khác và kiểm tra tài khoản của mình bằng số điện thoại và mật khẩu thanh toán do nhà cung cấp gửi.
3.2.3. Chấp nhận thẻ
Thẻ trả trước do các doanh nghiệp phát hành được chấp nhận thanh toán tại chính các Website hoặc các cửa hàng của doanh nghiệp phát hành tại Website hoặc cửa hàng trong cùng dịch vụ do nhà cung cấp khởi tạo.
Trong hệ thống doanh nghiệp kết nối vào nhà cung cấp, thẻ trả trước được thanh toán qua nhà cung cấp hoặc qua kênh thanh toán SMS.
Để tham gia vào hệ thống chấp nhận thẻ, doanh nghiệp phải ký hợp đồng chấp nhận thẻ, các doanh nghiệp gọi tắt là đại lý chấp nhận thẻ.
Đại lý có thể cài đặt các kênh chấp nhận thanh toán do đại lý lựa chọn(SMS hoặc Internet).
o Bộ phận quản lý của nhà cung cấp sẽ quản lý tất cả các đại lý chấp nhận thẻ trả trước do nhà cung cấp và doanh nghiệp phát