2.2.5. Thông điệp giao dịch 0200/0210
Thông điệp 0200/0210 là thông điệp tài chính để gửi và nhận thông tin với các ngân hàng [13].
Các ký tự viết tắt:
200: Thông điệp giao dịch yêu cầu. 210: Thông điệp giao dịch trả lời.
Các giá trị trong cột 200 và 210:
M: Mandatory (bắt buộc). O: Optional (không bắt buộc). -: Not Avaiable (không hiển thị).
Bit map # Độ dài Kiểu dữ liệu
200 210 Tên trƣờng Mô tả trƣờng Giá
trị là 210
4 Số M M Kiểu thông điệp
(Message Type Identifier)
Là trường đầu tiên của thông điệp và xác định kiểu của thông điệp đang gửi
210 16 Số Hexa M M BIT MAP chính (Primary Bitmap)
BIT MAP chính hiển thị dưới dạng 16 chữ số Hexa. Với mỗi chữ số hiển thị thông tin của 4 bit. Do đó 16 chữ số hiển thị thông tin có mặt/vắng mặt của 64 bit là các Bitmap từ 1 đến 64 Phụ thuộc vào thông tin của trường trả về 2 2 M M Độ dài trường (Field Length)
Độ dài của số thẻ ghi nợ (PAN Length) Giống 200 nn Số M M Số thẻ (Primary Account Number) Chứa số thẻ của khách hàng Giống 200 3 6 Số M M Mã giao dịch (Processing Code) Mã số xác định loại giao dịch giữa ngân hàng và đối tác kết nối Giống 200 4 12 Số M M Số tiền giao dịch 2 chữ số ngoài cùng bên phải là 2 chữ số Giống 200
(Transaction Amount)
thập phân
Giá trị của giao dịch là 10 chữ số từ trái sang
Đơn vị tính là VNĐ
7 10 Số M M Thời gian thông
điệp gửi sang ngân hàng (Transaction DateTime)
Trường này hiển thị ngày và giờ thông điệp gửi từ đối tác sang ngân hàng hoặc từ ngân hàng sang đối tác. Định dạng của trường này là: Mmddhhmiss theo thứ tự: tháng-ngày- giờ-phút-giây
Giờ sẽ tuân theo định dạng 24h
Giống 200
11 6 Số M M Số theo dõi của
hệ thống khởi tạo giao dịch (System Trace) Là một trường tham chiếu về thứ tự giao dịch đi qua hệ thống trong một khoảng thời gian Giá trị này sẽ do hệ thống của bên khởi tạo giao dịch 200 sinh ra
Giống 200
12 6 Số M M Giờ khởi tạo
giao dịch (Local Time) Định dạng của trường: hhmmss. Theo định dạng 24 giờ Giống 200
13 4 Số M M Ngày khởi tạo
giao dịch (Local Date) Định dạng của trường: mmdd Giống 200 15 4 Số M M Ngày thanh toán (Settlement Date)
Ngày giao dịch được thanh toán sau khi đối chiếu thành công giữa ngân hàng và đối tác
Định dạng của
Giống 200
trường: Mmdd 18 4 Số M M Hình thức phát sinh giao dịch (Merchant Type)
Trường này hiện thị thông tin về hình thức phát sinh giao dịch ATM: 6011 POS: 6012 SMS: 6013 WEB: 6014 Giống 200 38 6 Số - 0 Số cấp phép của ngân hàng cho giao dịch (Authorization Number) Mã số để xác định giao dịch được ngân hàng cấp phép trong các giao dịch nạp tiền. Con số này do hệ thống ngân hàng điền.
Khi giao dịch lỗi thì trường này không bắt buộc. Khi giao dịch thành công thì ngân hàng phải điền số cấp phép. Đặt bởi hệ thống của ngân hàng 39 2 Ký tự - M Mã số trả lời (Response Code)
Trường này bắt buộc cho tất cả các thông điệp trả lời và để xác định giao dịch đó thành công hoặc gặp lỗi. Đặt bởi bên khởi tạo 210 41 8 Ký tự M M Mã số thiết bị phát sinh giao dịch
Trường này bắt buộc cho tất cả các thông điệp.
Đối tác điền thông tin định danh không quá 8 ký tự.
Nếu giá trị ngắn hơn 8 ký tự thì điền thêm dấu cách phía trước
Giống 200
cho đủ 8 ký tự 48 3 O O Độ dài trường (Field Length) nnn Ký tự O O Thông tin bổ sung (Additional Data)
Trường này được dùng để cung cấp thông tin từ ngân hàng cho đối tác: đăng ký sử dụng dịch vụ, tài khoản của khách hàng 49 3 Số M M Mã tiền tệ giao dịch Biểu thị mã tiền tệ sử dụng trong giao dịch Giá trị mặc định là 704 ( Việt nam Đồng) Giống 200 54 3 O Độ dài trường (Field Length)
nnn Số - O Thông tin số dư
(Banlace Information)
Chứa số dư tại tài khoản của chủ thẻ Độ dài trường luôn cố định là 20 ký tự
Bảng 2.3 Thông điệp tài chính 0200/0210
2.3. Các vấn đề bảo mật trong thương mại điện tử
TMĐT chủ yếu qua các Website bán hàng qua mạng. Vậy vấn đề bảo mật trong TMĐT liên quan đến sự an toàn của các Website:
Các trang Web rất dễ bị tấn công hai chiều.
Tấn công Web server sẽ gây tổn hại đến danh tiếng và tiền bạc của công ty.
Web server có thể bị khai thác làm căn cứ để tấn công vào hệ thống máy tính của một tổ chức.
Người dùng thiếu công cụ và kiến thức để đối phó vói các hiểm họa an toàn.
Vậy một Web site thương mại điện tử muốn an toàn phải đáp ứng một số tiêu chí sau: tính toàn vẹn, tính bảo mật, từ chối dịch vụ, xác thực.
2.3.1. Giao thức bảo mật SSL
SSL [5, 10] là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (Socket 443) nhằm mã hóa toàn bộ thông tin đến đi được sử dụng rộng rãi trong giao dịch điện tử như truyền số liệu thẻ tín dụng, số bí mật cá nhân(PIN) trên mạng Internet. Giao thức SSL được hình thành và phát triển đầu năm 1994 bởi nhóm nghiên cứu Netscape và ngày nay trở thành chuẩn mực bảo mật trên mạng Internet. Phiên bản SSL hiện nay là 3.0 vẫn đang được bổ xung và hoàn thiện.
Cách hoạt động của SSL:
Điểm cơ bản của SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, ví dụ như Web server và các trình duyệt khách (browsers), do đó được sử dụng trong nhiều ứng dụng khác nhau trên môi trường Internet. Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hóa sử dụng trong SSL được phổ biến công khai, trừ khóa chia sẻ tạm thời (session key) được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính.
Giao thức SSL còn yêu cầu Web server phải được chứng thực điện tử (digital certificate) dựa trên mật mã công khai (RSA).
Giao thức SSL dựa trên hai nhóm con giao thức là giao thức “bắt tay” (handshake protocol) và giao thức “bản ghi” (record protocol). Giao thức bắt tay xác định các tham số giao dịch giữa hai đối tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến hành mã hóa và truyền tin hai chiều giữa hai đối tượng đó. Khi trình duyệt web và máy chủ web, làm việc với nhau, máy chủ và máy khách sẽ trao đổi “lời chào” dưới dạng các thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các chuẩn thuật toán mã hóa và nén số liệu có thể trao đổi giữa hai ứng dụng. Ngoài ra các ứng ụng còn trao đổi “số nhận dạng, khóa theo phiên” (session ID, session key) duy nhất cho lần làm việc đó. Sau đó ứng dụng khách (trình duyệt) yêu cầu có chứng thực điện tử (digital certificate) xác thực của ứng dụng chủ (web server).
Chứng thực điện tử thường được xác nhận rỗng rãi bởi một cơ quan trung gian là CA (Certificate Authority) như RSA Sercurity hay VeriSign Inc, … một dạng tổ chức độc lập, trung lập và có uy tín. Các tổ chức này cung cấp dịch vụ “xác nhận” số nhận dạng của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch trên mạng, ở đây là các máy chủ Web server.
Sau khi kiểm chứng chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các thông tin
trong chứng chỉ điện tử để giải mã hóa thông điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể giải mã. Trên cơ sở đó, hai ứng dụng trao đổi khóa chính (master key) - khóa bí mật hay khóa đối xứng - làm cơ sở mã hóa luồng thông tin dữ liệu qua lại giữa hai ứng dụng khách chủ.
Các thuật toán mã hóa và xác thực của SSL được sử dụng bao gồm: DES: chuẩn mã hóa dữ liệu ra đời năm 1997.
DSA: thuật toán chữ ký điện tử. KEA: thuật toán trao đổi khóa.
MD5: Thuật toán tạo giá trị băm, phát minh bởi Rivest.
RC2,RC4: mã hóa Rivest, phát triển bởi công ty RSA Data Security. RSA key exchange: thuật toán trao đổi khóa cho SSL dựa trên thuật toán
RSA.
SHA-1: thuật toán hàm băm an toàn.
SKIPJACK: thuật toán khóa đối xứng phân loại. Triple DES: mã hóa DES ba lần.
2.3.2. Mật khẩu OTP
OTP (one time password) [10] là một loại mật khẩu chỉ hợp lệ cho một phiên làm việc hoặc một giao dịch. Vấn đề quan trọng nhất khi sử dụng mật khẩu OTP là nó tránh được tấn công lập lại trong trường hợp sử dụng mật khẩu thông thường.
Tạo mật khẩu OTP dựa trên thuật toán sinh ngẫu nhiên. Thuật toán này thực sự cần thiết vì nếu không sẽ dễ dàng đoán được mật khẩu OTP ở các phiên trước. Một số cách sinh mật khẩu OTP:
Lấy từ thời gian đồng bộ hóa giữa xác thực server và client để phân phối mật khẩu (OTP chỉ hợp lệ trong khoảng thời gian ngắn).
Sử dụng thuật toán sinh ngẫu nhiên hoặc một theo một biến đếm để sinh mật khẩu OTP.
CHƢƠNG 3: THƢƠNG MẠI ĐIỆN TỬ CHO THUÊ BAO DI ĐỘNG ĐỘNG
3.1. Bài toán
Hiện nay có rất nhiều hình thức thanh toán thương mại điển tử: khách hàng có thể chuyển khoản qua ATM, gửi mã thẻ cào điện thoại của công ty viễn thông, sử dụng dịch vụ TMĐT của ngân hàng tự cung cấp, sử dụng ví điện tử của các công ty cung cấp giải pháp TMĐT.
Một số giải pháp thương mại điện tử đang triển khai tại Việt Nam:
A. Chuyển khoản qua ATM:
Doanh nghiệp bán hàng qua mạng mở tài khoản tại nhiều ngân hàng khác nhau.
Khách hàng mua hàng tại Website của doanh nghiệp sẽ thanh toán bằng hình thức chuyển tiền cho doanh nghiệp qua thẻ ATM.
Ví dụ: khách hàng mua tivi tại một Website bán hàng qua mạng: chọn tivi vào giỏ mua hàng, Website sẽ yêu cầu khách hàng nhập các thông tin liên quan đến đơn hàng như số điện thoại, email, địa chỉ giao hàng, … và yêu cầu khách hàng chuyển tiền vào tài khoản tại ngân hàng. Khách hàng ra ATM chuyển tiền vào tài khoản của Website bán hàng. Website bán hàng thấy tài khoản ngân hàng tăng sẽ xác nhận đơn hàng đã được thanh toán.
B. Ngân hàng cung cấp dịch vụ TMĐT:
Khách hàng còn có tài khoản tại ngân hàng cung cấp dịch vụ TMĐT. Khách hàng mua hàng tại Website của doanh nghiệp có chấp nhận thẻ của
ngân hàng cung cấp dịch vụ TMĐT sẽ thanh toán bằng cách trừ trực tiếp trong tài khoản ngân hàng.
Ví dụ: khách hàng mua tivi tại một Website bán hàng qua mạng: chọn tivi vào giỏ mua hàng và chọn thanh toán sẽ yêu cầu khách hàng xác thực qua Website của ngân hàng sẽ trừ tiền tài khoản khách hàng và tăng tài khoản của Website bán hàng, Website bán hàng xác nhận giao dịch của khách hàng đã được thanh toán.
C. Ví điện tử:
Khách hàng có tài khoản ảo tại công ty cung cấp giải pháp TMĐT.
Khách hàng có tài khoản tại các ngân hàng mà công ty cung cấp giải pháp TMĐT kết nối trực tiếp tới.
Qua Website của công ty cung cấp giải pháp TMĐT sẽ chuyển tiền từ tài khoản ngân hàng sang tài khoản ảo.
Khách hàng mua hàng tại Website của doanh nghiệp có chấp nhận tài khoản ảo của công ty cung cấp giải pháp TMĐT sẽ thanh toán bằng cách trừ tiền tài khoản ảo.
Ví dụ: khách hàng mua tivi tại một Website bán hàng qua mạng: chọn tivi vào giỏ mua hàng và chọn thanh toán sẽ yêu cầu khách hàng xác thực qua Website của của công ty cung cấp giải pháp TMĐT sẽ trừ tiền tài khoản ảo khách hàng và tăng tài khoản ảo của Website bán hàng, Website bán hàng xác nhận giao dịch của khách hàng đã được thanh toán.
Qua các phân tích các đặc điểm và ví dụ về các mô hình TMĐT đã triển khai ở trên chúng tôi thấy có một số nhược điểm như sau:
Chuyển khoản qua ATM:
Doanh nghiệp phải đăng ký tài khoản tại nhiều ngân hàng khác nhau. Khách hàng phải ra ATM chuyển khoản cho doanh nghiệp.
Thời gian thanh toán giao dịch lâu. Ngân hàng cung cấp dịch vụ TMĐT:
Khách hàng phải có tài khoản tại ngân hàng cung cấp dịch vụ TMĐT. Không thể mua hàng mọi lúc mọi nơi do phải vào Website bán hàng qua
Internet.
Thanh toán qua Website không an toàn do có thể bị lộ mật khẩu. Ví điện tử:
Nạp tiền, chuyển khoản cho tài khoản ảo phải qua Website của công ty cung cấp giải pháp TMĐT.
Không thể mua hàng mọi lúc mọi nơi do phải vào Website bán hàng qua Internet.
Thanh toán qua Website không an toàn do có thể bị lộ mật khẩu.
Mục tiêu của luận văn là đưa ra một giải pháp thanh toán thương mại điện tử an toàn, tiện lợi và khắc phục được nhược điểm của các mô hình TMĐT nêu trên.
Với mục tiêu như vậy luận văn đề xuất giải pháp sử dụng điện thoại di động để thanh toán TMĐT:
Có tài khoản tại các ngân hàng: Agribank, Vietinbank, Bidv, DongaBank, Techcombank, … hoặc không cần tài khoản ở ngân hàng.
Đăng ký tài khoản ảo tại công ty cung cấp giải pháp TMĐT.
Nạp tiền trực tiếp từ tài khoản ngân hàng sang tài khoản ảo thông qua tin nhắn SMS hoặc qua Website.
Thanh toán thương mại điện tử qua SMS hoặc Website và được xác thực bởi tin nhắn SMS.
Với giải pháp nêu trên dẫn đến việc xây dựng mô hình TMĐT cho thuê bao di động:
SMS GATEWAY 8xxx: thuê đầu số giá trị gia tăng của các công ty viễn thông giúp khách hàng có thể gửi tin nhắn SMS tới công ty cung cấp giải pháp TMĐT và nhận tin nhắn phản hồi.
BANK GATEWAY: kết nối với các ngân hàng để thực hiện yêu cầu trừ tiền trong tài khoản của khách hàng.
Hệ thống thẻ trả trước Prepaidcard: quản lý đại lý phát hành thẻ, quản lý thẻ cho khách hàng.
Hệ thống tài khoản ảo Airtime: quản lý tài khoản ảo của khách hàng, doanh nghiệp kết nối, có thể nạp tiền trực tiếp từ tài khoản ngân hàng vào tài khoản ảo.
Doanh nghiệp kết nối như đại lý vé máy bay, siêu thị trực tuyến, dạy học trực tuyến,… kết nối vào hệ thống thanh toán qua Internet.
Khách hàng mua hàng bằng cách gửi tin nhắn SMS hoặc qua các Website bán hàng.
3.2. Mô hình thẻ trả trước PrepaidCard
Thẻ trả trước Prepaid Card là thẻ có một giá trị tiền được ghi sẵn trong thẻ đó và có thể sử dụng để mua hàng hóa và dịch vụ tại các cửa hàng hoặc đại lý của doanh nghiệp. Thẻ có thể được phát hành với một số dư đã đặt sẵn (pre-paid) hoặc sẽ được nạp tiền khi khách hàng mua thẻ (store-value). Đối với thẻ trả trước store-value thì sau khi phát hành, chủ thẻ có thể được nạp tiền vào thẻ trong các lần tiếp theo.
Trong mô hình dự kiến thẻ sẽ được áp dụng theo mô hình store-value và có thể nạp tiếp bằng chính tài khoản của khách hàng tại ngân hàng. Thẻ trả trước được thanh toán qua kênh Internet hoặc SMS.
3.2.1. Phát hành thẻ
Để đáp ứng nhu cầu thanh toán không dùng tiền mặt cũng như gia tăng tiện ích thanh toán trên các kênh bán hàng mới (Internet, Mobile), các doanh nghiệp bán lẻ thực hiện phát hành thẻ trả trước cho khách hàng.
Thông qua ký kết các thỏa thuận hợp tác với nhà cung cấp, nhà cung cấp và doanh nghiệp thực hiện việc hợp tác phát hành thẻ trả trước cho khách hàng thông qua