Các bên tham gia: khách hàng (có thể là nhà cung cấp), nhà môi giới.
Điều kiện xảy ra: khách hàng (có tài khoản) muốn biết chi tiết các giao dịch đã
thực hiện với tài khoản của mình.
Kết quả: chi tiết các giao dịch mua (tên nhà cung cấp, mặt hàng, giá cả, thời
gian mua..) đối với tài khoản khách hàng. Nếu là tài khoản của nhà cung cấp, họ cũn được biết chi tiết các giao dịch chuyển khoản vào tài khoản của mình.
CHƯƠNG 5
KẾT QUẢ NGHIÊN CỨU VÀ ĐÁNH GIÁ
5.1 Kết quả nghiên cứu lý thuyết
Các lý thuyết an toàn bảo mật cơ sở.
Thanh toán điện tử, thanh toán siêu nhỏ và các vấn đề an toàn bảo mật liên quan.
Tỡm hiểu, đánh giá một số hệ thanh toán siêu nhỏ điển hình.
Thực trạng việc sử dụng thẻ tín dụng cho các giao dịch mua bán giá trị nhỏ trên Internet.
Giải pháp thanh toán siêu nhỏ dùng thẻ trả trước.
5.2 Kết quả cài đặt
5.2.1 Môi trường
Mô hình Paycard được cài đặt trên môi trường cấu hình sau:
5.2.1.1 Phớa khách hàng
Trình duyệt Internet Explorer 5.0 (hỗ trợ ASP, SSL)
5.2.1.2 Phớa nhà cung cấp
Trang chủ (viết bằng ASP, có thể bằng các ngôn ngữ khác) Cơ sở dữ liệu Access.
Các liên kết phải trả tiền.
Các liên kết bình thường (không phải trả tiền)
5.2.1.3 Phớa ngõn hàng
Trang chủ (viết bằng ngôn ngữ ASP)
Máy chủ IIS 5.0 (Windows XP Pro) được cài đặt SSL. Cơ sở dữ liệu SQLServer 2000
5.2.2 Một số màn hình kết quả
5.2.2.1 Đăng nhập tài khoản Paycard có sử dụng SSL
Hình 5-24. Màn hình đăng nhập tài khoản Paycard
5.2.2.2 Kích hoạt tài khoản và thực đơn đăng nhập
Hình 5-25. Màn hình kích hoạt tài khoản và thực đơn khi đăng nhập
SSL session
5.2.2.3 Trang nhà cung cấp
Hình 5-26. Màn hình nhà cung cấp với các mặt hàng được bán
5.2.2.4 Chọn mua một mặt hàng
5.3 Các vấn đề cũn tồn tại và hướng phát triển của đề tài
Thương mại điện tử là một vấn đề khá mới mẻ đồng thời các hệ thanh toán điện tử vẫn chưa trở nên hoàn chỉnh và phổ biến do vậy trong khuôn khổ đề tài chưa đề cập hết các mặt của thanh toán điện tử nói riêng và thanh toán siêu nhỏ nói chung. Giải pháp thanh toán đưa ra tỏ ra đơn giản và thuận tiện tuy vậy vẫn cũn mặt chưa được tỡm hiều (chẳng hạn giá thiết về khõu phát hành và quản lý thẻ). Khõu cài đặt đã dẫn đến nhiều giải pháp kỹ thuật và hướng phát triển thú vị song do hạn chế thời gian nên vẫn chưa được hoàn chỉnh như dự định của đề tài.
Trong thời gian tới, em mong muốn được hoàn chỉnh đề tài theo các mục tiêu ban đầu của đề tài đặc biệt là hoàn thiện và phát triển các hướng mở rộng đã được nêu ra trong giải pháp thanh toán siêu nhỏ dùng thẻ trả trước.
Cuối cùng em rất mong nhận được nhiều nhận xét, góp ý từ các thầy cô và các bạn đối với đề tài. Em xin một lần nữa được gửi lời cảm ơn chõn thành tới thầy giáo hướng dẫn, các thầy cô giáo trong khoa CNTT- ĐHBKHN và bạn bè vì tất cả sự giúp đỡ trong thời gian qua để em có thể hoàn thành đồ án tốt nghiệp này.
PHỤ LỤC
- Bảng tổng kết đặc điểm các mô hình thanh toán siêu nhỏ
Bảng 1. Tổng kết đặc điểm các giao thức thanh toán. C = khách hàng. V = nhà cung cấp. B = nhà môi giới.
Đồng tiền Sản xuất
bởi
Vô danh Dạng tín dụng
hay tiền mặt ?
Millicent scrip V và/hoặc
B
Không Tín dụng với C, V, B
MicroMint tiền mang đặc trưng tháng/ C_id/ V_id
B Không Tín dụng với V; tiền mặt với C, B
PayWord chuỗi payword mang đặc trưng C- V C Không Tín dụng Wenbo chuỗi C, chứng thực bởi B Có (nếu không có double-spending ) Tín dụng với V; tiền mặt với C, B
Bảng 2. Tổng kết chi phí tính toán (Giả thiết bỏ qua các thanh toán vĩ mô và gian lận double-spending, không có gian lận trong kiểm tra). CC = chứng thực của khách hàng.
Trước thanh toán
Khách hàng, trong thanh
toán
V, kiểm tra Rút tiền về
Millicent (giả thiết C đã có các scrip của V)
1 phép băm/yêu cầu
1 phép băm/yêu cầu kiểm tra
Không
MicroMint (đồng tiền bộ k đặc trưng C-V)
1 phép băm và
lưu/ giá trị x tạo ra
k-1 phép trừ để
xác định nhóm giá
trị x thoả mãn
C_id
k phép tìm kiếm
cho nhóm giá trị x
1 phép băm /V_id
k-1 phép trừ
k phép tìm kiếm/
đồng tiền tạo ra
Với mỗi đồng
tiền:
k phép băm trên
giá trị x
k phép so sánh
với dấu hiệu tháng
2(k-1) phép trừ
1 phép băm /U_id
1 phép băm /V-id
Giống với V
PayWord 1 yêu cầu CC
1 phép kiểm tra CC
1 phép tạo chữ
(nếu không lưu trước) 1 phép băm /tạo payword 1 phép kiểm tra chữ ký /cam kết 1 phép kiểm tra chữ ký /CC
kiểm tra cam kết kiểm tra CC
# phép băm (= số payword được
ký /cam kết 1 phép băm /tạo payword # phép băm (=số payword đã trả) dùng để rút tiền về)
Wenbo 1 yêu cầu CC
1 chữ ký mù để tạo chữ ký ngân hàng /chuỗi 1 phép băm /đồng tiền
1 khoá /thanh toán dùng sơ đồ chữ ký Schnorr 1 phép tạo chữ ký sử dụng tiền /thanh toán 1 phép băm /đồng tiền được tạo (nếu không được lưu trước)
1 phép kiểm tra chữ ký ngân hàng 1 phép kiểm tra chữ ký sử dụng tiền theo sơ đồ chữ ký Schnorr 1 phép kiểm tra cho đồng tiền lẻ của Vcuối # phép băm (= số đồng tiền được trả) 1 phép kiểm tra chữ ký ngân hàng 1 phép kiểm tra chữ ký của V trước 1 phép kiểm tra chữ ký trên đồng tiền lẻ # phép băm (= số đồng tiền được trả)
Bảng 3. Số các yêu cầu lưu trữ trong các giao thức. Trong ngoặc đơn ( ) là giá trị tuỳ chọn , phụ thuộc vào việc triển khai. CSK = khoá chia sẻ của khách hàng (customer-
shared-key).
Khách hàng Nhà cung cấp Nhà môi giới
Millicent Scrip đã mua
CSK Tất cả scrip của V CSK Tất cả scrip của B (Scrip của V) CSK
MicroMint Đồng tiền đã mua Các đồng tiền hợp lệ nhận được
Tất cả đồng tiền hợp lệ Nhật ký mua của khách hàng
PayWord (chuỗi payword, các
cam kết) CC
Với mỗi chuỗi: n, i, wn Tất cả giá trị payword cuối cùng và cam kết hợp lệ nhận được Tất cả giá trị payword cuối cùng và cam kết hợp lệ đã sử dụng để rút tiền
Wenbo (chuỗi tiền)
CC
với mỗi chuỗi: chữ ký ngân hàng, đồng tiền cuối cùng, n, i, đồng tiền lẻ từ Vcuối , Tất cả chữ ký hợp lệ (và các chứng thực) Tất cả chữ ký hợp lệ (và các chứng thực)
các tham số cho sơ đồ ký Schnorr
- Sơ đồ chữ ký Schnorr
Tạo chữ ký
Khách hàng chọn một khoá mật (s) để tạo khoá công khai (v) cho mình. p là một số nguyên tố lớn (p > 2512), q là một số nguyên tố lớn sao cho q | (p-1).
v = a-s mod p
aq = 1 mod p
Để ký thông điệp m, khách hàng lựa chọn số r sao cho:
x = ar mod p e = H(m, x)
y = r + s * e mod q
(e, y) là cặp chữ ký cho thông điệp m. Trong giao thức Wenbo, cặp giá trị này được gọi là chữ ký sử dụng của đồng tiền. H là hàm băm một chiều phi đụng độ. x là khoá công khai của m được băm thành g(x). e, x, y và v là các tham số được công khai.
Kiểm tra chữ ký
Để kiểm tra thông điệp m’ với chữ ký (e, y), ta tìm z:
z = ayve mod p
Nếu e = H(m’, z) , m’ được xác thực.
Phát hiện double-spending
Nếu khách hàng gian lận double-spending, sẽ có 2 chữ ký sử dụng tiền cho một tập các đồng tiền, (e, y) và (e’, y’) cùng được tạo bởi một giá trị x. Bí mật của khách hàng (s) có thể được tìm ra qua phương trình :
s = (y – y’)/ (e – e’) mod q
- Giới thiệu về Dự thảo Giao thức thanh toán siêu nhỏ (MPTP)
và Dự thảo Định dạng chung cho các liên kết thanh toán siêu
Dự thảo Giao thức thanh toán siêu nhỏ (Micro Payment Transfer Protocol (MPTP)
Version 0.1 - W3C Working Draft 22-Nov-95) [19]
Mô tả một giao thức để thực hiện các thanh toán qua dịch vụ của các nhà môi giới. Yêu cầu về xử lý của giao thức là đáp ứng với các thanh toán giá trị nhỏ. Độ trễ cho phép nó khả thi trong các ứng dụng tương tác. Mô hình do vậy đáp ứng hai tiêu chí trong mô hình thanh toán siêu nhỏ. MPTP đáp ứng các đề xướng cho hệ PayWord của Rivest và Shamir [11]. Nó cũng đồng thời đáp ứng các đề xướng trong Millicent của Manasse [18] và iKP của Belllare [24]. Một đề xướng tương tự PayWord của Torben Pedersen [Pederrsen97] cũng được đưa ra sau khi dự thảo này được bắt đầu.
Để hiệu quả, giao thức sẽ kết hợp sự chuyển các lệnh thanh toán với các quá trình cung cấp hàng. Vì lý do này, MPTP có thể dựa trên các giao thức Internet khác nhau bao gồm HTTP và SMTP/MIME.
Giao thức được tối ưu cho mô hình thanh toán đồng thời nó thích hợp với việc chuyển các lượng lớn. Giao thức cũng thích hợp cho sử dụng như một điều khiển truy nhập hay cơ chế cấp phát tài nguyên. Với một số thay đổi giao thức có thể đảm bảo cung cấp tớnh vô danh.
Dự thảo Định dạng chung cho các liên kết thanh toán siêu nhỏ (Common Markup
for micropayment per-fee-links W3C Working Draft 25 August 1999) [8]
Đặc tả cung cấp phương pháp nhỳng vào các trang web các thông tin cần thiết cho việc khởi tạo các giao dịch thanh toán siêu nhỏ (giá cả và tiền tệ, hệ thanh toán..).Điều này cho phép các mô hình thanh toán siêu nhỏ khác nhau tồn tại đồng thời.
- Thủ tục bắt tay trong SSL
Tóm tắt
Giao thức SSL (Secure Sockets Layer) sử dụng kết hợp giữa mó khoỏ công khai và mó khoỏ đối xứng. Mó khoỏ đối xứng thực hiện nhanh hơn mó khoỏ công khai tuy nhiên tính an toàn của nó kém hơn. Một phiên SSL bắt đầu bằng việc trao đổi thông điệp gọi là bắt tay. Thủ tục bắt tay cho phép máy chủ xác thực nó với mỏy khỏch thông qua khoá công khai. Sau đó, máy chủ và mỏy khỏch có thể trao đổi thông tin qua sử dụng mã đối xứng để mó hoỏ, giải mã một cách nhanh chóng đồng thời phát hiện các can thiệp vào phiên đang diễn ra. Ngoài ra, thủ tục bắt tay cũng cho phép việc xác thực
mỏy khỏch với máy chủ.
Chi tiết
Các bước trong thủ tục bắt tay SSL:
1. Mỏy khách gửi tới máy chủ số hiệu phiên bản SSL của mỏy khỏch, cỏc cài đặt mó hoỏ và các thông tin khác cần cho máy chủ để giao tiếp với mỏy khỏch qua SSL.
2. Máy chủ gửi tới mỏy khỏch số hiệu phiên bản SSL của máy chủ, các cài đặt mó hoỏ, dữ liệu đặc trưng phiên và các thông tin khác cần cho mỏy khỏch giao tiếp với máy chủ qua SSL. Máy chủ đồng thời cũng gửi chứng thực của nó và nếu mỏy khỏch cú yêu cầu về tài nguyên máy chủ, máy chủ sẽ yêu cầu chứng thực của mỏy khỏch để xác thực mỏy khỏch.
3. Mỏy khách sử dụng các thông tin gửi từ máy chủ để xác thực máy chủ. Nếu
máy chủ không được xác thực, người dùng được cảnh báo và được thông báo
rằng liên kết an toàn (có mã hoá và xác thực) không được thiết lập. Nếu máy
chủ được xác thực thành công, mỏy khỏch thực hiện bước 4.
4. Sử dụng các dữ liệu được tạo, mỏy khỏch tạo ra một bí mật sơ cấp (pre-master secret) của phiờn, mó hoỏ nú bằng khoá công khai của máy chủ (chứa trong chứng thực của máy chủ ở bước 2) và gửi nó tới máy chủ.
5. Nếu máy chủ yêu cầu xác thực mỏy khỏch, mỏy khỏch đồng thời ký lên một thông tin đặc trưng của phiên (được biết bởi cả 2 bên). Trong trường hợp này, mỏy khỏch gửi đồng thời dữ liệu được ký, chứng thực của nó và bí mật sơ cấp đã được mó hoỏ tới máy chủ.
6. Máy chủ thực hiện việc xác thực mỏy khỏch (nếu có). Nếu mỏy khỏch không được xác thực, phiên kết thúc. Nếu mỏy khỏch được xác thực, máy chủ dựng khoỏ riờng của nó để giải mã bí mật sơ cấp sau đó thực hiện dóy cỏc bước tiếp theo (mỏy khỏch cũng đồng thời thực hiện các bước này) để tạo ra bí mật chính (master secret).
7. Cả mỏy khỏch và máy chủ sử dụng bí mật chính để tạo ra cỏc khoỏ phiờn là cỏc khoỏ đối xứng dùng để mã và giải mã đồng thời kiểm tra tính toàn vẹn của các thông tin trao đổi trong phiên SSL.
được mó hoỏ bằng khoỏ phiờn. Sau đó nó gửi một thông điệp (được mó hoỏ) bỏo rằng phần bắt tay bờn mỏy khỏch kết thúc.
9. Máy chủ gửi một thông điệp tới mỏy khỏch thông báo từ nay các thông điệp sẽ được mó hoỏ bằng khoỏ phiờn. Sau đó nó gửi một thông điệp (được mó hoỏ) bỏo rằng phần bắt tay bên máy chủ kết thúc.
10. Thủ tục bắt tay hoàn thành và phiên được bắt đầu. Trong quá trình diễn ra phiên, máy chủ và mỏy khỏch sử dụng khoỏ phiờn để mã, giải mã dữ liệu được gửi đi cho nhau và để kiểm tra tính toàn vẹn.
11. Trên đây là điều kiện hoạt động bình thường của kênh an toàn. Vào bất kỳ thời điểm nào, do các kích thích bên trong hoặc bên ngoài (tự động hoặc do người dùng) một trong hai phía có thể định hướng lại liên kết và bắt đầu lại các bước từ đầu.
Bảng thuật ngữ và từ viết tắt
Anonymity/Anonymous - Tính vô danh
Authenticate/Authentication - Xác thực
Broker/Bank B Nhà môi giới/ Ngân hàng
Certificate Authority CA Đại lý cấp chứng thực
Certificate Cert Chứng thực
Certificate Revocation List CRL Danh sách thu hồi chứng thực
Customer/User C/U Khách hàng
Data Encryption Standard DES Chuẩn mã hoá dữ liệu (Mỹ) Digital Signature DS Chữ ký điện tử (chữ ký số) Double-spending - Gian lận sử dụng tiền số 2 lần Electronic Cash Ecash Đồng tiền số (tiền mặt điện tử) Electronic Certificate - Chứng thực điện tử
Electronic Commerce eCommerce Thương mại điện tử Êlectronic Payment ePayment Thanh toán điện tử Internet Information Service IIS Máy chủ dịch vụ Internet
Hash - Phép băm
Hash function H(x) Hàm băm
Macropayment - Thanh toán siêu lớn (vĩ mô)
Micropayment - Thanh toán siêu nhỏ
Offline - Ngoại tuyến
Online - Trực tuyến
One-way (hash) - (Hàm băm) một chiều
Payment - Thanh toán
Personal Information Number PIN Số thông tin cá nhân
Prepaid card - Thẻ trả trước
Private/Secret Key pk/SK Khoá riêng/ Khoá mật
Public Key PK Khoá công khai
Secure Socket Layer SSL Giao thức truyền thông bảo mật SSL
Signature - Chữ ký
Vendor V Nhà cung cấp
Tài liệu tham khảo
[1] Apicella, M. Worry-free payment processing keeps the customer satisfied [Online]. November 10, 2000. Available from : http://www.infoworld.com.
[2] Asokan, N., et al. The State of the Art in electronic Payment Systems Nokia Research Center, Helsinki, Finland, 1999.
[3] Chi, E. Evaluation of Micropayment Schemes. 1997.
[4] Forbes, New Internet payment system launching [Online]. August, 1999. Available from: http://www.forbes.com/1999/08/11/ mu2_print.html.
[5] Koprowski G. Cache and Carry [Online]. October 1998. Available from : http://www. business2.com/articles/mag/print/0,1643,12731,FF.html.
[6] Lawrence, E., et al. Internet Commerce: Digital Models for Business. John Wiley & Sons Australia, (1998) p. 242, 1998.
[7] McLaughlin, K., The Race to Rule E-Payments in Asia [Online]. 2000. Available from :http://www.business2.com/articles/web/ print/0,1650,16107,FF.html.
[8] Mitchel T., Common Markup for micropayment per-fee-links. 1999. World Wide Web Consortium (W3C). Available from : http://www.w3.org/TR/1999/WD-Micropayment- Markup-19990825.
[9] NECTEC, Internet Purchase, Internet User Profile of Thailand 2000, p. 73, National Electronics and Computer Technology Center, Bangkok, Thailand, 2000.
[10] NECTEC, Reasons Against Internet Purchase, Internet User Profile of Thailand 2000, p. 75, National Electronics and Computer Technology Center, Bangkok, Thailand, 2000. [11] R. Rivest and A. Shamir. PayWord and MicroMint: Two simple micropayment schemes. May 7, 1996. http://theory.lcs.mit.edu/~rivest/RivestShamir-mpay.ps.
[12] RSA Security. What are micropayments, RSA Security Crypto FAQ. Available from : http://www.rsasecurity.com/rsalabs/4-2-5000.htm.
[13] Schmidt, C. and Muller R. A Framework for Micropayment Evaluation, Institute fur Wirtschaftsinformatic, Humboldt-Universitat zu Berlin.
[14] Schubert, P. and Zimmermann, H-D. Electronic Commerce transactions: The deployment of chip cards for micropayment settlements, Institute for Information Management, University of St. Gallen, Switzerland, p.2, 1998.
[15] Shirky, C. The Case Against Micropayments [Online]. 2000. Available from : http://www.openp2p.com/lpt/a//p2p/ 2000/12/19/micropayments.html.
[16] Solomon, M. Micropayments [Online]. May 1, 2000. Available from :
