Hệ thống thanh toán ñiện tử ứng dụng cho thanh toán qua internet dựa trên họ giao thức iKP

DANH MỤC CÁC HÌNH VẼ Hình 1.1: Mô hình tổng quan các thành viên tham gia hệ thống TMðT của một quốc gia Hình 1.2: Cấu trúc hệ thống TMðT trên Internet của doanh nghiệp Hình 1.3: Quá trìn

DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT VÀ CÁC THUẬT NGỮ

Ký hiệu/ Chữ viết

PIN Personal Identify Number - Mã số cá nhân (bí mật)

Seller/ Merchant

Doanh nghiệp, là một bên tham gia trong giao dịch thanh toán Trong giao thưc iKP, Seller/ Merchant còn ñược hiểu như là module thuộc hệ thống thanh toán iKP thực hiện chức năng phía doanh nghiệp

Acquirer

Ngân hàng nhận thanh toán Trong giao thức iKP, Acquirer ñược hiểu là một giao diện trung gian giữa hệ thống thanh toán iKP và mạng tài chính của hệ thống ngân hàng (clearing network)

Party Một bên tham gia trong giao dịch thanh toán, gồm có Buyer,

Seller, Acquirer

Certificate Chứng thực số (chứng nhận số)

CA - Certificate

Authority Hệ thống cung cấp chứng thự số

Public Key Khóa công khai sử dụng trong mã hóa khóa công khai

Private Key Khóa riêng sử dụng trong mật mã hóa khóa công khai

Secret Key Khóa bí mật sử dụng trong mã hóa ñối xứng

Digital Signature Chữ ký số

PKI Public Key Infrastructure - Hạ tầng khóa công khai

Payment Gateway Cổng thanh toán, Là giao diện trung gian giữa hệ thống thanh

toán và mạng tài chính của hệ thống liên ngân hàng

Clearing Network Mạng chuyển khoản (mạng tài chính liên ngân hàng)

SSL

Secure Socket Layer: Giao thức bảo mật kênh truyền, ñược ứng dụng rộng rải trong truyền thống WWW nhằm bảo mật các giao dịch tài chính và các thông tin quan trọng khác TSL Transport Layer Security : Là phiên bản mới nhất của SSL

Temper - resistant Thiết bị an toàn ñược dùng ñể cất giữ các thông tin quan trọng

như số tài khoản thẻ tín dụng, khóa private key, secret key

Hash function

Hàm băm có chức năng chuyển ñổi thông ñiệp có ñộ dài bất

kỳ thành một thông ñiệp có ñộ dài cố ñịnh Ví dụ MD5, SHA1

DANH MỤC CÁC HÌNH VẼ

Hình 1.1: Mô hình tổng quan các thành viên tham gia hệ thống TMðT của

một quốc gia

Hình 1.2: Cấu trúc hệ thống TMðT trên Internet của doanh nghiệp

Hình 1.3: Quá trình giao dịch thanh toán ñiện tử

Hình 4.1: Mô hình tổng quan hệ thống thanh toán

Hình 4.2: Khóa và các nguyên hàm mật mã ñược sử dụng trong giao thức

iKP

Hình 4.3: Framework chung của họ giao thức iKP

Hình 4.4: Các trường dữ liệu ñược sử dụng trong các giao thức iKP

Hình 4.5: Cơ chế hoạt ñộng của giao thức 1KP

Hình 4.6: Các gói dữ liệu giao thức

Hình 4.7: Thông tin mào ñầu của mỗi Party trong họ giao thức iKP

Hình 4.8: Các luồng dữ liệu trong họ giao thức iKP

Hình 4.9: Cơ chế hoạt ñộng của giao thức 2KP

Hình 4.10: Cơ chế hoạt ñộng của giao thức 3KP

Hình 4.11: So sánh các giao thức iKP

Hình 5.1: Kiến trúc tổng thể hệ thống thanh toán ñiện tử

Hình 5.2: Kiến trúc triển khai hệ thống theo kiểu thuần TCP (ZiP prototype

của IBM)

Hình 5.3: Kiến trúc hệ thống thanh toán theo kiểu kết hợp Windows

Application và Web Service

Hình 5.4: Phân cấp các thành phần của hệ thống thanh toán ñiện tử

Hình 5.5: Các thành phần cấu thành biểu ñồ luồng dữ liệu (BLD)

Hình 5.6: Biểu ñồ phân cấp chức năng của hệ thống

Hình 5.7: BLD mức khung cảnh

Hình 5.8: BLD mức ñỉnh

Hình 5.9: BLD chức năng “Làm giao diện thanh toán phía Buyer”

Hình 5.10: BLD mức dưới ñỉnh: chức năng “Làm giao diện thanh toán phía

Seller”

Hình 5.11: BLD chức năng làm giao diện thanh toán phía Acquirer

Hình 5.12: Các chức năng ñược cung cấp bởi module iKP_eWallet

Hình 5.13: Các chức năng ñược cung cấp bởi module iKP_WS_Seller

Hình 5.14: Các chức năng ñược cung cấp bởi module iKP_WS_Acquirer

Hình 5.15: iKP Wallet Trigger chạy thường trú trên khay hệ thống của

Windows

Hình 5.16: iKP Wallet Trigger phát hiện có giao dịch thanh toán mới và

thông báo ñến người dùng

Hình 5.17: Menu ngữ cảnh của iKP Wallet Trigger

Hình 5.18: Màn hình Control Center của iKP Wallet Trigger

Hình 5.19: Giao diện chức năng ñăng nhập iKP eWallet

Hình 5.20: Giao diện chức năng thanh toán – Giai ñoạn lấy ñơn hàng về từ

Seller

Hình 5.21: Giao diện chức năng thanh toán – Giai ñoạn nhập thông tin

credit card

Hình 5.22: Giao diện chức năng thanh toán – Chọn credit card lưu sẳn

trong Wallet ñẻ sử dụng trong giao dịch thanh toán

Hình 5.23: Giao diện chức năng thanh toán – Quá trình giao dịch ñang

ñược thực hiện

Hình 5.24: Giao diện Monitor Window hiển thị thông tin giao dịch

Hình 5.25: Giao diện Shopping Card của Web site bán hàng

DANH MỤC CÁC BẢNG BIỂU

Bảng 5.1: Bảng B_tblCreditCardInfo : Lưu thông tin thẻ tín dụng của

Bảng 5.6: Bảng S_tblOrderInfo : Lưu thông tin ñơn hàng

Bảng 5.7: Bảng S_tblCertificate : Lưu Certificate ñược xuất dưới dạng

Base64

Bảng 5.8: Bảng A_tblTransactionInfo : Lưu dữ liệu giao dịch của

Acquirer

Bảng 5.9: Bảng A_tblSLIP : Lưu thông tin SLIP nhận ñược từ Buyer

Bảng 5.10: Bảng A_tblAccounts : Lưu danh sách các tài khoản thẻ tín

dụng mà Acquirer cấp cho khách hàng

Bảng 5.11: Bảng A_tblConsumption : Lưu dữ liệu chi tiêu của từng

khách hàng của Acquirer theo từng tháng

LỜI NÓI ðẦU

1 Tính cấp thiết của ñề tài

Trong xu thế toàn cầu hóa và hội nhập quốc tế, thương mại ñiện tử (TMðT) ngày càng trở thành hình thức giao dịch phổ biến Không thể ñứng ngoài xu hướng chung của thời cuộc, Việt Nam cần TMðT ñể hội nhập và phát triển

Thanh toán ñiện tử (TTðT), chứng thực ñiện tử là hai trong những yếu tố có vai trò quyết ñịnh ñến sự phát triển TMðT Tuy nhiên ở Việt Nam gần như chưa có hệ thống thanh toán ñiện tử theo ñúng nghĩa của nó, chúng ta cũng chưa có hạ tầng chứng thực ñiện tử ñủ mạnh do vậy các phương thức kinh doanh, giao dịch mới như giao dịch tài chính ñiện tử, hợp ñồng ñiện tử, … ñã không ñược phát triển ở Việt Nam

Việc thiếu hạ tầng thanh toán ñiện tử, chứng thực ñiện tử ñã làm cho TMðT kém phát triển ở nước ta và ñó sẽ là một trong những nguy cơ tụt hậu

Nhận thức ñược vấn ñề trên nhóm tác giả ñã lựa chọn ñề tài “Xây dựng hệ thống thanh toán ñiện tử ứng dụng cho thanh toán qua Internet dựa trên họ giao thức iKP” vừa ñể làm ñề tài tốt nghiệp, mặt khác cũng mong ñóng góp ñược phần nhỏ bé của bản thân ñể hỗ trợ phát triển TMðT ở Việt Nam

2 ðối tượng nghiên cứu

ðối tượng nghiên cứu của ñồ án là hệ thống thanh toán ñiện tử ứng dụng cho thanh toán qua Internet mà cụ thể là cung cấp chức năng thanh toán ñiện tử cho các Web site bán hàng và hệ thống cung cấp chứng thực ñiện tử (CA - Certificate Authority)

Chương 1: Tổng quan về Thương mại ñiện tử và thanh toán ñiện tử

Chương 2: Tổng quan về các kỹ thuật mật mã

Chương 3: Lý thuyết về hệ thống cung cấp chứng thực số (CA)

Chương 4: Họ giao thức thanh toán ñiện tử iKP

Chương 5: Hệ thống thanh toán ñiện tử dựa trên họ giao thức iKP

Chương 6: Hệ thống cung cấp chứng thực số (CA)

Các chương 1, 4, 5 ñược viết bởi sinh viên Nguyễn Thế Anh, còn lại các chương 2, 3, 6 ñược viết bởi sinh viên Lê Thanh Hải

CHƯƠNG I: TỔNG QUAN VỀ THƯƠNG MẠI ðIỆN TỬ

VÀ THANH TOÁN ðIỆN TỬ

Trong nền kinh tế toàn cầu, thương mại ñiện tử (TMðT) và kinh doanh ñiện tử ñã trở thành một yếu tố cần thiết của chiến lược kinh doanh và là chất xúc tác mạnh mẽ cho sự phát triển kinh tế Việc lồng ghép của công nghệ thông tin và truyền thông (ICT) vào kinh doanh ñã cách mạng hóa mối quan hệ trong nội bộ các tổ chức và giữa các tổ chức và cá nhân ðặc biệt việc sử dụng CNTT&TT trong kinh doanh ñã làm cho năng xuất ñược nâng lên, khuyến khích sự tham gia nhiều hơn của khách hàng và tạo ñiều kiện cho việc phục vụ khách hàng trên diện rộng, bên cạnh việc giảm chi phí kinh doanh

Một khía cạnh khác, các nước ñang phát triển như Việt Nam khi tham gia vào thương mại ñiện tử sẽ có nhiều cơ hội tiếp cận với thị trường toàn cầu, nơi mà ta có thể cạnh tranh với các nước phát triển Do vậy trong kỷ nguyên thông tin, thương mại ñiện

tử sẽ là một công cụ hữu hiệu cho việc tăng trưởng kinh tế của các nước ñang phát triển

ðể có ñược những lợi ích mang lại từ TMðT, các doanh nghiệp cũng như mọi người dân cần phải nhận thức ñược giá trị của TMðT Trong phần ñầu của quyển ñồ án này, tác giả sẽ cung cấp những kiến thức cơ bản nhất về TMðT

Bố cục của chương này ñược tổ chức như sau:

Phần 1.1 Tổng quan về Thương mại ñiện tử (TMðT)

Phần 1.2 Tổng quan về Thanh toán ñiện tử (TTðT )

Phần 1.3 Thực trạng ứng dụng thanh toán ñiện tử ở Việt Nam

Mục ñích của chương sẽ là trình bày những kiến thức chung nhất về TMðT và TTðT ñồng thời nêu bật những vấn ñề còn tồn tại gây cản trở sự phát triển TMðT ở nước ta Từ ñó thấy ñược về mặt kỹ thuật, công nghệ một trong những vấn ñề mấu chốt

ñể ñưa TMðT phát triển ở nước ta là cần xây dựng một hệ thống chứng thực ñiện tử (Certificate Authority) và hệ thống thanh toán ñiện tử (Electronic Payment) có tầm cỡ quốc gia ðây cũng chính là lý do người viết ñồ án chọn ñề tài này làm ñề tài tốt nghiệp của mình

1.1 TỔNG QUAN VỀ THƯƠNG MẠI ðIỆN TỬ

Những vấn ñề sẽ ñược ñề cập trong phần này gồm có: một số kiến thức chung nhất

về TMðT như: khái niệm và ñịnh nghĩa TMðT, ảnh hưởng và lợi ích của TMðT lên việc kinh doanh ði sâu hơn tác giả sẽ trình bày về mô hình hệ thống TMðT các loại hình giao dịch của TMðT

1.1.1 Khái niệm

Hiện trên thế giới có nhiều quan ñiểm khác nhau về “thương mại ñiện tử” nhưng tựu trung lại có hai quan ñiểm lớn xin ñược nêu ra dưới ñây

Thương mại ñiện tử theo nghĩa hẹp

Theo nghĩa hẹp Thương mại ñiện tử bao gồm các hoạt ñộng thương mại ñược thực hiện qua mạng Internet

Theo quan ñiểm này thì Thương mại ñiện tử là hình thức mua bán mà hàng hóa ñược bày tại các trang Web trên Internet và ñược thanh toán bằng thẻ tín dụng Qua hình thức mua bán và thanh toán này, thương mại ñiện tử ñang trở thành một cuộc cách mạng làm thay ñổi cách thức mua sắm

Thương mại ñiện tử theo nghĩa rộng

Theo nghĩa rộng Thương mại ñiện tử là việc tiến hành một phần hay toàn bộ hoạt ñộng thương mại bằng những phương tiện ñiện tử (Internet, Fax, ñiện thoại,…)

Các hoạt ñộng thương mại thường thấy trong thương mại ñiện tử ñó là Marketing trực tuyến, hỗ trợ khách hàng trực tuyến, cung cấp thông tin trực tuyến, mua bán trực tuyến, ñấu giá trực tuyến, giao dịch cổ phiếu trực tuyến, thanh toán trực tuyến,… Căn cứ vào ñối tượng giao dịch, các giao dịch thương mại ñiện tử ñược chia thành hai nhóm:

o Giao dịch buôn bán hàng hóa vật chất và dịch vụ thông thường;

o Giao dịch trao ñổi trực tuyến thông tin, hàng hóa, dịch vụ số hóa như phần mềm,

âm nhạc, chương trình video theo yêu cầu…

Trong nhóm ñầu, các phương tiện ñiện tử ñược sử dụng như một công cụ cho các giao dịch chào hàng, chấp nhận chào hàng, thậm chí cả thanh toán, nhưng việc giao hàng hóa và dịch vụ tới khách hàng vẫn phải thông qua những phương thức truyền thống Trong nhóm thứ hai, bất kỳ công ñoạn nào của hoạt ñộng thương mại ñều có thể thực hiện qua các phương tiện ñiện tử

1.1.2 Lợi ích của Thương mại ñiện tử (TMðT)

ðối với doanh nghiệp:

o Về mặt chí phí, TMðT giúp tiết kiệm chi phí sản xuất, hoạt ñộng: Giao dịch qua Internet có chi phí rất rẻ, ví dụ một doanh nghiệp có thể gửi thư tiếp thị, chào hàng ñến hàng loạt khách hàng chỉ với chi phí giống như gửi ñến một khách hàng Các chi phí cho các dịch vụ như thiết kế, vận hành, duy trì, quảng bá Website TMðT của doanh nghiệp cũng tương ñối thấp Chi phí ñi lại cũng ñược giảm thiểu do có thể thực hiện giao dịch từ xa

o Về mặt thuận lợi, TMðT ñem ñến rất nhiều thuận lợi cho các bên giao dịch:

Nhanh hơn: Giao dịch thương mại thông qua các phương tiện ñiện tử thì nhanh hơn so với giao dịch truyền thống, Ví dụ gửi fax hay email thì nội dung thông tin ñến tay người nhận nhanh hơn là gửi thư

Thị trường rộng lớn: TMðT giúp doanh nghiệp ñưa sản phẩm của mình ñến người tiêu dùng trên toàn cầu

o Tăng khả năng cạnh tranh, ñem ñến môi trường kinh doanh bình ñẳng cho mọi doanh nghiệp: cơ hội TMðT mang ñến cho các doanh nghiệp vừa và nhỏ hay các doanh nghiệp lớn, doanh nghiệp trong nước, doanh nghiệp nước ngoài là ngang nhau, bất kỳ ai cũng có thể tham gia TMðT và có ñược quy

mô thị trường như nhau Do vậy, TMðT góp phần thúc ñẩy sự canh tranh giữa các doanh nghiệp ñể thu ñược nhiều lợi nhất

ðối với người tiêu dùng:

o TMðT mở rộng khả năng lựa chọn hàng hóa, dịch vụ và nhà cung cấp Do

có nhiều lựa chọn nên khách hàng dễ tìm ñược sản phần có chất lượng cao hoặc giá thấp Hàng hóa dạng số hóa như phần mềm, phim, nhạc có thể ñược giao ngay ñến khách hàng qua Internet

o Thông qua các thiết bị di ñộng như máy tính xách tay, PDA, ñiện thoại di ñộng, việc mua sắm có thể ñược thực hiện hầu như ở bất kỳ nơi ñâu, bất kỳ lúc nào, ñáp ứng tối ña nhu cầu ña dạng của người tiêu dùng

ðối với xã hội:

o TMðT tạo ra một phong cách kinh doanh, làm việc phù hợp với cuộc sống công nghiệp, giúp các khu vực kém phát triển nhanh chóng mở rộng trao ñổi thương mại

o TMðT là một công cụ giúp doanh nghiệp vừa và nhỏ khắc phục những ñiểm kém lợi thế ñể cạnh tranh ngang bằng với doanh nghiệp lớn

o TMðT cũng tạo ra ñộng lực cải cách mạnh mẽ cho các cơ quan quản lý nhà nước nhằm theo kịp nhu cầu của doanh nghiệp và xã hội

1.1.3 Mô hình hệ thống Thương mại ñiện tử

1.1.3.1 Mô hình tổng quan các thành viên tham ra TMðT của một quốc gia

Mỗi quốc gia có thể áp dụng một loại hình TMðT ñặc thù, nhưng nhìn chung tuân thủ mô hình tổng quát sau:

Hình 1.1: Mô hình tổng quan các thành viên tham gia hệ thống TMðT của một quốc gia

Theo mô hình này ta thấy các thành viên tham gia ñầu tiên là nhà nước; các ñơn vị cung ứng cơ sở hạn tầng (thanh toán, chứng thực,…); các tổ chức ñảm nhận thanh toán

và tạo dịch vụ như ngân hàng, tổ chức tài chính tín dụng, tổ chức thẻ, …

1.1.3.2 Mô hình hệ thống TMðT của một doanh nghiệp

Hình 1.2: Cấu trúc hệ thống TMðT trên Internet của doanh nghiệp

Tiền ñiện tử

R & D

Thiết kế sản phẩm

Mua sắm

Phân tích và hậu cần

Kiểm soát sản xuất

Mã hóa

Dữ liệu Dịch vụ Thông tin Trực tuyến

Hệ thống Thanh toán ñiện tử Chứng thực ñiện tử Call Cnetre

Hỗ trợ

E-Commerce

Overseas EC

1.1.4 Các loại hình giao dịch thương mại ñiện tử

Căn cứ vào thành phần tham gia hoạt ñộng giao dịch thương mại, TMðT ñược chia thành một số loại hình như: B2B (Business-to-Business), B2C (Business-to-Customer), B2G (Business-to-Government), C2C (Consumer-to-Consumer), G2C (Government-to-Customer)

B2B – doanh nghiêp với doanh nghiệp: loại hình TMðT này ñược ñịnh nghĩa ñơn giản là TMðT giữa các công ty Thành phần tham gia hoạt ñộng thương mại là các doanh nghiệp, tức người mua và người bán ñều là doanh nghiệp ðây là loại hình chiếm tỷ trọng lớn nhất trong TMðT (~90%) Các ứng dụng B2B phần lớn thuộc về các lĩnh vực quản lý cung ứng, quản lý kho hàng (chu trình quản lý ñặt hàng, gửi hàng), quản lý phân phối, quản lý thanh toán (các hệ thống thanh toán ñiện tử)

B2C - Doanh nghiệp với người tiêu dùng: có thành phần tham gia hoạt ñộng thương mại gồm người bán là các doanh nghiệp và người mua là người tiêu dùng B2C chiếm tỷ trọng ít (~10%) trong TMðT nhưng lại có phạm vi ảnh hưởng rộng ðể tham gia loại hình này, thường doanh nghiệp sẽ thiết lập Website, hình thành cơ sở

dữ liệu về hàng hóa, dịch vụ, tiến hành quy trình tiếp thị, quảng cáo, phân phối trực tuyến tới người tiêu dùng Thương mại ñiện tử B2C ñem lại lợi ích cho cả doanh nghiệp lẫn người tiêu dùng Doanh nghiệp tiết kiệm chi phí bán hàng do không cần phòng trưng bày hay thuê người giới thiệu bán hàng, chi phí quản lý cũng thấp hơn Người tiêu dùng sẽ cảm thấy thuận tiện vì sẽ không phải ñến tận cửa hàng, có khả năng lựa chọn và so sánh nhiều mặt hàng cùng một lúc

B2G - Doanh nghiệp với Chính phủ: là loại hình giao dịch giữa doanh nghiệp với

cơ quan nhà nước, trong ñó cơ quan nhà nước ñóng vai trò khách hàng Cơ quan nhà nước có thể thiết lập những Website, tại ñó ñăng tải thông tin về nhu cầu mua hàng của cơ quan nhà nước, tiến hành việc ñấu thầu hàng hóa, dịch vụ và lựa chọn nhà cung cấp trên Website ðiều này một mặt giúp tiết kiệm chi phí tìm nhà cung cấp, mặt khác giúp tăng cường tính minh bạch trong hoạt ñộng mua sắm công

C2C - Người tiêu dùng với người tiêu dùng: các thành phần tham gia hoạt ñộng thương mại ñều là các cá nhân, tức người mua và người bán ñều là các cá nhân Một cá nhân có thể thiết lập Website ñể kinh doanh các mặt hàng do mình làm ra hoặc sử dụng một Website dịch vụ trung gian có sẵn ñể ñấu giá một số món hàng mình có Ví dụ cụ thể của loại hình TMðT C2C thường gặp như: các Website ñấu giá trực tuyến (ví dụ eBay.com); Website cung cấp dịch vụ chia sẽ file, âm nhạc; các Website cung cấp dịch vụ việc làm (ví dụ Vietnamworks.com)…

Kết luận

Trong phần này, tác giả ñã trình bày về các khái niệm sơ lược về TMðT, những lợi ích mà TMðT ñem lại, ñưa ra mô hình tổng quát các thành viên tham gia hệ thống TMðT, mô hình hệ thống TMðT của doanh nghiệp

Trong bất cứ giao dịch thương mại nào khâu cuối cùng ñể hoàn tất giao dịch là thanh toán TMðT nếu không có thanh toán ñiện tử (TTðT) sẽ không phải là TMðT theo ñúng nghĩa Do vậy trong phần tiếp theo của ñồ án sẽ ñề cập ñến vấn ñề này

1.2 TỔNG QUAN VỀ THANH TOÁN ðIỆN TỬ

Thanh toán ñiện tử (TTðT) là một trong những vấn ñề cốt yếu của TMðT Thiếu hạ tầng thành toán, chưa thể có thương mại ñiện tử theo ñúng nghĩa của nó

Những vấn ñề chính sẽ ñược ñề cập trong phần này:

- Khái niệm thanh toán ñiện tử

- Các hình thức thanh toán ñiện tử

- Những ưu thế và sự phát triển tất yếu của TTðT

- Lợi ích của thanh toán ñiện tử

- Các hệ thống thanh toán ñiện tử

- Các phương tiện thanh toán ñiện tử

Mục tiêu cuối của mọi giao dịch mua bán là người mua nhận ñược hàng và người bán nhận ñược tiền trả cho số hàng ñó Vì thế, thanh toán là một trong những khâu quan trọng nhất của của thương mại và TMðT không thể thiếu ñược thanh toán ñiện tử Với vai trò quan trọng như vậy, ñòi hỏi ñể phát triển TMðT, doanh nghiệp cũng như người dân cần có hiểu biết và sử dụng thành thạo các dịch vụ thanh toán hiện ñại Thanh toán ñiện tử hiện sử dụng rộng rãi các máy rút tiền tự ñộng (ATM), thẻ tín dụng các loại, thẻ mua hàng, thẻ thông minh

Quan ñiểm phổ biến hiện nay, thanh toán ñiện tử là các hình thức thanh toán tiến hành qua môi trường Internet Thông qua hệ thống thanh toán ñiện tử, người dùng Internet có thể tiến hành các hoạt ñộng thanh toán, chuyển tiền,…Tuy nhiên, hiểu theo nghĩa rộng thanh toán ñiện tử còn bao gồm nhiều hình thức thanh toán khác (xem phần 1.2.2)

1.2.2 Các hình thức thanh toán ñiện tử

Thanh toán ñiện tử ñược thực hiện dưới các hình thức:

Trao ñổi dữ liệu tài chính ñiện tử: ðây là phương thức thanh toán giữa các doanh nghiệp có quan hệ ñối tác thường xuyên, kết nối hệ thống với nhau trên cơ sở chuẩn trao ñổi dữ liệu ñiện tử (EDI) cho phép hai bên theo dõi giá trị các giao dịch ñược thực hiện và tiến hành quyết toán ñịnh kỳ theo hình thức bù trừ tài khoản ñối ứng Phương thức thanh toán này ñòi hỏi doanh nghiệp phải có một trình ñộ ứng dụng CNTT ở mức cao và một mô hình tổ chức kinh doanh tương ñối hoàn thiện

Thanh toán tại các ñiểm cung ứng dịch vụ: Phương thức này thường ñược thực hiện qua việc sử dụng các phương tiện thanh toán như thẻ tín dụng (credit card), thẻ ghi

nợ (debit card), thẻ nạp tiền trước (prepaid card), thẻ giữ tiền (stored value card) Khách hàng sử dụng các công cụ trên thực hiện việc thanh toán ngay tại các ñiểm cung ứng dịch vụ thanh toán như nhà hàng, siêu thị, trung tâm thương mại, hoặc các nơi công cộng khác có ñặt thiết bị hỗ trợ thanh toán (máy ñọc thẻ, máy ATM)

Thanh toán qua Internet (thanh toán trực tuyến): ðây là hình thức thanh toán linh hoạt, phù hợp với mọi ñối tượng khách hàng ðặc biệt các Website TMðT muốn cung cấp chức năng thanh toán tự ñộng cho khách hàng khi mua hàng trên site của mình thì cần phải sử dụng loại hình này

ðối với thanh toán ñiện tử qua Internet, nhìn tổng thể hạ tầng thanh toán sẽ có 2 phần: Hệ thống thanh toán ñiện tử và mạng thanh toán liên ngân hàng hay các mạng thanh toán thẻ ñược ñiều hành bởi một số tổ chức như Visa, MasterCard Hệ thống thanh toán ñiện tử cung cấp dịch vụ thanh toán cho người dùng Internet, từ Internet tiến hành thanh toán vào mạng riêng của ngân hàng Các hệ thống thanh toán ñiện tử ñóng vai trò như một cổng giao tiếp giữa Internet và mạng ngân hàng

Trong phạm vi ñồ án này, tác giả chỉ tập trung ñề cập ñến hình thức thanh toán ñiện

tử qua Internet (thanh toán trực tuyến)

1.2.3 Những ưu thế và sự phát triển tất yếu của TTðT

Thanh toán ñiện tử có nhiều ưu thế tuyệt ñối khi ñem so với thanh toán truyền thống:

Thanh toán ñiện tử không bị hạn chế bởi thời gian và không gian

Dưới góc ñộ của TMðT, hoạt ñộng thương mại không chỉ hạn chế trong phạm vi một ñịa bàn, một quốc gia mà ñược thực hiện với hệ thống thị trường hàng hóa - dịch

vụ, thị trường tại chính - tiền tệ ñược kết nối trên phạm vi toàn cầu, trong suốt 24/24 giờ trong ngày và 7 ngày/tuần Nhu cầu thanh toán cũng ñược ñáp ứng liên tục 24/24 giờ trong ngày trên phạm vi toàn cầu

Thanh toán với thời gian thực

Thanh toán ñiện tử ñược thực hiện qua mạng máy tính và viễn thông nên ñạt ñược tốc ñộ thanh toán rất nhanh có thể coi là thời gian thực (real time)

Nhờ những ưu thế tuyệt ñối nêu trên, thanh toán ñiện tử là xu thế tất yêu ñối với mọi quốc gia phát triền và kể cả các quốc gia ñang phát triển, nhằm phục vụ hoạt ñộng kinh

tế, kinh doanh trên phạm vi toàn cầu

1.2.4 Lợi ích của thanh toán ñiện tử

Tuy có nhiều hình thức thanh toán ñiện tử khác nhau, nhưng trong phạm vi ñồ án tốt nghiệp này tác giả không có tham vọng ñề cập hết các loại hình này mà chỉ tập trung vào loại hình thanh toán ñiện tử qua Internet bằng thẻ tín dụng bởi ñây là loại hình dễ nhất ñể áp dụng trực tuyến Cũng cần nói thêm rằng, giao thức thanh toán ñiện tử iKP ñược phát triển dựa trên mô hình thanh toán thẻ tín dụng, mặc dù IBM ñưa ra iKP với tham vọng có thể áp dụng cho mọi mô hình thanh toán thẻ hiện nay, nhưng ñích nhắm chính của iKP vẫn là mô hình thanh toán thẻ tín dụng

Người tiêu dùng và doanh nghiệp (nhà cung ứng hàng hóa dịch vụ) sẽ cùng có lợi khi chấp nhận thanh toán ñiện tử bằng thẻ tín dụng:

Thứ nhất: Thanh toán bằng thẻ tín dụng luôn tạo ñiều kiện thuận lợi cho khách hàng Không phải viết séc hay viết vào mẫu ñơn ñặt hàng, cho vào phong bì rồi gửi

ñi và cũng không cần phải gọi ñiện Khách hàng có thể ñặt hàng 24 tiếng một ngày,

7 ngày một tuần, chỉ cần dùng thẻ tín dụng, nhập số rồi nhấn chuột vào các biểu tượng là có thể hoàn tất việc thanh toán

Thứ hai: Thanh toán bằng thẻ tín dụng là hình thức thanh toán tốt nhất, có uy tín nhất hiện nay và nó chứng tỏ hoạt ñộng kinh doanh của doanh nghiệp mang tính chuyên nghiệp

Thứ ba: Khi chấp nhận thanh toán bằng thẻ tín dụng, khách hàng có thể ñặt hàng trước và thanh toán sau Từ khâu ñặt hàng cho ñến lúc sản phẩm ñóng gói, vận chuyển ñều ñược thực hiện nhanh chóng Nếu khách hàng ñặt hàng và thanh toán qua ñường bưu ñiện hoặc fax họ sẽ gửi séc rồi phải ñợi gia hạn séc và sau ñó mới gửi hàng Như vậy sẽ gây rất mất thời gian và bất tiện cho cả khách hàng lẫn doanh nghiệp

Thứ tư: Khi kinh doanh trên Internet, ñối tượng khách hàng của doanh nghiệp là toàn cầu, mà như ta ñã biết khách hàng ở các nước phát triển thường thanh toán bằng thẻ tín dụng khi mua hàng Do ñó việc doanh nghiệp không chấp nhận thanh toán bằng thẻ tín dụng cũng có nghĩa là ñã từ chối bán hàng Khách hàng sẽ không mua hàng khi họ thấy mua bán không thuận tiện bởi vì họ có thể dễ dàng tìm thấy nhà cung cấp khác ðiều này ñồng nghĩa với việc doanh nghiệp sẽ bỏ lỡ nhiều cơ hội kinh doanh

1.2.5 Các hệ thống thanh toán ñiện tử

Như ñã phân tích ở phần trên hạ tầng thanh toán ñiện tử nhìn tổng thể sẽ bao gồm hạ tầng mạng thanh toán của hệ thống ngân hàng, các tổ chức thẻ và hệ thống thanh toán ñiện tử qua Internet Hệ thống thanh toán ñiện tử qua Internet ñóng vai trò như một trung gian cung cấp giao diện thanh toán cho khách hàng (Buyer), Web site của doanh nghiệp (Seller) sử dụng ñể thực hiện giao dịch thanh toán vào mạng thanh toán của các ngân hàng hay tổ chức thẻ

Phạm vi của ñồ án này là hệ thống thanh toán ñiện tử qua Internet, tuy nhiên trước khi ñi sâu tìm hiểu về các hệ thống này trong phần 1.2.5.2, phần 1.2.5.1 sẽ trình bày sơ lược về hạ tầng mạng thanh toán của hệ thống các ngân hàng, tổ chức thẻ nhằm cung cấp cái nhìn tổng thể về hệ thống thanh toán ñiện tử

1.2.5.1 Hạ tầng mạng thanh toán của hệ thống các ngân hàng, tổ

chức thẻ

Bao gồm:

Hệ thống chuyển tiền ñiện tử trong cùng một ngân hàng: loại hệ thống này còn gọi

là hệ thống thanh toán ñiện tử nội bộ Thực chất ñây là hệ thống chuyển vốn giữa các chi nhánh trong nội bộ một ngân hàng

Hệ thống thanh toán ñiện tử ña ngân hàng: là hệ thống thanh toán giữa hai hay nhiều ngân hàng thương mại (NHTM) hay chi nhánh NHTM trong và ngoài hệ thống, trên cùng ñịa bàn hoặc khác ñịa bàn

Hệ thống thanh toán ñiện tử liên ngân hàng: là hệ thống giữa hai hay nhiều ngân hàng bao gồm hai phân hệ là thanh toán bù trừ ñiện tử cho các khoản thanh toán giá trị thấp và thanh toán tổng tức thời cho các khoản thanh toán giá trị cao hoặc thanh toán khẩn

1.2.5.2 Hệ thống thanh toán ñiện tử qua Internet

Thanh toán ñiện tử qua Internet ñược thể hiện dưới một số loại hình: dịch vụ ngân hàng ñiện tử qua Internet (E-Banking) và hệ thống thanh toán ñiện tử qua Internet cung cấp giao diện thanh toán cho các Web site TMðT, từ ñó khách hàng khi duyệt hàng trên những Web site này có thể thực hiện thanh toán ngay trên Web site cho những món hàng mình mua Ưu ñiểm của hệ thống thanh toán ñiện tử qua Internet là khách hàng có thể thanh toán trực tiếp ngay trên Web site bán hàng thay vì phải truy cập vào Web site của ngân hàng ñể thanh toán ðể thuận tiện, bắt ñầu từ ñây cho ñến kết thúc tài liệu này cụm từ “hệ thống thanh toán qua internet” sẽ ñược viết gọn là “hệ thống thanh toán ñiện tử”

Quá trình giao dịch thanh toán ñiện tử

Hình 1.3: Quá trình giao dịch thanh toán ñiện tử

Các hệ thống thanh toán ñiện tử sử dụng thẻ tín dụng

Secure Electronic Transactions (SET):

SET là một giao thức chuẩn công nghiệp ñảm bảo sự an toàn cho các giao dịch tài chính (sử dụng thẻ tín dụng) qua Internet SET ñược phát triển bởi Visa International, Master Card, Netscape và Microsoft, IBM và ñược chính thức ñưa ra vào năm 1996, nó

kế thừa nhiều ñiểm từ giao thức iKP ñược ñề xuất bởi IBM

Hình 1.4: Các bên tham gia trong hệ thống SET

Trong giao thức SET, có 4 bên tham gia: người chủ sở hữu thẻ (buyer), doanh nghiệp (seller, merchant), cơ quan chứng thực (CA - Certificate Authority), và cổng thanh toán (payment gate)

SET ẩn ñi ñược các thông tin nhạy cảm như thông tin thẻ tín dụng của buyer khỏi seller

SET cho phép xác ñịnh ñịnh danh của khách hàng (Buyer Authentication) Trong hoạt ñộng của SET, mỗi buyer có một ví ñiện tử (electronic wallet) lưu trữ các thông tin tài khoản và kiêm chức năng mã hóa thông tin giao dịch

Về ñộ phức tạp thì SET ñược ñánh giá là giao thức phức tạp nhất

Secure Socket Layer (SSL):

SSL là một chuẩn mở ñược sử dụng ñể thiết lập kênh truyền thông bảo mật nhằm ngăn chặn sự dò rỉ các thông tin nhạy cảm, như số thẻ tín dụng, thông tin ñịnh danh cá nhân khi những thông tin này ñược truyền ñi trên Internet Ứng dụng chính của SSL là

nó cho phép bảo mật các giao dịch tài chính ñiện tử trên World Wide Web, mặc dù nó ñược thiết kế ñể có thể làm việc trên nhiều dịch vụ Internet khác nhau

Hệ thống thanh toán ñiện tử triển khai theo SSL ñảm bảo rằng các thông tin nhạy cảm của buyer ñược bảo vệ khi ñược truyền trên kênh truyền giữa buyer và seller Tuy nhiên những thông tin này luôn ñược nhìn thấy bởi seller trước khi chúng ñược truyền ñến cổng thanh toán (payment gate) của hệ thống ngân hàng, do vậy nếu có một kẻ gian nào ñó thiết lập một gian hàng giả hay tấn công vào các Web site hợp pháp ñể chuyển hướng các thông tin giao dịch với những Web site này ñến ñịa chỉ ñã ñược ñịnh trước thì kẻ gian ñó sẽ có thể ñọc ñược các thông tin nhạy cảm của buyer

Phiên bản mới nhất của SSL hiên nay ñược ñổi tên thành Transport Layer Security (TLS)

Về ñộ phức tạp thì SSL ñược ñánh giá là giao thức ñơn giản nhất, nó không yêu cầu bất cứ ñiều gì ñối với buyer khi sử dụng

Hệ thống thanh toán cho các giao dịch thanh toán nhỏ: iKP

Hệ thống thanh toán dựa trên họ giao thức iKP tương tự như hệ thống SET, tuy nhiên iKP ñơn giản hơn iKP bao gồm ba giao thức 1KP, 2KP, 3KP ñộ phức tạp cũng tăng theo tương ứng iKP cung ñáp ứng ñược ñầy ñủ các yêu cầu bảo mật mà thực tế ñòi hỏi cho một hệ thống thanh toán ñiện tử Tuy theo mức ñộ bảo mật yêu cầu mà có thể triển khai hệ thống thanh toán theo giao thức ñơn giản nhất 1KP hay 2KP cung cấp thêm khả năng xác thực seller hay 3KP là giao thức phức tạp nhất nó mạnh hơn 2KP ở ñiểm có khả năng xác thực cả buyer

Họ giao thức iKP ñược thiết kế ñể tương thích với hạ tầng thanh toán ñang tồn tại của hệ thống mạng tài chính có nghĩa là nó hoạt ñộng ñộc lập với mạng tài chính và giao tiếp với mạng này thông qua một giao diện gọi là cổng thanh toán (payment gate)

Ngoài ra iKP còn có thể triển khai cùng với SSL ñể tăng cương ñộ án toàn cho hệ thống

1.2.6 Các phương tiện thanh toán ñiện tử

1.2.6.1 Các loại thẻ

a Thẻ thanh toán: Là một phương tiện thanh toán không sử dụng tiền mặt, mà người chủ sở hửu thẻ có thể sử dụng ñể rút tiền mặt tại các máy ATM, các quầy dịch vụ của ngân hàng, ñồng thời có thể sử dụng thẻ ñể thanh toán tiền hàng hóa dịch vụ tại các cơ sở chấp nhận thẻ (có máy ñọc thẻ)

b Thẻ tín dụng (Credit Card): Thẻ tín dụng (Credit Card) thực chất là bằng chứng của một mối quan hệ vay nợ giữa người cầm thẻ (Cardholder) và ngân hàng Ngân hàng ñồng ý cho Cardholder vay tiền ñến một mức tối ña nào ñó (gọi là credit limit), thường là khoảng 2 lần thu nhập hàng tháng của Cardholder Tất cả các khoản thanh toán mà Cardholder thực hiện sẽ ñược ghi nợ (debit) vào tài khoản của Cardholder tại ngân hàng ðến một ngày nhất ñịnh mỗi tháng, ngân hàng sẽ gửi thông báo ñến cho Cardholder, thống kê tổng số tiền ñã chi trong tháng trước ñó Cardholder có thể chọn thanh toán toàn bộ số tiền trước thời hạn ghi trong thông báo, khi ñó Cardholder không phải trả lãi Nếu không Cardholder có thể trả số tiền tối thiểu, thường là khoảng 5% số tiền nợ, phần còn lại có thể trả dần, tất nhiên là ngân hàng sẽ tính lãi, thường là từ 12% ñến 24% một năm, tiền lãi tính từng ngày

Thẻ tín dụng là phương tiện thanh toán thuận tiện và ñược sử dụng rộng rãi nhất trong thanh toán hiện này, ñặc biệt nó dễ dàng ñược áp dụng cho thanh toán ñiện tử

c Thẻ ghi nợ (Debit Card): Thẻ ghi cũng giống như thẻ tín dụng, chỉ khác là với debit card thì không có quan hệ vay nợ Tiền ñược nạp trước vào tài khoản debit card Khi quá trình giao dịch thanh toán ñược thực hiện bằng thẻ debit card, tiền trong tài khoản của người mua ngay lập tức sẽ ñược rút ra sau khi giao dịch ñược ấn ñịnh Với người bán, họ có thể biết chắc chắn hơn người mua có tiền ñể mua hàng thực sự hay không Còn với người mua, việc thanh toán sẽ ñược thực hiện ngay lập tức cho từng giao dịch, vì cậy họ sẽ tránh ñược cú sốc thấu chi thẻ tín dụng khi ngân hàng gửi các bản kê ñến

Hiện nay, hầu hết các thẻ ghi nợ ñều có biểu tượng của Visa hay MasterCard

1.2.6.2 Séc trực tuyến

“Séc trực tuyến” hay còn gọi là “séc ñiện tử” thực chất là một loại “séc ảo”, cho phép người mua thanh toán bằng séc qua mạng Internet Người mua sẽ ñiền vào form (giống như một quyển séc ñược hiển thị trên màn hình) các thông tin về ngân hàng, ngày giao dịch và trị giá của giao dịch, sau ñó nhấn nút “Send” ñể gửi ñi

1.3 THỰC TRẠNG ỨNG DỤNG THANH TOÁN ðIỆN TỬ Ở VIỆT NAM TMðT và TTðT ở nước ta ñã có những bước phát triển mới nhưng vẫn còn rất nhiều vấn ñề bất cập gây cản trở ñến sự phát triển này

1.3.1 Tình hình ứng dụng thương mại ñiện tử và thanh toán ñiện tử ở Việt Nam

1.3.1.1 Các ñiều kiện cho ứng dụng TMðT và TTðT ở Việt Nam

1.3.1.1.1.Hạ tầng cơ sở pháp lý và xã hội

Môi trường pháp lý là cơ sở quan trọng bảo vệ bản quyền và lợi ích của mọi chủ thể tham gia TMðT và là cơ sở bảo vệ cho sự phát triển ổn ñịnh, bền vững từ ñó tạo ra hiệu quả của hoạt ñộng TMðT và TTðT Do vậy ñể tạo ñiều kiện cho sự phát triển TMðT ở bất cứ quốc gia nào cũng cần phải hình thành một khung pháp lý cho TMðT, pháp luật về thanh toán ñiện tử ñủ mạnh ñể bao quát ñược mọi vấn ñề của TMðT, TTðT trong quá trình phát triển

Về mặt xã hội, ñể tạo ñiều kiện cho TMðT phát triển thì người dân và doanh nghiệp cũng cần làm quen và ứng dụng linh hoạt các phương thức mua bán, thanh toán, kinh doanh hiện ñại như việc mua bán gián tiếp qua mạng, thanh toán qua hệ thống thanh toán ñiện tử tự ñộng, doanh nghiệp tạo ñược những mối quan hệ ñối tác tin cậy

1.3.1.1.2.Hạ tầng cơ sở kỹ thuật công nghệ

Bao gồm:

Hạ tầng công nghệ thông tin: trang thiết bị phần cứng, công nghệ phần mềm, dịch

vụ công nghệ thông tin

Hạ tầng viễn thông: mạng viễn thông trong nước và cổng kết nối ra quốc tế, công nghệ ñược sử dụng

Hạ tầng Internet: thị trường dịch vụ Internet

Tất cả phải cùng phát triển ñề ñáp ứng cho sự phát triển TMðT

1.3.1.1.3.Hạ tầng bảo mật cho thanh toán ñiện tử

Dữ liệu giao dịch TMðT cần ñược bảo vệ, các bên tham gia giao dich cần phải có ñịnh danh số,… do vậy TMðT, TTðT cần phải hoạt ñộng trên một nền hạ tầng bảo mật ñủ mạnh Hạ tầng bảo mật bao gồm các vấn ñề như mật mã, mã hóa, chữ ký số, chứng thực số

1.3.1.2 Thực trạng ứng dụng TMðT ở Việt Nam

Mặc dù Việt Nam ñã kết nối ra Internet từ năm 1997 nhưng TMðT vẫn chưa thực

sự phát triển Tính ñến năm 2005 thì tình hình phát triển TMðT tại Việt Nam có thể tóm tắt lại thành một vài ñiểm như sau

Về phía các doanh nghiệp:Số lượng doanh tham gia TMðT còn thấp Số doanh nghiệp có cơ cấu hợp lý ñể phục vụ việc triển khai dự án TMðT hiện tại và tương lai của ñơn vị mình còn thấp Những doanh nghiệp có ứng dụng TMðT thì phần lớn vẫn còn ở mức sơ khai

Về phía nhà nước:Nhà nước chưa thừa nhận giá trị pháp lý ñối với các giao dịch sử dụng phương tiện ñiện tử và các quy ñịnh liên quan ñến bảo mật, thanh toán, chữ ký ñiện tử, chứng thực ñiện tử,…

Việc ký hợp ñồng ñiện tử và thanh toán trực tuyến trong giao dịch thương mại chưa thực hiện ñược do thiếu môi trường pháp lý thích hợp và các cơ sở hạ tầng CNTT và viễn thông cần thiết

Về mặt xã hội: Tập quán kinh doanh và tâm lý tiêu dùng tại Việt Nam chưa hoàn toàn thuận lợi cho ứng dụng của TMðT Người dân chưa quen với phương thức mua hàng gián tiếp, doanh nghiệp cũng chưa xây dựng ñược những mối quan hệ ñối tác ñủ tin cậy ñể ñưa phương thức B2B vào áp dụng cho các giao dịch TMðT thường xuyên

1.3.2 Tính cấp bách của việc xây dựng hạ tầng bảo mật cho thanh

toán ñiện tử và hệ thống thanh toán ñiện tử

Những nguyên nhân dẫn ñến tình trạng kém phát triển TMðT tại nước ta có rất nhiều, dưới ñây là những nguyên nhân chính

Chúng ta thiếu hẳn một hạ tầng pháp lý ñủ mạnh hỗ trợ cho sự phát triển TMðT, ñặc biệt là khung pháp lý cho thanh toán ñiện tử chưa ñược hình thành do vậy các giao dịch TMðT chưa thực sự ñược công nhận về mặt pháp lý Về hạ tầng kỹ thuật, hiện nước ta vẫn chưa có một hạ tầng bảo mật, chứng thực số và hạ tầng thanh toán ñiện tử ñáp ứng ñược nhu cầu thực tế tuy ñã có một số công ty như VDC, VASC ñã ñưa ra hệ thống cung cấp chứng thực số (CA) và công thanh toán (Payment Gate) của họ triển khai ứng dụng cho một số doanh nghiệp Tuy nhiên những hệ thống này có tầm hoạt ñộng không lớn chưa mang tầm quốc gia

Từ những phân tích ở trên ta thấy rằng về mặt kỹ thuật vấn ñề mấu chốt ñể ñưa TMðT ở nước ta phát triển lên một tầm cao mới là cần phải phát triển ngay hạ tầng bảo mật, chứng thực số, chữ ký số, hệ thống thanh toán ñiện tử mang tầm vĩ mô Cụ thể chúng ta cần có một hệ thống CA cấp quốc gia cung cấp chứng thực số cho các cơ quan, tổ chức, doanh nghiệp, người dân có nhu cầu và một hệ thống thanh toán ñiện tử

ñủ mạnh và linh hoạt có thể triển khai ngay trên diện rộng

Nhận thức ñược sự cấp bách ñối với TMðT ở Viêt Nam là phải có ngay một hệ thống CA và hệ thống thanh toán ñiện tử, nên tác giả ñồ án ñã lựa chọn ñề tài này làm

ñề tài tốt nghiệp của mình

Cụ thể trong ñồ án này, nhóm tác giả sẽ xây dựng các hệ thống:

Hệ thống thanh toán ñiện tử ứng dụng cho thanh toán ñiện tử trên Internet: Hệ thống ñược xây dựng dựa trên giao thức iKP của IBM Sinh viên Nguyễn Thế Anh là người chịu trách nhiệm chính phát triển hệ thống này

Hệ thống cung cấp chứng thực số (CA - Certificate Authority): Sinh viên Lê Thanh Hải là người chịu trách nhiệm chính phát triển hệ thống này

Kết chương

Chương 1 tác giả ñã trình bày các lý thuyết tổng quan về thương mại ñiện tử, thanh toán ñiện tử, hệ thống thanh toán ñiện tử Trước khi phân tích sâu về mặt giao thức và trình bày thiết kế hệ thống trong các chương 4, 5, 6 Chương 2, 3 sẽ trình bày tổng quan về các kỹ thuật mật mã và lý thuyết về hệ thống cung cấp chứng thực số (certificate authority)

CHƯƠNG II: TỔNG QUAN VỀ CÁC KỸ THUẬT MẬT MÃ

ðược trình bày trong tập ñồ án của sinh viên Lê Thanh Hải

CHƯƠNG III: LÝ THUYẾT CERTIFICATE AUTHORITY

ðược trình bày trong tập ñồ án của sinh viên Lê Thanh Hải

CHƯƠNG IV: HỌ GIAO THỨC THANH TOÁN iKP

4.1 GIỚI THIỆU

Trong phần này người viết ñồ án sẽ trình bày về một họ giao thức thanh toán ñiện tử

an toàn iKP (i-Key-Protocol, i = 1,2,3 ) Những giao thức này tương thích với các mô hình thành toán thẻ và hạ tầng của các hệ thống thanh toán hiện ñang ñược sử dụng Trong các giao thức này bao gồm có ba bên tham gia (party):

Buyer: người thự hiện các yêu cầu thanh toán thực sự;

Merchant (Seller): người sẽ nhận yêu cầu thanh toán;

Acquirer: ñóng vai trò trung gian cung cấp giao diện hay còn gọi là cổng thanh toán (payment gate) ñể truy nhập vào mạng thanh toán ñộc quyền của hệ thống ngân hàng ñể xác thực thanh toán (mạng tài chính)

Trong khuôn khổ của chương này, tác giả ñồ án tập trung trình bày về áp dụng họ giao thức iKP vào mô hình thanh toán sử dụng thẻ tín dụng bởi thẻ tín dụng ñã và sẽ tiếp tục trở nên thông dụng nhất trong tương lai gần Tuy nhiên, các mô hình thanh toán khác (như debit card) cũng tương tự mô hình thẻ tín dụng nhìn theo quan ñiểm kỹ thuật và bảo mật, vì vậy chúng dễ dàng ñược hỗ trợ bởi iKP

Tất cả các giao thức iKP ñều dựa trên các kỹ thuật mật mã khóa công khai, nhưng giữa chúng có sự khác nhau ở số bên tham gia có sở hữu cặp khóa (public key/ private key) và vì vậy những bên ñó có thể sinh chữ ký số Giá trị này ñược phản ánh trong tên của giao thức: 1KP, 2KP, 3KP Mức ñộ an toàn và phức tạp của iKP tăng lên khi số bên tham gia có sở hữu cặp khóa tăng lên (i tăng)

Giao thức ñơn giản nhất, 1KP, chỉ yêu cầu một bên là Acquirer phải sở hữu một cặp khóa (public key và private key) Buyer, Merchant (Seller) chỉ cần có các bản sao public-key (khóa công khai) ñáng tin của ñúng Acquirer Giao thức này yêu cầu một hạ tầng khóa công khai (PKI) tối thiểu ñể cung cấp certificate cho một số nhỏ thực thể, là các Acquirers Kiểu PKI này có thể ñược ñiều hành bởi một công ty thẻ tin dụng lớn Trong thiết kế của 1KP, Buyer ñược xác thực căn cứ vào mã số thẻ tín dụng và mã PIN

bí mật Các thanh toán ñược xác thực bằng việc truyền ñi mã số thẻ tín dụng và mã PIN

ñã ñược mã hóa sử dụng khóa công khai của Acquirer, cùng với thông tin giao dịch thích hợp (số lượng hàng mua, các số ñịnh danh, vv…) ðiều này giúp tránh các Merchant giả mạo thu thập mã số thẻ tín dụng và thực hiện các yêu cầu thanh toán giả mạo 1KP không cung cấp chức năng “chống chối bỏ trách nhiệm” (non-repudiation) ñối với các thông ñiệp ñược gửi ñi bởi Buyer và Merchant ðiều này dẫn ñến việc tranh cãi về tính xác thực của các ñơn hàng thành toán là không rõ ràng

2KP yêu cầu các Merchant, cũng phải có một cặp khóa public key/ private key và certificate Do vậy giao thức này có thể cung cấp chức năng “chống chối bỏ trách nhiệm” ñối với các thông ñiệp ñược tạo ra bởi Merchant Ngoài ra 2KP còn cho phép

các Buyer xác minh ñược rằng họ ñang giao dịch với Merchant hợp pháp bằng cách kiểm tra certificate của các Merchants này, mà không cần bất cứ sự liên lạc trực tuyến nào với một bên thứ ba Giống như 1KP, các yêu cầu thanh toán của buyer ñược xác thực qua mã số thẻ và mã PIN của thẻ tín dụng - những thông tin này ñược buyer mã hóa trước khi truyền ñi

3KP yêu cầu cả các Buyers cũng cần phải có một cặp khóa public key/ private key

và một certificate, vì vậy tất cả ba bên tham gia giao dịch ñều không thể chối bỏ trách nhiệm ñối với những thông ñiệp gửi ñi của mình Các yêu cầu thanh toán ñược xác thực bằng việc kết hợp cả mã số thẻ tín dụng, mã số PIN và chữ ký số của Buyer ðiều này làm cho việc giả mạo các yêu cầu thanh toán là không thể Thêm vào ñó, 3KP còn cho phép các Merchant xác thực Buyer trực tuyến Tất cả những ñiều này ñòi hỏi cần phải có một hạ tầng khóa công khai bao trùm tất cả các bên tham gia (buyer, merchant, acquirer)

Lý do chính của việc thiết kế ra tới 3 biến thể iKP này là nhằm cho phép triển khai

hệ thống từng bước: 1KP chỉ yêu cầu một hạ tầng khóa công khai tối thiểu và phù hợp cho việc triển khai ngay lập tức tại thời ñiểm nó ñược ñề xuất (ñầu năm 1995) 2KP yêu cầu một PKI bao trùm cả các Merchants, còn 3KP thì yêu cầu PKI phải bao trùm

cả các Buyers

Tất cả các giao thức iKP có thể ñược thực hiện trên phần mềm hoặc phần cứng Trong thực thế, ñối với 1KP và 2KP, thì Buyer không cần phải có một thiết bị thanh toán cá nhân, chỉ yêu cầu mã số thẻ tín dụng và mã số PIN phải ñược nhập vào ñể thực hiện thanh toán Tuy nhiên, với mục ñích nâng cao ñộ an toàn, người ta dùng một thiết

bị tamper-resistant ñể bảo vệ mã số PIN và – trong trường hợp 3KP - thì bảo vệ cả khóa bí mật (secret key) của Buyer

Các giao thức iKP không thực hiện mã hóa các thông tin ñơn hàng Sự bảo vệ các thông tin này ñược cung cấp bởi các cơ chế khác, chẳng hạn SSL, IPSec

Phần còn lại của chương này ñược tổ chức như sau: Phần 4.2 trình bày về lịch sử hình thành của iKP và sự liên quan của nó với chuẩn thanh toán thẻ tin dụng hiện tại, SET Những vai trò khác nhau của – Buyer, Merchant, Acquirer ñược trình bày ở phần 4.3 Các yêu cầu bảo mật ñối với các bên tham gia ñược phân tích ở phần 4.4 Họ giao thức iKP ñược trình bày chi tiết ở phần 4.5

4.2 LỊCH SỬ HÌNH THÀNH

iKP ñược phát triển vào ñầu năm 1995 bởi một nhóm các nhà nghiên cứu tại viện nghiên cứu IBM Research Labs ở Yorktown Heights và Zürich Mục ñích chính là tạo

ra một chuẩn công nghiệp mở cho các hệ thống thanh toán nhỏ (Micropayment) Thiết

kế của iKP ñã ñược trình bày tại cuộc họp của Internet Task Force mùa hè năm 1995 Sau ñó iKP ñã ñược hợp nhất với “Secure Electronic Payments Protocols (SEPP),” một kết quả chuẩn hóa của IBM, MasterCard, Europay và Netscape SEPP là một

ñiểm khởi ñầu quan trọng của “Secure Electronic Payment (SET)”, chuẩn chung của VISA/MasterCard cho thanh toán thẻ tín dụng Thực tế, SET vẫn giữ lại nhiều tính năng giống iKP

Các tổ tiên quan trọng khác của SET là “CyberCash Credit Card Protocol” của CyberCash, và “Secure Transaction Techonology (STT)” của Microsoft và VISA

Từ năm 1994 ñến 1996 vô số các giao thức thanh toán dành cho ñủ các kiểu mô hình thành toán ñã ñược ñề xuất Sự khác nhau quan trọng giữa iKP và phần lớn các ñề xuất kia là iKP không chỉ là một bản thiết kế giấy: “Zürich iKP Prototype (ZiP)” là một nguyên mẫu hoạt ñộng hoàn thiện của 2KP và 3KP Mặc dù nó không trở thành sản phầm thương mại, ZiP ñã triển khai thành công cho một số doanh nghiệp ở Châu Âu và Nhật vào năm 1996

Một sự khác biệt quan trọng khác giữa iKP và các giao thức thanh toán thẻ tín dụng khác là ở tính ñơn giản, tính module của nó iKP ñược thiết kế từ một tập nhỏ các yêu cầu bảo mật (xem phần 4.4)

Hiện nay có hai hướng tiếp cận cho thanh toán thẻ tín dụng an toàn qua Internet: SET và mã hóa dữ liệu thẻ tín dụng bằng SSL hoặc kẻ nối ngôi của nó là TLS

SET và tổ tiên của nó là iKP (cụ thể là 3KP), có rất nhiều ñiểm tương tự nhau Sự khác biệt chính là ở chức năng tổng thể và ñộ phức tạp của chúng: iKP ñược thiết kế như là một giao thức hạng nhẹ chỉ cung cấp chức năng thanh toán lõi (core payment),

và vì vậy nó ñủ ñơn giản ñể hiểu và phân tích SET thì ñược thiết kế ñể hỗ trợ tất cả vấn ñề ñang tồn tại trong hoạt ñộng thanh toán thẻ tín dụng ngày nay và vì vậy nó mạnh mẽ hơn iKP, nhưng cũng sẽ khó khăn hơn ñể phân tích, thực thi và triển khai SSL hiện ñang là một chuẩn thực tế ñể bảo mật truyền thông client-server trên Web;

nó ñược tích hợp trong tất cả các web browser và server SSL sử dụng mã hóa khóa công khai, giống như SET và iKP, nhưng chỉ có các server (tức là merchants) là có sở hữu các certificates trong khi các clients (tức là buyers) thì ẩn danh Tuy nhiên, mã hóa các thông tin nhạy cảm như thông tin thẻ tín dụng với SSL thì tốt hơn là gửi chúng ñi dưới dạng text thông thường, nhưng lại làm cho vấn ñề an toàn thanh toán bị giới hạn:

- ðối với Acquirer, việc sử dụng SSL sẽ trở thành hoàn toàn trong suốt – không

có thông ñiệp nào ñược ký – và vì vậy các merchants không có ñược bất kỳ một

sự bảo ñảm nào

- SSL không giấu ñi mã số thẻ tín dụng và mã PIN của buyer ñối với merchant

Vì vậy, nó không thể ñược sử dụng cho việc xác nhận buyer căn cứ vào mã PIN

- Không giống như SET và iKP, SSL không yêu cầu bất cứ một hạ tầng khóa

công khai nào Vì vậy, nó không ñảm bảo rằng một buyer có thể kiểm tra ñược certificate của merchant, và ngay cả khi kiểm tra ñược thì cũng không rõ ràng Trong SET, một hạ tầng khóa công khai ñặc biệt có thể ñược quản lý bởi các tổ chức thẻ tin dụng (credit card organizations)

- Trong SSL, các merchants và acquirers cần có những cơ chế bổ sung ñể truyền

thông tin thẻ tín dụng và xác thực iKP và SET thì ngược lại, nó cung cấp giải pháp chọn vẹn và ñã ñược xây dựng sẵn bên trong giao thức

Phần lớn các hệ thống thanh toán không phải theo mô hình credit card hay debit card, ñang tồn tại, mỗi mô hình yêu cầu các giao thức theo kiểu riêng của nó, có nghĩa

là ta không thể mong ñợi rằng iKP có thể áp dụng cho tất cả các mô hình thanh toán khác biệt nhiều với mô hình credit card và debit card

4.3 MÔ HÌNH THANH TOÁN iKP

4.3.1 Khái niệm Party:

Tất cả các giao thức iKP ñều dựa trên nền tảng các hệ thống thanh toán thẻ tín dụng ñang tồn tại Các Party (bên tham gia) trong hệ thống này ñược thể hiện như trong hình 4.1

Hình 4.1 – Mô hình tổng quan hệ thống thanh toán

Các giao thức iKP chỉ liên quan ñến các giao dịch thanh toán (các ñường liền nét trong hình 4.1), và vì vậy chúng chỉ bao gồm ba bên tham gia, lần lượt là: B – Buyer (người mua), S – Seller (nguời bán), A – Acquirer (gateway) Atrong giao thức không phải là Acquirer thực theo nghĩa tài chính, mà là một giao diện hay còn gọi là cổng thanh toán có chức năng làm cầu nối (giao diện) liên kết hệ thống thanh toán iKP với mạng thanh toán tài chính (clearing/authorization network) ñang hoạt ñộng

Hệ thống thanh toán như trên ñược ñiều hành bởi một nhà cung cấp hệ thống thanh toán (payment system provider) có mối quan hệ thương mại chặt chẽ với một số ngân hàng Các ngân hàng hoạt ñộng như là những nhà phát hành thẻ tín dụng (issuer) cho các buyers, và/hoặc như là những người nhận (acquirer) biên bản yêu cầu thanh toán từ

các merchant (seller) Mỗi issuer thì có một số Bank Identification Number (BIN), nó ñược gán khi issurer ñăng kí với một payment system provider Số BIN ñược khắc nỗi trên các credit card, nó là một trong những phần tạo nên mã số thẻ (credit card number) Mã số BIN cũng xác ñịnh ñược payment system provider là ai

Mỗi buyer nhận thẻ tín dụng của mình từ một issuer, và ñược gán (hoặc lựa chọn) một mã số PIN tùy chọn - rất phổ biến trong các hệ thống thẻ tín dụng hiện tại Trong giao thức 1KP và 2KP, các thanh toán chỉ ñược xác thực căn cứ vào credit card number,

mã số PIN (cả hai ñều ñược mã hóa), trong khi ñó, trong 3KP, còn sử dụng thêm một chữ ký số của buyer

Theo ngữ cảnh của thanh toán ñiện tử thì buyer sẽ sử dụng một máy tính ñể chạy giao thức thanh toán Máy tính này phải nhận ñược mã số PIN và/hoặc khóa bí mật (secret key) của buyer, do vậy nó phải là một thiết bị ñáng tin cậy Tuy nhiên, thực tế thì máy tính của buyer có thể có ñiểm yếu dễ bị khai thác: nó có thể ñược sử dụng bởi nhiều người và cũng có thể ñang tồn tại một Trojan horse hay một Virus - chúng có thể ñánh cắp các thông tin nhạy cảm của buyer Thiết bị thanh toán tốt nhất nên là một thiết bị chỉ dành riêng cho cá nhân, chẳng hạn tamper-resistant smartcard, ñược kết nối ñến máy tính thông qua một smartcard reader Về mặt kỹ thuật, thì 1KP và 2KP có thể ñược sử dụng với bất kỳ loại thiết bị thanh toán nào, trong khi 3KP thì ñòi hỏi các buyer cần có thiết bị cá nhân ñảm bảo an toàn ñể lưu trữ khóa bí mật (secret keys) và các certificates của họ

ðể hoạt ñộng, một Seller cần phải ñăng ký với nhà cung cấp hệ thống thanh toán (payment system provider) và với một ngân hàng nhận thanh toán (acquirer), ñể ñược chấp nhận tiền gửi vào (deposits) Giống như buyer, một seller cũng cần phải có một thiết bị ñảm bảo an toàn ñể lưu trữ secret key của mình và thực hiện giao thức thanh toán

Việc chuyển khoản (clearing) giữa acquirer và issuer ñược thực hiện thông qua mạng tài chính nối liên ngân hàng

4.3.2 Khóa công khai và chứng thực số

Vì tất cả các giao thức iKP ñều dựa trên mã hóa khóa công khai, nên cần có một cơ chế ñể xác thực các khóa công khai (public keys) Cơ chế này ñược cung cấp bởi một certification authority, CA CA này có một secret key, SKCA Thành phần public của nó

là, PKCA, ñược biết bởi tất cả các Party khác CA sẽ chứng thực một khóa công khai của bên X nào ñó bằng cách ký cặp (X, PKX) bao gồm số ñịnh danh của X và public key của X (chữ ký ñược tính toán sử dụng SKCA)

ðể ñơn giản, trong tài liệu này xem như hạ tầng khóa công khai chỉ có một certification authority Tuy nhiên có thể dễ ràng mở rộng giao thức ñể hỗ trợ nhiều CA, chẳng hạn như payment system provider là CA mức ñỉnh phát hành certificate cho các

issuer và acquirer của nó trong khi issuer và acquirer lại phát hành certificate tương ứng cho các buyers và sellers của chúng

Trong tất cả các giao thức iKP, mỗi Acquirer ñều có một khóa bí mật SKA , ñược dùng ñể ký và giải mã Phần công khai của nó, PKA, ñược dùng ñể xác minh chữ ký và

mã hóa - PKA cùng với certificate của CA ñược giữ bởi mỗi seller mà CA ñã ủy nhiệm Trong hoạt ñộng, các Acuirers nhận mã số thẻ tín dụng và mã PIN của các Buyer, và ñảm bảo rằng những thông tin này ñược giữ bí mật

Mỗi Seller trong giao thức 2KP/3KP và mỗi Buyer trong giao thức 3KP, có một cặp khóa secret key/public key Các public keys thì ñược chứa trong các certificates ñược phát hành bởi CA Các certificates này cũng cho phép nhận dạng kiểu của mỗi Party (seller, buyer, acquirer)

4.3.3 Kẻ gian và những mối ñe dọa

Có ba loại kẻ gian thường thấy:

- Eavesdropper: lắng nghe các thông ñiệp và cố gắng tìm ra những dữ liệu nhạy

cảm ñược bảo vệ (ví dụ, mã số thẻ tín dụng, mã số PIN)

- Active attacker: gửi ñi các thông ñiệp giả mạo nhằm cố gắng gây ra những xử

lý sai của hệ thống (ví dụ, gửi hàng ñến cho kẻ gian thay vì phải gửi ñến cho buyer)

- Insder: có thể là một Party hợp pháp hoặc một kẻ nào ñó có ñược các dữ liệu

mật của Party ñó

Trước khi nghiên cứu sâu các yêu cầu bảo mật ở phần tiếp theo, một số mối ñe dọa

và kiểu tấn công sẽ ñược ñề cập trước

Internet là mạng phi tập trung và hỗn tạp, không có bất cứ một sự sở hữu riêng về tài nguyên và chức năng mạng ðặc biệt không thể loại bỏ khả năng rằng các thông ñiệp ñược trao ñổi giữa các Party hợp pháp có thể sẽ ñi qua một máy tính của kẻ gian Hơn nữa các cơ chế routing trong Internet không ñược thiết kế ñể bảo vệ lại trước những cuộc tấn công nguy hiểm Vì vậy, không có gì ñảm bảo rằng có sự bảo mật và xác thực cho các thông ñiệp ñược gửi qua Internet, trừ khi có cơ chế mã hóa phù hợp ñược triển khai Vì vậy, ít nhất các thông tin nhạy cảm như mã số thẻ tín dụng và mã PIN, nhất thiết không ñược gửi ñi dưới dạng text thông thường

Ngoài ra, còn cần phải quan tâm ñến sự ñáng tin của các Seller ñang cung cấp dịch

vụ trên Internet Kiểu kinh doanh thường thấy trên Internet bao gồm có cái ñược gọi là cottage industry (công nhiệp nhà tranh) - các sellers quy mô nhỏ Do vậy rất dễ ràng cho kẻ gian thiết lập một shop giả mạo ñể lấy thông tin về thẻ tín dụng của các Buyer

Vì vậy thông tin thẻ tín dụng ñược gửi từ Buyer ñến Acquirer không ñược ñể lộ cho Seller biết

Một kiểu tấn công nguy hiển nữa là kẻ gian có thể tấn công trực tiếp vào hệ thống máy tính của Acquirer thông qua kết nối Internet Vì vậy các máy tính này phải ñược bảo vệ hết sức cẩn thận; như giới hạn kết nối Internet bằng việc sử dụng các công nghệ firewall cao cấp

4.4 CÁC YÊU CẦU BẢO MẬT

ðể cung cấp sự an toàn cho giao dịch thanh toán Họ giao thức iKP ñưa ra một số yêu cầu bảo mật ñối với mỗi bên tham gia trong quá trình thanh toán:

- Các yêu cầu bảo mật với Issuer/ Acquirer;

- Các yêu cầu bảo mật với Seller (Merchant);

- Các yêu cầu bảo mật với Buyer

4.4.1 Các yêu cầu với Issuer và Acquirer

Issuer và Acquirer ñược giả sử rằng giữa chúng có sự tin cậy lẫn nhau ở một mức ñộ nào ñó (chúng ñược kết nối với nhau qua mạng tài chính liên ngân hàng) Ngoài ra, một hạ tầng kỹ thuật cung cấp khả năng truyền thông an toàn giữa các Party phải ñã ñược thiết lập Trên cơ sở ñó các nhà nghiên cứu iKP của IBM ñã thống nhất ñưa ra các yêu cầu bảo mật dành cho mỗi Issuer/ Acquirer trong giao thức như sau:

A1— Bằng chứng chứng thực giao dịch của Buyer: Khi Acquirer ghi nợ vào một tài khoản credit card một lượng tiền nhất ñịnh, Acquirer phải sở hữu một bằng chứng không thể giả mạo rằng chủ nhân tài khoản credit card kia ñã chứng thực cho thanh toán này Bằng chứng này phải ñược ñảm bảo rằng nó không phải là cái ñược phát lại, hay sử dụng lại như là bằng chứng cho một số giao dịch khác ðiều này có nghĩa là trước khi chấp nhận thực hiện giao dịch Acquirer cần phải xác minh lại các thông số như số tiền thanh toán, loại tiền tệ, mô tả hàng hóa, ñịnh danh Seller, ñịa chỉ giao hàng của mỗi yêu cầu thanh toán, thời gian giao dịch (ðể ñạt ñược yêu cầu này như trong giao thức sẽ ñược trình bày chi tiết trong phần 4.5, Acquirer sẽ sử dụng hai thông số là thời gian giao dịch xảy ra - DATE và một giá trị ngẫu nhiên NONCEs ñược Seller tạo ra cho mỗi giao dịch ðối với mỗi giao dịch thì sự kết hợp của hai thông số này sẽ thu ñược một giá trị

là ñịnh danh duy nhất cho giao dịch ñó)

Bằng chứng A1 này ñược phân thành 2 loại:

a Bằng chứng yếu (Weak proof), nó xác thực Buyer với Acquirer nhưng không cung cấp như là một bằng chứng cho các bên thứ ba

b Bằng chứng không thể chối cãi (Undeniable proof), nó cung cấp ñầy ñủ tính năng “chống chối bỏ trách nhiệm” (full no-repudiation), có thể ñược

sử dụng ñể giải quyết những tranh cãi giữa Buyer và nhà cung cấp dịch

vụ thanh toán (payment system provider)

A2— Bằng chứng chứng thực giao dịch của Seller: Khi Acquirer chứng thực một yêu cầu thanh toán ñến từ một Seller, Acquirer cũng phải sở hữu một bằng chứng không thể giả mạo rằng Seller này ñã yêu cầu Acquirer thực hiện yêu cầu thanh toán này cho nó Nói cách khác thì khi một Seller gửi yêu cầu thực hiện thanh toán ñến Acquirer thì Acquirer phải có một bằng chứng rằng ñúng là Seller ñã chứng thực cho yêu cầu này

4.4.2 Các yêu cầu với Seller

S1— Bằng chứng chứng thực giao dịch của Acquirer: Các Seller cần phải có một bằng chứng không thể giả mạo rằng Acquirer ñã chấp nhận thực hiện thanh toán Việc này bao gồm sự cấp phép (certification) và xác thực (authentication) của Acquirer, do vậy Seller biết nó ñang giao dịch với ñúng Acquirer Băng chứng S1 này cũng ñược phân thành 2 loại: (a) bằng chứng yếu (weak proof) và (b) bằng chứng không thể chối cãi (undeniable proof), cung cấp tính năng “chống chối bỏ trách nhiệm”

S2— Bằng chứng chứng thực giao dịch của Buyer: Trước khi Seller nhận ñược sự chứng thực giao dịch từ Acquirer, Seller có thể cần một bằng chứng không thể giả mạo rằng Buyer ñã xác thực nó Bằng chứng S2 này cũng ñược phân thành 2 loại: (a) bằng chứng yếu (weak proof) và (b) bằng chứng không thể chối cãi (undeniable proof) Yêu cầu này là cần thiết ñể cung cấp tính năng chứng thực offline (off-line authorization)

4.4.3 Các yêu cầu với Buyer

B1— Không có khả năng thực hiện thanh toán không ñược chứng thực: Buyer không thể sử dụng credit card nếu không có mã số thẻ và mã PIN, trong trường hợp của 3KP thì còn yêu cầu thêm cả khóa bí mật (secret key) của buyer Vì vậy các kẻ lừa ñảo trên Internet và các Seller bất hợp pháp không thể tạo ra các giao dịch giả mạo Cũng cần ñảm bảo rằng thông tin ñược gửi ñi trong một giao dịch hợp pháp thì không thể ñược sử dụng lại trong các giao dịch bất hợp pháp sau này

Do vậy, ñặc biệt là mã PIN phải không ñược gửi dưới dạng text thông thường Yêu cầu B1 cũng ñược phân thành hai loại:

a Không có khả năng (impossibility): các thanh toán không ñược chứng thực sẽ không ñược cấp phép bởi các Acquirer hợp pháp và khóa bí mật của nó cũng không ñược sẵn dùng cho kẻ gian

b Tranh cãi (disputability): Buyer có thể chứng minh rằng mình ñã không chứng thực cho một thanh toán nào ñó khi mà secret key của Acquirer bị rơi vào tay của kẻ gian (chẳng hạn, vì kẻ gian thông ñồng với nội gián) B2— Bằng chứng chứng thực bởi Acquirer: Buyer có thể cần một bằng chứng rằng Acquirer ñã chứng thực cho phiên giao dịch Bằng chứng này ñến từ Acquirer

không phải là tối quan trọng nhưng nên có Bằng chứng B2 cũng ñược phân thành hai loại: (a) bằng chứng yếu (weak proof) và bằng chứng không thể chối cãi (undeniable proof)

B3— Sự chứng nhận và xác thực ñối với seller: Buyer cần một bằng chứng rằng Seller

ñã ñược chính thức công nhận bởi Acquirer hợp pháp nhằm ñảm bảo rằng nó ñang giao dịch với Seller không phải là bất hợp pháp

B4— Giấy biên nhận (biên lai) từ seller Buyer cần một bằng chứng rằng Seller mà mình ñã giao dịch trước ñó ñã nhận ñược tiền thanh toán và hứa sẽ chuyển hàng ñến cho mình 2KP và 3KP ñáp ứng ñược yêu cầu này, nhưng sẽ không chắc chắn: Seller có thể luôn từ chối gửi ñi “giấy biên nhận” này trong khi ñã nhận ñược chứng thực cho thanh toán từ Acquirer

Các yêu cầu bổ sung ñối với Buyer

Những yêu cầu dưới ñây (B5 – B6) cũng cần thiết Sau ñây là một mô tả ngắn gọn mối quan hệ giữa chúng và iKP; tuy nhiên, chúng không ñược nói ñến một cách rõ ràng trong họ giao thức iKP

B5— Sự riêng tư (privacy): Buyer có thể yêu cầu có sự riêng tư ñối với các thông tin

về ñơn hàng và thanh toán của mình Ví dụ, các nhà ñầu tư mua thông tin trên stocks nào ñó sẽ không muốn các ñối thủ cạnh tranh của mình biết ñược những stocks mà anh ta quan tâm ñến Sự riêng tư ñối với các thông tin ñơn hàng, tổng mức thanh toán,… nên ñược thực thi ñộc lập với giao thức thanh toán,… chẳng hạn dựa vào SSL

B6— Giấu tên (anonymity) Các Buyer có thể cũng muốn ñược giấu tên (nặc danh) khỏi những kẻ nghe lén và ñôi khi kể cả các Seller Hơn nữa, các Buyer cũng có thể muốn giấu tên ñối với các nhà cung cấp dịch vụ thanh toán (payment system provider), iKP không tập trung vào anonymity và, ñặc biệt, không cung cấp khả năng cho Buyer ẩn danh khỏi payment system provider Tuy nhiên, iKP cũng cố gắng giảm thiểu sự phơi bày các thông tin nhạy cảm của Buyer ñối với Seller và những kẻ ngoại ñạo

Nguyên hàm và các khóa (Primitives and Keys)

Trong bảng 4.1 có liệt kê một số ký hiệu của các khóa mật mã (cryptographic keys) ñược nắm giữ bởi các Party khác nhau, và các nguyên hàm ñược sử dụng Trong khi cặp khóa của Acquirer phải cung cấp khả năng ký số và mã hóa thì tất cả các cặp khóa khác chỉ cần cung cấp khả năng ký số

Các khóa (Keys):

PKX, SKX Khóa công khai (public key) và khóa bí mật (secret key) của Party X (X có thể

là CA - Certification Authority, B - Buyer, S – Seller hoặc A - Acquirer)

CERT X Giấy phép khóa công (public key certificate) của Party X, ñược phát hành bởi

Trong tất cả ba giao thức iKP thì Acquirer luôn có một public key, và bất kỳ một Party nào cũng

ñều phải biết public key của CA, tức là PKCA 1KP thì không cần thêm một khóa nào khác; 2KP bổ sung thêm rằng S cũng có một public key; 3KP thì lại tiếp tục bổ sung rằng B cũng có một public key

Các hàm nguyên thủy mật mã (cryptographic primitives):

( )•

H

Hàm băm một chiều (MD5, SHA1), thực hiện việc chuyển ñổi một chuỗi dữ liệu có ñộ dài bất kỳ thành một chuỗi ñộ dài cố ñịnh ðược sử dụng ñể tạo chữ ký số, xác thực tính toàn vẹn của dữ liệu,…

Framework của họ giao thức iKP

Tất cả các giao thức iKP ñều có chung một Framework, chỉ khác nhau ở các thành phần dữ liệu trao ñổi trong từng luồng của Framework tương ứng với mỗi giao thức Framework chung này ñược thể hiện chi tiết trên dưới ñây

Hình 4.3: Framework chung của họ giao thức iKP

Trước khi giao thức chạy:

Mỗi party X (Buyer, Seller, Acquirer) ñều ñã có môt số thông tin mào ñầu, những thông tin này ñược thể hiện bởi ñối tượng ST-INFX tương ứng (ST-INFB, ST-INFS, ST-INFA) Tùy vào mỗi giao thức iKP (i=1,2,3) mà ST-INFX tương ứng của party X

có khác nhau

Buyer và Seller ñã thỏa thuận và ñồng ý về giá cả và các hàng hóa ñể mua (việc này ñược thực hiện khi Buyer sử dụng trình duyệt truy cập vào Web site bán hàng của Seller, duyệt hàng và kích hoạt chức năng thanh toán) Các thông tin ñơn hàng sẽ ñược chứa trong các gói DESC và AUTHPRICE và ñược Web site gửi ñến Buyer

và Seller Như vậy DESC và AUTHPRICE sẽ là một phần trong số các thông tin mào ñầu thuộc ST_INFB, ST-INFS tương ứng của Buyer và Seller

Về cơ bản, các giao thức iKP có 5 luồng: Initiate, Invoice, Payment, Auth-Request, Auth-Response, Confirm Quy trình hoạt ñộng như sau:

Initiate : Buyer sẽ khởi ñộng giao thức bằng việc thực thi luồng Initiate;

Invoice : Seller trả lời bằng việc gửi lại Invoice ñến Buyer;

Payement : Buyer mã hóa rồi truyền các thông tin tài khoản và một số thông tin khác ñến Seller;

Auth-Request : Seller sử dụng những thông tin ñược gửi trong luồng Payment ñể gửi ñi thông ñiệp yêu cầu chứng thực Buyer trên luồng Auth-Request ñến Acquirer;

Auth-Response : Acquirer truy nhập vào mạng tài chính ñể nhận về kết quả chứng thực tài khoản của Buyer và Seller và trả về kết quả ñó ñến Seller thông qua luồng Auth-Response

Confirm : Cuối cùng Seller thực hiện xử lý thông tin nhận ñược trên luồng Auth-Response và phản hồi thông tin xác nhận hay hủy bỏ giao dịch thanh toán ñến Buyer thông qua luồng Confirm

Sự khác biệt chính giữa các giao thức 1, 2 và 3KP là việc sử dụng chữ ký số trên 1,

2, hay cả 3 Party hay nói cách khác là hạ tầng khóa công khai ñược triển khai trên 1,2 hay cả 3 Party Có nghĩa rằng:

Nếu là 1KP thì chỉ có một Party là Acquirer sở hữu một cặp khóa public/private key;

2KP thì cả Acquirer và Seller, mỗi bên ñều sở hữu một cặp khóa public/private key của riêng mình

3KP thì thêm Buyer cũng sở hữu một cặp khóa public/private key

Các trường dữ liệu sử dụng trong họ giao thức iKP

Các thông số xãy ra trong tất cả các giao thức iKP

SALT B

Một giá trị ngẫu nhiên ñược sinh bởi Buyer ðược sử dụng ñể “thêm mắm thêm muối” vào DESC nhằm ñảm bảo tính riêng tư cho thông tin ñơn hàng (DESC) khi truyền trên ñường truyền giữa Seller và Acquirer; ñồng thời cũng ñược sử dụng ñể cung cấp tính trong sáng của các chữ ký (Sig S

và Sig A )

AUTHPRICE ðối tượng chứa hai thuộc tính Amount (tổng tiền) và Currency (ñơn vị tiền

tệ) sử dụng trong phiên giao dịch thanh toán

DATE

Thời gian thực hiện giao dịch Thông tin này ñươc sử dụng ñể bảo vệ trước trường hợp các giao dịch thanh toán có thể bị thu giữ và phát lại bởi một kẻ gian nào ñó

NONCES Một giá trị ngẫu nhiên ñược tạo ra bởi Seller, cũng ñược sử dụng ñể bảo

vệ trong trường hợp giao dịch thanh toán bị phát lại

IDS Seller ID, số ñịnh danh của Seller trên Acquirer (mã số tài khoản của

Seller mở tại Acquirer)

TID S Transaction ID, số ñịnh danh phiên giao dịch, ñược tạo bởi Seller

DESC ðối tượng chứa các thông tin mô tả ñơn hàng Bao gồm tên chủ thẻ (credit card name) của Buyer, mã ñịnh danh ngân hàng của Seller (bank

nhận hàng của Buyer

BAN Mã số tài khoản của Buyer (Buyer’s Acount Number), chẳng hạn như, mã

số thẻ tín dụng (credit card no)

EXPIRATION Ngày hết hạn sử dụng tài khoản của Buyer (ngày hết hạn sử dụng thẻ tín

dụng)

RB Một giá trị ngẫu nhiên ñược sinh ra bởi Buyer RB ñược dùng ñể tạo IDB

ID B Số ñịnh danh của Buyer cho phiên giao dịch ID B ñược tính theo: ID B =

H K (R B , BAN)

RESPCODE Thông tin phản hồi từ mạng thanh toán chuyển khoản liên ngân hàng

(mạng tài chính): YES/NO hoặc mã chứng thực cho biết kết quả giao dịch

Các thông số xãy ra trong giao thức cụ thể

PIN Số PIN thẻ tín dụng của Buyer

SALTC Mộ số ngẫu nhiên ñược tạo bởi Buyer trong giao thức 3KP

V

Một giá trị ngẫu nhiên ñược tạo bởi Seller trong 2KP và 3KP ñể sử dụng như một bằng chứng rằng Seller ñã chấp nhận thanh toán (giá trị này ñược chứa trong các thông ñiệp Confirm và Invoice)

VC

Một giá trị ngẫu nhiên ñược tạo bởi Seller trong 2KP và 3KP ñể sử dụng như một bằng chứng rằng Seller không chấp nhận thanh toán (giá trị này ñược chứa trong các thông ñiệp Confrim/Cancel và Invoice)

Hình 4.4: Các trường dữ liệu ñược sử dụng trong các giao thức iKP

4.5.1 Giao thức 1KP

4.5.1.1 Giới thiệu

ðây là giao thức cơ bản và ñơn giản nhất của họ giao thức iKP Trong phần này tác giả ñồ án sẽ trình bày về cơ chế hoạt ñộng của giao thức 1KP, ñi sâu hơn ta sẽ tìm hiểu

về các luồng dữ liệu trong giao thức

ðể hiểu ñược cơ bản nguyên lý của 1KP, người ñọc chỉ cần quan tâm ñến phần:

o Cơ chế hoạt ñộng của giao thức 1KP

ðể hiểu ñược chi tiết về các trường dữ liệu, các gói dữ liệu ñược trao ñổi giữa các party trong hệ thống, người ñọc sẽ cần phải tìm hiểu thêm phần:

o Triển khai giao thức 1KP (phần này có ích cho việc thiết kế và lập trình

hệ thống iKP) Trước hết, giao thức 1KP ñược tóm tắt thành một số ñiểm như sau:

Tất cả các Buyer và Seller ñều có một bản sao khóa công PKCA của CA Buyer và Seller sử dụng PKCA này ñể xác thực Acquirer, cụ thể là kiểm tra chữ ký của CA trên certificate CERTA của Acquirer xem có ñúng là nó ñang giao dịch với Acquirer hợp pháp hay không

Tất cả các Buyer và Seller ñều có một certificate của Acquirer, CERTA Buyer và Seller sử dụng CERTA này ñể mã hóa các thông ñiệp sẽ gửi ñến Acquirer và cũng

ñể kiểm tra chữ ký số trên các thông ñiệp ñược gửi ñi bởi Acquirer

Mỗi Buyer ñều có một mã số tài khoản BAN (Buyer Account Number), chẳng hạn như mã số thẻ tín dụng và một mã số PIN bí mật của tài khoản Các thông tin này chỉ ñược biết bởi Buyer và Acquirer mà không cho Seller ñược biết

Tất cả các Party trong giao thức ñều phải làm việc với các kỹ thuật mã hóa khóa công khai Tuy nhiên, việc mã hóa chỉ phải thực hiện bên phía Buyer, ñể mã hóa rồi gửi ñi các thông tin tài khoản (mã số thẻ, mã PIN) án toàn ñến Acquirer Ngược lại, việc giải mã chỉ ñược thực hiện trên Acquirer ñể ñọc ra các thông tin mật ñược Buyer gửi ñến

Trong 1KP chỉ có duy nhất Acquirer là có sở hữu private key nên có thể ký lên các

dữ liệu ñược nó gửi ñi, và sẽ ñược xác minh bởi Buyer và Seller

4.5.1.2 Cơ chế hoạt ñộng của giao thức 1KP

ðể tìm hiểu về cơ chế hoạt ñộng của giao thức 1KP, ta cần biết một số khái niệm sau:

OFFER: ðơn chào hàng mà Seller (Merchant) gửi cho Buyer (Customer) Bao

gồm các trường:

o OFFER description: Mô tả ñơn chào hàng

o Amount : Tổng tiền phải thanh toán

o Currency : ðơn vị tiền tệ

o Date : Thời gian thực hiện giao dịch

o ID of Merchant : Mã ñịnh danh của Merchant

ORDER: ðơn hàng mà Buyer gửi lại cho Seller ñể xác minh lại ñơn chào hàng

mà Seller ñã gửi ñến cho Buyer Bao gồm các trường:

o ORDER description: Mô tả ñơn hàng

o Amount : Tổng tiền phải thanh toán

o Currency : ðơn vị tiền tệ

o Date : Thời gian thực hiện giao dịch

o ID of Seller : Mã ñịnh danh của Merchant (seller)

o Delivery address : ðịa chỉ nhận hàng của Buyer

SLIP: Một gói dữ liệu mà Buyer tạo ra ñể chứa các thông tin nhạy cảm như mã

số thẻ tín dụng, mã PIN, ñã ñược mã hóa ñể gửi ñến Acquirer thông qua Seller Bao gồm các trường:

o Amount : Tổng tiền phải thanh toán

o Currency : ðơn vị tiền tệ

o Date : Thời gian thực hiện giao dịch

o ID of Seller : Mã ñịnh danh của Merchant (seller)

o Credit card number: Mã số thẻ tin dụng của Buyer

o Expiration : Ngày hết hạn của thẻ

o PIN : Mã số PIN

o H(order) : Giá trị băm các thông tin ñơn hàng (Order)

AUTH-INFO: Thông tin phản hồi từ Acquirer cho biết giao dịch thanh toán có

ñược chấp nhận hay bị từ chối

Cơ chế hoạt ñộng của 1KP ñược thể hiện trực quan hơn như trên hình dưới ñây:

Hình 4.5: Cơ chế hoạt ñộng của giao thức 1KP

Sau khi Buyer (Customer) duyệt, chọn hàng và chấp nhận mua, Seller

(Merchant) sẽ chuyển cho Buyer ñơn chào hàng OFFER (chứa các thông tin như thời gian giao dịch, tổng tiền thanh toán, ID của Seller, ) và một số dữ liệu khác như khóa công khai PKA, certificate CERTA của Acquirer Buyer thực hiện kiểm tra tính xác thực của Acquirer và nếu thành công thì thực hiện tạo ra một ñối tượng SLIP chứa các thông tin tài khoản thanh toán rồi dùng PKA thực hiện

mã thu ñược EA(SLIP) và gửi ñến Seller Trong giai ñoạn này Buyer gửi kèm thêm thông tin ñơn hàng ORDER quay lại Seller mặc dù Seller ñã biết về các thông tin này, mục ñích là ñể khẳng ñịnh với Seller rằng Buyer ñã nhận ñược chính xác thông tin từ Seller

Seller nhận các thông tin ñược gửi ñến từ Buyer, thực hiện kiểm tra các thông

tin trong ORDER xem có phù hợp với ñơn chào hàng OFFER không Nếu thành công, Seller thực hiện băm ORDER thu ñược H(order) rồi chuyển tiếp EA(SLIP) cùng H(order) ñến Acquirer

Acquirer nhận các thông tin EA(SLIP) và H(order) (kí hiệu là h1) từ Seller gửi

tới Thực hiện giải mã EA(SLIP) Nếu việc giải mã không thành công Acquirer

sẽ thông báo giao dịch không hợp lệ Ngược lại, nếu giải mã thành công Acquirer sẽ lấy thông tin từ SLIP cùng với một số thông tin khác trích ra từ thông ñiệp ñược gửi ñến từ Seller ñể tạo lại ñối tượng ORDER rồi thực hiện băm thu ñược H(order) mới (kí hiệu là h2) Tiếp theo, Acquirer thực hiện so sanh h1 và h2 Nếu không phù hợp, Acquirer hiểu rằng ñã có sự thay ñổi dữ liệu trên ñường truyền và thông báo giao dịch không hợp lệ Ngược lại, nếu kết qua

so sánh phù hợp, Acquirer sẽ lấy các thông tin tài khoản của Buyer như Credit card number, PIN number, Expiration và ID của Seller từ SLIP ñể kiểm tra Nếu mọi kiểm tra ñều thoả mãn, Acquirer tạo ra một thông ñiệp AUTH-INFO chứa nội dung phản hồi là Approved (ñược chấp nhận), ñồng thời ký lên thông ñiệp này rồi gửi lại cho Seller

Seller sử dụng khoá công khai PKA ñể kiểm tra chữ ký của Acquirer, nếu hợp lệ

Seller hiểu rằng giao dịch ñã ñược chứng thực bởi Acquirer Tiếp ñến, Seller sẽ chuyển tiếp AUTH-INFO cùng chữ ký số của Acquirer ñến Buyer

Buyer nhận ñược AUTH-INFO từ Seller, thì hiểu rằng giao dịch ñã kết thúc

4.5.1.3 Triển khai giao thức 1KP

Phần trên ñã trình bày tóm tắt về cơ chế hoạt ñộng của giao thức 1KP, tuy nhiên sẽ rất khó ñể có thể cài ñặt một hệ thống nếu không có mô tả chi tiết về từng trường dữ liệu, gói dữ liệu, ñịnh danh thông ñiệp, quy trình tương tác giữa các Party Chi tiết về những vấn ñề này sẽ ñược ñề cập dưới ñây

4.5.1.3.1 Các giai ñoạn trong quá trình giao dịch

Như ñã ñề cập, quá trình hoạt ñộng của giao thức ñược chia thành 5 giai ñoạn chính:

- Initiate : Giai ñoạn khởi tạo giao dịch

- Invoice : Giai ñoạn chuyển hoá ñơn

- Payment : Giai ñoạn chuyển thông tin tài khoản ñể yêu cầu thanh toán

- Auth-Request : Giai ñoạn yêu cầu xác thực thanh toán

- Auth-Response : Giai ñoạn phản hồi yêu cầu xác thực thanh toán

- Confirm : Giai ñoạn phê chuẩn

4.5.1.3.2 Các gói dữ liệu giao thức

Các gói dữ liệu giao thức:

Gói dữ liệu giao thức Các thông tin chứa trong gói

Common AUTHPRICE, IDS, TIDS, DATE, NONCES, IDB, Hk(SATLB, DESC), [2,3

H(V), H(VC)]

Clear ID S , TID S , DATE, NONCE S , H(Common), [ 2,3 H(V), H(VC)]

SLIP AUTHPRICE, H(Common), BAN, RB, [PIN[3 SALTC]], EXPIRATION

Sig A S A (RESPCODE, H(Common))

[ 2,3 Sig S ] S S (H(Common))

[ 3 Sig B ] S B (EncSlip, H(Common))

Hình 4.6: Các gói dữ liệu giao thức

Thông tin mào ñầu của mỗi Party:

Gói thông tin mà ñầu Các thông tin chứa trong gói

ST-INF B DESC, AUTHPRICE, BAN, EXPIRATION, PKCA, [PIN], [3 SKB, CERTB,

- Các thông số còn lại (không có dấu ngoặc) là dành cho mọi giao thức trong họ iKP

4.5.1.3.3 Quá trình hoạt ñộng của giao thức

Hình 4.8: Các luồng dữ liệu trong họ giao thức iKP

Initiate: Các party tham gia trong giai ñoạn này gồm: Buyer và Seller

o Buyer tạo ra một số ngẫu nhiên RB;

o Buyer tính IDB = Hk(RB, BAN), trong ñó BAN là số tài khoản của Buyer (mã số thẻ tín dụng);

o Buyer tạo ra một số ngẫu nhiên SALTB;

o Cuối cùng Buyer truyền IDB, SATLB ñến Seller

Invoice: Các party tham gia trong giai ñoạn này gồm: Buyer và Seller

o Seller nhận SATLB và IDB từ giai ñoạn Initiate;

o Seller tạo ra ñối tượng DATE chứa thông tin về thời ñiểm thực hiện giao dịch và tạo ra một số ngẫu nhiên NONCES Mục ñích của DATE và NONCES là ñể Acquirer sử dụng trong giai ñoạn Auth-Request nhằm ñịnh danh duy nhất cho mỗi phiên giao dịch, ngăn chặn kiểu tấn công

“phát lại” (replay);

o Seller tạo ra mã ñịnh danh phiên giao dịch TIDS là một giá trị ngẫu nhiên;

o Seller tính Hk(SATLB, DESC);

o Seller tạo ra ñối tượng Common và tính H(Common);

o Seller tạo ra ñối tượng Clear;

o Cuối cùng Seller truyền Clear tới Buyer

Payment: Các party tham gia trong giai ñoạn này gồm: Buyer và Seller

o Buyer nhận Clear từ Seller gửi tới trong giai ñoạn Invoice;

o Buyer tính giá trị HK(SALTB, DESC);

o Buyer tính giá trị H(Common) (ta ký hiệu là H1): ñiều này thực hiện ñược do Buyer ñã có AUTHPRICE, IDB, các thông tin còn lại: IDS, TIDS, DATE, NONCES ñược lấy từ gói Clear Từ những thông tin này Buyer có thể tạo ñược gói Common rồi tính H(Common);

o Buyer thực hiện kiểm tra xem giá trị H1 vừa tạo có phù hợp với H(Common) chứa trong gói Clear nhận ñược từ Seller không Nếu thành công chuyển sang bước tiếp theo;

o Buyer tạo gói SLIP, rồi sử dụng public key của Acquirer thực hiện mã SLIP này thu ñược gói EncSLIP (EncSLIP = EA(SLIP));

o Cuối cùng, Buyer gửi EncSLIP ñến Seller

Auth-Request: Các party tham gia trong giai ñoạn này gồm: Seller và Acquirer

o Seller nhận EncSLIP từ Buyer gửi tới;

o Seller ñọc Clear, Hk(SATLB, DESC) ứng với phiên giao dich từ Database (những dữ liệu này ñã ñược Seller tạo trước ở giai doạn Invoice)

o Cuối cùng, Seller gửi Clear, Hk(SATLB, DESC) và EncSLIP ñến Acquirer ñể yêu cầu xác thực phiên giao dịch và thực hiện thanh toán

Auth-Response:Các party tham gia trong giai ñoạn này gồm: Seller và Acquirer

o Acquirer nhận Clear, Hk(SATLB, DESC) và EncSLIP từ Seller gửi tới rồi thực hiện các công việc như sau:

1 ðọc từ Clear các thông số: IDS, TIDS, DATE, NONCES, và H(Common) (ta ký hiệu là H1) Tiếp ñến Acquirer thực hiện kiểm tra xem yêu cầu thanh toán có phải là một yêu cầu phát lại (replay) hay không Việc này ñược thực hiện thông qua kiểm tra 4 thông số

IDS, TIDS, DATE, NONCES ñể ñảm bảo bộ tứ này không trùng với bất kỳ bộ tứ nào của các giao dịch trước Nếu việc kiểm tra cho kết quả giao dịch hợp lệ, Acquirer sẽ chuyển sang bước tiếp theo

2 Giải mã EncSLIP Nếu giải mã không thành công, Acquirer hiểu rằng EncSLIP ñã bị sửa ñổi (bởi một kẻ gian hoặc Seller) và thông báo lại cho Seller rằng giao dịch không hợp lệ Ngược lại, nếu giải

mã thành công, Acquirer thực hiện ñọc các thông số: AUTHPRICE, H(Common) (ta ký hiệu là H2), BAN,