Một hệ thống thanh toán điện tử dựa trên họ giao thức iKP

Ở cấp độ cao hơn thì doanh nghiệp có thể thực hiện một số giao dịch trên mạng như cho khách hàng đặt hàng thẳng từ trên mạng, quản lý thông tin khách hàng, đơn hàng bằng cơ sở dữ liệu tự

TRƯ NG Đ I H C XÂY D NG

KHOA CÔNG NGH THÔNG TIN

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

CHUYÊN NGHÀNH CÔNG NGHỆ THÔNG TIN

Đề tài:

MỘT HỆ THỐNG THANH TOÁN ĐIỆN TỬ

DỰA TRÊN HỌ GIAO THỨC iKP

Lớp 46PM2

HÀ N I, THÁNG 1/2006

MỤC LỤC

Phần I: LÝ THUYẾT VỀ THANH TOÁN ĐIỆN TỬ 4

1.1 Giới thiệu chung về thương mại điện tử 4

1.1.1 Khái niệm về thương mại điện tử 4

1.1.2 Thương mại điện tử ' lợi ích cho doanh nghiệp 4

1.1.3 Các vấn đề trong thương mại điện tử 6

1.2 Giới thiệu chung về thanh toán điện tử 9

1.2.1 Khái niệm về thanh toán điện tử 9

1.2.2 Lợi ích của thanh toán điện tử 10

1.2.3 Ứng dụng thanh toán điện tử 11

1.2.4 Các vấn đề trong thanh toán điện tử ở Việt Nam 12

1.3 Tổng quan về thanh toán thẻ tín dụng 12

1.3.1 Nguồn gốc của thẻ thanh toán 12

1.3.2 Khái niệm về thẻ thanh toán 13

1.3.3 Phân loại thẻ thanh toán 13

1.4 Tổng quan về lý thuyết mật mã 15

1.4.1 Khái niệm về mật mã 15

1.4.2 Các loại mật mã 15

1.4.2.1 Mã hoá quy ước 15

1.4.2.2 Mã hoá khoá công khai 16

1.4.2.3 Thuật toán mã hóa RSA 16

1.4.3 Các thuật toán hàm băm và chữ ký điện tử 17

1.4.3.1 Các thuật toán hàm băm 17

1.4.3.2 Chữ ký điện tử 18

1.4.3.3 Mô hình chữ ký điện tử RSA 19

Phần II: MÔ HÌNH GIẢI PHÁP THANH TOÁN ĐIỆN TỬ 20

2.1 Tổng quan giao thức iKP 20

2.1.1 Lịch sử hình thành họ giao thức iKP 20

2.1.2 Các khái niệm trong họ giao thức iKP 20

2.1.2.1 Khái niệm về Party 20

2.1.2.2 Các yêu cầu của Party 22

2.2 Giao thức 1KP 25

2.2.1 Giới thiệu 25

2.2.2 Định nghĩa các thông điệp 25

2.2.3 Cơ chế giao thức 26

2.3 Giao thức 2KP 28

2.3.1 Giới thiệu 28

2.3.2 Định nghĩa các thông điệp 28

2.3.3 Cơ chế giao thức 28

2.4 Giao thức 3KP 30

2.4.1 Giới thiệu 30

2.4.2 Định nghĩa các thông điệp 30

2.4.3 Cơ chế giao thức 30

Phần III: ỨNG DỤNG 33

3.1 Đặt vấn đề 33

3.2 Phân tích 33

3.2.1 Bài toán 33

3.2.2 Nội dung 33

3.2.2 Yêu cầu 34

3.2.2 Phân tích yêu cầu 36

3.3 Thiết kế 36

3.3.1 Thiết kế chức năng (Usecase) 36

3.3.2 Thiết kế mô hình động (diagram) 42

3.3.3 Thiết kế cơ sở dữ liệu 46

3.4 Lập trình 50

3.4.1 Tổng quan về công nghệ WebServices 50

3.4.2 Cài đặt các Services 51

3.4.3 Mô hình ứng dụng của hệ thống 52

3.4.4 Giao diện chính của hệ thống ứng dụng 52

Phần IV: KẾT LUẬN 55

4.1 Đánh giá kết quả đạt được 55

4.2 Những vấn đề thiếu sót và cách khắc phục 56

4.3 Hướng phát triển tương lai 56

Ph#n I: LÝ THUY)T V+ THANH TOÁN ĐI N T,

1.1 Gi/i thi1u chung v6 thương m:i đi1n t<

1.1.1 Khái ni1m v6 thương m:i đi1n t<

Thương mại điện tử là gì ?

Thương mại điện tử (e commerce) chỉ việc thực hiện những giao dịch thương mại dựa trên các công cụ điện tử (electronic) mà cụ thể là mạng Internet và WWW (World Wide Web tức những trang web hay website) Ví dụ: việc trưng bày hình ảnh hàng hóa, thông tin về doanh nghiệp trên website cũng là một phần của Thương mại điện tử, hay liên lạc với khách hàngqua email, tìm kiếm khách hàngthông qua việc tìm kiếm thông tin trên mạng Internet v.v [6]

Có nhiều cấp độ thực hiện Thương mại điện tử Ở cấp độ cơ bản, doanh nghiệp

có thể chỉ có website trưng bày thông tin, hình ảnh, tìm kiếm khách hàng qua mạng, liên hệ với khách hàng qua email Ở cấp độ cao hơn thì doanh nghiệp có thể thực hiện một số giao dịch trên mạng như cho khách hàng đặt hàng thẳng từ trên mạng, quản lý thông tin khách hàng, đơn hàng bằng cơ sở dữ liệu tự động trên mạng, có thể

xử lý thanh toán qua mạng bằng thẻ tín dụng v.v

1.1.2 Thương m:i đi1n t< > l@i ích cho doanh nghi1p

Lợi ích của thương mại điện tử là gì ?

Trong bối cảnh hội nhập kinh tế toàn cầu như hiện nay, việc tận dụng mọi lợi thế, khai thác, ứng dụng những Công nghệ mới để tiến hành kinh doanh có hiệu quả

là mục tiêu mà mọi Doanh nghiệp luôn hướng tới, và nhiều Doanh nghiệp thành công trên Thế giới đã khẳng định rằng Thương mại điện tử là một công cụ hữu hiệu giúp

họ hạn chế những trở ngại và phát huy tiềm năng để có thể đứng vững trong môi trường cạnh tranh khốc liệt mang tính toàn cầu, và có thể khẳng định tính tất yếu của việc phát triển thương mại điện tử cũng như những lợi ích to lớn mà nó đem lại Vậy những lợi ích mà Thương Mại Điện Tử sẽ mang lại là gì ?

t Quảng bá thông tin và tiếp thị cho một thị trường toàn cầu với chi phí cực thấp: chỉ với vài chục đô'la Mỹ mỗi tháng, doanh nghiệp đã có thể đưa thông tin quảng cáo của mình đến với vài trăm triệu người xem từ các nơi trên thế giới Đây là điều mà chỉ có Thương Mại Điện Tử làm được cho doanh nghiệp Thử so sánh với một quảng cáo trên báo Tuổi Trẻ với vài triệu độc giả, mỗi lần quảng cáo doanh nghiệp phải trả ít nhất 50 đô'la Mỹ, còn nếu doanh nghiệp có một website của mình, doanh nghiệp đó có thể quảng cáo thông tin 24 giờ mỗi ngày, 7 ngày mỗi tuần, và lượng độc giả của doanh nghiệp là hàng trăm triệu người từ mọi nơi trên thế giới Chi

phí cho website của doanh nghiệp mỗi tháng ước tính (kinh tế nhất) là: 5 đô'la Mỹ chi phí lưu trữ trựctuyến (hosting), 10'20 đô'la Mỹ trả cho chi phí quảng cáo (liệt kê địa chỉ web của doanh nghiệp trên một dạng danh bạ doanh nghiệp điện tử Dĩ nhiên, đây chỉ là chi phí tối thiểu cho website của doanh nghiệp Nếu doanh nghiệp có khả năng tài chính, doanh nghiệp có thể thuê quảng cáo với chi phí cao hơn để mong quảng cáo tốt hơn

t Dịch vụ tốt hơn cho khách hàng: với Thương Mại Điện Tử, doanh nghiệp có thể cung cấp catalogue, brochure, thông tin, bảng báo giá cho đối tượng khách hàng một cách cực kỳ nhanh chóng, doanh nghiệp có thể tạo điều kiện cho khách hàng mua hàng trực tiếp từ trên mạng v.v… Nói tóm lại, Thương Mại Điện Tử mang lại cho doanh nghiệp các công cụ để làm hài lòng khách hàng, bởi trong thời đại ngày nay, yếu tố thời gian thực sự là vàng bạc, không ai có đủ kiên nhẫn phải chờ đợi thông tin trong vài ngày Hơn nữa, ngày nay chất lượng dịch vụ và thái độ phục vụ là những yếu tố rất quan trọng trong việc tìm và giữ khách hàng Nếu doanh nghiệp không xử

lý yêu cầu thông tin của đối tượng quan tâm một cách nhanh chóng, họ sẽ không kiên nhẫn chờ đợi, trong khi đó có biết bao đối thủ cạnh tranh đang săn đón họ

t Tăng doanh thu: với Thương Mại Điện Tử, đối tượng khách hàng của doanh nghiệp giờ đây đã không còn bị giới hạn về mặt địa lý, hay thời gian làm việc Doanh nghiệp không chỉ có thể bán hàng cho cư dân trong thành phố của doanh nghiệp, mà doanh nghiệp còn có thể bán hàng trong toàn bộ Viêt Nam hoặc các nước khác

Doanh nghiệp không ngồi chờ khách hàng tự tìm đến với doanh nghiệp mà doanh nghiệp đang tích cực và chủ động đi tìm khách hàng cho mình Vì thế, chắc chắn rằng

số lượng khách hàng của doanh nghiệp sẽ tăng lên đáng kể dẫn đến doanh thu nhảy vọt Đó là điều mà doanh nghiệp nào cũng mơ ước Tuy nhiên, cũng xin nhắc lại với doanh nghiệp rằng chất lượng và giá cả sản phẩm hay dịch vụ của doanh nghiệp phải tốt, nếu không, Thương Mại Điện Tử cũng không giúp gì được cho doanh nghiệp

t Giảm chi phí hoạt động: với Thương mại điện tử, doanh nghiệp không phải tốn kém nhiều cho việc thuê cửa hàng, mặt bằng, đông đảo nhân viên phục vụ, và cũng không cần phải đầu tư nhiều cho kho chứa Chỉ cần khoảng 10 triệu đồng xây dựng một website bán hàng qua mạng, sau đó chi phí vận hành website mỗi tháng không quá một triệu đồng Nếu website của doanh nghiệp chỉ là trưng bày thông tin, hình ảnh sản phẩm, doanh nghiệp tiết kiệm được chi phí in ấn brochure, catalogue và

cả chi phí gửi bưu điện những ấn phẩm này Và đặc biệt nếu doanh nghiệp doanh

nghiệp làm hàng xuất khẩu, doanh nghiệp có thể ngồi ở nhà và tìm kiếm khách hàng qua mạng, không cần phải tốn kém nhiều cho những chuyến đích thân “xuất ngoại”

t Lợi thế cạnh tranh: việc kinh doanh trên mạng là một “sân chơi” cho sự sáng tạo, nơi đây, doanh nghiệp tha hồ áp dụng những ý tưởng hay nhất, mới nhất về dịch

vụ hỗ trợ, chiến lược tiếp thị v.v… Và một khi tất cả các đối thủ cạnh tranh của doanh nghiệp đều áp dụng Thương Mại Điện Tử, thì phần thắng sẽ thuộc về ai sáng tạo hay nhất để tạo ra nét đặc trưng cho doanh nghiệp, sản phẩm, dịch vụ của mình để có thể thu hút và giữ được khách hàng

Với những lợi ích to lớn thương mại điện tử từng bước khẳng định thế mạnh của mình Có thể khẳng định rằng thương mại điện tử đang trở thanh xu hướng phát triển tất yếu tại Việt Nam trong tương lai Tất nhiên ở các nước phát triển trên thế giới thì giao dịch thương mại điện tử đã trở thành phổ biến hàng chục năm nay Như vậy

sự phát triển mạnh mẽ của thương mại điện tử có phát sinh những vấn đề gì ? Hay nói cách khác những vấn đề trong thương mại điện tử hiện nay của Việt Nam là gì ?

1.1.3 Các vGn đ6 trong thương m:i đi1n t<

Các vấn đề trong thương mại điện tử là gì ?

Thực tế cho thấy Internet vẫn đang tạo ra vô số cơ hội phát triển kinh doanh cho những khu vực ít lợi thế có thể tham gia vào các giao dịch toàn cầu mà không cần phải bận tâm nhiều về chi phí Làm sao để có thể tận dụng Internet mở rộng thị trường, tìm thêm cơ hội cho sản phẩm, dịch vụ của mình đã trở thành điều mà các doanh nhân, doanh nghiệp Việt Nam không thể không quan tâm Dù nhận thức về thương mại điện tử đã có nhiều chuyển biến tích cực và đã có một số Website như: tienphong vdc.com.vn, nynaflowers.com, goodsonlines.com thực hiện khá thành công khâu bán hàng qua mạng, song ở Việt Nam vẫn chưa có thương mại điện tử theo đúng nghĩa của khái niệm này Vậy đâu là những hạn chế của thương mại điện tử ở Việt Nam ? Các chuyên gia về lĩnh vực thương mại điện tử nhìn nhận nhứng lý do sau:

t Web thương mại điện tử a ít cả về lượng lẫn sức hấp dẫn

Các số liệu thống kê về số trang Web ở Việt Nam hiện nay chưa chính xác Theo trang www.vietnamwebsite.net, tính đến tháng 6/2003, danh bạ Website Việt

Nam mà trang Web này đã biên tập được là khoảng hơn 6.500 và con số này có thể còn lớn hơn thế Tuy nhiên nếu phân loại theo ngành nghề thì chỉ có khoảng 3.400 Website của doanh nghiệp Trừ đi số doanh nghiệp có nhiều hơn một Website và tính trên tổng số doanh nghiệp đang hoạt động (khoảng 70.000) thì có khoảng 5% doanh nghiệp có Website trên mạng

Còn nếu dùng công cụ tìm kiếm Google với từ khóa “giỏ hàng” ' đặc trưng của các trang Web thương mại điện tử ' thì chỉ có thể tìm được 81 địa chỉ, bỏ những địa chỉ bị trùng lặp thì chỉ còn khoảng hơn 50 Website được xây dựng theo mô hình thương mại điện tử Khảo sát kỹ hơn các trang web trong số 50 Website này thì chỉ có khoảng hơn 20 địa chỉ có khả năng thu hút khách hàng qua mạng, số còn lại gần như chỉ trưng bày sản phẩm, ít chịu cập nhật thông tin Mặc dù bán hàng hóa và dịch vụ qua mạng chỉ là một trong số những hoạt động của thương mại điện tử và không phải các Web thương mại điện tử đều phải có hoạt động này song nhìn chung, các Website Việt Nam hiện nay thường thiếu thông tin, thiếu cập nhật và chưa sẵn sàng cho

thương mại điện tử Một trong những nguyên nhân vẫn được xem như lý do chính khiến các trang Web thương mại điện tử ở Việt Nam chưa phát huy hiệu quả là số người sử dụng Internet còn quá thấp Điều đó chưa cho phép hy vọng về sự thành công và phát triển của thương mại điện tử trong tương lai gần Ông Lê Trung Nghĩa ' Giám đốc Công ty cổ phần phần mềm, thương mại điện tử Nhất Vinh ' nhận định:

“Hoạt động của các doanh nghiệp đang phát triển thương mại điện tử hiện nay vẫn còn dè dặt và chưa thực hiện đủ một chu trình thương mại điện tử vì còn thiếu những điều kiện cần như cơ sở pháp lý, hạ tầng bảo mật, thanh toán trực tuyến "

t Chưa có cơ sở pháp lý chính thức, đang chờ lệnh

Theo ông Nguyễn Thanh Hưng ' Trưởng ban Công nghệ thông tin và Thương mại điện tử, Bộ Thương mại (cơ quan chủ trì việc xây dựng Pháp lệnh thương mại điện tử), các bản dự thảo của Pháp lệnh đang trong giai đoạn hoàn thành và sẽ trình Chính phủ vào cuối năm nay Nói cách khác, việc ra đời của hành lang pháp lý cho thương mại điện tử là đièu tất yếu, vấn đề ở chỗ là thời gian, là sớm hay muộn Pháp lệnh thương mại điện tử mới được ban hành vì Chính phủ còn phải trình Ủy ban Thường vụ Quốc hội xem xét Sau khi đã có pháp lệnh, có lẽ sẽ tiếp tục phải chờ các nghị định, thông tư hướng dẫn thi hành

Chưa có Pháp lệnh thương mại điện tử, nhiều web thương mại điện tử không cam kết cũng chẳng yêu cầu khách hàng cam kết về trách nhiệm đối với đơn hàng đã

đặt Có những trang Web trưng bày sản phẩm khá đẹp mắt, nhưng không bán hàng bởi hứng thú của chủ doanh nghiệp đã bị giảm xút vì chờ Pháp lệnh ra đời

Với vai trò là Trưởng Ban soạn thảo Pháp lệnh thương mại điện tử, Thứ

trưởng Bộ Thương mại Lê Danh Vĩnh nhận định: "Nếu căn cứ vào trình độ phát triển chung của hạ tầng cơ sở về công nghệ thông tin và bưu chính viễn thông cũng như số lượng người kết nối Internet và số người sử dụng máy tính thì việc ứng dụng và phát triển thương mại điện tử ở nước ta mới đang ở giai đoạn đầu" Thứ trưởng thừa nhận,

3 vấn đề quan trọng nhất đối với thương mại điện tử ở Việt Nam là chữ ký điện tử, thanh toán điện tử và vấn đề bảo mật, an toàn trong thương mại điện tử Xử lý được các vấn đề này thì việc giải quyết kiện tụng, tranh chấp hợp đồng nếu có sẽ dễ dàng hơn

t Thanh toán, bảo mật, chứng thực cũng đang ỏ trạng thái chờ đợi

Khâu thanh toán trực tuyến hiện cũng đang là bài toán khó giải với tất cả các Website thương mại điện tử Việt Nam Có thể tìm thấy trên nhiều trang Web bán hàng qua mạng dòng chữ: “Do đặc thù thanh toán tại Việt Nam nên chúng Em chưa thể triển khai việc thanh toán qua mạng”, hoặc “Hàng sẽ được gửi đến Quý khách ngay khi chúng em nhận được thanh toán” Vì chưa ai định chuẩn thanh toán cho các giao dịch trên mạng, nên các Website thương mại điện tử thường tự xác định phương thức thanh toán riêng, phù hợp với mình Thủ tục thanh toán thường phải thêm nhiều bước: xác nhận lại đơn đặt hàng bằng fax, e'mail, điện thoại, sau đó chờ khách hàng chuyển tiền qua bưu điện rồi mới thực hiện giao hàng Điều đó khiến bên mua ngại tới với thương mại điện tử, còn bên bán thì không tin lắm vào lợi ích của việc bán hàng qua mạng

Thanh toán trực tuyến đòi hỏi người bán phải có một tài khoản chấp nhận thanh toán thẻ tại ngân hàng nào đó (Merchant Account) và thuê một nhà cung cấp dịch vụ thanh toán thẻ (Payment Gateway), còn người mua phải có thẻ tín dụng Thế nhưng, do cả phía người bán và người mua (qua mạng Internet) đều chưa sẵn sàng, việc sử dụng thẻ chưa thành thói quen trong thanh toán nên các nỗ lực khai thác

Internet đang dừng lại ở mức tiếp thị và quảng cáo cho thương mại truyền thống Tại Việt Nam, chưa có ngân hàng hoặc tổ chức nào cung cấp dịch vụ merchant account mặc dù nhu cầu sử dụng dịch vụ này của các website Việt Nam đang tăng nhanh Để khắc phục hạn chế này, các Website Việt Nam chỉ có thể sử dụng dịch vụ của một số ngân hàng hoặc tổ chức nước ngoài dù rằng chi phí khá cao Hoặc làm theo cách của chipchip.com hay bancanbiet.com: cho khách hàng tạo một tài khoản theo kiểu “trả

tiền trước” ngay trên Website, sau khi khách hàng nạp tiền vào tài khoản này, bên bán

sẽ trừ dần tiền trong tài khoản ấy khi khách đăng ký mua hàng

Thương mại điện tử gắn liền với những giao dịch trực tuyến, các bên tham gia phải cung cấp những thông tin nhạy cảm như: số thẻ tín dụng, password (mật khẩu),

dữ liệu tài chính hoặc các dữ liệu cần được bảo vệ tốt thông qua Website cung cấp dịch vụ Vì vậy, bảo mật là điều không thể thiếu Thế nhưng, vấn đề bảo mật chưa được các doanh nghiệp hướng tới thương mại điện tử quan tâm

Bảo mật cho hệ thống mạng máy tính cần phải quan tâm nhiều hơn còn vì sự quậy phá của hacker đã vượt ra khỏi ranh giới của “thú tiêu khiển” Theo một hacker:

“Phần lớn chủ Website hoặc quản trị mạng của các hệ thống kinh doanh điện tử ở Việt Nam không quan tâm đến bảo mật, họ không nghĩ rằng chỉ một lệnh DOS (từ chối dịch vụ) đơn giản hoặc những can thiệp về nội dung có thể gây tác hại lớn cho chuyện kinh doanh của họ” Có thể trước mắt, khi phần lớn các Website thương mại điện tử ở Việt Nam chưa thực hiện giao dịch trực tuyến thì bảo mật chưa thật sự quan trọng, nhưng về lâu dài, khi các giao dịch thương mại điện tử trở thành xu thế tất yếu thì nếu ít quan tâm sẽ rất khó trở bộ để tự bảo vệ mình Đó là chưa kể, nếu muốn phát triển nhanh và mạnh, việc cung cấp hàng hóa, dịch vụ buộc phải hướng tới thị trường bên ngoài Việt Nam

Cũng vì chưa có quy phạm nào về bảo mật nên ông Lê Trung Nghĩa tâm sự:

“Công nghệ thực hiện chứng thực điện tử khá đơn giản, công ty nào cũng có thể làm song không có quy định về chuẩn chung thì giải pháp bảo mật sẽ rơi vào tình trạng giống như bộ mã cho tiếng Việt: thiếu sự tương thích giữa các giải pháp”

1.2 Gi/i thi1u chung v6 thanh toán đi1n t<

1.2.1 Khái ni1m v6 thanh toán đi1n t<

Thanh toán điện tử là gì ?

Thanh toán là một khâu không thể thiếu trong bất kỳ một phiên giao dịch thương mại nào Vậy chúng ta hiểu thanh toán điện tử là gì ?

Thanh toán điện tử là việc ngân hàng thực hiện thanh toán theo yêu cầu của khách hàng mở tài khoản tiền gửi tại ngân hàng, thông qua việc khách hàng chuyển tới ngân hàng phục vụ mình yêu cầu thanh toán qua mạng máy tính Quá trình thanh toán điện tử là quá trình thiết lập, tiếp nhận, xử lý một lệnh chi qua mạng máy tính,

kể từ khi ngân hàng nhận được lệnh chi của khách hàng đến khi hoàn tất việc thanh toán cho người nhận [6]

Hay nói cách khác, thanh toán điện tử là các hình thức thanh toán tiến hành thông qua môi trường Internet Thông qua hệ thống thanh toán điện tử, thuê bao Internet có thể tiến hành các hoạt động thanh toán, chi trả, chuyển tiền v.v

Thông thường hệ thống thanh toán điện tử được liên kết với mạng thanh toán riêng của ngân hàng hay các mạng chuyên thanh toán khác như mạng thanh toán thẻ được điều hành bởi tổ chức Visa và MasterCard Thông qua hệ thống thanh toán điện

tử, thuê bao Internet có thể tiến hành thanh toán bằng các phương tiện sẵn có của họ như thẻ tín dụng hay thanh toán trực tiếp trên tài khoản của họ tại ngân hàng

Thanh toán điện tử không chỉ giới hạn trong hoạt động thanh toán giữa cá nhân và ngân hàng, cá nhân với doanh nghiệp hay doanh nghiệp với ngân hàng mà nó còn cho phép tiến hành thanh toán giữa các ngân hàng

Hệ thống thanh toán điện tử cung cấp dịch vụ thanh toán cho thuê bao Internet

từ Internet tiến hành thanh toán vào mạng riêng của ngân hàng Các hệ thống thanh toán điện tử đóng vai trò một cổng giữa Internet và mạng ngân hàng Cổng này sẽ nhận các yêu cầu thanh toán từ Internet sau đó chuyển đổi khuôn dạng dữ liệu từ dạng TCP/IP sang dạng dữ liệu sử dụng trong mạng ngân hàng Thông tin sau khi chuển đổi sẽ được gửi đến máy chủ trong mạng ngân hàng để tiến hành sử lý thanh toán Thông tin phản hồi từ máy chủ trên mạng ngân hàng gửi ra Internet cũng được cổng biến đổi tương tự

1.2.2 L@i ích cIa thanh toán đi1n t<

Trong thế giới kinh doanh, có rất nhiều phương pháp thanh toán khác nhau: khách hàng có thể trả tiền mặt, trả bằng séc hoặc dùng thẻ tín dụng Trong nội dung của đồ án này người viết đồ án sẽ đề cập đến những lợi ích của việc thanh toán bằng thẻ tín dụng Đây chính là hình thức thanh toán dễ nhất để áp dụng trực tuyến Và cũng xin nói thêm rằng giao thức thanh toán điện tử iKP được phất triển dựa trên mô hình thanh toán thẻ tín dụng, mặc dù giao thức iKP của IBM đưa ra với tham vọng có thể áp dụng cho mọi mô hình thanh toán phổ biến hiện nay nhưng mô hình thanh toán dựa trên thẻ tín dụng là hướng mà giao thức iKP muốn hướng tới Như vậy khách hàng và doanh nghiệp sẽ có được thuận lợi gì nếu chấp nhận thanh toán bằng thẻ tín dụng :

Thứ nhất: Thanh toán bằng thẻ tín dụng luôn tạo điều kiện thuận lợi cho khách hàng Không phải viết séc hay viết vào mẫu đơn đặt hàng, cho vào phong bì rồi gửi đi và cũng không cần phải gọi điện Khách hàng có thể đặt hàng 24 tiếng một ngày, 7 ngày một tuần, chỉ cần dùng thẻ tín dụng, nhập số rồi nhấn chuột vào các biểu tượng là có thể hoàn thanh giao dịch thanh toán

Thứ hai: Thanh toán bằng thẻ tín dụng là hình thức thanh toán tốt nhất, có uy tín nhất hiện nay và nó chứng tỏ hoạt động kinh doanh của doanh nghiệp mang tính chuyên nghiệp cao

Thứ ba: Khi chấp nhận thanh toán bằng thẻ tín dụng, khách hàng có thể đặt hàng trước và thanh toán sau Từ khâu đặt hàng cho đến lúc sản phẩm đóng gói, vận chuyển đều được thực hiện nhanh chóng Nếu khách hàng đặt hàng và thanh toán qua đường bưu điện hoặc fax họ sẽ gửi séc rồi phải đợi gia hạn séc

và sau đó mới gửi hàng Như vậy sẽ gây ra sự bất tiện, và mất nhiều thời gian

để hoàn thanh giao dịch thanh toán

Thứ tư: Khi kinh doanh trên Internet, đối tượng khách hàng của doanh nghiệp

có thể là toàn cầu, mà như chúng ta biết khách hàng ở các nước phát triển thường thanh toán bằng thẻ tín dụng khi mua hàng Do đó việc một doanh nghiệp không chấp nhận thanh toán bằng thẻ tín dụng cũng có nghĩa là doanh nghiệp đó từ chối bán hàng Khách hàng sẽ không mua hàng khi họ thấy mua bán không thuận tiện bởi vì họ có thể dễ dàng tìm thấy nhà cung cấp khác Còn ở Việt Nam, mặc dù hiện nay phương pháp thanh toán bằng thẻ tín dụng còn chưa phổ biến nhưng nếu doanh nghiệp có kế hoạch kinh doanh trên mạng

và có các chiến lược thu hút khách hàng trên toàn thế giới thì doanh nghiệp đó nên chấp nhận thanh toán bằng thẻ tín dụng

Và còn nhiều lợi ích khác

1.2.3 Jng dKng thanh toán đi1n t<

Thanh toán điện tử được ứng dụng cho hai lĩnh vực chính: Các hệ thống thanh toán thuần tuý và các hệ thống thanh toán là một phần của hệ thống thương mại điện

tử

Hệ thống thanh toán thuần tuý (được xem như dịch vụ ngân hàng tại nhà) Dịch vụ này cho phép người dùng tại nhà sử dụng máy tính cá nhân kết nối Internet để truy xuất thông tin về tài khoản của khách hàng tại ngân hàng Quan trọng hơn nữa là dịch vụ này cho phép người dùng sử dụng các dịch vụ thanh toán, chuyển tiền v.v của ngân hàng tại ngay máy tính cá nhân của mình Lợi thế của nhóm dịch vụ này là nó mang lại sự tiện dụng cho khách hàng: Thay vì phải đến ngân hàng để thanh toán, người dùng giờ đây có thể ngồi tại nhà mà vẫn sử dụng được ác dịch vụ của ngân hàng

Hệ thống thương mại điện tử sử dụng thanh toán điện tử

Hệ thống thương mại điện tử cung cấp dịc vụ bán hàng, giao dịch trên môi trường Internet Quá trình mua hàng gồm các bước: Người mua hàng đăng nhập vào siêu thị ảo, chọn mua hàng và tiến hành thanh toán Trong đó quá

trình thanh toán được liên kết đến hệ thống thanh toán điện tử Sử dụng trong thương mại điện tử người mua hàng thường chấp nhận thanh toán thẻ, là hình thức thanh toán có độ an toàn cao

Thanh toán điện tử mở rộng phạm vi phục vụ khách hàng của ngành ngân hàng, mang lại những tiện nghi như ngân hàng tại nhà cho người dùng Thanh toán điện tử cũng đang dần chiếm ưu thế trong lĩnh vực thanh toán liên ngân hàng Ngân hàng có xu hướng thay những liên kết mạng riêng liên ngân hàng bằng liên kết qua Internet để có thể giảm chi phí giao dịch, hấp dẫn khách hàng về chi phí và tiện nghi

sử dụng dịch vụ ngân hàng Thanh toán điện tử cũng là một giải pháp cho các ngân hàng chưa có hệ thống thanh toán liên ngân hàng

1.2.4 Các vGn đ6 trong thanh toán đi1n t< M Vi1t Nam

Hiện nay ở Việt Nam có thể nói chưa có hệ thống thanh toán điện tử mang đúng nghĩa của nó, cũng như các ngân hàng ở nước ta chưa có hệ thống thanh toán liên ngân hàng Gần đây, sự nổi lên của các ngân hàng, doanh nghiệp đòi hỏi áp dụng

hệ thống thanh toán điện tử đã mở ra một tương lai tươi sáng cho thương mại điện tử

ở Việt Nam Tiêu biểu là VNEMART ' Sàn giao dịch Thương mại điện tử đầu tiên của Việt Nam có triển khai hệ thống thanh toán điện tử đánh dấu một bước phát triển mới Tuy nhiên khi mà hành lang pháp lý về thương mại điện tử chưa hoàn thiện thì vấn đề triển khai hệ thông thanh toán điện tử khó có thể trở thành hiện thực Ở đây tác giả viết đồ án cũng xin giởi thiệu thêm một số thông tin về sàn giao dịch Thương mại điện tử VNEMART :

VNEMART với bước khởi đẩu gian nan tới thương mại điện tử đã chính thức khai trương vào ngày 23/4/2003 Đây là dự án do Phòng Thương mại và Công nghiệp Việt Nam (VCCI) cùng Công ty Điện toán và Truyền Số liệu (VDC) và Ngân hàng Công thương Việt Nam (ICB) phối hợp triển khai Sau gần 2 nǎm thai nghén, sự ra đời của VNEMART so với thế giới có vẻ muộn mằn nhưng đã mở ra cơ hội giao thương cho các doanh nghiệp Việt Nam để xuất khẩu hàng hoá, tìm kiếm đối tác và bạn hàng trên thị trường thế giới Khi các điều kiện pháp lý của Việt Nam hoàn thiện hơn, các doanh nghiệp có thể ký kết hợp đồng và thanh toán ngay qua mạng

Như vậy có thể nói trở ngại lớn nhất của Thanh toán điện tử ở Việt Nam là hàng lang pháp lý Thương mại điện tử Việt Nam cần một cơ sở luật để phát triển, và đây cũng chính là vấn đề sống còn của thanh toán điện tử ở nước ta hiện nay Thanh toán điện tử vẫn đang là một thách thức

1.3 TNng quan v6 thanh toán thP tín dKng

1.3.1 NguQn gRc cIa thP thanh toán

Phương pháp thanh toán bằng thẻ ra đời khá sớm do ông Frank Mc Namara, một doanh nhân người Mỹ, phát minh vào năm 1949 Những tấm thẻ thanh toán đầu tiên có tên là “Diner’s Club” đã thể hiện những ưu việt việt trội so với các phương pháp thanh toán truyền thống Đây là phương pháp có nhiều hứa hẹn trong tương lại, một phương pháp thanh toán kiểu mới – phương pháp thanh toán bằng thẻ, đặc biệt là thẻ tín dụng (Credit Card ) Trước khi tìm hiểu về phương pháp thanh toán kiểu mới này, chúng ta hãy tìm hiểu về khái niệm thẻ thanh toán, có những phương pháp thanh toán bằng thẻ nào ?

1.3.2 Khái ni1m v6 thP thanh toán

Đối với thẻ thanh toán có nhiều khái niệm để diễn đạt nó, mỗi một cách diễn đạt nhằm làm nổi bật một nội dung nào đó Sau đây là một số khái niệm về thẻ thanh toán:

Thẻ thanh toán (thẻ chi trả) là một phương tiện thanh toán tiền mua hàng hoá, dịch vụ hoặc có thể được dùng để rút tiền mặt tại các Ngân hàng đại lý hoặc các máy rút tiền tự động

Thẻ thanh toán là một loại thẻ giao dịch tài chính được phát hành bởi Ngân hàng, các Tổ chức tài chính hay các công ty

Thẻ thanh toán là một phương tiện thanh toán không dùng tiền mặt mà người chủ thẻ có thể sử dụng để rút tiền mặt hoặc thanh toán tiền mua hàng hoá, dịch

vụ tại các điểm chấp nhận thanh toán bằng thẻ

Thẻ thanh toán là phương thức ghi sổ những số tiền cần thanh toán thông qua máy đọc thẻ phối hợp với hệ thống mạng máy tính kết nối giữa Ngân hàng/Tổ chức tài chính với các điểm thanh toán (Merchant) Nó cho phép thực hiện thanh toán nhanh chóng, thuận lợi và an toàn đối với các thành phần tham gia thanh toán

Tóm lại: các cách diễn đạt trên đều phản ánh lên đây là một phương thức thanh toán

mà người sở hữu thẻ có thể dùng để thanh toán tiền mua hàng hoá dịch vụ hay rút tiền mặt tự động thông qua máy đọc thẻ hay các máy rút tiền tự động

1.3.3 Phân lo:i thP thanh toán

Có nhiều cách để phân loại thẻ thanh toán: phân loại theo công nghệ sản xuất, theo chủ thể phát hành, theo tính chất thanh toán của thẻ, theo phạm vi lãnh thổ

t Phân lo i theo công ngh s n xu t

Theo cách phân loại này sẽ có 3 loại:

Thẻ khắc chữ nổi (EmbossingCard): dựa trên công nghệ khắc chữ nổi, tấm thẻ đầu tiên được sản xuất theo công nghệ này Hiện nay người ta không còn sử dụng loại thẻ này nữa vì kỹ thuật quá thô sơ dễ bị giả mạo

Thẻ băng từ (Magnetic stripe): dựa trên kỹ thuật thư tín với hai băng từ chứa thông tin đằng sau mặt thẻ Thẻ này đã được sử dụng phổ biến trong 20 năm qua , nhưng đã bộc lộ một số nhược điểm: do thông tin ghi trên thẻ không tự

mã hoá được, thẻ chỉ mang thông tin cố định, không gian chứa dữ liệu ít, không áp dụng được kỹ thuật mã hoá, bảo mật thông tin

Thẻ thông minh (Smart Card): đây là thế hệ mới nhất của thẻ thanh toán, thẻ

có cấu trúc hoàn toàn như một máy vi tính

t Phân lo i theo tính ch t thanh toán c a th

Thẻ tín dụng (Credit Card): là loại thẻ được sử dụng phổ biến nhất, theo đó người chủ thẻ được phép sử dụng một hạn mức tín dụng không phải trả lãi để mua sắm hàng hoá, dịch vụ tại những cơ sở kinh doanh, khách sạn, sân bay chấp nhận loại thẻ này

Gọi đây là thẻ tín dụng vì chủ thẻ được ứng trước một hạn mức tiêu dùng mà không phải trả tiền ngay, chỉ thanh toán sau một kỳ hạn nhất định Cũng từ đặc điểm trên mà người ta còn gọi thẻ tín dụng là thẻ ghi nợ hoãn hiệu (delayed debit card) hay chậm trả

Thẻ ghi nợ (Debit card): đây là loại thẻ có quan hệ trực tiếp và gắn liền với tài khoản tiền gửi Loại thẻ này khi đợc sử dụng để mua hàng hoá hay dịch vụ, giá trị những giao dịch sẽ được khấu trừ ngay lập tức vào tài khoản của chủ thẻ thông qua những thiết bị điện tử đặt tại cửa hàng, khách sạn đồng thời

chuyển ngân ngay lập tức vào tài khoản của cửa hàng, khách sạn Thẻ ghi nợ còn hay được sử dụng để rút tiền mặt tại máy rút tiền tự động

Thẻ ghi nợ không có hạn mức tín dụng vì nó phụ thuôc vào số dư hiện hữu trên tài khoản của chủ thẻ

Có hai loại thẻ ghi nợ cơ bản:

' Thẻ online: là loại thẻ mà giá trị những giao dịch được khấu trừ ngay lập tức vào tài khoản chủ thẻ

' Thẻ offline: là loại thẻ mà giá trị những giao dịch đượcc khấu trừ vào tài khoản chủ thẻ sau đó vài ngày

Thẻ rút tiền mặt (Cash card): là loại thẻ rút tiền mặt tại các máy rút tiền tự động hoặc ở ngân hàng Với chức năng chuyên biệt chỉ dùng để rút tiền, yêu cầu đặt ra đối với loại thẻ này là chủ thẻ phải ký quỹ tiền gởi vào tài khoản ngân hàng hoặc chủ thẻ được cấp tín dụng thấu chi mới sử dụng được

Thẻ rút tiền mặt có hai loại:

' Loại 1: chỉ rút tiền tại những máy tự động của Ngân hàng phát hành ' Loại 2: được sử dụng để rút tiền không chỉ ở Ngân hàng phát hành mà còn được sử dụng để rút tiền ở các Ngân hàng cùng tham gia tổ chức thanh toán với Ngân hàng phát hành thẻ

1.4 TNng quan v6 lý thuyVt mWt mã

1.4.1 Khái ni1m v6 mWt mã

Mật mã học là nghành khoa hoch ứng dụng vào việc đảm bảo an toàn thông tin Mật mã học giữ vai trò quan trọng và có nhiều ứng dụng trong đời sống xã hội từ lĩnh vực an ninh quân sự , đến các lĩnh vực dân sự như kinh tế, ngân hàng, thương mại …

Đối tượng nghiên cứu chính của mật mã học là các kỹ thuật để mã hóa và bảo mật thông tin

1.4.2 Các lo:i mWt mã

1.4.2.1 Mã hoá quy ư)c

Mã hoá quy ước (hay còn gọi là mã hoá đối xứng ) là hệ thống mã hoá sử dụng cùng một khoá gọi là khoá bí mật (secret key/ symetric key) để thực hiện mã hoá hay giãi mã thông tin Việc bảo mật thông tin tuỳ thuộc vào việc bảo mật khoá bí mật

Phương pháp mã hoá quy ước DES được đưa vào sử dụng năm 1977 đã không còn được xem là an toàn khi tốc độ tính toán của các bộ vi xử lý ngày càng tăng

nhanh chóng Do đó nó không được áp dụng cho các ứng dụng đòi hỏi độ an toàn và bảo mật thông tin cao như các hệ thông thanh toán điện tử, hệ thống ngân hàng điện

tử … Để khắc phục yếu điểm đó, tháng 10/2000, Viện tiêu chuẩn và công nghệ Hoa

Kỳ NIST đã công bố chuẩn mã hoá mở rộng AES và quyết định chọn thuật toán Rijndael làm phương pháp mã hoá quy ước đại diện cho AES Tuy nhiên phương pháp mã hóa quy ước vẫn là phương pháp mã hóa cổ điển, không đem lại sự tin cậy cao của phương pháp mã hóa khóa công khai – một phương pháp mã hóa của mật mã hiện đại

1.4.2.2 Mã hoá khoá công khai

Mã hóa khóa công khai ( hay còn gọi là mã hóa bất đối xứng ) là hệ thống mã hóa sử dụng một cặp khóa để mã hóa và giãi mã thông tin Một khóa được công bố rộng rãi ( khóa công khai – public key ) để mã hóa thông tin, một khóa được giữ bí mật ( khóa bí mật – secret key ) để giải mã thông tin

Lợi ích lớn nhất của mã hóa khóa công khai chính là giúp người sử dụng tránh được các rủi ro khi trao đổi khóa Một hệ thông mã hóa khóa công khai bao gồm : Diffie – Hellman (Whitfield – Martin Hellman ), RSA ( Rivest – Shamir – Adleman ), Elgamal (Tahel Elgamal ), DSA ( David Kravitz ) và ECC ( Neal koblitz – Victor Miller ) Trong số đó RSA được sử dụng rộng rãi nhất bởi sự thuyết phục về tính an toàn bảo mật thông tin rất cao Đó cũng chính là lý do mà người viết đồ án lựa chọn thuật toán mã hóa RSA để thực hiện việc mã hóa thông tin Tuy nhiên, nhược điểm lớn nhất nhược điểm lớn nhất của RSA là tốc độ xử lý thông tin chậm, gây trở ngại cho các hệ thống ứng dụng, nhất là các hệ thống ứng dụng chạy trên môi trường mạng vốn dĩ được coi là môi trường truyền thông có tốc độ “rùa”

Mã hóa khóa công khai là nền tảng của nhiều ứng dụng bảo mật có ý nghĩa quan trọng trong đời sống xã hội như : chữ ký điện tử, chứng nhận điện tử, an toàn trong truyền dữ liệu trên mạng ( giao thức SSL)

Trong khuôn khổ của đồ án này người viết đồ án không thể đưa ra đầy đủ chi tiết về các thuật toán mã hóa quy ước và các thuật toán mã hóa khóa công khai.Ở đây, người viết đồ án chỉ trình bày những vấn đề cơ bản của thuật toán mã hóa và sinh chữ

ký số RSA – một thuật toán được áp dụng để xây dựng hệ thống ứng dụng của đồ án 1.4.2.3 Thu-t toán mã hóa RSA

Thuật toán mã hóa RSA là một thuật toán mã hóa khóa công khai phổ biến hiện nay trên thế giới RSA được xem là phương pháp an toàn và có khả năng ứng dụng rộng rãi trong các lĩnh vực Dựa vào nền tảng lý thuyết về phân tích thừa số nguyên tố của số nguyên lớn, thuật toán RSA được áp dụng vào mô hình mã hóa, mô

hình truyền nhận khóa và mô hình sinh chữ ký điện tử Phương pháp mã hóa RSA đòi hỏi mỗi thực thể sở hữu một cặp khóa công khai – khóa riêng để sử dụng cho tất cả các mô hình mã hóa

Quá trình tạo khóa công khai :

Tạo ngẫu nhiên hai giá trị số nguyên tố lớn khác nhau p và p

Nếu hệ thống RSA sử dụng số n có chiều dài là k bit thì được gọi là hệ thống RSA k'bit

Quá trình mã hóa dữ liệu :

Gọi (n,e) là khóa công khai, d là khóa riêng của người nhận B Người gửi A có nhu cầu mã hóa và gửi thông điệp m cho người nhận B Qua trình mã hóa diễn

ra như sau :

A nhận giá trị khóa công khai của B

Biểu diễn thông điệp m dưới dạng một số nguyên trong khoảng [0 n 1] Nếu thông điệp m quá dài, chia m thành tứng khối có kích thước phù hợp để mã hóa

Tính giá trị c = me mod n

A chuyển thông điệp đã mã hóa c cho B

Quá trình giải mã dữ liệu :

B nhận thông điệp c đã mã hóa

Sử dụng khóa riêng d để tính giá trị m = cd mod n

1.4.3 Các thuWt toán hàm băm và ch\ ký đi1n t<

1.4.3.1 Các thu-t toán hàm băm

Hàm băm là hàm toán học chuyển đổi một thông điệp có độ dài bất kỳ thành một dãy bit có độ dài cố định ( độ dài cố định phụ thuộc vào từng thuật toán băm ) Dãy bit này còn được gọi là message digest (thông điệp rút gọn) đại diện cho thông

điệp ban đầu Hàm băm là một hàm một chiều ( one'way function ) do đó rất khó có thể lấy lại thông điệp ban đầu từ message digest Các thuật toán này cho phép xác định tính toàn vẹn dữ liệu của thông điệp: mọi thay đổi dù là nhỏ nhất của thông điệp đều cho kết quả thông điệp rút gọn khác nhau Tính chất này hữu ích này trong việc phát sinh, kiểm tra chữ ký điện tử, đoạn mã chứng nhận thông điệp và phát sinh số ngẫu nhiên

Hàm băm là nền tàng của nhiều ứng dụng mã hóa Có nhiều thuật toán để thực hiện hàm băm, trong số đó SHA'1 và MD5 là được sử dụng phổ biến và đáng tin cậy Trong phần xây dựng ứng dụng, người viết đồ án đã lựa chọn thuật toán MD5 để băm mảnh dữ liệu truyền trên mạng

1.4.3.2 Ch5 ký đi n t8

Một trong các lợi điểm chính của mã hóa khóa công khai là cung cấp một phương pháp tạo chữ ký điện tử Đối với văn bản trên giấy, người dùng có thể dùng chữ ký tay để xác nhận nội dung và nguồn gốc của thông tin trong văn bản Tuy nhiên đối với văn bản điện tử rất dễ dàng sửa nội dung thông tin mà không để lại dấu vết Nhờ vào việc áp dụng các tính chất của mã hóa khóa công khai, chữ ký điện tử ra đời

để đáp ứng nhu cầu xác thực nội dung thông tin của văn bản điện tử Chữ ký điện tử

là một chuỗi số nhị phận có khả năng xác thực nguồn gốc dữ liệu, tính toàn vẹn dữ liệu và tránh sự phủ nhận trách nhiệm của người gửi Tuy nhiên, một chữ ký viết tay

có thể bị giả mạo còn chữ ký điện tử gần như không thể giả mạo

Cách thức để tạo chữ ký điện tử dựa trên việc mã hóa thông tin xác nhận bằng khóa riêng của người dùng Nếu người nhận giải mã chính xác thông tin bằng khóa công khai của người gửi thì nội dung của văn bản được chứng thực

Các văn bản cần được xác nhận thường có kích thước khá lớn trong khi việc

mã hóa bằng các thuật toán mã hóa khóa công khai lại có tốc độ rất chậm Để tăng tốc

độ ký nhận và xác nhận chữ ký điện tử đồng thời giảm khối lượng truyền tải, chữ ký điện tử được thực hiện trên message digest ( thông điệp rút gọn ) của văn bản

Chữ ký điện tử có ý nghĩa rất lớn trong thương mại điện tử do khả năng xác nhận sự toàn vẹn và nguồn gốc của thông tin được trao đổi qua mạng Đặc biết chữ ký điện tử đóng vai trò rất quan trọng trong việc thanh toán trực tuyến và tọa các chứng nhận điện tử để giao dịch

Có nhiều thuật toán sinh chữ ký điện tử khác nhau hiện đang tồn tại và sử dụng như: RSA ( Rivest – Shamir – Adleman ), DSA ( Digital Signature Algorithm ), ECDSA ( Elliptic Curve Digital Signature Algorithm ) Trong đó thuật toán RSA, DSA có độ tin cậy cao và được sử dụng hầu hết các ứng dụng có sử dụng sinh chữ ký điện tử Do đó thuật toán RSA được người viết đồ án lựa chọn để sinh chữ ký điện tử

trong chương trình ứng dụng Và trong khuôn khổ đồ án người viết không thể trình bày đầy đủ chi tiết tất cả các thuật toán sinh chư ký số, mà ở đây người viết sẽ trình bày những vấn đề cơ bản của phương pháp sinh chữ ký điện tử RSA

1.4.3.3 Mô hình ch5 ký đi n t8 RSA

Phương pháp RSA có thể được áp dụng trong chữ ký điện tử Khóa riêng được dùng để tạo chữ ký Khóa công khai dùng để xác thực chữ ký Để nâng cao tốc độ xử

lý, thuật toán MD5 được sử dụng để tọa thông điệp rút gọn của văn bản cẩn ký Việc tọa và xác nhận chữ ký được thực hiện trên thông điệp rút gọn

Quá trình tạo chữ ký bằng RSA:

Giả sử A có khóa công khai là (n,e) và khóa riêng là d, gọi văn bản cần

ký là M, A tạo ra message digest của M bằng hàm H là H(M)

A dùng khóa riêng d để mã hóa H(M) bằng phương pháp RSA:

Ph#n II: MÔ HÌNH GI`I PHÁP THANH TOÁN ĐI N T,

2.1 TNng quan giao thac iKP

2.1.1 Lbch s< hình thành he giao thac iKP

Internet đã và đang trở thành diễn trường tiềm năng và hứa hẹn hỗ trợ cho thương mại điện tử Trong nhiều năm qua, các ứng dụng cơ bản chủ yếu trên Internet

là e'mail (SMTP), telnet (remote login), news (NNTP), fpt (file transfer protocol), v.v.v và gần đây là WWW với giao thức HTTP (hypertext transfer protocol) Từ năm

1993, một số các tổ chức quốc tế hoặc công ty như WWW consortium, NSCA,

Netscape Comm Corp đưa ra hàng loạt các "chuẩn" về bảo mật như SSL (secure socket layer), S'HTTP (secure hypertext transfer protocol), SET (secure electronic transactions), làm cơ sở tăng cường cho các ứng dụng thương mại điện tử trên Internet Tuy nhiên, câu hỏi đặt ra là: "Làm thế nào để thanh toán?" hoặc "Việc thanh toán thế nào là an toàn?", vvv.Vấn đề mới nảy sinh làm các chuyên gia trong lĩnh vực thương mại điện tử phải suy nghĩ tìm hướng giải quyết cho vấn đề này

Từ năm 1994, có rất nhiều mô hình giao thức khác nhau được đưa ra để giải quyết vấn đề thanh toán điện, một trong những giao thức thanh toán được các chuyên gia trong lĩnh vực thương mại điện tử quan tâm là họ giao thức iKP do Viện nghiên cứu IBM ( IBM Research) đưa ra iKP là một họ các giao thức thanh toán điện tử gọi

là Internet Keyed Protocol (iKP) giải quyết việc thanh toán giao dịch đa phương trên Internet (secure multi'Party transactions), dựa trên mô hình thẻ điện tử iKP gồm 3 giao là 1KP, 2KP, 3KP ( do vậy iKP được gọi là một họ giao thức thanh toán điện tử ) được xây dựng dựa trên nền tảng của mật mã hiện đại ( mật mã khóa công khai, thuật toán mã hóa RSA ) thực hiện kết hợp phần mềm và/hoặc phần cứng iKP mô phỏng các người chơi chủ yếu của các giao dịch thương mại trên Internet là Customer ( đại diện cho khách hàng), Merchant ( đại diện cho doanh nghiệp) và Acquier ( đại diện cho ngân hàng) Mục tiêu của iKP là đặt cơ sở cho các thanh toán điện tử trong tương lai dùng công nghệ credit'card truyền thống Phát triển theo hướng mở, iKP được sự ủng hộ của rất nhiều hãng tài chính thế lực và hiện trên quá trình xây dựng và hoàn chỉnh

2.1.2 Các khái ni1m trong he giao thac iKP

2.1.2.1 Khái ni m v; Party

Hình 2a1 Các Pary trong mô hình thanh toán

Một thực tế mà ai cũng nhận thấy rằng, một quá trình giao dịch thanh toán bao giờ cũng có sự tham gia của các bên, đó là bên mua , bên bán và bên thanh toán Party là khái niệm để chỉ bên tham gia quá trình giao dịch điện tử như khách hàng(Customer), thương gia(Merchant), ngân hàng thanh toán(Acquirer Bank),ngân hàng phát hành thẻ(Issuer Bank), tổ chức thẻ tín dụng(Credit Card association ), tổ chức chứng nhận khoá công khai(CA), kẻ gian(Adversary)

Sau đây chúng ta sẽ tìm hiểu rõ hơn về các Party:

t Tổ chức thẻ tín dụng

Master Card,Visa Card, vv

t Ngân hàng phát hành thẻ ( Issuer )

Là thành viên chính thức của các Tổ chức thẻ quốc tế được xác định bởi một

số định danh gọi là BIN ( Bank Identification Number).Đây là mã số chỉ Ngân hàng phát hành thẻ.Trong hiệp hội thẻ có nhiều ngân hàng thành viên, mỗi ngân hàng thành viên có một mã số riêng giúp thuận lợi trong thanh toán và truy xuất Ngân hàng phát hành thẻ cung cấp thẻ cho Customer và là ngân hàng phát hành chịu trách nhiệm tiếp nhận hồ sơ xin cấp thẻ, xử lý và phát hành thẻ, mở và quản lý tài khoản thẻ, đồng thời thực hiện việc thanh toán cuối cùng với chủ thẻ

t Khách hàng ( Customer )

Là chủ sở hữu thẻ tín dụng được cung cấp thẻ bởi Ngân hàng phát hành thẻ và chịu sự quản lý của Ngân hàng phát hành thẻ đó Đây là đối tượng phát ra yêu cầu

thanh toán cho cơ sở chấp nhận thẻ(Merchant) bằng cách sử dụng một máy tính kết nối mạng.Mỗi chủ thẻ có môt mã số bí mật được gọi là PIN (Personal Identification Number).Đó là mã số cá nhân của chủ thẻ để thực hiện giao dịch rút tiền tại các máy rút tiền tự động Mã số này do Ngân hàng phát hành thẻ cung cấp cho chủ thẻ khi phát hành Đối với mã số PIN, người chủ thẻ phải giữ bí mật, chỉ một mình mình biết

t Cơ sở chấp nhận thẻ (Merchant)

Là các thành phần kinh doanh hàng hoá và dịch vụ có ký kết với Ngân hàng thanh toán về việc chấp nhận thanh toán thẻ như: nhà hàng, khách sạn, cửa hàng Các đơn vị này phải trang bị máy móc kỹ thuật để tiếp nhận thẻ thanh toán tiền mua hàng hoá, dịch vụ, trả nợ thay cho tiền mặt

t Ngân hàng đại lý hay Ngân hàng thanh toán(Acquier)

Là Ngân hàng trực tiếp ký hợp đồng với cơ sở tiếp nhận và thanh toán các chứng từ giao dịch do cơ sở chấp nhận thẻ xuất trình Một Ngân hàng có thể vừa đóng vai trò thanh toán thẻ vừa đóng vai trò phát hành

t Kẻ gian(Adversary)

Đây là khái niêm trừu tượng, được hiểu là kẻ tham gia hoặc tấn công vào hệ thống nhằm mục đích kiếm lợi cho riêng mình.Nó có thể tham gia nhiều vai diễn khác nhau:

Đóng vai là một Customer ‘rởm’ với mục đích mua hàng nhưng không trả tiền,

Đóng vai là một cơ sở chấp nhận thẻ mạo danh với mục đích lấy tiền của Customer mà không mất sản phẩm

Kẻ nghe trộm(listen eavesdropper): người nghe trộm các thông điệp và các bí mật như số PIN

Kẻ phá hoại – thay đổi thông tin(active attacker): Kẻ tạo ra những message giả mạo rồi gửi cho Customer

Đối thủ cạnh tranh (Adversary): Kẻ có khả năng lấy khóa từ một Party xác thực

Kẻ tạo hoặc sử dụng Vius(Intruder) với mục đích phá hoại

Nội gian ( insider ): Người nội bộ hay tay trong với âm mưu phá hoại

t Tổ chức chứng nhận khóa công khai(Certification Authority)

Là tổ chức có khóa bí mật (SKC), và bản sao công khai PKC để chứng nhận khóa công khai của Party

2.1.2.2 Các yêu c>u c a Party

Các yêu cầu cơ bản của một hệ thanh toán điện tử trên Internet đòi hỏi bao gồm các yêu cầu của các đối tác tham gia mua bán trên mạng để đảm bảo quyền lợi cho mình Có 3 bên (đối tượng tham gia giao dịch ) liên quan đến mua bán trên mạng

đó là Customer, Merchant và Acquirer Sau đây là một số yêu cầu cơ bản:

t Yêu cầu của Acquirer

Để đảm bảo quyền lợi cho mình, Issuer/Acquirer cần những yêu cầu sau: A1.Bằng chứng xác thực giao dịch của Customer ( Proof of transaction

authorisation by Customer)

Mục đích của yêu cầu này là ngân hàng biết đích xác giao dịch thực hiện bởi chính Customer thật, không phải kẻ mạo danh nào ( như tránh việc gian lận thực hiện bởi Merchant ) Khi Merchant yêu cầu Acquier ghi nợ vào tài khoản tín dụng nào đó, Acquier nên sở hữu một bằng chứng không thể giả chối cãi được để xác minh rằng Customer đã cho phép việc thanh toán này hay nói cách khách đây là chứng cớ chứng minh được rằng Customer đã chấp nhận tham gia giao dịch thanh toán này Với yêu cầu này Customer phải chịu trách nhiệm về giao dịch thanh toán của mình ( chống sự chối bỏ) Chú ý rằng các thông tin trong giao dịch tối thiểu cần phải có: số tiền thanh toán, thời điểm thanh toán và thông tin nhận dạng Merchant Và phải đảm bảo rằng Adversary không được biết các thông tin đó đồng thời không có khả năng ra lệnh cho một phiên giao dịch.Và nhớ rằng Merchant cũng có thể là Adversary và Merchant sinh ra các lệnh giả mạo Chúng ta phân biệt rằng trong những bằng chứng xác thực giao dịch của Customer có thể đó là những chứng cớ yếu ( Weak Proof'những bằng chứng không chắc chắn) hoặc có thể là những bằng chứng mang tính rõ ràng chắc chắn ( undeniable receipt)

Chứng cớ không chắc chắn ( Weak Proof ): Customer được xác thực với Acquier nhưng lại không phù hợp với Party thứ ba Ví dụ như số tiền thanh toán, đơn vị tiền tệ

Chứng cớ rõ ràng chắc chắn ( undeniable receipt ): như một biên lai không thể phủ nhận được'không thể chối bỏ Ví dụ như số thẻ

A2.Chứng nhận và xác minh Merchant(Certification and authentication of

Merchant)

Bằng chứng xác thực việc trả tiền của người mua đến đúng với người bán.Đây

là yêu cầu cần thiết, vì Acquier phải chắc chắn rằng mình đang thanh toán với một Merchant tin tưởng chứ không phải với kẻ lừa đảo

t Yêu cầu của Merchant

M1.Bằng chứng xác thực giao dịch của Acquier(Proof of transaction authorisation

by Acquirer)

Merchant cần biết đích xác tiền đã vào tài khoản mình từ Ngân hàng nào Do

đó Merchant cần những bằng chứng xác thực về Acquier Đó là các thông tin để chứng nhận và xác minh tính đúng đắn về Acquier Các thông tin cần lưu ý: số tiền, thời điểm giao dịch, thông tin xác định phiên giao dịch đó.Chúng ta cũng cần phân biệt rõ hai loại chừng cớ như đã nói ở trên ( mục 1.3.1'A1 ):

Chứng cớ không chắc chắn(Weak Proof)

Chứng cớ rõ ràng chắc chắn ( undeniable receipt )

M2.Hỗ trợ những đợt giao dịch nhỏ(Support for batching of small payments)

Đối với giao dịch thanh toán đơn lẻ thì Merchant cũng cấn hỗ trợ các dịch vụ nhỏ lẻ không nhất thiết lúc nào cũng phải yêu cấu Customer tham gia giao dịch một cách cầu kỳ phức tạp Merchant cần chú ý đến hiệu quả trong giao dịch thanh toán lẻ M3.Chống chối bỏ từ Customer ( NonFrepudiation from customer )

Mục đích của yêu cầu này là Merchant cần sự xác thực giao dịch của Customer Khi Customer đồng ý tham gia giao dịch thanh toán thì không thể chối cãi hoặc phủ nhận các giao dịch đó

t Yêu cầu của Customer

C1.Chống giả mạo Customer trong thanh toán(Unauthorised payment is

impossible)

Đây là yêu cầu quan trọng nhất của Customer.Chỉ có Customer mới có chủ quyền của các giao dịch chuyển khoản trên tài khoản mình.Bởi vì các hacker hoặc kẻ lừa đảo có thể sinh ra đợt giao dịch giả, mạo danh Customer tham gia giao dịch một cách hợp pháp khi chúng biết được mã PIN và số thẻ Do đó yêu cầu này bảo đảm an toàn về tài khoản của Customer

C2.Bằng chứng xác thực giao dịch của Acquier ( Proof of transaction

C3.Biên lai thanh toán nhận từ Merchant(Receipt from Merchant)

Với yêu cầu này Customer muốn những chứng cớ về Merchant đã nhận được tiền của dịch vụ hoặc hàng hoá mà mình mua

C4.Bảo vệ tính riêng tư của đơn hàng(Privacy of order information or anonymity)

Customer không muốn thông tin mua bán (mặt hàng, số lượng, số tiền) của mình lộ cho người ngoài biết

C5.Chứng nhận và xác minh Merchant(Certification and authentication of

Merchant)

C6.Tính ẩn danh ( Anonymity )

Khách hàng không muốn các thông tin về bản thân mình bị tiết lộ cho người ngoài.Đó là yêu cầu về bảo vệ tính riêng tư của khách hàng khi tham giao giao dịch điện tử

C7.Hỗ trợ việc các khúc mắc sau giao dịch ( Support for disputability of payments)

Khi kết thúc giao dịch Customer cũng cần được tranh cãi để bảo vệ quyền lợi của mình khi có vấn đề náy sinh

2.2 Giao thac 1KP

2.2.1 Gi/i thi1u

Giao thức cơ bản nhất của họ giao thức iKP là giao thức 1KP.Trong phần này chúng ta sẽ tìm hiểu về cơ chế hoạt động của nó.Theo giao thức 1KP thì Customer và Merchant đều có quyền sở hữu khóa công khai ( PKA ) và bản chứng thực khóa công khai của Acquirer ( CERTA ) Mọi Customer C có số PIN bí mật, đây là thông tin bí mật không thể tiết lộ cho bất kì ai, bởi vì nếu một kẻ khác biết được mã PIN họ có thể dễ dàng truy cập vào tài khoản của khách hàng thực hiện các giao dịch.Khi

Customer và Merchant thực hiện trao đổi thông tin cho nhau, họ sẽ dùng khóa công khai của Acquirer để mã hóa thông tin đó trước khi truyền đi.Thuật toán mã hóa được dùng ở đây là RSA ' một thuật toán của mật mã hiện đại.Để chứng nhận khóa công khai đó là của Acquirer.Thì Customer và Merchant cần phải có bản chứng thực khóa công khái của Acquirer ( CERTA )

Để tìm hiểu về cơ chế hoạt động của giao thức 1KP, ta cần biết một số khái niệm sau:2.2.2 Đbnh nghĩa các thông đi1p

Để tìm hiểu về cơ chế hoạt động của giao thức 1KP, ta cần biết một số khái niệm sau:

t OFFER: Đơn hàng chào hàng mà Merchant gửi cho Customer.Nó gồm các trường thông tin:

OFFER description : Các mô tả về đơn hàng OFFER

Amount : Tổng tiền thanh toán

Currency: đơn vị tiền tệ

Date: ngày giao dịch

ID of Merchant: mã xác thực của Merchant

t ORDER: Đơn hàng mà Customer gửi lại cho Merchant để xác minh lại đơn chào hàng của Merchant , bao gồm các trường thông tin sau:

ORDER description : Các mô tả về ORDER

Amount: tổng tiền thanh toán

Currency: đơn vị tiền tệ

Date: ngày giao dịch

ID of Merchant : mã xác thực của Merchant

delivery address: địa chỉ phân phát hàng Địa chỉ phân phát hàng phụ thuộc vào sản phẩm được giao, nó có thể là địa chỉ thực như số nhà đường phố …(địa chỉ vật lý), nó có thể là địa chỉ logic như email Những sản phẩm có thể phân phát theo địa chỉ logic như phần mềm, tài liệu …vv Còn những sản phẩm không thể phân phát theo địa chỉ logic được như hoa, tranh ảnh …vv sẽ sẽ được gửi theo địa chỉ vật lý

t SLIP : Là một đối tượng mà Customer tạo ra để ma hóa và gửi cho Merchant , bao gồm các trường thông tin sau:

Amount: tổng tiền thanh toán

Currency: đơn vị tiền tệ

Date: ngày giao dịch

ID of Merchant : mã xác thực của Merchant

Credit card number : số thẻ tín dụng của Customer

Expiration date : ngày hết hạn của thẻ

PIN : mã số cá nhân của Customer

H(ORDER): giá trị của hàm băm nội dung đối tượng ORDER

t AUTH : Là đối tượng mà Acquirer cấu thành để phản hồi cho Merchant các thông tin xác thực về một phiên gíao dịch :

approved/rejected: thông tin phản hồi chấp nhận ( approved ) hoặc từ chối ( rejected ) giao dịch

H(amount, currency, date, ID of Merchant) : giá trị hàm băm các thông tin ( amount, currency, date, ID of Merchant )

H(ORDER) : giá trị hàm băm các thông tin của ORDER

2.2.3 Cơ chV giao thac

Sau khi Customer đặt đơn thanh toán , Merchant sẽ gửi cho Customer một mẫu thanh toán chứa thông tin về đơn hàng và về Merchant ( như ngày tháng giao dịch,

số lượng hàng, số tiền thanh toán, ID của Merchant, khóa công khai của A và một bản chứng thực khóa công khai này) Có thể Customer đã biết chính xác các thông tin về đơn hàng và về Merchant mà minh đang giao dịch nhưng chẳng tổn hại gì

và sẽ an toàn hơn nếu Customer gửi lại thông tin đó cho Merchant để khẳng định rằng mình đã nhận được thông tin chính xác từ Merchant Customer sẽ kiểm tra lại tính hợp lệ của các thông tin trong bản chứng thực khóa công khai CERTA của Acquirer mà mình sẽ thực hiện việc mã hóa SLIP bằng khóa công khai này Sau

đó C tạo thành một thông điệp (đối tượng ) SLIP và mã hóa nó bằng khóa công khai của A tạo thành bản mã y = EA(SLIP) rồi truyền bản mã đó cùng với thông điệp ORDER cho Merchant

Merchant nhận các thông tin từ Customer truyền tới , thực hiện kiểm tra các thông tin trong ORDER xem có thich hợp với lời đặt hàng OFFER không Sau đó

Merchant thực hiện băm ORDER, thu được giá trị băm của ORDER là h =

H(ORDER) và gửi h cùng với bản mã y tới Acquirer

Acquirer nhận thông tin từ Merchant là h và y Acquirer sẽ thực hiện giải mã bản

mã y bằng khóa riêng của mình Nếu giải mã bị lỗi nó sẽ thông báo giao dịch không hợp lệ ( Customer đã không dùng đúng khóa công khai của Acquirer để mã hóa SLIP ) Ngược lại, khi giải mã thành công Acquirer sẽ lấy thông tin từ thông điệp SLIP để cấu thành thông điệp ORDER để thực hiện băm : H(ORDER) và so sánh với giá trị h của Merchant gửi đến Nếu có sai khác, thì thông tin h hoặc SLIP đã bị thay đổi Acquirer thực hiện kiểm tra số PIN của Customer , ID của Merchant được cung cấp bởi Customer Nếu các kiểm tra đó đều thỏa mãn , Acquirer sẽ tạo ra một thông điệp xác thực AUTH với thông tin phản hồi là

approved, và thông điệp này được Acquirer ký lên bằng chữ ký số SA SA được tạo ra nhờ thuật toán tạo chữ ký số của hệ mật mã hiện đại là RSA có sử dụng khóa bí mật của mình là SKA Thông điệp thu được là SA( AUTH, EA(SLIP)) và gửi lại cho Merchant

Merchant kiểm tra tính hợp lệ của chữ ký bằng khóa công khai của Acquirer, nếu thỏa mãn và các thông tin đã được Acquirer xác minh đúng đắn Merchant sẽ xem lại lần nữa các thông tin nhận được trước đó và anh ta cũng gửi lại chữ ký số nhận được từ Acquirer tới Customer

Customer nhận được thông tin phản hồi từ Merchant sẽ kết thúc giao dịch nếu muốn hoặc có thể thực hiện tiếp giao dịch khác

Giao thức 1KP là giao thức cơ bản và đơn giản nhất trong họ giao thức của iKP Trong giao thức 1KP chỉ có duy nhất Acquirer là có quyền sở hữu khóa công khai và phân phát cặp khóa công khai cho Customer, Merchant dùng để thực hiện mã hóa các xác thực chữ ký Giao thức 2KP sẽ có 2 Party có quyền sở hữu cặp khóa công khai là Acquirer và Merchant Ở giao thức 3KP sẽ có 3 Party có quyền sở hữu khóa công khai là Acquirer, Merchant và Customer.Giao thức 2KP và 3KP sẽ được giải quyết chi tiết ở phần tiếp sau đây

Để rõ ràng, ta giả sử rằng chỉ có duy nhất một Acquier chứng thực tất cả các Merchant Chúng ta sẽ mã hoá một thông tin của đơn đặt hàng ( ORDER )

2.3.2 Đbnh nghĩa các thông đi1p

2.3.3 Cơ chV giao thac