Wells Fargo, một trong những công ty ngân hàng Web lớn nhất sử dụng một dịch vụ xử lý thanh toán không SET SETfree, dịch vụ bổ sung các chứng thực cho việc mã hoá dữ liệu SSL.. Sự xuất h
Trang 1Tổng quan về thương mại điện tử - internet (P4)
Hệ thống thanh toán điện tử
Thanh toán trực tuyến là một trong những vấn đề cốt yếu của TMĐT Thiếu hạ tầng thành toán, chưa thể có thương mại điện tử theo đúng nghĩa của nó Từ số này, chúng tôi sẽ giới thiệu một loạt bài về nội dung này Những vấn đề được đề cập tới bao gồm khái lược về một hệ thống thanh toán điện tử điện hình cho TMĐT
1 SET (Secure Socket Layer)
2 Thanh toán điện tử và các giao thức
3.Lược đồ bảo mật trong các hệ thống thanh toán điện tử
Trang 21 SET (Secure Socket Layer)
Phương pháp thanh toán Internet cho TMĐT B2C phổ biến nhất là thẻ tín dụng Tuy nhiên, một mối lo ngại cho khách hàng là vấn đề an ninh khi *** qua Internet những thông tin về thẻ tín dụng, bao gồm tên, số thẻ, ngày hết hiệu lực Người mua còn lo ngại về vấn đề bảo vệ sự riêng tư Họ không muốn người khác biết họ là ai, hay
họ mua gì Họ cũng muốn tin chắc rằng không ai thay đổI đơn đặt hàng của họ và rằng
họ đang liên hệ với nmgườI bán hàng thực sự và không phải với một người giả danh
Hiện nay, nhiều công ty sử dụng giao thức SSL(Secure Socket Layer) để cung cấp sự bảo mật và bảovệ sự riêng tư Giao thức này cho phép khách hàng mã hoá đơn đặt hàng của họ tại máy tính cá nhân củâ họ.Tuy nhiên, giao thức này không cung cấp cho kháchhàng mọi sự bảo vệ mà họ có thể có
Visa và MasterCard đã cùng nhau phát triển một giaothức an toàn hơn, được gọi là SET (Secure ElectronicTransaction) Về lý thuyết, đó là một giao thức hoàn hảo.Ví dụ, một sự khác biệt điển hình giữa SET và SSL đượcsử dụng rộng rãi là SSL không bao gồm một chứng thựckhách hàng yêu cầu phần mềm đặc biệt (được gọi là vísố - digital wallet) tại máy tính cá nhân của họ SSL đượcthiết lập trong trình duyệt,
do đó không cần một phầnmềm đặc biệt nào Kế hoạch Visa và MasterCard phảichấp nhận các thông điệp chỉ khi chúng tuân thủ giaothức SET
Tuy nhiên, SET không phổ biến nhanh như nhiềungười mong đợi do tính phức tạp, thời gian phản hồichậm, và sự cần thiết phải cài đặt ví số ở máy tính củakhách hàng Nhiều ngân hàng ảo và cửa hàng điện tửduy trì giao thức SSL, thậm chí một số cửa hàng điện tử, như Wal-Mart Online, đi theo cả hai giao thức SSL vàSET Ngoài ra,
Trang 3theo một cuộc khảo sát do Forrest Research thực hiện, chỉ có 1% kế hoạch kinh doanh điện tử di chuyển sang SET
MasterCard cho biết ví số có thể sẽ được phân phốI như là phần mềm được gắn thêm vào phiên bản Windows tiếp theo Tuy nhiên, Visa quyết định không chờ đợi Visa đồng ý cung cấp một cổng nối xử lý thẻ tín dụng được gắn vào giao thức mã hoá SSL cơ bản Wells Fargo, một trong những công ty ngân hàng Web lớn nhất sử dụng một dịch vụ xử lý thanh toán không SET (SETfree), dịch vụ bổ sung các chứng thực cho việc mã hoá dữ liệu SSL Các chứng thực được lưu giữ ở các thẻ thông minh và những thẻ này cho thể được đọc từ một bàn phím đặc biệt có thêm khe cắm
SET là một sự thất bại? Hay chúng ta nên chờ đợI thêm chút nữa cho đến khi ví điện tử ở thẻ thông minh được sử dụng rộng rãi hơn và SET trở nên dễ dàng hơn cho chúng ta?
2 Thanh toán điện tử và các giao thức
Chúng ta đã biết một trong những vấn đề chủ yếu của TMĐT là: thanh toán và
sự bảo mật của nó Các hệ thống thanh toán an toàn là điều bắt buộc phải có để đảm bảo thành công của TMĐT và chúng là đối tượng đề cập đến của phần này
Khi mua một chiếc bánh ham-bơ-gơ ở một cửa hàng ăn nhanh, chúng ta đã trả tiền với hoá đơn thanh toán bằng giấy giá trị vài đôla và có thể nhận lại vài xu tiền thừa Để có một bữa trưa tuyệt vời ở một cửa hàng ăn Pháp, chúng ta có thể trả tiền với một thẻ tín dụng Để trả tiền cho hoá đơn thanh toán sử dụng điện, chúng ta *** một tấm séc giấy Đó là những phương pháp thanh toán ngoại tuyến điển hình Người
ta ước tính là khoảng 55% các giao dịch của người tiêu dùng ở Mỹ được thanh toán
Trang 4bằng tiền mặt và 29% bằng séc Tín dụng, ghi nợ, và những giao dịch điện tử khác chiếm khoảng 15% tất cả các giao dịch của người tiêu dùng Số tiền mà Mỹ phảI chi cho việc xử lý các thanh toán này là 60 tỷ USD hàng năm, con số này tương ứng với 1% tổng sản lượng quốc gia (GNP)
Sự xuất hiện của việc mua hàng điện tử trên Internet yêu cầu phải có những phương thức thanh toán mới: Tiền mặt không thể là một phương tiện thanh toán giữa những người mua và người bán cách xa nhau trên không gian ảo Do đó, thẻ tín dụng trở thành một phương pháp thanh toán phổ biến nhất cho việc mua hàng ảo được tiến hành bởi người tiêu dùng
Máy tính yêu cầu bạn đọc vào số thẻ, tên người sở hữu thẻ, ngày hết hạn thẻ ở nhiều khu kinh doanh điện tử, câu trả lời cho những câu hỏi này được mã hoá Tuy nhiên, không phải tất cả người tiêu dùng đều tin tưởng vào tính an toàn của việc truyền các thông điệp trực tuyến Do đó, những người bán buộc phải cung cấp nhiều khả năng lựa chọn cho việc truyền các thông tin về thẻ tín dụng, sao cho người mua có thể lựa chọn phương pháp mà họ ưa thích (Ngay cả khi thanh toán điện tử đang trở nên phổ biến nhanh chóng, nhiều khách hàng vẫn sợ cung cấp thông tin thẻ tín dụng của họ trên mạng Trong khi khách hàng đang làm quen với các hệ thống mới, các nhà kinh doanh phải cung cấp đa khả năng lựa chọn trong thanh toán trong giai đoạn chuyển tiếp này Quá trình thực hiện thanh toán phức tạp phải không trở thành một sự cản trở cho việc truy cập của khách hàng Ví dụ, khách hàng có thể được phép gõ thông tin thẻ trực tuyến cũng như là gọi một số điện thoại miễn phí Một số site thậm chí còn chấp nhận một bản fax, một e-mail hay một thư in ấn trong một phong bì có niêm phong
Trang 5Trung tâm gọi, với chi phí nhân công của nó, và chi phí xử lý fax, e-mail, thư in
ấn có nghĩa là thanh toán dựa trên giao thức SET sẽ thực sự trở thành một phương pháp kinh tế nhất đối với các nhà kinh doanh Tuy nhiên, một số ít site thương mại chỉ chuyên dùng giao thức SET, giao thức yêu cầu việc tải xuống một "ví điện tử" Nhiều khách hàng không đủ kiên trì và một số không thể thực hiện quá trình cài đặt kỹ thuật
Do đó, các nhà kinh doanh phải mở ra các phương pháp thanh toán thân thiện người dùng để lựa chọn Các nhà kinh doanh cần phải đi theo con đường tìm hiểu của khách hàng trong việc lựa chọn các phương pháp thanh toán.) Khách hàng có thể *** thông tin thẻ trực tuyến hay bằng cách gọi điện thoại miễn phí
Giao thức giao dịch điện tử an toàn cho thanh toán thẻ tín dụng: Một vấn đề cơ bản là "Sự mã hoá có đủ an toàn để bảo vệ thông tin mật và sự xác thực?" Bạn có thể nhớ rằng người bán hàng trong mọi giao dịch thẻ tín dụng ngoạI tuyến đều có thông tin về thẻ tín dụng của khách hàng.Điều này có nghĩa là thông tin thẻ tín dụng có thể bị lợi dụng Điều này cũng đúng trong thương mại Internet.ở đây, nguy cơ thậm chí còn lớn hơn vì bọn tin tặc (hackers) có thể đọc các thông tin thẻ khi thông tin này được truyền trên Internet
Nguy cơ sử dụng giả mạo thẻ tín dụng của một người khác cũng thường xuyên
có trừ phi một giao thức có thể xác nhận tính chân thật của ngườI chủ sở hữu thẻ ở phía bên kia của không gian ảo Liệu việc *** thông tin thẻ bằng fax, điện thoại, e-mail, hay thư bảo đảm có tránh được nguy cơ này? Tất nhiên là không Thực vậy, các
kỹ thuật mã hoá thích hợp là sự bảo vệ an toàn nhất chống lại việc "nghe trộm" trong quá trình truyền thông tin
Trang 6Không chỉ vấn đề bảo mật trong quá trình truyền thông tin là cần được giải quyết mà còn cả vấn đề chứng thực người chủ sở hữu thẻ Thậm chí một mật khẩu cũng không thể loại trừ được hoàn toàn nguy cơ nếu một kẻ có mưu đồ xấu đăng ký với một cái tên giả Người tiêu dùng cần phải trình một chứng thực xác nhận, chứng thực này có thể được lưu giữ ở một thẻ thông minh sao cho những kẻ giả mạo không thể lạm dụng thông tin của thẻ ngay cả khi thông tin cso thể bị lộ ra Đó là những gì
mà giao thức SET đang cố gắng đạt được SET được giới thiệu ở phần 4
Chuyển tiền điện tử (Electronic Fund Transfer) và thẻ ghi nợ trên Internet: Chuyển tiền điện tử (EFT), một phương pháp thanh toán điện tử phổ biến, chuyển một giá trị tiền từ một tài khoản ngân hàng sang tài khoản ngân hàng khác ở cùng Ngay cả khi thanh toán điện tử đang trở nên phổ biến nhanh chóng, nhiều khách hàng vẫn sợ cung cấp thông tin thẻ tín dụng của họ trên mạng Trong khi khách hàng đang làm quen với các hệ thống mới, các nhà kinh doanh phải cung cấp đa khả năng lựa chọn trong thanh toán trong giai đoạn chuyển tiếp này Quá trình thực hiện thanh toán phức tạp phải không trở thành một sự cản trở cho việc truy cập của khách hàng
Ví dụ, khách hàng có thể được phép gõ thông tin thẻ trực tuyến cũng như là gọi một số điện thoại miễn phí Một số site thậm chí còn chấp nhận một bản fax, một e-mail hay một thư in ấn trong một phong bì có niêm phong.Trung tâm gọi, với chi phí nhân công của nó, và chi phí xử lý fax, e-mail, thư in ấn có nghĩa là thanh toán dựa trên giao thức SET sẽ thực sự trở thành một phương pháp kinh tế nhất đối với các nhà kinh doanh Tuy nhiên, một số ít site thương mại chỉ chuyên dùng giao thức SET, giao thức yêu cầu việc tải xuống một "ví điện tử" Nhiều khách hàng không đủ kiên trì và một số không thể thực hiện quá trình cài đặt kỹ thuật Do đó, các nhà kinh doanh phải
Trang 7mở ra các phương pháp thanh toán thân thiện ngườI dùng để lựa chọn Các nhà kinh doanh cần phải đi theo con đường tìm hiểu của khách hàng trong việc lựa chọn các phương pháp thanh toán
Các nhà kinh doanh cung cấp nhiều khả năng lựa chọn trong thanh toán một ngân hàng hay ở một ngân hàng khác EFT được sử dụng từ những năm 70 qua các phòng thanh toán bằng trao đổi séc tự động (ở các ngân hàng - ND) (ACH) Hiện nay, chúng ta cũng có thể sử dụng một EFT dựa trên Internet, có nghĩa là sự gắn liền giữa các ngân hàng ảo với việc bảo vệ an toàn trong quá trình truyền thông tin là một điều bắt buộc Cấu trúc của EFT dựa trên Internet và mối quan hệ của nó với các thẻ ghi nợ cũng được mô tả ở phần 8.5 Yêu cầu phải có sự chứng thực cho các chủ sở hữu thẻ EFT và sự cần thiết phải hoà trộn đa chứng thực vào một thẻ thông minh cũng được
mô tả ở phần 5
Thẻ mang giá trị (stored-value card) và tiền điện tử (e-cash): Giả sử một người tiêu dùng mua một bức tranh số hay nghe nhạc trên Internet với một khoản phí là 0,25 USD Anh ta hay cô ta sẽ trả khoản tiền đó như thế nào? Chi phí tối thiểu để xử lý một khoản thanh toán bằng thẻ tín dụng vào khoảng 1,00 USD, khoản tiền này người bán hàng sẽ phải trả (theo First Virtual 1999, một trung gian thanh toán dựa trên Internet) Điều này có nghĩa là không có cách nào bán những hàng hoá nhỏ như vậy trừ phi một phương pháp thanh toán tiết kiệm hơn được phát triển Đó là lý do tại sao một phương pháp được gọi là vi thanh toán (micropayment) là cần thiết
Tiền điện tử có thể là câu trả lời cho vấn đề này Nó đượcsử dụng tương tự như cách thức mà các thẻ mang giá trị được sử dụng để trả tiền cho điện thoại trên xe buýt, dướI đường ngầm hay điện thoại công cộng Vấn đề là làm thế nào để thích ứng và
Trang 8tích hợp tiền điện tử không dựa trên Internet có sẵn trong các thẻ thông minh với hệ thống ngân hàng ảo dựa trên Internet Vấn đề này được trình bày ở phần 6
Hệ thống séc điện tử: Séc giấy là một phương pháp thanh toán phổ biến nhất đối với những người trả tiền ở xa tại nhiều nước, bao gồm cả Mỹ Song chi phí xử lý cao của séc giấy là một vấn đề Chi phí giao dịch séc giấy trung bình là 0 , 79 USD, gấp đôi chi phí của một dịch vụ ACH Dường như cần phải phát triển một hệ thống xử
lý séc điện tử (e-check) có tính kinh tế hơn nữa Tuy nhiên, do chi phí phát hành séc hiện hành được ngân hàng chịu, sẽ không có sự khuyến khích mạnh mẽ nào thúc đẩy người trả tiền sử dụng séc điện tử, loại séc sẽ làm giảm số lượng tiền dự trữ dùng để chi tiêu hàng ngày hay để trả lại (float) do tốc độ cao của lưu thông điện tử Song, hệ thống séc điện tử được dự đoán là sẽ trở thành phương tiện thanh toán chủ yếu, đặc biệt đối với môi trường TMĐT B2B, trong đó khối lượng thanh toán thường lớn Do một hệ thống séc điện tử không có float tương đốI giống với EFT, cần thiết phải so sánh các đặc điểm của hai loại hình thanh toán điện tử này
Ngoài ra, có nhiều vấn đề liên quan đến việc thực hiện séc điện tử Ví dụ, nguy
cơ không thực hiện được thường có trong hệ thống séc là một vấn đề Chúng ta cần phải tìm hiểu khả năng giảm tỷ lệ không thực hiện được bằng việc sử dụng các khả năng của điệp viên thông minh trong hệ thống séc điện tử Chúng ta sẽ cùng tìm hiểu từng phương pháp một ở phần sau
3 Lược đồ bảo mật trong các hệ thống thanh toán điện tử
Trước khi chúng ta đề cập đến từng phương pháp thanh toán điện tử, sẽ hữu ích nếu xem xét đến lược đồ bảo mật, những lược đồ được sử dụng phổ biến trong các
Trang 9phương pháp thanh toán điện tử Bốn yêu cầu chủ yếu về bảo mật cho việc thanh toán điện tử an toàn bao gồm:
- Xác thực (Authentication): một phương pháp kiểm tra nhân thân của người mua trước khi việc thanh toán được chứng thực
- Mã hoá (Encryption): một quá trình làm cho các thông điệp không thể giải đoán được ngoại trừ bởi những người có một khoá giải mã được cho phép sử dụng
- Tính toàn vẹn (Integrity): bảo đảm rằng thông tin sẽ không bị vô tình hay ác ý thay đổi hay phá hỏng trong quá trình truyền đi
- Tính không thoái thác (Nonrepudiation): bảo vệ chống lại sự từ chối của khách hàng đối với những đơn hàng đã đặt và sự từ chối của người bán hàng đối với những khoản thanh toán đã được trả
CÁC LƯỢC ĐỒ BẢO MẬT (SECURITY SCHEMES)
Các lược đồ bảo mật cơ bản được thực hiện cho các hệ thống thanh toán điện tử
là mã hoá, chữ ký điện tử, tóm tắt thông tin, và sử dụng các chứng thực và cơ quan chứng thực (CA) Có hai loại mã hoá: mã hoá khoá bí mật và mã hoá khoá công khai
Mã hoá Khoá bí mật (Secret Key Cryptography) Trong nhiều năm, người ta đã sử dụng một hệ thống bảo mật dựa trên một khoá bí mật đơn Trong thiết kế mã hoá khoá
bí mật này, còn được biết đến như là mã hoá đối xứng, hay mã hoá khoá riêng, cùng một khoá được sử dụng bởi một người *** (cho việc mã hoá) và một người nhận (cho việc giải mã) Thuật toán được chấp nhận rộng rãi nhất cho việc mã hoá khoá bí mật là Chuẩn Mã hoá Dữ liệu (Data Encryption Standard - DES) (Schneier 1996) Một số
Trang 10chuyên gia mã hoá tin rằng, thuật toán DES có thể phá mã được Tuy nhiên, DES được đánh giá là đủ an toàn bởi vì việc phá mã phải mất nhiều năm với chi phí hàng triệu đô
la Giao thức SET chấp nhận thuật toán DES với chìa khoá 64 bit của nó
Bạn hãy lưu ý rằng vấn đề với một khoá đơn là ở chỗ khoá cần được chuyển đến phía tương ứng Hệ thống mã hoá khoá công khai được mô tả tiếp theo đây sẽ giảI quyết được vấn đề trao đổi khoá riêng
Mã hoá khoá công khai: Mã hoá khoá công khai, còn được biết đến như là mã hoá không đối xứng, sử dụng hai khoá khác nhau: một khoá công khai và một khoá riêng Khoá công khai thì tất cả người sử dụng được phép đều biết, song khoá riêng thì chỉ có một người được biết - người sở hữu nó Chìa khoá riêng được cài đặt ở máy tính của người chủ sở hữu và không được *** cho bất cứ ai Để *** một thông điệp an toàn
có sử dụng mã hoá khoá công khai, người *** mã hoá thông điệp với chìa khoá công khai của người nhận Việc này yêu cầu khoá công khai của người nhận được giao từ trước
Thông điệp được mã hoá bằng cách này chỉ có thể được giải mã với chìa khoá riêng của người nhận.Thuật toán phổ biến nhất với mã hoá khoá công khai là thuật toán RSA (Rivest, Shamir và Adelman) với nhiều kích cỡ khoá khác nhau, như 1,024 bit Thuật toán này không bao giờ bị phá bởi bọn tin tặc, do đó nó được coi là phương pháp mã hoá an toàn nhất được biết cho đến nay
Mã hoá khoá công khai, RSA, thường được sử dụng để truyền khoá bí mật của thuật toán DES bởi vì thuật toán DES hiệu quả và nhanh hơn trong việc thực hiện mã hóa và giải mã