Khóa luận Nghiên cứu vấn đề xác thực trong hệ thống thanh toán điện tử

MỤC LỤC

 

MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ DỊCH VỤ XÁC

THỰC 4

1.1. Khái quát về an toàn thông tin 4

1.2. Vấn đề xác thực trong an toàn thông tin 6

1.2.1. Khái niệm 6

1.2.2. Phân loại xác thực 7

1.2.3. Các nhân tố xác thực 7

1.2.4. Xác thực mạnh nhiều yếu tố 7

1.2.5. Một vài công cụ xác thực 9

1.3. Chữ ký số - Công cụ được ứng dụng rộng dãi nhất 12

1.3.1. Khái quát về chữ ký điện tử 12

1.3.2. Vấn đề an toàn của chữ ký điện tử 13

1.3.3. Ứng dụng 14

1.4. Cơ sở hạ tầng về mật mã khóa công khai 16

CHƯƠNG 2: THANH TOÁN ĐIỆN TỬ 20

2.1. Tổng quan về TTĐT 20

2.1.1. Khái niệm chung về TTĐT 20

2.1.2. Các đặc trưng của TTĐT 21

2.2. Các mô hình TTĐT 21

2.3. Vấn đề an ninh trong TTĐT 23

CHƯƠNG 3: XÁC THỰC TRONG CÁC HỆ THỐNG THANH TOÁN ĐIỆN TỬ 24

3.1. Vai trò của xác thực trong thanh toán 24

3.2. Các phương thức thanh toán chính 24

3.3. Hoạt động xác thực diễn ra như thế nào 25

3.3.1. Card Payment 25

3.3.1.1. Phương pháp xác thực 25

3.3.1.2. Những kỹ thuật về bảo mật 26

3.3.2. e-Payment 31

3.3.2.1. Phương pháp xác thực 31

3.3.3.2. Những kỹ thuật về bảo mật 32

3.3.3.2.1. e-Banking 32

3.3.3.2.2. e-Commerce 35

3.3.3. Mobile Payment (m-Payment) 40

3.3.3.1. Phương thức xác thực 40

3.3.3.2. Những kỹ thuật về bảo mật 41

KẾT LUẬN 44

PHỤ LỤC 45

TÀI LIỆU THAM KHẢO 54

 

 

doc62 trang | Chia sẻ: netpro | Lượt xem: 2253 | Lượt tải: 5download
Bạn đang xem trước 20 trang tài liệu Khóa luận Nghiên cứu vấn đề xác thực trong hệ thống thanh toán điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
công việc của những cơ quan xác thực. Nếu Cục tin học thống kê ngân hàng là một cơ quan xác thực chữ ký điện tử từ năm 2002 thì đến cuối năm 2003 công ty phần mềm và truyền thông VASC là đơn vị thứ hai tại Việt Nam cung cấp dịch vụ xác thực chữ ký điện tử cho ngân hàng ACB. Tuy nhiên, xung quanh vấn đề này vẫn còn nhiều điều cần cụ thể hơn. Hình 4. Mô hình kiến trúc CA phân cấp Trong kiến trúc này, các CA đều nằm dưới một CA gốc (RootCA). Root CA cấp chứng chỉ cho các CA thứ cấp (SubCA) và các user. SubCA cấp chứng chỉ cho user thuộc tổ chức của mình. Trong mô hình này, tất cả các đối tượng trong hệ thống đều phải biết khoá công khai của RootCA. Tất cả các chứng chỉ số đều có thể được kiểm chứng bằng cách kiểm tra đường dẫn của chứng chỉ số đó đến RootCA. Trong kiến trúc của hệ thống CA này, tất cả các đối tượng đều dựa trên sự tin cậy đối với CA gốc duy nhất. Khoá công khai của RootCA phải được phân phát cho các đối tượng đã được xác thực để đảm bảo sự tin cậy trong hệ thống. Sự tin cậy này được hình thành theo các cấp từ RootCA đến các SubCA và đến các đối tượng sử dụng. Trong thế giới ảo trên Internet, các bên giao dịch nhiều khi không đủ căn cứ để có thể xác minh đối tác của mình. Một nhà cung cấp CA do đó sẽ đóng vai trò quan trọng của bên thứ ba, đứng ra xác nhận và đảm bảo danh tính cho những cá nhân tổ chức sử dụng các chứng chỉ số mà mình cung cấp. Khi các bên tham gia vào giao dịch trực tuyến, nhờ các chữ ký số và những thông tin mà những chứng chỉ số tạo ra, họ có thể xác minh một cách chắc chắn về danh tính của đối tác mà mình đang giao dịch. Do vai trò bảo đảm về độ tin cậy rất cao, nên các nhà cung cấp CA sẽ là những đối tượng được quản lý theo những tiêu chuẩn rất chặt chẽ. Phạm vi ứng dụng của PKI PKI được coi là giải pháp hữu hiệu hiện nay trong việc đảm bảo an ninh an toàn cho các hệ thống thông tin. Phạm vi ứng dụng của PKI bao trùm các hệ thống từ lớn tới nhỏ và thuộc nhiều lĩnh vực như: ngân hàng, tài chính, viễn thông, hàng không, các ngành công nghiệp hay cho hoạt động trao đổi công văn giữa các Sở, Ban, Ngành... Có thể thấy, PKI thực sự đã trở thành một giải pháp hiệu quả hàng đầu cho việc đảm bảo an toàn, an ninh cho các hệ thống thông tin lớn trên thế giới. Từ những kết quả ứng dụng PKI trong nước và trên thế giới như trên, ta có thể khẳng định PKI là một hạ tầng cơ sở về mật mã khóa công khai tin tưởng để lựa chọn cho mục đích xây dựng lên những hệ thống thông tin lớn an toàn. Đặc biệt là những hệ thống thanh toán trong lĩnh vực Ngân hàng tài chính, nơi đòi hỏi độ an toàn rất cao, nơi mà mỗi sai sót dù nhỏ nhất cũng có thể gây ra một thảm họa. CHƯƠNG 2: THANH TOÁN ĐIỆN TỬ 2.1. Tổng quan về TTĐT 2.1.1. Khái niệm chung về TTĐT Thanh toán là sự chuyển giao tài sản của một bên (người hoặc công ty, tổ chức) cho bên kia, thường được sử dụng khi trao đổi sản phẩm hoặc dịch vụ trong một giao dịch có ràng buộc pháp lý. Thanh toán truyền thống Mua bán là hình thức thường gặp nhất của giao dịch tài chính. Một món hàng được trao đổi với một món hàng khác hoặc được qui thành tiền. Giao dịch này làm cho lượng tiền của người mua giảm đi và người bán tăng lên. Thanh toán điện tử TTĐT hình thức thanh toán có sử dụng các thiết bị điện tử công nghệ cao, các giao dịch được tiến hành qua mạng. TTĐT là việc thanh toán tiền qua các thông điệp điện tử (Electronic message) thay cho việc thanh toán bằng tiền mặt. Về mục đích, TTĐT là hệ thống cho phép các bên tham gia có thể tiến hành mua bán được. Tuy nhiên, cách giao dịch thì lại hoàn toàn mới, người thực hiện giao dịch xử lý thanh toán bằng phương pháp thông qua các khâu được thực hiện trên máy tính. Bản chất của mô hình TTĐT cũng là mô phỏng lại những mô hình mua bán truyền thống, nhưng từ các thủ tục giao dịch, các thao tác xử lý dữ liệu, quá trình chuyển tiền… tất cả đều được thực hiện thông qua hệ thống máy tính, được nối bằng các giao thức riêng chuyên dụng. Với TTĐT, các bên mua – bán có thể giao dịch với nhau, không phải gặp nhau, không cần dùng tiền mặt. Các bên trong hệ thống TTĐT sẽ trao đổi với nhau các chứng từ số hóa. Bên được thanh toán có thể thông qua ngân hàng của mình để chuyển tiền vào tài khoản của mình. Các quá trình này được phản ánh trong các giao thức thanh toán của hệ thống, đó là thứ tự các bước gửi thông tin và xử lý số liệu giữa các bên, mục đích là chuyển đầy đủ các chứng từ thanh toán, đảm bảo an toàn và công bằng cho mọi bên theo yêu cầu tường minh ban đầu. 2.1.2. Các đặc trưng của TTĐT Các bên tiến hành giao dịch trong TTĐT không tiếp xúc trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước. Các giao dịch thanh toán truyền thống được thực hiện với sự tồn tại của khái niệm biên giới quốc gia, còn TTĐT được thực hiện trên thị trường không có biên giới (thị trường thống nhất toàn cầu). TTĐT trực tiếp tác động tới môi trường cạnh tranh toàn cầu. Trong hoạt động giao dịch TTĐT đều có sự tham gia của ít nhất ba chủ thể, một bên không thể thiếu được là người cung cấp dịch vụ mạng, và các cơ quan chứng thực. Đối với thanh toán truyền thống, thì mạng lưới thông tin chỉ là phương tiện để trao đổi dữ liệu. Đối với TTĐT, thì mạng lưới thông tin chính là thị trường. 2.2. Các mô hình TTĐT Hệ thống TTĐT thực hiện thanh toán cho khách hàng theo một số cách, mà tiền mặt và séc thông thường không thể làm được. Hệ thống thanh toán cũng cung cấp khả năng điều khiển thanh toán hàng hóa và dịch vụ qua thời gian bằng cách cho phép người mua trả tiền ngay, trả tiền sau hay trả tiền trước. Thẻ tín dụng cung cấp khả năng thanh toán bằng tiền mặt qua tính sẵn sàng cho phép hoãn việc trả tiền hàng hóa và dịch vụ đã được phê chuẩn trước. Có nhiều tiêu chí để phân biệt phương thức TTĐT, một trong các tiêu chí đó là sự chênh lệch khác biệt giữa thời điểm bên trả tiền trao chứng từ ủy nhiệm cho bên được trả và thời điểm trả tiền thực sự xuất tiền khỏi tài khoản của người mua. Với tiêu chí này, phương thức TTĐT có thể phân thành hai mô hình chính: mô hình trả sau và mô hình trả trước. Trong mô hình trả sau, thời điểm bên trả tiền trao chứng từ ủy thác cho bên được trả, xảy ra trước thời điểm trả tiền thực sự (xuất tiền khỏi tài khoản của người mua để trả cho người bán). Trong mô hình trả trước, hai thời điểm này diễn ra theo thứ tự ngược lại, người mua phải trả tiền thực sự trước khi chứng từ ủy nhiệm được sử dụng trong các giao dịch mua bán. Mô hình trả sau Với mô hình trả sau, thời điểm tiền mặt được rút ra khỏi tài khoản bên mua để chuyển sang bên bán xảy ra ngay (pay-now) hoặc sau (pay-later) giao dịch mua bán. Hoạt động của hệ thống trên dựa trên nguyên tắc tín dụng (credit crendental) nào đó có tác dụng giống như séc (cheque). Bên bán có hai cách lựa chọn: hoặc là chấp nhận giá trị thay thế của tín dụng đó và chỉ liên lạc chuyển khoản với ngân hàng của mình sau này (pay-later), hoặc liên lạc với ngân hàng của mình khi quá trình mua bán đang diễn ra việc chuyển khoản xảy ra ngay trong quá trình giao dịch. Với pha chuyển khoản (chearing process), người được thanh toán sẽ yêu cầu chuyển khoản với ngân hàng đại diện của mình (Acquirer) để thực hiện liên lạc với ngân hàng đại diện của người thanh toán, thực hiện kiểm tra/chấp nhận chứng từ tín dụng, khi đó việc chuyển tiền thực sự sẽ diễn ra giữa tài khoản của người thanh toán và người được thanh toán. Kết thúc quá trình này, ngân hàng đại diện của bên thanh toán sẽ gửi một thông báo lưu ý sự chuyển khoản đó cho khách hàng của mình. Mô hình thanh toán này tương tự như phương thức thanh toán bằng séc nên thường được gọi là mô hình mô phỏng séc (cheque-like model). Pha chuyển tiền thực sự này nếu được làm ngay trong giao dịch thì an toàn nhất. Nhưng như vậy thì tốc độ xử lý giao dịch sẽ chậm, chi phí truyền tin và xử lý dữ liệu trực tuyến trên các máy chủ ở các nhà băng sẽ cao. Vì vậy, mô hình pay-later cần được ưu tiên sử dụng khi số tiền thanh toán là không lớn. Mô hình trả trước Trong mô hình trả trước, khách hàng liên hệ với ngân hàng (hay công ty môi giới – broker) để có được chứng từ do ngân hàng phát hành (chứng từ hay đồng tiền số này mang dấu ấn của ngân hàng), được đảm bảo bởi ngân hàng và do đó có thể dùng ở bất cứ nơi nào đã có xác lập hệ thống thanh toán với ngân hàng này. Để đổi lấy chứng từ của ngân hàng, tài khoản của khách hàng sẽ bị triết khấu đi tương ứng với giá trị của chứng từ đó. Như vậy, khách hàng đã thực sự trả tiền trước khi có thể sử dụng chứng từ này để mua hàng và thanh toán. Chứng từ ở đây không phải do khách hàng tạo ra, không phải dành cho một cuộc mua bán cụ thể mà do ngân hàng phát hành và có thể sử dụng vào mọi mục đích thanh toán. Vì nó có thể sử dụng giống như tiền mặt và do đó mô hình còn được gọi là mô hình mô phỏng tiền mặt (cash-like model). Khi có người mua hàng tại một cửa hàng nào đó và thanh toán bằng chứng từ này, cửa hàng sẽ tiến hành kiểm tra tính hợp lệ của chúng dựa trên những thông tin đặc biệt do ngân hàng tạo ra trên đó. Sau đó, cửa hàng có thể chọn một trong hai cách: thứ nhất là liên hệ với ngân hàng để chuyển vào tài khoản của mình ngay trước khi chấp nhận giao hàng (deposit-now), thứ hai là chấp nhận và liên hệ chuyển tiền sau vào thời gian thích hợp (deposit-later). Trường hợp riêng phổ biến của mô hình mô phỏng tiền mặt là mô hình tiền điện tử (electronic cash). 2.3. Vấn đề an ninh trong TTĐT Dạng thức đơn giản và cổ xưa nhất của thanh toán là hàng đổi hàng. Trong thế giới hiện đại, các hình thức thanh toán bao gồm tiền mặt, chuyển khoản, tín dụng, ghi nợ, séc... Trong giao dịch thương mại, thanh toán thường phải đi kèm với hóa đơn và biên nhận. Trong các giao dịch phức tạp, thanh toán còn bao gồm cả chuyển cổ phiếu và các dàn xếp khác của các bên. Tương lai của thanh toán theo xu hướng tiêu dùng hiện đại, tiền giấy sẽ được thay thế dần bởi thẻ TTĐT, thẻ thông minh, ví điện tử, và ngay cả điện thoại di động. Những sơ hở của người sử dụng trong việc để lộ thông tin mật của các thẻ thanh toán bởi các Hacker, các trang web phishing, các chương trình Keylogger,...khi sử dụng đã gây nên những thiệt hại không nhỏ không chỉ cho người chủ sở hữu mà còn cho các doanh nghiệp cung cấp dịch vụ tài chính trực tuyến. Để bảo vệ quyền lợi của khách hàng của mình, các ngân hàng cùng các công ty bảo mật đã đưa ra nhiều giải pháp bảo mật khác nhau trong việc TTĐT trên mạng như: ma trận ngẫu nhiên, One time-One password token và tiêu chuẩn mới nhất trong TTĐT SET (Secure Electronic Transaction),... nhằm đảm bảo các phiên giao dịch của người sử dụng. CHƯƠNG 3: XÁC THỰC TRONG CÁC HỆ THỐNG THANH TOÁN ĐIỆN TỬ 3.1. Vai trò của xác thực trong thanh toán Hiện tại, hầu hết các dịch vụ mua bán hàng hoá trên mạng đều sử dụng hình thức thanh toán bằng thẻ tín dụng (credit card) để thanh toán. Người sử dụng cần nhập vào các thông tin: tên người sử dụng, mã số thẻ, ngày hết hạn của thẻ. Nhưng vì thẻ tín dụng là công cụ sử dụng phổ biến cho các thanh toán khác nhau nên những thông tin trên sẽ có rất nhiều người biết. Và do đó tình hình sẽ xảy ra là “nếu tôi biết những thông tin thẻ tín dụng của anh thì hoàn toàn tôi có thể mua một món hàng trên mạng (an toàn hơn là loại thứ hai) còn anh là người trả tiền” gian lận kiểu này không thể hạn chế được. Thực tế hiện nay, các gian lận về thẻ trên Internet chiếm 6-7% tổng số các giao dịch thẻ ở các nước châu Âu, và tỷ lệ này ở châu Á là 10%. Tại Việt nam, tuy dịch vụ thẻ tín dụng mới được đưa vào áp dụng cuối năm 1996 nhưng đến nay, tỷ lệ các giao dịch gian lận trên tổng số các giao dịch là hơn 10%, cứ trong 5 giao dịch gian lận thì có 4 giao dịch gian lận mua hàng trên Internet và trong 4 giao dịch đó thì có một giao dịch là mua hàng hoá, 3 giao dịch là sử dụng các dịch vụ khác. Như vậy rõ ràng có thể kết luận rằng, trên thế giới hiện nay, nhu cầu về TMĐT rất phổ biến nhưng các vấn đề hạ tầng xoay quanh TTĐT vẫn chưa được giải quyết tương xứng và đáp ứng được các đòi hỏi đặt ra. Do đó có thể kết luận việc nghiên cứu xây dựng các hệ thống TTĐT để đảm bảo an toàn thông tin trong các dịch vụ TMĐT là một hướng nghiên cứu rất cần thiết hiện nay. 3.2. Các phương thức thanh toán chính Card Payment (các hình thức thanh toán gắn với thẻ tín dụng, thẻ thông minh... qua thiết bị chấp nhận thẻ POS, ATM...) e-Payment (các hình thức thanh toán dựa trên kết nối mạng Internet, như PC, Notebook...) Mobile Payment (các hình thức thanh toán sử dụng những ứng dụng trên điện thoại di động GSM, như PDA, Smartphone...) 3.3. Hoạt động xác thực diễn ra như thế nào 3.3.1. Card Payment 3.3.1.1. Phương pháp xác thực Một giải pháp đặt ra đó là sử dụng mã PIN dùng một lần tại thời điểm giao dịch. Đối với thẻ tín dụng, phương pháp này an toàn hơn hẳn so với việc sử dụng chữ ký của chủ thẻ và các thông tin cá nhân làm căn cứ xác thực. Đối với thẻ từ, nó hạn chế được khả năng sử dụng thẻ giả để thanh toán, tuy nhiên để tăng cường bảo mật thì phải sử dụng thẻ có gắn chip IC, vì công nghệ thẻ IC cho phép hệ thống xác thực động tại ngay thời điểm giao dịch. Sự kết hợp giữa công nghệ thẻ IC và việc sử dụng mã PIN chủ thẻ nắm giữ (hai nhân tố) là phương thức xác thực tốt nhất hiện nay với hình thức thanh toán Card Payment. Hình 5. Một chiếc thẻ thanh toán có gắn chip IC Quá trình thanh toán chủ yếu thực hiện trên các thiết bị đầu cuối như máy ATM, POS... Chủ thẻ quẹt thẻ thanh toán của mình vào các thiết bị thanh toán đó và tiến hành giao dịch của mình sau những thao tác xác thực người dùng. Ngày nay mã PIN vẫn là giải pháp xác thực chính cho loại hình thanh toán này, cùng với xu hướng chuyển dấn sang thẻ chip thay vì thẻ từ trước đây làm cho vấn đề an ninh được nâng cao hơn rất nhiều. Phương pháp xác thực tốt nhất hiện nay cho các giao dịch sử dụng thẻ thanh toán là xác thực động sử dụng mã PIN dùng một lần tại chính ngay thời điểm thanh toán. Đối với thẻ tín dụng, nó hoàn toàn bảo mật hơn so việc sử dụng chữ ký của chủ thẻ để xác thực. Đối với thẻ từ, nó hạn chế được tình trạng sử dụng thẻ giả để thanh toán. Đối với thẻ chip, đương nhiên vấn đề an ninh sẽ được nâng cao hơn. 3.3.1.2. Những kỹ thuật về bảo mật Khi bạn đưa thẻ ATM của mình cho người bán hàng kiểm tra bằng mắt và bằng máy cà thẻ POS. Thông thường người bán hàng sẽ kiểm tra qua các bước sau: Kiểm tra tính vật lý của thẻ: để nhận biết thẻ có phải là thẻ thật hay không căn cứ trên hình dạng và các nội dung trên chiếc thẻ. Người bán hàng sẽ phải biết cách nhận biết các loại thẻ thông dụng: Visa, Master... Kiểm tra các thông tin trên thẻ có bị thay đổi, tẩy xóa hay không. Thẻ của bạn được đưa qua một máy quét thông tin thẻ (POS). Các thông tin này được gửi đến ngân hàng phát hành thẻ để xin cấp phép giao dịch. Sau vài giây, ngân hàng sẽ trả lời là thẻ có thể thực hiện giao dịch hay không. Nếu thẻ được cấp phép giao dịch thì người bán yêu cầu bạn ký vào hóa đơn và kiểm tra chữ ký của bạn với chữ ký có trên thẻ. Nếu trên thẻ không có sẵn chữ ký để xác thực thì người bán có thể yêu cầu bạn phải ký vào phần bỏ trống đó, đề nghị bạn cho xem thêm các giấy tờ chứng minh và ký vào hóa đơn để đối chiếu các chữ ký. Với cách này người khác khó lòng sử dụng thẻ của bạn để mua sắm và người bán cũng nắm được hóa đơn làm bằng chứng là bạn đã mua hàng. Với quy trình nghiêm ngặt trên người bán hàng có điều kiện xác thực được thẻ và chủ thẻ để hạn chế rủi ro. Hơn nữa đây là giao dịch trực tiếp nên người bán có thể thông qua nhiều dấu hiệu để phán đoán, nhận biết giao dịch giả mạo. Do đó, ngay cả khi bạn đánh mất thẻ thì người khác cũng khó dùng cách này để mua hàng bằng thẻ của bạn. Quá trình giao dịch trên máy chấp nhận thẻ POS Khách hàng của ngân hàng thành viên quẹt thẻ tại máy POS. Khách hàng được yêu cầu nhập số PIN. POS sẽ gửi giao dịch về ngân hàng chấp nhận. Ngân hàng chấp nhận sẽ gửi giao dịch đến Chuyển mạch quốc gia Chuyển mạch quốc gia nhận được giao dịch, nó sẽ chuyển khối PIN Block và gửi đến ngân hàng phát hành. Khi ngân hàng phát hành nhận được giao dịch, nó sẽ kiểm tra giao dịch. Nếu giao dịch thành công, ngân hàng chấp nhận sẽ trả lời với mã trả lời 00. Nếu giao dịch bị từ chối, ngân hàng chấp nhận sẽ trả lời với mã trả lời tùy theo mã lý do. Chuyển mạch quốc gia nhận được tín hiệu trả lời, nó sẽ gửi giao dịch đến ngân hàng chấp nhận và sau đó chuyển về POS. Hình 6. Máy chấp nhận thẻ thanh toán POS Thanh toán qua POS được thực hiện ở nhiều cửa hàng, nhà hàng, khách sạn, sân bay… Với các thẻ quốc tế, người dùng có thể ra nước ngoài mà không cần mang theo nhiều tiền mặt vì các tổ chức thẻ lớn thường có mạng lưới chấp nhận thẻ rộng khắp thế giới. Thẻ từ (Magnetic stripe cards) Trong việc mua bán hàng hóa bằng thẻ tín dụng thì việc chuyển giao hàng hóa diễn ra ngay lập tức nhưng tất cả các khoản thanh toán đều chậm trễ. Người mua có thẻ tín dụng khi quyết định mua hàng sẽ nhập các thông tin về thẻ tín dụng của mình như: số thẻ, mã số an toàn, thời hạn của thẻ, họ và tên chủ sở hữu, địa chỉ thanh toán trên website, những thông tin này sẽ được chuyển đến cho ngân hàng hay nhà dịch vụ cung cấp payment gateway là các Acquirer. Acquirer sẽ gửi thông tin về thẻ tới dịch vụ cung cấp thẻ và ngân hàng phát hành thẻ để kiểm tra tính hợp lệ của thẻ và kiểm tra khả năng thanh toán của thẻ. Nếu mọi điều kiện đều phù hợp, ngân hàng phát hành thẻ sẽ gửi thông tin ngược trở về cho Acquirer, thông tin được giải mã gửi về cho người bán và việc thanh toán được thực hiện. Tiền sẽ được chuyển từ thẻ tín dụng của người mua tới tài khoản bán hàng merchant account trên Acquirer, sau đó sẽ được chuyển vào tài khoản ngân hàng của người bán. Hình 7. Thẻ thừ và máy đọc thẻ từ Thẻ ghi nợ thường là một miếng nhựa đặc biệt có chứa bản ghi điện tử về tài khoản của bên mua hàng với ngân hàng của họ. Sử dụng thẻ này, bên bán hàng có thể gửi tín hiệu điện tử tới ngân hàng của bên mua hàng có chứa dữ liệu về số tiền trị giá khoản hàng đã mua và số tiền này được đồng thời ghi nợ vào tài khoản của khách hàng là bên mua hàng cùng với ghi có cho tài khoản của bên bán hàng. Điều này là có thể ngay cả khi bên bán và bên mua hàng sử dụng dịch vụ của các tổ chức tài chính khác nhau. Hiện tại, các mức phí đối với cả bên mua và bên bán trong việc sử dụng thẻ ghi nợ là tương đối thấp do các ngân hàng đang mong muốn khuyến khích sử dụng các loại thẻ ghi nợ. Bên bán hàng cần có máy đọc thẻ được cài đặt sao cho việc mua bán và kết nối tới cơ sở dữ liệu của các tổ chức tài chính có thể thực hiện được. Các thẻ ghi nợ cho phép bên mua hàng có thể tiếp cận mọi khoản tiền gửi trong tài khoản của mình mà không cần phải đem tiền mặt theo bên mình. Trên thực tế, việc trộm cắp các khoản tiền gửi tại các tổ chức tài chính là khó khăn hơn nhiều so với viẹc đem theo tiền mặt, nhưng điều đó vẫn có thể diễn ra, nếu các dữ liệu quan trọng của các loại hình thẻ bị lộ bí mật. Thẻ thông minh (Chip or IC cards) Thẻ thông minh, thẻ gắn chip, or thẻ mạch tích hợp (integrated circuit card -ICC) là loại thẻ có kích thước đút được trong ví, thường có kích thước của thẻ tín dụng, được gắn một bộ mạch tích hợp có khả năng lưu trữ và xử lý thông tin. Nghĩa là nó có thể nhận dữ liệu, xử lý dữ liệu bằng các ứng dụng thẻ mạch tích hợp, và đưa ra kết quả. Có hai loại thẻ thông minh chính. Các thẻ nhớ (Memory card) chỉ chứa các thành phần bộ nhớ non-volatile, và có thể có một số chức năng bảo mật cụ thể. Thẻ vi xử lý chứa bộ nhớ volatile và các thành phần vi xử lý. Thẻ làm bằng nhựa, thường là PVC, đôi khi ABS. Thẻ có thể chứa một ảnh 3 chiều (hologram) để tránh các vụ lừa đảo. Thẻ thông minh cho phép thực hiện các giao dịch kinh doanh một cách hiệu quả theo một cách chuẩn mực, linh hoạt và an ninh mà trong đó con người ít phải can thiệp vào. Thẻ thông minh giúp chúng ta thực hiện việc kiểm tra và xác nhận chặt chẽ mà không phải dùng thêm các công cụ khác như mật khẩu…Chính vì thế, có thể thực hiện hệ thống dùng cho việc đăng nhập sử dụng máy tính, máy tính xách tay, dữ liệu bảo mật hoặc các môi trường kế hoạch sử dụng tài nguyên của công ty như SAP, v.v..với thẻ thông minh là phương tiện kiểm tra và xác nhận duy nhất. Hình 8. Một chip an ninh có kích thước 3x5 mm được đưa vào bên trong thẻ và được phóng lớn ra. Các điểm tiếp xúc trên thẻ cho phép thiết bị điện tử có thể truy cập chip. Thẻ thông minh có tiếp xúc là loại thẻ thông minh có tiếp xúc có một diện tích tiếp xúc, bao gồm một số tiếp điểm mạ vàng, và có diện tích khoảng 1cm vuông. Khi được đưa vào máy đọc, con chip trên thẻ sẽ giao tiếp với các tiếp điểm điện tử và cho phép máy đọc thông tin từ chip và viết thông tin lên nó. Thẻ không có pin, năng lượng làm việc sẽ được cấp từ máy đọc thẻ. Máy đọc thẻ thông minh có tiếp xúc đóng vai trò trung gian liên kết giữa thẻ thông minh với một máy chủ, chẳng hạn, đó là một máy vi tính, một đầu cuối ở một điểm bán, hay một điện thoại di động. Vì các chip trên thẻ thông minh dùng trong giao dịch tài chính cũng giống như các chip dùng trên SIM của điện thoại di động, chỉ khác cách lập trình và cách ghép vào miếng PVC có hình dạng khác nhau. Mặt khác, hiện nhu cầu dùng thẻ thông minh làm SIM là rất lớn cho nên các nhà sản xuất chip hiện đang tập trung vào việc sản xuất chip các chuẩn của điện thoại di động GSM/G3. Vì thế, mặc dầu EMV cho phép chip trên thẻ có thể gây tiêu hao một dòng khoảng 50mA từ máy đọc, hiện nay các chip đều chỉ tiêu hao chưa tới 6mA theo chuẩn của công nghiệp điện thoại. Điều này cho phép các máy đọc thẻ dùng trong giao dịch tài chính ngày càng nhỏ hơn và rẻ hơn, và tiến đến có thể trang bị cho mọi máy PC ở nhà một máy đọc thẻ cũng như phần mềm để bạn có thể mua sắm trên internet một cách dễ dàng và an ninh hơn. Thẻ thông minh không tiếp xúc là một loại thẻ mà chip trên nó liên lạc với máy đọc thẻ thông qua công nghệ cảm ứng RFID (với tốc độ dữ liệu từ 106 đến 848 kbit/s). Những thẻ này chỉ cần đặt gần một anten để thực hiện quá trình truyền và nhận dữ liệu. Chúng thường được dùng trong các tình huống truyền nhận dữ liệu thật nhanh hay khi người chủ thẻ cần rảnh tay, chẳng hạn ở các hệ thống giao thông công cộng mà có thể sử dụng không cần rút thẻ ra khỏi ví. Một công nghệ không tiếp xúc có liên quan là RFID (radio frequency identification – xác nhận dựa vào tần số vô tuyến). Trong một số trường hợp cụ thể, nó có thể dùng trong những ứng dụng tương tự như thẻ thông minh không tiếp xúc, chẳng hạn dùng để thu phí cầu đường điện tử. Các thiết bị RFID thông thường không có chứa bộ nhớ ghi được hay có bộ vi xử lý như thẻ thông minh. Có loại thẻ gồm cả hai loại giao tiếp mà cho phép truy xuất bằng cách tiếp xúc và không tiếp xúc trên cùng một thẻ. Ví dụ như thẻ giao thông nhiều ứng dụng của Porto, gọi là Andante, mà dùng một chip cho cả tiếp xúc và không tiếp xúc. Giống như thẻ thông minh có tiếp xúc, thẻ không tiếp xúc không có pin. Bên trong thẻ có một cuộn cảm mà có khả năng dò một số tín hiệu vô tuyến, chỉnh lưu tín hiệu, và rồi dùng nó để cung cấp năng lượng cho chip trên thẻ. Thẻ thông minh dùng để xác nhận khách hàng là một trong những cách an ninh nhất, có thể dùng trong những ứng dụng như giao dịch ngân hàng qua internet, nhưng mức độ an ninh không thể đảm bảo 100%. Trong trường hợp giao dịch ngân hàng qua internet, nếu PC bị nhiễm bởi các phần mềm xấu, mô hình an ninh sẽ bị phá vỡ. Phần mềm xấu có thể viết đè lên thông tin (cả thông tin đầu vào từ bàn phím và thông tin đầu ra màn hình) giữa khách hàng và ngân hàng. Nó có thể sẽ sửa đổi giao dịch mà khách hàng không biết. Có những phần mềm xấu như vậy, chẳng hạn như Trojan. Silentbanker). Các ngân hàng như Fortis Dexia ở Bỉ dùng một thẻ thông minh chung với một máy đọc thẻ không nối mạng nhằm giải quyết vấn đề trên. Khách hàng nhập một thông tin đánh giá từ trang web của ngân hàng, PIN của họ, và tổng số tiền giao dịch vào một máy đọc thẻ, máy đọc thẻ sẽ trả lại một chữ ký 8 chữ số. Chữ ký này sẽ được khách hàng nhập bằng tay vào PC và được kiểm chứng bởi ngân hàng. 3.3.2. e-Payment Hình thức thanh toán e-Payment lại chia ra hai lĩnh vực riêng biệt là e-Commerce (TMĐT) và e-Banking (ngân hàng điện tử). Mặc dù e-Banking là công cụ chính để thực hiện các giao dịch TMĐT (e-Commerce) nhưng cơ cấu tổ chức của hai lĩnh vực này là khác nhau. Mô hình xây dựng hệ thống e-Banking đơn giản hơn nhiều so với hệ thống e-Commerce. 3.3.2.1. Phương pháp xác thực e-Commerce Trong lĩnh vực thanh toán TMĐT qua Internet, việc lựa chọn một nhà cung cấp dịch vụ thanh toán (cổng thanh toán) tin cậy sẽ tránh được những rủi ro không đáng có, vấn đề bảo mật chắc chắn sẽ an toàn hơn so với khi không có một bên thứ ba đảm bảo giao dịch trực tuyến. Những cổng thanh toán trực tuyến như Paypal, Onepal, Ogone... đều sử dụng cơ chế xác thực động nhiều yếu tố, thông tin giao dịch được mã hóa theo giao thức SSL là giao thức bảo mật phổ biến nhất hiện nay trong các hoạt động TMĐT. Trong TMĐT thì việc sử dụng thẻ tín dụng thanh toán là phổ biến nhất, và hiện nay các tổ chức phát hành thẻ sử dụng số CvX in đằng sau mỗi thẻ tín dụng làm con số để xác thực. Hiện tại công nghệ thẻ thông minh ra đời giúp cho khách hàng yên tâm không sợ bị đánh cắp thông tin trên thẻ tín dụng như trước đây. Thẻ thông minh EMV sử dụng công nghệ xác thực tiên tiến nhất hiện nay được ba tổ chức thẻ h

Các file đính kèm theo tài liệu này:

  • docNghiên cứu vấn đề xác thực trong hệ thống thanh toán điện tử.doc