ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Ngô Đức Hùng

NGHIÊN CỨU VẤN ĐỀ XÁC THỰC TRONG HỆ

THỐNG THANH TOÁN ĐIỆN TỬ

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Công nghệ thông tin

HÀ NỘI - 2009
 ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Ngô Đức Hùng

NGHIÊN CỨU VẤN ĐỀ XÁC THỰC TRONG HỆ

THỐNG THANH TOÁN ĐIỆN TỬ

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Các Hệ thống thông tin

Cán bộ hướng dẫn: ThS. Lương Việt Nguyên

HÀ NỘI - 2009

ii
 Tóm tắt nội dung của Khóa luận tốt nghiệp

Mục đích của khóa luận là nghiên cứu và đưa ra những giải pháp khoa học cho các

bài toán xác thực trong quá trình TTĐT. Từ đó, đánh giá ưu nhược điểm của các giải

pháp, chỉ rõ giải pháp nào sẽ đạt hiệu quả tối ưu đối với từng loại hình TTĐT. Đối

tượng nghiên cứu của khóa luận văn là các bài toán phát sinh khi TTĐT. Khóa luận

nghiên cứu một cách tương đối đầy đủ các hình thức TTĐT cho đến thời điểm hiện tại.

Dựa trên các kết quả đó, nêu các giải pháp tương ứng với từng bài toán cụ thể.

Khóa luận tốt nghiệp nghiên cứu một cách khoa học các hình thức TTĐT hiện

đang được ứng dụng rộng rãi, đồng thời tìm hiểu cơ chế bảo mật, xác thực của các hệ

thống TTĐT đó, nhằm đưa ra giải pháp toàn diện để phát triển hệ thống TTĐT ở Việt

Nam.

iii
 MỤC LỤC

HÀ NỘI - 2009............................................................................................................................i
HÀ NỘI - 2009...........................................................................................................................ii
MỤC LỤC....................................................................................................................iv
DANH MỤC CÁC BẢNG BIỂU..................................................................................vi
DANH MỤC CÁC KÝ HIỆU......................................................................................vii
LỜI CÁM ƠN.............................................................................................................viii
MỞ ĐẦU 1
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ DỊCH VỤ XÁC THỰC4
1.1. Khái quát về an toàn thông tin.................................................................................4
1.2. Vấn đề xác thực trong an toàn thông tin..................................................................6
1.2.1. Khái niệm..........................................................................................................................6
1.2.2. Phân loại xác thực............................................................................................................7
1.2.3. Các nhân tố xác thực........................................................................................................7
1.2.4. Xác thực mạnh nhiều yếu tố.............................................................................................7
1.2.5. Một vài công cụ xác thực.................................................................................................9
1.3. Chữ ký số - Công cụ được ứng dụng rộng dãi nhất................................................12
1.3.1. Khái quát về chữ ký điện tử...........................................................................................12
1.3.2. Vấn đề an toàn của chữ ký điện tử.................................................................................13
1.3.3. Ứng dụng........................................................................................................................14
1.4. Cơ sở hạ tầng về mật mã khóa công khai...............................................................16
CHƯƠNG 2: THANH TOÁN ĐIỆN TỬ.....................................................................20
2.1. Tổng quan về TTĐT..............................................................................................20
2.1.1. Khái niệm chung về TTĐT............................................................................................20
2.1.2. Các đặc trưng của TTĐT................................................................................................20
2.2. Các mô hình TTĐT................................................................................................21
2.3. Vấn đề an ninh trong TTĐT...................................................................................23
CHƯƠNG 3: XÁC THỰC TRONG CÁC HỆ THỐNG THANH TOÁN ĐIỆN TỬ.....24
3.1. Vai trò của xác thực trong thanh toán.....................................................................24
3.2. Các phương thức thanh toán chính.........................................................................24
3.3. Hoạt động xác thực diễn ra như thế nào.................................................................25

iv
3.3.1. Card Payment.....................................................................................................25
3.3.1.1. Phương pháp xác thực..............................................................................................25
3.3.1.2. Những kỹ thuật về bảo mật......................................................................................26
3.3.2. e-Payment...........................................................................................................31
3.3.2.1. Phương pháp xác thực..............................................................................................31
3.3.3.2. Những kỹ thuật về bảo mật......................................................................................32
3.3.3.2.1. e-Banking..............................................................................................................32
3.3.3.2.2. e-Commerce..........................................................................................................35
3.3.3. Mobile Payment (m-Payment)............................................................................40
3.3.3.1. Phương thức xác thực...............................................................................................40
3.3.3.2. Những kỹ thuật về bảo mật......................................................................................41
KẾT LUẬN..................................................................................................................44
PHỤ LỤC 45
TÀI LIỆU THAM KHẢO............................................................................................54

v
 DANH MỤC CÁC BẢNG BIỂU

Hình 1. Một hệ thống xác thực sinh trắc học

Hình 2. Quá trình ký và kiểm tra chữ ký
Hình 3. Sơ đồ một hệ thống PKI
Hình 4. Mô hình kiến trúc CA phân cấp
Hình 5. Một chiếc thẻ thanh toán có gắn chip IC
Hình 6. Máy chấp nhận thẻ thanh toán POS
Hình 7. Thẻ thừ và máy đọc thẻ từ
Hình 8. Một chip an ninh có kích thước 3x5 mm được đưa vào bên trong
thẻ và được phóng lớn ra. Các điểm tiếp xúc trên thẻ cho phép thiết
bị điện tử có thể truy cập chip.
Hình 9. Mô hình TTĐT
Hình 10. Các nhân tố tham gia vào TMĐT
Hình 11. Giao thức SSL
Hình 12. Thanh toán bằng điện thoại di động
Hình 13. Mô hình triển khai công nghệ WAP

vi
 DANH MỤC CÁC KÝ HIỆU

Ký hiệu Chú giải

API Application Programming Interface
ATTT An toàn thông tin
CA Certification Authority
CI Credit Institution
CNTT Công nghệ thông tin
CP Certificate Policy
CSDL Cơ sở dữ liệu
DSS Digital Signature Standard
HTTT Hệ thống thông tin
IBPS Inter Bank Payment System
NHNN Ngân hàng Nhà nước Việt Nam
NHTM Ngân hàng Thương mại
NHTW Ngân hàng Trung Ương
PIN Personal Identification Number
PKI Public Key Infrastructure
RA Registration Authority
Sub CA Subordinate CA
TAD Terminal Access Device
TCTD Tổ chức Tín dụng
TMĐT Thương mại điện tử
TTĐT Thanh toán điện tử
TTTT Trung tâm thanh toán

vii
 LỜI CÁM ƠN

Lời đầu tiên, em xin gửi lời cám ơn sâu sắc tới ThS. Lương Việt Nguyên – Bộ
môn Các Hệ thống thông tin – Khoa Công Nghệ Thông Tin – Trường Đại Học Công
Nghệ - Đại học Quốc Gia Hà Nội, người đã hết lòng hướng dẫn, tạo điều kiện cho em
trong suốt quá trình thực hiện khóa luận.
Em xin cám ơn PGS.TS. Trịnh Nhật Tiến, các thầy, các cô trong trường Đại học
Công Nghệ - Đại học Quốc Gia Hà Nội đã tận tình giảng dạy chúng em, giúp đỡ động
viên chúng em từ những ngày đầu bước vào cánh cổng trường Đại học. Thầy cô đã tạo
cho chúng em môi trường học tập, những điều kiện thuận lợi cho chúng em được học
tập tốt, trang bị cho chúng em những kiến thức quý báu giúp chúng em có thể vững
bước trong tương lai.
Cám ơn các bạn sinh viên K50 đã giúp đỡ, cùng nghiên cứu và chia sẻ với tôi
trong suốt quá trình học Đại học và thời gian hoàn thành khóa luận.

Hà Nội, 05/2009
Ngô Đức Hùng

viii
 MỞ ĐẦU

TTĐT là trở ngại lớn thứ hai đối với việc mở rộng và phát huy hiệu quả thực sự
của ứng dụng TMĐT, chỉ sau yếu tố về nhận thức của người tiêu dùng. Hiện nay, một
số lượng không nhỏ doanh nghiệp và ngân hàng tại Việt Nam đã bắt đầu chú ý tới các
hình thức TTĐT, và sử dụng các công cụ xác thực như một biện pháp tiện lợi, an toàn,
nhằm giảm chi phí và thủ tục giao dịch. Tuy nhiên, nỗi lo về những rủi ro và nguy cơ
tiềm ẩn trong thanh toán trực tuyến đang làm chậm bước tiến của ứng dụng TMĐT
trong thời đại công nghệ thông tin ngày nay. Để khắc phục vấn đề này, cần phải đưa ra
giải pháp xác thực toàn diện nhằm đảm bảo an toàn tối đa cho các giao dịch trực tuyến
nói chung và TTĐT nói riêng. Có được niềm tin của người tiêu dùng thì hệ thống TTĐT
mới dễ dàng phát triển được, và chúng ta hoàn toàn có thể tin tưởng vào một tương lai
không xa, cả thế giới sẽ bước vào một nền kinh tế mới, nền kinh tế không tiền mặt.
Hệ thống TTĐT đang trở thành nhu cầu phát triển và điều kiện để Việt Nam hội
nhập với thế giới. Tuy nhiên, do chưa nắm rõ các kiến thức về chứng thực số và công
nghệ trong hệ thống thanh toán trực tuyến, nhiều doanh nghiệp, tổ chức, vẫn tỏ ra thận
trọng và chưa triển khai hệ thống này.
Thực tế cho thấy những nước có nền TMĐT phát triển là những nước đã xây dựng
được một cơ sở hạ tầng thanh toán khá hoàn thiện. Và trong tất cả các phương thức
thanh toán, ngân hàng luôn ở vị trí trung tâm với vai trò là nhà cung cấp trực tiếp dịch
vụ hoặc tổ chức trung gian hỗ trợ hệ thống TTĐT.
Giám đốc trung tâm CNTT BIDV đưa ra con số minh chứng cho thói quen sử
dụng tiền mặt của người dân VN: 4 triệu người dân Singapore sở hữu 30 triệu thẻ các
loại (ATM, tín dụng, ghi nợ...); còn tại Việt Nam, 85 triệu người dân mới có 6,2 triệu
thẻ và khoảng 10 triệu tài khoản. Do thiếu sự kết nối tổng thể giữa các ngân hàng, khách
hàng và nhà cung cấp dịch vụ, hàng hóa khiến người tiêu dùng chưa mạnh dạn tham gia
cũng như thụ hưởng các tiện ích từ TTĐT (TTĐT).
Đối với mạng lưới thanh toán thẻ của ngân hàng, hiện vẫn tồn tại tới ba liên minh
(liên minh của Vietcombank, hệ thống kết nối giữa ANZ và Sacombank, và hệ thống
của ngân hàng Đông Á). Do đó, nếu người mua và người bán có tài khoản ở những ngân
hàng hoặc liên minh khác thì việc TTĐT gần như không thực hiện được trong giao dịch
thương mại trực tuyến.

1
 Thực tế, các ngân hàng và nhà cung cấp đang rất chủ động trong việc đưa ra các
phương thức thanh toán. Chẳng hạn, Pacific Airlines (hiện nay là Jetstar Pacific) hợp tác
với một số tổ chức cho phép TTĐT đối với các thẻ tín dụng quốc tế hoặc thẻ ghi nợ nội
địa của VCB; Techcombank hợp tác với chodientu.vn cung cấp dịch vụ thanh toán trực
tuyến đối với các khách hàng của Techcombank khi mua hàng trên website này... Tuy
nhiên, đó chỉ là những giải pháp được triển khai trong một phạm vi hẹp. TTĐT ở VN
đang có sự giao thoa, mỗi bên (ngân hàng và nhà cung cấp) đều chủ động đưa ra những
giải pháp riêng mà thiếu vai trò chỉ huy của NHNN. Trong khi các ngân hàng nỗ lực mở
rộng điểm chấp nhận thanh toán bằng thẻ tín dụng, thì các nhà cung cấp cũng chủ động
khắc phục bằng những giải pháp tình thế là đàm phán với từng ngân hàng để thiết lập hệ
thống cho phép khách hàng thanh toán bằng cách sử dụng thẻ do ngân hàng phát hành
hoặc khấu trừ thẳng vào tài khoản ngân hàng (như trường hợp của các doanh nghiệp kể
trên)...
Mô hình của các nước trên thế giới là xây dựng một trung tâm chuyển mạch tài
chính ở tầm quốc gia với nhiệm vụ chuyển mạch kết nối giao dịch thanh toán giữa các
bên khác nhau, xử lý thanh toán bù trừ và quyết toán giá trị thanh toán. Ngoài ra, có một
số cổng thanh toán. Các cổng này có thể do một số công ty tư nhân xây dựng để cung
cấp dịch vụ.
Sau một thời gian, công ty Chuyển Mạch Tài Chính Quốc Gia Banknet đã chính
thức ra mắt. Mục tiêu của Banknetvn là kết nối các hệ thống thanh toán thẻ của các ngân
hàng ở VN, tạo thành một hệ thống thanh toán thẻ chung cho quốc gia và kết nối với các
tổ chức thẻ quốc tế. Hoạt động của Banknet hoàn toàn khác với các liên minh thẻ đang
tồn tại ở chỗ, các liên minh thẻ thực chất là sự thỏa thuận của một số ngân hàng với
nhau, thường do một ngân hàng đã đi trước một bước về hệ thống thẻ, nghiệp vụ thẻ
đứng ra chủ trì, các ngân hàng khác sẽ tham gia theo sự chủ trì đó và chịu ảnh hưởng chi
phối của ngân hàng chủ trì. Còn Banknet tạo ra một hệ thống nền tảng công nghệ và
dịch vụ chuyển mạch kết nối dùng chung, một sân chơi bình đẳng cho tất cả các ngân
hàng tham gia kết nối.
Gần đây NHNN đã quan tâm nhiều hơn đến vấn đề này qua việc ban hành các quy
chế, chuẩn mực về thanh toán thẻ, chỉ đạo và hỗ trợ Banknetvn hoạt động và phát triển
theo hướng thực sự là trung tâm chuyển mạch thanh toán của quốc gia, tổ chức các hội
thảo nghiên cứu về giải pháp trung tâm thanh toán tối ưu... Với những chuyển biến tích
cực kể trên, hy vọng những vướng mắc trong TTĐT sẽ dần được gỡ bỏ.

2
 Dịch vụ TMĐT ở Việt Nam chỉ có thể chia thành ba loại: Các website rao vặt đáp
ứng nhu cầu mua bán của các cá nhân, các website của doanh nghiệp để quảng cáo sản
phẩm và chăm sóc khách hàng và các cửa hàng điện tử (e-store). Điều này có nghĩa
TMĐT Việt Nam hiện chỉ phát triển mạnh ở khâu cung cấp thông tin (quảng cáo, đưa
thông tin lên website...) chứ chưa đẩy mạnh được khâu thanh toán. Số lượng mặt hàng
được bày bán trực tuyến cũng còn ít; ngoài ra, việc thanh toán chủ yếu vẫn là thu tiền
trực tiếp...

Phương pháp nghiên cứu chính của khóa luận là tìm hiểu các bài báo khoa học, các

mô hình thanh toán trực tuyến lớn trên thế giới, tìm hiểu về mô hình và thực trạng về an

ninh, an toàn thông tin, để từ đó đưa ra giải pháp ứng dụng xác thức phù hợp.

Nội dung của khóa luận văn gồm có phần mở đầu, ba chương nội dung và phần

kết luận:

Chương 1: Tổng quan về an toàn thông tin và dịch vụ xác thực

Giới thiệu những khái niệm cơ bản nhất về lĩnh vực an toàn thông tin, các công cụ

xác thực được sử dụng trong ngành khoa học này.

Chương 2: Thanh toán điện tử

Giới thiệu tổng quát về thanh toán, các hình thức thanh toán, đặc điểm và vấn đề

an ninh, bảo mật trong các hình thức thanh toán hiện nay.

Chương 3: Vấn đề xác thực trong các hệ thống TTĐT

Giới thiệu chi tiết các hệ thống TTĐT đang và sẽ được ứng dụng trên toàn thế

giới, nghiên cứu và đưa ra những giải pháp xác thực tốt nhất cho các hệ thống thanh

toán trực tuyến.

3
 CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ
DỊCH VỤ XÁC THỰC

Có thể kết luận rằng, trên thế giới hiện nay, nhu cầu về TMĐT rất phổ biến, nhưng
các vấn đề hạ tầng trong TTĐT vẫn chưa được giải quyết tương xứng và đáp ứng được
các đòi hỏi đặt ra. Việc nghiên cứu xây dựng các hệ thống TTĐT để đảm bảo an toàn
thông tin trong các dịch vụ TMĐT là một hướng nghiên cứu rất cần thiết hiện nay.
Việc xây dựng các hệ thống TTĐT về mặt kỹ thuật chính là ứng dụng các thành
tựu của lý thuyết mật mã. Các mô hình thanh toán sử dụng các giao thức mật mã được
xây dựng để đảm bảo an toàn cho việc giao dịch thông tin giữa các bên tham gia.

1.1. Khái quát về an toàn thông tin

Với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông tin của doanh
nghiệp như chiến lược kinh doanh, các thông tin về khách hàng, nhà cung cấp, tài chính,
mức lương nhân viên,…đều được lưu trữ trên hệ thống máy tính. Cùng với sự phát triển
của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu
doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua
Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến
tài chính, danh tiếng của công ty và quan hệ với khách hàng.
Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể
dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của
doanh nghiệp.
An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả
năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác động
đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một trong các đặc điểm sau là
không an toàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền truy
nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ). Các thông tin trong hệ thống bị thay
thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn)...
Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có
thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm bảo
hoạt động đúng đắn. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đưa ra
một số tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc giảm

4
bớt các nguy hiểm. Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp
ứng các yêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó. Quản
lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng. Khi đánh giá độ an toàn
thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu
rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra
chất lượng.
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn
thông tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra các chính sách và
phương pháp đề phòng cần thiết. Các dịch vụ an toàn thông tin cung cấp các giải pháp
an toàn cho máy tính và các kết nối. Bao gồm:
Đảm bảo tính bí mật (Confidentiality): Thông tin không thể bị truy nhập trái phép
bởi những người không có thẩm quyền.
Đảm bảo tính toàn vẹn (Integrity): Thông tin không thể bị sửa đổi, bị làm giả bởi
những người không có thẩm quyền.
Đảm bảo tính xác thực (Authentication): Xác thực đúng nguồn gốc thông tin và
người cung cấp thông tin.
Đảm bảo việc chống chối cãi (Non-repudiation): Thông tin được cam kết về mặt
pháp luật của người cung cấp.
Đảm bảo tính sẵn sàng (Availability): Thông tin luôn sẵn sàng để đáp ứng sử
dụng cho người có thẩm quyền.

5
1.2. Vấn đề xác thực trong an toàn thông tin
1.2.1. Khái niệm
Xác thực (Authentication) là một hành động nhằm thiết lập hoặc chứng thực một
cái gì đó (hoặc một người nào đó) đáng tin cậy, có nghĩa là, những lời khai báo do
người đó đưa ra hoặc về vật đó là sự thật. Xác thực một đối tượng còn có nghĩa là công
nhận nguồn gốc của đối tượng, trong khi, xác thực một người thường bao gồm việc
thẩm tra nhận dạng của họ. Việc xác thực thường phụ thuộc vào một hoặc nhiều nhân tố
xác thực (authentication factors) để minh chứng cụ thể.

Hình 1. Một hệ thống xác thực sinh trắc học

Trong an ninh máy tính (computer security), xác thực là một quy trình nhằm cố
gắng xác minh nhận dạng số (digital identity) của phần truyền gửi thông tin (sender)
trong giao thông liên lạc chẳng hạn như một yêu cầu đăng nhập. Phần gửi cần phải xác
thực có thể là một người dùng sử dụng một máy tính, bản thân một máy tính hoặc một
chương trình ứng dụng máy tính (computer program). Ngược lại sự tin cậy mù quáng

6
hoàn toàn không thiết lập sự đòi hỏi nhận dạng, song chỉ thiết lập quyền hoặc địa vị hẹp
hòi của người dùng hoặc của chương trình ứng dụng mà thôi.
Trong một mạng lưới tín nhiệm, việc xác thực là một cách để đảm bảo rằng người
dùng chính là người mà họ nói họ là, và người dùng hiện đang thi hành những chức
năng trong một hệ thống, trên thực tế, chính là người đã được ủy quyền để làm những
việc đó.

1.2.2. Phân loại xác thực

Xác thực thực thể (Entity Authentication)
Xác thực thực thể là xác thực định danh của một đối tượng tham gia giao thức
truyền tin. Thực thể hay đối tượng có thể là người dùng, thiết bị đầu cuối. Tức là một
thực thể được xác thực bằng định danh của nó đối với thực thể thứ hai trong một giao
thức, và bên thứ hai đã thực sự tham gia vào giao thức.
Xác thực dữ liệu (Data Authentication)
Xác thực dữ liệu là một kiểu xác thực đảm bảo một thực thể được chứng thực là
nguồn gốc thực sự tạo ra dữ liệu này ở một thời điểm nào đó, đảm bảo tính toàn vẹn dữ
liệu.

1.2.3. Các nhân tố xác thực

Những nhân tố xác thực (authentication factors) dành cho con người nói chung
được phân loại theo ba trường hợp sau:
Những cái mà người dùng sở hữu bẩm sinh (Something the user is): chẳng hạn,
vết lăn tay hoặc mẫu hình võng mạc mắt, chuỗi DNA, mẫu hình về giọng nói, sự xác
minh chữ ký, tín hiệu sinh điện đặc hữu do cơ thể sống tạo sinh (unique bio-electric
signals), hoặc những biệt danh sinh trắc (biometric identifier)...
Những cái gì người dùng có (Something the user possesses): chẳng hạn, chứng
minh thư (ID card), chứng chỉ an ninh (security token), chứng chỉ phần mềm (software
token) hoặc điện thoại di động (cell phone)...
Những gì người dùng biết (Something the user knows): chẳng hạn, mật khẩu,
mật khẩu ngữ (pass phrase) hoặc số định danh cá nhân (PIN)...

1.2.4. Xác thực mạnh nhiều yếu tố

Hình thức xác thực dựa vào những gì thực thể biết (mã định danh PIN, mật
khẩu...) bộc lộ nhiều hạn chế, vì trí nhớ của con người là có hạn, không thể cùng một

7
lúc nhớ được quá nhiều thông tin. Hơn thế nữa, những thứ mà người dùng biết để đăng
nhập hệ thống là những thứ được sử dụng lại nhiều lần mỗi khi xác thực, có thể vì một
lý do nào đó thông tin này bị nghe trộm hay lộ ra ngoài và kẻ xấu rất dễ lợi dụng những
sơ hở đó để giả danh người dùng nhằm thực hiện những hành vi bất hợp pháp. Những
hệ thống xác thực như vậy được gọi là xác thực yếu, cần phải có một giải pháp an toàn
hơn việc sử dụng đi sử dụng lại nhiều lần một cách đăng nhập. Một tổ hợp của những
phương pháp trên được kết hợp để sử dụng, chẳng hạn, thẻ ngân hàng kết hợp với số
định danh cá nhân PIN. Trong những trường hợp này, thuật ngữ được dùng là xác thực
hai nhân tố (two-factor authentication).
Trong lịch sử, vết lăn tay được dùng là một phương pháp xác minh đáng tin nhất,
song trong những vụ kiện tòa án gần đây ở Mỹ và ở nhiều nơi khác, người ta đã có
nhiều nghi ngờ có tính chất căn bản, về tính đáng tin cậy của dấu lăn tay. Những
phương pháp sinh trắc khác được coi là khả quan hơn (quét võng mạng mắt và quét vết
lăn tay là vài ví dụ), song có những bằng chứng chỉ ra rằng những phương pháp này trên
thực tế dễ bị giả mạo.
Trong ngữ cảnh của dữ liệu máy tính, nhiều phương pháp mật mã đã được xây
dựng như chữ ký số và phương pháp xác thực bằng thử thách-trả lời (challenge-response
authentication). Đây là ví dụ về vấn đề không thể giả mạo được nếu chìa khóa của
người khởi thủy không bị thỏa hiệp. Rằng việc người khởi thủy hay bất cứ ai ngoài kẻ
tấn công biết (hoặc không biết) về một sự thỏa hiệp nào đấy là một việc chẳng có dính
dáng gì hết. Không ai có thể chứng minh được những phương pháp xác thực dùng mật
mã này có an toàn hay không, vì có thể những tiến triển trong toán học không lường
trước được có thể làm cho chúng, sau này, trở nên dễ bị phá vỡ. Nếu xảy ra, thì việc này
sẽ làm cho những phương pháp xác minh được dùng trong quá khứ trở nên không tin
cậy. Cụ thể là, một bản giao kèo được ký bằng chữ điện tử có thể sẽ bị nghi ngờ về tính
trung thực của nó khi người ta phát hiện ra một tấn công mới đối với kỹ thuật mật mã
dùng trong các chữ ký.
Một giải pháp được đưa ra là việc kết hợp nhiều yếu tố xác thực lại để tạo ra một
hệ thống an toàn hơn, bảo mật hơn. Một hệ thống như vậy gọi là xác thực mạnh nhiều
yếu tố. Khi thực thể bị lộ một vài thông tin thì kẻ gian chưa thể hoàn toàn làm chủ được
hệ thống. Hình thức kết hợp nhiều yếu tố lại hiển nhiên an toàn hơn hẳn so với việc chỉ
sử dụng một yếu tố để xác thực.

8
1.2.5. Một vài công cụ xác thực
Username và Password
Sự kết hợp của một username và password là cách xác thực cơ bản nhất. Với kiểu
xác thực này, chứng từ ủy nhiệm người dùng được đối chiếu với chứng từ được lưu trữ
trên CSDL hệ thống , nếu trùng khớp username và password, thì người dùng được xác
thực và nếu không người dùng bị cấm truy cập. Phương thức này không bảo mật lắm vì
chứng từ xác nhận người dùng được gửi đi xác thực trong tình trạng plain text, tức
không được mã hóa và có thể bị tóm trên đường truyền.

Chữ ký số
Với những thỏa thuận thông thường, hai đối tác xác nhận sự đồng ý bằng cách kí
tay vào cuối các hợp đồng. Và bằng cách nào đó người ta phải thể hiện đó là chữ ký của
họ và kẻ khác không thể giả mạo. Mọi cách sao chép trên văn bản thường dễ bị phát
hiện vì bản sao có thể phân biệt được với bản gốc.
Các giao dịch trên mạng cũng được thực hiện theo cách tương tự như vậy. Nghĩa
là người gửi và người nhận cũng phải ký vào hợp đồng. Việc ký trên các văn bản truyền
qua mạng khác với văn bản giấy bình thường bởi nội dung của văn bản đều được biểu
diễn dưới dạng số hóa (chỉ dùng hai số 0 và 1, ta gọi văn bản này là văn bản số). Việc
giả mạo và sao chép lại đối với văn bản số là việc hoàn toàn dễ dàng và không thể phân
biệt được bản gốc với bản sao. Vậy một chữ ký ở cuối văn bản loại này không thể chịu
trách nhiệm đối với toàn bộ nội dung văn bản. Một chữ ký thể hiện trách nhiệm đối với
toàn bộ văn bản phải là chữ ký được ký trên từng bit văn bản.
Chữ ký số có thể được kiểm tra nhờ dùng một thuật toán kiểm tra công khai. Như
vậy, bất kỳ ai cũng có thể kiểm tra được chữ ký số.

Chứng chỉ số
Chứng chỉ số là một “chứng nhận” khóa công khai của thực thể nào đó. Nó bao
gồm khoá công khai của thực thể và các thông tin định danh của thực thể. Hai thành
phần này gắn kết với nhau thông qua chữ ký của nhà phát hành chứng chỉ.
Chứng chỉ số đảm bảo một cách chính xác đối tượng với những thông tin định
danh tường minh trên, nó sở hữu một khoá bí mật tương ứng. Dựa vào điều kiện trên mà
đối tượng có thể truy cập vào các hệ thống xác thực, hoặc thực hiện các kết nối an toàn.

9
 Chứng chỉ số chỉ có ý nghĩa khi nó đựơc ký bởi nhà phát hành chứng chỉ
(Certificate Authority - CA). Bởi nếu không có chữ ký của nhà phát hành chứng chỉ thì
không có mối liên hệ giữa khoá công khai của thực thể và thông tin định danh, đồng
nghĩa chứng chỉ số vô giá trị. Như vậy chứng chỉ số phải tồn tại trong một hệ thống mà
ở đó nhà phát hành chứng chỉ là một nhân tố quan trọng. Mặt khác chứng chỉ cũng có
thời gian sử dụng nhất định nên nó cần được thu hồi khi cần thiết và trạng thái thu hồi
của chứng chỉ cũng phải được công bố rộng rãi cho toàn bộ hệ thống thông qua danh
sách thu hồi chứng chỉ (CRL - Certificate Revocation List).
Trong mô hình xác thực bằng chứng chỉ. Người sử dụng có thể xác thực anh ta
bằng cách trình cho hệ thống chứng chỉ của chính mình. Thông qua chữ ký của nhà phát
hành chứng chỉ trên khoá công khai và các thông tin định danh, anh ta có thể chứng
minh rằng mình đang sở hữu một khoá riêng tương ứng. Khoá riêng thường có giá trị rất
lớn và thường được lưu trong các file được bảo vệ bởi mật khẩu, hoặc trong các phần
cứng như thẻ thông minh.
Các file hay một số loại thẻ thông minh (lưu trữ và bảo vệ khóa riêng, ví dụ như
thiết bị Entrust Ikey) được bảo vệ bởi mật khẩu hoặc số PIN. Để xác thực chính mình,
người dùng phải đưa ra những thông tin về mật khẩu hoặc số PIN mà chỉ có người đó
mới biết. Với thông tin đó, hệ thống mới có thể truy nhập vào thiết bị lưu trữ khóa riêng
để sử dụng khoá riêng của người dùng phục vụ cho việc xác thực. Thông qua các thao
tác toán học hệ thống chứng minh sự tương ứng giữa khoá riêng và khoá công khai có
trong chứng chỉ. Mặt khác khoá công khai và các thông tin định danh được gắn kết với
nhau thông qua chữ ký của nhà phát hành chứng chỉ nên danh tính của người dùng được
xác thực.
Một cơ chế khác là sử dụng các giao thức mã hoá với thẻ thông minh để chứng
minh rằng người sử dụng sở hữu khoá riêng tương ứng. Khoá riêng được lưu trong thẻ
thông minh, hệ thống xác thực cung cấp một thông tin. Thẻ thông minh sử dụng khoá
riêng mã hoá thông tin đó và gửi trả lại cho hệ thống. Hệ thống sử dụng khoá công khai
trên chứng chỉ giải mã để lấy lại thông tin ban đầu. Nếu hai thông tin là giống nhau thì
chứng tỏ một điều là thẻ thông minh có chứa một khoá riêng tương ứng. Như thế người
sử dụng được xác thực.
Việc ứng dụng cơ chế nào cho hệ thống là tuỳ thuộc vào cơ sở hạ tầng vật lý và
hoàn cảnh ứng dụng mà ta sử dụng. Dù ứng dụng cơ chế xác thực bằng chứng chỉ nào,
thì đều phải được xây dựng trên sự tin tưởng vào nhà phát hành chứng chỉ. Vì nếu
chứng chỉ bị giả mạo hay nhà phát hành chứng chỉ làm giả chứng chỉ, thì hệ thống của

10
ta sụp đổ hoàn toàn. Như vậy về bản chất cơ chế xác thực có được là do chữ ký của nhà
phát hành chứng chỉ, tức là nhà phát hành chứng chỉ đã chứng minh các thông tin định
danh của người sử dụng thông qua chữ ký của mình.

Challenge Handshake Authentication Protocol (CHAP)

Challenge Handshake Authentication Protocol (CHAP) cũng là mô hình xác thực
dựa trên username/password. Khi user cố gắng logon vào hệ thống, server đảm nhiệm
vai trò xác thực sẽ gửi một thông điệp thử thách (challenge message) trở lại máy tính
user. Lúc này máy tính user sẽ phản hồi lại username và password được mã hóa. Server
xác thực sẽ so sánh phiên bản xác thực user được lưu giữ với phiên bản mã hóa vừa
nhận, nếu trùng khớp, user sẽ có quyền truy cập. Bản thân password không bao giờ
được gửi qua network. Phương thức CHAP thường được sử dụng khi user logon vào các
remote servers của công ty chẳng hạn như RAS server. Dữ liệu chứa password được mã
hóa gọi là password băm (hash password). Một gói băm là một loại mã hóa không có
phương cách giải mã.

Kerberos
Xác thực Kerberos dùng một Server trung tâm để kiểm tra việc xác thực user và
cấp phát thẻ thông hành (service tickets) để user có thể truy cập vào tài nguyên.
Kerberos là một phương thức rất an toàn trong xác thực bởi vì nó dùng cấp độ mã hóa
rất mạnh. Kerberos cũng dựa trên độ chính xác của thời gian xác thực giữa Server và
Client Computer, và là nền tảng xác thực chính của nhiều hệ điều hành như Unix,
Windows…

Tokens
Tokens là phương tiện vật lý như các thẻ thông minh (smartcards) hoặc thẻ đeo
của nhân viên (ID badges) chứa thông tin xác thực. Tokens có thể lưu trữ số nhận dạng
cá nhân (PIN), thông tin về user, hoặc password. Các thông tin trên token chỉ có thể
được đọc và xử lý bởi các thiết bị đặc dụng, ví dụ như thẻ smartcard được đọc bởi đầu
đọc smartcard gắn trên máy vi tính, sau đó thông tin này được gửi đến server để xác
thực. Tokens chứa chuỗi text hoặc giá trị số duy nhất thông thường mỗi giá trị này chỉ
sử dụng một lần.

11
 Smartcards là ví dụ điển hình về xác thực tokens. Một smartcard là một thẻ nhựa
có gắn một chip máy tính lưu trữ các loại thông tin điện tử khác nhau. Nội dung thông
tin của card được đọc với một thiết bị đặc biệt.

Biometrics
Biometrics (phương pháp nhận dạng sinh trắc học) là mô hình xác thực dựa trên
đặc điểm sinh học của từng cá nhân. Quét dấu vân tay (fingerprint scanner), quét võng
mạc mắt (retinal scanner), nhận dạng giọng nói (voice-recognition), nhận dạng khuôn
mặt (face-recognition). Vì nhận dạng sinh trắc học hiện rất tốn kém chi phí khi triển
khai nên không được chấp nhận rộng rãi như các phương thức xác thực khác.

Mutual Authentication
Mutual authentication (xác thực lẫn nhau) là kỹ thuật bảo mật mà mỗi thành phần
tham gia giao tiếp với nhau kiểm tra lẫn nhau. Trước hết server chứa tài nguyên kiểm tra
“giấy phép truy cập” của client và sau đó client lại kiểm tra “giấy phép cấp tài nguyên”
của server. Điều này giống như khi bạn giao dịch với một server của ngân hàng, bạn cần
kiểm tra server xem có đúng của ngân hàng không hay là một cái bẫy của hacker giăng
ra, và ngược lại server ở ngân hàng sẽ kiểm tra bạn.

1.3. Chữ ký số - Công cụ được ứng dụng rộng dãi nhất

1.3.1. Khái quát về chữ ký điện tử
Chữ ký điện tử là thuật ngữ chỉ mọi phương thức khác nhau để một cá nhân, đơn
vị có thể "ký tên" vào một dữ liệu điện tử, thể hiện sự chấp thuận và xác nhận tính
nguyên bản của nội dung dữ liệu đó.
Chữ ký điện tử rất đa dạng, có thể là một tên hoặc hình ảnh cá nhân kèm theo dữ
liệu điện tử, một mã khoá bí mật, hay một dữ liệu sinh trắc học (chẳng hạn như hình ảnh
mặt, dấu vân tay, hình ảnh mống mắt...) có khả năng xác thực người gửi.

12
 Hình 2. Quá trình ký và kiểm tra chữ ký

Trong giao dịch điện tử hiện nay trên thế giới, chữ ký số là hình thức chữ ký điện
tử phổ dụng nhất. Chữ ký số bao gồm một cặp mã khoá, gồm khoá bí mật và khoá công
khai. Trong đó, khoá bí mật được người gửi sử dụng để ký (hay mã hoá) một dữ liệu
điện tử, còn khoá công khai được người nhận sử dụng để mở dữ liệu điện tử đó và xác
thực danh tính người gửi.

1.3.2. Vấn đề an toàn của chữ ký điện tử

Chữ ký điện tử đã được ứng dụng và biết đến từ khá lâu. Việt Nam cũng đã triển
khai. Theo nghị định 44 của Chính phủ, từ năm 2002 đã thừa nhận các yếu tố của chứng
từ điện tử và chữ ký điện tử trong thanh toán của hệ thống ngân hàng.
Nhắc tới chữ ký điện tử, người ta nghĩ ngay đến sự an toàn và hữu dụng. Tuy
nhiên, nó có phải là một khái niệm quá xa vời? Ông Phan Thái Trung, chuyên gia
CNTT, trường ĐH Xây dựng giải thích: "Chữ ký điện tử khác với các loại chữ ký khác
như chữ ký tay rồi đưa quét lên trên hình ảnh hoặc là những chữ ký nhận dạng sinh học.
Chữ ký điện tử nó có hai phần, thứ nhất là nó chứa mật khẩu của mình, chỉ một mình
mình biết, phần thứ hai là nó chứa những cái mã công cộng để tất cả mọi người thế giới

13
đều có thể sử dụng được, hai cái đấy kết hợp với nhau chắc chắn và bằng những thuật
toán đã được xác định".
Việc ứng dụng chữ ký điện tử vào cuộc sống cũng không phải là một vấn đề quá
phức tạp. Ngay sau khi có nghị định của Chính phủ, ngành Ngân hàng đã ứng dụng để
thực hiện các giao dịch điện tử theo quy định chuẩn của Quốc tế. Một cơ quan được
giao trách nhiệm và cơ chế để quản lý hệ thống giao dịch điện tử đó là Cục tin học Ngân
hàng Nhà nước Việt Nam. Vậy thì, Cục tin học Ngân hàng đóng vai trò gì trong những
hoạt động TTĐT đã được thực hiện hoàn toàn tự động? Đó là cơ quan có chức năng xác
thực chữ ký điện tử trong hệ thống ngân hàng Việt Nam. Cơ quan này có nhiệm vụ xây
dựng thuật toán chữ ký điện tử, cung cấp chữ ký điện tử cho người tham gia hệ thống
và kiểm soát những chữ ký điện tử ấy.
Không mấy ai dám mạo hiểm "quẳng tiền lên mạng" khi chưa có cơ sở tin cậy
chắc chắn, cũng như được pháp luật công nhận. Trong các hoạt động TMĐT trên thế
giới, chứng thực số được sử dụng làm căn cứ xác định tính hợp pháp, giống như các
hình thức xác thực truyền thống là chữ ký và con dấu hiện nay. Khi có tranh chấp về
pháp lý trong các hoạt động điện tử, chứng thực số có giá trị bằng chứng và căn cứ
tương tự như các hình thức xác thực cũ này.
Với các đặc điểm nổi bật như không thể giả mạo, chứng thực nguồn gốc xuất xứ,
các quốc gia phát triển đều đã sử dụng chứng thực số như một bằng chứng pháp lý từ rất
sớm. Đây là yếu tố rất quan trọng để có thể phát triển TMĐT, vì không ai dám mạo
hiểm với tiền của mình, khi họ chưa chắc chắn được rằng các hoạt động đó có được
đảm bảo, và có được pháp luật công nhận hay không.
Chìa khóa của các hoạt động giao dịch điện tử nằm ở chính những chữ ký điện tử,
công cụ để đảm bảo tính pháp lý của các giao dịch điện tử. Khó khăn hiện nay không
nằm ở mặt công nghệ, không quá phức tạp khi ứng dụng, thế nhưng để triển khai, cần sự
quản lý tập trung của Nhà nước hay cho các doanh nghiệp tư nhân và nước ngoài khai
thác dịch vụ này. Với kinh nghiệm của nước ngoài, đó là việc của các công ty.

1.3.3. Ứng dụng

Một e-mail có thể được ký bằng chữ ký điện tử, đảm bảo người nhận có thể chắc
chắn rằng đó đúng là e-mail của người gửi, chứ không phải e-mail giả mạo. Để làm
được điều này, người gửi và người nhận sẽ phải sử dụng cùng một hệ thống chứng thực
số, do một Nhà cung cấp chứng chỉ số (Certificate Authority, viết tắt là CA) cung cấp.

14
 Trong thực tế, hình các chứng thực số được sử dụng nhiều nhất trong các giao dịch
TMĐT, đặc biệt trong các hoạt động thanh toán trực tuyến của ngân hàng. Một website
dịch vụ ngân hàng có thể khẳng định về tính xác thực của mình với những người truy
cập vào bằng cách sử dụng một hình thức chứng thực số, đảm bảo website đó không
phải là giả mạo.
Người sử dụng, ngoài hình thức bảo mật thông thường như mật khẩu, cũng phải
dùng một chứng thực số cá nhân để khẳng định danh tính của mình, xác nhận các hoạt
động giao dịch của mình với dịch vụ ngân hàng. Chứng thực số sẽ giúp ngân hàng đảm
bảo các khách hàng không thể chối cãi các giao dịch của mình, khi họ đã dùng chứng
thực số.
Các hoạt động liên ngân hàng (như chuyển khoản, thanh toán..) trong giao dịch
điện tử cũng đều phải sử dụng chứng thực số để xác định rõ danh tính của mỗi bên,
khẳng định trách nhiệm và các hoạt động của từng bên trong giao dịch. Đây là quy trình
bảo mật quan trọng, cũng như cơ sở về mặt pháp lý để căn cứ khi thực hiện các hoạt
động giao dịch trực tuyến.
Không chỉ nằm trong lĩnh vực TMĐT, chứng thực số hiện còn được sử dụng như
một dạng chứng minh thư cá nhân. Tại các nước công nghệ phát triển, chứng thực số
CA được tích hợp vào các chip nhớ nằm trong thẻ căn cước, thẻ tín dụng để tăng cường
khả năng bảo mật, chống giả mạo, cho phép chủ thẻ xác thực danh tính của mình trên
nhiều hệ thống khác nhau, chẳng hạn như xe bus, thẻ rút tiền ATM, kiểm soát hải quan,
ra vào chung cư .v.v.

Một ví dụ về chữ ký số (chữ ký RSA)

1. Thuật toán sinh khóa của sơ đồ chữ ký RSA

• Sinh ra hai số nguyên tố lớn ngẫu nhiên p và q.

• Tính n = pq và Φ(n) = (p - 1)(q - 1)

• K = (n, p, q, a, b)

• Chọn b ∈ Zn nguyên tố cùng Φ(n)

• Chọn a ∈ Zn là nghịch đảo của b theo Φ(n)

• Các giá trị n và b công khai, các giá trị p, q, a bí mật.

15
 2. Thuật toán ký và kiểm tra chữ ký

• Ký: y = sigk (x) = xa mod n, y ∈ Zn

• Kiểm tra chữ ký: Verk (x, y) = true ⇔ x ≡ yb mod n

3. Ví dụ
Sinh khóa:
Chọn số nguyên tố p = 7927 và q = 6997
Tính n = pq = 5546521

Φ(n) = 7926x6996 = 55450296

Chọn b = 5 và từ ab = 5a ≡1 (mod 55450296) ta có a = 44360237

Khoá công khai là (n = 55465219, b = 5) và khoá riêng là a = 44360237
Sinh chữ ký:
Giả sử x = 31229978

Chữ ký y = xa mod n = 3122997844360237 mod 55465219 = 30729435

Xác nhận chữ ký :

Tính yb mod n= 307294355 mod 55465219 = 31229978 = x
B chấp nhận chữ ký

1.4. Cơ sở hạ tầng về mật mã khóa công khai

Hạ tầng khóa công khai (Public key infrastructure, viết tắt PKI) là một cơ chế để
cho một bên thứ ba (thường là nhà cung cấp chứng thực số CA) cung cấp và xác thực
định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép
gán cho mỗi người sử dụng trong hệ thống một cặp khóa công khai/bí mật. Các quá
trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm
phối hợp khác tại các địa điểm của người dùng. Khóa công khai thường được phân phối
trong chứng thực khóa công khai.

16
 Hình 3. Sơ đồ một hệ thống PKI

Cơ sở hạ tầng về mật mã khóa công khai (Public Key Infrastructure - PKI) có thể
hiểu là: tập hợp các công cụ, phương tiện cùng các giao thức bảo đảm an toàn truyền tin
cho các giao dịch trên mạng máy tính công khai. Đó là nền móng mà trên đó các ứng
dụng, các hệ thống an toàn bảo mật thông tin được thiết lập.

Nhà cung cấp chứng thực số CA

Những bức tranh hay những chiếc đĩa CD âm nhạc, nếu chữ ký trên bức tranh và
trên đĩa CD đấy không được đăng ký với cơ quan nào, chỉ là ký chơi thôi thì chữ ký đó
không có ý nghĩa về mặt pháp lý. Thế nhưng, nếu bạn đăng ký bản quyền bức tranh và
ký chữ ký của mình với cơ quan đăng ký bản quyền thì chính chữ ký đó lại có giá trị.
Tương tự như vậy, chữ ký điện tử nếu có giá trị về mặt pháp lý thì phải được đăng
ký và được hoạt động trong một lĩnh vực nào đó mới có tác dụng về mặt pháp lý. Và đó
là công việc của những cơ quan xác thực. Nếu Cục tin học thống kê ngân hàng là một cơ
quan xác thực chữ ký điện tử từ năm 2002 thì đến cuối năm 2003 công ty phần mềm và
truyền thông VASC là đơn vị thứ hai tại Việt Nam cung cấp dịch vụ xác thực chữ ký

17
điện tử cho ngân hàng ACB. Tuy nhiên, xung quanh vấn đề này vẫn còn nhiều điều cần
cụ thể hơn.

RootCA

SubCA User User User

SubCA

User User User User

Hình 4. Mô hình kiến trúc CA phân cấp

Trong kiến trúc này, các CA đều nằm dưới một CA gốc (RootCA). Root CA cấp
chứng chỉ cho các CA thứ cấp (SubCA) và các user. SubCA cấp chứng chỉ cho user
thuộc tổ chức của mình. Trong mô hình này, tất cả các đối tượng trong hệ thống đều
phải biết khoá công khai của RootCA. Tất cả các chứng chỉ số đều có thể được kiểm
chứng bằng cách kiểm tra đường dẫn của chứng chỉ số đó đến RootCA.
Trong kiến trúc của hệ thống CA này, tất cả các đối tượng đều dựa trên sự tin cậy
đối với CA gốc duy nhất. Khoá công khai của RootCA phải được phân phát cho các đối
tượng đã được xác thực để đảm bảo sự tin cậy trong hệ thống. Sự tin cậy này được hình
thành theo các cấp từ RootCA đến các SubCA và đến các đối tượng sử dụng.
Trong thế giới ảo trên Internet, các bên giao dịch nhiều khi không đủ căn cứ để có
thể xác minh đối tác của mình. Một nhà cung cấp CA do đó sẽ đóng vai trò quan trọng
của bên thứ ba, đứng ra xác nhận và đảm bảo danh tính cho những cá nhân tổ chức sử
dụng các chứng chỉ số mà mình cung cấp. Khi các bên tham gia vào giao dịch trực
tuyến, nhờ các chữ ký số và những thông tin mà những chứng chỉ số tạo ra, họ có thể
xác minh một cách chắc chắn về danh tính của đối tác mà mình đang giao dịch. Do vai
trò bảo đảm về độ tin cậy rất cao, nên các nhà cung cấp CA sẽ là những đối tượng được
quản lý theo những tiêu chuẩn rất chặt chẽ.

18
 Phạm vi ứng dụng của PKI
PKI được coi là giải pháp hữu hiệu hiện nay trong việc đảm bảo an ninh an toàn
cho các hệ thống thông tin.
Phạm vi ứng dụng của PKI bao trùm các hệ thống từ lớn tới nhỏ và thuộc nhiều
lĩnh vực như: ngân hàng, tài chính, viễn thông, hàng không, các ngành công nghiệp hay
cho hoạt động trao đổi công văn giữa các Sở, Ban, Ngành...
Có thể thấy, PKI thực sự đã trở thành một giải pháp hiệu quả hàng đầu cho việc
đảm bảo an toàn, an ninh cho các hệ thống thông tin lớn trên thế giới. Từ những kết quả
ứng dụng PKI trong nước và trên thế giới như trên, ta có thể khẳng định PKI là một hạ
tầng cơ sở về mật mã khóa công khai tin tưởng để lựa chọn cho mục đích xây dựng lên
những hệ thống thông tin lớn an toàn. Đặc biệt là những hệ thống thanh toán trong lĩnh
vực Ngân hàng tài chính, nơi đòi hỏi độ an toàn rất cao, nơi mà mỗi sai sót dù nhỏ nhất
cũng có thể gây ra một thảm họa.

19
 CHƯƠNG 2: THANH TOÁN ĐIỆN TỬ

2.1. Tổng quan về TTĐT

2.1.1. Khái niệm chung về TTĐT
Thanh toán là sự chuyển giao tài sản của một bên (người hoặc công ty, tổ chức)
cho bên kia, thường được sử dụng khi trao đổi sản phẩm hoặc dịch vụ trong một giao
dịch có ràng buộc pháp lý.
Thanh toán truyền thống
Mua bán là hình thức thường gặp nhất của giao dịch tài chính. Một món hàng được
trao đổi với một món hàng khác hoặc được qui thành tiền. Giao dịch này làm cho lượng
tiền của người mua giảm đi và người bán tăng lên.
Thanh toán điện tử
TTĐT hình thức thanh toán có sử dụng các thiết bị điện tử công nghệ cao, các giao
dịch được tiến hành qua mạng. TTĐT là việc thanh toán tiền qua các thông điệp điện tử
(Electronic message) thay cho việc thanh toán bằng tiền mặt. Về mục đích, TTĐT là hệ
thống cho phép các bên tham gia có thể tiến hành mua bán được. Tuy nhiên, cách giao
dịch thì lại hoàn toàn mới, người thực hiện giao dịch xử lý thanh toán bằng phương
pháp thông qua các khâu được thực hiện trên máy tính. Bản chất của mô hình TTĐT
cũng là mô phỏng lại những mô hình mua bán truyền thống, nhưng từ các thủ tục giao
dịch, các thao tác xử lý dữ liệu, quá trình chuyển tiền… tất cả đều được thực hiện thông
qua hệ thống máy tính, được nối bằng các giao thức riêng chuyên dụng.
Với TTĐT, các bên mua – bán có thể giao dịch với nhau, không phải gặp nhau,
không cần dùng tiền mặt. Các bên trong hệ thống TTĐT sẽ trao đổi với nhau các chứng
từ số hóa. Bên được thanh toán có thể thông qua ngân hàng của mình để chuyển tiền vào
tài khoản của mình. Các quá trình này được phản ánh trong các giao thức thanh toán của
hệ thống, đó là thứ tự các bước gửi thông tin và xử lý số liệu giữa các bên, mục đích là
chuyển đầy đủ các chứng từ thanh toán, đảm bảo an toàn và công bằng cho mọi bên
theo yêu cầu tường minh ban đầu.

2.1.2. Các đặc trưng của TTĐT

20
 Các bên tiến hành giao dịch trong TTĐT không tiếp xúc trực tiếp với nhau và
không đòi hỏi phải biết nhau từ trước.
Các giao dịch thanh toán truyền thống được thực hiện với sự tồn tại của khái niệm
biên giới quốc gia, còn TTĐT được thực hiện trên thị trường không có biên giới (thị
trường thống nhất toàn cầu). TTĐT trực tiếp tác động tới môi trường cạnh tranh toàn
cầu.
Trong hoạt động giao dịch TTĐT đều có sự tham gia của ít nhất ba chủ thể, một
bên không thể thiếu được là người cung cấp dịch vụ mạng, và các cơ quan chứng thực.
Đối với thanh toán truyền thống, thì mạng lưới thông tin chỉ là phương tiện để trao
đổi dữ liệu. Đối với TTĐT, thì mạng lưới thông tin chính là thị trường.

2.2. Các mô hình TTĐT

Hệ thống TTĐT thực hiện thanh toán cho khách hàng theo một số cách, mà tiền
mặt và séc thông thường không thể làm được. Hệ thống thanh toán cũng cung cấp khả
năng điều khiển thanh toán hàng hóa và dịch vụ qua thời gian bằng cách cho phép người
mua trả tiền ngay, trả tiền sau hay trả tiền trước. Thẻ tín dụng cung cấp khả năng thanh
toán bằng tiền mặt qua tính sẵn sàng cho phép hoãn việc trả tiền hàng hóa và dịch vụ đã
được phê chuẩn trước.
Có nhiều tiêu chí để phân biệt phương thức TTĐT, một trong các tiêu chí đó là sự
chênh lệch khác biệt giữa thời điểm bên trả tiền trao chứng từ ủy nhiệm cho bên được
trả và thời điểm trả tiền thực sự xuất tiền khỏi tài khoản của người mua. Với tiêu chí
này, phương thức TTĐT có thể phân thành hai mô hình chính: mô hình trả sau và mô
hình trả trước. Trong mô hình trả sau, thời điểm bên trả tiền trao chứng từ ủy thác cho
bên được trả, xảy ra trước thời điểm trả tiền thực sự (xuất tiền khỏi tài khoản của người
mua để trả cho người bán). Trong mô hình trả trước, hai thời điểm này diễn ra theo thứ
tự ngược lại, người mua phải trả tiền thực sự trước khi chứng từ ủy nhiệm được sử dụng
trong các giao dịch mua bán.

Mô hình trả sau

21
 Với mô hình trả sau, thời điểm tiền mặt được rút ra khỏi tài khoản bên mua để
chuyển sang bên bán xảy ra ngay (pay-now) hoặc sau (pay-later) giao dịch mua bán.
Hoạt động của hệ thống trên dựa trên nguyên tắc tín dụng (credit crendental) nào đó có
tác dụng giống như séc (cheque). Bên bán có hai cách lựa chọn: hoặc là chấp nhận giá
trị thay thế của tín dụng đó và chỉ liên lạc chuyển khoản với ngân hàng của mình sau
này (pay-later), hoặc liên lạc với ngân hàng của mình khi quá trình mua bán đang diễn
ra việc chuyển khoản xảy ra ngay trong quá trình giao dịch.
Với pha chuyển khoản (chearing process), người được thanh toán sẽ yêu cầu
chuyển khoản với ngân hàng đại diện của mình (Acquirer) để thực hiện liên lạc với
ngân hàng đại diện của người thanh toán, thực hiện kiểm tra/chấp nhận chứng từ tín
dụng, khi đó việc chuyển tiền thực sự sẽ diễn ra giữa tài khoản của người thanh toán và
người được thanh toán.
Kết thúc quá trình này, ngân hàng đại diện của bên thanh toán sẽ gửi một thông
báo lưu ý sự chuyển khoản đó cho khách hàng của mình. Mô hình thanh toán này tương
tự như phương thức thanh toán bằng séc nên thường được gọi là mô hình mô phỏng séc
(cheque-like model).
Pha chuyển tiền thực sự này nếu được làm ngay trong giao dịch thì an toàn nhất.
Nhưng như vậy thì tốc độ xử lý giao dịch sẽ chậm, chi phí truyền tin và xử lý dữ liệu
trực tuyến trên các máy chủ ở các nhà băng sẽ cao. Vì vậy, mô hình pay-later cần được
ưu tiên sử dụng khi số tiền thanh toán là không lớn.

Mô hình trả trước

Trong mô hình trả trước, khách hàng liên hệ với ngân hàng (hay công ty môi giới –
broker) để có được chứng từ do ngân hàng phát hành (chứng từ hay đồng tiền số này
mang dấu ấn của ngân hàng), được đảm bảo bởi ngân hàng và do đó có thể dùng ở bất
cứ nơi nào đã có xác lập hệ thống thanh toán với ngân hàng này. Để đổi lấy chứng từ
của ngân hàng, tài khoản của khách hàng sẽ bị triết khấu đi tương ứng với giá trị của
chứng từ đó. Như vậy, khách hàng đã thực sự trả tiền trước khi có thể sử dụng chứng từ
này để mua hàng và thanh toán.
Chứng từ ở đây không phải do khách hàng tạo ra, không phải dành cho một cuộc
mua bán cụ thể mà do ngân hàng phát hành và có thể sử dụng vào mọi mục đích thanh
toán. Vì nó có thể sử dụng giống như tiền mặt và do đó mô hình còn được gọi là mô
hình mô phỏng tiền mặt (cash-like model).

22
 Khi có người mua hàng tại một cửa hàng nào đó và thanh toán bằng chứng từ này,
cửa hàng sẽ tiến hành kiểm tra tính hợp lệ của chúng dựa trên những thông tin đặc biệt
do ngân hàng tạo ra trên đó. Sau đó, cửa hàng có thể chọn một trong hai cách: thứ nhất
là liên hệ với ngân hàng để chuyển vào tài khoản của mình ngay trước khi chấp nhận
giao hàng (deposit-now), thứ hai là chấp nhận và liên hệ chuyển tiền sau vào thời gian
thích hợp (deposit-later).
Trường hợp riêng phổ biến của mô hình mô phỏng tiền mặt là mô hình tiền điện tử
(electronic cash).

2.3. Vấn đề an ninh trong TTĐT

Dạng thức đơn giản và cổ xưa nhất của thanh toán là hàng đổi hàng. Trong thế giới
hiện đại, các hình thức thanh toán bao gồm tiền mặt, chuyển khoản, tín dụng, ghi nợ,
séc... Trong giao dịch thương mại, thanh toán thường phải đi kèm với hóa đơn và biên
nhận. Trong các giao dịch phức tạp, thanh toán còn bao gồm cả chuyển cổ phiếu và các
dàn xếp khác của các bên. Tương lai của thanh toán theo xu hướng tiêu dùng hiện đại,
tiền giấy sẽ được thay thế dần bởi thẻ TTĐT, thẻ thông minh, ví điện tử, và ngay cả điện
thoại di động.
Những sơ hở của người sử dụng trong việc để lộ thông tin mật của các thẻ thanh
toán bởi các Hacker, các trang web phishing, các chương trình Keylogger,...khi sử dụng
đã gây nên những thiệt hại không nhỏ không chỉ cho người chủ sở hữu mà còn cho các
doanh nghiệp cung cấp dịch vụ tài chính trực tuyến. Để bảo vệ quyền lợi của khách
hàng của mình, các ngân hàng cùng các công ty bảo mật đã đưa ra nhiều giải pháp bảo
mật khác nhau trong việc TTĐT trên mạng như: ma trận ngẫu nhiên, One time-One
password token và tiêu chuẩn mới nhất trong TTĐT SET (Secure Electronic
Transaction),... nhằm đảm bảo các phiên giao dịch của người sử dụng.

23
 CHƯƠNG 3: XÁC THỰC TRONG CÁC HỆ THỐNG THANH
TOÁN ĐIỆN TỬ

3.1. Vai trò của xác thực trong thanh toán

Hiện tại, hầu hết các dịch vụ mua bán hàng hoá trên mạng đều sử dụng hình thức
thanh toán bằng thẻ tín dụng (credit card) để thanh toán. Người sử dụng cần nhập vào
các thông tin: tên người sử dụng, mã số thẻ, ngày hết hạn của thẻ. Nhưng vì thẻ tín dụng
là công cụ sử dụng phổ biến cho các thanh toán khác nhau nên những thông tin trên sẽ
có rất nhiều người biết. Và do đó tình hình sẽ xảy ra là “nếu tôi biết những thông tin thẻ
tín dụng của anh thì hoàn toàn tôi có thể mua một món hàng trên mạng (an toàn hơn là
loại thứ hai) còn anh là người trả tiền” gian lận kiểu này không thể hạn chế được.
Thực tế hiện nay, các gian lận về thẻ trên Internet chiếm 6-7% tổng số các giao
dịch thẻ ở các nước châu Âu, và tỷ lệ này ở châu Á là 10%. Tại Việt nam, tuy dịch vụ
thẻ tín dụng mới được đưa vào áp dụng cuối năm 1996 nhưng đến nay, tỷ lệ các giao
dịch gian lận trên tổng số các giao dịch là hơn 10%, cứ trong 5 giao dịch gian lận thì có
4 giao dịch gian lận mua hàng trên Internet và trong 4 giao dịch đó thì có một giao dịch
là mua hàng hoá, 3 giao dịch là sử dụng các dịch vụ khác.
Như vậy rõ ràng có thể kết luận rằng, trên thế giới hiện nay, nhu cầu về TMĐT rất
phổ biến nhưng các vấn đề hạ tầng xoay quanh TTĐT vẫn chưa được giải quyết tương
xứng và đáp ứng được các đòi hỏi đặt ra. Do đó có thể kết luận việc nghiên cứu xây
dựng các hệ thống TTĐT để đảm bảo an toàn thông tin trong các dịch vụ TMĐT là một
hướng nghiên cứu rất cần thiết hiện nay.

3.2. Các phương thức thanh toán chính

Card Payment (các hình thức thanh toán gắn với thẻ tín dụng, thẻ thông minh...
qua thiết bị chấp nhận thẻ POS, ATM...)
e-Payment (các hình thức thanh toán dựa trên kết nối mạng Internet, như PC,
Notebook...)
Mobile Payment (các hình thức thanh toán sử dụng những ứng dụng trên điện
thoại di động GSM, như PDA, Smartphone...)

24
3.3. Hoạt động xác thực diễn ra như thế nào
3.3.1. Card Payment
3.3.1.1. Phương pháp xác thực
Một giải pháp đặt ra đó là sử dụng mã PIN dùng một lần tại thời điểm giao dịch.
Đối với thẻ tín dụng, phương pháp này an toàn hơn hẳn so với việc sử dụng chữ ký của
chủ thẻ và các thông tin cá nhân làm căn cứ xác thực. Đối với thẻ từ, nó hạn chế được
khả năng sử dụng thẻ giả để thanh toán, tuy nhiên để tăng cường bảo mật thì phải sử
dụng thẻ có gắn chip IC, vì công nghệ thẻ IC cho phép hệ thống xác thực động tại ngay
thời điểm giao dịch. Sự kết hợp giữa công nghệ thẻ IC và việc sử dụng mã PIN chủ thẻ
nắm giữ (hai nhân tố) là phương thức xác thực tốt nhất hiện nay với hình thức thanh
toán Card Payment.

Hình 5. Một chiếc thẻ thanh toán có gắn chip IC

Quá trình thanh toán chủ yếu thực hiện trên các thiết bị đầu cuối như máy ATM,
POS... Chủ thẻ quẹt thẻ thanh toán của mình vào các thiết bị thanh toán đó và tiến hành
giao dịch của mình sau những thao tác xác thực người dùng. Ngày nay mã PIN vẫn là
giải pháp xác thực chính cho loại hình thanh toán này, cùng với xu hướng chuyển dấn
sang thẻ chip thay vì thẻ từ trước đây làm cho vấn đề an ninh được nâng cao hơn rất
nhiều.
Phương pháp xác thực tốt nhất hiện nay cho các giao dịch sử dụng thẻ thanh toán
là xác thực động sử dụng mã PIN dùng một lần tại chính ngay thời điểm thanh toán. Đối
với thẻ tín dụng, nó hoàn toàn bảo mật hơn so việc sử dụng chữ ký của chủ thẻ để xác

25
thực. Đối với thẻ từ, nó hạn chế được tình trạng sử dụng thẻ giả để thanh toán. Đối với
thẻ chip, đương nhiên vấn đề an ninh sẽ được nâng cao hơn.

3.3.1.2. Những kỹ thuật về bảo mật

Khi bạn đưa thẻ ATM của mình cho người bán hàng kiểm tra bằng mắt và bằng
máy cà thẻ POS. Thông thường người bán hàng sẽ kiểm tra qua các bước sau:
Kiểm tra tính vật lý của thẻ: để nhận biết thẻ có phải là thẻ thật hay không căn cứ
trên hình dạng và các nội dung trên chiếc thẻ. Người bán hàng sẽ phải biết cách nhận
biết các loại thẻ thông dụng: Visa, Master... Kiểm tra các thông tin trên thẻ có bị thay
đổi, tẩy xóa hay không.
Thẻ của bạn được đưa qua một máy quét thông tin thẻ (POS). Các thông tin này
được gửi đến ngân hàng phát hành thẻ để xin cấp phép giao dịch. Sau vài giây, ngân
hàng sẽ trả lời là thẻ có thể thực hiện giao dịch hay không.
Nếu thẻ được cấp phép giao dịch thì người bán yêu cầu bạn ký vào hóa đơn và
kiểm tra chữ ký của bạn với chữ ký có trên thẻ. Nếu trên thẻ không có sẵn chữ ký để xác
thực thì người bán có thể yêu cầu bạn phải ký vào phần bỏ trống đó, đề nghị bạn cho
xem thêm các giấy tờ chứng minh và ký vào hóa đơn để đối chiếu các chữ ký. Với cách
này người khác khó lòng sử dụng thẻ của bạn để mua sắm và người bán cũng nắm được
hóa đơn làm bằng chứng là bạn đã mua hàng.
Với quy trình nghiêm ngặt trên người bán hàng có điều kiện xác thực được thẻ và
chủ thẻ để hạn chế rủi ro. Hơn nữa đây là giao dịch trực tiếp nên người bán có thể thông
qua nhiều dấu hiệu để phán đoán, nhận biết giao dịch giả mạo. Do đó, ngay cả khi bạn
đánh mất thẻ thì người khác cũng khó dùng cách này để mua hàng bằng thẻ của bạn.

Quá trình giao dịch trên máy chấp nhận thẻ POS
1. Khách hàng của ngân hàng thành viên quẹt thẻ tại máy POS. Khách
hàng được yêu cầu nhập số PIN. POS sẽ gửi giao dịch về ngân hàng
chấp nhận. Ngân hàng chấp nhận sẽ gửi giao dịch đến Chuyển mạch
quốc gia
2. Chuyển mạch quốc gia nhận được giao dịch, nó sẽ chuyển khối PIN
Block và gửi đến ngân hàng phát hành.

26
 3. Khi ngân hàng phát hành nhận được giao dịch, nó sẽ kiểm tra giao
dịch. Nếu giao dịch thành công, ngân hàng chấp nhận sẽ trả lời với mã
trả lời 00. Nếu giao dịch bị từ chối, ngân hàng chấp nhận sẽ trả lời với
mã trả lời tùy theo mã lý do.
4. Chuyển mạch quốc gia nhận được tín hiệu trả lời, nó sẽ gửi giao dịch
đến ngân hàng chấp nhận và sau đó chuyển về POS.

Hình 6. Máy chấp nhận thẻ thanh toán POS

Thanh toán qua POS được thực hiện ở nhiều cửa hàng, nhà hàng, khách sạn, sân
bay… Với các thẻ quốc tế, người dùng có thể ra nước ngoài mà không cần mang theo
nhiều tiền mặt vì các tổ chức thẻ lớn thường có mạng lưới chấp nhận thẻ rộng khắp thế
giới.
Thẻ từ (Magnetic stripe cards)
Trong việc mua bán hàng hóa bằng thẻ tín dụng thì việc chuyển giao hàng hóa
diễn ra ngay lập tức nhưng tất cả các khoản thanh toán đều chậm trễ. Người mua có thẻ
tín dụng khi quyết định mua hàng sẽ nhập các thông tin về thẻ tín dụng của mình như:
số thẻ, mã số an toàn, thời hạn của thẻ, họ và tên chủ sở hữu, địa chỉ thanh toán trên
website, những thông tin này sẽ được chuyển đến cho ngân hàng hay nhà dịch vụ cung
cấp payment gateway là các Acquirer. Acquirer sẽ gửi thông tin về thẻ tới dịch vụ cung
cấp thẻ và ngân hàng phát hành thẻ để kiểm tra tính hợp lệ của thẻ và kiểm tra khả năng
thanh toán của thẻ. Nếu mọi điều kiện đều phù hợp, ngân hàng phát hành thẻ sẽ gửi

27
thông tin ngược trở về cho Acquirer, thông tin được giải mã gửi về cho người bán và
việc thanh toán được thực hiện. Tiền sẽ được chuyển từ thẻ tín dụng của người mua tới
tài khoản bán hàng merchant account trên Acquirer, sau đó sẽ được chuyển vào tài
khoản ngân hàng của người bán.

Hình 7. Thẻ thừ và máy đọc thẻ từ

Thẻ ghi nợ thường là một miếng nhựa đặc biệt có chứa bản ghi điện tử về tài
khoản của bên mua hàng với ngân hàng của họ. Sử dụng thẻ này, bên bán hàng có thể
gửi tín hiệu điện tử tới ngân hàng của bên mua hàng có chứa dữ liệu về số tiền trị giá
khoản hàng đã mua và số tiền này được đồng thời ghi nợ vào tài khoản của khách hàng
là bên mua hàng cùng với ghi có cho tài khoản của bên bán hàng. Điều này là có thể
ngay cả khi bên bán và bên mua hàng sử dụng dịch vụ của các tổ chức tài chính khác
nhau. Hiện tại, các mức phí đối với cả bên mua và bên bán trong việc sử dụng thẻ ghi nợ
là tương đối thấp do các ngân hàng đang mong muốn khuyến khích sử dụng các loại thẻ
ghi nợ. Bên bán hàng cần có máy đọc thẻ được cài đặt sao cho việc mua bán và kết nối
tới cơ sở dữ liệu của các tổ chức tài chính có thể thực hiện được. Các thẻ ghi nợ cho
phép bên mua hàng có thể tiếp cận mọi khoản tiền gửi trong tài khoản của mình mà
không cần phải đem tiền mặt theo bên mình. Trên thực tế, việc trộm cắp các khoản tiền

28
gửi tại các tổ chức tài chính là khó khăn hơn nhiều so với viẹc đem theo tiền mặt, nhưng
điều đó vẫn có thể diễn ra, nếu các dữ liệu quan trọng của các loại hình thẻ bị lộ bí mật.

Thẻ thông minh (Chip or IC cards)

Thẻ thông minh, thẻ gắn chip, or thẻ mạch tích hợp (integrated circuit card -ICC)
là loại thẻ có kích thước đút được trong ví, thường có kích thước của thẻ tín dụng, được
gắn một bộ mạch tích hợp có khả năng lưu trữ và xử lý thông tin. Nghĩa là nó có thể
nhận dữ liệu, xử lý dữ liệu bằng các ứng dụng thẻ mạch tích hợp, và đưa ra kết quả. Có
hai loại thẻ thông minh chính. Các thẻ nhớ (Memory card) chỉ chứa các thành phần bộ
nhớ non-volatile, và có thể có một số chức năng bảo mật cụ thể. Thẻ vi xử lý chứa bộ
nhớ volatile và các thành phần vi xử lý. Thẻ làm bằng nhựa, thường là PVC, đôi khi
ABS. Thẻ có thể chứa một ảnh 3 chiều (hologram) để tránh các vụ lừa đảo.
Thẻ thông minh cho phép thực hiện các giao dịch kinh doanh một cách hiệu quả
theo một cách chuẩn mực, linh hoạt và an ninh mà trong đó con người ít phải can thiệp
vào.
Thẻ thông minh giúp chúng ta thực hiện việc kiểm tra và xác nhận chặt chẽ mà
không phải dùng thêm các công cụ khác như mật khẩu…Chính vì thế, có thể thực hiện
hệ thống dùng cho việc đăng nhập sử dụng máy tính, máy tính xách tay, dữ liệu bảo mật
hoặc các môi trường kế hoạch sử dụng tài nguyên của công ty như SAP, v.v..với thẻ
thông minh là phương tiện kiểm tra và xác nhận duy nhất.

Hình 8. Một chip an ninh có kích thước 3x5 mm được đưa vào bên trong thẻ và được
phóng lớn ra. Các điểm tiếp xúc trên thẻ cho phép thiết bị điện tử có thể truy cập chip.

29
 Thẻ thông minh có tiếp xúc là loại thẻ thông minh có tiếp xúc có một diện tích tiếp
xúc, bao gồm một số tiếp điểm mạ vàng, và có diện tích khoảng 1cm vuông. Khi được
đưa vào máy đọc, con chip trên thẻ sẽ giao tiếp với các tiếp điểm điện tử và cho phép
máy đọc thông tin từ chip và viết thông tin lên nó. Thẻ không có pin, năng lượng làm
việc sẽ được cấp từ máy đọc thẻ. Máy đọc thẻ thông minh có tiếp xúc đóng vai trò trung
gian liên kết giữa thẻ thông minh với một máy chủ, chẳng hạn, đó là một máy vi tính,
một đầu cuối ở một điểm bán, hay một điện thoại di động. Vì các chip trên thẻ thông
minh dùng trong giao dịch tài chính cũng giống như các chip dùng trên SIM của điện
thoại di động, chỉ khác cách lập trình và cách ghép vào miếng PVC có hình dạng khác
nhau. Mặt khác, hiện nhu cầu dùng thẻ thông minh làm SIM là rất lớn cho nên các nhà
sản xuất chip hiện đang tập trung vào việc sản xuất chip các chuẩn của điện thoại di
động GSM/G3. Vì thế, mặc dầu EMV cho phép chip trên thẻ có thể gây tiêu hao một
dòng khoảng 50mA từ máy đọc, hiện nay các chip đều chỉ tiêu hao chưa tới 6mA theo
chuẩn của công nghiệp điện thoại. Điều này cho phép các máy đọc thẻ dùng trong giao
dịch tài chính ngày càng nhỏ hơn và rẻ hơn, và tiến đến có thể trang bị cho mọi máy PC
ở nhà một máy đọc thẻ cũng như phần mềm để bạn có thể mua sắm trên internet một
cách dễ dàng và an ninh hơn.
Thẻ thông minh không tiếp xúc là một loại thẻ mà chip trên nó liên lạc với máy
đọc thẻ thông qua công nghệ cảm ứng RFID (với tốc độ dữ liệu từ 106 đến 848 kbit/s).
Những thẻ này chỉ cần đặt gần một anten để thực hiện quá trình truyền và nhận dữ liệu.
Chúng thường được dùng trong các tình huống truyền nhận dữ liệu thật nhanh hay khi
người chủ thẻ cần rảnh tay, chẳng hạn ở các hệ thống giao thông công cộng mà có thể
sử dụng không cần rút thẻ ra khỏi ví. Một công nghệ không tiếp xúc có liên quan là
RFID (radio frequency identification – xác nhận dựa vào tần số vô tuyến). Trong một số
trường hợp cụ thể, nó có thể dùng trong những ứng dụng tương tự như thẻ thông minh
không tiếp xúc, chẳng hạn dùng để thu phí cầu đường điện tử. Các thiết bị RFID thông
thường không có chứa bộ nhớ ghi được hay có bộ vi xử lý như thẻ thông minh. Có loại
thẻ gồm cả hai loại giao tiếp mà cho phép truy xuất bằng cách tiếp xúc và không tiếp
xúc trên cùng một thẻ. Ví dụ như thẻ giao thông nhiều ứng dụng của Porto, gọi là
Andante, mà dùng một chip cho cả tiếp xúc và không tiếp xúc. Giống như thẻ thông
minh có tiếp xúc, thẻ không tiếp xúc không có pin. Bên trong thẻ có một cuộn cảm mà
có khả năng dò một số tín hiệu vô tuyến, chỉnh lưu tín hiệu, và rồi dùng nó để cung cấp
năng lượng cho chip trên thẻ.

30
 Thẻ thông minh dùng để xác nhận khách hàng là một trong những cách an ninh
nhất, có thể dùng trong những ứng dụng như giao dịch ngân hàng qua internet, nhưng
mức độ an ninh không thể đảm bảo 100%. Trong trường hợp giao dịch ngân hàng qua
internet, nếu PC bị nhiễm bởi các phần mềm xấu, mô hình an ninh sẽ bị phá vỡ. Phần
mềm xấu có thể viết đè lên thông tin (cả thông tin đầu vào từ bàn phím và thông tin đầu
ra màn hình) giữa khách hàng và ngân hàng. Nó có thể sẽ sửa đổi giao dịch mà khách
hàng không biết. Có những phần mềm xấu như vậy, chẳng hạn như Trojan.
Silentbanker). Các ngân hàng như Fortis Dexia ở Bỉ dùng một thẻ thông minh chung với
một máy đọc thẻ không nối mạng nhằm giải quyết vấn đề trên. Khách hàng nhập một
thông tin đánh giá từ trang web của ngân hàng, PIN của họ, và tổng số tiền giao dịch
vào một máy đọc thẻ, máy đọc thẻ sẽ trả lại một chữ ký 8 chữ số. Chữ ký này sẽ được
khách hàng nhập bằng tay vào PC và được kiểm chứng bởi ngân hàng.

3.3.2. e-Payment
Hình thức thanh toán e-Payment lại chia ra hai lĩnh vực riêng biệt là e-Commerce
(TMĐT) và e-Banking (ngân hàng điện tử). Mặc dù e-Banking là công cụ chính để thực
hiện các giao dịch TMĐT (e-Commerce) nhưng cơ cấu tổ chức của hai lĩnh vực này là
khác nhau. Mô hình xây dựng hệ thống e-Banking đơn giản hơn nhiều so với hệ thống
e-Commerce.

3.3.2.1. Phương pháp xác thực

e-Commerce
Trong lĩnh vực thanh toán TMĐT qua Internet, việc lựa chọn một nhà cung cấp
dịch vụ thanh toán (cổng thanh toán) tin cậy sẽ tránh được những rủi ro không đáng có,
vấn đề bảo mật chắc chắn sẽ an toàn hơn so với khi không có một bên thứ ba đảm bảo
giao dịch trực tuyến.
Những cổng thanh toán trực tuyến như Paypal, Onepal, Ogone... đều sử dụng cơ
chế xác thực động nhiều yếu tố, thông tin giao dịch được mã hóa theo giao thức SSL là
giao thức bảo mật phổ biến nhất hiện nay trong các hoạt động TMĐT.
Trong TMĐT thì việc sử dụng thẻ tín dụng thanh toán là phổ biến nhất, và hiện
nay các tổ chức phát hành thẻ sử dụng số CvX in đằng sau mỗi thẻ tín dụng làm con số
để xác thực. Hiện tại công nghệ thẻ thông minh ra đời giúp cho khách hàng yên tâm

31
không sợ bị đánh cắp thông tin trên thẻ tín dụng như trước đây. Thẻ thông minh EMV
sử dụng công nghệ xác thực tiên tiến nhất hiện nay được ba tổ chức thẻ hàng đầu thế
giới xây dựng (Europay, Mastercard, Visa).

e-Banking
Sử dụng xác thực hai yếu tố trong ngân hàng điện tử được xem là phương pháp
xác thực tốt nhất hiện nay. Một cách hiệu quả để triển khai dịch vụ xác thực hai yếu tố
là sử dụng nền tảng xác thực thẻ thông minh EMV.
Ngoài ra, vấn đề an ninh trong ngân hàng điện tử còn được tăng cường hơn nữa
bằng một hệ thống phần mềm dành riêng cho bảo mật ngân hàng. Giải pháp này giúp
ngăn chặn được phần nào những cuộc tấn công trái phép vào hệ thống.
Việc sử dụng chữ ký điện tử làm nhân tố xác thực trong các giao dịch cũng chính
là một bằng chứng để tránh những tranh chấp không đáng có, vì chữ ký điện tử có giá trị
pháp lý trong các giao dịch trực tuyến.

3.3.3.2. Những kỹ thuật về bảo mật

3.3.3.2.1. e-Banking
Giao thức SSL
SSL (Secure Socket Layer ) là giao thức đa mục đích được thiết kế để tạo ra các
giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 43) nhằm mã
hoá toàn bộ thông tin đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch điện tử
như truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet. Giao
thức SSL tổ hợp nhiều giải thuật mã hóa nhằm đảm bảo quá trình trao đổi thông tin trên
mạng được bảo mật. Việc mã hóa dữ liệu diễn ra một cách trong suốt, hỗ trợ nhiều giao
thức khác chạy trên nền giao thức TCP.
SSL hiện nay là giao thức bảo mật rất phổ biến trên Internet trong các hoạt động
TMĐT. Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL
được phổ biến công khai, trừ khoá chia xẻ tạm thời (session key) được sinh ra tại thời
điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên
mạng máy tính. Ngoài ra, giao thức SSL còn đỏi hỏi ứng dụng chủ phải được chứng
thực bởi một đối tượng lớp thứ ba (CA) thông qua giấy chứng thực điện tử (digital
certificate) dựa trên mật mã công khai (thí dụ RSA).

32
 Giải pháp mật khẩu sử dụng một lần (OTP – Ontime Transaction Password)
Sau khi người sử dụng đăng nhập vào hệ thống, với mỗi giao dịch được tiến hành,
hệ thống sẽ sinh ra một mật khẩu động dưới dạng những con số và gửi về điện thoại di
động cho người sử dụng. Mật khẩu động này như một nhân tố xác thực thứ hai, và
thường có giá trị trong thời gian ngắn khoảng vài chục giây, sau thời gian này nếu người
sử dụng không thực hiện giao dịch, mật khẩu động này sẽ không còn giá trị, và hệ thống
sẽ tự sinh ra một mật khẩu mới.

Internet Banking
Là một hệ thống phần mềm cho phép các khách hàng có tài khoản trong ngân hàng
có thể thực hiện các giao dịch ngân hàng trực tuyến thông qua Internet. Các dịch vụ
Internet Banking thông thường được áp dụng như: Truy vấn số dư, sao kê giao dịch và
nhiều dịch vụ mang lại nhiều tiện ích cho khách hàng (Chuyển khoản, chuyển tiền,
thanh toán hoá đơn, TTĐT, đặt chỗ, mua vé máy bay, nạp tài khoản di động trả
trước…).
Áp dụng và triển khai Internet Banking sẽ mang lại nhiều giá trị cho ngân hàng và
khách hàng trong quá trình cung cấp các dịch vụ ngân hàng một cách hiệu quả, tiết kiệm
nhiều chi phí về tài chính và thời gian.

Hình 9. Mô hình TTĐT

33
 Một đặc điểm rất quan trọng trong bất kỳ giải pháp Internet Banking nào là phải
đảm bảo tính xác thực và an toàn trong giao dịch. Điều này phụ thuộc vào nhiều yếu tố
khác nhau và với sự tiến bộ của công nghệ, các ngân hàng có thể lựa chọn các giải pháp
bảo mật khác nhau cho giải pháp Internet Banking mà mình chọn ứng dụng. Có nhiều
phương pháp để giải quyết vấn đề xác thực và bảo mật giao dịch an toàn như: Sử dụng
bàn phím ảo, phương pháp mật khẩu một lần (One Time Password), xác thực hai
phương thức (Two Factor Authentication), hay dùng thiết bị khóa phần cứng (Hardware
Token), thẻ thông minh có chữ ký số (PKI Smartcard). Các ngân hàng lớn trên thế giới
thường sử dụng các giải pháp xác thực và an toàn giao dịch dựa trên hạ tầng khóa công
khai (PKI) cùng với sự tham gia của Hardware Token (TTM tích hợp sẵn đầu đọc cổng
USB) hay thẻ thông minh (PKI Smartcard).
So với các giải pháp khác, giải pháp bảo mật sử dụng chữ ký điện tử giải quyết
đồng thời được 4 vấn đề quan trọng trong các giao dịch điện tử là: Xác thực người
dùng, bảo mật thông tin giao dịch, toàn vẹn dữ liệu và chống chối bỏ. Bên cạnh đó, mỗi
khách hàng sẽ được cung cấp một bộ thiết bị gồm: Thẻ Smartcard bên trong có chứa
chứng chỉ số và cặp khóa công khai/ khóa riêng (PrivateKey/PublicKey) và một đầu đọc
TTM tiếp xúc.
Khi khách hàng ở bất kỳ đâu có máy tính nối mạng Internet, họ chỉ thực hiện một
việc rất đơn giản là gắn đầu đọc (hỗ trợ cổng USB) vào máy tính, vào trang web Internet
Banking của ngân hàng và gắn thẻ vào đầu đọc, sau đó khách hàng đăng nhập hệ thống
hay thực hiện các giao dịch ngân hàng và yêu cầu nhập đúng số PIN của thẻ. Tất cả các
quy trình phát hành, cá thể và quản lý thẻ đều được tuân theo chuẩn GlobalPlatform (tên
riêng của chuẩn TTM đa ứng dụng), hệ thống trang web sử dụng giao thức SSL
(Security Socket Layer), chứng chỉ Website (Chứng chỉ số dành cho website để kiểm tra
sự giả mạo - nếu có) và hỗ trợ mọi trình duyệt như IE, Firefox...

34
 3.3.3.2.2. e-Commerce

Hình 10. Các nhân tố tham gia vào TMĐT

Những nhân tố tham gia trong giao dịch TMĐT

Chủ thẻ (Cardholder): Là người có tên ghi trên thẻ được dùng thẻ để chi trả thanh
toán tiền mua hàng hoá, dịch vụ. Chỉ có chủ thẻ mới có thể sử dụng thẻ của mình mà
thôi. Mỗi khi thanh toán cho các cơ sở chấp nhận thẻ vể hàng hoá dịch vụ hoặc trả nợ,
chủ thẻ phải xuất trình thẻ để nơi đây kiểm tra theo qui trình và lập biên lai thanh toán.
Tổ chức phát hành thẻ (issuers): Là thành viên chính thức của các Tổ chức thẻ
quốc tế, là Ngân hàng cung cấp thẻ cho khách hàng. Ngân hàng phát hành chịu trách
nhiệm tiếp nhận hồ sơ xin cấp thẻ, xử lý và phát hành thẻ, mở và quản lý tài khoản thẻ,
đồng thời thực hiện việc thanh toán cuối cùng với chủ thẻ.
Tổ chức chấp nhận thể (merchants): Là các thành phần kinh doanh hàng hoá và
dịch vụ có ký kết với Ngân hàng thanh toán về việc chấp nhận thanh toán thẻ như: nhà
hàng, khách sạn, cửa hàng... Các đơn vị này phải trang bị máy móc kỹ thuật để tiếp nhận
thẻ thanh toán tiền mua hàng hoá, dịch vụ, trả nợ thay cho tiền mặt.

35
 Ngân hàng thanh toán (acquirers): Là Ngân hàng trực tiếp ký hợp đồng với cơ
sở tiếp nhận và thanh toán các chứng từ giao dịch do cơ sở chấp nhận thẻ xuất trình.
Một Ngân hàng có thể vừa đóng vai trò thanh toán thẻ vừa đóng vai trò phát hành.
Nhà cung cấp dịch vụ (payment system providers): là một bên thứ ba đảm bảo an
toàn thanh toán, tạo liên kết giữa tổ chức phát hành thẻ và ngân hàng, ví dụ như Paypal,
Onepay, Paynet...

Giao thức SET

Hiện nay, trong việc thanh toán qua mạng, các tổ chức tín dụng và các nhà cung
cấp dịch vụ xử lý thanh toán thẻ tín dụng trên thế giới áp dụng công nghệ bảo mật cao
cấp là SET. SET là viết tắt của các từ Secure Electronic Transaction, là một nghi thức
tập hợp những kỹ thuật mã hoá và bảo mật nhằm mục đích đảm bảo an toàn cho các
giao dịch mua bán trên mạng.
Đây là một kỹ thuật bảo mật, mã hóa được phát triển bởi VISA, MASTER CARD
và các tổ chức khác trên thế giới. Mục địch của SET là bảo vệ hệ thống thẻ tín dụng, tạo
cho khách hàng, doanh nghiệp, ngân hàng, các tổ chức tài chính... sự tin cậy trong khi
giao dịch mua bán trên Internet.
Những tiêu chuẩn và công nghệ SET được áp dụng và thể hiện nhất quán trong các
doanh nghiệp, các ngân hàng/công ty cấp thẻ, tổ chức tín dụng và trung tâm xử lý thẻ tín
dụng qua mạng. Ngoài ra, SET thiết lập một phơng thức hoạt động phối hợp tương hỗ
(method of interoperability) nhằm bảo mật các dịch vụ qua mạng trên các phần cứng và
phần mềm khác nhau.
Tóm lại SET được thiết lập để bảo mật những thông tin về cá nhân cũng như thông
tin về tài chính trong quá trình mua bán và giao dịch trên mạng.

Với SET thì các thành phần tham gia TMĐT được hưởng những lợi ích gì?
Doanh nghiệp (người bán) được bảo vệ không bị mất hàng hoá hay dịch vụ
bởi:

• Những thẻ tín dụng không hợp lệ.

• Người chủ thẻ không đồng ý chi trả.

Ngân hàng được bảo vệ bởi:

36
 • Giao dịch mua bán không được sự đồng ý giữa các thành phần
tham gia vào giao dịch hoặc các giao dịch không hợp lệ (Thẻ tín
dụng không hợp lệ, người bán giả danh...)
Người mua được bảo vệ để:

• Không bị đánh cắp thẻ tín dụng.

• Không bị người bán giả danh

Giao thức xác thực máy chủ SSL

Một chuẩn chung trên Internet Xác thực SSL là nền tảng cơ bản của một cơ sở hạ
tầng Internet tin cậy bằng việc cho phép các Website trao đổi thông tin một cách an
toàn, đảm bảo tin cậy với khách hàng.
Xác thực máy chủ SSL đảm bảo yêu cầu về tính bảo mật, tính toàn vẹn, tính xác
thực và không thoái thác trong các giao dịch điện tử. Xác thực máy chủ SSL thực hiện
hai chức năng cần thiết để thiết lập một Website tin cậy là:
Xác thực máy chủ SSL: Xác thực máy chủ cho phép người sử dụng nhận diện
máy chủ Web là có thực và đáng tin cậy. Các trình duyệt tự động kiểm tra một xác thực
máy chủ và mã số công cộng (puplic ID) xem có giá trị hay không và có được một CA
tin cậy cung cấp việc xác thực đó và được cài đặt sẵn trong phần mềm trình duyệt. Việc
xác thực máy chủ SSL là sống còn đối với các giao dịch TMĐT an toàn mà ở đó người
sử dụng muốn xác minh, nhận diện máy chủ nhận các thông tin (chẳng hạn số thẻ tín
dụng) có đáng tin cậy hay không.
Mã hoá SSL: Các xác nhận máy chủ SSL thiết lập một kênh an toàn cho phép tất
cả các thông tin được gửi giữa một trình duyệt Web của người sử dụng với một máy chủ
Web được mã hoá bằng phần mềm gửi và được giải mã bằng một phần mềm nhận, bảo
vệ tính cá nhân của thông tin khỏi sự can thiệp trên Internet. Như vậy, mọi dữ liệu
truyền qua một kết nối SSL được mã hoá sẽ được bảo vệ bằng một cơ chế có thể dò ra
được mọi sự giả mạo, nghĩa là, để tự động xác định các dữ liệu đó có bị sửa đổi hay
không trên đường truyền. Điều này có ý nghĩa là người sử dụng có thể truyền một cách
an toàn, bí mật các dữ liệu cá nhân như số thẻ tín dụng tới một Website và tin tưởng.

37
 Hình 11. Giao thức SSL

Giao thức SSL trở thành một chuẩn chung trên Web cho việc xác thực các Website
đối với trình duyệt Web của người sử dụng và cho việc mã hoá các giao tiếp giữa các
trình duyệt của người sử dụng với các máy chủ Web. Xác thực máy chủ SSL được thực
hiện bởi các tổ chức thực hiện CA (Certificate Authorities) như Verisign hoặc thawte.
CA sử dụng các phương pháp xác minh cẩn thận, tỉ mỉ để đảm bảo việc xác thực khách
hàng họ là ai trước khi đưa họ ra với quảng đại quần chúng. Các xác thực số SSL của
bản thân các CA đã được ký sẵn bên trong các trình duyệt và trên các máy chủ có tiếng,
kể cả trình duyệt Netscape Communicator và Microsoft Internet Explorer mà chúng ta
thường đang sử dụng. Vì vậy, đơn giản chỉ cần cài đặt một xác thực số lên một máy chủ
Web có khả năng SSL khi giao tiếp với các trình duyệt Web nêu trên là được.

Ứng dụng xác thực máy chủ SSL trong TMĐT

38
 Các mã số máy chủ lợi dụng SSL để làm việc một cách trong suốt giữa các
Website và các trình duyệt Web của người sử dụng. Giao thức SSL sử dụng một tổ hợp
mã hoá khoá công cộng không đối xứng và mã hoá đối xứng. Quá trình hoạt động của
giao thức này bắt đầu bằng việc thiết lập một kết nối SSL – cho phép máy chủ xác lập
bản thân nó đối với người sử dụng trình duyệt, sau đó cho phép máy chủ và trình duyệt
đó hợp tác với nhau để tạo ra các khoá đối xứng sử dụng để mã hoá, giải mã, dò tìm
những kẻ đột nhập nếu có.
Ứng dụng công nghệ xác thực máy chủ SSL trong các giao dịch thương mại trực
tuyến được diễn ra theo các bước sau:
1. Một khách hàng làm quen với Website và truy nhập một địa chỉ
URL an toàn, được đảm bảo bằng mã số máy chủ. Điều này có thể là
một mẫu đơn đặt hàng trực tuyến thu thập những thông tin cá nhân
từ khách hàng như địa chỉ, số điện thoại, số thẻ tín dụng hoặc các
thông tin thanh toán khác.
2. Trình duyệt của khách hàng tự động truyền cho máy chủ số phiên
bản SSL của trình duyệt đó, các cài đặt mật mã, các dữ liệu được
sinh ngẫu nhiên, và những thông tin khác mà máy chủ đó cần để
giao tiếp với khách hàng sử dụng SSL.
3. Máy chủ trả lời, tự động truyền tới trình duyệt của người sử dụng
xác nhận số của Website cùng với số phiên bản SSL của máy chủ,
các thiết lập mật mã.
4. Trình duyệt của người sử dụng xem xét các thông tin chứa trong xác
nhận máy chủ đó và xác nhận rằng: Xác nhận máy chủ đó có giá trị
và còn trong thời hạn sử dụng; Cơ quan chức năng xác thực CA cho
máy chủ này có quyền được ký và là một cơ quan xác thực tin cậy,
xác thực của cơ quan này được liệt kê sẵn trong trình duyệt đang sử
dụng; Khoá công cộng của CA này được cài đặt sẵn trong trình
duyệt đang sử dụng, xác nhận tính hợp lệ của chữ ký điện tử của
người cung cấp; Tên miền được chỉ định bằng xác thực máy chủ
khớp với tên miền thực của máy chủ đó. Nếu máy chủ này không
được xác thực, người sử dụng sẽ được cảnh báo rằng một kết nối
được mã hoá, được xác thực có thể không thiết lập được.

39
 5. Nếu máy chủ đó được xác thực thành công, trình duyệt Web của
khách hàng này sẽ tạo ra một khoá phiên (session key) duy nhất để
mã hoá tất cả các giao tiếp với Website đó bằng việc sử dụng mã
hoá không đối xứng.
6. Trình duyệt của người sử dụng tự mã hoá khoá phiên đó bằng khoá
công cộng của site sao cho chỉ site đó mới có thể đọc được khoá
phiên đó, rồi gửi nó tới máy chủ.
7. Máy chủ giải mã cho khoá phiên đó bằng việc sử dụng khoá cá nhân
của chính nó.
8. Trình duyệt gửi một thông điệp tới máy chủ thông báo cho máy chủ
biết rằng các thông điệp tiếp sau đó từ khách hàng sẽ được mã hoá
bằng khoá phiên đó.
9. Máy chủ sau đó gửi một thông điệp tới khách hàng thông báo với
khách hàng rằng các thông điệp tiếp sau từ máy chủ sẽ được mã hoá
bằng khóa phiên đó.
10. Một phiên giao dịch an toàn SSL bây giờ đã được thiết lập. Giao
thực máy chủ SSL sau đó sử dụng mã hoá đối xứng để mã hoá và
giải mã thông điệp bên trong phiên giao dịch an toàn SSL này.
11. Một khi phiên giao dịch kết thúc, khoá phiên sẽ được vô hiệu hoá.
Tất cả quá trình trên diễn tự động trong vài giây, chính vì thế mà giao thức xác
thực máy chủ SSL giúp cho các giao dịch điện tử này được thực hiện trực tuyến, an
toàn; đồng thời nó cũng không gây ra bất cứ phiền toái nào cho người sử dụng, tạo điệu
kiện cho việc mở rộng các ứng dụng TMĐT.

3.3.3. Mobile Payment (m-Payment)

3.3.3.1. Phương thức xác thực
Trong hình thức thanh toán m-Payment, phương thức xác thực sử dụng rộng rãi
nhất hiện nay là xác thực hai yếu tố, kết hợp mã PIN của chủ tài khoản và quyền sở hữu
thiết bị di động. Các ngân hàng còn phát triển ứng dụng đưa vào chính điện thoại di
động nhằm tạo sự tiện lợi và an toàn giao dịch cho khách hàng. Điện thoại di động còn
là một yếu tố xác thực bổ sung cho những hình thức TTĐT khác (xác thực nhiều yếu
tố).

40
 Hình 12. Thanh toán bằng điện thoại di động

Thanh toán bằng điện thoại di động được coi như là một công cụ thanh toán mới,
phương thức truy cập và xử lý các giao dịch tài chính cũng được đơn giản hóa đi. Thậm
chí các giao dịch này được thực hiện thông qua những nhà cũng cấp dịch vụ MSP
(Mobile Services Providers) và giữa các khách hàng MSP mà không cần qua sự có mặt
của ngân hàng tại thời điểm thanh toán.
Hình thức thanh toán m-Payment sử dụng điện thoại di động và các thiết bị viễn
thông không dây để giao dịch. Khách hàng có thể dùng giọng nói, tin nhắn ngắn SMS,
hay các ứng dụng trên nền WAP của điện thoại di động để thực hiện thanh toán.
3.3.3.2. Những kỹ thuật về bảo mật
Để có thể thực hiện thanh toán trên những chiếc điện thoại di động GSM, thẻ SIM
của chủ sở hữu điện thoại phải được trang bị một ứng dụng đặc biệt từ phía ngân hàng.
Truyền thông giữa các thiết bị di động được bảo vệ bằng những thuật toán bí mật, ví dụ
như thuật toán A3 dùng làm cơ chế để xác thực chủ sở hữu thẻ SIM, thuật toán khóa A8
dùng để mã hóa giọng nói...

41
 Hệ thống xác thực quyền sở hữu thẻ SIM
Hệ thống an ninh quyền sở hữu thẻ SIM được phát triển nhằm khắc phục những
điểm yếu của công nghệ GSM truyền thống trong ứng dụng xác thực và thanh toán. Hệ
thống góp phần ko nhỏ trong việc lập trình những ứng dụng tương tác với điện thoại di
động trên thẻ SIM. Chữ ký xác thực sẽ được gửi cho thực thể dưới dạng tin nhắn SMS
và chỉ có hiệu lực trong thời gian rất ngắn.

WAP
WAP (viết tắt của Wireless Application Protocol - Giao thức Ứng dụng Không
dây) là một tiêu chuẩn công nghệ cho các hệ thống truy nhập Internet từ các thiết bị di
động như điện thoại di động, PDA, v.v... Mặc dù tiêu chuẩn này chưa được chuẩn hóa
trên toàn cầu, nhưng những ứng dụng của giao thức này đã tác động rất lớn đến ngành
công nghiệp di động và các lĩnh vực dịch vụ liên quan. WAP là giao thức truyền thông
mang lại rất nhiều ứng dụng cho người sử dụng thiết bị đầu cuối di động như E-mail,
web, mua bán trực tuyến, ngân hàng trực tuyến, thông tin chứng khoán, v.v...

Hình 13. Mô hình triển khai công nghệ WAP

Với các xu hướng triển khai các ứng dụng vô tuyến băng thông rộng trong mạng
NGN, rất nhiều các công nghệ đã được đề xuất để tích hợp và hội tụ các dịch vụ mạng.

42
WAP là một giải pháp công nghệ đem lại nhiều lợi ích cho người sử dụng thiết bị đầu
cuối vô tuyến cũng như các gia tăng giá trị của các nhà cung cấp dịch vụ mạng. Tuy
nhiên, triển khai WAP là một vấn đề phức tạp và liên quan tới nhiều hướng phát triển
công nghệ khác như phần cứng, bảo mật, v.v...

43
 KẾT LUẬN

Khóa luận đã trình bày những kiến thức tổng quát nhất về TTĐT, đi sâu nghiên
cứu và phân tích giải pháp xác thực cho các bài toán nảy sinh trong thanh toán trực
tuyến.
Những kết quả chính của khóa luận là đã nghiên cứu và hệ thống lại các khái
niệm, tính chất, cấu trúc, mô hình giao dịch, TTĐT, xây dựng giải pháp cho các bài toán
phát sinh khi TTĐT.
Hướng tiếp theo của luận văn là nghiên cứu để đề xuất mô hình hệ thống TTĐT
hiệu quả và thử nghiệm mô hình trên thực tế tại Việt Nam.

44
 PHỤ LỤC

Phụ lục 1: TMĐT VN gặp khó do thói quen của người tiêu dùng
20 triệu người sử dụng Internet là tiền đề lớn cho kinh doanh trực tuyến tại VN,
nhưng số đông người dân vẫn e ngại những rủi ro trong mô hình mua sắm này nên việc
mở rộng e-commerce còn hạn chế. Ngoài ra, việc mua bán online vẫn còn phụ thuộc quá
nhiều vào các đơn vị trung gian. Thông thường để yên tâm, nếu các giao dịch ở cách
nhau khá xa, người mua thường nhờ một cửa hàng hay công ty có uy tín thực hiện khâu
kiểm hàng và giao nhận thay mình. Nhưng điều cốt lõi nhất của mua hàng online là
thanh toán trực tuyến lại chỉ chiếm một phần nhỏ. Hiện chỉ có số ít các doanh nghiệp áp
dụng hình thức này với sự hỗ trợ cho các thẻ thanh toán ngân hàng quốc tế và cả nội địa
như: hãng hàng không Jetstar Pacific, Chợ điện tử...
Chợ điện tử sở hữu lợi thế so với nhiều trang web mua bán khác, là cầu nối cho
người tiêu dùng có thể giao dịch và lựa chọn sản phẩm ở những sản phẩm ngoài nước
qua kênh eBay. Trong khi đó, với việc 1/4 dân số sử dụng Internet thì thị trường kinh
doanh online trong nước vẫn còn nhiều "đất". Các trang rao vặt, web mua bán chưa thể
cung cấp mô hình thanh toán trực tuyến thì cạnh tranh bằng việc tạo sự tiện lợi nhất cho
người tiêu dùng. Vatgia.com không là kênh quảng cáo sản phẩm hữu dụng nhất, nhưng
việc tập trung vào khả năng so sánh giá cả nhanh chóng nhất khiến nó vẫn thu hút nhiều
người truy cập. Việc đưa ra mức giá hấp dẫn nhất sẽ khẳng định được tên tuổi của gian
hàng.
Bên cạnh đó, 5giay.vn lại đi theo hướng khác để tạo một khu chợ cho nhiều gian
hàng lẫn người mua bán sôi động. Trang cung cấp hệ thống tự đánh giá và gầy dựng uy
tín cho mỗi cửa hàng (thành viên) bằng thâm niên tham gia tại trang web này... Ngoài ra,
các tính năng mới cũng tạo sự tiện lợi cho cả người bán không thạo nhiều về máy tính
hay bận rộn không thể ngồi suốt ngày để trông coi gian hàng của mình. Trang web cung
cấp khả năng đẩy tin bài lên đầu trang top để người tìm mua dễ thấy bằng tin nhắn SMS.
Theo khảo sát mới nhất của Cục TMĐT và CNTT Bộ công thương, 45% doanh
nghiệp trên cả nước đã có website riêng. Trong số đó, 35% doanh nghiệp có doanh thu
trên 15% nhờ TMĐT. Bên cạnh đó, 88% doanh nghiệp đã chấp nhận việc nhận đơn
hàng bằng phương tiện điện tử. Về phía người tiêu dùng, cũng có những tín hiệu khả
quan khi 65 % người tìm hiểu thông tin trên mạng trước khi mua sắm.

45
 Tuy nhiên, đa số website kinh doanh ở VN vẫn còn tồn tại khá nhiều bất cập như:
nội dung có vấn đề, thiết kế chưa phù hợp làm rối mắt người xem, cập nhật kém, lượng
truy cập thấp, tốc độ chậm...

46
 Phụ lục 2: Ra đời nhiều kênh TTĐT
Năm qua, một loạt các công ty, tổ chức cung cấp các dịch vụ thanh toán (TT) điện
tử đã ra đời như Vinapay (thành lập tháng 2/2007), Vietpay (tháng 5/2007), PayNet (ra
mắt tháng 4/2007). Bên cạnh đó là sự xuất hiện của hàng loạt các dịch vụ thanh toán
như ePOS, iTICK, mPAY, Mr.Top up,...
Thông qua các dịch vụ này, các công ty đang cung cấp các kênh thanh toán hết sức
đa dạng cho thị trường: thanh toán qua POS (Điểm chấp nhận thẻ TT) với dịch vụ ePOS
của PayNet; thanh toán qua mạng Internet với iTICK.vn hay thanh toán qua điện thoại
di động với dịch vụ mPAY. Một tín hiệu lạc quan với thị trường thanh toán trực tuyến là
sự tham gia tích cực của các NHTM. Ngoài việc đầu tư cho công nghệ để cung cấp các
dịch vụ Internet Banking, Mobile Banking, các ngân hàng cũng nổ lực tìm kiếm đối tác,
đơn cử như sự kết hợp giữa Vietcombank và Pacific Airlines giữa Techombank với
123mua.com.vn.
Đặc biệt, hai liên minh là hệ thống chuyển mạch Banknetvn (khai trương tháng
4/2007) và Smartlink (ra mắt tháng 10/2007) nhằm liên kết các hệ thống thẻ của các
NH; cùng nhau phát triển các kênh thanh toán điện tử. Hiện Smartlink có 25 ngân hàng
thành viên, trong đó 17 ngân hàng đã tham gia kết nối với 3 triệu thẻ ATM và 1500 máy
ATM; Banknetvn có 7 ngân hàng thành viên với trên 3,8 triệu thẻ ATM và 2200 máy
ATM.
Sự liên kết của các ngân hàng đã mang lại nhiều ích lợi cho người tiêu dùng.
Người sử dụng thẻ không còn phải tốn nhiều công sức tìm kiếm chiếc TM phù hợp để
giao dịch. Không những thế, các liên minh này cũng đang tìm cách mở rộng hệ thống
thanh toán quaPOS, ATM, Internet, điện thoại di động nhằm giúp khách hàng có thể
mua sắm hàng hóa, dịch vụ, trả cước phí điện thoại, tiền điện, nước. Việc đẩy mạnh các
phương thức TTĐT sẽ thúc đẩy khách hàng chuyển tiền từ việc sử dụng tiền mặt sang
các công cụ thanh toán điện tử.

Rào cản dần được gỡ bỏ

Trước đây, TTĐT từng bị coi là “nút thắt cổ chai”, rào cản cho sự phát triển của
TMĐT. Nhiều doanh nghiệp từng gặp khó khăn khi triển khai các dự án TMĐT do
vướng mắc ở khâu TT. Nói về những vướng mắc trước đây, có nhiều ý kiến cho rằng:
do thói quen và ý thức của người dân về TMĐT; do hạ tầng CNTT của doanh nghiệp và

47
ngân hàng chưa đáp ứng được yêu cầu nên an ninh giao dịch chưa được đảm bảo; do
môi trường pháp lý chưa hoàn thiện…
Sự “bùng phát” của các dịch vụ TTĐT trong năm 2007 có thể được lý giải do việc
giải quyết tổng thể các vướng mắc kể trên trước nhu cầu thúc bách của thị trường.
Khung pháp lý cho TMĐT đã đi vào cuộc sống với sự ra đời của hàng loạt các nghị định
(NĐ) hướng dẫn thực hiện luật Giao Dịch Điện Tử: NĐ chữ ký số và chứng thực chữ ký
số (tháng 2/2007); NĐ về giao dịch điện tử trong hoạt động tài chính (tháng 2/2007);
NĐ về giao dịch điện tử trong hoạt động ngân hàng (tháng 3/2007), trước đó là NĐ
TMĐT (tháng 6/2006). Cuộc chạy đua đầu tư công nghệ của các NH, song song với đó
là sự sáng tạo khi đưa ra các dịch vụ mới.
Nhìn chung, các công ty, ngân hàng tham gia lĩnh vực này đã có sự quan sát kỹ và
đưa ra các dịch vụ phù hợp với đặc điểm tâm lý và thói quen tiêu dùng trong nước. Bà
Nguyễn Tú Anh, tổng giám đốc Smartlink cho biết, dịch vụ được công ty này chú trọng
phát triển là phát hành các loại thẻ Debit (có bao nhiêu trả bấy nhiêu) và thẻ Prepaid (trả
trước tiêu sau) thay vì phát triển các thẻ tín dụng (vay trước trả sau) như ở phần lớn các
nước châu Âu. Điều này xuất phát từ việc nghiên cứu thị trường cho thấy, thị trường
VN có một số đặc điểm chung giống với các thị trường châu Á khác như Nhật Bản, Hàn
Quốc (… tiêu dùng không quen với việc vay trước trả sau). Do đó, các loại thẻ tín dụng
ở những nước này đều không nhận được sự hưởng ứng như ở các nước châu Âu.

Tiền đề cho sự khởi sắc

Sự ra đời của hàng loạt các nhà cung cấp dịch vụ TTĐT đã giúp thúc đẩy sự phát
triển của các kênh thanh toán không dùng tiền mặt. Điều này có ý nghĩa vô cùng quan
trọng đối với nền kinh tế. Bên cạnh đó không thể không kể đến vai trò trong việc thúc
đẩy sự phát triển của TMĐT ở VN thời gian tới. Một số website TMĐT nổi tiếng thế
giới như ebay, Yahoo!, Google cũng đã quan tâm đến sự phát triển trong tương lai gần
của thị trường TMĐT ở Việt Nam và đã nhanh chóng bước chân vào thị trường này.
Theo quy luật thị trường, sau một thời gian cọ xát, nhà cung cấp mạnh sẽ vượt lên trên
và giữ vị trí thống soái bởi đặc tính cạnh tranh trong lĩnh vực thanh toán là nhà cung cấp
dịch vụ càng có nhiều đối tác (bao gồm NH, doanh nghiệp cung cấp hàng hóa, dịch vụ
và người tiêu dùng cá nhân) càng thu hút số đông khách hàng. Tuy nhiên, bà Tú Anh bổ
sung, để trụ vững, không thể không kể đến hệ thống công nghệ và nguồn nhân lực để
đảm bảo chất lượng dịch vụ ổn định, kịp thời, độ an toàn cao.

48
 Dịch vụ ngân hàng chờ người ứng dụng
Hiện nay theo thống kê của NHNN, số lượng thanh toán bằng tiền mặt giảm xuống
hàng năm khoảng 17%/năm. Tuy nhiên, việc thanh toán bằng tiền mặt trong khu vực
bán lẻ tư nhân còn rất lớn. Điều này ảnh hưởng đến công tác quản lý, văn minh thương
mại. Việc thúc đẩy thanh toán không dùng tiền mặt là mục tiêu trước mắt và lâu dàì của
hệ thống NH.
Để xã hội Việt Nam thực sự TTĐT thì không chỉ cần có hệ thống ngân hàng mà
còn cần sự tham gia của các doanh nghiệp/tổ chức cung cấp sản phẩm và dịch vụ. Trong
thời gian qua đã hình thành các hệ thống ATM, Phone Home Banking…Tuy nhiên, vấn
đề đặt ra là các nhà cung cấp dịch vụ chưa nhận thức đầy đủ về vấn đề này và tâm lý sử
dụng tiền mặt còn rất nặng. Rất ít hãng bán lẻ dùng POS và không có cơ chế nào hay
luật qui định sử dụng. Vì vậy, hiện nay vẫn còn tồn tại tâm lý “sử dụng tiền mặt là thuận
lợi”.

Dịch vụ trung tâm dữ liệu sẽ đáp ứng nhu cầu của ngành NH
Trong lĩnh vực NH, CMC mong muốn tiếp tục đẩy mạnh việc cung cấp hệ thống
hạ tầng như cung cấp máy chủ, mạng... CMC cũng sẽ kết hợp với các đối tác lớn để đưa
các giải pháp mạnh vào ứng dụng, nhằm đạt các giá trị gia tăng cho khách hàng. Khi
ngân hàng ngày càng tăng giao dịch thì nhu cầu về bảo mật và an toàn dữ liệu cũng sẽ
tăng cao. Việc sử dụng các dịch vụ của các trung tâm dữ liệu sẽ cho phép ngân hàng
giảm chi phí đầu tư trong khi vẫn ứng dụng được những giải pháp công nghệ tiên tiến.
CMC có kế hoạch xây dựng các trung tâm dữ liệu (data center) cho các ngân hàng và
doanh nghiệp thuê sử dụng. Trung tâm dữ liệu ở Sài Đồng, Hà Tây dự kiến sẽ hoàn
thành trong năm 2008.

TTĐT bắt buộc phải xảy ra

Nếu bạn sống trong một nền kinh tế hiện đại, bạn sẽ không bao giờ phải đi mua xe
máy hay ô tô với vali đầy tiền. Một xã hội hiện đại phải ứng dụng phương thức TTĐT.
Nếu bạn là doanh nghiệp, bạn sẽ không cần phải có một xe tải đầy tiền đi theo suốt ngày
phục vụ việc thu chi mà thay vào đó sẽ có ngân hàng thực hiện việc TT. Việc thanh toán
bằng thẻ ATM, ebanking … đã diễn ra rất nhanh ở Việt Nam vì nhu cầu đã có sẵn ở

49
đây. Khi nền kinh tế phát triển, bạn sẽ không cần làm cái việc đến ngân hàng rút tiền, rồi
đến Nguyễn Kim mua tivi LCD mà thay vào đó bạn sẽ đến Nguyễn Kim chọn máy và
đưa cho người bán hàng một tấm thẻ nhựa và họ sẽ nói: “ Cảm ơn quí khách”. Bạn thấy
đấy, Nguyễn Kim cũng sẽ không có sức để hàng ngày chở cả đống tiền của khách hàng
đến NH. Trong tương lai, không ai có nhiều thời gian để làm những việc như vậy. Trung
Quốc đã trải qua tình trạng này. Năm năm trước đây, TQ là một xã hội tiền mặt. Tiền
mặt, tiền mặt và tiền mặt! Giờ đây ai cũng có tài khoản ngân hàng và thẻ tín dụng; còn
doanh nghiệp ứng dụng mạnh các dịch vụ thanh toán điện tử.
Với dân số ước đạt 84 triệu người năm 2007, Việt Nam có độ tuổi trung bình là
26. Thế hệ trẻ muốn có công nghệ mới nhất, muốn có sự thuận tiện. Họ sẽ không thích
xếp hàng 2 giờ để trả tiền mà muốn trả nhanh trực tuyến. Việt Nam có dân số trẻ, ngày
càng nhiều người được giáo dục và đào tạo tốt. Và chúng ta thấy đã có sẵn nhu cầu về
các giải pháp tự động hóa trong thanh toán cho cả cá nhân hay doanh nghiệp.
Chúng ta đã thấy Nhà Nước nói đến việc trả lương vào tài khoản NH. Chúng ta
cũng sẽ thấy Nhà Nước yêu cầu các ngân hàng phải “nói chuyện” được với nhau vào
cuối năm tới; Việt Nam cần một hệ thống thanh toán (clearing system) thông suốt. Hiện
Việt Nam chưa có được một hệ thống thanh toán liên thông chính thức (formal clearing
system). Một hệ thống như vậy đang trong quá trình phát triển. Chúng ta cũng đã thấy
các hệ thống ATM “bắt tay” được với nhau. Nhà Nước cũng sẽ yêu cầu các hệ thống
như BankNetvn bắt tay với VisaNet… Như thế, chúng ta thấy các chuẩn kỹ thuật và
giao thức bảo mật cũng không ngừng được quan tâm và ứng dụng.

50
 Phụ lục 3: Các cổng thanh toán ở Việt Nam
Cổng thanh toán OnePAY
Công ty cổ phần thương mại và dịch vụ trực tuyến OnePAY (OnePAY) phối hợp
với Ngân hàng thương mại cổ phần Ngoại thương Việt Nam (Vietcombank) triển khai
giải pháp thanh toán trực tuyến. Tháng 2/2007, đơn vị đầu tiên tại Việt Nam triển khai
thành công là hãng hàng không giá rẻ Jetstar Pacific. Cổng thanh toán OnePAY cho
phép doanh nghiệp chấp nhận thanh toán trực tuyến cho các loại thẻ tín dụng và ghi nợ
phổ biến mang thương hiệu Visa, MasterCard, American Express, JCB.
Đến hết năm 2008, cổng thanh toán OnePAY đã triển khai thành công cho 65
doanh nghiệp tại Việt Nam hoạt động trong lĩnh vực du lịch lữ hành, siêu thị trực tuyến,
dịch vụ viễn thông như Vietravel, Ivivu Tour, Chợ Điện Tử, 25h, FPT Data, FPT
Online…
Tháng 1/2009, OnePAY và Vietcombank triển khai thành công cổng thanh toán
nội địa, cho phép 3 triệu chủ thẻ Vietcombank Connect 24 có thể thực hiện mua bán và
thanh toán trên các website đã kết nối với OnePAY. Theo lộ trình, đến cuối năm 2009,
OnePAY sẽ tiếp tục kết nối với các ngân hàng lớn tại Việt Nam, tạo điều kiện cho các
doanh nghiệp TMĐT chấp nhận thanh toán trực tuyến cho hơn 10 triệu chủ thẻ.

Cổng thanh toán Đông Á

Tháng 2/2007, Ngân hàng Đông Á đã cung cấp cho các chủ thẻ đa năng Đông Á
dịch vụ thanh toán trực tuyến trên kênh giao dịch “Ngân hàng Đông Á Điện tử”.
Website đầu tiên liên kết để triển khai thành công là Siêu thị điện tử Golmart.
Ngân hàng Đông Á Điện tử cho phép chủ thẻ mua hàng tại 9 website đã kết nối
với Ngân hàng Đông Á như Golmart, Chợ Điện Tử, Hlink… và thực hiện thanh toán
trực tuyến qua kênh Internet Banking/SMS Banking/Mobile Banking.
“Phí dịch vụ hợp lý nhưng quy trình thanh toán phức tạp với đa số người sử dụng”
là nhận xét của cả chủ thẻ và doanh nghiệp TMĐT khi sử dụng cổng thanh toán nội địa
Đông Á.

51
 TTĐT F@st MobiPay
F@st MobiPay là một dịch vụ nằm trong giải pháp cổng TTĐT của Ngân hàng
thương mại cổ phần Kỹ thương Việt Nam (Techcombank).
Kết nối với F@st MobiPay, doanh nghiệp cho phép khách hàng mở tài khoản tại
Techcombank thanh toán hóa đơn bằng tin nhắn điện thoại di động gửi đến tổng đài
19001590. Hiện nay, chủ thẻ F@stAccess thực hiện phương thức này trên 6 website đã
kết nối với Techcombank là như Chợ Điện Tử, Golmart, Chotroi.vn…
F@st MobiPay cho phép doanh nghiệp TMĐT tiếp cận với các chủ thẻ của
Techcombank bằng thanh toán qua nhắn tin SMS. Trường hợp khách hàng e ngại về các
vấn đề bảo mật, khách hàng có thể thanh toán chuyển khoản bằng hệ thống ngân hàng
điện tử rất an toàn.

Ví điện tử MobiVi
Tháng 12/2008, Ngân hàng thương mại cổ phần Quốc Tế Việt Nam (VIB Bank) và
Công ty cổ phần hỗ trợ dịch vụ thanh toán Việt Phú (MobiVi) công bố sản phẩm ví điện
tử MobiVi.
Sử dụng dịch vụ của Mobivi, các doanh nghiệp có thể chấp nhận thanh toán trực
tuyến an toàn cho một số khách hàng sử dụng ví điện tử. Các website đang kết nối thử
nghiệm chấp nhận thanh toán trực tuyến từ ví điện tử MobiVi là TF Travel, Hlink…

Ví điện tử Payoo
Ngày 18/2/2009, Ngân hàng Nhà nước Việt nam có quyết định cho phép Công ty
cổ phần dịch vụ Trực tuyến Cộng đồng Việt (Vietunion) thực hiện thí điểm cung ứng
phương tiện thanh toán ví điện tử Payoo.
Với loại ví điện tử này, người dùng có thể mua hàng và thanh toán đơn hàng tại
các trang web TMĐT kết nối với Payoo. Trong năm 2008, Payoo đã kết nối với Ngân
hàng Thương mại Cổ phần Nam Việt (NaviBank). Hiện tại, Payoo đang nỗ lực phát
triển khách hàng sử dụng ví điện tử bằng cách đưa ra phương thức nạp tiền thuận tiện.
Người dùng có thể nạp tiền từ tài khoản NaviBank hoặc từ các đối tác ngân hàng khác
của Payoo.

52
 Ví điện tử VnMart
Tháng 11/2008, Ngân hàng Công thương Việt Nam (VietinBank) và Công ty cổ
phần giải pháp thanh toán Việt Nam (VnPay) ra mắt dịch vụ ví điện tử VnMart.
Khách hàng là chủ thẻ E-Partner của VietinBank có thể đăng ký sử dụng dịch vụ
ví điện tử VnMart để mua sắm qua mạng Internet. Chủ thẻ E-Partner có thể nạp tiền từ
khoản ATM của mình sang ví điện tử VnMart thông qua dịch vụ nhắn tin di động
VnTopup đã được VietinBank triển khai sau khi đăng ký dịch vụ lần đầu.
VnMart hiện đang xin giấy phép hoạt động của Ngân hàng Nhà nước và hoàn
thiện quy trình sử dụng dịch vụ.

Ví điện tử netCASH – PayNet

Tháng 11/2008, Công ty cổ phần mạng thanh toán VINA (PayNet) công bố ra mắt
cổng thanh toán trực tuyến PayNet dựa trên mô hình ví điện tử.
Cổng thanh toán PayNet cho phép doanh nghiệp chấp nhận thanh toán trực tuyến
với tài khoản ví điện tử netCASH. Đăng ký tài khoản tại https://netcash.paynet.vn,
người dùng sở hữu tài khoản netCASH có thể mua sắm hàng hóa tại các website TMĐT
kết nối với netCASH. Hiện nay, netCASH đang thử nghiệm với website http://hlink.vn.

53
 TÀI LIỆU THAM KHẢO

[1].Trịnh Nhật Tiến PGS. TS (2007), Bài giảng môn An toàn và bảo mật dữ liệu.
[2].Lương Việt Nguyên ThS (2008), Luận văn thạc sỹ, Chữ ký số và ứng dụng xác thực
trong thẻ thông minh.
[3].Phan Đình Diệu GS (2006), Lý Thuyết Mật Mã và An Toàn Thông Tin, Nhà xuất bản
Đại học quốc gia Hà Nội.
[4].Trịnh Nhật Tiến PGS. TS (2005), Báo cáo khoa học: “Nghiên cứu xây dựng cơ sở hạ
tầng về mật mã khóa công khai bảo đảm an toàn truyền tin trên mạng máy tính TP Hà
Nội”.
[5].WP1 E-Payment Authentication Study - Final Deliverable
[6].John Wiley & Sons Inc, Applied Cryptography Second Edition
[7].Cap Gemeni, ABN Amro, EFMA, World Payments REPORT _ 2006
[8].Carte de crédit sur internet – www.cec.belgique, 03042007
[9].European Central Bank, The Eurosystem’s view of a “SEPA for cards”
[10].MasterCard International, MasterCard SecureCodeTM – MasterCard and Maestro
[11].enrollment and implementation guide. December 2002.
[12].Les enjeux du paiement sécurisé pour la vente à distance et le e-commerce, Paris,
2005, Jean-Pierre Buthion, Groupement des Cartes Bancaires
[13].The Eurosystem’s vision for SEPA (Single European Payments Area)
[14].European Central Bank, Electronic money System security Objectives, According to
the common Criteria methodology May 2003
[15].http://www.sbv.gov.vn
[16].http://vnexpress.net
[17].http://thongtinbaomat.com
[18].http://wikipedia.org

54