Professional Documents
Culture Documents
HỌC PHẦN
Hà Nội 9/2021
1
2
MỤC LỤC
Contents
PHẦN I: LÝ THUYẾT VỀ THANH TOÁN ĐIỆN TỬ..........................................................................3
1.1. Giới thiệu chung về thương mại điện tử.............................................................................3
1.1.1. Khái niệm về thương mai điện tử.......................................................................................3
1.1.2. Thương mai điện tử - lợi ích cho doanh nghiệp.................................................................3
1.1.3. Các vấn đề trong thương mại điện tử.................................................................................5
1.2. Giới thiệu chung về thanh toán điện tử...................................................................................6
1.2.1. Khái niệm về thanh toán điện tử.........................................................................................6
1.2.2. Lợi ích của thanh toán điện tử..............................................................................................6
1.2.3. Ứng dụng thanh toán điện tử................................................................................................8
1.2.4. Các vấn đề trong thanh toán điện tử Việt Nam..................................................................8
1.3. Tổng quan về thanh toán tín dụng..............................................................................................9
1.3.1. Nguồn gốc của thẻ thanh toán..............................................................................................9
1.3.2. Khái niệm về thẻ thanh toán.................................................................................................9
1.3.3. Phân loại thẻ thanh toán......................................................................................................10
PHẦN II: MÔ HÌNH GIẢI PHÁP THANH TOÁN ĐIỆN TỬ................................................................13
2.1. Tổng quan giao thúc iKP...........................................................................................................13
2.1.1. Lịch sử hình thành giao thức iKP.....................................................................................13
2.1.2. Các khái niệm trong hQ giao thức iKP.............................................................................13
2.2. Giao thức 1KP.............................................................................................................................18
2.2.1. Giới thiệu.............................................................................................................................18
2.2.2. Định nghĩa các thông điệp...................................................................................................18
2.2.3. Cơ chế giao thúc..................................................................................................................19
2.3. Giao thức 2KP.............................................................................................................................21
2.1.1. Giới thiệu.............................................................................................................................21
2.1.2. Cơ chế giao thức..................................................................................................................21
2.4. Giao thúc 3KP.............................................................................................................................23
2.4.1. Giới thiệu.............................................................................................................................23
2.4.2. Cơ chế giao thức..................................................................................................................23
3
PHẦN I: LÝ THUYẾT VỀ THANH TOÁN ĐIỆN TỬ
1.1. Giới thiệu chung về thương mại điện tử
6
1.2. Giới thiệu chung về thanh toán điện tử
1.2.1. Khái niệm về thanh toán điện tử
Thanh toán điện tử là gì ?
Thanh toán là một khâu không thể thiếu trong bất kỳ một phiên giao dịch
thương mại nào. Vậy chúng ta hiểu thanh toán điện tử là gì ?
Thanh toán điện tử là việc ngân hàng thực hiện thanh toán theo yêu cầu của
khách hàng mở tài khoản tiền gửi tại ngân hàng, thông qua việc khách hàng chuyển
tới ngân hàng phục vụ mình yêu cầu thanh toán qua mạng máy tính. Quá trình
thanh toán điện tử là quá trình thiết lập, tiếp nhận, xử lý một lệnh chi qua mạng
máy tính, kể từ khi ngân hàng nhận được lệnh chi của khách hàng đến khi hoàn tất
việc thanh toán cho người nhận.
Hay nói cách khác, thanh toán điện tử là các hình thức thanh toán tiến hành
thông qua môi trường Internet. Thông qua hệ thống thanh toán điện tử, thuê bao
Internet có thể tiến hành các hoạt động thanh toán, chi trả, chuyển tiền v.v...
Thông thường hệ thống thanh toán điện tử được liên kết với mạng thanh toán
riêng của ngân hàng hay các mạng chuyên thanh toán khác như mạng thanh toán
thẻ được điều hành bởi tổ chức Visa và MasterCard. Thông qua hệ thống thanh
toán điện tử, thuê bao Internet có thể tiến hành thanh toán bằng các phương tiện
sẵn có của họ như thẻ tín dụng hay thanh toán trực tiếp trên tài khoản của họ tại
ngân hàng.
Thanh toán điện tử không chỉ giới hạn trong hoạt động thanh toán giữa cá
nhân và ngân hàng, cá nhân với doanh nghiệp hay doanh nghiệp với ngân hàng mà
nó còn cho phép tiến hành thanh toán giữa các ngân hàng.
Hệ thống thanh toán điện tử cung cấp dịch vụ thanh toán cho thuê bao Internet
từ Internet tiến hành thanh toán vào mạng riêng của ngân hàng. Các hệ thống thanh
toán điện tử đóng vai trò một cổng giữa Internet và mạng ngân hàng. Cổng này sẽ
nhận các yêu cầu thanh toán từ Internet sau đó chuyển đổi khuôn dạng dữ liệu từ
dạng TCP/IP sang dạng dữ liệu sử dụng trong mạng ngân hàng. Thông tin sau khi
chuển đổi sẽ được gửi đến máy chủ trong mạng ngân hàng để tiến hành sử lý
thanh toán.
Thông tin phản hồi từ máy chủ trên mạng ngân hàng gửi ra Internet cũng
được cổng biến đổi tương tự.
Thứ hai: Thanh toán bằng thẻ tín dụng là hình thức thanh toán tốt nhất, có uy
tín nhất hiện nay và nó chứng tỏ hoạt động kinh doanh của doanh nghiệp mang tính
chuyên nghiệp cao.
Thứ ba: Khi chấp nhận thanh toán bằng thẻ tín dụng, khách hàng có thể đặt
hàng trước và thanh toán sau. Từ khâu đặt hàng cho đến lúc sản phẩm đóng gói,
vận chuyển đều được thực hiện nhanh chóng. Nếu khách hàng đặt hàng và thanh
toán qua đường bưu điện hoặc fax họ sẽ gửi séc rồi phải đợi gia hạn séc và sau đó
mới gửi hàng. Như vậy sẽ gây ra sự bất tiện, và mất nhiều thời gian để hoàn thanh
giao dịch thanh toán..
Thứ tư: Khi kinh doanh trên Internet, đối tượng khách hàng của doanh
nghiệp có thể là toàn cầu, mà như chúng ta biết khách hàng ở các nước phát triển
thường thanh toán bằng thẻ tín dụng khi mua hàng. Do đó việc một doanh nghiệp
không chấp nhận thanh toán bằng thẻ tín dụng cũng có nghĩa là doanh nghiệp đó từ
chối bán hàng. Khách hàng sẽ không mua hàng khi họ thấy mua bán không thuận
tiện bởi vì họ có thể dễ dàng tìm thấy nhà cung cấp khác. Còn ở Việt Nam, mặc
dù hiện nay phương pháp thanh toán bằng thẻ tín dụng còn chưa phổ biến nhưng
nếu doanh nghiệp có kế hoạch kinh doanh trên mạng và có các chiến lược thu hút
khách hàng trên toàn thế giới thì doanh nghiệp đó nên chấp nhận thanh toán bằng
thẻ tín dụng.
Và còn nhiều lợi ích khác...
8
1.2.3. Ứng dụng thanh toán điện tử
Thanh toán điện tử được ứng dụng cho hai lĩnh vực chính: Các hệ thống thanh
toán thuần tuý và các hệ thống thanh toán là một phần của hệ thống thương mại
điện tử.
Hệ thống thanh toán thuần tuý (được xem như dịch vụ ngân hàng tại nhà)
Dịch vụ này cho phép người dùng tại nhà sử dụng máy tính cá nhân kết nối
Internet để truy xuất thông tin về tài khoản của khách hàng tại ngân hàng. Quan
trọng hơn nữa là dịch vụ này cho phép người dùng sử dụng các dịch vụ thanh toán,
chuyển tiền v.v... của ngân hàng tại ngay máy tính cá nhân của mình. Lợi thế của
nhóm dịch vụ này là nó mang lại sự tiện dụng cho khách hàng: Thay vì phải đến
ngân hàng để thanh toán, người dùng giờ đây có thể ngồi tại nhà mà vẫn sử dụng
được ác dịch vụ của ngân hàng.
Hệ thống thương mại điện tử sử dụng thanh toán điện tử.
Hệ thống thương mại điện tử cung cấp dịc vụ bán hàng, giao dịch trên môi
trường Internet. Quá trình mua hàng gồm các bước: Người mua hàng đăng nhập
vào siêu thị ảo, chọn mua hàng và tiến hành thanh toán. Trong đó quá trình thanh
toán được liên kết đến hệ thống thanh toán điện tử. Sử dụng trong thương mại điện
tử người mua hàng thường chấp nhận thanh toán thẻ, là hình thức thanh toán có độ
an toàn cao.
Thanh toán điện tử mở rộng phạm vi phục vụ khách hàng của ngành ngân
hàng, mang lại những tiện nghi như ngân hàng tại nhà cho người dùng. Thanh toán
điện tử cũng đang dần chiếm ưu thế trong lĩnh vực thanh toán liên ngân hàng.
Ngân hàng có xu hướng thay những liên kết mạng riêng liên ngân hàng bằng liên
kết qua Internet để có thể giảm chi phí giao dịch, hấp dẫn khách hàng về chi phí và
tiện nghi sử dụng dịch vụ ngân hàng. Thanh toán điện tử cũng là một giải pháp cho
các ngân hàng chưa có hệ thống thanh toán liên ngân hàng.
10
các máy rút tiền tự động.
Thẻ thanh toán là một loại thẻ giao dịch tài chính được phát hành bởi Ngân
hàng, các Tổ chức tài chính hay các công ty.
Thẻ thanh toán là một phương tiện thanh toán không dùng tiền mặt mà
người chủ thẻ có thể sử dụng để rút tiền mặt hoặc thanh toán tiền mua hàng hoá,
dịch vụ tại các điểm chấp nhận thanh toán bằng thẻ.
Thẻ thanh toán là phương thức ghi sổ những số tiền cần thanh toán thông
qua máy đọc thẻ phối hợp với hệ thống mạng máy tính kết nối giữa Ngân hàng/Tổ
chức tài chính với các điểm thanh toán (Merchant). Nó cho phép thực hiện thanh
toán nhanh chóng, thuận lợi và an toàn đối với các thành phần tham gia thanh toán.
Tóm lại: các cách diễn đạt trên đều phản ánh lên đây là một phương thức
thanh toán mà người sở hữu thẻ có thể dùng để thanh toán tiền mua hàng hoá dịch
vụ hay rút tiền mặt tự động thông qua máy đọc thẻ hay các máy rút tiền tự động.
Thẻ khắc chữ nổi (EmbossingCard): dựa trên công nghệ khắc chữ nổi, tấm
thẻ đầu tiên được sản xuất theo công nghệ này. Hiện nay người ta không còn sử
dụng loại thẻ này nữa vì kỹ thuật quá thô sơ dễ bị giả mạo.
Thẻ băng từ (Magnetic stripe): dựa trên kỹ thuật thư tín với hai băng từ
chứa thông tin đằng sau mặt thẻ. Thẻ này đã được sử dụng phổ biến trong 20 năm
qua , nhưng đã bộc lộ một số nhược điểm: do thông tin ghi trên thẻ không tự mã
hoá được, thẻ chỉ mang thông tin cố định, không gian chứa dữ liệu ít, không áp
dụng được kỹ thuật mã hoá, bảo mật thông tin...
Thẻ thông minh (Smart Card): đây là thế hệ mới nhất của thẻ thanh toán,
thẻ có cấu trúc hoàn toàn như một máy vi tính.
13
PHẦN II: MÔ HÌNH GIẢI PHÁP THANH TOÁN ĐIỆN TỬ
2.1. Tổng quan giao thúc iKP
2.1.1. Lịch sử hình thành giao thức iKP
Internet đã và đang trở thành diễn trường tiềm năng và hứa hẹn hỗ trợ cho
thương mại điện tử. Trong nhiều năm qua, các ứng dụng cơ bản chủ yếu trên
Internet là e-mail (SMTP), telnet (remote login), news (NNTP), fpt (file transfer
protocol),.v.v.v và gần đây là WWW với giao thức HTTP (hypertext transfer
protocol). Từ năm 1993, một số các tổ chức quốc tế hoặc công ty như WWW
consortium, NSCA, Netscape Comm. Corp. đưa ra hàng loạt các "chuẩn" về bảo
mật như SSL (secure socket layer), S-HTTP (secure hypertext transfer protocol),
SET (secure electronic transactions),... làm cơ sở tăng cường cho các ứng dụng
thương mại điện tử trên Internet. Tuy nhiên, câu hỏi đặt ra là: "Làm thế nào để
thanh toán?" hoặc "Việc thanh toán thế nào là an toàn?", vvv.Vấn đề mới nảy sinh
làm các chuyên gia trong lĩnh vực thương mại điện tử phải suy nghĩ tìm hướng giải
quyết cho vấn đề này.
Từ năm 1994, có rất nhiều mô hình giao thức khác nhau được đưa ra để giải
quyết vấn đề thanh toán điện, một trong những giao thức thanh toán được các
chuyên gia trong lĩnh vực thương mại điện tử quan tâm là họ giao thức iKP do
Viện nghiên cứu IBM ( IBM Research) đưa ra. iKP là một họ các giao thức thanh
toán điện tử gọi là Internet Keyed Protocol (iKP) giải quyết việc thanh toán giao
dịch đa phương trên Internet (secure multi-Party transactions), dựa trên mô hình
thẻ điện tử. iKP gồm 3 giao là 1KP, 2KP, 3KP ( do vậy iKP được gọi là một họ
giao thức thanh toán điện tử ) được xây dựng dựa trên nền tảng của mật mã hiện
đại ( mật mã khóa công khai, thuật toán mã hóa RSA ) thực hiện kết hợp phần
mềm và/hoặc phần cứng. iKP mô phỏng các người chơi chủ yếu của các giao dịch
thương mại trên Internet là Customer ( đại diện cho khách hàng), Merchant ( đại
diện cho doanh nghiệp) và Acquier ( đại diện cho ngân hàng). Mục tiêu của iKP là
đặt cơ sở cho các thanh toán điện tử trong tương lai dùng công nghệ credit-card
truyền thống. Phát triển theo hướng mở, iKP được sự ủng hộ của rất nhiều hãng tài
chính thế lực và hiện trên quá trình xây dựng và hoàn chỉnh
14
Hình 2-1. Các Pary trong mô hình thanh toán
Một thực tế mà ai cũng nhận thấy rằng, một quá trình giao dịch thanh toán
bao giờ cũng có sự tham gia của các bên, đó là bên mua , bên bán và bên thanh
toán.
Party là khái niệm để chỉ bên tham gia quá trình giao dịch điện tử như
khách hàng(Customer), thương gia(Merchant), ngân hàng thanh toán(Acquirer
Bank),ngân hàng phát hành thẻ(Issuer Bank), tổ chức thẻ tín dụng(Credit Card
association ), tổ chức chứng nhận khoá công khai(CA), kẻ gian(Adversary).
Sau đây chúng ta sẽ tìm hiểu rõ hơn về các Party:
+ Tổ chức thẻ tín dụng
Master Card,Visa Card,..vv
+ Ngân hàng phát hành thẻ ( Issuer )
Là thành viên chính thức của các Tổ chức thẻ quốc tế được xác định bởi
một số định danh gọi là BIN ( Bank Identification Number).Đây là mã số chỉ
Ngân hàng phát hành thẻ.Trong hiệp hội thẻ có nhiều ngân hàng thành viên, mỗi
ngân hàng thành viên có một mã số riêng giúp thuận lợi trong thanh toán và truy
xuất. Ngân hàng phát hành thẻ cung cấp thẻ cho Customer và là ngân hàng phát
hành chịu trách nhiệm tiếp nhận hồ sơ xin cấp thẻ, xử lý và phát hành thẻ, mở và
quản lý tài khoản thẻ, đồng thời thực hiện việc thanh toán cuối cùng với chủ thẻ.
+ Khách hàng ( Customer )
Là chủ sở hữu thẻ tín dụng được cung cấp thẻ bởi Ngân hàng phát hành thẻ và
chịu sự quản lý của Ngân hàng phát hành thẻ đó..Đây là đối tượng phát ra yêu cầu
thanh toán cho cơ sở chấp nhận thẻ(Merchant) bằng cách sử dụng một máy tính kết
nối mạng.Mỗi chủ thẻ có môt mã số bí mật được gọi là PIN (Personal
15
Identification Number).Đó là mã số cá nhân của chủ thẻ để thực hiện giao dịch rút
tiền tại các máy rút tiền tự động. Mã số này do Ngân hàng phát hành thẻ cung cấp
cho chủ thẻ khi phát hành. Đối với mã số PIN, người chủ thẻ phải giữ bí mật, chỉ
một mình mình biết.
+ Cơ sở chấp nhận thẻ (Merchant)
Là các thành phần kinh doanh hàng hoá và dịch vụ có ký kết với Ngân hàng
thanh toán về việc chấp nhận thanh toán thẻ như: nhà hàng, khách sạn, cửa hàng...
Các đơn vị này phải trang bị máy móc kỹ thuật để tiếp nhận thẻ thanh toán tiền
mua hàng hoá, dịch vụ, trả nợ thay cho tiền mặt.
+ Kẻ gian(Adversary)
Đây là khái niêm trừu tượng, được hiểu là kẻ tham gia hoặc tấn công vào hệ
thống nhằm mục đích kiếm lợi cho riêng mình.Nó có thể tham gia nhiều vai diễn
khác nhau:
Đóng vai là một Customer ‘rởm’ với mục đích mua hàng nhưng
không trả tiền,
Đóng vai là một cơ sở chấp nhận thẻ mạo danh với mục đích lấy tiền
của Customer mà không mất sản phẩm.
Kẻ nghe trộm(listen eavesdropper): người nghe trộm các thông điệp
và các bí mật như số PIN
Kẻ phá hoại – thay đổi thông tin(active attacker): Kẻ tạo ra những
message giả mạo rồi gửi cho Customer
Đối thủ cạnh tranh (Adversary): Kẻ có khả năng lấy khóa từ một
Party xác thực
Kẻ tạo hoặc sử dụng Vius(Intruder) với mục đích phá hoại.
Nội gian ( insider ): Người nội bộ hay tay trong với âm mưu phá hoại
+ Tổ chức chứng nhận khóa công khai(Certification Authority)
Là tổ chức có khóa bí mật (SKC), và bản sao công khai PKC để chứng nhận
khóa công khai của Party
17
+ Yêu cầu của Merchant
M1.Bằng chứng xác thực giao dịch của Acquier(Proof of transaction
authorisation by Acquirer)
Merchant cần biết đích xác tiền đã vào tài khoản mình từ Ngân hàng nào. Do
đó Merchant cần những bằng chứng xác thực về Acquier. Đó là các thông tin để
chứng nhận và xác minh tính đúng đắn về Acquier. Các thông tin cần lưu ý: số
tiền, thời điểm giao dịch, thông tin xác định phiên giao dịch đó.Chúng ta cũng cần
phân biệt rõ hai loại chừng cớ như đã nói ở trên ( mục 1.3.1-A1 ):
Chứng cớ không chắc chắn(Weak Proof)
Chứng cớ rõ ràng chắc chắn ( undeniable receipt )
M2.Hỗ trợ những đợt giao dịch nhỏ(Support for batching of small
payments)
Đối với giao dịch thanh toán đơn lẻ thì Merchant cũng cấn hỗ trợ các dịch
vụ nhỏ lẻ không nhất thiết lúc nào cũng phải yêu cấu Customer tham gia giao
dịch một cách cầu kỳ phức tạp. Merchant cần chú ý đến hiệu quả trong giao
dịch thanh toán lẻ. M3.Chống chối bỏ từ Customer ( Non-repudiation from
customer )
Mục đích của yêu cầu này là Merchant cần sự xác thực giao dịch của
Customer.
Khi Customer đồng ý tham gia giao dịch thanh toán thì không thể chối cãi
hoặc phủ nhận các giao dịch đó
+ Yêu cầu của Customer
C1.Chống giả mạo Customer trong thanh toán(Unauthorised payment is
impossible)
Đây là yêu cầu quan trọng nhất của Customer.Chỉ có Customer mới có chủ
quyền của các giao dịch chuyển khoản trên tài khoản mình.Bởi vì các hacker hoặc
kẻ lừa đảo có thể sinh ra đợt giao dịch giả, mạo danh Customer tham gia giao dịch
một cách hợp pháp khi chúng biết được mã PIN và số thẻ. Do đó yêu cầu này bảo
đảm an toàn về tài khoản của Customer
C2.Bằng chứng xác thực giao dịch của Acquier ( Proof of transaction
authorisation by Acquirer )
Customer yêu cầu có bằng chứng từ Ngân hàng về giao dịch trên tài khoản
của mình. Chúng ta cũng cần phân biệt hai loại chứng cớ sau:
Chứng cớ không chắc chắn (Weak Proof)
Chứng cớ rõ ràng(undeniable receipt)
C3.Biên lai thanh toán nhận từ Merchant(Receipt from Merchant)
Với yêu cầu này Customer muốn những chứng cớ về Merchant đã nhận được
18
tiền của dịch vụ hoặc hàng hoá mà mình mua.
C4.Bảo vệ tính riêng tư của đơn hàng(Privacy of order information or
anonymity)
Customer không muốn thông tin mua bán (mặt hàng, số lượng, số tiền) của
mình lộ cho người ngoài biết.
C5.Chứng nhận và xác minh Merchant(Certification and authentication of
Merchant)
C6.Tính ẩn danh ( Anonymity )
Khách hàng không muốn các thông tin về bản thân mình bị tiết lộ cho người
ngoài.Đó là yêu cầu về bảo vệ tính riêng tư của khách hàng khi tham giao giao dịch
điện tử.
C7.Hỗ trợ việc các khúc mắc sau giao dịch ( Support for disputability of
payments)
Khi kết thúc giao dịch Customer cũng cần được tranh cãi để bảo vệ quyền lợi
của mình khi có vấn đề náy sinh.
22
Hình 2-3. Giao thức 2KP
Như giao thức 1KP, Customer cũng nhận đơn chào hàng OFFER cùng với
bản chứng thực khóa công khai của Acquirer là CERTA, nhưng ở giao thức 2KP
Customer còn nhận từ Merchant khóa công khai PKM, và bản chứng thực khóa
công khai CERTM của Merchant.
Sau khi nhận được OFFER, PKM, CERTM, CERTA Customer thực hiện tạo ra
một SLIP và mã hóa nó bằng khóa công khai của Acquirer PK A thu được
EA(SLIP), ORDER tạo thành được mã hóa bằng khóa công khai của Merchant PK M
thu được EM(ORDER). Customer gửi EA(SLIP), EM(ORDER) tới Merchant . Các
thông tin gửi tới Merchant trên đường truyền đều được mã hóa.
Merchant nhận thông tin do Customer gửi tới là E A(SLIP), EM(ORDER),
thực hiện giải mã ORDER bằng khóa bí mật của mình SK M và thực hiện kiểm tra
tính đúng đắn các thông tin trong ORDER. Giao dịch có thể bị hủy bỏ bởi
Merchant nếu:
Giải mã ORDER không thành công: điều này chứng tỏ Customer
đã không mã hóa ORDER bằng khóa công khai của Merchant gửi tới, hoặc thông
tin trên đường truyền đã bị thay đổi
Các thông tin nhận được từ việc giải mã ORDER không hợp lệ
như đã thỏa thuận trước đó.
23
Các thông tin trong ORDER sau khi kiểm tra tính đúng đắn sẽ được Merchant
thực hiện băm mảnh thu được h = H(ORDER). Merchant gửi bản chứng thực khóa
công khai CERTM cùng với SM(EA(SLIP),h) là chữ ký số của mình lên EA(SLIP) và
h tới Acquirer
Acquirer nhận thông tin từ Merchant là CERT M, SM(EA(SLIP),h) thực hiện
xác thực chữ ký của Merchant bằng khóa công khai của Merchant lấy trong bản
chứng thực khóa công khai CERT M. Nếu chữ ký không hợp lệ Acquirer sẽ phản
hồi lại cho Merchant thông điệp AUTH với nội dung từ chối giao dịch
( rejected ).Ngược lại Acquirer tiếp tục giải mã E A( SLIP ) và kiểm tra, xác thực
các thông tin trong SLIP ( amount, currecy, date, ID của Merchant ). Thông tin xác
thực AUTH, H(ORDER) và EA(SLIP) được Acquirer ký lên và gửi tới Merchant
Merchant nhận chữ ký số của Acquirer là SA(AUTH, EA(SLIP),
H(ORDER)), xác thực chữ ký và ký lên chữ ký đó, gửi cho Customer
Customer sẽ xác thức chữ ký đó. Và kết thúc giao dịch hoặc tiếp tục giao
dịch mới.
Giao thức 2KP về cơ chế gần giống với giao thức 1KP. Sự khác nhau cơ bản
giữa hai giao thức này là sự bổ sung quyền sở hữu khóa công khai của Merchant
do đó phát sinh thêm một số chức năng ở mỗi Party. Ở giao thức 2KP thông tin
truyền giữa Customer và Merchant đều được mã hóa, do đó về độ an toàn và bảo
mật thông tin là hơn giao thức 1KP. Giao thức 3KP có giải quyết vấn đề tốt hơn
hai giao thức trên ? Sau đây chúng ta sẽ chi tiết hóa giao thức 3KP
24
Hình 2-4. Giao thức 3KP
Customer nhận một thông điệp OFFER cùng với bản chứng thực khóa công
khai của Merchant và Acquirer là CERTM, CERTA. Customer thực hiện các công
việc sau :
Sinh ra thông điệp ORDER và SLIP.
Dùng khóa công khai của Acquirer ( PKA) để mã hóa thông điệp
SLIP vừa tạo thành thu được bản mã EA(SLIP)
Customer dùng khóa công khai của Merchant ( PKM ) để mã hóa
thông điệp ORDER thu được EM(ORDER).
Customer dùng khóa bí mật SKC của mình ký lên hai bản mã
EA(SLIP) và EM(ORDER) thu được chữ ký số SC(EA(SLIP), EM(ORDER))
Cuối cùng Customer gửi bản mã chữ ký số
SC(EA(SLIP),EM(ORDER))) cùng với CERTC tới Merchant để xác thực
Merchant sau khi nhận được bản chứng thực khóa công khai CERT C, và chữ
ký SC(EA(SLIP),EM(ORDER))) sẽ thực hiện các tác vụ sau:
Merchant thực hiện giải mã EM(ORDER).Giao dịch sẽ bị hủy bỏ nếu
việc giải mã không thành công. Hủy bỏ giao dịch bằng cách Merchant sẽ gửi một
thông điệp thông báo cho Customer biết giao dịch không không hợp lệ và bị hủy
bỏ. Nếu giải mã thành công, Merchant tiếp tục thực hiện tác vụ tiếp theo.
Đối chiếu, kiểm tra các thông tin trong ORDER xem có hợp lệ
không. Nếu tồn tại một thông tin không thỏa mãn thì giao dịch thanh toán có thể bị
25
hủy bỏ tại đây. Ngược lại, Merchant tiếp tục thực hiện tác vụ tiếp
Băm mảnh ORDER thu được H(ORDER)
Thực hiện sinh chữ ký trên bản mã E A(SLIP) và giá trị băm
H(ORDER) thu được SM(EA(SLIP),H(ORDER))
Gửi SM(EA(SLIP),H(ORDER)) cùng với bản chứng thực khóa công
khai CERTM tới Acquirer để xử lý.
Acquirer nhận được SM(EA(SLIP),H(ORDER)) cùng với bản chứng thực
khóa công khai CERTM sẽ thực hiện :
Xác thực chữ ký của Merchant gửi đến
Giải mã EA(SLIP) và kiểm tra tính hợp lệ thông tin trong SLIP
Thực hiện kiểm tra H(ORDER)
Nếu tồn tại thông không hợp lệ Acquirer sẽ gửi thông điệp AUTH
với nội dung từ chối giao dịch thanh toán, gửi cho Merchant kèm cùng với chữ ký
của mình là SA(AUHT, EA(SLIP), H(ORDER))
Merchant nhận thông tin phản hồi từ Acquirer sẽ thực hiện việc sinh chữ ký
số lên chữ ký của Acquirer thu được SM(SA(AUHT, EA(SLIP), H(ORDER))), gửi
lại cho Customer
Customer nhận thông tin lại chữ ký SM(SA(AUHT, EA(SLIP), H(ORDER)))
từ Merchant và bắt đầu xác thực thông tin để biết kết quả giao dịch. Customer có
thể kết thúc giao dịch hoặc tiếp tục thực hiện phiên giao dịch mới.
Ở giao thức 3KP các thông tin trên đường truyền đều được mã hóa và các
thông tin đều được ký nhận để xác minh nguồn gốc của thông tin do Party nào gửi.
Rõ ràng giao thức 3KP đã đem lại sự minh bạch và an toàn hơn 2 giao thức trên.
26
27