Giải pháp an toàn trong thanh toán điện tử

Như đã giới thiệu ở trên, cách tốt nhất bảo đảm an toàn trong thanh toán điện tử là mã hóa các thông tin cần được truyền đi trên mạng. Hiện nay có nhiều giao thức được sử dụng cho phép thực hiện giao dịch trong không gian ảo. Bản chất của giao dịch cũng chỉ là sự chuyển tiền từ tay người này qua người khác. Trong phần này chúng ta sẽ xem xét hai giao thức mở cho phép thực hiện giao dịch an toàn, đó là SSL và SET....
Nội dung trích xuất từ tài liệu:
Giải pháp an toàn trong thanh toán điện tử II. Giải pháp an toàn trong thanh toán điện tử Như đã giới thiệu ở trên, cách tốt nhất bảo đảm an toàn trong thanh toán điện tử là mã hóa các thông tin cần được truyền đi trên mạng. Hiện nay có nhiều giao thức được sử dụng cho phép thực hiện giao dịch trong không gian ảo. Bản chất của giao dịch cũng chỉ là sự chuyển tiền từ tay người này qua người khác. Trong phần này chúng ta sẽ xem xét hai giao thức mở cho phép thực hiện giao dịch an toàn, đó là SSL và SET. 1. Giao thức tầng cắm an toàn (Secure Sockets Layer – SSL) Giao thức SSL được thiết kế bởi Nestcape như là một phương pháp bảo đảm sự an toàn của kết nối khách (client) – chủ (server) trên môi trường Internet. SSL là công nghệ để mã hóa việc truyền dữ liệu gi ữa trình duy ệt web và máy chủ web. Công nghệ này được sử dụng thường xuyên bởi các trang web ngân hàng trực tuyến và trang web thương mại điện tử. Trang web khác cũng có th ể tri ển khai SSL dưới hình thức hạn chế hơn -- ví dụ: để giúp bảo vệ m ật khẩu của bạn khi nhập thông tin đăng nhập của bạn. Địa chỉ web được bảo mật bằng SSL bắt đầu với https: thay vì http: nên các điều khoản thường được sử dụng thay thế cho nhau. Cơ Chế Hoạt Động Của SSL Về cơ bản, giao thức SSL hoạt động ngay d ưới các giao thức ứng dụng (như HTTP, SMTP,Telnet, FTP, Gopher và NNTP) và n ằm trên giao thức mạng TCP/IP. Điều đó cho phép SSL vận hành độc lập đối với các giao thức ứng dụng mạng. SSL sử dụng phương pháp mã hóa khóa công khai đã giới thiệu ở trên, với thuật toán RAS dùng để mã hóa. SSL cho phép: - Client và server nhận dạng lẫn nhau. - Sử dụng chứng thực số để chứng thực tính toàn vẹn. - Mã hóa toàn bộ thông tin để đảm bảo tính bí mật. Để làm được điều này cần có một máy chủ bảo mật, đó là lý do t ại sao bạn thường nhận được thông báo kiểu này: Các máy chủ bảo mật thường có chuỗi HTTPS và hình chiếc khóa trong URL thay vì HTTP như bình thường. Quá trình bạn bắt đầu một phiên làm việc với một máy ch ủ web dưới sự bảo mật của SSL được gọi là “ quá trình bắt tay”. Một quá trình bắt tay bao gồm: - Trình duyệt và server quyết định cấp độ và cách th ức mã hóa dùng cho phiên làm việc. - Trình duyệt và server tạo và chia sẻ chìa khóa dùng đ ể mã hóa. - Trình duyệt yêu cầu và nhận chứng thực số từ server (không bắt buộc). - Server yêu cầu và nhận chứng thực số từ trình duyệt (không bắt buộc). Sau khi quá trình bắt tay kết thúc, bạn hoàn thành giao d ịch. Ch ỉ c ần phiên làm việc chưa kết thúc thì mọi dữ liệu truyền đi giữa trình duy ệt và server đều được mã hóa. Khi phiên làm việc hoàn thành, trình ch ủ b ảo mật sẽ chuyển bạn về trình chủ không bảo mật. SSL an toàn đến đâu? Hầu hết chúng ta không quan tâm tới việc SSL hoạt động nh ư th ế nào, chúng ta chỉ muốn biết nó có thực sự hoạt động hay không. Nếu nó giữ thông tin thẻ tín dụng của bạn an toàn thì không có gì phải phàn nàn. Tất nhiên, mã hóa sử dụng trong SSL có th ể bị phá vỡ nh ưng rất tốn kém. Trong hầu hết các ứng dụng, SSL vẫn được coi là giải pháp hàng đẩu để bảo vệ thông tin thẻ tín dụng khi giao dịch trực tuyến. Hơn nữa, SSL có thể được phát triển, đặc biệt nếu Nestcape và Microsoft được chính phủ Mỹ cho phép sử dụng những phương pháp mã hóa mạnh hơn. 2. Giao thức giao dịch an toàn (Secure Electronic Transaction) Giao thức SET được thiết kế nguyên thủy bởi Visa và MasterCard vào năm 1997 và được phát triển dần lên từ đó. Giao thức SET đáp ứng được 4 yêu cầu về bảo mật cho TMĐT giống như SSL Khi bạn bắt đầu một phiên làm việc với một website thương m ại thông qua SSL, điều đó chẳng khác gì bạn đưa th ẻ tín dụng của mình cho ng ười bán hàng . Anh ta nói giá, bạn đồng ý, và bạn đợi cho người bán yêu c ầu xác định giá trị thẻ với ngân hàng. Nếu thẻ được xác nh ận, một phi ếu bán hàng được in ra. Bạn ký vào phiếu bán hàng, người bán giữ m ột b ản copy cho hồ sơ của bạn. Với SET, ngân hàng phát hành thẻ cũng tham gia trong quá trình giao dịch với vai trò người trung gian. Khi bạn nhập số thẻ của mình trong một giao dịch với SET, site thương mại sẽ không bao giờ th ấy được số thẻ của bạn. Thay vào đó, thông tin được gửi đến c ơ quan tài chính thông qua cổng thanh toán, người sẽ xác thực thẻ của bạn và th ực hiện thanh toán với site thương mại điện tử. Đổi lại, công vi ệc đó đòi h ỏi một chi phí nhất định. Giao thức SET yêu cầu khách hàng phải tải một phần mềm đặc biệt gọi là ví điện tử (electronic wallet) hay ví số (digital wallet) để lưu giữ chứng thực của khách hàng tại máy tính cá nhân hay thẻ IC (Intergrated circuit card) của họ. Để kết nối ví điện tử với những người kinh doanh khác nhau, khả năng liên vận hành là một đặc tính quan trọng cần được đáp ứng. Do tính liên vận hành của ví số của người chủ sở hữu th ẻ với phần m ềm c ủa b ất c ứ người kinh doanh nào là điều cơ bản, một liên hiệp các công ty (Visa, MasterCard, JCB – ngân hàng phát hành thẻ của Nhật – và American Express) đã thành lập một công ty được gọi là SETCO (Secure Electronic Transaction LLC 1999). Công ty này thực hiện các th ử nghi ệm liên v ận hành và phát hành một nhãn hiệu SET như một xác nh ận v ề tính liên v ận hành. IBM, Netscape, Microsoft, Verisign, Tandem và MetaLand cung cấp các ví số có khả năng liên vận hành như vậy. 3. So sánh SSL và SET Khác với giao thức SSL có 3 thực thể là người chủ sở hữu th ẻ, người kinh doanh và cơ quan chứng thực (CA), SET có thêm m ột th ực th ể là cổng thanh toán. Đây là cổng kết nối Internet với các mạng độc quyền của các ngân hàng. Mỗi thực thể tham gia cần chứng thực riêng. Trên lý thuyết, SET bảo mật hơn SSL. Với SSL, thông tin thẻ tín dụng của bạn là công khai với người bán, cả người bán và ngân hàng c ủa bạn đều biết bạn là ai và mua những gì. Đi ều này xâm ph ạm quy ền riêng tư. Đối với SET thì không, người bán không bao giờ nhìn th ấy s ố th ẻ c ủa bạn, bạn chỉ phải cung cấp th ...