Để minh hoạ cho PKI, chỳng ta xem xột một đề xuất PKI là SET, được cỏc tổ chức Visa và MasterCard phỏt triển nhằm hỗ trợ cỏc thanh toỏn sử dụng thẻ ngõn hàng trờn Internet.
Cơ sở hạ tầng SET
Cỏc tổ chức Visa và MasterCard cựng nhau phỏt triển SET, một giao thức toàn diện và đặc tả về cơ sở hạ tầng, nhằm hỗ trợ cỏc thanh toỏn sử dụng thẻ ngõn hàng như là một phần của mua bỏn điện tử trờn Internet.
Cỏc thành phần trong mụi trường SET gồm:
(a)Bộ phận phỏt hành (Issuer): là một cơ quan tài chớnh, cơ quan này phỏt hành cỏc thẻ ngõn hàng (thẻ tớn dụng hoặc thẻ nợ), cú một tổ chức đại diện (chẳng hạn như Visa vàMasterCard).
(b)Người nắm giữ thẻ (Cardholder): là người nắm giữ thẻ ngõn hàng hợp phỏp, anh ta đó đăng ký với bộ phận phỏt hành tương ứng để tiến hành thương mại điện tử.
(c)Thương nhõn (Merchant): là người bỏn hàng, hoặc tổ chức cú hàng hoỏ, dịch vụ hoặc thụng tin bỏn cho người nắm giữ thẻ.
(d)Cơ quan Acquirer: là một cơ quan tài chớnh hỗ trợ cỏc thương nhõn qua dịch vụ xử lý giao dịch thẻ ngõn hàng.
(e)Cổng thanh toỏn (Payment gateway): là hệ thống cung cấp cỏc dịch vụ thương mại điện tử trực tuyến cho cỏc thương nhõn. Hệ thống được điều hành bởi một Acquirer hoặc một thành viờn khỏc (hỗ trợ cỏc Acquirer); Thụng thường, cổng thanh toỏn cần cú giao diện với Acquirer để hỗ trợ xỏc thực và giành được cỏc
giao dịch.
(f) Cỏc cơ quan chứng thực (Certification authorites): là một thành phần của cơ sở hạ tầng, chứng thực khoỏ cụng khai của người nắm giữ thẻ, thương nhõn, và/hoặc Acquirer, hoặc cỏc cổng.
Khi thực hiện một giao dịch thanh toỏn điện tử, cỏc thành phần ở trờn tỏc động lẫn nhau như sau:
Sau khi người nắm giữ thẻ đồng ý tiến hành mua bỏn với thương nhõn, anh tagửi cho thương nhõn một chỉ dẫn thanh toỏn. Thương nhõn liờn lạc với Acquirer thụng qua một cổng thanh toỏn, chuyển một phần hoặc toàn bộ chỉ dẫn thanh toỏn, nhằm xỏc thực và giành được giao dịch. Tất cả cỏc hoạt động này được tiến hành trực tuyến. Acquirer giành được giao dịch. Việc xỏc thực cú thể yờu cầu một giao dịch hỏi đỏp ngược trở lại với bộ phận phỏt hành. Khi đú, giao dịch này được thực hiện qua cỏc mạng tài chớnh hiện cú (chứ khụng phải qua Internet). Mối quan hệ của cỏc thành phần trong mụi trường SET được minh hoạ trong hỡnh 2.8
Trong mụi trường này, kỹ thuật khoỏ cụng khai hỗ trợ nhiều chức năng, bao gồm:
Mó hoỏ cỏc chỉ dẫn thanh toỏn đảm bảo rằng số hiệu thẻ ngõn hàng của người sử dụng khụng bao giờ bị lộ khi chuyển trờn Internet và trờn cỏc hệ thống thương mại.
Ng-ời nắm giữ thẻ (Cardholder)
Cổng thanh toán (Payment gateway)
Th-ơng nhân (Merchant)
Bộ phận phát hành
(Issuer) Bộ phận chấp nhận (Acquirer) Cơ quan chứng thực
(CA)
Internet
Mạng tài chính
và Acquirer nhằm bảo vệ, khụng cho phộp cỏc cỏ nhõn sử dụng trỏi phộp thẻ bị đỏnh cắp khi họ tiến hành cỏc giao dịch điện tử;
Việc xỏc thực cỏc thương nhõn cho người nắm giữ thẻ và Acquirer nhằm bảo vệ, khụng cho phộp cỏc cỏ nhõn thiết lập cỏc Internet site, nơi mà họ tự cho mỡnh là cỏc thương nhõn hợp phỏp và tiến hành cỏc giao dịch gian lận;
Việc xỏc thực cỏc Acquirer cho người nắm giữ thẻ và thương nhõn nhằm bảo vệ, khụng cho phộp bất kỳ người nào tự nhận mỡnh là một Acquirer cú khả năng giải mó cỏc thụng tin nhạy cảm cú trong chỉ dẫn thanh toỏn;
Việc đảm bảo tớnh toàn vẹn của thụng tin giao dịch nhằm ngăn chặn giả mạo trờn Internet.
Hỡnh 2.9 minh hoạ cơ sở hạ tầng khoỏ cụng khai SET. Nú được cấu trỳc như một hệ thống phõn cấp trờn - xuống, bao gồm cỏc kiểu CAnhư sau:
(a)CA gốc (Root CA): Tất cả cỏc đường dẫn chứng thực bắt đầu với khoỏ cụng khai của CA gốc. CA này được cỏch ly an toàn, rất hiếm khi được truy nhập vào, nú phỏt hành cỏc chứng chỉ cho cỏc CA của tổ chức. Khoỏ gốc ban đầu được tạo cho hệ thống SET và trong tương lai nú cũng được thay thế. CA gốc
CA gốc
CA của ng-ời nắm giữ thẻ
CA của Visa tại Mỹ CA của Visa tại châu Âu
CA của tổ chức MasterCard CA của tổ chức Visa b c d a e f CA của th-ơng nhân h i j g k l Ng-ời nắm giữ thẻ Th-ơng nhân CA phân theo tổ chức CA phân theo địa lý và chính trị
được một tổ chức điều hành và tổ chức này được toàn bộ ngành kinh doanh thỏa thuận tin cậy.
(b)CA phõn theo tổ chức (Brand CA): Cỏc CA này được điều hành bởi chớnh cỏc tổ chức khỏc nhau, vớ dụ như Visa và MasterCard. Mỗi tổ chức cú quyền tự trị rất lớn để cú thể quản lý được cỏc chứng chỉ mức thấp hơn.
(c)CA phõn theo địa lý và chớnh trị (Geo-political CA): Mức CA này (tuỳ chọn) cho phộp một tổ chức phõn chia trỏch nhiệm quản lý cỏc chứng chỉ mức thấp hơn đi qua cỏc khu vực địa lý và chớnh trị khỏc nhau. Cỏc khu vực khỏc nhau cú thể cú cỏc chớnh sỏch khỏc nhau, do việc điều hành hệ thống tài chớnh cú sự khỏc nhau.
(d)CA của người nắm giữ thẻ (Cardholder CA): Cỏc CA này tạo ra và phõn phối cỏc chứng chỉ của người nắm giữ thẻ cho những người khỏc. Cỏc yờu cầu chứng chỉ cú thể được đệ trỡnh thụng qua thư tớn điện tử hoặc Web. Tuỳ thuộc vào cỏc quy tắc của tổ chức, CA cú thể được điều hành bởi một bộ phận phỏt hành hoặc một thành viờn khỏc. Núi chung, trong trường hợp sau, CA cần liờn lạc với bộ phận phỏt hành để kiểm tra cỏc thụng tin chi tiết về người giữ thẻ trước khi phỏt hành một chứng chỉ.
(e)CA của thương nhõn (Merchant CA): Cỏc CA phỏt hành cỏc chứng chỉ cho cỏc thương nhõn, dựa vào sự chấp thuận của một Acquirer. Tuỳ thuộc vào cỏc quy tắc của tổ chức, CA cú thể được điều hành bởi một Acquirer hoặc một thành viờn khỏc.
Hệ thống phõn cấp trờn - xuống cú thể phự hợp với kiểu ứng dụng này, vỡ toàn bộ cơ sở hạ tầng dành cho một mục đớch ứng dụng đơn lẻ và do mụi trường kinh doanh tài chớnh khụng cú cỏc vấn đề nghiờm trọng trong việc thiết lập cỏc mối quan hệ tin cậy cần thiết. Cơ sở hạ tầng được dự kiến cẩn thận, khụng hỗ trợ cỏc ứng dụng khỏc ngoài thanh toỏn sử dụng thẻ ngõn hàng và khụng kết hợp hoạt động với cỏc cơ sở hạ tầng khỏc. Lý do chớnh là để đảm bảo cỏc tổ chức điều hành khụng phải chịu bất kỳ rủi ro nào do sử dụng cỏc chứng chỉ vào cỏc mục đớch khụng dự tớnh trước.