Cơ chế bảo mật SET (Secure Electronic Transaction):

Một phần của tài liệu Nghiên cứu kỹ thuật bảo mật và an ninh mạng trong thương mại điện tử (Trang 36 - 42)

CHƯƠNG III : BẢO MẬT THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ

3.2. Chứng chỉ số và cơ chế mã hóa

3.2.4.2. Cơ chế bảo mật SET (Secure Electronic Transaction):

SET là một phương pháp bảo mật được xây dựng nhằm bảo đảm an toàn các giao dịch trên internet bằng thể tín dụng. Phiên bản hiện tại, SET v1, được chọn làm tiêu chuân bảo mật cho các thẻ tín dụng nhờ Matercard và Visa vào tháng 1 năm 1996. Rất nhiều công ty đã tập chung phát triển và xây dựng trong đó có IBM, Microsoft, Netscape, RSA, Tesia và Versign. Từ năm 1998 các sản phẩm đầu tiên sử dụng SET đã được triển khai. Bản thân SET không phải là một hệ thống thanh tốn, mà thực chất nó là tập hợp các giao thức bảo mật và định dạng cho phép người dùng sử dụng các thiết bị làm việc với thẻ tín dụng trên hệ thống mạng như internet theo nguyên tắc bảo mật. Về cơ bản, SET cung cấp ba dịch vụ:

- Cung cấp một kênh truyền thơng an tồn tuyệt đối với tất cả các thành viên trong quá trình giao dịch.

- Giữ gìn sự riêng tư bởi các thông tin chỉ cung cấp cho các thành viên trong giao dịch diễn ra vào thời điểm hay địa điểm cần thiết.

Các yêu cầu thương mại đảm bảo an tồn cho các chi trả với thẻ tín dụng trên Internet cũng nhờ các mạng khác bao gồm:

- Cung cấp sự tin cậy cho các thông tin chi trả và thanh toán: Điều này cần thiết để đảm bảo người dùng thể giữ gìn an tồn các thơng tin của mình cũng như các thơng tin đến được với người nhận được mong đợi. Sự tin cậy này cũng sẽ giảm bớt các rủi ro đối với các gian lận trong giao dịch với đối tác cũng như các thành viên thứ ba không mong muốn. SET sử dụng mã hố các cung cấp tin cậy này. - Đảm bảo tính tốn tồn vẹn đối với mọi dữ liệu được truyền đi: Nghĩa là đảm bảo

khơng có nội dung nào bị thay đổi trong suốt quá trình giao dịch sử dụng SET. Chữ ký số được sử dụng để cung cấp các toàn vẹn này.

- Cung cấp chứng thực đối với người sử dụng thẻ là người sử dụng tài khoản thẻ tín dụng hợp pháp: Một cơ chế liên kết người dùng thể tới số tài khoản xác định nhằm giảm thiểu các gian lận đối với một quá trình mua bán chi trả. Chữ ký số và cơ chế chứng nhận được sử dụng để xác nhận người dùng thẻ là người sở hữu tài khoản hợp lệ.

- Cung cấp các chứng thực cho phép các nhà kinh doanh có thế chấp nhận các giao dịch sử dụng thể tín dụng thơng qua mối quan hệ với một tổ chức tài chính: Đây là sự bổ sung cho các yêu cầu có trước. Người sử dụng thể cần nhận biết được đâu là các nhà kinh doanh có đủ cách đảm bảo an tồn cho các giao dịch. Một lần nữa, chữ ký số và các cơ chế chứng nhận được sử dụng.

- Đảm bảo việc sử dụng một cách tốt nhất các kỹ thuật xây dựng hệ thống và độ an toàn thực tế để bảo vệ tất cả các thành viên hợp pháp trong tồn bộ q trình giao dịch: SET là một sự kiểm nghiệm tốt dựa trên các thuật toán và các giao thức mã hố an tồn cao.

- Xây dựng một giao thức mà không phụ thuộc vào các cơ chế bảo mật giao dịch cũng như các cơ chế ngăn chặn khác đã dùng: SET có thể thực thi an tồn trên stack của TCP /IP “thô”. Tuy nhiên, SET không gây trở ngại khi sử dụng các cơ chế bảo mật khác chẳng hạn như IPSec và SSL /TLS.

- Tạo điều kiện và khuyến khích khả năng giữa phần mềm và các nhà cung cấp dịch vụ mạnh: Các giao thức và định dạng SET độc lập với hạ tầng thiết bị phần cứng, hệ điều hành và phần mềm Wed.

Các đặc trưng cơ bản của SET: Sau khi để cập tới yêu cầu cần có ta thấy SET bao gồm các đặc trưng cơ bản sau:

- Thông tin cậy: Thông tin tài khoản và các thông tin cho việc chi trả được bảo vệ khi nó được truyền đi trong mạng. Một điều thú vị và quan trọng nhất ở đặc trưng này của SET là nó ngăn khơng cho nhà kinh doanh biết được số thẻ tín dụng của người sử dụng, mà điều này chỉ được cung cấp cho các ngân hàng phát hành. Quy ước mã hoá này được DES dùng để cung cấp các tin cậy.

- Tồn vẹn dữ liệu: Thơng tin chi trả từ người sử dụng thể tới các nhà kinh doanh bao gồm các thơng tin thanh tốn, dữ liệu cá nhân và các liệu cho việc chi trả. SET đảm bảo việc các nội dung của thông điệp không bị biến đổi trong khi gửi đi. Chữ ký số RSA, sử dụng mã băm SHA-1, sẽ đảm bảo tính tồn vẹn các thơng điệp này. Các thơng điệp này cũng có thể được đảm bảo bởi HMAC sử dụng SHA -1.

- Chứng thực các nhà kinh doanh: SET cho phép người sử dụng thẻ xác nhận một nhà kinh doanh có quan hệ với một nhà tài chính có khả năng chấp nhận các thẻ chi trả. Trong trường hợp này SET có sử dụng chứng nhận số X.509v3 và chữ ký số RAS.

Chú ý rằng SET không giống như IPSec và SSL /TLS, nó chỉ cung cấp một chọn lựa ứng với mỗi thuật tốn mã hố. Đây là một sự khơn ngoan bởi SET là một ứng dụng đơn độc lập với một tập hợp các yêu cầu riêng, mà ở đó có IPSec và SSL /TLS đóng vai trị hỗ trợ ở một phạm vi nào đó của các ứng dụng.

Hình 3.2: Các thành phần tham gia sử dụng SET

- Người dùng thẻ (cardholder): trong môi trường điện tử, khách hàng hay một nhóm khách hàng có ảnh hưởng tới các nhà kinh doanh từ những chiếc máy tính cá nhân thơng qua internet. Một người sử dụng thẻ là người có quyền nắm giữ thẻ thanh toán được cung cấp bởi những nhà phát hành.

- Nhà kinh doanh(Merchant): Một nhà kinh doanh có thể là một cá nhân hay một tổ chức có các dịch vụ bán hàng cho ngƣời dùng thẻ. Các dịch vụ này được tiến hành thông qua các website hoặc thư điện tử. Một nhà kinh doanh chấp nhận được các thẻ thanh tốn thì buộc phải có quan hệ với một nhà trung gian(Acquirer). - Nhà phát hành(issuer): Đây là một tổ chức tài chính, chẳng hạn như ngân hàng,

cung cấp tài khoản người dùng cùng với thẻ thanh toán. Các tài khoản được sử dụng thông qua các email cá nhân. Về cơ bản, các nhà phát hành chịu trách nhiệm chi trả các khoản tiền chưa trả của người dùng thẻ.

- Nhà trung gian – Ngân hàng của doanh nghiệp (Acquirer): Đây là tổ chức tài chính thực hiện việc thiết lập một tài khoản đối với nhà kinh doanh và chứng thực các quá trình chi trả bằng thẻ. Các nhà kinh doanh thường chấp nhận nhiều hơn một loại thẻ nhưng lại không muốn quan tâm đến nhiều tổ chức cũng như nhiều cá nhân cung cấp thẻ nào. Trng khi đó nhà trung gian sẽ cung cấp việc chứng thực nhà kinh doanh bằng cách đưa ra cho họ một thẻ tài khoản tiện lợi và giới hạn quyền đối

với các loại thẻ này. Nhà trung gian cũng cung cấp các luân chuyển điện tử cho việc chi trả đối với các tài khoản của các nhà kinh doanh. Sau cùng, nhà kinh doanh sẽ được hoàn lại số tiền mà các nhà phát hành có được từ quỹ luân chuyển điện tử trên mạng chi trả.

- Cổng chi trả (payment gateway): Đây là một chức năng thực hiện bởi Nhà trung gian hoặc đươc xây dựng một thành viên thứ ba nhằm xử lí các thơng tin chi trả của nhà kinh doanh. Nhà trung gian trao đổi các thông điệp SET với cổng chi trả thơng qua internet, trong khi đó cổng chi trả hướng vào hay kết nối mạng tới hệ thống sử lí tài chính của nhà trung gian.

- Quyền chứng nhận (Certification Authority- CA): Đây là một thực thể được tin cậy để cung cấp các chức nhận khố cơng khai X.509V3 cho người sử dụng thẻ, các nhà kinh doanh và các công chi trả. Thành công của SET sẽ phụ thuộc vào sự tồn tại của một hạ tầng CA có giá trị.

Dưới đây là mô tả lược đồ bao gồm cho các sự kiện được diễn ra trong một giao dịch thuơng mại điện tử:

- Khách hàng mở một tài khoản: khách hàng có được ở thẻ tín dụng như MasteerCard hay Visa với một ngân hàng có khả năng hỗ trợ chi trả điện tử và STE. - Khách hàng nhận một chứng nhận: Sau khi nhận dạng hoàn tất, khách hàng nhận được một chứng nhận số X.509V3. Được kí bởi ngân hàng.chứng nhận này xác minh cơng khai RSA của khách hàng và hạn sử dụng của nó. Nó sẽ thiết lập một quan hệ, được bảo đảm bởi ngân hàng, chiếc cặp khóa của khách hàng và thẻ tín dụng của anh ta.

- Nhà kinh doanh có riêng các chứng nhận của họ: Một nhà kinh doanh muốn chấp nhận nhiều loại thẻ thì buộc phải sở hữu hai chứng nhận đối với hai khố cơng khai riêng của họ: Một cho kí nhận thơng điêp và một cho trao đổi khố. Nhà kinh doanh cùng cần có một bản sao chứng nhận khố cơng khai của cổng chi trả.

- Khách hàng đặt một thanh toán: Đây là một quá trình bao gồm việc lựa chọn mặt hàng trên website của nhà kinh doanh và xác định giá cả. Khách hàng gửi tới nhà kinh doanh một danh sách các mặt hàng muốn mua, họ nhận được một mẫu thanh toán bao gồm danh sách mặt hàng, giá cả, tổng tiền và số hoá đơn.

- Nhà kinh doanh được xác nhận: Thêm vào mỗi thanh toán, nhà kinh doanh gửi một bản sao chứng nhận nó, vì vậy khách hàng có thể tin tưởng rằng anh ta có quan hệ với một nhà kinh doanh hợp pháp.

- Việc thanh toán và chi trả được gửi đi: Khách hàng gửi tới nhà kinh doanh các thơng tin thanh tốn và chi trả cùng với chứng nhận khách hàng: Thơng tin thanh tốn bao gồm các mặt hàng đã đặt trong mẫu hố đơn; thơng tin chi trả chứa nội dung chi tiết của thẻ tín dụng. Nó đã được mã hố do vậy nhà kinh doanh khơng thể biết được; chứng nhận khách hàng cho phép nhà kinh doanh xác nhận khách hàng. - Nhà kinh doanh yêu cầu chứng thực các chi trả: nhà kinh doanh chuyển các thông

tin tới cổng chi trả, u cầu xác thực thơng tin thẻ tín dụng của khách hàng có phù hợp với việc mua các sản phẩm đã đặt hay không.

- Nhà kinh doanh xác nhận thanh toán: nhà kinh doanh gửi xác nhận thanh toán tới khách hàng.

- Nhà kinh doanh cung cấp các mặt hàng dịch vụ: nhà kinh doanh chuyển hàng hoặc cung cấp dịch vụ tới khách hàng.

Một phần của tài liệu Nghiên cứu kỹ thuật bảo mật và an ninh mạng trong thương mại điện tử (Trang 36 - 42)

Tải bản đầy đủ (PDF)

(43 trang)