CHƯƠNG 1 : GIỚI THIỆU VỀ THƯƠNG MẠI ĐIỆN TỬ
2.8. Tiêu chuẩn bảo mật trong giao dịch điện tử SET (Secure
này.
2.8. Tiêu chuẩn bảo mật trong giao dịch điện tử SET (Secure Electronic Transaction) Transaction)
SET là một phương pháp bảo mật được xây dựng nhằm bảo đảm an
toàn các giao dịch trên Internet bằng thẻ tín dụng. Phiên bản hiện tại của SET được chọn làm tiêu chuẩn bảo mật cho các thẻ tín dụng của Matercard và Visa. Rất nhiều cơng ty đã tập chung phát triển và xây dựng SET trong đó có IBM, Microsoft, Netscape, RSA, Tesia và Versign. Từ năm 1998 các sản phẩm đầu tiên sử dụng SET đã được triển khai.
Bản thân SET không phải là một hệ thống thanh tốn mà thực chất nó là tập hợp các giao thức bảo mật và định dạng cho phép người dùng sử dụng các thiết bị làm việc với thẻ tín dụng trên Internet theo nguyên tắc bảo mật. Về cơ bản SET cung cấp ba dịch vụ:
• Cung cấp một kênh truyền thơng an toàn tuyệt đối với tất cả các thành viên trong q trình giao dịch.
• Sử dụng tiêu chuẩn chứng thực số X.509v3 để đảm bảo an tồn.
• Giữ gìn sự riêng tư bởi các thơng tin chỉ cung cấp cho các thành viên trong giao dịch diễn ra vào thời điểm hay địa điểm cần thiết.
2.8.1. Tổng quan về SET
Các yêu cầu về mặt thương mại mà SET cần có đảm bảo an tồn cho các chi trả với thẻ tín dụng trên Internet cũng như các kiểu mạng khác bao gồm:
• Cung cấp sự tin cậy cho các thông tin chi trả và thanh toán: Điều này cần thiết để đảm bảo người dùng thể giữ gìn an tồn các thơng tin của mình cũng như các thơng tin đến được với người. Sự tin cậy cũng sẽ giảm bớt các rủi ro đối với các gian lận trong giao dịch với đối tác
cũng như các thành viên thứ ba. SET mã hố các thơng tin này.
• Đảm bảo tính tốn tồn vẹn đối với mọi dữ liệu được truyền đi: Điều
này có nghĩa là khơng có nội dung nào bị thay đổi trong suốt quá trình giao dịch sử dụng SET. Chữ ký số được sử dụng để đảm bảo tính tồn vẹn này.
• Cung cấp chứng thực đối với người sử dụng thẻ là người sử dụng tài
khoản thẻ tín dụng hợp pháp: Một cơ chế liên kết người dùng thẻ tới số tài khoản xác định nhằm giảm thiểu các gian lận đối với một quá
trình mua bán chi trả. Chữ ký số và cơ chế chứng nhận được sử dụng
để xác nhận người dùng thẻ là người sở hữu tài khoản hợp lệ.
• Cung cấp các chứng thực cho phép các nhà kinh doanh có thế chấp nhận các giao dịch sử dụng thẻ tín dụng thơng qua mối quan hệ với một tổ chức tài chính: Người sử dụng thể cần nhận biết đâu là các nhà kinh doanh có đủ tư cách đảm bảo an toàn cho các giao dịch. Chữ ký số và các cơ chế chứng nhận được sử dụng.
• Đảm bảo việc sử dụng một cách tốt nhất các kỹ thuật xây dựng hệ
thống và độ an toàn thực tế để bảo vệ tất cả các thành viên hợp pháp trong toàn bộ quá trình giao dịch: SET là một sự kiểm nghiệm tốt dựa trên các thuật toán và các giao thức mã hố an tồn cao.
• Xây dựng một giao thức mà không phụ thuộc vào các cơ chế bảo mật giao dịch cũng như các cơ chế ngăn chặn khác đã dùng: SET có thể
ngại khi sử dụng các cơ chế bảo mật khác chẳng hạn như IPSec và SSL/TLS.
• Hỗ trợ khả năng tích hợp phần mềm và các nhà cung cấp dịch vụ: Các giao thức và định dạng SET độc lập với hạ tầng thiết bị phần cứng, hệ
điều hành và ứng dụng Web-based.
2.8.2. Các đặc trưng cơ bản của SET
• Thơng tin tin cậy: Thơng tin tài khoản và các thông tin cho việc chi trả
được bảo vệ khi truyền trên mạng. Một điều thú vị và quan trọng nhất ở đặc trưng này là SET ngăn không cho nhà kinh doanh biết số thẻ tín
dụng của người sử dụng, dữ liệu này chỉ được cung cấp cho các ngân hàng phát hành thẻ. Quy ước mã hoá này được dùng để cung cấp sự
tin cậy.
• Tồn vẹn dữ liệu: Thơng tin chi trả từ người sử dụng thẻ tới các nhà kinh doanh bao gồm các thơng tin thanh tốn, dữ liệu cá nhân và các liệu cho việc chi trả. SET đảm bảo nội dung của thông điệp không bị
thay đổi trong khi gửi đi. Sử dụng chữ ký số RSA với hàm SHA-1 sẽ
đảm bảo tính tồn vẹn các thông điệp này. Các thông điệp này cũng
có thể được đảm bảo bởi HMAC sử dụng SHA-1.
• Chứng thực các nhà kinh doanh: SET cho phép người sử dụng thẻ xác nhận một nhà kinh doanh có quan hệ với một tổ chức tài chính có khả năng chấp nhận các thẻ chi trả. Trong trường hợp này, SET có sử dụng chứng nhận số X.509v3 và chữ ký số RSA. SET khơng giống như IPSec và SSL/TLS, nó chỉ cung cấp một chọn lựa ứng với mỗi
thuật toán mã hoá. Đây là một sự linh hoạt bởi SET là một ứng dụng
đơn độc lập với tập hợp các yêu cầu riêng, mà ở đó có IPSec và
SSL/TLS đóng vai trị hỗ trợ ở một phạm vi nào đó của các ứng dụng.
2.8.3. Các thành phần tham gia sử dụng SET
• Người dùng thẻ (Cardholder): Người sử dụng thẻ là người có quyền nắm giữ thẻ thanh tốn được cung cấp bởi những nhà phát hành.
• Nhà kinh doanh (Merchant): Nhà kinh doanh có thể là một cá nhân hay một tổ chức có các dịch vụ và bán hàng cho người dùng thẻ. Các dịch vụ này được tiến hành thông qua các Website hoặc thư điện tử.
Một nhà kinh doanh chấp nhận các thẻ thanh tốn thì buộc phải có quan hệ với một nhà trung gian (Acquirer).
• Nhà phát hành (Issuer): Đây là một tổ chức tài chính, chẳng hạn như
ngân hàng, cung cấp tài khoản người dùng cùng với thẻ thanh toán. Các tài khoản được sử dụng thông qua các ID cá nhân. Về cơ bản, các nhà phát hành chịu trách nhiệm chi trả các khoản tiền chưa trả của người dùng thẻ.
• Nhà trung gian - Ngân hàng của doanh nghiệp (Acquirer): Đây là tổ chức tài chính thực hiện việc thiết lập một tài khoản đối với nhà kinh doanh và chứng thực các quá trình chi trả bằng thẻ. Các nhà kinh doanh thường chấp nhận nhiều hơn một loại thẻ nhưng lại không muốn quan tâm đến nhiều tổ chức cũng như nhiều cá nhân cung cấp
thẻ nào. Trong khi đó nhà trung gian sẽ cung cấp việc chứng thực cho nhà kinh doanh bằng cách đưa ra cho họ một thẻ tài khoản tiện lợi và giới hạn quyền đối với các loại thẻ này. Nhà trung gian cũng cung cấp các giao dịch điện tử cho việc chi trả đối với các tài khoản của các nhà kinh doanh. Sau cùng, nhà kinh doanh sẽ được hoàn lại số tiền mà các nhà phát hành có được từ quỹ giao dịch điện tử trên mạng chi trả.
• Cổng chi trả (Payment Gateway): Đây là một chức năng thực hiện bởi nhà trung gian hoặc đươc xây dựng bởi một thành viên thứ ba nhằm xử lý các thông tin chi trả của nhà kinh doanh. Nhà trung gian trao đổi các thông điệp SET với cổng chi trả thơng qua Internet, trong khi đó cổng chi trả kết nối mạng tới hệ thống xử lý tài chính của nhà trung gian.
• Quyền chứng nhận (Certification Authority- CA): Đây là một thực thể
được tin cậy để cung cấp các chức nhận khố cơng khai X.509v3 cho
người sử dụng thẻ, các nhà kinh doanh và các thành phần liên quan. Thành công của SET sẽ phụ thuộc vào sự tồn tại của hạ tầng CA có giá trị.
Dưới đây là mơ tả lược đồ bao gồm cho các sự kiện diễn ra trong một phiên giao dịch thương mại điện tử:
• Khách hàng mở một tài khoản: khách hàng có thẻ tín dụng như
Mastercard hay Visa của một ngân hàng có khả năng hỗ trợ chi trả
điện tử và SET.
• Khách hàng nhận một chứng nhận: Sau khi nhận dạng hoàn tất,
khách hàng nhận được một chứng nhận số X.509v3 ký bởi ngân hàng. Chứng nhận này xác minh công khai RSA của khách hàng và hạn sử dụng của nó. Nó sẽ thiết lập một quan hệ được bảo đảm bởi ngân
• Nhà kinh doanh có riêng các chứng nhận của họ: Một nhà kinh doanh muốn chấp nhận nhiều loại thẻ thì buộc phải sở hữu hai chứng nhận đối với hai khố cơng khai riêng của họ: một cho ký nhận thông
điêp và một cho trao đổi khoá. Nhà kinh doanh cũng cần có một bản
sao chứng nhận khố cơng khai của cổng chi trả.
• Khách hàng đặt một thanh tốn: Đây là một q trình bao gồm việc
lựa chọn mặt hàng trên Webside của nhà kinh doanh và xác định giá cả. Khách hàng gửi tới nhà kinh doanh một danh sách các mặt hàng muốn mua, họ nhận được một mẫu thanh toán bao gồm danh sách mặt hàng, giá cả, tổng tiền và số hoá đơn.
• Nhà kinh doanh được xác nhận: Thêm vào mỗi thanh toán, nhà kinh
doanh gửi một bản sao chứng nhận nó, vì vậy khách hàng có thể tin tưởng rằng họ quan hệ với một nhà kinh doanh hợp pháp.
• Việc thanh tốn và chi trả được gửi đi: Khách hàng gửi tới nhà kinh
doanh các thơng tin thanh tốn và chi trả cùng với chứng nhận khách hàng. Thơng tin thanh tốn bao gồm các mặt hàng đã đặt trong mẫu
hố đơn, thơng tin chi trả chứa nội dung chi tiết của thẻ tín dụng (nó
đã được mã hố, do vậy nhà kinh doanh không thể biết được), chứng
nhận khách hàng cho phép nhà kinh doanh xác nhận khách hàng.
• Nhà kinh doanh yêu cầu chứng thực các chi trả: nhà kinh doanh
chuyển các thông tin tới cổng chi trả, yêu cầu xác thực thông tin thẻ tín dụng của khách hàng có phù hợp với việc mua các sản phẩm đã đặt hay khơng.
• Nhà kinh doanh xác nhận thanh toán: nhà kinh doanh gửi xác nhận
thanh tốn tới khách hàng.
• Nhà kinh doanh cung cấp các mặt hàng dịch vụ: nhà kinh doanh
chuyển hàng hoặc cung cấp dịch vụ tới khách hàng.
• Nhà kinh doanh yêu cầu chi trả: yêu cầu này được gửi tới cổng chi
CHƯƠNG 3: THIẾT KẾ HỆ THỐNG THƯƠNG MẠI ĐIỆN TỬ CHO VIỄN THÔNG HÀ NỘI