Giao thức SSL là viết tắt của Secure Socket Layer được phát triển bởi Netscape vào năm 1994. SSL là một mức trung gian giữa giao thức TCP/IP và tầng ứng dụng.
Hình 12. Cấu trúc của SSL và giao thức SSL
SSL được sử dụng phổ biến nhất là bảo đảm an toàn cho các giao dịch qua dịch vụ web. Như được minh họa trong hình 12, giao thức SSL gồm hai phần chính: giao thức bản ghi (SSL Record Protocol) và một số giao thức con SSL được xếp lớp trên nó trong đó giao thức con SSL quan trọng nhất là giao thức bắt tay (SSL Handshake Protocol), giao thức này cho phép server và client để xác thực lẫn nhau và đàm phán các thuật toán mã hóa, MAC và các khóa mật được dùng để bảo vệ dữ liệu đã gửi trong bản ghi SSL. Giao thức bắt tay được dùng trước khi bất kì một dữ liệu ứng dụng nào được truyền. Sau khi SSL Handshake Protocol đã hoàn tất, dữ liệu ứng dụng có thể được gửi và được nhận bằng cách sử dụng SSL Record Protocol. Giao thức bản ghi lấy các thông điệp ứng dụng được truyền, tách thành các phân đoạn dữ liệu, nén dữ liệu, thêm MAC vào dữ liệu đã được nén, mã hóa khối này rồi thêm một header, và truyền
kết quả trong một phân đoạn TCP. Dữ liệu nhận được sẽ được giải mã, kiểm tra, giải nén, và được tập hợp lại sau đó phân phát tới người dùng ở mức cao hơn.
SSL thường được sử dụng như một kênh an toàn cho thanh toán bằng thẻ tín dụng trên Internet và nó xử lí việc mã hóa và giải mã giữa client và server. Với thủ tục mã hóa an toàn, chi tiết của giao dịch không thể được biết thậm chí nó có bị kẻ khác đánh chặn. Dưới đây là một quy trình thanh toán thẻ tín dụng Internet có sử dụng SSL.
Hình 13. Quá trình thanh toán thẻ tín dụng có sử dụng SSL
Trước hết là một số khái niệm:
1. Chủ thẻ (Cardholder): người tiêu dùng sử dụng thẻ để mua sắm
2. Công ty phát hành thẻ (Issuer): sở tài chính phê duyệt việc phát hành thẻ và các tài khoản người dùng.
3. Thương nhân (merchant): người bán hàng hóa hoặc cung cấp dịch vụ
4. Ngân hàng bên người bán – ngân hàng trung gian (Acquirer): nơi xử lý các thủ tục thanh toán và tài khoản của thương nhân.
Quy trình thanh toán thẻ tín dụng Internet giống như truyền thống, gồm các bước từ 1 – 8 như mũi tên hình 13:
1) Chủ thẻ nhập số thẻ tín dụng của mình 2) Kiểm tra thẻ tín dụng và hạn mức của nó
3) Ngân hàng bên người bán và công ty phát hành thẻ xử lý việc chứng thực có thẩm quyền của thẻ.
4) Giao dịch được xác nhận
5) Kiểm tra tổng số tiền giữa ngân hàng người bán và nơi phát hành thẻ.
6) Thương nhân (bên bán) nhận tiền sau khi đã được ngân hàng của mình kiểm tra.
7) Nơi phát hành thẻ gửi hóa đơn cho chủ thẻ. 8) Chủ thẻ thanh toán hóa đơn.
Ở bước đầu để ngăn chặn việc nghe trộm các thông tin thẻ tín dụng mà chủ thẻ giao dịch trên trang bán hàng, sau khi xác nhận hàng hóa hoặc dịch vụ, các chủ thẻ sử dụng công cụ mã hóa SSL để mã hóa số thẻ sẽ được gửi cho bên bán. Số thẻ nhận được này sẽ được bên bán gửi cho ngân hàng của chủ thẻ để xác thực giá trị của nó và hạn mức tín dụng. Sau đó ngân hàng trung gian sẽ xác thực ủy quyền tới công ty phát hành thẻ. Nếu tất cả mọi thứ là chính xác, bên bán sẽ gửi tin nhắn tới chủ thẻ. Ngoài ra, ngân hàng trung gian sẽ yêu cầu tổng kiểm tra từ công ty phát hành thẻ dựa trên số thẻ tín dụng và chi trả hóa đơn cho bên bán. Cuối cùng, công ty phát hành thẻ thông báo cho chủ thẻ thanh toán hóa đơn bằng cách gửi hóa đơn hàng tháng hoặc trừ tiền vào tài khoản ngân hàng của chủ thẻ.
Mục đích chính của giao thức SSL là đảm bảo an ninh khi chuyển dữ liệu giữa client và server, SSL cung cấp sự bảo mật truyền thống gồm có ba đặc tính cơ bản sau:
1. Các bên giao tiếp có thể xác thực nhau bằng cách sử dụng mật mã khóa chung.
2. Sự bí mật của lưu lượng dữ liệu được bảo vệ vì nối kết được mã hóa trong suốt sau khi một sự thiết lập quan hệ ban đầu và sự thương lượng khóa session đã xảy ra.
3. Tính xác thực và tính toàn vẹn của lưu lượng dữ liệu cũng được bảo vệ vì các thông báo được xác thực và được kiểm tra tính toàn vẹn một cách trong suốt bằng cách sử dụng MAC.
Trong khi quá trình này chỉ có thể xác thực một cách đơn giản giữa đầu cuối server và những người giao dịch, nó không thể chắc chắn rằng người mua trực tuyến có đúng là chủ thẻ hay không, điều này dẫn tới sự phát triển của cơ chế SET được trình bày trong mục dưới đây.