giải pháp bảo mật ở các tầng khác nhau
12.5Cài đặt ví dụ giao thức giao dịch điện tử an toàn của Visa
SET (giao dịch điện tử an toàn) là một giao thức an toàn căn cứ vào ứng dụng do Visa và MasterCard cùng nhau phát triển. Nó đ−ợc tạo ra để đảm bảo các giao dịch thẻ thanh toán an toàn trên các mạng mở. SET là t−ơng đ−ơng theo nghĩa điện tử chỉ một giao dịch mặt đối mặt hoặc thẻ tín dụng đặt hàng. Nó bảo đảm bí mật và toàn vẹn cho các cuộc trao đổi thanh toán và xác thực tất cả các nhóm liên quan tới giao dịch. Hãy khảo sát một giao dịch SET để thấy giao thức tầng ứng dụng này thực hiện một giao dịch tài chính đa nhóm phức tạp nh− thế nào.
Một giao dịch SET liên quan tới năm thành phần tham dự khác nhau:
cardholder (ng−ời giữ thẻ), issuer (ng−ời phát hành thẻ thanh toán), merchant
(th−ơng gia), acquirer (ng−ời giữ tài khoản của th−ơng gia) và một payment
gateway (cổng thanh toán) tiến hành các giao dịch thanh toán thay mặt acquirer.
brand (nhãn hiệu) (ví dụ Visa) thiết lập, nh−ng chúng không tham gia vào các giao dịch thanh toán.
Một giao dịch SET đòi hỏi hai cặp khoá mã không đối xứng và hai chứng nhận số; một cho trao đổi thông tin và một cho các chữ ký số. Các khoá và chứng nhận này có thể đ−ợc l−u trong một thẻ tín dụng "thông minh" hoặc gắn vào một ứng dụng cho phép SET (ví dụ Web browser). Các khoá và xác nhận đ−ợc phát ra từ cardholder nhờ quyền xác thực (CA) nhân danh issuer. Các khoá và xác thực số của merchant đ−ợc phát ra từ họ theo quyền xác nhận nhân danh acquirer. Chúng đảm bảo rằng merchant có tài khoản đ−ợc acquirer phê chuẩn. Các xác nhận của cardholder và merchant đ−ợc ký hiệu bằng số theo cơ quan tài chính phát hành nhằm đảm bảo xác thực chúng và ngăn chặn chúng khỏi bị sửa đổi bất hợp pháp. Một chi tiết thú vị của sự sắp đặt này là xác nhận của cardholder không chứa số tài khoản của anh ta hay ngày mãn hạn. Thông tin đó đ−ợc mã hoá bằng một khoá bí mật chỉ đ−ợc cung cấp tới payment gateway trong thời gian cấp phép thanh toán. Đến đây chúng ta đã làm quen với tất cả các vai. Hãy cùng bắt đầu.
B−ớc 1
Cardholder đi mua sắm, lựa chọn hàng hoá của anh ta và gửi một đơn đặt hàng tới merchant yêu cầu một loại thanh toán SET. (Đặc tả SET không định nghĩa việc mua sắm đ−ợc hoàn thành nh− thế nào vì nó không liên quan đến phần này của giao dịch). Nếu cardholder và merchant không sẵn sàng, thì họ xác thực lẫn nhau bằng việc trao đổi xác nhận và chữ ký số. Trong quá trình trao đổi này merchant cũng cung cấp thông tin xác nhận và chữ ký số của cổng thanh toán tới cardholder. Sau đây bạn sẽ thấy điều này sẽ đ−ợc sử dụng nh− thế nào. Trong trao đổi này cũng thiết lập một cặp khoá đối xứng đ−ợc sinh ra một cách ngẫu nhiên sẽ đ−ợc dùng để mã hoá các cuộc trao đổi giữa cardholder - merchant còn lại.
B−ớc 2
Một khi các trao đổi ở trên đã hoàn thành, merchant liên lạc với cổng thanh toán. Một phần trao đổi này bao hàm thông tin lựa chọn ngôn ngữ để bảo đảm khả năng t−ơng tác quốc tế. Một lần nữa thông tin xác nhận và chữ ký số đ−ợc dùng để xác thực merchant với gateway và thiết lập các khoá đối xứng ngẫu nhiên. Sau đó thông tin thanh toán (PI-payment information) đ−ợc gửi tới gateway để cấp phép thanh toán. L−u ý rằng chỉ thông tin thanh toán đ−ợc gửi tới. Điều này đ−ợc thực hiện nhằm thoả mãn các yêu cầu điều chỉnh đối với việc sử dụng mã hoá triệt để. Nhìn chung, việc dùng mã hoá triệt để của các cơ quan tài chính không bị hạn chế nếu các giao dịch chỉ chứa các giá trị tiền tệ.
B−ớc 3
Dựa vào PI nhận đ−ợc, payment gateway xác thực cardholder. L−u ý rằng cardholder đ−ợc xác thực mà không phải liên lạc trực tiếp với cổng mua. Điều này đ−ợc thực hiện thông qua một tiến trình gọi là chữ ký số kép. Thông tin do cổng mua yêu cầu để xác thực cardholder đ−ợc gửi tới merchant với một chữ ký số khác
với chữ ký số dùng cho các trao đổi merchant-cardholder. Có khả năng thực hiện điều này vì merchant đã gửi xác nhận về cổng mua tới cardholder trong trao đổi tr−ớc đó! Merchant th−ờng gửi thông tin này tới payment gateway nh− một phần của yêu cầu cấp phép thanh toán. Một mẩu thông tin khác gửi qua trao đổi này là khoá bí mật mà gateway cần để giải mã số tài khoản và ngày mãn hạn của cardholder.
B−ớc 4
Gateway tái định dạng thông tin thanh toán và gửi nó qua một mạch riêng tới issuer để cấp phép. Khi issuer cấp phép cho giao dịch thì payment gateway thông báo cho merchant, merchant thông báo cho cardholder và giao dịch đ−ợc hoàn thành.
B−ớc 5
Merchant kết thúc giao dịch bằng việc đ−a ra yêu cầu nhận thanh toán với payment gateway dẫn đến tài khoản của cardholder bị ghi nợ và số l−ợng giao dịch đ−ợc ghi vào tài khoản của merchant.
Một giao dịch SET đơn lẻ nh− giao dịch đ−ợc phác thảo ở trên phức tạp đến không ngờ, để có đ−ợc thành công nó đòi hỏi trên 59 hành động khác nhau. Độ phức tạp nh− thế đòi hỏi công nghệ tầng ứng dụng đ−ợc quản lý hiệu quả. Tuy nhiên, cái hay của SET chính là khả năng thực thi theo cách an toàn và phổ biến của nó. Các giao thức khác đang đạt đ−ợc thành công t−ơng tự trong các phạm vi ứng dụng khác nhau.