Đừng cho tôi thấy tiền An toàn giao dịch tiền tệ

Một phần của tài liệu Nghiên cứu một số vấn đề bảo mật và an toàn thông tin cho các mạng dùng giao thức liên mạng máy tính IP Mô hình bảo mật thông tin cho các mạng máy tính - Quyển 2A Giao thức TCPIP và giải pháp bảo mật ở các tầng khác nhau (Trang 95)

giải pháp bảo mật ở các tầng khác nhau

12.8 Đừng cho tôi thấy tiền An toàn giao dịch tiền tệ

Thành công của th−ơng mại trên Internet phụ thuộc vào khả năng quản lý các giao dịch tiền tệ an toàn của nó. Mặc dù việc mua bán d−ờng nh− có ảnh h−ởng lớn tới lĩnh vực này, nh−ng thanh toán hoá đơn, các cuộc chuyển tiền và ph−ơng tiện và EDI là những nghiên cứu quan trọng. Việc thiếu các chuẩn cho hoạt động thanh toán điện tử đã khuyến khích vô số các giải pháp độc quyền gồm những đề xuất phổ biến Cybercash (Cybercoln), Digital (Millicent) và Digicash. Tuy nhiên, các giải pháp độc quyền không thể có đ−ợc thành công rộng rãi trong môi tr−ờng hỗn tạp nh− Internet. Phần này sẽ tập trung vào các giải pháp chuẩn hoá. Vì giao thức SET đã đ−ợc đề cập ở một số chi tiết, nên ở đây chỉ đề cập tới các cài đặt SET.

Thanh toán an toàn (S/PAY) là bộ công cụ của nhà phát triển dựa vào giao thức SET. Nó đ−ợc RSA Data Security phát triển, mặc dù các quyền marketing hiện nay thuộc về Trintech Group (www,trintech.com). Th− viện S/Pay cài đặt đầy đủ các hàm SET v1.0 cardholder, merchant và acquier và các hàm mã hoá và quản lý xác nhận bên d−ới đối với nền hệ thống là Windows95/NT và UNIX. Bao hàm trong mã là sự hỗ trợ ph−ơng tiện mã phần cứng, thiết bị card thông minh và kho l−u trữ khoá cá nhân thời gian dài. Trintech cũng đề xuất các cài đặt đầy đủ phần mềm SET cardholder, merchant và acquier. Phần này bao gồm sản phẩm Pay-Ware Net-POS của họ, sản phẩm này hỗ trợ một vài tổ hợp của các công nghệ SSL và SET nhằm dễ dàng truyền từ các giao dịch Web SSL tới các giao dịch SET đ−ợc cài đặt đầy đủ.

Trao đổi tiền tệ mở (OFX-Open Financial Exchange) là một giao thức tầng ứng dụng do Checkfree, Intuit và Microsoft tạo ra để hỗ trợ phạm vi khách hàng rộng rãi và các dịch vụ ngân hàng th−ơng mại nhỏ trên Internet. OFX là một đặc tả mở khả dụng với bầt kỳ cơ quan tài chính hay nhà sản xuất nào có nhu cầu cài đặt các dịch vụ OFX. OFX sử dụng SSL với sự hỗ trợ xác nhận số nhằm cung cấp các dịch vụ bảo mật, toàn vẹn và xác thực cho các giao dịch của nó. Giao thức này đã giành đ−ợc sự ủng hộ to lớn trong kỹ nghệ ngân hàng và đầu t− vì nó đáp ứng hầu nh− mọi giao dịch tiền tệ có thể có. Hiện nay, uỷ ban OFX đang tìm cách mở rộng biểu diễn của OFX thông qua các khả năng hợp tác với IBM và các nhà sản xuất khác. Các bản sao đặc tả OFX có đ−ợc từ Web site OFX (www.ofx.net).

Micro Payment Transfer Protocol (MPTP) là một phần của World Wide Web Consortium (W3C) Joint Electronic Payment Initiative. Hiên nay, MPTP là bản phác thảo hoạt động của W3C. Đặc tả này dựa vào các biến thể của Rivest and Shamir's Pay-Word, Digital's Millicent và các đề xuất Bellare's iKP. MPTP là giao thức rất mềm dẻo có thể đ−ợc phân tầng căn cứ vào các giao vận đang tồn tại nh− HTTP hay MIME để cung cấp phạm vi giao dịch rộng lớn. Nó có dung sai các độ trễ truyền cao cho phép nhiều xử lý giao dịch tiến hành gián tiếp. MPTP đ−ợc thiết kế để đảm bảo các thanh toán thông qua các dịch vụ của ng−ời môi giới nhóm thứ ba. Trong phiên bản hiện này, ng−ời môi giới phải là quen thuộc với cả khách hàng và nhà sản xuất, mặc dù các cuộc truyền của ng−ời môi giới trung gian đ−ợc dự

kiến cho các cài đặt trong t−ơng lai. Điều này là cần thiết nếu MPTP sẽ cân bằng có hiệu quả để thoả mãn các đòi hỏi của Internet.

Các khách hàng thiết lập một tài khoản với ng−ời môi giới. Khi đã thiết lập, họ tự do mua bán với bất kỳ nhà sản xuất nào quen thuộc với ng−ời môi giới của họ. Thiết kế MPTP đ−a vào xem xét phần lớn những rủi ro đi liền với thanh toán điện tử và cung cấp các cơ chế làm giảm bớt các rủi ro này, nh−ng nó cũng không cài đặt một chính sách an toàn cụ thể. Những ng−ời môi giới tự do hoạch định chính sách phù hợp nhất với các nhu cầu buôn bán của họ.

MPTP dựa vào công nghệ S/key dùng các thuật toán MD5 hay SHA để cấp phép thanh toán. MPTP cho phép đánh dấu các thông báo nhằm xác thực, toàn vẹn và không từ chối sử dụng mật mã khoá công khai hay bí mật và đáp ứng đầy đủ các xác nhận X.509. Mặc dù MPTP vẫn còn ở giai đoạn thô, nh−ng với thiết kế đặc biệt, độ mềm dẻo và hiệu suất cao của nó, MPTP đ−ợc cho là đối thủ hàng đầu trong lĩnh vực thanh toán điện tử.

Java Electronic Commerce Framework (JECF) là mục đ−ợc đề cập cuối cùng của chúng ta. JECF không phải là một giao thức ứng dụng. Nó là bộ khung cho việc cài đặt xử lý thanh toán điện tử dùng công nghệ nội dung động. Công nghệ nội dung chủ động sử dụng một máy (ví dụ máy ảo Java) cài đặt trên client để thực hiện các phần ch−ơng trình (ví dụ applets) từ server gửi tới nó. Các thành phần nội dung động JECF hiện nay bao gồm các thông báo Java th−ơng mại, mô hình an toàn gateway, các nhân Java th−ơng mại và client Java th−ơng mại (JCC).

JEFC căn cứ quanh khái niệm sổ tay (wallet) điện tử. Wallet là khả năng kỹ thuật phía client có thể mở rộng hỗ trợ một số l−ơng các giao dịch th−ơng mại điện tử nào đó. Các nhà sản xuất tạo các ứng dụng Java bao gồm các module dịch vụ (applets) gọi là Commerce JavaBeans cắm vào wallet. Các applet này thực hiện các thao tác và giao thức cần thiết để quản lý các giao dịch với nhà sản xuất. Có một vài −u điểm cơ bản của kiến trúc này nh− sau:

• Các nhà sản xuất không bị ràng buộc với các chính sách cụ thể đối với các giao dịch của họ. Họ tự do tạo các module chứa các chính sách và thủ tục phù hợp nhất với công việc của họ.

• Các client không đòi hỏi có các ứng dụng cụ thể. Vì các applet JavaBean có nội dung động, chúng có thể đ−ợc cấp phát và tải một cách linh hoạt trên hệ thống của khách hàng khi giao dịch xảy ra.

• Các ứng dụng có thể đ−ợc cập nhật linh hoạt. Các applet giao dịch có thể đ−ợc cập nhật hay thay đổi để hiệu chỉnh các vấn đề hoặc thoả mãn các nhu cầu công việc gia tăng mà không phải gửi những cập nhật tới tất cả client. Các module mới sẽ đ−ợc tải trên module cũ trong giao dịch tiếp theo của chúng.

• Các module có thể đ−ợc tải hoặc ngừng tải trên đ−ờng truyền để điều tiết các yêu cầu thanh toán, mã hoá hay ngôn ngữ khác nhau. Các module

OFX có thể đ−ợc tải cho các giao dịch ngân hàng và sau đó ngừng tải khi khách hàng yêu cầu các module tạo cuộc mua bán thẻ tín dụng.

• Các module JavaBean chạy trên bất kỳ hệ điều hành, bộ duyệt hay ứng dụng nào hỗ trợ Java. Điều này cho phép nhà sản xuất truy nhập tức thời tới cơ sở khách hàng lớn nhất có thể.

Tính mềm dẻo, dễ di chuyển và cơ sở ng−ời dùng Java lớn khiến cho JECF là một giải pháp th−ơng mại điện tử rất hấp dẫn. Nó chắc chắn sẽ đóng vai trò chính trong lĩnh vực th−ơng mại điện tử.

Một phần của tài liệu Nghiên cứu một số vấn đề bảo mật và an toàn thông tin cho các mạng dùng giao thức liên mạng máy tính IP Mô hình bảo mật thông tin cho các mạng máy tính - Quyển 2A Giao thức TCPIP và giải pháp bảo mật ở các tầng khác nhau (Trang 95)

Tải bản đầy đủ (PDF)

(98 trang)