II. Giải pháp an toàn trong thanh toán điện tử
Như đã giới thiệu ở trên, cách tốt nhất bảo đảm an toàn trong thanh
toán điện tử là mã hóa các thông tin cần được truyền đi trên mạng. Hiện
nay có nhiều giao thức được sử dụng cho phép thực hiện giao dịch trong
không gian ảo. Bản chất của giao dịch cũng chỉ là sự chuyển tiền từ tay
người này qua người khác. Trong phần này chúng ta sẽ xem xét hai giao
thức mở cho phép thực hiện giao dịch an toàn, đó là SSL và SET.
1. Giao thức tầng cắm an toàn (Secure Sockets Layer – SSL)
Giao thức SSL được thiết kế bởi Nestcape như là một phương pháp bảo đảm
sự an toàn của kết nối khách (client) – chủ (server) trên môi trường Internet.
SSL là công nghệ để mã hóa việc truyền dữ liệu giữa trình duyệt web và máy
chủ web. Công nghệ này được sử dụng thường xuyên bởi các trang web ngân hàng trực
tuyến và trang web thương mại điện tử. Trang web khác cũng có thể triển khai SSL dưới
hình thức hạn chế hơn -- ví dụ: để giúp bảo vệ mật khẩu của bạn khi nhập thông tin đăng
nhập của bạn.
Địa chỉ web được bảo mật bằng SSL bắt đầu với https: t hay vì http: nên các
điều khoản thường được sử dụng thay thế cho nhau.
Cơ Chế Hoạt Động Của SSL
Về cơ bản, giao thức SSL hoạt động ngay dưới các giao thức ứng
dụng (như HTTP, SMTP,Telnet, FTP, Gopher và NNTP) và nằm trên
giao thức mạng TCP/IP.
Điều đó cho phép SSL vận hành độc lập đối với các giao thức ứng dụng
mạng. SSL sử dụng phương pháp mã hóa khóa công khai đã giới thiệu ở
trên, với thuật toán RAS dùng để mã hóa. SSL cho phép:
- Client và server nhận dạng lẫn nhau.
- Sử dụng chứng thực số để chứng thực tính toàn vẹn.
- Mã hóa toàn bộ thông tin để đảm bảo tính bí mật.
Để làm được điều này cần có một máy chủ bảo mật, đó là lý do tại sao
bạn thường nhận được thông báo kiểu này:
Các máy chủ bảo mật thường có chuỗi HTTPS và hình chiếc khóa
trong URL thay vì HTTP như bình thường.

định giá trị thẻ với ngân hàng. Nếu thẻ được xác nhận, một phiếu bán hàng
được in ra. Bạn ký vào phiếu bán hàng, người bán giữ một bản copy cho hồ
sơ của bạn.
Với SET, ngân hàng phát hành thẻ cũng tham gia trong quá trình
giao dịch với vai trò người trung gian. Khi bạn nhập số thẻ của mình trong
một giao dịch với SET, site thương mại sẽ không bao giờ thấy được số thẻ
của bạn. Thay vào đó, thông tin được gửi đến cơ quan tài chính thông qua
cổng thanh toán, người sẽ xác thực thẻ của bạn và thực hiện thanh toán với
site thương mại điện tử. Đổi lại, công việc đó đòi hỏi một chi phí nhất định.
Giao thức SET yêu cầu khách hàng phải tải một phần mềm đặc
biệt gọi là ví điện tử (electronic wallet) hay ví số (digital wallet) để lưu
giữ chứng thực của khách hàng tại máy tính cá nhân hay thẻ IC
(Intergrated circuit card) của họ.
Để kết nối ví điện tử với những người kinh doanh khác nhau, khả năng liên
vận hành là một đặc tính quan trọng cần được đáp ứng. Do tính liên vận
hành của ví số của người chủ sở hữu thẻ với phần mềm của bất cứ người
kinh doanh nào là điều cơ bản, một liên hiệp các công ty (Visa, MasterCard,
JCB – ngân hàng phát hành thẻ của Nhật – và American Express) đã thành
lập một công ty được gọi là SETCO (Secure Electronic Transaction LLC
1999). Công ty này thực hiện các thử nghiệm liên vận hành và phát hành
một nhãn hiệu SET như một xác nhận về tính liên vận hành. IBM, Netscape,
Microsoft, Verisign, Tandem và MetaLand cung cấp các ví số có khả năng
liên vận hành như vậy.
3. So sánh SSL và SET
Khác với giao thức SSL có 3 thực thể là người chủ sở hữu thẻ, người
kinh doanh và cơ quan chứng thực (CA), SET có thêm một thực thể là cổng
thanh toán. Đây là cổng kết nối Internet với các mạng độc quyền của các
ngân hàng. Mỗi thực thể tham gia cần chứng thực riêng.
Trên lý thuyết, SET bảo mật hơn SSL. Với SSL, thông tin thẻ tín
dụng của bạn là công khai với người bán, cả người bán và ngân hàng của

ID của công ty WholeSecurity.
Web Caller – ID hoạt động theo nguyên lý phân tích các địa chỉ Web để
dò tìm những đầu mối cho biết một website có giả mạo hay không. Chẳng
hạn nếu địa chỉ URL của website mà dài và luẩn quẩn, hoặc nếu nó chứa
một dãy số dài và được ngăn cách bởi các dấu chấm trong địa chỉ IP thì
nhiều khả năng nó là website mạo danh. Chương trình cũng có khả năng
kiểm tra xem có phải tên miền mới được đăng ký hay không, cũng như xem
có phải nhà quản trị website đó đang sử dụng một dịch vụ host miễn phí.
Ngoài Ebay, hãng WholeSecuriry còn có kế hoạch cấp giấy phép cho
các doanh nghiệp kinh doanh trực tuyến sử dụng phần mềm Web Caller –