งานพาณิชย์อิเล็คทรอนิคส์ในอินเทอร์เน็ตกับการรักษาความปลอดภัย
การขยายตัวของอินเทอร์เน็ตในช่วงเวลาที่ผ่านมา จากความนิยมใช้งานเว็บเพื่อสืบค้น และใช้ประโยชน์จากข้อมูลเป็นส่วนผลักดันสำคัญอย่างยิ่ง ที่กระตุ้นให้องค์กรธุรกิจหันมาสนใจในงานพาณิชย์อิเล็คทรอนิคส์ผ่านอินเทอร์เน็ตด้วยบริการเว็บ แต่อุปสรรคสำคัญของระบบพาณิชย์อิเล็คทรอนิคส์ในอินเทอร์เน็ตย่อมไม่พ้นเรื่องการรักษาความปลอดภัยของข้อมูล ถึงแม้ว่าในอินเทอร์เน็ตจะมีระบบช่วยรักษาความปลอดภัยหลายรูปแบบ อย่างเช่น ไฟร์วอลล์ซึ่งเป็นระบบช่วยป้องกันการบุกรุกจากผู้ที่ไม่มีสิทธิ์เข้าถึงข้อมูล แต่ไฟร์วอลล์ไม่ได้ช่วยรับประกันว่า ข้อมูลที่รับส่งระหว่างต้นทางและปลายทาง จะไม่ถูกดักจับไปใช้ประโยชน์หรือผ่านการเปลี่ยนแปลงแก้ไขไปจากข้อมูลเดิม งานพาณิชย์อิเล็คทรอนิคส์ในอินเทอร์เน็ตจึงต้องการความปลอดภัยในการส่งและรับข้อมูลตลอดทั้งเส้นทาง ด้วยเหตุดังกล่าวจึงมีการพัฒนากรรมวิธีหลายรูปแบบ เพื่อรับประกันความปลอดภัยของข้อมูลแต่ละรายการที่รับส่งกัน เทคโนโลยีที่จัดว่ามีความปลอดภัยสูง และได้รับความนิยมอย่างมากได้แก่ SSL (Secure Socket Layer), S-HTTP (Secure- Hyper Text Transfer Protocol) และ SET (Secure Electonic Transaction)
SSL
SSL เป็นเทคโนโลยีรักษาความปลอดภัยที่พัฒนาขึ้นโดยเน็ตเสคปเพื่อใช้ในงานพาณิชย์อิเล็คทรอนิคส์โดยเฉพาะ หากมองถึงหลักการพื้นฐานของ SSL แล้วจะพบว่า SSL ได้รับการออกแบบมาให้ทำงานอย่างเป็นอิสระจากโปรโตคอลประยุกต์ โดยไม่ได้จำกัดอยู่เฉพาะเพียง HTTP ซึ่งเป็นโปรโตคอลที่ใช้ในเว็บ กล่าวคือ SSL สามารถทำงานร่วมกับโปรโตคอลประยุกต์ใดก็ได้เฃ่น telnet, FTP, NNTP หรือ SMTP เป็นต้น ทั้งนี้เพราะ SSL จะแทรกอยู่ระหว่างชั้นของโปรดตคอลประยุกต์ กับโปรโตคอลระบทรานสพอร์ตอย่างเช่น TCP ดังรูปที่ 1 SSL จึงสามารถทำงานกับโปรโตคอลประยุกต์ใดก็ได้
หลักการทำงานของ SSL เริ่มต้นด้วยการแลกเปลี่ยนกุญแจรหัสสาธารณะ (Public-Key Crytography ระหว่างไคลเอ็นต์และเซอร์ฟเวอร์ เมื่อผ่านกระบวนการนี้แล้ว SSL จะทำหน้าที่เข้ารหัสข้อมูลโดยนำกุญแจรหัสสาธารณะของอีกฝ่ายหนึ่งมาใช้เข้ารหัส การถอดรหัสจะทำได้เมื่อต้องฝ่ายรับต้องใช้กุญแจรหัสส่วนตัวเฉพาะซึ่งไม่เปิดเผยให้ผู้อื่นล่วงรู้ ขั้นตอนวิธีการเข้ารหัสจะอาศัยเทคนิค RSA (Rivest , Shamir and Aldeman) ซึ่งเป็นเทคนิคการเข้ารหัสลับแบบหนึ่งที่นิยมใช้อย่างแพร่หลาย
ทั้งเว็บบราวเซอร์และเว็บเซอร์ฟเวอร์จะต้องสนับสนุนการทำงานของ SSL ด้วยกันทั้งสองฝ่ายจึงจะสามารถสื่อสารด้วยกระบวนการเข้ารหัส เว็บบราวเซอร์ที่สนับสนุนการทำงานของ SSL ได้แก่ เน็ตสเคป นาวิเกเตอร์ และ ไมโครซอฟต์เอ็กพลอเรอร์ เป็นต้น ส่วนเว็บเซอร์ฟเวอร์ที่ทำงานกับ SSL ได้ก็มีเช่น เน็ตสเคปคอมเมิร์ซเซอร์ฟเวอร์ หรือ โอไรเลย์ เว็บไซต์ เป็นต้น เซอร์ฟเวอร์ ที่ให้บริการ SSL มักจะเปลี่ยน URL จาก http:// ไปเป็น https:// เวอร์ชันของ SSL ที่ใช้ในปัจจุบันคือ 3.0
S-HTTP
S-HTTP เป็นโปรโตคอลที่พัฒนาขึ้นโดย EIT (Enterprise Integration Technology) หลักการของ S-HTTP คือสร้างโปรโตคอล HTTP ที่มีความสามารถเข้าและถอดรหัสอยู่ภายในตัวเองโดยตรง โครงสร้างของ S-HTTP จึงมีกลไกการเข้ารหัสและเชื่อมเข้ากับระดับทรานสพอร์ตดังรูปที่ 2 เทคนิคการเข้ารหัสใน S-HTTP ใช้หลักการของ RSA เช่นเดียวกับ SSL
SET
SET เป็นข้อกำหนดการตรวจพิสูจน์ตัวจริง (authentication) ในการใช้บัตรเครดิตแบบออนไลน์ทั่วไปหรือใช้ในอินเทอร์เน็ตก็ได้ วีซาและมาสเตอร์การ์ดซึ่งเป็นสองผู้นำด้านธุรกิจบัตรเครดิตเป็นผู้พัฒนาระบบ SET และเปิดตัวอย่างเป็นทางการตั้งแต่ปี 2539
หลักการทำงานของ SET แตกต่างไปจาก SSSL และ S-HTTP อย่างมากเนื่องจากมีกระบวนการตรวจสอบและยืนยันเข้ามาเกี่ยวข้อง และรูปแบบการรักษาความปลอดภัยที่ซับซ้อนกว่า กระบวนการดังกล่าวนี้จะเกี่ยวโยงกันทั้งผู้ซื้อซึ่งถือบัตร ผู้ขายที่รับเครดิต และธนาคารที่เป็นเจ้าของบัตร
ก่อนการใช้งาน SET ผู้ใช้บัตรจะต้องลงทะเบียนก่อน ผลจากการลงทะเบียนคือผู้ใช้บัตรเครดิตได้แจ้งตัวเองเข้าสู่ระบบและผ่านการรับรองทางอิเล็คทรอนิคส์หรือเสมือนว่าได้ใบรับรองดิจิตัล (Digital Electronic ใบรับรองนี้จะอยู่คู่กับหมายเลขบัตรซึ่งถือว่าเป็นกระเป๋าเงินอิเลคทรนิคส์ของเจ้าของบัตร (Cardholder Wallet) เมื่อเสร็จสิ้นขั้นตอนนี้แล้วผู้ใช้ก็สามารถเข้าสู่การชำระเงินแบบออนไลน์ในระบบ SET ได้
รายการสั่งซื้อสินค้าออนไลน์จะส่งไปยังเซอร์ฟเวอร์ของผู้ขายที่เรียกว่า Merchant Server ส่วนด้านธนาคารก็จะมีส่วนตรวจสอบข้อมูลและวงเงินที่เรียกว่า Payment Gateway โดยธนาคารของผู้ขายทำหน้าที่ตรวจความถูกต้องของข้อมูลบัตรและวงเงินกับธนาคารผู้ออกบัต กลไกของ SET จะส่งรายการสั่งซื้อไปยังผู้ขายโดยไม่ต้องส่งข้อมูลบัตรเครดิตไป ในขณะที่ธนาคารก็จะได้รับแต่เพียงข้อมูลบัตรและวงเงินขออนุมัติโดยไม่จำเป็นต้องทราบรายการที่ผู้ซื้อสั่ง |
|