Lĩnh vực Công nghệ thông tin WPKI - Công nghệ bảo mật của tơng lai KS.Nguyễn Việt Anh Trung tâm Công nghệ thông tin Tóm tắt: Ngành công nghiệp phần mềm đang đi vào một thị trờng mới đòi hỏi một sự cân nhắc trong đầu t. Các vấn đề cần xem xét bao gồm: phơng pháp phát triển các phần mềm đáp ứng nhu cầu thị trờng; các bớc thay đổi và bổ sung nào sẽ là cần thiết để tạo ra các sản phẩm nhằm đa vào thị trờng; và các sản phẩm này sẽ đợc hỗ trợ những gì; và quan trọng nhất là hiệu quả cuối cùng trên thị trờng sẽ là thế nào? Với tốc độ phát triển của các dịch vụ thơng mại internet nhanh nh hiện nay, các công nghệ hiện tại đang dần bị lỗi thời trong việc đảm bảo an toàn cho các giao dịch ngân hàng, tiền tệ. Do vậy cần phải có những biện pháp thay thể kịp thời nhằm khắc phục những yếu điểm trong các giao thức đảm bảo an ninh. Ngày nay, ở nớc ta, các hệ thống thơng mai điện tử cũng đang phát triển một cách vô cùng mạnh mẽ. Chỉ trong một thời gian ngắn, rất nhiều hệ thống thơng mại điện tử nh thanh toán trực tuyến, mua bán trực tuyến, . đã đợc đa vào áp dụng. Chính điều đó đã tạo nên một nền tảng cho các hệ thống M-commerce. Có đợc những sự phát triển mạng mẽ đó, một phần là do những nhu cầu về vấn đề bảo an thơng mại điện tử đã phần nào đợc đáp ứng. Tuy nhiên, đối với một lĩnh vực mới nh M-commerce, việc từng bớc nghiên cứu và áp dụng các công nghệ bảo an là thật sự cần thiết. 1. M- Commerce là gì ? Trong thế giới ngày nay, sự tiến bộ của công nghệ thông tin đã liên tiếp cho ra đời những khái niệm mới với tốc độ ứng dụng vào cuộc sống nhanh đến không ngờ. Nếu nh chỉ vài năm trớc đây, ngời ta mới làm quen với khái niệm e-commerce (thơng mại điện tử) thì hiện nay, m-commerce đã là một khái niệm đang dần dần xã hội hoá. M-commerce, viết tắt của mobile commerce, là phơng thức thơng mại đợc tiến hành thông qua các thiết bị di động đều có đặc tính chung là không cần dây dẫn (vô tuyến), kích thớc nhỏ gọn và luôn đi cùng với một cá nhân nào đó. Điều đó cũng có nghĩa là m-commerce có thể tiến hành ở bất kỳ đâu, vào bất kỳ lúc nào mà không cần đến trang thiết bị cố định nh máy vi tính, modem, đờng dây điện thoại . Đây chính là điểm u việt rõ nét nhất của m- commerce. Dới đây là một vài hoạt động sơ khai của m-commerce. Đó là khi nhận đợc những tin nhắn (SMS) trên điện thoại di động quảng cáo về một sản phẩm dịch vụ nào đó. Với những chiếc điện thoại di động thế hệ thứ II nh đang sử dụng ở VN hiện nay, các nhà cung cấp cha thể cung cấp các dịch vụ mạng mẽ hơn. Nhng trong tơng lai gần, khi WAP và điện thoại di động thế hệ thứ 3 (3G) đợc sử dụng đại trà, việc xem hàng, đặt hàng, mặc cả, thanh toán tất cả đều từ chiếc máy xinh xinh trong tay bạn sẽ là chuyện quá dễ dàng. Nhng các nhà công nghệ còn tiến xa hơn thế. Tại Nhật, hãng viễn thông hàng đầu NTT DoCoMo đã đi tiên phong trong việc cung cấp dịch vụ iMode. Với dịch vụ này, ngời dùng có thể xem tin tức, mua bán, trao đổi cổ phiếu, tham gia các câu lạc bộ trên mạng v.v . Đúng nh một chuyên gia đã nói, dịch vụ này đã "đặt Internet vào túi của mọi ngời". Hiện tại, chi phí để sử dụng dịch vụ này là khoảng 80 USD/tháng hoặc lớn hơn 25% so với sử dụng điện thoại di động thông thờng. Học viện Công nghệ BCVT Hội nghị Khoa học lần thứ 5 Microsoft và một số nhà sản xuất khác cũng đa ra thị trờng các loại thiết bị hỗ trợ cá nhân kỹ thuật số (PDA). Đây là loại máy tính rất nhỏ, nhẹ chuyên dùng cho việc truy cập mạng. Ngoài ra, nó cũng làm nhiệm vụ nh một quyển sổ điện tử: lên lịch làm việc, nhắc nhở các sự kiện, lu trữ dữ liệu, . Dự kiến doanh thu từ m-comerce sẽ là 55,4 tỷ USD vào năm 2003 so với 12,7 tỷ USD hiện nay. Tuy nhiên để có thể thu hút nhiều hơn nữa ngời dùng đến dịch vụ này, các thiết bị di động cần phải cải tiến để tạo thuận lợi hơn nữa cho ngời dùng. Giá cả của dịch vụ cũng là điều cần phải bàn, đặc biệt là ở các nớc đang phát triển. Và cuối cùng, sự quan tâm của các cơ quan Nhà nớc để tạo hành lang pháp lý và tuyên truyền là một điều kiện không thể thiếu để m-commerce có thể phát triển. 2. Sau E-Commerce sẽ là M-Commerce Hiện nay, một số lợng lớn điện thoại di động trên thế giới đã đợc kết nối vào Web để gửi, nhận email, hay để xem các thông tin về thời tiết, giá cổ phiếu, thông tin thể thao hay du lịch . Và trong tơng lai không xa, những chiếc điện thoại dị động này sẽ trở thành các thiết bị có thể kiểm tra bất kỳ các loại thông tin dạng số nào của việc mua bán ảo: vé xem phim, đồ uống hay các bữa ăn cùng bạn bè. Tất nhiên sẽ phải mất khoảng vài năm để thơng mại bằng điện thoại di động đóng một vai trò quan trọng trong đời sống. Nhng khi điều đó xảy ra, thì thị trờng thơng mại di động m- commerce sẽ rất phát triển. 3. Giới thiệu về PKI Hạ tầng khoá công cộng (Public Key Infrastructure - PKI) là nền tảng cho các dịch vụ bảo mật đảm bảo cho thơng mại điện tử (e-commerce) và các ứng dụng trên mạng Internet/Intranet phát triển một cách hoàn chỉnh, tin cậy và khoẻ mạnh (robust). Với sự gia tăng của Internet, bảo mật và an toàn thông tin, đặc biệt là thanh toán điện tử (e-payment) đã trở thành thành phần không thể thiếu đợc của thơng mại điện tử, chính phủ điện tử (e- government) cũng tơng tự nh các vấn đề của hạ tầng truyền thông và công nghệ. Để hiểu đợc yêu cầu và các đòi hỏi của PKI, chúng ta cần biết một số kiến thức sơ lợc về khoá mật mã công cộng. Hệ thống này xây dựng trên cơ sở một cặp khoá mã có liên hệ toán học với nhau trong đó một khoá sử dụng để mã hoá thông điệp và chỉ có khoá kia mới giải mã đợc thông điệp và ngợc lại. Khi đó chúng ta có thể công khai hoá một khoá trong cặp khoá này. Nếu ai cần gửi cho chúng ta các thông điệp bảo đảm, họ sẽ có thể sử dụng khoá đã đợc cung cấp công khai này để mã hoá thông điệp trớc khi gửi đi và bởi vì chúng ta đã giữ bí mật khoá mã còn lại nên chỉ chúng ta mới có thể giải mã đợc thông điệp bảo đảm đó. Cặp khoá này còn dùng để xác nhận thông điệp. Ngời gửi sẽ tạo một đoạn mã băm (hash) của thông điệp - một dạng rút gọn của thông điệp nguyên bản - với một số thuật toán (ví dụ nh MD5, SHA-1 .). Ngời gửi sẽ mã hoá đoạn mã băm bằng khoá riêng của mình và ngời nhận sẽ dùng khoá công cộng của ngời gửi để giai đoạn mã băm của ngời gửi, sau đó so sánh với đoạn mã băm của thông điệp nhận đợc (đợc tạo bằng cùng một thuật toán). Nếu trùng nhau thì ngời nhận có thể tin rằng thông điệp nhận đợc không bị thay đổi trong quá trình truyền tải trên mạng và xuất phát từ ngời gửi xác định. Cách thực hiện này đợc gọi là chữ ký điện tử. Nhng cần nhắc lại là chung ta yêu cầu không chỉ chữ ký - chúng ta cần một thẻ hội viên điện tử. Chính vì thế mà xuất hiện khái niệm giấy chứng nhận điện tử. Một chứng nhận điện tử gắn tên của hội viên hay thiết bị với một cặp khoá, tơng tự nh thẻ hội viên gắn tên của hội viên với chữ ký và ảnh của họ. ể đảm bảo giấy chứng nhận là hợp lệ, chúng ta thờng yêu cầu giấy chứng nhận phải đợc cấp do một tổ chức tin cậy. ối với giấy chứng nhận điện tử, tổ chức này đợc gọi là hệ thống cung cấp chứng nhận (Ca-Certification Autbority). Học viện Công nghệ BCVT Lĩnh vực Công nghệ thông tin Vậy PKI hoạt động nh thế nào? Bob và Alice muốn liên lạc với nhau qua Internet, dùng PKI để chắc chắc rằng thông tin trao đổi giữa họ đợc bảo mật. Bob đã có chứng nhận kỷ thuật số, nhng Alice thì cha. Để có nó, cô phải chứng minh đợc với Tổ chức cấp giấy chứng nhận cô thực sự là Alice. Một khi các thông số nhận dạng của Alice đã đợc Tổ chức thông qua, họ sẽ phát hành cho cô một chứng nhận kỹ thuật số. Chứng nhận điện tử này có giá trị thực sự, giống nh tấm hộ chiếu vậy, nó đại diện cho Alice. Nó gồm có những chi tiết nhận dạng Alice, một bản sao chìa khóa công cộng của cô và thời hạn của giấy chứng nhận cũng nh chữ ký kỹ thuật số của Tổ chức chứng nhận. Alice cũng nhận đợc chìa khóa cá nhân kèm theo chìa khóa công cộng. Chìa khóa cá nhân này đợc lu ý là phải giữ bí mật, không đợc san sẻ với bất cứ ai. Bây giờ thì Alice đã có chứng nhận kỷ thuật số, Bob có thể gởi cho cô những thông tin quan trọng đợc số hóa. Bob có thể xác nhận với cô là thông điệp đó xuất phát từ anh ta cũng nh đợc bảo đảm rằng nội dung thông điệp không bị thay đổi và không có ai khác ngoài Alice đọc nó. Diễn biến thực tế không phải mất nhiều thời gian nh những giải thích trên, phần mềm tại máy trạm của Bob tạo ra một chữ ký điện tử và mã hóa thông điệp có chứa chữ ký đó. Phần mềm sử dụng chìa khóa cá nhân của Bob để tạo ra chữ ký điện tử và dùng chìa khóa công cộng của Alice để mã hóa thông điệp. Khi Alice nhận đợc thông điệp đã đợc mã hóa có chữ ký của Bob, phần mềm sẽ dùng chìa khóa cá nhân của cô để giải mã thông điệp. Vì chỉ có duy nhất chìa khóa cá nhân của Alice mới có thể giải mã thông điệp đã đ ợc mã hóa bằng chìa khóa công cộng của cô, cho nên độ tin cậy của thông tin hoàn toàn đợc bảo đảm. Sau đó, phần mềm dùng chìa khóa công cộng của Bob xác minh chữ ký điện tử, để đảm bảo rằng chính Bob đã gởi thông điệp đi, và thông tin không bị xâm phạm trên đờng di chuyển. Bob muốn chuyển một th điện tử đến cho Alice, với yêu cầu rằng giao dịch phải chứng minh đợc chính anh đã gửi nó đi và nội dung bức th không bị thay đổi. Phần mềm PKI dùng chìa khóa cá nhân của Bob tạo ra một chữ ký điện tử cho bức th. Bob muốn chắc chắn rằng không ai ngoài Alice đọc đợc bức th này. Phần mềm PKI của Bob dùng chìa khóa công cộng của Alice để mã hóa thông điệp của Bob. Alice muốn đọc th do Bob gởi Phần mềm PKI dùng chìa khóa cá nhân của Alice để để giải mã thông điệp. Alice muốn kiểm chứng rằng chính Bob đã gởi đi thông điệp đó và nội dung thông điệp không bị chỉnh sửa. Phần mềm PKI của Alice dùng chìa khóa công cộng của Bob để kiểm chứng chữ ký điện tử của anh ta. 4. Mô hình bảo an trong hệ thống mạng không dây Các thành phần cơ bản trong hệ thống: Học viện Công nghệ BCVT Hội nghị Khoa học lần thứ 5 Các thiết bị client: điện thoại di động, PDA, . Middleware: ACE/Agents, Keon Agents, Wireless RA, Servers: CA, Centralized Authorization, Personalization Systems Mô hình hệ thống xác thực ngời dùng: Mô hình bảo an sử dụng WPKI: Sơ đồ mô hình một phiên giao dịch của hệ thống: Mô tả phiên giao dịch: 1. Ngời sử dụng nhập các yêu cầu của mình trên một form đợc lập sẵn 2. Đồng thời, khách hàng sẽ đợc yêu cầu nhập Cert URL và PIN code của mình 3. Sau khi nhập các thông số cần thiết, ngời sử dụng ấn Submit để gửi các thông tin nh yêu cầu của ngời dùng, Cert URL, . đến WAP Gateway 4. WAP Gateway gửi các thông tin thẩm tra ngời dùng đến Máy chủ quản lý thông tin xác thực ngời dùng 5,6. Máy chủ quản lý thông tin xác thức ngời dùng sẽ thực hiện tra cứu trong cơ sở dữ liệu và sau đó gửi tra lại thông tin xác thực 7. Thông tin về chứng chỉ đã đợc thẩm tra sau đó đợc gửi trở lại WAP Gateway Học viện Công nghệ BCVT Lĩnh vực Công nghệ thông tin 8. Sau khi chứng chỉ đợc thẩm tra, WAP Gateway gửi Cert URL đến máy chủ cung cấp dịch vụ, nh trong mô hình trên là Banking Server 9,10,11,12: Quá trình diễn ra nh 4,5,6,7 13,14: Banking Server gửi ACK về WAP Gateway và WAP Gateway gửi ACK về thiết bị của ngời sử dụng 15. Sau khi nhận đợc thông tin trên, khách hàng sẽ đợc yêu cầu nhập tên ngời dùng và số tiền cần giao dịch 16. Để thực hiện giao dịch, khách hàng đợc yêu cầu nhập chữ ký điện tử và PIN code của mình 17,18. Giao dịch và chữ ký điện tử đợc mã hoá và sau đó gửi đến WAP Gateway và tiếp theo là gửi đến Banking Server 19. Do quá trình xác thực đã đợc thực thi từ trớc, nên sau khi giải mã, giao dịch sẽ đợc thực hiện ngay 20. Thông tin giao dịch đợc hoàn thành đợc gửi trở về WAP Gateway 21. Hiển thị trên thiết bị client những thông báo về việc kết thúc giao dịch. Các trạm làm việc trong một phiên giao dịch: Điện thoại: nói một cách tổng quát, đây là vị trí của các thiết bị không dây client, đợc hỗ trợ công nghệ WAP nh các điện thoại di động thế hệ mới, các thiết bị PDA, Ngoài ra, để thực hiện những giao dịch với những yêu cầu bảo mật của WPKI, các thông số nh Private key, Cert URL của khách hàng sẽ đợc lu trong SIM WAP Gateway: là một máy chủ sử dụng hệ điều hành Linux và phần mềm WAP Gateway; đóng vai trò chung gian giữa mạng di động và mạng Internet Banking Server: nói một cách rộng hơn, tại đây là các máy chủ cung cấp dịch vụ cho ngời dùng Server xác thực ngời dùng: đợc sử dụng nhằm mục đích thực hiện nhiệm vụ tra cứu thông tin về ngời dùng trong hệ thống cơ sở dữ liệu về ngời dùng. Trong tơng lai, nhu cầu về số lợng cũng nh chất lợng của các dịch vụ viễn thông sẽ ngày càng cao. Việc từng bớc cung cấp các dịch vụ thơng mại thông qua các thiết bị di động là rất cần thiết. Vì vậy, ngay từ bây giờ, cần phải có những sự đầu t thích đáng và nghiêm túc về tài chính cũng nh thời gian để thực hiện việc nghiên cứu các công nghệ bảo mật, điển hình là WPKI, cho M-commerce nhằm tạo dựng một nền tảng vững chắc cho các dịch vụ sau này. WPKI hoàn toàn phù hợp trong các mô hình thơng mại điện tử, với các dịch vụ: B-C (Business to Consumer): Mobile banking, Mobile retailing, Mobile stockbroking, Mobile auction, Mobile ticketing, Mobile advertising, Short Message Service, . B-E (Business to Employee): Mobile scheduling, Mobile PIM, Mobile email, Mobile learning, Mobile intranet access, Document Retrieval and Management, . B-B (Business to Business): Mobile Application Service Provider, Mobile CRM, Mobile ERP, industry-specific application, Với nền tảng là hệ thống Infogate và các dịch vụ gia tăng hiện có trên Infogate; hệ thống Payment Gateway và các cổng thanh toán trực tuyến, CDIT đã thực hiện phát triển thử nghiệm việc bảo mật cho một số dịch vụ m-commerce nh: tra cứu tài khoản, đặt vé máy bay và mua hàng qua các thiết bị di động và đã thu đợc một số kết quả nhất định. Điều đó cho Học viện Công nghệ BCVT Hội nghị Khoa học lần thứ 5 thấy, việc xây dựng các ứng dụng m-commerce cùng với sự an toàn và chắc chắn của WPKI là không khó. Vấn đề là cần phải đầu t thời gian và công sức. Cuối cùng, có thể thấy rằng, việc nghiên cứu các công nghệ bảo mật di động nói chung, và nghiên cứu các công nghệ WPKI nói riêng là thật sự cần thiết nhằm mục đích đa dạng hoá các dịch vụ viễn thông, tạo ra sức mạnh với mục tiêu đáp ứng nhu cầu hội nhập và cạnh tranh của ngành viễn thông. Học viện Công nghệ BCVT . Lĩnh vực Công nghệ thông tin WPKI - Công nghệ bảo mật của tơng lai KS.Nguyễn Việt Anh Trung tâm Công nghệ thông tin Tóm tắt: Ngành công nghiệp phần. thời gian và công sức. Cuối cùng, có thể thấy rằng, việc nghiên cứu các công nghệ bảo mật di động nói chung, và nghiên cứu các công nghệ WPKI nói riêng