Cũng giống như thương mại điện tử, việc thanh toán và đảm bảo an toàn cho hệ thống là vấn đề hết sức quan trọng. Nếu chúng ta không xây dựng được một hệ
thống trao đổi thông tin thương mại với những cơ chế bảo mật khắt khe cùng với các giao dịch tài chính an toàn, thì mọi dịch vụ trên nền hệ thống thương mại điện tử dựa trên thiết bị di động sẽ không thể phát triển, do khách hàng không thể tin tưởng khi tham gia sử dụng dịch vụ. Đứng trên khía cạnh công nghệ, thương mại điện tử dựa trên thiết bị di động sử dụng môi trường truyền thông là các mạng di động vốn đã chứa rất nhiều nguy cơ an ninh so với mô hình thương mại điện tử thông thường sử dụng cơ sở
mạng truyền thống (over wired networks). Chúng tôi xin đưa ra vài nguyên nhân cơ
bản:
Sự minh bạch và tính tin cậy: Các sóng mang dùng trong các mạng di động dễ bị giảm chất lượng và bị làm nhiễu, đây là vấn đề ảnh hưởng tới sự an toàn truyền thông. Sự tác động thường xuyên từ các yếu tố bên ngoài đến môi trường truyền sóng mạng, làm cho nguy có đứt kết nối xẩy ra rất thường xuyên.
Sự tin cẩn và tính riêng tư: việc phát đại chúng một cách tự nhiên của sóng mạng mang thông tin nhậy cẩm khiến chúng rất dễ bị khai thác. Do đó, thông tin dễ bị
lấy trộm hoặc làm sai lệch nếu không có một cơ chế mã hoá với độ an toàn cao.
Vấn đề xác thực: do đặc tính di động của các thiết bịđầu cuối, chúng ta sẽ rất khó đểđịnh vị và xác thực tính hợp lệ của các thiết bị này.
Năng lực: Thiết bị di động thường bị hạn chế về khả năng và tốc độ tính toán, dung lượng bộ nhớ, băng thông truyền thông, và nguồn năng lượng (thời gian dùng pin). Đây sẽ là một khó khăn lớn cho việc thi hành các giải pháp mã hoá với độ an toàn cao, mã hoá 256-bit.
Ngô Văn Thứ, Đào Quốc Trung, K46, Trường Đại học Công nghệ. ĐHQG Hà Nội Trang 51
Việc áp dụng các cơ chế bảo mật trong các hệ thống thương mại điện tử dựa trên thiết bị di động có ở hầu hết quá trình và thành phần hệ thống. Các cơ chếđó tồn tại trong mọi tầng của giao thức mạng, ở các tầng thiết bị và thậm chí còn được đặt ra cho con người. Tuy vậy, chúng ta chỉ xem xét vấn đề ở góc độ công nghệ mạng di
động. Sẽ không khả thi nếu chúng ta đưa ra ý tưởng xây dựng một cơ chế bảo mật
đồng nhất cho mọi mạng không dây, bởi vì mỗi công nghệ mạng di động đòi hỏi một giải pháp bảo mật phù hợp. Chúng ta sẽ xem xét các giải pháp cho các công nghệ: WAP, GSM, Wi-Fi, và Bluetooth.
Bảo mật cho WAP
Đối với công nghệ WAP, cơ chế bảo mật được cung cấp thông qua giao thức WTLS (Wireless Transport Layer Security) đối với WAP 1.0 và giao thức IETF (Transport Layer Security ) đối với WAP 2.0. Chúng sẽ cung cấp các dịch vụđảm bảo tính tường minh, riêng tư và cơ chế xác thực quyền sử dụng. Với đặc tính đảm bảo sự
tường minh của dữ liệu, nội dung thông điệp sẽ không thay đổi trong suốt quá trình truyền thông. Thông tin cá nhân được đảm bảo để chỉ có duy nhất chủ nhân của thông tin đó, sau khi đã được xác thực, mới có thể đọc. Việc xác thực quyền sử dụng hệ
thống là quá trình kiểm tra tính đúng đắn và hợp lệ của người dùng hệ thống. Có một vấn đề về bảo mật đã phát sinh, người ta gọi nó với tên "WAP gap", bởi vì nó xảy ra tại phiên làm việc của Wap Gateway. Cụ thể là một thông điệp mã hoá được chuyển tới WAP Gateway từ người dùng cuối có thể trở thành thông điệp rỗng khi đưa vào xử
lí bởi WAP Gateway. Một giải pháp được đưa ra là giới hạn WAP Gateway trong phạm vi mạng của công ty (server của công ty), nơi mà các nguy cơ an ninh được giảm thiểu tối đa.
Bảo mật cho GSM
GSM dùng SIM (The Subscriber Identity Module) làm thiết bị gắn với người dùng cuối. SIM chứa thông tin xác thực người sử dụng như mã số bí mật PINs. Nó thường được cấu tạo giống như một thẻ thông minh chứa các đơn vị xử lí và các chip nhớ. Trong công nghệ GSM, tin nhắn SMS được lưu trữ trong SIM, và các cuộc gọi cũng được chuyển trực tiếp đến SIM thay vì tới điện thoại. Điều này cho phép người sử dụng công nghệ GSM có thể trao đổi thiết bị đầu cuối mà vẫn giữđược hầu hết các thông tin cá nhân trong SIM. Như vậy, chính cơ chế của GSM cũng làm cho việc bảo
Ngô Văn Thứ, Đào Quốc Trung, K46, Trường Đại học Công nghệ. ĐHQG Hà Nội Trang 52
thể làm được nhiều việc hơn ngay cả việc mã hoá tin nhắn SMS trong SIM trước khi gửi vào không gian truyền thông.
Bảo mật cho mạng không dây
Vấn đề bảo mật cho chuẩn không dây IEEE 802.11 WLAN được thực hiện tại tầng liên kết dữ liệu của giao thức mạng với tên gọi WEP (Wired Equivalent Privacy). Khi cơ chế này hoạt động, mỗi thiết bị đầu cuối tham gia truyền thông sẽ có một khoá bí mật được cấp bởi các trạm phát cơ bản. Thuật toán mã hoá dùng trong WEP dựa trên chuẩn RC4. Tuy nhiên, với cơ chế mã hoá này, việc bẻ khoá đã được phổ cập từ
lâu. Người ta đang hy vọng, với chuẩn 802.11i, một bộđệm bảo mật sẽđược thiết lập
để thực hiện các giải pháp bảo mật.
Bảo mật cho Bluetooth
Bluetooth được đảm bảo an ninh bằng cơ chế sử dụng khoá bí mật dùng chung giữa chủ thể và khách thể tham gia truyển thông. Một kênh truyền thông có mã hoá dữ
liệu sẽđược thiết lập.
2.2.3.2. Việc thanh toán
Phát triển bởi Visa International và MasterCard International, giao thức giao dịch điện tử an toàn (Secure Electronic Transaction protocol: SET; http://www.setco.org) đã trở thành chuẩn toàn cầu trong lĩnh vực giao dịch thanh toán cho các hệ thống thương mại điện tử qua Internet. Đó là công nghệ chuẩn được thiết kế để cung cấp dịch vụ bảo mật cho các giao dịch thanh toán giữa những chủ thẻ tín dụng, thương gia, các cổng thanh toán, và các yêu cầu chứng thực trong mạng máy tính. Cơ chế của giao thức SET khá phức tạp và thường được dùng trong các máy tính, máy chủ. Trong các hệ thống thương mại điện tử dựa trên thiết bị di động, một thiết bị đầu cuối dùng trình khách WAP thường không có đủ tài nguyên, tốc độ xử lí và dụng lượng bộ nhớ để cài thực thi phần mềm SET. Do vậy, người ta đã cải tiến giao thức SET trở thành một giao thức "SET wallet” (Jin, Ren, Feng, & Hua et al., 2002) dùng cho trình khách WAP.
Với giao thức SET mới (SET wallet ), hầu hết các chức năng phức tạp, yêu cầu tài nguyên phần cứng lớn đều được tập hợp vào một máy chủ gọi là “wallet server”. Để hỗ trợ việc thanh toán thông qua SET, một trình khách WAP sẽ được cài giao thức bảo mật SET rút gọn và cho kết nối với một “wallet server”. Khi có một yêu
Ngô Văn Thứ, Đào Quốc Trung, K46, Trường Đại học Công nghệ. ĐHQG Hà Nội Trang 53
cầu giao dịch bảo mật xuất hiện từ phía giao thức SET thu gọn, yêu cầu đó sẽđược xử
lí thô và đưa tới “wallet server” và mọi xử lý được thực thi tại đó.
Các tế bào điều khiển hệ thống mạng đi động có những ưu điểm tốt và có thể
sử dụng vào các hệ thống dịch vụ thanh toán cho thương mại điện tử dựa trên thiết bị
di động. Bản thân các hệ thống tế bào điều khiển này đã chứa một cơ sở hạ tầng dịch vụ có thể thực hiện việc xác thực và thanh toán ở mức thấp, SIM trong thiết bị đầu cuối sử dụng công nghệ di động GSM là một ví dụ điển hình. Theo đó, bản thân hệ
thống dùng SIM đã có các dịch vụ xác thực, tính toán cước phí sử dụng dịch vụ, chi trả
cho các cuộc gọi, nhắn tin, hòm thư trả lời tự động...Dịch vụ i-Mode cũng sử dụng hình thức này.
Một hướng tiếp cận mới là giải pháp “dual-chip”. Giải pháp này sử dụng thẻ
thông minh với khoá mã hoá WIM (Wireless Identity Module ). Đây là hình thức xác thực bổ trợ cho các dịch vụ bảo mật của WAP. WIM có thể là một phần của SIM thông minh sử dụng bởi hệ thống tế bào điều khiển mạng đi động, hoặc nó cũng có thể được cung cấp bởi một bên cung cấp dịch vụ độc lập như ngân hàng hoặc các viện nghiên cứu tài chính. Máy cầm tay Motorola's Star Tac Dual Slot có thể đọc các thẻ
WIM theo chuẩn nhất định do bên thứ 3 cung cấp.
Sau đây ta xem xét sơ qua một số hệ thống thanh toán di động lớn đã được phát triển:
Mobey Forum (http://www.mobeyforum.org/): Với sự hợp tác của rất nhiều viện nghiên cứu về tài chính, ngân hàng và các nhà sản xuất thiết bị di động. Nhiệm vụ
của Mobey Forum là đẩy mạnh việc sử dụng công nghệ di động vào các dịch vụ liên quan tới tài chính, tiền tệ.
Mobile Payment Forum (http://www.mobilepaymentforum.org/): được hậu thuẫn bởi các công ty thẻ tín dụng lớn như American Express, MasterCard International, và Visa International. Mobile Payment Forum phát triển một chuẩn framework độc lập, đáng tin cậy, và có thể xác thực giao dịch từ các hệ thống thương mại điện tử dựa trên thiết bị di động sử dụng tài khoản thẻ tín dụng.
Mobile electronic Transactions Ltd: hậu thuẫn bởi các nhà sản xuất thiết bị
cầm tay lớn gồm Ericsson, NEC, Nokia, Panasonic, Siemens, và Sony Ericsson. MeT's hướng tới giải pháp an toàn để thanh toán và giao dịch với mô hình thương mại điện tử
Ngô Văn Thứ, Đào Quốc Trung, K46, Trường Đại học Công nghệ. ĐHQG Hà Nội Trang 54
dựa trên thiết bị di động trên cơ sở sử dụng các cơ sở hạ tầng và công nghệ hiện có như WAP