Nhà đầu tư muốn tra cứu thông tin về tài khoản và các giao dịch đã thực hiện của mình cần phải đăng ký sử dụng dịch vụ này tại công ty chứng khoán họ mở tài khoản. Tiếp đó, nhà đầu tư gửi tin nhắn SMS, để thu về các thông tin như tài khoản hiện có, các giao dịch đã thực hiện.
4.1.5 Sử dụng nền tảng bảo mật của SMS và cơ chế tin nhắn xác nhận Nền tảng bảo mật của SMS
Như ta đã nói ở phần cơ sở lý thuyết, hai thành phần quan trọng trong hệ thống dịch vụ tin nhắn SMS là trung tâm dịch vụ tin nhắn (SMSC) và điện thoại di động (mobile client)
• SMSC đóng vai trò trung tâm trong việc truyền phát và định hướng tin nhắn SMS. Mọi nhà cung cấp điện thoại đều có các giao thức riêng để giao tiếp với SMSC: - CMG – EMI/UCP - Nokia – CIMD - Sema – SMS2000 - Logica – SMPP - …
• Mobile client sử dụng SIM Toolkit, SIM Toolkit bao gồm:
- Module định danh thuê bao (SubscriberIdentityModule: SIM) là một thẻ thông minh (Smartcard) trong điện thoại.
- Một thư viện chuẩn cho việc quản lý từ xa của SIM thông qua các tin nhắn SMS.
• Các nguy cơ về bảo mật đối với dịch vụ SMS:
- Lỗi của SIM Toolkit: Lỗi trong SIM có thể gây ra các lỗi từ xa, ví dụ lỗi bảo vệ không thích đáng trong SIM có thể cho phép hiển thị các menu upload không có thật (bogus menu uploads).
- Tin nhắn rác (SMS Spam): các tin nhắn quảng cáo, các tin nhắn xuyên tạc…
- Tin nhắn giả mạo (SMS Spoofing): Tin nhắn không rõ nguồn gốc, với mục đích không tốt.
- Virus tin nhắn (SMS Virus): kịch bản là SMS được biên dịch bởi điện thoại và gửi lại bản thân nó tới tất cả các số điện thoại trong phonebook… Tuy nhiên đối với dịch vụ SMS của SI-SMS, sự mất an toàn đến từ các nguy cơ trên có thể coi là không xảy ra.
Cơ chế tin nhắn xác nhận
Mặc dù tính mất an toàn đến từ các nguy cơ kể trên có thể coi là không xảy ra, nhưng vấn đề bảo mật lại xảy ra từ phía cách thức sử dụng điện thoại của người dùng: người sử dụng dịch vụ nếu bị yêu cầu nhập mật khẩu trong điều kiện không hỗ trợ ký tự mật mã (vd ký tự ‘*’) thì hoàn toàn có thể bị người khác nhìn thấy. Nhưng nếu không cần mật khẩu của dịch vụ mà chỉ trông chờ vào việc hạn chế số điện thoại đăng ký cũng không an toàn khi bị mất điện thoại, hoặc người khác có thể mượn điện thoại. Do đó ứng dụng SI-SMS đã áp dụng mô hình tin nhắn xác thực của ngân hàng TMCP Techcombank trong dịch vụ thanh toán trực tuyến qua SMS. Mô hình này sẽ được nói cụ thể ở phần mô tả chức năng dịch vụ ở chương VI.
4.2 XÂY DỰNG ỨNG DỤNG SI-SMS