Lĩnh vực Công nghệ thông tin
WPKI - Công nghệ bảo mật của tơng lai
KS.Nguyễn Việt Anh
Trung tâm Công nghệ thông tin
Tóm tắt: Ngành công nghiệp phần mềm đang đi vào một thị trờng mới đòi hỏi một sự cân
nhắc trong đầu t. Các vấn đề cần xem xét bao gồm: phơng pháp phát triển các phần mềm
đáp ứng nhu cầu thị trờng; các bớc thay đổi và bổ sung nào sẽ là cần thiết để tạo ra các sản
phẩm nhằm đa vào thị trờng; và các sản phẩm này sẽ đợc hỗ trợ những gì; và quan trọng
nhất là hiệu quả cuối cùng trên thị trờng sẽ là thế nào?
Với tốc độ phát triển của các dịch vụ thơng mại internet nhanh nh hiện nay, các công
nghệ hiện tại đang dần bị lỗi thời trong việc đảm bảo an toàn cho các giao dịch ngân hàng,
tiền tệ. Do vậy cần phải có những biện pháp thay thể kịp thời nhằm khắc phục những yếu
điểm trong các giao thức đảm bảo an ninh.
Ngày nay, ở nớc ta, các hệ thống thơng mai điện tử cũng đang phát triển một cách vô
cùng mạnh mẽ. Chỉ trong một thời gian ngắn, rất nhiều hệ thống thơng mại điện tử nh thanh
toán trực tuyến, mua bán trực tuyến, ... đã đợc đa vào áp dụng. Chính điều đó đã tạo nên
một nền tảng cho các hệ thống M-commerce.
Có đợc những sự phát triển mạng mẽ đó, một phần là do những nhu cầu về vấn đề
bảo an thơng mại điện tử đã phần nào đợc đáp ứng. Tuy nhiên, đối với một lĩnh vực mới nh
M-commerce, việc từng bớc nghiên cứu và áp dụng các công nghệ bảo an là thật sự cần
thiết.
1. M- Commerce là gì ?
Trong thế giới ngày nay, sự tiến bộ của công nghệ thông tin đã liên tiếp cho ra đời
những khái niệm mới với tốc độ ứng dụng vào cuộc sống nhanh đến không ngờ. Nếu nh chỉ
vài năm trớc đây, ngời ta mới làm quen với khái niệm e-commerce (thơng mại điện tử) thì
hiện nay, m-commerce đã là một khái niệm đang dần dần xã hội hoá.
M-commerce, viết tắt của mobile commerce, là phơng thức thơng mại đợc tiến hành
thông qua các thiết bị di động đều có đặc tính chung là không cần dây dẫn (vô tuyến), kích
thớc nhỏ gọn và luôn đi cùng với một cá nhân nào đó. Điều đó cũng có nghĩa là m-commerce
có thể tiến hành ở bất kỳ đâu, vào bất kỳ lúc nào mà không cần đến trang thiết bị cố định nh
máy vi tính, modem, đờng dây điện thoại ... Đây chính là điểm u việt rõ nét nhất của m-

commerce.
Dới đây là một vài hoạt động sơ khai của m-commerce. Đó là khi nhận đợc những tin
nhắn (SMS) trên điện thoại di động quảng cáo về một sản phẩm dịch vụ nào đó. Với những
chiếc điện thoại di động thế hệ thứ II nh đang sử dụng ở VN hiện nay, các nhà cung cấp cha
thể cung cấp các dịch vụ mạng mẽ hơn. Nhng trong tơng lai gần, khi WAP và điện thoại di
động thế hệ thứ 3 (3G) đợc sử dụng đại trà, việc xem hàng, đặt hàng, mặc cả, thanh toán tất
cả đều từ chiếc máy xinh xinh trong tay bạn sẽ là chuyện quá dễ dàng.
Nhng các nhà công nghệ còn tiến xa hơn thế. Tại Nhật, hãng viễn thông hàng đầu
NTT DoCoMo đã đi tiên phong trong việc cung cấp dịch vụ iMode. Với dịch vụ này, ngời
dùng có thể xem tin tức, mua bán, trao đổi cổ phiếu, tham gia các câu lạc bộ trên mạng v.v...
Đúng nh một chuyên gia đã nói, dịch vụ này đã "đặt Internet vào túi của mọi ngời". Hiện tại,
chi phí để sử dụng dịch vụ này là khoảng 80 USD/tháng hoặc lớn hơn 25% so với sử dụng
điện thoại di động thông thờng.
Học viện Công nghệ BCVT
Hội nghị Khoa học lần thứ 5
Microsoft và một số nhà sản xuất khác cũng đa ra thị trờng các loại thiết bị hỗ trợ cá
nhân kỹ thuật số (PDA). Đây là loại máy tính rất nhỏ, nhẹ chuyên dùng cho việc truy cập
mạng. Ngoài ra, nó cũng làm nhiệm vụ nh một quyển sổ điện tử: lên lịch làm việc, nhắc nhở
các sự kiện, lu trữ dữ liệu, ...
Dự kiến doanh thu từ m-comerce sẽ là 55,4 tỷ USD vào năm 2003 so với 12,7 tỷ USD
hiện nay. Tuy nhiên để có thể thu hút nhiều hơn nữa ngời dùng đến dịch vụ này, các thiết bị
di động cần phải cải tiến để tạo thuận lợi hơn nữa cho ngời dùng. Giá cả của dịch vụ cũng là
điều cần phải bàn, đặc biệt là ở các nớc đang phát triển. Và cuối cùng, sự quan tâm của các
cơ quan Nhà nớc để tạo hành lang pháp lý và tuyên truyền là một điều kiện không thể thiếu
để m-commerce có thể phát triển.
2. Sau E-Commerce sẽ là M-Commerce
Hiện nay, một số lợng lớn điện thoại di động trên thế giới đã đợc kết nối vào Web để
gửi, nhận email, hay để xem các thông tin về thời tiết, giá cổ phiếu, thông tin thể thao hay du
lịch... Và trong tơng lai không xa, những chiếc điện thoại dị động này sẽ trở thành các thiết
bị có thể kiểm tra bất kỳ các loại thông tin dạng số nào của việc mua bán ảo: vé xem phim,

đồ uống hay các bữa ăn cùng bạn bè. Tất nhiên sẽ phải mất khoảng vài năm để thơng mại
bằng điện thoại di động đóng một vai trò quan trọng trong đời sống. Nhng khi điều đó xảy ra,
thì thị trờng thơng mại di động m- commerce sẽ rất phát triển.
3. Giới thiệu về PKI
Hạ tầng khoá công cộng (Public Key Infrastructure - PKI) là nền tảng cho các dịch vụ
bảo mật đảm bảo cho thơng mại điện tử (e-commerce) và các ứng dụng trên mạng
Internet/Intranet phát triển một cách hoàn chỉnh, tin cậy và khoẻ mạnh (robust). Với sự gia
tăng của Internet, bảo mật và an toàn thông tin, đặc biệt là thanh toán điện tử (e-payment) đã
trở thành thành phần không thể thiếu đợc của thơng mại điện tử, chính phủ điện tử (e-
government) cũng tơng tự nh các vấn đề của hạ tầng truyền thông và công nghệ.
Để hiểu đợc yêu cầu và các đòi hỏi của PKI, chúng ta cần biết một số kiến thức sơ lợc
về khoá mật mã công cộng. Hệ thống này xây dựng trên cơ sở một cặp khoá mã có liên hệ
toán học với nhau trong đó một khoá sử dụng để mã hoá thông điệp và chỉ có khoá kia mới
giải mã đợc thông điệp và ngợc lại. Khi đó chúng ta có thể công khai hoá một khoá trong cặp
khoá này. Nếu ai cần gửi cho chúng ta các thông điệp bảo đảm, họ sẽ có thể sử dụng khoá đã
đợc cung cấp công khai này để mã hoá thông điệp trớc khi gửi đi và bởi vì chúng ta đã giữ bí
mật khoá mã còn lại nên chỉ chúng ta mới có thể giải mã đợc thông điệp bảo đảm đó.
Cặp khoá này còn dùng để xác nhận thông điệp. Ngời gửi sẽ tạo một đoạn mã băm
(hash) của thông điệp - một dạng rút gọn của thông điệp nguyên bản - với một số thuật toán
(ví dụ nh MD5, SHA-1...). Ngời gửi sẽ mã hoá đoạn mã băm bằng khoá riêng của mình và
ngời nhận sẽ dùng khoá công cộng của ngời gửi để giai đoạn mã băm của ngời gửi, sau đó so
sánh với đoạn mã băm của thông điệp nhận đợc (đợc tạo bằng cùng một thuật toán). Nếu
trùng nhau thì ngời nhận có thể tin rằng thông điệp nhận đợc không bị thay đổi trong quá
trình truyền tải trên mạng và xuất phát từ ngời gửi xác định. Cách thực hiện này đợc gọi là
chữ ký điện tử. Nhng cần nhắc lại là chung ta yêu cầu không chỉ chữ ký - chúng ta cần một
thẻ hội viên điện tử. Chính vì thế mà xuất hiện khái niệm giấy chứng nhận điện tử. Một
chứng nhận điện tử gắn tên của hội viên hay thiết bị với một cặp khoá, tơng tự nh thẻ hội viên
gắn tên của hội viên với chữ ký và ảnh của họ. ể đảm bảo giấy chứng nhận là hợp lệ, chúng ta
thờng yêu cầu giấy chứng nhận phải đợc cấp do một tổ chức tin cậy. ối với giấy chứng nhận
điện tử, tổ chức này đợc gọi là hệ thống cung cấp chứng nhận (Ca-Certification Autbority).

Học viện Công nghệ BCVT
Lĩnh vực Công nghệ thông tin
Vậy PKI hoạt động nh thế nào?
Bob và Alice muốn liên lạc với nhau qua Internet, dùng PKI để chắc chắc rằng thông
tin trao đổi giữa họ đợc bảo mật. Bob đã có chứng nhận kỷ thuật số, nhng Alice thì cha. Để
có nó, cô phải chứng minh đợc với Tổ chức cấp giấy chứng nhận cô thực sự là Alice. Một khi
các thông số nhận dạng của Alice đã đợc Tổ chức thông qua, họ sẽ phát hành cho cô một
chứng nhận kỹ thuật số. Chứng nhận điện tử này có giá trị thực sự, giống nh tấm hộ chiếu
vậy, nó đại diện cho Alice. Nó gồm có những chi tiết nhận dạng Alice, một bản sao chìa
khóa công cộng của cô và thời hạn của giấy chứng nhận cũng nh chữ ký kỹ thuật số của Tổ
chức chứng nhận. Alice cũng nhận đợc chìa khóa cá nhân kèm theo chìa khóa công cộng.
Chìa khóa cá nhân này đợc lu ý là phải giữ bí mật, không đợc san sẻ với bất cứ ai.
Bây giờ thì Alice đã có chứng nhận kỷ thuật số, Bob có thể gởi cho cô những thông
tin quan trọng đợc số hóa. Bob có thể xác nhận với cô là thông điệp đó xuất phát từ anh ta
cũng nh đợc bảo đảm rằng nội dung thông điệp không bị thay đổi và không có ai khác ngoài
Alice đọc nó.
Diễn biến thực tế không phải mất nhiều thời gian nh những giải thích trên, phần mềm
tại máy trạm của Bob tạo ra một chữ ký điện tử và mã hóa thông điệp có chứa chữ ký đó.
Phần mềm sử dụng chìa khóa cá nhân của Bob để tạo ra chữ ký điện tử và dùng chìa khóa
công cộng của Alice để mã hóa thông điệp. Khi Alice nhận đợc thông điệp đã đợc mã hóa có
chữ ký của Bob, phần mềm sẽ dùng chìa khóa cá nhân của cô để giải mã thông điệp. Vì chỉ
có duy nhất chìa khóa cá nhân của Alice mới có thể giải mã thông điệp đã đ ợc mã hóa bằng
chìa khóa công cộng của cô, cho nên độ tin cậy của thông tin hoàn toàn đợc bảo đảm. Sau đó,
phần mềm dùng chìa khóa công cộng của Bob xác minh chữ ký điện tử, để đảm bảo rằng
chính Bob đã gởi thông điệp đi, và thông tin không bị xâm phạm trên đờng di chuyển.
Bob muốn chuyển một th điện tử đến cho Alice, với yêu cầu rằng giao dịch phải
chứng minh đợc chính anh đã gửi nó đi và nội dung bức th không bị thay đổi. Phần mềm PKI
dùng chìa khóa cá nhân của Bob tạo ra một chữ ký điện tử cho bức th.
Bob muốn chắc chắn rằng không ai ngoài Alice đọc đợc bức th này. Phần mềm PKI
của Bob dùng chìa khóa công cộng của Alice để mã hóa thông điệp của Bob.

Alice muốn đọc th do Bob gởi Phần mềm PKI dùng chìa khóa cá nhân của Alice để để giải
mã thông điệp.
Alice muốn kiểm chứng rằng chính Bob đã gởi đi thông điệp đó và nội dung thông
điệp không bị chỉnh sửa. Phần mềm PKI của Alice dùng chìa khóa công cộng của Bob để
kiểm chứng chữ ký điện tử của anh ta.
4. Mô hình bảo an trong hệ thống mạng không dây
Các thành phần cơ bản trong hệ thống:
Học viện Công nghệ BCVT
Hội nghị Khoa học lần thứ 5
Các thiết bị client: điện thoại di động, PDA, ...
Middleware: ACE/Agents, Keon Agents, Wireless RA, ..
Servers: CA, Centralized Authorization, Personalization Systems
Mô hình hệ thống xác thực ngời dùng:
Mô hình bảo an sử dụng WPKI:
Sơ đồ mô hình một phiên giao dịch của hệ thống:
Mô tả phiên giao dịch:
1. Ngời sử dụng nhập các yêu cầu của mình trên một form đợc lập sẵn
2. Đồng thời, khách hàng sẽ đợc yêu cầu nhập Cert URL và PIN code của mình
3. Sau khi nhập các thông số cần thiết, ngời sử dụng ấn Submit để gửi các thông tin nh
yêu cầu của ngời dùng, Cert URL, ... đến WAP Gateway
4. WAP Gateway gửi các thông tin thẩm tra ngời dùng đến Máy chủ quản lý thông tin
xác thực ngời dùng
5,6. Máy chủ quản lý thông tin xác thức ngời dùng sẽ thực hiện tra cứu trong cơ sở dữ
liệu và sau đó gửi tra lại thông tin xác thực
7. Thông tin về chứng chỉ đã đợc thẩm tra sau đó đợc gửi trở lại WAP Gateway
Học viện Công nghệ BCVT
Lĩnh vực Công nghệ thông tin
8. Sau khi chứng chỉ đợc thẩm tra, WAP Gateway gửi Cert URL đến máy chủ cung cấp
dịch vụ, nh trong mô hình trên là Banking Server
9,10,11,12: Quá trình diễn ra nh 4,5,6,7

13,14: Banking Server gửi ACK về WAP Gateway và WAP Gateway gửi ACK về thiết bị
của ngời sử dụng
15. Sau khi nhận đợc thông tin trên, khách hàng sẽ đợc yêu cầu nhập tên ngời dùng và số
tiền cần giao dịch
16. Để thực hiện giao dịch, khách hàng đợc yêu cầu nhập chữ ký điện tử và PIN code của
mình
17,18. Giao dịch và chữ ký điện tử đợc mã hoá và sau đó gửi đến WAP Gateway và tiếp
theo là gửi đến Banking Server
19. Do quá trình xác thực đã đợc thực thi từ trớc, nên sau khi giải mã, giao dịch sẽ đợc
thực hiện ngay
20. Thông tin giao dịch đợc hoàn thành đợc gửi trở về WAP Gateway
21. Hiển thị trên thiết bị client những thông báo về việc kết thúc giao dịch.
Các trạm làm việc trong một phiên giao dịch:
Điện thoại: nói một cách tổng quát, đây là vị trí của các thiết bị không dây client, đợc hỗ
trợ công nghệ WAP nh các điện thoại di động thế hệ mới, các thiết bị PDA, .... Ngoài ra,
để thực hiện những giao dịch với những yêu cầu bảo mật của WPKI, các thông số nh
Private key, Cert URL của khách hàng sẽ đợc lu trong SIM
WAP Gateway: là một máy chủ sử dụng hệ điều hành Linux và phần mềm WAP
Gateway; đóng vai trò chung gian giữa mạng di động và mạng Internet
Banking Server: nói một cách rộng hơn, tại đây là các máy chủ cung cấp dịch vụ cho ngời
dùng
Server xác thực ngời dùng: đợc sử dụng nhằm mục đích thực hiện nhiệm vụ tra cứu thông
tin về ngời dùng trong hệ thống cơ sở dữ liệu về ngời dùng.
Trong tơng lai, nhu cầu về số lợng cũng nh chất lợng của các dịch vụ viễn thông sẽ ngày
càng cao. Việc từng bớc cung cấp các dịch vụ thơng mại thông qua các thiết bị di động là rất
cần thiết. Vì vậy, ngay từ bây giờ, cần phải có những sự đầu t thích đáng và nghiêm túc về tài
chính cũng nh thời gian để thực hiện việc nghiên cứu các công nghệ bảo mật, điển hình là
WPKI, cho M-commerce nhằm tạo dựng một nền tảng vững chắc cho các dịch vụ sau này.
WPKI hoàn toàn phù hợp trong các mô hình thơng mại điện tử, với các dịch vụ:
B-C (Business to Consumer): Mobile banking, Mobile retailing, Mobile stockbroking,

Mobile auction, Mobile ticketing, Mobile advertising, Short Message Service, ...
B-E (Business to Employee): Mobile scheduling, Mobile PIM, Mobile email, Mobile
learning, Mobile intranet access, Document Retrieval and Management, ...
B-B (Business to Business): Mobile Application Service Provider, Mobile CRM, Mobile
ERP, industry-specific application, ....
Với nền tảng là hệ thống Infogate và các dịch vụ gia tăng hiện có trên Infogate; hệ thống
Payment Gateway và các cổng thanh toán trực tuyến, CDIT đã thực hiện phát triển thử
nghiệm việc bảo mật cho một số dịch vụ m-commerce nh: tra cứu tài khoản, đặt vé máy bay
và mua hàng qua các thiết bị di động và đã thu đợc một số kết quả nhất định. Điều đó cho
Học viện Công nghệ BCVT