1 Definisi
WAP
adalah sebuah protocol atau sebuah teknik messaging service yang memungkinkan
sebuah hp digital atau terminal mobile yang mempunyai fasilitas WAP,
melihat/membaca isi sebuah situs di internet dalam sebuah format text khusus. Situs
internet ini harus merupakan situs dengan fasilitas WAP.
Teknologi
ini merupakan hasil kerjasama antar industri untuk membuat sebuah standar yang
terbuka (open standard) dan berbasis pada standar Internet, serta beberapa
protokol yang sudah dioptimasi untuk lingkungan wireless.
Teknologi
ini bekerja dalam modus teks dengan kecepatan sekitar 9,6 kbps. Belakangan juga
dikembangkan protokol GPRS yang memiliki beberapa kelebihan dibandingkan WAP.
Wireless
Application Protocol merupakan sebuah protocol pengembangan dari protocol
wireless data yang telah ada. Phone.com menciptakan sebuah versi standart HTML
(HyperText Markup Language) Internet protocol yang didisain khusus untuk
transfer informasi antar mobile network yang efisien. Terminal wireless dengan
HDML (Handheld Device Markup Language) microbrowser, dan Handheld Device
Transport Protocol (HDTP) dari Phone.com terhubung dengan UP.Link Server Suite
yang seterusnya terhubung ke Internet atau intranet dimana informasi yang
dibutuhkan berada. Teknologi inilah yang kemudian dikenal sebagai WAP.
2 Komponen
Komponen
Arsitektur WAP
Gambar : Komponen Arsitektur WAP
The WAP Model
Model
dari WAP ini tidak jauh beda dengan model world wide web (WWW) karena pada
dasarnya menggunakan standar komunikasi protocol pada WWW tersebut .
Prinsip
kerjanya adalah aliran data dari phones (client)/WAP protocol, akan mengirimkan
encode request. Protocol gateway akan mentranlasikan request dari WAP protocol
yang terdiri atas WSP, WTP, WTLS, dan WDP tersebut menuju WWW protocol (origin
server yaitu HTTP, TCP/IP ). Encode akan menyesuaikan format data dengan server
jaringan WWW yang dapat berupa CGI dan Script, kemudian server akan merespon
request tersebut dan mengirimkan kembali melalui protocol gateway untuk ditranlasikan
kembali menuju WAP client dalam hal ini adalah handphone.
Contoh Jaringan WAP
Gambar
1.3 : Contoh Jaringan WAP
Dalam
contoh ini, komunikasi WAP client memiliki dua server jaringan wireless, yaitu
terdiri atas WAP proxy yang berfungsi untuk mentranlasikan WAP request menuju
WWW request web server. Proxy ini juga merespon pengkodean dari web server
untuk menterjemahkan format biner sehingga dimengerti oleh client. Jika web
server mengirimkan data dalam format WML, WAP proxy akan langsung mengirimkan
ke media telepon selular, dan jika web server mengirimkan data berupa HTML,
akan disaring dahulu oleh HTML filter kemudian akan ditranlasikan menjadi file
WML sehingga akan dimengerti oleh WAP proxy dan
langsung dikirimkan menuju media telepon selular. Sedangkan WTA server (
wireless telephony application) adalah server gateway yang akan merespon
request dari WAP client secara langsung, misalnya digunakan dalam jaringan
telekomunikasi antar telepon.
3 Keamanan Internet Berbasis WAP
Akhir-akhir
ini, beberapa produsen handphone merilis produk mereka yang dilengkapi
fasilitas WAP (Wireless Application Protocol) atau Protokol Aplikasi Nirkabel.
Dengan adanya WAP, pengguna handphone dapat mengakses informasi dan
bertransaksi di Internet langsung dengan handphone. Sebagaimana akses Internet
dengan komputer biasa, akses dengan WAP ini juga memerlukan keamanan tinggi,
terutama untuk transaksi atau e-commerce.
Dalam bulan Juni 1999, Forum WAP secara formal menyetujui
WAP dengan menyertakan spesifikasi Wireless Transport Layer Security (WTLS)
yang menjelaskan keamanan Internet nirkabel. Saat ini WTLS telah memasuki pasar
e-commerce pada Internet nirkabel, seperti SSL (Secure Socket Layer) yang telah
diterima sebagai sistem keamanan untuk transaksi di Internet.
- KEAMANAN DI INTERNET
Langkah
pertama untuk memahami bagaimana model keamanan WAP bekerja adalah dengan
membahas cara kerja SSL dalam mengamankan e-commerce di Internet. SSL menjamin
bahwa data dijaga aman dan kecurangan transaksi dapat dicegah.
Ada empat
ciri yang berbeda tentang sistem yang aman, yaitu privacy (privasi), integrity
(integritas), otenticity (otentisitas), dan non-repudiation (tidak terjadi
penolakan). Privasi berarti meyakinkan bahwa hanya pengirin dan penerima pesan
yang dapat membaca isi pesan tersebut. Untuk memperoleh privasi, solusi
keamanan harus memastikan bahwa tidak ada seorang pun yang dapat melihat,
mengakses, atau menggunakan informasi privat ( seperti alamat, nomor kartu
kredit, dan nomor telepon) yang ditransmisikan melalui internet. Integritas
menjamin pendeteksian adanya perubahan isi pesan di antara waktu pengiriman dan
penerimaan. Sebagai contoh, ketika pengguna internet memberi instruksi kepada
bank untuk mentransfer Rp 10 juta dari suatu rekening ke rekening yang lain,
integritas memberi garansi bahwa nomor rekening dan jumlah yang ditulis tidak
dapat diubah tanpa validasi bank atau pemberitahuan pengguna. Bila pesan diubah
dengan cara apapun selama transmisi, sistem keamanan harus mampu mendeteksi dan
memberi laporan perubahan ini. Dalam berbagai sistem jika terdeteksi adanya
perubahan, sistem penerima akan meminta pesan dikirim ulang.
Otentikasi
memberi jaminan bahwa semua pelaku dalam komunikasi adalah otentik atau mereka
yang dapat di-klaim. Otentikasi server menyediakan aturan bagi pengguna untuk
melakukan verifikasi bahwa mereka benar-benar berkomunikasi dengan web-site
yang mereka yakini terkoneksi. Otentikasi client menjamin bahwa pengguna adalah
orang yang dapat di-klaim. Contoh otentikasi dalam dunia nyata adalah
menunjukkan KTP atau Passport untuk pengakuan identitas. Non-repudiation
menyediakan metode untuk menjamin bahwa tidak terjadi kesalahan dalam melakukan
klaim terhadap pihak yang melakukan transaksi. Dalam dunia nyata, tanda tangan
digunakan untuk menjamin non-repudiation, sehingga yang bersangkutan tidak
dapat mengelak. Ketika pelanggan berbelanja di supermarket, penunjukkan kartu
kredit menjamin identitas pelanggan (otentikasi), sedangkan tanda tangan pada
kuintansi menjamin bahwa pelanggan setuju untuk transaksi (non-repudiation).
Di
internet, protokol Secure Socket Layer (SSL), sertifikat digital, user-name dan
password atau tanda tangan digital digunakan secara bersama-sama untuk
menghasilkan empat tipe keamanan.
KEAMANAN DI LINGKUNGAN NIRKABEL
Tiga
bagian dari model keamanan nirkabel ditunjukkan dalam gambar 1. Pada sisi kanan
diagram, gateway WAP menggunakan SSL untuk komunikasi secara aman dengan server
Web, menjamin privasi, integritas dan otentisitas server. Non-repudiation
dipecahkan melalui metode transaksi elektronik yang ada, seperti nomor PIN yang
hanya dapat digunakan satu kali. Pada sisi kiri, gateway WAP membawa pesan
terenkripsi SSL dari Web, dan menerjemahkan transaksi untuk transmisi pada
jaringan nirkabel dengan protokol keamanan WTLS. Transaksi pesan dari handphone
ke server web adalah kebalikannya, yaitu konversi dari WTLS ke SSL. Pada dasarnya,
gateway WAP merupakan jembatan antara protokol keamanan WTLS dan SSL. Kebutuhan
translasi antara SSL dan WTLS meningkat karena kelemahan komunikasi nirkabel,
yaitu transmisi dengan bandwidth rendah dan latency (potensi gangguan) tinggi.
SSL didesain untuk lingkungan desktop dengan kemampuan proses yang tinggi dan
tersambung pada koneksi internet dengan bandwidth relatif tinggi dan latency
rendah. Akibatnya, pengguna telepon bergerak akan frustrasi karena lambatnya
pemrosesan SSL. Selanjutnya, penerapan SSL pada handset akan meningkatkan biaya
secara tajam.
WTLS secara
khusus didesain untuk menjalankan transaksi aman tanpa memerlukan kekuatan
pemrosesan setara desktop dan tanpa memori di handset. WTLS memroses algoritma
keamanan lebih cepat dengan protocol overhead minimization (minimisasi overhead
protokol), dan kompresi data yang lebih baik daripada pendekatan SSL
tradisional. Hasilnya, WTLS mampu menghasilkan keamanan yang baik dengan
keterbatasan jaringan nirkabel, sehingga dengan handphone kita dapat
berkomunikasi secara aman melalui internet.
Transaksi
antara SSL dan WTLS pada gateway WAP UP.Link (dari Phone.com) hanya dalam orde
milidetik dan terjadi dalam memori. Ini memungkinkan koneksi virtual yang aman
antara dua protokol tersebut. WTLS menyediakan privasi, integritas dan
otentikasi antara gateway WAP dan browser WAP. Berdasar protokol standar
Internet TLS 1.0 ( yang berbasis pada SSL 3.0 ), WTLS memiliki standar keamanan
Internet yang tinggi di jalur nirkabel. Kemampuan WTLS berada di atas TLS
1.0 karena adanya fasilitas baru seperti support terhadap datagram, handshake
yang dioptimalkan, dan dynamic key refreshing.
WTLS
menghasilkan solusi sangat aman yang dibangun dengan teknologi terbaik dari
dunia Internet dan nirkabel. Bila gateway WAP diaplikasikan sesuai prosedur
keamanan operator standar, pelanggan dan content provider akan memperoleh
jaminan bahwa data dan aplikasinya aman. Phone.com merupakan perusahaan pertama
yang menyediakan komunikasi Internet nirkabel yang aman pada handset yang
memiliki kemampuan browser berstandar HDTP2.0. HDTP2.0 telah tersedia secara
komersial sejak 1997. Phone.com juga merupakan perusahaan pertama yang
menyediakan gateway WAP 1.1-compliant, dengan mengimplementasikan WTLS 1.1
secara lengkap.
Hasilnya,
Phone.com telah mampu membangun gateway WAP bernama UP.Link dengan kemampuan
keamanan yang bagus. Sebagai contoh, UP.Link mendukung sertifikat untuk client
yang memungkinkan server Web menyediakan otentikasi atas nama pengguna. Dengan
menggunakan standar Internet yang telah ada dengan user-name dan password,
content provider dapat segera mengimplementasikan aplikasi yang aman, yang
memberikan privasi, integritas, otentikasi dan non-repudiation. Gateway WAP
UP.Link juga mendukung otoritas sertifikat yang fleksibel, termasuk dukungan
terhadap sertifikat server yang disediakan pihak lain. Fleksibilitas ini
- Data yang tidak dienkripsi tidak pernah disimpan dalam media permanen, sehingga tidak ada rekaman isi transaksi.
- Algoritma enkripsi/dekripsi UP.Link beropersi dalam proses UNIX single. Algoritma ini telah dioptimisasi untuk meminimalkan waktu penyimpanan data tidak terenkripsi dalam memori dan penghapusannya saat translasi protokol keamanan telah selesai.
- Hanya root di sistem UNIX yang bisa melihat pesan yang tidak terenkripsi.
- Sangat sulit untuk menemukan data di memori yang tidak terenkripsi. Tool khusus di UNIX hanya tersedia bagi root untuk melihat isi memori. Itupun membutuhkan banyak pekerjaan penggeseran data untuk menentukan kapan dan di mana transaksi terjadi.Karena transaksi terjadi di memori, maka pekerjaan ini sangat sulit.
- Akses ke transmisi WTLS membutuhkan pengetahuan tentang implementasi WAP yang sangat tinggi. Beberapa informasi yang diperlukan untuk mencoba penetrasi gateway WAP tidak tersedia dalam dokumentasi yang diterima operator jaringan dari Phone.com. Meskipun telah ada lima proteksi di atas, usaha untuk transaksi yang curang pada gateway melalui console masih bisa terjadi. Untuk itu, fasilitas keamanan tambahan diperlukan sesuai tingkatan aplikasi nirkabel.