1 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Nguyễn Quang Minh NGHIÊN CỨU, XÂY DỰNG HỆ THỐNG MOBILE PAYMENT TRÊN 3G Chuyên ngành: Truyền dữ liệu và Mạng máy tính Mã số: 60.48.15 TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. VŨ VĂN THOẢ HÀ NỘI – 2012 2 MỞ ĐẦU Nhu cầu thanh toán của khách hàng trong khi di chuyển là có thực, Các nhà cung cấp dịch vụ di động tại Việt Nam đã cung cấp dịch vụ di động trên 3G, vùng phủ sóng rộng, số lượng người sử dụng điện thoại đi động cao. Các yêu cầu về kỹ thuật công nghệ, đặc biệt là vấn đề bảo mật trên mạng 3G đã được đảm bảo và an toàn hơn. Nhiều giải pháp, thiết bị, hạ tầng cho lĩnh vực thanh toán dựa trên Mobile Payment được phát triển và giới thiệu, nhiều mô hình kinh doanh Mobile Payment được đưa ra, tạo ra sự đa dạng trong việc cung cấp dịch vụ. Phương thức thanh toán không dùng tiền mặt đã được phát triển rất mạnh tại nhiều nước, được các chính phủ khuyến khích sử dụng và được rất nhiều tổ chức áp dụng, do đó việc thanh toán dựa trên điện thoại di động sẽ là một kênh thanh toán không dùng tiền mặt có nhiều tiềm năng để phát triển, có thể là xu hướng trong thời gian tới. Việt Nam có thể coi là thị trường có tiềm năng rất lớn để khai thác các dịch vụ thanh toán di động. Việc cung cấp các giải pháp thanh toán trên điện thoại di động cho khách hàng là hết sức cần thiết. Về mặt pháp lý, Chính phủ đã ban hành Luật thanh toán điện tử và có những nghị định và văn bản khung hướng dẫn thực hiện dịch vụ thanh toán. Từ những phân tích trên, tác giả thấy rằng dịch vụ thanh toán di động nói chung và dịch vụ thanh toán di động trên 3G nói riêng có rất nhiều tiềm năng và điều kiện thuận lợi để phát triển, có thể nói là rất khả thi tại Việt Nam trong thời điểm hiện tại và cần được nghiên cứu chuyên sâu hơn để có thể ứng dụng rộng rãi trong đời sống. Tuy nhiên, vẫn còn đó những vấn đề an ninh, bảo mật,… cần được nghiên cứu chuyên sâu và giải quyết triệt để là cho cho hệ thống thanh toán di động an toàn hơn, thông minh hơn, hiệu quả hơn và có thể thay thế các loại thanh toán khác. Tác giả thấy rằng việc chọn đề tài “Nghiên cứu, xây dựng hệ thống Mobile Payment trên 3G” để nghiên cứu trong luận văn thạc sỹ kỹ thuật của mình sẽ là hướng đi đúng đắn và thiết thực, có tính khả thi cao, có ý nghĩa về mặt lý thuyết và ứng dụng thực tế. Trong khuôn khổ và giới hạn của luận văn, tác giả sẽ tập trung tìm hiểu những vấn đề bảo mật hệ thống thanh toán di động, đặc biệt đi sâu vào phân tích những vấn đề và giải pháp liên quan đến bảo mật mạng 3G và bảo mật cho Hệ thống thanh toán di động trên 3G. Về phương pháp nghiên cứu sẽ tập trung tìm hiểu một số giải pháp công nghệ về bảo mật mạng 3G và bảo mật hệ thống Mobile Payment trên 3G để tìm ra được những điểm mạnh, điểm yếu và hạn chế bảo mật của mỗi giải pháp, từ đó đề xuất và lựa chọn giải pháp bảo mật phù hợp nhất, có tính khả thi cao nhất đối với hệ thống Mobile Payment trên 3G. Về mặt bố cục, Luận văn được trình bày gồm các nội dung chính sau:  Mở đầu  Chương 1: Tổng quan về Mobile Payment 3  Chương 2: Một số vấn đề về bảo mật cho hệ thống Mobile Payment trên 3G  Chương 3: Đề xuất xây dựng hệ thống Mobile Payment trên 3G.  Kết luận CHƯƠNG 1: TỔNG QUAN VỀ MOBILE PAYMENT 1.1. Giới thiệu về hệ thống Mobile Payment 1.1.1. Khái niệm Mobile Payment Các hệ thống thanh toán đảm bảo cho người thụ hưởng nhận được đúng số tiền mà người trả tiền đã chi trả. Thanh toán di động (MP-Mobile Payment) được hiểu là thanh toán hay trả tiền di động. Trong thời gian gần đây, nhu cầu thực hiện giao dịch thanh toán di động của khách hàng đã xuất hiện. Sự phát triển của công nghệ truyền thông không dây đã cung cấp khả năng truy cập mạng và thực hiện các giao dịch thanh toán bằng cách sử dụng các thiết bị di động như như điện thoại di động, máy tính xách tay, hoặc các thiết bị kỹ thuật số khác. Việc thực hiện một giao dịch thanh toán trong đó có ít nhất một bên liên quan là một người sử dụng thiết bị di động được gọi là thanh toán di động. Thanh toán di động đặc trưng bởi việc sử dụng các thuộc tính bao gồm:  Môi trường giao dịch: có thể từ xa, nội mạng, hoặc trong môi trường riêng;  Khối lượng giao dịch: đại diện cho số tiền chuyển trên mạng điện thoại di động từ người trả tiền/nộp tiền cho người thụ hưởng.  Thời gian khi thanh toán giao dịch được thực hiện. 1.1.2. Kiến trúc của hệ thống Mobile Payment Hình 1.1 mô tả kiến trúc hệ thống thanh toán di động. Hình 1.1: Kiến trúc hệ thống Mobile Payment 4 Người sử dụng thiết bị di động có thể yêu cầu các sản phẩm và dịch vụ từ một hoặc nhiều nhà cung cấp dịch vụ, sau đó sẽ liên hệ với bên thứ ba đáng tin cậy, nhà cung cấp dịch vụ không dây, hoặc tổ chức tài chính để xác minh thông tin liên quan đến khách hàng và số tiền mua hàng. Chức năng các thành phần chính được tóm tắt như sau: Nhà cung cấp dịch vụ tài chính (Financial service provider – FSP); Nhà cung cấp dịch vụ di động/không dây (Mobile/wireless service provider - MSP); Các nhà cung cấp dịch vụ thanh toán (Payment service providers - PSP); 1.1.3. Các mô hình triển khai Mobile Payment Hiện nay, trên thế giới có 3 mô hình triển khai Mobile Payment chính  Mô hình Ngân hàng làm chủ đạo: Các ngân hàng xây dựng những ứng dụng kết hợp với các chính sách và phương pháp bảo mật cho phép khách hàng sử dụng điện thoại di động để thực hiện các giao dịch và thanh toán trên tài khoản khách hàng của mình.Tất cả giao dịch thanh toán đều dựa trên tài khoản tại ngân hàng nên mô hình này có tính an toàn cao. Nhược điểm của mô hình này là khách hàng bắt buộc phải có tài khoản mở tại ngân hàng trước khi sử dụng dịch vụ, và dịch vụ viễn thông di động phải được cung cấp. Mô hình này khó triển khai trên diện rộng tại những nước đang phát triển có tỷ lệ dân cư sử dụng dịch vụ ngân hàng thấp.  Mô hình Công ty di động làm chủ đạo: Trong mô hình này, các nhà cung cấp dịch vụ viễn thông di động chủ động đứng ra cung cấp dịch vụ thanh toán cho thuê bao sử dụng dịch vụ của mình. Để sử dụng dịch vụ, khách hàng chỉ cần là thuê bao của nhà mạng, không nhất thiết phải có tài khoản tại ngân hàng. Ưu điểm của mô hình này nằm ở tính đơn giản, tiện dụng (khách hàng không cần mở tài khoản ngân hàng), giao dịch nhanh chóng (thời gian giao dịch tính bằng thời gian gửi SMS) và chi phí rẻ (theo cước SMS của nhà mạng).  Mô hình hợp tác Ngân hàng - Viễn thông: Ngân hàng, Viễn thông và các nhà cung cấp giải pháp cùng hợp tác để đưa ra sản phẩm thanh toán đảm bảo sự tiện lợi và xâm nhập rộng khắp vào khối khách hàng thuê bao di động, đồng thời vẫn duy trì được sự quản lý chặt chẽ về tài chính của ngành ngân hàng. Ngân hàng sẽ đóng vai trò quản lý nguồn tiền và xử lý các nghiệp vụ thanh quyết toán, quản lý rủi ro trong khi các công ty di động phụ trách việc kinh doanh, giao dịch trực tiếp với khách hàng, các điểm bán lẻ và dịch vụ khách hàng. 1.2. Các yêu cầu kỹ thuật đối với hệ thống Mobile Payment 1.2.1. Yêu cầu chung - Đơn giản và dễ sử dụng: Các ứng dụng thanh toán di động phải thân thiện với người dùng hoặc không quá khó để nắm bắt đối với khách hàng. - Phổ quát: Dịch vụ thanh toán di động phải cung cấp các giao dịch giữa khách hàng giữa nhiều đối tượng với nhau. - Khả năng tương tác: Phát triển ứng dụng thanh toán di động dựa trên các tiêu chuẩn và công nghệ mở cho phép tương tác với các hệ thống khác. 5 - An ninh, bảo mật và tin cậy: Khách hàng phải tin tưởng nhà cung cấp dịch vụ thanh toán di động và thông tin không được sử dụng sai mục đích. Thanh toán di động phải được vô danh như giao dịch tiền mặt. Hệ thống phải hết sức rõ ràng, có khả năng chống lại các tấn công từ tin tặc và khủng bố. Có thể sử dụng cơ sở hạ tầng khóa công khai, sinh trắc học và mật khẩu trong giải pháp thanh toán di động,… - Chi phí: Thanh toán di động không nên tốn kém hơn so với các cơ chế thanh toán hiện tại. Giải pháp thanh toán di động phải cạnh tranh với các phương thức thanh toán khác về chi phí và tính thuận tiện. - Tốc độ: Tốc độ thực hiện giao dịch thanh toán di động phải có thể chấp nhận được khách hàng và tổ chức kinh doanh. - Biên giới thanh toán: Để được chấp nhận rộng rãi ứng dụng thanh toán di động phải sẵn sàng trên toàn cầu. 1.2.2. Yêu cầu về chức năng nghiệp vụ thanh toán Tuỳ thuỳ thuộc vào môi trường thanh toán và công nghệ sử dụng, yêu cầu về chức năng nghiệp vụ của các hệ thống sẽ thay đổi cho phù hợp. Mỗi thành phần có sự tương tác và mối quan hệ khác nhau có thể thấy trong hệ thống thanh toán. Các giao dịch có thể được thực hiện giữa các thành phần thực hiện các chức năng này bao gồm: Đối tượng nộp tiền/trả tiền (Payer); Người thụ hưởng;Tổ chức phát hành; Tổ chức kinh doanh; Ngân hàng; Nhà cung cấp dịch vụ; … 1.2.3. Yêu cầu an toàn bảo mật Bảo mật và riêng tư là hai vấn đề được quan tâm nhiều nhất trong thanh toán điện tử. Các yêu cầu về bảo mật liên quan đến các đối tượng được mô tả như sau liên quan đến các đối tượng: Yêu cầu của người trả tiền; Yêu cầu của người thụ hưởng; Yêu cầu của tổ chức phát hành; Yêu cầu quản lý thông tin; Yêu cầu liên kết các giao dịch thanh toán; Yêu cầu giám sát các thành phần giao dịch thanh toán;. 1.2.4. Tính riêng tư và ẩn danh trong hệ thống thanh toán Khi khách hàng thực hiện giao dịch thanh toán, một số thông tin riêng tư hoặc nhạy cảm của khách hàng có thể được lưu trữ trong cơ sở dữ liệu. Tính riêng tư và ẩn danh là hai vấn đề phải được giải quyết để cung cấp các giải pháp chống lại các cuộc tấn công. Khái niệm tính riêng tư và ẩn danh Tình riêng tư liên quan đến thông tin cá nhân của mỗi người như số định danh, thói quen, hành vi, Sự riêng tư của dữ liệu cá nhân liên quan đến quyền của mỗi cá nhân để hạn chế cá nhân, tổ chức khác truy cập dữ liệu cá nhân của mình. Mỗi cá nhân ít nhất phải có khả năng kiểm soát hoàn toàn dữ liệu của mình, cũng như giám sát và sử dụng. Đối với tính ẩn danh, nó đặc trưng cho trạng thái không thể nhận dạng trong một tập hợp các thực thể, các cá nhân, hoặc các đối tượng. Ẩn danh có thể được nhìn nhận như là một phương pháp bảo vệ sự riêng tư. Để cung cấp tính ẩn danh, người ta sử dụng một bút danh thay vì định danh thực sự. 6 Cơ chế riêng tư và ẩn danh vô điều kiện Tiền mặt vật lý là cách ẩn danh truyền thống. Trong các hệ thanh toán dựa vào tiền mặt, tiền mặt số tương đương với tiền mặt vật lý được dựa trên khái niệm chữ ký mờ, cho phép người dùng nhận được thông điệp có chữ ký của người ký, trong đó người ký không biết nội dung của thông điệp. Điều kiện ẩn danh trong các hệ thống thanh toán Các cơ chế điển hình (không giới hạn) như sau: Cơ chế truy xuất nguồn gốc; Giới hạn số tiền thanh toán; Giao dịch chi tiêu trùng lặp/vượt quá số tiền cho phép;Cơ chế chuyển nhượng. 1.3. Một số giải pháp công nghệ Mobile Payment 1.3.1. Giải pháp thanh toán dựa trên Proxy Giải pháp thanh toán di động dựa trên proxy cho phép khách hàng thực hiện giao dịch thanh toán bằng cách sử dụng quy trình thanh toán trên mạng cố định hiện tại thông qua hoạt động của máy chủ proxy thay mặt cho khách hàng tham gia giao dịch và kết nối mạng cố định. Máy chủ proxy sẽ hoạt động như một phương tiện trung gian giữa các thiết bị di động và cơ sở hạ tầng thanh toán. Giải pháp thanh toán ba bên dựa trên SET Giải pháp này sử dụng giao thức thanh toán SET. Người trả tiền không cần thiết phải lưu trữ bất cứ điều gì trên thiết bị di động của mình; Một vài tin nhắn được truyền qua liên kết mạng không dây kết nối người trả tiền; Hạn chế việc tính toán được thực hiện bởi người trả tiền; Người trả tiền phải có sự tin tưởng hoàn toàn vào hành động của công ty phát hành thay mặt cho mình; Giải pháp Dai & Zhang Hình 1.3: Hệ thống thanh toán dựa trên WAP Giải pháp này thực hiện dựa trên sử dụng giao thức WAP cho phép người nộp tiền di động thực hiện giao dịch thanh toán bằng cách sử dụng điện thoại di động. Hình 1.3 mô tả các bước thanh toán dựa trên WAP. Phương pháp Dai & Zhang đảm bảo xác thực người thụ hưởng được thực hiện bởi các cổng WAP bằng cách sử dụng chữ ký số của mình. Nó cũng cho phép bảo mật của người trả tiền dựa trên sự an toàn và sự tin cậy của các cổng WAP, khi đó gateway có thể bị mạo danh người trả tiền bởi vì nó có khóa riêng của người trả tiền. 7 1.3.2. Giải pháp thanh toán dựa trên Agent Giải pháp thanh toán di động dựa trên Agent sử dụng công nghệ Agent di động cho phép người dùng di động thực hiện các giao dịch thanh toán trên một hệ thống thanh toán hiện có triển khai trên hạ tầng mạng cố định. Ý tưởng chính của phương pháp dựa trên agent cho phép người dùng di động gửi agent (một mã số vận chuyển) chứa thông tin thanh toán và hành động thay mặt người nộp tiền thực hiện giao dịch trong môi trường cố định của người thụ hưởng. Có hai lợi ích lớn khi sử dụng phương pháp này là: giảm chi phí kết nối do người trả tiền yêu cầu duy trì kết nối cần thiết trong chu kỳ rất ngắn, và giảm tải tính toán trên thiết bị di động của người trả tiền do các agent được tạo và gửi bởi người trả tiền được thực hiện từ người thụ hưởng. Hình 1.4: Hệ thống thanh toán dựa trên SET/A 1.3.3. Giải pháp thanh toán không sử dụng Proxy Hệ thống thanh toán di động không sử dụng Proxy không cần máy chủ Proxy. Thay vào đó, nó tích hợp một kỹ thuật mã hóa đơn giảm để làm việc giảm tính toán và tải thông tin trao đổi của hệ thống điện thoại di động của khách hàng. Nó cũng cung cấp vấn đề an ninh tốt hơn. Nhiều giải pháp đã được đề xuất để đảm bảo an toàn cho hệ thống thanh toán di động không sử dụng proxy, chúng ta sẽ xem xét 2 giải pháp: Playbox và tiền điện tử của Kim. Giải pháp Playbox Đây là một cách khá dễ để phát triển hệ thống thanh toán dựa trên hệ thống mạng điện thoại di động, người trả tiền và người thụ hưởng được yêu cầu sử dụng các thiết bị đầu cuối di động có khả năng nhận diện đúng số điện thoại. Giải pháp Playbox yêu cầu một thực thể thứ ba, đó là máy chủ Playbox. Để thực hiện một giao dịch thanh toán, người trả tiền và người thụ hưởng cần phải có tài khoản ngân hàng. Rất dễ thấy sự an toàn của Playbox phụ thuộc rất nhiều vào các tính năng bảo mật được cung cấp bởi mạng viễn thông thông liên quan trong khi thực hiện giao dịch. Tuy nhiên, khi sử dụng xác thực người trả tiền bằng cách chấp nhận sử dụng số PIN trong Playbox, kẻ tấn công có thể sao chép và sử dụng nó vào cuộc tấn công khác trong tương lai. Giải pháp tiền điện tử của Kim Giải pháp này làm giảm tải tính toán trên thiết bị di động của khách hàng bằng cách triển khai các tính toán dựa trên hàm băm và chữ ký số. Ba thực thể tham gia vào quá trình thực hiện giao dịch thanh toán gồm: người trả tiền, người thụ hưởng, và ngân hàng, cùng phối hợp thực hiện. Giải 8 pháp này không đặt vấn đề khả năng tính toán cao trên các thiết bị di động. Giải pháp này có một số hạn chế: mật khẩu được cung cấp ở dạng không được mã hoá; mã thẻ thanh toán cung cấp cho các ngân hàng không liên quan đến người thụ hưởng; 1.3.4. Phân tích một số giải pháp thanh toán di động Các hệ thống thanh toán di động hiện có thể được phân tích và so sánh dựa trên một số tiêu chí gồm: Mối quan hệ tin cậy; Ràng buộc của các liên kết không dây; Bảo vệ chống lại các cuộc tấn công; Bản chất các thẻ được sử dụng; và Các hoạt động mật mã. Phân tích các tham số Các tham số cần phân tích bao gồm: Mối quan hệ tin cậy; Hạn chế của kết nối vô tuyến;Bảo vệ chống lại các cuộc tấn công; Khoá bí mật tự nhiên. Khảo sát hệ thống thanh toán dựa trên GSM Kiến trúc hệ thống: Giao thức thanh toán cho phép khách hàng khởi tạo giao dịch thanh toán qua GSM và nhận được biên lai thanh toán. Thực hiện hoạt động thanh toán thông qua 5 bước chính sau khi hoàn tất yêu cầu mua, xác nhận việc mua, và xác minh đơn hàng. Các hành động thanh toán gồm: Xác minh đối tượng nộp; Các hành động ghi nợ; Hành động bên trong GSM; Xác minh của tổ chức kinh doanh; Chấp nhận thanh toán; Vấn đề bảo mật ứng dụng: Các đặc điểm bảo mật được cung cấp bởi SSL và GSM có cùng cơ sở đối với bảo mật của hệ thống di động nói trên. Nếu không có nghi ngờ, đối tượng nộp có thể bắt đầu giao dịch thanh toán an toàn qua SSL. Người nộp tiền nhận được thông báo xác nhận thông qua SSL và tin nhắn SMS. Các Hệ thống GSM cung cấp một mức độ bảo mật thấp. Hơn nữa, các tin nhắn SMS được gửi thông qua các trung tâm tin nhắn SMS, các trung tâm có để xác thực nguồn gốc của thông điệp dựa trên GSM xác thực. Nếu điều này không được thực hiện, các tin nhắn SMS có thể được gửi đi với một nguồn giả mạo. Hơn nữa, tin nhắn SMS chuyển tiếp đến địa chỉ của trung tâm tin nhắn SMS có thể không được kiểm tra để xác thực nguồn gốc. CHƯƠNG 2: MỘT SỐ VẤN ĐỀ VỀ BẢO MẬT CHO HỆ THỐNG MOBILE PAYMENT TRÊN 3G 2.1. Tổng quan về bảo mật 3G 2.1.1. Giới thiệu hệ thống 3G 9 Hình 2.1: Kiến trúc mạng di động 3G Kiến trúc cơ bản của mạng UMTS được chia thành ba phần (Hình 2.1): Máy di động (MS), mạng truy nhập và mạng lõi (CN). Mạng truy nhập điều khiển tất cả các chức năng liên quan đến các tài nguyên vô tuyến và quản lý giao diện không gian, trong khi mạng lõi thực hiện các chức năng chuyển mạch và giao diện với các mạng bên ngoài. Máy di động (MS) MS được định nghĩa là một thiết bị cho phép người sử dụng truy nhập tới các dịch vụ của mạng và truy nhập tới module đặc tả thuê bao toàn cầu (USIM). MS liên quan đến bất kì thủ tục UMTS nào, quản lý và thiết lập cuộc gọi, các thủ tục chuyển giao, và quản lý di động. USIM bao gồm các chức năng và dữ liệu cần thiết để mô tả và nhận thực người sử dụng, bản sao hồ sơ dịch vụ của người sử dụng, các phần tử bảo mật cần thiết đối với các dịch vụ bí mật và toàn vẹn. Máy di động 3G có thể hoạt động sử dụng một trong ba chế độ sau đây: Chế độ chuyển mạch kênh (CS); Chế độ chuyển mạch gói (PS);Chế độ kết hợp chuyển mạch kênh và chuyển mạch gói (CS/PS Mạng truy nhập (UTRAN) UTRAN quản lý tất cả các chức năng liên quan đến các nguồn tài nguyên vô tuyến và quản lý giao diện không gian. UTRAN gồm hai kiểu phần tử là các Node B và các bộ điều khiển mạng vô tuyến (RNC), giữ vai trò tương đương với các trạm thu phát gốc (BTS) và bộ điều khiển trạm gốc (BSC) ở mạng GSM. Liên quan đến UTRAN là các thành phần Node B, Bộ điều khiển mạng vô tuyến (RNC) Mạng lõi (CN) Mạng lõi đảm bảo việc truyền tải dữ liệu của người sử dụng đến đích. CN bao gồm việc sử dụng một số các thực thể chuyển mạch và các gateway (như MSC, Gateway MSC, SGSN và GGSN) tới các mạng bên ngoài (như mạng Internet). CN cũng duy trì thông tin liên quan đến các đặc quyền truy nhập của người sử dụng (gồm AuC và EIR). Do đó, CN cũng gồm các cơ sở dữ liệu lưu giữ 10 các hồ sơ người sử dụng, và thông tin quản lý di động (ví dụ HLR và VLR). Liên quan đến mạng lọi là các thành phần: Trung tâm chuyển mạch di động (MSC); Bộ ghi định vị thường trú (HLR); Bộ ghi định vị tạm trú (VLR); Trung tâm nhận thực (AuC). 2.1.2. Bảo mật trong mạng 3G Hệ thống mật mã hoá Mật mã học là khoa học về bảo mật và đảm bảo tính riêng tư của thông tin. Các kỹ thuật toán học được kiểm tra và được phát triển để cung cấp tính nhận thực, tính bí mật, tính toàn vẹn và các dịch vụ bảo mật khác cho thông tin được truyền thông, được lưu giữ hoặc được xử lý trong các hệ thống thông tin. Có hai cách tiếp cận bảo vệ thông tin bằng mật mã đó là: Bảo vệ thông tin theo đường truyền: Thông tin được mã hoá để bảo vệ trên đường truyền giữa 2 nút không cần quan tâm đến nguồn và đích của thông tin. Bảo vệ thông tin từ mút đến mút: Thông tin được bảo vệ trên toàn bộ đường đi từ nguồn tới đích. Thông tin được mã hoá ngay khi mới được tạo ra và chỉ được giải mã khi đến đích. Các vấn đề bảo mật trong mạng 3G Các hạn chế của hệ thống thông tin di động gồm: Môi trường truy nhập vô tuyến mở; Băng thông hạn chế; Độ phức tạp hệ thống; Công suất pin bị hạn chế; Công suất xử lý bị hạn chế; Kết nối mạng tương đối không tin cậy; Các dạng tấn công điển hình trong mạng di động 3G: Các dạng tấn công điển hình trong mạng di động 3G bao gồm: Sử dụng sai lệch các dịch vụ của mạng; Nghe trộm sự truyền dẫn thông tin; Các tấn công chống lại các bản tin; Các tấn công ở giữa; Truy nhập bất hợp pháp đến các dịch vụ của mạng Các mục tiêu chủ yếu của bảo mật trong mạng di động 3G Đảm bảo rằng thông tin được tạo ra hoặc liên quan đến một người sử dụng được bảo vệ phù hợp chống lại sự sử dụng sai lệch hoặc không phù hợp và giảm thiểu khả năng của các tấn công bằng cách hạn chế truy nhập đến các dịch vụ dễ bị tấn công; Đảm bảo rằng các nguồn tài nguyên và các dịch vụ được cung cấp bởi các mạng phục vụ và mạng lõi được bảo vệ phù hợp chống lại sự sử dụng sai lệch hoặc không phù hợp; Đảm bảo rằng các thuộc tính bảo mật đã được tiêu chuẩn hoá tương thích với sự khả dụng rộng lớn (có ít nhất một thuật toán được sử dụng rộng rãi); Đảm bảo rằng mức độ bảo mật đáp ứng cho người sử dụng và các nhà cung cấp dịch vụ tốt hơn mức độ bảo mật được cung cấp trong các mạng cố định và di động hiện nay (mạng GSM); Đảm bảo rằng sự thực hiện các thuộc tính và các cơ chế bảo mật 3G có thể được mở rộng và phát triển (do các nguy cơ bảo mật và các dịch vụ mới); Thực hiện nhận thực người sử dụng di động dựa trên đặc tả người sử dụng duy nhất, đánh số người sử dụng duy nhất, và đặc tả thiết bị duy nhất; Thực hiện nhận thực thách thức và đáp ứng dựa trên khoá bí mật đối xứng được chia sẻ giữa SIM card và trung tâm nhận thực; Đảm bảo người sử dụng di động chống lại sự sử dụng sai lệch và kẻ đánh cắp máy di động bằng cách duy trì một danh sách các máy di động đã bị đánh cắp và giám sát lưu lượng mà chúng [...]... quả đạt được của luận văn 25 Với đề tài Nghiên cứu, xây dựng hệ thống Mobile Payment trên 3G luận văn đã đạt được một số kết quả sau đây:  Nghiên cứu tổng quan về Mobile Payment bao gồm các nội dung: khái niệm, kiến trúc của hệ thống và các mô hình triển khai Mobile Payment Trong chương 1 của luận văn đã khảo sát các yêu cầu kỹ thuật đối với hệ thống Mobile Payment gồm các yêu cầu về chức năng nghiệp... thời hệ thống cũng cần đảm bảo tính riêng tư và ẩn danh trong quá trình thanh toán Trong luận văn đã đưa ra một số giải pháp công nghệ Mobile Payment  Nghiên cứu một số vấn đề về bảo mật cho hệ thống Mobile payment trên 3G từ hệ thống máy chủ dịch vụ, hạ tầng mạng truyền dẫn cho đến thiết bị đầu cuối của khách hàng Trong luận văn đã khảo sát tương đối hoàn chỉnh các vấn đề về bảo mật hệ thống 3G Do... hệ thống 3G Do đó, khi sử dụng 3G làm hạ tầng truyền dẫn cho dịch vụ Mobile Payment sẽ đảm bảo an toàn và bảo mật thông tin cho khách hàng và nhà cung cấp dịch vụ Trên cơ sở xây dựng mô hình kiến trúc cho hệ thống Mobile Payment, luận văn đã đưa ra nội dung các yêu cầu bảo mật cho toàn bộ hệ thống Luận văn cũng nghiên cứu một số giải pháp bảo mật cho hệ thống Mobile Payment như bảo mật giao dịch thanh... toán di động trên 3G Phần sau đây sẽ trình bày mô hình thanh toán di động trên 3G tác giả đề xuất cho Tiết kiệm Bưu điện 3.2 Đề xuất mô hình Mobile Payment trên 3G cho Tiết kiệm Bưu điện 22 3.2.1 Yêu cầu đối với hệ thống Yêu cầu chung của hệ thống: Có khả năng xử lý đồng thời 100 giao dịch/giây và có khả năng nâng cấp lên cao hơn Thời gian xử lý giao dịch (trong hệ thống) không quá 3 giây Hệ thống phải...  Trên cơ sở các nội dung nghiên cứu của chương 1 và chương 2, trong chương 3 của luận văn đã đề xuất xây dựng hệ thống Mobile Payment trên 3G phù hợp cho Công ty Tiết kiệm bưu điện Tuy nhiên, do hệ thống Mobile Payment là một dịch vụ phức tạp, nhiều nội dung nghiên cứu của luận văn còn chưa được đề cập một cách sâu sắc và toàn diện Hướng phát triển tiếp theo  Trong thời gian tới, cần tiếp tục nghiên. .. thời gian tới, cần tiếp tục nghiên cứu để làm rõ hơn các giải pháp bảo đảm an toàn và bảo mật cho hệ thống Mobile Payment Trên cơ sở đó phát triển các hệ thống thực tế  Ngoài ra, cần tiếp tục phát triển các hệ thống phần mềm, các dịch vụ cụ thể để đảm bảo từng bước triển khai hệ thống Mobile Payment trên 3G đã đề xuất cho Công ty Dịch vụ Tiết kiệm bưu điện vào thực tế 26 ... cần được lưu ý và áp dụng Hệ thống cần có khả năng hỗ trợ nhiều giao thức tại tất cả các lớp của hệ thống, hỗ trợ đa dạng khả năng kết nối trong hệ thống cũng như kết nối với các hệ thống khác; có khả năng vận hành với nhiều công nghệ nền tảng (phần cứng và phần mềm hệ thống) khác nhau Hệ thống được xây dựng với cơ chế đa giao diện kết nối, có tính linh hoạt, khả năng mở rộng cao Sử dụng các thiết bị... thanh toán khác như kênh thanh toán thực hiện trên các thiết bị không dây, các hệ thống xác thực bằng thẻ, đặc biệt quan tâm đến hệ thống thanh toán di động trên môi trường mạng 3G Trên cơ sở những kết quả thu được từ những tìm hiểu, nghiên cứu, khảo sát, đánh giá trong Chương 1 và Chương 2, cộng với kinh nghiệm xây dựng và triển khai thực tế nhiều dự án công nghệ thông tin tại công ty, tác giả nhận thấy... động thế hệ hai Các phần tử bảo mật bên trong mạng GSM và các hệ thống 2G khác chứng tỏ là cần thiết và bảo mật tốt sẽ được lựa chọn cho bảo mật 3G; - Bảo mật mạng 3G sẽ cải tiến bảo mật của các hệ thống thông tin di động thế hệ hai (bảo mật 3G sẽ cải tiến các điểm yếu bảo mật ở các hệ thống 2G); - Bảo mật 3G sẽ cung cấp các thuộc tính mới và bảo mật các dịch vụ mới được cung cấp bởi mạng 3G Các phần... tiến để phát triển ứng dụng Sử dụng các công nghệ mới nhất về thanh toán di động Tính linh hoạt: Hệ thống cần được phát triển trên nền tảng phổ biến, tin cậy, đảm bảo có thể mở rộng, bổ sung tài nguyên của hệ thống tại lớp hạ tầng khi có nhu cầu tăng hiệu năng của hệ thống mà không làm gián đoạn, ảnh hưởng tới các dịch vụ của hệ thống An toàn bảo mật: Hệ thống cần được đảm bảo an toàn, an ninh với mức . mật cho hệ thống Mobile Payment trên 3G  Chương 3: Đề xuất xây dựng hệ thống Mobile Payment trên 3G.  Kết luận CHƯƠNG 1: TỔNG QUAN VỀ MOBILE PAYMENT. bảo mật hệ thống MP trên 3G 2.2.1. Kiến trúc hệ thống MP trên 3G Hình 2.4 dưới đây mô tả mô hình kiến trúc một hệ thống Mobile Payment trên 3G. 14