Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 26 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
26
Dung lượng
624,37 KB
Nội dung
1
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Nguyễn Quang Minh
NGHIÊN CỨU,XÂYDỰNG
HỆ THỐNGMOBILEPAYMENTTRÊN3G
Chuyên ngành: Truyền dữ liệu và Mạng máy tính
Mã số: 60.48.15
TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT
NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. VŨ VĂN THOẢ
HÀ NỘI – 2012
2
MỞ ĐẦU
Nhu cầu thanh toán của khách hàng trong khi di chuyển là có thực, Các nhà cung cấp dịch vụ di
động tại Việt Nam đã cung cấp dịch vụ di động trên 3G, vùng phủ sóng rộng, số lượng người sử
dụng điện thoại đi động cao. Các yêu cầu về kỹ thuật công nghệ, đặc biệt là vấn đề bảo mật trên
mạng 3G đã được đảm bảo và an toàn hơn. Nhiều giải pháp, thiết bị, hạ tầng cho lĩnh vực thanh
toán dựa trênMobilePayment được phát triển và giới thiệu, nhiều mô hình kinh doanh Mobile
Payment được đưa ra, tạo ra sự đa dạng trong việc cung cấp dịch vụ. Phương thức thanh toán không
dùng tiền mặt đã được phát triển rất mạnh tại nhiều nước, được các chính phủ khuyến khích sử
dụng và được rất nhiều tổ chức áp dụng, do đó việc thanh toán dựa trên điện thoại di động sẽ là một
kênh thanh toán không dùng tiền mặt có nhiều tiềm năng để phát triển, có thể là xu hướng trong
thời gian tới. Việt Nam có thể coi là thị trường có tiềm năng rất lớn để khai thác các dịch vụ thanh
toán di động. Việc cung cấp các giải pháp thanh toán trên điện thoại di động cho khách hàng là hết
sức cần thiết.
Về mặt pháp lý, Chính phủ đã ban hành Luật thanh toán điện tử và có những nghị định và văn
bản khung hướng dẫn thực hiện dịch vụ thanh toán.
Từ những phân tích trên, tác giả thấy rằng dịch vụ thanh toán di động nói chung và dịch vụ
thanh toán di động trên3G nói riêng có rất nhiều tiềm năng và điều kiện thuận lợi để phát triển, có
thể nói là rất khả thi tại Việt Nam trong thời điểm hiện tại và cần được nghiên cứu chuyên sâu hơn
để có thể ứng dụng rộng rãi trong đời sống. Tuy nhiên, vẫn còn đó những vấn đề an ninh, bảo
mật,… cần được nghiên cứu chuyên sâu và giải quyết triệt để là cho cho hệthống thanh toán di
động an toàn hơn, thông minh hơn, hiệu quả hơn và có thể thay thế các loại thanh toán khác. Tác
giả thấy rằng việc chọn đề tài “Nghiên cứu,xâydựnghệthốngMobilePaymenttrên 3G” để
nghiên cứu trong luận văn thạc sỹ kỹ thuật của mình sẽ là hướng đi đúng đắn và thiết thực, có tính
khả thi cao, có ý nghĩa về mặt lý thuyết và ứng dụng thực tế.
Trong khuôn khổ và giới hạn của luận văn, tác giả sẽ tập trung tìm hiểu những vấn đề bảo mật
hệ thống thanh toán di động, đặc biệt đi sâu vào phân tích những vấn đề và giải pháp liên quan đến
bảo mật mạng 3G và bảo mật cho Hệthống thanh toán di động trên 3G. Về phương pháp nghiên
cứu sẽ tập trung tìm hiểu một số giải pháp công nghệ về bảo mật mạng 3G và bảo mật hệthống
Mobile Paymenttrên3G để tìm ra được những điểm mạnh, điểm yếu và hạn chế bảo mật của mỗi
giải pháp, từ đó đề xuất và lựa chọn giải pháp bảo mật phù hợp nhất, có tính khả thi cao nhất đối
với hệthốngMobilePaymenttrên 3G.
Về mặt bố cục, Luận văn được trình bày gồm các nội dung chính sau:
Mở đầu
Chương 1: Tổng quan về MobilePayment
3
Chương 2: Một số vấn đề về bảo mật cho hệthốngMobilePaymenttrên3G
Chương 3: Đề xuất xâydựnghệthốngMobilePaymenttrên 3G.
Kết luận
CHƯƠNG 1: TỔNG QUAN VỀ MOBILEPAYMENT
1.1. Giới thiệu về hệthốngMobilePayment
1.1.1. Khái niệm MobilePayment
Các hệthống thanh toán đảm bảo cho người thụ hưởng nhận được đúng số tiền mà người trả
tiền đã chi trả. Thanh toán di động (MP-Mobile Payment) được hiểu là thanh toán hay trả tiền di
động. Trong thời gian gần đây, nhu cầu thực hiện giao dịch thanh toán di động của khách hàng đã
xuất hiện. Sự phát triển của công nghệ truyền thông không dây đã cung cấp khả năng truy cập mạng
và thực hiện các giao dịch thanh toán bằng cách sử dụng các thiết bị di động như như điện thoại di
động, máy tính xách tay, hoặc các thiết bị kỹ thuật số khác. Việc thực hiện một giao dịch thanh toán
trong đó có ít nhất một bên liên quan là một người sử dụng thiết bị di động được gọi là thanh toán
di động. Thanh toán di động đặc trưng bởi việc sử dụng các thuộc tính bao gồm:
Môi trường giao dịch: có thể từ xa, nội mạng, hoặc trong môi trường riêng;
Khối lượng giao dịch: đại diện cho số tiền chuyển trên mạng điện thoại di động từ người trả
tiền/nộp tiền cho người thụ hưởng.
Thời gian khi thanh toán giao dịch được thực hiện.
1.1.2. Kiến trúc của hệthốngMobilePayment
Hình 1.1 mô tả kiến trúc hệthống thanh toán di động.
Hình 1.1: Kiến trúc hệthốngMobilePayment
4
Người sử dụng thiết bị di động có thể yêu cầu các sản phẩm và dịch vụ từ một hoặc nhiều nhà
cung cấp dịch vụ, sau đó sẽ liên hệ với bên thứ ba đáng tin cậy, nhà cung cấp dịch vụ không dây,
hoặc tổ chức tài chính để xác minh thông tin liên quan đến khách hàng và số tiền mua hàng. Chức
năng các thành phần chính được tóm tắt như sau: Nhà cung cấp dịch vụ tài chính (Financial service
provider – FSP); Nhà cung cấp dịch vụ di động/không dây (Mobile/wireless service provider -
MSP); Các nhà cung cấp dịch vụ thanh toán (Payment service providers - PSP);
1.1.3. Các mô hình triển khai MobilePayment
Hiện nay, trên thế giới có 3 mô hình triển khai MobilePayment chính
Mô hình Ngân hàng làm chủ đạo: Các ngân hàng xâydựng những ứng dụng kết hợp với
các chính sách và phương pháp bảo mật cho phép khách hàng sử dụng điện thoại di động để thực
hiện các giao dịch và thanh toán trên tài khoản khách hàng của mình.Tất cả giao dịch thanh toán
đều dựa trên tài khoản tại ngân hàng nên mô hình này có tính an toàn cao. Nhược điểm của mô hình
này là khách hàng bắt buộc phải có tài khoản mở tại ngân hàng trước khi sử dụng dịch vụ, và dịch
vụ viễn thông di động phải được cung cấp. Mô hình này khó triển khai trên diện rộng tại những
nước đang phát triển có tỷ lệ dân cư sử dụng dịch vụ ngân hàng thấp.
Mô hình Công ty di động làm chủ đạo: Trong mô hình này, các nhà cung cấp dịch vụ viễn
thông di động chủ động đứng ra cung cấp dịch vụ thanh toán cho thuê bao sử dụng dịch vụ của
mình. Để sử dụng dịch vụ, khách hàng chỉ cần là thuê bao của nhà mạng, không nhất thiết phải có
tài khoản tại ngân hàng. Ưu điểm của mô hình này nằm ở tính đơn giản, tiện dụng (khách hàng
không cần mở tài khoản ngân hàng), giao dịch nhanh chóng (thời gian giao dịch tính bằng thời gian
gửi SMS) và chi phí rẻ (theo cước SMS của nhà mạng).
Mô hình hợp tác Ngân hàng - Viễn thông: Ngân hàng, Viễn thông và các nhà cung cấp
giải pháp cùng hợp tác để đưa ra sản phẩm thanh toán đảm bảo sự tiện lợi và xâm nhập rộng khắp
vào khối khách hàng thuê bao di động, đồng thời vẫn duy trì được sự quản lý chặt chẽ về tài chính
của ngành ngân hàng. Ngân hàng sẽ đóng vai trò quản lý nguồn tiền và xử lý các nghiệp vụ thanh
quyết toán, quản lý rủi ro trong khi các công ty di động phụ trách việc kinh doanh, giao dịch trực
tiếp với khách hàng, các điểm bán lẻ và dịch vụ khách hàng.
1.2. Các yêu cầu kỹ thuật đối với hệthốngMobilePayment
1.2.1. Yêu cầu chung
- Đơn giản và dễ sử dụng: Các ứng dụng thanh toán di động phải thân thiện với người dùng hoặc
không quá khó để nắm bắt đối với khách hàng.
- Phổ quát: Dịch vụ thanh toán di động phải cung cấp các giao dịch giữa khách hàng giữa nhiều
đối tượng với nhau.
- Khả năng tương tác: Phát triển ứng dụng thanh toán di động dựa trên các tiêu chuẩn và công
nghệ mở cho phép tương tác với các hệthống khác.
5
- An ninh, bảo mật và tin cậy: Khách hàng phải tin tưởng nhà cung cấp dịch vụ thanh toán di
động và thông tin không được sử dụng sai mục đích. Thanh toán di động phải được vô danh như
giao dịch tiền mặt. Hệthống phải hết sức rõ ràng, có khả năng chống lại các tấn công từ tin tặc và
khủng bố. Có thể sử dụng cơ sở hạ tầng khóa công khai, sinh trắc học và mật khẩu trong giải pháp
thanh toán di động,…
- Chi phí: Thanh toán di động không nên tốn kém hơn so với các cơ chế thanh toán hiện tại. Giải
pháp thanh toán di động phải cạnh tranh với các phương thức thanh toán khác về chi phí và tính
thuận tiện.
- Tốc độ: Tốc độ thực hiện giao dịch thanh toán di động phải có thể chấp nhận được khách hàng
và tổ chức kinh doanh.
- Biên giới thanh toán: Để được chấp nhận rộng rãi ứng dụng thanh toán di động phải sẵn sàng
trên toàn cầu.
1.2.2. Yêu cầu về chức năng nghiệp vụ thanh toán
Tuỳ thuỳ thuộc vào môi trường thanh toán và công nghệ sử dụng, yêu cầu về chức năng nghiệp
vụ của các hệthống sẽ thay đổi cho phù hợp. Mỗi thành phần có sự tương tác và mối quan hệ khác
nhau có thể thấy trong hệthống thanh toán. Các giao dịch có thể được thực hiện giữa các thành
phần thực hiện các chức năng này bao gồm: Đối tượng nộp tiền/trả tiền (Payer); Người thụ
hưởng;Tổ chức phát hành; Tổ chức kinh doanh; Ngân hàng; Nhà cung cấp dịch vụ; …
1.2.3. Yêu cầu an toàn bảo mật
Bảo mật và riêng tư là hai vấn đề được quan tâm nhiều nhất trong thanh toán điện tử. Các yêu
cầu về bảo mật liên quan đến các đối tượng được mô tả như sau liên quan đến các đối tượng: Yêu
cầu của người trả tiền; Yêu cầu của người thụ hưởng; Yêu cầu của tổ chức phát hành; Yêu cầu
quản lý thông tin; Yêu cầu liên kết các giao dịch thanh toán; Yêu cầu giám sát các thành phần giao
dịch thanh toán;.
1.2.4. Tính riêng tư và ẩn danh trong hệthống thanh toán
Khi khách hàng thực hiện giao dịch thanh toán, một số thông tin riêng tư hoặc nhạy cảm của
khách hàng có thể được lưu trữ trong cơ sở dữ liệu. Tính riêng tư và ẩn danh là hai vấn đề phải
được giải quyết để cung cấp các giải pháp chống lại các cuộc tấn công.
Khái niệm tính riêng tư và ẩn danh
Tình riêng tư liên quan đến thông tin cá nhân của mỗi người như số định danh, thói quen, hành
vi, Sự riêng tư của dữ liệu cá nhân liên quan đến quyền của mỗi cá nhân để hạn chế cá nhân, tổ
chức khác truy cập dữ liệu cá nhân của mình. Mỗi cá nhân ít nhất phải có khả năng kiểm soát hoàn
toàn dữ liệu của mình, cũng như giám sát và sử dụng. Đối với tính ẩn danh, nó đặc trưng cho trạng
thái không thể nhận dạng trong một tập hợp các thực thể, các cá nhân, hoặc các đối tượng. Ẩn danh
có thể được nhìn nhận như là một phương pháp bảo vệ sự riêng tư. Để cung cấp tính ẩn danh, người
ta sử dụng một bút danh thay vì định danh thực sự.
6
Cơ chế riêng tư và ẩn danh vô điều kiện
Tiền mặt vật lý là cách ẩn danh truyền thống. Trong các hệ thanh toán dựa vào tiền mặt, tiền
mặt số tương đương với tiền mặt vật lý được dựa trên khái niệm chữ ký mờ, cho phép người dùng
nhận được thông điệp có chữ ký của người ký, trong đó người ký không biết nội dung của thông
điệp.
Điều kiện ẩn danh trong các hệthống thanh toán
Các cơ chế điển hình (không giới hạn) như sau: Cơ chế truy xuất nguồn gốc; Giới hạn số tiền
thanh toán; Giao dịch chi tiêu trùng lặp/vượt quá số tiền cho phép;Cơ chế chuyển nhượng.
1.3. Một số giải pháp công nghệ MobilePayment
1.3.1. Giải pháp thanh toán dựa trên Proxy
Giải pháp thanh toán di động dựa trên proxy cho phép khách hàng thực hiện giao dịch thanh
toán bằng cách sử dụng quy trình thanh toán trên mạng cố định hiện tại thông qua hoạt động của
máy chủ proxy thay mặt cho khách hàng tham gia giao dịch và kết nối mạng cố định. Máy chủ
proxy sẽ hoạt động như một phương tiện trung gian giữa các thiết bị di động và cơ sở hạ tầng thanh
toán.
Giải pháp thanh toán ba bên dựa trên SET
Giải pháp này sử dụng giao thức thanh toán SET. Người trả tiền không cần thiết phải lưu trữ bất
cứ điều gì trên thiết bị di động của mình; Một vài tin nhắn được truyền qua liên kết mạng không
dây kết nối người trả tiền; Hạn chế việc tính toán được thực hiện bởi người trả tiền; Người trả tiền
phải có sự tin tưởng hoàn toàn vào hành động của công ty phát hành thay mặt cho mình;
Giải pháp Dai & Zhang
Hình 1.3: Hệthống thanh toán dựa trên WAP
Giải pháp này thực hiện dựa trên sử dụng giao thức WAP cho phép người nộp tiền di động thực
hiện giao dịch thanh toán bằng cách sử dụng điện thoại di động. Hình 1.3 mô tả các bước thanh toán
dựa trên WAP. Phương pháp Dai & Zhang đảm bảo xác thực người thụ hưởng được thực hiện bởi
các cổng WAP bằng cách sử dụng chữ ký số của mình. Nó cũng cho phép bảo mật của người trả
tiền dựa trên sự an toàn và sự tin cậy của các cổng WAP, khi đó gateway có thể bị mạo danh người
trả tiền bởi vì nó có khóa riêng của người trả tiền.
7
1.3.2. Giải pháp thanh toán dựa trên Agent
Giải pháp thanh toán di động dựa trên Agent sử dụng công nghệ Agent di động cho phép người
dùng di động thực hiện các giao dịch thanh toán trên một hệthống thanh toán hiện có triển khai trên
hạ tầng mạng cố định. Ý tưởng chính của phương pháp dựa trên agent cho phép người dùng di động
gửi agent (một mã số vận chuyển) chứa thông tin thanh toán và hành động thay mặt người nộp tiền
thực hiện giao dịch trong môi trường cố định của người thụ hưởng. Có hai lợi ích lớn khi sử dụng
phương pháp này là: giảm chi phí kết nối do người trả tiền yêu cầu duy trì kết nối cần thiết trong
chu kỳ rất ngắn, và giảm tải tính toán trên thiết bị di động của người trả tiền do các agent được tạo
và gửi bởi người trả tiền được thực hiện từ người thụ hưởng.
Hình 1.4: Hệthống thanh toán dựa trên SET/A
1.3.3. Giải pháp thanh toán không sử dụng Proxy
Hệ thống thanh toán di động không sử dụng Proxy không cần máy chủ Proxy. Thay vào đó, nó
tích hợp một kỹ thuật mã hóa đơn giảm để làm việc giảm tính toán và tải thông tin trao đổi của hệ
thống điện thoại di động của khách hàng. Nó cũng cung cấp vấn đề an ninh tốt hơn. Nhiều giải pháp
đã được đề xuất để đảm bảo an toàn cho hệthống thanh toán di động không sử dụng proxy, chúng
ta sẽ xem xét 2 giải pháp: Playbox và tiền điện tử của Kim.
Giải pháp Playbox
Đây là một cách khá dễ để phát triển hệthống thanh toán dựa trênhệthống mạng điện thoại di
động, người trả tiền và người thụ hưởng được yêu cầu sử dụng các thiết bị đầu cuối di động có khả
năng nhận diện đúng số điện thoại. Giải pháp Playbox yêu cầu một thực thể thứ ba, đó là máy chủ
Playbox. Để thực hiện một giao dịch thanh toán, người trả tiền và người thụ hưởng cần phải có tài
khoản ngân hàng. Rất dễ thấy sự an toàn của Playbox phụ thuộc rất nhiều vào các tính năng bảo mật
được cung cấp bởi mạng viễn thôngthông liên quan trong khi thực hiện giao dịch. Tuy nhiên, khi
sử dụng xác thực người trả tiền bằng cách chấp nhận sử dụng số PIN trong Playbox, kẻ tấn công có
thể sao chép và sử dụng nó vào cuộc tấn công khác trong tương lai.
Giải pháp tiền điện tử của Kim
Giải pháp này làm giảm tải tính toán trên thiết bị di động của khách hàng bằng cách triển khai
các tính toán dựa trên hàm băm và chữ ký số. Ba thực thể tham gia vào quá trình thực hiện giao
dịch thanh toán gồm: người trả tiền, người thụ hưởng, và ngân hàng, cùng phối hợp thực hiện. Giải
8
pháp này không đặt vấn đề khả năng tính toán cao trên các thiết bị di động. Giải pháp này có một số
hạn chế: mật khẩu được cung cấp ở dạng không được mã hoá; mã thẻ thanh toán cung cấp cho các
ngân hàng không liên quan đến người thụ hưởng;
1.3.4. Phân tích một số giải pháp thanh toán di động
Các hệthống thanh toán di động hiện có thể được phân tích và so sánh dựa trên một số tiêu chí
gồm: Mối quan hệ tin cậy; Ràng buộc của các liên kết không dây; Bảo vệ chống lại các cuộc tấn
công; Bản chất các thẻ được sử dụng; và Các hoạt động mật mã.
Phân tích các tham số
Các tham số cần phân tích bao gồm: Mối quan hệ tin cậy; Hạn chế của kết nối vô tuyến;Bảo vệ
chống lại các cuộc tấn công; Khoá bí mật tự nhiên.
Khảo sát hệthống thanh toán dựa trên GSM
Kiến trúc hệ thống: Giao thức thanh toán cho phép khách hàng khởi tạo giao dịch thanh toán
qua GSM và nhận được biên lai thanh toán. Thực hiện hoạt động thanh toán thông qua 5 bước chính
sau khi hoàn tất yêu cầu mua, xác nhận việc mua, và xác minh đơn hàng. Các hành động thanh toán
gồm: Xác minh đối tượng nộp; Các hành động ghi nợ; Hành động bên trong GSM; Xác minh của tổ
chức kinh doanh; Chấp nhận thanh toán;
Vấn đề bảo mật ứng dụng: Các đặc điểm bảo mật được cung cấp bởi SSL và GSM có cùng cơ
sở đối với bảo mật của hệthống di động nói trên. Nếu không có nghi ngờ, đối tượng nộp có thể bắt
đầu giao dịch thanh toán an toàn qua SSL. Người nộp tiền nhận được thông báo xác nhận thông qua
SSL và tin nhắn SMS.
Các Hệthống GSM cung cấp một mức độ bảo mật thấp. Hơn nữa, các tin nhắn SMS được gửi
thông qua các trung tâm tin nhắn SMS, các trung tâm có để xác thực nguồn gốc của thông điệp dựa
trên GSM xác thực. Nếu điều này không được thực hiện, các tin nhắn SMS có thể được gửi đi với
một nguồn giả mạo. Hơn nữa, tin nhắn SMS chuyển tiếp đến địa chỉ của trung tâm tin nhắn SMS có
thể không được kiểm tra để xác thực nguồn gốc.
CHƯƠNG 2: MỘT SỐ VẤN ĐỀ VỀ BẢO MẬT CHO HỆTHỐNG
MOBILE PAYMENTTRÊN3G
2.1. Tổng quan về bảo mật 3G
2.1.1. Giới thiệu hệthống3G
9
Hình 2.1: Kiến trúc mạng di động 3G
Kiến trúc cơ bản của mạng UMTS được chia thành ba phần (Hình 2.1): Máy di động (MS),
mạng truy nhập và mạng lõi (CN). Mạng truy nhập điều khiển tất cả các chức năng liên quan đến
các tài nguyên vô tuyến và quản lý giao diện không gian, trong khi mạng lõi thực hiện các chức
năng chuyển mạch và giao diện với các mạng bên ngoài.
Máy di động (MS)
MS được định nghĩa là một thiết bị cho phép người sử dụng truy nhập tới các dịch vụ của mạng
và truy nhập tới module đặc tả thuê bao toàn cầu (USIM). MS liên quan đến bất kì thủ tục UMTS
nào, quản lý và thiết lập cuộc gọi, các thủ tục chuyển giao, và quản lý di động. USIM bao gồm các
chức năng và dữ liệu cần thiết để mô tả và nhận thực người sử dụng, bản sao hồ sơ dịch vụ của
người sử dụng, các phần tử bảo mật cần thiết đối với các dịch vụ bí mật và toàn vẹn. Máy di động
3G có thể hoạt động sử dụng một trong ba chế độ sau đây: Chế độ chuyển mạch kênh (CS); Chế độ
chuyển mạch gói (PS);Chế độ kết hợp chuyển mạch kênh và chuyển mạch gói (CS/PS
Mạng truy nhập (UTRAN)
UTRAN quản lý tất cả các chức năng liên quan đến các nguồn tài nguyên vô tuyến và quản lý
giao diện không gian. UTRAN gồm hai kiểu phần tử là các Node B và các bộ điều khiển mạng vô
tuyến (RNC), giữ vai trò tương đương với các trạm thu phát gốc (BTS) và bộ điều khiển trạm gốc
(BSC) ở mạng GSM. Liên quan đến UTRAN là các thành phần Node B, Bộ điều khiển mạng vô
tuyến (RNC)
Mạng lõi (CN)
Mạng lõi đảm bảo việc truyền tải dữ liệu của người sử dụng đến đích. CN bao gồm việc sử dụng
một số các thực thể chuyển mạch và các gateway (như MSC, Gateway MSC, SGSN và GGSN) tới
các mạng bên ngoài (như mạng Internet). CN cũng duy trì thông tin liên quan đến các đặc quyền
truy nhập của người sử dụng (gồm AuC và EIR). Do đó, CN cũng gồm các cơ sở dữ liệu lưu giữ
10
các hồ sơ người sử dụng, và thông tin quản lý di động (ví dụ HLR và VLR). Liên quan đến mạng
lọi là các thành phần: Trung tâm chuyển mạch di động (MSC); Bộ ghi định vị thường trú (HLR); Bộ
ghi định vị tạm trú (VLR); Trung tâm nhận thực (AuC).
2.1.2. Bảo mật trong mạng 3G
Hệ thống mật mã hoá
Mật mã học là khoa học về bảo mật và đảm bảo tính riêng tư của thông tin. Các kỹ thuật toán
học được kiểm tra và được phát triển để cung cấp tính nhận thực, tính bí mật, tính toàn vẹn và các
dịch vụ bảo mật khác cho thông tin được truyền thông, được lưu giữ hoặc được xử lý trong các hệ
thống thông tin.
Có hai cách tiếp cận bảo vệ thông tin bằng mật mã đó là: Bảo vệ thông tin theo đường truyền:
Thông tin được mã hoá để bảo vệ trên đường truyền giữa 2 nút không cần quan tâm đến nguồn và
đích của thông tin. Bảo vệ thông tin từ mút đến mút: Thông tin được bảo vệ trên toàn bộ đường đi từ
nguồn tới đích. Thông tin được mã hoá ngay khi mới được tạo ra và chỉ được giải mã khi đến đích.
Các vấn đề bảo mật trong mạng 3G
Các hạn chế của hệthốngthông tin di động gồm: Môi trường truy nhập vô tuyến mở; Băng
thông hạn chế; Độ phức tạp hệ thống; Công suất pin bị hạn chế; Công suất xử lý bị hạn chế; Kết
nối mạng tương đối không tin cậy;
Các dạng tấn công điển hình trong mạng di động 3G: Các dạng tấn công điển hình trong
mạng di động 3G bao gồm: Sử dụng sai lệch các dịch vụ của mạng; Nghe trộm sự truyền dẫn thông
tin; Các tấn công chống lại các bản tin; Các tấn công ở giữa; Truy nhập bất hợp pháp đến các dịch
vụ của mạng
Các mục tiêu chủ yếu của bảo mật trong mạng di động 3G
Đảm bảo rằng thông tin được tạo ra hoặc liên quan đến một người sử dụng được bảo vệ phù hợp
chống lại sự sử dụng sai lệch hoặc không phù hợp và giảm thiểu khả năng của các tấn công bằng
cách hạn chế truy nhập đến các dịch vụ dễ bị tấn công; Đảm bảo rằng các nguồn tài nguyên và các
dịch vụ được cung cấp bởi các mạng phục vụ và mạng lõi được bảo vệ phù hợp chống lại sự sử
dụng sai lệch hoặc không phù hợp; Đảm bảo rằng các thuộc tính bảo mật đã được tiêu chuẩn hoá
tương thích với sự khả dụng rộng lớn (có ít nhất một thuật toán được sử dụng rộng rãi); Đảm bảo
rằng mức độ bảo mật đáp ứng cho người sử dụng và các nhà cung cấp dịch vụ tốt hơn mức độ bảo
mật được cung cấp trong các mạng cố định và di động hiện nay (mạng GSM); Đảm bảo rằng sự
thực hiện các thuộc tính và các cơ chế bảo mật 3G có thể được mở rộng và phát triển (do các nguy
cơ bảo mật và các dịch vụ mới); Thực hiện nhận thực người sử dụng di động dựa trên đặc tả người
sử dụng duy nhất, đánh số người sử dụng duy nhất, và đặc tả thiết bị duy nhất; Thực hiện nhận thực
thách thức và đáp ứng dựa trên khoá bí mật đối xứng được chia sẻ giữa SIM card và trung tâm nhận
thực; Đảm bảo người sử dụng di động chống lại sự sử dụng sai lệch và kẻ đánh cắp máy di động
bằng cách duy trì một danh sách các máy di động đã bị đánh cắp và giám sát lưu lượng mà chúng
[...]... quả đạt được của luận văn 25 Với đề tài Nghiêncứu, xây dựnghệthống Mobile Paymenttrên3G luận văn đã đạt được một số kết quả sau đây: Nghiên cứu tổng quan về MobilePayment bao gồm các nội dung: khái niệm, kiến trúc của hệthống và các mô hình triển khai MobilePayment Trong chương 1 của luận văn đã khảo sát các yêu cầu kỹ thuật đối với hệthốngMobilePayment gồm các yêu cầu về chức năng nghiệp... thời hệthống cũng cần đảm bảo tính riêng tư và ẩn danh trong quá trình thanh toán Trong luận văn đã đưa ra một số giải pháp công nghệ MobilePayment Nghiên cứu một số vấn đề về bảo mật cho hệthốngMobilepaymenttrên3G từ hệthống máy chủ dịch vụ, hạ tầng mạng truyền dẫn cho đến thiết bị đầu cuối của khách hàng Trong luận văn đã khảo sát tương đối hoàn chỉnh các vấn đề về bảo mật hệthống3G Do... hệthống3G Do đó, khi sử dụng3G làm hạ tầng truyền dẫn cho dịch vụ MobilePayment sẽ đảm bảo an toàn và bảo mật thông tin cho khách hàng và nhà cung cấp dịch vụ Trên cơ sở xâydựng mô hình kiến trúc cho hệthốngMobile Payment, luận văn đã đưa ra nội dung các yêu cầu bảo mật cho toàn bộ hệ thống Luận văn cũng nghiên cứu một số giải pháp bảo mật cho hệthốngMobilePayment như bảo mật giao dịch thanh... toán di động trên3G Phần sau đây sẽ trình bày mô hình thanh toán di động trên3G tác giả đề xuất cho Tiết kiệm Bưu điện 3.2 Đề xuất mô hình MobilePaymenttrên3G cho Tiết kiệm Bưu điện 22 3.2.1 Yêu cầu đối với hệthống Yêu cầu chung của hệ thống: Có khả năng xử lý đồng thời 100 giao dịch/giây và có khả năng nâng cấp lên cao hơn Thời gian xử lý giao dịch (trong hệ thống) không quá 3 giây Hệthống phải... Trên cơ sở các nội dungnghiên cứu của chương 1 và chương 2, trong chương 3 của luận văn đã đề xuất xây dựnghệthống Mobile Paymenttrên3G phù hợp cho Công ty Tiết kiệm bưu điện Tuy nhiên, do hệthốngMobilePayment là một dịch vụ phức tạp, nhiều nội dungnghiên cứu của luận văn còn chưa được đề cập một cách sâu sắc và toàn diện Hướng phát triển tiếp theo Trong thời gian tới, cần tiếp tục nghiên. .. thời gian tới, cần tiếp tục nghiên cứu để làm rõ hơn các giải pháp bảo đảm an toàn và bảo mật cho hệthốngMobilePaymentTrên cơ sở đó phát triển các hệthống thực tế Ngoài ra, cần tiếp tục phát triển các hệthống phần mềm, các dịch vụ cụ thể để đảm bảo từng bước triển khai hệthốngMobilePaymenttrên3G đã đề xuất cho Công ty Dịch vụ Tiết kiệm bưu điện vào thực tế 26 ... cần được lưu ý và áp dụngHệthống cần có khả năng hỗ trợ nhiều giao thức tại tất cả các lớp của hệ thống, hỗ trợ đa dạng khả năng kết nối trong hệthống cũng như kết nối với các hệthống khác; có khả năng vận hành với nhiều công nghệ nền tảng (phần cứng và phần mềm hệ thống) khác nhau Hệthống được xâydựng với cơ chế đa giao diện kết nối, có tính linh hoạt, khả năng mở rộng cao Sử dụng các thiết bị... thanh toán khác như kênh thanh toán thực hiện trên các thiết bị không dây, các hệthống xác thực bằng thẻ, đặc biệt quan tâm đến hệthống thanh toán di động trên môi trường mạng 3GTrên cơ sở những kết quả thu được từ những tìm hiểu, nghiêncứu, khảo sát, đánh giá trong Chương 1 và Chương 2, cộng với kinh nghiệm xâydựng và triển khai thực tế nhiều dự án công nghệ thông tin tại công ty, tác giả nhận thấy... động thế hệ hai Các phần tử bảo mật bên trong mạng GSM và các hệthống 2G khác chứng tỏ là cần thiết và bảo mật tốt sẽ được lựa chọn cho bảo mật 3G; - Bảo mật mạng 3G sẽ cải tiến bảo mật của các hệthốngthông tin di động thế hệ hai (bảo mật 3G sẽ cải tiến các điểm yếu bảo mật ở các hệthống 2G); - Bảo mật 3G sẽ cung cấp các thuộc tính mới và bảo mật các dịch vụ mới được cung cấp bởi mạng 3G Các phần... tiến để phát triển ứng dụng Sử dụng các công nghệ mới nhất về thanh toán di động Tính linh hoạt: Hệthống cần được phát triển trên nền tảng phổ biến, tin cậy, đảm bảo có thể mở rộng, bổ sung tài nguyên của hệthống tại lớp hạ tầng khi có nhu cầu tăng hiệu năng của hệthống mà không làm gián đoạn, ảnh hưởng tới các dịch vụ của hệthống An toàn bảo mật: Hệthống cần được đảm bảo an toàn, an ninh với mức . mật cho hệ thống Mobile Payment trên 3G
Chương 3: Đề xuất xây dựng hệ thống Mobile Payment trên 3G.
Kết luận
CHƯƠNG 1: TỔNG QUAN VỀ MOBILE PAYMENT. bảo mật hệ thống MP trên 3G
2.2.1. Kiến trúc hệ thống MP trên 3G
Hình 2.4 dưới đây mô tả mô hình kiến trúc một hệ thống Mobile Payment trên 3G.
14