Dịh vụ sms banking, các vấn đề bảo mật và ứng dụng

90 Trang 6 5 CÁC TỪ VIẾT T T SỬ ỤẮ D NG TRONG BÁO CÁO Viế ắt t t Viế ầ ủt đ y đD ch nghĩa ị3GPP Third Generation Partnership Project AuC Authentication CenterTrung tâm nhận thực BS Bas

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI -

1

M ỤC LỤ 1 C

L ỜI CAM ĐOAN 3

CÁC HÌNH VẼ Ử Ụ S D NG TRONG BÁO CÁO 4

CÁC TỪ VI T T T S D NG TRONG BÁO CÁO 5 Ế Ắ Ử Ụ TÓM TẮT ĐỒ ÁN 8

ABSTRACT 9

CHƯƠNG 1: MỞ ĐẦ U 10

1.1 Giới thiệu đề tài 10

2.2 Ph ạm vi đề tài 12

CHƯƠNG 2: CƠ Ở S LÝ THUY T 15 Ế 2.1 C ơ ả b n v h th ề ệ ố ng GSM và các v ấ n đ ề ả b o m t .15 ậ 1.1.1 H ệ ống GSM th 15

1.1.2 Bảo mật trong hệ thống GSM 25

2.1.3 Các h n ch ạ ế ả b o m t trong ki ậ ế n trúc GSM .30

2.2 Dịch vụ mobile banking và các công ngh ệ dùng trong mobile banking 32

2.2.1 Các d ch v ị ụ ngân hàng qua di đ ng 32 ộ 2.2.2 Các công nghệ ử ụ s d ng 34

2.2.3 Hiện trạng của dịch vụ SMS banking t i Việt Nam 36 ạ CH ƯƠNG 3: LÝ THUYẾT CƠ Ở Ề Ơ S V C CH Ế MÃ HÓA BẢO MẬT 40

3.1 Các khái niệm 40

3.2 Gi ả i thu ậ t mã hóa c ơ ả b n 42

3.2.1 Mã hóa đố i xứng 42

3.2.2 Mã hóa bất đối xứng 44

3.2.3 M ộ t số huật toán n i ti t ổ ế ng 45

3.3 Xác thực 48

3.3.1 Phân loại xác thực 49

3.3.2 Các y ế u tố xác th ự c 49

3.3.2 Xác th c b ự ả o đ ả m tính tức thời 50

3.3.3 Hàm băm (Hash) trong bả o mật 52

CHƯƠNG 4: PHÂN TÍCH GIẢI PHÁP BẢO M T CHO D CH V Ậ Ị Ụ SMS BANKING 54

4.1 Giải pháp 54

4.1.1 Thành ph ầ n ứ ng d ụng di độ ng 54

4.1.2 Máy chủ ngân hàng 57

4.1.3 C s d ơ ở ữ ệ li u (CSDL) cu i 59 ố 4.2 Đị nh d ng b n tin và giao th c xác th c 59 ạ ả ứ ự 4.2.1 C ấu trúc bản tin 59

4.2.2 Các giao thức bắt tay 63

4.3 Giải pháp cho vấn đề xác thực và giao thức trao đổi bản tin 67

4.3.1 Sinh khóa 68

4.3.2 L ưu trữ khóa 69

4.3.3 Quản lý khóa 70

4.3.4 Ứng d ng c ụ ủa các khóa 71

2

4.3.5 T ạo và gửi bản tin bảo mậ 73 t

4.4 Phân tích tính bảo mậ ủ t c a giải pháp 74

4.4.1 Các thành phần chính trong mô hình 75

4.4.2 Tính b ảo mậ ủa giải pháp 75 t c 4.4.3 Các mô hình tấn công 78

CH ƯƠNG 5: THIẾT KẾ VÀ TRI N KHAI H Ể Ệ TH Ố NG .83

5.1 Môi tr ường ứ ng d ụ ng phía di đ ộ ng 83

5.1.1 Giới thiệu J2ME 83

5.1.2 Các thành phầ ủ n c a J2ME 84

5.1.3 Giới thiệu về MIDlet 85

5.2 Môi tr ng phát tri ườ ển 85

5.3 Thiế ế ệ ố t k h th ng 87

5.3.1 Biểu đồ ca s d ng 87 ử ụ 5.3.2 Biểu đồ ớ l p c a gói ủ ứ ng dụ ng phía ng ười dùng di độ ng 89

5.3.3 Biểu đồ ớ l p c a gói ủ ứ ng dụng máy chủ 90

5.4.4 Thi ế t kế ơ ở ữ c s d ệu 92 li 5.4 Triển khai hệ ố th ng .93

5.4.1 Các công nghệ ả b o m t 94 ậ 5.4.2 B ộ sinh mật khẩu tuần tự 95

5.4.3 K ế t nối giữa Client và Server 96

5.4.4 Kiểm thử ạ l i kết quả 96

K ẾT LUẬ 99 N CÁC TÀI LI U THAM KH Ệ Ả O 104

3

Tôi xin cam đoan rằng toàn bộ ộ n i dung trong bài luận văn của tôi dưới

văn của tôi đều đã được ch rõ nguồn trong danh mỉ ục Tài liệu tham kh o cả ủa luận văn

4

Hình 1.1: Mô hình c ủa hệ thố ng cung c p d ch v qua tin nh n 13 ấ ị ụ ắ Hình 2.1: Ki n trúc m ng GSM 16 ế ạ

Hình 2.2: Ki n trúc m ng GSM h d ch v ế ạ ỗ trợ ị ụ SMS 20

Hình 2.3: Th t ủ ục xác thự c thuê bao trong GSM 28

Hình 2.4: Th t ủ ụ c tạo ra dữ liệ u mã hóa trong GSM 29

Hình 2.5: Các thuậ t toán mã hóa dùng trong GSM 30

Hình 3.1: Thu ật toán mã hóa đố i xứ ng 43

Hình 3.2: Thu t toán mã hóa b ậ ất đối xứ ng 45

Hình 3.3: Gi ải thuậ t mã hóa DES 47

Hình 3.4: Xác th ự c bằ ng thách th ức/đáp ứ ng 51

Hình 4.1: T ng quan v gi i pháp 57 ổ ề ả Hình 4.2: C u trúc b n tin SMS 60 ấ ả Hình 4.3: Mô hình t ấn công đườ ng truy n 79 ề Hình 4.4: Mô hình t n công hình cây 82 ấ Hình 5.1: Bi ểu đồ ca sử ụ d ng 88

Hình 5.2: Bi ểu đồ ớ l p c ủa ứ ng d ụng di độ ng 90

Hình 5.3: Bi ểu đồ ớ l p c a gói ng d ng máy ch 91 ủ ứ ụ ủ Hình 5.4: Mô t ả thao tác p hía ng d ứ ụng di độ ng 98

Configuration

6

Subsystem

công cộng

công cộng

7

ngắn SMS-

chuyển

8

Đề tài này x t phát t th c t bùng n d ch v di đ ng và các hình uấ ừ ự ế ổ ị ụ ộthức cung c p dấ ịch vụ gia tăng qua SMS Các hình thức cung c p dấ ịch vụ

ngân hàng

Luận văn trư c hớ ết sẽ nghiên c u kĩ hơn v cá ấứ ề c v n đề ả b o mật trong

các công nghệ ỗ ợ h tr và các khía cạnh bảo mậ ốt đ i v i dớ ịch vụ ngân hàng qua

qua di động v i các d ch v ớ ị ụ và kĩ thuật bảo m t khác nhau, lu n văn s đi sâu ậ ậ ẽ

biến nhất mà tất cả các điện thoại di đ ng đều hỗ ợộ tr và m i người sử ụọ d ng

đều bi t t i, hơn nũa các d ch v cung c p n i dung qua SMS đang h t s c ế ớ ị ụ ấ ộ ế ứ

ph biổ ến tại Vi t Nam và thu hút đông đ o người sử ụệ ả d ng

Luận văn s t p trung vào viẽ ậ ệc phân tích và đưa ra giải pháp bảo mật

cơ chế xác th c, mã hóa, giải mã cho mụự c đích bảo m t và cơ chế ửậ x lý m đả

Java và sử ụ d ng hệ ả qu n trị cơ s d liệu MySQL Phầở ữ n cuối luận văn là phần

9

ABSTRACT

The thesis is originated from the realistic when information providing

various aspects of life and becoming very familiar with Vietnames customers, one of thoes is mobile banking service

We present an overview of GSM network and its security limitations This thesis explores the current technological and security aspects in mobile banking systems We review a number of systems offering mobile banking services and highlight their technologies, services and security implementations We will concentrate in SMS banking service since SMS service is support in most of cellular phones and service via SMS are now very popular and attracting a great amount of customer in VietNam

We further explore various authentication protocols relevant to our study and review them to come up with our proposed protocol Hence a number of issues like confidentiality and integrity of the message including authentication still need attention We therefore present a prototype implementation that demonstrates how these security aspects can reliably be

confidentiality and processes message digest for integrity checks We end up

countries and future work

tầm ảnh hưởng rất lớn.

đến m i m t c a đ i s ng xã h i S phát tri n c a m ng internet và thông tin ọ ặ ủ ờ ố ộ ự ể ủ ạ

đã góp phần tích c c trong việự c thúc đ y các lĩnh vẩ ực khác củ ờ ốa đ i s ng Con

và Internet của Vi t Nam v n đang ti p t c tăng trư ng m nh m c bùng n ệ ẫ ế ụ ở ạ ở ứ ổ

thông tin di động đã “tấn công” vào t t c c các lĩnh v c trong đó có lĩnh v c ấ ả ả ự ựtài chính ngân hàng và đã định hình lại th trư ng dịị ờ ch v ụtài chính

Ngân hàng điện tử là hình th c cung cấứ p các d ch vụị ngân hàng t i ớ

chưa cao, trình độ ủ c a đại đa s ngư i dùng cũng chưa ố ờ đủ để khai thác các

11

cũng rất chú tr ng đ n dịọ ế ch v ụnày, đến nay rất nhiều ngân hàng đã triển khai

Thương mại di động là các giao d ch thương m i đư c th c hi n thông ị ạ ợ ự ệqua hệ ố th ng thông tin vô tuyến và thiết bị di động Mobile banking là dịch vụ cho phép người dùng nh n các thông tin vậ ề tài khoản, chuy n kho n giể ả ữa các tài khoản ngân hàng, giao dịch chứng khoán và thanh toán sử ụ d ng thiế ị di t b

động Các thông tin này đ u là các thông tin nh y c m, các giao d ch l i liên ề ạ ả ị ạquan trực tiếp với vấn đề tài chính, đó là điểm khác biệt của d ch vị ụ mobile

hàng Trong s các công ngh cho phép thố ệ ực hiện việc triển khai dịch vụ mobile banking, phải kể ớ t i dịch vụ tin nhắn ng n SMS vì sắ ự ph biổ ế ủn c a nó Hơn nữa các d ch v cung c p n i dung đang h t s c ph bi n nên vi c đưa ị ụ ấ ộ ế ứ ổ ế ệ

Xuất phát từ ữ nh ng lý do nêu trên, luận văn xin ch n đọ ề “tài là D ị ch vụ SMS banking, các vấ n đ ề ả b o m t và ng d ậ ứ ụng” Với mong mu n có thêm ốkiến thức về ộ m t dịch vụ tuy không mới nhưng chưa nhi u đề ề tài th c s quan ự ự

trong các dịch vụ tài chính nói riêng, cùng với sự hướng d n nhiẫ ệt tình của các thầy cô giáo, tôi đã c g ng hết sứố ắ c và vận d ng tụ ối đa các kiến th c mà ứ

12

2.2 Phạ m vi đ ề tài

Hiện tại có rất nhi u công ngh ho phép cung cề ệ c ấp các ứng dụng dịch

khắc ph c các hụ ạn chế ả b o mật của các giải pháp này Luận văn s c biệt ẽ đặ

cung c p dấ ịch vụ di động, thành phần giao tiếp chính v i ngân hàng nói ớ

• Content Provider: nhà cung c p dấ ịch vụ ộ n i dung, cụ ể ở th đây là máy

qua một gateway để ế k t n i vố ới mạng di động nhằm tiết kiệm chi phí

13

Đố ới v i các d ch v tài chính ngân hàng đi n t , y u t khác bi t nh t ị ụ ệ ử ế ố ệ ấ

và SMS gateway là đường truyền có dây và có cung cấp các cơ chế phòng

hiểm Công nghệ GSM và d ch vụị tin nhắn ng n SMS có rắ ất nhiể ạn chế ều h v

máy chủ lưu tr ữ đầu cuối hoặc trung gian Các công ty vi n thông vễ ới việc lưu

công hệ ố th ng nhằm có được thông tin một cách bất hợp pháp

SMS Gateway

SMSC

proto

cols

SMSC

SMSC

14

Quá trình này đặt ra vấn đề ề v xác th c đưự ợc người dùng, quản trị ữ d liệu và

đặc bi t là tính b o m t c a d li u Do đó câu h i chính đư c đ t ra là ệ ả ậ ủ ữ ệ ỏ ợ ặphương pháp giải quyết các thách th c b o mậứ ả t mà m t h th ng dịộ ệ ố ch v ụSMS banking được phả ối đ i mặt và quản lý các rủi ro của nó Để ltrả ời được câu hỏi đó, luận văn s tìm hi u lầẽ ể n lượt các vấn đề sau:

động, đ c bi t là SMS ặ ệ

- Mô hình ảo mậ phù hợp nhấ ố b t t đ i với các nư c đang phát triớ ển

- Các mô hình, giải pháp ảo mậ đề xuấ b t t

Trên đây là mô tả chung v d ch vụ ề ị SMS banking Trong ph m vi lu n ạ ậ văn với thời gian nghiên cứu có hạ n, tôi xin đư c phép thu hẹp phạm vi đề ợ

luận văn trong việc xây d ng m t mô hình ự ộ giải pháp bảo mật với các phương pháp xác thực, mã hóa, kiểm tra tính toàn vẹn cho d ch v SMS ị ụ banking triển khai ở ả c hai phía máy ch và thiủ ế ị t b di đ ng ộ

15

Trong ph n này ầ luận văn s ẽ nghiên cứu các thành ph n và ầ chức năng

luận văn s nghiên c u các công nghệ ỗẽ ứ h ợ mobile banking và các đặtr c điểm

2.1 Cơ bả n về ệ h ố GSM và các v th ng ấ n đ ề ả b o m ậ t.

1.1.1 H ệ thống GSM

đầu nghiên c u chu n hóa m ng thông tin t bào công c ng cứ ẩ ạ ế ộ ủa châu Âu ở ầ t n

được s d ng ở ử ụ hơn 200 quốc gia Các tiêu chu n kỹẩ thu t c a m ng GSM ậ ủ ạ

DCS1800 và PCS1900

Mạng theo chuẩn GSM có các đặc điểm: cu c tho i đư c s hóa, h tr ộ ạ ợ ố ỗ ợ

chuyển m ch kênh, vạ ới tốc độ không lớn hơn 14.4Kbps (với cấu hình đơn khe) hoặc 57.6Kbps (với cấu hình đa khe)

16

Hình 2.1: Kiến trúc m ng GSMạ

a1 Phân h vô tuyệ ến BSS g m ồ

nhà cung c p dấ ịch vụ ạ m ng ở ạ d ng vi chip trong một smart card

17

-đồng th i T i đây, các tín hi u vô tuy n đư c đi u ch , khuy ch đ i và ph i ờ ạ ệ ế ợ ề ế ế ạ ố

 Phát quảng bá các thông tin h th ng trên kênh BCCH dưới sự ệ ố

 Ấn đ nh các kênh điị ều khi n riêng DCCH dư i s đi u khi n c a ể ớ ự ề ể ủBSC

 Mã hóa, giải mã và ghép kênh

• Thiết b đi u khi n tr m g c BSC (Base Station Controller) ị ề ể ạ ố

Các chức năng chính của BSC:

 Quản lý mạng vô tuyến

môi trường vô tuy n, s ợế ố lư ng cu c g i rớ ố ầộ ọ t, s l n chuy n giao thành ể

 Quản lý BTS

Trước khi đưa vào khai thác, BSC lập c u hình c a tr m thu phát ấ ủ ạ

18

Trong quá trình gọi, sự đấu nối đư c BSC quan sát Cư ng đợ ờ ộ tín hi u ệ

và chất lượng tiếng đư c đo ợ ở MS và BTS gửi đến BSC, từ đó BSC quyế ịt đnh công suất phát tốt nhất cho MS để ảm nhi u cgi ễ ủa mạng và tăng cường chất lượng n i thông ố

Switching Center)

VLR, AuC, EIR Cũng từ MSC, các tin t c báo hi u c n thi t s đư c phát ra ứ ệ ầ ế ẽ ợ

hiện các quá trình Handover Trong chế độ tho i, một bạ ộ triệ ết ti ng v ng EC ọ

MS trong các trường hợp thông tin

19

HLR là cơ sở ữ ệ d li u trung tâm, quan tr ng nh t trong họ ấ ệ ố th ng GSM

Ở đó lưu tr các d li u v thuê bao đăng ký trong m ng c a nó, gữ ữ ệ ề ạ ủ ồm những

ký, số ệ li u động v vùng mà ề ở đó đang ch a thuê bao củứ a nó…

cá nhân Ki của các thuê bao và t o ra b ba tham s nh n th c “triple”: ạ ộ ố ậ ựRAND (random number), Kc (cipher key), SRES (signed response) khi HLR yêu cầu để ế ti n hành quá trình nhận thực thuê bao

EIR là cơ sở ữ ệ d li u thông tin v tính h p l c a mộề ợ ệ ủ t thi t b ME qua s ế ị ố

Equipment Identity) Một thiết bị ẽ s có s ố IMEI thu c 1 trong 3 danh sách:ộ

 Danh sách trắng (white list) -> ME hợ ệ p l

 Danh sách đen (black list) -> ME đã bị ấ m t

thể bao g m mộồ t ho c nhi u trung tâm v n hành và bặ ề ậ ảo dưỡng OMC

20

và qu n lý thuê bao mả ột cách t p trung ậ

nhắn tin, fax, máy ch Internet tủ ừ xa, m t thiết bịộ di động phải được cấu hình để làm vi c t t trong mạệ ố ng di động Thiế ịt b thường được c u hình ngay ấ

21

Để trao đ i tin nh n, SME t o và g i tin nh n g i là SME ngu n ổ ắ ạ ử ắ ọ ồ(Originator SME), còn SME nhận tin gọi là SME đích (Recipient SME)

trúc SMS Chức năng chính của SMSC là chuyển mạch tin nh n giắ ữa các SME và là bộ nh lưu tr tin nh n (nớ ữ ắ ếu SME đích không sẵn sàng nhận)

MSC), hoặc là một thành phần độc lập của mạng SMSC cũng có thể đặ t ngoài mạng và được qu n lý b i m t t ch c th ả ở ộ ổ ứ ứ3

Thực tế, các nhà đi u hành mề ạng thường yêu cầu một hoặc nhiều

động

khách hàng

b3 SMS Gateway/ Interworking Mobile Switching Centre (SMS G/IW MSC)

22

tiếp giữa hai thực thể

tin định tuy n c a m t thuê bao đư c ch nh đ trả ờế ủ ộ ợ ỉ đị ể l i truy v n c a SMSC ấ ủ

thành công bởi m t sộ ố lý do nào đó, khi thuê bao này đư c nhậợ n d ng trạ ở ạ l i

MSC v n có chẫ ức năng chuyển mạch cho hệ ố th ng, điều khiển cu c gộ ọi

phục vụ các thuê bao đó

Phân h vô tuy n vệ ế ẫn đóng vai trò giao tiếp trực tiếp với thuê bao qua giao di vô tuyện ến

Các ứng d ng và khai thác d ụ ị ch vụ tin nh n ắ

Ứng d ng ph bi n nh t c a d ch v này là trao đ i thông tin d ng text ụ ổ ế ấ ủ ị ụ ổ ạ

di động trao đổi thông tin có gi i hạn, tuy nhiên nó là ớ tiền đề phát tri n cể ủa

chính:

 Báo có Email mới

Khai thác SMS cho các thông tin giá tr ị gia tăng

di động g i một tin nhắử n SMS t i mộ ầớ t đ u s nhố ất định (thường là s r t ố ấ

dung – CP (Content Provider)

24

Sau khi nhận được tin nh yêu cắn ầu, nếu CP đăng ký nhi u đề ầu số, phải

định tuy n tin nh n đ n CP con v i đ u s tương ng M i CP con này l i có ế ắ ế ớ ầ ố ứ ỗ ạthể ph c vụ ụ nhi u dịề ch vụ, thường phân bi t nhau bệ ởi từ khóa đ u trong bản ầtin Như vậy, cần định tuy n tin nh n m t l n n a d a trên n i dung tin đ ế ắ ộ ầ ữ ự ộ ể

đến được server x ửlý Quá trình đ nh tuy n này có th làm thay đ i đ nh d ng ị ế ể ổ ị ạ

bản tin tùy thuộc giải pháp của từng CP Server sau khi xử s llý ẽ trả ại kết quả

dướ ại d ng mộ ảt b n tin có đ nh dạị ng như khi nó nhận vào Bản tin này đi theo

đường ngượ ạc l i, v t i SMSC, đề ớ ến thuê bao đầu cuối như một tin nh n SM-ắ

MT thông thường

Để tri n khai m t h th ng d ch v như v y, v m t cơ s h t ng bên ể ộ ệ ố ị ụ ậ ề ặ ở ạ ầ

thông thường Chỉ ầ c n có thỏa thu n kế ốậ t n i gi a CP và nhà qu n tr m ng di ữ ả ị ạ

động khi SMSC nh n đư c tin nh n SMS v i đ a ch đích là đ u s ng n, để ậ ợ ắ ớ ị ỉ ầ ố ắ

cần có:

định tuy n tin nh n t i server xử ế ắ ớ lý

SMS cũng như thông tin khách hàng

ứng d ng d ch v cung c p đ n khách hàng ụ ị ụ ấ ế

đều ch n gi i pháp k t n i tr c ti p K t n i tr c ti p đ n SMSC có nh ng ưu ọ ả ế ố ự ế ế ố ự ế ế ữ

cung cấp d ịch vụ giá trị gia tăng, mà c ụ ể ở th đây là các d ịch vụ ngân hàng ở

đó có các đ ặ c đi m chung vớ ể i các d ch v ị ụ khác cũng như các đ ặc thù riêng

1.1.2 B ả o mật trong hệ thống GSM

b ị điện thoại thông minh, đi kèm với các lỗ ổng bảo mậ h t trên môi trường di

động ngày càng gia tăng, bảo m t m ng di đ ng đang tr thành m t ch ậ ạ ộ ở ộ ủ đềnóng Hiện nay môi trường mạng di đ ng đang đưộ ợc khai thác triệ ểt đ cho các

ứng d ng cung c p giá tr gia tăng d a trên SMS, d ch v cung c p thông tin ụ ấ ị ự ị ụ ấtrực tuyến, thậm chí cả ị d ch vụ ấ r t nhạy cảm về an toàn thông tin là thanh toán trực tuyến bằng điện thoại di động Những dịch vụ này dựa trên các phương thức truyền dẫn cơ bản do m ng di đ ng không dây cung c p và ạ ộ ấ

động đầu cu i và tr m thu phát sóng, m ng GSM có nh ng r i ro b o m t ố ạ ạ ữ ủ ả ậnhư:

• Tấn công giả ạo thiết bị di độ m ng đầu cuối

• Nghe lén cuộc gọi

26

• Tấn công dùng phương th c ngưứ ời th ba đ ng giữa (man in the ứ ứmiddle attack)

• Xác thực thuê bao

Ngoài ra để ả b o vệ ngư i dùng trong trườ ờng hợp mất thi t bịế di đ ng, ộtrong SIM còn tích h p sợ ẵn một phương pháp xác thực khác là dùng PIN

thuê bao- người sở ữ h u SIM bi t PIN sế ẽ đư c yêu cầợ u nh p khi bậ ật máy điện

nhà cung cấp mạng cần phải tạo ra m t SIM mộ ớ ếi n u v n mu n dùng s đi n ẫ ố ố ệthoại cũ

thừa gây ra tăng m c đứ ộ ử ụ s d ng tài nguyên mạng của các thuê bao H ệthố g n

s dử ụng số ác thự x c thuê bao di động quốc tế International Mobile (Subscriber Identity - IMSI) để nhận diện duy nhất một thuê bao

IMSI (số nhận dạng thuê bao di động quốc tế) được chứa trong thẻ SIM

27

IMSI thường là một chu i 15 ch s , bao g m m t MCC (mobile country ỗ ữ ố ồ ộcode), một MNC (mobile network code) và một MSIN (mobile station

s ố IMSI chỉ đư c gử ếợ i đ n mạng di động lần đầu khi thiết bị di đ ng đư c bật ộ ợ

như s có đưẽ ợc 50% thông tin cần thiế ểt đ nhân bản SIM, số còn lại cầ ấy là n l

mã Ki) Để làm được điều đó, thay vì truyền con số IMSI ở dạng trần thì

TIMSI (TMSI) là một số nhận dạng thuê bao hợp lệ theo phiên và nó là

số duy nhất với mỗi vùng địa lý mà thuê bao di chuyển tới Số nhận dạng vùng (Location Area Identity – LAI) luôn được dùng kết hợp với TMSI TMSI, IMSI và LAI luôn được lưu một cách bảo mật trong cơ sở dữ liệu (CSDL) của VLR Để giải mã ra số nhận dạng thuê bao, nhà cung cấp dịch vụ

sẽ dùng số IMSI để truy vấn TMSI từ CSDL của VLR sau đó so sánh TMSI

không gian Khi số này được xác thực thành công, nhà cung cấp dịch vụ sẽ

Trong thực tế, số IMSI chỉ được truyền qua môi trường di động trong hai trường hợp sau:

• SIM mới được kích hoạt (sử dụng lần đầu tiên)

• Xảy ra mất mát dữ liệu tại VLR, khi đó phải có yêu cầu nhà cung cấp mạng

Xác thực thuê bao được thực hiện bằng khóa xác thực thuê bao Ki cùng với số IMSI Khóa này cũng được khởi tạo trong thẻ SIM và được lưu trữ trước đó ở trung tâm xác thực (AUC) của nhà cung cấp dịch vụ Thuật toán xác thực là A3, thuật toán này yêu cầu cả thuê bao di động và nhà điều hành mạng phải cùng giữ khóa Ki Để thực hiện việc xác thực, nhà cung cấp dịch vụ di động

sẽ sinh ra một số ngẫu nhiên (RAND) dùng để tính toán ra đáp ứng chữ ký (SRES) Số ngẫu nhiên này sẽ được gửi tới máy di động của thuê bao, nó sẽ dùng số này để tính ra SRES và sau đó gửi lại cho mạng Nếu hai giá trị SRES trùng nhau, xác thực sẽ thành công Hình 2.3 mô tả chu trình của xác thực

29

Để đả m b o tính riêng tư c a các thông tin ngư i dùng trên đư ng ả ủ ờ ờ

liệu được truyền đi Nhà cung cấp mạng di động sẽ là bên điều khiển kích

Thuật toán A5 là m t thuộ ật toán đối xứng, sử ụ d ng khóa Kc đ tể ạo ra một

ra dữ ệ li u mã hóa Thuật toán A5 được lưu trữ ằ b ng ph n c ng trên thiầ ứ ết bị di

động, b x lý c a ĐTDĐ s ch u trách nhi m th c hi nộ ử ủ ẽ ị ệ ự ệ

A8

Cipher Text

Ki RAND

thuật toán mã hóa

thuật toán, cách thi hành, không cho cộng đồng biết đư c cơ chợ ế ả b o mật

Tuy nhiên, quan điểm hi n đ i v an toàn thông tin cho rệ ạ ề ằng phương thức b o ả

dù tố ết đ n đâu cũng có thể m c l i, và nắ ỗ ếu không đư c công khai đợ ể ộ c ng

đồng ki m ch ng thì hoàn toàn có th b m c nh ng l i nghiêm tr ng mà ể ứ ể ị ắ ữ ỗ ọchưa ai biết Th c tế ự đã chứng minh là dù được nhà sản xu t c g ng gi bí ấ ố ắ ữ

mật sau nhiều năm, hacker đã tìm đư c thông tin khá đ y đợ ầ ủ v ềcác thuật toán A3, A5 và A8

31

đáng nói là ngư i dùng điờ ện tho i di đ ng không hề ợạ ộ đư c bi t là đư ng truyền ế ờ

hình thức tấn công “ngư i đờ ứng giữa” đểnghe lén cuộc gọi

c Thuật toán xác thực A3/A8

trên toàn thế giới Tuy nhiên, có một số ỗ ổ l h ng trong thuật toán dẫn đến nó

có thể ị ấ b m t tác dụng, kẻ ấ t n công có thể ấ l y được khóa Ki và tạo ra các SIM

tuy nhiên Kc lại chỉ có đ ộdài 54 bit

vẫn chưa có cơ ch đểế MS xác thực BS do đó rất dễ ẫ d n đến khả năng tấn công giở ữa đường truy n về ới một BS giả ạ m o nhằm mục đích lấy c p thông ắ

32

của kiểu tấn công này như sau:

• Hacker dùng các phương pháp khác nhau để ắ b t các thi t b di đ ng ế ị ộ

trạm phát sóng h p lợ ệ

• Sau khi đã thiế ật l p k t n i, tr m phát sóng c a hacker g i thông đi p ế ố ạ ủ ử ệkhông hỗ ợ tr mã hóa đến thiết bị di đ ng đ u cuốộ ầ i (giao thức không mã hóa

trong SIM để mã hóa cu c g i H u quảộ ọ ậ là hacker có th ể nghe lén được cuộc gọi

Chuẩn GSM được thiết kế ầ g n 20 năm trư c đây đã trởớ nên l i th i vỗ ờ ề các

ngày càng tr nên rở ẻ hơn và nằm trong tầm với của hacker dẫ ến đ n h u quậ ả là

của chuẩn 3G, các vấ ền đ bảo mật trên GSM sẽ được giải quyế triệ ểt t đ

2 2 D ị ch vụ mobile banking và c công ngh ác ệ dùng trong mobile banking

2 2 .1 Các dịch vụ ngân hàng qua di độ ng

Ngân hàng hay nhà băng là tổ chức tín dụng thực hi n các hoệ ạ ột đ ng tín

phát hành các loại kỳ phiếu, hối phiếu, v.v và m t số hoạ ộộ t đ ng khác

33

Các lĩnh vực ho t đ ng c a ngân hàng vô cùng đa d ng, nhưng m t ạ ộ ủ ạ ộ

các nghi p v bán lệ ụ ẻ liên quan trực tiếp đ n khách hàng, và đế ặc bi t là khách ệ

• Thông báo biế ộn đ ng s dư (bao g m c ghi n và ghi có)ố ồ ả ợ

• Yêu cầu xem l ch s giao d ch g n đây ị ử ị ầ

• Tra cứu thông tin tài chính nh t giá ngo i t , lãi su t ngân hàng ứ ỷ ạ ệ ấ

• Truy vấn s dư tài kho n ố ả

• Tra cứu tình tr ng c a séc ạ ủ

• Yêu cầu thanh toán séc

• Chuyển kho n gi a các tài kho n ả ữ ả

Trước khi có các d ch v ngân hàng đi n t như ngân hàng tr c tuy n ị ụ ệ ử ự ế(internet banking), ngân hàng qua di động (mobile banking), khách hàng muốn thực hiện giao dịch đều phải đ n các đ a điế ị ểm phòng giao dịch của

điểm giao d ch có h n, đ c biệt là các ngân hàng nhỏị ạ ặ , mạng lưới chưa rộng, thì sẽ ẫ d n tớ ất nhi u bi r ề ất tiện cho khách hàng Chính vì lẽ đó s ra đự ời của

34

các d ch vị ụ ngân hàng đi n tệ ử đã mang l i rấạ t nhiều đổi mới cho các d ch vị ụ truyền thống, và đặc biệt là rất có ích đố ới v i các ngân hàng quy mô nh ỏCùng với sự phát tri n cể ủa internet và di đ ng, đây hộ ứa hẹ ẽn s thúc đ y các ẩ

2.2.2 C ác công nghệ ử ụng s d

SMS là dịch vụ tin nhắn kí t cho pự hép triển khai các giao dịch mobile

trúc l nh cệ ủa d ch v và gị ụ ửi tới mộ ố địt s nh trư c tương t như các dớ ự ịch vụ

chính là tính bảo mật còn ưu đi m lớể n nhất của nó là hầu như tất cả các lo i ạđiện thoại di đ ng độ ều hỗ ợ ị tr d ch v ụ này

di động s Nó dùng các khái ni m g n gi ng v i các khái ni m c a internet ố ệ ầ ố ớ ệ ủ

thường trú trên thi t bị ế di động s truy nh p vào trang c a ngân hàng qua ẽ ậ ủ

c Giao tiếp giọng nói tương tác (IVR)

thực hi n cuệ ộc gọi tới mộ ố địt s nh sẵn để có th s d ng các d ch vể ử ụ ị ụ ngân

35

hàng Khách hàng gọi t i sớ ố IVR và thư ng đư c trả ờờ ợ l i bằng các tin nhắn đã

Các ứng dụng độc lập này đặc bi t phù h p vệ ợ ới các giao dịch ngân

theo giao diện ngư i dùng mà điờ ện thoại hỗ ợ tr Các ứng dụng người dùng này đượ ảc t i về thiết bị di động do đó yêu cầu đi n thoạệ i ph i hả ỗ trợ các môi trường phát tri n như J2ME Như c đi m chính c a các ng d ng này là c n ể ợ ể ủ ứ ụ ầ

phải được chỉnh sửa cho từng điện thoại di động

di động qua SMS Sau đây lu n văn s đi sâu hơn vậ ẽ ề các h n chế ủạ c a dịch vụ

Các hạn ch ế ủ c a cách ti p c n d a trên SMS hi n t ế ậ ự ệ ạ i

Trong hệ ố th ng GSM, d ch vị ụ SMS được thiết kế để thuê bao g i các thông ử

tương hỗ ả, b o mậ ữ ụ ảt d liê , b o mậ ầt đ u cu i h u hố ầ ết đều b b qua ị ỏ

Tin nhắn SMS là mộ ạt d ng d li u đ c bi t g i trên m ng GSM Vì lý ữ ệ ặ ệ ử ạ

do điện tho i di đ ng có khả ạ ộ năng roaming, nhà cung cấp dịch v không th ụ ểxác thực ID của người gửi Chính vì v y hacker có thậ ể giả ạ m o ngườ ửi i g

bằng cách sử ổa đ i trường sender ID trong dữ liệu header c a tin nh- ủ ắn

th tiể ến hành lừa đ o ngưả ời dùng b ng tin nh n mằ ắ ột cách d ễ dàng Nếu người

tương đố ễi d dàng

một trong các điểm có thể ị ấn công Nguy hiể b t m hơn, tất cả tin nhắn đều ở

Nhữ ng đ c điể ặ m trên đ t ra một nhu cầu cấp thiết là phải có các cơ chế ả ặ b o

mậ ố t đ i với các giao dịch banking qua SMS nhằm bả o đ m quyền lợi và tài ả

sản của khách hàng khi sử ụng dịch vụ và cũng chính là để ảo vệ ngân d b

hàng trướ c nh ng rủi ro khi triển khai dị ữ ch v ụ

2.2.3 Hiện tr ng c a d ạ ủ ị ch vụ SMS banking t ạ i Vi t Nam ệ

Dịch vụ SMS banking bắt đầu được biết đến và triển khai ở Việt Nam

từ năm 2006 Năm 2007, một số ngân hàng đã triển khai dịch vụ SMS

đến nay, rất nhiều ngân hàng đã gia tăng thêm nhiều dịch vụ trên nền SMS Banking nhất là các dịch vụ liên quan đến sự biến động của tài khoản và dịch

vụ này cũng đã dần trở nên phổ biến Để gia tăng thêm một tiện ích của dịch

37

vụ SMS Banking cũng là cả một quãng đường dài đòi hỏi theo đó là bước tiến của công nghệ tương thích và công nghệ bảo mật

• Thứ nhất là áp dụng cho mọi đối tượng khách hàng có thuê bao di động (kể cả các khách hàng không đăng ký sử dụng dịch vụ tại Ngân hàng) Loại hình dịch vụ này mang tính tra cứu các thông tin tĩnh của ngân hàng và không

Loại hình dịch vụ này tương đối đơn giản

hàng muốn sử dụng phải đăng ký tại quầy giao dịch theo biểu mẫu của Ngân hàng (nhằm mục đích liên kết số tài khoản với số điện thoại của khách hàng) Các thông tin tra cứu thường là biến động theo tài khoản của khách hàng Ví

dụ như tra cứu số dư tài khoản qua SMS, tra cứu lịch sử giao dịch của khách hàng (liệt kê 05 giao dịch gần nhất), tự động thông báo thay đổi số dư tài

phải có tính an toàn cao vì liên quan trực tiếp tới tài khoản của khách hàng

Cùng với sự phát triển của công nghệ viễn thông và của các dòng máy điện thoại hiện đại có hỗ trợ java, năm 2008 là năm khởi đầu cho nền tảng Mobilebanking Các ngân hàng đã quan tâm tới việc cài đặt ứng dụng SMS Banking của mình vào điện thoại di động của khách hàng (điện thoại hỗ trợ java) để thuận tiện trong thao tác cũng như có thể mã hóa nội dung tin nhắn Việc cài đặt ứng dụng SMS Banking trên ĐTDĐ sẽ giúp khách hàng có thể tải phần mềm ứng dụng để không phải nhắn tin nhớ cú pháp mà chỉ cần truy cập như một tiện ích thông thường trên điện thoại Sau khi sử dụng dịch vụ,

38

Banking được kết hợp với công nghệ xác thực mạnh (One time Password),

toàn hơn Điều này nhằm hạn chế tối đa việc làm giả tin nhắn lệnh chuyển tiền Đây cũng là công nghệ đang rất phổ biến trên thế giới trong các giao dịch tài chính điện tử như ngân hàng, chứng khoán,…

Dịch vụ SMS banking khi triển khai ở Việt Nam cũng gặp khá nhiều khó khăn Hiện nay đang là thời điểm phù hợp để ngân hàng phát triển thêm các dịch vụ giá trị gia tăng, song các doanh nghiệp muốn cung cấp dịch vụ thì vẫn chưa có đủ tiềm lực về công nghệ thông tin để có thể kết nối với nhiều hoặc tất cả các ngân hàng Một trở ngại lớn nữa đó là thói quen người tiêu dùng vốn quen với các dịch vụ truyền thống cần phải có thời gian để thích nghi vì phần lớn phương tiện thanh toán trong dân chúng vẫn bằng tiền mặt Ngoài ra, vấn đề bảo mật được coi là vướng mắc lớn nhất của thanh toán điện

để thực sự tiếp cận được những kỹ thuật tiên tiến để đảm bảo tính an toàn cho các giao dịch điện tử qua mobile

Tuy SMS banking gặp nhiều khó khăn nhưng không phải là không có những thuận lợi 5 năm trở lại đây, các ngân hàng đều đã có dự án hiện đại hóa hệ thống ngân hàng, dữ liệu khách hàng được tập trung tại một điểm (dữ liệu không bị phân tán) Cho đến nay, các dịch vụ truyền thống của ngân hàng như: tín dụng, huy động tiết kiệm, tài trợ thương mại, phát hành thẻ đều đã đi vào ổn định trên hệ thống quản lý thẻ (CMS) và hệ thống ngân hàng lõi

trang bị hệ thống công nghệ bảo mật tiên tiến đã và đang hoạt động rất ổn

39

định tại nhiều nước trên thế giới Mỗi kênh thanh toán đều có các hình thức xác thực mạnh đảm bảo an toàn cho khách hàng khi sử dụng dịch vụ

ứng dụng trên điện thoại cũng như sử dụng công nghệ One time Password để đảm bảo tính toàn vẹn cũng như tính an toàn trong giao dịch điện tử qua

công nghệ hỗ trợ khách hàng thực hiện được dịch vụ một cách dễ dàng

Định hướng mà các công ty giải pháp công nghệ cần phải thực hiện là cung cấp cho các doanh nghiệp công nghệ kết nối theo chuẩn tài chính phổ biến, có như thế, các giao dịch mới sẽ dễ triển khai hơn Người tiêu dùng dễ thao tác và kết nối với nhà cung cấp dịch vụ cũng như ngân hàng

người sử dụng di động, rõ ràng Internet banking và Mobile Banking sẽ là trào lưu phát triển tiếp theo tương tự như sự phát triển bùng nổ của thẻ thanh toán Cùng với sự hỗ trợ của các công nghệ hiện đại và sự thay đổi thói quen của khách hàng, dịch vụ SMS banking hứa hẹn sẽ có nhiều bước tiến đột phá cả

SMS banking sẽ trở nên thông dụng và mang lại nhiều tiện ích cho cuộc sống