ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN - HÀ KHẮC CƢỜNG GIẢI PHÁP BẢO VỆ AN TỒN THANH TỐN TRỰC TUYẾN BẰNG SMS LUẬN VĂN THẠC SĨ KHOA HỌC Hà Nội – Năm 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN - HÀ KHẮC CƢỜNG GIẢI PHÁP BẢO VỆ AN TỒN THANH TỐN TRỰC TUYẾN BẰNG SMS Chun ngành: Cơ sở Toán cho Tin học Mã số: 60460110 LUẬN VĂN THẠC SĨ KHOA HỌC CHỦ TỊCH HỘI ĐỒNG NGƯỜI HƯỚNG DẪN KHOA HỌC TS Nguyễn Thị Minh Huyền TS Tơn Quốc Bình Hà Nội – Năm 2016 LỜI CAM ĐOAN Tơi xin cam đoan tồn nội dung số liệu luận văn tự nghiên cứu, khảo sát thực không trùng lặp với luận văn, đề tài cơng bố Nếu có sai tơi xin chịu hồn toàn trách nhiệm Hà Nội, tháng 12 năm 2016 Học viên Hà Khắc Cƣờng i LỜI CẢM ƠN Để hồn thành chương trình sau đại học viết luận văn này, em xin gửi lời cảm ơn chân thành tới thầy khoa Tốn - Cơ - Tin trường Đại học Khoa học tự nhiên - Đại học Quốc gia Hà Nội cung cấp kiến thức quý báu, hướng dẫn, bảo, giúp đỡ tận tình tạo điều kiện giúp đỡ em q trình thực hồn thiện luận văn Em xin gửi lời biết ơn sâu sắc đến Tiến sĩ Tơn Quốc Bình người dành nhiều thời gian, tâm huyết hướng dẫn nghiên cứu giúp em hoàn thành luận văn tốt nghiệp Cảm ơn động viên nhiệt tình, ủng hộ gia đình, bạn bè suốt trình thực luận văn Mặc dù cố gắng để hồn thiện luận văn tất khả khơng thể tránh khỏi thiếu sót, mong nhận đóng góp q báu thầy bạn Hà Nội, tháng 12 năm 2016 Học viên Hà Khắc Cƣờng ii MỤC LỤC Danh mục chữ viết tắt vi Danh mục hình ảnh minh họa viii Danh mục bảng biểu ix Mở đầu .1 Chƣơng 1: Tổng quan mạng GSM vấn đề bảo mật có liên quan 1.1 Kiến trúc mạng GSM 1.2 Các vấn đề bảo mật mạng GSM 1.2.1 Bí mật danh tính thuê bao 1.2.2 Xác thực danh tính thuê bao .7 1.2.3 Sinh khóa để mã hóa liệu .7 1.2.4 Mã hóa liệu 1.3 Các công nghệ ngân hàng thông qua mạng di động Việt Nam .8 1.3.1 Ngân hàng di động 10 1.3.2 SMS Banking 12 1.4 Những khiếm khuyết bảo mật mạng GSM dịch vụ SMS 13 1.4.1 Những khiếm khuyết bảo mật mạng GSM 13 1.4.2 Những vấn đề bảo mật dịch vụ SMS 14 1.5 Phát biểu toán 15 1.5.1 Bài toán bảo mật .15 1.5.2 Bài toán kinh tế .16 1.5.3 Mục tiêu nhắm đến 16 1.5.4 Các giả thuyết 16 Chƣơng 2: Giải pháp bảo vệ an tồn tốn trực tuyến SMS 17 iii 2.1 Các mơ hình bảo mật SMS 17 2.1.1 Mã hóa đối xứng .17 2.1.2 Mã hóa bất đối xứng .20 2.2 Giải pháp bảo vệ an tồn tốn trực tuyến SMS .22 2.2.1 Tổng quan hệ thống .22 2.2.2 Kiến trúc truyền SMS bảo mật 22 2.2.3 Các tiền điều kiện 24 2.2.4 Hoạt động giao thức 24 2.2.5 Cấu trúc tin nhắn mã hóa .28 2.3 Mô tả tổng quan thao tác hệ thống 31 2.3.1 Thao tác người dùng 31 2.3.2 Thao tác máy chủ 31 2.3.3 Thao tác sở liệu 32 2.4 Tính bảo mật giao thức đề xuất .32 2.4.1 Tính bí mật 32 2.4.2 Tính tồn vẹn 33 2.4.3 Tính xác thực 33 2.4.4 Tính thừa nhận 33 2.4.5 Tính khả dụng 33 2.5 So sánh với cách tiếp cận 34 Chƣơng 3: Thiết kế triển khai ứng dụng 35 3.1 Yêu cầu 35 3.2 Các sơ đồ Use Case .35 3.2.1 Khởi động ứng dụng 35 iv 3.2.2 Lựa chọn giao dịch 37 3.2.3 Gửi tin nhắn 37 3.2.4 Máy chủ kiểm tra tính bảo mật .37 3.2.5 Máy chủ trả lời 37 3.3 Sơ đồ cộng tác lớp ứng dụng .38 3.3.1 Ứng dụng di động 38 3.3.2 Ứng dụng máy chủ 40 3.3.3 Ứng dụng sở liệu 43 3.4 Triển khai tích hợp ứng dụng 46 3.4.1 Ứng dụng di động 46 3.4.2 Ứng dụng máy chủ 48 3.4.3 Ứng dụng sở liệu 51 3.4.4 Ứng dụng sinh khóa 52 3.5 Kiểm tra đánh giá .54 3.5.1 Kiểm tra giao thức 54 3.5.2 Kiểm tra ứng dụng 58 3.5.3 Các kết minh chứng 59 Kết luận kiến nghị 64 Tài liệu tham khảo 66 v DANH MỤC CHỮ VIẾT TẮT AuC Authentication Center Trung tâm xác thực BSC Base Station Controller Trạm điều khiển sở BTS Base Transceiver Station Trạm thu phát sở EIR Equipment Identity Register Bộ đăng ký định danh thiết bị GSM Global System for Mobile communication Mạng thông tin liên lạc di động toàn cầu HLR Home Location Register Bộ đăng ký vị trí gốc IMEI International Mobile station Equipment Identity Định danh thiết bị di động quốc tế IMSI International Mobile Subscriber Identity Định danh thuê bao di động quốc tế ISC International Switching Center Trung tâm chuyển mạch quốc tế LAI Location Area Identity Khu vực định danh MS Mobile Station Thiết bị di động MSC Mobile Switching center Trung tâm chuyển mạch thiết bị di động OMC Operations and Maintenance Center Trung tâm vận hành bảo trì PIN Personal Identification Number Số định danh cá nhân SIM Subscriber Identity Module Mô-đun định danh thuê bao SMS Short Message Service Dịch vụ tin nhắn SMSC Short Message Service Center Trung tâm tin nhắn SRES Signed Response (authentication) Chữ ký xác thực TMSI Temporary Mobile Subscriber Identity Bảng tạm định danh thuê bao di động vi UML Unified Modeling Language USSD Unstructured supplementary service Dữ liệu dịch vụ phụ phi cấu trúc data VLR Visitor location register Ngơn ngữ mơ hình hợp Bộ đăng ký vị trí khách vii DANH MỤC HÌNH ẢNH MINH HỌA Hình 1: Kiến trúc mạng GSM .5 Hình 2: Nguyên lý xác thực danh tính thuê bao Hình 3: Thủ tục sinh khóa Kc Hình 4: Sơ đồ sử dụng thuật tốn A5 để mã hóa liệu Hình 5: Cú pháp SMS chuyển khoản ngân hàng Agribank .12 Hình 6: Mơ hình mã hóa SMS đối xứng 17 Hình 7: Mơ hình truyền tin nhắn sử dụng thuật tốn mã hóa bất đối xứng 20 Hình 8: Quá trình gửi nhận tin nhắn bảo mật 21 Hình 9: Hệ thống tin nhắn bảo mật tầng 22 Hình 10: Các lớp giao thức để gửi/nhận tin nhắn SMS bảo mật 23 Hình 11: Sơ đồ tổng quan giao thức 25 Hình 12: Sơ đồ thao tác máy trạm máy chủ 26 Hình 13: Cấu trúc tin nhắn SMS bảo mật 29 Hình 14: Sơ đồ tổng quan hệ thống 30 Hình 15: Sơ đồ Use Case tổng thể 36 Hình 16: Sơ đồ lớp ứng dụng di động 38 Hình 17: Sơ đồ lớp máy chủ ngân hàng 40 Hình 18: Sơ đồ sở liệu .44 Hình 19: Giao diện ứng dụng di động .47 Hình 20: Xử lý tin nhắn đến máy chủ 49 Hình 21: Giao diện ứng dụng sinh khóa 53 viii 3.4.4.1 Giao diện người dùng ứng dụng Đầu tiên người dùng kết nối với máy chủ sở liệu Khi người dừng chọn AccID danh sách ID người dùng hiển thị, sau sinh danh sách mật để lấy danh sách mật tài khoản chọn Hình 21: Giao diện ứng dụng sinh khóa 3.4.4.2 Sinh mật dùng lần an tồn Độ mạnh phương pháp mã hóa đối xứng phụ thuộc vào độ mạnh thuật toán sinh khóa Nghĩa là, khóa sinh dự đốn thuật tốn sinh khóa yếu Khóa sinh phải dạng ký tự mà người dùng nhập vào từ điện thoại Do đó, thuật tốn sinh khóa phải sinh ngẫu nhiên ký tự nhập vào từ điện thoại khơng thể dự đốn từ trước 53 Thuật tốn sinh khóa u cầu đầu vào số ngẫu nhiên bí mật Số sinh thuật tốn SHA-1 thuật tốn phương pháp băm sinh số ngẫu nhiên khơng thể đốn trước 3.5 Kiểm tra đánh giá Có nhiều phương pháp để kiểm tra đánh giá ứng dụng Trong luận văn thực phương pháp kiểm tra sau:  Thứ là, kiểm tra để đảm bảo yêu cầu thiết kế giao thức an toàn  Thứ hai là, giao thức triển khai hoạt động xác Độ ổn định cân nhắc đến trình thiết kế giao thức, nhiên phạm vi luận văn tập trung vào hiệu tính an tồn giao thức nên khơng thực kiểm tra tính ổn định Mục tiêu luận văn thiết kế triển khai giao thức truyền SMS an toàn máy chủ ngân hàng thiết bị di động Vì vậy, kiểm tra nhắm đến tính an tồn giải pháp thiết kế 3.5.1 Kiểm tra giao thức 3.5.1.1 Tính bí mật Mức độ an toàn giao thức phụ thuộc vào độ mạnh thuật tốn mã hóa mà sử dụng Trong luận văn sử dụng phương pháp mã hóa đối xứng thuật tốn mã sử dụng phải đủ nhanh môi trường thiết bị di động Vì vậy, thuật tốn AES lựa chọn để mã hóa tin nhắn AES thuật tốn NSA phê chuẩn để mã hóa thơng tin phủ Mỹ cấp độ [17] Tùy theo cấp độ bí mật mà độ dài khóa sử dụng để đảm bảo đủ an tồn cho thơng tin phân loại tương ứng Tốc độ mã phụ thuộc vào kích cỡ tin nhắn gốc Vì giao thức sử dụng SMS để truyền thơng tin bảo mật nên kích cỡ tối đa tin nhắn không vượt 160 ký tự Bước 1, để kiểm tra tốc độ mã tin nhắn SMS, thêm vào đếm thời gian Chương trình lưu thời gian thiết bị trước bắt đầu mã Do đó, 54 thời gian thực việc mã hóa thời gian kết thúc trừ thời gian bắt đầu Thực nhiều lần kiểm tra cho thấy việc mã hóa khoảng thời gian nhỏ, chưa đến 200ms Bước 2, kiểm tra việc giải mã tin nhắn mã hóa Do sử dụng phương pháp mã hóa khóa đối xứng, nên việc giải mã phải sử dụng khóa việc với mã hóa Do đó, kết giải mã tin nhắn ban đầu sử dụng khóa giải mã trùng khớp với khóa dùng để mã hóa 3.5.1.2 Tính tồn vẹn Giá trị băm sử dụng để trì tính tồn vẹn cho tin nhắn SMS Tốc độ tính tốn mã hóa giải mã tin nhắn phải hiệu môi trường thiết bị di động Luận văn chọn sử dụng thuật toán SHA-1 để tính tốn giá trị băm tin nhắn Thuật tốn SHA-1 tạo giá trị băm dài 20 byte Thuật tốn SHA-1 xem an tồn khơng thể tìm tin nhắn nội dung khác có giá trị băm giống Bất thay thay đổi tin nhắn truyền tin, xác suất cao giá trị băm đầu khác bên nhận biết nội dung tin nhắn bị chỉnh sửa Một đếm thời gian sử dụng để kiểm tra thời gian chạy thuật toán SHA-1 Các kết thời gian tính toán thật toán thiết bị chưa đến 150 ms Kiểm tra tính thuật tốn SHA-1 cách thay đổi ký tự tin nhắn để chứng minh tin nhắn bị thay đổi sinh giá trị băm khác Kết giá trị băm khác hoàn toàn 3.5.1.3 Tính xác thực Thơng tin xác thực người dùng bảo vệ sở liệu ngân hàng Kẻ công đọc thông tin xác thực người dùng chúng khơng thể sử dụng thông tin xác thực để thực cơng mạo danh 55 3.6.1.4 Tính thừa nhận Cặp mật lần (OTP) số thứ tự chứng để người dùng chối bỏ việc gửi tin nhắn tới máy chủ Để kiểm tra tính thừa nhận địi hỏi phải kiểm tra sinh mật khẩu, chi tiết giải thích phần sau 3.5.1.5 Tấn công phát lại Giả sử, kể công nắm việc truyền tin nhắn thực công phát lại Mọi tin nhắn nhận được, máy chủ ngân hàng cần kiểm tra số thứ tự mật lần dùng để mã hóa giải mã cho tài khoản xác định Nếu số không khớp với sở liệu tin nhắn bị loại bỏ Để tăng cường khả chống lại công phát lại, máy chủ ngân hàng lưu trữ tin nhắn nhận sở liệu Khi nhận tin nhắn mới, máy chủ kiểm tra xem lưu trữ sở liệu hay chưa Để kiểm tra cơng phát lại, ta cố tình gửi tin nhắn tới máy chủ ngân hàng nhiều lần Máy chủ nhận tin nhắn đầu thực giao dịch, nhận tin nhắn tương tự; tin nhắn bị bỏ qua tồn sở liệu 3.5.1.6 Tấn công giả danh Tấn công giả danh kẻ công giả làm tài khoản hợp pháp Giả sử, kẻ công nắm tồn thơng tin tài khoản Kẻ cơng khơng thể thực giao dịch khơng có PIN người dùng Giả sử kẻ công chiếm số PIN người dùng Kẻ công khơng thể thực giao dịch khơng có mật lần (OTP) để mã hóa xác thông tin giao dịch để máy chủ hiểu Để kiểm tra công giả danh, ta tạo tin nhắn có số tài khoản hợp lệ Sau đó, sử dụng mật dùng lần không hợp lệ để mã hóa tín nhắn Khi tin nhắn gửi đến máy chủ ngân hàng, máy chủ giải mã tin nhắn, khơng tìm thấy mật giải mã sở liệu Do đó, máy chủ bỏ qua phần kiểm tra PIN khơng giải mã nội dung mã hóa 56 3.5.1.7 Tấn cơng vét cạn Nếu người dùng nắm tồn quy trình truyền tin nhắn, kẻ cơng bẻ khóa tin nhắn mã hóa để đọc thơng tin tài khoản người dùng; thuật toán bảo mật cần đảm bảo nội dung tin nhắn bảo vệ Độ mạnh thông tin tài khoản phụ thuộc vào độ mạnh thuật toán mã hóa thuật tốn sinh khóa mã Nếu ta giả sửa kẻ cơng sử dụng thuật tốn vét cạn để cố gắng bẻ khóa nội dung tin nhắn kẻ cơng cần thời gian để bẻ khóa thành cơng Giả sử khóa thật ngẫu nhiên Tập ký tự sau cho phép để sinh khóa: [a-z] 26 ký tự, [A-Z] 26 ký tự, [0-9] 10 ký tự Do đó, ký tự là: Giả sử kẻ cơng sử dụng máy tính có khả thực 106 phép thử giây Độ dài khóa từ 8÷16 ký tự kẻ cơng phải thực số phép thử là: Và giả sử trung bình kẻ công phải thử hết nửa số phép thử để bẻ khóa nội dung tin nhắn tổng số phép thử phải thực lên đến lần Như thời gian trung bình kẻ cơng sử dụng cơng vét cạn để bẻ khóa nội dung tin nhắn là: Kết cho thấy kẻ công thực cơng vét cạn để bẻ khóa nội dung tin nhắn Sử dụng mật lần (OTP) tăng cường tính an tồn cho giao thức Giả sử kẻ công chiếm số PIN, biết số thứ tự mật dùng lần người dùng Kẻ cơng cần phải có mật lần người dùng để mã hóa tin nhắn gửi tới ngân hàng nhằm thực giao dịch hợp pháp 57 3.5.2 Kiểm tra ứng dụng 3.5.2.1 Kiểm tra ứng dụng di động Trước tiên, kiểm tra ứng dụng di động kiểm tra giới hạn giao diện người dùng Số điện thoại gồm số; tất nhiên độ dài trường vượt giới hạn định đó; Số thứ tự phải số tự nhiên, không chấp nhận số âm Kiểm tra giao thức triển khai cách xem có tin nhắn sinh gửi Ta thực phân tích bước việc triển khai giao thức ứng dụng di động, gửi tin nhắn tới máy chủ ngân hàng Để nhận tin nhắn từ máy chủ ngân hàng, ta thực kiểm tra hộp đen để kiểm tra tin nhắn đến (chặn tin nhắn từ ngân hàng đến thiết bị di động) 3.5.2.2 Kiểm tra ứng dụng máy chủ ngân hàng Kiểm tra để đảm bảo ứng dụng máy chủ lắng nghe tin nhắn đến Máy chủ phải giải mã tin nhắn SMS mã hóa theo giao thức đề xuất Kịch kiểm tra là:  Kiểm tra phiên tin nhắn: Nếu phiên tin nhắn nhận khơng xác, máy chủ loại bỏ tin nhắn nhận  Kiểm tra tồn tên tài khoản: Nếu tên tài khoản không tồn tại, máy chủ trả lời lại người gửi tin tên tài khoản không tồn  Kiểm tra chuỗi đồng bộ: Nếu chuỗi đồng không khớp, máy chủ trả lời tin nhắn lỗi  Giải mã tin nhắn: Nếu máy chủ giải mã tin nhắn nhận được, trả lời lại tin nhắn lỗi  Kiểm tra giá trị băm: Nếu giá trị băm tin nhắn nội dung bị thay đổi, máy chủ trả lời lại tin nhắn bị lỗi  Xác thực người dùng: Nếu PIN đưa xác thực người dùng, máy chủ trả lại tin nhắn lỗi  Thực giao dịch: Nếu ngân hàng không thực giao dịch, máy chủ trả lại tin nhắn lỗi Nếu giao dịch thành công, ngân hàng trả lời tin nhắn tới người dùng 58 Cuối cùng, kiểm tra kết nối máy chủ ngân hàng với sở liệu Nếu kết nối không thiết lập được, ứng dụng ném ngoại lệ 3.5.2.3 Kiểm tra sở liệu Đầu tiên, kiểm tra kết nối sở liệu ứng dụng máy chủ Cơ sở liệu nghe yêu cầu kết nối ứng dụng máy chủ Nếu máy chủ nhận tin nhắn kết nối với sở liệu ngoại lệ ném cho biết xuất hiện lỗi Tiếp theo, kiểm tra việc ứng dụng nhận giá trị từ sở liệu Thực việc kiểm tra cách truy vấn tới sở liệu sau kiểm tra kết trả lại có hay khơng Cuối cùng, kiểm tra việc cập nhật sở liệu Thực truy vấn giá trị lưu trữ vào thuộc tính lược đồ sở liệu 3.5.2.4 Kiểm tra ứng dụng sinh mật Đây kiểm tra quan trọng ứng dụng để minh chứng ứng dụng sinh mật Nếu sinh mật tồn chứng tỏ ứng dụng bị lỗi Để kiểm tra, ta thử lấy giá trị mật sở liệu thử chèn lại vào sở liệu Ứng dụng khơng thể chèn giá trị tồn sở liệu 3.5.3 Các kết minh chứng Nội dung phần để chứng minh giải pháp đề xuất thỏa mãn giả thuyết nêu mục 1.5.4 Chương 3.5.3.1 Giao thức SMS bảo mật Có giả thuyết minh chứng, là:  Giao thức tin nhắn bảo mật thiết kế triển khai giải pháp có độ an tồn cao  Giao thức tích hợp vào ứng dụng Mobile Banking để bảo vệ nội dung giao dịch với ngân hàng tin nhắn SMS 59 Trong Chương 1, luận văn vấn đề bảo mật kiến trúc GSM dịch vụ SMS Vấn đề người dùng gửi SMS có nội dung nhạy cảm, tin nhắn hồn tồn bị thu trộm Nhân viên nhà mạng có thẩm quyền đọc thay đổi nội dung tin nhắn gửi Trong phần thiết kế, luận văn trình bày thiết kế giao thức bảo mật SMS có tầng ứng dụng Giao thức đảm bảo việc truyền SMS an tồn tin nhắn chứa thơng tin giao dịch phân phối tới người nhận toàn vẹn Giao thức thiết kế dựa nguyên lý dịch vụ bảo mật Trong phần triển khai tích hợp, giao thức tích hợp vào ứng dụng di động hoạt động tảng phổ biến Các ứng dụng triển khai giao thức SMS bảo mật gửi nhận tin nhắn giao dịch với ngân hàng Kiểm tra ứng dụng di động cho thấy giao dịch thực thời gian thực Hiện chưa có giao thức chuẩn hóa cho việc gửi nhận SMS bảo mật Trong luận văn giải pháp đưa thiết kế giao thức giải khiếm khuyết giao thức SMS chuẩn giao thức đề xuất thiết kế theo nguyên lý dịch vụ bảo mật Giao thức đề xuất chứng minh tích hợp vào ứng dụng di động triển khai thực tế Vì vậy, giả thuyết nêu chấp thuận 3.5.3.2 So sánh với giải pháp Hiện thị trường Việt Nam có nhiều giải pháp truyền liệu giao dịch người dùng đến máy chủ ngân hàng thông qua thiết bị di động họ Trong phần này, luận văn minh họa tính chất loại hình Mobile Banking sử dụng kiểu dịch vụ cụ thể khác Hiện Việt Nam, BankPlus dịch vụ ngân hàng di động Tổng Công ty Viễn thông Quân đội Viettel triển khai, dịch vụ sử dụng túy tin nhắn USSD để khách hàng họ thực giao dịch với ngân hàng Dịch vụ SMS Banking hầu hết ngân hàng Việt Nam cung cấp cho khách hàng Tuy nhiên, nội dung giao dịch gửi dạng 60 rõ theo cú pháp định sẵn dịch vụ SMS nhà mạng mà chủ tài khoản sử dụng Ngoài ra, hầu hết ngân hàng chấp nhận giao dịch sử dụng kênh GPRS/3G/Wifi để truyền nội dunggiao dịch Dưới bảng so sánh khác cách tiếp cận: Bảng 3: So sánh giải pháp đề xuất với các giải pháp USSD GPRS Tùy thuộc vào Phụ thuộc vào Bằng chi phí phải trả phí số lượng tin lượng liệu gửi tin dịch vụ ngân nhắn sử dụng sử dụng nhắn SMS hàng giao giao dịch thơng thường Giao tiếp đồng Có thể phải Kết nối đồng SMS lưu Trả lời chờ SMS trả Có thể hàng đợi lời từ máy chủ kết nối tín nhà mạng hàng đợi hiệu yếu Nếu máy chủ kết nối phân đầy có yêu vầu phối Người dùng Chi phí Giao thức SMS SMS bảo mật dịch Tính thực tế kết nối lại với máy chủ Tính an toàn Chuỗi ký tự Chuỗi ký tự Ngân hàng sử AES-128 bit, gửi đến máy gửi đến máy dụng thuật mật dùng chủ ngân hàng chủ ngân hàng tốn mã hóa lần SHA- liệu rõ liệu rõ 128bit để dùng tính Người dùng Người dùng truyền liệu toán giá trị xác thực dựa xác thực dựa giao dịch băm Sử dụng số IMEI số IMEI Không đề cập số thứ tự để 61 lưu SIM SIM tới thuật tốn chống lại sử dụng cơng phát lại Có xác thực người dùng Mọi điện thoại Mọi điện thoại Mọi điện thoại Địi hỏi điện có kết nối thoại phải hỗ Tính thích GPRS trợ tảng ứng 3G phát triển giao thức Ở Android Người dụng Như soạn thảo Có giao diện Sử dụng giao phải nhập SMS bình người dùng diện người chuỗi USSD thường sử dụng dùng Tính khả giống trình dụng nhập số điện duyệt điện thoại thơng thoại thường từ bàn phím Phụ thuộc vào nhà cung cấp mạng độ mạnh yếu tín hiệu Tốc độ thiết bị di động Do đó, tốc độ phụ thuộc vào vị trí địa lý truyền người dùng, lưu lượng mạng, số trạm BTS xung quanh khu vực thiết bị người dùng… Từ kết so sánh Bảng ta thấy lợi ích việc sử dụng giao thức SMS bảo mật để thực giao dịch là:  SMS phân phối theo chế không đồng Khi tin nhắn gửi đi, lưu đệm tin nhắn phân phối tới nơi nhận Vì vậy, tin cậy đảm bảo việc phân phối SMS 62  Chi phí tương đối rẻ Giao thức thiết kế để số SMS sử dụng cho giao dịch tối thiểu Rõ ràng, giao thức SMS bảo mật có nhiều ưu điểm tính an tồn giải pháp Do đó, giả thuyết thứ mục 1.5.4 chấp nhận 63 KẾT LUẬN VÀ KIẾN NGHỊ Kết luận Giải pháp đưa giao thức mã hóa từ cuối-đến-cuối (end-to-end) để bảo vệ an tồn cho dịch vụ tốn trực tuyến sử dụng SMS Thiết kế giao thức đưa giải pháp giao tiếp từ cuối-đến-cuối thiết bị di động máy chủ ngân hàng Giải pháp đạt tất tiêu dịch vụ bảo mật tiêu chuẩn, kết nghiên cứu thực thành cơng, có tính thực tiễn cao Giải pháp đề xuất không ẩn số tài khoản người dùng mà truyền dạng rõ Vấn đề xem xét thiết kế cuối đến định bỏ qua việc ẩn số tài khoản người dùng Vì, ẩn số tài khoản người dùng thiết bị di động máy chủ ngân hàng phải thỏa thuận trước thực giao dịch Và cách tiếp cận làm tăng số tin nhắn qua lại để thực bắt tay đồng thiết bị máy chủ, điều rõ ràng làm tăng chi phí bên cho nhà cung cấp dịch vụ viễn thơng Mục đích luận văn khảo sát khiếm khuyết bảo mật mạng GSM dịch vụ toán sử dụng SMS tảng GSM Từ đưa giải pháp để bảo vệ an tồn tốn trực tuyến sử dụng dịch vụ SMS tảng GSM kết thực luận luận đưa giải pháp cho dịch vụ toán sử dụng SMS Mặc dù giải pháp đề xuất khả thi thực tiễn phụ thuộc chất lượng dịch vụ viễn thông nhà mạng cung cấp nên thực tế tin nhắn từ có đến máy chủ ngân hàng theo thời gian thực hay khơng chưa thật đảm bảo Kiến nghị Giải pháp đề xuất không đề cập đến vấn đề phân phối ứng dụng di động đến người dùng Trong thực tế tin tặc tạo ứng dụng giả mạo giống ứng dụng thật nhằm đánh cắp thông tin người dùng để thực công Do vậy, ngân hàng cần có kênh tin tưởng để phân phối ứng dụng đến người dùng 64 Trong luận văn ứng dụng viết tảng Android, đó, ngân hàng sử dụng Cửa hàng Play Google kênh phân phối đáng tin Nhiều người dùng sử dụng SMS để gửi thông tin nhạy cảm mà tới lỗ hổng bảo mật dịch Giải pháp đề xuất không đề cập đến vấn đề phân phối mật dùng lần đến người dùng cuối Trên thực tế có nhiều cách để giải vấn đề như: Tải danh sách mật lần từ kênh an toàn lưu vào thiết bị Ngân hàng trang bị cho khách hàng thiết bị lưu trữ mật dùng lần sử dụng cho giao dịch 65 TÀI LIỆU THAM KHẢO Tiếng Việt Công ty cổ phần dịch vụ thẻ Smarlink (2014), Thanh toán di động, xu hướng tương lai, https://smartlink.vn/tin-lien-quan/thanh-toan-tren-dienthoai-didong-xu-huong-tuong-lai.html Ngân hàng Nhà Nước Việt Nam (2014), Tiềm Mobile Banking Việt Nam, https://thebank.vn/posts/7288-mobile-banking-tiem-nang-phat-trien-oviet-nam Nguyễn Minh Sáng (2014), Thực trạng phát triển Mobile Banking Việt Nam, Tạp chí Cơng nghệ Ngân hàng Tiếng Anh Bankable Frontier Associates (2008), Managing The Risk Of Mobile Banking Technologies, FinMark Trust Biryukov A., Shamir A., Wagner D (2000), Real Time Cryptanalysis of A5/1 on a PC, In Fast Software Encryption Workshop Chang-Lung Tsai, Chun-Jung Chen, Deng-Jie Zhuang (2012), Trusted M- banking Verification Scheme based on a combination of OTP and Biometrics, Third FTRA International Conference on Mobile, Ubiquitous and Intelligent Computing Dankers J., Garefalakis T., Schaffelhofer R., Wright T (2002), Public key infrastructure in mobile systems, Elect Communi Eng J., 14:180-190 Eastlake D., Jones P (2001), US Secure Hash Algorithm (SHA1), http://www.ietf.org/rfc/rfc3174.txt Eberspächer J., Vögel H , Bettstetter C., GSM Switching, Services and Protocols 2nd Edition, John Wiley & Sons Inc., West Sussex, 1999 10 Enck W., Traynor P., McDaniel P., La Porta T (2005), Exploiting open functionality in SMS-capable cellular networks, In Proceedings of the 12th ACM conference on Computer and Communications Security Alexandria, VA, USA, pp 393 - 404 11 GSM calls even more secure thanks to new A5/3 Algorithm (2002), http://www.m2.com/m2/web/story.php/20026540083F602BAD1E80256BE B003774EE 12 Hassinen M., Markovski S (2003), Secure SMS messaging using Quasigroup encryption and Java SMS API, SPLST03, Kuopio, Finland June 17 -18 13 Lord S (2003), Trouble at Telco: When GSM Goes Bad, In Network Security, 2003(1): pp10 -12 14 Mallat N., Matti R., Tuunainen V K (2003), Mobile Banking Services, Communications of the ACM, 47(5): pp 42 -46 15 Margrave D (1999), GSM Security and Encryption, https://www.hackcanada.com/blackcrawl/cell/gsm/gsm-secur/gsm-secur.html 66 16 Medani A., Gani A., Zakaria O., Zaidan A A., Zaidan B B (2011), Review of mobile short message service security issues and techniques towards the solution , Scientific Research and Essays Vol 6(6), pp 1147-1165 17 National Policy on the Use of the Advanced Encryption Standard (AES) to Protect National Security Systems and National Security Information (2003), http://csrc.nist.gov/groups/STM/cmvp/documents/CNSS15FS.pdf 18 Ratshinanga S., Lo J., Bishop J (2004), A Security Mechanism for Secure SMS Communication In Proceedings of SAICSIT Stellenbosch, Western Cape, pp1 - 19 Roberts P.(2003), Nokia Phones Vulnerable to DoS Attack, http://www.infoworld.com/article/2681788/networking/nokia-phonesvulnerable-to-dos-attack 20 Tower group (2010), Cost per Transaction by Channel in US Banking: Total vs Information Technology Cost Only, Report 21 Vishal Goyal , Dr Pandey U.S., Sanjay Batra (2012), Mobile Banking in India: Practices,Challenges and Security Issues, International Journal of Advanced Trends in Computer Science and Engineering 22 Wagner D (1998), GSM Cloning, http://www.isaac.cs.berkeley.edu/isaac/gsm.html 67 ... nhắn SMS - Các cơng thực với dịch vụ toán trực tuyến sử dụng tin nhắn SMS phương pháp bảo mật đề xuất cho dịch vụ toán sử dụng SMS số nước - Đề xuất giải pháp bảo mật hoàn chỉnh bảo vệ an toàn. .. vệ an tồn tốn trực tuyến SMS 17 iii 2.1 Các mơ hình bảo mật SMS 17 2.1.1 Mã hóa đối xứng .17 2.1.2 Mã hóa bất đối xứng .20 2.2 Giải pháp bảo vệ an tồn tốn trực tuyến. .. Tổng quan mạng GSM vấn đề bảo mật có liên quan Chƣơng 2: Giải pháp bảo vệ an tồn tốn trực tuyến SMS Chƣơng 3: Thiết kế triển khai ứng dụng Chƣơng 1: TỔNG QUAN VỀ MẠNG GSM VÀ NHỮNG VẤN ĐỀ BẢO MẬT