BỘ GIÁO DỤC ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - ĐỖ TUẤN ANH NGHIÊN CỨU MOBILE BANKING VÀ BẢO MẬT TRONG GIAO DỊCH SMS BANKING LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN HÀ NỘI - 2008 ĐỖ TUẤN ANH * CÔNG NGHỆ THÔNG TIN * CNTT2006-2008 MỤC LỤC Chương Giới thiệu Error! Bookmark not defined 1.1 Mục tiêu đề tài Error! Bookmark not defined 1.2 Các vấn đề đặt Error! Bookmark not defined Chương defined Tổng quan Mobile vấn đề bảo mậtError! Bookmark not 2.1 Kiến trúc GSM Error! Bookmark not defined 2.2 Bảo mật GSM Error! Bookmark not defined 2.2.1 Tính tin cậy việc cấp định danh thuê bao - Subscriber Identity Confidentiality Error! Bookmark not defined 2.2.2 Xác thực Số thuê bao - Subscriber Identity Authentication Error! Bookmark not defined 2.2.3 Đảm bảo tính tin cậy cho liệu khách hàng - User Data Confidentiality Error! Bookmark not defined 2.3 Bảo mật kiến trúc GSM - Security Deficiencies of GSM Architecture Error! Bookmark not defined 2.3.1 Giải thuật mã hóa A5 Error! Bookmark not defined 2.3.2 Giải thuật xác thực A3/A8 Error! Bookmark not defined 2.4 Các công nghệ sử dụng Mobile Banking Error! Bookmark not defined 2.4.1 Công nghệ sử dụng SMS Error! Bookmark not defined 2.4.2 Công nghệ WAP Error! Bookmark not defined 2.4.3 Công nghệ sử dụng dịch vụ trả lời tự động - IVRError! Bookmark not defined 2.4.4 Ứng dụng chạy máy điện thoại di động - MACError! Bookmark not defined 2.5 Các dịch vụ SMS Banking Việt NamError! Bookmark not defined 2.5.1 Hạn chế bảo mật mơ hình SMS tạiError! Bookmark not defined Chương 3.1 Cơ sở lý thuyết mã hóa bảo mật Error! Bookmark not defined Mã hóa Error! Bookmark not defined 3.1.1 Mơ hình hệ thống mã hóa đối xứng bất đối xứngError! Bookmark not defined 3.2 Xác thực Error! Bookmark not defined 3.2.1 Các loại xác thực Error! Bookmark not defined 3.2.2 Các hướng tiếp cận xác thực Error! Bookmark not defined 3.2.3 Đảm bảo tính xác thực Error! Bookmark not defined 3.2.4 Bảo mật sử dụng bảng băm Error! Bookmark not defined Chương Các mơ hình bảo mật đề xuất SMS BankingError! Bookmark not defined 4.1 Giải pháp an tồn thơng tin Error! Bookmark not defined 4.1.1 Thành phần chương trình client chạy máy di động Error! Bookmark not defined 4.1.2 Chương trình server xử lý giao dịch SMS Error! Bookmark not defined 4.1.3 4.2 Cơ sở liệu nội Error! Bookmark not defined Định dạng tin nhắn giao thức xác thựcError! Bookmark not defined 4.2.1 Cấu trúc tin nhắn Error! Bookmark not defined 4.2.2 Giao thức bắt tay - Possible Handshake Protocols.Error! Bookmark not defined 4.3 Đề xuất giao thức trao đổi tin nhắn xác thực Error! Bookmark not defined 4.3.1 Sinh khóa Error! Bookmark not defined 4.3.2 Lưu trữ khóa Error! Bookmark not defined 4.3.3 Các giả thiết vấn đề quản lý khóaError! Bookmark not defined 4.3.4 Sử dụng khóa vào ứng dụng Error! Bookmark not defined 4.3.5 Các tầng giao thức Error! Bookmark not defined 4.3.6 Mô tả giao thức Error! Bookmark not defined 4.3.7 Quá trình tạo truyền SMS bảo mậtError! Bookmark not defined 4.3.8 Quá trình nhận giải mã SMS bảo mật Error! Bookmark not defined Chương Phân tích vấn đề bảo mật mơ hình đề xuất Error! Bookmark not defined 5.1 Các đối tượng tham gia hệ thống Error! Bookmark not defined 5.2 Bảo mật giao thức đề xuất Error! Bookmark not defined 5.2.1 Tính tồn vẹn Error! Bookmark not defined 5.2.2 Tính xác thực Error! Bookmark not defined 5.2.3 Tính thống Error! Bookmark not defined 5.2.4 Tính tin cậy Error! Bookmark not defined 5.3 Các mơ hình giả thuyết xâm nhập vào hệ thốngError! Bookmark not defined 5.3.1 Những mối đe dọa trung tâm xử lý tin nhắn SMSC Error! Bookmark not defined 5.3.2 Những mối đe dọa q trình truyền thơng tinError! Bookmark not defined 5.3.3 Phân tích mối đe dọa mơ hình Error! Bookmark not defined Chương 6.1 Xây dựng ứng dụng Error! Bookmark not defined Phát triển hệ thống Error! Bookmark not defined 6.1.1 MID Application, MIDlet Error! Bookmark not defined 6.2 Môi trường phát triển Error! Bookmark not defined 6.3 Mơ hình hệ thống Error! Bookmark not defined 6.4 Thiết kế hệ thống Error! Bookmark not defined 6.4.1 Use Case Error! Bookmark not defined 6.4.2 Use Case 1: Khởi tạo ứng dụng Error! Bookmark not defined 6.4.3 Use Case 2: Lựa chọn giao dịch Error! Bookmark not defined 6.4.4 Use Case 3: Gửi tin nhắn Error! Bookmark not defined 6.4.5 Use Case 4: Kiểm tra bảo mật Error! Bookmark not defined 6.4.6 Use Case 5: Gửi tin nhắn thông báoError! Bookmark not defined 6.5 Biểu đồ lớp Error! Bookmark not defined 6.5.1 Biểu đồ lớp chương trình clientError! Bookmark not defined 6.5.2 Biểu đồ lớp chương trình server phía ngân hàngError! Bookmark not defined 6.5.3 Biểu đồ lớp chương trình server phía ngân hàngError! Bookmark not defined 6.6 Biểu đồ trình tự Error! Bookmark not defined 6.7 Mơ hình triển khai Error! Bookmark not defined 6.7.1 Các công nghệ mã hóa bảo mật Error! Bookmark not defined 6.7.2 Kiểm thử Error! Bookmark not defined Chương Đánh giá Kết luận Error! Bookmark not defined 7.1 Đánh giá Error! Bookmark not defined 7.2 Kết luận Error! Bookmark not defined LỜI CẢM ƠN Luận văn “Nghiên cứu Mobile Banking bảo mật giao dịch SMS Banking” có kết ngày hôm nhờ bảo tận tình thầy hướng dẫn PGS TS Nguyễn Thanh Thủy, môn Hệ thống thông tin, khoa Công nghệ thông tin, trường đại học Bách Khoa Hà Nội giúp đỡ tơi q trình nghiên cứu hồn thành luận văn Tơi xin bày tỏ lịng biết ơn chân thành sâu sắc giúp đỡ nhiệt tình hiệu thầy Tơi xin trân trọng cảm ơn PGS TS Nguyễn Đức Nghĩa, Trưởng mơn Khoa học máy tính, khoa Cơng nghệ thơng tin ThS Nguyễn Diệu Hương, giảng viên khoa Công nghệ thơng tin tận tình giúp đỡ giành cho tơi dẫn q báu giúp tơi hồn thành tốt luận văn Tôi xin chân thành cảm ơn thầy cô khoa Công nghệ thông tin giúp đỡ động viên tơi q trình hồn thành luận văn Tơi xin bày tỏ lòng biết ơn sâu sắc đến ban lãnh đạo thành viên công ty TNHH Dịch vụ Giải pháp Phần mềm vàng - Goldsoft tạo điều kiện giúp đỡ tơi q trình xây dựng thử nghiệm chương trình Cuối cùng, tơi xin bày tỏ lịng biết ơn tới bố mẹ gia đình tôi, người thân, bạn bè đồng nghiệp tạo điều kiện vật chất tinh thần để tơi hồn thành nhiệm vụ học tập trưởng thành ngày hôm Hà Nội, ngày 10 tháng 11 năm 2008 Học viên Đỗ Tuấn Anh CHỮ VIẾT TẮT MS - Mobile station: trạm di động EIR - Equipment Identity Register: sở liệu thiết bị di động BTS - Base Transceiver Switch : trạm thu phát sở AUC - Authentication centre: trung tâm xác thực BSC - Base Station Controller: trạm điều khiển sở HLR - Home Location Registry: sở liệu thuê bao thường MSC - Mobile Switch Centre : trung tâm chuyển mạch SMSC - Short Message Service Centre: trung tâm dịch vụ tin nhắn ngắn ISC - International Switching Centre : trung tâm chuyển mạch quốc tế OMC - Operation Management Centre: trung tâm điều khiển bảo trì VLR - Visitor Location Registry: sở liệu thuê bao tạm trú MỤC LỤC Chương Giới thiệu 1.1 Mục tiêu đề tài 1.2 Các vấn đề đặt Chương Tổng quan Mobile vấn đề bảo mật 2.1 Kiến trúc GSM 2.2 Bảo mật GSM 2.2.1 Tính tin cậy việc cấp định danh thuê bao - Subscriber Identity Confidentiality 2.2.2 Xác thực Số thuê bao - Subscriber Identity Authentication 2.2.3 Đảm bảo tính tin cậy cho liệu khách hàng - User Data Confidentiality 10 2.3 Bảo mật kiến trúc GSM - Security Deficiencies of GSM Architecture 12 2.3.1 Giải thuật mã hóa A5 12 2.3.2 Giải thuật xác thực A3/A8 13 2.4 Các công nghệ sử dụng Mobile Banking 14 2.4.1 Công nghệ sử dụng SMS 14 2.4.2 Công nghệ WAP 15 2.4.3 Công nghệ sử dụng dịch vụ trả lời tự động - IVR 15 2.4.4 Ứng dụng chạy máy điện thoại di động - MAC 16 2.5 Các dịch vụ SMS Banking Việt Nam 17 2.5.1 Chương 3.1 Cơ sở lý thuyết mã hóa bảo mật 20 Mã hóa 20 3.1.1 3.2 Hạn chế bảo mật mô hình SMS 18 Mơ hình hệ thống mã hóa đối xứng bất đối xứng 20 Xác thực 21 3.2.1 Các loại xác thực 22 3.2.2 Các hướng tiếp cận xác thực 22 3.2.3 Đảm bảo tính xác thực 23 3.2.4 Bảo mật sử dụng bảng băm 24 Chương 4.1 Các mơ hình bảo mật đề xuất SMS Banking 25 Giải pháp an tồn thơng tin 25 4.1.1 Thành phần chương trình client chạy máy di động 26 4.1.2 Chương trình server xử lý giao dịch SMS 26 4.1.3 Cơ sở liệu nội 27 4.2 Định dạng tin nhắn giao thức xác thực 27 4.2.1 Cấu trúc tin nhắn 27 4.2.2 Giao thức bắt tay - Possible Handshake Protocols 30 4.3 Đề xuất giao thức trao đổi tin nhắn xác thực 33 4.3.1 Sinh khóa 34 4.3.2 Lưu trữ khóa 36 4.3.3 Các giả thiết vấn đề quản lý khóa 36 4.3.4 Sử dụng khóa vào ứng dụng 36 4.3.5 Các tầng giao thức 38 4.3.6 Mô tả giao thức 40 4.3.7 Quá trình tạo truyền SMS bảo mật 42 4.3.8 Quá trình nhận giải mã SMS bảo mật 43 Chương Phân tích vấn đề bảo mật mơ hình đề xuất 44 5.1 Các đối tượng tham gia hệ thống 44 5.2 Bảo mật giao thức đề xuất 44 5.2.1 Tính tồn vẹn 45 5.2.2 Tính xác thực 45 5.2.3 Tính thống 45 5.2.4 Tính tin cậy 46 5.3 Các mơ hình giả thuyết xâm nhập vào hệ thống 46 63 + Lớp Database Call: lớp cung cấp giao diện giao tiếp với sở liệu + Lớp Password Driver: ứng dụng giao tiếp với sở liệu từ bên Lớp cung cấp giao diện cho người sử dụng giao tiếp với sở liệu Lớp có khả ngăn tạo danh sách mật sử dụng lần cho tài khoản khác Ngân hàng sử dụng chương trình để tạo mật cho khách hàng + Lớp Password Generator: lớp sinh mật ngẫu nhiên 64 6.6 Biểu đồ trình tự Hình 6.6 Biểu đồ trình tự hệ thống 65 6.7 Mơ hình triển khai Trong phần mô tả thực thi thiết kế theo mơ hình thiết kế lớp Chúng ta tập trung chủ yếu vào chương trình client MIDlet chạy thiết bị di động khách hàng để kiểm nghiệm xây dựng thử chương trình server phía ngân hàng sử dụng kênh truyền thông tin qua kênh SMS 6.7.1 Các cơng nghệ mã hóa bảo mật Để đạt mục tiêu đặt mã hóa, giải mã kiểm tra tính tồn vẹn lớp bảo mật phía chương trình client MIDlet chương trình server phía ngân hàng sử dụng gói mã hóa Bouncy castle Bouncy castle có nhiều thư viện dùng cho ứng dụng mã hóa public static byte[] encodeMessage(byte[] content, String password, String cipherAlg)throws Exception{ byte key[] = password.getBytes(); //convert password text to bytes BufferedBlockCipher cipherEngine = new PaddedBufferedBlockCipher(createEngine(cipherAlg)); //create cipher engine cipherEngine.init(true, new KeyParameter(key)); //initialise the cipher for encryption //Encrypt message byte[] cipherText = new byte[cipherEngine.getOutputSize(content.length)]; int cipherTextLength = cipherEngine.processBytes(content, 0, content.length, cipherText, 0); cipherEngine.doFinal(cipherText, cipherTextLength); ByteArrayOutputStream out = new ByteArrayOutputStream(); DataOutputStream dout = new DataOutputStream(out); dout.writeShort(cipherText.length); dout.write(cipherText); return out.toByteArray(); } Để mã hóa giải mã nên chọn chuẩn AES (Advanced Encryption Standard) chuẩn sử dụng mơ hình mã hóa khối chuỗi thực triển khai Bouncy castle Chúng ta chọn giải thuật đơn giản phù hợp triển khai điện thoại di động hạn chế nhớ Chuẩn mã hóa tiên tiến AES giải thuật mã hóa đối xứng sử dụng mã hóa 66 khối 128 bits kích cỡ khóa 128, 192, 256 Trong phần thử nghiệm sử dụng kích cỡ khóa 128 phù hợp Thuật tốn sinh chuỗi mã hóa từ hàm băm sử dụng thuật toán SHA1 (Secure Hash Algorithm) phát triển học viện chuẩn công nghệ quốc gia mỹ (National Institute of Standard and Technology-NIST) [14] Giải thuật có đầu vào chuỗi ký tự với kích thước nhỏ 264 bits tạo chuỗi 160 bits Chúng ta lựa chọn giải thuật SHA1 giải thuật chưa có cơng bố chứng minh dễ dàng giả mã đầu Không giống giải thuật MD5 có chứng minh khả giải mã đầu giải thuật public static byte[] digest(byte[] content, String digestAlg) throws Exception{ //Calculate message digest Digest digestEngine = createDigest(digestAlg); int digestSize = digestEngine.getDigestSize(); byte[] digest = new byte[digestSize]; digestEngine.update(content, 0, content.length); digestEngine.doFinal(digest, 0); return digest; } Đoạn mã sử dụng lớp security, chúng phương thức mã hóa tính tốn chuỗi mã hóa sinh từ hàm băm tương ứng với giao thức chương Trong phương thức mã hóa nội dung tin nhắn coi mảng byte mật chuỗi ký tự Giải thuật mã hóa sử dụng AES Tham số digestAlg cho phép nơi gọi xác định giải thuật sinh chuỗi mã hóa, sử dụng giải thuật SHA1 Trong đối tượng digestengine tạo đối tượng tin mã hóa SHA1 message digest Đồng thời digestengine sử dụng để nhận chuỗi mã hóa 67 Để kiểm tra độ tin cậy tin nhắn, chương trình đoạn mã nguồn sau trình thực kiểm tra độ tin cậy public static void compare(byte[] digest, String message, String digestAlg)throws Exception{ byte[] calculatedDigest = digest(message.getBytes(), digestAlg); if(calculatedDigest.length != digest.length) throw new Exception("Digest size mismatch"); //compares digest byte by byte for(int i = 0; i < calculatedDigest.length; i++) if(calculatedDigest[i] != digest[i]) throw new Exception("Digest mismatch Integrity of the message compromised"); } Trong phương thức thấy việc tính chuỗi mã hóa sinh từ hàm băm với đầu vào nội dung tin nhắn Sau so sánh chuỗi mã hóa vừa tính với chuỗi mã hóa lấy từ tin nhắn Nếu kích cỡ bị sai lệnh phương thức thông báo lỗi Nếu đảm bảo kích cỡ phương thức thực so sánh byte chuỗi mã hóa vừa tính với chuỗi mã hóa đưa vào từ tham số phương thức Việc kiểm tra gặp lỗi byte bị sai lệnh tính tồn vẹn tin nhắn đảm bảo Mã hóa Base64 sử dụng để mã hóa tin nhắn Giải thuật mã hóa Base64 đưa byte liệu tin nhắn dạng ký tự bit Để giúp cho tin nhắn truyền dạng ký tự làm giảm kích cỡ tin nhắn 6.7.1.1 Cơ sở liệu ngân hàng Dưới mô tả bảng sở liệu phía ngân hàng: Account(AccID, Name, Balance, PIN, CusPhoneNum) OTP(AccID, Seq, Password) DeletedOTP(AccID, Seq, Password) ReceivedMessage(Message, Time, Originator) Bảng Account bảng lưu trữ thông tin tài khoản khách hàng Bảng OTP bảng lưu trữ mã khóa sử dụng lần, bảng lưu trữ tất mã khóa 68 sử dụng lần cho tất khách hàng Bảng DeletedOTP bảng lưu trữ tất mật sử dụng lần sử dụng Bảng ReceivedMessage lưu trữ tất tin nhắn mà hệ thống xử lý nhận 6.7.1.2 Hệ thống sinh dãy mật Trong mơ hình triển khai thử nghiệm sử dụng sinh mật để tạo mật số thứ tự sở liệu Đồng thời sinh copy dang html Chương trình hiển thị số tài khoản khách hàng mở tài khoản ngân hàng, số tài khoản thể dạng lựa chọn để chương trình sinh mật số thứ tự tương ứng với số tài khoản khách hàng Việc sinh mật dạng ký tự làm cho khách hàng dễ dàng khâu nhập liệu vào máy di động Giải thuật để sinh mật sử dụng đề tài sinh số giả ngẫu nhiên SHA1 Bộ sinh số giả ngẫu nhiên tạo số ngẫu nhiên không theo quy luật cố độ an toàn mật mã phù hợp cho việc sinh mật Hình 6.7 Giao diện chương trình sinh mật ngẫu nhiên 69 6.7.2 Kiểm thử Chương trình client nạp vào máy di động thông qua sử dụng dịch vụ nhắn tin tải liệu GPRS chép chương trình vào máy di động, máy di động cần phải hỗ trợ mơi trường chạy ứng dụng JAVA Chương trình server kết nối tới với SMSGateway thơng qua hệ thống hệ thống JMS (Java Messaging Service) Hệ thống JMS cung cấp môi trường trao đổi tin nhắn không đồng Việc kết nối thông qua socket thiết lập hàng đợi tin nhắn Hệ thống SMSGateway muốn gửi tin đến chương trình server phía ngân hàng đẩy tin vào hàng đợi Hệ thống server phía ngân hàng muốn lấy tin để xử lý lấy tin từ hàng đợi Đối với hệ thống SMSGateway hệ thống công ty Goldsoft, hệ thống kết nối tới bốn SMSC nhà cung cấp dịch vụ Viettel, MobiFone, VinaPhone, EVNTelecom Hiện hệ thống sử dụng để khai thác dịch vụ giá trị gia tăng mạng điện thoại di động Số dịch vụ khai thác cung cấp công ty cung cấp dịch vụ di động, số dịch vụ 8002 Mô hình kết nối ba bên triển khai sau: Hình 6.8 Mơ hình triển khai kết nối khai thác dịch vụ SMS Banking Trong mơ hình trên: • Chương trình client cài máy di động kích hoạt, sau chọn chức thực giao dịch chuyển tiền với ngân hàng 70 Chương trình tạo tin nhắn mã hóa sau gửi vào số dịch vụ 8002 • Hệ thống SMSC nhận kiểm tra số người nhận 8002, hệ thống chuyển tiếp tin nhắn đến SMSGateway nhà khai thác nội dung Goldsoft Nhà khai thác dịch vụ nội dung kiểm tra đầu mã tin nhắn (đây đầu mã nhà khai thác cấp cho nhà cung cấp dịch vụ thứ ba, trường thêm vào tin nhắn để nhận diện tin nhắn ngân hàng kết nối với Goldsoft) thấy đầu mã “SB” chuyển tiếp tin nhắn vào Queue ngân hàng • JMS Client ngân hàng quét Queue để lấy tin nhắn xử lý Chương trình server xử lý xong tạo tin nhắn mã hóa với nội dung thơng báo kết giao dịch gửi vào Queue sang hệ thống SMSGateway Goldsoft • Goldsoft nhận tin nhắn Queue gửi trả khách hàng cách gửi tin đến SMSC nhà cung cấp dịch vụ tương ứng với thuê bao Trong hình mô tả giao diện ứng dụng chạy máy client khách hàng 71 Hình 6.9 Màn hình mơ tả trình kiểm tra tài khoản 72 Chương Đánh giá Kết luận Trong chương xin đưa đánh giá việc ứng dụng dịch vụ Mobile Banking Việt Nam Tơi xin trình bày thách thức hội hệ thống đưa kết luận hướng phát triển tương lai 7.1 Đánh giá Các dịch vụ Mobile Banking qua SMS có tiềm lớn nước mà sở hạ tầng internet hạn chế cho việc sử dụng dịch vụ e-banking Ở Việt Nam, kết nối băng thơng internet cịn thấp, dân số chưa thị hóa chiếm đa số nghèo dịch vụ ngân hàng qua internet triển khai nơi Tuy nhiên nhờ phát triển loại hình di động, việc triển khai dịch vụ ngân hàng qua tin nhắn SMS lựa chọn thích hợp có khả phục vụ nhiều đối tượng khách hàng khác Thành công dịch vụ ngân hàng qua SMS nước phát triển chủ yếu phụ thuộc vào nhận thức ngân hàng lợi ích mà hệ thống đem lại để đưa đến cho khách hàng dịch vụ tốt hơn, giúp giảm chi phí hoạt động họ Tiềm việc ứng dụng dịch vụ ngân hàng qua SMS làm cho khách hàng ý đến tiện lợi trình sử dụng tài khoản cá nhân lựa chọn nhà cung cấp dịch vụ ngân hàng Đây điều mà ngân hàng quan tâm để thu hút khách hàng sử dụng dịch vụ 7.2 Kết luận Trong đề tài này, tơi trình bày thực trạng dịch vụ ngân hàng qua SMS Việt Nam, nêu lên công nghệ hạn chế bảo mật việc truyền tin nhắn SMS dạng văn thô Từ việc nghiên cứu hệ 73 thống hệ thống liên quan, đề xuất giao thức hệ thống cài đặt thử nghiệm Với xu hướng Mobile Banking tơi lạc quan khẳng định dịch vụ internet banking dịch vụ sử dụng nhiều nước phát triển dịch vụ SMS banking ngày đạt thành công nước phát triển Trong chương năm đưa phân tích vấn đề bảo mật giao thức đề xuất Giao thức hiệu quả, tránh nhiều loại hình cơng phổ biến có giá thành truyền thông hợp lý khách hàng phải sử dụng tin nhắn cho giao dịch Tuy nhiên với dung lượng nhớ thiết bị di động hạn chế, việc trao đổi danh sách mật số thứ tự dẫn đến lỗ hổng bảo mật gây nguy hiểm việc bảo mật hệ thống Vì cần có nghiên cứu thêm để đưa hệ thống mã hóa bất đối xứng tối ưu cho thiết bị đầu cuối có dung lượng nhớ thấp Trong thiết kế mình, tơi giả sử ứng dụng mobile banking cài đặt trước máy điện thoại khách hàng, thực tế điều khơng hiệu mặt kinh tế phải ký hợp đồng với nhà sản xuất điện thoại di động bên cạnh ứng dụng khác hệ điều hành máy điện thoại di động khác Vì vấn đề quan trọng triển khai ứng dụng mà không ảnh hưởng đến vấn đề bảo mật triển khai Một hướng nghiên cứu khác tích hợp khả giấu tên chương trình thử nghiệm để mở rộng việc tốn khách hàng Xét cách toàn diện, hệ thống đề xuất bước đầu giải vấn đề bảo mật đưa 74 TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt [1] Mã Hóa Thơng Tin Với Java Nhà xuất bản: Nxb Lao động Xã hội [2] Lý thuyết thông tin mã hóa Mã sách.: DB-KTT-015 [3] SMS Banking - Vuợt chuớng ngại vật www.mobilenet.vn/vn/chuyendongthitruong/1682/index.aspx [4] SMS Banking - Chuyển động công nghệ [5] Chức SIM Tapchibcvt@mpt_gov_vn.mht [6] GSM World - GSM Security Algorithms.mht www.gsmworld.com [7] http://www.thongtincongnghe.com/article/5409 Tài liệu tiếng Anh [1] http://conventions.coe.int/Treaty/EN/Treaties/Html/185.htm [2] Tommi Laukkanen (2005), Comparing Consumer Value Creation in Internet and Mobile Banking Proceedings of the International Conference on Mobile Business pg 655-658 [5] http://www.c-sam.com/ 75 [6] GSM technical specification (1997), Digital cellular telecommunications system (Phase 2+); General description of a GSM Public Land Mobile Network (PLMN), http://www.etsi.org [7] John W Muchow (2002), Core J2ME Technology & MIDP, The Sun Microsystems Press-Java Series, California USA [8] Jonathan Knudsen (2002), MIDP Application Security : design Concerns and Cryptography, Sun Developer network ; http://developers.sun.com/techtopics [9] William Stallings (2003), Network Security Essentials, Pearson Education, Inc Upper Saddle river, New Jersey USA [10]Alfred J Menezes, Paul C van Oorschot and Scott A Vanstone (2001), Handbook of Applied Cryptography, CRC press, USA [11] Lam, K.Y and Golmann, D (1992), Freshness assurance of authentication protocols Proceedings of the second European Symposium on Research in Computer Science, Toulouse, France, LNCS 648 [12] Lam, K.Y, Cung, S., Gu, M., and Sun, J (2003) Lightweight Security for Mobile Commerce Transactions Computer Communications 26, 2052 2060 [13]Jonathan Knudsen (2002), MIDP Application Security : design Concerns and Cryptography, Sun Developer network ; http://developers.sun.com/techtopics [14] Banji Oyelaran-Oyeyinka and Catherine Nyaki Adeya (2004),Internet Access in Africa: Empirical Evidence from Kenya and Nigeria Telematics and Informatics, 21, , pp 67-81 76 [15] Tasneem G Brutch and Paul C Brutch(1998), Mutual Authentication, Confidentiality, and Key Management (MACKMAN) System for Mobile Computing and Wireless Communication, IEEE Annual Computer Security application conference [16] G.J Simmons (1979), Symmetric and asymmetric encryption ACM Computing Surveys, 11(4):305330 [17] W.Diffie and M.E Hellman (1979) Privacy and authentication: An introduction to cryptography Proceedings of IEEE, 67(3):397427 [18]R.L Rivest, A Shamir, and L Adleman (1978) A method for obtaining digital signatures and public-key cryptosystems Communications of the ACM, 21(2):120126 [19] Simon S Lam and Thomas Y.C Woo (1997), Authentication for Distributed Systems, Internet Besieged: Countering Cyberspace Scofflaws ACM [20] Kwok-Yan Lam and Dieter Gollman (1992) Freshness Assurance of Authentication Protocols Proceedings of the Second European Symposium on Research in Computer Security Lecture Notes In Computer Science; Springer-Verlag Vol 648 261 - 272 [21] Beliovin, S.M., Merrltt, M(1990).: Limitations of the Kerberos Authentication System ACM Computer Communications Review 20(5) 11932 [22] Bruce Schneier (1999), Attack Trees: Modelling security threats, Dr Dobb’s Journal http://www.schneier.com/paper-attacktrees-ddj-ft.html 77 [23] Klaus Vedder (1998), GSM: Security, Services, and the SIM, SpringerVerlag Berlin Heidelberg, LNCS 1528, pp 224-240 [24] Donar Porter and Lawrence D Wiess (1998), Interactive Voice Response System for Banking by Telephone, United States Patent, Patent Number 5,825,856 [25] WAP Forum, Wireless Application Protocol Architecture Specification, Version 12-July-2001, Available from http://www.openmobilealliance.org [26] Mike Bond, Piotr Zielinski (2003), Decimalization table attacks for PIN Cracking, University of Cambridge http://www.cl.cam.ac.uk/ ... TypeofTransaction: Trong giao thức xác dịnh hai loại giao dịch, thêm vào nhiều loại giao dịch khác Hai loại giao dịch giao dịch kiểm tra số dư tài khoản giao dịch chuyển tiền tài khỏan Loại giao dịch dùng... trước 25 Chương Các mơ hình bảo mật đề xuất SMS Banking Trong chương tơi đề xuất mơ hình bảo mật cho hệ thống SMS Banking để nâng cao tính bảo mật hệ thống SMS Banking Đồng thời đưa giải pháp... nhắn SMS Dựa vào cấu trúc tin nhắn SMS hình 4.2, tơi đưa cấu trúc SMS bảo mật Cấu trúc tin nhắn SMS bảo mật bao gồm nhiều trường thông tin để sử dụng q trình kiểm tra thơng tin bảo mật giao thức