Dịch vụ SMS Banking các vấn đề bảo mật và ứng dụng

Dịch vụ SMS Banking các vấn đề bảo mật và ứng dụng Dịch vụ SMS Banking các vấn đề bảo mật và ứng dụng Dịch vụ SMS Banking các vấn đề bảo mật và ứng dụng luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp

M ỤC LỤC

M ỤC LỤC 1

L ỜI CAM ĐOAN 3

CÁC HÌNH V Ẽ SỬ DỤNG TRONG BÁO CÁO 4

CÁC T Ừ VIẾT TẮT SỬ DỤNG TRONG BÁO CÁO 5

TÓM T ẮT ĐỒ ÁN 8

ABSTRACT 9

CH ƯƠNG 1: MỞ ĐẦU 10

1.1 Gi ới thiệu đề tài 10

2.2 Ph ạm vi đề tài 12

CH ƯƠNG 2: CƠ SỞ LÝ THUYẾT 15

2.1 C ơ bản về hệ thống GSM và các vấn đề bảo mật .15

1.1.1 Hệ thống GSM 15

1.1.2 Bảo mật trong hệ thống GSM 25

2.1.3 Các hạn chế bảo mật trong kiến trúc GSM 30

2.2 D ịch vụ mobile banking và các công nghệ dùng trong mobile banking .32

2.2.1 Các dịch vụ ngân hàng qua di động 32

2.2.2 Các công nghệ sử dụng 34

2.2.3 Hiện trạng của dịch vụ SMS banking tại Việt Nam 36

CH ƯƠNG 3: LÝ THUYẾT CƠ SỞ VỀ CƠ CHẾ MÃ HÓA BẢO MẬT 40

3.1 Các khái ni ệm 40

3.2 Gi ải thuật mã hóa cơ bản 42

3.2.1 Mã hóa đối xứng 42

3.2.2 Mã hóa bất đối xứng 44

3.2.3 Một số thuật toán nổi tiếng 45

3.3 Xác th ực 48

3.3.1 Phân loại xác thực 49

3.3.2 Các yếu tố xác thực 49

3.3.2 Xác thực bảo đảm tính tức thời 50

3.3.3 Hàm băm (Hash) trong bảo mật 52

CH ƯƠNG 4: PHÂN TÍCH GIẢI PHÁP BẢO MẬT CHO DỊCH VỤ SMS BANKING 54

4.1 Gi ải pháp 54

4.1.1 Thành ph ần ứng dụng di động 54

4.1.2 Máy ch ủ ngân hàng 57

4.1.3 Cơ sở dữ liệu (CSDL) cuối 59

4.2 Định dạng bản tin và giao thức xác thực 59

4.2.1 Cấu trúc bản tin 59

4.2.2 Các giao thức bắt tay 63

4.3 Giải pháp cho vấn đề xác thực và giao thức trao đổi bản tin 67

4.3.1 Sinh khóa 68

4.3.2 Lưu trữ khóa 69

4.3.3 Quản lý khóa 70

4.3.4 Ứng dụng của các khóa 71

4.3.5 Tạo và gửi bản tin bảo mật 73

4.4 Phân tích tính b ảo mật của giải pháp 74

4.4.1 Các thành phần chính trong mô hình 75

4.4.2 Tính bảo mật của giải pháp 75

4.4.3 Các mô hình tấn công 78

CH ƯƠNG 5: THIẾT KẾ VÀ TRIỂN KHAI HỆ THỐNG 83

5.1 Môi tr ường ứng dụng phía di động 83

5.1.1 Giới thiệu J2ME 83

5.1.2 Các thành phần của J2ME 84

5.1.3 Giới thiệu về MIDlet 85

5.2 Môi tr ường phát triển 85

5.3 Thi ết kế hệ thống 87

5.3.1 Biểu đồ ca sử dụng 87

5.3.2 Biểu đồ lớp của gói ứng dụng phía người dùng di động 89

5.3.3 Biểu đồ lớp của gói ứng dụng máy chủ 90

5.4.4 Thiết kế cơ sở dữ liệu 92

5.4 Tri ển khai hệ thống 93

5.4.1 Các công nghệ bảo mật 94

5.4.2 Bộ sinh mật khẩu tuần tự 95

5.4.3 K ết nối giữa Client và Server 96

5.4.4 Ki ểm thử lại kết quả 96

K ẾT LUẬN 99

CÁC TÀI LI ỆU THAM KHẢO 104

L ỜI CAM ĐOAN

Tôi xin cam đoan rằng toàn bộ nội dung trong bài luận văn của tôi dưới đây không được sao chép y nguyên từ một bài luận văn của một tác giả khác

Tôi cũng xin cam đoan rằng mọi sự tham khảo, trích dẫn trong bài luận văn của tôi đều đã được chỉ rõ nguồn trong danh mục Tài liệu tham khảo của luận văn

Nếu hội đồng phát hiện có những điều không đúng với những gì tôi đã cam đoan ở trên thì tôi xin chịu hoàn toàn trách nhiệm

Học viên Vũ Thị Thu Hương

CÁC HÌNH V Ẽ SỬ DỤNG TRONG BÁO CÁO

Hình 1.1: Mô hình của hệ thống cung cấp dịch vụ qua tin nhắn 13

Hình 2.1: Kiến trúc mạng GSM 16

Hình 2.2: Kiến trúc mạng GSM hỗ trợ dịch vụ SMS 20

Hình 2.3: Thủ tục xác thực thuê bao trong GSM 28

Hình 2.4: Thủ tục tạo ra dữ liệu mã hóa trong GSM 29

Hình 2.5: Các thuật toán mã hóa dùng trong GSM 30

Hình 3.1: Thu ật toán mã hóa đối xứng 43

Hình 3.2: Thu ật toán mã hóa bất đối xứng 45

Hình 3.3: Gi ải thuật mã hóa DES 47

Hình 3.4: Xác th ực bằng thách thức/đáp ứng 51

Hình 4.1: T ổng quan về giải pháp 57

Hình 4.2: C ấu trúc bản tin SMS 60

Hình 4.3: Mô hình t ấn công đường truyền 79

Hình 4.4: Mô hình t ấn công hình cây 82

Hình 5.1: Bi ểu đồ ca sử dụng 88

Hình 5.2: Bi ểu đồ lớp của ứng dụng di động 90

Hình 5.3: Bi ểu đồ lớp của gói ứng dụng máy chủ 91

Hình 5.4: Mô t ả thao tác phía ứng dụng di động 98

CÁC T Ừ VIẾT TẮT SỬ DỤNG TRONG BÁO CÁO

Viết tắt

Vi ết đầy đủ D ịch nghĩa

Configuration

Cấu hình thiết bị kết nối hạn chế

communication cầu

Identity

Số nhận dạng thuê bao di động quốc tế

nghiệp vụ di động

Subsystem

Phân hệ vận hành và bảo dưỡng

công cộng

công cộng

SMS Short message service Dịch vụ tin nhắn ngắn

ngắn SMS-

chuyển

TÓM T ẮT ĐỒ ÁN

Đề tài này xuất phát từ thực tế bùng nổ dịch vụ di động và các hình thức cung cấp dịch vụ gia tăng qua SMS Các hình thức cung cấp dịch vụ ngày càng đa dạng và đi vào nhiều lĩnh vực khác nhau trong đó có dịch vụ ngân hàng

các công nghệ hỗ trợ và các khía cạnh bảo mật đối với dịch vụ ngân hàng qua

di động (mobile banking) Trong số các công nghệ hỗ trợ dịch vụ ngân hàng qua di động với các dịch vụ và kĩ thuật bảo mật khác nhau, luận văn sẽ đi sâu

biến nhất mà tất cả các điện thoại di động đều hỗ trợ và mọi người sử dụng đều biết tới, hơn nũa các dịch vụ cung cấp nội dung qua SMS đang hết sức

nhưng đồng thời phải đảm bảo vẫn phù hợp để đưa vào ứng dụng trong các điện thoại di động vốn có dung lượng bộ nhớ nhỏ Luận văn cũng sẽ nghiên

cơ chế xác thực, mã hóa, giải mã cho mục đích bảo mật và cơ chế xử lý đảm bảo tính toàn vẹn dữ liệu, toàn bộ phần này sẽ phát triển trên nền công nghệ

đánh giá độ bảo mật của giải pháp và các hướng nghiên cứu mở rộng

ABSTRACT

The thesis is originated from the realistic when information providing via SMS service has broken out recently This service is now entering many various aspects of life and becoming very familiar with Vietnames customers, one of thoes is mobile banking service

We present an overview of GSM network and its security limitations This thesis explores the current technological and security aspects in mobile banking systems We review a number of systems offering mobile banking services and highlight their technologies, services and security implementations We will concentrate in SMS banking service since SMS service is support in most of cellular phones and service via SMS are now very popular and attracting a great amount of customer in VietNam

We further explore various authentication protocols relevant to our study and review them to come up with our proposed protocol Hence a number of issues like confidentiality and integrity of the message including authentication still need attention We therefore present a prototype implementation that demonstrates how these security aspects can reliably be achieved in a SMS mobile banking system Our prototype provides a mechanism for authentication, encryption and decryption for purposes of confidentiality and processes message digest for integrity checks We end up

by giving a conclusion about secure SMS mobile banking in developing countries and future work

CHƯƠNG 1: MỞ ĐẦU1.1 Gi ới thiệu đề tài

Trong cuộc sống hiện đại ngày nay, con người đã và đang ngày càng phụ thuộc vào công nghệ đặc biệt là công nghệ máy tính Máy tính kiểm soát

người một cuộc sống thoải mái và tiện nghi hơn nhưng cũng đem lại nhiều cơ hội cho các loại tội phạm công nghệ cao hay tội phạm công nghệ thông tin bởi

tầm ảnh hưởng rất lớn

đến mọi mặt của đời sống xã hội Sự phát triển của mạng internet và thông tin

đã góp phần tích cực trong việc thúc đẩy các lĩnh vực khác của đời sống Con

số thống kê của Bộ Thông tin và Truyền thông cho thấy lĩnh vực viễn thông

đó thuê bao di động chiếm 86,7% (số liệu năm 2008) Việt Nam hiện xếp thứ

6 trong châu Á về số lượng thuê bao di động Cùng với sự gia tăng thuê bao, thông tin di động đã “tấn công” vào tất cả cả các lĩnh vực trong đó có lĩnh vực tài chính ngân hàng và đã định hình lại thị trường dịch vụ tài chính

Ngân hàng điện tử là hình thức cung cấp các dịch vụ ngân hàng tới

sử dụng Internet ở các nước đang phát triển nói chung và Việt Nam nói riêng chưa cao, trình độ của đại đa số người dùng cũng chưa đủ để khai thác các

tiện ích của Internet một cách tối đa Do đó ngân hàng qua di động (mobile

cũng rất chú trọng đến dịch vụ này, đến nay rất nhiều ngân hàng đã triển khai dịch vụ tới khách hàng và được khách hàng đón nhận

Thương mại di động là các giao dịch thương mại được thực hiện thông qua hệ thống thông tin vô tuyến và thiết bị di động Mobile banking là dịch vụ cho phép người dùng nhận các thông tin về tài khoản, chuyển khoản giữa các

động Các thông tin này đều là các thông tin nhạy cảm, các giao dịch lại liên quan trực tiếp với vấn đề tài chính, đó là điểm khác biệt của dịch vụ mobile banking so với các dịch vụ khác được cung cấp qua mạng di động Với các đặc thù đó nên vấn để bảo mật của mobile banking là một trong những thách

hàng Trong số các công nghệ cho phép thực hiện việc triển khai dịch vụ mobile banking, phải kể tới dịch vụ tin nhắn ngắn SMS vì sự phổ biến của nó Hơn nữa các dịch vụ cung cấp nội dung đang hết sức phổ biến nên việc đưa

toàn cho khách hàng và ngân hàng trước những sự tấn công ngày càng tinh vi của các loại tội phạm công nghệ cao

SMS banking, các v ấn đề bảo mật và ứng dụng” Với mong muốn có thêm

trong các dịch vụ tài chính nói riêng, cùng với sự hướng dẫn nhiệt tình của các thầy cô giáo, tôi đã cố gắng hết sức và vận dụng tối đa các kiến thức mà

mình có được qua quá trình học tập và công tác để hoàn thành được đề tài và

2.2 Ph ạm vi đề tài

Hiện tại có rất nhiều công nghệ cho phép cung cấp các ứng dụng dịch

MAC) Đề tài này sẽ đi vào phân tích nghiên cứu các công nghệ này cũng như

tập trung vào công nghệ SMS vì đó là công nghệ phù hợp nhất và hiệu quả nhất với các nước đang phát triển Mô hình của hệ thống cung cấp dịch vụ ngân hàng qua SMS cũng giống như mô hình cung cấp các dịch vụ khác qua

• Mobile Network: mạng di động, gồm cả phía người dùng và phía nhà cung cấp dịch vụ di động, thành phần giao tiếp chính với ngân hàng nói riêng và các nhà cung cấp dịch vụ nội dung là SMSC

• SMS gateway: hầu hết các nhà cung cấp dịch vụ nội dung đều thông qua một gateway để kết nối với mạng di động nhằm tiết kiệm chi phí chung Trong trường hợp dịch vụ SMS banking ở Việt Nam thì SMS Gateway này được cung cấp qua một số đơn vị như Paynet, VNPay

Đối với các dịch vụ tài chính ngân hàng điện tử, yếu tố khác biệt nhất

và cũng là đáng quan tâm nhất chính là tính bảo mật của hệ thống cung cấp dịch vụ Nếu đường truyền giữa nhà cung cấp dịch vụ nội dung (ngân hàng)

và SMS gateway là đường truyền có dây và có cung cấp các cơ chế phòng

hiểm Công nghệ GSM và dịch vụ tin nhắn ngắn SMS có rất nhiểu hạn chế về bảo mật Các tin nhắn đều không được mã hóa trên đường truyền và tại các máy chủ lưu trữ đầu cuối hoặc trung gian Các công ty viễn thông với việc lưu

SMS Gateway

S MSC protocols

SMSC

SMSC

Hình 1.1: Mô hình của hệ thống cung cấp dịch vụ qua tin nhắn

Trong SMS banking, dữ liệu được truyền qua kênh thông tin vô tuyến Quá trình này đặt ra vấn đề về xác thực được người dùng, quản trị dữ liệu và đặc biệt là tính bảo mật của dữ liệu Do đó câu hỏi chính được đặt ra là phương pháp giải quyết các thách thức bảo mật mà một hệ thống dịch vụ

động, đặc biệt là SMS

- Các vấn đề về bảo mật của các công nghệ SMS

- Các biện pháp bảo mật hiện đang được triển khai dành cho các dịch

vụ qua SMS nói chung và SMS banking nói riêng

- Các mô hình, giải pháp bảo mật đề xuất

Trên đây là mô tả chung về dịch vụ SMS banking Trong phạm vi luận văn với thời gian nghiên cứu có hạn, tôi xin được phép thu hẹp phạm vi đề

lu ận văn trong việc xây dựng một mô hình giải pháp bảo mật với các phương pháp xác thực, mã hóa, kiểm tra tính toàn vẹn cho dịch vụ SMS banking triển khai ở cả hai phía máy chủ và thiết bị di động

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT

của mạng GSM và các vấn đề liên quan đến bảo mật của mạng GSM Sau đó luận văn sẽ nghiên cứu các công nghệ hỗ trợ mobile banking và các đặc điểm

2.1 Cơ bản về hệ thống GSM và các vấn đề bảo mật

1.1.1 H ệ thống GSM

đầu nghiên cứu chuẩn hóa mạng thông tin tế bào công cộng của châu Âu ở tần

số 900MHz thành hệ thống GSM, với mục đích cho phép thuê bao lưu động

động vào năm 1991 với phương thức đa truy nhập TDMA/FDMA (8thuê

được sử dụng ở hơn 200 quốc gia Các tiêu chuẩn kỹ thuật của mạng GSM 900MHz được mở rộng cho dải tần 1800 và 1900MHz, được biết đến với tên

DCS1800 và PCS1900

phương thức đa truy nhập phân chia theo thời gian TDMA Trong mạng dùng chuyển mạch kênh, với tốc độ không lớn hơn 14.4Kbps (với cấu hình đơn

• Phân hệ chuyển mạch (NSS – Network Subsystem)

• Phân hệ vận hành và bảo dưỡng (OMS – Operation and Maintenance Subsystem) (không được vẽ trên hình)

Hình 2.1: Ki ến trúc mạng GSM

a1 Phân h ệ vô tuyến BSS gồm

Assistant) MS bao gồm thiết bị di động - ME (Mobile Equipment) và một module nhận dạng thuê bao (SIM – Subscriber Identity Module) được cấp bởi

• Trạm thu phát gốc BTS (Base Tranceiver Station)

BTS là phần thu phát vô tuyến của hệ thống mà qua đó MS có thể liên

đồng thời Tại đây, các tín hiệu vô tuyến được điều chế, khuyếch đại và phối hợp thu phát BTS đảm nhiệm các chức năng như sau:

điều khiển của BSC

BSC

• Thiết bị điều khiển trạm gốc BSC (Base Station Controller)

Việc quản lý mạng vô tuyến chính là quản lý các cell và các kênh logic của chúng Các số liệu quản lý như lưu lượng thông tin một cell, môi trường vô tuyến, số lượng cuộc gọi rớt, số lần chuyển giao thành

Trước khi đưa vào khai thác, BSC lập cấu hình của trạm thu phát

và các tần số cho mỗi trạm BTS Nhờ việc quản lý này mà BSC có thể

có một tập hợp các kênh sẵn có dành cho điều khiển nối thông cuộc gọi

BSC chịu trách nhiệm thiết lập và giải phóng các đấu nối tới MS

và chất lượng tiếng được đo ở MS và BTS gửi đến BSC, từ đó BSC quyết định công suất phát tốt nhất cho MS để giảm nhiễu của mạng và tăng cường chất lượng nối thông

a2 Phân h ệ chuyển mạch NSS gồm

Switching Center)

MSC là hạt nhân của mạng thông tin di động mặt đất công cộng PLMN (Public Land Mobile Network) Nó làm nhiệm vụ định tuyến và kết nối các phần tử mạng, thuê bao di động với nhau hay với thuê bao của mạng PSTN và

VLR, AuC, EIR Cũng từ MSC, các tin tức báo hiệu cần thiết sẽ được phát ra các giao diện ngoại vi của mạng chuyển mạch MSC còn chứa dữ liệu và thực hiện các quá trình Handover Trong chế độ thoại, một bộ triệt tiếng vọng EC

VLR thường được gắn trong MSC, trong đó chứa các thông tin về tất cả các thuê bao di động đang nằm trong vùng phủ sóng của MSC này, gắn cho

bao đăng ký Nhờ vậy mà MSC có thể thiết lập đường kết nối vô tuyến với

MS trong các trường hợp thông tin

• Bộ ghi định vị thường trú HLR (Home Location Register)

HLR là cơ sở dữ liệu trung tâm, quan trọng nhất trong hệ thống GSM

Ở đó lưu trữ các dữ liệu về thuê bao đăng ký trong mạng của nó, gồm những

số liệu về trạng thái thuê bao, quyền thâm nhập, các dịch vụ mà thuê bao đăng

AuC thường được gắn với HLR AuC là cơ sở dữ liệu lưu giữ mã khóa

RAND (random number), Kc (cipher key), SRES (signed response) khi HLR yêu cầu để tiến hành quá trình nhận thực thuê bao

EIR là cơ sở dữ liệu thông tin về tính hợp lệ của một thiết bị ME qua số

tiêu chuẩn kỹ thuật của mạng

a3 Trung tâm v ận hành và bảo dưỡng OMS

(Operation and Maintenance Center) Tại OMC, các thiết bị đầu cuối vận hành và bảo dưỡng OMT (Operation and Maintenance Terminal) cho phép

OMC kết nối với các phần tử của mạng như MSC/VLR, HLR/AuC,

và quản lý thuê bao một cách tập trung

b T ổ chức và khai thác dịch vụ tin nhắn ngắn SMS (Short Message Service)

Dịch vụ tin nhắn ngắn SMS cho phép các trạm di động (MS) và các thiết bị có kết nối với mạng khác như thuê bao Internet hay máy nhắn tin trao đổi những tin nhắn dạng text

Hình 2.2: Kiến trúc mạng GSM hỗ trợ dịch vụ SMS

Để dịch vụ SMS hoạt động được trong mạng GSM, yêu cầu về máy đầu cuối, các thành phần mạng và kiến trúc mạng như sau:

b1 Th ực thể bản tin ngắn (Short Message Entity)

hình để làm việc tốt trong mạng di động Thiết bị thường được cấu hình ngay trong quá trình sản xuất, tuy nhiên cũng có thể cấu hình bằng tay

SME có thể là một server được nối với SMSC trực tiếp hoặc thông qua

ESME là một Proxy/Server Wap, Email gateway hoặc server hộp thư thoại

Để trao đổi tin nhắn, SME tạo và gửi tin nhắn gọi là SME nguồn

b2 Trung tâm d ịch vụ tin nhắn SMSC

SME và là bộ nhớ lưu trữ tin nhắn (nếu SME đích không sẵn sàng nhận) SMSC có thể tích hợp thành một phần của mạng di động (VD: tích hợp trong

SMSC vì SMS hiện đang là một dịch vụ hết sức phổ biến và được cung cấp trong bất kì một mạng di động nào Theo lý thuyết, một SMSC có thể quản lý

hơn một SMSC thường dùng để quản lý hoạt động SMS trong một mạng di động

Ngày nay một SMSC thương mại có thể sử lý được 1000 tin nhắn/giây Mạng càng lớn thì càng phải cần dùng nhiều SMSC để đáp ứng nhu cầu khách hàng

b3 SMS Gateway/ Interworking Mobile Switching Centre (SMS G/IW MSC)

tin SMS tới MSC của thuê bao đích SMS – IWMSC là MSC có khả năng nhận tin nhắn SMS từ mạng di động và gửi nó tới SMSC thích hợp SMS –

GMSC/SMS – IWMSC thường được tích hợp với SMSC vì thiếu chuẩn giao

tiếp giữa hai thực thể

b4 Bộ ghi định vị thường trú HLR

Trong mạng GSM có triển khai dịch vụ SMS, HLR cung cấp các thông tin định tuyến của một thuê bao được chỉ định để trả lời truy vấn của SMSC Ngoài ra, nếu trước đó SMSC chưa chuyển được tin nhắn tới thuê bao đích

b5 Trung tâm chuyển mạch các nghiệp vụ di động MSC

MSC vẫn có chức năng chuyển mạch cho hệ thống, điều khiển cuộc gọi tới và từ các thuê bao hay hệ thống dữ liệu

b6 B ộ ghi định vị tạm trú VLR

VLR là cơ sở dữ liệu lưu trữ các thông tin tạm thời về thuê bao trong

phục vụ các thuê bao đó

b7 Phân h ệ vô tuyến BSS

Phân hệ vô tuyến vẫn đóng vai trò giao tiếp trực tiếp với thuê bao qua giao diện vô tuyến

Các ứng dụng và khai thác dịch vụ tin nhắn

Ứng dụng phổ biến nhất của dịch vụ này là trao đổi thông tin dạng text

di động trao đổi thông tin có giới hạn, tuy nhiên nó là tiền đề phát triển của một loạt các dịch vụ khác như tải nhạc chuông, điều khiển từ xa hay định vị

chính:

Các ứng dụng phục vụ thuê bao

Khai thác SMS cho các thông tin giá tr ị gia tăng

Các dịch vụ cung cấp nội dung qua SMS được mô tả như sau: thuê bao

di động gửi một tin nhắn SMS tới một đầu số nhất định (thường là số rất

được hiểu là các ESME , sử dụng các giao thức đặc biệt giữa SMSC và ESME như giao thức CIMD, UCP/EMI, Sema Group, SM/ASI Giao thức phổ biến nhất là SMPP ver 3.4 Các trung tâm này gọi là các nhà cung cấp dịch vụ nội dung – CP (Content Provider)

Sau khi nhận được tin nhắn yêu cầu, nếu CP đăng ký nhiều đầu số, phải định tuyến tin nhắn đến CP con với đầu số tương ứng Mỗi CP con này lại có thể phục vụ nhiều dịch vụ, thường phân biệt nhau bởi từ khóa đầu trong bản tin Như vậy, cần định tuyến tin nhắn một lần nữa dựa trên nội dung tin để đến được server xử lý Quá trình định tuyến này có thể làm thay đổi định dạng

dưới dạng một bản tin có định dạng như khi nó nhận vào Bản tin này đi theo đường ngược lại, về tới SMSC, đến thuê bao đầu cuối như một tin nhắn SM-

MT thông thường

Để triển khai một hệ thống dịch vụ như vậy, về mặt cơ sở hạ tầng bên

thông thường Chỉ cần có thỏa thuận kết nối giữa CP và nhà quản trị mạng di động để khi SMSC nhận được tin nhắn SMS với địa chỉ đích là đầu số ngắn, SMSC sẽ định tuyến tin nhắn đó tới CP tương ứng Bên phía CP, nhìn chung

cần có:

và CP nhằm trao đổi dữ liệu và cung cấp thông tin đến khách hàng, định tuyến tin nhắn tới server xử lý

SMS cũng như thông tin khách hàng

ứng dụng dịch vụ cung cấp đến khách hàng

của mình các CP có thể lựa chọn các cách kết nối khác nhau tới SMSC của mạng di động Cùng với sự phát triển của dịch vụ tin nhắn, hầu hết các CP đều chọn giải pháp kết nối trực tiếp Kết nối trực tiếp đến SMSC có những ưu

điểm vượt trội như độ tin cậy cao, đáp ứng dung lượng lớn, chất lượng tốt,…

thuộc vào kiến trúc của SMSC

Mobile banking d ựa trên công nghệ SMS thực tế cũng là một hình thức cung c ấp dịch vụ giá trị gia tăng, mà cụ thể ở đây là các dịch vụ ngân hàng ở

đó có các đặc điểm chung với các dịch vụ khác cũng như các đặc thù riêng

c ủa các thông tin mang tính chất nhạy cảm và cần được bảo mật

1.1.2 B ảo mật trong hệ thống GSM

Khi nói về bảo mật thông tin, mọi người thường hay nói tới bảo mật mạng, bảo mật ứng dụng, bảo mật web Sở dĩ ít có sự quan tâm đến lĩnh vực bảo mật mạng di động vì số lượng tấn công dựa trên điểm yếu của mạng di động chưa phổ biến và khó phát hiện Tuy nhiên với sự bùng nổ của các thiết

động ngày càng gia tăng, bảo mật mạng di động đang trở thành một chủ đề nóng Hiện nay môi trường mạng di động đang được khai thác triệt để cho các ứng dụng cung cấp giá trị gia tăng dựa trên SMS, dịch vụ cung cấp thông tin

toán trực tuyến bằng điện thoại di động Những dịch vụ này dựa trên các phương thức truyền dẫn cơ bản do mạng di động không dây cung cấp và

động đầu cuối và trạm thu phát sóng, mạng GSM có những rủi ro bảo mật như:

• Tấn công giả mạo thiết bị di động đầu cuối

• Nghe lén cuộc gọi

• Tấn công dùng phương thức người thứ ba đứng giữa (man in the middle attack)

điều hành mạng và người dùng Đứng về phía người dùng, có các hình thức bảo mật sau:

• Bảo mật thông tin thuê bao

• Bảo mật dữ liệu người dùng

Ngoài ra để bảo vệ người dùng trong trường hợp mất thiết bị di động, trong SIM còn tích hợp sẵn một phương pháp xác thực khác là dùng PIN

bảo mật Đối với di động, PIN là một mã số bí mật lưu trong SIM mà chỉ có thuê bao- người sở hữu SIM biết PIN sẽ được yêu cầu nhập khi bật máy điện

nhà cung cấp mạng cần phải tạo ra một SIM mới nếu vẫn muốn dùng số điện thoại cũ

a Bảo mật thông tin thuê bao

Mạng GSM sử dụng các số nhận dạng thuê bao để từ chối các thông tin

Subscriber Identity - IMSI) để nhận diện duy nhất một thuê bao

IMSI (số nhận dạng thuê bao di động quốc tế) được chứa trong thẻ SIM tức là thẻ nhận dạng thuê bao phát hành bởi nhà cung cấp dịch vụ di động Số

IMSI thường là một chuỗi 15 chữ số, bao gồm một MCC (mobile country

identification number) Nhằm đảm bảo số IMSI không bị đánh cắp dễ dàng,

số IMSI chỉ được gửi đến mạng di động lần đầu khi thiết bị di động được bật

mật số IMSI này để tránh nguy cơ dò tìm vị trí thuê bao bất hợp pháp và giảm thiểu các rủi ro khác khi IMSI bị đánh cắp (nếu lấy được số này, hacker xem như sẽ có được 50% thông tin cần thiết để nhân bản SIM, số còn lại cần lấy là

mã Ki) Để làm được điều đó, thay vì truyền con số IMSI ở dạng trần thì chúng ta sẽ sử dụng một số IMSI tạm thời gọi là TIMSI

số duy nhất với mỗi vùng địa lý mà thuê bao di chuyển tới Số nhận dạng vùng (Location Area Identity – LAI) luôn được dùng kết hợp với TMSI TMSI, IMSI và LAI luôn được lưu một cách bảo mật trong cơ sở dữ liệu

sẽ dùng số IMSI để truy vấn TMSI từ CSDL của VLR sau đó so sánh TMSI với TMSI nhận được để xác thực TMSI sẽ được mã hóa trước khi truyền qua không gian Khi số này được xác thực thành công, nhà cung cấp dịch vụ sẽ gửi số TMSI cho thuê bao để dùng cho lần xác thực sau

Trong thực tế, số IMSI chỉ được truyền qua môi trường di động trong hai trường hợp sau:

mạng

b Xác thực thuê bao

Xác thực thuê bao là một vấn đề chủ chốt với mỗi nhà điều hành mạng Mục đích của việc này là tránh sử dụng tài nguyên mạng trái phép và qua đó phòng tránh tấn công bằng cách yêu cầu dung lượng lớn một cách đồng thời Xác thực thuê bao được thực hiện bằng khóa xác thực thuê bao Ki cùng với số IMSI Khóa này cũng được khởi tạo trong thẻ SIM và được lưu trữ trước đó ở trung tâm xác thực (AUC) của nhà cung cấp dịch vụ Thuật toán xác thực là A3, thuật toán này yêu cầu cả thuê bao di động và nhà điều hành mạng phải cùng giữ khóa Ki Để thực hiện việc xác thực, nhà cung cấp dịch vụ di động

sẽ sinh ra một số ngẫu nhiên (RAND) dùng để tính toán ra đáp ứng chữ ký (SRES) Số ngẫu nhiên này sẽ được gửi tới máy di động của thuê bao, nó sẽ dùng số này để tính ra SRES và sau đó gửi lại cho mạng Nếu hai giá trị SRES trùng nhau, xác thực sẽ thành công Hình 2.3 mô tả chu trình của xác thực

c Bảo mật dữ liệu người dùng

Để đảm bảo tính riêng tư của các thông tin người dùng trên đường

Thuật toán A5 là một thuật toán đối xứng, sử dụng khóa Kc để tạo ra một chuỗi khóa, chuỗi này được XOR với khối dữ liệu trần để tạo ra dữ liệu mã

hiệu vô tuyến và truyền qua không gian tới BTS Hình 2.4 mô tả quá trình tao

động, bộ xử lý của ĐTDĐ sẽ chịu trách nhiệm thực hiện

A8

Cipher Text

Ki RAND

A5

X

Key Stream

Plain Text

Hình 2.5: Các thu ật toán mã hóa dùng trong GSM

2.1.3 Các h ạn chế bảo mật trong kiến trúc GSM

nhưng trên thực tế nó vẫn còn rất đơn giản và có nhiều hạn chế Luận văn sẽ xem xét hạn chế này dựa trên các vấn đề chính về bảo mật là xác thực và các thuật toán mã hóa

a B ảo mật bằng tính bất khả định

Trong cơ chế bảo mật GSM, các thuật toán A3, A5, A8 đều được giấu kín Tuy nhiên, quan điểm hiện đại về an toàn thông tin cho rằng phương thức bảo

đồng kiểm chứng thì hoàn toàn có thể bị mắc những lỗi nghiêm trọng mà chưa ai biết Thực tế đã chứng minh là dù được nhà sản xuất cố gắng giữ bí mật sau nhiều năm, hacker đã tìm được thông tin khá đầy đủ về các thuật toán A3, A5 và A8

b Thu ật toán mã hóa A5

GSM có hai dạng chính là A5/1 và A5/2 Đã có rất nhiều các công bố của các

tổ chức trên thế giới về khả năng phá được các thuật toán này Theo đó, với

này Thuật toán A5/3 là thuật toán mới nhất được phát triển để khắc phục các

Ngoài ra còn có thuật toán A5/0 (không mã hóa) có thể được sử dụng

đáng nói là người dùng điện thoại di động không hề được biết là đường truyền của cuộc gọi hiện tại có được mã hóa hay không Đây chính là nền tảng cho hình thức tấn công “người đứng giữa” để nghe lén cuộc gọi

c Thu ật toán xác thực A3/A8

giả rất dễ dàng Điểm yếu đó chính là ở khóa Kc là khóa dùng để mã hóa, tuy nhiên Kc lại chỉ có độ dài 54 bit

d T ấn công nghe lén cuộc gọi bằng thủ thuật người đứng giữa

chưa thực hiện Hơn nữa mới có cơ chế để BS xác thực MS, còn ngược lại vẫn chưa có cơ chế để MS xác thực BS do đó rất dễ dẫn đến khả năng tấn công ở giữa đường truyền với một BS giả mạo nhằm mục đích lấy cắp thông

tin thuê bao Điều này mở ra cơ hội cho chiêu thức tấn công giả mạo gọi là

của kiểu tấn công này như sau:

A5/0), điều này khiến cho các máy đầu cuối không cần dùng số bí mật Ki trong SIM để mã hóa cuộc gọi Hậu quả là hacker có thể nghe lén được

cuộc gọi

phương thức bảo mật do sự phát triển của công nghệ cũng như trình độ và phương tiện của hacker ngày càng nâng cao Các công cụ tấn công GSM đã ngày càng trở nên rẻ hơn và nằm trong tầm với của hacker dẫn đến hậu quả là rủi ro trên môi trường GSM ngày càng tăng cao Tuy nhiên, với sự xuất hiện

2.2 D ịch vụ mobile banking và các công nghệ dùng trong mobile banking 2.2.1 Các d ịch vụ ngân hàng qua di động

Ngân hàng hay nhà băng là tổ chức tín dụng thực hiện các hoạt động tín dụng như nhận tiền gửi, cho vay và đầu tư tài chính, các hoạt động thanh toán, phát hành các loại kỳ phiếu, hối phiếu, v.v và một số hoạt động khác

Các lĩnh vực hoạt động của ngân hàng vô cùng đa dạng, nhưng một

các nghiệp vụ bán lẻ liên quan trực tiếp đến khách hàng, và đặc biệt là khách hàng cá nhân Một khách hàng khi đến giao dịch tại ngân hàng sẽ đăng kí mở

cung cấp gồm có:

• Tra cứu thông tin tài chính nhứ tỷ giá ngoại tệ, lãi suất ngân hàng

• Truy vấn số dư tài khoản

• Tra cứu tình trạng của séc

• Yêu cầu thanh toán séc

Trước khi có các dịch vụ ngân hàng điện tử như ngân hàng trực tuyến (internet banking), ngân hàng qua di động (mobile banking), khách hàng muốn thực hiện giao dịch đều phải đến các địa điểm phòng giao dịch của ngân hàng hay thông qua các kênh khác như dùng thẻ tại ATM và POS ( điểm bán hàng) Tuy đây là các kênh giao dịch truyền thống nhưng vì số lượng các điểm giao dịch có hạn, đặc biệt là các ngân hàng nhỏ, mạng lưới chưa rộng, thì sẽ dẫn tới rất nhiều bất tiện cho khách hàng Chính vì lẽ đó sự ra đời của

các dịch vụ ngân hàng điện tử đã mang lại rất nhiều đổi mới cho các dịch vụ

Cùng với sự phát triển của internet và di động, đây hứa hẹn sẽ thúc đẩy các dịch vụ ngân hàng điện tử ngày càng hoàn thiện và trở nên phổ biến

2.2.2 Các công ngh ệ sử dụng

trúc lệnh của dịch vụ và gửi tới một số định trước tương tự như các dịch vụ cung cấp nội dung qua tin nhắn khác Sau đó ngân hàng sẽ gửi lại tin nhắn với thông tin đã được yêu cầu Nhược điểm chủ yếu cảu các giao dịch qua SMS

điện thoại di động đều hỗ trợ dịch vụ này

b Giao thức ứng dụng không dây (WAP)

WAP là một chuẩn quốc tế mở được dùng trong thông tin vô tuyến để mang các nội dung của internet và các dịch vụ dữ liệu tiên tiến khác tới máy

di động số Nó dùng các khái niệm gần giống với các khái niệm của internet

người dùng có thể truy nhập vào được qua các trình duyệt hỗ trợ WAP trên thiết bị di động của họ Trang WAP được viết trên ngôn ngữ UML khác với

thường trú trên thiết bị di động sẽ truy nhập vào trang của ngân hàng qua

c Giao tiếp giọng nói tương tác (IVR)

Dịch vụ trả lời qua giọng nói tương tác yêu cầu các khách hàng phải thực hiện cuộc gọi tới một số định sẵn để có thể sử dụng các dịch vụ ngân

hàng Khách hàng gọi tới số IVR và thường được trả lời bằng các tin nhắn đã được ghi âm sẵn tùy vào các lựa chọn theo danh mục IVR có nhược điểm là giá thành cao hơn các kênh khác như SMS hay dịch dụ truyền dữ liệu

d Các ứng dụng di động độc lập (MAC)

hàng phức tạp mà vẫn đảm bảo bảo mật Các ứng dụng đó còn được chỉnh sửa

này được tải về thiết bị di động do đó yêu cầu điện thoại phải hỗ trợ các môi trường phát triển như J2ME Nhược điểm chính của các ứng dụng này là cần phải được chỉnh sửa cho từng điện thoại di động

Hiện nay ở Việt Nam, người dùng chủ yếu sử dụng dịch vụ ngân hàng

di động qua SMS Sau đây luận văn sẽ đi sâu hơn về các hạn chế của dịch vụ ngân hàng qua SMS đang gặp phải

Các h ạn chế của cách tiếp cận dựa trên SMS hiện tại

Trong hệ thống GSM, dịch vụ SMS được thiết kế để thuê bao gửi các thông tin không mang tính nhay cảm qua mạng Các vấn đề về bảo mật như xác thực

tương hỗ, bảo mật dữ liêụ, bảo mật đầu cuối hầu hết đều bị bỏ qua

• Tấn công tin nhắn

Tin nhắn SMS là một dạng dữ liệu đặc biệt gửi trên mạng GSM Vì lý

do điện thoại di động có khả năng roaming, nhà cung cấp dịch vụ không thể

Trên Internet hiện nay đã xuất hiện nhiều dịch vụ cho phép thực hiện các tin nhắn và cuộc gọi mạo danh người khác Với khả năng này, hacker có

dùng nhận được một tin nhắn thì không có cách nào phân biệt được đây là tin

định lại thông tin trên tin nhắn nếu thấy nghi ngờ

• Mã hóa SMS

Định dạng dữ liệu mặc định của SMS là dạng kí tự trần Hệ thống GSM chỉ cung cấp mã hóa giữa thiết bị di động và trạm thu phát gốc, còn các bảo mật đầu cuối thì chưa có Ngoài ra, thuật toán A5 cũng có thể bị phá một cách tương đối dễ dàng

• Tấn công trung tâm dịch vụ tin nhắn

Các trung tâm dịch vụ tin nhắn đều lưu các bản tin đi qua nó, do đó nó cũng là một trong các điểm có thể bị tấn công Nguy hiểm hơn, tất cả tin nhắn đều ở

hiện các giao dịch tài tính một cách bất hợp pháp

Nh ững đặc điểm trên đặt ra một nhu cầu cấp thiết là phải có các cơ chế bảo

m ật đối với các giao dịch banking qua SMS nhằm bảo đảm quyền lợi và tài

s ản của khách hàng khi sử dụng dịch vụ và cũng chính là để bảo vệ ngân hàng trước những rủi ro khi triển khai dịch vụ

2.2.3 Hi ện trạng của dịch vụ SMS banking tại Việt Nam

Dịch vụ SMS banking bắt đầu được biết đến và triển khai ở Việt Nam

từ năm 2006 Năm 2007, một số ngân hàng đã triển khai dịch vụ SMS Banking nhưng mới chỉ mang tính chất tra cứu thông tin tĩnh Từ năm 2008 đến nay, rất nhiều ngân hàng đã gia tăng thêm nhiều dịch vụ trên nền SMS Banking nhất là các dịch vụ liên quan đến sự biến động của tài khoản và dịch

vụ này cũng đã dần trở nên phổ biến Để gia tăng thêm một tiện ích của dịch

vụ SMS Banking cũng là cả một quãng đường dài đòi hỏi theo đó là bước tiến của công nghệ tương thích và công nghệ bảo mật

(kể cả các khách hàng không đăng ký sử dụng dịch vụ tại Ngân hàng) Loại hình dịch vụ này mang tính tra cứu các thông tin tĩnh của ngân hàng và không liên quan tới tài khoản của khách hàng tại ngân hàng Ví dụ như dịch vụ tra cứu địa điểm đặt ATM, xem thông tin về lãi suất của ngân hàng qua SMS Loại hình dịch vụ này tương đối đơn giản

• Thứ hai là áp dụng cho khách hàng có tài khoản tại Ngân hàng Khách hàng muốn sử dụng phải đăng ký tại quầy giao dịch theo biểu mẫu của Ngân hàng (nhằm mục đích liên kết số tài khoản với số điện thoại của khách hàng) Các thông tin tra cứu thường là biến động theo tài khoản của khách hàng Ví

dụ như tra cứu số dư tài khoản qua SMS, tra cứu lịch sử giao dịch của khách hàng (liệt kê 05 giao dịch gần nhất), tự động thông báo thay đổi số dư tài khoản, dịch vụ chuyển khoản Những dịch vụ như thế này tương đối phức tạp

phải có tính an toàn cao vì liên quan trực tiếp tới tài khoản của khách hàng

Cùng với sự phát triển của công nghệ viễn thông và của các dòng máy điện thoại hiện đại có hỗ trợ java, năm 2008 là năm khởi đầu cho nền tảng Mobilebanking Các ngân hàng đã quan tâm tới việc cài đặt ứng dụng SMS Banking của mình vào điện thoại di động của khách hàng (điện thoại hỗ trợ java) để thuận tiện trong thao tác cũng như có thể mã hóa nội dung tin nhắn Việc cài đặt ứng dụng SMS Banking trên ĐTDĐ sẽ giúp khách hàng có thể tải phần mềm ứng dụng để không phải nhắn tin nhớ cú pháp mà chỉ cần truy cập như một tiện ích thông thường trên điện thoại Sau khi sử dụng dịch vụ,

khách hàng có thể xoá luôn tin nhắn để đảm bảo tính bảo mật Đặc biệt, SMS Banking được kết hợp với công nghệ xác thực mạnh (One time Password), đây là công nghệ giúp cho các giao dịch của khách hàng được đảm bảo an toàn hơn Điều này nhằm hạn chế tối đa việc làm giả tin nhắn lệnh chuyển

dịch tài chính điện tử như ngân hàng, chứng khoán,…

Dịch vụ SMS banking khi triển khai ở Việt Nam cũng gặp khá nhiều khó khăn Hiện nay đang là thời điểm phù hợp để ngân hàng phát triển thêm các dịch vụ giá trị gia tăng, song các doanh nghiệp muốn cung cấp dịch vụ thì vẫn chưa có đủ tiềm lực về công nghệ thông tin để có thể kết nối với nhiều hoặc tất cả các ngân hàng Một trở ngại lớn nữa đó là thói quen người tiêu

nghi vì phần lớn phương tiện thanh toán trong dân chúng vẫn bằng tiền mặt Ngoài ra, vấn đề bảo mật được coi là vướng mắc lớn nhất của thanh toán điện

tử Các công ty giải pháp phần mềm và ngân hàng tuy cần phải tìm mọi cách

để thực sự tiếp cận được những kỹ thuật tiên tiến để đảm bảo tính an toàn cho các giao dịch điện tử qua mobile

Tuy SMS banking gặp nhiều khó khăn nhưng không phải là không có những thuận lợi 5 năm trở lại đây, các ngân hàng đều đã có dự án hiện đại hóa hệ thống ngân hàng, dữ liệu khách hàng được tập trung tại một điểm (dữ liệu không bị phân tán) Cho đến nay, các dịch vụ truyền thống của ngân hàng như: tín dụng, huy động tiết kiệm, tài trợ thương mại, phát hành thẻ đều đã đi

trang bị hệ thống công nghệ bảo mật tiên tiến đã và đang hoạt động rất ổn

định tại nhiều nước trên thế giới Mỗi kênh thanh toán đều có các hình thức xác thực mạnh đảm bảo an toàn cho khách hàng khi sử dụng dịch vụ

ứng dụng trên điện thoại cũng như sử dụng công nghệ One time Password để đảm bảo tính toàn vẹn cũng như tính an toàn trong giao dịch điện tử qua mobile Bên cạnh những tính năng giúp các giao dịch an toàn còn có những công nghệ hỗ trợ khách hàng thực hiện được dịch vụ một cách dễ dàng

Định hướng mà các công ty giải pháp công nghệ cần phải thực hiện là cung cấp cho các doanh nghiệp công nghệ kết nối theo chuẩn tài chính phổ biến, có như thế, các giao dịch mới sẽ dễ triển khai hơn Người tiêu dùng dễ thao tác và kết nối với nhà cung cấp dịch vụ cũng như ngân hàng

Ở Việt Nam có khoảng 20 triệu người sử dụng Internet và gần 50 triệu người sử dụng di động, rõ ràng Internet banking và Mobile Banking sẽ là trào lưu phát triển tiếp theo tương tự như sự phát triển bùng nổ của thẻ thanh toán Cùng với sự hỗ trợ của các công nghệ hiện đại và sự thay đổi thói quen của khách hàng, dịch vụ SMS banking hứa hẹn sẽ có nhiều bước tiến đột phá cả

về mặt công nghệ cũng như về mức độ thuận tiện cho khách hàng Dịch vụ SMS banking sẽ trở nên thông dụng và mang lại nhiều tiện ích cho cuộc sống hiện đại trong thời gian không xa