Nghiên cứu mobile banking và bảo mật trong giao dịch SMS banking
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.33 MB, 89 trang )
..
BỘ GIÁO DỤC ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------
ĐỖ TUẤN ANH
NGHIÊN CỨU MOBILE BANKING VÀ
BẢO MẬT TRONG GIAO DỊCH
SMS BANKING
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
HÀ NỘI - 2008
ĐỖ TUẤN ANH
*
CÔNG NGHỆ THÔNG TIN
*
CNTT2006-2008
MỤC LỤC
Chương 1
Giới thiệu .................................. Error! Bookmark not defined.
1.1
Mục tiêu của đề tài ............................. Error! Bookmark not defined.
1.2
Các vấn đề đặt ra ................................ Error! Bookmark not defined.
Chương 2
defined.
Tổng quan về Mobile và các vấn đề bảo mậtError! Bookmark not
2.1
Kiến trúc GSM ................................... Error! Bookmark not defined.
2.2
Bảo mật trong GSM ........................... Error! Bookmark not defined.
2.2.1 Tính tin cậy trong việc cấp định danh thuê bao - Subscriber Identity
Confidentiality .......................................... Error! Bookmark not defined.
2.2.2 Xác thực Số thuê bao - Subscriber Identity Authentication . Error!
Bookmark not defined.
2.2.3 Đảm bảo tính tin cậy cho dữ liệu của khách hàng - User Data
Confidentiality .......................................... Error! Bookmark not defined.
2.3
Bảo mật trong kiến trúc GSM - Security Deficiencies of GSM Architecture
Error! Bookmark not defined.
2.3.1
Giải thuật mã hóa A5 ................... Error! Bookmark not defined.
2.3.2
Giải thuật xác thực A3/A8 ........... Error! Bookmark not defined.
2.4 Các công nghệ sử dụng trong Mobile Banking . Error! Bookmark not
defined.
2.4.1
Công nghệ sử dụng SMS ............. Error! Bookmark not defined.
2.4.2
Công nghệ WAP .......................... Error! Bookmark not defined.
2.4.3 Công nghệ sử dụng dịch vụ trả lời tự động - IVRError! Bookmark
not defined.
2.4.4 Ứng dụng chạy trên máy điện thoại di động - MACError! Bookmark
not defined.
2.5
Các dịch vụ SMS Banking tại Việt NamError! Bookmark not defined.
2.5.1 Hạn chế về bảo mật trong các mơ hình SMS hiện tạiError! Bookmark
not defined.
Chương 3
3.1
Cơ sở lý thuyết mã hóa bảo mật Error! Bookmark not defined.
Mã hóa ................................................ Error! Bookmark not defined.
3.1.1 Mơ hình hệ thống mã hóa đối xứng và bất đối xứngError! Bookmark
not defined.
3.2
Xác thực.............................................. Error! Bookmark not defined.
3.2.1
Các loại xác thực .......................... Error! Bookmark not defined.
3.2.2
Các hướng tiếp cận xác thực ........ Error! Bookmark not defined.
3.2.3
Đảm bảo tính mới trong xác thực Error! Bookmark not defined.
3.2.4
Bảo mật sử dụng bảng băm .......... Error! Bookmark not defined.
Chương 4
Các mơ hình bảo mật đề xuất trong SMS BankingError! Bookmark
not defined.
4.1
Giải pháp an tồn thơng tin ................ Error! Bookmark not defined.
4.1.1 Thành phần của chương trình client chạy trên máy di động. Error!
Bookmark not defined.
4.1.2 Chương trình server xử lý giao dịch SMS .. Error! Bookmark not
defined.
4.1.3
4.2
Cơ sở dữ liệu nội bộ ..................... Error! Bookmark not defined.
Định dạng tin nhắn và giao thức xác thựcError! Bookmark not defined.
4.2.1
Cấu trúc tin nhắn .......................... Error! Bookmark not defined.
4.2.2 Giao thức bắt tay - Possible Handshake Protocols.Error! Bookmark
not defined.
4.3 Đề xuất giao thức trao đổi tin nhắn và xác thực Error! Bookmark not
defined.
4.3.1
Sinh khóa...................................... Error! Bookmark not defined.
4.3.2
Lưu trữ khóa ................................. Error! Bookmark not defined.
4.3.3
Các giả thiết trong vấn đề quản lý khóaError! Bookmark not defined.
4.3.4
Sử dụng khóa vào ứng dụng ........ Error! Bookmark not defined.
4.3.5
Các tầng giao thức........................ Error! Bookmark not defined.
4.3.6
Mô tả giao thức ............................ Error! Bookmark not defined.
4.3.7
Quá trình tạo và truyền SMS bảo mậtError! Bookmark not defined.
4.3.8 Quá trình nhận và giải mã SMS bảo mật .... Error! Bookmark not
defined.
Chương 5
Phân tích vấn đề bảo mật trong mơ hình đã đề xuất. ......... Error!
Bookmark not defined.
5.1
Các đối tượng tham gia hệ thống ....... Error! Bookmark not defined.
5.2
Bảo mật trong giao thức đã đề xuất.... Error! Bookmark not defined.
5.2.1
Tính tồn vẹn................................ Error! Bookmark not defined.
5.2.2
Tính xác thực................................ Error! Bookmark not defined.
5.2.3
Tính thống nhất ............................ Error! Bookmark not defined.
5.2.4
Tính tin cậy .................................. Error! Bookmark not defined.
5.3 Các mơ hình giả thuyết xâm nhập vào hệ thốngError! Bookmark not
defined.
5.3.1 Những mối đe dọa tại trung tâm xử lý tin nhắn SMSC ........ Error!
Bookmark not defined.
5.3.2 Những mối đe dọa trong q trình truyền thơng tinError! Bookmark
not defined.
5.3.3 Phân tích các mối đe dọa trong mơ hình ..... Error! Bookmark not
defined.
Chương 6
6.1
Xây dựng ứng dụng................... Error! Bookmark not defined.
Phát triển hệ thống.............................. Error! Bookmark not defined.
6.1.1
MID Application, MIDlet ............ Error! Bookmark not defined.
6.2
Môi trường phát triển ......................... Error! Bookmark not defined.
6.3
Mơ hình hệ thống ............................... Error! Bookmark not defined.
6.4
Thiết kế hệ thống ................................ Error! Bookmark not defined.
6.4.1
Use Case ....................................... Error! Bookmark not defined.
6.4.2
Use Case 1: Khởi tạo ứng dụng ... Error! Bookmark not defined.
6.4.3
Use Case 2: Lựa chọn giao dịch... Error! Bookmark not defined.
6.4.4
Use Case 3: Gửi tin nhắn ............. Error! Bookmark not defined.
6.4.5
Use Case 4: Kiểm tra bảo mật...... Error! Bookmark not defined.
6.4.6
Use Case 5: Gửi tin nhắn thông báoError! Bookmark not defined.
6.5
Biểu đồ lớp ......................................... Error! Bookmark not defined.
6.5.1
Biểu đồ lớp của chương trình clientError! Bookmark not defined.
6.5.2 Biểu đồ lớp của chương trình server phía ngân hàngError! Bookmark
not defined.
6.5.3 Biểu đồ lớp của chương trình server phía ngân hàngError! Bookmark
not defined.
6.6
Biểu đồ trình tự................................... Error! Bookmark not defined.
6.7
Mơ hình triển khai .............................. Error! Bookmark not defined.
6.7.1
Các cơng nghệ mã hóa bảo mật ... Error! Bookmark not defined.
6.7.2
Kiểm thử....................................... Error! Bookmark not defined.
Chương 7
Đánh giá và Kết luận................. Error! Bookmark not defined.
7.1
Đánh giá.............................................. Error! Bookmark not defined.
7.2
Kết luận .............................................. Error! Bookmark not defined.
LỜI CẢM ƠN
Luận văn “Nghiên cứu Mobile Banking và bảo mật trong giao dịch SMS
Banking” có được kết quả như ngày hơm nay là nhờ sự chỉ bảo tận tình của
thầy hướng dẫn PGS. TS. Nguyễn Thanh Thủy, bộ môn Hệ thống thông tin,
khoa Công nghệ thông tin, trường đại học Bách Khoa Hà Nội đã giúp đỡ tôi
trong quá trình nghiên cứu và hồn thành luận văn này. Tơi xin bày tỏ lòng
biết ơn chân thành và sâu sắc đối với sự giúp đỡ nhiệt tình và hiệu quả của
thầy.
Tôi xin trân trọng cảm ơn PGS. TS. Nguyễn Đức Nghĩa, Trưởng bộ mơn
Khoa học máy tính, khoa Cơng nghệ thông tin và ThS. Nguyễn Diệu Hương,
giảng viên khoa Công nghệ thơng tin đã tận tình giúp đỡ và giành cho tơi
những chỉ dẫn q báu giúp tơi hồn thành tốt luận văn này.
Tôi cũng xin chân thành cảm ơn các thầy cô trong khoa Công nghệ thông tin
đã giúp đỡ động viên tơi trong q trình hồn thành luận văn của mình.
Tơi xin bày tỏ lịng biết ơn sâu sắc đến ban lãnh đạo và các thành viên công ty
TNHH Dịch vụ và Giải pháp Phần mềm vàng - Goldsoft đã tạo mọi điều kiện
giúp đỡ tôi trong quá trình xây dựng và thử nghiệm chương trình.
Cuối cùng, tơi xin bày tỏ lòng biết ơn tới bố mẹ và gia đình của tơi, những
người thân, bạn bè và đồng nghiệp đã tạo mọi điều kiện về vật chất và tinh
thần để tơi hồn thành nhiệm vụ học tập và được trưởng thành như ngày hôm
nay.
Hà Nội, ngày 10 tháng 11 năm 2008
Học viên Đỗ Tuấn Anh
CHỮ VIẾT TẮT
MS - Mobile station: trạm di động
EIR - Equipment Identity Register: cơ sở dữ liệu thiết bị di động
BTS - Base Transceiver Switch : trạm thu phát cơ sở
AUC - Authentication centre: trung tâm xác thực
BSC - Base Station Controller: trạm điều khiển cơ sở
HLR - Home Location Registry: cơ sở dữ liệu thuê bao thường chú
MSC - Mobile Switch Centre : trung tâm chuyển mạch
SMSC - Short Message Service Centre: trung tâm dịch vụ tin nhắn ngắn
ISC - International Switching Centre : trung tâm chuyển mạch quốc tế
OMC - Operation Management Centre: trung tâm điều khiển bảo trì
VLR - Visitor Location Registry: cơ sở dữ liệu thuê bao tạm trú
MỤC LỤC
Chương 1
Giới thiệu..................................................................................... 1
1.1
Mục tiêu của đề tài ............................................................................... 3
1.2
Các vấn đề đặt ra .................................................................................. 4
Chương 2
Tổng quan về Mobile và các vấn đề bảo mật ............................. 5
2.1
Kiến trúc GSM...................................................................................... 5
2.2
Bảo mật trong GSM.............................................................................. 8
2.2.1 Tính tin cậy trong việc cấp định danh thuê bao - Subscriber
Identity Confidentiality ............................................................................... 8
2.2.2
Xác thực Số thuê bao - Subscriber Identity Authentication .......... 9
2.2.3 Đảm bảo tính tin cậy cho dữ liệu của khách hàng - User Data
Confidentiality .......................................................................................... 10
2.3 Bảo mật trong kiến trúc GSM - Security Deficiencies of GSM
Architecture .................................................................................................. 12
2.3.1
Giải thuật mã hóa A5 ................................................................... 12
2.3.2
Giải thuật xác thực A3/A8 ........................................................... 13
2.4
Các công nghệ sử dụng trong Mobile Banking .................................. 14
2.4.1
Công nghệ sử dụng SMS.............................................................. 14
2.4.2
Công nghệ WAP........................................................................... 15
2.4.3
Công nghệ sử dụng dịch vụ trả lời tự động - IVR ....................... 15
2.4.4
Ứng dụng chạy trên máy điện thoại di động - MAC ................... 16
2.5
Các dịch vụ SMS Banking tại Việt Nam............................................ 17
2.5.1
Chương 3
3.1
Cơ sở lý thuyết mã hóa bảo mật................................................ 20
Mã hóa ................................................................................................ 20
3.1.1
3.2
Hạn chế về bảo mật trong các mơ hình SMS hiện tại .................. 18
Mơ hình hệ thống mã hóa đối xứng và bất đối xứng ................... 20
Xác thực .............................................................................................. 21
3.2.1
Các loại xác thực .......................................................................... 22
3.2.2
Các hướng tiếp cận xác thực ........................................................ 22
3.2.3
Đảm bảo tính mới trong xác thực................................................. 23
3.2.4
Bảo mật sử dụng bảng băm .......................................................... 24
Chương 4
4.1
Các mơ hình bảo mật đề xuất trong SMS Banking .................. 25
Giải pháp an tồn thơng tin ................................................................ 25
4.1.1
Thành phần của chương trình client chạy trên máy di động........ 26
4.1.2
Chương trình server xử lý giao dịch SMS ................................... 26
4.1.3
Cơ sở dữ liệu nội bộ ..................................................................... 27
4.2
Định dạng tin nhắn và giao thức xác thực .......................................... 27
4.2.1
Cấu trúc tin nhắn .......................................................................... 27
4.2.2
Giao thức bắt tay - Possible Handshake Protocols. ..................... 30
4.3
Đề xuất giao thức trao đổi tin nhắn và xác thực ................................. 33
4.3.1
Sinh khóa ...................................................................................... 34
4.3.2
Lưu trữ khóa ................................................................................. 36
4.3.3
Các giả thiết trong vấn đề quản lý khóa ....................................... 36
4.3.4
Sử dụng khóa vào ứng dụng......................................................... 36
4.3.5
Các tầng giao thức ........................................................................ 38
4.3.6
Mơ tả giao thức ............................................................................ 40
4.3.7
Q trình tạo và truyền SMS bảo mật .......................................... 42
4.3.8
Quá trình nhận và giải mã SMS bảo mật ..................................... 43
Chương 5
Phân tích vấn đề bảo mật trong mơ hình đã đề xuất. ................ 44
5.1
Các đối tượng tham gia hệ thống........................................................ 44
5.2
Bảo mật trong giao thức đã đề xuất .................................................... 44
5.2.1
Tính tồn vẹn................................................................................ 45
5.2.2
Tính xác thực ................................................................................ 45
5.2.3
Tính thống nhất ............................................................................ 45
5.2.4
Tính tin cậy................................................................................... 46
5.3
Các mơ hình giả thuyết xâm nhập vào hệ thống ................................ 46
5.3.1
Những mối đe dọa tại trung tâm xử lý tin nhắn SMSC ............... 47
5.3.2
Những mối đe dọa trong quá trình truyền thơng tin .................... 47
5.3.3
Phân tích các mối đe dọa trong mơ hình ...................................... 48
Chương 6
6.1
Xây dựng ứng dụng................................................................... 51
Phát triển hệ thống .............................................................................. 51
6.1.1
MID Application, MIDlet ............................................................ 53
6.2
Môi trường phát triển ......................................................................... 53
6.3
Mơ hình hệ thống................................................................................ 54
6.4
Thiết kế hệ thống ................................................................................ 54
6.4.1
Use Case ....................................................................................... 55
6.4.2
Use Case 1: Khởi tạo ứng dụng ................................................... 55
6.4.3
Use Case 2: Lựa chọn giao dịch ................................................... 55
6.4.4
Use Case 3: Gửi tin nhắn.............................................................. 55
6.4.5
Use Case 4: Kiểm tra bảo mật ...................................................... 56
6.4.6
Use Case 5: Gửi tin nhắn thông báo............................................. 56
6.5
Biểu đồ lớp ......................................................................................... 58
6.5.1
Biểu đồ lớp của chương trình client ............................................. 58
6.5.2
Biểu đồ lớp của chương trình server phía ngân hàng .................. 60
6.5.3
Biểu đồ lớp của chương trình server phía ngân hàng .................. 62
6.6
Biểu đồ trình tự ................................................................................... 64
6.7
Mơ hình triển khai .............................................................................. 65
6.7.1
Các cơng nghệ mã hóa bảo mật ................................................... 65
6.7.2
Kiểm thử ....................................................................................... 69
Chương 7
Đánh giá và Kết luận................................................................. 72
7.1
Đánh giá .............................................................................................. 72
7.2
Kết luận............................................................................................... 72
DANH MỤC HÌNH VẼ
Hình 2.1 Kiến trúc GSM ................................................................................... 7
Hình 2.2 Q trình xác thực ............................................................................ 10
Hình 2.3 Thuật tốn A5 sử dụng trong hệ thống GSM................................... 11
Hình 2.4 Quá trình sinh khóa mã hóa và q trình mã hóa. ........................... 12
Hình 2.5 Thuật tốn A5 ................................................................................... 13
Hình 2.6 Thuật tốn A3 và A8 ........................................................................ 14
Hình 4.1 Mơ hình chức năng của hệ thống ..................................................... 26
Hình 4.2 Cấu trúc tin nhắn SMS ..................................................................... 28
Hình 4.3 Cấu trúc chi tiết tin nhắn bảo mật .................................................... 30
Hình 4.4 Các tầng giao thức gửi/nhận tin nhắn bảo mật ................................ 39
Hình 4.5 Trình tự thực hiện giao thức............................................................. 40
Hình 4.6 Biểu đồ tuần tự giao thức gửi tin nhắn bảo mật giữa Client và Server
......................................................................................................................... 41
Hình 5.1 Mơ hình tấn cơng ............................................................................. 48
Hình 5.2 Mơ hình cây tấn cơng. ...................................................................... 50
Hình 6.1 Kiến trúc của J2ME.......................................................................... 51
Hình 6.2 Biểu đồ Use Case ............................................................................. 57
Hình 6.3 Biểu đồ lớp phía Client .................................................................... 58
Hình 6.4 Biểu đồ lớp phía Server.................................................................... 60
Hình 6.5 Biểu đồ lớp phía cơ sở dữ liệu ......................................................... 62
Hình 6.6 Biểu đồ trình tự của hệ thống ........................................................... 64
Hình 6.7 Giao diện chương trình sinh mật khẩu ngẫu nhiên .......................... 68
Hình 6.8 Mơ hình triển khai kết nối khai thác dịch vụ SMS Banking ........... 69
Hình 6.9 Màn hình mơ tả q trình kiểm tra tài khoản ................................... 71
1
Chương 1 Giới thiệu
Ngày nay công nghệ thông tin đã ảnh hưởng đến mọi hoạt động trong xã hội
như kinh tế, giao thông, ngân hàng và rất nhiều lĩnh vực khác. Nhưng bên
cạnh đó chính sự bùng nổ thơng tin đã nảy sinh những loại tội phạm mới kiếm
lợi bất chính từ việc xâm nhập trái phép những nguồn thơng tin này. Truyền
thông Internet và mạng không dây được xem như đã mở ra một kỷ nguyên
mới cho loại tội phạm trên các phương tiện truyền thông này. Để đối phó với
loại tội phạm từ xa này, ở Việt Nam đã đưa ra những đạo luật nhằm ngăn
chặn và chống lại loại tội phạm từ xa gây thiệt hại cho xã hội này, đồng thời
tiếp tục phát triển các kỹ thuật phịng chống trực tiếp nhằm đảm bảo tính tin
cậy, tính tồn vẹn và tính sẵn sàng trong các hệ thống máy tính, hệ thống
mạng và dữ liệu máy tính [1]. Những kỹ thuật này là những biện pháp tích
cực cho các nhà chức trách xác định, phòng và chống lại loại tội phạm từ xa
này.
Đặc biệt hơn trong ngành ngân hàng, các dịch vụ tài chính được triển khai
trên Internet và Mobile đang ngày càng phát triển, ngày càng được khách
hàng chấp nhận và sử dụng. Trong phần báo cáo này tơi sẽ phân tích về bảo
mật của các dịch vụ ngân hàng điện tử (e-banking) mà trọng tâm là các giao
dịch ngân hàng qua các thiết bị di động đặc biệt là qua điện thoại di động. Ebanking được xem như cách thức phát triển một loại hình dịch vụ mới của
ngân hàng thông qua Internet với chi phí thấp cũng như đem lại sự tiện lợi
cho khách hàng. Tuy nhiên ở các nước đang phát triển như Việt Nam, đường
truyền Internet còn hạn chế đặc biệt là ở vùng nông thôn, các vùng sâu và
vùng xa. Do vậy giải pháp khả thi nhất chính là Mobile Banking. Ở đây chúng
ta cũng đề cập tới các vấn đề liên quan tới bảo mật và tính khả thi về kinh tế
trong việc triển khai các ứng dụng trên công nghệ di động ở Việt Nam.
2
Thương mại trên nền tảng công nghệ di động (M-Commerce) được xem như
là hình thức thực hiện các giao dịch thương mại qua các mạng truyền thông
mà môi trường truyền thông tin ở đây là mạng không dây và thiết bị là thiết bị
di động. Thiết bị di động nói tới ở đây là thiết bị có khả năng kết nối tới mạng
di động của một nhà cung cấp dịch vụ di động, ví dụ như các loại điện thoại
di động cầm tay hay các máy tính PDA cầm tay. Với tốc độ truyền tính hiệu
nhanh của máy di động và giao tiếp ổn định của công nghệ di động sẽ là một
giải pháp cho việc thực hiện các dịch vụ ngân hàng qua di động. Mobile
Banking là dịch vụ Ngân hàng cung cấp cho khách hàng, trong đó khách hàng
có thể nhận thơng tin về tài khoản của mình, thực hiện chuyển khoản giữa các
tài khoản với nhau, thực hiện các giao dịch chứng khoán hoặc xác nhận thanh
toán hóa đơn thơng qua thiết bị di động.
Một số các cơng nghệ có thể được sử dụng để triển khai các dịch vụ ngân
hàng qua phương tiện truyền thông di động như là: hệ thống trả lời tự động
(Interactive Voice Response - IVR), tin nhắn ngắn (Short Messaging Service SMS), Wireless Access Protocol (WAP) và sử dụng chương trình ứng dụng
chạy trên máy di động - Mobile Application Clients (MAC). Mục tiêu của đề
tài là nghiên cứu các công nghệ khả thi và ứng dụng có thể để nâng cao độ tin
cậy của của các dịch vụ Mobile Banking nhằm tìm ra được những hạn chế và
thách thức trong vấn đề bảo mật và đề xuất những giải pháp có thể để giảm
bớt những hạn chế cịn tồn tại đó. Trong đó, chúng ta sẽ tìm hiểu chi tiết cơng
nghệ được sử dụng trong dịch vụ SMS bởi vì sử dụng SMS sẽ tiết kiệm chi
phí ở những nước đang phát triển như Việt Nam. Tuy nhiên khi sử dụng SMS
sẽ có một số hạn chế về bảo mật như xác thực thanh tốn hóa đơn chỉ theo
định dạng văn bản thô chứa thông tin số tài khoản, PIN, số tiền [6]. Vì những
tin nhắn SMS này khơng được mã hóa và thơng thường các cơng ty truyền
3
thông sẽ lưu nội dung tin nhắn này trên máy chủ của họ, chúng là một mục
tiêu khá dễ dàng của tội phạm.
Mục đích của đề tài này là đề xuất và triển khai một số biện pháp cải thiện
những hạn chế này trên nền tảng khả năng tính tốn giới hạn của máy di động
thông thường mà phần lớn được sử dụng ở Việt Nam. Trong chương hai, tôi
sẽ trình bày về hệ thống GSM. Hệ thống GSM là một phần hệ thống rất quan
trọng, cung cấp phương tiện truyền dữ liệu và sử dụng để truyền nhận tin
nhắn SMS. Chương ba sẽ nghiên cứu về lý thuyết mã hóa được sử dụng trong
việc xây dựng ứng dụng đảm bảo các tính chất bảo mật trong đề tài nghiên
cứu. Chương bốn sẽ đề xuất một giao thức với sự cải tiến và chương năm sẽ
trình bày phân tích khả năng bảo mật của giao thức đã được đề xuất trong
chương trước. Và cuối cùng là cài đặt chương trình thử nghiệm và kết luận
trong chương sáu và chương bảy.
1.1 Mục tiêu của đề tài
Trong Mobile Banking, dữ liệu được truyền qua kênh truyền thông không dây
và Internet. Trong quá trình đó sẽ làm nảy sinh các vấn đề về bảo mật là làm
thế nào để xác thực khách hàng, làm thế nào để duy trì tính tồn vẹn dữ liệu
và quan trọng là độ tin cậy của dữ liệu được truyền đi này. Bên cạnh đó, việc
phát triển ICT ở những nước đang phát triển còn hạn chế nhiều so với những
nước phát triển nên cũng không thể áp dụng hệ thống e-banking của các nước
phát triển trong khi hạ tầng Internet của các nước đang phát triển còn nhiều
hạn chế [15][16]. Tuy nhiên với sự phát triển của cơng nghệ di động, nó dần
dần được chấp nhận và được sử dụng rộng rãi nhờ đó Mobile Banking ở
những nước đang phát triển đã trở thành một dịch vụ được quan tâm và phát
triển trong ngành ngân hàng. Bằng chứng là ở Việt Nam, số lượng thuê bao
tăng từ 25 triệu (03/2007) lên 48 triệu (05/2008) [7].
4
1.2 Các vấn đề đặt ra
Vấn đề bảo mật là vấn đề được quan tâm hàng đầu, bởi các hệ thống Mobile
Banking hiện nay hầu hết sử dụng tin nhắn dưới dạng văn bản thô để truyền
đi. Tuy trong hệ thống GSM cũng đã cung cấp các cơ chế bảo mật nhưng
chưa đủ, vì vậy nội dung của tin nhắn có thể xem được trên hệ thống GSM
một cách rất dễ dàng. Do đó triển khai Mobile Banking sử dụng văn bản thơ
sẽ khơng đảm bảo tính bảo mật từ nơi gửi đến nơi nhận. Do đó các vấn đề bảo
mật và những thách thức đối với một hệ thống mobile banking an toàn, cũng
như làm thế nào để quản lý được rủi ro là một vấn đề đặt ra?
Khi sử dụng dịch vụ thương mại điện tử trong thương mại thì vấn đề quan
tâm thứ hai đó là chi phí trả cho một giao dịch. Bởi trong thơng tin di động
dung lượng truyền tin trong một lần bị hạn chế, do đó để đảm bảo tính kinh tế
thì cần phải tối ưu trong việc thiết kế định dạng dữ liệu và giao thức một cách
hiệu quả nhất.
Do đó các vấn đề liên quan:
1. Những cơng nghệ nào có thể triển khai đối với hệ thống mobile
banking sử dụng điện thoại di động?
2. Vấn đề bảo mật được thực hiện trên những công nghệ này?
3. Những biện pháp bảo mật hiện tại đã được triển khai trên những công
nghệ này?
4. Mơ hình có thể ứng dụng tại những nước đang phát triển?
5. Những yêu cầu đặt ra, cũng như những hạn chế và thách thức của
những ứng dụng mobile banking đối với những nước đang phát triển?
6. Những giải pháp khả thi?
5
Chương 2 Tổng quan về Mobile và các vấn đề bảo mật
Chương này tơi xin trình bày kiến trúc thành phần của GSM, những vấn đề về
bảo mật trong hệ thống GSM, những công nghệ hiện tại áp dụng đối với
mobile banking và những hạn chế về bảo mật của chúng. GSM (The Global
System for Mobile Communication Network) là phương tiện truyền dữ liệu
theo giao thức SMS nên chính những thiếu sót của kiến trúc hệ thống dẫn đến
những lỗ hổng bảo mật trong hệ thống SMS-Banking. Vì thế việc nghiên cứu
kiến trúc thành phần của hệ thống GSM là rất quan trọng. Đặc tả kỹ thuật của
hệ thống GSM mô tả chi tiết kiến trúc thành phần của hệ thống GSM. Đặc tả
kỹ thuật được phát hành vào năm 1982 tại hội thảo quản lý bưu chính viễn
thơng
Châu
Âu
CEPT
(European
Conference
of
Postal
and
Telecommunications Administrations). Hệ thống GSM là hệ thống truyền
thông không dây di động, khách hàng sử dụng dịch vụ nếu nằm trong vùng
phủ sóng thì sẽ kết nối được tới hệ thống. Hệ thống GSM yêu cầu người sử
dụng phải có SIM (Subcriber Identity Module), SIM được sử dụng cho mục
đích xác thực, bên cạnh đó SIM giúp cho các nhà cung cấp dịch vụ mạng di
động có khả năng quản lý được các thuê bao điện thoại và các vấn đề về bảo
mật.
2.1 Kiến trúc GSM
Phần này sẽ mô tả ngắn gọn chức năng của các thành phần trong hệ thống
GSM ở hình 2.1. Hệ thống GSM bao gồm rất nhiều các thành phần khác
nhau, trong hình dưới đường liền nét chỉ ra sự giao tiếp giữa các thành phần
chính của hệ thống với nhau, đường đứt nét chỉ ra kết nối bên trong hệ thống
được sử dụng trong quá trình bảo trì hệ thống. Trong đó, trạm di động MS
(Mobile Station) gồm hai thành phần là thiết bị di động và thẻ thông minh xác
thực thuê bao SIM độc lập với nhau, nên có thể lắp SIM vào bất kỳ máy có hỗ
trợ truy nhập mạng GSM thì đều có thể sử dụng được dịch vụ. Mỗi điện thoại
6
di động được phân biệt bởi một số nhận dạng điện thoại di động IMEI
(International Mobile Equipment Identity). Card SIM (Subscriber Identity
Module) chứa một số nhận dạng thuê bao di động IMSI (International
Subcriber Identity) để hệ thống nhận dạng thuê bao, một mật mã để xác thực
và các thông tin khác. IMEI và IMSI hoàn toàn độc lập với nhau để đảm bảo
tính di động cá nhân. Card SIM có thể chống việc sử dụng trái phép bằng mật
khẩu hoặc số nhận dạng cá nhân (PIN). Trong quá trình hệ thống hoạt động
trạm di động khởi tạo quá trình giao tiếp với hệ thống. Tín hiện truyền thơng
được truyền từ máy di động tới trạm thu phát gốc BTS (Base Transceiver
Station). Chức năng của BTS là nhận và truyền tín hiệu tới MS. Đồng thời
BTS cũng có nhiệm vụ điều chế tín hiệu radio thành tín hiệu định dạng số và
truyền tín hiệu này đến trạm điều khiển cơ sở BSC (Base Station Controller).
BSC chuyển tín hiệu nhận được tới trung tâm chuyển mạch di động MSC
(Mobile Switching Center). MSC sẽ truy vấn vào cơ sở dữ liệu thường trú
HLR (Home Location Registers) và tạm trú VLR (Visitor Location Registers)
để tìm vị trí của th bao. HLR là cơ sở dữ liệu lưu trữ tất cả các thông tin
quản trị các thuê bao đã được đăng ký với mạng GSM, cùng với vị trí hiện tại
của thuê bao. VLR là cơ sở dữ liệu bao gồm các thông tin quản trị được lựa
chọn từ HLR, cần thiết cho điều khiển cuộc gọi và cung cấp dịch vụ thuê bao
và cho các di động hiện đang ở vị trí mà nó quản lý, liên quan đến các thuê
bao chuyển vùng hợp lệ. Trong trường hợp tín hiệu nhận là một tin nhắn SMS
thì MSC sẽ định tuyến tới trung tâm SMSC (Short Message Service Center)
và sau đó SMSC sẽ chuyển tin nhắn đến nơi nhận. Trước khi SMSC chuyển
tin nhắn đến nơi nhận tin nó sẽ sao chép nội dung tin nhắn vào cơ sở dữ liệu.
Trong trường hợp tín hiệu là kết nối quốc tế thì tín hiệu sẽ được định tuyến
đến trung tâm chuyển mạch quốc tế ISC (International Switching Center). Để
thuận lợi cho quá trình kiểm tra thiết bị và xác thực thuê bao thì hệ thống
7
kiểm tra trong cơ sở dữ liệu thông tin nhận dạng thiết bị EIR (Equipment
Identity Register) và thông tin xác thực AR (Authentications Register). EIR là
một cơ sở dữ liệu chứa danh sách của tất cả các máy điện di dộng hợp lệ trên
mạng với mỗi máy điện thoại được phân biệt bởi số IMEI. Một IMEI bị đánh
dấu là khơng hợp lệ nếu nó được báo là bị mất cắp hoặc có kiểu khơng tương
thích. Trung tâm xác thực (AuC) là một cơ sở dữ liệu bảo vệ chứa bản sao các
khoá bảo mật của mỗi card SIM, được dùng để xác thực và mã hố trên kênh
vơ tuyến. Việc duy trì và vận hành hệ thống sẽ do trung tâm điều hành và
quản lý - OMC (Operation Management Center) thực hiện.
Hình 2.1 Kiến trúc GSM
MS - Mobile station: trạm di động
EIR - Equipment Identity Register: cơ sở dữ liệu thiết bị di động
BTS - Base Transceiver Switch : trạm thu phát cơ sở
8
AUC - Authentication centre: trung tâm xác thực
BSC - Base Station Controller: trạm điều khiển cơ sở
HLR - Home Location Registry: cơ sở dữ liệu thuê bao thường chú
MSC - Mobile Switch Centre : trung tâm chuyển mạch
SMSC - Short Message Service Centre: trung tâm dịch vụ tin nhắn ngắn
ISC - International Switching Centre : trung tâm chuyển mạch quốc tế
OMC - Operation Management Centre: trung tâm điều khiển bảo trì
VLR - Visitor Location Registry: cơ sở dữ liệu thuê bao tạm trú
2.2 Bảo mật trong GSM
Để đảm bảo an toàn cho nhà cung cấp dịch vụ mạng di động và người sử
dụng, hệ thống GSM cung cấp rất nhiều các cơ chế bảo mật. Dưới đây là các
cơ chế bảo mật hệ thống GSM cung cấp được nhìn từ phía người dùng.
• Đảm bảo tính tin cậy trong việc cấp định danh th bao (Subcriber
Identity)
• Đảm bảo tính xác thực định danh th bao
• Đảm bảo tính tin cậy cho dữ liệu của khách hàng
2.2.1 Tính tin cậy trong việc cấp định danh thuê bao - Subscriber
Identity Confidentiality
Hệ thống GSM sử dụng định danh tạm thời để ngăn chặn những kẻ xâm nhập
trái phép có thể lấy thơng tin của thuê bao như ngăn chặn việc phát hiện vị trí
của thuê bao hay xác định được thuê bao tương ứng với dữ liệu được truyền
đi. Hệ thống sử dụng số định danh thuê bao di động quốc tế IMSI để nhận
dạng duy nhất thuê bao. Định danh này được lưu trong SIM do các nhà cung
cấp dịch vụ mạng di động phát hành. Các thiết bị điện thoại di động chỉ làm
việc với những SIM hợp lệ. Quá trình kiểm tra thuê bao cần phải giữ số IMSI
9
an tồn để tránh kẻ xấu có thể định vị hoặc phát hiện được vị trí vật lý của
thuê bao. Để làm được điều đó thì thay vì truyền số IMSI dưới dạng chữ có
thể đọc được, thì hệ thống sử dụng số IMSI tạm thời, hay còn gọi là TIMSI
[27].
TIMSI chỉ có giá trị trong mỗi phiên kiểm tra thuê bao và nó là duy nhất trong
vùng di chuyển của thuê bao. Định danh vùng định vị LAI (Location Area
Identity) luôn được sử dụng gắn liền với TIMSI. TIMSI, IMSI và LAI được
lưu trữ an toàn trong cơ sở dữ liệu VLR của nhà cung cấp dịch vụ mạng di
động. Để thiết lập định danh thuê bao nhà cung cấp dịch vụ sử dụng IMSI của
thuê bao để truy vấn cơ sở dữ liệu VLR lấy TIMSI của thuê bao. Bên cung
cấp dịch vụ sẽ so sánh TIMSI với IMSI để xác thực. TIMSI sẽ được mã hóa
trước khi gửi đi. Khi quá trình xác thực diễn ra thành công, máy chủ tại nhà
cung cấp dịch vụ sẽ gửi TIMSI tiếp theo tới máy di động của thuê bao cho lần
xác thực tiếp theo.
2.2.2 Xác thực Số thuê bao - Subscriber Identity Authentication
Xác thực thuê bao là mối quan tâm chính đối với mỗi nhà cung cấp dịch vụ.
Mục đích của nó là bảo vệ mạng di động khỏi những xâm nhập trái phép.
Giao thức sử dụng cơ chế xác thực theo kiểu yêu cầu đáp ứng. Xác thực định
danh th bao được thực hiện thơng qua khóa xác thực thuê bao Ki được thêm
vào số IMSI. Khóa này sẽ được lưu trong thẻ SIM và trước đó đã được nhà
cung cấp dịch vụ lưu trữ ở trung tâm xác thực AUC. Thuật toán dùng để xác
thực là thuật toán A3, trong thuật toán này thuê bao và nhà cung cấp dịch vụ
có cùng một khóa giống nhau là Ki. Để thực hiện một xác thực thì bên nhà
cung cấp dịch vụ sẽ sinh ra một số ngẫu nhiên RAND, số ngẫu nhiên này
được sử dụng để tính tốn chữ ký cần đáp ứng SRES (Signature Response).
Đồng thời số ngẫu nhiên RAND này sẽ được gửi đến thuê bao để tính tốn
chuỗi SRES và truyền chuỗi này trở lại nhà cung cấp dịch vụ. Nếu cả hai giá
10
trị SRES này giống nhau thì quá trình xác thực được xem là thành cơng. Hình
2.3 mơ tả q trình xác thực thuê bao.
Ki
RND
Ki
SIM
A3
A3
SRES
?
RNDA8
A8
Kc
Kc
mi
SRES
A5
A5
mi
Hình 2.2 Quá trình xác thực
2.2.3 Đảm bảo tính tin cậy cho dữ liệu của khách hàng - User Data
Confidentiality
Để tính riêng tư thơng tin người sử dụng được đảm bảo thì độ tin cậy phải
được đảm bảo trên cả hai kênh truyền thông và kênh truyền tín hiệu. Do đó,
hệ thống GSM đã sử dụng thuật tốn A5 để mã hóa dữ liệu truyền đi. Các
thuật tốn triển khai trong hệ thống GSM khơng được phổ biến. Việc mã hóa
được khởi động khi trạm thu phát cơ sở truyền một lệnh tới máy di động của
thuê bao [27].
11
Hình 2.3 Thuật tốn A5 sử dụng trong hệ thống GSM
Thuật tốn A5 là thuật tốn mã hóa đối xứng và sử dụng một khóa Kc để sinh
một chuỗi khóa, chuỗi này sẽ thực hiệp phép XOR với một đoạn văn bản thô
để sinh ra một đoạn văn bản mã hóa. Khóa Kc là đầu ra của thuật tốn A8 với
đầu vào là khóa Ki được lấy từ SIM và số ngẫu nghiên RAND, ở đây trong
phần đảm bảo độ tin cậy thì số ngẫu nhiên RAND và Ki vẫn được sử dụng
như trong quá trình xác thực thuê bao như hình 2.4. Đoạn văn bản mã hóa
trên sẽ được máy di động chuyển thành tín hiệu vơ tuyến và gửi đến trạm
truyền nhận cơ sở. Hình dưới mơ tả q trình sinh khóa mã hóa và q trình
mã hóa.
12
Hình 2.4 Q trình sinh khóa mã hóa và q trình mã hóa.
2.3 Bảo mật trong kiến trúc GSM - Security Deficiencies of GSM
Architecture
Tuy hệ thống GSM đã cố gắng đưa ra các biện pháp bảo mật như trình bày ở
trên xong nó vẫn tồn tại những hạn chế. Tasneem và các cộng sự (1998) [17],
đã chỉ ra những hạn chế về toàn vẹn dữ liệu trong hệ thống GSM. Theo như ở
trên chúng ta thấy vấn đề mã hóa trong hệ thống được qua tâm là xác thực và
giải thuật mã hóa đã được xác định.
2.3.1 Giải thuật mã hóa A5
Theo Steve (2003) [31], thuật tốn A5 thường được sử dụng để mã hóa trong
hệ thống GSM, nhưng giải thuật này vẫn có khả năng bị dịch ngược. Thuật
tốn A5 có hai dạng A5/1 và A5/2.
13
Hình 2.5 Thuật tốn A5
Theo Biryukov [32] thì phiên bản A5/1 hồn tồn có khả năng bị tấn cơng,
mà giải thuật này lại được dùng rất phổ biến cho các hệ thống GSM ở Châu
Âu. Ngồi ra, thuật tốn này còn bị giải mã chỉ trong một vài giây. Đối với
phiên bản A5/2 cũng là một phiên bản bị bẻ khóa trong vịng chưa đầy một
ngày [33]. Điều này cho thấy hệ thống GSM rất dễ bị tấn công bằng cách giải
mã mật mã.
2.3.2 Giải thuật xác thực A3/A8
Thuật toán A3/A8 cũng là thuật toán xác thực thường được sử dụng trong hệ
thống GSM.
