Mobiele telefoon als betaalmiddel

download Mobiele telefoon als betaalmiddel

of 93

  • date post

    11-Jan-2017
  • Category

    Documents

  • view

    220
  • download

    3

Embed Size (px)

Transcript of Mobiele telefoon als betaalmiddel

  • Mobiele telefoon als betaalmiddelEen advies- en onderzoeksrapport van

    mogelijkheden en bedreigingen

    Mirko van Ede( 9902236)Nijmeegs Instituut voor Informatica en Informatiekunde

    Radboud Universiteit Nijmegenmei 2008

  • Voorwoord

    Ter afronding van mijn studie Informatica aan de Radboud Universiteit in Nijmegen heb ik onderzoek gedaan. Dit onderzoek is uitgevoerd naar aanleiding van een opdracht van Interpay, de grootste en belangrijkste paymentprocessor van Nederland. De resultaten ervan staan beschreven in deze scriptie.

    Het onderzoek is begeleid door Dr. Martijn Oostdijk en Drs. Pepijn Vos, welke ik beide hartelijk wil bedanken voor hun ondersteuning, tips en geduld.

  • Samenvatting

    Dit document beschrijft mijn afstudeeronderzoek , uitgevoerd in opdracht van Interpay, dat zich richt op een inventarisatie van (combinaties van) bruikbare technologien voor het implementeren van een systeem dat het mogelijk maakt om betalingen te verrichten met de mobiele telefoon. Deze inventarisatie houdt rekening met de technische eisen die de stakeholders stellen aan een dergelijk systeem.

    Verschillende combinaties van Near Field Communication (NFC) of het GSM netwerk als transportlaag voor de uitwisseling van berichten en de opslag van betalingsgegevens op het toestel of juist op een centrale server, blijken te voldoen aan de eisen op technologisch gebied van de stakeholders. Van deze combinaties is vervolgens met behulp van de Attacktree methode een bedreigingsanalyse gemaakt, waarna ze onderling vergeleken zijn op basis van deze attacktree analyses.

    Als gevolg van dit vergelijk is een rapport aan Interpay uitgebracht, waarin geadviseerd wordt om verder onderzoek te doen naar de mogelijkheden van NFC in combinatie met lokale opslag van betalingsgegevens, omdat uit dit onderzoek bleek dat deze combinatie potentieel het meest geschikt is om een betalingssysteem voor mobiele telefoons te implementeren.

    Tot slot bespreekt deze thesis het gebruik van de attacktree methode in de praktijk als (semi-)formele methode voor het maken van bedreiging-sanalyses, ten einde ontwerpkeuzes te maken.

  • InhoudsopgaveH1 Project kader..........................................................................................9

    1.1 Inleiding.............................................................................................. 91.2 Opdrachtgever.....................................................................................91.3 Ontwikkelen van nieuwe systemen...................................................101.4 Betalingssysteem voor mobiele telefonie.........................................101.5 Onderzoeksdoel.................................................................................111.6 Relevantie..........................................................................................121.7 Document structuur...........................................................................12

    H2 Onderzoeksopzet onderzoeksdoel 1................................................... 142.1 Voldoen aan het onderzoeksdoel.......................................................142.2 Hoofdstuk indeling............................................................................15

    H3 Model van het betaalproces................................................................ 163.1 Inleiding............................................................................................ 163.2 Betalingsscenarios............................................................................173.3 Rollen................................................................................................ 183.4 Betaalproces...................................................................................... 203.5 Welke fases zijn afwijkend voor mobiele betalingen........................233.6 Conclusie...........................................................................................25

    H4 Eisen van stakeholders........................................................................ 264.1 Inleiding............................................................................................ 264.2 Eisen van de consument....................................................................274.3 Eisen van de merchant...................................................................... 284.4 Eisen en verwachtingen van Interpay...............................................294.5 Samenvatting.....................................................................................314.6 Conclusie...........................................................................................31

    H5 Bestaande mobiele betaalproducten..................................................335.1 Inleiding............................................................................................ 335.2 Nederlandse initiatieven....................................................................335.3 Buitenlandse initiatieven...................................................................395.4 Samenwerkingsverbanden................................................................ 415.5 Conclusie...........................................................................................42

    H6 Inventarisatie bruikbare technologien.............................................446.1 PCP en Identificatie...........................................................................446.2 Transportlaag.....................................................................................476.3 Conclusie...........................................................................................53

    H7 Onderzoeksopzet onderzoeksdoel 2................................................... 557.1 Voldoen aan het onderzoeksdoel.......................................................557.2 Bedreigingen voor de geselecteerde systemen..................................557.3 Vergelijken van de systemen.............................................................55

    H8 Attacktrees............................................................................................56

    6

  • 8.1 Inleiding............................................................................................ 568.2 Attacktree methode........................................................................... 578.3 OR- en AND-Knopen........................................................................578.4 Waardes toekennen............................................................................588.5 Meerdere waardes............................................................................. 598.6 Projecties...........................................................................................608.7 Tools..................................................................................................608.8 Conclusie...........................................................................................61

    H9 Bedreigingsanalyse casestudy............................................................. 629.1 Veiligheidsbedreigingen....................................................................639.2 Attacktree.......................................................................................... 649.3 Beschrijving van aanvallen............................................................... 669.4 Projecties en propagatie.................................................................... 769.5 Vergelijk van de systemen.................................................................829.6 Conclusie...........................................................................................82

    H10 Conclusie.............................................................................................8410.1 Inleiding.......................................................................................... 8410.2 Advies..............................................................................................8410.3 Onderzoeksdoel 1............................................................................8510.4 Onderzoeksdoel 2............................................................................8610.5 Gebruik van de attacktree methode.................................................88

    Literatuurlijst.............................................................................................89

    Lijst van gebruikte afkortingen................................................................91

    Bijlage A: Begripsbepalingen....................................................................92

    Bijlage B: Wet Toezicht Kredietwezen.....................................................93

    Illustraties

    Illustratie 1: Rollen in het betaalprcoes....................................................18

    Illustratie 2: Fases in het betaalproces......................................................20

    Illustratie 3: Transport in een betalingssysteem......................................23

    Illustratie 4: Een mobiele transactie met m-banxafe...............................41

    Illustratie 5: Structuur van het GSM/GPRS netwerk.............................49

    7

  • Illustratie 6: Routing van een verbinding naar een MS..........................51

    Illustratie 7: Attacktree om een kluis te openen.......................................58

    Illustratie 8: Waardes toekennen aan de attacktree................................59

    Illustratie 9: Waardes propageren door de boom.................................... 60

    Illustratie 10: Meerdere waardes toekennen en propageren..................60

    Illustratie 11: Projectie van aanvallen waarvoor geen SA nodig is en die maximaal