e-EMV: Emulating EMV for Internet payments using Trusted Computing technology v-2

The introduction of EMV-compliant payment cards, with their improved cardholder verification and card authentication capabilities, has resulted in a dramatic reduction in the levels of fraud seen at Point of Sale (PoS) terminals across Europe. However, this reduction has been accompanied by an alarming increase in the level of fraud associated with Internet-based Card Not Present (CNP) transactions. This increase is largely attributable to the weaker authentication pro- cedures involved in CNP transactions. This paper shows how the functionality associated with EMV-compliant payment cards can be securely emulated in software on platforms supporting Trusted Com- puting technology. We describe a detailed system architecture encom- passing user enrollment, card deployment (in the form of software), card activation, and subsequent transaction processing. Our proposal is compatible with the existing EMV transaction processing architec- ture, and thus integrates fully and naturally with already deployed EMV infrastructure. We show that our proposal, which effectively makes available the full security of PoS transactions for Internet-based CNP transactions, has the potential to significantly reduce the oppor- tunity for fraudulent CNP transactions

Provisión de servicio de comercio electrónico con soporte a pasarela de pago para verificación del pago a través de terminal lMS

En los últimos años el uso de Internet y la realización de transacciones económicas a través de dicha red han crecido considerablemente. La utilización del comercio electrónico permite al usuario realizar las transacciones desde cualquier lugar, sin necesidad de desplazarse a la tienda en la que desea realizar la compra y ahorrar el dinero y el tiempo que requeriría dicho desplazamiento. Sin embargo, la utilización del comercio electrónico para la realización de compras por Internet no goza de un respaldo mayoritario debido a la desconfianza de los usuarios a proporcionar sus datos bancarios o la información de sus tarjetas de crédito a través de la red. En este proyecto, se han estudiado los diferentes métodos de pago electrónico existentes en la actualidad, y su posible mejora para la provisión de un servicio de pago electrónico fiable y seguro para los clientes. La futura convergencia entre redes de comunicación ha originado el planteamiento de un sistema de pago que permita al usuario realizar la compra a través de la Web pero validarla a través de un terminal IMS (IP Multimedia Subsystem). Más concretamente, este proyecto ha tenido como objetivo el diseño de una aplicación convergente que permita interconectar la Web con las redes de próxima generación para proporcionar servicios de pago electrónico seguros con soporte para la verificación de las transacciones económicas a través de un terminal IMS. Para ello se hace uso de dos canales de comunicación diferentes (Internet y telefonía móvil), lo que dota de una gran robustez al sistema, ya que es complicado comprometer las dos redes simultáneamente. La necesidad de proteger la información privada de los usuarios hace que el sistema diseñado soporte gestión de identidad. Como consecuencia de ello, los usuarios del sistema pueden controlar la información de su perfil que deseen proporcionar a un determinado proveedor de servicio. Por otro lado, se ha tratado el problema de la gestión de credenciales por parte de los usuarios. Para ello, se ha proporcionado al sistema desarrollado de un mecanismo de identificación SSO (Single Sign-On), que evita al usuario tener que identificarse repetidamente en los diversos sitios Web a los que acceda. La solución planteada podría tener una gran proyección, ya que la telefonía móvil goza de una gran aceptación y su uso se encuentra mundialmente extendido. Debido a ello, es lógico pensar que los usuarios podrían encontrarse más confiados a enviar su información privada a través de su teléfono móvil que a través de Internet. --------------------------------------------------------------------------------------------------------------------------------------------------------------Financial transactions have increased in number in the last years. The use of electronic commerce allows users to make transactions from anywhere, without having to go to the store where they want to make the purchase thus, saving money and time. The lack of a comprehensive security infrastructure has delight in tormenting ecommerce. The use of electronic transactions in a daily basis is far from being a reality. Due to several security problems, customers are reluctant to hand out their private information, especially their financial information as credit cards. In this thesis, we have studied the different electronic payment methods currently available and feasible improvements towards a safer and reliable service for customers. The future convergence of communication networks has led to the approach of an authorized payment system by mobile phone that allows the user to purchase online but validate it through his IMS terminal. The system developed will use two different communication channels (Internet and mobile), making hard to compromise both networks simultaneously. The purpose of such development is to find a solution for making safe purchases over the Internet increasing so user confidence in electronic commerce. On the other hand, the need to protect private information from users, makes necessary the use of identity management in service providers, preventing users from handing out their credentials in different Web sites (implementing Single Sign-On) and giving them the opportunity to increase the control over their user profile managing the information provided to the service provider. The aim of this project is the provision of an electronic commerce service that utilizes a next-generation network for authorization purposes. Taking advantage of development opportunities they offer, and developing a module for authentication and verification of financial transactions through the network by using a mobile phone.Ingeniería de Telecomunicació