Đồ án Nghiên cứu, tìm hiểu hệ thống röt tiền tự động ATM và vấn đề ATTT của hệ thống

pdf 66 trang huongle 2600
Download
Bạn đang xem 20 trang mẫu của tài liệu "Đồ án Nghiên cứu, tìm hiểu hệ thống röt tiền tự động ATM và vấn đề ATTT của hệ thống", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfdo_an_nghien_cuu_tim_hieu_he_thong_rt_tien_tu_dong_atm_va_va.pdf

Nội dung text: Đồ án Nghiên cứu, tìm hiểu hệ thống röt tiền tự động ATM và vấn đề ATTT của hệ thống

  1. BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC DÂN LẬP HẢI PHÕNG o0o NGHIÊN CỨU, TÌM HIỂU HỆ THỐNG RƯT TIỀN TỰ ĐỘNG ATM VÀ VẤN ĐỀ ATTT CỦA HỆ THỐNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngµnh c«ng nghƯ th«ng tin Giảng viên hƣớng dẫn: T.S Hồ Văn Canh Sinh viên: Phạm Việt Anh Lớp : CT1102
  2. LỜI CẢM ƠN Trong lời đầu tiên của báo cáo Đồ án tốt nghiệp “Nghiên cứu, tìm hiểu hệ thống rút tiền tự động ATM và vấn đề ATTT cho hệ thống” này, em muốn gửi lời cảm ơn và biết ơn chân thành nhất của mình tới tất cả những ngƣời đã hỗ trợ, giúp đỡ em về kiến thức cũng nhƣ tinh thần trong quá trình thực hiện Đồ án. Trƣớc hết em xin gửi lời cảm ơn đến T.S Hồ Văn Canh, ngƣời thầy đã hƣớng dẫn em rất nhiều trong suốt quá trình tìm hiểu và hồn thành đồ án này từ lý thuyết đến ứng dụng của hệ thống ATM. Đồng thời em cũng xin chân thành cảm ơn các thầy cơ trong bộ mơn cũng nhƣ các thầy cơ trong trƣờng đã trang bị cho em những kiến thức cơ bản cần thiết để em cĩ thể hồn thành tốt đồ án này. Cuối cùng em xin gửi lời cảm ơn đến gia đình, bạn bè, ngƣời thân đã giúp đỡ động viên em rất nhiều trong quá trình học tập và làm Đồ án Tốt Nghiệp. Do thời gian cĩ hạn, kiến thức cịn nhiều hạn chế nên Đồ án thực hiện chắc chắn khơng tránh khỏi những thiếu sĩt nhất định. Em rất mong nhận đƣợc ý kiến đĩng gĩp của thầy cơ và các bạn để em cĩ thêm kinh nghiệm và tiếp tục hồn thiện Đồ án của mình. Em xin chân thành cảm ơn! Hải Phịng, ngày 25 tháng 11 năm 2012 Sinh viên thực hiện Phạm Việt Anh
  3. MỤC LỤC MỤC LỤC 1 DANH MỤC CÁC TỪ VIẾT TẮT 3 LỜI MỞ ĐẦU 4 Chương 1. TỔNG QUAN VỀ MÁY ATM VÀ HỆ THỐNG THANH TỐN ATM 5 1.1 Giới thiệu về máy ATM và hệ thống thanh tốn ATM 5 1.2 Tình hình sử dụng máy ATM 5 1.3 Lợi ích của việc sử dụng máy ATM 6 1.4 Các dịch vụ trên máy ATM 7 Chương 2. CẤU TRƯC MÁY ATM VÀ HỆ THỐNG THANH TỐN ATM 8 2.1 Cấu trúc máy ATM 8 2.1.1 Định nghĩa 8 2.1.2 Phân loại máy 8 2.1.3 Luồng xử lý giao dịch trong hệ thống ATM 8 2.1.4 Cấu tạo máy 9 2.2 Cấu trúc hệ thống thanh tốn ATM 13 Chương 3. THẺ TỪ, THẺ CHIP 15 3.1 Hệ thống thanh tốn cho thẻ từ 15 3.1.1 Thẻ từ 15 3.1.2 Cấu trúc của số thẻ 19 3.1.3 Định dạng thơng điệp (message) của máy ATM 22 3.2. Hệ thống thanh tốn cho thẻ chip 34 3.2.1 Thẻ chip 34 3.2.2 Sự phát triển của thẻ chip 34 3.2.3 Tổng quan về thẻ chip 35 Chương 4. VẤN ĐỀ AN TỒN THƠNG TIN TRONG HỆ THỐNG ATM 36 4.1 Mã hĩa trong hệ thống ATM 36 4.1.1 Thuật tốn mã hĩa 36 4.1.2 Khĩa bí mật trong hệ thống ATM 37 4.1.3 Thiết bị mã hĩa trong hệ thống 43 4.2 Mã hĩa và giải mã số PIN 44 1
  4. 4.2.1 Khái niệm số PIN (Personal Identification Number) 45 4.2.2 Mã hĩa PIN tại ATM 45 4.2.3 Xác thực PIN tại HSM 48 4.3 Giải pháp bảo mật và đảm bảo an tồn thơng tin trong ATM 50 4.3.1 Kiểm tra tính đúng đắn số thẻ - Card number Check Digit 50 4.3.2 Xác thực tính hợp lệ của thẻ - Card Authentiocation values 53 4.3.3 Bảo đảm an tồn thơng tin giao dịch 55 4.3.4 Bảo đảm an tồn phần mềm ATM 56 4.3.5 Bảo đảm an tồn hệ điều hành 57 4.3.6 Bảo đảm an tồn chống tấn cơng vật lý 57 4.3.7 Bảo đảm an tồn từ phía ngân hàng 57 4.3.8 Bảo đảm an tồn từ phía ngƣời dùng 57 4.4 Nhận xét 59 Chương 5. CHƢƠNG TRÌNH THỰC HIỆN MÃ HĨA VÀ GIẢI MÃ VỚI HỆ MÃ DES 60 5.1. Giới thiệu về chƣơng trình 60 5.2. Các chức năng chính 60 5.2.1 Giao diện chính của chƣơng trình 60 5.2.2 Quá trình lập mã 61 5.2.3 Quá trình giải mã 61 KẾT LUẬN 63 TÀI LIỆU THAM KHẢO 64 2
  5. DANH MỤC CÁC TỪ VIẾT TẮT ATM : Automatic Teller Machine BIN : Bank Identification Number CVK : Card Verification Keys CD : Check digitp CSDL : Cơ sở dữ liệu DES : Data Encryption Standard 3DES : Triple DES EMV : Europay, MasterCard, Visa EPP : Encrypt PIN Pad HSM : Hardware Security Module ISO : International Organization for Standardization KME (MEK) : Message Encryption Keys LMK : Local Master Keys MD : Message Digest algorithm MAC : Message Authentication Code PC : Personal Computer POS : Point Of Service PIN : Personal Identification Number PAN : Primary Account Number PVV : VISA PIN Verification Keys PVK : PIN Verification Keys RSA : Rivest, Shamir và Adleman TMK : Terminal Master Keys WK : Working Keys 3
  6. LỜI MỞ ĐẦU Ngày nay, cơng nghệ ATM đang đƣợc ứng dụng rộng rãi trên phạm vi tồn thế giới và cả ở Việt Nam. Khái niệm máy rút tiền ATM cũng khơng cịn xa lạ trong cuộc sống của ngƣời dân Việt Nam. Những tiện ích mà các dịch vụ thẻ mang lại đã gĩp phần từng bƣớc thay đổi thĩi quen ƣa sử dụng tiền mặt của ngƣời dân, giảm chi phí xã hội, nâng cao khả năng quản lý tiền tệ của Nhà nƣớc cũng nhƣ gĩp phần hữu ích vào việc tạo dựng nền mĩng cho sự hình thành một nền thƣơng mại điện tử cịn non trẻ của nƣớc ta. Tuy nhiên, một vấn đề bức xức cũng đƣợc đặt ra là làm thế nào để đảm bảo an tồn tuyệt đối cho hệ thống và cả ngƣời dùng, chống lại mọi sự gian lận, ăn cắp tài khoản của ngƣời dùng. Với các vấn đề nhƣ trên, em chọn đề tài là “Nghiên cứu, tìm hiểu hệ thống rút tiền tự động ATM và vấn đề ATTT của hệ thống” nhằm mục đích nghiên cứu cơ chế hoạt động, độ an tồn và tính bảo mật của hệ thống ATM, phân tích đánh giá, ƣu nhƣợc điểm của cơng nghệ hiện tại đang sử dụng, nhằm mục tiêu đề ra giải pháp tối ƣu hơn giúp cho tính bảo mật và an tồn của hệ thống đƣợc nâng cao. Ngồi các phần mở đầu, lời cảm ơn, tài liệu tham khảo, luận văn gồm cĩ 5 chƣơng và phần kết luận. Chƣơng 1. Tổng quan về máy ATM và hệ thống thanh tốn ATM Chƣơng 2. Cấu trúc máy ATM và hệ thống thanh tốn ATM Chƣơng 3. Thẻ từ, thẻ chip Chƣơng 4. Vấn đề an tồn thơng tin trong hệ thống ATM Chƣơng 5. Chƣơng trình thực hiện mã hĩa và giải mã với hệ mã DES 4
  7. Chương 1. TỔNG QUAN VỀ MÁY ATM VÀ HỆ THỐNG THANH TỐN ATM 1.1 Giới thiệu về máy ATM và hệ thống thanh tốn ATM Máy rút tiền đầu tiên đƣợc thiết kế và hồn thành bởi Luther George Simijian vào năm 1939, máy đƣợc thiết kế tại thành phố NewYork cho ngân hàng CityBank of NewYork nhƣng 6 tháng sau thì bị bỏ đi vì ít ngƣời dùng. Sau 25 năm ngày 27/6/1967 máy rút tiền điện tử đầu tiên đƣợc hãng In De la Rue thiết kế tại Enfield Town ( gần London, Anh) cho Ngân hàng Barclays Bank. Ngƣời phát minh là John Sheperd-Barron mặc dù Luther George Simijian và vài ngƣời khác cũng đã đăng ký văn bằng phát minh cho loại máy này. Tuy nhiên, nhiều ngƣời cho rằng loại máy ATM đầu tiên đƣợc ra mắt năm 1969 tại ngân hàng Chemical Bank ở NewYork (Mỹ). Tác giả là Don Wetzel, phĩ giám đốc một cơng ty chuyên về máy tự động. ATM ngày nay là thiết bị để ngân hàng giao dịch tự động với chủ thẻ, thực hiện thơng qua các loại thẻ ATM nhƣ thẻ ghi nợ, thẻ tín dụng, và các loại thẻ khác, giúp chủ thẻ kiểm tra tài khoản, rút tiền mặt, chuyển khoản thanh tốn hàng hĩa, dịch vụ. (theo báo Tin học và Tài chính – Bộ tài chính, số 58 tháng 4-2008) 1.2 Tình hình sử dụng máy ATM Thanh tốn tiền qua hệ thống ATM đã phổ biến trên tồn thế giới và ở Việt Nam hệ thống ATM dần trở nên quen thuộc với mọi ngƣời dân. Năm 1993, thị trƣờng thẻ Việt Nam mới xuất hiện những sản phẩm thẻ đầu tiên do Vietcombank phát hành, đến năm 1996 thì thị trƣởng thẻ thực sự xuất hiện. Năm 1996, ngân hàng ngoại thƣơng Vietcombank kết hợp cùng ngân hàng nhà nƣớc triển khai lắp đặt 2 chiếc máy rút tiền tự động tại Hà Nội. Đến nay, chúng ta đã chứng kiến sự phát triển vƣợt bậc của thị trƣởng thẻ và máy ATM tại Việt Nam: với hơn 20 ngân hàng thƣơng mại phát hành Thẻ nội địa, trong đĩ cĩ 8 Ngân hàng phát hành thẻ Quốc tế. 5
  8. Số lƣợng thẻ phát hành Gồm thẻ nội địa và quốc Năm Số máy ATM tế Đơn vị: chiếc 1996 360 1997 460 1998 4.500 1999 2.500 2000 5.000 2001 15.000 2002 40.000 2003 230.000 2004 560.000 2005 1.250.000 T6/2006 3.500.000 2007 8.400.000 4.020 T3/2008 10.000.000 4.500 Bảng 1.1 Số liệu thống kê thị trƣờng thẻ Việt Nam qua các năm (Theo hiệp hội ngân hàng Việt Nam và hội thảo Banking Việt Nam 2008) 1.3 Lợi ích của việc sử dụng máy ATM Đối với ngân hàng: ATM đƣợc biết đến nhƣ là một kênh tự phục vụ của ngân hàng, là một bộ phận chiến lƣợc trong kênh phân phối của ngân hàng, giúp chủ thẻ truy 6
  9. cập một cách thuận tiện các dịch vụ một cách nhanh chĩng, dịch vụ 24/7 ở bất cứ nơi đâu và vào thời gian nào. ATM là một trong các kênh phân phối vụ bán lẻ của ngân hàng nhƣ: ATM, POS (point of service), Telephone banking , SMS Bên cạnh đĩ, máy ATM cịn cĩ một số ƣu điểm sau: - Các địa điểm đặt máy thuận lợi, thời gian phục vụ 24/7 giúp dễ tiếp cận với các dịch vụ ngân hàng nên thu hút nhiều chủ thẻ hơn. - Mỗi ATM cĩ thể coi là một chi nhánh của Ngân hàng, do đĩ sẽ giảm thiểu chi phí vận hành chi nhánh Ngân hàng - Hệ thống ATM là sự khác biệt về chất lƣợng phục vụ và nhãn hiệu để cạnh tranh với các ngân hàng khác. - Giảm lƣợng tiền mặt lƣu thơng trên thị thƣờng. Nhờ vậy, mà các ngân hàng cĩ thể giữ đƣợc khách hàng cũ và nhiều ngƣời sử dụng các dịch vụ của ngân hàng. Đối với khách hàng: Thuận tiện trong tiếp cận ngân hàng Nhanh hơn là chờ đợi ở các quầy giao dịch 1.4 Các dịch vụ trên máy ATM - Rút tiền mặt (Card Withdrawal) - Chuyển khoản (Fund Transfer) - Tiện ích/ Thanh tốn hĩa đơn (Điện thoại, điện, nƣớc ) - Gửi tiền - Các giao dịch internet/ Thƣơng mại điện tử Hình 2.1 Máy ATM nhìn từ phía trƣớc. 7
  10. Chương 2. CẤU TRÚC MÁY ATM VÀ HỆ THỐNG THANH TỐN ATM 2.1 Cấu trúc máy ATM 2.1.1 Định nghĩa ATM là máy giao dịch tự động đƣợc gọi là hệ thống ngân hàng tự động, khơng chỉ đơn thuần là máy rút tiền tự động mà cịn cĩ nhiều dịch vụ khác trên đĩ nhƣ chuyển khoản, thanh tốn hĩa đơn, mua vé, các dịch vụ thƣơng mại điện tử đƣợc gọi là hệ thống giao dịch Ngân hàng tự động 2.1.2 Phân loại máy a. Theo vị trí - ATM đặt tại sảnh, hành lang - ATM độc lập - ATM thƣờng xuyên - ATM đặt tại nơi thu vé xe b. Theo chức năng - Máy chỉ cĩ chức năng trả tiền - Máy cĩ các chức năng cao cấp 2.1.3 Luồng xử lý giao dịch trong hệ thống ATM a. Các bƣớc xử lý giao dịch - Chủ thẻ thực hiện giao dịch - ATM nhận thơng tin giao dịch và gửi lệnh yêu cầu tới Switch - Switch nhận yêu cầu, xử lý và phản hồi lại lệnh cho ATM - ATM nhận lệnh phản hồi từ Switch và thực hiện lệnh - ATM nếu khơng thực hiện đƣợc lệnh phản hồi sẽ gửi hủy bỏ lệnh đã yêu cầu - Switch sẽ chấp nhận yêu cầu hủy lệnh b. Luồng giao dịch của hệ thống ATM - Màn hình đợi (màn hình hiển thị quảng cáo của ngân hàng) 8
  11. - Cho thẻ vào ATM và nhập số PIN - Kiểm tra số thẻ: kiểm tra số check digit, số CVV/CVC - Kiểm tra PIN: kiểm tra số PIN đƣợc nhập vào với PIN đƣợc lƣu trong CSDL Corebank của ngân hàng, nếu đúng sẽ hiển thị các loại giao dịch để chủ thẻ lựa chọn - Thực hiện giao dịch: Khi thực hiện thành cơng, thì tùy theo từng loại giao dịch mà ATM nhả thẻ hoặc khơng (thƣờng thì rút tiền xong ATM sẽ nhả thẻ) - Trở về màn hình đợi: Khi khơng thực hiện các giao dịch nữa (khi nhả thẻ hoặc nuốt thẻ) màn hình ATM trở về trạng thái ban đầu. 2.1.4 Cấu tạo máy ATM là một thiết bị chuyên dụng đƣợc sử dụng trong lĩnh vực ngân hàng, đƣợc gọi là kênh phục vụ tự động của ngân hàng. Do đĩ, nĩ cần cĩ một cấu tạo đặc biệt để cĩ thể thực hiện các chức năng đƣợc yêu cầu. Hình 2.2 Cấu tạo cơ bản của một máy ATM. 9
  12. Cấu tạo máy ATM gồm 2 phần là phần cứng và phần mềm. a. Phần cứng Bao gồm máy vi tính chuyên biệt, thiết bị đếm tiền, thiết bị trả tiền, thiết bị in nhật ký, thiết bị in biên lai, phím nhập mật mã, thiết bị đọc thẻ, hộp đựng tiền và két sắt chứa hộp đựng tiền. b. Phần mềm Máy ATM đều cĩ hệ điều hành (OS-operate system), phần mềm điều khiển thiết bị của máy ATM, phần mềm tiện ích kèm theo. Hiện nay, hệ điều hành là Window NT, Window XP. 2.1.4.1 Màn hình Cĩ thể là màn hình CRT hoặc màn hình LCD. Hiển thị các hƣớng dẫn và thơng tin của mỗi bƣớc giao dịch. Trong trƣờng hợp màn hình chờ thì hiển thị thơng tin quảng cáo của từng ngân hàng. Ví dụ: - Màn hình của Deibold 10.4‟‟ Color LCD (XGA) - Màn hình của NCR 9‟‟ LCD text only or 9.5‟‟ VGA flat panel LCD 2.1.4.2 Bộ phận trả tiền Đây là bộ phận quan trọng của mỗi máy ATM, giúp máy phân loại, đếm và cung cấp tiền cho chủ thẻ. Bao gồm máy đếm tiền, băng truyền tải và khe trả tiền đƣợc đặt trên các hộp đựng tiền. Khi thực hiện rút tiền, phần mềm điều khiển ATM sẽ tính tốn số tiền đƣợc trả theo nhiều mệnh giá khác nhau, đƣợc cấu hình theo yêu cầu của ngân hàng. Máy đếm tiền chủ yếu sử dụng kỹ thuật Hình 2.3 Thiết bị trả tiền và đếm chân khơng (kéo tiền lên bằng lực hút), các khay chứa tiền ngồi ra cịn dùng kỹ thuật ma sát để lấy tiền trong các hộp đựng tiền. Cĩ thể trả đƣợc 40-50 tờ tiền trong một lần trả. Cĩ thể trả đƣợc 1 đến 4 loại tiền. 10 Hình 2.4 Bàn phím chức năng.
  13. 2.1.4.3 Bàn phím Gồm cĩ hai loại: bàn phím chức năng và bàn phím ký tự. a. Bàn phím chức năng Dùng để thực hiện các giao dịch. Chủ thẻ sử dụng bàn phím đẻ nhập mã PIN, số tiền giao dịch, số tài khoản . Nếu chủ thẻ nhập số PIN sai 3 lần liên tiếp máy ATM sẽ tự động nuốt thẻ (tùy thuộc chính sách ngân hàng), nhằm đảm bảo an tồn trong trƣờng hợp thẻ bị đánh cắp và cố tình dị số PIN. Bàn phím của máy ATM cũng chính là một thiết bị mã hĩa, đƣợc mã hĩa theo thuật tốn DES hay TripleDES bằng thiết bị phần cứng. b. Bàn phím ký tự Dùng để thực hiện nhập tham số cho hệ thống phần mềm ATM (nhƣ bàn phím thơng thƣờng của máy PC). Đƣợc dùng cho nhà quản trị. Hình 2.5 Bàn phím ký tự. 2.1.4.4 Đầu đọc thẻ Đọc các thơng tin trên rãnh từ ở mặt sau của thẻ. Các thơng tin này sẽ đƣợc gắn vào thơng điệp và chuyển đến ngân hàng nơi chủ thẻ mở tài khoản. Đầu đọc thẻ đƣợc thiết kế để cĩ thể đọc đƣợc hai loại thẻ là thẻ từ và thẻ chip. 2.1.4.5 Máy ghi nhật ký giao dịch Ghi lại thơng tin tồn bộ các giao dịch Hình 2.6 Đầu đọc thẻ đƣợc thực hiện tại máy ATM Các thơng tin này sẽ đƣợc sử dụng để kiểm sốt và đối chiếu khi kiểm quỹ và yêu cầu tra sốt của chủ thẻ 11 Hình 2.7 Máy ghi nhật ký giao dịch.
  14. 2.1.4.6 Máy in biên lai giao dịch Thơng thƣờng sau mỗi giao dịch máy sẽ tự động in biên lai, giúp ngƣời sử dụng ATM dễ dàng nắm bắt đƣợc thơng tin của lần giao dịch đĩ Thơng tin trên biên lai giao dịch tùy thuộc ngân hàng và tùy theo từng loại giao dịch. Hình 2.8 Máy in biên lai giao Thơng thƣờng bao gồm: tên ngân hàng, ngày dịch. tháng giao dịch, mã máy ATM, khối lƣợng giao dịch. 2.1.4.7 Máy PC (core) điều khiển Là một máy tính PC chuyên dụng đƣợc dùng cho máy ATM. Máy PC này thơng thƣờng chạy hệ điều hành Window XP hoặc Window NT (hiện nay Microsoft ngừng hỗ trợ hệ điều hành Window NT nên các dịng máy mới dùng hệ điều hành Window XP). Hình 2.9 Máy tính (Core) điều Trên mỗi PC sẽ cài đặt một phần mềm khiển. dùng để kiểm sốt các hoạt động của ATM - Với máy Diebold là Agilis TM - Với máy NCR là APTRA 2.1.4.8 Khay chứa tiền Mỗi máy ATM thƣờng cĩ 4 -5 khay đựng tiền, tùy theo nhà sản xuất mỗi khay đựng tiền sẽ đƣợc cấu hình theo từng mệnh giá tiền khác nhau. Ngồi ra máy cịn cĩ các hộp để đựng tiền xu. Mỗi khay đựng tiền thƣờng chứa khoảng 3000 đến 4000 tờ tiền. Hình 2.10 Khay chứa tiền. 12
  15. 2.2 Cấu trúc hệ thống thanh tốn ATM 2.2.1 Tổng quan hệ thống thanh tốn ATM Hệ thống thanh tốn ATM là hệ thống mạng gồm cĩ các thành phần trung tâm nhƣ Switch, CoreBank và các hệ thống mạng viễn thơng dùng để kết nối các thiết bị thanh tốn nhằm giúp cho khách hàng truy cập thuận tiện các dịch vụ một cách nhanh chĩng, dịch vụ 24x7 ở bất cử nơi đâu và vào thời gian nào. Ngồi ra cĩ thể kết nối đến hệ thống mạng của ngân hàng khác. Card Management SWITCH System Core Bank Finance Status Monitoring Statement OTHER ATM (Email, SMS SWITCH ,Performance Reports) ATM NETWORK Message: ISO 8583, Standard D1000 Finance Statement Message:911,912 Message: NDC,NDC+, 47x ISO 8583 ,D1000 ATM ATM ATM POS Hình 2.11 Mơ tả một hệ thống ATM của một ngân hàng, trong đĩ: Core Bank: Hệ thống ngân hàng cốt lõi, là nơi tập trung CSDL thơng tin về ngân hàng và thơng tin về tài khoản, kiểu tài khoản, số dƣ tài khoản, số hạn mức tài khoản của chủ thẻ tham gia vào hệ thống ngân hàng. Switch : là một hệ thống phần mềm và phần cứng (thƣờng đƣợc gọi là hệ thống chuyển mạch) đƣợc kết nối trực tiếp với Core bank và các thiết bị đầu cuối ATM, POS. Swich rất quan trọng trong hệ thống ATM cũng nhƣ các giao dịch tài chính khác. Switch là trung tâm của tồn bộ hệ thống, là một thành phần trung gian giữa ATM và cơ sở dữ liệu của ngân hàng. Mọi giao dịch từ ATM đều phải thơng qua Switch. Hệ thống này gồm một số chức năng sau: 13
  16. - Quản lý thẻ (Card management): cho phép kết nối đến hệ thống quản lý các thiết bị sản xuất thẻ, giám sát và quản lý các thẻ đƣợc phát hành. - Kết nối các thiết bị đầu cuối nhƣ ATM, POS . - Giám sát và điều khiển tồn bộ hệ thống. - Ghi nhật ký và lƣu vết giao dịch. - Hệ thống cung cấp các giao tiếp với thiết bị mã hĩa cứng HSM, đảm bảo mã hĩa và giải mã số PIN và xác thực các thơng điệp. - Kết nối đến các ngân hàng hay các tổ chức phát hành khác nhƣ VISA, Master Card, Euro pay ATM (Automatic Teller Machine): đƣợc biết nhƣ là một kênh tự phục vụ thơng qua thẻ của ngân hàng, nhƣ cho phép rút tiền tự động, chuyển khoản, thanh tốn hĩa đơn, mua vé, các dịch vụ thƣơng mai điện tử POS (point of Service): đƣợc biết nhƣ là điểm thanh tốn mua hàng bằng thẻ thanh tốn Status Monitoring ATM: cho phép quản lý và giám sát tồn bộ tình trạng hiện thời của các ATM 2.2.2 Giao thức kết nối hệ thống ATM. Mỗi ATM đƣợc coi nhƣ là một máy PC, do đĩ mỗi ATM cĩ một địa chỉ IP xác định để cĩ thể tham gia vào mạng, cĩ thể đặt địa chỉ IP tĩnh hoặc IP động. Hiện nay máy ATM hỗ trợ giao thức kết nối nhƣ là TCP/IP,X.25 . Ở Việt Nam, máy ATM sử dụng giao thức TCP/IP để kết nối. Các giao thức này đƣợc hỗ trợ bở các đƣờng truyền thơng nhƣ đƣờng Lease-line, mega-wan, Dial-up 14
  17. Chương 3. THẺ TỪ, THẺ CHIP 3.1 Hệ thống thanh tốn cho thẻ từ 3.1.1 Thẻ từ Là loại thẻ nhựa cứng, các thơng tin về thẻ đƣợc lƣu trên băng từ. Thẻ cĩ thể thực hiện đƣợc các giao dịch tự động nhƣ kiểm tra số dƣ, rút tiền, chuyển khoản từ máy rút tiền ATM. 3.1.1.1 Tính chất vật lý của thẻ Các tính chất vật lý của thẻ từ (kích cỡ, khối lƣợng, cấu trúc vật liệu, tính chất cứng, tính mềm dẻo, tính bền) tuân theo tiêu chuẩn ISO 7810. Chuẩn ISO 7810 là tập các chuẩn mơ tả các đặc tính vật lý và kích cỡ của thẻ. - Thẻ cĩ 4 loại kích thƣớc khác nhau: + ID-000: Dài 25mm Rộng 15mm Dầy 0.76mm + ID-1 : Dài 85.60mm Rộng 53.98mm Dầy 0.76mm + ID-2 : Dài 105mm Rộng 74mm Dầy 0.76mm + ID-3: Dài 125mm Rộng 88mm Dầy 0.76mm Thẻ ATM là loại thẻ ID-1. Hình 3.1 Kích thƣớc thẻ 15
  18. 3.1.1.2 Thơng tin dập nổi trên thẻ Các thơng tin dập nổi trên thẻ tuân theo chuẩn ISO7811-1 Hình 3.2 Các vị trị dập nổi trên thẻ Identification number line (Area 1) Name and address area (Area 2) A 21,42 ± 0,12 (0.843 ± 0.005) E 14,53 (0.572) maximum B 10,18 ± 0,25 (0.401 ± 0.010) F 2,54 (0.100) minimum 3,30 (0.130) maximum C 65,31 ± 0,76 (2.571 ± 0.030) G 7,65 ± 0,25 (0.301 ± 0.010) D 24,03 (0.946) maximum H 66,04 ± 0,76 (2.600 ± 0.030) Bảng 3.1 Bảng định nghĩa kích thƣớc vị trí dập nổi, đơn vị milimet (Inches) Trên thẻ cĩ hai khu vực dập nổi: - Khu vực 1 (Area 1) – đƣợc sử dụng để dập nổi định dạng thẻ (Indentification number), đƣợc tiến hành dập nổi trên một dịng đơn, tối đa là 19 ký tự. - Khu vực 2 (Area 2) – đƣợc sử dụng để dập nổi tên, địa chỉ và các thơng tin liên quan đến chủ thẻ, đƣợc dập nổi trên 4 dịng với tối đa là 27 ký tự. 16
  19. 3.1.1.3 Thơng tin lƣu trên vạch từ của thẻ Các thơng tin lƣu trên vạch từ và cấu trúc cá trƣờng thơng tin của thẻ tuân theo chuẩn ISO 7811-2, ISO 7811-6 và ISO 7813. Hình 3.3 Vị trí dải từ (mặt sau thẻ) a = 11.89 (0.468): Khi sử dụng cho các tracks 1 và 2 a = 15.95 (0.628): Khi sử dụng cho các tracks 1, 2 và 3 Đơn vị milimet (Inches) Hình 3.4 Vị trí các rãnh từ trong dải từ 17
  20. Term Track 1 Track 2 Track 3 A 5,79 (0.228) maximum 8,33 (0.328) minimum 11,63 (0.458) minimum 9,09 (0.358) maximum 12,65 (0.498) maximum B 8,33 (0.328) minimum 11,63 (0.458) minimum 15,19 (0.598) minimum 9,09 (0.358) maximum 12,65(0.498) maximum 15,82 (0.623) maximum C 744 ± 1,00 (0.293 ± 7,44 ± 0,50 (0.293 ± 7,44 ± 1,00 (0.293 ± 0.039) 0.020) 0.039) D 6,93 (0.252) minimum 6,93 (0.252) minimum 6,93 (0.252) minimum Bảng 3.2 Bảng định nghĩa kích thƣớc vị trí rãnh từ, đơn vị milimet (Inches) Các chuẩn này qui định trên thẻ gồm 3 tracks nhƣng thƣờng chỉ sử dụng track 1 và 2. - Track 1 là track tuân theo chuẩn IATA (International Air Bansport Association). Đây là track chỉ đọc, đƣợc ghi với mật độ cao và cĩ thể chứa cả số lẫn ký tự chữ cái. - Track 2 là track tuân theo chuẩn ABA (America Banker Association). Đây là track chỉ đọc với mật độ ghi thấp và chỉ chứa ký tự số. - Track 3 là track tuân theo chuẩn TTS (Thift Thrid) với mật độ ghi cao, chỉ chứa ký tự số nhƣng cĩ khả năng ghi đè lên thành phần dữ liệu đã cĩ. Thơng tin về các tính chất, mật độ ghi, trên từng Track của thể cĩ thể đƣợc tĩm lƣợc lại nhƣ sau: 18
  21. Số Tính Mật độ Thể Track Độ dài Định dạng mã lượng chất ghi hiện ký tự Chỉ 210 Chữ và Tối đa Mỗi ký tự được tạo bởi 26=64 Track 1 đọc bits/inch số 79 ký 7 bit (6 bit dữ liệu + 1 tự bit kiểm tra chẵn lẻ) Chỉ 75 Số Tối đa Mỗi ký tự được tạo bởi 24=16 Track 2 đọc bits/inch (0 9) 40 ký 5 bit (4 dữ liệu + 1 tự kiểm tra chẵn lẻ) Đọc, 210 Số Tối đa Mỗi ký tự được tạo bởi 24=16 Track 3 ghi đè bits/inch (0 9) 107 ký 5 bit (4 dữ liệu + 1 tự kiểm tra chẵn lẻ) Bảng 3.3 Bảng mơ tả định nghĩa các Track 3.1.2 Cấu trúc của số thẻ Đối với mỗi thẻ khi đƣợc lƣu hành đều cĩ một dãy số xác định đĩ là số PAN – Primary Account Number. Số PAN cịn cĩ thể đƣợc gọi với các tên khác nhƣ số thẻ hoặc số tài khoản chính. 3.1.2.1 Số PAN Số PAN là số định danh duy nhất đối với từng thẻ. Tuân theo chuẩn ISO 7812. 19
  22. ISSUER IDENTIFICATION INDIVIDUAL ACCOUNT CHECK NUMBER (IIN) DIGIT IDENTIFICATION (IAI) (fixed length 6 digits) (variable length, max 12digits MII 12 digits, see ISO 7811-3) PRIMARY ACCOUNT NUMBER (PAN ) Hình 3.5 Cấu trúc số PAN Số PAN cĩ thể lên tới 19 chữ số, hiện tại hầu hết các thẻ từ của các Ngân hàng Việt Nam đều cĩ 16 chữ số. Số PAN gồm 3 thành phần nhƣ sau: 1. IIN – Issuer Identification Number: số định danh đối với nhà phát hành thẻ, IIN cũng đƣợc gọi là số BIN – Bank Identification Number. 2. IAI – Individual Account Identification: số nhận dạng tài khoản chủ thẻ. Các ngân hàng cĩ thể qui định cấu trúc trong trƣờng thơng tin này. 3. CD – Check Digit: Số với ý nghĩa mang tính chất kiểm tra số thẻ này cĩ hợp lệ hay khơng. Số này đƣợc tạo ra từ việc sử dụng giải thuật Luhn. 3.1.2.2 Số IIN (BIN) Mỗi một ngân hàng đều cĩ một số BIN đại diện. Hệ thống đánh số BIN của thẻ tuân theo chuẩn ISO 7812 và ISO 3166. BIN – Bank Identification Number là số dùng để nhận dạng ngân hàng, hay cịn đƣợc gọi là IIN (Issuer Identification Number) số nhận dạng đối với nhà phát hành thẻ. Số BIN cĩ đội dài là 6 chữ số, là một thành phần trong số PAN. 20
  23. ISSUER IDENTIFICATION INDIVIDUAL ACCOUNT CHECK NUMBER (IIN) DIGIT IDENTIFICATION (IAI) (fixed length 6 digits) (variable length, max. MII 12 digits, see ISO 7811-3) PRIMARY ACCOUNT NUMBER (PAN) Số BIN là số dùng để nhận dạng ngân hàng Hình 3.6 Vị trí số BIN Minh họa cách đánh số BIN của một số ngân hàng của Việt Nam Tên các ngân hàng Số BIN Số thẻ - PAN Ngân hàng Nơng nghiệp và Phát triển 272728 272728000000000- Nơng thơn (VBARD) 272728999999999 Ngân hàng Đầu tƣ và Phát triển 668899 668899000000000- (BIDV) 668899999999999 Ngân hàng Cơng thƣơng (ICB) 621060 621060000000000- 621060999999999 Ngân hàng Á Châu (ACB) 999907 999907000000000- 999907999999999 Ngân hàng Sài Gịn Thƣờng Tín 627128 627128000000000- (Sacombank) 627128999999999 Ngân hàng Đơng Á (EAB) 179200 179200000000000- 179200999999999 Ngân hàng Sài Gịn Cơng Thƣơng 161087 161087000000000- (SCICB) 161087999999999 Bảng 3.4 Bảng số Bin của một số ngân hàng. 21
  24. 3.1.3 Định dạng thơng điệp (message) của máy ATM Định dạng thơng điệp là cấu trúc thơng điệp để ATM cĩ thể trao đổi thơng tin với Switch. Thơng điệp đƣợc chia làm 2 loại, loại thơng điêp từ ATM đến Switch và thơng điệp từ Switch đến ATM. Định dạng thơng điệp trong giao dịch tài chính đƣợc sử dụng trong máy ATM thƣờng gồm các loại sau: 91x, NDx và ISOx. Do hiện nay cĩ hai hãng chính về sản xuất máy ATM lớn trên thế giới là Diebold và NCR nên chuẩn 91x, NDx là hai loại định dạng chính đang đƣợc sử dụng. - Thơng điệp chuẩn của hàng Diebold: + 911 +912+ - Thơng điệp chuẩn của hãng NCR: + NDC + NDC+ Cấu trúc chung của thơng điệp nhƣ sau: STX Header Body ETX Trong đĩ: STX – Start of text : Trƣờng khởi đầu của thơng điệp Header : Phần đầu của thơng điệp Body : Phần thân của thơng điệp ETX – End of text : Trƣờng kết thúc của thơng điệp 22
  25. 3.1.3.1 Thơng điệp từ ATM đến Switch Giới thiệu một số định dạng thơng điệp từ ATM đến Switch. 1. Xác thực PIN – PIN Verification (PNV). 2. Rút tiền – Cash Withdrawl (CWD). 3. Đổi PIN – PIN Change (PIN). 4. Vấn tin và in sao kê – Balance Inquiry anh Mini Statement (INQ). 5. Chuyển khoản – Funds Transfer (TFR). 6. Yêu cầu truyền khĩa – Request Tranmission Key (RQK). a. Đầu mục thơng điệp (Message header) Đầu mục này sẽ xuất hiện trong tất cả các thơng điệp đƣợc gửi từ ATM đến Switch 23
  26. Trƣờng Miêu tả Độ Giá trị Ghi chú dài 1 STX- Start Of Text 1 02 Hex 2 Transaction Code Mã giao dịch 3 xxx xxx là mã giao dịch 3 Type 1 Note Status Trạng thái 1 1 0 – 2 Note 1 4 Type 2 Note Status Trạng thái 2 1 0 – 2 Note 1 5 Type 3 Note Status Trạng thái 3 1 0 – 2 Note 1 6 Type 4 Note Status Trạng thái 4 1 0 – 2 Note 1 7 Journal Status Trạng thái nhật ký 1 0 – 2 Note 1 8 Receipt Status Trạng thái in hĩa đơn 1 0 – 2 Note 1 9 Dispenser Status Trạng thái thiết bị trả 1 0 – 2 Note 2 tiền 10 Encryptor status Trạng thái thiết bị mã 1 0 – 2 Note 2 hĩa 11 Card reader status Trạng thái đầu đọc 1 0 – 2 Note 2 thẻ 12 Transaction Số tuần tự giao dịch 6 [999999] Kiểu số Sequence No 13 ATM Status Trạng thái ATM 1 O-Open C-Close 14 ATM Identification Số nhận dạng ATM 8 [99999999] Kiểu số Tổng độ dài 24 Byte 24
  27. Chú ý: 1. Các trạng thái đƣợc định nghĩa 0 - good 1 - low 2 – out 2. Các trạng thái đƣợc định nghĩa 0 - Normal 1 - Missing 2 - Inoperative b. Thơng điệp xác thực pin (PNV) Trƣờng Miêu tả Độ dài Giá trị Ghi chú 1-14 Message Header 24 Mã xử lý: „PNV‟ 15 Track 2 Track 2 của thẻ từ 104 16 Encrypted PIN Khối PIN block đã 16 Block đƣợc mã hĩa 17 ETX Ký hiệu kết thúc 1 03 Số Hex Tổng độ dài 145 Byte 25
  28. c. Thơng điệp rút tiền (CWD) Trƣờng Miêu tả Độ dài Giá trị Ghi chú 1-14 Message Header 24 Mã xử lý: „CWD‟ 15 Track 2 Track 2 của thẻ từ 104 16 Transaction A/C Số tài khoản giao 16 No. dịch 17 Transaction Khối lƣợng giao 8 [99999999] Kiểu số Amount dịch 18 ETX Ký hiệu kết thúc 1 03 Số Hex Tổng độ dài 153 Byte d. Thơng điệp đổi PIN Trƣờng Miêu tả Độ dài Giá trị Ghi chú 1-14 Message Header 24 Mã xử lý: „PIN‟ 15 Track 2 Track 2 của thẻ từ 104 16 Old PIN Block PIN cũ (đã đƣợc mã 16 (Encrypted) hĩa). 17 New PIN Block PIN mới (đã đƣợc 16 (Encrypted) mã hĩa) 18 ETX Ký hiệu kết thúc 1 03 Số Hex Tổng độ dài 161 Byte 26
  29. e. Thơng điệp vấn tin (INQ) Trƣờng Miêu tả Độ dài Giá trị Ghi chú 1-14 Message Header 24 Mã xử lý: „INQ‟ 15 Track 2 Track 2 của thẻ từ 104 16 Transaction A/C No. Số tài khoản giao 16 Giá trị bằng dịch rỗng 17 ETX Ký hiệu kết thúc 1 03 Số Hex Tổng độ dài 145 Byte f. Thơng điệp chuyển khoản (TFR) Trƣờng Miêu tả Độ dài Giá trị Ghi chú 1-14 Message Header 24 Mã xử lý: „INQ‟ 15 Track 2 Track 2 của thẻ từ 104 16 Source Transaction Số tài khoản nguồn 16 Giá trị bằng A/C No. rỗng 17 Destination Số tài khoản đích 16 Transaction A/C No. 18 Transaction Amount. Khối lƣợng giao 8 [99999999] Kiểu số dịch 17 ETX Ký hiệu kết thúc 1 03 Số Hex Tổng độ dài 169 Byte 27
  30. g. Thơng điệp yêu cầu truyền khĩa (RQK) Trƣờng Miêu tả Độ Giá trị Ghi chú dài 1-14 Message Header 24 Mã xử lý: „RQK‟ 15 ATM state Trạng thái ATM 1 C-Cold Strt S-Supervisor 16 ETX Ký hiệu kết thúc 1 03 Số Hex Tổng độ dài 26 Byte 3.1.3.2 Thơng điệp từ Switch đến ATM Giới thiệu một số định dạng thơng điệp từ Switch đến ATM a. Phản hồi chấp nhận xác thực PIN – Accepted Response to PIN Verification (PNV) b. Phản hồi từ chối xác nhận PIN – Rejected Response to PIN Verification (PNV) c. Phản hồi chấp nhận rút tiền – Accepted Response to Cash Withdrawal (CWD) d. Phản hồi từ chối rút tiền – Rejected Response to Cash Withdrawal (CWD) e. Phản hồi chấp nhận đổi PIN – Accepted Response to PIN Change (PIN) f. Phản hồi chấp nhận vấn tin tài khoản và in sao kê – Accepted Response to Balance Inquiry & Mini Statement (INQ) g. Phản hồi chấp nhận chuyển khoản – Accepted Response to Funds Transfer (TFR) a. Phản hồi chấp nhận xác thực PIN – Accepted Response to PIN Verification (PNV) 28
  31. Trƣờng Miêu tả Độ Giá trị Ghi chú dài 1 STX Ký hiệu bắt đầu 1 02 Số Hex 2 TPC 1 66 Số Hex 3 Operating Mode 1 P - Production T – Testing 4 Transaction Date 12 YYYYMMDDH HMM 5 Status 2 00 – Good 01 – Bad 02 – Retained 03 – Force change PIN 6 A/C Ditails 100 Note 1 7 Transaction 6 [999999] Kiểu số sequence No 8 ETX Ký hiệu kết thúc 1 03 Số Hex Tổng độ dài 124 Byte 29
  32. Chú ý: Thơng tin chi tiết của số thẻ (account detail) sẽ đƣợc gửi theo định dạng sau: :Type:A/C number:Type:A/C number:Type:A/C number:Type:A/C number: Cĩ các kiểu tài khoản là CUR= Current; SAV= Saving Ví dụ: :SAV:123456789:SAV:987654312:CUR:456123798: Nếu độ dài nhỏ hơn 100 thì sẽ đƣợc điền thêm số 0 b. Phản hồi từ chối xác nhận PIN – Rejected Response to PIN Verification (PNV) Trƣờng Miêu tả Độ Giá trị Ghi chú dài 1 STX Ký hiệu bắt đầu 1 02 Số Hex 2 TPC 1 47 hoặc 54 Số Hex 3 Operating Mode 1 P - Production T – Testing 4 Transaction Date 12 YYYYMMDD HHMM 5 Reject Code 4 6 Transaction sequence 6 [000000- No 999999] 7 ETX Ký hiệu kết thúc 1 03 Số Hex Tổng độ dài 26 Byte 30
  33. c. Phản hồi chấp nhận rút tiền – Accepted Response to Cash Withdrawal (CWD) Trƣờng Miêu tả Độ Giá trị Ghi chú dài 1 STX Ký hiệu bắt đầu 1 02 Số Hex 2 TPC 1 66 Số Hex 3 Operating Mode Chế độ hoạt động 1 P - Production T – Testing 4 Transaction Date Ngày giao dịch 12 YYYYMMDD HHMM 5 Transaction A/C No. Số tài khoản 16 6 Accepted 1 1-Online 7 Fund Available Giá trị hiện cĩ 15 8 Transaction Amount Khối lƣợng giao 8 dịch 9 Transaction Sequence Số thứ tự giao dịch 6 [000000- No 999999] 10 ETX Ký hiệu kết thúc 1 03 Số Hex Tổng độ dài 62 Byte 31
  34. d. Phản hồi từ chối rút tiền – Rejected Response to Cash Withdrawal (CWD) Trƣờng Miêu tả Độ Giá trị Ghi chú dài 1 STX Ký hiệu bắt đầu 1 02 Số Hex 2 TPC 1 54 Số Hex 3 Operating Mode Chế độ hoạt động 1 P - Production T – Testing 4 Transaction Date Ngày giao dịch 12 YYYYMMDD HHMM 5 Reject Code 4 6 Transaction Sequence Số thứ tự giao 6 [999999] No dịch 7 ETX Ký hiệu kết thúc 1 3 Số Hex Tổng độ dài 24 Byte 32
  35. e. Phản hồi từ chối giao dịch rút tiền do khơng đủ tiền Trƣờng Miêu tả Độ Giá trị Ghi chú dài 1 STX Ký hiệu bắt đầu 1 02 Số Hex 2 TPC 1 55 Số Hex 3 Operating Mode Chế độ hoạt động 1 P - Production T – Testing 4 Transaction Date Ngày giao dịch 12 YYYYMMDD HHMM 5 Reject Code 4 6 Fund Available 15 7 Transaction Số thứ tự giao dịch 6 [999999] Sequence No 8 ETX Ký hiệu kết thúc 1 03 Số Hex Tổng độ dài 24 Byte 33
  36. 3.2. Hệ thống thanh tốn cho thẻ chip 3.2.1 Thẻ chip Thẻ chip – chipcard hay cịn đƣợc gọi là thẻ thơng minh – smart card. Là loại thẻ nhựa cứng, thơng tin về thẻ đƣợc lƣu trên chip nhớ. Thẻ cĩ thể thực hiện đƣợc các giao dịch tự động nhƣ kiểm tra số dƣ, rút tiền, chuyển khoản từ máy rút tiền tự động ATM. 3.2.2 Sự phát triển của thẻ chip Giữa những năm 80, Châu Âu đã triển khai những chiếc thẻ thơng minh đầu tiên, giờ đây phạm vi sử dụng của thẻ thơng minh đã đƣợc mở rộng ra trên tồn thế giới. Thẻ thơng minh cung cấp rất nhiều tính năng vƣợt trội so với thẻ từ truyền thống nhƣ khả năng lƣu trữ lớn, khả năng bảo mật an tồn thơng minh, hỗ trợ nhiều ứng dụng. Hiện nay các tổ chức thẻ quốc tế nhƣ Europay, MasterCard, Visa – EMV đang thúc đẩy việc chuyển đổi từ thẻ từ sang thẻ SmartCard trên phạm vi tồn cầu. Theo EMV từ ngày 1/1/2006, khi tham gia vào hệ thống của các tổ chức này các ngân hàng sẽ phải chuyển đổi sang sử dụng thẻ thơng minh đạt chuẩn EMV. Nếu khơng các ngân hàng sẽ phải chịu tồn bộ rủi ro do gian lận thẻ gây ra. Việc thay đổi từ thẻ từ sang thẻ thơng minh đối với Việt Nam khơng thể diễn ra trong chốc lát. Các thẻ từ cĩ thể tiếp tục đƣợc sử dụng trong nhiều năm nữa. Trong quá trình chuyển đổi, các thiết bị đầu cuối, các mạng thanh tốn và các hệ thống máy chủ phải hỗ trợ cả 2 loại thẻ. Quá trình chuyển dịch địi hỏi các ngân hàng phải thực hiện những thay đổi mang tính hệ thống trên hệ thống phát hành thẻ, hệ thống chuyển mạch tài chính, hệ thống giao dịch đầu cuối ATM/POS vì cơng nghệ phát hành và thanh tốn thẻ thơng minh cĩ sự khác biệt lớn so với cơng nghệ thẻ từ truyền thống, cĩ những thành phần phải đƣợc đầu tƣ nâng cấp nhƣng cũng cĩ những thành phần mới phải đầu tƣ riêng. Sự tốn kém đầu tƣ là khơng nhỏ, vì vậy lý giải tại sao các nƣớc, các ngân hàng chƣa thể đồng loạt chuyển từ sử dụng thẻ từ sang thẻ thơng minh một cách nhanh chĩng đƣợc. 34
  37. Tuy nhiên, vai trị của thẻ từ chỉ đến 1 ngƣỡng nhất định. Khi hệ thống an tồn khơng cịn đảm bảo nữa việc chuyển sang sử dụng thẻ thơng minh là việc làm tất yếu, hợp xu thế. 3.2.3 Tổng quan về thẻ chip Thẻ chip ra đời dựa trên hai nhân tố chính, các thuật tốn mã hĩa mạnh: mã hĩa khĩa cơng khai RSA, mã hĩa khĩa đối xứng 3 DES, hàm băm SHA-1. Chip trên thẻ cĩ thể thực hiện các tính tốn mã hĩa trên dữ liệu. Thuật tốn mã hĩa PIN và thuật tốn dành cho chữ ký số là RSA, hàm băm là SHA-1, MACing và việc mã hĩa các thơng điệp theo từng phiên thì chỉ sử dụng 3DES. Chip trên thẻ đƣợc cập nhật hay lập trình lại một cách an tồn khi đang sử dụng. Ngân hàng thẻ cĩ thể cập nhật các tham số quản lí rủi ro chứa trong một ứng dụng ngân hàng từ xa trong một giao dịch trực tuyến. Các thơng tin lƣu trong thẻ chip gồm: - Dữ liệu cơng khai: thơng tin về CA, chứng chỉ khĩa cơng khai của nhà phát hành thẻ, chứng chỉ khĩa cơng khai của thẻ, chứng chỉ khĩa cơng khai để mã hĩa PIN - Dữ liệu bí mật: khĩa riêng của thẻ, khĩa riêng mã hĩa PIN, khĩa chủ (master key), PIN. 35
  38. Chương 4. VẤN ĐỀ AN TỒN THƠNG TIN TRONG HỆ THỐNG ATM ATM là một phần trong hệ thống mạng khơng tập trung mà nằm phân bố ở các địa điểm khác nhau, do đĩ việc bảo mật và an tồn thơng tin đƣợc đặt lên rất cao. Khơng những bảo mật an tồn trên từng máy ATM mà cịn bảo mật an tồn trong tồn bộ hệ thống mạng. ATM đƣợc coi nhƣ là một máy PC trong hệ thống mạng. Do đĩ, cần cĩ những giải pháp nhằm đảm bảo an tồn khi các giao dịch đƣợc thực hiện. Để đảm bảo an tồn thơng tin giao dịch trong quá trình truyền thơng giữa ATM và Switch, hệ thống sử dụng thiết bị mã hĩa cứng để mã hĩa và giải mã thơng tin. Máy ATM cĩ thiết bị EPP (Encrypting PIN Pad), hệ thống Switch cĩ thiết bị HSM (Hardware Security Module) 4.1 Mã hĩa trong hệ thống ATM 4.1.1 Thuật tốn mã hĩa Trong hệ thống ATM hiện nay thƣờng dùng thuật tốn DES và 3DES để mã hĩa và giải mã dữ liệu. Khĩa đƣợc sử dụng trong thuật tốn cĩ độ dài 64 bit, 128 bit hoặc 192 bit tùy theo cách sử dụng khĩa hoặc chọn mã hĩa DES hay 3DES. 4.1.1.1 Thuật tốn mã hĩa 3DES – Triple DES Thuật tốn 3DES chính là DES, gọi là 3DES bởi vì ngƣời ta dùng liên tiếp ba lần DES với ba khĩa K1, K2, K. Khĩa K đƣợc xây dựng từ bộ ba khĩa 64 bit (K1, K2, K3) cĩ độ dài 3*64 = 192 bit. a. Khi mã hĩa sử dụng K1 mã hĩa, K2 giải mã, K3 mã hĩa. b. Khi giải mã sử dụng K3 giải mã, K2 mã hĩa, K1 giải mã. 4.1.1.2 Xây dựng khĩa K1, K2, K3 a. Key single length (Bộ một khĩa 64 bit) K1= K2= K3 Độ dài khĩa 64 bit b. Key double length (Bộ hai khĩa 64 bit) K1# K2 và K3=K1 36
  39. Độ dài khĩa 128 bit c. Key triple length (Bộ ba khĩa 64 bit) K1# K2# K3# K1 Độ dài khĩa 192 bit Trƣờng hợp này khơng gian khĩa 3*56 = 168 bit 4.1.1.3 Ví dụ Key double length K= 0123456789ABCDEF45678981023EFDCBA0123456789ABCDEF Khi đĩ các khĩa con K1, K2, K3 đƣợc tách nhƣ sau: 0123456789ABCDEF|45678981023EFDCBA|0123456789ABCDEF | | | | 4.1.1.4 Quá trình mã hĩa và giải mã Bản rõ 64bit Bản mã 64bit K1 K3 Mã hĩa DES Giải mã DES Giải mã DES K2 Mã hĩa DES K2 Mã hĩa DES K3 Giải mã DES K1 Bản mã 64bit Bản rõ 64bit Mơ tả quá trình Mơ tả quá trình mã hĩa 3DES giải mã 3DES Hình 4.1 Các bƣớc thực hiện trong quá trình mã hĩa và giải mã 3DES 4.1.2 Khĩa bí mật trong hệ thống ATM Khĩa đƣợc sử dụng trong hệ thống ATM gồm cĩ CVK, PVK, WK, LMK, TMK và đƣợc đảm bảo một số tính chất sau: 37
  40. - Với các khĩa đƣợc lƣu trong EPP và HSM, khi bị xâm nhập một cách bất hợp pháp, khĩa bí mật sẽ tự bị hủy. - Khĩa cĩ độ dài 64 bit, 128 bit hoặc 192 bit tùy theo cách sử dụng khĩa hoặc chọn mã hĩa DES hay 3 DES. Tất cả các khĩa trên đều đƣợc tạo ra trong thiết bị HSM và khĩa LMK phải đƣợc tạo trƣớc tiên cịn các khĩa CVK, PVK, WK, TMK tạo ra sau. Khĩa đƣợc chia ra làm hai loại khi lƣu là lƣu dƣới dạng bản rõ và lƣu dƣới dạng bản mã: - Khĩa LMK và TMK đƣợc lƣu dƣới dạng bản rõ trong các thiết bị tƣơng ứng là HSM và EPP. - Khĩa CVK, PVK, WK, TMK đƣợc lƣu dƣới dạng bản mã trong CSDL của Switch và của ATM. 4.1.2.1 Định nghĩa các khĩa trong hệ thống ATM a. Khĩa LMK- Local Master Keys LMK đƣợc tạo thành trƣớc tiên trong HSM sau đĩ đƣợc lƣu trong HSM và một bản sao đƣợc lƣu trong smartcard. Nếu HSM bị mở ra vì bất cứ lý do gì hay xâm nhập trái phép thì LMK sẽ bị xĩa và phải đƣợc nhập lại vào HSM. Để sinh khĩa LMK và tải vào HSM thì phải cĩ ít nhất 3 thành phần khác nhau dƣới dạng bản rõ (3 clear component khác nhau, trong HSM ta cĩ thể cấu hình khĩa LMK đƣợc sinh ra từ 3 đến 9 thành phần LMK component). Để đảm bảo an tồn thì mỗi thành phần khĩa bản rõ sẽ do mỗi ngƣời giữ. Để tạo ra LMK thì ngƣời ta sử dụng phép XOR (Modulo 2) từ các LMK component. Khĩa LMK cĩ các thơng tin sau: - Khĩa đƣợc lƣu trong HSM dƣới dạng bản “rõ” - Khĩa đƣợc dùng để mã hĩa và giải mã các khĩa CVK, PVK, WK và TMK. - Khĩa này chỉ đƣợc thay đổi khi cĩ yêu cầu. - Khĩa cĩ độ dài 64 bit, 128 bit hoặc 192 bit. 38
  41. b. Khĩa CVK – Card Verification Keys Khĩa CVK đƣợc sinh ngẫu nhiên trong HSM và đƣợc mã hĩa bởi khĩa LMK. Khĩa dùng để sinh số CVV/CVC, để đảm bảo thẻ khơng bị làm giả, khi phát hành ngƣời ta dựa trên các thơng tin về thẻ để sinh số CVV/CVC, số này đƣợc lƣu trên thẻ. Bản mã của khĩa CVK sẽ đƣợc lƣu vào hệ thống Switch. Khơng lƣu bản rõ. Khĩa cĩ độ dài 64 bit, 128 bit hoặc 192 bit. c. Khĩa PVK – PIN Verification Keys Khĩa PVK đƣợc sinh ngẫu nhiên trong HSM và đƣợc mã hĩa bởi khĩa LMK. Khĩa đƣợc dùng để mã hĩa và giải mã số PIN của chủ thẻ, số PIN này đƣợc mã hĩa và lƣu trong CSDL của CoreBank. Bản mã của khĩa PVK sẽ đƣợc lƣu vào hệ thống Switch. Khơng lƣu bản rõ. Khĩa thƣờng khơng thay đổi, nếu thay đổi khĩa thì phải thay đổi tồn bộ số PIN mới cho chủ thẻ. Khĩa cĩ độ dài 64 bit, 128 bit hoặc 192 bit. d. Khĩa WK – Working Keys (hay PIN Encryption Pad) Khĩa WK đƣợc sinh ra ngẫu nhiên trong HSM. Khĩa đƣợc dùng để mã hĩa và giải mã số PIN trong quá trình trao đổi thơng điệp giữa ATM và Switch. Khĩa đƣợc dùng để mã hĩa số PIN tại máy ATM trƣớc khi đƣợc gửi đi và dùng để giải mã số PIN khi nhận về tại Switch. Khĩa đƣợc lƣu dƣới hai bản mã tại Switch và ATM: - Bản mã thứ nhất đƣợc mã hĩa bởi khĩa LMK và lƣu trong CSDL của Switch. - Bản mã thứ hai đƣợc mã hĩa bởi khĩa TMK và lƣu trong CSDL của ATM. 39
  42. Khĩa này đƣợc đồng bộ giữa ATM và Switch thơng qua quá trình trao đổi khĩa. Khĩa đƣợc thay đổi thƣờng xuyên tùy theo yêu cầu của ngân hàng, để đảm bảo an tồn thơng tin giao dịch thơng thƣờng sau mỗi lần thực hiện giao dịch khĩa này sẽ đƣợc thay đổi. Khĩa cĩ độ dài 64 bit, 128 bit hoặc 192 bit. e. Khĩa TMK – Terminal Master Keys Khĩa TMK đƣợc sinh ngẫu nhiên trong HSM và đƣợc mã hĩa bởi khĩa LMK. Khĩa đƣợc sử dụng để giải mã khĩa WK. Khĩa đƣợc lƣu tại hai nơi là tại EPP và Switch: - Tại EPP khĩa đƣợc lƣu dƣới dạng bản rõ. - Tại Switch khĩa đƣợc lƣu trong CSDL dƣới dạng bản mã, mã hĩa bởi LMK. Khĩa này chỉ đƣợc thay đổi khi cĩ yêu cầu, khi thay đổi thì nhân viên kỹ thuật thực hiện. Khĩa cĩ độ dài 64 bit, 128 bit hoặc 192 bit. 4.1.2.2 Sơ đồ phân cấp khĩa trong hệ thống ATM 40
  43. Các khĩa trên đƣợc phân cấp nhƣ sau: LMK TMK CVK PVK WK TMK WK Khĩa LMK dùng để mã hĩa và giải mã các Khĩa TMK dùng để mã hĩa và khĩa CVK,PVK, WK, TMK giải mã khĩa WK Hình 4.3 Phân lớp các khĩa sử dụng trong hệ thống ATM Mơ tả vị trí các khĩa trong hệ thống ATM ATM SWITCH ELMK(CVK): CVK Encrypted ETMK(WK): WK Encrypted ELMK(PVK): PVK Encrypted ELMK(WK): WK Encrypted ELMK(TMK): TMK Encrypted \ TMK clear LMK clear EPP HSM Hình 4.3 Mơ tả vị trí các khĩa trong ATM và Switch - Tại ATM + TMK đƣợc lƣu dƣới dạng bản rõ trong thiết bị EPP + WK đƣợc mã hĩa bởi TMK và lƣu trong CSDL của máy ATM. - Tại Switch + CVK, PVK, WK, TMK đƣợc mã hĩa bởi LMK và lƣu trong CSDL của Switch. 4.1.2.3 Trao đổi khĩa giữa ATM và Switch a. Thiết lập khĩa LMK cho HSM 41
  44. SWITCH LMK clear HSM Hình 4.4 Thiết lập khĩa LMK cho HSM 1. Tạo khĩa LMK ngay trong HSM 2. Lƣu LMK dƣới dạng bản “rõ” trong HSM và một bản dự phịng đƣợc lƣu trong một smartcard (smartcard cũng đƣợc bảo mật). b. Thiết lập khĩa TMK cho EPP ATM SWITCH ELMK(TMK): TMK Encrypted TMK clear LMK clear EPP HSM Hình 4.5 Thiết lập khĩa TMK cho EPP 1. Khĩa TMK đƣợc tạo trong HSM 2. Một bản rõ lƣu tại EPP 3. Một bản mã lƣu tại Switch (đƣợc mã hĩa bởi khĩa LMK) c. Thiết lập các khĩa khác tại Switch SWITCH ELMK(CVK): CVK Encrypted ELMK(PVK): PVK Encrypted ELMK(WK): WK Encrypted ELMK(TMK): TMK Encrypted LMK clear HSM Hình 4.6 Thiết lập các khĩa khác tại Switch 1. Tất cả các khĩa trên đều đƣợc sinh trong HSM và đƣợc mã hĩa bởi khĩa LMK. 2. Các bản mã các khĩa trên đƣợc lƣu trong CSDL của Switch, khơng lƣu bản rõ 42
  45. d. Trao đổi khĩa WK giữa ATM và Switch ATM SWITCH Request Key Response Key Exchange Exchange 4b 4a ETMK(WK): WK Encrypted ELMK(WK): WK Encrypted TMK ELMK(TMK): TMK Encrypted EPP HSM 1 3 En WK clear ETMK(WK) crypt 2b LMK Decrypt TMK clear LMK 2a ELMK(WK) LMK HSM Hình 4.7 Các bƣớc trao đổi khĩa giữa ATM và Switch Khi cĩ yêu cầu trao đổi khĩa WK giữa ATM và Switch thì quá trình đƣợc thực hiện nhƣ sau: 1. HSM tạo bản rõ khĩa WK 2. Bản mã TMK đƣợc giải mã bởi khĩa LMK trong HSM 3. Bản rõ WK sẽ đƣợc mã hĩa bởi khĩa LMK và TMK 4. Bản mã bởi LMK đƣợc lƣu tại Switch, bản mã bởi TMK sẽ đƣợc gửi cho ATM, bản mã này sẽ đƣợc lƣu tại ATM 4.1.3 Thiết bị mã hĩa trong hệ thống ATM Trong hệ thống ATM sử dụng hai thiết bị mã hĩa là EPP và HSM. EPP là thiết bị dùng mã hĩa trên máy ATM, cịn HSM là thiết bị mã hĩa và giải mã của hệ thống Switch, đây là các thiết bị mã hĩa cứng. Thiết bị này nhƣ là một “hộp đen”, tồn bộ quá trình đƣợc thực hiện bên trong ta chỉ cần quan tâm đến giá trị đầu vào và kết quả đầu ra. 43
  46. 4.1.3.1 Thiết bị EPP (Encrypt PIN Pad) Bàn phím để nhập PIN của máy ATM chính là thiết bị mã hĩa, thiết bị này đƣợc gọi là EPP. Đây là thiết bị mã hĩa cứng chuyên dụng, dùng mã hĩa trực tiếp số PIN khi đƣợc nhập vào và kết quả đầu ra là số PIN đã mã hĩa. Số PIN đƣợc mã hĩa ngay khi chủ thẻ nhập đủ độ dài số PIN hoặc gõ enter để kết thúc Hình 4.8 Thiết bị mã hĩa EPP. nhập PIN. Khơng lƣu bất ký bản rõ nào của số PIN chỉ lƣu bản mã. 4.1.3.2 Thiết bị HSM (Hardware Security Module) HSM là thiết bị mã hĩa cứng dùng để mã hĩa và giải mã, đây là một phần của hệ Hình 4.9 Thiết bị mã hĩa HSM. thống Switch. Tồn bộ quá trình mã hĩa, giải mã và so sánh số PIN đều thực hiện bên trong thiết bị HSM. Các thiết bị này đều lƣu trữ các khĩa bí mật và đảm bảo các tính chất sau: + Khơng truy cập hoặc xác định đƣợc bản rõ của bất kỳ khĩa bí mật nào đƣợc lƣu trữ trong thiết bị EPP, HSM một cách bất hợp pháp. + Khi bị xâm nhập một cách bất hợp pháp, khĩa bí mật sẽ tự bị hủy. Với các thiết bị mã hĩa cứng này và cách mã hĩa và giải mã hạn đƣợc những sơ hở ở phía hai đầu (tiền mã hĩa và hậu mã dịch), đây là những sơ hở mà hacker chuyên nghiệp cĩ tổ chức cĩ thể moi thơng tin ngay từ đĩ mà khơng cần “thám mã” nữa. 4.2 Mã hĩa và giải mã số PIN Hệ thống sử dụng thiết bị phần cứng để mã hĩa và giải mã số PIN. Các thiết bị sử dụng bao gồm EPP dùng trong máy ATM và HSM dùng trong hệ thống Switch. Bản rõ của PIN khơng bao giờ đƣợc xuất hiện ngồi EPP hay HSM. 44
  47. 4.2.1 Khái niệm số PIN (Personal Identification Number) Số PIN – số nhận dạng cá nhân hay cịn đƣợc gọi là mã số bí mật của chủ thẻ. Số PIN đƣợc dùng để xác định định danh tài khoản của chủ thẻ. Độ dài tối thiểu của số PIN là 4 chữ số và tối đa là 12 chữ số, hiện nay các ngân hàng ở Việt Nam số PIN cĩ độ dài khơng quá 6 chữ số. 4.2.2 Mã hĩa PIN tại ATM Để đảm bảo độ an tồn của số PIN trong quá trình truyền trên mạng, số PIN sẽ đƣợc chuyển thành khối PIN (PIN Block) và khối PIN này sẽ đƣợc mã hĩa trƣớc khi chuyển từ ATM tới hệ thống Switch. Khối PIN đƣợc mã hĩa bằng khĩa đƣợc cấu hình (thỏa thuận) trƣớc giữa ATM và hệ thống Switch. Thuật tốn DES (3DES) chỉ làm việc với khối dữ liệu đầu vào cĩ độ dài là 64 bit, nên PIN Block đƣợc xây dựng bằng cách module-2 (XOR) hai trƣờng 64 bit theo chuẩn ISO 9564-1 gồm: - Trƣờng số PIN theo khuơn dạng 64 bit - Trƣờng số PAN theo khuơn dạng 64 bit Điều kiện đầu vào và kết quả đầu ra của quá trình mã hĩa số PIN Đầu vào : + Số thẻ - PAN + Số PIN Đầu ra: Khối PIN Block đƣợc mã hĩa bằng thuật tốn DES (3DES) cĩ độ dài 64 bit. Quá trình xác thực PIN sẽ đƣợc làm ở HSM, giá trị trả về của HSM sẽ cho biết số PIN nhập là đúng hay là sai. 4.2.2.1 Khuơn dạng PIN Block 45
  48. Khuơn dạng trƣờng số PIN đƣợc định nghĩa nhƣ sau: Vị trí Bit 1-4 5-8 9-12 13- 17- 21- 25- 29- 33- 37- 41- 45- 49- 53- 57- 61- Giá trị C N P 16P 20P 24P P/F28 P/F32 P/F36 P/F40 P/F44 P/F48 P/F52 P/F56 60F 64F Trong đĩ: Ký hiệu Miêu tả Giá trị C Trƣờng điều khiển 0000 N Chiều dài PIN (4-12) 4 bit với giá trị từ 0100 (4) đến 1100 (12) P Chữ số trong số PIN 4 bit với giá trị từ 0000 (0) đến 1001 (9) P/F Số PIN/Số lấp đầy Trƣờng này đƣợc xác định bởi giá trị N F Số mặc định (Hex) 15 Trƣờng 4 bit giá trị 1111 (15) Khuơn dạng trƣờng số PAN đƣợc định nghĩa nhƣ sau: Vị trí Bít 1-4 5-8 9-12 13- 17- 21- 25- 29- 33- 37- 41- 45- 49- 53- 57- 61- Giá trị 0 0 0 160 A120 A224 A328 A432 A536 A640 A744 A848 A952 A1056 A1160 A1264 46
  49. Trong đĩ: 0 = Pad digit Trƣờng 4 bit cĩ giá trị là 0 (thể hiện dạng nhị phân 0000) A1 A12 = account 12 số bên phải của số PAN ngoại trừ check digit (bỏ number số cuối cùng bên phải). A12 là số đứng trƣớc check A1 đến A12 thuộc [0, ,9] digit của số PAN. Nếu số PAN khơng tính check digit mà nhỏ hơn 12 số thì đƣợc sắp dần vào từ bên phải và đƣợc điền ở bên trái bằng các số Pad digit Ví dụ cho số PIN và số PAN của một thẻ ATM nhƣ sau: Số PIN= 520236 cĩ độ dài là 6 chữ số. Số PAN = 9704366605516492016 cĩ độ dài là 19 chữ số Khuơn dạng trƣờng số PIN: Số điều khiển Các số điền đầy giá trị là “F” hệ Hexa (tƣơng đƣơng số 15 trong hệ thập phân) “0” PIN 0 6 5 2 0 2 3 6 F F F F F F F F Độ dài PIN “5” Hình 4.10 Minh họa khuơn dạng trƣờng số PIN Khuơn dạng trƣờng số PAN: 0 0 0 0 6 6 0 5 5 1 6 4 9 2 0 1 Pad digit PAN Hình 4.11 Minh họa khuơn dạng trƣờng số PAN 47
  50. Khối PIN Block đƣợc tính nhƣ sau: PIN 0 6 5 2 0 2 3 6 F F F F F F F F PAN 0 0 0 0 6 6 0 5 5 1 6 4 9 0 1 6 0 6 5 2 6 4 3 3 A E 9 B 6 F E 9 XOR Hình 4.12 Minh họa cách tính khối PIN Block Khối PIN Block là: 06526433AE9B6FR9 4.2.2.2 Mã hĩa khối PIN Block Khối PIN này đƣợc mã hĩa bởi 3DES trƣớc khi truyền đi, ví dụ với một khố bộ hai (128 bit) sẽ đƣợc dùng để mã hĩa nhƣ sau : A12EAA75BDF2B57F 66A3EEAA67AAE8AA với 64 bit bên trái (key 1) và 64 bit bên phải (key 2) ta cĩ 2 key nhƣ sau: A12EAA75BDF2B57F 66A3EEAA67AAE8AA Sơ đồ dƣới đây mơ tả việc dùng khĩa 3DES bộ hai để mã hĩa và giải mã PIN block: Key 1 Key 2 Hình 4.13 Minh họa các bƣớc mã hĩa và giải mã PIN Block 4.2.3 Xác thực PIN tại HSM Tại HSM để xác thực PIN gồm các quá trình sau: - Giải mã PIN đƣợc nhập vào từ máy ATM đã đƣợc mã hĩa - Giải mã PIN lƣu trong CSDL của CoreBank đã đƣợc mã hĩa 48
  51. - So sánh số PIN đƣợc nhập vào và số PIN đƣợc lƣu trong CSDL - Quá trình xác thực đều đƣợc thực hiện trong thiết bị HSM Kết quả đầu ra sẽ là số PIN nhập vào đúng hay sai. Các bƣớc thực hiện xác thực PIN: Hình 4.14 Quá trình xác thực số PIN giữa ATM và Switch 1. Ngƣời dùng cho thẻ vào ATM và nhập số PIN 2. Thiết bị EPP sẽ tạo PIN Block 3. Giải mã khĩa WK bởi khĩa LMK 4. Mã hĩa PIN Block theo khĩa WK, khối PIN này đƣợc gắn vào thơng điệp và gửi cho Switch 5. Bản mã WK tại Switch đƣợc giải mã bởi khĩa LMK trong HSM 6. Khối PIN Block đƣợc giải mã bởi khĩa WK 7. Bản mã của PVK tại Switch đƣợc giải mã bởi khĩa LMK trong HSM 49
  52. 8. Khối PIN đƣợc lƣu trong CSDL của khách hàng đƣợc giải mã bởi khĩa PVK, sau đĩ đƣợc so sánh với khối PIN Block trong Module PIN Verification 9. Kết quả so sánh sẽ đƣợc gửi lại cho ATM 4.3 Giải pháp bảo mật và đảm bảo an tồn thơng tin trong ATM Đảm bảo an tồn thơng tin trong hệ thống cĩ thể đƣợc chia ra làm 3 lĩnh vực sau: - Đảm bảo an tồn phía Ngân hàng - Đảm bảo an tồn phía Ngƣời dùng - Đảm bảo an tồn cơ sở hạ tầng của hệ thống bao gồm phần cứng, phần mềm và mạng truyền thơng. Dƣới đây là các liệt kê các giải pháp nhằm đảm bảo an tồn thơng tin trong hệ thống. 1. Kiểm tra số thẻ phát hành 2. Kiểm tra tính hợp lệ của thẻ 3. Bảo đảm an tồn các khĩa bí mật 4. Mã hĩa số PIN của chủ thẻ trong CSDL Corebank 5. Mã hĩa số PIN của chủ thẻ khi thực hiện giao dịch 6. Bảo đảm an tồn CSDL 7. Bảo đảm an tồn phần mềm 8. Bảo đảm an tồn hệ điều hành 9. Bảo đảm an tồn trên đƣờng truyền 10. Bảo đảm chống tấn cơng vật lý 11. Bảo đảm an tồn từ phía ngân hàng 12. Bảo đảm an tồn từ phía ngƣời dùng. 4.3.1 Kiểm tra tính đúng đắn số thẻ - Card number Check Digit 4.3.1.1 Định nghĩa số CD – Check Digit Trong quá trình phát hành thẻ, module quản lý thẻ CMS (Card Management System) của hệ thống Switch sẽ tính tốn ra một con số (nằm 50
  53. trong khoảng từ 0 đến 9) và gắn vào cuối thẻ, số này đƣợc gọi là Check Digit (CD), chữ số này để kiểm tra số thẻ này là đúng hay sai. CHECK BIN – BANK Cardholder Account DIGIT IDENTIFICATION NUMBER Number PAN- PRIMARY ACCOUNT NUMBER Hình 4.15 Cấu trúc của số PAN và vị trí số CD Chữ số này trong khoảng 0-9 nên cĩ thể dễ dàng tìm ra đƣợc bằng cách thay đổi chữ số cuối của thẻ với các giá trị lần lƣợt từ 0-9. 4.3.1.2 Giải thuật tính số CD Sử dụng giải thuật Luhn để sinh số CD. Giải thuật Luhn là cách thức kết hợp các chữ số của một mã số thẻ tín dụng (các chữ số xen kẽ nhau) và kiểm tra tổng cuối cùng cĩ chia hết cho 10 hay khơng. Nếu đúng thì thẻ này hợp lệ. Khi kiểm tra PIN nhập vào của thẻ thì hệ thống Swtich sẽ kiểm tra đồng thời số CD. Căn cứ vào thơng tin thẻ, hệ thống tính số CD nếu so khớp thì thẻ hợp lệ. Giải thuật này thực hiện nhƣ sau: 1. Từ các số thẻ cho trƣớc ta làm từ trái qua phải. 2. Các số nằm ở dịng chẵn thì nhân với 1 3. Các số nằm ở dịng lẻ thì nhân với 2 4. Kiểm tra kết quả tính đƣợc, nếu số nào lớn hơn 9 thì trừ đi 9 5. Cộng các kết quả tính đƣợc lại với nhau ta đƣợc một số 6. Thực hiện phép tính lấy số đơn vị của số đĩ cộng với số cần tính để thành 10, khi đĩ giải phép tốn ta đƣợc số CD A. Quy trình tạo số CD Ví dụ: ta cĩ số thẻ nhƣ sau: 118822987654321Y, ta cần sinh số Y sao cho số thẻ là hợp lệ 51
  54. BIN Cardholder Account Number CD PAN 1 1 8 8 2 2 9 8 7 6 5 4 3 2 1 Y Nhân 2 (cột x2 x2 x2 x2 x2 x2 x2 x2 Y Kếtlẻ) quả 2 1 16 8 4 2 18 8 14 6 10 4 6 2 2 Y Trừ 9 nếu > 9 -9 -9 -9 -9 Y Kết quả 2 1 7 8 4 2 9 8 5 6 1 4 6 2 2 Y 2+1+7+8+2+4+9+8+5+6+1+4+6+2+2+Y = 67 + Y Cộng các chữ Giải bài tốn: lấy số hàng đơn vị của 66 cộng với Y cĩ tổng bằng 10. số lại 7+Y=10 => Y=3 Kết quả 1 1 8 8 2 2 9 8 7 6 5 4 3 2 1 3 Bảng 4.16 Cách sinh số CD B. Quy trình kiểm tra số CD Hồn tồn tƣơng tự nhƣ trên, sau khi cộng đƣợc các chữ số lại gồm cả số CD ta đƣợc tổng, nếu tổng này chia hết cho 10 thì số thẻ đĩ hợp lệ. 52
  55. BIN-Bank Cardholder Account Number Check Identification Number Digit PAN 1 1 8 8 2 2 9 8 7 6 5 4 3 2 1 3 Nhân 2 (cột x2 x2 x2 x2 x2 x2 x2 x2 Kếtlẻ) quả 2 1 16 8 4 2 18 8 14 6 10 4 6 2 2 3 Trừ 9 nếu > -9 -9 -9 -9 3 Kết9 quả 2 1 7 8 4 2 9 8 5 6 1 4 6 2 2 3 Cộng các 2 + 1 + 7 + 8 + 2 + 4 + 9 + 8 + 5 + 6 +1 + 4 + 6 + 2 + 2 + 3 = 70 chữ số lại Giải bài tốn: 70 mod 10 = 0 Kết quả Số thẻ hợp lệ Bảng 4.17 Cách kiểm tra số CD 4.3.2 Xác thực tính hợp lệ của thẻ - Card Authentiocation values 4.3.2.1 Định nghĩa số CVV/CVC Khi phát hành thẻ để đảm bảo thẻ khơng bị làm giả, ngƣời ta sử dụng số CVV/CVC (Card Verification/ Card Verification Code) để phân biệt thẻ thật thẻ giả. Mỗi một loại thẻ khi phát hành sẽ cĩ một số CVV/CVC đƣợc lƣu trong rãnh từ, để sinh số này ngƣời ta sử dụng các điều kiện đầu vào bao gồm số thẻ PAN, ngày hết hạn thẻ Card expiration date và mã dịch vụ service code. Các giá trị đầu vào là duy nhất do đĩ mỗi thẻ chỉ cĩ một số CVV/CVC duy nhất. Khi kiểm tra PIN nhập vào của chủ thẻ thì hệ thống Switch sẽ kiểm tra đồng thời số CVV/CVC. Căn cứ vào thơng tin thẻ, hệ thống tính số CVV/CVC và so khớp với số CVV/CVC đƣợc lƣu trong thẻ, nếu khớp thì thẻ hợp lệ. Giải thuật sinh số CVV/CVC: Sử dụng thuật tốn DES với độ dài khĩa bí mật 64 bit 53
  56. Input: chuỗi 64 bit hay 16 bit ký tự hexa đƣợc gọi Transformed Security Parameter (TSP), TSP tính từ số thẻ PAN, ngày hết hạn thẻ card expiration date (YYMM) và mã dịch vụ service code Output: 16 ký tự hexa (64 bit) a. Cách tạo số TSP TSP cĩ định dạng gồm 9 chữ số tính từ bên phải của số PAN loại trừ số cuối cùng cộng với 4 số Exp date cộng với 3 số Service code PAN: 2244661234567890 Exp date: 1012 Service code: 101 TSP = 1234567891012101 b. Cách tính số CVV/CVC Ba số CVV/CVC đƣợc tính nhƣ sau: - Từ dãy số 16 ký tự hexa kết quả đầu ra ta đi từ trái qua phải, khi đĩ CVV/CVC là 3 số thập phân đầu tiên trong dãy số 16 ký tự hexa. - Nếu khơng tìm đƣợc đủ 3 số thập phân trong đĩ thì số cịn thiếu sẽ sử dụng là các số khơng phải số thập phân tính từ trái qua và chuyển sang số thập phân theo cơng thức A-> 0; B-> 1; C-> 2; D-> 3; E-> 4; F-> 5. Ví dụ: output from DES: 0FAB9CDEFFEFDCBA =>> CVV/CVC là 095 4.3.2.2 Xác thực số CVV/CVC Quá trình xác thực này diễn ra cùng với quá trình xác thực PIN của chủ thẻ và đƣợc mơ tả bên dƣới 54
  57. Hình 4.18 Quá trình xác thực số CVV/CVC giữa ATM và Switch a. Khi thực hiện xác thực PIN, thì đồng thời các thơng tin của thẻ là Track 2 sẽ đƣợc gửi đến Switch. Thơng tin để xác thực bao gồm số PAN, ngày hết hạn thẻ Expire date, mã dịch vụ Service code và số CVV/CVC. b. Bản mã của khĩa CVK tại Switch đƣợc giải mã bởi khĩa LMK trong HSM c. Sử dụng khĩa CVK trong thuật tốn DES để sinh số CVV/CVC. Kiểm tra số CVV/CVC đƣợc sinh ra với số CVV/CVC đƣợc gửi đến d. Kết quả kiểm tra đƣợc gửi trả lại cho ATM 4.3.3 Bảo đảm an tồn thơng tin giao dịch + Bảo mật số PIN + Bảo đảm an tồn các khĩa bí mật trong hệ thống ATM Để đảm bảo an tồn thơng tin khi giao dịch trên ATM số PIN sẽ đƣợc mã hĩa trƣớc khi thực hiện giao dịch Số PIN của chủ thẻ đƣợc lƣu trong CSDL Corebank 55
  58. Khơng truy cập hoặc xác định đƣợc bản rõ của bất ký khĩa bí mật nào đƣợc lƣu trữ trong thiết bị EPP, HSM một cách bất hợp pháp Khi bị xâm nhập một cách bất hợp pháp, khĩa bí mật sẽ tự hủy Khĩa cĩ độ dài 64 bit, 128 bit hoặc 192 bit tùy theo cách sử dụng khĩa hoặc chọn mã hĩa DES hay 3 DES Quá trình xác thực PIN đƣợc thực hiện theo mơ hình sau: Tạo PIN Xác thực Giải mã PIN Block và mã Block theo khĩa số PIN bí mật hĩa PIN Block (Thực hiện tại theo khĩa bí thiết bị HSM) mật (Thực hiện tại So sánh PIN thiết bị EPP) trong CSDL Corebank và Lƣu PIN Block PIN khi giao vào buffer của dịch (Thực hiện tại HSM) ATM Từ chối / Chấp nhận HSM ATM EPP SWITCH Hình 4.19 Quy trình mã hĩa và xác thực PIN Bƣớc 1: Chủ thẻ đƣa thẻ và nhập PIN tại máy ATM Bƣớc 2: Tạo và mã hĩa PIN Block bằng thuật tốn DES(3DES) tại EPP Bƣớc 3: Lƣu PIN Block vào bộ đệm của ATM Bƣớc 4: Giải mã PIN Block tại HSM Bƣớc 5: So sánh PIN trong CSDL của chủ thẻ và PIN của giao dịch tại HSM Bƣớc 6: Kết quả phản hồi cho máy ATM là từ chối hay chấp nhận giao dịch 4.3.4 Bảo đảm an tồn phần mềm ATM Đảm bảo phần mềm cài đặt cĩ bản quyền và khơng cài đặt các phần mềm khơng cho phép Đảm bảo an tồn mật khẩu truy nhập vào phần mềm 56
  59. 4.3.5 Bảo đảm an tồn hệ điều hành Để đảm bảo an tồn cho hệ điều hành ta cần thực hiện một số nội dung sau. Vì hệ điều hành trong máy ATM đƣợc sử dụng ở đây về nguyên lý là một hệ điều hành thơng thƣờng nên ta cần bảo đảm sự an tồn theo nhƣ khuyến cáo của nhà sản xuất. - Tắt các service khơng dùng - Đĩng các cổng khơng dùng - Thiết lập Firewall cho máy ATM 4.3.6 Bảo đảm an tồn chống tấn cơng vật lý ATM đƣợc bảo vệ bằng vỏ thép, các hộp đựng tiền đƣợc đặt trong một tủ mà đƣợc gọi là két sắt. Két sắt gồm cĩ khĩa số và khĩa chìa để đảm bảo an tồn. ATM cịn sử dụng cơ chế phát hiện rung, khi đĩ hệ thống chuơng sẽ rung để thơng báo ATM bị tấn cơng. ATM cĩ hệ thơng phun mực vào các tờ tiền khi các hộp đựng tiền bị xâm nhập trái phép. ATM cĩ hệ thống camera giám sát 4.3.7 Bảo đảm an tồn từ phía ngân hàng Thiết lập các danh sách thẻ nĩng, thẻ đen để hạn chế sự gian lận của tội phạm Phân quyền và kiểm sốt truy cập đến tài nguyên của hệ thống, sao cho thơng tin khơng bị lộ với ngƣời khơng đƣợc phép, thơng tin sẵn sàng cho ngƣời dùng hợp pháp. 4.3.8 Bảo đảm an tồn từ phía ngƣời dùng Một trong những cái khĩ ở đây chính là bản thân chủ thẻ cũng khơng biết mình bị mất cắp tài khoản, chỉ đến khi kiểm tra số dƣ mới thấy ngh ngờ. Cịn bản thân ngân hàng thì cũng khơng thể nắm rõ đâu là giao dịch của chủ thẻ, đâu là của tội phạm. Vì thế, sự cảnh giác của các chủ thẻ là vơ cùng quan trọng và chính khách hàng là ngƣời đảm bảo an tồn cho những thơng tin giao dịch của mình. 57
  60. Khi thơng tin về thẻ bị lộ, ngay lập tức thơng báo cho phía ngân hàng để ngân hàng khĩa thẻ và kiểm tra giao dịch nghi vấn liên quan đến thẻ. Chủ thẻ cần phải chú ý những trị gian lận ATM nhƣ sau: 4.3.8.1 Lấy cắp thẻ và số PIN Bƣớc đầu tiên, bọn tội phạm sẽ lắp vào khe đọc thẻ của một máy một miến nhựa cĩ khả năng giữ thẻ và ngăn máy thả ra. Khi đĩ chủ thẻ sẽ nghĩ mình thao tác nhầm và bị máy nuốt thẻ, chứ khơng chú ý xem khe đọc thẻ cĩ gì bất thƣờng khơng. Khi đĩ kẻ gian lại gần chúng sẽ “tƣ vấn” chủ thẻ nên nhập lại số PIN để lấy lại thẻ và theo dõi. Tất nhiên việc nhập lại số PIN chả giúp gì cho chủ thẻ cả nhƣng lại là cơ hội để kẻ gian biết đƣợc mật mã truy cập vào tài khoản thẻ của nạn nhân. Khi chủ thẻ thất vọng bỏ đi, kẻ gian sẽ ở lại lấy thẻ ra, rồi dùng PIN vừa nhìn trộm đƣợc để truy cập vào tài khoản và rút tiền. 4.3.8.3 Trộm dữ liệu Đây là cách ăn cắp thơng tin tài khoản và PIN mà khơng cần tiếp cận trực tiếp với chủ thẻ. Thơng thƣờng, bọn tội phạm cài thêm một thiết bị đọc dữ liệu vào khe đọc của ATM Khi chủ thẻ thực hiện giao dịch, tồn bộ thơng tin trên thẻ đã đƣợc lƣu giữ lại trong thiết bị đọc thẻ mà bọn tội phạm cài vào. Khi nạn nhân ra đi, bọn tội phạm sẽ lấy thiết bị ra, sử dụng các thơng tin vừa chơm đƣợc để làm thẻ giả hoặc mua hàng qua mạng, qua điện thoại. 4.3.8.4 Trộm dữ liệu bằng camera Bọn tội phạm vẫn lắp đặt thiết bị đọc thẻ vào máy nhƣ trƣớc, nhƣng chúng cĩ thể lấy dữ liệu về tài khoản và số PIN từ xa nhờ một chiếc camera mà chúng lắp kín tại máy ATM. Camera thƣờng đặt kín đáo, một vị trí cĩ thể ghi hình tồn bộ các thao tác của chủ thẻ cũng nhƣ lƣu giữ dữ liệu. 4.3.8.5 Nhìn trộm qua vai Bọn tội phạm cĩ thể đứng gần ATM, theo dõi quá trình bạn thao tác trên máy. Để tránh loại tội phạm này, phần lớn ngƣời tiêu dùng đều cảnh giác che bàn phím khi nhập mã số. Việc ăn cắp dữ liệu rất thơ sơ, song rất dễ thực hiện vì khơng phải chủ thẻ nào cũng thận trọng mỗi khi giao dịch trên 58
  61. máy. Bọn tội phạm sẽ đứng nấp gần ATM và theo dõi chủ thẻ khi họ nhập PIN. Sau đĩ, chúng sẽ tìm cách làm chủ thẻ mất tập trung, chẳng hạn hét lên hoặc đánh rơi tiền và hỏi đĩ là tiền của ai. Trong lúc chủ thẻ sao nhãng, kẻ gian liền cuỗm thẻ của chủ thẻ. 4.4 Nhận xét Qua nghiên cứu các hoạt động và bảo mật thơng tin của hệ thống thanh tốn tự động ATM đã đƣợc trình bày ở các chƣơng trên, thì việc bảo mật CSDL, bảo mật thơng tin trên đƣờng truyền và bảo mật mã PIN là quan trọng nhất, ngồi ra bảo mật hệ thống cũng đĩng vai trị quan trọng. Với các giải pháp về an tồn và bảo mật cho hệ thống ATM đã đƣợc nêu thì hệ thống ATM an tồn cho ngƣời sử dụng Về phía ngƣời sử dụng, cần cĩ ý thức hơn trong việc đảm bảo an tồn đối với các thẻ ATM của mình đĩ là giữ tuyệt đối an tồn cho số PIN, thẻ ATM và đảm bảo an tồn khi giao dịch Đối với Việt Nam hiện nay thẻ từ đang phổ biến, nhƣng do mức độ an tồn của thẻ từ là khơng cao (dễ bị làm giả, sao chép) do đĩ xu thế trong tƣơng lai thẻ chip sẽ thay thế thẻ từ. 59
  62. Chương 5. CHƢƠNG TRÌNH THỰC HIỆN MÃ HĨA VÀ GIẢI MÃ VỚI HỆ MÃ DES 5.1. Giới thiệu về chƣơng trình Chƣơng trình thực hiện mã hĩa và giải mã với hệ mã DES đƣợc viết bằng ngơn ngữ lập trình VB.net Cấu hình: Phần cứng (tối thiểu): Ổ cứng: 10gb Ram: 256mb CPU: 2.0GHz Hệ điều hành: Window XP, Window 7 5.2 Các chức năng chính 5.2.1 Giao diện chính của chƣơng trình 60
  63. 5.2.2 Quá trình lập mã Bƣớc 1: Nhập chuỗi cần mã hĩa Bƣớc 2: Nhập khĩa K gồm 8 ký tự Bƣớc 3: Click nút khởi tạo khĩa để tạo dãy khĩa Bƣớc 4: Click nút mã hĩa để bắt đầu lập mã 5.2.3 Quá trình giải mã Bƣớc 1: Nhập chuỗi cần giải mã 61
  64. Bƣớc 2: Nhập khĩa K gồm 8 ký tự Bƣớc 3: Click nút khởi tạo khĩa để tạo dãy khĩa Bƣớc 4: Click nút giải mã để bắt đầu giải mã 62
  65. KẾT LUẬN Trong đồ án em đã tìm hiểu tổng quan về máy ATM, cấu trúc của máy ATM, hệ thống thanh tốn máy ATM. Trong đĩ, em tập trung tìm hiểu về thẻ từ, vấn đề an tồn thơng tin cho hệ thống ATM: mã hĩa, giải mã số PIN, thuật tốn dùng để mã hĩa thơng tin, mã hĩa, giải mã thơng tin truyền và lƣu trong hệ thống ATM Mặc dù ở nƣớc ta, chủ yếu các Ngân hàng đang sử dụng thẻ từ, nhƣng tƣơng lai khơng xa thẻ từ sẽ bị thay thế bởi thẻ chip. Do đĩ đáng ra ngay từ bây giờ chúng ta phải nghiên cứu sâu hơn về thẻ chip nhƣng do tài liệu về thẻ chip bằng tiếng Việt quá ít nếu cĩ chủ yếu là tài liệu tiếng Anh, nên trong báo cáo luận văn của em, em chƣa tìm hiểu đƣợc nhiều về thẻ chip. Cĩ lẽ đây cũng là một nhƣợc điểm trong đề tài luận văn của em. Ngồi ra, do trình độ hạn chế và thời gian cĩ hạn, tài liệu khơng cĩ nhiều nên trong đồ án của em cịn nhiều thiếu sĩt, em mong sự chỉ bảo của các thầy, cơ để đồ án của em đƣợc hồn thiện hơn. Em xin chân thành cảm ơn các thầy, cơ đặc biệt là thầy Hồ Văn Canh và các bạn cùng lớp đã tạo điều kiện giúp em hồn thành đồ án. 6 3
  66. TÀI LIỆU THAM KHẢO Tiếng Việt 1. Báo tin học và Tài chính – Bộ tài chính, Sự hình thành và phát triển của máy ATM số 58 (4/2008) 2. Banknetvn (2006), tài liệu tiêu chuẩn kỹ thuật về hệ thống Switch 3. Bách khoa tồn thƣ mở Wikipedia, Hệ mã hĩa DES 4. DIEBOLD (2007), Tài liệu giới thiệu hệ thống ATM 5. Hiệp hội ngân hàng Việt Nam, 10 năm phát triển của thị trƣờng thẻ đƣợc lấy về tại: 4&Itemid=92. 6. Hồ Văn Canh (2003), Tài liệu giảng dạy về an tồn bảo mật thơng tin. 7. Trịnh Nhật Tiến (2007), Tài liệu giảng dạy về mật mã và an tồn thơng tin 8. Hồ Văn Canh, Nguyễn Viết Thế (2010), Nhập mơn phân tích thơng tin cĩ bảo mật, NXB thơng tin và truyền thơng Tiếng Anh 9. ISO 8583-1987 MessFormat. 10. ISO_IEC_7810_2003(E)-Identification cards-Physical characteristics. 11. ISO_IEC_7811-1_2002(E)-Identification cards-Recording technique-Part 1-Embossing. 12. ISO_IEC_7812-1_2000(E)-Identification cards-Identification of issuers- Part 1-Numbering system. 13. ISO_IEC_7813_2001(E)-Identification cards-Financial transaction cards. 64