ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ PHẠM HUY NAM MỘT SỐ GIẢI PHÁP HẠN CHẾ RỦI RO TRONG THANH TOÁN THẺ LUẬN VĂN THẠC SĨ Hà nội – 12/2007 TIEU LUAN MOI download : skknchat@gmail.com MỤC LỤC MỤC LỤC LỜI CẢM ƠN CÁC TỪ VIẾT TẮT MỞ ĐẦU Chương 1: TỔNG QUAN VỀ CÔNG NGHỆ THẺ TỪ 1.1 THẺ TỪ VÀ GIAO DỊCH VỚI THẺ TỪ 1.1.1 Thẻ từ 1.1.2 Thẻ toán 1.2.3 Mạng tốn gói tin trao đổi 18 1.2 CÁC LOẠI RỦI RO TRONG SỬ DỤNG THẺ THANH TOÁN 28 1.2.1 Rủi ro phát hành 28 1.2.2 Rủi ro hoạt động toán 30 1.2.3 Rủi ro kỹ thuật 31 1.2.4 Giải pháp khắc phục rủi ro dùng thẻ 32 Chương 2: CÔNG NGHỆ THẺ EMV 33 2.1 TỔNG QUAN VỀ THẺ THÔNG MINH 33 2.1.1 Khái niệm thẻ thông minh 33 2.1.2 Phân loại thẻ thông minh 33 2.1.3 Phần cứng thẻ thông minh 34 2.1.4 Hệ điều hành thẻ thông minh 35 2.1.5 Truyền liệu thẻ thông minh 35 2.1.6 Các chuẩn thẻ thông minh 39 2.1.7 Ứng dụng thẻ thông minh 39 2.2 VẤN ĐỀ BẢO MẬT TRONG THẺ THÔNG MINH 40 2.2.1 Các phương pháp 41 2.2.2 Những biện pháp bảo vệ 46 2.3 TỔNG QUAN VỀ THẺ EMV 49 2.3.1 Giới thiệu thẻ EMV 49 2.3.2 Thành phần liệu thẻ EMV 50 Chương 3: CHỨNG CHỈ SỬ DỤNG VỚI THẺ EMV 58 3.1 GIỚI THIỆU CHỨNG CHỈ DÙNG VỚI THẺ EMV 58 3.1.1 Các loại chứng dùng với thẻ EMV 58 3.1.2 Kỹ thuật ký số mã hóa dùng với chứng 58 3.1.3 Chứng cho thực thể liên quan 59 3.1.4 Chứng thực sử dụng với thẻ EMV 62 3.2 CHỨNG CHỈ KHĨA CƠNG KHAI CỦA THẺ EMV 64 3.2.1 Tạo lập chứng khóa cơng khai thẻ EMV 64 3.2.2 Kiểm tra chứng thẻ EMV 68 3.3 XÁC THỰC DỮ LIỆU ỨNG DỤNG TĨNH 73 3.3.1 Tạo lập liệu ứng dụng tĩnh 73 3.3.2 Xác thực liệu ứng dụng tĩnh ký 77 Chương 4: XỬ LÝ GIAO DỊCH THẺ EMV 78 TIEU LUAN MOI download : skknchat@gmail.com 4.1 TỔNG QUAN VỀ GIAO DỊCH VỚI THẺ EMV 78 4.1.1 Sơ đồ giao dịch với thẻ EMV 78 4.1.2 Giao dịch toán với thẻ EMV 80 4.2 XỬ LÝ ỨNG DỤNG 82 4.2.1 Khái niệm 83 4.2.2 Xử lý ứng dụng 85 4.3 ĐỌC DỮ LIỆU CỦA ỨNG DỤNG 86 4.3.1 Khái niệm 86 4.3.2 Xử lý liệu AFL 87 4.3.3 Quy tắc đồng cho liệu 88 4.4 XÁC THỰC DỮ LIỆU NGOẠI TUYẾN 90 4.4.1 Khái niệm 90 4.4.2 Lựa chọn kỹ thuật xác thực ngoại tuyến 91 4.4.3 SDA ngoại tuyến 93 4.4.4 Xác thực liệu động ngoại tuyến – offline DDA 97 4.5 NHỮNG HẠN CHẾ TRONG XỬ LÝ 107 4.5.2 Kiểm soát sử dụng ứng dụng 108 4.5.3 Kiểm tra ngày hết hạn/ngày hiệu lực ứng dụng 111 4.6 KIỂM TRA CHỦ THẺ 111 4.6.1 Những kỹ thuật kiểm tra chủ thẻ EMV 111 4.6.2 Những đối tượng liệu có liên quan kỹ thuật kiểm tra chủ thẻ 113 4.6.3 Xử lý phổ biến thực thiết bị đọc 116 4.6.4 Xử lý PIN ngoại tuyến 119 4.6.5 Phong bì số RSA chứa PIN 124 4.6.6 Xử lý PIN trực tiếp 128 4.7 QUẢN LÝ RỦI RO TRONG THIẾT BI ĐẦU CUỐI 129 4.7.1 Hạn mức sàn thiết bị đọc 130 4.7.2 Lựa chọn giao dịch ngẫu nhiên 131 4.7.3 Kiểm tra nhanh (Velocity checking) 134 4.8 PHÂN TÍCH HOẠT ĐỘNG CỦA THIẾT BỊ ĐẦU CUỐI 136 4.8.1 Mã hoạt động sách bảo mật 136 4.8.2 Đề xuất thiết bị đọc định thẻ 139 4.8.3 Từ chối giao dịch ngoại tuyến 141 4.8.4 Truyền giao dịch trực tuyến 142 4.8.5 Hoạt động mặc định giao dịch 144 4.8.6 Tính tốn mã hóa ứng dụng với lệnh GENERATE AC 145 4.9 XÁC THỰC CỦA NHPH VÀ XỬ LÝ TRỰC TUYẾN 155 4.9.1 Yêu cầu phản hồi xác thực với liệu chip 156 4.9.2 Xác thực NHPH 159 4.10 NHỮNG KỊCH BẢN (SCRIPTS) CỦA NHPH 160 4.10.1 Việc xử lý mẫu kịch NHPH 160 4.10.2 Những lệnh sau phát hành 162 KẾT LUẬN 163 TÀI LIỆU THAM KHẢO 165 TIEU LUAN MOI download : skknchat@gmail.com CÁC TỪ VIẾT TẮT Từ viết tắt ATR Acquirer ADF AEF AES AFL AID AIP Amex APDU ATM CA C-APDU CCD CLA DES DF DOL E EDC EEPROM EF EMV I ICC IIN INS ISO ISSUER MAC Tiếng Anh Answer To Reset NHTT Application Definition Files Application Elementary Files Advanced Encryption Standard Application File Locator Application Identifier Application Interchange Profile American Express Application Protocol Data Units Automatic Teller Machine Certification Authorities Command - Application Protocol Data Units Crypto check digits Class Data Encryption Standard Dedicated File Data Object List Entity Electrolic Data Capture Electrically Erasable Programmable Read Only Memory Elementary File Europay Mastercard Visacard Issuer Intergrated Circuit Card Identification Number Instruction International Standards Organization NHPH Message Authentication Codes Tiếng Việt Trả lời để khẳng định lại Ngân hàng toán Những file định nghĩa ứng dụng Những file ứng dụng Chuẩn mã hoá tiên tiến Ranh giới file ứng dụng Định danh ứng dụng Hồ sơ trao đổi ứng dụng Thẻ Amex Đơn vị liệu giao thức ứng dụng Máy rút tiền tự động Chứng thực APDU lệnh Mã hóa kiểm tra số ―Lớp‖ thị Chuẩn mã hoá liệu Thư mục chuyên dụng Danh sách đối tượng liệu Thực thể Máy tốn thẻ tự động Bộ nhớ ghi tín hiệu điện file Cơng nghệ thẻ ƯMV Ngân hàng phát hành Thẻ mạch tích hợp Số định danh ―Mã‖ thị Hiệp hội tiêu chuẩn quốc tế Ngân hàng phát hành Mã xác thực thông điệp TIEU LUAN MOI download : skknchat@gmail.com Merchant MF MMU PDOL PE PIN POS RA RAM R-APDU RE RID ROM SA SE SM SP TPDU TSI TVR ĐVCNT Master file Memory Management Unit Processing Options Data Object List PIN encipherment Personal Identification Number Point Of Service Receiver Application Random Access Memory Response - Application Protocol Data Units Receiver Entity Registered Application Provider Identifier Read Only Memory Send Application Send Entity Secure Message Secure Packet Transportation Protocol Data Units Transaction Status Information Terminal Verification Results Đơn vị chấp nhận thẻ Thư mục gốc Đơn vị quản lý nhớ Danh sách đối tượng liệu tùy chọn xử lý Mã hóa PIN Số bảo mật cá nhân Điểm bán hàng Ứng dụng nhận Bộ nhớ truy cập ngẫu nhiên APDU phản hồi Thực thể nhận Định danh nhà cung cấp ứng dụng đăng ký Bộ nhớ cho phép đọc Ứng dụng gửi Thực thể gửi Thông điệp bảo mật Gói tin bảo mật Đơn vị liệu giao thức truyền thông Thanh ghi trạng thái giao dịch Thanh ghi lưu kết kiểm tra thiết bị đọc TIEU LUAN MOI download : skknchat@gmail.com MỞ ĐẦU Thẻ ngân hàng phương tiện tốn khơng dùng tiền mặt, đời từ phương thức mua bán chịu hàng hoá bán lẻ phát triển gắn liền với ứng dụng công nghệ thông tin lĩnh vực ngân hàng Trong thẻ ngân hàng sử dụng phổ biến giới thị trường Việt Nam thu hút quan tâm, đầu tư ngân hàng thương mại nước vài năm trở lại Cùng với nhịp phát triển sôi động thị trường, hàng ngày qua phương tiện thông tin, người dân tiếp cận với nhiều thông tin thẻ, đặc biệt thông tin liên quan đến rủi ro phát sinh trình sử dụng thẻ Theo thống kê tổ chức thẻ quốc tế Visa, năm 2004, giá trị giả mạo thẻ Visa ngân hàng thương mại Việt Nam lĩnh vực phát hành lên tới 100.000 USD, tăng 34 % so với năm 2003, lĩnh vực toán thẻ 381.000 USD Tỷ lệ giả mạo phát hành toán thẻ ngân hàng thương mại Việt Nam thường xuyên cao tỷ lệ trung bình giới Theo khuyến cáo tổ chức thẻ quốc tế, sau phủ nước khu vực Thái Lan, Malayxia, Singapore áp dụng biện pháp quản lý chặt chẽ hoạt động kinh doanh thẻ tổ chức tội phạm thẻ bắt đầu chuyển hướng sang thị trường khu vực có Việt Nam Ở Việt nam hầu hết NHPH thẻ sử dụng công nghệ thẻ từ, lưu trữ liệu dải băng từ thẻ Công nghệ lạc hậu giới nhược điểm dễ bị ăn cắp thông tin, dễ bị làm giả, dễ bị nhiễu thông tin tiếp xúc với mơi trường từ tính Cơng nghệ thẻ từ cải tiến mạnh nhiều năm qua để tăng cường khả chống lại hoạt động tội phạm thẻ Mặc dù vậy, công nghệ phát triển đến đỉnh điểm khó có phương pháp chống gian lận hữu hiệu áp dụng cho chúng Đứng trước tình hình đó, tổ chức phát hành thẻ giới buộc phải tìm kiếm giải pháp mới, sử dụng loại thẻ EMV (hay gọi thẻ thông minh) thay cho loại thẻ từ thông dụng Thẻ EMV có khả lưu trữ xử lý liệu nhiều hơn, an tồn khó làm giả Tính an tồn thẻ EMV giảm rủi ro giả mạo cho đơn vị chấp nhận thẻ, cho NHPH TIEU LUAN MOI download : skknchat@gmail.com Chương 1: TỔNG QUAN VỀ CÔNG NGHỆ THẺ TỪ Tại Việt nam có khoảng 30 ngân hàng phát hành toán thẻ ghi nợ nội địa, số ngân hàng phát hành thẻ toán ghi nợ quốc tế thẻ toán tín dụng quốc tế Hầu hết ngân hàng sử dụng công nghệ thẻ từ để phát hành thẻ, cơng nghệ lạc hậu có nhiều hạn chế tính bảo mật kém, khả lưu trữ liệu thấp, khơng có khả xử lý liệu linh hoạt có nhiều rủi ro từ cơng nghệ Vậy thẻ từ rủi ro hay gặp với thẻ từ? 1.1 THẺ TỪ VÀ GIAO DỊCH VỚI THẺ TỪ 1.1.1 Thẻ từ 1.1.1.1 Khái niệm thẻ từ Thẻ từ thẻ nhựa có gắn dải băng từ mặt sau thẻ Dải băng từ có từ tính thiết bị đọc ghi thẻ thay đổi nội dung liệu thẻ Dải băng từ dùng để lưu trữ thông tin chủ thẻ Thẻ từ chiếm phần lớn tổng số lượng thẻ sử dụng thị trường 1.1.1.2 Cấu trúc thẻ từ Dải băng từ [15] mặt sau thẻ có kích thước 8.5 x 1.2 cm Dữ liệu mã hóa ghi lại rãnh (track) băng từ mặt sau thẻ Dữ liệu tuân thủ theo chuẩn ISO 7811-2 Dải băng từ có ba rãnh (track) chứa thơng tin Mỗi rãnh có độ rộng 1/10 inch 1) Rãnh (track 1) Được phát triển Hiệp hội hàng khơng quốc tế (IATA) Rãnh có mật độ liệu 210 bit/inch lưu trữ tối đa 79 ký tự Rãnh bao gồm thông tin số thẻ, tên chủ thẻ, ngày hiệu lực, thông tin bổ sung SS FC PAN FS Name FS Additional Data ES LRC TIEU LUAN MOI download : skknchat@gmail.com Ký hiệu SS FC PAN FS Name ES LRC Tiếng Anh Diễn giải Byte Start Sentinel Format Code Primary Account Field Separator Card Holder Name Additional Data End Sentinel Longitudinal Redunancy Check Ký tự bắt đầu Mã định dạng Số thẻ Ký tự ngăn cách Tên chủ thẻ Dữ liệu bổ sung Ký tự kết thúc Kiểm tra độ dư thừa theo chiều dọc 01 01 19 01 26 29 01 01 2) Rãnh (Track 2) Được Hiệp hội ngân hàng Mỹ phát triển Rãnh có mật độ 75 bpi, lưu trữ tối đa 40 ký tự SS PAN FS Additional Data ES LRC 3) Rãnh (Track 3) Được Tổ chức tiết kiệm (Thift Industry) phát triển Rãnh có mật độ 210 bpi lưu trữ tối đa 107 ký tự SS FC Data FS Data ES LRC 1.1.1.2 Các chuẩn liệu ghi rãnh từ Hai chuẩn liệu sử dụng để lưu trữ liệu băng từ sau: a) Chuẩn ANSI/ISO ALPHA (Dùng cho rãnh 1) Các bit liệu b1 b2 b3 b4 b5 b6 b7 0 0 0 1 0 0 0 0 0 1 0 1 1 0 1 0 1 1 1 0 1 0 1 1 0 1 1 0 1 0 Ký tự Giá trị (Hex) Ký tự trống (space) % 00 05 10 11 12 13 14 15 16 17 18 19 TIEU LUAN MOI download : skknchat@gmail.com b) Chuẩn ANSI/ISO BCD (Dùng cho rãnh 2, 3) Các bit liệu b1 b2 b3 b4 b5 0 0 1 0 0 0 1 0 0 0 1 1 1 1 0 0 1 0 1 1 1 1 0 1 1 1 0 1 1 1 1 Ký tự Giá trị (Hex) : ; < = > ? 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 1.1.2 Thẻ toán 1.1.2.1 Khái niệm thẻ tốn Thẻ tốn phương tiện khơng dùng tiền mặt, đời từ phương thức mua bán chịu hàng hóa lẻ phát triển gắn liền với ứng dụng công nghệ thông tin lĩnh vực ngân hàng Thẻ toán ngân hàng phát hành cơng cụ tốn hàng hóa dịch vụ rút tiền mặt phạm vi số dư tiền gửi hạn mức tín dụng cấp 1.1.2.2 Thẻ tín dụng thẻ ghi nợ - Thẻ ghi nợ (debit card) thẻ cho phép chủ thẻ sử dụng sở số dư tài khoản tiền gửi chủ thẻ ngân hàng - Thẻ tín dụng (credit card) thẻ cho phép chủ thẻ sử dụng thẻ hạn mức tín dụng tuần hồn cấp chủ thẻ phải tốn tồn phần tối thiểu khoản dư nợ phát sinh theo qui định TIEU LUAN MOI download : skknchat@gmail.com 1.1.2.3 Dữ liệu thẻ toán Tùy theo thiết kế tổ chức phát hành thẻ mà liệu thẻ thể thẻ khác Thông thường liệu thẻ bao gồm: Dữ liệu bề mặt thẻ liệu ghi băng từ thẻ - Dữ liệu bề mặt thẻ quan sát mắt thường số thẻ, ngày hiệu lực thẻ, tên chủ thẻ…Dữ liệu dập in chìm bề mặt thẻ - Dữ liệu ghi băng từ thẻ tuân thủ theo chuẩn ISO 7811-2 Ví dụ: Cấu trúc liệu thẻ Amex -Rãnh 1: %B370000000000000^CARDMEMBER NAME ^1212101080112345? Vị trí – 17 18 19 – 44 45 46 – 49 50 – 52 53 – 56 57 – 61 62 Trường 10 11 Tên trường Ký tự bắt đầu Mã định dạng Số thẻ Ký tự ngăn cách Tên chủ thẻ Ký tự ngăn cách Thời hạn hiệu lực thẻ Mã dịch vụ Ngày bắt đầu có hiệu lực Mã bảo mật thẻ Ký tự kết thúc Giá trị % B 370000000000000 ^ CARDMEMBER NAME ^ 1212 (YYMM) 101 0801 (YYMM) 12345 ? + Trường mã dịch vụ (Service Code) thẻ sử dụng (101: dùng cho giao dịch quốc tế, 102: mua bán hàng hóa dịch vụ quốc tế không dùng máy ATM, 103: sử dụng cho máy ATM quốc tế có yêu cầu số PIN…) + Trường Mã bảo mật thẻ: giá trị NHPH sử dụng để xác thực tính hợp lệ thẻ Mã bảo mật tạo thuật toán DES - Rãnh 2: ; B370000000000000=1212101080112345? Cấu trúc rãnh giống rãnh khơng có tên chủ thẻ 10 TIEU LUAN MOI download : skknchat@gmail.com Đối tượng liệu mà trả gói tin phản hồi đối tượng liệu có cấu trúc với nhãn 77 Trường giá trị chứa nhiều đối tượng liệu mã BER-TLV, luôn bao gồm liệu thông tin mã hóa (nhãn 9F27), ATC (nhãn 9F36), liệu ứng dụng động ký tính tốn ICC (nhãn 9F4B) Nếu quản lý rủi ro thẻ thẻ định trả lời với AAC kết hợp yêu cầu DDA/AC, R-APDU đối tượng liệu BER-TLV, mã hóa theo định dạng Trong trường hợp R-APDU bao gồm đối tượng liệu sau: Dữ liệu thông tin mã hóa, ATC, AAC 4.8.6.3 Kiểm tra mã hóa ứng dụng Việc mã hóa ứng dụng thẻ đưa phục vụ việc chứng minh tham gia thẻ giao dịch EMV - Nếu GENERATE AC trả ARQC, gói tin yêu cầu xác thực 1100 gửi cho IH Nếu việc kiểm tra ARQC thành cơng, IH có chứng thẻ sử dụng điểm chấp nhận dịch vụ thẻ thật Bởi vậy, ARQC phục vụ việc xác thực thẻ trực tuyến, xác thực trực tuyến đảm bảo khơng có thẻ giả xác thực hệ thống Đây cải tiến quan trọng so sánh với công nghệ thẻ từ - Nếu GENERATE AC trả TC, đưa vào gói tin tốn 1240, dựa NHTT yêu cầu Số tiền, Số giao dịch giao dịch EMV từ NHPH Nếu việc kiểm tra TC nhận từ gói tin tốn thành cơng, NHPH biết thẻ đưa TC có tham gia giao dịch hay không NHPH đồng ý trả lại tiền cho cho NHTT Mặc dù vậy, chủ thẻ từ chối việc giao dịch này, NHPH khơng thể chứng minh hợp pháp mà chứng TC đưa đúng, mà có modun mã hóa chống giả IH kiểm tra chứng - Trong trường hợp GENERATE AC trả AAC với mã 010, ―Số lần thử PIN vượt giới hạn cho phép‖, bit đến bit Dữ liệu thơng tin mã hóa, thẻ yêu cầu thiết bị đọc tạo gói tin thông báo 1220 (bit = Dữ liệu thơng tin mã hóa) Gói tin dẫn cho IH biết việc vượt số lần thử PIN thẻ, AAC phục vụ chứng đến việc 153 TIEU LUAN MOI download : skknchat@gmail.com IH sử dụng modun mã hóa chống giả chứa IMK AC Dựa liệu định danh tài khoản thẻ, modun mã hóa thu MKAC tương ứng với thẻ [2] Sử dụng khóa xác định cho thẻ, modun mã hóa tính tốn khóa phiên SSKAC khóa xây dựng MK AC gốc sử dụng ATC Khóa phiên sử dụng để đưa MAC dựa mã hóa khối có độ dài 64 bit giống DES áp dụng yêu cầu giao dịch Việc kiểm tra MAC so sánh lại với mã hóa ứng dụng nhận được, hai giá trị nhau, mã hóa ứng dụng chấp nhận chứng hợp lệ Thuật tốn kiểm tra giải thích bên thi hành modun mã hóa thẻ cung cấp gói tin 1100, 1240, 1340, 1220 bao gồm trường liệu sau: - Mã hóa ứng dụng (ARQC, TC, AAC); - Dữ liệu định danh tài khoản thẻ (PAN dãy số PAN); - ATC Số khơng đốn được; - Tất đối tượng liệu cần thiết chép lại yêu cầu giao dịch Nếu thẻ thực hệ kết hợp DDA/AC, thiết bị đọc kiểm tra ngoại tuyến xem thẻ có thẻ thật hay không việc kiểm tra đắn Dữ liệu ứng dụng động ký trả R-APDU lệnh GENERATE AC Từ thiết bị đọc thu xác thực khóa cơng khai thẻ (nIC, eIC) Sử dụng khóa này, thiết bị đọc kiểm tra Dữ liệu ứng dụng động ký việc áp dụng phiên sửa đổi nhỏ Nếu kiểm tra thành công, thiết bị đọc chấp nhận thẻ thật Mặc dù Dữ liệu ứng dụng động ký lưu trữ (ví dụ: người điều hành hệ thống tốn), NHPH có khả bổ sung để chứng minh tính pháp lý việc tham gia giao dịch EMV Mặc dù tiện ích có chi phí đáng kể nhớ lưu trữ, nên sử dụng cho giao dịch quan trọng giá trị tham số Số tiền, Số giao dịch 154 TIEU LUAN MOI download : skknchat@gmail.com 4.9 XÁC THỰC CỦA NHPH VÀ XỬ LÝ TRỰC TUYẾN Khi xử lý giao dịch EMV, NHPH gửi gói tin yêu cầu xác thực (1100) cho NHTT lý sau: - Thiết bị đọc loại ―chỉ xác thực trực tuyến‖, loại luôn yêu cầu xác thực NHPH - Người phục vụ tạo rõ ràng gói tin yêu cầu xác thực, có số nghi ngờ chủ thẻ điểm chấp nhận dịch vụ - Giai đoạn quản lý rủi ro thiết bị đọc chọn giao dịch ngẫu nhiên để xác thực Thiết bị đọc đạt định theo kỹ thuật kiểm tra nhanh, kỹ thuật phát số lớn giao dịch thực ngoại tuyến - Thiết bị đọc yêu cầu xác thực trực tuyến theo giai đoạn phân tích hoạt động thiết bị đọc, TVR so sánh với Mã hoạt động trực tuyến thiết bị đọc/NHPH Thiết bị đọc đưa lệnh GENERATE AC thứ có tham số điều khiển liên quan (P1) đặt ARQC Thẻ phân tích đề xuất thiết bị đọc theo thủ tục quản lý rủi ro thẻ nó, thủ tục phản ánh bảo mật sách sẵn có NHPH, chấp thuận xác thực trực tuyến NHPH - Thiết bị đọc yêu cầu hồn tồn ngoại tuyến qua phân tích hoạt động thiết bị đọc Thiết bị đọc gửi lệnh GENERATE AC thứ với tham số điều khiển liên quan (P1) cài đặt cho TC Thẻ phân tích đề xuất thiết bị đọc theo thủ tục quản lý rủi ro thẻ giảm mức định thiết bị đọc đề xuất từ TC đến ARQC Bất thẻ trả lời với ARQC Dữ liệu thơng tin mã hóa, thiết bị đọc khởi động chức xử lý trực tuyến Điều có nghĩa thẻ thiết bị đọc đánh giá giao dịch giới hạn rủi ro cho giao dịch hoàn toàn ngoại tuyến, định nghĩa NHPH, hệ thống tốn, NHTT Do đó, NHPH yêu cầu phân tích giao dịch EMV thực tế điểm chấp nhận dịch vụ, dựa thông tin mà nhận từ thiết bị đọc thơng tin tài khoản lưu IH kết nối với thẻ Việc bảo đảm NHPH xem xét điều kiện giao dịch chấp nhận hay từ chối toán thẻ 155 TIEU LUAN MOI download : skknchat@gmail.com 4.9.1 Yêu cầu phản hồi xác thực với liệu chip Thiết bị đọc tạo gói tin yêu cầu xác thực 1100 Trường liệu bao gồm gói tin giống với trường liệu cho việc xử lý giao dịch sử dụng thẻ từ Hơn nữa, gói tin yêu cầu xác thực bao gồm trường liệu hệ thống liên quan thẻ, tương ứng với bit 55 hình ảnh (bản đồ bit) thành phần liệu có gói tin 1100, theo chuẩn ISO 8583: 1993 Trường chứa tất đối tượng liệu thu từ điểm chấp nhận dịch vụ, đối tượng cho phép IH kiểm tra đắn ARQC mà thẻ đưa Trong số đối tượng liệu điều đề cập: - Mã hóa ứng dụng (ARQC); - Dữ liệu định danh tài khoản thẻ (PAN dãy số PAN); - ATC Số khơng đốn được; - Dữ liệu ứng dụng NHPH (IAD), liệu bao gồm dẫn khóa (key indicator) số phiên thuật toán để xác định phiên IMKAC thuật tốn MAC sử dụng để tính tốn ARQC thẻ IAD bao gồm giá trị chứng việc xử lý SDA DDA thiết bị đọc (ví dụ: Mã xác thực liệu Số động thẻ) Hơn nữa, kết kiểm tra quản lý rủi ro thẻ bao gồm IAD - Tất đối tượng liệu cần thiết để tái đưa yêu cầu giao dịch Sau nhận gói tin yêu cầu xác thực 1100, IH kiểm tra xem thẻ sử dụng điểm chấp nhận dịch vụ có phải thẻ thật khơng Từ modun mã hóa IH phải kiểm tra đắn ARQC theo bước sau: - Sử dụng thị khóa có IAD để lấy lại phiên IMKAC - Sử dụng liệu định danh tài khoản lấy từ khóa MKAC tương ứng với thẻ tham gia giao dịch - Thu khóa phiên thực tế SSKAC từ MKAC, sử dụng ATC nhiều thơng tin khóa (keys-tree) - Sử dụng số phiên thuật toán IAD để gọi thuật tốn tính tốn MAC sử dụng thẻ 156 TIEU LUAN MOI download : skknchat@gmail.com - Sử dụng SSKAC đưa MAC đối tượng liệu thẻ xem xét yêu cầu giao dịch - So sánh MAC tính với ARQC nhận gói tin yêu cầu xác thực 1100 Nếu hai giá trị ARQC chấp nhận chắng hợp lệ thẻ sử dụng điểm chấp nhận dịch vụ xác thực thẻ thật IH xác định tài khoản chủ thẻ cách sử dụng liệu định danh tài khoản nhận từ gói tin yêu cầu xác thực Thông tin tài khoản giữ kết nối với thẻ, bao gồm lịch sử giao dịch gần nhất, cho phép NHPH thi hành thủ tục quản lý rủi ro cải tiến IH thực kiểm tra thêm, kiểm tra mà thực điểm chấp nhận dịch vụ Bởi vậy, NHPH xác định giao dịch thực với thẻ mà báo cáo mắt cắp, chi tiêu vượt hạn mức số dư tài khoản Do đó, NHPH chấp nhận từ chối giao dịch, có rõ lý từ chối giao dịch NHPH chuẩn bị Dữ liệu xác thực NHPH có nhãn 91, liệu bao gồm hai trường sau: Mã hóa phản hồi xác thực (ARPC) byte, Mã phản hồi xác thực (ARC) byte Modun mã hóa IH tính tốn ARPC mã hóa tripple-DES ECB kết phép toán XOR ARPC ARC bổ sung vào bên phải byte 00h ARQC giá trị nhận gói tin 1100 dùng thách thức chống lại công nghe giả mạo Mã hóa đưa với khóa phiên SSKAC, khóa đưa modu mã hóa IH, kiểm tra ARQC ARQC cho phép thẻ xác thực NHPH kiểm tra Mã phản hồi xác thực thể lại định NHPH có liên quan đến việc kết thúc giao dịch EMV NHPH xem xét trạng thái giao dịch EMV, thiết bị đọc báo cáo trạng thái TVR thẻ báo cáo trạng thái kết kiểm tra quản lý rủi ro thẻ, trạng thái giao dịch EMV đối tượng liệu bao gồm IAD Hai đối tượng liệu đề xuất cho việc bao gồm gói tin yêu cầu xác thực Làm sáng tỏ thông tin trạng thái giao dịch EMV đánh giá số hoạt động quản lý sau phát hành khác, NHPH định cần để sửa chữa hoạt động thẻ 157 TIEU LUAN MOI download : skknchat@gmail.com Ví dụ việc sửa chữa bao gồm: - Việc kéo dài thêm ngày hiệu lực, việc cho phép chủ thẻ quên gia hạn thẻ để hoạt động, cho khoảng thời gian giới hạn, với thẻ hết hiệu lực; - Mở khóa ứng dụng, theo số lần thử PIN vượt giới hạn; - Sửa đổi số tham số quản lý rủi ro thẻ, giống việc tiêu vượt hạn mức ngày, tuần, tháng, phụ thuộc vào số tiền sẵn có tài khoản; - Cập nhật vài tham số mã hóa, việc cập nhật định kỳ thay đổi lý bảo mật Tất sửa đổi IH định chuyển dãy lệnh sau phát hành, lệnh gói Mẫu kịch NHPH có nhãn 71 Mẫu kịch NHPH có nhãn 72 Sau tất xử lý này, IH tạo gói tin phản hồi xác thực 1110 Gói tin bao gồm trường liệu kết nối xử lý giao dịch thực với thẻ từ Hơn nữa, gói tin phản hồi xác thực bao gồm trường liệu hệ thống có liên quan, tương ứng với bit 55 đồ (bitmap) thành phần liệu có gói tin 1110 Khi xác thực NHPH thực hiện, trường lưu Dữ liệu xác thực NHPH, liệu bao gồm ARPC ARC Khi quản lý sau phát hành thẻ bắt buộc, NHPH gồm có trường mẫu kịch NHPH mẫu kịch NHPH Nếu thiết bị đọc khơng nhận gói tin phản hồi xác thực, nhận muộn, với cú pháp khơng hợp lệ, thiết bị đọc xử lý giao dịch việc thực trực tuyến Nếu thiết bị đọc nhận gói tin phản hồi xác thực khơng chứa Dữ liệu xác thực NHPH, thiết bị đọc khơng thực lệnh EXTERNAL AUTHENTICATE đặt bit 5, ―Xác thực NHPH thực hiện‖, TSI Cịn khơng, thẻ thực xác thực NHPH giải thích 158 TIEU LUAN MOI download : skknchat@gmail.com 4.9.2 Xác thực NHPH Nếu Dữ liệu xác thực NHPH (nhãn 91) nhận gói tin phản hồi xác thực 1110, thiết bị đọc kiểm tra nội dung bit 3, ―Xác thực NHPH hỗ trợ‖, AIP Khi bit đặt 1, thẻ hỗ trợ xác thực NHPH thông qua lệnh EXTERNALE AUTHENTICATE Trong trường hợp này, thiết bị đọc chuẩn bị R-APDU tương ứng với lệnh theo Bảng 4.9 Bảng 4.9 C-APDU lệnh EXTERNAL AUTHENTICATE Mã Giá trị CLA 00 (lệnh trao đổi bên trong) INS 82 P1 00 P2 00 Lc đến 16 byte Dữ liệu Dữ liệu xác thực NHPH – bắt buộc byte chứa ARPC, đến byte có cấu trúc riêng Thơng thường, ARC xem xét tính tốn ARPC, byte 10 bao gồm ARC Le Khơng có Thiết bị đọc gửi lệnh lần giao dịch Thẻ nên trả SW1SW2 = 6985 R-APDU, hạn chế không tuân thủ Không quan đến từ trạng thái R-APDU, thiết bị đọc đặt bit TSI Trong trường hợp SW1SW2 ≠ 9000, thiết bị đọc đặt bit 7, ―Xác thực NHPH không thành công‖, byte TVR Khi bit AIP đặt 0, thẻ kết hợp xác thực NHPH với lệnh GENERATE AC thứ hai Trong trường hợp này, NHPH liệt kê đối tượng liệu Dữ liệu xác thực NHPH CDOL2 Dù lệnh EXTERNAL AUTHENTICATE hay GENERATE AC sử dụng để thực xác thực NHPH, xử lý thẻ thực giống Thẻ giải mã ARPC với khóa phiên SSKAC, khóa thu trước từ việc tính tốn ARQC Sau thực phép toán XOR với giá trị ARQC, ARC thu từ byte cực trái kết Giá trị tính ARC so sánh lại với giá trị nhận Dữ liệu xác thực NHPH Nếu hai giá trị giống hệt nhau, xác thực NHPH thành công 159 TIEU LUAN MOI download : skknchat@gmail.com 4.10 NHỮNG KỊCH BẢN (SCRIPTS) CỦA NHPH Một gói tin phản hồi xác thực 1110 nhận từ IH bao gồm lệnh sau phát hành (post-issuance) gửi cho thẻ thông qua thiết bị đọc Những lệnh không liên quan đến giao dịch EMV tại, chúng sử dụng để cập nhật liệu ứng dụng thẻ thẻ mang sử dụng, để chuyển ứng dụng thẻ chí mở/khóa thẻ EMV khơng tạo nhiều dự phòng cho việc cập nhật mã ứng dụng thẻ Định dạng lệnh sau phát hành bí mật NHPH Chúng khơng có ý nghĩa với thiết bị đọc, thiết bị đọc nên gửi từ gói tin phản hồi xác thực gửi chúng cho thẻ phải cập nhật thông tin 4.10.1 Việc xử lý mẫu kịch NHPH IH nhóm lệnh sau phát hành theo hai loại mẫu sau: 1) Mẫu kịch NHPH (nhãn 71) nhóm lệnh sau phát hành riêng truyền cho thẻ trước gửi lệnh GENERATE AC thứ hai đến thẻ 2) Mẫu kịch NHPH (nhãn 72) nhóm lệnh sau phát hành riêng truyền cho thẻ sau gửi lệnh GENERATE AC thứ hai cho thẻ Mỗi mẫu kịch NHPH (khơng quan tâm đến việc loại hay loại 2) bao gồm đối tượng liệu sau: - Định danh kịch NHPH (nhãn 9F18), định danh biểu diễn byte dạng nhị phân Định danh tùy chọn không thiết bị đọc thể Định danh kịch NHPH cho phép NHPH phân biệt nhiều mẫu kịch NHPH mà bao gồm gói tin phản hồi xác thực - APDU lệnh kịch NHPH (nhãn 86) có số byte thay đổi phụ thuộc vào loại C-APDU gửi cho thẻ Nhiều lệnh APDU kịch NHPH bao gồm mẫu kịch NHPH NHPH gửi nhiều mẫu kịch gói tin phản hồi xác thực Giới hạn tổng độ dài mẫu kịch NHPH nhỏ 128 byte 160 TIEU LUAN MOI download : skknchat@gmail.com Sau tiếp nhận gói tin phản hồi xác thực, thiết bị đọc xử lý mẫu kịch NHPH theo thứ tự lệnh xuất trường 55 gói tin phản hồi xác thực Đối với mẫu thiết bị đọc thực xử lý sau: - Tạo kịch NHPH có cấu trúc liệu kết byte, cấu trúc lưu kết liên quan đến việc xử lý lệnh chứa mẫu kịch NHPH Bổ sung cấu trúc liệu vào cuối chuỗi byte chứa cấu trúc liệu tương ứng với mẫu khác mà xử lý - Khởi động lại biến đếm lệnh mà giữ số APDU lệnh kịch NHPH xác định mẫu kịch NHPH - Phân trường giá trị mẫu + Kiểm tra xem có định danh kịch NHPH hay không Trong trường hợp chắn có, chép trường giá trị đối tượng liệu vào byte đến byte kết kịch NHPH Định danh kịch NHPH có ý nghĩa NHPH thể kết kịch NHPH báo cáo thiết bị đọc sau gửi lệnh sau phát hành cho thẻ + Tạo ngăn xếp FIFO, thành phần chứa trường giá trị đối tượng liệu APDU lệnh kịch NHPH (nhãn 86) ngăn cách từ trường giá trị mẫu Mỗi thành phần thêm vào ngăn xếp làm tăng biến đếm lệnh - Xứ lý mô tả thực trước lệnh GENERATE AC thứ hai, mẫu xác định với nhãn 71, sau lệnh GENERATE AC thứ hai trường hợp mẫu xác định có nhãn 72 Lặp lại bước sau số lần biến đếm lệnh: + Pop C-APDU giữ thành phần ngăn xếp FIFO biểu thị trỏ stack + Chuyển giao C-APDU cho thẻ + Chỉ kiểm tra từ trạng thái SW1 R-APDU thẻ chuyển giao + Nếu SW1 việc xử lý bình thường (SW1 = 90) cảnh báo (SW1 = 62 63), xử lý tiếp tục với APDU lệnh kịch NHPH lưu ngăn xếp Nếu biến đếm lệnh C-APDU xử lý, đặt bit 1, ―Xử lý kịch thực hiện‖ byte TSI 161 TIEU LUAN MOI download : skknchat@gmail.com + Nếu SW1 điều kiện bị lỗi, khơng tiếp tục xử lý với APDU khác ngăn xếp Thiết bị đọc đặt nibble byte kết kịch NHPH 1, ―Việc xử lý kịch bị lỗi‖ Thiết bị đọc ghi dãy số APDU lệnh kịch NHPH mà báo cáo lỗi nible thứ hai byte kết kịch NHPH Dãy lệnh giá trị biến đếm lệnh, nhỏ E, cịn khơng dãy số đặt F Thiết bị đọc đặt bit 1, ―Xử lý kịch bị lỗi trước GENERATE AC cuối cùng‖ byte TVR, mẫu ghi với nhãn 71 Thiết bị đọc đặt bit 1, ―Xử lý kịch bị lỗi sau lệnh GENERATE AC cuối cùng‖ byte TVR, mẫu ghi có nhãn 72 - Khi xử lý toàn APDU lệnh kịch NHPH thực thành công, thiết bị đọc đặt nibble byte kết kịch NHPH 2, ―Việc xử lý kịch thành công‖ Thiết bị đọc ghi giá trị nibble thứ hai byte kết kịch NHPH 4.10.2 Những lệnh sau phát hành Những lệnh sau phát hành chia thành hai nhóm sau: 1) Những lệnh thay đổi trạng thái ứng dụng toàn thẻ, bao gồm việc Khóa ứng dụng, Mở khóa ứng dụng, Khóa thẻ 2) Những lệnh thay đổi giá trị tham số bên trong, giống trạng thái PIN, số khóa mã, giá trị PIN, giá trị thành phần liệu kết hợp với ứng dụng EMV tham gia xử lý quản lý rủi ro thẻ Loại bao gồm lệnh sau phát hành EMV PIN CHANGE/UNBLOCK Hệ thống tốn NHPH định nghĩa lệnh bổ sung đáp ứng nhu cầu cần thiết Những lệnh sau phát hành sử dụng gói tin bảo mật: - Toàn vẹn xác thực NHPH đạt sử dụng MAC - Sự bảo mật khóa mã hóa giá trị PIN cập nhật ứng dụng EMV thu qua mã khóa đối xứng 162 TIEU LUAN MOI download : skknchat@gmail.com KẾT LUẬN Bắt đầu từ thập kỳ 80, ngành ngân hàng bắt nhận hạn chế cơng nghệ thẻ từ như: Tính bảo mật kém, khả lưu trữ liệu thấp, khơng có khả xử lý liệu linh hoạt Chỉ cần khoảng thời gian ngắn tội phạm copy tồn liệu thẻ từ sau sử dụng để làm thẻ giả Nguy hiểm hơn, tội phạm cịn cài trộm thiết bị vào dây chuyền liệu giao dịch thẻ từ đơn vị chấp nhận thẻ lớn sản xuất hàng loạt thẻ giả từ liệu đánh cắp Chính vậy, rủi ro giả mạo thẻ từ vấn đề lớn mà ngành ngân hàng Việt nam hàng ngày phải đối mặt Ước tính năm NHTT NHPH giới phải gánh chịu chi phí lên đến hàng trăm triệu USD từ thẻ giả mạo Nếu khơng có biện pháp ngăn chặn kịp thời mức độ rủi ro giả mạo thẻ từ chắn tăng cao, ảnh hưởng đến hoạt động thẻ ngân hàng thương mại Để khắc phục điểm yếu cần phải có tảng cơng nghệ cho thẻ tốn Kể từ đời đến chuẩn EMV ngân hàng toàn giới áp dụng rộng rãi, đem lại nhiều thành cơng Cơng nghệ thẻ chip có độ an tồn cao dựa cơng nghệ, kỹ thuật đại Trong cơng nghệ EMV có số yếu tố quan trọng như: công nghệ mã hóa liệu tĩnh, khả mã hóa liệu thẻ chip cao nhiều so với thẻ từ Công nghệ xác thực liệu động, công nghệ có khả xử lý thơng tin thẻ chip cho phép thay đổi "khóa bảo mật" có giao dịch thực Có thể ví khả nhu việc nhà tự động đổi hệ thống khóa chủ nhà qua cửa Khi có tội phạm làm giả chìa khóa vào thời điểm định, đến có hội đột nhập hệ thống thay đổi 163 TIEU LUAN MOI download : skknchat@gmail.com Luận văn tìm hiểu, nghiên cứu qua tài liệu để hệ thống lại vấn đề sau: - Nêu tình trạng cơng nghệ thẻ Việt nam, rủi ro xảy Và số giải pháp để giải vấn đề rủi ro - Do cơng nghệ thẻ Việt nam lạc hậu nên tìm biện pháp phịng chống cho cơng nghệ tẻ từ vất vả tốn giới thay đổi công nghệ Các nước giới thay đổi cơng nghệ thẻ mới, công nghệ thẻ EMV, công nghệ mà Ngân hàng Ngoại thương chuẩn bị triển khai sử dụng Kết luận văn gồm có: Tìm hiểu nghiên cứu qua tài liệu để hệ thông lại vấn đề sau: 1/ Hiện trạng sử dụng thẻ tốn 2/ Tổng quan cơng nghệ thẻ EMV 3/ Hệ thống chứng sử dụng với thẻ EMV 4/ Giao dịch với thẻ EMV Do hầu hết tài liệu tham khảo tiếng Anh, trình độ ngoại ngữ hạn chế nên số thuật ngữ chuyên mơn dùng luận văn cịn chưa thực xác Tơi mong nhận góp ý thầy cô bạn 164 TIEU LUAN MOI download : skknchat@gmail.com TÀI LIỆU THAM KHẢO EMVCo, EMV 2000 Integrated Circuit Card Specification for Payment Systems, BOOK 1—Application Independent ICC to Thiết bị đọc Interface Requirements, Version 4.0, December 2000, http://www.emvco.com/specifications.cfm EMVCo, EMV 2000 Integrated Circuit Card Specification for Payment Systems, BOOK 2—Security and Key Management, Version 4.0, December 2000, http://www.emvco.com/specifications.cfm EMVCo, EMV 2000 Integrated Circuit Card Specification for Payment Systems, BOOK 3—Application Specification, Version 4.0, December 2000, http://www.emvco.com/specifications.cfm EMVCo, EMV 2000 Integrated Circuit Card Specification for Payment Systems, BOOK 4—Cardholder, Requirements, Version Attendant, 4.0, and Acquirer Interface December 2000, http://www.emvco.com/specifications.cfm EMVCo, EMV ’96 Integrated Circuit Card Specification for Payment Systems, Version 3.1.1, May 31, 1998, http://www.emvco.com/specifications.cfm EMVCo, EMV ’96 Integrated Circuit Card Thiết bị đọc Specification for Payment Systems, Version 3.1.1, May 31, 1998, http://www.emvco.com/specifications.cfm EMVCo, EMV ’96 Integrated Circuit Card Application Specification for Payment Systems, Version 3.1.1, May 31, 1998, http://www.emvco.com/specifications.cfm CEPSCo, Common Electronic Purse Specification, Functional Requirements, Version 6.3, September 1999, http://www.cepsco.com/ ISO/IEC 8825, ―Information Technology—Open Systems Interconnection— Specification of Basic Encoding Rules for Abstract Syntax Notation One (ASN.1),‖ 1990 10 ISO/IEC 7816-4, ―Identification Cards—Integrated Circuit(s) Cards with Contacts—Part 4: Inter-Industry Commands for Interchange,‖ 1995 122 EMV Compliant Data Organization 165 TIEU LUAN MOI download : skknchat@gmail.com 11 ISO/IEC 7816-5, ―Identification Cards—Integrated Circuit(s) Cards with Contacts—Part 5: Numbering System and Registration Procedure for Application Identifiers,‖ 1994 12 ISO/IEC 8859-8, ―8-Bit Single-Byte Coded Graphic Character Sets Latin/Hebrew Alphabet,‖ 1999 13 ISO/IEC 639, ―Code for the Representation of Names of Languages,‖ 1988 4.4 EMV application selection 123 14 ISO/IEC 8583:1993,―Financial Transaction Card Originated Messages Interchange Message Specifications‖ 1995 15 ISO/IEC 7811, ―Identification Cards—Recording technique—Part 1: Embossing,‖ ―Part 2: Magnetic Stripe,‖ ―Part 3: Location of Embossed Characters on ID-1 Card,‖ ―Part 4: Location of Read-Only Magnetic Tracks— Track and 2,‖ ―Part 5: Location of Read-Write Magnetic Track—Track 3,‖ 1985 16 ISO/IEC 3166, ―Codes for the Representation of Names of Countries,‖ 1997 17 Mastercard and Visa, ―SET Secure Electronic Transactions Protocol, version 1.0 Book One: Business Specifications, Book Two: Technical Specification, Book Three: Formal Protocol Definition‖, May 1997 166 TIEU LUAN MOI download : skknchat@gmail.com Thank you for evaluating AnyBizSoft PDF Merger! To remove this page, please register your program! Go to Purchase Now>> AnyBizSoft PDF Merger  Merge multiple PDF files into one  Select page range of PDF to merge  Select specific page(s) to merge  Extract page(s) from different PDF and merge into one TIEU LUAN files MOI download : skknchat@gmail.com ... SỬ DỤNG THẺ THANH TOÁN 28 1.2.1 Rủi ro phát hành 28 1.2.2 Rủi ro hoạt động toán 30 1.2.3 Rủi ro kỹ thuật 31 1.2.4 Giải pháp khắc phục rủi ro dùng thẻ ... CÁC LOẠI RỦI RO TRONG SỬ DỤNG THẺ THANH TOÁN Rủi ro hoạt động thẻ tổn thất vật chất phi vật chất có liên quan tới hoạt động kinh doanh thẻ, bao gồm hoạt động phát hành, hoạt động toán thẻ Đối... liệu thẻ toán Tùy theo thiết kế tổ chức phát hành thẻ mà liệu thẻ thể thẻ khác Thông thường liệu thẻ bao gồm: Dữ liệu bề mặt thẻ liệu ghi băng từ thẻ - Dữ liệu bề mặt thẻ quan sát mắt thường số thẻ,