(Khóa luận tốt nghiệp file word) Tìm hiểu vấn đề bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine)(Khóa luận tốt nghiệp file word) Tìm hiểu vấn đề bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine)(Khóa luận tốt nghiệp file word) Tìm hiểu vấn đề bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine)(Khóa luận tốt nghiệp file word) Tìm hiểu vấn đề bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine)(Khóa luận tốt nghiệp file word) Tìm hiểu vấn đề bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine)(Khóa luận tốt nghiệp file word) Tìm hiểu vấn đề bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine)(Khóa luận tốt nghiệp file word) Tìm hiểu vấn đề bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine)(Khóa luận tốt nghiệp file word) Tìm hiểu vấn đề bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine)(Khóa luận tốt nghiệp file word) Tìm hiểu vấn đề bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine)(Khóa luận tốt nghiệp file word) Tìm hiểu vấn đề bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine)(Khóa luận tốt nghiệp file word) Tìm hiểu vấn đề bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine)(Khóa luận tốt nghiệp file word) Tìm hiểu vấn đề bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine)(Khóa luận tốt nghiệp file word) Tìm hiểu vấn đề bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine)(Khóa luận tốt nghiệp file word) Tìm hiểu vấn đề bảo mật thông tin trên hệ thống ATM (Automatic Teller Machine)
SựpháttriểncủamáyATM
Máy rút tiền đầu tiên trên thế giới được thiết kế bởi Luther George Simjian vào năm 1939 tại New York cho Ngân hàng City Bank of New York Tuy nhiên, sau 6 tháng, máy đã bị ngừng hoạt động do ít người sử dụng.
Vào ngày 27/6/1967, máy rút tiền điện tử đầu tiên được thiết kế bởi hãng In De la Rue tại Enfield Town, gần London, cho Ngân hàng Barclays Bank Người phát minh chính là John Shepherd-Barron, mặc dù Luther George Simjian và một số cá nhân khác cũng đã đăng ký bằng sáng chế cho loại máy này Tuy nhiên, nhiều người cho rằng máy ATM đầu tiên theo đúng nghĩa mà chúng ta sử dụng ngày nay là loại máy được ra mắt vào năm 1969 tại Ngân hàng Chemical Bank ở New York, do Don Wetzel, phó giám đốc một công ty chuyên về máy tự động, phát triển.
ATM hiện nay là thiết bị giao dịch tự động của ngân hàng, cho phép chủ thẻ thực hiện nhiều giao dịch như kiểm tra tài khoản, rút tiền mặt, và chuyển khoản thanh toán hàng hóa, dịch vụ thông qua các loại thẻ như thẻ ghi nợ và thẻ tín dụng.
Tìnhhìnhsử dụngmáyATM
Thanh toán tiền qua hệ thống ATM đã phổ biến trên toàn thế giới và ở ViệtNamhệthốngATMdầntrởnên quenthuộc vớimọi ngườidân.
Năm 1993, thị trường thẻ Việt Nam mới xuất hiện những sản phẩm thẻ đầutiêndoVietcombankpháthành,đếnnăm1996thìthịtrưởngthẻthựcsựxuấthiện.
Năm 1996, Vietcombank đã hợp tác với ngân hàng nhà nước để lắp đặt 2 máy rút tiền tự động đầu tiên tại Hà Nội Từ đó đến nay, thị trường thẻ và máy ATM tại Việt Nam đã phát triển mạnh mẽ, với hơn 20 ngân hàng thương mại phát hành thẻ nội địa, trong đó có 8 ngân hàng phát hành thẻ quốc tế.
Sốlượngthẻpháthành Gồm thẻ nội địa và quốc tếĐơn vị:chiếc
Bảng 1.1: Số liệu thống kê thị trường thẻ Việt Nam qua các năm(TheohiệphộingânhangViệt NamvàhộithảoBanking ViệtNam2008)
ĐịnhnghĩamáyATM
ATM là máy giao dịch tự động, hay còn gọi là hệ thống ngân hàng tự động Nó không chỉ đơn thuần là máy rút tiền, mà còn cung cấp nhiều dịch vụ khác như chuyển khoản, thanh toán hóa đơn và các dịch vụ thương mại điện tử.
Cấutạocủa máy ATM
Phầncứng
Bảng 1.2: Cácthiếtb ị phầncứng cơbảnTrong máy ATM các thiết bị phần cứng sử dụng các chuẩn giao tiếp sau đểkếtnốiđếnmáyPC:SDC (Seria DirectConnect),RS232,Parallel,PCI,ISA,USB
Phần mềm
Hầu hết các loại máy ATM đều phải có hệ điều hành (OS-operate system),phầnmềm điều khiển thiết bịcủam á y A T M v à p h ầ n m ề m t i ệ n í c h k è m t h e o Hiệnnay,hệđiềuhành là WindowNT,WindowXP.
CấutrúchệthốngthanhtoánATM
Tổngquan hệthốngthanhtoán ATM
Hệ thống ATM là một mạng lưới bao gồm các thành phần trung tâm như Switch, CoreBank và hệ thống viễn thông, giúp kết nối các thiết bị thanh toán Điều này mang lại cho khách hàng khả năng truy cập nhanh chóng các dịch vụ 24/7, bất kỳ lúc nào và ở bất kỳ đâu Hệ thống này cũng cho phép kết nối với mạng lưới của các ngân hàng khác.
Ngân hàng cốt lõi là hệ thống quản lý thông tin ngân hàng, bao gồm dữ liệu về tài khoản, loại tài khoản, số dư và hạn mức tài khoản của các chủ thẻ tham gia vào hệ thống ngân hàng.
Switch là một hệ thống phần mềm và phần cứng, thường được gọi là hệ thống chuyển mạch, kết nối trực tiếp với Core bank và các thiết bị đầu cuối như ATM và POS.
Switch đóng vai trò quan trọng trong hệ thống ATM và các giao dịch tài chính khác Nó là trung tâm điều phối toàn bộ hệ thống, hoạt động như một thành phần trung gian giữa ATM và cơ sở dữ liệu ngân hàng Tất cả các giao dịch từ ATM đều phải được xử lý thông qua Switch.
- Chứcnăngquảnlýthẻ(CardManagement):Chứcnăngnàychophépkếtnốiđếnh ệ thốngquảnlýcác thiết bị sảnxuấtthẻ, cho phép giám sátvà quảnlýc á c t h ẻ đượcpháthành.
- Chứcnăng kếtnối cácthiết bịđầucuốinhưATM,POS,…
- Chứcnăng giámsát vàđiềukhiển toàn hệthống.
- Hệ thống cung cấp các giao tiếp với các thiết bị mã hóa cứng HSM, đảm bảo mãhóa,giảimã số PINvà xácthực các thôngđiệp
ATM(Automatic Teller Machine): được biết như là một kênh tự phục vụ thôngquathẻcủa ngân hàng, như cho phéprút tiền tự động, chuyểnk h o ả n , t h a n h t o á n hóađơn,mua vé,cácdịchvụthươngmạiđiệntử…
POS(Point of Service): được biết như là điểm thanh toán mua hàng bằng thẻthanh toán.
Status Monitoring ATM: Cho phép quản lý và giám sát toàn bộ tình trạng hiệnthời củacác ATM theo cácnhóm,theovịtrí địa lý…
Giaothứckếtnốihệthống ATM
Mỗi ATM hoạt động như một máy tính cá nhân, vì vậy mỗi máy ATM đều có một địa chỉ IP duy nhất để kết nối vào mạng Địa chỉ IP có thể được cấu hình dưới dạng tĩnh (static IP) hoặc động (dynamic IP).
Hiện nay, máy ATM chủ yếu sử dụng giao thức TCP/IP để kết nối tại Việt Nam, bên cạnh các giao thức khác như X.25 Những giao thức này được hỗ trợ bởi các loại đường truyền thông như Lease-line, Dial-up và Mega Wan.
Lợiíchcủaviệc sửdụngmáyATM
ATM là kênh tự phục vụ của ngân hàng, giúp khách hàng truy cập nhanh chóng và thuận tiện vào các dịch vụ ngân hàng Với khả năng hoạt động 24/7, ATM cho phép người dùng thực hiện giao dịch ở bất kỳ đâu và vào bất kỳ thời điểm nào.
ATM là một trong các kênh phân phối vụ bán lẻ của ngân hàng như: ATM,POS(pointof service),Telephonebanking,SMS
Bên cạnhđó,máyATMcòncó mộtsố ưuđiểmsau:
- Cácđịađiểmđặtmáythuậnlợi,thờigianphụcvụ24/7giúpdễtiếpcậnvới các dịchvụngânhàngnênthuhútnhiềuchủthẻhơn.
- Giảmlượng tiền mặt lưuthôngtrên thịthường. Đối với khách hàng:
Cácdịchvụtrên máyATM
- Tiệních/ Thanh toánhóađơn(Điệnthoại,điện,nước )
- Cácgiao dịchinternetthươngmại điệntử,điệnthoại,điện,nước
CHƯƠNG 2: HỆ THỐNG THANH TOÁN ATM CHO THẺ TỪ VÀ
Hệthốngthanhtoánchothẻtừ
Thẻtừ
Là loại thẻ nhựa cứng, các thông tin về thẻ được lưu trên băng từ Thẻ có thểthực hiệncác giao dịchtự độngnhư kiểm tra sốdư, rúttiền, chuyểnk h o ả n , … t ừ máyrút tiềnATM.
Cáctínhchấtvậtlýcủathẻtừ(kíchcỡ,khốilượng,cấutrúcvậtliệu,tínhchất cứng,tínhmềmdẻo,tínhbền …)tuântheochuẩn ISO7810
ChuẩnISO7810làmộttậpcácchuẩnmôtảcácđặctínhvậtlývàkíchcỡcủathẻ. -T h ẻ có4 loạikích thướckhác nhau:
• ID-000:Dài 25 mmRộng15 mmDày0.76 mm,
• ID-1:Dài85.60 mmRộng53,98mmDày0.76mm
• ID-2: Dài105 mmRộng 74mmDày0.76 mm
• ID-3: Dài125 mmRộng 88mmDày0.76 mm
Cácthông tindập nổitrênthẻtuân theo chuẩn ISO7811-1
0.030) Bảng 2.1: Bảng định nghĩa kích thước vị trí dập nổi, đơn vị milimet
(Inches)Trên thẻcó2khuvực dậpnổi:
- Khu vực 1 (Area 1) – được sử dụng để dập nổi số định dạng thẻ
- Khu vực 2 (Area 2) – được sử dụng để dập nổi tên, địa chỉ và các thông tin liênquanđếnchủ thẻ.
Các thông tin lưu trên vạch từ và cấu trúc các trường thông tin của thẻ tuântheo chuẩnISO7811-2,ISO7811-6và ISO7813.
Hình 2.3 Vị trí dải từ (Mặt sau thẻ)a,89(0.468): Khi sửdụng chocáctracks1và2 a,95(0.628):Khisửdụngchocáctracks1,2,và3Đơnvịmilimet( inches)
Hình2.4 Vịtrí củacácrãnh từtrongdải từ.
Bảng2.2:Bảngđịnhnghĩakíchthướcvịtrí rãnhtừ,đơn vịmilimet (Inches)
- Track 1là track tuân theo chuẩn IATA (International Air Bansport
Associantion).Đây là Track chỉ đọc, được ghi với mật độ cao và có thể chứa cả số lẫn ký tự chữcái.
- Track 2là track tuân theo chuẩn ABA (America Banker Association) Đây là
Track 3 là một track tuân theo chuẩn TTS (Thrift Third) với mật độ ghi cao, chỉ chứa ký tự số và có khả năng ghi đè lên dữ liệu đã có Thông thường, thông tin được sử dụng chủ yếu từ track 1 và track 2.
- Thông tin về các tính chất, mật độ ghi,… trên từng Track của thẻ có thể được tómlượclạinhưsau:
Mỗikýtựđượctạobởi 7bit(6bit dữ liệu+1 bitkiểmtrachẵnlẻ)
Mỗikýtựđượctạo bởi5bit(4dữliệu+1kiểmt rachẵnlẻ)
ISSUER IDENTIFICATION NUMBER (IIN) (fixed length 6 digits)
MII (variable length, max 12 digits, see ISO 7811-3)
Mỗi ký tự được tạobởi5bit(4d ữ l i ệ u + 1kiểmtrachẵnlẻ)
Bảng2.3Bảng mtảđịnh nghĩa cácTrack
Cấutrúccủa sốthẻ
SốPANlà số địnhdanhduynhấtđối vớitừngthẻ.TuântheochuẩnISO
Hình2.5Cấu trúcsốPAN SốPANcóthểlêntới19số,hiệntạihầuhếtthẻtừcủacácNgânhàngViệtNamđềucó16 chữsố.Số PANgồm3thànhphầnnhư sau:
I s s u e r I d e n t i f i c a t i o n N u m b e r:s ố đ ị n h d a n h đ ố i v ớ i n h à p h á t h à n h thẻ,IIN cũngđượcgọilà sốBIN–BankIdentification Number
IndividualAccount Identification:Sốnhậndạngtàikhoảnchủthẻ.Cácngân hàngcóthểquiđịnh cấu trúctrongtrườngthôngtin này.
ISSUER IDENTIFICATION NUMBER (IIN) INDIVIDUAL ACCOUNT CHECK
MII (variable length, max 12 digits, see ISO 7811-
Số BIN là số dùng để nhận dạng ngân
CD - Check Digit: Số với ý nghĩa mang tính chất kiểm tra số thẻ này có hợplệhaykhông.Số nàyđược tạoratừviệcsửdụnggiảithuậtLuhn.
Mỗi một ngân hàng đều có một số BIN đại diện Hệ thống đánh số BIN củathẻtuântheochuẩnISO7812và ISO3166.
The Bank Identification Number (BIN), also known as the Issuer Identification Number (IIN), is a six-digit code used to identify banks and card issuers It is an essential component of the Primary Account Number (PAN).
TrongđóchữsốđầutiênlàMII(MajorIndustryIdentifier)–làsốxácđịnhdịch vụ trong lĩnh vực công nghiệp Số này có các giá trị tuân theo chuẩn như sau:0: ĐểdànhdựtrữchotươnglaiđượcsửdụngbởiISO/TC68.
2: Được phân ra để dùng cho các tổ chức hàng không trong hiện tại cũng như tươnglai. 3:Dành cho cáctổ chứcdulịch vàgiải trí.
4: Dành cho các tổ chức tài chính, ngân hàng.5:Dànhcho cáctổchứctàichính,ngân hàng.
6: Dành cho lĩnhvựcngânhàng cũngnhưtronglĩnhvựccông thươngbuôn bán.
8: Dành cho những tổ chức liên quan đến lĩnh vực truyền thông.9:Đượcdữtrữdànhcholưuhànhnộibộtrongphạmviquốcgia.
Địnhdạngthông điệp(message)của máy ATM
Định dạng thông điệp là cấu trúcthông điệp để ATM cóthể traođ ổ i t h ô n g tin vớiSwitch.
Thông điệp trong giao dịch tài chính được chia thành hai loại: từ ATM đến Switch và từ Switch đến ATM Các định dạng thông điệp thường sử dụng trong máy ATM bao gồm 91x, NDx và ISOx Hiện nay, hai hãng sản xuất máy ATM lớn nhất thế giới là Diebold và NCR, do đó, chuẩn 91x và NDx là hai loại định dạng chính được áp dụng.
1) Đầu mục thông điệp (Message header) ĐầumụcnàysẽxuấthiệntrongtấtcảcácthôngđiệpđượcgửitừATMđếnSwitch.
Trường Miêutả Độ dài Giá trị Ghichú
2 TransactionCode Mãgiaodịch 3 xxx xxx là mã giaodịch
• Các trạng thái được định nghĩa:0-good
Các trạng thái được định nghĩa:0-Normal
Thông điệp xác thựcpin (PNV)
Trường Miêutả Độdài Giátrị Ghichú
Trường Miêutả Độdài Giátrị Ghichú
Trường Miêutả Độdài Giátrị Ghichú
Thông điệp Vấn tin - INQ
Trường Miêutả Độdài Giátrị Ghichú
Thông điệp Chuyển khoản - TFR
Trường Miêutả Độdài Giátrị Ghichú
18 TransactionAmount Khối lượng giao dịch
Tthông điệp Yêu cầu truyền khóa (RQK)
Trường Miêutả Độ dài Giátrị Ghichú
1.3.2 Thông điệp từSwitch đến ATM
2 Phảnhồitừchối xácthựcPIN-Rejected Responseto PINVerification(PNV)
6 Phản hồi được chấp nhận yêu cầu số dư & báo cáo nhỏ - Accepted Response toBalanceInquiry&MiniStatement(INQ)
7 Phảnhồixácnhậnchuyển tiền-AcceptedResponsetoFunds Transfer(TFR)
Phản hồi chấp nhậnxác thực PIN
Trường Miêutả Độ dài Giátrị Ghichú
Thông tin chi tiết của số thẻ “account detail” sẽ được gửi theo định dạng sau:Type:A/Cnumber:Type:A/Cnumber:Type:A/Cnumber:Type:A/Cnumber:
Có cáckiểutàikhoảnlà: CUR=Current; SAV=Saving
Nếu độ dàinhỏ hơn100thìsẽđượcđiềnthêmsố0
Phản hồi không chấpnhận xácthực PIN
Trường Miêutả Độ dài Giátrị Ghichú
NếuTCPlà47HthìtươngứngmãnhậnđượctừSwitch3001(Từchốibởikhôngđồng bộ đượckhóagiaodịch).Nếu TPC là54Htừchối thôngthường.
Phản hồi chấpnhận giao dịchrút tiền
Trường Miêutả Độ dài Giátrị Ghichú
8 TransactionAmount Khối lượng giao 8 dịch
Trả lời từ chối giao dịch rút tiền
Trường Miêutả Độ dài Giátrị Ghichú
Số thứ tự giao dịch
Note:TPCTH,đâylàthôngđiệptừchối thông thường
Trả lời từchối giao dịch rút tiềndo không đủ tiền
Trường Miêutả Độ dài Giátrị Ghichú
HệthốngthanhtoánATMchothẻchip
Thẻchip
Thẻ Chip, hay còn gọi là thẻ thông minh (Smart Card), là loại thẻ nhựa cứng với thông tin lưu trữ trên chip nhớ Thẻ này cho phép thực hiện các giao dịch tự động như kiểm tra số dư, rút tiền và chuyển khoản từ máy rút tiền tự động (ATM).
Tổngquan vềthẻ chip
Thẻ chip ra đời dựa trên hai nhân tố chính, các thuật toán mã hóa mạnh: mãhóakhóa côngkhaiRSA, mãhóa khóađốixứng 3DES,hàmbămSHA-1.
Chip trên thẻ có khả năng thực hiện các tính toán mã hóa trên dữ liệu, bao gồm thuật toán mã hóa PIN và chữ ký số RSA Để đảm bảo an toàn, hàm băm SHA-1 và MACing được sử dụng, cùng với việc mã hóa thông điệp theo từng phiên bằng 3DES.
Thẻ chip có thể được cập nhật hay lập trình lại một cách an toàn khi đang sửdụng.N g â n h à n g p h á t h à n h t h ẻ c ó t h ể c ậ p n h ậ t c á c t h a m sốq u ả n l í r ủ i r o c h ứ a trong mộtứng dụngngân hàng từxatrongmột giaodịchtrựctuyến tại terminal.
Một số loại thẻ đa ứng dụng hỗ trợ việc tải xuống các ứng dụng mới và xóađi các ứng dụngcũ từxatạiterminalschuyên dụnghayqua Internet.
Dữ liệu công khai bao gồm thông tin về chứng chỉ khóa công khai của nhà phát hành thẻ, chứng chỉ khóa công khai của thẻ, và chứng chỉ khóa công khai dùng để mã hóa PIN.
- Dữ liệu bí mật: khóa riêng của thẻ, khóa riêng mã hóa PIN, khóa chủ(MasterKey), PIN.
Phân loạithẻchip
• Phân loạitheophươngthức đọcdữliệutrênthẻ.Nóđược chiara làm3loại:
Thẻ tiếp xúc yêu cầu phải được đặt vào thiết bị đầu cuối hoặc máy đọc thẻ để đọc và ghi dữ liệu Loại thẻ này được ưa chuộng bởi các tổ chức tài chính và cơ quan truyền thông nhờ vào lợi thế về giá cả, tiêu chuẩn chất lượng và độ bảo mật cao.
Thẻ không tiếp xúc cho phép đọc và ghi dữ liệu mà không cần kết nối vật lý, có thể hoạt động hiệu quả ở khoảng cách vài chục centimet Tốc độ xử lý của thẻ không tiếp xúc nhanh hơn so với thẻ tiếp xúc, làm cho chúng trở thành lựa chọn lý tưởng cho các hệ thống quá cảnh và phương tiện giao thông công cộng Mặc dù thẻ không tiếp xúc có giá thành cao hơn, nhưng độ an toàn của chúng không bằng thẻ tiếp xúc.
Thẻ lưỡng tính là loại thẻ kết hợp giữa thẻ tiếp xúc và thẻ không tiếp xúc, cho phép truyền dữ liệu qua cả hai phương thức Loại thẻ này thường có giá thành cao hơn so với hai loại thẻ riêng biệt.
Hình2.9Mốitương quangiữagiá,dunglượng vàhiệunăng(tính năng)
Cácthành phầntrongkiến trúccủathẻchip
Smart Card là thẻ mỏng có gắn chip, điều này tạo ra những thách thức riêng trong thiết kế kiến trúc Tuy nhiên, các giải pháp hiện có cho việc thu nhỏ chip thông thường không nhất thiết phải phát minh ra một chip hoàn toàn mới.
Con chíp được gắn trên thẻ phải đảm bảo vị trí và các chiều của các tiếp xúcnhưđược chỉratronghình:
Các vùng C1, C2, C3, C5, và C7 phải được bao phủt o à n b ộ b ằ n g c á c m ặ t dẫn tạo nên các tiếp xúc ICC tối thiểu các vùng C4, C6, C8 có thể có các mặt dẫnmộtcáchtùychọn.
Việc gán các tiếp xúc ICC phải được định nghĩa như trong ISO/IEC 7816-
Thông thường, smart card sử dụng vi điều khiển 8-bit, nhưng để nâng cao hiệu suất, các chip 16 và 32-bit cũng đang được áp dụng Tuy nhiên, không có chip nào hỗ trợ đa luồng và các tính năng mạnh mẽ như trên máy tính truyền thống CPU của smart card thực hiện các chỉ thị với tốc độ khoảng 1 MIPS, và thường có thêm bộ đồng xử lý để cải thiện tốc độ tính toán mã hóa.
- RAM 1K Nó cần thiết cho việc tính toán và phản hồi nhanh chóng Chỉ có sẵndung lượngrấtnhỏ.
EEPROM (Electrically Erasable PROM) có dung lượng từ 1 đến 24K và khác với RAM, nội dung của nó không bị mất khi mất điện Mặc dù có thể chạy lại và ghi dữ liệu vào EEPROM, tốc độ ghi chậm và giới hạn số lần đọc/ghi khoảng 100.000 lần.
- ROM Khoảng từ 8 đến 24K Hệ điều hành và các phần mềm cơ bản khác giốngnhưcác thuậttoánmã hóađượclưu ởđây.
Nóchỉthôngqua mộtcổngI/O đượcđiềukhiểnbởibộxử lýđểđảm bảorằng các truyền thông được chuẩn hóa theo khuôn mẫu của APDUs (ApplicationProtocol Data Unit).
Thẻ thông minh cần nguồn năng lượng và tín hiệu đồng hồ để hoạt động các chương trình, nhưng chúng không thể tự cung cấp Thay vào đó, năng lượng và tín hiệu này được cung cấp bởi thiết bị giao tiếp (Interface Device).
(thông thường là một thiết bị đọc thẻ thôngminh)khigiaotiếpvớithẻ.Điềuđórõrànglàthẻthôngminhkhôngcógìkhác hơn là mộtthiếtbịlưutrữ.
SmartCard Word size ROM EEPROM RAM Voltage Clock Write/ erasecycles
Hệ điều hành trên thẻ thông minh thường sử dụng một tập hợp các câu lệnh chuẩn từ 20-30 câu lệnh, cho phép thẻ trả lời các yêu cầu Các chuẩn như ISO 7816 và CEN 7 2 6 mô tả các giao thức mà thẻ thông minh có thể áp dụng Khi thiết bị đọc thẻ gửi lệnh đến thẻ thông minh, thẻ sẽ thực hiện lệnh và trả về kết quả cho thiết bị đọc, sau đó chờ lệnh tiếp theo.
Vào năm 1998, Microsoft đã phát hành phiên bản Windows mini dành cho thẻ thông minh, cùng với các phiên bản trước của Gnu O/S Thẻ thông minh sử dụng chip vi xử lý cũng cần có hệ điều hành để quản lý và thực hiện các chức năng cũng như trao đổi dữ liệu với thiết bị đọc thẻ, tương tự như máy tính cá nhân Hiện tại, trên thị trường có ba loại hệ điều hành chính hỗ trợ đa ứng dụng cho thẻ thông minh.
Những hệ điều hành này và cácứ n g d ụ n g đ ư ợ c đ ư a v à o t h ẻ t r o n g q u á t r ì n h cá thểhóathẻ.
Khi ứng dụng như Visa’s VSDC, MasterCard’s M/Chip hay JCB’s J/Smart được cài đặt vào thẻ thông minh, cùng với dữ liệu duy nhất để cá nhân hóa ứng dụng cho chủ thẻ được cấp phép, thẻ sẽ có khả năng tương tác với các thiết bị thanh toán để thực hiện các giao dịch an toàn.
Mỗi file đều có danh sách các bên được cấp quyền thực hiện thao tác trên nó, và có nhiều loại file khác nhau như linear, cyclic, transparent, SIM, v.v Các thao tác cơ bản như tạo, xóa, đọc, ghi và cập nhật có thể được thực hiện trên tất cả các loại file này, trong khi một số thao tác khác chỉ được hỗ trợ trên các loại file cụ thể.
Linear Seek credit card accounttable Cyclic readnext,readprevious transactionlog Transparent readandwritebinary Picture
SIM file encrypt,decrypt cellulartelephone
ATM là một thành phần quan trọng trong mạng lưới phi tập trung, được phân bố ở nhiều địa điểm khác nhau Do đó, việc bảo mật và an toàn thông tin là ưu tiên hàng đầu Không chỉ đảm bảo an toàn cho từng máy ATM, mà còn cho toàn bộ hệ thống mạng.
Trong chương này ta tìm hiểu về bảo mật và an toàn thông tin trên hệ thốngthanh toánATM chothẻtừ.
Hình vẽ bên dưới mô thể hiện sơ đồ tổng thể một hệ thống mạng ATM củamột ngânhàng.
Thuậttoán, khóabí mậtvà thiếtbịmãhóatronghệthốngATM
ATM hoạt động như một máy tính trong mạng lưới, do đó cần có các biện pháp bảo đảm an toàn cho các giao dịch Để bảo vệ thông tin giao dịch trong quá trình truyền tải giữa ATM và Switch, hệ thống sử dụng thiết bị mã hóa để mã hóa và giải mã thông tin Máy ATM được trang bị thiết bị EPP (Encrypting PIN Pad), trong khi hệ thống Switch sử dụng thiết bị HSM (Hardware Security Module) để tăng cường bảo mật.
Thuật toán 3DES, hay Triple DES, là phiên bản mở rộng của DES, sử dụng ba khóa riêng biệt K1, K2 và K3 để mã hóa dữ liệu Mỗi khóa có độ dài 64 bit, tạo thành một khóa tổng hợp dài 192 bit (3 * 64 bit).
- Khi mãhóasửdụngK1mãhóa,K2giảimã,K3mãhóa.
1) Key single length (Bộ một khóa
2) Key double length (Bộ hai khóa
3) Key triple length (Bộ ba khóa
Trườnghợpnàykhônggiankhóa3*568bitVí dụ:Keytriple length
Khi đó cáckhóaconK1,K2,K3 đượctách nhưsau:
Quátrình mã hóavàgiảimãđược thựchiện nhưsau :
Mô tả quá trình giảimã3DES Hình3.2Cácbướcthựchiện trongquátrình mãhóavàgiảimãtheo 3DES.
Khóađượcsử dụ ng tro ng h ệ t h ố n g AT M gồm cóCVK,P VK ,W K , L MK ,TMKv à đượcđảmbảomộtsốtínhchấtsau:
- Khóacóđộdài64bit,128bithoặc192bittùytheocáchsửdụngkhóahoặcchọnmãhó a DES hay3DES.
TấtcảcáckhóatrênđềuđượctạoratrongthiếtbịHSMvàkhóaLMKphảiđượctạotrướ ctiêncòncáckhóa CVK,PVK,WK,TMKtạorasau.
KhóaCVK,PVK,WK,TMKđượclưudướidạngbảnmãtrongCSDLcủaSwitch vàcủaATM.
LMK được tạo ra trong HSM và được lưu trữ cả trong HSM lẫn smartcard Nếu HSM bị mở ra hoặc xâm nhập trái phép, LMK sẽ bị xóa và cần phải được nhập lại vào HSM Để sinh khóa LMK và tải vào HSM, cần có ít nhất 3 thành phần khác nhau, với khả năng cấu hình khóa LMK từ 3 đến 9 thành phần LMK component Mỗi thành phần khóa bản rõ sẽ do mỗi người giữ để đảm bảo an toàn Quá trình tạo LMK sử dụng phép XOR (Modulo 2) từ các LMK component.
- Khóađượcdùng đểmãhóavàgiảimãcáckhóaCVK,PVK,WK vàTMK.
KhóadùngđểsinhsốCVV/CVC,đểđảmbảothẻkhôngbịlàmgiả,khiphát hànhngườitadựatrêncácthôngtinvềthẻđểsinhsốCVV/CVC,sốnàyđượclưutrênthẻ.
Bản mã của khóa CVK sẽ được lưu vào hệ thống Switch Không lưu bản rõKhóacóđộdài64bit,128bithoặc192bit.
KhóađượcdùngđểmãhóavàgiảimãsốPINcủachủthẻ,sốPINnàyđượcmãhóa và lưutrongCSDLcủa CoreBank.
Bản mã của khóa PVK sẽ được lưu vào hệ thống Switch Không lưu bản rõKhóathườngkhôngthayđổi,nếuthayđổikhóathìphảithayđổitoànbộsố
KhóaWKđượcsinhngẫunhiêntrongHSM.Khóađượcdùngđểmãhóavàgiải mã sốPINtrongquátrìnhtraođổithôngđiệpgiữa ATMvàSwitch.
- Bảnmãthứnhấtđược mãbởi khóaLMKvàlưu trong CSDLcủaSwitch.
- Bản mãthứhaiđượcmãbởi khóa TMKvàlưutrong CSDLcủaATM.
KhóaT M K đ ư ợ c s i n h n g ẫ u n h i ê n t r o n g H S M v à đ ư ợ c m ã h ó a b ở i k h ó a LMK.Khóađược sửdụngđểgiảimãkhóa WK.
Khóađược lưu tạihainơilà tại EPPvà Switch:
- Tại Switch khóa được lưu trong CSDL dưới dạng bản mã, mã hóa bởi
- Khóacó độdài64bit,128bithoặc192bit.
Khóa LMK dùng để mã hóa và giải mã các khóa CVK,PVK, WK, TMK
Khóa TMK dùng để mã hóa và giải mã khóa WK
Hình 3.3 Phân lớp các khóa sử dụng trong hệ thống ATM.Mô tảvị trícáckhóatrong hệthốngATM
Hình 3.4 Mô tả các vị trí khóa trong hệ thống ATM.Tại ATM:
- WK được mã hóa bởi TMK và lưu trong CSDL của máy
- CVK,PVK,WK,TMKđượcmãhóabởiLMKvàlưutrong CSDLcủaSwitch.
E LMK (PVK): PVK Encrypted E LMK (WK): WK Encrypted
- LưuLMKdướidạngbản”rõ”trongHSMvàmộtbảndựphòngđượclưutrongmột Smartcard(Smrtcardcũngđượcbảomật).
- Một bản rõ lưutại EPP.
- Tất cảcáckhóatrênđều đượcsinh trongHSMvàđượcmãhóabởi khóaLMK.
4 Traođổi khóa WKg i ữ a A T M và Switch.
Khic ó y ê u c ầ u t r a o đổ i k h ó a W K g i ữ a AT M v à S w i t h t h ì q u á trì nh đ ư ợ c thựchi ệnnhưsau:
- Bản mãTMKđược giải mãbởikhóa LMKtrong HSM.
- BảnmãbởiLMKđượclưutạiSwitch,bảnmãbởiTMKsẽđượcgửichoATM,bản mã nàysẽđược lưutạiATM.
3.1.3 Thiếtbịmã hóa trong hệthống ATM.
Trong hệ thống ATM, hai thiết bị mã hóa quan trọng được sử dụng là EPP và HSM EPP là thiết bị mã hóa trực tiếp trên máy ATM, trong khi HSM đảm nhiệm việc mã hóa và giải mã cho hệ thống Switch Cả hai đều là thiết bị mã hóa cứng, đảm bảo an toàn cho giao dịch.
Bàn phím nhập PIN của máy ATM, được gọi là EPP, là thiết bị mã hóa chuyên dụng Thiết bị này có chức năng mã hóa trực tiếp số PIN khi người dùng nhập vào, và kết quả đầu ra là số PIN đã được mã hóa.
Số PIN được mã hóa ngay khi chủ thẻ nhậpđủ độ dài số PIN hoặc gõ enter để kết thúc nhậpPIN.KhônglưubấtkỳbảnrõnàocủasốPINchỉ lưubảnmã Hình3.9 Thiết bị mãhóaEPP.
HSM thiết bị mã hóa cứng dùng để mã hóavà giải mã, đây làmột phần của hệ thống phầnmềmSwitch.
Toàn bộ quá trình mã hóa và giải mã ở hệthống Switchđềuđượcthựchiện tại HSM.
Cơchếmãhóavà giải mãsốPINtronghệthống ATM
Các thiết bị được sử dụng bao gồm EPP dùng trong máy ATM và HSM dùngtronghệthốngSwitch.BảnrõcủaPINkhôngbaogiờđượcxuấthiệnngoàiFPP hayHSM.
SốPIN–sốnhậndạngcánhânhaycònđượcgọilàmãsốbímậtcủachủthẻ.Số PINđượcdùngđểxácđịnhđịnhdanhtàikhoảncủa chủthẻ. ĐộdàitốithiểucủasốPINlà4chữsốvàtốiđalà12chữsố,hiệnnaycácngânhàngởViệ tnamsố PINcó độdàikhôngquá6chữsố.
3.2.2 MãhóaPINtạiATM Để đảm bảo độ an toàn của số PIN trong quá trình truyền trên mạng, số PINsẽ được chuyển thành khối PIN (PIN Block) và khối PIN này sẽ được mã hóa trước khi chuyểntừATM tớihệthống Switch.
Khối PIN được mã hóa bằng khoá được cấu hình (thoả thuận) trước giữaATMvà hệthốngSwitch.
Thuật toán DES (3DES) hoạt động với khối dữ liệu đầu vào dài 64 bit, do đó PIN Block được tạo ra bằng cách sử dụng phép toán module-2 (XOR) giữa hai trường 64 bit theo tiêu chuẩn ISO 9564-1.
- TrườngsốPANtheokhuôndạng64bit. Điều kiện đầu vào và kết quả đầu ra của quá trình mã hóa số PIN.Đầu vào: Sốthẻ -PAN.
SốPIN. Đầu ra: Khối PIN Block được mã hóa bằng thuật toán DES (3DES) có độ dài
64bit.Quát r ì n h x á c t h ự c P I N sẽ đ ư ợ c l à m ởH S M ( k h ô n g l à m trongp h ầ n m ề m
Switch),giátrịtrảvềcủa HSMsẽ chobiếtsố PINnhậplà đúnghaysai.
N ChiềudàiPIN(4-12) 4 bitvới giá trịtừ0100 (4)đến1100(12)
P Chữsố trongsố PIN 4 bitvới giá trịtừ0000 (0)đến1001(9)
P/F SốPIN/Số lấpđầy Trườngnàyđược xácđịnhbởigiátrị N
0 =Pad digit Trường4 b i t c ó g i á t r ị l à 0 ( t h ể h i ệ n d ạ n g n h ị phân0000) A1…A12 countnumberA1đến A12 thuộc[0, ,9]
Số PAN bao gồm 12 ký tự bên phải, không tính đến chữ số kiểm tra (check digit) ở cuối Ký tự A12 là số đứng ngay trước chữ số kiểm tra Nếu số PAN không đủ 12 ký tự và không tính chữ số kiểm tra, các ký tự sẽ được sắp xếp từ bên phải và bổ sung bằng các số Paddigit ở bên trái.
Ví dụ c h o s ố P I N v à số PAN của một thẻ ATM như sau:
Các số điền đầy giá trị là “F” hệ Hexa (tương đương số 15 trong hệ thập phân) Độ dài PIN “5”
Khối PIN này được mã hóa bởi 3DES trước khi truyền đi, ví dụ với một khoábộhai(128bit)sẽđược dùngđểmã hóanhưsau:
AAEEAA75BDFDB57F66AAEEAA66AAEEAA với 64bitbêntrái (key1) và64bitbênphải(key2) ta có2nhưsau:
PIN dã mã hoá (PIN block)
PIN dã gi?i mã (B?n rõ PIN block)
PIN block dã mã hoá
Sơđồdướiđâymôtảviệcdùng khoá3DES bộ hai đểmã hoá vàgiảimã PIN block:
Tại HSM đểxácthựcPINgồmcác quá trìnhsau:
- Giải mãPINđượcnhập vàotừmáyATM đã đượcmãhóa.
- So sánh số PINđượcnhậpvào vàsố PINđượclưutrong CSDL.
- Quá trình xác thực đều thực hiện trong thiết bị
HSM.Kết quảđầu rasẽlà số PINnhậpvào đúnghaysai.
WK clear E WK (PIN block)
E PVK (PIN): PIN Encrypted (in
E LMK (WK): WK Encrypted SWITCH
8 KhốiPINđượclưutrongCSDLcủakhách hàngđượcgiải mãb ởi khóaPVK ,sauđó đượcsosánhvới khốiPINblocktrongModulePINVerification.
E nc ry pt De cr yp t
Mộtsốgiảipháp bảo mậtvàđảmbảoantoànthôngtintrong hệthống ATM.5 5
5 Mã hóa số PINcủa chủthẻkhithựchiệngiaodịch.
BIN – BANK IDENTIFICATION NUMBER Cardholder
Trong quá trình phát hành thẻ, hệ thống Switch sử dụng modul quản lý thẻ CMS để tính toán một số CheckDigit (CD) nằm trong khoảng từ 0 đến 9 Số này được gắn vào cuối thẻ và có chức năng kiểm tra tính chính xác của số thẻ.
Hình 3.16 Cấutrúccủa sốPANvàvịtrísố CD Tuynhiên,vìchữsốnàynằmtrongkhoảng[0,9]nêncóthểdễdàngtìmrađượcbằngcác hthayđổichữsốcuối củathẻvớicác giá trịlầnlượt từ0đến9.
DosốCD chỉ nằm trong khoảng[0, 9], nênsốCD chỉ dùngkiểm tramộtcáchtươngđối.
Giải thuật Luhn được sử dụng để kiểm tra tính hợp lệ của số thẻ tín dụng bằng cách kết hợp các chữ số xen kẽ và tính tổng Nếu tổng cuối cùng chia hết cho 10, thì số thẻ này được coi là hợp lệ.
Khi kiểm tra mã PIN của chủ thẻ, hệ thống Switch sẽ đồng thời xác minh số CD Dựa trên thông tin của thẻ, hệ thống sẽ tính toán số CD, và nếu các thông tin khớp nhau, thẻ sẽ được xác nhận là hợp lệ.
Giải thuật này thực hiện như sau:
4 Kiểmtra kếtquảtính được,nếusốnàolớnhơn9thìtrừđi9.
5 Cộng cáckết quảtínhđượclại vớinhautađượcmột số.
6 Thựchiệnphéptínhlấysốđơnvịcủasốđócộngvớisốcầntínhđ ể thành10,khi đógiảiphéptoánta được số CD.
Giảibàitoán:lấy số hàngđơn vịcủa84 cộngvớiYcótổngbằng10.
Bảng3.1 Cách sinhsốCD Y=6 =>Sốthẻhợplệchodãysốtrên: PANf88991234567896
Hoàntoàn tươngtựnhư trên,saukhicộngđượccácchữsốlạigồmcảsốCDta được tổng,nếutổngnàychiahếtcho10thì số thẻđóhợplệ.
Khi phát hành thẻ để đảm bảo thẻ không bị làm giả, người ta sử dụng sốCVV/CVC (Card Verification Value/ Card Verification Code) để phân biệt thẻ thậtthẻgiả.
Mỗi loại thẻ khi phát hành đều có một mã CVV/CVC được lưu trữ, và để sinh ra mã này, người ta sử dụng các thông tin đầu vào như Số thẻ (PAN), ngày hết hạn thẻ (Card expiration date) và Mã dịch vụ (Service code).
C V C và so khớpvớisố CVV/CVC được lưutrongthẻ,nếukhớpthìthẻhợplệ.
Input : chuỗi 64 bít hay 16 ký tự hexa được gọi là Transformed Security
Parameter(TSP), TSP tính từ Số thẻ PAN, Ngày hết hạn thẻ Card Expiration date(YYMM)và Mãdịchvụ Service code.
Output:16 ký tự hexa(64 bit).
TPScóđịnhdạnggồm9chữsốtínhtừbênphảicủasốPANloạitrừsốcuốicùng cộngvới4số Expdate cộngvới3sốService code
PAN, Expire date, Service code,
E LMK (CVK): CVK Thông tin thẻ (Track 2 của thẻ)
- Nếukhôngtìmđượcđủ3sốthậpphântrongđóthìsốcònthiếusẽsửdụnglàcác số không phải là thập phân tính từ trái qua và chuyển sang số thập phân theocôngthức A0;B1;C2; D3 ;E4;F5. Vídụ:OutputfromDES:0FAB9CDEFFEFDCBA
Quátrìnhxác thựcnàydiễnracùngvớiquá trìnhxác thựcPINcủa chủthẻ.
1 Khit h ự c hiệnxá c thựcP I N , t hì đồ ng th ời c á c thông t in c ủ a thẻl à T r a c k 2sẽ được gửi đến Switch Thông tin để xác thực bao gồm số PAN, ngày hết hạn thẻExpiredate,mã dịch vụ Service codevà sốCVV/CVC.
2 Bản mãcủakhóaCVKtại Switch đượcgiải mãbởi khóaLMKtrong HSM,
C V C K i ể m tras ố CVKđược sinhravớisố CVV/CVC được gửiđến.
Bảnr õ c ủ a P I N k h ô n g b a o g i ờ đ ư ợ c x u ấ t h i ệ n b ê n n g o à i m ộ t t h i ế t b ị E P P hayHSM. ĐểđảmbảoantoànthôngtinkhigiaodịchtrênATMsốPINsẽđượcmãhóa trước khi thực hiện giao dịch Số PIN của chủ thẻ được lưu trong CSDLCorebankdướidạngbảnđãđược mãhóa.
Không truy cập hoặc xác định được bản rõ của bất kỳ khoá bí mật nào đượclưu trữtrongthiếtbịEPP,HSMmộtcáchbấthợppháp.
Khi bịxâmnhậpmột cáchbất hợppháp,khóabí mậtsẽtựbịhủy.
Khóa có độ dài 64bit, 128bit hoặc 192bit tùy theo cách sử dụng khóa hoặcchọn mã hóa DES hay3DES.
Tạo PIN Block và mã hóa PIN Block theo khóa bí mật (Thực hiện tại thiết bị EPP) Xác thực số
Giải mã PIN Block theo khóa bí mật (Thực hiện tại thiết bị HSM)
Lưu PIN Block vào buffer của ATM
So sánh PIN trong CSDL Corebank và PIN khi giao dịch (Thực hiện tại HSM)
Từ chối/ Chấp nhận SWITCH
Hình 5.19 Quy trình mã hóa và xác thực PIN.Bước1:Chủ thẻđưa thẻvànhậpPINtại máyATM.
Bước 2: Tạo và mã hóa PIN Block bằng thuật toán DES (3DES) tại
Bước 5: So sánh PIN trong CSDL của chủ thẻ và PIN của giao dịch tại
HSM.Bước6: Kếtquảphản hồicho máyATMlàtừchốihaychấpnhận giaodịch.
3.3.4 Bảo đảmantoàn phầnmềmATM. Đảmbảophầnmềmcàiđặtcóbảnquyềnvàkhôngcài đặtcá c phầnmềmkhôngđ ượcphép. Đảmbảo antoàn mật khẩu truynhập vàophần mềm.
3.3.5 Bảo đảmantoàn hệđiều hành. Đểđảmbảo an toàn chohệđiều hành tacầnthựchiện một sốnội dung sau:
ATMđượcbảovệbằngvỏthép,cáchộpđựngtiềnđượcđặttrongmộttủmàđược gọilàkétsắt.Kétsắtgồmcó khóasốvà khóa chìađểđảmbảoantoàn.
ATM có hệthốngcamera giámsátvà ghilại….
Phânq u y ề n v à k i ể m s o á t t r u y c ậ p đ ế n t à i n g u y ê n c ủ a h ệ t h ố n g , s a o c h o thôngtink h ô n g bịl ộv ớ i người k h ô n g đượcp h é p , thôngtinsẵnsàngcho n g ư ờ i dùn g hợppháp.
Việc bảo mật cơ sở dữ liệu, bảo vệ thông tin trong quá trình truyền tải và đảm bảo an toàn cho mật khẩu là những yếu tố quan trọng hàng đầu Bên cạnh đó, bảo mật hệ thống cũng đóng một vai trò thiết yếu trong việc bảo vệ dữ liệu và thông tin.
Có một số điểm cần được lưu ý như sau: lưu ý đối với hệ thống ATM và lưuý đốivớingườidùng.
- Nếu bọn tội phạm ăn cắp (hoặc làm giả thẻ) và có số PIN thì coi như người dùngbịmấttiềntrongtàikhoản.
- SốPINlàmộtsốcótừ4đến6chữsốthậpphân,thìđâylàconsốkhônglớn,nên cóthểdễmòđược.
- NgườidùngchưacoitrọngthẻATMnhưlàmộtphầncuộcsốngcủamìnhnêndễ bị mất các thông tin liên quan đến thẻ hoặc bị mất thẻ dẫn đến mất tiền trong tàikhoản.
- Nhiều người dùng sợ quên sốPIN của mình nên đã ghi chép ra giấy,m ỗ i k h i giaodịchthìlấyrađểnhập.Đâylàmộtsơhởrấtnguyhiểm.
Việc cải thiện quy trình xác định danh tính tài khoản chủ thẻ thông qua số PIN nhập từ máy ATM là cần thiết, vì mật khẩu của người dùng đã được lưu trữ trong cơ sở dữ liệu của corebank, tạo ra những lỗ hổng bảo mật nghiêm trọng.
Khi nhập mật khẩu (số PIN) tại máy ATM, có thể có phần mềm độc hại từ hacker đã được cài sẵn, giúp thu thập mật khẩu trước khi nó được mã hóa và truyền đến Switch hoặc từ Switch đến corebank.
+Rấtcóthểcónhânviêntrongbộphậnquảntrịhệthốngliênkếtvớihacker,lúcđó cả khóa bí mật có thể bị lộ và số PIN của khách hàng có thể lấy ra được dướidạngbảnrõ,nhưvậyrấtnguyhiểm.
- Thông tin đi trên đường truyền của hệ thống đều được mã hóa Thế nhưng ở phíahaiđầu(tiềnmãhóavàhậumãdịch)lànhữngsơhởmàhackerchuyênnghiệp có tổchức cóthể moi được thông tinngaytừđó mà không cầnthámmã nữa.
GợiýcáchquảnlýsốPIN
Đốivớichủthẻcầnphảihếtsứccảnhgiác,coithẻATMvàsốPINlàmộtphần cuộc sốngcủamình,cầnlưuý một sốvấnđềsau:
- Khôngtruycập tàikhoản khi có ngườiở cạnh.
- Trước khichothẻvàomáyATM,cầnquansátxemmáy cógìbấtthường không,nếu cóthìbáongaychophía Ngânhàng.
Sử dụng ngày tháng năm sinh hoặc số chứng minh thư làm số PIN có thể thực hiện bằng cách cộng ngày tháng năm sinh với một số khác theo modulo 10 Kết quả này sẽ có độ dài tương đương với số PIN; nếu kết quả dài hơn, chỉ cần lấy phần có độ dài bằng số PIN, tính từ trái sang phải.
Vídụnếulấyngàysinh08/08/2008làmsốPINlà080808thìcóthểcộngthêmvớ isố686868khíđósố PINcóđượclà 767676.
Bằng cách làm đơn giản này, bạn có thể dễ dàng tạo và nhớ số PIN một cách hiệu quả Điều này sẽ giúp bảo vệ số PIN của bạn, ngay cả khi bạn mất chứng minh thư và thẻ ATM, khiến việc dò ra số PIN trở nên khó khăn hơn.
Sửdụngkỹ thuậthàmHashđểmãhóa sốPIN
Hàm băm là một loại hàm một chiều, cho phép dễ dàng xác định giá trị đầu ra từ giá trị đầu vào Tuy nhiên, việc xác định giá trị đầu vào từ giá trị đầu ra lại trở nên khó khăn, tạo ra tính bảo mật cho dữ liệu.
Việc sử dụng hàm Hash không yêu cầu khóa mã hóa, chỉ cần quản lý giá trị Hash, giúp bảo mật đơn giản, tiết kiệm bộ nhớ và tăng tốc độ tính toán Để bảo vệ số PIN của chủ thẻ, có thể áp dụng các hàm hash mạnh như SHA-1 hoặc MD5, hoặc phát triển thuật toán hash riêng Mặc dù việc tạo ra hàm hash riêng không dễ dàng, nhưng nếu kết hợp với các chuyên gia trong lĩnh vực an toàn thông tin, điều này hoàn toàn khả thi.
Kỹ thuật này cho phép lưu trữ giá trị số PIN trong cơ sở dữ liệu (CSDL) dưới dạng đã được Hash Để so sánh số PIN nhập từ máy ATM với số PIN lưu trong CSDL, chỉ cần Hash số PIN được nhập và so sánh trực tiếp với giá trị số PIN đã được Hash trong CSDL.
4.2.2Ứng dụng hàmHashvàomã hóa sốPIN.
SốPINsau khi Hashsẽcó độdài cốđịnh.
Hình 4.1M i n h họasốPINsau khiHash Để đảm bảo an toàn hơn ta thêm vào một thuật toán mã hóa rất đơn giản làphépchuyểnvị.Đốivớiphépchuyểnvị,độdàikhóađượclấylớnhơnhoặcbằng25 (khônglấycác độ dài4,8,16,32,64,….)
Giá trịz1, z2,…, z128sẽ được lưu vào CSDL, zi{0,1} Việc lưu các giá trịz1,z2,
…,z128chỉ cầnđảmbảo tuyệtđốiantoànnhưngkhông cầnthiếtphảibảomật,nghĩalàz1,z2,
…,z128phảikhôngđượcsửachữa,thayđổi,thêmbớt…vvchứkhông cầnbảomật,thậmchí côngkhaicũngđược.
Hình 4.2 Minh họa số PIN sau khi Hash sẽ được hoán vịKhóachuyểnvịđược lấytùyý cóđộdài
Nhập sốPINkhôngdùng bànphím
Số PIN có nguy cơ bị đánh cắp qua kỹ thuật "chặn bắt" bàn phím Việc áp dụng giải pháp không sử dụng bàn phím sẽ giúp giảm thiểu khả năng bị lừa đảo và bảo vệ thông tin cá nhân hiệu quả hơn.
Máy ATM hiện đại được trang bị thiết bị giao tiếp cho phép đọc đĩa CD, đĩa mềm và ổ USB, trong đó USB được đề xuất do tính tiện lợi Người dùng chỉ cần cắm USB chứa sẵn số PIN vào máy ATM để nhập PIN mà không cần gõ trực tiếp trên bàn phím Tuy nhiên, để đảm bảo an toàn, người dùng cần bảo vệ USB của mình, chỉ sử dụng để lưu trữ số PIN và không dùng cho việc trao đổi dữ liệu.
Bảođảmtoànvẹn nguồngốcthôngtin(MAC-MessageAuthentication Code).6 8
Trong quá trình truyền tải thông tin, một vấn đề quan trọng là xác định xem thông tin nhận được có bị thay đổi hay không Để giải quyết vấn đề này, chúng ta sử dụng chế độ hoạt động Cipher Block Chaining (CBC) của DES nhằm tạo ra mã xác thực (MAC).
MAC đảm bảo tính trung thực và toàn vẹn của dữ liệu, đồng thời xác minh nguồn gốc của thông điệp giữa bên gửi và bên nhận Tuy nhiên, cần lưu ý rằng nó không cung cấp độ bảo mật cho thông tin.
Hình4.3 MôphỏngmãxácthựcMACđượcgắn vàocuốithông điệp. mở.
=x1, x2, , xnlàt hôn gđiệ pcần gửi, y=y1
,y2, , ynlà cáck hối mãh óa nhậnđượckhi mã hóacácgiátrịxitương ứng,trongđó xi,yilàcáckhối8 byte.
Tínhyitheocôngthứcsau: yi= ek(yi-1xi), i = 1, 2, … ngiátrịynchínhlà MAC.
Quá trình giải mã như sau: xi= yi-1dk(yi), i=n, n-1,…,1Trong đó:eklàmãhóa DES theokhóak. dklà giải mã DES theo khóa k.làphép toánXOR modulo2
Chọn y0 = 00000000 và sử dụng khóa WK để mã hóa và giải mã, trong đó k là WK Sử dụng khóa k để thiết lập các khối mã hóa y1, y2, …, yn theo phương pháp CBC Cuối cùng, xác định MAC là yn.
Khi nhận được thông điệp, để kiểm tra xem thông điệp có bị thay đổi haykhôngta cóthểdùngtheohaicáchsau:
1 Từ thông điệp gốc nhận được và khóa bí mật k, ta tính yntheo CBC và kiểm trayncótrùngvớiMACkhông.
2 Từ giá trị MAC nhận được và khóa bí mật k, ta tính x=x1x2…xntheo CBC vàkiểmtra xcótrùngvớithôngđiệpgốchaykhông.
Mãhóathôngđiệp(KME MessageEncryptionKeys)
Sử dụng khóa WK để mã hóa thông điệp nhằm bản đảm an toàn thông điệptrên đườngtruyền.
(bước 3) Đểđảmbảovềthờigiantacóthểmãhóavàgiảimãcácvịtríxácđịnhcủathôngđiệp (encryptanddecrypt acertain portionof themessage).
Sửdụng Thuật toánDES vàkhóaWKđểmãhóavàgiải mã cáctrường trong thôngđiệpđã chọn.
Input:Cáctrườngđượcđềnghịsốtàikhoản,sốthẻ,sốtiềngiaodịch(độdàimaxcủacác trườnglà64bit)
Output:Giátrịmãhóacủacáctrường,độ dài64bit.
Bảođảmantoàntrênđườngtruyền
Đểđảmbảoantoànthôngtintrênđườngtruyền,giữaATMvàSwitchcầntạo ra mộtkênh kếtnốiriêng.
Phương thức mã hóa gồm có các bước sau:Bước 1: Trao đổi thông tin khởi tạo kênh bảo mật.Bước2:Traođổikhóa phiênlàmviệc.
Bước3: Mãhóatoànbộthôngtin trênkênhtruyền giữahai thiết bị.
Hình 4.4 Mã hoá thông tin trên kênh truyền giữa haithiết bị
ATMv à S w i t c h s ẽ t ạ o k ê n h k ế t n ố i t r ư ớ c k h i c h ú n g t r a o đ ổ i d ữ l i ệ u v ớ i nhau Khi tạo kết nối thành công thì kênh này được duy trì liên tục, còn khóa phiênlàm việc được thay đổi theo chu kỳ.
Có thể dùng thuật toán PGP10 - Pretty GoodPrivacyđểbảomậtthông tin trênđườngtruyền.
Saukhinghiêncứuđềtài“TìmhiểucơchếantoànvàbảomậtcủahệthốngATM”cóthể rútrađượcmộtsốkếtluận sauđây.
1 VớicácgiảiphápvềantoànvàbảomậtchohệthốngATMđãđượcnêu,thìhệthốngATMan toàn cho người sử dụng.
2 Vềphíangườisửdụng, cần cóýthứchơntrongviệcđảmbảoan toàn đốivớicácthẻATM của mình đó là giữ tuyệt đối an toàn cho số PIN, thẻ ATM và đảm bao an toàn khigiaodịch
3 ĐốivớiViệtnamhiện naythẻtừđangphổbiến,nhưngdo mức độantoàncủathẻtừlà không cao (dễ bị làm giả, bị sao chép) do đó xu thế trong tương lai thẻ chip sẽ thay thếthẻtừ.
Wikipedia.Đượclấyvềtại:http://vi.wikipedia.org/wiki/AES_(m%C3%A3_h%C3%B3a)
Wikipedia.Đượclấyvềtại:http://vi.wikipedia.org/wiki/DES_(m%C3%A3_h%C3%B3a).
6 Hiệp hội ngân hàng Việt nam, 10 năm phát triển của thị trường thẻ Được lấy về tại:http://www.vnba.org.vn/index.php?option=com_content&task=view&id74&Itemid
8 NCR–MICROTEC(2007),Tàiliệugiới thiệuhệthống máyATM.
12 ISO_IEC_7811-1_2002(E)-Identification cards-Recording technique-Part 1-