1 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC QUẢN LÝ VÀ CÔNG NGHỆ HẢI PHÒNG ĐỒ ÁN TỐT NGHIỆP NGÀNH CÔNG NGHỆ THÔNG TIN Sinh viên Trần Minh Quang Giảng viên hướng dẫn TS Hồ Văn Canh HẢI PHÒNG – 2022 2 BỘ GI[.]
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC QUẢN LÝ VÀ CƠNG NGHỆ HẢI PHỊNG - ĐỒ ÁN TỐT NGHIỆP NGÀNH : CÔNG NGHỆ THÔNG TIN Sinh viên : Trần Minh Quang Giảng viên hướng dẫn: TS Hồ Văn Canh HẢI PHÒNG – 2022 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC QUẢN LÝ VÀ CƠNG NGHỆ HẢI PHỊNG - TÌM HIỂU VẤN ĐỀ BẢO MẬT THÔNG TIN TRÊN HỆ THỐNG ATM (Automatic Teller Machine) ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY NGÀNH: CÔNG NGHỆ THÔNG TIN Sinh viên : Trần Minh Quang Giảng viên hướng dẫn: TS Hồ Văn Canh HẢI PHÒNG – 2022 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC QUẢN LÝ VÀ CƠNG NGHỆ HẢI PHỊNG NHIỆM VỤ ĐỀ TÀI TỐT NGHIỆP Sinh viên: Trần Minh Quang Mã SV: 1712112002 Lớp Ngành : CT2201M : Công nghệ thơng tin Tên đề tài: Tìm hiểu vấn đề bảo mật thông tin hệ thống ATM (Automatic Teller Machine) NHIỆM VỤ ĐỀ TÀI Nội dung yêu cầu cần giải nhiệm vụ đề tài tốt nghiệp ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… Các tài liệu, số liệu cần thiết ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… Địa điểm thực tập tốt nghiệp ………………………………………………………………………………… LỜI CẢM ƠN Trong lời báo cáo Đồ án tốt nghiệp “Nghiên cứu, tìm hiểu hệ thống rút tiền tự động ATM vấn đề ATTT cho hệ thống” này, em muốn gửi lời cảm ơn biết ơn chân thành tới tất người hỗ trợ, giúp đỡ em kiến thức tinh thần trình thực Đề án Trước hết em xin gửi lời cảm ơn đến TS Hồ Văn Canh, người thầy hướng dẫn em nhiều suốt trình tìm hiểu hồn thành đồ án từ lý thuyết đến ứng dụng hệ thống ATM Đồng thời em xin chân thành cảm ơn thầy cô môn thầy cô trường trang bị cho em kiến thức cần thiết để em hồn thành tốt đồ án Cuối em xin gửi lời cảm ơn đến gia đình, bạn bè, người thân giúp đỡ động viên em nhiều trình học tập làm Đồ án Tốt Nghiệp Do thời gian có hạn, kiến thức cịn nhiều hạn chế nên Đồ án thực chắn không tránh khỏi thiếu sót định Em mong nhận ý kiến đóng góp thầy bạn để em có thêm kinh nghiệm tiếp tục hồn thiện Đồ án Em xin chân thành cảm ơn! Hải Phòng, ngày tháng năm 2022 Sinh viên thực Trần Minh Quang DANH MỤC NHỮNG TỪ VIẾT TẮT ATM ATM: Automatic Teller Machine BIN: Bank Identification Number CVK: Card Verification Keys CD: Check Digitp CSDL: Cơ sở liệu DES: Data Encryption Standard 3DES: Triple DES EMV: Europay, MasterCard, Visa EPP: Encrypt PIN Pad HSM: Hardware Security Module ISO: International Organization for Standardization KME (MEK): Message Encryption Keys LMK: Local Master Keys MD: Message Digest Algorithm MAC: Message Authentication Code PC: Personal Computer POS: Point Of Service PIN: Personal Identification Number PAN: Primary Account Number PVV: VISA PIN Verification Keys PVK: PIN Verification Keys RSA: Rivest, Shamir And Adleman TMK: Terminal Master Keys WK: Working Keys LỜI MỞ ĐẦU Ngày nay, công nghệ ATM ứng dụng rộng rãi phạm vi toàn giới Việt Nam Khái niệm máy rút tiền ATM khơng cịn xa lạ sống ngƣời dân Việt Nam Những tiện ích mà dịch vụ thẻ mang lại góp phần bước thay đổi thói quen qua sử dụng tiền mặt người dân, giảm chi phí xã hội, nâng cao khả quản lý tiền tệ Nhà nước góp phần hữu ích vào việc tạo dựng móng cho hình thành thương mại điện tử non trẻ nước ta Tuy nhiên, vấn đề xúc đặt làm để đảm bảo an toàn tuyệt đối cho hệ thống người dùng, chống lại gian lận, ăn cắp tài khoản … người dùng Với vấn đề trên, em chọn đề tài “Nghiên cứu, tìm hiểu hệ thống rút tiền tự động ATM vấn đề ATTT hệ thống” nhằm mục đích nghiên cứu chế hoạt động, độ an tồn tính bảo mật hệ thống ATM, phân tích đánh giá, ƣu nhƣợc điểm công nghệ sử dụng, nhằm mục tiêu đề giải pháp tối ưu giúp cho tính bảo mật an tồn hệ thống nâng cao Ngoài phần mở đầu, lời cảm ơn, tài liệu tham khảo, luận văn gồm có chương phần kết luận Chương Tổng quan máy ATM hệ thống toán tự động ATM Chương Hệ thống toán ATM cho thẻ từ thẻ chip Chương Cơ chế bảo mật an tồn thơng tin hệ thống ATM Chương Đề xuất giải pháp đảm bảo tính an tồn, bảo mật thông tin cho hệ thống ATM MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ MÁY ATM VÀ HỆ THỐNG THANH TOÁN TỰ ĐỘNG ATM 10 Sự phát triển máy ATM 10 Tình hình sử dụng máy ATM 10 Định nghĩa máy ATM 11 Cấu tạo máy ATM 12 4.1 Phần cứng 12 4.2 Phần mềm 15 Cấu trúc hệ thống toán ATM 15 5.1 Tổng quan hệ thống toán ATM .15 5.2 Giao thức kết nối hệ thống ATM .17 Lợi ích việc sử dụng máy ATM 17 Các dịch vụ máy ATM 18 CHƯƠNG 2: HỆ THỐNG THANH TOÁN ATM CHO THẺ TỪ VÀ THẺ CHIP 19 Hệ thống toán cho thẻ từ 19 1.1 Thẻ từ 19 1.2 Cấu trúc số thẻ 23 1.3 Định dạng thông điệp (message) máy ATM .25 Hệ thống toán ATM cho thẻ chip 33 2.1 Thẻ chip 33 2.2 Tổng quan thẻ chip .33 2.3 Phân loại thẻ chip 34 2.4 Các thành phần kiến trúc thẻ chip .35 CHƯƠNG CƠ CHẾ BẢO MẬT VÀ AN TỒN THƠNG TIN TRÊN HỆ THỐNG ATM 41 3.1 Thuật tốn, khóa bí mật thiết bị mã hóa hệ thống ATM 41 3.1.1 Thuật tốn mã hóa 42 3.1.2 Khóa bí mật hệ thống ATM .43 3.1.3 Thiết bị mã hóa hệ thống ATM 49 3.2 Cơ chế mã hóa giải mã số PIN hệ thống ATM 50 3.2.1 Định nghĩa số PIN - Personal Identification Number 50 3.2.2 Mã hóa PIN ATM 50 3.2.3 Xác thực PIN HSM .53 3.3 Một số giải pháp bảo mật đảm bảo an tồn thơng tin hệ thống ATM 55 3.3.1 Kiểm tra tính đắn số thẻ - Card number Check Digit 56 3.3.2 Xác thực tính hợp lệ thẻ - Card Authentication Values 59 3.3.3 Bảo đảm an tồn thơng tin giao dịch 61 3.3.4 Bảo đảm an toàn phần mềm ATM 62 3.3.5 Bảo đảm an toàn hệ điều hành .62 3.3.6 Bảo đảm an tồn chống cơng vật lý .63 3.3.7 Bảo đảm an tồn từ phía ngân hàng .63 3.3.8 Bảo đảm an tồn từ phía người dùng 63 CHƯƠNG 4: ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO TÍNH AN TỒN, BẢO MẬT THƠNG TIN CHO HỆ THỐNG ATM 64 4.1 Gợi ý cách quản lý số PIN 65 4.2 Sử dụng kỹ thuật hàm Hash để mã hóa số PIN 66 4.2.1 Giới thiệu hàm Hash – hàm băm 66 4.2.2 Ứng dụng hàm Hash vào mã hóa số PIN .67 4.3 Nhập số PIN khơng dùng bàn phím 68 4.4 Bảo đảm toàn vẹn nguồn gốc thông tin (MAC- Message Authentication Code) 68 4.4.1 Định nghĩa MAC 68 4.4.2 Chế độ hoạt động CBC .69 4.4.3 Xác thực thông điệp MAC ATM hệ thống Switch 69 4.5 Mã hóa thơng điệp (KME Message Encryption Keys) 69 4.6 Bảo đảm an toàn đường truyền 70 KẾT LUẬN 73 TÀI LIỆU THAM KHẢO 74 CHƯƠNG TỔNG QUAN VỀ MÁY ATM VÀ HỆ THỐNG THANH TOÁN TỰ ĐỘNG ATM Sự phát triển máy ATM Máy rút tiền giới thiết kế hoàn thành Luther George Simjian (người Thổ Nhĩ Kỳ), vào năm 1939, máy thiết kế thành phố NewYork cho Ngân hàng City Bank of NewYork, tháng sau bị bỏ người dùng Sau 25 năm, vào ngày 27/6/1967, máy rút tiền điện tử hãng In De la Rue thiết kế Enfield Town (gần London Anh) cho Ngân hàng Barclays Bank Người phát minh John Shepherd-Barron Luther George Simjian vài người khác đăng ký văn phát minh cho loại máy Tuy nhiên, nhiều người cho loại máy ATM theo nghĩa ATM mà giới ngày sử dụng loại máy mắt vào năm 1969 Ngân hàng Chemical Bank NewYork (Mỹ) Tác giả Don Wetzel, phó giám đốc cơng ty chuyên máy tự động xử lý hành lý ATM ngày thiết bị để Ngân hàng giao dịch tự động với chủ thẻ, thực thông qua loại thẻ ATM thẻ ghi nợ, thẻ ghi có (thẻ tín dụng), loại thẻ khác, giúp chủ thẻ kiểm tra tài khoản, rút tiền mặt, chuyển khoản tốn hàng hóa, dịch vụ (theo báo Tin học Tài - Bộ tài số 58, tháng 4/2008) Tình hình sử dụng máy ATM Thanh toán tiền qua hệ thống ATM phổ biến toàn giới Việt Nam hệ thống ATM dần trở nên quen thuộc với người dân Năm 1993, thị trường thẻ Việt Nam xuất sản phẩm thẻ Vietcombank phát hành, đến năm 1996 thị trưởng thẻ thực xuất Năm 1996, ngân hàng ngoại thương Vietcombank kết hợp ngân hàng nhà nước triển khai lắp đặt máy rút tiền tự động Hà Nội Đến nay, chứng kiến phát triển vượt bậc thị trưởng thẻ máy ATM Việt Nam: với 20 ngân hàng thương mại phát hành Thẻ nội địa, có Ngân hàng phát hành thẻ Quốc tế 10 Số lượng thẻ phát hành Năm Gồm thẻ nội địa quốc tế Số máy ATM Đơn vị: 1996 360 1997 460 1998 4.500 1999 2.500 2000 5.000 2001 15.000 2002 40.000 2003 230.000 2004 560.000 2005 1.250.000 T6/2006 3.500.000 2007 8.400.000 4.020 T3/2008 10.000.000 4500 Bảng 1.1: Số liệu thống kê thị trường thẻ Việt Nam qua năm (Theo hiệp hội ngân hang Việt Nam hội thảo Banking Việt Nam 2008) Định nghĩa máy ATM ATM máy giao dịch tự động gọi hệ thống ngân hang tự động, không đơn máy rút tiền tự động mà cịn có nhiều dịch vụ khác chuyển khoản, tốn hóa đơn, dịch vụ thương mại điện tử…được gọi hệ thống giao dịch ngân hàng tự động 11 Hình 1.1 Máy ATM nhìn từ phía trước Cấu tạo máy ATM ATM coi thiết bị chuyên biệt sử dụng lĩnh vực ngân hàng, kênh phục vụ tự động ngân hàng, cần có cấu tạo đặc biệt để thực chức yêu cầu Cấu tạo máy ATM gồm phần phần cứng phần mềm Hình 1.2 Cấu tạo máy ATM 4.1 Phần cứng Các thiết bị phần cứng chia sau: Thiết bị đầu vào Thiết bị đầu 12 Máy tính điều khiển Thiết bị đọc thẻ Bàn phím Khe nhận tiền Màn hình hiển thị 13 Thiết bị trả tiền khay chứa tiền Thiết bị in biên lai giao dịch Máy ghi nhật kí giao dịch Loa Bảng 1.2: Các thiết bị phần cứng Trong máy ATM thiết bị phần cứng sử dụng chuẩn giao tiếp sau để kết nối đến máy PC: SDC (Seria Direct Connect), RS 232, Parallel, PCI, ISA, USB 14 4.2 Phần mềm Hầu hết loại máy ATM phải có hệ điều hành (OS-operate system), phần mềm điều khiển thiết bị máy ATM phần mềm tiện ích kèm theo Hiện nay, hệ điều hành Window NT, Window XP Cấu trúc hệ thống toán ATM 5.1 Tổng quan hệ thống toán ATM Hệ thống ATM hệ thống mạng gồm có thành phần trung tâm Switch, CoreBank hệ thống mạng viễn thông dùng để kết nối thiết bị toán nhằm giúp cho khách hàng truy cập thuận tiện dịch vụ cách nhanh chóng, dịch vụ 24/7 nơi đâu vào thời gian Ngồi kết nối đến hệ thống mạng ngân hàng khác Card Management System SWITCH Core Bank Status Monitoring ATM (Email, SMS ,Performance Reports) ATM ATM NETWORK ATM Standard Message: 911,912 NDC,NDC+, 47x Finance Statement Message: ISO 8583, D1000 ATM Hình 2.14 Sơ đồ mạng lưới ATM 15 OTHER SWITCH PO S Finance Statement Message: ISO 8583 ,D1000 Core Bank: Hệ thống Ngân hàng cốt lõi, nơi tập trung CSDL thông tin ngân hàng thông tin tài khoản, kiểu tài khoản, số dư tài khoản, số hạn mức tài khoản chủ thẻ tham gia vào hệ thống ngân hàng Switch: Là hệ thống phần mềm phần cứng (thường gọi hệ thống chuyển mạch) kết nối trực tiếp với Core bank thiết bị đầu cuối ATM, POS Switch quan trọng hệ thống ATM, giao dịch tài khác Switch trung tâm tồn hệ thống, thành phần trung gian ATM sở liệu ngân hàng Mọi giao dịch từ ATM phải thông qua Switch Hệ thống gồm số chức sau: - Chức quản lý thẻ (Card Management): Chức cho phép kết nối đến hệ thống quản lý thiết bị sản xuất thẻ, cho phép giám sát quản lý thẻ phát hành - Chức kết nối thiết bị đầu cuối ATM, POS,… - Chức giám sát điều khiển toàn hệ thống - Ghi nhật kí lưu vết giao dịch - Hệ thống cung cấp giao tiếp với thiết bị mã hóa cứng HSM, đảm bảo mã hóa, giải mã số PIN xác thực thông điệp - Kết nối đến ngân hàng hay tổ chức phát hành khác VISA, MasterCard,… ATM (Automatic Teller Machine): biết kênh tự phục vụ thông qua thẻ ngân hàng, cho phép rút tiền tự động, chuyển khoản, tốn hóa đơn, mua vé, dịch vụ thương mại điện tử… POS (Point of Service): biết điểm toán mua hàng thẻ toán Status Monitoring ATM: Cho phép quản lý giám sát tồn tình trạng thời ATM theo nhóm, theo vị trí địa lý… 16 5.2 Giao thức kết nối hệ thống ATM Mỗi ATM coi máy PC, ATM có địa IP xác định để tham gia vào mạng Có thể đặt địa IP tĩnh (static IP) IP động (dynamic IP) Hiện máy ATM hỗ trợ giao thức kết nối như: TCP/IP, X.25, Ở Việt nam máy ATM chủ yếu sử dụng giao thức TCP/IP để kết nối Các giao thức hỗ trợ đường truyền thông đường Lease-line, Dialup, Mega Wan Lợi ích việc sử dụng máy ATM Đối với ngân hàng: ATM biết đến kênh tự phục vụ ngân hàng, phận chiến lược kênh phân phối ngân hang giúp chủ thẻ truy cập cách thuận tiện dịch vụ cách nhanh chóng, dịch vụ 24/7 nơi đâu vào thời gian ATM kênh phân phối vụ bán lẻ ngân hàng như: ATM, POS (point of service), Telephone banking, SMS Bên cạnh đó, máy ATM cịn có số ưu điểm sau: - Các địa điểm đặt máy thuận lợi, thời gian phục vụ 24/7 giúp dễ tiếp cận với dịch vụ ngân hàng nên thu hút nhiều chủ thẻ - Mỗi ATM coi chi nhánh Ngân hàng, giảm thiểu chi phí vận hành chi nhánh Ngân hàng - Hệ thống ATM khác biệt chất lượng phục vụ nhãn hiệu để cạnh tranh với ngân hàng khác - Giảm lượng tiền mặt lưu thông thị thường Đối với khách hàng: - Thuận tiện tiếp cận ngân hàng - Nhanh chờ đợi quầy giao dịch 17 Các dịch vụ máy ATM - Rút tiền mặt (Card Withdrawal) - Chuyển khoản (Fund Transfer) - Tiện ích/ Thanh tốn hóa đơn (Điện thoại, điện, nước ) - Gửi tiền - Các giao dịch internet thương mại điện tử, điện thoại, điện, nước 18 CHƯƠNG 2: HỆ THỐNG THANH TOÁN ATM CHO THẺ TỪ VÀ THẺ CHIP Hệ thống toán cho thẻ từ 1.1 Thẻ từ Là loại thẻ nhựa cứng, thông tin thẻ lưu băng từ Thẻ thực giao dịch tự động kiểm tra số dư, rút tiền, chuyển khoản,…từ máy rút tiền ATM 1.1.1 Tính chất vật lí thẻ Các tính chất vật lý thẻ từ (kích cỡ, khối lượng, cấu trúc vật liệu, tính chất cứng, tính mềm dẻo, tính bền …) tuân theo chuẩn ISO 7810 Chuẩn ISO 7810 tập chuẩn mơ tả đặc tính vật lý kích cỡ thẻ - Thẻ có loại kích thước khác nhau: • ID-000: Dài 25 mm Rộng 15 mm Dày 0.76 mm, • ID-1: Dài 85.60 mm Rộng 53,98 mm Dày 0.76 mm • ID-2: Dài 105 mm Rộng 74 mm Dày 0.76 mm • ID-3: Dài 125 mm Rộng 88 mm Dày 0.76 mm - Thẻ ATM loại thẻ ID-1 Hình 2.1 Kích thước thẻ 19 1.1.2 Thông tin dập thẻ Các thông tin dập thẻ tuân theo chuẩn ISO 7811-1 Hình 2.2 Các vị trí dập thẻ (mặt trước) Identification number line (Area 1) Name and address area (Area 2) A 21,42 ± 0,12 (0.843 ± E 14,53 (0.572) maximum 0.005) B C D 10,18 ± 0,25 (0.401 ± F 2,54 (0.100) minimum 0.010) 3,30 (0.130) maximum 65,31 ± 0,76 (2.571 ± G 7,65 ± 0,25 (0.301 ± 0.030) 0.010) 24,03 (0.946) maximum H 66,04 ± 0,76 (2.600 ± 0.030) Bảng 2.1: Bảng định nghĩa kích thước vị trí dập nổi, đơn vị milimet (Inches) Trên thẻ có khu vực dập nổi: - Khu vực (Area 1) – sử dụng để dập số định dạng thẻ (Identification number) - Khu vực (Area 2) – sử dụng để dập tên, địa thông tin liên quan đến chủ thẻ 20 ... VÀ CƠNG NGHỆ HẢI PHỊNG - TÌM HIỂU VẤN ĐỀ BẢO MẬT THÔNG TIN TRÊN HỆ THỐNG ATM (Automatic Teller Machine) ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY NGÀNH: CƠNG NGHỆ THÔNG TIN Sinh... CƠNG NGHỆ HẢI PHỊNG NHIỆM VỤ ĐỀ TÀI TỐT NGHIỆP Sinh viên: Trần Minh Quang Mã SV: 1712112002 Lớp Ngành : CT2201M : Công nghệ thông tin Tên đề tài: Tìm hiểu vấn đề bảo mật thông. .. Chương Hệ thống toán ATM cho thẻ từ thẻ chip Chương Cơ chế bảo mật an tồn thơng tin hệ thống ATM Chương Đề xuất giải pháp đảm bảo tính an tồn, bảo mật thông tin cho hệ thống ATM MỤC LỤC LỜI MỞ