Đăng ký
  1. Trang chủ
  2. » Công Nghệ Thông Tin

Report EPayment System

22 402 3

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

BÁO CÁO AN TOÀN BẢO MẬT THÔNG TIN Khảo sát hệ thống toán điện tử Giáo viên hướng dẫn: TS Phạm Văn Hậu Học viên: Nguyễn Tuấn Anh Mã học viên: CH1402002 Hệ thống toán điện tử Mục lục Trang 2/ 22 Hệ thống toán điện tử List of Figures List of Tables Trang 3/ 22 Hệ thống toán điện tử GIỚI THIỆU CÁC HÌNH THỨC THANH TOÁN ĐIỆN TỬ 1.1 HỆ THỐNG THANH TOÁN ĐIỆN TỬ SỬ DỤNG THẺ THÔNG MINH(SMARTCARD BASED ELECTRONIC PAYMENT) Thẻ thông minh (smart card) dạng thẻ tích hợp chip nhúng cung cấp cho người sử dụng tính di động Nó kết hợp thẻ nhựa thẻ từ cho mục đích xác định vào thẻ, dùng để truy cập nhiều dịch vụ, hệ thống mạng Internet cho phép sử dụng nhiều tính ứng dụng Hệ thống toán thẻ thông minh cung cấp chế bảo mật xác thật yếu tố (three-factor) cho việc xác minh xác thực người dùng Ba yếu tố bao gồm mã định danh (PIN), chữ ký số, dấu vân tay sinh trắc học Cơ chế nhằm tăng mức độ bảo mật cho hệ thống Thẻ tín dụng (credit card) , thẻ ghi nợ (debit cards) thẻ trả trước (prepaid card) hình thức phổ biến toán điện tử Figure - Smart cards 1.2 HỆ THỐNG THANH TOÁN TRỰC TUYẾN (ONLINE PAYMENT SYSTEM) Hệ thống toán trực tuyến dựa hệ thống Internet Banking, bao gồm việc chuyển tiền mua sắm trực tuyến thông qua Internet Người dùng chuyển tiền tới bên thứ ba từ tài khoản ngân hàng họ họ sử dụng thẻ tín dụng, ghi nợ trả trước để thực việc mua sắm trực tuyến Hệ thống toán trực tuyến cho phép khách hàng đơn vị tài thực giao dịch website bảo mật vận hành đơn vị đó, ngân hàng bán lẻ, ngân hàng ảo, hiệp hội tín dụng cộng đồng Để truy cập sử dụng tiện ích ngân hàng trực tuyến, khách hàng sử dụng kết nối internet pải đăng ký tài khoản để xác minh Tài khoản cho phép khách hàng kết nối mã số khách hàng họ với nhiều tài khoản khác mà họ nắm giữ , ví dụ séc, tài khoản tiết kiệm, vay, thẻ tín dụng … Trang 4/ 22 Hệ thống toán điện tử Figure - Giao dịch trực tuyến hoạt động 1.3 HỆ THỐNG THANH TOÁN DI ĐỘNG (MOBILE PHONE BASED PAYMENT SYSTEM) Hệ thống cho phép khách hàng sử dụng điện thoại di động để chi trả cho giao dịch theo nhiều cách khác Khách hàng gửi tin nhắn SMS, xác nhận mà PIN, sử dụng giao thức ứng dụng không dây (WAP Wireless Application Protocol) để thực toán trực Trang 5/ 22 Hệ thống toán điện tử tuyến, phần khác giao dịch điện thoại Ngoài với phát triển điện thoại di động ngày sử dụng cách thức khác hồng ngoại, Bluetooth, NFC Figure - Mobile banking 1.4 HỆ THỐNG THANH TOÁN VÍ ĐIỆN TỬ (ELECTRONIC WALLET PAYMENT SYSTEM) Hệ thống ví điện tử cung cấp tất tính ví ngày thẻ thông minh tiện lợi, loại bỏ cần thiết nhiều loại thẻ ví Ngoài ví điện tử cung cấp nhiều tính bảo mật mà ví thông thường Ví dụ bật ví điện tử Paypal Paypal cho phép toán chuyển khoản thực thông qua Internet Hiện cách nhanh để nhận trả tiền trực tuyến Với Paypal tiền gửi mà không cần hiển thị thông tin tài Ngoài người dùng linh hoạt trả tiền sử dụng tài khoản ngân hàng, tín dụng thông qua Paypal Một loại ví điện tử tiếng khác Windows Phone Wallet, phát triển Microsoft Windows Phone Wallet sử dụng cho micro-payments, ví điện tử loại bỏ việc phải nhập lại thông tin cá nhân nhiều lần đem lại tốc độ tính hiệu cao mua sắm trực tuyến Ngoài loại ví điện tử khác lên Google Wallet, có tính tương tự PayPal Nó cung cấp khả bảo mật mà an toàn, cung cấp tinh gửi toán qua đính kèm email Nó hoạt động tương thích với tất loại thẻ ghi nợ, tín dụng, thiết bị di động Với tính “tap and pay”, Google Wallet cho phép người sử dụng toán hàng triệu điểm cửa hàng toàn giới 1.5 HỆ THỐNG THANH TOÁN CHI PHIẾU ĐIỆN TỬ (ELECTRONIC CHEQUE PAYMENT SYSTEM) Chi phiếu điện tử tương đương chi phiếu giấy Người chi trả viết chi phiếu điện tự máy tính, ký gửi qua Internet Người chi trả ký chi phiếu điện tử cách sử dụng thiết bị phần cứng bảo mật đính kèm chứng thực xác nhận (được ký ngân hàng phát hành) Trang 6/ 22 Hệ thống toán điện tử Figure - Chi phiếu điện tử người chi tới người thụ hưởng Người thụ hưởng nhận chi phiếu điện tử, xác minh chữ ký người chi trả, xác nhận, viết phiếu ký quỹ ký phiếu Figure - Người thụ hưởng kiểm tra chi phiếu PHƯƠNG THỨC HOẠT ĐỘNG 2.1 HỆ THỐNG THANH TOÁN BẰNG THẺ 2.1.1 Thẻ tín dụng Hệ thống toán thẻ tín dụng áp dụng từ năm đầu 1960 Có nhiều công ty phát hành thẻ thị trường, thẻ Visa Master loại thị trường quốc tế Có năm đối tượng tham gia vào giao dịch thẻ tín dụng: • Chủ thẻ • Người bán • Ngân hàng phá hành thẻ: nơi phát hành thẻ tín dụng vận hành tải khoản thẻ • Ngân hàng chấp nhận: xử lý hóa đơn người bán Người bán phải đăng ký với ngân hàng chấp nhận thẻ • Mạng thẻ tín dụng : Liên doanh nhà phát hành thẻ Kết nối ngân hàng phát hành thẻ với ngân hàng chấp nhận thẻ điều phối trao đổi thông tin, dòng vốn Ví dụ thẻ Visa Master Trang 7/ 22 Hệ thống toán điện tử Cách thức vận hành bước • Bước : Cấp phép Ở bước này, người bán phải yêu cầu chấp nhận cho việc toán từ ngân hàng phát hành thẻ  Chủ thẻ trình thẻ cho người bán nơi bán hàng  Sau quét thẻ thiết bị toán, thông tin thẻ gửi đến ngân hàng chấp nhận thẻ (hoặc đơn vị chấp nhận xử lý) thông qua kết nối Internet đường dây điện thoại  Ngân hàng chấp nhận thẻ đơn vị chấp nhận xử lý chuyển tiếp thông tin thẻ tới mạng thẻ tín dụng  Mạng thẻ tín dụng xác minh cấp phép toán từ ngân hàng phát hành thẻ Yêu cầu cấp phép bao gồm: • Số thẻ • Ngày hết hạn • Địa hóa đơn • Mã bảo mật thẻ - ví dụ CVV (Card Verification Value) • Số tiền toán Figure - Credit card authorization • Bước : Xác thực (Authentication) Trong bước này, ngân hàng phát hành thẻ xác thực tính hợp lệ thẻ tín dụng khách hàng, sử dụng công cụ chống gian lận Dịch vụ xác thực địa (AVS Address Verification Service) mã bảo mật thẻ CVV, CVV2, CVC2 , CID, 4DBC Trang 8/ 22 Hệ thống toán điện tử  Ngân hàng phát hành thẻ nhận yêu cầu cấp phép toán từ mạng thẻ tín dụng  Ngân hàng phát hành thẻ kiểm tra số thẻ, số tiền sẵn có, địa toán mã bảo mật thẻ  Ngân hàng phát hành thẻ ưng thuận từ chối, giao dịch gửi hồi đáp tương ứng cho người bán theo trình tự ngược lại: mạng thẻ tín dụng, ngân hàng chấp nhận thẻ đơn vị xử lý  Khi người bán cấp phép, ngân hàng phát hành thẻ khoản tiền rong tài khoản chủ thẻ Thiết bị toán người bán tổng hợp lại xử lý lần vào cuối ngày  Người bán cung cấp hóa đơn cho khách hàng để kết thúc mua bán Figure - Credit card authentication • Bước : toán bù trừ toán Trong bước toán bù trừ, giao dịch ghi lên hóa đơn tháng chủ thẻ kê người bán.Nó diễn lúc với trình toán Trang 9/ 22 Hệ thống toán điện tử  Vào cuối ngày làm việc, người bán gửi tất ủy quyền chấp thuận dợt tới ngân hàng chấp nhận thẻ đơn vị xử lý  Thông tin định hướng tới mạng thẻ tín dụng để toán  Mạng tín dụng chuyển giao dịch chấp nhận tới ngân hàng phát hành thẻ  Thông thường khoản 24 tới 48 tiếng cho giao dịch, ngân hàng phát hành thẻ chuyển khoản (số tiền phí chuyển tiền, khác ngân hàng, tiền chia sẻ với mạng tín dụng VISA, MASTER … )  Mạng thẻ tín dụng trả cho ngân hàng chấp nhận thẻ đơn vị chấp nhận xử lý phần trăm tương ứng từ quỹ lại  Ngân hàng chấp nhận thẻ tăng tiền tài khoản người bán  Ngân hàng phát hành thẻ đăng thông tin giao dịch vào tài khoản chủ thẻ Chủ thẻ nhận thông báo chi trả hóa đơn Trang 10/ 22 Hệ thống toán điện tử Figure - Credit card clearing and settlement 2.1.2 Thẻ ghi nợ Thẻ ghi nợ gần giống thẻ tín dụng hay thẻ ATM Trong thẻ tín dụng cách để “trả sau” (pay later), thẻ ghi nợ cách “trả liền” (pay now) Thẻ ghi nợ trực tuyến (dựa vào mã PIN) ngoại tuyến (dựa vào chữ ký) Thẻ ghi nợ trực tuyến, sử dụng mã PIN để xác thực khách hàng truy cập trực tuyến thông tin số dư tài khoản Thẻ ghi nợ thường thẻ ATM nâng cấp chúng hoạt động giống hoạt động giao dịch ATM Các đơn vị tài chứng thực khách hàng cách so khớp mã PIN với số tài khoản trực tiếp thông qua thiết bị người nhận tiền (người bán) Giao dịch thẻ ghi nợ sử dụng cách chuyển khoản điện tử (EFT Electronic Fund Transfer) giao dịch ATM Thẻ ghi nợ ngoại tuyến, chứng thực khách hàng thông qua chữ ký ghi sẵn Vì quy trình giao dịch giống với giao dịch thẻ tín dụng thông qua mạng lưới thẻ giao dịch kết toán vào cuối ngày làm việc Trang 11/ 22 Hệ thống toán điện tử Figure - Debit Card Payment System Transactions Bước 1: Người chi trả nhập mà PIN để xác thực giao dịch Bước & bước 3: Đơn vị tài người thụ hướng (người bán hàng), yêu cầu xác thực từ đơn vị tài người chi trả thông qua mạng EFT Bước 4: Đơn vị tài người chi trả xác nhận tiền khoản ghi nợ người chi trả Bước 5: Mạng EFT xác thực mua bán Bước 6: Mạng EFT xác định nợ ròng khoản ghi nợ đơn vị tài toán khoản họ sử dụng ACH Bước 7: Người bán nhận khoản giao dịch, trừ khoản phí áp dụng chi phí khác định giá đơn vị tài chấp nhận thẻ tổ chức trung gian khác để giao dịch Bước 8: Cuối ngày làm việc Đơn vị tài phát hành thẻ chấp nhận thẻ thiết lập toán ròng tất giao dịch họ với ACH 2.1.3 Thẻ trả trước Thẻ trả trước thẻ nạp số tiền định dùng để chi trả chuyển cho cá nhân người bán hàng giống sử dụng tiền giấy Ngoài tiền mặt ra, thẻ trả trước cho phép nhiều thứ khác điểm mua sắm, thời gian gọi điện … Một vài thẻ trả trước thẻ thông minh có nhúng microchip Chíp nhúng lưu trữ giá trị thực tính toán Thẻ dùng để thay tiền mặt, thẻ điện thoại, thẻ quà tặng … Loại thẻ chứa số tiền có giá cố định lần tương tác với thiết bị đọc ghi để tăng giá trị thẻ Các loại thẻ thường dùng cho giao dịch nhỏ Trang 12/ 22 Hệ thống toán điện tử Figure - Stored Value Card Payment System Transactions Bước : Khách hàng mua thẻ trả trước Bước 3, : Khi khách hàng trả tiền cho hàng hóa dịch vụ với thẻ trả trước ký hiệu điện tử thẻ chuyển từ thẻ sang máy tính tiền người bán Bước : Người bán liên hệ với đơn vị phát hành giá trị thẻ trả trước trình token toán Bước : Mạng lưới toán thông báo đơn vị tài cấp thẻ trả tiền tương ứng cho đơn vị tài chấp nhận thẻ toán ròng diễn cuối ngày 2.2 ELECTRONIC CHECK AND ACCOUNT TRANSFER PAYMENT SYSTEMS Thanh toán chi phiếu giấy thông dụng nhiều nước Xu hướng thay đổi nhanh chóng chi phiếu giấy vận hành tốn chi phí trung bình cho chi phiếu thường cao trường hợp kiểm tra chi phiếu bị trả lại Ý tưởng chi phiếu điện tử thay cho chi phiếu giấy Chữ ký số mã hoá công khai tay chữ ký tay mà không cần tạo công cụ với nhiều vấn đề pháp lý, thương mại… 2.2.1 Electronic check payment system Trong hệ thống này, chi phiếu thường sinh ký số người chi trả trước chuyển qua mạng tới người thụ hưởng để xác minh Người thụ hưởng ký hậu phi phiếu cách áp dụng chữ ký điện tử khác trước gửi tới mạng ngân hàng Mạng tài dùng để làm rõ , xác thực chi phiếu điện tử ngân hàng người chi trả người thụ hưởng Để đảm bảo tính khả dụng khoản tiền trình mua hàng, chi phiếu nên toán trực tuyến Chữ ký số đảm bảo bên tham gia giao dịch định danh rõ ràng Một chi phiếu điện tử ký chuyển từ người thụ hưởng tới ngân hàng chấp nhận để xác thực toán với ngân hàng phát hành chi phiếu Giống toán thẻ tín dụng trực tuyến, việc tạo xác Trang 13/ 22 Hệ thống toán điện tử minh chữ ký số bắt buộc Tiền trừ từ tài khoản người chi thời điểm mua hàng sau Figure - Electronic Check Payment System Transactions Bước 1: Người chi gửi chi phiếu điện tử với tất thông tin cần thiết chữ ký mã hóa Bước 2: Người thụ hưởng gửi lại hóa đơn sau nhận chi phiếu điện tử Bước 3: Người thụ hưởng xác nhận chữ ký người chi trả gửi tới ngân hàng người thụ hưởng dạng thư mã hóa (Secure Envelope) chưa thông thi chi phiếu chi tiết Bước 4: Ngân hàng người thụ hưởng kiểm tra chữ ký người chi trả người thụ hưởng gửi chi phiếu điện tử cho toán bù trừ ACH Bước 5: Ngân hàng người chi trả xác minh chữ ký người chi trả, trừ tiền tài khoản họ gửi email thông báo Thông thường, chi phiếu điện tử viết ngôn ngữ FSML (Financial Service Markup Language), ngôn ngữ hỗ trợ cấu trúc liệu chữ ký mã hóa cần thiết cho chi phiếu điện tử Chứng X.509 dùng với chi phiếu điện tử để xác minh chữ ký số X.509 cấp cho khách hàng thời điểm mở tài khoản ngân hàng Chữ ký mã hóa phù hợp để bảo mật chi phiếu điện tử khỏi việc giả mạo, gian lận bảo đảm tính toàn vẹn, xác thực chối bỏ 2.2.2 Electronic account transfer payment Đây phương thức toán thay cho phiếu điện tử toán thẻ Trong phương pháp toán này, người chi trả xác thực số tiền cần chuyển khoản, thông thường mạng lưới ngân hàng Hệ thống toán hỗ trợ không toán người bánkhách hàng mà khách hàng-khách hàng Tài khoản cá nhân nạp tiền sử dụng hệ thống toán thẻ Giao tiếp với ngân hàng bảo vệ với việc sử dụng SSL chứng thực dựa mật Mật thường yêu cầu phải đủ phức tạp Paypal, Yahoo Pay Direct Prepay vài ứng dụng thương mại loại hình toán Trang 14/ 22 Hệ thống toán điện tử Figure - - Electronic Account Transfer Payment System Transactions Bước 1: Chọn hệ thống toán Bước 2: Chuyển hướng tới hệ thông toán với chi tiết giao dịch Bước 3: Thanh toán xác thực qua SSL Bước 4: Chuyển hướng tới người bán với thị toán Bước 5: Chỉ thị toán từ hệ thống toán Bước 6: Nhận hàng dịch vụ 2.3 ELECTRONIC CASH PAYMENT SYSTEM Tiền điện tử kho lưu trữ giá trị tiền tệ dạng số, dùng để thực giao dịch lúc Hệ thống toán tiền điện tử hệ thống toán trực tiếp ẩn danh dựa token mà công cụ toán bao gồm thẻ tín dụng điện tử độc lập trả trước phát hành đơn vị tài đáng tin cậy Khách hàng sử dụng hệ thống tiền điện tử để toán qua Internet mà không cần liên hệ với ngân hàng trình toán Trang 15/ 22 Hệ thống toán điện tử Figure - Electronic Cash Payment System Transactions Thông thường, hệ thống toán tiền điện tử bao gồm pha : • • • Rút tiền (Withdrawal) Thanh toán (Payment) Gửi tiền (Deposit) Bước 1: Rút tiền, người trả rút đồng tiền điện tử có mệnh giá cụ thể từ ngân hàng trực tuyến Mỗi đồng tiền bao gồm số serial mệnh giá Để chứng thực, đồng tiền ký ngân hàng Bước 2: Thanh toán, người dùng thu thập lượng xác đồng tiền điện tử gửi qua mạng để thực việc chi trả Người thụ hưởng kiểm tra tính xác thực cách kiểm tra chữ ký ngân hàng đồng tiền Bước 3: Gửi tiền, người thụ hưởng gửi đồn tiền tới ngân hàng để xác minh nhằm tránh việc tiêu tiền kép Ngân hàng tránh việc tiêu tiền kép cách trì sở liệu tất số serial đồng tiền chi Nếu số serial đồng tiền không nằm sở liệu toán hợp lệ số xem chi tiêu thêm vào sở liệu nêu Hệ thống toán tiền mặt điện tử mô hình theo hệ thống toán tiền giấy truyền thống, có đặc tính hệ thống truyền thống Một vài đặc tính bật sau: • Tính ẩn danh (Anonymity) Giống hệ thống truyền thống, hệ thống toán tiền điện tử ẩn danh truy ngược lại cá nhân cụ thể dựa vào số serial đồng tiền, Trang 16/ 22 Hệ thống toán điện tử gọi “không thể truy dấu cách vô điều kiện” Ngay ngân hàng áp dụng việc ký đồng tiền với chữ ký mù (blind signatures) Đồng tiền che đậy khỏi người dùng yếu tố gay mù người dùng gửi chúng cho ngân hàng để ký lên Như ngân hàng biết thông tin • Tính bảo mật (Security) Các vấn đề bảo mật quan trọng củ hệ thống giả mạo chi tiêu kép (hoặc đa chi tiêu) Cũng hệ thống toán truyền thông, giải mạo vấn đề toán điện tử Ở đồng giả mạo tạo với đầy đủ đặc tính đồng thật ngoại trừ chúng rút ngân hàng tương ứng Tuy nhiên áp dụng xác thực người dùng nghiêm ngặt toàn vẹn gói tin việc giả mạo token tránh Sử dụng token để chi tiêu lập lập lại gọi chi tiêu kép đa chi tiêu chi tiêu lập Phương pháp để đối phó phải kiểm tra sở liệu nêu • Tính chia hết (Divisibility) Người dùng cần có mệnh giá xác thời điểm mua hàng để toán họ cần phải giữ nhiều mệnh giá dẫn đến chi phí lưu trữ không mong muốn vấn đề xử lý đồng tiền (cũng giống có tiền với nhiều mệnh giá bóp) Nếu toán trực tuyến, vấn đề Trong trường hợp ngoại tuyến, giải pháp hệ thống tiền chia nhỏ đề xuất • Tính chuyển nhượng (transferability) Tính chuyển nhượng hệ thống toán tiền điện tử có nghĩa người thụ hưởng nhận tiền điện tử giao dịch, họ tiêu mà không cần gửi tiền vào ngân hàng trước sau lấy đồng Có nhiều hệ thống toán tiền điện tử, phổ biến hai hệ thống sau:  Digicash  Mondex 2.4 MOBILE PAYMENT SYSTEM MỘT SỐ VẤN ĐỀ BẢO MẬT Ở chương trình bày vấn đề bảo mật số giải pháp cho hệ thống toán điện tử Chương chia làm phần: Góc nhìn hệ thống: mô tả chi tiết mặt kỹ thuật Trang 17/ 22 Hệ thống toán điện tử Góc nhìn người dùng: mô tả vấn đề an ninh mà người dùng quan tâm 3.1 3.1.1 GÓC NHÌN HỆ THỐNG Hệ thống toán có thẻ - Card Present (CP) 3.1.1.1 Giới thiệu Thuật ngữ giao dịch diện thẻ (card-present-transaction [CP]) có nghĩa thời điểm toán chủ thẻ phải trình thẻ cho người bán Nhưng giao dịch online thông qua internet cho dù có sử dụng thẻ thông qua đầu đọc thẻ không tính loại gọi giao dịch không diện thẻ (card-not-present-transaction [CNP]) Trong giao dịch CP, thông tin thẻ chuyển tới công toán xác thực Trong giao dịch gian lận người mua hoàn toàn lỗi người bán xác thực thực công toán Hệ thống thống trị loại giao dịch EMV (Europay, Mastercard and Visa) biết tới với tên khác Chip PIN Hệ thống giao thức phức tạp tập điều kiện để tương tác thẻ tín dụng thông minh thiết bị toán Người bán hàng cần sử dụng loại thiết bị cho tất hãng thẻ Khía cạnh vật lý thẻ EMV dựa chuẩn ISO/IEC 7816 Giao dịch dịch EMV có bốn bước  Đọc thông tin cần thiết từ thẻ thiết bị  Xác nhận tính xác thực thẻ, có phương pháp gọi phương thức xác thực thẻ (Card Authentication Method [CAM]): “xác thực liệu tĩnh” (Static-DataAuthentication[SDA]), “xác thực liệu động” (Dynamic-Data-Authentication [DDA]), “kết hợp DDA với ứng dụng mã hóa” (Combind-DDA-with-Application-Crytogram [CDA])  Xác minh chủ thẻ thông qua đàm phán thẻ thiết bị đọc để chọn phương pháp xác minh Bằng cách này, đối tượng liệu lưu trữ phương pháp xác minh lựa chọn gọi CVM (Cardholder Verification Method) Thông thường sử dụng PIN, chữ ký chủ thẻ không cần xác minh  Bước cuối xác thực giao dịch Ở bước thiết bị xác nhận chủ thẻ có đủ tiền cho giao dịch hành Trang 18/ 22 Hệ thống toán điện tử Figure - A complete run of a Chip and PIN protocol SDA: phương thức đơn giản để xác thực thẻ Phương pháp không chống lại công phát lại Thực tế, phương pháp không yêu cầu thẻ có chip xử lý không yêu cầu chip xử lý thực phương thức mã hóa nào, có liệu tĩnh ký ngân hành phát hành trao đổi thẻ thiết bị đọc Phương pháp dễ dàng bị công cách chép thông tin tĩnh vào thẻ giả mạo sử dụng ứng dụng đọc thẻ chấp nhận PIN, loại thẻ giả mạo thường gọi “Yes-card” Phương thức công bảo vệ giao dịch trực tuyến nhờ vào liên hệ với ngân hàng người bán để xác minh mã bảo mật (MAC) thẻ DDA: phương pháp yêu cầu chip thẻ phải thực thuật toán mã hóa công khai Phương thức tự sinh đoạn mã (unique cryptogram) cho giao dịch Mỗi thẻ có khóa bí mật để xác minh tính xác thực ngược lại thiết bị có mà công khai VISA hay MasterCard để xác minh chứng thẻ Tuy nhiên phương pháp không bảo mật giao dịch ngoại tuyến CDA: Phương pháp đòi hỏi thẻ phải có khả thực thuật toán mã hoá RSA Trên thực tế, CDA tương tự phương thức DDA thêm bước thẻ phải inh chữ ký thứ hai để xác nhận thẻ chứng thực cho trình xác thực 3.1.1.2 Tấn công SDA Trong SDA có mã đối xứng sử dụng sau xác nhận mã PIN, thiết bị gửi đển thẻ liệu giao dịch sau thẻ tính mã chứng thực (MAC) liệu gọi chứng giao dịch Trong trường hợp giao dịch trực tuyến thẻ chứng chứng thực điểm bán hàng kết nối với ngân hàng Tuy nhiên giao dịch ngoại tuyến thẻ thông minh bảo mật nhiệm vụ xác thực mã PIN thực thẻ kẻ công lập trình thẻ giả đế chấp nhận mã PIN Trang 19/ 22 Hệ thống toán điện tử 3.1.1.3 MITM với hệ thống EMV Tuy nhiên chứng thực trực tuyến bị công kỹ thuật Man-In-TheMiddle lỗ hổng nằm bước xác thực PIN không chứng thực (đối tượng, nguồn xác thực PIN không chứng thực) Figure - Man-In-The-Middle Attack in EMV Sơ lược trình xác minh chủ thẻ trường hợp nhập mã PIN, thẻ lời với mã 9000 ngược lại 63Cx (x: số lần nhập PIN người dùng) Nhưng điểm yếu nằm chỗ thiết bị thẻ không xác thực gửi mã trả lời  Dữ liệu chứng thực gửi tới ngân hàng bao gồm “Terminal Verification Results” (TVR) “Issuer Appliation Data” (IAD) Điểm yếu trình nằm chỗ trường hợp xác thự thành công, không cho biết phương thức sử dụng (PIN hay chữ ký) Vì kẻ công sử dụng lỗ hỏng thực công MITM cách chặn kết nối thẻ thiết bị để lừa thiết bị cách gửi mã trả lời 9000, mà không gửi mã PIN tới thẻ thẻ cho thiết bị phương thức xác nhận mã PIN nên sử dụng phương thức xác nhận chữ ký Ngược lại, thẻ không nhận mã PIN sai nên số lần thử sai không tăng Kết TVR bits không đặt, lần thử hay thất bại thiết bị đọc thẻ thẻ bị lừa Thiết bị tin xác nhận mã PIN thành công sau nhận mã trả lời 9000 sau tạo giá trị zero cho TVR, thẻ tin thiết bị không hỗ trợ chứng thực mã PIN chấp nhận kết zero từ thiết bị đọc Table - Terminal Verification Results (TVR) in EMV Standard bit Description Reserverd Reserverd Online PIN entered PIN is not entered PIN pad does not work Number of attempt to enter PIN exceeded Unrecognized CVM Cardholder verification was not successful Trang 20/ 22 Hệ thống toán điện tử 3.1.1.4 Số không dự đoán (NU) Pre-Play Attack Trong trường hợp giao dịch ATM, thẻ chip không tham gia vào trình chứng thực mà ATM mã hoá trả PIN cho ngân hàng phát hành Sau chứng thực giao dịch qua mạng ATM, ATM chuyển cho the liệu bao gồm số không dự đoán (unpredictable number [UN], thường gọi số nonce 32bit) để chắn giao dịch lập lại mà giao dịch hoàn toàn Để trả lời, thẻ trả “Authorization Request Crytogram” (ARQC), mã bảo mật tính toán liệu “Applicatrion Transaction Counter” (ATC) với Issure Application Data (IAD) Kịch công vào phương pháp thực cách tay số UN, gọi Pre-Play attack Kẻ công lưu lại ARQC cách sử dụng thiết bị bị nhiễm mã độc ARQC liên quan tới số nonce N Sau kẻ ấn công chuyển tới ATM mà ATM sinh số nonce N’ (như trình bày) Vậy nhiệm vụ kẻ công thay số N’ N ATM chuyển liệu tới mạng ATM Figure - Pre-Play attack against EMV 3.1.1.5 Replay attack với hệ thống EMV Mặc dù thẻ thông minh thiết bị chống phá hoại thuận tiện để mang đi, gặp vấn đề với giao diện người dùng Nói cách khác, giao tiếp IO, việc nhập PIN phải thông qua thiết bị khác dẫn đến không việc không tự kiểm soát an toàn Ví dụ kẻ công sử dụng Camera quét thẻ kép, hack thiết bị đọc thẻ, thiết bị đọc thẻ giả mạo, thiết bị quét thiết bị đọc thẻ 3.1.2 Hệ thống toán thẻ - Card Not Present (CNP) CNP là loại thanh toán khi giao dịch mà không cần trình thẻ cho người bán và  thường được diễn qua Internet điện thọi Bởi thiết bị đọc thẻ nơi bán loại giao dịch này, nên quy trình chuẩn để chứng thực chủ thẻ thách Trang 21/ 22 Hệ thống toán điện tử thức lớn cho vấn đề an ninh giao dịch CNP CNP được chia ra 2 hướng tiếp cận chính: đầu tiên là dựa trên giao thức EMV  trong đó khách hàng tại thời điểm mua hàng phải có thẻ Chứng thực cho loại giao tức gọi chứng thực yếu tố (Two-factor),nghĩa thẻ thông minh mật SET/EMV EMV/CAP Hướng thứ hai khách hàng không cần thẻ thời điểm giao dịch, ví dụ 3D SET 3D SSL (gọi chung 3D Secure , ban đầu biết đến Verified-By-Visa hay MasterCard-Secure-Code 3.1.2.1 3D Secure 3.1.2.2 SET 3.1.2.3 SET/EMV 3.1.2.4 Chip Authentication Program : EMV/CAP 3.1.3 Hệ thống tiền điện tử 3.1.4 NFC hệ thống không tiếp xúc 3.1.5 Google Wallet, Android Pay, Apple Pay 3.2 GÓC NHÌN NGƯỜI DÙNG TÀI LIỆU THAM KHẢO [1] Solat, S (2017) Security of Electronic Payment Systems: A Comprehensive Survey CoRR, abs/1701.04556 [2] Mandadi, Ravi Kumar (2006).Comparison of Current On-line Payment Technologies, Linköping Institute of Technology [3] S J Murdoch, S Drimer, R Anderson and M Bond, "Chip and PIN is Broken," 2010 IEEE Symposium on Security and Privacy, Oakland, CA, USA, 2010, pp 433-446 doi: 10.1109/SP.2010.33 [4] Bogdan-Alexandru URS, Security Issues and Solutions in E-Payment Systems, Fiat Iustitia,No.1, 2015, PP.172 Trang 22/ 22

Ngày đăng: 10/06/2017, 21:58

Xem thêm: Report EPayment System

TỪ KHÓA LIÊN QUAN

Mục lục

    1. Giới thiệu Các hình thức thanh toán điện tử

    2. Phương thức hoạt động

    3. Một số vấn đề bảo mật

    4. Tài liệu tham khảo

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN

w