Luận văn banknet và hệ thống chuyển mạch liên ngân hàng

Các thông điệp trong giao dich POS Các thông diệp quản trị mạng Các thông điệp trao đổi khoả Quy trình vận hành hệ hồng Cim trình giao dịch trên ATM: Chu trình giao dịch trên Quan lý

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

CHUYEN MACH LIEN NGAN HANG

Ngành: Kỹ thuật Điện tử - Viễn thông

Chuyên ngành: Công nghệ Điện tử- Viễn thông

Mã số: 2.07.00

LUẬN VĂN THIẠC SĨ

NGƯỜI HƯỚNG DAN KHOA HỌC

PGS.TS Trân Quang Vinh

Hả Nội - 2006

Danh mục các ký liệu, các từ viết tắt 6

TONG QUAN VE HE THONG ATM CUA CAC 11

NGAN HANG THUONG MAI

Giới thiệu mô hình hệ thống thé điển hình "1

BANKNET VA CAC TIEU CHUAN CUA HE THONG 18

CHUYEN MACH

Các tiêu chuẩn đặt ra đổi với hệ thông chuyển mạch 18

Kết nội với các ngân hàng thành viên 24 Kết nổi với các kênh phân phối ATM/POS 7 TIỂU CHUAN KY THUAT VE KET NOI BANKNET 31

3.3.2.2

3.41

Các loại khoá

Các chuẩn thông điệp

Định dang thông điệp

Câu trúc thông điệp

Thông tin Header

Kiểu nhận dạng thông điệp

Bitmaps

Đanh mục thành phân đữ liệu

M6 tả danh mục thành phân đữ liệu Câu trúc thông diệp của các địch vụ chuyên mạch

Các dịch vụ thực hiện trên ATM và POS Hãng mẽ dành cho các dịch vụ trên ATM và POS Các thông điệp trong giao dich ATM

Các thông điệp trong giao dich POS Các thông diệp quản trị mạng

Các thông điệp trao đổi khoả

Quy trình vận hành hệ (hồng Cim trình giao dịch trên ATM:

Chu trình giao dịch trên

Quan lý PIN và trao đối khoá Quá trình trao đổi khoá

Quân lý PIN

'Trao đổi khoả động

Rao indi Zone Masterkey

Xv ly cudi ngay

Tạo file bảo cáo Quy đỉnh về định dang file Qua trình truyền, nhận file Quả trình đối chiếu, so khớp

Cơ sở hạ tầng,

Môi trường hoại đồng của thiết bị lại ngân hàng thành viên

Giao thức, khã năng, kết nếi, mã hoá đường truyền

PHAT TRIEN GIA TRI GIA TANG CHO CAC DICH

DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TAT

TU VIET TAT NOI DUNG Y NGHĨA

ATM Automatic teller merchine Máy phục vụ tự động

thanh toán thể)

WAC Network Access Controler Bộ diễu khiển truy nhập

mạng (dùng cho các thiết bị

thánh toán thể)

dé khách hàng nhập số PIN

khi thanh thoán bằng thê)

Host

DES Data Encryption Standard Chufin ma hoa dét higu

lưu giữ tại nội Hosl, phục vụ

kết nối giữa Host và thiết bị

đầu cuối

giữa nhiều Host

Bảng mã đành cho các dịch vụ trên

ATMPOS

ĐANH MỤC CÁC HÌNH VẼ

Hình32 Gidi ma PIN tai trung tim xử lý Hinh33 M6 hinh hoat dong cia HSM Hinh 3.1 Ma hod dir liu ding 3 DES

Hinh 3.5 Banknet chú động đổi key

Hinh 3.6 - Banknetthực biện dỗi key theo yêu cầu inh 3.7 Mõlä quá trình mã hoá PIN

Hình38 Quy trình gữi thông điệp từ ATM về Issuer

Linh 3.9 _ Quy trinh gửi thông điệp trong trường hợp giao dịch được chấp nhận

Hình3.10 Quy Hình gữi thông điệp trong truờng hợp giao dịch bị từ chối Hinh 3.11 Quy mình gửi thông điệp trong Hường hợp Banknet không hoạt động linh3.12 Quy trình gửi thông điệp trong trường hợp không nhận được phản

hải từ Banknet (yêu cầu rút tiên chưa được gửi đến Isstier) Hinh3.13 Quy trinh gửi thông điệp trong trường hợp không nhận được phản

hai từ DBanknet (yêu cầu rút tiên đã được Issuer chấp nhận)

Hinh 3.14 Quy trinh gửi thông điệp trong trường hợp không nhận được phân

hỗi từ Banknet (yêu cầu rút tiên dã bị Issuer tiz chéi)

Hình3.15 Quy mình gửi thông điệp trong trường hợp không nhận được phầu

hdi tir Tssuer (Issuer không hoại động)

Hinh 3.16 Quy trình gửi thông điệp trong truờng hợp khâng nhận được phản

hỗi từ Issuer (Issuer van đang hoại động)

Tlinh 3.17 Quy trình gửi thông điệp trong trường hợp không nhận được phản

héi tir Acquirer (giao dịch được chấp nhận) Hình 3.18 Quy trình gửi thông điệp trong trường hợp không nhận dược phân

hai tit Acquirer (giao dich bi tir chdi)

22 Hinh3.19 Quy tinh giti thong digp trong trugng hop ATM khong thé thanh

toán

23 Inh320 Chu tinh giao dich trén POS

24 Linh 3.22 Quy trinh thue hién giao dich théng thudng trén POS

25 Hình322 Quy trình thực hiện giao dịch khi có lỗi của Acquirer (lỗi xác định)

26 Hinh323 Quy trình thực hiện giáo dịch khi có lỗi của Acquner (lỗi không xác

đinh)

27 Hinh324 Quy trình thực hiệngiao dịch khi có lỗi của Banknet

28 Hình3.25 Quy tinh thực hiện giao dịch khi có lỗi của Acquirer

không biết có thông điệp trả lời về POS hay không (giao dịch được lssuer chấp nhận)

29 Hình3.26 Quy trình thực hiện giao dịch khi có lỗi của Acquirer

không trả lời về POS (giao dịch được issuer tử chối)

30 Hình327 Quy trình thực hiện giao dịch khi có lỗi của Acquirer

không trả lời về POS (giao địch được issuor chấp nhận)

31 Tlỉnh328 Quy trinh thục hiện giao dich khi cé 16: time-out ctia Issuer

32 Ilnh3.29 Quy trinh thục hiện giao dịch khi có lỗi timas-out của Issuer,

sau đỏ 13anknet nhận được thông tia chấp thuận của Issuer

33 Hình3.30 Quy trinh thực hiện giao dịch khi cỏ lỗi time-out cửa Issuer,

sau dỏ Banknet nhận được thông tin tử chối của Issuer

34 Hình33I Quy trình thực hiện giao dịch khí Banknet không thể trá lời Acquirer,

(Banknet không xác định được lỗi; Issuer chấp nhận giao địch)

35 Hình332 Quy trình thực hiện giao dich khi Barkknet Không thể trả lời Acquirer,

(Banknet không xác định được lối, Issuer từ chối giao dịch)

36 Hinh3.33 Quy trình thực hiệngiao địch khi Banknet không thể trả lời Aeqnirer,

(Banknet xác định được lỗi; Issuer chấp nhận giao địch)

37 Ilnh3.3⁄4 Quy trình thục hiện giao dịch khi Banknet không thể trả lời Acquirer,

(Bankmet xác định được lỗi; Issuer từ chối giao dich)

38 Hình335 Quy trinh mã hoá và giá mã PIN

39 Hinh3.36 Banknet chú dộng thực hiện dối key

40 Hình337 Banknetthực hiện đối key theo yêu cấu

4l Hinh3.38 Méhinh cho ftp server ctia Banknet

42 Hinh3.39 Mô tá quả trinh so khớp qua trung tâm thanh toán bủ trừ

43 Hinh3.40 Sơ dỗmô tả quy trình xử lý cuối ngảy tại Banknet

44 Hình3.40 Sơ đồ mã hoá thống im uên WAN Banknet

10

MỞ ĐẦU

Củng với sự tiền bộ về khoa học kỹ thuật, trên thế giới đang có xu hướng

tình thành thị trường thanh toán phi tiên mặt Đẻ tiếp cận vả hội nhập với nên kinh

tế khu vực và thể giới, các ngân hàng thương mại Việt Nam đang đầu tư rất lén để phát triển các dịch vụ tài chính phi tiên mặt, đặc biệt là hệ thống thé ATM Trén

đựng mệt mạng lưới ATM rộng khắp cã nước, mả mới chứ xây dựng một hệ thống riêng biệt, không những không đáp ứng được nhu cẩn của khách hàng ma con gây lãng phú đầu tư không cân thiết

Dé giúp khách hàng tiếp cận rộng rãi với các hoạt động tải chính hiện đại,

cững như tăng hiệu quả sử đụng của hệ thông ATM, các ngân hàng thương rnại Việt

Nam hiệu đang triển khai việc kết nổi hệ thống ATM liên ngân hàng Banknel thông

qua ruột hệ thống chuyển mạch Swileh Hệ thống nảy cô nhiệm vụ chuyên ruạch các

giao dich tài chính giữa các kênh phâu phối địch vụ tới người dũng (như Máy ATM, ĐOS, Telephone Ranking, Tnternet Banking, v.v ) đến nơi lưu trữ thông tín tải

khoán khách hàng (hệ thông máy chú của ngân hảng)

f1

CHUONG 1: TONG QUAN VE HE THONG ATM

TAI CAC NGAN HANG THUONG MAI

ï thiệu về dịch vụ thể:

ign nay, các giao dịch đừng thé thay thé tién mat trong thanh toán dang

ngay cang tré nén phé bién va cdc khach hàng cũng đã ngày cảng quen thuộc với dich vu thé ATM, thế tin dụng, cũng như đã và đang sử đụng các dịch vụ của ngân

hàng nhu Internet Banking va Phone Banking, tuy nhiên phổ biên nhật vẫn là các

địch vụ sử đụng thê Nhằm cạnh tranh thu hrút khách hàng, các ngân hàng thương,

mại cùng đang ra sức phát triển các loại hình thẻ cũng như tính năng địch vụ trên

thé

Có nhiều cách phân chia các địch vụ thẻ

Phân chía theo loui thé:

-_ Thẻ ghi nợ: Khi mở thê, khách hàng kết nếi thể tới một tài khoản và mỗi lần khách hàng sử đụng thể để rút tiển rrặt hoặc thanh toán thì tài khoân này sẽ

bị ghi no Cac thê ATM đang được sử dụng rất phố biến hiện nay cũng 1a

một loại hình thê ghủ nợ nội địa Ngoài re côn có các thê ghỉ nợ của nác tổ

chức quốc tế, chủ thể cỏ thể sử dụng lại các điểm chấp nhận thanh toán thê

trên phạm vị toàn cầu

~ Thể tín đụng: dịch vụ tiêu tiên trước trả tiển sau, khách hàng sử dụng thể để

thanh toán hoặc xia ứng tiên mặt Đến một ngày nhất dịnh nào đỏ trong,

tháng (duợc quy định bởi tế chúc phát hành thế), ngân hàng, phát hành gửi

sao kê tới chơ clrủ thẻ đê nghị thanh toản số tiễn dã sử dụng cho ngân bàng Cáo thể tin dụng hẳu hết là thể thuộc các tổ chức thể tía dụng quốc tế, sử dụng trên phạm vi toàn cầu Các ngân hàng thương mại tại VN chí là các dai

lý phát hành thể cho các tổ chức này

Phân chia theo hình thức sử dụng:

- Rut tién mặt tại các máy ATM hoặc các diểm giao dịch của Ngân hàng,

- _ Thanh toán hảng hóa dịch vụ tại các điểm bản hàng (POS) qua thiết bị thanh

toán thế

ï thiệu mô hình hệ thống thẻ điển hình:

12

Tuỷ thuộc vào chiến lược phát triển cũng như khả năng của mình, từng ngân

hàng thương mại đưa ra các dịch vụ thẻ khác nhau Trong khuôn khổ của luân văn

này, xin đưa ra mô hình hệ thống thẻ điển hinh của Ngân hảng Công thương [5]

Hình 1.1: Mô hình mạng thanh toán thẻ điễn hình

ATM (Automatic teller machine) là máy phục vụ tự động, là thiết bị mả

khách hàng của NHCT cỏ thê sử dụng đẻ thực hiện các dịch vụ thẻ do NHCT

cung cấp

POS (Point of sale) là điểm thanh toán thẻ, hiện tại các ngân hàng dang

dimg loai EDC (Electronic Data Capture - thiết bị thanh toán thẻ, qua đỏ

khách hang str dung thẻ của NHCT thực hiện các giao dịch thanh toán hàng,

hoá dịch vụ hoặc rút tiên mặt

NAC (Network Access Controler) là thiết bị điều khiển luân chuyên dữ liêu

giữa thiết bị thanh toán với máy chủ

ATM Host: máy chủ ATM, thực hiện xử lý mọi giao địch liên quan đến thẻ

ATM.

1g

-_ Cardpro Server: máy chủ thực hiệu xử lý mọi giao dịch liên quan tới thê

lin dung

Các dich vụ thực trên máy ATM :

-_ Rút tiến mặt (dối vei thé ATM-thé ghi ng va thé tin dung)

- Chuyén khoan (sang tài khoăn ATM vả tải khoản tiết kiệm)

- Vantin sé der tai khoan

- Do PIX

- Cac dich vy gia tang : Mua thé cao dign thoai trả trước, thế internet trả trước

và thanh toán tiên điện, nước, dịch vụ

(Các dịch vụ trên ti) thuộc vào rừng ngân hàng.)

- _ Thanh toán tại các điểm chấp nhận thẻ của Ngân hang

(Trén POS cing phat trién được các dịch vụ tương tự như trên máy ATM, ts) thude

vào từng ngân hàng mà thâm hoặc bót so với các chức năng kế trên, đối với một số

ngân bàng khác còn sử đựng chức năng phỗ biển la hoàn trả giao địch-giúp khách

bàng hoàn trả lại một phần số tiên mình đã sử dụng đề thanh toán.)

Tóm tắt quy trình hoạt động của hệ thắng :

-_ Cáo giao địch thẻ ATM trên máy ATM được gửi vẻ ATM Host và được xử

Wy h

n loan Lai day

~_ Đối với thê tín dụng rút tiến tại ATM: Giao địch được máy ATM gửi về

ATM Host và lừ đây được chuyển đến Cardpro Server, thiét bi chiu trach nhiém gửi thông tin tới các tế chức thể tín dụng quốc tế

-_ Sử dụng thẻ thanh loáu tại POS: lất các các giao địch lừ POS đều được chuyển tới NAC, từ diy NAC sẽ phản loại giao địch, nếu là giao dịch thực tiện bằng thể ATM sẽ chuyển lới ATM Host để xứ lý ; nếu là giao dịch thê tin dụng thi gửi về Cardpro Server

-_ Đối với các dịch vụ mua bán thể cảo diện thoại trả trude va thé internet tra

trước, giao dịch từ ATM Host sẽ được chuyên qua cổng kết nồi tới công ty NEO và nhận vẻ mã số bí mật của thể tới máy ATMI và ám ra cho khách hàng,

sử dụng.

14

1.3 Tiêu chuẩn kỹ thuật [5]

1.3.1 Đường truyền thông

~ Đối với các máy ATM: mỗi ATM được kết nỏi với máy chủ thông qua

đường lease line tốc độ 64 kbps

~ Đổi với các POS: mỗi POS được kết nỗi với NCC thông qua mạng điện thoại

công cộng,

1.3.2 Ma hoa va quan ly PIN

Đổi với các giao dịch sử dụng thẻ, việc bảo mật số PIN cho khách hàng là

yêu câu quan trọng hảng đâu Vẻ việc quản lý mã bảo mật PIN, cần đền một thiết bị

la HSM (Host Security Module) la thiét bị sinh mã khoá bảo mật cho các hoạt động

thanh toán của hệ thông thẻ (mã hoá cứng)

Vị trí của HSM trong sơ đồ hệ thông như sau:

HSM

ATM

HOST Hình 1.2: Vj tri ctia HSM trong mang ATM

Số PIN (không qua 6 ky tu) được ATM mã hoá bằng thuật toán thành một

khỏi PIN (PIN bloek) ngay khi rời khỏi bản phim ATM hoặc POS Khoi PIN được

chuyên tới Host và sau đó được chuyên tới HSM, thiết bị có trách nhiệm giải mã khối PIN nảy vả trả lại Host mà không luu bản rõ của khối PIN

a, Ma hoa PIN [6,7]

PIN Block: khôi PIN bao gồm số PIN và số thẻ theo một tiêu chuẩn nảo đó

Dinh dang khéi PIN

Về việc biên đổi va dich PIN, HSM doi hoi PIN dau vào phải là một khỏi 16 digit HSM thường hỗ trợ một số loại định dạng khỏi PIN như sau:

15

Farmat 01:

Format 01 duce #6 chize American National Standards Tuslitute chap nhan (ANST

Xð.8) và là một trong hai dịnh dạng dược 1SO hé trg USO 95641 Format 0)

Dinh dang này gora số PIN và số thế của khách hang như sau

- Khdi 16 digit được tạo thành bao gồm những thành phần sau: ký tự 0, chiều

dải của PIN, PIN, còn lại lá các ký tự F (hệ đếm hexadecimal) VD: néu PIY

lá 92389 (PIN có 5 ký tụ) thì khốt PIN sẽ là:

0592 389E FEEE FEEE,

-_ Một khối 16 ký tự khác được tạo thành từ 4 số 0 và 12 ký tự của số thế, trừ

ký tự kiểm tra (check digjQ VD: với số thẻ là 4000 0012 3456 2, trong do ky

tự kiêm tra là 2 thi sẽ tạo thành khối như sau:

Format 02:

Dinh dang 02 hỗ trợ ATM của hang Docutel Một khối PIN được tạo nên từ chiều

đài PIN, 6 ký tự của PIN, và một xâu đệm bao gồm dãy các ký tự được nguời thiết

lap hệ thông định nghĩa sẵn

Tiếu PIN bao gồm it hon 6 ký tự, sẽ thêm số 0 vào đăng sau đấy các ký tự cho đủ 6

cơn số, VD: với số PIN gồm 5 ký tự 92389 thì sẽ biển đổi thành 923890 Do đó

khdi PIN sẽ là:

5923 8909 8765 1321

trong đó khối đêm vào là 98765 4A21 là xâu đệm

Format 03:

Định dạng này hỗ trợ các ATM eda hang Debol va TBM Định đụng này cũng có thể

áp dịmg cho ATM của Docutel nhưng không bao gồm chiều đài PIN Khối PIN

được tạo thành từ PTN cửa khách hang và các ký tự đệm F, Ví đụ: số PIN bao gồm 5

ky lu Ø2389 thì khỏi PIN sẽ là:

9238 9FFE FFEF FFEE

Trong đồ

€ trường điều khiển cố định cô giá trị nhi phân là 0010 (2)

ÁN chiếu đài của khối PIN, có thể nhận bát kỳ giá trị nhị phân nào lừ 0100 đến

1100 (tù 4 đến CY

` các ký tự của PIN, có thế nhận bắt kỹ giá trì nào từ 0000 đến 1001 (từ 0 đến 9)

TE- là các số thêm vào số PIN, phụ thuộc chiều đài PĩN, có giá trị 1111 (Fy

ới số PIN 34567, khói PIN có thẻ bao gồm 16 gia tri hex rhe sau:

hoá trên hệ thông mạng ATM thường chia làm 2 loại:

-_ Master key: khoá chỉnh, bao gém 128 bit, chia lam 2 phan la left key va right

key, mãi phan 64 bit Master key được sinh ra và hưu giữ trên ban than HSM,

dùng để mã hoá các khoá khác

- Working key: khoá phụ, cũng bao gdm 128 bịt, được HSM sinh ra (do

Mas

gửi về ATM để giúp mã hoá khôi PIN Déi vai POS, working key diroc thay

di mdi tan thiết bị POS thực hiện một giao địch siạn ơn

c Thuật toán T_DES:

- DES: Data Eneryption Slandard: chuẩn mã hoá dữ liệu

và được

r key mã hoá) Đôi với ATM, key này được thay đổi mỗi ngà

~ Tnple DRš là thuật toán dùng để mã hoá số PIN đựa trên các khoá Thuật

toán này sử dụng khỏa bé hai (128 bit) 3DES dùng 64 bít bén trái của khỏa

1

dễ mã hóa đữ liệu, 64 bít bên phải của khóa để giải mã kết quả của mã hoa

dó và dùng lại 64 bịt bên trái của khóa dễ mn8 hóa kết quả của việc giải mã trước dé (Phan bên trái phải khác phần bèn phải của khóa

18

CHUONG 2: BANKNET VA CAC TIEU CHUAN

CUA HE THONG CHUYEN MACH

2.1 Sựra dời của Banknet :

Mặc đủ sự phát triển các dịch vụ thẻ của từng ngân bàng lá việc làm cân thiết,

và bắt buộc, ảnh hưởng đến việc quảng bá hình ảnh, thương hiệu của bản thân mỗi ngân hàng Tuy vậy, nếu một ngân hang tu đứng ra xây dụng địch vụ thế thì vấp

'phải nhiều rủi ro trở ngại nhat hội chứng cơn gà - quả trứng trong việc phát triển chủ

thể và phát triển điểm chấp nhận thê, lãng phi về tài chính vì đầu tư trùng lập vào cơ

sở hạ tầng, trùng lặp trong việc lắp dit ATM va POS tai cac dia diém hap dan, va

thiểu nhân lực về CNTT và nghiệp vụ cô kính nghiệm trong lĩnh vực thế

Một tổ chức liên minh ngân hảng - Banknet, đo đó sẽ tạo điều kiện cho các

ngôn hàng thành viên thoái khôi hội chứng con gả - quả hứng để triển khai nhanh

chóng và tiếp tục phát triển các địch vụ thẻ tiết kiệm nguồn tài chính, đảm bão

được đội ngũ nhân viên kinh nghiệm để duy trì cóc hoại động thể lâu đâi và có độ

tín cây cao [1]

3.2 Các tiêu chuẩn đặt ra đối với hệ thống chuyển mạch |2|

Phan mém hé théng Switch la mét phan mềm ứng dụng tài chính thục hiện việc chuyển mạch cáo giao dịch lài chính giữa các kênh phân phối dịch vụ Lới người

dùng (như Máy ATM, POS, Telephone Bankine, Internet Banking, v.v ) dén noi tuu trữ thông từ lải khoản khách bảng (hệ thống máy chủ của ngân hàng) Ngày

nay, phan mém hé théng Switch dược dùng cho các tổ chức tải chỉnh lớn

Phan mém Switch có thể chạy trên các hệ thống máy chủ, Miini-computer hoặc Mainframe vả được kết nổi bằng các giao thức mạng thông thường thông qua

xạng diện rộng (WAN) hoặc mạng cục bộ (LAN),

Các lĩnh vực ứng dung cúa phần mềm chuyên mạch 5witch bao gồm:

1 Chuyển các thông diệp tải chỉnh

Xứ lý Giao dịch Trực tuyển Ngân hàng qua Internet

Các Máy rút tiên Tự déng (ATM)

Che thiét bi diu cudi Point of Sale (POS)

Théng tin Khach hang va cic KIOSKS

aw

Chuyển mạch và cấp phép tới các mạng tải chính khác

Cac phần mềm chuyển mạch 5witcl: được vận hành trên các hệ thống cỏ độ an toàn

cao và cung cấp các chức nắng bảo mật mạnh,

Mét phan mém chuyén mach tai chinh Switch (Financial Swïnch) khác biệt với một May chủ Điều khiển thiết bị đầu cuối riêng lẻ như máy chủ ATM/POS, may chi Telephone Banking, May chu Internet Banking Phin mễm chuyển mạch Switch sẽ có các module đã được tích hợp để cung cấp các chức năng trên đồng thời

có khá năng kết nổi ( hoặc công giao tiếp gateway) dén cde May chú Diễu khiển riêng lẻ này Dòng thời phần mềm chuyên mạch Switch cũng cùng cấp khả năng kết nối với các hệ thông swiich quốc tế,

Hình 2.1: Các lĩnh vực ứng dụng của phân mêm chuyên mach Switch

Chúng ta sẽ điểm qua một cách khải quát đối với từng chức năng cân phải cỏ

của một hệ thống phan mêm chuyên mạch:

2.2.1 Yêu cầu tổng quát:

2.2.1.1 Yêu cầu về các phân hệ kết nối (Interface Modules)

Phan mẻm chuyền mạch Switch can phai có khả năng kết nối tới nhiều hệ

thống khác, dam bao khả năng mở rộng cho hiện tại vả trong tương lai của toàn bộ

hệ thống

at

1, Kha nang kết nội với các kênh phân phối dich vu:

- ATM(NCR Apira Advance, Aptra Advance NDC, NDC+, DB912, Triton, Fujitsu )

- POS ( Thé tir va thê thông minh)

- ENC (leetronic Data Capture)

- Internet / Thutong mai Dign te (e-Commerce, ¢-Payment)

- Telephone bariking / Call Contre

- Mobile / PDA / (interactive TV)

- Tram giao dich tai cdc chi hank (Teller Terminal)

2 Kha ning kết nói với các máy chú

-_ Hệ thống máy chủ nơi lưu trữ tài khoản khách hàng,

~_ Máy chủ quán lý thẻ tia dụng do ngân hàng phát hành (Sema / Genesys, On-Us)

3 Kha năng kết nói với các mạng khác

-_ HT (Chuyển tiền điện tú)

- Mang tai chinh quéc té (VISA / Mastercard, Cirrus, Plus,

Maestro)

- Bwitch của các Ngân bàng khác (ANZ, Vietcombank, BIDV,

Mạng Switch chung toàn quốc)

4 Kha năng kết nổi với hệ thống thanh toán hủ trừ và quyết toán của:

-_ Cáp giao dich liên ngân hang -_ Các giao dịch liên chỉ nhánh

2.2.1.2 Xử lý Stand-In ( Cấp phép tạm thoi)

1 Thục hiện các xử lý Stand-In theo quy định khi những lỗi sau đây xảy ra:

~_ Máy chủ của ngân hàng bị lỗi

-_ Liên lạc giữa Switch với Máy chủ bị mật

- Giao địch không được thực hiện trong thời gian quy định (Transaction has timed out)

22

2 Nếu bắt kỳ lỗi nào trong số những lỗi trên dây xảy ra, hệ thống Switch sẽ

dầm hướng giao dich koi Máy chủ Xử lý Sund-in nhằm đâm bản địch vụ của

Ngân hàng vẫn dược thực hiện vả cung cắp tới khảch hàng một cách bình

thường,

2.2.1.3 Hệ thống Quản lý thẻ

Cho phép quản lý các công việc liên quan đến thé của khách hang

1 Hỗ trợ thế Debit, thẻ Credit, Cash Card (Magnetic & SmartChip)

2 Module Quin ly théng tin Khach hang

-_ Nhập dữ liệu về Khách hảng,

- Sita déi théng tin khach hang

3 Module Quản lý Tải khoản

- Kétndi

~ _ Kết nỗi nhiễu thế tới mệt tài khoăn

~_ Một thé kết nói tới nhiều tài khoản

A, Module Quin ly Thé

- ‘Thé néng, thế trong danh sách đen

- _ Phát hành lại the Module Xứ lý Thế

- Dap thé

- GủiPTN

6 Module Xứ lý Tài khoán

- _ Thư gửi khách hàng -_ Dóng tải khoản thẻ Module Bao cao

- Thống kẽ

- Báo cáo tỉnh trạng thế -_ Táo cáo việc phát hành thê

-Tải khoản

2.2.1.4 Theo dõi và Kiểm tra (Control and Monitoring)

Cho phép theo đối và kiểm tra tình trạng của Switch, máy chủ IIOST vã các

thiết bị thuộc kênh phân phối ( ATM, POS )

Theo dai:

Kiểm tra tỉnh trạng của máy ATM

Truy cập vào / ra HOST

Kiểm tra tinh trang của HOST

Khởi dộng SWITCH

Tắt SWITCH

Truy cập vào / ra SWLTCH

1Íoat động vả việc sử dụng Switch / Lost

1 'Thêng kế trạng thái của máy

Tang hoạt động / Không hoạt động,

Luong tién mặt đã rút / bị đưa vào hộp tiên loại

Thững lỗi truy cập Cơ sở dữ liệu (Database Access Exceptions)

Switch và những xử lý đang được thực hiện qua Switch Những loại trừ đổi với hoat dng (Business Exceptions)

Kết nếi thiết bị

Kết nỗi máy chủ

Các giao dịch ngược

Kiém tra mã lãi

'Yêu cầu Bảo mật

1 Switch phải hỗ trợ hoặc giao điện tới HSM (Module Bảo mật Phần

cứng) hoặc Phần mềm cho:

Tao PIN

Kiểm tra PIN

‘Ma hoa PIN

24

= Quan ly ma khoa (Fneryplion Key)

2.- Mã liỏa các thông điệp trong quả trình định tuyển và truyền đữ liệu

(ĐE§ Algoritim)

2.2.1.6 Hỗ trự Giao tiến và Messape qua nhiều thiết bi (Multiple Device

Message & Cammunication Support)

1 Hỗ trợ các chuẩn công nghiệp (1S 8583, VISA 2, Hỗ trợ nhiều định:

dạng thông điệp tử các thiết bị khác nhau)

2 LIễ trợ các giao thức Asvne, l3iSyne, TCP/IP, SNA (tất cá các loại), X.25

2.2.1.7 Các yêu cầu về Hảo cáo ốc

Phan mềm hệ thông chuyển mạch Switch phải hỗ trợ các công việc Hiếp sau đối với

năng hoạt dộng

chức năng này:

1 Xử lý giao dịch trong 365 ngày x 24 giờ thông qua xử lý siand-in lưu trữ

và chuyền tiếp cũng như thực hiện giao dịch với độ sẵn sảng cao

kỳ Khả năng cung cấp những địch vụ tài chính khác thông qua các message

định đạng người đúng trên máy ATMs, POS và/hoặc hoá đơn

3 Một hệ thống báo cáo bao gảm khả năng thể hiện báo cho bắt cứ khách hàng não, giảm thiếu sự cần thiết phải đưa ra những báo cáo trên giây tờ

4 TIệ thống Switch phải cho phép lọc và liệt kê các giao dịch & các thông, tin lấy ra từ các bản ghỉ nhật ký giao địch

Cho phép cai đặt thêm các thiết bị vào hệ thống mà không cần phải khỏi

động lại hệ thông,

6 Cho phép quan ly khéng han chế số hượng tải khoân, thiết lập các quan hệ

tài khoản — thể và Hội kẽ nhật ký giao dịch của một thẻ bãt kỳ

2.2.2 Kết nối với các ngân hàng thành viên

321 Chuyên mạch phải có cơ chế liễp nhận các message Lừ các ngân hàng thành

viên , chuyển đổi mncssage sang định đạng riêng (inlernsl (ormat) để xử lý, chuyển đổi message lừ định dạng riêng sang định dạng của các ngân làng

2222 Phản mềm phải có khả năng xứ lý tình huồng khi các ngân hàng thành viên

trùng số BIN Hơn nữa phản mềm ứng dụng chuyén mach Switch phải hỗ trợ dối với chuẩn thông điệp dược gũi đến Swatch thông qua hệ thống của các ngân hàng

25

thành viền và các thông diép này có thể bất nguồn từ Phonc Banking, thương mại

diện tử qua Inlernel,

2.223 Phan mém chuyển mạch sho phép cải đất và triển khai hệ thông chuyển mạch chung BankNetfVN kết nổi với 7 ngân hàng thánh viên một cách dễ dang Thay déi cầu hình tương đối dơn giản khi kết nạp thêm thành viên mới

2.2.2.4 Phân mềm chuyển mạch hỗ trợ theo đồi thời gian xứ lý giao dịch gồm:

1 Phần mềm chuyển mạch phái cỏ chức năng định nghĩa thời gian time-out theo loại giao dịch, theo địa chỉ nguồn, địch của giao dịch

2 Phản mềm chuyển mạch phải có chức năng quản lý sự kiện (event manager)

đã theo dõi giảm sát thời gian response của g¿ao địch

“ Phân mắm chuyên mạch phải có chức năng cho phép định nghĩa các tác vụ

sẽ thực hiện khi một giao dịch bị time-out

3 5 Chức năng định tuyển giao địch của nhân mềm chuyến mạch phải cho phép:

Tịnh tuyển theo loại thông điệp giao dịch: tín đụng hay ghỉ nợ

Định tuyến địa chỉ đích theo các trường định nghĩa trong bang mapping

Tịnh tuyển theo ngày và thời gian định trước cho từng loại giao địch

2

keh

* Chuyến đổi số tiến giao địch sang đơn vị tiên tệ của địa chỉ đích (treng

trường hợp cân thiếp)

5 Thay đối mã thông điệp giao địch (trong trường hợp cần thiết)

6 Phan mẻm chuyễn mạch oẻ chức nằng gửi message thông báo tỉnh trạng cáo

ân thiết)

7 Phân mểm chuyển mạch phải cỏ chức năng với một đường định tuyển mặc

giao dich (trong trường hợp

định — có nghĩa là khi không xác định được chính xác đơn vị phát hành thể

thì phần mềm chuyển mạch phải chuyển tiếp giao địch đến một tổ chức, một đơn vị nào khác để xử lý

8 Phan mễổm chuyển mạch phải có chức năng định tuyển dự phòng — trong

BIN khong theo chuẩn quốc tẻ

Phần mm chuyển mạch phải có chức năng phân quyển ưu tiên định tuyến khi đưa ra quyết dịnh dịnh tuyến

Chuyén déi message On-line hoặc off-lne Cho phép chuyển dối thông điệp trục tiếp từ các giao điện hoặc tử file

Chuyển đối theo nhóm thông diệp và liên kết các thông điệp (concatenatc)

Cơ chế ánh xạ message: one-to-one

Cơ chế ánh xa message: one-to-many va many-to-one

‘Theo đối cấu trủc và phát hiện lỗi

Kiểm soát ngoại lệ và đưa ra thông bảo

2226 Phân mềm chuyển mạch phải đám báo các yêu câu về các dịch vụ chuyển

mach cho ATM va POS với các chức nang:

‘VAn tin sé dur tat cã các tài khoan (Bulk Balance Inquiry)

‘Van tin sé du tai khoan (Balance Inquiry)

út tiền mat (CASH Withdrawal)

Rut tién nhanh (FAST CASID

'Yêu cầu sao ké (Request for statement)

Sao kê ngắn (MINI Statement)

Thay đối số PIN (PIN Change)

út tiên (cash withárawal)

Thanh toán hàng loa/ dich vu (Purchase )

Thanh toán có nhận lại tién mat (Purchase with cash back)

Tra lai Hiển (Refund/Return)

Hủy một phần hay toàn bộ giao dịch (VOID)

Van Lin sé du (Balance Inquiry)

Đóng tải khoăn hay hạn mức thẻ tín dụng (Pre-Authorization)

Hoàn lại tiền khi giao dịch lỗi (Revcrsal)

Đôi bồi hoan (Chargeback)

1ô Các dịch vụ khác nhả thảu cản chỉ ra

”

2.2.3 Kết nỗi với các kênh phân phối ATM/POS

2231 Phần mềm ủng dụng chuyén mach Switch phải hỗ trợ việc diễu khiển dốt với các loại thiết bị đâu cuối ATM/POS gắn trực tiếp với BankNectVN, Việc diều khiển các thiết bị nảy phải thuận tiện và đễ đảng với giao điên dé hoạ nhằm cung, cấp dây đủ các khả năng kiểm soát tại tất cã các mức dộ cáu hình của hệ thống,

2.23.2 Phần mềm ứng dụng chuyển mạch 3witch phải cung cáp các giao tiếp nhằm

hỗ trợ chuvén mach đổi với các thiết bị A'TM/POS, tức có khá năng phân phối, nhận

và gửi các thông điệp đến và đi từ các thiết bị n

22.3 3 Phần mềm ứng dụng chuyển mạch Switch phải có khả năng hỗ trợ các giao địch ATM thông thường như rứt tiển, vẫn tin số đư tài khoản, chuyến tiên, nạp tiễn, chức năng rút tiền nhanh, các hình thức in sao kê (yêu cfu in sao kẻ, im sao kê ngắn

(mini-statement) tức in sao kê với thông tỉn trích lược sau mỗi lần giao dịch được

hoàn thành), thay đôi số PIN, các tiện ích thanh toán

223.4 Phần mềm chuyển mạch phải đáp ứng các chức năng quản lý các máy ATM

và POS với những yêu câu:

Chấp nhận các loại thể như thể từ, thể chịp (smart card) với các hình thức lá thẻ ghỉ nợ hoặc thẻ tin đụng,

Phân mêm phải cung cấp được giao điện tích hợp các chức nằng quản lý,

wv giám sát, tạo bảo cáo Tại trung tâm về tất câ các máy ATM và điểm bán lễ

POS trong mang

“POS

Phần mềm cần cho phép trưng tâm có toàn quyển kiểm soát và quản lý các

3 Phải có các chức năng quân trị các thiết bị đầu cudi ATM

1 thiết bị, cung cắp địch vụ tự động trong mạng

5 C6 thé kich hoaUngừng hoại động của từng tuết bị hoặc nhóm thiết bị dầu

Giám sét trạng thải, cảnh báo các thiết bị ATM theo thời gian thực

Hiển thị các nhóm mạng máy ATM theo hệ thống cấp bậc

Giảm sát trạng thái của khay đựng tiến trong máy A'TM theo thời gian thực

Khởi động thiết bị cho ngáy tiếp theo rnột cách tự động hoặc theo chí dẫn cho từng thiết bị cuối đơn lẻ hoặc của nhóm thiết bị

Khả năng gửi đi các báo cáo về tỉnh hình hoạt động và các giao dich (trong

trưởng hợp máy ATM hoạt động offline)

Giám sát từng máy ATM đơn lẻ hoặc tùng nhém máy ATM theo vùng địa lý hoặc theo chức năng

Thay đối menu màn hình, hình ảnh, banner quảng cáo, Việc thay đổi có

thể thực hiện theo nhóm hoặc theo từng thiết bị

Thân hệ quản lý thé của phân mềm chuyển mạch cân có khả năng đuy trì đa

tài khoăn tiên gửi của khách bàng cho các giao địch Khách hàng được chọn những tài Khoản thích hợp để thục hiện các giao dich tai may ATM, POS

Có khả năng cưng cập địch vụ chuyển khoăn và thanh toán hóa đơn tai may

ân kiểm tra tính hợp lệ của giao dịch ngay cả khi hệ

cập nhật CSDI, ngay khi hệ thống ngân hãng hoạt động lrở lại

Phân mềm chuyên mạch cần có khả năng cung cấp tất cả các báo cáo liên quan dén hệ thống, trạng thái các thiết bị, cân dối tiến mặt cùng với những dữ liệu về chayén mach giao dịch, đữ liệu chỉ tiết vẻ thế Ngoải ra phần mẻm phải cung cấp được những báo cáo thích hợp nhở dó BankNetVN có thể giám

sát hoạt động khách hàng, giao địch khách hàng, vị tri cae may ATM được

vận hành nhiều nhất và các thao tác sửa dõi tài khoản của khách hàng,

28

Phần mềm phải có khả năng mô rộng dễ phát hành thể ATM/Debit, sinh bảo

2 sáo dưnh quyết toán giao địch cho cáo ngân hàng khác không có mạng ATM

riêng,

2 Phần mềm phải cung cấp khả nẵng giảm sát trạng thải tiên mặt tại máy ATM

2 trực tuyển theo từng thiết bị dơn lẻ, cảnh bảo tình trạng hết tiên trên các khay Phân mềm phải có khả nắng kết xuất các đữ liệu dập thể cẩn thiết trên các

máy riêng đồng thời cũng cỏ thể được câu hình để in trực tiếp trên các máy

dập thẻ

2.2.4 Kết nối với các tổ chức thể quốc tế và các ngân hàng nước ngoài

2.24.1 Phan mềm chuyển mạch 5witch phải hỗ trợ các giao thức rnạng khác nhau, các giao diện kết nói VAP, MIP vả các giao diện kết nổi với các tổ chức, các ngân hàng nước ngoài khảo Hệ thống phải duy trị kết nối một cách liên tụo với tính sẵn sảng cao tới hệ thông mạng của các tổ chức thế quốc tế như VISA và

MASTERCARD,

224.2 Phản mềm ng đụng chuyến mạch Switch phải có kha nang quan lý đối với

các kết nồi tới các mạng của các tổ chức thẻ trên thế giới như Visa/Master Card Phan mém ciing phai cd kha năng nạp và sử dụng bang BIN từ các tổ chức thẻ này

Ngoài ra phân mêm chuyển mạch Switch cũng phải cung cấp các kết nối mở rộng,

với khả năng định tuyến dành cho các thông điệp của các ngân hàng nước ngoài

khảo

2.2.4.3 Phần mềm chuyến mạch phải cho phép cần hình bảng danh sách các tế chức tài chính kết nội với hệ thống, định nghĩa lừng bộ chuyểu đối thông điệp cho từng tổ chức Ánh xạ các tế chúc tải chính đên bộ chuyến đổi thông điệp trơng ứng,

Ngoài ra, phần mềm chuyển mạch còn còn phải đáp ứng được các yêu cầu

nghiệp vụ như sau:

30

Chức năng tinh phí, tạo phí

Chúc năng báo cáo

Chúc năng quân trị hệ thông

Chức năng ghả nhật ký, lưu vét giao dich

Chúc năng (hanh toán bù trù

Chức năng quân lý các đại lý thanh toán thẻ

at

CHUONG 3: TIÊU CHUAN KY THUAT VE KET NOI BANKNET

Cáo ngân hàng thành viên khi tham gia vào Barkuel phải đáp ứng được các

tiêu chuẩn kết nói như sau |3|:

3 2.Thông tin đập nỗi trên thế

Các thông, tín đập nỗi trên thế tuân theo chuẩn 1SO 7811-1 (Pham khdo phụ

luc}

3.1.3.Thông tiu lưu trên vạch từ của thẻ

Các thông tin lưu trên vạch tử (traek 1 hoặc track 2) và cầu trúc các trường

thông tin của thẻ tuân theo chuẩn ISO 7811 và ISO 7813 /1ñam khảo phụ lục)

3.1.4 Thiết bị đọc thể

Sau đây là cáo yêu cầu trên các thiết bị AEM/POS mã khi tham gia hệ thông

chuyển mạch chung, các thiết bị này cần phải tuân theo

3.1.4.1 Các yêu cầu trên thiết bị ATM

-_ Cáo thiết bị chấp nhận thẻ ATM cho phép đọc trên cá hai traek: Traek Ì và

Track 2,

-_ Giao diện màn hình nhập số PTN cho phép nhập tôi đa 6 ký tự,

~_ Các thiết bị cha phép nhập số PIN phai cé module EPP (Encrypting PIN Pad

- mệt thiết bị đùng đế mã hoá số PIN được đặt ngay dưới bản phím của các thiết bị đầu cuối) hã trợ chuẩn mã hoá 3DES Các thiết bi ma hoa đáp ứng,

theo ISO 13491-1 va ISO 13491-2 (Tham khdo phu luc)

-_ Có thế nhận đạng được các thông tin về số BIN trên thể cỏ thuộc các ngân hàng phát hành thể nằm Irong rnạng chuyển mạch chung thuộc BankNetVN

hay không

-_ Khi khách hàng sử dụng địch vụ của BankNetVN, ATM của các ngân hang

cho phép: PTN đo khách hàng nhập vào qua bản phím số được

phải có cơ dÌ

mã hóa thanh PIN Block và được mã hóa bằng Working Key được lưu trữ

tam thời Irong bộ nhớ đêm: (bulfer) của ATM sau đó số được gắn vào thông

3a

diệp cho từng giao dịch cụ thể gửi dén Issuer (ngân hàng phát hành) xin cấp

phép giao dịch

Một giao dịch chỉ thực hiện thành công được tại ATM khi đã được cấp phớp

ATMsẽ hoàn thành các giao dịch dược cấp phép, trừ khi

- May ATM do khéng 06 dit

~_ Máy ATM bị ngắn cản làm như vậy do sự cổ kỹ thuật ATM đưa ra một số các giao dịch cơ bản khách hàng lựa chọn:

n mặt ở

hoàn thành giao địch, hoặc

~ Rút tiển, rút hiền minh;

-_ Vântmsố dư,

~ Trsøo kê,

Biên lai dược im ra tại ATM phải bao gồm các nội dung:

~_ Loại giao dịch

~_ Ngày giờ giao dịch

-_ Thông tiu vẻ thiết bi dau cudi

- Sốt

-_ Thông tin vẻ giao địch vừa thực hiện -_ Thông tin vẻ số dư tài khoản

3,1.4.3.Các yêu cầu trên thiết hị POS

Thiết bị đầu cuối POS phải chơ phép khách hảng chọn lựa các giao dich

gồm: thanh toán bàng hoa (Sale/Purchase), diéu chinh (adjust), hoán lại tiến

(vefund), ;

Cáo thiết bị chấp nhận thé POS cho phép đọc trén ca bai track: ‘Track 1 va

Track 2;

Giao diện màn hình nhập số PIN cho phép nhập tôi đa 6 ký tự;

Cáo thiết bị cho phép nhập số PIN phải có module EPP (Enerypting PLN Pad

- một thiết bị dùng để mã hoá số PIN được đặt ngay dưới bàn phím của các thiết bị đầu cuối) hỗ trợ chuẩn mã hoá 3DHS Các thiết bị mã hoá đáp ung, theo ISO 13491-L và ISO 13491-2 (Tham khảo phụ lục)

Thiết bị chấp nhận thé POS cho phép thế của ngân hàng khác được quét hoặc

được nhập bằng tay vào và giao địch phải gủi yêu cầu xin cấp phén tới ngân

hàng phát hành thế đó Một giao địch chỉ thực hiện thành công tại POS khi

đã nhận được trả lời chấp nhận giao địch từ ngân hàng phát hành thẻ đó

Đổi với mỗi thẻ khi được lưu hành đèu có một số xác định (hay còn được gọi

là “số thẻ”) “Số thẻ” có cầu trúc như sau:

ISSUER IDENTIFICATION NUMBER INDIVIDUAL ACCOUNT CHECK

(fixed length 6 digits) = IDENTIFICATION — : DIGIT

MII (Major Industry Identifier) — 1a s6 x4e dinh dich vu trong linh vực công

nghiệp (Tham khảo phụ lục)

Khi tham gia hé thong BankNetVN, các số đứng sau số BIN sé do các ngân

hàng thành viên tự định nghĩa

S6 BIN (Bank Identification Number), hay cén duge goi là HN (Issuer

Identification Number) đối với nhả phát hành thẻ, có định dạng như sau:

- Số đầu tiên có giá trị bằng 9 đẻ chỉ định loại hình thẻ nội địa

~_ Basổ tiếp theo cỏ giả trị bằng 704 đề qui định mã quốc gia Việt Nam

- Hai chit sé cudi (xx) có giả trị tuỷ biển được qui định và được đặt cho

từng thành viên tham gia hệ thông

- Khi tham gia mạng chuyển mach BankNetVN, các ngân hàng thành

viên vẫn có thể giữ số BIN cũ của mình để tránh trường hợp phải thay

đỗi thẻ cho khách hàng Tuy nhiên đổi với các thẻ phát hành tiếp theo, các ngân hàng cần chú ý đến quy tắc đánh số BIN mới theo mình họa

tại băng 3.1 dưới đây

Minh hoa đối với các qui định đánh số BIN

Ngân hàng thành viên Số BIN

Công ty Cô phản Chuyên mạch Tải chính Quốc Gia Việt 970400

Nam (BankNetVN)

Ngan hang Nông nghiệp và Phát trién Nong thon (VBARD) | 970401

Ngan hang Dau tu và Phát trên (BIDV) 970402

Ngan hang A Chau (ACB) 970404

Ngan hang Sai Gon Thuong Tin (Sacombank) 970405

Ngân hang Sai Gon Céng Thuong (SCICB) 970407

3.3 Ma hoa PIN va quan ly khoa:

3.3.1 Mã hoá PIN [3, 6,7]

3.3.1.1 Quá trình mã hóa và vận chuyển PIN

Quả trình mã hóa và vận chuyển PIN được thực hiện như sau:

Việc sinh số PIN và phương thức lưu PIN, khỏa mã hóa PIN tủy thuộc vào

từng ngân hàng thành viên, số PIN không quá 6 (sau) ky tu,

Việc vận chuyên số PIN trong hoạt động BankNetVN thông qua khỏi PIN

(PIN Block).

+ BankNetfVN nhận các khối PIN dã mã hoả từ ngân hàng chấp nhận

thể, giải mã rồi mã hoá theo khoả thoả thuận với bên phát hành thẻ rồi gửi đến ngân hảng phát hành má không, lưu bản rõ khối PIN;

+ 8Š PIN có số ký tự tôi da là 6 thường là 4 hoặc 6 kỷ tự)

- _ Trong các giao dịch tài chính qua HankNetfVN, định dạng của khối PIN tuân

theo ISO 9564-1 format 0 ‘Irong dé ban ré khéi PIN va sé PAN (Primary

Account Number) duge ap dụng phép toán “XOR” với nhau, sau đỏ được mã

hoa boi thuật toán “32ES” dễ tạo thành một khối ma hoa 64 bit dau ra;

ATM của ngân hàng thành vién phi cé module LPP (Linerypting PIN Pad) hé trợ 3DES dap ủng các yéu cu theo ISO 95641, ISO 13491-1 va 180 13491-2 Module EPP s& ma hoa khéi PIN ngay khi nhận PIN gõ vào của khách hàng trước

khi gửi đến host (trung tâm xứ lý) của ngân hàng đề nâng cao tính bảo mật PIN cho

khach hang

Ban rõ của khối PIN không bao giờ được xuất hiện bên ngoài một HPP hay

IISM

Dic diém cia EPP, IISM:

- EPP, HSM la cfc thiết bi được bảo mật về mặt vật lý và phản ứng lại với sự giả mạo Một quá trình thâm nhập thiết bị sẽ đẫn đến việc xoá tật cả các PIN, các khoả mã hoá, các khoá và các phân khác của PIN ngay lập tức

- EPP, HSM là cáo thiết bị nhập PIN trong đó bắt kỳ sự thâm nhập nào sẽ bị

phát hiện Thiết bị này khi dng cho mã hoá PIN và quân lý khoá (nếu có sự đột nhập cũng sẽ không lấy được thông tin gì về PTN đá được nhập vào hay

các khoá bí mật)

- _ EPP, HSM thục hiện việc mã hoá khỏi PIN theo khoa (key) ở dạng 3DES

~_ Trưng tâm xử lý (switch) của bên chàp nhận thể sẽ dùng khoá đá để

ra khỏi PIN

ai ma

PIN dẩŸgi?i mã (B?n rõ PIN block)

Hình 3.2 : Giả mã PIN tại Trung tâm xử lý

Một số mức bảo mật phần cứng cho thiết bị HSM

1 Security Level 1

Security Level 1 cung cắp mức bảo mật thấp nhất và đưa ra các yêu cầu bảo

mật cơ bản cho module mã hoá Các kỹ thuật bảo mật vật lý không được yêu câu

trong module.

”

2 Scourity Level 2

Sceunty Level 2 nâng cao tính bảo mật vật lý cửa một module bào mật T.evel

cao (pick-resistant locks), Can phải

1 bang cach thém vao cac khoá có dộ bao

phá vỡ lớp vỏ ngoài mới có thể truy cập vật lý tới cáo khoá mã hoá và các tham số bão mật quan trọng khác trong module Pick-resistant lock có thể dat ban ngoài hoặc tại lỗi vào dễ bảo vệ các truy nhập vật lý không được phép

Level 2 cung, cấp nhận thực dựa váo vai trỏ (role) trong đó một module phải kiểm tra người vận hành (operator) đê chấp nhân một vai trỏ riêng và thực hiện một

người van hanh (operator) để có được rnột vai trò và thực hiện tập các địch vụ

tương ứng,

Level 3 cung cấp yêu câu cao hơn với việc nhập và xuất các thêng tin bảo

mật Các cổng đữ liệu đùng cho các thông tin bảo mặt phải được tách biệt về mặt

vật lý với cáo cống đữ liệu khác Ilon nữa, các thông tin này phải được đưa vào

hoặc lẫy ra module ở dạng mã hoá sử dụng các thủ tục hiểu biết riểng rẽ (split

imowledge procedure)

Security Level 4 cung c4p mức bảo mật cao nhất

Bap mat val ly Level 4 cing eap mot v6 boc bảo vé xumg module ma hoa Ngược lại các mạch phát hiện giả mạo của các module muc thap cé thé bé qua, mục

dich eda bao vé Level 4 là phát liện sự xâm nhập vào thiết bị từ bất kỳ hướng nào

Néu mét ai dé phá lớp vỏ của module mã hoá, nỗ lực này sẽ bị phát hiện và tất cả

cáo thông tin bão mật quan trọng sẽ bị xoá

Level 4 cing bảo vệ module không bị ảnh hưởng dến tinh bao mat trong các diéu kiên môi trường khác nhau hoặc có sự thay đổi bất thường bên ngoài khoảng

hoạt động, điện áp và nhiệt độ bình thường của module

Issuer Host

PIN Verification

Hinh 3.3: M6 hinh hoat déng ctia HSM

3.3.1.2 Khuôn dạng khối PIN

Do thuật toán DES (3DES) chỉ làm việc với khối dữ liệu đầu vào có độ dài là

64 bit (nên độ dài tôi đa của mỗi số PIN là 16 số)

‘Theo chuan [SO 9564-1 cau trie khéi dit ligu PIN 64 bit Trong đó 4 bít quan

trọng nhất trong khối nảy ở trường điều khiển có giá trị lả:

Khối PIN Format 0 duoc xây dựng bằng cách module-2 (XOR) hai trường 64

bịt: trường bản rõ PIN (với các số điền đây là F - hệ Hexa) và trường số PAN với

các thông tin gồm:

~_ Trường bảnrõ PIN có khuôn dạng như sau:

VỊ 1 5 9 13 17 21 25 29 33 37 41 45 49 53 57 61

C= Trường điều khiển 0000

N~ Chiều dài PIN 4 bịt với giá trị từ 0100 (4) dén 1100 (12)

P SốPIN 4 bịt với giá trị từ 0000 (0) đến 1001 (9)

T/E = Số DIN/Số lấp đây Trường này được xác định bởi giá trị N

Tr = Số lắp đây Trường 4 bịt giá trị 1111 (15)

Cáo số điển đầy giá trị là “F”" hệ

PIN Hexa (tương đương số 15 trong hệ

12 86 bên phải của số PAN ngoai trir check digit

A12 là số đứng trước check digit ota s4 PAN Néu

số PAN không tính check digit ma nhé hon 12 số

thi được sắp dân vào từ bên phải và được điển ở

bên trái bằng các số Pad đigit

3.3.1.3.Thuật toán mã hoá 3DES

Sử dụng khóa bộ hai (128 bi), 3DES dùng 61 bịt bến trái của khóa đề mã hóa dữ liệu, 64 bịt bên phải của khóa để giải mã kết quả của mã héa đó vả dùng lại

G1 bịt bên trải của khóa dé mã hóa kết quả của việc giải mã trước đó (Phần bên trái phải khác phần bên phải của khóa Nêu 2 phản giảng nhau thỉ việc mã hóa, giải mã

và mã hóa lân nữa với cùng một khóa sẽ đêng nhất với việc sử đựng khóa đơn 56

bit)

‘Vi du mét khoa bé hai 3DES (128 bit) voi 64 bit ban trai (key 1) va 64 bit

bên phải (key 2) như sau:

4

D? li?u

Hinh 3.4: Mã hoá dữ liệu dùng T-DES

Việc sử dụng 3DES bộ hai trong mạng chuyên mạch đòi hỏi tỉnh đồng bộ và thống nhất trong tắt cả các ngân hàng thành viên Với các ngân hàng đang sử dụng, DES thì việc chuyển sang 3DES sẽ cần thời gian và kinh phí đề thực hiện các công,

Việc sau:

+ Nâng cấp hoặc thay thẻ các thiết bị ATM và HSM,

+ Nâng cập hoặc viết lại phản mềm quản tri mang ATM va quan lý các giao

dịch ATM;

+ Thay thể hoặc chỉnh sửa CSDL lưu trữ khóa đã được mã hóa đề thích hợp

với kích thước khóa lớn hơn;

+ Tạo, chuyền, tải và lưu trữ nhiều khỏa 3DES mới;

+ Mở rộng việc kiểm tra và chứng nhận,

+ Hủy khóa độ dài đơn đang dùng

3.3.2 Quản lý khoá

3.3.2.1 Nguyên tắc quản lý khoá

- _ Không truy cập hoặc xác định được bản rõ của bắt kỳ khoá bi mật nảo,