ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ LÊ MINH HƯNG NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP AN TOÀN THÔNG TIN CHO HỆ THỐNG RÚT TIỀN TỰ ĐỘNG ATM Ngành : Công nghệ Thông tin Mã số :
Trang 1ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
LÊ MINH HƯNG
NGHIÊN CỨU VÀ ĐỀ XUẤT GIẢI PHÁP AN TOÀN THÔNG TIN CHO HỆ THỐNG RÚT TIỀN TỰ ĐỘNG ATM
Ngành : Công nghệ Thông tin
Mã số : 1.01.10
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: TS Hồ Văn Canh
Hà Nội - 2008
Trang 2MỤC LỤC
LỜI CAM ĐOAN Error! Bookmark not defined.
MỤC LỤC 2
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT 4
DANH MỤC CÁC HÌNH VẼ ĐỒ THỊ 5
MỞ ĐẦU 7
Chương 1 MÁY ATM VÀ HỆ THỐNG THANH TOÁN ATM 9
1.1 TỔNG QUAN VỀ MÁY ATM 9
1.1.1 Giới thiệu máy ATM (Automatic Teller Machine) 9
1.1.2 Tình hình sử dụng hệ thống ATM 10
1.1.3 Lợi ích và các dịch vụ trên máy ATM 11
1.1.4 Một số vấn đề đối với hệ thống ATM 12
1.2 CẤU TẠO MÁY ATM Error! Bookmark not defined.
1.2.1 Định nghĩa ATM Error! Bookmark not defined.
1.2.2 Cấu tạo máy ATM Error! Bookmark not defined.
1.2.3 Mạng lưới ATM Error! Bookmark not defined.
1.2.4 Giao thức kết nối hệ thống máy ATM Error! Bookmark not defined.
1.2.5 Hệ thống Switch Error! Bookmark not defined.
1.3 HỆ THỐNG THANH TOÁN BẰNG MÁY ATM CHO THẺ TỪError! Bookmark not defined 1.3.1 Thẻ từ Error! Bookmark not defined.
1.3.2 Cấu trúc của số thẻ Error! Bookmark not defined.
1.3.3 Định dạng thông điệp (message) của máy ATMError! Bookmark not defined.
1.4 HỆ THỐNG THANH TOÁN BẰNG MÁY ATM CHO THẺ CHÍPError! Bookmark not defined 1.4.1 Thẻ chíp Error! Bookmark not defined.
1.4.2 Sự phát triển của thẻ chíp Error! Bookmark not defined.
1.4.3 Phân loại thẻ chíp Error! Bookmark not defined.
1.4.4 Các thành phần trong kiến trúc của thẻ chip Error! Bookmark not defined.
1.4.5 Hệ điều hành cho thẻ chíp Error! Bookmark not defined.
1.4.6 So sánh giữa thẻ từ và thẻ chíp Error! Bookmark not defined.
Chương 2 MỘT SỐ CÔNG CỤ ĐẢM BẢO AN TOÀN THÔNG TINError! Bookmark not defined.
2.1 TỔNG QUAN VỀ AN TOÀN THÔNG TIN Error! Bookmark not defined.
2.2 CÔNG CỤ ĐẢM BẢO AN TOÀN THÔNG TIN Error! Bookmark not defined.
2.2.1 Mật mã Error! Bookmark not defined.
2.2.2 Giấu tin (Steganogrsphy) Error! Bookmark not defined.
2.2.3 Tường lửa Error! Bookmark not defined.
2.2.4 Mạng riêng ảo Error! Bookmark not defined.
2.3 HỆ MÃ HÓA Error! Bookmark not defined.
2.3.1 Phân loại Error! Bookmark not defined.
2.3.2 DES (Data Encryption Standard) Error! Bookmark not defined.
2.3.3 Hệ mã hóa RSA Error! Bookmark not defined.
2.3.4 Hàm băm (hàm Hash) Error! Bookmark not defined.
Trang 3Chương 3 CƠ CHẾ AN TOÀN THÔNG TIN TRONG HỆ THỐNG ATMError! Bookmark not defined.
3.1 MÃ HÓA TRONG HỆ THỐNG ATM Error! Bookmark not defined.
3.1.1 Thuật toán mã hóa Error! Bookmark not defined.
3.1.2 Khóa bí mật trong hệ thống ATM Error! Bookmark not defined.
3.1.3 Thiết bị mã hóa trong hệ thống ATM Error! Bookmark not defined.
3.2 MÃ HÓA VÀ GIẢI MÃ SỐ PIN Error! Bookmark not defined.
3.2.1 Khái niệm số PIN (Personal Identification Number)Error! Bookmark not defined.
3.2.2 Mã hóa PIN tại ATM Error! Bookmark not defined.
3.2.3 Xác thực PIN tại HSM Error! Bookmark not defined.
3.3 CƠ CHẾ AN TOÀN THÔNG TIN TRONG HỆ THỐNG ATMError! Bookmark not defined.
3.3.1 Kiểm tra tính đúng đắn số thẻ (Card number Check Digit)Error! Bookmark not defined.
3.3.2 Xác thực tính hợp lệ của thẻ (Card Authentication values)Error! Bookmark not defined.
3.3.3 Bảo đảm an toàn thông tin giao dịch Error! Bookmark not defined.
3.3.4 Bảo đảm an toàn phần mềm ATM Error! Bookmark not defined.
3.3.5 Bảo đảm an toàn hệ điều hành Error! Bookmark not defined.
3.3.6 Bảo đảm an toàn chống tấn công vật lý Error! Bookmark not defined.
3.3.7 Bảo đảm an toàn từ phía ngân hàng Error! Bookmark not defined.
3.3.8 Bảo đảm an toàn từ phía người dùng Error! Bookmark not defined.
Chương 4 ĐỀ XUẤT GIẢI PHÁP BẢO ĐẢM AN TOÀN THÔNG TIN TRONG HỆ
THỐNG ATM Error! Bookmark not defined.
4.1 MỘT SỐ ĐỀ XUẤT BẢO VỆ THÔNG TIN Error! Bookmark not defined.
4.2 GỢI Ý CÁCH QUẢN LÝ SỐ PIN Error! Bookmark not defined.
4.3 SỬ DỤNG HÀM HASH ĐỂ BẢO VỆ SỐ PIN Error! Bookmark not defined.
4.3.1 Giới thiệu hàm Hash (hàm băm) Error! Bookmark not defined.
4.3.2 Ứng dụng hàm Hash để bảo vệ số PIN Error! Bookmark not defined.
4.4 NHẬP SỐ PIN KHÔNG DÙNG BÀN PHÍM Error! Bookmark not defined.
4.5 BẢO ĐẢM TOÀN VẸN NGUỒN GỐC THÔNG TINError! Bookmark not defined.
4.5.1 Khái niệm mã xác thực MAC (Message Authentication Code)Error! Bookmark not defined 4.5.2 Chế độ hoạt động CBC Error! Bookmark not defined.
4.5.3 Xác thực thông điệp MAC giữa ATM và hệ thống SwitchError! Bookmark not defined.
4.6 MÃ HÓA THÔNG ĐIỆP Error! Bookmark not defined.
4.7 BẢO ĐẢM AN TOÀN TRÊN ĐƯỜNG TRUYỀN Error! Bookmark not defined.
KẾT LUẬN Error! Bookmark not defined.
TÀI LIỆU THAM KHẢO 14
Trang 4DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT
KME (MEK) : Message Encryption Keys
Trang 5DANH MỤC CÁC HÌNH VẼ ĐỒ THỊ
Hình 1.1 Sơ đồ tổng thể kết nối hệ thống mạng lưới ATM 12
Hình 1.2 Máy ATM nhìn từ phía trước 14
Hình 1.3 Một vài kiểu máy ATM 14
Hình 1.4 Luồng giao dịch của hệ thống máy ATM 15
Hình 1.5 Cấu tạo cơ bản của một máy ATM 16
Hình 1.6 Thiết bị trả tiền và các khay chứa tiền 17
Hình 1.7 Bàn phím chức năng 17
Hình 1.8 Bàn phím ký tự 18
Hình 1.9 Đầu đọc thẻ 18
Hình 1.10 Máy ghi nhật ký giao dịch 19
Hình 1.11 Máy in biên lai giao dịch 19
Hình 1.12 Máy tính (Core) điều khiển 20
Hình 1.13 Khay chứa tiền 21
Hình 1.14 Sơ đồ mạng lưới ATM 22
Hình 1.15 Các thành phần của hệ thống Switch 23
Hình 1.16 Các vị trí dập nổi trên thẻ (mặt trước) 25
Hình 1.17 Vị trí dải từ (Mặt sau thẻ) 26
Hình 1.18 Vị trí của các rãnh từ trong dải từ 27
Hình 1.19 Cấu trúc số PAN 32
Hình 1.20 Vị trí số BIN 33
Hình 1.21 Thẻ Vạn dặm của ngân hàng BIDV 33
Hình 1.22 Mô hình thẻ chip 41
Hình 1.23 Mối tương quan giữa giá, dung lượng và hiệu năng (tính năng) 43
Hình 1.24 Vị trí và các chiều của các điểm tiếp xúc 44
Hình 1.25 Tương quan giữa vị trí của con chíp và dải từ trên thẻ 44
Trang 6Hình 1.26 Cấu trúc của bộ xử lý 45
Hình 1.27 Cấu trúc file 48
Hình 2.1 Sơ đồ thuật toán mã hóa DES 61
Hình 2.2 Quá trình tạo bản băm của MD5 70
Hình 3.1 Sơ đồ tổng thể mạng lưới ATM của một Ngân hàng 71
Hình 3.2 Các bước thực hiện trong quá trình mã hóa và giải mã theo 3DES 73
Hình 3.3 Phân lớp các khóa sử dụng trong hệ thống ATM 76
Hình 3.4 Mô tả các vị trí khóa trong hệ thống ATM 76
Hình 3.5 Thiết lập khóa LMK cho HSM 77
Hình 3.6 Thiết lập khóa TMK cho EPP 77
Hình 3.7 Thiết lập khóa khác tại Switch 77
Hình 3.8 Các bước trao đổi khóa WK giữa ATM và Switch 78
Hình 3.9 Thiết bị mã hóa EPP 79
Hình 3.10 Thiết bị mã hóa HSM 79
Hình 3.11 Minh họa khuôn dạng của trường số PIN 82
Hình 3.12 Minh họa khuôn dạng của trường số PAN 82
Hình 3.13 Minh họa cách tính khối PIN Block 82
Hình 3.14 Các bước mã hoá và giải mã PIN Block 83
Hình 3.15 Quá trình xác thực số PIN giữa ATM và Switch 84
Hình 3.16 Cấu trúc của số PAN và vị trí số CD 86
Hình 3.17 Mặt trước của thẻ ATM và vị trí số CD 87
Hình 3.18 Quá trình xác thực số CVV/CVC giữa ATM và Switch 90
Hình 3.19 Quy trình mã hóa và xác thực PIN 91
Hình 4.1 Minh họa số PIN sau khi Hash 96
Hình 4.2 Minh họa số PIN sau khi Hash sẽ được hoán vị 97
Hình 4.3 Mô phỏng mã xác thực MAC được gắn vào cuối thông điệp 98
Hình 4.4 Mã hoá thông tin trên kênh truyền giữa hai thiết bị 100
Trang 7MỞ ĐẦU
1 Tính cấp thiết của luận văn
Hiện nay, thanh toán tiền qua hệ thống ATM đã phổ biến trên toàn thế giới và ở Việt Nam dịch vụ này cũng đang bước đầu triển khai Khái niệm máy rút tiền ATM cũng không còn xa lạ trong cuộc sống của người dân Việt Nam
Theo yêu cầu của Thủ tướng chính phủ, đến ngày 1 tháng 1 năm 2009 sẽ mở rộng việc trả lương qua tài khoản cho cán bộ công chức trên phạm vi cả nước Vì vậy, việc giao dịch qua hệ thống ATM sẽ gần với cuộc sống thường ngày
Những tiện ích mà các dịch vụ thẻ mang lại đã góp phần từng bước thay đổi thói quen sử dụng tiền mặt của người dân, cũng như góp phần hữu ích vào việc tạo dựng nền móng cho sự hình thành một nền thương mại điện tử còn non trẻ của nước
ta
Tuy nhiên, vấn đề bức xúc cũng được đặt ra là làm thế nào để đảm bảo an toàn tuyệt đối cho hệ thống và cả người dùng, chống lại mọi sự gian lận, ăn cắp tài khoản vv… của người dùng
Với vấn đề đặt ra như trên, tôi chọn đề tài “Nghiên cứu và đề xuất giải pháp
an toàn thông tin cho hệ thống rút tiền tự động ATM” nhằm mục đích nghiên cứu cơ
chế hoạt động, độ an toàn và tính bảo mật của hệ thống ATM, trên cơ sở đó phân tích
và đánh giá công nghệ hiện tại đang sử dụng, tìm hiểu ưu nhược điểm nhằm đề ra giải pháp tối ưu hơn giúp cho tính bảo mật và an toàn của hệ thống được nâng cao
2 Mục đích của luận văn
Mục đích của luận văn là nghiên cứu và đưa ra những giải pháp khoa học, đảm bảo an toàn cho các bài toán phát sinh trong quá trình thanh toán tiền trên hệ thống ATM Từ đó, đánh giá ưu nhược điểm và đề xuất giải pháp đảm bảo an toàn trên hệ thống ATM
Trang 83 Đối tượng nghiên cứu
Đối tượng nghiên cứu của luận văn là các bài toán phát sinh khi dùng tiền điện
tử
4 Phạm vi nghiên cứu
Luận văn nghiên cứu một cách tương đối bài toán phát sinh trong quá trình thanh toán trên hệ thống ATM cho đến thời điểm hiện tại
Hiện nay, Việt Nam đang chủ yếu sử dụng thẻ từ nên trong luận văn, tác giả đi sâu nghiên cứu hệ thống ATM cho thẻ từ là chính, tuy nhiên thẻ chíp cũng được trình bày trong chương 1 mang tính tổng quan
5 Phương pháp nghiên cứu
Luận văn đi vào nghiên cứu và phân tích cấu trúc của hệ thống thanh toán ATM, nêu ra được giải pháp an toàn thông tin đang sử dụng hiện thời của hệ thống
Nghiên cứu một số vấn đề đảm bảo an toàn thông tin trong quá trình truyền thông, trên cơ sở đó đề xuất xuất một vài giải pháp để đảm bảo an toàn hơn cho hệ thống thanh toán ATM
6 Ý nghĩa khoa học và thực tiễn của luận văn
Luận văn nghiên cứu bài toán nảy sinh khi dùng tiền điện tử để thanh toán trên
hệ thống ATM Bài toán được nghiên cứu dựa trên cơ sở khoa học đảm bảo an toàn thông tin
Trong quá trình nghiên cứu và phân tích, chúng tôi đề xuất một vài giải pháp để đảm bảo an toàn hơn cho hệ thống thanh toán ATM Như vậy, luận văn đạt được tính khoa học và ý nghĩa thực tiễn của mình
7 Kết cấu luận văn
Ngoài các phần mở đầu, các tài liệu tham khảo, luận văn gồm có 4 chương và phần kết luận Cụ thể:
Chương 1 Máy ATM và hệ thống thanh toán bằng máy ATM
Giới thiệu về sự hình thành và phát triển của máy ATM và về tình hình ứng dụng của máy ATM trên toàn thế giới và tại Việt Nam
Giới thiệu về cấu tạo máy ATM, hệ thống phần mềm Switch dùng để kết nối giữa các máy ATM và cơ sở dữ liệu Corebank
Chương 2 Một số công cụ đảm bảo an toàn thông tin
Trang 9Nêu vấn đề về đảm bảo an toàn thông tin trong quá trình truyền tin
Giới thiệu qua về một số công cụ đảm bảo an toàn thông tin, giới thiệu một số
hệ mã hóa, hàm băm
Chương 3 Cơ chế an toàn thông tin trong hệ thống ATM
Chúng tôi tập trung nghiên cứu cấu trúc và cơ chế hoạt động cũng như bảo mật của hệ thống ATM, trên cơ sở đó lựa chọn đề xuất giải pháp đảm bảo an toàn/an ninh cho hệ thống ATM
Chương 4 Đề xuất giải pháp bảo đảm an toàn thông tin trong hệ thống ATM Phần Kết luận Tổng kết lại những vấn đề được nghiên cứu của đề tài
Chương 1 MÁY ATM VÀ HỆ THỐNG THANH TOÁN ATM
1.1 TỔNG QUAN VỀ MÁY ATM
1.1.1 Giới thiệu máy ATM (Automatic Teller Machine)
Máy rút tiền đầu tiên trên thế giới được thiết kế và hoàn thành bởi Luther George Simjian (người Thổ Nhĩ Kỳ), vào năm 1939, máy được thiết kế tại thành phố NewYork cho Ngân hàng City Bank of NewYork, nhưng 6 tháng sau thì bị bỏ đi vì ít người dùng
Sau 25 năm, vào ngày 27/6/1967, máy rút tiền điện tử đầu tiên được hãng In De la Rue thiết kế tại Enfield Town gần London (nước Anh) cho Ngân hàng Barclays Bank Người phát minh là John Shepherd-Barron mặc dù Luther George Simjian và một số người khác cũng đã đăng ký văn bằng phát minh cho loại máy này Tuy nhiên, nhiều người cho rằng loại máy ATM đầu tiên theo đúng nghĩa ATM mà thế giới ngày nay đang sử dụng chính là loại máy được ra mắt vào năm 1969 tại Ngân hàng Chemical Bank ở NewYork (nước Mỹ) Tác giả là Don Wetzel, phó giám đốc một công ty chuyên về máy tự động xử lý hành lý
ATM ngày nay là thiết bị để Ngân hàng giao dịch tự động với chủ thẻ, thực hiện thông qua các loại thẻ ATM như thẻ ghi nợ, thẻ ghi có (thẻ tín dụng), và các loại thẻ khác, giúp chủ thẻ kiểm tra tài khoản, rút tiền mặt, chuyển khoản thanh toán hàng hóa, dịch vụ [2]
Trang 101.1.2 Tình hình sử dụng hệ thống ATM
Thanh toán tiền qua hệ thống ATM đã phổ biến trên toàn thế giới và ở Việt Nam hệ thống ATM cũng đang dần phổ biến
Năm 1993, thị trường thẻ Ngân hàng Việt Nam mới xuất hiện những sản phẩm thẻ đầu tiên do Vietcombank phát hành, đến năm 1996 thì thị trường thẻ bắt đầu thực
sự xuất hiện
Năm 1996, Ngân hàng Ngoại thương Việt Nam Vietcombank (VCB) kết hợp cùng Ngân hàng Nhà nước lắp đặt 2 chiếc máy rút tiền tự động (ATM) tại Hà Nội
Đến nay, chúng ta đã chứng kiến sự phát triển vượt bậc của thị trường thẻ và máy ATM tại Việt Nam, với hơn 20 Ngân hàng thương mại phát hành Thẻ nội địa, trong đó có 8 Ngân hàng thương mại phát hành Thẻ Quốc tế
Năm
Số lượng thẻ phát hành gồm thẻ nội địa và quốc tế
(Đơn vị: chiếc)
Số máy ATM
Bảng 1.1 Số liệu thông kê thị trường thẻ Việt Nam qua các năm
(Theo Hiệp hội Ngân hàng Việt Nam và hội thảo Banking Việt Nam 2008)
Tại hội thảo Banking Vietnam 2008 diễn ra tại Hà Nội, Ngân hàng Nhà nước đã công bố số liệu thống kê về thị trường thẻ Việt Nam Trong đó, tính đến hết quý
Trang 11I/2008, toàn hệ thống ngân hàng Việt Nam có hơn 4.500 máy rút tiền tự động ATM, gần 15.000 điểm chấp nhận thẻ (POS) và phát hành hơn 10 triệu thẻ thanh toán
Với đà phát triển trên 300% mỗi năm như thời gian vừa qua, Cục Công nghệ Tin học Ngân hàng (Ngân hàng Nhà nước) dự báo đến cuối năm 2008, toàn hệ thống ngân hàng Việt Nam sẽ có khoảng 6.880 máy ATM, hơn 29.000 điểm chấp nhận thẻ POS và gần 14 triệu thẻ thanh toán
Những tiện ích mà các dịch vụ thẻ mang lại đã góp phần từng bước thay đổi thói quen ưa sử dụng tiền mặt của người dân, giảm chi phí xã hội, nâng cao khả năng quản lý tiền tệ của NN cũng như góp phần hữu ích vào việc tạo dựng nền móng cho sự hình thành một nền thương mại điện tử còn non trẻ của nước ta
Việc còn quá ít máy ATM được một số ít các ngân hàng triển khai cũng không quá khó lý giải Với mức chi phí đầu tư cho một máy ATM từ 20.000 USD đến 30.000 USD, không phải ngân hàng nào, nhất là các ngân hàng thương mại cổ phần cũng có thể đầu tư, nếu họ không “trường vốn” và không có chiến lược phát triển ATM
1.1.3 Lợi ích và các dịch vụ trên máy ATM
1.1.3.1 Lợi ích đối với ngân hàng
ATM được biết đến như là một kênh tự phục vụ của ngân hàng, là một bộ phận chiến lược trong kênh phân phối của ngân hàng, giúp cho chủ thẻ truy cập một cách thuận tiện các dịch vụ một cách nhanh chóng, dịch vụ 24/7 ở bất cứ nơi đâu và vào thời gian nào
ATM là một trong các kênh phân phối dịch vụ bán lẻ của ngân hàng như:
- POS (Point of Service) : Điểm thanh toán thẻ
- Telephone Banking : Dịch vụ ngân hàng qua điện thoại
- Mobile Banking : Dịch vụ ngân hàng qua điện thoại
Bên cạnh đó, máy ATM còn có một số ưu điểm sau:
- Các địa điểm đặt máy thuận lợi, thời gian phục vụ 24/24 giúp dễ tiếp cận với các dịch vụ ngân hàng, nên thu hút nhiều chủ thẻ hơn
- Đối với mỗi ATM có thể coi là một "chi nhánh" của Ngân hàng, do đó sẽ giảm thiểu chi phí vận hành chi nhánh Ngân hàng
