ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

LÊ MINH HƯNG

NGHIÊN CỨU VÀ ĐỀ XUẤT
GIẢI PHÁP AN TOÀN THÔNG TIN
CHO HỆ THỐNG RÚT TIỀN TỰ ĐỘNG ATM
Ngành : Công nghệ Thông tin
Mã số : 1.01.10

LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. Hồ Văn Canh

Hà Nội - 2008


MỤC LỤC
LỜI CAM ĐOAN ........................................................... Error! Bookmark not defined.
MỤC LỤC ........................................................................................................................ 2
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT ................................................... 4
DANH MỤC CÁC HÌNH VẼ ĐỒ THỊ ........................................................................... 5
MỞ ĐẦU .......................................................................................................................... 7

Chương 1. MÁY ATM VÀ HỆ THỐNG THANH TOÁN ATM .................................... 9
1.1. TỔNG QUAN VỀ MÁY ATM ................................................................................. 9
1.1.1. Giới thiệu máy ATM (Automatic Teller Machine) ............................................. 9
1.1.2. Tình hình sử dụng hệ thống ATM ..................................................................... 10
1.1.3. Lợi ích và các dịch vụ trên máy ATM ............................................................... 11
1.1.4. Một số vấn đề đối với hệ thống ATM ............................................................... 12
1.2. CẤU TẠO MÁY ATM ............................................Error! Bookmark not defined.


Chương 3. CƠ CHẾ AN TOÀN THÔNG TIN TRONG HỆ THỐNG ATMError! Bookmark not
3.1. MÃ HÓA TRONG HỆ THỐNG ATM ....................Error! Bookmark not defined.
3.1.1. Thuật toán mã hóa ..............................................Error! Bookmark not defined.
3.1.2. Khóa bí mật trong hệ thống ATM ......................Error! Bookmark not defined.
3.1.3. Thiết bị mã hóa trong hệ thống ATM .................Error! Bookmark not defined.
3.2. MÃ HÓA VÀ GIẢI MÃ SỐ PIN .............................Error! Bookmark not defined.
3.2.1. Khái niệm số PIN (Personal Identification Number)Error! Bookmark not defined.
3.2.2. Mã hóa PIN tại ATM ..........................................Error! Bookmark not defined.
3.2.3. Xác thực PIN tại HSM ........................................Error! Bookmark not defined.
3.3. CƠ CHẾ AN TOÀN THÔNG TIN TRONG HỆ THỐNG ATMError! Bookmark not define
3.3.1. Kiểm tra tính đúng đắn số thẻ (Card number Check Digit)Error! Bookmark not defined.
3.3.2. Xác thực tính hợp lệ của thẻ (Card Authentication values)Error! Bookmark not defined
3.3.3. Bảo đảm an toàn thông tin giao dịch ..................Error! Bookmark not defined.
3.3.4. Bảo đảm an toàn phần mềm ATM ......................Error! Bookmark not defined.
3.3.5. Bảo đảm an toàn hệ điều hành ............................Error! Bookmark not defined.
3.3.6. Bảo đảm an toàn chống tấn công vật lý ..............Error! Bookmark not defined.
3.3.7. Bảo đảm an toàn từ phía ngân hàng....................Error! Bookmark not defined.
3.3.8. Bảo đảm an toàn từ phía ngƣời dùng ..................Error! Bookmark not defined.

Chương 4. ĐỀ XUẤT GIẢI PHÁP BẢO ĐẢM AN TOÀN THÔNG TIN TRONG HỆ
THỐNG ATM ................................................................ Error! Bookmark not defined.
4.1. MỘT SỐ ĐỀ XUẤT BẢO VỆ THÔNG TIN ..........Error! Bookmark not defined.
4.2. GỢI Ý CÁCH QUẢN LÝ SỐ PIN...........................Error! Bookmark not defined.
4.3. SỬ DỤNG HÀM HASH ĐỂ BẢO VỆ SỐ PIN ......Error! Bookmark not defined.
4.3.1. Giới thiệu hàm Hash (hàm băm).........................Error! Bookmark not defined.
4.3.2. Ứng dụng hàm Hash để bảo vệ số PIN ...............Error! Bookmark not defined.
4.4. NHẬP SỐ PIN KHÔNG DÙNG BÀN PHÍM .........Error! Bookmark not defined.
4.5. BẢO ĐẢM TOÀN VẸN NGUỒN GỐC THÔNG TINError! Bookmark not defined.
4.5.1. Khái niệm mã xác thực MAC (Message Authentication Code)Error! Bookmark not defin

DES

: Data Encryption Standard

3DES

: Triple DES

EMV

: Europay, MasterCard, Visa

EPP

: Encrypt PIN Pad

HSM

: Hardware Security Module

ISO

: International Organization for Standardization

KME (MEK) : Message Encryption Keys
LMK

: Local Master Keys

MD


PVK

: PIN Verification Keys

RSA

: Rivest, Shamir và Adleman

TMK

: Terminal Master Keys

WK

: Working Keys


DANH MỤC CÁC HÌNH VẼ ĐỒ THỊ
Hình 1.1 Sơ đồ tổng thể kết nối hệ thống mạng lƣới ATM .................................... 12
Hình 1.2 Máy ATM nhìn từ phía trƣớc ................................................................... 14
Hình 1.3 Một vài kiểu máy ATM ............................................................................ 14
Hình 1.4 Luồng giao dịch của hệ thống máy ATM ................................................. 15
Hình 1.5 Cấu tạo cơ bản của một máy ATM .......................................................... 16
Hình 1.6 Thiết bị trả tiền và các khay chứa tiền ...................................................... 17
Hình 1.7 Bàn phím chức năng ................................................................................. 17
Hình 1.8 Bàn phím ký tự ......................................................................................... 18
Hình 1.9 Đầu đọc thẻ ............................................................................................... 18
Hình 1.10 Máy ghi nhật ký giao dịch ...................................................................... 19
Hình 1.11 Máy in biên lai giao dịch ........................................................................ 19

Hình 3.11 Minh họa khuôn dạng của trƣờng số PIN .............................................. 82
Hình 3.12 Minh họa khuôn dạng của trƣờng số PAN ............................................. 82
Hình 3.13 Minh họa cách tính khối PIN Block ....................................................... 82
Hình 3.14 Các bƣớc mã hoá và giải mã PIN Block ................................................ 83
Hình 3.15 Quá trình xác thực số PIN giữa ATM và Switch ................................... 84
Hình 3.16 Cấu trúc của số PAN và vị trí số CD ...................................................... 86
Hình 3.17 Mặt trƣớc của thẻ ATM và vị trí số CD ................................................. 87
Hình 3.18 Quá trình xác thực số CVV/CVC giữa ATM và Switch ........................ 90
Hình 3.19 Quy trình mã hóa và xác thực PIN ......................................................... 91
Hình 4.1 Minh họa số PIN sau khi Hash ................................................................ 96
Hình 4.2 Minh họa số PIN sau khi Hash sẽ đƣợc hoán vị...................................... 97
Hình 4.3 Mô phỏng mã xác thực MAC đƣợc gắn vào cuối thông điệp .................. 98
Hình 4.4 Mã hoá thông tin trên kênh truyền giữa hai thiết bị ................................. 100


MỞ ĐẦU
1. Tính cấp thiết của luận văn
Hiện nay, thanh toán tiền qua hệ thống ATM đã phổ biến trên toàn thế giới và ở
Việt Nam dịch vụ này cũng đang bƣớc đầu triển khai. Khái niệm máy rút tiền ATM
cũng không còn xa lạ trong cuộc sống của ngƣời dân Việt Nam.
Theo yêu cầu của Thủ tƣớng chính phủ, đến ngày 1 tháng 1 năm 2009 sẽ mở
rộng việc trả lƣơng qua tài khoản cho cán bộ công chức trên phạm vi cả nƣớc. Vì vậy,
việc giao dịch qua hệ thống ATM sẽ gần với cuộc sống thƣờng ngày.
Những tiện ích mà các dịch vụ thẻ mang lại đã góp phần từng bƣớc thay đổi
thói quen sử dụng tiền mặt của ngƣời dân, cũng nhƣ góp phần hữu ích vào việc tạo
dựng nền móng cho sự hình thành một nền thƣơng mại điện tử còn non trẻ của nƣớc
ta.
Tuy nhiên, vấn đề bức xúc cũng đƣợc đặt ra là làm thế nào để đảm bảo an toàn
tuyệt đối cho hệ thống và cả ngƣời dùng, chống lại mọi sự gian lận, ăn cắp tài khoản
vv… của ngƣời dùng.

thông tin.
Trong quá trình nghiên cứu và phân tích, chúng tôi đề xuất một vài giải pháp để
đảm bảo an toàn hơn cho hệ thống thanh toán ATM. Nhƣ vậy, luận văn đạt đƣợc tính
khoa học và ý nghĩa thực tiễn của mình.
7. Kết cấu luận văn
Ngoài các phần mở đầu, các tài liệu tham khảo, luận văn gồm có 4 chƣơng và
phần kết luận. Cụ thể:
Chương 1. Máy ATM và hệ thống thanh toán bằng máy ATM
Giới thiệu về sự hình thành và phát triển của máy ATM và về tình hình ứng
dụng của máy ATM trên toàn thế giới và tại Việt Nam.
Giới thiệu về cấu tạo máy ATM, hệ thống phần mềm Switch dùng để kết nối
giữa các máy ATM và cơ sở dữ liệu Corebank.
Chương 2. Một số công cụ đảm bảo an toàn thông tin


Nêu vấn đề về đảm bảo an toàn thông tin trong quá trình truyền tin.
Giới thiệu qua về một số công cụ đảm bảo an toàn thông tin, giới thiệu một số
hệ mã hóa, hàm băm.
Chương 3. Cơ chế an toàn thông tin trong hệ thống ATM
Chúng tôi tập trung nghiên cứu cấu trúc và cơ chế hoạt động cũng nhƣ bảo mật
của hệ thống ATM, trên cơ sở đó lựa chọn đề xuất giải pháp đảm bảo an toàn/an ninh
cho hệ thống ATM.
Chương 4. Đề xuất giải pháp bảo đảm an toàn thông tin trong hệ thống ATM
Phần Kết luận. Tổng kết lại những vấn đề đƣợc nghiên cứu của đề tài.
Chương 1. MÁY ATM VÀ HỆ THỐNG THANH TOÁN ATM
1.1. TỔNG QUAN VỀ MÁY ATM
1.1.1. Giới thiệu máy ATM (Automatic Teller Machine)
Máy rút tiền đầu tiên trên thế giới đƣợc thiết kế và hoàn thành bởi Luther
George Simjian (ngƣời Thổ Nhĩ Kỳ), vào năm 1939, máy đƣợc thiết kế tại thành phố
NewYork cho Ngân hàng City Bank of NewYork, nhƣng 6 tháng sau thì bị bỏ đi vì ít

1996
360
1997
460
1998
4.500
1999
2.500
2000
5.000
2001
15.000
2002
40.000
2003
230.000
2004
560.000
2005
1.250.000
T6/2006
3.500.000
2007
8.400.000
T3/2008
10.000.000

Số máy ATM

4.020

-

POS (Point of Service) : Điểm thanh toán thẻ.

-

Telephone Banking : Dịch vụ ngân hàng qua điện thoại.

-

Mobile Banking : Dịch vụ ngân hàng qua điện thoại.
Bên cạnh đó, máy ATM còn có một số ƣu điểm sau:

-

Các địa điểm đặt máy thuận lợi, thời gian phục vụ 24/24 giúp dễ tiếp cận với các
dịch vụ ngân hàng, nên thu hút nhiều chủ thẻ hơn.

-

Đối với mỗi ATM có thể coi là một "chi nhánh" của Ngân hàng, do đó sẽ giảm
thiểu chi phí vận hành chi nhánh Ngân hàng.


Nhờ vậy, mà các ngân hàng có thể giữ đƣợc khách hàng cũ và thu hút đƣợc
nhiều ngƣời mới sử dụng các dịch vụ của ngân hàng.
1.1.3.2. Lợi ích đối với khách hàng
-

Thuận tiện trong tiếp cận ngân hàng (địa điểm, 24x7 giờ).

Gửi tiền.

-

Các giao dịch Internet / Thƣơng mại điện tử.

1.1.4. Một số vấn đề đối với hệ thống ATM
Khi các mạng lƣới ATM đƣợc mở rộng thì việc đảm bảo an toàn cho hệ thống
ATM trở nên cấp thiết. Khi khách hàng chấp nhận thanh toán tiền qua hệ thống ATM
thì có nghĩa là họ đã tin tƣởng vào sự an toàn và tiện lợi mà hệ thống ATM mang lại,
do đó việc đảm bảo an toàn thông tin trên hệ thống ATM rất quan trọng.

Hình 1.1 Sơ đồ tổng thể kết nối hệ thống mạng lƣới ATM


Hiện nay, trên thế giới và cũng nhƣ ở Việt Nam, thẻ từ vẫn chiếm một số lƣợng
lớn so với thẻ chíp (thẻ thông minh). Do chi phí phát hành thẻ từ rất rẻ so với thẻ chíp
nên hiện tại thẻ từ vẫn chiếm lĩnh thị trƣờng thẻ.
Đối với thẻ chíp, hiện nay (8/2008) đã có một số ngân hàng phát hành nhƣ
VIB, VP, VCB nhƣng với số lƣợng rất ít và chủ yếu dùng cho thẻ tín dụng.
Tuy nhiên, những vấn đề rủi ro và gian lận thẻ đang đặt cho Ngân hàng một
thách thức lớn, thẻ từ bộc lộ nhiều hạn chế về khả năng an toàn, lƣu trữ thông tin cũng
nhƣ tích hợp các ứng dụng, dịch vụ trên thẻ.
Thẻ từ rất dễ bị sao chép, chỉ với một bảng mạch điện tử 2 đầu đọc băng từ
hoặc với công nghệ “hộp đen” phân tích tín hiệu từ đầu vào và đầu ra, tội phạm có thể
làm ra những chiếc thẻ tƣơng tự. Ngoài việc bị lấy cắp trực tiếp từ việc đọc trên băng
từ, dữ liệu còn có thể bị đánh cắp từ trên đƣờng truyền bƣu điện mà Ngân hàng thuê.

Cũng không loại trừ trƣờng hợp ngƣời của các Ngân hàng thông đồng với tội
phạm để cài đặt các thiết bị lấy cắp dữ liệu vào máy ATM, từ đó lấy cắp dữ liệu thẻ

4. Bách khoa toàn thƣ mở Wikipedia, Hệ mã hóa DES, đƣợc lấy về tại:
http://vi.wikipedia.org/wiki/DES_(m%C3%A3_h%C3%B3a).
5. DIEBOLD (2007), Tài liệu giới thiệu hệ thống máy ATM.
6. Hiệp hội ngân hàng Việt Nam, 10 năm phát triển của thị trường thẻ, đƣợc
lấy về tại:
http://www.vnba.org.vn/index.php?option=com_content&task=view&id=37
4&Itemid=92.
7. Hồ Văn Canh TS (2003), Tài liệu giảng dạy hệ mã hóa DES.
8. NCR – MICROTEC (2007), Tài liệu giới thiệu hệ thống máy ATM.
9. Trịnh Nhật Tiến PGS. TS (2007), Bài giảng môn An toàn và bảo mật dữ
liệu.
Tiếng Anh
10. E-Funds (2007), Hardware Security Module (HSM) Subsystem Guide.
11. ISO 8583-1987, Message Format
12. ISO_IEC_7810_2003(E), Identification cards-Physical characteristics.


13. ISO_IEC_7811-1_2002(E), Identification cards-Recording technique-Part
1-Embossing.
14. ISO_IEC_7812-1_2000(E), Identification cards-Identification of issuersPart 1-Numbering system.
15. ISO_IEC_7813_2001(E), Identification cards-Financial transaction cards.