ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHẠM HUY NAM MỘT SỐ GIẢI PHÁP HẠN CHẾ RỦI RO TRONG THANH TOÁN THẺ Ngành: Công nghệ Thông tin Mã số: 1.01.10 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC PGS, TS TRỊNH NHẬT TIẾN Hà nội – 12/2007 MỤC LỤC MỤC LỤC LỜI CẢM ƠN CÁC TỪ VIẾT TẮT Error! Bookmark not defined MỞ ĐẦU Chƣơng 1: TỔNG QUAN VỀ CÔNG NGHỆ THẺ TỪ 1.1 THẺ TỪ VÀ GIAO DỊCH VỚI THẺ TỪ 1.1.1 Thẻ từ 1.1.2 Thẻ toán 1.2.3 Mạng toán gói tin trao đổi Error! Bookmark not defined 1.2 CÁC LOẠI RỦI RO TRONG SỬ DỤNG THẺ THANH TOÁN Error! Bookmark not defined 1.2.1 Rủi ro phát hành Error! Bookmark not defined 1.2.2 Rủi ro hoạt động toán Error! Bookmark not defined 1.2.3 Rủi ro kỹ thuật Error! Bookmark not defined 1.2.4 Giải pháp khắc phục rủi ro dùng thẻ Error! Bookmark not defined Chƣơng 2: CÔNG NGHỆ THẺ EMV Error! Bookmark not defined 2.1 TỔNG QUAN VỀ THẺ THÔNG MINH Error! Bookmark not defined 2.1.1 Khái niệm thẻ thông minh Error! Bookmark not defined 2.1.2 Phân loại thẻ thông minh Error! Bookmark not defined 2.1.3 Phần cứng thẻ thông minh Error! Bookmark not defined 2.1.4 Hệ điều hành thẻ thông minh Error! Bookmark not defined 2.1.5 Truyền liệu thẻ thông minh Error! Bookmark not defined 2.1.6 Các chuẩn thẻ thông minh Error! Bookmark not defined 2.1.7 Ứng dụng thẻ thông minh Error! Bookmark not defined 2.2 VẤN ĐỀ BẢO MẬT TRONG THẺ THÔNG MINH Error! Bookmark not defined 2.2.1 Các phương pháp Error! Bookmark not defined 2.2.2 Những biện pháp bảo vệ Error! Bookmark not defined 2.3 TỔNG QUAN VỀ THẺ EMV Error! Bookmark not defined 2.3.1 Giới thiệu thẻ EMV Error! Bookmark not defined 2.3.2 Thành phần liệu thẻ EMV Error! Bookmark not defined Chƣơng 3: CHỨNG CHỈ SỬ DỤNG VỚI THẺ EMV Error! Bookmark not defined 3.1 GIỚI THIỆU CHỨNG CHỈ DÙNG VỚI THẺ EMV Error! Bookmark not defined 3.1.1 Các loại chứng dùng với thẻ EMV Error! Bookmark not defined 3.1.2 Kỹ thuật ký số mã hóa dùng với chứng Error! Bookmark not defined 3.1.3 Chứng cho thực thể liên quan Error! Bookmark not defined 3.1.4 Chứng thực sử dụng với thẻ EMV Error! Bookmark not defined 3.2 CHỨNG CHỈ KHÓA CÔNG KHAI CỦA THẺ EMV Error! Bookmark not defined 3.2.1 Tạo lập chứng khóa công khai thẻ EMV Error! Bookmark not defined 3.2.2 Kiểm tra chứng thẻ EMV Error! Bookmark not defined 3.3 XÁC THỰC DỮ LIỆU ỨNG DỤNG TĨNH Error! Bookmark not defined 3.3.1 Tạo lập liệu ứng dụng tĩnh Error! Bookmark not defined 3.3.2 Xác thực liệu ứng dụng tĩnh ký Error! Bookmark not defined Chƣơng 4: XỬ LÝ GIAO DỊCH THẺ EMV Error! Bookmark not defined 4.1 TỔNG QUAN VỀ GIAO DỊCH VỚI THẺ EMV Error! Bookmark not defined 4.1.1 Sơ đồ giao dịch với thẻ EMV Error! Bookmark not defined 4.1.2 Giao dịch toán với thẻ EMV Error! Bookmark not defined 4.2 XỬ LÝ ỨNG DỤNG Error! Bookmark not defined 4.2.1 Khái niệm Error! Bookmark not defined 4.2.2 Xử lý ứng dụng Error! Bookmark not defined 4.3 ĐỌC DỮ LIỆU CỦA ỨNG DỤNG Error! Bookmark not defined 4.3.1 Khái niệm Error! Bookmark not defined 4.3.2 Xử lý liệu AFL Error! Bookmark not defined 4.3.3 Quy tắc đồng cho liệu Error! Bookmark not defined 4.4 XÁC THỰC DỮ LIỆU NGOẠI TUYẾN Error! Bookmark not defined 4.4.1 Khái niệm Error! Bookmark not defined 4.4.2 Lựa chọn kỹ thuật xác thực ngoại tuyến Error! Bookmark not defined 4.4.3 SDA ngoại tuyến Error! Bookmark not defined 4.4.4 Xác thực liệu động ngoại tuyến – offline DDA Error! Bookmark not defined 4.5 NHỮNG HẠN CHẾ TRONG XỬ LÝ Error! Bookmark not defined 4.5.2 Kiểm soát sử dụng ứng dụng Error! Bookmark not defined 4.5.3 Kiểm tra ngày hết hạn/ngày hiệu lực ứng dụng Error! Bookmark not defined 4.6 KIỂM TRA CHỦ THẺ Error! Bookmark not defined 4.6.1 Những kỹ thuật kiểm tra chủ thẻ EMV Error! Bookmark not defined 4.6.2 Những đối tượng liệu có liên quan kỹ thuật kiểm tra chủ thẻ Error! Bookmark not defined 4.6.3 Xử lý phổ biến thực thiết bị đọc Error! Bookmark not defined 4.6.4 Xử lý PIN ngoại tuyến Error! Bookmark not defined 4.6.5 Phong bì số RSA chứa PIN Error! Bookmark not defined 4.6.6 Xử lý PIN trực tiếp Error! Bookmark not defined 4.7 QUẢN LÝ RỦI RO TRONG THIẾT BI ĐẦU CUỐI Error! Bookmark not defined 4.7.1 Hạn mức sàn thiết bị đọc Error! Bookmark not defined 4.7.2 Lựa chọn giao dịch ngẫu nhiên Error! Bookmark not defined 4.7.3 Kiểm tra nhanh (Velocity checking) Error! Bookmark not defined 4.8 PHÂN TÍCH HOẠT ĐỘNG CỦA THIẾT BỊ ĐẦU CUỐI Error! Bookmark not defined 4.8.1 Mã hoạt động sách bảo mật Error! Bookmark not defined 4.8.2 Đề xuất thiết bị đọc định thẻ Error! Bookmark not defined 4.8.3 Từ chối giao dịch ngoại tuyến Error! Bookmark not defined 4.8.4 Truyền giao dịch trực tuyến Error! Bookmark not defined 4.8.5 Hoạt động mặc định giao dịch Error! Bookmark not defined 4.8.6 Tính toán mã hóa ứng dụng với lệnh GENERATE AC Error! Bookmark not defined 4.9 XÁC THỰC CỦA NHPH VÀ XỬ LÝ TRỰC TUYẾNError! Bookmark not defined 4.9.1 Yêu cầu phản hồi xác thực với liệu chip Error! Bookmark not defined 4.9.2 Xác thực NHPH Error! Bookmark not defined 4.10 NHỮNG KỊCH BẢN (SCRIPTS) CỦA NHPH Error! Bookmark not defined 4.10.1 Việc xử lý mẫu kịch NHPH Error! Bookmark not defined 4.10.2 Những lệnh sau phát hành Error! Bookmark not defined KẾT LUẬN Error! Bookmark not defined TÀI LIỆU THAM KHẢO 11 LỜI CẢM ƠN Lời đầu tiên, xin gửi lời cảm ơn chân thành tới thầy giáo PGS TS Trịnh Nhật Tiến - người bảo, hướng dẫn nghiêm khắc tận tình, cung cấp tài liệu quý báu, giúp đỡ suốt trình học tập xây dựng luận văn Tôi xin gửi lời cảm ơn thầy cô giáo Khoa Công nghệ thông tin - trường Đại học Công nghệ, Ban lãnh đạo đồng nghiệp Trung tâm Tin học, Trung tâm Thẻ - Ngân hàng Ngoại thương Việt Nam, bạn học viên lớp Cao học CNTT Xin cảm ơn gia đình đứng bên lúc khó khăn nhất, tạo điều kiện, giúp đỡ vật chất cổ vũ suốt trình học tập làm luận văn MỞ ĐẦU Thẻ ngân hàng phương tiện toán không dùng tiền mặt, đời từ phương thức mua bán chịu hàng hoá bán lẻ phát triển gắn liền với ứng dụng công nghệ thông tin lĩnh vực ngân hàng Trong thẻ ngân hàng sử dụng phổ biến giới thị trường Việt Nam thu hút quan tâm, đầu tư ngân hàng thương mại nước vài năm trở lại Cùng với nhịp phát triển sôi động thị trường, hàng ngày qua phương tiện thông tin, người dân tiếp cận với nhiều thông tin thẻ, đặc biệt thông tin liên quan đến rủi ro phát sinh trình sử dụng thẻ Theo thống kê tổ chức thẻ quốc tế Visa, năm 2004, giá trị giả mạo thẻ Visa ngân hàng thương mại Việt Nam lĩnh vực phát hành lên tới 100.000 USD, tăng 34 % so với năm 2003, lĩnh vực toán thẻ 381.000 USD Tỷ lệ giả mạo phát hành toán thẻ ngân hàng thương mại Việt Nam thường xuyên cao tỷ lệ trung bình giới Theo khuyến cáo tổ chức thẻ quốc tế, sau phủ nước khu vực Thái Lan, Malayxia, Singapore áp dụng biện pháp quản lý chặt chẽ hoạt động kinh doanh thẻ tổ chức tội phạm thẻ bắt đầu chuyển hướng sang thị trường khu vực có Việt Nam Ở Việt nam hầu hết NHPH thẻ sử dụng công nghệ thẻ từ, lưu trữ liệu dải băng từ thẻ Công nghệ lạc hậu giới nhược điểm dễ bị ăn cắp thông tin, dễ bị làm giả, dễ bị nhiễu thông tin tiếp xúc với môi trường từ tính Công nghệ thẻ từ cải tiến mạnh nhiều năm qua để tăng cường khả chống lại hoạt động tội phạm thẻ Mặc dù vậy, công nghệ phát triển đến đỉnh điểm khó có phương pháp chống gian lận hữu hiệu áp dụng cho chúng Đứng trước tình hình đó, tổ chức phát hành thẻ giới buộc phải tìm kiếm giải pháp mới, sử dụng loại thẻ EMV (hay gọi thẻ thông minh) thay cho loại thẻ từ thông dụng Thẻ EMV có khả lưu trữ xử lý liệu nhiều hơn, an toàn khó làm giả Tính an toàn thẻ EMV giảm rủi ro giả mạo cho đơn vị chấp nhận thẻ, cho NHPH Chƣơng 1: TỔNG QUAN VỀ CÔNG NGHỆ THẺ TỪ Tại Việt nam có khoảng 30 ngân hàng phát hành toán thẻ ghi nợ nội địa, số ngân hàng phát hành thẻ toán ghi nợ quốc tế thẻ toán tín dụng quốc tế Hầu hết ngân hàng sử dụng công nghệ thẻ từ để phát hành thẻ, công nghệ lạc hậu có nhiều hạn chế tính bảo mật kém, khả lưu trữ liệu thấp, khả xử lý liệu linh hoạt có nhiều rủi ro từ công nghệ Vậy thẻ từ rủi ro hay gặp với thẻ từ? 1.1 THẺ TỪ VÀ GIAO DỊCH VỚI THẺ TỪ 1.1.1 Thẻ từ 1.1.1.1 Khái niệm thẻ từ Thẻ từ thẻ nhựa có gắn dải băng từ mặt sau thẻ Dải băng từ có từ tính thiết bị đọc ghi thẻ thay đổi nội dung liệu thẻ Dải băng từ dùng để lưu trữ thông tin chủ thẻ Thẻ từ chiếm phần lớn tổng số lượng thẻ sử dụng thị trường 1.1.1.2 Cấu trúc thẻ từ Dải băng từ [15] mặt sau thẻ có kích thước 8.5 x 1.2 cm Dữ liệu mã hóa ghi lại rãnh (track) băng từ mặt sau thẻ Dữ liệu tuân thủ theo chuẩn ISO 7811-2 Dải băng từ có ba rãnh (track) chứa thông tin Mỗi rãnh có độ rộng 1/10 inch 1) Rãnh (track 1) Được phát triển Hiệp hội hàng không quốc tế (IATA) Rãnh có mật độ liệu 210 bit/inch lưu trữ tối đa 79 ký tự Rãnh bao gồm thông tin số thẻ, tên chủ thẻ, ngày hiệu lực, thông tin bổ sung SS FC PAN FS Name FS Additional Data ES LRC Ký hiệu SS FC PAN FS Name ES LRC Tiếng Anh Diễn giải Byte Start Sentinel Format Code Primary Account Field Separator Card Holder Name Additional Data End Sentinel Longitudinal Redunancy Check Ký tự bắt đầu Mã định dạng Số thẻ Ký tự ngăn cách Tên chủ thẻ Dữ liệu bổ sung Ký tự kết thúc Kiểm tra độ dư thừa theo chiều dọc 01 01 19 01 26 29 01 01 2) Rãnh (Track 2) Được Hiệp hội ngân hàng Mỹ phát triển Rãnh có mật độ 75 bpi, lưu trữ tối đa 40 ký tự SS PAN FS Additional Data ES LRC 3) Rãnh (Track 3) Được Tổ chức tiết kiệm (Thift Industry) phát triển Rãnh có mật độ 210 bpi lưu trữ tối đa 107 ký tự SS FC Data FS Data ES LRC 1.1.1.2 Các chuẩn liệu ghi rãnh từ Hai chuẩn liệu sử dụng để lưu trữ liệu băng từ sau: a) Chuẩn ANSI/ISO ALPHA (Dùng cho rãnh 1) Các bit liệu b1 b2 b3 b4 b5 b6 b7 0 0 0 1 0 0 0 0 0 1 0 1 1 0 1 0 1 1 1 0 1 0 1 1 0 1 1 0 1 0 Ký tự Giá trị (Hex) Ký tự trống (space) % 00 05 10 11 12 13 14 15 16 17 18 19 b) Chuẩn ANSI/ISO BCD (Dùng cho rãnh 2, 3) Các bit liệu b1 b2 b3 b4 b5 0 0 1 0 0 0 1 0 0 0 1 1 1 1 0 0 1 0 1 1 1 1 0 1 1 1 0 1 1 1 1 Ký tự Giá trị (Hex) : ; < = > ? 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 1.1.2 Thẻ toán 1.1.2.1 Khái niệm thẻ toán Thẻ toán phương tiện không dùng tiền mặt, đời từ phương thức mua bán chịu hàng hóa lẻ phát triển gắn liền với ứng dụng công nghệ thông tin lĩnh vực ngân hàng Thẻ toán ngân hàng phát hành công cụ toán hàng hóa dịch vụ rút tiền mặt phạm vi số dư tiền gửi hạn mức tín dụng cấp 1.1.2.2 Thẻ tín dụng thẻ ghi nợ - Thẻ ghi nợ (debit card) thẻ cho phép chủ thẻ sử dụng sở số dư tài khoản tiền gửi chủ thẻ ngân hàng - Thẻ tín dụng (credit card) thẻ cho phép chủ thẻ sử dụng thẻ hạn mức tín dụng tuần hoàn cấp chủ thẻ phải toán toàn phần tối thiểu khoản dư nợ phát sinh theo qui định 1.1.2.3 Dữ liệu thẻ toán Tùy theo thiết kế tổ chức phát hành thẻ mà liệu thẻ thể thẻ khác Thông thường liệu thẻ bao gồm: Dữ liệu bề mặt thẻ liệu ghi băng từ thẻ - Dữ liệu bề mặt thẻ quan sát mắt thường số thẻ, ngày hiệu lực thẻ, tên chủ thẻ…Dữ liệu dập in chìm bề mặt thẻ - Dữ liệu ghi băng từ thẻ tuân thủ theo chuẩn ISO 7811-2 Ví dụ: Cấu trúc liệu thẻ Amex -Rãnh 1: %B370000000000000^CARDMEMBER NAME ^1212101080112345? Vị trí – 17 18 19 – 44 45 46 – 49 50 – 52 53 – 56 57 – 61 62 Trƣờng 10 11 Tên trƣờng Ký tự bắt đầu Mã định dạng Số thẻ Ký tự ngăn cách Tên chủ thẻ Ký tự ngăn cách Thời hạn hiệu lực thẻ Mã dịch vụ Ngày bắt đầu có hiệu lực Mã bảo mật thẻ Ký tự kết thúc Giá trị % B 370000000000000 ^ CARDMEMBER NAME ^ 1212 (YYMM) 101 0801 (YYMM) 12345 ? + Trường mã dịch vụ (Service Code) thẻ sử dụng (101: dùng cho giao dịch quốc tế, 102: mua bán hàng hóa dịch vụ quốc tế không dùng máy ATM, 103: sử dụng cho máy ATM quốc tế có yêu cầu số PIN…) + Trường Mã bảo mật thẻ: giá trị NHPH sử dụng để xác thực tính hợp lệ thẻ Mã bảo mật tạo thuật toán DES - Rãnh 2: ; B370000000000000=1212101080112345? Cấu trúc rãnh giống rãnh tên chủ thẻ 1.1.2.4 Các thành phần giao dịch với thẻ toán Các chủ thể tham gia trình xử lý giao dịch toán thẻ như: đơn vị phát hành thẻ, chủ thẻ, đơn vị chấp nhận thẻ, đơn vị toán thẻ, hiệp hội thẻ, ngân hàng thực - Đơn vị phát hành thẻ tổ chức tài hợp pháp, đại lý tổ chức tài phát hành thẻ toán cho chủ thẻ chịu trách nhiệm cung cấp phản hồi theo yêu cầu hợp pháp Tổ chức tài ngân hàng, xem NHPH thẻ, thành viên hiệp hội thẻ thông qua sản phẩm thẻ toán hiệp hội đưa Đơn vị phát hành thẻ giữ tài khoản chủ thẻ để họ thực toán hóa đơn ghi nợ trực tiếp vào tài khoản chủ thẻ Đơn vị phát hành thẻ đảm bảo việc toán cho giao dịch hợp lệ, xử lý toán thẻ theo quy định sản phẩm thẻ toán luật pháp địa phương Đơn vị phát hành hỗ trợ toán thực chức toán chủ thẻ NHTT Máy chủ đơn vị phát hành hệ thống máy tính dùng để truy cập sở liệu tài khoản chủ thẻ đại diện cho đơn vị phát hành xác thực, chuyển khoản toán Hiệp hội thẻ/Trung tâm điều hành hệ thống toán Ngân hàng phát hành NHTT NH chấp nhận TT Đơn vị chấp nhận thẻ Chủ thẻ Hình 1-1: Thành phần giao dịch với thẻ toán 10 TÀI LIỆU THAM KHẢO EMVCo, EMV 2000 Integrated Circuit Card Specification for Payment Systems, BOOK 1—Application Independent ICC to Thiết bị đọc Interface Requirements, Version 4.0, December 2000, http://www.emvco.com/specifications.cfm EMVCo, EMV 2000 Integrated Circuit Card Specification for Payment Systems, BOOK 2—Security and Key Management, Version 4.0, December 2000, http://www.emvco.com/specifications.cfm EMVCo, EMV 2000 Integrated Circuit Card Specification for Payment Systems, BOOK 3—Application Specification, Version 4.0, December 2000, http://www.emvco.com/specifications.cfm EMVCo, EMV 2000 Integrated Circuit Card Specification for Payment Systems, BOOK 4—Cardholder, Requirements, Version Attendant, 4.0, and Acquirer Interface December 2000, http://www.emvco.com/specifications.cfm EMVCo, EMV ’96 Integrated Circuit Card Specification for Payment Systems, Version 3.1.1, May 31, 1998, http://www.emvco.com/specifications.cfm EMVCo, EMV ’96 Integrated Circuit Card Thiết bị đọc Specification for Payment Systems, Version 3.1.1, May 31, 1998, http://www.emvco.com/specifications.cfm EMVCo, EMV ’96 Integrated Circuit Card Application Specification for Payment Systems, Version 3.1.1, May 31, 1998, http://www.emvco.com/specifications.cfm CEPSCo, Common Electronic Purse Specification, Functional Requirements, Version 6.3, September 1999, http://www.cepsco.com/ ISO/IEC 8825, ―Information Technology—Open Systems Interconnection— Specification of Basic Encoding Rules for Abstract Syntax Notation One (ASN.1),‖ 1990 10 ISO/IEC 7816-4, ―Identification Cards—Integrated Circuit(s) Cards with Contacts—Part 4: Inter-Industry Commands for Interchange,‖ 1995 122 EMV Compliant Data Organization 11 11 ISO/IEC 7816-5, ―Identification Cards—Integrated Circuit(s) Cards with Contacts—Part 5: Numbering System and Registration Procedure for Application Identifiers,‖ 1994 12 ISO/IEC 8859-8, ―8-Bit Single-Byte Coded Graphic Character Sets Latin/Hebrew Alphabet,‖ 1999 13 ISO/IEC 639, ―Code for the Representation of Names of Languages,‖ 1988 4.4 EMV application selection 123 14 ISO/IEC 8583:1993,―Financial Transaction Card Originated Messages Interchange Message Specifications‖ 1995 15 ISO/IEC 7811, ―Identification Cards—Recording technique—Part 1: Embossing,‖ ―Part 2: Magnetic Stripe,‖ ―Part 3: Location of Embossed Characters on ID-1 Card,‖ ―Part 4: Location of Read-Only Magnetic Tracks— Track and 2,‖ ―Part 5: Location of Read-Write Magnetic Track—Track 3,‖ 1985 16 ISO/IEC 3166, ―Codes for the Representation of Names of Countries,‖ 1997 17 Mastercard and Visa, ―SET Secure Electronic Transactions Protocol, version 1.0 Book One: Business Specifications, Book Two: Technical Specification, Book Three: Formal Protocol Definition‖, May 1997 12 [...]... Track—Track 3,‖ 1985 16 ISO/IEC 3166, ―Codes for the Representation of Names of Countries,‖ 1997 17 Mastercard and Visa, ―SET Secure Electronic Transactions Protocol, version 1.0 Book One: Business Specifications, Book Two: Technical Specification, Book Three: Formal Protocol Definition‖, May 1997 12 ... Inter-Industry Commands for Interchange,‖ 1995 122 EMV Compliant Data Organization 11 11 ISO/IEC 7816-5, ―Identification Cards—Integrated Circuit(s) Cards with Contacts—Part 5: Numbering System and Registration Procedure for Application Identifiers,‖ 1994 12 ISO/IEC 8859-8, ―8-Bit Single-Byte Coded Graphic Character Sets Latin/Hebrew Alphabet,‖ 1999 13 ISO/IEC 639, ―Code for the Representation of Names of Languages,‖... http://www.emvco.com/specifications.cfm 7 EMVCo, EMV ’96 Integrated Circuit Card Application Specification for Payment Systems, Version 3.1.1, May 31, 1998, http://www.emvco.com/specifications.cfm 8 CEPSCo, Common Electronic Purse Specification, Functional Requirements, Version 6.3, September 1999, http://www.cepsco.com/ 9 ISO/IEC 8825, ―Information Technology—Open Systems Interconnection— Specification of Basic Encoding