Tải bản đầy đủ (.doc) (95 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Lập trình

đồ án tốt nghiệp tìm hiểu giải pháp bảo mật cho giao dịch thanh toán ngân hàng qua thẻ atm

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.46 MB, 95 trang )

Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP
1. Mục đích nội dung của ĐATN:
Tìm giải pháp bảo mật giao dịch thanh toán ngân hàng, cụ thể là tìm hiểu cơ chế bảo
mật thanh toán ngân hàng qua thẻ ATM. Xây dựng thử nghiệm cơ chế bảo mật bằng
phương pháp chữ ký điện tử.
2. Các nhiệm vụ cụ thể của ĐATN:
- Tìm hiểu về giao dịch thanh toán ngân hàng qua thẻ ATM
- Tìm hiểu cơ chế bảo mật và lỗ hổng an ninh khi thanh toán qua thẻ ATM
- Tìm hiểu về chữ ký điện tử và ứng dụng của nó vào trong giao dịch thanh toán ngân
hàng
- Xây dựng thử nghiệm)cơ chế bảo mật cho giao dịch thanh toán ngân hàng qua thẻ.
3. Lời cam đoan của sinh viên:
Tôi – Quách Hoàng Trung - cam kết ĐATN là công trình nghiên cứu của bản thân tôi
dưới sự hướng dẫn của ThS. Lương Mạnh Bá
Các kết quả nêu trong ĐATN là trung thực, không phải là sao chép toàn văn của bất kỳ
công trình nào khác.
Hà Nội, 15 ngày 05 tháng năm2008
Tác giả ĐATN
Quách Hoàng Trung
4. Xác nhận của giáo viên hướng dẫn về mức độ hoàn thành của ĐATN và cho phép
bảo vệ:
Hà Nội, ngày tháng năm
Giáo viên hướng dẫn
ThS. Lương Mạnh Bá
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
1
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
LỜI CẢM ƠN
Quá trình học tập dưới mái trường Đại học Bách Khoa Hà Nội là một khoảng
thời gian có rất nhiều ý nghĩa đối với mỗi thế hệ sinh viên chúng em. Ở đây, chúng em


đã được các thầy cô cung cấp và truyền đạt rất nhiều kiến thức chuyên môn cần thiết và
quý giá. Bên cạnh đó, chúng em còn được rèn luyện tinh thần học tập và làm việc một
cách độc lập đầy tính sáng tạo. Tất cả những yếu tố đó là những hành trang hết sức cần
thiết cho chúng em trên con đường bước vào tương lai.
Đồ án tốt nghiệp chính là cơ hội cho chúng em có thể áp dụng, tổng kết lại
những kiến thức mà mình đã tích lũy trong suốt quá trình học tập. Thông qua quá trình
làm đồ án, bản thân em cũng đã rút ra những kinh nghiệm thực tế hết sức quý báu. Sau
một học kỳ tập trung thời gian và công sức thực hiện đề tài với sự nỗ lực của bản thân
và đặc biệt với sự hướng dẫn, giúp đỡ tận tình của thầy giáo – Thạc sĩ Lương Mạnh
Bá, em đã hoàn thành đồ án một cách thuận lợi và thu được những kết quả nhất định.
Tuy nhiên, bên cạnh những kết quả đạt được chắc chắn sẽ không tránh khỏi sai lầm,
thiếu sót trong quá trình thực hiện đồ án tốt nghiệp. Em mong nhận được sự phản hồi
từ phía thầy cô, sự phê bình và góp ý của thầy cô sẽ là những bài học quý báu cho em.
Em xin gửi lời cảm ơn chân thành và tỏ lòng biết ơn sâu sắc tới thầy giáo – Thạc
sĩ Lương Mạnh Bá, giảng viên Bộ môn Công nghệ phần mềm, Khoa Công nghệ thông
tin, Trường Đại học Bách khoa Hà nội. Trong suốt thời gian thực hiện luận văn thầy
luôn tạo điều kiện tốt nhất và tận tình hướng dẫn, giúp đỡ em.
Em xin chân thành cảm ơn các thầy cô giáo trong Bộ môn Công nghệ phần
mềm, Khoa Công nghệ thông tin cùng toàn thể các thầy cô giáo trong trường Đại học
Bách khoa Hà nội đã truyền đạt cho chúng em những kiến thức quý báu trong quá trình
học tập.
Em xin bày tỏ lòng biết ơn sâu sắc đến gia đình, bạn bè đã động viên khích lệ
em trong quá trình học tập cũng như trong thời gian làm đồ án tốt nghiệp.
Cuối cùng, em xin kính chúc các thầy cô luôn luôn mạnh khỏe. tiếp tục đạt được nhiều
thắng lợi trong sự nghiệp nghiên cứu khoa học và sự nghiệp giáo dục vĩ đại của mình.
Hà nội, ngày 15 tháng 05 năm 2008
Sinh viên.
Quách Hoàng Trung
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
2

Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
MỤC LỤC
PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP 1
LỜI CẢM ƠN 2
MỤC LỤC 3
DANH MỤC CÁC HÌNH VẼ 4
TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP 5
TÌM HIỂU VỀ GIAO DỊCH THANH TOÁN NGÂN HÀNG QUA THẺ ATM 9
CHƯƠNG 2 23
CƠ CHẾ BẢO MẬT VÀ LỖ HỔNG AN NINH KHI GIAO DỊCH QUA THẺ ATM 23
CHƯƠNG 3 32
CÁC GIẢI PHÁP BẢO MẬT, ƯU NHƯỢC ĐIỂM CỦA TỪNG GIẢI PHÁP 32
+ Visionics giới thiệu hệ thống nhận dạng khuôn mặt 40
CHƯƠNG IV 64
XÂY DỰNG GIẢI PHÁP CHỮ KÝ ĐIỆN TỬ ỨNG DỤNG VÀO THẺ ATM 64
I.CHỮ KÝ ĐIỆN TỬ 64
II.DỊCH VỤ TRUYỀN FILE 66
III.PHÂN TÍCH VÀ THIẾT KẾ 72
1. Cách làm việc của digital signature 72
2. Thuật toán mã hóa RSA 78
III.3. CÁC VẤN ĐỀ ĐẶT RA TRONG THỰC TẾ 81
1.An ninh 81
2.Quá trình tạo khóa 82
3.Tốc độ 82
4.Phân phối khóa 83
5.Tấn công 83
IV.XÂY DỰNG GIẢI PHÁP CHỮ KỸ ĐIỆN TỬ ỨNG DỤNG VÀO GIAO DỊCH
THANH TOÁN NGÂN HÀNG 84
III.4. XÂY DỰNG CHƯƠNG TRÌNH VÀ MỘT SỐ KẾT QUẢ ĐẠT ĐƯỢC 86
Do hạn chế về kiến thức, thời gian và công nghệ nên em không thể xây dựng một SAT

hoàn hảo đúng như mong muốn. Trong đó có một số khó khăn sau: 86
1.Môi trường thực hiện 87
Chương trình chạy trên hầu hết các hệ điều hành của windows. Cài đặt bằng ngôn
ngữ C# trên môi trường Visual Studio 2005 87
2. Kết quả đạt được 87
Hình 26. Giao diện quá trình truyền file 93
KẾT LUẬN 94
1. Kết quả đạt được: 94
2. Hạn chế: 94
3. Hướng phát triển: 94
TÀI LIỆU THAM KHẢO 95
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
3
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
DANH MỤC CÁC HÌNH VẼ
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
4
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP
- Tìm hiểu về giao dịch thanh toán ngân hàng qua thẻ ATM
- Cơ chế bảo mật và lỗ hổng an ninh khi giao dịch qua thẻ ATM
- Các giải pháp bảo mật, ưu nhược điểm của từng giải pháp
- Xây dựng giải pháp chữ ký điện tử ứng dụng vào giao dịch ngân hàn qua thẻ ATM
- Kết luận và hướng phát triển
ABSTRACT OF THESIS
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
5
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
- Study about banking payment transaction by ATM card
- Security structure and gaps in the security when ATM card transaction

- Security solutions, the advantage – weaknesses of each individual case
- To set up digital Signature solution apply for banking payment transaction by ATM
card
- Conclusion and the way of development
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
6
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
LỜI GIỚI THIỆU
Thế giới đã và đang bước vào kỷ nguyên của sự bùng nổ thông tin. Cùng với sự
phát triển như vũ bão của các phương tiện truyền thông đại chúng, lĩnh vực truyền
thông máy tính đã và đang phát triển không ngừng. Không thể phủ nhận những tiện ích
to lớn mà ngành công nghệ thông tin đem lại cho đời sống ứng dụng của nhân loại.
Công nghệ thông tin đã len lỏi vào từng ngõ ngách trong đời sống sinh hoạt của mọi
người.
Nhờ sự phát triển không ngừng của lĩnh vực công nghệ thông tin, lĩnh vực tài
chính ngân hàng cũng có những bước chuyển mình mạnh mẽ. Một ví dụ điển hình là
quá trình giao dịch giữa ngân hàng và khách hàng trở nên đơn giản, gọn nhẹ hơn rất
nhiều sau khi ứng dụng công nghệ thông tin vào công việc quản lý. Chỉ với những thao
tác hết sức đơn giản khi bạn sở hữu một thẻ thanh toán ATM là bạn có thể “giao dịch”
với ngân hàng mà không cần phải trực tiếp đến ngân hàng. Qua đó giúp bạn tiết kiệm
thời gian và ngân hàng cũng tránh được tình trạng quá tải trong trường hợp có nhiều
người cùng đến ngân hàng để trực tiếp giao dịch.
Việc giao dịch giữa ngân hàng và khách hàng giờ đây không chỉ đơn thuần là
gửi tiền và rút tiền. Chỉ với một chiếc thẻ ATM đã nạp tiền mang theo người, chúng ta
có thể đi mua sắm, thanh toán hóa đơn điện – nước, và rất nhiều tiện ích khác nữa,
Lợi ích của nó là: giúp bạn tránh phải mang quá nhiều tiền mặt, việc thanh toán trở nên
nhanh gọn và chính xác, ngoài ra với khả năng giao dịch tự động 24/7, thủ tục nhanh
chóng, thuận tiện, dịch vụ ATM đã và đang trở thành một phần không thể thiếu đối với
những người có tài khoản tại ngân hàng.
Tuy nhiên bên cạnh những tiện lợi trên thì nguy cơ mất an toàn, khả năng bị

đánh cắp thông tin cũng không nhỏ. Bạn có thể bị kẻ xấu lợi dụng đánh cắp thông tin
và làm giả thẻ để rút sạch tiền trong tài khoản. Ngân hàng có thể bị lợi dụng để rút tiền
vượt quá rất nhiều so với số dư tài khoản trong thẻ. Theo thống kê thì ở Việt Nam mấy
năm trở lại đây đã xảy ra rất nhiều vụ người dùng bị mất thẻ (do bị kẻ xấu lợi dụng
làm giả thẻ và rút sách tiền trong tài khoản), còn một số ngân hàng do lỗ hổng bảo mật
dẫn đến tình trạng một tài khoản có thể rút vượt quá số dư tài khoản lên đến hàng tỷ
đồng. Chính vì vậy nhu cầu bảo mật giao dịch thanh toán qua ngân hàng nói chung và
bảo mật giao dịch thanh toán ngân hàng qua thẻ ATM nói riêng ngày càng trở nên cấp
bách hơn bao giờ.
Từ những luật điểm này, trong phạm vi của đồ án tốt nghiệp em đã tìm hiểu về
giao dịch thanh toán ngân hàng qua thẻ ATM. Từ đó đưa ra các giải pháp có thể ứng
dụng trong việc bảo mật thanh toán ngân hàng qua thẻ ATM nhằm hạn chế kẻ xấu có
thể lợi dụng lỗ hổng an ninh để thực hiện các hành vi phạm pháp. Trong các giải pháp
em đưa ra, em đi sâu về giải pháp “chữ ký điện tử”. Trên cơ sở đó em tiến hành xây
dựng chương trình SAT, SAT có thể hiểu là từ được viết tắt từ cụm từ Security for
ATM (Bảo vệ thẻ ATM) hoặc Digital Signature for ATM (chữ ký điện tử cho thẻ
ATM). Chương trình nhằm xây dựng thêm một lớp bảo mật nữa ngoài giải pháp xác
thực người dùng hai yếu tố: Thẻ ATM (cái mà bạn có) và số PIN (cái mà chỉ có bạn
biết). Sau khi xác thực người dùng bằng hai yếu tố truyền thống, hệ thống yêu cầu phải
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
7
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
xác nhận thêm một Passcode nữa. Sau khi nhập xong Passcode, dữ liệu sẽ được mã hóa
và gửi về sever để kiểm tra.
Trong quá trình làm đồ án em đã cố gắng hết sức để có thể đạt được những kết
quả tốt nhất. Tuy nhiên, do hạn chế về kiến thức cũng như thời gian làm đồ án chắc
chắn em sẽ không tránh khỏi những thiếu sót. Sự đóng góp ý kiến của các thầy cô cũng
như bạn bè sẽ là cơ sở để em khắc phục và phát triển đồ án có tính ứng dụng cao hơn
nữa, hi vọng một ngày nó có thể triển khai trong thực tế.
Em xin chân thành cảm ơn tất cả những ý kiến đóng góp quý báu của thầy cô và

bạn bè.

Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
8
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
CHƯƠNG I
TÌM HIỂU VỀ GIAO DỊCH THANH TOÁN NGÂN HÀNG QUA
THẺ ATM
i. HỆ THỐNG THANH TOÁN NGÂN HÀNG QUA THẺ ATM
1. Lịch sử của chiếc thẻ thanh toán điện tử
ATM Là từ được viết tắt từ cụm từ Automated Teller Machine, nên được hiểu
là máy giao dịch tự động, chứ không chỉ đơn thuần là máy rút tiền tự động (Teller
trong tiếng Mỹ có nghĩa là thủ quỹ.) Ngoài giao dịch rút tiền mặt, máy còn có chức
năng nhận tiền gửi, thanh toán không dùng tiền mặt, chuyển khoản, kiểm tra số dư tài
khoản mà không cần có sự tham gia của nhân viên ngân hàng.
Thẻ ATM hiện đang được coi là một công cụ văn minh, linh hoạt, hỗ trợ khách
hàng điều hành tài khoản cá nhân của mình một cách hiệu quả, nhanh chóng, an toàn
và bảo mật. Nó mang lại rất nhiều tiện ích cho khách hàng. Vậy ATM đã ra đời như thế
nào?
Một buổi tối năm 1949, lúc trả tiền một bữa ăn đãi khách, luật sư người Mỹ
Franck McNamara mới biết mình quên mang ví lẫn chi phiếu. “Thật xấu hổ chưa từng
thấy!” – Ông ta nhớ lại.
Năm sau, Franck vận động 14 nhà hàng tại New York chấp nhận để mình và 200 đồng
nghiệp cùng thân hữu được trả tiền bằng cách xuất trình một tấm thẻ nhỏ. Diners Club
– Câu lạc bộ ăn tối – ra đời và thành công nhanh chóng
Một năm sau nữa, 20.000 người đã được cấp thẻ Diners. Tổ chức này bắt đầu
phát triển ra nước ngoài năm 1952. Phương thức này đã được American Express bắt
chước vào năm 1958, cải tiến với một tấm thẻ nhựa có khả năng thanh toán khi đi du
lịch, và trong vòng năm năm đã đạt 1 triệu khách hàng.
Tại Pháp, kiểu chi trả này ra đời từ sự hợp tác giữa năm ngân hàng lớn: Crédit

Lyonnais, Société Générale, BNP, CIC, CCF. Vào thời gian ấy, chi phiếu phát triển
tràn lan và chuyện xử lý trở nên tốn kém. Từ đó manh nha ý tưởng về một thẻ nhỏ để
thanh toán mà không cần chữ ký như những tờ séc.
Khởi đầu, năm 1967, chỉ có một nhóm nhỏ người sử dụng được tuyển chọn
trong số 19% chủ trương mục ngân hàng. Lúc ấy, chỉ khoảng 17.000 khách sạn, nhà
hàng và cửa hàng sang trọng chấp nhận kiểu chi trả này.
Phần lớn các nhà buôn Pháp không thèm ngó ngàng đến một hệ thống chi trả
“chấm mút” từ 2-3% hoa hồng cho mỗi hóa đơn giao dịch trên 1 franc! Hết năm 1971
chỉ có 550.000 người sử dụng thẻ thanh toán tại 40.000 cơ sở kinh doanh ở Pháp
Nhưng tiến bộ kỹ thuật đã cứu nguy cho họ: thẻ từ xuất hiện. Người ta không phải xếp
hàng dài trước các quầy và chẳng cần chờ đợi văn phòng mở cửa
Năm 1968, Công ty Marseillaise de Crédit đưa vào phục vụ vài “cỗ máy rút
tiền”. Đưa vào máy một thẻ có đục lỗ do ngân hàng phát hành và gõ một mã số. Máy
nhả ra một số tiền cố định 200 franc, dưới dạng 3 tờ 50 F và 5 tờ 10 F. Chiếc thẻ được
máy giữ lại, và gửi trả cho khách hàng 24 giờ sau. Sau đó, thẻ từ đã cho ra đời một
thế hệ máy tự động rút tiền mới.
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
9
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
Thời đó trên các báo chí của Pháp tràn ngập quảng cáo theo dạng: Làm sao có
được 500 franc vào lúc nửa đêm mà không cần phải cướp ngân hàng? Làm sao rút tiền
trương mục chỉ trong 10 giây và không cần bước vào cửa ngân hàng? Việc chế tạo và
lắp đặt một máy rút tiền khi đó còn rất đắt, từ 100.000-300.000F cho mỗi máy. Vào
năm 1974 cả nước Pháp chỉ có 476 máy, còn hiện nay là 45.000
Máy rút tiền được hiện đại hóa nhưng việc chi trả qua thẻ vẫn còn nặng nề. Mỗi
buổi tối, các nhà buôn phải gom thu hóa đơn và chuyển đến ngân hàng, đồng thời xác
minh các chi phiếu không bảo chứng
Năm 1979, nhóm Liên hiệp ngân hàng Pháp gồm: Thẻ Xanh, Crédit Agricole và
Ngân hàng Bình dân cho ra đời thẻ tín dụng điện tử và việc xử lý các hóa đơn được dễ
dàng hơn

Những năm cuối thập niên 1970, ở Pháp, nạn cướp tiền lương tháng tại các xí
nghiệp đã thúc đẩy việc trả tiền qua thẻ điện tử. Năm 1976, số người dùng thẻ tăng gấp
đôi, lên đến 1,2 triệu người, nhưng các siêu thị vẫn còn từ chối trang bị máy rút tiền vì
không muốn chi trả huê hồng
Tại Pháp có ba hệ thống chi trả độc lập: thẻ xanh lá của Crédit Agricole làm bá
chủ vùng nông thôn, thẻ xanh dương ở các thành phố và Intercarte. Năm 1982, Ngân
hàng Bình dân cũng dùng thẻ xanh dương. 18 tháng sau, Liên minh các ngân hàng cho
ra đời thẻ Carte Bancaire (CB). Năm 1985, mọi loại thẻ ngân hàng đều được máy rút
tiền chấp nhận. Từ đó CB phổ biến mạnh, các siêu thị không thể từ chối được nữa. Và
từ ba năm qua, thẻ thanh toán đã qua mặt việc dùng séc.
Tấm thẻ chữ nhật chinh phục thế giới
1882 - American Express, một công ty bưu chính tốc hành phát triển cùng thời
với nước Mỹ, đã lao vào thị trường ngân phiếu. Hệ thống chi trả từ xa này bảo đảm an
ninh cho các giao dịch. Chỉ sau mười năm thử nghiệm, họ đã phát hành ngân phiếu du
lịch.
1951 - Franck McNamara nghĩ ra một tấm thẻ cho phép thanh toán hóa đơn nhà
hàng, lập ra Câu lạc bộ ăn tối.
1959 - Jacques de Fouchier, một nhà ngân hàng, thành lập Cetelem, một tổ chức
tín dụng chi tiêu đầu tiên. Sau đó, liên minh với Tập đoàn tài chính Galeries Lafayette
để phát hành thẻ tín dụng
1967 - Các nhà buôn nằm trong mạng lưới thẻ xanh dương được trang bị mỗi
người một cỗ máy gọi là “bàn ủi” để lập hóa đơn bán hàng gồm một bản gốc và hai bản
in giấy than.
1968 - Sáng kiến lập ra thẻ xanh dương của các ngân hàng lớn tại Pháp đã khiến
các đối thủ của họ cũng lao theo cuộc phiêu lưu này. Ngân hàng Bình dân gia nhập thị
trường với thẻ Intercarte. 10 năm sau, Crédit Agricole tung ra thẻ xanh lá.
1972 - Các công ty dầu hỏa với mạng lưới trạm xăng dầu dày đặc cũng phát
hành loại thẻ tín dụng riêng cho khách hàng ruột của mình.
1974 - Ngày 1-4, Tập đoàn thẻ xanh dương của Pháp ký kết với Bank American
để phát hành thẻ tín dụng quốc tế Visa. Từ nay, người Pháp có thể trả tiền ở nước ngoài

nhờ tấm thẻ này. Loại hình du lịch balô bùng phát.
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
10
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
1979 - Ngày 5-2, Ngân hàng Ain đề nghị một kiểu chi trả bằng thẻ từ với mật
mã do khách hàng tự điền vào. Đây là hình thức thanh toán điện tử đầu tiên.
1989 - Các ngân hàng tìm cách tạo an toàn tối đa cho các giao dịch. Sau bảy năm thử
nghiệm, họ đã chọn việc sử dụng con bọ điện tử. Nhà nghiên cứu Pháp Roland Moreno
hợp tác với Công ty Cii-Honeywell Bull phát minh hệ thống “bất khả xâm phạm” này.
1996 - Chính phủ Pháp cho phép sử dụng một quyển sổ tiết kiệm nhỏ và một thẻ
rút tiền dành cho trẻ em từ 12 tuổi trở xuống giống như người lớn, ngoại trừ việc chúng
không được phép mở ra.
2007 - Trả tiền bằng điện thoại di động chẳng bao lâu sẽ được phổ biến tại Pháp,
giống như ở Nhật Bản. Thử nghiệm đầu tiên diễn ra tại Strasbourg giữa các ngân hàng
Crédit Mutuel, CIC với nhà sản xuất Sagem. Muốn trả tiền chỉ cần đưa điện thoại di
động vào tầm phủ sóng của thiết bị thanh toán của cửa hàng. Số tiền hiện lên màn hình
và khách sẽ bấm mã số của mình trên bàn phím điện thoại

2. Cấu tạo của ATM
Máy ATM có hai thiết bị đầu vào:
- Bộ phận đọc thẻ: Bộ phận này nắm bắt thông tin về tài khoản được lưu giữ
trên dải băng từ ở mặt sau của thẻ ATM, thẻ nợ hoặc thẻ tín dụng. Máy chủ sử dụng
thông tin này truyền gửi giao dịch cho ngân hàng của chủ thẻ.
- Bàn phím: Bàn phím khiến chủ thẻ có thể cho ngân hàng biết loại giao dịch
nào được yêu cầu (rút tiền, vấn tin số dư ) và với số lượng bao nhiêu. Về phía mình,
ngân hàng yêu cầu số PIN (mã số riêng) của chủ thẻ để kiểm tra. Luật Liên bang Hoa
Kỳ quy định rằng nhóm số PIN được gửi cho máy chủ dưới dạng mật mã.
Máy ATM có bốn thiết bị đầu ra:
- Speaker: Speaker đưa ra cho chủ thẻ thông tin phản hồi bằng giọng nói khi
phím được bấm.

- Màn hình hiển thị: Màn hình hiển thị đưa ra lời nhắc cho chủ thẻ theo từng
bước của quá trình giao dịch. Các máy ATM thuê đường dây thường sử dụng màn hình
đen trắng hoặc màn hình màu chân không. Máy ATM quay số thường sử dụng màn
hình đen trắng hoặc màn hình màu tinh thể lỏng.
- In hóa đơn: Bộ phận in hóa đơn cung cấp cho chủ thẻ hóa đơn in trên giấy của
giao dịch.
- Bộ phận trả tiền: Phần quan trọng nhất của một máy ATM là cơ chế trả tiền và
cơ chế an toàn. Toàn bộ phần đáy của hầu hết các máy ATM nhỏ là một két sắt để
đựng tiền.
Cơ chế trả tiền có một mắt điện tử để đếm mỗi tờ giấy bạc khi nó ra khỏi máy
trả tiền. Tổng số tờ giấy bạc và tất cả các thông tin liên quan đến một giao dịch cụ thể
được ghi vào một cuốn sổ. Cuốn sổ thông tin này được in ra định kỳ và bản in trên giấy
được người chủ sở hữu máy ATM lưu giữ trong vòng hai năm. Bất cứ khi nào một chủ
thẻ có tranh chấp về một giao dịch, anh ta có thể yêu cầu bản in chỉ ra giao dịch, và sau
đó tiếp xúc với bên sở hữu máy chủ. Nếu nơi nào không cung cấp bản in từ cuốn sổ,
chủ thẻ cần phải thông báo cho ngân hàng hoặc định chế phát hành thẻ biết và điền vào
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
11
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
một mẫu đơn và mẫu đơn này sẽ được fax cho bên sở hữu máy chủ. Trách nhiệm giải
quyết tranh chấp thuộc về bên sở hữu máy chủ.
Bên cạnh mắt điện tử để đếm từng tờ giấy bạc, cơ chế trả tiền cũng có một bộ
phận cảm biến để đánh giá độ dày của mỗi tờ tiền. Nếu hai tờ tiền bị kẹt với nhau, khi
đó thay vì được trả ra cho chủ thẻ, tờ tiền này được chuyển vào một thùng loại bỏ ở
trong máy. Máy cũng sẽ làm tương tự đối với các tờ tiền bị sờn, rách, bị gấp.
Số lượng tờ giấy bạc bị loại bỏ cũng được ghi lại, vì thế chủ sở hữu máy có thể biết
được chất lượng của những tờ giấy bạc được xếp vào trong máy. Một tỷ lệ loại bỏ cao
sẽ cho thấy các tờ tiền hoặc cơ chế trả tiền có vấn đề.
3. Nguyên tắc hoạt động trên một hệ thống máy ATM
Máy ATM đơn giản là một trạm thu nhận dữ liệu với hai thiết bị đầu vào và bốn

thiết bị đầu ra. Giống như bất kỳ trạm thu nhận dữ liệu nào khác, máy ATM phải kết
nối với một máy chủ (bộ xử lý chủ) và chuyển thông tin qua máy chủ này. Máy chủ
này tương tự như một thiết bị cung cấp dịch vụ mạng (Internet Service Provider - ISP)
ở chỗ nó là cổng vào mà qua đó tất cả các mạng lưới ATM khác nhau trở nên có thể sử
dụng được đối với chủ thẻ (người muốn rút tiền).
Hầu hết các máy chủ đều có thể kết nối được với các máy ATM thuê đường dây
hoặc các máy ATM quay số. Các máy thuê đường dây nối trực tiếp với máy chủ qua
một đường dây điện thoại riêng gồm 4 dây, điểm nối điểm. Các máy ATM quay số nối
với máy chủ qua một đường dây điện thoại thường sử dụng một modem và một số điện
thoại miễn phí, hoặc thông qua một ISP sử dụng số điện thoại địa phương qua một
modem.
Máy ATM thuê đường dây riêng thích hợp đối với các điểm giao dịch số lượng
lớn vì khả năng giao dịch nhanh và máy ATM quay số thích hợp với các điểm bán lẻ
nơi mà chi phí là một yếu tố quan trọng hơn là tốc độ giao dịch. Chi phí ban đầu cho
một máy quay số chỉ chưa bằng một nửa chi phí ban đầu cho một máy thuê đường dây.
Các chi phí hoạt động hàng tháng của một máy quay số chỉ là một phần nhỏ so với chi
phí hoạt động của một máy thuê đường dây.
Máy chủ có thể do một ngân hàng hoặc một tổ chức tài chính sở hữu, hoặc có
thể do một nhà cung cấp dịch vụ độc lập sở hữu. Máy chủ do ngân hàng sở hữu thường
chỉ phục vụ các máy ATM của ngân hàng, trong khi đó máy chủ độc lập phục vụ cho
của những đơn vị chấp nhận thẻ.
Thông thường thì:
- Hệ thống máy ATM dùng mạng VPN, mạng này được ngân hàng thuê line điện
thoại của các nhà cung cấp, thường là của VNPT vì nó có mạng lưới rộng. Tức là sử
dụng riêng line này để kết nối thẳng tới Hội Sở của Ngân hàng (Trung Tâm Thẻ).
- Mọi hoạt động trên máy ATM (rút tiền, in sao khê, ) đều được ghi vào Logfile
trên máy ATM (bằng giấy và ngay trên máy tính), để Ngân hàng có thể lấy file thông
tin đó về Hội Sở kiểm tra, xem xét nếu có bất kì sự cố gì xảy ra.
- Dữ liệu từ máy ATM tới Ngân hàng đều được mã hoá, thường là dùng hệ thống
16bit, nhưng nay có một số Ngân hàng trang bị hiện đại hơn, mã hoá trên bộ 32bit (như

ngân hàng Vietcombank, Techcobank, ) đảm bảo bảo mật thông tin hơn. Mã hoá sẽ
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
12
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
dựa trên 1 key (khóa) được cung cấp từ Hội Sở cho mỗi máy, chứ không dùng chung
giống nhau cho tất cả máy ATM trên hệ thống của Ngân hàng, do đó thông tin cực kì
bảo mật.
4. Làm sao để có được một tấm thẻ ATM ở Việt Nam
Ngày nay, việc sở hữu một tấm thẻ ATM là chuyện hết sức đơn giản. Ngoài ra
bạn còn có rất nhiều sự lựa chọn: chọn loại thẻ nào và chọn ngân hàng nào, bởi ở Việt
nam hiện nay có rất nhiều ngân hàng (Vietcombank, Vietinbank, Agribank,
Techcombank, VPbank, BIVbank, ABbank, FPTbank, Militarybank, Maritimebank,
ACBbank, Dongabank, Saigonbank, Eximbank, HaBuBank, Citibank, Sacombank,
Oceanbank, HSBC, ). Sau khi đã lựa chọn được loại thẻ và lựa chọn được ngân hàng
phù hợp với mục đích sử dụng, bạn chỉ cần mang CMT (kèm theo bản photocopy) và
đóng một khoản phí làm thẻ cho ngân hàng đó họ sẽ hướng dẫn bạn cụ thể bạn làm thẻ
ATM.
Trong cơ sở dữ liệu (database) quản lý khách hàng của hầu hết các ngân hàng ở
Việt Nam hiện nay họ đều lưu trữ các thông tin sau:
- Họ tên khách hàng
- Giới tính
- Ngày tháng năm sinh
- Mã thẻ
- Mật khẩu (số pin)
- Số CMT
- Địa chỉ
- Nghề nghiệp
- Email và điện thoại (nếu có)
Tất cả các thông tin này được coi là “cơ sở” để xác nhận chủ thẻ của khách
hàng, nếu bạn bị mất thẻ và cần khôi phục lại thẻ thì bạn phải cung cấp các thông tin

trên để chứng thực bạn là chủ thẻ. Vậy sẽ thật là tai hại nếu hoặc bạn hoặc ngân hàng
để lộ các thông tin trên vào tay kẻ xấu.
5. Cách thức giao dịch thanh toán ngân hàng qua thẻ ATM
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
13
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
Hình 1. Giao dịch với ngân hàng bằng thẻ ATM
Từ hình minh họa trên ta có thể thấy cách thức giao dịch bằng thẻ ATM của
người dùng với ngân hàng được thực hiện qua các điểm giao dịch có đặt máy rút tiền
tự động ATM. Người dùng phải có thẻ và mật khẩu (số pin) mới có thể tiến hành giao
dịch.
Khi bạn đút thẻ vào máy ATM, nó sẽ bắt bạn phải nhập mã pin. Nếu bạn nhập
đúng mã pin thì dữ liệu từ máy ATM sẽ được gửi tới ngân hàng, các dữ liệu này đều
được mã hóa thương dùng hệ thống 16bit (hiện đại hơn là dùng 32bit). Sau khi tiến
ngân hàng nhận được dữ liệu từ máy ATM sẽ tiến hàng giải mã và kiểm tra các thông
tin về thẻ ATM. Nếu mọi thông tin đều chính xác thì bạn có thể giao dịch bình thường.
Xin lưu ý, hầu hết các ngân hàng đều chỉ cho phép bạn nhập tối đa 3 lần mã pin, nếu
sau 3 lần mà bạn vẫn nhập sai thì ngay lập tức thẻ của bạn sẽ bị “nuốt” luôn tại điểm
giao dịch đó. Đây cũng là một biện pháp bảo vệ để tránh tìm trạng các hacker mũ đen
dò tìm mật khẩu. Dù thực tế cho thấy cách “bảo vệ” này không hiệu quả mà chỉ có tính
chất “hạn chế” tối đa các nguy cơ gây ra tình trạng bị đánh cắp thông tin rồi làm giả
thẻ.
Kết luận: Khi một chủ thẻ muốn thực hiện một giao dịch ATM, anh ta nhập vào
những thông tin cần thiết thông qua bộ phận đọc thẻ và bàn phím. Máy ATM gửi thông
tin này cho máy chủ, máy chủ sẽ truyền yêu cầu giao dịch đến ngân hàng hoặc định
chế phát hành thẻ của chủ thẻ. Nếu chủ thẻ yêu cầu tiền mặt, máy chủ tạo ra một giao
dịch chuyển tiền điện tử từ tài khoản séc của khách hàng sang tài khoản của bên sở hữu
máy chủ. Khi tiền đã được chuyển đến tài khoản tại ngân hàng của bên sở hữu máy
chủ, máy chủ gửi một mã số chấp thuận cho máy ATM ra lệnh cho máy trả tiền. Sau đó
qua trung tâm thanh toán bù trừ, máy chủ thực hiện chuyển tiền của chủ thẻ sang tài

khoản của đơn vị chấp nhận thẻ thông thường là vào ngày làm việc hôm sau. Bằng
cách này, đơn vị chấp nhận thẻ được hoàn lại tất cả số tiền mà máy ATM đã trả.
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
14
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
6. Lợi ích của việc sử dụng giao dịch thanh toán ngân hàng qua thẻ ATM
Việc giao dịch thanh toán ngân hàng qua thẻ ATM có những lợi ích gì? Tại sao
các ngân hàng lại phải tốn kém chi phí để đầu tư cho hệ thống máy rút tiền tự động?
Tất cả những gì các ngân hàng đã và đang làm đều hướng đến một mục tiêu là đem đến
cho khách hàng của họ những dịch vụ tốt nhất. Chính vì vậy việc ứng dụng công nghệ
thông tin vào lĩnh vực tài chính là một xu hướng tất yếu. Điển hình như việc giao dịch
giữa khách hàng với ngân hàng bằng thẻ ATM sẽ mang lại những lợi ích sau:
- An toàn: Giúp các bạn cất giữ tiền, tránh mất mát. Thuận tiện trong lưu
thông: các bạn không cần phải cất giữ nhiều tiền mà khi cần các bạn có thể rút
tiền tại các điểm đặt máy ATM của Ngân hàng nếu bạn có tài khoản tại ngân
hàng.
- Do công đoạn giao dịch (bao gồm: thanh toán tiền, gửi tiền, rút tiền,
chuyển khoản, ) được thực hiện qua máy móc đã được lập trình sẵn nên độ
chính xác sẽ cao hơn.
- Giúp giảm bớt tình trạng quá tải khi bạn giao dịch trực tiếp tại các ngân
hàng. Nếu chưa có các điểm giao dịch ATM thì hàng ngày các ngân hàng sẽ
phải tiếp nhận hàng nhìn lượt giao dịch, các nhân viên ngân hàng phải thực hiện
nhiều giao dịch sẽ dẫn đến mệt mỏi và làm việc sẽ không hiệu quả và chính xác.
Khách hàng sẽ khó chịu vì phải xếp hàng chờ đợi lâu để đến lượt giao dịch.
- Hầu hết hiện nay các ngân hàng đều cho phép khách hàng có thể thanh
toán hóa đơn điện nước, điện thoại, hóa đơn mua sắm, bằng thẻ ATM.
- Nếu bằng phải đi đâu xa bằng tàu xe, thay vì phải bảo quan rất nhiều tiền
mặt thì bạn chỉ cần phải “bảo quản” duy nhất tấm thẻ ATM. Bởi hầu hết các
ngân hàng hiện nay đều liên kết với nhau và các điểm đặt máy rút tiền tự động
có mặt ở khắp mọi nơi. Chính vì vậy nếu phải đi đâu xa và dài ngày, bạn cũng

sẽ không lo phải mang nhiều tiền cho đủ chi tiêu. Chỉ cần có một tấm thẻ ATM
đã nạp sẵn tiền, bạn có thẻ giúp tiền ở bất cứ đâu, có thể thanh toán các dịch vụ
bằng thẻ ATM mà ngân hàng cung cấp.
- Bạn có thể gửi tiền cho bất kỳ ai ở đâu bằng hình thức chuyển khoản mà
không phải đến ngân hàng “xếp hàng” cho đến lượt. Chỉ cần bạn ra các điểm
giao dịch ATM, hầu hết các ngân hàng đều có dịch vụ chuyển khoản bằng thẻ
ATM.
- Thuận tiện trong việc gởi, rút: Các bạn có thể gởi và rút tiền một cách
nhanh chóng tại ngân hàng nơi bạn mở tài khoản.
- Để thuận tiện cho gia đình và người thân khi gởi tiền vào tài khoản cho
bạn, chỉ cần cung cấp thông tin:
+ Tên ngân hàng nơi bạn mở tài khoản.
+ Tên chủ tài khoản.
+ Số ký hiệu tài khoản.
Chỉ cần 3 thông tin đó thì gia đình hoặc bất kỳ ai cũng có thể gởi tiền vào tài
khoản cho bạn ở tại bất kỳ ngân hàng nào. Nhưng nếu gởi tiền vào ngân hàng không
trực thuộc chi nhánh nơi bạn mở tài khoản thì mất phí chuyển tiền, còn nếu gởi tiền
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
15
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
vào ngân hàng nơi bạn mở tài khoản hoặc các chi nhánh trực thuộc ngân hàng đó thì
không mất phí.
Khi bạn chuyển tiền qua hệ thống ngân hàng thì phí chuyển tiền thấp hơn, và
thời gian chuyển tiền nhanh hơn so với bưu điện. Phí chuyển tiền tùy thuộc vào từng
ngân hàng. Thời gian chuyển có thể trong vòng từ 30 phút, hoặc chậm nhất là 2 ngày.
ii. CƠ BẢN VỀ MẠNG RIÊNG ẢO VPN
Hệ thống máy ATM thường dùng mạng riêng ảo VPN để thực hiện các kết nối.
Do vậy việc hiểu rõ về mạng VPN sẽ giúp ta xây dựng một hệ thống thanh toán được
tốt hơn.
1. Khái niệm

VPN được viết tắt từ cụm từ Virtual Private Network, được thiết kế cho những
tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn
quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết
kiệm được được chi phí và thời gian.
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là
Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở
trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo
ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa
điểm hoặc người sử dụng ở xa.
2. Phân loại VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN
điểm-nối-điểm (site-to-site)

VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết
nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần
liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ như công ty muốn
thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP).
ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử
dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có
thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để
truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có
mật mã.
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
16
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
Hình 2. Một mô hình mảng riêng ảo VPN
Hình minh họa cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tại gia
hoặc nhân viên di động là loại VPN truy cập từ xa).

VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối

nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có
thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một công ty có vài địa
điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN
intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty
có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách
hàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN
để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung.
Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa là
loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN
Extranet.
3. Bảo mật trong VPN
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có
thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được
chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng
cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco
IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN.
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
17
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính
khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã
chung.
Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật
để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn
phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy
tính của người nhận có thể giải mã được.
Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng.
Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho
bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy
tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng

của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy
(PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì.
Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh
cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn
diện hơn.
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề
(header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ những
hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoài ra, tất cả các
thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có
các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác
nhau như router với router, firewall với router, PC với router, PC với máy chủ
4. Máy chủ AAA
AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập),
Authorization (cho phép) và Accounting (kiểm soát). Các server này được dùng để
đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới từ máy
khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt động
của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.
5. Sản phẩm công nghệ dành cho VPN
Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt
những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể là:
- Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa.
- Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật
PIX.
- Server VPN cao cấp dành cho dịch vụ Dial-up.
- NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người
sử dụng từ xa.
- Mạng VPN và trung tâm quản lý.
6. Hoạt động của VPN
Bộ xử lý trung tâm VPN
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM

18
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của
Cisco tỏ ra vượt trội ở một số tính năng. Tích hợp các kỹ thuật mã hóa và thẩm định
quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên biệt cho
loại mạng này. Chúng chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễ
dàng tăng dung lượng và số lượng gói tin truyền tải. Dòng sản phẩm có các model
thích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100 cho đến 10.000 điểm
kết nối từ xa truy cập cùng lúc).
Router dùng cho VPN
Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ điều hành
Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi trường hợp,
từ truy cập nhà-tới-văn phòng cho đến nhu cầu của các doanh nghiệp quy mô lớn.
Tường lửa PIX của Cisco
Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế
dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và chặn
truy cập bất hợp pháp.
Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay
sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP.
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên
nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header
(tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo
những "đường ống" riêng (tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các
máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy
chủ phải sử dụng chung một giao thức (tunnel protocol).
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết.
Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đi
vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có
thông tin đang đi qua.
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE,
IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được
truyền đi (như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên
Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc, họ
có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác
dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.
Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để
truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói
tin mà bạn đnag mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
19
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã
hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm- nối-điểm.
Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.
Hình 3. Sơ đồ Site to Site VPN
Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP
(Point-to-Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các
giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Nói tóm
lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng
trong mạng VPN truy cập từ xa.
L2F (Layer 2 Forwarding) được Cisco phát triển. L2 F dùng bất kỳ cơ chế thẩm

định quyền truy cập nào được PPP hỗ trợ.
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát
triển. Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm định
quyền truy cập nào được PPP hỗ trợ.
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các thành
viên PPTP Forum, Cisco và IETF. Kết hợp các tính năng của cả PPTP và L2F, L2TP
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
20
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
cũng hỗ trợ đầy đủ IPSec. L2TP có thể được sử dụng làm giao thức Tunneling cho
mạng VPN điểm-nối-điểm và VPN truy cập từ xa. Trên thực tế, L2TP có thể tạo ra một
tunnel giữa máy khách và router, NAS và router, router và router. So với PPTP thì
L2TP có nhiều đặc tính mạnh và an toàn hơn.
Ví dụ: Cài đặt mạng VPN loại truy cập từ xa theo giao thức Tunneling điểm-
nối-điểm (PPTP).
Hình 4. Mô hình VPN truy cập từ xa đơn giản hóa với 5 máy tính
VPN ở đây được đơn giản hóa với 5 máy tính cần thiết đóng các vai trò khác
nhau trong một mạng riêng ảo.
- Máy tính chạy Windows Server 2003, phiên bản Enterprise Edition, đặt tên là
DC1, hoạt động như một trung tâm điều khiển domain (domain controller), một máy
chủ DNS (Domain Name System), một máy chủ DHCP (Dynamic Host Configuration
Protocol) và một trung tâm chứng thực CA (certification authority).
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên VPN1,
hoạt động như một máy chủ VPN. VPN1 được lắp đặt 2 adapter mạng.
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IAS1,
hoạt động như một máy chủ quản lý người sử dụng truy cập từ xa RADIUS (Remote
Authentication Dial-in User Service).
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IIS1,
hoạt động như một máy chủ về web và file.
- Một máy tính chạy Windows XP Professional, mang tên CLIENT1, hoạt động

như một máy khách truy cập từ xa.
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
21
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
Ở đây có các phân đoạn mạng Intranet dành cho mạng LAN của công ty và
phân đoạn mạng Internet. Tất cả các máy tính ở Intranet được kết nối với một HUB
(máy chủ truy cập) hoặc switch Layer 2. Tất cả các máy tính trên mạng Internet được
kết nối với một HUB hoặc switch Layer 2. Ta sử dụng các địa chỉ 172.16.0.0/24 cho
Intranet; địa chỉ 10.0.0.0/24 cho Internet. IIS1 chứa cấu hình địa chỉ IP, sử dụng giao
thức DHCP. CLIENT1 cũng dùng giao thức DHCP cho cấu hình địa chỉ IP nhưng cũng
được xác định bằng một cấu hình IP khác để có thể đặt trên mạng Intranet hoặc
Internet.
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
22
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
CHƯƠNG 2
CƠ CHẾ BẢO MẬT VÀ LỖ HỔNG AN NINH KHI GIAO DỊCH
QUA THẺ ATM
I. TÌM HIỂU VỀ CƠ CHẾ BẢO MẬT TRONG VIỆC QUẢN LÝ GIAO DỊCH
QUA THẺ ATM
Với những ai đã từng sử dụng dịch vụ thẻ ATM của các ngân hàng thì sẽ dễ
dàng nhận thấy, chúng ta cần phải có đủ hai yếu tố sau:
(a) Một thẻ ATM (ATM card)
(b) Một mã số cá nhân hay còn được gọi là PIN (Personal Identification
Number).
Ở đây, nếu một ai đó muốn rút được tiền của người khác thì bắt buộc phải có đủ
cả hai yếu tố này là thẻ ATM và số PIN. Nếu chủ sở hữu có bị mất thẻ thì người cầm
thẻ cũng không thể rút được tiền ra hay nếu có đánh cắp được số PIN thì cũng phải có
thẻ ATM mới có thể tiến hành rút tiền được. Đây cũng là một giải pháp xác thực người
dùng hai yếu tố. Hai yếu tố ở đây là: thẻ ATM (cái mà bạn có) và số PIN (cái mà chỉ có

bạn biết).
Vậy ta có thể hiểu nôm na việc “bảo mật” giao dịch của các ngân hàng qua thẻ
ATM là giải pháp xác thực người dùng hai yếu tố: Thẻ ATM (cái mà bạn có) và số PIN
(cái mà chỉ có bạn biết). Do đó một kẻ xấu muốn ăn cắp tài khoản từ thẻ của một ai đó
thì bắt buộc phải có tối thiểu hai điều kiện trên.
II. LỖ HỔNG AN NINH TRONG BẢO MẬT GIAO DỊCH THANH TOÁN QUA
THẺ ATM CỦA CÁC NGÂN HÀNG HIỆN NAY
Ngoài những lợi ích mà ngân hàng đưa ra thì, một câu hỏi đặt ra đối với khách
hàng sử dụng giao dịch thanh toán ngân hàng qua thẻ ATM là: Liệu với cách giao
dịch như thế thì có đảm bảo an toàn tuyệt đối không? Tại sao vẫn có những vụ bị mất
thẻ mà chính chủ thể “không hiểu” nguyên nhân? Rồi thì tại sao có những khách hàng
lại có thể rút quá số dư tài khoản tới hàng tỷ đồng?
2.1Thẻ ATM bị làm giả như thế nào?
Cách đơn giản lại hiệu quả mà các harker mũ đen hiện nay thường dùng để làm
giả thẻ ATM được mô tả theo sơ đồ sau:
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
23
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
Hình 5. Mô tả quá trình làm giả thẻ ATM
b) Ăn cắp thông tin:
Cách phổ biến nhất và có vẻ “chuyên nghiệp” để ăn cắp thông tin của chủ thẻ là
lập ra các trang web ngân hàng giả, hoặc trang web bán hàng giả ở nước ngoài (thường
ở Mỹ, Anh, úc, Canada, ), hoặc cũng có thể họ gửi cho bạn những spam mail thông
báo bạn là vị khách thứ bao nhiêu ghé vào trang web của họ. Bạn sẽ nhận được một số
tiền khá lớn (có hả cả triệu USD), bọn chúng yêu cầu bạn gửi các thông tin về bạn cũng
thông tin về tài khoản của bạn để bọn chúng chuyển tiền vào tài khoản. Nếu không tỉnh
táo bạn sẽ bị mắc mưu của bọn chúng, đồng nghĩa với việc bạn sẽ bị lộ thông tin cá
nhân, cũng như thông tin về tài khoản ATM.
Sau khi lập các trang web ngân hàng giả, họ gửi email nặc danh đến hàng loạt
địa chỉ email với nội dung: Để đảm bảo an ninh, yêu cầu khách hàng đổi password hay

khai lại những thông tin liên quan đến tài khoản ngay trên trang web. Khi khách hàng
thực hiện yêu cầu này, hacker sẽ ung dung sở hữu toàn bộ thông tin bảo mật của một
người chưa từng quen biết.
Ngoài ra các loại đối tượng này còn trực tiếp hoặc thuê những người khác (biết
một chút về kỹ thuật) cài những chương trình ăn cắp tài khoản bank trực tuyến tại một
số nơi người nước ngoài hay lui đến truy cập internet tại Việt Nam (Phố cổ Hà Nội,
Khu Tây ba lô - Phạm Ngũ Lão T.P HCM ).
Ở đây, thông tin mà các harker quan tâm nhất là thông tin về mã PIN của thẻ
ATM, bởi vì nó là thông tin vô hình được “lưu trữ” trong trí nhớ của bạn. Những
thông tin theo như: tên chủ tài khoản, mã số tài khoản, ngày tháng năm sinh, địa chỉ,
nghề nghiệp, CMT, giới tính, là những thông tin nhìn thấy được và rất dễ dàng để có
được các thông tin đó.
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
Ăn cắp thông tin
Bao gồm thông tin về tài
khoản của chủ thẻ:
Tên chủ tài khoản, số
thẻ (Cái mà có thẻ
nhìn thấy ngay trên
thẻ)
Thông tin chi tiết về cá
nhân (Ngày sinh, giới
tính, địa chỉ, nghề
nghiệp, CMT, )
Số PIN (Cái này rất
quan trọng).

Mua thiết bị làm giả thẻ
(Ví dụ: máy MSR106-
206)

Rút tiền
24
Tìm hiểu giải rpháp bảo mật cho giao dịch thanh toán Ngân hàng qua thẻ ATM
Các hacker có thể lập các trang web bán hàng qua mạng, nếu bạn mua được
món hàng ưng ý thì khi thanh toán các hacker sẽ bắt bạn điền các thông tin về thẻ ATM
mà trong đó có cả mã PIN.
Cũng có thể hacker gửi email cho bạn thông báo bạn đã nhận được một giải
thưởng có giá trị, bạn phải gửi các thông tin về tài khoản ATM cho bọn chúng thì
chúng sẽ chuyển tiền vào tài khoản đó.
Hoặc rất đơn giản hơn (đôi khi lại hiệu quả), là kẻ xấu có thể đứng tại các điểm
giao dịch có đặt máy ATM và quan sát các thao tác của bạn. Chúng dễ dàng có thể
nhìn trộm được mật khẩu (vì mật khẩu thông thường chỉ là ký tự gồm 4-8 số).
c) Làm giả thẻ:
Sau khi đã có được các thông tin về thẻ ATM như (Số PIN, tên chủ thẻ, mã thẻ,
các thông tin cá nhân của chủ thẻ, ) thì việc làm một chiếc thẻ giả là cực kỳ đơn giản.
Kẻ xấu có thể mua mua một thiết bị làm giả thẻ thông dụng là máy MSR106-206 (xem
hình minh họa) mà chỉ mất 25 USD, các thiết bị này được mua khá dễ dàng ở nước
ngoài.
Hình 6. Thiết bị làm giả thẻ MSR106-206
Thiết bị này được bán khá phổ biến ở nước ngoài. Do vậy công việc làm giả thẻ
cực kỳ đơn giản, hacker chỉ cần mua thêm thẻ phôi trắng (thẻ màu trắng chưa in ấn),
sau đó, thông tin thẻ tín dụng đi đánh cắp được bắn lên thẻ phôi qua băng từ màu đen
khi đưa qua máy MSR106-206. Như vậy hacker nghiễm nhiên trở thành chủ thẻ và
việc rút tiền tại các điểm giao dịch ATM là hết sức đơn giản vì nó hợp lý với cơ chế
quản lý: có thẻ ATM và số PIN.
.
2.2Lỗ hổng bảo mật
a) Nhận định chung
Sinh viên thực hiện: Quách hoàng Trung – Khóa 48 – Lớp CNPM
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×