HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Khoa Công nghệ thông tin - - ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: “Nghiên cứu mật sử dụng lần ứng dụng” Giáo viên hướng dẫn: TS Hoàng Xuân Dậu Sinh viên thực hiện: Nguyễn Việt Huy Lớp: D09CNPM2 Hà Nội, 12/2013 ĐỒ ÁN TỐT NGHIỆP MỤC LỤC LỜI MỞ ĐẦU DANH MỤC BẢNG BIỂU, HÌNH VẼ, SƠ ĐỒ CHƯƠNG – TỔNG QUAN VỀ OTP VÀ ỨNG DỤNG 1.1 Khái quát mật xác thực sử dụng mật 1.1.1 Mật gì? 1.1.2 Phương pháp xác thực sử dụng mật 1.1.3 Độ an toàn mật 1.2 Giới thiệu OTP 1.2.1 OTP gì? 1.2.2 Ưu điểm OTP 1.2.3 Nhược điểm OTP 10 1.3 Ứng dụng OTP 11 1.3.1 Ứng dụng xác thực giao dịch 11 1.3.2 Ứng dụng đăng nhập lần 11 1.3.3 S/KEY 13 1.3.4 HOTP 15 1.3.5 Security token 16 1.4 Kết chương 20 CHƯƠNG CÁC PHƯƠNG PHÁP SINH VÀ CHUYỂN GIAO OTP 21 2.1 Các phương pháp sinh OTP 21 2.1.1 Phương pháp sinh OTP theo thời gian 21 2.1.2 Phương pháp sinh OTP thuật toán dựa mật cũ 22 2.1.3 Phương pháp sinh OTP thuật toán dựa giao thức thách thức – trả lời: 23 2.2 Các phương pháp chuyển giao OTP 27 2.2.1 Chuyển giao OTP giấy 27 2.2.2 Chuyển giao OTP tin nhắn SMS 28 2.2.3 Tạo OTP sử dụng token 29 2.2.4 Tạo OTP sử dụng điện thoại di động 33 2.3 Kết chương 36 NGUYỄN VIỆT HUY D09CNPM2 Page | ĐỒ ÁN TỐT NGHIỆP CHƯƠNG ỨNG DỤNG OTP TRONG XÁC THỰC GIAO DỊCH NGÂN HÀNG TRỰC TUYẾN 37 3.1 Xác thực giao dịch ngân hàng trực tuyến sử dụng OTP chuyển giao qua SMS 37 3.1.1 Mô tả kịch thử nghiệm 37 3.1.2 Cài đặt 39 3.1.3 Kết 40 3.2 Xác thực giao dịch ngân hàng trực tuyến sử dụng OTP sinh điện thoại di động dựa giao thức Thách thức – Trả lời 44 3.2.1 Mô tả kịch thử nghiệm 44 3.2.2 lời Cài đặt phần mềm sinh OTP điện thoại di động dựa giao thức Thách thức – Trả 45 3.2.3 Kết 46 3.3 Kết chương 48 KẾT LUẬN 49 TÀI LIỆU THAM KHẢO 50 NGUYỄN VIỆT HUY D09CNPM2 Page | ĐỒ ÁN TỐT NGHIỆP LỜI MỞ ĐẦU Từ lâu, mật (password) sử dụng rộng rãi khâu đăng nhập (log-on) để xác thực người dùng truy nhập vào hệ thống máy tính mạng Từ đăng nhập vào phần mềm ứng dụng máy tính cá nhân đến đăng nhập vào máy chủ công ty website tổ chức tài chính, ngân hàng, phương tiện để xác thực người dùng mật (tên đăng nhập hay username - dạng password ý nghĩa bảo mật thường không giữ bí mật) Tuy nhiên, hầu hết chuyên gia bảo mật nhận định password không an toàn trước thủ đoạn công tinh vi Mật bị nghe lén, bị đánh cắp, bị phá mã (với mật mã hóa băm) sau bị lạm dụng tương đối dễ dàng Mật sử dụng lần - OTP (One Time Password) giới thiệu để tăng cường độ an toàn trình xác thực người dùng, xác thực giao dịch, đặc biệt giao dịch toán trực tuyến hệ thống ngân hàng Đồ án "Nghiên cứu mật sử dụng lần ứng dụng" lựa chọn với mục đích nghiên cứu sâu mật sử dụng lần, phương pháp sinh tạo mật sử dụng lần ứng dụng Từ việc phân tích ưu, nhược điểm phương pháp này, đồ án tập trung nghiên cứu cài đặt thử nghiệm ứng dụng mật sử dụng lần để nâng cao an toàn cho xác thực giao dịch ngân hàng trực tuyến Đồ án gồm chương với nội dung sau: Chương – Tổng quan OTP ứng dụng Giới thiệu tổng quan mật sử dụng lần (OTP): khái quát mật sử dụng lần ưu, nhược điểm mật sử dụng lần Giới thiệu tổng quan ứng dụng mật sử dụng lần NGUYỄN VIỆT HUY D09CNPM2 Page | ĐỒ ÁN TỐT NGHIỆP Chương – Các phương pháp sinh chuyển giao OTP Chương trình bày phương pháp sinh chuyển giao mật sử dụng lần Chương – Ứng dụng OTP xác thực giao dịch ngân hàng trực tuyến Chương trình bày việc cài đặt thử nghiệm ứng dụng xác thực giao dịch ngân hàng trực tuyến sử dụng mật sử dụng lần chuyển giao qua SMS sinh OTP rên điện thoại di động dựa giao thức Thách thức – Trả lời Nhìn chung, đồ án trình bày khái quát mật sử dụng lầ ứng dụng Tuy nhiên, thời gian thực có hạn kiến thức hạn chế nên đồ án không tránh khỏi thiếu sót Rất mong nhận ý kiến đóng góp thầy cô bạn quan tâm đến vấn đề để em hoàn thiện kiến thức NGUYỄN VIỆT HUY D09CNPM2 Page | ĐỒ ÁN TỐT NGHIỆP DANH MỤC BẢNG BIỂU, HÌNH VẼ, SƠ ĐỒ Hình 1.1: Minh họa xác thực mật Hình 1.2: Minh họa đăng nhập lần 12 Hình 1.3: Thiết bị sinh OTP – OTP Token 17 Hình 1.4: Ứng dụng Mobile OTP – IOS 18 Hình 1.5: Ứng dụng Mobile OTP – Window Phone 19 Hình 2.1: Mô hình sinh mã OTP theo thời gian 22 Hình 2.2: Mô hình xác thực người dùng dựa giao thức Thách thức – Trả lời 24 Hình 2.3: Thẻ mật OTP với mật in sẵn VinaGame 27 Hình 2.4: Chuyển giao OTP tin nhắn SMS 28 Hình 2.5: Minh họa thẻ EMV 31 Hình 2.6: Minh họa thiết bị E-Token 32 Hình 2.7: Mô hình kết nối SSL VPN đến Vigor2950 có điện thoại hỗ trợ xác thực 33 Hình 2.8: Cài đặt phần mềm sinh OTP iPhone để xác thực với định tuyến Vigor2950 35 Hình 3.1: Mô hình nhận OTP qua SMS 37 Hình 3.2: Màn hình đăng nhập vào trang chủ Banking 40 Hình 3.3: Trang Chuyển Khoản 41 Hình 3.4: Trang Xác Nhận 42 Hình 3.5: Thông báo hoàn tất giao dịch Error! Bookmark not defined Hình 3.6: Mô hình tạo OTP qua Challenge – Response điện thoại di động 44 Hình 3.7: Trang Chuyển Khoản xác thực Challenge - Response 46 Hình 3.8: Ứng dụng sinh OTP điện thoại di động 47 NGUYỄN VIỆT HUY D09CNPM2 Page | ĐỒ ÁN TỐT NGHIỆP CHƯƠNG – TỔNG QUAN VỀ OTP VÀ ỨNG DỤNG 1.1 Khái quát mật xác thực sử dụng mật 1.1.1 Mật gì? Hiện nay, đăng nhập (log-on) khâu quan trọng đảm bảo an toàn cho hệ thống máy tính mạng Thông thường, người dùng phải cung cấp tên truy nhập (username) mật (password) kèm theo để đăng nhập vào hệ thống Tên truy nhập tên người dùng lựa chọn theo quy ước hệ thống đặt phải hệ thống Trong tên truy nhập thường không cần giữ bí mật mật cần giữ bí mật – người dùng biết mật Vậy mật ? Mật hay nhiều từ mà người dùng phải biết để cấp quyền truy cập, dạng thông tin đặc biệt chuỗi ký tự, hình ảnh, dấu vân tay… dùng để xác thực, chứng minh tính xác người đăng nhập vào hệ thống, dịch vụ hay ứng dụng [8] NGUYỄN VIỆT HUY D09CNPM2 Page | ĐỒ ÁN TỐT NGHIỆP 1.1.2 Phương pháp xác thực sử dụng mật Để đảm bảo an toàn, mật cần giữ bí mật thân người dùng biết Mật thường sử dụng thời gian dài trao đổi thường xuyên máy khách (client) người sử dụng với máy chủ (server) Sau người dùng gõ mật mình, bên phía client xác thực mật với server Nếu mật server xác nhận cấp quyền truy nhập tương ứng cho client qua tới người dùng Hình 1.1 minh họa việc xác thực người dụng dựa mật Hình 1.1: Minh họa xác thực mật NGUYỄN VIỆT HUY D09CNPM2 Page | ĐỒ ÁN TỐT NGHIỆP 1.1.3 Độ an toàn mật Do mật thường gửi từ client đến server dạng rõ (plaintext) nên dễ dàng bị đánh cắp, lạm dụng gây thiệt hại cho người dùng đe dọa đến an toàn hệ thống Các chương trình mã độc "Trojan horse" "key logger" thường tin tặc dùng cho mục đích này.Thông thường, để dò tìm mật khẩu, tin tặc thường sử dụng cách thức công vét cạn (Brute-force), cách thức sử dụng công cụ để tự động thử nghiệm chuỗi ký tự tìm mật Do vậy, sử dụng mật đơn giản hay ngắn, việc sử dụng phương pháp công dựa từ điển vét cạn giúp tin tặc dễ dàng dò mật người dùng mà không nhiều thời gian Trên thực tế, mật an toàn cần thỏa mãn yêu cầu sau:  Độ dài mật phải từ ký tự trở lên Khi độ dài mật đủ lớn, khả bị đoán công vét cạn giảm đi;  Mật không nên chứa từ đơn giản, dễ đoán, tên người thân, tên vật yêu thích, ngày tháng năm sinh Các mật thường dễ dàng bị dò tìm thông qua công dựa từ điển;  Mật phải tổ hợp chữ in hoa, in thường, chữ số ký tự đặc biệt (như ký tự ? $ #, ) Khi số loại ký tự sử dụng tăng lên, số tổ hợp mật có trở lên lớn làm cho việc thực công vét cạn không khả thi NGUYỄN VIỆT HUY D09CNPM2 Page | ĐỒ ÁN TỐT NGHIỆP 1.2 Giới thiệu OTP 1.2.1 OTP gì? Mật sử dụng lần hay gọi OTP (One time password), mật sử dụng lần có giá trị phiên làm việc OTP sử dụng lần xác thực người dùng cho phiên làm việc xác thực giao dịch người dùng OTP thường sử dụng giao dịch điện tử hệ thống xác thực có độ bảo mật cao Xuất từ đầu kỉ 20 có tên gọi khác Vernam Cipher, OTP mệnh danh chén thánh ngành mã hóa liệu OTP thuật toán chứng minh lý thuyết phá với tài nguyên vô tận (tức chống lại kiểu công brute-force) [16] Để đạt mức độ bảo mật OTP, tất cảnhững điều kiện sau phải thỏa mãn: - Độ dài chìa khóa phải độ dài văn cần mã hóa - Chìa khóa dùng lần - Chìa khóa phải số thực ngẫu nhiên 1.2.2 Ưu điểm OTP OTP có nhiều ưu điểm so với mật truyền thống Cụ thể: - An toàn: Giải tốt vấn đề giả mạo, đánh cắp, Key logger Đối với phương pháp xác thực hai yếu tố, OTP kết hợp sử dụng với mã PIN mật khẩ thông thường - Dễ dàng sử dụng: Việc nhận dạng xác thực thực vài giây, tránh nguy bị lỗi gõ mã OTP dài qua mã từ thiết bị chứng thực vào máy tính (Ví dụ OTP Token sử dụng hình hiển thị) Nó hoạt động với tài nguyên đăng nhập hầu hết tảng máy tính, trình duyệt không cần cài đặt phần mềm Client chuyên dụng - Linh hoạt: Người dùng dễ dàng sử dụng cho máy tính khác dễ mang theo thiết bị sinh OTP bên NGUYỄN VIỆT HUY D09CNPM2 Page | ĐỒ ÁN TỐT NGHIỆP CHƯƠNG ỨNG DỤNG OTP TRONG XÁC THỰC GIAO DỊCH NGÂN HÀNG TRỰC TUYẾN 3.1 Xác thực giao dịch ngân hàng trực tuyến sử dụng OTP chuyển giao qua SMS 3.1.1 Mô tả kịch thử nghiệm Ngày nay, nhiều ngân hàng ứng dụng phương pháp xác thực giao dịch trực tuyến sử dụng OTP khác nhau.Mỗi phương pháp sinh chuyển giao OTP có ưu nhược điểm riêng phân tích chương chúng có khả ứng dụng với mức độ khác Trong số phương pháp chuyển giao OTP,đó phương pháp chuyển giao OTP qua SMS nhiều ngân hàng sử dụng tính động giao dịch Hình 3.1 mô tảmô hình nhận OTP qua SMS Hình 3.1: Mô hình nhận OTP qua SMS NGUYỄN VIỆT HUY D09CNPM2 Page | 37 ĐỒ ÁN TỐT NGHIỆP Kịch thử nghiệm: Trước thực giao dịch trực tuyến có xác thực OTP, người dùng cần thực thủ tục đăng ký tài khoản giao dịch trực tuyến, gồm username, passwordvà số điện thoại với ngân hàng Sau đó, người dùng sử dụng thông tin giao dịch chuyển tiền trang toán trực tuyếncủa ngân hàng Kịch thực giao dịch trực tuyến có xác thực OTP gồm bước sau: Người dùng đăng nhập vào trang toán trực tuyến ngân hàng sử dụng username password đăng ký Hệ thống xác thực thông tin tài khoản người dùng; Nếu xác cho người dùng truy cập vào hệ thống Người dùngvào ứng dụng chuyển tiền trực tuyến Giao diện chuyển tiền trực tuyến xuất Người dùng nhập thông tin giao dịch vào giao diện chuyển tiền trực tuyến bao gồm: tài khoản người nhận, số tiền chuyển khoản, nội dung chuyển tiền; người dùng lựa chọn “Gửi tin nhắn SMS” ô “Hình thức nhận mã giao dịch” Người dùng nhấn vào nút “Chấp nhận” Giao diện xác thực OTP xuất Đồng hồ đếm lùi phút (thời gian sống hợp lệ OTP) bắt đầu chạy Một tin nhắn gửi từ tổng đài hệ thống tới điện thoại người dùng chứa mã giao dịch OTP Người dùng nhập mã OTP nhận từ tin nhắn SMS vào ô xác thực nhấn nút “Chấp nhận” Nếu người dùng nhập OTP khoảng thời gian cho phép giao diện giao dịch thành công xuất Nếu người dùng nhập sai hệ thống yêu cầu người dùng nhập lại OTP NGUYỄN VIỆT HUY D09CNPM2 Page | 38 ĐỒ ÁN TỐT NGHIỆP 3.1.2 Cài đặt Chương trình thử nghiệm cài đặt hệ điều hành Microsoft Windows, ngôn ngữ C# phần mềm lập trình Microsoft Visual Studio kết hợp với hệ quản trị sở liệu My SQL để hệ thống truy xuất sở liệu Thuật toán băm SHA – sử dụng để tạo OTP Cơ sở liệu sử dụng để xác thực người dùng, lưu lịch sử giao dịch Cơ sở liệu lưu trữ username, password, tên chủ tài khoản, số tiền có lần giao dịch Phần mềm bên server xây dựng dạng web server Phía server dựa vào OTP gửi tới di động người dùng để đưa định cho phép người dùng toán hay từ chối yêu cầu Phần mềm tương tác với sở liệu lưu thông tin người dùng tài khoản họ Chương trình sử dụng điện thoại mô tổng đài để gửi tin nhắn chứa OTP NGUYỄN VIỆT HUY D09CNPM2 Page | 39 ĐỒ ÁN TỐT NGHIỆP 3.1.3 Kết Trong phần demo, trang chủ Banking hai trang khác cài đặt Trang chủ có hiển thịdanh sách hai trang trang web để người sử dụng click để vào trang Ban đầu người dùng phải đăng nhập vào trang chủ với username password Màn hình đăng nhập minh họa Hình 3.2 Hình 3.2:Màn hình đăng nhập vào trang chủ Banking NGUYỄN VIỆT HUY D09CNPM2 Page | 40 ĐỒ ÁN TỐT NGHIỆP Trên trang web có chứa danh sách hai trang mà người dùng có quyền truy cập sau đăng nhập là: Chuyển khoản Lịch sử giao dịch Sau đăng nhập thành công username password đăng ký trước đó, người dùng click vào “Chuyển khoản” hướng tới trang Chuyển khoản Trang Chuyển khoản thiết kế Hình 3.3 Hình 3.3: Trang Chuyển Khoản NGUYỄN VIỆT HUY D09CNPM2 Page | 41 ĐỒ ÁN TỐT NGHIỆP Sau đăng nhập tài khoản mình, trang chuyển khoản lên thông tin người dùng với sở liệu bao gồm: số tài khoản, họ tên, số dư tài khoản, số điện thoại Người dùng phải nhập số tiền chuyển khoản, số tài khoản người nhận, nội dung chuyển tiền Trong ô Hình thức nhận mã giao dịch có hai lựa chọn cho người dùng là: Tin nhắn SMS Challenge – Response, phần lựa chọn Tin nhắn SMS Sau điền đầy đủ thông tin cho lần giao dịch, người dùng ấn vào nút “Chấp nhận”, tin nhắn chứa OTP gửi đến cho người dùng người dùng hướng tới trang Xác Nhận để xác thực OTP Trang Xác Nhận thiết kế hình 3.4 Hình 3.4: Trang Xác Nhận NGUYỄN VIỆT HUY D09CNPM2 Page | 42 ĐỒ ÁN TỐT NGHIỆP Bắt đầu từ lúc chuyển sang trang xác nhận, đồng hồ bắt đầu đếm lùi Người dùng có phút để điền mã giao dịch Tin nhắn hệ thống gửi tới số điện thoại người dùng lúc trang chuyển hướng người dùng có đủ thời gian để điền mã giao dịch hoàn tất giao dịch Người dùng điền mã giao dịch xong nhấn nút “Chấp nhận”, hệ thống xác thực mã giao dịch có thông báo tới người dùng Nếu mã giao dịch xác nhận thông báo giao dịch thành công hình 3.5, nhập sai mã giao dịch hệ thống yêu cầu người dùng nhập lại.Khi thời gian giao dịch người dùng phải thực lại giao dịch hệ thống tiếp tục gửi tin nhắn chứa mã giao dịch khác tới số điện thoại di động người dùng Hình 3.5: Thông báo hoàn tất giao dịch NGUYỄN VIỆT HUY D09CNPM2 Page | 43 ĐỒ ÁN TỐT NGHIỆP 3.2 Xác thực giao dịch ngân hàng trực tuyến sử dụng OTP sinh điện thoại di động dựa giao thức Thách thức – Trả lời 3.2.1 Mô tả kịch thử nghiệm Hình 3.6 mô tả trình xác thực sử dụng OTP sinh điện thoại di động sử dụng giao thức Thách thức – Trả lời (Challenge – Response) Hình 3.6: Mô hình tạo OTP qua Challenge – Response điện thoại di động Kịch thử nghiệm: Trước thực giao dịch trực tuyến có xác thực OTP, người dùng cần thực thủ tục đăng ký tài khoản giao dịch trực tuyến, gồm username, password số điện thoại với ngân hàng Sau đó, người dùng sử dụng thông tin nàykhi giao dịch chuyển tiền trang toán trực tuyếncủa ngân hàng Kịch thực giao dịch trực tuyến có xác thực OTP sinh điện thoại di động sử dụng giao thức Thách thức – Trả lời gồm bước sau: Người dùng đăng nhập vào trang toán trực tuyến ngân hàng sử dụng username password đăng ký Hệ thống xác thực thông tin tài khoản người dùng; Nếu xác cho người dùng truy cập vào hệ thống Người dùng vào ứng dụng chuyển tiền trực tuyến Giao diện chuyển tiền trực tuyến xuất NGUYỄN VIỆT HUY D09CNPM2 Page | 44 ĐỒ ÁN TỐT NGHIỆP Người dùng nhập thông tin lần giao dịch vào giao diện chuyển tiền trực tuyến bao gồm: số tiền chuyển khoản, tài khoản người nhận, nội dung chuyển tiền; người dùng lựa chọn “Challenge - Response” ô “Hình thức nhận mã giao dịch” Một ô “Challenge”chứa OTP ô “Mã giao dịch” để trống lên Người dùng khởi động ứng dụng Mobile OTP cài điện thoại; ứng dụng lên bao gồm ô: Challenge, Money, OTP Người dùng nhập mã Challenge số tiền cần chuyển trang web vào điện thoại nhấn nút “OK” Ứng dụng sinh OTP cho người dùng Người dùng nhập OTP vừa nhận vào ô “Mã giao dịch” nhấn nút “Chấp nhận” Nếu người dùng nhập OTP giao diện giao dịch thành công xuất Nếu người dùng nhập sai hệ thống yêu cầu người dùng nhập lại OTP 3.2.2 Cài đặt phần mềm sinh OTP điện thoại di động dựa giao thức Thách thức – Trả lời Cũng xác thực giao dịch ngân hàng trực tuyến sử dụng OTP chuyển giao qua SMS, chương trình thử nghiệm sinh OTP máy chủ dựa giao thức thách thức – trả lờiđược cài đặt hệ điều hành Microsoft Windows, ngôn ngữ C# phần mềm lập trình Microsoft Visual Studio kết hợp với hệ quản trị sở liệu My SQL để hệ thống truy xuất sở liệu Thuật toán băm SHA – sử dụng để tạo OTP server client Cơ sở liệu sử dụng để xác thực người dùng, lưu lịch sử giao dịch Cơ sở liệu lưu trữ username, password, tên chủ tài khoản,số tiền có lần giao dịch Sau nhận yêu cầu toán, server sinh mã thách thức (challenge) Người dùng (client) nhập số challenge số tiền giao dịch vào ứng dụng điện thoại để sinh OTP cho giao dịch NGUYỄN VIỆT HUY D09CNPM2 Page | 45 ĐỒ ÁN TỐT NGHIỆP Phần mềm bên client xây dựng trênMicrosoft Visual Window Phone thuật toán sinh OTP server client giống Phần mềm cài đặt điện thoại Nokia Lumia 520 sử dụng hệ điều hành Window Phone 3.2.3 Kết Hình 3.7: Trang Chuyển Khoản xác thực Challenge – Response NGUYỄN VIỆT HUY D09CNPM2 Page | 46 ĐỒ ÁN TỐT NGHIỆP Tương tự việc xác thực giao dịch ngân hàng trực tuyến sử dụng OTP chuyển giao qua SMS, sau đăng nhập vào khoản mình, người dùng hướng tới trang Chuyển Khoản, nhập thông tin giao dịch chọn “Challenge – Response” ô Hình thức nhận mã giao dịch Lúc hệ thống tự động tạo OTP ô Challenge Người dùng sử dụng OTP với số tiền để nhập vào ứng dụng thiết bị di động Hình 3.8 Hình 3.8: Ứng dụng sinh OTP điện thoại di động Người dùng sau biết challenge từ server nhập challenge số tiền sử dụng giao dịch vào điện thoại, sau nhấn nút OK , phần mềm kết hợp challenge số tiền để sinh OTP để xác thực giao dịch NGUYỄN VIỆT HUY D09CNPM2 Page | 47 ĐỒ ÁN TỐT NGHIỆP 3.3 Kết chương Trong chương này, tiến hành xây dựng thử nghiệm chương trình thử nghiệm xác thực giao dịch ngân hàng trực tuyến sử dụng OTP chuyển giao qua SMS xác thực giao dịch ngân hàng trực tuyến sử dụng OTP sinh điện thoại di động dựa giao thức Thách thức – Trả lời Cả hai phương pháp sinh chuyển giao OTP cài đặt có khả cung cấp tính bảo mật cao cho xác thực giao dịch trực tuyến Các ứng dụng có khả triển khai rộng rãi thực tế không đòi hỏi bổ sung phần cứng hay phần mềm phức tạp NGUYỄN VIỆT HUY D09CNPM2 Page | 48 ĐỒ ÁN TỐT NGHIỆP KẾT LUẬN Mật sử dụng lần (OTP) mật sử dụng lần để xác thực giao dịch phiên làm việc Do OTP sử dụng lần nên có độ an toàn cao so với mật truyền thống, tránh dạng công nghe Đồ án nghiên cứu mật sử dụng lần, kỹ thuật sinh chuyển giao mật lần ứng dụng vào xác thực giao thức trực tuyến Cụ thể, nội dung đồ án thực hiện: - Nghiên cứu tổng quan mật sử dụng lần ứng dụng mật sử dụng lần - Nghiên cứu phương pháp sinh mật sử dụng lầndựa thời gian, dựa thuật toán; phương pháp sinh mật Token điện thoại di động; phương pháp chuyển giao mật sử dụng lần giấy, tin nhắn SMS - Đồ án cài đặt thử nghiệm thành công ứng dụng mật sử dụng lần xác thực giao dịch ngân hàng trực tuyến sử dụng phương pháp chuyển giao OTP thông qua tin nhắn SMS sinh OTP điện thoại di động Hướng phát triển đồ án là: - Nghiên cứu đăng nhập lần sử dụng mật sử dụng lần; - Cải tiến ứng dụng sinh OTP điện thoại di động giao diện tính để việc xác thực người dùng trở nên thân thiện, tiện lợi đảm bảo độ an toàn cao NGUYỄN VIỆT HUY D09CNPM2 Page | 49 ĐỒ ÁN TỐT NGHIỆP TÀI LIỆU THAM KHẢO [1] D M’Raihi, J Rydell, S Bajaj, S Machani, D Naccache, OATH ChallengeResponse Algorithm, June 2011 [2] D M’Raihi, J Rydell, S Bajaj, S Machani, D Naccache, Time-Based OneTime Password Algorithm, May 2011 [3] Neil M Haller, Bellcore, Morristown, New Jersey - THE S-KEY ONE-TIME PASSWORD SYSTEM, 2011 [4] http://www.rsa.com/node.aspx?id=1156 , 9/2013 [5] HOTP http://en.wikipedia.org/wiki/HOTP, 9/2013 [6] HMAC http://en.wikipedia.org/wiki/HMAC, 9/2013 [7] S/Key http://en.wikipedia.org/wiki/S/KEY, 9/2013 [8] Xác thực http://vi.wikipedia.org/wiki/X%C3%A1c_th%E1%BB%B1c [9] One Time Password http://en.wikipedia.org/wiki/One-time_password, 9/2013 [10] Challenge-Response Algorithm http://en.wikipedia.org/wiki/Challenge%E2%80%93response_authentication, 9/2013 [11] Lamport Schem http://www.javaworld.com/javaworld/jw-03-2009/jw-03lamport-otp.html, 9/2013 [12] http://datasecurity.vn/tech/business-tech/1590-chng-thc-trong-mt-ngan-hanginternet.html, 10/2013 [13] Dương Hoàng Anh, Nguyễn Việt Huy, Nguyễn Văn Tân, Phạm Minh Tú – Báo cáo nghiên cứu khoa học: Nghiên cứu mật sử dụng lần ứng dụng, 12/2012 [14] Nguyễn Văn Hường – Đồ án tốt nghiệp: Đăng nhập lần, 12/2011 [15] Phạm Tuấn Dũng – Luận văn: Nghiên cứu phương pháp bảo mật cho chế đăng nhập lần ứng dụng hệ phân tán, 2011 NGUYỄN VIỆT HUY D09CNPM2 Page | 50 ĐỒ ÁN TỐT NGHIỆP [16] Thế giới vi tính http://pcworld.com.vn/pcworld/printArticle.asp?atcl_id=5f5e5d5e5e5f5a, 10/2013 [17] An toàn mật hệ thống mạng UNIX LINUX http://www.quantrimang.com.vn/an-toan-mat-khau-tren-he-thong-mang-unixva-linux-1758, 10/2013 [18] Man in the middle attack http://en.wikipedia.org/wiki/Man-in-themiddle_attack, 10/2013 [19] Single sign on http://en.wikipedia.org/wiki/Single_sign-on, 10/2013 [20] http://gamethu.vnexpress.net/gt/diem-tin/2006/03/3b9ad22c/, 10/2013 [21] MOTP http://www.pcworld.com.vn/mobile/anpham/tm/408/articles/congnghe/ung-dung/2010/06/1219120/motp-mat-khau-dung-mot-lan-di-dong/ , 9/2013 [22] http://www.vietinbank.vn/web/home/vn/index.html, 10/2013 NGUYỄN VIỆT HUY D09CNPM2 Page | 51 [...]... bản bao gồm định nghĩa mật khẩu, mật khẩu sử dụng một lần (OTP) cũng như các phương pháp xác thực mật khẩu, mật khẩu sử dụng một lần OTP được ứng dụng cho nhiều lĩnh vực như: ứng dụng trong xác thực giao dịch, đăng nhập một lần, S/Key, HOTP, Security Token Mật khẩu sử dụng một lần tuy vẫn còn nhiều nhược điểm chưa thể khắc phục, nhưng hiện tại nó vẫn là một phương pháp bảo mật khá an toàn trong thời... trong đăng nhập một lần Ứng dụng trong đăng nhập một lần (Single Sign On – SSO) dựa trên mật khẩu sử dụng một lần được xây dựng nhằm xác thực người sử dụng khi người sử dụng truy cập vào một chuỗi các ứng dụng có liên kết trong môi trường phân tán Người dùng chỉ cần cung cấp thông tin đăng nhập một lần và có thể truy nhập vào nhiều ứng dụng khác nhau trong hệ thống phân tán Như các ứng dụng và các tài nguyên... mật khẩu chỉ được dùng một lần Nhưng kẻ tấn công sẽ quan tâm đến việc tìm ra mật khẩu i-1, vì mật khẩu này sẽ được sử dụng cho lần xác thực kế tiếp Điều này cần phải chuyển ngược hàm băm để tạo ra mật khẩu i-1 từ mật khẩu i (H (mật khẩu i1) =mật khẩu i) – một việc rất khó khăn với các hàm băm mã hóa hiện thời Tuy nhiên S/Key có thể bị tấn công kiểu người ứng giữa (man-in- the middle) [18] S/Key sử dụng. .. là mật khẩu được cung cấp Nếu H(pwd) là mật khẩu đầu tiên (cái server đang lưu) thì quá trình xác thực thành công Server sẽ tính H (mật khẩu i) và so sánh kết quả với mật khẩu i-1, được lưu trên server - Tính bảo mật Tính bảo mật của S/Key phụ thuộc vào độ phức tạp của hàm băm mã hóa Giả sử rằng một kẻ tấn công giữ một mật khẩu đã được dùng cho một lần xác thực thành công Gọi mật khẩu này là i, mật khẩu. .. 5 Những mật khẩu H(W), H(H(W)),…, Hn-1(W) không được lưu lại ở server mà server chỉ lưu mật khẩu Hn(W) - Xác thực Sau quá trình sinh mật khẩu, người dùng có một danh sách các mật khẩu Mật khẩu đầu tiên cũng là mật khẩu server đang lưu Mật khẩu này sẽ không được dùng để xác thực, và mật khẩu thứ hai sẽ được dùng:  Người dùng cung cấp cho server mật khẩu pwd thứ hai trong danh sách của mình và gạch... lúc và an toàn [19] 1.3.3 S/KEY S/Key còn được gọi là Lamport scheme [7], là một giải pháp phổ biến được phát triển để xác thực các ứng dụng đầu cuối trên các hệ điều hành thuộc họ Unix Việc sinh mật khẩu dựa trên hàm băm Mật khẩu thực sự của người dùng được kết hợp với một thiết bị offline chứa một tập ngắn các kí tự và một bộ đếm giảm dần để tạo ra một mật khẩu Vì mỗi mật khẩu chỉ được sử dụng một lần. .. của server sinh ra và không được gửi cho client Nếu khóa này bị lộ thì tính bảo mật của S/Key sẽ bị giảm 2 Một hàm băm mã hóa H được áp dụng n lần cho khóa bí mật W, cách này tạo ra một chuỗi băm của n mật khẩu dùng một lần Mật khẩu là kết quả của việc áp dụng hàm băm mã hóa : H(W), H(H(W)),…, Hn(W) 3 Mật khẩu ban đầu W bị hủy đi 4 Người dùng (client) được cung cấp n mật khẩu dùng một lần, được in ra... một lần nên chúng vô dụng với những kẻ cắp mật khẩu Vì tập các kí tự không thay đổi cho đến khi bộ đếm giảm về 0, nên có thể chuẩn bị một danh sách mật khẩu dùng một lần mà người dùng có thể mang theo Nói một cách khác, người dùng có thể đưa ra mật khẩu, các kí tự, và giá trị bộ đếm mong muốn cho một máy tính cục bộ để tạo ra mật khẩu dùng một lần phù hợp, sau đó có thể truyền mật khẩu này trên mạng... 1.3 Ứng dụng của OTP 1.3.1 Ứng dụng trong xác thực giao dịch Hiện nay, mật khẩu sử dụng một lần thường được sử dụng khá phổ biến trong lĩnh vực ngân hàng nhằm tăng tính bảo mật cho các giao dịch thanh toán như chuyển khoản, chuyển tiền, … Thông thường có hai hình thức xác thực giao dịch mà ngân hàng thường sử dụng, đó là: - Hệ thống sử dụng Token sinh OTP đồng bộ theo thời gian thực: Hệ thống này sử dụng. .. xác thực và người dùng phải đồng bộ với nhau Mỗi lần một người dùng được xác thực thành công, bên xác thực sẽ chỉ chấp nhận một OTP kếtiếp được sinh ra bởi thuật toán Không giống OTP dựa trên thời gian, OTP dựa trên toán học chỉ có giá trị cho một lần sử dụng và không bị tấn công như đã mô tả ở trên khi mà mật khẩu được sử dụng nhiều lần trong một khoảng thời gian Và việc đồng bộ hóa đồng hồ và sai số ... tuyến hệ thống ngân hàng Đồ án "Nghiên cứu mật sử dụng lần ứng dụng" lựa chọn với mục đích nghiên cứu sâu mật sử dụng lần, phương pháp sinh tạo mật sử dụng lần ứng dụng Từ việc phân tích ưu, nhược... dụng lần, kỹ thuật sinh chuyển giao mật lần ứng dụng vào xác thực giao thức trực tuyến Cụ thể, nội dung đồ án thực hiện: - Nghiên cứu tổng quan mật sử dụng lần ứng dụng mật sử dụng lần - Nghiên cứu. .. OTP ứng dụng Giới thiệu tổng quan mật sử dụng lần (OTP): khái quát mật sử dụng lần ưu, nhược điểm mật sử dụng lần Giới thiệu tổng quan ứng dụng mật sử dụng lần NGUYỄN VIỆT HUY D09CNPM2 Page |