i LỜI CẢM ƠN Tôi xin chân thành cảm ơn Trường Đại học Công nghệ thông tin Truyền thông -Đại học Thái Nguyên tạo điều kiện thuận lợi cho hoàn thành khóa học Tôi xin chân thành cảm ơn Thầy Cô giáo – Các nhà khoa học trực tiếp giảng dạy truyền đạt kiến thức chuyên ngành Khoa học máy tính cho tháng năm học tập trường Đặc biệt xin bày tỏ lòng biếtơn chân thành sâu sắc tới TS Trần Đức Sự tận tình hướng dẫn, dìu dắt bảo cho kiến thức chuyên môn thiết thực dẫn khoa học quý báu để hoàn thành luận văn Luận văn nhiều thiếu sót, mong thầy cô giáo hội đồng chấm luận văn xem xét, góp ý kiến để luận văn hoàn thiện Tôi xin chân thành cảm ơn! Thái Nguyên, tháng năm 2016 ii LỜI CAM ĐOAN Tôi xin cam đoan luận văn "Nghiên cứu, tìm hiểu phương pháp xác thực dùng mật sử dụng lần (OTP) ứng dụng giao dịch trực tuyến" công trình nghiên cứu hướng dẫn khoa học TS Trần Đức Sự Các kết liệu sử dụng luận văn trung thực chưa công bố tại công trình khác Tác giả luận văn Nguyễn Thành Long iii DANH MỤC BẢNG VÀ HÌNH VẼ Hình 2.1 Xác thực mật lần theo Lamport 15 Hình 2.2 Tấn công MITD lên giao thức xác thực sử dụng OTP theo Lamport 16 Hình 2.3 Thiết bị phần cứng Token sinh mật OTP 18 Hình 2.4 Chia sẻ giá trị bí mật sinh OTP hai bên xác thực 18 Hình 2.5 Sơ đồ mô tả thuật toán HOTP sinh mật OTP 19 Hình 2.6 Sơ đồ tổng thể xác thực với OTP sinh phía verifier 24 Hình 2.7 Mô hình chức DRBG 26 Hình 2.8 Tin nhắn SMS cung cấp mật OTP 30 Hình 2.9 Email cung cấp mật OTP 31 Hình 2.10 Lựa chọn dịch vụ ngân hàng để giao dịch 34 Hình 2.11 Thông tin khách hàng thực giao dịch 34 Hình 2.12 Xác nhận giao dịch ngân hàng 35 Hình 2.13 Website Thương mại điện tử 36 Hình 2.14 Cổng toán sử dụng xác thực với OTP 40 Hình 2.15 Nhập mật OTP xác thực thông tin toán 41 Hình 3.1 Quá trình đăng ký 44 Hình 3.2 Quá trình trình sinh mã OTP 45 Hình 3.3 Quá trình xác thực mã OTP 45 Hình 3.4 Mô hình sử dụng OTP để xác thực tài khoản hệ thống học trực tuyến 47 Hình 3.5 Xác thực thông tin người học 48 Hình 3.6 Mật OTP sinh máy tính người dùng 48 Hình 3.7 Mật OTP xác thực 49 Hình 3.8 Giao diện nội dung thi 49 iv DANH MỤC KÝ HIỆU VÀ VIẾT TẮT Kýhiệu Ýnghĩacủakýhiệu OTP One Time Password PIN Personal Identification Number DRBG PRNG Deterministic Random Bit Generator Pseudorandom Number Generator HOTP HMAC-Based One-Time Password Algorithm TOTP Time - Based One Time Password HMAC Hash message authentication code MITD Man-in-the-middle Claimant Bên yêu cầu xác thực Verifier Bên xác thực C Counter K Key T Time CSDL Cơ sở liệu v MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN ii DANH MỤC BẢNG VÀ HÌNH VẼ iii MỤC LỤC v MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ XÁC THỰC 1.1 Khái niệm xác thực 1.2 Các yếu tố xác thực 1.3 Một số phương pháp xác thực 1.3.1 Xác thực dựa định danh người sử dụng (Username) mật (Password) 1.3.2 Sử dụng giao thức bắt tay có thử thách (Challenge Handshake Authentication Protocol – CHAP) 1.3.3 Xác thực Kerberos 1.3.4 Xác thực sử dụng token 1.3.5 Xác thực áp dụng phương pháp nhận dạng sinh trắc học (Biometrics) 1.3.6 Phương thức xác thực lẫn (Mutual Authentication) 1.3.7 Xác thực đa yếu tố CHƯƠNG 2: PHƯƠNG PHÁP XÁC THỰC SỬ DỤNG MẬT KHẨU MỘT LẦN (OTP) 10 2.1 Giới thiệu mật OTP 10 2.1.1 Khái niệm mật OTP 10 2.1.2 Mục đích ý nghĩa mật OTP 10 2.1.3 Yêu cầu mật OTP 12 2.1.4 Phân loại chế sử dụng mật OTP 12 vi 2.2 Xác thực với otp sinh phía claimant 13 2.3 Xác thực với OTP sinh hai phía 16 2.3.1 Sinh OTP dựa việc đồng bộ đếm 16 2.3.2 Sinh OTP dựa việc đồng thời gian 20 2.4 Xác thực với OTP sinh phía verifier 24 2.4.1 Sơ đồ tổng thể xác thực với OTP sinh phía verifier 24 2.4.2 Sinh số ngẫu nhiên theo NIST SP 800-90A 25 2.4.3 Phương pháp phân phối OTP 29 2.5 Một số ứng dụng OTP thực tế 32 2.5.1 Ứng dụng OTP giao dịch ngân hàng 32 2.5.2 Ứng dụng (OTP) cho hệ thống giao dịch trực tuyến 35 CHƯƠNG 3: ỨNG DỤNG MẬT KHẨU OTP CHO HỆ THỐNG HỌC TẬP TRỰC TUYẾN 42 3.1.Đặt vấn đề 42 3.2 Ứng dụng mật OTP cho hệ thống học tập trực tuyến 43 3.2.1 Thuật toán TOTP: 43 3.2.2 Ứng dụng OTP cho việc xác thực tài khoản học tập trực tuyến 44 3.3 Xây dựng chương trình ứng dụng sinh OTP cho hoạt động học tập trực tuyến 46 3.3.1 Mô tả hoạt động hệ thống học tập trực tuyến sử dụng mật OTP 46 3.3.2 Cài đặt chương trình 47 3.3.3 Kết thử nghiệm 47 3.3.4 Đánh giá 49 KẾT LUẬN VÀ KIẾN NGHỊ 51 Kết luận 51 vii Kiến nghị 51 Hướng phát triển đề tài 51 TÀI LIỆU THAM KHẢO 52 MỞ ĐẦU Lý chọn đề tài Hiện nay, mạng Internet mở rộng nhu cầu sử dụng dịch vụ, trao đổi thông tin, liệu người dùng qua mạng tăng lên, trở thành vấn đề cần quan tâm đáp ứng Tuy nhiên, bên cạnh lợi ích mà Internetmang lại tiềm ẩn hiểm họa nguy an toàn tài khoản ngân hàng cá nhân, tài khoản toán giao dịch trực tuyến, bị đánh cắp sử dụng vào mục đích bất hợp pháp Chính vậy, có nhiều giải pháp nhằm đảm bảo an toàn cho thông tin người sử dụng triển khai thiết lập, quản lý tài khoản người dùng thông qua Username Password, xác thực truy cập sử dụng dịch vụ, số giải pháp bảo vệ hệ thống Web sử dụng hệ thống phát xâm nhập, tường lửa để ngăn chặn cảnh báo truy cập trái phép vào hệ thống, công cụ quét phát mã độc hại tiềm ẩn Website, phương pháp xác thực người dùng sử dụng dịch vụ mạng điều quan trọng, giúp đảm bảo an toàn cho hệ thống đảm bảo thông tin riêng cho người dùng Đối với phương pháp xác thực phổ biến sử dụng tài khoản đăng nhập người dùng gồm Usernamevà Password bộc lộ điểm yếu bị đánh cắp trường hợp máy tính người dùng bị cài đặt phần mềm, chương trình có khả ăn cắp liệu, hay trình trao đổi thông tin qua mạng bị nghe đường truyền, bị chuyển hướng đến trang Web chứa mã độc hại bị lừa đảo chiếm tài khoản Để đảm bảo an toàn cho người dùng, tránh nguy an toàn thông tin đó, nhà cung cấp dịch vụ áp dụng phương pháp xác thực mạnh kết hợp yếu tố có từ người dùng Username, Password, mã PIN, đặc điểm sinh trắc học, Trong đó, phương pháp xác thực hai nhân tố với mật sử dụng lần (OTP) kết hợp thông tin Username, Password người dùng áp dụng phổ biến giao dịch ngân hàng trực tuyến, mua sắm, toán giao dịch trực tuyến Website thương mại điện tử Mật OTP áp dụng giúp nâng cao an toàn cho người dùng cho hệ thống trình xác thực trước sử dụng cung cấp dịch vụ Mật OTP linh hoạt, thuận tiện cho người dùng gửi thông qua tin nhắn SMS tới số điện thoại di động, Email người dùng, hay thông qua thiết bị phần cứng Token sinh OTP trình xác thực giao dịch quan trọng ngân hàng, toán trực tuyến Trong trình thực làm luận văn tốt nghiệp thực nghiên cứu đề tài "Nghiên cứu, tìm hiểu phương pháp xác thực dùng mật sử dụng lần (OTP) ứng dụng giao dịch trực tuyến", đề tài có ý nghĩa thiết thực nghiên cứu chế sinh mật OTP, phương pháp phân phối, ứng dụng mật OTP thực tế Thông qua hiểu rõ lý mật OTP áp dụng giải pháp nhằm nâng cao độ an toàn, tin cậy trình xác thực người dùng truy cập, sử dụng dịch vụ, tài nguyên giao dịch trực tuyến Đối tượng phạm vi nghiên cứu a Đối tượng: - Tập trung nghiên cứu đối tượng mật sử dụng lần OTP b Phạm vi: - Nghiên cứu ứng dụng mật sử dụng lần OTP giao dịch trực tuyến Hướng nghiên cứu đề tài - Tìm hiểu số phương pháp xác thực - Nghiên cứu xác thực sử dụng mật OTP - Tìm hiểu số ứng dụng mật OTP thực tế - Cài đặt thử nghiệm Những nội dung nghiên cứu Luận văn trình bày chương Các nội dung luận văn trình bày theo cấu trúc sau: Chương 1: Tổng quan xác thực Trình bày khái niệm xác thực, nhân tố xác thực, số phương pháp xác thực sử dụng Chương 2: Phương pháp xác thực sử dụng mật OTP Trình bày khái niệm otp, chế sử dụng mật otp, đưa số thuật toán sinh mật otp Chương 3: Ứng dụng OTP học tập trực tuyến Trình bày mô hình hoạt động học trực tuyến, kỹ thuật sinh mật OTP, kết thử nghiệm hệ thống thi trắc nghiệm trực tuyến có sử dụng mật OTP 38 cắp thông tin tài khoản, phá hoại hệ thống, hay công từ chối dịch vụ mức cao làm ngưng trệ hoạt động hệ thống thông tin tổ chức, doanh nghiệp diễn Hơn nữa, mục tiêu mà kẻ công mạng nhằm vào thường liên quan đến trình toán trực tuyến, với mục đích khác lừa đảo, đánh cắp thông tin tài khoản cá nhân, tài khoản ngân hàng mà khách hàng sử dụng giao dịch để sử dụng vào mục đích bất hợp pháp Vấn đề quản lý rủi ro, hạn chế nguy gây an toàn cho hoạt động thương mại điện tử, đặc biệt toán giao dịch trực tuyến Website thương mại điện tử trở nên quan trọng hết Nói riêng lĩnh vực thương mại điện tử, hệ thống toán trực tuyến Website thương mại điện tử, vấn đề xác thực yêu cầu quan trọng bảo mật toán trực tuyến, nhằm xác định danh tính người mua trình toán Thông tin quan trọng khách hàng để truy cập dịch vụ thực giao dịch trực tuyến danh tính trực tuyến (Online Identity), với mục đích sử dụng thông tin để chứng thực người khách hàng đăng ký với nhà cung cấp dịch vụ trước họ truy cập, thực giao dịch trực tuyến Mục tiêu công Hackers muốn tìm cách đánh cắp chiếm danh tính trực tuyến khách hàng Các công phổ biến tận dụng Phishing, hình thức lừa đảo trực tuyến sử dụng thư điện tử giả mạo lừa người dùng cung cấp thông tin truy cập, giao dịch Website trực tuyến tài khoản đăng nhập giao dịch, tài khoản thẻ tín dụng Ngoài ra, số hình thức công khác sử dụng Keylogger, công Bruteforce để tìm mật người dùng, 39 Phương pháp xác thực trước mà Website thương mại điện tử sử dụng xác thực người dùng Username/Password, phương pháp xác thực nhân tố Khi hành vi lừa đảo ngày tinh vi, phức tạp, nguy an toàn mạng Internet gia tăng hệ thống xác thực sử dụng Username/Password không đủ mạnh để bảo vệ thông tin khách hàng Trên thực tế có nhiều công nghệ phương pháp để xác thực danh tính giao dịch trực tuyến Những phương pháp sử dụng mật khẩu, số định danh cá nhân, chứng thư số, thiết bị bảo mật vật lý Smart Card, thiết bị phần cứng sinh mật OTP, sử dụng đặc điểm sinh trắc học để bảo vệ danh tính Với phương pháp mức độ bảo mật khác nhau, phụ thuộc vào môi trường sử dụng, công nghệ triển khai xác thực sử dụng sinh trắc học thường sử dụng điều kiện đòi hỏi bảo mật cao, chi phí triển khai lại tốn Phương pháp xác thực đa nhân tố đảm bảo an toàn phương pháp xác thực đơn nhân tố để hạn chế chống lại nguy lừa đảo, giả mạo Các website thương mại điện tử lựa chọn nhà cung cấp dịch vụ toán (cổng toán) tin cậy để tránh rủi ro an toàn từ Internet bên thứ ba đảm bảo giao dịch trực tuyến Những cổng toán trực tuyến Paypal, Onepal, sử dụng chế xác thực động đa nhân tố, kết hợp với thông tin giao dịch mã hóa theo giao thức SSL giao thức bảo mật phổ biến hoạt động thương mại điện tử 40 Hình2.14 Cổng toán sử dụng xác thực với OTP Trên Website thương mại điện tử nay, để xác thực danh tính khách hàng toán giao dịch mua hàng thường sử dụng phương pháp xác thực hai nhân tố mật OTP Một số dịch vụ xác thực hai nhân tố sử dụng tảng xác thực thẻ thông minh Smart Card, phổ biến sử dụng mật lần OTP gửi tới điện thoại di động hay Email đăng ký từ trước khách hàng Việc khách hàng sử dụng e-Banking hay Internet Banking, Mobile Banking thuận tiện an toàn sử dụng xác thực hai nhân tố, cần sử dụng mật OTP có giá trị định phiên giao dịch đảm bảo an toàn cho khách hàng kết hợp Username/Password mã PIN chủ tài khoản với mật OTP quyền sở hữu thiết bị di động nhận OTP hay thiết bị phần cứng Token sinh OTP Thông thường, trình sử dụng mật lần OTP khách hàng thực toán trực tuyến gồm số bước sau: Bước 1: Khách hàng lựa chọn mặt hàng cần mua sau thực toán Bước 2: Chuyển sang giai đoạn toán, Website TMĐT yêu cầu khách hàng nhập tài khoản gồm Username Pasword mà khách hàng đăng ký từ 41 trước Nếu đăng nhập thành công, Website gửi mật OTP qua tin nhắn tới số điện thoại di động khách hàng đăng ký Bước 3: Khách hàng nhập mật OTP nhận để xác thực thông tin toán Hình2.15 Nhập mật OTP xác thực thông tin toán Bước 4: Sau nhập mật OTP để xác thực thông tin toán, khách hành xác nhận toán thành công Qua bước sử dụng mật OTP toán trực tuyến cho thấy phương pháp xác thực đảm bảo an toàn tốt cho danh tính khách hàng so với phương pháp xác thực với Username/Password, mật OTP phiên giao dịch khác (sử dụng lần cho phiên giao dịch), với thời gian hợp lệ định, tránh rủi ro tài khoản người dùng bị lộ không thực thành công mã OTP Ngoài việc hỗ trợ xác thực toán giao dịch ngân hàng, giao dịch thương mại điện tử, sử dụng hỗ trợ xác thực đăng nhập sử dụng máy tính cá nhân xác thực đăng nhập tài khoản thư điện tử,… 42 CHƯƠNG 3: ỨNG DỤNG MẬT KHẨU OTP CHO HỆ THỐNG HỌC TẬP TRỰC TUYẾN 3.1.Đặt vấn đề Sự đời đạt thành tựu đột phá Công Nghệ Thông Tin khoa học ứng dụng kỷ 20 bước đệm quan trọng cho thành tựu khoa học công nghệ kỷ 21 kỷ niên Ở kỷ 21 lại chứng kiến phát triển bậc công nghệ qua hóa thân vào vai trò công cụ đắc lực cho phát triển người Đào tạo trực tuyến đời cách mạng dạy học kỷ 21 Ứng dụng giải pháp tiên tiến công nghệ để người dạy thiết kế phương tiện truyền tải kiến thức kỹ cách hữu hiệu tới người học Ngày nay, người học ngồi đâu vào lúc để “đến trường” mà đạt hiệu học tập tốt thông qua công cụ hỗ trợ máy tính internet Ở Việt Nam, giáo dục đặc biệt giáo dục bậc đại học sau đại học, muốn rút ngắn khoảng cách chất lượng đào tạo với nước tiên tiến giới việc ứng dụng công nghệ thông tin cần thiết Học tập trực tuyến giải pháp ứng dụng công nghệ thông tin giáo dục dựa Internet nên cho phép sinh viên học lúc, nơi chủ động việc lập kế hoạch học tập Cho phép giáo viên cập nhật nội dung dạy cách thường xuyên nắm bắt mức độ thu nhận kiến thức người học thông qua hệ thống tự đánh giá Hiện nay, số trường học đặc biệt trường đai học chuyển dần sang đào tạo theo học chế tín Với lên lớp giáo viên, sinh viên phải tự học Một khó khăn hình thức việc tự học sinh viên em quen tâm lý học thụ động, thiếu kỹ tìm sử dụng tài liệu tham khảo Một khó khăn khác hình thức 43 việc giáo viên thực đánh giá học phần điểm học phần tính từ tất điểm đánh giá phận, giáo viên dễ mắc phải sai sót kết đánh giá không khách quan Ngoài ra, nhà trường phải tốn khoản chi phí không nhỏ cho khâu tổ chức thi như: cung cấp giấy làm bài, photo đề thi, … Để góp phần giải khó khăn học tập trực tuyến giải pháp hỗ trợ phù hợp Tuy nhiên hoạt động học tập thường diễn môi trường có kết nối mạng Internet thông tin tài khoản, cá nhân dễ bị công Kẻ xấu sử dụng thông tin chiếm đoạt vào mục đích bất hợp pháp gây ảnh hưởng lớn tới người dùng Và vấn đề đảm bảo an toàn thông tin cho người dùng (ở học viên học tập trực tuyến) quan tâm hoạt động Với nội dung nghiên cứu luận văn em xin đưa giải pháp ứng dụng mật OTP cho hoạt động học tập trực tuyến 3.2 Ứng dụng mật OTP cho hệ thống học tập trực tuyến 3.2.1 Thuật toán TOTP: Độ an toàn mã OTP phụ thuộc tính bảo mật hàm băm Tất hệ thống sử dụng OTP phải hỗ trợ MD5 nên hỗ trợ SHA hỗ trợ MD4 Khi xây dựng ứng dụng sinh mật OTP cho hệ thống học tập trực tuyến em tìm hiểu sử dụng thuật toán TOTP thuật toán sinh mật OTP dựa hàm hash SHA-1 Thuật toán trình bày chương (Mục 2.3.2) Trong ứng dụng máy tính người học viên tham gia học tập trực tuyến server sử dụng hàm băm an toàn SHA-1 cho việc sinh xác thực mã OTP Bên máy tính cá nhân mã OTP tạo với tham số: (thời gian thực username/password) 44 Bên phía server thực băm với đầu vào thời gian thực, username/password người dùng để sinh mã OTP Kết đem so sánh với mã OTP mà người dùng nhập vào để đưa định Các tham số đầu vào để tạo mã OTP hệ thống:  Username/password: Dạng chuỗi  Thời gian thực: Thời gian bao gồm: Năm, tháng, ngày, giờ, phút Các tham số kết nối với đưa qua hàm băm SHA-1 Đầu chuyển dạng dễ sử dụng cho người dùng gồm ký tự 3.2.2 Ứng dụng OTP cho việc xác thực tài khoản học tập trực tuyến Trong phạm vi luận văn, em xây dựng hệ thống sử dụng OTP để xác thực tài khoản hệ thống học tập trực tuyến Hệ thống bao gồm: học viên, web server thiết bị người sử dụng dùng để tạo mã OTP (ở máy tính cá nhân cài đặt chương trình có khả sinh mã OTP đồng thời gian với server ) Để thực việc xác thực hai yếu tố Người học viên phải đăng kí tài khoản với nhà cung cấp dịch vụ (server) Server cung cấp cho người sử dụng thông tin tài khoản để xác thực hệ thống Những thông tin lưu vào sở liệu server Server Học viên Đăng ký thông tin (Username, password) Account(Username, password) Hình 3.1 Quá trình đăng ký Lưu thông tin vào CSDL 45 Người sử dụng cần xác thực trang web Sẽ chạy chương trình ứng dụng thiết bị có khả sinh mã OTP ( Ở máy tính cá nhân) họ Sau nhập thông tin mà chương trình yêu cầu để lấy mã OTP User Nhập thông tin (username, password.) Thiết bị sinh mã OTP Sinh mã OTP Mã OTP Hình 3.2 Quá trình trình sinh mã OTP Sau lấy mã OTP Học viên nhập vào trang web với usename password mà họ đăng kí với nhà cung cấp dịch vụ Server sau nhận thông tin xác thực khách hàng tiến hành kiểm tra hợp lệ thông tin trả lại kết xác thực cho khách hàng Quá trình mô tả hình 3.3 User Website server Nhập thông tin (username, password, mã OTP) Xác thực tài khoản Thông tin xác thực Hình 3.3 Quá trình xác thực mã OTP 46 3.3 Xây dựng chương trình ứng dụng sinh OTP cho hoạt động học tập trực tuyến 3.3.1 Mô tả hoạt động hệ thống học tập trực tuyến sử dụng mật OTP PC Trình duyệt web Người dùng Bắt đầu Server Gửi thông tin đến server Yêu cầu xác thực tài khoản Sinh mã OTP Nhập thông tin mã OTP Sinh mã OTP Nhận Thông tin tài khoản mã otp gửi đến server thông tin Sai Kiểm tra Đúng Kết thúc Đăng xuất Hoạt động học tập Thông báo thành công Thực Xác thực 47 Hình 3.4 Mô hình sử dụng OTP để xác thực tài khoảnn hhệ thống học trực tuyến Để mô ứng ứ dụng OTP cho việc xác thựcc thông tin tài khoản kho hoạt động học tậập trực tuyến, em xây dựng mô hình dự ựa chế sinh mật OTP cảả hai phía áp dụng thuật toán TOTP Mô hình sinh mậật OTP xác thực áp dụng ng ho hoạt động học tập trực tuyến đượcc mô ttả hình 3.4 3.3.2 Cài đặtt chương trình tr Phần mềm m bên server đư xây dựng dạng ng webserver Phía server dựaa vào thông tin tài kho khoản mã OTP mà người họcc viên tham gia hhọc tập trực tuyến cung cấp đưa định cho phép xác thựcc ttừ chối yêu cầu Phía Người sử d dụng chạy chương trình ứng dụng tạạo mã OTP cài đặt tạii máy tính cá nhân nhân Chương trình ứng dụng ng đư xây dựng tảng ngôn ngữ ữ java chạy hệ điềuu hành Windows Môi trư trường xây dựng ứng dụng ng eclipse (Eclipse ( IDE for Java Developer) 3.3.3 Kết thử nghi nghiệm - Nhập thông tin user, pass pass Thông tin gửi đến n server đư CSDL server lưu trữ 48 Hình 3.5 3.5 Xác thực thông tin người học Chạy chương trình ình ứng dụng sinh mật OTP máy tính cá nhân để sinh mật u OTP Mật M OTP sinh “D:\temp\eclipse eclipse\key.txt.” Hình 3.6 Mậ ật OTP sinh máy tính ngườii dùng Sau người dùng nhậập mật chờ server xác thực Nếu Ở Tab phản hồitrảả result =1 xác thực result = mã OTP không 49 Hình 3.7 3.7 Mật OTP xác thực Sau xác thựcc thành công tài khoản kho có sử dụng mậtt kh OTP học viên tiếp tục thực n công côn việc liên quan đến họcc tâp ( thực làm thi trắcc nghi nghiệm) Hình 3.8 Giao di diện nội dung thi Sau hoàn thành công việc vi học tập Người họcc viên cần c đăng xuất để kếtt thúc phiên làm viêc T Tới phiên đăng nhập lần kế tiếếp học viên nhận mật u OTP khác v với mật trước Điềuu làm tăng đđộ an toàn cho thông tin củ học viên 3.3.4 Đánh giá  Về độ an toàn: Các ác m mật otp sinh an toàn khó đoán trước trư  Khả ứng ng d dụng hệ thống: Hiện hệ thống ng th áp dụng cho website học tậập trực tuyến Cách thức hoạt động ng th đảm bảo an toàn cho người học thông tin cá nhân, hoạt động học tập, nộii dung hhọc tập  Hạn chế hệ thống: Thuật toán sinh mật khẩuu otp sử s dụng chương trình sinh h m số lượng otp giới hạn Nghĩa làà kho m mật otp sử dụng hếtt s sảy lặp lại mật Bên cạnh nh đđó mô hình 50 sinh mật otp có hạn chế tính linh hoạt sử dụng Nghĩa người muốn sử dụng hệ thống định phải có máy tính cá nhân, thiết bị di độngmuốn hỗ trợ phải cài đặt số phần mềm tương đối khó khăn  Mật OTP sinh theo thuật toán TOTP đảm bảo độ an toàn thông tin Tuy nhiên, thực tế hệ thống học tập trực tuyến trình bày muốn đưa vào sử dụng đảm bảo tính toàn vẹn thông tin cần phải kết hợp với số phương pháp xác thực khác (Ví dụ như: nhận diện hình ảnh trường hợp học viên nhờ người “học hộ”) 51 KẾT LUẬN VÀ KIẾN NGHỊ Kết luận Phương pháp xác thực mật OTP mang lại nhiều an toàn thông tin cho người sử dụng, phương pháp ứng dụng rộng rãi nhiều lĩnh vực khác Bằng cách sử dụng số thuật toán mật mã khó đoán trước nên công hacker, mã độc giảm thiểu Tuy nhiên chuyên gia khuyến cáo dù phương thức bảo mật có lỗ hổng bị công Do người dùng cần phải cảnh giác với thay đổi bất thường thông tin Kiến nghị Chương trình sau hoàn thiện đưa vào thực tế hoạt động giúp đảm bảo an toàn thông tin cho người học tập trực tuyến Tuy nhiên để hệ thống hoạt động tốt cần phải kết hợp với số phương pháp xác thực khác để đảm bảo tính toàn vẹn thông tin Hướng phát triển đề tài Sau thực chương trình với kỹ thuật sinh mật otp hai phía lý thuyết chế sinh mật an toàn, nhiên thực tế để ứng dụng xác thực thông tin người dùng hoạt động trực tuyến cần kết hợp với số hình thức xác thực khácđể đảm bảo độ an toàn cao cho thông tin, hướng nghiên cứu đề tài nghiên cứu sốphương pháp xác thực có độ an toàn cao cho thông tin sinh trắc học 52 TÀI LIỆU THAM KHẢO Tài liệu tiếng việt [1]Nguyễn Bình, Trần Đức Sự (2011), Cơ sở lý thuyết mật mã, Nxb Bộ thông tin truyền thông, Hà nội [2] Nguyễn Ngọc Cương, Trần Thị Lượng (2013), Giáo trình Mật mã ứng dụng an toàn thông tin, Nxb Học viện Kỹ thuật mật mã, Hà nội [3] Trần Đức Sự, Nguyễn Văn Tảo, Trần Thị Lượng (2015), An toàn bảo mật liệu, Nxb Đại học Thái Nguyên, Thái Nguyên [4] Nguyễn Vạn Phúc, Lê Trọng Hiệp (2011), "Bảo mật giao dịch sử dụng công nghệ xác thực OTP", Tạp chí An toàn thông tin tháng 7/2011 [5] Đặng Mạnh Phổ (2011), "Ứng dụng xác thực đa yếu tố giao dịch ngân hàng điện tử", Tạp chí An toàn thông tin tháng 7/2011 Tài liệu tiếng anh [6] Behrouz A.Forouzan (2007), Cryptography and Network security (Chapter 14), McGraw Hill [7] M Matsumoto and M Saito (2006), “SIMD-oriented fast Mersenne twister: a 128-bit pseudorandom number generator” in Proceeding of MCQMC [...]... MẬT KHẨU MỘT LẦN (OTP) 2.1 Giới thiệu về mật khẩu OTP Mật khẩu sử dụng một lần (OTP) hiện nay đang được sử dụng để xác thực trong các giao dịch ngân hàng, giao dịch trực tuyến, Và mật khẩu OTP có những ưu điểm giúp nâng cao an toàn cho người dùng trong quá trình xác thực nhằm tránh được các rủi ro mất an toàn thông tin 2.1.1 Khái niệm mật khẩu OTP Mật khẩu sử dụng một lần (OTP) là loại mật khẩu chỉ dùng. .. trong giao dịch ATM, thẻ ngân hàng và mã số định danh cá nhân (PIN) được sử dụng – trong trường hợp này là một trong các dạng xác thực hai yếu tố (two – factor authentication – 2FA) 1.3 Một số phương pháp xác thực Hiện nay, trong các giao dịch trực tuyến, một số phương pháp xác thực phổ biến gồm: 1.3.1 Xác thực dựa trên định danh người sử dụng (Username) và mật khẩu (Password) Sự kết hợp của một cặp Username... chủ xác thực của bên cung cấp dịch vụ cho người dùng sẽ thực hiện sinh mật khẩu OTP Trên máy trạm phía người dùng sẽ sử dụng ứng dụng sinh mật khẩu OTP, sau đó khi xác thực, máy chủ sẽ kiểm tra mật khẩu OTP sinh ra trên máy trạm từ phía người dùng có giống với mật khẩu OTP được sinh ra trên máy chủ hay không Nếu mật khẩu OTP giống nhau, người dùng sẽ được xác thực và sử dụng dịch vụ của hệ thống Trong. .. các giao dịch trực tuyến của ngân hàng, giao dịch trên các Website thương mại điện tử, giao dịch chứng khoán, 12 2.1.3 Yêu cầu đối với mật khẩu OTP Như đã trình bày trong chương I, mật khẩu một lần (OTP) thường được sử dụng như là nhân tố xác thực thứ hai, giúp tăng tính an toàn trong pha xác thực và mật khẩu OTP chỉ có giá trị một lần Tuy nhiên, nếu kẻ tấn công có khả năng đoán được giá trị OTP ở lần. .. mật và vấn đề xác thực với tài khoản khách hàng rất quan trọng Giải pháp xác thực kết hợp với mật khẩu OTP được sử dụng khá nhiều trong các giao dịch ngân hàng hiện nay Mỗi khách hàng khi thực hiện giao dịch ngân hàng trực tuyến đầu tiên sẽ đăng nhập bằng tài khoản gồm Username/Password, sau đó để xác thực đúng tài khoản khách hàng đang thực hiện giao dịch thì ngân hàng sẽ sử dụng kết hợp với mật khẩu. .. người sử dụng Do vậy, trên thực tế để cân bằng giữa an toàn, bảo mật và tính tiện dụng, người ta thường áp dụng xác thực hai yếu tố và xác thực ba yếu tố (three-factor authentication- 3FA) Xác thực đa yếu tố dù có mức độ an toàn, bảo mật cao hơn, nhưng cũng cần các biện pháp nghiệp vụ khác để bảo đảm tuyệt đối an toàn trong các hoạt động giao dịch trực tuyến 10 CHƯƠNG 2: PHƯƠNG PHÁP XÁC THỰC SỬ DỤNG MẬT... với n là số lần áp dụng hàm f lên giá trị mầm s Ở đây cần lưu ý rằng các mật khẩu này khi đưa vào sử dụng thì được lấy theo thứ tự ngược lại vì vậy khi một người nào đó có mật khẩu sử dụng một lần chỉ sử dụng cho một phiên liên lạc duy nhất, nên không thể dùng mật khẩu này cho phiên liên lạc khác để truy cập vào hệ thống Để có được mật khẩu trong dãy từ mật khẩu của lần truy cập trước đó để dùng cho phiên... nhất định Phương pháp sử dụng kết hợp Username/Password thông thường với mật khẩu OTP sẽ đảm bảo hơn trong quá trình xác thực người dùng, còn được gọi là phương pháp xác thực hai nhân tố Trong đó gồm mật khẩu cố định của người dùng, và mật khẩu OTP được sinh ra từ hệ thống cung cấp dịch vụ như hệ thống giao dịch ngân hàng, chứng khoán, thương mại điện tử, 2.1.2 Mục đích và ý nghĩa của mật khẩu OTP... trình bày trong mục 2.14 đại diện tiêu biểu cho cơ chế xác thực với OTP được sinh ở phía claimant là các lược đồ xác thực sử dụng mật khẩu một lần Lamport Thuật toán Leslie Lamport được sử dụng để tạo ra mật khẩu mới dựa trên mật khẩu trước đó bằng cách áp dụng một hàm một chiều f Hệ thống OTP làm việc dựa trên một giá trị mầm khởi tạo s để sinh mật khẩu lần đầu tiên, sau đó sinh ra các mật khẩu với... kiểm chứng ít nhất là hai yếu tố xác thực Phương thức này là sự kết hợp của bất cứ yếu tố xác thực nào, ví dụ như yếu tố đặc tính sinh trắc của người dùng hoặc những gì người dùng biết để xác thực trong hệ thống Với xác thực đa yếu tố, ngân hàng có thể tăng mức độ an toàn, bảo mật cho giao dịch trực tuyến lên rất nhiều nhờ việc kiểm chứng nhiều yếu tố xác thực Ví dụ như xác thực chủ thẻ trong giao dịch ... động giao dịch trực tuyến 10 CHƯƠNG 2: PHƯƠNG PHÁP XÁC THỰC SỬ DỤNG MẬT KHẨU MỘT LẦN (OTP) 2.1 Giới thiệu mật OTP Mật sử dụng lần (OTP) sử dụng để xác thực giao dịch ngân hàng, giao dịch trực tuyến, ... cứu, tìm hiểu phương pháp xác thực dùng mật sử dụng lần (OTP) ứng dụng giao dịch trực tuyến" , đề tài có ý nghĩa thiết thực nghiên cứu chế sinh mật OTP, phương pháp phân phối, ứng dụng mật OTP thực. .. trung nghiên cứu đối tượng mật sử dụng lần OTP b Phạm vi: - Nghiên cứu ứng dụng mật sử dụng lần OTP giao dịch trực tuyến Hướng nghiên cứu đề tài - Tìm hiểu số phương pháp xác thực - Nghiên cứu xác