BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP Nghiên cứu phương pháp phát công mạng dựa hành vi người sử dụng xác thực đa yếu tố Ngành: An tồn thơng tin Mã số: 7.48.02.02 Hà Nội, 2022 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP Nghiên cứu phương pháp phát công mạng dựa hành vi người sử dụng xác thực đa yếu tố Ngành: An toàn thông tin Mã số: 7.48.02.02 Sinh viên thực hiện: Nguyễn Trường Giang Lớp: AT14H Người hướng dẫn: ThS Đồng Thị Thuỳ Linh Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2022 LỜI CAM ĐOAN Tôi xin cam đoan báo cáo đồ án An tồn thơng tin “Nghiên cứu phương pháp phát công mạng dựa hành vi người sử dụng xác thực đa yếu tố” cơng trình nghiên cứu riêng tôi, không chép lại người khác Trong toàn nội dung báo cáo, điều trình bày cá nhân tổng hợp từ nhiều nguồn tài liệu Tất nguồn tài liệu tham khảo có xuất xứ rõ ràng hợp pháp Tơi xin hồn tồn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan Hà Nội, ngày tháng năm 2022 SINH VIÊN THỰC HIỆN Nguyễn Trường Giang Mục Lục LỜI CAM ĐOAN Chương 1: Tìm hiểu tổng quan phương pháp xác thực 1.1 Khái niệm xác thực 1.2 Các yếu tố xác thực 1.3 Mơ hình xác thực thực tế 1.3.1 Mơ hình xác thực yếu tố 1.3.2 Mơ hình xác thực liên tục 1.3.3 Mơ hình xác thực kết hợp 1.3.4 Mơ hình xác thực đa yếu tố 1.4 Một số phương pháp xác thực 1.4.1 Xác thực dựa định danh người sử dụng (Username) mật (Password) 1.4.2 Sử dụng giao thức bắt tay có thử thách (Challenge Handshake Authentication Protocol – CHAP) 10 1.4.3 Xác thực Kerberos 10 1.4.4 Xác thực sử dụng token 10 1.4.5 Xác thực áp dụng phương pháp nhận dạng sinh trắc học (Biometrics) 11 1.4.6 Phương thức xác thực lẫn (Mutual Authentication) .11 Chương 1: Tìm hiểu tổng quan phương pháp xác thực 1.1 Khái niệm xác thực Xác thực (Authentication) việc xác lập chứng thực thực thể (người hay đó) đáng tin cậy, có nghĩa thơng tin người đưa đắn Xác thực đối tượng cịn có nghĩa cơng nhận nguồn gốc đối tượng, cịn xác thực người thường bao gồm việc thẩm tra nhận dạng cá nhân họ Việc xác thực thường phụ thuộc vào nhiều yếu tố xác thực (authentication factor) làm minh chứng cụ thể Xác thực khâu đặc biệt quan trọng để bảo đảm an toàn cho hoạt động hệ thống thơng tin Đó quy trình nhằm xác minh nhận dạng số (digital identity) bên gửi thông tin (sender) liên lạc trao đổi, xử lý thông tin, chẳng hạn yêu cầu đăng nhập Bên gửi cần phải xác thực người sử dụng máy tính, thân máy tính phần mềm Đầu tiên, hệ thống ln xác thực thực thể cố gắng thử thiết lập liên lạc Khi đó, nét nhận dạng thực thể dùng để xác định truy nhập thực thể đặc quyền để đạt sẵn sàng phục vụ Đối với giao dịch ngân hàng điện tử điển giao dịch qua ATM/POS, giao dịch Online/Internet Banking, giao dịch Mobile Banking xác thực bắt buộc quản lý truy cập 1.2 Các yếu tố xác thực Những yếu tố xác thực cho người sử dụng phân loại sau: - Những mà người sử dụng sở hữu bẩm sinh, chẳng hạn dấu vân tay mẫu dạng võng mạc mắt, chuỗi ADN, mẫu dạng giọng nói, chữ ký, tín hiệu sinh điện đặc thù thể sống tạo ra, định dạng sinh trắc học khác - Những người sử dụng có, chẳng hạn chứng minh thư, chứng an ninh (security token), chứng phần mềm (software token) điện thoại di động - Những người sử dụng biết, chẳng hạn mật (password), mật ngữ (passphrase) mã số định danh cá nhân (personal identification number PIN) Trong thực tế, nhiều tổ hợp yếu tố sử dụng, lúc người ta nói đến xác thực đa yếu tố Chẳng hạn giao dịch ATM, thẻ ngân hàng mã số định danh cá nhân (PIN) sử dụng – trường hợp dạng xác thực hai yếu tố (two – factor authentication – 2FA) 1.3 Mơ hình xác thực thực tế 1.3.1 Mơ hình xác thực yếu tố Xác thực yếu tố, thường có nghĩa xác thực mật (tức loại xác thực phổ biến nhất) Tuy nhiên, mơ hình áp dụng cho tảng xác thực sử dụng yếu tố; Ngay xác thực sinh trắc học rơi vào trường hợp Xác thực yếu tố đơn coi yếu tất mơ hình xác thực Mật dễ dàng bị bẻ khóa, đốn bị đánh cắp - tài khoản phương tiện truyền thông xã hội cung cấp thơng tin cần thiết cho tin tặc - chí mật bán web đen Nhưng chuyển sang mơ hình xác thực sinh trắc học (mạnh cách khách quan), khiến tài khoản người dùng dễ bị công Một hệ thống xác thực yếu tố, yếu tố mà sử dụng, lớp bảo mật hacker nạn nhân 1.3.2 Mơ hình xác thực liên tục Xác thực liên tục (continoues authentication) phương thức xác minh nhằm cung cấp xác nhận danh tính bảo vệ an ninh mạng phiên làm việc diễn Bằng cách liên tục đo lường xác suất mà người dùng cá nhân người mà họ tuyên bố người dùng hợp pháp, xác thực liên tục xác thực người dùng không lần mà khơng ngừng tồn phiên Tập trung vào việc cung cấp xác minh nhận dạng thông minh, an tồn mà khơng làm gián đoạn quy trình làm việc, xác thực liên tục triển khai cách sử dụng máy học máy (ML) nhiều yếu tố bao gồm mẫu hành vi sinh trắc học Mặc dù xác thực liên tục tương đối mới, loại xác minh thu hút ý cơng ty tìm cách để ngăn chặn quyền truy cập trái phép vào liệu kinh doanh quan trọng Các hình thức xác minh truyền thống xác thực yếu tố (SFA), cung cấp bảo vệ đăng nhập xác thực hai yếu tố (2FA), thêm lớp bảo mật thứ hai đăng nhập, không cung cấp xác thực liên tục nhận dạng người dùng Nhu cầu chiến lược danh tính quản lý truy cập (IAM) xác thực liên tục phát triển tốc độ nhanh chóng tiến kỹ thuật số escalating cybercrime Giải pháp IAM với chức xác thực liên tục liên tục thu thập thông tin hành động mơ hình hành vi thường xun người dùng học cách phân biệt hành vi bình thường bất thường người dùng dựa liệu thu thập Dựa phân tích hành vi người dùng, truy cập vào hệ thống cấp xác minh nhận dạng người dùng bổ sung yêu cầu Phương sai không quán hành vi tương tác người dùng với hệ thống đo đặc điểm sinh học người dùng xác định liên tục phiên Ngoài ra, người dùng có biểu lạ bị xâm phạm, quyền truy cập bị thu hồi phiên ứng dụng kết thúc Các phương thức thay đổi đốm bao gồm sử dụng tổ hợp phím, video, dấu vân tay, chạm vào (áp suất ngón tay áp dụng) đặc điểm khn mặt vị trí mắt, kích thước học sinh tần suất chớp mắt Một ứng dụng có chức xác thực liên tục liên tục tính tốn "Điểm xác thực" để xác định mức độ chắn chủ sở hữu tài khoản người sử dụng thiết bị Tùy thuộc vào điểm số, người dùng nhắc nhập thêm thông tin mật khẩu, thẻ dấu vân tay Có nhiều cơng nghệ hỗ trợ phương thức xác thực liên tục này: Cảm biến vật lý sử dụng để theo dõi cách di chuyển độc đáo người dùng Ví dụ: cách người dùng giữ điện thoại định vị bàn tay cụ thể chuyển động mang sử dụng thiết bị Nhận dạng khuôn mặt- Nhận dạng khuôn mặt thường sử dụng cho mục đích xác thực (như truy cập điện thoại di động) áp dụng để xác thực người dùng liên tục Sinh trắc học hành vi sinh lý - mẫu hành vi người dùng cử tương tác, cách người dùng gõ chạm, áp suất ngón tay, thời gian người dùng giữ phím bàn phím sử dụng chuột theo dõi liên tục Phương sai từ định mức sau tô sáng gắn cờ Xác thực giọng nói - mẫu giọng nói (I.E Chú ý thay đổi cao độ tần số) theo dõi để xác thực liên tục Những phẩm chất ngồi thơng thường quan sát cách liên tục theo dõi âm đầu vào trị chuyện kiểm sốt sử dụng để so sánh Sử dụng sinh trắc học hành vi (hoặc kết hợp hành vi đặc điểm sinh học cá nhân) giúp ngăn chặn kẻ mạo danh, bot kẻ lừa đảo với ý định xấu Mục tiêu cải thiện an ninh mà không ảnh hưởng tiêu cực đến trải nghiệm người dùng Nếu không xác thực liên tục, tổ chức dễ bị công nhiều vectơ công mối đe dọa an ninh mạng Ví dụ, hệ thống thực người dùng dừng sử dụng phiên mở Các mối đe dọa xảy khác Ngày nay, khả xác thực liên tục tích hợp trực tiếp vào ứng dụng, tiêu chuẩn để thực điều nhiều ứng dụng chưa có sẵn Ngồi ra, cơng nghệ đại thực xác thực liên tục nhiều so với trước đây, chấp nhận từ người dùng vấn đề Xác thực liên tục bước xa số người nhìn thấy xâm phạm riêng tư người không thoải mái bị theo dõi Tương tự, vấn đề quyền riêng tư tuân thủ điều khoản phát sinh Cân mối quan tâm quyền riêng tư lợi ích bảo mật chìa khóa để chấp nhận xác thực liên tục 1.3.3 Mơ hình xác thực kết hợp Xác thực kết hợp kết hợp khía cạnh mạnh xác thực đa yếu tố mơ hình xác thực liên tục Như vậy, cân hiệu bảo mật hiệu suất Xác thực kết hợp cho phép người dùng đăng nhập với thông tin đăng nhập bản, chí mật Là đánh đổi, hệ thống tương tự cho phép người dùng truy cập vào tài nguyên không quan trọng Nếu người dùng muốn truy cập sở liệu ứng dụng nhạy cảm hơn, phải cung cấp nhiều yếu tố xác thực 1.3.4 Mơ hình xác thực đa yếu tố Xác thực đa yếu tố (Multi-Factor Authentication) phương thức xác thực dựa nhiều yếu tố xác thực kết hợp, mơ hình xác thực u cầu kiểm chứng hai yếu tố xác thực Phương thức kết hợp yếu tố xác thực nào, ví dụ yếu tố đặc tính sinh trắc người dùng người dùng biết để xác thực hệ thống Với xác thực đa yếu tố, ngân hàng tăng mức độ an toàn, bảo mật cho giao dịch trực tuyến lên nhiều nhờ việc kiểm chứng nhiều yếu tố xác thực Ví dụ xác thực chủ thẻ giao dịch ATM, yếu tố xác thực khách hàng thẻ ATM (cái khách hàng có), sau đưa thẻ vào máy, khách hàng phải đưa tiếp yếu tố xác thực thứ hai số PIN (cái khách hàng biết) Một ví dụ khác xác thực người sử dụng dịch vụ giao dịch Internet Banking: khách hàng đăng nhập với Username Password sau cịn phải cung cấp tiếp OTP (One - Time Password) sinh token riêng khách hàng An toàn, bảo mật giao dịch trực tuyến quan trọng, xác thực người sử dụng khâu cốt lõi Với xác thực đa yếu tố, ta tăng mức độ an tồn, bảo mật nhờ việc kiểm chứng nhiều yếu tố xác thực Mức độ an toàn bảo mật cao số yếu tố xác thực nhiều Khi số yếu tố xác thực lớn hệ thống phức tạp, kéo theo chi phí đầu tư trì vận hành tốn kém, đồng thời lại bất tiện cho người sử dụng Do vậy, thực tế để cân an tồn, bảo mật tính tiện dụng, người ta thường áp dụng xác thực hai yếu tố xác thực ba yếu tố (three-factor authentication- 3FA) Xác thực đa yếu tố dù có mức độ an tồn, bảo mật cao hơn, cần biện pháp nghiệp vụ khác để bảo đảm tuyệt đối an toàn hoạt động giao dịch trực tuyến 1.4 Một số phương pháp xác thực Hiện nay, giao dịch trực tuyến, số phương pháp xác thực phổ biến gồm: 1.4.1 Xác thực dựa định danh người sử dụng (Username) mật (Password) Sự kết hợp cặp Username Password cách xác thực phổ biến Với phương thức xác thực này, thông tin cặp username password nhập vào đối chiếu với liệu lưu trữ hệ thống Nếu thơng tin trùng khớp người sử dụng xác thực, cịn khơng người sử dụng bị từ chối cấm truy cập Phương thức xác thực có tính bảo mật khơng cao, thơng tin cặp Username Password dùng đăng nhập vào hệ thống mà ta gửi xác thực tình trạng ký tự văn rõ, tức không mã hóa bị chặn bắt đường truyền, chí q trình nhập vào Password cịn bị lộ đặt đơn giản (dạng ‘123456’, ‘abc123’ v.v.) dễ đoán (tên, ngày sinh người thân ) 1.4.2 Sử dụng giao thức bắt tay có thử thách (Challenge Handshake Authentication Protocol – CHAP) Đây mơ hình xác thực dựa username/password Khi người dùng (User) thực thủ tục đăng nhập (log on), máy chủ (server) đảm nhiệm vai trò xác thực gửi thông điệp thử thách (challenge message) cho máy tính người dùng Lúc máy tính người dùng phản hồi lại Username password mã hóa Máy chủ xác thực so sánh phiên xác thực người dùng lưu giữ với phiên mã hóa vừa nhận, trùng khớp người dùng xác thực Để đảm bảo an tồn, thân password khơng gửi qua mạng Phương thức CHAP thường sử dụng người dùng đăng nhập vào máy chủ xa (remote server) hệ thống, chẳng hạn RAS server Dữ liệu chứa password mã hóa đơi gọi “mật băm” (hash password) theo tên phương pháp mã hoá dùng hàm băm 1.4.3 Xác thực Kerberos Là tảng xác thực nhiều hệ điều hành UNIX, Windows Xác thực Kerberos dùng máy chủ trung tâm để kiểm tra việc xác thực người dùng cấp phát thẻ dịch vụ (service ticket) để người dùng truy cập vào tài nguyên hệ thống Xác thực Kerberos phương thức có tính an tồn cao nhờ việc dùng thuật tốn mã hóa mạnh Kerberos dựa độ xác thời gian xác thực máy chủ người dùng, cần phải đảm bảo kết nối đồng thời gian thành phần hệ thống 1.4.4 Xác thực sử dụng token Token phương tiện vật lý thẻ thông minh (smart card), thẻ đeo nhân viên (ID badge) chứa thông tin xác thực tạo mật dùng lần (One Time Password - OTP) OTP mật dùng lần, tạo tạo OTP (token) kiểm tra hệ thống bảo mật riêng OTP tự động thay đổi thường xuyên tồn thời gian ngắn (khoảng vài chục giây) cho lần truy nhập Token lưu trữ mã số nhận dạng cá nhân (PIN), thông tin người dùng, lưu giữ tạo password Các thông tin token đọc/xử lý thiết bị hệ thống đặc dụng Chẳng hạn thẻ thông minh đọc đầu đọc thẻ smart card chuyên dụng, OTP xử lý hệ thống xác thực sử dụng yếu tố xác thực thứ hai mật dùng lần Ví dụ Smart Cards Smart cards ví dụ điển hình xác thực token Một smart card thẻ nhựa có gắn chip máy tính lưu trữ loại thơng tin điện tử khác Nội dung thông tin card đọc với thiết bị đặc biệt 1.4.5 Xác thực áp dụng phương pháp nhận dạng sinh trắc học (Biometrics) Đây mơ hình xác thực có tính bảo mật cao dựa đặc điểm sinh học cá nhân, sử dụng thủ tục quét dấu vân tay (fingerprint scanner), quét võng mạc mắt (retinal scanner), nhận dạng giọng nói (voice - recognition), nhận dạng khuôn mặt (face recognition) Nhờ tiến vượt bậc công nghệ sinh học, phương thức xác thực dựa nhận dạng sinh trắc học ngày trở nên phổ biến chấp nhận rộng rãi 1.4.6 Phương thức xác thực lẫn (Mutual Authentication) Đây phương thức bảo mật thành phần tham gia giao tiếp với kiểm tra, xác thực lẫn Chẳng hạn, hệ thống mạng Client/Server, trước hết máy chủ (chứa tài nguyên) kiểm tra “giấy phép truy cập” người dùng sau người dùng lại kiểm tra “giấy phép cấp tài nguyên” máy chủ Cũng tương tự vậy, khách hàng thực giao dịch với hệ thống E-Banking Ngân hàng chọn, cần phải kiểm tra xem hệ thống có Ngân hàng khơng ngược lại hệ thống E-Banking Ngân hàng kiểm tra khách hàng thực giao dịch ...BAN CƠ YẾU CHÍNH PHỦ HỌC VI? ??N KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP Nghiên cứu phương pháp phát công mạng dựa hành vi người sử dụng xác thực đa yếu tố Ngành: An tồn... liệu ứng dụng nhạy cảm hơn, phải cung cấp nhiều yếu tố xác thực 1.3.4 Mơ hình xác thực đa yếu tố Xác thực đa yếu tố (Multi-Factor Authentication) phương thức xác thực dựa nhiều yếu tố xác thực kết... đồ án An tồn thơng tin ? ?Nghiên cứu phương pháp phát công mạng dựa hành vi người sử dụng xác thực đa yếu tố? ?? cơng trình nghiên cứu riêng tôi, không chép lại người khác Trong toàn nội dung báo