HỌC VIỆN NGÂN HÀNG KHOA HỆ THỐNG THÔNG TIN QUẢN LÝ KHĨA LUẬN TỐT NGHIỆP ĐẠI HỌC •••• NGHIÊN CỨU VÀ ỨNG DỤNG GOOGLE AUTHENTICATOR ĐỂ TRIỂN KHAI XÁC THỰC ĐA NHÂN TỐ TRONG ỨNG DỤNG MOBILE BANKING NGUYỄN THỊ HỒNG VÂN HÀ NỘI, NĂM 2020 HỌC VIỆN NGÂN HÀNG KHOA HỆ THỐNG THƠNG TIN QUẢN LÝ KHĨA LUẬN TỐT NGHIỆP ĐẠI HỌC NGHIÊN CỨU VÀ ỨNG DỤNG GOOGLE AUTHENTICATOR ĐỂ TRIỂN KHAI XÁC THỰC ĐA NHÂN TỐ TRONG ỨNG DỤNG MOBILE BANKING Giáo viên hướng dẫn ThS Nguyễn Thanh Thụy Sinh viên thực Nguyễn Thị Hồng Vân Mã sinh viên 19A4040184 Lớp K19HTTTA Khóa 19 (2016 - 2020) Hệ Đại học quy Hà Nội, tháng 6/2020 Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy LỜI CẢM ƠN Trong suốt bốn năm học tập rèn luyện trường Học viện Ngân hàng Khoa hệ thống thơng tin quản lý q trình hồn thành khóa luận em nhận nhiều động viên giúp đỡ từ nhiều phía Lời đầu tiên, cho phép em xin gửi lời cảm ơn tới tất thầy cô Khoa hệ thống thông tin quản lý - Học viện Ngân hàng nhiệt huyết, tận tâm truyền cho chúng em vốn tri thức quý báu, tạo cho chúng em tảng để có bước tiến trường Đặc biệt, em xin gửi lời cảm ơn chân thành tới ThS Nguyễn Thanh Thụy - Giảng viên Khoa Hệ thống thông tin Quản lý - Học viện Ngân hàng Thầy ln tạo điều kiện tận tình hướng dẫn, giúp đỡ em hồn thành khóa luận Em xin chân thành cảm ơn Ban lãnh đạo công ty Cổ phần giải pháp phần mềm tài chứng khốn - FSS, anh chị công ty tạo điều kiện thuận lợi cho em tìm hiểu tốn thực tế suốt q trình thực tập công ty Đặc biệt em xin cảm ơn anh Bùi Đình Quang - người trực tiếp hướng dẫn em suốt q trình thực khóa luận Với nhiệt tình anh chị khơng giúp em hồn thành khóa luận mà cịn giúp em vận dụng kiến thức học trường vào thực tế Cuối em xin gửi lời cảm ơn đến tồn thể thầy trường Học viện Ngân hàng Kính chúc thầy ln dồi sức khỏe, nhiệt huyết thành công nghiệp giảng dạy Trong trình nghiên cứu hồn thiện khóa luận, vốn kiến thức kinh nghiệm cịn hạn chế nên đề tài khơng tránh khỏi sai sót Vì kính mong Nguyễn Thị Hồng Vân - K19HTTTA i Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy LỜI CAM KẾT Em xin cam đoan kết đạt đề tài khóa luận sản phẩm nghiên cứu, tìm hiểu riêng cá nhân em Trong toàn nội dung đề tài này, điều trình bày cá nhân em tổng hợp từ nhiều nguồn tài liệu Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Em xin hoàn toàn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan NGUYỄN THỊ HỒNG VÂN Nguyễn Thị Hồng Vân - K19HTTTA ii Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ XÁC THỰC ĐA NHÂN TỐ VÀ TRÌNH XÁC THỰC GOOGLE AUTHENTICATOR 1.1 Giới thiệu khái niệm xác thực 1.2 Phân loại xác thực 1.2.1 Xác thực liệu (Data Authentication) 1.2.2 Xác thực thực thể (Entity Authentication) 1.3 Các nhân tố xác thực 1.4 Một vài công cụ xác thực 1.4.1 Tên đăng nhập mật 1.4.2 Chữ ký số .5 1.4.3 Chứng số 1.4.4 Challenge Handshake Authentication Protocol (CHAP) 1.4.5 Kerberos .7 1.4.6 Tokens 1.4.7 Sinh trắc học 1.5 Xác thực đa nhân tố 1.6 Trình xác thực Google Authenticator 12 CHƯƠNG 2: PHÂN TÍCH HỆ THỐNG XÁC THỰC GOOGLE AUTHENTICATOR TRÊN MOBILE BANKING 15 2.1 Mô tả trạng 15 2.1.1 Sự phát triển dịch vụ Mobile banking 15 2.1.2 Một số hình thức xác thực ứng dụng Mobile Banking 16 2.1.3 Một vài vấn đề hạn chế bảo mật liệu 17 2.1.4 Đề xuất giải pháp .19 2.2 Mô tả webservice xác thực OTP sử dụng trình xác thực Google Authenticator 20 2.2.1 Giới thiệu REST API 20 2.2.2 Giới thiệu Spring Framework .22 2.2.3 Cơ chế hoạt động dịch vụ web xácthựcOTP 25 2.3 Mô tả hệ thống hoạt động xác thực OTPtích hợptrên mobile banking26 2.4 Biểu đồ hoạt động 28 2.4.1 Quy trình đăng ký xác thực .28 2.4.2 Quy trình hủy đăng ký xác thực 30 Nguyễn Thị Hồng Vân - K19HTTTA iii Khóa Khóaluận luậntốt tốtnghiệp nghiệp GVHD: GVHD:Ths Ths.Nguyễn NguyễnThanh ThanhThụy Thụy 2.4.3 Quy trình xác thực giao CÁC dịch chuyển tiền 32 DANH MỤC CHỮ VIẾT TẮT 2.5 Biểu đồ ca sử dụng 34 2.5.1 Quy trình đăng ký xác thực .34 2.5.2 Quy trình hủy đăng ký xác thực 35 2.5.3 Quy trình xác thực giao dịch chuyển tiền 36 CHƯƠNG 3: LẬP TRÌNH PHÁT TRIỂN, THỬ NGHIỆM DỊCH VỤ WEB XÁC THỰC OTP SỬ DỤNG GOOGLE AUTHENTICATOR TÍCH HỢP VÀO ỨNG DỤNG MOBILE BANKING ’ .38 3.1 Cơ chế lập trình dịch vụ web sử dụng trình xác thực Google Authenticator 38 3.1.1 .Công cụ sử dụng 38 3.1.2 Thiết kế REST API cho webservice xác thực OTP 38 3.1.3 Cài đặt chương trình 41 3.2 Diễn giải lập trình số module 41 3.2.1 .Nhận request 41 3.2.2 Xử lý 43 3.3 .Thử nghiệm ứng dụng 48 3.3.1 Đăng ký xác thực 48 3.3.2 Xác thực chuyển tiền 57 Từ viết tắt Diễn giải OTP One Time Password CSDL Cơ sở liệu CA Certificate Authority PIN Personal Indentification Number MFA Multi fator Authentication QR Quick response KPMG Klynveld Peat Marwick Goerdeler CNTT Công nghệ thông tin Nguyễn Thị Hồng Vân - K19HTTTA iv TOTP Time-based One Time Password Nguyễn Thị Hồng Vân - K19HTTTA v Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy DANH MỤC BẢNG BIỂU • Bảng 1.Mơ tả quy trình đăng kí dịch vụ xác thực .28 Bảng 2.Mơ tả quy trình hủy đăng ký xác thực 30 Bảng 3.Mô tả quy trình xác thực giao dịch chuyển tiền 32 Bảng 4.Mô tả request detail luồng gửi yêu cầu đăng ký 39 Bảng 5.Mô tả respone detail luồng gửi yêu cầu đăng ký 39 Bảng 6.Mô tả request detail luồng gửi yêu cầu hủy đăng ký .40 Bảng 7.Mô tả respone detail luồng gửi yêu cầu hủy đăngký .40 Bảng 8.Mô tả request detail luồng xác thực 40 Bảng Mô tả respone detail luồng xác thực 40 Nguyễn Thị Hồng Vân - K19HTTTA vi Khóa luận tốt nghiệp ■Il Viettel ∙≈F GVHD: Ths Nguyễn Thanh Thụy 11:50 @ ■? 77% M ■ < Tìm kiêm Google Authenticator Google LLC 3,9****ứ #18 4+ 297 xếp hạng Tiện ích Tuổi Tính Lich sử phiên Mới Phiên 3.0.1 năm trước • Hỗ trợ iPhone X • Sửa sơ lỗi nhỏ Xem trước Hình 14 Ứng dụng Google Authenticator App Store CHplay Nguyễn Thị Hồng Vân - K19HTTTA 49 Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy Bước 1: Khách hàng nhập thông tin đăng nhập bao gồm Tên đăng nhập mật để truy cập vào ứng dụng Màn hình giao diện chức hiển thị hình 15 Hình 15 Giao diện đăng nhập menu app Mobile Banking Nguyễn Thị Hồng Vân - K19HTTTA 50 Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy Bước 2: Để kích hoạt tài khoản sử dụng dịch vụ xác thực TOTP, khách hàng cần chọn chức Đăng kí TOTP Màn hình hiển thị thông tin giới thiệu ứng dụng bước cần thực Hình 16 Giao diện giới thiệu hình thức xác thực TOTP Nguyễn Thị Hồng Vân - K19HTTTA 51 Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy Bước 3: Khách hàng chọn nút Tiếp tục Hệ thống hiển thị mã QR code mã secret key Đối với trường hợp khách hàng muốn quét mã QR ứng dụng xác thực Google Authenticator cần cài đặt thiết bị di động khác ứng dụng chưa có tính qt mã thiết bị Trường hợp app Mobile Banking trình xác thực thiết bị, khách hàng nhấn giữ vào mã hiển thị thay hình mã tự động copy lưu vào nhớ tạm điện thoại Hình 17 Giao diện hiển thị mã QR code secretkey Nguyễn Thị Hồng Vân - K19HTTTA 52 Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy Bước 4: Mở ứng dụng Google Authenticator, chọn quét mã QR code nhập khóa thiết lập Hình 18 Giao diện nhập thông tin ứng dụng Google Authenicator Nguyễn Thị Hồng Vân - K19HTTTA 53 Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy Sau quét mã nhập mã khóa ứng dụng Google Authenticator hiển thị Account Name mã TOTP hình 19 Hình 19 Giao diện hiển thị mã TOTP ứng dụng đăng kí dịch vụ xác thực Nguyễn Thị Hồng Vân - K19HTTTA 54 Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy Bước 5: Khách hàng nhấn nút Tiếp tục bước 4, hệ thống yêu cầu nhập mã xác thực hiển thị ứng dụng Google Authenticator Nếu nhập mã không khớp với mã ứng dụng thông báo sai mã xác thực yêu cầu khách hàng nhập lại Khách hàng nhập mã, hệ thống hiển thị thông báo đăng ký thành cơng Hình 20 Giao diện thơng báo đăng ký dịch vụ xác thực thành công Nguyễn Thị Hồng Vân - K19HTTTA 55 Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy Trường hợp khách hàng đăng ký dịch vụ xác thực, chọn vào chức đăng ký xác thực đăng ký Do thông tin đăng nhập thiết lập account ứng dụng Google Authenticator Hình 21 Giao diện thông báo khách hàng không phép đăng ký dịch vụ Nguyễn Thị Hồng Vân - K19HTTTA 56 Khóa luận tốt nghiệp 3.3.2 GVHD: Ths Nguyễn Thanh Thụy Xác thực chuyển tiền Như mục đích ban đầu việc xây dựng hệ thống thực xác thực làm giao dịch chuyển tiền, khách hàng đăng ký thành công dịch vụ xác thực Bước 1: Khi thực chức chuyển tiền, khách hàng nhập đầy đủ thơng tin kiểm tra tính đắn thơng tin Hình 22 Giao diện hình nhập thơng tin chuyển tiền Nguyễn Thị Hồng Vân - K19HTTTA 57 Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy Bước 2: Nhập mã xác thực mà khách hàng nhìn thấy ứng dụng xác thực Google Authenticator Nhập mã xác việc chuyển tiền hồn tất Hình 23 Giao diện nhập yêu cầu mã xác thực TOTP chuyển tiền Nguyễn Thị Hồng Vân - K19HTTTA 58 Khóa luận tốt nghiệp 3.3.3 GVHD: Ths Nguyễn Thanh Thụy Hủy đăng kí xác thực Bước 1: Khách hàng muốn hủy việc sử dụng dịch vụ xác thực cần chọn chức Hủy xác thực TOTP Hệ thống hiển thị thông điệp yêu cầu khách hàng xác nhận có chắn muốn hủy dịch vụ Hình 24 Giao diện Hủy đăng ký xác thực TOTP Nguyễn Thị Hồng Vân - K19HTTTA 59 Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy Bước 2: Khách hàng chọn Đồng ý, hệ thống yêu cầu nhập mã xác nhận hủy đăng ký, nhập mã hiển thị từ ứng dụng Google Authenticator hệ thống hủy đăng ký xác thực TOTP thành cơng Hình 25 Giao diện u cầu nhập mã xác thực TOTP thực hủy dịch vụ Nguyễn Thị Hồng Vân - K19HTTTA 60 Khóa luận tốt nghiệp 3.4 GVHD: Ths Nguyễn Thanh Thụy Đánh giá hệ thống 3.4.1 Ưu điểm Qua trình nghiên cứu thử nghiệm hệ thống, - Đơn giản, dễ sử dụng, tự đăng ký mà khơng đến trực tiếp quầy giao dịch - Tính phổ biến cao, cung cấp tập đồn uy tín hàng đầu giới Google - Tìm kiếm cài đặt ứng dụng dễ dàng phút - Đa dạng thiết bị sử dụng: điện thoại, laptop, desktop - Đồng tài khoản nhiều thiết bị khác 3.4.2 - Nhược điểm Khó thực đăng ký cách quét mã QR code thiết bị di động có Mobile Banking ứng dùng Google Authenticator - Các tài khoản đăng ký xác thực lưu, hay đồng hóa chuyển tài khoản google authenticator sang thiết bị - Mã TOTP có giá trị thời gian dài so với lượng thời gian chúng hiển thị hình (thường lần) Đây nhượng mà hệ thống xác thực bên nhận xác thực bị lệch với khoảng biên độ chênh lệch thời gian 3.5 - Định hướng phát triển Tạo chức quét mã QR trường hợp app mobile banking Nguyễn Thị Hồng Vân - K19HTTTA 61 Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy TỔNG KẾT CHƯƠNG Chương khóa luận trình bày chế lập trình để tạo hệ thống xác thực, diễn giải lập trình số module hệ thống Thử nghiệm hệ thống xác thực liên kết với app Mobile Banking Từ đưa đánh giá hệ thống nêu điểm hạn chế định hướng phát triển để tiếp tục có cải tiến cho hệ thống phát triển sau Nguyễn Thị Hồng Vân - K19HTTTA 62 Khóa luận tốt nghiệp GVHD: Ths Nguyễn Thanh Thụy KẾT LUẬN KHẢO TÀI LIỆU THAM Xuất phát từ tình hình thực tế tính cấp thiết đề tài, khóa luận [1] Giáo trình an tồn liệu (Tác giả: Trịnh Nhật Tiến - Trường đại học công đạt mục tiêu ban đầu đề tích hợp Google Authenticator vào ứng dụng nghệ Mobile Banking với độ an toàn cao, có tính khả dụng, thân thiện người dùng với chi Đại học Quốc gia Hà Nội) phí thấp, đáp ứng nhu cầu xác thực nhanh chóng, an tồn Qua q trình tìm hiểu [2] Authentication Methods Used for Banking Seth Thigpen East Carolina University hoàn thiện đề tài “Nghiên cứu ứng dụng Google Authenticator để triển khai xác [3] Ometov, “Multi-Factor Authentication: A Survey”, 2018 thực đa nhân tố ứng dụng Mobile Banking” ưu điểm đạt [4] Crystal Bedell & Michael, “Multi Factor Authentication for Dummies”, 2018 đề tài tồn đọng hạn chế vốn kiến thức hiểu biết Tuy nhiên, em [5] Vladimir Yakovlev, Checkpoint MFA with Google Authenticator mong đề tài góp phần việc hoàn thiện vấn đề bảo mật https://vnquan.wordpress.com/2011/01/16/cac-ph%C6%B0%C6%A1ngxác[6] thực cho dịch vụ ngân hàng nay, giúp cho ngân hàng nói chung th%E1%BB%A9c-xac-th%E1%BB%B1c-authentication-methods/ ngân hàng Bảo Việt nói riêng nâng cao chất lượng dịch vụ, tạo dựng lòng tin https://tools.ietf.org/html/rfc6238 cho[7] khách hàng từ thu lợi nhuận giành nhiều thành công [8] https://tools.ietf.org/html/rfc4226 [9] https://topdev.vn/blog/restful-api-la-gi/ [10] https://viblo.asia/p/tong-quan-ve-spring-framework-YWOZryEyKQ0 Nguyễn Thị Hồng Vân - K19HTTTA 63 64 ... KHĨA LUẬN TỐT NGHIỆP ĐẠI HỌC NGHIÊN CỨU VÀ ỨNG DỤNG GOOGLE AUTHENTICATOR ĐỂ TRIỂN KHAI XÁC THỰC ĐA NHÂN TỐ TRONG ỨNG DỤNG MOBILE BANKING Giáo viên hướng dẫn ThS Nguyễn Thanh Thụy Sinh viên thực. .. KHOA HỆ THỐNG THÔNG TIN QUẢN LÝ KHĨA LUẬN TỐT NGHIỆP ĐẠI HỌC •••• NGHIÊN CỨU VÀ ỨNG DỤNG GOOGLE AUTHENTICATOR ĐỂ TRIỂN KHAI XÁC THỰC ĐA NHÂN TỐ TRONG ỨNG DỤNG MOBILE BANKING NGUYỄN THỊ HỒNG VÂN... dụng Google Authenticator để triển khai xác thực đa nhân tố ứng dụng Mobile Banking” nhằm mục đích phát triển hình thức xác thực đa nhân tố Tích Nguyễn Thị Hồng Vân - K19HTTTA Khóa luận tốt nghiệp