POSTS AND TELECOMMUNICATIONS INSTITUTE OF TECHNOLOGY FACULTY OF TELECOMMUNICATIONS BÁO CÁO MÔN: AN NINH MẠNG THÔNG TIN Tên đề tài: Xác thực người sử dụng: nguyên lý, phương pháp xác thực người sử dụng Bài tập tiểu luận môn ANM MỤC LỤC MỞ ĐẦU PHÂN CÔNG CÔNG VIỆC CÁC THUẬT NGỮ VIẾT TẮT CHƯƠNG 1: CÁC PHƯƠNG PHÁP VÀ MỐI ĐE DỌA CỦA VIỆC CHỨNG THỰC 1.1 Định nghĩ chứng thực 1.2 Các yếu tố chứng thực 10 1.2.1 Thông tin người cung cấp biết 10 1.2.2 Thơng tin mà người dùng có (sở hữu) 10 1.2.3 Thông tin cá nhân người dùng 11 1.2.4 Thông tin người dùng xử lý 12 1.3 Các khó khăn việc chứng thực 13 1.3.1 Mật mặc định 13 1.3.2 Nghe 14 1.3.3 Các công Man-in-the-Middle 14 1.3.4 Đoán mật 15 1.3.5 Tấn công phi kỹ thuật 15 CHƯƠNG 2: CHỨNG THỰC DỰA TRÊN MẬT KHẨU 17 2.1 Các vấn đề mật 18 2.1.1 Khóa mật 18 2.1.2 Lựa chọn mật 19 2.1.3 Chất lượng mật 19 2.2 Lưu trữ mật 20 2.2.1 Mật văn thô 20 2.2.2 Mật mã hóa 20 2.2.3 Mật mã hóa băm 21 2.2.4 Salted password 22 2.3 Sắp đặt tạo Salt động 22 Bài tập tiểu luận môn ANM 2.3.1 Điều chỉnh chất lượng mật 22 2.3.2 Lượng Salt hợp lý 23 2.3.3 Sắp đặt vị trí cho Salt 23 2.3.4 Cơ chế hoạt động 24 2.3.5 Độ bảo mật Salt 25 2.4 Mật dựa hình ảnh 25 2.4.1 Hệ thống dựa việc ghi nhớ 25 CHƯƠNG 3: CHỨNG THỰC BẰNG SINH TRẮC HỌC 28 3.1 Định nghĩa sinh trắc học 29 3.1.1 Phân loại sinh trắc học 30 3.1.2 Các thuộc tính sinh trắc học 32 3.2 Chứng thực sinh trắc học 33 3.3 Chỉ số hiệu sinh trắc học 34 3.3.1 Các số hiệu 34 3.3.2 Các số hiệu chứng thực 35 3.3.3 Ngưỡng sinh trắc học 36 3.3.4 Tỉ lệ lỗi ngang 36 3.4 Xác định giá trị ngưỡng sinh trắc học 37 3.5 Các trường hợp sử dụng sinh trắc học 40 3.5.1 Điện thoại thông minh 40 3.5.2 Hệ thống tính kiểm soát truy cập 40 CHƯƠNG 4: CHỨNG THỰC ĐA YẾU TỐ 40 4.1 Các vấn đề phương thức chứng thực truyền thống 41 4.2 Chứng thực hai yếu tố 41 4.3 Các yếu tố chứng thực thông thường 42 4.3.1 Token chứng thực qua phần cứng 42 4.3.2 Sử dụng SMS 43 4.3.4 Token chứng thực qua phần mềm 44 Bài tập tiểu luận môn ANM 4.4 Đánh giá chứng thực hai yếu tố 45 4.5 Chứng thực đa yếu tố 46 4.6 Chứng thực đa yếu tố dựa sinh trắc học 47 4.6.1 Tạo yếu tố chứng thực 47 4.6.2 Chứng thực 48 4.7 Đánh giá chứng thực đa yếu tố 49 4.7.1 Đánh giá bảo mật 49 4.7.2 Đánh giá khả sử dụng 50 CHƯƠNG 5: CÁC GIAO THỨC XÁC THỰC VÀ TẠO KHÓA 51 5.1 Các giao thức xác thực 51 5.2 Giao thức khóa công khai Needham – Schroeder 53 5.3 Giao thức SSL (Secure Socket Layer) 54 5.4 Giao thức Kerberos 58 5.5.1 Đăng nhập máy khách 60 5.5.2 Trao đổi vé 60 5.5 Nguyễn tắc thiết kế giao thức xác thực 62 CHƯƠNG 6: XU HƯỚNG HIỆN TẠI VÀ TƯƠNG LAI 63 6.1 Sáng kiến ID4D 63 6.2 Mức độ đảm bảo xác thực 65 6.2.1 Mức độ đảm bảo xác thực (AAL1) 66 6.2.2 Mức độ đảm bảo xác thực (AAL2) 66 6.2.3 Mức độ đảm bảo xác thực (AAL3) 67 KẾT LUẬN 68 DANH MỤC BẢNG BIỂU HÌNH VẼ 70 TÀI LIỆU THAM KHẢO 72 Bài tập tiểu luận môn ANM MỞ ĐẦU Lí chọn đề tài Ngày với phát triển với tốc độ theo giây hay phút người ta ngày tiếp cận với công nghệ mới, dịch vụ Tuy nhiên, thách thức công kỹ thuật số ngày phát triển Các công nhằm chiếm đoạt tài khoản giả mạo danh tính chủ nhân tài khoản khơng cịn tình hình Các cơng có ảnh hưởng tiêu cực tới tất mặt sống đời tư cá nhân, tài chính, bí mật quân sự, … Đó lí mà cần có nghiên cứu hiểu biết phương pháp chứng thực nhằm hạn chế mức độ nghiêm trọng công Mục đích phạm vi tiểu luận Tìm hiểu đưa phương pháp hay cách thức áp dụng để thực công việc chứng thực bối cảnh công nghệ Các phương pháp đề cập đa dạng mặt cách thức Qua cung cấp kiến thức phương án để thực chứng thực người dùng Phương pháp nghiên cứu Thực nghiên cứu qua phương thức phi thực nghiệm nghiên cứu tài liệu PHÂN CÔNG CÔNG VIỆC Họ Tên Mã sinh viên Cơng việc Phụ trách nội dung, bảng biểu hình vẽ chương Phụ trách nội dung, bảng biểu hình vẽ chương Hoàn thiện Word Phụ trách nội dung, bảng biểu hình vẽ chương Bài tập tiểu luận môn ANM CÁC THUẬT NGỮ VIẾT TẮT PWD FTP HTTP AES VPN NLP USB ID SHA-1 MD5 DAS FTE FTA Password File transfer protocol Hypertext Transfer Protocol Advanced encryption standard Virtual private network Neuro-linguistic programming Universal serial bus Identification Secure hash algorithm Message-Digest algorithm Draw-a-Secret Failure-to-Enroll Rate Failure-to-Acquire Rate FAR False acceptance rate FRR False rejection rate GAR Genuine acceptance rate EER PIN ML KNN 2FA MFA SMS service OTP HOTP Equal Error Rate Personal identification number Machine learning K-nearest neighbors 2-factor-authentication Multi-factor-authentication Small message service One-time password HMAC-based one-time password SS7 Signaling system # TOPT Time-based one-time password OWASP Open web application security project NIST National Institute of Standards and Technology RPC Remote procedure call Mật Giao thức truyền tập tin Giao thức truyền tải siêu văn Tiêu chuẩn mã hóa tiên tiến Mạng riêng ảo Lập trình ngơn ngữ tư Chuẩn kết nối Định danh Thuật tốn mã hóa Hash Giải thuật đồng hóa thơng tin Mật đồ họa Draw-a-Secret Chỉ số đo lường số lần đăng kí thất bại Chỉ số đo lường số lượng sinh trắc thất bại Số lượng mà phần người dùng khơng cấp quyền có khả hệ thống chấp nhận hệ thống Số lượng hay phần người dùng cấp quyền bị hệ thống từ chối quyền truy cập Số lượng hay phần người dùng cấp quyền chấp nhận hệ thống sinh trắc Tỉ lệ lỗi cân Mã số định danh cá nhân Máy học Giải thuật K hàng xóm gần Chứng thực yếu tố Chứng thực đa yếu tố Dịch vụ tin nhắn Mật sử dụng lần Mật sử dụng lần dựa tin mã hóa chứng thực Hash Giao thức báo hiệu số Mật sử dụng lần dựa thời gian Dự án mở bảo mật web Viện Tiêu chuẩn Công nghệ Cuộc gọi thủ tục từ xa Bài tập tiểu luận môn ANM TTP MitM SSL TLS CA CRL SSO KDC TGT ID4D SDGs NIST AAL Third party provider Man-in-the-middle Secure socket layer Transport Layer Security Certificate authority Certificate Revocation Single Sign-on Key Distribute Center Ticket Granting Ticket Identification for Development Sustainable Development Goals National Institute of Standards and Technology Authentication Assurance Level Bên thứ ba đáng tin cậy Tấn công Lớp cổng bảo mật Bảo mật lớp truyền tải Chứng Thu hồi chứng Đăng nhập lần Trung tâm phân phối khóa Vé cấp quyền Nhận dạng để Phát triển Mục tiêu Phát triển Bền vững Viện Tiêu chuẩn Công nghệ Quốc gia Cấp độ đảm bảo xác thực Bài tập tiểu luận môn ANM CHƯƠNG 1: CÁC PHƯƠNG PHÁP VÀ MỐI ĐE DỌA CỦA VIỆC CHỨNG THỰC 1.1 Định nghĩ chứng thực Có bốn quy trình chế kiểm soát truy cập - xác định, chứng thực, ủy quyền kế toán Chứng thực trình sử dụng để xác nhận danh tính người dùng Có nghĩa là, thông tin nhập, người dùng phải chứng minh thực thuộc họ Ủy quyền cho biết người dùng khơng phép truy cập Nói cách khác, ủy quyền cung cấp cho người dùng quyền truy cập họ vào tài nguyên Tiếp đến kế toán lưu giữ hồ sơ vào hệ thống, người làm Thơng thường, có hai thành phần tham gia vào trình chứng thực thực thể Họ biết đến bên cung cấp bên chứng thực Chúng mơ tả Hình 1.1 sau: Bên cung cấp - Thực thể cung cấp danh tính họ chứng minh tính hợp lệ Bên chứng thực - Bên kiểm tra thông tin chứng thực người cung cấp cho biết liệu quy trình chứng minh danh tính người cung cấp có thành cơng hay khơng Hình 1.1 - Quá trình chứng thực bên Đơi cần có thành phần thứ ba q trình chứng thực Thành phần thứ ba thường gọi bên thứ ba đáng tin cậy, có cơng việc phân tích danh tính thơng tin chứng thực nhận Bên thứ ba đáng tin cậy đưa định việc quy trình chứng thực có thành cơng hay khơng, có nghĩa bên thứ ba đáng tin cậy trở thành người chứng thực quy trình Quá trình chứng thực điển hình liên quan đến ba bên minh họa Hình 1.2 Hình 1.2 - Quá trình chứng thực bên Bài tập tiểu luận môn ANM 1.2 Các yếu tố chứng thực Để thực trình xác nhận danh tính, hệ thống u cầu chứng thực thường địi hỏi chứng từ thực thể cố gắng thực chứng thực Bằng chứng gọi yếu tố chứng thực 1.2.1 Thông tin người cung cấp biết Phương pháp có nghĩa bên cung cấp sử dụng họ nhớ để chứng minh họ thực Trong giai đoạn chứng thực, bên cung cấp nhập mật họ So sánh thực mật nhập mật lưu trước Nếu chúng khớp, quyền truy cập vào hệ thống cấp ngược lại bị từ chối, mô tả Hình 1.3 Hình 1.3 - Q trình chứng thực thơng-tin-do-người-cung-cấp-biết 1.2.2 Thơng tin mà người dùng có (sở hữu) Yếu tố chứng thực thứ hai yêu cầu người cung cấp phải sở hữu đồ vật chất, loại thẻ thông minh token Token thiết bị nhỏ, có hình để hiển thị số Các số hình token sử dụng làm mật mã cho trình chứng thực Token chứng thực đồng khơng đồng Mã thơng báo đồng đồng hóa với trình chứng thực máy chủ chứng thực Nghĩa là, token có hàm f () lấy thời gian t làm đầu vào tính tốn mật PWDt cho thời điểm cụ thể lúc Nói cách dễ hiểu, điều biểu thị PWDt = f (t) Khi người dùng muốn đăng nhập vào hệ thống, họ nhập tên họ với số hiển thị token Đối với trình xác minh, máy chủ chứng thực thực trình tương tự Tức là, máy chủ chứng thực sử dụng hàm f (), lấy thời gian t làm đầu vào nó, để tính mật PWDt Mật tính nhận so sánh Nếu chúng khớp với nhau, Bài tập tiểu luận môn ANM xem cách Kerberos thực hoạt động, bắt đầu với quy trình đăng nhập máy khách sau quy trình trao đổi vé Kerberos 5.5.1 Đăng nhập máy khách Trước người dùng truy cập tài nguyên mạng, họ phải hoàn tất trình đăng nhập Quá trình đăng nhập trình đơn giản yêu cầu người dùng đăng nhập vào máy tính họ, máy tính giao tiếp với trung tâm phân phối khóa (KDC) Kerberos thực chức (sẽ giải thích phần sau) Cuối cùng, trung tâm phân phối khóa cấp TGT cho người dùng Quá trình đăng nhập máy khách thể Hình 5.5 Hình 5.5 - Quá trình máy khách đăng nhập Đăng nhập máy khách Hình 5.5 bắt đầu việc Alice nhập tên người dùng mật vào máy tính Máy tính lấy khóa KAlice từ mật Alice KAlice = H(Alice’s Password) Cần phải làm rõ trung tâm phân phối khóa khơng chịu trách nhiệm phân phối khóa cho người dùng, cịn hoạt động máy chủ xác thực, có nghĩa nhiệm vụ khác xác thực người dùng mạng Do đó, ngụ ý KAlice chìa khóa chia sẻ Alice trung tâm phân phối khóa Máy tính Alice sử dụng KAlice để lấy vé cấp quyền (TGT) cho Alice từ trung tâm phân phối khóa KDC nhận yêu cầu TGT tạo khóa phiên SAlice TGT cho Alice KDC mã hóa SAlice TGT khóa KAlice trước gửi gói tin đến máy tính Alice Bước máy tính giải mã gói tin nhận KAlice để lấy khóa phiên SAlice TGT Chìa khóa KAlice bị lãng quên Chú ý TGT = {Alice, SAlice}KKDC, có nghĩa đọc KDC khóa KKDC biết trung tâm phân phối khóa Alice sử dụng TGT để đổi lấy vé truy cập để truy cập tài nguyên mạng sau 5.5.2 Trao đổi vé Sau Alice hoàn tất trình đăng nhập máy khách lấy TGT, Alice bắt đầu suy nghĩ việc truy cập tài nguyên mạng Giả sử Alice muốn truy cập dịch vụ chẳng hạn ứng dụng web Hình 5.3 Nếu mạng Alice sử dụng NHĨM 19 - TRANG 60 Bài tập tiểu luận mơn ANM Kerberos, Alice bắt đầu truy cập vào dịch vụ u cầu Có quy trình đổi vé phải thực trước Quá trình đổi vé minh họa Hình 5.6 Hình 5.6 - Quá trình trao đổi vé Từ Hình 5.6, số thành phần cần định nghĩa Đầu tiên REQUEST, định nghĩa REQUEST = (TGT, Authenticator), Authenticator = {Alice,Timestamp}SAlice Thành phần REPLY, gửi từ trung tâm phân phối khóa đến máy tính Alice Thông báo REPLY định nghĩa REPLY = {ServiceID, KAS, TicketService}Salice, KAS khóa đối xứng chia sẻ Alice dịch vụ mà cô cố gắng truy cập Hơn nữa, tin REPLY, TicketToService = {Alice, KAS}Kservice Máy tính Alice xuất trình vé cấp quyền Alice đến trung tâm phân phối khóa, với phần thơng tin khác gọi trình xác thực Trình xác thực bao gồm ID người dùng dấu thời gian, sử dụng để ngăn công phát lại Trình xác thực mã hóa khóa phiên khách, SAlice ví dụ cụ thể Sau trung tâm phân phối khóa xác minh trình xác thực, trả lời phiếu truy cập Sau Alice sử dụng vé nhận để truy cập dịch vụ yêu cầu Cần phải làm rõ phiếu truy cập cấp cho quyền truy cập vào dịch vụ cụ thể Nếu người dùng muốn truy cập vào dịch vụ khác mạng, phiếu truy cập phải cấp trung tâm phân phối cách thực theo quy trình minh họa Hình 5.6 Bản tin REPLY gửi từ KDC đến máy tính Alice chứa ba thành phần: tên dịch vụ “ServiceID”, khóa KAS “vé đến dịch vụ” (TicketToService) Tất thành phần mã hóa khóa phiên SAlice chia sẻ Alice KDC Thơng điệp REPLY thơng báo cho máy tính Alice biết TicketToService vé sử dụng để truy cập vào dịch vụ cụ thể đó, để giao tiếp với dịch vụ khóa KAS phải sử dụng để bảo mật thông tin liên lạc Alice dịch vụ Bước máy tính Alice chuyển TicketToService cho dịch vụ yêu cầu để dịch vụ cấp cho Alice quyền truy cập, Alice dịch vụ bắt đầu giao tiếp an toàn với TicketToService bao gồm hai thành phần: danh tính Alice khóa KAS Hai thành phần mã hóa khóa KService Lưu ý KService thuộc dịch NHÓM 19 - TRANG 61 Bài tập tiểu luận mơn ANM vụ khóa chia sẻ dịch vụ trung tâm phân phối khóa Khi dịch vụ nhận vé từ Alice, giải mã gói tin thấy khóa KAS sử dụng để liên lạc với Alice Tại thời điểm này, Alice dịch vụ nắm giữ chìa khóa KAS đó, giao tiếp an toàn với Kerberos giao thức hữu ích để thực xác thực người dùng truyền thơng an tồn dịch vụ tài nguyên máy khách mạng Tuy nhiên, có số hạn chế giao thức cần nêu rõ Hạn chế trung tâm phân phối khóa đóng vai trị quan trọng Kerberos KDC tham gia từ trình đăng nhập khách hàng đến trình tạo vé Nếu KDC bị xâm phạm xuống cấp, quy trình khơng thể thực hiện; đó, Kerberos ngừng hoạt động Một giải pháp đơn giản cho vấn đề sử dụng nhiều máy chủ Kerberos Hạn chế thứ hai Kerberos giới hạn thời gian Kerberos yêu cầu thời gian máy chủ liên quan phải đồng hóa Việc đồng hóa cần thiết vé Kerberos có trình xác thực, mà chứa dấu thời gian Nếu thời gian phía khách hàng khơng đồng hóa với KDC, q trình kiểm tra dấu thời gian không thành công q trình thực thêm Tham khảo Hình 5.3 với Kerberos triển khai, Alice thực quy trình đăng nhập máy khách Kerberos để nhận vé cấp quyền Khi Alice muốn truy cập email mình, việc trao đổi vé xử lý mạng để Alice nhận vé để truy cập vào email cô mà không cần phải đăng nhập vào dịch vụ Alice sau muốn sử dụng ứng dụng web mạng việc trao đổi vé Kerberos thực mạng, có nghĩa Alice truy cập ứng dụng web mà không cần phải đăng nhập vật lý Đây cách Kerberos sử dụng cho thực đăng nhập lần 5.5 Nguyễn tắc thiết kế giao thức xác thực Khi thiết kế giao thức xác thực thiết lập khóa, có số câu hỏi cần trả lời Giả sử A B hai thực thể tham gia vào giao thức Làm A chắn thực thể thực B? Làm để A B biết khóa phiên thiết lập an toàn? Làm để A biết B sở hữu khóa phiên thiết lập kết thúc trình chạy giao thức? Đây câu hỏi đòi hỏi nguyên tắc sau phải thực hiện: • Tính xác thực tin - Nguyên tắc nói thực thể A phải tin thực thể B thực người vừa gửi tin Nói cách khác, tin nhắn gửi đi, người nhận phải có khả xác định nhận người gửi • Xác thực thực thể - Theo nguyên tắc trước, mục tiêu thứ hai để A tin B gần trả lời thử thách cụ thể Có nghĩa là, B trả lời số thách NHÓM 19 - TRANG 62 Bài tập tiểu luận mơn ANM • • • • thức A đưa ra, A chắn mức độ định người tham gia giao thức thực B Thiết lập khóa an tồn - Sau xác thực thực thể thực hiện, q trình thiết lập khóa tiến hành Khi khóa phiên thiết lập, A phải chắn khóa K đủ tốt đủ an toàn để sử dụng giao tiếp với B Nguyên tắc cho thấy điều quan trọng phải có A B thiết lập khóa phiên biết truy cập vào họ, bên trái phép khác Làm khóa - Khơng khóa phiên cần bảo mật ẩn khỏi thực thể trái phép, A phải đảm bảo tin khóa phiên K tạo Nói cách khác, khóa khơng phải khóa cũ từ phiên trước Xác nhận khóa - Sau A thiết lập phân phối khóa phiên, nguyên tắc nói giao thức phải chứa chế để A nhận chứng B sở hữu khóa tương tự Bằng cách này, hai thực thể chắn khóa thực sử dụng để thiết lập kênh liên lạc an toàn chúng Hiểu biết lẫn Khóa phiên chia sẻ - Đây coi phần bổ sung cho nguyên tắc trước Điều quan trọng đừng quên hai thực thể tham gia vào giao thức, thực thể phải xác nhận với khóa phiên K thiết lập sở hữu Đổi lại, người số họ phải thừa nhận tin tưởng bên thực nắm giữ chìa khóa, điều an tồn tốt cho việc giao tiếp sau Nhìn chung, có sáu nguyên tắc để nhà thiết kế giao thức nghĩ đưa số chế theo cách mà tất nguyên tắc (một số coi chúng mục tiêu) hồn thành Cần lưu ý gọi chúng nguyên tắc cụ thể ý tưởng xem xét áp dụng cho thông điệp giao thức thực tế Các nguyên tắc chung trình bày phần CHƯƠNG 6: XU HƯỚNG HIỆN TẠI VÀ TƯƠNG LAI 6.1 Sáng kiến ID4D ID4D (Identification for Development – Nhận dạng để Phát triển) sáng kiến hoạt động tồn Nhóm Ngân hàng Thế giới với mục đích giúp thúc đẩy tầm quan trọng việc sử dụng hệ thống nhận dạng kỹ thuật số Nói cách khác, mục tiêu ID4D để tất người truy cập dịch vụ, tư nhân đặc biệt công cộng, thông qua việc sử dụng nhận dạng kỹ thuật số Thật thú vị biết Sáng kiến ID4D hỗ trợ trực tiếp cho Mục tiêu Phát triển Bền vững (SDGs) Liên hợp quốc số 16.9, người phải cung cấp danh tính pháp lý bao gồm đăng ký khai sinh miễn phí Những nhận dạng kỹ thuật số làm hỗ trợ giảm bất bình đẳng tăng NHĨM 19 - TRANG 63 Bài tập tiểu luận môn ANM mức độ bao phủ y tế tài Trên thực tế, nhận dạng kỹ thuật số đóng vai trò quan trọng SDG khác Vòng đời nhận dạng (Identity Life Cycle) Một vấn đề mà phải đối mặt ngày phải có phương pháp xác thực nhận dạng kỹ thuật số tương tác tồn cầu có nhiều tác nhân, sở thích, cơng nghệ ưu tiên khác Những ID4D làm để giảm bớt quy mô vấn đề tạo hiểu biết quy trình nhận dạng kỹ thuật số cách cung cấp khái niệm vòng đời nhận dạng minh họa Hình 6.1 Vịng đời danh tính bao gồm năm giai đoạn đăng ký, phát hành, xác thực danh tính, ủy quyền quản lý danh tính Chúng giải thích sau: Đăng ký (Chứng minh danh tính) Phát hành Quản lý danh tính Ủy quyền Xác thực danh tính Hình 6.1 - Vịng đời nhận dạng • Đăng ký: Q trình đăng ký chứng minh danh tính coi giai đoạn ban đầu quan trọng, bao gồm quy trình đăng ký xác nhận danh tính Q trình ghi danh liên quan đến việc thu thập ghi lại liệu người bao gồm liệu tiểu sử tên, ngày sinh, giới tính liệu sinh trắc học dấu vân tay Ngày nay, nhiều thuộc tính khác thu thập Quá trình xác thực giai đoạn đăng ký để đảm bảo danh tính đăng ký thực tồn tại, tức người cịn sống liệu khơng phải khác • Phát hành: Q trình cấp phát quản lý thông tin xác thực quan nhà cung cấp thông tin xác thực cấp nhiều thông tin xác thực cho chủ sở hữu danh tính Thơng tin đăng nhập bao gồm hộ chiếu điện tử, thẻ thông minh thẻ ID điện tử Một điều phải xem xét cấp thông tin xác thực khả tương tác Một số ví dụ hộ chiếu điện tử phải có khả tương tác quốc gia lục địa NHÓM 19 - TRANG 64 Bài tập tiểu luận mơn ANM • Xác thực danh tính: Khi người cấp thơng tin xác thực từ giai đoạn trước, họ phải xác nhận danh tính trước truy cập dịch vụ yêu cầu Cách để đạt điều không khác ngồi phương pháp giải thích chương trước sách Ví dụ, cơng dân sử dụng thẻ ID điện tử họ để truy cập dịch vụ nộp thuế Họ sử dụng liệu sinh trắc học cho chế biết khách hàng bạn mở tài khoản ngân hàng • Ủy quyền: Quá trình ủy quyền xác định quyền truy cập cá nhân Các quyền truy cập thường độc lập với nhà cung cấp danh tính phụ thuộc vào tổ chức cung cấp dịch vụ cho cá nhân Ví dụ, tổ chức tài thực hạn chế truy cập cho khách hàng Tuy nhiên, quan quốc gia cấp thẻ cước công dân quan đưa hạn chế • Ủy quyền: Q trình ủy quyền xác định quyền truy cập cá nhân Các quyền truy cập thường độc lập với nhà cung cấp danh tính phụ thuộc vào tổ chức cung cấp dịch vụ cho cá nhân Ví dụ, tổ chức tài thực hạn chế truy cập cho khách hàng Tuy nhiên, quan quốc gia cấp thẻ cước công dân quan đưa hạn chế Mặc dù mục đích ID4D thu thập tạo nhận dạng kỹ thuật số người dùng có trách nhiệm đảm bảo thuộc tính nhận dạng họ địa chỉ, nghề nghiệp chí liệu sinh trắc học cập nhật Hơn nữa, đề cập giai đoạn quản lý danh tính, quan có thẩm quyền phải đảm bảo danh tính khơng hợp lệ bị thu hồi để ngăn chặn gian lận danh tính Đây trường hợp đặc biệt chết cá nhân Với việc giới thiệu vịng đời danh tính để phủ, tổ chức người thực hành hiểu để đồng ý, điều tự nhiên phải xem xét bước mức đảm bảo xác thực 6.2 Mức độ đảm bảo xác thực Viện Tiêu chuẩn Công nghệ Quốc gia (NIST) cung cấp tiêu chuẩn để định mức độ tin cậy cho loại yếu tố xác thực (NIST gọi chúng “trình xác thực”) để yếu tố chế xác thực sử dụng thích hợp cho dịch vụ Nhiều quốc gia áp dụng Ấn đặc biệt NIST 800-63B để trình xác thực tuân thủ tiêu chuẩn quốc tế, sau dẫn đến khả tương tác quốc gia Có ba mức đảm bảo định NIST để xác thực Phần giải thích cấp độ đảm bảo xác thực (AAL) yếu tố xác thực sử dụng để đáp ứng yêu cầu cho cấp độ đảm bảo NHÓM 19 - TRANG 65 Bài tập tiểu luận môn ANM 6.2.1 Mức độ đảm bảo xác thực (AAL1) AAL1 cung cấp số đảm bảo người yêu cầu thực người đăng ký với hệ thống nhà cung cấp dịch vụ Một số thông lệ nêu rõ AAL1 cung cấp mức độ bảo đảm xác thực trung bình AAL1 yêu cầu người dùng xác thực phải cung cấp yếu tố xác thực Tuy nhiên, cần bảo mật cao hơn, xác thực đa yếu tố thực Đối với AAL1, yếu tố xác thực chấp nhận bao gồm (1) bí mật ghi nhớ; (2) mã thông báo xác thực phần cứng; (3) mã thông báo xác thực phần mềm; (4) yếu tố xác thực khác chấp nhận cấp độ đảm bảo xác thực Mặc dù mức đảm bảo xác thực đầu tiên, kênh giao tiếp người dùng nhà cung cấp dịch vụ yêu cầu phải bảo vệ bảo mật mật mã để bảo vệ tính bí mật thơng tin xác thực để ngăn chặn công nghe trộm cơng man-in-the-middle Ngồi ra, quy trình xác thực lại phải diễn 30 ngày lần Nói cách khác, người dùng dịch vụ nhà cung cấp yêu cầu xác thực lần 30 ngày, đặc biệt phiên kéo dài Khi đạt đến giới hạn thời gian, bạn nên kết thúc phiên đăng xuất người dùng yêu cầu thực lại xác thực 6.2.2 Mức độ đảm bảo xác thực (AAL2) AAL2 cung cấp hệ thống nhà cung cấp dịch vụ với tự tin cao người dùng xác thực thực người mà họ muốn Điều thực với chứng người dùng cung cấp hai yếu tố xác thực riêng biệt Điều có nghĩa yếu tố xác thực tự khơng dịch vụ yêu cầu cấp độ đảm bảo xác thực chấp nhận Vì AAL2 xem xét xác thực hai yếu tố đa yếu tố, nên thường kết hợp hai yếu tố xác thực chấp nhận Các yếu tố xác thực bao gồm bí mật ghi nhớ người sử dụng biết với người sử dụng có thiết bị dùng mật lần, mã xác thực phần cứng mã xác thực phần mềm Hơn nữa, đề cập trước đây, sinh trắc học đóng vai trị yếu tố bạn sử dụng với yếu tố bạn biết để đáp ứng yêu cầu AAL2 Tương tự AAL1, AAL2 yêu cầu kênh giao tiếp hai thực thể, cụ thể người dùng người xác minh danh tính, phải an toàn để giảm rủi ro công man-in-the-middle công phát lại thông tin xác thực Hơn nữa, kênh giao tiếp an tồn giúp bảo mật thơng tin đăng nhập người dùng sử dụng để xác thực Quá trình xác thực lại AAL2 nghiêm ngặt AAL1 Đó AAL2 yêu cầu người dùng phải xác thực lại lần 12 Ngồi ra, có khoảng thời NHĨM 19 - TRANG 66 Bài tập tiểu luận môn ANM gian không hoạt động kéo dài từ 30 phút trở lên, phiên bị chấm dứt người dùng phải thực xác thực lại để tiếp tục phiên 6.2.3 Mức độ đảm bảo xác thực (AAL3) AAL3 mức đảm bảo xác thực cao theo NIST Nó cung cấp mức độ tin cậy cao mà người dùng xác thực thực người đăng ký với nhà cung cấp dịch vụ Việc xác thực cấp độ thực dựa chứng người xác thực sở hữu khóa mật mã thơng qua giao thức mật mã Người xác thực phải chứng minh họ có hai nhiều yếu tố xác thực khác để xác thực thành công nhà cung cấp dịch vụ hệ thống Một điều cho khả thi để thực xác thực AAL3 việc sử dụng thiết bị mật mã đa yếu tố Thiết bị mật mã đa yếu tố phần cứng thực hoạt động mật mã cách sử dụng khóa mật mã Thiết bị kích hoạt thông qua yếu tố xác thực thứ hai Điều có nghĩa xác thực thực người dùng, người trước tiên phải chứng minh họ sở hữu thiết bị Thiết bị chứa nhiều khóa mật mã, sau thực chức xác thực với nhà cung cấp dịch vụ người xác thực cách sử dụng khóa khóa có sẵn Do đó, việc sở hữu khóa khóa mật mã chứng minh theo yêu cầu AAL3 Thiết bị mật mã đa yếu tố thường dạng phần cứng Tuy nhiên, người ta biết phần mềm mật mã đa yếu tố có sẵn Phần mềm mật mã đa yếu tố hoạt động khác so với phiên phần cứng chỗ khóa mật mã lưu trữ đĩa cứng thiết bị thiết kế đặc biệt cho mục đích xác thực Khi xác thực AAL3 yêu cầu, người dùng xác thực cần truy cập khóa thơng qua việc sử dụng xác thực yếu tố thứ hai mật dấu vân tay Khi khóa mật mã truy cập được, chúng sử dụng để tiếp tục trình xác thực với hệ thống nhà cung cấp dịch vụ Thiết bị mật mã đa yếu tố phần mềm mật mã đa yếu tố ví dụ yếu tố xác thực sử dụng để thực xác thực AAL3 Tuy nhiên việc áp dụng thêm yếu tố xác thực khác để tăng mức độ tin cậy khuyến khích Ví dụ: mã thơng báo xác thực phần cứng sử dụng với thiết bị mật mã đa yếu tố Mã thông báo xác thực phần mềm mật sử dụng với thiết bị mật mã đa yếu tố thực xác thực AAL3 Một lần nữa, kênh liên lạc người xác thực người đề nghị hệ thống xác thực yêu cầu phải an toàn Điều nhằm ngăn chặn việc nghe trộm thông tin xác thực công man-in-the-middle Hơn nữa, quy trình xác thực lại thực lần 12 hoạt động kéo dài hoạt động người dùng NHĨM 19 - TRANG 67 Bài tập tiểu luận môn ANM KẾT LUẬN Mỗi chương tiểu luận bao gồm lời giải thích chi tiết chủ đề sơ đồ để hỗ trợ việc giải thích Tài liệu nội dung tiểu luận thu thập từ nhiều nguồn khác nhau, bao gồm tài liệu nghiên cứu gần đây, sách giáo tham khảo khác Chương 1, Các phương pháp mối đe dọa việc chứng thực, giới thiệu phương pháp yếu tố chứng thực khác nhau, bao gồm thông tin người cung cấp biết, thông tin mà người dùng có (sở hữu) thơng tin sinh trắc học yếu tố khác Chứng thực, cho tuyến phòng thủ trước kẻ thù xâm nhập vào hệ thống mạng Tuy nhiên, khơng phải khơng có rủi ro Chương trình bày mối đe dọa phổ biến chế chứng thực đề xuất biện pháp đối phó giúp giảm thiểu rủi ro từ mối đe dọa Chương 2, Chứng thực dựa mật khẩu, mô tả thảo luận giải pháp thay gọi mật dựa đồ họa sở số hệ thống xác thực sử dụng phổ biến, bao gồm khóa mẫu Android phổ biến tất điện thoại thông minh Android Chương 3, Chứng thực sinh trắc học Chứng thực sinh trắc học hay phương thức sử dụng đặc điểm người sử dụng có phương thức chứng thực khác có phát triển nhanh chóng năm qua Chương trình bày chi tiết giải thích hệ thống chứng thực sinh trắc học cách thức hoạt động Ngồi ra, khám phá vấn đề với sinh trắc học Hay nói cách khác, tính bảo mật sử dụng hệ thống chứng thực sinh trắc học dựa ngưỡng sinh trắc học, yếu tố ảnh hưởng tới số GAR, FAR FRR Để định giá trị ngưỡng phù hợp, hai phương pháp trình bày biểu diễn Đầu tiên sử dụng tham số EER thứ hai việc thử nghiệm tham số ngưỡng khác Chương 4, Chứng thực đa yếu tố Một thách thức dành cho chế chứng thực cung cấp khả bảo vệ hệ thống thông tin Các hệ thống chứng thực qua yếu tố chứng minh có nhiều vấn đề bảo mật Do đó, phương pháp chứng thực MFA có mức độ phổ biến định vài năm qua Chương 5, Các giao thức xác thực tạo khóa Chương bắt đầu với phần giải thích giao thức xác thực có liên quan đến q trình thiết lập khóa phiên Chúng tơi đưa số ví dụ chúng tơi coi giao thức xác thực thiết lập khóa cổ điển Giao thức Bảo mật RPC, giao thức Needham – Schroeder giao thức Khóa cơng khai Needham – Schroeder Tất giao thức trở thành ảnh hưởng lớn giao thức xác thực ngày Hơn nữa, SSL Kerberos, hai giao thức xác thực thiết lập khóa sử dụng phổ biến nay, giải thích chương NHÓM 19 - TRANG 68 Bài tập tiểu luận môn ANM Chương 6, Xu hướng tương lai Xác thực công nghệ sử dụng nhiều hệ thống công nghệ cao chế dẫn đến dịch vụ cho nhiều người Sáng kiến Nhận dạng để Phát triển (ID4D) đưa việc quản lý xác thực danh tính trở thành nhu cầu thực tế nhiều khu vực giới Ngun nhân khơng có cơng nghệ xác minh danh tính đầy đủ, khơng tiếp cận dịch vụ giáo dục, tài chăm sóc sức khỏe Do vấn đề tồn này, Liên hợp quốc nhận đảm bảo xác thực trở thành phần thiếu mục tiêu phát triển bền vững đề xuất họ NHÓM 19 - TRANG 69 Bài tập tiểu luận môn ANM DANH MỤC BẢNG BIỂU HÌNH VẼ Hình 1.1 - Q trình chứng thực bên Hình 1.2 - Quá trình chứng thực bên Hình 1.3 - Q trình chứng thực thơng-tin-do-người-cung-cấp-biết 10 Hình - Quá trình chứng thực token đồng thời điểm t 11 Hình 1.5 - Quá trình chứng thực token không đồng 11 Hình 1.6 - Quá trình chứng thực sử dụng thông tin cá nhân 12 Hình 1.7 - Một ví dụ q trình chứng thực thông tin người dùng xử lý 13 Hình 1.8 - Ví dụ cách thức lấy cớ 16 Hình 1.9 - Ví dụ cách thức email giả mạo diện rộng 17 Bảng 2.1 - Ví dụ mã hóa mật 21 Bảng 2.2 - Ví dụ mật mã hóa băm 22 Bảng 2.3 - Mật giá trị băm 23 Hình 2.1 - Thuật tốn tạo đặt ví trí Salt 24 Hình 2.2 - Hệ thống Draw-a-Secret 25 Hình 2.3 - Sơ đồ Pass-Go 26 Hình 2.4 - Khóa mẫu hình Android 27 Bảng - Độ mạnh khóa mẫu Android 27 Hình 2.5 - Một vài ví dụ mật hình vẽ yếu 28 Hình 2.6 - Một vài ví dụ mật hình vẽ phức tạp 28 Hình 3.1 - Báo cáo Sir Galton 30 Hình 3.2 - Phân loại loại sinh trắc học 30 Bảng 3.1 - So sánh thuộc tính yếu tố sinh trắc 33 Hình 3.3 - Quá trình chứng thực sinh trắc học 34 Hình 3.4 - Mối quan hệ FAR, FRR EER 37 Hình 3.5 - Tìm ngưỡng sinh trắc phù hợp 38 Bảng 3.2 - Kết đo lường giá trị sinh trắc với ngưỡng sinh trắc khác 39 Hình 3.6 - Biểu đồ kết giá trị GAR, FAR FRR với giá trị ngưỡng khác 39 Hình 4.1 - Ví dụ q trình chứng thực 2FA 42 Hình 4.2 - Kịch cụ thể sử dụng Token thơng qua phần cứng 43 Hình 4.3 - Kịch cụ thể sử dụng mã OTP thơng qua SMS 44 Hình 4.4 - Chứng thực sử dụng Token thông qua phần mềm 45 Hình 4.5 - Tạo yếu tố chứng thực với MFA 48 Hình 4.6 - Quá trình chứng thực với MFA 49 NHÓM 19 - TRANG 70 Bài tập tiểu luận mơn ANM Hình 5.1 - Một cơng phát lại 52 Hình 5.2 - Tấn cơng Man-in-the-middle vào giao thức khóa cơng khai Needham Schroeder 54 Hình 5.3 - Một tình điển hình mạng tổ chức 58 Hình 5.4 - Quá trình sử dụng vé để truy cập tài nguyên mạng 59 Hình 5.5 - Quá trình máy khách đăng nhập 60 Hình 5.6 - Quá trình trao đổi vé 61 Hình 6.1 - Vịng đời nhận dạng 64 NHÓM 19 - TRANG 71 Bài tập tiểu luận môn ANM TÀI LIỆU THAM KHẢO Abadi, M., & Needham, R (1994) Prudent Engineering Practice for Cryptographic Protocols Proceedings of 1994 IEEE Computer Society Symposium on Research in Security and Privacy (pp 122–136) IEEE Abhishek, K., Roshan, S., Kumar, P., & Ranjan, R (2013) A Comprehensive Study on Multifactor Authentication Schemes Advances in Computing and Information Technology, 177, 561–568 Andriotis, P., Tryfonas, T., Oikonomou, G., & Yildiz, C (2013) A Pilot Study on the Security of Pattern Screen-LockMethods and Soft Side Channel Attacks Proceedings of the Sixth ACM Conference on Security and Privacy in Wireless and Mobile Networks Budapest, Hungary: ACM Badhib, A., Cherif, A., & Alshehri, S (2019) A Survey of Continuous Authentication Techniques for the Internet of Things KSII Transactions of Internet and Information Systems, 134–153 Belk, M., Pamboris, A., Fidas, C., Katsini, C., Avouris, N., & Samaras, G (2017) SweetSpotting Security and Usability for Intelligent Graphical Authentication Mechanisms Proceedings of the International Conference on Web Intelligence (pp 252–259) Leipzig, Germany: ACM Biddle, R., Chiasson, S., & Van Ooorschot, P C (2012, August) Graphical Passwords: Learning from the First Twelve Years ACM Computing Surveys, 44(4), 19–41 Boonkrong, S (2019) An Analysis of Numerical Grid-Based Authentication Proceedings of the Ninth International Conference on Information Communication and Management Prague, Czech Republic: ACM Boonkrong, S (2019, November) Security Analysis and Improvement of a Multi-Factor Biometric-Based Remote Authentication Scheme IAENG International Journal of Computer Science, 46(4) Boonkrong, S (2010) Some Remarks on Andrew Secure RPC Proceedings of the 10th International Conference on Innovative Internet Community Systems (I2CS) Bangkok: Gesellschaft fur Informatik Boonkrong, S (2011, June) Designing Cryptographic Protocols (in Thai) Journal of Information Technology, 7(1), 52–57 Boonkrong, S (2014) A More Secure and Efficient Andrew Secure RPC Protocol Security and Communication Networks, 7(11), 2063–2077 NHÓM 19 - TRANG 72 Bài tập tiểu luận môn ANM Buriro, A (2017) Behavioral Biometrics for Smartphone User Authentication Ph.D Thesis, University of Trento, International Doctoral School in Information Engineering and Communication Technologies (ICT), Italy Clark, J., & Jacob, J (1995) On the Security of Recent Protocols Information Processing Letters, 56(3), 151–155 Choudhury, B., Then, P., Issac, B., Raman, V., & Haldar, M K (2018) A Survey on Biometrics and Cancelable Biometrics Systems International Journal of Image and Graphics, 18(1) Dong, X., Jin, Z., Teoh, A B., Tistarelli, M., & Wong, K (2020, April) On the Security Risk of Cancelable Biometrics (Submitted to) Pattern Recognition - arXiv:1910.07770v3 [cs.CV] El-Abed, M., & Charrier, C (2020) Evaluation of Biometric Systems New Trends and Developments in Biometrics, 149–169 FBI (2020, March) Biometric Modalities Retrieved April 4, 2020, from FBI: www.fbi.gov/services/cjis/fingerprints-and-other-biometrics/biometric-center-ofexcellence Gemalto (2020) Biometrics: Authentication and Identification - 2020 Review Retrieved April 4, 2020, from Gemalto: www.gemalto.com/govt/inspired/biometrics Huseynov, E., & Seigneur, J.-M (2017) Context-Aware Multifactor Authentication Survey in Computer and Information Security Handbook (3rd ed.) Science Direct International Standards Organization (1998) Ergonomic requirements for office work with visual display terminals (VDTs) - Part 11: Guidance on usability Jesudoss, A., & Subramaniam, N P (2014) A Survey on Authentication Attacks and Countermeasures in a Distributed Environment Indian Journal of Computer Science and Engineering, 5(2), 71–77 Loge, M D (2015) Tell Me Who You Are and I Will Tell You Your Unlock Pattern Norwegian University of Science and Technology, Department of Computer and Information Science Norway: Norwegian University of Science and Technology Koong, C.-S., Yang, T.-I., & Tseng, C.-C (2014, July) A User Authentication Scheme Using Physiological and Behavioral Biometrics for Multitouch Devices The Scientific World Journal, 2014, 1–13 Kothavale, M., Markworth, R., & Sandhu, P (2004) Lecture Notes in Computer Security SS3: Biometric Authentication Birmingham, UK: University of Birmingham NHÓM 19 - TRANG 73 Bài tập tiểu luận môn ANM Li, C T., & Hwang, M S (2010, January) An efficient biometrics-based remote user authentication scheme using smart cards Journal of Network and Computer Applications, 33(1), 1–5 Linn, J (1996) RFC1964: The Kerberos Version GSS-API Mechanism USA: IETF Ma, W., Campbell, J., Tran, D., & Kleeman, D (2010) Password Entropy and Password Quality Proceedings of the Fourth International Conference on Network and System Security Melbourne, Australie: IEEE Mahitthiburin, S., & Boonkrong, S (2015, March) Improving Security with Two-factor Authentication Using Image Applied Science and Engineering Process, 8(1), 33–43 Oppliger, R (2009) SSL and TLS: Theory and Practice USA: Artech House, Inc Perez, L P (2015) Seamless and Strong Authentication on Mobile Devices Based on User Activity Ph.D Thesis, Universidade Da Beira Interior Engenharia, Portugal Satyanarayanan, M (1989) Integrating Security in a Large Distributed System ACM Transactions on Computer Systems, 7(3), 247–280 Schneier, B (2015, April) Two-factor authentication: too little, too late Communications of the ACM, 48(4), 136 Stanislav, M (2015) Two-Factor Authentication IT Governance Publishing Todorov, D (2007) Mechanics of User Identification and Authentication: Fundamentals of Identity Management New York, USA: Auerbach Publications, Taylor & Francis Group Vacca, J (2014) Cyber Security and IT Infrastructure Protection Science Direct Wangkeeree, N., & Boonkrong, S (2019, October) Finding a Suitable Threshold Value for an Iris-Based Authentication System International Journal of Electrical and Computer Engineering, 9(5), 3558–3568 Vongsingthong, S., & Boonkrong, S (2015, July) A Survey on Smartphone Authentication Walailak Journal of Science and Technology, 12(1), 1–19 Ye, G., Tang, Z., Fang, D., Chen, X., Kim, K I., Taylor, B., & Wang, Z (2017) Cracking Android pattern lock in five attempts Proceedings of the 2017 Network and Distributed System Security Symposium (NDSS) San Diego, CA, USA: Internet Society NHÓM 19 - TRANG 74 ... phương pháp hay cách thức áp dụng để thực công việc chứng thực bối cảnh công nghệ Các phương pháp đề cập đa dạng mặt cách thức Qua cung cấp kiến thức phương án để thực chứng thực người dùng Phương. .. yếu tố xác thực mảnh thông tin chứng thực sử dụng để xác nhận danh tính cá nhân Với phương thức chứng thực yếu tố, sử dụng yếu tố từ phương thức khác từ phương thức có sẵn Do sử dụng chứng thực. .. tin mà người sử dụng biết, thơng tin mà người sử dụng có cuối thơng tin người sử dụng Bất kì phương pháp chứng thực yếu tố xác thực cụ thể Những người sử dụng biết hay mật khơng đủ để bảo vệ hệ