Đồ án tốt nghiệp xử dụng otp trong việc xác nhận đối tác giao dịch nội bộ

Vai trò của bảo mật thông tin trong giao dịch trực tuyến

Trong cuộc sống xung quanh chúng ta luôn xảy sự trao đổi thông tin với nhau như: khách hàng gửi đơn đặt hàng tại nhà hàng, giáo viên gửi bảng điểm cho sinh viên, nhân viên gửi tài liệu cho giám đốc…

Tuy nhiên, phần lớn các trường hợp trao đổi thông tin giữa hai đối tác, người ta không hề muốn để lộ thông tin cho người thứ ba biết vì điều đó có thể gây ra hậu quả về thể chất cũng như tinh thần Một thông tin quan trọng của cơ quan nhà nước, tài liệu quan trong của một cơ quan nếu bị lộ thông tin hoặc bị đánh cắp thông tin thì sẽ gây ra thiệt hại rất lớn Để bảo vệ bí mật cho thông tin của mình được gửi đi trong một môi trường “mở’ tức là môi trường có nhiều tác nhân tiến cận ngoài hai đối tác trao đổi thông tin, người ta phải dùng các biện pháp bảo mật thông tin khi được chuyển đi

Bảo mật thông tin có vai trò vô cùng quan trọng trong việc ngăn chặn giả mạo,đánh cắp thông tin người dùng.

Nhu cầu xác thực đối tác trong giao dịch trực tuyến

Cùng với sự phát triển nhanh chóng của công nghệ thông tin, giao dịch trực tuyến trở thành vô cùng quan trọng và mang lại hiệu quả to lớn, một vài ví dụ điển hình có thể thấy như:

 Khách hàng liên lạc trực tuyến với càng ngân hàng để chuyển khoản hoặc rút tiền.

 Các cửa hàng trực tuyến hoặc các cơ quan dịch vụ (điện, điện thoại, …) gửi thông báo cước phí thanh toán cho khách hàng.

 Giáo viên gửi bảng điểm nhận xét cho khoa hoặc phòng đào tạo….

Tuy nhiên, đặc điểm quan trọng của giao dịch trực tuyến đó chính là môi trường “Mở” có thể đẫn đến nguy cơ về hiểm họa lớn cho các đối tác trong giao dịch Việc trao đổi trong môi trường “Mở” có nghĩa là ngoài 2 đối tác có thể tồn tại “ Kẻ thứ 3” có thể xâm nhập vào nội dung trao đổi “ Men – In –The- Midle – Attack” đánh cắp nội dung hoặc giả mạo thông tin đối tác.

Vì vậy một trong những vấn đề quan trọng trong giao dịch trực tuyến là làm sao nhận dạng đúng đối tác đang giao dịch với mình chẳng hạn như:

- Ngân hàng nhận dạng đúng khách hàng đang yêu cầu kiểm tra tài khoản, gửi tiền hoặc chuyển khoản…có phải là chủ tài khoản đó không.

- Người bán hàng trực tuyến nhận dạng khách hàng đang đặt hàng sản phẩm của mình là ai.

- Phòng đào tạo xác nhận đúng giáo viên gửi bảng điểm, giấy tờ ,

Hiện nay, công nghệ đáng tin cậy nhất để nhận dạng đối tác là sử dụng chữ ký điện tử với hệ thống chứng thực điện tử CA Tuy nhiên cơ sở vật chất và điều kiện sử dụng hệ thống này đòi hỏi rất cao, ngay cả các ngân hàng lớn ở Việt Nam còn chưa thiết lập được Hiển nhiên là các hệ thống quản lý của nhà trường cũng chưa thể ứng dụng các hệ thống đó trong thời gian trước mắt Giải pháp đưa ra là làm sao có thể giải quyết được vấn đề bảo mật an toàn, dễ sử dụng và tiết kiệm chi phí.

- Người bán hàng trực tuyến nhận dạng khách hàng đang đặt hàng sản phẩm của mình là ai.

- Phòng đào tạo xác nhận đúng giáo viên gửi bảng điểm, giấy tờ ,

Các biện pháp thường dùng để nhận dạng đối tác giao dịch trực tuyến

Sử dụng chữ kí điện tử

- Chữ ký điện tử là chương trình phần mềm gồm đoạn dữ liệu ngắn đính kèm văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc

- Về bản chất, chữ ký điện tử là chương trình phần mềm điện tử “được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng theo đó người đó có được thông điệp dữ liệu ban đầu và khóa công khai của người ký có thể xác định được chính xác.

- Việc biến đổi nêu trên được tạo ra bằng đúng khóa bí mật tương ứng với khóa công khai trong cùng một cặp khóa.

- Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi thực hiện việc biến đổi nêu trên” Sự xuất hiện của chữ ký điện tử và chức năng tiền định của nó, đặc biệt là vai trò của nó như là một công cụ trong việc xác định tính nguyên gốc, xác định tác giả, bảo đảm tính toàn vẹn của tài liệu điện tử, đã đóng một vai trò vô cùng quan trọng trong việc xác định địa vị pháp lý của tài liệu điện tử trong giao dịch điện tử Việc sử dụng chữ ký điện tử trong phần lớn trường hợp là cơ sở khẳng định giá trị pháp lý của những văn bản điện tử tương đương với tài liệu giấy. Hiện nay, chữ ký điện tử là phương tiện duy nhất để xác nhận giá trị pháp lý của tài liệu điện tử.

Như vậy, với sự xuất hiện của chữ ký điện tử, vấn đề giá trị pháp lý của tài liệu điện tử, có thể coi như đã được giải quyết Việc sử dụng chữ ký điện tử trong giao dịch điện tử cũng có những ưu điểm và bất cập nhất định Sau đây em xin đề cập đến những ưu điểm và hạn chế khi sử dụng chữ ký số trong giao dịch điện tử:

Những ưu điểm khi sử dụng chữ ký điện tử.

- Trước hết, sử dụng chữ ký điện tử là điều kiện bảo đảm tính pháp lý của các giao dịch điện tử, cho phép các giao dịch có thể thực hiện trong môi trường điện tử Khác với văn bản giấy với chữ ký bằng tay, những văn bản điện tử có thể chuyển theo đường truyền internet trong một thời gian rất ngắn Như vậy, việc sử dụng chữ ký điện tử và thực hiện những giao dịch điện tử cho phép tiết kiệm thời gian, sức lực và tăng hiệu quả lao động.

- Ngăn chặn khả năng giả mạo chữ ký (theo nghĩa tạo ra một chữ ký điện tử y hệt như chữ ký đang được sử dụng và có thể kiểm tra bằng cách thông thường bởi mã khóa công khai) Theo nghiên cứu của các chuyên gia, khả năng giả mạo chữ ký là 1/10, trong khi đối với chữ ký tay, khả năng này có thể tăng đến 60- 70%.

- Cho phép xác định tác giả văn bản và tính nguyên gốc của văn bản Về lý thuyết, khi văn bản điện tử đã được ký bởi chữ ký điện tử thì không thể thay đổi. Nếu thay đổi dù chỉ một ký tự trong văn bản, việc kiểm tra chữ ký sẽ không mang lại kết quả trùng khớp, và văn bản đó, đương nhiên, sẽ không có hiệu lực Như vậy, chữ ký số có thể là công cụ xác định tác giả tài liệu điện tử cững như sự vẹn toàn của chúng và một văn bản điện tử được ký bởi chữ ký số có thể là căn cứ pháp lý để bảo vệ quyền lợi hợp pháp cho người tham gia giao dịch điện tử.

Hạn chế khi sử dụng chữ ký điện tử

- Sự lệ thuộc vào máy móc và chương trình phần mềm: Như đã nói ở trên, chữ ký điện tử là một chương trình phần mềm máy tính Để kiểm tra tính xác thực của chữ ký cần có hệ thống máy tính và phần mềm tương thích Đây là hạn chế chung khi sử dụng văn bản điện tử và chữ ký điện tử.

- Vấn đề bản gốc, bản chính: Nếu đối với tài liệu giấy, chữ ký được ký một lần và chỉ có một bản duy nhất (được coi là bản gốc) Bản gốc được ký bằng chữ ký sẽ không thể cùng lúc ở hai chỗ khác nhau Có thể tin tưởng rằng, nếu bản gốc duy nhất mất đi thì sẽ không thể có bản thứ hai giống hệt như vậy Nhưng với văn bản điện tử đã được ký bằng chữ ký số, người ra có thể copy lại và bản copy từ bản chính và bản copy từ bản copy không có gì khác biệt so với bản chính duy nhất được ký Đây là một thách thức đối với công tác văn bản và cả nền hành chính. Khái niệm bản gốc, bản chính trong văn bản hành chính sẽ phải xem xét lại đối với văn bản điện tử.

- Việc chứng thực của chữ ký điện tử phải thông qua CA (CertificationAuthority) một cơ quan chứng thực chữ ký điện tử vì vậy không phù hợp với những hoạt động của nhưng tổ chức có quy mô vừa và nhỏ Mặt khác ở Việt Nam chưa có những CA hoạt động trong lĩnh vực công cộng.

Như vậy chữ ký điện tử là cơ sở khẳng định giá trị pháp lý của văn bản điện tử và cho phép thực hiện những giao dịch điện tử Tuy nhiên, để chữ ký điện tử trở nên phổ biến, thông dụng tạo tiền đề cho việc văn bản điện tử phát huy những tính năng vượt trội của mình và có thể thay thế tài liệu giấy, cần nghiên cứu và khắc phục những hạn chế của chữ ký điện tử, đồng thời cần có thêm những công cụ khác để khẳng định giá trị pháp lý của tài liệu điện tử.

S/MIME (Secure/Multipurpose Internet Mail Extension)

- Giao thức mở rộng thư đa phương tiện trên Internet có bảo mật là một chuẩn mã hóa tệp đính kèm trong dịch vụ thư điện tử

- S/MIME chỉ chạy trên một chương trình do RSA Data Security thiết kế giống như một hộp dụng cụ đi kèm với các tin đính kèm trong hộp thư Để gửi tệp đính kèm thư điện tử cần được bảo vệ cho một đối tác, cả 2 hòm thư đề phải đăng ký sử dụng S/MIME và người gửi phải được cung cấp khóa công khai của người nhận.

Ưu điểm khi sử dụng S/MIME

- S / MIME được thiết kế để bảo mật end-to-end Một cách hợp lý thì không thể có một bên thứ ba kiểm tra có thể xâm nhập được.

- Trở ngại khi triển khai S / MIME trong thực tế

- S/ MIME đôi khi được coi là không phù hợp để sử dụng đúng cách thông qua webmail client và làm phức tạp những lợi thế quan trọng của webmail.

- Hầu hết các nhà cung cấp hòm thư ( hòm thư riêng liên hệ với từng website) đuề chưa cung cấp dịch vụ sử dụng S/MiME

Từ những nhược điểm của các giải pháp trên cho thấy cần đưa ra một biện pháp xác thực khác trong giao dịch để giảm chi phí, thời gian và đơn giản hóa trong quá trình nhận diện đối tác nhanh và chính xác nhất Một trong biện pháp tối ưu để giải quyết vấn đề đó chính là sử dụng OTP (One Time Password) để nhận diện các đổi tác trong giao dịch nội bộ.

OTP (One Time Password)

OTP là một mật khẩu chỉ có giá trị trong một phiên giao dịch, chỉ có thể được sử dụng một lần – trong một thời gian rất ngắn - cho việc xác thực người dùng hoặc cho người dùng xác thực một giao dịch OTP thường được sử dụng trong các giao dịch điện tử hoặc các hệ thống xác thực chặt chẽ.

Khó khăn lớn nhất trong việc sử dụng OTP là làm sao chuyển giao OTP từ phía người nhận dạng đến đối tác cần nhận dạng mà không bị tấn công của kẻ dứng giữa “ Men – In –The- Midle – Attack”.

Lợi ích của OTP là nó chống được tấn công phát lại, nghĩa là nếu có một ai đó có thể lấy được thông tin về OTP trong một phiên làm việc thì cũng không thể sử dụng nó để đăng nhập vào lần kế tiếp.

OTP được các điệp viên CIA, KGB, MI6 dùng phổ biến trong hai cuộc thế chiến Lý do thứ nhất là vì nó đơn giản: mã & giải mã chỉ cần dùng đến tính nhẩm (có thể dùng thêm bút chì và giấy), lý do thứ hai là nó rất an toàn Tuy đã được dùng rất lâu từ trước nhưng mãi đến khoảng năm 1940, phương pháp này mới được chứng mình bằng lý thuyết về tính an toàn tuyệt đối của nó Chứng minh được đưa ra đồng thời và độc lập bởi Claude Shannon (nhà toán học Mỹ, cha đẻ lý thuyết thông tin) và Vladimir Kotelnikov (viện sĩ khoa học Liên bang Nga, kỹ sư chế tạo rađa).

Có một cách sử dụng OTP đặc biệt gọi là chia xẻ bí mật (secret splitting),sau khi mã hoá, văn bản gốc bị hủy thay vì khóa, sau đó khóa và văn bản mã hoá được đưa cho hai người khác nhau cất giữ Chỉ khi hai người này cũng đồng ý nối hai "khoá" lại với nhau thì mới giải mã ra được văn bản gốc Tương tự, có thể chia xẻ bí mật cho 3, 4, người bằng cách sử dụng 2, 3, khoá Đây là cách bảo vệ các tài nguyên đặc biệt quan trọng, trách nhiệm bảo vệ đó được chia xẻ cho nhiều người, tuy nhiên lưu ý rằng nếu chỉ một phần của bí mật bị mất đi, thì bí mật đó cũng sẽ mất đi vĩnh viễn.

OTP là phương pháp mã hoá tuyệt đối an toàn nếu được sử dụng đúng cách, và là phương pháp tuyệt đối an toàn duy nhất cho đến thời điểm hiện tại Văn bản được mã hoá với OTP không cho biết bất kỳ thông tin gì về văn bản gốc, ngoại trừ độ dài Với một văn bản đã mã hoá cho trước, chúng ta có thể nghĩ ra các chuỗi khoá để "giải mã" nó về bất kỳ văn bản nào chúng ta muốn! Các phương pháp mã hoá mới sau này như DES (Data Encryption Standard), AES (Advanced Encryption Standard), PGP (Pretty Good Privacy), PKI (Public Key Infastructure) tuy tiện dụng và có nhiều ưu điểm khác, nhưng về mặt lý thuyết không phải là không phá được Nhưng trong sử dụng thực tế, có những lý do sau khiến OTP trở nên không an toàn:

 Chuỗi khóa OTP không thực sự ngẫu nhiên (các nhân viên thư ký của KGB tạo ra OTP bằng cách gõ ngẫu nhiên lên máy đánh chữ, nhưng xu hướng gõ phím của tay người vẫn có những pattern nhất định).

 Việc cất giữ và tiêu huỹ OTP có quá nhiều yếu tố rủi ro (đã có tình huống CIA giải được mã nhờ một cuốn sổ OTP đã bị đốt nhưng chưa cháy hết).

 Mỗi trang OTP chỉ được dùng một lần (đã có lúc trong tình hình khẩn cấp, nhân viên KGB bất cẩn dùng một trang OTP cho nhiều lần mã hoá, dẫn đến việc CIA giải được khoảng 1% trong số những thông điệp gửi bởi KGB trong những năm 1945 ~ 1950). Điểm yếu nhất của OTP nằm trong quá trình trao đổi khoá (key exchange), đó là một trong những lý do hình thành phương pháp public key rất tiện dụng sau này Đến bây giờ, khi những phương tiện mã hoá và truyền thông đã quá hiện đại, người ta vẫn còn tiếp tục dùng OTP cho những kênh thông tin thuộc loại top secret (như đường dây hotline Washington DC - Moscow, liên lạc với tàu ngầm ) vì tính tuyệt đối an toàn đã được chứng minh lý thuyết của nó.

 Nguyên lý hoạt động của OTP

Sau khi đã đăng ký dịch vụ, mỗi lần muốn đăng nhập (log in), người dùng sẽ được cung cấp một mật khẩu tạo ra bởi đầu đọc và thẻ thông minh hay thiết bị tạo mật khẩu dạng cầm tay (token) nhờ vào kết nối internet với máy chủ cung cấp dịch vụ OTP; hoặc cũng có thể thông qua thẻ OTP được tạo sẵn hay điện thoại di động Mật khẩu này sẽ tự mất hiệu lực sau khi người dùng đăng xuất (log out) ra khỏi hệ thống Như vậy, nếu bị lộ mật khẩu thì người có được mật khẩu đó cũng không thể dùng được, và do đó giải pháp OTP có tính bảo mật cao.

Quá trình tạo mật khẩu mới sẽ lặp lại mỗi lần người dùng đăng nhập vào hệ thống được bảo mật bằng OTP Công nghệ OTP được dùng nhiều trong chứng thực trực tuyến (thương mại trực tuyến) Hiện nay người dùng các thiết bị cầm tay như iPhone, Blackberry cũng có thể tự cài đặt cơ chế bảo mật OTP bằng các chương trình như VeriSign, RSA SecureID hay SafeNet MobilePASS. Ngày càng có nhiều giải pháp mới giúp tăng cường tính bảo mật của mật khẩu. Nhưng dù với bất cứ giải pháp nào thì người dùng cũng nên tự bảo vệ mình bằng cách lựa chọn và ghi nhớ mật khẩu của mình thật hiệu quả, cũng như tăng cường các biện pháp phòng vệ trước sự đe dọa của hacker và các chương trình keylogger.

Sử dụng công nghệ OTP khiến cho việc truy cập bất hợp pháp đến những tài nguyên được giới hạn, ví dụ như một tài khoản máy tính trở nên khó khăn hơn.Thông thường, mật khẩu cố định có thể bị người dùng bất hợp pháp truy cập trong trường hợp họ có đủ thời gian và số lần truy cập.

 Các kỹ thuật mật mã sử dụng trong công nghệ OTP

Dùng một thuật toán để tạo ra một mật khẩu mới dựa trên mật khẩu trước đó, dựa trên phương pháp của Leslie Lamport là dùng một hàm một chiều (hàm f) Hệ thống OTP làm việc bằng cách khởi đầu với một giá trị s, sau đó sản sinh ra các mật khẩu với giá trị: f(s), f(f(s)), f(f(f(s))), , rất nhiều lần tương đương với số lần sử dụng Chú ý rằng, các mật khẩu này khi dùng thì được lấy theo thứ tự ngược lại Nếu như một người nào đó thấy được mật khẩu sử dụng một lần, họ chỉ có thể truy cập được một phiên duy nhất, nó sẽ không thể lặp lại lần nữa.

Mật khẩu OTP được sử dụng cho phiên làm việc đầu tiên sẽ được tính như sau:

Trong đó fN(s) = f(fN-1(s)) – với N là số lần áp dụng hàm f lên giá trị mầm s.

Khi đó ta sẽ có lần lượt các mật khẩu OTP cho các phiên như ở bảng dưới đây.

Bảng 1.1 Bảng thể hiện mật khẩu OTP theo các phiên

OTP1 = fN(s) OTP2 = fN-1(s) OTP3 = fN-2(s) OTP4= fN-3(s)

Khi phiên truy cập đó kết thúc Để có được mật khẩu trong dãy từ mật khẩu của lần truy cập trước đó, người đó phải tìm cách để tính ngược được hàm nghịch đảo (f-1) Vì hàm f là hàm một chiều nên điều này cực kỳ khó để thực hiện Nếu f là một hàm băm mật mã (cryptographic hash function) thì nó hầu như không thể nào tính toán được.

 Kiểu thứ hai Được dựa trên sự đồng bộ thời gian giữa nhà cung cấp dịch vụ (authentication server) và khách hàng (client) được cung cấp mật khẩu Mật khẩu sử dụng một lần kiểu đồng bộ thời gian luôn có mối quan hệ mật thiết với một thiết bị phần cứng gọi là token (ví dụ một người được cung cấp thiết bị token cá nhân để tạo một mật khẩu sử dụng một lần) Bên trong thiết bị này là 1 đồng hồ chính xác được đồng bộ với đồng hồ của nhà cung cấp dịch vụ Trong hệ thống OTP này, thời gian là một phần quan trọng của thuật toán tạo ra mật khẩu, từ đó việc tạo ra mật khẩu mới dựa trên thời gian hiện tại khác với việc dựa trên mật khẩu trước đó hay là một từ khóa. Trường hợp này, điện thoại di động hoặc PDA cũng có thể được dùng để tạo ra OTP

Các phương pháp truyền mã của OTP

Sử dụng OTP Token

Hình 1.1 Sử dụng OTP Token

- OTP Token là thiết bị phát sinh mật khẩu dùng một lần Trên thiết bị có một nút nhỏ dùng để tạo ra mật khẩu dùng một lần là dãy số gồm 06 con số Khi thực hiện giao dịch trên Online, người dùng chọn xác thực lệnh theo phương thức xác thực OTP Token, ngoài việc xác nhận mật khẩu đăng nhập, hệ thống còn yêu cầu nhập vào dãy số hiện ra trên thiết bị OTP Token khi các bấm vào nút nhỏ trên thiết bị này và nhập dãy số này vào để xác nhận giao dịch.

- Trên mỗi thiết bị OTP Token đều có một dãy số seri Khi người dùng đăng ký sử dụng OTP Token, người dùng sẽ thực hiện đăng ký số seri kết nối với tài khoản của bên kia Hệ thống sẽ kiểm tra tính hợp lệ của mật khẩu phát sinh từ thiết bị thông qua số seri này.

- Tuy nhiên nhược điểm của OTP Token đó là:

+ Không phù hợp với các dự án có quy mô vừa và nhỏ.

+ OTP Token không thay pin được, hết pin phải thay Token mới nên gây tốn kém cho người sử dụng.

Sử dụng qua tin nhắn điện thoại SMS

Hình 1.2 Sử dụng tin nhắn điện thoại SMS OTP SMS là mật khẩu được gửi qua số điện thoại di động (ĐTDĐ) của sử dụng. Khi thực hiện giao dịch, người sử dụng chọn phương thức xác thực lệnh là phương thức OTP SMS sẽ được nhận tin nhắn chứa mật khẩu xác thực qua ĐTDĐ Ngoài việc xác nhận mật khẩu đăng nhập, hệ thống còn yêu cầu người dùng nhập thêm mật khẩu OTP SMS này để xác nhận lệnh Để đảm bảo an toàn cho phương thức xác thực OTP SMS, trong vòng 5 phút nếu không nhận được mật khẩu OTP vào ĐTDĐ, người sử dụng nên thực hiện lại giao dịch để nhận mật khẩu OTP SMS mới.

+ Việc sử dụng OTP SMS độc lập với đường truyền giao dịch nên độ bảo mật cao.

+ Thời gian tồn tại mã OTP ngắn nên khả năng bị đánh cắp mã OTP là rất khó.

+ Dễ sử dụng, tiện lợi và rẻ và được sử dụng phổ biến.

+ Chỉ phù hợp với thuê bao sử dụng trong nước

+ Trường hợp kẻ đánh cắp xâm nhập vào đường truyền SMS là khá cao nên việc bị lộ thông tin là không thể tránh khỏi.

Do việc truyền mã trên Token và SMS còn xảy ra những hạn chế nên trong đề tài này tôi sẽ sử dụng biện pháp truyền mã OTP có thể khắc phục được những nhược điểm trên đó chính là sử dụng ma trận OTP.

Sử dụng Ma trận OTP

Hình 1.3 Sử dụng ma trận OTP

OTP Ma trận là thẻ dùng để xác thực giao dịch trực tuyến Trên mỗi thẻ có in một bảng ma trận số gồm 64 ô số (8×8) khác nhau, và một số serial của thẻ Khi bên

A đăng ký sử dụng thẻ, bên B sẽ tiến hành đăng ký số serial kết nối với tài khoản của bên A Sau khi đăng ký thẻ xác thực, mỗi lần thực hiện giao dịch nội bộ trực tuyến, lệnh hệ thống yêu cầu bên A nhập vào 3 tọa độ ô số ngẫu nhiên được chọn từ thẻ xác thực.

Sau khi kế nối được bên A sẽ cấp cho bên B 3 ô ngẫu nhiên để điền, dữ liệu được lấy trong thẻ ma trận:

Giả sử bên A có thẻ ma trận trên và hệ thống yêu cầu bên B nhập giá trị của các ô B1, E4, G5 thì các giá trị hợp lệ khách hàng cần nhập vào sẽ là 7, 8, 4.

Hình 1.4 Hoạt động của ma trận OTP

 Ưu điểm của việc sử dụng phương thức xác thực ma trận OTP:

 Người dùng có thẻ OTP ma trận trên tay mới có thể xác thực giao dịch.

 Người dùng sử dụng thẻ OTP ma trận sẽ không bị phụ thuộc vào tình trạng mạng viễn thông như với phương thức OTP SMS;

 Thẻ OTP Ma trận nhỏ, gọn, khó hư hỏng có thể để trong ví dễ dàng và sử dụng được ở nước ngoài và không bị lỗi thiết bị như OTP Token;

 Chi phí thẻ OTP Ma trận rẻ hơn nhiều so với thiết bị OTP Token hoặc Token-CA

Hạn chế về địa lý vì thẻ ma trận OTP phải trực tiếp giao tận tay cho người dùng.

CÔNG NGHỆ SỬ DỤNG 2.1 ASP.NET

CSharp (C#)

CSharp là một ngôn ngữ lập trình hướng đối tượng được phát triển bởi Microsoft, là phần khởi đầu cho kế hoạch NET của họ Microsoft phát triển C# dựa trên C++ và Java C# được miêu tả là ngôn ngữ có được sự cân bằng giữa C++, Visual Basic, Delphi và Java.

Với những lợi ích này, C# là ngôn ngữ phù hợp với đề tài.

UML 2.0

UML(Unified Modeling Language) là ngôn ngữ dành cho việc đặc tả, hình dung, xây dựng và làm tài liệu của các hệ thống phần mềm, được phát triển bởi Rational Rose và một số nhóm cộng tác, nó nhanh chóng trở thành một trong những ngôn ngữ chuẩn để xây dựng hệ thống phần mềm hướng đối tượng (Object- Oriented).

UML là một “ngôn ngữ” dành cho việc chỉ định, đặc tả bằng các mô hình,hình ảnh chứ không phải là ngôn ngữ gồm các dòng lệnh, các phương thức hay thủ tục…UML được sử dụng để định nghĩa hệ thống phần mềm, chi tiết về hệ thống,làm tài liệu và xây dựng hệ thống, nó là một ngôn ngữ để lên kế hoạch cho việc viết chi tiết UML có thể được sử dụng theo nhiều cách để hỗ trợ cho các phương pháp luận trong việc phát triển phần mềm.

UML dùng để chuẩn hóa cho việc đặc tả, cụ thể hóa, trực quan hóa, xây dựng và tạo tài liệu cho một hệ thống phần mềm, cũng như cho mô hình doanh nghiệp và những hệ thống khác.Giúp mô hình hóa hệ thống trước khi viết mã chương trình, đảm bảo tính đúng đắn hợp lý của kiến trúc hệ thống từ khi khởi đầu đến khi kết thúc một dự án.

UML sử dụng hầu hết các ký hiệu đồ họa để mô tả bản thiết kế của các dự án phần mềm.

Với sự tiện lợi, đơn giản, tối ưu trong việc phân tích thiết kế, UML đã được em lựa chọn để sửa sử dụng trong đề tài.

SQL SERVER

SQL Server là một hệ thống quản trị cơ sở dữ liệu quan hệ, SQL Server được tối ưu để có thể chạy trên môi trường cơ sở dữ liệu rất lớn.

SQL Server có rất nhiều phiên bản: 1986, 1992, 1999, 2000,2005 ,2008, 2011(Beta).

- Trial: Same Enterprise Editor, Limit time

SQL Server có đặc điểm:

- Quản lý được dư thừa dữ liệu

- Đảm báo tính nhất quán dữ liệu

- Khả năng chia sẻ dữ liệu(phân quyền truy cập)

- Quản lý tính toàn vẹn dữ liệu

- Thích hợp trên các hệ điều hành Windows

- Hoạt động với nhiều giao thức truyền thông

- Hỗ trợ dịch vụ Data Warehousing

- Thích hợp với chuẩn ANSI/ISO SQL-92

- Cung cấp dịch vụ tìm kiếm Full-Text

- Sách trợ giúp- Book Online

Em nhận thấy SQL Server phù hợp để làm hệ quản trị cơ sở dữ liệu của đề tài.

Chương 3 ỨNG DỤNG XÁC NHẬN ĐỐI TÁC SỬ DỤNG MA TRẬN OTP

Tìm hiểu mô hình hoạt động ma trận ngẫu nhiên OTP

Với các đơn vị, tổ chức không lớn lắm, kinh phí hoạt động lại hạn chế ta có thể dùng một phương pháp sinh và chuyển giao OTP thường gọi là phương pháp sử dụng ma trận mật khẩu ngẫu nhiên.

Một ma trận mật khẩu ngẫu nhiên là một bảng hình chữ nhật có m hàng thường đánh số thứ tự từ 1, 2,…đến m và n cột thường đánh số bằng các ký tự A, B, C, … Chẳng hạn ở hình dưới đây ta có một bảng gồm 8 hàng, đánh số 1, 2, 3, 4, 5, 6, 7, 8 và 8 cột, đánh số A, B, C, D, E,F, G, H Như vậy trong bảng có m x n ô, trong hình dưới đây là : 8 x 8 = 64 ô Tại mỗi ô trong bảng ta ghi một ký tự bất kỳ - có thể lặp lại) lấy tùy ý trong dãy gồm 26 chữ cái tiếng Anh và 9 con số - không dùng số 0 vì sợ lẫn với chữ o – tổng cộng có 35 ký tự:

Chẳng hạn để làm thí dụ, ta lập một bảng cụ thể như sau

Bảng 3.1 Bảng ma trận OTP

Trong bảng này, có 8 hàng, 8 cột tạo thành 64 ô, tại mỗi ô có thể chọn tùy ý 1 trong số 35 ký tự để điền vào cho nên có thể tạo ra tất cả : 35 64 bảng khác nhau (số chỉnh hợp lặp chập 64 của 35 phần tử)

CHƯƠNG TRÌNH MÔ PHỎNG XÁC NHẬN SINH VIÊN ĐĂNG KÍ TÍN CHỈ BẰNG OTP 4.1 Đặt vấn đề

Mô tả ứng dụng sử dụng ma trận OTP trong đào tạo tín chỉ

- Thẻ ma trận OTP được cấp cho sinh viên trực tiếp tại khoa giáo vụ Sinh viên có trách nhiệm cam kết tự bảo vệ bảng mật khẩu OTP của mình.

- Khi sinh viên có nhu cầu đăng kí tín chỉ hệ thống sẽ yêu nhập tên đăng nhâp, mật khẩu

- Sau khi sinh viên nhập và chọn xác nhận, hệ thống sẽ kiểm tra xem mã đó có đúng với mã trong bảng ma trận OTP mà hệ thống đã cung cấp hay không

- Xác nhận thành công, hệ thống sẽ chuyển về trang đăng kí tín chỉ cho sinh viên đăng kí.

- Nếu mã OTP nhập 3 lần không chính xác, hệ thống sẽ hủy giao dịch và yêu cầu nhập lại.

( Chú ý: Mã OTP tồn tại trong 30 giây, sau 30 giây, mã OTP sẽ mất hiệu lực.) Ưu điểm: Xác thực quyền đăng kí cho sinh viên khi đăng kí tín chỉ

Nhược điểm: Cần sự chính xác và nhanh nhẹn khi thao tác nhập mã.

Phân tích thiết kế hệ thống

Hình 4.1 Tác nhân hệ thống

- Người dùng đăng nhập vào hệ thống và thực hiện nhập mã OTP

- Người quản trị: quản lý hệ thống, quản lý tài khoản người dùng, xác nhận người dùng và thực hiện cho phép đăng kí tín chỉ.

4.3.3 Usecase Quản lí giao dịch

Hình 4.3 Usecase Quản lí giao dịch

 Đặc tả usecase Xác thực sinh viên

Bảng 4.1 Đặc tả usecase Xác thực người dùng

Tên usecase Xác thực người dùng

Mô tả Xác thực người dùng khi thực hiện giao dịch trong hệ thống Luồng sự kiện Tác nhân Hệ thống phản hồi

1 Chọn menu đăng kí tín chỉ

2 Đưa ra giao diện xác thực người dung

3 Nhập mã OTP theo 3 ô hệ thống cung cấp

5 Hệ thống kiểm tra thông tin

6 Nếu thông tin chính xác, thông báo thành công Luồng thay thế và các ngoại lệ

6a Nếu thông tin không chính xác, thông báo xác thực thất bại Điều kiện sau Chuyển sang trang xử lí giao dịch Điều kiện thoát Khi tác nhân chọn thoát

Khi chức năng thực hiện thành công

Đặc tả usecase Giao dịch

Bảng 4.2 Đặc tả usecase Giao dịch

Mô tả Cho phép người dùng đăng kí tín chỉ trên hệ thống

Luồng sự kiện Tác nhân Hệ thống phản hồi

1 Chọn chức năng đăng kí tín chỉ

2 Đưa ra giao diện xác thực người dùng

3 Tạo 3 ô ngẫu nhiên trên hệ thống

4 Nhập thông tin và xác nhận

5 Lưu thông tin vào CSDL

Luồng thay thế và các ngoại lệ

5a Nếu mã OTP nhập không đúng, thông báo giao dịch thất bại Nhập sai quá 3 lần thoát ra màn hình đăng nhập Điều kiện sau Chuyển đến trang đăng kí tín chỉ Điều kiện thoát Khi tác nhân chọn thoát

Biểu đồ quy trình hoạt động

- Mỗi sinh viên sẽ được cấp một tài khoản với tên truy cập và mật khẩu để đăng nhập

- Tại màn hình đăng nhập, sinh viên nhập tài khoản và mật khẩu, hệ thống kiểm tra tài khoản với tên đăng nhập và mật khẩu của sinh viên đó.

- Nếu người dùng nhập đúng sẽ cho hiển thị trang chính của CTMS.

- Ngược lại nếu người dùng nhập sai sẽ báo người dùng cần nhập lại ID và mật khẩu.

Hình 4.4 Biểu đồ Acitivity đăng nhập tài khoản sinh viên b Xác thực sinh viên

Chương trình xác thực sinh viên bằng OTP sẽ diễn ra như sau:

- Khi sinh viên có nhu cầu đăng kí tín chỉ, hệ thống tiếp nhận sinh viên đăng kí và tạo ra 3 ô ngẫu nhiên

(Chú ý: 3 ô ngẫu nhiên có thể chứ 1 đến 4 kí tự bao gồm chữ cái thường, chữ cái in hoa và chữ số)

- Sinh viên so sánh bảng OTP được cấp trước đó và nhập lần lượt vào 3 ô ngẫu nhiên hệ thống cung cấp.

- Hệ thống so sánh mã giá trị nhận được đúng nếu đúng sẽ thông báo mã OTP chính xác và chuyển về trang đăng đăng kí tín chỉ.

- Trường hợp mã OTP sai hệ thống sẽ thông báo sai mã OTP và yêu cầu nhập lại mã.

- Trường hợp nhập sai quá 3 lần hệ thống sẽ thoát rat rang đăng nhập và yêu cầu sinh viên đăng nhập lại.

Hình 4.5 Biểu đồ Acitivity xác nhận sinh viên bằng OTP ma trận c Tạo mã OTP Khi người dùng thực hiện xác thực người dùng thì hệ thống sẽ tự động tạo ra

3 ô ngẫu nhiên phục vụ cho quá trình xác thực Người dũng sẽ so sánh bảng OTP được cấp trước và nhập m theo ô tương ứng Hệ thống sexc sô sánh và đưa ra thông báo.

Hình 4.6 Biểu đồ Activity tạo mã OTP.

Thiết kế cơ sở dữ liệu

Hình 4.7 Cơ sở dữ liệu tblSinhvien

Bảng tblSinhvien dùng để lưu các loại thông tin sinh viên trên hệ thống bao gồm các thông tin như mã sinh viên, email sinh viên đăng nhập vào hệ thống, mật khẩu, họ tên sinh viên.

Bảng 4.3 Đặc tả dữ liệu bảng tblSinhvien ST

Thuộc tính Kí hiệu Kiểu dữ liệu Khóa

1 Mã sinh viên PK_idSinhvien Nvarchar (10) PK

Bảng tblTKBangOTP dùng để lưu các loại thông tin của bảng ma trận OTP bao gồm các thông tin như Mã Bảng OTP, nội dung bảng ma trận OTP, mã sinh viên, thời gian tạo bảng OTP

Bảng 4.4 Bảng đặc tả dữ liệu tblBangOTP ST

2 Nội dụng bảng ma trận

3 Mã sinh viên FK_idSinhvien Nvarchar (10) FK

4 Thời gian tạo bảng OTP tThoigiantao datetime tblGiaodich

Bảng tblGiaodich dùng để lưu các loại thông của giao dịch cuả sinh viên trong 1 phiên giao dịch bao gồm các thông tin về mã giao dịch, thời gian giao dịch.

Bảng 4.5 Bảng đặc tả dữ liệu tblGiaodich ST

1 Mã giao dịch PK_idGiaodich Nvarchar (10) PK

2 Thời gian giao dịch thoigianGD Datetime tblChitietGiaodich

Bảng tblChitietgiaodich dùng để lưu chi tiết giao dịch, bao gồm mã chi tiết giao dịch, mã sinh viên, mô tả giao dịch, mã giao dich.

Hình 4.11 Bảng tblChitietigiaodich Bảng 4.6 Đặc tả dữ liệu bảng tblChitietigiaodich

STT Thuộc tính Kí hiệu Kiểu dữ liệu Khóa

1 Mã chi tiết giao dịch

2 Mô tả giao dịch sMota Nvarchar

3 Mã sinh viên FK_idSinh vien

4 Mã giao dịch FK_idGiao dich

Bảng tblQuantri dùng để lưu các loại thông của người quản trị hệ thống, người quản trị là giáo vụ quản lý đăng kí tín chỉ Thông tin lưu trữ của người quản trị bao gồm các thông tin Mã quản trị, tên người quản trị đăng nhập hệ thống, mật khẩu.

Bảng 4.7 Đặc tả dữ liệu bảng tblQuantri ST

1 Mã quản trị PK_idQuantri Nvarchar(10) PK

2 Tên người quản trị tenQT Nvarchar(50)

3 Mật khẩu matkhau Nvarchar(50) tblWebsite

Bảng tblWebsite dùng để lưu các website được tích hợp trong hệ thống bao gồm các thông tin mã website, đường dẫn website url, mã sinh viên.

Bảng 4.8 Đặc tả dữ liểu bảng tblWebsite

1 Mã Website PK_iWebsiteID Nvarchar (10) PK

3 Mã sinh viên FK_idSinhvien Nvarchar (10) FK

KẾT QUẢ ĐẠT ĐƯỢC

3.1 Tìm hiểu mô hình hoạt động ma trận ngẫu nhiên OTP

Với các đơn vị, tổ chức không lớn lắm, kinh phí hoạt động lại hạn chế ta có thể dùng một phương pháp sinh và chuyển giao OTP thường gọi là phương pháp sử dụng ma trận mật khẩu ngẫu nhiên.

Một ma trận mật khẩu ngẫu nhiên là một bảng hình chữ nhật có m hàng thường đánh số thứ tự từ 1, 2,…đến m và n cột thường đánh số bằng các ký tự A, B, C, … Chẳng hạn ở hình dưới đây ta có một bảng gồm 8 hàng, đánh số 1, 2, 3, 4, 5, 6, 7, 8 và 8 cột, đánh số A, B, C, D, E,F, G, H Như vậy trong bảng có m x n ô, trong hình dưới đây là : 8 x 8 = 64 ô Tại mỗi ô trong bảng ta ghi một ký tự bất kỳ - có thể lặp lại) lấy tùy ý trong dãy gồm 26 chữ cái tiếng Anh và 9 con số - không dùng số 0 vì sợ lẫn với chữ o – tổng cộng có 35 ký tự:

Chẳng hạn để làm thí dụ, ta lập một bảng cụ thể như sau

Bảng 3.1 Bảng ma trận OTP

Trong bảng này, có 8 hàng, 8 cột tạo thành 64 ô, tại mỗi ô có thể chọn tùy ý 1 trong số 35 ký tự để điền vào cho nên có thể tạo ra tất cả : 35 64 bảng khác nhau (số chỉnh hợp lặp chập 64 của 35 phần tử)

Khi sinh viên được cấp tên sử dụng và mật khẩu OTP giao dịch lần đầu Có thể đổi mật khẩu và báo cáo hệ thống chấp nhận lưu lại Người quản lý hệ thống A

(Phòng đào tạo, Phòng quản lý sinh viên, Khoa chủ quản ngành v v ) cấp “trực tiếp” cho mỗi đối tác giao dịch B (sinh viên) một bảng ma trận mật khẩu ngẫu nhiên và lưu lại cho hệ thống một bảng hoàn toàn đồng dạng để đối chiếu sau này: Có thể quản lý giao dịch với 35 64 đối tác giao dịch khác nhau: Số lượng đối tác được quản lý rất lớn!

Khi người quản lý hệ thống A nhận được yêu cầu giao dịch của đối tác B qua điện thoại gọi đến, qua gửi E.mail hoặc qua đăng nhập website (dùng mật khẩu đã đăng ký) thì phía quản lý sau khi xác nhận quyền giao dịch qua tên người dùng và mật khẩu sẽ phải thẩm tra tính chân thực của người dùng, chống kẻ xấu đánh cắp được mật khẩu của B mà mạo danh giao dịch A gửi cho B một thông báo yêu cầu nhập một mật khẩu giao dịch được A chọn ngẫu nhiên từ một số ô trong ma trận (Số ô chọn càng nhiều thì tính bảo mật càng cao)

Chẳng hạn, có thể mô tả sơ đồ giao dịch như sau:

- Đối tác B ( sinh viên) yêu cầu kết nối giao dịch (qua điện thoại, Email hoặc đăng nhập website) đối với giáo viên là các yêu cầu để gửi điểm thi, gửi nhận xét đồ án, để sửa điểm v v đối với sinh viên là các yêu cầu được đăng ký học môn học

- Phía B phải khai báo tên người dùng và mật khẩu đã được cấp hay đã đăng ký.

- Bên quản lý A kiểm tra thấy đúng có tên người dùng B và mật khẩu kèm theo Thẩm tra chống mạo danh bằng mật khẩu giao dịch 1 lần: Chọn ngẫu nhiên gửi đến cho B một số chẳng hạn là 3 tên ô bất kỳ trong ma trận mật khẩu đã được cấp cho B, ví dụ là:

(Có thể có 64 3 = 64 x 64 x 64 = 262144 cách chọn một bộ 3 ô như vậy; Đó là số chỉnh hợp lặp chập 3 từ 64 phần tử).

Yêu cầu B trong thời gian rất ngắn – thường là 15 đến 30 giây, tra bảng đã được cấp của mình để điền vào các ô đó gửi cho A.

- Căn cứ vào bảng ma trận được cấp, B điền và gửi đến A:

- A đối chiếu bảng ma trận của B đã lưu tại hệ thống quản lý kiểm tra thấy đúng: Nhận dạng người đang thực hiện giao dịch của mình đúng là B Chấp nhận cho phép tiếp tục giao dịch Nếu điền sai hoặc quá thời hạn qui định thì giao dịch bị ngắt (phải đăng nhập lại nếu cần)

Giả sử có người C, mạo danh B gửi yêu cầu giao dịch, khi A đòi hỏi khai báo mật khẩu thì trong khoảng thời gian 15 – 30 giây việc phải dò tìm ra được 1 trong số 35 64 x 64 3 khả năng có thể có của mật khẩu là điều hầu như chắc chắn không thể làm được! Để sử dụng ma trận mật khẩu ngẫu nhiên nhận dạng, các thành viên (được cấp quyền) khi truy cập vào một website của hệ thống quản lý đào tạo, chẳng hạn như hệ thống CMTS hiện đang sử dụng tại Khoa Công nghệ thông tin (và một vài khoa bạn) trong Viện Đại học Mở Hà Nội trong phân hệ quản lý thông tin người dùng của Website cần lưu trữ thêm thông tin về bảng ma trận ngẫu nhiên đã được cấp cho người đó Ngoài ra cần tích hợp thêm một phần mềm lựa chọn ngẫu nhiên, mỗi lần được kích hoạt sẽ làm việc để chọn ra 3 ô (hoặc một số ô tùy qui định) bất kỳ trong số 64 ô của bảng, gửi lại cho đối tác đang đề nghị giao dịch. Ưu điểm nổi bật của phương pháp chuyển giao bảng ma trận mật khẩu này chính là chỉ kiểm soát các giao dịch thông qua website Điều này rất phù hợp với điều kiện thực tế của các hệ quản lý đào tạo Người yêu cầu giao dịch vẫn được cấp một ma trận cấp cho từng người trong danh sách đã đăng ký Khi nhận được yêu cầu của giáo viên hoặc của sinh viên đăng ký học phần người trực ban quản lý sẽ chọn tùy ý (giả ngẫu nhiên) 3 trong số 64 ô của bảng , thông báo lại cho đối tác để yêu cầu điền thông tin trả lời Để tăng độ khó đối với việc dò tìm của kẻ xấu, ta có thể tăng thêm số ô trong mỗi bảng, hoặc trong mỗi ô không chỉ ghi 1 ký tự mà có thể dùng 2, 3 ký tự chẳng hạn: bv6, 3y7,…và mỗi lần yêu cầu trả lời không chỉ là 3 ô ngẫu nhiên mà có thể tăng số ô ngẫu nhiên lên: 4, 5…

Chương 4 CHƯƠNG TRÌNH MÔ PHỎNG XÁC NHẬN SINH VIÊN ĐĂNG KÍ TÍN

CHỈ BẰNG OTP 4.1 Đặt vấn đề

Hiện nay, việc đăng kí tín đang rất phổ biến ở tất cả các trường đại học, cao đẳng Ưu điểm của việc học tín chỉ giúp sinh viên có thể chủ động thời gian và môn học của mình Không những vậy nếu sinh viên học theo đúng kế hoạch đặt ra có thể rút ngắn thời gian học và có thể sớm ra trường,…

Quá trình đăng kí tín thường online nên sinh viên không phải mất công đăng kí trên bản cứng Điều hoàn toàn phù hợp với điều kiện sinh viên xa trường Tuy nhiên, vấn đề nản giải trường sảy ra hiện nay đó chính là tình trạng Số sinh viên đăng kí môn học ảo nhiều, khiến tình trạng mở lớp không thành công Sinh viên đăng kí môn học rồi không thể mở lớp vì số sinh viên không đủ chỉ tiêu Vấn đề đặt ra là làm sao khắc phục tình trạng hủy lớp do không đủ chỉ tiêu như vậy.

4.2 Mô tả ứng dụng sử dụng ma trận OTP trong đào tạo tín chỉ