Thực trạng về yêu cầu xác thực đối tượng trong giao dịch trực tuyến trong quản lý Dạy và Học trực tuyến
Đào tạo trực tuyến đã trở thành một cuộc cách mạng trong lĩnh vực giáo dục thế kỷ 21, ứng dụng công nghệ tiên tiến để kết nối người dạy và người học Hiện nay, người học có thể tham gia vào quá trình học tập từ bất kỳ đâu và vào bất kỳ thời điểm nào, nhờ vào sự hỗ trợ của máy tính và internet, giúp đạt được hiệu quả học tập tối ưu.
Việc xác thực đối tác giao dịch trong việc dạy và học trực tuyến:
Người quản lý, người dạy và người học đóng vai trò quan trọng trong môi trường học tập mở, nơi mọi giao dịch cần được xác thực để đảm bảo tính bảo mật Điều này liên quan đến các vấn đề như điểm danh, giao đề thi, nộp bài thi và thông báo điểm số.
Việc áp dụng biện pháp xác thực hiện đại cần có phần cứng công nghệ cao và hệ thống tổ chức phức tạp, điều này gây khó khăn cho các Khoa/Bộ môn đào tạo có ngân sách hạn chế Với mức đầu tư kỹ thuật và công nghệ thấp, việc triển khai các giải pháp này trở nên không khả thi đối với những đơn vị nhỏ.
Trong quá trình làm luận văn tốt nghiệp, tác giả nghiên cứu đề tài “Chuyển giao OTP bằng ma trận mật khẩu ngẫu nhiên ứng dụng để xác thực đối tác giao dịch trong quản lý dạy và học trực tuyến” Đề tài này có ý nghĩa thiết thực, đặc biệt khi đi sâu vào ma trận mật khẩu ngẫu nhiên, một phương pháp đã được một số tác giả đề xuất và thử nghiệm trong các nghiên cứu liên quan.
Trong quá trình nghiên cứu, chúng tôi dự định tổ chức thử nghiệm áp dụng công nghệ vào một số khâu trong đào tạo trực tuyến, bao gồm điểm danh lớp học trực tuyến, sinh viên nộp bài thi trực tuyến cho giáo viên, nộp học phí cho phòng kế toán tài vụ, và giáo viên nộp điểm cho phòng đào tạo.
30 Đề tài đã thử nghiệm xây dựng một số trong các phần mềm:
- Sinh bảng ma trận mật khẩu ngẫu nhiên
Mỗi khi bắt đầu giao dịch, hãy tra cứu mã định danh của đối tác để tìm bảng ma trận tương ứng đã lưu Sau đó, tự động gửi một bảng hỏi đến cho đối tác giao dịch.
Khi nhận được phản hồi, cần tiếp tục so sánh với ma trận đã lưu để xác định sự trùng khớp, từ đó quyết định chấp nhận hoặc bác bỏ giao dịch Đề tài đã đóng góp một điểm mới bằng cách đề xuất sử dụng Thẻ ma trận ngẫu nhiên để chuyển giao OTP, một phương tiện đơn giản, dễ chế tạo và có chi phí thấp, nhưng vẫn chưa được áp dụng rộng rãi.
Giải pháp sử dụng mật khẩu ngẫu nhiên
Giảng viên và sinh viên sẽ nhận thẻ ma trận mật khẩu ngẫu nhiên trực tiếp tại khoa Mỗi người có trách nhiệm tự bảo vệ bảng mật khẩu OTP của mình.
Một ma trận mật khẩu ngẫu nhiên là một bảng hình chữ nhật với m cột được đánh số từ 1 đến m và n hàng được ký hiệu bằng các ký tự.
Chẳng hạn ở hình dưới đây ta có một bảng gồm 8 cột, đánh số 1, 2, 3, 4, 5,
6, 7, 8 và 8 hàng, đánh số A, B, C, D, E,F, G, H Như vậy trong bảng có m x n ô, trong hình dưới đây là : 8 x 8 = 64 ô Tại mỗi ô trong bảng ta ghi 02 ký tự bất kỳ
- có thể lặp lại) lấy tùy ý trong dãy gồm 26 chữ cái tiếng Anh và 9 con số - không dùng số 0 vì sợ lẫn với chữ o – tổng cộng có 35 ký tự:
Hình 7 – Bảng ma trận mật khẩu ngẫu nhiên
Khi quản lý hệ thống A nhận yêu cầu giao dịch từ đối tác B qua website, họ sẽ xác thực quyền giao dịch bằng tên người dùng và mật khẩu đã đăng ký Để đảm bảo tính bảo mật, A cần thẩm tra tính chân thực của người dùng nhằm ngăn chặn kẻ xấu đánh cắp mật khẩu của B và mạo danh trong giao dịch Sau đó, A sẽ gửi cho B một thông báo yêu cầu nhập mật khẩu giao dịch.
A chọn ngẫu nhiên từ một số ô trong ma trận (Số ô chọn càng nhiều thì tính bảo mật càng cao)
Chẳng hạn, có thể mô tả sơ đồ giao dịch như sau:
- Đối tác B yêu cầu kết nối giao dịch
- Phía B phải khai báo tên người dùng và mật khẩu đã được cấp hay đã đăng ký
Quản lý A xác nhận sự tồn tại của tên người dùng B cùng với mật khẩu đi kèm Để đảm bảo an ninh và ngăn chặn mạo danh, hệ thống sẽ thực hiện việc thẩm tra bằng cách gửi ngẫu nhiên cho B ba tên ô bất kỳ trong ma trận mật khẩu đã được cấp.
(Có thể có 64 6 = 68719476736 cách chọn một bộ 3 ô như vậy; Đó là số chỉnh hợp lặp chập 6 từ 64 phần tử)
Yêu cầu B trong thời gian rất ngắn – thường là 15 đến 30 giây, tra bảng đã được cấp của mình để điền vào các ô đó gửi cho A
- Căn cứ vào bảng ma trận được cấp, B điền và gửi đến A:
Bảng ma trận của B đã được xác nhận trong hệ thống quản lý kiểm tra, cho thấy người thực hiện giao dịch là B Do đó, giao dịch được chấp nhận và tiếp tục Nếu thông tin được điền sai hoặc quá thời hạn quy định, giao dịch sẽ bị ngắt và người dùng sẽ phải đăng nhập lại nếu cần.
Trong một tình huống giả định, nếu người C mạo danh B gửi yêu cầu giao dịch và A yêu cầu khai báo mật khẩu, việc tìm ra một trong 68.719.476.736 khả năng của mật khẩu trong 15-30 giây gần như là không thể Để sử dụng ma trận mật khẩu ngẫu nhiên, các thành viên được cấp quyền khi truy cập vào hệ thống quản lý đào tạo, như hệ thống CMTS tại Khoa Công nghệ thông tin, cần lưu trữ thông tin về bảng ma trận ngẫu nhiên đã được cấp Hơn nữa, cần tích hợp phần mềm chọn ngẫu nhiên để chọn ra 3 ô trong số 64 ô của bảng, gửi lại cho đối tác giao dịch Phương pháp chuyển giao bảng ma trận mật khẩu này cho phép kiểm soát giao dịch qua website, phù hợp với điều kiện thực tế của các hệ quản lý đào tạo, và người yêu cầu giao dịch sẽ nhận được ma trận riêng cho từng người trong danh sách đã đăng ký.
Quản lý sẽ chọn ngẫu nhiên 3 trong số 64 ô của bảng và thông báo cho đối tác để yêu cầu điền thông tin trả lời Để tăng độ khó cho việc dò tìm của kẻ xấu, có thể tăng số ô trong mỗi bảng hoặc sử dụng nhiều ký tự trong mỗi ô, chẳng hạn như bv6, 3y7 Ngoài ra, số ô ngẫu nhiên được yêu cầu trả lời cũng có thể được tăng lên 4, 5 ô.
Chương trình demo
Giới thiệu bài toán
Hệ thống đào tạo trực tuyến của nhà trường cần được triển khai trong các quy trình như điểm danh lớp học trực tuyến, sinh viên nộp bài thi trực tuyến cho giáo viên, nộp học phí cho phòng kế toán tài vụ, và giáo viên nộp điểm cho phòng đào tạo.
Mỗi lần giao dịch, sinh viên và giảng viên cần xác nhận bảo mật để đảm bảo an toàn Điều này giúp tăng cường sự an toàn, thuận tiện và nhanh chóng trong quá trình thực hiện giao dịch, cũng như trong việc xử lý các tình huống phát sinh.
Với yêu cầu đó thì hệ thống cần đáp ứng được:
Giảng viên và sinh viên sẽ nhận thẻ ma trận mật khẩu ngẫu nhiên trực tiếp tại khoa Mỗi cá nhân có trách nhiệm cam kết tự bảo vệ bảng mật khẩu OTP của mình.
Khi giao dịch trên hệ thống, người dùng cần đăng nhập và xác nhận mã OTP từ Thẻ ma trận để truy cập các chức năng giao dịch Nếu nhập mã OTP không chính xác 3 lần, hệ thống sẽ hủy giao dịch và yêu cầu người dùng đăng nhập lại.
Phương pháp triển khai
Chương trình sẽ đáp ứng các yêu cầu bài toán và bao gồm phần đánh giá giải pháp bảo mật nhằm so sánh và đối chiếu hiệu quả cũng như tính bảo mật của hệ thống Luận văn áp dụng hai phương pháp dự báo để thực hiện nghiên cứu.
Trong công tác đánh giá chất lượng hiệu quả của đào tạo trực tuyến, có hai phương pháp chính được áp dụng Phương pháp đầu tiên là phương pháp truyền thống, hiện đang được sử dụng cho hệ thống Phương án thứ hai là áp dụng ma trận mật khẩu ngẫu nhiên OTP để xác thực các giao dịch trong hệ thống, nhằm nâng cao tính bảo mật và hiệu quả.
- Phương án 1: Phương pháp sử dụng tài khoản đăng nhập như hiện tại
- Phương án 2: Phương pháp Ma trận mật khẩu ngẫu nhiên OTP
Xây dựng phần mềm
Chương trình xây dựng gồm các phần như sau: Đầu tiên ta đăng nhập hệ thống giao dịch:
Hình 8: Đăng nhập hệ thống
Sau khi đăng nhập vào hệ thống thì hiện trang Chào mừng và đường link vào trang quản lý
Hình 9: Màn hình chào mừng
Giao diện cho phép người dùng dễ dàng chọn lựa các danh mục như Trang chủ, Giới thiệu, Dịch vụ, Tin tức, và Cá nhân Khi truy cập vào mục Quản lý, người dùng sẽ được chuyển đến các trang tương ứng với từng đối tượng: sinh viên sẽ được dẫn đến trang dành cho Sinh viên, giáo viên sẽ được chuyển đến trang dành riêng cho Giáo viên, và quản trị viên sẽ được đưa đến trang Hệ thống quản trị.
Khi đăng nhập với tài khoản Sinh viên, người dùng sẽ được chuyển đến trang Quản lý, nơi cung cấp giao diện đặc biệt cho Sinh viên nhằm thực hiện các giao dịch với hệ thống.
Hình 10: Màn hình trang Sinh viên
Khi hệ thống khởi động, nó sẽ kiểm tra xem ma trận mật khẩu ngẫu nhiên OTP của thành viên đã được khởi tạo hay chưa Nếu chưa, hệ thống sẽ yêu cầu người dùng tiến hành khởi tạo ma trận ngẫu nhiên OTP.
Hình 11: Màn hình Thông báo
Sau khi nhấn vào "Khởi tạo ma trận OTP", bạn sẽ được chuyển đến trang tạo ma trận mật khẩu ngẫu nhiên OTP Hãy nhớ lưu lại ma trận này bằng cách ghi nhớ một lần nữa ma trận vừa được khởi tạo.
Hình 12: Màn hình Khởi tạo ma trận OTP
Nếu thành viên đã khởi tạo ma trận mật khẩu ngẫu nhiên OTP, hệ thống sẽ thông báo đã kích hoạt bảo mật và cung cấp thông tin về các vị trí ngẫu nhiên cần kiểm tra để so sánh và chuẩn bị cho giao dịch tiếp theo Để thực hiện giao dịch, sinh viên cần nhập mã xác thực tại ba vị trí khác nhau, được tạo ngẫu nhiên và không trùng lặp Nếu sinh viên nhập sai, hệ thống sẽ thông báo để họ nhập lại.
3 lần thì tài khoản sẽ tự động đăng xuất và phải đăng nhập lại hệ thống, nếu 3 lần
38 đăng nhập hệ thống sai thì khoá tài khoản và gửi thông báo đến Sinh viên biết để liên hệ mở lại tài khoản của mình
Trường hợp nhập sai giá trị cho ma trận mật khẩu ngẫu nhiên OTP
Hình 13: Màn hình kết quả nhập sai mã OTP
Khi người dùng nhập đúng giá trị cho ma trận mật khẩu ngẫu nhiên OTP, hệ thống sẽ chuyển hướng đến trang cho phép thực hiện các giao dịch tương ứng với từng thành viên.
- Với sinh viên: Đó là trang thực hiện các giao dịch như thi, nộp bài thi và các giao dịch hệ thống khác của sinh viên
Trang web dành cho giáo viên cho phép thực hiện các giao dịch quan trọng như biên soạn đề thi, nộp hồ sơ giấy tờ và quản lý các giao dịch hệ thống khác liên quan đến công việc giảng dạy.
Hình 14: Màn hình Chức năng sinh viên
Sinh viên và giáo viên thực hiện các giao dịch theo yêu cầu và hoàn tất chúng Mỗi giao dịch đều cần kiểm tra xác thực bằng ma trận mật khẩu ngẫu nhiên OTP để đảm bảo tính an toàn.
Trang Hệ thống quản trị cho phép người quản trị xem danh sách tài khoản và ma trận mật khẩu, đồng thời cung cấp ngẫu nhiên OTP cho các thành viên Điều này giúp người quản trị hỗ trợ khởi tạo tài khoản cho thành viên hoặc gửi lại bảng ma trận mật khẩu ngẫu nhiên OTP khi thành viên bị mất hoặc quên thông tin cần thiết.
Hệ thống quản trị của nhà trường; cũng như mở khoá tài khoản bị khoá khi bị nhập sai bảng ma trận ngẫu nhiên OTP quá 3 lần
Hình 15: Màn hình Danh sách tài khoản
Chúng ta có thể tìm các thành viên mà có yêu cầu cần hỗ trợ và gửi cho họ thông tin ma trận ngẫu nhiên OTP
Hình 16: Màn hình Thông tin thành viên
Thử nghiệm và kết quả
Dựa vào các phương pháp kiểm tra, đánh giá với những quá trình thực nghiệm thì hai phương án có những ưu điểm, nhược điểm như sau:
➢ Phương án 1: Phương án truyền thống
Tính bảo mật không cao khi chỉ sử dụng xác thực 1 lớp với Username và Password
➢ Phương án 2: Phương án ma trận mật khẩu ngẫu nhiên
Phương pháp xây dựng ma trận mật khẩu ngẫu nhiên mang lại sự thuận tiện, đơn giản và chi phí thấp hơn so với các phương án khác Mặc dù chi phí ít hơn, phương án này vẫn đảm bảo tính bảo mật cao, làm cho nó trở thành lựa chọn tối ưu cho người dùng.