TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN  LUẬN VĂN TỐT NGHIỆP NGÀNH CÔNG NGHỆ THÔNG TIN TÊN ĐỀ TÀI: “CHUYỂN GIAO OTP BẰNG MA TRẬN MẬT KHẨU NGẪU NHIÊN ỨNG DỤNG ĐỂ XÁC THỰC ĐỐI TÁC GIAO DỊCH TRONG QUẢN LÝ DẠY VÀ HỌC TRỰC TUYẾN” Giáo viên hướng dẫn: GS TS Thái Thanh Sơn Học viên thực hiện: Lê Quang Mạnh Hà Nội – 8/2023 i ii MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG 1: VẤN ĐỀ XÁC THỰC ĐỐI TÁC TRONG GIAO DỊCH DẠY VÀ HỌC TRỰC TUYẾN 1.1 Những nguy giao dịch trực tuyến quản lý Dạy Học trực tuyến …………………………………………………………………………………E rror! Bookmark not defined 1.2 Vấn đề xác thực đối tác để chống nguy mạo danhError! Bookmark not defined 1.3 Một số biện pháp xác thực Error! Bookmark not defined 1.3.1 Xác thực dựa định danh người sử dụng (Username) mật (Password) Error! Bookmark not defined 1.3.2 Sử dụng giao thức bắt tay có thử thách (Challenge Handshake Authentication Protocol – CHAP) Error! Bookmark not defined 1.3.3 Xác thực Kerberos Error! Bookmark not defined 1.3.4 Xác thực sử dụng token Error! Bookmark not defined 1.3.5 Xác thực áp dụng phương pháp nhận dạng sinh trắc học (Biometrics)Error! Bookmark not defined 1.3.6 Phương thức xác thực lẫn (Mutual Authentication) Error! Bookmark not defined 1.3.7 Xác thực đa yếu tố Error! Bookmark not defined 1.3.8 Chữ ký điện tử Error! Bookmark not defined 1.4 Kết luận chương Error! Bookmark not defined CHƯƠNG II: MẬT KHẨU SỬ DỤNG MỘT LẦN OTP VÀ MA TRẬN MẬT KHẨU NGẪU NHIÊN 13 2.1 Xác thực đối tác OTP Error! Bookmark not defined 2.1.1 Khái niệm mật OTP Error! Bookmark not defined 2.1.2 Mục đích ý nghĩa mật OTP Error! Bookmark not defined 2.2 Các biện pháp chuyển giao OTP Error! Bookmark not defined 2.2.1 Chuyển giao OTP tin nhắn SMS Error! Bookmark not defined 2.2.2 Tạo OTP sử dụng token Error! Bookmark not defined 2.2.3 Tạo OTP sử dụng điện thoại di động Error! Bookmark not defined 2.2.4 Chuyển giao OTP sử dụng email Error! Bookmark not defined 2.3 Ma trận mật ngẫu nhiên sử dụng để chuyển giao OTP Error! Bookmark not defined 2.4 Kết luận chương Error! Bookmark not defined iii CHƯƠNG III: ỨNG DỤNG MA TRẬN MẬT KHẨU NGẪU NHIÊN TRONG VIỆC QUẢN LÝ ĐÀO TẠO 29 3.1 Thực trạng yêu cầu xác thực đối tượng giao dịch trực tuyến quản lý Dạy Học trực tuyến 29 3.2 Giải pháp sử dụng mật ngẫu nhiên 30 3.3 Chương trình demo 33 3.3.1 Giới thiệu toán 33 3.3.2 Phương pháp triển khai 33 3.3.3 Xây dựng phần mềm 34 3.3.4 Thử nghiệm kết 42 3.4 Kết luận 42 KẾT LUẬN VÀ CÁC KIẾN NGHỊ 43 Tài liệu tham khảo 44 iv DANH MỤC HÌNH ẢNH Hình Thẻ mật OTP với mật in sẵn 19 Hình Chuyển giao OTP tin nhắn SMS 20 Hình Minh họa thiết bị E-Token 23 Hình Mơ hình kết nối SSL VPN đến Vigor2950 có 24 điện thoại hỗ trợ xácthực Hình Cài đặt phần mềm sinh OTP iPhone với 26 Vigor2950 Hình Hoạt động ma trận mật ngẫu nhiên 28 Hình Bảng ma trận mật ngẫu nhiên 32 Hình Đăng nhập hệ thống 34 Hình Màn hình chào mừng 34 Hình 10 Màn hình trang Sinh viên 35 Hình 11 Màn hình Thơng báo 36 Hình 12 Màn hình Khởi tạo ma trận OTP 36 Hình 13 Màn hình kết nhập sai mã OTP 37 Hình 14 Màn hình Chức sinh viên 38 Hình 15 Màn hình Danh sách tài khoản 39 Hình 16 Màn hình Thơng tin thành viên 40 Hình 17 Màn hình Ma trận OTP thành viên 40 v thực nghiên cứu sâu ma trận mật ngẫu nhiên số tác giả đề xuất sử dụng thử cơng trình nghiên cứu liên quan Trong luận văn dự định tổ chức triển khai thử nghiệm áp dụng vài công đoạn đào tạo trực tuyến: điểm danh, sinh viên nộp thi trực tuyến cho giáo viên, giáo viên nộp điểm cho phòng đào tạo v v Đề tài dự kiến xây dựng phần mềm sinh bảng ma trận mật ngẫu nhiên, tra cứu mã định danh đối tác giao dịch, tìm bảng ma trận tương ứng lưu tự động gửi bảng hỏi đến cho đối tác Sau nhận trả lời, tiếp tục tìm kiếm để so sánh trùng khớp hay không trả lời đối tác với ma trận lưu từ chấp nhận hay bác bỏ giao dịch Điểm đề tài đóng góp đề xuất sử dụng Thẻ ma trận ngẫu nhiên để chuyển giao OTP, nghiên cứu đầy đủ mặt lý thuyết bảo mật tài liệu [1], [2] [4]: phương tiện đơn giản, dễ chế tạo, sử dụng giá thành hồn tồn khơng đáng kể mà đến chưa sử dụng rộng rãi Đối tượng phạm vi nghiên cứu a Đối tượng - Tập trung nghiên cứu OTP ma trận mật ngẫu nhiên b Phạm vi: - Nghiên cứu ứng dụng ma trận mật ngẫu nhiên để chuyển giao OTP xác thực đối tác giao dịch quản lý dạy học trực tuyến phạm vi đơn vị đào tạo cụ thể: Khoa, Trường Hướng nghiên cứu đề tài - Tìm hiểu số phương pháp xác thực - Tìm hiểu số biện pháp chuyển giao mật OTP thực tế - Nghiên cứu xác thực sử dụng ma trận mật ngẫu nhiên để chuyển giao OTP - Tự xây dựng thêm tích hợp với số phần mềm sẵn có để sử dụng hệ thống giao dịch bảo mật OTP Cài đặt thử nghiệm qui mơ thích hợp cho phép Những nội dung nghiên cứu Luận văn trình bày chương Các nội dung luận văn trình bày theo cấu trúc sau: Chương 1: Vấn đề xác thực đối tác giao dịch dạy học trực tuyến Trình bày nguy giao dịch trực tuyến, khái niệm xác thực, nhân tố xác thực, số phương pháp xác thực sử dụng Chương 2: Mật sử dụng lần OTP ma trận mật ngẫu nhiên Trình bày khái niệm OTP, biện pháp chuyển giao OTP, ma trận mật ngẫu nhiên chuyển giao Chương 3: Ứng dụng ma trận mật ngẫu nhiên việc quản lý đào tạo Trình bày mơ hình hoạt động sử dụng ma trận mật ngẫu nhiên để chuyển giao OTP, kết thử nghiệm hệ thống Đề tài thử nghiệm xây dựng số phần mềm: - Sinh bảng ma trận mật ngẫu nhiên - Mỗi lần bắt đầu giao dịch, tra cứu mã định danh đối tác giao dịch tìm bảng ma trận tương ứng lưu tự động gửi bảng hỏi đến cho đối tác - Khi nhận trả lời, tiếp tục tìm kiếm để so sánh trùng khớp hay không trả lời đối tác với ma trận lưu từ chấp nhận hay bác bỏ giao dịch Điểm đề tài đóng góp đề xuất sử dụng Thẻ ma trận ngẫu nhiên để chuyển giao OTP: phương tiện đơn giản, dễ chế tạo, sử dụng giá thành hồn tồn khơng đáng kể mà đến chưa sử dụng rộng rãi 3.2 Giải pháp sử dụng mật ngẫu nhiên Thẻ ma trận mật ngẫu nhiên cấp cho giảng viên, sinh viên trực tiếp khoa Giảng viên, sinh viên có trách nhiệm cam kết tự bảo vệ bảng mật OTP Một ma trận mật ngẫu nhiên bảng hình chữ nhật có m cột thường đánh số thứ tự từ 1, 2,…đến m n hàng thường đánh số ký tự A, B, C, … Chẳng hạn hình ta có bảng gồm cột, đánh số 1, 2, 3, 4, 5, 6, 7, hàng, đánh số A, B, C, D, E,F, G, H Như bảng có m x n ơ, hình : x = 64 ô Tại ô bảng ta ghi 02 ký tự - lặp lại) lấy tùy ý dãy gồm 26 chữ tiếng Anh số - không dùng số sợ lẫn với chữ o – tổng cộng có 35 ký tự: 30 Hình – Bảng ma trận mật ngẫu nhiên Cách sử dụng Khi người quản lý hệ thống A nhận yêu cầu giao dịch đối tác B qua đăng nhập website (dùng mật đăng ký) phía quản lý sau xác nhận quyền giao dịch qua tên người dùng mật phải thẩm tra tính chân thực người dùng, chống kẻ xấu đánh cắp mật B mà mạo danh giao dịch A gửi cho B thông báo yêu cầu nhập mật giao dịch A chọn ngẫu nhiên từ số ô ma trận (Số ô chọn nhiều tính bảo mật cao) Chẳng hạn, mơ tả sơ đồ giao dịch sau: - Đối tác B yêu cầu kết nối giao dịch - Phía B phải khai báo tên người dùng mật cấp hay đăng ký - Bên quản lý A kiểm tra thấy có tên người dùng B mật kèm theo Thẩm tra chống mạo danh mật giao dịch lần: Chọn ngẫu nhiên gửi đến cho B số chẳng hạn tên ô ma trận mật cấp cho B, ví dụ là: 31 B3 = ?, D2 = ?, A4 = ? (Có thể có 646 = 68719476736 cách chọn vậy; Đó số chỉnh hợp lặp chập từ 64 phần tử) Yêu cầu B thời gian ngắn – thường 15 đến 30 giây, tra bảng cấp để điền vào gửi cho A - Căn vào bảng ma trận cấp, B điền gửi đến A: B3 = DO, D2 = Ig, A4 = E4 - A đối chiếu bảng ma trận B lưu hệ thống quản lý kiểm tra thấy đúng: Nhận dạng người thực giao dịch B Chấp nhận cho phép tiếp tục giao dịch Nếu điền sai thời hạn qui định giao dịch bị ngắt (phải đăng nhập lại cần) Giả sử có người C, mạo danh B gửi yêu cầu giao dịch, A đòi hỏi khai báo mật khoảng thời gian 15 – 30 giây việc phải dị tìm số 68719476736 khả có mật điều chắn làm được! Để sử dụng ma trận mật ngẫu nhiên nhận dạng, thành viên (được cấp quyền) truy cập vào website hệ thống quản lý đào tạo, chẳng hạn hệ thống CMTS sử dụng Khoa Công nghệ thông tin (và vài khoa bạn) Trường Đại học Mở Hà Nội phân hệ quản lý thông tin người dùng Website cần lưu trữ thêm thông tin bảng ma trận ngẫu nhiên cấp cho người Ngồi cần tích hợp thêm phần mềm lựa chọn ngẫu nhiên, lần kích hoạt làm việc để chọn ô (hoặc số ô tùy qui định) số 64 ô bảng, gửi lại cho đối tác đề nghị giao dịch Ưu điểm bật phương pháp chuyển giao bảng ma trận mật kiểm sốt giao dịch thông qua website Điều phù hợp với điều kiện thực tế hệ quản lý đào tạo Người yêu cầu giao dịch cấp ma trận cấp cho người danh sách đăng ký Khi nhận yêu cầu giáo viên sinh viên đăng ký học phần người trực ban 32 quản lý chọn tùy ý (giả ngẫu nhiên) số 64 ô bảng , thông báo lại cho đối tác để yêu cầu điền thông tin trả lời Để tăng độ khó việc dị tìm kẻ xấu, ta tăng thêm số ô bảng, ô không ghi ký tự mà dùng 3,4 ký tự chẳng hạn: bv6, 3y7,…và lần yêu cầu trả lời không ô ngẫu nhiên mà tăng số ngẫu nhiên lên: 4, 5… 3.3 Chương trình demo 3.3.1 Giới thiệu tốn Hệ thống đào tạo trực tuyến nhà trường cần tổ chức triển khai áp dụng vài công đoạn đào tạo trực tuyến như: điểm danh lớp học trực tuyến, sinh viên nộp thi trực tuyến cho giáo viên, nộp học phí cho phịng kế tốn tài vụ, giáo viên nộp điểm cho phòng đào tạo v v Do yêu cầu: Mỗi lần bắt đầu giao dịch yêu cầu xác nhận bảo mật để đảm bảo an toàn lần giao dịch sinh viên, giảng viên Đảm bảo an toàn, thuận tiện, nhanh chóng việc thực giao dịch xử lý tình phát sinh giao dịch Với u cầu hệ thống cần đáp ứng được: - Cấp Thẻ ma trận mật ngẫu nhiên cho giảng viên, sinh viên trực tiếp khoa Giảng viên, sinh viên có trách nhiệm cam kết tự bảo vệ bảng mật OTP - Khi giao dịch với hệ thống ngồi đăng nhập hệ thống cần xác nhận mã OTP theo Thẻ ma trận cấp để vào chức giao dịch hệ thống Nếu mã OTP nhập lần khơng xác, hệ thống hủy giao dịch yêu cầu đăng nhập lại 3.3.2 Phương pháp triển khai Chương trình thực u cầu tốn, ngồi để thuận tiện cho đánh giá có phần đưa giải pháp bảo mật để so sánh, đối chiếu tính hiệu quả, bảo mật hệ thống Trong luận văn sử dụng phương pháp dự báo để so 33 sánh, đánh giá chất lượng hiệu công tác dự đào tạo trực tuyến Phương pháp phương pháp truyền thống áp dụng cho hệ thống Phương án thứ hai sử dụng ma trận mật ngẫu nhiên OTP để xác thực giao dịch hệ thống - Phương án 1: Phương pháp sử dụng tài khoản đăng nhập - Phương án 2: Phương pháp Ma trận mật ngẫu nhiên OTP 3.3.3 Xây dựng phần mềm Chương trình xây dựng gồm phần sau: Đầu tiên ta đăng nhập hệ thống giao dịch: Hình 8: Đăng nhập hệ thống Sau đăng nhập vào hệ thống trang Chào mừng đường link vào trang quản lý 34 Hình 9: Màn hình chào mừng Giao diện cho phép bạn chọn lựa danh mục hệ thống Trang chủ, Giới thiệu, Dịch vụ, Tin tức, Cá nhân hay vào link Quản lý để thực giao dịch Khi chọn vào Quản lý chuyển đến trang tương ứng theo phân loại đối tượng: Nếu đối tượng sinh viên chuyển sang trang dành cho Sinh viên, giáo viên chuyển sang trang dành riêng cho Giáo viên, quản trị viên chuyển sang trang dành cho Hệ thống quản trị Ví dụ với tài khoản đăng nhập Sinh viên, sau chọn trang Quản lý sang trang dành riêng cho Sinh viên để thực giao dịch với hệ thống: 35 Hình 10: Màn hình trang Sinh viên Khi hệ thống khởi động kiểm tra xem Ma trận mật ngẫu nhiên OTP thành viên khởi tạo chưa? Nếu chưa khởi tạo yêu cầu khởi tạo ma trận ngẫu nhiên OTP 36 Hình 11: Màn hình Thơng báo Sau nhấn vào Khởi tạo ma trận OTP chuyển sang trang tạo ma trận mật ngẫu nhiên OTP nhắc nhở sinh viên lưu lại ma trận cách cho lần ghi nhớ lại Ma trận vừa khởi tạo Hình 12: Màn hình Khởi tạo ma trận OTP Cịn thành viên khởi tạo ma trận mật ngẫu nhiên OTP thơng báo là: Đã kích hoạt hệ thống bảo mật đầy đủ thơng tin vị trí ngẫu nhiên cần kiểm tra để thực việc so sánh đối chiếu, kiểm tra để thực chuẩn bị cho giao dịch Để thực giao dịch Sinh viên cần nhập mã xác thực vị trí, vị trí tạo ngẫu nhiên không trùng nhau, lần thực vị trí khác nhau, sinh viên nhập sai thông báo để nhập lại, nhập sai lần tài khoản tự động đăng xuất phải đăng nhập lại hệ thống, lần 37 đăng nhập hệ thống sai khố tài khoản gửi thông báo đến Sinh viên biết để liên hệ mở lại tài khoản Trường hợp nhập sai giá trị cho ma trận mật ngẫu nhiên OTP Hình 13: Màn hình kết nhập sai mã OTP Trường hợp nhập giá trị cho ma trận mật ngẫu nhiên OTP: Thì hệ thống chuyển sang trang cho phép giao dịch tương ứng cho thành viên: - Với sinh viên: Đó trang thực giao dịch thi, nộp thi giao dịch hệ thống khác sinh viên - Với giáo viên: Đó trang thực giao dịch biên soạn đề thi, nộp hồ sơ giấy tờ giao dịch hệ thống khác giáo viên 38 - Hình 14: Màn hình Chức sinh viên Sau Sinh viên, Giáo viên thực giao dịch u cầu thực hồn tất giao dịch Cứ giao dịch cần kiểm tra xác thực ma trận mật ngẫu nhiên OTP cho giao dịch Còn trang Hệ thống quản trị, người quản trị xem danh sách tài khoản, xem ma trận mật khẩu, ngẫu nhiên OTP thành viên để từ hỗ trợ Khởi tạo cho thành viên gửi lại bảng Ma trận mật ngẫu nhiên OTP thành viên bị đánh mất, quên ma trận cần hỗ trợ từ Hệ thống quản trị nhà trường; mở khoá tài khoản bị khoá bị nhập sai bảng ma trận ngẫu nhiên OTP lần 39 Hình 15: Màn hình Danh sách tài khoản Chúng ta tìm thành viên mà có yêu cầu cần hỗ trợ gửi cho họ thông tin ma trận ngẫu nhiên OTP 40 Hình 16: Màn hình Thơng tin thành viên 41 Hình 17: Màn hình Ma trận OTP thành viên 3.3.4 Thử nghiệm kết Dựa vào phương pháp kiểm tra, đánh giá với trình thực nghiệm hai phương án có ưu điểm, nhược điểm sau: ➢ Phương án 1: Phương án truyền thống Tính bảo mật khơng cao sử dụng xác thực lớp với Username Password ➢ Phương án 2: Phương án ma trận mật ngẫu nhiên Phương pháp cho thuận tiện, đơn giản, chi phí thấp Đánh giá phương án: Trong hai phương án xây dựng, phương án ma trận mật ngẫu nhiên đơn giản hơn, thuận tiện hơn, chi phí cho tính bảo mật cao 3.4 Kết luận Kết nghiên cứu sử dụng qui mô nhỏ cho việc nhận diện đối tác vài chức đào tạo trực tuyến vài lớp học tác giả đảm nhiệm Với điều kiện cụ thể mình, qui định chặt chẽ qui chế đào tạo trực tuyến Khoa Trường, tác giả khơng có quyền khơng có điều kiện thử nghiệm rộng hơn.Tác giả mong muốn đề xuất lên Khoa Nhà trường cho tổ chức đề tài cấp Trường trở lên để tiến hành nghiên cứu ứng dụng thử 42 KẾT LUẬN VÀ CÁC KIẾN NGHỊ Kết luận Sau thời gian nghiên cứu, tìm hiểu hướng dẫn GS TS Thái Thanh Sơn, luận văn hoàn thành đạt số nội dung: - Tìm hiểu phương pháp chuyển giao OTP - Sử dụng ma trận mật ngẫu nhiên để chuyển giao OTP - Xây dựng chương trình mơ thể chuyển giao OTP ma trận mật ngẫu nhiên OTP biện pháp bảo mật quen thuộc – hồn tồn khơng có lý thuyết ứng dụng Tuy nhiên việc chuyển giao OTP giới nước – qua phần trình bày Chương – có nhược điểm qui mơ ứng dụng cơng nghệ kinh phí Tài liệu dẫn [1] cơng trình nghiên cứu lý thuyết hoàn chỉnh Ma trận ngẫu nhiên sử dụng chuyển giao OTP, chứng minh xem xét đầy đủ tính hiệu quả, khả bảo mật v v đồng thời nêu định hướng khả ứng dụng cho bảo mật giao dịch – chủ yếu giao dịch Thương mại điện tử Cơng trình tác giả chủ yếu sử dụng nghiên cứu lý thuyết đó, dựa phân tích đặc điểm đào tạo trực tuyến (ĐTTT), xây dựng số chương trình phần mềm cụ thể, tổ chức qui trình vận hành, thử ngihệm cho việc bảo mật vài cơng đoạn ĐTTT có kết Qua đề xuất khả thử ngiệm qui mô rộng Kiến nghị Trường Đại học Mở Hà Nội tạo điều kiện giúp đỡ cho thử nghiệm hệ thống quản lý đào tạo trực tuyến nhà trường để ứng dụng nhiều mơi trường khác 43 Tài liệu tham khảo [1] Thái Thanh Sơn & Thái Thanh Tùng (2014), “Nhận dạng đối tác giao dịch trực tuyến hệ thống đào tạo theo tín ma trận mật ngẫu nhiên”, Tạp chí Khoa học, Viện Đại học Mở Hà Nội, (4), Tháng 4, tr 23-27 [2] Thái Thanh Sơn, Nguyễn Chiến Thắng & Thái Thanh Tùng: (2016) “ Về số biện pháp bảo mật – nhận dạng đối tác giao dịch trực tuyến” Kỷ yếu HỘI NGHỊ KHOA HỌC kỷ niệm 60 năm thành lập Trường Đại HỌC BÁCH KHOA HÀ NỘI, ngày 16/11/2016 [3] Nguyễn Đức Tuấn & Thái Thanh Tùng (2020), “Công nghệ chuỗi khối khả ứng dụng để xác nhận trình học tập đào tạo trực tuyến”, Tạp chí Khoa học Giáo dục, (Đặc biệt), tháng 01, tr.49-53 [4] Thái Thanh Tùng, “Mật mã học & Hệ thống thơng tin an tồn” – NXB Thông tin truyền thông - Hà Nội 2011 [5] Paterson, Kenneth G., Stebila Douglas (2010) Steinfeld, Ron; Hawkes, Philip (eds.) "One-Time-Password-Authenticated Key Exchange" Information Security and Privacy Lecture Notes in Computer Science Berlin, Heidelberg: Springer 6168: 264–281 doi:10.1007/978-3-642-14081-5_17 ISBN 978-3- 642-14081-5 [6] Garun, Natt (June 17, 2017) "How to set up two-factor authentication on all your online accounts" The Verge [7] What is an One Time Password (2010) https://www.techtarget.com/searchsecurity/definition/one-time-password-OTP [8] OTP (abbreviation) definition and synonym https://www.macmillandictionary.com › british › otp_2 [9] Token-based authentication – Magento BevDocD https://devdocs.magento.com/guides/v2.4/get-started/authentication/gsauthentication-token.html 44