BAN CƠ YÊU CHÍNH PHỦ HOC VIEN KY THUAT MAT MA DO AN TOT NGHIEP Nghiên cứu phương pháp phát công mạng dựa hành vi người sử dụng xác thực đa yếu tơ Ngành: An tồn thông tin Mã số: 7.48.02.02 Hà Nội 2022 BAN CƠ YÊU CHÍNH PHỦ HOC VIEN KY THUAT MAT MA DO AN TOT NGHIEP Nghiên cứu phương pháp phát công mạng dựa hành vi người sử dụng xác thực đa yếu tơ Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Nguyễn Trường Giang Lớp: ATI4H Người hướng dân: ThS Đồng Thị Thuỳ Linh Khoa An tồn thơng tin — Học viện Kỹ thuật mật mã Hà Nội 2022 LỜI CAM ĐOAN Tôi xin cam đoan báo cáo đồ án An tồn thơng tin “Nghiên cứu phương pháp phát công mạng dựa hành vi người sử dụng xác thực đa yếu tố” cơng trình nghiên cứu riêng tơi, khơng chép lại người khác Trong tồn nội dung báo cáo, điều trình bày cá nhân tơi tổng hợp từ nhiều nguồn tài liệu Tất nguồn tài liệu tham khảo có xuất xứ rõ ràng hợp pháp Tơi xin hồn tồn chịu trách nhiệm chịu hình thức ký luật theo quy định cho lời cam đoan Hà Nội, ngày thang nam 2022 SINH VIÊN THỰC HIỆN Nguyễn Trường Giang Mục Lục LOT CAM ĐOAN ác HH1 re Chương 1: Tìm hiểu tổng quan phương pháp xác thực 1.1 Khái niệm xác thựC -c0 0011110000000 0 11 111111 cà 1.2 Các yếu tỐ xác tựC .- - - cck SE S311 11 111111151511 1111115 1111115111 1EE re 1.3 Mơ hình xác thực thực An 1.3.1 Mơ hình xác thực yếu tỐ + - + + + E£+E+k+E+E#EEEEEEEk tt ree 1.3.2 Mơ hình xác thực liên tỤC c3 31311131 1 1 va 1.3.3 Mơ hình xác thực kết hợpp ¿-¿- + + 2+ +k+k+ESEEEESk xxx trrrkg 1.3.4 Mơ hình xác thực đa yếu tỐ . -+ + SE EEES SE E k1 xxx ưêt 1.4 Một số phương pháp xác thực ¿SE SE SkEkEEEEEEEkEEEEEErkrkrkekrki 1.4.1 Xác thực dựa định danh người sử dụng (Username) mật khâu 1201 úăốĂằ 1.4.2 Sử dụng giao thức bất tay có thử thách (Challenge Handshake Authentication Protocol — CHAP) - - c1 ke 10 1.4.3 Xác thực Ker€rOS - - -c c1 1113000000021 111111111000 c1 n1 10 1.4.4 Xác thực sử dụng fOK€H G110 Tnhh 10 1.4.5 Xác thực áp dụng phương pháp nhận dạng sinh trắc học (Biometrics) Chương 1: Tim hiểu tổng quan phương pháp xác thực 1.1 Khái niệm xác thực Xác thực (Authentication) việc xác lập chứng thực thực thê (người hay đó) đáng tin cậy, có nghĩa thông tin người đưa gi la dung đắn Xác thực đối tượng cịn có nghĩa cơng nhận nguồn gốc đối tượng, xác thực người thường bao gồm việc thâm tra nhận dạng cá nhân họ Việc xác thực thường phụ thuộc vào nhiều yếu tô xác thuc (authentication factor) lam minh chứng cụ thê Xác thực khâu đặc biệt quan trọng để bảo đảm an toàn cho hoạt động hệ thơng thơng tin Đó quy trình nhăm xác minh nhận dạng số (digital identity) cua bên gửi thông tin (sender) liên lạc trao đối, xử lý thông tin, hạn yêu cầu đăng nhập Bên gửi cần phải xác thực người sử dụng máy tính, thân máy tính phần mềm Đầu tiên, hệ thống xác thực thực thể cố găng thử thiết lập liên lạc Khi đó, nét nhận dạng thực thể dùng để xác định truy nhập thực thể đặc quyền để đạt sẵn sảng phục vụ Đối với giao dịch ngân hàng điện tử điển giao dịch qua ATM/POS, Banking, giao cập dich Mobile giao dịch Online/Internet Banking xác thực bắt buộc quản lý truy 1.2 Các yếu tổ xác thực Những yêu tô xác thực cho người sử dụng có thê phân loại sau: - Những mà người sử dụng sở hữu bâm sinh, chắng hạn dấu vân tay mẫu dạng võng mạc mắt, chuỗi ADN, mẫu dạng giọng nói, chữ ký, tín hiệu sinh điện đặc thù thể sống tạo ra, định dạng sinh trắc học khác - Những người sử dụng có, chắng hạn chứng minh thư, chứng an ninh (security token), chứng phần mềm (software token) điện thoại di động - Những người sử dụng biết, hạn mật khâu (password), mật ngữ (passphrase) mã số định danh cá nhân (personal identification number - PIN) Trong thực tế, nhiều tô hợp yếu tố sử dụng, lúc người ta nói đến xác thực đa yếu tơ Chăng hạn giao dịch ATM, thẻ ngân hàng mã số định danh cá nhân (PIN) sử dụng — trường hop mot cdc dang xac thuc hai yéu t6 (two — factor authentication — 2FA) 1.3 M6 hinh xac thwe thwe té 1.3.1 Mô hình xác thực u tơ Xác thực u tơ, thường có nghĩa xác thực mật khâu (tức loại xác thực phố biến nhất) Tuy nhiên, mơ hình áp dụng cho tảng xác download by : skknchat@ gmail.com thực sử dụng yếu tố; Ngay xác thực sinh trắc học rơi vảo trường hợp Xác thực yếu tô đơn coi yếu tất mơ hình xác thực Mật dễ dàng bị bẻ khóa, đốn bị đánh cắp - tài khoản phương tiện truyền thông xã hội cung cấp thơng tin cân thiết cho tin tặc - chí mật bán web đen Nhưng chuyển sang mơ hình xác thực sinh trắc học (mạnh cách khách quan), khiến tài khoản người dùng dễ bị công Một hệ thống xác thực yếu tố, bất kế yếu tố mà sử dụng lớp bảo mật hacker nạn nhân 1.3.2 Mơ hình xác thực liên tục Xác thực liên tục (continoues authentication) phương thức xác minh nhằm cung cấp xác nhận danh tính bảo vệ an ninh mạng phiên làm việc diễn Băng người mà họ tuyên người dùng không vào việc cung cấp cách liên tục đo lường xác suất mà người dùng cá nhân bố người dùng hợp pháp, xác thực liên tục xác thực lần mà khơng ngừng tồn phiên Tập trung xác minh nhận dạng thông minh, an tồn mà khơng làm gián đoạn quy trình làm việc, xác thực liên tục triển khai cách sử dụng máy học máy (ML) nhiều yếu tô bao gồm mẫu hành vi sinh trắc học Mặc dù xác thực liên tục tương đối mới, loại xác minh thu hút ý cơng ty tìm cách để ngăn chặn quyên truy cập trái phép vào liệu kinh doanh quan trọng Các hình thức xác minh truyền thống xác thực yếu tô (SFA), cung cấp bảo vệ đăng nhập xác thực hai yếu tô (2FA), thêm lớp bảo mật thứ hai đăng nhập, không cung cấp xác thực liên tục nhận dạng người dùng Nhu cầu chiến lược danh tính quản lý truy cập (LAM) xác thực liên tục phát triển tốc độ nhanh chóng tiễn kỹ thuật số escalating cybercrime Giải pháp LAM với chức xác thực liên tục liên tục thu thập thông tin hành động mơ hình hành vi thường xun biệt hành vi bình thường bất thường thập Dựa phân tích hành vi người cấp xác minh nhận dạng người người dùng học cach phan người dùng dựa liệu thu dùng, truy cập vào hệ thống dùng bồ sung yêu cầu Phương sai không nhât quán hành vi tương tác người dùng với hệ thơng có thê đo đặc điêm sinh học người dùng có thê xác định liên tục phiên Ngoài ra, nêu người dùng có biêu lạ bị xâm phạm qun truy cập bị thu hồi phiên ứng dụng kết thúc Các phương thức thay đổi đốm bao gồm sử dụng tơ hợp phím, video, dấu vân tay, chạm vảo (áp suất ngón tay áp dụng) đặc điểm khn mặt vị trí mắt, kích thước học sinh tần suất chớp mắt Một ứng dụng có chức xác thực liên tục liên tục tính tốn "Điểm xác thực" để xác định mức độ chắn chủ sở hữu tài khoản người sử dụng thiết bị Tùy thuộc vào điểm số, người dùng nhắc nhập thêm thông tin mật khẩu, thẻ vân tay Có nhiều cơng nghệ hỗ trợ phương thức xác thực liên tục này: Cảm biến vật lý có thê sử dụng để theo đõi cách di chuyển độc đáo người dùng Ví dụ: cách người dùng giữ điện thoại định vị ban tay cu thé va chuyén động mang sử dụng thiết bị Nhận dạng khuôn mặt- Nhận dạng khuôn mặt thường sử dụng cho mục đích xác thực (như truy cập điện thoại di động) áp dụng để xác thực người dùng liên tục Sinh trắc học hành vi sinh lý - mẫu hành vi người dùng cử tương tác, cách người dùng gõ chạm, áp suất ngón tay thời gian người dùng giữ phím bàn phím sử dụng chuột có thê theo dõi liên tục Phương sai từ định mức sau tơ sáng gan cỜ Xác thực giọng nói - mẫu băng giọng nói (LE Chu ý thay đôi cao độ tần số) có thê theo dõi để xác thực liên tục Những phẩm chất ngồi thơng thường quan sát cách liên tục theo dõi âm đầu vảo trị chuyện kiêm sốt sử dụng để so sánh Sử dụng sinh trắc học hành vi (hoặc kết hợp hành vi đặc điểm sinh học cá nhân) giúp ngăn chặn kẻ mạo danh, bot kẻ lừa đảo với ý định xấu Mục tiêu cải thiện an ninh mà không ảnh hưởng tiêu cực đến trải nghiệm người dùng Nếu không xác thực liên tục, tô chức dễ bị công nhiều vectơ công mối đe dọa an ninh mạng Ví dụ, hệ thống thực người dùng dừng sử dụng phiên mở Các mối đe dọa xảy khác Ngày nay, khả xác thực liên tục tích hợp trực tiếp vào ứng dụng, tiêu chuẩn để thực điều nảy nhiều ứng dụng van chưa có sẵn Ngồi ra, cơng nghệ đại thực xác thực liên tục nhiều so với trước đây, chấp nhận từ người dùng vẫn đề Xác thực liên tục bước xa số người nhìn thấy xâm phạm riêng tư người có thé khơng thoải mái bị theo dõi Tương tự, đề quyền riêng tư tuân thủ điều khoản phát sinh Cân mối quan tâm quyên riêng tư lợi ích bảo mật chìa khóa để chấp nhận xác thực liên tục 1.3.3 Mơ hình xác thực kết hợp có Xác thực kêt hợp kêt hợp khía cạnh mạnh nhât xác thực đa u tơ mơ hình xác thực liên tục Như vậy, cân hiệu bảo mật hiệu suất Xác thực kết hợp cho phép người dùng đăng nhập với thông tin đăng nhập bản, chí mật khâu Là đánh đổi, hệ thống tương tự cho phép người dùng truy cập vào tài nguyên không quan trọng Nếu người dùng muốn truy cập sở liệu ứng dụng nhạy cảm hơn, phải cung cấp nhiều yếu tố xác thực 1.3.4 Mơ hình xác thực đa yếu tổ Xác thực đa yêu tô (Multi-Factor Authenfication) phương thức xác thực dựa nhiều yếu tô xác thực kết hợp mơ hình xác thực u cầu kiêm chứng Ít hai yếu tố xác thực Phương thức kết hợp yếu tố xác thực nào, ví dụ yếu tổ đặc tính sinh trắc người dùng người dùng biết để xác thực hệ thống Với xác thực đa yếu tố, ngân hàng tăng mức độ an toàn, bảo mật cho giao dịch trực tuyến lên nhiều nhờ việc kiểm chứng nhiều yếu tơ xác thực Ví dụ xác thực chủ thẻ giao dịch ATM, yếu tô xác thực khách hàng thẻ ATM (cái khách hàng có), sau đưa thẻ vào máy, khách hàng phải đưa tiếp yếu tố xác thực thứ hai số PIN (cái khách hàng biết) Một ví dụ khác xác thực người sử dụng dịch vụ giao dịch Internet Banking: khách hàng đăng nhập với Username Password sau cịn phải cung cấp tiếp OTP (One - Time - Password) duoc sinh token riêng khách hàng An toàn, bảo mật giao dịch trực tuyến quan trọng, xác thực người sử dụng khâu cốt lõi Với xác thực đa yếu tố, ta tăng mức độ an toàn, bảo mật nhờ việc kiểm chứng nhiều yếu tố xác thực Mức độ an toàn bảo mật cao số yếu tô xác thực nhiều Khi số yếu tố xác thực lớn hệ thống phức tạp, kéo theo phí đầu tư trì vận hành tốn kém, đồng thời lại bất tiện cho người sử dụng cân an toàn, bảo mật Do vậy, thực tế để tính tiện dụng, người ta thường áp dụng xác thực hai yếu t6 va xac thuc ba yéu t6 (three-factor authentication- 3FA) Xác thực đa yếu tơ dù có mức độ an toàn, bảo mật cao hơn, cần biện pháp nghiệp vụ khác để bảo đảm tuyệt đối an toàn hoạt động giao dịch trực tuyến 1.4 Một số phương pháp xác thực Hiện giao dịch trực tuyên, sô phương pháp xác thực phô biến gồm: 1.4.1 Xác thực dựa định danh người sứ dụng (Username) mật (Password) Su két hop cua mot cap Username va Password cách xác thực bién Với phương thức xác thực nảy, thông tin cặp username va password nhập vào đối chiếu với liệu lưu trữ hệ thống Nếu thông tin trùng khớp người sử dụng xác thực, cịn khơng người sử dụng bị từ chối cấm truy cập Phương thức xác thực có tính bảo mật khơng cao, thơng tin cap Username va Password ding dang nhập vào hệ thống mà ta gửi xác thực tình trạng ký tự văn rõ, tức khơng mã hóa bị chặn bắt đường truyền, chí q trình nhập vào Password cịn bị lộ đặt qua don gian (dang ‘123456’, ‘abc123’ v.v.) hodc dé đoán ((ên, ngày sinh người thân ) 1.4.2 Sử dụng giao thức bắt tay có thử thach (Challenge Handshake Authentication Protocol —- CHẤP) Đây mơ hình xác thực dựa username/password Khi người dùng (User) thực thủ tục đăng nhập (log on), máy chủ (server) đảm nhiệm vai trị xác thực gửi thơng điệp thử thách (challenge message) cho máy tính người dùng Lúc máy tính người dùng phản hỏi lại băng Username password mã hóa Máy chủ xác thực so sánh phiên xác thực người dùng lưu giữ với phiên mã hóa vừa nhận, trùng khớp người dùng xác thực Đề đảm bảo an tồn, thân password khơng gửi qua mạng Phương thức CHAP thường sử dụng người dùng đăng nhập vào máy chủ xa (remofe server) hệ thống, chang han nhu RAS server Dir liéu chứa password mã hóa đơi gọi “mật khâu bam” (hash password) theo tên phương pháp mã hoá dùng hàm băm 1.4.3 Xác thực Kerberos Là tảng xác thực nhiều hệ điều hành UNIX, Windows Xác thực Kerberos dùng máy chủ trung tâm để kiểm tra việc xác thực người dùng cấp phát thẻ dịch vụ (service tieket) để người dùng truy cập vào tài nguyên hệ thông Xác thực Kerberos phương thức có tính an tồn cao nhờ việc dùng thuật tốn mã hóa mạnh Kerberos dựa độ xác thời gian xác thực máy chủ người dùng, cần phải đảm bảo kết nỗi đồng thời gian thành phần hệ thống 1.4.4 Xác thực sử dụng token Token phương tiện vật lý thẻ thông minh (smart card), thẻ đeo nhân viên (ID badge) chứa thông tin xác thực tạo mật dùng lần (One Time Password - OTP) OTP la mat khau dung mot lần, tạo tạo OTP (token) kiểm tra hệ thông bảo mật riêng OTP tự động thay đối thường xuyên tổn thời gian ngắn (khoảng vài chục giây) cho lần truy nhập Token lưu trữ mã số nhận dạng cá nhân (PIN), thông tin người dùng, lưu giữ tạo password Các thơng tin token đọc/xử lý thiết bị hệ thông đặc dụng Chăng hạn thẻ thông minh đọc đầu đọc thẻ smart card chuyên dụng, OTP xử lý hệ thông xác thực sử dụng yếu tô xác thực thứ hai mật dùng lần Ví dụ Smart Cards Smart cards ví dụ điển hình xác thực token Một smart card thẻ nhựa có găn chip máy tính lưu trữ loại thông tin điện tử khác Nội dung thông tin card đọc với thiết bị đặc biệt 1.4.5 Xác thực áp dụng phương pháp nhận dạng sinh trắc học (Biometrics) Đây mô hình xác thực có tính bảo mật cao dựa đặc điêm sinh học cá nhân, sử dụng thủ tục quét dấu vân tay (fingerprint scanner), quét võng mạc mắt (retinal seanner), nhận dạng giọng nói (voice - recognition), nhận dạng khn mặt (face recognition) Nhờ tiễn vượt bậc công nghệ sinh học, phương thức xác thực dựa nhận dạng sinh trăc học ngày trở nên phô biên châp nhận rộng rãi 1.4.6 Phương thức xác thực lẫn (Mutual Authentication) Day phương thức bảo mật thành phân tham gia giao tiêp với kiểm tra, xác thực lẫn Chăng hạn, hệ thống mạng Client/Server, trước hết máy chủ (chứa tài nguyên) kiểm tra “giấy phép truy cập” người dùng sau người dùng lại kiểm tra “giấy phép cấp tài nguyên” máy chủ Cũng tương tự vậy, khách hàng thực giao dịch với hệ thống E-Banking Ngân hàng chọn, cần phải kiểm tra xem hệ thống có Ngân hàng khơng ngược lại hệ thống E-Banking Ngân hàng kiểm tra khách hàng thực giao dịch