Luận án tiến sĩ Khoa học máy tính: Bảo mật trong xác thực từ xa sử dụng đặc trưng sinh trắc

Đồng thời, hệ thống phải đảm bảo được tính bảo mật, bảo vệ được đặc trưng sinh trắc của người dùng trong ngữ cảnh các mối đe dọa tấn công có thể đến từ bất kì đâu, từ bên ngoài và có

ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC BÁCH KHOA

NGUYỄN THỊ ÁI THẢO

BẢO MẬT TRONG XÁC THỰC TỪ XA SỬ DỤNG

ĐẶC TRƯNG SINH TRẮC

LUẬN ÁN TIẾN SĨ

TP HỒ CHÍ MINH - NĂM 2021

ĐẠI HỌC QUỐC GIA TP HCM

TRƯỜNG ĐẠI HỌC BÁCH KHOA

NGUYỄN THỊ ÁI THẢO

BẢO MẬT TRONG XÁC THỰC TỪ XA SỬ DỤNG

ĐẶC TRƯNG SINH TRẮC

Chuyên ngành: Khoa học máy tính

Mã số chuyên ngành: 62480101

Phản biện độc lập 1: PGS TS Phạm Thế Bảo

Phản biện độc lập 2: PGS TS Nguyễn Đình Thuân

Phản biện 1: PGS TS Vũ Thanh Nguyên

i

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của bản thân Các kết quả nghiên cứu và các kết luận trong luận án này là trung thực, và không sao chép từ bất kỳ một nguồn nào

và dưới bất kỳ hình thức nào Việc tham khảo các nguồn tài liệu (nếu có) đã được thực hiện trích dẫn và ghi nguồn tài liệu tham khảo đúng quy định

Tác giả luận án

Chữ ký

Nguyễn Thị Ái Thảo

ii

TÓM TẮT LUẬN ÁN

Ngày nay hệ thống xác thực bằng đặc trưng sinh trắc cung cấp ngày càng nhiều lợi ích cho người dùng so với các hệ thống xác thực truyền thống Tuy vậy, lợi ích luôn đi kèm với nhiều thách thức Đặc trưng sinh trắc về bản chất rất nhạy cảm - chứa đựng nhiều nguy cơ bị tấn công, đặc biệt là các nguy cơ xuất phát từ đường truyền mạng và nguy

cơ ngay tại các mẫu sinh trắc được lưu trữ trong máy chủ của hệ thống Trong luận án này, tôi đề xuất một giao thức mới an toàn cho hệ thống xác thực từ xa bằng đặc trưng sinh trắc có khả năng chống lại các loại tấn công phổ biến trên đường truyền mạng cũng như các tấn công ở nội tại máy chủ không đáng tin cậy Đóng góp nổi bật của công trình này là trình bày một lược đồ bảo vệ mẫu sinh trắc trong hệ thống xác thực dùng đặc trưng sinh trắc Đây là một dạng lược đồ lai, kết hợp kĩ thuật phép chiếu trực giao ngẫu nhiên và cam kết mờ, trong đó các yếu tố bảo mật và độ hiệu quả nhận dạng của hệ thống được phân tích nhằm thiết kế một lược đồ vừa tận dụng được các ưu điểm, đồng thời khắc phục những nhược điểm vốn có của các kĩ thuật này Lược đồ này nhúng vào trong hệ thống xác thực theo kiến trúc từ xa có khả năng chống lại các tấn công từ bên trong hệ thống nhờ vào một bộ đồng xử lý bảo mật Người quản lý hệ thống vẫn có quyền để điều khiển hệ thống nhưng sẽ không có khả năng lợi dụng các dữ liệu được lưu trữ trên máy chủ để giả mạo người dùng đánh lừa toàn hệ thống vì các tính toán liên quan tới dữ liệu nhạy cảm đều được thực hiện trên bộ đồng xử lý bảo mật tích hợp trong

bộ xử lý của máy chủ

iii

ABSTRACT

Biometric-based authentication systems offer more undeniable benefits to users than the traditional ones However, biometric features seem to be very vulnerable - easily affected by different attacks, especially those happening over transmission network or those aiming at the stored biometric templates In this work, we will propose a novel biometric-based remote authentication framework to deal with malicious attacks over the transmission channel as well as at the untrusted server The main contribution of this work is the notable biometric template protection scheme in the authentication system This is a hybrid scheme combining the fuzzy commitment and random projection techniques This combination is refined to limit the drawbacks and also take advantages

of two techniques The other contribution is embedding a proper secure coprocessor into the main server Therefore, the administrator is incapable of utilizing information saved

in its database to impersonate its clients and deceive the whole system because all the sensitive data is computed in the secure coprocessor Last but not least, the recognition rate is maintained while the security of the whole system is significantly improved

iv

LỜI CÁM ƠN

Tôi xin trân trọng cám ơn PGS.TS Đặng Trần Khánh và các anh chị trong nhóm nghiên cứu cũng như các thầy cô trong khoa Khoa học và Kĩ thuật Máy Tính đã giúp đỡ đóng góp ý kiến về mặt chuyên môn, động viên và giúp đỡ về mặt tinh thần để tôi có thể hoàn thiện Luận án Tiến sĩ này Công trình này là cả một chặng đường dài, kết quả của nó đánh dấu sự phát triển về mặt chuyên môn và cả sự trưởng thành về nhận thức trong nhiều khía cạnh của cuộc sống Chặng đường đó không thể nào thiếu dấu ấn của gia đình tôi, những người tôi yêu quý Và tôi tri ân tất cả

v

MỤC LỤC

DANH MỤC CÁC HÌNH ẢNH vii

DANH MỤC BẢNG BIỂU ix

DANH MỤC BẢNG THUẬT NGỮ x

CHƯƠNG 1 GIỚI THIỆU 1

Giới thiệu 1

Mục tiêu và phạm vi luận án 3

1.2.1 Mục tiêu luận án 3

1.2.2 Phạm vi luận án 4

Các đóng góp chính của luận án 5

Cấu trúc luận án 6

CHƯƠNG 2 CÁC NGHIÊN CỨU LIÊN QUAN 7

Giới thiệu về xác thực 7

2.1.1 Định nghĩa 7

2.1.2 Quá trình xác thực 8

Sinh trắc học 10

2.2.1 Định nghĩa 10

2.2.2 Vấn đề khi sử dụng sinh trắc 12

Hệ thống xác thực 14

2.3.1 Xác thực sử dụng đặc trưng sinh trắc 14

2.3.2 Xác thực truyền thống 22

2.3.3 Bảo mật trong xác thực từ xa sử dụng đặc trưng sinh trắc 23

CHƯƠNG 3 BẢO VỆ DỮ LIỆU SINH TRẮC 31

Đặc điểm 31

Các hướng tiếp cận bảo vệ mẫu sinh trắc 32

Lược đồ lai bảo vệ mẫu sinh trắc 36

3.3.1 Hàm tuần hoàn sine kết hợp kĩ thuật cụm mờ 37

3.3.2 Phép chiếu trực giao ngẫu nhiên kết hợp cam kết mờ 43

CHƯƠNG 4 TÍNH TOÁN AN TOÀN 54

Mã hóa đồng hình 55

4.1.1 Giới thiệu 55

vi

4.1.2 Các giao thức cho bài toán tính toán an toàn nhiều thành phần 57

Kiến trúc phân tán 64

4.2.1 Giao thức Kerberos 65

4.2.2 Giao thức xác thực với hai máy chủ 73

Bộ xử lý bảo mật 79

Case study - IBM 4765 82

4.4.1 Giới thiệu 82

4.4.2 Bộ công cụ trong IBM 4765 83

CHƯƠNG 5 GIAO THỨC ĐỀ XUẤT 90

Kiến trúc tổng quát 90

Giai đoạn đăng ký 92

Giai đoạn xác thực 94

CHƯƠNG 6 ĐÁNH GIÁ 100

Kết quả thực nghiệm 100

6.1.1 Huấn luyện hệ thống 100

6.1.2 Đánh giá thực nghiệm 101

Đánh giá về độ bảo mật của hệ thống 104

6.2.1 Tấn công mẫu sinh trắc 104

6.2.2 Tấn công lặp lại 105

6.2.3 Tấn công xen giữa 106

6.2.4 Tấn công từ bên trong hệ thống 106

Đánh giá độ phức tạp của hệ thống 107

CHƯƠNG 7 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 111

Kết luận 111

Hướng phát triển 112

DANH MỤC CÔNG TRÌNH ĐÃ CÔNG BỐ 115

TÀI LIỆU THAM KHẢO 117

vii

DANH MỤC CÁC HÌNH ẢNH

Hình 2.1: Quá trình đăng kí một người dùng mới 8

Hình 2.2: Quá trình xác thực người dùng 9

Hình 2.3: Hệ thống xác thực sinh trắc cơ bản 15

Hình 2.4: FAR, FRR và EER 17

Hình 2.5: Các điểm tấn công trong hệ thống xác thực sinh trắc [10] 18

Hình 2.6: Mô hình xương cá phân loại lỗ hổng của hệ thống xác thực sinh trắc 20

Hình 3.1: Các cách tiếp cận bảo vệ mẫu sinh trắc 35

Hình 3.2: Kiến trúc tổng quát của hệ thống xác thực sử dụng hàm tuần hoàn kết hợp với kĩ thuật cụm mờ 38

Hình 3.3: Hàm biến đổi dạng sine với 𝑦𝑖 > 0 40

Hình 3.4: Hàm biến đổi dạng sine với 𝑦𝑖 < 0 40

Hình 3.5: Quá trình giải mã trong lược đồ cụm mờ 42

Hình 3.6: Mô hình kết hợp phép chiếu trực giao ngẫu nhiên và cam kết mờ 43

Hình 3.7: Quá trình biến đổi mẫu sinh trắc nên đảm bảo khả năng nhận diện 44

Hình 3.8: Hàm toàn ánh 48

Hình 3.9: Nhị phân hóa mẫu sinh trắc khả đổi 49

Hình 3.10: Qui trình của mã sửa lỗi 51

Hình 3.11: Lược đồ cam kết mờ 52

Hình 4.1: Lược đồ mã hóa đồng hình 55

Hình 4.2: Minh họa giao thức bảo mật không thông tin 58

Hình 4.3: Mô hình chia sẻ khoá bí mật của Shamir 59

Hình 4.4: Mô hình chia sẻ khoá bí mật của Blakley 61

Hình 4.5: Giao thức Kerberos 66

Hình 4.6: Xác thực bằng đặc trưng sinh trắc dùng Kerberos 67

Hình 4.7: Giai đoạn đăng kí trong giao thức Kerberos dùng sinh trắc 68

Hình 4.8: Quá trình đầu tiên của giai đoạn xác thực 69

Hình 4.9: Quá trình thứ 2 của giai đoạn xác thực 70

Hình 4.10: Quá trình thứ 3 của giai đoạn xác thực 71

Hình 4.11: Giai đoạn đăng kí 74

Hình 4.12: Giai đoạn xác thực 75

Hình 4.13: Kiến trúc máy chủ sử dụng vi xử lý bảo mật 80

Hình 4.14: Tổng quan quá trình phát triển ứng dụng trong bộ đồng xử lý 84

Hình 5.1: Kiến trúc tổng quan của hệ thống 92

Hình 5.2: Giai đoạn đăng kí 92

Hình 5.3: Áp dụng Cam kết mờ trong giai đoạn xác thực 94

Hình 5.4: Mô hình chức năng của quá trình xác thực 95

Hình 5.5: Mô hình chi tiết của quá trình xác thực 99

Hình 6.1: Phương pháp Eigenface 100

viii

Hình 6.2: Kết quả xác thực sử dụng vector đặc trưng sinh trắc gốc 102Hình 6.3: Kết quả xác thực sử dụng vector đặc trưng được biến đổi bằng phép chiếu trực giao ngẫu nhiên 102Hình 6.4: Kết quả xác thực sử dụng vector đặc trưng được bảo vệ bằng lược đồ lai giữa kĩ thuật cam kết mờ và phép chiếu trực giao ngẫu nhiên 103

ix

DANH MỤC BẢNG BIỂU

Bảng 2.1: So sánh các phương pháp xác thực 8

Bảng 2.2: Bảng so sánh các đặc trưng sinh trắc [4] 12

Bảng 2.3: So sánh các giao thức xác thực từ xa sử dụng đặc trưng sinh trắc 29

Bảng 3.1: So sánh hai hướng tiếp cận 35

Bảng 4.1: Các thông điệp trong giao thức Kerberos 66

Bảng 6.1: Độ phức tạp của phép chiếu trực giao ngẫu nhiên 109

Bảng 6.2: Độ phức tạp của kĩ thuật cam kết mờ 110

x

DANH MỤC BẢNG THUẬT NGỮ

Biometric cryptosystem Các kĩ thuật mã hóa mẫu sinh trắc Biometric lock (BL) Dữ liệu sinh trắc đã được che dấu

Cancelable biometrics Các kĩ thuật biến đổi mẫu sinh trắc

Cryptographic coprocessor Bộ đồng xử lý mã hóa

Error Correcting Code (ECC) Mã sửa lỗi

False Accept Rate (FAR) Tỉ lệ chấp nhận sai

False Reject Rate (FRR) Tỉ lệ từ chối sai

Linear Error Correcting Code Mã sửa lỗi tuyến tính

Multisubspace projection Phép chiếu đa không gian con

Number used ONCE (NONCE) Số sử dụng một lần

Principal Component Analysis (PCA) Kĩ thuật phân tích thành phần chính

xi

Random multispacer quantization Lượng số ngẫu nhiên đa không gian Random projection (PR) Phép chiếu trực giao ngẫu nhiên

Secure coprocessor (SC) Bộ đồng xử lý bảo mật

Secure multiparty computation Tính toán bảo mật đa thành phần

Secure sketch Kĩ thuật rút trích thành phần chính an toàn

Trust third party (TTP) Bên thứ ba đáng tin cậy

Tuy nhiên, môi trường mạng không phải luôn an toàn Đặc trưng của internet là tính ảo

và tính tự do, mọi người đều có thể tham gia và ít khi để lại dấu vết của mình Việc xác thực mỗi cá nhân trên mạng thường khó khăn nên nguy cơ xảy ra giả mạo địa chỉ, giả danh người dùng hợp pháp và bị lừa đảo trực tuyến là rất cao Đây vừa là điểm mạnh cũng chính là điểm yếu của các giao dịch qua mạng Những năm gần đây các hình thức tội phạm sử dụng công nghệ cao đã phát triển nhanh chóng cùng với sự phát triển của công nghệ

Mặc dù có các nguy cơ kể trên, tính phổ dụng và tiện lợi của công nghệ cao đã và đang làm thay đổi diện mạo cuộc sống và các giao dịch điện tử đang phát triển mạnh trên phạm vi toàn thế giới Khi các dịch vụ thương mại điện tử được sử dụng rộng rãi như ngày nay, nhu cầu tất yêu để nó tồn tại lâu dài ngoài chất lượng dịch vụ còn phải kể đến tính bảo mật, đảm bảo sự an tâm cho khách hàng khi sử dụng dịch vụ Phương pháp bảo mật đầu tiên phải kể đến để đảm bảo tính bảo mật cho các hệ thống thông tin là xác thực Phương pháp xác thực truyền thống mà hầu hết các dịch vụ thương mại điện tử vẫn đang sử dụng là định danh/ mật khẩu Tuy nhiên, phương pháp này đang dần lộ những nhược điểm thuộc về bản chất của nó Mật khẩu không thể phân biệt được người dùng hợp pháp với kẻ mạo danh có khả năng truy xuất mật khẩu của người dùng Bên cạnh đó, về bản chất mật khẩu càng khó – càng bảo mật thì lại càng khó nhớ, hay nói một cách khác mật khẩu đúng nghĩa khó cho con người có thể nhớ nhưng lại dễ cho máy tính có thể đoán ra được Đặc biệt, với sự phát triển của khoa học kĩ thuật ngày nay, khả năng của máy tính ngày càng được nâng cao, đồng nghĩa với khả năng phá các loại mật khẩu cũng

2

rất cao Có hai vấn đề cần phải giải quyết ở đây là làm sao người sử dụng không cần phải nhớ mật khẩu của mình nữa và dữ liệu xác thực dù có bị kẻ tấn công đánh cắp cũng không thể nào sử dụng được Với yêu cầu đó, phương pháp xác thực bằng đặc trưng sinh trắc ra đời, cùng với những ưu điểm cuả nó phương pháp này đang ngày dần thay thế phương pháp truyền thống Ưu điểm đầu tiên phải kể đến là đặc trưng sinh trắc (như khuôn mặt, giọng nói, tròng mắt, vân tay, dáng đi, chữ kí,…) phản ánh duy nhất một cá nhân cụ thể nên có thể ngăn chặn được việc sử dụng nhiều định danh của cùng một cá nhân Hơn thế nữa, việc sử dụng đặc trưng sinh trắc thuận tiện hơn vì nó không đòi hỏi người sử dụng phải luôn ghi nhớ hay phải luôn mang nó bên mình

Tuy vậy, tiện ích luôn đi kèm với những thử thách Việc sử dụng đặc trưng sinh trắc trong xác thực đòi hỏi phải có các kĩ thuật để loại trừ nhiễu gây ra khi các bộ cảm ứng thu nhận những đặc trưng sinh trắc Bên cạnh đó, một số vấn đề liên quan đến bảo mật

và tính riêng tư cũng được đặt ra như: đặc trưng sinh trắc học khó có thể thay đổi và hủy bỏ khi bị đánh cắp dễ dàng như mật khẩu, và một khi đã mất sẽ không có thể thu hồi lại được,… Đặc biệt trong kiến trúc xác thực từ xa, vấn đề bảo mật khi sử dụng đặc trưng sinh trắc càng quan trọng Những khó khăn được đặt ra như là:

• Đặc trưng sinh trắc phản ánh bản thân người dùng, chứa đựng nhiều thông tin cá nhân Trong kiến trúc xác thực từ xa, những thông tin đó cần được lưu trên cơ sở

dữ liệu, và được tải đi trên đường truyền mạng Làm sao bảo vệ những thông tin riêng tư đó trên đường truyền mạng luôn có nhiều mối đe dọa và ngăn chặn sự tò

mò hay nghiêm trọng hơn là tấn công của chính người quản trị cơ sở dữ liệu

• Số lượng dịch vụ thương mại điện tử mà người dùng sử dụng có thể rất nhiều trong khi số lượng đặc trưng sinh trắc của con người có hạn Người dùng có xu hướng sử dụng một đặc trưng để xác thực cho nhiều dịch vụ Việc này rất nguy hiểm nếu các dịch vụ liên kết với nhau có thể biết được tất cả những hoạt động trên mạng của người dùng

• Ngoài vấn đề về sinh trắc, những phương pháp bảo vệ thông điệp được truyền đi trên đường truyền mạng đảm bảo giao thức xác thực chạy đúng, cũng cần được nghiên cứu

3

Trong luận án này, tôi tập trung xây dựng một hệ thống xác thực từ xa sử dụng đặc trưng sinh trắc cung cấp sự tiện lợi cho người dùng Đồng thời, hệ thống phải đảm bảo được tính bảo mật, bảo vệ được đặc trưng sinh trắc của người dùng trong ngữ cảnh các mối

đe dọa tấn công có thể đến từ bất kì đâu, từ bên ngoài và có thể xuất phát từ bên trong

hệ thống Việc sử dụng bộ đồng xử lý bảo mật ở phía máy chủ nhằm giảm thiểu nguy

cơ tấn công từ bên trong, đồng thời đảm bảo những thông tin nhạy cảm của người dùng được bảo vệ ở mức độ cao nhất có thể ở công nghệ hiện nay

Mục tiêu và phạm vi luận án

1.2.1 Mục tiêu luận án

Với nội dung được giới thiệu tóm tắt trong phần trên, mục tiêu chính của luận án là đưa

ra giải pháp bảo mật cho hệ thống xác thực từ xa sử dụng đặc trưng sinh trắc Trong đó khía cạnh bảo mật chú trọng ở hai điểm chính: bảo vệ mẫu sinh trắc của người dùng, và thực hiện tính toán an toàn trong ngữ cảnh máy chủ xác thực không đáng tin cậy Bảo vệ mẫu sinh trắc là một lĩnh vực rất được quan tâm khi phát triển hệ thống xác thực bằng đặc trưng sinh trắc Lý do chính khiến mẫu sinh trắc của người dùng trở thành dữ liệu nhạy cảm dễ bị dòm ngó bởi kẻ tấn công, do đặc tính phản ánh các đặc điểm sinh lý của người sở hữu nó; hơn nữa, các đặc trưng sinh trắc mà con người sở hữu thì hữu hạn nên việc sử dụng lặp lại dễ tạo ra lỗ hổng bảo mật Vì thế, để bảo vệ được mẫu sinh trắc cho người dùng thì các mẫu này nên được chuyển đổi sang vùng an toàn trước khi được chuyển đi để xử lý Việc chuyển đổi này giống như ta mã hóa mật khẩu trước khi lưu trữ nó vào cơ sở dữ liệu Tuy nhiên, đặc trưng sinh trắc là một loại dữ liệu có nhiễu nên việc chuyển đổi và thực hiện so trùng để xác thực sẽ khác so với việc dùng mật khẩu thông thường Bên cạnh đó, mỗi loại đặc trưng sinh trắc lại có một cách biểu diễn khác nhau nên các phương pháp bảo vệ cũng cần phù hợp với từng loại Để đảm bảo mục tiêu này, các bước cần thực hiện:

• Tìm hiểu về hệ thống xác thực, đặc biệt hệ thống xác thực sử dụng đặc trưng sinh trắc

• Tìm hiểu đặc điểm của các loại đặc trưng sinh trắc, so sánh các loại sinh trắc với nhau để cho thấy loại sinh trắc nào phù hợp với hệ thống triển khai

đó một cách an toàn chống lại được các tấn công từ bên ngoài và đặc biệt từ chính bên trong của hệ thống Để đáp ứng được mục tiêu này, các công việc cần thực hiện:

• Tìm hiểu các một số hệ thống xác thực từ xa Một số các loại tấn công điển hình trên đường truyền mạng sẽ được khảo sát và các phương thức để chống lại chúng

• Tìm hiểu các giải pháp để đáp ứng yêu cầu tính toán an toàn trong ngữ cảnh máy chủ không đáng tin cậy

• Đề xuất giao thức xác thực từ xa sử dụng đặc trưng sinh trắc, có quan tâm và giải quyết bài toán tính an toàn đối với việc tính toán ở phía máy chủ Đồng thời kĩ thuật bảo vệ mẫu sinh trắc cũng sẽ được đưa vào trong giao thức này

1.2.2 Phạm vi luận án

Đối với bài toán liên quan đến mẫu sinh trắc dùng để xác thực, luận án này có các giả định và giới hạn sau:

• Để có thể sử dụng trong hệ thống xác thực, mẫu sinh trắc cần qua các bước tiền xử lý, trước khi được rút trích đặc trưng quan trọng nhất để lưu trữ và so trùng Trong phạm vi luận án này, chỉ tập trung xử lý dữ liệu đã được rút trích Quá trình tiền xử lý dữ liệu hình ảnh thô sẽ không được đề cập tới Dữ liệu sau khi tiền xử lý sẽ được rút trích, quá trình rút trích đặc trưng sẽ sử dụng kĩ thuật PCA Lý do chọn kĩ thuật này và độ hiệu quả của nó trong quá trình xác thực sẽ không nằm trong phạm vi luận án

• Một điểm đáng lưu ý nữa, do phạm vi nghiên cứu chỉ xét từ thời điểm mẫu đặc trưng đã được rút trích, nên các vấn đề bảo mật trước quá trình này ví dụ các kiểu tấn công đánh lừa máy cảm biến (làm giả giọng nói, vân tay, khuôn mặt,…) để xác thực sẽ không được đề cập đến

5

Đối với bài toán liên quan tới tính toán an toàn về phía máy chủ, có rất nhiều kịch bản cho máy chủ không trung thực như: làm theo đúng các bước trong giao thức nhưng sẽ lợi dụng dữ liệu đầu vào để giả mạo người dùng, làm theo đúng các bước trong giao thức nhưng thay đổi kết quả cuối cùng, làm theo giao thức nhưng không thực sự tính toán nên cho kết quả không đáng tin ở các bước, và không làm theo giao thức chỉ xuất

ra kết quả đánh lừa người dùng,… Đối với mỗi kịch bản tương ứng với mỗi cấp độ tấn công sẽ cần có những kĩ thuật để phát hiện mức độ không trung thực của máy chủ Trong phạm vi luận án này, máy chủ giả định sẽ có khả năng tấn công ở mức bị động, có nghĩa

là sẽ lợi dụng các thông tin và tài nguyên của hệ thống để mạo danh người dùng nhằm thực hiện các hành vi phi pháp chứ không tác động làm thay đổi hệ thống Do đó, đối tượng cần được bảo vệ là dữ liệu sinh trắc của người dùng không cho kẻ tấn công bên ngoài và đặc biệt là bên trong xâm phạm

Các đóng góp chính của luận án

Công trình này đề xuất được hệ thống xác thực từ xa an toàn bằng đặc trưng sinh trắc Trong đó, các đóng góp chính được đề xuất:

• Áp dụng hướng tiếp cận lai để bảo vệ mẫu sinh trắc vừa đảm bảo được những ưu điểm của các kĩ thuật đơn vừa khắc phục được những khuyết điểm nội tại của nó Trong đó, kĩ thuật cam kết mờ được kết hợp với phép chiếu trực giao ngẫu nhiên tạo nên lược đồ bảo vệ mẫu sinh trắc trước khi đưa nó vào quá trình xác thực

• Đưa ra giải pháp sử dụng bộ đồng xử lý bảo mật để tính toán trên máy chủ nhằm giải quyết bài toán tính toán an toàn trên dữ liệu nhạy cảm của người dùng Giao thức đề xuất cách giao tiếp giữa bộ xử lý chính và bộ đồng xử lý bảo mật để đảm bảo tối thiểu tính toán trên bộ xử lý bảo mật, bên cạnh đó cũng tối thiểu hóa các tiếp xúc với dữ liệu nhạy cảm ở bộ xử lý chính

• Giao thức xác thực đề xuất có thể áp dụng cho các đặc trưng sinh trắc khác nhau

có dạng vector Độ chính xác của quá trình xác thực tương đương với hệ thống không áp dụng quy trình bảo mật nào Hệ thống cũng đảm bảo được sự xác thực lẫn nhau giữa người dùng và máy chủ, đảm bảo chống lại các tấn công trên đường truyền mạng

6

Cấu trúc luận án

Nội dung của luận án này được chia làm 7 chương

• Chương 1 là phần giới thiệu tổng quan, mục tiêu và phạm vi của nghiên cứu; đồng thời chỉ ra những đóng góp chính của công trình trong lĩnh vực này, và trình bày cấu trúc của luận án

• Chương 2 trình bày các nghiên cứu có liên quan bao gồm các vấn đề về xác thực, lĩnh vực sinh trắc học và sinh trắc học được ứng dụng trong hệ thống xác thực như thế nào, và có các nghiên cứu nào liên quan đến bảo mật trong hệ thống xác thực sử dụng đặc trưng sinh trắc

• Chương 3 tập trung vào lĩnh vực bảo vệ mẫu sinh trắc Trong đó trình bảy các đặc điểm cần có của kĩ thuật bảo vệ mẫu sinh trắc Tiếp đó phân loại các kĩ thuật bảo vệ mẫu sinh trắc Hai kĩ thuật Cam kết mờ và Phép chiếu trực giao ngẫu nhiên được sử dụng trong giao thức đề xuất được trình bày chi tiết cách thức hoạt động trong phần này

• Chương 4 trình bày về lĩnh vực an toàn tính toán, liên quan đến việc bảo vệ dữ liệu nhạy cảm của người dùng khi dữ liệu đó cần được xử lý trên máy chủ không đáng tin Lĩnh vực này liên quan đến kĩ thuật mã hóa và bộ đồng xử lý bảo mật Trong phần này cũng đưa ra một ví dụ thực tiễn của một bộ đồng xử lý bảo mật được IBM sản xuất đó là IBM 4765 gồm cách thức tiến hành giao tiếp với bộ xử lý, các API được cung cấp giúp thực hiện các tác vụ trong giao thức đề xuất

• Chương 5 mô tả chi tiết về giao thức đề xuất Trong đó, cách thức trình bày đi từ tổng quan kiến trúc hệ thống đến chi tiết từng quá trình đăng kí và xác thực ở mỗi thành phần của hệ thống

• Chương 6 đánh giá giao thức Trong đó trình bày về kết quả thực nghiệm chứng minh độ chính xác của quá trình xác thực Bên cạnh đó, phân tích độ bảo mật và

độ phức tạp của hệ thống

• Chương 7 là phần kết luận các việc làm được, chưa làm được và hướng phát triển của luận án

7

Giới thiệu về xác thực

2.1.1 Định nghĩa

Trong lĩnh vực bảo mật hệ thống thông tin, điều khiển truy xuất đóng vai quan trọng, nó liên quan đến việc quản lý các truy cập vào các tài nguyên của hệ thống Điều khiển truy xuất gồm có hai bước chính là xác thực và ủy quyền Xác thực được định nghĩa là “quá trình kiểm tra/xác minh danh định của người dùng là đúng với chính họ” [1] Trong khi

đó, ủy quyền là “quá trình giới hạn các hành vi được phép làm của người dùng đã được xác thực”[2] Nói cách khác, xác thực dùng để trả lời cho câu hỏi “bạn là ai?” và ủy quyền dùng để trả lời cho câu hỏi “bạn được phép làm gì?” Trong giới hạn của nghiên cứu, luận án này chỉ đề cập đến các lý thuyết liên quan đến phần xác thực

Để xác thực được người dùng thì trước tiên họ cần thực hiện việc đăng ký với hệ thống Việc đăng ký này cần hai thông tin cơ bản là danh định và bằng chứng để kiểm tra sau này Loại bằng chứng đi kèm với danh định dùng để xác thực được chia làm ba loại sau [2]:

• Những gì bạn biết: mật khẩu, số bí mật (PIN)

• Những gì bạn có: thẻ thông minh

• Những gì là chính bạn: sinh trắc học

Để tăng tính hiệu quả khi xác thực, các yếu tố xác thực có thể được sử dụng kết hợp với nhau Khi đó ta có hệ thống xác thực nhiều thành phần Ví dụ hệ thống xác thực kết hợp giữa mật khẩu và token hoặc giữa mật khẩu và đặc trưng sinh trắc, hoặc giữa các đặc trưng sinh trắc với nhau

Bảng 2.1 cung cấp thông tin so sánh về các hệ thống xác thực ứng với các loại bằng chứng trên [1]

8

Bảng 2.1: So sánh các phương pháp xác thực

Những gì bạn biết Những gì bạn có Sinh trắc

Phụ thuộc vào khả năng phát hiện bản sao của hệ thống xác thực

2.1.2 Quá trình xác thực

Một quá trình căn bản được mô tả như sau: người dùng sẽ đăng ký danh định và cung cấp bằng chứng xác thực mẫu cho hệ thống Hệ thống sẽ kiểm tra đối chiếu với cơ sở

dữ liệu hiện có xem đây có phải là một người dùng mới, nếu đúng thì lưu thông tin vào

cơ sở dữ liệu và thông báo đăng ký thành công, ngược lại thì cảnh báo người dùng đã đăng ký (Hình 2.1)

Hình 2.1: Quá trình đăng kí một người dùng mới

9

Sau khi đăng ký, hệ thống sẽ chỉ xác thực người dùng là đúng với danh định đăng ký khi và chỉ khi họ cung cấp đúng bằng chứng đã đăng ký Quá trình xác thực sẽ thực hiện việc kiếm tra bộ danh định và bằng chứng người dùng đưa ra có khớp với bộ danh định

và bằng chứng họ đã đăng ký với hệ thống trước đó hay không và đưa ra kết luận Quá trình xác thực bao gồm hai bước (Hình 2.2) Bước thứ nhất, được gọi là bước định danh, là người dùng khai báo danh định của mình và bằng chứng để yêu cầu hệ thống xác thực, ví dụ: nhập định danh và mật khẩu hoặc đưa thẻ vào Bước tiếp theo là bước kiểm tra Trong bước này hệ thống sẽ kiểm tra so trùng bằng chứng người dùng cung cấp với bằng chứng người dùng đăng ký ứng với cùng một danh định có khớp nhau hay không Nếu trùng khớp nhau thì hệ thống sẽ xác thực thành công, còn ngược lại thì là xác thực thất bại

Hình 2.2: Quá trình xác thực người dùng

Việc kiểm tra so trùng được phân thành hai loại:

• So trùng chính xác: bằng chứng đưa ra phải hoàn toàn khớp với bằng chứng đăng ký trước đó (được lưu trong cơ sở dữ liệu) Kết quả trả về của quá trình kiểm tra này là nhị phân (có/không), do vậy hệ thống xác thực dùng so trùng chính xác được gọi là hệ thống xác thực nhị phân

o Ví dụ: xác thực dùng mật khẩu, thẻ thông minh

10

• So trùng có xác suất: bằng chứng xác thực người dùng đưa ra được so sánh với bằng chứng xác thực đã đăng ký trước đó, hệ thống sẽ tính một tỷ lệ giống nhau giữa hai bằng chứng trên Hệ thống định nghĩa một ngưỡng và nếu tỷ lệ giống nhau lớn hơn ngưỡng đó thì hệ thống sẽ xác thực cho người dùng đó là đúng, còn ngược lại thì không Hệ thống xác thực này được gọi là hệ thống xác thực dựa trên ngưỡng

o Ví dụ: xác thực dùng đặc trưng sinh trắc

Sinh trắc học

• Giọng nói

• Cách gõ phím

hệ thống xác thực bằng đặc trưng sinh trắc như: người dùng không cần phải nhớ mật khẩu hoặc phải đem theo các loại thẻ thông minh bên mình, người dùng có thể được nhận dạng bằng việc phải hiện diện thực tế tại thời điểm nhận dạng, kẻ tấn công khó giả dạng người dùng để đột nhập hệ thống Tuy nhiên, đặc trưng sinh trắc mang tính chất

đa dạng và phức tạp, nên các đặc điểm được dùng để xác thực phải thỏa mãn các tính chất sau [3] Bảng 2.2 thống kê một số đặc trưng sinh trắc phổ biến bởi việc thỏa mãn các tính chất được liệt kê

• Tính phố biến: Mọi người đều sở hữu đặc tính này Sự khiếm khuyết đặc tính này, nếu có, chỉ do tai nạn hoặc bệnh tật

• Tính duy nhất: Không có hai người khác nhau có cùng chung đặc tính này

• Tính ổn định: Tính chất không thay đổi theo thời gian hoặc thay đổi không đáng kể Các đặc trưng thỏa mãn tính chất này không phụ thuộc vào tuổi tác, sức khỏe con người

• Tính tính toán được: Đặc tính sinh học có thể số hóa và so sánh giữa các cá nhân

• Tính hiệu quả: Đặc tính phải so sánh được trong thời gian và nguồn tài nguyên giới hạn

• Tính chấp nhận được: Mọi người chấp nhận phương pháp xác thực đó đối với hệ thống

• Tính không thể gian lận: Đặc điểm sinh học đó phải không thể hoặc khó làm giả Bảng 2.2 so sánh tóm tắt một số đặc trưng sinh trắc dựa trên bảy tính chất kể trên Thực

tế, khả năng lựa chọn một đặc trưng cụ thể phụ thuộc phần lớn vào yêu cầu của loại ứng dụng được phát triển Do đó, không có loại đặc trưng nào vượt trội hơn thảy các loại đặc trưng còn lại trong mọi trường hợp Mỗi đặc trưng sinh trắc đều có thể được tận dụng

và không có đặc trưng nào tối ưu hoàn toàn Ví dụ, dựa trên tính toán thì vân tay và mống mắt có độ hiệu quả xác thực cao hơn khuôn mặt; tuy nhiên, trong một ứng dụng

12

ngân hàng điện tử, khuôn mặt lại được ưu tiên áp dụng trong hệ thống xác thực vì nó dễ dàng tích hợp vào hệ thống hiện có với điện thoại di động có gắn máy chụp hình khuôn mặt

Bảng 2.2: Bảng so sánh các đặc trưng sinh trắc1 [4]

Tính ổn định

Dễ thu thập

Tính hiệu quả

Tính chấp nhận

Chống gian lận

Trung bình

Trung bình

Trung bình

Trung bình Thấp

Trung bình Cao

Trung bình

Trung bình

Trung bình

Trung bình Cao

Trung bình

Trung bình

Dáng đi Trung

Trung bình

Trung bình

Trung bình

2.2.2 Vấn đề khi sử dụng sinh trắc

Đối với sinh trắc học, do các mẫu sinh trắc thu nhận được và các biểu diễn của chúng phụ thuộc rất nhiều vào yếu tố: phương pháp lấy mẫu, môi trường lấy mẫu, tương tác của người lấy mẫu với thiết bị và tùy theo loại sinh trắc thu nhận, tẩt cả đều ảnh hưởng đến độ ổn định và chất lượng hệ thống

Thu nhận mẫu sinh trắc không ổn định

Tín hiệu sinh trắc thu nhận được phụ thuộc vào đặc trưng sinh lý, hành vi tương tác của người dùng…Ví dụ như với thu nhận mẫu vân tay từ máy quét, sự khác nhau về lực ấn

1 Các đánh giá Cao, Thấp, Trung bình dựa trên các phân tích của các tác giả trong [4]

13

của ngón tay lên thiết bị quét, vị trí ấn ngón tay lên mặt phẳng quét đều ảnh hưởng tới kết quả thu nhận ảnh vân tay Vì các ngón tay không phải là đối tượng cố định và quá trình chiếu bề mặt đầu ngón tay lên mặt phẳng quét không tuyệt đối chính xác, nên với lực ấn khác nhau, các phần khác nhau của vân tay sẽ được quét Vì thế các mẫu thu được đều có sai khác với nhau

Các tác động của môi trường tại thời điểm thu nhận cũng ảnh hưởng tới kết quả mẫu sinh trắc Ví dụ như độ ẩm, độ sạch của da, ảnh hưởng của tuổi tác, bệnh tật về da… ảnh hưởng tới mẫu vân tay

Giả mạo các đặc trưng sinh trắc

Việc giả mạo các đặc trưng sinh trắc không hẳn là quá khó khăn như nhiều người nghĩ Trong thực tế, đã có một số thí nghiệm thực hiện việc tạo ra các dấu vân tay giả để đánh lừa các hệ thống nhận diện bằng vân tay một cách dễ dàng [5]

Và một vấn đề nữa là các đặc trưng sinh trắc của một người dùng thường không phải là điều gì bí mật Người dùng có thể để lại dấu vân tay của mình trên những vật dụng họ chạm vào hoặc các đặc điểm về mắt, khuôn mặt đều có thể dễ dàng quan sát và ghi lại

Thu hồi đặc trưng sinh trắc

Việc thu hồi/hủy bỏ các đặc trưng sinh trắc không hoàn toàn dễ dàng như với mật khẩu Mỗi người chỉ có một vài đặc trưng sinh trắc và nó tồn tại gần như suốt đời người Do vậy, có thể xem như là mỗi người chỉ có vài “mật khẩu sinh trắc” để dùng suốt đời Một khi dấu vân tay của người dùng đã bị làm giả thì việc xác thực bằng dấu vân tay không còn an toàn nữa Một người gần như không có cơ hội để thay đổi đặc điểm sinh trắc của mình một khi nó đã bị lộ và làm giả [6]

Sự thiếu đa dạng đặc trưng sinh trắc

Trong xác thực bằng mật khẩu, người dùng có thể dùng nhiều mật khẩu khác nhau cho nhiều ứng dụng khác nhau Tuy nhiên, với xác thực bằng sinh trắc, người dùng gần như sử dụng lặp đi lặp lại các đặc trưng sinh trắc của mình để xác thực Người dùng càng sử dụng xác thực bằng sinh trắc ở nhiều hệ thống khác nhau thì càng dễ bị mất thông tin về đặc điểm sinh trắc của mình [6] Kẻ tấn công khi tấn công một hệ thống và lấy được

14

thông tin sinh trắc của người dùng có thể dùng dữ liệu đó để tấn công nhiều hệ thống khác mà người dùng đăng kí sử dụng Kiểu tấn công này còn gọi là tấn công theo vết người dùng

Sự thay đổi đặc trưng sinh trắc

Một số đặc điểm có thể thay đổi theo từng thời điểm Ví dụ: dấu vân tay có thể mất hoặc thay đổi khi người dùng lao động dùng tay nhiều, bị thương hoặc giọng nói của người dùng thay đổi do tuổi tác, bệnh tật, … Khi đặc trưng sinh trắc của người dùng thay đổi thì việc đăng ký lại rất phức tạp vì phải cần đến bên thứ ba tin cậy để xác thực người dùng đó dựa trên các yếu tố khác trước khi thực hiện việc đăng ký lại

Sự chấp nhận của người dùng

Vấn đề cuối cùng khi đưa hệ thống xác thực dựa trên sinh trắc học vào sử dụng là sự chấp nhận của người dùng [7] Người dùng sẽ quan tâm đến thông tin sinh trắc học của mình sẽ do ai quản lý, có an toàn không

Hệ thống xác thực

2.3.1 Xác thực sử dụng đặc trưng sinh trắc

Qua thời gian, khoa học công nghệ phát triển mạnh cho phép con người đưa sinh trắc học vào các hệ thống xác thực Các đặc trưng sinh trắc được khảo sát và ban đầu được sử dụng trong nhiều hệ thống như vân tay, mống mắt, khuôn mặt,… Dễ dàng nhận thấy

ưu điểm của những hệ thống này là tính duy nhất của đặc trưng sinh trắc, nó phản ánh một cá nhân riêng biệt Bên cạnh đó, người dùng không phải mang theo hay ghi nhớ thông tin để xác thực Đó là lý do khiến cho hệ thống xác thực sử dụng đặc trưng sinh trắc được ứng dụng ngày một rộng rãi

Các thành phần trong hệ thống xác thực sử dụng đặc trưng sinh trắc

Trong một hệ thống xác thực sinh trắc cơ bản có sáu thành phần chính sau (như Hình 2.3): bộ cảm biến (sensor module), bộ tiền xử lý (preprocessing module), bộ rút trích đặc trưng (feature extractor module), cơ sở dữ liệu mẫu đăng ký (template database), bộ

so sánh (matcher module), và bộ ra quyết định (decision module)

15

Hình 2.3: Hệ thống xác thực sinh trắc cơ bản

Bộ cảm biến là các thiết bị đọc, chụp hoặc quét đặc điểm sinh trắc của người dùng Dữ liệu thu được là dữ liệu sinh trắc học thô Ví dụ, máy quét vân tay để thu thập dấu vân tay, máy ghi hình để thu nhập hình ảnh khuôn mặt, thiết bị thu âm để ghi lại giọng nói Chất lượng của các cảm biến quyết định chất lượng dữ liệu sinh trắc thu thập được, từ

đó, ảnh hưởng đến hiệu suất của hệ thống

Bộ tiền xử lý có nhiệm vụ kiểm tra chất lượng của dữ liệu sinh trắc thu thập được từ bộ cảm biến xem có đảm bảo đủ chất lượng để xử lý tiếp hay không Ví dụ, bộ tiền xử lý

sẽ kiểm tra xem ảnh chụp không mặt có phải chụp đúng khuôn mặt hay không, ảnh có quá tối hoặc quá sáng để nhận diện khuôn mặt không Nếu chất lượng dữ liệu quá xấu,

bộ tiền xử lý có thể yêu cầu bộ cảm biến thực hiện thu thập lại dữ liệu Bên cạnh đó, bộ tiền xử thực hiện những giải thuật tiền xử lý nhằm tăng chất lượng của dữ liệu sinh trắc thu thập được Ví dụ, với ảnh dùng để nhận dạng khuôn mặt, bộ tiền xử lý có thể thực hiện việc loại bỏ ảnh nền, cắt lại ảnh chỉ tập trung vào khuôn mặt, cân bằng sáng cho tấm ảnh, … Dữ liệu sinh trắc sau bước tiền xử lý sẽ được đưa qua bộ rút trích đặc trưng

Bộ rút trích đặc trưng thực hiện việc rút trích ra các tập đặc trưng Tập đặc trưng được dùng để phân biệt các người dùng với nhau Trong quá trình đăng ký, tập đặc trưng được gọi là mẫu đăng ký và được lưu lại trong cơ sở dữ liệu mẫu đăng ký Trong quá trình xác thực (kiểm tra), tập đặc trưng được gọi là mẫu kiểm tra và mẫu kiểm tra sẽ được so sánh với mẫu đăng ký thông qua bộ so sánh

Preprocessing Feature

extractor

Decision

Template database

16

Bộ so sánh thực hiện so sánh giữa mẫu kiểm tra và mẫu đăng ký và cho kết quả là số điểm tương đồng giữa hai mẫu Số điểm tương đồng này có thể khác nhau về miền trị, ý nghĩa đối với từng đặc điểm sinh trắc và từng giải thuật rút trích đặc trưng Ví dụ, với đặc trưng sinh trắc có dạng vector như khuôn mặt được rút trích bằng giải thuật PCA (Principal Component Analysis) thì điểm số này chính là khoảng cách Euclide giữa 2 vector; nhưng với dấu vân tay, thì đó là số điểm đặc trưng tương tự nhau giữa hai tập điểm đặc trưng của vân tay

Bộ ra quyết định sẽ dựa vào điểm tương đồng và một ngưỡng được định nghĩa trước để quyết định xem hai mẫu sinh trắc đăng ký và kiểm tra có phải từ cùng một người dùng hay không Việc xác định ngưỡng rất quan trọng bởi nó sẽ ảnh hưởng đến tỷ lệ lỗi chấp nhận sai (FAR) và tỉ lệ từ chối sai (FRR) của hệ thống Hai tỷ lệ lỗi FAR và FRR là hai đại lượng tỷ lệ nghịch nhau đối với ngưỡng Thông thường để chọn một ngưỡng phù hợp, người thiết kế hệ thống sẽ chọn ngưỡng sao cho hệ thống có một giá trị FAR chấp nhận được, và một giá FRR thấp nhất có thể Kết quả trả về của bộ ra quyết định là Có/Không hoặc Đúng/Sai

Cơ sở dữ liệu mẫu đăng ký chứa thông tin đăng ký sinh trắc của các người dùng Mỗi người dùng sẽ có một danh định và một (hoặc nhiều) mẫu sinh trắc đăng ký của họ Đối với hệ thống xác thực tập trung, cơ sở dữ liệu này chứa dữ liệu của rất nhiều người dùng Tuy nhiên đối với các hệ thống xác thực trên thiết bị di động cho chính chủ thiết bị, cơ

sở dữ liệu này chỉ bao gồm thông tin của một (hoặc một vài) người dùng

Đánh giá hiệu suất của hệ thống xác thực sử dụng đặc trưng sinh trắc

Một hệ thống xác thực sinh trắc thường được đánh giá dựa trên những thông số lỗi FAR, FRR [8] Hệ thống có tỉ lệ lỗi càng thấp thì hiệu suất xác thực đúng càng cao

• FAR (False Acceptance Rate) là tỉ lệ chấp nhận sai, chấp nhận một truy cập khi người truy cập không hợp lệ Tỉ lệ này chính là xác xuất kẻ mạo danh đăng nhập thành công

• FRR (False Reject Rate) là tỉ lệ từ chối bị sai, từ chối một truy cập khi người truy cập hợp lệ Tỉ lệ này chính là xác suất khách hàng đăng nhập nhưng bị từ chối

ra FRR rất nhỏ là tốt nhất Việc lựa chọn FRR dựa vào việc kiểm tra 1 – 1 để giảm cho

hệ thống việc phải kiểm tra lại Khi này FRR là quan trọng nhất

Nếu hệ thống thường dùng để định danh, việc xác thực sai là rất quan trọng Trong trường hợp này hệ thống phải cung cấp FAR rất thấp, lúc này FAR là quan trọng nhất

Hình 2.4: FAR, FRR và EER

Một hệ thống sinh trắc điều khiển việc truy cập vào tài nguyên bí mật của công ty thường yêu cầu nhiều số liệu sinh trắc hơn là một hệ thống điều khiển truy cập một số địa chỉ cá nhân Trong trường hợp này hệ thống sinh trắc điều khiển việc truy cập vào vùng thông tin nhạy cảm hoặc một vùng vật lý nào đó, chúng ta nên để ý đến FAR Lúc này thì việc giảm số lần xác thực quan trọng hơn là việc xác thưc sai Trong trường hợp khác nếu muốn hệ thống thực thi một cách thuận tiện nhất thì FRR nên được làm nhỏ nhất Trong trường hợp hệ thống sinh trắc bảo vệ vài thứ quan trọng và người dùng phổ thông cũng đòi hỏi tăng tính bảo mật, khi đó EER cần được quan tâm Số liệu này cung cấp một sự so sánh về việc thỏa hiệp giữa thuận tiện và bảo mật

Nếu hệ thống sinh trắc hướng tới tiện lợi và dễ sử dụng thì thu nhỏ FRR là quan trọng

Có FRR thấp thì hệ thống sẽ cho phép mức cao của việc xác thực sai

18

Lỗ hổng bảo mật trong hệ thống xác thực dùng đặc trưng sinh trắc

Kẻ tấn công thường khai thác các lỗ hổng hệ thống tại một hoặc nhiều khối chức năng hoặc giao diện, [10] [11] tổng hợp các điểm tấn công trong hệ thống xác thực dùng đặc trưng sinh trắc, chúng ta sẽ gom nhóm chúng thành bốn loại tấn công sau:

Hình 2.5: Các điểm tấn công trong hệ thống xác thực sinh trắc [10]

• Tấn công vào giao diện người dùng (mức đầu vào): sử dụng đặc điểm sinh trắc giả mạo để trình bày, khai báo trong quá trình ghi danh Nếu cảm biến sinh trắc không thể phân biệt giữa đặc điểm sinh trắc thật và giả, kẻ tấn công có thể lợi dụng điều đó để xâm nhập hệ thống Giải pháp chính cho vấn đề này là phát triển phần cứng, cải tiến các cảm biến cũng như phát triển các phần mềm nhận biết tính sống động

• Tấn công ở giữa các khối chức năng: một kẻ tấn công có thể tấn công hay xâm nhập vào giao thức truyền thông giữa các khối chức năng Ví dụ điển hình kẻ tấn công có thể đặt nguồn gây nhiễu gần các thông tin liên lạc (gây nhiễu hoặc cản trở giao thức không dây) Nếu kênh truyền không đảm bảo về mặt vật lý hoặc mã hóa khi truyền nhận thì kẻ thù có thể đánh chặn và sửa đổi dữ liệu được chuyển giao Kênh truyền nhận cũng không an toàn khi kẻ thù phát động các cuộc tấn công lặp lại hay tấn công kiểu leo đồi Cách thông thường là mã hóa tất cả dữ liệu được gửi qua kênh truyền sử dụng khóa hạ tầng công khai Kẻ thù có thể tiến hành một cuộc tấn công lặp lại bằng cách chặn các dữ liệu mã hóa đi qua giao diện khi một người dùng hợp pháp tương tác với hệ thống Sau đó gửi dữ liệu bắt được đến một bộ phận nào đó khi kẻ thù muốn đăng nhập vào hệ thống Để chống

19

lại cuộc tấn công này cách hữu hiệu là sử dụng tem thời gian hoặc cơ chế thử thách/phản hồi

• Tấn công tại các khối chức năng: Người tấn công có thể sửa một thành phần nào

đó trong chương trình thực thi để luôn xuất ra các giá trị mà họ mong muốn, các cuộc tấn công như vậy thường được biết đến như là kiểu tấn công ngựa Trojan Trojan-horse (là một loại phần mềm ác tính, chức năng phá hoại máy tính như virus), việc đảm bảo mã thực thi thực tế và phần cứng chuyên biệt hóa cái mà có thể đảm bảo phần mềm thực thi được sử dụng một cách an toàn nên được sử dụng, một thành phần khác của toàn vẹn phần mềm liên quan đến sự toàn vẹn của thuật toán, thuật toán toàn vẹn hàm ý rằng các phần mềm nên có khả năng xử lý bất cứ đầu vào nào một cách mong muốn, như ví dụ về lỗ hổng thuật toán, xem xét một hàm so trùng trong một giá trị cụ thể, giả sử rằng, x0 không được xử lý đúng thuộc tính và bất cứ khi nào x0 là đầu vào để so trùng, thì nó luôn ra cùng một quyết định so trùng (là đồng ý) Lỗ hổng này có thể không ảnh hưởng đến sự hoạt động bình thường của hệ thống bởi vì xác xuất của x0 được tạo ra từ một dữ liệu sinh trắc thực có thể không đáng kể, tuy nhiên, một đối thủ có thể khai thác kẻ hở này một cách dễ dàng mà không bị phát hiện

• Tấn công vào các cơ sở dữ liệu mẫu: Một trong những cuộc tấn công có khả năng gây tổn hại nhất trên một hệ thống xác thực sinh trắc là chống lại các mẫu sinh trắc được lưu trữ trong cơ sỡ dữ liệu hệ thống Tấn công trên mẫu có thể dẫn đến

o Các mẫu đánh cắp có thể được sử dụng lại để lấy được quyền truy cập trái phép Một khả năng lạm dụng nhận dạng sinh trắc là loại tấn công theo vết người dùng hoặc tấn công bằng cách sử dụng các chức năng của hệ thống ngoài mục đích ban đầu để xâm phạm tính riêng tư của người dùng (function creep), như ví dụ sau: một mẫu vân tay bị đánh cắp từ cơ sở dữ

20

liệu của một ngân hàng vốn được dùng mới mục đích xác thực nhưng cũng

có thể được sử dụng để tìm kiếm thông tin của một tên tội phạm hoặc suy luận tình trạng sức khỏe của một người nào đó Cách đơn giản nhất để bảo

vệ hệ thống sinh trắc, bao gồm các mẫu, là đặt tất cả các thành phần hệ thống và giao diện giữa chúng trên một thẻ thông minh ( hay nói chung là một bộ xử lý an toàn) Trong các hệ thống như vậy, gọi là kết nối trên thẻ hoặc công nghệ hệ thống trên thẻ, cảm biến, phân tích đặc trưng, so trùng

và mẫu có trên thẻ, ưu điểm của công nghệ này là những thông tin sinh trắc này không bao giờ rời khỏi thẻ, tuy nhiên, giải pháp hệ thống trên thẻ thì không phù hợp cho những ứng dụng trên quy mô lớn, chúng quá đắt

và người dùng phải mang theo thẻ vào bất kì thời điểm nào, hơn nữa nó

có thể là mẫu được thu gom từ một thẻ bị đánh cắp, vì vậy điều quan trong

là bảo vệ mẫu ngay cả trong các ứng dụng so trùng trên thẻ, mật khẩu và

mã pin có những tính chất rằng nếu chúng bị phá hoại, người quản trị hệ thống có thể cung cấp một thẻ mới cho người sử dụng, đó là mong muốn xây dựng những thuộc tính chất giống nhau có khả năng phục hồi hoặc hủy bỏ với một mẫu sinh trắc cũ, thay thế bằng một mẫu mới mà không cần phải đổi đặc trưng của người dùng

Chúng ta có thể tóm tắt lỗ hổng hệ thống sinh trắc học bằng hình ảnh dưới đây:

Hình 2.6: Mô hình xương cá phân loại lỗ hổng của hệ thống xác thực sinh trắc

21

Hệ thống xác thực dùng sinh trắc đã có

Có rất nhiều nghiên cứu đề xuất việc đưa đặc trưng sinh trắc vào hệ thống xác thực, các

hệ thống đều được đánh giá dựa trên chỉ số đánh giá hiệu suất như trong phần 2.3.1.2 và xem xét tính bảo mật qua những nguy cơ được liệt kê trong phần 2.3.1.3 Năm 2002, Lee [12] là một trong những người đầu tiên đề xuất việc sử dụng dấu vân tay vào quá trình xác thực Tuy vậy, trong những nghiên cứu sau đó, các nhóm nghiên cứu đã phân tích và phát hiện giao thức của Lee dễ bị tổn thương với các hình thức tấn công mạo danh Năm 2010, Li và Hwang [13] đã đưa ra quy trình chứng thực sử dụng đặc trưng sinh trắc kết hợp với hàm hash một chiều và một số ngẫu nhiên được đặt trong nhãn thời gian Với thiết kế hợp lý, công trình tránh được một số hạn chế của nhiều đề xuất trước

đó nên nó được sự quan tâm đánh giá của nhiều nhà nghiên cứu khác Năm 2011, Xiong

và các đồng nghiệp [14] đã phân tích và chỉ ra những điểm yếu cơ bản trong thiết kế của

Li và Hwang, điển hình là qui trình không có khả năng ngăn ngừa hình thức tấn công xen giữa Bên cạnh đó, một sai lầm trong thiết kế này là dùng hàm băm trực tiếp trên đặc trưng sinh trắc để so khớp Điều này hoàn toàn không khả thi vì đặc trưng sinh trắc

là dữ liệu có nhiễu, mỗi lần thu thập không bao giờ giống nhau hoàn toàn, nên chắc chắn kết quả của hàm băm ở hai mẫu đặc trưng sinh trắc của cùng một người sẽ hoàn toàn khác nhau Đây là vấn đề quan trọng mà tác giả chưa giải quyết Thiết kế của Xiong sử dụng số ngẫu nhiên trong cơ chế thử thách-phản hồi để tránh các hình thức tấn công xen giữa, lặp lại, nhưng giải pháp này không khả thi nếu máy chủ không thể nhận được gói tin xác nhận cuối cùng từ người dùng Vì vậy, tác giả đã đề xuất lưu trữ số ngẫu nhiên trên máy chủ nhằm nhận biết được gói tin lặp lại Tuy nhiên, đây là giải pháp không triệt để vì kẻ tấn công hoàn toàn có thể chờ đủ lâu để thực hiện việc tấn công Ngoài ra, việc xác thực bằng cách so sánh mẫu nhận được và mẫu lưu trữ trong cơ sở dữ liệu là vấn đề tồn đọng, ở công trình này tác giả chưa giải quyết rõ ràng Thuật toán so khớp khiến thời gian chứng thực kéo dài làm giảm số lượng người dùng mà một dịch vụ có thể đáp ứng Năm 2012, Chen và đồng sự [15] đề xuất giao thức sử dụng vân tay trên thiết bị di động

Ưu điểm của công trình là đơn giản rất phù hợp trên môi trường hạn chế tài nguyên như thiết bị di động Tuy vậy, giao thức không đảm bảo được tính bảo mật do không có cơ chế ngăn ngừa việc kẻ tấn công đánh cắp định danh để thực hiện việc tái đăng kí và điều

22

này dẫn tới lỗ hổng bảo mật của hệ thống Bên cạnh đó, quá trình trao đổi giữa máy chủ

và người dùng không hề sử dụng cơ chế xác thực thông điệp (dùng số ngẫu nhiên sử dụng một lần) ở phía nhà cung cấp dịch vụ thách thức tính hợp lệ của người dùng và điều này dẫn đến vấn đề mạo danh người dùng khá dễ dàng Cuối giai đoạn chứng thực, việc người dùng phải thay đổi lượng ngẫu nhiên hoàn toàn không đóng góp gì vào độ

an toàn cho những lần chứng thực sau đó mà lại gây lãng phí tài nguyên tính toán Trong giai đoạn này có rất nhiều hệ thống xác thực sử dụng đặc trưng sinh trắc được đề xuất Mục tiêu của hầu hết các công trình là đưa ra giao thức để có thể sử dụng nhiều loại đặc trưng sinh trắc khác nhau trong các hệ thống xác thực Các công trình chưa quan tâm nhiều đến vấn đề bảo mật cho hệ thống xác thực đặc biệt là kiến trúc xác thực từ xa khi mà các dữ liệu phải truyền trên đường truyền mạng không an toàn

2.3.2 Xác thực truyền thống

Cùng với sự phát triển nhanh chóng của internet, các dịch vụ xác thực từ xa được phổ biến và vấn đề bảo mật của nó cũng trở thành lĩnh vực thu hút sự quan tâm của nhiều nhà nghiên cứu khắp nơi trên thế giới Một trong những ý tưởng đầu tiên về bảo mật trong xác thực từ xa là người dùng sử dụng mật khẩu để chứng thực Năm 1981, Lamport [16] là người đầu tiên hiện thực hóa điều này Phương pháp của ông là sử dụng hàm băm mã hóa mật khẩu nhiều lần để che dấu mật khẩu thực sự Tuy nhiên, mật khẩu và các thông tin kiểm tra được lưu trữ ở máy chủ vẫn có nguy cơ bị rò rỉ Bên cạnh đó, mật khẩu của người dùng dễ bị tấn công dẫn tới quy trình xác thực thiếu an toàn

Năm 1985, Shamir [17] đề xuất ý tưởng sử dụng thẻ thông minh được phát hành bởi trung tâm sinh khóa (TTP – được coi là bên thứ ba đáng tin cậy) thay vì phải sinh khóa

và lưu trữ khóa bí mật hoặc mật khẩu trong cơ sở dữ liệu của máy chủ Tuy nhiên, lược

đồ xác thực như vậy chỉ lí tưởng trong một nhóm nhỏ các người dùng

Năm 2004, Das và các công sự [18] giới thiệu một lược đồ xác thực mới sử dụng mật khẩu kết hợp với một định danh động của người dùng Lược đồ này loại định danh khỏi gói thông tin đăng nhập, thay vào đó họ thực hiện thao tác băm mật khẩu kết hợp với một số thông tin khác làm cho gói thông tin đăng nhập thay đổi mỗi lần truyền đến máy

23

chủ Phương pháp này khiến định danh mất vai trò trong quá trình xác thực, và làm cho

hệ thống dễ bị tấn công bởi các loại tấn công như đoán mật khẩu, tấn công nội bộ Một bước tiến mới trong xác thực là ứng dụng thẻ thông minh như một phương tiện lưu thông tin người dùng trong quá trình xác thực Tuy vậy một vài lược đồ chưa quan tâm đến vấn đề rò rỉ thông tin từ thiết bị này dẫn tới việc chứng thực không an toàn Năm

2006, Yoon [19] đề xuất một phương pháp nâng cao tính bảo mật cho xác thực từ xa sử dụng thẻ thông minh Không như những giao thức trước, quá trình xác thực trả về hai khóa: một khóa xác thực và một khóa mã hóa mật khẩu Bên cạnh đó, Yoon sử dụng nhãn thời gian kết hợp với cơ chế thử thách - phản hồi để chống lại tấn công lặp lại và một số biến thể của nó Nhược điểm lớn nhất của đề xuất này là thiếu sự thống nhất về khóa phiên của người dùng và máy chủ trong trường hợp xác thực thành công Tuy vậy, ý tưởng này cũng làm nền tảng cho nhiều công trình sau đó Năm 2011, Sandeep và các đồng sự [20] đề xuất một giao thức tương tự có áp dụng một số ngẫu nhiên chỉ sử dụng một lần (NONCE – number used once) nhúng vào trong khóa của người dùng Cải tiến này giúp cho khóa của người dùng thay đổi khóa mỗi lần gởi yêu cầu đăng nhập và làm giảm xác suất tấn công nội bộ Tuy nhiên, thiết kế này vẫn phụ thuộc vào một khóa chung mà máy chủ cung cấp cho tất cả người dùng và điều này đã vô tình cho kẻ tấn công cơ hội giả dạng máy chủ hoặc chính người dùng để đánh lừa đối phương

Nhìn chung, hầu hết các hệ thống xác thực truyền thống (sử dụng mật khẩu hoặc thẻ thông minh) cùng vướng vào một vấn đề về bảo mật: làm thế nào để bảo vệ mật khẩu của người dùng khỏi sự tấn công từ bên trong và bên ngoài, làm thế nào để chia sẻ khóa phiên một cách an toàn, …

2.3.3 Bảo mật trong xác thực từ xa sử dụng đặc trưng sinh trắc

Các nghiên cứu liên quan

Khi mạng internet ngày một phát triển, một người dùng có thể sử dụng hàng trăm dịch vụ khác nhau trên mạng Thương mại điện tử nở rộ là một cơ hội cho xác thực từ xa sử dụng đặc trưng sinh trắc phát triển Khi đó tất cả các thông tin nhạy cảm của người dùng

sẽ được cập nhật trên mạng Điều đó khiến cho vấn đề bảo mật trong các hệ thống xác thực dạng này được cân nhắc rất kĩ lưỡng Làm thế nào để đảm bảo thông tin xác thực

24

trên đường truyền, làm sao bảo vệ được mẫu dữ liệu sinh trắc lưu trữ trong cơ sở dữ liệu của máy chủ, làm sao loại bỏ được các tấn công bên ngoài và đặc biệt là từ bên trong,… trở thành mục tiêu nghiên cứu của nhiều nhà khoa học trong lĩnh vực này

Năm 2008, nhóm tác giả ở Đại học Bách Khoa Hà Nội [21] đã vận dụng hệ thống Mã hoá khoá sinh trắc (Biometric Encryption Key - BEK) để mã hóa và bảo vệ khóa bí mật

Hệ thống mã hóa sinh trắc BioPKI này chỉ đề cập đến vấn đề bảo mật của khóa bí mật

mà bỏ qua việc bảo vệ mẫu đặc trưng sinh trắc được lưu trên cơ sở dữ liệu của máy chủ Năm 2011, Xi và đồng sự [22] đã đề xuất giao thức mã hóa đặc trưng sinh trắc cho hệ thống xác thực từ xa trong môi trường tính toán trên thiết bị di động Trong giao thức này, đặc trưng sinh trắc được sử dụng để xác thực là dấu vân tay Mẫu dấu vân tay lưu trữ trong cơ sở dữ liệu được bảo vệ bằng kỹ thuật cụm mờ Trong đó, các điểm quan trọng được trộn lẫn với các điểm giả tạo để tạo nên tập mờ nhằm đánh lừa kẻ tấn công Tất cả những phần tử trong tập mờ sẽ được đánh chỉ số Máy chủ chỉ lưu trữ những chỉ

số của những điểm thực chứ không lưu thông tin cụ thể Sự giao tiếp giữa người dùng

và máy chủ được bảo vệ bằng hệ thống mã hóa công khai (PKI), mã hóa đường cong líp - ECC loại mã hóa này có độ phức tạp tính toán nhỏ nhưng độ bảo mật tương đối cao (tương đương RSA) Tuy nhiên hạn chế lớn nhất của giao thức này là các tác giả chỉ mới tập trung vào bảo mật phía người dùng và đường truyền Còn máy chủ được giả sử

Ê-là có độ an toàn cao và các hình thức tấn công bên trong máy chủ được bỏ qua Một hạn chế khác của nghiên cứu này là các tác giả phòng tránh tấn công lặp lại bằng cách sinh khóa phiên giữa người dùng và máy chủ bằng phương pháp động dựa trên những điểm thực của dấu vân tay Tuy nhiên trên máy chủ chỉ lưu chỉ số của các điểm thực nên hoàn toàn không có khả năng sinh ra khóa phiên này

Năm 2013, Hisham và các cộng sự của ông đưa ra hướng tiếp cận khác trong đó kết hợp

kỹ thuật giấu tin (steganography) với mã hóa sinh trắc học nhằm tạo ra xác thực lẫn nhau một cách an toàn đồng thời tạo khóa phiên trao đổi giữa người dùng và máy chủ trong kiến trúc từ xa [23] Trong công trình này, tác giả cung cấp một vài bằng chứng cho thấy rằng việc che dấu dữ liệu sinh trắc trong những tấm ảnh dựa trên kỹ thuật giấu tin có thể làm tăng tính bảo mật khi truyền dữ liệu sinh trắc trên đường truyền mạng Thêm vào

đó, để bảo vệ mẫu sinh trắc lưu trữ trên máy chủ trong khi vẫn đảm bảo tính tự hủy cho

từ xa Khi số lượng người dùng tăng lên, số lượng máy chủ ngày một tăng dẫn tới số lượng mẫu sinh trắc dùng xác thực ngày một nhiều, máy chủ sẽ phải lưu trữ rất nhiều mẫu của người dùng trong khi các mẫu này ở những máy chủ khác nhau có thể giống nhau Thiết kế như vậy gây tốn rất nhiều tài nguyên và hệ thống dễ bị tấn công theo kiểu cross-matching Để đảm bảo tính mở, Fengling và các cộng sự đã đề xuất mô hình xác thực từ xa với đặc trưng sinh trắc sử dụng giao thức Kerberos [24] Giao thức này khá phù hợp với đặc trưng sinh trắc sử dụng trong thương mại điện tử Tuy nhiên điểm yếu của giao thức này là máy chủ xác thực KDC (Key Distributed Center) phải được giả định là đáng tin cậy và không có kỹ thuật nào bảo vệ thông tin riêng tư của người dùng chống lại những kẻ tấn công từ bên trong

Trong nghiên cứu 2010, Maneesh cùng các cộng sự [25] đã đưa ra một khái niệm mới

về hệ thống xác thực dựa trên sinh trắc– Xác thực mù Xác thực mù chỉ đến việc được phép tiết lộ định danh của người dùng, mà không phải tiết lộ bất cứ thông tin nào khác liên quan đến dữ liệu sinh trắc của người dùng với hệ thống xác thực và ngược lại Để đảm bảo yêu cầu này trong việc xác thực từ xa, người dùng sẽ mã hóa dữ liệu xác thực của anh ta trước khi gởi nó tới máy chủ xác thực Sau đó, máy chủ được yêu cầu thực thi việc tính toán trong không gian mã hóa, điều này bao gồm việc so sánh các dữ liệu

đã được mã hóa với nhau Tuy nhiên, dữ liệu sinh trắc luôn tồn tại nhiễu; do đó, rất khó để máy chủ có thể xác định hai dữ liệu sinh trắc tương tự nhau trong miền dữ liệu mã hóa Các tác giả cũng đã xem xét vấn đề này khi thiết kế lớp phân biệt trong không gian

dữ liệu gốc Tất cả những phép tính cần thiết cho quá trình xác thực được thực hiện bởi lớp phân biệt được huấn luyện này, dĩ nhiên quá trình này được thực hiện hoàn toàn trong miền mã hóa Tuy nhiên giả thiết ở đây là người dùng và máy chủ phải xem lớp phân biệt như thành phần thứ ba đáng tin cậy Tất cả người dùng cung cấp nhiều bản khác nhau của đặc trưng sinh trắc gốc của họ cho lớp phân biệt Hơn thế nữa, máy chủ

26

hoàn toàn tin tưởng những thông số phân biệt được thực hiện bởi lớp phân biệt Tuy nhiên, không gì đảm bảo rằng lớp phân biệt này hoàn toàn miễn nhiễm với các cuộc tấn công

ESketch [26] là một giao thức xác thực từ xa dựa trên đặc trưng sinh trắc mà sử dụng hệ thống mã hóa đồng hình cho việc bảo vệ tính riêng tư của người dùng khỏi những máy chủ không đáng tin Trong lược đồ này, nhờ vào tính chất đồng hình, máy chủ chỉ có thể xác thực liệu mẫu sinh trắc của người dùng có nằm trong danh sách những người dùng

đã đăng ký không, mà không phải phải tiết lộ danh tính của người dùng mỗi khi truy xuất hệ thống Nói cách khác, nhờ vào hệ thống mã hóa đồng hình mà máy chủ có thể xác định mẫu sinh trắc của người dùng nào trong cơ sở dữ liệu mà không cần dữ liệu gốc đặc trưng sinh trắc người dùng hay những thông tin liên quan được lưu trữ trong cơ

sở dữ liệu Dữ liệu sinh trắc gốc của người dùng được bảo mật lần đầu thông qua kỹ thuật cam kết mờ Tuy nhiên, để đảm bảo yêu cầu bảo mật, người dùng phải tham gia vào quá trình tính toán Quá trình tính toán này khá lớn ở phía máy chủ và thậm chí đòi hỏi rất nhiều tính toán ở người dùng đặc biệt khi số lượng người dùng tăng vọt lên Đây

là một trong những điểm bất lợi của phương pháp này Ngoài ra, còn tồn tại một số điểm yếu liên quan tới tính bảo mật của hệ thống Mặc dù máy chủ hy sinh tài nguyên để bảo

vệ dữ liệu sinh trắc khỏi sự tò mò của những kẻ tấn công bên ngoài và đặc biệt trong một số trường hợp (như giai đoạn đăng ký) kẻ tấn công là người trong hệ thống, thì mỗi người dùng đã phải cung cấp dữ liệu đặc trưng gốc cho máy chủ Do đó, sự thỏa mãn về tính bảo mật của hệ thống chưa được đáp ứng hoàn toàn

Trong một nghiên cứu khác năm 2015 [27], các tác giả đã áp dụng đa thức Chebyshev để bảo vệ tính riêng tư cho việc xác thức từ xa nhiều yếu tố dựa trên đặc trưng sinh trắc

Đa thức Chebyshev sở hữu một số tính chất hỗn loạn, những tính chất này cần thiết cho việc thiết kế hệ thống mã hóa bảo mật Cụ thể, tính bán nhóm của đa thức Chebyshev thích hợp cho việc hiện thực cơ chế cửa sập Do đó, các tác giả đã áp dụng thuộc tính này để đưa ra giao thức xác thực ẩn danh Hơn thế nữa, kĩ thuật rút trích mờ và kĩ thuật rút trích thành phần chính an toàn cũng được tích hợp trong giao thức này để không chỉ trích xuất khóa xác thực từ dữ liệu sinh trắc của người dùng mà còn bảo vệ mẫu sinh trắc khỏi những kẻ tấn công bên ngoài Giao thức đề xuất này đạt được sự đồng thuận

27

về khóa phiên và cũng đạt được mức bảo mật cao hơn mà việc tính toán lại hao tổn ít chi phí hơn các giao thức đề xuất trước đó [28] Tuy nhiên việc phân tích tính bảo mật của giao thức này chỉ tập trung vào việc làm sao giao thức này cải thiện những điểm yếu của các giao thức trước đó Nếu kẻ tấn công có được khả năng lấy được quyền quản trị hoặc là chính người quản trị hệ thống là kẻ tấn công, thì người dùng hoàn toàn có thể bị mạo danh Do đó, giao thức này chưa có cơ chế bảo vệ chống lại những tấn công từ bên trong

Các vấn đề bảo mật

❖ Tấn công trên đường truyền mạng:

• Tấn công xen giữa: Đây là kiểu tấn công phổ biến trên đường truyền mạng Kẻ tấn công sẽ bắt các gói tin giữa người dùng và máy chủ nhằm mục đích nghe lén hoặc thậm chí lợi dụng những gói tin bắt được để kết nối độc lập với các nạn nhân, thực hiện việc chuyển thông tin giữa họ và khiến họ tin rằng đang giao tiếp trực tiếp với nhau qua kết nối riêng tư nhưng thực chất toàn bộ cuộc đối thoại được kiểm soát bởi kẻ tấn công Để chống lại các tấn công loại này, các giao thức mã hóa cần đảm bảo được xác thực lẫn nhau giữa người dùng và máy chủ Các cơ chế thường được áp dụng để đảm bảo xác thực lẫn nhau như xác thực gói tin, cơ chế thử thách–phản hồi, hoặc ứng dụng hệ thống mã hóa bất đối xứng

• Tấn công lặp lại: Đây là một hình thức tấn công mạng điển hình Trong đó, các gói tin hợp pháp được giữa người dùng và máy chủ bị kẻ tấn công sử dụng lại hoặc giữ lại nhằm trì hoãn việc truyền tin Với cách thức này, kẻ tấn công có thể đánh lừa người dùng hoặc máy chủ bằng cách giả mạo danh tính của một trong hai bên Đây có thể coi là một phiên bản cấp thấp hơn của tấn công xen giữa Để chống lại các tấn công lặp lại này các gói tin truyền giữa người dùng và máy chủ cần có thành phần để các bên phân biệt được đây là gói tin mới được tạo trong phiên giao dịch hiện tại chứ không phải một gói tin cũ Các thành phần này thường là các số được sử dụng một lần (NONCE), hoặc các tem thời gian, hoặc mật khẩu dùng một lần,…