BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI NGUYỄN MINH TÂN XÁC THỰC HAI NHÂN TỐ ỨNG DỤNG TRÊN ĐIỆN TOÁN ĐÁM MÂY LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT MÁY TÍNH VÀ TRUYỀN THÔNG HÀ NỘI – NĂM 2015 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI NGUYỄN MINH TÂN XÁC THỰC HAI NHÂN TỐ ỨNG DỤNG TRÊN ĐIỆN TOÁN ĐÁM MÂY LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT MÁY TÍNH VÀ TRUYỀN THƠNG NGƯỜI HƯỚNG DẪN KHOA HỌC TS TRẦN HOÀNG HẢI HÀ NỘI – NĂM 2015 MỤC LỤC MỤC LỤC DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT DANH MỤC BẢNG DANH MỤC HÌNH VẼ, ĐỒ THỊ LỜI MỞ ĐẦU 1.1 1.2 1.3 Mục đích đề tài Đối tượng phạm vi nghiên cứu .8 Phương pháp nghiên cứu .8 CHƯƠNG ĐIỆN TOÁN ĐÁM MÂY VÀ VẤN ĐỀ BẢO MẬT TRÊN ĐIỆN TOÁN ĐÁM MÂY 1.1 Điện toán đám mây: .9 1.1.1 Điện tốn đám mây gì? 1.2 Mơ hình điện tốn đám mây 10 1.2.1 Mơ hình kiến trúc .10 1.2.2 Mơ hình triển khai .11 1.2.3 Đặc điểm điện toán đám mây 14 1.2.4 Các loại dịch vụ điện toán đám mây 15 1.3 Vấn đề bảo mật điện toán đám mây 17 1.3.1 Rủi ro bảo mật điện toán đám mây .17 1.3.2 Các vấn đề bảo mật liên quan đến người sử dụng 21 1.3.3 Đánh giá tác động riêng tư 22 1.3.4 Sự tin cậy .23 1.3.5 Bảo mật hệ điều hành 24 1.3.6 Bảo mật máy ảo 25 1.3.7 Bảo mật ảo hóa 25 1.3.8 Nguy bảo mật chia sẻ máy ảo 29 1.3.9 Nguy bảo mật gây hệ điều hành quản lý 31 CHƯƠNG 2.1 2.2 2.3 XÁC THỰC ĐA NHÂN TỐ TRÊN ĐIỆN TOÁN ĐÁM MÂY 33 Xác thực .33 Xác thực theo sách 34 Khái niệm xác thực đa nhân tố 36 2.3.1 Yếu tố kiến thức 37 2.3.2 Yếu tố sở hữu .37 2.3.3 Yếu tố tự nhiên 37 2.4 Các phương pháp xác thực truyền thống 37 2.4.1 Phương pháp sử dụng mật 37 2.4.2 Security token 39 2.4.3 Software Token 46 2.4.4 Xác thực luồng 47 2.4.5 Sinh trắc học 48 2.5 Nhận dạng sinh trắc học 51 2.5.1 Thuật toán xác thực .52 2.5.2 Đăng ký hình ảnh 52 2.5.3 Trích chọn đặc chưng phân loại: .53 CHƯƠNG ĐÁM MÂY ÁP DỤNG XÁC THỰC HAI NHÂN TỐ TRONG ĐIỆN TOÁN 55 3.1 Mục tiêu ứng dụng .55 3.2 Giải pháp đề xuất .55 3.3 Tính thực tiễn giải pháp 56 3.4 One Time Password (OTP) Tokens 56 3.4.1 OTP Token Configuration: 58 3.4.2 Bộ sinh OTP: .59 3.5 Xây dựng ứng dụng Php tích hợp xác thực hai nhân tố .61 3.6 Google Authenticator 63 3.6.1 Trường hợp sử dụng 64 3.6.2 Kỹ thuật sử dụng 64 3.7 Cài đặt google authenticator mobile 64 3.7.1 Cài đặt thiết bị chạy hệ điều hành android 64 3.7.2 Cài đặt thiết bị chạy hệ điều hành iOS 68 KẾT LUẬN 71 TÀI LIỆU THAM KHẢO 72 DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT Thuật ngữ Định nghĩa CSP Ghi Nhà cung cấp dịch vụ điện toán Cloud Service Provider đám mây API Application programming interface Giao diện lập trình ứng dụng OTP One time password Mật sử dụng lần DANH MỤC BẢNG No table of figures entries found DANH MỤC HÌNH VẼ, ĐỒ THỊ Hình 1-1 Điện toán đám mây Hình 1-2 Mơ hình cloud 12 Hình 1-3 Hybrid cloud 14 Hình 1-4 Dịch vụ cloud 16 Hình 2-1 Biểu đồ Xác thực .35 Hình 2-2 Xác thực đa nhân tố 36 Hình 2-3 Phương pháp sử dụng mật .38 Hình 2-4 Token sử dụng để xác thực OTP .41 Hình 2-5Tokens sử dụng cổng USB .42 Hình 2-6 Tokens sử dụng Audio Jack Port .43 Hình 2-7 Thẻ visa contactless 43 Hình 2-8 Smartcard 44 Hình 2-9 Thẻ smartcard hỗ trợ không kết nối kết nối 45 Hình 2-10 Software Token sử dụng IOS 46 Hình 2-11 Software Token sử dụng Desktop 47 Hình 2-12 Xác thực ngồi luồng .48 Hình 2-13 Xác thực sử dụng vân tay 49 Hình 2-14 Hệ thống quét võng mạc 50 Hình 2-15 Hệ thống xác thực dựa chữ ký 51 Hình 2-16 Quy trình so khớp 54 Hình 3-1 Mơ hình xác thực ứng dụng 56 Hình 2-17 Quy trình sinh mã OTP 59 Hình 2-18 Giải thuật sinh mã OTP 60 Hình 3-2 Giao diện tạo quản lý user .62 Hình 3-3 Giao diện đăng nhập sử dụng xác thực hai nhân tố 62 Hình 3-4 Giao diện đăng nhập thành công 63 Hình 3-5 Ứng dụng google authenticator iOS 63 Hình 3-8 Màn hình khởi động google authenticator 66 Hình 3-9 Màn hình cài đặt ZXing barcode scanner để đọc cấu hình google authenticator 66 Hình 3-10 Màn hình chọn cấu hình google authenticator 67 Hình 3-11 Màn hình cấu hình google authenticator 67 Hình 3-12 Màn hình thiết lập thành cơng google authenticator 68 Hình 3-13 Thực cài google authentication từ Appstore .68 Hình 3-14 Thực mở google authentication tiến hành scan barcode thiết lập đồng ban đầu .69 Hình 3-15 Giao diện ứng dụng chạy 70 LỜI MỞ ĐẦU Trong năm gần đây, điện toán đám mây nhiều người dùng, doanh nghiệp nhắc tới cơng cụ hữu hiệu việc ảo hóa, sử dụng tài nguyên mạng nhận nhiều quan tâm nhà khoa học máy tính Điện toán đám mây liên quan đến khái niệm cơng nghệ mạng, ảo hóa mạng bao gồm khái niệm phần mềm dịch vụ, Web 2.0 với xu hướng công nghệ bật khác Trong đề tài chủ yếu vấn đề dựa vào Internet để đáp ứng nhu cầu điện tốn đảm bảo an tồn thơng tin người dùng… Điện toán đám mây hay điện tốn máy chủ ảo mơ hình điện tốn sử dụng cơng nghệ máy tính phát triển dựa vào mạng Internet Thuật ngữ "đám mây" mạng Internet kết cấu hạ tầng bên Trên thực tế, điện toán đám mây đơn giản bước tiến khác cách mạng công nghệ thơng tin Mơ hình đám mây phát triển dựa yếu tố gồm máy tinh trung ương, máy chủ/khách ứng dụng Web Nhưng chất thành phần tồn vấn đề bảo mật Các vấn đề bảo mật không ngăn bùng nổ công nghệ ưa chng điện tốn đám mây khả giải đáp ứng nhu cầu thiết kinh doanh Để đảm bảo an toàn cho đám mây điện toán, cần nắm vai trị phát triển cơng nghệ Rất nhiều câu hỏi tồn xung quanh ưu khuyết điểm sử dụng điện toán đám mây tính bảo mật, hữu dụng quản lí ln ý xem xét kĩ lưỡng Bảo mật đề tài giới người dùng thắc mắc nhiều nhiều câu hỏi đặt để định liệu việc triển khai điện tốn đám mây có phù hợp hay khơng khơng nên chọn mơ hình cho phù hợp: cá nhân, cơng cộng hay hai Với lý trên, quan tâm lựa chọn đề tài “Xác thực hai nhân tố ứng dụng điện toán đám mây.” NHIỆM VỤ VÀ PHÂN TÍCH NHIỆM VỤ 1.1 Mục đích đề tài Nghiên cứu phương pháp tăng cường bảo mật cho điện tốn đám mây Từ đưa giải pháp giúp doanh nghiệp, tổ chức, người dùng cá nhân có biện pháp bảo mật thích hợp nhằm hạn chế thấp rủi ro cung cấp tham gia sử dụng dịch vụ điện toán đám mây 1.2 Đối tượng phạm vi nghiên cứu Tập trung nghiên cứu vấn đề bảo mật, nguy cơ, chế xác thực quản lý bảo mật điện tốn đám mây, tìm hiểu mơ hình xác thực đa nhân tố ứng dụng điện toán đám mây 1.3 Phương pháp nghiên cứu Kết hợp nghiên cứu lý thuyết, tìm hiểu tình hình an ninh bảo mật điện toán đám mây, đánh giá nguy tiềm tang đề xuất giải pháp tăng cường chế an ninh bảo mật điện toán đám mây Nội dung luận văn chia làm chương chính: - Chương I: Điện tốn đám mây & vấn đề bảo mật điện toán đám mây - Chương II: Xác thực đa nhân tố điện toán đám mây - Chương III: Áp dụng xác thực hai nhân tố điện toán đám mây Thuật toán toán học phức tạp hàm băm thường sử dụng để tạo hàng loạt OTPs Mỗi mật khơng thể đốn trước, mật trước biết Với Token mềm, OTPs thường tạo sử dụng khóa bí mật chia sẻ Theo cách này, quản trị viên bình thường tạo sau gửi khóa bí mật chia sẻ cho người dùng Khóa bí mật chia sẻ sau lưu vào token mềm để tạo hàng loạt OTPs Điện thoại di động cấu hình để làm việc security token Token điện thoại di động giảm chi phí loại bỏ thiết bị token cho SP Chương trình sinh OTP gồm hai phần - OTP Token Configuration - Sinh OTP 3.4.1 OTP Token Configuration: Phần khởi tạo cấu hình token OTP cách quản lý việc trao đổi khóa chia sẻ điện thoại di động SP người dùng, đồng thời lưu trữ khóa bí mật chia sẻ cách an tồn điện thoại di động Hình thể bước - Người sử dụng A, biết đến SP-I u cầu khóa bí mật chia sẻ - Trong lúc Na tạo SP-I Của máy chủ - SP-I gửi Na tin nhắn SMS đến người dùng - Sinh OTP sử dụng MLTM để tạo cặp khóa khơng migratable ràng buộc RSA (KPU-A, KPR-A) - Khóa cơng khai KPU-A chứng thực MLTM AIK Bộ sinh OTP gửi khóa cơng khai chứng thư (bao gồm KPU-A) đến SP-i máy chủ Ngoài ra, Bộ sinh OTP tạo hash KPU-A Na gửi giá trị băm đến máy chủ SP-i - Máy chủ SP-i: o tạo giá trị băm Naand nhận KPU-A, 58 o xác nhận giá trị băm giá trị băm để xác thực người dùng, o xác nhận MLTM xác cách sử dụng chứng thư số nhận o tạo khóa chia sẻ bí mật quan trọng Ski-A - Máy chủ gửi SKi-A mã hóa KPU-A, Counti-A băm hai giá trị Na cho người sử dụng điện thoại di động - Bộ sinh OTP lưu Counti-A giá trị EK (SKi-A) điện thoại di động - an toàn sử dụng MLTM để giải mã cần thiết Hình 3-2 Quy trình sinh mã OTP 3.4.2 Bộ sinh OTP: 59 Trong hàm sinh OTP sử dụng thuật toán SHA-1 để tạo OTP Trong hệ thống giao dịch người dùng gửi OTP tới SP lần Để tạo OTP sử dụng đếm chia sẻ khóa bí mật Hình 3-3 Giải thuật sinh mã OTP 3.4.2.1HMAC-based One Time Password (HOTP) HOTP công bố RFC IETF 4226 vào tháng 12 năm 2005, tài liệu thuật toán với việc thực Java Kể từ đó, thuật tốn áp dụng nhiều cơng ty tồn giới (xem bên dưới) Các thuật toán HOTP tiêu chuẩn mở có sẵn miễn phí HOTP sử dụng để xác thực người dùng hệ thống thơng qua máy chủ xác thực Ngồi ra, số bước thực (các máy chủ tính toán giá trị OTP gửi / hiển thị với người dùng kiểm tra với giá trị OTP tính thẻ mình), người sử dụng xác thực máy chủ xác nhận Giải thuật: Thuật toán HOTP dựa việc tăng giá trị đếm khóa đối xứng tĩnh biết đến với token dịch vụ xác nhận Để tạo giá trị HOTP, thuật toán HMAC-SHA-1 sử dụng Đầu HMAC-SHA-1 160 bit, phải cắt ngắn để dễ dàng nhập vào người sử dụng  K khóa bí mật  C đếm  HMAC(K,C) = SHA1(K ⊕ 0x5c5c… ∥ SHA1(K ⊕ 0x3636… ∥ C)) giá trị HMAC tính toán sử dụng giải thuật hash SHA-1  Truncate hàm chọn bytes từ kết HMAC HOTP(K,C) = Truncate(HMAC(K,C)) & 0x7FFFFFFF 60 Mặt nạ 0x7FFFFFFF thiết lập most signification bit Điều tránh vấn đề kết hiểu số có dấu số vi xử lý HOTP-Value = HOTP(K,C) mod 10d d số lượng số cần lấy 3.4.2.2Time-based One-time Password (TOTP) Time-based One-time Password Algorithm (TOTP) giải thuật tính tốn giá trị OTP từ khóa bí mật chung thời gian TOTP công bố chuẩn RFC 6238 sử dụng số hệ thống xác thực hai nhân tố TOTP ví dụ sử dụng HMAC Nó kết hợp khóa bí mật với thời gian sử dụng hàm băm tạo OTP Các dấu thời gian tăng lên khoảng thời gian 30 giây, mật tạo gần thời gian từ khóa bí mật tương tự bình đẳng TOTP dựa HOTP với thời gian thay cho đếm tự tăng Thời gian chuyển thành đếm thời gian (TC) bắt đầu T0 đếm theo đơn vị bước thời gian (TS) Ví dụ:  TC = (unixtime(now) - unixtime(T0)) / TS  TOTP = HOTP(SecretKey, TC)  TOTP-Value = TOTP mod 10d, d số lượng số OTP 3.5 Xây dựng ứng dụng Php tích hợp xác thực hai nhân tố Ứng dụng thiết kế sử dụng nhân tố sau: - Yếu tố kiến thức: trường hợp mật người dùng biết - Yếu tố sở hữu: Trong trường hợp điện thoại smartphone người dùng cài đặt google authenticator Ứng dụng thiết kế có module: - Module quản lý người dùng, mã token đồng lưu sở liệu sqlite - Module xác thực hai nhân tố: xác thực người sử dụng để minh họa tích ứng dụng xác thực hai nhân tố điện toán đám mây 3.5.1.1Giao diện trang quản lý người dùng: 61 Tại giao diện cho phép người quản lý tạo user, cấu hình tạo token key để sử dụng xác thực hai nhân tố Hình 3-4 Giao diện tạo quản lý user 3.5.1.2Giao diện hình đăng nhập Giao diện cho phép người sử dụng đăng nhập với username, password, mã pin code Hình 3-5 Giao diện đăng nhập sử dụng xác thực hai nhân tố 3.5.1.3Giao diện hình đăng nhập thành công Sau tiến hành xác thực mà thành công, người sử dụng đưa đến trang kết 62 Hình 3-6 Giao diện đăng nhập thành công 3.6 Google Authenticator Google Authenticator ứng dụng sử dụng TOTP theo RFC6238 ứng dụng điện thoại di động phát triển Google, sử dụng "xác thực hai nhân tố" Google Authenticator cung cấp mật sử dụng lần từ sáu đến tám chữ số, thêm vào tên đăng nhập mật để đăng nhập vào dịch vụ Google trang web khác Google Authenticator tạo mã cho ứng dụng bên thứ ba, chẳng hạn trình quản lý mật dịch vụ lưu trữ tập tin Phiên trước phần mềm mã nguồn mở Hình 3-7 Ứng dụng google authenticator iOS 63 3.6.1 Trường hợp sử dụng Người sử dụng cài đặt ứng dụng Authenticator điện thoại thơng minh Để đăng nhập vào trang web sử dụng dịch vụ xác thực hai nhân tố, người dùng phải cung cấp tên mật để vào trang web chạy ứng dụng Authenticator sinh mật ký tự sử dụng lần Người sử dụng cung cấp mật cho trang web, trang web kiểm tra tính xác xác thực người sử dụng Để thực việc này, yêu cầu thiết lập phải thực đầu tiên: trang web cung cấp khóa bí mật cho người sử dụng kênh an toàn, phải lưu trữ ứng dụng Authenticator Khóa bí mật sử dụng cho tất thông tin đăng nhập tương lai với trang web Với loại hình xác thực hai nhân tố, điều người dùng biết mật không đủ để đăng nhập vào tài khoản người dùng Những kẻ cơng cần biết bí mật chung phần cứng thiết bị chạy ứng dụng Authenticator 3.6.2 Kỹ thuật sử dụng Các nhà cung cấp dịch vụ tạo khóa bí mật 80-bit cho người dùng Khóa cung cấp chuỗi 16, 24 32 ký tự base32 mã QR Chương trình tạo HMAC-SHA1 sử dụng khóa bí mật Thơng điệp mà HMAC-ed là: - số lượng 30 giây trôi qua kể từ kỷ nguyên Unix; - truy cập mà tăng lên với mã Một phần HMAC chiết xuất chuyển đổi thành mã chữ số 3.7 Cài đặt google authenticator mobile 3.7.1 Cài đặt thiết bị chạy hệ điều hành android 64 Để cài đặt google authentication yêu cầu tối thiểu Android phải từ phiên 1.5 trở lên Để kiểm tra phiên android ta vào Settings chọn About Phone hay About Tablet kiểm tra phiên Android Ta tiến hành cài đặt google authenticator tay sử dụng scan barcode 65 Hình 3-8 Màn hình khởi động google authenticator Hình 3-9 Màn hình cài đặt ZXing barcode scanner để đọc cấu hình google authenticator Để tiến hành cấu hình tay ta chọn Enter provided key hình 66 Hình 3-10 Màn hình chọn cấu hình google authenticator Google authenticator u cầu nhập khóa bí mật server sinh ra, ta nhập vào thơng tin khóa bí mật, thơng tin account map với khóa bí mật Hình 3-11 Màn hình cấu hình google authenticator Sau thiết lập song google authenticator xuất hình thành công mã authentication code cập nhật lần 30s hình sau: 67 Hình 3-12 Màn hình thiết lập thành công google authenticator 3.7.2 Cài đặt thiết bị chạy hệ điều hành iOS Để tiến hành cài đặt google authenticator iOS, ta thực vào appstore tìm kiếm ứng dụng google authenticator, bấm tải để thực cài đặt Hình 3-13 Thực cài google authentication từ Appstore 68 Sau thực cài đặt ta thực cấu hình đồng ban đầu cho google authenticator với server thiết lập Để thiết lập, ta thực scan barcode mã key Hình 3-14 Thực mở google authentication tiến hành scan barcode thiết lập đồng ban đầu Sau thực scan song, google authenticator tự động đồng với server google authenticator 69 Hình 3-15 Giao diện ứng dụng chạy 70 KẾT LUẬN Sau thời gian nghiên cứu xây dựng, luận án đạt kết đề nhiên hệ thống chưa tiện dụng với người sử dụng có thêm hội, tơi mong muốn phát triển hoàn thiện sản phẩm Sau kết đạt định hướng phát triển giai đoạn sau: Kết đạt được: Về mặt lý thuyết: - Tìm hiểu phương pháp xác thực, xác thực hai nhân tố cloud - Đề giải pháp xây dựng hệ thống xác thực sử dụng TOTP Về mặt ứng dụng: - Xây dựng ứng dụng xác thực hai nhân tố sử dụng TOTP Định hướng tương lai: - Tăng tính ổn định chức xây dựng - Cải tiến giao diện cho người dùng tiện lợi 71 TÀI LIỆU THAM KHẢO Two factor authentication, http://en.wikipedia.org/wiki/Two_factor_authentication Time-based One-time Password Algorithm, http://en.wikipedia.org/wiki/Timebased_One-time_Password_Algorithm, last visited March 2015 Cloud Computing: Theory and Practice, Dan C Marinescu, December 6, 2012 TOTP: Time-Based One-Time Password Algorithm, https://tools.ietf.org/html/rfc6238 HOTP: An HMAC-Based One-Time Password Algorithm, https://www.ietf.org/rfc/rfc4226.txt Security token, http://en.wikipedia.org/wiki/Security_token Software token, http://en.wikipedia.org/wiki/Software_token 72 ... điện toán đám mây - Chương II: Xác thực đa nhân tố điện toán đám mây - Chương III: Áp dụng xác thực hai nhân tố điện tốn đám mây CHƯƠNG ĐIỆN TỐN ĐÁM MÂY VÀ VẤN ĐỀ BẢO MẬT TRÊN ĐIỆN TOÁN ĐÁM MÂY... .8 CHƯƠNG ĐIỆN TOÁN ĐÁM MÂY VÀ VẤN ĐỀ BẢO MẬT TRÊN ĐIỆN TOÁN ĐÁM MÂY 1.1 Điện toán đám mây: .9 1.1.1 Điện tốn đám mây gì? 1.2 Mô hình điện tốn đám mây ... khai điện toán đám mây có phù hợp hay khơng khơng nên chọn mơ hình cho phù hợp: cá nhân, công cộng hay hai Với lý trên, quan tâm lựa chọn đề tài ? ?Xác thực hai nhân tố ứng dụng điện toán đám mây. ”