Nghiên cứu tích hợp công nghệ OTP vào xác thực người dùng tại hệ thống thanh toán trực tuyến ngân hàngNghiên cứu tích hợp công nghệ OTP vào xác thực người dùng tại hệ thống thanh toán trực tuyến ngân hàngNghiên cứu tích hợp công nghệ OTP vào xác thực người dùng tại hệ thống thanh toán trực tuyến ngân hàngNghiên cứu tích hợp công nghệ OTP vào xác thực người dùng tại hệ thống thanh toán trực tuyến ngân hàngNghiên cứu tích hợp công nghệ OTP vào xác thực người dùng tại hệ thống thanh toán trực tuyến ngân hàngNghiên cứu tích hợp công nghệ OTP vào xác thực người dùng tại hệ thống thanh toán trực tuyến ngân hàngNghiên cứu tích hợp công nghệ OTP vào xác thực người dùng tại hệ thống thanh toán trực tuyến ngân hàngNghiên cứu tích hợp công nghệ OTP vào xác thực người dùng tại hệ thống thanh toán trực tuyến ngân hàngNghiên cứu tích hợp công nghệ OTP vào xác thực người dùng tại hệ thống thanh toán trực tuyến ngân hàng
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Đỗ Ngọc Cường NGHIÊN CỨU TÍCH HỢP CƠNG NGHỆ OTP VÀO XÁC THỰC NGƯỜI DÙNG TẠI HỆ THỐNG THANH TOÁN TRỰC TUYẾN NGÂN HÀNG Chuyên nghành : HỆ THỐNG THÔNG TIN Mã số: 8.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2018 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS.TSKH Hoàng Đăng Hải Phản biện 1: PGS.TS Trần Đăng Hưng Phản biện 2: TS Nguyễn Đức Dũng Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thông Vào lúc: 11 00 ngày 06 tháng 01 năm 2018 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Tính cấp thiết đề tài: Trong gần thập kỷ hình thành, phát triển bùng nổ, mạng Internet cung cấp khối lượng thông tin dịch vụ khổng lồ Internet mang lại nhiều tiện ích hữu dụng cho người sử dụng, ví dụ hệ thống thư điện tử, trò chuyện trực tuyến, cơng cụ tìm kiếm , dịch vụ thương mại chuyển khoản ngân hàng… Trong số thương mại điện tử hay gọi E-commerce trọng đến việc mua bán trực tuyến sử dụng Internet công nghệ trực tuyến tạo q trình hoạt động kinh doanh, tăng tính nhanh chóng tiện ích cho người sử dụng Tuy nhiên, kèm phát triển Thương mại điện tử vấn đề tội phạm tin học diễn Một vấn đề cộm giao dịch thương mai điện tử tin tặc giả danh người dùng hợp pháp để xâm nhập bất hợp pháp vào phiên giao dịch Việc xác thực người dùng hợp pháp cần thiết Trong số phương pháp xác thực điển hình nay, phương pháp sử dụng mật lần (OTP- One Time Password) có nhiều ưu điểm OTP có nhiều nghiên cứu ứng dụng thực tiễn, nhiên triển khai thực tiễn OTP nội dụng đồng thời gian, kiện Trong thực tiễn, có nhiều mơ hình tốn trực tuyến có nhiều mơ hình xác thực OTP tích hợp Tương ứng với lựa chọn mơ hình tích hợp vấn đề xác thực người dùng phù hợp phiên giao dịch chế sinh xác thực mã OTP, chế đồng thời gian hay kiện hệ thống xác thực OTP Qua q trình cơng tác Ngân hàng triển khai hệ thống hỗ trợ toán điện tử, học viên nhận thấy số vấn đề phát sinh thực tế triển khai OTP Trên sở đó, học viên nghiên cứu vấn đề xác thực người dùng thương mại điện tử, chế xác thực với OTP đưa giải pháp Soft-Token nhằm khắc phục số hạn chế có với OTP Trong khuôn khổ luận văn, học viên đề xuất hệ thống xác thực với Soft-Token, xây dựng chương trình phần mềm thử nghiệm cho tốn trực tuyến ngân hàng với Soft-Token Kết thử nghiệm cho thấy hệ thống hoạt động tốt, minh chứng tính khả thi hệ thống đề xuất Mục đích nghiên cứu: Nghiên cứu giải pháp tích hợp công nghệ OTP vào xác thực người dùng hệ thống toán trực tuyến ngân hàng Nội dung nghiên cứu: Các nội dung luận văn gồm: - Nghiên cứu khái quát vấn đề xác thực người dùng hệ thống ngân hàng trực tuyến, thương mại điện tử - Nghiên cứu, phân tích số vấn đề kỹ thuật việc tạo, xác thực với OTP (Cơ chế tạo, chế đồng bộ, chế xác thực), mơ hình OTP (sinh mã theo thời gian, sinh mã theo kiện) - Nghiên cứu giải pháp tích hợp OTP vào xác thực người dùng hệ thống toán trực tuyến ngân hàng với hệ thống xác thực OTP Entrust IdentityGuard - Phân tích số vấn đề hạn chế hệ thống, đề xuất hệ thống xác thực Soft-Token OTP bổ sung cho mơ hình tại, xây dựng triển khai thử nghiệm chương trình phần mềm Soft-Token OTP cho hệ thống ngân hàng nơi học viên công tác Thử nghiệm, đánh giá hệ thống Đối tượng phạm vi nghiên cứu: Luận văn tập trung vào nghiên cứu phương pháp xác thực người dùng, cụ thể OTP việc sử dụng dịch vụ thương mại điện tử Phạm vi nghiên cứu tập trung vào công nghệ OTP với vấn đề về: Thuật toán Thời gian-Sự kiện: Time and event based one time password; Đồng Thời gian-Sự kiện (DES/3DES): Synchronous Time + Event (DES/3DES) … Phương pháp nghiên cứu: Thu thập, phân tích tài liệu thơng tin liên quan đến đề tài Tìm hiểu giao dịch, mơ hình tốn thương mại điện tử số Website Thu thập thông tin xác thực người dùng giao dịch thương mại điện tử có Kết hợp nghiên cứu có trước tác giả ngồi nước với hướng dẫn thầy để hoàn thành nội dung nghiên cứu CHƯƠNG 1: KHÁI QT VỀ CÁC CƠNG NGHỆ XÁC THỰC ĐIỂN HÌNH HIỆN TẠI 1.1 Tổng quan xác thực 1.1.1 Định nghĩa xác thực Theo wikipedia định nghĩa: Xác thực hành động nhằm thiết lập chứng thực (hoặc người đó) đáng tin cậy, có nghĩa lời khai báo người đưa vật thật Xác thực đối tượng có nghĩa cơng nhận nguồn gốc (provenance) đối tượng Việc xác thực thường phụ thuộc vào nhiều nhân tố xác thực (authentication factors) để minh chứng cụ thể Trong giao dịch thương mại điện tử, việc "xác thực" quy trình xác minh để đảm bảo người dùng thi hành chức hệ thống tốn họ 1.1.2 Vấn đề xác thực người dùng tầm quan trọng vấn đề Xác thực người dùng đóng vai trò quan trọng việc an tồn bảo mật thơng tin người dùng thời kỳ phát triển công nghệ số đại Nếu khơng có hệ thống xác thực người dùng giữ an tồn thơng tin bí mật quản lý bí mật kinh doanh, thương mại tài khoản ngân hàng nguồn tài nguyên chia sẻ mạng từ máy chủ? 1.2 Phân tích, đánh giá cơng nghệ xác thực Hiện nay, giới có nhiều cơng nghệ xác thực như: - Xác thực user/password - Xác thực thẻ Chíp EMV - Xác thực sinh trắc học - Xác thực mật sử dụng lần (One Time Password) Các công nghệ xác thực nêu có ưu nhược điểm riêng đưa vào mơ hình thương mại điện tử Hiện tại,các ngân hàng Việt Nam sử dụng công nghệ xác thực mật sử dụng lần (OTP) Công nghệ OTP cung cấp giải pháp : OTP SMS: Mã xác thực gửi tin nhắn tới số điện thoại người dùng OTP Token: Mã xác thực tích hợp thiết bị Token 1.2.1 Xác thực username/password Mơ tả: Nhằm kiểm sốt quyền truy cập mức hệ thống Mỗi người sử dụng muốn vào mạng để sử dụng tài nguyên phải đăng ký tên mật Cơ chế xác thực Username/password: Hệ thống đối chiếu tên truy nhập người dùng đưa vào với sở liệu tên người dùng, tồn tên người dùng hệ thống tiếp tục đối chiếu mật đưa vào tương ứng với tên truy nhập sở liệu Qua hai lần đối chiếu thỏa mãn người đăng nhập người dùng hợp lệ hệ thống Ưu điểm: Nhược điểm: Kết luận: Với tất nhược điểm nêu trên, thấy giải pháp xác thực mật khơng thể đảm bảo an tồn độ tin cậy lĩnh vực nhạy cảm ngành ngân hàng, tài chính, bưu điện, dịch vụ y tế, nơi mà thông tin cần phải giữ bí mật tuyệt đối 1.2.2 Xác thực thẻ Chip EMV Thẻ thông minh: Thẻ thông minh (Smart card) thiết bị an toàn, nhiên bị hư hỏng Có cơng vào thẻ thơng minh chi phí để thực công cao Mặc dù vậy, chi phí đầu tư cho thẻ thơng minh lớn nguy rủi ro Cấu tạo thẻ thông minh: Cơ chế hoạt động: Kỹ thuật công thẻ thông minh: Kết luận: Thẻ thông minh thiết bị an tồn, nhiên bị hư hỏng Vẫn có cơng vào thẻ thơng minh, trường hợp giao dịch ngân hàng qua internet, PC bị nhiễm phần mềm xấu (Ví dụ Trojan Silentbanker), mơ hình an ninh bị phá vỡ Phần mềm xấu viết đè lên thơng tin (cả thơng tin đầu vào từ bàn phím thơng tin đầu hình) khách hàng ngân hàng Nó sửa đổi giao dịch mà khách hàng 1.2.3 Xác thực sinh trắc học: Tổng quan xác thực theo sinh trắc học: Xác thực dựa theo sinh trắc học phương thức sử dụng công nghệ nhận dạng vân tay, võng mạc, khn mặt, giọng nói, loại máu, chi tiết sinh học nhỏ cở thể người dùng… Các thành phần hệ thống xác thực sinh trắc học: Một hệ thống sinh trắc hệ thống nhận dạng mẫu để nhận người cách định tính xác thực đặc tính sinh học hay hành vi thuộc người Trong thiết kế hệ thống sinh trắc, vấn đề quan trọng đặt xác định cách người nhận dạng Một hệ thống sinh trắc hệ thống kiểm tra hay hệ thống nhận dạng So sánh đặc trưng sinh trắc Một đặc tính sinh học hành vi người sử dụng đặc trưng sinh trắc nhận dạng người có u cầu sau: Tính phổ biến, tính phân biệt, tính ổn định, tính thu thập, hiệu năng, tính chấp nhận, khả phá hoại Kết luận: Công nghệ sinh trắc học (Biometric) cơng nghệ sử dụng thuộc tính vật lý, đặc điểm sinh học riêng cá nhân vân tay, mống mắt, khuôn mặt để nhận diện Đây coi công cụ xác thực người dùng hữu hiệu Tại Việt Nam, công nghệ xác thực sinh trắc học gặp nhiều khó khăn ứng dụng vào giao dịch thương mại điện tử sở hạ tầng chưa đủ điều kiện đáp ứng 1.2.4 Xác thực mật lần ( OTP ) Một mật lần (OTP) mật hợp lệ cho phiên đăng nhập giao dịch, hệ thống máy tính thiết bị kỹ thuật số khác Xác thực OTP khắc phục thiếu sót liên quan đến chứng thực truyền thống dựa mật tĩnh Hiện nay, mã OTP tích hợp phổ biến thiết bị Hard Token OTP hay SMS OTP Hệ thống xác thực OTP thay hoạt động cách tự động dựa cơng nghệ OTP có ưu nhược điểm sau: Ưu điểm - An toàn: Giải tốt vấn đề giả mạo, đánh cắp, Key logger Mã OTP kết hợp với mã PIN mật để trở thành xác thực hai yếu tố - Dễ dàng sử dụng: Việc nhận dạng xác thực thực vài giây, giảm thiểu lỗi gõ mã OTP trình thực Nó hoạt động với tài ngun đăng nhập tất tảng máy tính, trình duyệt khơng cần phần mềm cài đặt Client Nhanh chóng tích hợp dễ dàng vào ứng dụng web (Windows, Linux, Mac, Internet Explorer, Firefox, ) - Linh hoạt: Người dùng dễ dàng sử dụng cho máy tính khác dễ mang theo bên - Mã nguồn mở: Sẵn sàng tích hợp với nhiều ứng dụng mã nguồn mở Nhược điểm - OTP an toàn chủ tài khoản bị thiết bị sinh OTP (Hard Token OTP) hay kẻ cắp xâm nhập vào hệ thống gửi/nhận tin nhắn SMS để biết OTP khách hàng thực giao dịch - Ngoài ra, hệ thống mạng viễn thông bị chậm,quá tải hay lý mà tin nhắn SMS gửi OTP đến chậm thời gian hiệu lực mã OTP giao dịch dựa vào OTPSMS thực không thành công Kết luận: Hiện nay, sở hạ tầng Việt Nam đủ điều kiện đáp ứng cho việc ứng dụng công nghệ xác thực mật lần (OTP) giao dịch thương mại điện tử Có thể áp dụng sách, giải pháp để khắc phục nhược điểm nêu Do vậy, việc triển khai ứng dụng công nghệ xác thực mật lần ( OTP ) giao dịch thương mại điển tử thị trường Việt Nam cho thấy hiệu quả, an toàn tiện lợi 1.3 Vấn đề xác thực người dùng hệ thống ngân hàng trực tuyến 1.3.1 Hệ thống thông tin Khái niệm hệ thống thông tin: Hệ thống thông tin hệ thống bao gồm yếu tố có quan hệ với làm nhiệm vụ thu thập, xử lý, lưu trữ phân phối thông tin liệu cung cấp chế phản hồi để đạt mục tiêu định trước Thành phần hệ thống tin Hệ thống thông tin thông thường cấu thành bởi: - Phần cứng: Gồm thiết bị/phương tiện kỹ thuật dùng để xử lý/lưu trữ thơng tin Trong chủ yếu máy tính, thiết bị ngoại vi dùng để lưu trữ nhập vào/xuất liệu, thiết bị chuyển tiếp liệu mạng - Phần mềm: Gồm chương trình máy tính, phần mềm hệ thống, phần mềm chuyên dụng, thủ tục dành cho người sử dụng - Dữ liệu: Gồm thông tin lưu trữ sử dụng vào mục đích cụ thể Các vấn đề liên quan đến hoạt động hệ thống thơng tin Vai trò hệ thống thông tin 1.3.2 Vấn đề ngân hàng trực tuyến Giá trị lợi ích ngân hàng trực tuyến - Dịch vụ ngân hàng trực tuyến giúp cho khách hàng chủ động quản lý thông tin tài khoản (bao gồm tài khoản thẻ, tài khoản toán, tài khoản tiền gửi tiết kiệm….) - Thực giao dịch ngân hàng trực tuyến nhanh chóng, thuận tiện, lúc, nơi nhằm tiết kiệm chi phí, thời gian lại cho khách hàng - Phương thức truy cập đa dạng, tiện lợi nhiều thiết bị giúp khách hàng dễ dàng sử dụng Vấn đề hàng đầu đưa cho hệ thống thơng tin nói chung hệ thống ngân hàng trực tuyến nói riêng đảm bảo an tồn bảo mật thơng tin giao dịch khách hàng sử dụng dịch vụ 1.3.3 Xác thực người dùng giao dịch ngân hàng trực tuyến Theo thông tư 35/2016/TT-NHNN điều khoản quy định an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng internet : Đảm bảo bí mật thơng tin khách hàng; tính tồn vẹn liệu giao dịch khách hàng giao dịch tài khách hàng phải xác thực tối thiểu yếu tố Hầu hết ngân hàng áp dụng hệ thống bảo mật ba lớp với giao dịch trực tuyến, bao gồm: tên đăng nhập, tổ hợp mã khoá mật 128 bit (do khách hàng lựa chọn) mã số bảo mật "one time password - OTP", thay đổi thời điểm, thông qua thiết bị bảo mật đặc biệt ngân hàng cấp (Token) 1.4 Kết luận chương Chương luận văn tổng quan xác thực tầm quan trọng việc xác thực Nội dung chương giới thiệu, phân tích đánh giá ưu nhược điểm cơng nghệ xác thực điển hình dùng bao gồm: - Xác thực user/password - Xác thực thẻ Chíp EMV - Xác thực sinh trắc học - Xác thực mật sử dụng lần (One Time Password - OTP) Trong số công nghệ xác thực đề cập, xác thực mật khẩu sử dụng lần (OTP) phù hợp thích hợp đưa vào thị trường thương mại điện tử Việt Nam Trong chương tiếp theo, luận văn tiếp tực tìm hiểu sâu công nghệ xác thực mật lần OTP, trình bày số vấn đề hạn chế đề xuất giải pháp áp dụng triển khai tích hợp vào hệ thống toán hệ thống thương mại điện tử ngân hàng nơi học viên cơng tác CHƯƠNG : NGHIÊN CỨU CƠNG NGHỆ OTP XÁC THỰC NGƯỜI DÙNG ỨNG DỤNG TRONG DỊCH VỤ THƯƠNG MẠI ĐIỆN TỬ 2.1 Xác thực người dùng dịch vụ thương mại điện tử 2.1.1 Dịch vụ thương mại điện tử Thương mại điện tử hay gọi E-commerce, E-comm hay EC mua bán sản phẩm hay dịch vụ hệ thống điện tử Internet mạng máy tính Các thành phẩn tham gia thương mại điện tử bao gồm: - Khách hàng - Website cung cấp hàng hóa - Cổng toán trung gian - Ngân hàng phát hành 2.1.2 Hiện trạng toán sử dụng dịch vụ thương mai điện tử Các bước toán trực tuyến thương mại điện tử phổ biến Với thẻ tốn máy tính kết nối Internet, người tiêu dùng hồn thành việc mua hàng hóa, dịch vụ qua website Dưới bước để mua hàng toán trực tuyến Bước 1: Chọn lựa hàng hóa Bước 2: Đặt hàng Bước 3: Kiểm tra thơng tin hóa đơn 10 2.3 Các thuật toán sử dụng OTP 2.3.1 Thuật toán kiện (OTP Event based) HOTP (K, C) = Truncate (HMAC-SHA-1 (K, C)) Truncate đại diện chức chuyển đổi giá trị HMAC-SHA-1 vào giá trị HOTP Key (K), Counter (C), giá trị liệu băm byte Ký hiệu biểu tượng thuật toán HOTP: Các bước tạo HOTP Bước1: Tạo giá trị hàm băm HMAC-SHA-1: Let HS = HMAC-SHA-1 (K,C) // HS chuỗi 20 byte Bước 2: Tạo chuỗi Byte (Rút gọn tự động): Let Sbit = DT (HS)// DT trả chuỗi 31 bit Bước 3: Tính tốn giá trị HOTP: Let Snum = StToNum ( Sbits) // Chuyển đổi S sang số 2^{31}-1 Return D = Snum mod 10^Digit // D số phạm vi 10^{Digit}-1 Xác thực giá trị HOTP Các HOTP-Client tăng giá trị đếm sau đưa vào tính tốn giá trị HOTP HOTP-Client Nếu giá trị nhận máy chủ xác thực phù hợp với giá trị tính máy khách, giá trị HOTP xác nhận Đồng lại đếm ( Counter ) Kịch đồng số đếm đòi hỏi: Máy chủ tính tốn giá trị HOTP xác định xem có trùng khớp hay khơng Hệ thống u cầu người sử dụng gửi chuỗi giá trị HOTP lần có đếm gần n n+1 cho mục đích đồng lại Phương pháp đồng lại Counter-Based Các máy chủ chấp nhận sau tất thật, C-server giá trị truy cập riêng mình: 1) C-client >= C-server 2) C-client - C-server