Nghiên cứu các giải pháp xác thực truy cập từ xa và ứng dụng dựa trên sinh trắc học Nghiên cứu các giải pháp xác thực truy cập từ xa và ứng dụng dựa trên sinh trắc học Nghiên cứu các giải pháp xác thực truy cập từ xa và ứng dụng dựa trên sinh trắc học luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - NGUYỄN VĂN TOÀN NGHIÊN CỨU CÁC GIẢI PHÁP XÁC THỰC TRUY CẬP TỪ XA VÀ ỨNG DỤNG DỰA TRÊN SINH TRẮC HỌC Chuyên ngành : Kỹ thuật máy tính Truyền thơng LUẬN VĂN THẠC SĨ KHOA HỌC Kỹ thuật máy tính Truyền thơng NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS Nguyễn Thị Hoàng Lan Hà Nội – 2011 MỤC LỤC LỜI CAM ĐOAN Danh mục ký hiệu – từ viết tắt Danh mục bảng Danh mục hình vẽ MỞ ĐẦU Chương 1: Tổng quan truy cập từ xa 10 1.1 Giới thiệu truy cập từ xa 10 1.1.1 Các phương pháp truy cập từ xa (Remote Access Methods) 11 1.1.2 Máy chủ truy cập từ xa (Remote Access Server) 14 1.1.3 Xác thực truy cập từ xa (Remote Access Authentication) 15 1.1.4 Ủy quyền (Authorization) 15 1.2 Giải pháp xác thực truy cập 16 1.2.1 Các thành phần chủ yếu hệ thống xác thực 16 1.2.2 Xác thực vai .18 1.2.3 Xác thực chủ thể người (xác thực sinh trắc) .22 Chương 2: Các giải pháp cho xác thực truy cập 27 2.1 Các giải pháp xác thực theo vai 27 2.1.1 Các công nghệ dựa giao thức Kerberos .27 2.1.1.1 Kerberos 27 2.1.1.2 SESAME 31 2.1.2 Các công nghệ xác thực dùng chứng 32 2.1.2.1 ITU-T PMIs 32 2.1.2.2 PERMIS 34 2.2 Các giải pháp xác thực sinh trắc 46 2.2.1 Các công nghệ xác thực đơn sinh trắc .46 2.2.2 Các công nghệ xác thực đa sinh trắc 49 Chương 3: Giải pháp xác thực dựa sinh trắc học 54 3.1 Giải pháp hệ thống BioPKI 54 3.2 Giải pháp ứng dụng truy cập từ xa hệ thống BioPKI 58 3.2.1 Yêu cầu ứng dụng kiểm soát truy cập từ xa .58 3.2.2 Giải pháp ứng dụng hệ thống BioPKI 59 3.2.3 Hoạt động ứng dụng 62 3.2.3.1 Đăng ký người dùng 62 3.2.3.2 Phân tích q trình xác thực người dùng truy cập từ xa 62 3.3 Xây dựng giao thức bảo mật sinh trắc (Bio-Cryptography protocol) 64 3.3.1 Pha đăng ký .64 3.3.2 Pha xác thực 64 Chương 4: Thử nghiệm ứng dụng dựa sinh trắc học 69 4.1 Thử nghiệm giải pháp để bảo mật xác thực truy cập hệ thống C@FRIS 69 4.1.1 Giới thiệu hệ thống C@FRIS 69 4.1.2 Yêu cầu xác thực bảo mật 71 4.1.3 Xây dựng giải pháp thử nghiệm 73 4.1.3.1 Phân tích giải pháp thử nghiệm .73 4.1.3.2 Cài đặt chức 74 4.2 Kết thử nghiệm - Đánh giá 79 KẾT LUẬN 84 TÀI LIỆU THAM KHẢO 86 LỜI CAM ĐOAN Tôi – Nguyễn Văn Tồn - cam kết luận văn cơng trình nghiên cứu thân hướng dẫn PGS.TS Nguyễn Thị Hoàng Lan Các kết nêu luận văn trung thực, chép tồn văn cơng trình khác Danh mục ký hiệu – từ viết tắt AA: Attribute Authority AC: Attribute Certificate ACM: Attribute Certificate Manager ACL: Access Control List CA: Certificate Authority DAC: Discretionary Access Control MAC: Mandaroty Access Control RBAC: Role Based Access Control RA: Registration Authority RAAS: Registration Authority Application Server SoA: Source of Authority PKI: Public Key Infrastructure PMI: Privilege Management Infrastructure Danh mục bảng Bảng 4.1 Bảng đánh giá so sánh tính đạt được, tính nâng cấp phân hệ tạo lập CSDL 80 Bảng 4.2 Bảng đánh giá so sánh tính đạt được, tính nâng cấp phân mã hoá đặc điểm chi tiết tự động sau đưa vào thử nghiệm thực tế .80 Bảng 4.3 Bảng đánh giá so sánh tính đạt phân hệ “Biên tập kiểm tra chất lượng”qua trình đánh giá thử nghiệm thực tế .81 Bảng 4.4 Bảng đánh giá so sánh tính đạt phân hệ “Tổ chức sở liệu” qua trình đánh giá thử nghiệm thực tế 81 Bảng 4.5 Bảng đánh giá so sánh tính đạt được, tính nâng cấp phân hệ “Tra tìm, đối sánh” 82 Bảng 4.6 Bảng đánh giá so sánh tính đạt được, tính nâng cấp phân hệ “Tiếp nhận, xử lý trả lời yêu cầu” 83 Danh mục hình vẽ Hình 1.1 Mơ hình minh họa truy cập từ xa .10 Hình 1.2 Kiến trúc giải pháp truy cập dùng đường hầm bảo mật .12 Hình 1.3 Kiến trúc giải pháp truy cập từ xa dùng cổng thơng tin .13 Hình 1.4 Kiến trúc giải pháp “Remote desktop” 13 Hình 1.5 Kiến trúc giải pháp “direct application access” 14 Hình 1.6 Role-Based Access Control - RBAC 21 Hình 1.7 Các loại dấu hiệu sinh trắc 23 Hình 2.1 Sơ đồ hoạt động giao thức Kerberos 29 Hình 2.2 Attribute Certificate 33 Hình 2.3 Attribute Certificate Information .33 Hình 2.4 Mơ hình khái niệm hạ tầng ủy quyền 35 Hình 2.5 Kiến trúc sở hạ tầng ủy quyền PERMIS 37 Hình 2.6 PERMIS Policy Editor .38 Hình 2.7 Các thành phần tham trình định ủy quyền PERMIS 40 Hình 2.8 Sơ đồ luồng liệu CVS .42 Hình 2.9 Quá trình đăng ký .47 Hình 2.10 Quá trình xác thực 47 Hình 2.12 Nhận dạng đặc trưng vân tay 48 Hình 2.13 Phân loại hệ đa sinh trắc 50 Hình 2.14 Các mức tích hợp đa sinh trắc 52 Hình 3.1 Các thành phần PKI .55 Hình 3.2 Mơ hình hệ thống BioPKI 57 Hình 3.3 Mơ hình ứng dụng kiểm sốt truy cập từ xa hệ thống BioPKI 60 Hình 3.4 Mơ hình hoạt động ứng dụng 63 Hình 3.5 Giao thức Bio-Cryptography 67 Hình 4.1 Nguyên lý hoạt động hệ C@FRIS .70 Hình 4.2 Tất ghi CSDL NSD ký sinh trắc, ảnh vân tay công dân đặc điểm chi tiết hệ thống xử lý nén, mật mã hóa ký xác nhận trách nhiệm 76 Hình 4.3 Biên tập đặc điểm chi tiết ký sinh trắc vào ghi trước lưu vào CSDL 76 Hình 4.4 Kết Tra tìm, Đối sánh TP-TP ký sinh trắc, lưu vào CSDL kết tra cứu 78 Hình 4.5 Mơ hình thử nghiệm hệ C@FRIS có tích hợp giải pháp BioPKI 78 Hình 4.6 Sơ đồ kết nối mạng 79 MỞ ĐẦU Sự phát triển mạnh mẽ công nghệ mạng tạo thay đổi to lớn tất lĩnh vực đời sống người: thơng tin liên lạc, giải trí, học tập, làm việc, kinh doanh… Một ứng dụng quan trọng góp phần vào thay đổi tích cực ứng dụng truy cập từ xa qua mạng Truy cập từ xa (Remote Access) cách thức cho phép người dùng từ xa truy cập từ máy tính qua mơi trường mạng truyền dẫn đến mạng riêng thể máy tính kết nối trực tiếp mạng Truy cập từ xa giúp rút ngắn (thậm chí xóa nhịa) khoảng cách địa lý giúp tiết kiệm nhiều thời gian tiền bạc Có thể thấy, truy cập từ xa ứng dụng quan trọng phổ biến mạng Truy cập từ xa lĩnh vực rộng có nhiều nghiên cứu tập trung vào khía cạnh cần phải giải để triển khai giải pháp tốt, phù hợp với nhu cầu ứng dụng thực tế Tuy nhiên, vấn đề quan trọng bậc với giải pháp truy cập từ xa vấn đề an tồn an ninh Cho dù giải pháp truy cập từ xa triển khai hạ tầng mạng riêng hay mạng công cộng, vấn đề thường đặt lên hàng đầu Các vấn đề thường quan tâm an toàn an ninh cho truy cập từ xa là: Authentication (Xác thực), Authorization (Ủy quyền), Data Protection (Bảo mật thông tin truyền qua mạng), Audit (truy vết, log)… Xác thực truy cập khâu cần phải giải ứng dụng truy cập từ xa Xác thực truy cập chia thành hai loại chính: 1) Xác thực vai (role) sử dụng yếu tố thỏa thuận trước người dùng với hệ thống để xác định xem người dùng giữ vai hệ thống làm gì, quyền truy cập gắn vào vai không trực tiếp cho chủ thể cụ thể, sử dụng xác thực username/password, xác thực dùng chứng số…; 2) Xác thực chủ thể người xác định xác chủ thể, cá nhân cụ thể ai, quyền gắn trực tiếp với người cụ thể Công nghệ sử dụng xác thực chủ thể dựa xác thực sinh trắc học Trong năm gần đây, xu hướng kết hợp chế xác thực mạnh hạ tầng an ninh khóa cơng khai (Public Key Infrastructure – PKI) ưu xác thực chủ thể công nghệ sinh trắc học, tạo hạ tầng an ninh an toàn hơn, hiệu (hệ thống an ninh dựa sinh trắc học BioPKI) xu hướng ý nghiên cứu Hệ thống BioPKI cung cấp chế xác thực đa mức độ bảo mật cao cho ứng dụng đòi hỏi mức độ an toàn an ninh cao ứng dụng công an, quân đội hay ngân hàng… Trong khuôn khổ luận văn này, tác giả tập trung nghiên cứu giải pháp xác thực truy cập từ xa, tập trung vào hai loại xác thực: xác thực vai xác thực sinh trắc, từ mơ hình lý thuyết đến số triển khai, rõ ưu nhược điểm giải pháp Từ tác giả tập trung vào giải pháp xác thực dựa sinh trắc học đề xuất giải pháp xác thực truy cập từ xa ứng dụng công nghệ xác thực sinh trắc học dựa hạ tầng an ninh BioPKI, với độ an toàn tin cậy cao so với giải pháp có Giải pháp kết hợp việc xác thực sinh trắc học sử dụng công nghệ nhúng với xác thực thông qua chứng chỉ, chữ kí số Cùng với đó, tác giả đề xuất giao thức xác thực bảo mật dựa tảng hệ thống BioPKI với tên gọi Bio-Cryptography Protocol Cuối cùng, tác giả trình bày việc thử nghiệm giải pháp giao thức đề xuất cho ứng dụng thực tế Phịng thí nghiệm tích hợp mô hệ thống – Bộ Công an đánh giá kết đạt Dựa nội dung đó, bố cục luận văn chia thành bốn chương sau: Chương 1: Tổng quan truy cập từ xa Trình bày vấn đề tổng quan truy cập từ xa, từ nêu vấn đề xác thực truy cập Chương 2: Các phương pháp truy cập Trình bày số phương pháp xác thực truy cập theo vai xác thực chủ thể người Chương 3: Giải pháp xác thực dựa sinh trắc học Trình bày nghiên cứu giải pháp xác thực truy cập từ xa dùng sinh trắc học dựa hạ tầng BioPKI Đề xuất giao thức bảo mật sinh trắc Bio-Cryptography Chương 4: Thử nghiệm ứng dụng dựa sinh trắc học Trình bày việc thử nghiệm giải pháp đề xuất với ứng dụng thực tế, từ rút đánh giá kết luận giải pháp Phần cuối cùng, kết luận: trình bày điểm, đóng góp tác giả luận văn Một phần nội dung nghiên cứu luận văn thực phát triển khuôn khổ đề tài Khoa học công nghệ cấp nhà nước KC.01.11/06-10: “Nghiên cứu xây dựng hệ thống kiểm soát truy cập mạng an ninh thông tin dựa sinh trắc học sử dụng công nghệ nhúng” Tác giả xin bày tỏ biết ơn sâu sắc tới PGS TS Nguyễn Thị Hoàng Lan, hướng dẫn khoa học tác giả giúp đỡ định hướng đắn cho tác giả trình làm luận văn Xin bày tỏ cảm ơn tới đồng nghiệp, thành viên đề tài KC01.11/06-10 giúp đỡ tác giả q trình thực hồn thành luận văn nào, đâu, tác động với tệp tin giao dịch đó, đảm bảo dễ dàng truy cứu trách nhiệm cần 4.1.3 Xây dựng giải pháp thử nghiệm 4.1.3.1 Phân tích giải pháp thử nghiệm Để thử nghiệm giải pháp đề xuất với hệ thống C@FRIS, RAAS Server cài đặt triển khai thử nghiệm phịng thí nghiệm Bộ Cơng an Ngồi ra, để thuận lợi cho q trình tích hợp thử nghiệm, tác giả xây dựng thư viện hàm lập trình (SDK) giúp cho lập trình viên tích hợp chức xác thực dùng xác thực sinh trắc dùng thẻ nhúng Bio-Etoken kết hợp chứng số hệ thống BioPKI Bio-Cryptography SDK thư viện cung cấp cơng cụ tiện lợi để xây dựng ứng dụng hệ thống BioPKI sử dụng kênh mật Bio-Cryptography Bộ thư viện viết ngôn ngữ C++ (VC++, Net Framework 3.0) Nó sử dụng thư viện mã nguồn mở OpenSSL để xây dựng module mật mã hóa, giải mã, ký số, xác thực chữ ký truyền thông điệp qua kênh SSL Thư viện kết nối gọi hàm liên quan đến xác thực sinh trắc giao thiếp với thẻ nhúng Bio-Etoken SDK hệ thống BioPKI Bio-Crytography SDK cung cấp hàm giúp cho việc khởi tạo kết nối, thiết lập phiên xác thực chủ thể trao đổi liệu an toàn Các hàm dễ dàng tích hợp vào ứng dụng khác nên việc triển khai giao thức dễ dàng Ngoài ra, hệ thống sử dụng API có sẵn hệ BioPKI-KC cung cấp, cụ thể: • Các APIs làm việc với thẻ sinh trắc Bio-Etoken • Các APIs ký xác thực chữ ký số • Giải pháp hệ thống Xây dựng module phần mềm cho Client, RAAS Server Server • Client: o Module đọc thẻ xác thực sinh trắc (Sử dụng API có sẵn hệ BioPKI - KC cung cấp) o Các hàm băm, mã hóa giải mã đối xứng thuật tốn AES mật truy cập từ xa khóa phiên, mã hóa giải mã bất đối xứng Ở 73 thuật tốn mã hóa AES cho phép làm việc với khóa có độ dài Sử dụng hàm có sẵn thư viện OpenSSL để thực mã hóa giải mã khóa bất đối xứng o Module ký xác thực chữ ký: chữ ký RA Application Server, chữ ký DB Server (Sử dụng API có sẵn hệ BioPKI-KC cung cấp) o Module thiết lập kênh mật SSL Sử dụng hàm thư viện OpenSSL để thiết lập • RA Application Server: o Module cung cấp dịch vụ ứng dụng liên quan đến chứng thư số (check valid, download…) tận dụng RA Server hệ thống BioPKI o Module sinh khóa phiên, quản lý, phân phối hủy khóa phiên o Module thiết lập kênh mật SSL • Server: o Các hàm băm, mã hóa giải mã đối xứng thuật toán AES mật truy cập từ xa khóa phiên, mã hóa giải mã bất đối xứng o Module ký xác thực chữ ký o Module làm việc với CSDL o Module thiết lập kênh mật SSL 4.1.3.2 Cài đặt chức a Bảo mật phân hệ C@FRIS Scan Phân hệ phần mềm nhập chuyển đổi số hóa hệ C@FRIS cài đặt máy trạm Client mạng LAN kết nối với máy chủ CSDL Người sử dụng đăng ký cấp thẩm quyền với vai trị nhân viên nhập chuyển đổi thơng tin số hóa có quyền sau: • Được kết nối với máy chủ CSDL, khởi tạo bảng CSDL, điều khiển máy quét scanner nhập chuyển đổi số hóa lưu kết vào CSDL • Được tiến hành nhập thơng tin thuộc tính nhân thân đối tượng (số hồ sơ, họ tên, giới tính, năm sinh, nơi đăng ký HKTT, đối tượng) Tiếp 74 nhập thông tin vân tay như: Dạng bản, số đếm vân, tự động cắt ảnh thành mười ngón riêng rẽ • Được dùng duyệt CSDL (BROWSER) để truy cập, chỉnh sửa, bổ sung ghi liệu thuộc tính • Được nhập CSDL hợp chuẩn ANSI/NIST từ hệ AFIS khác • Được xuất CSDL C@FRIS sang dạng chuẩn ANSI/NIST để nhập vào hệ AFIS khác Tính bảo mật cài đặt bổ sung: • Kiểm sốt đăng nhập phần mềm C@FRIS Scan; • Kiểm sốt truy cập máy chủ CSDL; • Người sử dụng với vai trò nhân viên chuyển đổi thơng tin số hóa cần ký vào trường, (hay để rút gọn ký chung cho tổ hợp số trường liệu) tạo ra, cụ thể trường: Số cước đối tượng, họ tên, giới tính, năm sinh, địa phương, mã số ngón, dạng bản, số đếm vân, ảnh vân tay đối tượng • Chức xử lý trích chọn đặc điểm tự động hệ thống thực nên hệ thống chủ thể chịu trách nhiệm ký, xử lý nén, mật mã hóa liệu trường lưu đặc điểm chi tiết record tương ứng • Riêng trường ảnh gốc sau nhân viên nhập liệu ký chịu trách nhiệm cắt ảnh, hệ thống tiếp tục xử lý nén, mật mã hóa ký xác nhận • Tất giao tác hệ thống nhân viên nhập chuyển đổi thơng tin số hóa ghi vào CSDL nhật ký hệ thống Bản thân sở liệu bảo mật “hộp đen” hệ thống người cấp thẩm quyền truy cập 75 Hình 4.2 Tất ghi CSDL NSD ký sinh trắc, ảnh vân tay công dân đặc điểm chi tiết hệ thống xử lý nén, mật mã hóa ký xác nhận trách nhiệm b Bảo mật phân hệ “Biên tập kiểm tra chất lượng” Phân hệ “Biên tập kiểm tra chất lượng” trang bị trình duyệt CSDL với nhiều cơng cụ tiện ích để người sử dụng cấp thẩm quyền biên tập kiểm tra chất lượng thực thao tác truy vấn CSDL máy chủ, truy cập đến ghi để biên tập thơng tin thuộc tính đồ họa u Ng- êi sư dơng cã thĨ tï y ý chọn tìm ghi để biª n tËp SiS Lab Hình 4.3 Biên tập đặc điểm chi tiết ký sinh trắc vào ghi trước lưu vào CSDL 76 • Bộ đặc điểm chi tiết ban đầu hệ thống tự động xử lý nên hệ thống chủ thể ký bảo mật trường liệu Trường hợp đặc điểm chi tiết biên tập lại người có thẩm quyền biên tập người ký (dùng chữ ký số) chịu trách nhiệm phần biên tập • Sau biên tập ký lưu, hệ thống chủ thể xử lý nén, mật mã hóa, nên hệ thống tiến hành ký xác nhận cơng đoạn • Các bảng liệu sau kiểm tra chất lượng coi hoàn chỉnh, hệ thống ký xác nhận để đảm bảo tính tồn vẹn liệu c Bảo mật phân hệ “Tổ chức sở liệu” Phân hệ đảm bảo chức quản lí tổ chức CSDL cài đặt máy chủ mạng LAN tổ chức theo mơ hình Client-Server để phục vụ khai thác Người sử dụng cấp thẩm quyền Tổ chức CSDL phép truy cập CSDL máy chủ, phân loại, tổ chức thành nhiều bảng dẫn xuất, đánh số phân cấp nhằm tăng tốc truy xuất liệu Các kết tổ chức CSDL ký sinh trắc quản trị viên hệ thống Trên máy trạm, người cấp thẩm quyền Tổ chức CSDL phép truy vấn CSDL câu lệnh SQL, xử lý kết nối bảng, đánh số, lập báo cáo, thống kê, kiểm kê hệ thống Tất giao tác quản trị viên hệ thống tự động lưu vào CSDL nhật ký hệ thống d Phân hệ “Tra tìm, Đối sánh” Người cấp thẩm quyền Tra tìm, Đối sánh để xác minh cước, phép đăng nhập phần mềm, truy cập đến máy chủ CSDL để tiến hành hai dạng yêu cầu chủ yếu sau: • Xác minh theo vân tay 10 ngón • Xác minh theo số cước, họ tên, ngày tháng năm sinh, sau thẩm định theo võn tay ngún tr 77 Chỉbản cần tra cu Chỉbản tìm thấy SiS Lab Hỡnh 4.4 Kt qu Tra tìm, Đối sánh TP-TP ký sinh trắc, lưu vào CSDL kết tra cứu Người sử dụng với vai trò tra cứu, đối sánh yêu cầu ký xác nhận lập yêu cầu tra cứu, xác nhận việc nhận kết tra cứu Hệ thống ký xác nhận tiếp nhận yêu cầu, tra cứu cung cấp kết Sơ đồ mơ hình thử nghiệm hoạt động hệ C@FRIS có tích hợp giải pháp BioPKI trình bày hình Hình 4.5 Mơ hình thử nghiệm hệ C@FRIS có tích hợp giải pháp BioPKI 78 Sơ đồ kết nối mạng: Hình 4.6 Sơ đồ kết nối mạng 4.2 Kết thử nghiệm - Đánh giá So sánh kết thử nghiệm hệ thống C@FRIS trước sau tích hợp giải pháp bảo mật BioPKI Các kết so sánh trường hợp thử nghiệm trình bày bảng [9] STT Các tính Kiểm sốt Hệ C@FRIS cũ thẩm quyền tạo lập CSDL, Hệ C@FRIS quét nhập, mã hoá Dùng password cập nhật 10 Dùng vân tay chữ ký số ngón Kiểm sốt thẩm quyền tạo lập CSDL Khơng có Ký lên file CSDL Khơng có Ký lên ảnh nén Lưu bảo mật ảnh kiểm tra tính hợp lệ (thứ tự) ảnh ngón tay 79 Nhập bảo mật đường truyền q trình truyền/ Khơng có Đang thực hiện… nhận liệu Nhập thơng tin thuộc tính, dạng bản,… Duyệt browser CSDL Khơng có Ký lên trường tương ứng Xác thực thẩm quyền Khơng có sử dụng xác thực chứng thư số Xác thực thẩm quyền Biên tập CSDL Khơng có sử dụng xác thực chứng thư số Nhập/ xuất CSDL hợp chuẩn ANSI/NIST Xác thực thẩm quyền Khơng có sử dụng xác thực chứng thư số hệ AFIS khác Bảng 4.1 Bảng đánh giá so sánh tính đạt được, tính nâng cấp phân hệ tạo lập CSDL STT Các tính Kiểm soát thẩm quyền mã hoá liệu Theo dõi quy trách nhiệm Lưu bảo mật đặc điểm chi tiết Bảo mật đường truyền trình truyền/ nhận liệu Hệ C@FRIS cũ Dùng password Hệ C@FRIS Dùng vân tay chữ ký số Khơng có Có Khơng có Có Khơng có Có Bảng 4.2 Bảng đánh giá so sánh tính đạt được, tính nâng cấp phân mã hoá đặc điểm chi tiết tự động sau đưa vào thử nghiệm thực tế 80 STT Các tính Kiểm soát thẩm quyền Hệ C@FRIS cũ Hệ C@FRIS Khơng có Có Khơng có Có Khơng có Có Khơng có Có q trình truyền/ Khơng có Có biên tập Theo dõi quy trách nhiệm Bảo mật đặc điểm chi tiết Bảo đảm tính tồn vẹn liệu Bảo mật đường truyền nhận liệu Phục hồi ghi bị xố gần Khơng có Có Bảng 4.3 Bảng đánh giá so sánh tính đạt phân hệ “Biên tập kiểm tra chất lượng”qua trình đánh giá thử nghiệm thực tế STT Các tính Hệ C@FRIS cũ Kiểm sốt thẩm quyền Khơng có Bảo mật bảng dẫn Hệ C@FRIS Sử dụng BioPKI Khơng có Có Khơng có Có q trình truyền/ Khơng có Có xuất Bảo đảm tính tồn vẹn liệu Bảo mật đường truyền nhận liệu Bảng 4.4 Bảng đánh giá so sánh tính đạt phân hệ “Tổ chức sở liệu” qua trình đánh giá thử nghiệm thực tế 81 STT Các tính Hệ C@FRIS cũ Kiểm sốt thẩm quyền đăng nhập, tạo lập Khơng có CSDL quản lý YC Hệ C@FRIS Dùng vân tay chữ ký số Lưu bảo mật ảnh kiểm tra tính hợp lệ (thứ tự) ảnh ngón Khơng có Ký lên ảnh nén tay vào CSDL YC Nhập bảo mật đường truyền trình truyền/ nhận Khơng có Có liệu Nhập thơng tin thuộc tính, dạng bản,… Khơng có cho CSDL YC Duyệt browser CSDL YC Ký lên trường tương ứng Xác thực thẩm quyền Khơng có sử dụng xác thực chứng thư số Xác thực thẩm quyền Biên tập CSDL YC Khơng có sử dụng xác thực chứng thư số Gửi YC tra cứu Nhận phân phối YC tra cứu Khơng có Ký vào ghi YC Khơng có Có Bảng 4.5 Bảng đánh giá so sánh tính đạt được, tính nâng cấp phân hệ “Tra tìm, đối sánh” 82 STT Các tính Hệ C@FRIS cũ Hệ C@FRIS Xác thực YC Khơng có Xác thực chữ ký số Bảo mật kết Khơng có Ký lên ảnh nén Bảo mật đường truyền trình truyền Khơng có Có liệu Bảng 4.6 Bảng đánh giá so sánh tính đạt được, tính nâng cấp phân hệ “Tiếp nhận, xử lý trả lời u cầu” Mơ hình thử nghiệm giải pháp kết đạt được cơng bố trình bày báo [9]: Nguyễn Văn Toàn, Nguyễn Thị Hương Thủy, Nguyễn Ngọc Kỷ, Nguyễn Thị Hoàng Lan (2010), “Bảo mật truy cập dựa hệ BioPKI ứng dụng để bảo mật hệ nhận dạng vân tay C@FRIS”, Hội thảo Khoa học Quốc gia lần thứ Nghiên cứu, Phát triển Ứng dụng Công nghệ thông tin Truyền thông ICT.rda‘10 83 KẾT LUẬN Trong luận văn này, tác giả nghiên cứu tổng hợp giải pháp xác thực truy cập từ xa, từ nguyên lý giải pháp triển khai, chủ yếu nghiên cứu hai loại xác thực chính: xác thực vai xác thực chủ thể người Các giải pháp xác thực vai có ưu điểm đơn giản hơn, ứng dụng dễ triển khai với nhiều chế từ đơn giản xác thực mật đến phức tạp xác thực dựa chứng Tuy nhiên, nhược điểm khơng thể xác thực xác người cụ thể truy cập vào hệ thống Các giải pháp công nghệ xác thực sinh trắc học lại có ưu điểm vượt trội việc xác thực người Nhưng nhược điểm đặc trưng sinh trắc thường không ổn định nhiều hạ tầng để triển khai giải pháp tốn phức tạp, vậy, chúng thường sử dụng ứng dụng đòi hỏi độ bảo mật cao cơng an, qn đội Tác giả trình bày đóng góp giải pháp xác thực truy cập từ xa hệ thống BioPKI – hệ thống nghiên cứu phát triển đề tài cấp nhà nước KC.01.11/06-10, việc phân tích giao dịch bảo mật giải pháp, đề xuất biện pháp tăng cường an toàn an ninh; đề xuất xây dựng giải pháp thử nghiệm giải pháp để bảo mật ứng dụng thực tế kiểm soát truy cập vào hệ nhận dạng vân tay tự động C@FRIS Phịng thí nghiệm Mơ tích hợp hệ thống – Bộ Công an cho thấy kết khả quan, chứng minh tiềm ứng dụng tốt Tác giả xây dựng thư viện hàm lập trình giúp cho việc xây dựng, áp dụng tính xác thực bảo mật cao cấp hệ BioPKI vào ứng dụng thực tế khác trở nên dễ dàng đơn giản Về mặt đóng góp học thuật, tác giả đề xuất thử nghiệm giao thức xác thực truy cập từ xa bảo mật thông tin đường truyền dùng xác thực sinh trắc học, kết hợp với chữ ký số cơng nghệ mã hóa đối xứng mạnh – giao thức Bio-Cryptography Giao thức thử nghiệm ứng dụng Bộ công an cho thấy tiềm ứng dụng cao cho hệ thống địi hỏi độ an tồn nghiêm ngặt 84 Trong q trình thực luận văn, tác giả tham gia nghiên cứu, thành viên đề tài KC.01.11/06-10 đồng tác giả hai báo công bố hội nghị nước quốc tế liên quan đến nội dung giải pháp xác thực truy cập từ xa dùng công nghệ sinh trắc học giao thức bảo mật BioCryptography 85 TÀI LIỆU THAM KHẢO William Stallings (2005) Cryptography and Network Security Principles and Practices, Fourth Edition, Prentice Hall Victor Kasacavage (2003), Complete Book of Remote Access Connectivity and Security, Auerbach Publications, London Anil K Jain, Patrick Flynn, Arun A Ross (2008), Handbook of Biometrics, Springer Arun A.Ross, Karthik Nandakumar, Anil K.Jain (2006), Handbook of Mutibiometrics, Springer Yoshifumi Ueshige (2005), “A Study on Biometrics Authentication in BioPKI”, Institute of Systems & Information Technologies, KYUSHU Karen Scarfone, Murugiah Souppaya, Paul Hoffman (2009), “Guide to Enterprise Telework and Remote Access Security”, Recommendations of the National Institute of Standards and Technology, NIST Special Publication 80046 Revision Gunther Pernul, Javier Lopeza, Rolf Oppliger (2004), “Authentication and authorization infrastructures (AAIs) : a comparative survey”, Computers & Security 23, pp 578-590 NGUYEN Thi Hoang Lan, NGUYEN Van Toan (2010), “BioPKI model and Remote Access Control using Bio-Etoken in BioPKI System”, IEEE-RIVF Addendum Contribution Proceeding, pp.50-53 Nguyễn Văn Toàn, Nguyễn Thị Hương Thủy, Nguyễn Ngọc Kỷ, Nguyễn Thị Hoàng Lan (2010), “Bảo mật truy cập dựa hệ BioPKI ứng dụng để bảo mật hệ nhận dạng vân tay C@FRIS”, Hội thảo Khoa học Quốc gia lần thứ Nghiên cứu, Phát triển Ứng dụng Công nghệ thông tin Truyền thông ICT.rda‘10 86 10 D.W.Chadwick, A Otenko, E.Ball (2003) “Role-based access control with X.509 attribute certificates”, IEEE Internet Computing, March-April 2003, Vol 7, Issue 2, pp 62-69 11 D.W.Chadwick, A Otenko (2003), “The PERMIS X.509 Role Based Privilege Management Infrastructure” Future Generation Computer Systems, Vol 19, Issue 2, Feb 2003 pp 277-289 12 S P Miller , B C Neuman , J I Schiller , J H Saltzer (1987), "Kerberos authentication and authorization system", In Project Athena Technical Plan 87 ... người mà cơng nghệ dựa xác thực sinh trắc 2.2 Các giải pháp xác thực sinh trắc 2.2.1 Các công nghệ xác thực đơn sinh trắc Các hệ thống xác thực sử dụng sinh trắc học thẩm định xác thực người dùng... quan truy cập từ xa, từ nêu vấn đề xác thực truy cập Chương 2: Các phương pháp truy cập Trình bày số phương pháp xác thực truy cập theo vai xác thực chủ thể người Chương 3: Giải pháp xác thực dựa. .. ninh cho ứng dụng truy cập từ xa 1.1.3 Xác thực truy cập từ xa (Remote Access Authentication) Xác thực truy cập yêu cầu quan trọng cần phải xây dựng ứng dụng truy cập từ xa Xác thực q trình xác nhận