đỗ quang hùng giáo dục đào tạo trường đại học bách khoa hà nội - luận văn thạc sĩ khoa học ngành : công nghệ thông tin công nghệ thông tin ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng Đỗ quang hïng 2007 - 2009 Hµ Néi 2009 Hµ Néi 2009 giáo dục đào tạo trường đại học bách khoa hà nội - luận văn thạc sĩ khoa học ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng ngành : công nghệ thông tin Đỗ QUANG HùNG Người hướng dẫn khoa häc : Ts ngun Linh giang Hµ Néi 2009 LỜI CAM ĐOAN Tôi xin cam đoan luận văn: "Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng" cơng trình nghiên cứu riêng hướng dẫn thầy giáo, TS Nguyễn Linh Giang Các kết nghiên cứu trình bày luận văn trung thực, khơng phải chép tồn văn cơng trình khác Mọi trích dẫn tài liệu tham khảo luận văn rõ nguồn gốc Hà Nội, ngày tháng năm 2009 Tác giả luận văn Đỗ Quang Hùng Xác nhận giáo viên hướng dẫn mức độ hoàn thành luận văn tốt nghiệp cho phép bảo vệ Hà Nội, ngày tháng năm 2009 Giáo viên hướng dẫn TS Nguyễn Linh Giang Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng -2- LỜI CẢM ƠN - Tôi xin cảm ơn thầy, cô giáo trường Đại học Bách Khoa Hà Nội - người dạy dỗ, truyền đạt cho kiến thức bổ ích thời gian học tập trường - Tôi xin cám ơn thầy, cô giáo Hội đồng - người trực tiếp nhận xét, đóng góp ý kiến giúp tơi hồn thiện luận văn tốt nghiệp, rút kinh nghiệm quý báu phục vụ cho học tập công tác - Tôi xin đặc biệt cảm ơn thầy giáo TS Nguyễn Linh Giang - người trực tiếp gợi ý, hướng dẫn, giúp đỡ tơi hồn thành tốt luận văn tốt nghiệp - Tôi xin cảm ơn cán Công ty Hệ thống thông tin FPT tạo điều kiện, giúp đỡ thực luận văn - Tôi xin gửi lời cảm ơn tới gia đình bạn bè, người ln tạo điều kiện thuận lợi, động viên, giúp đỡ thời gian thực luận văn tốt nghiệp Học viên Đỗ Quang Hùng Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng -3- MỤC LỤC MỤC LỤC DANH SÁCH CÁC TỪ VIẾT TẮT DANH SÁCH HÌNH VẼ MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ XÁC THỰC NGƯỜI DÙNG 10 1.1 VẤN ĐỀ BẢO MẬT THÔNG TIN 10 1.2 XÁC THỰC, PHÂN QUYỀN VÀ KIỂM ĐỊNH .11 1.2.1 Nhận dạng xác thực 12 1.2.2 Phân quyền .15 1.2.3 Tiến trình đăng nhập người dùng 15 1.2.4 Kiểm tra, kiểm định 16 1.3 CÁC MỐI ĐE DỌA QUÁ TRÌNH XÁC THỰC 17 1.3.1 Vượt qua hệ thống xác thực 17 1.3.2 Sử dụng mật mặc định 17 1.3.3 Giành quyền truy cập vật lý 18 1.3.4 Dự đốn mật khẩu: cơng từ điển, vét cạn Rainbow .18 1.3.5 Chặn bắt thơng tin bí mật mạng 20 1.3.6 Thực lại xác thực 20 1.3.7 Giảm sức mạng trình xác thực 20 1.3.8 Sử dụng máy chủ giả mạo 21 1.3.9 Các công "kẻ công đứng giữa" 21 1.3.10 Chương trình ghi lại bàn phím, Trojan Virus 22 1.4 THƠNG TIN BÍ MẬT SỬ DỤNG TRONG XÁC THỰC .22 1.4.1 Xác thực sử dụng mật 23 1.4.2 Khóa bất đối xứng thông tin dựa chứng thực 25 1.4.3 Các thơng tin bí mật dựa sinh trắc học 26 1.4.4 Các phương pháp xác thực tích hợp dựa thẻ truy cập .28 CHƯƠNG 2: XÁC THỰC HAI YẾU TỐ VÀ GIẢI PHÁP RSA SECUREID 29 2.1 VẤN ĐỀ VỚI XÁC THỰC MỘT YẾU TỐ 29 2.2 XÁC THỰC HAI YẾU TỐ 31 2.3 GIẢI PHÁP RSA SECUREID 33 2.3.1 Nguyên tắc hoạt động .33 2.3.2 Mơ hình xác thực thành phần hệ thống .36 2.3.3 Thuật toán sinh số 39 2.3.4 Tính an tồn giải pháp 42 CHƯƠNG 3: TỔNG QUAN VỀ PKI VÀ ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ 44 ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ 44 3.1 TỔNG QUAN VỀ PKI 44 3.1.1 Khái niệm .44 Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng -4- 3.1.2 Mục tiêu chức .45 3.1.3 Mơ hình tiêu biểu 45 3.2 CÁC THÀNH PHẦN CƠ BẢN CỦA PKI 46 3.2.1 Thành phần Certificate Authority 46 3.2.2 Thành phần Database .47 3.2.3 Thành phần Directory .48 3.2.4 Thành phần Registration Authority 48 3.2.5 Thành phần Client 49 3.3 HOẠT ĐỘNG CƠ BẢN TRONG HỆ THỐNG PKI 49 3.3.1 Mô hình tổng quát hệ thống PKI .49 3.3.2 Đăng ký chứng thực 50 3.3.3 Khởi tạo đối tượng sử dụng .50 3.3.4 Hoạt động chứng thực 50 3.3.5 Phát hành chứng thực danh sách chứng thực bị hủy bỏ 52 3.3.6 Các hoạt động hủy bỏ .52 3.4 CHUẨN X.509 VÀ CÁC THÔNG ĐIỆP PKI 52 3.4.1 Cấu trúc chứng thực .52 3.4.2 Các thông điệp PKI 55 3.5 ỨNG DỤNG CHỮ KÝ ĐIỆN TỬ 57 3.5.1 Chữ ký điện tử 57 3.5.2 Lược đồ trao đổi thông tin sử dụng chữ ký điện tử 59 CHƯƠNG 4: ỨNG DỤNG RSA SECUREID VÀ CHỮ KÝ ĐIỆN TỬ VÀO HOẠT ĐỘNG NGÂN HÀNG 62 4.1 MƠ HÌNH VÀ U CẦU THỰC TẾ 62 4.1.1 Mơ hình hoạt động 62 4.1.2 Các yêu cầu thực tiễn .64 4.2 TÍCH HỢP GIẢI PHÁP RSA SECUREID .66 4.2.1 Tích hợp vào ứng dụng nghiệp vụ 66 4.2.2 Tích hợp vào giao dịch trực tuyến 70 4.3 TÍCH HỢP CHỮ KÝ ĐIỆN TỬ VÀO CÁC GIAO DỊCH 74 4.3.1 Mô hình tích hợp thành phần 74 4.3.2 Lược đồ thực giao dịch sử dụng chữ ký điện tử .75 4.3.3 Quy trình ký thẩm định chữ ký 77 CHƯƠNG 5: THỬ NGHIỆM VÀ ĐÁNH GIÁ GIẢI PHÁP 80 5.1 THỬ NGHIỆM TÍCH HỢP .80 5.1.1 Tích hợp RSA SecureID vào quy trình xác thực nhân viên 80 5.1.2 Tích hợp chữ ký điện tử vào mơ hình thực giao dịch trực tuyến 84 5.2 ĐÁNH GIÁ CÁC GIẢI PHÁP ĐỀ XUẤT 89 5.2.1 Các kịch kiểm tra tính an toàn giải pháp 89 5.2.2 Đánh giá khả đáp ứng yêu cầu .94 KẾT LUẬN 97 TÀI LIỆU THAM KHẢO 99 Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng -5- DANH SÁCH CÁC TỪ VIẾT TẮT Từ viết tắt RSA PKI Từ đầy đủ Ron Rivest, Adi Shamir Len Adleman Public Key Infrastructure Chú thích Tên nhà khoa học Hạ tầng khóa cơng khai Cơ quan chứng thực AES Certification Authority Light Weight Directory Access Protocol Advanced Encryption System SSH Secure Shell Giúp thực lệnh an toàn RA Registration Authority Cơ quan đăng kiểm EE End Entity Thực thể cuối MD5 Message Digest Thuật toán hàm băm MD5 SHA-1 Secure Hashing Algorithm -1 Thuật toán băm bảo mật ID CR Identify - Registration Request - Registration Reply - Revocation Request Certificate Request - Yêu cầu đăng ký - Trả lời đăng ký - Yêu cầu thu hồi Yêu cầu chứng thực KUR Key Update Request Yêu cầu cập nhật khóa KUP Key Update Response Trả lời y/c cập nhật khóa KRR Key Recovery Request Yêu cầu phục hồi khóa KRP Key Recovery Response Trả lời y/c phục hồi khóa CKUANN CA Key Update Announcement Cơng bố cập nhật khóa CA CANN Certificate Announcement Công bố chứng thực RANN Revocation Announcement Công bố thu hồi CRLANN CRL Announcement Công bố danh sách CRL CONF Confirmation Xác nhận GENP General Response Trả lời GENM ERROR Error Message Thông điệp báo lỗi CA LDAP RR Người hướng dẫn khoa học: TS Nguyễn Linh Giang Dịch vụ mục Hệ thống mã hóa nâng cao Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng -6- DANH SÁCH HÌNH VẼ Hình vẽ Trang Hình 1-1: Các thành phần hệ thống xác thực người dùng 14 Hình 1-2: Xác thực người dùng sử dụng thẻ 28 Hình 2-1: Mơ hình xác thực giải pháp RSA SecureID 36 Hình 2-2: Giao diện RSA Authentication Manager 6.1 37 Hình 2-3: Giao diện chương trình RSA Security Center 38 Hình 2-4: Các loại token RSA 38 Hình 2-5: Cơ chế đồng tokencode token máy chủ RSA 38 Hình 2-6: Q trình thực phép tốn XOR 40 Hình 2-7: Quá trình thay byte 41 Hình 2-8: Bước dịch hàng 41 Hình 2-9: Q trình biến đổi tuyến tính cột 42 Hình 3-1: Các thành phần hệ thống CA 46 Hình 3-2: Các đối tượng hoạt động hệ thống PKI 49 Hình 3-3: Chứng thực theo chuẩn X.509 54 Hình 3-4: Quy trình tổng quát sử dụng chữ ký điện tử 55 Hình 4-1: Cơ chế xác thực nhân viên 63 Hình 4-2: Mơ hình tích hợp pha xác thực 67 Hình 4-3: Các pha xác thực nhân viên sau tích hợp RSA 68 Hình 4-4: Các bước kiểm tra chế xác thực RSA 70 Hình 4-5: Các pha thực giao dịch trực tuyến tích hợp RSA Hình 4-6: Các pha thực giao dịch trực tuyến sau tích hợp chữ ký điện tử Hình 4-7: Quy trình ký liệu tạo thơng điệp gửi 72 76 Hình 4-8: Quy trình kiểm tra chữ ký khóa cơng khai 79 Hình 5-1: Mơ hình kết nối ngân hàng tích hợp RSA SecureID 81 Hình 5-2: Mơ hình kết nối tích hợp chữ ký điện tử 84 Hình 5-3: Giả mạo tồn hệ thống xác thực RSA 92 Người hướng dẫn khoa học: TS Nguyễn Linh Giang 78 Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng -7- MỞ ĐẦU Theo xu chung toàn giới, nay, tất ngành nghề, lĩnh vực xã hội ứng dụng thành tựu công nghệ thông tin để phục vụ cho hoạt động chun ngành Cơng nghệ thông tin giúp quan, tổ chức, doanh nghiệp thực chức công việc chun mơn cách dễ dàng, thuận tiện, nhanh chóng an tồn Do đó, giúp đơn vị tiết kiệm chi phí nhân lực, tiền bạc thời gian; đảm bảo tính xác giảm thiểu rủi ro, sai sót cơng việc; từ nâng cao hiệu hoạt động đơn vị Một lĩnh vực sử dụng công nghệ thông tin công cụ thiếu hoạt động thường ngày hoạt động ngân hàng Có thể nói, công nghệ thông tin nhân tố quan trọng hỗ trợ chí định mức độ thành công ngân hàng Trước đây, hoạt động ngân hàng thực thủ công giấy tờ nhân viên, giao dịch từ bé đến lớn đòi hỏi phải thực trực tiếp chi nhánh giao dịch, việc quản lý tính xác, an tồn, bảo mật thực thơng qua sách người Chính tính thủ cơng cơng việc nên khó tránh khỏi rủi ro, sai sót ngẫu nhiên cố tình hoạt động nghiệp vụ, không đảm bảo mức bảo mật cao, tạo lỗ hổng khiến kẻ gian lợi dụng gây tổn thất to lớn cho ngân hàng Ngày nay, với giúp đỡ kĩ thuật thông tin, hoạt động chuyên môn ngày tự động hóa, sách thay phương thức kiểm sốt cơng nghệ, khơng giảm thiểu chi phí, rủi ro mà quan trọng giúp đảm bảo nâng cao tính an tồn, bảo mật hoạt động Nhờ vậy, giúp đơn vị khai thác sử dụng tốt tài ngun thơng tin phục vụ cho mục đích kinh doanh, giảm thiểu rủi ro thu lợi ích kinh doanh, giành ưu môi trường cạnh tranh Tuy nhiên, việc ứng dụng công nghệ thơng tin vào việc chun mơn hóa nghiệp vụ ngân hàng làm nảy sinh nhiều vấn đề liên quan đến sử dụng công nghệ Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng -8- Một vấn đề tối quan trọng cần phải đặc biệt quan tâm vấn đề bảo mật Vấn đề bảo mật ngân hàng bao gồm nhiều khía cạnh: bảo mật thông tin khách hàng; bảo đảm giao dịch thực an tồn xác; vấn đề quản lý tài khoản khách hàng; vấn đề nhận dạng, xác thực phân quyền cho khách hàng nhân viên; … Do đó, để đảm bảo hoạt động ngân hàng thực công nghệ thông tin an toàn bảo mật, ngân hàng cần áp dụng kết hợp giải pháp phần cứng phần mềm cho hạ tầng công nghệ thông tin Xuất phát từ nhu cầu thực tế đó, với định hướng công việc thực đơn vị công tác gợi ý, hướng dẫn thầy giáo hướng dẫn TS Nguyễn Linh Giang, tơi lựa chọn tìm hiểu giải pháp nhằm nâng cao tính an tồn bảo mật khía cạnh xác thực người dùng sử dụng chữ ký điện tử giao dịch ngân hàng Về góc độ xác thực người dùng, phương pháp xác thực người dùng truyền thống sử dụng yếu tố áp dụng cho nhân viên khách hàng hầu hết ngân hàng nước ta chưa đảm bảo tính an toàn, tạo hội cho kẻ gian đánh cắp mật khẩu, giả mạo người dùng thực hành động gây thiệt hại tài cho ngân hàng Về góc độ thực giao dịch, giao dịch trực tuyến cần chế để đảm bảo tính xác, tính tồn vẹn chống từ chối Do đó, luận văn tập trung nghiên cứu phương pháp xác thực mạnh hai yếu tố RSA SecureID ứng dụng chữ ký điện tử hạ tầng khóa cơng khai, đồng thời luận văn đưa mơ hình hoạt động minh họa cách thức tích hợp hai phương thức để đáp ứng yêu cầu vấn đề xác thực người dùng nâng cao tính bảo mật thực giao dịch tài Với tên gọi "ỨNG DỤNG XÁC THỰC HAI YẾU TỐ VÀ CHỮ KÝ ĐIỆN TỬ VÀO HOẠT ĐỘNG NGÂN HÀNG", đề tài mang tính chất nghiên cứu giải pháp cách thức tích hợp vào mơ hình thực tiễn Trong hoàn cảnh nước ta nay, ngân hàng chạy đua hoàn thiện hạ tầng CNTT nói chung nâng cao tính an tồn, bảo mật hoạt động nói riêng để từ cung cấp dịch vụ tin cậy cho khách hàng, phương pháp nghiên cứu đề xuất luận văn mang tính ứng dụng thực tiễn cao Ngồi ra, phương pháp tích hợp đề tài đưa hồn tồn áp dụng khơng ngân hàng, mà cịn cho tất tổ chức, công ty quan tâm tới vấn đề bảo mật việc nhận dạng Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 87 - else { //Gui du lieu cung chu ky le server alert('gui du lieu len server'); var url = "UpdateTransaction.aspx?UserID=" + document.getElementById('txtUserID').value; url = url + "&Description=" + document.getElementById('txtDescription').value; url = url + "&Amount=" + document.getElementById('txtAmount').value; url = url + "&SignValue=" + document.getElementById('txtSignValue').value+""; xmlHttp=GetXmlHttpObject() if (xmlHttp==null) { alert ('Your browser does not support AJAX!'); return; } xmlHttp.onreadystatechange = function() { if(xmlHttp.readyState == 4) { if(xmlHttp.status == 200){ display = xmlHttp.responseText; if(display!="OK") { alert(display); } }else { alert('Error ajax!'); return false; } } }; xmlHttp.open('GET',url,true); xmlHttp.send(null); return true; } } } } b Tích hợp phía server Phía server nhận thơng điệp gửi lên từ trình duyệt web người dùng thực quy trình kiểm tra chữ ký trình bày phần 4.3.3 Các bước quy trình thực ví dụ minh họa sau: + Q trình tạo lại mã băm từ thông tin giao dịch: Dịch vụ web lấy thông tin giao dịch phiên làm việc khách hàng, ghép nối chúng với để thu liệu cần băm, sau thực hàm băm để thu mã băm tương ứng Các bước minh họa đoạn mã sau đây: Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 88 - //HASK DU LIEU TU CLIENT GUI LEN //tao du lieu string data = data = data + data = data + data = data + can hash ""; Session["ebank_user_id"].ToString(); "," + Session["ebank_tran_description"].ToString(); "," + Session["ebank_tran_amount"].ToString(); //hash data byte[] plainTextBytes = Encoding.UTF8.GetBytes(data); HashAlgorithm hash = new SHA1Managed(); byte[] cipherText = hash.ComputeHash(plainTextBytes); // Convert ket qua sang dang base64-encoded strHashData = Convert.ToBase64String(cipherText); + Quá trình kiểm tra chữ ký: thực thông qua hàm VerififyingCert() Với thông tin đầu vào chữ ký, băm thông tin giao dịch chứng thực tương tứng với người dùng, hàm VerififyingCert() trả mã kết Nếu hàm VerififyingCert() trả kết hợp lệ trình kiểm định chữ ký thành công, thông điệp không bị thay đổi trình truyền private bool tokenAuthentication() { //…………………………………………………………… string strCert = mcertviewcolumn.GetValue(0).ToString(); string str2 = ""; str2 = strCert; ssverify ssverify = new ssverifyClass(); long num3 = 3L; int lngRet = (int)num3; ssverify.VerififyingCert(strSignValue.Trim(), strHashData, strCert, out lngRet); num3 = lngRet; ssverify = null; if (num3 == 10L) { //this.displayMessage("Signing and Verifying successfuly"); return true; } this.lblErrorMsg.Text = "Signing and Verifying failed" + strHashData + "||"; return false; //…………………………………………………………… } Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 89 - 5.2 ĐÁNH GIÁ CÁC GIẢI PHÁP ĐỀ XUẤT Dựa vào mơ hình chương trình tích hợp thu phần 5.1, phần thực kịch kiểm tra đưa kết thu để từ đánh giá tính an toàn giải pháp đề xuất, khả giải pháp đáp ứng yêu cầu thực tiễn ngân hàng 5.2.1 Các kịch kiểm tra tính an tồn giải pháp 5.2.1.1 Đối với quy trình xác thực nhân viên Một số kịch kiểm tra tính an tồn giải pháp xác thực RSA người dùng đăng nhập vào hệ thống: Kịch 1: Nhân viên đăng nhập thành công vào hệ thống Để đăng nhập thành cơng vào hệ thống, người dùng phải đảm bảo tính xác thông tin đăng nhập: - Nhập tên truy cập - Nhập mật tĩnh - Nhập số tokencode hiển thị token gán cho Nếu người dùng nhập vào không đầy đủ không xác ba thơng tin đăng nhập trên, chương trình báo lỗi người dùng coi đăng nhập không thành công Kịch 2: Nhân viên đăng nhập không thành công vào hệ thống Một nhân viên đăng nhập không thành công vào hệ thống gặp trường hợp sau: + Không nhập đầy đủ thông tin đăng nhập sai khuôn dạng số tokencode (nhiều ký tự, chứa ký tự khác chữ số): Chương trình client kiểm tra khn dạng đăng nhập thông báo lỗi, yêu cầu người dùng nhập đầy đủ thông tin thông báo sai cú pháp tokencode Người dùng thực lại xác thực sau + Nhập sai tên truy cập, mật tokencode sai: Khi đó, q trình gửi liệu thực hiện, chế xác thực RSA Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 90 - kiểm tra người dùng hệ thống Khi khơng có người dùng tương ứng hệ thống, ứng dụng client nhận mã lỗi thông báo cho nhân viên Người dùng thực lại xác thực sau + Nhập tên truy cập, sai tokencode, mật sai: Khi người dùng nhập tên truy cập, chế xác thực RSA thực khóa người dùng thành công, so sánh giá trị tokencode không khớp nhau, chế xác thực RSA ghi nhận lần người dùng đăng nhập không thành công Khi ứng dụng client hiển thị thơng báo lỗi nhân viên thực xác thực lại sau + Nhập tên truy cập tokencode, mật sai: Khi nhân viên nhập tên truy cập tokencode, trình xác thực với máy chủ RSA thành công chế xác thực ghi nhận nhân viên đăng nhập thành công vào hệ thống Tuy nhiên, trình so sánh mật tĩnh sai nên nhân viên bị từ chối truy cập nhận thông báo xác thực không thành công Trong trường hợp này, nhân viên sử dụng số tokencode thời điểm để đăng nhập thành công nên sử dụng số tokencode để thực xác thực lại Nhân viên phải chờ đến số tokencode hiển thị (khoảng phút sau) tiếp tục thực đăng nhập vào hệ thống + Thực đồng token không thành công: Khi người dùng đăng nhập không thành công theo trường hợp thứ ba (đúng tên truy cập, sai tokencode) liên tiếp ba lần, chế xác thực chuyển trạng thái token sang chế độ NextTokencode Trong lần đăng nhập thành cơng gần sau đó, nhân viên u cầu đồng tokencode phải nhập giá trị tokencode liên tiếp để thực đồng Nếu trình đồng thành cơng, nhân viên coi xác thực thành công Nếu không, nhân viên bị từ chối truy cập Như vậy, tất trường hợp trên, giải pháp tích hợp đề xuất có chế thích hợp để ngăn chặn truy cập người dùng cung cấp không thông tin đăng nhập Kịch 3: Nhân viên để lộ mật tĩnh Khi nhân viên vơ tình để lộ mật tĩnh, chưa tích hợp, kẻ gian sử dụng tên truy cập mật người dùng để đăng nhập vào hệ thống tài Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 91 - khoản người dùng Tuy nhiên, tích hợp giải pháp RSA SecureID, cịn cần thêm yếu tố giá trị tokencode thời điểm đăng nhập người dùng Do đó, nhân viên khơng bị thiết bị token kẻ gian thực xác thực thành công với tài khoản nhân viên Kịch 4: Kẻ gian sử dụng chương trình dị tokencode Trong trường hợp kẻ gian biết mật tĩnh nhân viên, sử dụng chương trình dị qt để dự đốn số tokencode nhân viên Tuy nhiên, tính an tồn giải pháp RSA phân biết chương không cho phép phần mềm dị qt thực thời gian phút trước số tokencode thay đổi Hơn nữa, chế NextTokencode Disable khiến phương pháp dị qt truy cập thử khơng thể thực token tài khoản tương ứng bị khóa sau số lần liên tiếp người dùng xác thực không thành công Kịch 5: Kẻ gian thực xác thực lại Kẻ gian thực chương trình chặn bắt gửi xác thực lại mà không cần giải mã thông điệp chặn bắt Tuy nhiên, chế xác thực RSA không cho phép sử dụng giá trị tokencode để đăng nhập vào hệ thống nhiều lần nên nhân viên đăng nhập thành công vào hệ thống, gói tin xác thực lại khơng hợp lệ bị từ chối truy cập Kịch 6: Kẻ gian thay toàn hệ thống xác thực RSA Một trường hợp phát sinh tiến hành tích hợp thử nghiệm kẻ gian đánh cắp quyền truy cập vào máy chủ chi nhánh thay RSA agent cài đặt máy chủ chi nhánh agent hệ thống RSA giả mạo, đồng thời dựng máy chủ xác thực RSA giả mạo Với tồn quyền cấu hình máy chủ xác thực giả mạo, kẻ gian tạo tài khoản giống với tài khoản người dùng, thiết lập mật cho tài khoản sử dụng mật xác thực thay cho số tokencode Khi đó, kẻ gian xác thực thành cơng với hệ thống giả mạo tiếp tục pha sánh mật hệ thống ứng dụng Trường hợp xấu nhất, kẻ Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 92 - gian biết mật tĩnh người dùng, đăng nhập thành cơng tài khoản nhân viên Máy chủ RSA thật RSA Agent giả mạo Máy chủ RSA giả mạo Hình 5-3: Giả mạo tồn hệ thống xác thực RSA Trường hợp khắc phục tích hợp thêm chế kiểm tra RealmID vào ứng dụng nghiệp vụ phía server RealmID giá trị gồm 24 ký tự sinh lần cài đặt lại hệ thống xác thực (RSA Manager máy chủ chính) Giá trị ngẫu nhiên khác lần cài đặt Vì vậy, việc kiểm tra RealmID đảm bảo kẻ gian xác thực thành công hệ thống RSA server giả mạo 5.2.1.2 Đối với quy trình thực giao dịch trực tuyến Một số kịch kiểm tra tính an tồn giải pháp tích hợp chữ ký điện tử vào giao dịch trực tuyến Kịch 1: Khách hàng thực giao dịch thành công Dựa vào lược đồ thực giao dịch trực tuyến sau tích hợp chữ ký điện tử hình 4-6, giao dịch thực thành công đáp ứng đầy đủ yêu cầu sau (bỏ qua yêu cầu hợp lệ tài khoản người gửi, tài khoản người nhận, số tiền chuyển khoản): - Khách hàng phải có thẻ ST3 khởi tạo, chứa khóa mật chứng thực tương ứng Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 93 - - Khách hàng phải đảm bảo thẻ ST3 kết nối với máy tính sử dụng để thực giao dịch thông qua cổng USB - Khách hàng phải cung cấp mã PIN để truy cập vào thẻ - Chứng thực người dùng phải đảm bảo hợp lệ hoạt hoạt động (chưa bị hủy bỏ, thời gian hợp lệ, không bị tạm ngừng ) Bỏ qua yêu cầu tính hợp lệ chứng thực, chủ yếu theo dõi cung cấp hạ tầng PKI, ba u cầu cịn lại liên quan đến việc cung cấp mã PIN thẻ xác thực mà người dùng quản lý Hai yếu tố (liên quan đến mà người dùng biết người dùng có) cung cấp chế an tồn cho phép khách hàng thực giao dịch Kịch 2: Khách hàng thực giao dịch không thành công Bỏ qua lỗi nghiệp vụ, khách hàng không phép thực giao dịch thực giao dịch không thành công nguyên nhân sau: - Khách hàng không sở hữu thẻ ST3 - Khách hàng khơng kết nối thẻ ST3 với máy tính thực giao dịch (đã cài đặt chương trình thao tác với thẻ) - Khách hàng khơng cung cấp mã PIN để chương trình thao tác với thẻ - Chứng thực khách hàng không hợp lệ - Thông tin giao dịch bị thay đổi truyền nhận Kịch 3: Thông điệp bị thay đổi trình truyền Kẻ gian cách thay đổi thơng điệp hai nội dung sau: + Thay đổi nội dung thơng tin giao dịch, ví dụ tài khoản người nhận số tiền toán Tuy nhiên, khơng có khóa mật khách hàng (khơng có thẻ ST3 mã PIN truy cập thẻ) nên kẻ gian thay đổi nội dung chữ ký Dịch vụ web phát thông tin khơng tồn vẹn q trình so sánh mã băm thông tin nhận với liệu giải mã từ chữ ký đó, hủy bỏ giao dịch Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 94 - + Thay đổi nội dung chữ ký Khi chữ ký bị chỉnh sửa thay thế, dịch vụ web sử dụng khóa cơng khai khách hàng giải mã chữ ký thơng điệp nhận Do đó, ứng dụng web phát chữ ký bị sửa đổi khách hàng tạo nên sử dụng khóa mật khơng thực giao dịch tương ứng Kịch 4: Kẻ gian đánh cắp tài khoản khách hàng để thực giao dịch Để đánh cắp tài khoản khách hàng để thực giao dịch tài chính, kẻ gian cần phải có khóa mật khách hàng, tức phải đồng thời có thẻ xác thực ST3 mã PIN mà khách hàng sử dụng để truy cập thẻ Trường hợp khó xảy khách hàng để lộ hai yếu tố bảo mật Kịch 5: Khách hàng từ chối thực giao dịch Khi khách hàng khơng có thơng báo với ngân hàng bị thẻ xác thực ST3 vào thời điểm giao dịch thực khách hàng từ chối việc thực giao dịch Mỗi giao dịch kiểm tra chữ ký khóa cơng khai khách hàng, đó, giao dịch thực ký sử dụng khóa mật khách hàng Trong mơ hình triển khai này, khách hàng người nắm khóa mật (được lưu trữ thẻ xác thực ST3) truy cập vào khóa mật dùng mã PIN 5.2.2 Đánh giá khả đáp ứng u cầu Từ tính chất an tồn vốn có giải pháp RSA SecureID chữ ký điện tử, kết hợp với kết thực kịch kiểm tra tính an tồn giải pháp phần 5.2.1, khẳng định giải pháp tích hợp xác thực hai yếu tố vào trình xác thực nhân viên giải pháp tích hợp chữ ký điện tử giao dịch trực tuyến đáp ứng đầy đủ yêu cầu thực tế mà ngân hàng đặt Cụ thể sau: a Đối với trình xác thực nhân viên Quy trình xác thực nhân viên sử dụng thêm yếu tố mật động (số tokencode) giúp ngăn chặn rủi ro đến từ phía người dùng quản trị địa phương Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 95 - - Về phía nhân viên: Yếu tố xác thực thứ hai phân tích giúp ngăn ngừa phần lớn mối đe dọa mà người dùng gặp phải mật tĩnh Khi nhân viên có vơ tình để lộ mật tĩnh hay để lộ số tokencode thời điểm kẻ gian khơng sử dụng khoảng thời gian phút, mật động thay đổi kẻ gian phải tìm kiếm hội khác Các cách cơng dự đốn mật khẩu, chặn bắt thông tin mạng, thực xác thực lại khơng ảnh hưởng đến quy trình xác thực hai yếu tố Các chương trình trojan hay virus ghi lại thao tác bàn phím nắm mật tĩnh hữu ích khoảng thời gian phút người dùng đăng nhập, thường người dùng đăng nhập thành cơng số tokencode thời điểm khơng thể dùng để xác thực lại Ngồi ra, giúp nhân viên ghi nhớ mật phức tạp thay đổi mật thường xuyên muốn nâng cao tính bảo mật - Về phía máy chủ xác thực: Bản thân chế xác thực SecureID có chế tích hợp vào q trình đăng nhập nên góp phần bảo vệ chống lại truy cập trái phép vào máy chủ chi nhánh người quản trị sở hở để lộ mật đăng nhập Hơn nữa, kẻ gian truy cập vào sở liệu để xem thay đổi trường mật nhân viên bản, nắm yếu tố xác thực tĩnh nên chưa thể truy cập vào ứng dụng tài khoản nhân viên - Về phía điện tốn chi nhánh: Cơ chế xác thực hai yếu tố hạn chế hồn tồn vấn đề xảy từ phía điện tốn chi nhánh Nếu mơ hình trước kia, điện tốn chi nhánh tồn quyền thao tác với sở liệu biết tồn thông tin (tên truy cập mật khẩu) nhân viên chi nhánh đây, thơng tin chưa đủ để điện tốn chi nhánh khơng trung thực sử dụng tài khoản nhân viên để thực ứng dụng nghiệp vụ liên quan đến tài Như vậy, trình xác thực nhân viên, thay đổi nhỏ tích hợp thêm yếu tố xác thực động, ngân hàng hồn tồn n tâm trình xác thực nhân viên ngăn ngừa mối đe dọa gặp phải trước Trong trường hợp này, mức độ bảo mật mà giải pháp mang lại cho ngân hàng hoàn toàn phù hợp với chi phí ngân hàng bỏ để triển khai thêm giải pháp xác thực Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 96 - b Đối với giao dịch trực tuyến Có chế đề xuất tích hợp vào giao dịch trực tuyến: xác thực hai yếu tố chữ ký điện tử Cả hai chế giúp khách hàng ngân hàng yên tâm tính xác thực giao dịch thực Trong chế tích hợp RSA SecureID, để thực giao dịch, khách hàng cần nhập hai giá trị tokencode hai thời điểm khác nhau, kẻ gian khó giả mạo để thực giao dịch Khi ứng dụng chữ ký điện tử, giao dịch đảm bảo thực từ khách hàng sở hữu thẻ xác thực mã PIN truy cập tương ứng Các chế hoàn toàn đủ mạnh để chống lại việc kẻ gian đánh cắp tài khoản khách hàng thực giao dịch tài Tuy nhiên, chế tích hợp RSA SecureID khơng đảm bảo tính tồn vẹn tính chống từ chối Nếu cách đó, kẻ gian chặn bắt chỉnh sửa thông tin giao dịch gửi lên phía server dịch vụ web phía server khơng có chế để phát điều Ngồi ra, phía ngân hàng khó có sở hoàn toàn thuyết phục người dùng từ chối thực giao dịch Các hệ thống lưu log ngân hàng bị phủ nhận gây nhiều tranh cãi khác An toàn hơn, giải pháp tích hợp chữ ký điện tử giúp khách hàng ngân hàng n tâm tính tồn vẹn thơng tin giao dịch tính chống từ chối Cơ chế hàm băm chiều đảm bảo không thay đổi thông tin giao dịch lại không bị phát Các chữ ký điện tử tương ứng với giao dịch lưu lại giúp ngân hàng có đầy đủ chứng để chống lại việc khách hàng từ chối thực giao dịch Mặc dù phải đầu tư chi phí cao việc trì hoạt động phức tạp hơn, giải pháp chữ ký điện tử thực lựa chọn cung cấp tính an tồn cao cho ngân hàng Một giải pháp cung cấp đầy đủ tính chất bảo mật giúp khách hàng hồn tồn tin tưởng nâng cao uy tín ngân hàng môi trường cạnh tranh Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 97 - KẾT LUẬN Được trình bày chương bao gồm việc tìm hiểu lý thuyết, đề xuất phương án tích hợp thử nghiệm, đánh giá mức độ an toàn phương án, luận văn "Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng" hoàn thành công việc sau đây: - Về lý thuyết: Luận văn tìm hiểu trình bày lý thuyết tổng quan xác thực người dùng, hạ tầng khóa cơng khai PKI ứng dụng chữ ký điện tử PKI Đồng thời, luận văn khai thác giải pháp xác thực hai yếu tố hãng RSA Securiry giải pháp chữ ký điện tử SecureMetric để tích hợp vào mơ hình minh họa - Về giải pháp đề xuất: Dựa vào sở lý thuyết tìm hiểu được, luận văn đề xuất hai chế tích hợp để nâgn cao tính an tồn bảo mật hoạt động ngân hàng Các chế đề xuất đáp ứng yêu cầu đặt tương đối phù hợp để triển khai vào mơ hình ngân hàng thực tế - Về thử nghiệm minh họa: Luận văn áp dụng hai giải pháp tìm hiểu vào chế đề xuất để minh họa đánh giá mức độ an toàn đáp ứng yêu cầu chế Tuy nhiên, tác giả tự nhận thấy luận văn số hạn chế: - Luận văn đề xuất chế tích hợp nhằm nâng cao tính an tồn cho pha riêng lẻ hoạt động ngân hàng, chưa đưa mơ hình tích hợp tổng thể vào tất pha cần nâng cao tính bảo mật hoạt động ngân hàng - Giải pháp tích hợp chữ ký điện tử đạt tính chất bảo mật thông tin định trường hợp ngân hàng chưa có hạ tầng PKI với chế cấp phát, hủy bỏ, quản lý chứng thực giải pháp địi hỏi ngân hàng phải tự xây dựng hạ tầng PKI, địi hỏi chi phí tương đối cao Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 98 - Lựa chọn lĩnh vực không xác thực người dùng ứng dụng hạ tầng PKI, nhiên, luận văn tập trung khai thác vào khía cạnh ứng dụng thực tiễn Các giải pháp đưa đồ án nâng cao tính bảo mật quy trình xác thực người dùng thực giao dịch trực tuyến không lĩnh vực ngân hàng Trong hoàn cảnh nước ta nay, ngày nhiều ngân hàng bắt đầu tập trung đầu tư vào biện pháp để tăng tính an tồn bảo mật thơng tin giải pháp mang tính thực tiễn cao, hồn tồn đưa vào triển khai để đáp ứng yêu cầu ngân hàng Các giải pháp giúp ngân hàng hoàn toàn yên tâm để cung cấp dịch vụ trực tuyến thực giao dịch tài quan trọng với khách hàng, với ngân hàng, cơng ty chứng khốn tài khác Khi áp dụng giải pháp đề xuất vào mơ hình ngân hàng cụ thể, tác giả hi vọng khắc phục hạn chế nêu để đưa mơ hình thiết kế tổng thể, tích hợp chế vào tồn pha cần thiết hoạt động ngân hàng Cùng với giải pháp phần cứng phần mềm khác, tác giả mong muốn đề xuất áp dụng để nâng cao mức an toàn chế hoạt động ngân hàng Trong trình thực hiện, nội dung luận văn chắn khơng tránh khỏi thiếu sót chưa đầy đủ Tác giả mong nhận ý kiến phê bình, đóng góp thầy giáo Hội đồng người quan tâm để giải pháp đề xuất tiếp tục hoàn thiện áp dụng thực tiễn Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 99 - TÀI LIỆU THAM KHẢO Tiếng Việt Nguyễn Quang Trung (2007), Giải pháp xác thực mạnh hai yếu tố cho dịch vụ tài trực tuyến Internet Banking, chứng khốn, Cơng ty cổ phần phát triển phần mềm hỗ trợ công nghệ Tiếng Anh 2, Carlisle Adams, Steve Lloyd (2002), Understanding PKI: Concepts, Standards, and Deployment Considerations, Addison Wesley 3, C Sanchez-Avila, R Sanchez-Reillo (2001), The Rijndael Block Cipher (AES Proposal): A Comparison with DES, IEEE 4, Dobromir Todorov (2007), Mechanics of User Identification and Authentication, Auerbach Publications, New York 5, Securemetric Technology Sdn Bhd (2008), Developer's Guide 6, RSA Security Inc (2005), RSA Authentication Manager 6.1 - Administrator Guide Các website: 7, http://rsa.com/ 8, http://securemetric.com/ Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 100 - TÓM TẮT LUẬN VĂN Xuất phát từ nhu cầu thực tế, rủi ro liên quan đến vấn đề an tồn bảo mật thơng tin ngày gia tăng số lượng mức độ ảnh hưởng tổ chức tài nói chung ngân hàng nói riêng, luận văn "Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng" tập trung tìm hiểu vấn đề xác thực người dùng cách an toàn ứng dụng hạ tầng khóa cơng khai PKI Bao gồm phần mở đầu, kết luận chương nội dung, luận văn tìm hiểu lý thuyết tổng quan xác thực người dùng, cách kết hợp yếu tố xác thực, thành phần mơ hình hoạt động hạ tầng PKI ứng dụng chữ ký điện tử hạ tầng PKI Dựa vào sở lý thuyết trên, luận văn đề xuất giải pháp tích hợp xác thực hai yếu tố vào quy trình xác thực nhân viên tích hợp chữ ký điện tử để thực giao dịch trực tuyến ngân hàng, đồng thời đưa mơ hình minh họa để đánh giá tính an tồn khả đáp ứng u cầu thực tiễn giải pháp Với việc nghiên cứu vấn đề lý thuyết khía cạnh ứng dụng yêu cầu ngân hàng nước, giải pháp đề xuất luận văn mang tính thực tiễn cao, áp dụng không hoạt động ngân hàng để nâng cao tính bảo mật q trình xác thực người dùng trao đổi thông tin trực tuyến Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 101 - THESIS ABSTRACT Arisen from practical needs, in the context that risks related to information security increase to a greater extent in both number of cases and impact level to financial institutions in general, and banks in particular, the thesis "Application of two-factor authentication and digital signature in banking practice“ focuses researching on user authentication problems securely and one application of public key infrastructure (PKI) Composed of preface, chapters of content, and conclusion, the thesis studies general theories of user authencation, methods to integrate authentication factors, the components and operation model of PKI, and digital signature application based on PKI infrastructure Based on the above mentioned theories, the thesis also suggests a two-factor authentication integrated solution into staff authentication process and integrate digital signature to proceed online tractions in a bank, as well as provide an illustrated model to assess security level and requirement compliance capacity of the solutions In accordance with study theoretical problems in aspect of application and current requirements of domestic banks, the solutions suggested in the thesis have high practical merit, can be applied not only in banking operation to enhance security level of user authencation process and online information exchange Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng ... Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 33 - thống xác thực hai yếu tố giúp trình xác thực tương tác hai chiều, bảo đảm tối đa tính an toàn cho hoạt động -... thống xác thực yếu tố dựa mật lên xác thực hai yếu tố" Người hướng dẫn khoa học: TS Nguyễn Linh Giang Học viên: Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng. .. Đỗ Quang Hùng Ứng dụng xác thực hai yếu tố chữ ký điện tử vào hoạt động ngân hàng - 23 -  Cái mà bạn có (Something you have): Yếu tố xác thực dựa việc sở hữu thẻ xác thực Thẻ xác thực thẻ thơng