1 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NÔNG THỊ LÂM NGHIÊN CỨU ỨNG DỤNG OTP TRÊN THIẾT BỊ DI ĐỘNG Chuyên ngành: Truyền liệu Mạng máy tính Mã số: 60.48.15 TĨM TẮT LUẬN VĂN THẠC SỸ KỸ THUẬT Người hướng dẫn khoa học: TS PHẠM HOÀNG DUY HÀ NỘI - 2011 MỞ ĐẦU Hiện với phát triển nhanh chóng dịch vụ online (trực tuyến) đưa đến việc tăng nhanh số lượng chứng thực số khác mà người dùng cần quản lý Kết người dùng cảm thấy tải với chứng thực này, việc làm cho người dùng khó khăn việc quản lý chúng an tồn Hiện mật kiểu chứng thực sử dụng phổ biến Tuy nhiên mật yếu thói quen xấu lại mối đe dọa an ninh giao dịch trực tuyến Một giải pháp đưa để giúp người dùng việc tạo quản lý mật cung cấp cho người dùng thiết bị phần cứng để tạo OTP (OneTime-Password) – mật sử dụng lần cho phiên giao dịch Tuy nhiên hầu hết giải pháp không đủ khả mở rộng không tiện dụng cho người dùng không đủ an tồn Giải pháp đưa sử dụng thuật toán đáng tin cậy điện thoại di động để tạo OTP Do chọn đề tài nghiên cứu “Nghiên cứu ứng dụng OTP thiết bị di động” Nội dung nghiên cứu bao gồm:  Nghiên cứu lý thuyết OTP: khái niệm, mơ hình sinh, hàm băm (tập trung vào SHA), khuyến nghị  Nghiên cứu ứng dụng OTP giao dịch trực tuyến môi trường di động  Xây dựng chương trình mơ Cấu trúc nội dung luận văn bao gồm phần sau: Chương 1: Cơ sở lý thuyết Chương trình bày khái niệm OTP, mơ hình sinh mã OTP, hàm băm khuyến nghị tiêu chuẩn cho việc tạo xác thực mã OTP Chương 2: Ứng dụng OTP cho giao dịch trực tuyến môi trường di động Chương nghiên cứu mô hình ứng dụng OTP mơi trường di động việc ứng dụng OTP giao dịch trực tuyến Chương 3: Xây dựng phần mềm ứng dụng OTP mơi trường di động Chương trình bày ngắn gọn chương trình thử nghiệm xây dựng luận văn, tập trung xây dựng q trình sinh xác thực sử dụng mã OTP Chương 4: Nhận xét, đánh giá đề xuất Chương khái quát lại hệ thống xây dựng đưa số nhận xét Kết luận: Phần tóm tắt kết mà luận văn đạt đề xuất hướng nghiên cứu thời gian tới 4 CHƯƠNG – CƠ SỞ LÝ THUYẾT 1.1 Khái niệm OTP OTP mật có giá trị phiên đăng nhập làm việc OTP sử dụng lần cho việc xác thực người dùng cho người dùng xác thực giao dịch OTP thường sử dụng giao dịch điện tử hệ thống xác thực chặt chẽ 1.2 Khái niệm hàm băm 1.2.1 Khái niệm hàm băm Chức hàm băm thực ánh xạ tin có chiều dài khác thành đoạn băm có kích thước cố định Đoạn băm tạo thường có kích thước nhỏ nhiều so với tin ban đầu Một giá trị đoạn băm h sinh hàm băm H có dạng: h = H (M) đó: M tin có chiều dài tùy ý h giá trị băm chiều dài cố định 1.2.2 Thuật toán băm bảo mật SHA 1.3 Khái niệm tính tốn tin cậy (TC - Trusted computing) 1.4 Các mơ hình sinh OTP Có hai mơ hình thường sử dụng để sinh mã OTP là: sinh mã OTP theo thời gian sinh mã OTP theo kiện 5 1.4.1 Mơ hình sinh mã OTP theo thời gian Theo chế này, người dùng cấp thiết bị sinh mã gọi token Bên token gồm có ba thành phần là: mã seedcode, đồng hồ đếm thời gian, thuật tốn mã hóa chiều  Mã seedcode: mã nhà sản xuất cài đặt sẵn token Mỗi token có mã seedcode khác Và mã seedcode lưu lại hệ thống nhà cung cấp dịch vụ tương ứng với tên truy nhập người dùng  Đồng hồ đếm thời gian: đồng hồ token, đồng với đồng hồ hệ thống trước giao cho người dùng Mỗi người dùng bấm nút sinh mã, token lấy biến thời gian đồng hồ Biến thời gian lấy chi tiết đến phút, 30 giây  Thuật tốn mã hóa: sử dụng thuật tốn băm SHA Hình 1.3 Mơ hình chế sinh mã ngẫu nhiên dựa theo thời gian 6 1.4.2 Mơ hình sinh mã OTP theo kiện Trong chế người dùng cấp token trên, bên token có đếm kiện thay đồng hồ đếm thời gian Sự kiện nhắc đến kiện mà người dùng bấm nút sinh mã Token Mỗi token chứa số mã hữu hạn, có thứ tự khơng thay đổi Số lượng mã hữu hạn gọi cửa sổ Kích thước cửa sổ lớn độ bảo mật giải pháp cao Để hiểu rõ chế ta xét ví dụ Trong ví dụ này, token lấy kích thước cửa sổ 10, tức token chứa 10 mã cố định có thứ tự, hình 1.4 Hình 1.4 Mơ hình chế sinh mã ngẫu nhiên dựa theo kiện 1.5 Các khuyến nghị tiêu chuẩn cho OTP Thuật toán băm: Độ an tồn mã OTP phụ thuộc tính bảo mật hàm băm Tất hệ thống sử dụng OTP phải hỗ trợ MD5, nên hỗ trợ SHA hỗ trợ MD4 Các thuật tốn băm chấp nhận đầu vào tùy ý đầu cố định Khuôn dạng đầu vào: Cấu trúc từ đố: otp- Khn dạng đầu ra: OTP tạo thủ tục có 64 bit chiều dài Việc nhập vào 64 bit khó khăn dễ gây lỗi cho người sử dụng nhập tay Do OTP chuyển đổi thành chuỗi từ ngắn (mỗi từ bao gồm ký tự) theo chuẩn ISO-646 IVCS Mỗi từ chọn từ từ điển gồm 2048 từ, 11 bit cho từ, tất OTP mã hóa 8 CHƯƠNG – ỨNG DỤNG OTP CHO CÁC GIAO DỊCH TRỰC TUYẾN TRONG MƠI TRƯỜNG DI ĐỘNG 2.1 Mơ hình triển khai OTP mơi trường di động 2.2 Ứng dụng OTP cho việc xác thực tài khoản giao dịch trực tuyến Trong phạm vi luận văn, xây dựng hệ thống sử dụng OTP để xác thực tài khoản giao dịch trực tuyến Hệ thống bao gồm: khách hàng, web server thiết bị di động người sử dụng dùng để tạo mã OTP Để thực việc xác thực hai yếu tố khách hàng phải đăng kí tài khoản với nhà cung cấp dịch vụ (server) Server cung cấp cho người sử dụng thông tin tài khoản để xác thực hệ thống Những thông tin lưu vào sở liệu server Tiến hành cài đặt phần mềm đồng thời gian với server cho thiết bị di động 9 Q trình đăng kí: User Server Server Đăng kí thơng tin (usename, password, pin, seedcode…) Account(usename, password, pin, seedcode…) Lưu thông tin vào CSDL Hình 2.1 Q trình đăng kí Người sử dụng cần xác thực trang web chạy chương trình ứng dụng điện thoại họ Sau nhập thơng tin mà chương trình u cầu để lấy mã OTP Người sử dụng cần xác thực trang web chạy chương trình ứng dụng điện thoại họ Sau nhập thơng tin mà chương trình yêu cầu để lấy mã OTP 10 Quá trình tạo mã OTP: User Mobile Nhập (PIN, seedcode) Sinh mã OTP Mã OTP Hình 2.2 Quá trình tạo mã OTP Sau lấy mã OTP nhập vào trang web với usename password mà họ đăng kí với nhà cung cấp dịch vụ Server sau nhận thông tin xác thực khách hàng tiến hành kiểm tra hợp lệ thông tin trả lại kết xác thực cho khách hàng 11 Xác thực mã OTP: User Web Server Nhập (username, password , OTP) Xác thực tài khoản Thông tin xác thực Hình 2.3 Quá trình xác thực mã OTP 12 CHƯƠNG – XÂY DỰNG PHẦN MỀM ỨNG DỤNG OTP TRONG MƠI TRƯỜNG DI ĐỘNG 3.1 Mơ tả hệ thống sử dụng OTP điện thoại di động Hệ thống xác thực phi kết nối Quá trình tạo mã OTP phi kết nối Người sử dụng cần đăng nhập Ví dụ vào trang web yêu cầu bảo mật Mã OTP tạo có hiệu lực khoảng thời gian xác định tương ứng với người dùng nhập vào Người sử dụng khởi động phần mềm thiết bị di động họ Người sử dụng nhập username mã PIN Người sử dụng lấy mã OTP vừa tạo để xác thực website Người sử dụng lựa chọn nút tạo mã OTP chương trình Hình 3.1 Quá trình tạo mã OTP phi kết nối 13 Thứ hai trình tạo mã OTP dựa tin nhắn SMS Người sử dụng cần đăng nhập Ví dụ vào trang web yêu cầu bảo mật Người sử dụng gửi tin nhắn SMS mã hóa tới server Server đối chiếu thông tin với sở liệu để đảm bảo người sử dụng hệ thống KT người sử dụng Sai Server nhận tin nhắn SMS Server bỏ qua tin nhắn SMS Đúng Server giải mã chia tin nhắn SMS thành phần: Số điện thoại người gửi Username PIN Số IMEI Server tạo mật cập nhật Mật mã hóa sử dụng khóa đối xứng chia sẻ server người sử dụng Server gửi mã OTP đến người sử dụng thơng qua tin nhắn SMS Hình 3.2 Quá trình tạo mã OTP dựa tin nhắn SMS 3.2 Xây dựng ứng dụng Để mô ứng dụng OTP cho việc xác thực tài khoản giao dịch trực tuyến, luận văn tập trung xây dựng chương trình ứng dụng theo phương pháp phi kết nối Ứng dụng gồm hai phần: phần thứ chương trình xác thực bên server thứ hai 14 chương trình chạy thiết bị di động để tạo mã OTP Hình 3.3 mơ tả quy trình sử dụng OTP luận văn Mobile Phone Khách hàng Trình duyệt Web Yêu cầu toán Bắt đầu Server Gửi thông tin đến Server Yêu cầu xác thực tài khoản Sinh mã OTP Xác thực thông tin tài khoản (tên, mật khẩu, mã otp) Gửi thông tin tài khoản đến server Nhận thông tin Thông báo giao dịch thất bại Not OK Kết thúc Thông báo thành công Kiểm tra OK Thực giao dịch Hình 3.3 Mơ hình sử dụng OTP xác thực tài khoản - Điều kiện tiên quyết: o Khách hàng phải đăng kí thơng tin tài khoản với server cài phần mềm sinh mã OTP thiết bị di động - Chú thích: o Kiểm tra OK khách hàng nhập thông tin xác thực: username, mật khẩu, mã OTP 15 Phần mềm bên server xây dựng dạng web server Phía server dựa vào thơng tin tài khoản mã OTP mà người dùng cung cấp đưa định cho phép người dùng toán hay từ chối yêu cầu Phần mềm tương tác với sở liệu lưu thông tin khách hàng tài khoản họ Cơ sở liệu sử dụng ứng dụng mysql Phía client chạy chương trình ứng dụng tạo mã OTP cho khách hàng Chương trình ứng dụng xây dựng tảng ngôn ngữ java chạy hệ điều hành android Android hệ điều hành điện thoại di động phát triển Google dựa tảng Linux sử dụng thư viện Java (một số thư viện Google phát triển cho Android) Môi trường xây dựng ứng dụng eclipse (Eclipse IDE for Java Developer) tích hợp plugin android gọi ADT (Android Development Tools – Các công cụ phát triển Android) cài đặt android SDK (Software Development Kit) Google android SDK công cụ Google xây dựng phát hành để phát triển ứng dụng cho hệ điều hành android Android SDK cung cấp tập hợp công cụ phong phú, bao gồm trình gỡ rối, thư viện, trình mơ thiết bị cầm tay, tài liệu, mã mẫu hướng dẫn 16 3.2.1 Giao diện bên server Hinh 3.5 Giao diện trang chủ Hình 3.6 Giao diện xác thực tài khoản 17 3.2.2 Giao diện bên client Hình 3.7 Giao diện tạo mã otp giả lập Android 18 CHƯƠNG – NHẬN XÉT ĐÁNH GIÁ VÀ ĐỀ XUẤT Luận văn xây dựng chương trình mơ sử dụng xác thực OTP cho toán trực tuyến dựa mơ hình sinh mã dựa thời gian Hệ thống bao gồm hai phần: phần mềm cho server xác thực phần mềm sinh mã OTP thiết bị di động Thiết bị di động server sử dụng hàm băm an toàn SHA1 cho việc sinh xác thực mã OTP Bên thiết bị di động mã OTP tạo với tham số: thời gian thực, seed mã PIN người sử dụng Mã PIN không lưu trữ thiết bị di động dùng để đảm bảo người sử dụng hợp pháp Mã PIN có chiều dài ký tự Bên phía server thực băm với đầu vào thời gian thực, seed mã PIN người dùng Kết đem so sánh với mã OTP mà người dùng nhập vào để đưa định Các tham số đầu vào để tạo mã OTP hệ thống:  Seed: bao gồm 20 kí tự  Mã PIN: mã PIN có chiều dài kí tự lưu server dạng đoạn băm để đảm bảo an toàn cho hệ thống  Thời gian thực: thời gian bao gồm: năm, tháng, ngày, giờ, phút (chữ số đầu số phút) Các tham số kết nối với đưa qua hàm băm SHA1 Đầu thuật tốn băm trình bày dạng số hexa 40 ký 19 tự (160 bit) Đầu chuyển dạng dễ đọc cho người sử dụng gồm từ với 12 ký tự Mật OTP hợp lệ mười phút giảm nguy bị công đồng thời tạo thuận tiện cho người sử dụng, người sử dụng cần khoảng thời gian để đọc nhập mã OTP Mã PIN có độ dài ký tự bao gồm chữ số khơng chứa dấu cách đảm bảo khó đốn bị cơng brute-forced hacker Mã PIN không lưu trữ điện thoại di động người dùng để đảm bảo trường hợp khách hàng điện thoại Độ an toàn hệ thống phụ thuộc vào độ an toàn hàm băm Đối với cơng brute-force độ khó khăn để tính tốn tin có kích cỡ đoạn băm 160 bit tạo thuật toán băm SHA1 cần 280 phép tính So sánh hệ thống với yêu cầu đưa khuyến nghị: Thuật toán: luận văn sử dụng chung thuật toán băm SHA1 cho client server, SHA1 thuật toán băm đưa khuyến nghị Khuôn dạng đầu vào:  Seed: đáp ứng chiều dài theo khuyến nghị (từ 16 ký tự trở lên) nhiên chưa đáp ứng yêu cầu loại bỏ dấu cách chuyển sang dạng chữ thường trước xử lý  Từ đố: cấu trúc từ đố tuân thủ cú pháp khuyến nghị nhiên để tăng độ an toàn mã OTP luận văn thêm mã PIN vào từ đố 20 Khuôn dạng đầu ra: đầu đưa dạng hexa tuân thủ theo khuyến nghị nhiên luận văn chưa đưa đầu dạng chuẩn từ Trong khuyến nghị sử dụng đầu 64 bit đầu sử dụng thuật toán SHA1 160 bit Thay đổi cụm mật khẩu: hệ thống xây dựng không hỗ trợ người dùng thay đổi cụm mật từ xa 21 KẾT LUẬN Ngày với phát triển nhanh chóng internet u cầu giao dịch trực tuyến ngày tăng nhanh, yêu cầu đặt phải xây dựng hệ thống đảm bảo an toàn Hiện hệ thống xác thực hai yếu tố dùng OTP sử dụng để tăng thêm độ an toàn cho hệ thống đồng thời phải tiện dụng cho người sử dụng Xuất phát từ yêu cầu luận văn nghiên cứu trình bày số vấn đề sau:  Nghiên cứu tầm quan trọng lý thuyết việc tạo mã OTP  Nghiên cứu mô hình sinh mã OTP  Nghiên cứu việc ứng dụng OTP vào toán trực tuyến  Xây dựng chương trình thử nghiệm sử dụng điện thoại di động cho việc xác thực mã OTP cho toán trực tuyến  Đánh giá hệ thống xây dựng Một số vấn đề tiếp tục nghiên cứu đề xuất  Mở rộng chức chứng thực, xác định tài khoản xác định quyền cho chủ sở hữu chứng thực quyền truy nhập tới tài ngun đó…  Xây dựng mơ hình sử dụng OTP theo chế tự động kích hoạt suốt với người sử dụng 22 TÀI LIỆU THAM KHẢO TÀI LIỆU TIẾNG VIỆT TÀI LIỆU TIẾNG ANH [1]: F Aloul, S Zahidi, W El-Hajj (2009), “Multi Factor Authentication Using Mobile Phones” [2]: Alzomai, Mohammed, Audun and Josang (2010 September 31), “The Mobile Phone as a Multi OTP Device Using Trusted Computing” [3]: Chao-Wen Chan and Chih-Hao Lin (2008), “A New Credit Card Payment Scheme Using Mobile Phones Based on Visual Cryptography” [4]: Josh Benaloh, Trevor William Freeman, K John Biccum, Ttul Kumar Shal (2010 October 14), “One time password key ring for mobile computing device” [5]: Jan-Erik Ekberg, Markku Kylanpaa (2007 November 14), “Mobile Trusted Module (MTM) - an introduction” [6]: Kjell Jorgen Hole, Lars Hopland Nestas, and Havard Raddum (2010 January), “Security Analysis of Mobile Phones Used as OTP Generators” [7]: Junrusu, Xiaomin Zhu, Xiaopu Shang, Chuanchen Wang (2010 November), “Study on an OTP Identity Authentication Scheme in Mobile Commerce” 23 [8]: Nicolai Kuntze, Gunther Diederich, Karsten Sohr, Kai-Oliver Detken, “Secure mobile business information processing” [9]: FIPS 180-2 (2002 August 1), Secure Hash Standard [10]: Network Working Group (February 1998), RFC2289 [11]: Network Working Group (December 2005), RFC4226 WEBSITE [12]: http://www.androidpit.com [13]: http://csrc.nist.gov [14]: http://motp.sourceforge.net/ [15]: http://www.trustedcomputinggroup.org/ ... đưa sử dụng thuật toán đáng tin cậy điện thoại di động để tạo OTP Do chọn đề tài nghiên cứu ? ?Nghiên cứu ứng dụng OTP thiết bị di động? ?? Nội dung nghiên cứu bao gồm:  Nghiên cứu lý thuyết OTP: khái... mã OTP, hàm băm khuyến nghị tiêu chuẩn cho việc tạo xác thực mã OTP Chương 2: Ứng dụng OTP cho giao dịch trực tuyến môi trường di động Chương nghiên cứu mô hình ứng dụng OTP mơi trường di động. .. việc tạo mã OTP  Nghiên cứu mô hình sinh mã OTP  Nghiên cứu việc ứng dụng OTP vào toán trực tuyến  Xây dựng chương trình thử nghiệm sử dụng điện thoại di động cho việc xác thực mã OTP cho toán