Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 58 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
58
Dung lượng
1,81 MB
Nội dung
i ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CNTT VÀ TRUYỀN THƠNG NGUYỄN THÀNH LONG NGHIÊN CỨU, TÌM HIỂU PHƯƠNG PHÁP XÁC THỰC DÙNG MẬT KHẨU SỬ DỤNG MỘT LẦN (OTP) VÀ ỨNG DỤNG TRONG GIAO DỊCH TRỰC TUYẾN THÁI NGUYÊN 2016 ii LỜI CẢM ƠN Tôi xin chân thành cảm ơn Trường Đại học Công nghệ thông tin Truyền thông - Đại học Thái Nguyên tạo điều kiện thuận lợi cho tơi hồn thành khóa học Tôi xin chân thành cảm ơn Thầy Cô giáo – Các nhà khoa học trực tiếp giảng dạy truyền đạt kiến thức chuyên ngành Khoa học máy tính cho tơi tháng năm học tập trường Đặc biệt tơi xin bày tỏ lịng biết ơn chân thành sâu sắc tới TS Trần Đức Sự tận tình hướng dẫn, dìu dắt bảo cho kiến thức chuyên môn thiết thực dẫn khoa học quý báu để hồn thành luận văn Luận văn cịn nhiều thiếu sót, mong thầy giáo hội đồng chấm luận văn xem xét, góp ý kiến để luận văn hồn thiện Tơi xin chân thành cảm ơn! Thái Nguyên, tháng năm 2016 iii LỜI CAM ĐOAN Tôi xin cam đoan luận văn "Nghiên cứu, tìm hiểu phương pháp xác thực dùng mật sử dụng lần (OTP) ứng dụng giao dịch trực tuyến" cơng trình nghiên cứu hướng dẫn khoa học TS Trần Đức Sự Các kết liệu sử dụng luận văn trung thực chưa cơng bố tại cơng trình khác Tác giả luận văn Nguyễn Thành Long iv DANH MỤC BẢNG VÀ HÌNH VẼ Hình 2.1 Xác thực mật lần theo Lamport 15 Hình 2.2 Tấn cơng MITD lên giao thức xác thực sử dụng OTP theo Lamport 16 Hình 2.3 Thiết bị phần cứng Token sinh mật OTP 18 Hình 2.4 Chia sẻ giá trị bí mật sinh OTP hai bên xác thực 18 Hình 2.5 Sơ đồ mơ tả thuật tốn HOTP sinh mật OTP 19 Hình 2.6 Sơ đồ tổng thể xác thực với OTP sinh phía verifier 24 Hình 2.7 Mơ hình chức DRBG 26 Hình 2.8 Tin nhắn SMS cung cấp mật OTP 29 Hình 2.9 Email cung cấp mật OTP 30 Hình 2.10 Lựa chọn dịch vụ ngân hàng để giao dịch 33 Hình 2.11 Thơng tin khách hàng thực giao dịch 34 Hình 2.12 Xác nhận giao dịch ngân hàng 34 Hình 2.13 Website Thương mại điện tử 35 Hình 2.14 Cổng toán sử dụng xác thực với OTP 39 Hình 2.15 Nhập mật OTP xác thực thơng tin tốn 40 Hình 3.1 Quá trình đăng ký 43 Hình 3.2 Quá trình trình sinh mã OTP 44 Hình 3.3 Quá trình xác thực mã OTP 44 Hình 3.4 Mơ hình sử dụng OTP để xác thực tài khoản hệ thống học trực tuyến 45 Hình 3.5 Xác thực thơng tin người học 46 Hình 3.6 Mật OTP sinh máy tính người dùng 47 Hình 3.7 Mật OTP xác thực 47 Hình 3.8 Giao diện nội dung thi 48 DANH MỤC KÝ HIỆU VÀ VIẾT TẮT v Ký hiệu Ý nghĩa ký hiệu OTP One Time Password PIN Personal Identification Number DRBG PRNG Deterministic Random Bit Generator Pseudorandom Number Generator HOTP HMAC-Based One-Time Password Algorithm TOTP Time - Based One Time Password HMAC Hash message authentication code MITD Man-in-the-middle Claimant Bên yêu cầu xác thực Verifier Bên xác thực C Counter K Key T Time CSDL Cơ sở liệu vi MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN iii DANH MỤC BẢNG VÀ HÌNH VẼ iv MỤC LỤC vi MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ XÁC THỰC 1.1 Khái niệm xác thực 1.2 Các yếu tố xác thực 1.3 Một số phương pháp xác thực 1.3.1 Xác thực dựa định danh người sử dụng (Username) mật (Password) 1.3.2 Sử dụng giao thức bắt tay có thử thách (Challenge Handshake Authentication Protocol – CHAP) 1.3.3 Xác thực Kerberos 1.3.4 Xác thực sử dụng token 1.3.5 Xác thực áp dụng phương pháp nhận dạng sinh trắc học (Biometrics) 1.3.6 Phương thức xác thực lẫn (Mutual Authentication) 1.3.7 Xác thực đa yếu tố CHƯƠNG 2: PHƯƠNG PHÁP XÁC THỰC SỬ DỤNG MẬT KHẨU MỘT LẦN (OTP) 10 2.1 Giới thiệu mật OTP 10 2.1.1 Khái niệm mật OTP 10 2.1.2 Mục đích ý nghĩa mật OTP 10 2.1.3 Yêu cầu mật OTP 12 2.1.4 Phân loại chế sử dụng mật OTP 12 2.2 Xác thực với otp sinh phía claimant 13 2.3 Xác thực với OTP sinh hai phía 16 vii 2.3.1 Sinh OTP dựa việc đồng bộ đếm 16 2.3.2 Sinh OTP dựa việc đồng thời gian 20 2.4 Xác thực với OTP sinh phía verifier 24 2.4.1 Sơ đồ tổng thể xác thực với OTP sinh phía verifier 24 2.4.2 Sinh số ngẫu nhiên theo NIST SP 800-90A 25 2.4.3 Phương pháp phân phối OTP 29 2.5 Một số ứng dụng OTP thực tế 32 2.5.1 Ứng dụng OTP giao dịch ngân hàng 32 2.5.2 Ứng dụng (OTP) cho hệ thống giao dịch trực tuyến 35 CHƯƠNG 3: ỨNG DỤNG MẬT KHẨU OTP CHO HỆ THỐNG HỌC TẬP TRỰC TUYẾN 41 3.1 Đặt vấn đề 41 3.2 Ứng dụng mật OTP cho hệ thống học tập trực tuyến 42 3.2.1 Thuật toán TOTP: 42 3.2.2 Ứng dụng OTP cho việc xác thực tài khoản học tập trực tuyến 43 3.3 Xây dựng chương trình ứng dụng sinh OTP cho hoạt động học tập trực tuyến 45 3.3.1 Mô tả hoạt động hệ thống học tập trực tuyến sử dụng mật OTP 45 3.3.2 Cài đặt chương trình 46 3.3.3 Kết thử nghiệm 46 3.3.4 Đánh giá 48 KẾT LUẬN VÀ KIẾN NGHỊ 50 Kết luận 50 Kiến nghị 50 Hướng phát triển đề tài 50 TÀI LIỆU THAM KHẢO 51 MỞ ĐẦU Lý chọn đề tài Hiện nay, mạng Internet mở rộng nhu cầu sử dụng dịch vụ, trao đổi thông tin, liệu người dùng qua mạng tăng lên, trở thành vấn đề cần quan tâm đáp ứng Tuy nhiên, bên cạnh lợi ích mà Internet mang lại tiềm ẩn hiểm họa nguy an toàn tài khoản ngân hàng cá nhân, tài khoản toán giao dịch trực tuyến, bị đánh cắp sử dụng vào mục đích bất hợp pháp Chính vậy, có nhiều giải pháp nhằm đảm bảo an tồn cho thông tin người sử dụng triển khai thiết lập, quản lý tài khoản người dùng thông qua Username Password, xác thực truy cập sử dụng dịch vụ, số giải pháp bảo vệ hệ thống Web sử dụng hệ thống phát xâm nhập, tường lửa để ngăn chặn cảnh báo truy cập trái phép vào hệ thống, công cụ quét phát mã độc hại tiềm ẩn Website, phương pháp xác thực người dùng sử dụng dịch vụ mạng điều quan trọng, giúp đảm bảo an tồn cho hệ thống đảm bảo thơng tin riêng cho người dùng Đối với phương pháp xác thực phổ biến sử dụng tài khoản đăng nhập người dùng gồm Username Password bộc lộ điểm yếu bị đánh cắp trường hợp máy tính người dùng bị cài đặt phần mềm, chương trình có khả ăn cắp liệu, hay q trình trao đổi thơng tin qua mạng bị nghe đường truyền, bị chuyển hướng đến trang Web chứa mã độc hại bị lừa đảo chiếm tài khoản Để đảm bảo an toàn cho người dùng, tránh nguy an tồn thơng tin đó, nhà cung cấp dịch vụ áp dụng phương pháp xác thực mạnh kết hợp yếu tố có từ người dùng Username, Password, mã PIN, đặc điểm sinh trắc học, Trong đó, phương pháp xác thực hai nhân tố với mật sử dụng lần (OTP) kết hợp thông tin Username, Password người dùng áp dụng phổ biến giao dịch ngân hàng trực tuyến, mua sắm, toán giao dịch trực tuyến Website thương mại điện tử Mật OTP áp dụng giúp nâng cao an toàn cho người dùng cho hệ thống trình xác thực trước sử dụng cung cấp dịch vụ Mật OTP linh hoạt, thuận tiện cho người dùng gửi thông qua tin nhắn SMS tới số điện thoại di động, Email người dùng, hay thông qua thiết bị phần cứng Token sinh OTP trình xác thực giao dịch quan trọng ngân hàng, tốn trực tuyến Trong q trình thực làm luận văn tốt nghiệp thực nghiên cứu đề tài "Nghiên cứu, tìm hiểu phương pháp xác thực dùng mật sử dụng lần (OTP) ứng dụng giao dịch trực tuyến", đề tài có ý nghĩa thiết thực nghiên cứu chế sinh mật OTP, phương pháp phân phối, ứng dụng mật OTP thực tế Thơng qua hiểu rõ lý mật OTP áp dụng giải pháp nhằm nâng cao độ an toàn, tin cậy trình xác thực người dùng truy cập, sử dụng dịch vụ, tài nguyên giao dịch trực tuyến Đối tượng phạm vi nghiên cứu a Đối tượng: - Tập trung nghiên cứu đối tượng mật sử dụng lần OTP b Phạm vi: - Nghiên cứu ứng dụng mật sử dụng lần OTP giao dịch trực tuyến Hướng nghiên cứu đề tài - Tìm hiểu số phương pháp xác thực - Nghiên cứu xác thực sử dụng mật OTP - Tìm hiểu số ứng dụng mật OTP thực tế - Cài đặt thử nghiệm Những nội dung nghiên cứu Luận văn trình bày chương Các nội dung luận văn trình bày theo cấu trúc sau: Chương 1: Tổng quan xác thực Trình bày khái niệm xác thực, nhân tố xác thực, số phương pháp xác thực sử dụng Chương 2: Phương pháp xác thực sử dụng mật OTP Trình bày khái niệm otp, chế sử dụng mật otp, đưa số thuật toán sinh mật otp Chương 3: Ứng dụng OTP học tập trực tuyến Trình bày mơ hình hoạt động học trực tuyến, kỹ thuật sinh mật OTP, kết thử nghiệm hệ thống thi trắc nghiệm trực tuyến có sử dụng mật OTP 37 định, đặc biệt vấn đề an toàn, bảo mật hoạt động thương mại điện tử Đối với Website thương mại điện tử xây dựng mở rộng vấn đề đảm bảo an tồn cho khách hàng giao dịch, cho hệ thống Website quan tâm, trọng, có nhiều giải pháp áp dụng để nâng cao an toàn cho hệ thống Website thương mại điện tử cho người dùng Tuy nhiên, trước thực tế vài năm gần vấn đề an ninh mạng diễn phức tạp, nhiều cơng vào Website thực hiện, cịn tiềm ẩn nguy an tồn mơi trường hoạt động thương mại điện tử, hành vi lừa đảo, gian lận thực được, công khác phát tán mã độc hại nhằm mục đích đánh cắp thơng tin tài khoản, phá hoại hệ thống, hay công từ chối dịch vụ mức cao làm ngưng trệ hoạt động hệ thống thơng tin tổ chức, doanh nghiệp diễn Hơn nữa, mục tiêu mà kẻ công mạng nhằm vào thường liên quan đến q trình tốn trực tuyến, với mục đích khác lừa đảo, đánh cắp thơng tin tài khoản cá nhân, tài khoản ngân hàng mà khách hàng sử dụng giao dịch để sử dụng vào mục đích bất hợp pháp Vấn đề quản lý rủi ro, hạn chế nguy gây an toàn cho hoạt động thương mại điện tử, đặc biệt toán giao dịch trực tuyến Website thương mại điện tử trở nên quan trọng hết Nói riêng lĩnh vực thương mại điện tử, hệ thống toán trực tuyến Website thương mại điện tử, vấn đề xác thực yêu cầu quan trọng bảo mật toán trực tuyến, nhằm xác định danh tính người mua q trình tốn Thơng tin quan trọng khách hàng để truy cập dịch vụ thực giao dịch trực tuyến danh tính trực tuyến (Online Identity), với mục đích sử dụng thơng tin để chứng thực người khách hàng đăng ký với nhà cung cấp dịch vụ trước họ truy cập, thực giao dịch trực tuyến 38 Mục tiêu cơng Hackers muốn tìm cách đánh cắp chiếm danh tính trực tuyến khách hàng Các công phổ biến tận dụng Phishing, hình thức lừa đảo trực tuyến sử dụng thư điện tử giả mạo lừa người dùng cung cấp thông tin truy cập, giao dịch Website trực tuyến tài khoản đăng nhập giao dịch, tài khoản thẻ tín dụng Ngồi ra, cịn số hình thức cơng khác sử dụng Keylogger, cơng Bruteforce để tìm mật người dùng, Phương pháp xác thực trước mà Website thương mại điện tử sử dụng xác thực người dùng Username/Password, phương pháp xác thực nhân tố Khi hành vi lừa đảo ngày tinh vi, phức tạp, nguy an toàn mạng Internet gia tăng hệ thống xác thực sử dụng Username/Password khơng cịn đủ mạnh để bảo vệ thông tin khách hàng Trên thực tế có nhiều cơng nghệ phương pháp để xác thực danh tính giao dịch trực tuyến Những phương pháp sử dụng mật khẩu, số định danh cá nhân, chứng thư số, thiết bị bảo mật vật lý Smart Card, thiết bị phần cứng sinh mật OTP, sử dụng đặc điểm sinh trắc học để bảo vệ danh tính Với phương pháp mức độ bảo mật khác nhau, phụ thuộc vào môi trường sử dụng, công nghệ triển khai xác thực sử dụng sinh trắc học thường sử dụng điều kiện địi hỏi bảo mật cao, chi phí triển khai lại tốn Phương pháp xác thực đa nhân tố đảm bảo an toàn phương pháp xác thực đơn nhân tố để hạn chế chống lại nguy lừa đảo, giả mạo Các website thương mại điện tử lựa chọn nhà cung cấp dịch vụ toán (cổng toán) tin cậy để tránh rủi ro an toàn từ Internet khơng có bên thứ ba đảm bảo giao dịch trực tuyến Những cổng toán trực tuyến Paypal, Onepal, sử dụng chế xác thực động đa nhân tố, 39 kết hợp với thông tin giao dịch mã hóa theo giao thức SSL giao thức bảo mật phổ biến hoạt động thương mại điện tử Hình 2.14 Cổng toán sử dụng xác thực với OTP Trên Website thương mại điện tử nay, để xác thực danh tính khách hàng tốn giao dịch mua hàng thường sử dụng phương pháp xác thực hai nhân tố mật OTP Một số dịch vụ xác thực hai nhân tố sử dụng tảng xác thực thẻ thông minh Smart Card, phổ biến sử dụng mật lần OTP gửi tới điện thoại di động hay Email đăng ký từ trước khách hàng Việc khách hàng sử dụng e-Banking hay Internet Banking, Mobile Banking thuận tiện an toàn sử dụng xác thực hai nhân tố, cần sử dụng mật OTP có giá trị định phiên giao dịch đảm bảo an tồn cho khách hàng kết hợp Username/Password mã PIN chủ tài khoản với mật OTP quyền sở hữu thiết bị di động nhận OTP hay thiết bị phần cứng Token sinh OTP Thơng thường, q trình sử dụng mật lần OTP khách hàng thực toán trực tuyến gồm số bước sau: Bước 1: Khách hàng lựa chọn mặt hàng cần mua sau thực tốn 40 Bước 2: Chuyển sang giai đoạn toán, Website TMĐT yêu cầu khách hàng nhập tài khoản gồm Username Pasword mà khách hàng đăng ký từ trước Nếu đăng nhập thành công, Website gửi mật OTP qua tin nhắn tới số điện thoại di động khách hàng đăng ký Bước 3: Khách hàng nhập mật OTP nhận để xác thực thông tin tốn Hình 2.15 Nhập mật OTP xác thực thơng tin tốn Bước 4: Sau nhập mật OTP để xác thực thông tin toán, khách hành xác nhận tốn thành cơng Qua bước sử dụng mật OTP toán trực tuyến cho thấy phương pháp xác thực đảm bảo an toàn tốt cho danh tính khách hàng so với phương pháp xác thực với Username/Password, mật OTP phiên giao dịch khác (sử dụng lần cho phiên giao dịch), với thời gian hợp lệ định, tránh rủi ro tài khoản người dùng bị lộ khơng thực thành cơng khơng có mã OTP Ngoài việc hỗ trợ xác thực toán giao dịch ngân hàng, giao dịch thương mại điện tử, cịn sử dụng hỗ trợ xác thực đăng nhập sử dụng máy tính cá nhân xác thực đăng nhập tài khoản thư điện tử,… 41 CHƯƠNG 3: ỨNG DỤNG MẬT KHẨU OTP CHO HỆ THỐNG HỌC TẬP TRỰC TUYẾN 3.1 Đặt vấn đề Sự đời đạt thành tựu đột phá Công Nghệ Thông Tin khoa học ứng dụng kỷ 20 bước đệm quan trọng cho thành tựu khoa học công nghệ kỷ 21 kỷ niên Ở kỷ 21 lại chứng kiến phát triển bậc công nghệ qua hóa thân vào vai trị cơng cụ đắc lực cho phát triển người Đào tạo trực tuyến đời cách mạng dạy học kỷ 21 Ứng dụng giải pháp tiên tiến cơng nghệ để người dạy thiết kế phương tiện truyền tải kiến thức kỹ cách hữu hiệu tới người học Ngày nay, người học ngồi đâu vào lúc để “đến trường” mà đạt hiệu học tập tốt thơng qua cơng cụ hỗ trợ máy tính internet Ở Việt Nam, giáo dục đặc biệt giáo dục bậc đại học sau đại học, muốn rút ngắn khoảng cách chất lượng đào tạo với nước tiên tiến giới việc ứng dụng công nghệ thông tin cần thiết Học tập trực tuyến giải pháp ứng dụng công nghệ thông tin giáo dục dựa Internet nên cho phép sinh viên học lúc, nơi chủ động việc lập kế hoạch học tập Cho phép giáo viên cập nhật nội dung dạy cách thường xuyên nắm bắt mức độ thu nhận kiến thức người học thông qua hệ thống tự đánh giá Hiện nay, số trường học đặc biệt trường đai học chuyển dần sang đào tạo theo học chế tín Với lên lớp giáo viên, sinh viên phải tự học Một khó khăn hình thức việc tự học sinh viên em quen tâm lý học thụ động, thiếu kỹ tìm sử dụng tài liệu tham khảo Một khó khăn khác hình thức việc giáo 42 viên thực đánh giá học phần điểm học phần tính từ tất điểm đánh giá phận, giáo viên dễ mắc phải sai sót kết đánh giá khơng khách quan Ngồi ra, nhà trường phải tốn khoản chi phí khơng nhỏ cho khâu tổ chức thi như: cung cấp giấy làm bài, photo đề thi, … Để góp phần giải khó khăn học tập trực tuyến giải pháp hỗ trợ phù hợp Tuy nhiên hoạt động học tập thường diễn mơi trường có kết nối mạng Internet thông tin tài khoản, cá nhân dễ bị cơng Kẻ xấu sử dụng thơng tin chiếm đoạt vào mục đích bất hợp pháp gây ảnh hưởng lớn tới người dùng Và vấn đề đảm bảo an tồn thơng tin cho người dùng (ở học viên học tập trực tuyến) quan tâm hoạt động Với nội dung nghiên cứu luận văn em xin đưa giải pháp ứng dụng mật OTP cho hoạt động học tập trực tuyến 3.2 Ứng dụng mật OTP cho hệ thống học tập trực tuyến 3.2.1 Thuật tốn TOTP: Độ an tồn mã OTP phụ thuộc tính bảo mật hàm băm Tất hệ thống sử dụng OTP phải hỗ trợ MD5 nên hỗ trợ SHA hỗ trợ MD4 Khi xây dựng ứng dụng sinh mật OTP cho hệ thống học tập trực tuyến em tìm hiểu sử dụng thuật toán TOTP thuật toán sinh mật OTP dựa hàm hash SHA-1 Thuật tốn trình bày chương (Mục 2.3.2) Trong ứng dụng máy tính người học viên tham gia học tập trực tuyến server sử dụng hàm băm an toàn SHA-1 cho việc sinh xác thực mã OTP Bên máy tính cá nhân mã OTP tạo với tham số: (thời gian thực username/password) 43 Bên phía server thực băm với đầu vào thời gian thực, username/password người dùng để sinh mã OTP Kết đem so sánh với mã OTP mà người dùng nhập vào để đưa định Các tham số đầu vào để tạo mã OTP hệ thống: Username/password: Dạng chuỗi Thời gian thực: Thời gian bao gồm: Năm, tháng, ngày, giờ, phút Các tham số kết nối với đưa qua hàm băm SHA-1 Đầu chuyển dạng dễ sử dụng cho người dùng gồm ký tự 3.2.2 Ứng dụng OTP cho việc xác thực tài khoản học tập trực tuyến Trong phạm vi luận văn, em xây dựng hệ thống sử dụng OTP để xác thực tài khoản hệ thống học tập trực tuyến Hệ thống bao gồm: học viên, web server thiết bị người sử dụng dùng để tạo mã OTP (ở máy tính cá nhân cài đặt chương trình có khả sinh mã OTP đồng thời gian với server ) Để thực việc xác thực hai yếu tố Người học viên phải đăng kí tài khoản với nhà cung cấp dịch vụ (server) Server cung cấp cho người sử dụng thông tin tài khoản để xác thực hệ thống Những thông tin lưu vào sở liệu server Server Học viên Đăng ký thơng tin (Username, password) Account(Username, password) Hình 3.1 Q trình đăng ký Lưu thơng tin vào CSDL 44 Người sử dụng cần xác thực trang web Sẽ chạy chương trình ứng dụng thiết bị có khả sinh mã OTP ( Ở máy tính cá nhân) họ Sau nhập thơng tin mà chương trình yêu cầu để lấy mã OTP User Nhập thông tin (username, password.) Thiết bị sinh mã OTP Sinh mã OTP Mã OTP Hình 3.2 Quá trình trình sinh mã OTP Sau lấy mã OTP Học viên nhập vào trang web với usename password mà họ đăng kí với nhà cung cấp dịch vụ Server sau nhận thông tin xác thực khách hàng tiến hành kiểm tra hợp lệ thông tin trả lại kết xác thực cho khách hàng Quá trình mơ tả hình 3.3 User Website server Nhập thơng tin (username, password, mã OTP) Xác thực tài khoản Thơng tin xác thực Hình 3.3 Q trình xác thực mã OTP 45 3.3 Xây dựng chương trình ứng dụng sinh OTP cho hoạt động học tập trực tuyến 3.3.1 Mô tả hoạt động hệ thống học tập trực tuyến sử dụng mật OTP PC Trình duyệt web Người dùng Server Bắt đầu Sinh mã OTP Sinh mã OTP Nhập thông tin mã OTP Nhận thông tin Sai Kiểm tra Đúng Kết thúc Đăng xuất Thực Xác thực Hình 3.4 Mơ hình sử dụng OTP để xác thực tài khoản hệ thống học trực tuyến 46 Để mô ứng dụng OTP cho việc xác thực thông tin tài khoản hoạt động học tập trực tuyến, em xây dựng mơ hình dựa chế sinh mật OTP hai phía áp dụng thuật tốn TOTP Mơ hình sinh mật OTP xác thực áp dụng hoạt động học tập trực tuyến mơ tả hình 3.4 3.3.2 Cài đặt chương trình Phần mềm bên server xây dựng dạng webserver Phía server dựa vào thơng tin tài khoản mã OTP mà người học viên tham gia học tập trực tuyến cung cấp đưa định cho phép xác thực từ chối yêu cầu Phía Người sử dụng chạy chương trình ứng dụng tạo mã OTP cài đặt máy tính cá nhân Chương trình ứng dụng xây dựng tảng ngôn ngữ java chạy hệ điều hành Windows Môi trường xây dựng ứng dụng eclipse (Eclipse IDE for Java Developer) 3.3.3 Kết thử nghiệm - Nhập thông tin user, pass Thông tin gửi đến server CSDL server lưu trữ Hình 3.5 Xác thực thơng tin người học 47 Chạy chương trình ứng dụng sinh mật OTP máy tính cá nhân để sinh mật OTP Mật OTP sinh “D:\temp\eclipse\key.txt.” Hình 3.6 Mật OTP sinh máy tính người dùng Sau người dùng nhập mật chờ server xác thực Nếu Ở Tab phản hồi trả result =1 xác thực cịn result = mã OTP khơng Hình 3.7 Mật OTP xác thực 48 Sau xác thực thành cơng tài khoản có sử dụng mật OTP học viên tiếp tục thực công việc liên quan đến học tâp ( thực làm thi trắc nghiệm) Hình 3.8 Giao diện nội dung thi Sau hồn thành cơng việc học tập Người học viên cần đăng xuất để kết thúc phiên làm viêc Tới phiên đăng nhập lần học viên nhận mật OTP khác với mật trước Điều làm tăng độ an tồn cho thơng tin học viên 3.3.4 Đánh giá Về độ an toàn: Các mật otp sinh an tồn khó đốn trước Khả ứng dụng hệ thống: Hiện hệ thống áp dụng cho website học tập trực tuyến Cách thức hoạt động đảm bảo an tồn cho người học thơng tin cá nhân, hoạt động học tập, nội dung học tập Hạn chế hệ thống: Thuật toán sinh mật otp sử dụng chương trình sinh số lượng otp giới hạn Nghĩa kho mật otp sử dụng hết sảy lặp lại mật Bên cạnh mơ hình sinh mật otp có hạn chế tính linh hoạt sử dụng Nghĩa 49 người muốn sử dụng hệ thống định phải có máy tính cá nhân, thiết bị di động muốn hỗ trợ phải cài đặt số phần mềm tương đối khó khăn Mật OTP sinh theo thuật toán TOTP đảm bảo độ an tồn thơng tin Tuy nhiên, thực tế hệ thống học tập trực tuyến trình bày muốn đưa vào sử dụng đảm bảo tính tồn vẹn thơng tin cần phải kết hợp với số phương pháp xác thực khác (Ví dụ như: nhận diện hình ảnh trường hợp học viên nhờ người “học hộ”) 50 KẾT LUẬN VÀ KIẾN NGHỊ Kết luận Phương pháp xác thực mật OTP mang lại nhiều an tồn thơng tin cho người sử dụng, phương pháp ứng dụng rộng rãi nhiều lĩnh vực khác Bằng cách sử dụng số thuật tốn mật mã khó đốn trước nên công hacker, mã độc giảm thiểu Tuy nhiên chuyên gia khuyến cáo dù phương thức bảo mật có lỗ hổng bị cơng Do người dùng cần phải cảnh giác với thay đổi bất thường thơng tin Kiến nghị Chương trình sau hồn thiện đưa vào thực tế hoạt động giúp đảm bảo an tồn thơng tin cho người học tập trực tuyến Tuy nhiên để hệ thống hoạt động tốt cần phải kết hợp với số phương pháp xác thực khác để đảm bảo tính tồn vẹn thơng tin Hướng phát triển đề tài Sau thực chương trình với kỹ thuật sinh mật otp hai phía lý thuyết chế sinh mật an toàn, nhiên thực tế để ứng dụng xác thực thông tin người dùng hoạt động trực tuyến cần kết hợp với số hình thức xác thực khác để đảm bảo độ an tồn cao cho thơng tin, hướng nghiên cứu đề tài nghiên cứu số phương pháp xác thực có độ an tồn cao cho thơng tin sinh trắc học 51 TÀI LIỆU THAM KHẢO Tài liệu tiếng việt [1] Nguyễn Bình, Trần Đức Sự (2011), Cơ sở lý thuyết mật mã, Nxb Bộ thông tin truyền thông, Hà nội [2] Nguyễn Ngọc Cương, Trần Thị Lượng (2013), Giáo trình Mật mã ứng dụng an tồn thơng tin, Nxb Học viện Kỹ thuật mật mã, Hà nội [3] Trần Đức Sự, Nguyễn Văn Tảo, Trần Thị Lượng (2015), An toàn bảo mật liệu, Nxb Đại học Thái Nguyên, Thái Nguyên [4] Nguyễn Vạn Phúc, Lê Trọng Hiệp (2011), "Bảo mật giao dịch sử dụng công nghệ xác thực OTP", Tạp chí An tồn thơng tin tháng 7/2011 [5] Đặng Mạnh Phổ (2011), "Ứng dụng xác thực đa yếu tố giao dịch ngân hàng điện tử", Tạp chí An tồn thơng tin tháng 7/2011 Tài liệu tiếng anh [6] Behrouz A.Forouzan (2007), Cryptography and Network security (Chapter 14), McGraw Hill [7] M Matsumoto and M Saito (2006), “SIMD-oriented fast Mersenne twister: a 128-bit pseudorandom number generator” in Proceeding of MCQMC ... động giao dịch trực tuyến 10 CHƯƠNG 2: PHƯƠNG PHÁP XÁC THỰC SỬ DỤNG MẬT KHẨU MỘT LẦN (OTP) 2.1 Giới thiệu mật OTP Mật sử dụng lần (OTP) sử dụng để xác thực giao dịch ngân hàng, giao dịch trực tuyến, ... trung nghiên cứu đối tượng mật sử dụng lần OTP b Phạm vi: - Nghiên cứu ứng dụng mật sử dụng lần OTP giao dịch trực tuyến Hướng nghiên cứu đề tài - Tìm hiểu số phương pháp xác thực - Nghiên cứu xác. .. cứu, tìm hiểu phương pháp xác thực dùng mật sử dụng lần (OTP) ứng dụng giao dịch trực tuyến" , đề tài có ý nghĩa thiết thực nghiên cứu chế sinh mật OTP, phương pháp phân phối, ứng dụng mật OTP thực