Ở đây, cần lưu ý rằng, với đa số các trang web hiện nay đều có khả năng phân biệt người dùng trên điện thoại di động hay máy tính cá nhân để đưa ra giao diện tương tác phù hợp[r]
(1)NÂNG CAO TÍNH BẢO MẬT TRONG XÁC THỰC NGƯỜI DÙNG WEB SỬ DỤNG ĐẶC TRƯNG SINH TRẮC HỌC
Nguyễn Hữu Nội1*, Vũ Thanh Nhân2, Trần Nguyên Ngọc1
Tóm tắt: Bài báo nghiên cứu sử dụng hành vi gõ bàn phím xác thực
người dùng hướng tới mục đích bảo mật thông tin Bài báo đề xuất việc xây dựng chế xác thực kết hợp mật thông thường dạng text với mật sinh trắc học ứng dụng Web Các thông tin người dùng thu thập thông qua việc gõ bàn phím (máy tính, điện thoại) tổ chức thành vec-tơ đặc trưng sau gửi lên phía máy chủ để xử lý
Từ khóa: Mật sinh học, Xác thực, Sinh trắc học
1 ĐẶT VẤN ĐỀ
Hiện nay, với phát triển khoa học công nghệ việc sử dụng mật gồm chuỗi ký tự (gồm số, chữ cái, ký tự đặc biệt) khó nhớ dần thay phương pháp khác, chẳng hạn theo vân tay, hình dáng khn mặt, nhịp tim, hình dáng tai [1,2,3,14]… Những phương pháp nhận diện gọi chung sinh trắc học (biometrics) Trong tương lai, nhận diện sinh trắc học sẽ ngày sử dụng rộng rãi việc xác định danh tính
(2)Mặc dù vậy, kỹ thuật trích chọn thơng tin sinh trắc học cần đến thiết bị đặc chủng, ví dụ cần có máy quyét vân tay, camera giúp nhận dạng khuôn mặt, thiết bị sõi võng mạc nhận dạng tròng mắt Việc sử dụng đặc trưng sinh trắc học người dùng Web thường không cho phép yêu cầu bắt buộc người dùng phải sử dụng thiết bị Vì thế, nghiên cứu hướng tới việc sử dụng thông tin đơn giản mà người dùng web cũng cung cấp để hỗ trợ nâng cao tính bảo mật xác thực người dùng
Phép nhận dạng đơn giản sử dụng thơng tin thu từ thao tác gõ bàn phím người dùng (Keystroke Dynamics – KD) [1, 2, 7] Về chất KD dạng đặc trưng sinh trắc học cho phép mô tả thao tác người dùng gõ bàn phím máy tính, nhấn phím điện thoại di động (kể bàn phím cảm ứng ảo trên dịng diện thoại thơng minh) [10] Ở đây, cần lưu ý rằng, với đa số trang web có khả phân biệt người dùng điện thoại di động hay máy tính cá nhân để đưa giao diện tương tác phù hợp, vậy, việc khai thác đặc trưng sinh trắc học tiếp cận lợi để biết trước thông tin thu được từ bàn phím máy tính hay thiết bị di động
Việc sử dụng KD đảm bảo an toàn thơng tin có ưu điểm bật khơng cần sử dụng thêm thiết bị phần cứng phụ trợ ngoại trừ bàn phím (Keyboard, Keypad) Việc sử dụng KD làm mạnh xác thực thông tin người dùng, cả trường hợp thông tin đăng nhập (tên đăng nhập, mật khẩu) bị lộ lọt
Trong nghiên cứu này, tiếp cận toán sở sử dụng kết quả nghiên cứu trước cơng bố [11,16] để xây dựng chế xác thực cho người dùng ứng dụng Web Bố cục báo phần tổ chức sau: phần tổng hợp kết số cơng trình nghiên cứu trước đó, thuật tốn tính khoảng cách kiểm tra liệu có sẵn [12]; cách tính ngưỡng xác thực; phần trình bày mơ hình tương tác ứng dụng, tính tốn thảo luận; phần trình bày kết luận hướng nghiên cứu, phát triển nhóm tác giả
2 THUẬT TOÁN PHÂN LOẠI DỮ LIỆU GÕ BÀM PHÍM 2.1 Xây dựng lý thuyết
Trong phần xem xét cách cụ thể mật sinh học các phương pháp phát bất thường thông qua phân tích thời gian gõ mật
(3)Đặc trưng liệu KD trích chọn dựa thông tin thời gian người dùng thao tác với bàn phím [3, 11] Với kiện bàn phím như: nhấn phím (key-press), nhả phím (key-release), tính khoảng thời gian tương ứng Giả sử có hai phím X, Y nhấn, đó, thu các liệu tương ứng là:
- H.X – thời gian giữ phím X (H – Hold), tính từ phím nhấn cho đến thả
- DD.X.Y – thời gian tính từ thời điểm phím X nhấn (X – Down) đến thời điểm phím Y nhấn (Y – Down); X, Y nhấn liên tiếp - UD.X.Y – thời gian tính từ lúc phím X thả (X – Up) đến
phím Y thả (Y – Down); thời gian mang giá trị âm Do vậy, mật chuỗi ký tự có độ dài n - vec-tơ đặc trưng cho trình gõ bàn phím xác định sau:
– với chiều dài , đó, phím Enter/Return việc kết thúc thao tác nhập mật
Bài toán đặt lúc từ tập hợp liệu vec-tơ đặc trưng
và vec-tơ định nhãn tương ứng (xác định vec-tơ đặc trưng người dùng có
ID ) , (n – số lượng người dùng) cần xây dựng
một thuật toán cho phép phân loại (xác định) vec-tơ đặc trưng ( được thu thập khơng nằm số ) liệu có nhãn tương ứng
( ) hay không?
Điều có nghĩa từ liệu thu qua trình huấn luyện liệu nhận từ người dùng ( ) cần phải tính vec-tơ đặc trưng cho người dùng đó, ta coi tập liệu tập huấn luyện; sau với lần người dùng xác thực, liệu gửi lên (mỗi lần liệu gửi lên coi tập kiểm thử) ta tiến hành so sánh với vec-tơ đặc trưng để xác định xem có phải người dùng người khác cố gắng truy cập vào hệ thống
2.1.2 Tiêu chí đánh giá
(4)Trước hết, ký hiệu:
- P tổng số đối tượng có nhãn L mang phân loại;
- N tổng số đối tượng khơng có nhãn L mang phân loại;
- TP (True Possitive) số lượng đối tượng có nhãn L phân loại đúng, mục tiêu tăng độ lớn TP;
- FP (False Possitive) số lượng đối tượng khơng có nhãn L được phân loại nhầm có nhãn L, mục tiêu giảm FP;
- FN (False Negative) số lượng đối tượng có nhãn L phân loại không phải, mục tiêu giảm FN
Khi đó, hai tiêu chí tỉ lệ chấp nhận sai – FAR (False Accept Rate) tỉ lệ từ chối sai – FRR (False Rejection Rate) xác định sau:
Trong thuật toán, người ta cố gắng điều chỉnh tham số phân loại để FAR FRR có giá trị trùng nhau, EER = FAR = FRR giá trị cần tìm Giá trị EER thấp chứng tỏ hệ thống có độ tin cậy cao hay thuật tốn hoạt động tốt Minh họa qua hình
Hình 1. Ví dụ cách xác định giá trị EER
2.1.3 Thuật tốn tính khoảng cách kết kiểm tra liệu có sẵn
Đã có nhiều khoảng cách khác sử dụng để so sánh vec-tơ dữ liệu huấn luyện với vec-tơ đặc trưng để từ xác định Giả sử ta có vec-tơ như sau:
(5)– vec-tơ liệu nhập vào sử dụng để kiểm tra đăng nhập; – vec-tơ độ lệch chuẩn tính tốn từ tập huấn luyện Khi đó, nghiên cứu [8, 9, 11, 12] số khoảng cách sau áp dụng để tính toán:
a. Khoảng cách Euclid
(1)
b. Khoảng cách Mahalanobis
(2)
c. Khoảng cách Manhattan
(3)
d. Khoảng cách Manhattan-scaled
(4)
e. Khoảng cách Logarit cải tiến
(5)
Trong nghiên cứu [11] đưa so sánh kết làm việc thuật toán liệu CMU
Bảng 1. Kết kiểm tra hoạt động thuật toán liệu CMU [12]
Phương pháp sử dụng khoảng cách EER STD
(Standard Deviation)
Manhattan 0.153 0.0925
Euclidean 0.171 0.095
Manhattan scaled 0.0961 0.0693
Logarit cải tiến 0.0693 0.0588
(6)2.2 Chuẩn bị thực nghiệm
2.2.1 Phương pháp xác định ngưỡng xác thực
Sau huấn luyện liệu xong thu vec-tơ đặc trưng người dùng giả sử người dùng tiến hành đăng nhập m lần,
liệu tương ứng với với
độ dài vec-tơ liệu nhận theo mục II.1 Với vec-tơ sử dụng công thức (1) ta thu khoảng cách tương ứng Toàn vec-tơ khoảng
cách
Giá trị trung bình (Mean) vec-tơ d tính theo cơng thức sau:
, (6)
Độ lệch chuẩn giá trị vec-tơ d, ký hiệu σ (sigma) σ xác định như sau:
, (7)
Trong ứng dụng mình, chúng tơi tạm thời sử dụng ngưỡng xác thực giới hạn cho giá trị khoảng cách d là (T-σ, T+σ) để kiểm tra trình đăng nhập của người dùng
Khi người dùng tiến hành đăng nhập, khoảng cách nằm khoảng ngưỡng giá trị nói ta kết luận người dùng ghi nhận hệ thống và đăng nhập thành công, ngược lại trình xác thực bị loại bỏ
2.2.2 Xây dựng ứng dụng thử nghiệm
Chúng xây dựng ứng dụng Web để kiểm tra hoạt động để xem tính đắn thuật tốn tính khoảng cách tính ngưỡng độ lệch ngưỡng (theo công thức (5), (6), (7)) (xem thêm [8])
Hoạt động ứng dụng chia thành hai pha: pha huấn luyện pha kiểm tra
(7)đảm bảo khoảng cách độ lệch ngưỡng có độ hội tụ cao Sau đủ số lần nhập cần thiết hệ thống tiến hành tính tốn theo cơng thức (1), (2), (3) để vec-tơ đặc trưng người dùng (vec-tơ median) giá trị ngưỡng, độ lệch ngưỡng
Pha – Pha kiểm tra. Tại pha người dùng tiến hành đăng nhập, toàn dữ liệu người dùng gửi lên máy chủ Tại máy chủ diễn trình xác thực hai bước:
- Kiểm tra mật xem có tồn CSDL hay không? (normal password);
- Xác thực sinh trắc học, bước tiến hành sau vượt qua được bước Sau tính tốn khoảng cách đối chiếu với khoảng giá trị ngưỡng (mục 2.2.1), máy chủ đưa định (decision maker) xem người dùng có đăng nhập thành cơng hay không
Pha huấn luyện
Pha kiểm tra
Thu thập phân tích liệu sinh
trắc học
Trích xuất đặc trưng sinh trắc học / biểu diễn
thành vec-tơ
Thực tính tốn liệu đặc trưng
thu
CSDL
Thu thập mật phân tích liệu sinh trắc học
Trích xuất đặc trưng sinh trắc học / biểu diễn
thành vec-tơ
Thực xác thực qua hai bước: Mật tham số sinh trắc
học
Lưu vào CSDL
Lấy liệu
Đưa định
Hình Mơ hình huấn luyện liệu kiểm tra
3 MƠ PHỎNG, TÍNH TỐN, THẢO LUẬN
Để đánh giá hiệu hoạt động thuật toán hệ thống, tiến hành kiểm tra theo số kịch xác định