Thách thức – Trả lời
Cũng như xác thực giao dịch ngân hàng trực tuyến sử dụng OTP chuyển giao qua SMS, chương trình thử nghiệm sinh OTP trên máy chủ dựa trên giao thức thách thức – trả lờiđược cài đặt trên hệ điều hành Microsoft Windows, ngôn ngữ C# trên phần mềm lập trình Microsoft Visual Studio kết hợp với hệ quản trị cơ sở dữ liệu My SQL để hệ thống có thể truy xuất cơ sở dữ liệu.
Thuật toán băm SHA – 1 được sử dụng để tạo ra OTP ở cả server và client. Cơ sở dữ liệu được sử dụng để xác thực người dùng, lưu lịch sử giao dịch. Cơ sở dữ liệu lưu trữ username, password, tên chủ tài khoản,số tiền hiện có và các lần giao dịch.
Sau khi nhận được yêu cầu thanh toán, server sẽ sinh một mã thách thức (challenge). Người dùng (client) sẽ nhập số challenge và số tiền giao dịch vào ứng dụng trên điện thoại của mình để sinh OTP cho giao dịch.
NGUYỄN VIỆT HUY D09CNPM2 Page | 46
Phần mềm bên client được xây dựng trênMicrosoft Visual Window Phone và thuật toán sinh OTP của cả server và client là giống nhau. Phần mềm được cài đặt trên điện thoại Nokia Lumia 520 sử dụng hệ điều hành Window Phone 8.
3.2.3.Kết quả
NGUYỄN VIỆT HUY D09CNPM2 Page | 47
Tương tự như việc xác thực giao dịch ngân hàng trực tuyến sử dụng OTP chuyển giao qua SMS, sau khi đăng nhập vào khoản của mình, người dùng hướng tới trang Chuyển Khoản, nhập các thông tin giao dịch và chọn “Challenge – Response” trong ô Hình thức nhận mã giao dịch. Lúc này hệ thống sẽ tự động tạo ra một OTP ở ô Challenge.
Người dùng sẽ sử dụng OTP này cùng với số tiền để nhập vào ứng dụng trong thiết bị di động như Hình 3.8.
Hình 3.8: Ứng dụng sinh OTP trên điện thoại di động
Người dùng sau khi biết được challenge từ server sẽ nhập challenge và số tiền sử dụng trong giao dịch vào điện thoại, sau đó nhấn nút OK , phần mềm sẽ kết hợp challenge và số tiền để sinh ra một OTP mới để xác thực giao dịch.
NGUYỄN VIỆT HUY D09CNPM2 Page | 48 3.3.Kết chương
Trong chương này, chúng ta đã tiến hành xây dựng và thử nghiệm chương trình thử nghiệm về xác thực giao dịch ngân hàng trực tuyến sử dụng OTP chuyển giao qua SMS và xác thực giao dịch ngân hàng trực tuyến sử dụng OTP sinh trên điện thoại di động dựa trên giao thức Thách thức – Trả lời. Cả hai phương pháp sinh và chuyển giao OTP được cài đặt có khả năng cung cấp tính bảo mật cao cho xác thực giao dịch trực tuyến. Các ứng dụng này có khả năng triển khai rộng rãi trong thực tế do không đòi hỏi bổ sung phần cứng hay phần mềm phức tạp.
NGUYỄN VIỆT HUY D09CNPM2 Page | 49
KẾT LUẬN
Mật khẩu sử dụng một lần (OTP) là mật khẩu chỉ được sử dụng một lần duy nhất để xác thực một giao dịch hoặc một phiên làm việc. Do OTP chỉ được sử dụng một lần nên có độ an toàn cao hơn so với mật khẩu truyền thống, tránh được các dạng tấn công như nghe lén. Đồ án nghiên cứu về mật khẩu sử dụng một lần, các kỹ thuật sinh và chuyển giao mật khẩu một lần và ứng dụng vào xác thực các giao thức trực tuyến. Cụ thể, các nội dung đồ án đã thực hiện:
- Nghiên cứu tổng quan về mật khẩu sử dụng một lần và ứng dụng của mật khẩu sử dụng một lần.
- Nghiên cứu các phương pháp sinh mật khẩu sử dụng một lầndựa trên thời gian, dựa trên thuật toán; phương pháp sinh mật khẩu bằng Token và điện thoại di động; các phương pháp chuyển giao mật khẩu sử dụng một lần bằng giấy, bằng tin nhắn SMS.
- Đồ án đã cài đặt và thử nghiệm thành công ứng dụng mật khẩu sử dụng một lần trong xác thực giao dịch ngân hàng trực tuyến sử dụng phương pháp chuyển giao OTP thông qua tin nhắn SMS và sinh OTP trên điện thoại di động.
Hướng phát triển tiếp theo của đồ án có thể là:
- Nghiên cứu về đăng nhập một lần sử dụng mật khẩu sử dụng một lần;
- Cải tiến ứng dụng sinh OTP trên điện thoại di động về giao diện và tính năng để việc xác thực người dùng trở nên thân thiện, tiện lợi và đảm bảo độ an toàn cao hơn.
NGUYỄN VIỆT HUY D09CNPM2 Page | 50
TÀI LIỆU THAM KHẢO
[1]. D. M’Raihi, J. Rydell, S. Bajaj, S. Machani, D. Naccache, OATH Challenge- Response Algorithm, June 2011.
[2]. D. M’Raihi, J. Rydell, S. Bajaj, S. Machani, D. Naccache, Time-Based One- Time Password Algorithm, May 2011.
[3]. Neil M. Haller, Bellcore, Morristown, New Jersey - THE S-KEY ONE-TIME
PASSWORD SYSTEM, 2011 [4]. http://www.rsa.com/node.aspx?id=1156, 9/2013 [5]. HOTP http://en.wikipedia.org/wiki/HOTP, 9/2013 [6]. HMAC http://en.wikipedia.org/wiki/HMAC, 9/2013 [7]. S/Key http://en.wikipedia.org/wiki/S/KEY, 9/2013 [8]. Xác thực http://vi.wikipedia.org/wiki/X%C3%A1c_th%E1%BB%B1c
[9]. One Time Password http://en.wikipedia.org/wiki/One-time_password, 9/2013 [10]. Challenge-Response Algorithm
http://en.wikipedia.org/wiki/Challenge%E2%80%93response_authentication,
9/2013
[11]. Lamport Schem http://www.javaworld.com/javaworld/jw-03-2009/jw-03- lamport-otp.html, 9/2013
[12]. http://datasecurity.vn/tech/business-tech/1590-chng-thc-trong-mt-ngan-hang- internet.html, 10/2013
[13]. Dương Hoàng Anh, Nguyễn Việt Huy, Nguyễn Văn Tân, Phạm Minh Tú – Báo cáo nghiên cứu khoa học: Nghiên cứu về mật khẩu sử dụng một lần và ứng dụng, 12/2012.
[14]. Nguyễn Văn Hường – Đồ án tốt nghiệp: Đăng nhập một lần, 12/2011.
[15]. Phạm Tuấn Dũng – Luận văn: Nghiên cứu phương pháp bảo mật cho cơ chế đăng nhập một lần ứng dụng trong hệ phân tán, 2011.
NGUYỄN VIỆT HUY D09CNPM2 Page | 51
[16]. Thế giới vi tính
http://pcworld.com.vn/pcworld/printArticle.asp?atcl_id=5f5e5d5e5e5f5a,
10/2013
[17]. An toàn mật khẩu trên hệ thống mạng UNIX và LINUX
http://www.quantrimang.com.vn/an-toan-mat-khau-tren-he-thong-mang-unix- va-linux-1758, 10/2013
[18]. Man in the middle attack http://en.wikipedia.org/wiki/Man-in-the- middle_attack, 10/2013
[19]. Single sign on http://en.wikipedia.org/wiki/Single_sign-on, 10/2013 [20]. http://gamethu.vnexpress.net/gt/diem-tin/2006/03/3b9ad22c/, 10/2013 [21]. MOTP http://www.pcworld.com.vn/mobile/anpham/tm/408/articles/cong-
nghe/ung-dung/2010/06/1219120/motp-mat-khau-dung-mot-lan-di-dong/ ,
9/2013