minh bạch trong kết quả học tập của học viên phải được bảo đảm.
Để hình thức đào tạo trực tuyến, đào tạo từ xa có thể tiếp tục phát triển, không có rào cản hay phân biệt và được xã hội công nhận như một hình thức đào tạo chính quy thì các vấn đề bảo mật trên cần được giải quyết.
4.1 Xác thực người dùng thông qua bộ câu hỏi thử thách
Như đã đề cập trong Chương 2, xác thực người dùng thông qua các câu hỏi thử thách không yêu cầu một phần cứng hoặc thiết bị chuyên dụng, bên cạnh đó phương pháp này rất thân thiện với người dùng. Đặc trưng này rất phù hợp với hệ thống học tập trực tuyến. Thực vậy, với một máy tính cá nhân được trang bị Internet, học viên đã có thể sử dụng phương pháp xác thực này để truy cập vào hệ thống.
Được dựa trên ý niệm về việc một người dùng chỉ biết các thông tin cá nhân của chính mình cũng như các hoạt động của mình trong quá khứ, mô hình xác thực người dùng dựa trên thuộc tính thử thách người dùng bằng một bộ các câu hỏi thử thách. Các câu hỏi này được sinh ra dựa trên các thuộc tính của người dùng, các hành vi của người dùng trong quá khứ [56]. Chỉ khi vượt qua, người đó mới chứng minh được rằng mình chính là một thực thể với các thuộc tính tương ứng trong hệ thống.
Các câu hỏi thử thách được tạo ra bằng cách trích xuất thông tin cá nhân về người dùng ví dụ như ngày tháng năm sinh, mã số căn cước, mã số sinh viên, họ tên của cha mẹ, kết quả học tập, v.v. Các thông tin này được quản lý trong hồ sơ cá nhân của học viên. Ngoài ra, bộ các câu hỏi thử thách còn được sinh từ các hoạt động trong quá khứ của người dùng cụ thể như địa chỉ email cá nhân trước đó của họ hoặc khoá học mà họ đã từng tham gia trước đó. Hệ thống cung cấp cho người dùng các câu hỏi thử thách và người dùng phải trả lời đúng để có thể vượt qua bước xác thực [56].
Một hệ thống xác thực người dùng theo hướng tiếp cận dựa trên hồ sơ người
1Abrar Ullah. Profile Based Student Authentication in Online Examination, 2015.
4.1. Xác thực người dùng thông qua bộ câu hỏi thử thách
Hình 4.1: Kiến trúc của mô hình xác thực PBA truyền thống1
dùng sẽ có kiến trúc tổng quát như Hình 4.1, hệ thống sẽ bao gồm các thành phần chính như:
• Hồ sơ: là một mô tả của học viên dưới dạng câu hỏi và câu trả lời liên quan.
Nó đại diện cho một học viên bằng cách sử dụng thông tin thu nhận được từ các câu hỏi và câu trả lời trong quá trình đăng ký và học tập trên hệ thống.
Các câu hỏi và câu trả lời trong hồ sơ học viên có thể liên quan đến thông tin cá nhân, giáo dục, hoạt động, kinh nghiệm chuyên môn, sở thích, mục tiêu trong tương lai và các hoạt động học tập.
• Câu hỏi hồ sơ: được trình bày cho sinh viên để nắm bắt thông tin bổ sung, lần lượt sẽ được sử dụng để mở rộng và tinh chỉnh hồ sơ của họ. Học viên được yêu cầu cung cấp mã người dùng và mật khẩu để vượt qua xác thực ban đầu để truy cập vào môi trường học tập trực tuyến. Học viên được yêu cầu cung cấp câu trả lời cho các câu hỏi hồ sơ trong mỗi lần truy cập để có thể truy cập các tài nguyên học tập. Câu trả lời cho các câu hỏi hồ sơ nhận
4.1. Xác thực người dùng thông qua bộ câu hỏi thử thách
được trong quá trình học tập được sử dụng để mở rộng hồ sơ của học viên.
Đây là một quy trình định kỳ và có thể được liên kết với phiên và ngày trực tuyến của học viên.
• Câu hỏi thử thách: được chọn ngẫu nhiên từ hồ sơ cá nhân của học viên khi học viên yêu cầu truy cập bài kiểm tra trực tuyến. Phương pháp này tạo và đưa ra các câu hỏi thử thách ngẫu nhiên trong quá trình xác thực. Khi các câu hỏi thử thách được trả lời, quy trình xác thực sẽ được gọi để xác minh danh tính của học viên đối với các câu trả lời tương ứng.
• Xác thực: các học viên được phép truy cập vào các kỳ thi trực tuyến bằng cách cung cấp câu trả lời chính xác cho các câu hỏi thử thách theo các câu trả lời được lưu trong hồ sơ học viên. Các học viên không cung cấp câu trả lời đúng sẽ bị từ chối truy cập vào bài thi.
Tuy nhiên, bên cạnh những ưu điểm trình bày ở trên thì phương pháp tiếp cận này vẫn tồn đọng một số vấn đề nghiêm trọng về bảo mật cũng như tính riêng tư của dữ liệu người dùng cần được giải quyết triệt để như sau:
• Tính riêng tư của dữ liệu người dùng phải được đáp ứng để bảo vệ người dùng và xây dựng lòng tin của người dùng khi sử dụng hệ thống. Tuy nhiên phương pháp xác thực dựa trên hồ sơ người dùng chưa đáp ứng được yêu cầu này một cách triệt để.
• Tính toàn vẹn của hồ sơ người dùng là một trong những yếu tố quan trọng quyết định tới mức độ chính xác của phương pháp xác thực dựa trên hồ sơ người dùng. Cơ sở dữ liệu lưu trữ hồ sơ này có thể bị tấn công và thay đổi nhằm mục đích vượt qua được quy trình xác thực của hệ thống.
• Tính sẵn sàng của hồ sơ người dùng là yếu tố quyết định tính sẵn sàng của tiến trình xác thực. Tiến trình xác thực phải luôn luôn thỏa mãn được tính sẵn sàng để đáp ứng tốt trải nghiệm người dùng.
• Cần giải quyết được bài toánZero Knowledge Problem, nghĩa là hệ thống không cần biết thông tin hồ sơ của người dùng nhưng vẫn xác minh được rằng người dùng biết chính xác các thông tin đó.