LỜI CẢM ƠN
Để hoàn thành luận án tốt nghiệp, em xin gửi lời cảm ơn sâu sắc tới các thầy cơ
giáo trong Bộ mơn tin học trường ĐHDL Hải Phịng đã trực tiếp giảng dạy và cung
cấp cho em những kiến thức q báu để em có thể tìm hiểu và tiếp cận với những công
nghệ và lĩnh vực mới.
Đặc biệt em xin chân thành gửi lời cảm ơn đến TS. Phạm Hồng Thái và CN.
Lương Việt Nguyên - ĐH Cơng nghệ đã tận tình hướng dẫn em cũng như tạo mọi điều
kiện về tài liệu và kiến thức để em có thể hồn thành được luận án tốt nghiệp này.
Và cuối cùng xin gửi lời cảm ơn tới gia đình, tới các bạn đã động viên, góp ý và
sát cánh cùng em trên con đường học tập.
Do thời gian eo hẹp và khả năng có hạn nên luận án tốt nghiệp khơng tránh khỏi
những thiếu sót. Kính mong nhận được nhiều ý kiến đóng góp, phê bình của q thầy
cơ và các bạn để chương trình được hồn thiện hơn.
Em xin chân thành cảm ơn !

Hải Phòng, tháng 8 năm 2007
Sinh viên

Lê Thị Thùy Lương


Giải pháp xác thực người dùng
Lê Thị Thùy Lương

MỤC LỤC
LỜI CẢM ƠN.......................................................................................................1
MỤC LỤC.............................................................................................................2
LỜI NÓI ĐẦU.......................................................................................................5
Chương 1: VẤN ĐỀ AN NINH AN TỒN MẠNG MÁY TÍNH VÀ CÁC
GIẢI PHÁP XÁC THỰC NGƯỜI DÙNG...........................................................7
1.1. Tổng quan về vấn đề an ninh an tồn mạng máy tính................................7

1.1.1. Đe dọa an ninh từ đâu?........................................................................7
1.1.2. Các giải pháp cơ bản đảm bảo an ninh................................................8
1.2. Vấn đề bảo mật hệ thống và mạng...........................................................10
1.2.1. Các vấn dề chung về bảo mật hệ thống và mạng.............................10
1.2.2. Một số khái niệm và lịch sử bảo mật hệ thống..................................10
1.3. Các kiến thức cơ bản về xác thực người dùng.........................................11
1.3.1. Khái niệm về xác thực người dùng...................................................12
1.3.2. Các giải pháp xác thực người dùng phổ biến....................................12
1.3.3. Các giao thức xác thực......................................................................18
1.3.4. Nhận xét............................................................................................20
Chương 2: MẠNG KHƠNG DÂY VÀ CÁC CHÍNH SÁCH BẢO MẬT........21
2.1. Giới thiệu chung về mạng không dây......................................................21
2.2. Lịch sử phát triển và sự phát triển của mạng không dây..........................22
2.2.1. Lịch sử phát triển của mạng không dây............................................22
2.2.2. Sự phát triển của mạng không dây....................................................23
2.2.3. Các thế hệ phát triển của mạng không dây........................................24
2.3. Công nghệ phổ biến của mạng không dây...............................................25
2.3.1. Công nghệ TDMA.............................................................................25
2.3.2. Công nghệ GSM................................................................................25
2.3.3. Công nghệ CDMA............................................................................26
2.3.4. Công nghệ WiFi................................................................................26
2.3.5. Công Nghệ WiMax...........................................................................27
2.3.6. Công nghệ GPRS..............................................................................27
2.4. Các chuẩn phổ biến của mạng không dây................................................27
2.6. Công nghệ tấn cơng và cách phịng thủ....................................................29
2.6.1. Phương pháp tấn công bằng Rogue Access Point.............................29
2.6.2. Tổng hợp các phương pháp tấn cơng khác........................................31
2.7. Chính sách bảo mật mạng khơng dây......................................................35
2.7.1. Đánh giá về hệ thống bảo mật của WLAN.......................................35
2



Giải pháp xác thực người dùng
Lê Thị Thùy Lương

2.7.2. Chính sách bảo mật WLAN..............................................................35
Chương 3: CÔNG NGHỆ CAPTIVE PORTAL VÀ SỬ DỤNG RADIUS XÁC
THỰC TRONG WLAN......................................................................................37
3.1. Công nghệ Captive Portal là gì?...............................................................37
3.1.1. Các cách triển triển khai....................................................................37
3.1.3. Giới thiệu một số phần mềm sử dụng công nghệ Captive Portal......38
3.1.4. Một số hạn chế..................................................................................39
3.2. Sử dụng RADIUS cho quá trình xác thực trong WLAN.........................39
3.2.1. Xác thực, cấp phép, và thanh toán.....................................................41
3.2.2. Sự an toàn và mở rộng.......................................................................42
3.2.3. Áp dụng RADIUS cho mạng LAN không dây..................................43
3.2.4.Tthực hiện các tùy chọn.....................................................................44
3.2.5. Kết luận.............................................................................................44
Chương 4: CÀI ĐẶT VÀ THỬ NGHIỆM PHẦN MỀM CHILLISPOT...........45
4.1. Giới thiệu ChilliSpot................................................................................45
4.1.1. Phương pháp xác thực của ChilliSpot...............................................45
4.1.2. Một số giao diện của ChilliSpot........................................................45
4.1.3. Yêu cầu để xây dựng một HotSpot...................................................46
4.1.4. Kiến trúc mạng khi xây dựng............................................................47
4.2. Mô tả........................................................................................................48
4.2.1. Máy chủ Web xác thực......................................................................48
4.2.2. RADIUS............................................................................................48
4.2.2. Access Point......................................................................................53
4.2.3. Máy khách.........................................................................................53
4.2.4. Kiến trúc phần mềm..........................................................................53

4.3. Cài đặt trên RedHat 9, Fedora (FC1,FC2,FC3 hoặc FC4).......................54
4.3.1. Yêu cầu tối thiểu...............................................................................54
4.3.2. Chuẩn bị............................................................................................54
4.3.3. Cài đặt Redhat hoặc Fedora..............................................................54
4.3.4. Cài đặt và định cấu hình ChilliSpot..................................................55
4.3.5. Cài đặt Firewall.................................................................................56
4.3.6. Cài đặt và cấu hình máy chủ web chứng thực UAM........................57
4.3.7. Cài đặt và cấu hình FreeRADIUS.....................................................57
4.4. Cấu hình máy khách.................................................................................58
4.4.1. Phương pháp truy nhập phổ thơng - Universal Access Method........58
4.4.2. Bảo vệ sự truy nhập không dây - Wireless Protected Access...........59
4.5. Những file được tạo ra hoặc được sử dụng..............................................59
3


Giải pháp xác thực người dùng
Lê Thị Thùy Lương

4.6. Tùy chọn...................................................................................................60
4.6.1. Tóm tắt..............................................................................................60
4.6.2. Tùy chọn............................................................................................60
4.6.3. Tệp tin...............................................................................................67
4.6.4. Tín hiệu.............................................................................................67
4.7. Các phiên bản của ChilliSpot...................................................................67
4.7.1. ChilliSpot 1.1....................................................................................67
4.7.2. ChilliSpot 1.0....................................................................................68
4.7.3. ChilliSpot 1.0 RC3............................................................................68
4.7.4. ChilliSpot 1.0 RC2............................................................................69
4.7.5. ChilliSpot 1.0 RC1............................................................................69
4.7.6. ChilliSpot 0.99..................................................................................70

4.7.7. ChilliSpot 0.98..................................................................................71
4.7.8. ChilliSpot 0.97..................................................................................72
4.7.9. ChilliSpot 0.96..................................................................................73
4.7.10. ChilliSpot 0.95................................................................................73
4.7.11. ChilliSpot 0.94................................................................................74
4.7.12. ChilliSpot 0.93................................................................................75
4.7.13. ChilliSpot 0.92................................................................................75
4.7.14. ChilliSpot 0.91................................................................................75
4.7.15. ChilliSpot 0.90................................................................................75
KẾT LUẬN.........................................................................................................76
Kết quả đạt được.............................................................................................76
Hướng phát triển của đề tài.............................................................................76
CÁC TÀI LIỆU THAM KHẢO..........................................................................77
Tài liệu.............................................................................................................77
Một số website:...............................................................................................77

4


Giải pháp xác thực người dùng
Lê Thị Thùy Lương

LỜI NÓI ĐẦU
Hiện nay vấn đề tồn cầu hố và nền kinh tế thị trường mở cửa đã mang lại
nhiều cơ hội làm ăn hợp tác kinh doanh và phát triển. Các ngành cơng nghiệp máy tính
và truyền thơng phát triển đã đưa thế giới chuyển sang thời đại mới: thời đại công
nghệ thông tin. Việc nắm bắt và ứng dụng Công nghệ thông tin trong các lĩnh vực
khoa học, kinh tế, xã hội đã đem lại cho các doanh nghiệp và các tổ chức những thành
tựu và lợi ích to lớn. Máy tính đã trở thành cơng cụ đắc lực và khơng thể thiếu của con
người, con người có thể ngồi tại chỗ mà vẫn nắm bắt được các thông tin trên thế giới

hàng ngày đó là nhờ vào sự phát triển mạnh mẽ của Internet. Các tổ chức, công ty hay
các cơ quan đều phải (tính đến) xây dựng hệ thống tài nguyên chung để có thể phục vụ
cho nhu cầu của các nhân viên và khách hàng. Và một nhu cầu tất yếu sẽ nảy sinh là
người quản lý hệ thống phải kiểm soát được việc truy nhập sử dụng các tài nguyên đó.
Một vài người có nhiều quyền hơn một vài người khác. Ngoài ra, người quản lý cũng
muốn rằng những người khác nhau không thể truy nhập được vào các tài nguyên nào
đó của nhau. Để thực hiện được các nhu cầu truy nhập trên, chúng ta phải xác định
được người dùng hệ thống là ai để có thể phục vụ một cách chính xác nhất, đó chính là
việc xác thực người dùng. Đây là một vấn đề nóng bỏng và đang được quan tâm hiện
nay. Đó là một trong những nguyên nhân khiến em chọn đề tài "Giải pháp xác thực
người dùng bằng công nghệ Captive Portal”.
Với công nghệ Captive Portal sẽ bắt buộc một máy muốn sử dụng Internet
trong mạng thì trước tiên phải sử dụng trình duyệt để “được” tới một trang đặc biệt
(thường dùng cho mục đích xác thực). Captive Portal sẽ chuyển hướng trình duyệt tới
thiết bị xác thực an ninh. Điều này được thực hiện bằng cách bắt tất cả các gói tin, kể
cả địa chỉ và cổng, đến khi người dùng mở một trình duyệt và thử truy cập Internet.
Tại thời điểm đó, trình duyệt sẽ được chuyển hướng tới trang Web đặc biệt yêu cầu
xác thực (đăng nhập) hoặc thanh toán, hoặc đơn giản chỉ là hiện một bảng thông báo
về các quy định mà người dùng sẽ phải tuân theo và yêu cầu người dùng phải chấp
nhận các quy định đó trước khi truy cập Internet. Captive Portal thường được triển
khai ở hầu hết các điểm truy nhập Wi-Fi và nó cũng có thể được dùng để điều khiển
mạng có dây.

5


Giải pháp xác thực người dùng
Lê Thị Thùy Lương

Đề tài gồm phần mở đầu, bốn chương và kết luận

Chương 1: Vấn đề an ninh an tồn mạng máy tính và các giải pháp xác thực
người dùng
Trình bày tổng quan về vấn đề an ninh trong mạng máy tính, các nguy cơ và
vấn đề bảo mật hệ thống mạng.
Tìm hiểu khái niệm xác thực người dùng và các giải pháp xác thực người dùng
phổ biến. Qua đó đưa ra được các ưu điểm và nhược điểm của các giải pháp đó.
Chương II: Mạng khơng dây và các chính sách bảo mật
Chương này tìm hiểu khái qt về mạng khơng dây và các chính sách bảo mật.
Chương III: Cơng nghệ Captive Portal và sử dụng Radius xác thực trong WLAN
Chương này đi vào khảo sát một công nghệ xác thực người dùng. Đó là xác
thực người dùng bằng cơng nghệ Captive Portal.
Chương IV: Cài đặt và thử nghiệm phân mềm ChilliSpot
Chương này sẽ trình bày về cách cấu hình; cách triển khai cài đặt và sử dụng
chương trình.
Phần kết luận:
Phần này tóm tắt kết quả đạt được, đưa ra những hạn chế của và hướng khai
thác hệ thống trên thực tế.

6


Giải pháp xác thực người dùng
Lê Thị Thùy Lương

Chương 1:
VẤN ĐỀ AN NINH AN TỒN MẠNG MÁY TÍNH VÀ CÁC
GIẢI PHÁP XÁC THỰC NGƯỜI DÙNG
1.1. Tổng quan về vấn đề an ninh an tồn mạng máy tính
1.1.1. Đe dọa an ninh từ đâu?
Trong xã hội, cái thiện và cái ác luôn song song tồn tại như hai mặt không tách

rời, chúng ln phủ định nhau. Có biết bao nhiêu người muốn hướng tới cái chân
thiện, cái tốt đẹp, thì cũng có khơng ít kẻ vì mục đích này hay mục đích khác lại làm
cho cái ác nảy sinh, lấn lướt cái thiện. Sự giằng co giữa cái thiện và cái ác ấy luôn là
vấn đề bức xúc của xã hội, cần phải loại trừ cái ác, thế nhưng cái ác lại ln nảy sinh
theo thời gian. Mạng máy tính cũng vậy, có những người phải mất biết bao nhiêu cơng
sức nghiên cứu ra các biện pháp bảo vệ cho an ninh của tổ chức mình, thì cũng lại có
kẻ tìm mọi cách phá vỡ lớp bảo vệ đó với nhiều ý đồ khác nhau.
Mục đích của người lương thiện là luôn muốn tạo ra các khả năng bảo vệ an
ninh cho tổ chức rất rõ ràng. Ngược lại, ý đồ của kẻ xấu lại ở nhiều góc độ, cung bậc
khác nhau. Có kẻ muốn phá vỡ lớp vỏ an ninh để chứng tỏ khả năng của mình, để thoả
mãn thói hư ích kỷ. Loại người này thường làm hại người khác bằng cách phá hoại các
tài nguyên trên mạng, xâm phạm quyền riêng tư hoặc bôi nhọ danh dự của họ. Nguy
hiểm hơn, có những kẻ lại muốn đoạt khơng các nguồn lợi của người khác như việc
lấy cắp các thông tin mật của các công ty, đột nhập vào ngân hàng để chuyển trộm
tiền... Bởi trên thực tế, hầu hết các tổ chức công ty tham gia vào mạng máy tính tồn
cầu đều có một lượng lớn các thơng tin kết nối trực tuyến. Trong lượng lớn các thông
tin ấy, có các thơng tin bí mật như: các bí mật thương mại, các kế hoạch phát triển sản
phẩm, chiến lược maketing, phân tích tài chính... hay các thơng tin về nhân sự, bí mật
riêng tư... Các thơng tin này hết sức quan trọng, việc để lộ ra các thông tin cho các đối
thủ cạnh tranh sẽ dẫn đến một hậu quả hết sức nghiêm trọng.
Tuy nhiên, không phải bất cứ khi nào muốn những kẻ xấu cũng có thể thực hiện
được mục đích của mình. Chúng cần phải có thời gian, những sơ hở, yếu kém của
chính những hệ thống bảo vệ an ninh mạng. Và để thực hiện được điều đó, chúng cũng
phải có trí tuệ thơng minh cộng với cả một chuỗi dài kinh nghiệm. Còn để xây dựng
được các biện pháp đảm bảo an ninh, đòi hỏi ở người xây dựng cũng khơng kém về trí

7


Giải pháp xác thực người dùng

Lê Thị Thùy Lương
tuệ và kinh nghiệm thực tiễn. Như thế, cả hai mặt tích cực và tiêu cực ấy đều được
thực hiện bởi bàn tay khối óc của con người, khơng có máy móc nào có thể thay thế
được. Vậy, vấn đề an ninh an tồn mạng máy tính hồn tồn mang tính con người.
Ban đầu, những trị phá hoại chỉ mang tính chất là trị chơi của những người có
trí tuệ khơng nhằm mục đích vụ lợi, xấu xa. Tuy nhiên, khi mạng máy tính trở nên phổ
dụng, có sự kết nối của nhiều tổ chức, công ty, cá nhân với nhiều thông tin bí mật, thì
những trị phá hoại ấy lại khơng ngừng gia tăng. Sự phá hoại ấy đã gây ra nhiều hậu
quả nghiêm trọng, nó đã trở thành một loại tội phạm. Theo số liệu thống kê của CERT
(Computer Emegency Response Team) thì số lượng các vụ tấn cơng trên Internet được
thơng báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991,
1400 năm 1993 và 2241 năm 1994. Những vụ tấn công này nhằm vào tất cả các máy
tính có mặt trên Internet, từ các máy tính của các cơng ty lớn như AT & T, IBM, các
trường đại học, các cơ quan nhà nước, các nhà băng... Những con số đưa ra này, trên
thực tế chỉ là phần nổi của tảng băng. Một phần lớn các vụ tấn công không được thông
báo vì nhiều lý do khác nhau, như sự mất uy tín, hoặc chỉ đơn giản là họ khơng hề biết
mình bị tấn công.
Thực tế, đe doạ an ninh không chỉ ở bên ngoài tổ chức, mà bên trong tổ chức
vấn đề cũng hết sức nghiêm trọng. Đe dọa bên trong tổ chức xẩy ra lớn hơn bên ngồi,
ngun nhân chính là do các nhân viên có quyền truy nhập hệ thống gây ra. Vì họ có
quyền truy nhập hệ thống nên họ có thể tìm được các điểm yếu của hệ thống, hoặc vơ
tình họ cũng có thể phá hủy hay tạo cơ hội cho những kẻ khác xâm nhập hệ thống. Và
nguy hiểm hơn, một khi họ là kẻ bất mãn hay phản bội thì hậu quả khơng thể lường
trước được.
Tóm lại, vấn đề an ninh an tồn mạng máy tính hồn tồn là vấn đề con người
và khơng ngừng gia tăng, nó có thể bị đe doạ từ bên ngoài hoặc bên trong tổ chức. Vấn
đề này đã trở thành mối lo ngại lớn cho bất kì chủ thể nào tham gia vào mạng máy tính
tồn cầu. Và như vậy, để đảm bảo việc trao đổi thông tin an tồn và an ninh cho mạng
máy tính, buộc các tổ chức đó phải triển khai các biện pháp bảo vệ đảm bảo an ninh,
mà trước hết là cho chính mình.

1.1.2. Các giải pháp cơ bản đảm bảo an ninh
Như trên ta đã thấy, an ninh an toàn mạng máy tính có thể bị đe doạ từ rất nhiều
góc độ và nguyên nhân khác nhau. Đe doạ an ninh có thể xuất phát từ bên ngoài mạng
nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức. Do đó, việc đảm bảo an

8


Giải pháp xác thực người dùng
Lê Thị Thùy Lương
ninh an tồn cho mạng máy tính cần phải có nhiều giải pháp cụ thể khác nhau. Tuy
nhiên, tổng quan nhất có ba giải pháp cơ bản sau:
o Giải pháp về phần cứng.
o Giải pháp về phần mềm.
o Giải pháp về con người.
Đây là ba giải pháp tổng quát nhất mà bất kì một nhà quản trị an ninh nào cũng
phải tính đến trong cơng tác đảm bảo an ninh an tồn mạng máy tính. Mỗi giải pháp có
một ưu nhược điểm riêng mà người quản trị an ninh cần phải biết phân tích, tổng hợp
và chọn lựa để tạo khả năng đảm bảo an ninh tối ưu nhất cho tổ chức mình.
Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ thống
máy chuyên dụng, cũng có thể là các thiết lập trong mơ hình mạng (thiết lập kênh
truyền riêng, mạng riêng)... Giải pháp phần cứng thơng thường đi kèm với nó là hệ
thống phần mềm điều khiển tương ứng. Đây là một giải pháp khơng phổ biến, vì
khơng linh hoạt trong việc đáp ứng với các tiến bộ của các dịch vụ mới xuất hiện, và
chi phí rất cao.
Khác với giải pháp phần cứng, giải pháp về phần mềm hết sức đa dạng. Giải
pháp phần mềm có thể phụ thuộc hay khơng phụ thuộc vào phần cứng. Cụ thể các giải
pháp về phần mềm như: các phương pháp xác thực, các phương pháp mã hoá, mạng
riêng ảo, các hệ thống bức tường lửa,... Các phương pháp xác thực và mã hố đảm bảo
cho thơng tin truyền trên mạng một cách an tồn nhất. Vì với cách thức làm việc của

nó, thơng tin thật trên đường truyền được mã hoá dưới dạng mà những kẻ “nhịm
trộm” khơng thể thấy được, hoặc nếu thơng tin bị sửa đổi thì tại nơi nhận sẽ có cơ chế
phát hiện sự sửa đổi đó. Cịn phương pháp sử dụng hệ thống bức tường lửa lại đảm bảo
an ninh ở góc độ khác. Bằng cách thiết lập các luật tại một điểm đặc biệt (thường gọi
là điểm nghẹt) giữa hệ thống mạng bên trong (mạng cần bảo vệ) với hệ thống mạng
bên ngồi (mạng được coi là khơng an tồn về bảo mật - hay là Internet), hệ thống bức
tường lửa hồn tồn có thể kiểm sốt các kết nối trao đổi thông tin giữa hai mạng. Với
cách thức này, hệ thống tường lửa đảm bảo an ninh khá tốt cho hệ thống mạng cần bảo
vệ. Như thế, giải pháp về phần mềm gần như hoàn toàn gồm các chương trình máy
tính, do đó chi phí cho giải pháp này sẽ ít hơn so với giải pháp về phần cứng.
Bên cạnh hai giải pháp trên, giải pháp về chính sách con người là một giải pháp
hết sức cơ bản và khơng thể thiếu được. Vì như phần trên đã thấy, vấn đề an ninh an

9


Giải pháp xác thực người dùng
Lê Thị Thùy Lương
toàn mạng máy tính hồn tồn là vấn đề con người, do đó việc đưa ra một hành lang
pháp lý và các quy nguyên tắc làm việc cụ thể là cần thiết. Ở đây, hành lang pháp lý có
thể gồm: các điều khoản trong bộ luật của nhà nước, các văn bản dưới luật,... Cịn các
quy định có thể do từng tổ chức đặt ra cho phù hợp với từng đặc điểm riêng. Các quy
định có thể như: quy định về nhân sự, việc sử dụng máy, sử dụng phần mềm,... Và như
vậy, sẽ hiệu quả nhất trong việc đảm bảo an ninh an tồn cho hệ thống mạng máy tính
một khi ta thực hiện triệt để giải pháp về chính sách con người.
Tóm lại, vấn đề an ninh an tồn mạng máy tính là một vấn đề lớn, nó u cầu
cần phải có một giải pháp tổng thể, khơng chỉ phần mềm, phần cứng máy tính mà nó
địi hỏi cả vấn đề chính sách về con người. Và vấn đề này cần phải được thực hiện một
cách thường xuyên liên tục, khơng bao giờ triệt để được vì nó ln nảy sinh theo thời
gian. Tuy nhiên, bằng các giải pháp tổng thể hợp lý, đặc biệt là giải quyết tốt vấn đề

chính sách về con người ta có thể tạo ra cho mình sự an tồn chắc chắn hơn.

1.2. Vấn đề bảo mật hệ thống và mạng
1.2.1. Các vấn dề chung về bảo mật hệ thống và mạng
Đặc điểm chung của một hệ thống mạng là có nhiều người sử dụng chung và
phân tán về mặt địa lý nên việc bảo vệ tài nguyên phức tạp hơn nhiều so với việc mơi
trường một máy tính đơn lẻ, hoặc một người sử dụng.
Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin trên
mạng là tin cậy và sử dụng đúng mục đích, đối tượng đồng thời đảm bảo mạng hoạt
động ổn định không bị tấn công bởi những kẻ phá hoại.
Nhưng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ
thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vơ hiệu hóa bởi những
kẻ có ý đồ xấu.
1.2.2. Một số khái niệm và lịch sử bảo mật hệ thống
a. Đối tượng tấn công mạng (intruder)
Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và
các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dị tìm các điểm yếu và các
lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài
nguyên trái phép.
Một số đối tượng tấn công mạng như:

10


Giải pháp xác thực người dùng
Lê Thị Thùy Lương
Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công
cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ thống
Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ IP,
tên miền, định danh người dùng…

Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng
các cơng cụ Sniffer, sau đó dùng các cơng cụ phân tích và debug để lấy được các
thơng tin có giá trị.
Những đối tượng tấn cơng mạng có thể nhằm nhiều mục đích khác nhau như ăn
cắp các thơng tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể
đó là những hành động vô ý thức…
b. Các lỗ hổng bảo mật
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một
dịch vụ mà dựa vào đó kẻ tấn cơng có thể xâm nhập trái phép vào hệ thống để thực
hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.
Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: có thể do lỗi của bản thân
hệ thống, hoặc phần mềm cung cấp hoặc người quản trị yếu kém không hiểu sâu về
các dịch vụ cung cấp…
Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau. Có lỗ hổng chỉ
ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới tồn bộ hệ thống
hoặc phá hủy hệ thống.
c. Chính sách bảo mật
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia
quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng.
Đối với từng trường hợp phải có chính sách bảo mật khác nhau. Chính sách bảo
mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên
trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biện pháp đảm bảo
hữu hiệu trong quá trình trang bị, cấu hình và kiểm sốt hoạt động của hệ thống và
mạng.

11


Giải pháp xác thực người dùng
Lê Thị Thùy Lương


1.3. Các kiến thức cơ bản về xác thực người dùng
Khi người sử dụng muốn truy nhập vào một hệ thống máy tính, thơng thường,
người sử dụng cần cung cấp các thơng tin nhận dạng cho máy tính. Khi nhận được các
thơng tin ấy, máy tính kiểm tra xem người sử dụng có quyền truy nhập vào hệ thống
khơng. Đây cũng là một nguyên tắc cơ bản được áp dụng cho một người khi muốn trao
đổi thông tin với người khác: Trước tiên cần phải xác định người tham gia trao đổi
thông tin có đúng là người muốn trao đổi khơng. Do đó cần phải có một phương thức
để cung cấp đặc điểm nhận dạng nhằm đảm bảo người trao đổi thông tin là hợp lệ. Quá
trình này được gọi là xác thực người sử dụng.
Trên thế giới cũng như ở Việt Nam, vấn đề xác thực người dùng đang được
quan tâm và đã có nhiều giải pháp được sử dụng và nghiên cứu. Có rất nhiều cách để
xác thực: người sử dụng có thể cung cấp các thơng tin mà chỉ có người đó mới biết: ví
dụ mật khẩu, mã số cá nhân,… hoặc người đó có thể cung cấp các thông tin riêng khác
như số chứng minh thư, thẻ từ, thẻ thơng minh… Trong đó, mỗi giải pháp lại có những
ưu điểm và nhược điểm riêng khác nhau.
1.3.1. Khái niệm về xác thực người dùng
Xác thực người dùng là một q trình qua đó hệ thống có thể xác minh rằng
một ai đó thực sự là họ. Q trình xác thực sẽ xác định xem một người có phải là
người được sử dụng hệ thống khơng. Nó thường đi kèm với q trình xác định quyền
hạn của người đó trong hệ thống.
1.3.2. Các giải pháp xác thực người dùng phổ biến
a. Giải pháp sử dụng tên và mật khẩu
 Mô tả
Đây là giải pháp truyền thống hay được sử dụng nhất, là giải pháp sử dụng tài
khoản của hệ thống. Mỗi tài khoản bao gồm tên truy nhập (uername) và mật khẩu
(password). Tên truy nhập dùng để phân biệt các người dùng khác nhau (thường là duy
nhất trong hệ thống), còn mật khẩu để xác thực lại người sử dụng tên đó có đúng là
người dùng thật sự khơng. Mật khẩu thường do người sở hữu tên truy nhập tương ứng
đặt và được giữ bí mật chỉ có người đó biết.

Khi người dùng muốn đăng nhập và sử dụng tài nguyên hệ thống thì phải đăng
nhập bằng cách nhập tên và mật khẩu của mình. Trước hết, hệ thống sẽ đối chiếu tên

12


Giải pháp xác thực người dùng
Lê Thị Thùy Lương
truy nhập của người dùng đưa vào với cơ sở dữ liệu tên người dùng, nếu tồn tại tên
người dùng như vậy thì hệ thống tiếp tục đối chiếu mật khẩu được đưa vào tương ứng
với tên truy nhập trong cơ sở dữ liệu. Qua 2 lần đối chiếu nếu thỏa mãn thì người đăng
nhập là người dùng hợp lệ của hệ thống.
 Ưu điềm
Thiết kế và sử dụng đơn giản, tốn ít tài nguyên. Hệ thống chỉ gồm một cơ sở dữ
liệu người dùng với 2 thông tin chủ yếu là tên truy nhập và mật khẩu. Tương ứng với
mỗi tên truy nhập là quyền sử dụng của người đó trong hệ thống. Do đó các thơng tin
này khơng chiếm nhiều tài nguyên. Người dùng dễ hiểu và dễ sử dụng.
Chi phí để thực hiện giải pháp này là rẻ so với các giải pháp khác. Nó khơng
phụ thuộc vào các thiết bị phần cứng mà chỉ dựa trên phần mềm. Giải pháp này có khả
năng làm việc trên mọi hệ điều hành. Do đó, việc thực hiện giải pháp này khá dễ dàng
và không tốn kém.
 Nhược điểm
Giải pháp này có nhược điểm lớn nhất là khơng có được sự bảo mật cao. Vì
người dùng thường có tên đăng nhập nhiều người dùng có. Mặt khác, người dùng
thường chọn mật khẩu dễ nhớ hoặc không cẩn thận khi gõ mật khẩu, do vậy dễ bị tấn
cơng. Kẻ tấn cơng có nhiều phương pháp để đạt được mật khẩu như thâm nhập vào hệ
thống đọc file mật khẩu, dự đoán mật khẩu, vét cạn các từ trong từ điển để tìm mật
khẩu, hoặc có thể lừa người dùng để lộ mật khẩu.
Một số biện pháp để tăng thêm tính bảo mật cho giải pháp này:
Đặt mật khẩu phức tạp: mật khẩu phải chứa tối thiểu 6 ký tự, không trùng với

tên đăng nhập, chứa các loại ký tự là chữ cái, chữ số, ký tự đặc biệt. Nếu đặt như vậy
thì kẻ muốn tấn cơng cũng sẽ rất khó đốn được mật khẩu.
Thay đổi mật khẩu: quy định sau một thời gian nhất định mật khẩu sẽ khơng
cịn tác dụng đối với hệ thống và người dùng phải đặt lại mật khẩu khác. Mật khẩu sẽ
được thay đổi nên khả năng kiểm sốt tình trạng an tồn của mật khẩu cao hơn.
Mã hóa thơng tin: Trong mơi trường làm việc là mạng, những nhà thiết kế
thường dùng biện pháp mã hóa thơng tin đăng nhập từ một máy khách nào đó trước
khi chúng được gửi đi tới máy chủ của hệ thống. Do đó, khả năng bị mất cắp mật khẩu
sẽ giảm đi rất nhiều khi kẻ xấu bắt gói tin đăng nhập trên đường truyền.

13


Giải pháp xác thực người dùng
Lê Thị Thùy Lương
Hiện nay, giải pháp mật khẩu sử dụng một lần (one-time password) được sử
dụng rất nhiều trong các ứng dụng. Các mật khẩu trong danh sách chỉ có thể sử dụng
một lần duy nhất mà không thể sử dụng lại trong những lần đăng nhập sau. Có 2 cách
để hệ thống mật khẩu sử dụng một lần có thể làm việc là:
Danh sách các mật khẩu được tạo ra một cách ngẫu nhiên bởi hệ thống và được
sao làm 2 bản, một bản cho người dùng và một bản cho hệ thống.
Danh sách mật khẩu được tạo ra theo yêu cầu của người sử dụng và được hệ
thống cơng nhận.
Q trình thực hiện: Sử dụng thuật toán MD4 (hiện nay là MD5) từ một giá trị
cho trước (do người dùng hoặc do máy ngẫu nhiên tạo ra) để tạo ra khóa đầu tiên, tiếp
tục áp dụng thuật tốn MD4 cho khóa đầu tiên để được khóa thứ 2 …và cứ áp dụng
liên tục thuật tốn MD4 để sinh ra các khóa nối tiếp nhau. Khi xác thực người dùng, hệ
thống phải biết một trong các khóa (khóa thứ n) , nó sẽ hỏi người dùng khóa trước đó
(khóa thứ n-1). Nếu người dùng nhập đúng khóa n-1 thì hệ thống sẽ cho người dùng
đăng nhập và ghi lại khóa n-1 vào bộ nhớ. Đến lần đăng nhập sau, hệ thống sẽ hỏi

người dùng khóa thứ n-2 …
Khi dùng thuật tốn MD4 để sinh ra kết quả thì từ kết quả hầu như không thể
suy ngược lại giá trị đầu vào nên hệ thống khơng thể tìm ra được khóa thứ n-1 là gì,
mặc dù khi biết cả khóa thứ n.
Tuy nhiên, theo cách này kẻ xấu vẫn có thể tấn cơng. Nếu người dùng tự thiết
lập giá trị đầu vào để xây dựng hệ thống khóa thì rất có thể nó sẽ được đoán ra theo
các cách giống như khi đoán các mật khẩu thơng thường. Đối với những từ đốn được,
kẻ tấn cơng sẽ áp dụng thuật tốn MD4 để sinh ra các khóa và sẽ thử hết các khóa này
cho đến khi tìm được khóa người dùng đang sử dụng. Còn trong trường hợp hệ thống
sẽ tự sinh ra giá trị ban đầu và một lượng mật khẩu đủ dùng trong một thời gian nào
đó, người dùng sẽ có một danh sách các mật khẩu được đánh thứ tự. Về phía người
dùng, họ sẽ khơng thích phải dùng nhiều mật khẩu. Điều này gây phiền toái cho người
dùng và khả năng bị mất cắp danh sách khóa là rất cao. Ngồi ra, kẻ tấn cơng cịn có
thể dùng phương pháp bắt gói tin đăng nhập của người dùng để lấy mật khẩu.
 Ứng dụng
Giải pháp này đã và đang được sử dụng rất nhiều trong các ứng dụng. Nó được
ứng dụng trên một máy tính và đặc biệt được ứng dụng cả trên mạng. Kể cả các cơ

14


Giải pháp xác thực người dùng
Lê Thị Thùy Lương
quan, tổ chức khơng có điều kiện kinh tế để có thể trang bị cho hệ thống mạng của
mình các đường truyền tốc độ cao thì vẫn có thể sử dụng giải pháp này. Bởi vì, thơng
tin truyền và lưu trữ chỉ bao gồm tên đăng nhập và mật khẩu. Dung lượng truyền đi
trên đường truyền nhỏ nên dù đường truyền có băng thơng khơng lớn thì thơng tin này
cũng được truyền đi trong một khoảng thời gian chấp nhận được.
Các ứng dụng tiêu biểu hiện nay đang sử dụng giải pháp xác thực bằng mật
khẩu như: Hệ điều hành (Windows, Unix…), các dịch vụ thư điện tử, thương mại điện

tử…
b. Giải pháp dùng thẻ thông minh
 Mô tả
Thẻ thông minh (smart cart) là một thẻ plastic có kích cỡ như thẻ tín dụng được
trang bị một vi mạch dùng để chứa bộ nhớ và một mạch xử lý với hệ điều hành để
kiểm sốt bộ nhớ.
Nó có thể lưu trữ dữ liệu về thông tin cá nhân, tiền hoặc một số thông tin khác
mà sự thay đổi của chúng cần được kiểm sốt chặt chẽ. Ngồi ra, nó có thể lưu trữ các
khóa mã hóa để người dùng có thể nhận dạng qua mạng, chữ ký điện tử … Đặc biệt,
hiện nay thẻ thơng minh có hỗ trợ chứng nhận số. Nó mã hóa dữ liệu và kiểm tra tính
hợp lệ của các giao dịch qua mạng. Đây là một giải pháp rất hiệu quả và linh động cho
các vấn đề về xác thực người dùng.
Hiện nay, các cơ quan tổ chức dùng thẻ rầt nhiều. Đầu tiên, những thông tin cần
thiết cho việc nhận dạng các nhân viên trong cơ quan, tổ chức sẽ được lưu vào bộ nhớ
của thẻ. Sau đó, nó được cung cấp cho các nhân viên tương ứng với các thơng tin đó.
Mỗi cơ quan, tổ chức khác nhau sẽ có các u cầu về thơng tin xác thực khác nhau
nhưng thường là các thông tin như tên truy nhập, mật khẩu và một số thông tin cá nhân
khác.
Trong hệ thống thơng tin địi hỏi phải có xác thực người dùng, nhân viên trong
tổ chức chỉ cần đưa thẻ vào thiết bị đọc thẻ và nhập vào một mã số bí mật nào đó để
xác nhận với hệ thống là chính họ là người sở hữu chiếc thẻ đó. Khi đã nhập đúng mã
này, thiết bị đọc thẻ sẽ đọc các thông tin nhận dạng được ghi trong thẻ và chuyển các
thông tin này đến hệ thống, sau đó hệ thống sẽ kiểm tra chúng với cơ sở dữ liệu người
dùng.
 Ưu điểm

15


Giải pháp xác thực người dùng

Lê Thị Thùy Lương
Nhờ vào kiến trúc vật lý và logic của thẻ mà đã giảm được rất nhiều các nguy
cơ gây mất an toàn thông tin. Mọi hoạt động của thẻ đều được kiểm sốt bởi hệ điều
hành nên các thơng tin cần giữ bí mật sẽ khơng thể lấy ra được từ thẻ. Các thông tin
bên trong thẻ không thể bị kẻ xấu lấy cắp như các thông tin được lưu trữ trong các
phần mềm hệ quản trị cơ sở dữ liệu thông thường.
Các khóa bí mật dùng cho chữ ký điện tử và nhận dạng đều được lưu trữ bên
trong thẻ. Nhà sản xuất thẻ cũng như người sở hữu thẻ đều khơng thể biết được các
khóa này. Vì vậy, chúng khơng thể bị lấy cắp hay bị sao chép.
Mỗi chiếc thẻ đều có số nhận dạng PIN để tránh việc đánh cắp và bị kẻ xấu sử
dụng. Trước khi sử dụng thẻ, người dùng phải nhập vào số PIN của thẻ. Cơ chế quản
lý số PIN của thẻ cũng rất an tồn bởi vì số PIN gần như khơng thể đốn ra được. Mặt
khác, thẻ quy định số lần nhập tối đa, nếu số lần nhập khơng chính xác liên tục đến
con số quy định thì thẻ sẽ tự động khóa. Muốn mở khóa thì người dùng phải nhập vào
một số dùng để mở khóa của thẻ. Tương tự, nếu nhập khơng chính xác liên tiếp đến
một số nào đó thẻ sẽ bị khóa vĩnh viễn và khơng thể sử dụng lại nữa. Như vậy, việc sử
dụng thẻ là rất an tồn và thuận tiện. Giờ đây người dùng thay vì phải nhớ nhiều số mà
chỉ phải nhớ một số, còn các thông tin nhận dạng đều ở trong thẻ. Trong trường hợp
thẻ bị mất cắp, kẻ lấy cắp cũng không thể sử dụng được thẻ vì khơng có số PIN.
 Nhược điểm
Tuy giải pháp này đã hạn chế được sự mất cắp thẻ bằng cách kết hợp thẻ với
một số PIN nhưng vẫn có thể bị đánh cắp cả thẻ và cả số PIN. Vẫn bắt người dùng
phải nhớ số PIN và phải thêm một chiếc thẻ mới có thể thực hiện việc xác thực.
Để áp dụng giải pháp này, các cơ quan phải trang bị thêm các thiết bị như thiết
bị đọc thẻ, thiết bị ghi, các phần mềm hỗ trợ …Số lượng và giá thành của các thiết bị
này khơng phải là nhỏ, do đó khá là tốn kém.
Các dịch vụ hỗ trợ phổ biến cho việc xác thực bằng thẻ là chưa đầy đủ. Các
dịch vụ thư điện tử, các dịch vụ thương mại …cần đến xác thực trên Internet đều chưa
hỗ trợ xác thực bằng thẻ. Hiện nay, hầu như các nhà cung cấp giải pháp xác thực bằng
thẻ đều phát triển các dịch vụ theo mơ hình riêng của mình, sử dụng các thiết bị riêng

chưa thống nhất, do đó khả năng liên hệ giữa các hệ thống hầu như khơng có.
 Ứng dụng

16


Giải pháp xác thực người dùng
Lê Thị Thùy Lương
Đây được coi là giải pháp tương đối hoàn chỉnh và được nhận định là có tiềm
năng lớn. Hiện nay, trên thế giới có rất nhiều cơng ty lớn đang phát triển những giải
pháp xác thực hoàn thiện hơn về cả mức độ an toàn và khả năng linh động trong việc
sử dụng thẻ. Có rất nhiều quốc gia đã sử dụng công nghệ này để làm chưng minh thư,
thẻ rút tiền ngân hàng… Giải pháp này ngày càng được sử dụng nhiều hơn do sự phát
triển về khoa học công nghệ, giá thành của thẻ cũng như của các thiết bị có liên quan
giảm đi rất nhiều trong thời gian vừa qua. Tổ chức chuẩn hóa quốc tế ISO đã và đang
đưa ra những tiêu chuẩn thống nhất trong việc xây dựng và phát triển thẻ.
c. Giải pháp xác thực sử dụng các kỹ thuật sinh trắc học
 Mô tả
Tuy giải pháp xác thực sử dụng thẻ thông minh khá an toàn và linh hoạt nhưng
trong những lĩnh vực quan trọng cần sự an toàn chặt chẽ như ngân hàng, quân sự …
địi hỏi phải có giải pháp khác an tồn hơn. Và các nhà nghiên cứu đã đưa ra giải pháp
xác thực sử dụng các kỹ thuật sinh trắc học để giải quyết những vấn đề đó.
Giải pháp này dựa vào một số bộ phận của con người như dấu vân tay, hình
dạng lịng bàn tay, mắt, giọng nói…Đây là những đặc điểm đặc trưng mà khơng của
người nào hồn toàn giống của người nào. Để xác thực trong máy tính, chúng ta phải
số hóa và lưu trữ các đặc điểm này vào một cơ sở dữ liệu. Ngoài ra cịn phải có các
thiết bị để ghi nhận các thơng tin và chuyển về để đối chiếu với cơ sở dữ liệu đã có
trong hệ thống.
Ở phía máy khách, người dùng sử dụng một thiết bị đầu cuối có hỗ trợ biểu
mẫu dùng cho việc đăng nhập vào hệ thống hoặc trong mơi trường Internet thì sử dụng

trình duyệt để mở trang đăng nhập.
Người dùng sẽ phải điền vào biểu mẫu mật khẩu hay một thông tin nhận dạng
tương tự và cung cấp mẫu sinh trắc học như dấu vân tay, hình dạng lịng bàn tay, mắt,
giọng nói, chữ ký …thơng qua các thiết bị nhận dạng được tích hợp trong đó. Sau đó,
các thơng tin này sẽ được chuyển về trung tâm xác thực của hệ thống để kiểm tra.
Trung tâm sẽ phân tích mẫu thu được và đối chiếu xem mẫu tương ứng với mật khẩu
được lưu trong cơ sở dữ liệu có trùng hay khơng, nếu trùng thì người dùng đăng nhập
là hợp lệ. Và hệ thống sẽ đưa ra các quyền hạn, tài nguyên phù hợp cho người sử dụng.
 Ưu điểm

17


Giải pháp xác thực người dùng
Lê Thị Thùy Lương
Người dùng hầu như không thể thay đổi được đặc điểm các bộ phận như dấu
vân tay, mắt …để dùng trong xác thực.
Người dùng cũng không thể đưa những đặc điểm này cho người khác sử dụng
như thẻ hay mật khẩu được.
Các đặc điểm sinh trắc học này thì khơng thể bị mất cắp. Ngày nay với trình độ
khoa học cơng nghệ phát triển, việc nhận biết các thông tin sinh trắc học đã có thể
phân biệt được thơng tin sinh trắc học của người sống và của người chết.
 Nhược điểm
Khi mà các dữ liệu sinh trắc học khó có sự thay đổi như dấu vân tay, mắt được
sử dụng trong các ứng dụng khác nhau thì rất dễ bị đánh cắp.
Trên thế giới vẫn chưa có một chuẩn chung nào cho việc số hóa các mẫu sinh
trắc học. Mặt khác, các nhà sản xuất khác nhau cung cấp các thiết bị xác thực mẫu sinh
trắc học theo các chuẩn khác nhau khơng có sự thống nhất. Do đó, việc trang bị hệ
thống xác thực này khơng có tính linh động cao.
Có một số thơng tin có thể bị thay đổi vì nhiều lý do. Ví dụ: Dấu vân tay bị thay

đối do bị chấn thương, giọng nói bị méo do bị viêm họng …Do đó, việc xác thực đúng
các thơng tin này thường rất thấp.
Ở nhiều nơi việc đưa giải pháp này vào các ứng dụng trên Internet là không
thực tế. Các thông tin xác thực sinh trắc học thường khá lớn trong khi băng thông
đường truyền không phải ở đâu cũng đủ rộng. Dẫn đến kết quả phản hồi lại rất chậm.
 Ứng dụng
Đây là một giải pháp có mức độ an toàn cao nhất và được đánh giá là có khả
năng phát triển rộng rãi. Khoa học cơng nghệ ngày càng phát triển hiện đại sẽ làm tăng
thêm sự an tồn, tính tiện lợi và giảm giá thành của các thiết bị liên quan đến.
Một số hãng phần mềm lớn đã hỗ trợ giải pháp xác thực bằng sinh trắc học như
hãng Microsoft với các phiên bản hệ điều hành Windows NT, Windows 2000… Nước
Anh cũng đã bắt đầu nghiên cứu và đưa vào triển khai kế hoạch sử dụng các thông tin
sinh trắc học trong công việc quản lý như các thẻ dịch vụ, chứng minh thư …
1.3.3. Các giao thức xác thực
Dịch vụ xác thực đặc biệt quan trọng trong việc đảm bảo cho một hệ thống hoạt
động an toàn. Một hệ thống thường phải xác thực một thực thể trước khi tiến hành

18


Giải pháp xác thực người dùng
Lê Thị Thùy Lương
truyền thông với thực thể đó. Nhận dạng của thực thể sau đó được sử dụng để xác định
quyền truy cập hay để thực hiện chống chối bỏ. Trong giao thức xác thực, hai bên
thường đồng ý chia sẻ một bí mật để đảm bảo tính tồn vẹn và tính bí mật.
Các kỹ thuật xác thực thường dựa trên ba mơ hình: bạn-có-cái-gì-đó, bạn-biếtcái-gì-đó và bạn-là-cái-gì-đó. Trong mơ hình xác thực bạn-biết-cái-gì-đó, người sử
dụng đưa ra tri thức về một cái gì đó ví dụ như password hoặc một số định danh cá
nhân. Trong hướng tiếp cận bạn-có-cái-gì-đó, người sử dụng chứng minh sự chiếm
hữu một vật gì đó ví dụ như một khóa vật lý, một dấu hiệu, một card tự nhận dạng
hoặc một khóa bí mật được lưu trữ trên smart card. Mơ hình bạn-là-cái-gì-đấy dựa trên

một đặc điểm khơng thể thay đổi của người sử dụng như giọng nói, dấu vân tay hay
võng mạc.
Vì các kỹ thuật này khơng cung cấp đủ sự đảm bảo về nhận dạng nếu được sử
dụng đơn lẻ, nên các hệ thống kết hợp cả ba mơ hình có thể được sử dụng. Các hệ
thống này yêu cầu người sử dụng đưa ra hơn một loại bằng chứng để chứng minh nhận
dạng của mình. Ví dụ như một máy ATM (Asynchronous Transfer Mode) yêu cầu một
người chứng minh cả tri thức về số nhận dạng cá nhân và sự sở hữu một card để truy
cập được đến account của mình.
Hệ thống xác thực có thể thực hiện các giao thức xác thực phức tạp với các thiết
bị kiểm tra nhận dạng của người sử dụng. Các giao thức này có thể sử dụng các thao
tác mã hóa phức tạp và sử dụng các khóa mã hóa dài để ngăn cản nhiều loại tấn cơng
truyền thống. Sau đây là một số giao thức xác thực phổ biến:
 Giao thức thử thách và trả lời: Giao thức thử thách và trả lời cho phép người
truy nhập tự xác thực mình với hệ thống bằng cách chứng minh hiểu biết của mình về
giá trị mật mã bí mật mà không yêu cầu người truy nhập tiết lộ bí mật. Hệ thống xác
thực đưa ra cho người truy nhập một số được tạo ra một cách ngẫu nhiên được gọi là
thử thách. Người truy nhập nhập số thử thách và giá trị mật để hàm mật mã tính ra câu
trả lời. Hệ thống xác thực nét nhận dạng của người truy nhập nếu câu trả lời là giá trị
mong đợi. Bởi vì thử thách là một số ngẫu nhiên, giao thức thử thách – trả lời cung cấp
một lá chắn có hiệu quả chống lại sự tấn cơng lặp lại.
 Giao thức xác thực khơng tiết lộ bí mật: cho phép người sử dụng tự xác thực
với một hệ thống bằng cách chứng minh tri thức về một giá trị bí mật mà khơng u
cầu người sử dụng tiết lộ bí mật. Hệ thống xác thực gửi cho người sử dụng một số bất

19


Giải pháp xác thực người dùng
Lê Thị Thùy Lương
kỳ. Người sử dụng sử dụng giá trị bất kỳ đó và bí mật để tính tốn một giá trị trả lời.

Hệ thống xác nhận nhận dạng của người sử dụng nếu giá trị trả lời đúng.
 Giao thức biến đổi mật khẩu: một người sử dụng xử lý mật khẩu của mình
thơng qua một hàm băm và gửi kết quả cho hệ thống xác thực. Hệ thống so sánh giá trị
băm với giá trị băm đúng mà nó lưu trữ, người sử dụng sẽ được xác thực nếu hai giá trị
này giống nhau. Nếu hệ thống lưu trữ mật khẩu thay vì lưu trữ các giá trị băm của nó,
nó phải tính tốn giá trị băm trước khi thực hiện so sánh. Các giao thức này ngăn chặn
việc ăn cắp mật khẩu trên đường truyền nhưng lại dễ bị đánh lừa bởi các cuộc tấn công
lặp lại.
 Giao thức sử dụng mật khẩu một lần: là cải tiến của phương pháp biến đổi
mật khẩu để chống lại các cuộc tấn công lặp lại. Giao thức này yêu cầu người sử dụng
và hệ thống xác thực chia sẻ một số bí mật nhỏ n. Người sử dụng băm mật khẩu của
mình n lần để tạo ra mật khẩu sử dụng một lần và gửi nó tới hệ thống, trong khi đó hệ
thống cũng thực hiện băm giá trị mật khẩu của người sử dụng mà nó lưu trữ n lần và sẽ
xác thực người sử dụng nếu hai giá trị này trùng nhau. Các cuộc tấn công lặp lại không
thể thực hiện được bởi mật khẩu lần sau không xác định được từ mật khẩu của lần truy
nhập trước.
 Giao thức sử dụng chứng chỉ số: là một dạng khác của giao thức xác thực
khơng tiết lộ bí mật trong đó giá trị mã hóa bí mật là một khóa riêng và hệ thống xác
thực sử dụng khóa cơng khai tương ứng để kiểm tra trả lời.
1.3.4. Nhận xét
Giải pháp xác thực sử dụng tên và mật khẩu là giải pháp truyền thống được sử
dụng phổ biến nhất hiện nay. Nó có hiệu quả, đơn giản, nhanh gọn và giá thành thấp.
Song, giải pháp này còn tồn tại khá nhiều bất cập, nguy cơ bị đánh cắp cao. Khi ứng
dụng trên Internet, các thông tin này cũng rất dễ bị lấy cắp trong q trình truyền thơng
tin đi. Hiện nay, để hạn chế các nhược điểm này, có nhiều cơ chế bảo mật được sử
dụng như mật khẩu dùng một lần.
Giải pháp xác thực sử dụng thẻ đã hạn chế một số nhược điểm của giải pháp
dùng tên và mật khẩu. Các thông tin cần thiết của người dùng được lưu trữ ngay trên
thẻ. Các thẻ hầu như đều yêu cầu người sử dụng phải nhập vào một số nhận dạng PIN
làm tăng thêm mức độ an toàn. Đây là giải pháp khá hồn chỉnh và an tồn nhưng chi

phí cho việc áp dụng giải pháp này lại cao. Các nước phát triển trên thế giới sử dụng
nhiều.

20