Sử dụng OTP để nhận dạng đối tác trên website quản lý giáo dục
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.3 MB, 86 trang )
MỤC LỤC
LỜI CAM ĐOAN ................................................................................................... i
LỜI CẢM ƠN ....................................................................................................... ii
MỤC LỤC ........................................................................................................... iii
DANH MỤC CHỮ VIẾT TẮT tiếng anh ............................................................ vii
DANH MỤC CHỮ VIẾT TẮT tiếng việt ............................................................. ix
DANH MỤC CÁC KÝ HIỆU ............................................................................... x
DANH MỤC CÁC BẢNG BIỂU ......................................................................... xi
DANH MỤC CÁC HÌNH VẼ ............................................................................. xii
LỜI NÓI ĐẦU ...................................................................................................... 1
CHƯƠNG 1:NHU CẦU NHẬN DẠNG ĐỐI TÁC CỦA WEBSITE QUẢN LÝ
ĐÀO TẠO ............................................................................................................. 4
CỦA TRƯỜNG CĐ CÔNG NGHIỆP HÀ NỘI ..................................................... 4
1.1. Khảo sát tình hình quản lý đào tạo của Trường Cao đẳng Công Nghiệp
Hà Nội. .............................................................................................................. 4
1.1.1. Mô tả thực thể nghiên cứu. .................................................................... 4
1.1.2. Công tác quản lý đào tạo trong nhà trường. ........................................... 5
1.1.3.Giới thiệu chức năng quản lý điểm, quản lý giáo viên của trang web đang
hoạt động của trường. ..................................................................................... 6
1.2.Nguy cơ về vấn đề mạo danh và nhu cầu nhận dạng đối tác.......................... 6
1.2.1.Mạo danh giáo viên đăng nhập chức năng nhập, sửa điểm...................... 6
1.2.2.Mạo danh sinh viên đăng ký học phần, xin nghỉ, xin điểm. .................... 6
Kết luận chương 1: ............................................................................................. 7
CHƯƠNG 2: GIỚI THIỆU MỘT SỐ CÔNG NGHỆ SỬ DỤNG .......................... 8
CHO HỆ THỐNG THÔNG TIN AN TOÀN ........................................................ 8
2.1.Tổng quan về hệ thống thông tin an toàn ...................................................... 8
2.1.1 Yêu cầu cho một hệ thống thông tin an toàn trong môi trường “mở” ...... 8
2.1.1.1. Nguyên lý 1: Nguyên lý bí mật/ riêng tư (Confidentiality/ Privacy)8
2.1.1.2 Nguyên lý 2: Nguyên lý toàn vẹn (Integrity) .................................. 8
2.1.1.3.Nguyên lý 3: Nguyên lý chống chối bỏ (Non Repudition) .............. 9
2.1.1.4 Nguyên lý 4: Nguyên lý nhận dạng (Identification) ........................ 9
iii
2.2. Đại cương về Mật mã học.......................................................................... 10
2.2.1. Khái niệm chung –Cryptography. ........................................................ 10
2.2.2 Mã hóa khóa đối xứng .......................................................................... 11
2.2.2.1 Khái niệm..................................................................................... 11
2.2.2.2 Phân loại mã hóa khóa đối xứng ................................................... 12
2.2.2.3 Ưu nhược điểm và phạm vi sử dụng của mã hóa khóa đối xứng. .. 12
2.2.3. Mã hóa khóa bất đối xứng ................................................................... 13
2.2.3.1 Khái niệm: ................................................................................... 13
2.2.4 Chữ ký điện tử, chữ ký số và hệ thống chứng thực điện tử CA ............. 15
2.2.4.1 Chữ ký điện tử.............................................................................. 15
2.2.4.2 Chữ ký số (Digital Signature) ....................................................... 17
2.2.4.3 Hệ thống chứng thực điện tử CA .................................................. 18
2.3 Giao thức (SSL) ......................................................................................... 20
2.4. Mật khẩu giao dịch một lần OTP ............................................................... 24
2.4.1 Giới thiệu ............................................................................................. 24
2.4.1.1 Mã xác thực OTP là gì? ................................................................ 24
2.4.1.2 Ưu điểm khi sử dụng OTP ............................................................ 25
2.4.2. Các phương pháp chuyển giao OTP .................................................... 26
2.4.2.1.Sử dụng OTP Token ..................................................................... 26
2.4.2.2.Sử dụng tin nhắn qua điện thoại SMS ........................................... 27
2.4.2.3. Smart OTP hay Smart Token ....................................................... 28
2.4.2.4. Sử dụng Ma trận OTP- Matrix Card ............................................ 29
3.4.4.1 Tính toán độ bảo mật .................................................................... 30
Kết luận chương 2: ........................................................................................... 31
CHƯƠNG 3: THỬ NGHIỆM TÍCH HỢP PHƯƠNG THỨC CHUYỂN GIAO
MA TRẬN OTP CHO MỘT WEBSITE QUẢN LÝ ĐÀO TẠO ...................... 32
3.1 Giới thiệu về các Công nghệ sử dụng tạo trang web ................................... 32
3.1.1 HTML .................................................................................................. 32
3.1.2. Xây dựng trang web - Website builders: .............................................. 32
3.1.2.1 Khái niệm..................................................................................... 33
iv
3.1.2.2. 10 phần mềm đứng đầu về tạo trang web - 10 Top Website Builders
................................................................................................................ 33
3.1.3. Phần mềm thiết kế web thương mại điện tử - Ecommerce Website
Builders ........................................................................................................ 33
3.1.3.1 Khái niệm..................................................................................... 33
3.1.3.2. 10 phần mềm tạo trang web thương mại điện tử hàng đầu -10 Top
Ecommerce Website Builders .................................................................. 34
3.1.4. PHP ..................................................................................................... 35
3.1.4.1. Khái niệm: PHP (viết tắt "PHP: Hypertext Preprocessor").......... 35
3.1.4.2. Lịch sử phát triển của PHP .......................................................... 35
3.1.4.3. Một số điểm mạnh của PHP ........................................................ 38
3.1.5 MySQL ................................................................................................ 39
3.1.5.1 Khái niệm: ................................................................................... 39
3.1.5.2 Một số điểm mạnh của MySQL .................................................... 39
3.1.5.3 Kết luận........................................................................................ 40
3.1.6 JOOMLA ............................................................................................. 41
3.1.6.1 Khái niệm..................................................................................... 41
3.1.6.2 Lịch sử phát triển ......................................................................... 41
3.2 Phân tích và thiết kế hệ thống ..................................................................... 44
3.2.1. Phương pháp ....................................................................................... 44
3.2.2.Các chức năng của trang web ............................................................... 46
3.2.2.1. Sơ đồ Trang web hiện có của nhà trường ..................................... 46
3.2.2.2.Bổ sung thêm chức năng phía người dùng - frontend ( Sơ đồ phân
cấp chức năng phía người dùng - frontend) .............................................. 47
3.2.2.3. Chức năng phía Quản trị - Backend (Sơ đồ phân cấp chức năng phía
Quản trị - backend) .................................................................................. 49
3.2.3. Tích hợp chức năng chuyển giao và nhận dạng bằng OTP. .................. 52
3.2.4. Sơ đồ hoạt động của hệ thống .............................................................. 53
3.2.4.1. Sơ đồ tạo tài khoản ...................................................................... 53
3.2.4.2. Sơ đồ hoạt động đăng nhập ......................................................... 54
v
3.2.4.3 Sơ đồ xác thực giáo viên ............................................................. 55
3.2.4.4 Sơ đồ quản lý giáo viên ............................................................... 56
3.2.4.5 Sơ đồ quản lý điểm...................................................................... 57
3.2.4.6 Sơ đồ quản lý tin tức ................................................................... 58
3.2.4.7.Sơ đồ Trang web sử dụng OTP.................................................... 61
3.2.4.8 Sơ đồ dữ liệu mức ngữ cảnh ......................................................... 62
3.2.4.9 Sơ đồ dữ liệu mức đỉnh: ............................................................... 63
3.2.5. Thiết kế cơ sở dữ liệu .......................................................................... 64
3.2.5.1.Mô tả chi tiết các bảng ................................................................. 64
3.3 Chương trình Demo .................................................................................... 66
3.3.1. Tạo một tài khoản................................................................................ 67
3.3.2. Đăng nhập ........................................................................................... 69
3.3.3. Đăng xuất ............................................................................................ 72
Kết luận chương 3: ........................................................................................... 72
KẾT LUẬN CHUNG .......................................................................................... 74
TÀI LIỆU THAM KHẢO ................................................................................... 76
vi
DANH MỤC CHỮ VIẾT TẮT TIếNG ANH
Viết tắt
API
Tiếng Anh
Tiếng Việt
Application Programming Interface
Giao diện chương trình ứng
dụng
CA
Certification Authority
Cơ quan chứng thực điện tử
CRM
Customer Relationship Management
Quản lý quan hệ khách hàng
CMTS
Cable modem Termination Systems
Công nghệ giúp mạng dây cáp
đồng trục có thể cung cấp đa
dịch vụ
DES
Data Encrypt Standard
Tiêu chuẩn mã hóa dữ liệu
DMS
Distributor Management System
Hệ thống quản lý phân phối
DSA
Digital Signature Algorithm
Giải thuật ký số
ERP
Enterprise Resource Planning
Hệ thống hoạch định tài
nguyên doanh nghiệp
FTP
File Transport Protocol
Giao thức truyền tập tin
GCHQ
Government Communications
Cơ quan tình báo
Headquarters
HRM
Human Resource Management
Quản lý nguồn nhân lực
HTML
Hypertext Markup Language
Ngôn ngữ đánh dấu siêu văn
bản
HTTP
Hypertext Transport Protocol
Giao thức truyền tải siêu văn
bản
HTTPS
Hypertext Transfer Protocol Secure
Giao thức truyền thông siêu
văn bản có bảo mật
IETF
Internet Enginering Task Force
Lực lượng công tác kỹ thuật
về Internet
ISO
International Organization for
Tổ chức tiêu chuẩn hoá
Standardization
quốc tế
vii
Viết tắt
Tiếng Anh
Tiếng Việt
ID
Identification
Định danh
IDEA
International Data Encryption
Thuật toán mã hóa dữ liệu
Algorithm
Quốc tế
NSA
National Security Agency
Cơ quan an ninh Quốc gia
ODBC
Open Database Connectivity
Kết nối cơ sở dữ liệu mở
OTP
One Time Password
Là mật khẩu chỉ sử dụng một
lần
OSI
Open Systems Interconnection
Mô hình tham hiếu kết nối các
Reference Model
hệ thống mở
PIN
Personal Information Number
Số thông tin cá nhân
PHP
Hypertext Preprocessor
một ngôn ngữ lập trình kịch
bản
QR
Quick Response
Mã vạch hai chiều
SMS
Short Message Services
Dịch vụ tin nhắn ngắn
S/ MINE
Security / Multipurpose Internet Giao thức mở rộng thư điện tử
Mail Extensions
đa phương tiện trên Internet có bảo mật
SNI
Server Name Indication
Địa chỉ tên máy chủ
SSL
Secure Shell Layer
Tầng đệm bảo mật
TSL
Transport Layer Security
An ninh lớp giao vận
URL
Uniform Resource Locator
Địa chỉ tài nguyên mạng
RC4
Rivest Cipher 4
Thuật toán mã hóa
RSA
Ron Rivest, Adi Shamir, và Leonard Thuật toán mật mã hóa khóa
Adleman
công khai
viii
DANH MỤC CHỮ VIẾT TẮT TIếNG VIệT
Viết tắt
Tiếng Việt
CĐ
Cao đẳng
CNTT
Công nghệ thông tin
CSDL
Cơ sở dữ liệu
GV
Giáo viên
GVCN
Giáo viên chủ nhiệm
PTTH
Phổ thông trung học
ix
DANH MỤC CÁC KÝ HIỆU
• Trong sơ đồ luồng dữ liệu
Ký hiệu
Ý nghĩa
Tiến trình / Chức năng
Tác nhân ngoài
Kho dữ liệu
Luồng dữ liệu
• Trong sơ đồ
Ký hiệu
Ý nghĩa
Bắt đầu/ kết thúc
Thực hiện
Lựa chọn
x
DANH MỤC CÁC BẢNG BIỂU
Bảng 3.1: Bảng CSDL giáo viên ....................................................................64
Bảng 3.2: Bảng CSDL đăng nhập ..................................................................64
Bảng 3.3: Bảng CSDL Thông tin ...................................................................65
Bảng 3.4: Bảng CSDL Admin .......................................................................65
xi
DANH MỤC CÁC HÌNH VẼ
1.1. Hình 2.1 : Sơ đồ mã hóa và giải mã ........................................................10
1.2. Hình 2.2: Thuật toán mã hóa đối xứng ...................................................12
1.3. Hình 2.3: SSL trong giao thức mạng .......................................................23
1.4. Hình 2.4: OTP Token .............................................................................26
1.5. Hình 2.5: OTP SMS................................................................................27
1.6. Hình 2.6: OTP Ma trận ...........................................................................29
1.7. Hình 2.7: OTP ma trận 3 ô bất kỳ ...........................................................29
1.8. Hình 2.8: OTP ma trận 5 cột x 4 hàng .....................................................31
1.9. Hình 3.1: Top 10 E – Commerce Builders .............................................34
1.10. Hình 3.2: Sơ đồ trang web hiện có của trường ......................................46
1.11. Hình 3.3: Sơ đồ phân cấp chức năng phía người dùng đề xuất bổ sung .47
1.12. Hình 3.4 : Sơ đồ phân cấp chức năng phía quản trị ...............................49
1.13. Hình 3.5: Sơ đồ Tạo tài khoản GV ........................................................53
1.14. Hình 3.6: Sơ đồ đăng nhập ....................................................................54
1.15. Hình 3.7: Sơ đồ xác thực giáo viên .......................................................55
1.16. Hình 3.8: Sơ đồ hoạt động quản lý GV .................................................56
1.17. Hình 3.9: Sơ đồ hoạt động quản lý điểm ...............................................57
1.18.Hình 3.10: Sơ đồ hoạt động quản lý tin tức ............................................58
1.19. Hình 3.11: Sơ đồ trang web sử dụng OTP .............................................61
1.20. Hình 3.12: Sơ đồ dữ liệu mức ngữ cảnh ................................................62
1.21.Hình 3.13: Sơ đồ dữ liệu mức đỉnh ........................................................63
1.22.Hình 3.14: Giao diện trang web .............................................................66
1.23. Hình 3.15: Giao diện tạo tài khoản ........................................................67
1.24. Hình 3.16: Giao diện điền thông tin tài khoản .......................................68
1.25. Hình 3.17: Giao diện kích hoạt tài khoản ..............................................69
1.26. Hình 3.18: Giao diện phân quyền user ..................................................69
1.27. Hình 3.19: Giao diện đăng nhập............................................................70
1.28. Hình 3.20: Giao diện nhập OTP Serial ..................................................71
xii
1.29. Hình 3.21: Giao diện trang web quản lý học sinh ..................................71
1.30.Hình 3.22: Giao diện sửa điểm...............................................................72
1.31. Hình 3.23: Giao diện thoát ....................................................................72
xiii
LỜI NÓI ĐẦU
Với sự phát triển mạnh mẽ của công nghệ thông tin, và sự bùng nổ của mạng
máy tính/Internet, việc ứng dụng tin học vào các lĩnh vực của cuộc sống ngày càng
được quan tâm và sử dụng hiệu quả, đem lại lợi ích về mọi mặt. Internet đã trở
thành nơi chia sẻ, giao lưu gắn kết con người.
Giao dịch trên Internet nói chung và trên mạng máy tính nói riêng là những
giao dịch không mặt-đối-mặt trong môi trường mở, tiềm ẩn nguy cơ mất an toàn,
đặc biệt là trong vấn đề nhận dạng giữa các đối tác, chống mạo danh - FRAUD
Cho đến nay việc bảo vệ an toàn giao dịch đáng tin cậy nhất vẫn là hệ thống chữ ký
điện tử và chứng thư điện tử, Tuy nhiên điều kiện để có thể ứng dụng công nghệ
này khá phức tạp, khó thực hiện đối với các doanh nghiệp và tổ chức qui mô vừa và
nhỏ.
OTP ( One Time Password) là mật khẩu chỉ sử dụng một lần, được dùng để
tạo tầng bảo vệ thứ hai (tầng thứ nhất thường là tên giao dịch – user name – và mật
khẩu cố định – password) để cho phép thực hiện một giao dịch trực tuyến. Mật khẩu
này được cấp và chỉ có giá trị cho từng lần giao dịch. Hiện nay có một số phương
thức trao đổi OTP được sử dụng phổ biến tại các ngân hàng, cơ quan đơn vị doanh
nghiệp lớn, tuy nhiên đều có nhược điểm là khó thực hiện cho các đơn vị nhỏ.
Không chỉ trong các giao dịch hành chính công – chính phủ điện tử - mà ngay cả
trong các quá trình quản lý nội bộ vi mô cấp doanh nghiệp, nhà trường, cơ quan
v..v.. các giao dịch trực tuyến cũng đang phát triển và thay thế có hiệu quả cho giao
dịch “mặt đối mặt” truyền thống.
Chẳng hạn ở hầu hết các trường học việc nộp biên bản thi cho phòng đào tạo
hoặc cho khoa thì giáo viên bộ môn phải trực tiếp tới nộp, nếu có phát sinh sửa
điểm hoặc bổ sung điểm cho một học sinh nào đó thì giáo viên cũng phải tới sửa và
phải xác nhận kết quả đó. Nhưng trong trường hợp giáo viên ốm, bận, hoặc do điều
kiện thời tiết không tới nộp được thì biên bản sẽ không tới được kịp thời. Đặc biệt
trong trường hợp có những cơ sở giáo dục có sử dụng giáo viên thỉnh giảng không
phải là giáo viên cơ hữu của trường về một số bộ môn như nhạc họa, nghệ thuật,
ngoại ngữ…thì việc giao dịch mặt đối mặt nhiều khi rất trở ngại. Có trường hợp,
1
giáo viên có việc nên đột xuất gửi yêu cầu đến bộ phận quản lý nhà trường thay đổi
lịch học, thời khóa biểu v..v..nhà trường cần xác minh rõ vì nếu là thông tin giả thì
có ảnh hưởng rất lớn đến việc bố trí giảng dạy và học tập. Nếu sự việc xảy ra vài ba
lần thì còn có ảnh hưởng xấu đến uy tín và tín nhiệm của nhà trường!
Ở nhiều khoa và nhà trường, hiện nay đã tổ chức đào tạo theo phương thức
tín chỉ. Trước một kỳ học, giáo vụ khoa /trường thông báo những lớp học tín chỉ dự
kiến được tổ chức trong học kỳ. Sinh viên sẽ đăng ký nguyện vọng và gửi đến cho
giáo vụ (thông qua trang web quản lý). Nếu số lượng sinh viên đáp ứng đủ thì giáo
vụ chính thức thông báo mở lớp. Khi nhận được đăng ký của một sinh viên – có tên
và mã số định danh / mật khẩu được cấp – có khả năng có những trường hợp mạo
danh. Giáo vụ cần nhận dạng đúng là sinh viên của trường/khoa thì mới cho phép
đăng ký để tránh trường hợp đăng ký ảo.
Để khắc phục những điều đó, trong đề tài này em đã nghiên cứu đề xuất một
biện pháp chống mạo danh đối tác giao dịch trực tuyến (giáo viên, người có liên
quan…gửi điểm thi, biên bản kỳ thi, đề nghị sửa đổi điểm thi, lịch giảng dạy v..v..)
khá đơn giản, chi phí thấp và hoàn toàn khả thi.: Đó là việc xác nhận nội bộ bằng
hệ thống ma trận OTP – mật khẩu giao dịch một lần.
Thay vì sử dụng các phương tiện truyền thống để chuyển giao OTP bằng
thiết bị Token key hoặc bằng tin nhắn SMS, trong luận văn em đã tìm hiểu và
nghiên cứu một biện pháp nhận dạng đối tác bằng OTP ứng dụng công nghệ truyền
thông trên một số kênh thông tin của các thiết bị di động thông minh, hiện nay rất
phổ biến ngày càng rộng rãi ở Việt Nam phù hợp với đa số đối tượng giao dịch.
Để tăng cường độ bảo mật và thuận tiện cho việc gửi thông tin trên kênh điện
thoại thông minh, tác giả đề xuất có thể (hoặc không) sử dụng mã QR, hiện có sẵn
trong kho ứng dụng của các thiết bị chạy Android và iOS.
Vì vậy em đã chọn đề tài “ Sử dụng OTP để nhận dạng đối tác trên Website
quản lý giáo dục”. với nội dung chủ yếu là đề xuất một biện pháp đơn giản, rẻ tiền
và dễ sử dụng đối với các tổ chức vừa và nhỏ, để thực hiện việc trao đổi OTP.
2
Những kết quả đạt được trong đề tài có khả năng nghiên cứu mở rộng ứng
dụng cho việc bảo mật trong giao dịch nội bộ của một số loại hình cơ quan doanh
nghiệp khác chẳng hạn như ứng dụng cho vấn đề bảo mật thông tin trong các lĩnh
vực như: Thanh toán trực tuyến, Thông tin giao dịch chứng khoán v..v..
Phần thực hành và thử nghiệm của đề tài đã tập trung khảo sát và nghiên cứu
hoạt động giao dịch trực tuyến trong một nhà trường với qui mô khá lớn trong
những điều kiện khá phức tạp.
3
CHƯƠNG 1:NHU CẦU NHẬN DẠNG ĐỐI TÁC CỦA
WEBSITE QUẢN LÝ ĐÀO TẠO
CỦA TRƯỜNG CĐ CÔNG NGHIỆP HÀ NỘI
1.1. Khảo sát tình hình quản lý đào tạo của Trường Cao đẳng Công
Nghiệp Hà Nội.
1.1.1. Mô tả thực thể nghiên cứu.
Trường Cao đẳng Công nghiệp Hà Nội là một nhà trường công lập, đào tạo hệ Cao
đẳng đa ngành:
-
Số Khoa và ngành đào tạo: Bao gồm có 8 khoa
o Khoa Công nghệ thông tin: Gồm các ngành
Quản trị mạng
Quản trị cơ sở dữ liệu
Thiết kế đồ họa
Kỹ thuật máy tính
Tin học quản lý và văn phòng
o Khoa Điện tử: Gồm các ngành
Tự động hóa, Máy điện – Cung cấp điện, Điện tử, Điện lạnh.
o Khoa cơ khí: Gồm các bộ môn
Bộ môn Lý thuyết Cơ sở, Bộ môn Hàn, Bộ môn Cắt gọt, Bộ
môn Nguội.
o Khoa Công nghệ ô tô: có hai trình độ
Cao đẳng nghề, Trung cấp nghề
o Khoa Lý thuyết cơ bản: Phụ trách kiểm tra các hoạt động chuyên môn
của nhà trường..
o Khoa Sư phạm dạy nghề: Bồi dưỡng nghiệp vụ Sư phạm cho Giáo
Viên trong và ngoài nhà trường.
o Khoa Kinh tế: Giảng dạy các môn Kinh tế, Kế toán
o Khoa trung cấp: Giảng dạy Nghề tin học văn phòng, Sửa chữa đồng
hồ.
4
-
Số bộ môn giảng dạy: 20 ngành nghề
-
Số giáo viên và phân loại giáo viên
o Cơ hữu: gần 200 GV
o Hợp đồng: 50 GV
o Thỉnh giảng: 100 GV
-
Số sinh viên và lưu lượng sinh viên hàng năm: Khoảng 3500 Sinh viên
Hiện nay nhà trường đã tạo một trang web hoạt động từ 01/2011 tại địa chỉ
o Trang web được khởi tạo sử dụng ngôn ngữ: HTML
o Phần mềm lập trình mạng: PHP
o Với hệ quản trị quản trị dữ liệu : MySQL
o Trang web được hosting tại máy chủ: LINUX
-
Đây là một trang web tổng hợp của nhà trường với các chức năng thông
thường như: Giới thiệu trường và các đơn vị trong trường, tin tức nhà trường
v..v..và đặc biệt cũng có một số chức năng về quản lý đào tạo.
1.1.2. Công tác quản lý đào tạo trong nhà trường.
- Đối với giáo viên:
Nhà trường quản lý giáo viên khi có giờ lên lớp thì đến, còn lại giáo viên tự chuẩn
bị bài giảng, giáo án tại nhà. Khi có cuộc họp của toàn trường thông báo qua hoặc
thông báo trên Trang web của trường, khoa gửi cho từng cá nhân qua tin nhắn hoặc
Email. Khi Giáo viên bận, ốm hay thay đổi lịch dạy thì tự liên hệ với khoa để xin
phép.
- Đối với học sinh:
Do đặc thù riêng của khoa Trung cấp là đào tạo học sinh hệ PTTH nên nhà trường
liên kết đào tạo với các trung tâm Giáo dục thường xuyên của các Quận trong
Thành phố và các Quận Huyện lân cận. Học sinh không học tập trung tại trường,
Học sinh liên hệ để biết các thông tin của trường, lớp qua GVCN của Trung tâm.
Hoặc qua Trang web của nhà trường.
5
1.1.3.Giới thiệu chức năng quản lý điểm, quản lý giáo viên của trang web
đang hoạt động của trường.
- Đối với Trang web của nhà trường Trang web cung cấp thông tin đầy đủ giới thiệu
về nhà trường, các hoạt động của nhà trường, thông tin tuyển sinh, đào tạo. Lịch
công tác tuần: Liên quan tới kế hoạch tiến độ của nhà trường trong một tuần. Thời
khóa biểu theo tuần: Liên quan tới công tác đào tạo học và dạy của Giáo viên và học
sinh các khoa trong và ngoài trường.
- Quản lý điểm của học sinh: Chủ yếu do PĐT quản lý, nhưng do đặc thù riêng khoa
Trung cấp của chúng em có bộ phận quản lý điểm riêng, tuy nhiên điểm của học
sinh vẫn được Giáo viên trực tiếp tới nộp bản cứng còn bản mềm thì gửi qua Email.
Khi muốn thay đổi sửa xóa về điểm số của học sinh thì Giáo viên phải trực tiếp sửa
trên bản cứng và có chữ ký xác nhận của Giáo viên. Sau đó sửa trên bản mềm và
gửi lại khoa.
1.2.Nguy cơ về vấn đề mạo danh và nhu cầu nhận dạng đối tác.
Trong công tác quản lý đào tạo, ưu điểm nổi bật của trang web là tương tác hai
chiều giữa phía quản lý (nhà trường, phòng đào tạo v..v..) với phía đối tượng được
quản lý (giáo viên cơ hữu, giáo viên thỉnh giảng, học sinh các hệ đào tạo v..v..).
Trong các giao dịch tương tác ấy, nổi bật lên nhu cầu nhận dạng đúng đối tác,
chống mạo danh.
1.2.1.Mạo danh giáo viên đăng nhập chức năng nhập, sửa điểm
- Mạo danh Giáo viên đăng nhập có thế gây nên những nguy cơ:
+ Thay đổi thông tin cá nhân của Giáo viên làm thông tin lệch lạc ảnh hướng
tới tinh thần của giáo viên.
+ Sửa điểm của học sinh làm sai kết quả của từng học sinh ảnh hướng tới kết
quả học tập của học sinh và uy tín của Giáo viên, nhà trường.
1.2.2.Mạo danh sinh viên đăng ký học phần, xin nghỉ, xin điểm.
- Mạo danh sinh viên đăng ký học phần: gây nên sĩ số đăng ký ảo việc tổ chức học
gặp khó khăn, khó bố trí lớp học cho phù hợp.
6
- Mạo danh sinh viên xin nghỉ: Làm việc quản lý SV của PĐT và GVCN không
chính xác.
- Mạo danh sinh viên đăng ký xin điểm: Làm mất thời gian của PĐT.
Kết luận chương 1:
Giới thiệu về công tác quản lý của nhà trường đối với giáo viên và học sinh, trang
web của nhà trường và nhu cầu quan trọng của vấn đề nhận dạng đối tác trong các
giao dịch trực tuyến thông qua trang web quản lý của nhà trường.
7
CHƯƠNG 2: GIỚI THIỆU MỘT SỐ CÔNG NGHỆ SỬ DỤNG
CHO HỆ THỐNG THÔNG TIN AN TOÀN
2.1.Tổng quan về hệ thống thông tin an toàn
2.1.1 Yêu cầu cho một hệ thống thông tin an toàn trong môi trường “mở”
Các giao dịch điện tử nói chung là giao dịch trong môi trường mở, giao dịch trên
Internet, giao dịch xuyên quốc gia. Trong quá trình trao đổi thông tin đó các đối tác
thường là không “mặt đối mặt” để có thể nhận diện ra nhau. Vì thế rất khó để có thể
thực hiện được những yêu cầu sau đây của việc trao đổi thông tin được xem là
nguyên lý cơ bản của vấn đề bảo mật thông tin:
1.
Tính bí mật/ riêng tư.
2.
Tính toàn vẹn của thông tin.
3.
Tính không thể chối bỏ.
4.
Tính nhận dạng đối tác.
Thêm vào đó, tốc độ thực hiện truyền tin (nhanh chóng) cũng là một yêu cầu cần
chú ý. Ta sẽ lần lượt xét qua các yêu cầu đã kể trên. [2, tr.12]
2.1.1.1. Nguyên lý 1: Nguyên lý bí mật/ riêng tư (Confidentiality/ Privacy)
Gỉa sử A gửi một “vật mang tin” đến cho B. Nguyên lý đầu tiên của lý thuyết bảo
mật là phải đảm bảo bí mật và tính riêng tư cho quá trình truyền tin. Điều này có
nghĩa là việc truyền tin phải đảm bảo rằng chỉ có hai đối tác A và B khi tiếp cận vật
mang tin mới nắm bắt được nội dung thông tin được truyền. Trong quá trình truyền
tin, nếu có kẻ thứ ba C (vì một nguyên nhân nào đó ) có thể tiếp cận được vật mang
tin thì phải đảm bảo rằng kẻ đó vẫn không thể nắm bắt được, không thể hiểu được
nội dung “thực sự” của thông tin chứa trong vật mang tin đó. [2, tr.13]
2.1.1.2 Nguyên lý 2: Nguyên lý toàn vẹn (Integrity)
Trong quá trình truyền tin, có thể vì lý do khách quan của môi trường, nhất là sự
xâm nhập phá hoại của kẻ thứ ba, nội dung của thông tin ban đầu chứa trong vật
mang tin có thể bị mất mát hay bị thay đổi. Nguyên lý này không yêu cầu đến mức
phải đảm bảo rằng thông tin không bị thay đổi trong quá trình truyền tin, nhưng
phải đảm bảo được là mỗi khi thông tin bị thay đổi thì người nhận (và tất nhiên là cả
8
người gửi ) đều phát hiện được. Chẳng hạn vật mang tin của A gửi cho B trên
đường truyền tạm thời lọt vào tay người thứ ba C. C tuy không hiểu được nội dung
thông tin (do quá trình truyền tin đã thực hiên nguyên lý 1) nhưng vẫn có thể tác
động vào vật mang tin (đã bị thay đổi) B lập tức nhận biết rằng nó đã bị làm thay
đổi. [2, tr.13]
2.1.1.3.Nguyên lý 3: Nguyên lý chống chối bỏ (Non Repudition)
Nguyên lý này đòi hỏi rằng khi quá trình truyền tin kết thúc, A đã gửi cho B một
thông tin và B đã nhận thông tin thì A không thể chối bỏ rằng thông tin đó không do
mình gửi (hoặc mình không gửi tin) mặt khác B cũng không thể chối bỏ rằng mình
chưa nhận được . Cũng trong ví dụ về việc đặt tiệc nói trên, nếu A đã đặt tiệc nhưng
không đến ăn thì không thể chối là tin đặt tiệc không do mình gửi, ngược lại khi
khách khứa đến mà B quên chuẩn bị thì B cũng không thể chối bỏ là do mình chưa
nhận được đơn đặt hàng của A. [2, tr.14]
2.1.1.4 Nguyên lý 4: Nguyên lý nhận dạng (Identification)
Giả sử một hệ thống tài nguyên thông tin chung có nhiều người sử dụng (user) với
mức độ quyền hạn khác nhau. Nguyên lý 5 của bảo mật thông tin yêu cầu phải có
biện pháp để hệ thống có thể nhận dạng được các người sử dụng với quyền hạn kèm
theo của họ. Chẳng hạn trong một thư viện có nhiều kho sách chứa các loại tài liệu
thông thường là tài liệu mật. Người đọc chia là nhiều loại, có loại chỉ được đọc sách
thông thường tại chỗ, có loại được đọc tài liệu mật, có loại lại được mượn về nhà.
Người vào thư viện phải xuất trình thẻ, có các loại thẻ khác nhau: Căn cứ vào thẻ,
người thủ thư nhận dạng được ra người đó có phải là người có quyền sử dụng thư
viện không và có quyền sử dụng theo dạng nào.
Trong vấn đề bảo mật còn có một điều cần lưu ý: “đó là sự tin tưởng”. Khi chia sẻ
bí mật cho một người, bạn phải tin vào khả năng bảo vệ bí mật của người đó.
Nhưng có một điều khó khăn ở đây là: “tin tưởng” là một phạm trù có tính tâm lý,
xã hội không có các đặc trưng của một loại quan hệ toán học nào:
-
Tính không phản xạ: Một người có luôn luôn tin tưởng vào chính mình
không? (Điều này chưa chắc chắn đối với tất cả mọi người và trong tất cả mọi
trường hợp!)
9
-
Tính không đối xứng: A tin tưởng vào B nhưng liệu B tin tưởng A không?
(chưa chắc!)
-
Tính không bắc cầu: A tin tưởng B, B tin tưởng C, nhưng không có gì đảm
bảo (trong rất nhiều trường hợp ) là A tin tưởng vào C.
Chính vì vậy, trong các vấn đề bảo mật nhiều khi chúng ta không thể hoàn toàn
dùng các phương pháp suy luận Logic thông thường mà phải chú ý đến việc tuân
thủ các nguyên lý bảo mật thông tin. [2, tr.15]
2.2. Đại cương về Mật mã học
2.2.1. Khái niệm chung –Cryptography.
Người ta gọi mật mã học là một khoa học nghiên cứu nghệ thuật nhằm che dấu
thông tin, bằng cách mã hoá (encryption) tức là biến đổi ‘‘Thông tin gốc ’’ dạng
tường minh (plaintext) thành ‘‘thông tin mã hóa’’ dạng ẩn tàng (cipher text) bằng
cách sử dụng một khóa mã (thuật toán mã hóa) nào đó. Chỉ có những người giữ chìa
khóa (key) bí mật thì mới có thể giải mã (decryption) thông tin dạng ẩn tàng trở
thành dạng thông tin có dạng tường minh
ab
cd
Encryption
plaintext
#.
^$
Decryption
ab
cd
plaintext
Ciphertext
Key
Key
Hình 2.1 : Sơ đồ mã hóa và giải mã
Thông tin ẩn tàng đôi khi vẫn bị khám phá mà không cần biết khóa bí mật : Việc đó
gọi là bẻ khóa. Ngành học nghiên cứu về việc bẻ khóa (attack/ crack/ hack) này còn
gọi là Cryptanalysis. Như đã nói ở ví dụ trên, trong các phương pháp tấn công thám
mã ta gọi là tấn công bạo lực – brute-force attack (exhaustive key search) : là
phương pháp tấn công bằng cách thử tất cả những khả năng chìa khóa có thể có.
Đây là phương pháp tấn công thô sơ nhất và cũng khó khăn nhất. Theo lý thuyết ,
tất cả các thuật toán hiện đại đều có thể đánh bại bởi tấn công bạo lực nhưng trong
10
thực tiễn việc này chỉ có thể thực hiện được trong thời gian rất dài nên thực tế là
không khả thi. Vì thế có thể coi một thuật toán là an toàn nếu như không còn cách
nào khác để tấn công nó ngoài cách sử dụng brute-force attack. Để chống lại tấn
công này, chìa khóa bí mật được thay đổi một cách thường xuyên hơn.
Trong lý thuyết mật mã, người ta nghiên cứu đồng thời các thuật toán lập mã
và vấn đề thám mã được dùng để đánh giá mức độ an toàn và khả năng bảo mật
thông tin của mỗi thuật toán mã hóa.
- Trong phần sau đây chúng ta không nói đến các phương pháp mã hóa cổ điển –
trong đó văn bản gốc và văn bản mã hóa có thể sử dụng nhiều loại ký tự thông
thường (chữ viết, con số, dấu hiệu riêng v..v..) mà chỉ quan tâm đến mã hóa hiện
đại, trong đó các thông điệp gốc và thông điệp mã hóa đều là những chuỗi ký tự
dạng {0, 1}. [2, tr.21]
Người ta phân biệt hai loại thuật toán mã hóa khác nhau :
2.2.2 Mã hóa khóa đối xứng
2.2.2.1 Khái niệm
Mã hoá khóa đối xứng (hay còn gọi là mã hóa khóa đồng bộ ) là một thuật toán mà
trong đó cả hai quá trình mã hóa và giải mã đều dùng một khóa. Để đảm bảo tính an
toàn, khóa này phải được giữ bí mật riêng cho 2 đối tác .Vì thế các thuật toán mã
hóa khóa đồng bộ này còn có tên gọi khác là mã hóa với khóa bí mật (Secret key
cryptograph). Một điều cần lưu ý là khi một người mã hóa một thông điệp gốc
(plaintext) thành thông điệp mã hóa bằng một khóa K, nghĩa là trước đó hai đối tác
đã phải trao đổi cho nhau chia sẻ để cùng biết được khóa K.
Trong ví dụ về gậy mã hóa của người Sparte, các đối tác phải bàn giao cho nhau để
sở hữu những cây gậy giống nhau trước khi trao đổi thông điệp. Trong mật mã vòng
của Caesar muốn cho tướng lĩnh dưới quyền đọc được thư đã mã hóa của mình thì
trước khi ra đi các tướng lĩnh phải được Hoàng Đế triệu tập vào phòng kín để báo
cho biết số bước xoay vòng và tất nhiên điều này (chìa khóa) phải được giữ kín.
Giả sử nếu An chỉ gửi thông điệp đã mã hóa cho Bình mà không hề báo trước về
thuật toán mã hóa đã sử dụng, Bình sẽ chẳng hiểu trong thông điệp của An muốn
11
nói gì. Vì thế bắt buộc An phải thông báo cho Bình về chìa khóa và thuật toán sử
dụng tại một thời điểm nào trước đấy.
KA-B
Thông điệp gốc
Tin nhắn, m
KA-B
Thuật toán
Mã hóa
Thông điệp mã hóa
KA-B (m)
Thuật toán
Giải mã
Thông điệp gốc
m=KA-B (m)( KA-B (m))
Hình 2.2: Thuật toán mã hóa đối xứng
Bình và An có cùng một khóa KA-B. Gỉa sử m là thông điệp gốc, khóa này được xây
dựng sao cho: m=KA-B [( KA-B (m)]: Dùng KA-B vừa để mã hóa vừa để giải mã.
2.2.2.2 Phân loại mã hóa khóa đối xứng
a. Thuật toán mã hóa theo khối (Block cipher): Trong đó từng khối dữ liệu trong
văn bản gốc ban đầu được thay thế bằng một khối dữ liệu khác có cùng độ dài. Độ
dài mỗi khối gọi là kích thước khối (Block size), thường được tính bằng đơn vị bit.
Ví dụ thuật toán 3-Way có kích thước khối bằng 96 bit. Một số thuật toán khối
thông dụng là: DES, 3DES, RC5, RC6, 3-Way, CAST, Camelia, Blowfish, MARS,
Serpent, Twofish, GOST…
b. Thuật toán mã dòng (Stream ciphers): Trong đó dữ liệu đầu vào được mã hóa
từng bit một. Các thuật toán dòng có tốc độ nhanh hơn các thuật toán khối, được
dùng khi khối lượng dữ liệu cần mã hóa chưa được biết trước, ví dụ trong kết nối
không dây. Có thể coi thuật toán dòng là thuật toán khối với kích thước mỗi khối là
1 bit. Một số thuật toán dòng thông dụng RC4, A5/1, A5/2, Chameleon.
2.2.2.3 Ưu nhược điểm và phạm vi sử dụng của mã hóa khóa đối xứng.
a.Ưu điểm:
+ Tốc độ lập mã, giải mã khá nhanh chóng.
+ Độ bảo mật khá cao: Thuật toán 3- DES, AES có độ bảo mật cao phá mã
cũng không dễ dàng.
12
b.Nhược điểm:
+ Chuyển giao chìa khóa giữa các đối tác, đặc biệt trong môi trường mở dễ bị lộ. [2,
tr.28]
2.2.3. Mã hóa khóa bất đối xứng
Như đã nói ở trên các thuật toán mã hóa khóa đối xứng có một nhược điểm
căn bản là hai người muốn trao đổi thông tin bí mật cần phải trao đổi khóa bí mật
trước đó. Khóa bí mật này cần phải được trao đổi theo một cách thức an toàn, không
phải bằng các phương thức thường dùng để liên lạc trong môi trường mở vì thế dễ
bị lộ. Điều này khó thưc hiện và nói chung là không thể đảm bảo bí mật, nhất là
trong trường hợp muốn trao đổi thông tin với nhiều đối tác thì thực tế là không thực
hiện được.
Vì vậy mã hóa khóa công khai (hay khóa bất đối xứng) được đưa ra như một
giải pháp thay thế. Thực ra mã bất đối xứng không thay thế hoàn toàn mã đối xứng
mà người ta sử dụng đồng thời cả hai loại để bổ sung, hỗ trợ cho nhau.
2.2.3.1 Khái niệm:
Mã hóa khóa bất đối xứng (Mã hóa khóa công khai) Là một dạng mã hóa cho
phép người sử dụng trao đổi các thông tin mật mà không cần phải trao đổi các khóa
bí mật trước đó. Điều này được thực hiện bằng cách sử dụng một cặp khóa có quan
hệ toán học với nhau là khóa công khai (Public key) và khóa riêng (Private key) hay
khóa bí mật (Secret key).
Thuật ngữ mã hóa bất đối xứng thường được dùng đồng nghĩa với mã hóa
khóa công khai mặc dù hai khái niệm không hoàn toàn tương đương. Có những
thuật toán mã hóa bất đối xứng không có tính chất khóa công khai và bí mật như đề
cập ở trên mà cả hai khóa (cho việc mã hóa và giải mã ) đều cần phải giữ bí mật.
Trong mật mã khóa công khai, khóa riêng cần phải được giữ bí mật trong
khi khóa công khai thường được phổ biến công khai. Trong 2 khóa, một dùng để mã
hóa và còn lại dùng để giải mã.
Điều quan trọng đối với hệ thống là không thể (hoặc rất khó) tìm ra khóa bí mật nếu
chỉ biết khóa công khai.
Hệ thống mật mã hóa khóa công khai có thể sử dụng với các mục đích:
13
- Mã hóa: Giữ bí mật thông tin và chỉ có người có khóa bí mật mới giải mã được.
- Tạo chữ ký số: Cho phép kiểm tra một văn bản xem nó có phải đã được tạo với
một khóa bí mật nào đó hay không.
- Thỏa thuận khóa: Cho phép thiết lập khóa để trao đổi thông tin mật giữa hai bên.
Thông thường, các kỹ thuật mật mã hóa khóa công khai đòi hỏi khối lượng tính toán
nhiều hơn các ký thuật mã hóa khóa đối xứng nhưng do ưu điểm nổi bật nên chúng
được sử dụng nhiều.
Thuật toán mã hóa bất đối xứng sử dụng hai khóa: khóa công khai (hay khóa
công cộng) và khóa bí mật (hay khóa riêng). Mỗi khóa là những số cố định sử dụng
trong quá trình mã hóa và giải mã. Khóa công khai được công bố rộng rãi cho mọi
người và được dùng để giải mã bằng khóa bí mật tương ứng. Nói cách khác, mọi
người biết khóa công khai để có thể mã hóa nhưng chỉ có người biết khóa riêng (bí
mật) mới có thể giải mã được.
Ta có thể mô phỏng trực quan một hệ mã hóa khóa công khai như sau:
Bình muốn gửi cho An một thông tin mật mà Bình muốn cho duy nhất An có thể
đọc được. Để làm được điều này, An gửi cho Bình một chiếc hộp kín có ổ khóa đã
mở sẵn và giữ lại chìa khóa. Bình nhận được chiếc hộp, cho vào đó một lá thư viết
bình thường và bấm khóa lại (loại khóa thông thường chỉ bấm là khóa, sau khi sập
chốt là khóa lại ngay cả khi Bình cũng không thể mở lại được, không đọc lại hay
sửa thông tin trong thư được nữa). Sau đó Bình gửi chiếc hộp cho An qua bưu điện
thông thường hoặc nhờ người nào đó mang hộ. Nhân viên bưu điện hay người mang
hộ dù muốn cũng không thể mở hộp để xem thư. Chỉ khi chiếc hộp đã đến tay An ,
An có chìa khóa riêng mới mở được hộp và đọc được thông tin trong thư. Trong ví
dụ này, chiếc hộp vởi ổ khóa mở An gửi cho Bình đóng vai trò khóa công khai,
chiếc chìa khóa riêng của An chính là khóa bí mật. [2, tr.67]
14
