TÌM HIỂU về các PHƯƠNG PHÁP xác THỰC
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (791.22 KB, 24 trang )
Bài thi cuối kì mơn ANM
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA VIỄN THƠNG I
TIỂU LUẬN CUỐI KÌ
MƠN
AN NINH MẠNG THƠNGTIN
ĐỀ TÀI: TÌM HIỂU VỀ CÁC PHƯƠNG PHÁP XÁC THỰC
NGƯỜI DÙNG VÀ ỨNG DỤNG
Giảng viên: Phạm Anh Thư
Nhóm 12
Phạm Trần Hà Minh
B17DCVT239
Trần Trung Hiếu
B17DCVT135
Hà Nội, tháng 6 năm 2021
1
Nhóm 12
Bài thi cuối kì mơn ANM
Mục lục
I. TỔNG QUAN VỀ XÁC THỰC NGƯỜI SỬ DỤNG ................................................3
1.1 Khái niệm về xác thực..............................................................................................3
1.2 Giới thiệu về định danh và xác thực trong điều khiển truy cập ............... 4
II. PHƯƠNG PHÁP ĐỊNH DANH VÀ XÁC THỰC ............................................. 5
2.1 Phương pháp định danh............................................................................ 5
2.1.1 Định danh dựa trên thông tin người dùng tự nhập ..................... 5
2.1.2 Định danh sử dụng sinh trắc học ............................................... 5
2.2 Phương pháp xác thực ...................................................................................... 7
2.2.1 Những gì bạn biết ...........................................................................7
2.2.2 Những gì bạn có ......................................................................... 8
2.2.3 Những gì là chính bạn................................................................. 8
III. CÁC GIAO THỨC XÁC THỰC NGƯỜI SỬ DỤNG ....................................... 10
3.1 Giao thưc xác thực đơn giản ............................................................................ 10
3.2 Giao thưc xác thực challenge-response ........................................................... 11
3.3 Giao thưc xác thực sử dụng khóa đối xứng..................................................... 12
3.3.1 Giao thức xác thực xử dụng khóa đối xứng .............................. 12
3.3.2 Giao thức xác thực lẫn nhau ...................................................... 12
3.3.3 Giao thức xác thực lẫn nhau cải tiến ......................................... 12
3.3.4 Giao thức xác thực lẫn nhau cải tiến khác ................................ 13
3.4 Giao thưc xác thực sử dụng khóa cơng khai ................................................... 14
3.5 Giao thưc xác thực KERBEROS ..................................................................... 15
IV. ỨNG DỤNG ................................................................................................. 19
V. KẾT LUẬN .................................................................................................... 22
Tài liệu tham khảo ............................................................................................... 22
Thuật ngữ viết tắt ................................................................................................. 23
Danh mục hình ảnh .............................................................................................. 23
Kiểm tra Doit(6%) ............................................................................................... 24
2
Nhóm 12
Bài thi cuối kì mơn ANM
Lý do chọn đề tài
Nhận thức được sự phát triển của công nghệ thông tin tại trong nước cũng như thế giới,
cuộc sống đang ngày càng phát triển theo phương hướng số quá. Con người ngày nay
đang mang nhiều hoạt động của cuộc sống lên mơi trường mạng mang lại nhiều tiện
ích cũng như khơng thiếu những ảnh hưởng tiêu cực bởi việc mất an tồn an ninh
mạng. Do đó vấn đề xác thực người sử dụng cũng đang trở thành một trong những vấn
đề được quan tâm hiện nay lên việc tìm hiểu về đề tài “ Các phương pháp xác thực
người sử dụng và ứng dụng” sẽ nâng cao hiểu biết về xác thực trong an ninh mạng
thông tin của mọi người.
I.TỔNG QUAN VỀ XÁC THỰC NGƯỜI SỬ DỤNG
1.1 Khái niệm về xác thực người sử dụng
Xác thực người dùng là một quy trình bảo mật bao gồm tất cả các tương tác giữa người
với máy tính yêu cầu người sử dụng đăng ký và đăng nhập. Nói một cách đơn giản hơn,
xác thực là đặt câu hỏi cho người sử dụng “bạn là ai?” và đợi phản ứng của họ.
Khi người sử dụng đăng ký tài khoản, họ phải tạo một ID và mã khóa cho phép họ truy
cập vào tài khoản của mình sau này. Nói chung, tên người dùng và mật khẩu được sử
dụng làm ID và khóa, nhưng ngồi mã khóa thì các dạng khóa khác vẫn được coi là bằng
chứng xác thực nếu họ sử dụng.
Về cơ bản, quy trình xác thực người sử dụng là quy trình cung cấp cho người sử dụng
quyền truy cập vào tài khoản của họ và chặn bất kỳ người dùng chưa được xác thực nào
có được quyền truy cập. Điều này có nghĩa là Người dùng A có thể đăng nhập vào tài
khoản của chính họ, trong khi Người dùng B sẽ bị từ chối quyền truy cập. Ngược lại,
Người dùng B có thể truy cập tài khoản của chính họ, trong khi Người dùng A không
thể truy cập.
Xác thực người sử dụng rất quan trọng vì đây là bước bắt buộc trong quy trình ngăn
người dùng trái phép truy cập vào thơng tin nhạy cảm. Quy trình xác thực được tăng
cường đảm bảo rằng Người dùng A chỉ có quyền truy cập vào thông tin họ cần và không
thể xem thông tin nhạy cảm của Người dùng B.
Tuy nhiên, khi xác thực người sử dụng của bạn khơng an tồn, tội phạm mạng có thể tấn
cơng hệ thống và giành quyền truy cập, lấy bất kỳ thông tin nào mà người dùng được
phép truy cập.
3
Nhóm 12
Bài thi cuối kì mơn ANM
Hình 1: Xác thực sử dụng mật khẩu
1.2 Giới thiệu về định danh và xác thực trong điều khiển truy nhập
Định danh và xác thực là một quy trình bắt buộc trong điều khiển truy nhập gồm hai
bước nhằm xác minh người truy nhập vào hệ thống.
Định danh là quá trình người dùng cung cấp cho hệ thống biết họ là ai (Chẳng
hạn như dùng tên người dùng)
Bộ phận định danh của một hệ thống điều khiển truy cập hoạt động khá đơn giản
chủ yếu dựa trên một hệ thống tên người dùng (username) hoặc chỉ danh của
người dùng (userID)
Mục đích của định danh để xác định sự tồn tại và cung cấp quyền hạn cho người
dùng.
Yêu cầu khi định danh ngưởi sử dụng
Định danh người dùng phải là một định danh duy nhất chỉ để nhận dạng người sử
dụng nó.
Định danh người dùng khơng hỗ trợ để xác định vị trí hay tầm quan trọng của
người dùng trong công ty hoặc tổ chức.
Các bước định danh và xác thực trong điều khiển truy nhập
Định danh (Identification) Đây là quá trình nhận dạng người sử dụng. Người dùng
phải cung cấp danh tính và các thơng tin bắt buộc để hệ thống xác nhận và nhận
dạng.
Xác thực (Authentication) là quá trình xác thực người sử dụng. Người dùng cung
cấp các thông tin để nhận dạng, hệ thống sẽ tự dộng tiến hành kiểm tra các thơng
tin đó đúng hay sai bằng nhiều phương pháp khác nhau.
Ủy quyền (Authorization) là xác định thẩm quyền mà người sử dụng có ngay sau
khi hệ thống xác thực được thơng tin người sử dụng.
Kế toán (Accounting) Hệ thống quản lý, giám sát và thống kê quá trình sử dụng
truy nhập của người sử dụng trong các vùng tài nguyên.
Những yếu tố cần thiết
4
Nhóm 12
Bài thi cuối kì mơn ANM
Đối tượng (Subjects) Tồn bộ đối tượng có thể gán quyền truy cập
Tài nguyên được sử dụng (Objects)
Quyền truy cập (Access Permissions) được sử dụng để gán quyền truy cập các
Tài nguyên được sử dụng cho Các đối tượng. (Ví dụ một Người dùng là một Đối
tượng, một foder là một Object, Permission là quyền gán cho Người dùng truy
cập vào Dữ liệu). Bảng Access Permissions cho một đối tượng gọi là Access
Control List (ACLs), ACL của toàn bộ hệ thống được thống kê trong bảng Access
Control Entries (ACEs)
II. PHƯƠNG PHÁP ĐỊNH DANH VÀ XÁC THỰC
2.1 Phương pháp định danh
2.1.1 Định danh dựa trên thông tin người dùng tự nhập
Đinh danh dựa trên thông tin người dùng tự nhập thông qua ID và mật khẩu mà người
dùng nhập trên hệ thống. Đây là một cách định danh khá phổ biến trên các hệ thống hiện
nay. Với phương pháp định danh này, các cặp ID và mật khẩu được người sử dụng nhập
vào và hệ thống sẽ tự động sử dụng các dữ liệu đã lưu của người sử dụng để đối chiếu
và xác nhận. Sau khi hệ thống đối chiếu kiểm tra với dữ liệu đã lưu, nếu dữ liệu nhập
trùng khớp thì người sử dụng được định danh và xác thực, cịn với trường hợp thơng tin
khơng khớp, hệ thống sẽ từ chối hoặc cấm truy cập với người sử dụng này.
Phương pháp xác thực người dùng này có độ bảo mật khơng cao vì các yếu tố người
dùng đăng nhập ID và mật khẩu đều dưới dạng văn bản nên rất dễ bị lộ trong q trình
thơng tin đi tới hệ thống hoặc người sử dụng để lộ thông tin do đặt ID và mật khẩu khá
đơn giản như ngày tháng năm sinh, 1234, abcd,……
Kết lại, định danh dựa trên thơng tin tự nhập có rất nhiều điểm yếu và không đủ để bảo
vệ thông tin trực truyến.
2.1.2 Danh định sinh trắc học
Xác thực sinh trắc học là một quá trình bảo mật dựa trên các đặc điểm sinh học duy nhất
của một cá nhân. Dưới đây là những lợi thế chính của việc sử dụng cơng nghệ xác thực
sinh trắc học:
Có thể dễ dàng so sánh các đặc điểm sinh học với các đặc điểm được phép lưu trong cơ
sở dữ liệu.
Xác thực sinh trắc học có thể kiểm soát truy cập vật lý khi được cài đặt trên cổng và cửa
ra vào.
Bạn có thể thêm sinh trắc học vào quy trình xác thực đa yếu tố của mình.
Cơng nghệ xác thực sinh trắc học được sử dụng bởi người tiêu dùng, chính phủ và các
tập đồn tư nhân bao gồm sân bay, căn cứ quân sự và biên giới quốc gia. Các phương
pháp xác thực sinh trắc học phổ biến bao gồm:
5
Nhóm 12
Bài thi cuối kì mơn ANM
Nhận dạng khn mặt — khớp với các đặc điểm khuôn mặt khác nhau của một cá nhân
đang cố gắng truy cập vào khuôn mặt đã được phê duyệt được lưu trữ trong cơ sở dữ
liệu. Nhận dạng khn mặt có thể khơng nhất qn khi so sánh các khn mặt ở các góc
độ khác nhau hoặc so sánh những người trông giống nhau, như họ hàng gần. Công nghệ
liveness trên khuôn mặt ngăn chặn việc giả mạo.
Hình 2: Nhận dạng khn mặt
Máy qt vân tay — khớp với các mẫu duy nhất trên dấu vân tay của một cá nhân. Một
số phiên bản mới của máy qt vân tay thậm chí có thể đánh giá các dạng mạch máu
trong ngón tay của mọi người. Máy quét vân tay hiện là công nghệ sinh trắc học phổ
biến nhất đối với người tiêu dùng hàng ngày, mặc dù chúng thường xun khơng chính
xác. Sự phổ biến này có thể là do iPhone.
Hình 3: Xác thực sửu dụng vân tay
Nhận dạng giọng nói — kiểm tra các mẫu giọng nói của người nói để tạo ra các hình
6
Nhóm 12
Bài thi cuối kì mơn ANM
dạng và chất lượng âm thanh cụ thể. Một thiết bị được bảo vệ bằng giọng nói thường
dựa vào các từ được chuẩn hóa để xác định người dùng, giống như mật khẩu.
Hình 4: xác thực sử dụng giọng nói
Máy quét mắt — bao gồm các công nghệ như nhận dạng mống mắt và máy quét võng
mạc. Máy quét mống mắt chiếu một luồng sáng về phía mắt và tìm kiếm các mẫu độc
đáo trong vịng màu xung quanh đồng tử của mắt. Sau đó, các mẫu được so sánh với
thông tin đã được phê duyệt được lưu trữ trong cơ sở dữ liệu. Xác thực dựa trên mắt có
thể khơng chính xác nếu một người đeo kính hoặc kính áp trịng.
Hình 5: Xác thực bằng qt mống mắt
Ngồi ra cịn có phương pháp định danh sử dụng danh định máy tính, người dùng sử
dụng các thông số từ thiết bị cá nhân để định danh như tên máy tính, địa chỉ MAC, địa
chỉ IP hoặc sử dụng danh định số như chứng chỉ số hay thẻ thơng minh.
2.2 Phương pháp xác thực
2.2.1Những gì bạn biết (Something you know)
Yếu tố bạn biết là yếu tố phổ biến nhất được sử dụng và có thể là mật khẩu hoặc số nhận
dạng cá nhân đơn giản (PIN). Tuy nhiên, nó cũng là loại dễ đánh bại nhất.
Khi sử dụng mật khẩu, điều quan trọng là phải sử dụng mật khẩu mạnh. Mật khẩu mạnh
có sự kết hợp của chữ hoa, chữ thường, số và ký tự đặc biệt. Trước đây, các chuyên gia
7
Nhóm 12
Bài thi cuối kì mơn ANM
bảo mật đã khuyến nghị rằng mật khẩu phải dài ít nhất tám ký tự. Tuy nhiên, với sự gia
tăng sức mạnh của các trình bẻ khóa mật khẩu, người ta thường nghe thấy các chuyên
gia đề xuất các mật khẩu dài hơn. Ví dụ: nhiều tổ chức yêu cầu mật khẩu quản trị viên
phải dài ít nhất 15 ký tự.
Mật khẩu dài hơn sẽ khó nhớ hơn trừ khi chúng được đặt vào một số loại thứ tự có ý
nghĩa. Ví dụ: một cụm từ như “Bảo mật tạo nên thành cơng” có thể trở thành mật khẩu
của “S3curityBr33d $ Succ3 $$”. Lưu ý rằng mỗi từ bắt đầu bằng một chữ cái viết hoa,
mỗi chữ cái viết thường “s” được đổi thành $, mỗi chữ cái viết thường “e” được đổi
thành số 3 và các khoảng trắng bị xóa. Mật khẩu dễ nhớ hơn nhưng rất phức tạp. Tuy
nhiên, nếu người dùng được yêu cầu phải nhớ một mật khẩu dài mà không có bất kỳ ý
nghĩa nào, chẳng hạn như “1kqd9% lu @ 7cpw #”, họ có nhiều khả năng ghi mật khẩu
xuống, làm suy yếu tính bảo mật.
Mật khẩu khơng được bao gồm dữ liệu cá nhân như tên người dùng hoặc tên người dùng.
Ngồi ra, mật khẩu khơng nên là một từ có thể tìm thấy trong từ điển. Tấn công từ điển
sử dụng cơ sở dữ liệu của các từ tương tự như từ điển, thử tất cả các từ trong cơ sở dữ
liệu để tìm một kết quả phù hợp. Điều đáng nói ở đây là những kẻ tấn cơng [md] có
quyền truy cập vào từ điển bằng các ngơn ngữ khác. Nói cách khác, mật khẩu sử dụng
một từ từ ngơn ngữ khác cũng dễ bẻ khóa như mật khẩu được sử dụng bằng ngôn ngữ
mẹ đẻ của bạn.
2.2.2 Những gì bạn có (Something you have)
Yếu tố bạn có liên quan đến các mặt hàng như thẻ thông minh hoặc mã thông báo cầm
tay. Thẻ thông minh là thẻ có kích thước bằng thẻ tín dụng có chứng chỉ nhúng được sử
dụng để xác định chủ sở hữu. Người dùng có thể lắp thẻ vào đầu đọc thẻ thông minh để
xác thực cá nhân. Thẻ thông minh thường được sử dụng với mã PIN cung cấp xác thực
đa yếu tố. Nói cách khác, người dùng phải có một cái gì đó (thẻ thơng minh) và biết một
cái gì đó (mã PIN).
Mã thơng báo là một thiết bị cầm tay có đèn LED hiển thị số và số được đồng bộ hóa
với máy chủ xác thực. Hãy xem xét Hình 1, cho thấy máy chủ xác thực và người dùng
có mã thơng báo cầm tay. Số hiển thị trên mã thông báo thay đổi thường xuyên, chẳng
hạn như sau mỗi 60 giây và máy chủ xác thực luôn biết số hiện đang được hiển thị.
Ví dụ: lúc 5:01 chiều, số hiển thị trên đèn LED có thể là 963147 và đồng thời, máy chủ
biết rằng số đó là 963147. Một phút sau, số hiển thị trên đèn LED có thể là 246813 và
xác thực máy chủ sẽ biết số mới này.
Một cách phổ biến mà các thẻ được sử dụng để xác thực là với các trang web. Người
dùng nhập số được hiển thị trong mã thông báo trên trang web. Nếu người dùng nhập
cùng một số mà máy chủ biết tại thời điểm đó, thì người dùng đã được xác thực. Thông
thường sử dụng xác thực đa yếu tố với xác thực dựa trên mã thông báo. Ngồi việc nhập
8
Nhóm 12
Bài thi cuối kì mơn ANM
số hiển thị trong mã thông báo, người dùng thường được yêu cầu nhập tên người dùng
và mật khẩu. Điều này chứng tỏ họ có thứ gì đó (mã thơng báo) và họ biết điều gì đó
(mật khẩu của họ).
2.2.3 Những gì là chính bạn (Something you are)
Các phương pháp sinh trắc học cung cấp thông tin bạn là nhân tố xác thực. Một số
phương pháp sinh trắc học có thể được sử dụng là dấu vân tay, hình học bàn tay, quét
võng mạc hoặc mống mắt, chữ viết tay và phân tích giọng nói. Sinh trắc học dấu vân tay
là phương pháp sinh trắc học được sử dụng rộng rãi nhất hiện nay. Nhiều máy tính xách
tay bao gồm đầu đọc dấu vân tay và đầu đọc dấu vân tay cũng có sẵn trên ổ đĩa flash
USB. Dấu tay được sử dụng với nhiều cơng viên giải trí bán vé theo mùa hoặc vé nhiều
ngày.
Mặc dù sinh trắc học cung cấp khả năng xác thực mạnh nhất, nhưng nó dễ bị lỗi. Lỗi từ
chối sai (còn gọi là lỗi loại 1) xảy ra khi hệ thống từ chối sai một người dùng đã biết và
cho biết người dùng không được biết. Lỗi chấp nhận sai (còn được gọi là lỗi loại 2) xảy
ra khi hệ thống xác định sai một người dùng không xác định là người dùng đã biết. Hệ
thống sinh trắc học thường có thể được điều chỉnh độ nhạy, nhưng độ nhạy ảnh hưởng
đến độ chính xác.
Xác thực đa yếu tố
Xác thực đa yếu tố (MFA) là một hệ thông bảo mật yêu cầu hai hay nhiều hơn một
phương thức xác thực từ các dữ liệu mà hệ thống đã lưu độc lập với nhau để xác minh
người sử dụng khi đăng nhập.
Xác thực đa yếu tố kết hợp hai hay nhiều thông tin độc lập: thông tin người dùng biết
(mật khẩu), thơng tin người dùng có (mã thơng báo bảo mật) và xác thực người dùng
(xác minh sinh trắc học)
Mục tiêu của xác thực đa yếu tố để tạo ra một lớp bảo vệ kiên cố và khiến cho việc
truy cập vào các thơng tin mục tiêu như vị trí địa lý, thiết bị máy tính, mạng hoặc cơ sở
dữ liệu trở nên khó khăn hơn đối với cá nhân không được phép.
Nếu một trong các yếu tố bị xâm phậm hoặc phá vỡ, kẻ tấn cơng sẽ cịn ít nhất một rào
cản nữa, thời gian đó hệ thống sẽ thông báo tới người sử dụng về hoặt động đăng nhập
trái phép, giúp người sử dụng tránh được nguy cơ đánh mất thơng tin dữ liệu các nhân.
Ví dụ bao gồm mã được tạo từ điện thoại của người dùng, kiểm tra Captcha, dấu vân
tay hoặc nhận dạng khuôn mặt.
Các phương pháp và công nghệ xác thực đa yếu tố nhằm bổ sung nhiều lớp bảo mật để
tăng thêm người tin cho người dùng. MFA có thể là một biện pháp bảo vệ tốt chống lại
hầu hết các vụ hack tài khoản, nhưng sẽ có một vài vấn đề nếu người dùng để mất điện
thoại hoặc thẻ SIM, không thể nhận được mã xác thực.
Xác thực dựa trên chứng chỉ
9
Nhóm 12
Bài thi cuối kì mơn ANM
Cơng nghệ xác thực dựa trên chứng chỉ xác định người dùng, máy móc hoặc thiết bị
bằng cách sử dụng chứng chỉ kỹ thuật số. Chúng chỉ kỹ thuật số là tài liệu điện tử dựa
trên các thông tin người dùng trên hệ thống như giấy phép lái xe hoặc hộ chiếu.
Chứng chỉ chứa danh tính kỹ thuật số của người sử dụng gồm khóa công khai và chữ
ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số. Chứng thư số chứng minh
quyền sở hữu kháo công khai và chỉ được cấp bởi tổ chức cung cấp dịch vụ chứng thực
chữ ký số.
Người dùng cung cấp chứng chỉ kỹ thuật số của họ khi họ đăng nhập vào máy chủ.
Máy chủ xác minh độ tin cậy của chữ ký số và cơ quan cấp chứng chỉ. Sau đó, máy sử
dụng mật mã để xác nhận rằng người dùng có kháo cá nhân chính xác và được liên kết
với chứng chỉ.
Yếu tố vị trí
Xác thực dựa trên vị trí hiếm khi xuất hiện, nhưng nó đã được sử dụng với truy cập từ
xa quay số như một yếu tố xác thực bổ sung. Hãy tưởng tượng rằng Joe được phép làm
việc tại nhà bằng cách sử dụng kết nối truy cập từ xa quay số để kết nối với các tài
nguyên dựa trên cơng việc. Máy chủ truy cập từ xa có thể được định cấu hình để ngay
khi Joe gọi đến và xác thực, máy chủ sẽ treo và gọi máy tính của Joe ở nhà.
Miễn là Joe cố gắng kết nối từ máy tính ở nhà của anh ấy, kết nối sẽ hoạt động. Tuy
nhiên, nếu kẻ tấn công đang cố gắng mạo danh Joe bằng tên người dùng và mật khẩu
của Joe, kẻ tấn công không thể kết nối. Thay vào đó, khi kẻ tấn cơng xác thực bằng thông
tin đăng nhập của Joe, máy chủ truy cập từ xa sẽ bị treo và cố gắng gọi máy tính của Joe.
III. CÁC GIAO THỨC XÁC THỰC NGƯỜI SỬ DỤNG.
Giao thức xác thực người sử dụng là những cơ chế và quy tắc được đặt ra để xác thực
một đối tượng nào đó. Khi chúng ta trao đỏi với ai đó qua mơi trường mạng thì chúng ta
cần phải có dịch vụ để đảm bảo cả hai đối tượng ở hai bên đầu cuối đều được xác thực
cũng như đảm bảo việc khơng có bên thứ ba nào có thể mạo danh như là một trong hai
bên để thực hiện việc nhận và truyền thông tin không được phép.
Và trong phần này ta sẽ đặt vào trong một tình huống cụ thể giả sử:
+ Alice muốn chứng minh với Bob là “ Tơi chính là Alice”
+ Alice cũng cần biết người trao đổi có đúng là Bob khơng.
+ Malice là người xấu có ý muốn phá giao thức xác thực.
3.1 Giao thức xác thực đơn giản
Ở giao thức này muốn thực hiện được thì cả hai bên đều phải biết một mật khẩu đã được
trao đổi trước. Khi Alice muốn trao đỏi với Bob qua mạng thì bên gửi( Alice) sẽ phải
gửi đi thông diệp “ Tôi là Alice “ tới bên nhận( Bob) sau đó bên nhận sau khi nhận được
thông điệp sẽ gửi lại một yêu cầu để xác thực bên gửi chính là Alice. Để xác thực người
gửi thì Alice sẽ phải gửi lại cho bên nhận mật khẩu đã biết trước đó để chứng minh và
sau đó hai bên sẽ tiến hành trao đổi với nhau.
10
Nhóm 12
Bài thi cuối kì mơn ANM
1. Alice => Bob: “Tơi là Alice”
2. Bob => Alice: “Hãy chứng minh”
3. Alice => Bob: “My password is frank”
Hình 6: Giao thức xác thực đơn giản
Cũng giống như tên gọi thì đây là một giao thức đơn giản và dễ thực hiện , tuy nhiên nó
lại kèm theo khá nhiều khuyết điểm. Như password được để ở dạng bản rõ, khơng qua
mã hóa nên kẻ tấn cơng có thể dễ dàng đánh cắp mật khẩu để mạo danh người gửi trong
lần tiếp theo, và ở đây ta cũng chỉ có thể xác nhận được bên gửi là Alice mà vẫn chưa
xác thực được bên nhận.
Nhận thấy nhược điểm của phương pháp trên người ta đã tìm ra phương pháp cải tiến
mới để khắc phục đó là sử dụng hàm băm (H) của paswword để thay cho việc sử dụng
mật khẩu đơn thuần tại bước thứ ba của quá trình xác thực người sử dụng.
1. Alice => Bob: “Tôi là Alice”
2. Bob => Alice: “Hãy chứng minh”
3. Alice => Bob: H(PA)
Hình 7: Giao thức xác thực đơn giản sử dụng hàm băm
Ở giao thức này kẻ tấn cơng vẫn có thể mạo danh người gửi bằng cách tấn công lặp lại
thông điệp.
Kẻ tấn công (Malice) có thể lấy được giá trị băm của password H(PA) bằng cách theo
dõi đường truyền giữa Alice và Bob và lặp lại thông diệp này ở lần kết nối tiếp theo.
3.2 Giao thưc xác thực challenge-response
Giao thức xác thực challenge-response hay còn được gọi với tên khác là giao thức xác
thực thử thách-bắt tay ( challenge-handshake authentication protocol) và giao thức này
thường được sử dụng trong giao thức kết nối PPP (Point to Point Protocol) và một số hệ
thống khác. Sau đây là các bước mơ tả q trình xác thực bằng giao thức Challengeresponse:
Bên gửi (Alice ) muốn thiết lập một kết nối và gửi một thông điệp “Tôi là Alice”
đến bên nhận (Bob).
Bên nhận nhận được thơng điệp đó và sẽ gửi lại một khối dữ liệu thách thức
(challenge), trong đó có chứa một giá trị ngẫu nhiên do bên nhận tạo ra mà ta còn
gọi là giá trị nonce ( ký hiệu :N).
Bên gửi sau khi nhận được giá trị nonce sẽ gán giá trị đó vào với mật khẩu của
11
Nhóm 12
Bài thi cuối kì mơn ANM
mình,sau đó thực hiện một hàm băm một chiều lên khối giá trị vừa được ghép
trước đó và sau đó gửi đi giá trị băm cho bên nhận.
Phía bên nhận cũng sẽ thực hiện một quá trình tương tự so với bên gửi để so sánh
kết quả với giá trị băm nhận được từ bên gửi, nếu hai giá trị khớp tức là quá trình
xác thực đã thành cơng.
1. Alice => Bob: “Tơi là Alice”
2. Bob => Alice: N
3. Alice => B����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������a chung KAB kết thúc quá trình xác thực.
Ở giao thức này đã tránh được nhược điểm của giao thức trên bằng cách sử dụng đồng
thời hai giá trị nonce NA và NB hai bên trao đổi cho nhau giá chị nonce giúp đảm bảo
bản tin không phải là bản tin phát lại, ở bước hai bên nhận gửi lại khóa đối xứng cho
bên gửi để xác thực người nhận và ở bước 3 bên gửi cũng thực hiện đảm bảo bằng cách
sử dụng khóa đối xứng và cũng đảm bảo cho bên nhận bản tin đó là tươi bởi vì đã sử
dụng giá trị nonce NB.
Mặc dù thế, giao thức vẫn có thể bị tấn công bằng tấn công phát lại. Giả sử kẻ tấn công
(Malice) đã theo dõi và ghi lại nội dung các bản tin xác thực các kết nối trước đó, kẻ tấn
cơng có thể mạo danh bên gửi và lừa bên nhận sử dụng một khóa cũ bằng cách tấn cơng
phát lại khóa. Nếu bên nhận khơng nhớ được khóa đã được sử dụng trong phiên trước
đó sẽ không phát hiện ra đây là một cuộc tấn công phát lại. Quan sát hình ta thấy kẻ tấn
cơng đã đánh chặn bản tin tại bước 2 , gửi một bản tin mạo danh để lừa lấy khóa xác
13
Nhóm 12
Bài thi cuối kì mơn ANM
thực của bản tin trước đó. Nếu thành cơng kẻ tấn cơng có thể thực hiện mạo danh bên
gửi và thực hiện hành vi gây bất lợi cho cả hai bên.
1.1 Alice => Bob: “Tôi là Alice”,NA
1.2 Bob => Alice: NB,{NA}KAB
2.1 Alice => Bob: “Tôi là Alice”,NB
2.2 Bob => Alice: NC,{NB}KAB
3. Alice => Bob: {NB}KAB
Hình12 :Tấn công giao thức xác thực lẫn nhau cải tiến
3.3.4 Giao thức xác thực lẫn nhau cải tiến khác
Giao thức này đã được phát triển lên từ giao thức xác thực lẫn nhau cải tiến ta vừa tìm
hiểu ở trên. Điểm khác nhau ở đây là thay vì chỉ mã hóa số nonce của bên cịn lại thì mỗi
bên sẽ thực hiện ghép số nonce đó cộng với nhân dạng của mình thực hiện mã hóa chúng
với khóa đối xứng.
1. Alice =>Bob: “Tôi là Alice”,NA
2. Bob => Alice: NB,{Bob,NA}KAB
3. Alice => Bob: {Alice,NB}KAB
Hình 13: Xác thực lẫn nhau cải tiến khác
Giao thức này cung cấp một cách hiệu quả một phương tiện an toàn cho cho bên gửi và
bên nhận thiết lập một phiên làm việc với nhau. Giả sử trong trường hợp này kẻ tấn công
thực hiện tấn công phát lại như phần trên thì sẽ bắt được các thông tin như NA,
NB,{Bob,NA}KAB. Sau khi chặn đường truyền ở bước hai và phát bản tin giả với số
nonce NB kẻ tấn công nhận được phản hồi gồm NC,{Bob,NA}KAB. Từ đầu đến cuối
kẻ tấn cơng sẽ khơng có nhận dạng của Alice để thực hiện tấn công phát lại bản tin.
3.4 Giao thức xác thực sử dụng khóa cơng khai
Để thực hiện xác thực người sử dụng dùng khóa cơng khai thì trước hết ta cần đến q
trình tạo khóa, bên gửi sẽ tự tạo một cặp khóa cơng khai và bí mật, khóa cơng khai sẽ
quảng bá lên mơi trường mạng cịn khóa bí mật sẽ được giữ riêng cho bên gửi. Khi bên
gửi( Alice) muốn tạo kết nối với bên nhận( Bob) sẽ gửi đi thông điệp yêu cầu kết nối
“Tôi là Alice” bên nhận nhận được yêu cầu sẽ thực hiện tạo một sô nonce ngâuc hiên và
thực hiện mã hóa nó sử dụng khóa cơng khai của Alice (PUA). Bên nhân nhận được bản
tin sẽ tiến hành giải mã sử dụng khóa bí mật của bên gửi (PRA) sau đó gửi lại bản rõ
cho bên nhận , nếu hai giá trị trùng khớp thì quá trình xác thực thành cơng.
1. Alice => Bob: “Tơi là Alice”
14
Nhóm 12
Bài thi cuối kì mơn ANM
2. Bob => Alice: {N}PUA
3. Alice => Bob: N
Hình 14: Giao thức xác thực dùng khóa cơng khai
Ở giao thức này ta chỉ có thể xác thực được người gửi là Alice mà không thể xác nhận
được người nhận có phải là Bob hay khơng và kẻ tấn cơng có thể dễ dàng mạo danh
bên gửi bằng cách tạo một cặp khóa cơng khai và đưa lên trên mạng.
Một phương pháp xác thực khác cũng sử dụng khóa cơng khai là xác thực sử dụng chữ
kí số. Sau khi bên gửi tạo thơng điệp u cầu kết nối tới bên nhận, bên nhận sẽ tạo một
số nonce ngẫu nhiên và gửi lại số đó cho bên gửi. Bên gửi sẽ sử dụng chữ kí số kí lên
giá trị nonce N sử dụng khóa bí mật của bên gửi.
1. Alice => Bob: “Tôi là Alice”
2. Bob => Alice: {N}PUA
3. Alice => Bob: N
Hình 15:Giao thức xác thực dùng chữ kí số
3.5 Giao thức xác thực Kerberos
Giới thiệu: Kerberos là giao thức xác thực mạng sử dụng mã hóa khóa bí mật và sử
dụng một bên thứ ba đáng tin cậy tham gia vào quá trình xác thực. Đây là giao thức
nhận thực hai chiều thiết kế cho mơ hình client server. Kerberos có khả năng chống
nghe lến hay gửi lại các gói tin cũ và đảm bảo tính tồn vẹn của dữ liệu nên giao thức
này thường dùng cho các mạng máy tính hoạt động trên những vùng mạng khơng an
tồn.
Kerberos được thiết kế dựa trên giao thức Needham-Schroeder. Kerberos sử dụng một
bên thứ ba tham gia vào quá trình nhận thực gọi là "trung tâm phân phối khóa" ( key
distribution center - KDC). KDC bao gồm hai chức năng: "máy chủ xác thực"
(authentication server - AS) và "máy chủ cung cấp vé" (ticket granting server - TGS).
"Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh nhân dạng của
người sử dụng.
Hình 16: Hệ thống xác thực Kerberos
15
Nhóm 12
Bài thi cuối kì mơn ANM
Mỗi người sử dụng (cả máy chủ và máy khách) trong hệ thống chia sẻ một khóa chung
với máy chủ Kerberos. Việc sở hữu thơng tin về khóa chính là bằng chứng để chứng
minh nhân dạng của một người sử dụng. Trong mỗi giao dịch giữa hai người sử dụng
trong hệ thống, máy chủ Kerberos sẽ tạo ra một khoá phiên dùng cho phiên giao dịch
đó.
Giao thức xác thực Kerberos
Hình 17: Giao thức xác thực Kerberos
16
Nhóm 12
Bài thi cuối kì mơn ANM
Thủ tục xác thực của kerberos được mô tả như sau:
1- Máy con yêu cầu AS cung cấp thẻ xác nhận người dùng:
C AS: IDc + IDtgs + TS1
2- AS cung cấp thẻ xác nhận người dùng cho máy con:
AS C: E([Kc,tgs + IDtgs + TS2 + Lifetime2 + Tickettgs], Kc)
Với Tickettgs = E([Kc,tgs + IDc + ADc + IDtgs + TS2 + Lifetime2], Ktgs)
3- Máy con yêu cầu TS cung cấp thẻ truy xuất dịch vụ:
C TGS: IDv + Tickettgs + Authenticatorc
4- TGS cung cấp thẻ truy xuất dịch vụ cho máy con:
TGS C: E([Kc,v + IDv + TS4 + Ticketv], Kc,tgs)
Với Tickettgs = E([Kc,tgs + IDC +ADC + IDtgs + TS2 + Lifetime2], Ktgs)
Ticketv = E([Kc,v + IDC + ADC + IDv + TS4 + Lifetime4], Kv)
Authenticatorc = E([IDC + ADC + TS3], Kc,tgs)
5- Máy con yêu cầu dịch vụ:
C V: Ticketv + Authenticatorc
Với Authenticatorc = E([IDc + ADC + TS5], Kc,v)
6- Server xác thực với máy con (không bắt buộc):
V C: E([TS5 + 1], Kc,v)
Với: Ticketv = E([Kc,v + IDc + ADc + IDv + TS4 + Lifetime4], Kv
-Bản tin (1): Máy con yêu cầu cấp thẻ xác nhận người dùng (Ticket-granting-Ticket):
IDC: Nhận diện của người dùng (do máy con gởi đến cho AS, dựa trên thông tin đăng
nhập của người dùng).
IDtgs: Nhận diện của TGS, mục đích cho AS biết rằng máy con đang muốn truy xuất
đến TGS.
TS1: Nhãn thời gian, mục đích để đồng bộ thời gian giữa AS và máy con.
-Bản tin (2): AS cung cấp thẻ xác nhận người dùng cho máy con:
Kc: Dùng chính mật khẩu của người dùng làm khố mật mã, vừa có mục đích bảo vệ
thông tin vừa cho phép AS xác thực mật khẩu của người dùng. Nếu máy con khơng có
mật khẩu đúng thì sẽ khơng giải mã được bản tin này
Kc, tgs: khố bí mật được dùng giữa máy con và TGS do AS tạo ra. Khóa này chỉ có
tác dụng trong một phiên làm việc (session key).
IDtgs: Nhận diện của TGS, dùng để xác nhận rằng thẻ này có tác dụng cho phép máy
con truy xuất đến TGS.
TS2: Nhãn thời gian, cho biết thời điểm thẻ được tạo ra.
Lifetime2: Cho máy con biết thời gian tồn tại của thẻ.
Tickettgs: Máy con dùng thẻ này để truy xuất TGS.
-Bản tin (3): Máy con yêu cầu thẻ truy xuất dịch vụ (Service Granting Ticket):
17
Nhóm 12
Bài thi cuối kì mơn ANM
IDV: Nhận dạng của máy chủ V, dùng để thông báo cho TGS là máy con muốn truy
xuất đến dịch vụ của máy chủ V.
Tickettgs: Thẻ được cấp cho máy con bởi AS
Authenticatorc: một giá trị được tạo ra bởi máy con để xác minh thẻ.
-Bản in (4): TGS cung cấp thẻ truy xuất dịch vụ cho máy con:
Kc, tgs: Khoá bí mật dùng chung giữa máy con và TGS để bảo vệ nội dung của bản tin
(4)
Kc, v: Khoá bí mật được dùng giữa máy con và máy chủ V do TGS tạo ra. Khố này
chỉ có giá trị trong từng phiên làm việc (session key).
IDv: nhận diện của máy chủ V, có chức năng xác nhận thẻ của máy chủ V
TS4: nhãn thời gian cho biết thời điểm thẻ được tạo ra.
Ticketv: Thẻ được máy con dùng để truy xuất máy chủ V.
Tickettgs: Thẻ này được dùng lại để người dùng không phải nhập lại mật khẩu khi
muốn truy xuất dịch vụ khác.
Ktgs: Khóa bí mật dùng chung giữa AS và TGS.
Kc, tgs: Session key được TGS dùng để giải mã authenticator. Khoá này được dùng
chung giữa máy con và TGS.
IDC: Nhận diện máy con, cho biết đây là chủ sở hữu của thẻ.
ADC: Địa chỉ mạng của máy con, dùng để ngăn chặn trường hợp một máy khác lấy
cắp thẻ để yêu cầu dịch vụ.
IDtgs: nhận diện của TGS, để xác nhận thẻ đã được giải mã thành công.
TS2: nhãn thời gian cho biết thời điểm tạo ra thẻ.
Lifetime2: Thời gian tồn tại của thẻ, nhằm ngăn chặn việc sử dụng lại thẻ (replay).
Authenticatorc: Thông tin xác thực của máy con.
Kc, tgs: Khố bí mật dùng chung giữa máy con và TGS, dùng để mã hố thơng tin xác
thực của máy con.
IDc: nhận dạng máy con, phải trùng với ID trong thẻ.
ADc: địa chỉ mạng của máy con, phải trùng với địa chỉ trong thẻ.
TS3: Nhãn thời gian, cho biết thời điểm mà authenticator được tạo ra.
-Bản tin (5): Máy con yêu cầu truy xuất dịch vụ:
Ticketv: Thẻ cho biết máycon đã được xác thực bởi AS.
Authenticatorc: Thông tin xác thực thẻ của máy con.
-Bản tin (6): Máy chủ V xác thực với máy con:
Kc, v: Khố bí mật dùng chung giữa máy con và máy chủ V.
TS5 + 1: Nhãn thời gian, dùng để tránh trường hợp thơng tin xác thực cũ được dùng
18
Nhóm 12
Bài thi cuối kì mơn ANM
lại.
Ticketv: Thẻ truy xuất máy chủ V. Thẻ này có thể dùng lại khi máy con truy xuất dịch
vụ đến chính máy chủ V mà khơng cần u cầu cấp thẻ mới.
Kv: Khố bí mật dùng chung giữa TGS và máy chủ V.
Kc, v: Khố bí mật dùng chung giữa máy con và máy chủ V, dùng để giải mã thông
tin xác thực.
IDc: Nhận dạng của máy con.
ADc: Địa chỉ mạng của máy con.
IDv: Nhận dạng của máy chủ V.
TS4: Nhãn thời gian cho biết thời điểm thẻ được tạo.
Lifetime4: Thời gian tồn tại của thẻ.
Authenticatorc: Thơng tin xác thực của máy con.
Kc, v: Khố bí mật, dùng chung giữa máy con và máy chủ V để mã hố thơng tin xác
thực.
IDc: Nhận diện máy con, phải giống với IDc trong thẻ
ADc: Địa chỉ mạng của máy con, phải giống với địa chỉ trong thẻ.
TS5: Thời điểm thông tin xác thực được tạo ra
Nhược điểm của giao thức kerberos
-
Tồn tại một điểm yếu: Nếu máy chủ trung tâm ngừng hoạt động thì mọi hoạt động sẽ
ngừng lại. Điểm yếu này có thể được hạn chế bằng cách sử dụng nhiều máy chủ
Kerberos.
-
Giao thức đòi hỏi đồng hồ của tất cả những máy tính liên quan phải được đồng bộ.
Nếu khơng đảm bảo điều này, cơ chế nhận thực giữa trên thời hạn sử dụng sẽ khơng
hoạt động. Thiết lập mặc định địi hỏi các đồng hồ không được sai lệch quá 10 phút.
-
Cơ chế thay đổi mật khẩu không được tiêu chuẩn hóa.
IV. ỨNG DỤNG
Tại sao xác thực người dùng lại quạn trọng như vậy trong các cơng nghệ ngày nay? Ta
có thể thấy ngày nay rất nhiều quy trình và hoạt động thường nhật đang dần chuyển đổi
sang dạng ký thuật số, trực tuyến và ngoại tuyến. Ví dụ như bạn chỉ cần ngồi ở nhà
nhưng vẫn có thể tham gia mua sắm trực tuyến, đặt đồ ăn, tham gia một cuộc họp hay
thanh tốn các hóa đơn dịch vụ mà khơng cần phải ra ngồi. Đi kèm với nó cũng là rất
nhiều rủi ro và thách thức to lớn như an tồn tài chính, quyền riêng tư cá nhân...Và xác
thực người dùng được sinh ra cũng từ trên cơ sở đó để bảo vệ con người trước những
mối nguy hiểm tiềm tàng trên khơng gian mạng.
Mật khẩu
19
Nhóm 12
Bài thi cuối kì mơn ANM
Chúng ta chắc đã khơng còn xa lạ với khái niệm mật khẩu (password). Chúng được sử
dụng ở mọi nơi từ điện thoại, máy tính, tài khoản mạng xã hội, ví điện tử, hay tài khoản
ngân hàng. Những tiện ích này cũng đi kèm với những nguy cơ làm lộ thông tin cá nhân
cũng như thất thoát tài sản. Sử dụng mật khẩu là giải pháp đơn giản mà hữu hiệu giúp
chúng ta tránh được những rủi ro như hành vi lừa đảo...
Sử dụng tên người dùng (username) và mật khẩu (password),xác thực người dùng cũng
giúp các tổ chức, doanh nghiệp bảo vệ quyền riêng tư cho khách hàng của họ. Đối với
các dịch vụ và ứng dụng trực tuyến, nhiều doanh nghiệp cũng sử dụng xác thực SMS để
xác minh tài khoản người dùng và gửi mã xác thực cho khách hàng khi xác nhận giao
dịch. Điều này đảm bảo sự riêng tư và bảo mật thông tin của khách hàng đồng thời tăng
cường bảo mật.
Một số tổ chức mã hóa mật khẩu đã lưu để ngăn chặn hành vi trộm cắp từ nhân viên
hoặc tin tặc. Tin tặc thiết kế các chương trình giúp họ truy cập và lấy mật khẩu. Nếu các
trang web không yêu cầu mật khẩu, tất cả thông tin sẽ có thể truy cập được và quyền
riêng tư về thông tin sẽ chỉ là mong muốn.
Xác thực vật lý
Thẻ căn cước công dân, hộ chiếu, thẻ ngân hàng hay như thẻ sinh viên gửi xe... tất cả
những vật dụng ta sử dụng hàng ngày đó đều mang ý nghĩa xác thực rất lớn. Giúp chứng
bạn và tài sản của bạn và nhiều tiện ích khác. Nhiều cửa hàng mua sắm cung cấp thẻ để
nhập điểm bạn kiếm được khi mua hàng. Những thẻ này có kích thước và chức năng
tương tự như thẻ ghi nợ và thẻ tín dụng do các tổ chức tài chính cung cấp, cho phép bạn
thực hiện các giao dịch không dùng tiền mặt. Các thẻ này có dải từ hoặc chip giữ dữ liệu
chứa thông tin cá nhân và chi tiết tài khoản của bạn, bao gồm số dư và bảng sao kê. Khi
thẻ này được lắp vào đầu đọc thẻ hoặc máy POS, bạn sẽ cần nhập mật khẩu để có thể
giao dịch với thẻ. Nói cách khác, mã bí mật hoặc mật khẩu hạn chế quyền truy cập vào
tiền hoặc thông tin thẻ của bạn đối với chỉ bạn hoặc những người bạn đã chia sẻ mật
khẩu của mình.
Khi mật khẩu sai được nhập vào một số lần cụ thể, thẻ sẽ tự động bị khóa, để từ chối
truy cập thêm trong trường hợp thẻ có thể đã bị đánh cắp. Để được mở khóa, chủ sở hữu
cần đến nhà cung cấp dịch vụ cùng với các tài liệu gốc của họ để xác minh.
Sinh trắc học
20
Nhóm 12
Bài thi cuối kì mơn ANM
Xác thực sinh trắc học là một trong những hình thức xác minh khó bị hack nhất vì nó
liên quan đến việc sử dụng các tính chất độc đáo của một cá nhân. Một số đặc điểm sinh
lý được sử dụng bao gồm nhận dạng khuôn mặt, nhận dạng vân tay và quét võng mạc,
trong số những đặc điểm khác. Tin tặc luôn gặp vấn đề khi sao chép những thơng tin
như vậy bởi vì mọi người đều có những đặc điểm sinh lý riêng biệt. Ngồi ra, các tính
năng khác, như nhận dạng giọng nói và qt tổ hợp phím, đang ngày càng trở nên phổ
biến trong lĩnh vực này.
Sinh trắc học cho đến nay vẫn là hình thức xác thực được ưa thích nhất trong hầu hết các
tổ chức tài chính và giao dịch. Đây là lý do tại sao một số ứng dụng ngân hàng di động
hiện đại yêu cầu bạn sử dụng giọng nói làm mật khẩu của mình, khiến ai đó hồn tồn
khó có thể mạo danh bạn và giao dịch thay mặt bạn.
Mã hóa
Xác thực bằng mã hóa tiên tiến hơn bảo vệ bằng mật khẩu vì trong trường hợp này, nội
dung được bảo vệ khỏi truy cập trái phép ở nhiều cấp độ khác nhau. Dữ liệu hoặc nội
dung được mã hóa được xáo trộn với mật mã để ai đó có thể truy cập vào nó càng nhiều
càng tốt; họ sẽ khơng đọc nó bởi vì nó không thể hiểu được. Đối với các phần thông tin
như tin nhắn, các từ có thể bị xáo trộn với các ký tự bổ sung để chúng khơng cịn ý nghĩa.
Để một người đọc và truy cập nội dung như vậy, họ cần đặt một khóa giải mã cụ thể
(khóa bí mật), khóa này sẽ nhắc các từ sắp xếp lại để chúng có ý nghĩa và có thể truy
cập được. Điều quan trọng cần lưu ý là nếu chủ sở hữu làm mất khóa giải mã, họ có thể
khơng truy cập được vào dữ liệu hoặc nội dung được mã hóa. D
rfdyrdtrxfrxdxdezsedtxhy
21
Nhóm 12
Bài thi cuối kì mơn ANM
V. KẾT LUẬN
Qua đề tài tìm hiểu về các phướng pháp xác thực người sử dụng và ứng dụng ta đã có
cái nhìn tổng quan và thêm nhiều kiến thức về vấn đề xác thực người sử dụng. Việc xác
thực luôn đi kèm với vấn đề định danh người dùng. Và ta cũng thấy có rất nhiều phương
pháp, các giao thức để giúp vẫn đề xác thưc trở lên dễ dàng hơn chính xác hơn đảm bảo
an toàn cho người trên người sử dụng. Cuối cùng qua tìm hiểu về những ứng dụng của
xác thực người sử dụng giúp ta có thể hiểu được tầm quan trọng của chúng đối với cuộc
cách mạng số hiện nay.
Tài liệu tham khảo
[1] TS. Nguyễn Chiến Chinh, PGS.TS. Nguyễn Tiến Ban, TS. Hoàng Trọng Minh,ThS.
Nguyễn Thanh Trà,ThS. Phạm Anh Thư_Bài giảng An ninh mạng Viễn thông-Học viện
Công nghệ Bưu chính Viễn thơng, 2016.
[2] TS. Phạm Anh Thư_Slide bài giảng An ninh mạng viễn thơng-Học viện Cơng nghệ
Bưu chính Viễn thông,II/2019-2020.
[3] Lê Phúc_Bài giảng Bảo mật Hệ thống thông tin-Học viện Cơng nghệ Bưu chính Viễn
thơng,2007
[4] Tìm hiểu về giao thức xác thực Kerberos (security4vn.com)_
[5] />[6] />[7] />[8] />[9] i/xac-thuc-da-yeu-to-mfa[10] />y_c%E1%BA%ADp
[11] />
22
Nhóm 12
Bài thi cuối kì mơn ANM
Danh mục hình ảnh
Hình 1: Xác thực sử dụng mật khẩu ............................................................................. 4
Hình 2: Nhận dạng khn mặt...................................................................................... 6
Hình 3:Xác thực sử dụng vân tay ................................................................................. 6
Hình 4: Xác thực sử dụng giọng nói............................................................................. 7
Hình 5:Xác thực bằng quét mống mắt .......................................................................... 7
Hình 6: Giao thức xác thực đơn giản............................................................................ 10
Hình 7: Giao thức xác thực xử dụng hàm băm............................................................. 11
Hình 8:Giao thức xác thực Challenge-respnse ............................................................. 11
Hình 9:Giao thức xác thực xử dụng khóa đối xứng ..................................................... 12
Hình 10: Giao thức xác thực lẫn nhau sử dụng khóa đối xứng ................................... 12
Hình 11: Giao thức xác thực lẫn nhau cải tiến ............................................................. 13
Hình 12: Tấn công giao thức xác thực lẫn nhau cải tiến .............................................. 13
Hình 13:Xác thực lẫn nhau cải tiến khác ...................................................................... 14
Hình 14: Giao thức xác thực sử dụng khóa cơng khai ................................................. 14
Hình 15: Giao thức xác thực sử dụng chữ kí số ........................................................... 14
Hình 16:Hệ thống xác thực Kerberos ........................................................................... 15
Hình 17: Giao thức xác thực Kerberos ......................................................................... 16
Thuật ngữ viết tắt
ACE Access Control Entries
Danh sách điểu khiển truy cập ht
ALC Access Control List
Danh sách điểu khiển truy cập
AS Authentication Server
H Hass
ID Indentification
Máy chủ xác thực
Hàm băm
Định danh
KDC Key Distribution Centrer
Trung tâm phân khối khóa
MFA Multi-Factor Authentication
Xác thực đa yếu tố
N Nonce
Số Nouce
PPP Point to Point Protocol
Giao thức điểm điểm
TSG Ticket-Granting Server
Máy chủ phân phối vé
23
Nhóm 12
Bài thi cuối kì mơn ANM
Phân cơng: Hiếu chương I,II
Minh chương III,IV,V
24
Nhóm 12
