Tài liệu áp dụng kỹ thuật mã hóa và xác thực trong xây dựng hệ thống kiểm soát truy cập

Trang i ĐẠI HỌC QUỐC GIA TP.HCM TRƯỜNG ĐẠI HỌC BÁCH KHOA NGUYỄN TRẦN THANH LÂM ÁP DỤNG KỸ THUẬT MÃ HÓA VÀ XÁC THỰC TRONG XÂY DỰNG HỆ THỐNG KIỂM SOÁT TRUY CẬP Chuyên ngành: Kỹ thuật Viễn Thông Mã số: 60520208 LUẬN VĂN THẠC SĨ TP.HỒ CHÍ MINH, tháng 10 năm 2017 Trang ii Công trình được hoàn thành tại: Trường Đại học Bách Khoa – ĐHQG-HCM Các bộ hướng dẫn khoa học: TS. Lưu Thanh Trà (Ghi rõ họ, tên, học hàm, học vị và chữ ký) Cán bộ chấm nhận xét 1: PGS.TS Hồ Văn Khương (Ghi rõ họ, tên, học hàm, học vị và chữ ký) Cán bộ chấm nhận xét 2: TS. Mai Linh (Ghi rõ họ, tên, học hàm, học vị và chữ ký) Luận văn thạc sĩ được bảo vệ tại Trường Đại học Bách Khoa. ĐHQG TP. HCM ngày 12 tháng 01 năm 2018 Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm: 1. GS.TS Lê Tiến Thường 2. TS. Huỳnh Phú Minh Cường 3. PGS.TS Hồ Văn Khương 4. TS. Mai Linh 5. PGS.TS Võ Nguyễn Quốc Bảo Xác nhận của Chủ tích hội đồng đánh giá LV và Trưởng Khoa quản lý chuyên ngành sau khi luận văn đã được sữa chữa (nếu có). CHỦ TỊCH HỘI ĐỒNG TRƯỞNG KHOA ĐIỆN – ĐIỆN TỬ GS.TS Lê Tiến Thường TS. Đỗ Hồng Tuấn Trang iii ĐẠI HỌC QUỐC GIA TP.HCM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM TRƯỜNG ĐẠI HỌC BÁCH KHOA Độc lập – Tự do – Hạnh phúc NHIỆM VỤ LUẬN VĂN THẠC SĨ Học tên học viên: Nguyễn Trần Thanh Lâm MSHV: 1570635 Ngày, tháng, năm sinh: 21/10/1992 Nơi sinh: Tiền Giang Chuyên ngành: Kỹ thuật Viễn thông Mã số: 60520208 I. TÊN ĐỀ TÀI: Áp dụng kỹ thuật mã hóa và xác thực trong xây dựng hệ thống kiểm soát truy cập – Applying encryption and authentication techniques in building access control system NHIỆM VỤ VÀ NỘI DUNG: tìm hiểu các kỹ thuật mã hóa và xác thực, xây dựng hệ thống kiểm soát truy cập (access control) với độ bảo mật cao, phần mềm phía người dùng triển khai trên điện thoại thông minh (hệ điều hành Android). II. NGÀY GIAO NHIỆM VỤ: (Ghi theo trong QĐ giao đề tài): 10/07/2017 III. NGÀY HOÀN THÀNH NHIỆM VỤ (Ghi theo trong QĐ giao đề tài): 3/12/2017 IV. CÁN BỘ HƯỚNG DẪN (Ghi rõ học hàm, học vị, họ, tên): TS Lưu Thanh Trà TP.HCM, ngày 10 tháng 10 năm 2017 CÁN BỘ HƯỚNG DẪN (Họ tên và chữ ký) CHỦ NHIỆM BỘ MÔN ĐÀO TẠO (Họ tên và chữ ký) TS. Lưu Thanh Trà TS. Huỳnh Phú Minh Cường TRƯỞNG KHOA ĐIỆN – ĐIỆN TỬ (Họ tên và chữ ký) Trang iv LỜI CẢM ƠN Lời đầu tiên, tôi xin gửi lời cảm ơn chân thành đến Thầy hướng dẫn, Tiến sĩ Lưu Thanh Trà, đã tận tình hướng dẫn tôi trong quá trình thực hiện Luận văn tốt nghiệp. Thầy đã khéo léo đặt ra những vấn đề thiết thực cần giải quyết, những câu hỏi mang tính gợi mở giúp tôi vượt qua khó khăn trong quá trình thực hiện đề tài. Tôi xin gửi lời cảm ơn đến các Thầy cô giảng viên đã truyền đạt những kiến thức hữu ích trong suốt quá trình học tập, nghiên cứu và rèn luyện tại trường Đại học Bách Khoa. Bên cạnh đó, tôi cũng gửi lời cảm ơn đến gia đình và bạn bè đã động viên và cổ vũ tinh thần trong suốt thời gian học tập. Trân trọng. TP.HCM, ngày 21 tháng 10 năm 2017 Học viên Nguyễn Trần Thanh Lâm Trang v TÓM TẮT LUẬN VĂN Ngày nay, khi công nghệ ngày càng phát triển, cách mạng công nghiệp 4.0 đang diễn ra mạnh mẽ, thông tin được xem là một nguồn tài nguyên quý giá, vì vậy việc mã hóa, xác thực, kiểm soát truy cập, giữ an toàn thông tin là một yêu cầu thiết yếu. Các ứng dụng xác thực truy cập trên thị trường hiện nay có nhiều loại và có thể phân chia như sau: - Xác thực truyền thống, bằng những thông tin người dùng biết: chẳng hạn như cặp định danh – mật khẩu (username – password), số định danh cá nhân (personal identification number – PIN),… - Xác thực bằng các loại thẻ thông minh (smart card) chứa dãy ký tự để xác thực truy cập (RFID tag),… - Nhận dạng bằng sinh trắc học (biometric identifier): chẳng hạn như dấu vân tay, mẫu võng mạc mắt, giọng nói, gương mặt,… Tuy nhiên, cả ba phương pháp trên đều tồn tại những lỗ hổng bảo mật và gây nhiều bất tiện đối với người dùng. Từ các vấn đề nêu trên, đề tài này tập trung nghiên cứu xây dựng một hệ thống xác thực để kiểm soát việc truy cập có khả năng bảo mật cao hơn, an toàn hơn so với các hệ thống hiện tại. Hệ thống kiểm soát truy cập này được xây dựng với ứng dụng phía người dùng hoạt động trên điện thoại thông minh nhằm đem lại sự tiện dụng tối đa. Trang vi ABSTRACTS Nowadays, as the technology is more and more developing, the 4.0 industrial revolution is drastically going on, the information is a valuable resource; so encryption, authentication, access control, information security is an essential requirement. Today, there are many types of access control applications on the market and they can be divided as follows: - Traditional authentication: such as username – password, personal identification number (PIN)… - Authentication by smart cards: RFID tag… - Biometric identifier: such as fingerprints, iris, voice, face… However, all three above methods have vulnerabilities and inconvenience to users. From the above issues, this thesis focuses on building an authentication system having higher security and safer are than existing system to control access. This access control systems are built on the basis that the user application works on smart phones to bring maximum convenience. Trang vii Mục lục Chương 1: Giới thiệu tổng quan .............................................................................. 1 1.1 Lý do chọn đề tài ...................................................................................................1 1.2 Các lỗ hổng bảo mật của các hệ thống access control hiện nay ............................2 1.2.1 Hệ thống xác thực truyền thống .........................................................................2 1.2.2 Hệ thống xác thực bằng smart card ....................................................................2 1.2.3 Hệ thống xác thực bằng đặc điểm sinh trắc học. ................................................6 1.2.4 Kết luận………………………………………………………………………. .8 1.3 Yêu cầu đối với hệ thống mới ...............................................................................8 1.4 Đối tượng và phạm vi nghiên cứu .........................................................................9 1.4.1 Đối tượng……………………………………………………………………. ..9 1.4.2 Phạm vi…………………………………………………………………….. ..10 Chương 2: Tổng quan về mã hóa........................................................................... 11 2.1 Lý do chọn mã hóa ..............................................................................................11 2.2 Mã hóa đối xứng ..................................................................................................11 2.2.1 Giới thiệu…………………………………………………………………… .11 2.2.2 Các yêu cầu của thuật toán mã hóa đối xứng ...................................................12 2.3 Mã hóa bất đối xứng ............................................................................................12 2.3.1 Giới thiệu…………………………………………………………………… .12 2.3.2 Mô hình mã hóa bất đối xứng ..........................................................................13 2.3.3 Ứng dụng của mã hóa bất đối xứng .................................................................17 2.4 Kết luận………………………………………………………………………. ..17 Chương 3: Thuật toán mã hóa RSA và ECC ....................................................... 19 3.1 Thuật toán mã hóa RSA ......................................................................................19 3.1.1 Giới thiệu……………………………………………………………………. 19 Trang viii 3.1.2 Độ phổ biến và độ an toàn của RSA ................................................................19 3.1.3 Một số điểm yếu khác ......................................................................................20 3.2 Thuật toán mã hóa ECC ......................................................................................21 3.2.1 Giới thiệu…………………………………………………………………… .21 3.2.2 Độ phổ biến và an toàn của ECC: ....................................................................22 3.3 So sánh thuật toán RSA và ECC .........................................................................22 3.3.1 Về lý thuyết ......................................................................................................22 3.3.2 Về thực tế………………………………………………………………….. ...24 3.3.3 Lập trình ứng dụng ...........................................................................................31 3.3.4 Kết luận……………………………………………………………………. ...32 Chương 4: Chứng thực khóa công khai (Certificate Authority - CA) ............... 34 4.1 Giới thiệu…………………………………………………………………….. ..34 4.2 Các loại chứng nhận số .......................................................................................34 4.2.1 Chứng nhận X.509............................................................................................34 4.2.2 Chứng nhận chất lượng ....................................................................................37 4.2.3 Chứng nhận thuộc tính .....................................................................................37 4.2.4 Kết luận……………………………………………………………………… 38 4.3 Quá trình cấp chứng nhận số ...............................................................................38 4.3.1 Yêu cầu cấp chứng nhận theo chuẩn PKCS #10 ..............................................38 4.3.2 Quá trình cấp chứng nhận số ............................................................................39 4.4 Triển khai thực tế quá trình cấp chứng nhận số ..................................................40 4.4.1 Certificate signing request (CSR) ....................................................................40 4.4.2 X.509 certificate ...............................................................................................42 Chương 5: Tổng quan QR code ............................................................................. 45 Trang ix 5.1 Giới thiệu…………………………………………………………………….. ..45 5.2 Cấu trúc QR code ................................................................................................46 5.3 Khả năng lưu trữ - sửa lỗi....................................................................................47 5.4 So sánh QR code với các loại 2D code khác .......................................................48 5.5 So sánh QR code và NFC ....................................................................................48 5.5.1 Các nguy cơ của NFC.......................................................................................48 5.5.2 Tính tiện dụng của QR code so với NFC .........................................................49 5.6 Kết luận……………………………………………………………………….. .50 Chương 6: Hình thức tấn công phát lại (Replay attack) ..................................... 52 6.1 Giới thiệu……………………………………………………………………. ...52 6.1.1 Kịch bản tấn công .............................................................................................52 6.1.2 Định nghĩa…………………………………………………………………. ...52 6.1.3 Liên hệ thực tế hệ thống ...................................................................................53 6.2 Các phương pháp chống Replay attack: ..............................................................54 6.2.1 Dùng số định danh ............................................................................................54 6.2.2 Dùng timestamp ...............................................................................................54 6.2.3 Dùng cơ chế challenge/ response .....................................................................55 6.3 Kết luận……………………………………………………………………….. .55 Chương 7: Xây dựng hệ thống Access Control .................................................... 57 7.1 Mô hình hệ thống ................................................................................................57 7.1.1 Mô hình thực tế ................................................................................................57 7.1.2 Thuyết minh hệ thống.......................................................................................57 7.2 Lưu đồ giải thuật .................................................................................................59 7.2.1 Phần mềm access control .................................................................................59 Trang x 7.2.2 Module điều khiển access control (Raspberry Pi) ............................................62 7.2.3 CA server………………………………………………………………….. ...64 7.3 Lập trình các module ...........................................................................................65 7.3.1 Phần mềm access control .................................................................................65 7.3.2 Module điều khiển access control (Raspberry Pi) ............................................67 7.3.3 CA server…………………………………………………………………… .68 7.4 Triển khai thực tế.................................................................................................69 7.4.1 Phần mềm phía smartphone người dùng ..........................................................69 7.4.2 CA & web server ..............................................................................................72 7.5 So sánh hệ thống Access control mới và các hệ thống cũ...................................74 Chương 8: Kết luận và hướng phát triển.............................................................. 75 8.1 Kết luận……………………………………………………………………….. .75 8.2 Hướng phát triển ..................................................................................................75 8.2.1 Tích hợp hệ thống Smart – Auto Parking.........................................................75 8.2.2 Các hướng phát triển khác ................................................................................83 9 Phụ lục OpenALPR .............................................................................................. 83 9.1 Giới thiệu……………………………………………………………………… 83 9.2 Nhận diện biển số xe bằng openALPR ...............................................................84 9.2.1 Biển số xe máy .................................................................................................84 9.2.2 Biến số xe ô tô ..................................................................................................85 9.3 Kết luận……………………………………………………………………… ...87 10 DANH MỤC CÔNG TRÌNH KHOA HỌC ..................................................... 87 11 TÀI LIỆU THAM KHẢO ................................................................................. 88 Trang xi DANH SÁCH HÌNH VẼ Hình 1.1: Các điểm có nguy cơ bị tấn công trong hệ thống RFID [4] ........................3 Hình 1.2: tấn công nghe trộm trong hệ thống RFID [4] .............................................4 Hình 1.3: tấn công MITM trong hệ thống RFID [4] ...................................................5 Hình 1.4: các điểm tấn công vào hệ thống sinh trắc học [6] .......................................7 Hình 2.1: mô hình mã hóa đối xứng [9] ....................................................................11 Hình 2.2: mô hình mã hóa dùng public key [9] ........................................................14 Hình 2.3: mô hình mã hóa dùng private key [9] .......................................................15 Hình 2.4: mô hình kết hợp [9] ...................................................................................16 Hình 3.1: fault-based attack RSA [15] ......................................................................21 Hình 3.2: biểu đồ so sánh kích thước khóa RSA và ECC ở cùng mức độ bảo mật [19] ............................................................................................................................23 Hình 3.3: bảng so sánh mức độ phổ biến của hệ điều hành di động [22] .................24 Hình 3.4: triển khai thuật toán RSA-3072 trên Samsung Galaxy S8........................26 Hình 3.5: triển khai thuật toán ECC-256 trên Samsung Galaxy S8 ..........................27 Hình 3.6: so sánh hiệu năng RSA-3072 và ECC-256 trên Samsung Galaxy S8 ......28 Hình 3.7: triển khai thuật toán RSA-3072 trên Samsung Galaxy J3 ........................29 Hình 3.8: triển khai thuật toán ECC-256 trên Samsung Galaxy J3 ..........................30 Hình 3.9: so sánh hiệu năng RSA-3072 và ECC-256 trên Samsung Galaxy J3 .......31 Hình 3.10: tổng thời gian thực hiện t/bình giữa RSA-3072 và ECC-256 (Galaxy S8) ...................................................................................................................................33 Hình 3.11: tổng thời gian thực hiện t/bình giữa RSA-3072 và ECC-256 (Galaxy J3) ...................................................................................................................................33 Hình 4.1: X.509 v3 ....................................................................................................35 Hình 4.2: cấu trúc chứng nhận thuộc tính (version 2) ..............................................37 Hình 4.3: certificate signing request theo chuẩn PKCS #10 [25] .............................38 Hình 4.4: lưu đồ giải thuật quá trình cấp chứng nhận số ..........................................39 Hình 4.5: minh họa quá trình cấp chứng nhận số [26] ..............................................40 Hình 4.6: chép nội dung file CSR vào công cụ giải mã ............................................41 Trang xii Hình 4.7: giải mã CSR (1).........................................................................................41 Hình 4.8: giải mã CSR (2).........................................................................................42 Hình 4.9: giải mã CSR (3).........................................................................................42 Hình 4.10: chép nội dung file certificate vào công cụ giải mã .................................43 Hình 4.11: giải mã certificate (1) ..............................................................................43 Hình 4.12: giải mã certificate (2) ..............................................................................44 Hình 4.13: giải mã certificate (3) ..............................................................................44 Hình 5.1: minh họa QR code.....................................................................................46 Hình 5.2: cấu trúc QR code [29] ...............................................................................47 Hình 5.3: so sánh QR code và NFC [31] ..................................................................50 Hình 5.4: minh họa scan QR code từ màn hình smart phone của người dùng .........50 Hình 6.1: replay attack ..............................................................................................53 Hình 6.2: minh họa scan QR code từ màn hình smart phone của người dùng .........53 Hình 6.3: cơ chế challenge/ response chống replay attack .......................................55 Hình 7.1: mô hình thực tế hệ thống access control ...................................................57 Hình 7.2: giao diện đăng nhập - liên hệ ....................................................................69 Hình 7.3: giới thiệu các chức năng của phần mềm (1) .............................................69 Hình 7.4: giới thiệu các chức năng của phần mềm (2) .............................................70 Hình 7.5: giao diện chức năng đăng ký thông tin người dùng ..................................70 Hình 7.6: giao diện chức năng tạo chữ ký điện tử ....................................................71 Hình 7.7: giao diện chức năng tạo QR code cho access control ...............................71 Hình 7.8: giao diện đăng nhập webserver .................................................................72 Hình 7.9: giao diện trang chủ ....................................................................................72 Hình 7.10: quản lý chung tài khoản người dùng .......................................................73 Hình 7.11: chi tiết tài khoản người dùng (1) .............................................................73 Hình 7.12: chi tiết tài khoản người dùng (2) .............................................................74 Hình 7.13: chức năng cấu hình và giám sát CA server .............................................74 Hình 8.1: mô hình hệ thống Smart – Auto Parking tích hợp ....................................76 Hình 9.1: nhận dạng biển số xe máy (1) ...................................................................84 Hình 9.2: nhận diện biển số xe máy (2) ....................................................................84 Trang xiii Hình 9.3: nhận diện biển số xe ô tô (1a) ...................................................................85 Hình 9.4: nhận dạng biển số xe ô tô (1b) ..................................................................85 Hình 9.5: nhận dạng biển số xe ô tô (2a) ..................................................................86 Hình 9.6: nhận dạng biển số xe ô tô (2b) ..................................................................86 Trang xiv DANH SÁCH BẢNG BIỂU Bảng 1: yêu cầu của hệ thống mới ..............................................................................9 Bảng 2: các thuật toán mã hóa bất đối xứng và ứng dụng [9] ..................................17 Bảng 3: độ phổ biến và mức độ an toàn của RSA [12] .............................................19 Bảng 4: độ phổ biến và an toàn của ECC [12] ..........................................................22 Bảng 5: so sánh kích thước khóa RSA và ECC ở cùng mức độ bảo mật [19] .........23 Bảng 6: kích thước khóa và thời gian cần thiết để phá mã [20] ...............................23 Bảng 7: so sánh hiệu năng RSA và ECC [21]...........................................................24 Bảng 8: thông số kỹ thuật Samsung Galaxy S8 ........................................................25 Bảng 9: kết quả đo tốc độ thực hiện RSA-3072 (Galaxy S8) ...................................25 Bảng 10: kết quả đo tốc độ thực hiện ECC-256 (Galaxy S8) ...................................26 Bảng 11: thông số kỹ thuật Samsung Galaxy J3 Pro ................................................28 Bảng 12: kết quả đo tốc độ thực hiện RSA-3072 (Galaxy J3) ..................................29 Bảng 13: kết quả đo tốc độ thực hiện ECC-256 (Galaxy J3) ....................................30 Bảng 14: số lượng người dùng QR code 2011 -2015 [29]........................................45 Bảng 15: khả năng lưu trữ của QR code ...................................................................47 Bảng 16: khả năng sửa lỗi của QR code ...................................................................47 Bảng 17: so sánh QR code và các 2D code khác ......................................................48 Bảng 18: thành phần và chức năng của các thành phần trong hệ thống access control ...................................................................................................................................57 Bảng 19: so sánh các hệ thống access control ..........................................................74 Trang 1 1 Chương 1: Giới thiệu tổng quan 1.1 Lý do chọn đề tài Ngày nay, khi công nghệ ngày càng phát triển, cách mạng công nghiệp 4.0 đang diễn ra mạnh mẽ và dần dần tạo nên các chuẩn mực mới, cũng như thay đổi các thói quen của con người. Trong cuộc cách mạng này, điện thoại thông minh (smart phone) đóng một vai trò vô cùng quan trọng, chúng ngày càng nhanh hơn, mạnh mẽ hơn, tiện lợi hơn và có thể đáp ứng mọi nhu cầu của con người. Xu hướng hiện nay người dùng thích sử dụng điện thoại thông minh cho mọi tác vụ hằng ngày trong cuộc sống như: quay phim, chụp ảnh, giải trí, thanh toán, chuyển khoản, email … Bên cạnh đó, trong thời đại số hóa, thông tin được xem là một nguồn tài nguyên quý giá vì vậy việc mã hóa, xác thực, kiểm soát truy cập, đảm bảo an toàn thông tin cũng là một yêu cầu thiết yếu. Đối với các hệ thống xác thực truy cập (access control) của một số hãng nổi tiếng trên thị trường hiện nay ([1], [2], [3]) có thể chia thành 3 hình thức xác thực như sau: - Xác thực thuyền thống, bằng những thông tin người dùng biết: chẳng hạn như cặp định danh – mật khẩu (username – password), số định danh cá nhân (personal identification number – PIN)… - Xác thực bằng các loại thẻ thông minh (smart card) chứa dãy ký tự để xác thực truy cập (ví dụ RFID tag),… - Nhận dạng bằng sinh trắc học (biometric identifier): chẳng hạn như dấu vân tay, mẫu võng mạc mắt, giọng nói, gương mặt… Tuy nhiên, cả ba hình thức trên đều có những lỗ hổng nhất định, sẽ được trình bày chi tiết hơn ở phần 1.2 của chương này. Từ các vấn đề của những hệ thống nêu trên, đề tài luận văn này tập trung nghiên cứu xây dựng một hệ thống xác thực để kiểm soát việc truy cập (access control) cho khả năng bảo mật cao hơn. Hệ thống này sẽ được xây dựng với phần Trang 2 mềm phía người dùng được triển khai trên điện thoại thông minh nhằm đem lại sự tiện dụng tối đa cho người dùng. 1.2 Các lỗ hổng bảo mật của các hệ thống access control hiện nay 1.2.1 Hệ thống xác thực truyền thống Các hệ thống dùng phương pháp xác thực truyền thống dựa vào những thông tin người dùng đã biết, ví dụ username – password, mã PIN…không thể phân biệt được kẻ giả mạo lừa đảo lấy các thông tin truy cập của chủ sở hữu và chủ sở hữu thật sự. Ngoài ra, các hệ thống dùng phương pháp xác thực này đòi hỏi người dùng phải nhớ password cho từng hệ thống. Bên cạnh đó, các thông tin do người dùng nhập vào dùng làm password có thể suy ra từ các thông tin cá nhân như tên, ngày sinh, số điện thoại,… của chủ sở hữu, chính vì thế một hình thức tấn công vét cạn (brute-force attack) rất hữu hiệu khi khoanh vùng các thông tin cá nhân của chủ sở hữu. 1.2.2 Hệ thống xác thực bằng smart card Các hệ thống xác thực dùng smart card phổ biến nhất hiện nay là các hệ thống RFID. Giống như các hệ thống thông tin khác, hệ thống RFID tồn tại nhiều điểm dễ bị tấn công. Các tấn công vào hệ thống RFID có thể phân loại thành 4 nhóm chính: tấn công vào tính xác thực, tấn công vào tính toàn vẹn, tấn công vào tính bảo mật và tấn công vào tính khả dụng. Trang 3 Hình 1.1: Các điểm có nguy cơ bị tấn công trong hệ thống RFID [4] Dưới đây là một số hình thức tấn công hệ thống RFID. [4] 1.2.2.1 Reverse engineering (kỹ thuật đảo ngược) Thẻ RFID và đầu đọc có thể được thiết kế ngược, kẻ tấn công có thể tháo chip RFID ra để tìm hiểu cách hoạt động của nó hoặc đọc bộ nhớ để lấy mã bí mật. 1.2.2.2 Power analysis (phân tích công suất) Power analysis là một hình thức tấn công kênh bên (side-channel attack) nhằm lấy thông tin bằng cách phân tích sự thay đổi công suất tiêu thụ của một thiết bị. Kẻ tấn công có thể phân tích sự khác nhau về mức công suất giữa mật mã đúng và mật mã không chính xác. 1.2.2.3 Eavesdropping (nghe trộm) Thẻ RFID là thiết bị không dây phát ra dữ liệu, thường là một dãy định danh duy nhất, chuỗi định danh phải được kiểm tra bởi một RFID reader, do đó tồn tại nguy cơ nghe trộm trong quá trình giao tiếp không dây giữa thẻ RFID và reader. Nghe trộm xảy ra khi một kẻ tấn công đánh chặn dữ liệu bằng một reader tương thích với loại và tần số của thẻ RFID, trong khi thẻ đang được đọc bởi một reader hợp lệ. Trang 4 Hình 1.2: tấn công nghe trộm trong hệ thống RFID [4] 1.2.2.4 Man-in-the-middle attack (MITM attack) Tùy thuộc vào cấu trúc hệ thống, một tấn công MITM có thể xảy ra khi dữ liệu đang được truyền từ thành phần này sang thành phần khác. Kẻ tấn công có thể làm gián đoạn đường truyền và thao túng thông tin qua lại giữa các thành phần trong hệ thống RFID. Đây được xem là mối đe dọa thời gian thực. Hình thức tấn công này can thiệp vào thông tin trước khi thiết bị nhận dự định nhận được và có thể thay đổi thông tin trên đường truyền. Hệ thống RFID đặc biệt dễ tổn thương bởi các cuộc tấn công MITM vì các thẻ có kích thước nhỏ, giá thành thấp và không được trang bị các mạch bảo vệ. Trang 5 Hình 1.3: tấn công MITM trong hệ thống RFID [4] 1.2.2.5 Denial of Service (DoS) Các cuộc tấn công DoS có nhiều hình thức khác nhau bằng cách tấn công thẻ RFID, mạng hoặc hệ thống backend. Mục đích của hình thức tấn công này không phải là nghe trộm hay sửa đổi thông tin mà nhằm vô hiệu hóa hệ thống RFID khiến nó không thể sử dụng. Khi nói về các cuộc tấn công DoS trên mạng không dây, mối quan tâm đầu tiên là tấn công lớp vậy lý, chẳng hạn gây nhiễu hoặc can nhiễu. Việc sử dụng nhiễu trong cùng dải tần số của hệ thống RFID có thể làm giảm thông lượng mạng, hủy hoại khả năng kết nối ảnh hưởng đến toàn hệ thống. Kẻ tấn công có thể sử dụng thiết bị chủ động phát sóng tín hiệu vô tuyến có khả năng chặn và phá hoại hoạt động của tất cả RFID reader lân cận. Can nhiễu cũng có thể làm sai lệch thông tin truyền giữa thẻ RFID và reader. 1.2.2.6 Spoofing (giả mạo) và cloning (nhân bản) Giả mạo và nhân bản xảy ra khi một kẻ tấn công bắt được dữ liệu từ một thẻ hợp lệ sau đó tạo ra một bản sao trái pháp của thẻ đó với thông tin đã bắt được. Trang 6 1.2.2.7 Replay attack (tấn công phát lại) Trong hình thức tấn công phát lại, kẻ tấn công thu nhận thông tin truyền thông giữa reader và thẻ RFID hợp lệ. Sau một khoản thời gian, tín hiệu thu được trước đó sẽ được phát lại vào reader, bởi vì dữ liệu hoàn toàn hợp lệ nên nó sẽ được chấp nhận bởi hệ thống. 1.2.2.8 Tính tiện dụng Đây không phải là lỗ hổng bảo mật của hệ thống RFID nhưng theo tôi nó đóng một vai trò rất quan trọng khi đứng trên phương diện của người sử dụng hệ thống. Các hệ thống RFID hiện nay sử dụng 3 loại thẻ: thẻ thụ động, thẻ tích cực và thẻ bán thụ động cùng với 3 dải tần số LF (125-134kHz), HF (13.56MHz) và UHF (433MHz & 856 - 960 MHz) [5], do đó đối với mỗi hệ thống có phần cứng khác nhau, loại thẻ được sử dụng tương ứng cũng khác nhau. Chính vì vậy, người dùng phải giữ rất nhiều thẻ, ví dụ: thẻ access cho nhân viên, thẻ giữ xe, thẻ căn hộ…bên cạnh các loại thẻ khác như thẻ ngân hàng, thẻ siêu thị,…Điều này gây nhiều bất tiện cho người dùng. Vấn đề này sẽ được xem xét và là một tiêu chí để tôi đề xuất một hệ thống khác tiện dụng hơn đối với người sử dụng. 1.2.3 Hệ thống xác thực bằng đặc điểm sinh trắc học. Các hệ thống xác thực dựa trên đặc điểm sinh trắc học sử dụng các đặc điểm sinh học (ví dụ: vân tay, mống mắt…) ngày càng trở nên phổ biến so với các hệ thống truyền thống hay các hệ thống sử dụng smart card. Các hệ thống xác thực bằng sinh trắc học thuận tiện hơn cho người dùng vì không có mật khẩu để nhớ, không có quá nhiều smart card để giữ hay phải đảm bảo không bị mất mà chỉ cần dùng một đặc tính sinh học để truy cập. Mặc dù có nhiều ưu điểm nhưng các hệ thống sinh trắc học dễ bị tấn công và làm giảm độ an toàn của chúng.