Trang i
ĐẠI HỌC QUỐC GIA TP.HCM
TRƯỜNG ĐẠI HỌC BÁCH KHOA
NGUYỄN TRẦN THANH LÂM
ÁP DỤNG KỸ THUẬT MÃ HÓA VÀ XÁC THỰC
TRONG XÂY DỰNG HỆ THỐNG KIỂM SOÁT TRUY CẬP
Chuyên ngành: Kỹ thuật Viễn Thông
Mã số: 60520208
LUẬN VĂN THẠC SĨ
TP.HỒ CHÍ MINH, tháng 10 năm 2017
Trang ii
Công trình được hoàn thành tại: Trường Đại học Bách Khoa – ĐHQG-HCM
Các bộ hướng dẫn khoa học: TS. Lưu Thanh Trà
(Ghi rõ họ, tên, học hàm, học vị và chữ ký)
Cán bộ chấm nhận xét 1: PGS.TS Hồ Văn Khương
(Ghi rõ họ, tên, học hàm, học vị và chữ ký)
Cán bộ chấm nhận xét 2: TS. Mai Linh
(Ghi rõ họ, tên, học hàm, học vị và chữ ký)
Luận văn thạc sĩ được bảo vệ tại Trường Đại học Bách Khoa. ĐHQG TP. HCM
ngày 12 tháng 01 năm 2018
Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm:
1. GS.TS Lê Tiến Thường
2. TS. Huỳnh Phú Minh Cường
3. PGS.TS Hồ Văn Khương
4. TS. Mai Linh
5. PGS.TS Võ Nguyễn Quốc Bảo
Xác nhận của Chủ tích hội đồng đánh giá LV và Trưởng Khoa quản lý chuyên ngành
sau khi luận văn đã được sữa chữa (nếu có).
CHỦ TỊCH HỘI ĐỒNG
TRƯỞNG KHOA ĐIỆN – ĐIỆN TỬ
GS.TS Lê Tiến Thường
TS. Đỗ Hồng Tuấn
Trang iii
ĐẠI HỌC QUỐC GIA TP.HCM
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
TRƯỜNG ĐẠI HỌC BÁCH KHOA
Độc lập – Tự do – Hạnh phúc
NHIỆM VỤ LUẬN VĂN THẠC SĨ
Học tên học viên: Nguyễn Trần Thanh Lâm
MSHV: 1570635
Ngày, tháng, năm sinh: 21/10/1992
Nơi sinh: Tiền Giang
Chuyên ngành: Kỹ thuật Viễn thông
Mã số: 60520208
I. TÊN ĐỀ TÀI: Áp dụng kỹ thuật mã hóa và xác thực trong xây dựng hệ thống kiểm
soát truy cập – Applying encryption and authentication techniques in building access
control system
NHIỆM VỤ VÀ NỘI DUNG: tìm hiểu các kỹ thuật mã hóa và xác thực, xây dựng
hệ thống kiểm soát truy cập (access control) với độ bảo mật cao, phần mềm phía
người dùng triển khai trên điện thoại thông minh (hệ điều hành Android).
II. NGÀY GIAO NHIỆM VỤ: (Ghi theo trong QĐ giao đề tài): 10/07/2017
III. NGÀY HOÀN THÀNH NHIỆM VỤ (Ghi theo trong QĐ giao đề tài):
3/12/2017
IV. CÁN BỘ HƯỚNG DẪN (Ghi rõ học hàm, học vị, họ, tên): TS Lưu Thanh Trà
TP.HCM, ngày 10 tháng 10 năm 2017
CÁN BỘ HƯỚNG DẪN
(Họ tên và chữ ký)
CHỦ NHIỆM BỘ MÔN ĐÀO TẠO
(Họ tên và chữ ký)
TS. Lưu Thanh Trà
TS. Huỳnh Phú Minh Cường
TRƯỞNG KHOA ĐIỆN – ĐIỆN TỬ
(Họ tên và chữ ký)
Trang iv
LỜI CẢM ƠN
Lời đầu tiên, tôi xin gửi lời cảm ơn chân thành đến Thầy hướng dẫn, Tiến sĩ
Lưu Thanh Trà, đã tận tình hướng dẫn tôi trong quá trình thực hiện Luận văn tốt
nghiệp. Thầy đã khéo léo đặt ra những vấn đề thiết thực cần giải quyết, những câu
hỏi mang tính gợi mở giúp tôi vượt qua khó khăn trong quá trình thực hiện đề tài.
Tôi xin gửi lời cảm ơn đến các Thầy cô giảng viên đã truyền đạt những kiến
thức hữu ích trong suốt quá trình học tập, nghiên cứu và rèn luyện tại trường Đại học
Bách Khoa.
Bên cạnh đó, tôi cũng gửi lời cảm ơn đến gia đình và bạn bè đã động viên và
cổ vũ tinh thần trong suốt thời gian học tập.
Trân trọng.
TP.HCM, ngày 21 tháng 10 năm 2017
Học viên
Nguyễn Trần Thanh Lâm
Trang v
TÓM TẮT LUẬN VĂN
Ngày nay, khi công nghệ ngày càng phát triển, cách mạng công nghiệp 4.0
đang diễn ra mạnh mẽ, thông tin được xem là một nguồn tài nguyên quý giá, vì vậy
việc mã hóa, xác thực, kiểm soát truy cập, giữ an toàn thông tin là một yêu cầu thiết
yếu. Các ứng dụng xác thực truy cập trên thị trường hiện nay có nhiều loại và có thể
phân chia như sau:
-
Xác thực truyền thống, bằng những thông tin người dùng biết: chẳng hạn như
cặp định danh – mật khẩu (username – password), số định danh cá nhân
(personal identification number – PIN),…
-
Xác thực bằng các loại thẻ thông minh (smart card) chứa dãy ký tự để xác
thực truy cập (RFID tag),…
-
Nhận dạng bằng sinh trắc học (biometric identifier): chẳng hạn như dấu vân
tay, mẫu võng mạc mắt, giọng nói, gương mặt,…
Tuy nhiên, cả ba phương pháp trên đều tồn tại những lỗ hổng bảo mật và gây
nhiều bất tiện đối với người dùng. Từ các vấn đề nêu trên, đề tài này tập trung nghiên
cứu xây dựng một hệ thống xác thực để kiểm soát việc truy cập có khả năng bảo mật
cao hơn, an toàn hơn so với các hệ thống hiện tại. Hệ thống kiểm soát truy cập này
được xây dựng với ứng dụng phía người dùng hoạt động trên điện thoại thông minh
nhằm đem lại sự tiện dụng tối đa.
Trang vi
ABSTRACTS
Nowadays, as the technology is more and more developing, the 4.0 industrial
revolution is drastically going on, the information is a valuable resource; so
encryption, authentication, access control, information security is an essential
requirement. Today, there are many types of access control applications on the market
and they can be divided as follows:
-
Traditional authentication: such as username – password, personal
identification number (PIN)…
-
Authentication by smart cards: RFID tag…
-
Biometric identifier: such as fingerprints, iris, voice, face…
However, all three above methods have vulnerabilities and inconvenience to
users. From the above issues, this thesis focuses on building an authentication system
having higher security and safer are than existing system to control access. This
access control systems are built on the basis that the user application works on smart
phones to bring maximum convenience.
Trang vii
Mục lục
Chương 1: Giới thiệu tổng quan .............................................................................. 1
1.1 Lý do chọn đề tài ...................................................................................................1
1.2 Các lỗ hổng bảo mật của các hệ thống access control hiện nay ............................2
1.2.1 Hệ thống xác thực truyền thống .........................................................................2
1.2.2 Hệ thống xác thực bằng smart card ....................................................................2
1.2.3 Hệ thống xác thực bằng đặc điểm sinh trắc học. ................................................6
1.2.4 Kết luận………………………………………………………………………. .8
1.3 Yêu cầu đối với hệ thống mới ...............................................................................8
1.4 Đối tượng và phạm vi nghiên cứu .........................................................................9
1.4.1 Đối tượng……………………………………………………………………. ..9
1.4.2 Phạm vi…………………………………………………………………….. ..10
Chương 2: Tổng quan về mã hóa........................................................................... 11
2.1 Lý do chọn mã hóa ..............................................................................................11
2.2 Mã hóa đối xứng ..................................................................................................11
2.2.1 Giới thiệu…………………………………………………………………… .11
2.2.2 Các yêu cầu của thuật toán mã hóa đối xứng ...................................................12
2.3 Mã hóa bất đối xứng ............................................................................................12
2.3.1 Giới thiệu…………………………………………………………………… .12
2.3.2 Mô hình mã hóa bất đối xứng ..........................................................................13
2.3.3 Ứng dụng của mã hóa bất đối xứng .................................................................17
2.4 Kết luận………………………………………………………………………. ..17
Chương 3: Thuật toán mã hóa RSA và ECC ....................................................... 19
3.1 Thuật toán mã hóa RSA ......................................................................................19
3.1.1 Giới thiệu……………………………………………………………………. 19
Trang viii
3.1.2 Độ phổ biến và độ an toàn của RSA ................................................................19
3.1.3 Một số điểm yếu khác ......................................................................................20
3.2 Thuật toán mã hóa ECC ......................................................................................21
3.2.1 Giới thiệu…………………………………………………………………… .21
3.2.2 Độ phổ biến và an toàn của ECC: ....................................................................22
3.3 So sánh thuật toán RSA và ECC .........................................................................22
3.3.1 Về lý thuyết ......................................................................................................22
3.3.2 Về thực tế………………………………………………………………….. ...24
3.3.3 Lập trình ứng dụng ...........................................................................................31
3.3.4 Kết luận……………………………………………………………………. ...32
Chương 4: Chứng thực khóa công khai (Certificate Authority - CA) ............... 34
4.1 Giới thiệu…………………………………………………………………….. ..34
4.2 Các loại chứng nhận số .......................................................................................34
4.2.1 Chứng nhận X.509............................................................................................34
4.2.2 Chứng nhận chất lượng ....................................................................................37
4.2.3 Chứng nhận thuộc tính .....................................................................................37
4.2.4 Kết luận……………………………………………………………………… 38
4.3 Quá trình cấp chứng nhận số ...............................................................................38
4.3.1 Yêu cầu cấp chứng nhận theo chuẩn PKCS #10 ..............................................38
4.3.2 Quá trình cấp chứng nhận số ............................................................................39
4.4 Triển khai thực tế quá trình cấp chứng nhận số ..................................................40
4.4.1 Certificate signing request (CSR) ....................................................................40
4.4.2 X.509 certificate ...............................................................................................42
Chương 5: Tổng quan QR code ............................................................................. 45
Trang ix
5.1 Giới thiệu…………………………………………………………………….. ..45
5.2 Cấu trúc QR code ................................................................................................46
5.3 Khả năng lưu trữ - sửa lỗi....................................................................................47
5.4 So sánh QR code với các loại 2D code khác .......................................................48
5.5 So sánh QR code và NFC ....................................................................................48
5.5.1 Các nguy cơ của NFC.......................................................................................48
5.5.2 Tính tiện dụng của QR code so với NFC .........................................................49
5.6 Kết luận……………………………………………………………………….. .50
Chương 6: Hình thức tấn công phát lại (Replay attack) ..................................... 52
6.1 Giới thiệu……………………………………………………………………. ...52
6.1.1 Kịch bản tấn công .............................................................................................52
6.1.2 Định nghĩa…………………………………………………………………. ...52
6.1.3 Liên hệ thực tế hệ thống ...................................................................................53
6.2 Các phương pháp chống Replay attack: ..............................................................54
6.2.1 Dùng số định danh ............................................................................................54
6.2.2 Dùng timestamp ...............................................................................................54
6.2.3 Dùng cơ chế challenge/ response .....................................................................55
6.3 Kết luận……………………………………………………………………….. .55
Chương 7: Xây dựng hệ thống Access Control .................................................... 57
7.1 Mô hình hệ thống ................................................................................................57
7.1.1 Mô hình thực tế ................................................................................................57
7.1.2 Thuyết minh hệ thống.......................................................................................57
7.2 Lưu đồ giải thuật .................................................................................................59
7.2.1 Phần mềm access control .................................................................................59
Trang x
7.2.2 Module điều khiển access control (Raspberry Pi) ............................................62
7.2.3 CA server………………………………………………………………….. ...64
7.3 Lập trình các module ...........................................................................................65
7.3.1 Phần mềm access control .................................................................................65
7.3.2 Module điều khiển access control (Raspberry Pi) ............................................67
7.3.3 CA server…………………………………………………………………… .68
7.4 Triển khai thực tế.................................................................................................69
7.4.1 Phần mềm phía smartphone người dùng ..........................................................69
7.4.2 CA & web server ..............................................................................................72
7.5 So sánh hệ thống Access control mới và các hệ thống cũ...................................74
Chương 8: Kết luận và hướng phát triển.............................................................. 75
8.1 Kết luận……………………………………………………………………….. .75
8.2 Hướng phát triển ..................................................................................................75
8.2.1 Tích hợp hệ thống Smart – Auto Parking.........................................................75
8.2.2 Các hướng phát triển khác ................................................................................83
9 Phụ lục OpenALPR .............................................................................................. 83
9.1 Giới thiệu……………………………………………………………………… 83
9.2 Nhận diện biển số xe bằng openALPR ...............................................................84
9.2.1 Biển số xe máy .................................................................................................84
9.2.2 Biến số xe ô tô ..................................................................................................85
9.3 Kết luận……………………………………………………………………… ...87
10 DANH MỤC CÔNG TRÌNH KHOA HỌC ..................................................... 87
11 TÀI LIỆU THAM KHẢO ................................................................................. 88
Trang xi
DANH SÁCH HÌNH VẼ
Hình 1.1: Các điểm có nguy cơ bị tấn công trong hệ thống RFID [4] ........................3
Hình 1.2: tấn công nghe trộm trong hệ thống RFID [4] .............................................4
Hình 1.3: tấn công MITM trong hệ thống RFID [4] ...................................................5
Hình 1.4: các điểm tấn công vào hệ thống sinh trắc học [6] .......................................7
Hình 2.1: mô hình mã hóa đối xứng [9] ....................................................................11
Hình 2.2: mô hình mã hóa dùng public key [9] ........................................................14
Hình 2.3: mô hình mã hóa dùng private key [9] .......................................................15
Hình 2.4: mô hình kết hợp [9] ...................................................................................16
Hình 3.1: fault-based attack RSA [15] ......................................................................21
Hình 3.2: biểu đồ so sánh kích thước khóa RSA và ECC ở cùng mức độ bảo mật
[19] ............................................................................................................................23
Hình 3.3: bảng so sánh mức độ phổ biến của hệ điều hành di động [22] .................24
Hình 3.4: triển khai thuật toán RSA-3072 trên Samsung Galaxy S8........................26
Hình 3.5: triển khai thuật toán ECC-256 trên Samsung Galaxy S8 ..........................27
Hình 3.6: so sánh hiệu năng RSA-3072 và ECC-256 trên Samsung Galaxy S8 ......28
Hình 3.7: triển khai thuật toán RSA-3072 trên Samsung Galaxy J3 ........................29
Hình 3.8: triển khai thuật toán ECC-256 trên Samsung Galaxy J3 ..........................30
Hình 3.9: so sánh hiệu năng RSA-3072 và ECC-256 trên Samsung Galaxy J3 .......31
Hình 3.10: tổng thời gian thực hiện t/bình giữa RSA-3072 và ECC-256 (Galaxy S8)
...................................................................................................................................33
Hình 3.11: tổng thời gian thực hiện t/bình giữa RSA-3072 và ECC-256 (Galaxy J3)
...................................................................................................................................33
Hình 4.1: X.509 v3 ....................................................................................................35
Hình 4.2: cấu trúc chứng nhận thuộc tính (version 2) ..............................................37
Hình 4.3: certificate signing request theo chuẩn PKCS #10 [25] .............................38
Hình 4.4: lưu đồ giải thuật quá trình cấp chứng nhận số ..........................................39
Hình 4.5: minh họa quá trình cấp chứng nhận số [26] ..............................................40
Hình 4.6: chép nội dung file CSR vào công cụ giải mã ............................................41
Trang xii
Hình 4.7: giải mã CSR (1).........................................................................................41
Hình 4.8: giải mã CSR (2).........................................................................................42
Hình 4.9: giải mã CSR (3).........................................................................................42
Hình 4.10: chép nội dung file certificate vào công cụ giải mã .................................43
Hình 4.11: giải mã certificate (1) ..............................................................................43
Hình 4.12: giải mã certificate (2) ..............................................................................44
Hình 4.13: giải mã certificate (3) ..............................................................................44
Hình 5.1: minh họa QR code.....................................................................................46
Hình 5.2: cấu trúc QR code [29] ...............................................................................47
Hình 5.3: so sánh QR code và NFC [31] ..................................................................50
Hình 5.4: minh họa scan QR code từ màn hình smart phone của người dùng .........50
Hình 6.1: replay attack ..............................................................................................53
Hình 6.2: minh họa scan QR code từ màn hình smart phone của người dùng .........53
Hình 6.3: cơ chế challenge/ response chống replay attack .......................................55
Hình 7.1: mô hình thực tế hệ thống access control ...................................................57
Hình 7.2: giao diện đăng nhập - liên hệ ....................................................................69
Hình 7.3: giới thiệu các chức năng của phần mềm (1) .............................................69
Hình 7.4: giới thiệu các chức năng của phần mềm (2) .............................................70
Hình 7.5: giao diện chức năng đăng ký thông tin người dùng ..................................70
Hình 7.6: giao diện chức năng tạo chữ ký điện tử ....................................................71
Hình 7.7: giao diện chức năng tạo QR code cho access control ...............................71
Hình 7.8: giao diện đăng nhập webserver .................................................................72
Hình 7.9: giao diện trang chủ ....................................................................................72
Hình 7.10: quản lý chung tài khoản người dùng .......................................................73
Hình 7.11: chi tiết tài khoản người dùng (1) .............................................................73
Hình 7.12: chi tiết tài khoản người dùng (2) .............................................................74
Hình 7.13: chức năng cấu hình và giám sát CA server .............................................74
Hình 8.1: mô hình hệ thống Smart – Auto Parking tích hợp ....................................76
Hình 9.1: nhận dạng biển số xe máy (1) ...................................................................84
Hình 9.2: nhận diện biển số xe máy (2) ....................................................................84
Trang xiii
Hình 9.3: nhận diện biển số xe ô tô (1a) ...................................................................85
Hình 9.4: nhận dạng biển số xe ô tô (1b) ..................................................................85
Hình 9.5: nhận dạng biển số xe ô tô (2a) ..................................................................86
Hình 9.6: nhận dạng biển số xe ô tô (2b) ..................................................................86
Trang xiv
DANH SÁCH BẢNG BIỂU
Bảng 1: yêu cầu của hệ thống mới ..............................................................................9
Bảng 2: các thuật toán mã hóa bất đối xứng và ứng dụng [9] ..................................17
Bảng 3: độ phổ biến và mức độ an toàn của RSA [12] .............................................19
Bảng 4: độ phổ biến và an toàn của ECC [12] ..........................................................22
Bảng 5: so sánh kích thước khóa RSA và ECC ở cùng mức độ bảo mật [19] .........23
Bảng 6: kích thước khóa và thời gian cần thiết để phá mã [20] ...............................23
Bảng 7: so sánh hiệu năng RSA và ECC [21]...........................................................24
Bảng 8: thông số kỹ thuật Samsung Galaxy S8 ........................................................25
Bảng 9: kết quả đo tốc độ thực hiện RSA-3072 (Galaxy S8) ...................................25
Bảng 10: kết quả đo tốc độ thực hiện ECC-256 (Galaxy S8) ...................................26
Bảng 11: thông số kỹ thuật Samsung Galaxy J3 Pro ................................................28
Bảng 12: kết quả đo tốc độ thực hiện RSA-3072 (Galaxy J3) ..................................29
Bảng 13: kết quả đo tốc độ thực hiện ECC-256 (Galaxy J3) ....................................30
Bảng 14: số lượng người dùng QR code 2011 -2015 [29]........................................45
Bảng 15: khả năng lưu trữ của QR code ...................................................................47
Bảng 16: khả năng sửa lỗi của QR code ...................................................................47
Bảng 17: so sánh QR code và các 2D code khác ......................................................48
Bảng 18: thành phần và chức năng của các thành phần trong hệ thống access control
...................................................................................................................................57
Bảng 19: so sánh các hệ thống access control ..........................................................74
Trang 1
1 Chương 1: Giới thiệu tổng quan
1.1 Lý do chọn đề tài
Ngày nay, khi công nghệ ngày càng phát triển, cách mạng công nghiệp 4.0
đang diễn ra mạnh mẽ và dần dần tạo nên các chuẩn mực mới, cũng như thay đổi các
thói quen của con người. Trong cuộc cách mạng này, điện thoại thông minh (smart
phone) đóng một vai trò vô cùng quan trọng, chúng ngày càng nhanh hơn, mạnh mẽ
hơn, tiện lợi hơn và có thể đáp ứng mọi nhu cầu của con người. Xu hướng hiện nay
người dùng thích sử dụng điện thoại thông minh cho mọi tác vụ hằng ngày trong cuộc
sống như: quay phim, chụp ảnh, giải trí, thanh toán, chuyển khoản, email …
Bên cạnh đó, trong thời đại số hóa, thông tin được xem là một nguồn tài
nguyên quý giá vì vậy việc mã hóa, xác thực, kiểm soát truy cập, đảm bảo an toàn
thông tin cũng là một yêu cầu thiết yếu. Đối với các hệ thống xác thực truy cập (access
control) của một số hãng nổi tiếng trên thị trường hiện nay ([1], [2], [3]) có thể chia
thành 3 hình thức xác thực như sau:
-
Xác thực thuyền thống, bằng những thông tin người dùng biết: chẳng hạn như
cặp định danh – mật khẩu (username – password), số định danh cá nhân
(personal identification number – PIN)…
-
Xác thực bằng các loại thẻ thông minh (smart card) chứa dãy ký tự để xác thực
truy cập (ví dụ RFID tag),…
-
Nhận dạng bằng sinh trắc học (biometric identifier): chẳng hạn như dấu vân
tay, mẫu võng mạc mắt, giọng nói, gương mặt…
Tuy nhiên, cả ba hình thức trên đều có những lỗ hổng nhất định, sẽ được trình
bày chi tiết hơn ở phần 1.2 của chương này.
Từ các vấn đề của những hệ thống nêu trên, đề tài luận văn này tập trung
nghiên cứu xây dựng một hệ thống xác thực để kiểm soát việc truy cập (access
control) cho khả năng bảo mật cao hơn. Hệ thống này sẽ được xây dựng với phần
Trang 2
mềm phía người dùng được triển khai trên điện thoại thông minh nhằm đem lại sự
tiện dụng tối đa cho người dùng.
1.2 Các lỗ hổng bảo mật của các hệ thống access control hiện nay
1.2.1 Hệ thống xác thực truyền thống
Các hệ thống dùng phương pháp xác thực truyền thống dựa vào những thông
tin người dùng đã biết, ví dụ username – password, mã PIN…không thể phân biệt
được kẻ giả mạo lừa đảo lấy các thông tin truy cập của chủ sở hữu và chủ sở hữu thật
sự.
Ngoài ra, các hệ thống dùng phương pháp xác thực này đòi hỏi người dùng
phải nhớ password cho từng hệ thống. Bên cạnh đó, các thông tin do người dùng nhập
vào dùng làm password có thể suy ra từ các thông tin cá nhân như tên, ngày sinh, số
điện thoại,… của chủ sở hữu, chính vì thế một hình thức tấn công vét cạn (brute-force
attack) rất hữu hiệu khi khoanh vùng các thông tin cá nhân của chủ sở hữu.
1.2.2 Hệ thống xác thực bằng smart card
Các hệ thống xác thực dùng smart card phổ biến nhất hiện nay là các hệ thống
RFID.
Giống như các hệ thống thông tin khác, hệ thống RFID tồn tại nhiều điểm dễ
bị tấn công. Các tấn công vào hệ thống RFID có thể phân loại thành 4 nhóm chính:
tấn công vào tính xác thực, tấn công vào tính toàn vẹn, tấn công vào tính bảo mật và
tấn công vào tính khả dụng.
Trang 3
Hình 1.1: Các điểm có nguy cơ bị tấn công trong hệ thống RFID [4]
Dưới đây là một số hình thức tấn công hệ thống RFID. [4]
1.2.2.1 Reverse engineering (kỹ thuật đảo ngược)
Thẻ RFID và đầu đọc có thể được thiết kế ngược, kẻ tấn công có thể tháo chip
RFID ra để tìm hiểu cách hoạt động của nó hoặc đọc bộ nhớ để lấy mã bí mật.
1.2.2.2 Power analysis (phân tích công suất)
Power analysis là một hình thức tấn công kênh bên (side-channel attack) nhằm
lấy thông tin bằng cách phân tích sự thay đổi công suất tiêu thụ của một thiết bị. Kẻ
tấn công có thể phân tích sự khác nhau về mức công suất giữa mật mã đúng và mật
mã không chính xác.
1.2.2.3 Eavesdropping (nghe trộm)
Thẻ RFID là thiết bị không dây phát ra dữ liệu, thường là một dãy định danh
duy nhất, chuỗi định danh phải được kiểm tra bởi một RFID reader, do đó tồn tại
nguy cơ nghe trộm trong quá trình giao tiếp không dây giữa thẻ RFID và reader. Nghe
trộm xảy ra khi một kẻ tấn công đánh chặn dữ liệu bằng một reader tương thích với
loại và tần số của thẻ RFID, trong khi thẻ đang được đọc bởi một reader hợp lệ.
Trang 4
Hình 1.2: tấn công nghe trộm trong hệ thống RFID [4]
1.2.2.4 Man-in-the-middle attack (MITM attack)
Tùy thuộc vào cấu trúc hệ thống, một tấn công MITM có thể xảy ra khi dữ liệu
đang được truyền từ thành phần này sang thành phần khác. Kẻ tấn công có thể làm
gián đoạn đường truyền và thao túng thông tin qua lại giữa các thành phần trong hệ
thống RFID. Đây được xem là mối đe dọa thời gian thực. Hình thức tấn công này can
thiệp vào thông tin trước khi thiết bị nhận dự định nhận được và có thể thay đổi thông
tin trên đường truyền. Hệ thống RFID đặc biệt dễ tổn thương bởi các cuộc tấn công
MITM vì các thẻ có kích thước nhỏ, giá thành thấp và không được trang bị các mạch
bảo vệ.
Trang 5
Hình 1.3: tấn công MITM trong hệ thống RFID [4]
1.2.2.5 Denial of Service (DoS)
Các cuộc tấn công DoS có nhiều hình thức khác nhau bằng cách tấn công thẻ
RFID, mạng hoặc hệ thống backend. Mục đích của hình thức tấn công này không
phải là nghe trộm hay sửa đổi thông tin mà nhằm vô hiệu hóa hệ thống RFID khiến
nó không thể sử dụng. Khi nói về các cuộc tấn công DoS trên mạng không dây, mối
quan tâm đầu tiên là tấn công lớp vậy lý, chẳng hạn gây nhiễu hoặc can nhiễu. Việc
sử dụng nhiễu trong cùng dải tần số của hệ thống RFID có thể làm giảm thông lượng
mạng, hủy hoại khả năng kết nối ảnh hưởng đến toàn hệ thống. Kẻ tấn công có thể sử
dụng thiết bị chủ động phát sóng tín hiệu vô tuyến có khả năng chặn và phá hoại hoạt
động của tất cả RFID reader lân cận. Can nhiễu cũng có thể làm sai lệch thông tin
truyền giữa thẻ RFID và reader.
1.2.2.6 Spoofing (giả mạo) và cloning (nhân bản)
Giả mạo và nhân bản xảy ra khi một kẻ tấn công bắt được dữ liệu từ một thẻ
hợp lệ sau đó tạo ra một bản sao trái pháp của thẻ đó với thông tin đã bắt được.
Trang 6
1.2.2.7 Replay attack (tấn công phát lại)
Trong hình thức tấn công phát lại, kẻ tấn công thu nhận thông tin truyền thông
giữa reader và thẻ RFID hợp lệ. Sau một khoản thời gian, tín hiệu thu được trước đó
sẽ được phát lại vào reader, bởi vì dữ liệu hoàn toàn hợp lệ nên nó sẽ được chấp nhận
bởi hệ thống.
1.2.2.8 Tính tiện dụng
Đây không phải là lỗ hổng bảo mật của hệ thống RFID nhưng theo tôi nó đóng
một vai trò rất quan trọng khi đứng trên phương diện của người sử dụng hệ thống.
Các hệ thống RFID hiện nay sử dụng 3 loại thẻ: thẻ thụ động, thẻ tích cực và
thẻ bán thụ động cùng với 3 dải tần số LF (125-134kHz), HF (13.56MHz) và UHF
(433MHz & 856 - 960 MHz) [5], do đó đối với mỗi hệ thống có phần cứng khác nhau,
loại thẻ được sử dụng tương ứng cũng khác nhau. Chính vì vậy, người dùng phải giữ
rất nhiều thẻ, ví dụ: thẻ access cho nhân viên, thẻ giữ xe, thẻ căn hộ…bên cạnh các
loại thẻ khác như thẻ ngân hàng, thẻ siêu thị,…Điều này gây nhiều bất tiện cho người
dùng.
Vấn đề này sẽ được xem xét và là một tiêu chí để tôi đề xuất một hệ thống
khác tiện dụng hơn đối với người sử dụng.
1.2.3 Hệ thống xác thực bằng đặc điểm sinh trắc học.
Các hệ thống xác thực dựa trên đặc điểm sinh trắc học sử dụng các đặc điểm
sinh học (ví dụ: vân tay, mống mắt…) ngày càng trở nên phổ biến so với các hệ thống
truyền thống hay các hệ thống sử dụng smart card. Các hệ thống xác thực bằng sinh
trắc học thuận tiện hơn cho người dùng vì không có mật khẩu để nhớ, không có quá
nhiều smart card để giữ hay phải đảm bảo không bị mất mà chỉ cần dùng một đặc tính
sinh học để truy cập.
Mặc dù có nhiều ưu điểm nhưng các hệ thống sinh trắc học dễ bị tấn công và
làm giảm độ an toàn của chúng.
- Xem thêm -