Tài liệu Giải pháp xác thực người dùng bằng công nghệ captive portal

LỜI CẢM ƠN Để hoàn thành luận án tốt nghiệp, em xin gửi lời cảm ơn sâu sắc tới các thầy cô giáo trong Bộ môn tin học trƣờng ĐHDL Hải Phòng đã trực tiếp giảng dạy và cung cấp cho em những kiến thức quý báu để em có thể tìm hiểu và tiếp cận với những công nghệ và lĩnh vực mới. Đặc biệt em xin chân thành gửi lời cảm ơn đến TS. Phạm Hồng Thái và CN. Lƣơng Việt Nguyên - ĐH Công nghệ đã tận tình hƣớng dẫn em cũng nhƣ tạo mọi điều kiện về tài liệu và kiến thức để em có thể hoàn thành đƣợc luận án tốt nghiệp này. Và cuối cùng xin gửi lời cảm ơn tới gia đình, tới các bạn đã động viên, góp ý và sát cánh cùng em trên con đƣờng học tập. Do thời gian eo hẹp và khả năng có hạn nên luận án tốt nghiệp không tránh khỏi những thiếu sót. Kính mong nhận đƣợc nhiều ý kiến đóng góp, phê bình của quý thầy cô và các bạn để chƣơng trình đƣợc hoàn thiện hơn. Em xin chân thành cảm ơn ! Hải Phòng, tháng 8 năm 2007 Sinh viên Lê Thị Thùy Lƣơng Giải pháp xác thực người dùng Lê Thị Thùy Lương MỤC LỤC LỜI CẢM ƠN ....................................................................................................... 1 MỤC LỤC ............................................................................................................. 2 LỜI NÓI ĐẦU....................................................................................................... 5 Chƣơng 1: VẤN ĐỀ AN NINH AN TOÀN MẠNG MÁY TÍNH VÀ CÁC GIẢI PHÁP XÁC THỰC NGƢỜI DÙNG ........................................................... 7 1.1. Tổng quan về vấn đề an ninh an toàn mạng máy tính ............................... 7 1.1.1. Đe dọa an ninh từ đâu? ........................................................................ 7 1.1.2. Các giải pháp cơ bản đảm bảo an ninh ............................................... 8 1.2. Vấn đề bảo mật hệ thống và mạng ........................................................... 10 1.2.1. Các vấn dề chung về bảo mật hệ thống và mạng ............................. 10 1.2.2. Một số khái niệm và lịch sử bảo mật hệ thống ................................. 10 1.3. Các kiến thức cơ bản về xác thực ngƣời dùng ......................................... 11 1.3.1. Khái niệm về xác thực ngƣời dùng ................................................... 12 1.3.2. Các giải pháp xác thực ngƣời dùng phổ biến .................................... 12 1.3.3. Các giao thức xác thực ...................................................................... 18 1.3.4. Nhận xét ............................................................................................ 20 Chƣơng 2: MẠNG KHÔNG DÂY VÀ CÁC CHÍNH SÁCH BẢO MẬT ....... 21 2.1. Giới thiệu chung về mạng không dây ...................................................... 21 2.2. Lịch sử phát triển và sự phát triển của mạng không dây ......................... 22 2.2.1. Lịch sử phát triển của mạng không dây ............................................ 22 2.2.2. Sự phát triển của mạng không dây .................................................... 23 2.2.3. Các thế hệ phát triển của mạng không dây ....................................... 24 2.3. Công nghệ phổ biến của mạng không dây ............................................... 25 2.3.1. Công nghệ TDMA ............................................................................. 25 2.3.2. Công nghệ GSM ................................................................................ 25 2.3.3. Công nghệ CDMA ............................................................................ 26 2.3.4. Công nghệ WiFi ................................................................................ 26 2.3.5. Công Nghệ WiMax ........................................................................... 27 2.3.6. Công nghệ GPRS .............................................................................. 27 2.4. Các chuẩn phổ biến của mạng không dây ................................................ 27 2.6. Công nghệ tấn công và cách phòng thủ ................................................... 29 2.6.1. Phƣơng pháp tấn công bằng Rogue Access Point ............................. 29 2.6.2. Tổng hợp các phƣơng pháp tấn công khác ....................................... 31 2.7. Chính sách bảo mật mạng không dây ..................................................... 35 2.7.1. Đánh giá về hệ thống bảo mật của WLAN ....................................... 35 2.7.2. Chính sách bảo mật WLAN .............................................................. 35 2 Giải pháp xác thực người dùng Lê Thị Thùy Lương Chƣơng 3: CÔNG NGHỆ CAPTIVE PORTAL VÀ SỬ DỤNG RADIUS XÁC THỰC TRONG WLAN ...................................................................................... 37 3.1. Công nghệ Captive Portal là gì?............................................................... 37 3.1.1. Các cách triển triển khai .................................................................... 37 3.1.3. Giới thiệu một số phần mềm sử dụng công nghệ Captive Portal ..... 38 3.1.4. Một số hạn chế .................................................................................. 39 3.2. Sử dụng RADIUS cho quá trình xác thực trong WLAN ......................... 39 3.2.1. Xác thực, cấp phép, và thanh toán .................................................... 41 3.2.2. Sự an toàn và mở rộng ...................................................................... 42 3.2.3. Áp dụng RADIUS cho mạng LAN không dây ................................. 43 3.2.4.Tthực hiện các tùy chọn ..................................................................... 44 3.2.5. Kết luận ............................................................................................. 44 Chƣơng 4: CÀI ĐẶT VÀ THỬ NGHIỆM PHẦN MỀM CHILLISPOT ........... 45 4.1. Giới thiệu ChilliSpot ................................................................................ 45 4.1.1. Phƣơng pháp xác thực của ChilliSpot ............................................... 45 4.1.2. Một số giao diện của ChilliSpot ........................................................ 45 4.1.3. Yêu cầu để xây dựng một HotSpot ................................................... 46 4.1.4. Kiến trúc mạng khi xây dựng ............................................................ 47 4.2. Mô tả......................................................................................................... 48 4.2.1. Máy chủ Web xác thực...................................................................... 48 4.2.2. RADIUS ............................................................................................ 48 4.2.2. Access Point ...................................................................................... 53 4.2.3. Máy khách ......................................................................................... 53 4.2.4. Kiến trúc phần mềm .......................................................................... 53 4.3. Cài đặt trên RedHat 9, Fedora (FC1,FC2,FC3 hoặc FC4) ....................... 54 4.3.1. Yêu cầu tối thiểu ............................................................................... 54 4.3.2. Chuẩn bị ............................................................................................ 54 4.3.3. Cài đặt Redhat hoặc Fedora .............................................................. 54 4.3.4. Cài đặt và định cấu hình ChilliSpot .................................................. 55 4.3.5. Cài đặt Firewall ................................................................................. 56 4.3.6. Cài đặt và cấu hình máy chủ web chứng thực UAM ........................ 57 4.3.7. Cài đặt và cấu hình FreeRADIUS ..................................................... 57 4.4. Cấu hình máy khách ................................................................................. 58 4.4.1. Phƣơng pháp truy nhập phổ thông - Universal Access Method ....... 58 4.4.2. Bảo vệ sự truy nhập không dây - Wireless Protected Access ........... 59 4.5. Những file đƣợc tạo ra hoặc đƣợc sử dụng .............................................. 59 4.6. Tùy chọn ................................................................................................... 60 4.6.1. Tóm tắt .............................................................................................. 60 3 Giải pháp xác thực người dùng Lê Thị Thùy Lương 4.6.2. Tùy chọn ............................................................................................ 60 4.6.3. Tệp tin................................................................................................ 67 4.6.4. Tín hiệu ............................................................................................. 67 4.7. Các phiên bản của ChilliSpot ................................................................... 67 4.7.1. ChilliSpot 1.1 .................................................................................... 67 4.7.2. ChilliSpot 1.0 .................................................................................... 68 4.7.3. ChilliSpot 1.0 RC3 ............................................................................ 68 4.7.4. ChilliSpot 1.0 RC2 ............................................................................ 69 4.7.5. ChilliSpot 1.0 RC1 ............................................................................ 69 4.7.6. ChilliSpot 0.99 .................................................................................. 70 4.7.7. ChilliSpot 0.98 .................................................................................. 71 4.7.8. ChilliSpot 0.97 .................................................................................. 72 4.7.9. ChilliSpot 0.96 .................................................................................. 73 4.7.10. ChilliSpot 0.95 ................................................................................ 73 4.7.11. ChilliSpot 0.94 ................................................................................ 74 4.7.12. ChilliSpot 0.93 ................................................................................ 75 4.7.13. ChilliSpot 0.92 ................................................................................ 75 4.7.14. ChilliSpot 0.91 ................................................................................ 75 4.7.15. ChilliSpot 0.90 ................................................................................ 75 KẾT LUẬN ......................................................................................................... 76 Kết quả đạt đƣợc ............................................................................................. 76 Hƣớng phát triển của đề tài ............................................................................. 76 CÁC TÀI LIỆU THAM KHẢO ......................................................................... 77 Tài liệu ............................................................................................................. 77 Một số website: ............................................................................................... 77 4 Giải pháp xác thực người dùng Lê Thị Thùy Lương LỜI NÓI ĐẦU Hiện nay vấn đề toàn cầu hoá và nền kinh tế thị trƣờng mở cửa đã mang lại nhiều cơ hội làm ăn hợp tác kinh doanh và phát triển. Các ngành công nghiệp máy tính và truyền thông phát triển đã đƣa thế giới chuyển sang thời đại mới: thời đại công nghệ thông tin. Việc nắm bắt và ứng dụng Công nghệ thông tin trong các lĩnh vực khoa học, kinh tế, xã hội đã đem lại cho các doanh nghiệp và các tổ chức những thành tựu và lợi ích to lớn. Máy tính đã trở thành công cụ đắc lực và không thể thiếu của con ngƣời, con ngƣời có thể ngồi tại chỗ mà vẫn nắm bắt đƣợc các thông tin trên thế giới hàng ngày đó là nhờ vào sự phát triển mạnh mẽ của Internet. Các tổ chức, công ty hay các cơ quan đều phải (tính đến) xây dựng hệ thống tài nguyên chung để có thể phục vụ cho nhu cầu của các nhân viên và khách hàng. Và một nhu cầu tất yếu sẽ nảy sinh là ngƣời quản lý hệ thống phải kiểm soát đƣợc việc truy nhập sử dụng các tài nguyên đó. Một vài ngƣời có nhiều quyền hơn một vài ngƣời khác. Ngoài ra, ngƣời quản lý cũng muốn rằng những ngƣời khác nhau không thể truy nhập đƣợc vào các tài nguyên nào đó của nhau. Để thực hiện đƣợc các nhu cầu truy nhập trên, chúng ta phải xác định đƣợc ngƣời dùng hệ thống là ai để có thể phục vụ một cách chính xác nhất, đó chính là việc xác thực ngƣời dùng. Đây là một vấn đề nóng bỏng và đang đƣợc quan tâm hiện nay. Đó là một trong những nguyên nhân khiến em chọn đề tài "Giải pháp xác thực ngƣời dùng bằng công nghệ Captive Portal”. Với công nghệ Captive Portal sẽ bắt buộc một máy muốn sử dụng Internet trong mạng thì trƣớc tiên phải sử dụng trình duyệt để “đƣợc” tới một trang đặc biệt (thƣờng dùng cho mục đích xác thực). Captive Portal sẽ chuyển hƣớng trình duyệt tới thiết bị xác thực an ninh. Điều này đƣợc thực hiện bằng cách bắt tất cả các gói tin, kể cả địa chỉ và cổng, đến khi ngƣời dùng mở một trình duyệt và thử truy cập Internet. Tại thời điểm đó, trình duyệt sẽ đƣợc chuyển hƣớng tới trang Web đặc biệt yêu cầu xác thực (đăng nhập) hoặc thanh toán, hoặc đơn giản chỉ là hiện một bảng thông báo về các quy định mà ngƣời dùng sẽ phải tuân theo và yêu cầu ngƣời dùng phải chấp nhận các quy định đó trƣớc khi truy cập Internet. Captive Portal thƣờng đƣợc triển khai ở hầu hết các điểm truy nhập Wi-Fi và nó cũng có thể đƣợc dùng để điều khiển mạng có dây. 5 Giải pháp xác thực người dùng Lê Thị Thùy Lương Đề tài gồm phần mở đầu, bốn chương và kết luận Chương 1: Vấn đề an ninh an toàn mạng máy tính và các giải pháp xác thực người dùng Trình bày tổng quan về vấn đề an ninh trong mạng máy tính, các nguy cơ và vấn đề bảo mật hệ thống mạng. Tìm hiểu khái niệm xác thực ngƣời dùng và các giải pháp xác thực ngƣời dùng phổ biến. Qua đó đƣa ra đƣợc các ƣu điểm và nhƣợc điểm của các giải pháp đó. Chương II: Mạng không dây và các chính sách bảo mật Chƣơng này tìm hiểu khái quát về mạng không dây và các chính sách bảo mật. Chương III: Công nghệ Captive Portal và sử dụng Radius xác thực trong WLAN Chƣơng này đi vào khảo sát một công nghệ xác thực ngƣời dùng. Đó là xác thực ngƣời dùng bằng công nghệ Captive Portal. Chương IV: Cài đặt và thử nghiệm phân mềm ChilliSpot Chƣơng này sẽ trình bày về cách cấu hình; cách triển khai cài đặt và sử dụng chƣơng trình. Phần kết luận: Phần này tóm tắt kết quả đạt đƣợc, đƣa ra những hạn chế của và hƣớng khai thác hệ thống trên thực tế. 6 Giải pháp xác thực người dùng Lê Thị Thùy Lương Chương 1: VẤN ĐỀ AN NINH AN TOÀN MẠNG MÁY TÍNH VÀ CÁC GIẢI PHÁP XÁC THỰC NGƯỜI DÙNG 1.1. Tổng quan về vấn đề an ninh an toàn mạng máy tính 1.1.1. Đe dọa an ninh từ đâu? Trong xã hội, cái thiện và cái ác luôn song song tồn tại nhƣ hai mặt không tách rời, chúng luôn phủ định nhau. Có biết bao nhiêu ngƣời muốn hƣớng tới cái chân thiện, cái tốt đẹp, thì cũng có không ít kẻ vì mục đích này hay mục đích khác lại làm cho cái ác nảy sinh, lấn lƣớt cái thiện. Sự giằng co giữa cái thiện và cái ác ấy luôn là vấn đề bức xúc của xã hội, cần phải loại trừ cái ác, thế nhƣng cái ác lại luôn nảy sinh theo thời gian. Mạng máy tính cũng vậy, có những ngƣời phải mất biết bao nhiêu công sức nghiên cứu ra các biện pháp bảo vệ cho an ninh của tổ chức mình, thì cũng lại có kẻ tìm mọi cách phá vỡ lớp bảo vệ đó với nhiều ý đồ khác nhau. Mục đích của ngƣời lƣơng thiện là luôn muốn tạo ra các khả năng bảo vệ an ninh cho tổ chức rất rõ ràng. Ngƣợc lại, ý đồ của kẻ xấu lại ở nhiều góc độ, cung bậc khác nhau. Có kẻ muốn phá vỡ lớp vỏ an ninh để chứng tỏ khả năng của mình, để thoả mãn thói hƣ ích kỷ. Loại ngƣời này thƣờng làm hại ngƣời khác bằng cách phá hoại các tài nguyên trên mạng, xâm phạm quyền riêng tƣ hoặc bôi nhọ danh dự của họ. Nguy hiểm hơn, có những kẻ lại muốn đoạt không các nguồn lợi của ngƣời khác nhƣ việc lấy cắp các thông tin mật của các công ty, đột nhập vào ngân hàng để chuyển trộm tiền... Bởi trên thực tế, hầu hết các tổ chức công ty tham gia vào mạng máy tính toàn cầu đều có một lƣợng lớn các thông tin kết nối trực tuyến. Trong lƣợng lớn các thông tin ấy, có các thông tin bí mật nhƣ: các bí mật thƣơng mại, các kế hoạch phát triển sản phẩm, chiến lƣợc maketing, phân tích tài chính... hay các thông tin về nhân sự, bí mật riêng tƣ... Các thông tin này hết sức quan trọng, việc để lộ ra các thông tin cho các đối thủ cạnh tranh sẽ dẫn đến một hậu quả hết sức nghiêm trọng. Tuy nhiên, không phải bất cứ khi nào muốn những kẻ xấu cũng có thể thực hiện đƣợc mục đích của mình. Chúng cần phải có thời gian, những sơ hở, yếu kém của chính những hệ thống bảo vệ an ninh mạng. Và để thực hiện đƣợc điều đó, chúng cũng phải có trí tuệ thông minh cộng với cả một chuỗi dài kinh nghiệm. Còn để xây dựng đƣợc các biện pháp đảm bảo an ninh, đòi hỏi ở ngƣời xây dựng cũng không kém về trí tuệ và kinh nghiệm thực tiễn. Nhƣ thế, cả hai mặt tích cực và tiêu cực ấy đều đƣợc 7 Giải pháp xác thực người dùng Lê Thị Thùy Lương thực hiện bởi bàn tay khối óc của con ngƣời, không có máy móc nào có thể thay thế đƣợc. Vậy, vấn đề an ninh an toàn mạng máy tính hoàn toàn mang tính con ngƣời. Ban đầu, những trò phá hoại chỉ mang tính chất là trò chơi của những ngƣời có trí tuệ không nhằm mục đích vụ lợi, xấu xa. Tuy nhiên, khi mạng máy tính trở nên phổ dụng, có sự kết nối của nhiều tổ chức, công ty, cá nhân với nhiều thông tin bí mật, thì những trò phá hoại ấy lại không ngừng gia tăng. Sự phá hoại ấy đã gây ra nhiều hậu quả nghiêm trọng, nó đã trở thành một loại tội phạm. Theo số liệu thống kê của CERT (Computer Emegency Response Team) thì số lƣợng các vụ tấn công trên Internet đƣợc thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 năm 1993 và 2241 năm 1994. Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, từ các máy tính của các công ty lớn nhƣ AT & T, IBM, các trƣờng đại học, các cơ quan nhà nƣớc, các nhà băng... Những con số đƣa ra này, trên thực tế chỉ là phần nổi của tảng băng. Một phần lớn các vụ tấn công không đƣợc thông báo vì nhiều lý do khác nhau, nhƣ sự mất uy tín, hoặc chỉ đơn giản là họ không hề biết mình bị tấn công. Thực tế, đe doạ an ninh không chỉ ở bên ngoài tổ chức, mà bên trong tổ chức vấn đề cũng hết sức nghiêm trọng. Đe dọa bên trong tổ chức xẩy ra lớn hơn bên ngoài, nguyên nhân chính là do các nhân viên có quyền truy nhập hệ thống gây ra. Vì họ có quyền truy nhập hệ thống nên họ có thể tìm đƣợc các điểm yếu của hệ thống, hoặc vô tình họ cũng có thể phá hủy hay tạo cơ hội cho những kẻ khác xâm nhập hệ thống. Và nguy hiểm hơn, một khi họ là kẻ bất mãn hay phản bội thì hậu quả không thể lƣờng trƣớc đƣợc. Tóm lại, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn đề con ngƣời và không ngừng gia tăng, nó có thể bị đe doạ từ bên ngoài hoặc bên trong tổ chức. Vấn đề này đã trở thành mối lo ngại lớn cho bất kì chủ thể nào tham gia vào mạng máy tính toàn cầu. Và nhƣ vậy, để đảm bảo việc trao đổi thông tin an toàn và an ninh cho mạng máy tính, buộc các tổ chức đó phải triển khai các biện pháp bảo vệ đảm bảo an ninh, mà trƣớc hết là cho chính mình. 1.1.2. Các giải pháp cơ bản đảm bảo an ninh Nhƣ trên ta đã thấy, an ninh an toàn mạng máy tính có thể bị đe doạ từ rất nhiều góc độ và nguyên nhân khác nhau. Đe doạ an ninh có thể xuất phát từ bên ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức. Do đó, việc đảm bảo an ninh an toàn cho mạng máy tính cần phải có nhiều giải pháp cụ thể khác nhau. Tuy nhiên, tổng quan nhất có ba giải pháp cơ bản sau: 8 Giải pháp xác thực người dùng Lê Thị Thùy Lương o Giải pháp về phần cứng. o Giải pháp về phần mềm. o Giải pháp về con ngƣời. Đây là ba giải pháp tổng quát nhất mà bất kì một nhà quản trị an ninh nào cũng phải tính đến trong công tác đảm bảo an ninh an toàn mạng máy tính. Mỗi giải pháp có một ƣu nhƣợc điểm riêng mà ngƣời quản trị an ninh cần phải biết phân tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh tối ƣu nhất cho tổ chức mình. Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý nhƣ các hệ thống máy chuyên dụng, cũng có thể là các thiết lập trong mô hình mạng (thiết lập kênh truyền riêng, mạng riêng)... Giải pháp phần cứng thông thƣờng đi kèm với nó là hệ thống phần mềm điều khiển tƣơng ứng. Đây là một giải pháp không phổ biến, vì không linh hoạt trong việc đáp ứng với các tiến bộ của các dịch vụ mới xuất hiện, và chi phí rất cao. Khác với giải pháp phần cứng, giải pháp về phần mềm hết sức đa dạng. Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng. Cụ thể các giải pháp về phần mềm nhƣ: các phƣơng pháp xác thực, các phƣơng pháp mã hoá, mạng riêng ảo, các hệ thống bức tƣờng lửa,... Các phƣơng pháp xác thực và mã hoá đảm bảo cho thông tin truyền trên mạng một cách an toàn nhất. Vì với cách thức làm việc của nó, thông tin thật trên đƣờng truyền đƣợc mã hoá dƣới dạng mà những kẻ “nhòm trộm” không thể thấy đƣợc, hoặc nếu thông tin bị sửa đổi thì tại nơi nhận sẽ có cơ chế phát hiện sự sửa đổi đó. Còn phƣơng pháp sử dụng hệ thống bức tƣờng lửa lại đảm bảo an ninh ở góc độ khác. Bằng cách thiết lập các luật tại một điểm đặc biệt (thƣờng gọi là điểm nghẹt) giữa hệ thống mạng bên trong (mạng cần bảo vệ) với hệ thống mạng bên ngoài (mạng đƣợc coi là không an toàn về bảo mật - hay là Internet), hệ thống bức tƣờng lửa hoàn toàn có thể kiểm soát các kết nối trao đổi thông tin giữa hai mạng. Với cách thức này, hệ thống tƣờng lửa đảm bảo an ninh khá tốt cho hệ thống mạng cần bảo vệ. Nhƣ thế, giải pháp về phần mềm gần nhƣ hoàn toàn gồm các chƣơng trình máy tính, do đó chi phí cho giải pháp này sẽ ít hơn so với giải pháp về phần cứng. Bên cạnh hai giải pháp trên, giải pháp về chính sách con ngƣời là một giải pháp hết sức cơ bản và không thể thiếu đƣợc. Vì nhƣ phần trên đã thấy, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn đề con ngƣời, do đó việc đƣa ra một hành lang pháp lý và các quy nguyên tắc làm việc cụ thể là cần thiết. Ở đây, hành lang pháp lý có thể gồm: các điều khoản trong bộ luật của nhà nƣớc, các văn bản dƣới luật,... Còn các quy định có thể do từng tổ chức đặt ra cho phù hợp với từng đặc điểm riêng. Các quy 9 Giải pháp xác thực người dùng Lê Thị Thùy Lương định có thể nhƣ: quy định về nhân sự, việc sử dụng máy, sử dụng phần mềm,... Và nhƣ vậy, sẽ hiệu quả nhất trong việc đảm bảo an ninh an toàn cho hệ thống mạng máy tính một khi ta thực hiện triệt để giải pháp về chính sách con ngƣời. Tóm lại, vấn đề an ninh an toàn mạng máy tính là một vấn đề lớn, nó yêu cầu cần phải có một giải pháp tổng thể, không chỉ phần mềm, phần cứng máy tính mà nó đòi hỏi cả vấn đề chính sách về con ngƣời. Và vấn đề này cần phải đƣợc thực hiện một cách thƣờng xuyên liên tục, không bao giờ triệt để đƣợc vì nó luôn nảy sinh theo thời gian. Tuy nhiên, bằng các giải pháp tổng thể hợp lý, đặc biệt là giải quyết tốt vấn đề chính sách về con ngƣời ta có thể tạo ra cho mình sự an toàn chắc chắn hơn. 1.2. Vấn đề bảo mật hệ thống và mạng 1.2.1. Các vấn dề chung về bảo mật hệ thống và mạng Đặc điểm chung của một hệ thống mạng là có nhiều ngƣời sử dụng chung và phân tán về mặt địa lý nên việc bảo vệ tài nguyên phức tạp hơn nhiều so với việc môi trƣờng một máy tính đơn lẻ, hoặc một ngƣời sử dụng. Hoạt động của ngƣời quản trị hệ thống mạng phải đảm bảo các thông tin trên mạng là tin cậy và sử dụng đúng mục đích, đối tƣợng đồng thời đảm bảo mạng hoạt động ổn định không bị tấn công bởi những kẻ phá hoại. Nhƣng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ thống dù đƣợc bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi những kẻ có ý đồ xấu. 1.2.2. Một số khái niệm và lịch sử bảo mật hệ thống a. Đối tượng tấn công mạng (intruder) Đối tƣợng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép. Một số đối tƣợng tấn công mạng nhƣ: Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ thống Masquerader: Là những kẻ giả mạo thông tin trên mạng nhƣ giả mạo địa chỉ IP, tên miền, định danh ngƣời dùng… 10 Giải pháp xác thực người dùng Lê Thị Thùy Lương Eavesdropping: Là những đối tƣợng nghe trộm thông tin trên mạng, sử dụng các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy đƣợc các thông tin có giá trị. Những đối tƣợng tấn công mạng có thể nhằm nhiều mục đích khác nhau nhƣ ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể đó là những hành động vô ý thức… b. Các lỗ hổng bảo mật Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp. Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: có thể do lỗi của bản thân hệ thống, hoặc phần mềm cung cấp hoặc ngƣời quản trị yếu kém không hiểu sâu về các dịch vụ cung cấp… Mức độ ảnh hƣởng của các lỗ hổng tới hệ thống là khác nhau. Có lỗ hổng chỉ ảnh hƣởng tới chất lƣợng dịch vụ cung cấp, có lỗ hổng ảnh hƣởng tới toàn bộ hệ thống hoặc phá hủy hệ thống. c. Chính sách bảo mật Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những ngƣời tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng. Đối với từng trƣờng hợp phải có chính sách bảo mật khác nhau. Chính sách bảo mật giúp ngƣời sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biện pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng. 1.3. Các kiến thức cơ bản về xác thực người dùng Khi ngƣời sử dụng muốn truy nhập vào một hệ thống máy tính, thông thƣờng, ngƣời sử dụng cần cung cấp các thông tin nhận dạng cho máy tính. Khi nhận đƣợc các thông tin ấy, máy tính kiểm tra xem ngƣời sử dụng có quyền truy nhập vào hệ thống không. Đây cũng là một nguyên tắc cơ bản đƣợc áp dụng cho một ngƣời khi muốn trao đổi thông tin với ngƣời khác: Trƣớc tiên cần phải xác định ngƣời tham gia trao đổi thông tin có đúng là ngƣời muốn trao đổi không. Do đó cần phải có một phƣơng thức 11 Giải pháp xác thực người dùng Lê Thị Thùy Lương để cung cấp đặc điểm nhận dạng nhằm đảm bảo ngƣời trao đổi thông tin là hợp lệ. Quá trình này đƣợc gọi là xác thực ngƣời sử dụng. Trên thế giới cũng nhƣ ở Việt Nam, vấn đề xác thực ngƣời dùng đang đƣợc quan tâm và đã có nhiều giải pháp đƣợc sử dụng và nghiên cứu. Có rất nhiều cách để xác thực: ngƣời sử dụng có thể cung cấp các thông tin mà chỉ có ngƣời đó mới biết: ví dụ mật khẩu, mã số cá nhân,… hoặc ngƣời đó có thể cung cấp các thông tin riêng khác nhƣ số chứng minh thƣ, thẻ từ, thẻ thông minh… Trong đó, mỗi giải pháp lại có những ƣu điểm và nhƣợc điểm riêng khác nhau. 1.3.1. Khái niệm về xác thực người dùng Xác thực ngƣời dùng là một quá trình qua đó hệ thống có thể xác minh rằng một ai đó thực sự là họ. Quá trình xác thực sẽ xác định xem một ngƣời có phải là ngƣời đƣợc sử dụng hệ thống không. Nó thƣờng đi kèm với quá trình xác định quyền hạn của ngƣời đó trong hệ thống. 1.3.2. Các giải pháp xác thực người dùng phổ biến a. Giải pháp sử dụng tên và mật khẩu  Mô tả Đây là giải pháp truyền thống hay đƣợc sử dụng nhất, là giải pháp sử dụng tài khoản của hệ thống. Mỗi tài khoản bao gồm tên truy nhập (uername) và mật khẩu (password). Tên truy nhập dùng để phân biệt các ngƣời dùng khác nhau (thƣờng là duy nhất trong hệ thống), còn mật khẩu để xác thực lại ngƣời sử dụng tên đó có đúng là ngƣời dùng thật sự không. Mật khẩu thƣờng do ngƣời sở hữu tên truy nhập tƣơng ứng đặt và đƣợc giữ bí mật chỉ có ngƣời đó biết. Khi ngƣời dùng muốn đăng nhập và sử dụng tài nguyên hệ thống thì phải đăng nhập bằng cách nhập tên và mật khẩu của mình. Trƣớc hết, hệ thống sẽ đối chiếu tên truy nhập của ngƣời dùng đƣa vào với cơ sở dữ liệu tên ngƣời dùng, nếu tồn tại tên ngƣời dùng nhƣ vậy thì hệ thống tiếp tục đối chiếu mật khẩu đƣợc đƣa vào tƣơng ứng với tên truy nhập trong cơ sở dữ liệu. Qua 2 lần đối chiếu nếu thỏa mãn thì ngƣời đăng nhập là ngƣời dùng hợp lệ của hệ thống.  Ưu điềm Thiết kế và sử dụng đơn giản, tốn ít tài nguyên. Hệ thống chỉ gồm một cơ sở dữ liệu ngƣời dùng với 2 thông tin chủ yếu là tên truy nhập và mật khẩu. Tƣơng ứng với 12 Giải pháp xác thực người dùng Lê Thị Thùy Lương mỗi tên truy nhập là quyền sử dụng của ngƣời đó trong hệ thống. Do đó các thông tin này không chiếm nhiều tài nguyên. Ngƣời dùng dễ hiểu và dễ sử dụng. Chi phí để thực hiện giải pháp này là rẻ so với các giải pháp khác. Nó không phụ thuộc vào các thiết bị phần cứng mà chỉ dựa trên phần mềm. Giải pháp này có khả năng làm việc trên mọi hệ điều hành. Do đó, việc thực hiện giải pháp này khá dễ dàng và không tốn kém.  Nhược điểm Giải pháp này có nhƣợc điểm lớn nhất là không có đƣợc sự bảo mật cao. Vì ngƣời dùng thƣờng có tên đăng nhập nhiều ngƣời dùng có. Mặt khác, ngƣời dùng thƣờng chọn mật khẩu dễ nhớ hoặc không cẩn thận khi gõ mật khẩu, do vậy dễ bị tấn công. Kẻ tấn công có nhiều phƣơng pháp để đạt đƣợc mật khẩu nhƣ thâm nhập vào hệ thống đọc file mật khẩu, dự đoán mật khẩu, vét cạn các từ trong từ điển để tìm mật khẩu, hoặc có thể lừa ngƣời dùng để lộ mật khẩu. Một số biện pháp để tăng thêm tính bảo mật cho giải pháp này: Đặt mật khẩu phức tạp: mật khẩu phải chứa tối thiểu 6 ký tự, không trùng với tên đăng nhập, chứa các loại ký tự là chữ cái, chữ số, ký tự đặc biệt. Nếu đặt nhƣ vậy thì kẻ muốn tấn công cũng sẽ rất khó đoán đƣợc mật khẩu. Thay đổi mật khẩu: quy định sau một thời gian nhất định mật khẩu sẽ không còn tác dụng đối với hệ thống và ngƣời dùng phải đặt lại mật khẩu khác. Mật khẩu sẽ đƣợc thay đổi nên khả năng kiểm soát tình trạng an toàn của mật khẩu cao hơn. Mã hóa thông tin: Trong môi trƣờng làm việc là mạng, những nhà thiết kế thƣờng dùng biện pháp mã hóa thông tin đăng nhập từ một máy khách nào đó trƣớc khi chúng đƣợc gửi đi tới máy chủ của hệ thống. Do đó, khả năng bị mất cắp mật khẩu sẽ giảm đi rất nhiều khi kẻ xấu bắt gói tin đăng nhập trên đƣờng truyền. Hiện nay, giải pháp mật khẩu sử dụng một lần (one-time password) đƣợc sử dụng rất nhiều trong các ứng dụng. Các mật khẩu trong danh sách chỉ có thể sử dụng một lần duy nhất mà không thể sử dụng lại trong những lần đăng nhập sau. Có 2 cách để hệ thống mật khẩu sử dụng một lần có thể làm việc là: Danh sách các mật khẩu đƣợc tạo ra một cách ngẫu nhiên bởi hệ thống và đƣợc sao làm 2 bản, một bản cho ngƣời dùng và một bản cho hệ thống. Danh sách mật khẩu đƣợc tạo ra theo yêu cầu của ngƣời sử dụng và đƣợc hệ thống công nhận. 13 Giải pháp xác thực người dùng Lê Thị Thùy Lương Quá trình thực hiện: Sử dụng thuật toán MD4 (hiện nay là MD5) từ một giá trị cho trƣớc (do ngƣời dùng hoặc do máy ngẫu nhiên tạo ra) để tạo ra khóa đầu tiên, tiếp tục áp dụng thuật toán MD4 cho khóa đầu tiên để đƣợc khóa thứ 2 …và cứ áp dụng liên tục thuật toán MD4 để sinh ra các khóa nối tiếp nhau. Khi xác thực ngƣời dùng, hệ thống phải biết một trong các khóa (khóa thứ n) , nó sẽ hỏi ngƣời dùng khóa trƣớc đó (khóa thứ n-1). Nếu ngƣời dùng nhập đúng khóa n-1 thì hệ thống sẽ cho ngƣời dùng đăng nhập và ghi lại khóa n-1 vào bộ nhớ. Đến lần đăng nhập sau, hệ thống sẽ hỏi ngƣời dùng khóa thứ n-2 … Khi dùng thuật toán MD4 để sinh ra kết quả thì từ kết quả hầu nhƣ không thể suy ngƣợc lại giá trị đầu vào nên hệ thống không thể tìm ra đƣợc khóa thứ n-1 là gì, mặc dù khi biết cả khóa thứ n. Tuy nhiên, theo cách này kẻ xấu vẫn có thể tấn công. Nếu ngƣời dùng tự thiết lập giá trị đầu vào để xây dựng hệ thống khóa thì rất có thể nó sẽ đƣợc đoán ra theo các cách giống nhƣ khi đoán các mật khẩu thông thƣờng. Đối với những từ đoán đƣợc, kẻ tấn công sẽ áp dụng thuật toán MD4 để sinh ra các khóa và sẽ thử hết các khóa này cho đến khi tìm đƣợc khóa ngƣời dùng đang sử dụng. Còn trong trƣờng hợp hệ thống sẽ tự sinh ra giá trị ban đầu và một lƣợng mật khẩu đủ dùng trong một thời gian nào đó, ngƣời dùng sẽ có một danh sách các mật khẩu đƣợc đánh thứ tự. Về phía ngƣời dùng, họ sẽ không thích phải dùng nhiều mật khẩu. Điều này gây phiền toái cho ngƣời dùng và khả năng bị mất cắp danh sách khóa là rất cao. Ngoài ra, kẻ tấn công còn có thể dùng phƣơng pháp bắt gói tin đăng nhập của ngƣời dùng để lấy mật khẩu.  Ứng dụng Giải pháp này đã và đang đƣợc sử dụng rất nhiều trong các ứng dụng. Nó đƣợc ứng dụng trên một máy tính và đặc biệt đƣợc ứng dụng cả trên mạng. Kể cả các cơ quan, tổ chức không có điều kiện kinh tế để có thể trang bị cho hệ thống mạng của mình các đƣờng truyền tốc độ cao thì vẫn có thể sử dụng giải pháp này. Bởi vì, thông tin truyền và lƣu trữ chỉ bao gồm tên đăng nhập và mật khẩu. Dung lƣợng truyền đi trên đƣờng truyền nhỏ nên dù đƣờng truyền có băng thông không lớn thì thông tin này cũng đƣợc truyền đi trong một khoảng thời gian chấp nhận đƣợc. Các ứng dụng tiêu biểu hiện nay đang sử dụng giải pháp xác thực bằng mật khẩu nhƣ: Hệ điều hành (Windows, Unix…), các dịch vụ thƣ điện tử, thƣơng mại điện tử… 14 Giải pháp xác thực người dùng Lê Thị Thùy Lương b. Giải pháp dùng thẻ thông minh  Mô tả Thẻ thông minh (smart cart) là một thẻ plastic có kích cỡ nhƣ thẻ tín dụng đƣợc trang bị một vi mạch dùng để chứa bộ nhớ và một mạch xử lý với hệ điều hành để kiểm soát bộ nhớ. Nó có thể lƣu trữ dữ liệu về thông tin cá nhân, tiền hoặc một số thông tin khác mà sự thay đổi của chúng cần đƣợc kiểm soát chặt chẽ. Ngoài ra, nó có thể lƣu trữ các khóa mã hóa để ngƣời dùng có thể nhận dạng qua mạng, chữ ký điện tử … Đặc biệt, hiện nay thẻ thông minh có hỗ trợ chứng nhận số. Nó mã hóa dữ liệu và kiểm tra tính hợp lệ của các giao dịch qua mạng. Đây là một giải pháp rất hiệu quả và linh động cho các vấn đề về xác thực ngƣời dùng. Hiện nay, các cơ quan tổ chức dùng thẻ rầt nhiều. Đầu tiên, những thông tin cần thiết cho việc nhận dạng các nhân viên trong cơ quan, tổ chức sẽ đƣợc lƣu vào bộ nhớ của thẻ. Sau đó, nó đƣợc cung cấp cho các nhân viên tƣơng ứng với các thông tin đó. Mỗi cơ quan, tổ chức khác nhau sẽ có các yêu cầu về thông tin xác thực khác nhau nhƣng thƣờng là các thông tin nhƣ tên truy nhập, mật khẩu và một số thông tin cá nhân khác. Trong hệ thống thông tin đòi hỏi phải có xác thực ngƣời dùng, nhân viên trong tổ chức chỉ cần đƣa thẻ vào thiết bị đọc thẻ và nhập vào một mã số bí mật nào đó để xác nhận với hệ thống là chính họ là ngƣời sở hữu chiếc thẻ đó. Khi đã nhập đúng mã này, thiết bị đọc thẻ sẽ đọc các thông tin nhận dạng đƣợc ghi trong thẻ và chuyển các thông tin này đến hệ thống, sau đó hệ thống sẽ kiểm tra chúng với cơ sở dữ liệu ngƣời dùng.  Ưu điểm Nhờ vào kiến trúc vật lý và logic của thẻ mà đã giảm đƣợc rất nhiều các nguy cơ gây mất an toàn thông tin. Mọi hoạt động của thẻ đều đƣợc kiểm soát bởi hệ điều hành nên các thông tin cần giữ bí mật sẽ không thể lấy ra đƣợc từ thẻ. Các thông tin bên trong thẻ không thể bị kẻ xấu lấy cắp nhƣ các thông tin đƣợc lƣu trữ trong các phần mềm hệ quản trị cơ sở dữ liệu thông thƣờng. Các khóa bí mật dùng cho chữ ký điện tử và nhận dạng đều đƣợc lƣu trữ bên trong thẻ. Nhà sản xuất thẻ cũng nhƣ ngƣời sở hữu thẻ đều không thể biết đƣợc các khóa này. Vì vậy, chúng không thể bị lấy cắp hay bị sao chép. 15 Giải pháp xác thực người dùng Lê Thị Thùy Lương Mỗi chiếc thẻ đều có số nhận dạng PIN để tránh việc đánh cắp và bị kẻ xấu sử dụng. Trƣớc khi sử dụng thẻ, ngƣời dùng phải nhập vào số PIN của thẻ. Cơ chế quản lý số PIN của thẻ cũng rất an toàn bởi vì số PIN gần nhƣ không thể đoán ra đƣợc. Mặt khác, thẻ quy định số lần nhập tối đa, nếu số lần nhập không chính xác liên tục đến con số quy định thì thẻ sẽ tự động khóa. Muốn mở khóa thì ngƣời dùng phải nhập vào một số dùng để mở khóa của thẻ. Tƣơng tự, nếu nhập không chính xác liên tiếp đến một số nào đó thẻ sẽ bị khóa vĩnh viễn và không thể sử dụng lại nữa. Nhƣ vậy, việc sử dụng thẻ là rất an toàn và thuận tiện. Giờ đây ngƣời dùng thay vì phải nhớ nhiều số mà chỉ phải nhớ một số, còn các thông tin nhận dạng đều ở trong thẻ. Trong trƣờng hợp thẻ bị mất cắp, kẻ lấy cắp cũng không thể sử dụng đƣợc thẻ vì không có số PIN.  Nhược điểm Tuy giải pháp này đã hạn chế đƣợc sự mất cắp thẻ bằng cách kết hợp thẻ với một số PIN nhƣng vẫn có thể bị đánh cắp cả thẻ và cả số PIN. Vẫn bắt ngƣời dùng phải nhớ số PIN và phải thêm một chiếc thẻ mới có thể thực hiện việc xác thực. Để áp dụng giải pháp này, các cơ quan phải trang bị thêm các thiết bị nhƣ thiết bị đọc thẻ, thiết bị ghi, các phần mềm hỗ trợ …Số lƣợng và giá thành của các thiết bị này không phải là nhỏ, do đó khá là tốn kém. Các dịch vụ hỗ trợ phổ biến cho việc xác thực bằng thẻ là chƣa đầy đủ. Các dịch vụ thƣ điện tử, các dịch vụ thƣơng mại …cần đến xác thực trên Internet đều chƣa hỗ trợ xác thực bằng thẻ. Hiện nay, hầu nhƣ các nhà cung cấp giải pháp xác thực bằng thẻ đều phát triển các dịch vụ theo mô hình riêng của mình, sử dụng các thiết bị riêng chƣa thống nhất, do đó khả năng liên hệ giữa các hệ thống hầu nhƣ không có.  Ứng dụng Đây đƣợc coi là giải pháp tƣơng đối hoàn chỉnh và đƣợc nhận định là có tiềm năng lớn. Hiện nay, trên thế giới có rất nhiều công ty lớn đang phát triển những giải pháp xác thực hoàn thiện hơn về cả mức độ an toàn và khả năng linh động trong việc sử dụng thẻ. Có rất nhiều quốc gia đã sử dụng công nghệ này để làm chƣng minh thƣ, thẻ rút tiền ngân hàng… Giải pháp này ngày càng đƣợc sử dụng nhiều hơn do sự phát triển về khoa học công nghệ, giá thành của thẻ cũng nhƣ của các thiết bị có liên quan giảm đi rất nhiều trong thời gian vừa qua. Tổ chức chuẩn hóa quốc tế ISO đã và đang đƣa ra những tiêu chuẩn thống nhất trong việc xây dựng và phát triển thẻ. 16 Giải pháp xác thực người dùng Lê Thị Thùy Lương c. Giải pháp xác thực sử dụng các kỹ thuật sinh trắc học  Mô tả Tuy giải pháp xác thực sử dụng thẻ thông minh khá an toàn và linh hoạt nhƣng trong những lĩnh vực quan trọng cần sự an toàn chặt chẽ nhƣ ngân hàng, quân sự … đòi hỏi phải có giải pháp khác an toàn hơn. Và các nhà nghiên cứu đã đƣa ra giải pháp xác thực sử dụng các kỹ thuật sinh trắc học để giải quyết những vấn đề đó. Giải pháp này dựa vào một số bộ phận của con ngƣời nhƣ dấu vân tay, hình dạng lòng bàn tay, mắt, giọng nói…Đây là những đặc điểm đặc trƣng mà không của ngƣời nào hoàn toàn giống của ngƣời nào. Để xác thực trong máy tính, chúng ta phải số hóa và lƣu trữ các đặc điểm này vào một cơ sở dữ liệu. Ngoài ra còn phải có các thiết bị để ghi nhận các thông tin và chuyển về để đối chiếu với cơ sở dữ liệu đã có trong hệ thống. Ở phía máy khách, ngƣời dùng sử dụng một thiết bị đầu cuối có hỗ trợ biểu mẫu dùng cho việc đăng nhập vào hệ thống hoặc trong môi trƣờng Internet thì sử dụng trình duyệt để mở trang đăng nhập. Ngƣời dùng sẽ phải điền vào biểu mẫu mật khẩu hay một thông tin nhận dạng tƣơng tự và cung cấp mẫu sinh trắc học nhƣ dấu vân tay, hình dạng lòng bàn tay, mắt, giọng nói, chữ ký …thông qua các thiết bị nhận dạng đƣợc tích hợp trong đó. Sau đó, các thông tin này sẽ đƣợc chuyển về trung tâm xác thực của hệ thống để kiểm tra. Trung tâm sẽ phân tích mẫu thu đƣợc và đối chiếu xem mẫu tƣơng ứng với mật khẩu đƣợc lƣu trong cơ sở dữ liệu có trùng hay không, nếu trùng thì ngƣời dùng đăng nhập là hợp lệ. Và hệ thống sẽ đƣa ra các quyền hạn, tài nguyên phù hợp cho ngƣời sử dụng.  Ưu điểm Ngƣời dùng hầu nhƣ không thể thay đổi đƣợc đặc điểm các bộ phận nhƣ dấu vân tay, mắt …để dùng trong xác thực. Ngƣời dùng cũng không thể đƣa những đặc điểm này cho ngƣời khác sử dụng nhƣ thẻ hay mật khẩu đƣợc. Các đặc điểm sinh trắc học này thì không thể bị mất cắp. Ngày nay với trình độ khoa học công nghệ phát triển, việc nhận biết các thông tin sinh trắc học đã có thể phân biệt đƣợc thông tin sinh trắc học của ngƣời sống và của ngƣời chết.  Nhược điểm 17 Giải pháp xác thực người dùng Lê Thị Thùy Lương Khi mà các dữ liệu sinh trắc học khó có sự thay đổi nhƣ dấu vân tay, mắt đƣợc sử dụng trong các ứng dụng khác nhau thì rất dễ bị đánh cắp. Trên thế giới vẫn chƣa có một chuẩn chung nào cho việc số hóa các mẫu sinh trắc học. Mặt khác, các nhà sản xuất khác nhau cung cấp các thiết bị xác thực mẫu sinh trắc học theo các chuẩn khác nhau không có sự thống nhất. Do đó, việc trang bị hệ thống xác thực này không có tính linh động cao. Có một số thông tin có thể bị thay đổi vì nhiều lý do. Ví dụ: Dấu vân tay bị thay đối do bị chấn thƣơng, giọng nói bị méo do bị viêm họng …Do đó, việc xác thực đúng các thông tin này thƣờng rất thấp. Ở nhiều nơi việc đƣa giải pháp này vào các ứng dụng trên Internet là không thực tế. Các thông tin xác thực sinh trắc học thƣờng khá lớn trong khi băng thông đƣờng truyền không phải ở đâu cũng đủ rộng. Dẫn đến kết quả phản hồi lại rất chậm.  Ứng dụng Đây là một giải pháp có mức độ an toàn cao nhất và đƣợc đánh giá là có khả năng phát triển rộng rãi. Khoa học công nghệ ngày càng phát triển hiện đại sẽ làm tăng thêm sự an toàn, tính tiện lợi và giảm giá thành của các thiết bị liên quan đến. Một số hãng phần mềm lớn đã hỗ trợ giải pháp xác thực bằng sinh trắc học nhƣ hãng Microsoft với các phiên bản hệ điều hành Windows NT, Windows 2000… Nƣớc Anh cũng đã bắt đầu nghiên cứu và đƣa vào triển khai kế hoạch sử dụng các thông tin sinh trắc học trong công việc quản lý nhƣ các thẻ dịch vụ, chứng minh thƣ … 1.3.3. Các giao thức xác thực Dịch vụ xác thực đặc biệt quan trọng trong việc đảm bảo cho một hệ thống hoạt động an toàn. Một hệ thống thƣờng phải xác thực một thực thể trƣớc khi tiến hành truyền thông với thực thể đó. Nhận dạng của thực thể sau đó đƣợc sử dụng để xác định quyền truy cập hay để thực hiện chống chối bỏ. Trong giao thức xác thực, hai bên thƣờng đồng ý chia sẻ một bí mật để đảm bảo tính toàn vẹn và tính bí mật. Các kỹ thuật xác thực thƣờng dựa trên ba mô hình: bạn-có-cái-gì-đó, bạn-biếtcái-gì-đó và bạn-là-cái-gì-đó. Trong mô hình xác thực bạn-biết-cái-gì-đó, ngƣời sử dụng đƣa ra tri thức về một cái gì đó ví dụ nhƣ password hoặc một số định danh cá nhân. Trong hƣớng tiếp cận bạn-có-cái-gì-đó, ngƣời sử dụng chứng minh sự chiếm hữu một vật gì đó ví dụ nhƣ một khóa vật lý, một dấu hiệu, một card tự nhận dạng hoặc một khóa bí mật đƣợc lƣu trữ trên smart card. Mô hình bạn-là-cái-gì-đấy dựa trên 18 Giải pháp xác thực người dùng Lê Thị Thùy Lương một đặc điểm không thể thay đổi của ngƣời sử dụng nhƣ giọng nói, dấu vân tay hay võng mạc. Vì các kỹ thuật này không cung cấp đủ sự đảm bảo về nhận dạng nếu đƣợc sử dụng đơn lẻ, nên các hệ thống kết hợp cả ba mô hình có thể đƣợc sử dụng. Các hệ thống này yêu cầu ngƣời sử dụng đƣa ra hơn một loại bằng chứng để chứng minh nhận dạng của mình. Ví dụ nhƣ một máy ATM (Asynchronous Transfer Mode) yêu cầu một ngƣời chứng minh cả tri thức về số nhận dạng cá nhân và sự sở hữu một card để truy cập đƣợc đến account của mình. Hệ thống xác thực có thể thực hiện các giao thức xác thực phức tạp với các thiết bị kiểm tra nhận dạng của ngƣời sử dụng. Các giao thức này có thể sử dụng các thao tác mã hóa phức tạp và sử dụng các khóa mã hóa dài để ngăn cản nhiều loại tấn công truyền thống. Sau đây là một số giao thức xác thực phổ biến:  Giao thức thử thách và trả lời: Giao thức thử thách và trả lời cho phép ngƣời truy nhập tự xác thực mình với hệ thống bằng cách chứng minh hiểu biết của mình về giá trị mật mã bí mật mà không yêu cầu ngƣời truy nhập tiết lộ bí mật. Hệ thống xác thực đƣa ra cho ngƣời truy nhập một số đƣợc tạo ra một cách ngẫu nhiên đƣợc gọi là thử thách. Ngƣời truy nhập nhập số thử thách và giá trị mật để hàm mật mã tính ra câu trả lời. Hệ thống xác thực nét nhận dạng của ngƣời truy nhập nếu câu trả lời là giá trị mong đợi. Bởi vì thử thách là một số ngẫu nhiên, giao thức thử thách – trả lời cung cấp một lá chắn có hiệu quả chống lại sự tấn công lặp lại.  Giao thức xác thực không tiết lộ bí mật: cho phép ngƣời sử dụng tự xác thực với một hệ thống bằng cách chứng minh tri thức về một giá trị bí mật mà không yêu cầu ngƣời sử dụng tiết lộ bí mật. Hệ thống xác thực gửi cho ngƣời sử dụng một số bất kỳ. Ngƣời sử dụng sử dụng giá trị bất kỳ đó và bí mật để tính toán một giá trị trả lời. Hệ thống xác nhận nhận dạng của ngƣời sử dụng nếu giá trị trả lời đúng.  Giao thức biến đổi mật khẩu: một ngƣời sử dụng xử lý mật khẩu của mình thông qua một hàm băm và gửi kết quả cho hệ thống xác thực. Hệ thống so sánh giá trị băm với giá trị băm đúng mà nó lƣu trữ, ngƣời sử dụng sẽ đƣợc xác thực nếu hai giá trị này giống nhau. Nếu hệ thống lƣu trữ mật khẩu thay vì lƣu trữ các giá trị băm của nó, nó phải tính toán giá trị băm trƣớc khi thực hiện so sánh. Các giao thức này ngăn chặn việc ăn cắp mật khẩu trên đƣờng truyền nhƣng lại dễ bị đánh lừa bởi các cuộc tấn công lặp lại.  Giao thức sử dụng mật khẩu một lần: là cải tiến của phƣơng pháp biến đổi mật khẩu để chống lại các cuộc tấn công lặp lại. Giao thức này yêu cầu ngƣời sử dụng 19 Giải pháp xác thực người dùng Lê Thị Thùy Lương và hệ thống xác thực chia sẻ một số bí mật nhỏ n. Ngƣời sử dụng băm mật khẩu của mình n lần để tạo ra mật khẩu sử dụng một lần và gửi nó tới hệ thống, trong khi đó hệ thống cũng thực hiện băm giá trị mật khẩu của ngƣời sử dụng mà nó lƣu trữ n lần và sẽ xác thực ngƣời sử dụng nếu hai giá trị này trùng nhau. Các cuộc tấn công lặp lại không thể thực hiện đƣợc bởi mật khẩu lần sau không xác định đƣợc từ mật khẩu của lần truy nhập trƣớc.  Giao thức sử dụng chứng chỉ số: là một dạng khác của giao thức xác thực không tiết lộ bí mật trong đó giá trị mã hóa bí mật là một khóa riêng và hệ thống xác thực sử dụng khóa công khai tƣơng ứng để kiểm tra trả lời. 1.3.4. Nhận xét Giải pháp xác thực sử dụng tên và mật khẩu là giải pháp truyền thống đƣợc sử dụng phổ biến nhất hiện nay. Nó có hiệu quả, đơn giản, nhanh gọn và giá thành thấp. Song, giải pháp này còn tồn tại khá nhiều bất cập, nguy cơ bị đánh cắp cao. Khi ứng dụng trên Internet, các thông tin này cũng rất dễ bị lấy cắp trong quá trình truyền thông tin đi. Hiện nay, để hạn chế các nhƣợc điểm này, có nhiều cơ chế bảo mật đƣợc sử dụng nhƣ mật khẩu dùng một lần. Giải pháp xác thực sử dụng thẻ đã hạn chế một số nhƣợc điểm của giải pháp dùng tên và mật khẩu. Các thông tin cần thiết của ngƣời dùng đƣợc lƣu trữ ngay trên thẻ. Các thẻ hầu nhƣ đều yêu cầu ngƣời sử dụng phải nhập vào một số nhận dạng PIN làm tăng thêm mức độ an toàn. Đây là giải pháp khá hoàn chỉnh và an toàn nhƣng chi phí cho việc áp dụng giải pháp này lại cao. Các nƣớc phát triển trên thế giới sử dụng nhiều. Giải pháp xác thực sử dụng kỹ thuật trong sinh trắc học cung cấp một cơ chế đặc biệt an toàn. Ngƣời dùng sẽ đƣợc xác thực thông qua những gì của chính mình. Nhƣng việc áp dụng giải pháp này trong các ứng dụng trên Internet là không khả quan vì đƣờng truyền băng thông không đủ lớn so với lƣợng thông tin cần truyền. Mặt khác, giải pháp này đòi hỏi phải có các trang thiết bị với công nghệ cao và hiện đại nên việc áp dụng giải pháp này còn gặp nhiều khó khăn. Hiện nay, trên thế giới để nâng cao tính an toàn, một số nhà sản xuất đã cung cấp những giải pháp kết hợp các giải pháp khác nhau. Tuy nhiên, nó đòi hỏi các trang thiết bị hiện đại và giá thành rất cao. Và thực tế hiện nay, sự kết hợp này chƣa đƣợc sử dụng nhiều. 20