Tìm hiểu về một số giải pháp bảo mật xác thực cho ứng dụng trên thiết bị di động

1.1 Động lực (17)

1.2 Mục tiêu đề tài (18)

1.3 Phạm vi đề tài (18)

1.4 Cấu trúc báo cáo (19)

2.1 Các nguyên tắc trong bảo mật thông tin (20)

2.1.1 Tính bí mật dữ liệu (20)
2.1.2 Tính toàn vẹn dữ liệu (21)
2.1.3 Tính sẵn sàng dữ liệu (21)
2.1.4 Tính xác thực (22)
2.1.5 Tính chống thoái thác (22)

2.2 Xác thực người dùng (22)

2.2.1 Authentication (22)
2.2.2 Authorization (24)
2.2.3 So sánh Authentication và Authorization (25)

2.3 OTP (One-time-password) (25)

2.3.1 HOTP (HMAC-based One-time Password) (26)
2.3.2 TOTP (Time-Based One-Time Password) (26)

2.4 Mã hóa (27)

2.4.1 Mã hóa đối xứng (27)
2.4.2 Mã hóa bất đối xứng (31)
2.4.3 Hàm băm (32)
2.4.4 Chữ ký số (32)

2.5 RESTful API (35)

2.6 OWASP Top 10 (37)

2.6.1 Injection (37)
2.6.2 Broken Authentication (38)
2.6.3 Lộ thông tin nhạy cảm người dùng (38)
2.6.4 XML External Entities (39)
2.6.5 Broken Access Control (40)
2.6.6 Cấu hình sai các cài đặt bảo mật (40)
2.6.7 Cross-Site Scripting (XSS) (41)
2.6.8 Giải mã dữ liệu không an toàn (42)
2.6.9 Sử dụng các công cụ với các lỗ hổng bảo mật đã được biết (42)
2.6.10 Giám sát hệ thống không đầy đủ (43)

3.1 Các mô hình xác thực người dùng (44)

3.1.1 Basic Authentication (44)
3.1.2 Bearer Authentication (45)
3.1.3 API Key Authentication (46)
3.1.4 OAuth 2.0 (46)

3.2 Các dịch vụ xác thực người dùng (48)

3.2.1 Single Sign-On (SSO) (48)
3.2.2 Auth0 (49)
3.2.3 Google Sign In (52)

3.3 Các nghiên cứu tăng cường bảo mật (52)

3.3.1 Bài báo "Two-Factor Authentication: Too Little, Too Late" (52)
3.3.2 Bài báo "A secure method for signing in using quick response (53)

3.4 Các công cụ, thư viện kiểm thử và đánh giá bảo mật (53)

3.4.1 OWASP ZAP (Zed Attack Proxy) (53)
3.4.2 Burp Suite (53)
3.4.3 Công cụ StackHawk (54)

4.1 Vulnerability, threat và risk (56)

4.2 Quản lý danh tính (Identity management) (57)

4.2.1 Đoán và liệt kê các tài khoản (57)

4.3 Xác thực (Authentication) (57)

4.3.1 Phương thức khóa tài khoản yếu kém (57)
4.3.2 Bypass quá trình xác thực (58)
4.3.3 Yêu cầu về mật khẩu yếu (59)
4.3.4 Điểm yếu trong quá trình thay đổi, khôi phục mật khẩu (59)

4.4 Ủy quyền (Authorization) (59)

4.4.1 Bypass quá trình ủy quyền (59)
4.4.2 Privilege escalation (60)

4.5 Quản lý phiên (Session management) (60)

4.5.1 Session Fixation (60)
4.5.2 CSRF (Cross Site Request Forgery) (61)

4.6 Kiểm tra đầu vào (Input validation) (61)

4.6.1 Reflected Cross Site Scripting (61)
4.6.2 Stored Cross Site Scripting (62)
4.6.3 SQL Injection (62)

5.1 Phân tích yêu cầu (64)

5.1.1 Định dạng chuỗi bí mật trong mô hình (65)
5.1.2 Các loại mã JWT trong hệ thống (66)
5.1.3 Thu hồi các chuỗi bí mật (67)

5.2 Kiến trúc tổng quan hệ thống (68)

5.3 Hiện thực khối quản lý việc tạo / xác thực các mã trong hệ thống (68)

5.3.1 Quá trình tạo và kiểm chứng mã JWT (68)
5.3.2 Quá trình tạo mã OTP (70)
5.3.3 Quá trình tạo, xác nhận và kiểm tra cho mã QR (71)
5.3.4 Quá trình tạo và kiểm tra cho mã khôi phục mật khẩu (72)

5.4 Hiện thực khối quản lý thông tin người dùng (72)

5.5 Hiện thực khối logic chức năng (73)

5.5.1 Đăng ký người dùng (74)
5.5.2 Đăng nhập (sử dụng mật khẩu và OTP) (75)
5.5.3 Đăng nhập sử dụng mã QR (76)
5.5.4 Cập nhật thông tin (77)
5.5.5 Khôi phục mật khẩu (79)
5.5.6 Đăng xuất (79)
5.5.7 Cấp lại mã truy cập (AT) (80)
5.5.8 Kiểm tra mã truy cập (RT) (81)
5.5.9 Tạm khóa tài khoản theo ràng buộc về số lần thất bại (82)

5.6 Case study (83)

5.6.1 Lược đồ lưu trữ cho dữ liệu được ủy quyền quản lý bởi dịch vụ điều phối (83)
5.6.2 Quá trình đăng ký bổ sung thông tin tài xế và phương tiện (83)
5.6.3 Quá trình ủy quyền người dùng thay cho dịch vụ điều phối (85)

6.1 Đánh giá giải pháp đề xuất (87)

6.2 Các rủi ro và giải pháp cải tiến (88)

6.3 Hiện thực giải pháp cải tiến (90)

6.3.1 Trong việc xoay vòng mã làm mới (90)
6.3.2 Ngăn chặn kịp thời việc sử dụng lại mã làm mới đã hết hạn (90)
6.3.3 Khôi phục mật khẩu sử dụng lịch sử người dùng (91)

7.1 Triển khai (94)

7.2 Thử nghiệm và kiểm thử mô hình (94)

7.2.1 Kiểm thử yêu cầu hệ thống (94)
7.2.2 Kiểm thử xâm nhập (Penetration Test) (97)

7.3 Đánh giá (101)

8.1 Kết luận (102)

8.2 Những hạn chế và hướng phát triển (103)

A.1 Đăng ký (109)

A.1.1 Đăng ký tài khoản (109)
A.1.2 Đăng ký bổ sung thông tin tài xế, phương tiện (110)

A.2 Đăng nhập (111)

A.2.1 Đăng nhập sử dụng mật khẩu và OTP (111)
A.2.2 Đăng nhập sử dụng QR (113)

A.3 Khôi phục mật khẩu (116)

A.3.1 Khôi phục sử dụng OTP và câu hỏi bảo mật (116)

A.4 Cập nhật thông tin (120)

A.4.1 Thay đổi mật khẩu (120)

A.5 Quản lý token (121)

A.5.1 Cấp lại access token (121)
A.5.2 Kiểm tra access token (122)
- 2.1 Ví dụ về phân quyền trong hệ thống (0)
- 2.2 Quá trình mã hóa và giải mã trong mã hóa đối xứng (0)
- 2.3 Mã hóa và giải mã khối sử dụng ECB (0)
- 2.4 Mã hóa và giải mã khối sử dụng CCB (27)
- 2.5 Mã hóa và giải mã khối sử dụng CFB (0)
- 2.6 Mã hóa và giải mã khối sử dụng OFB (0)
- 2.7 Synchronous stream ciphers (0)
- 2.8 Self-synchronous stream ciphers (0)
- 2.9 Quá trình mã hóa và giải mã trong mã hóa bất đối xứng (0)
- 2.10 Sử dụng hàm băm để kiểm tra tính toàn vẹn dữ liệu (0)
- 2.11 Quá trình ký dữ liệu khi gửi (mã hóa bất đối xứng) (0)
- 2.12 Quá trình xác thực dữ liệu khi nhận (mã hóa bất đối xứng) (0)
- 2.13 Quá trình ký dữ liệu khi gửi (mã hóa đối xứng) (0)
- 2.14 Quá trình xác thực dữ liệu khi nhận (mã hóa đối xứng) (0)
- 3.1 Quá trình của Basic Authentication (0)
- 3.2 Quá trình của Bearer Authentication (0)
- 3.3 Quá trình xác thực sử dụng API Key (0)
- 3.4 Quá trình xác thực đơn giản của OAuth (0)
- 3.5 Quá trình SSO (0)
- 3.6 Quá trình xác thực và ủy quyền của Auth0 (0)
- 3.7 Quá trình xác thực và ủy quyền của Google Sign In (0)
- 3.8 Giao diện của Burp Suite (0)
- 5.1 Kiến trúc của hệ thống đề xuất (0)
- 5.2 Các thành phần trong JWT (0)
- 5.3 Kiến trúc tổng quan hệ thống (0)
- 5.4 Quá trình xác thực sử dụng mã QR (0)
- 5.5 Lược đồ cơ sở dữ liệu lưu trữ thông tin người dùng (0)
- 5.6 Quá trình đăng ký người dùng (0)
- 5.7 Quá trình đăng nhập sử dụng mật khẩu và xác thực OTP (0)
- 5.8 Quá trình đăng nhập sử dụng QR (0)
- 5.9 Quá trình cập nhật thông tin (0)
- 5.10 Quá trình khôi phục mật khẩu (0)
- 5.11 Quá trình đăng xuất trên một thiết bị (0)
- 5.12 Quá trình cấp lại mã truy cập (0)
- 5.13 Quá trình kiểm tra mã truy cập (0)
- 5.14 Lược đồ cơ sở dữ liệu lưu trữ thông tin người dùng với các thông tin được bổ sung (0)
- 5.15 Quá trình đăng ký bổ sung thông tin tài xế và phương tiện (0)
- 5.16 Quá trình đăng nhập sử dụng mật khẩu và xác thực OTP (được sửa đổi) (0)
- 5.17 Quá trình đăng nhập với ràng buộc chỉ được sử dụng một thiết bị (0)
- 6.1 Quá trình xoay vòng mã làm mới (0)
- 6.2 Quá trình khôi phục mật khẩu (đã được cải tiến) (0)
- 7.1 Kết quả sử dụng công cụ StackHawk (0)
- 7.2 Kết quả sử dụng công cụ HostedScan với ZAP (0)
- 7.3 Kết quả sử dụng công cụ HostedScan với Nmap (0)
- 7.4 Kết quả sử dụng công cụ HostedScan với OpenVAS (0)
- 2.1 Hình thức, rủi ro và hạn chế của các yếu tố xác thực (0)
- 2.2 So sánh giữa authentication và authorization (0)
- 3.1 Một số dịch vụ SSO (0)
- 5.1 Giá trị lưu trữ liên quan đến mã QR trong quá trình thực hiện (0)
- 7.1 Thời gian thực hiện các yêu cầu trên máy chủ được triển khai (không (0)

Tiêu đề	Tìm hiểu về một số giải pháp bảo mật xác thực cho ứng dụng trên thiết bị di động
Người hướng dẫn	ThS. Lưu Quang Huõn, ThS. Hồ Quang Chi Bảo
Trường học	Đại học Bách Khoa Thành phố Hồ Chí Minh
Chuyên ngành	Khoa học Máy tính
Thể loại	Luận văn tốt nghiệp đại học
Năm xuất bản	2021
Thành phố	TP.HCM

Định dạng
Số trang	123
Dung lượng	2,39 MB

Tìm hiểu về một số giải pháp bảo mật xác thực cho ứng dụng trên thiết bị di động

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

ĐẠI HỌC BÁCH KHOA KHOA KHOA HỌC & KỸ THUẬT MÁY TÍNH

LUẬN VĂN TỐT NGHIỆP ĐẠI HỌC