TÌM HIỂU về các PHƯƠNG PHÁP xác THỰC

Do đó vấn đề xác thực người sử dụng cũng đang trở thành một trong những vấn đề được quan tâm hiện nay lên việc tìm hiểu về đề tài “ Các phương pháp xác thực người sử dụng và ứng dụng” sẽ

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA VIỄN THÔNG I

TIỂU LUẬN CUỐI KÌ

MÔN

AN NINH MẠNG THÔNGTIN

ĐỀ TÀI: TÌM HIỂU VỀ CÁC PHƯƠNG PHÁP XÁC THỰC

NGƯỜI DÙNG VÀ ỨNG DỤNG Giảng viên: Phạm Anh Thư

Nhóm 12 Phạm Trần Hà Minh B17DCVT239 Trần Trung Hiếu B17DCVT135

Hà Nội, tháng 6 năm 2021

Mục lục

I TỔNG QUAN VỀ XÁC THỰC NGƯỜI SỬ DỤNG 3

1.1 Khái niệm về xác thực 3

1.2 Giới thiệu về định danh và xác thực trong điều khiển truy cập 4

II PHƯƠNG PHÁP ĐỊNH DANH VÀ XÁC THỰC 5

2.1 Phương pháp định danh 5

2.1.1 Định danh dựa trên thông tin người dùng tự nhập 5

2.1.2 Định danh sử dụng sinh trắc học 5

2.2 Phương pháp xác thực 7

2.2.1 Những gì bạn biết 7

2.2.2 Những gì bạn có 8

2.2.3 Những gì là chính bạn 8

III CÁC GIAO THỨC XÁC THỰC NGƯỜI SỬ DỤNG 10

3.1 Giao thưc xác thực đơn giản 10

3.2 Giao thưc xác thực challenge-response 11

3.3 Giao thưc xác thực sử dụng khóa đối xứng 12

3.3.1 Giao thức xác thực xử dụng khóa đối xứng 12

3.3.2 Giao thức xác thực lẫn nhau 12

3.3.3 Giao thức xác thực lẫn nhau cải tiến 12

3.3.4 Giao thức xác thực lẫn nhau cải tiến khác 13

3.4 Giao thưc xác thực sử dụng khóa công khai 14

3.5 Giao thưc xác thực KERBEROS 15

IV ỨNG DỤNG 19

V KẾT LUẬN 22

Tài liệu tham khảo 22

Thuật ngữ viết tắt 23

Danh mục hình ảnh 23

Kiểm tra Doit(6%) 24

Lý do chọn đề tài

Nhận thức được sự phát triển của công nghệ thông tin tại trong nước cũng như thế giới, cuộc sống đang ngày càng phát triển theo phương hướng số quá Con người ngày nay đang mang nhiều hoạt động của cuộc sống lên môi trường mạng mang lại nhiều tiện ích cũng như không thiếu những ảnh hưởng tiêu cực bởi việc mất an toàn an ninh mạng Do đó vấn đề xác thực người sử dụng cũng đang trở thành một trong những vấn

đề được quan tâm hiện nay lên việc tìm hiểu về đề tài “ Các phương pháp xác thực người sử dụng và ứng dụng” sẽ nâng cao hiểu biết về xác thực trong an ninh mạng

thông tin của mọi người

I.TỔNG QUAN VỀ XÁC THỰC NGƯỜI SỬ DỤNG

1.1 Khái niệm về xác thực người sử dụng

Xác thực người dùng là một quy trình bảo mật bao gồm tất cả các tương tác giữa người với máy tính yêu cầu người sử dụng đăng ký và đăng nhập Nói một cách đơn giản hơn, xác thực là đặt câu hỏi cho người sử dụng “bạn là ai?” và đợi phản ứng của họ

Khi người sử dụng đăng ký tài khoản, họ phải tạo một ID và mã khóa cho phép họ truy cập vào tài khoản của mình sau này Nói chung, tên người dùng và mật khẩu được sử dụng làm ID và khóa, nhưng ngoài mã khóa thì các dạng khóa khác vẫn được coi là bằng chứng xác thực nếu họ sử dụng

Về cơ bản, quy trình xác thực người sử dụng là quy trình cung cấp cho người sử dụng quyền truy cập vào tài khoản của họ và chặn bất kỳ người dùng chưa được xác thực nào

có được quyền truy cập Điều này có nghĩa là Người dùng A có thể đăng nhập vào tài khoản của chính họ, trong khi Người dùng B sẽ bị từ chối quyền truy cập Ngược lại, Người dùng B có thể truy cập tài khoản của chính họ, trong khi Người dùng A không thể truy cập

Xác thực người sử dụng rất quan trọng vì đây là bước bắt buộc trong quy trình ngăn người dùng trái phép truy cập vào thông tin nhạy cảm Quy trình xác thực được tăng cường đảm bảo rằng Người dùng A chỉ có quyền truy cập vào thông tin họ cần và không thể xem thông tin nhạy cảm của Người dùng B

Tuy nhiên, khi xác thực người sử dụng của bạn không an toàn, tội phạm mạng có thể tấn công hệ thống và giành quyền truy cập, lấy bất kỳ thông tin nào mà người dùng được phép truy cập

Hình 1: Xác thực sử dụng mật khẩu

1.2 Giới thiệu về định danh và xác thực trong điều khiển truy nhập

Định danh và xác thực là một quy trình bắt buộc trong điều khiển truy nhập gồm hai bước nhằm xác minh người truy nhập vào hệ thống

 Định danh là quá trình người dùng cung cấp cho hệ thống biết họ là ai (Chẳng hạn như dùng tên người dùng)

 Bộ phận định danh của một hệ thống điều khiển truy cập hoạt động khá đơn giản

chủ yếu dựa trên một hệ thống tên người dùng (username) hoặc chỉ danh của người dùng (userID)

 Mục đích của định danh để xác định sự tồn tại và cung cấp quyền hạn cho người dùng

 Yêu cầu khi định danh ngưởi sử dụng

 Định danh người dùng phải là một định danh duy nhất chỉ để nhận dạng người sử dụng nó

 Định danh người dùng không hỗ trợ để xác định vị trí hay tầm quan trọng của người dùng trong công ty hoặc tổ chức

 Các bước định danh và xác thực trong điều khiển truy nhập

 Định danh (Identification) Đây là quá trình nhận dạng người sử dụng Người dùng phải cung cấp danh tính và các thông tin bắt buộc để hệ thống xác nhận và nhận dạng

 Xác thực (Authentication) là quá trình xác thực người sử dụng Người dùng cung cấp các thông tin để nhận dạng, hệ thống sẽ tự dộng tiến hành kiểm tra các thông tin đó đúng hay sai bằng nhiều phương pháp khác nhau

 Ủy quyền (Authorization) là xác định thẩm quyền mà người sử dụng có ngay sau khi hệ thống xác thực được thông tin người sử dụng

 Kế toán (Accounting) Hệ thống quản lý, giám sát và thống kê quá trình sử dụng truy nhập của người sử dụng trong các vùng tài nguyên

 Những yếu tố cần thiết

 Đối tượng (Subjects) Toàn bộ đối tượng có thể gán quyền truy cập

 Tài nguyên được sử dụng (Objects)

 Quyền truy cập (Access Permissions) được sử dụng để gán quyền truy cập các

Tài nguyên được sử dụng cho Các đối tượng (Ví dụ một Người dùng là một Đối tượng, một foder là một Object, Permission là quyền gán cho Người dùng truy cập vào Dữ liệu) Bảng Access Permissions cho một đối tượng gọi là Access Control List (ACLs), ACL của toàn bộ hệ thống được thống kê trong bảng Access Control Entries (ACEs)

II PHƯƠNG PHÁP ĐỊNH DANH VÀ XÁC THỰC

2.1 Phương pháp định danh

2.1.1 Định danh dựa trên thông tin người dùng tự nhập

Đinh danh dựa trên thông tin người dùng tự nhập thông qua ID và mật khẩu mà người dùng nhập trên hệ thống Đây là một cách định danh khá phổ biến trên các hệ thống hiện nay Với phương pháp định danh này, các cặp ID và mật khẩu được người sử dụng nhập vào và hệ thống sẽ tự động sử dụng các dữ liệu đã lưu của người sử dụng để đối chiếu

và xác nhận Sau khi hệ thống đối chiếu kiểm tra với dữ liệu đã lưu, nếu dữ liệu nhập trùng khớp thì người sử dụng được định danh và xác thực, còn với trường hợp thông tin không khớp, hệ thống sẽ từ chối hoặc cấm truy cập với người sử dụng này

Phương pháp xác thực người dùng này có độ bảo mật không cao vì các yếu tố người dùng đăng nhập ID và mật khẩu đều dưới dạng văn bản nên rất dễ bị lộ trong quá trình thông tin đi tới hệ thống hoặc người sử dụng để lộ thông tin do đặt ID và mật khẩu khá đơn giản như ngày tháng năm sinh, 1234, abcd,……

Kết lại, định danh dựa trên thông tin tự nhập có rất nhiều điểm yếu và không đủ để bảo

vệ thông tin trực truyến

2.1.2 Danh định sinh trắc học

Xác thực sinh trắc học là một quá trình bảo mật dựa trên các đặc điểm sinh học duy nhất của một cá nhân Dưới đây là những lợi thế chính của việc sử dụng công nghệ xác thực sinh trắc học:

Có thể dễ dàng so sánh các đặc điểm sinh học với các đặc điểm được phép lưu trong cơ

sở dữ liệu

Xác thực sinh trắc học có thể kiểm soát truy cập vật lý khi được cài đặt trên cổng và cửa

ra vào

Bạn có thể thêm sinh trắc học vào quy trình xác thực đa yếu tố của mình

Công nghệ xác thực sinh trắc học được sử dụng bởi người tiêu dùng, chính phủ và các tập đoàn tư nhân bao gồm sân bay, căn cứ quân sự và biên giới quốc gia Các phương pháp xác thực sinh trắc học phổ biến bao gồm:

Nhận dạng khuôn mặt — khớp với các đặc điểm khuôn mặt khác nhau của một cá nhân đang cố gắng truy cập vào khuôn mặt đã được phê duyệt được lưu trữ trong cơ sở dữ liệu Nhận dạng khuôn mặt có thể không nhất quán khi so sánh các khuôn mặt ở các góc

độ khác nhau hoặc so sánh những người trông giống nhau, như họ hàng gần Công nghệ liveness trên khuôn mặt ngăn chặn việc giả mạo

Hình 2: Nhận dạng khuôn mặt

Máy quét vân tay — khớp với các mẫu duy nhất trên dấu vân tay của một cá nhân Một

số phiên bản mới của máy quét vân tay thậm chí có thể đánh giá các dạng mạch máu trong ngón tay của mọi người Máy quét vân tay hiện là công nghệ sinh trắc học phổ biến nhất đối với người tiêu dùng hàng ngày, mặc dù chúng thường xuyên không chính xác Sự phổ biến này có thể là do iPhone

Hình 3: Xác thực sửu dụng vân tay Nhận dạng giọng nói — kiểm tra các mẫu giọng nói của người nói để tạo ra các hình

dạng và chất lượng âm thanh cụ thể Một thiết bị được bảo vệ bằng giọng nói thường dựa vào các từ được chuẩn hóa để xác định người dùng, giống như mật khẩu

Hình 4: xác thực sử dụng giọng nói Máy quét mắt — bao gồm các công nghệ như nhận dạng mống mắt và máy quét võng mạc Máy quét mống mắt chiếu một luồng sáng về phía mắt và tìm kiếm các mẫu độc đáo trong vòng màu xung quanh đồng tử của mắt Sau đó, các mẫu được so sánh với thông tin đã được phê duyệt được lưu trữ trong cơ sở dữ liệu Xác thực dựa trên mắt có thể không chính xác nếu một người đeo kính hoặc kính áp tròng

Hình 5: Xác thực bằng quét mống mắt Ngoài ra còn có phương pháp định danh sử dụng danh định máy tính, người dùng sử dụng các thông số từ thiết bị cá nhân để định danh như tên máy tính, địa chỉ MAC, địa chỉ IP hoặc sử dụng danh định số như chứng chỉ số hay thẻ thông minh

2.2 Phương pháp xác thực

2.2.1Những gì bạn biết (Something you know)

Yếu tố bạn biết là yếu tố phổ biến nhất được sử dụng và có thể là mật khẩu hoặc số nhận dạng cá nhân đơn giản (PIN) Tuy nhiên, nó cũng là loại dễ đánh bại nhất

Khi sử dụng mật khẩu, điều quan trọng là phải sử dụng mật khẩu mạnh Mật khẩu mạnh

có sự kết hợp của chữ hoa, chữ thường, số và ký tự đặc biệt Trước đây, các chuyên gia

bảo mật đã khuyến nghị rằng mật khẩu phải dài ít nhất tám ký tự Tuy nhiên, với sự gia tăng sức mạnh của các trình bẻ khóa mật khẩu, người ta thường nghe thấy các chuyên gia đề xuất các mật khẩu dài hơn Ví dụ: nhiều tổ chức yêu cầu mật khẩu quản trị viên phải dài ít nhất 15 ký tự

Mật khẩu dài hơn sẽ khó nhớ hơn trừ khi chúng được đặt vào một số loại thứ tự có ý nghĩa Ví dụ: một cụm từ như “Bảo mật tạo nên thành công” có thể trở thành mật khẩu của “S3curityBr33d $ Succ3 $$” Lưu ý rằng mỗi từ bắt đầu bằng một chữ cái viết hoa, mỗi chữ cái viết thường “s” được đổi thành $, mỗi chữ cái viết thường “e” được đổi thành số 3 và các khoảng trắng bị xóa Mật khẩu dễ nhớ hơn nhưng rất phức tạp Tuy nhiên, nếu người dùng được yêu cầu phải nhớ một mật khẩu dài mà không có bất kỳ ý nghĩa nào, chẳng hạn như “1kqd9% lu @ 7cpw #”, họ có nhiều khả năng ghi mật khẩu xuống, làm suy yếu tính bảo mật

Mật khẩu không được bao gồm dữ liệu cá nhân như tên người dùng hoặc tên người dùng Ngoài ra, mật khẩu không nên là một từ có thể tìm thấy trong từ điển Tấn công từ điển

sử dụng cơ sở dữ liệu của các từ tương tự như từ điển, thử tất cả các từ trong cơ sở dữ liệu để tìm một kết quả phù hợp Điều đáng nói ở đây là những kẻ tấn công [md] có quyền truy cập vào từ điển bằng các ngôn ngữ khác Nói cách khác, mật khẩu sử dụng một từ từ ngôn ngữ khác cũng dễ bẻ khóa như mật khẩu được sử dụng bằng ngôn ngữ

mẹ đẻ của bạn

2.2.2 Những gì bạn có (Something you have)

Yếu tố bạn có liên quan đến các mặt hàng như thẻ thông minh hoặc mã thông báo cầm tay Thẻ thông minh là thẻ có kích thước bằng thẻ tín dụng có chứng chỉ nhúng được sử dụng để xác định chủ sở hữu Người dùng có thể lắp thẻ vào đầu đọc thẻ thông minh để xác thực cá nhân Thẻ thông minh thường được sử dụng với mã PIN cung cấp xác thực

đa yếu tố Nói cách khác, người dùng phải có một cái gì đó (thẻ thông minh) và biết một cái gì đó (mã PIN)

Mã thông báo là một thiết bị cầm tay có đèn LED hiển thị số và số được đồng bộ hóa với máy chủ xác thực Hãy xem xét Hình 1, cho thấy máy chủ xác thực và người dùng

có mã thông báo cầm tay Số hiển thị trên mã thông báo thay đổi thường xuyên, chẳng hạn như sau mỗi 60 giây và máy chủ xác thực luôn biết số hiện đang được hiển thị

Ví dụ: lúc 5:01 chiều, số hiển thị trên đèn LED có thể là 963147 và đồng thời, máy chủ biết rằng số đó là 963147 Một phút sau, số hiển thị trên đèn LED có thể là 246813 và xác thực máy chủ sẽ biết số mới này

Một cách phổ biến mà các thẻ được sử dụng để xác thực là với các trang web Người dùng nhập số được hiển thị trong mã thông báo trên trang web Nếu người dùng nhập cùng một số mà máy chủ biết tại thời điểm đó, thì người dùng đã được xác thực Thông thường sử dụng xác thực đa yếu tố với xác thực dựa trên mã thông báo Ngoài việc nhập

số hiển thị trong mã thông báo, người dùng thường được yêu cầu nhập tên người dùng

và mật khẩu Điều này chứng tỏ họ có thứ gì đó (mã thông báo) và họ biết điều gì đó (mật khẩu của họ)

2.2.3 Những gì là chính bạn (Something you are)

Các phương pháp sinh trắc học cung cấp thông tin bạn là nhân tố xác thực Một số phương pháp sinh trắc học có thể được sử dụng là dấu vân tay, hình học bàn tay, quét võng mạc hoặc mống mắt, chữ viết tay và phân tích giọng nói Sinh trắc học dấu vân tay

là phương pháp sinh trắc học được sử dụng rộng rãi nhất hiện nay Nhiều máy tính xách tay bao gồm đầu đọc dấu vân tay và đầu đọc dấu vân tay cũng có sẵn trên ổ đĩa flash USB Dấu tay được sử dụng với nhiều công viên giải trí bán vé theo mùa hoặc vé nhiều ngày

Mặc dù sinh trắc học cung cấp khả năng xác thực mạnh nhất, nhưng nó dễ bị lỗi Lỗi từ chối sai (còn gọi là lỗi loại 1) xảy ra khi hệ thống từ chối sai một người dùng đã biết và cho biết người dùng không được biết Lỗi chấp nhận sai (còn được gọi là lỗi loại 2) xảy

ra khi hệ thống xác định sai một người dùng không xác định là người dùng đã biết Hệ thống sinh trắc học thường có thể được điều chỉnh độ nhạy, nhưng độ nhạy ảnh hưởng đến độ chính xác

Xác thực đa yếu tố

Xác thực đa yếu tố (MFA) là một hệ thông bảo mật yêu cầu hai hay nhiều hơn một phương thức xác thực từ các dữ liệu mà hệ thống đã lưu độc lập với nhau để xác minh người sử dụng khi đăng nhập

Xác thực đa yếu tố kết hợp hai hay nhiều thông tin độc lập: thông tin người dùng biết (mật khẩu), thông tin người dùng có (mã thông báo bảo mật) và xác thực người dùng (xác minh sinh trắc học)

Mục tiêu của xác thực đa yếu tố để tạo ra một lớp bảo vệ kiên cố và khiến cho việc truy cập vào các thông tin mục tiêu như vị trí địa lý, thiết bị máy tính, mạng hoặc cơ sở

dữ liệu trở nên khó khăn hơn đối với cá nhân không được phép

Nếu một trong các yếu tố bị xâm phậm hoặc phá vỡ, kẻ tấn công sẽ còn ít nhất một rào cản nữa, thời gian đó hệ thống sẽ thông báo tới người sử dụng về hoặt động đăng nhập trái phép, giúp người sử dụng tránh được nguy cơ đánh mất thông tin dữ liệu các nhân

Ví dụ bao gồm mã được tạo từ điện thoại của người dùng, kiểm tra Captcha, dấu vân tay hoặc nhận dạng khuôn mặt

Các phương pháp và công nghệ xác thực đa yếu tố nhằm bổ sung nhiều lớp bảo mật để tăng thêm người tin cho người dùng MFA có thể là một biện pháp bảo vệ tốt chống lại hầu hết các vụ hack tài khoản, nhưng sẽ có một vài vấn đề nếu người dùng để mất điện thoại hoặc thẻ SIM, không thể nhận được mã xác thực

Xác thực dựa trên chứng chỉ

Công nghệ xác thực dựa trên chứng chỉ xác định người dùng, máy móc hoặc thiết bị bằng cách sử dụng chứng chỉ kỹ thuật số Chúng chỉ kỹ thuật số là tài liệu điện tử dựa trên các thông tin người dùng trên hệ thống như giấy phép lái xe hoặc hộ chiếu

Chứng chỉ chứa danh tính kỹ thuật số của người sử dụng gồm khóa công khai và chữ

ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số Chứng thư số chứng minh quyền sở hữu kháo công khai và chỉ được cấp bởi tổ chức cung cấp dịch vụ chứng thực chữ ký số

Người dùng cung cấp chứng chỉ kỹ thuật số của họ khi họ đăng nhập vào máy chủ Máy chủ xác minh độ tin cậy của chữ ký số và cơ quan cấp chứng chỉ Sau đó, máy sử dụng mật mã để xác nhận rằng người dùng có kháo cá nhân chính xác và được liên kết với chứng chỉ

Yếu tố vị trí

Xác thực dựa trên vị trí hiếm khi xuất hiện, nhưng nó đã được sử dụng với truy cập từ

xa quay số như một yếu tố xác thực bổ sung Hãy tưởng tượng rằng Joe được phép làm việc tại nhà bằng cách sử dụng kết nối truy cập từ xa quay số để kết nối với các tài nguyên dựa trên công việc Máy chủ truy cập từ xa có thể được định cấu hình để ngay khi Joe gọi đến và xác thực, máy chủ sẽ treo và gọi máy tính của Joe ở nhà

Miễn là Joe cố gắng kết nối từ máy tính ở nhà của anh ấy, kết nối sẽ hoạt động Tuy nhiên, nếu kẻ tấn công đang cố gắng mạo danh Joe bằng tên người dùng và mật khẩu của Joe, kẻ tấn công không thể kết nối Thay vào đó, khi kẻ tấn công xác thực bằng thông tin đăng nhập của Joe, máy chủ truy cập từ xa sẽ bị treo và cố gắng gọi máy tính của Joe

III CÁC GIAO THỨC XÁC THỰC NGƯỜI SỬ DỤNG

Giao thức xác thực người sử dụng là những cơ chế và quy tắc được đặt ra để xác thực một đối tượng nào đó Khi chúng ta trao đỏi với ai đó qua môi trường mạng thì chúng ta cần phải có dịch vụ để đảm bảo cả hai đối tượng ở hai bên đầu cuối đều được xác thực cũng như đảm bảo việc không có bên thứ ba nào có thể mạo danh như là một trong hai bên để thực hiện việc nhận và truyền thông tin không được phép

Và trong phần này ta sẽ đặt vào trong một tình huống cụ thể giả sử:

+ Alice muốn chứng minh với Bob là “ Tôi chính là Alice”

+ Alice cũng cần biết người trao đổi có đúng là Bob không

+ Malice là người xấu có ý muốn phá giao thức xác thực

3.1 Giao thức xác thực đơn giản

Ở giao thức này muốn thực hiện được thì cả hai bên đều phải biết một mật khẩu đã được trao đổi trước Khi Alice muốn trao đỏi với Bob qua mạng thì bên gửi( Alice) sẽ phải gửi đi thông diệp “ Tôi là Alice “ tới bên nhận( Bob) sau đó bên nhận sau khi nhận được thông điệp sẽ gửi lại một yêu cầu để xác thực bên gửi chính là Alice Để xác thực người gửi thì Alice sẽ phải gửi lại cho bên nhận mật khẩu đã biết trước đó để chứng minh và sau đó hai bên sẽ tiến hành trao đổi với nhau

1 Alice => Bob: “Tôi là Alice”

2 Bob => Alice: “Hãy chứng minh”

3 Alice => Bob: “My password is frank”

Hình 6: Giao thức xác thực đơn giản

Cũng giống như tên gọi thì đây là một giao thức đơn giản và dễ thực hiện , tuy nhiên nó lại kèm theo khá nhiều khuyết điểm Như password được để ở dạng bản rõ, không qua

mã hóa nên kẻ tấn công có thể dễ dàng đánh cắp mật khẩu để mạo danh người gửi trong lần tiếp theo, và ở đây ta cũng chỉ có thể xác nhận được bên gửi là Alice mà vẫn chưa xác thực được bên nhận

Nhận thấy nhược điểm của phương pháp trên người ta đã tìm ra phương pháp cải tiến mới để khắc phục đó là sử dụng hàm băm (H) của paswword để thay cho việc sử dụng mật khẩu đơn thuần tại bước thứ ba của quá trình xác thực người sử dụng

1 Alice => Bob: “Tôi là Alice”

2 Bob => Alice: “Hãy chứng minh”

3 Alice => Bob: H(PA)

Hình 7: Giao thức xác thực đơn giản sử dụng hàm băm

Ở giao thức này kẻ tấn công vẫn có thể mạo danh người gửi bằng cách tấn công lặp lại thông điệp

Kẻ tấn công (Malice) có thể lấy được giá trị băm của password H(PA) bằng cách theo dõi đường truyền giữa Alice và Bob và lặp lại thông diệp này ở lần kết nối tiếp theo

3.2 Giao thưc xác thực challenge-response

Giao thức xác thực challenge-response hay còn được gọi với tên khác là giao thức xác thực thử thách-bắt tay ( challenge-handshake authentication protocol) và giao thức này thường được sử dụng trong giao thức kết nối PPP (Point to Point Protocol) và một số hệ thống khác Sau đây là các bước mô tả quá trình xác thực bằng giao thức Challenge-response:

 Bên gửi (Alice ) muốn thiết lập một kết nối và gửi một thông điệp “Tôi là Alice” đến bên nhận (Bob)

 Bên nhận nhận được thông điệp đó và sẽ gửi lại một khối dữ liệu thách thức (challenge), trong đó có chứa một giá trị ngẫu nhiên do bên nhận tạo ra mà ta còn gọi là giá trị nonce ( ký hiệu :N)

 Bên gửi sau khi nhận được giá trị nonce sẽ gán giá trị đó vào với mật khẩu của

mình,sau đó thực hiện một hàm băm một chiều lên khối giá trị vừa được ghép trước đó và sau đó gửi đi giá trị băm cho bên nhận

 Phía bên nhận cũng sẽ thực hiện một quá trình tương tự so với bên gửi để so sánh kết quả với giá trị băm nhận được từ bên gửi, nếu hai giá trị khớp tức là quá trình xác thực đã thành công

1 Alice => Bob: “Tôi là Alice”

Nhược điểm:bên nhận cũng phải biết trước mật khẩu

3.3 Giao thức xác thực sử dụng khóa đối xứng

3.3.1 Giao thức xác thực xử dụng khóa đối xứng đơn giản

Phương pháp này có thể dựa trên phương pháp bắt tay ( challenge-response) sử dụng số nonce Khi bên gửi( Alice ) gửi yêu cầu kết nối cho bên nhận (Bob) và bên nhận cũng gửi lại một khối dữ liệu thách thức chứa số nonce, sau đó bên gửi sẽ thực hiện mã hóa giá trị nonce vừa nhận được bằng cách sử dụng khóa chung KAB của Alice và Bob và gửi bản mã đó cho bên nhận.Bên nhận nhận được bản mã và thực hiện giải mã để có được bản rõ Bên nhận tiến hành so sánh bản rõ với giá trị nonce đã gửi nếu trùng nhau thì quá trình xác thực thành công

1 Alice => Bob: “Tôi là Alice”

2 Bob => Alice: N

3 Alice => Bob: {N}KAB

Hình 9: Giao thức xác thực sử dụng khóa đối xứng Nhược điểm của giao thức này là sự xác thực chỉ có tính một chiều Tức là ở đây chỉ có Bob xác thực được Alice mà Alice không biết được bên nhận có phải là Bob hay không

3.3.2 Xác thực lẫn nhau

Khi bên gửi (Alice) gửi thông điệp để kết nối với bên nhận ( Bob) bên Bob sẽ tạo ra một giá trị ngẫu nhiên (giá trị nonce) và thực hiện mã hóa giá trị nonce đó sử dụng khóa công khai giữa Alice và Bob sau đó gửi bản mã đó cho bên gửi Bên gửi Alice nhận được bản

mã sẽ tiến hành giải mã để lấy giá trị nonce sau đó lặp lại quá trình đó như ở bên nhận vừa thực hiện, nếu giá trị nhận được trùng khớp thì quá trình xác thực thành công