Nghiên cứu mật khẩu dùng một lần và ứng dụng trong hệ thống phê duyệt tín dụng trực tuyến tại các ngân hàng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.45 MB, 26 trang )

Trang 1<div class="page_container" data-page="1">

HỌC VIEN CƠNG NGHỆ BƯU CHÍNH VIÊN THONG

TRUONG HUU CUONG

NGHIEN CUU MAT KHAU DUNG MOT LAN VA UNG DUNG

TRONG HE THONG PHE DUYET TIN DUNG TRUC TUYEN TAI

CAC NGAN HANG

Chuyén nganh: Hé thong thong tin Mã số: 60.48.01.04

TOM TAT LUẬN VĂN THẠC SĨ

HÀ NỘI - 2015

</div>Trang 3<div class="page_container" data-page="3">

Luận văn được hoàn thành tại:

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIÊN THƠNG

Người hướng dẫn khoa học: PGS.TSKH. HOÀNG ĐĂNG HAI

Phản biện 1:

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Cơng nghệ Bưu chính Viễn Thơng

Vào lúc: ... giờ... ngày ... tháng ... năm ...

Có thé tìm hiểu luận văn tai:

- Thư viện của Học viện Công nghệ Bưu chính Viễn Thơng

</div>Trang 4<div class="page_container" data-page="4">

MỞ ĐẦU

Gần đây, các ngân hàng tại Việt Nam đã triển khai tự động hóa một phần hoặc tồn bộ quy trình phê duyệt tín dụng bằng hệ thống phê duyệt tín dụng trực tuyến. Theo đó, mỗi nhân viên khi tham gia quy trình phê duyệt tín dụng của ngân hàng được cấp một tài khoản dé cập nhật (trình) hoặc phê duyệt hồ sơ tín dụng. Hệ thong

sẽ tự động thực hiện các công đoạn như phân phối các tài liệu pháp lý tới các nhân

viên liên quan, phân công công việc cho các nhân viên liên quan, đối chiếu hoặc ghi

nhận số liệu trên các hệ thống khác. Các hành động trên được thực hiện theo quy trình đã được định nghĩa và nhập vào trong hệ thống. Hệ thống này có tính năng tương tự hoặc có thé xây dựng trên nền tảng của một hệ thống quan lý quy trình kinh doanh

(Business Process Management - BPM).

Việc ứng dụng hệ thống phê duyệt tin dụng trực tuyến giúp các ngân hàng thực hiện quy trình tín dụng một cách nhanh chóng, chính xác và do đó vừa giảm thiểu rủi ro vừa nâng cao hiệu quả kinh doanh. Hệ thống phê duyệt tín dụng trực tuyến sẽ là

một hệ thống rất quan trọng trong mỗi ngân hàng khi được đưa vào sử dụng vì nó khơng chỉ giúp ngân hàng hoạt động hiệu qua mà cịn vì nhiều dit liệu mà nó xử lý

có giá trị rất lớn đối với ngân hàng.

Tuy nhiên, các hệ thống phê duyệt tín dụng trực tuyến lại đang có rủi ro rất lớn khi sử dụng mật khâu truyền thống dé xác thực người dùng. Các nguyên nhân

như: mật khâu yếu có thể bị đốn, mật khâu có thê bị đánh cắp, thói quen của nhân

viên thường cho mượn tài khoản, tan công lặp lại ... khiến cho rủi ro trên rat dé xảy ra. Một khi mật khẩu của người phê duyệt bị lộ, tài khoản có thể bị kẻ xấu lợi dụng

dé chiếm đoạt tài san của ngân hang và/hoặc gây ra các sự cố mat uy tín của ngân

hàng với khách hàng. Một hệ thống phê duyệt tín dụng trực tuyến được đầu tư đồng bộ sẽ loại trừ được rủi ro trên nhưng chi phí đầu tư sẽ rất lớn khiến các ngân hàng

vừa và nhỏ đang phải tạm dừng kế hoạch áp dụng vào thực tế.

Xuất phát từ những vấn đề đã nêu, luận văn này thực hiện tìm hiểu về mật

khẩu sử dụng một lần (One Time Password — OTP) và dé xuat ung dung OTP vao hé

</div>Trang 5<div class="page_container" data-page="5">

thống phê duyệt tín dụng trực tuyến nhằm tăng cường an tồn thơng tin cho hệ thống phê duyệt tín dụng trực tuyến.

Dé kết qua của luận văn có thé được ứng dụng rộng rãi trong thực tế, nội dung luận van tập trung tìm hiểu phương pháp bồ sung thêm bước yêu cầu người dùng phải xác nhận lại bằng OTP trước khi thực hiện các hoạt động phê duyệt hay cập nhật hồ

sơ. Nội dung luận văn được chia thành ba chương chính như sau:

Chương 1: Nhằm thực hiện tìm hiểu về OTP, nội dung chương sẽ tổng hợp lại các cơ sở lý thuyết co ban làm nguyên lý dé sinh, phân phối và sử dụng OTP. Các lý thuyết đó gồm:

e_ Lý thuyết cơ bản về hàm băm (hash function);

e Các thuật toán sinh OTP và các cách thức phân phối OTP phổ biến.

Chương 2: Với nhiệm vụ mô ta lại chi tiết van đề đang ton tại trên hệ thống phê duyệt tín dụng và làm rõ những yêu cầu cần giải quyết dé làm tiền dé cho việc

xây dựng các đề xuất trong chương 3, nội dung chương thực hiện:

e Tìm hiểu tổng quan về hệ thống phê duyệt tín dụng trực tuyến;

e©_ Khảo sát chi tiết việc sử dụng một phần mềm nguồn mở dé xây dựng hệ thống phê duyệt tín dụng trực tuyến;

e Thực hiện đánh giá vấn đề xác thực người dùng của hệ thống phê duyệt tin dụng trực tuyến.

Chương 3: Dựa trên cơ sở lý thuyết đã trình bay tại chương 1 và các yêu cầu phải xử lý tại chương 2, nội dung chương 3 bao gồm:

e Duara đề xuất ứng dụng OTP trong hệ thống phê duyệt tín dụng trực tuyến để giải quyết vấn đề xác thực người dùng. Đề xuất sẽ bao gồm: (1) tổng quan giải pháp, (2) chi tiết các thành phan trong giải pháp;

e_ Tóm tắt kết qua thử nghiệm tích hợp giải pháp ké trên với hệ thống phê

duyệt tín dụng trực tuyến được xây dựng như mô tả tại chương 2 để vận

hành một quy trình phê duyệt tín dụng trong thực tế.

</div>Trang 6<div class="page_container" data-page="6">

CHUONG 1. CƠ SỞ LÝ THUYET

1.1 Cơ sở lý thuyết ham băm

1.1.1 Khái niệm

Hàm băm là hàm toán học chun đổi một thơng điệp có độ dài bat kỳ thành một dãy bit có độ dài có định. Day bit này được gọi là thông điệp rút gọn (message

digest) hay giá tri băm (hash value), đại diện cho thông điệp ban đầu.

Nói cách khác, ham băm H sẽ tao ra ánh xạ các xâu bit có độ dài hữu hạn tùy ý

thành các xâu bit có độ dài cố định [1].

Hình 1.1: Giới thiệu hàm bam [9]

Khi hai thơng điệp x; và x2 khác nhau được băm nếu tạo ra cùng một giá tri

băm h(x) thì được gọi là xung đột.

1.1.2 Tinh chất cơ bản của hàm băm

Ngoài các tính chất cơ bản của hàm băm thì hàm băm mật mã (Cryptographic hash function) cịn có thêm các tính chất 4,5,6 như Bang 1.1.

Bảng 1.1: Các tính chất của hàm băm mật mã

STT | Tính chất / yêu cầu Mơ tả

1 Khơng cố định kích | Hàm H có thé dùng cho khối dữ liệu có kích

thước bản tin đầu vào. — | thước bất kỳ.

2 Cố định kích thước bản | Hàm H luôn cho tại đầu ra có kích thước cố định.

tin đầu ra.

</div>Trang 7<div class="page_container" data-page="7">

3 Hiệu quả (dé tính tốn). | Với H cho trước và một dau vào x có thé dé đàng

tính được H(x).

4 _ | Khó tính tốn nghịch ảnh | Với giá trị băm bất kỳ, rất khó khăn dé tìm một

(một chiều). x dé H(x) = h.

5 | Kháng xung đột yếu. Với giá trị ban tin gốc x bất kỳ đã biết, rất khó

khăn dé tìm y # x sao cho H(x) = H(y).

6 Kháng xung đột mạnh Khơng có khả năng tính tốn đề tìm ra bất cứ cặp

(khó va chạm). bản tín gốc bất ky (x, y) sao cho A(x) = H(y). 1.1.3 Phan loại ham bam

1.1.3.1 Ham băm có khóa

1.1.3.2 Hàm băm khơng khóa

1.1.4 Cấu trúc của hàm băm

1.L5 Một số hàm băm thông dụng

1.1.5.1 Thuật tốn băm MDS (Message Digest Algorithm 5)

1.1.5.2 Thuật tồn băm an toàn (Secure hash algorithm — SHA)

1.1.6 Mã xác thực thông điệp (Message Authentication Code — MAC)1.1.6.1 Giới thiệu

1.1.6.2 Thuật toán HMAC

1.2 Cơ sở lý thuyết OTP

1.2.1 Khái niệm OTP

OTP là một mật khẩu chỉ hợp lệ cho một phiên đăng nhập hoặc giao dịch trên một hệ thống máy tính hoặc thiết bị kỹ thuật số [ 19].

Vì sau một lần sử dụng mật khẩu đã dùng tự động khơng cịn hợp lệ cho các

lần đăng nhập sau nên OTP có các ưu điểm so với mật khâu truyền thống:

dù kẻ tan cơng có được mật khâu đã được dùng trong lần trước cũng khơng

có khả năng sử dụng lại cho cuộc tân công;

</div>Trang 8<div class="page_container" data-page="8">

e Khắc phục được điểm yếu khi một người sử dụng duy nhất một mật khâu

cho đồng thời nhiều hệ thống vì dù kẻ tấn cơng có được mật khẩu trong lần đăng nhập trước cũng không thê sử dụng đề đăng nhập vào các hệ thống

e Nhờ tat cả các lý do trên nên OTP có khả năng hạn chế được rủi ro khi phải

sử dụng hệ thống qua môi trường không tin cậy.

Nhưng cũng vì những lý do trên nên OTP có nhược điểm là khiến người dùng khó khăn dé ghi nhớ nên cần cơng nghệ dé hỗ trợ. Điều này gây ít nhiều phiền hà cho

người sử dụng.

1.2.2 Ung dụng cia OTP

e OPT có thé được sử dụng dé thay thế hồn toàn hoặc bồ sung cho mật khẩu truyền thống.

e Sử dụng OTP như u té thứ hai trong mơ hình xác thực hai yêu tố.

e Su dung dé xác nhận lại trước khi thực hiện các hành động quan trọng.

12.3 Phân phối OTP

1.2.3.1 Sử dụng những mật khẩu OTP đã được in sẵn ra giấy hoặc tam

thẻ nhựa:

1.2.3.2 Sử dụng các thiết bị thẻ điện tử (eToken)

1.2.3.3 Sử dụng phần mềm chạy trên thiết bị của người dùng.

1.2.3.4 Gửi OTP qua kênh out-of-band tới người dùng (băng SMS hoặc

kênh thoại).

1.2.4 RFC 4226 và thuật toán sinh OTP dùng HMAC (HOTP)

Một số RFC liên quan đến việc sinh OTP hay yêu cầu của hệ thống OTP như:

e RFC 1760;

e RFC 2289;

e RFC 4226;

e RFC 6238.

</div>Trang 9<div class="page_container" data-page="9">

Trong phạm vi luận văn nay tập trung trình bày về RFC 4226 (HOTP) dé hiểu

rõ về cơ chế sinh OTP và làm cơ sở đề xuất xây dựng công cụ ứng dụng trong thực

tế tại chương 2 và chương 3.

Nội dung chính cua RFC 4226 mơ tả thuật tốn sinh OTP dựa trên việc sử

dụng HMAC. Ngồi mơ tả chỉ tiết về cách tạo ra một OTP an tồn bằng thuật tốn HOTP, RFC 4226 cũng mô tả cách đề đồng bộ các tham số đầu vào của chương trình sinh OTP chạy trên thiết bị đầu cuối và máy chủ. Bên cạnh đó cịn cón các u cau, khuyến cáo về: Giao thức sử dụng dé xác thực; Kiểm tra tính hợp lệ của OTP; Đặt ngưỡng phát hiện tấn công dò mật khẩu trên máy chủ; Đồng bộ biến đếm; Quản lý

các khóa bí mật. Phần phụ lục của RFC 4226 cung cấp thêm các thơng tin: Phân tích

về an tồn của thuật tốn; Những cách tan cơng vào hàm băm SHA-1 đã được phát

hiện và ảnh hưởng đến tính an toàn của HOTP; Phục lục cũng cung cấp mã một chương trình mẫu sinh OTP dựa trên HOTP được viết bằng ngôn ngữ Java và các

mẫu kiểm thử;

1.2.4.1 Thuật toán HOTP

Thuật toán HOTP sử dụng HMAC-SHA-I để tạo ra các chuỗi giả ngẫu nhiên làm OTP. Do phía đầu ra của HMAC-SHA-I là 160 bit nên dé tao ra một OTP có

chiều dài phù hợp cho người sử dụng (ví dụ 6 đến 8 chữ số) HOTP sử dụng thêm một

thủ tục cắt bớt chuỗi dé được chuỗi OTP như u cầu. Có thể mơ tả thuật bang:

HOTP(K,C) = Truncate(HMAC-SHA I(K,C))

Trong đó:

e C:bién đếm 8-bytes, biến đếm này phải được đồng bộ giữa phía người dùng

(client) và thiết bị xác thực (server);

e K: mã bí mật được 2 bên (client va server) chia sẻ trước;

e Ngồi ra HOTP cịn sử dụng thêm biến hệ thống Digit dé quyết định chiều

dài của một OTP gồm bao nhiêu chữ số (hệ thập phân).

Gọi HS = HMAC-SHA-1(K,C), khi này HS là muột chuỗi có độ dài 160 bit,

được chia thành 20 mảng (từ HS/0] đến HS[19]) mỗi mang 8 bit. Ham Truncate có

thê mơ tả gơm các thao tác sau:

</div>Trang 10<div class="page_container" data-page="10">

e (1) Lay 4 bit thấp của HS[19J gan vào biến OffsetBits;

e_ (2) Chuyên định dạng OffsetBits sang thập phân va gan vào biến Offset (khi

này 0 < OffSet < 15);

e (3) Gan P bang giá trị của chuỗi được tạo thành từ HS/OffSet],

HS[OffSet+1], HS[OffSet+2] và HS[ OffSet+3];

e (4) Gan biến Sbit bằng chuỗi 31 bit cuối cùng của P;

e (5) Chuyên giá trị của P từ nhị phân sang thập phân và gan vào biến Snum

(khi này 0 S Snum < (2^31-])):

RFC 4226 mô tả các bước từ (1) đến (4) trong một hàm gọi là D7{HS) [ 7];

1.2.4.2 Ví dụ về hàm Truncate

1.2.4.3 Kiểm tra tính hợp lệ của OTP

Với tiêu chí thiết kế thuật tốn sinh OTP của RFC 4226 là đơn giản, dé cài đặt

trên các thiết bị đầu cuối có khả năng tính tốn giới hạn, màn hình và bàn phím hạn

chế chư eToken, điện thoại. RFC 4226 yêu cầu các thiết bị đầu cuối tự sinh OTP bằng HOTP với thơng tin đầu vào là khóa bí mật đã thỏa thuận với máy chủ xác thực và biến đếm sau đó gửi OTP này tới máy chủ xác thực.

Theo cách này, thiết bi đầu cuối tự động tăng giá trị của biến đếm rồi tính tốn giá trị của OTP cho lần sử dụng tiếp theo. Khi người dùng gửi giá trị OTP này tới máy chủ, máy chủ kiểm tra và nếu thấy khớp thì người dùng được xác thực. Nếu giá

trị đó khơng khớp thì máy chủ sẽ cố gắng thực hiện thủ tục đồng bộ lại cho đến khi khớp hoặc đạt ngưỡng của việc đồng bộ (biến đếm đạt giá tri tối đa).

Trong trường hợp đạt ngưỡng, máy chủ sẽ khóa tạm thời tài khoản liên quan

và kích hoạt thủ tục thơng báo cho người dùng về việc mất đồng bộ.

1.2.4.4 Thủ tục đồng bộ lại

Tại máy chủ, giá trị biến đếm (C) chỉ tăng sau mỗi lần thực hiện xác thực OTP

thành cơng. Cịn tại máy thiết bị cuối, giá trị của C có thể tăng bất cứ khi nào (do

</div>Trang 11<div class="page_container" data-page="11">

người dùng kích hoạt mà khơng sử dung ...). Do đó, giá tri biến đếm C trên máy chủ

và thiết bị cuối có thé bị lệch tại một thời điểm nào đó.

RFC 4226 khuyến nghị sử dụng tham số s (được gọi là look-ahead window) dé định giá trị mỗi lần biến đếm tăng. Bằng cách này, nếu so sánh thay OTP nhận được khơng khớp thì máy chủ sẽ tăng biến đếm C theo tham số s và kiểm tra lại xem đã khớp với OTP của đầu cuối chưa.

Giá trị tối đa của s được cài đặt đủ nhỏ dé tránh các tác động tiêu cực như bị

tan công từ chối dich vụ, giới hạn khả năng kẻ tan cơng đốn được OTP tiếp theo. Dù vậy giá trị tối đa của s cũng cần vừa đủ lớn đề thuận tiện cho việc sử dụng.

1.2.4.5 Sinh và quản lý khóa trong hệ thống

RFC 4226 đề cập tới phương án tạo và lưu trữ các khóa bí mật:

e©_ Khóa bí mật được tạo từ khóa mam (master seed). Nó sẽ được tạo chỉ khi có yêu cầu và khơng được lưu trữ. Khóa mầm cần được lưu trữ ở một hệ thống đủ an toàn như hệ thống HSM (Hardware Security Module);

e Khóa bí mật có thể được tạo ngẫu nhiên. RFC 4226 khuyến cáo tham khảo

RFC 4086 dé tạo một một khóa bí mật an tồn. Trong thực tế, có thé tạo ra

các khóa bị mật dựa trên thiết bị chuyên dụng hoặc phần mềm ví dụ như

dựa trên các hàm băm như SHA-1.

Ngồi ra, khóa bí mật cũng có thể được tạo bằng cách thêm nhân tổ xác thực như PIN hoặc mật khẩu, số điện thoại ... Khi này, khóa K được hình thành bang một giá trị mầm ngẫu nhiên kết hợp cùng một hoặc nhiều yêu tố xác thực ké trên.

1.3 Tổng kết chương

</div>Trang 12<div class="page_container" data-page="12">

CHƯƠNG 2. HỆ THÓNG PHÊ DUYỆT TÍN DỤNG

TRỰC TUYẾN VÀ VAN DE XÁC THỰC

2.1 Giới thiệu chung

Tùy theo quy mô và cách thức tổ chức bộ máy hành chính tại mỗi ngân hang, loại sản phẩm cho vay, chiến lược quản trị rủi ro của mỗi ngân hàng trong mỗi thời điểm khác nhau sẽ có quy trình phê duyệt tín dụng khác nhau nhưng có thê tổng hợp

thành 3 bước cơ bản:

Bước 1: Hình thành hồ sơ yêu cầu khoản vay Bước 2: Tham định khách hàng

Bước 3: Đưa ra quyết định cho vay và hợp đồng

2.2. Tong quan về hệ thống phê duyệt tín dung trực tuyến 2.3. Khảo sát một hệ thống phê duyệt tín dung trực tuyến

2.3.1 Giới thiệu ProcessMaker

ProcessMaker có nhiều tính năng, dưới đây là các tính năng cơ bản:

2.3.1.1 Quản lý các quy trình trong ProcessMaker

ProcessMaker sử dụng khái niệm Case dé quan lý các quy trình. Mỗi quy trình

trong doanh nghiệp tương ứng với một Case trong ProcessMaker. Tại cùng một thời

điểm ProcessMaker có thê chạy đồng thời rất nhiều phiên của cùng một Case. Ví dụ: cùng một thời điểm có 2 chi nhánh của ngân hàng cùng phải xử lý hồ sơ của 2 khách

hàng. Khi này, cả hai chi nhành cùng tham gia trong cùng một Case nhưng ở các

phiên khác nhau. Các thông tin trạng thái, dữ liệu trong các phiên độc lập với nhau.

Ngoài ra, ProcessMaker cũng sử dụng các biến trong Case dé cap nhat va chia sé

thông tin giữa các phiên và giữa các Case. Phan chính của Case là lưu đồ (workflow)

dé định nghĩa nội dung, thứ tự các bước, phân công người dùng thực hiện công việc

của mỗi bước. Lưu đồ trong Case được t6 chức theo BPMN 2.0 với các đối tượng

công việc (task), thủ tục con (sub-process), công so sánh (gateway), biến, các sự kiện,

các tài liệu...

</div>Trang 13<div class="page_container" data-page="13">

Trong Case sử dụng các mẫu biểu, các tài liệu dé người dùng nhập hoặc hiển

thị thơng tin. Việc thực hiện tính tốn với dữ liệu, tương tác với các hệ thong khác được thực hiện nhờ các hàm, biến và các chức năng khác như RESTful API, PHP

Trigger ...[ 12].

2.3.1.2 Các ham va biến trong ProcessMaker

2.3.1.3 Cho phép cac hé thong khác tích hợp cùng

2.3.1.4 Tích hợp với các hệ thống khác bằng PHP Triggers

Đây là tính năng chính mà luận văn tiến hành nghiên cứu nhằm phục vụ các mục đích: tích hợp ProcessMaker với các hệ thống bên ngồi trong q trình xây dựng hệ thống phê duyệt tín dụng trực tuyến và đưa OTP vào ứng dụng cùng

ProcessMaker như mục tiêu của luận văn.

PHP Trigger là các đoạn mã viết theo ngôn ngữ PHP được thêm vào trong các bước của Case. PHP có thé thực hiện các hàm đã được định nghĩa trong ProcessMaker

hoặc các ham trong các thư viện của PHP dé gia tăng khả năng kết nối và xử lý thơng

tin. Các hàm của PHP Trigger có thé sử dụng các biến trong Case hoặc biến của hệ thống ProcessMaker.

Thời điểm chạy hay điều kiện chạy (thực hiện) các PHP Trigger rất quan trọng. PHP Trigger có thé được đặt dé thực thi ở các thời điểm: Ngay trước khi một bước

nào đó được thực thi; Ngay sau khi một bước nào đó được thực thi; Ngay trước khi

người dùng được phân công thực hiện một công việc; Ngay trước khi chuyên qua một bước tiếp theo của Case; Ngay sau khi chuyên qua một bước tiếp theo của Case.