Chương 1: Vấn đề xác thực đối tác trong giao dịch dạy và học trực tuyến Trình bày các nguy cơ trong giao dịch trực tuyến, khái niệm cơ bản về xác thực, nhân tố xác thực, và một số phương pháp xác thực sử dụng hiện nay. Chương 2: Mật khẩu sử dụng một lần OTP và ma trận mật khẩu ngẫu nhiên Trình bày khái niệm về OTP, các biện pháp chuyển giao OTP, ma trận mật khẩu ngẫu nhiên và chuyển giao. Chương 3: Ứng dụng ma trận mật khẩu ngẫu nhiên trong việc quản lý đào tạo Trình bày mô hình hoạt động sử dụng ma trận mật khẩu ngẫu nhiên để chuyển giao OTP, các kết quả thử nghiệm của hệ thống. 4 5 6 7 8 9 10 11 dạy Người học có vai trò rất quan trọng khi mọi giao dịch được thực hiện hoàn toàn trong môi trường MỞ, cần phải được xác thực để đảm bảo tính bảo mật liên quan đến các vấn đề như điểm danh, giáo vụ giao đề thi, sinh viên nộp bài thi, giáo viên nộp điểm, giáo vụ thông báo điểm số.
Việc sử dụng các biện pháp được bảo mật – xác thực đối tác giao dịch chống mạo danh được nêu trên, đối với các đơn vị, tổ chức không lớn như các Khoa/ Bộ môn đào tạo, chỉ có kinh phí hoạt động hạn chế, mức độ đầu tư kỹ thuật và công nghệ không cao là không khả thi. 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 CHƯƠNG III: ỨNG DỤNG MA TRẬN MẬT KHẨU NGẪU NHIÊN TRONG VIỆC QUẢN LÝ ĐÀO TẠO 3. Thực trạng về yêu cầu xác thực đối tượng trong giao dịch trực tuyến trong quản lý Dạy và Học trực tuyến Trong lĩnh vực đào tạo, đào tạo trực tuyến ra đời như một cuộc cách mạng về dạy và học của thế kỷ 21. Ứng dụng những giải pháp tiên tiến của công nghệ để người dạy và người học có thể giao tiếp với nhau.
Ngày nay, người học có thể ngồi ở bất cứ đâu, bất cứ lúc nào cũng có thể tham gia việc học mà vẫn đạt được hiệu quả học tập tốt nhất thông qua công cụ hỗ trợ là máy tính và internet. Việc xác thực đối tác giao dịch trong việc dạy và học trực tuyến: Người quản lýNgười dạy, Người quản lýNgười học, Người dạyNgười học có vai trò rất quan trọng khi mọi giao dịch được thực hiện hoàn toàn trong môi trường MỞ, cần phải được xác thực để đảm bảo tính bảo mật liên quan đến các vấn đề như điểm danh, giao đề thi, nộp bài thi, thông báo điểm số,. Việc sử dụng các biện pháp xác thực đòi hỏi trang bị phần cứng công nghệ cao, đắt tiền và hệ thống tổ chức phức tạp trong giao dịch nội bộ đối với các đơn vị, tổ chức không lớn như các Khoa/ Bộ môn đào tạo, chỉ có kinh phí hoạt động hạn chế, mức độ đầu tư kỹ thuật và công nghệ không cao là hoàn toàn không khả thi. Trong quá trình thực hiện làm luận văn tốt nghiệp tác giả đã tiến hành nghiên cứu đề tài “Chuyển giao OTP bằng ma trận mật khẩu ngẫu nhiên ứng dụng để xác thực đối tác giao dịch trong quản lý dạy và học trực tuyến”, Đề tài có ý nghĩa thiết thực khi nghiên cứu sâu về ma trận mật khẩu ngẫu nhiên đã được một số tác giả đề xuất và sử dụng thử trong các công trình nghiên cứu liên quan.
Trong quá trình ngiên cứu dự định tổ chức triển khai thử nghiệm áp dụng trong một vài công đoạn trong đào tạo trực tuyến như: điểm danh lớp học trực tuyến, sinh viên nộp bài thi trực tuyến cho giáo viên, nộp học phí cho phòng kế toán tài vụ, giáo viên nộp điểm cho phòng đào tạo v. 29 Đề tài đã thử nghiệm xây dựng một số trong các phần mềm: - Sinh bảng ma trận mật khẩu ngẫu nhiên - Mỗi lần bắt đầu giao dịch, tra cứu mã định danh của đối tác giao dịch. tìm bảng ma trận tương ứng đã lưu rồi tự động gửi một bảng hỏi đến cho đối tác - Khi nhận được trả lời, tiếp tục tìm kiếm để so sánh sự trùng khớp hay không giữa trả lời của đối tác với ma trận đã lưu và từ đó chấp nhận hay bác bỏ giao dịch. Điểm mới của đề tài đã đóng góp là đề xuất sử dụng Thẻ ma trận ngẫu nhiên để chuyển giao OTP: đây là một phương tiện đơn giản, dễ chế tạo, sử dụng và giá thành hoàn toàn không đáng kể mà đến nay hầu như chưa được sử dụng rộng rãi.
Giải pháp sử dụng mật khẩu ngẫu nhiên Thẻ ma trận mật khẩu ngẫu nhiên được cấp cho giảng viên, sinh viên trực tiếp tại khoa. Giảng viên, sinh viên có trách nhiệm cam kết tự bảo vệ bảng mật khẩu OTP của mình. Một ma trận mật khẩu ngẫu nhiên là một bảng hình chữ nhật có m cột thường đánh số thứ tự từ 1, 2,…đến m và n hàng thường đánh số bằng các ký tự A, B, C, … Chẳng hạn ở hình dưới đây ta có một bảng gồm 8 cột, đánh số 1, 2, 3, 4, 5, 6, 7, 8 và 8 hàng, đánh số A, B, C, D, E,F, G, H. Như vậy trong bảng có m x n ô, trong hình dưới đây là : 8 x 8 = 64 ô.
Tại mỗi ô trong bảng ta ghi 02 ký tự bất kỳ - có thể lặp lại) lấy tùy ý trong dãy gồm 26 chữ cái tiếng Anh và 9 con số - không dùng số 0 vì sợ lẫn với chữ o – tổng cộng có 35 ký tự: 30 Hình 7 – Bảng ma trận mật khẩu ngẫu nhiên Cách sử dụng Khi người quản lý hệ thống A nhận được yêu cầu giao dịch của đối tác B qua đăng nhập website (dùng mật khẩu đã đăng ký) thì phía quản lý sau khi xác nhận quyền giao dịch qua tên người dùng và mật khẩu sẽ phải thẩm tra tính chân thực của người dùng, chống kẻ xấu đánh cắp được mật khẩu của B mà mạo danh giao dịch. A gửi cho B một thông báo yêu cầu nhập một mật khẩu giao dịch được A chọn ngẫu nhiên từ một số ô trong ma trận (Số ô chọn càng nhiều thì tính bảo mật càng cao). Chẳng hạn, có thể mô tả sơ đồ giao dịch như sau: - Đối tác B yêu cầu kết nối giao dịch - Phía B phải khai báo tên người dùng và mật khẩu đã được cấp hay đã đăng ký. - Bên quản lý A kiểm tra thấy đúng có tên người dùng B và mật khẩu kèm theo.
Thẩm tra chống mạo danh bằng mật khẩu giao dịch 1 lần: Chọn ngẫu nhiên gửi đến cho B một số chẳng hạn là 3 tên ô bất kỳ trong ma trận mật khẩu đã được cấp cho B, ví dụ là: 31 B3 = ?, D2 = ?, A4 = ?. Yêu cầu B trong thời gian rất ngắn – thường là 15 đến 30 giây, tra bảng đã được cấp của mình để điền vào các ô đó gửi cho A. - Căn cứ vào bảng ma trận được cấp, B điền và gửi đến A: B3 = DO, D2 = Ig, A4 = E4 - A đối chiếu bảng ma trận của B đã lưu tại hệ thống quản lý kiểm tra thấy đúng: Nhận dạng người đang thực hiện giao dịch của mình đúng là B. Chấp nhận cho phép tiếp tục giao dịch.
Nếu điền sai hoặc quá thời hạn qui định thì giao dịch bị ngắt (phải đăng nhập lại nếu cần). Giả sử có người C, mạo danh B gửi yêu cầu giao dịch, khi A đòi hỏi khai báo mật khẩu thì trong khoảng thời gian 15 – 30 giây việc phải dò tìm ra được 1 trong số 68719476736 khả năng có thể có của mật khẩu là điều hầu như chắc chắn không thể làm được! Để sử dụng ma trận mật khẩu ngẫu nhiên nhận dạng, các thành viên (được cấp quyền) khi truy cập vào một website của hệ thống quản lý đào tạo, chẳng hạn như hệ thống CMTS hiện đang sử dụng tại Khoa Công nghệ thông tin (và một vài khoa bạn) trong Trường Đại học Mở Hà Nội trong phân hệ quản lý thông tin người dùng của Website cần lưu trữ thêm thông tin về bảng ma trận ngẫu nhiên đã được cấp cho người đó. Ngoài ra cần tích hợp thêm một phần mềm lựa chọn ngẫu nhiên, mỗi lần được kích hoạt sẽ làm việc để chọn ra 3 ô (hoặc một số ô tùy qui định) bất kỳ trong số 64 ô của bảng, gửi lại cho đối tác đang đề nghị giao dịch. Ưu điểm nổi bật của phương pháp chuyển giao bảng ma trận mật khẩu này chính là chỉ kiểm soát các giao dịch thông qua website.
Điều này rất phù hợp với điều kiện thực tế của các hệ quản lý đào tạo. Người yêu cầu giao dịch vẫn được cấp một ma trận cấp cho từng người trong danh sách đã đăng ký. Khi nhận được yêu cầu của giáo viên hoặc của sinh viên đăng ký học phần người trực ban 32 quản lý sẽ chọn tùy ý (giả ngẫu nhiên) 3 trong số 64 ô của bảng , thông báo lại cho đối tác để yêu cầu điền thông tin trả lời Để tăng độ khó đối với việc dò tìm của kẻ xấu, ta có thể tăng thêm số ô trong mỗi bảng, hoặc trong mỗi ô không chỉ ghi 1 ký tự mà có thể dùng 3,4 ký tự chẳng hạn: bv6, 3y7,…và mỗi lần yêu cầu trả lời không chỉ là 3 ô ngẫu nhiên mà có thể tăng số ô ngẫu nhiên lên: 4, 5… 3. Chương trình demo 3.1 Giới thiệu bài toán Hệ thống đào tạo trực tuyến của nhà trường cần tổ chức triển khai áp dụng trong một vài công đoạn trong đào tạo trực tuyến như: điểm danh lớp học trực tuyến, sinh viên nộp bài thi trực tuyến cho giáo viên, nộp học phí cho phòng kế toán tài vụ, giáo viên nộp điểm cho phòng đào tạo v.
Do vậy yêu cầu: Mỗi lần bắt đầu giao dịch yêu cầu xác nhận bảo mật để đảm bảo an toàn trong mỗi lần giao dịch của sinh viên, giảng viên. Đảm bảo được sự an toàn, thuận tiện, nhanh chóng trong việc thực hiện giao dịch cũng như xử lý các tình huống phát sinh của giao dịch. Với yêu cầu đó thì hệ thống cần đáp ứng được: - Cấp Thẻ ma trận mật khẩu ngẫu nhiên cho giảng viên, sinh viên trực tiếp tại khoa. Giảng viên, sinh viên có trách nhiệm cam kết tự bảo vệ bảng mật khẩu OTP của mình.
- Khi giao dịch với hệ thống thì ngoài đăng nhập hệ thống cần xác nhận mã OTP theo Thẻ ma trận đã cấp để vào các chức năng giao dịch hệ thống. Nếu mã OTP nhập 3 lần không chính xác, hệ thống sẽ hủy giao dịch và yêu cầu đăng nhập lại.