Chuyển giao OTP bằng Ma Trận Mật Khẩu Ngẫu Nhiên trong Quản lý Dạy và Học Trực Tuyến

Chuyển giao OTP bằng ma trận mật khẩu ngẫu nhiên tăng cường bảo mật xác thực đối tác trong quản lý dạy và học trực tuyến. Giải pháp an toàn, hiệu quả.

Trường đại học

Trường Đại Học Mở Hà Nội

Chuyên ngành

Công Nghệ Thông Tin

Người đăng

Ẩn danh

Thể loại

Luận Văn Tốt Nghiệp

2023

50
2
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI NÓI ĐẦU

1. CHƯƠNG 1: VẤN ĐỀ XÁC THỰC ĐỐI TÁC TRONG GIAO DỊCH DẠY VÀ HỌC TRỰC TUYẾN

1.1. Những nguy cơ trong giao dịch trực tuyến và trong quản lý Dạy và Học trực tuyến

1.2. Vấn đề xác thực đối tác để chống nguy cơ mạo danh

1.3. Một số biện pháp xác thực

1.3.1. Xác thực dựa trên định danh người sử dụng (Username) và mật khẩu (Password)

1.3.2. Sử dụng giao thức bắt tay có thử thách (Challenge Handshake Authentication Protocol – CHAP)

1.3.3. Xác thực sử dụng token

1.3.4. Xác thực áp dụng các phương pháp nhận dạng sinh trắc học (Biometrics)

1.3.5. Phương thức xác thực lẫn nhau (Mutual Authentication)

1.3.6. Xác thực đa yếu tố

1.3.7. Chữ ký điện tử

1.4. Kết luận chương 1

2. CHƯƠNG II: MẬT KHẨU SỬ DỤNG MỘT LẦN OTP VÀ MA TRẬN MẬT KHẨU NGẪU NHIÊN

2.1. Xác thực đối tác bằng OTP

2.1.1. Khái niệm mật khẩu OTP

2.1.2. Mục đích và ý nghĩa của mật khẩu OTP

2.2. Các biện pháp chuyển giao OTP

2.3. Chuyển giao OTP bằng tin nhắn SMS

2.4. Tạo OTP sử dụng token

2.5. Tạo OTP sử dụng điện thoại di động

2.6. Chuyển giao OTP sử dụng email

2.7. Ma trận mật khẩu ngẫu nhiên sử dụng để chuyển giao OTP

2.8. Kết luận chương 2

3. CHƯƠNG III: ỨNG DỤNG MA TRẬN MẬT KHẨU NGẪU NHIÊN TRONG VIỆC QUẢN LÝ ĐÀO TẠO

3.1. Thực trạng về yêu cầu xác thực đối tượng trong giao dịch trực tuyến trong quản lý Dạy và Học trực tuyến

3.2. Giải pháp sử dụng mật khẩu ngẫu nhiên

3.3. Chương trình demo

3.3.1. Giới thiệu bài toán

3.3.2. Phương pháp triển khai

3.3.3. Xây dựng phần mềm

3.3.4. Thử nghiệm và kết quả

KẾT LUẬN VÀ CÁC KIẾN NGHỊ

Tài liệu tham khảo

DANH MỤC HÌNH ẢNH

Tóm tắt

I. Tổng Quan về Xác Thực OTP bằng Ma Trận Mật Khẩu

Trong bối cảnh E-Learning ngày càng phát triển, việc đảm bảo an toànbảo mật cho thông tin người dùng trở nên vô cùng quan trọng. Các phương pháp xác thực truyền thống, dựa trên username và password, ngày càng dễ bị tấn công. Do đó, nhu cầu về các giải pháp xác thực đa yếu tố (MFA) mạnh mẽ hơn là tất yếu. Xác thực OTP (One-Time Password) là một giải pháp phổ biến, nhưng việc chuyển giao OTP an toàn cũng là một thách thức. Ma trận mật khẩu ngẫu nhiên được đề xuất như một phương tiện đơn giản, dễ sử dụng và chi phí thấp để chuyển giao OTP một cách an toàn. Đề tài nghiên cứu này tập trung vào việc ứng dụng ma trận mật khẩu để xác thực đối tác giao dịch trong quản lý dạy và học trực tuyến, nhằm tăng cường bảo mật E-Learningbảo vệ tài khoản E-Learning khỏi các nguy cơ tấn công E-Learning. Theo tài liệu nghiên cứu, việc sử dụng Thẻ ma trận ngẫu nhiên để chuyển giao OTP, đã được nghiên cứu đầy đủ về mặt lý thuyết bảo mật và là một phương tiện đơn giản, dễ chế tạo, sử dụng và giá thành hoàn toàn không đáng kể mà đến nay hầu như chưa được sử dụng rộng rãi.

1.1. Giới thiệu về E Learning Security và Tầm Quan Trọng

E-Learning security là một lĩnh vực quan trọng, bao gồm các biện pháp bảo vệ hệ thống, dữ liệu và người dùng khỏi các mối đe dọa an ninh mạng. Với sự gia tăng của các khóa học trực tuyến, việc đảm bảo bảo mật tài khoản E-Learning, thông tin cá nhân và nội dung học tập trở nên vô cùng quan trọng. Các biện pháp xác thực mạnh mẽ là một phần không thể thiếu của một hệ thống E-Learning an toàn. Việc sử dụng các biện pháp được bảo mật – xác thực đối tác giao dịch chống mạo danh được nêu trên, đối với các đơn vị, tổ chức không lớn như các Khoa/ Bộ môn đào tạo, chỉ có kinh phí hoạt động hạn chế, mức độ đầu tư kỹ thuật và công nghệ không cao là không khả thi.

1.2. Xác thực OTP và Ưu Điểm trong Môi Trường E Learning

Xác thực OTP (One-Time Password) là một phương pháp xác thực đa yếu tố (MFA) sử dụng một mã số duy nhất, chỉ có hiệu lực trong một khoảng thời gian ngắn. Điều này giúp ngăn chặn các cuộc tấn công sử dụng mật khẩu bị đánh cắp hoặc đoán. Trong môi trường E-Learning, xác thực OTP có thể được sử dụng để bảo vệ tài khoản E-Learning của sinh viên, giảng viên và nhân viên, cũng như để xác thực các giao dịch quan trọng như nộp bài, chấm điểm và thanh toán học phí. Việc chuyển giao OTP trên thế giới và trong nước cho đến nay đều có những nhược điểm về qui mô ứng dụng về công nghệ và kinh phí.

II. Vấn Đề Bảo Mật E Learning Nguy Cơ và Giải Pháp MFA

Các hệ thống E-Learning đối mặt với nhiều nguy cơ bảo mật, từ tấn công phishing đến tấn công brute-force. Việc xác thực yếu kém có thể dẫn đến việc tài khoản E-Learning bị xâm nhập, dữ liệu bị đánh cắp và hệ thống bị phá hoại. Xác thực đa yếu tố (Multi-Factor Authentication - MFA) là một giải pháp hiệu quả để giảm thiểu các nguy cơ này. MFA yêu cầu người dùng cung cấp nhiều hơn một yếu tố xác thực, ví dụ như mật khẩu, mã OTP, hoặc dữ liệu sinh trắc học, trước khi được phép truy cập vào hệ thống. Điều này làm cho việc tấn công trở nên khó khăn hơn nhiều. Các hệ thống E-Learning đối mặt với nhiều nguy cơ bảo mật, từ tấn công phishing đến tấn công brute-force. Việc xác thực yếu kém có thể dẫn đến việc tài khoản E-Learning bị xâm nhập, dữ liệu bị đánh cắp và hệ thống bị phá hoại.

2.1. Các Mối Đe Dọa An Ninh Mạng Phổ Biến trong E Learning

Các mối đe dọa an ninh mạng trong E-Learning bao gồm: Phishing (lừa đảo), Brute-force (dò mật khẩu), Malware (phần mềm độc hại), SQL injection (tấn công cơ sở dữ liệu), Cross-site scripting (XSS) (tấn công chèn mã độc). Những cuộc tấn công này có thể dẫn đến việc tài khoản E-Learning bị xâm nhập, dữ liệu cá nhân bị đánh cắp, và hệ thống bị phá hoại. Để sử dụng ma trận mật khẩu ngẫu nhiên nhận dạng, các thành viên (được cấp quyền) khi truy cập vào một website của hệ thống quản lý đào tạo, chẳng hạn như hệ thống CMTS hiện đang sử dụng tại Khoa Công nghệ thông tin (và một vài khoa bạn) trong Trường Đại học Mở Hà Nội trong phân hệ quản lý thông tin người dùng của Website cần lưu trữ thêm thông tin về bảng ma trận ngẫu nhiên đã được cấp cho người đó.

2.2. Vì Sao Cần Multi Factor Authentication MFA cho E Learning

Multi-Factor Authentication (MFA) là cần thiết cho E-Learning vì nó cung cấp một lớp bảo mật bổ sung, làm cho việc tấn công trở nên khó khăn hơn nhiều. Ngay cả khi mật khẩu bị đánh cắp, kẻ tấn công vẫn cần có thêm yếu tố xác thực, ví dụ như mã OTP, để có thể truy cập vào tài khoản E-Learning. Việc này giúp bảo vệ thông tin cá nhân, tài sản trí tuệ và uy tín của tổ chức.

III. Ma Trận Mật Khẩu Phương Pháp Xác Thực OTP An Toàn

Ma trận mật khẩu là một bảng gồm các ký tự hoặc số được sắp xếp theo hàng và cột. Người dùng được cung cấp một ma trận mật khẩu riêng và khi cần xác thực, hệ thống sẽ yêu cầu người dùng nhập các ký tự từ các vị trí cụ thể trong ma trận. Điều này tạo ra một mã OTP duy nhất cho mỗi lần xác thực. Việc sử dụng ma trận mật khẩu giúp tăng cường bảo mật so với việc sử dụng mật khẩu tĩnh, vì kẻ tấn công cần phải có cả mật khẩu và ma trận mật khẩu để có thể truy cập vào hệ thống. Thẻ ma trận mật khẩu ngẫu nhiên được cấp cho giảng viên, sinh viên trực tiếp tại khoa. Giảng viên, sinh viên có trách nhiệm cam kết tự bảo vệ bảng mật khẩu OTP của mình.

3.1. Cơ Chế Hoạt Động của Password Matrix Authentication

Password Matrix Authentication hoạt động bằng cách yêu cầu người dùng nhập các ký tự từ các vị trí cụ thể trong ma trận mật khẩu của họ. Các vị trí này được tạo ra ngẫu nhiên bởi hệ thống và thay đổi mỗi lần xác thực. Điều này tạo ra một mã OTP duy nhất, khó đoán và khó bị tấn công. Một ma trận mật khẩu ngẫu nhiên là một bảng hình chữ nhật có m cột thường đánh số thứ tự từ 1, 2,…đến m và n hàng thường đánh số bằng các ký tự A, B, C, … Chẳng hạn ở hình dưới đây ta có một bảng gồm 8 cột, đánh số 1, 2, 3, 4, 5, 6, 7, 8 và 8 hàng, đánh số A, B, C, D, E,F, G, H. Như vậy trong bảng có m x n ô, trong hình dưới đây là : 8 x 8 = 64 ô.

3.2. Ưu Điểm của OTP Matrix so với Các Phương Pháp Khác

OTP Matrix có nhiều ưu điểm so với các phương pháp xác thực khác, bao gồm: Chi phí thấp, Dễ sử dụng, Khả năng chống tấn công cao, Tính linh hoạt. Đặc biệt, OTP Matrix phù hợp với các tổ chức có nguồn lực hạn chế, nhưng vẫn muốn tăng cường bảo mật cho hệ thống E-Learning. Ưu điểm nổi bật của phương pháp chuyển giao bảng ma trận mật khẩu này chính là chỉ kiểm soát các giao dịch thông qua website. Điều này rất phù hợp với điều kiện thực tế của các hệ quản lý đào tạo.

IV. Hướng Dẫn Triển Khai Xác Thực OTP Bằng Ma Trận Mật Khẩu

Để triển khai xác thực OTP bằng ma trận mật khẩu cho E-Learning, cần thực hiện các bước sau: Tạo ma trận mật khẩu cho từng người dùng, Lưu trữ ma trận mật khẩu một cách an toàn, Phát triển hệ thống xác thực yêu cầu người dùng nhập mã OTP từ ma trận, Kiểm tra và đánh giá hiệu quả của hệ thống. Việc triển khai xác thực OTP bằng ma trận mật khẩu có thể giúp tăng cường đáng kể bảo mật cho hệ thống E-Learning. Khi người quản lý hệ thống A nhận được yêu cầu giao dịch của đối tác B qua đăng nhập website (dùng mật khẩu đã đăng ký) thì phía quản lý sau khi xác nhận quyền giao dịch qua tên người dùng và mật khẩu sẽ phải thẩm tra tính chân thực của người dùng, chống kẻ xấu đánh cắp được mật khẩu của B mà mạo danh giao dịch.

4.1. Các Bước Cần Thiết để Thiết Lập Hệ Thống OTP Matrix

Các bước để thiết lập hệ thống OTP Matrix bao gồm: Chọn kích thước và nội dung của ma trận mật khẩu, Tạo ma trận mật khẩu ngẫu nhiên cho từng người dùng, Lưu trữ ma trận mật khẩu trong cơ sở dữ liệu được mã hóa, Phát triển giao diện người dùng để nhập mã OTP, Tích hợp hệ thống xác thực vào hệ thống E-Learning.

4.2. Tích Hợp Xác Thực OTP vào Hệ Thống E Learning Hiện Tại

Để tích hợp xác thực OTP vào hệ thống E-Learning hiện tại, cần sửa đổi mã nguồn của hệ thống để yêu cầu người dùng nhập mã OTP sau khi nhập mật khẩu. Mã OTP này phải được so sánh với mã OTP được tạo ra từ ma trận mật khẩu của người dùng. Nếu hai mã OTP khớp nhau, người dùng sẽ được phép truy cập vào hệ thống.

V. Ứng Dụng Thực Tế Bảo Mật Tài Khoản E Learning với OTP

Nghiên cứu này đã triển khai thử nghiệm ứng dụng ma trận mật khẩu để xác thực trong một số công đoạn của đào tạo trực tuyến, như điểm danh, nộp bài thi, và chấm điểm. Kết quả cho thấy phương pháp này có tiềm năng lớn trong việc tăng cường bảo mật cho hệ thống E-Learning. Điểm mới của đề tài đã đóng góp là đề xuất sử dụng Thẻ ma trận ngẫu nhiên để chuyển giao OTP: đây là một phương tiện đơn giản, dễ chế tạo, sử dụng và giá thành hoàn toàn không đáng kể mà đến nay hầu như chưa được sử dụng rộng rãi.

5.1. Các Tình Huống Ứng Dụng OTP Matrix Trong E Learning

OTP Matrix có thể được sử dụng trong nhiều tình huống trong E-Learning, bao gồm: Đăng nhập tài khoản E-Learning, Nộp bài tập, Thi trực tuyến, Thanh toán học phí, Thay đổi thông tin cá nhân.

5.2. Đánh Giá Hiệu Quả và Tính Khả Thi của Phương Pháp

Việc đánh giá hiệu quả và tính khả thi của phương pháp cần dựa trên các tiêu chí như: Mức độ bảo mật, Dễ sử dụng, Chi phí triển khai, Khả năng mở rộng, Khả năng tương thích với hệ thống hiện tại. Kết quả nghiên cứu cho thấy ma trận mật khẩu là một giải pháp xác thực tiềm năng cho E-Learning.

VI. Kết Luận và Tương Lai của Xác Thực OTP cho E Learning

Xác thực OTP bằng ma trận mật khẩu là một giải pháp tiềm năng để tăng cường bảo mật cho hệ thống E-Learning. Tuy nhiên, cần tiếp tục nghiên cứu và phát triển để hoàn thiện phương pháp này và đáp ứng các yêu cầu bảo mật ngày càng cao. Việc kết hợp ma trận mật khẩu với các công nghệ xác thực khác, như sinh trắc học, có thể tạo ra các hệ thống xác thực mạnh mẽ hơn nữa. Sau một thời gian nghiên cứu, tìm hiểu và được sự hướng dẫn, luận văn đã hoàn thành và đạt được 1 số nội dung: - Tìm hiểu được các phương pháp chuyển giao OTP - Sử dụng ma trận mật khẩu ngẫu nhiên để chuyển giao OTP - Xây dựng chương trình mô phỏng thể hiện chuyển giao OTP bằng ma trận mật khẩu ngẫu nhiên OTP là một biện pháp bảo mật rất quen thuộc – hoàn toàn không có gì mới về lý thuyết và ứng dụng.

6.1. Tóm Tắt Ưu Điểm và Hạn Chế của Ma Trận Mật Khẩu

Ma trận mật khẩu có ưu điểm là chi phí thấp, dễ sử dụng, và khả năng chống tấn công cao. Tuy nhiên, nó cũng có một số hạn chế, như cần người dùng mang theo ma trận mật khẩu, và có thể bị tấn công bằng cách chụp ảnh ma trận. Để giảm thiểu các hạn chế này, cần áp dụng các biện pháp bảo mật bổ sung.

6.2. Hướng Nghiên Cứu Phát Triển E Learning Authentication Tương Lai

Các hướng nghiên cứu phát triển E-Learning authentication tương lai bao gồm: Kết hợp ma trận mật khẩu với sinh trắc học, Sử dụng trí tuệ nhân tạo để phát hiện tấn công, Phát triển các phương pháp xác thực không cần mật khẩu (passwordless authentication), Tăng cường bảo mật cho các thiết bị di động. Kết quả nghiên cứu đã được sử dụng trên qui mô nhỏ cho việc nhận diện đối tác trên một vài chức năng đào tạo trực tuyến tại vài lớp học do tác giả đang đảm nhiệm.

20/09/2025

Trích đoạn nội dung tài liệu

Chương 1: Vấn đề xác thực đối tác trong giao dịch dạy và học trực tuyến Trình bày các nguy cơ trong giao dịch trực tuyến, khái niệm cơ bản về xác thực, nhân tố xác thực, và một số phương pháp xác thực sử dụng hiện nay. Chương 2: Mật khẩu sử dụng một lần OTP và ma trận mật khẩu ngẫu nhiên Trình bày khái niệm về OTP, các biện pháp chuyển giao OTP, ma trận mật khẩu ngẫu nhiên và chuyển giao. Chương 3: Ứng dụng ma trận mật khẩu ngẫu nhiên trong việc quản lý đào tạo Trình bày mô hình hoạt động sử dụng ma trận mật khẩu ngẫu nhiên để chuyển giao OTP, các kết quả thử nghiệm của hệ thống. 4 5 6 7 8 9 10 11 dạy  Người học có vai trò rất quan trọng khi mọi giao dịch được thực hiện hoàn toàn trong môi trường MỞ, cần phải được xác thực để đảm bảo tính bảo mật liên quan đến các vấn đề như điểm danh, giáo vụ giao đề thi, sinh viên nộp bài thi, giáo viên nộp điểm, giáo vụ thông báo điểm số.

Việc sử dụng các biện pháp được bảo mật – xác thực đối tác giao dịch chống mạo danh được nêu trên, đối với các đơn vị, tổ chức không lớn như các Khoa/ Bộ môn đào tạo, chỉ có kinh phí hoạt động hạn chế, mức độ đầu tư kỹ thuật và công nghệ không cao là không khả thi. 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 CHƯƠNG III: ỨNG DỤNG MA TRẬN MẬT KHẨU NGẪU NHIÊN TRONG VIỆC QUẢN LÝ ĐÀO TẠO 3. Thực trạng về yêu cầu xác thực đối tượng trong giao dịch trực tuyến trong quản lý Dạy và Học trực tuyến Trong lĩnh vực đào tạo, đào tạo trực tuyến ra đời như một cuộc cách mạng về dạy và học của thế kỷ 21. Ứng dụng những giải pháp tiên tiến của công nghệ để người dạy và người học có thể giao tiếp với nhau.

Ngày nay, người học có thể ngồi ở bất cứ đâu, bất cứ lúc nào cũng có thể tham gia việc học mà vẫn đạt được hiệu quả học tập tốt nhất thông qua công cụ hỗ trợ là máy tính và internet. Việc xác thực đối tác giao dịch trong việc dạy và học trực tuyến: Người quản lýNgười dạy, Người quản lýNgười học, Người dạyNgười học có vai trò rất quan trọng khi mọi giao dịch được thực hiện hoàn toàn trong môi trường MỞ, cần phải được xác thực để đảm bảo tính bảo mật liên quan đến các vấn đề như điểm danh, giao đề thi, nộp bài thi, thông báo điểm số,. Việc sử dụng các biện pháp xác thực đòi hỏi trang bị phần cứng công nghệ cao, đắt tiền và hệ thống tổ chức phức tạp trong giao dịch nội bộ đối với các đơn vị, tổ chức không lớn như các Khoa/ Bộ môn đào tạo, chỉ có kinh phí hoạt động hạn chế, mức độ đầu tư kỹ thuật và công nghệ không cao là hoàn toàn không khả thi. Trong quá trình thực hiện làm luận văn tốt nghiệp tác giả đã tiến hành nghiên cứu đề tài “Chuyển giao OTP bằng ma trận mật khẩu ngẫu nhiên ứng dụng để xác thực đối tác giao dịch trong quản lý dạy và học trực tuyến”, Đề tài có ý nghĩa thiết thực khi nghiên cứu sâu về ma trận mật khẩu ngẫu nhiên đã được một số tác giả đề xuất và sử dụng thử trong các công trình nghiên cứu liên quan.

Trong quá trình ngiên cứu dự định tổ chức triển khai thử nghiệm áp dụng trong một vài công đoạn trong đào tạo trực tuyến như: điểm danh lớp học trực tuyến, sinh viên nộp bài thi trực tuyến cho giáo viên, nộp học phí cho phòng kế toán tài vụ, giáo viên nộp điểm cho phòng đào tạo v. 29 Đề tài đã thử nghiệm xây dựng một số trong các phần mềm: - Sinh bảng ma trận mật khẩu ngẫu nhiên - Mỗi lần bắt đầu giao dịch, tra cứu mã định danh của đối tác giao dịch. tìm bảng ma trận tương ứng đã lưu rồi tự động gửi một bảng hỏi đến cho đối tác - Khi nhận được trả lời, tiếp tục tìm kiếm để so sánh sự trùng khớp hay không giữa trả lời của đối tác với ma trận đã lưu và từ đó chấp nhận hay bác bỏ giao dịch. Điểm mới của đề tài đã đóng góp là đề xuất sử dụng Thẻ ma trận ngẫu nhiên để chuyển giao OTP: đây là một phương tiện đơn giản, dễ chế tạo, sử dụng và giá thành hoàn toàn không đáng kể mà đến nay hầu như chưa được sử dụng rộng rãi.

Giải pháp sử dụng mật khẩu ngẫu nhiên Thẻ ma trận mật khẩu ngẫu nhiên được cấp cho giảng viên, sinh viên trực tiếp tại khoa. Giảng viên, sinh viên có trách nhiệm cam kết tự bảo vệ bảng mật khẩu OTP của mình. Một ma trận mật khẩu ngẫu nhiên là một bảng hình chữ nhật có m cột thường đánh số thứ tự từ 1, 2,…đến m và n hàng thường đánh số bằng các ký tự A, B, C, … Chẳng hạn ở hình dưới đây ta có một bảng gồm 8 cột, đánh số 1, 2, 3, 4, 5, 6, 7, 8 và 8 hàng, đánh số A, B, C, D, E,F, G, H. Như vậy trong bảng có m x n ô, trong hình dưới đây là : 8 x 8 = 64 ô.

Tại mỗi ô trong bảng ta ghi 02 ký tự bất kỳ - có thể lặp lại) lấy tùy ý trong dãy gồm 26 chữ cái tiếng Anh và 9 con số - không dùng số 0 vì sợ lẫn với chữ o – tổng cộng có 35 ký tự: 30 Hình 7 – Bảng ma trận mật khẩu ngẫu nhiên Cách sử dụng Khi người quản lý hệ thống A nhận được yêu cầu giao dịch của đối tác B qua đăng nhập website (dùng mật khẩu đã đăng ký) thì phía quản lý sau khi xác nhận quyền giao dịch qua tên người dùng và mật khẩu sẽ phải thẩm tra tính chân thực của người dùng, chống kẻ xấu đánh cắp được mật khẩu của B mà mạo danh giao dịch. A gửi cho B một thông báo yêu cầu nhập một mật khẩu giao dịch được A chọn ngẫu nhiên từ một số ô trong ma trận (Số ô chọn càng nhiều thì tính bảo mật càng cao). Chẳng hạn, có thể mô tả sơ đồ giao dịch như sau: - Đối tác B yêu cầu kết nối giao dịch - Phía B phải khai báo tên người dùng và mật khẩu đã được cấp hay đã đăng ký. - Bên quản lý A kiểm tra thấy đúng có tên người dùng B và mật khẩu kèm theo.

Thẩm tra chống mạo danh bằng mật khẩu giao dịch 1 lần: Chọn ngẫu nhiên gửi đến cho B một số chẳng hạn là 3 tên ô bất kỳ trong ma trận mật khẩu đã được cấp cho B, ví dụ là: 31 B3 = ?, D2 = ?, A4 = ?. Yêu cầu B trong thời gian rất ngắn – thường là 15 đến 30 giây, tra bảng đã được cấp của mình để điền vào các ô đó gửi cho A. - Căn cứ vào bảng ma trận được cấp, B điền và gửi đến A: B3 = DO, D2 = Ig, A4 = E4 - A đối chiếu bảng ma trận của B đã lưu tại hệ thống quản lý kiểm tra thấy đúng: Nhận dạng người đang thực hiện giao dịch của mình đúng là B. Chấp nhận cho phép tiếp tục giao dịch.

Nếu điền sai hoặc quá thời hạn qui định thì giao dịch bị ngắt (phải đăng nhập lại nếu cần). Giả sử có người C, mạo danh B gửi yêu cầu giao dịch, khi A đòi hỏi khai báo mật khẩu thì trong khoảng thời gian 15 – 30 giây việc phải dò tìm ra được 1 trong số 68719476736 khả năng có thể có của mật khẩu là điều hầu như chắc chắn không thể làm được! Để sử dụng ma trận mật khẩu ngẫu nhiên nhận dạng, các thành viên (được cấp quyền) khi truy cập vào một website của hệ thống quản lý đào tạo, chẳng hạn như hệ thống CMTS hiện đang sử dụng tại Khoa Công nghệ thông tin (và một vài khoa bạn) trong Trường Đại học Mở Hà Nội trong phân hệ quản lý thông tin người dùng của Website cần lưu trữ thêm thông tin về bảng ma trận ngẫu nhiên đã được cấp cho người đó. Ngoài ra cần tích hợp thêm một phần mềm lựa chọn ngẫu nhiên, mỗi lần được kích hoạt sẽ làm việc để chọn ra 3 ô (hoặc một số ô tùy qui định) bất kỳ trong số 64 ô của bảng, gửi lại cho đối tác đang đề nghị giao dịch. Ưu điểm nổi bật của phương pháp chuyển giao bảng ma trận mật khẩu này chính là chỉ kiểm soát các giao dịch thông qua website.

Điều này rất phù hợp với điều kiện thực tế của các hệ quản lý đào tạo. Người yêu cầu giao dịch vẫn được cấp một ma trận cấp cho từng người trong danh sách đã đăng ký. Khi nhận được yêu cầu của giáo viên hoặc của sinh viên đăng ký học phần người trực ban 32 quản lý sẽ chọn tùy ý (giả ngẫu nhiên) 3 trong số 64 ô của bảng , thông báo lại cho đối tác để yêu cầu điền thông tin trả lời Để tăng độ khó đối với việc dò tìm của kẻ xấu, ta có thể tăng thêm số ô trong mỗi bảng, hoặc trong mỗi ô không chỉ ghi 1 ký tự mà có thể dùng 3,4 ký tự chẳng hạn: bv6, 3y7,…và mỗi lần yêu cầu trả lời không chỉ là 3 ô ngẫu nhiên mà có thể tăng số ô ngẫu nhiên lên: 4, 5… 3. Chương trình demo 3.1 Giới thiệu bài toán Hệ thống đào tạo trực tuyến của nhà trường cần tổ chức triển khai áp dụng trong một vài công đoạn trong đào tạo trực tuyến như: điểm danh lớp học trực tuyến, sinh viên nộp bài thi trực tuyến cho giáo viên, nộp học phí cho phòng kế toán tài vụ, giáo viên nộp điểm cho phòng đào tạo v.

Do vậy yêu cầu: Mỗi lần bắt đầu giao dịch yêu cầu xác nhận bảo mật để đảm bảo an toàn trong mỗi lần giao dịch của sinh viên, giảng viên. Đảm bảo được sự an toàn, thuận tiện, nhanh chóng trong việc thực hiện giao dịch cũng như xử lý các tình huống phát sinh của giao dịch. Với yêu cầu đó thì hệ thống cần đáp ứng được: - Cấp Thẻ ma trận mật khẩu ngẫu nhiên cho giảng viên, sinh viên trực tiếp tại khoa. Giảng viên, sinh viên có trách nhiệm cam kết tự bảo vệ bảng mật khẩu OTP của mình.

- Khi giao dịch với hệ thống thì ngoài đăng nhập hệ thống cần xác nhận mã OTP theo Thẻ ma trận đã cấp để vào các chức năng giao dịch hệ thống. Nếu mã OTP nhập 3 lần không chính xác, hệ thống sẽ hủy giao dịch và yêu cầu đăng nhập lại.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ