1
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
NÔNG THỊ LÂM NGHIÊN CỨU ỨNG DỤNG OTP TRÊN
THIẾT BỊ DI ĐỘNG
Chuyên ngành: Truyền dữ liệu và Mạng máy tính
Mã số: 60.48.15

TÓM TẮT LUẬN VĂN THẠC SỸ KỸ THUẬT

Người hướng dẫn khoa học: TS. PHẠM HOÀNG DUY HÀ NỘI - 2011

2

MỞ ĐẦU
Hiện nay cùng với sự phát triển nhanh chóng của các dịch vụ

Chương này nghiên cứu về mô hình ứng dụng OTP trên môi
trường di động cũng như việc ứng dụng OTP trong các giao dịch trực
tuyến.
Chương 3: Xây dựng phần mềm ứng dụng OTP trong môi
trường di động
Chương này trình bày ngắn gọn về chương trình thử nghiệm
đã xây dựng trong luận văn, trong đó tập trung xây dựng quá trình
sinh và xác thực sử dụng mã OTP.
Chương 4: Nhận xét, đánh giá và đề xuất
Chương này khái quát lại hệ thống đã xây dựng và đưa ra
một số nhận xét.
Kết luận: Phần này tóm tắt những kết quả mà luận văn đã đạt được
và đề xuất hướng nghiên cứu trong thời gian tới.

4
CHƯƠNG 1 – CƠ SỞ LÝ THUYẾT
1.1. Khái niệm OTP
OTP là một mật khẩu chỉ có giá trị trong một phiên đăng
nhập làm việc. OTP có thể được sử dụng một lần cho việc xác thực
người dùng hoặc cho người dùng xác thực một giao dịch. OTP
thường được sử dụng trong các giao dịch điện tử hoặc các hệ thống
xác thực chặt chẽ.
1.2. Khái niệm hàm băm
1.2.1 Khái niệm hàm băm
Chức năng chính của hàm băm là thực hiện ánh xạ các bản tin có
chiều dài khác nhau thành một đoạn băm có kích thước cố định.
Đoạn băm mới tạo ra thường có kích thước nhỏ hơn rất nhiều so với
bản tin ban đầu.
Một giá trị đoạn băm h được sinh ra bởi hàm băm H có dạng:
h = H (M) trong đó: M là bản tin có chiều dài tùy ý.

hồ đếm thời gian. Sự kiện được nhắc đến ở đây là sự kiện mà người
dùng bấm nút sinh mã trên Token. Mỗi token sẽ chứa một số mã hữu
hạn, có thứ tự và không thay đổi. Số lượng các mã hữu hạn đó được
gọi là cửa sổ. Kích thước của cửa sổ này càng lớn thì độ bảo mật của
giải pháp càng cao. Để hiểu rõ hơn cơ chế ta sẽ xét một ví dụ. Trong
ví dụ này, token lấy kích thước cửa sổ là 10, tức là token chứa 10 mã
cố định có thứ tự, như hình 1.4.

Hình 1.4 Mô hình của cơ chế sinh mã ngẫu nhiên dựa theo sự kiện

7
1.5 Các khuyến nghị tiêu chuẩn cho OTP
Thuật toán băm: Độ an toàn của mã OTP phụ thuộc tính bảo mật của
hàm băm. Tất cả các hệ thống sử dụng OTP phải hỗ trợ MD5, nên hỗ
trợ SHA và có thể hỗ trợ MD4. Các thuật toán băm chấp nhận đầu
vào tùy ý nhưng đầu ra cố định.
Khuôn dạng đầu vào:
Cấu trúc của từ đố:
otp-<tên thuật toán> <chuỗi số nguyên> <seed>
Khuôn dạng đầu ra: OTP tạo bởi thủ tục trên có 64 bit chiều dài.
Việc nhập vào 64 bit khó khăn và dễ gây lỗi cho người sử dụng khi
nhập bằng tay. Do vậy OTP có thể chuyển đổi thành một chuỗi 6 từ
ngắn (mỗi từ bao gồm 4 ký tự) theo chuẩn ISO-646 IVCS. Mỗi từ
được chọn từ một từ điển gồm 2048 từ, 11 bit cho mỗi từ, tất cả OTP
có thể được mã hóa.

8
CHƯƠNG 2 – ỨNG DỤNG OTP CHO CÁC
GIAO DỊCH TRỰC TUYẾN TRONG MÔI
TRƯỜNG DI ĐỘNG

Lưu thông tin
vào CSDL

10
Quá trình tạo mã OTP:

Hình 2.2 Quá trình tạo mã OTP
Sau khi lấy được mã OTP sẽ nhập vào trang web cùng với
usename và password mà họ đã đăng kí với nhà cung cấp dịch vụ.
Server sau khi nhận được thông tin xác thực của khách hàng sẽ tiến
hành kiểm tra sự hợp lệ của thông tin và trả lại kết quả xác thực cho
khách hàng.
Nhập (PIN, seedcode)
Mã OTP

User Mobile
Sinh mã
OTP

11
Xác thực mã OTP:
Hình 2.3 Quá trình xác thực mã OTP Thông tin xác thực
Nhập (username, password , OTP)
Web Server User

Người sử dụng cần đăng
nhập. Ví dụ vào trang web
yêu cầu bảo mật. 13
Thứ hai là quá trình tạo mã OTP dựa trên tin nhắn SMS.

Hình 3.2 Quá trình tạo mã OTP dựa trên tin nhắn SMS

3.2. Xây dựng ứng dụng
Để mô phỏng ứng dụng OTP cho việc xác thực tài khoản
trong giao dịch trực tuyến, luận văn tập trung xây dựng chương trình
ứng dụng theo phương pháp phi kết nối. Ứng dụng gồm hai phần:
phần thứ nhất là chương trình xác thực bên server và thứ hai là
Người sử dụng cần đăng
nhập. Ví dụ vào trang web
yêu c
ầ
u b
ả
o m
ậ
t.

Người sử dụng gửi tin nhắn
SMS đã được mã hóa tới
server.

Server nhận tin nhắn SMS.

nhất được chia sẻ giữa
server và người sử dụng.
Server gửi mã OTP đến
người sử dụng thông qua tin
nhắn SMS.
Đúng

14
chương trình chạy trên thiết bị di động để tạo mã OTP. Hình 3.3 dưới
đây mô tả về quy trình sử dụng OTP trong luận văn. Hình 3.3 Mô hình sử dụng OTP trong xác thực tài khoản
- Điều kiện tiên quyết:
o Khách hàng phải đăng kí thông tin tài khoản với
server và cài phần mềm sinh mã OTP trên thiết bị di
động của mình.
- Chú thích:
o Kiểm tra OK khi khách hàng nhập đúng các thông
tin xác thực: username, mật khẩu, mã OTP.
Khách hàng Trình duyệt Web Server
Yêu cầu thanh toán
Gửi thông tin đến
Server
Xác thực thông tin
tài khoản (tên, mật
khẩu, mã otp)
Gửi thông tin tài
khoản đến server
Nhận thông tin

hệ điều hành trên điện thoại di động được phát triển bởi Google dựa
trên nền tảng Linux sử dụng các thư viện Java (một số trong các thư
viện đó được Google phát triển cho Android). Môi trường xây dựng
ứng dụng là eclipse (Eclipse IDE for Java Developer) được tích hợp
plugin của android gọi là ADT (Android Development Tools – Các
công cụ phát triển Android) và cài đặt android SDK (Software
Development Kit). Google android SDK là công cụ được chính
Google xây dựng và phát hành để phát triển ứng dụng cho hệ điều
hành android. Android SDK cung cấp một tập hợp các công cụ
phong phú, bao gồm trình gỡ rối, các thư viện, trình mô phỏng thiết
bị cầm tay, tài liệu, mã mẫu và các hướng dẫn.

16
3.2.1 Giao diện bên server

Hinh 3.5 Giao diện trang chủ

Hình 3.6 Giao diện xác thực tài khoản
17
3.2.2 Giao diện bên client Hình 3.7 Giao diện tạo mã otp trên giả lập Android

18
CHƯƠNG 4 – NHẬN XÉT ĐÁNH GIÁ VÀ ĐỀ
XUẤT

hacker. Mã PIN không được lưu trữ trên điện thoại di động của
người dùng để đảm bảo trong trường hợp khách hàng mất điện thoại.
Độ an toàn của hệ thống phụ thuộc vào độ an toàn của hàm
băm. Đối với tấn công brute-force độ khó khăn để tính toán ra một
bản tin nào đó có kích cỡ đoạn băm 160 bit tạo bởi thuật toán băm
SHA1 cần 2
80
phép tính.
So sánh hệ thống với những yêu cầu đưa ra trong khuyến nghị:
Thuật toán: luận văn sử dụng chung thuật toán băm SHA1
cho cả client và server, SHA1 là thuật toán băm đưa ra trong khuyến
nghị.
Khuôn dạng đầu vào:
 Seed: đáp ứng được chiều dài theo khuyến nghị (từ
16 ký tự trở lên) tuy nhiên chưa đáp ứng được yêu
cầu loại bỏ dấu cách và chuyển sang dạng chữ
thường trước khi xử lý.
 Từ đố: cấu trúc từ đố tuân thủ cú pháp trong khuyến
nghị tuy nhiên để tăng độ an toàn của mã OTP luận
văn thêm mã PIN vào trong từ đố.

20
Khuôn dạng đầu ra: đầu ra được đưa ra dưới dạng hexa tuân
thủ theo khuyến nghị tuy nhiên luận văn chưa đưa được đầu ra về
dạng chuẩn 6 từ. Trong khuyến nghị sử dụng đầu ra là 64 bit còn đầu
ra sử dụng thuật toán SHA1 là 160 bit.
Thay đổi cụm mật khẩu: hệ thống được xây dựng không hỗ
trợ người dùng thay đổi cụm mật khẩu từ xa.
TÀI LIỆU TIẾNG ANH
[1]: F. Aloul, S. Zahidi, W. El-Hajj (2009), “Multi Factor
Authentication Using Mobile Phones”.
[2]: Alzomai, Mohammed, Audun and Josang (2010 September 31),
“The Mobile Phone as a Multi OTP Device Using Trusted
Computing”.
[3]: Chao-Wen Chan and Chih-Hao Lin (2008), “A New Credit Card
Payment Scheme Using Mobile Phones Based on Visual
Cryptography”.
[4]: Josh Benaloh, Trevor William Freeman, K John Biccum, Ttul
Kumar Shal (2010 October 14), “One time password key ring for
mobile computing device”.
[5]: Jan-Erik Ekberg, Markku Kylanpaa (2007 November 14),
“Mobile Trusted Module (MTM) - an introduction”.
[6]: Kjell Jorgen Hole, Lars Hopland Nestas, and Havard Raddum
(2010 January), “Security Analysis of Mobile Phones Used as OTP
Generators”.
[7]: Junrusu, Xiaomin Zhu, Xiaopu Shang, Chuanchen Wang (2010
November), “Study on an OTP Identity Authentication Scheme in
Mobile Commerce”.

23
[8]: Nicolai Kuntze, Gunther Diederich, Karsten Sohr, Kai-Oliver
Detken, “Secure mobile business information processing”.
[9]: FIPS 180-2 (2002 August 1), Secure Hash Standard.
[10]: Network Working Group (February 1998), RFC2289.
[11]: Network Working Group (December 2005), RFC4226.
WEBSITE
[12]:
[13]: