
Luận văn

Giải pháp xác thực
người dùng bằng công
nghệ Captive Portal
LỜI CẢM ƠN
Để hoàn thành luận án tốt nghiệp, em xin gửi lời cảm ơn sâu sắc tới các thầy cô

1.1.2. Các giải pháp cơ bản đảm bảo an ninh 8
1.2. Vấn đề bảo mật hệ thống và mạng 10
1.2.1. Các vấn dề chung về bảo mật hệ thống và mạng 10
1.2.2. Một số khái niệm và lịch sử bảo mật hệ thống 10
1.3. Các kiến thức cơ bản về xác thực ngƣời dùng 11
1.3.1. Khái niệm về xác thực ngƣời dùng 12
1.3.2. Các giải pháp xác thực ngƣời dùng phổ biến 12
1.3.3. Các giao thức xác thực 18
1.3.4. Nhận xét 20
Chƣơng 2: MẠNG KHÔNG DÂY VÀ CÁC CHÍNH SÁCH BẢO MẬT 21
2.1. Giới thiệu chung về mạng không dây 21
2.2. Lịch sử phát triển và sự phát triển của mạng không dây 22
2.2.1. Lịch sử phát triển của mạng không dây 22
2.2.2. Sự phát triển của mạng không dây 23
2.2.3. Các thế hệ phát triển của mạng không dây 24
2.3. Công nghệ phổ biến của mạng không dây 25
2.3.1. Công nghệ TDMA 25
2.3.2. Công nghệ GSM 25
2.3.3. Công nghệ CDMA 26
2.3.4. Công nghệ WiFi 26
2.3.5. Công Nghệ WiMax 27
2.3.6. Công nghệ GPRS 27
2.4. Các chuẩn phổ biến của mạng không dây 27
2.6. Công nghệ tấn công và cách phòng thủ 29
2.6.1. Phƣơng pháp tấn công bằng Rogue Access Point 29
2.6.2. Tổng hợp các phƣơng pháp tấn công khác 31
2.7. Chính sách bảo mật mạng không dây 35
2.7.1. Đánh giá về hệ thống bảo mật của WLAN 35
2.7.2. Chính sách bảo mật WLAN 35
Giải pháp xác thực người dùng Lê Thị Thùy Lương

4.3.4. Cài đặt và định cấu hình ChilliSpot 55
4.3.5. Cài đặt Firewall 56
4.3.6. Cài đặt và cấu hình máy chủ web chứng thực UAM 57
4.3.7. Cài đặt và cấu hình FreeRADIUS 57
4.4. Cấu hình máy khách 58
4.4.1. Phƣơng pháp truy nhập phổ thông - Universal Access Method 58
4.4.2. Bảo vệ sự truy nhập không dây - Wireless Protected Access 59
4.5. Những file đƣợc tạo ra hoặc đƣợc sử dụng 59
4.6. Tùy chọn 60
4.6.1. Tóm tắt 60
Giải pháp xác thực người dùng Lê Thị Thùy Lương

4
4.6.2. Tùy chọn 60
4.6.3. Tệp tin 67
4.6.4. Tín hiệu 67
4.7. Các phiên bản của ChilliSpot 67
4.7.1. ChilliSpot 1.1 67
4.7.2. ChilliSpot 1.0 68
4.7.3. ChilliSpot 1.0 RC3 68
4.7.4. ChilliSpot 1.0 RC2 69
4.7.5. ChilliSpot 1.0 RC1 69
4.7.6. ChilliSpot 0.99 70
4.7.7. ChilliSpot 0.98 71
4.7.8. ChilliSpot 0.97 72
4.7.9. ChilliSpot 0.96 73
4.7.10. ChilliSpot 0.95 73
4.7.11. ChilliSpot 0.94 74
4.7.12. ChilliSpot 0.93 75
4.7.13. ChilliSpot 0.92 75

ngƣời dùng bằng công nghệ Captive Portal”.
Với công nghệ Captive Portal sẽ bắt buộc một máy muốn sử dụng Internet
trong mạng thì trƣớc tiên phải sử dụng trình duyệt để “đƣợc” tới một trang đặc biệt
(thƣờng dùng cho mục đích xác thực). Captive Portal sẽ chuyển hƣớng trình duyệt tới
thiết bị xác thực an ninh. Điều này đƣợc thực hiện bằng cách bắt tất cả các gói tin, kể
cả địa chỉ và cổng, đến khi ngƣời dùng mở một trình duyệt và thử truy cập Internet.
Tại thời điểm đó, trình duyệt sẽ đƣợc chuyển hƣớng tới trang Web đặc biệt yêu cầu
xác thực (đăng nhập) hoặc thanh toán, hoặc đơn giản chỉ là hiện một bảng thông báo
về các quy định mà ngƣời dùng sẽ phải tuân theo và yêu cầu ngƣời dùng phải chấp
nhận các quy định đó trƣớc khi truy cập Internet. Captive Portal thƣờng đƣợc triển
khai ở hầu hết các điểm truy nhập Wi-Fi và nó cũng có thể đƣợc dùng để điều khiển
mạng có dây.

Giải pháp xác thực người dùng Lê Thị Thùy Lương

6
Đề tài gồm phần mở đầu, bốn chương và kết luận
Chương 1: Vấn đề an ninh an toàn mạng máy tính và các giải pháp xác thực
người dùng
Trình bày tổng quan về vấn đề an ninh trong mạng máy tính, các nguy cơ và
vấn đề bảo mật hệ thống mạng.
Tìm hiểu khái niệm xác thực ngƣời dùng và các giải pháp xác thực ngƣời dùng
phổ biến. Qua đó đƣa ra đƣợc các ƣu điểm và nhƣợc điểm của các giải pháp đó.
Chương II: Mạng không dây và các chính sách bảo mật
Chƣơng này tìm hiểu khái quát về mạng không dây và các chính sách bảo mật.
Chương III: Công nghệ Captive Portal và sử dụng Radius xác thực trong WLAN
Chƣơng này đi vào khảo sát một công nghệ xác thực ngƣời dùng. Đó là xác
thực ngƣời dùng bằng công nghệ Captive Portal.
Chương IV: Cài đặt và thử nghiệm phân mềm ChilliSpot
Chƣơng này sẽ trình bày về cách cấu hình; cách triển khai cài đặt và sử dụng

cầu đều có một lƣợng lớn các thông tin kết nối trực tuyến. Trong lƣợng lớn các thông
tin ấy, có các thông tin bí mật nhƣ: các bí mật thƣơng mại, các kế hoạch phát triển sản
phẩm, chiến lƣợc maketing, phân tích tài chính hay các thông tin về nhân sự, bí mật
riêng tƣ Các thông tin này hết sức quan trọng, việc để lộ ra các thông tin cho các đối
thủ cạnh tranh sẽ dẫn đến một hậu quả hết sức nghiêm trọng.
Tuy nhiên, không phải bất cứ khi nào muốn những kẻ xấu cũng có thể thực hiện
đƣợc mục đích của mình. Chúng cần phải có thời gian, những sơ hở, yếu kém của
chính những hệ thống bảo vệ an ninh mạng. Và để thực hiện đƣợc điều đó, chúng cũng
phải có trí tuệ thông minh cộng với cả một chuỗi dài kinh nghiệm. Còn để xây dựng
đƣợc các biện pháp đảm bảo an ninh, đòi hỏi ở ngƣời xây dựng cũng không kém về trí
tuệ và kinh nghiệm thực tiễn. Nhƣ thế, cả hai mặt tích cực và tiêu cực ấy đều đƣợc
Giải pháp xác thực người dùng Lê Thị Thùy Lương

8
thực hiện bởi bàn tay khối óc của con ngƣời, không có máy móc nào có thể thay thế
đƣợc. Vậy, vấn đề an ninh an toàn mạng máy tính hoàn toàn mang tính con ngƣời.
Ban đầu, những trò phá hoại chỉ mang tính chất là trò chơi của những ngƣời có
trí tuệ không nhằm mục đích vụ lợi, xấu xa. Tuy nhiên, khi mạng máy tính trở nên phổ
dụng, có sự kết nối của nhiều tổ chức, công ty, cá nhân với nhiều thông tin bí mật, thì
những trò phá hoại ấy lại không ngừng gia tăng. Sự phá hoại ấy đã gây ra nhiều hậu
quả nghiêm trọng, nó đã trở thành một loại tội phạm. Theo số liệu thống kê của CERT
(Computer Emegency Response Team) thì số lƣợng các vụ tấn công trên Internet đƣợc
thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991,
1400 năm 1993 và 2241 năm 1994. Những vụ tấn công này nhằm vào tất cả các máy
tính có mặt trên Internet, từ các máy tính của các công ty lớn nhƣ AT & T, IBM, các
trƣờng đại học, các cơ quan nhà nƣớc, các nhà băng Những con số đƣa ra này, trên
thực tế chỉ là phần nổi của tảng băng. Một phần lớn các vụ tấn công không đƣợc thông
báo vì nhiều lý do khác nhau, nhƣ sự mất uy tín, hoặc chỉ đơn giản là họ không hề biết
mình bị tấn công.
Thực tế, đe doạ an ninh không chỉ ở bên ngoài tổ chức, mà bên trong tổ chức

truyền riêng, mạng riêng) Giải pháp phần cứng thông thƣờng đi kèm với nó là hệ
thống phần mềm điều khiển tƣơng ứng. Đây là một giải pháp không phổ biến, vì
không linh hoạt trong việc đáp ứng với các tiến bộ của các dịch vụ mới xuất hiện, và
chi phí rất cao.
Khác với giải pháp phần cứng, giải pháp về phần mềm hết sức đa dạng. Giải
pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng. Cụ thể các giải
pháp về phần mềm nhƣ: các phƣơng pháp xác thực, các phƣơng pháp mã hoá, mạng
riêng ảo, các hệ thống bức tƣờng lửa, Các phƣơng pháp xác thực và mã hoá đảm bảo
cho thông tin truyền trên mạng một cách an toàn nhất. Vì với cách thức làm việc của
nó, thông tin thật trên đƣờng truyền đƣợc mã hoá dƣới dạng mà những kẻ “nhòm
trộm” không thể thấy đƣợc, hoặc nếu thông tin bị sửa đổi thì tại nơi nhận sẽ có cơ chế
phát hiện sự sửa đổi đó. Còn phƣơng pháp sử dụng hệ thống bức tƣờng lửa lại đảm bảo
an ninh ở góc độ khác. Bằng cách thiết lập các luật tại một điểm đặc biệt (thƣờng gọi
là điểm nghẹt) giữa hệ thống mạng bên trong (mạng cần bảo vệ) với hệ thống mạng
bên ngoài (mạng đƣợc coi là không an toàn về bảo mật - hay là Internet), hệ thống bức
tƣờng lửa hoàn toàn có thể kiểm soát các kết nối trao đổi thông tin giữa hai mạng. Với
cách thức này, hệ thống tƣờng lửa đảm bảo an ninh khá tốt cho hệ thống mạng cần bảo
vệ. Nhƣ thế, giải pháp về phần mềm gần nhƣ hoàn toàn gồm các chƣơng trình máy
tính, do đó chi phí cho giải pháp này sẽ ít hơn so với giải pháp về phần cứng.
Bên cạnh hai giải pháp trên, giải pháp về chính sách con ngƣời là một giải pháp
hết sức cơ bản và không thể thiếu đƣợc. Vì nhƣ phần trên đã thấy, vấn đề an ninh an
toàn mạng máy tính hoàn toàn là vấn đề con ngƣời, do đó việc đƣa ra một hành lang
pháp lý và các quy nguyên tắc làm việc cụ thể là cần thiết. Ở đây, hành lang pháp lý có
thể gồm: các điều khoản trong bộ luật của nhà nƣớc, các văn bản dƣới luật, Còn các
quy định có thể do từng tổ chức đặt ra cho phù hợp với từng đặc điểm riêng. Các quy
Giải pháp xác thực người dùng Lê Thị Thùy Lương

10
định có thể nhƣ: quy định về nhân sự, việc sử dụng máy, sử dụng phần mềm, Và nhƣ
vậy, sẽ hiệu quả nhất trong việc đảm bảo an ninh an toàn cho hệ thống mạng máy tính


11
Eavesdropping: Là những đối tƣợng nghe trộm thông tin trên mạng, sử dụng
các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy đƣợc các
thông tin có giá trị.
Những đối tƣợng tấn công mạng có thể nhằm nhiều mục đích khác nhau nhƣ ăn
cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể
đó là những hành động vô ý thức…
b. Các lỗ hổng bảo mật
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một
dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực
hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.
Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: có thể do lỗi của bản thân
hệ thống, hoặc phần mềm cung cấp hoặc ngƣời quản trị yếu kém không hiểu sâu về
các dịch vụ cung cấp…
Mức độ ảnh hƣởng của các lỗ hổng tới hệ thống là khác nhau. Có lỗ hổng chỉ
ảnh hƣởng tới chất lƣợng dịch vụ cung cấp, có lỗ hổng ảnh hƣởng tới toàn bộ hệ thống
hoặc phá hủy hệ thống.
c. Chính sách bảo mật
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những ngƣời tham gia
quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng.
Đối với từng trƣờng hợp phải có chính sách bảo mật khác nhau. Chính sách bảo
mật giúp ngƣời sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên
trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biện pháp đảm bảo
hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và
mạng.
1.3. Các kiến thức cơ bản về xác thực người dùng
Khi ngƣời sử dụng muốn truy nhập vào một hệ thống máy tính, thông thƣờng,
ngƣời sử dụng cần cung cấp các thông tin nhận dạng cho máy tính. Khi nhận đƣợc các
thông tin ấy, máy tính kiểm tra xem ngƣời sử dụng có quyền truy nhập vào hệ thống

truy nhập của ngƣời dùng đƣa vào với cơ sở dữ liệu tên ngƣời dùng, nếu tồn tại tên
ngƣời dùng nhƣ vậy thì hệ thống tiếp tục đối chiếu mật khẩu đƣợc đƣa vào tƣơng ứng
với tên truy nhập trong cơ sở dữ liệu. Qua 2 lần đối chiếu nếu thỏa mãn thì ngƣời đăng
nhập là ngƣời dùng hợp lệ của hệ thống.
 Ưu điềm
Thiết kế và sử dụng đơn giản, tốn ít tài nguyên. Hệ thống chỉ gồm một cơ sở dữ
liệu ngƣời dùng với 2 thông tin chủ yếu là tên truy nhập và mật khẩu. Tƣơng ứng với
Giải pháp xác thực người dùng Lê Thị Thùy Lương

13
mỗi tên truy nhập là quyền sử dụng của ngƣời đó trong hệ thống. Do đó các thông tin
này không chiếm nhiều tài nguyên. Ngƣời dùng dễ hiểu và dễ sử dụng.
Chi phí để thực hiện giải pháp này là rẻ so với các giải pháp khác. Nó không
phụ thuộc vào các thiết bị phần cứng mà chỉ dựa trên phần mềm. Giải pháp này có khả
năng làm việc trên mọi hệ điều hành. Do đó, việc thực hiện giải pháp này khá dễ dàng
và không tốn kém.
 Nhược điểm
Giải pháp này có nhƣợc điểm lớn nhất là không có đƣợc sự bảo mật cao. Vì
ngƣời dùng thƣờng có tên đăng nhập nhiều ngƣời dùng có. Mặt khác, ngƣời dùng
thƣờng chọn mật khẩu dễ nhớ hoặc không cẩn thận khi gõ mật khẩu, do vậy dễ bị tấn
công. Kẻ tấn công có nhiều phƣơng pháp để đạt đƣợc mật khẩu nhƣ thâm nhập vào hệ
thống đọc file mật khẩu, dự đoán mật khẩu, vét cạn các từ trong từ điển để tìm mật
khẩu, hoặc có thể lừa ngƣời dùng để lộ mật khẩu.
Một số biện pháp để tăng thêm tính bảo mật cho giải pháp này:
Đặt mật khẩu phức tạp: mật khẩu phải chứa tối thiểu 6 ký tự, không trùng với
tên đăng nhập, chứa các loại ký tự là chữ cái, chữ số, ký tự đặc biệt. Nếu đặt nhƣ vậy
thì kẻ muốn tấn công cũng sẽ rất khó đoán đƣợc mật khẩu.
Thay đổi mật khẩu: quy định sau một thời gian nhất định mật khẩu sẽ không
còn tác dụng đối với hệ thống và ngƣời dùng phải đặt lại mật khẩu khác. Mật khẩu sẽ
đƣợc thay đổi nên khả năng kiểm soát tình trạng an toàn của mật khẩu cao hơn.

cho đến khi tìm đƣợc khóa ngƣời dùng đang sử dụng. Còn trong trƣờng hợp hệ thống
sẽ tự sinh ra giá trị ban đầu và một lƣợng mật khẩu đủ dùng trong một thời gian nào
đó, ngƣời dùng sẽ có một danh sách các mật khẩu đƣợc đánh thứ tự. Về phía ngƣời
dùng, họ sẽ không thích phải dùng nhiều mật khẩu. Điều này gây phiền toái cho ngƣời
dùng và khả năng bị mất cắp danh sách khóa là rất cao. Ngoài ra, kẻ tấn công còn có
thể dùng phƣơng pháp bắt gói tin đăng nhập của ngƣời dùng để lấy mật khẩu.
 Ứng dụng
Giải pháp này đã và đang đƣợc sử dụng rất nhiều trong các ứng dụng. Nó đƣợc
ứng dụng trên một máy tính và đặc biệt đƣợc ứng dụng cả trên mạng. Kể cả các cơ
quan, tổ chức không có điều kiện kinh tế để có thể trang bị cho hệ thống mạng của
mình các đƣờng truyền tốc độ cao thì vẫn có thể sử dụng giải pháp này. Bởi vì, thông
tin truyền và lƣu trữ chỉ bao gồm tên đăng nhập và mật khẩu. Dung lƣợng truyền đi
trên đƣờng truyền nhỏ nên dù đƣờng truyền có băng thông không lớn thì thông tin này
cũng đƣợc truyền đi trong một khoảng thời gian chấp nhận đƣợc.
Các ứng dụng tiêu biểu hiện nay đang sử dụng giải pháp xác thực bằng mật
khẩu nhƣ: Hệ điều hành (Windows, Unix…), các dịch vụ thƣ điện tử, thƣơng mại điện
tử…
Giải pháp xác thực người dùng Lê Thị Thùy Lương

15
b. Giải pháp dùng thẻ thông minh
 Mô tả
Thẻ thông minh (smart cart) là một thẻ plastic có kích cỡ nhƣ thẻ tín dụng đƣợc
trang bị một vi mạch dùng để chứa bộ nhớ và một mạch xử lý với hệ điều hành để
kiểm soát bộ nhớ.
Nó có thể lƣu trữ dữ liệu về thông tin cá nhân, tiền hoặc một số thông tin khác
mà sự thay đổi của chúng cần đƣợc kiểm soát chặt chẽ. Ngoài ra, nó có thể lƣu trữ các
khóa mã hóa để ngƣời dùng có thể nhận dạng qua mạng, chữ ký điện tử … Đặc biệt,
hiện nay thẻ thông minh có hỗ trợ chứng nhận số. Nó mã hóa dữ liệu và kiểm tra tính
hợp lệ của các giao dịch qua mạng. Đây là một giải pháp rất hiệu quả và linh động cho

một số dùng để mở khóa của thẻ. Tƣơng tự, nếu nhập không chính xác liên tiếp đến
một số nào đó thẻ sẽ bị khóa vĩnh viễn và không thể sử dụng lại nữa. Nhƣ vậy, việc sử
dụng thẻ là rất an toàn và thuận tiện. Giờ đây ngƣời dùng thay vì phải nhớ nhiều số mà
chỉ phải nhớ một số, còn các thông tin nhận dạng đều ở trong thẻ. Trong trƣờng hợp
thẻ bị mất cắp, kẻ lấy cắp cũng không thể sử dụng đƣợc thẻ vì không có số PIN.
 Nhược điểm
Tuy giải pháp này đã hạn chế đƣợc sự mất cắp thẻ bằng cách kết hợp thẻ với
một số PIN nhƣng vẫn có thể bị đánh cắp cả thẻ và cả số PIN. Vẫn bắt ngƣời dùng
phải nhớ số PIN và phải thêm một chiếc thẻ mới có thể thực hiện việc xác thực.
Để áp dụng giải pháp này, các cơ quan phải trang bị thêm các thiết bị nhƣ thiết
bị đọc thẻ, thiết bị ghi, các phần mềm hỗ trợ …Số lƣợng và giá thành của các thiết bị
này không phải là nhỏ, do đó khá là tốn kém.
Các dịch vụ hỗ trợ phổ biến cho việc xác thực bằng thẻ là chƣa đầy đủ. Các
dịch vụ thƣ điện tử, các dịch vụ thƣơng mại …cần đến xác thực trên Internet đều chƣa
hỗ trợ xác thực bằng thẻ. Hiện nay, hầu nhƣ các nhà cung cấp giải pháp xác thực bằng
thẻ đều phát triển các dịch vụ theo mô hình riêng của mình, sử dụng các thiết bị riêng
chƣa thống nhất, do đó khả năng liên hệ giữa các hệ thống hầu nhƣ không có.
 Ứng dụng
Đây đƣợc coi là giải pháp tƣơng đối hoàn chỉnh và đƣợc nhận định là có tiềm
năng lớn. Hiện nay, trên thế giới có rất nhiều công ty lớn đang phát triển những giải
pháp xác thực hoàn thiện hơn về cả mức độ an toàn và khả năng linh động trong việc
sử dụng thẻ. Có rất nhiều quốc gia đã sử dụng công nghệ này để làm chƣng minh thƣ,
thẻ rút tiền ngân hàng… Giải pháp này ngày càng đƣợc sử dụng nhiều hơn do sự phát
triển về khoa học công nghệ, giá thành của thẻ cũng nhƣ của các thiết bị có liên quan
giảm đi rất nhiều trong thời gian vừa qua. Tổ chức chuẩn hóa quốc tế ISO đã và đang
đƣa ra những tiêu chuẩn thống nhất trong việc xây dựng và phát triển thẻ.
Giải pháp xác thực người dùng Lê Thị Thùy Lương

17
c. Giải pháp xác thực sử dụng các kỹ thuật sinh trắc học

Giải pháp xác thực người dùng Lê Thị Thùy Lương

18
Khi mà các dữ liệu sinh trắc học khó có sự thay đổi nhƣ dấu vân tay, mắt đƣợc
sử dụng trong các ứng dụng khác nhau thì rất dễ bị đánh cắp.
Trên thế giới vẫn chƣa có một chuẩn chung nào cho việc số hóa các mẫu sinh
trắc học. Mặt khác, các nhà sản xuất khác nhau cung cấp các thiết bị xác thực mẫu sinh
trắc học theo các chuẩn khác nhau không có sự thống nhất. Do đó, việc trang bị hệ
thống xác thực này không có tính linh động cao.
Có một số thông tin có thể bị thay đổi vì nhiều lý do. Ví dụ: Dấu vân tay bị thay
đối do bị chấn thƣơng, giọng nói bị méo do bị viêm họng …Do đó, việc xác thực đúng
các thông tin này thƣờng rất thấp.
Ở nhiều nơi việc đƣa giải pháp này vào các ứng dụng trên Internet là không
thực tế. Các thông tin xác thực sinh trắc học thƣờng khá lớn trong khi băng thông
đƣờng truyền không phải ở đâu cũng đủ rộng. Dẫn đến kết quả phản hồi lại rất chậm.
 Ứng dụng
Đây là một giải pháp có mức độ an toàn cao nhất và đƣợc đánh giá là có khả
năng phát triển rộng rãi. Khoa học công nghệ ngày càng phát triển hiện đại sẽ làm tăng
thêm sự an toàn, tính tiện lợi và giảm giá thành của các thiết bị liên quan đến.
Một số hãng phần mềm lớn đã hỗ trợ giải pháp xác thực bằng sinh trắc học nhƣ
hãng Microsoft với các phiên bản hệ điều hành Windows NT, Windows 2000… Nƣớc
Anh cũng đã bắt đầu nghiên cứu và đƣa vào triển khai kế hoạch sử dụng các thông tin
sinh trắc học trong công việc quản lý nhƣ các thẻ dịch vụ, chứng minh thƣ …
1.3.3. Các giao thức xác thực
Dịch vụ xác thực đặc biệt quan trọng trong việc đảm bảo cho một hệ thống hoạt
động an toàn. Một hệ thống thƣờng phải xác thực một thực thể trƣớc khi tiến hành
truyền thông với thực thể đó. Nhận dạng của thực thể sau đó đƣợc sử dụng để xác định
quyền truy cập hay để thực hiện chống chối bỏ. Trong giao thức xác thực, hai bên
thƣờng đồng ý chia sẻ một bí mật để đảm bảo tính toàn vẹn và tính bí mật.
Các kỹ thuật xác thực thƣờng dựa trên ba mô hình: bạn-có-cái-gì-đó, bạn-biết-

cầu ngƣời sử dụng tiết lộ bí mật. Hệ thống xác thực gửi cho ngƣời sử dụng một số bất
kỳ. Ngƣời sử dụng sử dụng giá trị bất kỳ đó và bí mật để tính toán một giá trị trả lời.
Hệ thống xác nhận nhận dạng của ngƣời sử dụng nếu giá trị trả lời đúng.
 Giao thức biến đổi mật khẩu: một ngƣời sử dụng xử lý mật khẩu của mình
thông qua một hàm băm và gửi kết quả cho hệ thống xác thực. Hệ thống so sánh giá trị
băm với giá trị băm đúng mà nó lƣu trữ, ngƣời sử dụng sẽ đƣợc xác thực nếu hai giá trị
này giống nhau. Nếu hệ thống lƣu trữ mật khẩu thay vì lƣu trữ các giá trị băm của nó,
nó phải tính toán giá trị băm trƣớc khi thực hiện so sánh. Các giao thức này ngăn chặn
việc ăn cắp mật khẩu trên đƣờng truyền nhƣng lại dễ bị đánh lừa bởi các cuộc tấn công
lặp lại.
 Giao thức sử dụng mật khẩu một lần: là cải tiến của phƣơng pháp biến đổi
mật khẩu để chống lại các cuộc tấn công lặp lại. Giao thức này yêu cầu ngƣời sử dụng
Giải pháp xác thực người dùng Lê Thị Thùy Lương

20
và hệ thống xác thực chia sẻ một số bí mật nhỏ n. Ngƣời sử dụng băm mật khẩu của
mình n lần để tạo ra mật khẩu sử dụng một lần và gửi nó tới hệ thống, trong khi đó hệ
thống cũng thực hiện băm giá trị mật khẩu của ngƣời sử dụng mà nó lƣu trữ n lần và sẽ
xác thực ngƣời sử dụng nếu hai giá trị này trùng nhau. Các cuộc tấn công lặp lại không
thể thực hiện đƣợc bởi mật khẩu lần sau không xác định đƣợc từ mật khẩu của lần truy
nhập trƣớc.
 Giao thức sử dụng chứng chỉ số: là một dạng khác của giao thức xác thực
không tiết lộ bí mật trong đó giá trị mã hóa bí mật là một khóa riêng và hệ thống xác
thực sử dụng khóa công khai tƣơng ứng để kiểm tra trả lời.
1.3.4. Nhận xét
Giải pháp xác thực sử dụng tên và mật khẩu là giải pháp truyền thống đƣợc sử
dụng phổ biến nhất hiện nay. Nó có hiệu quả, đơn giản, nhanh gọn và giá thành thấp.
Song, giải pháp này còn tồn tại khá nhiều bất cập, nguy cơ bị đánh cắp cao. Khi ứng
dụng trên Internet, các thông tin này cũng rất dễ bị lấy cắp trong quá trình truyền thông
tin đi. Hiện nay, để hạn chế các nhƣợc điểm này, có nhiều cơ chế bảo mật đƣợc sử

thể đoán trƣớc. Công nghệ Internet cũng không nằm ngoài xu hƣớng đó, chỉ cách đây
một thời gian ngắn khi các modem 56Kbps đang còn phổ biến và đƣợc nhiều ngƣời
chấp nhận, nhƣng đến nay với công nghệ DSL thì ngƣời dùng có thể truy cập Internet
tốc độ cao ngay tại chính nhà mình với đƣờng kết nối có thể lên tới 6Mbps. Chƣa bao
giờ ngƣời dùng có thể truy nhập miễn phí rất nhiều thông tin một cách nhanh chóng và
thuận tiện. Con ngƣời có thể ngồi nhà và tìm kiếm trao đổi thông tin với tốc độ tải dữ
liệu lên tới hàng megabit. Nhƣng thực sự thì chi phí cho DSL là không rẻ, điều đó làm
cho nó không phải là một giải pháp tối ƣu đối với ngƣời dùng. Với sự phát triển mạnh
mẽ của các thiết bị cầm tay và các thiết bị hỗ trợ không dây đã đƣa đến một công nghệ
mới chính là công nghệ mạng không dây, dùng sóng điện từ để thực hiện các giao thức
truyền tin không cần qua dây hoặc cáp nối. Giao tiếp qua mạng không dây hiện nay
đƣợc cung cấp rất dễ dàng, giá rẻ, dịch vụ mạng băng thông rộng. Cùng với các thiết
bị hỗ trợ nhƣ là bluetooth, mạng không dây đang đƣợc áp dụng rộng rãi, đặc biệt với
các thiết bị cầm tay nhƣ là: mobile, PDA, pocketPC, …
Công nghệ không dây - đúng với tên gọi của nó - là công nghệ cho phép một
hoặc nhiều thiết bị giao tiếp đƣợc với nhau mà không cần những kết nối vật lí hay nói
cách khác là kết nối mà không cần đến cable mạng. Công nghệ không dây sử dụng
sóng radio trong khi các công nghệ truyền thống sử dụng các loại cable làm phƣơng
tiện truyền dữ liệu. Phạm vị của công nghệ không dây là rất lớn, kể từ những hệ thống
mạng trên diện rộng và phức tạp nhƣ mạng WLAN, mạng điện thoại di động cho tới
những hệ thống, thiết bị cực kì đơn giản nhƣ tai nghe, micro không dây và một loạt các
thiết bị không có nhiệm vụ lƣu trữ và xử lí thông tin khác. Nó cũng bao gồm các thiết
bị hồng ngoại nhƣ các loại điều khiển từ xa, một số loại chuột và bàn phím không dây
và tai nghe stereo không dây, các thiết bị loại này đều cần một không gian không bị
Giải pháp xác thực người dùng Lê Thị Thùy Lương

22
chắn giữa hai thiết bị truyền và nhận tín hiệu để đóng đƣờng kết nối. Mục đích chính
của công nghệ không dây là cung cấp cho ngƣời sử dụng khả năng truy cập thông tin ở
bất cứ đâu và tại bất kì thời điểm nào với các thiết bị có vị trí liên tục thay đổi. Trong

23
Năm 1991: GSM đƣợc chuẩn hoá, phiên bản đầu tiên của GSM đƣợc gọi là hệ
thống toàn cầu cho truyền thông di động, hoạt động ở tần số 900MHz, sử dụng 124
kênh song công. GSM có thể cung cấp dịch vụ trên phạm vi quốc tế, tự động định vị
những dịch vụ, nhận dạng, mã hoá, nhắn tin ngắn với 160 ký tự, fax. Hiện nay, trên thế
giới có khoảng 130 nƣớc sử dụng các hệ thống truyền thông theo chuẩn GSM.
Năm 1996: Chuẩn ESTI đƣợc chuẩn hoá thành HYPERLAN (High
Performance Radio Local Area Network) hoạt động ở tần số 5.2GHz, băng thông
đƣờng truyền lên tới 23,5Mbit/s.
Năm 1997: Chuẩn IEEE 802.11 ra đời, hoạt động ở dải tần 2,4 GHz và băng
thông 2Mbit/s (có thể nâng lên 10Mbit/s)
Năm 1998: Đánh dấu sự bắt đầu của truyền thông di động bằng việc sử dụng vệ
tinh với hệ thống Iridium. Hệ thống này bao gồm 66 vệ tinh quay quanh trái đất ở tầng
thấp và sử dụng dải tần 1.6GHz cho việc kết nối với điện thoại di động .
2.2.2. Sự phát triển của mạng không dây
Mạng không dây có tuổi đời còn rẩt trẻ, tuy nhiên trên thể giới đã có tới hàng
triệu ngƣời sử dụng Web phone và các thiết bị cầm tay không dây để truy cập Internet.
Các quốc gia và các tập đoàn đa quốc gia đang nỗ lực rất lớn để thiết lập một cơ sở hạ
tầng không dây vững chắc. Để thấy đƣợc sự phát triển của mạng không dây chúng ta
sẽ so sánh mạng không dây và mạng có dây và các ứng dụng của chúng với nhau.

Hình 1. Mạng không dây có dây và các ứng dụng của nó
Giải pháp xác thực người dùng Lê Thị Thùy Lương

24
Mạng không dây bắt đầu phát triển vào năm 1990 nhƣng mãi cho tới năm
2000 nó mới thực sự phát triển.
Công nghệ truy cập không dây thế hệ 2G truyền với tốc độ: từ 9,6 -> 19,2
kbps, tốc độ này thấp hơn nhiều so với di-up Destop Pc kết nối Internet. Tuy nhiên, ở
thế hệ 2.5G tốc độ này đã lên tới100 kbps, thế hệ 3G tốc độ đạt 2 -> 4Mbps. Với tốc