HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA QUỐC TẾ VÀ ĐÀO TẠO SAU ĐẠI HỌC
____________*____________
TIỂU LUẬN
AN NINH MẠNG
ĐỀ TÀI: XÁC THỰC NGƯỜI D ÙNG
GVH D: PGS.TSKH. HOÀNG ĐĂNG HẢI
Học viên thực hiện:
1. Phạm Hữu Tình
2. Đinh Phương Nam
3. Đỗ Đức Cường
4. Đỗ Văn Hanh
Lớp: M12CQCT01-B
Hà Nội, 06-2013
2
MỤC LỤC
3.1. Các thành phần của giải pháp RSA SecurID® 10
3.2. Hoạt động của giải pháp xác thực RSA SecurID 11
3.3. One-time password 13
3.3.1 Cách tạo password và phân phối OTPs 13
3.3.2 Cách thức tạo ra OTPs 13
3.3.2.1 Dựa trên đồng bộ hóa thời gian (Time-synchronized) 13
3.3.2.2 Sử dụng thuật toán tạo mật khẩu mới dựa trên mật khẩu cũ (Mathematical algorithms) 14
3.4. Ưu điểm của giải pháp RSA SecurID 14
4.1. Cấu tạo của thẻ thông minh 16
4.2. Cấu trúc tệp tin hợp lý và kiểm soát tiếp cận 17
4.3. Ứng dụng của thẻ thông minh 19
4.4. Kỹ thuật tấn công thẻ thông minh 20
CHƯƠNG 5: KỸ THUẬT RADIO FREQUENCY IDENTIFICATION (RFID) 22
5.1. Tổng quan về RFID 22
5.2. Nguyên lý làm việc của RFID 22

có những giải pháp xác thực trên mạng.
Trong an toàn thông tin máy tính nói chung và giao dịch ngân hàng điện tử nói
riêng xác thực là một quy trình nhằm xác minh nhận dạng số(digital identity) của bên
gửi thông tin (sender)trong liên lạc trao đổi xử lý thông tin chẳng hạn như một yêu cầu
đăng nhập. Bên gửi cần phải xác thực có thể là một người sử dụng máy tính,bản thân
một máy tính hoặc một phần mềm.
Việc xác thực thường phụ thuộc vào một hoặc nhiều yếu tố xác thực
(authentication factor) để minh chứng cụ thể. Xác thực là khâu đặc biệt quan trọng để
bảo đảm an toàncho hoạt động của hệ thống thông tin dạng như hệ thống ngân hàng
điện tử.
Hệ thống luôn luôn trước tiên xác thực một thực thể khi nó cố thử thiết lập liên
lạc. Khi đó nét nhận dạng củathực thể được dùng để xác định sự truy nhập của nó như
một đặc quyền hoặc để đạt được sự sẵn sàng phục vụ.
Đối với các giao dịch ngân hàng điện tử điển hình như giao dịch qua ATM /
POS, giao dịch Online/InternetBanking, giao dịch Mobile Banking thì xác thực là bắt
buộc trong quản lý truy cập.
Những yếu tố xác thực dành cho con người (người sử dụng) nói chung có thể
được phân loại như sau:
- Những cái mà người sử dụng sở hữu bẩm sinh, chẳng hạn như dấu vân tay
hoặc mẫu dạng võng mạc mắt, chuỗi ADN, mẫu dạng giọng nói, chữ ký, tín hiệu sinh
điện đặc thù do cơ thể sống tạo ra, hoặc những định danh sinh trắc học (biometric
identifier)
- Những cái người sử dụng có, chẳng hạn như chứng minh thư, chứng chỉ an ninh
(security token), chứng chỉ phần mềm (software token) hoặc điện thoại di động
- Những gì người sử dụng biết, chẳng hạn như mật khẩu (password), mật ngữ
(pass phrase) hoặc mã số định danh cá nhân (personal identification number - PIN)…
Trong thực tế, nhiều khi một tổ hợp của những yếu tố trên được sử dụng, lúc đó người
ta nói đến xác thực đa yếu tố (Multi-factor authentication)
Chẳng hạn trong giao dịch ATM, thẻ ngân hàng và mã số định danh cá nhân (PIN) được
sử dụng - trong trường hợp này đó là một trong các dạng xác thực 2 yếu tố (two-factor

2.1. Mô tả
Nhằm kiểm soát quyền truy cập ở mức hệ thống. Mỗi người sử dụng muốnvào
được mạng để sử dụng tài nguyên đều phải đăng ký tên và mật khẩu. Người quản trị
mạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định
quyền truy nhập của người sử dụng khác tuỳ theo không gian và thời gian.
Sự kết hợp của một cặp username và password có thể nói là cách xác thực cơ bản
nhất (và cũng phổ biến nhất). Với phương thức xác thực này, thông tin cặp username và
password nhập vào được đối chiếu với dữ liệu lưu trữ trên hệ thống, nếu trùng khớp
username và password, thì người sử dụng (User) được xác thực còn nếu không người sử
dụng bị từ chối hoặc cấm truy cập.
Đây là giải pháp truyền thống hay đuợc sử dụng nhất, là giải pháp sử dụng tài
khoản của hệ thống. Mỗi tài khoản bao gồm tên truy nhập (uername) và mật khẩu
(password). Tên truy nhập dùng để phân biệt các người dùng khác nhau (thường là duy
nhất trong hệ thống), còn mật khẩu để xác thực lại người sử dụng tên đó có đúng là
người dùng thật sự không. Mật khẩu thường do người sở hữu tên truy nhập tương ứng
đặt và được giữ bí mật chỉ có người đó biết.
Khi người dùng muốn đăng nhập và sử dụng tài nguyên hệ thống thì phải đăng
nhập bằng cách nhập tên và mật khẩu của mình. Trước hết, hệ thống sẽ đối chiếu tên
truy nhập của người dùng đưa vào với cơ sở dữ liệu tên người dùng, nếu tồn tại tên
người dùng như vậy thì hệ thống tiếp tục đối chiếu mật khẩu được đưa vào tương ứng
với tên truy nhập trong cơ sở dữ liệu. Qua 2 lần đối chiếu nếu thỏa mãn thì người
đăngnhập là người dùng hợp lệ của hệ thống. Vậy đây là phương thức xác thực người
dùng dựa vào yếu tố cơ bản:
Something you KNOW - Dựa vào một vài cái bạn biết (vd: user/pass)
2.2. Xác thực bằng Username/password
Khi bạn đăng nhập vào hệ thống sẽ yêu cầu bạn cung cấp user và password
Hình 2-6 Chứng thực bằng user và password
- Tuy nhiên phương pháp này xuất hiện những vấn đề như dễ bị đánh
cắptrong quá trình đến server.
- Giải pháp:

hacker có thể chặn bắt được các gói tin trên mạng và lấy cắp được mật khẩu người sử
dụng. Người dùng cũng hay có xu hướng là sử dụng những mật khẩu đơn giản, dễ nhớ
và cũng chỉ có một vài mật khẩu để sử dụng quay vòng và kết quả là rất dễ bị đoán biết.
Các phần mềm spyware hiện nay rất phổ biến và được nguỵ trang rất kỹ nên đa số
người sử dụng khó có thể nhận biết được. Những chương trình như Keyboard logging sẽ
ghi lại những gì người dùng gõ từ bàn phím và gửi đến cho chủ nhân của nó.
- Quản lý khó khăn: với nhiều hệ thống, người sử dụng phải sử dụng nhiều mật
khẩu, do vậy, vấn đề quản lý mật khẩu trở nên phức tạp. Một hệ thống mạng hiện nay
bao gồm rất nhiều các ứng dụng và dịch vụ chạy trên nó (VD: các phần mềm kế toán,
quản lý, , các dịch vụ E-Mail, nhắn tin, ). Với mỗi một ứng dụng hoặc dịch vụ đó,
thường là người sử dụng lại cần phải có thêm một mật khẩu để sử dụng. Do vậy, với số
lượng mật khẩu nhiều, người sử dụng sẽ hay ghi lại (save password) ngay trong máy
tính, viết ra giấy hoặc thậm chí không sử dụng mật khẩu. Điều này đặc biệt nguy hiểm
trong môi trường sử dụng chung máy tính.
- Chi phí cao: trong một mạng doanh nghiệp lớn, sẽ có rất nhiều yêu cầu tới bộ
phận hỗ trợ kỹ thuật về các vấn đề liên quan đến mật khẩu và hầu hết trong số đó sẽ là
do người sử dụng quên mật khẩu, mật khẩu bị hết hạn sử dụng, Trước khi bộ phận hỗ
7
trợ kỹ thuật giải quyết được vấn đề, người sử dụng sẽ không thể đăng nhập được vào hệ
thống và do vậy sẽ không thể làm việc được dẫn đến giảm năng suất lao động. Tất cả
những điều này làm chi phí của giải pháp xác thực bằng mật khẩu trên thực tế là rất cao
Với tất cả những nhược điểm trên, chúng ta có thể thấy rằng xác thực bằng mật
khẩu không thể đảm bảo được an toàn và độ tin cậy nhất là trong những lĩnh vực nhậy
cảm như ngành ngân hàng, tài chính, bưu điện, dịch vụ y tế, nơi mà những thông tin
cần phải được giữ bí mật tuyệt đối . Người sử dụng thậm chí có thể khởi kiện những tổ
chức cung cấp dịch vụ do những thông tin cá nhân của họ bị tiết lộ. Trong một hội thảo
về an ninh mạng do hãng RSA tổ chức vào tháng 2 năm 2004, ngay cả chủ tịch
Microsoft, Bill Gate cũng đã phát biểu là xác thực người dùng bằng mật khẩu hiện nay
là không an toàn.
8

®

- RSA SecurID
®
Authenticators: Là thiết bị được gắn với người sử dụng. Chúng
có thể là phần cứng hoặc phần mềm và được gọi là các Token. Nếu là phần mềm,
chúng có thể được cài đặt lên máy tính xách tay hoặc các thiết bị cầm thay khác như
PDA, Wireless Phone, Các thiết bị này tạo ra các con số khác nhau trong một khoảng
thời gian nhất định. Khách hàng có thể lựa chọn thiết bị phù hợp với nhu cầu của mình.
- RSA ACE/Agent Software: là phần mềm được cài lên trên các điểm truy cập
vào mạng (Ví dụ: gateway, VPN, Remote Access Server, ), các máy chủ (server) và
các tài nguyên thông tin cần được bảo vệ của doanh nghiệp. Nó hoạt động giống như là
một người gác cửa. Khi có yêu cầu đăng nhập của người sử dụng gửi đến, nó sẽ tiếp
nhận và chuyển những thông tin đăng nhập tới máy chủ có thành phần RSA ACE/Server
để thực hiện xác thực. Hầu hết các sản phẩm router, remote access server, firewall,
VPN, wireless access, của các hãng sản xuất hàng đầu trên thế giới đều đã tích hợp
sẵn thành phần này trong các sản phẩm của mình. Đây là một lợi ích vô cùng quan trọng
cho giải pháp RSA SecurID.
10
- RSA ACE/Server: là thành phần quản trị của giải pháp RSA SecurID được sử
dụng để kiểm tra các yêu cầu xác thực và quản trị tập trung chính sách xác thực của trên
toàn mạng doanh nghiệp.RSA ACE/Server có thể được mở rộng theo bất cứ nhu cầu
nào của doanh nghiệp. RSA ACE/Server có khả năng xác thực được hàng triệu người sử
dụng, xác thực người dùng trong mạng cục bộ, người dùng truy cập từ xa, người dùng
qua VPN, RSA ACE/Server tương thích hoàn toàn với các thiết bị mạng, RAS, VPN,
Access Point, của tất cả các hãng sản xuất lớn trên thế giới. Do vậy, với giải pháp
SecurID của RSA, người dùng hoàn toàn không phải lo lắng tới vấn đề tương thích.
3.2. Hoạt động của giải pháp xác thực RSA SecurID.
Như đã đề cập ở trên, SecurID bao gồm ba thành phần. Thành phần RSA
SecurID Authenticator hay còn được gọi là Token sẽ được trao cho người sử dụng.

hiện tại một thời điểm nào đó trong tương lai là không thể (chỉ có thể thực hiện được
khi có số seed và thuật toán).
Khi gán một token cho một người sử dụng, quản trị mạng cũng sẽ phải cập nhật
số seed của token đó vào cơ sở dữ liệu của RSA ACE/Server tương ứng với người
dùng. Trên RSA ACE/Server cũng có một chương trình chạy thuật toán tạo số giả ngẫu
nhiên giống với trên token. Khi có yêu cầu đăng nhập của người sử dụng, căn cứ vào tên
đăng nhập, căn cứ vào đồng hồ hệ thống, căn cứ vào số seed được lưu trong cơ sở dữ
liệu, khi chạy thuật toán tạo số giả ngẫu nhiên, RSA ACE/Server cũng sẽ có được một
dẫy số giống với dẫy số trên token của người sử dụng tại cùng một thời điểm. Dãy số
này được ghép với số PIN của người sử dụng trong cơ sở dữ liệu, RSA ACE/Server có
thể kiểm tra được người sử dụng này có hợp lệ hay không.
Điều gì sẽ xảy ra khi đồng hồ trên token và đồng hồ trên RSA ACE/Server
không giống nhau? Trong thực tế thì điều này luôn luôn xảy ra. Tuy vậy, RSA
ACE/Server luôn ghi nhận lại một sự sai lệch về thời gian giữa nó và từng token khi
đăng nhập và RSA ACE/Server sẽ chấp nhận bất cứ passcode nào của người sử dụng
nằm trong khoảng thời gian sai lệch đó. Ví dụ, nếu RSA ACE/Server ghi nhận sự sai
lệch của một token với nó là một phút thì nó sẽ chấp nhận bất cứ passcode nào của
người sử dụng mà rơi vào khoảng thời gian trước thời điểm đăng nhập một phút, tại
đúng thời điểm và sau thời điểm đó một phút. Khoảng thời gian sai lệch tối đa cho phép
có thể thay đổi được trên RSA ACE/Server.
Như được mô tả trên hình 2, token của người sử dụng có rất nhiều loại khác
nhau. Căn cứ vào nhu cầu thực tế, một tổ chức khi triển khai giải pháp xác thực RSA
SecurID có thể lựa chon thiết bị phù hợp nhất với yêu cầu của mình. Thành phần RSA
ACE/Agent có thể được cài lên rất nhiều điểm khác nhau trong hệ thống. Nó có thể
được cài lên các điểm truy cập vào mạng như gateway, RAS, VPN, cũng như cài lên
các server Windows, Novell, và được tích hợp sẵn trong tất cả các sản phẩm của các
hãng sản xuất lớn như Microsoft, Nokia, CheckPoint, Cisco, Nortel Thành phần RSA
ACE/Server thực sự là thành phần quan trọng nhất của giải pháp. Để có thể hoạt động
được liên tục và thuận lợi cho quá trình xác thực người sử dụng, RSA ACE/Server có
thể được cài lên trên nhiều server trong đó có một máy đóng vai trò chính (ACE/Server

gian là một phần quan trọng của thuật toán mật khẩu, mật khẩu mới sinh ra sẽ được dựa
trên thời gian hiện tại chứ không phải là mật khẩu trước hoặc một chìa khóa bí mật.
Token này có thể là một thiết bị độc quyền, hoặc một điện thoại hoặc thiết bị
tương tự như điện thoại di động điện thoại di động chạy phần mềm độc quyền, phần
mềm miễn phí, mã nguồn mở.
13
3.3.2.2 Sử dụng thuật toán tạo mật khẩu mới dựa trên mật khẩu cũ
(Mathematical algorithms)
Mỗi OTP mới có thể được tạo ra từ các OTPs đã sử dụng. Một ví dụ của loại
hình này của thuật toán của Leslie Lamport , sử dụng một chức năng một chiều (gọi nó
là f).
Một mật khẩu hệ thống hoạt động bằng cách bắt đầu với một hạt giống ban đầu
s, sau đó tạo ra mật khẩu f (s), f (f (s)), f (f (f (s))), nhiều lần khi cần thiết. Mật khẩu
mỗi sau đó được phân phối theo chiều ngược lại, với f (f (f (s)) ) đầu tiên, f (s). Nếu
không xác định một loạt các mật khẩu theo ý muốn, một giá trị giống mới có thể được
lựa chọn sau khi các thiết lập cho s cạn kiệt. Hệ thống mật khẩu một lần S / KEY và
OTP dẫn xuất của nó được dựa trên sơ đồ Lamport.
Để có được mật khẩu tiếp theo trong chuỗi từ các mật khẩu trước đó, người ta
cần phải tìm một cách tính chức năng nghịch đảo f
-1
. Điều này là vô cùng khó khăn để
làm. Nếu f là một hàm băm mật mã, mà nói chung là các trường hợp, đó là (cho đến nay
được biết đến) một nhiệm vụ tính toán khả thi.
Việc sử dụng mật khẩu một lần đòi hỏi người sử dụng phải chịu trách nhiệm.Ví
dụ, điều này có thể được thực hiện bằng cách nhập vào giá trị mà các mã thông báo đã
được tạo ra vào Tokencủa mình. Để tránh trùng lặp, phải thêm một bộ đếm, do đó, nếu
xảy ra kết quả vẫn là một mật khẩu một lần khác. Tuy nhiên, tính toán này thường
không liên quan đến mật khẩu một thời gian trước đó, có nghĩa là, thông thường thuật
toán này hoặc thuật toán khác được sử dụng, thay vì sử dụng cả hai thuật toán.
3.4. Ưu điểm của giải pháp RSA SecurID

Với các ưu điểm trên, chúng ta thấy rằng giải pháp xác thực người sử dụng RSA
SecurID thực sự là một giải pháp rất tối ưu. Trong một hệ thống, với những cá nhân có
quyền truy cập vào các thông tin quan trọng và nhậy cảm như lãnh đạo tổ chức, phòng
kế toán, các quản trị hệ thống, thì sử dụng giải pháp xác thực này sẽ giảm thiểu đến
mức thấp nhất các nguy cơ như bị đánh cắp thông tin hay phá hoại xuống đến mức thấp
nhất.
15
CHƯƠNG 4: GIẢI PHÁP XÁC THỰC BẰNG THẺ THÔNG MINH
(SMART CARD)
Thẻ thông minh, thẻ gắn chip, or thẻ mạch tích hợp ( integrated circuit card
-ICC) là loại thẻ có kích thước đút được trong ví, thường có kích thước của thẻ tín
dụng, được gắn một bộ mạch tích hợp có khả năng lưu trữ và xử lý thông tin. Nghĩa là
nó có thể nhận dữ liệu, xử lý dữ liệu bằng các ứng dụng thẻ mạch tích hợp, và đưa ra kết
quả. Hầu hết các loại thẻ thông minh đều có thể làm việc với văn bản nhị phân và dữ
liệu số. Thẻ thông minh có thể lưu trữ một giá trị tiền nào đó và người dùng có thể mua
hàng hóa ở những cửa hàng hay tiệm bán lẻ chịu thanh toán bằng thẻ. Loại thẻ này cũng
có thể lưu trữ những đặc điểm y học hay đưa vào bộ đọc thẻ trên PC để mua hàng qua
Internet; ngoài ra còn có thể dùng để trả tiền đi xe lửa và xe bus, chứng thực từ xa,
chứng thực Windows, truy cập vật lý.
Về cơ bản chứng thực bằng thẻ thông minh và dùng Token cũng cùng một công nghệ
chứng thực dựa trên chip – phương pháp thường được cho là chứng thực dựa trên hai hệ
số.
Có hai loại thẻ thông minh chính:
- Các thẻ nhớ (Memory card) chỉ chứa các thành phần bộ nhớ non-volatile, và có
thể có một số chức năng bảo mật cụ thể.
- Thẻ vi xử lý chứa bộ nhớ volatile và các thành phần vi xử lý. Thẻ làm bằng nhựa,
thường là PVC, đôi khiABS. Thẻ có thể chứa một ảnh 3 chiều (hologram) để tránh các
vụ lừa đảo.
4.1. Cấu tạo của thẻ thông minh
Về cơ bản, thẻ thông minh bao gồm 3 bộ phận. Thẻ nhựa là bộ phận quan trọng

các biện pháp kiểm tra việc truy cập các tập tin và các công việc khác được thực hiện ở
giai đoạn này. Việc truy cập thông tin trên thẻ sẽ bị hạn chế bởi các chính sách bảo mật
được cài đặt trong các chương trình ứng dụng.
5.Giai đoạn cuối cùng: Giai đoạn thẻ hết giá trị sử dụng
Có 2 cách để dẫn thẻ đến giai đoạn này. Cách thứ nhất là sử dụng chương trình vô hiệu
hoá để khoá từng tập tin riêng lẻ hoặc khoá tập tin chủ. Khi đó hệ điều hành sẽ vô hiệu
hoá tất cả các hoạt động bao gồm cả việc nhập và cập nhập dữ liệu. Những chỉ dẫn chỉ
đọc có thể vẫn có tác dụng cho mục đích phân tích. Cách khác để làm cho thẻ mất hiệu
lực là khi hệ thống kiểm soát chặn đứng quá trình tiếp cận do PIN và giải mã PIN đều bị
khoá, thì tất cả các hoạt động đều bị chặn lại kể cả chức năng chỉ đọc.
4.2. Cấu trúc tệp tin hợp lý và kiểm soát tiếp cận
Sau khi nhà cung cấp ứng dụng phát hành thẻ thông minh cho người tiêu dùng,
việc bảo vệ thẻ sẽ được kiểm soát bởi hệ điều hành của chương trình ứng dụng. Việc
tiếp cận dữ liệu phải được thực hiện thông qua cấu trúc các tập tin hợp lý trên thẻ.
4.2.1 Cấu trúc tệp tin hợp lý
Nhìn chung về mặt lưu trữ dữ liệu, mỗi thẻ thông minh có thể được xem như là
một ổ đĩa nơi mà tập tin được sắp xếp một cách trật tự thông qua các thư mục. Tương tự
như MS-DOS, có một tập tin chủ giống như thư mục gốc. Trong thư mục gốc chúng ta
có thể có nhiều tập tin khác nhau gọi là các tập tin cơ bản (Efs). Chúng ta có thể có
nhiều tiểu thư mục gọi là các tập tin chuyên sâu (DFs). Trong mỗi tiểu thư mục lại sẽ có
những tập tin cơ bản. Khác nhau chủ yếu giữa cấu trúc tập tin trong thẻ thông minh và
trong MS-DOS là các tập tin chuyên sâu cũng có thể chứa dữ liệu.
Đối với tập tin chủ, bên cạnh việc phần tiêu đề chứa tên của tập tin đó, phần nội
dung chứa tiêu đề của tất cả các tập tin chuyên sâu và tập tin cơ bản. Tập tin chuyên sâu
là những tập tin nhóm chức bao gồm bản thân tập tin đó và tất cả các tập tin là tập con
của nó. Tập tin cơ bản chỉ chứa tiêu đề của tập tin đó và phần nội dung là nơi lưu trữ dữ
liệu của tập tin đó.
17
Các cách quản lý dữ liệu trong một tập tin thường khác nhau và phụ thuộc vào
các hệ điều hành khác nhau. Một số hệ điều hành có thể quản lý dữ liệu một cách đơn

định được chủ thẻ 2 là chính xác không có nghĩa là có thể tiếp cận được tập tin, mà nó
còn yêu cầu xác định chủ thẻ 1 là chính xác. Trong quá trình hoạt động, các yêu cầu
tương ứng phải được đáp ứng đầy đủ trước khi lựa chọn tập tin. Ví dụ, nếu hệ thống yêu
cầu xác định chủ thẻ 1 là điều kiện tiếp cận thì mới cần đáp ứng điều kiện này.
- Sử dụng PIN
Thông thường PIN được lưu trên các tập tin cơ bản riêng biệt. Việc sử dụng các điều
kiện tiếp cận trên những tập tin này có thể tránh cho PIN bị thay đổi. PIN có thể bị thay
đổi bằng cách đưa ra những hướng dẫn đổi PIN. Tuy nhiên, đối với hầu hết các hệ điều
hành của thẻ thông minh, số PIN đang dùng sẽ bị mất giá trị hoặc bị khoá nếu một ai đó
nhập sai số PIN nhiều lần tiền tiếp. Số lần này tuỳ thuộc vào từng hệ thống khác nhau.
18
Hiện nay, tất cả các tập tin đều yêu cầu PIN sẽ bị khoá hoặc không thể tiếp cận
được. Việc giải mã PIN được thực hiện khi biết chính xác số PIN và có một phần mềm
giải mã PIN được lưu giữ trên thẻ. Nếu việc giải mã không thành công trong một số lần
sử dụng liên tiếp thì chức năng giải mã PIN không khoá sẽ bị khoá. Do đó cả 2 tính
năng nhập PIN và giải mã PIN sẽ bị vô hiệu hoá và không thể phục hồi lại được.
- Quản lý PIN
Để giữ bí mật vào bảo vệ PIN, có 2 máy đếm khác nhau được cài đặt để đếm số
lần nhập PIN và giải mã PIN không chính xác liên tiếp. Có 3 giai đoạn trong việc quản
lý PIN:
1. Nhập đúng PIN: Để truy cập các tập tin hoặc thực hiện các công việc khác
bằng thẻ thông minh, chủ thẻ phải nhập đúng số PIN của mình. Nếu nhập đúng số PIN,
máy đếm PIN sẽ cài đặt lại số lần được nhập PIN sai tối đa, thường là 3 lần.
2. Nhập sai PIN: Sau mỗi lần nhập sai PIN, máy đếm số lần nhập sai PIN sẽ giảm
số lần được phép nhập PIN đi một lần. Nếu máy đếm chỉ số 0 thì PIN sẽ bị khoá. Khi đó
tất cả các hoạt động hoặc các thao tác đòi hỏi phải nhập PIN sẽ bị vô hiệu.
3. Khoá PIN: Trong trường hợp PIN bị khoá, tất cả các hoạt động mà đòi hỏi
phải nhập PIN, thậm chí cả những hướng dẫn sử dụng PIN, sẽ bị khoá. Lúc này cần phải
sử dụng hướng dẫn giải mã PIN. Nếu việc giải mã PIN thành công thì máy đếm sẽ cài
đặt lại số lần được nhập sai PIN tối đa. Tuy nhiên, nếu mỗi lần giải mã PIN không thành

thất lạc hành lý. Quan trọng hơn hệ thống này có thể giúp nhận dạng bọn tội phạm và
bọn khủng bố.
Nhìn chung việc sử dụng thẻ thông minh như một loại giấy tờ tuỳ thân sẽ trở
thành xu hướng được ưa chuộng trong tương lai, nó thay thẻ các loại giấy tờ truyền
thống. Các thông tin lưu trữ trên thẻ về chủ thẻ sẽ ngày càng nhiều và ngày càng nhạy
cảm. Do đó, hệ thống kiểm soát việc tiếp cận thẻ hiện nay dựa trên cơ sở việc nhập PIN
có thể không đủ an toàn. Do vậy, hệ điều hành của thẻ có thể phải kết hợp với một số
loại thuật toán nhận dạng để bảo vệ các tập tin cũng như toàn hệ thống.
Nhận dạng bằng Kerberos
Kerberos là một trong các hệ thống cung cấp các dịch vụ nhận dạng in cậy để
nhận dạng người sử dụng. Khi một người sử dụng hoặc một khách hàng yêu cầu được
truy cập một dịch vụ nào đó từ server thì anh ta phải được chấp thuận từ server nhận
dạng Kerbros. Sau đó người sử dụng xuất trình sự chấp thuận này cho server cấp giấy
chấp thuận và nhận giấy chấp thuận sử dụng dịch vụ. Cuối cùng, người sử dụng yêu cầu
được sử dụng dịch vụ bằng cách đệ trình giấy chấp thuận sử dụng dịch vụ cho server
ứng dụng. Với quy trình này, server ứng dụng có thể đảm bảo việc cung ứng các dịch vụ
cho đúng đối tượng khách hàng mà có nhu cầu truy cập. Chỉ có người sử dụng hợp pháp
mới có thể sử dụng giấy phép thuận lợi vì những người khác không có mật khẩu để giải
mã.
Kiểm soát việc truy cập vào hệ điều hành
Kiểm soát việc truy cập là một trong những công việc quan trọng của công nghệ
thẻ thông minh. Nó cũng là động lực để thúc đẩy sự phát triển thẻ thông mịnh. Làm thế
nào để kiểm soát được việc truy cập vào hệ điều hành từ một máy tính cá nhân bằng
cách sử dụng thẻ thông minh.
Thẻ thông minh được thiết kế để yêu cầu người sử dụng phải được nhận dạng
trước khi truy cập dữ liệu. Trong quá trình khởi động hệ thống, 2 thao tác nhận dạng
phải được thực hiện trước khi hoàn tất một loạt các lệnh khác. Trước hết người sử dụng
được nhận dạng thông qua mật khẩu, sau đó máy chủ sẽ nhận dạng thẻ bằng cách đọc
các thông tin bí mật trên thẻ. Sau khi 2 thao tác này khớp với nhau máy chủ đọc các
thông tin trên thẻ và hoàn tất một loạt các lệnh. Sau đó máy tính cá nhân hoạt động như

không thực hiện bất kỳ giao tiếp vật lý nào hoặc yêu cầu sự nhìn thấy giữa hai thiết bị.
Nó cho ta phương pháp truyền và nhận dữ liệu từ một điểm đến điểm khác.
Kỹ thuật RFID đã có trong thương mại trong một số hình thức từ những năm
1970. Bây giờ nó là một phần trong cuộc sống hằng ngày, có thể thấy trong những chìa
khóa xe hơi, thẻ lệ phí quốc lộ và các lọai thẻ truy cập an toàn, cũng như trong môi
trường mà nơi đó việc đánh nhãn bằng mã số kẻ vạch trên hàng hóa (yêu cầu giao tiếp
vật lý hoặc nhìn thấy) là không thực tế hoặc không hiệu quả lắm.
Dạng đơn giản nhất được sử dụng hiện nay hệ thống RFID bị động làm việc như
sau: một RFID reader truyền một tín hiệu tần số vô tuyến điện từ qua anten của nó đến
một con chip không tiếp xúc. Reader nhận thông tin trở lại từ chip và gửi nó đến máy
tính điều khiển đầu đọc và xử lý thông tin tìm được từ con chip. Các con chip không
tiếp xúc không tích điện, chúng hoạt động bằng cách sử dụng năng lượng chúng nhận từ
tín hiệu được gửi bởi một reader.
Thành phần của một hệ thống RFID:
Một hệ thống RFID toàn diện bao gồm bốn thành phần:
1. Thẻ RFID được lập trình điện tử với thông tin duy nhất.
2. Các reader hoặc sensor (cái cảm biến) để truy vấn các thẻ.
3. Anten
4. Server
5.2. Nguyên lý làm việc của RFID
Một hệ thống RFID cơ bản có ba
thành phần: thẻ, đầu đọc, và một host
computer. Thẻ RFID gồm chip bán dẫn nhỏ
và anten được thu nhỏ trong một số hình
thức đóng gói. Vài thẻ RFID giống như
những nhãn giấy và được ứng dụng để bỏ
vào hộp và đóng gói. Một số khác được sáp
nhập thành các vách của các thùng chứa
plastic được đúc. Còn một số khác được
22

Với ưu điểm chính của việc sử dụng công nghệ RFID là không cần nhìn thấy đối
tượng cũng có thể định danh được đối tượng, có độ bền cao, chịu được hoạt động trong
các môi trường khắc nghiệt, việc truy cập không cần tiếp xúc (có thể đọc được thẻ từ
khoảng cách xa tới vài mét), không bị hỏng do tiếp xúc cơ học, có khả năng phân biệt
nhiều thẻ hiện diện cùng một lúc , thì việc quản lý thông tin bằng cách ứng dụng hệ
thống RFID vào các lĩnh vực quản lý đối tượng, quản lý nhân sự, quản lý hàng hóa bán
23
lẻ trong siêu thị, nghiên cứu động thực vật học, quản lý hàng hóa trong xí nghiệp hay
nhà kho, quản lý xe cộ qua trạm thu phí, làm thẻ hộ chiếu … đã giúp các doanh nghiệp:
- Giảm chi phí thông tin do các thẻ RFID có thể lưu bằng điện tử một khối lượng
lớn thông tin được gắn vào đồ vật. Các thông tin đó có thể được thay đổi và cập nhật tại
điểm sử dụng. Trong khi các mã vạch và trao đổi dữ liệu điện tử EDI (Electronic Data
Interchange) giữa các máy tính luôn gặp phải một số hạn chế: các mã vạch thông thường
được đầu đọc quét qua nó và phải được đọc liên tục; các mã vạch không thể thay đổi
một khi đã được in ra và dễ bị dính bụi và dễ bị trầy xước.
- Tăng độ chính xác do hệ thống RFID cho phép thông tin được lưu lại một cách
tức thời và bất cứ đâu thuận tiện nhất.
5.4. Các ứng dụng RFID hiện hành
Các ứng dụng thương mại cho đầu tư và cung cấp việc quản lý chuyền đang
khiến cho sự phát triển và gia tăng kỹ thuật RFID. Wal-Mart®, trung tâm bán lẻ lớn
nhất thế giới, và khu quân sự Mỹ (DoD), nhà điều hành dây chuyền lớn nhất thế giới đã
thúc sự gia tăng này bởi việc yêu cầu các nhà cung cấp sử dụng thẻ RFID. Wal-Mart yêu
cầu 100 nhà cung cấp lớn nhất bắt đầu làm thẻ pallet và cho vào hộp các thẻ RFID thụ
động, thúc đẩy các nhà bán lẻ khác thực hiện kế họach tương tự. DoD nhanh chóng theo
và yêu cầu thêm các thùng đựng hàng được vận chuyển ngoài lục địa Mỹ có các thẻ
RFID chủ động để nhận biết cái chứa đựng bên trong và nguồn gốc. Phạm vi áp dụng
rất lớn của Wal-Mart và DoD qua đó thực thi RFID được hỗ trợ bằng cách đưa kỹ thuật
này thành xu thế chủ động và làm cho nó sinh lợi nhiều hơn.
Hướng sáp nhập kỹ thuật RFID thành dây chuyền được thúc đẩy bởi sự có lợi mà
dễ thấy trong bản kiểm kê: tăng lượng vận chuyển/nhận, cung cấp có năng suất cao và

- Giá cao: Nhược điểm chính của kỹ thuật RFID là giá còn khá cao. Trong khi
các đầu đọc và bộ cảm ứng được dùng để đọc thông tin.có giá ngòai 2000$ đến 3500$
mỗi cái, và các thẻ trị giá 40$ đến 75$ mỗi cái.
- Dễ bị ảnh hưởng gây nhiễu: có thể làm nhiễu một hệ thống RFID bởi việc phủ
vật liệu bảo vệ từ 2 đến 3 lớp kim loại thông thường để ngăn chặn tín hiệu radio. Cũng
có thể tổn hại hệ thống RFID bởi việc đặt hai thẻ đối ngược với cái khác để một thẻ che
cái khác. Điều đó có thể hủy các tín hiệu. Điều này đòi hỏi kiến thức về kỹ thuật và kỹ
năng.
- Các vấn đề đầu đọc, bộ cảm ứng cổng exit: trong khi các đầu đọc phạm vi ngắn
được sử dụng cho việc thanh tóan tiền và việc kiểm kê xuất hiện để đọc các thẻ 100 %
thời gian, hiệu suất của bộ cảm ứng cổng exit thì khó giải quyết hơn. Chúng luôn luôn
không đọc thẻ quá hai lần khoảng cách của các đầu đọc khác. Không có thư viện thực
hiện một việc kiểm kê trước và sau để xác định tỉ lệ mất mát khi RFID sử dụng cho việc
bảo đảm an toàn.
25