Hệ thống xác thực sinh trắc học dựa trên cơ sở “bạn là ai” để bảo vệ các cơ sở hạ tầng quan trọng và nâng cao hạ tầng an toàn [1]. Hệ thống xác thực sinh trắc học có nhiều lợi thế hơn so với xác thực dựa trên mật khẩu hoặc xác thực dựa trên token truyền thống, là những phương pháp xác thực dựa trên cơ sở “những gì bạn biết hay có” (tham khảo bảng 4 trong tài liệu [5] được in trong Tạp chí An toàn thông tin). Ví dụ, hệ thống sinh trắc học có thể tránh được những bất tiện của việc ghi nhớ mật khẩu dài hay mất token [2]. Xác thực sinh trắc học trở thành một kỹ thuật kiểm soát truy cập phổ biến và đáng tin cậy, hiện đã trở thành tính năng tiêu chuẩn trong các thiết bị di động thông minh [3]. Tuy nhiên, mô hình xác thực đơn nhân tố (đã được đề cập trong tài liệu [6] in trong Tạp chí An toàn thông tin) có nhược điểm thường có hạn chế về độ chính xác, độ ổn định đối với những yêu cầu ứng dụng đòi hỏi độ chính xác cao (như nhận dạng, xác thực ở sân bay). Ngoài ra, hệ thống xác thực đơn nhân tố phụ thuộc vào một đặc điểm sinh trắc học duy nhất nên khi đặc điểm này không sẵn sàng (ví dụ như giọng nói bị thay đổi do yếu tố sức khỏe, khuôn mặt thay đổi theo thời gian) thì hệ thống xác thực cũng sẽ không hoạt động.
Hệ thống xác thực sinh trắc đa nhân tố khắc phục những nhược điểm của hệ thống xác thực sinh trắc học đơn nhân tố và nâng cao độ an toàn, bảo mật của hệ thống xác thực bằng việc sử dụng nhiều yếu tố sinh trắc khác nhau cho quá trình xác thực. Tuy nhiên, việc kết hợp các yếu tố sinh trắc học tạo ra nhiều mô hình xác thực sinh trắc học đa nhân tố. Trong phần tiếp theo, bài báo sẽ phân tích và trình bày các mô hình xác thực sinh trắc học đa nhân tố ở các mức kết hợp khác nhau, nhưng trước hết phần II sẽ giới thiệu sơ lược về mô hình xác thực sinh trắc học đơn nhân tố và những nhược điểm tồn tại của mô hình này.
Mô hình xác thực sinh trắc học đơn nhân tố bao gồm hai giai đoạn: đăng ký (Enrollment) và nhận dạng (Recognition) như trong Hình 1.
Hình 1. Mô hình xác thực sinh trắc học đơn nhân tố
Giai đoạn đăng ký được mô tả trong Hình 2 gồm các bước: thu nhận dữ liệu sinh trắc học (Biometric sensor và Input Image), trích xuất đặc trưng (Feature extractor) (cải thiện chất lượng dữ liệu, đánh giá chất lượng dữ liệu và trích xuất đặc trưng), tạo mẫu tham chiếu (Template) và lưu trữ vào cơ sở dữ liệu (Database).
Hình 2. Giai đoạn đăng ký
Đăng ký là quá trình quan trọng nhất của một hệ thống xác thực sinh trắc học. Kết quả của giai đoạn đăng ký là thực hiện lấy mẫu tham chiếu và đóng vai trò quyết định tới việc xác thực có thành công sau này hay không. Trong đó, chất lượng mẫu tham chiếu là yếu tố quyết định tính bền lâu của đặc điểm sinh trắc được sử dụng.
Giai đoạn nhận dạng (Hình 3) sẽ bao gồm các bước: thu nhận dữ liệu sinh trắc (Data Acquisition), trích xuất đặc trưng (Signal Processing), đối sánh với mẫu tham chiếu (Comparison) và ra quyết định (Decision).
Hình 3. Giai đoạn nhận dạng
Tùy thuộc vào hệ thống định danh (Identification) hay xác minh (Verification), thì bước đối sánh với mẫu tham chiếu có sự sai khác (đối sánh 1:1 cho xác minh và đối sánh 1:n cho định danh) (Hình 4).
Hình 4. So sánh quá trình định danh và xác minh
Ngày nay, các hệ thống xác thực sinh trắc học trong các ứng dụng thực tiễn phần lớn là mô hình xác thực đơn nhân tố. Tuy nhiên, hệ thống này tồn tại nhiều điểm hạn chế, Ross et al. [4] chỉ ra rằng không hệ thống xác thực sinh trắc học đơn nhân tố nào đủ mạnh có thể giải quyết các nguy cơ gây ra bởi các yếu tố bên ngoài.
Hệ thống xác thực đơn nhân tố thường đối mặt với những vấn đề lớn gặp phải như:
- Vấn đề nhiễu: Trong bước lấy mẫu sinh trắc học, dữ liệu mẫu thu được thường có sự sai khác do nhiều yếu tố gây ra. Ví dụ : Ngón tay có vết xước trên vân tay hay giọng nói thay đổi do người dùng bị cảm lạnh. Vấn đề dữ liệu sinh trắc học bị nhiễu gây ra kết quả không chính xác khi xác thực.
- Yếu tố sinh trắc học thay đổi: yếu tố sinh trắc học hoàn toàn có thể bị thay đổi theo thời gian, ví dụ như khuôn mặt có thể thay đổi theo độ tuổi của con người.
- Khả năng chống phá hoại: Kẻ tấn công giả dạng thành công người dùng bằng cách làm sai lệch dữ liệu sinh trắc học lấy từ người dùng.
Những hạn chế của mô hình xác thực sinh trắc học đơn nhân tố có thể được giải quyết bằng cách kết hợp nhiều nhân tố sinh trắc học trong quá trình xác thực hay còn được gọi là mô hình xác thực sinh trắc học đa nhân tố. Mô hình xác thực này an toàn hơn bởi tích hợp nhiều lớp xác thực độc lập và giúp giải quyết những vấn đề còn thiếu sót trong mô hình xác thực sinh trắc học đơn nhân tố.
Kết hợp các đặc trưng (Feature Fusion) khác nhau để tạo ra một tập hợp đặc trưng mới. Ví dụ, về kết hợp mức đặc trưng có thể thực hiện với người dùng được thực hiện trích xuất bằng nhiều cảm biến. Khi các vectơ đặc trưng là đồng nhất, chẳng hạn như nhiều hình ảnh vân tay, giá trị trung bình có trọng số của các đặc trưng riêng lẻ có thể được tính toán tạo ra một vectơ đặc trưng (Feature vector) duy nhất (Hình 5).
Hệ thống xác thực sinh trắc học đa nhân tố kết hợp mức điểm số (Score fusion) giữa các điểm số riêng biệt của các nhân tố sinh trắc khác nhau đưa ra điểm số tổng (Total score) để so sánh với ngưỡng (Threshold) cho trước trong việc đưa ra quyết định khớp/không khớp (Hình 6). Do đó, tổng hợp điểm so sánh nói chung là cách tiếp cận được ưu tiên để tích hợp dữ liệu. Điểm số tổng được kết hợp bằng nhiều kỹ thuật khác nhau để tạo ra một điểm số mới để so sánh với ngưỡng. Ngày nay, có hai cách tiếp cận chính được sử dụng để tạo ra điểm số so sánh là phân lớp và tổ hợp.
Trong cách tiếp cận phân lớp, mô hình có thể xây dựng một vectơ đặc trưng với các điểm số riêng lẻ và sau đó phân thành lớp với nhãn chấp nhận hoặc loại bỏ. Cách tiếp cận phân lớp có thể sử dụng thuật toán cây quyết định, SVM hoặc LDA để phân lớp vectơ đặc trưng xác định người dùng là giả mạo hoặc thật. Với phương pháp tổ hợp, mô hình tổ hợp các điểm số riêng lẻ để tạo ra một điểm số vô hướng duy nhất để đưa ra quyết định cuối cùng. Phương pháp tổ hợp tạo ra điểm số tổng hợp tạo ra hiệu suất vượt trội so với mức kết hợp khác.
Ở kết hợp mức quyết định (Decision Fusion), mỗi mô hình xác thực sinh trắc học riêng lẻ đưa ra một quyết định xác thực và sau đó những quyết định đó được kết hợp bằng cách sử dụng phương pháp tương tự như bỏ phiếu chọn đa số. Hai quá trình xác thực riêng được kết hợp mức quyết định với đâu ra là quyết định có/không. Kết hợp ở mức độ quyết định thường được sử dụng nhưng được coi là không mềm dẻo và khá đơn giản do thông tin quyết định có sẵn rất hạn chế. Tuy nhiên, đối với một số mô hình triển khai nhất định, việc sử dụng mô hình này có tính khả thi cao (Hình 7).
Nhìn chung, hệ thống xác thực sinh trắc học đa nhân tố cung cấp hiệu suất nhận dạng vượt trội so với hệ thống xác thực sinh trắc học đơn phương thức. Hệ thống đa phương thức cung cấp một loạt các ưu điểm:
- Giảm số lần chấp nhận sai và từ chối sai, do đó cải thiện đáng kể độ chính xác đối sánh và hiệu suất tổng thể của hệ thống xác thực sinh trắc học, điều này giúp giảm đáng kể tỷ lệ lỗi.
Hình 5. Mô hình xác thực sinh trắc học đa nhân tố kết hợp mức đặc trưng
Hình 6. Mô hình xác thực sinh trắc học đa nhân tố kết hợp mức điểm số
Hình 7. Mô hình xác thực sinh trắc học đa nhân tố kết hợp mức quyết định
- Ngăn chặn tốt hơn những tấn công hệ thống xác thực sinh trắc học vì rất khó để giả mạo đồng thời nhiều đặc điểm.
- Mở rộng phạm vi khả năng hoạt động của hệ thống xác thực trong điều kiện môi trường khắc nghiệt có thể chấp nhận được (ví dụ: môi trường cần phải giảm tiếng ồn) để xác thực hoặc định danh có thể thực hiện.
- Cung cấp thêm giải pháp bổ trợ cho việc ghi danh, xác minh và nhận dạng, tăng tính khả dụng của hệ thống sinh trắc học, mở rộng đối tượng sử dụng và giảm thiểu tác động của sự khác biệt giữa các đối tượng sử dụng.
Hệ thống xác thực sinh trắc học đa nhân tố còn một số nhược điểm như chi phí cao, phức tạp và thời gian xử lý lâu hơn. Song, những nhược điểm này được bù đắp lại bằng ưu điểm của mô hình mang lại.
Công nghệ xác thực bằng sinh trắc học cung cấp mức độ bảo mật cao hơn, tiện lợi hơn so với các phương pháp truyền thống. Tuy nhiên, hệ thống sinh trắc học cũng không tránh khỏi các lỗi khi so khớp, bị ảnh hưởng bởi nhiều yếu tố, bao gồm các yếu tố về môi trường triển khai, tương tác với người dùng và cả sức mạnh của thuật toán thực hiện so sánh. Do đó, có thể sử dụng kết hợp nhiều yếu tố sinh trắc để có thể bảo mật tốt hơn cho các hệ thống yêu cầu cao về tính bảo mật.
TÀI LIỆU THAM KHẢO 1. McAteer, A. Ibrahim, G. Zheng, W. Yang, and C. Valli, “Integration of biometrics and steganography: A comprehensive review,” Technologies, vol. 7, no. 2, pp. 34, 2019. 2. M. A. Nematollahi, and S. A. R. Al-Haddad, “Distant speaker recognition: an overview,” International Journal of Humanoid Robotics, vol. 13, no. 02, pp. 1550032, 2016. 3. W. Meng, D. S. Wong, S. Furnell, and J. Zhou, “Surveying the development of biometric user authentication on mobile phones,” IEEE Communications Surveys & Tutorials, vol. 17, no. 3, pp. 1268-1293, 2014. 4. Ross, A. A., Nandakumar, K., & Jain, A. K. (2006). Handbook of multibiometrics (Vol. 6). Springer Science & Business Media. 6. Trần Quang Kỳ. Xác thực đa nhân tố: nhu cầu và phát triển. Tạp chí An toàn thông tin, số 1(53) 2020. |
ThS. Nguyễn Thị Hồng Hà
09:00 | 18/06/2021
10:00 | 27/05/2022
10:00 | 25/02/2019
15:00 | 17/02/2022
09:00 | 13/06/2022
07:00 | 17/06/2022
08:01 | 05/09/2016
13:00 | 29/12/2023
Hiện nay, số lượng các vụ tấn công mạng trên ứng dụng web đang có xu hướng ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi, với mục tiêu nhắm vào các dịch vụ cơ sở trọng yếu, khối tài chính, ngân hàng và các tổ chức/doanh nghiệp (TC/DN) lớn. Hậu quả của các cuộc tấn công này có thể là giả mạo giao dịch, gián đoạn hoạt động kinh doanh hay vi phạm dữ liệu, dẫn đến nguy cơ rò rỉ thông tin và mất mát dữ liệu quan trọng. Điều này gây ra nhiều thiệt hại đáng kể về tài chính cũng như uy tín của các TC/ DN. Bài báo sẽ trình bày thực trạng về bảo mật ứng dụng web năm 2023 dựa trên báo cáo của công ty an ninh mạng OPSWAT, cùng các giải pháp phòng tránh mối đe dọa tấn công mạng này.
09:00 | 04/05/2023
Những năm gần đây, các ứng dụng sử dụng hệ thống IoT đang ngày càng phát triển bởi khả năng mềm dẻo trong thiết kế phần cứng và thu thập dữ liệu. Đồng hành cùng với sự thay đổi của các công nghệ mạng truyền dẫn, tín hiệu, Wifi Mesh đang trở thành một lựa chọn thực tế và phù hợp đối với các hệ thống IoT công nghiệp, thương mại điện tử. Thông qua bài báo này, nhóm tác giả sẽ giới thiệu về nền tảng công nghệ mạng Wifi Mesh, từ đó làm cơ sở cho việc ứng dụng để thiết kế hệ thống giám sát đo độ nghiêng sẽ được trình bày trong kỳ tới.
10:00 | 25/04/2023
HTTP và HTTPS là những giao thức ứng dụng có lịch sử lâu đời của bộ giao thức TCP/IP, thực hiện truyền tải siêu văn bản, được sử dụng chính trên nền tảng mạng lưới toàn cầu (World Wide Web) của Internet. Những năm gần đây, Google đã nghiên cứu thử nghiệm một giao thức mạng mới trong giao thức HTTP phiên bản 3 đặt tên là QUIC, với mục tiêu sẽ dần thay thế TCP và TLS trên web. Bài báo này giới thiệu về giao thức QUIC với các cải tiến trong thiết kế để tăng tốc lưu lượng cũng như làm cho giao thức HTTP có độ bảo mật tốt hơn.
10:00 | 21/04/2023
Hiện nay, các ứng dụng sử dụng hệ thống Internet vạn vật (Internet of Things - IoT) phát triển nhanh về số lượng dẫn đến những nguy cơ tiềm ẩn về lộ lọt dữ liệu nhạy cảm. Trong bài báo này, nhóm tác giả đề xuất một phương pháp mã hóa phân vùng trên máy tính nhúng sử dụng dm-crypt và LUKS để bảo vệ dữ liệu cho ứng dụng camera, đồng thời tích hợp thêm thuật toán mật mã Kuznyechik trong chuẩn GOST R34.12-2015 trên máy tính nhúng Raspberry Pi. Trong phần I, bài báo đi tìm hiểu về các phương pháp mã hóa dữ liệu và trình bày về các giải pháp mã hóa dữ liệu lưu trữ, giới thiệu nguyên lý hoạt động và một số công cụ phần mềm hỗ trợ mã hóa dữ liệu cả về thương mại lẫn mã nguồn mở, tìm hiểu sâu hơn về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024