Mô hình thế hệ thứ hai

Một phần của tài liệu Xác thực hộ chiếu sinh trắc với cơ chế PACE và EAC (Trang 34 - 35)

4. Các phiên bản HCST

4.2Mô hình thế hệ thứ hai

Năm 2006 một tập các chuẩn cho HCST được đưa ra bởi các nước châu Âu (EU), gọi là kiểm soát truy cập mở rộng (Extended Acess Control - EAC) đã được công nhận bởi New Technologies Working Group (NTWG). Mục đích chính của EAC là cung cấp một cách toàn diện hơn các giao thức xác thực cho RFID và IS. Nó cũng nhằm đảm bảo an ninh cho các đặc trưng sinh trắc mở rộng cho HCST sử dụng trong thế hệ thứ hai này. Trong phần này sẽ miêu tả giao thức xác thực Chip (Chip Authentication) và xác thực đầu đọc (Terminal Authentication). Chúng được dùng để bổ sung cho giao thức PA, BAC và có thể thay thế giao thức AA đã được miêu tả trong thế hệ HCST thứ nhất.

4.2.1 Chip Authentication

Chip Authentication là cơ chế bắt buộc khi sử dụng EAC. Nó được dùng để thay thế AA. Nếu Chip Authentication thực hiện thành công, nó sẽ thiết lập một cặp khoá mã hoá mới và khoá MAC để thay thế quá trình BAC sinh ra các khoá phiên và cho phép truyền thông báo bảo mật. Quá trình này sử dụng giao thức thoả thuận khoá Diffie-Hellman (DH) tĩnh. Chú ý rằng RFID đã có một khoá công khai dùng cho Chip Authentication (trong DG14) và khoá bí mật (trong bộ nhớ bí mật của chip) (TKPuCA, TKPrCA).

Quá trình được miêu tả:

1. RFID gửi TKPuCA đến cho IS cùng với các tham số Diffie-Hellman trên miền D(p,a,b,G,n,h) (D là miền chứa các tham số của hệ mật đường cong Elliptic, xem [2]).

2. IS thẩm định tính đúng đắn của khoá đã nhận sử dụng quá trình Passive Authentication.

3. IS sử dụng dữ liệu trên miền D tự sinh ra cặp khoá (RKPuCA, RKPrCA).

4. IS gửi khoá công khai RKPuCA đến RFID.

5. IS và RFID sinh ra một khoá seed (Kseed) sử dụng thông tin đã chia sẻ cho nhau.

37

4.2.2 Terminal Authentication

Giao thức này chỉ được thực hiện khi muốn truy cập vào vùng dữ liệu nhạy cảm của RFID. Đó là một cơ chế Thách đố - Trả lời cho phép RFID thẩm định đầu đọc. Đầu đọc chứng minh cho RFID bằng cách sử dụng các chứng chỉ điện tử. Quá trình xác thực đầu đọc được diễn ra:

1. IS gửi đến RFID một chứng chỉ IS CIS (nhận từ DV địa phương) và chứng chỉ của DV CDV (nhận từ CVCA).

2. RFID kiểm tra các chứng chỉ và lấy khoá công khai RKPuTA của IS từ

CIS.

3. RFID sinh ra một chuỗi ngẫu nhiên R và gửi nó đến cho IS.

4. IS tính toán giá trị băm của PKPuCA (lấy trong giao thức Chip Authentication).

5. IS kí thông điệp (R||SHA-1(RKPuCA)) với khoá bí mật RKPrTA.

6. IS thẩm định tính đúng đắn của RRKPuCA sử dụng khoá RKPuTA

và đạt quyền truy cập đến vùng dữ liệu nhạy cảm.

Một phần của tài liệu Xác thực hộ chiếu sinh trắc với cơ chế PACE và EAC (Trang 34 - 35)

(60 trang)