nhân
Trong hướng tiếp cận tích hợp sinh trắc và PKI đã trình bày ở phần 2.1, giải pháp đầu tiên sẽđược lựa chọn. Theo giải pháp này, người dùng mỗi khi sử dụng hệ thống PKI cần gửi kèm theo thông tin sinh trắc học để chứng minh bản thân. Hệ thống PKI sẽ thực hiện các các thủ tục xác thực thông thường và thực hiện đối sánh thông tin sinh trắc của người dùng kèm theo tại thời điểm đó với mẫu sinh trắc đã lưu trong quá trình đăng kí.
Giải pháp này cho phép làm tăng tính tin cậy của hệ thống PKI, nhưng cần phải lưu ý một sốđặc điểm sau:
− Hệ thẩm định xác thực sinh trắc dựa trên kỹ thuật đối sánh mẫu thông thường của kỹ thuật nhận dạng, dễ khả thi.
− Khi các mẫu sinh trắc được lưu trữ tập trung tại server, đặt ra vấn đề bảo đảm an toàn cho máy chủ lưu trữ và quá trình truyền các đặc trưng sinh trắc từ nơi lưu trữđến nơi sử dụng đối sánh.
− Quá trình đối sánh đặc trưng thẩm định sinh trắc tách rời quá trình hoạt động mật mã trong hệ PKI. Kết quả đối sánh đặc trưng sinh trắc là điều kiện để hệ thống tiếp tục thực hiện các hoạt động khác, hơn nữa các kết quả thường được gửi qua môi trường mạng truyền thông, do vậy có nảy sinh nguy cơ bị tấn công vào kênh truyền thông nhằm làm sai lệch kết quả trả lời.
− Đặc trưng sinh trắc học được gửi từ người dùng tới máy chủ đểđối sánh nên có thể bị mất trộm và dẫn đến tấn công giả mạo.
− Ưu điểm là tận dụng các kỹ thuật vềđối sánh sinh trắc học hiện có, dễ thực hiện trên thiết bị nhúng. Khi kết hợp với giải pháp công nghệ nhúng có thể tổ chức lưu tại thiết bị nhúng cá nhân, tuy nhiên độ an toàn bảo mật còn phụ thuộc vào độ an toàn của dòng thiết bị lưu trữ mẫu và giao thức truyền thông bảo mật từ nơi lưu trữđến nơi sử dụng.
48
Hình 2.4 Mô hình sử dụng thẻ Bio-Etoken bảo vệ khóa cá nhân
Để giảm tần suất truyền đặc trưng sinh trắc trên môi trường mạng, trong hệ thống BioPKI, thiết bị nhúng là thẻ Bio-Etoken được sử dụng như là một thiết bị cá nhân để lưu trữ khóa cá nhân và đặc trưng sinh trắc của người dùng ngay tại thiết bị đó. Trong giải pháp này, đặc trưng sinh trắc này sẽđược xử lý để tạo thành mã sinh trắc và cùng với khóa cá nhân sẽ được mã hóa trước khi ghi vào thẻ Bio-Etoken. Mô hình giải pháp được minh họa trong hình 2.4. Lúc này, khóa cá nhân trong thẻ Bio-Etoken được bảo vệ bởi cơ chế xác thực hai yêu tố; một là số PIN và yếu tố kia là mã sinh trắc của người dùng.
Khi sử dụng thêm yếu tố sinh trắc của người dùng, quá trình xác thực chủ thể của khóa cá nhân trở thành quá trình xác thực hai yếu tố.
− Pha xác thực bằng số PIN. Số PIN đóng vai trò như mật khẩu, là yếu tố mà người dùng “biết”. Nếu người dùng nhập đúng số PIN, quá trình chuyển sang pha xác thực bằng sinh trắc học.
− Pha xác thực bằng sinh trắc học. Người dùng cung cấp cho hệ thống mẫu sinh trắc của mình, yếu tố mà người dùng “có”, một cách trực tiếp thông qua các thiết bị cảm biến. Mẫu sinh trắc này được xử lý thông qua các bước trích chọn và mã
49
hóa để tạo thành các mã sinh trắc. Mã sinh trắc được tạo ra tại chỗ sẽ được đối sánh với mã sinh trắc lưu trong thẻ Bio-Etoken. Nếu kết quả là khớp, khóa cá nhân sẽđược truy xuất; ngược lại yêu cầu sẽ bị từ chối.
Trong phần tiếp theo của chương này, tác giả sẽ tập trung xây dựng hệ thống BioPKI, trong đó có sử dụng giải pháp tích hợp sinh trắc học và thiết bị nhúng đã trình bày ở trên để tăng cường an toàn-an ninh cho hệ thống.
2.2.2 Giải pháp xây dựng BioPKI trên nền tảng PKI-OpenCA
2.2.2.1 Đánh giá hệ thống PKI-OpenCA
Hệ lõi PKI-OpenCA được thiết kế dựa trên kiến trúc nguyên lý của hệ thống hạ tầng khóa công khai PKI và đã đảm bảo thực hiện đầy đủ các chức năng của một hệ lõi PKI bao gồm:
− Phát hành, gia hạn và hủy chứng thư số. − Xác thực chứng thư số.
− Phân phối chứng thư số và các thông tin có liên quan đến chứng thư số. − Đảm bảo an toàn cho việc lưu trữ và phục hồi khóa.
− Thiết lập và quản lý các mối quan hệ tin cậy. Các ưu điểm của OpenCA bao gồm:
− Giao diện thân thiện, dễ dùng.
− Sử dụng giao diện Web, có khả năng triển khai trên diện rộng dễ dàng. − Cung cấp đầy đủ các tính năng của một hệ PKI.
− Miễn phí do là hệ mã nguồn mở và cài đặt trên hệ điều hành Linux cũng là mã mở nên tính cộng đồng cao.
− Hoạt động ổn định, trong quá trình thử nghiệm không phát sinh lỗi, không có hiện tượng xung đột với các hệ thống khác cài đặt cùng hệ thống.
− Tính an toàn và an ninh cao với cặp khóa bất đối xứng có độ dài tối thiểu là 1024 bit.
− Sử dụng nhiều các tiêu chuẩn công nghiệp được dùng rộng rãi trên thực tế nên có khả năng thích nghi cao và dễ dàng để triển khai.
50
Tuy nhiên, do hệ lõi OpenCA là sản phẩm của một dự án mã nguồn mở nên nó không tránh khỏi các hạn chế, đó là : (adsbygoogle = window.adsbygoogle || []).push({});
− Không có cơ chế quản lý người dùng.
− Hệ thống thiết lập đòi hỏi kết nối giữa RA và CA, không đảm bảo an toàn trong điều kiện thực tế nhất là với giao diện Web.
− Không có khả năng tương tác với thiết bị nhúng, các thiết bị sử dụng chuẩn giao tiếp USB 2.0.
− Các thành phần của hệ thống hoạt động trên nền tảng Web-based nên không có khả năng tích hợp sinh trắc.
− Hệ thống mã nguồn mở với nhiều module phức tạp, khả năng can thiệp để tùy chỉnh thấp, không đáp ứng được hết các nhu cầu thực tế.
2.2.2.2 Giải pháp công nghệ phát triển hệ thống BioPKI trên nền OpenCA
Với những đặc điểm đã được nêu trên, OpenCA cung cấp các dịch vụ của một hệ lõi PKI đầy đủ, sẽ là một lựa chọn thích hợp để xây dựng và triển khai một hệ PKI. Tuy nhiên với nguyên trạng thì OpenCA chưa phải hệ phát triển ứng dụng để tác nghiệp, không đáp ứng được nhiều yêu cầu cần thiết cho việc triển khai trong thực tế. Do đó khi phát triển OpenCA thành hệ thống thực thì cần xây dựng một giải pháp PKI triển khai linh hoạt hơn trong đó OpenCA có vai trò thích hợp để làm một hệ lõi PKI-OpenCA chuyên cung cấp các dịch vụ PKI, còn các thành phần khác của hệ thống cần được thiết kế và xây dựng đểđáp ứng nhu cầu thực tế.
Dựa trên quá trình nghiên cứu khảo sát và phân tích về OpenCA, tác giả đề xuất hệ thống BioPKI với kiến trúc đơn CA sẽ được xây dựng với thành phần CA Kernel là OpenCA. Đó là cơ sở hạ tầng để tích hợp hệ thẩm định xác thực sinh trắc trực tuyến vào hệ PKI thành hệ thống BioPKI vì những lý do sau:
− Kiến trúc đảm bảo có đầy đủ các thành phần của hệ thống hạ tầng khóa công khai PKI theo chuẩn thông dụng.
− Đây là một kiến trúc đơn dản, dễ triển khai và vận hành với chi phí thấp. − Kiến trúc này thể hiện sự tập trung quản lý.
51
− Ngoài ra, tác giả đề xuất sử dụng kiến trúc các nhánh đăng kí địa phương LRA (Local Registration Authority) đểđảm bảo kiến trúc đơn CA vẫn có thểđáp ứng được số lượng người dùng lớn hơn đáng kể so với kiến trúc đơn CA ban đầu. Hơn nữa việc đặt thêm các nhánh LRA đảm bảo hệ thống có thể triển khai linh hoạt, dễ dàng mở rộng mà vẫn đảm bảo tính xác thực trong môi trường mạng.
Để xây dựng và phát triển hệ BioPKI trên nền công nghệ mã nguồn mở OpenCA cần phải giải quyết được vấn đề tích hợp các thành phần PKI-OpenCA, phân hệ sinh trắc và thiết bị nhúng. Phân hệ xác thực sinh trắc trực tuyến cần phải ghép nối với các thiết bị phần cứng chuyên dụng và xử lý trực tuyến, không có khả năng tích hợp vào hệ mã nguồn mở OpenCA sẵn có với giao diện Web. Do đó đòi hỏi cần nghiên cứu một giải pháp công nghệ khác với công nghệ dựa trên Web hiện có của OpenCA.
Trong quá trình nghiên cứu, tác giảđã rút ra 2 giải pháp công nghệ sau:
− Xây dựng hệ thống BioPKI trên công nghệ Web-based. Các đặc điểm của giải pháp này là :
• Dễ dàng triển khai hệ thống trên phạm vi rộng.
• Có thể phát triển tái sử dụng các module sẵn có của hệ lõi OpenCA bao gồm: PUB, RA, CA, cơ sở dữ liệu LDAP, các Node tương ứng.
• Do tính đặc thù của giải pháp nhúng là cần các trình điều khiển thiết bị, hệ thống xây dựng trên công nghệ Web-based đòi hỏi sự tương thích của trình duyệt Web (của một hãng thứ 3) với các thiết bị nhúng. Đây là một điểm hạn chế vì nó gây khó khăn cho người dùng không chuyên.
• Do đặc thù của giải pháp sinh trắc học là các thuật toán phức tạp, có độ tính toán cao, hiện nay chưa thể triển khai trên nền tảng các Web client (trình duyệt Web).
• Do đặc thù của các hệ mã hóa là phức tạp, có độ tính toán cao, chưa thể triển khai trên nền tảng các Web client (trình duyệt Web). Mặt khác, không thể để bên thứ 3 (ởđây là các dịch vụ triển khai trên Web server) tham gia vào quá trình mã hóa, giải mã vì các vấn đề liên quan đến bảo vệ khóa cá nhân, bảo
52
vệ các yếu tố sinh trắc học. Đây là cản trở lớn khi xây dựng và tích hợp các ứng dụng trong giao dịch điện tử như chữ kí số, mã hóa thông điệp vào hệ lõi OpenCA.
• Bên cạnh đó, bản thân hệ thống OpenCA là sản phẩm của một dự án mã nguồn mở, các module của hệ thống còn chưa hoàn chỉnh, khó tương thích với các thiết bị nhúng, chưa có quản lý người dùng.
− Xây dựng hệ thốngBioPKI trên công nghệ Application-based. Các đặc điểm của giải pháp này là :
• Khó triển khai hệ thống trên phạm vi rộng vì đòi hỏi người dùng phải cài đặt thêm ứng dụng trên máy tính cá nhân.
• Tái sử dụng module Web-based như CA, LDAP và các Node tương ứng của hệ lõi OpenCA.
• Không sử dụng các module RA, PUB và các Node tương ứng của hệ lõi OpenCA. Tuy nhiên việc xây dựng lại các module này theo các chuẩn công nghiệp là khả thi.
• Cần xây dựng thêm các module xử lý các yếu tố sinh trắc, các module giao tiếp với các thiết bị nhúng. Quá trình xây dựng các module này theo các chuẩn công nghiệp là khả thi.
• Quá trình chủ động xây dựng lại các module đã chỉ ra đảm bảo khắc phục được hoàn toàn các hạn chế của công nghệ Web-based khi tích hợp sinh trắc học và hệ nhúng.
Với các điểm so sánh như trên, tác giả lựa chọn giải pháp “Xây dựng hệ (adsbygoogle = window.adsbygoogle || []).push({});
thống trên công nghệ Application-based” được lựa chọn để phát triển hệ thống.
Vì lí do cần tích hợp các giải pháp sinh trắc, nhưng lại không triển khai được trên Web-based, không thể sử dụng toàn bộ OpenCA làm nền tảng PKI cho hệ thống BioPKI nên cần phải xây dựng lại các thành phần có vai trò như các thành phần cơ
sở của OpenCA, tuy nhiên chức năng thì nhiều hơn và đặc biệt là dễ dàng tích hợp các giải pháp sinh trắc. Các thành phần cần phát triển sẽ được trình bày ở các phần sau đây của chương này.
53 - Về hệ thống nền:
• Các module Web-based của hệ lõi OpenCA được triển khai và phát triển trên nền hệđiều hành Linux.
• Các module Application – based được xây dựng, triển khai và phát triển trên nền Windows.
2.3 Mô hình kiến trúc hệ thống mức khung cảnh
Dựa trên phân tích và đánh giá các giải pháp đã lựa chọn, tác giả đề xuất mô hình kiến trúc hệ thống mức khung cảnh như hình vẽ 2.5.
Hình 2.5 Mô hình kiến trúc hệ thống BioPKI mức khung cảnh
Các thành phần của hệ thống bao gồm :
− Hệ thống con CA (Certification Authority) là hạt nhân của hệ thống BioPKI. Chỉ có CA mới có quyền phát hành chứng thư số cho một đối tượng sau khi
54
kiểm tra những thông tin về đối tượng đó. Trong hệ thống, CA đóng vai trò là một bên thứ ba mà các ứng dụng sử dụng chứng thư số trong hệ thống phải tin tưởng. CA được phân thành hai thành phần :
• CA Kernel. Nhiệm vụ trước tiên và quan trọng nhất của CA Kernel là xác
thực chứng thư số và phát hành chứng thư số. Ngoài ra, CA Kernel còn đóng vai trò quản trị cơ sở dữ liệu về các yêu cầu cũng như chứng thư số và trạng thái của chứng thư số người dùng trong hệ thống.
• CA Operator. Đây là công cụ điều hành của quản trị viên, một mặt cho phép quản trị viên giao tiếp với CA Kernel; mặt khác cũng là nơi giao tiếp với thành phần RA. CA Operator cho phép người điều hành CA đưa thông tin yêu cầu vào cơ sở dữ liệu của CA Kernel và kết xuất khóa cá nhân, chứng thư số của người dùng. CA Operator còn cung cấp ứng dụng đểđưa vào thiết bị nhúng các thông tin sau : chứng thư số, khóa cá nhân, đặc trưng sinh trắc của người đăng kí, thậm chí cả thông tin cá nhân của người dùng.
Trong mô hình này, CA được cách ly hoàn toàn với các thành phần khác trong môi trường mạng của hệ thống, mọi giao dịch của CA với các thành phần khác được thực hiện thông qua các thiết bị lưu trữ các nhân nhưđĩa quang, bút nhớ.
− Hệ thống con RA (Registration Authority). Trong các hệ thống với phạm vi
vật lý rộng lớn, việc CA chứng nhận thông tin định danh của người dùng để xét duyệt là rất khó khăn. Mặt khác, để đảm bảo an toàn-an ninh cho hệ thống, CA đã được cách ly nên phải có một thành phần khác đóng vai trò công bố chứng thư số, cũng như tạo điểm ghép nối cho các ứng dụng trên nền tảng PKI. RA (Registration Authority) sẽ thực hiện các nhiệm vụ đó. Trong hệ thống BioPKI, RA được phân thành 2 thành phần :
• Registration Center. Thành phần này là nơi quản lý người dùng và tất cả
các yêu cầu của người dùng, bao gồm các yêu cầu cấp phát chứng thư số mới, hủy chứng thư số, gia hạn chứng thư số. Các yêu cầu này sẽ được xét duyệt tại RA trước khi chuyển lên cho CA thông qua các thiết bị lưu trữ cá nhân.
55
• Certificate Service Center. Thành phần này giữ vai trò cung cấp các dịch
vụ để sử dụng chứng thư số tương ứng với từng ứng dụng cụ thể như chữ kí số, kiểm soát truy cập từ xa, mã hóa thông điệp... Module này cũng đóng vai trò kiểm tra, xác minh tính hợp lệ của chứng thư số và các thông tin trên chứng thư số. Module này sử dụng một cơ sở dữ liệu về chứng thư số, đây là một bản sao thứ cấp của cơ sở dữ liệu tại CA Kernel.
− Hệ thống con LRA (Local Registration Authority) là nơi tiếp nhận các yêu
cầu của người dùng đối với hệ thống, bao gồm xin cấp chứng thư số mới, xin gia hạn chứng thư số, xin hủy chứng thư số; và trả kết quảđáp ứng của hệ thống cho người dùng. Đặc biệt, LRA chính là nơi thu nhận và xử lý các mẫu sinh trắc khi người dùng đã đăng kí trong quá trình xin cấp phát; cũng như nơi thẩm định các đặc trưng sinh trắc học với hai yêu cầu còn lại.
− Website. Website BioPKI là nơi cho phép người dùng xem các thông tin về
đăng kí chứng thư số, tra cứu thông tin cũng như download chứng thư số, lấy mẫu kê khai để tiện cho các giao dịch đăng kí, hủy bỏ hay gia hạn chứng thư số