Chương 2 : HẠ TẦNG MOBILE PKI
2.5. ỨNG DỤNG VÀ GIẢI PHÁP HẠ TẦNG MOBILE PKI
2.5.1.1. Giao dịch an tồn
Giao dịch an tồn có thể được thực hiện trực tiếp qua thiết bị di động với dịch vụ di động. Mobile PKI được sử dụng trực tiếp thông qua thiết bị di động. Thiết bị di động sinh ra chữ ký số và được kiểm tra tính hợp lệ bởi máy chủ xác thực. Người dùng sử dụng ứng dụng ký số trên thiết bị di động, kết nối với các dịch vụ di động.
Thiết bị di động sẽ kết nối với máy chủ xác nhận để xác thực người dùng.
Một giao thức hỏi – đáp (Challenge - Response) sẽ được chạy giữa các máy chủ
xác nhận và các thiết bị di động: máy chủ sẽ gửi một số thách thức ngẫu nhiên trong một tin nhắn SMS đặc biệt cho thiết bị di động và sẽ kích hoạt các chức năng ký của thẻ SIM. Người dùng sẽ được yêu cầu nhập mã PIN vào thiết bị di động sau đó ký số thách thức sử dụng khóa bí mật. Chữ ký số và chứng thư số của người dùng sẽ được trả lại cho máy chủ xác nhận để xác minh. Việc xác minh bao gồm kiểm tra tình trạng thu hồi (hợp lệ hoặc bị thu hồi) với nhà điều
hành CA qua giao thức trạng thái chứng thư trực tuyến - Online Certificate Status Protocol (OCSP). Nếu xác nhận thành công, các máy chủ xác nhận sẽ gửi
phản hồi đến dịch vụ di động, từ đó sẽ cấp quyền truy cập cho người dùng. Nếu xác nhận khơng thành cơng thì dịch vụ di động sẽ từ chối cho người dùng truy cập dịch vụ.
Thiết bị di động kết nối với dịch vụ di động thông qua mạng di động với điểm truy cập không dây và SMS Server/PKI Gateway. Hạ tầng PKI có thể thiết lập hoặc thuê nhà vận hành mạng di động thiết lập SMS Server/PKI Gateway. 2.5.1.2. Xác thực
Xác thực là một q trình để đảm bảo rằng thực thể phía đầu bên kia của kết nối đúng là thực thể cần giao tiếp. Sử dụng Mobile PKI để xác thực người dùng là một giải pháp có tính an tồn cao.
Người dùng thực hiện các giao dịch với dịch vụ di động trên thiết bị di động. Dịch vụ di động sẽ nhờ máy chủ kiểm tra tính hợp lệ bên phía hạ tầng Mobile PKI để xác thực người dùng. Thiết bị di động cần phải có khả năng cho phép người dùng ký số tích hợp được chứng thư số do hạ tầng Mobile PKI cung cấp vào yêu cầu nhận được từ máy chủ hợp lệ kiểm tra rồi gửi trở lại để kiểm tra tính hợp lệ. Máy chủ xác minh xác thực thuê bao trên thiết bị di động sử dụng
giao thức yêu cầu – phản hồi (Challenge - Response) dưới dạng SMS. Người
dùng sẽ ký số bằng SIM Card được kiểm soát bởi mã PIN lúc hỏi ký.
Chữ ký số và chứng thư số của người dùng sẽ được gửi tới máy chủ xác minh để kiểm tra tính hợp lệ thông qua giao thức OCSP. Kết quả kiểm tra sẽ được máy chủ xác minh gửi tới dịch vụ di động. Nếu xác nhận thành công, các máy chủ xác nhận sẽ gửi phản hồi đến dịch vụ di động, từ đó sẽ cấp quyền truy cập cho người dùng. Nếu xác nhận khơng thành cơng thì dịch vụ di động sẽ từ chối cho người dùng truy cập dịch vụ.
Ngoài ra, giải pháp xác thực hai yếu tố được sử dụng để nâng cao tính an tồn cho việc xác thực. Đó là giải pháp dựa trên thông tin của người dùng và được xác thực dựa trên hai yếu tố (PIN + Token code). Giả sử một người dùng
trong hệ thống được cấp phát một Token, có chức năng là tạo ra những chuỗi số khác nhau sau một khoảng thời gian nhất định (thường là một phút). Khi người dùng đăng nhập vào hệ thống, người dùng này sẽ được yêu cầu tên đăng nhập và một dẫy số được gọi là Passcode. Dẫy số này gồm có hai thành phần là mã PIN và dãy số xuất hiện trên token (Token code) của người đó vào thời điểm đăng nhập. Giải pháp này được xác thực dựa trên hai yếu tố (PIN + Token code) và luôn thay đổi.
Ngày nay nhu cầu sử dụng thiết bị di động ngày càng nhiều và dần trở thành thiết bị không thể thiếu trong cuộc sống hằng ngày, mỗi thiết bị di động đều được gắn liền với một người dùng cụ thể. Chính vì thế, u cầu đảm bảo xác thực quyền sử dụng của người dùng, xác thực các đối tác liên lạc và đảm bảo tính xác thực, tính bí mật cho các nội dung thông tin giao dịch ngày càng trở nên quan trọng. Mobile PKI cung cấp các dịch vụ tin cậy cho các chứng thư số của thuê bao di động sử dụng chữ ký số. Một số các ứng dụng cụ thể: giao dịch ngân hàng trực tuyến, giao dịch thương mại điện tử, ký giao dịch trong doanh nghiệp, sử dụng dịch vụ chính phủ điện tử như kê khai thuế trực tuyến, ký số tài liệu điện tử, …
2.5.2. Giải pháp
Hiện tại, triển khai chữ ký số chủ yếu sử dụng thiết bị lưu trữ là PKI Token, thiết bị Token có thể cắm trực tiếp vào các thiết bị di động qua cổng audio (giắc 3,5mm) để người dùng có thể thực hiện ký số ngay trên thiết bị di động của mình. Hiện nay một số nhà cung cấp chứng thư số đang tiến hành nghiên cứu khả năng sử dụng Soft token.
Soft token cho phép người dùng cuối sử dụng chứng thư số của mình một cách dễ dàng và an tồn ngay trên mobile mà khơng phải mua thêm (hoặc thay đổi) bất kỳ một phần cứng nào. Soft token được thiết kế tuân theo các chuẩn PKCS#15 và PKCS#11 của thế giới; các thông tin trong Soft Token được mã hóa và lưu trữ an tồn bằng các thuật tốn mã hóa mạnh (AES256) đảm bảo chỉ có người sở hữu chứng thư mới có thể truy cập được. Các bước đăng ký chứng thư số, cài đặt chứng thư số và kích hoạt Soft Token cũng được tích hợp cùng với ứng dụng quản lý Soft Token giúp người dùng dễ dàng đăng ký và sử dụng được sản phẩm Soft Token và dịch vụ chứng thư số ngay trên chính thiết bị di động của mình.
Hiện nay các giải pháp chữ ký số ngay trên thiết bị di động đang được một số nhà cung cáp dịch vụ chứng thực chữ ký số công cộng như VNPT nghiên cứu và phát triển cho phép người dùng cuối sử dụng dịch vụ chứng thực chữ ký số công cộng một cách dễ dàng và an toàn.
Ngày nay, việc sở hữu một chiếc điện thoại thông minh không phải là một điều khó khăn, và ln nằm trong khả năng của người dùng cá nhân hoặc doanh nghiệp. Với sự thuận tiện của Soft Token, người dùng có thể sử dụng điện thoại thông minh để thực hiện những tác vụ như ký tệp tin docx, xlsx, pdf, khai thuế trực tuyến, ký hóa đơn điện tử trong các giao dịch thương mại, ký các giao dịch ngân hàng, và nhiều tiện ích ứng dụng PKI khác.
KẾT LUẬN CHƯƠNG 2
Chương 2 trình bày các công nghệ và giao thức trong Mobile PKI, kiến trúc mơ hình cơng nghệ hạ tầng Mobile PKI, các thành phần trong hạ tầng Mobile PKI, các giải pháp lưu khóa bí mật, các u cầu, các giải pháp tối ưu trong Mobile PKI, các thành phần và mơ hình của Mobile PKI đồng thời nêu nên được các ứng dụng và giải pháp hạ tầng Mobile PKI.
CHƯƠNG 3: ỨNG DỤNG TRÊN THIẾT BỊ MOBILE CHẠY TRÊN NỀN TẢNG ANDROID
Ngày nay, việc sử dụng thiết bị di động đã rất phổ biến do tính tiện dụng và linh động của điện thoại di động. Tuy nhiên, đứng trước các rủi ro khi tham gia vào các giao dịch mua bán trên mạng như bị trộm tài khoản email, nghe lén điện thoại, giả mạo người dùng đánh cắp thông tin cá nhân,… gây cho người dùng tâm lý lo lắng, đặc biệt là những người có thói quen sử dụng điện thoại di động để gải quyết cơng việc sẽ càng khó áp dụng các biện pháp bảo mật an tồn. Trước thực trạng đó, một giải pháp ứng dụng chữ ký số trên điện thoại di động nhằm nâng cao tính bảo mật và an tồn cho người dùng khi gửi tin nhắn, email hay sử dụng các phần mềm tương tự. Việc sử dụng chữ ký số trên smartphone sẽ thay thế được cho chữ ký số trên máy tính. Người sử dụng có thể tiết kiệm được nhiều thời gian, thuận tiện mà vẫn đảm bảo được tính bảo mật.
Chỉ cần một vài thao tác đơn giản người dùng có thể mã hóa các tin nhắn, các văn bản quan trọng, gửi đi và chỉ có người nhận mới có thể giải mã được dữ liệu đó. Ngay cả khi người sử dụng tham gia mua bán, giao dịch bằng tài khoản trên điện thoại di động, ứng dụng này cũng cho phép mã hóa giao dịch tránh việc ăn cắp các thơng tin cá nhân từ các hacker. Ngồi ra người dùng có thể sử dụng chữ ký số để ký các văn bản quan trọng trong công việc tránh việc giả mạo thông tin. Chữ ký số trên điện thoại di động là cơng cụ hữu ích cho người dùng khi đi xa mà vẫn xử lý cơng việc an tồn nhanh chóng và tiện lợi.