Một hệ thống nhận dạng sử dụng thẻ thông minh contact và contactless, có các chức năng mã hóa và sinh trắc học có những ƣu điểm lớn về mặt đảm bảo an toàn:
Có thể dùng chữ ký điện tử trên mẫu sinh trắc học và mẫu này đƣợc lƣu trong thẻ thông minh tại thời điểm đăng ký và đƣợc kiểm tra giữa thiết bị thu nhận đặc điểm sinh trắc và thẻ thông minh khi thẻ đƣợc dùng.
Mẫu này cùng với những thông tin cá nhân khác đƣợc lƣu trên thẻ có thể đƣợc mã hóa để nâng cao tính bảo mật nhằm ngăn chặn sự tấn công từ bên ngoài.
Có thể tiến hành xác thực chủ thẻ bằng thẻ thông minh thông qua việc đối chiếu mẫu thực với mẫu lƣu trong thẻ. Mẫu sinh trắc học không bao giờ bị tách rời khỏi thẻ, giúp bảo vệ thông tin khỏi việc bị truy nhập trong quá trình chuyển giao và giúp giải đáp những mối lo ngại về tính riêng tƣ của chủ thẻ.
ID của thẻ thông minh có thể xác thực tính hợp pháp của thẻ và của đầu đọc thẻ bằng cách tạo ra một cơ chế mã hóa xác thực lẫn nhau giữa thẻ ID và đầu đọc trƣớc khi xác thực nhân dạng. Khi quá trình này đƣợc hoàn tất, truy cập vào một ứng dụng cụ thể mới đƣợc cung cấp. Điều này giúp đảm bảo mức độ riêng tƣ rất cao cho chủ thẻ, ngăn chặn việc tiết lộ dữ liệu nhạy cảm một cách không cần thiết, giúp ngăn chặn việc đánh cắp những dữ liệu có thể đƣợc dùng để đánh cắp nhân dạng. ID của thẻ thông minh cũng có thể xác thực đầu đọc đặc điểm sinh trắc để đảm bảo mẫu sinh trắc đã thu đƣợc trƣớc đó sẽ không bị truyền giao lại bằng cách phát lại.
Thẻ thông minh có đủ bộ nhớ để lƣu giữ lƣợng dữ liệu ngày càng tăng bao gồm các chƣơng trình, một hoặc hơn một mẫu sinh trắc, và nhiều chìa khóa mật mã cho đƣờng truy cập hạn chế vào dữ liệu, đồng thời đảm bảo dữ liệu không bị thay đổi, xóa hoặc chèn thêm.
Thẻ thông minh còn có thể đƣợc sử dụng để chứng minh danh tính về mặt số của chủ thẻ bằng các chìa khóa mật mã và các thuật toán đƣợc lƣu trong bộ nhớ đƣợc bảo vệ của thẻ. Chính điều này khiến thẻ thông minh trở nên lý tƣởng cho các ứng dụng đòi hỏi xác thực bằng cả đặc điểm sinh học và logic.
4.2.1.3. Nâng cao hiệu năng và tính sẵn sàng của hệ thống
Lƣu giữ mẫu sinh trắc học trên thẻ thông minh giúp tăng cƣờng hiệu quả tổng thể của hệ thống và sự tiện lợi cho chủ thẻ nhờ việc xác định danh tính cục bộ.
Danh tính của một cá nhân đƣợc hình thành và xác nhận khi thẻ đƣợc phát hành và cá nhân đó chứng minh mình đủ tƣ cách để nhận thẻ. Kể từ thời điểm đó, danh tính chủ thẻ sẽ đƣợc xác thực nhờ đƣa thẻ vào đầu đọc thẻ mà không cần tiến hành dò tìm và đối chiếu với một cơ sở dữ liệu từ xa thông qua một hệ thống mạng. Việc xử lý cục bộ nhƣ vậy có thể làm giảm bớt thời gian xác thực nhân dạng xuống chỉ còn 1 giây hoặc ít hơn, giúp việc kiểm tra an ninh nhanh chóng hơn, giảm bớt sự phụ thuộc vào đầu đọc thẻ khi cần liên kết trực tuyến với một hệ thống trung tâm.
Có thể sẽ nảy sinh vấn đề xử lý trục trặc khi đối chiếu (nói cách khác là thẻ bị đẩy ra do lỗi) mà không cần truy cập cơ sở dữ liệu từ xa. Với công nghệ thẻ thông minh, đơn vị an ninh có thể trực tiếp quay lại cách đối chiếu hình ảnh của một bức hình đã đƣợc số hóa và dùng chữ ký điện tử hoặc một đặc trƣng sinh trắc học dự phòng cũng đƣợc lƣu trên thẻ.
Với những ứng dụng đƣợc sử dụng thƣờng xuyên và đòi hỏi cần nhanh chóng (chẳng hạn kiểm tra việc ra vào tòa nhà hoặc tại sân bay), thẻ thông minh contactless có thể tăng tốc độ chuyển đổi mẫu sinh trắc học và loại trừ hẳn việc phải tiếp xúc trực tiếp. Với chi phí thấp, thẻ contactless với tốc độ giao tiếp cao hiện nay rất phổ biến và có đủ bộ nhớ để lƣu giữ một mẫu vân tay hoặc một hình ảnh duy nhất. Điều này đồng nghĩa với việc những hệ thống nhận dạng dựa vào đặc trƣng sinh trắc học có độ an toàn cao hơn có thể sử dụng thẻ thông minh contactless để đạt hiện thực hóa một loạt mục tiêu về an ninh, khối lƣợng công việc và chi phí.
4.2.1.4. Tăng cƣờng tái đầu tƣ
Sử dụng thẻ thông minh kết hợp với các đặc trƣng sinh trắc học để nhận dạng và xác thực nhân dạng giúp hiện thực hóa một hệ thống nhận dạng an toàn một cách hiệu quả về chi phí.
Có thể kết hợp một số công nghệ đảm bảo an ninh và nhận dạng với thẻ thông minh, cho phép triển khai những cơ chế nhận dạng khác nhau căn cứ vào mức độ an ninh cần thiết và vốn ngân quỹ cho việc triển khai. Các đặc trƣng sinh trắc học là cực kỳ thiết yếu đối với những điểm kiểm tra an ninh trong hệ thống, tại đó ngƣời dùng thẻ nhất định phải chứng minh đƣợc mình là chủ thẻ hợp pháp và mật khẩu hay mã PIN không đủ an toàn hoặc thiếu tính tiện dụng. Trong số những hệ thống đòi hỏi mức độ xác thực nhân dạng cao hơn này có thể kể đến cổng an ninh tại sân bay hoặc tại các cửa khẩu.
Một hệ thống xác thực nhân dạng của chính phủ hay của công ty có thể có nhiều điểm kiểm tra truy cập logic và tự nhiên với những yêu cầu về an ninh ở các mức độ khác nhau. Tại lối vào chính tại các tòa nhà cần có các đầu đọc sinh trắc học, nhƣng tại các cửa ra vào bên trong tòa nhà lại chỉ cần dùng một vạch từ ở phía sau thẻ thông minh. Trên một hệ thống, việc truy cập vào các kiểu thông tin khác nhau có những yêu cầu về an ninh khác nhau. Với một số thông tin chỉ cần có một mật khẩu là truy cập đƣợc (mật khẩu này đƣợc thẻ thông minh lƣu giữ và ghi nhớ giúp ngƣời dùng); với những thông tin nhạy cảm khác lại đòi hỏi sử dụng đặc điểm sinh trắc học; thậm chí nhiều giao dịch khác còn đòi hỏi sử dụng các đặc điểm trên thẻ để ký bằng chữ ký điện tử cho giao dịch đó.
Thẻ thông minh contactless có thể đƣợc dùng trong nhiều môi trƣờng mà trong đó tần suất sử dụng cao hoặc các điều kiện môi trƣờng đƣợc cho là ảnh hƣởng tới chi phí duy trì hệ thống. Vì chip thẻ contactless và đầu đọc giao tiếp với nhau bằng sóng radio nên không cần thực hiện việc kết nối điện tử thuần túy. Việc bảo dƣỡng đầu đọc đƣợc giảm thiểu trong khi vẫn tăng cƣờng mức độ đáng tin cậy vì không phải thay thế những phần tiếp xúc đã cũ mòn hoặc dỡ bỏ những lỗ hổng. Thẻ cũng bền hơn vì loại bỏ chúng khỏi vị trí lƣu giữ thông thƣờng là không còn cần thiết đối với việc sử dụng. Đầu đọc hoặc kiosk đƣợc đóng dấu, cho phép triển khai hệ thống nhận dạng contactless trong gần nhƣ mọi điều kiện.
Thẻ thông minh là một công cụ độc đáo đóng vai trò làm thẻ nhận dạng cá nhân và cho phép kết hợp nhiều công nghệ để thực hiện những yêu cầu an ninh của một hệ thống một cách hiệu quả về mặt chi phí.
4.2.1.5. Khả năng nâng cấp và tính linh hoạt cao
Yêu cầu chính đối với bất kỳ hệ thống nhận dạng nào là khả năng nâng cấp hệ thống mà không cần đầu tƣ quá nhiều vào cơ sở hạ tầng mới. Chẳng hạn có thể nảy sinh yêu cầu phải chỉnh sửa hệ thống mà không đƣợc thay thế thẻ nhận dạng cá nhân nếu thu xếp đƣợc một kế hoạch an ninh hoặc nếu sẵn có khả năng nâng cấp. Do thẻ thông minh có bộ nhớ lƣu trữ dữ liệu có thể ghi lại và trong một số trƣờng hợp còn mang bộ nhớ lƣu trữ chƣơng trình có thể ghi lại nên chúng có tính linh hoạt cao sẵn sàng cho việc nâng cấp dữ liệu thẻ và các thuật toán tƣơng tác giữa thẻ và hệ thống cũng nhƣ cho việc quản lý một cách an toàn nhiều ứng dụng chỉ trên một thẻ.
Khi đƣợc sử dụng cho các hệ thống nhận dạng dựa trên đặc điểm sinh trắc học, sau khi đƣợc phát hành, ID của thẻ thông minh có thể đƣợc nâng cấp nhƣ sau:
ID của thẻ thông minh có đủ bộ nhớ lƣu trữ để nâng cấp hoặc bổ sung các đặc điểm sinh trắc học mới (chẳng hạn nhƣ mẫu sinh trắc học mới hoặc khác)
Một số ID của thẻ thông minh (các thẻ có EEPROM hoặc bộ nhớ flash cho kho lƣu trữ chƣơng trình vi xử lý) phải mang những ứng dụng trên thẻ có thể nâng cấp hoặc những ứng dụng mới có thể bổ sung khi triển khai các thuật toán sinh trắc học nâng cao.
Nội dung trên thẻ thông minh có thể đƣợc phân chia thành các bộ phận riêng biệt tƣơng hỗ đƣợc sử dụng trong nhiều hệ thống ID an ninh khác nhau. Chẳng hạn, việc truy cập đƣờng vào bình thƣờng và nội dung thẻ có thể nằm ở những phần riêng với các hoạt động và nội dung xác thực giao dịch. Với một thẻ nhận dạng đƣợc chia thành các bộ phận riêng biệt tƣơng hỗ nhƣ vậy, những ứng dụng mới và mang tính cá nhân của đặc trƣng sinh trắc học có thể đƣợc bổ sung vào thẻ bởi bất kỳ cơ quan phát hành đƣợc cấp phép vào bất kỳ thời điểm nào.
Khả năng cuối cùng trên tận dụng đƣợc một đặc tính linh hoạt quan trọng khác của thẻ thông minh. Nhờ vào phần mềm và bộ xử lý trên thẻ nên thẻ thông minh có khả năng cao nhất để đáp ứng những yêu cầu ngày càng đa dạng và phát triển.
Khả năng thẻ thông minh đƣợc đọc và ghi dữ liệu một cách an toàn bởi những nhà phát hành đƣợc cấp phép làm tăng cƣờng những tính năng khác vốn không có ở những công nghệ khác.
Chỉ có thẻ thông minh mới có khả năng tích cực phát hiện việc sửa đổi thông tin trên thẻ.
ID của thẻ thông minh có thể hỗ trợ một số đặc trƣng sinh trắc: dấu vân tay, hình ảnh gƣơng mặt đƣợc chụp lại, võng mạc hoặc mống mắt, hoặt bất cứ sự kết hợp nào của các hình thức này một cách đồng thời hoặc bổ sung dần theo thời gian.
ID của thẻ thông minh có thể vừa mang giao diện contact theo cách truyền thống vừa contactless với các cơ chế đầu đọc / đầu ghi đối với những ứng dụng đòi hỏi hiệu quả công việc và nhu cầu sử dụng cao mà không bị mài mòn cơ học.
Cùng một thẻ thông minh bình thƣờng có thể có nhiều phƣơng tiện lƣu giữ nhƣ ảnh in, mã vạch in, vạch từ và/hoặc vạch quang. Nhƣ vậy, chỉ một chiếc thẻ cũng có thể tƣơng thích với nhiều loại thiết bị hiện có.
Trong ID thẻ thông minh đa ứng dụng, mỗi ứng dụng lại có những yêu cầu đối chiếu khác nhau và việc đáp ứng phụ thuộc vào những yêu cầu của từng ứng dụng. Ví dụ, việc đối chiếu dấu vân tay với mẫu lƣu trên thẻ có thể đã đủ để chứng thực quyền ra vào các khu vực nhất định của một ngƣời, trong khi đó với cùng một chiếc thẻ và mẫu dấu vân tay lại có thể đƣợc kết hợp dùng cùng thao tác đối chiếu chữ ký số đƣợc mã hóa để chứng thực các quyền giao dịch nhạy cảm.
Tóm lại, những đặc điểm độc đáo của thẻ thông minh có thể giúp tăng cƣờng tính riêng tƣ, tính bảo mật, hiệu quả và tái đầu tƣ đối với việc triển khai hệ thống ID an toàn. Khả năng có thể nâng cấp và tính linh hoạt của thẻ khi xử lý an toàn nhiều ứng dụng và hỗ trợ mỗi khi có thay đổi về yêu cầu cũng là những ƣu điểm vƣợt trội so với các công nghệ ID khác. Công nghệ thẻ thông minh, cùng với đặc trƣng sinh trắc học và kết cấu hỗ trợ tích cực cho tính riêng tƣ cũng nhƣ quá trình quản lý thẻ tạo nền tảng vững chắc, hiệu quả về mặt chi phí cho hệ thống ID cá nhân có độ an toàn cao.
4.2.2. Ƣu nhƣợc điểm hai giải pháp đề xuất
Hai mô hình giải pháp đề xuất trong Chƣơng 3 là tƣơng đồng và mang tính tổng quát trong các khả năng kết hợp thẻ thông minh với khả năng xác thực ngƣời dùng sử dụng đặc trƣng sinh trắc. Mục tiêu của hai giải pháp hƣớng tới là thực hiện xác thực thẻ thông minh trong môi trƣờng công khai (mạng Internet) sử dụng vân tay. Kiến trúc hệ thống trong hai mô hình đƣợc chia thành hai thành phần: hệ thống máy chủ và hệ thống đầu cuối. Hệ thống đầu cuối bao gồm thiết bị đầu cuối, bộ đọc thẻ và bộ quét vân tay.
Điểm khác biệt trong hai giải pháp là việc sử dụng hai loại thẻ thông minh khác nhau: thẻ lƣu trữ vân TOC và thẻ tích hợp SOC. Do tính chất của hai loại thẻ là khác nhau nên quá trình giao tiếp, xác thực cũng thay đổi tùy thuộc vào thẻ đƣợc sử dụng. Hai giải pháp đƣợc xem xét chi tiết trên các khía cạnh:
Thông tin lƣu trữ trên thẻ
Quá trình xác minh thông tin hợp lệ
Quá trình xác thực danh tính ngƣời dùng
Kiến trúc hệ thống ứng với giải pháp đề xuất
Hai giải pháp có các ƣu điểm chung đã đƣa ra, tuy nhiên mỗi giải pháp đều có đặc trƣng riêng. Để có thể có đƣợc cái nhìn đúng đắn nhất về hai giải pháp, chúng ta cần xem xét các đặc tính đƣa ra dƣới đây. Song song với việc xem xét đặc trƣng giải pháp, luận văn cũng thực hiện so sánh hai mô hình giải pháp từ đó rút ra hƣớng thay đổi phù hợp. Một số đặc trƣng cần đƣợc xem xét nhƣ:
Tính bảo mật và toàn vẹn thông tin
Khả năng triển khai và ứng dụng
Hiệu năng và tính sẵn sàng của hệ thống
Trong giải pháp sử dụng thẻ dạng TOC, thẻ chỉ có chức năng lƣu trữ thông tin và xác thực tính toàn vẹn thông tin dựa trên hạ tầng khóa công khai. Để thực hiện xác thực từ xa đối với chủ sở hữu thẻ, toàn bộ dữ liệu phải đƣợc truyền tới máy chủ xác thực. Sau khi thực hiện xác thực, máy chủ trả dữ liệu trở lại cho thẻ. Do vậy tính bảo mật và toàn vẹn thông tin cần phải đƣợc đảm bảo tối đa. Giải pháp giải quyết vấn đề bảo mật và toàn vẹn nhờ sử dụng phƣơng pháp mã hóa và ký số của hạ tầng khóa công khai. Mỗi thành phần tham gia đều đƣợc cấp phát cặp khóa nhằm thực hiện việc mã hóa hay ký số. Ngoài ra giải pháp đề xuất xây dựng đƣờng truyền tin an toàn giữa máy chủ và các máy trạm dựa trên công nghệ VPN. Khi đó thông tin truyền đi đều đƣợc xác minh tính toàn vẹn và đảm bảo an toàn trên kênh truyền.
Thẻ TOC là dạng thẻ phổ biến và chi phí rẻ nên việc triển khai gặp thuận lợi về yêu cầu phần cứng. Các thành phần tham gia trong mô hình giải pháp đều cần phải tham gia vào hạ tầng khóa công khai và các kênh kết nối phải đảm bảo an toàn dựa trên công nghệ VPN, chính vì các yếu tố nói trên mà việc triển khai giải pháp trên diện rộng gặp khó khăn. Mô hình giải pháp áp dụng phù hợp với các cơ quan, tổ chức vừa và nhỏ.
Thông tin xác thực của mỗi cá thể trong quá trình truyền thông đều đƣợc xác thực để đảm bảo tính toàn vẹn thông tin. Cũng chính bởi lý do này mà quá trình xác thực diễn ra chậm, có độ trễ tƣơng đối cao. Khả năng không thể xác thực cá thể rất có khả năng xảy ra bởi nếu hệ thống thực hiện xác thực từ xa, thông tin mất mát do nghẽn mạng hoặc đƣờng truyền không đáp ứng đƣợc nhu cầu là hoàn toàn có thể.
Giải pháp TOC với ƣu điểm sử dụng thẻ thông minh để lƣu trữ thông tin xác thực có ƣu điểm về mặt kinh tế bởi sự phổ biến và giá thành rẻ của loại thẻ này. Tuy nhiên