Sử dụng chứng chỉ số sẽ giải quyết đƣợc vấn đề nói trên. Chứng chỉ số là một công cụ hiệu quả chống lại sự giả mạo thông tin lƣu trong thẻ thông minh, chứng chỉ số cho phép xác minh tính hợp lệ của mẫu vân nhờ kỹ thuật mã hóa khóa công khai và đây là một thành phần quan trọng không thể thiếu trong các giải pháp liên quan tới thẻ thông minh. Hai giải pháp đƣa ra dƣới đây cũng sẽ sử dụng chứng chỉ số trong việc xác minh tính hợp lệ của mẫu vân lƣu trong thẻ.
Giải pháp tổng thể cho thẻ thông minh không đơn thuần chỉ gồm có giải pháp cho quá trình sử dụng mà còn liên quan tới quá trình cấp phát thẻ và các thành phần liên quan. Một giải hoàn chỉnh không thể thiếu quá trình cấp phát thẻ ban đầu và giải pháp chỉ có thể đƣợc coi là an toàn khi tất quả các quá trình liên quan đều an toàn. Tuy nhiên giải pháp đề xuất sẽ không đề cập chi tiết tới tính an toàn, bảo mật của quá trình cấp phát thẻ mà chỉ chú trọng vào quá trình sử dụng và cách thức kết hợp giữa các đối tƣợng để tạo nên một giải pháp hợp lý nhất, an toàn nhất. Giải pháp sử dụng quá trình cấp phát thẻ và coi quá trình cấp phát là an toàn tuyệt đối cho tới khi thẻ đƣợc chuyển tới tay ngƣời sử dụng cuối.
3.3.1. Giải pháp sử dụng thẻ thông minh TOC
Thẻ thông minh sử dụng lƣu trữ các thông tin ngƣời dùng, chứng chỉ số, khóa riêng và thông tin mẫu vân tƣơng ứng. Thẻ thông minh cần hỗ trợ chuẩn X.509 và các hàm mã hóa nhƣ khả năng sinh chữ ký số trên thẻ, khả năng xác minh chữ ký số trên thẻ. Thẻ thông minh sử dụng không cần có bộ thu nhận sinh trắc hay module đối sánh sinh trắc. Các vấn đề sau sẽ đƣợc xem xét khi xây dựng một giải pháp tổng thể: thông tin lƣu trữ trên thẻ thông minh, quá trình xác minh tính hợp lệ của thông tin lƣu trên thẻ, quá trình xác thực trong hệ thống tổng thể và cuối cùng là mô hình giải pháp tổng thể.
3.3.1.1. Thông tin lƣu trữ trên thẻ
Thông tin cần lƣu trên thẻ thông minh gồm có:
Thông tin ngƣời dùng (thông tin ID, nhà cấp thẻ, thời hạn…)
Mẫu vân sinh trắc học
Khóa riêng của ngƣời dùng
Nhƣ đã nói ở phần trên, chúng ta cần cơ chế đảm bảo sự thống nhất giữa thông tin ngƣời dùng và mẫu vân sinh trắc học. Để đảm bảo điều này, chứng chỉ số đƣợc sử dụng. Khi đó thông tin đƣợc lƣu trên thẻ gồm có:
Chứng chỉ số X.509 (gồm thông tin ngƣời dùng, serial chứng chỉ, chữ ký,…)
Mẫu vân đã đƣợc ký số bởi nhà cấp phát thẻ
Khóa riêng của ngƣời dùng
Chứng chỉ số có cấu trúc theo chuẩn và đƣợc xác minh bởi CA tƣơng ứng. Hình dƣới là cấu trúc của chứng chỉ số lƣu trên thẻ tƣơng ứng với ngƣời dùng USRi. Chứng chỉ số X.509 cấp phát cho ngƣời dùng đóng vai trò là định danh của ngƣời dùng đối với các ứng dụng. Mối tƣơng quan giữa mẫu vân và chứng chỉ số của ngƣời dùng không có nên rất có thể xảy ra khả năng giả mạo thông tin nhƣ đã nêu ở phần trƣớc. Chính vì lý do này, cả mẫu vân và thông tin định danh của ngƣời dùng cần đƣợc ký số nhằm đảm bảo mối tƣơng quan với chƣng chỉ X.509 của ngƣời dùng.
Sau khi ngƣời dùng đƣợc cấp chứng chỉ X.509, số serial của chứng chỉ sẽ đóng vai trò duy nhất ứng với mỗi ngƣời dùng riêng biệt do vậy số serial của chứng chỉ chính là ID của ngƣời dùng. Nhà phát hành thẻ cần ký lên dữ liệu của ngƣời dùng gồm có thông tin mẫu vân, các thông tin liên quan tới thuật toán xác minh và số serial của chứng chỉ số tuơng ứng với ngƣời dùng. Cấu trúc thông tin sinh trắc đƣợc ký số bởi nhà cấp phát thẻ nhƣ hình dƣới.
CHỨNG CHỈ X.509 CHO NGƯỜI DÙNG USRi
CHỮ KÝ SỐ CỦA CA: SigCA(SKCA, CIi) Thông tin chứng chỉ số CIi
Phiên bản định dạng chứng chỉ số Số serial của chứng chỉ CSRUSRi
Thuật toán ký số sử dụng cho chứng chỉ Tên X500 của nhà cấp phát chứng chỉ Khoảng hợp lệ (ngày bắt đầu/ngày kết thúc)
Tên X500 của đối tượng sở hữu chứng chỉ Thuật toán mã hóa/ký số sử dụng Khóa công khai của đối tượng PKUSRi
Thông tin khóa công khai của đối tượng
Định danh duy nhất của nhà phát hành và đối tượng Các tùy chọn mở rộng khác Ký số Enc(SKCA, H(CIi)) = SigCA(SKCA, CIi) Khóa riêng của CA: SKCA