Chương 1 TỔNG QUAN VỀ THẺ THÔNG MINH
1.4. VẤN ĐỀ XÁC THỰC NGƢỜI DÙNG
1.4.3. Sử dụng đặc trƣng sinh trắc học
Việc sử dụng mật khẩu và mã PIN ngày càng nhiều cũng khiến số ngƣời phản đối kiểu định danh này ngày càng tăng. Ngƣời ta ít gặp khó khăn khi phải ghi nhớ những chuỗi chữ và số thƣờng xuyên sử dụng, nhƣng nếu mã PIN chỉ thỉnh thoảng đƣợc dùng, chẳng hạn trong khoảng thời gian 2 tháng để rút tiền, thì ít ai nhớ đƣợc. Vấn đề trở nên xấu hơn khi ngƣời ta lo ngại rằng máy có thể nuốt thẻ nếu mã PIN đƣợc nhập sai 3 lần trong một hàng.
Đây chắc chắn là lý do khiến phƣơng pháp sử dụng đặc trƣng sinh trắc học ngày càng đƣợc ƣu ái. Phƣơng pháp này không hẳn nhanh chóng hay an toàn hơn so với cách dùng mã PIN, nhƣng chúng giúp tạo điều kiện thuận lợi hơn cho ngƣời dùng. Nếu nhƣ phƣơng pháp đặc trƣng sinh trắc học đảm bảo một mức độ an toàn tƣơng đƣơng với phƣơng pháp dùng mã PIN, thì điều hành viên hệ thống phải chuẩn bị sẵn sàng để có thể áp dụng đƣợc phƣơng pháp này. Hơn nữa, các đặc trƣng sinh trắc học không thể chuyển giao dễ dàng nhƣ mã PIN, nghĩa là nhận dạng ngƣời sử dụng thay vì một bí mật mà ngƣời dùng và điều hành viên hệ thống cùng chia sẻ.
Những nguyên tắc cơ bản
Phƣơng pháp nhận dạng sinh trắc học là cách thức giúp nhận dạng rõ ràng thông qua các đặc trƣng sinh học riêng có của mỗi ngƣời. Nếu các đặc trƣng này đƣợc kiểm tra bằng phƣơng pháp nhận dạng sinh trắc học liên quan trực tiếp tới cơ thể ngƣời sử dụng và hoàn toàn độc lập với các kiểu hành vi có ý thức, chúng sẽ đƣợc gọi là các đặc điểm sinh trắc học sinh lý. Ngƣợc lại, các phƣơng pháp sinh trắc học căn cứ trên các đặc điểm hành vi lại tận dụng những đặc điểm nhất định vốn có thể thay đổi một cách cố ý trong những phạm vi nhất định nhƣng vẫn là các đặc điểm của một ngƣời cụ thể.
Giữa các phƣơng pháp nhận dạng dựa trên vốn hiểu biết và phƣơng pháp sinh trắc học còn có một điểm khác biệt nữa, có thể vừa là ƣu điểm vừa là nhƣợc điểm tùy vào quan điểm từng ngƣời. Điểm khác biệt đó nằm ở chỗ các đặc điểm sinh học không thể chuyển giao cho ngƣời khác. Điều này có nghĩa là với một hệ thống áp dụng các phƣơng pháp sinh trắc học để nhận dạng, ngƣời ta không thể đƣa thẻ và số PIN của mình cho một ngƣời đƣợc tin cậy, ngƣời mà sau đó có thể cố ý sử dụng thẻ này. Rõ ràng, điều hành viên hệ thống thấy hành động này ngoài sức tƣởng tƣợng vì việc tiết lộ mã PIN là hành vi tối kỵ đối với gần nhƣ toàn bộ mọi hệ thống.
Các đặc điểm sinh trắc học thƣờng không thể thay đổi - yếu tố rất hấp dẫn đối với việc nhận dạng rõ ràng. Mặc dù vậy, đặc điểm không thể thay đổi này chắc chắn sẽ tiềm ẩn những rắc rối lớn nếu một hệ thống đƣợc thu xếp lắp đặt. Ngoài ra, nếu không đƣợc ngƣời liên quan chấp thuận nhƣng một số đặc điểm sinh trắc học vẫn có thể đo đƣợc nếu cố gắng đúng mức và chi phí hợp lý thì điều này có thể gây ra một số hậu quả nghiêm trọng.
Ví dụ minh họa là việc sử dụng vân tay. Giả sử có thể lấy đuợc dấu vân tay của một ngƣời bằng cách phân tích một đồ vật mà ngƣời đó cầm khi ăn trong nhà hàng, dữ liệu về dấu vân tay này có thể đƣợc phổ biến trên Internet và bất kỳ ai muốn làm việc này và có thiết bị phù hợp cũng có thể sao chép. Trong tình huống nhƣ vậy, không thể xác định danh tính ngƣời đó bằng đặc điểm sinh trắc học là dấu vân tay vì không thể đảm bảo chắc chắn ngƣời đó có thực sự tạo ra một dấu vân tay đặc biệt nào không.
Nhận dạng đặc trưng sinh trắc học
Các phương pháp nhận dạng dựa trên đặc trưng cơ thể
Các phương pháp nhận dạng dựa trên đặc trưng hành vi Khuôn mặt Mống mắt (tròng đen) Võng mạc Đồ hình bàn tay Vân tay Nhịp gõ Giọng nói Chữ ký
Hình 25. Phân loại các phƣơng pháp sinh trắc học
Cũng có thể phân loại đặc trƣng sinh trắc học theo độ khó khi thu thập các đặc điểm này. Các loại đó là “mở”, “đóng một phần”, “đóng” và “đóng toàn bộ”. Kiểu phân loại này liên quan đến độ khó một bên thứ ba thu thập đặc điểm sinh trắc học mà không đƣợc sự đồng ý của ngƣời mang đặc điểm đó. Các đặc điểm “mở” chẳng hạn nhƣ đặc điểm gƣơng mặt có thể ghi lại qua quan sát thông thƣờng.
Minh họa cho kiểu “đóng một phần” là dấu vân tay - có thể thu đƣợc bằng thiết bị đơn giản mà ngƣời mang dấu vân tay đó không hề hay biết. Để thu đƣợc đặc điểm võng mạc mà ngƣời mang đặc điểm không hề hay biết, cần rất nhiều thiết bị, vì vậy đặc điểm võng mạc có thể đƣợc xếp vào nhóm đặc điểm “đóng”. Đặc điểm “đóng toàn bộ” thƣờng gồm các đặc điểm hành vi, vì trong đa số trƣờng hợp các hành vi đều đƣợc bộc lộ một cách có ý thức.
Rõ ràng không phải mọi đặc điểm sinh học đều phù hợp với việc nhận dạng. Một đặc điểm phải thỏa mãn ít nhất các tiêu chuẩn sau mới có thể dùng vào việc nhận dạng:
Có thể đo đƣợc trong thực tế (xét về phƣơng pháp đo, thời gian và chi phí)
Chỉ duy nhất gắn với một ngƣời cụ thể.
Phải đƣợc phân bố rộng rãi trong cộng đồng.
Không thể thay đổi đặc điểm đó với ý đồ lừa đảo.
Dữ liệu tham chiếu phát sinh không quá lớn (chỉ từ khoảng vài trăm bytes tới tối đa vài ngàn bytes).
Đặc điểm không biến đổi quá nhiều theo thời gian để đảm bảo phép đo vẫn chính xác.
Phƣơng pháp đo và đặc điểm chọn đo phải đƣợc ngƣời sử dụng chấp nhận.
Ở thẻ thông minh, việc kiểm tra mã PIN không đòi hỏi những thuật toán phức tạp vì thao tác này chỉ là đối chiếu các giá trị PIN đã nhận và đƣợc lƣu. Giá trị tham chiếu đƣợc lƣu trong thẻ, nhƣng việc đối chiếu với phép đo đang đƣợc áp dụng lại không đƣợc thực hiện trong thẻ. Đó là do các đặc điểm sinh trắc học cần phải qua rất nhiều khâu xử lý. Chính vì thẻ thông minh thƣờng không có đủ khả năng xử lý các đặc điểm này nên việc xử lý trƣớc các giá trị cần đo thực hiện chủ yếu trên máy tính sẽ đƣợc tiến hành bên ngoài. Sau đó kết quả đƣợc gửi đến thẻ, thẻ sẽ đánh giá dữ liệu đã xử lý trƣớc bằng các thuật toán đặc biệt không cần quá nhiều bộ nhớ hay năng lực xử lý. Tiếp theo thẻ sẽ đƣa ra quyết định theo kiểu Có/Không căn cứ trên giá trị tham chiếu đã lƣu.
Phƣơng pháp này gọi là “đối chiếu trên thẻ” hay “đối chiếu trên chip” (MOC). Thời gian cần cho việc đối chiếu phụ thuộc vào nhiều yếu tố, chẳng hạn nhƣ phƣơng pháp sinh trắc học nào đƣợc áp dụng và khả năng dữ liệu đƣợc xử lý trƣớc. Ví dụ, chỉ mất khoảng 2 giây để kiểm tra dữ liệu dấu vân tay trong một thẻ thông minh có bộ xử lý 8 bit và dữ liệu đã đƣợc xử lý trƣớc trong thiết bị đầu cuối.
Các đặc điểm sinh trắc học là những dữ liệu cá nhân nên cần đƣợc bảo vệ hợp lý. Đây là một ứng dụng rất hay của thẻ thông minh vì dữ liệu tham chiếu cần cho việc kiểm tra không bao giờ bị tách khỏi thẻ, nhƣ vậy khả năng xâm phạm vào thẻ là rất ít. Tuy nhiên, nếu dữ liệu tham chiếu đƣợc lƣu giữ trong một môi trƣờng không an toàn, chúng vẫn có thể bị thao túng nếu muốn. Trong trƣờng hợp nhƣ vậy, phƣơng pháp nhận dạng bằng sinh trắc học lại không mang lại ích lợi gì. Năng lực xử lý ngày càng lớn của các bộ vi kiểm soát và khả năng tích hợp các bộ cảm ứng phục vụ việc thu thập dữ liệu sinh trắc học với thẻ sẽ tăng tính ứng dụng của thẻ thông minh trong những lĩnh vực mới.
KẾT CHƢƠNG
Thẻ thông minh có sự phát triển nhanh chóng trong mƣời năm trở lại đây. Thẻ thông minh có sự đa dạng về chủng loại cũng nhƣ lĩnh vực ứng dụng. Về cơ bản thẻ thông minh có các nhóm cơ bản: thẻ nhớ, thẻ tiếp xúc, thẻ không tiếp xúc và thẻ kết hợp. Để thẻ thông minh đƣợc ứng dụng rộng rãi và có tính tƣơng thích cao, các tổ chức trên thế giới đã thống nhất các chuẩn chung cho thẻ thông minh. Chuẩn ISO 7816 đặc tả chi tiết cấu tạo vật lý, giao tiếp truyền thông, đặc trƣng cấu trúc file phân cấp cũng nhƣ các lệnh thao tác với thẻ thông minh. Thẻ thông minh đƣợc xem nhƣ thiết bị có tính bảo mật, tính riêng tƣ cao. Việc kết hợp thẻ thông minh với hạ tầng khóa công khai cho phép bổ sung nhiều tính năng bảo mật cho thẻ. Nội dung của chƣơng cũng nêu khái quát khái niệm hạ tầng khóa công khai và các thành phần cấu thành hạ tầng.
Thẻ thông minh là thiết bị có tính bảo mật cao, thẻ thông minh đƣợc thiết kế cơ chế xác thực chủ sở hữu. Hiện tại phƣơng pháp phổ biến xác thực chủ sở hữu thẻ thông minh là xác thực sử dụng số PIN. Phƣơng pháp sử dụng số PIN là dễ dàng nhƣng không có cơ chế đảm bảo rằng số PIN là tuyệt đối bí mật. Một xu thế xác thực khác thay thế dần phƣơng pháp xác thực sử dụng số PIN là sử dụng đặc trƣng sinh trắc học. Phƣơng pháp xác thực sử dụng đặc trƣng sinh trắc tạo nhiều thuận lợi cho ngƣời dụng, đây là phƣơng pháp đƣợc nhiều tổ chức, cá nhân quan tâm nghiên cứu nhằm đƣa thành chuẩn quốc tế.