Trong khuôn khổ đề tài KHCN cấp nhà nước KC.01.11/06-10, giải pháp hệ thống BioPKI đã được nghiên cứu và thiết kế xây dựng thử nghiệm. Theo đó, hệ thống BioPKI được xây dựng trên nền tảng mã nguồn mở OpenCA chạy trên nền hệ điều hành Linux. OpenCA cung cấp các thành phần cần thiết để triển khai một hệ PKI trong đó sử dụng nhiều tiêu chuẩn công nghiệp như các chuẩn PKCS (Public Key Cryptography Standard), chuẩn X.509 để lưu trữ chứng thư …
Mặc dù OpenCA được xây dựng trên nền Web-based, hệ thống BioPKI được xây dựng trên công nghệ Application-based trên nền tảng hệ điều hành Windows. Sở dĩ có điều này, thứ nhất, là do yêu cầu của hệ thống tích hợp với module sinh trắc học. Module này đòi hỏi tích hợp các hệ nhúng, điều mà môi trường Web-based gặp trở ngại lớn khi thực hiện. Thứ hai, các quá trình mã hóa, giải mã mà hệ thống cần có đòi hỏi độ phức tạp lớn mà môi trường Web-based chưa thể thực hiện được. Bên cạnh đó, việc OpenCA là một phần mềm mã nguồn mở chưa hoàn chỉnh cũng khiến cho việc lựa chọn môi trường Web-based để phát triển hệ thống lõi là không phù hợp.
Do đó, hệ BioPKI chỉ sử dụng thành phần CA của OpenCA mà không sử dụng các thành phần khác như RA, Pub, Node hay cơ sở dữ liệu LDAP. Để thay thế các thành phần này, các thành phần khác đã được xây dựng trong hệ, bao gồm: CA Operator, RA và các LRA.
Dựa theo những phân tích ở trên, mô hình giải pháp hệ thống BioPKI của đề tài KHCN cấp nhà nước KC01.11/06-10 được thể hiện như trong hình (3.1).
Hình 3-17: Sơ đồ mức khung cảnh hệ thống BioPKI
Kiến trúc PKI được chọn để áp dụng vào thiết kế hệ thống BioPKI là kiến trúc CA đơn, bao gồm:
- CA: Máy chủ Linux chứa OpenCA, hệ điều hành Fedora 6.
- CA Operator: ứng dụng chạy trên máy cài hệ điều hành windows, có khả năng kết nối LAN đến máy chủ chứa CA để thao tác với CA và CSDL của CA. CA Operator được tích hợp module đọc ghi vào thiết bị nhúng và các module mã hóa sinh trắc.
- Hai thành phần trên chỉ nối LAN với nhau mà không kết nối với mạng bên ngoài để tránh bị các tấn công từ bên ngoài mạng, đảm bảo an toàn cho hệ thống.
- RA: Ứng dụng chạy trên máy cài hệ điều hành Windows, nơi quản lý tập trung các user, request, cho phép thuê bao truy xuất để xác thực chứng thư hoặc xem chứng thư. Giao tiếp online với LRA, offline với CA Operator. Ra quyết định về cấp, hủy chứng thư và đóng vai trò trung gian giữa LRA và CA Operator. RA phải có 2 module giao tiếp với LRA
và user application riêng để đáp ứng các yêu cầu khác nhau từ 2 ứng dụng này. Trong giai đoạn ban đầu chỉ cài đặt một RA.
- LRA: Ứng dụng chạy trên máy cài hệ điều hành Windows, nơi trực tiếp giao tiếp với người dùng, thu nhận các yêu cầu và các mẫu sinh trắc, vì vậy cần xây dựng module thu nhận mẫu sinh trắc cho khối này. Giao tiếp online với RA và có thể có nhiều LRA.
- User applications: Các ứng dụng người dùng: chữ kí số, mã hóa thông điệp…, nơi các thuê bao sử dụng thẻ của mình để tiến hành các giao dịch trong hệ thống như các giao dịch xác thực, mã hóa…