b. Các giải pháp tích hợp sinh trắc để bảo vệ khoá cá nhân
3.3 Phương án thiết kế xây dựng hệ thống BioPKI-OpenCA
3.3.4 Xây dựng phương án về quy trình hệ thống BK-BioPKI-OpenCA
a. Cấp phát chứng thư
(1). Người dùng muốn có 1 chứng thư để sử dụng đến chi nhánh đăng ký chứng thư (LRA), điền thông tin vào mẫu đơn đăng ký xin cấp chứng thư (xem mẫu) nộp cho nhân viên chi nhánh. Các thông tin bao gồm:
- Họ và tên - Giới tính - Ngày sinh - Nơi sinh - Quốc tịch - Số CMND/Hộ chiếu - Ngày cấp
- Nơi cấp - Địa chỉ thường trú - Nơi công tác - Điện thoại - Fax - Điện thoại di động (*) - Email (*) - Chức vụ
- Thời hạn đề nghị cấp (tối đa là 05 năm tính từ ngày cấp chứng thư số)
(2). Nhân viên chi nhánh tiếp nhận đơn đăng ký, kiểm tra thông tin người dùng cung cấp. Nếu các thơng tin chính xác, yêu cầu người dùng nhập mẫu sinh trắc đúng chuẩn. Mẫu sinh trắc được chuyển thành đặc trưng sinh trắc. Đặc trưng này được mã hóa với chứng thư chuyên dùng cho user của CA.
(3). Lưu vào cơ sở dữ liệu quản lý thông tin sau:
- Thông tin người dùng (cả đặc trưng sinh trắc đã mã hóa). - Ngày nhận đăng ký, ngày trả kết quả.
- Sinh mã đăng ký: 3 ký tự đầu mã LRA, 6 ký tự sau phiên đăng ký (tự động tăng)
- Lưu trạng thái yêu cầu: đã đăng ký.
(4). Đưa giấy hẹn trả lời cho người dùng (có mã đăng ký).
(5). LRA ký và gửi thông tin đăng ký xin cấp chứng thư cho RA: - Thông tin đăng ký.
- Mã đăng ký.
(6). RA nhận yêu cầu từ LRA, lọc lấy mã LRA, căn cứ vào mã LRA để kiểm tra chữ ký LRA, nếu kiểm tra thấy khơng đúng thơng báo cho LRA , cịn nếu đúng lưu vào cơ sơ dữ liệu:
- Thông tin đăng ký
- Trạng thái yêu cầu: đang xét duyệt tại RA.
LRA nhận được trả lời từ RA thì cập nhật lại trạng thái yêu cầu (nếu cần) và hủy các thông tin sinh trắc của đăng ký tương ứng
+ Nếu trả lời chữ ký hợp lệ Đang chờ duyệt
(7). RA duyệt yêu cầu, nếu không cấp nhận yêu cầu gửi thông báo không chấp nhận cho LRA, hủy đăng ký trong CSDL. Duyệt yêu cầu gồm:
- Đã có chứng thư hay chưa…
Nếu LRA nhận được thơng báo khơng chấp nhận từ RA thì cập nhật trạng thái yêu cầu là Không hợp lệ
(8). Nếu RA chấp nhận yêu cầu thì ký lên yêu cầu và gửi lên CA (kèm mã đăng ký), chuyển trạng thái yêu cầu thành đã gửi CA (offline).
(9). CA operator kiểm chữ ký của RA trên dữ liệu đăng ký (sử dụng ứng dụng trên nền Windows). Nếu sai thì thơng báo (offline), nếu đúng sử dụng application insert vào CSDL của CA.
(10). CA phát hành chứng thư,
- Ghi khóa riêng, chứng thư, đặc trưng sinh trắc vào thiết bị nhúng. - Chuyển thiết bị nhúng, chứng thư, và mã yêu cầu cho RA
(11). RA nhận dữ liệu từ CA:
- Insert chứng thư vào CSDL chứng thư của RA.
- Căn cứ vào mã yêu cầu, update trạng thái yêu cầu: đã được cấp, điền mã thẻ vào yêu cầu tương ưng
- Insert thông tin thiết bị nhúng vào CSDL: mã thiết bị, ID người dùng, serial number của chứng thư, trạng thái của thiết bị (delivered to LRA –
(13). RA trả thiết bị nhúng cho LRA, mã yêu cầu, cập nhật lại trạng thái của thiết bị nhúng (Delivered to LRA – true.)
(14). LRA nhận thiết bị nhúng từ RA kèm mã yêu cầu. Dựa vào mã yêu cầu, cập nhật trạng thái yêu cầu là đã có thẻ và điền mã thẻ vào yêu cầu tương ứng
(15). Người đăng ký cầm giấy hẹn đến LRA để lấy chứng thư. LRA căn cứ vào mã đăng ký để lấy thiết bị nhúng trả cho người đăng ký và cập nhật trạng thái yêu cầu là đã trả thẻ. Đồng thời LRA thông báo cho RA người dùng đã nhận thẻ (kèm mã thẻ).
(16). RA nhận được thông báo người đăng ký đã nhận thẻ. Dựa trên mã thẻ cập nhật lại trạng thái thẻ (Delivered to User – true.)
b. Xử lý mất thiết bị nhúng Etoken (hủy chứng thư tức thời) (1). Người dùng đến LRA báo mất thẻ và yêu cầu hủy chứng thư.
(2). LRA kiểm tra thông tin người dùng để xác minh nhân thân.
(3). LRA gửi yêu cầu hủy chứng thư (chứa ID người dùng) cho RA (offline) và lưu yêu cầu vào cơ sở dữ liệu, trạng thái yêu cầu là đã gửi RA.
(4). RA nhận yêu cầu từ LRA, lưu yêu cầu vào CSDL, căn cứ vào ID người dùng tìm các thẻ tương ứng và báo lại cho LRA (nếu cần).
(5). Sau khi xác định chính xác mã thẻ cần hủy, dựa trên mã thẻ - Tìm serial number của chứng thư chứa trong thẻ. - Update trạng thái chứng thư: thu hồi.
- Update trạng thái thẻ: đã hủy. - Thông báo lại cho LRA.
(6). LRA nhận thông tin từ RA báo cho người dùng, update lại trạng thái yêu cầu đã xử
lý.
(7). Cuối ngày, RA tìm trong CSDL các yêu cầu hủy (chứa serial number của chứng thư) gửi cho CA.
(8). CA nhận được thông tin từ RA, căn cứ vào các serial number để cập nhật lại trạng thái chứng thư.
c. Sử dụng chứng thư (ứng dụng chữ ký số)
(1). Quy trình ký
- Đưa thiết bị nhúng vào ứng dụng (đã chứa đặc trưng sinh trắc) - User cung cấp số PIN để xác thực (1 lần)
- Mỗi lần sử dụng, ứng dụng yêu cầu người dung cung cấp dấu hiệu sinh trắc
- Thẩm định sinh trắc được thực hiện trên máy local : đọc dấu hiệu sinh trắc từ thiết bị nhúng, thẩm định dấu hiệu sinh trắc nhận được với dấu hiệu trong thiết bị nhúng - Nếu kết quả thẩm định tốt hiện giao diện cho phép sử dụng chứng thư (ký số) - Module ký số thực hiện
(2). Quy trình xác thực chữ ký số:
- Nhận dữ liệu đã được ký, SN của chứng thư - Tách chữ ký, SN của chứng thư
- Gửi SN cho RA để lấy chứng thư của bên gửi - Xác thực chữ ký
CHƯƠNG 4
PHÂN TÍCH THIẾT KẾ CÀI ĐẶT THÀNH PHẦN SETUP HỆ THỐNG BK-BIOPKI-OPENCA
4.1 Giới thiệu
Hệ thống BK-BioPKI dựa trên OpenCA được thực hiện bởi nhóm sinh viên khố 49, khoa công nghệ thông tin trường đại học Bách Khoa Hà Nội. Với sự phân công cụ thể như sau:
• Trần Anh Mỹ lớp TTM K49: Xây dựng thành phần CA Operator
• Nguyễn Thuý Hằng lớp TTM K49 : Xây dựng các thành phần RA
• Nguyễn Đức Tồn lớpTTM K49: Xây dựng module giao tiếp giữa LRA và RA
• Nguyễn Văn Tồn lớp TTM K49: Xây dựng các thành phần của LRA và tích hợp
sinh trắc vào hệ thống.
• Bùi Đức Khánh lớp TTM K49: Xây dựng các ứng dụng PKI như chữ ký số, mã
hố thơng điệp.
• Đào Vũ Hiệp lớp TTM K49 và Nguyễn Tư Hoàn KSTN K49: Module sinh trắc
học.
Quyển đồ án này tập trung vào việc phân tích thiết kế cài đặt module setup hệ thống BioPKI OpenCA.