2.3. Hệ thống an ninh dựa trên dấu hiệu sinh trắc học BioPKI
2.3.3. Mô hình kiến trúc tổng thể hệ thống BioPKI
Hình 2.13 Mô hình kiến trúc tổng thể hệ thống BioPKI 2.3.3.1. Hệ thống con CA (Certification Authority)
Là hạt nhân của hệ thống PKI. Chi có CA mới có quyền phát hành chứng thư số cho một đối tượng sau khi kiểm tra những thông tin về đối tượng đó. Trong hệ thống PKI, CA đóng vai trò là một bên thứ ba mà các ứng dụng sử dụng chứng thư số trong hệ thống phải tin tưởng. Trong hệ thống BioPKI, CA được phân thành hai phần.
• OpenCA: Nhiệm vụ trước tiên và quan trọng nhất của OpenCA là xác thực chứng thư số và phát hành chứng thư số. Ngoài ra, Open CA còn đóng vai trò quản trị cơ sở dữ liệu về các yêu cầu cũng như chứng thư số và trạng thái của chứng thư số người dùng trong hệ thống.
• CA Operator: Đây là công cụ điều hành của quản trị viên, một mặt cho phép quan trị viên giao tiếp với OpenCA; mặt khác cũng là nơi giao tiếp với thành phần RA. CA Operator cho phép người điều hành CA đưa thông tin yêu cầu vào cơ sở dữ liệu của OpenCA và kết xuất khóa riêng, chứng thư số của người dùng. CA Operator còn cung cấp ứng dụng để đưa vào thiết bị nhúng các thông tin sau: chứng thư số, khóa riêng, đặc trưng sinh trắc của người đăng ký, thậm chí thông tin cá nhân của người dùng.
Trong mô hình này, CA được cách ly hoàn toàn với các thành phần khác trong môi trường mạng của hệ thống, mọi giao dịch của CA với các thành phần
CA
Website BioPKI
khác được thực hiện thông qua các thiết bị lưu trữ cá nhân như đĩa quang, bút nhớ....
2.3.3.2. Hệ thống con RA (Registration Authority)
Trong các hệ thống với phạm vi vật lý, việc CA chứng nhận thông tin định danh của người dùng để xét duyệt là rất khó khăn. Mặt khác, để đảm bảo an toàn – an ninh cho hệ thống, CA đã được cách ly nên phải có một thành phần khác đóng vai trò công bố chứng thư số, cũng như tạo điểm ghép nối cho các ứng dụng trên nền tảng PKI. RA (Registration Authority) sẽ được thực hiện các nhiệm vụ đó.
Trong kiến trúc hệ thống BioPKI, RA được phân thành 3 thành phần:
• Registration Center: Thành phần này là nơi quản lý người dùng và tất cả các yêu cầu của người dùng, bao gồm các yêu cầu cấp phát chứng thư số mới, hủy chứng thư số, gia hạn chứng thư số. Các yêu cầu này sẽ được xét duyệt tại RA trước khi chuyển lên cho CA thông qua các thiết bị lưu trữ cá nhân.
• Certificate Service Center: Thành phần này giữ vai trò cung cấp các dịch vụ để sử dụng chứng thư số tương ứng với từng ứng dụng cụ thể như Chữ ký số, kiểm soát truy cập từ xa, mã hóa thông điệp...Mô –đun này cũng đóng vai trò kiểm tra, xác minh tính hợp lệ của chứng thư số và các thông tin trên chứng thư số. Mô – đun này sử dụng một cơ sở dữ liệu tại CA Kernel.
• Website: Website BioPKI là nơi cho phép người dùng xem các thông tin về đăng ký chứng thư số, tra cứu thông tin cũng như download chứng thư số, lấy mẫu kê khai để tiện cho các giao dịch đăng ký, hủy bỏ hay gia hạn chứng thư số ở
trung tâm cấp phát chứng thư số ở trung tâm cấp phát chứng thư số.Website góp phần quảng bá các thông tin chứng thư số tới người dùng phổ thông.
2.3.3.3. Hệ thống con LRA (Local Registration Authority)
Là nơi tiếp nhận các yêu cầu của người dùng đối với hệ thống, bao gồm xin cấp chứng thư số mới, xin gia hạn chứng thư số, xin hủy chứng thư số; trả kết quả đáp ứng của hệ thống cho người dùng. Đặc biệt, LRA chính là nơi thu nhận và xử lý các mẫu sinh trắc khi người dùng đã đăng ký trong quá trình xin cấp phát; cũng như nơi thẩm định các đặc trưng sinh trắc học với hai yêu cầu còn lại.
2.3.3.4. Ứng dụng người dùng (Application Client)
Tùy thuộc vào yêu cầu của người dùng, cũng như các nghiệp vụ cụ thể, các ứng dụng sẽ xây dựng để người dụng có thể sử dụng chứng thư số trong giao dịch điện tử. Các ứng dụng xây dựng trên nền tảng cơ sở hạ tầng khóa công khai nói chung có thể chia làm ba loại: Chữ ký số, kiểm soát truy cập từ xa và mã hóa thông điệp. Tất cả các ứng dụng được kết nối với hệ thống thông qua thành phần Cerificate Server Center của RA.