Một số ứng dụng trong thẻ thông minh

Một phần của tài liệu Chữ ký số trong thẻ thông minh và ứng dụng xác thực (Trang 53)

Phần này giới thiệu một sốứng dụng về thẻ thông minh đang được áp dụng trên thế giới. Chương này cũng nhằm giới thiệu các hệ thống thẻ thông minh trong

đó thẻ thông minh chỉ là một thành phần trong đó. Trong những hệ thống này, tất cả các chức năng, tính thân thiện người dùng và tính bảo mật của hệ thống đều dựa trên thẻ thông minh. Các hệ thống thẻ thông minh đưa ra trong chương này

được tham khảo trong chương 12 và chương 14 tài liệu “Smart Card Hand Book”.

1.3.4.1. Th thông minh trong h thng thu l phí (c"u, đng) đin t

Trong một số nước, người ta phải trả tiền cho việc sử dụng một số đoạn

đường khi đi qua đoạn đường đó. Số tiền phải trả phụ thuộc vào loại phương tiện và số lần đi qua. Cho đến nay, lệ phí qua cầu, đường thường được trả tại một số

trạm trên cầu, đường đó. Những hệ thống này có hạn chế là chúng làm cản trở

luồng giao thông vì các phương tiện phải dừng lại để trả tiền.

Ở Đức năm 1993, người ta đã cho thử nghiệm một hệ thống thu tiền tự động. Hệ thống này sử dụng Thẻ thông minh để lưu giữ số tiền điện tử. Với hệ

thống này, các phương tiện đi lại phải được gắn thêm một thiết bị gọi là OBU (onboard unit) hoặc IVU (in-vehicle unit). OBU có chứa một Terminal. OBU liên kết với bên ngoài thông qua sóng cực ngắn (microwave). Các trạm điều khiển

được đặt trên đường ở các vị trí cần thiết. Khi phương tiện đi qua trạm điều khiển

đầu tiên, OBU và Thẻ thông minh được kích hoạt. Tiếp đó, phương tiện được phân loại để có thể tính lệ phí. Việc phân loại này được thực hiện bằng cách đo chiều cao của phương tiện khi nó đi qua trạm. Khi phương tiện trong vùng phủ

sóng của trạm kiểm soát thứ hai, một liên kết được nối với Thẻ thông qua OBU. Trạm kiểm soát thứ hai kiểm tra lệ phí cầu đường được khởi tạo bởi trạm đầu tiên

đã thành công hay chưa. Nếu chưa, phương tiện sẽ bị chụp ảnh nhờ vào hệ thống camera được đặt tại các trạm. Người đăng ký xe do đó sẽ bị phạt tiền. Nếu thành công, số tiền điện tử trong Thẻ thông minh sẽđược giảm đi.

1.3.4.2. Th thông minh trong ch# ký s (Digital Signature)

Một môi trường an toàn là cần thiết cho việc lưu giữ và sử dụng khóa bí mật. Thẻ thông minh là một giải pháp lý tưởng cho yêu cầu này, vì chúng có kích thước nhỏ, rẻ tiền và có khả năng bảo vệở mức cao đối với việc đọc hoặc sửa dữ

liệu từ bên ngoài. Trong chữ ký số, nhờ vào đặc tính an toàn của mình, Thẻ thông minh luôn được dùng để lưu giữ các khóa bí mật và tạo ra chữ ký số. Có 2 thành phần cần thiết trong hệ thống chữ ký sốđó là trung tâm tin cy (Trust Center)

Th ký s (signature card).

Khóa công khai và bí mật cho chữ ký số có thể được tạo theo cách tập trung hoá hoặc phi tập trung hoá. Với cách tập trung hoá, tất cả các cặp khóa được tạo tại một địa điểm và được ký bởi khóa riêng của Trust center ngay sau khi được tạo. Khóa có thểđược tạo và ký ở trong Thẻ (oncard) hoặc ở ngoài Thẻ (offcard). Với cách phi tập trung hoá, khóa chỉ có thểđược tạo oncard, vì Thẻ là môi trường an toàn duy nhất trong trường hợp này. Mỗi cách tạo khóa đều có những điểm lợi và bất lợi khác nhau. Trong thực tế, cách tạo khóa tập trung hoá chiếm ưu thế hơn vì chúng an toàn và hợp với quá trình sản xuất Thẻ thông minh.

o Cp phát Th ký s

Người dùng muốn có Thẻ ký số trước hết phải đăng ký với tổ chức có thẩm quyền đăng ký. Người dùng phải đưa ra các thông tin chứng minh định danh của mình, chẳng hạn như thẻ chứng minh thư, cho tổ chức có thầm quyền. Tổ chức có thẩm quyền sau đó sẽ chuyển các thông tin này và xác thực nó với Trust Center. Trust Center sẽ tạo khóa và cá nhân hoá Thẻ. Trong quá trình này, khóa công khai của Thẻ mới sẽđược ký bởi dịch vụ chứng chỉ của Trust Center đểđược xác thực. Khóa công khai được ký sau đó sẽ được đưa vào thư mục khóa công khai trên Trust Center. Điều này giúp cho các người dùng khác có thể sử dụng khóa công khai này. Bây giờ người dùng sẽ nhận được Thẻ ký số cùng với số PIN của mình.

o Ký và kim tra tài liu

Văn bản điện tử được ký bằng cách sử dụng khóa riêng của Thẻ ký số. Trước khi có thể ký trên văn bản, người ký (hay người giữ Thẻ) phải được định danh một cách rõ ràng. Người ký bắt buộc phải nhập vào số PIN của mình.

Văn bản đã ký bây giờ có thể được gửi đi. Để có thể kiểm tra chữ ký của văn bản, khóa công khai của người ký có thểđược lấy từ thư mục khóa công khai trên Trust Center.

Hình 1-10 Th tc cơ bn cho vic ký và kim tra

o Trust Center

Trust Center là thành phần quan trọng nhất trong hệ thống chữ ký số cùng với Thẻ ký số. Nó hỗ trợ 6 chức năng khác nhau: đăng ký một người sử dụng mới, tạo khóa và cá nhân hoá một Thẻ ký số mới, dịch vụ chứng chỉ, dịch vụ thư mục cho khóa công khai, dịch vụ thư mục cho danh sách đen (danh sách thu hồi), và dịch vụđịnh thời gian (time stamp).

Dịch vụ đăng ký có nhiệm vụ thu thập các thông tin cá nhân và kiểm tra

định danh của người dùng mới. Dịch vụ chứng chỉ có nhiệm vụ ký khóa công khai cho Thẻ ký số bằng cách sử dụng khóa bí mật của Trust Center giúp cho khóa công khai của Thẻđược xác thực là thật.

Kim tra Trust center Registration Certificate service Public key directory Directory service Black list Timestamp service

Người gi Card Card s Văn bn cn ký Terminal (adsbygoogle = window.adsbygoogle || []).push({});

Để

Người kim tra Văn bn đã ký Card s

Vn chuyn Terminal

Khoá công khai ca người gi K

Thông thường, Trust Center có nhiều hơn một khóa bí mật cho việc tạo chứng chỉ. Dịch vụ thư mục cho khóa công khai chứa các khóa công khai của các Thẻ ký sốđược ký bởi Trust Center. Dịch vụ thư mục cho danh sách thu hồi chứa danh sách của các khóa bị chặn(block) -các khóa thuộc về những Thẻ bị mất hoặc hỏng. Dịch vụ định thời gian được dùng để đính kèm các thông tin về ngày giờ

hiện tại cho các thông tin điện tử được đưa tới Trust Center. Các thông tin nhận bởi Trust Center cùng với thông tin ngày giờ được ký bởi khóa riêng của dịch vụ định thời. Điều này cho phép người cung cấp thông tin chứng minh được với các tổ chức thứ ba rằng những thông tin đó có hiệu lực không muộn hơn một thời

điểm xác định.

1.3.4.3. Th thông minh trong h thng tr tin đin t

Có 3 mô hình cơ bản cho việc trả tiền điện tử sử dụng Thẻ thông minh: mô hình dùng th credit, trong đó việc trả tiền diễn ra sau khi dịch vụđược thực hiện, mô hình dùng th debit, trong đó việc trả tiền diễn ra trong khi dịch vụ thực hiện, mô hình dùng chiếc ví đin t, trong đó việc trả tiền diễn ra trước khi dịch vụ thực hiện.

Thẻ credit: Nguyên tắc trả tiền bằng thẻ credit rất đơn giản: Bạn sẽ trả tiền bằng thẻ của mình, sau đó số lượng tiền tương ứng sẽ được lấy ra từ tài khoản của bạn.

Thẻ debit: Thẻ debit cho phép số lượng tiền được trả chuyển đến tài khoản của các nhà cung cấp dịch vụ như là một phần trực tiếp của quá trình trả tiền.

Chiếc ví điện tử: Với chiếc ví điện tử, ‘tiền điện tử’ được tải vào trong Thẻ

trước bất kỳ một cuộc trả tiền nào. Khi việc mua hàng diễn ra, số tiền trong Thẻ sẽ được giảm đi một lượng bằng với số tiền mua hàng, và cùng một thời điểm, số lượng tiền trong ví của nhà cung cấp dịch vụ cũng tăng lên một lượng tương ứng với số tiền mua hàng. Nhà cung cấp dịch vụ sau này có thể đưa số tiền điện tử này tới các nhà cung cấp hệ thống trả tiền điện tử để có thể lấy tiền mặt. Người dùng thẻ muốn có thêm số tiền điện tử trong chiếc ví sẽ phải dùng tiền mặt đểđổi lấy tiền điện tử.

o Kiến trúc h thng

Kiến trúc hệ thống của một hệ thống trả tiền điện tử sử dụng Thẻ thông minh có thể là hệ thống tập trung hoá hoặc phi tập trung hoá. Với các hệ thống cụ

thể, vấn đề an ninh của hệ thống là vấn đềđược đặt lên hàng đầu. Do đó hệ thống tập trung hoá thường hay được sử dụng hơn vì những người quản trị hệ thống có thể kiểm soát toàn bộ hệ thống.

Hệ thống tập trung hoá nói đến một hệ thống trực tuyến trong đó mọi họat

động trả tiền đều được thực hiện trực tiếp và diễn ra trực tuyến bởi hệ thống nền. Nếu đường truyền thông không được thiết lập, việc trả tiền không thực hiện được. Các hệ thống tập trung có một số ưu điểm. Ví dụ như các phiên giao dịch đến có thểđược so sánh trực tiếp với danh sách đen (blacklist) ở thời gian thực, việc trao

đổi khóa có thể được tiến hành một cách trực tiếp mà không có sự trì hoãn nào. Các phần mềm trong Terminal và các tham số chung trong Thẻ thông minh có thể được cập nhật một cách trực tiếp mà không phải tốn thêm nhiều công sức. Tuy nhiên hệ thống tập trung hoá rất khó được ứng dụng rộng rãi vì sự phức tạp của việc triển khai. Trong rất nhiều nước, cước phí truyền thông là tương đối cao nên sẽ không thích hợp với các nhà doanh nghiệp cho việc duy trì một đường truyền lâu dài với hệ thống nền. Ở một só khu vực, mạng điện thoại không đủ tin cậy để

cho phép đường kết nối trực tuyến trong các phiên giao dịch.

Với đặc điểm của mình, Thẻ thông minh khá thích hợp cho các hệ thống phi tập trung vì nó chứa một phần sự an toàn của hệ thống. Thực tế, việc dùng

chiếc ví đin tử trong các thiết bị tự động hoá, ví dụ như máy bán hàng tự động, luôn sử dụng hệ thống phi tập trung vì chiếc ví đin tử có thể hoạt động độc lập trong nhiều ngày, nhiều tuần mà không cần phải liên hệ với một hệ thống truyền thông nào cả. Hệ thống phi tập trung do đó được ưa thích hơn. Hệ thống phi tập trung có một ưu điểm hơn so với hệ thống tập trung đó là khi hệ thống nền bị

hỏng, với hệ thống tập trung, toàn bộ mọi việc trả tiền điện tử sẽ không thực hiện

được, còn đối với hệ thống phi tập trung, mọi phiên giao dịch vẫn có thể thực hiện

được.

Hệ thống phi tập trung cũng có một số nhược điểm, đặc biệt là trong lĩnh vực quản lý hệ thống. Đó là vì việc kết nối trực tuyến chỉđược thực hiện vào một số thời điểm nhất định và mọi việc đều do Terminal quyết đinh. Tuy nhiên, để đảm bào cho tính an ninh của hệ thống, Terminal luôn phải dùng danh sách đen hiện tại. Đây là một trong những lý do tại sao nhiều hệ thống đòi hỏi các Terminal phải thiết lập đường kết nối đến hệ thống nền ít nhất mỗi ngày một lần. Việc kết nối này giúp Terminal chuyển các dữ liệu giao dịch tích luỹđến hệ thống nền và giúp hệ thống nền chuyển các loại dữ liệu quản trị tới Terminal. Một số ví dụ của dữ liệu quản trịđó là các phần mềm mới, tập khóa mới, danh sách đen hiện tại, và dữ liệu được tải vào thẻ của người dùng.

1.4. TÓM TT CHƯƠNG

Thẻ thông minh có sự phát triển nhanh chóng trong mười năm trở lại đây. Thẻ thông minh có sự đa dạng về chủng loại cũng như lĩnh vực ứng dụng. Về cơ

bản thẻ thông minh có các nhóm cơ bản: thẻ nhớ, thẻ tiếp xúc, thẻ không tiếp xúc và thẻ kết hợp. Để thẻ thông minh được ứng dụng rộng rãi và có tính tương thích cao, các tổ chức trên thế giới đã thống nhất các chuẩn chung cho thẻ thông minh. Chuẩn ISO 7816 đặc tả chi tiết cấu tạo vật lý, giao tiếp truyền thông, đặc trưng cấu trúc file phân cấp cũng như các lệnh thao tác với thẻ thông minh. Thẻ thông minh được xem như thiết bị có tính bảo mật, tính riêng tư cao. Việc kết hợp thẻ

thông minh với hạ tầng khóa công khai cho phép bổ sung nhiều tính năng bảo mật cho thẻ. Nội dung của chương cũng nêu khái quát khái niệm hạ tầng khóa công khai và các thành phần cấu thành hạ tầng. (adsbygoogle = window.adsbygoogle || []).push({});

Thẻ thông minh là thiết bị có tính bảo mật cao, thẻ thông minh được thiết kế cơ chế xác thực chủ sở hữu. Hiện tại phương pháp phổ biến xác thực chủ sở

hữu thẻ thông minh là xác thực sử dụng số PIN. Phương pháp sử dụng số PIN là dễ dàng nhưng không có cơ chếđảm bảo rằng số PIN là tuyệt đối bí mật. Một xu thế xác thực khác thay thế dần phương pháp xác thực sử dụng số PIN là sử dụng

đặc trưng sinh trắc học. Phương pháp xác thực sử dụng đặc trưng sinh trắc tạo nhiều thuận lợi cho người dụng, đây là phương pháp được nhiều tổ chức, cá nhân quan tâm nghiên cứu nhằm đưa thành chuẩn quốc tế.

Chương 2: TNG QUAN V H TNG MT MÃ KHÓA CÔNG KHAI (PKI)

Trong phần này, ta sẽ tìm hiểu những vấn đề cơ bản của hệ thống PKI. Những nội dung được trình bày trong phần này sẽ cho ta một cái nhìn tổng quan về các mô hình hệ thống PKI. Ta cũng hiểu rõ hơn về các đối tượng của hệ

thống và các hoạt động cơ bản cần thực hiện để quản lý hệ thống PKI. Song song với quá trình tìm hiểu các nội dung này, ta sẽ có các định nghĩa, các khái niệm và thuật ngữđược sử dụng đối với hệ thống PKI.

2.1. KHÁI NIM V PKI

Công cụ dùng để xác thực là các thẻ, mỗi thẻ xác thực có hai thành phần thông tin cơ bản là định danh và khóa công khai của đối tượng sử dụng. Các thẻ

xác thực này do đối tượng quản lý thẻ xác thực tạo ra và ký với phương thức chữ

ký số. Trong một số hệ thống, đối tượng quản lý đăng ký được tách riêng ra khỏi CA. Đối tượng này không tạo ra các thẻ xác thực. Nó có nhiệm vụ xác thực đối tượng truyền thông cho một CA sẽ cấp phát thẻ xác thực cho đối tượng đó. Nghĩa là, quá trình xác thực khi một đối tượng yêu cầu một thẻ xác thực của CA sẽ do RA đảm nhận.

Đúng như tên gọi của nó, PKI là một dịch vụ nền cho các dịch vụ an toàn an ninh dựa trên các thẻ xác thực. Trong các hệ thống này, PKI đảm nhận vai trò tạo lập, quản lý và phân phát các thẻ xác thực cho các đối tượng truyền thông. Nói tóm lại, tất cả các chức năng quản lý của hệ thống PKI đều hướng tới một yêu cầu duy nhất: Qun lý các đối tượng s dng trong h thng vi khóa công khai ca các đối tượng đó.

PKI có thể hiểu là: Tập hợp các công cụ, phương tiện cùng các giao thức bảo đảm an toàn truyền tin cho các giao dịch trên mạng máy tính công khai. Đó là nền móng mà trên đó các ứng dụng, các hệ thống an toàn bảo mật thông tin

được thiết lập.

Theo nghĩa đầy đủ, PKI gồm 3 phần chính:

Phn 1: Tập hợp các công cụ, phương tiện, giao thức bảo đảm an toàn thông tin.

Phn 2: Hành lang pháp lý: Luật giao dịch điện tử, các Qui định dưới luật.

Phn 3: Các tổ chức điều hành giao dịch điện tử (CA, RA, LRA,…).

Ba thành phần trên thiết lập một Hệ thống tin cậy trên mạng máy tính công khai.

Hệ thống có các khả năng sau:

Bảo đảm bí mt các thông tin truyền trên mạng: thực thể không được cấp quyền không thể xem trộm bản tin.

Bảo đảm toàn vẹn các thông tin truyền trên mạng: thực thể không được

Một phần của tài liệu Chữ ký số trong thẻ thông minh và ứng dụng xác thực (Trang 53)

(168 trang)