Thẻ thông minh dạng SOC sử dụng lƣu trữ các thông tin ngƣời dùng, chứng chỉ số, khóa riêng và thông tin mẫu vân nhƣ thẻ TOC. Thẻ thông minh cần hỗ trợ chuẩn X.509 và các hàm mã hóa nhƣ khả năng sinh chữ ký số trên thẻ, khả năng xác minh chữ ký số trên thẻ. Ngoài ra thẻ dạng SOC có tích hợp module đối sánh sinh trắc. Điều này sẽ cho phép giảm đáng kể các bƣớc trong quá trình xác thực.
3.3.2.1. Thông tin lƣu trữ trên thẻ
Thông tin lƣu trên thẻ dạng SOC là giống hoàn toàn so với giải pháp sử dụng thẻ TOC. Nghĩa là thông tin đƣợc lƣu trữ sẽ gồm có:
Định danh ngƣời dùng – Chứng chỉ số đƣợc cấp phát bởi CA
Dữ liệu mẫu vân – Đƣợc ký số và cấp phát bởi nhà phát hành thẻ IS
Dữ liệu khóa bí mật tƣơng ứng với chứng chỉ số cấp phát bởi CA
Các chứng chỉ số tƣơng ứng của đơn vị phát hành thẻ và chứng chỉ số của CA sử dụng trong giao thức xác thức.
Cấu trúc của chứng chỉ số của ngƣời dùng và cấu trúc dữ liệu mẫu vân kèm chữ ký là không thay đổi.
CHỨNG CHỈ X.509 CHO NGƯỜI DÙNG USRi
CHỮ KÝ SỐ CỦA CA: SigCA(SKCA, CIi) Thông tin chứng chỉ số CIi
Phiên bản định dạng chứng chỉ số Số serial của chứng chỉ CSRUSRi
Thuật toán ký số sử dụng cho chứng chỉ Tên X500 của nhà cấp phát chứng chỉ Khoảng hợp lệ (ngày bắt đầu/ngày kết thúc)
Tên X500 của đối tượng sở hữu chứng chỉ Thuật toán mã hóa/ký số sử dụng Khóa công khai của đối tượng PKUSRi
Thông tin khóa công
khai của đối tượng
Định danh duy nhất của nhà phát hành và đối tượng Các tùy chọn mở rộng khác Ký số Enc(SKCA, H(CIi)) = SigCA(SKCA, CIi) Khóa riêng của CA: SKCA
Hình 61. Chứng chỉ số X.509 cấp cho ngƣời dùng USRi bởi CA
THÔNG TIN MẪU VÂN ỨNG VỚI NGƯỜI DÙNG USRi
CHỮ KÝ SỐ CỦA CA: SigIS(SKIS, TIi) Thông tin mẫu vân TIi
Phiên bản định dạng mẫu vân
Serial của chứng chỉ tương ứng TSRUSRi=CSRUSRi
Thuật toán ký số sử dụng cho dữ liệu mẫu vân Tên X500 của nhà phát hành thẻ
Ký số
SigIS(SKIS, TIi)
Khóa riêng của nhà cấp phát thẻ: SKis
Thuật toán đối sánh sinh trắc sử dụng Dữ liệu mẫu vân TDi
Thông tin mẫu vân
3.3.2.2. Xác minh thông tin hợp lệ
Do thông tin lƣu trữ trên thẻ không thay đổi và cấu trúc dữ liệu lƣu trữ không đổi nên quá trình xác minh thông tin hợp lệ vẫn giữ nguyên so với giải pháp sử dụng thẻ TOC. Quá trình xác minh đƣợc minh họa một lần nữa nhƣ hình dƣới:
Thông tin lưu trữ trong thẻ gồm có (CIi, SigCA(SKCA, CIi)); (TIi, SigIS(SKIS, TIi));
H(CIi) = DEC(PKCA, SigCA(SKCA, CIi)) ? TSRUSRi = CSRUSRi? H(TIi) = DEC(PKIS, SigIS(SKCA, TIi)) ? Đối sánh sinh trắc học
Kiểm chứng thông tin PKCA PKIS KẾT LUẬN THÔNG TIN BỊ THAY ĐỔI Kết thúc
3.3.2.3. Quá trình xác thực
Quá trình xác thực gồm có ba giai đoạn: xác minh tính hợp lệ của thông tin lƣu trên thẻ; đối sánh sinh trắc và kiểm chứng thông tin. Quá trình xác minh tính hợp lệ của thông tin không có sự thay đổi. Chỉ có hai quá trình: đối sánh sinh trắc và kiểm chứng thông tin là thay đổi bởi thẻ thông minh có module đối sánh tích hợp sẵn. Hình vẽ bên dƣới mô tả toàn bộ hệ thống cũng nhƣ quá trình xác thực tƣơng ứng.
(1) Quá trình xác minh tính hợp lệ của thông tin lƣu trên thẻ (2) Quá trình đối sánh sinh trắc
Hệ thống đầu cuối thu nhận vân tay thực, thực hiện quá trình tiền xử lý ảnh. Ứng dụng đầu cuối gửi kết quả tới module đối sánh trên thẻ (LFIi)
Module xác đối sánh thực hiện so sánh MATCH(TIi, LFIi) kết quả quá trình đối sánh là tƣơng đồng thì thẻ thông minh cho phép truy xuất khóa riêng của ngƣời dùng SKi.
(3) Quá trình kiểm chứng thông tin
Ứng dụng máy chủ sinh số ngẫu nhiên Nrd và thực hiện Nrd về terminal.
Thẻ thực hiện ký số với khóa riêng hợp lệ lên số ngẫu nhiên nhận đƣợc và gửi lại SigUSRi(SKusri, H(Nrd)) cho ứng dụng máy chủ.
Ứng dụng máy chủ kiểm tra tính hợp lệ thông tin nhận đƣợc từ terminal: Dec(PKusri, SigUSRi(SKusri, H(Nrd))) = H(Nrd). Nếu thông tin là trùng khớp, ứng dụng sẽ cấp phiên làm việc cho ngƣời dùng USRi tƣơng ứng.
CÁC THÀNH PHẦN CÔNG KHAI HỆ THỐNG ĐẦU CUỐI HỆ THỐNG MÁY CHỦ Kênh truyền an toàn Chứng chỉ số người dùng i: CERTusri Chứng chỉ số của ứng dụng trên terminal j: CERTteraj
Chứng chỉ số của CA: CERTca Chứng chỉ số của đơn vị phát hành thẻ: CERTis Chứng chỉ số của ứng dụng máy chủ: CERTsa Chứng chỉ số của máy chủ: CERTser SMARTCARD TERMINAL SKser SKsa
(CIi, SigCA(SKCA, CIi)) (TIi, SigIS(SKIS, TIi))
CERTca CERTis
Dữ liệu thu nhận từ máy quét vân tay
Tiền xử lý ảnh Xác minh
thông tin hợp lệ
Sinh số ngẫu nhiên Nrd Gửi Nrd về client Kết quả đối sánh là khớp Cho phép truy xuất SKusri Ký số lên Nrd SignUSRI(Skusri, H(Nrd)) Gửi SignUSRI(SKusri, H(Nrd)) lên server CERTusri Kiểm tra ký số DEC(PKusri, SignUSRI(SKusri, H(Nrd))) = H(Nrd)?
Cấp quyền truy xuất ứng dụng cho USRi Thông báo kết quả quá trình xác thực tới terminal THỰC HIỆN ĐỐI SÁNH MATCH(Tii, LFIi) = MRST
Gửi LFIi đã xử lý tới module đối sánh trong
thẻ thông minh
SKusri
SKteraj
Hình 64. Quá trình xác thực với thẻ thông minh dạng SOC
3.3.2.4. Mô hình giải pháp
Khi thay đổi dạng thẻ từ TOC sang SOC, về cơ bản cấu trúc tổng thể của toàn bộ hệ thống không thay đổi. Điều thay đổi duy nhất là quá trình tƣơng tác giữa các thành phần trong hệ thống. Thành phần thay đổi nhiều nhất là thành phần xác thực. Quá trình cấp phát thẻ vẫn giữ nguyên quy trình nhƣ đã nêu trong giải pháp trƣớc bởi thông tin đƣợc lƣu trong thẻ là giữ nguyên. Một điểm thay đổi nên đƣa ra đó là thành phần ghi thông tin lên thẻ thực hiện việc cài đặt module đối sánh sinh trắc lên thẻ thông minh trƣớc khi phát hành tới ngƣời dùng. Thay đổi này không làm xáo trộn nhiều về quy trình cấp phát.
Smartcard R/W
Keyboard Sensor
QUÁ TRÌNH CẤP PHÁT
Thông tin người sử dụng USRi Dữ liệu vân tay Nén dữ liệu Thiết bị đăng ký đầu cuối Giải nén dữ liệu Trích chọn đặc trưng Ký số lên mẫu vân
Lưu lên thẻ thông minh thông tin đầu vào và Module đối sánh sinh trắc
Hệ thống phát hành CA Upper CA Bộ sinh khóa Cấp phát chứng chỉ QUÁ TRÌNH XÁC THỰC Smartcard R/W Sensor SERVER SERVER APPLICATION TERMINAL PC TERMINAL APPLICATION Chuyển tới người dùng Sinh khóa cho các đối tượng Tạo chứng chỉ cho các đối tượng
Hình 65. Mô hình tổng thể giải pháp đề xuất sử dụng thẻ SOC
Giải pháp sử dụng thẻ thông minh dạng SOC giảm đáng kể mức độ giao tiếp giữa các thành phần cấu thành hệ thống nhƣ đã để cập trong giải pháp trên. Ngoài ra các vấn đề nêu trên giải pháp TOC cũng đƣợc khắc phục nhƣ: khó khăn trong cấp phát, giải pháp khó triển khai trên diện rộng… Một vấn đề duy nhất đó là tính toàn vẹn của dữ liệu vân tay gửi từ terminal tới thẻ thông minh. Hệ thống máy chủ sẽ không kiểm soát đƣợc terminal nào là an toàn và không an toàn do vậy rất có khả năng mẫu vân bị thay đổi ngay tại thiết bị đầu cuối trƣớc khi gửi tới thẻ thông minh để thực hiện giai đoạn đối sánh.
KẾT CHƢƠNG
Hai mô hình xác thực thẻ thông minh sử dụng đặc trƣng sinh trắc học là vân tay đƣợc đề xuất trong chƣơng III. Hai mô hình đƣợc cấu thành từ các thành phần phần cứng về cơ bản là nhƣ nhau gôm có:
Máy chủ ứng dụng
Thiết bị đầu cuối
Bộ thu nhận sinh trắc
Bộ đọc thẻ
Thẻ thông minh
Có nhiều mô hình kết hợp các thành phần phần cứng nói trên. Hai mô hình xác thực đề xuất mang tính khái quát và đặc trƣng nhất cho phép thực thi việc xác thực từ xa trong môi trƣờng kết nối công khai (Internet). Điểm khác biệt trong hai mô hình xác thực là chủng loại thẻ đƣợc sử dụng. Hai dạng thẻ thông minh sử dụng trong hai mô hình:
Thẻ TOC (Template on card)
Thẻ SOC (System on card)
Thẻ TOC (Template on card) thực hiên các chức năng cơ bản nhƣ lƣu trữ mẫu vân, các thông tin cơ bản hỗ trợ quá trình xác thực nhƣng không chứa module đối sánh nhƣ trong thẻ SOC (System on card). Tùy thuộc vào chủng loại thẻ mà quá trình xác thực trong mỗi mô hình có sự thay đổi tƣơng ứng đảm bảo tính toàn vẹn của thông tin trong môi trƣờng công khai. Cả hai giái pháp đều gắn liền với hạ tầng khóa công khai nhằm xác thực các định danh, chủ thể thẻ và các ứng dụng.
Hai giải pháp đề xuất đều đƣợc xem xét và xây dựng lần lƣợt qua các bƣớc: thiết kế thông tin lƣu trên thẻ; quá trình xác minh tính hợp lệ của thông tin trong thẻ; quá trình xác thực và mô hình tổng thể giải pháp. Trong chƣơng sau, luận văn sẽ đƣa ra các nhận xét chung và đánh giá ƣu nhƣợc của hai mô hình đề xuất. Hệ thống thực nghiệm đƣợc xây dựng dựa trên mô hình sử dụng thẻ dạng TOC. Kết quả thu đƣợc từ mô hình thực nghiệm cũng đƣợc đề cập chi tiết.
Chương 4. THỬ NGHIỆM GIẢI PHÁP