Dựa trên các hƣớng tiếp cận kết hợp mật mã sinh trắc vào hệ thống PKI và các giải pháp đƣợc mô tả ở phần trƣớc, trong luận văn này, tôi đề xuất mô hình BioPKI bao gồm các thành phần nhƣ sau:
Hạ tầng hệ thống PKI gồm bộ phận CA phát hành chứng thƣ, thu hồi chứng thƣ, phân phối chứng thƣ, quản lý và xác thực các chứng thƣ số, các RA, các ngƣời dùng yêu cầu và nhận chứng thƣ trong hệ thống. Để đơn giản hệ thống BioPKI sẽ đƣợc xây dựng theo kiến trúc CA đơn. CA Server này sẽ đóng vai trò trung tâm phát hành chứng thƣ, thu hồi chứng thƣ, phân phối chứng thƣ, quản lý và xác thực các chứng thƣ số cho mọi ngƣời dùng của hệ thống.
Các RA có vị trí trung gian giữa CA Server với máy ngƣời dùng. Các RA thực hiện chức năng quản lý đăng ký ngƣời dùng. Do cặp khóa sinh tại RA nên giữa RA và CA phải có 1 kênh mật để trao đổi yêu cầu và chứng thƣ. Có thể sử dụng chứng thƣ SSL dùng để tạo kênh mật với các RA trong cùng hệ thống. Chứng thƣ số theo chuẩn X.509.
Hệ thống sinh trắc bao gồm các thành phần chính nhƣ sau: Đăng ký sinh trắc, mã hóa sinh trắc, lƣu trữ sinh trắc, kiểm tra xác thực sinh trắc. Hệ sinh sinh trắc vân tay gồm thiết bị quét sinh trắc (ở đây là quét dấu vân tay) đƣợc tích hợp tại máy ngƣời dùng cùng với toàn bộ các phần mềm sinh trắc đƣợc tích hợp vào hoạt động ngƣời dùng với các giao dịch trong hệ thống BioPKI.
Giao diện ngƣời dùng đƣợc tích hợp việc thực hiện đăng ký sinh trắc và kiểm tra xác thực sinh trắc từ thiết bị quét sinh trắc với các hoạt động giao dịch sử dụng chứng thƣ số trên cơ sở hạ tầng khóa công khai PKI.
Public Interface Web-based RA Public Interface Web-based Public Interface Web-based CA CA Interface Web-based RA Interface User’s Information Certificate (extensions) Ghi dữ liệu Ghi dữ liệu Etoken Bioscrypt
Các giao dịch cơ bản trong hệ thống BioPKI
Đăng nhập hệ thống Đăng ký ngƣời dùng
Xin cấp chứng thƣ số: cấp phát và quản lý chứng thƣ, quản lý lƣu trữ Xin gia hạn, hủy bỏ chứng thƣ số
Sử dụng chứng thƣ số: Cơ chế phân phối khóa, thực hiện xác thực các chứng thƣ số trong các giao dịch.
Để hệ thống BioPKI có thể tƣơng tác với hệ thống sinh trắc học, ta cần phải xử lý một số điểm nhƣ sau:
Giao diện Public interface: ở giao diện này, ngƣời sử dụng ngoài việc khai báo thông tin cá nhân còn phải đăng ký dấu vân tay. Dấu vân tày này phải đƣợc bảo mật trƣớc khi chuyển đến CA. (Việc bảo mật này do hệ thống PKI chịu trách nhiệm). RA chỉ làm nhiện vụ kiểm tra thông tin cá nhân để xác thực ngƣời đăng ký và chuyển dấu vân tay lên CA.
Giao diện CA interface: ở giao diện này, CA ngoài việc phải tạo cấu trúc cơ bản cho chứng thƣ số còn phải tạo thêm các trƣờng mở rộng để chứa dữ liệu xử lý. Sau khi sinh chứng thƣ số xong, chuyển lên LDAP, ngoài ra CA còn một nhiệm vụ quan trọng đó là ghi dữ liệu xử lý vào eToken. Sau đó eToken đƣợc chuyển tới ngƣời đăng ký.
