X509
Giải pháp thứ nhất là tích hợp đặc trƣng sinh trắc học của ngƣời dùng vào trong chứng thƣ số X509. Chứng thƣ sau khi đƣợc tích hợp đặc trƣng sinh trắc học đƣợc có tên là X509Bio. Đặc trƣng sinh trắc học đƣợc lƣu trong chứng thƣ số X509 sẽ đƣợc lấy theo phƣơng pháp trích chọn đặc trƣng, sau đó thực hiện băm để tạo thành các chuỗi digest đặc trƣng, tham khảo tài liệu [5] để biết thêm chi tiết.
Để có thể tích hợp đƣợc, trƣớc hết ta phải hiểu rõ cấu trúc của chứng thƣ số X509. X509 là 1 chuẩn ITU-T (International Telecommunications Union), nó là chuẩn cho PKI. X509 chỉ định ra những định dạng chuẩn cho các chứng thƣ public key và các thuật toán xác thực việc cấp chứng thƣ (thực chất đây là thuật toán sẽ xác nhận lại đƣờng dẫn của chứng thƣ cho trƣớc là hợp lệ với 1 PKI đã cho; khái niệm path
(đƣờng dẫn) bắt đầu từ chứng thƣ Subject đi tới những chứng thƣ cao hơn cho tới khi đến root certificate, root cert này đƣợc cấp bởi 1 CA có uy tín).
Các chứng thƣ đƣợc tạo ra theo chuẩn X509 mới nhất sẽ có nhiều trƣờng khác nhau. Theo nhƣ hình vẽ dƣới đây:
Hình 3-2. Cấu trúc chứng thƣ X509
I. Trƣờng version
Xác định version chính của chuẩn x.509 mà chứng thƣ tƣơng thích. Hiện nay version mới nhất của chuẩn này là version 3 nhƣng theo cách đánh số version là bắt đầu từ 0 nên trƣờng version này sẽ có giá trị lớn nhất theo version mới nhất là 2.
II.Trƣờng Serial Number:
Tổ chức cấp chứng thƣ gán số serial này cho các chứng thƣ riêng biệt. Có thể hiểu số serial này là duy nhất đối với mỗi chứng thƣ mà CA cấp phát ra. Tổ chức cấp chứng thƣ quản lý hoàn toàn trƣờng này, và nó có thể gán bất kỳ giá trị nào cho trƣờng này.
Đây là một trong những trƣờng đƣợc đánh tên khác nhau trong chuẩn này. Đặc tả của chuẩn x.509 gọi trƣờng này là Signature. Và sự lựa chọn nhƣ vậy là không phù hợp vì trong trƣờng này không chứa bất kỳ một “chữ ký” nào. Thay vào đó, trƣờng này chỉ đơn giản là xác định thuật toán đƣợc dung để ký vào chứng thƣ, cũng nhƣ là các tham số thích hợp cho thuật toán. Thông tin này thực ra sẽ đƣợc lặp lại trong phần đƣợc mã hóa của chứng thƣ. Hầu hết các công việc thực thi sẽ chọn sử dụng các thông tin trong phần đƣợc mã hóa nên trƣờng này thƣờng là đƣợc bỏ qua.
IV. Issuer
- Trƣờng này xác định CA cấp chứng thƣ. 2 CA không đƣợc có cùng tên. Tên này là 1 dạng tên phân cấp, thƣờng bắt đầu bởi bằng tên nƣớc, rồi đến tên bang hoặc tỉnh, tổ chức, tên đơn vị …Về lý thuyết thì tên này có thể đƣợc mở rộng bằng mọi cách cho đến khi nó trở thành tên riêng biệt.
V.Period of Validity
Xác định cả thời gian sớm nhất và trễ nhất mà chứng thƣ còn hợp lệ. Ngoài thời gian này thì chứng thƣ coi nhƣ mất hiệu lực.
VI. Subject (vấn đề chứng thực)
Trƣờng này xác định thực thể sở hữu private key đang đƣợc chứng thực. Tƣơng tự trƣờng Issuer, trƣờng này cũng là 1 dạng tên đặc trƣng, cùng với trƣờng Issuer, các tổ chức cấp chứng thƣ hiểu các tên đặc trƣng này hơi đầy đủ. Tuy nhiên , thành phần quan trọng nhất trong tên của subject là thành phần commonName. Thành phần này là tên thực sự của subject đang đƣợc chứng thực.
VII.Subject „s Public key
Trƣờng này chứa public key của subject, và thực ra là toàn bộ lý do cho chứng thƣ. Trƣờng này còn xác định thuật toán và các thông số của nó. Ví dụ: nếu thuật toán public key là RSA, thì trƣờng này sẽ chứa trị tuyệt đối và số mũ. Thông tin trong trƣờng này khác với thông tin trong trƣờng Signature và trƣờng Algorithm Identifiers của chứng thƣ. Các trƣờng đó dùng để xác định thuật toán mã hóa public key của CA, và đó chính là khóa dùng cho việc “ký” vào chứng thƣ. Còn trƣờng Subject‟s Public key này là xác định thuật toán mã hóa public key của subject.
VIII. Issue unique ID
Đây là trƣờng có thể có hoặc không. Nó dùng để giới thiệu về x.509 ver 2, cho phép 2 nhà cung cấp chứng thƣ khác nhau có cùng tên Issuer. Mỗi nhà cung cấp sẽ phân biệt lẫn nhau thông qua giá trị khác nhau cho trƣờng này.
Đây cũng là 1 trƣờng option, và cũng đƣợc giới thiệu trong ver2 của x.509, cho phép 2 subject khác nhau có cùng tên. Trƣờng này cũng giống nhƣ trƣờng Isser Unique Indentifier, nó rất ít đƣợc dùng tới.
X.Extension
Đƣợc giới thiệu trong ver3 của x.509. Nó cung cấp chỗ cho các nhà cung cấp để họ có thể thêm các thông tin riêng của họ vào chứng thƣ. Các tổ chức cấp chứng thƣ thƣờng dùng vùng này để đặt các thông tin khác liên quan tới chứng thƣ. Đây cũng là trƣờng sẽ đặt các thông tin sinh trắc để tạo ra dấu hiệu đặc trƣng của chủ sở hữu.
XI. Signature
Là thành phần cuối cùng của 1 chứng thƣ X509. Tên đặc tả của trƣờng này là trƣờng “Mã hóa (Encrypted)”. Trƣờng này chứa thông tin thuật toán, 1 giá trị băm bảo mật cho mỗi trƣờng trong chứng thƣ và cả chữ ký điện tử cho giá trị băm đó.
Trích chọn đặc trưng
Các điểm trích chọn đặc trưng vân tay
Thực hiện băm tạo thành các chuỗi digest đặc trưng
Hình 3-3. Giải pháp tích hợp đặc trƣng sinh trắc vào X509
Nhƣ vậy, ta sẽ lƣu trữ các thông tin sinh trắc học vào trong trƣờng Extension của X509 Bio, các thông tin này có đƣợc bằng cách trích chọn đặc trƣng của dấu vân tay, sau đó thực hiện băm để tạo thành các chuỗi digest đặc trƣng. Ngoài ra để có thể nâng
cao tính bảo mật thì chứng thƣ ở trên CA có thể đƣợc lƣu trữ trên Thiết bị lƣu trữ bảo mật (High Security Module).
Có thể xem rõ hơn ở biểu đồ làm việc của PKI trƣớc và sau khi kết hợp hệ thống sinh trắc ở dƣới đây.
Người dùng CA
1: Xin chào, tôi là X, tôi muốn thực hiện công việc A
3: ID của công việc A
5: Thành công\Từ chối thực hiện
4: Kiểm tra tính hợp lệ của công việc A với số ID tương ứng
2: Phân loại công việc
Hình 3-4. Biểu đồ làm việc của PKI khi chƣa kết hợp hệ thống sinh trắc
Người dùng CA
1: Xin chào, tôi là X, tôi muốn thực hiện công việc A
3: Vân tay của X
5: Chấp nhận\Từ chối giao dịch
7: Kiểm tra tính hợp lệ của công việc A với số ID tương ứng 4: Đối chiếu vân tay 2: Xin chào X, xin cho xem vân tay
6: ID của công việc A
8: Thành công\Từ chối thực hiện