CHÚ THÍCH 1 - trong Tiêu chuẩn này, biệt danh (PSID) chính là Pl trong
ISO/IEC 24745.
CHÚ THÍCH 2 - BRT chỉ được sử dụng trong chứng thư BRT.
5 Ký hiệu và định nghĩa
Vì mục đích của tiêu chuẩn này, các quy ước sau đây áp dụng cho các biểu
thức toán học.
E Hàm mã hóa
H Hàm băm
Pk Khóa kiểm tra chữ ký số
R Chuỗi bít ngẫu nhiên
Ra Chuỗi bít ngẫu nhiên sử dụng để thực thi thử
thách/phản hồi giữa CA và mô-đun an toàn phần cứng sinh trắc học
(BHSM)
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Sk Khóa tạo chữ ký số (khóa bí mật)
6 Mô-đun an toàn phần cứng sinh trắc học cho xác thực
viễn sinh trắc
6.1 Tính năng bổ sung của BHSM cho HSM
Một mô-đun an toàn phần cứng (HSM) quản lý và bảo vệ các khóa bí mật
quan trọng bằng cách sử dụng ký số nhằm mục đích cung cấp xác thực mạnh. Các
HSM là các thiết bị vật lý thường ở dạng thẻ thông minh hoặc USB có khả năng chống
can thiệp với sự xâm nhập và sửa đổi hoạt động nội bộ, hay chèn cơ chế tiếp cận
chủ động hoặc thụ động để tiết lộ dữ liệu bí mật, cũng như thay đổi hoạt động của
các thiết bị.
Phần lớn các tài nguyên mật mã được xử lý chính bởi HSM là các cặp khóa
công khai/bí mật (và chứng thư) được sử dụng trong mật mã khóa công khai liên
quan đến chứng thư ITU-T X.509 được sử dụng, ví dụ: mã hóa/giải mã và chữ ký số.
Nếu khóa bí mật bị lộ, các chứng thư và chữ ký điện tử không còn tính tin cậy
và các giao dịch sử dụng HSM có thể là gian lận với các tiềm ẩn có tác động bất
lợi nghiêm trọng có thể xảy ra đối với chủ sở hữu khóa và các bên khác trong
giao dịch. An toàn vật lý ở mức cao, khi HSM được đảm bảo thực thi đúng cách.
Tuy nhiên, an toàn vật lý chỉ là một nhân tố trong an toàn tổng thể cho
quá trình xác thực. An toàn tổng thể là hạn chế cuối cùng với sự đảm bảo HSM
đang được sử dụng bởi chủ sở hữu hợp pháp của nó. Thông thường, sự ràng buộc của
HSM với chủ sở hữu được cung cấp bằng mã PIN hoặc mật khẩu mà chỉ chủ sở hữu hợp
pháp mới biết. Độ mạnh của mật khẩu thường được coi là thấp vì mật khẩu có thể
bị lộ do vô tình hoặc bất cẩn từ phía chủ sở hữu, do cố ý tiết lộ hoặc do các
cuộc tấn công vật lý vào cơ sở dữ liệu mật khẩu. Việc sử dụng xác thực sinh trắc
học để tăng cường hoặc thay thế mật khẩu hay mã PIN có thể cung cấp ràng buộc mạnh
mẽ hơn và tăng cường tính xác thực.
Khi một HSM chứa khóa bí mật được sử dụng để xác thực dựa trên cơ sở hạ
tầng khóa công khai (PKI), cá nhân người xác minh chỉ có thể kiểm tra xem chứng
thư HSM có thuộc về chủ sở hữu hợp pháp đã biết hay không. Tuy nhiên, nó không
thể xác nhận rằng người sử dụng HSM và tự xưng là chủ sở hữu của nó là chủ sở hữu
hợp pháp. Nếu HSM thuộc quyền sở hữu của một người khác, trong trường hợp cố
tình hay vô tình làm lộ mật khẩu như: được chuyển giao cho người khác; có sự
thông đồng giữa các bên; bị tấn công và phát hiện, thì HSM có thể được sử dụng
để thực hiện các giao dịch gian lận. Mô-đun an toàn phần cứng sinh trắc học là
một HSM sử dụng sinh trắc học để xác thực người dùng cục bộ vào mô-đun nhằm
cung cấp thêm sự đảm bảo cho các giao dịch.
6.2 Kịch bản chung để sử dụng BHSM
Việc sử dụng BHSM được giới hạn trong việc xác thực người sử dụng các dịch
vụ đối với các nhà cung cấp dịch vụ. Vì vậy, nó trở thành một phần của hệ thống
lớn hơn cho việc cung cấp các dịch vụ và người dùng truy cập vào các dịch vụ.
Trong dạng tình huống này, người dùng tương tác với dịch vụ thông qua giao diện
máy khách (I/F), ví dụ: máy tính cá nhân hoặc thiết bị di động. BHSM được kết nối
với khách hàng và các tín hiệu điện chuyển giữa BHSM và người dùng, hay giữa dịch
vụ chuyển qua khách hàng với tư cách là người trung gian.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Có thể có các cơ chế tại chỗ để bảo vệ thông tin liên lạc giữa khách
hàng và dịch vụ nhưng những cơ chế này không được Tiêu chuẩn này đề cập đến.
Các biện pháp và giao thức an toàn được mô tả trong Tiêu chuẩn này chỉ quan tâm
đến việc xác thực của người dùng đối với dịch vụ sử dụng BHSM. Điều này bao gồm các biện
pháp để đảm bảo giao tiếp end-to-end an toàn giữa BHSM và dịch vụ sao cho, ví dụ,
kẻ mạo danh không thể xác thực dịch vụ với tư cách là người dùng được ủy quyền
bằng cách đánh cắp hay giả mạo BHSM hoặc khách hàng.
6.3 Xác thực viễn sinh trắc sử dụng BHSM
Xác thực viễn sinh trắc có thể cung cấp xác thực người dùng an toàn bằng
cách sử dụng xác thực sinh trắc học qua mạng mở nhưng trong một số mô hình,
thông tin sinh trắc học phải được truyền đến máy chủ xác thực thông qua mạng mở.
Khi sử dụng sinh trắc học, cần phải cân nhắc đến tính an toàn và quyền riêng tư
của thông tin sinh trắc học. Cuối cùng, việc tích hợp xác thực sinh trắc học với
HSM có thể là một giải pháp vì thông tin sinh trắc học có thể vẫn nằm trong tầm
kiểm soát của người dùng với một mô-đun chống can thiệp. Trong trường hợp này,
các tham chiếu sinh trắc học được lưu trữ duy nhất trong BHSM chứ không
phải trên máy chủ xác thực và không bắt buộc phải chuyển qua mạng mở. cần cân
nhắc việc sử dụng các tham chiếu sinh trắc học làm mới (RBR) và biệt danh
để nếu một tham chiếu sinh trắc học (BR) bị lộ, nó có thể bị hủy bỏ và cung cấp
một tham chiếu mới cho người dùng cùng với một biệt danh mới. Việc sử dụng các
tham chiếu sinh trắc học làm mới và các biệt danh đảm bảo chống lại việc dữ liệu
sinh trắc học của các tham chiếu sinh trắc học đã bị thu hồi có thể được trích
xuất từ biệt danh.
Sơ đồ xác thực viễn sinh trắc dựa trên BHSM được mô tả trong Tiêu chuẩn
này dựa trên PKI hiện có và cần được tích hợp với nó một cách thích hợp. Tiêu
chuẩn này hỗ trợ các cặp khóa phi đối xứng sử dụng hệ mật RSA hoặc các loại mật
mã khác hỗ trợ mã hóa/giải mã. Tiêu chuẩn này mô tả phương pháp để ràng buộc
thông tin sinh trắc học của người dùng đã đăng ký của BHSM với chứng thư
ITU-T X.509.
Các giao thức hoạt động và giao dịch BHSM được mô tả trong Tiêu chuẩn
này liên quan đến các vai trò sau:
- Một người dùng, một chủ sở hữu BHSM có chứng thư ITU-T X.509 và tham
chiếu sinh trắc học được lưu trữ trong BHSM;
- Một máy chủ xác thực và một bên phụ thuộc có yêu cầu xác thực cho người
dùng;
- Một tổ chức có thẩm quyền đăng ký cần đăng ký tham chiếu sinh trắc học
của người dùng và cung cấp thông tin nhận dạng sinh trắc học được lưu trữ trong
BHSM của người dùng;
- Một tổ chức chứng thực (CA) cấp chứng thư ITU-T X.509 của người dùng.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- CA phải có khả năng cung cấp chứng thư ITU-T X.509 với PSID;
- CA không được sử dụng tham chiếu sinh trắc học gốc của người dùng ở bất
kỳ đâu trong chứng thư khóa công khai, để tránh khả năng tiết lộ dữ liệu sinh
trắc học riêng tư của người dùng;
- Để bảo vệ thông tin có thể nhận dạng cá nhân và quyền riêng tư của
người dùng, dữ liệu sinh trắc học của người dùng không được rời khỏi BHSM.
Trong quá trình đăng ký và xác thực sinh trắc học, chỉ PSID mới được rời khỏi
BHSM.
7 Xác thực viễn sinh trắc với mô-đun an toàn phần cứng
sinh trắc học
7.1. Quy định chung
Tiêu chuẩn này mô tả hai phương pháp đăng ký thành viên và xác thực bằng
BHSM. Đầu tiên là mô tả giao thức sử dụng phần mở rộng chứng thư ITU-T X.509 để
chứa thông tin nhận dạng người dùng. Thứ hai là mô tả một giao thức đã sửa đổi
sử dụng chứng thư ITU-T X.509 kết hợp với bối cảnh xác thực ISO/IEC 24761 đối với
triển khai xác thực sinh trắc học (ACBio - authentication context for
biometrics).
Tính toàn vẹn và sự đảm bảo của việc đăng ký thành viên phụ thuộc vào mối
quan hệ tin cậy giữa RA và CA, cũng như các thủ tục để đăng ký thành viên được
thực hiện hoàn toàn dưới sự giám sát liên tục của RA. RA trong PKI có vai trò hạn
chế hơn nhiều so với RA được đặc tả trong Tiêu chuẩn này. Vì vậy, đây là một giả
định trong các thủ tục đăng ký được mô tả trong 7.2.1 và 7.2.2. Lưu ý rằng nếu
các điều kiện này không được thực hiện, tính toàn vẹn và đảm bảo của việc đăng
ký thành viên có thể bị ảnh hưởng.
7.2. Các thủ tục để đăng ký thành viên
7.2.1 Thủ tục đăng ký thành viên
sử dụng mở rộng chứng thư ITU-T X.509
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Hình 2 - Quy trình đăng ký thành viên với BHSM
a) Người dùng trực tiếp tới RA, tại đó định danh và quyền đăng nhập của
họ đã được thiết lập. Các đặc điểm sinh trắc học của người dùng có liên quan được
thu thập và tham chiếu sinh trắc học được tạo cho người dùng. RA cung cấp BHSM
cho người dùng và lưu trữ tham chiếu sinh trắc học của người dùng trong BHSM;
b) RA tạo PSID - xem 8.1.2 để biết thêm thông tin về cách tạo PSID
c) RA lưu trữ PSID trong BHSM của người dùng;
d) RA gửi PSID đã tạo tới CA;
e) Sau khi người dùng thực hiện xác thực sinh trắc học thành công đối với
BHSM, người dùng sẽ tạo khóa bí mật và khóa công khai của mình trong BHSM;
f) Người dùng tạo yêu cầu ký chứng thư (CSR - certificate signing
request) tới CA yêu cầu chứng thư ITU-T X.509 sau khi xác thực sinh trắc học
thành công bằng BHSM;
g) CA tạo chứng thư ITU-T X.509 của người dùng bao gồm PSID trong trường
mở rộng subjectAltName có chứa directoryName;
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
CHÚ THÍCH - Trong Tiêu chuẩn này, vai trò của khóa công khai và khóa bí
mật của người dùng không được mô tả chi tiết vì chúng sẽ được sử dụng cho các hệ
thống mật mã khóa công khai thông thường như mã hóa/giải mã và chữ ký số. Ngoài
ra, phương pháp ký và mật mã khóa công khai chính xác được sử dụng sẽ phụ thuộc
vào hệ thống mật mã được chọn (ví dụ: RSA hay hệ mật trên Đường cong Elliptic).
7.2.2. Quy trình đăng ký thành viên áp dụng
ISO/IEC 24761
Quy trình đăng ký thành viên để cấp chứng thư ITU-T X.509 và chứng thư
mẫu tham chiếu sinh trắc học (BRT), được đặc tả trong ISO / IEC 24761, để sử dụng
BHSM được mô tả trong Hình 3. Trong Hình 3, toàn bộ tập thủ tục của quy trình
đăng ký được mô tả. Để đảm bảo an ninh, toàn bộ quá trình đăng ký phải được thực
hiện dưới sự kiểm soát của RA
Hình 3 - Quy trình đăng ký thành viên với BHSM
sử dụng ACBBio
a Người dùng trực tiếp tới RA, trên đó định danh và cấp quyền đăng nhập
của họ đã được thiết lập;
b) Người dùng tạo cặp khóa công khai và khóa bí mật trong BHSM;
c) Người dùng gửi yêu cầu cấp chứng thư ITU-T X.509 tới CA;
d) CA tạo chứng thư ITU-T X.509 theo yêu cầu;
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
f) Người dùng lưu trữ chứng thư ITU-T X.509 trong BHSM;
g) Người dùng tạo tham chiếu sinh trắc học và phiên bản ACBio để đăng
ký thành viên;
h) Người dùng gửi yêu cầu cấp chứng thư BRT với các giá trị của
serialNumber và tổ chức phát hành trong chứng thư ITU-T X.509 và phiên bản
ACBio để đăng ký thành viên với tổ chức chứng thư BRT;
i) Tổ chức chứng thư BRT tạo chứng thư BRT, đặt giá trị của
serialNumber vào trường pkiCertificateSerialNumber, giá trị của người cấp cho
trường pkiCertificatelssuerName và phiên bản ACBio để đăng ký thành viên vào
trường enrolmentACBiolnstances tương ứng;
j) Tổ chức chứng thư BRT gửi chứng thư BRT tới người dùng;
k) Người dùng lưu trữ chứng thư BRT cũng như tham chiếu sinh trắc học
trong BHSM;
l) Người dùng gửi chứng thư ITU-T X.509 và chứng thư BRT tới RA để đăng
ký;
m) RA lưu trữ chứng thư ITU-T X.509 và chứng thư BRT trong cơ sở dữ liệu
người dùng.
CHÚ THÍCH - Việc nhận dạng là cần thiết để cấp chứng thư ITU-T X.509 và
chứng thư BRT nhưng quy trình nhận dạng bị bỏ qua trong phần mô tả ở trên.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
7.3.1. Quá trình xác thực sử dụng mở rộng của chứng thư ITU-T X.509
Quá trình viễn sinh trắc với BHSM có thể được mô tả như trong Hình 4,
sơ đồ thông tin chi tiết hơn của BHSM và nhà cung cấp dịch vụ được mô tả trong
Hình 5, thử thách phản hồi được thêm vào để bảo vệ cuộc tấn công phát lại
Hình 4 - Xác thực viễn sinh trắc với BHSM
a) Người dùng truy cập một dịch vụ tại máy chủ xác thực
b) Máy chủ xác thực tạo ra một số ngẫu nhiên Ra như một thử
thách. Thử thách này được gửi đến hệ thống người dùng và đầu vào BHSM
c) Người dùng thực hiện xác thực sinh trắc học cục bộ sử dụng mô-đun
sinh trắc học trong BHSM;
d) BHSM lấy PSID và thử thách Ra, đồng thời tính toán chữ ký
số bằng cách ghép hai dữ liệu này sử dụng sk, khóa bí mật của BHSM;
e) Chữ ký số được tạo trong bước d) được mã hóa, sử dụng khóa công khai
của máy chủ xác thực;
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
g) Máy chủ xác thực sử dụng khóa bí mật của nó để giải mã thông điệp;
h) Máy chủ xác thực xác minh chữ ký với chứng thư ITU-T X.509 của BHSM
sử dụng khóa công khai của nó;
i) Chủ sở hữu của chứng thư ITU-T X.509 được xác thực bởi máy chủ xác
thực qua việc so sánh PSID trong chứng thư ITU-T X.509 và Ra được tạo ở bước b)
với PSID được lấy ra và Ra trong bước g) tương ứng;
j) Nếu xác thực thành công, máy chủ xác thực sẽ cung cấp dịch vụ mà người
dùng yêu cầu, ngược lại máy chủ xác thực sẽ từ chối dịch vụ được người dùng yêu
cầu.
Hình 5 - Luồng thông tin trong xác thực viễn
sinh trắc với BHSM
7.3.2. Quá trình xác thực áp dụng ISO/IEC 24761
Tiêu chuẩn này có thể áp dụng ISO/IEC 24761 để kiểm tra tính hợp lệ của
kết quả của quá trình xác minh sinh trắc học được thực hiện trong BHSM. Quá
trình xác thực viễn sinh trắc với BHSM sử dụng ACBio được mô tả trong Hình 6.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
a) Người dùng truy cập tới một dịch vụ tại máy chủ xác thực;
b) Máy chủ xác thực tạo một số ngẫu nhiên Ra là một thử
thách;
c) Máy chủ xác thực gửi thử thách tới người dùng;
d) Người dùng thực hiện xác thực sinh trắc học bằng BHSM và một thể hiện
ACBio được tạo trong BHSM với thử thách được đặt trong trường controlValue nếu
xác thực sinh trắc học thành công
e) Phản hồi là chữ ký số lên thử thách, được tạo trong BHSM với khóa bí
mật của người dùng;
f) Phản hồi và một phiên bản ACBio được gửi tới máy chủ xác thực;
g) Máy chủ xác thực thực hiện xác thực phản hồi và phiên bản ACBio;
h) Dịch vụ được cung cấp cho người dùng từ máy chủ xác thực nếu cả hai
quá trình xác minh và xác thực thành công
8. Quy trình xác thực viễn sinh trắc dựa trên BHSML
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
8.1.1 Đăng ký tham chiếu sinh
trắc học
Sau khi một người dùng được định danh đúng và xác thực thành công, các
đặc điểm sinh trắc học có liên quan của họ sẽ được thu thập. Một tham chiếu
sinh trắc học tương ứng được RA tạo ra và được lưu trữ trong BHSM để sử dụng
sau này nhằm xác thực người dùng với BHSM. Tham chiếu sinh trắc học phải được bảo
vệ theo các yêu cầu về tính an toàn, tính toàn vẹn, khả năng làm mới/thu hồi và
yêu cầu riêng tư đối với ứng dụng. ISO/IEC 24745 cung cấp các hướng dẫn về quản
lý và xử lý thông tin sinh trắc học an toàn và tuân thủ quyền riêng tư
8.1.2. Tạo PSID
8.1 2.1. Quy định chung
Cần có định danh người dùng để định danh người dùng được ủy quyền của BHSM.
Định danh này sẽ được ràng buộc với chứng thư ITU-TX.509 của người dùng. Định
danh phải là duy nhất trong miền ứng dụng của BHSM. Nó có thể được tạo ra dưới
bất kỳ hình thức thích hợp nào tùy theo yêu cầu của ứng dụng. Đó có thể là
thông tin nhận dạng cá nhân cho phép biết được danh tính thực sự của người dùng
cần được biết; cách khác, nó có thể là một biệt danh và không được liên kết với
danh tính thực của người dùng nhưng cho phép liên kết các giao dịch với những
người dùng có biệt danh trong miền ứng dụng của BHSM.
PSID được sử dụng với BHSM là biệt danh của người dùng tuân theo các
yêu cầu sau:
- PSID phải là duy nhất trong bối cảnh sử dụng BHSM;
- Quá trình đăng ký phải đảm bảo rằng giá trị PSID có trong chứng thư
ITU-T X.509 là đúng giá trị PSID được lưu trữ trong BHSM.
8.1.2.2. Tạo PSID bằng cách sử dụng tham chiếu sinh trắc học của người
dùng
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Một số ngẫu nhiên an toàn (ít nhất 160 bit) phải được tạo đúng cách
và được sử dụng cùng với tham chiếu sinh trắc học để tạo PSID. RA sẽ tạo PSID để
đưa vào chứng thư ITU-T X.509 như sau:
PSID = h(BR,
R)
trong đó BR là tham chiếu sinh trắc học được trích xuất từ người dùng,
R là số ngẫu nhiên và h là hàm băm phù hợp. Một ví dụ về kiểu Cú pháp ký
hiệu trừu tượng một (ASN.1) cho PSID được mô tả trong Phụ lục A. Sau khi PSID
được tạo ra, RA sẽ phải lưu trữ an toàn PSID trong BHSM của người dùng và cũng
sẽ được chuyển một cách an toàn đến CA.
8.1.3. Yêu cầu và cấp phát chứng thư số
Dưới sự kiểm soát của RA, BHSM yêu cầu CA cấp chứng thư ITU-T X.509 cho
người dùng. Các thông tin sau đi kèm với yêu cầu:
a) Mã hóa PSID (EPSID) (với khóa công khai của CA);
b) Tên phân biệt của người dùng
CHÚ THÍCH - Tên phân biệt của người dùng (DN- distinguished name) có thể
là chính PSID
c) Khóa công khai của người dùng
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
e) Thời hạn hiệu lực của chứng thư
Để đưa EPSID vào thông điệp yêu cầu ký chứng thư số, EPSID phải được
triển khai và lưu theo định dạng được mô tả trong Phụ lục A
PSID được mã hóa trong thông điệp yêu cầu ký chứng thư số cho CA như
sau:
EPSID = E(PSID)
Tại đây, thuật toán mã hóa và khóa công khai có liên quan được trích xuất
từ chứng thư phân phối khóa của CA. Kiểu ASN.1 cho EPSID được mô tả trong 8.3.
8.1.4. Gửi chứng thư ITU-T X.509 bao gồm PSID
Khi CA nhận được thông điệp yêu cầu chứng thư số, CA sẽ kiểm tra xem khóa
tạo chữ ký số đang sở hữu có khớp với khóa xác minh chữ ký số của người dùng
hay không. PSID được trích xuất bằng cách giải mã EPSID từ thông điệp yêu cầu
chứng thư với khóa bí mật của CA. CA có thể kiểm tra tính đúng đắn của
PSID được trích xuất bằng cách so sánh PSID nhận được từ RA. PSID sẽ được cấu
hình như mô tả trong Phụ lục A và được chèn vào trường subjectAltName
trong số các trường mở rộng của chứng thư ITU-T X.509. CA tạo chứng thư ITU-T
X.509 của người dùng bao gồm PSID trong trường tiện ích mở rộng.
8.2. Quá trình xác thực viễn sinh trắc dựa
trên BHSM
Người dùng yêu cầu một dịch vụ và được hướng dẫn đến máy chủ xác thực
cho dịch vụ. Máy chủ xác thực tạo ra một số ngẫu nhiên Ra và
gửi nó đến BHSM để sử dụng trong trao đổi thử thách/phản hồi nhằm chống tấn
công phát lại. Người dùng đưa ra đặc điểm sinh trắc học có liên quan để xác thực
cục bộ với BHSM. BHSM so sánh dữ liệu sinh trắc học đã thu được với tham chiếu
sinh trắc học cho người dùng hợp lệ được lưu trữ trong BHSM. Nếu xác thực không
thành công (sau một số lần thử cho phép), thì BHSM sẽ thông báo cho dịch vụ xác
thực về việc xác thực không thành công và máy chủ xác thực chấm dứt giao dịch.
Trong trường hợp đó, bất kỳ nỗ lực nào tiếp theo trong một khoảng thời gian ngắn
sẽ không thành công.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Nếu xác thực thành công, BHSM sẽ gửi PSID đã ký và thử thách Ra được mã
hóa bằng khóa bí mật của người dùng đến máy chủ xác thực. Chứng thư ITU-T X.509
cũng được gửi đến máy chủ xác thực như một phần trong quá trình truyền. Máy chủ
xác thực sẽ xác thực quyền sở hữu chứng thư ITU-T X.509 bằng cách so sánh PSID
trong chứng thư với PSID đã giải mã được BHSM gửi trong lần truyền trước đó. Nếu
cả hai giống hệt nhau, máy chủ xác thực chấp nhận yêu cầu dịch vụ và chuyển nó
cho nhà cung cấp dịch vụ để xử lý.
8.3. Kiểu ASN.1 cho PSID được mã hóa
DataSetForEncryptedPSID gồm
các thành phần sau:
- version tham chiếu đến số phiên bản của Tiêu chuẩn này. Khi
Tiêu chuẩn này được tham chiếu, giá trị v1 (0) sẽ được sử dụng;
- psidEncAlg tham chiếu đến thuật toán mã hóa phi đối xứng và
tham số được sử dụng để mã hóa PSID. Thuật toán phải giống với thuật toán có
trong chứng thư của CA;
encryptedPsid là PSID được mã hóa với khóa công khai của tổ chức chứng
thực.
Phụ lục A
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
(quy định)
A.1. Tổng quan
Phụ lục này áp dụng cho cơ chế quy định tại Điều 7 và Điều 8.
A.2. PSID được mã hóa yêu cầu chứng thư ITU-T X509
Một thông điệp yêu cầu cấp chứng thư số với PSID được mã hóa sẽ được gửi
đến CA. PKCS#10 bao gồm tên phân biệt của người dùng và thông tin khóa xác thực
chữ ký số của người dùng, đồng thời bao gồm các thành phần thuộc tính để nhập
thông tin bổ sung. Thành phần thuộc tính có thể bao gồm định danh đối tượng
(OID) và tất cả các thuộc tính có cấu trúc cụ thể. Do đó, thành phần có thế bao
hàm PSID cho EncryptedPsid được mã hóa cần sử dụng OID.
A.3. ASN.1 cho PSID
Cấu trúc PSID gồm các thành phần sau:
- hashAlg tham chiếu đến thuật toán băm và tham số được sử dụng
để tạo PSID.
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
- bR là tham chiếu sinh trắc học được trích xuất từ thông tin
sinh trắc học. Có thể sử dụng bất kỳ phương thức sinh trắc học nào (vân tay,
khuôn mặt, mống mắt, v.v.). Để thể hiện bR, phải sử dụng một phần thích
hợp của loạt tiêu chuẩn ISO/IEC 19794.
- randomNum là số ngẫu nhiên R
Chú thích - Khuyến nghị về tham chiếu sinh trắc học được thể hiện
bằng Bản ghi thông tin sinh trắc học (BIR) được đặc tả trong ISO/IEC 19785-1.
Để chèn PSID vào chứng thư ITU-T X.509, nó sẽ được ghi trong trường mở
rộng subjectAltName có chứa directoryName.
Trường realName chứa tên được mã UTF8String của chủ sở hữu chứng
thư số và trường userlnfo chứa thông tin định danh bổ sung của chủ sở hữu
chứng thư số, cũng như PSID
Phụ lục B
Các quá trình
chèn PSID sử dụng PKCS #10 có sửa đổi
(tham khảo)
...
...
...
Bạn phải
đăng nhập hoặc
đăng ký Thành Viên
TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.
Mọi chi tiết xin liên hệ:
ĐT: (028) 3930 3279 DĐ: 0906 22 99 66
Tài liệu tham khảo
[1]. TCVN 11817-1:2017, Công nghệ thông tin - Các kỹ thuật
an toàn - Xác thực thực thể - Phần
1: Tổng quan, (ISO/IEC
9798-1:2010, Information technology - Security techniques - Entity
Authentication - Parti: General).
[2]. ISO/IEC 2382-37:2012, Information technology -
Vocabulary -Part 37: Biometrics.
[3]. ISO/IEC 15945:2002, Information technology - Security
techniques - Specification of TTP
services to support the
application of digital signature.