Đề xuất danh mục tiêu chuẩn hóa chữ ký số và dịch vụ chứng thực trên thiết bị di động (Phần II)

Các tiêu chuẩn cho hệ thống thiết bị quản lý khóa bí mật, chứng thư số và tạo chữ ký số theo mô hình ký số di động (SIM PKI)

1. Tổng quan về mô hình SIM PKI

1.1. Mô hình tổng quan

Chữ ký trên di động có thể được sử dụng trên tất cả các ứng dụng chứ không chỉ dành riêng cho các ứng dụng chạy trên thiết bị di động. Thiết bị di động có thể coi là một công cụ ký – tương đương với một cây bút điện tử dùng để ký số. Việc ký số từ yêu cầu của 1 ứng dụng qua mạng di động và các kênh điện tử tương đương trên di động sẽ cần có sự cho phép của công dân.

Thiết bị di động trở thành công cụ ký số

Trong triển khai dựa trên SIM PKI, việc tạo chữ ký đạt được bằng cách sử dụng bộ xử lý mã hóa trên thẻ SIM.

Xử lý mã hóa ký số trên thẻ SIM trong SIM PKI

Yêu cầu ký số nhận được tại thiết bị di động của công dân kích hoạt ứng dụng “ký” trên thẻ SIM. Điều này cho phép hiển thị văn bản giao dịch trên màn hình thiết bị di động và cung cấp tùy chọn cho công dân nhập mã PIN ký tên của mình. Hành động nhập mã PIN ký chính xác sẽ bắt đầu tạo chữ ký di động trong thẻ SIM và truyền chữ ký đến dịch vụ chữ ký di động. Bằng cách nhập mã PIN ký chính xác, công dân được coi là đã xác nhận ý định của mình để tiến hành các chi tiết giao dịch được hiển thị trên màn hình thiết bị di động của họ.

Mô hình tổng quan giải pháp SIM PKI

Các thành phần chính gồm:

• • MSSP: Nhà cung cấp dịch vụ chữ ký di động.
  • AP: Nhà cung cấp ứng dụng.
  • RA: Nhà cung cấp dịch vụ đăng ký sử dụng.
  • CA: Nhà cung cấp dịch vụ chứng chữ ký số.
  • SIM CA: Thiết bị thẻ thông minh trong thiết bị di động.
  • MNO: Nhà mạng di động.

Kiến trúc giữa Nhà mạng di động và thiết bị SIM CA có thể được module/lớp hóa và lựa chọn các công nghệ khác nhau gồm:

Kiến trúc lớp giữa nhà mạng di động và thiết bị SIM CA

• • Lớp mạng: Giao thức/tiêu chuẩn tương tác giữa nhà mạng di động và thiết bị SIM CA. Có thể lựa chọn các công nghệ khác nhau nhưng thường sử dụng SMS.
  • Lớp ứng dụng: ứng dụng ký trên thiết bị SIM CA. Có thể lựa chọn các công nghệ khác nhau nhưng thường sử dụng STK và J2ME.
  • Lớp mật mã: chính là thiết bị thẻ thông minh có bộ phần cứng hỗ trợ mã hóa khóa công khai – SIM CA.

Tại lớp mạng cần có phương án bảo mật đường truyền cho các dữ liệu giữa nhà mạng di động và thiết bị SIM CA.

Giải pháp sử dụng SMS để giao tiếp giữa MSSP với SIM CA thông qua nhà mạng di động:

Quá trình truyền nhận SMS qua SMSC được tuân theo chuẩn mã hóa tin nhắn GSM 03.48 (tin nhắn thông thường dạng văn bản, tuân theo chuẩn GSM 03.40);

Dữ liệu truyền nhận giữa SIM – MSSP thông qua nhà mạng di động được mã khóa bằng thuật toán.

1.2. Thành phần chính

Hệ thống bao gồm các thành phần chính như sau:

Thẻ SIM – Thiết bị tạo chữ ký di động (Mobile SCD)

Kiến trúc tổng thể hệ điều hành PKI SIM

PKI SIM sử dụng hệ điều hành với kiến trúc 3 lớp:

• • Hạt nhân hệ điều hành: xây dựng theo Java Framework.
  • Hạ tầng cơ sở: phát triển hoàn toàn độc lập, hỗ trợ các thuật toán 3DES, AES và RSA sử dụng cho thượng tầng kiến trúc, và sẵn sàng sử dụng được mọi loại chip trên thế giới và cả Việt Nam trong tương lai.
  • Thượng tầng kiến trúc: phát triển mở sẵn sàng cho các loại ứng dụng thẻ thông minh trên lĩnh vực chữ ký số.

SIM PKI phát triển sử dụng thư viện RSA cứng hóa bên trong chip đã được cấp chứng chỉ CC EAL5+ như chip của Infineon, SAM SUNG, … PKI SIM Applet dựa trên thuật toán mã hóa RSA với cặp khóa công khai và bí mật sử dụng mã hóa, giải mã, ký điện tử và xác thực ngay bên trong chip với khóa bí mật chỉ được lưu trữ bên trong chip như hộp đen tuyệt đối. PKI SIM Applet với thẻ SIM để tạo ra PKI SIM sử dụng với Handset hoặc USB 3G/4G…

SIM PKI sử dụng Applet gồm 5 module:

• • Module sinh khóa: cặp khóa bí mật và khóa công khai được sinh ngay trong thẻ.
  • Module lưu khóa: lưu trữ khóa bí mật bên trong thẻ để giải mã hoặc ký điện tử.
  • Module mã hóa và giải mã: mã hóa bằng khóa công khai và giải mã bằng khóa bí mật.
  • Module ký điện tử: ký chuỗi dữ liệu thành một đoạn dữ liệu gửi kèm cùng với thông tin.
  • Module xác thực: xác thực chữ ký và dữ liệu được truyền vào

Nhà cung cấp ứng dụng (AP)

Nhà cung cấp ứng dụng chịu trách nhiệm bảo đảm ứng dụng phải an toàn và tin cậy để thúc đẩy việc sử dụng chữ ký điện tử. AP đảm bảo rằng dữ liệu cần ký phải chính xác theo yêu cầu từ người sử dụng. Các biện pháp bảo mật đảm bảo gồm:

• • Giao tiếp MSSP với các AP của các đối tác và hệ thống nghiệp vụ của nhà cung cấp dịch vụ khác được bảo mật bởi giao thức https với tính năng SSL mã hóa 2 chiều.
  • Mỗi AP được cấp một mã định danh người sử dụng và chứng thư số để mã hóa dữ liệu giao tiếp với MSSP. Giao tiếp giữa AP và MSSP được xác thực mạnh dựa trên chứng thư số. AP muốn sử dụng dịch vụ phải ký số lên yêu cầu trước khi gửi sang MSSP. Khi nhận được yêu cầu từ AP, MSSP thực hiện xác thực chữ ký để xác định AP. Nếu chữ ký hợp lệ, MSSP sẽ xử lý yêu cầu và trả về kết quả cho AP. Ngược lại, MSSP sẽ bỏ qua yêu cầu của AP.

Hệ thống cung cấp dịch vụ ký (MSSP)

MSSP là hệ thống là trung tâm của giải pháp, thực hiện các chức năng chính sau:

• • • Quản lý và cấp phép truy cập cho các hệ thống nghiệp vụ của các nhà cung cấp dịch vụ được kết nối và thực hiện các yêu cầu nghiệp vụ.
    • Trung tâm chung chuyển yêu cầu cấp pháp chứng thư số với hệ thống RA, yêu cầu ký điện tử giữa AP, hạ tầng mạng với điện thoại người dùng và chứng thực chữ ký số với hệ thống CORE-CA của CA công cộng.
    • MSSP giúp đảm bảo rằng “những gì người sử dụng nhìn thấy là những gì họ ký” và bảo mật của hệ thống đối với khách hàng, đối tác; ngăn ngừa, phát hiện truy nhập trái phép vào cơ sở dữ liệu cũng như xử lý, theo dõi các điểm yếu dễ bị tấn công.
    • Ghi lịch sử giao dịch, lưu và báo cáo các thông tin về truy nhập hệ thống để phục vụ kiểm tra, giám sát hệ thống.

1.3. Hoạt động

Kích hoạt dịch vụ

Quy trình nghiệp vụ này mô tả các bước thực hiện trên hệ thống khi người sử dụng vừa mới lắp SIM PKI vào thiết bị di động để sử dụng dịch vụ.

Điều kiện: SIM mới chưa kích hoạt dịch vụ.

Tham gia vào quy trình có các tác nhân: Người dùng, SIM, MSSP.

Quy trình nghiệp vụ đăng ký dịch vụ

Chi tiết luồng quy trình nghiệp vụ:

(1) Khi người dùng lắp SIM vào thiết bị di động, SIM tự động gửi thông tin kích hoạt dịch vụ – khóa ZMK, ICCID lên MSSP.

(2) MSSP lưu lại thông tin kích hoạt của SIM.

(3) MSSP gửi kết quả kích hoạt.

(4) SIM hiển thị thông báo kích hoạt dịch vụ thành công cho NSD.

(5) Sau khi đã kích hoạt dịch vụ thành công, mọi dữ liệu trao đổi giữa SIM và MSSP được mã hóa và giải mã sử dụng khóa ZMK theo phương thức mã hóa 3DES.

Đăng ký cấp mới CTS

Quy trình nghiệp vụ này mô tả các bước thực hiện trên hệ thống khi khách hàng đăng ký cấp mới chứng thư số.

Quy trình nghiệp vụ đăng ký mới chứng thư số

Chi tiết luồng quy trình nghiệp vụ:

(1) NSD làm thủ tục đăng ký sử dụng dịch vụ chữ ký số tại RA

(2) Nhân viên RA thông qua giao diện phần mềm điền đầy đủ thông tin của người muốn đăng kí. Sau đó, nhân viên có thẩm quyền kiểm tra xác thực thông tin người dùng tương ứng với hồ sơ đi kèm (để đảm bảo chính xác thông tin). Nếu thông tin là chính xác, nhân viên này thực hiện phê duyệt yêu cầu.

(3) Sau khi yêu cầu được phê duyệt, nhân viên đấu nối qua giao diện phần mềm thực hiện gửi yêu cầu tới MSSP để yêu cầu tạo mới CTS.

(4) MSSP phản hồi ngay cho RA thông báo đã nhận dữ liệu, yêu cầu chờ xử lý.

(5) MSSP căn cứ vào yêu cầu gửi từ RA thực hiện đóng gói SMS để gửi xuống SIM.

(6) MSSP gửi SMS cho SIM qua SMSC bằng định dạng SMS để SIM thực hiện sinh cặp khóa.

(7) Nhận được lệnh yêu cầu của MSSP, SIM thực hiện sinh cặp khóa.

(8) Sau khi sinh cặp khóa, SIM đóng gói tin nhắn chứa CSR gửi lên MSSP.

(9) MSSP kiểm tra CSR từ SIM gửi lên, nếu chính xác, MSSP lưu lại CSR.

(10) RA gửi yêu cầu truy vấn kết quả CSR định kỳ.

(11) MSSP gửi thông tin CSR cho RA thông qua webservice.

(12) RA dựa trên thông tin người dùng trong CSR nhận được từ MSSP, tương tác với Core CA để sinh ra chứng thư số.

(13) RA gửi chứng thư số về cho MSSP thông qua webservice.

(14) Máy chủ MSSP lưu lại thông tin chứng thư số.

(15) Máy chủ MSSP trích xuất các thông tin từ chứng thư, sau đó đóng gói tin nhắn gửi xuống SIM.

(16) SIM lưu lại các thông tin về chứng thư số.

(17) SIM gửi thông báo kết quả lưu chứng thư thành công lên MSSP.

(18) Căn cứ vào kết quả lưu chứng thư, MSSP gửi phản hồi lại thông báo cho RA.

(19) Căn cứ vào kết quả lưu thông tin CTS từ SIM phản hồi lên, MSSP thông báo kết quả đăng kí CTS vào inbox cho người dùng.

Nghiệp vụ ký số

Quy trình nghiệp vụ này mô tả các bước thực hiện trên hệ thống khi người sử dụng muốn ký điện tử sử dụng chứng thư số trên SIM PKI.

Điều kiện: Người dùng sử dụng SIM PKI đã đấu nối chứng thư số, chứng thư số đang hoạt động. Người sử dụng đăng ký dịch vụ chữ ký số di động với nhà cung cấp dịch vụ AP, đồng thời các AP đăng ký kết nối với dịch vụ chữ ký số của CA

Tham gia vào quy trình có các tác nhân: Người dùng, SIM PKI, AP, MSSP.

Quy trình nghiệp vụ ký điện tử

Chi tiết luồng quy trình nghiệp vụ:

(1) NSD dùng dịch vụ của nhà cung cấp dịch vụ thông qua giao diện người sử dụng của nhà cung cấp như website trực tuyến, ví dụ giao dịch chuyển khoản bằng Internet banking, hoặc mua hàng qua mạng… Nhà cung cấp dịch vụ có thể đưa ra lựa chọn trên giao diện để người sử dụng lựa chọn phương pháp ký điện tử trên di động.

(2) Máy chủ cung cấp dịch vụ – AP,  kiểm tra NSD có sử dụng chữ ký số hay không thông qua việc khai báo thông tin liên quan đến việc sử dụng chữ ký số hoặc nhà cung cấp dịch vụ liên kết với nhà cung cấp chữ ký số (RA/CA hoặc MSSP) để biết một NSD có dùng chữ ký số trên di động hay không (ví dụ bằng số điện thoại đã khai báo với nhà cung cấp dịch vụ) để quyết định việc gửi yêu cầu ký điện tử tới người sử dụng.

(3) Căn cứ vào loại dữ liệu cần ký, AP có thể chuyển đổi về dữ liệu phù hợp để ký. Đối với các giao dịch điện tử yêu cầu NSD ký trực tiếp vào nội dung thì AP chuyển toàn bộ nội dung sang cho MSSP. Trong trường hợp dữ liệu là dạng văn bản dài hoặc cần ký lên trên file dữ liệu, thì AP cần chuyển đổi thành mã băm – hash, và phần thông tin mô tả để đóng gói ở bước kế tiếp.

(4) Máy chủ cung cấp dịch vụ – AP, chuẩn bị dữ liệu theo định dạng chuẩn để gửi dữ liệu yêu cầu ký tới MSSP.

(5) Dữ liệu cần ký được đóng gói và gửi xuống điện thoại của NSD. Dữ liệu được đảm bảo đường truyền được bảo mật theo chuẩn viễn thông.

(6) Thông tin cần ký hoặc dữ liệu mô tả thông tin cần ký được ứng dụng trên SIM hiển thị tới NSD – Đảm bảo nguyên tắc “Ký trên những gì bạn thấy”. Sau đó, màn hình hiển thị để NSD nhập mã PIN xác nhận việc ký.

(7) Dữ liệu đã ký được đóng gói và gửi trở lại MSSP. Dữ liệu được đảm bảo đường truyền được bảo mật theo chuẩn viễn thông.

(8) MSSP gửi về AP dữ liệu đã ký.

(9) Trong trường hợp dữ liệu gửi tới MSSP là dạng mã băm – cho dữ liệu dưới dạng file dữ liệu hoặc văn bản dài, thì AP làm nhiệm vụ “dán” chữ ký vào bên trong văn bản.

(10) AP gửi phản hồi xác nhận việc nhận chữ ký thành công.

Chuyển vùng trong chữ ký di động

AP sẽ có thể nhận được yêu cầu ký từ bất kỳ người ký nào, ngay cả khi AP và MSSP không có kết nối với nhau. Do đó ứng dụng AP sẽ phải kết nối với càng nhiều MSSP càng tốt và điều này có thể là một gánh nặng (về chi phí, phát triển, duy trì, nâng cấp hệ thống). Từ đây yêu cầu có một giải pháp được gọi là chuyển vùng chữ ký di động để khi tiếp nhận yêu cầu từ người ký thì AP có thể liên hệ với MSSP phù hợp (MSSP cung cấp dịch vụ cho người ký – Home MSSP).

Chuyển vùng chữ ký di dộng

Chuyển vùng chữ ký di động có nhiều giải pháp được cụ thể hoá trong tài liệu ETSI TR 102 207. Dưới đây là một quy trình tổng quát:

1) Người ký gửi yêu cầu ký.

2) AP xác nhận giao dịch ký.

3) AP thông báo cho người ký để xác nhận giao dịch ký.

4) AP gửi giao dịch ký tới MSSP.

5) MSSP xác định người ký là thuê bao của một MSSP khác.

6) MSSP chuyển tiếp tới Roaming-MSSP (một hệ thống hay giải pháp Roaming).

7) Roaming-MSSP xác định Home MSSP cung cấp dịch vụ cho người ký.

8) Roaming-MSSP chuyển tiếp giao dịch ký đến Home-MSSP.

9) MSSP xử lý giao dịch ký.

10) MSSP chuyển tiếp yêu cầu ký đến thiết bị di động của người ký.

11) Người ký xem xét thông báo văn bản hiển thị sẽ được ký, nhập mã PIN để xác nhận thì SIM tính toán để tạo ra chữ ký số.

12) Thiết bị di động trả về kết quả ký cho MSSP.

13) MSSP xử lý kết quả ký.

14-18) Luồng trả kết quả chữ ký được truyền trở lại AP.

19) AP xử lý kết quả ký.

20) AP xác nhận kết quả của quá trình chữ ký di động và trạng thái của giao dịch (ví dụ: đã hoàn thành, không thành công – với mã lý do, …).

(Theo mục 13.2.3 Transaction Roaming tài liệu ETSI TR 102 203)

 Các giao dịch khác

Truy vấn trạng thái chữ ký di động (Mobile Signature status query). Được AP sử dụng để nhận thông tin về giao dịch chữ ký di động.

2. Các đối tượng cần chuẩn hóa

Các đối tượng cần chuẩn hóa bao gồm:

• Thẻ SIM PKI: Khóa bí mật được lưu trên SIM, cần đáp ứng tiêu chuẩn bảo mật về thiết bị lưu trữ.
• Thuật toán ký số: Thuật toán ký số cần được tối ưu tương ứng với hiệu năng của thiết bị di động.
• Giao tiếp giữa MSSP và AP.
• Giao tiếp giữa các MSSP của các CA khác nhau (Roanming).

3. Kinh nghiệm quốc tế

SIM PKI bắt đầu thử nghiệm đầu tiên tại Vương Quốc Anh với mạng di động Vodafone vào năm 2001. Sau đó đã được áp dụng nhiều nơi tại châu Âu và tiêu chuẩn hóa bởi Viện Tiêu chuẩn Viễn thông châu Âu qua việc ban hành các chuẩn ETSI cho Mobile PKI. Tới nay, khá nhiều nước trên thế giới đã triển khai giải pháp này: Estonia, Phần Lan, Moldova, Nauy, Thụy Sỹ, Iceland, Thổ Nhĩ Kỳ, Orman:

Estonia: Từ năm 2007 danh tính di động trên thẻ SIM có thể ứng dụng sử dụng như chứng minh nhân dân điện tử. Có thể sử dụng ký điện tử và di động xác thực bằng SIM PKI thậm chí sử dụng cho bỏ phiếu điện tử. Sự nhanh chóng hiện đại hóa của chính phủ chính quyền và tư nhân ngành ở Estonia rõ ràng chứng minh những lợi ích của định danh kỹ thuật số an toàn. Tới tháng 9 năm 2014, Mobile ID đã được chấp nhận bởi 90% dịch vụ trực tuyến có sẵn trong đất nước Estonia.

Moldova: Bắt đầu nghiên cứu từ năm 2011, ra mắt dịch vụ chữ ký điện tử SIM PKI từ cuối năm 2012, quá trình đăng ký chỉ mất 15 phút. Các nhà mạng (MNO) đã đầu tư hệ thống và thu phí người dùng.

Phần Lan: Triển khai dịch vụ dưới dạng tiêu chuẩn quốc gia Mobile-ID được hỗ trợ bởi ba nhà khai thác năm 2010 rất nhanh chóng. Để mua một Thẻ SIM từ nhà mạng rất đơn giản chỉ cần: gặp mặt trước tiếp và có thể đăng ký trực tuyến trước. Mobile-ID với SIM PKI là phương pháp của xác thực phát triển nhanh. Tới 2014 có50.000 điện thoại di động lắp SIM PKI thường xuyên hoạt động.

UAE: Mobile-ID được thử nghiệm trong năm 2014.

Iceland: Mạng SIM PKI triển khai năm 2008. Năm 2014, triển khai Mobile-ID quốc gia với sự giúp đỡ của các ngân hàng.

4. Đề xuất tiêu chuẩn

Tiêu chuẩn bảo mật cho thẻ SIM: FIPS 140 level 2 hoặc EAL 4+.

Tiêu chuẩn về cung cấp dịch vụ: Lựa chọn bộ tiêu chuẩn M-COMM do Viện tiêu chuẩn viễn thông Châu Âu (ETSI) ban hành.

Loại tiêu chuẩn	Ký hiệu tiêu chuẩn	Tên đầy đủ của tiêu chuẩn	Quy định áp dụng
Tiêu chuẩn cung cấp dịch vụ chứng thực chữ ký số trên mạng viễn thông di động
Yêu cầu bảo mật cho sim	FIPS PUB 140-2	Security Requirements for Cryptographic Modules	– Áp dụng một trong hai tiêu chuẩn – Đối với tiêu chuẩn FIPS PUB: Yêu cầu tối thiểu mức 2 (level 2) – Đối với tiêu chuẩn ISO/IEC 15408: Yêu cầu tối thiểu mức 4 (level 4)
	Common Criteria (ISO/IEC 15408)	Common Criteria for Information Technology Security Evaluation
Yêu cầu về chức năng, nghiệp vụ	ETSI TR 102 203	Mobile Commerce (M-COMM); Mobile Signatures; Business and Functional Requirements	Phiên bản V1.1.1
Giao diện dịch vụ Web	ETSI TS 102 204	Mobile Commerce (M-COMM); Mobile Signature Service; Web Service Interface	Phiên bản V1.1.4
Khung bảo mật	ETSI TS 102 206	Mobile Commerce (M-COMM); Mobile Signature Service; Security Framework	Phiên bản V1.1.3
Thông số kỹ thuật chuyển vùng	ETSI TS 102 207	Mobile Commerce (M-COMM); Mobile Signature Service; Specifications for Roaming in Mobile Signature Services	Phiên bản V1.1.3

Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Website: www.vina-aspire.com

Tel: +84 944 004 666 | Fax: +84 28 3535 0668

Vina Aspire – Vững bảo mật, trọn niềm tin