BÀI 10

ỨNG DỤNG CỦA PKI

3 - ĐẢM BẢO AN TOÀN CHO DỮ LIỆU TRONG CHIP
CỦA HỘ CHIẾU ĐIỆN TỬ (E-PASSPORT) VÀ
CĂN CƯỚC CÔNG DÂN ĐIỆN TỬ (E-ID)
Giảng viên: TS. Lê Quang Huy
CỤC CHỨNG THỰC SỐ & BẢO MẬT THÔNG TIN
BAN CƠ YẾU CHÍNH PHỦ
01/12/2021 http://ca.gov.vn 1
 NỘI DUNG

1. TỔNG QUAN VỀ HCĐT VÀ CCCD ĐT

2. HẠ TẦNG PKI CHO XÁC THỰC THỤ ĐỘNG

3. HẠ TẦNG PKI CHO XÁC THỰC THIẾT BỊ ĐẦU CUỐI

4. ỨNG DỤNG CỦA CĂN CƯỚC CÔNG DÂN ĐIỆN TỬ

5. KẾT LUẬN

6. THẢO LUẬN

http://ca.gov.vn 2
 1. TỔNG QUAN VỀ HCĐT VÀ CCCD ĐT

1.1. GIẤY ĐI ĐƯỜNG

1.2. GIẤY ĐI ĐƯỜNG ĐIỆN TỬ - eMRTD
1.3. HỘ CHIẾU ĐIỆN TỬ
1.4. CĂN CƯỚC CÔNG DÂN ĐIỆN TỬ
1.5. DỮ LIỆU LƯU TRONG CHIP eMRTD
1.6. VẤN ĐỀ AN TOÀN ĐỐI VỚI DỮ LIỆU TRONG CHIP CỦA eMRTD
1.7. KIỂM SOÁT TRUY NHẬP CHIP
1.8. KIỂM SOÁT TRUY NHẬP MỞ RỘNG
1.9. XÁC THỰC THỤ ĐỘNG
1.10. QUY TRÌNH TRUY NHẬP CHIP
http://ca.gov.vn 3
 1.1. GIẤY ĐI ĐƯỜNG
Giấy đi đường (Travel Document - TD): phương tiện giúp:
- Tổ chức quản lý con người.
- Cá nhân chứng minh bản thân.
Có nhiều dạng như: CCCD, Hộ chiếu, thẻ ngành …
Gắn với hai hoạt động: tạo ra giấy đi đường và kiểm tra,
kiểm soát giấy đi đường.
Đặc trưng: Chứa các thông tin cơ
bản xác định con người và các đặc
trưng đảm bảo an toàn cho TD.
An toàn: Giả mạo, Thay đổi, mạo
danh

http://ca.gov.vn 4
 1.1. GIẤY ĐI ĐƯỜNG
Giấy đi đường cơ bản:
Các thông tin xác định
được in lên giấy. Chỉ dành
cho người trực tiếp đọc và
kiểm tra.
Giấy đi đường có thể đọc
bằng máy (Machine
Readable Travel
Documents - MRTD): là
giấy đi đường (TD) có
thêm phần dành cho máy
có thể đọc được (MRZ).
http://ca.gov.vn 5
 1.2. GIẤY ĐI ĐƯỜNG ĐIỆN TỬ - eMRTD
• Giấy đi đường có thể đọc bằng máy điện tử (electronic Machine Readable Travel Documents
eMRTD) là MRTD có chứa thêm chip (RFID) chứa dữ liệu. eMRTD hỗ trợ kiểm soát tự động
• IC (chip) không tiếp xúc RFID có khả năng xử lý và dung lượng lưu trữ cao.
• Dữ liệu trong chip eMRTD được lưu trữ trong một cấu trúc dữ liệu logic (Logical Data
Structure – LDS), được chuẩn hóa.
• LDS phương pháp tổ chức (trình tự sắp xếp)
dữ liệu theo hệ thống file và các nhóm dữ
liệu (nhóm bắt buộc và nhóm tùy chọn).
• Các loại dữ liệu lưu trong chip eMRTD gồm:
– Thông tin cá nhân.
– Dữ liệu sinh trắc.
– Các dữ liệu khác.
– Dữ liệu của các cơ chế đảm bảo an toàn.
http://ca.gov.vn 6
 1.3. HỘ CHIẾU ĐIỆN TỬ
• Hộ chiếu (passport): một loại TD dùng để kiểm
soát con người di chuyển giữa các quốc gia.
• Hộ chiếu điện tử (HCĐT) là một loại eMRTD.
• HCĐT sử dụng mật mã để đảm bảo an toàn
(xác thực, toàn vẹn, bí mật) cho dữ liệu lưu bên
trong chíp của HCĐT.
•

http://ca.gov.vn 7
 1.4. CĂN CƯỚC CÔNG DÂN ĐIỆN TỬ
CCCD ĐT là một loại eID (eMRTD). Mục đích sử
dụng:
• Xác thực/chứng minh bản thân công dân.
• Chứa dữ liệu để thực hiện các giao dịch điện tử:
bảo hiểm, thuế, y tế, bỏ phiếu …vv

http://ca.gov.vn 8
 1.5. DỮ LIỆU LƯU TRONG CHIP eMRTD

EF.CVCA

Content: [CARi ][||CARi-1]

Short File ID: 0x1C

01/12/2021 http://ca.gov.vn 9
 1.6. VẤN ĐỀ AN TOÀN ĐỐI VỚI DỮ LIỆU TRONG CHIP eMRTD
TT Vấn đề Giải pháp, giao thức
- Kiểm soát truy nhập: cấp quyền truy nhập (đọc)
Đọc lướt: đọc dữ liệu mà không cần phép
dữ liệu cơ bản.
1 Nghe lén: nghe lén trao đổi dữ liệu giữa
- Mã mật đường truyền
chip HCĐT và hệ thống kiểm tra.
- Giao thức: kiểm soát truy nhập chip (BAC, PACE)
- Toàn vẹn: sử dụng chữ ký số
Đảm bảo toàn vẹn dữ liệu - Xác thực: chữ ký số được chứng thực
2
Nguồn gốc tạo ra dữ liệu - Giao thức: Xác thực thụ động (Passsive
Authentication).
- Giá trị bí mật riêng cho mỗi chip
3 Nhân bản chip - Giao thức: Xác thực chip (Active Authentication,
Chip Authentication,…)
Truy nhập (đọc) dữ liệu sinh trắc nhạy cảm - Kiểm soát quyền đọc dữ liệu sinh trắc nhạy cảm
4 (vân tay, mống mắt) dành cho đối tượng - Giao thức: Xác thực thiết bị đầu cuối – Terminal
xác định.
01/12/2021 Authentication.
http://ca.gov.vn 10
 1.7. KIỂM SOÁT TRUY NHẬP CHIP

Kiểm soát truy cập cơ bản (Basic Access

Control - BAC):
• Kiểm soát truy nhập các dữ liệu ít nhạy
cảm (DG1, DG2, DG14, DG15, SOD…).
• Truy nhập được dữ liệu trong chip khi truy
nhập vật lý eMRTD (MRZ).
• Giao thức: Authentication and Key
Establishment
• Khóa phiên: dẫn xuất từ MRZ (entropy
giới hạn)
• Thuật toán khóa đối xứng: 3DES in CBC
mode.

01/12/2021 http://ca.gov.vn 11
 1.7. KIỂM SOÁT TRUY NHẬP CHIP
Thiết lập kết nối xác thực mật khẩu PACE
(Password Authenticated Connection
Establishment)
• Kiểm soát truy nhập các dữ liệu ít nhạy cảm.
• An toàn, thuận tiện hơn, thay thế cho BAC.
• Khóa phiên tạm: dẫn xuất từ MRZ, hoặc mật khẩu.
• Khóa phiên: không phụ thuộc vào entropy đầu vào.
• Giao thức thỏa thuận khóa Diffie-Hellman, ECDH.
• Thuật toán mã khóa đối xứng: AES in CBC mode.
• Dữ liệu trong EF.CardAccess
• Dùng PACE thay BAC từ 01/01/2018 (ICAO).

01/12/2021 http://ca.gov.vn 12
 1.8. KIỂM SOÁT TRUY NHẬP MỞ RỘNG
Giao thức xác thực chip (Chip Authentication):
• 1. Xác thực chủ động (Active Authentication):
– PublicKeyInfo trong DG15.
– Sử dụng giao thức challenge-respond.
• 2. Xác thực chip (Chip Authentication):
– SecurityInfos trong DG14 (thay thế xác thực chủ động).
– Sử dụng giao thức thỏa thuận khóa Diffie-Hellman
– Khóa phiên
• 3. PACE-CAM:
– PACEInfo trong EF.CardAccess.
– Public Key, Mapping Data, Chip Authentication Data
from CardSecurity

01/12/2021 http://ca.gov.vn 13
 1.8. KIỂM SOÁT TRUY NHẬP MỞ RỘNG
Giao thức xác thực thiết bị đầu cuối (Terminal
Authentication)
• Cấp quyền đọc dữ liệu sinh trắc nhạy cảm DG3 (vân
tay), DG4 (mống mắt).
• Chip eMRTD xác thực một chiều thiết bị đầu cuối.
• Thực hiện giao thức (challenge/respond).
• Thiết bị đầu cuối: một cặp khóa và một chứng thư số
CVC.
• Chip chứa chứng thư số CVCA từ nước phát hành nó.
• Xác thực thiết bị đầu cuối cần có hạ tầng chứng
thực số

01/12/2021 http://ca.gov.vn 14
 1.9. XÁC THỰC THỤ ĐỘNG
• Xác thực thụ động: khẳng định dữ liệu
là xác thực (biết được nguồn gốc của
dữ liệu) và toàn vẹn (chưa bị thay đổi).
• Cơ chế thực hiện: chữ ký số được
chứng thực.
• Tạo chữ ký số: CSK được Document
Signer tạo (cá thể hóa) và lưu vào Đối
tượng an toàn tài liệu (SOD)
• Xác minh (kiểm tra) chữ ký số: Thiết
bị đầu cuối, hệ thống kiểm tra (IS,
TCC).
• eMRTD: tài liệu được ký số.
• Xác thực thụ động cần có hạ tầng
chứng thực số
01/12/2021 http://ca.gov.vn 15
 1.10. QUY TRÌNH TRUY NHẬP DỮ LIỆU TRONG CHIP HCĐT
1. Đọc EF.CardAccess: (Bắt buộc)
2. Thực hiện giao thức kiểm soát truy nhập chip PACE (Điều kiện)
3. Chọn ứng dụng ePassport (Bắt buộc).
4. Thực hiện giao thức kiểm soát truy nhập chip BAC (Điều kiện)
5. Xác thực chủ động (xác thực chip) (Tùy chọn).
6. Xác thực thụ động (Bắt buộc).
7. Xác thực thiết bị đầu cuối (Điều kiện).
8. Đọc dữ liệu.
- Quy trình truy nhập cơ bản (ICAO) gồm: 1, 2, 3, 4, 6, 8.
- Quy trình truy nhập mở rộng (EU) gồm: 1, 2, 3, 4, 5, 6, 7, 8.
01/12/2021 http://ca.gov.vn 16
 2. HẠ TẦNG PKI CHO XÁC THỰC THỤ ĐỘNG

• 2.1. GIAO THỨC XÁC THỰC THỤ ĐỘNG

• 2.2. TỔNG QUAN VỀ HỆ THỐNG

• 2.3. THÀNH PHẦN CỦA HỆ THỐNG

• 2.4. HOẠT ĐỘNG CỦA HỆ THỐNG

• 2.5. THUẬT TOÁN MẬT MÃ SỬ DỤNG

• 2.6. QUẢN LÝ KHÓA, CHỨNG THƯ SỐ

• 2.7. TRAO ĐỔI THÔNG TIN GIỮA CÁC QUỐC GIA

01/12/2021 http://ca.gov.vn 17
 2.1. GIAO THỨC XÁC THỰC THỤ ĐỘNG
• Xác thực thụ động (dữ liệu): xác định tính xác thực (nguồn gốc tạo) và toàn vẹn (việc sửa
đổi) của dữ liệu.
• Cơ chế thực hiện: chữ ký số
được chứng thực.
• Tạo chữ ký số: CKS được
Document Signer tạo (cá thể
hóa) và lưu vào Đối tượng an
toàn tài liệu (SOD)
• Xác minh (kiểm tra) chữ ký số:
Thiết bị đầu cuối, hệ thống kiểm
tra (IS, TCC).
• eMRTD: tài liệu được ký số.
• Xác thực dữ liệu cần có hạ
tầng chứng thực số.
01/12/2021 http://ca.gov.vn 18
 2.2. TỔNG QUAN VỀ HỆ THỐNG

• Hạ tầng chứng thực số cho xác thực thụ

động do ICAO đề xuất (ICAO-PKI).
• ICAO-PKI đơn giản hơn Internet PKI.
• Tuân thủ chuẩn PKI [X.509] và [RFC 5280]
• Đặc trưng khác biệt :
– Một CA (CSCA), CA gốc, không CA trung gian,
CA offline.
– Có thể đổi tên CSCA (một số quy trình không
tương thích với Internet PKI).
– Vòng đời chứng thư số thuê bao ngắn (tối đa 3
tháng).
– Công bố chứng thư số và thiết lập tin cậy phức
tạp (ICAO-PKD)

01/12/2021 http://ca.gov.vn 19
 2.3. THÀNH PHẦN CỦA HỆ THỐNG

• Hạ tầng chứng thực số (ICAO-PKI):

– Country Signing Certification Authority
(CSCA).
– National Public Key Directory (NPKD).
• Thực thể cuối:
– Document Signer (DS): thiết bị ký số
(thuê bao).
– Inspection System (IS), Terminal: hệ
thống kiểm tra, thiết bị đầu cuối kiểm
tra chữ ký số (relying party).
– eMRTD : vật mang (chứa) tài liệu được
ký số.

01/12/2021 http://ca.gov.vn 20
 2.4. HOẠT ĐỘNG CỦA HỆ THỐNG

• Hoạt động của hạ tầng: chứng thực cặp

khóa cho DS:
– DS tạo, gửi yêu cầu chứng thực tới CSCA.
– CSCA chứng thực cặp khóa và gửi chứng thư
số lại cho DS.
– CSCA công bố chứng thư số (CSCA, DS),
CRL, … trong PKD.
• Hoạt động của client:
– DS ký số lên dữ liệu lưu trong chip eMRTD.
– IS kiểm tra chữ ký số dữ liệu đã ký trong chip
eMRTD.

01/12/2021 http://ca.gov.vn 21
 2.5. THUẬT TOÁN MẬT MÃ SỬ DỤNG

TT Hệ mật Tuân thủ chuẩn Thuật toán

RSASSA-PSS
1 RSA RFC 4055
RSASSA-PKCS1_v15

2 DSA FIPS 186-4 DSA

3 ECDSA ISO/IEC 15946 ECDSA

SHA2: SHA-224, SHA-256,

4 SHA FIPS 180-2
SHA-384, SHA-512

01/12/2021 http://ca.gov.vn 22
 2.6. QUẢN LÝ KHÓA, CHỨNG THƯ SỐ
Thời hạn hiệu lực khóa công khai
Đối tượng Thời hạn hiệu lực khóa riêng
(hộ chiếu hợp lệ 10 năm)
CSCA 3-5 năm 13-15 năm
Document Signer Tối đa 3 tháng khoảng hơn 10 năm

Master List Signer Quốc gia phát hành quyết định Quốc gia phát hành quyết định

Deviation List Signer Quốc gia phát hành quyết định Quốc gia phát hành quyết định

• Thay khóa CSCA: Chứng thư số liên kết CSCA link.

• Phát hành CRL: sớm nhất 48h, muộn nhất sau 90 ngày.

01/12/2021 http://ca.gov.vn 23
 2.7. TRAO ĐỔI THÔNG TIN GIỮA CÁC QUỐC GIA

• Đối tượng phân phối:

– Chứng thư số CSCA.
– Chứng thư số Document Signer.
– Chứng thư số Master List Signer.
– Master List.
– Chứng thư số Deviation List Signer.
– CRL.
• Các cơ chế phân phối:
– Trao đổi song phương.
– ICAO-PKD.
– Master List.
– Deviation List.
– Chip eMRTD.

01/12/2021 http://ca.gov.vn 24
 2.7. TRAO ĐỔI THÔNG TIN GIỮA CÁC QUỐC GIA

Các cơ chế phân

phối:
• Trao đổi song
phương.
• ICAO-PKD.
• Master List.
• Deviation
List.
• Chip eMRTD.

01/12/2021 http://ca.gov.vn 25
 3. HẠ TẦNG PKI CHO XÁC THỰC THIẾT BỊ ĐẦU CUỐI

• 3.1. GIỚI THIỆU CHUNG

• 3.2. THÀNH PHẦN CỦA HỆ THỐNG

• 3.3. HOẠT ĐỘNG CỦA HỆ THỐNG

• 3.4. THUẬT TOÁN MẬT MÃ SỬ DỤNG

• 3.5. QUẢN LÝ KHÓA, CHỨNG THƯ SỐ

• 3.6. TRAO ĐỔI THÔNG TIN GIỮA CÁC QUỐC GIA

01/12/2021 http://ca.gov.vn 26
 3.1. GIỚI THIỆU CHUNG

• Hạ tầng chứng thực số cho xác thực thiết bị đầu

cuối do EU đề xuất (EAC-PKI).

• Đặc điểm của EAC-PKI

– Chứng thư số xác định thẩm quyền cấp và quyền truy cập
tới dữ liệu sinh trắc nhạy cảm được cấp cho hệ thống
kiểm tra (thiết bị đầu cuối).

– Chứng thư số định dạng Card Verifiable (CVC).

– Có thể được cấp chứng thư số từ CA nước ngoài.

– Vòng đời chứng thư số thuê bao rất ngắn (tối đa 1 tháng)

01/12/2021 http://ca.gov.vn 27
 3.2. THÀNH PHẦN CỦA HỆ THỐNG

• Hạ tầng gồm:
– Country Verifying Certificate Authorities
(CVCA), CA gốc, online.
– Document Verifier (DV), CA trung gian,
online.
– Không công bố CTS và CRL, không có
PKD.
– Chứng thư số CVCA lưu trong eMRTD.
• Client gồm:
– Thiết bị đầu cuối (Hệ thống kiểm tra)
đóng vai trò là thuê bao.
– Chip của eMRTD đóng vai trò là relying
party.

01/12/2021 http://ca.gov.vn 28
 3.3. HOẠT ĐỘNG CỦA HỆ THỐNG

• Hoạt động của hạ tầng:

– Chứng thực cặp khóa: (thuê bao gửi yêu cầu
chứng thực, CA chứng thực và trả kết quả về
thuê bao). Kết quả chứng thực: chứng thư số..
– Công bố chứng thư số: Chứng thư số gốc,
chứng thư số liên kết CVCA được ghi trong
chip eMRTD (giai đoạn phát hành). Không
công bố chứng thư số DV, chứng thư số IS,
CRL.
• Hoạt động của client: thực hiện giao thức
xác thực thiết bị đầu cuối:
– Thiết bị đầu cuối (thuê bao) ký số giá trị ngẫu
nhiên - nonce.
– Chip eMRTD (Relying party): kiểm tra chữ ký
số.

01/12/2021 http://ca.gov.vn 29
 3.4. THUẬT TOÁN MẬT MÃ SỬ DỤNG

TT Signature Hash

1 RSASSA-PKCS1-v1_5 SHA-1, SHA-256, SHA-512

2 RSASSA-PSS SHA-1, SHA-256, SHA-512

3 ECDSA SHA-1, SHA-224, SHA-256, SHA-384, SHA-512

01/12/2021 http://ca.gov.vn 30
 3.5. QUẢN LÝ KHÓA, CHỨNG THƯ SỐ

Thời gian hiệu lực chứng thư số

Thời gian Thời gian

Entity
tối thiểu tối đa

CVCA 6 tháng 3 năm

Document
2 tuần 3 tháng
Verifier

Thiết bị đầu
1 ngày 1 tháng
cuối

01/12/2021 http://ca.gov.vn 31
 3.6. TRAO ĐỔI THÔNG TIN GIỮA CÁC QUỐC GIA

• CVCA, DV, IS nội địa và nước ngoài cần trao đổi thông tin với nhau:
– Gia hạn chứng thư số; Thay cặp khóa.
– Thời hạn hiệu lực chứng thư số ngắn, yêu cầu chứng thực/kết quả cần được tạo/gửi tự động.

• Hỗ trợ Document Verifier gửi yêu cầu/nhận kết quả chứng thực từ các CVCA nước ngoài.
01/12/2021 http://ca.gov.vn 32
 3.6. TRAO ĐỔI THÔNG TIN GIỮA CÁC QUỐC GIA

SPOC element Thời hạn hợp lệ

SPOC root CA certificate Maximum 13 years
SPOC root CA private key usage Maximum 3.5 years
SPOC client/server certificate 6–18 months

Các thuật toán: RSA, ECDSA, SHA1, SHA2

Khuôn dạng chứng thư số X.509.

01/12/2021 http://ca.gov.vn 33
 4. ỨNG DỤNG CỦA CĂN CƯỚC CÔNG DÂN ĐIỆN TỬ

• 4.1. ỨNG DỤNG XÁC THỰC CÔNG DÂN E-ID

• 4.2. ỨNG DỤNG CHỮ KÝ SỐ E-SIGN

• 4.3. ỨNG DỤNG XÁC THỰC CHỦ SỞ HỮU MoC

01/12/2021 http://ca.gov.vn 34
 4.1. ỨNG DỤNG XÁC THỰC CÔNG DÂN
Ứng dụng: National eID, Căn cước
công dân điện tử.
Mục tiêu: cung cấp các thông tin cơ
bản xác định một công dân

01/12/2021 http://ca.gov.vn 35
 4.1. ỨNG DỤNG XÁC THỰC CÔNG DÂN
Phương tiện xác thực công dân: căn cước công dân (credential)

01/12/2021 http://ca.gov.vn 36
 4.1. ỨNG DỤNG XÁC THỰC CÔNG DÂN

Xác thực công dân

01/12/2021 http://ca.gov.vn 37
 4.1. ỨNG DỤNG XÁC THỰC CÔNG DÂN
Quy trình xác thực:
• Kiểm soát truy nhập
PACE.
• Xác thực thiết bị đầu
cuối (Terminal
Authentication)
• Xác thực thụ động
(Passive
Authentication).
• Xác thực Chip.

01/12/2021 http://ca.gov.vn 38
 4.1. ỨNG DỤNG XÁC THỰC CÔNG DÂN
• Lưu trữ dữ liệu trong Chip của CCCD ĐT dẫn tới một số vấn đề an toàn dữ liệu: đọc lướt,

01/12/2021 http://ca.gov.vn 39
 4.2. ỨNG DỤNG CHỮ KÝ SỐ E-SIGN
Mục tiêu:
Cung cấp
cặp khóa
dùng để
ký số cho
mỗi công
dân.

01/12/2021 http://ca.gov.vn 40
 4.2. ỨNG DỤNG CHỮ KÝ SỐ E-SIGN
Ứng dụng:
thay thế chữ
ký tay trong
các hoạt động
của đời sống
xã hội

01/12/2021 http://ca.gov.vn 41
 4.2. ỨNG DỤNG CHỮ KÝ SỐ E-SIGN
Các thực thể liên quan
tới ứng dụng eSign:
• Ứng dụng Tạo Chữ
ký [SCA]: yêu cầu
tạo chữ ký (cục bộ/từ
xa).
• Thiết bị đầu cuối
[UD]: quản lý việc
truyền và nhận cục bộ
các APDU với chip
của eID.
• Chip eID chứa ứng
dụng (firmware)
eSign.
01/12/2021 http://ca.gov.vn 42
 4.2. ỨNG DỤNG CHỮ KÝ SỐ E-SIGN
• Cấu trúc dữ liệu của ứng dụng eSign
• Tuân theo ISO/IEC 7816-15

01/12/2021 http://ca.gov.vn 43
 4.3. ỨNG DỤNG XÁC THỰC CHỦ SỞ HỮU

01/12/2021 http://ca.gov.vn 44
 4.3. ỨNG DỤNG XÁC THỰC CHỦ SỞ HỮU
Match on Card (MoC) – Xác thực chủ sở hữu

01/12/2021 http://ca.gov.vn 45
 5. TÓM TẮT
• Lưu trữ dữ liệu trong Chip của HCĐT và CCCD ĐT
dẫn tới một số vấn đề an toàn dữ liệu: đọc lướt, nghe
lén, xác thực, toàn vẹn, nhân bản chip và quyền truy
nhập dữ liệu.
• Các cơ chế giải quyết các vấn đề đặt ra đã được đề
xuất trong ICAO - Doc 9303 và EU TR-3110:
– Kiểm soát truy nhập chip (Chip Access Control).
– Xác thực thụ động (Passive Authentication).
– Kiểm soát truy nhập mở rộng (Extended Access Control).

• 02 cơ chế cần có hạ tầng chứng thực số kèm theo:

– Xác thực thụ động (Passive Authentication).
– Xác thực thiết bị đầu cuối (Terminal Authentication)

• Ứng dụng của CCCD ĐT đa dạng: eID, eSign, MoC…

01/12/2021 http://ca.gov.vn 46
6. THẢO LUẬN

http://ca.gov.vn 47
KẾT THÚC

http://ca.gov.vn 48