ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

BÙI THỊ QUỲNH PHƢƠNG

NGHIÊN CỨU, PHÁT TRIỂN QUY TRÌNH

XÁC THỰC HỘ CHIẾU ĐIỆN TỬ TẠI VIỆT NAM

LUẬN VĂN THẠC SĨ

HÀ NỘI - 2010
 ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

BÙI THỊ QUỲNH PHƢƠNG

NGHIÊN CỨU, PHÁT TRIỂN QUY TRÌNH

XÁC THỰC HỘ CHIẾU ĐIỆN TỬ TẠI VIỆT NAM

Ngành: Công nghệ thông tin

Chuyên ngành: Hệ thống thông tin
Mã số: 60 48 05

LUẬN VĂN THẠC SĨ

NGƢỜI HƢỚNG DẪN KHOA HỌC: TS LÊ PHÊ ĐÔ

HÀ NỘI - 2010
 MỤC LỤC
CÁC KÝ HIỆU VIẾT TẮT ........................................................................... 1
MỞ ĐẦU…… ............................................................................................... 2
Chƣơng 1. TỔNG QUAN VỀ HỘ CHIẾU ĐIỆN TỬ .............................. 4
1.1 Một số khái niệm cơ bản .................................................................... 4
1.1.1 Công nghệ RFID ................................................................................... 4
1.1.2 Chuẩn ISO 14443.................................................................................. 7
1.1.3 Hộ chiếu điện tử.................................................................................. 10
1.2 Cấu trúc và tổ chức hộ chiếu điện tử .................................................11
1.2.1 Cấu trúc hộ chiếu điện tử .................................................................... 11
1.2.2 Tổ chức dữ liệu logic .......................................................................... 13
1.2.3 Lƣu trữ vật lý ...................................................................................... 19
1.3 Kết luận.............................................................................................21
Chƣơng 2. HẠ TẦNG CƠ SỞ MẬT MÃ KHÓA CÔNG KHAI.............22
2.1 Chứng chỉ số .....................................................................................22
2.1.1 Chứng chỉ khóa công khai X.509 ........................................................ 23
2.1.2 Thu hồi chứng chỉ ............................................................................... 25
2.2 Chữ ký điện tử...................................................................................27
2.3 Hạ tầng khóa công khai PKI..............................................................29
2.3.1 Các thành phần của PKI ...................................................................... 30
2.3.2 Chức năng cơ bản của PKI .................................................................. 32
2.3.3 Mô hình tin cậy cho PKI ..................................................................... 32
2.4 Kết luận.............................................................................................36
Chƣơng 3. QUY TRÌNH XÁC THỰC HỘ CHIẾU ĐIỆN TỬ ................37
3.1 Yêu cầu đặt ra ...................................................................................37
3.1.1 Yêu cầu chung .................................................................................... 37
3.1.2 Vấn đề bảo mật thông tin trong HCĐT ............................................... 37
 3.1.3 Các đặc trƣng sinh trắc quan tâm ........................................................ 40
3.2 Quy trình xác thực HCĐT tại Việt Nam ............................................43
3.2.1 Hạ tầng khoá công khai với HCĐT ..................................................... 43
3.2.2 Quy trình cấp phát hộ chiếu điện tử .................................................... 48
3.2.3 Quy trình xác thực hộ chiếu điện tử .................................................... 49
1) Kiểm tra an ninh.......................................................................................... 50
2) Basic Access Control .................................................................................. 50
3) Đọc vùng dữ liệu DG1 ................................................................................ 53
4) Chip Authentication .................................................................................... 53
5) Passive Authentication ................................................................................ 54
6) Terminal Authentication ............................................................................. 55
7) Đối chiếu đặc trƣng sinh trắc ....................................................................... 56
3.3 Đánh giá quy trình.............................................................................62
Chƣơng 4. THỬ NGHIỆM......................................................................63
4.1 Mở đầu ..............................................................................................63
4.2 Thử nghiệm hệ thống ........................................................................63
4.2.1 Hệ thống quản lý chứng chỉ số ............................................................ 63
4.2.2 Chƣơng trình ký .................................................................................. 73
4.3 Kết luận.............................................................................................78
KẾT LUẬN CHUNG ...................................................................................79
TÀI LIỆU THAM KHẢO ............................................................................80
 --- 1 ---

CÁC KÝ HIỆU VIẾT TẮT

BAC Basic Access Control

CRL Certificate Revocation List

CA Certificate Authority

CSCA Country Signing Certification Authority

CVCA Country Verifying Certification Authority

DG Data Group

DS Document Signer

DV Document Verifier

EAC Advanced Access Control

HCĐT Hộ chiếu điện tử

ICAO International Civil Aviation Orgnization

IS Inspection System

ISO International Organization for Standardization

MRZ Machine Readable Zone

LDS Logical Data Structure

SHA Secure Hash Algorithm

RFIC Radio Frequency Integrated

RFID Radio Frequency Identification

PKI Public Key Infrastructure

 --- 2 ---

MỞ ĐẦU
Hiện nay trên thế giới đã có rất nhiều quốc gia sử dụng hộ chiếu điện tử thay thế
cho hộ chiếu thông thƣờng để đảm bảo an toàn, an ninh thông tin của ngƣời sử dụng,
giảm thiểu nguy cơ bị làm giả hộ chiếu, nâng cao hiệu quả, chất lƣợng quy trình cấp
phát/kiểm soát hộ chiếu… Nhìn chung, hộ chiếu điện tử có thể đƣợc xem nhƣ thành quả
của việc tích hợp công nghệ định danh qua tần số vô tuyến (Radio Frequency
Identification - RFID), công nghệ xác thực ngƣời dùng dựa trên các đặc trƣng sinh trắc
của ngƣời dùng nhƣ ảnh khuôn mặt, dấu vân tay, mống mắt… với những chuẩn cơ bản
của hộ chiếu thông thƣờng.
Việt Nam đang trên đƣờng hội nhập toàn diện với thế giới, đặc biệt là từ khi tham
gia tổ chức thƣơng mại quốc tế WTO, vấn đề giao lƣu, du lịch giữa công dân Việt Nam và
các nƣớc trên thế giới ngày càng đƣợc đẩy mạnh. Chính vì thế, vấn đề thay thế hộ chiếu
thông thƣờng bằng hộ chiếu điện tử tại Việt Nam là một việc vô cùng cấp thiết. Trƣớc
đây, Cục quản lý Xuất nhập cảnh của Bộ Công An đã từng dự kiến triển khai hộ chiếu
điện tử vào năm 2009, nhƣng cần thêm thời gian để hoàn thiện kỹ thuật và phối hợp đồng
bộ giữa các ngành. Ngày 24/02/2010, Thủ tƣớng Chính Phủ đã phê duyệt đề án quốc gia
“Sản xuất và phát hành hộ chiếu điện tử Việt Nam” và nêu rõ, bắt đầu từ năm 2011 sẽ
phát hành hộ chiếu điện tử cho công dân Việt Nam, mục tiêu đến năm 2015 là 100% hộ
chiếu cấp cho công dân Việt Nam là hộ chiếu điện tử. Với tình hình thực tế đó, luận văn
này tập trung vào việc nghiên cứu và phát triển quy trình xác thực hộ chiếu điện tử tại
Việt Nam dựa trên những kiến thức từ những mô hình đã triển khai tại nhiều nƣớc trên thế
giới. Quy trình đề xuất có sử dụng cơ chế kiểm soát truy cập mở rộng EAC (Extended
Access Control) và các cơ chế bảo mật thông tin của Tổ chức hàng không dân dụng quốc
tế ICAO (International Civil Aviation Orgnization) khuyến cáo nhằm mục đích tăng
cƣờng bảo mật các dữ liệu sinh trắc học của ngƣời sở hữu hộ chiếu nhƣ dấu vân tay,
mống mắt…
Với mục tiêu đó, những kết quả nghiên cứu, xây dựng đƣợc trong khuôn khổ luận
văn này đƣợc tổng trình bày trong bốn chƣơng sau:
- Chƣơng 1. Tổng quan về hộ chiếu điện tử: Trình bày những khái niệm cơ
bản liên quan đến hộ chiếu điện tử nhƣ công nghệ RFID (Radio Frequency
IDentification), các chuẩn ISO 14443, cấu trúc và cách tổ chức dữ liệu của chip
RFID đƣợc lƣu trong hộ chiếu điện tử.
- Chƣơng 2. Hạ tầng khóa công khai PKI: Đề cập đến những kiến thức lý
thuyết quan trọng trong quy trình xác thực hộ chiếu điện tử, đó là những vấn đề
 --- 3 ---

liên quan đến hạ tầng khóa công khai PKI (Public Key Infrastructure) nhƣ
chứng chỉ số, chữ ký điện tử, các thành phần của PKI, chức năng và các mô
hình PKI cơ bản…
- Chƣơng 3. Quy trình xác thực hộ chiếu điện tử: Trình bày các bƣớc trong
quy trình xác thực hộ chiếu điện tử mà chúng tôi đề xuất sử dụng tại Việt Nam
với việc xác thực ba đặc trƣng sinh trắc của ngƣời sở hữu hộ chiếu dựa trên ảnh
khuôn mặt, ảnh vân tay và ảnh mống mắt.
- Chƣơng 4. Thực nghiệm: Nêu lên những kết quả thử nghiệm quy trình cấp
phát, quản lý chứng chỉ số phục vụ quy trình xác thực hộ chiếu điện tử. Ngoài
ra, những thực nghiệm về việc ký cũng nhƣ kiểm tra xác thực thông tin đƣợc
lƣu trên hộ chiếu cũng sẽ đƣợc trình bày trong chƣơng này.
Phần kết luận chung sẽ tổng hợp lại những đóng góp chính của luận văn cũng nhƣ
những hƣớng phát triển kế tiếp sau này.
 --- 4 ---

CHƢƠNG 1. TỔNG QUAN VỀ HỘ CHIẾU ĐIỆN TỬ

1.1 Một số khái niệm cơ bản
1.1.1 Công nghệ RFID
RFID (Radio Frequency IDentification) là công nghệ nhận dạng đối tƣợng bằng
sóng vô tuyến. Công nghệ này cho phép nhận biết các đối tƣợng thông qua hệ thống thu
phát sóng radio, từ đó có thể giám sát, quản lý hoặc lƣu vết từng đối tƣợng.
RFID là kỹ thuật kết hợp nhiều lĩnh vực, công nghệ khác nhau nhƣ lý thuyết mạch,
lý thuyết ăngten, truyền sóng radio, kỹ thuật vi sóng, thiết kế bộ thu, thiết kế mạch tích
hợp, mã hoá, công nghệ vật liệu, thiết kế máy và các lĩnh vực liên quan khác… Hệ thống
RFID thƣờng đƣợc mô tả là một bộ thiết bị, một phía là thiết bị đơn giản, phía còn lại là
thiết bị phức tạp hơn. Thiết bị đơn giản (gọi là thẻ hoặc bộ tiếp sóng) thƣờng nhỏ gọn và
rẻ, đƣợc sản xuất với số lƣợng lớn và đính vào các đối tƣợng cần quản lý, điều hành tự
động. Thiết bị phức tạp (gọi là đầu đọc) có nhiều tính năng hơn và thƣờng kết nối với máy
tính hoặc mạng máy tính. Tần số vô tuyến sử dụng trong khoảng từ 100 kHz đến 10 GHz.
Công nghệ RFID đƣợc ứng dụng rộng rãi trong nhiều lĩnh vực của đời sống xã hội
nhƣ quản lý đối tƣợng, quản lý nhân sự, quản lý hàng hóa bán lẻ trong siêu thị, quản lý xe
cộ qua trạm thu phí, chống trộm ô tô hay điện thoại di động, các hệ thống cửa tự động,
theo dõi sách trong thƣ viện, các ứng dụng an ninh lãnh thổ nhƣ phát hiện vƣợt biên, làm
thẻ hộ chiếu...
Hiện nay, Việt Nam đã và đang từng bƣớc ứng dụng các tiện ích của công nghệ
RFID. Điển hình nhƣ công ty TECHPRO Việt Nam, hợp tác cùng hãng IDTECK - Korea
trong chấm công điện tử, kiểm soát thang máy. Trung tâm Công nghệ cao thuộc Viện điện
tử - tin học - tự động hóa, đang nghiên cứu thiết kế và xây dựng hệ phần mềm cho các hệ
thống quản lý tự động bằng thẻ RFID để ứng dụng trong việc thu phí cầu đƣờng. Mới đây
nhất, tại siêu thị BigC Thăng Long, thẻ RFID đã đƣợc sử dụng trong quản lý xe máy. Tại
TP Hồ Chí Minh, công nghệ RFID cũng đang đƣợc triển khai ứng dụng trong trạm thu phí
xa lộ Hà Nội và hệ thống kiểm soát bãi đỗ xe tự động tại hầm đậu xa tòa nhà The
Manor…[21].
 --- 5 ---

Hình 1. Mô tả hệ thống RFID.

Thông thƣờng, một hệ thống RFID bao gồm thẻ RFID, đầu đọc RFID và một máy
tính chủ lƣu trữ dữ liệu.
 Thẻ RFID
Thẻ RFID có kích thƣớc nhỏ và có thể dùng để gắn vào sản phẩm, ngƣời hay động
vật. Thẻ thƣờng bao gồm một bộ vi xử lý (chip silicon) để lƣu trữ, tính toán và một ăngten
dùng cho truyền thông. Bộ nhớ của thẻ có thể là chỉ đọc, ghi một lần-đọc nhiều lần hoặc
có khả năng đọc ghi hoàn toàn [17].

Hình 2. Mạch tích hợp phi tiếp xúc.

Phân loại thẻ RFID:
 Thẻ chủ động: là thẻ có nguồn năng lƣợng. Ƣu điểm của loại thẻ này là khả
năng liên lạc từ khoảng cách xa do nó có thể nhận biết tín hiệu rất yếu đến từ
 --- 6 ---

đầu đọc. Nhƣợc điểm là giới hạn về thời gian sử dụng (khoảng 5 năm). Hơn
nữa, thẻ chủ động có giá thành cao, kích thƣớc lớn và cần chi phí bảo trì nhƣ
thay pin theo định kỳ.
 Thẻ thụ động: loại thẻ này không có nguồn năng lƣợng, năng lƣợng cung
cấp bởi đầu đọc thông qua ăng ten. Nhƣợc điểm chính của loại thẻ này là làm
việc trong khoảng cách gần (chỉ khoảng vài feet). Tuy nhiên, ƣu điểm của nó
là không cần nguồn nuôi, thời gian sử dụng lên đến 20 năm, giá thành rẻ và
kích thƣớc nhỏ.
 Thẻ bán thụ động: Giống nhƣ thẻ thụ động, thẻ bán thụ động phản hồi
(không phải truyền) năng lƣợng sóng vô tuyến ngƣợc lại đầu đọc. Tuy nhiên,
chúng cũng có nguồn nuôi các mạch tích hợp trong thẻ. Loại này kết hợp ƣu
điểm và hạn chế đƣợc một số nhƣợc điểm của hai loại trên.
Ngoài cách phân chia nhƣ trên, ngƣời ta cũng phân loại thẻ theo khả năng đọc ghi bộ
nhớ của thẻ. Theo cách tiếp cận này, thẻ chia thành một số loại nhƣ chỉ đọc, ghi một lần-
chỉ đọc, đọc/ghi, đọc/ghi tích hợp bộ cảm biến và đọc/ghi tích hợp bộ phát [17].
 Đầu đọc thẻ RFID
Là thiết bị dùng để truy xuất thông tin từ thẻ RFID. Đầu đọc có một ăngten phát
sóng vô tuyến, khi thẻ đi vào vùng phủ sóng của đầu đọc, nó sẽ thu năng lƣợng từ sóng vô
tuyến này và kích hoạt thẻ. Với các ứng dụng làm việc trong khoảng gần nhƣ điều khiển
truy cập, ăngten đƣợc tích hợp trong đầu đọc, nhƣng với các ứng dụng làm việc tầm xa,
ăngten thƣờng nằm độc lập và kết nối với đầu đọc bằng cáp đồng có trở kháng đƣợc bảo
vệ. Bộ đọc giãi mã dữ liệu đã đƣợc mã hóa từ mạch tích hợp (chip silicon) của thẻ, dữ liệu
đƣợc đƣa vào máy chủ và đƣợc xử lý bởi phần mềm thích hợp.
 Tần số làm việc
Thẻ RFID chủ yếu hoạt động trong bốn tần số chính sau.
- Low-frequency (LF): băng tần từ 125 KHz - 134 KHz. Thẻ hoạt động trong dải
băng tần này phù hợp với phạm vi ngắn nhƣ hệ thống chống trộm, nhận dạng
động vật hay hệ thống khóa tự động.
- High-frequency (HF): băng tần 13,56 MHz. Tần số này có độ chính xác cao
hơn với phạm vi 3 feet (  1m), vì thế giảm thiểu rủi ro đọc sai thẻ. Các thẻ hoạt
động ở tần số HF đƣợc dùng trong việc theo dõi vật liệu trong các thƣ viện và
kiểm soát hiệu sách, theo dõi hành lý vận chuyện bằng máy bay… Loại thẻ
hoạt động trong hai dải tần số LF và HF sử dụng bộ đôi cảm ứng giữa hai cuộn
 --- 7 ---

dây xoắn (ăngten) của thẻ và đầu đọc để cung cấp năng lƣợng và gửi thông tin.
Các cuộn dây này thực sự là các mạch LC tuned, khi đặt đúng tần số thì chúng
cực đại hóa việc truyền năng lƣợng.
- Ultrahigh-frequency (UHF): băng tần 900 MHz. Trong tần số này các thẻ có
thể hoạt động ở phạm vi từ 3 đến 15 feet. Tuy nhiên, trong tần số này, các thẻ
dễ bị ảnh hƣởng bởi các yếu tố môi trƣờng hơn ở các tần số khác. Băng tần 900
MHz phù hợp hơn cho các ứng dụng dây chuyền nhƣ kiểm tra pallet và
container, xe chở hàng và các toa trong vận chuyển tàu biển…
- Microware-frequency (MF): băng tần 2,45 GHz và 5,8 GHz. Thẻ hoạt động
trong tần số này có thể đọc đƣợc ở phạm vi hơn 10m [17].
1.1.2 Chuẩn ISO 14443
ISO (International Organization for Standardization) và IEC (International
Electrotechnical Commission) tạo thành hội đồng quốc tế tiêu chuẩn hóa kỹ thuật toàn
cầu. Các tổ chức quốc gia thành viên của ISO hoặc IEC tham gia trong việc phát triển các
chuẩn quốc tế thông qua các ủy ban kỹ thuật đƣợc thành lập để giải quyết các vấn đề đặc
thù của hoạt động kỹ thuật.
Các chuẩn trong đặc tả của ISO hoặc IEC đảm bảo sự tƣơng tác lẫn nhau giữa các
thành phần đƣợc sản xuất bởi các nhà sản xuất khác nhau. Nếu không có các chuẩn do
ISO/IEC đặt ra, mỗi nhà sản xuất sẽ tự thiết kế các sản phẩm của họ theo đặc tả riêng và
gây ra vấn đề không tƣơng thích khi kết nối các sản phẩm đó lại với nhau.
Chuẩn ISO/IEC 14443 (viết tắt là ISO 14443) là một chuẩn quốc tế gồm 4 phần, đặc
tả thẻ thông minh phi tiếp xúc (contactless smart cards) hoạt động ở tần số 13.56MHz
trong phạm vi gần với một angten. Chuẩn ISO này bao gồm chuẩn giao tiếp và giao thức
truyền thông tin giữa thẻ và đầu đọc. Chuẩn ISO 14443 không chỉ định hệ điều hành trong
thẻ và đầu đọc, đƣợc hỗ trợ bởi hầu hết các nhà sản xuất thẻ thông minh phi tiếp xúc.
ISO 14443 gồm 4 phần: Đặc tả phần cứng; Năng lƣợng tần số vô tuyến và giao diện
tín hiệu; Khởi tạo và chống xung đột; Giao thức truyền dữ liệu.
 ISO 14443-1
Phần 1 của chuẩn ISO 14443 là đặc tả phần cứng, đƣợc đƣa ra vào ngày 15/04/2000,
xác định các đặc điểm vật lý của thẻ tiếp xúc (PICC - Proximity Card). Chuẩn này định
nghĩa:
- Kích thƣớc của thẻ (tham khảo thêm trong chuẩn ISO 7810).
 --- 8 ---

- Chất lƣợng in ấn trên bề mặt thẻ.

- Sức cản cơ học.
- Sức cản tia UV và tia X.
- Mật độ từ tính bao quanh.
ISO 14443-1 cũng liệt kê ra một số yêu cầu về môi trƣờng để thẻ tránh bị phá hủy.
- Độ sáng của tia cực tím UV và tia X.
- Các yêu cầu về độ uốn, độ xoắn.
- Dải từ tính và điện xoay chiều.
- Dải từ tính và tĩnh điện.
Những yêu cầu về môi trƣờng này phụ thuộc và quá trình sản xuất thẻ và trong thiết
kế angten. Trong phần này cũng nêu rõ khoảng nhiệt độ cho phép thẻ hoạt động từ 00C
đến 500C [6].
 ISO 14443-2
Phần 2 của chuẩn ISO 14443 là năng lƣợng tần số vô tuyến và giao diện tín hiệu,
đƣợc đƣa ra vào ngày 07/01/2001. Phần này mô tả các đặc tính truyền và giao tiếp năng
lƣợng giữa đầu đọc và thẻ. Năng lƣợng gửi tới thẻ sử dụng dải tần số 13.56MHz +/-
7kHz.
Có hai loại giao tiếp truyền tín hiệu khác nhau đƣợc miêu tả (biến đổi và mã hóa bit)
tƣơng ứng là Type A và Type B. Sự điều chỉnh giao thức bit đƣợc xác định và tốc độ
truyền tải dữ liệu mặc định đƣợc xác định ở 106 kBaud. Cả hai cơ chế giao tiếp đều là bán
song công (half duplex) với tốc độ truyền dữ liệu mặc định cả 2 chiều là 106 kbit/s. Dữ
liệu đƣợc truyền từ thẻ đến đầu đọc theo phƣơng pháp điều biến với tần số sóng mang là
847,5kHz. Thẻ đƣợc trƣờng tần số sóng radio cấp năng lƣợng và không yêu cầu phải có
pin.
Sự khác nhau giữa Type A và Type B gồm sự biến đổi từ trƣờng dùng cho việc kết
nối, định dạng mã hóa bit, byte và phƣơng pháp chống xung đột.
Type A dùng phƣơng thức đọc dữ liệu đƣợc mã hóa sao cho thời gian trễ là nhỏ nhất
trong quá trình truyền. Trong suốt thời gian trễ, không có năng lƣợng nào đƣợc truyền tới
thẻ. Điều này bắt buộc phải có những yêu cầu đặc biệt cho bộ vi xử lý trong thẻ. Type A
sử dụng mã hóa biến đổi bit Miller. Trong khi đó, Type B sử dụng phƣơng pháp đọc dữ
liệu đƣợc mã hóa với duy nhất sự giảm sút nhỏ của biên độ thƣờng, cho phép cả thẻ và
 --- 9 ---

đầu đọc duy trì năng lƣợng trong suốt quá trình trao đổi. Đây là thế mạnh chính so với
Type A. Type B sử dụng mã hóa bit NRZ.
Để thẻ và đầu đọc trao đổi đƣợc với nhau, Type A sử dụng kỹ thuật mã hóa bit OOK
Manchester, Type B sử dụng mã hóa bit BPSK [7].
 ISO 14443-3
Phần 3 của chuẩn ISO 14443 là khởi tạo và chống xung đột. Chuẩn này mô tả:
- Cơ chế thăm dò (Polling) đối với các thẻ đi vào từ trƣờng của đầu đọc.
- Định dạng byte, cấu trúc lệnh và khe thời gian.
- Câu lệnh yêu cầu (REQ) và trả lời yêu cầu (ATQ).
- Phƣơng pháp chống xung đột để phát hiện và giao tiếp với một thẻ cụ thể khi
có một vài thẻ cùng ở trong phạm vi của đầu đọc. Phƣơng pháp phát hiện xung
đột này dựa trên số ID duy nhất của mỗi thẻ, tuy nhiên, phƣơng pháp này là
khác nhau đối với Type A và Type B.
o Type A: Sử dụng phƣơng pháp Binary tree để phát hiện ra ID của thẻ.
o Type B: Sử dụng phƣơng pháp Slotted Aloha với những bộ đánh dấu
khe đặc biệt.
Cơ chế khởi tạo và chống xung đột đƣợc thiết kế cho phép xây dựng các đầu đọc có
khả năng giao tiếp đồng thời với nhiều thẻ cùng loại. Các thẻ này sẽ cùng đợi trong
trƣờng chờ lệnh Polling. Một đầu đọc đa giao thức có thể Polling một loại, hoàn thành
giao dịch với thẻ phản hồi và sau đó Polling cho loại khác, đồng thời giao dịch với các cái
khác [8].
 ISO14443-4
Phần 4 của chuẩn ISO 14443 là giao thức truyền dữ liệu. Đây là phần đặc tả giao
thức truyền khối bán song công (half-duplex), xác định những vấn đề cho môi trƣờng phi
tiếp xúc, định nghĩa việc truyền dữ liệu trong suốt và độc lập với các lớp bên dƣới.
Phần này định nghĩa một giao thức truyền dữ liệu mức cao cho Type A và Type B.
Giao thức đƣợc miêu tả trong phần 4 là một tùy chọn cho chuẩn ISO 14443, các thẻ cảm
ứng có thể đƣợc thiết kế hỗ trợ hoặc không hỗ trợ giao thức này.
Phần này giải quyết phần lớn quy ƣớc thống nhất băng thông giữa thẻ và đầu đọc,
định dạng khối đóng gói dữ liệu, chuỗi (chia nhỏ một khối lớn ra thành nhiều khối nhỏ
hơn) và xử lý lỗi.
 --- 10 ---

Nội dung cụ thể của các phần ISO14443 đƣợc miêu tả trong các tài liệu [6,7,8,9].
1.1.3 Hộ chiếu điện tử
Nhƣ chúng ta đã biết, hộ chiếu là một loại giấy tờ tuỳ thân dùng để nhận dạng cá
nhân và quốc tịch của công dân sở hữu hộ chiếu. Thông thƣờng, hộ chiếu chứa các thông
tin cơ bản nhƣ ảnh khuôn mặt, họ tên, ngày tháng năm sinh, giới tính, quê quán, quốc
tịch, số chứng minh nhân dân, ngày cấp, cơ quan cấp, các thông tin về cơ quan cấp hộ
chiếu, ngày cấp, thời hạn có giá trị...
Với sự ra đời của thẻ thông minh phi tiếp xúc sử dụng công nghệ RFID, những
thông tin cá nhân thể hiện trong một hộ chiếu của công dân hoàn toàn có thể đƣợc lƣu trữ
trên thẻ thông minh phi tiếp xúc. Việc lƣu trữ những thông tin cá nhân của hộ chiếu trong
thẻ thông minh phi tiếp xúc sẽ cho phép nâng cao hiệu quả của quy trình cấp phát, kiểm
duyệt hộ chiếu thông qua các hệ thống xác thực tự động. Với cách tiếp cận này, hiện nay
trên thế giới đã và đang triển khai mô hình hộ chiếu mới, đó là hộ chiếu điện tử (HCĐT).
Hộ chiếu điện tử, hay còn gọi là hộ chiếu sinh trắc là hộ chiếu thông thƣờng kết hợp cùng
thẻ thông minh phi tiếp xúc dùng để lƣu trữ những thông tin cá nhân, trong đó có cả
những dữ liệu sinh trắc của ngƣời dùng. Thẻ thông minh phi tiếp xúc đƣợc nhúng vào bên
trong thân hộ chiếu, và toàn bộ dữ liệu sinh trắc lƣu trong thẻ sẽ đƣợc mã hóa, đƣợc bảo
đảm tính nguyên vẹn thông qua những chuẩn đặc biệt liên quan [1].
Hộ chiếu truyền thống đã sử dụng một số kỹ thuật bảo vệ để tăng tính an toàn, bảo
mật hộ chiếu nhƣ thuỷ ấn (watermarking), các vùng quang học chỉ ghi đƣợc bằng các máy
in chuyên dụng đƣợc tạo ra khi sản xuất phôi hộ chiếu… Tuy nhiên, việc làm giả hộ chiếu
vẫn còn xuất hiện với những kỹ thuật truyền thống nhƣ vậy. Với việc tích hợp sử dụng
công nghệ RFID cùng những phƣơng pháp bảo đảm an toàn an ninh thông tin, hộ chiếu
điện tử sẽ cho phép nâng cao chất lƣợng bảo mật cũng nhƣ an toàn thông tin hộ chiếu,
chống đƣợc sự giả mạo sản xuất hộ chiếu [2].
Hiện nay trên thế giới đã và đang có nhiều nƣớc triển khai mô hình hộ chiếu điện tử
nhƣ Anh, Pháp, Mỹ, Đức... Việt Nam đang trên đƣờng hội nhập và phát triển toàn diện
với thế giới, nhất là khi đã tham gia tổ chức thƣơng mại quốc tế WTO. Vấn đề kiểm soát
một cách có hiệu quả việc xuất nhập cảnh của công dân, không chỉ đối với công dân Việt
Nam mà còn đối với những công dân nƣớc ngoài đang trở thành vấn đề quan trọng đối
với an ninh quốc gia. Chính vì vậy, việc nghiên cứu công nghệ, xây dựng một mô hình
bảo mật và quy trình xác thực hộ chiếu điện tử ở Việt Nam đang đƣợc đặt ra. Một trong
những chỉ tiêu đƣợc đặt ra trong dự thảo Quyết định của Thủ tƣớng Chính phủ Phê duyệt
Chƣơng trình Quốc Gia về Ứng dụng Công Nghệ Thông Tin đƣợc Bộ Thông tin và
 --- 11 ---

Truyền thông xin ý kiến nhân dân từ ngày 16/10/2009 đến 16/12/2009 là đến năm 2015,
100% hộ chiếu đƣợc cấp cho công dân Việt Nam phục vụ công tác xuất, nhập cảnh là hộ
chiếu điện tử [22].

1.2 Cấu trúc và tổ chức hộ chiếu điện tử

1.2.1 Cấu trúc hộ chiếu điện tử

Hình 3. Mô hình chung của HCĐT [14].

Tƣơng tự hộ chiếu truyền thống, HCĐT giống nhƣ một cuốn sách nhỏ (booklet),
gồm bìa của booklet và ít nhất tám trang dữ liệu, trong đó có một trang chứa dữ liệu cá
nhân của ngƣời sở hữu hộ chiếu và ngày hiệu lực. Điểm khác biệt giữa HCĐT và hộ chiếu
truyền thống là ở chỗ HCĐT có thêm một biểu tƣợng riêng phía ngoài bìa, một mạch tích
hợp phi tiếp xúc RFIC (Radio Frequency Integrated) đƣợc gắn vào hộ chiếu và phần
MRZ phía cuối trang dữ liệu. Mạch RFIC có thể đƣợc đặt trong trang dữ liệu hoặc có thể
đặt ở một trang khác.

Hình 4. Biểu tƣợng hộ chiếu điện tử.

 MRZ
MRZ (Machine Readable Zone) là hai dòng dữ liệu liên tục đƣợc thiết kế để đọc
đƣợc bằng máy đọc quang học ở phía cuối trang dữ liệu. Mỗi dòng đều phải có
 --- 12 ---

44 ký tự và đƣợc sắp xếp theo phông OCR-B in hoa gồm bốn thông tin quan
trọng:
 Họ tên: Xuất hiện ở dòng đầu tiên từ ký tự thứ 6 đến ký tự thứ 44.
 Số hộ chiếu: Xuất hiện ở 9 ký tự đầu tiên của dòng thứ 2.
 Ngày tháng năm sinh: Xuất hiện từ ký tự thứ 14 đến 19 của dòng thứ 2
theo định dạng YYMMDD.
 Ngày hết hạn: Xuất hiện từ ký tự 22 đến 29 của dòng thứ 2 theo định
dạng YYMMDD.

Hình 5. Mô tả MRZ [3].

 Mạch tích hợp tần số radio RFIC

Hình 6. Mạch tích hợp RFIC.

Mạch tích hợp RFIC gồm một chip tuân theo chuẩn ISO/IEC 14443 và một
ăngten vòng không những dùng để kết nối mà còn dùng để nhận biết tín hiệu từ
đầu đọc. Điều này giải thích vì sao HCĐT không có nguồn điện trong, năng
lƣợng hoạt động cho chip đƣợc thu nhận qua ăngten.
 --- 13 ---

Mạch RFIC có thể đƣợc gắn vào một trong các vị trí khác nhau trong booklet,
thông thƣờng là giữa phần bìa và phần trang dữ liệu. Trong quá trình gắn, cần
phải đảm bảo rằng chip không bị ăn mòn và không bị rời ra khỏi booklet.

Hình 7. Cấu trúc chip phi tiếp xúc.

Hình 8. Hộ chiếu điện tử ở Mỹ.

1.2.2 Tổ chức dữ liệu logic

Việc chuẩn hóa tổ chức dữ liệu logic (Logical Data Structure - LDS) trong HCĐT
đƣợc Tổ chức hàng không dân dụng quốc tế ICAO khuyến nghị để có đƣợc sự thống nhất
giữa các thành phần dữ liệu trong HCĐT trên phạm vi toàn cầu và phân thành phần dữ
 --- 14 ---

liệu thành các nhóm logic. Trong HCĐT, ngoài các thành phần dữ liệu bắt buộc còn có
các thành phần dữ liệu tùy chọn.
Các thành phần dữ liệu lƣu trong HCĐT đƣợc mô tả nhƣ trong hình 9 dƣới đây.

Hình 9. Các thành phần dữ liệu trong LDS [12].

 --- 15 ---

Trong quá trình tổ chức dữ liệu logic, cần phải thõa mãn các yêu cầu sau [12]:
 Đảm bảo hiệu quả và tạo các điều kiện thuận lợi cho ngƣời sở hữu HCĐT hợp
pháp.
 Đảm bảo sự an toàn cho các thông tin đã lƣu khi mở rộng dung lƣợng lƣu trữ
của chip.
 Cho phép tƣơng tác toàn cầu đối với dung lƣợng dữ liệu mở rộng dựa trên cấu
trúc dữ liệu logic của HCĐT.
 Xác định các thông tin tùy chọn mở rộng theo nhu cầu của tổ chức hoặc chính
phủ cấp hộ chiếu.
 Cung cấp dung lƣợng mở rộng khi ngƣời dùng yêu cầu.
 Hỗ trợ đa dạng các tùy chọn bảo vệ dữ liệu.
 Hỗ trợ cho các tổ chức và chính phủ cập nhật thông tin vào HCĐT.
 Tận dụng các chuẩn quốc tế hiện có….
Cùng với tổ chức dữ liệu logic, việc phân loại logic các thành phần dữ liệu có liên
quan cũng đã đƣợc thiết lập. Và để thuận lợi cho việc đọc, ghi và kiểm tra thông tin trên
phạm vi toàn cầu, các thành phần dữ liệu đƣợc tổ chức thành các nhóm dữ liệu. Mỗi
nhóm dữ liệu đƣợc gán với một số tham chiếu. Với các phiên bản HCĐT hiện tại, LDS
chia các thành phần dữ liệu thành 16 nhóm, đƣợc đánh số từ DG1 đến DG16. Trong
tƣơng lai, LDS sẽ có thêm ba nhóm dữ liệu mới là DG17, DG18 và DG19. Các nhóm dữ
liệu đều đƣợc mã hóa để đảm bảo tính xác thực và toàn vẹn thông tin.
 --- 16 ---

Hình 10. Tổ chức dữ liệu HCĐT theo nhóm [12].

 --- 17 ---

Các nhóm dữ liệu bắt buộc và tùy chọn đƣợc mô tả trong hình 11 sau:

Hình 11. Mô tả các nhóm dữ liệu [12].

 --- 18 ---

Trong 16 nhóm dữ liệu của LDS, 2 nhóm dữ liệu đầu tiên DG1 và DG2 là bắt buộc,
còn 14 nhóm dữ liệu sau là tùy chọn:
 DG1: Nhóm dữ liệu chứa thông tin giống với thông tin lƣu trong MRZ.
 DG2: Nhóm dữ liệu lƣu trữ ảnh khuôn mặt đã mã hóa của ngƣời sở hữu hộ
chiếu. Ảnh này định dạng theo chuẩn JPEG hoặc JPEG2000. Kích thƣớc
ảnh khoảng từ 12 đến 20K (kilobytes). Đây là thông tin thống nhất trên toàn
cầu giúp cho việc kiểm tra định danh của ngƣời sử dụng với các thông tin
trong HCĐT.
 DG3: Nhóm dữ liệu lƣu trữ dấu vân tay của ngƣời sở hữu HCĐT đã mã hóa.
 DG4: Nhóm dữ liệu lƣu trữ mống mắt của ngƣời sở hữu HCĐT đã mã hóa.
Hai nhóm dữ liệu DG3 và DG4 là tùy chọn đối với mỗi quốc gia trong việc
đƣa vào chip RFID trong HCĐT để xác thực ngƣời dùng.
 DG5: Lƣu ảnh chân dung của ngƣời mang hộ chiếu. Định dạng ảnh là JPEG
hoặc JPEG2000.
 DG6: Nhóm dữ liệu dự phòng dùng trong tƣơng lai.
 DG7: Nhóm dữ liệu lƣu chữ ký của ngƣời mang hộ chiếu. Thông tin này
đƣợc lƣu dƣới dạng ảnh JPEG2000.
 DG8/9/10: Các nhóm dữ liệu mô tả thông tin về đặc tính dữ liệu, đặc tính
cấu trúc.
 DG11/12: Nhóm dữ liệu lƣu trữ các thông tin chi tiết thêm về ngƣời sở hữu
hộ chiếu ngoài các thông tin đã đƣợc lƣu ở DG1.
 DG13: Nhóm dữ liệu chứa thông tin riêng biệt do cơ quan cấp hộ chiếu thể
hiện.
 DG14: Nhóm dữ liệu dự phòng dùng cho tƣơng lai.
 DG15: Nhóm dữ liệu lƣu khóa công khai dùng cho quá trình xác thực chủ
động.
 DG16: Nhóm dữ liệu lƣu trữ thông tin về ngƣời khi cần có thể liên lạc.
Chi tiết về độ lớn trƣờng thông tin, bắt buộc hay tùy chọn, định dạng các thành phần
dữ liệu… của các nhóm dữ liệu tham khảo ở tài liệu ICAO Document 9303 [12].
 --- 19 ---

1.2.3 Lƣu trữ vật lý

Dữ liệu lƣu trữ trong thẻ RFID theo các tệp ứng với từng nhóm dữ liệu, các tệp này
là các tệp cơ bản có tên bắt đầu bằng „EF.‟. Ngoài ra còn có một số tệp đặc biệt nhƣ DF1
(tệp chứa thông tin khai báo), EF.SOD (tệp chứa thông tin phục vụ quá trình xác thực thụ
động - Passive Authentication). Trong mỗi tệp (hay nhóm dữ liệu), các trƣờng thông tin
phân tách nhau bởi các thẻ Tag đánh dấu bắt đầu và kết thúc giá trị của trƣờng thông tin
[12].

Hình 12. Tổ chức vật lý thông tin trong hộ chiếu điện tử [12].
Bốn nhóm thành phần dữ liệu bắt buộc:
 Phần thông tin MRZ (Machine Readable Zone) tƣơng ứng với nhóm dữ liệu
DG1.
 Nhóm dữ liệu DG2 lƣu ảnh khuôn mặt của ngƣời mang hộ chiếu.
 EF.COM, chứa thông tin phiên bản và danh sách các thẻ.
 EF.SOD, chứa thông tin phục vụ xác thực và toàn vẹn.
Khi thẻ phi tiếp xúc đi qua vùng giao tiếp của đầu đọc, quá trình đọc diễn ra theo
chuẩn ISO 14443.
Để kiểm tra sự toàn vẹn các nhóm thông tin, một số thông tin chữ ký đƣợc đƣa thêm
vào và ghi trong tệp cơ sở có tên EF.SOD.
Cách thức lƣu trữ các nhóm và thành phần dữ liệu theo mô hình thứ tự ngẫu nhiên.
 --- 20 ---

Cách thức lƣu trữ này phù hợp với kỹ thuật mở rộng dung lƣợng tuỳ chọn cho phép duy
trì các thành phần dữ liệu ngay cả khi nó đƣợc ghi vƣợt quá. Các thành phần dữ liệu có độ
dài không xác định đƣợc mã theo cặp giá trị length/value theo hệ thập lục phân.
Để định vị và giải mã các nhóm và thành phần dữ liệu lƣu trong các nhóm đã ghi bởi
cơ quan cấp hộ chiếu, đầu đọc dựa vào phần thông tin Header trong tệp EF.COM (hình
13). Việc xác định nhóm dữ liệu nào có trong chíp căn cứ vào thông tin Data Group
Presence Map chứa trong tệp EF.COM thông qua các thẻ TAG, mỗi thẻ chỉ định vị trí lƣu
trữ nhóm thông tin tƣơng ứng (hình 14).

Hình 13. Thông tin định vị nhóm dữ liệu lƣu trong chip.

Hình 14. Thông tin chỉ thị sự tồn tại của nhóm dữ liệu trong chip.
Với các thành phần dữ liệu trong mỗi nhóm (trƣờng thông tin), đầu đọc cũng nhận
diện sự tồn tại của chúng thông qua Data Element Presence Maps, và định vị trí lƣu trữ
dữ liệu thông qua các thẻ TAG [12].

Hình 15. Thông tin chỉ thị sự tồn tại thành phần dữ liệu trong một nhóm
 --- 21 ---

Hình 16. Thông tin xác định vị trí thành phần dữ liệu trong nhóm

1.3 Kết luận

Nhƣ vậy, chƣơng 1 đã tập trung tìm hiểu về một số khái niệm cơ bản nhƣ công nghệ
RFID, chuẩn ISO 14443 và các thành phần cơ bản cấu thành hộ chiếu điện tử. Dựa trên
những khái niệm cơ bản này, luận văn sẽ đi sâu tìm hiểu về mô hình xác thực hộ chiếu
điện tử. Tuy nhiên, trƣớc khi đi vào vấn đề chính của luận văn, chƣơng tiếp theo sẽ trình
bày về một số vấn đề liên quan đến chứng chỉ số và hạ tầng khóa công khai PKI. Đây là
một trong những nội dung quan trọng liên quan đến vấn đề xác thực hộ chiếu điện tử nói
riêng và xác thực thông tin nói chung.
 --- 22 ---

CHƢƠNG 2. HẠ TẦNG CƠ SỞ MẬT MÃ KHÓA CÔNG KHAI

Trong quá trình cấp phát và xác thực hộ chiếu điện tử, cần phải triển khai hạ tầng
khóa công khai PKI (Public Key Infrastructure) cho cả hộ chiếu điện tử và hệ thống kiểm
duyệt tại các điểm xuất nhập cảnh để đảm bảo dữ liệu lƣu trong hộ chiếu là xác thực và
toàn vẹn. Trƣớc khi đi vào tìm hiểu nội dung chính của luận văn, chƣơng 2 sẽ nêu rõ một
số khái niệm liên quan đến hạ tầng khóa công khai PKI và quá trình xác thực hộ chiếu
điện tử.

2.1 Chứng chỉ số

Hiện nay, mật mã khóa công khai đƣợc xem là giải pháp tốt nhất đảm bảo đƣợc các
yêu cầu về an toàn thông tin mạng nhƣ bảo mật, toàn vẹn, xác thực và chống chối bỏ.
Khác với hệ mật mã khóa đối xứng là chỉ sử dụng một khóa bí mật cho quá trình mã hóa
và giải mã, hệ mật mã khóa công khai lại sử dụng hai khóa khác nhau (khóa công
khai/khóa bí mật), trong đó khóa công khai đƣợc phân phối một cách tự do, còn khóa bí
mật đƣợc cất giữ cho quá trình mã hóa.
Cùng với sự phát triển của Internet thì nhu cầu trao đổi thông tin trên mạng ngày
càng cao. Mỗi cá nhân, tổ chức chức muốn đảm bảo an toàn cho thông tin của mình, trƣớc
khi trao đổi sẽ phải mã hóa thông tin bằng khóa bí mật, sau đó đƣa khóa công khai của
mình ra trao đổi. Có một vấn đề đặt ra, đó là làm thế nào để nhận biết đƣợc khóa công
khai thực sự thuộc về một cá nhân hay một tổ chức nào đó?
Chứng chỉ số (digital certificate) đƣợc tạo ra để giải quyết vấn đề này.
Khóa công khai đƣợc lƣu trữ trong một định dạng đặc biệt, đó chính là chứng chỉ số.
Chứng chỉ số là một file điện tử đƣợc sử dụng để nhận diện một thực thể, gắn khóa công
khai và các thuộc tính của thực thể vào nó. Thực thể có thể là một cá nhân, một tổ chức,
hay thiết bị phần cứng nhƣ máy tính, router hay một phần mềm xử lý. Chứng chỉ số đƣợc
tạo ra bởi nhà cung cấp chứng chỉ số (CA - Certificate Authority). CA phải đảm bảo về độ
tin cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số mà mình cấp.
Ngoài khóa công khai và các thuộc tính của thực thể, chứng chỉ số còn lƣu trữ chữ
ký số của CA. Đây chính là sự xác nhận của CA, bảo đảm về độ tin cậy, độ chính xác của
chứng chỉ số mà CA cung cấp. Cá nhân, tổ chức muốn kiểm tra một chứng chỉ số, trƣớc
hết phải kiểm tra chữ ký số của CA có hợp lệ hay không.
Một số loại chứng chỉ số thông dụng là:
 Chứng chỉ X.509.
 --- 23 ---

 Chứng chỉ khóa công khai đơn giản (Simple Public Key Certificates -
SPKC).
 Chứng chỉ Pretty Good Privacy (PGP).
 Chứng chỉ thuộc tính (Attribute Certificates - AC).
Những loại chứng chỉ này đều có cấu trúc định dạng riêng. Hiện nay chứng chỉ
X.509 đƣợc sử dụng rộng rãi trong hầu hết các hệ thống PKI.
2.1.1 Chứng chỉ khóa công khai X.509
Chứng chỉ khóa công khai X.509 v3 là định dạng chứng chỉ đƣợc sử dụng phổ biến
và đƣợc hầu hết các nhà cung cấp sản phẩm PKI triển khai. X.509 đƣợc Hội viễn thông
quốc tế (ITU) đƣa ra lần đầu tiên vào năm 1988 nhƣ là một bộ phận của dịch vụ thƣ mục
X.500.
Khuôn dạng chứng chỉ số X.509 đƣợc mô tả nhƣ trong hình sau.

Hình 17. Khuôn dạng chứng chỉ số X.509.

Định dạng chứng chỉ số X.509 bao gồm một số trƣờng cơ bản sau:
 Version number: Số phiên bản của chứng chỉ.
 Serial number: Là định danh duy nhất của chứng chỉ số do CA gán.
 --- 24 ---

 Signature: Chỉ ra thuật toán mà CA sử dụng để ký số chứng chỉ, thƣờng là

thuật toán RSA hoặc DSA.
 Issuer: Chỉ ra CA cấp và ký số chứng chỉ.
 Validity period: Chỉ ra khoảng thời gian mà chứng chỉ có hiệu lực, từ thời
điểm chứng chỉ bắt đầu có hiệu lực đến thời điểm chứng chỉ hết hạn.
 Subject: Xác định thực thể mà khóa công khai của thực thể này đƣợc xác
nhận. Tên của thực thể này là duy nhất.
 Subject public key Information: Chứa khóa công khai và những tham số
liên quan đến thực thể, xác định thuật toán đƣợc sử dụng cùng với khóa.
 Issuer unique identifier: Đây là trƣờng tùy chọn không bắt buộc, cho phép
sử dụng lại tên ngƣời cấp, ít đƣợc sử dụng trong thực tế.
 Subject unique identifier: Là trƣờng tùy chọn cho phép sử dụng lại tên của
thực thể khi quá hạn, ít đƣợc sử dụng.
 Extensions: Chỉ có trong chứng chỉ số v.3.
Tính toàn vẹn của chứng chỉ số đƣợc đảm bảo bằng chữ ký số của CA trên chứng
chỉ. Khóa công khai của CA đƣợc phân phối đến ngƣời sử dụng chứng chỉ theo một cơ
chế bảo mật trƣớc khi thực hiện các thao tác PKI. Ngƣời sử dụng kiểm tra hiệu lực của
chứng chỉ đƣợc cấp với chữ ký số và khóa công khai của CA.
 --- 25 ---

Hình 18. Chứng chỉ số X.509 v.3.

2.1.2 Thu hồi chứng chỉ

Trong một số trƣờng hợp nhƣ khóa riêng bị lộ, ngƣời sở hữu chứng chỉ số thay đổi
địa điểm, cơ quan… thì chứng chỉ số đã đƣợc cấp không còn hiệu lực. Do đó cần phải có
một cơ chế cho phép ngƣời sử dụng chứng chỉ kiểm tra đƣợc thời điểm chứng chỉ bị thu
hồi. Cơ chế thu hồi X.509 xác định là sử dụng danh sách chứng chỉ bị thu hồi (Certificate
Revocation Lists - CRLs).
CRL là một giải pháp đƣợc sử dụng để làm cơ chế thu hồi chứng chỉ số hết hạn. Đây
là một cấu trúc dữ liệu đƣợc ký nhƣ chứng chỉ ngƣời sử dụng. CRL chứa danh sách các
chứng chỉ bị thu hồi và những thông tin cần thiết khác của ngƣời sử dụng. Ngày thông
báo thu hồi chứng chỉ số đƣợc xác định trong header của CRL khi nó đƣợc công bố. Vị trí
của thông tin thu hồi có thể khác nhau tùy theo CA khác nhau. Bản thân chứng chỉ số có
thể chứa con trỏ đến vị trí của thông tin thu hồi. Do đó, ngƣời sử dụng có thể biết đƣợc
thƣ mục, kho lƣu trữ hay cơ chế để lấy thông tin thu hồi dựa trên những thông tin cấu
hình đƣợc thiết lập trong quá trình khởi tạo.
 --- 26 ---

Hình 19. Định dạng CRL.

Hình 19 nhƣ trên chỉ ra định dạng một danh sách các chứng chỉ bị thu hồi, trong đó:
 Version Number: Chỉ ra phiên bản của CRL.
 Signature: Nhận biết loại hàm băm và thuật toán ký đƣợc sử dụng để ký danh
sách thu hồi CRL.
 Issuer: Tên của thực thể cấp và ký CRL.
 This Update: Chỉ ra thời gian CRL đƣợc công bố.
 Next Update: Chỉ ra thời gian danh sách thu hồi kế tiếp đƣợc cấp.
 List of Revoked Certificates: Danh sách các chứng chỉ bị thu hồi (bao gồm số
serial, ngày thu hồi và lý do thu hồi).
 --- 27 ---

Hình 20. Danh sách chứng chỉ thu hồi.

2.2 Chữ ký điện tử

Cùng với sự phát triển của công nghệ thông tin và mạng Internet, nhu cầu trao đổi
thông tin qua mạng càng ngày càng đòi hỏi độ bảo mật cao, đảm bảo tính nguyên vẹn và
xác thực. Chính vì thế nhu cầu sử dụng chữ ký điện tử ngày càng đƣợc phổ biến rộng rãi.
Chữ ký điện tử (electronic signature) là thông tin đi kèm với dữ liệu (văn bản, hình
ảnh, âm thanh…) nhằm mục đích xác định ngƣời chủ của dữ liệu đó [19].
 --- 28 ---

Hình 21. Quá trình tạo chữ ký điện tử.

Hình 21 mô tả quá trình tạo chữ ký điện tử từ một thông điệp. Trƣớc tiên, chƣơng
trình sẽ tiến hành tạo giá trị băm của thông điệp bằng các thuật toán băm (nhƣ SHA,
SHA-1…). Sau đó sử dụng khóa bí mật của chủ thể và các thuật toán ký để tiến hành tạo
chữ ký điện tử. Cuối cùng, thông điệp gửi đi đã đƣợc ký chính là thông điệp gốc có gắn
kèm chữ ký điện tử vừa mới đƣợc tạo [19].
 --- 29 ---

Hình 22. Quá trình xác thực chữ ký điện tử.

Ngƣợc lại với quá trình tạo chữ ký điện tử là quá trình xác thực chữ ký. Đầu tiên,
cần phải tạo giá trị băm từ thông điệp gốc giống nhƣ quá trình tạo chữ ký. Giá trị băm này
sẽ đƣợc sử dụng để xác thực chữ ký điện tử, sử dụng khóa bí mật của chủ thể. Nếu giá trị
băm phù hợp với chữ ký điện tử thì kết luận chữ ký điện tử đó là hợp lệ.

2.3 Hạ tầng cơ sở mật mã khóa công khai

Với sự phát triển nhanh chóng của Internet và công nghệ thông tin nhƣ hiện nay,
ngày càng xuất hiện nhiều nguy cơ mất an toàn dữ liệu. Các thông tin truyền đều có thể bị
nghe trộm, bị làm giả, mạo danh… với các thủ đoạn ngày càng tinh vi.
Chính vì thế, để quy trình xác thực hộ chiếu điện tử đƣợc diễn ra một cách bảo mật
và an toàn, đảm bảo tính nguyên vẹn và xác thực của các thông tin cá nhân lƣu trong chip
RFID, hạ tầng cơ sở mật mã khóa công khai (Public Key Infrastructure - PKI) là một
trong những giải pháp tốt nhất cần đƣợc triển khai. Đây là một cơ chế để cho một bên thứ
ba (thƣờng là nhà cung cấp chứng chỉ số CA) cung cấp và xác thực định danh của các bên
tham gia vào quá trình trao đổi thông tin.
 --- 30 ---

2.3.1 Các thành phần của PKI

Thông thƣờng, một hệ thống PKI gồm 4 thành phần sau [18]:
 Certification Authorities (CA): Tổ chức chứng thực.
Trong hạ tầng khóa công khai PKI, chứng chỉ số có vai trò gắn kết giữa định danh
của thực thể với khóa công khai. Một CA là một thực thể trong PKI có trách nhiệm cấp
chứng chỉ số cho các thực thể khác trong hệ thống.
CA còn đƣợc gọi là bên thứ ba đƣợc tin tƣởng để cung cấp và xác thực định danh
của các bên tham gia vào quá trình trao đổi thông tin. Thông thƣờng, CA thực hiện chức
năng xác thực bằng cách cấp chứng chỉ số cho các CA khác và cho các thực thể cuối
trong hệ thống PKI. Nếu CA nằm ở đỉnh mô hình phân cấp PKI và chỉ cấp chứng chỉ cho
những CA ở mức thấp hơn thì CA này gọi là CA gốc (root).
 Registration Authorities (RA): Trung tâm đăng ký.
Mặc dù CA có thể thực hiện những chức năng đăng ký cần thiết, nhƣng đôi khi
lƣợng thực thể cuối trong PKI tăng lên và đƣợc phân tán khắp nơi về mặt địa lý thì việc
đăng ký tại một CA trung tâm rất khó khăn. Chính vì vậy việc đăng ký cần có các thực thể
độc lập thực hiện chức năng này, để giảm tải công việc cho CA, đó chính là RA. Chức
năng thực hiện của một RA sẽ khác nhau tùy theo từng hạ tầng PKI khác nhau nhƣng chủ
yếu bao gồm một số chức năng sau:
 Xác thực cá nhân chủ thể đăng ký chứng chỉ.
 Kiểm tra tính hợp lệ của thông tin cho chủ thể cung cấp.
 Xác định quyền của chủ thể đối với những thuộc tính chứng chỉ đƣợc yêu
cầu.
 Kiểm tra quyền sở hữu của chủ thể đối với khóa riêng đang đƣợc đăng ký.
 Tạo cặp khóa công khai/khóa bí mật.
 Lƣu trữ khóa riêng.
 Khởi tạo quá trình khôi phục khóa.
Chức năng của RA chỉ đƣa ra những khai báo tin cậy ban đầu về chủ thể. Chỉ có CA
mới có thể cấp chứng chỉ hay đƣa ra thông tin trạng thái thu hồi chứng chỉ nhƣ CRL.
 --- 31 ---

 Clients: Thực thể cuối.

Thực thể cuối trong PKI có thể là con ngƣời, thiết bị, thậm chí là một chƣơng trình
phần mềm nào đó, nhƣng thƣờng là ngƣời sử dụng hệ thống.
 Repository: Hệ thống lƣu trữ.
Chứng chỉ khóa công khai và thông tin thu hồi chứng chỉ cần phải đƣợc phân phối
sao cho những ngƣời cần đến chứng chỉ đều có thể truy cập và lấy đƣợc dễ dàng. Có 2
phƣơng pháp phân phối chứng chỉ và thông tin thu hồi chứng chỉ nhƣ sau:
 Phân phối cá nhân:
Đây là cách phân phối cơ bản nhất, mỗi cá nhân sẽ trực tiếp đƣa chứng chỉ
của họ cho ngƣời dùng khác. Việc này có thể thực hiện theo một số cơ chế
khác nhau nhƣ chuyển giao bằng tay chứng chỉ đƣợc lƣu trong đĩa mềm
hoặc trong một số môi trƣờng lƣu trữ khác. Với những ngƣời dùng ở xa thì
có thể trao đổi chứng chỉ cho nhau bằng cách đính kèm vào email để gửi
cho ngƣời khác.
Cách này có thể thực hiện tốt trong một nhóm ít ngƣời dùng nhƣng khi số
lƣợng ngƣời dùng tăng lên thì có thể xảy ra vấn đề về quản lý.
 Phân phối công khai:
Một phƣơng pháp khác để phân phối chứng chỉ và thông tin thu hồi chứng
chỉ là công bố các thông tin đó một cách rộng rãi, các chứng chỉ đƣợc sử
dụng một cách công khai và đƣợc đặt ở một số hệ thống lƣu trữ cơ sở dữ
liệu để có thể truy cập dễ dàng. Một số hệ thống lƣu trữ phổ biến là:
o X.500 Directory System Agents (DSAs).
o Lightweight Directory Access Protocol (LDAP) Server.
o Online Certificate Status Protocol (OCSP) Responders.
o Domain Name System (DNS) và Web Servers.
o File Transfer Protocol (FTP) Servers và Corporate Databases.
 --- 32 ---

2.3.2 Chức năng cơ bản của PKI

 Chứng thực (certification):
Đây là chức năng quan trọng nhất của PKI, là quá trình ràng buộc khóa công khai
với định danh của thực thể. Trong PKI, CA là thực thể thực hiện chức năng chứng thực.
Có hai phƣơng pháp chứng thực:
 Tổ chức chứng thực CA tạo ra cặp khóa công khai/khóa bí mật và tạo ra
phần chứng chỉ cho khóa công khai của cặp khóa.
 Ngƣời sử dụng tự tạo cặp khóa và đƣa khóa công khai cho CA để CA tạo
chứng chỉ cho khóa công khai đó. Chứng chỉ đảm bảo tính toàn vẹn của
khóa công khai và các thông tin gắn chúng.
 Thẩm tra (validation):
Đây là quá trình kiểm tra tính hiệu lực của chứng chỉ, xác định xem liệu chứng chỉ
đã đƣa ra có đƣợc sử dụng đúng mục đích hay không. Quá trình này bao gồm một số bƣớc
nhƣ sau:
 Kiểm tra chữ ký số của CA trên chứng chỉ để kiểm tra tính toàn vẹn.
 Xác định thời gian hiệu lực của chứng chỉ để xem chứng chỉ đã bị thu hồi
hay chƣa.
 Xác định xem chứng chỉ đang hoạt động có đƣợc sử dụng đúng mục đích
hay không.
Ngoài 2 chức năng cơ bản trên, PKI còn có một số chức năng khác nữa nhƣ đăng ký
chứng chỉ, tạo và khôi phục cặp khóa công khai/khóa bí mật, cập nhật khóa, thu hồi
chứng chỉ… [18].
2.3.3 Mô hình tin cậy cho PKI
Trong hạ tầng khóa công khai PKI, một thực thể cuối tin cậy một CA khi thực thể
cuối cho rằng CA sẽ thiết lập và duy trì sự gắn kết các thuộc tính của khóa công khai một
cách chính xác.
Có một số mô hình tin cậy có thể đƣợc áp dụng hoặc đƣợc đề xuất để sử dụng trong
hạ tầng khóa công khai PKI dựa trên chứng chỉ X.509 nhƣ sau:
 Mô hình CA đơn (Single Model).
 Mô hình CA phân cấp (Hierarchical Model).
 --- 33 ---

 Mô hình mắt lƣới (Mesh Model).

 Mô hình web (Web Model).
 Mô hình ngƣời sử dụng trung tâm (User Centric Model).
 Mô hình CA đơn
Đây là mô hình tổ chức CA cơ bản và đơn giản nhất. Trong mô hình này chỉ có một
CA xác nhận tất cả các thực thể cuối trong miền PKI. Mỗi ngƣời sử dụng nhận khóa công
khai của CA gốc theo một số cơ chế nào đó. Mô hình này chỉ có một điểm để tất cả ngƣời
sử dụng có thể kiểm tra trạng thái thu hồi của chứng chỉ đã đƣợc cấp. Mô hình này có thể
đƣợc mở rộng bằng cách thêm các RA ở xa CA nhƣng ở gần các nhóm ngƣời dùng cụ thể
hoặc nhóm thực thể cuối EE (End Entity).

Hình 23. Mô hình CA đơn [18].

Mô hình CA đơn là mô hình dễ triển khai và giảm tối thiểu đƣợc những vấn đề về
khả năng tƣơng tác. Tuy nhiên, mô hình này có một số nhƣợc điểm sau:
 Không thích hợp cho miền PKI lớn vì một số ngƣời sử dụng ở những miền
con có những yêu cầu khác nhau đối với ngƣời ở miền khác.
 Việc quản trị và số lƣợng công việc kỹ thuật của việc vận hành CA đơn sẽ
rất cao trong cộng đồng PKI lớn.
 Trong mô hình chỉ có một CA sẽ gây ra thiếu khả năng hoạt động và CA
này có thể sẽ trở thành mục tiêu tấn công.
 --- 34 ---

 Mô hình CA phân cấp

Mô hình CA phân cấp là cấu trúc mô hình phân cấp bao gồm một CA gốc (root CA)
và các CA cấp dƣới. CA gốc xác nhận các CA cấp dƣới, các CA này lại xác nhận các CA
cấp thấp hơn… Các CA cấp dƣới thì không cần phải xác nhận các CA cấp trên. iTrong
mô hình này, mỗi thực thể sẽ giữ một bản sao khóa công khai của CA gốc và kiểm tra
đƣờng dẫn của chứng chỉ bắt đầu từ chữ ký của CA gốc. Đây đƣợc coi là mô hình PKI tin
cậy nhất và đã đƣợc sử dụng rộng rãi.

Hình 24. Mô hình CA phân cấp [18].

Mô hình CA phân cấp có thể dùng đƣợc trực tiếp cho những doanh nghiệp phân cấp
và độc lập, cũng nhƣ những tổ chức chính phủ, quân đội... Nó cho phép thực thi chính
sách và các chuẩn thông qua hạ tầng cơ sở. Đây là mô hình dễ vận hành giữa các tổ chức
khác nhau. Tuy nhiên, mô hình này có một số nhƣợc điểm sau:
 Có thể không thích hợp đối với môi trƣờng mà mỗi miền khác nhau cần có
chính sách và giải pháp PKI khác nhau.
 Các tổ chức có thể không tự nguyện tin vào một tổ chức khác.
 Chỉ có một CA gốc nên có thể gây ra một số vấn đề nhƣ thiếu khả năng hoạt
động. Hơn nữa, trong trƣờng hợp khóa bí mật của CA bị xâm phạm, khóa
 --- 35 ---

công khai mới của CA gốc phải đƣợc phân phối đến tất cả các thực thể cuối
trong hệ thống theo một số cơ chế khác nhau.
 Mô hình mắt lƣới
Mô hình mắt lƣới hay còn gọi là mô hình xác thực chéo, là mô hình đƣa ra sự tin cậy
giữa hai hoặc nhiều CA với nhau. Mỗi CA có thể ở trong mô hình CA hoặc trong một mô
hình mắt lƣới khác. Trong mô hình này có thể có nhiều hơn một CA gốc tạo sự tin cậy
giữa các CA khác nhau. Thông qua việc xác thực chéo giữa các CA gốc mà các CA tin
tƣởng lẫn nhau. Hình 25 là minh họa cho mô hình này.

Hình 25. Mô hình mắt lƣới [18].

Ƣu điểm của mô hình này là linh hoạt hơn, phù hợp hơn với nhu cầu giao dịch hiện
nay, cho phép những nhóm ngƣời sử dụng khác nhau có thể tự do phát triển và thực thi
những chính sách khác nhau. Do mô hình này có nhiều CA gốc nên nó khắc phục đƣợc
một số nhƣợc điểm của mô hình phân cấp.
Tuy nhiên, mô hình này vẫn còn tồn tại một số nhƣợc điểm:
 Phức tạp và khó quản lý vì xác thực chéo giữa các CA.
 Khó thực hiện và có thể không hoạt động đƣợc do những vấn đề về giao tác.
 Phần mềm ngƣời sử dụng có thể gặp phải một số vấn đề khi tìm chuỗi
chứng chỉ.
 --- 36 ---

Hiện nay các tổ chức chính phủ và các công ty đang thiết lập CA riêng theo yêu cầu
PKI của mình. Khi có yêu cầu xử lý giao tiếp giữa các tổ chức với nhau, những CA này sẽ
tiến hành xác thực chéo độc lập, dẫn đến sự phát triển của Internet trong mô hình tin cậy
theo các hƣớng khác nhau.
 Mô hình ngƣời sử dụng trung tâm
Trong mô hình này, mỗi ngƣời sử dụng trực tiếp và hoàn toàn có trách nhiệm trong
việc quyết định tin tƣởng hay từ chối chứng chỉ. Mỗi ngƣời sử dụng giữ một khóa vòng
và khóa này đóng vai trò là CA của họ. Khóa vòng chứa khóa công khai đƣợc tin cậy của
những ngƣời sử dụng khác trong cộng đồng. Mô hình này đã đƣợc Zimmerman phát triển
để sử dụng trong chƣơng trình phần mềm bảo mật PGP (Pretty Good Privacy).
Mô hình này có một số nhƣợc điểm nhƣ sau [18]:
 Không có khả năng mở rộng và thích hợp với những miền lớn.
 Khó để đặt mức độ tin cậy đối với khóa công khai đƣợc lấy từ ngƣời khác.
 Không có sự nhất quán của quá trình xác thực vì nó phụ thuộc vào ngƣời sử
dụng.
 Mỗi ngƣời sử dụng đều phải quản lý PKI và đòi hỏi phải hiểu sâu về nó.
Trong hạ tầng khóa công khai PKI còn có một số mô hình nữa nhƣ mô hình Hub và
Spoke, mô hình Web… Mỗi mô hình có một số ƣu nhƣợc điểm riêng. Việc lựa chọn mô
hình nào tùy thuộc vào những yêu cầu, mục đích của cộng đồng ngƣời sử dụng, liên quan
đến chi phí, thời gian triển khai, nhân lực quản lý, công nghệ hỗ trợ và một số vấn đề liên
quan khác.

2.4 Kết luận

Chƣơng 2 tập trung tìm hiểu rõ hơn về chứng chỉ số, chữ ký điện tử và hạ tầng khóa
công khai PKI. Đây là những nội dung rất quan trọng, đƣợc áp dụng rất nhiều vào quá
trình xác thực hộ chiếu điện tử. Áp dụng PKI vào quá trình này sẽ đảm bảo an toàn và an
ninh cho những thông tin cá nhân đƣợc lƣu trong chip RFID.
 --- 37 ---

CHƢƠNG 3. QUY TRÌNH XÁC THỰC HỘ CHIẾU ĐIỆN TỬ

3.1 Yêu cầu đặt ra
3.1.1 Yêu cầu chung
Vấn đề an toàn, an ninh thông tin HCĐT trong các quy trình cấp phát, kiểm duyệt
luôn là một trong những vấn đề quan trọng đối với mỗi quốc gia. Chính vì vậy, trong quá
trình xác thực hộ chiếu điện tử cần phải thõa mãn 6 tính chất cơ bản nhƣ sau:
a) Tính chân thực: Cơ quan cấp hộ chiếu điện tử phải ghi đúng thông tin của
ngƣời xin cấp hộ chiếu, đảm bảo rằng không có sự nhầm lẫn trong quá trình
ghi thông tin vào hộ chiếu.
b) Tính không thể nhân bản: Yêu cầu này phải đảm bảo không thể tạo ra
đƣợc bản sao chính xác của chip RFID lƣu trong HCĐT.
c) Tính nguyên vẹn và xác thực: Cần chứng thực tất cả các thông tin lƣu trên
trang dữ liệu và trong chip RFID không bị thay đổi từ lúc lƣu và các thông
tin đó đều do cơ quan cấp HCĐT tạo ra.
d) Tính liên kết người - hộ chiếu: Cần phải đảm bảo rằng HCĐT thuộc về
ngƣời mang nó, hay nói cách khác, các thông tin lƣu trong HCĐT phải thực
sự mô tả về ngƣời sở hữu hộ chiếu.
e) Tính liên kết hộ chiếu - chip: Cần phải đảm bảo booklet khớp với mạch
RFID nhúng trong nó.
f) Kiểm soát truy cập: Đảm bảo sự truy cập các thông tin lƣu trong chip
HCĐT phải đƣợc sự đồng ý của chủ sở hữu, hạn chế truy cập đến các thông
tin sinh trắc học nhạy cảm và tránh mất mát thông tin.
3.1.2 Vấn đề bảo mật thông tin trong HCĐT
Hộ chiếu điện tử đƣợc dùng thay thế cho hộ chiếu thông thƣờng bằng cách lƣu các
thông tin cá nhân của chủ sở hữu vào trong một chip RFIC tạo nhiều thuận lợi hơn cho
việc đi lại và an ninh. Tuy nhiên, một số ngƣời lại lo ngại rằng loại hộ chiếu điện tử này
rất dễ bị tin tặc đột nhập từ xa và đọc dữ liệu, cho phép chúng có thể sao chép dữ liệu
ngƣời dùng và tạo ra sản phẩm giả mạo. Chính vì vậy, bảo mật thông tin hộ chiếu là một
trong những vấn đề cần phải đặt lên hàng đầu, có liên quan trực tiếp đến an ninh quốc gia.
Việc nghiên cứu các biện pháp tăng cƣờng bảo mật thông tin trong HCĐT cũng nhƣ nâng
cao hiệu quả việc xác thực, chống khả năng đánh cắp thông tin, làm giả hộ chiếu luôn
 --- 38 ---

đƣợc quan tâm và có tính cấp bách. Những thông tin lƣu trong thẻ RFID là những thông
tin cá nhân của chủ sở hữu nên cần phải đảm bao an ninh tuyệt mật, tránh tình trạng mất
cắp thông tin.
1) Một số nguy cơ đối với bảo mật thông tin HCĐT
Hộ chiếu điện tử sử dụng công nghệ không dây và lƣu trữ các dữ liệu cá nhân nhạy
cảm của ngƣời dùng. Cùng với sự phát triển mạnh mẽ của công nghệ thông tin và các
thiết bị hiện đại nên càng ngày càng xuất hiện những nguy cơ tiềm ẩn đối với việc bảo
mật thông tin trong HCĐT.
Theo [15] thì có một số nguy cơ chính đối với vấn đề bảo mật thông tin HCĐT nhƣ
sau:
 Clandestine scanning: Chính sách của ICAO không bắt buộc có kiểm soát truy
cập hoặc mã hóa truyền thông giữa chip RFID và đầu đọc trong quá trình xác
thực HCĐT. Điều này sẽ gây ra nguy cơ dữ liệu trong chip RFID sẽ bị scanning
trong quá trình truyền, dẫn đến lộ những thông tin cá nhân của ngƣời dùng.
 Clandestine tracking: Nguy cơ này liên quan đến định danh của thẻ RFID. Việc
xác định đƣợc định danh của thẻ phi tiếp xúc cho phép xác định đƣợc nguồn gốc
của HCĐT, chẳng hạn nhƣ quốc tịch của ngƣời mang hộ chiếu.
 Skimming and Cloning: Khi dữ liệu trong chip RFID bị rò rỉ, nó cho phép nhân
bản chip RFID để tạo ra một HCĐT mới. Đây là một trong những nguy cơ
nghiêm trọng cần phải đƣợc chú ý trong suốt quá trình phát hành và sử dụng
HCĐT.
 Eavesdropping: Nguy cơ nghe lén thông tin luôn đƣợc coi là nguy cơ có tính
nguy hiểm nhất trong vấn đề bảo mật hộ chiếu điện tử. Nguy cơ này diễn ra
trong quá trình đầu đọc hộ chiếu đọc dữ liệu từ chip RFID. Những thông tin
đƣợc truyền giữa chip và đầu đọc có thể bị nghe lén trong một khoảng cách nhất
định. Hiệu ứng lồng Faraday đối với hộ chiếu điện tử cũng không thể ngăn chặn
đƣợc nguy cơ này. Tại các điểm xuất nhập cảnh, việc kiểm soát nguy cơ này có
thể thực hiện đƣợc khi làm tốt việc kiểm tra tự động những thiết bị đọc thẻ RFID
khác.
 Biometric data-leakage: Cùng với các thông tin cá nhân khác, HCĐT còn chứa
các dữ liệu sinh trắc học của ngƣời sở hữu hộ chiếu nhƣ ảnh khuôn mặt, dấu vân
tay, mống mắt. Đây đều là những dữ liệu đặc biệt quan trọng và có nguy cơ bị lộ
 --- 39 ---

ra ngoài. Nguy cơ này liên quan mật thiết đến vấn đề đảm bảo an toàn đối với dữ
liệu sinh trắc nói riêng và toàn bộ dữ liệu lƣu trong chip nói chung.
 Cryptographic Weeknesses: Nguy cơ này liên quan đến mô hình bảo đảm an
toàn và bảo mật thông tin lƣu trong chip RFID. ICAO có đƣa ra một cơ chế tùy
chọn cho phép xác thực và mã hóa truyền thông giữa chip và đầu đọc. Bằng cách
đọc vùng dữ liệu MRZ sẽ nhận đƣợc khóa mã hóa K. Tuy nhiên, khi đầu đọc đã
biết đƣợc khóa K thì không có cơ chế nào để hủy bỏ việc truy cập đến chip.
Chính vì vậy cần phải sử dụng các kỹ thuật mạnh mẽ để bảo đảm an toàn bảo
mật dữ liệu.
2) Cơ chế bảo mật thông tin
Tổ chức hàng không dân dụng quốc tế ICAO đã đƣa ra bốn cơ chế bảo mật thông tin
nhằm ngăn chặn những nguy cơ ảnh hƣởng đến an toàn, an ninh HCĐT nhƣ sau [12]:
 Passive Authentication (PA): Cơ chế xác thực bị động, là cơ chế bắt buộc đối
với quá trình xác thực HCĐT, kiểm tra tính nguyên vẹn và xác thực của thông tin
lƣu trong chip RFID bằng cách kiểm tra chữ ký của cơ quan cấp hộ chiếu để xác
thực dữ liệu đƣợc lƣu trong các nhóm dữ liệu LDS trên chip RFID.
 Basic Access Control (BAC): Cơ chế kiểm soát truy cập cơ bản, chống lại việc
nghe lén và đọc trộm thông tin trong HCĐT mà chƣa có sự đồng ý của ngƣời sở
hữu, ngăn chặn đƣợc nguy cơ Skimming và Eavesdropping.
 Active Authentication (AA): Cơ chế xác thực chủ động, đảm bảo tính duy nhất
và xác thực của chip tích hợp trong HCĐT bằng cách đƣa ra một cặp khóa riêng.
Khóa bí mật đƣợc lƣu trữ trong nhóm dữ liệu DG15 và đƣợc bảo vệ bởi cơ chế
PA. Khóa công khai tƣơng ứng đƣợc lƣu trữ trong bộ nhớ bảo mật và có thể chỉ
đƣợc sử dụng trong chip RFID và không thể đọc đƣợc ở bên ngoài. Cơ chế này
chỉ nên đƣợc sử dụng ở những nơi mà BAC đã đƣợc thiết lập.
 Extended Access Control (EAC): Cơ chế kiểm soát truy cập mở rộng, tăng
cƣờng bảo vệ các thông tin sinh trắc học nhạy cảm nhƣ vân tay, mống mắt…
đồng thời khắc phục hạn chế của quá trình xác thực chủ động. Cơ chế này gồm
hai giai đoạn:
 Chip Authentication: là một giao thức cho phép hệ thống kiểm tra xác
thực tính đúng đắn của chip RFID trong HCĐT. Trƣớc khi sử dụng giao
thức này thì chip RFID cần đƣợc bảo vệ bởi giao thức BAC.
 --- 40 ---

 Terminal Authentication: là giao thức chip RFID xác minh xem hệ

thống kiểm tra có đƣợc quyền truy cập đến vùng dữ liệu nhạy cảm hay
không. Khi hệ thống kiểm tra có thể truy cập đến dữ liệu sinh trắc thì tất cả
truyền thông phải đƣợc bảo vệ một cách phù hợp. Trƣớc khi thực hiện giao
thức này thì bắt buộc phải thực hiện thành công giao thức Chip
Authentication.
3.1.3 Các đặc trƣng sinh trắc quan tâm
Trong quy trình xác thực hộ chiếu điện tử, chúng tôi chú trọng đến việc sử dụng cả
ba đặc trƣng sinh trắc đã đƣợc nêu trong tài liệu 9303 của ICAO, đó là ảnh khuôn mặt,
ảnh vân tay và ảnh mống mắt của ngƣời mang hộ chiếu.

 Khuôn mặt
Trong các đặc trƣng sinh trắc học của con ngƣời đƣợc sử dụng vào các hệ thống bảo
mật, nhận dạng cá nhân… thì khuôn mặt đƣợc nghiên cứu đầu tiên và lâu đời nhất. Khuôn
mặt thu hút sự chú ý trong giao tiếp xã hội, đóng một vai trò quan trọng trong việc định
danh và truyền đạt biểu cảm. Tuy nhiên, việc phát triển các mô hình tính toán để nhận
dạng mặt là khá khó khăn bởi vì khuôn mặt thì phức tạp và có nhiều tác nhân kích thích.
Bởi vậy để phát triển một hệ thống nhận dạng mặt phải yêu cầu rất nhiều kỹ thuật thị giác.
Trong hệ thống xác thực hộ chiếu điện tử, ảnh khuôn mặt đƣợc lƣu vào vùng dữ liệu
DG2 sau khi đã mã hóa. Định dạng ảnh là JPEG hoặc JPEG2000, kích thƣớc ảnh phải
đảm bảo bé hơn 20Kb. Tại các điểm xuất nhập cảnh sẽ có các camera chuyên dụng để
quét ảnh khuôn mặt của mỗi ngƣời. Để các ảnh này phù hợp với các ứng dụng sinh trắc,
chúng phải thõa mãn các tiêu chuẩn đặt ra nhƣ trên.
 --- 41 ---

Hình 26. Camera thu ảnh khuôn mặt.

 Dấu vân tay
Vân tay là một trong những dấu hiệu sinh học tự nhiên và độc nhất đối với mỗi
ngƣời. Xác suất hai dấu vân tay của hai anh (chị) em sinh đôi cùng trứng có cùng bộ dấu
vân tay là 1 trên 64 tỉ. Ngay cả các ngón trên cùng bàn tay cũng có vân khác nhau. Dấu
vân tay của mỗi ngƣời là không đổi trong suốt cuộc đời, ngƣời ta có thể làm phẫu thuật
thay da ngón tay, nhƣng chỉ sau một thời gian, dấu vân tay lại đƣợc phục hồi lại nhƣ ban
đầu. Chính vì vậy, xác thực sinh trắc dấu vân tay là một quá trình xác thực định danh
ngƣời dùng rất phổ biến và hiệu quả, thƣờng đƣợc sử dụng tại các sân bay hay các điểm
xuất nhập cảnh (trong hộ chiếu điện tử).
 --- 42 ---

Hình 27. Một số cách thu nhận dấu vân tay.

Một hệ thống tự động nhận dạng vân tay cần phải thõa mãn hai yêu cầu đặt ra:
 Hệ thống phải tự động so sánh hai dấu vân tay và đƣa ra quyết định rằng hai
dấu vân tay đó có phải là một hay không.
 Hệ thống phải áp dụng các kỹ thuật có ý nghĩa cải tiến nhằm tăng khả năng
phân loại và nhận biết một số lƣợng lớn vân tay trong thời gian tìm kiếm là
ngắn nhất và độ chính xác là cao nhất.
 Mống mắt

Vết lõm mống mắt

Mống Các nếp nhăn
mắt
Đồn Điềm đồng tử
g tử
Vùng đồng tử
Vùng mao

Vòng nhỏ

Hình 28. Cấu trúc mống mắt

 --- 43 ---

Mống mắt cũng giống nhƣ vân tay, là những đặc trƣng sinh trắc của mỗi con ngƣời,
đƣợc duy trì và ổn định trong suốt cuộc đời của họ. Mống mắt là một cơ trong mắt điều
chỉnh kích thƣớc đồng tử, điều chỉnh số lƣợng ánh sáng vào mắt. Nó phân chia màu mắt
với màu sắc dựa trên số lƣợng sắc tố melatonin trong cơ. Các đặc tính của mống mắt đƣợc
bảo vệ từ môi trƣờng và khá ổn định so với các đặc tính sinh trắc khác của con ngƣời.
Cùng với ảnh khuôn mặt và dấu vân tay thì sử dụng sinh trắc mống mắt cũng là một
giải pháp rất hữu hiệu trong việc nhận dạng cá nhân con ngƣời. Tại các điểm xuất nhập
cảnh hoặc các điểm kiểm tra, ngƣời dùng đứng trƣớc một camera để chụp hình hoặc sử
dụng tia laser để thu đƣợc ảnh mống mắt.

Hình 29. Camera thu ảnh mống mắt.

3.2 Quy trình xác thực HCĐT tại Việt Nam

3.2.1 Hạ tầng khoá công khai với HCĐT
Để quy trình xác thực hộ chiếu điện tử đƣợc diễn ra thành công, đảm bảo thông tin
lƣu trong chip RFID là xác thực và toàn vẹn, cần triển khai hạ tầng khóa công khai PKI
đối với cả hộ chiếu điện tử và hệ thống xác thực IS. Nói cách khác, hạ tầng khóa công
khai triển khai phải đáp ứng đƣợc cả hai quá trình [4]:
 Passive Authentication: Là quá trình kiểm tra tính nguyên vẹn và xác thực của
thông tin lƣu trong chip RFID. Trong quy trình cấp phát hộ chiếu điện tử, sau khi ghi
thông tin vào chip RFID, cơ quan cấp hộ chiếu phải ký số lên chip để chứng thực những
thông tin vừa ghi vào là đúng. Sau khi nhận đƣợc chứng chỉ số CDS do CA cấp cao nhất
phát hành, cơ quan cấp HCĐT DS sử dụng khóa bí mật của mình để ký số lên hộ chiếu
đó, còn khóa công khai đƣợc lƣu trong CDS.
Tại bƣớc kiểm tra hộ chiếu tại các điểm xuất nhập cảnh, hệ thống IS sử dụng cơ chế
Passive Authentication để kiểm tra và xác thực chữ ký của DS. Hệ thống IS tiến hành đọc
HCĐT, lấy chứng chỉ số CDS, kiểm tra tính xác thực của nó bằng khóa công khai của CA
 --- 44 ---

phân phối, khóa công khai này đƣợc các nƣớc có triển khai HCĐT trao đổi với nhau qua
đƣờng công hàm hoặc thông qua danh mục khóa công khai PKD. Sau khi xác thực xong
CDS, hệ thống IS sẽ dùng CDS để xác thực nội dung lƣu trong chip RFID.
 Terminal Authentication: Là quá trình xác thực hệ thống kiểm tra IS, kiểm tra
xem IS có quyền truy cập vào vùng dữ liệu nhạy cảm trong chip RFID hay không.
Tại mỗi quốc gia có triển khai hộ chiếu điện tử, sẽ có một cơ quan cấp chứng chỉ số
quốc gia, có thể là CSCA (Coutry Signing Certification Authority) hoặc CVCA (Country
Verifying Certification Authority). Các CA cấp quốc gia này sẽ phân phối chứng chỉ cho
các cơ quan cấp hộ chiếu điện tử DS (Document Signer) để ký số lên hộ chiếu hoặc cơ
quan xác thực hộ chiếu điện tử DV (Document Verifier) để kiểm tra hộ chiếu.
Trong quá trình xác thực hộ chiếu điện tử, Terminal Authentication yêu cầu hệ
thống kiểm tra IS chứng minh đƣợc là nó đƣợc quyền truy cập vào vùng dữ liệu nhạy
cảm. Khi đó một hệ thống kiểm duyệt đƣợc trang bị ít nhất một hệ thống xác thực chứng
chỉ (Inspection System Certificate - ISC) để mã hóa khóa công khai của hệ thống kiểm
duyệt và các quyền truy cập, tƣơng ứng với khóa bí mật. Sau khi hệ thống kiểm duyệt đã
chứng minh đƣợc các thông tin của khóa bí mật thì chip RFID mới chấp nhận cho hệ
thống kiểm duyệt truy cập vào vùng dữ liệu nhạy cảm đƣợc chỉ ra trong ISC [4].
Mô hình PKI triển khai với cơ chế Terminal Authentication có các thực thể sau:
- CVCA (Country Verifying Certification Authority): Cơ quan xác thực chứng
chỉ số quốc gia.
- DV (Document Verifier): Cơ quan xác thực hộ chiếu điện tử.
- IS (Inspection System): Hệ thống kiểm duyệt tại các điểm xuất nhập cảnh.

Hình 30. Mô hình PKI phân cấp phục vụ cơ chế Terminal Authentication [4].
 --- 45 ---

1) Country Verifying CAs

Tại mỗi quốc gia có triển khai hộ chiếu điện tử cần phải thiết lập một điểm tin cậy
(trust-point), gọi là CVCA, là nơi cung cấp và xác thực chứng chỉ số DV-Cert cho các cơ
quan xác thực hộ chiếu điện tử DV. CVCA xác định tất cả các quyền truy cập đến tới chip
RFID cho tất cả các DV (bao gồm các DV trong quốc gia đó và các DV ở các quốc gia
khác) bằng cách cung cấp chứng chỉ cho các DV, trong đó có mô tả quyền truy cập thông
tin. Để giảm thiểu nguy cơ mất mát thông tin, DV-Cert chỉ có giá trị trong một khoảng
thời gian ngắn. CVCA có toàn quyền gán thời hạn cho DV-Cert và mỗi chứng chỉ của DV
khác nhau thì có thời hạn khác nhau.
2) Document Verifiers và Inspection Systems
Document Verifiers (DV) là cơ quan xác thực hộ chiếu, một đơn vị tổ chức và quản
lý hệ thống kiểm duyệt IS, cung cấp chứng chỉ số IS-Cert cho các IS. Nhƣ vậy, DV cũng
là một CA và đƣợc xác thực bởi CVCA.
Inspection System (IS) là hệ thống kiểm duyệt HCĐT tại các điểm xuất nhập cảnh.
Để chip RFID có thể chứng thực đƣợc chứng chỉ số IS-Cert thì IS cần phải gửi một chuỗi
chứng chỉ hay các chứng chỉ liên kết quốc gia (CVCA Link Certificates), bao gồm DV-
Cert và IS-Cert.
3) Card Verifiable Certificates
Card Verifiable Certificates (CVC) là các chứng chỉ xác thực thẻ, bao gồm CVCA
Link Certificates, DV-Cert, IS-Cerst cần phải đƣợc phê chuẩn bởi chip RFIC.
 --- 46 ---

Hình 31. Lịch trình cấp phát chứng chỉ [4].

Mỗi chứng chỉ đƣợc cấp phát chỉ có giá trị trong một khoảng thời gian nhất định.
Khoảng thời gian này đƣợc xác định bởi hai giá trị:
 Certificate effective date: Ngày tạo chứng chỉ.
 Certificate expiration date: Ngày hết hạn chứng chỉ.
Khi tạo ra chứng chỉ, các cơ quan tạo chứng chỉ cần phải có kế hoạch rõ ràng về thời
hạn của chứng chỉ. Dĩ nhiên, một chứng chỉ mới phải đƣợc tạo ra trƣớc khi chứng chỉ
hiện tại hết hạn và cần phải tính toán thời gian phân phối chứng chỉ tối đa (max
distribution time).
 --- 47 ---

Hình 32. Mô hình PKI chung cho HCĐT và IS [20].

4) Danh mục khóa công khai
Hạ tầng khóa công khai PKI cho phép mỗi thực thể đƣợc gán với một cặp khóa công
khai, khóa bí mật. Việc trao đổi chứng chỉ có gắn khóa công khai của các cơ quan cấp hộ
chiếu DS giữa các quốc gia sẽ đƣợc thực hiện bằng đƣờng công hàm bí mật và thông qua
danh mục khóa công khai PKD (Public Key Directory) của ICAO.
PKD là một mô hình lƣu trữ tập trung và phân phối chứng chỉ số CDS, danh sách
chứng chỉ bị thu hồi CRL của các cơ quan cấp hộ chiếu DS. Thông qua PKD, ICAO sẽ
 --- 48 ---

tập hợp chứng chỉ số (khóa công khai) của các quốc gia thành viên để quản lý và cung cấp
trực tuyến [12].
CVCA
Country
Verifying CA

CDS

CRL DS
Certificate Document
Revocation List Signer

The Public Key Directory PKD

Hình 33. Danh mục khóa công khai PKD.
Ngoài thông tin về khóa công khai, CDS còn chứa thông tin quy định quyền truy cập
cho hệ thống kiểm duyệt IS. Chứng chỉ này không chỉ chứng thực cho các hệ thống kiểm
tra IS ở một quốc gia mà còn chứng thực và quy định quyền truy cập thông tin cho các hệ
thống IS ở các quốc gia khác có sử dụng cơ chế kiểm soát truy cập mở rộng EAC.
3.2.2 Quy trình cấp phát hộ chiếu điện tử
Một số bƣớc chính trong quá trình cấp phát hộ chiếu điện tử nhƣ sau.
B1: Công dân có nhu cầu cấp hộ chiếu điện tử đến tại các cơ quan có thẩm quyền
đăng ký theo mẫu phát hành.
B2: Thu nhận thông tin sinh trắc học của ngƣời dùng nhƣ ảnh mặt, vân tay, mống
mắt…
B3: In hộ chiếu và ghi các thông tin sinh trắc vào chip FRID.
 Ghi các thông tin cơ bản nhƣ họ tên, ngày sinh, giới tính… (nhƣ trên trang
hộ chiếu giấy) vào vùng dữ liệu DG1.
 Ghi ảnh khuôn mặt vào vùng dữ liệu DG2.
 Ghi dấu vân tay vào DG3.
 Ghi ảnh mống mắt vào DG4.
 --- 49 ---

 Ghi khóa công khai PKFRIC phục vụ quá trình Chip Authentication vào
DG14.
 Ghi khóa bí mật SKRFIC phục vụ quá trình Chip Authentication, khóa công
khai PKIS phục vụ quá trình Terminal Authentication vào vùng nhớ bí mật,
là vùng nhớ chỉ truy cập đƣợc bởi chính RFIC.
 Ghi SOD (Document Security Object): Trong quá trình ghi thông tin vào
chip RFIC, có một bƣớc quan trọng nâng cao tính bảo mật thông tin là tạo
giá trị băm cho các nhóm thông tin DG trong LDS theo hàm băm SHA
(Secure Hash Algorithm), tập tất cả các giá trị băm này là SOLDS. Tiến hành
ký SOLDS bằng khóa bí mật của cơ quan cấp hộ chiếu, ta đƣợc chữ ký trên
SOLDS ký hiệu là SOD.signature [12].
Cấu trúc của SOD là (SOLDS, SOD.signature, SOD.cert), trong đó SOD.cert là
chứng chỉ CDS là chứng chỉ số của cơ quan cấp hộ chiếu hay cơ quan ký hộ
chiếu. Phần thông tin này phục vụ cho quá trình Passive Authentication.

Hình 34. Quá trình tạo đối tƣợng SOD.

3.2.3 Quy trình xác thực hộ chiếu điện tử

Để xây dựng đƣợc một mô hình hoàn chỉnh về hệ thống xác thực hộ chiếu điện tử
rất phức tạp và có tính vĩ mô. Khi một quốc gia triển khai hộ chiếu điện tử, thì vấn đề xác
thực HCĐT luôn đƣợc đặt lên hàng đầu để đảm bảo an ninh quốc gia và đảm bảo an toàn
thông tin cho những ngƣời mang hộ chiếu. Luận văn này chỉ đƣa ra một phác thảo mô
hình các bƣớc kiểm soát ngƣời mang hộ chiếu điện tử tại Việt Nam. Trong tƣơng lai, khi
Việt Nam đã triển khai mô hình HCĐT trên diện rộng, thì tại các điểm xuất/nhập cảnh,
công dân mang HCĐT sẽ phải tuân thủ một số bƣớc trong quy trình xác thực hộ chiếu
sau.
 --- 50 ---

1) Kiểm tra an ninh

Công dân mang HCĐT xuất trình hộ chiếu cho hệ thống kiểm duyệt (IS). Trƣớc tiên
HCĐT cần phải trải qua một số bƣớc kiểm tra an ninh nghiệp vụ truyền thống tại các
điểm xuất/nhập cảnh nhƣ dùng lớp kim loại bảo vệ để tạo hiệu ứng lồng Faraday nhằm
chống khả năng đọc thông tin trong chip RFID ngoài ý muốn của ngƣời mang hộ chiếu
hay dùng thủy ấn để bảo vệ booklet…
2) Basic Access Control
IS tiến hành thực hiện cơ chế BAC trên HCĐT. Đây là cơ chế chống nghe lén và
đọc trộm thông tin truyền từ chip RFIC đến IS. Ý tƣởng của BAC là phải có sự đồng ý
của ngƣời sở hữu hộ chiếu mới đƣợc phép đọc các thông tin từ chip RFIC. Do đó hệ
thống chỉ cho phép truy cập thông tin khi đã nhận đƣợc các khóa truy cập từ vùng dữ liệu
MRZ. Nghe lén và đọc trộm bị chặn bằng cách truyền thông báo bảo mật, dữ liệu trao đổi
giữa RFIC và IS đƣợc mã hóa sử dụng cặp khóa phiên có đƣợc từ BAC.
 IS đọc thông tin từ vùng dữ liệu MRZ, lấy số hộ chiếu (DoN), ngày sinh của
ngƣời sở hữu hộ chiếu (DoB) và ngày hết hạn hộ chiếu (ExD), sau đó tính
khóa cơ bản Kseed nhƣ sau:
o Sử dụng hàm băm SHA-1 để băm các thông tin vừa đọc đƣợc:
Kseed‟ = SHA-1 (DoN||DoB||ExD)
o Lấy 16 byte quan trọng nhất của giá trị vừa băm tạo thành khóa Kseed:
Kseed = MostImporByte (Kseed‟, 16)
 RFIC và IS xác thực lẫn nhau và cùng tính toán các khóa truy cập dữ liệu cơ
bản KENC và KMAC (hai khóa này đƣợc lƣu vào chip RFIC) từ khóa Kseed nhƣ
sau:
o KENC‟=SHA-1 (Kseed || “00000001”)
KENC=MostImporByte (KENC‟,16)
o KMAC‟=SHA-1 (Kseed || “00000002”)
KMAC=MostImporByte (KMAC‟,16)
 --- 51 ---

Hình 35. Nguồn gốc khóa trong cơ chế Basic Access Control [3].
 Khi IS đã có KENC và KMAC, nó gửi yêu cầu trao đổi thông tin đến RFIC.
RFIC sẽ gửi một số ngẫu nhiên rRFIC đến IS. IS sinh ra kIS (đƣợc sử dụng để
tạo khóa phiên) và một tham số ngẫu nhiên rIS. Sau đó IS tính giá trị
CIS=KENC(rIS||rRFIC||kIS), tính mã xác thực thông báo MIS=KMAC(CIS) và gửi
hai giá trị (CIS||MIS) đến RFIC.
 RFIC tiến hành giải mã xác thực MIS sử dụng khóa KENC và so sánh rRFIC
nhận đƣợc xem có trùng với giá trị ban đầu hay không. Nếu những xác
minh này thành công, RFIC mới tin chắc rằng IS đã đọc đƣợc dữ liệu MRZ
và đã có đƣợc khóa KENC và KMAC.
 Để tạo cặp khóa phiên cho quá trình mã hóa thông tin, RFIC sinh ra số ngẫu
nhiên kRFIC, tính giá trị CRFIC=KENC(rRFIC||rIS||kRFIC), tính mã xác thực thông
báo MRFIC=KMAC(CRFIC) và gửi hai giá trị (CRFIC||MRFIC) đến cho IS.
 Cuối cùng, cả RFIC và IS cùng tính khóa phiên truyền thông báo bảo mật
kSM = kIS kRFIC và sử dụng khóa này để mã hóa thông tin trao đổi giữa
chúng [13].
 --- 52 ---

IS RFIC

Kseed‟ = SHA-1 (DoN||DoB||ExD)

Kseed = MostImporByte (Kseed‟, 16)
KENC‟=SHA-1 (Kseed || “00000001”)
KENC=MostImporByte (KENC‟,16)
Read MRZ
KMAC‟=SHA-1 (Kseed || “00000002”)
KMAC=MostImporByte (KMAC‟,16)
Get Challenge
Create rRFIC
rRFIC

Create rIS and kIS

CIS=KENC(rIS||rRFIC||kIS)
MIS=KMAC(CIS) CIS||MIS
Verify MIS và rRFIC
Create kRFIC
CRFIC=KENC(rRFIC||rIS||kRFIC)
CRFIC||MRFIC MRFIC=KMAC(CRFIC)

kSM = kIS kRFIC kSM = kIS kRFIC

Hình 36. Mô tả quá trình Basic Access Control.

 --- 53 ---

Hình 37. Minh họa quá trình Basic Access Control [19].
3) Đọc vùng dữ liệu DG1
Sau khi BAC thành công, hệ thống kiểm tra sẽ tiến hành đọc vùng dữ liệu DG1
trong chip RFID của HCĐT và so sánh với những dữ liệu hệ thống đã đọc đƣợc từ vùng
MRZ trƣớc đó. Nếu dữ liệu trùng nhau thì chuyển sang bƣớc 4, nếu không thì chuyển qua
bƣớc kiểm tra đặc biệt.
4) Chip Authentication
Các bƣớc Chip Authentication và Terminal Authentication chỉ đƣợc thực hiện tại các
quốc gia có triển khai cơ chế EAC trong xác thực hộ chiếu điện tử.
Chip Authentication là giao thức thỏa thuận khóa Diffie-Hellman ngắn hạn đƣợc sử
dụng để xác thực chip RFIC và tạo ra một cặp khóa phiên để mã hóa quá trình truyền
thông báo bảo mật giữa chip RFIC và hệ thống kiểm duyệt IS. Quá trình này đƣợc thực
hiện trƣớc Passive Authentication.
Chip RFIC lƣu trữ khóa công khai PKRFIC, khóa bí mật tƣơng ứng SKRFIC và các
tham số miền DRFIC. IS cũng tạo ra một cặp khóa Diffie-Hellman ngắn hạn cho mỗi một
truyền thông mới sử dụng các tham số miền DRFIC của chip RFIC. Khóa công khai là PKIS
và khóa bí mật tƣơng ứng là SKIS. Sử dụng giao thức thỏa thuận khóa Diffie-Hellman, cả
RFIC và IS có thể tạo ra một khóa bí mật dùng chung mà không làm ảnh hƣởng đến thông
tin trong quá trình truyền.
 --- 54 ---

Giao thức Chip Authentication thực hiện theo các bƣớc sau [4]:
 Chip RFIC gửi khóa công khai PKRFIC và tham số miền DRFIC đến IS.
 IS tạo ra cặp khóa Diffie-Hellman ngắn hạn là khóa công khai PK IS, khóa bí
mật SKIS trên miền DRFIC, sau đó gửi khóa công khai PKIS đến chip RFIC.
 Sau khi đã có khóa công khai của nhau, cả chip RFIC và hệ thống kiểm tra
IS cùng tính toán:
o Khóa bí mật dùng chung K từ các giá trị (SKRFIC, PKIS, DRFIC) và
(SKIS, PKRFIC, DRFIC).
o Cặp khóa phiên (KENC, KMAC) đƣợc tính từ K đƣợc dùng cho việc
truyền thông báo bảo mật.
o Hàm băm khóa công khai ngắn hạn của IS là H(PKIS) đƣợc sử dụng
trong quá trình Terminal Authentication.

RFIC IS

Cặp khóa tĩnh

(SKRFIC, PKRFIC, DRFIC) PKFRIC Chọn cặp khóa ngắn hạn ngẫu nhiên
DRFIC (SKIS, PKIS, DRFIC)

PKIS

K(SKRFIC, PKIS, DRFIC) K(SKIS, PKRRIC, DRFIC)

Hình 38. Chip Authentication.

Cơ chế Chip Authentication tạo ra cặp khóa phiên mới (KENC, KMAC) đƣợc trích ra từ
khoá K để dùng cho truyền thông báo bảo mật và hàm băm khóa công khai ngắn hạn
H(PKIS) của hệ thống kiểm duyệt sử dụng cho quá trình Terminal Authentication.
5) Passive Authentication
Tiến hành thực hiện quá trình Passive Authentication để kiểm tra tính xác thực và
toàn vẹn thông tin lƣu trong chip RFID thông qua việc kiểm tra chữ ký lƣu trong SOD
bằng khóa công khai của cơ quan cấp hộ chiếu. Việc trao đổi khóa công khai thông qua
chứng chỉ số đƣợc thực hiện theo mô hình khuyến cáo của ICAO. Thực hiện thành công
 --- 55 ---

quá trình Passive Authentication cùng với Chip Authentication trong cơ chế EAC thì có
thể khẳng định chắc chắn chip trong hộ chiếu là nguyên gốc.
Passive Authentication là quá trình kiểm tra tính xác thực và toàn vẹn thông tin [4].
- Đọc SOD từ chip RFIC.

- Lấy chứng chỉ CDS từ SOD vừa đọc ở trên.

- Kiểm tra CDS từ khóa công khai PKCSCA có đƣợc từ PKD hoặc từ cơ sở dữ
liệu đƣợc trao đổi trực tiếp giữa các quốc gia thông qua đƣờng công hàm.
- Kiểm tra chữ ký số SOD.signature sử dụng khóa bí mật SKDS của DS.
Bƣớc này nhằm khẳng định thông tin SOLDS đúng là đƣợc tạo ra bởi cơ
quan cấp hộ chiếu và SOLDS không bị thay đổi.
- Đọc các thông tin cần thiết từ LDS.

- Tính hàm băm cho các thông tin ở bƣớc 4, sau đó so sánh với SOLDS. Qua
bƣớc này mới khẳng định đƣợc nhóm dữ liệu là xác thực và toàn vẹn.

RFIC IS

SOD - CDS = SOD.cert.

- Kiểm tra CDS bằng khóa công khai

PKCSCA.
- Kiểm tra chữ ký SOD.signature sử
dụng khóa bí mật SKDS.
LDS
- Tính các giá trị băm LDS và so sánh
với SOLDS.

Hình 39. Passive Authentication.

6) Terminal Authentication
Thực hiện quá trình Terminal Authentication để chứng minh quyền truy cập thông
tin của IS đối với các vùng dữ liệu nhạy cảm trên chip RFID (DG3 và DG4). Quá trình
này cũng chỉ thực hiện đối với cơ quan kiểm tra hộ chiếu có thực hiện EAC. Sau khi
Terminal Authentication thành công, đầu đọc có thể truy cập thông tin theo quyền thể
hiện trong chứng chỉ IS-Cert.
 --- 56 ---

ICAO sử dụng giao thức này đối với HCĐT để tạo sự xác thực từ phía IS [4].
- Đầu tiên, IS sẽ gửi một chuỗi chứng chỉ đến chip RFIC. Chuỗi chứng chỉ
này bắt đầu bằng một chứng chỉ có thể xác minh đƣợc với khóa công khai
PKCVCA lƣu trữ trên chip và kết thúc bằng chứng chỉ CIS của hệ thống kiểm
duyệt IS.
- RFIC xác minh các chứng chỉ này và trích ra khóa công khai PK IS. Sau đó
RFIC sẽ gửi lệnh rRFIC đến IS.
- IS trả lời bằng chữ ký:

- sIS = Sign (SKIS, IDRFIC || rRFIC || H(PKIS))

- Chip RFIC kiểm tra chữ ký nhận đƣợc từ IS bằng khóa PKIS.

- Verify(PKIS, sIS, IDRFIC || rRFIC || H(PKIS))

- Trong đó: IDRFIC là định danh (số) của hộ chiếu lƣu trong chip RFIC bao
gồm cả chữ số kiểm tra nhƣ trong MRZ. H(PKIS) là hàm băm thu đƣợc từ
bƣớc Chip Authentication.

RFIC IS

Chọn rRFIC ngẫu nhiên rRFIC

sIS=Sign(SKIS, IDRFIC || rRFIC || H(PKIS))

sIS

Verify(PKIS, sIS, IDRFIC || rRFIC || H(PKIS))

Hình 40. Terminal Authentication.

7) Đối chiếu đặc trƣng sinh trắc
Hệ thống kiểm duyệt có quyền truy cập vào các vùng dữ liệu DG2, DG3, DG4 và
tiến hành đọc các dữ liệu sinh trắc của ngƣời sở hữu hộ chiếu (ảnh khuôn mặt, dấu vân
tay, mống mắt) đƣợc lƣu trong chip RFID của hộ chiếu điện tử. Cùng lúc đó, bằng các
thiết bị nhận dạng đặc biệt, cơ quan kiểm tra sẽ tiến hành thu nhận các đặc tính sinh trắc
học nhƣ ảnh khuôn mặt, vân tay, mống mắt… từ ngƣời dùng. Sau đó, hệ thống sẽ thực
hiện quá trình trích chọn đặc trƣng của các đặc tính sinh trắc, tiến hành đối chiếu và đƣa
ra kết quả. Nếu cả ba dữ liệu sinh trắc thu đƣợc trực tiếp từ ngƣời dùng khớp với dữ liệu
 --- 57 ---

thu đƣợc từ chip RFID thì cơ quan kiểm tra xác thực có đủ điều kiện để tin tƣởng hộ
chiếu điện tử đó là đúng đắn và ngƣời mang hộ chiếu là hợp lệ.
 Ảnh khuôn mặt
Tại các điểm xuất nhập cảnh, cơ quan kiểm duyệt sẽ tiến hành lấy ảnh
khuôn mặt của ngƣời sở hữu hộ chiếu điện tử. Sau đó hệ thống sẽ đọc dữ liệu từ
chip RFIC, so sánh ảnh khuôn mặt đƣợc lƣu trong chip với ảnh vừa thu đƣợc từ hệ
thống bên ngoài. Đây là quá trình nhận dạng mặt ngƣời từ ảnh 2D và ảnh 3D. Quá
trình nhận dạng ảnh khuôn mặt thông thƣờng gồm 3 bƣớc chính, đó là (1) phát
hiện mặt, (2) trích chọn đặc trƣng, (3) nhận diện và kiểm tra. Đôi khi các công việc
này không đƣợc phân tách rõ ràng ví dụ nhƣ khi các đặc trƣng mặt nhƣ mắt, mũi,
miệng đƣợc sử dụng để nhận dạng mặt, thì công việc phát hiện và trích đặc trƣng
đƣợc thực hiện đồng thời.

Hình 41. Trích chọn các đặc trƣng mặt [16].

Sau khi đã phát hiện đƣợc mặt, hệ thống tiến hành trích chọn đặc trƣng để
thu đƣợc các đặc trƣng cung cấp cho hệ thống phân loại mặt. Tùy thuộc vào kiểu
hệ thống phân loại, các đặc trƣng có thể là các đặc trƣng cục bộ nhƣ các đƣờng,
các điểm chuẩn hoặc các đặc trƣng mặt nhƣ đôi mắt, mũi, miệng. Việc phát hiện
mặt cũng có thể thu đƣợc các đặc trƣng, trong trƣờng hợp đó các đặc trƣng đƣợc
trích chọn một cách đồng thời với phát hiện mặt.
Việc nhận dạng và đối chiếu các đặc trƣng mặt đƣợc miêu tả cụ thể trong tài
liệu [5] và [16].
 --- 58 ---

 Ảnh vân tay

Khi xác thực hộ chiếu điện tử bằng dấu vân tay, hệ thống kiểm tra sẽ tiến
hành thu nhận dấu vân tay từ ngƣời sở hữu hộ chiếu bằng các thiết bị thu nhận đặc
biệt, sau đó hệ thống sẽ so sánh ảnh vân tay thu đƣợc với ảnh vân tay lƣu trong hộ
chiếu (DG3) thông qua các đặc trƣng vân tay. Các đặc trƣng của vân tay bao gồm
các điểm chạc ba và điểm kết thúc (nhƣ hình 41).

Hình 42. Đặc trƣng vân tay

Thông thƣờng, một hệ thống kiểm tra sẽ tiến hành trích chọn đặc trƣng và
mã hóa dấu vân tay thu đƣợc theo các bƣớc nhƣ hình 43 bên dƣới. Với đầu vào là
một ảnh vân tay, hệ thống sẽ tiến hành xác định hƣớng của vân tay để tách đƣờng
vân và tiến hành làm mảnh để thu các đặc trƣng của vân tay. Sau khi thu đƣợc đặc
trƣng của dấu vân tay đầu vào, hệ thống sẽ tiến hành so sánh đặc trƣng này với tất
cả đặc trƣng của dấu vân tay trong cơ sở dữ liệu. Còn trong hệ thống xác thực hộ
chiếu điện tử thì chỉ cần so sánh đặc trƣng của dấu vân tay thu đƣợc và dấu vân tay
lƣu trên hộ chiếu. Nếu hai ảnh vân tay này có đặc trƣng trùng khớp nhau, thì đó là
dấu vân tay đăng ký cho cùng một ngƣời và quá trình xác thực dấu vân tay coi nhƣ
thành công.
 --- 59 ---

Hình 43. Quá trình trích chọn đặc trƣng và mã hóa vân tay.

Hình 44. So sánh dữ liệu ảnh vân tay [19].

 --- 60 ---

Cũng giống nhƣ thông tin sinh trắc khuôn mặt, dữ liệu ảnh vân tay đƣợc lƣu
vào vùng dữ liệu DG3 trên trang dữ liệu của hộ chiếu điện tử, đƣợc mã hóa cùng
với tất cả dữ liệu ứng dụng khác và đƣợc gửi tới cơ quan sản xuất hộ chiếu thông
qua hạ tầng truyền thông bảo mật cao. Sau khi hộ chiếu đƣợc sản xuất và trải qua
quá trình kiểm tra chất lƣợng thành công thì dấu vân tay sẽ bị xóa tại cơ quan cấp
hộ chiếu. Sau đó HCĐT đƣợc gửi đến các tổ chức quản lý hộ chiếu, trải qua một số
bƣớc kiểm tra chất lƣợng và chuyển đến ngƣời dùng. Nhƣ vậy, dữ liệu ảnh vân tay
của công dân xin cấp hộ chiếu chỉ đƣợc lƣu trên chip HCĐT để đảm bảo tính bảo
mật thông tin ngƣời dùng.
Việc nhận dạng vân tay đƣợc miêu tả cụ thể trong tài liệu [10].
 Ảnh mống mắt
Mống mắt sẽ đƣợc xác định bằng cách sử dụng các đặc trƣng giới hạn. Các
đặc trƣng giới hạn và hình dạng khác nhau của mống mắt đƣợc chỉ rõ trong ảnh
đầu vào. Trƣớc khi tiến hành nhận dạng mống mắt, hệ thống kiểm tra cần phải tiến
hành xác định ranh giới của mống mắt. Đó là việc xác định đƣờng ranh giới trong
(giữa mống mắt và đồng tử) và đƣờng ranh giới ngoài (giữa mống mắt và màng
cứng). Sau đó hệ thống cũng cần phải tiến hành dò tìm và loại bỏ các tạp nhiễu nhƣ
lông mi hay mí mắt che khuất mống mắt. Việc xác định vị trí của mống mắt là một
bƣớc rất quan trọng trong quá trình nhận dạng mống mắt bởi vì nếu để lẫn các tạp
nhiễu nhƣ mí mắt, con ngƣơi… sẽ dẫn đến hiệu quả nhận dạng thấp.

Hình 45. Ranh giới mống mắt.

Sau khi lấy đƣợc ảnh mống mắt, vùng mống mắt sẽ đƣợc trích chọn một
cách chính xác từ ảnh đó để hệ thống tiến hành nhận dạng. Do mống mắt thu đƣợc
từ những ngƣời khác nhau có thể đƣợc giữ lại với kích thƣớc khác nhau nên trƣớc
khi bắt đầu quá trình nhận dạng, cần phải tiến hành chuẩn hóa ảnh đầu vào cho phù
hợp.
Việc nhận dạng mống mắt đƣợc miêu tả cụ thể trong tài liệu [14].
 --- 61 ---

Hình 46. Quy trình xác thực HCĐT đề xuất tại Việt Nam.
 --- 62 ---

3.3 Đánh giá quy trình

Trong quy trình xác thực hộ chiếu điện tử đề xuất tại Việt Nam nói riêng và tại các
nƣớc trên thế giới nói chung, vấn đề đảm bảo an toàn và an ninh cho hộ chiếu đƣợc đặt
lên hàng đầu. Và để đảm bảo an toàn cho những thông tin cá nhân của chủ sở hữu hộ
chiếu, cần phải mã hóa các thông tin đó trƣớc khi ghi vào chip RFID. Hệ mật mã dựa trên
đƣờng cong Eliptic (ECC) đã đƣợc sử dụng trong bài toán đảm bảo an toàn thông tin cho
hộ chiếu điện tử. Đây là hệ mật khóa công khai, dùng hai khóa khác nhau cho quá trình
mã hóa và giải mã thông tin. Ngoài các ƣu điểm của hệ mật mã khóa công khai nhƣ sử
dụng hai khóa khác biệt, không suy ra đƣợc từ nhau nên rất thuận tiện cho việc trao đổi
khóa, có thể áp dụng để ký số… thì hệ mật ECC còn có tốc độ tính toán nhanh, phù hợp
cho các thiết bị tính toán có năng lực xử lý yếu nên đƣợc áp dụng cho hộ chiếu điện tử.
Chính vì thế, sử dụng hệ mật ECC là điều kiện tiên quyết đảm bảo hiệu năng của mô hình
xác thực hộ chiếu điện tử.
Quá trình Chip Authentication sử dụng lƣợc đồ trao đổi khóa phiên ngắn hạn theo
thuật toán Diffie-Hellman và theo giải thuật tựa Elgamal, phần tính toán đối với chip cũng
không nhiều. Theo mô hình thì chỉ cần phía chip lƣu trữ cặp khóa xác thực Diffie-
Hellman tĩnh nên không nhất thiết phải trao đổi khóa trƣớc đó giữa IS và RFIC. Đây cũng
là yếu tố góp phần đảm bảo hiệu năng cho mô hình.
Khác với Chip Authentication, quá trình Terminal Authentication có trao đổi chứng
chỉ, tuy nhiên các công việc xử lý liên quan đến phân phối chứng chỉ đều do CVCA, DV
và các IS thực hiện nên khối lƣợng tính toán xử lý của chip đƣợc hạn chế đến mức tối đa
và có thể triển khai thực hiện đƣợc trong thực tế.
Việc tích hợp cả ba đặc trƣng sinh trắc trong hộ chiếu điện tử sẽ cho phép nâng cao
độ chính xác trong quá trình kiểm tra, so khớp để xác thực ngƣời dùng một cách hiệu quả
hơn, đảm bảo thuận tiện, nhanh chóng và chính xác.
Ngày nay, với những kỹ thuật công nghệ cao, nguy cơ làm nhái hộ chiếu điện tử
ngày càng lớn. Nhƣng không vì thế mà hộ chiếu điện tử ít đƣợc sử dụng và triển khai.
Ngày càng nhiều các quốc gia triển khai ứng dụng hộ chiếu điện tử trong vấn đề xuất
nhập cảnh và đây vẫn là phƣơng án đƣợc sử dụng để bảo đảm an toàn và an ninh cho các
thông tin lƣu trong hộ chiếu.
 --- 63 ---

CHƢƠNG 4. THỬ NGHIỆM

4.1 Mở đầu
Để xây dựng đƣợc một hệ thống mô tả toàn bộ các bƣớc trong quy trình xác thực hộ
chiếu điện tử đòi hỏi phải đầu tƣ rất lớn về thời gian, chi phí, nguồn nhân lực và hạ tầng
cơ sở. Do điều kiện thời gian còn hạn chế, cơ sở thiết bị vật chất còn khó khăn nên trong
khuôn khổ bài luận văn này, chúng tôi chỉ tập trung xây dựng hệ thống quản lý chứng chỉ
số trong quy trình cấp phát/kiểm soát hộ chiếu điện tử. Ngoài ra, phần thực nghiệm này
cũng thử nghiệm một công cụ cho phép ký và kiểm tra chứng chỉ số trên tài liệu mô
phỏng dữ liệu của hộ chiếu điện tử.

4.2 Thử nghiệm hệ thống

4.2.1 Hệ thống quản lý chứng chỉ số
Đây là hệ thống đƣợc phát triển dựa trên phần mềm mã nguồn mở EJBCA
(http://ejbca.sourceforge.net). EJBCA là một ứng dụng Java chạy trên nền Web, có các
chức năng cơ bản sau:
- Cho phép tạo ra RootCA và các SubCA.
- Ký và mã hóa email.
- Tạo ra các file dữ liệu đã đƣợc ký.
- Tạo chứng chỉ số cho công dân để truy cập vào tài nguyên dữ liệu của chính
phủ.
- Tạo CVCA, DV và cấp phát các chứng chỉ số CVC (Card Verifiable
Certificate) đến DV và IS cho hộ chiếu điện tử áp dụng EAC.
- Hỗ trợ thuật toán khóa RSA lên đến 4096 bits.
- Hỗ trợ thuật toán khóa DSA với 1024 bits.
Trong luận văn này, chúng tôi sử dụng EJBCA để tạo ra các thực thể là CVCA, DV
và IS cho mô hình PKI áp dụng cho cơ chế Terminal Authentication. Theo đó, CVCA sẽ
là RootCA, DV là SubCA đƣợc cấp phát chứng chỉ bởi CVCA, IS là thực thể cuối đƣợc
cấp chứng chỉ bởi DV.
 --- 64 ---

Màn hình chính của EJBCA nhƣ sau:

Hình 47. Khởi động EJBCA.

Để có thể tạo ra đƣợc các thực thể cho PKI, chúng ta phải sử dụng chức năng
Administration với quyền SuperAdmin. Nhấn vào Administration, màn hình quản trị của
EJBCA nhƣ sau:
 --- 65 ---

Hình 48. Màn hình quản trị gốc của EJBCA.

Do nội dung luận văn chỉ sử dụng một số chức năng cơ bản của EJBCA, tập trung
vào các chức năng của CA và RA nên chúng tôi đã cắt bớt một số chức năng không cần
thiết của chƣơng trình, đồng thời chuẩn hóa phần tên các chức năng sang tiếng Việt. Phần
thực nghiệm chỉ tập trung vào Chức năng CA và Chức năng RA.
 --- 66 ---

Hình 49. Màn hình quản trị EJBCA.

Tại đây, chúng ta sẽ lần lƣợt tạo ra các thực thể CVCA, DV và IS cho mô hình PKI.
Nhấn vào Edit CA để tạo ra các CA. Theo mặc định thì hệ thống EJBCA ban đầu mới chỉ
có một CA là AdminCA1.

Hình 50. Màn hình tạo CA.

 --- 67 ---

Để tạo ra CA có tên là CVCA, gõ chữ CVCA vào ô Add và nhấn nút Create.

Hình 51. Thiết lập các thông số cho CVCA.

Tại màn hình này, chúng ta sẽ phải thiết lập các thông số cho một CA nhƣ kiểu CA,
thuật toán ký, kích thƣớc khóa RSA, DSA. Để CVCA là RootCA, ta cần phải chỉnh tùy
chọn Signed By là Self Signed, tức là CVCA sẽ tự xác thực chính nó.

Hình 52. Tùy chọn xác thực.

Nhƣ vậy, chúng ta đã tạo xong RootCA là CVCA. Hiện tại trong cơ sở dữ liệu
EJBCA đã có hai CA là AdminCA1 và CVCA.
 --- 68 ---

Sau khi tạo xong CVCA, chúng ta dễ dàng xem và download chứng chỉ số CVCA
tại chức năng Chức năng cơ bản.

Hình 53. Màn hình xem và download chứng chỉ số CVCA.

 --- 69 ---

Tiếp theo chúng ta sẽ tạo DV đƣợc xác thực bởi RootCA là CVCA với các thông số
thiết lập nhƣ sau:

Hình 54. Thiết lập thông số tạo DV.

Thiết lập các thông số tạo DV cũng tƣơng tự nhƣ tạo CVCA, chỉ khác là DV không
phải là RootCA mà là SubCA, nó đƣợc xác thực bởi CVCA nên trong ô Signed By chúng
ta chọn là CVCA.
Hệ thống kiểm duyệt IS tại mỗi quốc gia cần phải đƣợc hoạt động trong môi trƣờng
an ninh, đảm bảo việc xác thực hộ chiếu điện tử đƣợc diễn ra thành công đảm bảo đƣợc
tính toàn vẹn và xác thực của dữ liệu lƣu trong chip RFID. Trong hệ thống EJBCA này,
trƣớc khi tạo ra thực thể cuối IS, chúng ta cần thiết lập hiện trạng cho các chứng chỉ số IS
thực hiện việc truy cập vào chip RFID để đọc dữ liệu. Để thực hiện việc này, nhấn vào
chức năng Edit thuộc tính chứng chỉ.
Có ba nội dung cơ bản cần phải chú ý trong việc thiết lập hiện trạng cho chứng chỉ
số IS, đó là ngày hiệu lực của chứng chỉ, vùng dữ liệu trong chip RFID mà IS có quyền
truy cập, và kiểu thực thể EAC. Trong mô hình này, RootCA là CVCA, SubCA là DV và
End Entity là IS, nên chúng ta chọn kiểu thực thể cho IS-Cert là End Entity.
 --- 70 ---

Hình 55. Thiết lập ngày hiệu lực cho IS-Cert.

Hình 56. Chọn vùng dữ liệu DG mà IS có quyền truy cập.

Hình 57. Chọn kiểu cho IS-Cert.

 --- 71 ---

Trƣớc khi tạo ra IS, chúng ta cần phải thiết lập hiện trạng cho nó bằng cách nhấn
vào chức năng Edit thuộc tính thực thể cuối, chọn cả hai tùy chọn trong mục CN,
Common Name nhƣ sau:

Hình 58. Thiết lập hiện trạng IS.

Bƣớc tiếp theo là tạo thực thể cuối IS bằng cách vào chức năng Thêm thực thể cuối.

Hình 59. Tạo thực thể cuối IS.

 --- 72 ---

Chứng chỉ số của IS là chứng chỉ số của ngƣời dùng cuối và IS đƣợc xác thực bởi
DV. Sau khi tạo thành công IS, chúng ta có thể cấp chứng chỉ số IS một cách dễ dàng
bằng cách trở về màn hình Public EJBCA Pages, vào chức năng Enroll và nhấn OK để
thực hiện cấp IS-Cert nhƣ sau:

Hình 60. Cấp chứng chỉ số IS-Cert.

Nhƣ vậy, sử dụng EJBCA chúng ta có thể tạo ra đƣợc một chứng chỉ số IS-Cert với
thuộc tính chọn vùng dữ liệu truy cập vào chip RFID. Sử dụng IS-Cert, chúng ta có thể
chứng minh đƣợc hệ thống kiểm duyệt IS có quyền truy cập vào vùng dữ liệu nhạy cảm
và cơ chế Terminal Authentication trong quy trình xác thực hộ chiếu điện tử coi nhƣ
thành công. Tùy theo từng mô hình, từng hệ thống của các tổ chức khác nhau mà chúng ta
có thể sử dụng EJBCA để tạo ra các CA và các chứng chỉ số khác nhau tƣơng ứng.
 --- 73 ---

4.2.2 Chƣơng trình ký

Việc thử nghiệm chức năng ký trên hộ chiếu điện tử đƣợc thực hiện với phần mềm
ProSigner. Chẳng hạn để mô tả quá trình ký số và xác minh chữ ký trên vùng dữ liệu
đƣợc lƣu trong hộ chiếu điện tử bằng chứng chỉ số X.509.v3 có tên là
BuiThiQuynhPhuong với các thông tin chi tiết nhƣ sau.

Hình 61. Chứng chỉ số.

 --- 74 ---

Màn hình chính của chƣơng trình ProSigner.

Hình 62. Chƣơng trình ProSigner.

Trong quá trình tạo và ghi dữ liệu vào chip RFID, cơ quan cấp hộ chiếu điện tử sử
dụng chứng chỉ số của mình để ký lên vùng dữ liệu LDS. Tác giả đã minh họa dữ liệu
trong chip RFID trƣớc khi ký là một file dữ liệu với các 16 vùng dữ liệu DG nhƣ sau.
 --- 75 ---

Hình 63. File dữ liệu trƣớc khi ký số.

Khi tiến hành ký số lên file dữ liệu, chƣơng trình sẽ hỏi sử dụng chứng chỉ nào để
ký số. Tác giả đã sử dụng chứng chỉ số có tên là BuiThiQuynhPhuong với các chi tiết nhƣ
trên hình 46 để ký số cho file dữ liệu này.
 --- 76 ---

Hình 64. Chọn chứng chỉ để ký số.

Quá trình ký số đƣợc thực hiện bằng khóa bí mật.

Hình 65. Khóa bí mật.

 --- 77 ---

Sau khi nhấn OK, chƣơng trình sẽ tự động tạo ra một chữ ký điện tử và gắn vào file
dữ liệu gốc ban đầu.

Hình 66. File dữ liệu sau khi đã ký số.

Chi tiết chữ ký điện tử gắn vào file dữ liệu chứa thông tin của chứng chỉ số đƣợc sử
dụng, thời gian thực hiện quá trình ký. Trong quá trình thực hiện kiểm tra chữ ký,
ProSigner sẽ có một màn hình kết quả, hiển thị chữ ký số với những chi tiết nhƣ trong chữ
ký đính kèm với file dữ liệu. Màn hình kết quả này của ProSigner cũng cho phép ngƣời
dùng kiểm tra chứng chỉ số với các nút lệnh Verification Details, Validate Certificate…
 --- 78 ---

Hình 67. Màn hình hiển thị kết quả kiểm tra.
Với những kết quả hiện thị trên màn hình trùng khớp với chữ ký trong file dữ liệu,
chƣơng trình có thể kết luận file dữ liệu đã ký với chứng chỉ số BuiThiQuynhPhuong là
file dữ liệu gốc ban đầu, đảm bảo tính nguyên vẹn và xác thực dữ liệu.

4.3 Kết luận

Trong chƣơng 4 tác giả đã mô tả đƣợc quy trình tạo ra các thực thể mô hình PKI áp
dụng cho cơ chế Terminal Authentication với việc cấp phát, quản lý chứng chỉ số áp dụng
cho quá trình xác thực hộ chiếu điện tử bằng chƣơng trình EJBCA. Phần cuối chƣơng mô
tả ngắn gọn một số bƣớc trong chƣơng trình ký số và xác minh chữ ký số bằng chứng chỉ
số X.509 v.3 có tên là BuiThiQuynhPhuong với chƣơng trình ProSigner. Trên thực tế thì
những giai đoạn này đƣợc thực hiện phức tạp hơn nhiều, nhƣng với EJBCA và ProSigner,
chúng ta có thể hình dung đƣợc một phần nào đó trong toàn bộ quá trình cấp phát và xác
thực hộ chiếu điện tử.
 --- 79 ---

KẾT LUẬN CHUNG

Luận văn đã tập trung nghiên cứu, tìm hiểu, từ đó xây dựng quy trình xác thực hộ
chiếu điện tử, với tiêu chí bảo đảm an toàn, an ninh thông tin lƣu trong chip RFIC nhƣ cơ
chế kiểm soát truy cập cơ bản BAC, quá trình Passive Authentication, cơ chế kiểm soát
truy cập mở rộng EAC với hai quá trình Chip Authentication với Terminal
Authentication… Đồng thời, tác giả cũng đã nghiên cứu và đƣa ra một mô hình chung các
bƣớc cho quá trình xác thực hộ chiếu điện tử ở Việt Nam, sử dụng cơ chế kiểm soát truy
cập mở rộng EAC cho các dữ liệu sinh trắc của ngƣời sở hữu hộ chiếu.
Thay thế hộ chiếu thông thƣờng bằng hộ chiếu điện tử là một nhu cầu cần thiết trong
giai đoạn hiện nay. Thông qua một số mô hình HCĐT đã triển khai tại các nƣớc trên thế
giới, tác giả đã nghiên cứu và đề xuất một quy trình xác thực HCĐT phù hợp với nhu cầu
thực tiễn tại Việt Nam, đảm bảo cho việc quản lý xuất nhập cảnh đƣợc dễ dàng hơn, thuận
tiện hơn. Tổ chức hàng không dân dụng quốc tế ICAO đã đƣa ra một số cơ chế bảo mật
thông tin cho hộ chiếu điện tử, mỗi quốc gia có thể sử dụng bất kỳ một cơ chế nào phù
hợp với tình hình an ninh của quốc gia đó. Một trong những chỉ tiêu đƣợc đặt ra trong dự
thảo Quyết định của Thủ tƣớng Chính phủ Phê duyệt Chƣơng trình Quốc Gia về Ứng
dụng Công Nghệ Thông Tin đƣợc Bộ Thông tin và Truyền thông xin ý kiến nhân dân từ
ngày 16/10/2009 đến 16/12/2009 là đến năm 2015, 100% hộ chiếu đƣợc cấp cho công dân
Việt Nam phục vụ công tác xuất, nhập cảnh là hộ chiếu điện tử. Chính vì vậy, tác giả đã
xây dựng một quy trình xác thực hộ chiếu điện tử áp dụng cả cơ chế BAC, Passive
Authentication, cơ chế kiểm soát truy cập mở rộng EAC với cả ba loại dữ liệu sinh trắc
của ngƣời dùng là ảnh khuôn mặt, dấu vân tay và mống mắt đều đƣợc lƣu vào chip RFID.
Sau khi đã xác thực thành công cả ba dữ liệu sinh trắc này của ngƣời dùng thì có thể
khẳng định ngƣời mang hộ chiếu điện tử là hợp lệ.
Để xây dựng thử nghiệm và triển khai đƣợc quy trình xác thực hộ chiếu điện tử đòi
hỏi phải có thời gian, chi phí và nguồn nhân lực rất lớn. Trong khuôn khổ đề tài luận văn
tốt nghiệp này, tác giả mới chỉ tìm hiểu đƣợc các vấn đề về hộ chiếu điện tử nhƣ công
nghệ RFID, là công nghệ cơ bản nhất đƣợc sử dụng cho chip RFID lƣu trong hộ chiếu,
các khái niệm về chuẩn ISO 14443, cách tổ chức dữ liệu logic trong chip RFID, các cơ
chế bảo mật thông tin lƣu trong chip và xây dựng đƣợc một quy trình các bƣớc để xác
thực hộ chiếu điện tử tại các điểm xuất nhập cảnh. Trong tƣơng lai, tác giả sẽ cố gắng
nghiên cứu và tìm hiểu thêm về vấn đề này, tích hợp đƣợc các bƣớc ký số và xác minh
chữ ký trên chip RFID lƣu trong hộ chiếu điện tử vào hệ thống EJBCA, đồng thời phát
triển và thực nghiệm mô hình xác thực hộ chiếu điện tử trong thực tế.
 --- 80 ---

TÀI LIỆU THAM KHẢO

Tiếng Việt
[1] Dƣ Phƣơng Hạnh, Trƣơng Thị Thu Hiền, Nguyễn Ngọc Hóa, Khoa CNTT, ĐHCN-
ĐHQGHN, Hộ chiếu điện tử và mô hình đề xuất tại Việt Nam, Đề tài khoa học, 2007.
[2] Phạm Tâm Long, Khoa CNTT, ĐHCN-ĐHQGHN, Mô hình bảo mật hộ chiếu điện tử,
Luận văn Thạc sĩ, 2008.
Tiếng Anh
[3] EI-Sayed Islam, Leiter Tristan, Machine Readable Travel Document.
[4] Technical Guideline TR-03110, Advanced Security Mechanisms for Machine
Readable Travel Documents - Extended Access Control (EAC).
[5] Massimo Tistarelli, Jose L.Alba, Carlos Orrite, Lale Akarun, Alex Frangi, Constantine
Butakoff, Anastasios Tefas, Richard Ng and Jean-Luc Dugelay, Biometrics for Secure
Authentication, 2004.
[6] INTERNATIONAL STANDARD © ISO/IEC, Final Committee Draft, ISO/IEC
14443-1 Part 1: Physical characteristics, 1997.
[7] INTERNATIONAL STANDARD © ISO/IEC, Final Committee Draft, ISO/IEC
14443-2 Part 2: Radio frequency power and signal interface, 1999.
[8] INTERNATIONAL STANDARD © ISO/IEC, Final Committee Draft, ISO/IEC
14443-3 Part 3: Initialization and anticollision, 1999.
[9] INTERNATIONAL STANDARD © ISO/IEC, Final Committee Draft, ISO/IEC
14443-4 Part 4: Transmission protocol, 1998.
[10] Raymond Veldhuis, Biometrics for Secure Authentication, 2004.
[11] John Daugman, PhD, OBE, How Iris Recognition Works.
[12] Doc 9303, Ninth Draft: Machine Readable Travel Documents, July 2005.
[13] Ivo Pooters, Keep Out of My Passport: Access Control Mechanisms in E-passports,
2008.
[14] Bundes Druckerei, A Concise Guide To The German ePassport System, 2007.
[15] Ari Juels, David Molnar and David Wagner, Security and Privacy Issues in E-
passports.