Hạ tầng PKI di động và tích hợp dịch vụ chứng thực điện tử cho thiết bị di động
Ứng dụng hạ tầng PKI di động
Hạ tầng PKI di động (hay không dây) cung cấp các dịch vụ tin cậy cho các CTS của thuê bao thiết bị di động sử dụng chữ ký số (CKS). Nó xuất hiện từ những năm đầu thế kỷ 21, khi các ứng dụng di động đã phát triển, tuy nhiên, tới năm 2008 - 2009 mới được ứng dụng rộng rãi cho các loại thiết bị di động không dây như điện thoại di động (ĐTDĐ) và các loại thiết bị nghe nhìn di động khác. Các thiết bị di động này hoạt động tương tự máy tính và là sự tích hợp số hóa của tất cả các loại thiết bị truyền thông đầu cuối.
Ngày nay, nhu cầu sử dụng thiết bị số di động cá nhân ngày càng nhiều và được mặc nhiên gắn liền với từng thuê bao cụ thể. Chính vì thế, yêu cầu đảm bảo xác thực quyền sử dụng của chủ thuê bao, xác thực các đối tác liên lạc khác và đảm bảo tính xác thực, tính bí mật của các nội dung thông tin giao dịch ngày càng trở nên quan trọng. Thông tin trao đổi giữa các thuê bao rất đa dạng, từ liên lạc thoại truyền thống đến các dịch vụ thông báo ngắn SMS, dịch vụ thông báo đa phương tiện MMS, thông tin web, thư điện tử.... Nhiều ứng dụng thiết bị di động cá nhân (TBDĐCN), phục vụ cho thương mại di động (M- Commerce) như: thanh toán chi phí sinh hoạt, chuyển tiền, mua bán trực tuyến, dịch vụ chăm sóc sức khỏe cá nhân.... Ứng dụng đơn giản nhất là khi một thiết bị di động truy cập đến một dịch vụ di động trên mạng thì cần phải xác thực thuê bao thông qua cơ chế Hỏi - Trả lời (Challenge – Response). Dịch vụ di động sẽ nhờ máy chủ kiểm tra tính hợp lệ phía hạ tầng PKI di động xác thực thuê bao thay mình. Thiết bị di động cần phải có khả năng cho phép thuê bao ký số tích hợp được CTS do hạ tầng PKI di động cung cấp vào yêu cầu nhận được từ máy chủ hợp lệ kiểm tra rồi gửi trở lại để kiểm tra tính hợp lệ. Nếu thành công thì máy chủ hợp lệ kiểm tra sẽ gửi thông báo cho dịch vụ di động, cho phép thiết bị di động truy cập dịch vụ theo yêu cầu.
Các loại TBDĐCN có thể được xác thực thuê bao và bảo mật thông tin liên lạc giữa các thuê bao bằng nhiều phương pháp khác nhau. Có thể sử dụng mật khẩu và mật mã khóa đối xứng thông thường, hoặc sử dụng mật mã khóa phi đối xứng các công nghệ sinh trắc hiện đại, để xác thực, nhưng biện pháp an toàn nhất vẫn là sử dụng CTS và các dịch vụ tin cậy liên quan do hạ tầng PKI di động cung cấp.
Dịch vụ xác thực và bảo mật cho các TBDĐCN sử dụng CTS có nhiều điểm khác biệt so với dịch vụ xác thực cho mạng cố định. Thứ nhất, hạ tầng PKI di động phải cung cấp các dịch vụ chức năng CTĐT cho các TBDĐCN thông qua hạ tầng mạng viễn thông di động (thay vì hạ tầng mạng máy tính cố định truyền thống). Thứ hai, các TBDĐCN thường bị hạn chế khả năng xử lý, lưu trữ, truyền tin và các giao diện với người sử dụng khiến cho việc phát triển ứng dụng khó khăn hơn rất nhiều so với một máy tính trạm truyền thống. Thứ ba, thiết bị lưu khóa phải gọn nhẹ và dễ dàng lắp đặt vào các TBDĐCN.
Cũng chính vì những khác biệt trên nên mặc dù ý tưởng về hạ tầng PKI di động xuất hiện từ lâu nhưng mãi đến gần đây công nghệ mới đủ điều kiện để triển khai hiệu quả.
Trên thế giới, hiện nay hạ tầng PKI di động đã được ứng dụng rộng rãi trong thương mại di động (M- Commerce) trong triển khai Chính phủ điện tử (E- Government) và một số hoạt động kinh tế xã hội tại các quốc gia vùng Ban tích và bán đảo Scandinavia, Thổ Nhĩ Kỳ.
Tại Việt Nam, nhu cầu về triển khai hạ tầng PKI di động sẽ tăng cao trong thời gian tới vì các thiết bị di động sẽ được sử dụng ngày càng phổ biến trong hoạt động tác nghiệp.
Giải pháp và mô hình công nghệ của hạ tầng PKI di động
Công nghệ PKI di động được phát triển dựa trên các yếu tố sau:
Số hóa nguồn thông tin di động và khả năng lập trình
Truyền tin vô tuyến số hóa có thể ứng dụng mật mã hiện đại để bảo mật và xác thực thông tin và do đó có thể sử dụng CTS. Khi đó, các thiết bị di động sẽ giống với các máy tính thu nhỏ cho phép lập trình tích hợp các chức năng mật mã vào trong hoạt động truyền thông tin vô tuyến số hóa.
Công nghệ lập trình cho ĐTDĐ phổ biến là dựa trên ngôn ngữ Java, với nền phát triển J2ME. Công nghệ này cho phép tích hợp những tính năng mật mã và các tính năng khác của dịch vụ CTĐT trong hạ tầng PKI di động vào thiết bị di động một cách tương đối thuận tiện và hiệu quả.
Các ứng dụng số hóa thông tin di động phát triển đầy đủ hơn khi chuyển sang thế hệ 2.5G. EMS (sử dụng chính SMS để chuyển tải nhưng có thể có thêm âm thanh và hình ảnh) là một bước trung gian để tiến đến nguồn tin đa phương tiện đầy đủ. Tiếp theo, tin nhắn đa phương tiện MMS là một cuộc cách mạng so với EMS, sử dụng ngôn ngữ SMIL để thể hiện, giống như trang Web sử dụng ngôn ngữ HTML hay trang WAP trong môi trường di động sử dụng ngôn ngữ WML. MMS cũng có thể được xác thực và
bảo mật. Mật mã khóa công khai MMS có thể sử dụng như là một email (người ta có thể gửi MMS từ một địa chỉ email đến ĐTDĐ và ngược lại) nên được ứng dụng rộng trong các hoạt động kinh doanh thương mại và kinh tế xã hội.
Thông tin thoại số đang được sử dụng rộng rãi dựa trên công nghệ 3G. Để xác thực và bảo mật các cuộc thoại giữa các thuê bao sử dụng mật mã khóa công khai, ưu việt nhất là sử dụng CTS với hạ tầng PKI di động đảm bảo tin cậy cho CTS.
Khắc phục những hạn chế trong công nghệ PKI di động
Lựa chọn giải pháp bảo mật và xác thực dựa trên CTS với hạ tầng PKI di động thì chúng ta phải vượt qua một số hạn chế điển hình của hạ tầng công nghệ di động hiện hành.
Từ phía người sử dụng, phải xem xét với các góc độ khác nhau để tìm ra giải pháp khả thi cho việc tích hợp dịch vụ CA vào các thiết bị di động an toàn và hiệu quả, bảo đảm tính tiện dụng và khả năng áp dụng rộng rãi.
ĐTDĐ thế hệ 3G đạt mức tiện dụng và thân thiện cao đối với người sử dụng. Người sử dụng có thể dễ dàng tích hợp CTS và sử dụng thẻ thông minh SIMCard lưu trữ khóa, xử lý mật mã vào thiết bị di động.
Công nghệ tích hợp thẻ thông minh SIM Card và phần mềm ứng dụng mật mã vào ĐTDĐ tuy đã có trên thế giới nhưng chưa áp dụng tại Việt Nam nên hiện nay có thể sử dụng giải pháp Token mềm để thay thế.
So với một máy tính thì tính năng của ĐTDĐ bị hạn chế nhiều. Để truy cập Web thì ĐTDĐ không thể cung cấp được toàn bộ các khả năng của ngôn ngữ HTML. Đối với các chức năng xử lý CTS của ĐTDĐ, do khả năng xử lý và lưu trữ hạn chế nên các CTS cũng được bỏ bớt đi các trường không trực tiếp liên quan đến ký số hay thậm chí chính bản thân CTS được thay bằng địa chỉ đường dẫn của nó tại hạ tầng PKI di động.
Như vậy, tất cả các quá trình tính toán, ngoài việc ký số, đều được chuyển về thực hiện tại phía hạ tầng PKI di động, thay vì được thực hiện tại ĐTDĐ như đối với các ứng dụng PKI thông thường để giảm tải tối đa cho ĐTDĐ nhằm đáp ứng được các yêu cầu sử dụng thực tế. Tuy nhiên điều mà người ta muốn là có một máy tính được sử dụng thuận tiện như một ĐTDĐ hơn là có một ĐTDĐ có các chức năng của một máy tính.
Kiến trúc mô hình công nghệ của hạ tầng PKI di động
Kiến trúc mô hình công nghệ của hạ tầng PKI di động là bổ sung một Gateway tại phía hạ tầng PKI truyền thống để thực hiện việc cung cấp các dịch vụ chức năng CTS cho các thiết bị di động đang hoạt động. Do các thiết bị di động bị hạn chế về khả năng tính toán và lưu trữ nên Gateway này phải đảm nhiệm một số chức năng cho các thiết bị di động như kiểm tra tính hợp lệ của một CTS và một số tác vụ khác (tốn thời gian tính toán và bộ nhớ lưu trữ).
Thiết bị di động chỉ phải thông báo cho Gateway về địa chỉ URL của CTS thay vì truyền đi CTS và nhận lại thông tin về trạng thái hợp lệ hay không hợp lệ của CTS. Như vậy, giữa thiết bị di động và hạ tầng PKI di động đã hình thành nên mô hình Client – Server, trong đó Gateway của hạ tầng PKI di động đóng vai trò Server cung cấp dịch vụ đồng thời cho nhiều Client là các thiết bị di động.
Đối với kết nối viễn thông di động, nhà cung cấp dịch vụ di động phải cung cấp hạ tầng kết nối di động giữa các thiết bị di động và hạ tầng PKI di động. Về nguyên tắc thì hạ tầng PKI di động cũng có thể tổ chức quản lý dịch vụ kết nối di động này bằng cách thiết lập các thiết bị Modem di động và đăng ký số thuê bao cho các thiết bị di động quay số đến, trước khi nhận các dịch vụ tin cậy cần thiết.
Thông tin giao dịch giữa thiết bị di động và Gateway sẽ được chuyển tiếp giữa mạng vô tuyến và mạng hữu tuyến nên cần giải quyết một số vấn đề. Nếu sử dụng giao thức bảo mật qua giao thức WTLS trong vùng vô tuyến thì thông tin lập mã phải được giải mã tại WAP gateway rồi lại được lập mã lại tại vùng hữu tuyến sử dụng giao thức SSL để đến Gateway.
Như vậy, người quản trị tại các WAP Gateway có thể đọc được các nội dung thông tin giải mã và như vậy vi phạm tính bảo mật của các thông tin nhạy cảm truyền qua lại giữa thiết bị di động và CA.
Nếu sử dụng công nghệ 3G hoặc cao hơn với phiên bản WAP 2.0 thì “khoảng trống” này được khắc phục với chỉ một giao thức kiểu SSL cho cả hai vùng vô tuyến và hữu tuyến. Bảo mật được thực hiện theo kiểu End- to- End thay vì theo kiểu Link- to- Link như trước đây.
Để giảm thiểu tính toán và phụ trội đường truyền giữa các thiết bị di động, người ta đã đề xuất thuật toán mật mã khóa công khai đường cong Elliptic để có độ an toàn cao nhưng với tham số nhỏ hơn và đòi hỏi dung lượng lưu trữ ít hơn.
Với những bổ sung và cải tiến công nghệ như trên thì hoạt động xác thực và bảo mật của các thiết bị di động sử dụng CTS là hoàn toàn hiện thực. Một hạ tầng PKI truyền thống có thể được bổ sung thêm các tính năng để cung cấp dịch vụ tin cậy đối với các CTS cho các thiết bị di động. Các thiết bị di động cũng có khả năng tích hợp CTS và thẻ thông minh SIM Card phục vụ cho hoạt động CTĐT của mình.
Dưới đây mô tả một kiến trúc mô hình PKI di động thể hiện mối quan hệ giữa hạ tầng PKI di động và thiết bị ĐTDĐ và vai trò của từng thành phần trong đó với hai chức năng đăng ký, cấp phát CTS và giao dịch an toàn (Hình 1).
Chức năng đăng ký cấp phát CTS di động
- Thiết bị di động hay người sử dụng cuối gửi yêu cầu cấp CTS lên Gateway gọi là PKI Portal hay thẩm quyền đăng ký RA (1).
- Thẩm quyền đăng ký RA chấp thuận yêu cầu cấp phát CTS và gửi nó đến cho Thẩm quyền chứng thực CA (2).
- Thẩm quyền chứng thực CA cấp phát CTS và gửi CTS trở lại cho thẩm quyền đăng ký RA (3).
- Thẩm quyền chứng thực CA công bố CTS của người sử dụng cuối lên thư mục mạng Directory (4).
- Thẩm quyền đăng ký RA là PKI Portal tạo ra địa chỉ URL của CTS và chuyển nó đến thiết bị di động (5).
Đến đây chức năng đăng ký cấp phát CTS cho người sử dụng cuối đã hoàn thành và họ có thể sử dụng CTS để giao dịch khi có nhu cầu. Tất nhiên là liên lạc giữa thiết bị di động và PKI Portal là thực hiện qua mạng di động.
Chức năng giao dịch an toàn sử dụng CTS
- Các máy chủ nội dung cung cấp dịch vụ di động cho người sử dụng cuối sẽ lấy lại các CTS và thông tin gỡ bỏ CTS từ thư mục mạng Directory (6).
- Người sử dụng cuối thực hiện phiên liên lạc WTLS an toàn bảo mật giữa thiết bị di động và WAP Gateway trong môi trường viễn thông di động (7).
- WAP Gateway chuyển tiếp phiên liên lạc SSL/TLS an toàn bảo mật với Máy chủ TMĐT trong môi trường mạng máy tính (8).
- Giao dịch/nội dung Internet được ký số và truyền đi an toàn giữa thiết bị di động và Internet cùng với định vị của CTS (URL) của thiết bị di động hay người sử dụng cuối (9).
Trong chức năng giao dịch thì người sử dụng cuối đã được cấp phát CTS và có nhu cầu truy cập đến một dịch vụ mạng trên Internet đặt tại máy chủ TMĐT. Người sử dụng cuối phải được máy chủ TMĐT sử dụng CTS xác thực trước khi được cho phép truy cập dịch vụ mạng mong muốn.
Các thành phần công nghệ chính của hạ tầng PKI di động
Nếu người sử dụng cuối sử dụng SSL/TLS để xác thực và bảo mật giao dịch giữa thiết bị di động và Máy chủ TMĐT thì trong kịch bản này sẽ có nguy cơ giao dịch bị lộ dưới dạng rõ tại WAP Gateway. Trường hợp phía hạ tầng PKI di động triển khai và quản lý WAP Gateway thì có thể hạn chế được nguy cơ này.
Nếu mạng di động là 3G hay cao hơn sử dụng giao thức WAP 2.0 hoặc cao hơn thì các giao thức WTLS và SSL/TLS sẽ đồng nhất giữa mạng viễn thông di động và mạng máy tính và thông tin mã hóa không bị giải mã tại WAP Gateway mà được chuyển tiếp tự động đến Máy chủ TMĐT.
Kết luận
Hạ tầng PKI di động ngày càng có nhiều ứng dụng rộng rãi trong nền kinh tế - xã hội và an ninh - quốc phòng, nhất là khi ứng dụng rộng rãi viễn thông di động công nghệ 2.5G, 3G, 4G. Khi đó, sự khác biệt giữa các công nghệ viễn thông hữu tuyến và vô tuyến cũng được khắc phục, khiến cho liên lạc mạng an toàn trở thành trong suốt từ vùng mạng điện thoại vô tuyến sang vùng mạng điện thoại hữu tuyến. Tuy nhiên, đảm bảo an toàn thông tin trong môi trường di động và không dây là khó khăn, phức tạp hơn so với môi trường hữu tuyến và hạ tầng PKI di động vẫn giữ một vai trò quan trọng đối với các dịch vụ xác thực và bảo mật thiết bị di động. Vì vậy, việc sớm đầu tư xây dựng các hạ tầng PKI di động hiện đại phục vụ cho các dịch vụ tin cậy sử dụng CTS trong môi trường di động nhất là trong hoạt động CTĐT chuyên dùng Chính phủ là rất cần thiết.