(1/1) Xây dựng Hệ thống định danh chuyển đổi số của Ban Cơ yếu Chính phủ

09:45 | 29/11/2023
Th.S Lê Quang Tùng , Nguyễn Sỹ Bách (Cục Chứng thực số và Bảo mật thông tin) , Ban Cơ yếu Chính phủ)

Ngày 06/01/2022, Thủ tướng Chính phủ đã phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ việc chuyển đổi số (CĐS) quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (gọi tắt là Đề án 06). Mục tiêu tổng quát của Đề án là ứng dụng Cơ sở dữ liệu (CSDL) quốc gia về dân cư, hệ thống định danh và xác thực điện tử, thẻ căn cước công dân (CCCD) gắn chip điện tử trong công cuộc CĐS quốc gia một cách linh hoạt, sáng tạo, phù hợp Chương trình CĐS quốc gia đến năm 2025, định hướng đến năm 2030. Đối với Ban Cơ yếu Chính phủ (CYCP), để thực hiện cải cách hành chính, chuyển đổi số mạnh mẽ, toàn diện, Ban đã thực hiện triển khai hệ thống định danh tập trung căn cứ theo Nghị định số 59/2022/NĐ-CP nhằm đảm bảo quá trình CĐS của Ban CYCP được thống nhất, đồng bộ, qua đó góp phần vào sự phát triển của các dịch vụ công toàn trình phục vụ các cơ quan Đảng, Nhà nước thực hiện CĐS thành công.

TÍNH CẤP THIẾT CỦA VIỆC XÂY DỰNG HỆ THỐNG ĐỊNH DANH TẬP TRUNG

Hiện nay, Đề án 06 đang được triển khai, hệ thống định danh và xác thực điện tử được đưa vào sử dụng là nền tảng để phát triển hệ sinh thái số trong thực hiện thủ tục hành chính, cung cấp dịch vụ công trực tuyến gắn kết với CĐS trong hoạt động sản xuất, kinh doanh, tiến tới bảo đảm thông tin, dữ liệu điện tử chỉ cần cung cấp, số hóa một lần. Mỗi người dân và doanh nghiệp được cung cấp tài khoản định danh điện tử để phục vụ các giao dịch trên môi trường điện tử gắn với các hệ sinh thái chữ ký số, hợp đồng điện tử, thanh toán điện tử. Với các tổ chức tài chính, ngân hàng, thanh toán điện tử, sử dụng các ứng dụng của hệ thống định danh và xác thực điện tử thì các tài khoản người dùng đều được xác thực đảm bảo đúng với danh tính của từng công dân, tạo sự minh bạch, góp phần trong công tác đấu tranh, phòng, chống rửa tiền, giảm gian lận và lừa đảo trên không gian mạng.

Ngày 05/9/2022, Chính phủ ban hành Nghị định số 59/2022/NĐ-CP quy định về định danh và xác thực điện tử, có hiệu lực thi hành kể từ ngày 20/10/2022. Theo đó, mỗi cá nhân hay tổ chức đều có danh tính điện tử. Đây là thông tin của chủ thể trong hệ thống định danh và xác thực điện tử, cho phép xác định duy nhất cá nhân hoặc tổ chức đó trên môi trường điện tử. Mỗi danh tính điện tử được đăng ký một tài khoản định danh điện tử.

Theo báo cáo của Bộ Công an tại Hội nghị sơ kết 6 tháng đầu năm 2023 triển khai Đề án 06, hiện nay, Bộ Công an đã thu nhận trên 48 triệu hồ sơ cấp tài khoản định danh điện tử, có 22,1 triệu tài khoản đã kích hoạt. Bên cạnh đó, trong 06 tháng đầu năm 2023, Cổng Dịch vụ công Quốc gia đã có hơn 3,6 triệu tài khoản đăng ký; tính đến thời điểm hiện tại Cổng đã có hơn 7,77 triệu tài khoản định danh.

Trong thực tế, tài khoản định danh điện tử sẽ có những lợi ích như tiết kiệm được nhiều thời gian, chi phí vì không phải kê khai nhiều loại biểu mẫu, giảm nhiều khâu thủ tục khi thực hiện các giao dịch hành chính công. Công dân có thể thay thế CCCD và các loại giấy tờ đã đăng ký tích hợp hiển thị trên ứng dụng định danh điện tử quốc gia, như giấy phép lái xe, đăng ký xe, bảo hiểm y tế,... Như vậy, khi người dân giao dịch hành chính sẽ giảm tối đa các giấy tờ phải mang theo. Công dân có thể sử dụng tài khoản định danh điện tử để thực hiện các giao dịch tài chính, như thanh toán hóa đơn điện và nước, đóng bảo hiểm xã hội và bảo hiểm y tế, chuyển tiền,... Khi sử dụng tài khoản này, người dân sẽ được bảo mật thông tin, tránh bị giả mạo, giúp các giao dịch được an toàn.

Đối với các cơ quan nhà nước, việc xác thực danh tính của các cán bộ, công chức, viên chức cần một số thông tin bổ sung so với danh tính của công dân, ví dụ như thông tin về cơ quan, chức vụ công tác và một số thông tin khác. Mặt khác, đối với các đối tượng này, mức độ xác thực cần phải cao hơn để đảm bảo an toàn, xác thực cho các hệ thống thông tin của các cơ quan nhà nước. Các cá nhân, tổ chức của cơ quan nhà nước có thể sử dụng chứng thư số chuyên dùng Chính phủ đã được cấp để định danh và xác thực. Vì vậy, các cơ quan nhà nước cần thiết phải có hệ thống quản lý danh tính riêng của mình.

Đối với Ban CYCP, hiện nay, đã triển khai 22 dịch vụ công trực truyến toàn trình, trong đó có 17 dịch vụ cung cấp Chứng thực điện tử chuyên dùng Chính phủ phục vụ các cá nhân, tổ chức của các cơ quan Đảng, Nhà nước; 05 dịch vụ cung cấp mật mã dân sự phục vụ các doanh nghiệp kinh doanh các sản phẩm công nghệ thông tin có sử dụng mật mã dân sự.

Bên cạnh đó, để thực hiện cải cách hành chính, chuyển đổi số mạnh mẽ, toàn diện trong nội bộ Ban CYCP, nhiều hệ thống thông tin chuyên ngành, hệ thống thông tin nền tảng, tập trung được xây dựng và triển khai như: hệ điều hành tác nghiệp tập trung, hệ thống tích hợp chia sẻ dữ liệu, hệ thống giám sát tập trung; các hệ thống thông tin chuyên ngành như quản lý nghiên cứu khoa học, quản lý nhân sự, quản lý các sản phẩm mật mã,...

Theo quy định tại Nghị định số 59/2022/NĐ-CP, Ban CYCP được giao sử dụng danh tính điện tử, tài khoản định danh điện tử trong việc cung cấp dịch vụ chữ ký số chuyên dùng Chính phủ. Theo tiêu chuẩn ISO/IEC 29115:2013 thì mức độ bảo đảm danh tính và mức độ bảo đảm xác thực chỉ đạt mức độ cao nhất khi sử dụng chứng thư số và thiết bị phần cứng an toàn, chứng thư số để định danh. Ban CYCP hiện nay đã cung cấp gần 700 nghìn chứng thư số cho các cơ quan, tổ chức, cá nhân của các cơ quan Đảng, Nhà nước. Đây sẽ là nguồn phương tiện định danh rất lớn và tin cậy để triển khai hệ thống định danh tập trung của Ban CYCP.

HỆ THỐNG ĐỊNH DANH TẬP TRUNG CỦA BAN CYCP

Hệ thống định danh tập trung của Ban CYCP (gọi tắt là BCY-IDP) được đề xuất xây dựng dựa trên nền tảng mã nguồn mở Keycloak (Hình 1). Bằng việc kế thừa một số chức năng có sẵn của nền tảng này như: quản lý phiên, quản lý ứng dụng, thực hiện ánh xạ thuộc tính và vai trò, triển khai giao diện quản trị,... Tiếp đó, phát triển mở rộng thêm các khối chức năng để hệ thống phù hợp với yêu cầu nghiệp vụ của dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ. Bảo đảm định danh người dùng thông qua thiết bị phần cứng an toàn PKI Token hoặc Sim PKI và chứng thư số do Ban CYCP cung cấp. Để giao tiếp được với các khối chức năng mở rộng, mã nguồn của nền tảng sẽ được thay đổi và phát triển thêm module ghép nối, làm nhiệm vụ kết nối các thành phần mở rộng với nền tảng.

Hình 1. Mô hình Hệ thống định danh tập trung của Ban CYCP

Module tiếp nhận và xử lý xác thực: Tiếp nhận yêu cầu xác thực, xử lý và trả về kết quả của quá trình xác thực. Module này sau khi nhận được yêu cầu xác thực, sẽ nhận biết và chạy luồng xử lý tương ứng; nếu yêu cầu xác thực sử dụng PKI Token, module xử lý xác thực sẽ giao tiếp với trình xác thực PKI Token; nếu yêu cầu xác thực sử dụng Sim PKI, lúc này module xử lý xác thực sẽ giao tiếp với trình xác thực Sim PKI. Sau khi nhận được kết quả xác thực từ các trình xác thực, module sẽ phản hồi kết quả lại cho nền tảng.

Trình xác thực PKI Token: Thực hiện xác thực người dùng qua PKI Token (Hình 2). Trình xác thực này sẽ chịu trách nhiệm liên lạc với Dịch vụ kiểm tra trạng thái chứng thư (OCSP) để đạt được mục tiêu xác thực người dùng. Kết quả xác thực sẽ được gửi trở lại module xử lý xác thực.

Hình 2. Quy trình xác thực định danh sử dụng thiết bị PKI Token

Trình xác thực Sim PKI: Thực hiện xác thực người dùng qua thẻ Sim PKI được Ban CYCP cấp (Hình 3). Trình xác thực này sẽ chịu trách nhiệm liên lạc với Dịch vụ cung cấp chữ ký số trên thiết bị di dộng để đạt được mục tiêu xác thực người dùng. Kết quả xác thực sẽ được gửi trở lại module xử lý xác thực.

Hình 3. Quy trình xác thực định danh sử dụng Sim PKI

Module đối chiếu, so sánh thông tin danh tính với CSDL quốc gia về dân cư: Để đảm bảo CSDL về chứng thư số được “đúng-đủ-sạch-sống” để phục vụ định danh, hệ thống cần phải kiểm tra toàn bộ các dữ liệu với CSDL quốc gia về dân cư. Hiện nay, nguồn dữ liệu thông tin danh tính đáng tin cậy nhất là nguồn CSDL quốc gia về dân cư do Bộ Công an quản lý. Do vậy, module này sẽ thực hiện nhiệm vụ đối chiếu thông tin danh tính bằng cách giao tiếp với Dịch vụ cung cấp thông tin công dân của Bộ Công an, sau đó đưa ra thông báo cho người quản trị.

Module ký số sử dụng thiết bị HSM: Các nhà cung cấp dịch vụ sẽ sử dụng mã uỷ quyền để yêu cầu BCY-IDP cung cấp ID Token, với ID Token là một JSON Web Token (JWT). Các nhà cung cấp dịch vụ sau khi nhận được JWT, sẽ tiến hành xác minh chữ ký để bảo đảm dữ liệu đúng là của BCY-IDP phát hành. Với bất kỳ phản hồi nào (phát hành token, làm mới token) nhà cung cấp danh tính đều phải ký số trước khi gửi đi, do vậy cần thiết phải sử dụng thiết bị HSM để thực hiện ký số hàng loạt, tăng cường hiệu năng hoạt động và an toàn khoá.

Tích hợp ứng dụng, hệ thống với BCY-IDP (Hình 4): Các ứng dụng hay các hệ thống của nhà cung cấp dịch vụ cần phải có công cụ/ phương tiện để “nói chuyện” với nhà cung cấp danh tính. Đây là những công cụ để tích hợp hệ thống cung cấp danh tính cho ứng dụng và dịch vụ. Các phương tiện tích hợp này có thể là các tệp tin cấu hình hoặc các thư viện được viết bằng nhiều ngôn ngữ khác nhau. Các lập trình viên sẽ sử dụng các thư viện này để tích hợp dịch vụ cung cấp danh tính vào trong các ứng dụng.

Hình 4. Tích hợp hệ thống định danh với ứng dụng bên thứ 3

Hệ thống BCY-IDP cần phải có cơ chế đăng nhập một lần SSO (Hình 5) để người dùng chỉ phải xác thực quá trình định danh một lần - lần đầu tiên truy cập vào một ứng dụng, sau khi đã xác thực thành công, người dùng có thể truy cập vào các ứng dụng khác mà không cần xác thực lại.

Hình 5. Cơ chế đăng nhập một lần SSO của hệ thống định danh

KẾT LUẬN

Hệ thống định danh tập trung BCY-IDP của Ban CYCP sử dụng cơ chế xác thực đảm bảo danh tính mức độ cao, sử dụng thiết bị phần cứng an toàn (PKI Token, Sim PKI) và chứng thư số do Ban CYCP cấp phát, đảm bảo an toàn đầu vào cho các hệ thống thông tin của Ban. Hệ thống BCY-IDP cũng được coi là hệ thống nền tảng, dùng chung đảm bảo quá trình chuyển đổi số của Ban CYCP được thống nhất, đồng bộ.