THẺ BẢO MẬT ĐA NĂNG vID VÀ DỰ ÁN TRƯỜNG HỌC 4.0

1. Mục tiêu:

- Phổ cập dịch vụ tài chính với học sinh sinh viên các trường học với thí điểm đầu tiên là các trường thuộc hệ thống FPT bao gồm đối tượng từ 6 đến 15 tuổi chưa được mở tài khoản tại ngân hàng;

- Phổ cập thanh toán không tiền mặt trong nhà trường; ứng dụng thanh toán và dịch vụ xã hội 24/7 trong và ngoài nhà trường;

- Ứng dụng khoa học công nghệ trong giáo dục, phát triển tư duy, quản lý, ươm mầm sáng tạo, hỗ trợ tốt nghiệp và khởi nghiệp thời kỳ Cách mạng công nghiệp 4.0;

- Nhân rộng những điển hình thành công ra hệ thống giáo dục cả nước

2. Đối tượng và dịch vụ:

- Học sinh, sinh viên đủ 15 tuổi để mở tài khoản: dịch vụ tài chính thông qua tài khoản ngân hàng, tài khoản vID và dịch vụ khác

- Học sinh từ 6 đến 15 tuổi: dịch vụ tài chính thông qua người đại diện theo pháp luật sử dụng tài khoản ngân hàng, tài khoản vID và dịch vụ khác

- Cán bộ, giáo viên, nhân viên của Trường: mọi dich vụ

3. Tiện ích mới:

- Tài khoản vID được mở miễn phí, miễn số dư, liên kết với tài khoản ngân hàng cho mọi đối tượng học sinh, người đại diện pháp luật cho học sinh chưa đủ 15 tuổi, sinh viên, thày cô, cán bộ nhân viên nhà trường. Thông qua tài khoản này để phổ cập dịch vụ tài chính và triển khai thanh toán không tiền mặt.

- Thẻ bảo mật đa năng vID thay thế điện thoại thông minh khi sử dụng với thiết bị tương tác đặt trong trường, tại điểm công cộng ngoài trường, trên phương tiên giao thông, tại nơi cung cấp hàng hóa, dịch vụ; thay thế thẻ ngân hàng; thay thế thẻ tích điểm, khuyến mại, khách hàng thường xuyên; thay thế thẻ chứng thực nhân thân; thay thế thẻ qua cửa, thay thế vé vào nơi có thu phí; thay thế mật khẩu truy cập vào các hệ thống CNTT hay thiết bị IoT, v.v.

- Thiết bị tương tác với thẻ vID thường là máy tính bảng hoặc điện thoại di động có màn hình chạm, đáp ứng chuẩn công nghiệp để sử dụng công cộng và đặt bên ngoài nhà. Thiết bị tương tác vID được kết nối internet; kết nối với hệ thống máy chủ của Vimass và nhiều đơn vị đảm bảo cung cấp dịch vụ trực tuyến 24/7; cung cấp dịch vụ bảo mật giao dịch đến mức cao nhất là ký số giao dịch đồng thời với nhận diện khuân mặt người dùng. Có thể sử dụng thiết bị cho các dịch vụ hành chính 4.0 như nộp và nhận hồ sơ điện tử, báo cáo thuế, bảo hiểm xã hội, chứng thực, công chứng điện tử. Thiết bị có thể dùng để nộp bài thi với xác thực của những người liên quan; để tra cứu kết quả học và thi, các dữ liệu riêng tư của chủ thẻ vID. Có thể tận dụng thiết bị để thu quảng cáo, thu phí bán hàng hóa, cấp dịch vụ của những đơn vị có hợp đồng với Trường.

4. Tiện ích khác đem lợi ích thường xuyên cho HSSV, CBNV, Trường học và người sử dụng ngoài trường:

- Máy nạp tiền, ATM rút tiền, chuyển tiền với phí dịch vụ thấp hơn các loại khác.

- Máy bán hàng tự động sử dụng Vimass QR kèm hóa đơn có thể thanh toán bằng tài khoản điện tử vID hoặc thanh toán từ xa bằng ví của người thân hoặc bạn bè.

- Thiết bị để mua sắm hàng hóa, dịch vụ trực tuyến hoặc chuyển các yêu cầu giao hàng, phát hành hóa đơn, nhu cầu dịch vụ công, dịch vụ chứng thực và công chứng điện tử, v.v.

- Thiết bị quảng cáo và giáo dục học đường v.v.

5. Thẻ vID = Smart Phone + Ví Vimass + 3DES NFC + PKI: 

- Thẻ vID là 1 ví điện tử Vimass có kèm nhiều ứng dụng khác nhau, mỗi ứng dụng chứa thông tin được mã hóa 3DES lưu trong bộ nhớ NFC EEPROM (đạt chuẩn bảo mật thẻ EAL+5) hoặc sử dụng thiết bị PKI ký số tích hợp trong thẻ (đạt chuẩn ký số FIPS 186-4 và chuẩn bảo mật thiết bị FIPS 140-2 level 3). Thẻ vID có thể sử dụng với thiết bị tương tác offline không cần internet hoặc với thiết bị tương tác online có kết nối internet với máy chủ.

- Số lượng ứng dụng của thẻ vID bước đầu quy ước dùng 3 byte từ 000000 đến FFFFFF để đánh số ứng dụng = 256 mũ 3 = 16.777.216 ứng dụng. Vimass và FE quy định các ứng dụng có bit đầu tiên = 0 là do Vimass phát triển; bằng 1 là do FE phát triển (mỗi bên ½ số ứng dụng) tuy nhiên các ứng dụng do Vimass phát triển được sử dụng 6KB EEPROM còn ứng dụng của FE chỉ dùng 2 KB EEPROM vì ngoài xã hội có nhiều ứng dụng hơn trong trường.

- Mỗi ứng dụng của thẻ vID gồm 30 file, mỗi file thuộc 1 trong 6 loại: Data, Back-up Data, Value, Linear Records, Cyclic Records hoặc Transaction MAC, sử dụng đến 14 khóa mã bảo mật, cho phép lập trình hàng triệu ứng dụng khác nhau trong đời sống xã hội. Thiết bị tương tác với thẻ có thể đọc/viết, lập trình với tốc độc 1ms/transaction. Tốc độ trao đổi dữ liệu với thiết bị tương tác lên đến 848 kbit/s.

- Số serie của thẻ vID = 7 byte và là duy nhất ngay từ khi xuất xưởng. Số serie này ngay lần đầu đăng ký ví Vimass để sử dụng sẽ được gán với số thứ tự do Vimass quy định tăng dần theo thứ tự đăng ký thẻ vID. Các thông tin về chủ thẻ vID có thể thay đổi theo thời gian tuy nhiên số serie và số thứ tự của vID không thay đổi. Vimass sẽ quy định những trường thông tin bắt buộc đối với thẻ vID.

- Với ứng dụng offline: Đăng nhập ứng dụng bằng số Serie của thẻ; Mật khẩu của ứng dụng thứ N là KeyN từ 4 đến 6 ký tự được mã 3DES và lưu trong EEPROM của NFC, lưu trong thiết bị tương tác và lưu trên cơ sở dữ liệu của Vimass (CSDL Vimass). Với ứng dụng N, nếu chủ thẻ nhập đúng mật khẩu KeyN thì thiết bị tương tác sẽ ra quyết định không cần sử dụng đến internet và máy chủ, chỉ cần giải mã 3DES và so sánh số Serie và/hoặc KeyN với tệp dữ liệu lưu để ra quyết định. Các ứng dụng chỉ dùng số Serie, không dùng mật khẩu được coi là có mức bảo mật cấp 1. Các ứng dụng sử dụng thêm mật khẩu được coi là có độ bảo mật cấp 2. Các ứng dụng sử dụng thêm Nhận diện (khuân mặt) coi là cấp 3, sử dụng Nhận diện cùng với chữ ký số PKI là mức bảo mật cao nhất. Mật khẩu KeyN được chủ thẻ sử dụng thiết bị tương tác có mức bảo mật tương đương hoặc cao hơn để thay đổi. Mọi thay đổi sẽ được cập nhật vào thiết bị tương tác từ xa khi có kết nối internet hoặc được truyền dữ liệu trực tiếp từ thiết bị của người phụ trách thiết bị tương tác.

- Với ứng dụng online: Đăng nhập ứng dụng bằng số Serie, Mật khẩu KeyN (được lưu đồng thời trên CSDL Vimass) khi kết hợp với Serie, thời gian thực hiện và nội dung thực hiện sẽ sinh ra OTP có giá trị trong 30 giây để xác thực giao dịch giống như trường hợp Soft Token của Ví Vimass. Các dữ liệu trao đổi giữa thẻ viD với thiết bị tương tác và giữa thiết bị tương tác với máy chủ của Vimass đều được mã/giải mã 3DES theo tiêu chuẩn bảo mật dữ liệu ngân hàng của VN, quy định của Ngân hàng Nhà nước và của Vimass.

- Với ứng dụng online có ký số: Mật khẩu PKI được chủ ví nhớ trong đầu, khóa bí mật PKI được thiết bị PKI (còn gọi là thiết bị SIM-CA vì có chuẩn kết nối như SIM điện thoại) sinh ra và lưu trong PKI EEPROM, khóa công khai được lưu trong HSM của đơn vị cung cấp dịch vụ chứng thực chữ ký số công cộng. Với những giao dịch đòi hỏi phải ký số để có đơn vị thứ 3 làm chứng và đảm bảo 4 yếu tố: bảo mật, xác thực người dùng, toàn vẹn nội dung và chống chối bỏ, như với các giao dịch tài chính > 100 triệu/giao dịch hoặc phát hành hóa đơn điện tử, nộp hồ sơ dịch vụ công, nộp báo cáo thuế, bảo hiểm xã hội, công chứng điện tử, hải quan điện tử, email, fax, thoại bảo mật, v.v thì đây là mức bảo mật cao nhất bắt buộc phải dùng theo quy định của pháp luật. Chủ thẻ vID nên dùng thiết bị PKI để cập nhật các file lưu trữ bên trong NFC EEPROM; chủ thiết bị tương tác nên dùng PKI để cập nhật thông tin cần bảo mật bên trong thiết bị để đảm bảo an toàn và tuân thủ quy định của pháp luật; Trường học có thể dùng PKI để chuyển các hồ sơ thi, hồ sơ cán bộ, hồ sơ quan trọng khác theo quy định của nhà trường. Tóm lại với những giao dịch yêu cầu bảo mật ở mức cao thì nên dùng thiết bị PKI vì sử dụng 3DES NFC chưa đạt yêu cầu bảo mật cao nhất.

- Các ứng dụng của thẻ vID: Xét theo mức độ bảo mật tăng dần, thẻ vID có thể thực hiện được mọi ứng dụng (UD) có giao dịch cần bảo mật trong xã hội, tạm phân các ứng dụng thành 4 loại như sau:

 

Tên ứng dụng

Dùng Serie

Dùng KeyN

Dùng PKI

Dùng Files UD N

Ứng dụng offline chỉ dùng Serie

 

 

 

 

  1. Nhận dạng cá nhân, qua cửa

X

 

 

 

  1. Chấm công

X

 

 

T1, T2

  1. Chìa khóa vật lý có thời hạn

X

 

 

T1, T2, T3

  1. Thẻ giảm giá cửa hàng, % giảm

X

 

 

ThờiHạn, TỷLệ%

  1. Thẻ tích điểm thưởng và đổi quà

X

 

 

ThờiHạn, Điểm

  1. Sử dụng thiết bị, phương tiện công trước, trừ tiền sau (như gửi xe)

X

 

 

T1, Phí1, T2, Phí2, SốDưVí, …

  1. Trừ ví vID 1 số tiền để mua hàng hóa, dịch vụ hoặc mua vé

X

 

 

SốDưVí,HạnMức

  1. Xem sao kê ví, sao kê QR, sao kê DV

X

 

 

MKVí

  1. Đăng nhập ĐT, máy tính, phần mềm

X

 

 

Tên, MKĐăngNhập

  1. Vé đi metro, xe tuyến, v.v

X

 

 

SốLượt, ThờiHạn

  1. …..

 

 

 

 

Ứng dụng offline dùng Serie & KeyN

X

 

 

 

  1. Nhận dạng, qua cửa kèm MK riêng

X

X

 

KeyN

  1. Chìa khóa vật lý có MK riêng

X

X

 

T1, T2, T3, KeyN

  1. Sử dụng thiết bị, phương tiện công trước, trừ tiền sau (như gửi xe)

X

X

 

T1, Phí1, T2, Phí2, SốDưVí, KeyN, …

  1. Trừ ví vID 1 số tiền để mua hàng hóa, dịch vụ hoặc mua vé

X

X

 

SốDưVí, HạnMức, KeyN

  1. Đăng nhập ĐT, máy tính, phần mềm

X

X

 

Tên, MKĐăngNhập, KeyN

  1. Sử dụng thẻ tại ATM

X

X

 

UID,MKĐăngNhập, KeyN

  1. Sử dụng thẻ tại cây nạp tiền

X

X

 

UID, MKTàiKhoản, KeyN

  1. …………

X

X

 

 

Ứng dụng online dùng KeyN

 

 

 

 

  1. Dùng tài khoản vID như Ví Vimass

X

X

 

KeyN

  1. Dùng tài khoản vID trong thi cử

X

X

 

KeyN

  1. Dùng vID kết hợp với Nhận diện khuân mặt

X

X

 

KeyN

  1. ….

X

X

 

KeyN

Ứng dụng online dùng Chữ ký số PKI

 

 

 

 

  1. Đổi nội dung của NFC EEPROM

X

X

X

KeyN

  1. Dịch vụ tài chính vượt hạn mức

X

X

X

KeyN

  1. Phát hành hóa đơn điện tử

X

X

X

KeyN

  1. Chứng thực & Công chứng điện tử

X

X

X

KeyN

  1. Dịch vụ công yêu cầu ký số

X

X

X

KeyN

  1. Nộp các báo cáo cần ký số

X

X

X

KeyN

  1. …..

X

X

X

KeyN

 

6. Thiết bị tương tác: Gồm 2 loại Offline và Online phổ biến như sau:

- Thiết bị tương tác offline: giao tiếp với thẻ vID không cần kết nối internet; có thể đọc/viết phần NFC Mifare DESFire EV2 và ghi nhận các giao dịch này; cho phép chuyển dữ liệu giao dịch sang thiết bị điện thoại thông qua giao tiếp NFC với tốc độ 848 kbit/s; có kích thước không quá 1 bàn tay; đạt chuẩn hoạt động công nghiệp IP65 trở lên suốt thời gian 24/7. Giả sử thiết bị tương tác được đặt nơi công cộng chuyên trừ 1 khoản tiền cố định (như 2.000 đ/xe đạp, xe máy hoặc 15.000 đ/h/ô tô) từ ứng dụng thứ N của thẻ vID, tích tụ các giao dịch này đến thời điểm cuối ngày khi có điện thoại NFC có đúng mật khẩu và phương thức giao tiếp đến nhận lại các giao dịch trong ngày để chuyển cho Vimass. Vào đầu giờ hôm sau, đơn vị cấp dịch vụ sẽ nhận lại toàn bộ khoản tiền đã trừ trên các thẻ vID của hôm trước; đồng thời chủ các thẻ vID cũng được cập nhật về giao dịch hôm qua trên thẻ của mình. Đơn vị bán hàng cũng có thể phát hành luôn toàn bộ các hóa đơn điện tử hoặc tích điểm thưởng cho khách hàng căn cứ vào danh sách bán hàng, cung cấp dịch vụ được Vimass chuyển đến cho merchant. Thiết bị tương tác offlne dự kiến được dùng phổ biến cho hoạt động kiểm tra, nhận diện cá nhân, cho qua cửa hoặc được lắp đặt trên các phương tiện giao thông công cộng, tại các nhà hàng, khách sạn, điểm bán hàng, v.v nơi có giao tiếp với thẻ vID của khách hàng. Thiết bị tương tác offline có thể không gắn thêm bàn phím số, hoặc gắn thêm bàn phím số cho phép merchant nhập số tiền hoặc chủ thẻ nhập 4 số mật khẩu xác thực thẻ vID.

- Thiết bị tương tác online: có kết nối internet 24/7; đọc/viết cả phần NFC Mifare DESFire EV2 lẫn phần SIM-CA của thẻ; cho phép làm nhiều giao dịch online và sử dụng thẻ vID như thiết bị xác thực khách hàng; cho phép ký số các giao dịch điện tử mà thiết bị tương tác có sẵn. Thiết bị tương tác loại này thường là 1 máy tính bảng đến 12 inch hoặc Touch Screen Desktop có màn hình đến 21 inch.