I. TỔNG QUAN VỀ ĐỊNH DANH VÀ XÁC THỰC

Việt Nam đang trong quá trình phát triển Chính phủ điện tử hướng tới Chính phủ số, trong đó việc phát triển các dịch vụ định danh và xác thực điện tử đóng vai trò cực kỳ quan trọng. 

 Định danh và xác thực thuộc về lĩnh vực Quản lý Danh tính, Chứng chỉ danh tính và Truy nhập (ICAM - Identity, Credential and Access Management) - nền tảng cần thiết cho phát triển Chính phủ điện tử.

Trong thế giới số hiện nay, danh tính đã được phát triển thành “Danh tính số - Digital Identity”. Cuộc Cách mạng công nghiệp 4.0 nói chung và sự phát triển của Chính phủ số, Đô thị thông minh, Kinh tế số và Xã hội số không thể thiếu được danh tính số. Danh tính số là một tập hợp các thuộc tính của một thực thể trong một ngữ cảnh nhất định. Danh tính số được coi như những bản sao (counterparts) trong thế giới số của các thực thể vật lý trong thế giới thực. Một thực thể có thể có nhiều danh tính số. Có 5 loại thực thể cần được quản lý danh tính số:

1. Con người (công dân, cán bộ công chức, viên chức, ,…).
2. Tổ chức (cơ quan nhà nước, doanh nghiệp,…).
3. Thiết bị (máy chủ, camera giám sát, thiết bị cảm biến…).
4. Mã lệnh phần mềm.
5. Đại lý: người hoặc thứ được thực thể ủy quyền hành động thay cho thực thể đó.

Đối với con người, một số nước trên thế giới (như Ấn Độ, UAE…) đã hướng tới quản lý danh tính theo kiến trúc tập trung với một cơ sở dữ liệu quản lý danh tính chung của toàn bộ công dân và một cơ quan cung cấp danh tính duy nhất cấp phát Thẻ căn cước điện tử (eID), sử dụng thẻ thông minh không tiếp xúc tích hợp sinh trắc học và chữ ký số. Thẻ này vừa dùng làm thẻ định danh cá nhân vừa dùng làm công cụ xác thực để thực hiện các dịch vụ trực tuyến. Tuy nhiên phương án này sẽ đòi hỏi phải có thời gian thu thập, xử lý dữ liệu và đầu tư lớn để có thể cấp các thẻ eID bảo mật. Chi phí người dân phải trả để cấp thẻ eID khá cao (ở Châu Âu tới vài chục Euro, ở Phần Lan là 53 Euro, thẻ eID cho người trưởng thành trên 24 tuổi ở Đức là 58,8 Euro).

Hiện nay trên thế giới đang xuất hiện một xu hướng mới trong Quản lý danh tính số, chuyển từ kiến trúc tập trung sang kiến trúc phân tán, áp dụng mô hình Liên hiệp danh tính (Identity Federation). Mô hình này cho phép thiết lập nên một Hệ sinh thái danh tính số (Digital Identity Ecosystem) theo mô hình phân tán, trong đó chấp nhận các dịch vụ danh tính số của nhiều “Nhà cung cấp danh tính” (IdP- Identity provider) bao gồm cả các cơ quan chính phủ và cả các tổ chức, doanh nghiệp thuộc khối tư nhân. Các nhà cung cấp dịch vụ trực tuyến (SP – Service Provider) sẽ được kết nối với các IDP thông qua một hoặc nhiều “Sàn giao dịch danh tính” (Identity Exchange) (tương tự như hệ thống France Connect của Pháp) làm nhiệm vụ môi giới giữa tất cả các bên.

Kể cả nhiều nước tiên tiến cũng đi theo xu hướng này như: Thụy Điển với hệ thống BankID, Estonia với hệ thống Mobile ID, Vương quốc Anh với Chương trình GOV.UK Verify, Pháp với hệ thống France Connect, Úc với Khung Danh tính số tin cậy TDIF (Trusted Digital Identity Framework),….

Để thiết lập, vận hành và quản trị Liên hiệp danh tính cần xây dựng và ban hành một Khung Danh tính số tin cậy TDIF (Trusted Digital Identity Framework). TDIF là một bộ các công cụ, quy tắc và tiêu chí chứng nhận để quản trị liên hiệp danh tính số, cung cấp cấu trúc và các kiểm soát cần thiết để mang lại niềm tin cho các bên tham gia rằng tất cả các Nhà cung cấp được chứng nhận trong liên hiệp danh tính đã đáp ứng các nghĩa vụ chứng nhận của họ và vì vậy có thể được coi là đáng tin cậy. Khung Danh tính số tin cậy TDIF cần được một cơ quan quản lý nhà nước có thẩm quyền về quản lý danh tính số xây dựng và tiến hành kiểm định cấp chứng nhận đáp ứng các yêu cầu của Khung TDIF cho các nhà cung cấp muốn tham gia Liên hiệp danh tính.

Việc quản lý, sử dụng danh tính số được thực hiện trong 3 lĩnh vực chính của ICAM gồm:

1. Quản lý danh tính (Identity Management).
2. Quản lý chứng chỉ danh tính (Credential Management).
3. Quản lý truy nhập (Access Management), trong đó có Xác thực (Authentication) và Ủy quyền (Authorization).

Trước tiên, các thực thể (công dân, doanh nghiệp…) cần đăng ký danh tính với một IDP. Để đảm bảo độ tin cậy của danh tính, các thực thể phải trải qua một thủ tục “Chứng minh danh tính” (Identity Proofing). Chẳng hạn công dân phải xuất trình các giấy tờ cá nhân như giấy khai sinh, thẻ CCCD, sổ hộ khẩu…. Các thuộc tính danh tính đã khai báo cần được xác minh. Thông tin trong các giấy tờ này có thể phải được xác minh với nguồn dữ liệu có thẩm quyền của các cơ quan cấp các giấy tờ đó. Các IDP có thể áp dụng các quy trình Chứng minh danh tính với 3 “Mức độ bảo đảm danh tính” (IAL-Identity Assurance Level) khác nhau từ  IAL1 đến IAL3 (yêu cầu sự hiện diện vật lý để chứng minh danh tính).

Để phục vụ quy trình Chứng minh danh tính, một số nước đã phát triển các dịch vụ xác minh do các cơ quan có thẩm quyền cung cấp như các dịch vụ Xác minh thông tin Giấy tờ cá nhân DVS (Document Verification Services),  Xác minh ảnh khuôn mặt (FVS - Face Verification Service) của Úc. Các dịch vụ này cũng rất có ích, giúp loại bỏ thủ tục chứng thực tốn kém khi thực hiện các thủ tục hành chính trực tuyến.

Khi danh tính số của thực thể được đăng ký, IDP sẽ cấp cho thực thể một “Chứng chỉ danh tính” (Credential) dùng để xác thực trong các giao dịch trực tuyến. Chứng chỉ danh tính có thể rất đa dạng, từ mật khẩu tới các thiết bị vật lý như thẻ SIM điện thoại, thiết bị Token OTP, USB lưu chứng thư số, thẻ eID… Việc cung cấp và quản lý các chứng chỉ danh tính được thực hiện bởi các “Nhà cung cấp dịch vụ chứng chỉ danh tính” (CSP- Credential Service Provider). CSP có thể là một tổ chức thuộc IDP hoặc là một tổ chức độc lập. Các tổ chức CA là một ví dụ về CSP. Chứng chỉ danh tính ràng buộc thực thể đăng ký danh tính với một bộ xác thực (Authenticator) dùng để xác thực sau này, thông qua một mã định danh (identifier). Các bộ xác thực có các “Mức độ đảm bảo của bộ xác thực”

(AAL-Authenticator Assurance Level) khác nhau từ AAL1 (chỉ yêu cầu xác thực 1 yếu tố) đến AAL3 (yêu cầu xác thực 2 yếu tố dựa trên phần cứng). Mức độ đảm bảo LoA (Level of Assurance) khi xác thực một thực thể cần phải được tổ hợp từ 2 mức độ đảm bảo IAL và AAL nói trên. Đối với các hệ thống liên hiệp (federated systems) mức độ LoA còn phụ thuộc thêm một tham số thứ ba, gọi là Mức độ đảm bảo Liên hiệp (FAL- Federation Assurance Level) quy định độ mạnh của thôngđiệp xác nhận trong môi trường liên hiệp, được sử dụng để truyền thông tin xác thực và thông tin thuộc tính tới bên tín nhiệm.

Xác thực (Authentication) thuộc về lĩnh vực Quản lý truy nhập, nhằm xác định rằng chủ thể cố gắng truy cập một dịch vụ số kiểm soát một hoặc nhiều bộ xác thực (authenticator) hợp lệ được liên kết với danh tính số của chủ thể đó. Xu hướng trên thế giới hiện nay là chấm dứt việc xác thực bằng mật khẩu (rất không bảo mật), chuyển sang dùng các phương thức xác thực mạnh (strong authentication), xác thực 2 hoặc đa yếu tố (2FA, MFA) và thuận tiện cho người sử dụng (như xác thực trên thiết bị di động, xác thực sinh trắc học).

Sau khi một thực thể (công dân, doanh nghiệp,…) đã được xác thực, thực thể đó sẽ được ủy quyền truy nhập tới các tài nguyên số theo chính sách quản lý truy nhập và thực hiện các giao dịch trực tuyến. Việc này bao gồm cả việc chia sẻ các dữ liệu thuộc tính danh tính của thực thể đã được xác thực có trong CSDL danh tính do IDP quản lý hoặc từ các nhà cung cấp dữ liệu tin cậy (Trusted Data Provider - DP) khác. Như vậy, định danh và xác thực chính là tiền đề để thực hiện chia sẻ dữ liệu - một vấn đề cấp bách khác trong phát triển Chính phủ điện tử hiện nay. Dựa trên các dịch vụ định danh và xác thực có thể xây dựng dịch vụ Quản lý và dữ liệu cá nhân trên môi trường mạng tương tự như dịch vụ MyInfo (Thông tin của tôi) của Singapore. MyInfo là một Data Hub, đóng vai trò như một kho dữ liệu cá nhân ảo, cung cấp các dữ liệu cá nhân sau khi cá nhân đã được xác thực một cách bảo mật từ nhiều nguồn dữ liệu có thẩm quyền, giúp cho người dùng không phải điền thông tin cá nhân nhiều lần trong các biểu mẫu khi thực hiện dịch vụ công trực tuyến. Hệ thống này cũng cho phép người dân làm chủ dữ liệu danh tính của mình, kiểm soát việc chia sẻ dữ liệu cá nhân khi có sự đồng ý tường minh của chủ thể. Các ứng dụng sẽ tích hợp với MyInfo thông qua Cổng API chính phủ (Government API Gateway) APEX (API Exchange).

Trong các giải pháp về danh tính số, hiện nay nổi bật là Giải pháp định danh vạn năng Mobile Connect của GSMA. Mobile Connect không dùng mật khẩu, sử dụng điện thoại di động như thiết bị xác thực, sử dụng các kênh truyền thông (SMS, USSD, OTA) của nhà mạng di động như một kênh xác thực thứ 2 để xác thực với CSDL thuê bao của nhà mạng. Mobile Connect sử dụng giao thức liên hiệp danh tính tiên tiến nhất hiên nay: OpenID Connect, cung cấp các mức độ đảm bảo từ LoA2 đến LoA4. Mobile Connect đặc trưng bởi tính bảo mật, sự tiện lợi cho người dùng và khả năng bảo vệ quyền riêng tư. Mobile Connect là một nhóm các dịch vụ bao gồm: 

1. Xác thực một cách tin cậy người dùng (User Authentication).
2. Ủy quyền (xác nhận quyền) thực hiện các giao dịch (Transaction Authorization) & chống chối bỏ trong các giao dịch có độ rủi ro cao.
3. Cung cấp các thuộc tính cá nhân tin cậy (Attribute services) một cách bảo mật, có sự đồng ý tường minh của khách hàng cho các nhà cung cấp dịch vụ.
4. Dịch vụ danh tính (Identity Services): Kiểm tra, xác định danh tính chính thức của một người.

Mobile Connect hiện đã được hơn 70 nhà mạng triển khai ở gần 40 nước trên thế giới, hầu hết các nước ASEAN (trừ 3 nước Đông dương) đều đang triển khai thử nghiệm  Mobile Connect.

II. MỘT SỐ ĐỀ XUẤT VỀ  ĐỊNH DANH VÀ XÁC THỰC Ở VIỆT NAM

Để cung cấp được các dịch vụ định danh, xác thực phục vụ phát triển Chính phủ số, Kinh tế số và Xã hội số ở Việt Nam cần triển khai 4 nội dung:

1. Xây dựng Hành lang pháp lý (Legal Framework) cho Danh tính số.
2. Xây dựng Khung kỹ thuật (Technical Framework) và Kiến trúc tham chiếu cho việc triển khai danh tính số.
3. Xây dựng Hạ tầng danh tính số quốc gia (National Digital Identity Infrastructure).
4. Phát triển và tích hợp các Dịch vụ danh tính số (Digital Identity Services).

Việt Nam cần đi theo xu hướng chung trên thế giới, áp dụng Kiến trúc phân tán và Mô hình Liên hiệp danh tính, không cần đợi triển khai hoàn chỉnh CSDLQG về Dân cư và Đề án Thẻ CCCD điện tử mà tận dụng các CSDL danh tính có sẵn của các cơ quan, doanh nghiệp để nhanh chóng cung cấp các dịch vụ danh tính số phục vụ Chính phủ điện tử, trước hết là phục vụ cho Cổng Dịch vụ công quốc gia. Cụ thể:

1. Xây dựng Hành lang pháp lý cho Danh tính số: Trước mắt cần đưa những khái niệm về danh tính số và nội dung tổng quát về Khung Danh tính số tin cậy VTDIF vào dự thảo Nghị định về Định danh và Xác thực điện tử.
2. Xây dựng Khung kỹ thuật và Tổ chức thực thi: Đề nghị Bộ TT&TT:
   1. Lập kế hoạch và triển khai gấp việc xây dựng Khung Danh tính số tin cậy của Việt Nam VTDIF (Vietnam Trusted Digital Identity Framewok), học tập các kinh nghiệm thế giới như Khung TDIF của Úc, bộ chuẩn NIST Special Publication 800-63: Digital Identity Guidelines của Mỹ, kinh nghiệm của một số nước như Pháp, Thái Lan…
   2. Xây dựng Kiến trúc tham chiếu về Quản lý Danh tính & Truy nhập (IDAM RA - Identity & Access Management Reference Architecture) trong Kiến trúc Chính phủ điện tử Việt Nam.
   3. Chỉ định/tổ chức Cơ quan Quản lý Danh tính số, tương tự như TDA của Úc hay ETDA (Electronic Transactions Development Agency) của

Thái lan, có trách nhiệm xây dựng và duy trì Khung VTDIF, thực hiện kiểm định cấp chứng nhận cho các nhà cung cấp.

3. Xây dựng Hạ tầng danh tính số quốc gia:
   1. Đề nghị Bộ TTTT chủ trì việc xây dựng Hạ tầng dùng chung về danh tính số gồm: Sàn giao dịch danh tính số quốc gia (National Digital Identity Exchange), Cổng thông tin về Danh tính số, Cổng API chính phủ. Có thể xây dựng thành một Đề án do Bộ TT&TT chủ trì với các hợp phần này (thực hiện theo hình thức thuê dịch vụ CNTT) và các nội dung xây dựng Khung kỹ thuật, Kiến trúc tham chiếu nêu trên. (Trong khuôn khổ Đề án Cổng Dịch vụ công quốc gia đang xây dựng hệ thống VN Connect (tương tự như France Connect) như một Sàn giao dịch danh tính số).
   2. Nhanh chóng phát triển mạng lưới các nhà cung cấp dịch vụ IDP, CSP, DP.
4. Phát triển và tích hợp các Dịch vụ danh tính số:
   1. Các dịch vụ xác minh: Dịch vụ Xác minh thông tin Giấy tờ cá nhân, Xác minh ảnh khuôn mặt tương tự như các dịch vụ DVS, FVS của Úc. Các dịch vụ này cần được các cơ quan có thẩm quyền về các giấy tờ cá nhân như cơ quan đăng ký hộ tịch, cơ quan quản lý căn cước công dân, quản lý cư trú, ... xây dựng.
   2. Các dịch vụ xác thực với các mức độ đảm bảo khác nhau do các IDP cung cấp; 
   3. Các dịch vụ chia sẻ dữ liệu danh tính trong đó có dịch vụ Quản lý và dữ liệu cá nhân tương tự như dịch vụ MyInfo (Thông tin của tôi) của Singapore.

Các dịch vụ trên cần được cung cấp qua các giao diện lập trình API (Application Programming Interface) và các API này cần được cung cấp qua một Cổng API chính phủ và được tích hợp vào các hệ thống thông tin của Chính phủ, trước mắt là vào các Cổng dịch vụ công trực tuyến. Có thể triển khai các dịch vụ này đồng thời với việc cải cách thủ tục hành chính, đơn giản hóa các hồ sơ cần nộp, loại bỏ yêu cầu chứng thực giấy tờ cá nhân tốn kém, phiền hà hiện nay.

Hiện tại Việt Nam đã có nhiều CSDL về danh tính có phạm vi bao trùm lớn như CSDL Người tham gia BHYT, CSDL Người nộp thuế, CSDL thuê bao của các nhà mạng… Tuy nhiên Việt Nam vẫn chưa có các nhà cung cấp danh tính IDP. Để trở thành IDP, đơn vị chủ quản của các CSDL này cần xây dựng và tích hợp “Cổng danh tính” (Identity Gateway) để có thể kết nối với toàn bộ Hệ sinh thái số theo Khung VTDIF và cung cấp được các dịch vụ xác thực 2 yếu tố 2FA (nên phối hợp với các nhà mạng).

Các nhà cung cấp danh tính IDP tiềm năng nhất ở Việt Nam hiện nay là: q Đối với danh tính công dân:

• • Các nhà mạng di động.
  • BHXH Việt Nam.
  • Tổng cục Thuế.

Đối với danh tính của doanh nghiệp: Hệ thống Đăng ký doanh nghiệp.

Đối với danh tính cán bộ, công chức, viên chức (CBCCVC): CSDL CBCCVC của Bộ Nội vụ.

Trong các IDP tiềm năng trên, các nhà mạng là các IDP tiềm năng nhất và phải đi tiên phong trong việc xây dựng, cung cấp các dịch vụ danh tính số. Trước mắt các nhà mạng cần hợp tác triển khai Giải pháp Mobile Connect của GSMA cung cấp các dịch vụ xác thực, ủy quyền, cung cấp thuộc tính mức LoA2, LoA3 (xác thực 2 yếu tố 2FA) mà chưa cần đổi SIM Mobile PKI. Về mặt kỹ thuật điều này hoàn toàn khả thi thực hiện trong vòng 6 tháng Q3-Q4/2019. Tuy nhiên cần sự vào cuộc, đầu tư và chỉ đạo sát sao của lãnh đạo cao nhất của các tập đoàn viễn thông.

Xây dựng và triển khai Dự án cung cấp các dịch vụ Mobile Connect mức LoA4 (sử dụng SIM có Mobile PKI  hoặc Sinh trắc học), cho phép vừa xác thực ở mức LoA4 vừa cho phép ký số hồ sơ: thử nghiệm trong Q4/2019, triển khai rộng từ 2020. (Các nhà mạng cần lên kế hoạch đổi SIM).

Cuộc Cách mạng công nghiệp 4.0 nói chung và sự phát triển của Chính phủ điện tử hướng tới Chính phủ số, Đô thị thông minh, Thương mại điện tử, Ngân hàng điện tử và Kinh tế số, Xã hội số hiện nay ở Việt Nam đang cần có một tiền đề quan trọng là Hạ tầng danh tính số quốc gia. Sứ mệnh phát triển hạ tầng này đang được đặt lên vai của Bộ TT&TT và các nhà mạng di động. 

Rất mong muốn Bộ TT&TT sớm xây dựng và triển khai Đề án xây dựng Hạ tầng danh tính số quốc gia và chủ trì một buổi Lễ ký kết hợp tác phát triển các dịch vụ danh tính số trên nền tảng di động để làm phát súng mở màn cho Chương trình Danh tính số quốc gia ở Việt Nam./.

Lê Quốc Hữu, Nguyên Kiến trúc sư trưởng về

Smart City-Tập đoàn Viettel, Thành viên Tổ chuyên gia giúp việc Chủ tịch UBQG về CPĐT,

Trưởng Nhóm chuyên gia nghiên cứu về Danh tính số phối hợp giữa Tổ chuyên gia và Bộ TT&TT