BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ KHOA HỌC BẢO MẬT THƠNG TIN SỬ DỤNG CƠ SỞ HẠ TẦNG KHỐ CƠNG KHAI (PKI) NGÀNH: KỸ THUẬT ĐIỆN TỬ MÃ SỐ: CHU VIỆT TUẤN Người hướng dẫn khoa học: TS PHẠM NGỌC NAM HÀ NỘI - 2007 -1- LỜI CAM ĐOAN Luận văn tơi trình bày lĩnh vực bảo mật thơng tin sử dụng sở hạ tầng khóa công khai, viết tắt PKI (Public Key Infrastructure) Luận văn bao gồm 03 chương nghiên cứu lí thuyết 01 chương tìm hiểu ứng dụng thực tế Trong suốt luận văn, tơi có sử dụng nội dung trích dẫn từ tài liệu tham khảo số kết nghiên cứu khác Tôi xin cam đoan:  Những kết nghiên cứu luận văn hoàn toàn tơi, chưa có luận văn hay tài liệu khác  Khơng chép, trích dẫn nội dung từ nguồn thơng tin có quyền mà không cho phép tác giả  Với nguồn thông tin tự (không đăng ký quyền), ghi rõ ràng nguồn gốc tài liệu tham khảo Một phần giúp người đọc kiểm chứng thơng tin, phần giúp người tìm hiểu sâu vấn đề quan tâm  Tôi xin chịu hồn tồn trách nhiệm nội dung tơi trình bày luận văn này, bao gồm kết mà tơi rút sau q trình nghiên cứu Xin chân thành cảm ơn! Học viên Chu Việt Tuấn -2- MỤC LỤC LỜI CAM ĐOAN MỤC LỤC DANH SÁCH HÌNH VẼ DANH SÁCH BẢNG BIỂU LỜI NÓI ĐẦU CHƯƠNG - TỔNG QUAN VỀ PKI 1.1 KHÁI QUÁT 1.2 KỸ THUẬT MẬT MÃ 1.2.1 Mật mã khoá bảo mật 1.2.2 Mật mã khố cơng khai 11 1.2.3 Kết hợp kỹ thuật mã hoá đối xứng bất đối xứng 13 1.2.4 Các phần tử hệ thống mật mã khố cơng khai 14 1.3 CÁC THUẬT TOÁN 23 1.3.1 DES 24 1.3.2 3-DES 26 1.3.3 IDEA (International Data Encryption Algorithm) 27 1.3.4 RC2 28 1.3.5 RC4 28 1.3.6 RC5 29 1.3.7 CAST−128 30 1.3.8 AES (Advanced Encryption Standard) 30 1.3.9 RSA 31 1.3.10 Thuật toán ký ký điện tử DSA (Digital Signature Algorithm) 34 1.3.11 ECC 34 1.3.12 Các thuật toán băm (Hash Algorithm) 36 1.4 CÁC CHUẨN VÀ CÁC GIAO THỨC QUẢN LÝ PKI 38 1.4.1 Các giao thức quản lý PKI 38 1.4.2 Họ tiêu chuẩn X 61 CHƯƠNG – CÁC ĐỐI TƯỢNG CƠ BẢN VÀ PHẠM VI ỨNG DỤNG CỦA PKI 70 2.1 CÁC DỊCH VỤ VÀ PHẠM VI ỨNG DỤNG CỦA PKI 70 2.1.1 Các yêu cầu an tồn an ninh thơng tin 70 2.1.2 Khả đáp ứng dịch vụ sử dụng PKI 70 2.1.3 Các dịch vụ an toàn an ninh dựa hệ thống PKI 71 2.2 CÁC ĐỐI TƯỢNG CƠ BẢN CỦA HỆ THỐNG PKI 72 2.2.1 Chủ thể đối tượng sử dụng (EE) 72 2.2.2 Đối tượng quản lý chứng thực điện tử (CA) 73 2.2.3 Đối tượng quản lý đăng ký chứng thực điện tử (RA) 74 2.3 CÁC HOẠT ĐỘNG CƠ BẢN TRONG HỆ THỐNG PKI 76 2.3.1 Mơ hình tổng qt hệ thống PKI 76 2.3.2 Thiết lập chứng thực điện tử 76 2.3.3 Khởi tạo đối tượng sử dụng (EE) 77 2.3.4 Các hoạt động liên quan đến chứng thực điện tử 77 2.3.5 Phát hành thẻ danh sách thẻ bị huỷ bỏ 79 2.3.6 Các hoạt động phục hồi 80 -32.3.7 Các hoạt động huỷ bỏ 80 CHƯƠNG - NHỮNG VẤN ĐỀ TRONG XÂY DỰNG HỆ THỐNG PKI 82 3.1 CÁC MƠ HÌNH TRIỂN KHAI HỆ THỐNG PKI (TRUST MODELS) 82 3.1.1 Kiến trúc phân cấp 82 3.1.2 Kiến trúc hệ thống PKI mạng lưới 84 3.1.3 Kiến trúc danh sách tin cậy 86 3.2 NHỮNG CHỨC NĂNG BẮT BUỘC TRONG QUẢN LÝ PKI 89 3.2.1 Khởi tạo CA gốc (root CA) 89 3.2.2 Cập nhật khoá CA gốc 89 3.2.3 Khởi tạo CA thứ cấp 90 3.2.4 Tạo lập CRL 90 3.2.5 Yêu cầu thông tin hệ thống PKI 90 3.2.6 Xác nhận ngang hàng 90 3.2.7 Khởi tạo EE 91 3.2.8 Yêu cầu xác nhận 91 3.2.9 Cập nhật khoá 92 CHƯƠNG - GIẢI PHÁP PKI CỦA HÃNG RSA CHO CÁC NGÂN HÀNG 93 4.1 NHU CẦU CỦA KHÁCH HÀNG 93 4.2 BỘ GIẢI PHÁP RSA CERTIFICATE MANAGER CỦA HÃNG RSA 93 4.2.1 RSA Certificate Manager CA 94 4.2.2 RSA Registration Manager (RA) 96 4.2.3 RSA Certificate Manager OneStep 97 4.2.4 RSA Smart Key 6200 USB Token 105 4.2.5 RSA Key Recovery Module (Optional) 106 4.2.6 RSA Validation Manager (Optional) 107 4.3 BỘ CÔNG CỤ RSA BSAFE 108 4.4 BẢO VỆ XÁC THỰC NGƯỜI DÙNG DỰA TRÊN RSA SECURID 109 4.4.1 Dễ dàng sử dụng yếu tố quan trọng để thành công 109 4.4.2 Bảo mật mạnh yếu tố cản trở thành công 109 4.4.3 Triển khai giải pháp xác thực bảo mật RSA 110 4.5 THIẾT BỊ XÁC THỰC RSA SECURID 111 4.5.1 Xác thực mạnh hai yếu tố RSA SecurID 111 4.5.2 Các yếu tố xác thực 112 4.6 QUẢN LÍ XÁC THỰC RSA 113 4.6.1 Sức mạnh đằng sau xác thực hai yếu tố RSA Security 113 4.6.2 Các tính lợi ích 113 4.6.3 Thiết bị RSA SecurID 116 4.7 CÁC YÊU CẦU KỸ THUẬT PKI ĐIỂN HÌNH 117 4.8 TRIỂN KHAI GIẢI PHÁP PKI CHO CÁC NGÂN HÀNG 127 4.8.1 Triển khai RSA Certificate Manager 127 4.8.2 RSA BSAFE tookits với ứng dụng PKI ABC 132 4.8.3 Bảng giá tham khảo giải pháp RSA Certificate Manager 134 KẾT LUẬN 135 TÀI LIỆU THAM KHẢO 136 PHỤ LỤC 137 TÓM TẮT LUẬN VĂN 138 -4- DANH SÁCH HÌNH VẼ Hình 1.1 Mật mã khóa bảo mật 10 Hình 1.2 Mật mã khóa cơng khai 12 Hình 1.3 Kết hợp mã hoá đối xứng bất đối xứng 13 Hình 1.4 Quá trình tạo chữ ký điện tử 16 Hình 1.5 Chứng thực điện tử 18 Hình 1.6 Mã hóa 3DES 27 Hình 1.7 Khn dạng u cầu chứng thực sử dụng PKCS#10 41 Hình 1.8 Ví dụ DIT 62 Hình 1.9 Mơ hình kết nối máy chủ mục máy chủ Whois++ 64 Hình 1.10 X.509 v2 67 Hình 2.1 Các ứng dụng dựa hệ thống PKI 72 Hình 2.2 Các đối tượng hoạt động hệ thống PKI 76 Hình 3.1 Kiến trúc PKI phân cấp 83 Hình 3.2 Kiến trúc PKI mạng lưới 85 Hình 3.3 Kiến trúc PKI danh sách tin cậy 87 Hình 4.1 Giải pháp Certificate Manager 94 Hình 4.2 Quản trị PKI thông qua giao diện web - SSL 95 Hình 4.3 Tích hợp với Microsoft Exchange Outlook 96 Hình 4.4 OneStep 98 Hình 4.5 Các yêu cầu chứng thực 99 Hình 4.6 Danh sách thu hồi chứng thực CRL 100 Hình 4.7 Quản lí hệ thống CA 100 Hình 4.8 Công cụ quản trị PKI 101 Hình 4.9 Ban cấu hình hệ thống 102 Hình 4.10 Ban thực kiểm tra 103 Hình 4.11 Mơ hình trình kết nạp 103 Hình 4.12 Hỗ trợ ngôn ngữ khu vực 105 Hình 4.13 Thẻ Smart Key 6200 USB 106 Hình 4.14 Mơ hình lưu trữ phục hồi khóa mã hóa 106 Hình 4.15 Ban xử lí u cầu trạng thái chứng thực 107 Hình 4.16 Mơ hình RSA BSAFE 108 -5- Hình 4.17 Thiết bị xác thực SecurID 111 Hình 4.18 Thiết bị RSA SecurID 116 Hình 4.19 Sơ đồ triển khai PKI ngân hàng điển hình 127 Hình 4.20 Mơ hình phát triển ứng dụng PKI 132 Hình 4.21 Chữ ký điện tử 133 Hình 6.1 Sơ đồ mạng ngân hàng 137 Hình 6.2 Sơ đồ chi tiết chi nhánh 137 DANH SÁCH BẢNG BIỂU Bảng 1.1 Các ứng dụng Internet mật mã 35 Bảng 1.2 Các chuẩn PKCS 39 Bảng 4.1 Các yêu cầu kỹ thuật PKI điển hình 117 Bảng 4.2 Bảng giá tham khảo thành phần giải pháp PKI RSA 134 -6- LỜI NÓI ĐẦU Kể từ đời khoảng ba mươi năm trước đây, phương thức mã hoá bảo mật với khố cơng khai tạo nên hướng phát triển cho dịch vụ an toàn an ninh thông tin Tư tưởng cốt lõi phương thức mã hố bảo mật với khố cơng khai việc sử dụng cặp khố cơng khai khố riêng Mỗi đối tượng truyền thơng có cặp khố cơng khai khố riêng Khố cơng khai đối tượng thông báo cho tất đối tượng tham gia truyền thơng, cịn khố riêng đối tượng nắm giữ Khi dịch vụ an tồn sử dụng khố cơng khai phát triển rộng rãi việc quản lý đối tượng với khố cơng khai trở nên phức tạp phải đối mặt với nhiều vấn đề an tồn an ninh thơng tin Mặt khác, phạm vi ứng dụng thông tin khố cơng khai rộng lớn nên phải có thống khố cơng khai để đảm bảo đối tượng tham gia truyền thông nhiều phạm vi khác với nhiều dịch vụ an toàn an ninh khác Trong năm gần đây, hướng giải nghiên cứu triển khai, Hạ Tầng Khố Cơng Khai (Public Key Infrastructure - PKI) PKI dịch vụ mức nền, đảm bảo việc tạo lập, quản lý phân phát khố cơng khai đối tượng tham gia vào dịch vụ an tồn, an ninh thơng qua chứng thực điện tử PKI triển khai nhiều phạm vi khác nhau; vậy, giải khó khăn mà ứng dụng an tồn an ninh gặp phải phải triển khai phạm vi rộng đối tượng sử dụng đa dạng Với mục tiêu tìm hiểu nghiên cứu đặc trưng hoạt động hệ thống PKI, phạm vi đồ án này, ta tìm hiểu khái niệm sở, mơ hình hoạt động chức hệ thống Dựa cớ sở lý thuyết đó, ta tìm hiểu giải pháp triển khai hệ thống bảo mật khóa cơng khai cho ngân hàng Đây cách để ta hiểu sâu hệ thống PKI, yêu cầu trình triển khai hệ thống lợi ích mà hệ thống mang lại -7- CHƯƠNG - TỔNG QUAN VỀ PKI Ngày nay, Internet xem sở hạ tầng thông tin rộng lớn Nhiều tổ chức cá nhân phụ thuộc nhiều vào Internet để trao đổi thông tin phục vụ mục đích thương mại Tuy nhiên Internet kênh thơng tin không bảo mật truyền tin Khi gói tin gửi từ Website tới nơi khác, liệu chứa gói tin định tuyến qua số site trung gian trước đến đích Do đó, địi hỏi cần phải có kênh bảo mật để trao đổi thơng tin Internet cách an tồn Ở phần tìm hiểu giải pháp sử dụng sở hạ tần khố cơng khai PKI chứng thực điện tử (Digital Certificate) để cung cấp kênh truyền thông bảo mật cho trao đổi thông tin Internet Những nội dung trình bày phần cho ta nhìn tổng quan mơ hình hệ thống PKI Ta hiểu rõ đối tượng hệ thống hoạt động cần thực để quản lý hệ thống PKI Song song với trình tìm hiểu nội dung này, ta có định nghĩa, khái niệm thuật ngữ sử dụng hệ thống PKI  Khái quát hệ thống PKI  Các dịch vụ phạm vi ứng dụng PKI  Các đối tượng hệ thống PKI  Các hoạt động việc quản lý hệ thống PKI  Cấu trúc thông điệp PKI -8- 1.1 KHÁI QUÁT Thành phần cốt lõi hệ thống PKI chứng thực điện tử Mỗi chứng thực điện tử có hai thành phần thơng tin định danh khố cơng khai đối tượng sử dụng Các chứng thực điện tử đối tượng quản lý chứng thực điện tử (CA - Certification Authority) tạo ký với phương thức chữ ký điện tử Trong số hệ thống, đối tượng quản lý đăng ký (RA – Registration Authority) tách riêng khỏi CA Đối tượng không tạo chứng thực điện tử Nó có nhiệm vụ xác minh đối tượng truyền thông cho CA cấp phát chứng thực điện tử cho đối tượng Nghĩa là, q trình xác thực đối tượng yêu cầu chứng thực điện tử CA RA đảm nhận Đúng tên gọi nó, PKI dịch vụ cho dịch vụ an toàn an ninh dựa chứng thực điện tử Trong hệ thống này, PKI đảm nhận vai trò tạo lập, quản lý phân phát chứng thực điện tử cho đối tượng truyền thông Nói tóm lại, tất chức quản lý hệ thống PKI hướng tới yêu cầu nhất: Quản lý đối tượng sử dụng hệ thống với khố cơng khai đối tượng Có thể nói rằng, TCP/IP ngơn ngữ Internet PKI đảm bảo an toàn cho việc trao đổi thơng tin ngơn ngữ PKI đảm bảo cho tin cậy (trust) xây dựng sở hạ tầng TCP/IP (Internet) -9- 1.2 KỸ THUẬT MẬT MÃ Khi liệu truyền qua Internet, chúng bị tin tặc phát bị lộ Cách tốt để truyền liệu biến đổi chúng sang dạng khác vô nghĩa theo trật tự (chuẩn) Q trình gọi mã hố liệu (encryption) Khi phía bên nhận thu liệu mã hố này, họ khơi phục (chuyển đổi) chúng ngược trở lại dạng có nghĩa ban đầu (với giả thiết họ biết cách làm điều đó) Q trình gọi giải mã (decryption) Rất nhiều thuật toán phát triển để diễn giải cách mã hoá liệu Mật mã (cryptography) kỹ thuật mã hoá giải mã liệu Hầu hết kỹ thuật mật mã sử dụng “mật mã khoá bảo mật” “mật mã khoá công khai” Chúng sử dụng để tạo nên mơ hình hay thủ tục nhằm bảo đảm an tồn truyền dẫn thơng tin mạng Phần tìm hiểu khác biệt hai kỹ thuật mật mã 1.2.1 Mật mã khoá bảo mật Mật mã khoá bảo mật (Secret Key Cryptography) sử dụng phổ biến trước Tên gọi “khóa bảo mật” hai đối tượng tham giai truyền thơng phải giữ bí mật chung họ để mã hố giải mã liệu Trong phương pháp mật mã này, khoá nhất, gọi khoá đối xứng (symmetric key) hay khố bí mật (secret key) dùng cho hai q trình mã hố giải mã (Hình 1.1) Điều giải thích “mật mã khố bảo mật” cịn gọi “mật mã khố đối xứng” Sự an toàn liệu đảm bảo đối tượng thứ ba không hiểu dự liệu mã hoá Tuy nhiên, làm để hai đối tượng tham gia truyền thơng chuyển khố cho đối tượng cịn lại cách hồn tồn bí mật mà khơng bị lộ cho đối tượng khác ? Hơn nữa, việc quản lý khoá trở nên bất cập đối tượng tham gia truyền thông với nhiều đối tượng khác Chẳng hạn, người cần trao đổi thông tin bí mật với N người khác người phải giữ quản lý N-1 khoá bảo mật Mỗi khoá N-1 khoá phải khác với khố cịn lại để tránh tình trạng đối tượng - 124 - ứng yêu cầu - Hỗ trợ tìm kiếm, nạp thơng tin qua HTTPS Sun Java System Directory Server hoàn toàn đáp ứng yêu cầu Sun Java System Directory Server Enterprise - Hỗ trợ phát triển ứng dụng C; C++; Java; Visual Basic Editon – Resource Kit : Cung cấp công cụ API để triển khai, truy nhập, điều chỉnh, bảo trì Directory Server Enterprise Edition Các tiện ích giúp cho việc thực thi bảo trì giải pháp LDAP hiệu quả, mạnh mẽ - Hỗ trợ thiết kế CA mơ hình (Hierarchy – Root; Interconnection – Mesh Bridge) để lưu trữ chứng điện tử, CRL ARL - Sun Java System Directory Server hỗ trợ mơ hình CA có mơ hình (Hierarchy – Root; Interconnection – Mesh Bridge) Hỗ trợ làm việc với nhà cung cấp PKI Sun Java System Directory Server làm việc với hầu Entrust, RSA, VeriSign, Baltimore hết nhà cung cấp PKI lớn giới : Entrust, RSA Directory Server cung cấp việc phát triển hai chiều mà không cần phải thiết kế lại Khả mở rộng ngày trở nên quan trọng việc triển khai mở rộng Directory Server máy chủ - Hỗ trợ 1.000.000 user tương lai directory LDAP có hiệu lớn thị trường nay, với khả tìm kiếm cao tới 10000 entry giây máy đơn khả mở rộng theo chiều ngang tới hàng chục nghìn lượt tìm kiếm giây Hồn tồn có khả hỗ trợ 1.000.000 user Tương thích với hệ điều hành : Solaris 8, - Hỗ trợ nhiều môi trường: Windows, Sun (SPARC Platform Edition), Solaris (x86 Solaris, Linux, AIX, HP-UNIX Platform Edition), Red Hat Enterprise Linux AS 2.1, Microsoft Windows 2000/2003 Server Advanced Server, HP-UX 11.11, IBM AIX 5.1 Hỗ trợ cho việc phát triển ứng dụng - Hỗ trợ ngơn ngữ lập trình thơng thường: C/C++; Java; Net; Delphi Hỗ trợ nhiều môi trường: windows, Linux, UNIX - RSA BSAFE Cert-C Cert-J toolkits cung cấp tập API mật mã cho ngôn ngữ lập trình C/C++ Java cho mơi trường Windows Unix Hỗ trợ cho ứng dụng với Oracle, DB2, RSA BSAFE Cert-C Cert –J toolkits SQL… sử dụng để hỗ trợ sở liệu Một phân tích yêu cầu chi tiết yêu cầu để hiểu mức - 125 - độ tích hợp cần thiết RSA Professional Services hứa hẹn cung cấp độ tích hợp thiết yếu RSA BSAFE Cert-C and Cert –J toolkits - Hỗ trợ ứng dụng phát triển sở Windows Web sử dụng để hỗ trợ ứng dụng dạng Windows dạng Web Windows Một phân tích yêu cầu chi tiết yêu cầu để hiểu mức độ tích hợp cần thiết RSA Professional Services hứa hẹn cung cấp độ tích hợp thiết yếu RSA BSAFE Cert-C and Cert –J toolkits - Hỗ trợ ứng dụng LAN WAN (leased line, dial up) sử dụng để hỗ trợ ứng dụng LAN WAN Một phân tích yêu cầu chi tiết yêu cầu để hiểu mức độ tích hợp cần thiết RSA Professional Services hứa hẹn cung cấp độ tích hợp thiết yếu - Dễ kết hợp ứng dụng với PKI, cho phép xác thực, mã hóa, nhúng chứng RSA BSAFE Cert-C Cert-J toolkits cung cấp điện tử Chữ ký điện tử… vào ứng tập API mật mã cho ngơn ngữ lập trình dụng C/C++ Java cho môi trường Windows Unix Yêu cầu chung cho USB Token USB token phải hỗ trợ lưu trữ chứng Giải pháp RSA Certificate Manager hỗ trợ phát user, chống chép, thay đổi tuân iKey USB Token theo đặc tả sau:  Nhiệt độ làm việ - -20C đến 65C - 32K Memory  Loại cáp - USB Type A (Universal Serial - PKCS#11 middleware (v2.01) - Microsoft CPAI/CSP middleware  Bộ nhớ Smart card - 64K - Trình duyệt sở truy nhập đến iKey qua  API chuẩn - PKCS11, MSCAPI ActiveX thành phần Java  Giải thuật hỗ trợ PKI & Crypto Bus) - 1024-bit RSA (software) - Chứng điện tử X509 - Giải thuật hàm băm MD5 (hardware) o Chữ ký RSA - 1024 bit - Ba mức bảo mật truy nhập file o DES, 3DES(CBC,EBC), SHA-1 - Hai mức file directory o ANSI X9.31 PRNG - Số serial 64 bit - Application controllable LED 13491 - 1; ISO DIS 13491-2 Annex A, - Tuân theo chuẩn USB 1.1/2.0 Section A.1.1., Statement A1, A2 and A4 - Tốc độ kết nối USB 1.5 Mbits - Tiêu hao lượng lớn 28mA - giây ghi cho file 4kb o Tạo khóa - DES/3DES RSA 1024 bit   Tamper evident – xác nhận đến ISO Java Virtual Machine (JVM) - Java Card v2.1.1  Môi trường mở: Open Platform v2.0.1 - 126  Môi trường O/S - Windows 2000, XP Pro, XP Home 2003 Enterprise Edition RSA SecurID SID800 Authenticator (optional) thỏa mãn yêu cầu Ngoài ra, SID800 sử dụng cho 2-Factor Authentication (xác thực – nhân tố), cung cấp One-Time-Password (OTP) (mật dùng lần) cho user - 127 - 4.8 TRIỂN KHAI GIẢI PHÁP PKI CHO CÁC NGÂN HÀNG 4.8.1 Triển khai RSA Certificate Manager Giải pháp kỹ thuật mà đề xuất dựa sản phẩm RSA Certificate Manager PKI với cách tiếp cận cung cấp hệ thống PKI mạnh mẽ bảo mật Sáu hệ thống CA (Certification Authorities) triển khai môi trường hoạt động thực tế với “root” CA đặt chế độ offline (sẽ sử dụng q trình khởi tạo khóa ký sau lưu trữ an toàn quản trị ngân hàng) hệ thống Sub CA Chứng điện tử người sử dụng cấp phát năm hệ thống CA lưu vào hệ thống ngân hàng Directory Các CA Server đặt Trụ sở trung tâm Hà Nội, Sơn Tây, Sở giao dịch Chứng khoán, Chi nhánh Hà Nội, Chi nhánh HCM, chi nhánh Đà Nẵng, Chi nhánh Cần Thơ, chi nhánh Hải Phòng Dựa vào yêu cầu hệ thống ngân hàng, Disaster Recovery (DR), hai CA (một Root CA Sub CA) triển khai DR site Dưới sơ đồ kết nối mạng hệ thống PKI DR site Chi tiết xem Appendix Hình 4.19 Sơ đồ triển khai PKI ngân hàng điển hình Chức thành phần Root CA: - 128 - Trụ sở trung tâm có Root CA thực chức sau:  Tạo trust-point toàn hệ thống CA  Tạo ký xác nhận thẻ xác thực cho Sub-CA mức chi nhánh  Không trực tiếp tạo ký thẻ xác thực cho người dùng  Xây dựng sách thẻ xác thực áp dụng cho toàn hệ thống CA Xây dựng role, group, nhóm quản trị cho tồn hệ thống CA  Áp đặt sách cho role, group  Phân quyền, giới hạn chức cho quản trị viên nhóm quản trị  Tạo ký xác thực chéo với Root CA thông qua yêu cầu xác thực chéo chuẩn PKCS#10 Việc xây dựng xác định chức Root CA có lợi điểm sau:  Do Root CA hoạt động trust-point toàn hệ thống nên đứng góc độ phát triển tích hợp ứng dụng, q trình xây dựng kiểm tra certification path đơn giản nhiều  Root CA cấp cert cho Sub-CA trực tiếp phân chia nhiệm vụ cấp phát cert cho người dùng cuối xuống Sub-CA cho phép Root CA sau q trình khởi tạo hoạt động chế độ offline, tăng cường mức độ bảo mật Root CA  Tập trung nơi xây dựng sách thẻ xác thực thống tồn hệ thống Tập trung xây dựng phân quyền cho role, group, thành viên nhóm quản trị Thuận tiện, nhanh chóng, an tồn q trình xây dựng cập nhật sửa đổi  Việc giới hạn tạo xác thực chéo mức Root CA đảm bảo trình xây dựng kiểm tra certification path người dùng hệ thống CA thông qua điểm kết nối thuận tiện việc kiểm soát gán quyền - 129 -  Ngồi với mơ hình tính khả mở hệ thống CA cao, tương lai theo nhu cầu NGÂN HÀNG ta dễ ràng tạo thêm Sub-CA cho chi nhánh dịch vụ đặc thù Sub-CA mức chi nhánh Các Sub-CA thực chức sau:  Tạo cấp phát thẻ xác thực cho đối tượng phạm vi quản lý chi nhánh  Quản trị thẻ xác thực, đối tượng người dùng, quản trị viên theo role group định nghĩa trước Root CA gán quyền cho  Quản trị entry tương ứng máy chủ thư mục chi nhánh  Thực hoạt động Backup Recovery sở liệu thân theo sách Root CA xây dựng Directory:  Sun Java System Directory Server: đem lại mở rộng, hiệu cao hệ thống lưu trữ theo chuẩn LDAP thông tin nhận dạng thành phần cho hệ ứng dụng kinh doanh điện tử Web service o Tính bảo mật: Sản phấm có tính bảo mật cao với lệnh điều khiển truy nhập (ACI) mức macro động, điều khiển truy nhập tới mức thấp liệu thuộc tính Nó giúp cho định nghĩa sách truy nhập lần sử dụng lại xuyên suốt directory Các ACI sử dụng để tối ưng số lượng ACI directory giả độ phức tạp cho an ninh framework Cùng với ACI, việc truy nhập theo role-based cung cấp cách đơn giản để cung cấp truy nhập dựa vào thông tin entry người dùng Các vai trò định nghĩa quản trị nhóm, chúng cung cấp cách hiệu chế nhóm - 130 - ứng dụng Các vai trị dùng ACI để điều khiển truy nhập liệu hay CoS để định nghĩa thuộc tính cho entry, giảm yêu cầu lưu trữ entry cho phép thay đổi cập nhật cho số không giới hạn entry liên quan Directory Server hỗ trợ phương tiện cho việc xác định truy nhập mà người dùng cho tập thông tin Bằng cách sử dụng cách hiệu quyền điều khiển, người quản trị thắt chặt an ninh cách kiếm sốt quyền người dùng ứng dụng Khả sử dụng để xây dựng ứng dụng với giao diện tùy biến, phù hợp với quyền người dùng Directory hỗ trợ chế mã hóa để bảo vệ liệu đĩa trogn q trình trao đổi truyền thơng Để bảo vệ khỏi truy nhập trái phép người dùng, Directory Server hỗ trợ nhiều sách mật định nghĩa người dùng theo nhóm Các sách giúp đảm bảo người dùng đổi mật cách thường định kỳ kẻ cố gắng công account bị cấm cách hiệu o Tính sẵn sàng: Directory Server chất hỗ trợ loạt giao thức truy nhập khác đem lại tính mềm dẻo cao mở rộng, nhân tốt, đảm bảo sẵn sàng môi trường phân tán Cụ thể, Directory Server hỗ trợ giao thức LDAP v2 v3, giao thức Directory Service Markup Language (DSML) v2, LDAP DSML HTTP/Simple Object Access Protocol (SOAP) cho phép client từ đâu mạng tìm kiếm cập nhật đối tượng liệu directory, nhận thay đổi thực ứng dụng khác cách an toàn, xác thực người dùng ứng dụng, kể phải qua firewall Để đảm bảo khơng có single point of failure cho ứng dụng sử dụng giao thức kiến nghị cho truy cập thông tin nhận dạng, Directory Server hỗ trợ tới master bầt kỳ số lượng server đọc môi trường nhân qua mạng cục hay mạng diện rộng Các tính - 131 - đặc biệt giao thức nhân cho phép tối ưu nhân liệu mạng có độ trễ lớn o Tính mở rộng: Directory Server cung cấp việc phát triển hai chiều mà không cần phải thiết kế lại Khả mở rộng ngày trở nên quan trọng việc triển khai mở rộng Directory Server máy chủ directory LDAP có hiệu lớn thị trường nay, với khả tìm kiếm cao tới 10000 entry giây máy đơn khả mở rộng theo chiều ngang tới hàng chục nghìn lượt tìm kiếm giây Yêu cầu việc lưu trữ cập nhật thông tin cách ổn định gia tăng theo mở rộng tổ chức, khả cập nhật máy chủ directory gần 500 lần giây hệ thơng có nhiều triệu entry, gần hiệu sở liệu quan hệ Với công nghệ 64-bit, hệ thống directory enterprise có CPU tuyến tính mở rộng tới 12 CPU, Directory Server cho phép truy cập tới tối đa dung lượng nhớ đạt hiệu cao directory cực lớn với việc tận dụng tối đa khả phần cứng o Khả quản lý: Directory Server cung cấp tập công cụ quản lý dễ hiểu cho việc quản trị server service Directory Server đem lại thông tin nhận dạng cách cập nhật, liên tục, sẵn sàng điểm trung tâm dể quản lý Một giao diện đồ họa tậ trung sử dụng để cấu hình quản lý nhiều Directory Server Giao diện bao gồm tất công cụ cần thiết để quản trị hàng ngày dịch vụ để cấu hình tới theo dõi Thêm vào đó, số cơng cụ dịng lệnh cho hầu hết tất hoạt động cấu hình quản trị thực cách linh đơng qua LDAP server chạy Các tính quản lý khiến cho phần lơn hoạt động quản lý thường thực directory offline-như lưu, nhập đánh thứ tự lại-có thể thực online, thể tối đa hóa tính sẵn sàng Khả quản lý mềm dẻo khiến dễ dàng để triển khai dịch vụ directory vào nhiều môi trường khác Nếu trung tâm liệu outsource cho bên thứ ba - 132 - lý địi hỏi phải quản trị từ xa, tiện ích dòng lệnh khiến chúng trở nên dễ dàng quản lý chỗ RSA SecurID Appliance RSA SecurID Appliance cấu hình cài đặt để cung cấp phương pháp xác thực bảo mật hai thành phần cho người sử dụng ngân hàng khách hàng Dưới chi tiết mơ hình mạng hệ thống DR site Chi tiết xem phụ luc A Giải pháp trì vận hành hệ thống cung cấp RSA Security với đối tác Việt Nam Việc kiểm soát Backup máy chủ thực nhà cung cấp Hà Nội Support mức ứng dụng đội ngũ chuyên gia RSA đối tác Việt Nam chịu trách nhiệm 4.8.2 RSA BSAFE tookits với ứng dụng PKI ABC Hình 4.20 Mơ hình phát triển ứng dụng PKI RSA BSAFE tookits cho phép ngân hàng phát triển ứng dụng dựa PKI tương tác (interface) với hệ thống chữ ký điện tử Người gửi có khả sinh chữ ký điện tử cho thông điệp giao dịch trước gửi cho người nhận - 133 - Khi nhận thông điệp giao dịch ký, người nhận xác thực lại chữ ký điện tử kiểm định chứng điện tử người gửi bị hủy bỏ hay chưa, điều giúp ích cho việc chống từ chối việc thực hiên giao dịch Các thành phần bảo mật RSA BSAFE Cert-J Cert-C cung cấp thư viện phần mềm, code mẫu tài liệu làm giảm đáng kể công sức việc thực thủ tục mã hóa với chứng điện tử Hình 4.21 Chữ ký điện tử - 134 - 4.8.3 Bảng giá tham khảo giải pháp RSA Certificate Manager Bảng 4.2 Bảng giá tham khảo thành phần giải pháp PKI RSA S/N Description Part Number Unit Price (USD) RSA Certificate Manager (including 12mths KCA-1000 & KCAMNT-E- 30.74/user SecurCare, 8x5 telephone & email support) 1000 x Root CA x Sub CA x Root CA and x Sub CA (DR Site) RSA 6200 USB Token SC6200-1000 27.60/Token RSA Authentication Client (RAC) (including RAC-FULL-1000 & RAC- 29.74/User 12mths SecurCare, 8x5 telephone & email FULL-MT-1000 support) RSA BSAFE Toolkits Cert-C 11,700/Application RSA BSAFE Toolkits Cert-J 11,700/Application Professional Services 2000/Day Training for customer on installation and 5000 configuration of RSA Certificate Manager Total RSA Registration Manager (including 12mths KRA & KRAMNT 1.18/per user RSA Key Recovery Manager (including 12mths KSENKEY & KSENKEY- 23,600/server SecurCare, 8x5 telephone & email support) MNT RSA Validation Manager (including 12mths RSA VALID MANAGER- SecurCare, 8x5 telephone & email support) 1000 & VALID SecurCare, 8x5 telephone & email support) 18.88/user MANAGER MNT-1000 RSA Validation Client (including 12mths RSA VALID CLIENT- SecurCare, 8x5 telephone & email support) 1000 & VALIDATION 9.44/User MAINT-1000 RSA Key Manager Solution for Database 156,000 encryption RSA SID800 SID800-6-60-36 89.40/token RSA SecurID Appliance Base Software License APP0001000B 48/user SecurCare Maintenance for RSA SecurID APP0001000BS12 8.64/user/year APPF91475 2,999/Unit Appliance Base Edition for 12 month for 1000 users, 8x5 telephone & email support RSA SecurID Appliance Hardware (Primary and Replica Servers with an additional spare standby) Production sites + DR site - 135 - KẾT LUẬN Như qua bốn chương luận văn, tìm hiểu vấn đề lý thuyết liên quan đến sở hạ tầng khóa cơng khai, nắm bắt thành phần quan trọng giải pháp hạ tầng khóa cơng khai RSA Certificate Manager dành cho ngân hàng hãng bảo mật RSA Để ứng dụng điểm mạnh hạ tầng khóa cơng khai diện rộng, nhiều ngành khác địi hỏi phải có hỗ trợ tích cực từ phía quan chức năng, đặc biệt nhà cung cấp dịch vụ kỹ thuật hàng đầu Một hướng phát triển khác phải tìm hiểu để tự xây dựng nên hệ thống PKI, từ việc xây dựng thành phần hệ thống, đến việc lập trình trình trao đổi liệu để phục vụ hoạt động hệ thống ứng dụng hạ tầng khóa cơng khai - 136 - TÀI LIỆU THAM KHẢO [1] Adrew Nash, William Duane, Celia Joseph, Derek Brink; PKI Implementing and Managing E-Security; McGraw-Hill, 2001 [2] Carl Ellison and Bruce Schneier, Ten risks of PKI [3] Carlisle Adams, Steve Lloyd, Understanding PKI Concepts, Standards, and Deployment Considerations, Second Edition, Addison Wesley [4] Designing and Planning a PKI, Microsoft [5] HeinzJohner, Seiei Fujiwara, Amelia Sm Yeung, Anthony Stephanou,Jim Whitmore, Deploying a Public Key Infrastructure, IBM [6] NIST PKI Program, http://csrc.nist.gov/pki/ [online], truy cập lần cuối ngày 10/11/2007 [7] Peter Gutmann, PKI Tutorial, [8] PKI Plannings and Concepts, ALPHA [9] Siranjan Choudhury; Public Key Infrastructure, implement and design; M&T Book [10] The Open–source PKI Book, http://ospkibook.sourceforge.net/ [online], truy cập lần cuối ngày 10/11/2007 [11] Designing a Public Key Infrastructure, http://technet2.microsoft.com/windowsserver/en/library/b1ee9920-d7ef-4ce5-b63c3661c72e0f0b1033.mspx?mfr=true [online], Microsoft, truy cập lần cuối ngày 10/11/2007 [12] RSA Documentation, RSA Security Inc - 137 - PHỤ LỤC Giải pháp RSA Certificate Manager cho ngân hàng Hình 6.1 Sơ đồ mạng ngân hàng Hình 6.2 Sơ đồ chi tiết chi nhánh - 138 - TÓM TẮT LUẬN VĂN Luận văn chia thành chương theo nội dung trình bày, chia thành hai phần nghiên cứu lý thuyết tìm hiểu thực tế Phần nghiên cứu lí thuyết bao gồm chương 1, chương chương 3; chương trình bày giải pháp ứng dụng hạ tầng khóa cơng khai thực tế q trình triển khai giải pháp Chương 1: Trình bày cách khái quát vấn đề hệ thống sở hạ tầng khóa cơng khai Các vấn đề trình bày bao gồm kỹ thuật mã hóa sử dụng hạ tầng khóa cơng khai chuẩn giao thức quản lí tiến trình hoạt động diễn hệ thống Chương 2: Nghiên cứu phần tử hệ thống sở hạ tầng khóa cơng khai Dựa tìm hiểu vận hành hệ thống Chương 3: Trình bày số vấn đề việc xây dựng hệ thống sở hạ tầng khóa cơng khai Từ việc lựa chọn mơ hình đến chức cần phải có hệ thống sở hạ tầng khóa cơng khai tối thiểu Chương 4: Chương trình bày phải pháp hạ tầng khóa cơng khai dành cho ngân hàng hãng RSA Từ việc mô tả nhu cầu cấp bách khách hàng, đến liệt kê thành phần đáp ứng hãng giải pháp RSA Certificate Manager Cuối chương đề cập đến trình triển khai hệ thống bảng giá tham khảo sản phẩm Phần cuối luận văn tài liệu tham khảo phụ lục ... truyền dẫn thơng tin mạng Phần tìm hiểu khác biệt hai kỹ thuật mật mã 1.2.1 Mật mã khoá bảo mật Mật mã khoá bảo mật (Secret Key Cryptography) sử dụng phổ biến trước Tên gọi “khóa bảo mật? ?? hai đối... Standard) - 24 - Mật mã khố cơng khai phức tạp mật mã khố đối xứng Nhìn chung, mật mã khố cơng khai địi hỏi chiều dài khố dài để đạt mức độ bảo mật mật mã khoá bảo mật sử dụng khoá với chiều dài... hoá liệu Mật mã (cryptography) kỹ thuật mã hoá giải mã liệu Hầu hết kỹ thuật mật mã sử dụng ? ?mật mã khoá bảo mật? ?? ? ?mật mã khố cơng khai” Chúng sử dụng để tạo nên mơ hình hay thủ tục nhằm bảo đảm