2.1 CHỨNG THƯ SỐ DIGITAL CERTIFICATES 2.1.1 Giới thiệu Như đã nói đến ở trên, mật mã khoá cơng khai sử dụng hai khố khác nhau khố cơng khai và khoá bí mật để đảm bảo yêu cầu “bí mật, xác
LÊ TRẦN VŨ ANH BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ********** LÊ TRẦN VŨ ANH Nghiên cứu giải pháp ứng dụng hạ tầng khóa cơng CƠNG NGHỆ THƠNG TIN khai hệ thống toán điện tử liên ngân hàng - ngân hàng nhà nước Việt Nam Luận văn thạc sĩ khoa học ngành: Cơng nghệ thơng tin KHĨA 2006 - 2008 Hà Nội - 2008 Tai ngay!!! Ban co the xoa dong chu nay!!! 17057204827121000000 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ********** LÊ TRẦN VŨ ANH Nghiên cứu giải pháp ứng dụng hạ tầng khóa cơng khai hệ thống tốn điện tử liên ngân hàng - ngân hàng nhà nước Việt Nam Chuyên ngành: Công nghệ thông tin Luận văn thạc sĩ khoa học Người hướng dẫn khoa học: PGS.TS Nguyễn Thị Hoàng Lan Hà Nội - 2008 MỤC LỤC MỤC LỤC Error! Bookmark not defined DANH MỤC HÌNH VẼ Error! Bookmark not defined DANH MỤC TỪ VIẾT TẮT Error! Bookmark not defined MỞ ĐẦU Error! Bookmark not defined CHƯƠNG TỔNG QUAN VỀ MẬT MÃ Error! Bookmark not defined 1.1 GIỚI THIỆU CHUNG Error! Bookmark not defined 1.2 KHÁI NIỆM HỆ MẬT MÃ Error! Bookmark not defined 1.3 HỆ MẬT MÃ KHOÁ ĐỐI XỨNG Error! Bookmark not defined 1.4 HỆ MẬT MÃ KHỐ CƠNG KHAI Error! Bookmark not defined 1.5 CHỮ KÝ SỐ Error! Bookmark not defined 1.6 HÀM BĂM Error! Bookmark not defined CHƯƠNG CHỨNG THƯ SỐ VÀ HẠ TẦNG MÃ KHỐ CƠNG KHAI Error! Bookmark not defined 2.1 CHỨNG THƯ SỐ (DIGITAL CERTIFICATES) Error! Bookmark not defined 2.1.1 Giới thiệu Error! Bookmark not defined 2.1.2 Chứng thư số khoá công khai X.509 Error! Bookmark not defined 2.1.3 Thu hồi chứng thư số Error! Bookmark not defined 2.1.4 Chính sách chứng thư số Error! Bookmark not defined 2.1.5 Công bố gửi thông báo thu hồi chứng thư số Error! Bookmark not defined 2.2 CÁC THÀNH PHẦN CỦA PKI Error! Bookmark not defined 2.2.1 Tổ chức chứng thực (Certification Authority) Error! Bookmark not defined 2.2.2 Trung tâm đăng ký (Registration Authorities) Error! Bookmark not defined 2.2.3 Thực thể cuối (Người giữ chứng thư số Clients) Error! Bookmark not defined 2.2.4 Hệ thống lưu trữ (Repositories) Error! Bookmark not defined 2.3 CHỨC NĂNG CƠ BẢN CỦA PKI Error! Bookmark not defined 2.3.1 Chứng thực (certification) Error! Bookmark not defined 2.3.2 Thẩm tra (validation) Error! Bookmark not defined 2.3.3 Một số chức khác Error! Bookmark not defined 2.4 MƠ HÌNH TIN CẬY CHO PKI Error! Bookmark not defined CHƯƠNG TỔNG QUAN VỀ GIẢI PHÁP PKI CỦA ENTRUST Error! Bookmark not defined 3.1 CÁC TÍNH NĂNG NỔI BẬT CỦA ENTRUST CA Error! Bookmark not defined 3.2 KIẾN TRÚC HỆ THỐNG ENTRUST CA Error! Bookmark not defined 3.3 CẤP PHÁT CHỨNG THƯ SỐ THEO MƠ HÌNH WEB-BASED CỦA ENTRUST CA Error! Bookmark not defined 3.4 VẤN ĐỀ TÍCH HỢP HỆ THỐNG Error! Bookmark not defined CHƯƠNG HỆ THỐNG “QUẢN LÝ VÀ CẤP PHÁT MÃ KHĨA CƠNG KHAI NGÂN HÀNG NGÂN HÀNG NHÀ NƯỚC VIỆT NAM” Error! Bookmark not defined 4.1 MỤC TIÊU CHUNG CỦA HỆ THỐNG Error! Bookmark not defined 4.2 KIẾN TRÚC HỆ THỐNG Error! Bookmark not defined 4.2.1 Mơ hình hệ thống Error! Bookmark not defined 4.2.2 Các thành phần hệ thống Error! Bookmark not defined 4.2.3 Các chức hệ thống Error! Bookmark not defined 4.2.4 Các chức người quản trị hệ thống Error! Bookmark not defined 4.3 MỘT SỐ CÁC QUY TRÌNH CƠ BẢN Error! Bookmark not defined 4.3.1 Quy trình cấp chứng thư số Error! Bookmark not defined 4.3.2 Quy trình xin gia hạn (cập nhật) chứng thư số Error! Bookmark not defined 4.3.3 Quy trình hủy bỏ chứng thư số Error! Bookmark not defined 4.4 NHẬN XÉT Error! Bookmark not defined CHƯƠNG HỆ THỐNG THANH TOÁN ĐIỆN TỬ LIÊN NGÂN HÀNG NGÂN HÀNG NHÀ NƯỚC VIỆT NAM Error! Bookmark not defined 5.1 TỔNG QUAN Error! Bookmark not defined 5.2 KIẾN TRÚC HỆ THỐNG Error! Bookmark not defined 5.2.1 Mơ hình hệ thống Error! Bookmark not defined 5.2.2 Các tiểu hệ thống Error! Bookmark not defined 5.2.3 Các thành phần hệ thống Error! Bookmark not defined 5.2.4 Thành viên hệ thống Error! Bookmark not defined 5.3 CÁC LOẠI DỊCH VỤ TRONG HỆ THỐNG Error! Bookmark not defined 5.4 NHẬN XÉT Error! Bookmark not defined CHƯƠNG PHÂN TÍCH VẤN ĐỀ AN TỒN BẢO MẬT HỆ THỐNG THANH TOÁN ĐIỆN TỬ LIÊN NGÂN HÀNG Error! Bookmark not defined 6.1 AN TỒN BẢO MẬT CỦA HỆ THỐNG THANH TỐN ĐIỆN TỬ LIÊN NGÂN HÀNG (IBPS) Error! Bookmark not defined 6.1.1 Vấn đề bảo mật hệ thống Error! Bookmark not defined 6.1.2 Tổng quát yêu cầu an toàn hệ thống Error! Bookmark not defined 6.2 PHÂN TÍCH HIỆN TRẠNG BẢO MẬT TẤNG ỨNG DỤNG TRONG HỆ THỐNG Error! Bookmark not defined 6.2.1 Mã xác thực, dấu hiệu điện tử việc xác thực liệu Error! Bookmark not defined 6.2.2 Xác thực thực thể mã hóa liệu q trình truyền thơng Error! Bookmark not defined 6.3 NHẬN XÉT Error! Bookmark not defined CHƯƠNG ĐÁNH GIÁ HIỆN TRẠNG HỆ THỐNG THANH TỐN ĐIỆN TỬ LIÊN NGÂN HÀNG TÍCH HỢP HỆ THỐNG CA Error! Bookmark not defined 7.1 HIỆN TRẠNG TÍCH HỢP HỆ THỐNG CA VỚI HỆ THỐNG IBPS Error! Bookmark not defined 7.2 CÁC TIẾN TRÌNH XỬ LÝ Error! Bookmark not defined 7.2.1 Đồng chứng thư số danh sách chứng thư số bị thu hồi Error! Bookmark not defined 7.2.2 Quy trình ký xác thực tin điện PPC Error! Bookmark not defined 7.2.3 Quy trình ký xác thực tin điện CI sử dụng chứng thư số Error! Bookmark not defined 7.3 ĐÁNH GIÁ Error! Bookmark not defined 7.3.1 Vấn đề ‘Mã xác thực, dấu hiệu điện tử việc xác thực liệu’ Error! Bookmark not defined 7.3.2 Vấn đề ‘Xác thực thực thể mã hóa liệu q trình truyền thơng’ Error! Bookmark not defined 7.3.3 Vấn đề khác Error! Bookmark not defined CHƯƠNG ĐỀ XUẤT CÁC GIẢI PHÁP CHO HỆ THỐNG TÍCH HỢP Error! Bookmark not defined 8.1 ĐẶT VẤN ĐỀ Error! Bookmark not defined 8.2 ĐỀ XUẤT GIẢI PHÁP Error! Bookmark not defined 8.2.1 Xử lý nghiệp vụ xác thực liệu PPC Error! Bookmark not defined 8.2.2 Vấn đề xác thực thể mã hóa liệu q trình truyền thơng Error! Bookmark not defined 8.2.3 Tăng khả đồng liệu từ LDAP PPC Error! Bookmark not defined 8.2.4 Tăng khả đồng liệu từ LDAP CIs Error! Bookmark not defined 8.2.5 Kết hợp hai giải pháp đồng liệu LDAP PPCs/CIs Error! Bookmark not defined 8.2.6 Gán nhãn thời gian cho trình ký xác thực tin điện Error! Bookmark not defined 8.3 CÁC TIẾN TRÌNH CẢI TIẾN Error! Bookmark not defined 8.3.1 Kết nối/ khởi tạo phiên làm việc với ứng dụng Server Error! Bookmark not defined 8.3.2 Đồng liệu LDAP PPC Error! Bookmark not defined 8.3.3 Quy trình xác thực tin điện PPC Error! Bookmark not defined 8.3.4 Cập nhật thông tin người dùng NPSC Error! Bookmark not defined 8.3.5 Quy trình ký xác thực tin điện CIs Error! Bookmark not defined 8.4 KIỂM NGHIỆM Error! Bookmark not defined 8.4.1 Xây dựng chương trình Error! Bookmark not defined 8.4.2 Môi trường Error! Bookmark not defined 8.4.3 Một số kết Error! Bookmark not defined 8.4.4 Đánh giá Error! Bookmark not defined 8.5 HƯỚNG PHÁT TRIỂN Error! Bookmark not defined KẾT LUẬN Error! Bookmark not defined TÀI LIỆU THAM KHẢO Error! Bookmark not defined PHỤ LỤC Error! Bookmark not defined MỘT SỐ CHUẨN MẬT MÃ KHỐ CƠNG KHAI (PKCS) Error! Bookmark not defined IKEY 1032 Error! Bookmark not defined -1- LỜI CẢM ƠN Tôi xin gửi lời cảm ơn chân thành bày tỏ lòng biết ơn sâu sắc tới PGS TS Nguyễn Thị Hoàng Lan, Người cho định hướng ý kiến quý báu công nghệ PKI Đặc biệt ý kiến quý báu vấn đề cụ thể để hồn thành luận văn Tơi xin tỏ lịng biết ơn sâu sắc tới thầy cơ, bạn bè khố dìu dắt, giúp đỡ tơi tiến suốt năm học qua Xin cảm ơn gia đình bè bạn, người ln khuyến khích giúp đỡ tơi hồn cảnh khó khăn Tôi xin cảm ơn bạn đồng nghiệp tạo điều kiện cho tơi q trình học làm luận văn Được hoàn thành thời gian hạn hẹp, luận văn chắn nhiều khiếm khuyết Tôi xin cảm ơn thầy cô, bạn bè người thân có góp ý chân tình cho nội dung luận văn này, để tơi tiếp tục sâu tìm hiểu đưa PKI vào ứng dụng thực tiễn công việc Lê Trần Vũ Anh -2- MỤC LỤC MỤC LỤC DANH MỤC HÌNH VẼ DANH MỤC TỪ VIẾT TẮT MỞ ĐẦU .9 CHƯƠNG TỔNG QUAN VỀ MẬT MÃ 11 1.1 GIỚI THIỆU CHUNG 11 1.2 KHÁI NIỆM HỆ MẬT MÃ 11 1.3 HỆ MẬT MÃ KHOÁ ĐỐI XỨNG 12 1.4 HỆ MẬT MÃ KHỐ CƠNG KHAI 13 1.5 CHỮ KÝ SỐ 16 1.6 HÀM BĂM 19 CHƯƠNG CHỨNG THƯ SỐ VÀ HẠ TẦNG MÃ KHỐ CƠNG KHAI 21 2.1 CHỨNG THƯ SỐ (DIGITAL CERTIFICATES) 22 2.1.1 Giới thiệu 22 2.1.2 Chứng thư số khố cơng khai X.509 23 2.1.3 Thu hồi chứng thư số 26 2.1.4 Chính sách chứng thư số 27 2.1.5 Công bố gửi thông báo thu hồi chứng thư số 27 2.2 CÁC THÀNH PHẦN CỦA PKI .30 2.2.1 Tổ chức chứng thực (Certification Authority) 30 2.2.2 Trung tâm đăng ký (Registration Authorities) 31 2.2.3 Thực thể cuối (Người giữ chứng thư số Clients) 32 2.2.4 Hệ thống lưu trữ (Repositories) 32 2.3 CHỨC NĂNG CƠ BẢN CỦA PKI 32 2.3.1 Chứng thực (certification) 32 2.3.2 Thẩm tra (validation) 33 2.3.3 Một số chức khác 33 2.4 MƠ HÌNH TIN CẬY CHO PKI 36 CHƯƠNG TỔNG QUAN VỀ GIẢI PHÁP PKI CỦA ENTRUST 38 3.1 CÁC TÍNH NĂNG NỔI BẬT CỦA ENTRUST CA 38 3.2 KIẾN TRÚC HỆ THỐNG ENTRUST CA 39 3.3 CẤP PHÁT CHỨNG THƯ SỐ THEO MÔ HÌNH WEB-BASED CỦA ENTRUST CA 40 3.4 VẤN ĐỀ TÍCH HỢP HỆ THỐNG 43 CHƯƠNG HỆ THỐNG “QUẢN LÝ VÀ CẤP PHÁT MÃ KHĨA CƠNG KHAI NGÂN HÀNG NGÂN HÀNG NHÀ NƯỚC VIỆT NAM” 44 4.1 MỤC TIÊU CHUNG CỦA HỆ THỐNG 44 4.2 KIẾN TRÚC HỆ THỐNG 44 4.2.1 Mơ hình hệ thống 44 4.2.2 Các thành phần hệ thống 45 -34.2.3 Các chức hệ thống 47 4.2.4 Các chức người quản trị hệ thống 48 4.3 MỘT SỐ CÁC QUY TRÌNH CƠ BẢN 51 4.3.1 Quy trình cấp chứng thư số 51 4.3.2 Quy trình xin gia hạn (cập nhật) chứng thư số 52 4.3.3 Quy trình hủy bỏ chứng thư số 53 4.4 NHẬN XÉT 54 CHƯƠNG HỆ THỐNG THANH TOÁN ĐIỆN TỬ LIÊN NGÂN HÀNG NGÂN HÀNG NHÀ NƯỚC VIỆT NAM 55 5.1 TỔNG QUAN 55 5.2 KIẾN TRÚC HỆ THỐNG 56 5.2.1 Mơ hình hệ thống 56 5.2.2 Các tiểu hệ thống 57 5.2.3 Các thành phần hệ thống 57 5.2.4 Thành viên hệ thống 59 5.3 CÁC LOẠI DỊCH VỤ TRONG HỆ THỐNG 60 5.4 NHẬN XÉT 61 CHƯƠNG PHÂN TÍCH VẤN ĐỀ AN TỒN BẢO MẬT HỆ THỐNG THANH TOÁN ĐIỆN TỬ LIÊN NGÂN HÀNG 62 6.1 AN TOÀN BẢO MẬT CỦA HỆ THỐNG THANH TOÁN ĐIỆN TỬ LIÊN NGÂN HÀNG (IBPS) .62 6.1.1 Vấn đề bảo mật hệ thống 62 6.1.2 Tổng quát yêu cầu an toàn hệ thống 63 6.2 PHÂN TÍCH HIỆN TRẠNG BẢO MẬT TẤNG ỨNG DỤNG TRONG HỆ THỐNG 66 6.2.1 Mã xác thực, dấu hiệu điện tử việc xác thực liệu 66 6.2.2 Xác thực thực thể mã hóa liệu q trình truyền thông 70 6.3 NHẬN XÉT 75 CHƯƠNG ĐÁNH GIÁ HIỆN TRẠNG HỆ THỐNG THANH TỐN ĐIỆN TỬ LIÊN NGÂN HÀNG TÍCH HỢP HỆ THỐNG CA 76 7.1 HIỆN TRẠNG TÍCH HỢP HỆ THỐNG CA VỚI HỆ THỐNG IBPS 76 7.2 CÁC TIẾN TRÌNH XỬ LÝ 78 7.2.1 Đồng chứng thư số danh sách chứng thư số bị thu hồi 78 7.2.2 Quy trình ký xác thực tin điện PPC 81 7.2.3 Quy trình ký xác thực tin điện CI sử dụng chứng thư số 83 7.3 ĐÁNH GIÁ 87 7.3.1 Vấn đề ‘Mã xác thực, dấu hiệu điện tử việc xác thực liệu’ 88 7.3.2 Vấn đề ‘Xác thực thực thể mã hóa liệu q trình truyền thơng’ 89 7.3.3 Vấn đề khác 89 CHƯƠNG ĐỀ XUẤT CÁC GIẢI PHÁP CHO HỆ THỐNG TÍCH HỢP 90 8.1 ĐẶT VẤN ĐỀ 90 8.2 ĐỀ XUẤT GIẢI PHÁP 92 8.2.1 Xử lý nghiệp vụ xác thực liệu PPC 92 -48.2.2 Vấn đề xác thực thể mã hóa liệu q trình truyền thơng 93 8.2.3 Tăng khả đồng liệu từ LDAP PPC 97 8.2.4 Tăng khả đồng liệu từ LDAP CIs 99 8.2.5 Kết hợp hai giải pháp đồng liệu LDAP PPCs/CIs 101 8.2.6 Gán nhãn thời gian cho trình ký xác thực tin điện 102 8.3 CÁC TIẾN TRÌNH CẢI TIẾN 103 8.3.1 Kết nối/ khởi tạo phiên làm việc với ứng dụng Server 103 8.3.2 Đồng liệu LDAP PPC 108 8.3.3 Quy trình xác thực tin điện PPC 109 8.3.4 Cập nhật thông tin người dùng NPSC 111 8.3.5 Quy trình ký xác thực tin điện CIs 112 8.4 KIỂM NGHIỆM 119 8.4.1 Xây dựng chương trình 119 8.4.2 Môi trường 123 8.4.3 Một số kết 125 8.4.4 Đánh giá 126 8.5 HƯỚNG PHÁT TRIỂN 126 KẾT LUẬN 127 TÀI LIỆU THAM KHẢO 129 PHỤ LỤC 130 MỘT SỐ CHUẨN MẬT MÃ KHỐ CƠNG KHAI (PKCS) 130 IKEY 1032 131 -5- DANH MỤC HÌNH VẼ Hình 1.1: Hình 1.2: Hình 1.3: Hình 1.4: Q trình mã hố giải mã 12 Mã hố thơng điệp sử dụng khố cơng khai P 13 Giải mã thơng điệp sử dụng khố bí mật người nhận 13 Sơ đồ hệ mật mã RSA 14 Hình 1.5: Mã hố thơng điệp sử dụng khố bí mật S để mã thơng điệp khố cơng khai P để mã khố bí mật S .15 Hình 1.6: Giải mã thơng điệp sử dụng khố bí mật S để giải mã thơng điệp khố bí mật P để giải mã khố bí mật S 15 Hình 1.7: Sơ đồ chữ ký RSA .17 Hình 1.8 a: Băm thông điệp 17 Hình 1.8 b: Ký băm 17 Hình 1.8 c: Truyền liệu thơng tin cần gửi 18 Hình 1.8: Sơ đồ mơ tả cơng đoạn người A làm trước gửi thông điệp cho người B (sử dụng hàm băm ký số) 18 Hình 1.9 a: Xác minh chữ ký 18 Hình 1.9 b: Tiến hành băm thông điệp x kèm 18 Hình 1.9 c: Kiểm tra tính tồn vẹn thơng điệp 18 Hình 1.9: Sơ đồ mơ tả cơng đoạn kiểm tra chữ ký sau người B nhận thông điệp .18 Hình 1.10: Nhiều thơng điệp nguồn cho kết đích sau mã hố/ ký số .19 Hình 2.1: Chứng thư số 22 Hình 2.2: Khn dạng chứng thư số X.509 23 Hình 2.3: Nội dung chi tiết chứng thư số 26 Hình 2.4: Khn dạng danh sách chứng thư số bị thu hồi 28 Hình 2.5: Dịch vụ kiểm tra online .29 Hình 2.6: Các thành phần PKI 30 Hình 2.7: Đường dẫn chứng thư số chéo 35 Hình 2.8: Mơ hình root .36 Hình 3.1: Các thành phần hệ thống Entrust CA chuẩn 39 Hình 3.2: Kiến trúc mơ hình lấy chứng thư số qua giao diện Web 41 Hình 3.3: Cấp phát chứng thư số qua Web 42 Hình 3.4: Quy trình cấp phát chứng thư số qua Web 43 Hình 4.1: Mơ hình CA NHNN Việt Nam 45 Hình 4.2: minh họa phân cấp bảo mật người sử dụng hệ thống Entrust PKI 48 Hình 4.3: Quy trình cấp chứng thư số .51 Hình 4.4: Quy trình xin gia hạn (cập nhật) chứng thư số 52 Hình 5.1: Mơ hình triển khai IBPS .56 Hình 5.2: Kiến trúc IBPS 56 Hình 5.3: Các modul phần mềm NPSC 57 Hình 5.4: Các modul phần mềm PPC 58 Hình 5.5: Các modul phần mềm Br/CI 59 Hình 6.1: Các mối đe dọa tính an tồn bảo mật hệ thống IBPS 63 Hình 6.2: Hiện trạng bảo mật ứng dụng IBPS 66 Hình 6.3: Mã xác thực 67 Hình 6.4: Sơ đồ mơ tả phương thức phân phối mã xác thực AAC cho người kiểm soát CI 68 Hình 6.5: Sơ đồ sau thể quy trình tạo kiểm tra E-Sign hệ thống IBPS 69