LỜI CAM ĐOAN Tôi xin cam đoan đề tài nghiên cứu hoàn toàn tự làm dƣới hƣớng dẫn cô giáo PGS TS Nguyễn Thị Hoàng Lan Những kết tìm hiểu nghiên cứu trình bày luận văn hoàn toàn trung thực chƣa đƣợc công bố công trình Nếu xảy điều không nhƣ lời cam đoan trên, xin chịu hoàn toàn trách nhiệm trƣớc Viện nhà trƣờng Hà Nội, tháng 09 năm 2014 Tác giả Nguyễn Huy Hiệu i MỤC LỤC LỜI CAM ĐOAN i DANH MỤC CÁC TỪ VIẾT TẮT v DANH MỤC HÌNH VẼ vi MỞ ĐẦU viii CHƢƠNG 1: TỔNG QUAN VỀ PKI 1.1 Khái niệm PKI 1.2 Tìm hiểu hệ mật mã .2 1.2.1 Hệ mật mã khóa đối xứng 1.2.2 Hệ mật mã khóa công khai 1.3 Các trình mã hóa giải mã 1.3.1 Quá trình băm .7 1.3.2 Quá trình mã hóa giải mã 1.3.3 Quá trình ký xác thực chữ ký 10 1.4 Các thành phần PKI 12 1.4.1 Certificate Authority .12 1.4.2 Registration Authority 13 1.4.3 PKI client 13 1.4.4 Các thành phần khác .13 1.5 Các mô hình tổ chức PKI 13 1.5.1 Single CA Model 14 1.5.2 Hierachical Model 14 1.5.3 Mesh Model 15 1.5.4 Web of Trust Model 16 1.5.5 Trust List Model .16 1.6 Tìm hiểu phần mềm EJBCA 17 1.6.1 Giới thiệu 17 1.6.2 Kiến trúc 18 1.6.3 Quy trình đăng ký chứng số .19 ii 1.6.4 Quy trình thu hồi chứng số 22 CHƢƠNG 2: PHÂN TÍCH GIẢI PHÁP PKI CHO DOANH NGHIỆP 24 2.1 Doanh nghiệp khảo sát nhu cầu thực tế .24 2.2 Khảo sát mô hình phân cấp tổ chức doanh nghiệp 24 2.3 Khảo sát số nghiệp vụ hành 25 2.3.1 Quy trình cấp thiết bị 26 2.3.2 Quy trình tuyển nhân 26 2.3.3 Phân tích đánh giá 27 2.4 Đề xuất mô hình PKI sử dụng EJBCA cho doanh nghiệp 29 2.4.1 Mô hình triển khai PKI hạ tầng mạng doanh nghiệp 30 2.4.2 Phân tích hoạt động mô hình đề xuất 32 CHƢƠNG 3: XÂY DỰNG HỆ THỐNG CHỮ KÝ SỐ ỨNG DỤNG VÀO VĂN BẢN HÀNH CHÍNH DOANH NGHIỆP 34 3.1 Phân tích xây dựng quy trình hoạt động hệ thống PKI 34 3.1.1 Xây dựng quy trình đăng ký chứng số 34 3.1.2 Xây dựng quy trình thu hồi chứng số 37 3.1.3 Xây dựng quy trình ký/ xác thực chữ ký 39 3.2 Phân tích thiết kế ứng dụng thử nghiệm 40 3.2.1 Công cụ phát triển 40 3.2.2 Phân tích ứng dụng hỗ trợ ngƣời dùng RA 40 3.2.2.1 Biểu đồ Use Case .40 3.2.2.2 Biểu đồ 41 3.2.2.3 Biểu đồ thành phần 43 3.2.3 Phân tích ứng dụng hỗ trợ ngƣời quản trị EJBCA 43 3.2.3.1 Biểu đồ Use Case .43 3.2.3.2 Biểu đồ 44 3.2.3.3 Biểu đồ thành phần 46 3.2.4 Phân tích ứng dụng hỗ trợ ngƣời sử dụng chứng số 47 3.2.4.1 Biểu đồ Use case 47 iii 3.2.4.2 Biểu đồ 48 3.2.4.3 Biểu đồ thành phần 51 3.3 Cài đặt thử nghiệm ứng dụng .51 3.3.1 Môi trƣờng cài đặt 51 3.3.2 Cài đặt ứng dụng 53 3.3.3 Kịch thử nghiệm 57 3.3.4 Kết thử nghiệm đánh giá .59 3.4 Nhận xét đánh giá 59 KẾT LUẬN 61 TÀI LIỆU THAM KHẢO 63 iv DANH MỤC CÁC TỪ VIẾT TẮT CA Certificate Authority CRL Certificate Revocation List DN Distinguish Name EJB Enterprise Java Bean EJBCA Enterprise Java Bean Certificate Authority LDAP Lightweight Directory Access Protocol MFC Microsoft Foundation Classes OCSP Online Certificate Status Protocol PKCS Public Key Cryptography Standard PKI Public Key Infrastructure RA Registration Authority RFC Request For Comment v DANH MỤC HÌNH VẼ Hình 1.1: Mã hóa giải mã với khóa đối xứng Hình 1.2: Mô hình mã hóa đối xứng không dùng vector khởi tạo Hình 1.3: Mô hình mã hóa đối xứng dùng vector khởi tạo Hình 1.4: Mô hình mã hóa giải mã với khóa khác Hình 1.5: Mô trình mã hóa Hình 1.6: Quá trình mã hóa Hình 1.7: Mã hóa kết hợp, trình giải mã .10 Hình 1.8: Minh họa trình ký 11 Hình 1.9: Mô hình CA đơn 14 Hình 1.10: Mô hình CA phân tầng .15 Hình 1.11: Danh sách chứng số trình duyệt web .16 Hình 1.12: Kiến trúc EJBCA .18 Hình 1.13: Quá trình đăng ký chứng số 20 Hình 1.14: Quy trình thu hồi chứng số 22 Hình 2.1: Mô hình phân cấp chức công ty IFI Solution .25 Hình 2.2: Đề xuất mô hình phân tầng hệ thống PKI công ty IFI Solution 29 Hình 2.3: Đề xuất mô hình EJBCA triển khai công ty IFI Solution 31 Hình 2.4: Mô hình hoạt động EJBCA công ty IFI Solution 32 Hình 3.1: Quy trình đăng ký chứng số công ty IFI Solution 35 Hình 3.2: Quy trình thu hồi chứng số công ty IFI Solution 38 Hình 3.3: Quy trình ký duyệt văn 39 Hình 3.4: Biểu đồ Use case công cụ RA .41 Hình 3.5: Biểu đồ trình tạo yêu cầu RA .42 Hình 3.6: Biểu đồ thành phần công cụ RA 43 Hình 3.7: Biểu đồ Use Case công cụ quản trị EJBCA 44 Hình 3.8: Quá trình xử lý yêu cầu ngƣời quản trị EJBCA 45 Hình 3.9: Quá trình export file chứng số .46 Hình 3.10: Biểu đồ thành phần công cụ quản trị EJBCA 46 vi Hình 3.11:Biểu đồ Use case công cụ ký văn 47 Hình 3.12: Quản lý danh sách văn 48 Hình 3.13: Hiển thị thông tin chi tiết văn 49 Hình 3.14: Quá trình ký văn công cụ hỗ trợ ký số 50 Hình 3.15: Biểu đồ thành phần chƣơng trình ký/xác thực chữ ký .51 Hình 3.16: Mô hình hệ thống kiểm thử 52 Hình 3.17: Giao diện quản lý yêu cầu 53 Hình 3.18: Giao diện tạo mới/ sửa yêu cầu 54 Hình 3.19: Giao diện xử lý yêu cầu từ RA 54 Hình 3.20: Giao diện quản lý chứng số 55 Hình 3.21: Giao diện quản lý danh sách văn 56 Hình 3.22: Giao diện hiển thị thông tin văn 56 Hình 3.23: Giao diện ký văn 57 vii MỞ ĐẦU Trong năm gần đây, doanh nghiệp Việt Nam có gia tăng nhanh chóng số lƣợng: tính đến thời điểm nƣớc có 400.000 doanh nghiệp hoạt động riêng năm 2013 nƣớc ta có 76.955 doạnh nghiệp đăng ký kinh doanh (theo Thống kê cục Quản lý kinh doanh, Bộ kế hoạch đầu tƣ) đa số doanh nghiệp vừa nhỏ Cùng với gia nhập tổ chức thƣơng mại giới WTO, doanh nghiệp nƣớc ta đứng trƣớc thách thức lớn Khi không đƣợc bảo hộ nhà nƣớc doanh nghiệp phải cạnh tranh với doanh nghiệp nƣớc có tiềm lực tài kinh nghiệm Ngoài việc tận dụng lợi ƣu đãi sách nhà nƣớc, doanh nghiệp Việt Nam cần phải tự cấu lại để phù hợp với điều kiện mới, nâng cao hiệu suất hoạt động, tăng sức cạnh tranh với doanh nghiệp có vốn đầu tƣ nƣớc Cùng với phát triển bùng nổ mạng Internet, nhƣ tiến vƣợt bậc công nghệ liên quan mƣời năm trở lại đây, việc ứng dụng công nghệ thông tin vào hoạt động doanh nghiệp mang lại lợi ích to lớn cho doanh nghiệp, đặc biệt trình trao đổi thông tin Có thực rằng, phần lớn doanh nghiệp ứng dụng công nghệ thông tin vào hoạt động quản lý kinh doanh, song việc đảm bảo an ninh thông tin hệ thống doanh nghiệp dƣờng nhƣ chƣa đƣợc trọng mức, với thông tin quan trọng phải sử dụng thêm phƣơng thức trao đổi thông tin truyền thống nhƣ: công văn, văn giấy… để xác nhận Làm cho việc ứng dụng công nghệ thông tin không triệt để, lãng phí thời gian tiền Do đó, việc xây dựng hệ thống truyền tin an toàn nói chung hệ thống văn điện tử doanh nghiệp nói riêng giúp loại bỏ khâu hành rƣờm rà, nâng cao hiệu suất hoạt động Bởi vì, giao tiếp xảy Internet “ảo”, vậy, thật khó khẳng định đƣợc ngƣời ta giao tiếp với có ngƣời mà ta mong muốn hay không Từ nhu cầu thực tế đó, nhận thấy có hai vấn đề đƣợc đặt Thứ nhất, để tránh giả mạo, ngƣời dùng cần viii phƣơng thức để xác minh ngƣời đƣa thông tin xác minh toàn vẹn thông tin Thứ hai, để tránh bị lộ thông tin, ngƣời dùng cần phƣơng thức để đảm bảo có ngƣời họ gửi thông tin cho đọc đƣợc thông tin Giải pháp để đáp ứng hai vấn đề đƣợc giới đề từ lâu Đó cấp cho cá nhân hệ thống văn điện tử doanh nghiệp chứng số tự chứng minh đƣợc với ngƣời khác họ Họ dùng chứng ký điện tử lên văn họ gửi để ngƣời nhận xác định đƣợc họ tác giả kiểm tra toàn vẹn văn Ngoài ra, họ dùng chứng để giải mã thông tin mà đƣợc mã hóa gửi cho họ, với mong muốn họ giải mã đƣợc thông tin Hệ thống hỗ trợ việc đăng ký, cấp phát quản lý chứng số, nhƣ cung cấp dịch vụ liên quan để sử dụng chứng số đƣợc gọi chung Public Key Infrastructure (PKI – Hạ tầng khóa công khai) Hay nói cách khác, PKI tạo sở vững để ngƣời tin tƣởng, đăng ký sử dụng chứng số Trong phạm vi doanh nghiệp, việc triển khai thành công PKI cho phép hoàn thiện hệ thống văn điện tử nói riêng môi trƣờng truyền tin an toàn nói chung Hiện nay, có nhiều mô hình PKI đƣợc xây dựng sẵn, số EJBCA EJBCA phần mềm nguồn mở dựa công nghệ Java, dễ dàng triển khai cài đặt nhƣ tùy chỉnh tùy theo điều kiện cụ thể Để triển khai hệ thống PKI nội doanh nghiệp EJBCA lựa chọn tối ƣu Nhận thấy lợi ích triển khai hệ thống PKI vào doanh nghiệp đƣợc đồng ý giáo viên hƣớng dẫn PGS.TS Nguyễn Thị Hoàng Lan, lựa chọn đề tài luận văn: “Nghiên cứu sở hạ tầng khóa công khai giải pháp ứng dụng chữ ký số văn hành doanh nghiệp” với mục tiêu nhƣ sau:  Nghiên cứu kiến thức hạ tầng khóa công khai (Public Key Infrastructure – PKI)  Nghiên cứu thành phần, mô hình PKI sử dụng phần mềm nguồn mở EJBCA ix  Phân tích xây dựng giải pháp cho việc triển khai PKI sử dụng phần mềm EJBCA ứng dụng chữ ký số văn hành doanh nghiệp vừa nhỏ Nội dung luận văn đƣợc trình bày thành chƣơng:  Chƣơng 1: Tổng quan PKI  Tìm hiểu kiến thức PKI nhƣ: khái niệm, thành phần mô hình tổ chức PKI  Tìm hiểu hệ mật mã: hệ mật mã khóa đối xứng, hệ mật mã khóa công khai  Tìm hiểu trình mã hóa, giải mã, ký xác thực chữ ký sử dụng hệ thống PKI  Tìm hiểu phần mềm nguồn mở EJBCA bao gồm: kiến trúc quy trình hệ thống PKI sử dụng EJBCA  Chƣơng 2: Phân tích giải pháp PKI cho doanh nghiệp  Tập trung khảo sát doanh nghiệp cụ thể: nhu cầu doanh nghiệp, mô hình phân cấp tổ chức nghiệp vụ doanh nghiệp…  Phân tích đánh giá kết khảo sát trên, đề xuất mô hình PKI sử dụng EJBCA cho doanh nghiệp, phân tích hoạt động mô hình đề xuất, đối tƣợng ngƣời dùng tham gia vào hệ thống  Chƣơng 3: Xây dựng hệ thống chữ ký số ứng dụng vào văn hành doanh nghiệp  Dựa mô hình đề xuất chƣơng 2, xây dựng quy trình hoạt động hệ thống PKI đề xuất  Phân tích thiết kế ứng dụng thử nghiệm: nhằm hỗ trợ ngƣời sử dụng tham gia vào hoạt động hệ thống PKI Sau đó, xây dựng kịch thử nghiệm để đánh giá hoạt động hệ thống  Đƣa nhận xét đánh giá mô hình đề xuất x  Hiển thị thông tin chi tiết văn bản: Chức hiển thị thông tin chi tiết văn mà chức xác thực chữ ký điện tử có văn Trên danh sách văn bản, ngƣời sử dụng lựa chọn văn để xem chi tiết thông tin văn Chƣơng trình mở cửa sổ hiển thị thông tin văn đƣợc lựa chọn theo trình tự sau: lấy chữ ký chứng số đính kèm văn bản, kiểm tra tính hợp lệ chứng số, dùng khóa công khai chứng số kiểm tra chữ ký tƣơng ứng, tải kết kiểm tra lên cửa sổ ứng dụng Dựa thông tin hiển thị cửa sổ, ngƣời sử dụng biết đƣợc văn đƣợc xử lý hay chƣa? đƣợc xử lý ký lên văn đó? văn có bị thay đổi từ ký hay không? Hình 3.13: Hiển thị thông tin chi tiết văn  Xử lý văn bản: Chức xử lý văn bao gồm hai chức là: ký văn xóa chữ ký có văn Chức xóa chữ ký, đơn giản 49 trình tìm xóa chữ ký điện tử đƣợc lƣu văn trƣớc Chúng ta tập trung phân tích chức ký văn bản, chức đƣợc thiết kế phù hợp cho hai loại chữ ký hệ thống: chữ ký cấp chữ ký cấp  Đối với chữ ký cấp 1, từ cửa sổ thông tin chi tiết văn ngƣời sử dụng gọi chức ký văn thực ký bình thƣờng  Đối với chữ ký cấp 2: trình kết hợp chức hiển thị thông tin chi tiết văn trình ký cấp Từ cửa số thông tin chi tiết văn ngƣời sử dụng kiểm tra trạng thái chữ ký văn trƣớc nhƣ: giám đốc hành kiểm tra xem có chữ ký nháy nhân viên hành soạn văn chƣa? Tổng giám đốc duyệt văn kiểm tra xem văn có chữ ký ngƣời đề xuất hay chƣa? Nếu tồn xác thực chữ ký yêu cầu, ngƣời sử dụng tiến hành ký văn bản, tƣơng tự nhƣ với chữ ký cấp Hình 3.14: Quá trình ký văn công cụ hỗ trợ ký số 50 3.2.4.3 Biểu đồ thành phần Chƣơng trình đƣợc chia thành phần: Hình 3.15: Biểu đồ thành phần chương trình ký/xác thực chữ ký  Gói DllCommon: bao gồm tất lớp khai báo chức toàn chƣơng trình: xử lý xâu chuỗi, đọc ghi file, lớp kế thừa đối tƣợng giao diện MFC nhƣ: ClistCtrl, Cbutton  Gói DllCryptography: bao gồm lớp sử dụng thƣ viện CryptoAPI để thực chứng ký xác thực chữ ký từ hai kiểu chứng số: lấy thông tin chứng trực tiếp từ file p12 lấy thông tin chứng từ kho lƣu chứng hệ điều hành window  Gói PKI_Admin_Demo: bao gồm lớp phục vụ chức hiển thị thông tin, quản lý danh sách văn : thêm, xóa văn bản, cung cấp giao diện để ngƣời sử dụng thực chức ký, xác thực chữ ký 3.3 Cài đặt thử nghiệm ứng dụng 3.3.1 Môi trƣờng cài đặt Sau xây dựng chƣơng trình theo nhƣ phân tích thiết kế trên, mô hình cài đặt kiểm thử chức chúng nhƣ sau: 51 Hình 3.16: Mô hình hệ thống kiểm thử Cấu hình chi tiết thiết bị hệ thống kiểm thử: Tên máy EJBCA Hệ điều hành Cấu hình chi tiết Centos 5.4 - Địa mạng: 192.168.204.130 - Cài đặt chƣơng trình EJBCA phiên 3.9.2, thiết lập định kỳ quét sở liệu RA RA Database Window - Địa mạng: 192.168.204.131 server 2003 - Cài đặt Mysql: chứa sở liệu RA PKI_Admin_De Window - Địa mạng: 192.168.204.33 - Cài mo đặt chƣơng trình PKI_Admin_Demo - Java Runtime Environment PKI_RA_Demo Window 52 - Địa mạng: 192.168.204.33 - Cài đặt chƣơng trình PKI_RA_Demo - Cài đặt chƣơng PKI_User_Demo (kiểm trình tra chức ký văn bản) 3.3.2 Cài đặt ứng dụng Các ứng dụng hỗ trợ ngƣời sử dụng hệ thống sau cài đặt có giao diện nhƣ sau:  Công cụ cho ngƣời dùng RA:  Giao diện quản lý yêu cầu: hiển thị danh sách yêu cầu lƣu, xem trạng thái yêu cầu đƣợc xử lý hay chƣa? Hình 3.17: Giao diện quản lý yêu cầu 53  Giao diện tạo mới/ sửa yêu cầu: Hình 3.18: Giao diện tạo mới/ sửa yêu cầu  Công cụ cho ngƣời quản trị EJBCA:  Giao diện xử lý yêu cầu: hiển thị danh sách yêu cầu RA gửi lên, cho phép ngƣời quản trị chấp nhận từ chối yêu cầu Hình 3.19: Giao diện xử lý yêu cầu từ RA 54  Giao diện quản lý chứng số: hiển thị danh sách chứng số ngƣời dùng, cho phép ngƣời quản trị export chứng số cấp cho ngƣời sử dụng (Hình 3.20) Ngoài ra, chƣơng trình hỗ trợ giao diện cho phép ngƣời quản trị tạo yêu cầu, tƣơng tự nhƣ chức công cụ RA Hình 3.20: Giao diện quản lý chứng số  Công cụ cho ngƣời dùng cuối:  Giao diện quản lý danh sách văn bản: cửa sổ quản lý gồm phần: phần hiển thị thƣ mục văn quản lý, phần hiển thị danh sách trạng thái văn thƣ mục thời (Hình 3.21) 55 Hình 3.21: Giao diện quản lý danh sách văn  Giao diện hiển thị thông tin văn bản: hiển thị danh sách chữ ký văn bản: ngƣời ký, ngày ký, loại chữ ký trạng thái chữ ký Hình 3.22: Giao diện hiển thị thông tin văn 56  Giao diện ký văn bản: cho phép ngƣời dùng thực cách ký: ký nháy ký duyệt Chứng số đƣợc sử dụng để ký văn lấy trực tiếp từ file p12 lƣu nhớ máy tinh lấy từ kho chứng số window Hình 3.23: Giao diện ký văn 3.3.3 Kịch thử nghiệm Sau cài đặt hệ thống kiểm thử nhƣ mục 3.3.1, tiến hành kiểm tra chức hệ thống, cụ thể chức công cụ hỗ trợ ngƣời dùng: RA, quản trị EJBCA ngƣời dùng chứng số  Kịch kiểm tra chức chƣơng trình PKI_RA_Demo PKI_Admin_Demo:  Bƣớc 1: mở chƣơng trình PKI_RA_Demo, chọn chức thêm yêu cầu Nhập thông tin: mã nhân viên, họ tên, email mật Sau chọn lƣu thông tin  Bƣớc 2: mở chƣơng trình PKI_Admin_Demo, danh sách yêu cầu RA chọn chấp nhận (accept) yêu cầu từ RA 57  Bƣớc 3: danh sách chứng số PKI_Admin_Demo, lựa chọn export chứng số vừa đƣợc duyệt bƣớc lƣu xuống máy tính dạng file p12  Kết mong muốn: chứng số đƣợc tạo bƣớc có thông tin giống nhƣ đƣợc nhập bƣớc  Kịch kiểm tra chức ký/ xác thực chữ ký:  Kịch 1: kiểm tra chức ký/xác thực chữ ký hệ thống  Bƣớc 1: mở chƣơng trình PKI_User_Demo máy tính 1, thực ký số với văn P chứng số máy Sau đó, gửi văn P đƣợc ký số đến máy tính  Bƣớc 2: thêm văn P vào chƣơng trình PKI_User_Demo máy tính 2, hiển thị chi tiết văn P, thực ký số lên văn P chứng số máy Sau gửi lại văn P máy  Kết mong muốn: máy nhận đƣợc văn P, hiển thị thông tin hai chữ ký đƣợc xác thực, văn chƣa bị thay đổi kể từ thời điểm đƣợc ký cấp máy tính ký cấp máy tính  Kịch 2: kiểm tra trƣờng hợp văn bị thay đổi sau đƣợc ký  Bƣớc 1: mở chƣơng trình PKI_User_Demo, thực chức ký số lên văn P  Bƣớc 2: sửa nội dung văn P vừa ký số  Bƣớc 3: thêm lại văn P vào chƣơng trình PKI_User_Demo, xem thông tin chi tiết văn P  Kết mong muốn: danh sách chữ ký văn P, chữ ký thực bƣớc cảnh báo không xác thực  Kịch 3: kiểm tra trƣờng hợp văn đƣợc ký số chứng số đƣợc cấp CA mạo danh 58  Bƣớc 1: mở chƣơng trình PKI_User_Demo, chọn văn P thực ký số với chứng số đƣợc cấp CA khác Sau gửi văn P đến máy tính  Bƣớc 2: mở chƣơng trình PKI_User_Demon máy 2, thêm văn P vừa nhận đƣợc hiển thị thông tin chi tiết văn  Kết mong muốn: danh sách chữ ký văn P, chữ ký thực bƣớc cảnh báo văn không xác thực 3.3.4 Kết thử nghiệm đánh giá Sau cài đặt thực thử nghiệm công cụ hỗ trợ theo kịch trên, cho kết chƣơng trình hoạt động nhƣ thiết kế Qua đó, ta thấy với thiết kế chƣơng trình đáp ứng đƣợc chức hệ thống PKI công ty IFI Solution nhƣ cấp chứng số cho nhân viên, nhƣ áp dụng chữ ký số vào quy trình nghiệp vụ hành công ty đảm bảo tính an toàn chữ ký số toàn hệ thống nhƣ: phát chứng số giả mạo đảm bảo tính chống từ chối, xác định đƣợc tính toàn vẹn văn 3.4 Nhận xét đánh giá Một số kết luận hệ thống chữ ký số ứng dụng vào văn hành công ty IFI Solution nhƣ sau:  Về mặt quy trình hệ thống: kết thử nghiệm ứng dụng khẳng định quy trình hoàn toàn khả thi Ở góc độ nhận xét cá nhân, thấy quy trình đề xuất đảm bảo tính an toàn mà hệ thống PKI doanh nghiệp yêu cầu Song để đánh giá toàn diện xác quy trình hệ thống cần phải đƣợc triển khai thực tế ghi nhận phản hồi từ ngƣời sử dụng công cụ hỗ trợ tham gia vận hành hệ thống PKI  Về mặt ứng dụng thử nghiệm: đảm bảo chức đăng ký chứng số, văn hành đảm bảo đƣợc hai tính chất PKI: tính chống từ chối tính toàn vẹn văn 59  Bên cạnh đó, ứng dụng thử nghiệm số điểm cần lƣu ý nhƣ sau:  Vì chƣa xây dựng thử nghiệm đƣợc chức thu hồi chứng số, nên bƣớc kiểm tra chứng số trình xác thực chữ ký dừng lại mức kiểm tra xem chứng số có công ty cấp hay không, chƣa kiểm tra đƣợc chứng bị thu hồi  Bƣớc kiểm tra chữ ký số văn bản, chƣơng trình hỗ trợ đƣợc mức: xác định ngƣời ký xác thực chữ ký số ngƣời văn Còn việc xác định xem văn đƣợc gửi tới có thẩm quyền duyệt ngƣời nhận hay không lại phụ thuộc vào cá nhân ngƣời nhận, hay nói cách khác mặc định đối tƣợng duyệt văn hệ thống biết nhân viên dƣới quyền gửi văn cho Ví dụ, giám đốc tổng hợp duyệt văn nhân viên hành gửi lên, tổng giám đốc duyệt văn giám đốc phận… Vì mang tính chủ quan cá nhân, nên quy trình nghiệp vụ bị vi phạm Nên triển khai thực tế cần phải đƣa giải pháp để hỗ trợ ngƣời duyệt văn loại bỏ bƣớc kiểm tra mang tính chủ quan nhƣ: xây dựng quy trình cứng cho đƣờng loại văn hành (ai đƣợc quyền đề xuất? đƣợc quyền ký duyệt?)  Vì mục tiêu xây dựng ứng dụng mức mẫu thử nhằm đánh giá tính khả thi hệ thống quy trình đề xuất, nên trình thiết kế ứng dụng bỏ qua số yêu cầu an ninh nhƣ: cho phép ứng dụng ngƣời dùng RA ngƣời quản trị EJBCA kết nối trực tiếp đến sở liệu RA Do đó, để tránh công không mong muốn vào sở liệu, triển khai thực tế cần phải xây dựng ứng dụng máy chủ cài đặt máy chứa sở liệu RA, yêu cầu ngƣời dùng gửi xuống sở liệu RA phải thông qua ứng dụng 60 KẾT LUẬN  Về mặt lý thuyết:  Đã nắm đƣợc kiến thức hạ tầng khóa công khai - Public Key Infrastructure nhƣ: khái niệm, thành phần bản, mô hình quy trình hệ thống PKI  Nghiên cứu phần mềm nguồn mở EJBCA: nắm đƣợc kiến trúc EJBCA, thành phần bản, đặc điểm EJBCA quy trình PKI EJBCA xây dựng  Về mặt thực tiễn:  Khảo sát doanh nghiệp cụ thể: mô hình phân cấp chức năng, số quy trình nghiệp vụ hành  Phân tích giải pháp PKI cho doanh nghiệp khảo sát: dựa kết khảo sát doanh nghiệp, tiến hành phân tích, đánh giá rút quy trình nghiệp vụ chung, từ đề xuất mô hình PKI ứng dụng phần mềm EJBCA cho doanh nghiệp  Dựa phân tích giải pháp mô hình PKI đề xuất, tiến hành xây dựng quy trình chuẩn cho hệ thống PKI doanh nghiệp: quy trình đăng ký chứng số, quy trình thu hồi chứng số, quy trình ký/xác thực chữ ký  Phân tích thiết kế xây dựng mẫu thử hỗ trợ đối tƣợng ngƣời dùng vận hành hoạt động hệ thống PKI nhằm đánh giá tính khả thi hệ thống đề xuất  Từ kết thử nghiệm cho ta kết luận: quy trình xây dựng cho hệ thống PKI doanh nghiệp khả thi, đảm bảo tính an toàn cần có hệ thống PKI, ứng dụng hỗ trợ chức ký xác thực chữ ký đảm bảo đƣợc hai tính chất hệ thống PKI: tính chống từ chối tính toàn vẹn văn 61  Một số định hƣớng phát triển tƣơng lai:  Nghiên cứu ứng dụng chữ ký số vào nghiệp vụ khác doanh nghiệp nhƣ: nghiệp vụ tài chính,…  Bổ sung chức nhằm nâng cao tính an toàn hệ thống: time stamp server, OCSP…  Nghiên cứu khả lƣu trữ sử dụng chứng số thiết bị chuyên dụng nhƣ: USB Token, smart card… 62 TÀI LIỆU THAM KHẢO Tài liệu tiếng Anh: Carlisle Adams, Steve Lloyd, (2002), Understanding PKI: Concepts, Standards, and Deployment Considerations, Person Education Inc, US J Shaad, (2005), Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF) - RFC 4211, IETF Organization R Housley, W Ford, W Polk, D Solo, (1999), Internet X.509 Public Key Infrastructure Certificate and CRL Profile – RFC 2459, IETF Organization Suranjan Choudhury, Kartik Bhatnagar, Wasim Haque, (2002), Public Key Infrastructure Implementation and Design, Hungry Minds Inc, New York William Stallings (2006), Cryptography and Network Security : Principles and Practice, Fifth Edition, Prentice Hall, USA Web: http://users.ece.cmu.edu/~adrian/630-f04/PGP-intro.html http://ejbca.org/docs/ http://www.ifisolution.com/ http://en.wikipedia.org/wiki/Public_key_infrastructure 63 ... hệ thống PKI vào doanh nghiệp đƣợc đồng ý giáo viên hƣớng dẫn PGS.TS Nguyễn Thị Hoàng Lan, lựa chọn đề tài luận văn: Nghiên cứu sở hạ tầng khóa công khai giải pháp ứng dụng chữ ký số văn hành... ngƣời sử dụng (hay vài) khóa công khai giải ba câu hỏi: Khóa ai? Để làm gì? Còn hạn sử dụng không? Khóa công khai ngƣời đƣợc gắn vào chứng số Nói cách đơn giản, nhiệm vụ PKI tạo ra, công bố quản... giải mã có khả giải mã Khóa công khai bí mật có quan hệ toán học với nhau, liệu mà đƣợc mã hóa khóa công khai đƣợc giải mã khóa bí mật tƣơng ứng ngƣợc lại Khóa công khai đƣợc công khai với tất