Nghiên cứu giải pháp bảo mật và xác thực cho các giao dịch hành chính công điện tử – Sở Thông tin và Truyền thông Bắc Ninh (LV thạc sĩ)Nghiên cứu giải pháp bảo mật và xác thực cho các giao dịch hành chính công điện tử – Sở Thông tin và Truyền thông Bắc Ninh (LV thạc sĩ)Nghiên cứu giải pháp bảo mật và xác thực cho các giao dịch hành chính công điện tử – Sở Thông tin và Truyền thông Bắc Ninh (LV thạc sĩ)Nghiên cứu giải pháp bảo mật và xác thực cho các giao dịch hành chính công điện tử – Sở Thông tin và Truyền thông Bắc Ninh (LV thạc sĩ)Nghiên cứu giải pháp bảo mật và xác thực cho các giao dịch hành chính công điện tử – Sở Thông tin và Truyền thông Bắc Ninh (LV thạc sĩ)Nghiên cứu giải pháp bảo mật và xác thực cho các giao dịch hành chính công điện tử – Sở Thông tin và Truyền thông Bắc Ninh (LV thạc sĩ)Nghiên cứu giải pháp bảo mật và xác thực cho các giao dịch hành chính công điện tử – Sở Thông tin và Truyền thông Bắc Ninh (LV thạc sĩ)Nghiên cứu giải pháp bảo mật và xác thực cho các giao dịch hành chính công điện tử – Sở Thông tin và Truyền thông Bắc Ninh (LV thạc sĩ)Nghiên cứu giải pháp bảo mật và xác thực cho các giao dịch hành chính công điện tử – Sở Thông tin và Truyền thông Bắc Ninh (LV thạc sĩ)
ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG NGÔ THỊ THANH HẢI NGHIÊN CỨU GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CÔNG ĐIỆN TỬ – SỞ THÔNG TIN VÀ TRUYỀN THÔNG BẮC NINH LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Th¸i Nguyªn - 2017 ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG NGÔ THỊ THANH HẢI NGHIÊN CỨU GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CÔNG ĐIỆN TỬ – SỞ THÔNG TIN VÀ TRUYỀN THÔNG BẮC NINH Chuyên ngành: Khoa học máy tính Mã số: 60.48.01.01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC: TS- PHẠM THẾ QUẾ Th¸i Nguyªn - 2017 LỜI CẢM ƠN Lời đầu tiên, xin cảm ơn TS Phạm Thế Quế, Giảng viên Học viện công nghệ bưu viễn thông định hướng đề tài tận tình hướng dẫn, bảo suốt trình thực luận văn Tôi xin chân thành cảm ơn thầy, cô Trường Đại học Công nghệ thông tin truyền thông Thái Nguyên truyền đạt kiến thức tạo điều kiện thời gian học tập Cuối cùng, xin gửi lời cảm ơn tới gia đình bạn bè, người bên cạnh, giúp đỡ động viên trình học tập suốt trình thực luận văn Mặc dù nỗ lực, cố gắng chắn luận văn nhiều thiếu sót Tôi mong nhận ý kiến đóng góp, chia sẻ quý thầy cô, anh chị bạn Tôi xin chân thành cảm ơn! Thái Nguyên, ngày tháng năm 2017 Người thực Ngô Thị Thanh Hải LỜI CAM ĐOAN Tôi xin cam đoan luận văn cao học “Nghiên cứu giải pháp bảo mật xác thực cho giao dịch hành công điện tử – Sở Thông tin Truyền thông Bắc Ninh” thực hướng dẫn giáo viên hướng dẫn TS Phạm Thế Quế Các nội dung luận văn ghi rõ nguồn gốc phía cuối luận văn Nếu có phát gian lận chép tài liệu, công trình nghiên cứu tác giả khác mà không ghi rõ phần tài liệu tham khảo, chịu hoàn toàn trách nhiệm kết luận văn Thái Nguyên, ngày tháng năm 2017 Người thực Ngô Thị Thanh Hải MỤC LỤC Trang DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT i DANH MỤC BẢNG BIỂU iii DANH MỤC CÁC HÌNH iv MỞ ĐẦU CHƯƠNG I: T NG QUAN AN TOÀN BẢO MẬT HỆ TH NG THÔNG TIN 1.1 Khái niệm chung an toàn thông tin [1] 1.1.1 Giới thiệu 1.1.2 Các mục tiêu an toàn thông tin [2] 1.1.3 Các tiêu chí đánh giá hệ thống thông tin an toàn, bảo mật 1.1.4 Các hành vi vi phạm an toàn bảo mật thông tin 1.1.5 Một số hình thức công hệ thống thông tin [2] 1.2 Kỹ thuật phát ngăn chặn xâm nhập [3] 11 1.2.1 Tường lửa (Firewall) 11 1.2.2 Hệ thống phát xâm nhập 14 1.3 Bảo vệ thông tin kỹ thuật mật mã [1] 15 1.3.1 Hệ mật mã 15 1.3.2 Bảo vệ thông tin kỹ thuật mật mã khoá đối xứng 17 1.3.3 Thuật toán trao đổi khoá Diffie-Hellman 19 1.4 Bảo vệ thông tin mật mã khóa bất đối xứng [1] 21 1.4.1 Khái niệm 21 1.4.2 Thuật toán mật mã RSA 23 1.4.3 Chuyển đổi văn rõ 25 1.4.4 Đánh giá kỹ thuật mật mã bất đối xứng 26 1.4.5 Một số hệ mật mã khóa công khai khác 27 CHƯƠNG II: XÁC THỰC DÙNG CHỮ KÝ ĐIỆN TỬ VÀ CHỨNG THỰC S 28 2.1 Cơ chế xác thực nguồn gốc thông tin [8] 28 2.1.1 Giới thiệu chung 28 2.1.2 Kỹ thuật xác thực thông tin 28 2.2 Hàm băm bảo mật 32 2.2.1 Hàm băm bảo mật 32 2.2.2 Ứng dụng hàm băm bảo mật 33 2.2.3 Hàm băm bảo mật SHA 34 2.2.4 Hàm băm MD5 35 2.3 Chữ ký số [8] 36 2.3.1 Khái niệm 36 2.3.2 Phân loại chữ ký số 38 2.3.3 Các phương pháp thực chữ ký số 38 2.3.4 Chuẩn chữ ký DSS 40 2.3.5 Thuật toán tạo chữ ký DSA 42 2.3.6 Những vấn đề tồn chữ ký số 43 2.4 Cơ sở hạ tầng khóa công khai PKI [9] 44 2.4.1 Khái niệm 44 2.4.2 Chức chủ yếu PKI 47 2.4.3 Các thành phần PKI 48 2.4.4 Các thủ tục PKI 50 2.4.5 Ưu nhược điểm việc ứng dụng hệ thống PKI 50 2.5 Chứng thực số môi trường hạ tầng khóa công khai PKI [9] 51 2.5.1 Khái niệm 51 2.5.2 Xác thực thông tin dùng chữ ký điện tử chứng thực điện tử 53 CHƯƠNG III: CÀI ĐẶT VÀ THỬ NGHIỆM BÀI TOÁN XÁC THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CÔNG ĐIỆN TỬ 56 3.1 Mô hình giao dịch Chính phủ - Công dân (G to C) 56 3.1.1 Khái niệm 56 3.1.2 Hệ thống giao dịch hành công điện tử 56 3.1.3 Mô hình xác thực hệ thống thông tin liên thông 57 3.1.4 Các mức độ dịch vụ hành công 58 3.1.5 Thủ tục sử dụng dịch vụ hành công cửa 58 3.2 Nhu cầu triển khai chữ ký điện tử cho giao dịch hành công Sở Thông tin Truyền thông 59 3.2.1 Hiện trạng dịch vụ công 59 3.2.2 Các điểm yếu bảo mật giao dịch hành công 60 3.3.3 Ứng dụng PKI yêu cầu Sở TT&TT 60 3.3 Một số đề xuất tổ chức cung cấp quản lý chứng số 61 3.3.1 Đề xuất mô hình CA 61 3.3.2 Kiến trúc thành phần thiết bị 61 3.3.3 Tính sản phẩm đề xuất 61 3.4 Giải pháp triển khai 60 3.4.1 Xây dựng hệ thống CA riêng Sở TT&TT 63 3.4.2 Đăng ký sử dụng với tổ chức cung cấp dịch vụ chứng thực số 63 3.4.3 Lưu trữ bảo vệ khóa bí mật sử dụng cho chữ ký số 63 3.5 Triển khai thử nghiệm 64 3.5.1 Ứng dụng java mô trình ký xác thực chữ ký 64 3.5.2 Kết thử nghiệm 65 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 67 TÀI LIỆU THAM KHẢO 69 i DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT AES Advanced Encryption Standard ANSI American National Chuẩn mã hoá tiên tiến Standards Viện tiêu chuẩn quốc gia Mỹ Institude CA Certification Authority Nhà cung cấp chứng thực CRL Certificate Revocation List Danh sách chứng thực thu hồi DES Data Ecryption Standard Chuẩn mã liệu DNS Domain Name System Hệ thống tên miền DSA Digital Signature Algorithm Thuật toán chữ ký điện tử DSS Digital Signature Standard Chuẩn chữ ký điện tử EDI Electronic Data Interchange Trao đổi liệu điện tử FIPS Federal Information Processing Chuẩn xử lý thông tin liên bang Mỹ Standard FTP File Transfer Protocol Giao thức truyền file HTTP Hyper Text Transport Protocol Giao thức truyền siêu văn IDEA International Data Encryption Thuật toán mã hoá liệu quốc tế ISO Algorithm International Tổ chức tiêu chuẩn hoá quốc tế Organization for Standardization ISP Internet Service Provider Nhà cung cấp dịch vụ Internet ITU International Liên minh viễn thông quốc tế Telecommunication Union Thuật toán mã hóa MD5 Message Digest NIST National Institute of Standards Viện quốc gia chuẩn công and Technology nghệ OSI Open System Interconnection Kết nối hệ thống mở PGP Pretty Good Private Bảo mật mạnh PKI Public Key Infrastructure Cơ sở hạ tầng khoá công khai ii RA Registration Authority Nhà quản lý đăng ký RSA Rivest-Shamir-Aldeman Thuật toán mật mã hóa khóa công khai SET Secure Electronic Transaction Giao dịch điện tử an toàn SHA Secure Hash Algorithm Thuật toán băm an toàn TCP/IP Transmission Control Protocol/ Giao thức điều khiển truyền Internet protocol URL Uniform Resource Locator Bộ định vị tài nguyên AES Advanced Encryption Standard Chuẩn mã hoá tiên tiến ANSI American National Standards Viện tiêu chuẩn quốc gia Mỹ Institude CA Certification Authority CRL Nhà cung cấp chứng thực DES Data Ecryption Standard Chuẩn mã liệu DNS Domain Name System Hệ thống tên miền DSA Digital Signature Algorithm Thuật toán chữ ký điện tử DSS Digital Signature Standard Chuẩn chữ ký điện tử EDI Electronic Data Interchange Trao đổi liệu điện tử FIPS Federal Information Processing Chuẩn xử lý thông tin liên bang Standard FTP File Transfer Protocol Giao thức truyền file HTTP Hyper Text Transport Protocol Giao thức truyền siêu văn IDEA International Data Encryption Thuật toán mã hoá liệu quốc tế Algorithm ISO International Organization for Tổ chức tiêu chuẩn hoá quốc tế Standardization ISP Internet Service Provider Nhà cung cấp dịch vụ Internet iii DANH MỤC BẢNG BIỂU Bảng 2.1 Các phiên SHA…………………………………………… 35 Bảng 2.2 So sánh thông số SHA-1 MD5…………………… 36 Bảng 3.1 Kết thử nghiệm………………………………………………66 55 khoá công khai CA sử dụng để chứng thực khoá công khai chứng số người gửi Khi khoá công khai người gửi xác nhận, dùng để chứng thực chữ ký điện tử thông điệp Để cung cấp chứng bảo đảm hệ thống chữ ký, điều kiện sau phải thoả mãn : Nhà cung cấp dịch vụ chứng phải cung cấp chứng cho bên gửi bên nhận Bên nhận phải có khả sử dụng chứng CA để kiểm chứng khoá công khai bên gửi Khoá công khai chứng thực bên gửi phải sử dụng để kiểm chứng chữ ký điện tử thông điệp Kết luận chương Xác thực thủ tục nhằm kiểm tra thông tin nhận có đến từ nguồn hợp lệ có bị sửa đổi hay không Mặt khác xác thực kiểm tra trình tự tính lúc thông tin nhận Kỹ thuật xác thực thông tin bao gồm kỹ thuật sử dụng thuật toán mật mã khóa đối xứng bất đối xứng, kỹ thuật sử dụng mã xác thực MAC (Message Authentication Code) kỹ thuật sử dụng hàm băm bảo mật (Secure Hash Function) Giải pháp sở hạ tầng khóa công khai, sử dụng chứng thực số, dựa chữ ký điện tử kết hợp nhiều biện pháp bảo mật hiệu quả, đảm bảo an toàn thông tin giao dịch mạng Internet Đây tảng công nghệ mang tính tiêu chuẩn toàn cầu giải pháp cần thiết quốc gia trình phát triển ứng dụng giao dịch điện tử nhiều lĩnh vực Việt Nam 56 CHƯƠNG III: CÀI ĐẶT VÀ THỬ NGHIỆM BÀI TOÁN XÁC THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CÔNG ĐIỆN TỬ 3.1 Mô hình giao dịch Chính phủ - Công dân (G to C) 3.1.1 Khái niệm Theo ngân hàng giới: “Chính phủ điện tử việc quan Chính phủ sử dụng cách có hệ thống công nghệ thông tin truyền thông để thực quan hệ với công dân, doanh nghiệp tổ chức xã hội Nhờ giao dịch quan Chính phủ với công dân tổ chức cải thiện, nâng cao chất lượng Lợi ích thu giảm thiểu tham nhũng, tăng cường tính công khai, tiện lợi, góp phần vào tăng trưởng giảm chi phí” Như vậy, hiểu Chính phủ điện tử việc quan Chính phủ sử dụng mạng Internet, phương tiện di động để quan hệ với công dân, doanh nghiệp quan Chính phủ Tham gia Chính phủ điện tử có thực thể: Chính phủ quan phủ, công dân doanh nghiệp Tùy mối quan hệ chủ thể hình thành nên dạng dịch vụ Chính phủ như: G2C (Government to Citizens): Loại hình giao dịch Chính phủ người dân Ví dụ tổ chức bầu cử, thăm dò dư luận, cung cấp thông tin, tiếp nhận phản ánh khiếu nại, nộp thuế, toán hoá đơn dịch vụ … G2B (Government to Business): Là loại hình giao dịch Chính phủ với doanh nghiệp, tổ chức phi phủ, nhà sản xuất Ví dụ cấp giấy phép, khai báo thuế, khai báo hải quan, thông tin quy hoạch sử dụng đất, phát triển đô thị Cung cấp thông tin dạng văn bản, hướng dẫn thành lập doanh nghiệp, đăng ký kinh doanh, hướng dẫn đường lối sách nhà nước G2G (Government to Government): Là loại hình giao dịch quan quyền cấp Ví dụ tra cứu thông tin, phổ biến văn bản, hoạt động trao đổi nghiệp vụ quan chuyên môn, hoạt động phối hợp để cung cấp dịch vụ công cho người dân doanh nghiệp 3.1.2 Hệ thống giao dịch hành công điện tử Giải pháp cửa phát triển đáp ứng cho quan cấp Tỉnh, Thành phố, khối quan cấp sở, huyện/ quận, khối quan phường/ xã việc triển khai hành cửa liên thông đơn vị quản lý 57 Thực cải cách thủ tục hành theo hướng phục vụ cho công dân, nhà đầu tư, doanh nghiệp, có ý nghĩa thu hút đầu tư, tạo môi trường kinh doanh, mà yêu cầu mang tính tiến quản lý hành nhà nước Thực tốt quan điểm đạo Đảng Nhà nước Chương trình tổng thể cải cách hành nhà nước giai đoạn 2010- 2015 Từ nhu cầu thực tế hệ thống cửa điện tử đời để giúp đỡ quan nhà nước phục vụ công dân, nhà đầu tư, doanh nghiệp tốt công tác giải thủ tục hành công Hệ thống cửa giúp quan quyền theo dõi, quản lý, kiểm soát tình hình giải loại hồ sơ hành theo yêu cầu công dân; giúp chuyên viên tác nghiệp loại hồ sơ giảm bớt khối lượng công việc thủ công phải xử lý hàng ngày, giúp việc quản lý lưu trữ tốt Đặc biệt giúp cho trình làm thủ tục hành công dân trở lên dễ dàng, nhanh chóng, tránh phiền hà, sách nhiễu Hệ thống cửa điện tử giải yêu cầu từ khâu tiếp nhận yêu cầu, hồ sơ đến trả kết thông qua đầu mối “Bộ phận tiếp nhận trả kết hồ sơ hành chính” Quy trình tuân theo định 181/2003/QĐ-TTg ngày 4/9/2003 Thủ tướng Chính phủ Đề Án 30 Chính phủ đơn giản hóa thủ tục hành 3.1.3 Mô hình xác thực hệ thống thông tin liên thông Trung tâm xác thực Máy chủ xác thực (AS) Đăng ký dịch vụ Cấp thẻ chứng thực số Client (C) (User) Yêu cầu truy nhập dịch vụ Trả kết Máy chủ xử lý (RS) Máy chủ dịch vụ (SS) Hình 3.1: Mô hình tổng quát quy trình xác thực liên thông cửa 58 Các thành phần hệ thống xác thực: Người sử dụng đầu cuối (End Entity): Là tổ chức, doanh nghiệp, cá nhân có yêu cầu sử dụng dịch vụ hành công cửa AuthorityServer (AS): Là máy chủ lưu trữ, quản lý thông tin cá nhân, khóa công khai, chữ ký số chứng thực số người sử dụng đầu cuối Registration Server (RS): Là máy chủ tiếp nhận yêu cầu đăng ký, cấp thẻ chứng thực số, xác thực chữ ký trả kết cho người sử dụng Service Server (SS): Là máy chủ lưu trữ thông tin dịch vụ công 3.1.4 Các mức độ dịch vụ hành công Mức độ 1: Là dịch vụ bảo đảm cung cấp đầy đủ thông tin thủ tục hành văn có liên quan quy định thủ tục hành Mức độ 2: Là dịch vụ công trực tuyến mức độ cho phép người sử dụng tải mẫu văn khai báo để hoàn thiện hồ sơ theo yêu cầu Hồ sơ sau hoàn thiện gửi trực tiếp qua đường bưu điện đến quan, tổ chức cung cấp dịch vụ Mức độ 3: Là dịch vụ công trực tuyến mức độ cho phép người sử dụng điền gửi trực tuyến mẫu văn đến quan, tổ chức cung cấp dịch vụ Các giao dịch trình xử lý hồ sơ cung cấp dịch vụ thực môi trường mạng Việc toán lệ phí (nếu có) nhận kết thực trực tiếp quan, tổ chức cung cấp dịch vụ Mức độ 4: Là dịch vụ công trực tuyến mức độ cho phép người sử dụng toán lệ phí (nếu có) thực trực tuyến Việc trả kết thực trực tuyến, gửi trực tiếp qua đường bưu điện đến người sử dụng 3.1.5 Thủ tục sử dụng dịch vụ hành công cửa Người sử dụng A yêu cầu máy chủ RS cấp thẻ “Chứng thực khóa” để sử dụng dịch vụ hành công cửa: A RS: E([IDA + Thông tin cá nhânA + PUA + DS A), PUCA)] Máy chủ RS cấp phát “Chứng thực khóa” cho người sử dụng A: RS A: CA =E[(IDA + PUA + TA + DSA+ DSCA-A), PUA] Người sử dụng A đăng nhập vào máy chủ cung cấp dịch vụ SS: A SS: E([CA + IDSS + T + DV], PUSS) 59 Thủ tục xác thực giải vấn đề bảo mật cách đưa khái niệm thẻ truy xuất (ticket), thông tin bí mật mã hóa tin đặc biệt trước luân chuyển mạng Như vậy, RS cần cấp thẻ cho người dùng lần, hay nói cách khác, thẻ dùng lại, trường hợp người dùng sử dụng dịch vụ nhiều lần sử dụng nhiều dịch vụ khác mà không cần phải nhập lại mật 3.2 Nhu cầu an toàn thông tin giao dịch hành công Sở Thông tin Truyền thông 3.2.1 Hiện trạng dịch vụ công Tại tỉnh Bắc Ninh, dịch vụ công trực tuyến sở, ban, ngành có sở Thông tin Truyền thông cung cấp qua môi trường mạng internet xây dựng phát triển gắn liền với Cổng Thông tin điện tử tỉnh, Cổng thông tin dịch vụ công, Trang thông tin cửa điện tử mang lại nhiều thuận lợi cho người dân, tổ chức, doanh nghiệp quan chức năng, qua tăng tính công khai, minh bạch, nâng cao chất lượng, hiệu công tác quản lý Nhà nước, tăng cường tương tác người dân quan công quyền Hệ thống VNPT- IGate triển khai chạy hệ thống điện toán đám mây, tảng công nghệ web xây dựng theo mô hình lớp MVC Hệ thống cho phép công dân, doanh nghiệp giao tiếp với quyền 24/24 ngày, đâu có kết nối internet Cổng Thông tin điện tử Sở cung cấp 39 dịch vụ công mức độ thuộc lĩnh vực bưu chính, viễn thông, công nghệ thông tin, báo chí xuất Công dân, doanh nghiệp sau đăng nhập tài khoản đăng ký thực dịch vụ hành công cách đơn giản, thuận tiện Mô hình cửa điện tử Sở cung cấp đầy đủ trang thiết bị phục vụ như: tra cứu thông tin cải cách hành chính, tra cứu tình trạng hồ sơ qua tin nhắn SMS, phần mềm xử lý hồ sơ Về tình trạng mức độ giao dịch giao dịch dịch vụ hành công trực tuyến: Năm 2014, có 25/39 thủ tục phát sinh giao dịch chiếm tỷ lệ 64%, 14/39 thủ tục không phát sinh giao dịch chiếm tỷ lệ 36 %; Năm 2015, có 30/39 thủ tục phát sinh giao dịch chiếm tỷ lệ 77%, 09/39 thủ tục không phát sinh giao dịch chiếm tỷ 60 lệ 23%; Năm 2016, có 34/39 thủ tục phát sinh giao dịch chiếm tỷ lệ 87%, 05/39 thủ tục không phát sinh giao dịch chiếm tỷ lệ 13% Về số lượng giao dịch dịch vụ hành công trực tuyến: Theo số liệu thống kê cổng thông tin điện tử Sở Thông tin Truyền thông từ năm 2014 đến tiếp nhận 500 hồ sơ, tỷ lệ giải hồ sơ đạt 98% 3.2.2 Các điểm yếu bảo mật giao dịch hành công - Các dịch vụ hệ thống dịch vụ công điện tử chưa có biện pháp an ninh an toàn, bảo mật dịch vụ - Chưa đưa vào sử dụng hệ thống chữ ký số dẫn tới nguy an toàn, toàn vẹn CSDL giao dịch điện tử Hiện tổ chức, cá nhân, doanh nghiệp có nhu cầu sử dụng dịch vụ công sử dụng tài khoản/mật thư điện tử, diễn đàn để làm tài khoản đăng nhập, tồn nguy tài khoản bị tiết lộ, bị chiếm đoạt thay đổi - Trao đổi liệu giao dịch hành công thực qua giao thức truyền liệu siêu văn thông thường (giao thức HTTP), chưa sử dụng giao thức truyền siêu văn an toàn (HTTPS), tạo lỗ hổng lớn bảo vệ liệu - Việc xác thực người sử dụng nhiều dịch vụ công trực tuyến mức độ 3, đơn giản, dẫn đến khả giả mạo người sử dụng, tăng lượng hồ sơ không đúng; Hạ tầng xác thực toán điện tử chưa sẵn sàng 3.2.3 Ứng dụng PKI yêu cầu Sở Thông tin Truyền thông Mật mã khóa đối xứng Sử dụng thiết bị phần cứng Hạ tầng PKI Toàn vẹn thông tin Xác thực thực thể UserID/ Yêu cầu độ tin cậy mật Bảo mật thông tin Chống chối bỏ Tính pháp lý 61 3.3 Một số đề xuất tổ chức cung cấp quản lý chứng số 3.3.1 Đề xuất mô hình CA Mô hình Root CA, có CA gốc tự cấp chứng thư cho cấp chứng thư cho CA khác theo hình thức lan tỏa CA gốc coi điểm tin cậy hệ thống, thường ứng dụng lĩnh vực hay quốc gia 3.3.2 Kiến trúc thành phần thiết bị - Các máy chủ Web đặt vùng mạng bên (DMZ) phục vụ truy nhập cho khách hàng qua Internet - Các máy chủ ứng dụng: Phục vụ kết nạp yêu cầu chứng yêu cầu tìm kiếm sở liệu - Máy chủ thực chữ ký giữ khóa khóa gốc CA (được lưu trữ thiết bị lưu trữ bảo mật khóa chuyên dụng HSM) dùng để thực chữ ký số lên chứng chỉ, phản hồi cho yêu cầu trạng thái chứng số thông qua giao thức (OCSP) danh sách thu hồi chứng (CRL) - Máy chủ giám sát trung tâm: Máy chủ chạy kịch (scipt) quy trình để giám sát thành phần chức Trung tâm cung cấp dịch vụ CA Sở Thông tin Truyền thông - Máy chủ sở liệu: lưu trữ sở liệu thông tin người dùng - Máy chủ sinh khóa việc sinh khóa CA thực thiết bị riêng độc lập kết nối vào mạng - Máy chủ phục hồi khóa : Máy chủ hồi phục hóa làm việc phân vùng hậu phương cho phép quản lý hồi phục khóa 3.3.3 Tính sản phẩm đề xuất 1/ Tính phần mềm CA - Quản lý chứng số tự động,trong suốt với người sử dụng - Lưu trữ an toàn khóa bí mật hệ thống CA - Cấp phát chứng số cho người sử dụng thiết bị hay ứng dụng có yêu cầu sử dụng (chuẩn X.509) - Phát hành danh sách thu hồi chứng 62 - Duy trì sở liệu an toàn kiểm soát lịch sử khóa bí mật cấp phát Mục đích để phục hồi khóa trường hợp khóa người sử dụng bị - Hỗ trợ nhiều kiến thức CA chuẩn + Đảm bảo chứng thực với nhà cung cấp CA khác + Cung cấp giải pháp lưu liệu cho hệ thống cách linh động, theo chế khác + Có chế độ Backup liệu hệ thống PKI file liệu liên quan hệ thống 2/ Tính registration authority (RA) - Thêm bớt người sử dụng CA hệ thống - Quản lý người sử dụng chứng họ - Quản trị sách bảo mật cách tập trung - Cung cấp giao diện quản trị đa dạng 3/ Tính HSM (Hardware Sercurity Module) - Lưu trữ khóa cách bảo mật - Quản lý khóa phần cứng - Hiệu suất thực thao tác mã hóa cao 4/ Tính phần mềm quản lý chứng người dùng cuối Kiểm tra chữ ký CA chứng Phần mềm phía người dùng cuối có khả sinh cặp khóa công khai – bí mật chỗ Phần mềm phía người dùng cuối phải có khả giám sát theo dõi cặp khóa người dùng để đảm bảo chúng phải cập nhập trước hết hạn Phần mềm phía người dùng cuối phải có khả cập nhập khóa cách tự động suốt với người sử dụng, việc thay đổi khóa tuân theo sách quản lý đồng bộ, tập trung CA server 63 3.4 Các giải pháp triển khai 3.4 Xây dựng hệ thống CA riêng Sở Thông tin Truyền thông Giải pháp đòi hỏi việc đầu tư kinh phí tương đối lớn thời gian cho việc thiết lập Trung tâm CA; Trung tâm CA dự phòng; Hệ thống Directory (cho phép người sử dụng đầu cuối địa điểm khác truy cập) Ngoài giải pháp cần đội ngũ vận hành có kinh nghiệm, quy chế hoạt động CA chặt chẽ để đảm bảo an toàn cho hệ thống 3.4.2 Đăng ký sử dụng với tổ chức cung cấp dịch vụ chứng thực số Giải pháp yêu cầu đầu tư nhỏ nhiều kinh phí nhân lực so với giải pháp Mặt khác, giao dịch G2G, G2B G2C cần đăng ký sử dụng với tổ chức cung cấp dịch vụ chứng thực số để xin cấp chứng số cho giao dịch cần triển khai 3.4.3 Lưu trữ bảo vệ khóa bí mật sử dụng cho chữ ký số Trong suốt trình sử dụng chứng số người dùng có trách nhiệm lưu giữ đảm bảo an toàn bí mật cho khoá riêng Khoá riêng người sử dụng thường lưu trữ đĩa mềm, thẻ thông minh (SmartCard), USBToken,… người Thẻ thông minh USB token thiết bị có tích hợp chip nhằm đáp ứng nhu cầu lưu trữ liệu, bảo vệ liệu xử lý liệu (nhờ vào vi xử lý chip), vi xử lý 32 bit chip thông thường có EEPROM (Electrically Erasable Programmable Read-only Memory) khoảng 32KB 64K (EPPROM lúc mode đọc ghi) Thẻ thông minh giao tiếp với máy tính qua thiết bị đọc thẻ (smart card reader), USB token không cần thiết bị đọc thẻ mà sử dụng cổng USB máy tính Thiết bị đọc thẻ USB token cần trình điều khiển (driver) Khi người dùng sử dụng thẻ thông minh USB Token ứng dụng PKI (chữ ký số, mã hóa) phải nhập vào số PIN (Personal Indentification Number) để xác thực Hiện nay, USB Token thiết bị dùng phổ biến ứng dụng PKI có nhiều loại khác Việc lựa chọn USB Token dựa tiêu chí sau đây: - Khả hỗ trợ ứng dụng PKI 64 - Khả hỗ trợ hệ điều hành ngôn ngữ lập trình - Tiêu chuẩn bảo mật Giới thiệu eToken Pro USB eToken Pro USB sản phẩm thuộc dòng sản phẩm eToken™ Aladdin Knowledge Systems Ltd., Israel Hình 3.2: eToken Pro 32K eToken Pro USB thiết bị bảo mật cao, giao tiếp với máy tính qua cổng USB, sử dụng tiện lợi, an toàn, dễ mở rộng eToken Pro USB hỗ trợ tất hạ tầng khóa công khai eToken PKI xác thực người dùng, quản lý mật khẩu, bảo mật chữ ký số bảo mật liệu…Ngoài ra, eToken Pro USB hỗ trợ giao diện hệ thống bảo mật theo tiêu chuẩn công nghiệp, nên eToken Pro USB đảm bảo việc tích hợp dễ dàng với hạ tầng sách bảo mật Dựa tiêu chí đánh giá, eToken Pro USB có tính trội khả hỗ trợ hệ điều hành, hỗ trợ ứng dụng PKI, hỗ trợ chuẩn bảo mật khả tích hợp Vì vậy, eToken Pro USB sản phẩm Ban yếu Chính phủ lựa chọn khuyến cáo bộ/ngành sử dụng sản phẩm 3.5 Triển khai thử nghiệm 3.5.1 Ứng dụng java mô trình ký xác thực chữ ký Hình 3.3: Giao diện chương trình demo chữ ký số 65 Trình tạo khóa tạo cặp khóa 1024 bit Nội dung thông điệp tập tin nạp vào sử dụng khóa bí mật tạo hàm băm SHA1 đầu vào sau tạo thành chữ ký Việc tương ứng với cặp mã bí mật công khai tạo USB token, khóa bí mật lưu trữ USB token, khóa công khai lưu trữ máy chủ Root-CA Quá trình giải mã dựa vào chữ ký tạo trình ký nội dung văn bản, đối chiếu với hàm băm SHA1 khóa công khai để kiểm tra xem văn có toàn vẹn hay không, bị sửa chữa hay chưa, đồng thời kiểm tra xác thực người ký văn với cặp mã công khai bí mật Hình 3.4: Giao diện kiểm tra chuỗi toàn vẹn 3.5.2 Kết thử nghiệm - Chữ ký số mã hóa RSA/SHA1 đảm bảo tính bảo mật cao Ứng dụng hoạt động xác, kiểm tra xác văn bản, tệp tin không bị thay đổi Nếu có thay đổi hệ thống báo file bị thay đổi - Xác định xác định danh khóa công khai cặp khóa bí mật, công khai Khi thay đổi khóa công khai khóa bí mật bị thay đổi trước mã hóa tệp tin thông xác nhận tệp tin ký xác Đánh giá kết 100 lần thử nghiệm với thao tác: Thay đổi khóa bí mật, thay đổi khóa công khai, thay đổi file gốc file gốc ảnh, thay đổi file gốc file gốc text Kết thử nghiệm ghi chép bảng 3.1 66 Bảng 3.1: Kết thử nghiệm Thay đổi khóa bí mật 100 Kết nhận dạng 100 Thay đổi khóa công khai 100 100 100% Thay đổi input file ảnh 100 100 100% Thay đổi input file text 100 100 100% Nội dung STT Số lần thử nghiệm Tỷ lệ nhận dạng 100% Kết luận chương Xác thực chế có vai trò bảo đảm an toàn cho thực thể trao đổi thông tin hệ thống Kỹ thuật mật mã khóa đối xứng bảo vệ tính bí mật tính toàn vẹn thông tin Các kỹ thuật mật mã khóa bất đối xứng, hàm băm mật mã chiều chữ ký điện tử giải vấn đề xác thực thông tin Chứng thực khóa công khai chế hiệu vấn đề chống chối bỏ giao dịch, chống thực thể tham gia giao dịch chối bỏ tính pháp lý giao dịch Mỗi chứng thực khóa bao gồm nhận dạng thực thể, khóa công khai thực thể đầu cuối xác nhận (bằng chữ ký số) thực thể thứ ba Một hệ thống cung cấp chế tạo quản lý chứng thực khóa gọi sở hạ tầng khóa công khai PKI Hệ thống thông tin dịch vụ hành công tổ chức theo mô hình phân tán Yêu cầu phải quản lý thực thể truy xuất thông tin, cho phải đảm bảo tuyệt đối an toàn hệ thống cho thực thể tham gia hoạt động giao dịch hệ thống Đảm bảo thông tin xác thực không bị đánh cắp người sử dụng cần xác thực lần cho tất dịch vụ hệ thống thông tin Hệ thống xây dựng theo mô hình xác thực người sử dụng tham gia giao dịch truy xuất thông tin Nghĩa thực thể muốn truy xuất thông tin hệ thống, trước tiên phải đăng ký phải hệ thống cấp phép Khi cấp phép, thực thể truy xuất thông tin, trình truy xuất phải bị hệ thống giám sát mô hình xác thực sử dụng dịch vụ thông tin hệ thống 67 KẾT LUẬN Việc đảm bảo an toàn bảo mật cho hệ thống thông tin vấn đề quan trọng cấp bách nay, đặc biệt vấn đề bảo mật xác thực thông tin giao dịch hành doanh nghiệp với quan nhà nước đảm bảo tiền đề phát triển quyền điện tử địa phương Luận văn tập trung nghiên cứu vấn đề bảo mật, an toàn thông tin liệu giao dịch điện tử; nghiên cứu tổng quan hệ mật mã; phương pháp mã hóa đối xứng, chuẩn mã liệu DES; mã hóa bất đối xứng đời hệ mật mã khóa công khai RSA đánh giá là đủ để đảm bảo tính riêng tư xác thực liệu đáp ứng đầy đủ yêu cầu bảo mật thông tin Đồng thời nghiên cứu sở khoa học chữ ký số, nghiên cứu lược đồ chữ ký số để tìm lược đồ chữ ký số khả thi, nghiên cứu sở hạ tầng khóa công khai PKI, việc sử dụng chữ ký số vào việc bảo mật xác thực thông tin giao dịch hành công điện tử Luận văn giới thiệu tổng quan, đặc trưng yêu cầu việc bảo mật thông tin, chứng thực việc gửi /nhận truyền tải văn mạng máy tính giao dịch điện tử; nghiên cứu phương pháp bảo vệ an toàn thông tin liệu có tính an toàn cao nay, dùng hệ mã hóa khóa công khai, ứng dụng chữ ký điện tử chứng thực số việc xác thực thông tin truyền tải mạng Internet Về ứng dụng thực tế, học viên đề xuất mô hình xác thực cho hệ thống thông tin dịch vụ hành công, theo mô hình phân tán Yêu cầu phải quản lý thực thể truy xuất thông tin, cho phải đảm bảo tuyệt đối an toàn cho hệ thống cho thực thể tham gia hoạt động giao dịch hệ thống Các mô hình xây dựng theo mô hình xác thực người sử dụng tham gia giao dịch truy xuất thông tin Nghĩa thực thể muốn có quyền truy xuất thông tin hệ thống, trước tiên thực thể phải đăng ký phải hệ thống cấp phép Và quyền truy xuất, thực thể phải hệ thống kiểm soát mô hình xác thực sử dụng dịch vụ thông tin hệ thống 68 Hướng phát triển đề tài áp dụng mô hình triển khai vào thực tế nhiều không dừng mức lý thuyết demo Chúng ta triển khai thử nghiệm hệ thống chứng thực tập trung dựa vào chữ ký điện tử môi trường sở hạ tầng khóa công khai cho giao dịch hành công điện tử tỉnh Bắc Ninh Hệ thống triển khai mang lại đầy đủ tính chất cần thiết nhằm thiết lập môi trường an toàn, tin cậy giao tiếp tính bảo mật, tính toàn vẹn, tính xác thực tính chối từ Hơn nữa, hệ thống có khả mở rộng, tích hợp với hệ thống khác cách dễ dàng Trong trình thực điều kiện thời gian kiến thức hạn chế, luận văn tránh khỏi sai sót nội dung hình thức, mong tham gia góp ý quý thầy cô bạn để luận văn hoàn chỉnh 69 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Phan Đình Diệu, Lý thuyết mật mã an toàn thông tin, NXB Đại học Quốc Gia Hà Nội, 2002 [2] Nguyễn Linh Giang, An toàn An ninh thông tin mạng, Đại học Bách khoa Hà Nội, 2015 [3] Trịnh Nhật Tiến, An toàn liệu, NXB Đại học Quốc Gia Hà Nội, 2008 [4] Trần Duy Lai, Mã hóa dựa định danh, Tạp chí An toàn thông tin số 3/2009 - ISSN 1859 -1256 [5] Phạm Quốc Hoàng, Mã hóa dựa thuộc tính, Tạp chí An toàn thông tin số 2/2010 - ISSN 1859 - 1256 Tiếng Anh [6] Wenbo Mao, Modern Cryptography; Theory and Practice, Prentice Hall PTR, 2003 [7] William Stallings, Cryptography and Network Security Principles andPractices, Fourth Edition, 2005 [8] Svetlin Nakov How, Digital Signatures Work: Digitally Signing Message, 2005 [9] Carlisle Adams and Steve Lloyd, Understanding PKI: Concepts, Standards and Deployment Considerations, Addison-Wesley, 2003 [10] Federal Information, Processing Standards Publication 180 (1995), Secure Hash Standard (SHA) [11] Mark Stamp, Information Security; Principles and Practices, John Wiley & Sons, 2006 ... TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG NGÔ THỊ THANH HẢI NGHIÊN CỨU GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CÔNG ĐIỆN TỬ – SỞ THÔNG TIN VÀ TRUYỀN THÔNG BẮC NINH Chuyên... vực bảo mật an toàn thông tin, chọn đề tài Nghiên cứu giải pháp bảo mật xác thực cho giao dịch hành công điện tử - Sở Thông tin Truyền thông Bắc Ninh làm hướng nghiên cứu ứng dụng Nghiên cứu giải. .. Người thực Ngô Thị Thanh Hải LỜI CAM ĐOAN Tôi xin cam đoan luận văn cao học Nghiên cứu giải pháp bảo mật xác thực cho giao dịch hành công điện tử – Sở Thông tin Truyền thông Bắc Ninh thực hướng