-1- ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHẠM THY HÙNG NGHIÊN CỨU ỨNG DỤNG HẠ TẦNG CƠ SỞ MẬT MÃ KHỐ CƠNG KHAI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG LUẬN VĂN THẠC SĨ Hà Nội – 2008 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHẠM THY HÙNG NGHIÊN CỨU ỨNG DỤNG HẠ TẦNG CƠ SỞ MẬT MÃ KHỐ CƠNG KHAI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG Ngành: Công Nghệ thông Tin Mã số: 1.01.10 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC TS HỒ VĂN CANH Hà Nội - 2008 MỤC LỤC DANH MỤC CÁC HÌNH BẢNG TỪ VIẾT TẮT .8 MỞ ĐẦU Chương TỔNG QUAN VỀ ĐẤU THẦU QUA MẠNG MÁY TÍNH 11 1.1 VẤN ĐỀ ĐẤU THẦU 11 1.1.1 Khái niệm chung đấu thầu 11 1.1.2 Mục tiêu đấu thầu 11 1.1.3 Quy trình đấu thầu 12 1.2 NHU CẦU VỀ ĐẤU THẦU QUA MẠNG MÁY TÍNH 15 1.2.1 Xu hướng ứng dụng CNTT hoạt động Chính phủ 15 1.2.2 Những bất cập đấu thầu thủ công 17 1.2.3 Thực trạng ứng dụng CNTT đấu thầu Việt Nam 17 1.2.4 Xu ứng dụng TMĐT mua sắm công giới 18 1.2.5 Giới thiệu dự án Ứng dụng TMĐT Mua sắm cơng 19 1.3 MƠ HÌNH HỆ THỐNG ĐẤU THẦU QUA MẠNG MÁY TÍNH 20 1.3.1 Mơ hình mô tả mối quan hệ mặt luật pháp 20 1.3.2 Mơ hình mơ tả mối quan hệ sử dụng liên kết đến hệ thống 23 1.3.3 Mơ hình chức hệ thống đấu thầu qua mạng 24 1.3.4 Mơ hình phân lớp hệ thống đấu thầu qua mạng 28 1.3.5 Lộ trình triển khai hệ thống đấu thầu qua mạng 30 Chương - TỔNG QUAN VỀ HẠ TẦNG CƠ SỞ MẬT MÃ KHỐ CƠNG KHAI 32 2.1 VẤN ĐỀ ĐẢM BẢO AN TỒN THƠNG TIN 32 2.2.1 Các hiểm hoạ TMĐT 33 2.2.1.1 Đối với máy khách 33 2.2.1.2 Đối với kênh truyền thông 33 2.2.1.3 Các mối hiểm hoạ máy chủ 34 2.2 HỆ MÃ HOÁ 40 2.2.1 Các thuật ngữ 40 2.2.2 Định nghĩa hệ mật mã 41 2.2.3 Những yêu cầu hệ mật mã 41 2.2.4 Mật mã đối xứng 42 2.2.5 Mật mã khố cơng khai 44 2.2.5.1 Các nguyên lý 44 2.2.5.2 Các hệ mật mã khố cơng khai 45 2.2.5.3 Các ứng dụng hệ thống khố cơng khai 49 2.2.5.4 Lược đồ trao đổi khoá Diffie – Hellman 49 2.2.5.5 Lược đồ chia sẻ bí mật 50 2.2.5.6 Một số hệ mật mã khố cơng khai 51 2.2.5.7 Vấn đề quản lý khoá 57 2.3 CHỮ KÝ SỐ 62 2.3.1 Các yêu cầu 62 2.3.2 Phân lớp sơ đồ chữ ký số 64 2.3.2.1 Sơ đồ chữ ký kèm thông điệp 65 2.3.2.2 Sơ đồ chữ ký khôi phục thông điệp 66 2.3.3 Một số sơ đồ chữ ký số tiêu biểu 67 2.3.3.1 Sơ đồ chữ ký RSA 67 2.3.3.2 Sơ đồ chữ kí ELGAMAL 68 2.3.3.3 Chuẩn chữ ký số DSS 71 2.3.4 Chữ ký số vấn đề xác thực thông điệp 75 2.3.5 Hàm băm 76 2.3.6 Tấn công chữ ký số 78 2.4 HẠ TẦNG CƠ SỞ MẬT MÃ KHỐ CƠNG KHAI 79 2.4.1 Các yêu cầu 79 2.4.2 Các thành phần logic PKI 80 2.4.3 Các cấu trúc quan hệ CA 81 2.4.3.1 Cấu trúc phân cấp tổng quát 81 2.4.3.2 Cấu trúc phân cấp với liên kết bổ sung 83 2.4.3.3 Cấu trúc phân cấp top-down 83 2.4.3.4 Cơ sở hạ tầng PEM 84 2.4.3.5 Mơ hình chứng thực PGP 85 2.4.4 Chứng số 86 2.4.4.1 Giới thiệu chứng khố cơng khai 86 2.4.4.2 Quản lý cặp khố cơng khai khố riêng 88 2.4.4.3 Phát hành chứng 90 2.4.4.4 Phân phối chứng 90 2.4.4.5 Thu hồi chứng 91 2.4.4.6 Chứng ký chồng chéo nhiều lần 93 2.4.4.7 Treo chứng 93 2.4.5 Chính sách chứng 93 2.4.5.1 Khái niệm sách chứng 94 2.4.5.2 Các nội dung sách chứng 94 2.4.6 Tìm đường dẫn chứng thực phê chuẩn 94 2.4.7 Giới thiệu hai mơ hình PKI 95 2.4.7.1 Cơ sở hạ tầng SET 95 2.4.7.2 Cơ sở hạ tầng DoD MISSI 97 2.5 KHUNG PHÁP LÝ CHO HẠ TẦNG CƠ SỞ MẬT MÃ KHỐ CƠNG KHAI 99 2.5.1 Tìm hiểu Luật khung chữ ký điện tử 100 2.5.1.1 Mục đích Luật khung 100 2.5.1.2 Nội dung Luật khung 101 2.5.2 Khung kháp lý cho PKI Việt Nam 105 2.5.2.1 Luật Giao dịch điện tử 106 2.5.2.2 Nghị định 57/2006/NĐ-CP 106 2.5.2.3 Nghị định 26/2007/NĐ-CP 106 2.5.2.4 Nghị định 27/2007/NĐ-CP 107 2.5.2.5 Nghị định 35/2007/NĐ-CP 107 Chương ỨNG DỤNG HẠ TẦNG MẬT MÃ KHỐ CƠNG KHAI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 109 3.1 KHẢ NĂNG ĐÁP ỨNG CỦA PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 109 3.1.1 Yêu cầu bảo mật đấu thầu qua mạng 109 3.1.1.1 Yêu cầu bảo mật công tác đấu thầu truyền thống 109 3.1.1.2 Yêu cầu bảo mật đấu thầu qua mạng 111 3.1.2 PKI đáp ứng tất u cầu an tồn thơng tin đấu thầu qua mạng 111 3.1.3 Các bước mã hoá đấu thầu qua mạng 112 3.2 ĐỀ XUẤT MƠ HÌNH CUNG CẤP VÀ QUẢN LÝ CHỨNG CHỈ SỐ CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 114 3.2.1 Tình hình xây dựng PKI Việt Nam 114 3.2.1.1 Mơ hình kiến trúc 114 3.2.1.2 Tiến độ triển khai 114 3.2.1.3 Xây dựng khung pháp lý 115 3.2.2 Đề xuất xây dựng CA cho hệ thống đấu thầu qua mạng 115 3.2.2.1 Lựa chọn mơ hình 116 3.2.2.2 Mô hình cơng nghệ 119 3.3 QUẢN TRỊ VẬN HÀNH PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 124 3.3.1 Quản trị hệ thống CA 124 3.3.1.1 Quản trị hệ thống CA 125 3.4.1.2 Quản trị viên an ninh 125 3.3.1.3 Quản trị viên 126 3.3.1.4 Quản trị hệ thống directory 126 3.3.1.5 Kiểm soát viên 126 3.3.2 Vận hành hệ thống 127 3.3.2.1 Qui trình cấp phát chứng 127 3.3.2.2 Qui trình cập nhật chứng 127 3.3.2.3 Qui trình hủy bỏ chứng 128 3.4 BỔ SUNG CƠ SỞ PHÁP LÝ ĐỂ ÁP DỤNG PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 129 KẾT LUẬN 133 TÀI LIỆU THAM KHẢO 134 DANH MỤC CÁC HÌNH Hình 1.1 Quy trình đấu thầu tổng qt 14 Hình 1.2 Mơ hình mối quan hệ mặt pháp luật 20 Hình 1.3 Mơ hình mối quan hệ sử dụng liên kết 23 Hình 1.4 Chu trình đấu thầu qua mạng điển hình 25 Hình 1.5 Mơ hình chức hệ thống đấu thầu qua mạng 26 Hình 1.6 Mơ hình phân lớp hệ thống đấu thầu qua mạng 28 Hình 1.7 Mơ hình chi tiết hệ thống đấu thầu qua mạng 29 Hình 2.1 Mơ hình mã hố đối xứng 42 Hình 2.2 Mơ hình hệ mật đối xứng 43 Hình 2.3 Mã hố khố cơng khai 45 Hình 2.4 minh hoạ q trình mã hố xác thực khố cơng khai 46 Hình 2.5 Hệ mật khố cơng khai: Xác thực 47 Hình 2.6 Hệ mật khố cơng khai: Bí mật xác thực 48 Hình 2.7 Phân phối khố cơng khai khơng kiểm sốt 57 Hình 2.8 Cơng bố khố cơng khai 58 Hình 2.9 Lược đồ phân phối khố cơng khai 59 Hình 2.10 Sử dụng mã khố cơng khai để thiết lập khố phiên 61 Hình 2.11 Phân phối khố cơng khai qua khố bí mật 61 Hình 2.12 Phân lớp sơ đồ chữ ký số 65 Hình 2.13 Sơ đồ chữ ký kèm thơng điệp 66 Hình 2.14 Sơ đồ chữ ký khôi phục thông điệp 67 Hình 2.15 Sơ đồ chữ ký DSS 72 Hình 2.16 Các sử dụng hàm băm 77 Hình 2.17 Các thành phần PKI 81 Hình 2.18 Cấu trúc phân cấp tổng quát 82 Hình 2.19 Cấu trúc phân cấp với liên kết bổ sung 83 Hình 2.20 Cấu trúc phân cấp top-down 84 Hình 2.21 Cơ sở hạ tầng PEM 85 Hình 2.22 Danh sách chứng bị huỷ bỏ 92 Hình 3.1 Mơ hình cung cấp dịch vụ Time-stamp 113 Hình 3.2 Mơ hình kiến trúc PKI áp dụng cho Việt Nam 114 Hình 3.3 Đề xuất mơ hình CA cho hệ thống đấu thầu qua mạng 121 BẢNG TỪ VIẾT TẮT STT Từ viết tắt Từ cụm từ CNTT Công nghệ thông tin TMĐT Thương mại điện tử GDP Gross Dosmetic Product (Tổng sản phẩm quốc nội) NVLV Người viết luận văn CĐT/BMT Chủ đầu tư/Bên mời thầu 10 NT Nhà thầu HSMT Hồ sơ mời thầu HSDT Hồ sơ dự thầu 11 MAC Message Authentication Code (Dấu xác thực) PKI Hạ tầng sở mật mã khố cơng khai CA Certificate Agency (Cơ quan Chứng thực số) 12 Root CA Đơn vị chứng thực số gốc 13 Sub CA Đơn vị chứng thực số cấp 15 RA Registration Authority (quản lý đăng ký CA) 16 CRL Certificate Revocation List (danh sách chứng bị thu hồi ) 17 DSS Digital Signature Standard (Chuẩn chữ ký số) 18 DSA Digital Signature Algorithm (Giải thuật ký số) 19 CP Certification Policy (Bộ sách chứng chỉ) 20 CPS Certification Practice Statement (Bộ thủ tục thi hành chứng chỉ) MỞ ĐẦU Theo thống kê, việc mua sắm cơng Chính phủ nước thường chiếm khoảng từ 10% đến 20% GDP, riêng Việt Nam - nước phát triển nên số thường chiếm khoảng 40% GDP, phần lớn thực hình thức đấu thầu Cơng nghệ thơng tin thời gian qua có bước phát triển mạnh mẽ tác động đến mặt đời sống xã hội, làm thay đổi cách sống, cách làm việc cá nhân tổ chức Điều dặt vấn đề ứng dụng TMĐT việc mua sắm công, làm thay đổi phương thức đấu thầu truyền thống Nó làm cho q trình mua sắm công trở nên công khai, minh bạch hiệu Đó mục đích Dự án “Ứng dụng TMĐT mua sắm công” - dự án thành phần thuộc kế hoạch tổng thể phát triển phát triển TMĐT giai đoạn 2006-2010 Thủ tướng Chính phủ phê duyệt Quyết định số 222/2005/QĐ-TTg ngày 27/12/2005, kết Dự án hệ thống cho phép hoạt động đấu thầu thực qua mạng Hệ thống đấu thầu qua mạng hệ thống lớn, bao gồm nhiều thành phần, thành phần khơng thể thiếu hạ tầng khố cơng khai Luận văn tập trung vào việc nghiên cứu áp dụng chữ ký số, chứng thực số cho hệ thống đấu thầu qua mạng Do dự án thực tế, vậy, ngồi việc nghiên cứu mặt cơng nghệ, NVLV cịn xem xét khía cạnh khung pháp lý, triển khai thực tế điều kiện Việt Nam Vào thời điểm thực luận văn này, hệ thống đấu thầu qua mạng chưa xây dựng, giải pháp NVLV trình bày đúc rút từ kinh nghiệm triển khai nước phát triển đấu thầu qua mạng giới Hàn Quốc, Anh, Canada, … từ thực tế triển khai CA cho hệ thống có yêu cầu tương tự bảo mật hệ thống ngân hàng, kho bạc Cấu trúc luận văn chia thành chương: Chương - Tổng quan đấu thầu qua mạng máy tính Phần giới thiệu tổng quan hoạt động đấu thầu, nhu cầu xây dựng hệ thống đấu thầu qua mạng máy tính mơ hình hệ thống đấu thầu qua mạng xét khía cạnh pháp luật, sử dụng, chức công nghệ Chương - Tổng quan Hạ tầng khố cơng khai Phần trình bày vấn đề liên quan đến đảm bảo an tồn thơng tin cho TMĐT nói chung nhận diện hiểm hoạ xẩy TMĐT kỹ thuật để giải hệ mật mã, chữ ký số, hàm băm, … Tiếp trình bày vấn đề liên quan đến hạ tầng khố cơng khai xét khía cạnh công nghệ khung pháp lý 10 Chương - Ứng dụng hạ tầng khố cơng khai cho hệ thống đấu thầu qua mạng Phần phân tích đặc thù yêu cầu bảo mật hệ thống đấu thầu qua mạng, sở xem xét thực tế, tiến độ xây dựng hạ tầng khoá công khai Việt Nam, đề xuất xây dựng hệ thống CA cho hệ thống đấu thầu qua mạng 121 Hình 3.3 Đề xuất mơ hình CA cho hệ thống đấu thầu qua mạng Trong đó: Hệ thống mạng Trung tâm CA Hệ thống mạng Trung tâm CA bao gồm máy chủ (một máy chủ RootCA, máy chủ SubCA, máy chủ Root directory, hai máy chủ directory cho người dùng nhóm người dùng nhóm máy trạm RA Hệ thống chia thành phân vùng: - Vùng bảo mật đặc biệt: gồm máy chủ RootCA, máy chủ SubCA cho người dùng nội người dùng bên ngoài, HSM - Vùng bảo mật cao: gồm máy chủ Root directory hai máy chủ directory cho người dùng nội người dùng bên ngoài, máy chủ lưu trữ NAS - Vùng điều hành: gồm máy Registration Authority (RA) Máy chủ RootCA Máy chủ có nhiệm vụ:  Cấp chứng cho SubCA để cấp phát cho đối tượng người dùng; 122  Thu hồi chứng số SubCA thông qua Authority Revocation List, cho phép cập nhật Authority Revocation List tới hệ thống thư mục;  Đảm bảo chứng thực cho chứng phát hành;  Khả tạo kênh xác thực chéo với CA khác có nhu cầu;  Có thể thêm SubCA cần;  Cho lưu chứng gốc thiết bị lưu trữ chuyên dụng Hardware Security Module – HSM Hai máy chủ SubCA cho người dùng Các máy chủ SubCA có nhiệm vụ:  Cấp phát quản lý chứng cho người dùng;  Thu hồi chứng qua Certificate Revocation List công bố danh sách hệ thống thư mục;  Đảm bảo chứng thực cho chứng phát hành;  Có thể hỗ trợ nhiều cặp khóa cho chứng số, phù hợp với tính khác  Có thể lưu chứng số lên thiết bị lưu chuyên dụng USB Token,… Máy chủ quản trị CA Máy chủ quản trị CA (Administration Services) cho phép admin quản trị người dùng qua giao diện web; cho phép người dùng tự đăng ký xin cấp chứng với CA Nhiệm vụ admin thẩm tra lại tính xác thơng tin chấp thuận hay không chấp thuận thông tin đăng ký người dùng Máy chủ Entrust Authority Enrollment Server for Web Máy chủ co nhiệm vụ cấp chứng cho ứng dụng thiết bị hệ thống máy chủ web web browser để làm SSL, mạng riêng ảo (VPN), mã hóa thư điện tử Máy chủ Roaming Máy chủ Roaming cho phép lưu chứng số cách tập trung, đáp ứng cho người dùng di động (mobile user) truy cập chứng số thực giao dịch có yêu cầu sử dụng chứng số Máy trạm Registration Authority 123 Các máy trạm Registration Authority để quản trị hệ thống CA, quản lý việc đăng ký CA đối tượng người dùng, quản trị qua giao diện web Máy chủ lưu dự phịng Là máy chủ dùng vào mục đích lưu dự phịng, sử dụng cơng nghệ Network Attached Storage – NAS Thiết bị Hardware Security Module - HSM Là thiết bị bảo mật phần cứng tuyệt đối cho CA, thiết kế nhằm bảo vệ RootCA dựa phần cứng tuân thủ theo chuẩn chẳng hạn FIPS Hệ thống mạng Trung tâm Dự phòng (tương tự hệ thống CA trung tâm mô tả trên) Hệ thống an ninh mạng Hệ thống tường lửa Sử dụng thiết bị tường lửa chuyên dụng (VD Check Point UTM-1 1050) đặt cổng mạng trung tâm CA trung tâm dự phịng, bảo vệ chống cơng từ bên ngồi nhằm vào hệ thống CA mạng đấu thầu quốc gia Hệ thống tường lửa cung cấp chức sau:  Tạo hệ thống phòng thủ mạnh toàn diện, bảo vệ mạng trung tâm CA trung tâm dự phịng bên trước cơng truy cập trái phép từ bên Internet mạng WAN  Có thể cho phép tạo mạng riêng ảo – VPN, mã hóa bảo vệ liệu truyền trung tâm CA với trung tâm vùng  Phân hoạch bảo vệ chặt chẽ vùng mạng máy chủ quan trọng, ngăn chặn truy cập trái phép từ mạng người dùng, ngăn chặn lây nhiễm virus từ máy trạm vào máy chủ bên mạng nội Hệ thống quét virus Hệ thống quét virus cài lên máy trạm RA trung tâm CA trung tâm dự phòng máy chủ Windows làm Shadow Directory trung tâm vùng nhằm mục đích quét loại virus, spyware mã độc hại Hệ thống chống xâm nhập mạng Hệ thống chống xâm nhập mạng đặt cổng mạng trung tâm CA trung tâm dự phịng, phía sau thiết bị tường lửa, bảo vệ hệ thống PKI khỏi công, xâm nhập bất hợp pháp chống lại công 124 mức network kết nối Internet hay kết nối mạng WAN Đồng thời ngăn chặn hành vi khai thác điểm yếu an ninh xuất phát từ vùng mạng bên hệ thống đấu thầu qua mạng vào máy chủ trung tâm CA trung tâm dự phịng Hệ thống thư mục Ngồi ra, trung tâm vùng Bắc, Trung, Nam có đặt vùng máy chủ Shadow Directory (chạy hệ điều hành Windows) nhằm giảm tải cho hệ thống thư mục trung tâm CA Hệ thống thư mục có chức sau:  Lưu trữ chứng số người dùng  Cho phép lưu trữ Certificate Revocation List  Lưu trữ thơng tin sách người dùng Yêu cầu hệ thống thư mục việc cập nhật sở liệu từ máy CA server truy vấn liệu từ máy client phải nhanh chóng, xác, phù hợp với kiểu liệu có cấu trúc chứng Để đạt mục tiêu này, có nhiều hệ sở liệu đáp ứng, nhiên qua tìm hiểu (từ nguồn tài liệu) hệ thống PKI triển khai LDAP sử dụng phổ biến Mối quan hệ máy chủ cài LDAP máy khác hệ thống phân thành hai loại sau: - Máy chủ CA phát hành CRL cập nhật CRL LDAP Server Khi người sử dụng cấp chứng chứng cập nhật từ CA server LDAP server; - Người sử dụng thơng qua trình duyệt web để truy nhập vào LDAP server để tải chứng cập nhật CRL 3.3 QUẢN TRỊ VẬN HÀNH PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 3.3.1 Quản trị hệ thống CA Giải pháp CA cho hệ thống đấu thầu qua mạng chia việc quản trị bảo mật quản trị hệ thống theo nhiều mức khác tương ứng với vai trò khả đáp ứng nhiệm vụ hệ thống Những người có chức quản trị hệ thống CA định nghĩa rõ ràng khả vai trị vị trí quản trị vận hành hệ thống Các nhóm người có chức quản trị hệ thống bao gồm: 125 3.3.1.1 Quản trị hệ thống CA Quản trị hệ thống CA coi người chủ hệ thống Là người có quyền cao cho phép cài đặt cấu hình CA người có quyền thực thao tác mức thấp hệ thống Các chức Quản trị hệ thống CA:  Duy trì hoạt động hệ thống CA, bao gồm cơng việc nhằm trì khả hoạt động hệ thống bật / tắt dịch vụ CA, xem xuất chứng gốc CA, xem điều khiển file log, thay đổi thời gian hợp lệ chứng chỉ, thiết lập lại đếm serial number chứng chỉ, cập nhật, thu hồi cặp khóa RootCA, khơi phục lại tài khoản người sử dụng hệ thống Ngoài ra, quản trị hệ thống CA cịn phải quản lý CA phân cấp việc chứng thực chéo hệ thống CA,…  Thao tác thư mục CA bao gồm: lưu liệu CA thư mục, ghi lại Certificate Revocation List, Authority Revocation List vào thư mục, thay đổi tên quản trị thư mục, thiết lập việc truy cập CA tới nhiều thư mục, xác thực việc truy cập CA vào hệ thống thư mục  Quản lý quản trị viên an ninh: Quản trị hệ thống CA cịn có chức quan trọng quản lý quản trị viên an ninh Nhiệm vụ bao gồm việc thêm / bớt quản trị viên an ninh vào hệ thống, cấp phát lại chứng sách quản trị viên an ninh, quản lý hồ sơ quản trị viên an ninh,…  Customize sách bảo mật CA: Quản trị hệ thống CA thay đổi thiết lập, thay đổi giải thuật hay độ dài khóa mã CA  Quản lý liệu quản trị viên an ninh: Thao tác với sở liệu hệ thống PKI bao gồm cặp khóa ký CA, lịch sử cặp khóa mã hóa người dùng, thơng tin người dùng,…  Thao tác với Hardware Security Module: Sử dụng thiết bị bảo mật chuyên dụng dùng để lưu trữ cặp khóa ký CA để ký cho chứng số mà CA phát hành hay cặp khóa để bảo mật cho sở liệu sử dụng hệ thống CA 3.4.1.2 Quản trị viên an ninh Quản trị viên an ninh quản trị hệ thống CA cấp quyền thực thao tác quản trị Quản trị viên an ninh người thiết lập sách bảo mật cho hệ thống CA Ngoài ra, quản trị viên an ninh thực chức khác 126  Thiết lập hệ thống CA cho phù hợp với sách bảo mật  Quản lý quản trị viên (thay đổi mật quản trị, thêm / bớt quyền cho người quản trị,…)  Quan hệ chứng thực với nhà cung cấp CA khác 3.3.1.3 Quản trị viên Quản trị viên người thi hành tác vụ hệ thống CA Các chức quản trị viên là:  Thiết đặt hoạt động hệ thống CA: thiết lập sách bảo mật hệ thống, rules, tính chất chứng chỉ, sách người dùng,…  Quản lý mã kích hoạt: quản trị viên định cách thức phân phối mã kích hoạt cho hoạt động xin cấp chứng số qua kênh khác điện thoại, email,  Quản trị người dùng: quản trị viên có quyền tìm kiếm, thêm / bớt hay kích hoạt / vơ hiệu hóa / tái kích hoạt, thu hồi / khôi phục chứng người dùng thiết lập thời gian hoạt động khóa Quản trị viên có chức thực tác vụ liên quan đến người dùng thay đổi profile, thêm / xóa người dùng, thay đổi thuộc tính, hạn chế quyền, cập nhật cặp khóa hay lưu trữ chứng người dùng vào thư mục  Cấu hình cặp khóa người dùng: quản trị viên xác định mơ hình cặp khóa tốt để áp dụng cho người dùng hay nhóm người dung, áp dụng sách chứng để tạo cặp khóa tùy biến cho loại đối tượng khác 3.3.1.4 Quản trị hệ thống directory Quản trị hệ thống directory có chức thực tác vụ liên quan đến thông tin hệ thống thư mục hệ thống CA, cụ thể thêm/bớt người dùng thư mục thêm/bớt hay thay đổi thông tin thuộc tính người dùng hệ thống thư mục 3.3.1.5 Kiểm soát viên Kiểm soát viên người kiểm sốt hoạt động hệ thống, có quyền định rõ thông qua quy tắc Entrust Authority Security Manager Administration Kiểm sốt viên có quyền xem file nhật ký, báo cáo, sách bảo mật, thuộc tính người dùng khơng có quyền thay đổi thông tin 127 3.3.2 Vận hành hệ thống 3.3.2.1 Qui trình cấp phát chứng Qui trình cấp phát chứng gồm bước:  Bước – Quản trị viên an ninh tạo người dùng theo thông tin người dùng đăng ký Thêm thông tin chứng số: kiểu user, kiểu chứng số Các thao tác thực máy RA gửi yêu cầu tới CA server  Bước – CA server yêu cầu tạo người dùng tình trạng chưa kích hoạt, tạo thư mục cho người dùng database, tạo số tham chiếu mã quyền hạn cho người dùng  Bước – Gửi trả thơng số lại cho người dùng  Bước – Người dùng sau nhận thông số CA gửi cho tạo profile client PC, sau nhập số tham chiếu mã quyền hạn, tạo profile, tạo khoá ký tạo yêu cầu cấp chứng số để gửi tới CA server  Bước – CA server nhận yêu cầu từ người dùng tạo khố mã hóa riêng, mã khố cơng khai cho người dùng, tạo chứng số theo yêu cầu, tạo profile cho người dùng CA, thêm chứng số khố vào profile database Sau gửi profile lại cho người dùng, thêm mã khoá public chứng số vào database Lúc người dùng trạng thái kích hoạt  Bước – Profile người dùng tái tạo lại cho client PC Chứng số root danh sách chứng số bị thu hồi gửi tới cho client PC 3.3.2.2 Qui trình cập nhật chứng Quy trình thực việc cập nhật chứng số có bước:  Bước – máy client thơng báo cập nhật khố chứng số thời hạn hiệu lực chứng số hết  Bước – Người dùng gửi yêu cầu cập nhật tới CA server  Bước – CA server tạo chứng số dựa database cũ người dùng database CA Trên sở liệu dạng cây, thư mục người dùng cập nhật, với việc cập nhật database CA Chứng số khoá gửi lại cho client  Bước – người dùng nhận chứng số khố từ CA server, sau cập nhật lại profile họ 128 3.3.2.3 Qui trình hủy bỏ chứng Việc hủy bỏ chứng (do khóa bí mật bị lộ hay người dùng nghỉ việc) phải trải qua giai đoạn Khởi tạo yêu cầu hủy chứng Để yêu cầu hủy chứng chỉ, người dùng phải cung cấp thông tin sau:  Serial number chứng cần hủy  Mật bảo vệ mà người dùng cung cấp yêu cầu cấp chứng chỉ, tránh trường hợp người dùng yêu cầu hủy chứng khơng phải Sau có yêu cầu hủy chứng chỉ, yêu cầu chuyển đến Trung tâm CA xử lý Kiểm tra yêu cầu Trung tâm CA tiến hành kiểm tra nội dung yêu cầu nhận yêu cầu hủy chứng  Kiểm tra serial number chứng yêu cầu hủy có tồn kho chứng khơng?  Kiểm tra mật mà người dùng cung cấp có khớp với chứng có serial number khơng? Nếu bước kiểm tra không thành công, trung tâm CA gửi thông báo lỗi cho người dùng Nếu kiểm tra thấy đúng, hệ thống ghi lại serial number chứng vào danh sách chứng chấp nhận hủy gửi thông báo “chấp nhận hủy bỏ chứng chỉ” cho người dùng Chứng thức bị hủy hệ thống thực cập nhật Certificate Revocation List Cập nhật Certificate Revocation List Certificate Revocation List cập nhật định kỳ Khi đến kỳ hạn, Certificate Revocation List cập nhật Việc cập nhật Certificate Revocation List cụ thể sau:  Thêm vào Certificate Revocation List danh sách chứng chấp nhận hủy  Cập nhật trường “last update” “next update”  CA ký vào Certificate Revocation List vừa cập nhật Khi Certificate Revocation List cập nhật xong, CA xóa chứng tương ứng kho Nếu việc hủy chứng yêu cầu từ CA, bước tiến hành sau: 129  Kiểm tra điều kiện hủy: kiểm tra chứng có thỏa mãn điều kiện chứng có kho – chứng chưa hết hạn – chứng khơng có Certificate Revocation List – chứng khơng có danh sách chấp nhận hủy chờ cập nhật Certificate Revocation List  Cập nhật Certificate Revocation List  Xóa chứng bị hủy  Gửi thông báo cho client client yêu cầu thơng tin tình trạng chứng 3.4 BỔ SUNG CƠ SỞ PHÁP LÝ ĐỂ ÁP DỤNG PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG Như nói trên, song song với việc xây dựng hạ tầng cơng nghệ phải xây dựng khung pháp lý cho nó, đề cập đến khía cạnh pháp lý việc sử dụng trực tiếp hệ thống CA xây dựng, có sách cần phải hồn thành Bộ sách chứng Bộ thủ tục thi hành chứng Phương pháp xây dựng sách nên tham khảo Bộ sách chứng (CP) Bộ thủ tục thi hành chứng (CPS) số đơn vị nước triển khai CA, Bộ sách chứng Bộ thủ tục thi hành chứng áp dụng cho hệ thống đấu thầu qua mạng bao gồm nội dung sau: Bộ sách chứng (CP)  Chương 1: Giới thiệu  Chương 2: Các điều khoản chung Các định nghĩa - định danh o Điều Certificate Authority – CA o Điều Registraion Authority – RA o Điều Đối tượng sử dụng hệ thống o Điều Phạm vi ứng dụng o Điều Định danh sách Các nhiệm vụ o Điều Nhiệm vụ CA o Điều Nhiệm vụ RA o Điều Nghĩa vụ người dùng Phân loại mục đích sử dụng chứng 130 o Điều Chứng cho hệ thống CA o Điều 10 Phạm vi sử dụng chứng người dùng nội o Điều 11 Phạm vi sử dụng chứng người dùng ngồi  Chương 3: Các trách nhiệm cơng bố thông tin o Điều 12 Kho liệu o Điều 13 Nội dung thông tin công bố o Điều 14 Trách nhiệm công bố thông tin o Điều 15 Quyền truy cập thông tin o Điều 16 Phạm vi thông tin công bố, nơi lưu trữ o Điều 17 Thời gian tần suất cập nhật thông tin  Chương 4: Các vấn đề luật pháp cơng việc o Điều 18 Chi phí chứng người dùng nhóm o Điều 19 Chi phí chứng người dùng nhóm o Điều 20 Trách nhiệm tài o Điều 21 Tính bí mật thông tin nghiệp vụ o Điều 22 Các vấn đề quyền sở hữu  Chương 5: Kiểm toán đánh giá o Điều 23 Thông số đánh giá o Điều 24 Tần xuất thực o Điều 25 Tiêu chuẩn người kiểm toán o Điều 26 Thủ tục đánh giá, kiểm tốn  Chương 6: Bảo vệ thơng tin cá nhân o Điều 27 Các dạng thông tin cá nhân cần bí mật o Điều 28 Bảo đảm tính riêng tư thơng tin cá nhân o Điều 29 Bảo vệ thông tin cá nhân công bố danh sách thu hồi tạm dừng chứng o Điều 30 Chuyển giao thông tin cá nhân cho quan phát luật  Chương 7: Các hoạt động o Điều 31 Phát hành chứng o Điều 32 Thừa nhận chứng o Điều 33 Điều kiện hủy bỏ chứng o Điều 34 Yêu cầu thu hồi chứng 131 o Điều 35 Thủ tục yêu cầu thu hồi chứng o Điều 36 Ra hạn thu hồi chứng o Điều 37 Điều kiện tạm dừng sử dụng chứng o Điều 38 Yêu cầu tạm dừng sử dụng chứng o Điều 39 Thủ tục yêu cầu tạm dừng sử dụng chứng o Điều 40 Thời gian phát hành danh sách thu hồi o Điều 41 Kiểm tra danh sách thu hồi o Điều 42 Sử dụng phương pháp lưu phục hồi liệu o Điều 43 Khôi phục hệ thống khóa CA bị lộ o Điều 44 Đặt sách bảo mật sau thảm họa xảy o Điều 45 Lưu khóa phục hồi o Điều 46 Kết thúc hoạt động CA  Chương 8: Yêu cầu an toàn mức vật lý, thủ tục nhân viên o Điều 47 Các yêu cầu an toàn mức vật lý o Điều 48 Hạn chế truy cập vật lý o Điều 49 Thủ tục bảo đảm an toàn cho hệ thống CA o Điều 50 Yêu cầu lực, phẩm chất, kinh nghiệm nhân viên o Điều 51 Thủ tục kiểm tra đầu vào o Điều 52 Yêu cầu đào tạo o Điều 53 Yêu cầu thời gian đào tạo lại  Chương 9: Các điều khoản kỹ thuật o Điều 54 Số lượng cặp khóa o Điều 55 Độ dài khóa o Điều 56 Tạo chuyển khóa riêng tới người dùng cuối o Điều 57 Thiết bị lưu trữ khóa o Điều 58 Bảo vệ khóa riêng module mã hóa o Điều 59 Thời gian sử dụng cặp khóa o Điều 60 Điều kiện cập nhật khóa o Điều 61 Sao lưu khóa riêng o Điều 62 Khơi phục khóa riêng o Điều 63 Quy tắc lưu trữ khóa riêng 132 o Điều 64 Phương thức kích hoạt khóa riêng o Điều 65 Chống cơng o Điều 66 Chống xâm nhập o Điều 67 Quy tắt đặt mật cho thiết bị lưu khóa o Điều 68 Time-stamping o Điều 69 Yêu cầu an toàn cho máy tính cài đặt hệ thống CA  Chương 10: Khuôn dạng chứng chỉ, CRL, OCSP o Điều 70 Khn dạng chứng o Điều 71 Tính tương thích o Điều 72 Định dạng tên o Điều 73 Quy tắc đặt tên đối tượng cấp chứng o Điều 74 Thuật toán sử dụng mã ký thông điệp o Điều 75 Khuôn dạng CRL o Điều 76 Khuôn dạng OCSP 133 KẾT LUẬN Hệ thống đấu thầu qua mạng Dự án lớn, liên quan đến nhiều đối tượng bao gồm nhiều hợp phần có hợp phần quan trọng hạ tầng khố cơng khai Việc xây dựng hệ thống khơng đơn giản vấn đề công nghệ thách thức lớn Kết luận văn gồm có: Nghiên cứu tìm hiểu qua tài liệu thực tế để hệ thống lại vấn đề sau: i Tổng quan đấu thầu qua mạng máy tính ii Tổng quan hạ tầng sở mật mã khố cơng khai Trình bày đề xuất ứng dụng Hạ tầng sở mật mã khố cơng khai để đảm bảo an tồn thơng tin cho hệ thống đấu thầu qua mạng Vào thời điểm hoàn thành luận văn này, hệ thống đấu thầu qua mạng đến giai đoạn lập Báo cáo nghiên cứu khả thi, giải pháp NVLV trình bày đúc rút từ kinh nghiệm triển khai hệ thống đấu thầu qua mạng nước phát triển đấu thầu qua mạng giới Hàn Quốc, Anh, Canada, … từ thực tế triển khai CA cho hệ thống có yêu cầu tương tự bảo mật hệ thống ngân hàng, kho bạc nên giải pháp chưa thử thách thực tế Giải pháp áp dụng thực tế sau hệ thống đấu thầu qua mạng xây dựng xong giống khác chút, nhiên NVLV tin tưởng kết trình bày luận văn sở để xây dựng thành công PKI cho hệ thống đấu thầu qua mạng Việt Nam 134 TÀI LIỆU THAM KHẢO [1] Phan Đình Diệu, Lý thuyết mật mã An tồn thơng tin Đại học Cơng nghệ, Đại học Quốc Gia Hà Nội, 1999 [2] Báo cáo đề tài “Nghiên cứu, xây dựng giải pháp bảo mật thơng tin TMĐT”, Ban Cơ yếu Chính phủ, 2004 [3] Nghị định 26/2007/NĐ-CP ngày 15/02/2007 Chính phủ quy định chi tiết thi hành Luật giao dịch điện tử chữ ký số dịch vụ chứng thực chữ ký số [4] Dự thảo Báo cáo nghiên cứu khả thi Dự án “Ứng dụng TMĐT mua sắm Chính phủ”, Vụ Quản lý Đấu thầu, Bộ Kế hoạch Đầu tư, 2008 [5] D Stinson, Cryptography Theory and Practice, CRC Press, 1995 [6] B.Schneider, "Applied Cryptography", 2nd edition, Wiley, 1995 [7] UNCITRAL (United Nations Commission on International Trade Law) Model Law on Electronic Signatures, 2001 [8] Bruce Schneider, Applied Cryptography, 2nd edition, 1996 [9] Public Procurement Service, Standardazation of e-Procurement, International Conference on e-Procurement, 2005 [10] Chris Min Jang, PKI based Secure e-Procurement, Digital Signature & Public Key Infrastructure, International Conference on e-Procurement, 2005 [11] Kapil Raina, PKI Security Solutions for the Enterprise: Solving HIPAA, E-Paper Act, and Other Compliance Issues, Wiley Publishing, Inc, 2003 [12] Rashmi Grover, Implementing PKI, Tata Infotech Research Group, 1999 [13] Marc Branchaud, A survey of public key infrashstructures, Department of Computer Science, McGill University, Montreal, 1997 [14] Steve Purser, Stepping Beyond the PKI Pilot, Cross-Border Security Design and Administration at Clearstream Services, Luxembourg, 2004 [15] Sebastian Fritsch, Diploma Thesis, Towards Secure Electronic Workflows Examples of Applied PKI, Department of Computer Science, Darmstadt University of Technology, 2006 Đánh giá sơ 135 [16] JoelWeise, Public Key Infrastructure Overview, Sun Global Security Practice, 2001 [17] Tim Moses, PKI trust Models [18] Carl Ellison, Bruce Schneier, Ten Risks of PKI: What You’re not Being Told about Public Key Infrastructure, Computer Security Journal, Volume XVI, Number 1, 2000