MỤC LỤC MỞ ĐẦU ………………………………………………………………………………3 Chương LÝ THUYẾT CHUNG VỀ Mà HỐ KHĨA CƠNG KHAI ……………………… 1.1 CÁC HỆ THỐNG MẬT Mà KHĨA CƠNG KHAI…………………………… 1.2 CÁC ỨNG DỤNG HỆ THỐNG KHỐ CƠNG KHAI…………………… 11 1.3 CÁC U CẦU ĐỐI VỚI Mà HĨA KHĨA CƠNG KHAI………………… 11 1.4 HỆ MẬT RSA………………………………………………………………… 12 1.4.1 Tạo khoá……………………………………………………………………… 13 1.4.2 Mã hóa……………………………………………………………………… 14 1.4.3 Giải mã……………………………………………………………………… 14 1.4.4 Độ an toàn…………………………………………………………………… 15 1.5 CHỮ KÝ SỐ…………………………………………………………………… 16 1.5.1 Định nghĩa sơ đồ chữ ký “số”…………………………………………… … 18 1.5.2 Hàm băm……………………………………………………………………….19 1.5.3 Sơ đồ chữ ký RSA…………………………………………………………… 21 1.6 TÓM TẮT…………………………………………………………………………24 Chương HẠ TẦNG CƠ SỞ KHỐ CƠNG KHAI (PKI) 2.1 ĐỊNH NGHĨA PKI………………………………………………………………25 2.2 PHÂN PHỐI KHĨA CƠNG KHAI…………………………………………… 25 2.2.1 Khai báo cơng khai khố cơng khai……………………………………….25 2.2.2 Danh bạ công khai……………………………………………………… ……26 2.2.3 Trung tâm quản lý khố cơng khai……………………………………….……27 2.2.4 Chứng khố cơng khai…………………………………………………… 29 2.3 CÁC THÀNH PHẦN CHÍNH CỦA PKI…………………………………… …33 2.3.1 End Entity………………………………………………………………….… 33 2.3.2 CA (Certification Authority)……………………………………………… … 33 2.3.3 RA (Registration Authority)……………………………………………………38 2.3.4 Repository:…………………………………………………………………… 39 2.3.5 Bộ phận phát hành CRL……………………………………………………… 42 2.4 CÁC CHỨC NĂNG CHUNG NHẤT CỦA PKI… ……………………… 43 2.4.1 Quản lý cặp khố cơng khai khoá riêng… ………………………….…….43 2.4.2 Phát hành chứng chỉ…………………………… …………………………… 47 2.4.3 Phân phối chứng chỉ…………………………………………………………… 51 2.4.4 Thu hồi chứng chỉ…………………………………………………………… 53 2.4.5 Treo chứng chỉ…………………………………………………………….….…60 2.5 CẤU TRÚC PKI…………………………………………………………………61 2.6 CÁC YÊU CẦU VỀ PKI……………………………………………………… 62 2.7 BAN HÀNH LUẬT………………………………………………………………63 2.7.1 Công nghệ……………………………………………………………………… 63 2.7.2 Phạm vi chi tiết…………………………………………………………… 64 2.7.3 Các văn chữ ký…………………………………………………………65 2.7.4 Chất lượng chuẩn CA………………………………………………65 2.7.5 Các chuẩn thuê bao………………………………………………………….66 2.7.6 Chia nhỏ trách nhiệm pháp lý……………………………………………….66 2.8 MỘT MƠ HÌNH PKI……………………………………………………… … 67 2.9 THỰC TẾ TRIỂN KHAI PKI……………………………………………………70 2.10 TÓM TẮT………………………………………………………………………72 Chương ỨNG DỤNG Mà HỐ KHỐ CƠNG KHAI TRONG DỊCH VỤ NGÂN HÀNG HOMEBANKING…………………………………………………………… …… 73 3.1 BÀI TOÁN……………………………………………………………………….73 3.2 GIẢI PHÁP…………………………………………………………………… 74 3.3 THIẾT KẾ HỆ THỐNG………………………………………………………… 74 3.3.1 Tổ chức mơ hình CA………………………………………………………… 74 3.3.2 Các lớp bảo mật……………………………………………………………… 76 3.3.3 Mơ hình kiến trúc logic……………………………………………………… 78 3.3.4 Mơ hình kiến trúc mạng vật lý…………………………………………………79 3.3.5 Quy trình ký, mã hố giải mã liệu giao dịch…………………………….80 3.4 QUY TRÌNH ĐĂNG KÝ VÀ QUẢN LÝ NGƯỜI SỬ DỤNG:……………… 82 3.4.1 Sơ đồ phân nhóm…………………………………………………………….…82 3.4.2 Miêu tả………………………………………………………………………….83 3.4.3 Quy trình đăng ký quản lý người sử dụng cán chi nhánh:……………84 3.4.4 Quy trình đăng ký thơng tin khách hàng sử dụng BIDV HBK……………… 87 3.4.5 Quy trình đăng ký quản lý Người sử dụng khách hàng…………….…… 88 3.4.6 Quy định đóng gói, gửi thơng báo mật Ikey CN ………… …92 KẾT LUẬN…………………………………………………………………………94 TÀI LIỆU THAM KHẢO………………… …………………………………………95 MỞ ĐẦU Hạ tầng sở khố cơng khai (PKI) ứng dụng quan trọng phục vụ cho việc thực giao dịch điện tử mạng Internet quan tâm nghiên cứu ứng dụng nhiều giới nước ta Đây lĩnh vực mẻ nước ta khía cạnh nghiên cứu ứng dụng Theo dự tính nhà chun mơn, nhu cầu xác thực đối tượng tham gia giao dịch việc đảm bảo an tồn thơng tin giao dịch thương mại điện tử lớn, chiếm đến 70% khối lượng giao dịch diễn mạng Internet toàn cầu Và kỹ thuật mật mã công cụ quan trọng đảm bảo an tồn thơng tin mạng Ba nội dung thường sử dụng kỹ thuật mật mã bao gồm:  Xác thực: Chữ ký điện tử đảm bảo chứng thực người ký, người tham gia giao dịch người xưng danh nhờ vào chữ ký điện tử với tem thời gian họ khơng thể chối cãi chữ ký khơng phải họ, giao dịch, văn điện tử khơng phải họ gửi nhận, khiến bên giao dịch phủ nhận nội dung giao dịch;  Toàn vẹn liệu: Đảm bảo cho liệu, tài liệu, văn điện tử bị sửa đổi cách bất hợp pháp;  Bảo mật: Bảo đảm có người nhận hợp pháp có khả đọc nội dung thông tin; Ba yếu tố hợp thành chế đảm bảo tin cậy cho các giao dịch điện tử Ta phân chia mật mã thành hai loại hệ mật sau:  Hệ mật khố bí mật hay cịn gọi hệ mật đối xứng,  Hệ mật khố cơng khai hay cịn gọi hệ mật phi đối xứng Đối với hệ mật khố bí mật khố để mã hố khố để giải mã Khoá phải giữ bí mật đầu mã hố đầu giải mã Cho đến năm 70 kỷ 20, người ta biết đến hệ mật khố đối xứng Mặc dù hệ mật tính tốn hiệu quả, song gặp khó khăn nhiều giải toán phân phối khoá Mọi việc thay đổi W Diffie M Hellman đưa khái niệm mật mã khố cơng khai vào năm 1976 Những vấn đề khó khăn giải vấn đề phân phối khoá mã hệ mật khoá đối xứng giải hệ mật khố cơng khai Khơng giống hệ mật đối xứng, hệ mật khố cơng khai sử dụng cặp khố khố coi khố riêng giữ bí mật người sở hữu cặp khố cịn khố cơng bố cơng khai để người có để tham gia truyền thơng bí mật với người giữ khố riêng Điều thực nhờ tính chất khố cặp khố có quan hệ tốn học với khơng thể suy khố riêng từ khố cơng khai Về lý thuyết người gửi cho người nắm giữ khố riêng thơng báo mã hố khố cơng khai tương ứng có người nắm giữ khố riêng đọc thơng báo Tương tự, người nắm giữ khố riêng thiết lập tính tồn vẹn liệu tính ngun thuỷ liệu nhờ việc ký lên liệu khố riêng Bất người nhận liệu kiểm tra nguồn gốc tính tồn vẹn liệu nhờ vào việc sử dụng khố cơng khai tương ứng với khố riêng dùng để ký lên liệu Việc phát minh hệ mật khố cơng khai tạo cách mạng khoa học mật mã Một ứng dụng để giải vấn đề phân phối khoá hệ mật khoá đối xứng Đây vấn đề gặp nhiều khó khăn chưa xuất hệ mật khố cơng khai Ứng dụng mật mã khố cơng khai cho phép giảm số khoá cần thiết hệ thống Đối với hệ mật khố đối xứng để trì trao đổi bí mật n thành viên cần tới n(n-1)/2 khoá sử dụng hệ mật khố cơng khai cần n cặp khố cho n thành viên Tuy nhiên ứng dụng mật mã khố cơng khai vấn đề nẩy sinh làm để phân phối khố cơng khai cách tin cậy Đây vấn đề không đơn giản nghiên cứu phát triển Cơ sở hạ tầng khố cơng khai hay PKI nhằm mục đích giải vấn đề Để xây dựng hạ tầng sở khố cơng khai có nhiều vấn đề cần phải giải bao gồm vấn đề công nghệ vấn đề pháp lý Nhiều vấn đề công nghệ pháp lý tập trung nghiên cứu nhiều số năm gần Các nước phát triển Mỹ, Canada, châu nước đầu lĩnh vực Châu quan tâm ý số nước Nhật, Hàn quốc, Đài loan, Singapore, Malaixia, Thái lan Các hội thảo PKI tổ chức đặn hàng năm Việt nam giai đoạn đầu tìm hiểu ứng dụng thử nghiệm Kể từ W Diffie M Hellman lần đưa khái niệm mật mã khố cơng khai, mật mã khố cơng khai có phát triển mạnh mẽ Nhiều thuật tốn mã cơng khai xây dựng RSA, DSA lớp thuật toán mã dựa mật mã đường cong Elliptic Nhiều chuẩn mã hoá chữ ký xây dựng chuẩn mã hoá liệu DES Mỹ Tuy nhiên, hạ tầng sở khố cơng khai - PKI phát triển khoảng 10 năm trở lại Đầu tiên trước hết PKI công nghệ xác thực sử dụng tổ hợp mật mã khố bí mật mật mã khố cơng khai PKI cho phép số dịch vụ an toàn mã hoá liệu, xác thực liệu quản lý khoá Khung làm việc PKI định nghĩa khuyến nghị ITU-T X.509 Trong nội dung luận văn đề cập đến vấn đề PKI góc độ cơng nghệ, khía cạnh nghiên cứu phát triển hệ thống PKI, từ áp dụng vào bảo mật cho ứng dụng HomeBanking Ngân hàng đầu tư phát triển Việt Nam Các nội dung trình bày gồm : - Tổng quan mật mã khóa cơng khai - Hạ tầng sở mật mã khố cơng khai PKI o Các thành phần PKI o Các cách thức quản lý phân phối khố cơng khai PKI o Chứng khố cơng khai o Các chức PKI o Cấu trúc PKI o Các yêu cầu PKI o Ban hành luật PKI - Ứng dụng PKI hệ thống HomeBanking Ngân hàng Đầu tư Phát triển Việt Nam Chương LÝ THUYẾT CHUNG VỀ Mà HỐ KHĨA CƠNG KHAI Để hiểu hạ tầng sở khóa cơng khai, cần tìm hiểu số kiến thức sơ lược mật mã khố cơng khai, chữ ký số Khái niệm mã hố khố cơng khai nảy sinh giải hai vấn đề khó khăn mã hố đối xứng, vấn đề phân phối khố chữ ký số Như biết, việc phân phối khoá mã hoá đối xứng yêu cầu hai bên liên lạc phải: Dùng chung khoá phân phối theo cách đó; hoặc: Sử dụng mt trung tõm phõn phi khoỏ Vòng khoá công khai Alice Joy Ted Mike Bob Khoá riêng Bob Khoá công khai Bob Đầu vào rõ Thuật toán mà hoá Bản mà đ-ợc truyền Thuật toán giải mà Đầu rõ (a) Mà hoá Vòng khoá công khai Bob Joy Ted Mike Khoá riêng Alice Alice Khoá công khai Alice Bản mà đ-ợc truyền Đầu vào rõ Thuật toán mà hoá Thuật toán giải mà Đầu rõ (b) Xác thực Hình 1.1 Mà hoá khoá công khai Whitfield Diffie, người phát minh mã hố khố cơng khai (cùng với Martin Hellman, trường Đại học Stanford) suy luận cho rằng, yêu cầu thứ hai phủ nhận chất mật mã Bản chất đảm bảo tính bí mật liên lạc Khó tồn hệ thống mật mã phá người sử dụng hệ thống bắt buộc phải dùng chung khoá trung tâm phân phối khoá (KDC), lý trung tâm để lộ khoá Vấn đề thứ hai mà Diffie đặt "chữ ký số" Nếu việc sử dụng mật mã trở nên phổ biến, không lĩnh vực quân mà cịn sử dụng cho mục đích thương mại cá nhân, thơng báo tài liệu điện tử cần có chữ ký chúng có hiệu lực tương tự chữ ký giấy tờ 1.1 CÁC HỆ THỐNG MẬT Mà KHĨA CƠNG KHAI Các thuật tốn khố cơng khai sử dụng khoá để mã hoá khoá khác để giải mã (tạo thành cặp khố) Chúng có tính chất quan trọng sau đây: - Không thể xác định khố giải mã vào thơng tin thuật toán khoá mã hoá Một số thuật tốn, chẳng hạn RSA, có tính chất sau: - Một hai khoá sử dụng để mã hố, khố cịn lại sử dụng để giải mã Hình 1.1 minh hoạ q trình mã hố khố công khai Các bước gồm: Mỗi thành viên sinh cặp khóa, cặp khố sử dụng để mã hố giải mã thơng báo Mỗi thành viên cơng bố khóa mã hố cách đặt khố vào địa cơng bố cơng khai Đây khố cơng khai Khố cặp giữ bí mật Nếu A muốn gửi cho B thông báo, A mã hố thơng báo khố cơng khai B Khi B nhận thông báo, B giải mã thơng báo khố riêng B Khơng người nhận khác giải mã thơng báo, có B biết khố riêng Với cách giải này, tất thành viên tham gia truyền thơng có khố cơng khai Khố riêng thành viên giữ bí mật Q trình liên lạc an tồn chừng khố riêng cịn giữ bí mật Mỗi thành viên thay đổi khố riêng lúc nào, đồng thời cơng bố khố cơng khai cặp để thay khố cơng khai cũ Bảng 1.1 trình bày số đặc điểm quan trọng mã hố khố cơng khai mã hoá khoá riêng (mã hoá đối xứng) Để phân biệt chúng, người ta gọi khoá sử dụng mã hố đối xứng khố bí mật Hai khố dùng mã hố khố cơng khai khố cơng khai khố riêng Chúng ta xem xét chi tiết yếu tố cần thiết lược đồ mã hố khố cơng khai (hình 1.2)  X (X -íc l-ợng) Phân tích mà KRb(KRb -ớc l-ợng) Nguồn A Nguồn thông báo Đích B Y X X Đích Mà hoá Giải mà KRb KUb Nguồn cặp khoá Hình 1.2 Hệ mật khoá công khai: Bí mật Ngun A đưa thông báo rõ rõ thông báo X = [X 1, X2, ,XM] Các phần tử Xi (i = 1M) X chữ bảng chữ hữu hạn A dự định gửi thơng báo cho đích B B sinh cặp khố khố cơng khai KUb, khố riêng KRb Chỉ có B biết KRb, cịn KUb cơng bố cơng khai, A có khố cơng khai Bảng 1.1 Mã hố khố cơng khai đối xứng Hệ mật đối xứng Hệ mật khố cơng khai Các u cầu sử dụng Các yêu cầu sử dụng Quá trình mã hoá giải mã sử dụng Một thuật toán sử dụng cặp khoá thuật toán với khoá mã hoá giải mã, khoá sử Người gửi người nhận phải sử dụng dụng mã hóa, khố cịn lại sử dụng giải mã chung thuật toán khoá Người gửi người nhận, người có khố cặp khố Các u cầu an tồn Các u cầu an tồn Khóa phải giữ bí mật Một hai khóa phải giữ bí mật Khơng thể giải mã thông báo Không thể giải mã thơng báo khơng có thơng tin có giá trị khác khơng có thơng tin có giá trị khác Các thơng tin thuật tốn, mẫu Các thơng tin thuật tốn, mã khơng đủ để xác định khố khố mẫu mã khơng đủ để xác định khố cịn lại Với đầu vào thơng báo X khố mã hoá KUb, A tạo mã Y = [Y1, Y2, , YN ] với Y = E KUb(X) Người nhận hợp lệ (người sở hữu khoá riêng) thu X, qua phép biến đổi ngược X = DKRb(Y) Đối phương (có thể có Y KUb khơng có KRb X) phải tìm cách khơi phục lại X và/hoặc KRb Giả sử rằng, có thơng tin thuật tốn mã hố (E) giải mã (D), khơi phục thơng báo X, cách sinh rõ X ước lượng Tuy nhiên, để đọc thông báo mới, đối phương phải khôi phục KRb cách sinh KRb ước lượng Chúng ta biết, hai khố cặp khố sử dụng để mã hố, khố cịn lại sử dụng để giải mã Điều cho phép thực lược đồ mã khác chút Lược đồ minh hoạ hình 1.2 cung cấp tính bí mật Hình 1.1b 1.3 minh hoạ việc sử dụng mã hố khố cơng khai cho xác thực: Y = EKRa(X) X = DKUa(Y) Ph©n tÝch m·  KRa(KRa -íc l-ợng) Nguồn A Nguồn thông báo X Đích B Mà hoá KRa Y Giải mà X Đích KUa Nguồn cặp khoá Hình 1.3 Hệ mật khoá công khai: Xác thùc 10 Quy trình giải mã xác thực chữ ký điện tử IKey Private key Người nhận nhận đến xxxxxxxx xxxxxxxx xxxxxxxx Decrypt Function 1234ABDC MMNNKL HTO78900 Hash Function DSignature Decrypt Signatur e 1a2b3c4d5f 1a2b3c4d5f Digest ban đầu Digest điện nhận OK ! Chứng số Người gửi Public key Người gửi Điện xác thực CA 82 3.4 QUY TRÌNH ĐĂNG KÝ VÀ QUẢN LÝ NGƯỜI SỬ DỤNG: 3.4.1 Sơ đồ phân nhóm Nhóm quản trị hệ thống ADMIN MANAGER Nhóm vận hành trung tâm CA SYSTEM1 CENTER1 CENTER2 Nhóm vận hành chi nhánh CN1 CN2 Khách hàng Khách hàng Khách hàng Khách hàng 83 3.4.2 Miêu tả Nhóm quản trị hệ thống Nhiệm vụ nhóm cấp quyền sử dụng cho Nhóm vận hành Trung tâm, ngồi khơng có quyền khác Nhóm quản trị hệ thống có hai người sử dụng:  ADMIN: làm nhiệm vụ đăng ký, tạm dừng người sử dụng nhóm vận hành trung tâm cấp quyền sử dụng  MANAGER: làm nhiệm vụ phê duyệt người sử dụng tạo ADMIN Nhóm vận hành Trung tâm Nhóm có nhiệm vụ trì hoạt động cho hệ thống HOMEBANKING gồm công việc sau:  CA: Cấp chứng số  SYSTEM1: Đồng liệu  CENTER1, CENTER2: Đăng ký người sử dụng chi nhánh Việc đăng ký người sử dụng chi nhánh phân cho người sử dụng:  CENTER1: Làm nhiệm vụ đăng ký, tạm dừng, phân quyền người sử dụng chi nhánh  CENTER2: Có quyền Phê duyệt.làm nhiệm vụ xác nhận công việc cho người sử dụng CENTER1 Người sử dụng làm nhiệm vụ xác nhận người sử dụng khách hàng Nhóm vận hành chi nhánh Làm nhiệm vụ đăng ký khách hàng, đăng ký người sử dụng, duyệt điện khách hàng, gửi nhận điện tra sốt Nhóm vận hành tạm chia làm hai người sử dụng: Người sử dụng kế toán viên làm nhiệm vụ đăng ký khách hàng, đăng ký, tạm dừng, phân quyền người sử dụng khách hàng, soạn điện tra soát, bổ xung thêm thông tin vào điện chuyển tiền khách hàng, in báo cáo tra soát cuối ngày Người sử dụng kiểm soát viên làm nhiệm vụ phê duyệt đăng ký khách hàng, phê duyệt đăng ký, tạm dừng, phân quyền người sử dụng khách hàng, nhận điện tra soát, gửi điện tra soát, nhận điện chuyển tiền khách hàng, gửi điện chuyển tiền Nhóm vận hành chi nhánh bao gồm hai nhóm quyền phân chia cho hai người sử dụng:  CN1: Làm nhiệm vụ đăng ký, tạm dừng, phân quyền người sử dụng chi nhánh  CN2: Có quyền Phê duyệt, làm nhiệm vụ xác nhận công việc cho CN1 CN2 làm nhiệm vụ xác nhận người sử dụng khách hàng Khách hàng Những người sử dụng cuối HOMEBANKING 84 3.4.3 Quy trình đăng ký quản lý người sử dụng cán chi nhánh: 3.4.3.1 Đăng ký người sử dụng - Bước 1: Chi nhánh gửi Đăng ký/ Thay đổi quyền sử dụng chương trình BIDV HBK (BM02/HBK-NSD) Giám đốc phê duyệt PhTrung tâm toán - Bước 2: Giao dịch viên Trung tâm toán o o Căn Đăng ký/Thay đổi quyền sử dụng chương trình BIDV HBK (BM02/HBK-NSD) khai báo người sử dụng chi nhánh vào BIDV HBK Tên truy cập BIDV HBK khai báo theo tên truy cập chương trình BDS chi nhánh Chuyển hồ sơ sang Kiểm soát viên - Bước 3: Kiểm soát viên Trung tâm toán o Kiểm tra thông tin người sử dụng BIDV HBK với đề nghị chi nhánh, không chấp nhận chuyển hồ sơ lại cho Giao dịch viên chỉnh sửa o Nếu chấp nhận tiến hành phê duyệt khởi tạo mật (password) truy cập hệ thống BIDV HBK in phiếu Thông báo mật truy cập chương trình BIDV HBK (BM03/HBK-NSD) để gửi chi nhánh giấy Đề nghị cấp iKey (BM05/HBK-NSD) chuyển sang phận CA o Tiến hành đóng gói niêm phong phiếu Thơng báo Mật truy cập BIDV HBK người sử dụng (BM03/HBK-NSD) để gửi cho chi nhánh o Lưu Hồ sơ theo quy định - Bước 4: Bộ phận CA o Căn giấy đề nghị cấp Ikey (BM05/HBK-NSD) Trung tâm toán gửi đến tiến hành tạo chứng số, mã khố bí mật người sử dụng có thẩm quyền lưu vào Ikey, thiết lập mật truy cập Ikey in phiếu Thông báo mật truy cập IKey (BM06/HBK-NSD) o Đóng gói Ikey Thơng báo mật truy cập Ikey (BM06/HBK-NSD) để gửi cho chi nhánh o Lưu Hồ sơ theo quy định - Bước 5: Bộ phận CA o Căn Danh sách người sử dụng cấp mật truy cập Ikey, vào chương trình BIDV HBK tiến hành xác nhận việc trả mật Ikey - Bước 6: Kiểm sốt viên chi nhánh 85 o Trưởng phịng Dịch vụ khách hàng người uỷ quyền có trách nhiệm nhận phong bì lớn chứa Ikey, phiếu thơng báo mật truy cập Ikey phiếu Thông báo mật truy cập chương trình BIDV HBK o Chuyển phong bì nhỏ niêm phong chứa Ikey, phiếu Thơng báo mật truy cập Ikey phiếu Thông báo mật truy cập chương trình BIDV HBK cho cán có tên phong bì (có biên giao nhận) - Bước 7: Người sử dụng chương trình BIDV HBK Ngay sau nhận phong bì niêm phong chứa mật Ikey từ Kiểm soát viên, người sử dụng chương trình BIDV HBK tiến hành truy cập lần đầu vào BIDV HBK đổi mật truy cập chương trình BIDV HBK 3.4.3.2 Tạm dừng người sử dụng Khi chi nhánh có nhu cầu tạm dừng Người sử dụng, lập biểu BM02-NSD gửi Trung tâm toán NHĐT&PT Trung ương - Bước 1: Giao dịch viên Trung tâm toán o Tiếp nhận yêu cầu tạm dừng người sử dụng (BM02/HBK-NSD) o Vào chương trình nhập thơng tin tạm dừng người sử dụng - Bước 2: Kiểm soát viên Trung tâm toán Căn yêu cầu chi nhánh : o Nếu chấp nhận tiến hành phê duyệt o Nếu không chấp nhận chuyển lại Hồ sơ cho Giao dịch viên chỉnh sửa o Lưu Hồ sơ theo quy định Lưu ý: Sau ngày hết hạn tạm dừng, hệ thống tự động kích hoạt người sử dụng 3.4.3.3 Kích hoạt người sử dụng Khi chi nhánh có nhu cầu kích hoạt người sử dụng trước ngày hết hạn, chi nhánh lập gửi yêu cầu (BM02/HBK-NSD) Trung tâm toán Tại Trung tâm tốn thực theo Quy trình kích hoạt người sử dụng cán chi nhánh - Bước 1: Giao dịch viên Trung tâm toán: o o Tiếp nhận u cầu kích hoạt người sử dụng Vào chương trình kích hoạt trường hợp chưa đến ngày hiệu lực hết hạn tạm dừng người sử dụng, chuyển Kiểm soát viên phê duyệt - Bước 2: Kiểm soát viên Trung tâm toán 86 o Căn yêu cầu chi nhánh kiểm tra thông tin hệ thống, không chấp nhận chuyển hồ sơ lại cho Giao dịch viên chỉnh sửa o Nếu chấp nhận tiến hành phê duyệt o Lưu Hồ sơ theo quy định 3.4.3.4 Cấp lại mật cho người sử dụng: Lưu đồ - Bước 1: Kiểm soát viên Trung tâm toán o Tiếp nhận yêu cầu cấp lại mật cho người sử dụng (BM02/HBKNSD) o Tạo mật cho người sử dụng, chương trình tự động in Thơng báo mật người sử dụng BIDV HBK (BM04/HBK-NSD) o Đóng phong bì niêm phong gửi cho người sử dụng chi nhánh o Lưu Hồ sơ theo quy định - Bước 2: Người sử dụng truy nhập hệ thống đổi mật 3.4.3.5 Cấp lại mật truy cập Ikey - Bước 1: Kiểm soát viên chi nhánh o o Lập giấy yêu cầu cấp lại mật truy cập Ikey (BM 02/HBK-NSD) trình Giám đốc phê duyệt Fax (BM 02/HBK-NSD) gọi điện thoại Bộ phận CA, đồng thời gửi thư bảo đảm (BM 02/HBK-NSD) iKey Bộ phận CA - Bước 2: Bộ phận CA o Khi nhận Fax tiến hành việc khóa (block) Ikey để đảm bảo an toàn tài sản cho khách hàng o Khi nhận yêu cầu cấp lại mật truy cập Ikey tiến hành tạo lại mật truy cập Ikey cho người sử dụng Sau đóng phong bì niêm phong tối mật gửi chi nhánh thư bảo đảm Lưu Hồ sơ khách hàng theo quy định o - Bước 3: Tại chi nhánh o Thực bước “Quy trình đăng ký người sử dụng cán Chi nhánh” mục II.1.1 3.4.3.6 Xoá người sử dụng - Bước 1: Kiểm soát viên chi nhánh lập yêu cầu xóa người sử dụng (BM02/HBK-NSD) Ikey người bị xóa (nếu có) Trung tâm toán 87 - Bước 1: Giao dịch viên Trung tâm toán o o Tiếp nhận nhu cầu xoá người sử dụng (BM02/HBK-NSD) iKey (nếu có) Nhập thơng tin xoá người sử dụng - Bước 2: Kiểm soát viên Trung tâm toán o Căn yêu cầu chi nhánh kiểm tra thông tin hệ thống, không chấp nhận chuyển hồ sơ lại cho Giao dịch viên chỉnh sửa Nếu chấp nhận tiến hành phê duyệt, lưu Hồ sơ theo quy định o o Chuyển phong bì niêm phong chứa iKey BM02/HBK-NSD sang Bộ phận CA - Bước 3: Bộ phận CA Tiến hành khoá (block) IKey bảo quản IKey theo quy định o 3.4.4 Quy trình đăng ký thơng tin khách hàng sử dụng BIDV HBK 3.4.4.1 Đăng ký - Bước 1: Giao dịch viên chi nhánh: Tiếp nhận từ khách hàng Hợp đồng cung cấp sử dụng dịch vụ BIDV HBK ký kết (BM01/HBK-NSD) - Bước 2:Giao dịch viên chi nhánh: o Kiểm tra thông tin khách hàng khai báo Hợp đồng cung cấp sử dụng dịch vụ BIDV HBK, đầy đủ tiến hành khai báo thông tin khách hàng gắn kết tài khoản giao dịch khách hàng sử dụng BIDV HBK Nếu thông tin khách hàng chưa đầy đủ, yêu cầu khách hàng bổ sung o - Bước 3: Kiểm soát viên chi nhánh kiểm tra khớp Hợp đồng cung cấp sử dụng dịch vụ BIDV HBK thông tin GDV nhập vào hệ thống o o Nếu chấp nhận tiến hành phê duyệt, lưu hồ sơ theo quy định Nếu không chấp nhận chuyển hồ sơ cho Giao dịch viên để bổ sung, chỉnh sửa 3.4.4.2 Ngừng sử dụng dịch vụ BIDV HBK: - Bước 1: Giao dịch viên chi nhánh: o Tiếp nhận yêu cầu ngừng sử dụng dịch vụ BIDV HBK (theo điều 11 Hợp đồng) o Căn yêu cầu ngừng sử dụng dịch vụ tiến hành xoá Người sử dụng (thực theo Quy trình xóa người sử dụng khách hàng) Thực ngừng sử dụng dịch vụ khách hàng o 88 - Bước 2: Kiểm soát viên chi nhánh Kiểm tra khớp yêu cầu ngừng sử dụng dịch vụ BIDV HBK khách hàng với thông tin BIDV HBK: o Nếu không chấp nhận đẩy lại cho Giao dịch viên chỉnh sửa o Nếu chấp nhận tiến hành phê duyệt, lưu hồ sơ theo quy định 3.4.5 Quy trình đăng ký quản lý Người sử dụng khách hàng 3.4.5.1 Đăng ký người sử dụng: - Bước 1: Giao dịch viên chi nhánh: o Căn Phụ lục 01 Hợp đồng cung cấp sử dụng dịch vụ BIDV HBK ký kết tiến hành tạo Người sử dụng nhập thơng tin liên quan vào chương trình o Phân quyền theo chức mức độ xử lý Lệnh toán khách hàng theo đăng ký: Kế toán (KTV) viên Kế toán trưởng Chủ tài khoản (CTK) (KTT) Mức X Áp dụng tài khoản cá nhân Chủ tài khoản thực soạn, phê duyệt Lệnh chuyển tiền đi, tra soát Mức X X Áp dụng đối Thực soạn với tài khoản Lệnh chuyển tiền tổ chức đi, tra soát Mức X Duyệt chữ ký điện tử Lệnh chuyển tiền đi, tra soát KTV lập X X Áp dụng đối Thực soạn Xác nhận Lệnh Duyệt chữ ký điện với tài khoản Lệnh chuyển tiền chuyển tiền đi, tra tử Lệnh chuyển tiền đi, tổ chức đi, tra soát soát KTV lập tra soát KTT xác nhận o Khai báo Tên người sử dụng (user ID) theo cấu trúc: CIF TEN HT Trong đó: CIF: Số CIF khách hàng TEN: Tên khách hàng HT: Các chữ đầu Họ, đệm tên khách hàng Ví dụ: Doanh nghiệp tư nhân Vạn phúc ký hợp đồng sử dụng BIDV HBK, có số CIF 20356, tên Chủ tài khoản Lê Trần Bảo Tín Khi khai tên người sử dụng BIDV HBK 20356TINLTB - Bước 2: Kiểm soát viên chi nhánh 89 o Kiểm tra thông tin người sử dụng giao dịch viên nhập vào, chấp nhận tiến hành xác nhận thông tin người sử dụng khách hàng Nếu khơng chấp nhận chuyển lại hồ sơ cho Giao dịch viên chỉnh sửa, bổ sung o Phê duyệt thông tin khách hàng, gửi liên Phụ lục 01 Hợp đồng cung cấp cung cấp sử dụng dịch vụ BIDV HBK Trung tâm Thanh toán NHĐT&PT Trung ương o Lưu Hồ sơ khách hàng theo quy định - Bước 3: Kiểm soát viên Trung tâm toán - Ban Kế toán o Căn Phụ lục 01 Hợp đồng cung cấp dịch vụ nhận từ chi nhánh, tiến hành phê duyệt tạo mật (password) truy cập chương trình BIDV HBK cho người sử dụng, in phiếu Thơng báo mật truy cập chương trình BIDV HBK (BM04/HBK-NSD) giấy Đề nghị cấp Ikey (BM05/HBK-NSD) o Đóng gói niêm phong phiếu Thơng báo Mật truy cập BIDV HBK người sử dụng (BM04/HBK-NSD) để gửi cho chi nhánh o Gửi Giấy đề nghị cấp Ikey (BM05/HBK-NSD) cho phận CA để tạo Ikey cho khách hàng - Bước 4: Bộ phận CA – Ban Kế toán o Căn giấy đề nghị cấp Ikey(BM05/HBK-NSD) Trung tâm toán gửi đến tiến hành tạo chứng số, mã khố bí mật người sử dụng có thẩm quyền lưu vào Ikey, thiết lập mật truy cập Ikey in phiếu Thông báo mật truy cập IKey (BM07/HBK-NSD) o Đóng gói niêm phong IKey phiếu Thông báo mật truy cập Ikey để gửi cho chi nhánh o Lưu Hồ sơ khách hàng theo quy định - Bước 5: Kiểm soát viên chi nhánh o Trưởng phòng Dịch vụ khách hàng người uỷ quyền (Phó Trưởng phịng Giám đốc Chi nhánh giao nhiệm vụ Kiểm soát viên) có trách nhiệm nhận phong bì lớn chứa Ikey, phiếu Thông báo mật truy cập Ikey phiếu Thơng báo mật truy cập chương trình BIDV HBK o Ngay sau nhận phong bì niêm phong chứa mật truy cập Ikey Ikey từ HSC gửi về, vào chương trình BIDV HBK tiến hành Xác nhận việc nhận password Ikey người sử dụng 90 o Chuyển phong bì niêm phong chứa Ikey, phiếu Thơng báo mật truy cập Ikey phiếu Thông báo mật truy cập chương trình BIDV HBK khách hàng sang Giao dịch viên (có chữ ký giao nhận hai bên sổ giao nhận) để trả cho khách hàng - Bước 6: Giao dịch viên chi nhánh o Thông báo cho khách đến nhận mật Ikey người sử dụng BIDV HBK o Lập sổ giao nhận: Khi giao phong bì niêm phong chứa Ikey, phiếu Thông báo mật truy cập Ikey phiếu Thơng báo mật truy cập chương trình BIDV HBK cho người sử dụng khách hàng phải lấy chữ ký ghi rõ họ tên khách hàng Sổ giao nhận o Sau khách hàng nhận mật Ikey người sử dụng, giao dịch viên chi nhánh vào BIDV HBK xác nhận việc giao trả - Bước 7: Người sử dụng (Khách hàng) thực truy cập lần đầu vào BIDV HBK đổi mật truy cập chương trình BIDV HBK 3.4.5.2 Tạm dừng người sử dụng Khi khách hàng có nhu cầu tạm dứng người sử dụng, khách hàng lập gửi biểu BM02/HBK-NSD đến chi nhánh - Bước 1: Giao dịch viên chi nhánh o Tiếp nhận yêu cầu tạm dừng người sử dụng (BM02/HBK-NSD) o Vào BIDV HBK nhập thông tin tạm dừng người sử dụng - Bước 2: Kiểm soát viên chi nhánh Căn yêu cầu khách hàng: o Nếu chấp nhận tiến hành phê duyệt o Nếu không chấp nhận chuyển lại Hồ sơ cho Giao dịch viên chỉnh sửa o Lưu Hồ sơ khách hàng theo quy định Lưu ý: Sau ngày hết hạn tạm dừng, hệ thống tự động kích hoạt người sử dụng 3.4.5.3 Kích hoạt người sử dụng: Khách hàng có nhu cầu kích hoạt người sử dụng trước ngày hết hạn lập gửi yêu cầu (BM02/HBK-NSD) đến ngân hàng - Bước 1: Giao dịch viên chi nhánh: o Tiếp nhận yêu cầu kích hoạt người sử dụng (BM02/HBK-NSD) 91 o Vào chương trình kích hoạt trường hợp chưa đến ngày hết hạn tạm dừng người sử dụng - Bước 2: Kiểm soát viên chi nhánh: o Căn yêu cầu khách hàng kiểm tra thông tin hệ thống, không chấp nhận chuyển hồ sơ lại cho Giao dịch viên chỉnh sửa o Nếu chấp nhận tiến hành phê duyệt, lưu Hồ sơ khách hàng theo quy định 3.4.5.4 Cấp lại mật truy cập BIDV HBK cho người sử dụng Việc cấp lại mật truy cập BIDV HBK thực Chi nhánh Ngân hàng Đầu tư Phát triển Trung ương (Trung tâm toán) tùy thuộc vào khách hàng gửi đề nghị trực tiếp cho đơn vị - Bước 1: Kiểm soát viên Chi nhánh/ Trung tâm toán: o Tiếp nhận Yêu cầu cấp lại mật cho người sử dụng (BM02/HBKNSD) o Tạo mật cho người sử dụng, chương trình tự động in Thơng báo mật truy cập chương trình BIDV HBK (BM04/HBK-NSD) o Đóng gói niêm phong, giao phong bì chứa phiếu thơng báo mật truy cập chương trình BIDV HBK cho Giao dịch viên chi nhánh, Lưu Hồ sơ khách hàng theo quy định - Bước 2: Giao dịch viên chi nhánh giao phong bì chứa phiếu Thơng báo mật truy cập chương trình BIDV HBK cho người sử dụng - Bước 3: Người sử dụng truy cập chương trình BIDV HBK đổi mật truy cập chương trình BIDV HBK cấp lại 3.4.5.5 Cấp lại mật truy cập Ikey: - Bước 1: Kiểm soát viên chi nhánh: o Tiếp nhận liên yêu cầu cấp lại mật truy cập Ikey (BM 02/HBKNSD) với IKey, ký xác nhận nhận Ikey khách hàng, o Fax (BM 02/HBK-NSD) gọi điện thơng báo cho phận CA biết (để tránh tình trạng Bộ phận CA không nhận fax kịp thời); đồng thời gửi thư bảo đảm (BM 02/HBK-NSD) IKey Bộ phận CA o Lưu Hồ sơ khách hàng theo quy định - Bước 2: Bộ phận CA 92 o Khi nhận Fax tiến hành việc khố (block) Ikey để đảm bảo an tồn tài sản cho khách hàng o Khi nhận yêu cầu cấp lại mật truy cập Ikey tiến hành tạo lại mật truy cập Ikey cho người sử dụng Sau đóng phong bì niêm phong chứa phiếu Thông báo mật truy cập Ikey Ikey, đóng dấu „TỐI MẬT‟ ngồi phong bì gửi chi nhánh thư bảo đảm o Lưu Hồ sơ khách hàng theo quy định - Bước 3: Tại chi nhánh khách hàng o Thực tiếp tục theo bước 5, bước Quy trình đăng ký người sử dụng khách hàng 3.4.5.6 Xóa người sử dụng: - Bước 1: Giao dịch viên chi nhánh: o Tiếp nhận yêu cầu xoá người sử dụng (BM02/HBK-NSD) o Nhập thơng tin xố người sử dụng - Bước 2: Kiểm soát viên chi nhánh o Căn yêu cầu khách hàng kiểm tra thông tin hệ thống, không chấp nhận chuyển hồ sơ lại cho Giao dịch viên chỉnh sửa o Nếu chấp nhận tiến hành phê duyệt, lưu Hồ sơ khách hàng theo quy định - Bước 3: Bộ phận CA o Căn trạng thái “người sử dụng bị xoá” tiến hành khoá Ikey (nếu có) 3.4.6 Quy định đóng gói, gửi thơng báo mật Ikey CN 3.4.6.1 Đóng gói - Mỗi Ikey, phiếu Thông báo mật truy cập Ikey, phiếu Thơng báo mật truy cập chương trình BIDV HBK đóng gói phong bì riêng (ba phong bì riêng biệt), ngồi phong bì ghi rõ họ tên người sử dụng cấp (thuộc khách hàng nào, chi nhánh nào) Từng phong bì phải dán kín, đóng dấu niêm phong có chữ “TỐI MẬT” - Tất phong bì chứa Ikey khách hàng chi nhánh đóng gói chung vào phong bì lớn, ngồi phong bì ghi rõ tên địa chi 93 nhánh nhận, phong bì phải dán kín, đóng dấu niêm phong có chữ “TỐI MẬT” - Tất phong bì chứa phiếu Thơng báo mật truy cập Ikey khách hàng chi nhánh đóng gói chung vào phong bì lớn, ngồi phong bì ghi rõ tên địa chi nhánh nhận, phong bì dán kín, đóng dấu niêm phong có chữ “TỐI MẬT” - Tất phong bì chứa phiếu Thơng báo mật truy cập chương trình BIDV HBK khách hàng chi nhánh đóng gói chung vào phong bì lớn, ngồi phong bì ghi rõ tên địa chi nhánh nhận, phong bì dán kín, đóng dấu niêm phong có chữ “TỐI MẬT” 3.4.6.2 Giao nhận: Gửi Ikey, thông báo mật truy cập BIDV HBK, Ikey Ngân hàng Đầu tư Phát triển Trung ương Chi nhánh thực qua bưu điện bằng hình thức bảo đảm, có sổ giao nhận ký nhận bên giao bên nhận Khi nhận phải kiểm tra dấu niêm phong, phát có dấu hiệu nghi vấn khơng đảm bảo an tồn phải lập Biên báo cáo cho đơn vị liên quan để xử lý kịp thời 94 KẾT LUẬN Tóm lại, luận văn tập trung nghiên cứu giải toán phân phối khoá mạng với nội dung chủ yếu sau:  Đã nghiên cứu, tìm hiểu khái niệm Mật mã khố cơng khai vấn đề nẩy sinh ứng dụng mật mã khố cơng khai, Cơ sở hạ tầng khố cơng khai (PKI)  Nghiên cứu tìm hiểu thành phần, chức PKI bao gồm vấn đề công nghệ vấn đề pháp lý  Đã đưa giải pháp ứng dụng Hạ tầng sở khố cơng khai vào giải tồn bảo vệ dịng thơng tin khách hàng ngân hàng BIDV - toán thực tiễn ngân hàng BIDV Trong tương lai luận văn phát triển theo nhiều hướng, cụ thể :  Nghiên cứu phát triển hệ thống CA phần mềm CA mã nguồn mở  Nghiên cứu phát triển giao thức kiểm tra trực tuyến tính hợp lệ chứng có độ tin cậy cao  Nghiên cứu phát triển sinh tham số Hệ thống CA, giải pháp bảo vệ tham số cho hệ thống, cho người dùng, 95 TÀI LIỆU THAM KHẢO Nguyễn Nam Hải, Đ.H.Vân, P.N.Thuý, “Chứng thực thương mại điện tử”, NXB Khoa học Kỹ thuật, 2003 Addison Wesley - Understanding PKI Concepts, Standards, and Deployment Considerations, Second Edition Jalal Feghhi, Jalil Feghhi, Peter Williams, “Digital Certificates” book “Understanding Publickey Infrastructure (PKI)”, RSA Security Cơ sở mật mã đại – Ban yếu phủ Luật giao dịch điện tử ngày 29/11/2005 Nghị định 26/2007/NĐ-CP Quy định chi tiết thi hành luật giao dịch điện tử chữ ký số dịch vụ chứng thực chữ ký số 96