-1- ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHẠM THY HÙNG NGHIÊN CỨU ỨNG DỤNG HẠ TẦNG CƠ SỞ MẬT MÃ KHỐ CƠNG KHAI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG LUẬN VĂN THẠC SĨ Hà Nội – 2008 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHẠM THY HÙNG NGHIÊN CỨU ỨNG DỤNG HẠ TẦNG CƠ SỞ MẬT MÃ KHỐ CƠNG KHAI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG Ngành: Công Nghệ thông Tin Mã số: 1.01.10 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC TS HỒ VĂN CANH Hà Nội - 2008 MỤC LỤC DANH MỤC CÁC HÌNH BẢNG TỪ VIẾT TẮT MỞ ĐẦU Chương TỔNG QUAN VỀ ĐẤU THẦU QUA MẠNG MÁY TÍNH 1.1 VẤN ĐỀ ĐẤU THẦU 1.1.1 Khái niệm chung đấu thầu 1.1.2 Mục tiêu đấu thầu 1.1.3 Quy trình đấu thầu 1.2 NHU CẦU VỀ ĐẤU THẦU QUA MẠNG MÁY TÍNH 1.2.1 Xu hướng ứng dụng CNTT hoạt động Chính phủ 1.2.2 Những bất cập đấu thầu thủ công 1.2.3 Thực trạng ứng dụng CNTT đấu thầu Việt Nam 1.2.4 Xu ứng dụng TMĐT mua sắm công giới 1.2.5 Giới thiệu dự án Ứng dụng TMĐT Mua sắm công 1.3 MƠ HÌNH HỆ THỐNG ĐẤU THẦU QUA MẠNG MÁY TÍNH 1.3.1 Mơ hình mơ tả mối quan hệ mặt luật pháp 1.3.2 Mơ hình mơ tả mối quan hệ sử dụng liên kết đến hệ thống 23 1.3.3 Mơ hình chức hệ thống đấu thầu qua mạng 1.3.4 Mơ hình phân lớp hệ thống đấu thầu qua mạng 1.3.5 Lộ trình triển khai hệ thống đấu thầu qua mạng Chương - TỔNG QUAN VỀ HẠ TẦNG CƠ SỞ MẬT MÃ KHỐ CƠNG KHAI 2.1 VẤN ĐỀ ĐẢM BẢO AN TỒN THƠNG TIN 2.2.1 Các hiểm hoạ TMĐT 2.2.1.1 Đối với máy khách 2.2.1.2 Đối với kênh truyền thông 2.2.1.3 Các mối hiểm hoạ máy chủ 2.2 HỆ MÃ HOÁ 2.2.1 Các thuật ngữ 2.2.2 Định nghĩa hệ mật mã 2.2.3 Những yêu cầu hệ mật mã 2.2.4 Mật mã đối xứng 2.2.5 Mật mã khố cơng khai 2.2.5.1 Các nguyên lý 2.2.5.2 Các hệ mật mã khố cơng khai 2.2.5.3 Các ứng dụng hệ thống khố cơng khai 2.2.5.4 Lược đồ trao đổi khoá Diffie – Hellman 2.2.5.5 Lược đồ chia sẻ bí mật 2.2.5.6 Một số hệ mật mã khố cơng khai 2.2.5.7 Vấn đề quản lý khoá 2.3 CHỮ KÝ SỐ 2.3.1 Các yêu cầu 2.3.2 Phân lớp sơ đồ chữ ký số 2.3.2.1 Sơ đồ chữ ký kèm thông điệp 2.3.2.2 Sơ đồ chữ ký khôi phục thông điệp 2.3.3 Một số sơ đồ chữ ký số tiêu biểu 2.3.3.1 Sơ đồ chữ ký RSA 2.3.3.2 Sơ đồ chữ kí ELGAMAL 2.3.3.3 Chuẩn chữ ký số DSS 2.3.4 Chữ ký số vấn đề xác thực thông điệp 2.3.5 Hàm băm 2.3.6 Tấn công chữ ký số 2.4 HẠ TẦNG CƠ SỞ MẬT MÃ KHỐ CƠNG KHAI 2.4.1 Các yêu cầu 2.4.2 Các thành phần logic PKI 2.4.3 Các cấu trúc quan hệ CA 2.4.3.1 Cấu trúc phân cấp tổng quát 2.4.3.2 Cấu trúc phân cấp với liên kết bổ sung 2.4.3.3 Cấu trúc phân cấp top-down 2.4.3.4 Cơ sở hạ tầng PEM 2.4.3.5 Mơ hình chứng thực PGP 2.4.4 Chứng số 2.4.4.1 Giới thiệu chứng khố cơng khai 2.4.4.2 Quản lý cặp khố cơng khai khoá riêng 2.4.4.3 Phát hành chứng 2.4.4.4 Phân phối chứng 2.4.4.5 Thu hồi chứng 2.4.4.6 Chứng ký chồng chéo nhiều lần 2.4.4.7 Treo chứng 2.4.5 Chính sách chứng 2.4.5.1 Khái niệm sách chứng 2.4.5.2 Các nội dung sách chứng 2.4.6 Tìm đường dẫn chứng thực phê chuẩn 2.4.7 Giới thiệu hai mô hình PKI 2.4.7.1 Cơ sở hạ tầng SET 2.4.7.2 Cơ sở hạ tầng DoD MISSI 2.5 KHUNG PHÁP LÝ CHO HẠ TẦNG CƠ SỞ MẬT MÃ KHỐ CƠNG KHAI 2.5.1 Tìm hiểu Luật khung chữ ký điện tử 2.5.1.1 Mục đích Luật khung 2.5.1.2 Nội dung Luật khung 2.5.2 Khung kháp lý cho PKI Việt Nam 2.5.2.1 Luật Giao dịch điện tử 2.5.2.2 Nghị định 57/2006/NĐ-CP 2.5.2.3 Nghị định 26/2007/NĐ-CP 2.5.2.4 Nghị định 27/2007/NĐ-CP 2.5.2.5 Nghị định 35/2007/NĐ-CP Chương ỨNG DỤNG HẠ TẦNG MẬT MÃ KHOÁ CÔNG KHAI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 3.1 KHẢ NĂNG ĐÁP ỨNG CỦA PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 3.1.1 Yêu cầu bảo mật đấu thầu qua mạng 3.1.1.1 Yêu cầu bảo mật công tác đấu thầu truyền thống 3.1.1.2 Yêu cầu bảo mật đấu thầu qua mạng 3.1.2 PKI đáp ứng tất u cầu an tồn thơng tin đấu thầu qua mạng 3.1.3 Các bước mã hoá đấu thầu qua mạng 3.2 ĐỀ XUẤT MƠ HÌNH CUNG CẤP VÀ QUẢN LÝ CHỨNG CHỈ SỐ CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 3.2.1 Tình hình xây dựng PKI Việt Nam 3.2.1.1 Mơ hình kiến trúc 3.2.1.2 Tiến độ triển khai 3.2.1.3 Xây dựng khung pháp lý 3.2.2 Đề xuất xây dựng CA cho hệ thống đấu thầu qua mạng 3.2.2.1 Lựa chọn mơ hình 3.2.2.2 Mơ hình cơng nghệ 3.3 QUẢN TRỊ VẬN HÀNH PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 3.3.1 Quản trị hệ thống CA 3.3.1.1 Quản trị hệ thống CA 3.4.1.2 Quản trị viên an ninh 3.3.1.3 Quản trị viên 3.3.1.4 Quản trị hệ thống directory 3.3.1.5 Kiểm soát viên 3.3.2 Vận hành hệ thống 3.3.2.1 Qui trình cấp phát chứng 3.3.2.2 Qui trình cập nhật chứng 3.3.2.3 Qui trình hủy bỏ chứng 3.4 BỔ SUNG CƠ SỞ PHÁP LÝ ĐỂ ÁP DỤNG PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG ́ KÊT LUÂN TÀI LIỆU THAM KHẢO DANH MỤC CÁC HÌNH Hình 1.1 Quy trình đấu thầu tổng quát Hình 1.2 Mơ hình mối quan hệ mặt pháp luật Hình 1.3 Mơ hình mối quan hệ sử dụng liên kết Hình 1.4 Chu trình đấu thầu qua mạng điển hình Hình 1.5 Mơ hình chức hệ thống đấu thầu qua mạng Hình 1.6 Mơ hình phân lớp hệ thống đấu thầu qua mạng Hình 1.7 Mơ hình chi tiết hệ thống đấu thầu qua mạng Hình 2.1 Mơ hình mã hố đối xứng Hình 2.2 Mơ hình hệ mật đối xứng Hình 2.3 Mã hố khố cơng khai Hình 2.4 minh hoạ q trình mã hố xác thực khố cơng khai Hình 2.5 Hệ mật khố cơng khai: Xác thực Hình 2.6 Hệ mật khố cơng khai: Bí mật xác thực Hình 2.7 Phân phối khố cơng khai khơng kiểm sốt Hình 2.8 Cơng bố khố cơng khai Hình 2.9 Lược đồ phân phối khố cơng khai Hình 2.10 Sử dụng mã khố cơng khai để thiết lập khố phiên Hình 2.11 Phân phối khố cơng khai qua khố bí mật Hình 2.12 Phân lớp sơ đồ chữ ký số Hình 2.13 Sơ đồ chữ ký kèm thơng điệp Hình 2.14 Sơ đồ chữ ký khôi phục thông điệp Hình 2.15 Sơ đồ chữ ký DSS Hình 2.16 Các sử dụng hàm băm Hình 2.17 Các thành phần PKI Hình 2.18 Cấu trúc phân cấp tổng quát Hình 2.19 Cấu trúc phân cấp với liên kết bổ sung Hình 2.20 Cấu trúc phân cấp top-down Hình 2.21 Cơ sở hạ tầng PEM Hình 2.22 Danh sách chứng bị huỷ bỏ Hình 3.1 Mơ hình cung cấp dịch vụ Time-stamp Hình 3.2 Mơ hình kiến trúc PKI áp dụng cho Việt Nam Hình 3.3 Đề xuất mơ hình CA cho hệ thống đấu thầu qua mạng STT 10 11 12 13 15 16 17 18 19 20 MỞ ĐẦU Theo thống kê, việc mua sắm công Chính phủ nước thường chiếm khoảng từ 10% đến 20% GDP, riêng Việt Nam - nước phát triển nên số thường chiếm khoảng 40% GDP, phần lớn thực hình thức đấu thầu Cơng nghệ thơng tin thời gian qua có bước phát triển mạnh mẽ tác động đến mặt đời sống xã hội, làm thay đổi cách sống, cách làm việc cá nhân tổ chức Điều dặt vấn đề ứng dụng TMĐT việc mua sắm công, làm thay đổi phương thức đấu thầu truyền thống Nó làm cho q trình mua sắm cơng trở nên cơng khai, minh bạch hiệu q Đó mục đích Dự án “Ứng dụng TMĐT mua sắm công” - dự án thành phần thuộc kế hoạch tổng thể phát triển phát triển TMĐT giai đoạn 2006-2010 Thủ tướng Chính phủ phê duyệt Quyết định số 222/2005/QĐ-TTg ngày 27/12/2005, kết Dự án hệ thống cho phép hoạt động đấu thầu thực qua mạng Hệ thống đấu thầu qua mạng hệ thống lớn, bao gồm nhiều thành phần, thành phần khơng thể thiếu hạ tầng khố cơng khai Luận văn tập trung vào việc nghiên cứu áp dụng chữ ký số, chứng thực số cho hệ thống đấu thầu qua mạng Do dự án thực tế, vậy, ngồi việc nghiên cứu mặt cơng nghệ, NVLV cịn xem xét khía cạnh khung pháp lý, triển khai thực tế điều kiện Việt Nam Vào thời điểm thực luận văn này, hệ thống đấu thầu qua mạng chưa xây dựng, giải pháp NVLV trình bày đúc rút từ kinh nghiệm triển khai nước phát triển đấu thầu qua mạng giới Hàn Quốc, Anh, Canada, … từ thực tế triển khai CA cho hệ thống có yêu cầu tương tự bảo mật hệ thống ngân hàng, kho bạc Cấu trúc luận văn chia thành chương: Chương - Tổng quan đấu thầu qua mạng máy tính Phần giới thiệu tổng quan hoạt động đấu thầu, nhu cầu xây dựng hệ thống đấu thầu qua mạng máy tính mơ hình hệ thống đấu thầu qua mạng xét khía cạnh pháp luật, sử dụng, chức công nghệ Chương - Tổng quan Hạ tầng khố cơng khai Phần trình bày vấn đề liên quan đến đảm bảo an tồn thơng tin cho TMĐT nói chung nhận diện hiểm hoạ xẩy TMĐT kỹ thuật để giải hệ mật mã, chữ ký số, hàm băm, … Tiếp trình bày vấn đề liên quan đến hạ tầng khoá cơng khai xét khía cạnh cơng nghệ khung pháp lý 10 Chương - Ứng dụng hạ tầng khố cơng khai cho hệ thống đấu thầu qua mạng Phần phân tích đặc thù yêu cầu bảo mật hệ thống đấu thầu qua mạng, sở xem xét thực tế, tiến độ xây dựng hạ tầng khố cơng khai Việt Nam, đề xuất xây dựng hệ thống CA cho hệ thống đấu thầu qua mạng 121 Hình 3.3 Đề xuất mơ hình CA cho hệ thống đấu thầu qua mạng Trong đó: Hệ thống mạng Trung tâm CA Hệ thống mạng Trung tâm CA bao gồm máy chủ (một máy chủ RootCA, máy chủ SubCA, máy chủ Root directory, hai máy chủ directory cho người dùng nhóm người dùng nhóm máy trạm RA Hệ thống chia thành phân vùng: - Vùng bảo mật đặc biệt: gồm máy chủ RootCA, máy chủ SubCA cho người dùng nội người dùng bên ngoài, HSM - Vùng bảo mật cao: gồm máy chủ Root directory hai máy chủ directory cho người dùng nội người dùng bên ngoài, máy chủ lưu trữ NAS - Vùng điều hành: gồm máy Registration Authority (RA) Máy chủ RootCA Máy chủ có nhiệm vụ:  Cấp chứng cho SubCA để cấp phát cho đối tượng người dùng; 122   Thu hồi chứng số SubCA thông qua Authority Revocation List, cho phép cập nhật Authority Revocation List tới hệ thống thư mục; Đảm bảo chứng thực cho chứng phát hành; Khả tạo kênh xác thực chéo với CA khác có nhu cầu; Có thể thêm SubCA cần;    Cho lưu chứng gốc thiết bị lưu trữ chuyên dụng Hardware Security Module – HSM Hai máy chủ SubCA cho người dùng Các máy chủ SubCA có nhiệm vụ:  Cấp phát quản lý chứng cho người dùng;  Thu hồi chứng qua Certificate Revocation List công bố danh sách  hệ thống thư mục; Đảm bảo chứng thực cho chứng phát hành;  Có thể hỗ trợ nhiều cặp khóa cho chứng số, phù hợp với tính khác  Có thể lưu chứng số lên thiết bị lưu chuyên dụng USB Token,… Máy chủ quản trị CA Máy chủ quản trị CA (Administration Services) cho phép admin quản trị người dùng qua giao diện web; cho phép người dùng tự đăng ký xin cấp chứng với CA Nhiệm vụ admin thẩm tra lại tính xác thơng tin chấp thuận hay không chấp thuận thông tin đăng ký người dùng Máy chủ Entrust Authority Enrollment Server for Web Máy chủ co nhiệm vụ cấp chứng cho ứng dụng thiết bị hệ thống máy chủ web web browser để làm SSL, mạng riêng ảo (VPN), mã hóa thư điện tử Máy chủ Roaming Máy chủ Roaming cho phép lưu chứng số cách tập trung, đáp ứng cho người dùng di động (mobile user) truy cập chứng số thực giao dịch có u cầu sử dụng chứng số Máy trạm Registration Authority 123 Các máy trạm Registration Authority để quản trị hệ thống CA, quản lý việc đăng ký CA đối tượng người dùng, quản trị qua giao diện web Máy chủ lưu dự phòng Là máy chủ dùng vào mục đích lưu dự phịng, sử dụng cơng nghệ Network Attached Storage – NAS Thiết bị Hardware Security Module - HSM Là thiết bị bảo mật phần cứng tuyệt đối cho CA, thiết kế nhằm bảo vệ RootCA dựa phần cứng tuân thủ theo chuẩn chẳng hạn FIPS Hệ thống mạng Trung tâm Dự phòng (tương tự hệ thống CA trung tâm mô tả trên) Hệ thống an ninh mạng Hệ thống tường lửa Sử dụng thiết bị tường lửa chuyên dụng (VD Check Point UTM-1 1050) đặt cổng mạng trung tâm CA trung tâm dự phòng, bảo vệ chống cơng từ bên ngồi nhằm vào hệ thống CA mạng đấu thầu quốc gia Hệ thống tường lửa cung cấp chức sau:  Tạo hệ thống phịng thủ mạnh tồn diện, bảo vệ mạng trung tâm CA trung tâm dự phòng bên trước công truy cập trái phép từ bên ngồi Internet mạng WAN  Có thể cho phép tạo mạng riêng ảo – VPN, mã hóa bảo vệ liệu truyền trung tâm CA với trung tâm vùng  Phân hoạch bảo vệ chặt chẽ vùng mạng máy chủ quan trọng, ngăn chặn truy cập trái phép từ mạng người dùng, ngăn chặn lây nhiễm virus từ máy trạm vào máy chủ bên mạng nội Hệ thống quét virus Hệ thống quét virus cài lên máy trạm RA trung tâm CA trung tâm dự phòng máy chủ Windows làm Shadow Directory trung tâm vùng nhằm mục đích quét loại virus, spyware mã độc hại Hệ thống chống xâm nhập mạng Hệ thống chống xâm nhập mạng đặt cổng mạng trung tâm CA trung tâm dự phịng, phía sau thiết bị tường lửa, bảo vệ hệ thống PKI khỏi công, xâm nhập bất hợp pháp chống lại công 124 mức network kết nối Internet hay kết nối mạng WAN Đồng thời ngăn chặn hành vi khai thác điểm yếu an ninh xuất phát từ vùng mạng bên hệ thống đấu thầu qua mạng vào máy chủ trung tâm CA trung tâm dự phòng Hệ thống thư mục Ngoài ra, trung tâm vùng Bắc, Trung, Nam có đặt vùng máy chủ Shadow Directory (chạy hệ điều hành Windows) nhằm giảm tải cho hệ thống thư mục trung tâm CA Hệ thống thư mục có chức sau:  Lưu trữ chứng số người dùng  Cho phép lưu trữ Certificate Revocation List  Lưu trữ thơng tin sách người dùng u cầu hệ thống thư mục việc cập nhật sở liệu từ máy CA server truy vấn liệu từ máy client phải nhanh chóng, xác, phù hợp với kiểu liệu có cấu trúc chứng Để đạt mục tiêu này, có nhiều hệ sở liệu đáp ứng, nhiên qua tìm hiểu (từ nguồn tài liệu) hệ thống PKI triển khai LDAP sử dụng phổ biến Mối quan hệ máy chủ cài LDAP máy khác hệ thống phân thành hai loại sau: - Máy chủ CA phát hành CRL cập nhật CRL LDAP Server Khi người sử dụng cấp chứng chứng cập nhật từ CA server LDAP server; - Người sử dụng thơng qua trình duyệt web để truy nhập vào LDAP server để tải chứng cập nhật CRL 3.3 QUẢN TRỊ VẬN HÀNH PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 3.3.1 Quản trị hệ thống CA Giải pháp CA cho hệ thống đấu thầu qua mạng chia việc quản trị bảo mật quản trị hệ thống theo nhiều mức khác tương ứng với vai trò khả đáp ứng nhiệm vụ hệ thống Những người có chức quản trị hệ thống CA định nghĩa rõ ràng khả vai trị vị trí quản trị vận hành hệ thống Các nhóm người có chức quản trị hệ thống bao gồm: 125 3.3.1.1 Quản trị hệ thống CA Quản trị hệ thống CA coi người chủ hệ thống Là người có quyền cao cho phép cài đặt cấu hình CA người có quyền thực thao tác mức thấp hệ thống Các chức Quản trị hệ thống CA:  Duy trì hoạt động hệ thống CA, bao gồm công việc nhằm trì khả hoạt động hệ thống bật / tắt dịch vụ CA, xem xuất chứng gốc CA, xem điều khiển file log, thay đổi thời gian hợp lệ chứng chỉ, thiết lập lại đếm serial number chứng chỉ, cập nhật, thu hồi cặp khóa RootCA, khôi phục lại tài khoản người sử dụng hệ thống Ngồi ra, quản trị hệ thống CA phải quản lý CA phân cấp việc chứng thực chéo hệ thống CA,…  Thao tác thư mục CA bao gồm: lưu liệu CA thư mục, ghi lại Certificate Revocation List, Authority Revocation List vào thư mục, thay đổi tên quản trị thư mục, thiết lập việc truy cập CA tới nhiều thư mục, xác thực việc truy cập CA vào hệ thống thư mục Quản lý quản trị viên an ninh: Quản trị hệ thống CA cịn có chức quan trọng quản lý quản trị viên an ninh Nhiệm vụ bao gồm việc thêm / bớt quản trị viên an ninh vào hệ thống, cấp phát lại chứng sách quản trị viên an ninh, quản lý hồ sơ quản trị viên an ninh,…   Customize sách bảo mật CA: Quản trị hệ thống CA thay đổi thiết lập, thay đổi giải thuật hay độ dài khóa mã CA   Quản lý liệu quản trị viên an ninh: Thao tác với sở liệu hệ thống PKI bao gồm cặp khóa ký CA, lịch sử cặp khóa mã hóa người dùng, thơng tin người dùng,… Thao tác với Hardware Security Module: Sử dụng thiết bị bảo mật chuyên dụng dùng để lưu trữ cặp khóa ký CA để ký cho chứng số mà CA phát hành hay cặp khóa để bảo mật cho sở liệu sử dụng hệ thống CA 3.4.1.2 Quản trị viên an ninh Quản trị viên an ninh quản trị hệ thống CA cấp quyền thực thao tác quản trị Quản trị viên an ninh người thiết lập sách bảo mật cho hệ thống CA Ngồi ra, quản trị viên an ninh cịn thực chức khác 126  Thiết lập hệ thống CA cho phù hợp với sách bảo mật  Quản lý quản trị viên (thay đổi mật quản trị, thêm / bớt quyền cho  người quản trị,…) Quan hệ chứng thực với nhà cung cấp CA khác 3.3.1.3 Quản trị viên Quản trị viên người thi hành tác vụ hệ thống CA Các chức quản trị viên là:     Thiết đặt hoạt động hệ thống CA: thiết lập sách bảo mật hệ thống, rules, tính chất chứng chỉ, sách người dùng,… Quản lý mã kích hoạt: quản trị viên định cách thức phân phối mã kích hoạt cho hoạt động xin cấp chứng số qua kênh khác điện thoại, email, Quản trị người dùng: quản trị viên có quyền tìm kiếm, thêm / bớt hay kích hoạt / vơ hiệu hóa / tái kích hoạt, thu hồi / khơi phục chứng người dùng thiết lập thời gian hoạt động khóa Quản trị viên có chức thực tác vụ liên quan đến người dùng thay đổi profile, thêm / xóa người dùng, thay đổi thuộc tính, hạn chế quyền, cập nhật cặp khóa hay lưu trữ chứng người dùng vào thư mục Cấu hình cặp khóa người dùng: quản trị viên xác định mơ hình cặp khóa tốt để áp dụng cho người dùng hay nhóm người dung, áp dụng sách chứng để tạo cặp khóa tùy biến cho loại đối tượng khác 3.3.1.4 Quản trị hệ thống directory Quản trị hệ thống directory có chức thực tác vụ liên quan đến thông tin hệ thống thư mục hệ thống CA, cụ thể thêm/bớt người dùng thư mục thêm/bớt hay thay đổi thơng tin thuộc tính người dùng hệ thống thư mục 3.3.1.5 Kiểm soát viên Kiểm soát viên người kiểm soát hoạt động hệ thống, có quyền định rõ thơng qua quy tắc Entrust Authority Security Manager Administration Kiểm sốt viên có quyền xem file nhật ký, báo cáo, sách bảo mật, thuộc tính người dùng khơng có quyền thay đổi thơng tin 127 3.3.2 Vận hành hệ thống 3.3.2.1 Qui trình cấp phát chứng Qui trình cấp phát chứng gồm bước:       Bước – Quản trị viên an ninh tạo người dùng theo thông tin người dùng đăng ký Thêm thông tin chứng số: kiểu user, kiểu chứng số Các thao tác thực máy RA gửi yêu cầu tới CA server Bước – CA server yêu cầu tạo người dùng tình trạng chưa kích hoạt, tạo thư mục cho người dùng database, tạo số tham chiếu mã quyền hạn cho người dùng Bước – Gửi trả thơng số lại cho người dùng Bước – Người dùng sau nhận thông số CA gửi cho tạo profile client PC, sau nhập số tham chiếu mã quyền hạn, tạo profile, tạo khoá ký tạo yêu cầu cấp chứng số để gửi tới CA server Bước – CA server nhận yêu cầu từ người dùng tạo khoá mã hóa riêng, mã khố cơng khai cho người dùng, tạo chứng số theo yêu cầu, tạo profile cho người dùng CA, thêm chứng số khoá vào profile database Sau gửi profile lại cho người dùng, thêm mã khoá public chứng số vào database Lúc người dùng trạng thái kích hoạt Bước – Profile người dùng tái tạo lại cho client PC Chứng số root danh sách chứng số bị thu hồi gửi tới cho client PC 3.3.2.2 Qui trình cập nhật chứng Quy trình thực việc cập nhật chứng số có bước:  Bước – máy client thông báo cập nhật khoá chứng số thời hạn hiệu lực chứng số hết Bước – Người dùng gửi yêu cầu cập nhật tới CA server  Bước – CA server tạo chứng số dựa database cũ người dùng database CA Trên sở liệu dạng cây, thư mục người dùng cập nhật, với việc cập nhật database CA Chứng số khoá gửi lại cho client   Bước – người dùng nhận chứng số khoá từ CA server, sau cập nhật lại profile họ 128 3.3.2.3 Qui trình hủy bỏ chứng Việc hủy bỏ chứng (do khóa bí mật bị lộ hay người dùng nghỉ việc) phải trải qua giai đoạn Khởi tạo yêu cầu hủy chứng Để yêu cầu hủy chứng chỉ, người dùng phải cung cấp thông tin sau:  Serial number chứng cần hủy  Mật bảo vệ mà người dùng cung cấp yêu cầu cấp chứng chỉ, tránh trường hợp người dùng yêu cầu hủy chứng khơng phải Sau có u cầu hủy chứng chỉ, yêu cầu chuyển đến Trung tâm CA xử lý Kiểm tra yêu cầu Trung tâm CA tiến hành kiểm tra nội dung yêu cầu nhận yêu cầu hủy chứng  Kiểm tra serial number chứng yêu cầu hủy có tồn kho chứng không?  Kiểm tra mật mà người dùng cung cấp có khớp với chứng có serial number khơng? Nếu bước kiểm tra không thành công, trung tâm CA gửi thông báo lỗi cho người dùng Nếu kiểm tra thấy đúng, hệ thống ghi lại serial number chứng vào danh sách chứng chấp nhận hủy gửi thông báo “chấp nhận hủy bỏ chứng chỉ” cho người dùng Chứng thức bị hủy hệ thống thực cập nhật Certificate Revocation List Cập nhật Certificate Revocation List Certificate Revocation List cập nhật định kỳ Khi đến kỳ hạn, Certificate Revocation List cập nhật Việc cập nhật Certificate Revocation List cụ thể sau:  Thêm vào Certificate Revocation List danh sách chứng chấp  nhận hủy Cập nhật trường “last update” “next update”  CA ký vào Certificate Revocation List vừa cập nhật Khi Certificate Revocation List cập nhật xong, CA xóa chứng tương ứng kho Nếu việc hủy chứng yêu cầu từ CA, bước tiến hành sau: 129  Kiểm tra điều kiện hủy: kiểm tra chứng có thỏa mãn điều kiện chứng có kho – chứng chưa hết hạn – chứng Certificate Revocation List – chứng khơng có danh sách chấp nhận hủy chờ cập nhật Certificate Revocation List Cập nhật Certificate Revocation List   Xóa chứng bị hủy  Gửi thơng báo cho client client yêu cầu thông tin tình trạng chứng 3.4 BỔ SUNG CƠ SỞ PHÁP LÝ ĐỂ ÁP DỤNG PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG Như nói trên, song song với việc xây dựng hạ tầng công nghệ phải xây dựng khung pháp lý cho nó, đề cập đến khía cạnh pháp lý việc sử dụng trực tiếp hệ thống CA xây dựng, có sách cần phải hồn thành Bộ sách chứng Bộ thủ tục thi hành chứng Phương pháp xây dựng sách nên tham khảo Bộ sách chứng (CP) Bộ thủ tục thi hành chứng (CPS) số đơn vị nước triển khai CA, Bộ sách chứng Bộ thủ tục thi hành chứng áp dụng cho hệ thống đấu thầu qua mạng bao gồm nội dung sau: Bộ sách chứng (CP) Chương 1: Giới thiệu  Chương 2: Các điều khoản chung Các định nghĩa - định danh o Điều Certificate Authority – CA  o Điều Registraion Authority – RA o Điều Đối tượng sử dụng hệ thống o Điều Phạm vi ứng dụng o Điều Định danh sách Các nhiệm vụ o Điều Nhiệm vụ CA o Điều Nhiệm vụ RA o Điều Nghĩa vụ người dùng Phân loại mục đích sử dụng chứng 130 o o Điều Chứng cho hệ thống CA Điều 10 Phạm vi sử dụng chứng người dùng nội Điều 11 Phạm vi sử dụng chứng người dùng Chương 3: Các trách nhiệm công bố thông tin o Điều 12 Kho liệu o Điều 13 Nội dung thông tin công bố o Điều 14 Trách nhiệm công bố thông tin o Điều 15 Quyền truy cập thông tin o Điều 16 Phạm vi thông tin công bố, nơi lưu trữ o Điều 17 Thời gian tần suất cập nhật thông tin Chương 4: Các vấn đề luật pháp cơng việc o Điều 18 Chi phí chứng người dùng nhóm o Điều 19 Chi phí chứng người dùng nhóm o Điều 20 Trách nhiệm tài o   Điều 21 Tính bí mật thơng tin nghiệp vụ o Điều 22 Các vấn đề quyền sở hữu Chương 5: Kiểm toán đánh giá o Điều 23 Thông số đánh giá o Điều 24 Tần xuất thực o Điều 25 Tiêu chuẩn người kiểm toán o Điều 26 Thủ tục đánh giá, kiểm toán Chương 6: Bảo vệ thông tin cá nhân o Điều 27 Các dạng thơng tin cá nhân cần bí mật o Điều 28 Bảo đảm tính riêng tư thơng tin cá nhân o   Điều 29 Bảo vệ thông tin cá nhân công bố danh sách thu hồi tạm dừng chứng o Điều 30 Chuyển giao thông tin cá nhân cho quan phát luật Chương 7: Các hoạt động o Điều 31 Phát hành chứng o Điều 32 Thừa nhận chứng o  Điều 33 Điều kiện hủy bỏ chứng o Điều 34 Yêu cầu thu hồi chứng o 131 o o Điều 35 Thủ tục yêu cầu thu hồi chứng Điều 36 Ra hạn thu hồi chứng Điều 37 Điều kiện tạm dừng sử dụng chứng o Điều 38 Yêu cầu tạm dừng sử dụng chứng o Điều 39 Thủ tục yêu cầu tạm dừng sử dụng chứng o Điều 40 Thời gian phát hành danh sách thu hồi o Điều 41 Kiểm tra danh sách thu hồi o Điều 42 Sử dụng phương pháp lưu phục hồi liệu o Điều 43 Khơi phục hệ thống khóa CA bị lộ o Điều 44 Đặt sách bảo mật sau thảm họa xảy o Điều 45 Lưu khóa phục hồi o Điều 46 Kết thúc hoạt động CA Chương 8: Yêu cầu an toàn mức vật lý, thủ tục nhân viên o Điều 47 Các yêu cầu an toàn mức vật lý o Điều 48 Hạn chế truy cập vật lý o Điều 49 Thủ tục bảo đảm an toàn cho hệ thống CA o  Điều 50 Yêu cầu lực, phẩm chất, kinh nghiệm nhân viên o Điều 51 Thủ tục kiểm tra đầu vào o Điều 52 Yêu cầu đào tạo o Điều 53 Yêu cầu thời gian đào tạo lại Chương 9: Các điều khoản kỹ thuật o Điều 54 Số lượng cặp khóa o Điều 55 Độ dài khóa o  Điều 56 Tạo chuyển khóa riêng tới người dùng cuối o Điều 57 Thiết bị lưu trữ khóa o o Điều 58 Bảo vệ khóa riêng module mã hóa o Điều 59 Thời gian sử dụng cặp khóa o Điều 60 Điều kiện cập nhật khóa o Điều 61 Sao lưu khóa riêng o Điều 62 Khơi phục khóa riêng o Điều 63 Quy tắc lưu trữ khóa riêng 132 o o Điều 64 Phương thức kích hoạt khóa riêng Điều 65 Chống công Điều 66 Chống xâm nhập o Điều 67 Quy tắt đặt mật cho thiết bị lưu khóa o Điều 68 Time-stamping o Điều 69 u cầu an tồn cho máy tính cài đặt hệ thống CA Chương 10: Khuôn dạng chứng chỉ, CRL, OCSP o Điều 70 Khuôn dạng chứng o Điều 71 Tính tương thích o Điều 72 Định dạng tên o  o Điều 73 Quy tắc đặt tên đối tượng cấp chứng o Điều 74 Thuật tốn sử dụng mã ký thơng điệp o Điều 75 Khuôn dạng CRL o Điều 76 Khuôn dạng OCSP 133 ́ KÊT LUÂN Hệ thống đấu thầu qua mạng Dự án lớn, liên quan đến nhiều đối tượng bao gồm nhiều hợp phần có hợp phần quan trọng hạ tầng khố cơng khai Việc xây dựng hệ thống khơng đơn giản vấn đề cơng nghệ thách thức lớn Kết luận văn gồm có: Nghiên cứu tìm hiểu qua tài liệu thực tế để hệ thống lại vấn đề sau: i ii Tổng quan đấu thầu qua mạng máy tính Tổng quan hạ tầng sở mật mã khố cơng khai Trình bày đề xuất ứng dụng Hạ tầng sở mật mã khố cơng khai để đảm bảo an tồn thơng tin cho hệ thống đấu thầu qua mạng Vào thời điểm hoàn thành luận văn này, hệ thống đấu thầu qua mạng đến giai đoạn lập Báo cáo nghiên cứu khả thi, giải pháp NVLV trình bày đúc rút từ kinh nghiệm triển khai hệ thống đấu thầu qua mạng nước phát triển đấu thầu qua mạng giới Hàn Quốc, Anh, Canada, … từ thực tế triển khai CA cho hệ thống có yêu cầu tương tự bảo mật hệ thống ngân hàng, kho bạc nên giải pháp chưa thử thách thực tế Giải pháp áp dụng thực tế sau hệ thống đấu thầu qua mạng xây dựng xong giống khác chút, nhiên NVLV tin tưởng kết trình bày luận văn sở để xây dựng thành công PKI cho hệ thống đấu thầu qua mạng Việt Nam 134 TÀI LIỆU THAM KHẢO [1] Phan Đình Diệu, Lý thuyết mật mã An tồn thơng tin Đại học Cơng nghệ, Đại học Quốc Gia Hà Nội, 1999 [2] Báo cáo đề tài “Nghiên cứu, xây dựng giải pháp bảo mật thông tin TMĐT”, Ban Cơ yếu Chính phủ, 2004 [3] Nghị định 26/2007/NĐ-CP ngày 15/02/2007 Chính phủ quy định chi tiết thi hành Luật giao dịch điện tử chữ ký số dịch vụ chứng thực chữ ký số [4] Dự thảo Báo cáo nghiên cứu khả thi Dự án “Ứng dụng TMĐT mua sắm Chính phủ”, Vụ Quản lý Đấu thầu, Bộ Kế hoạch Đầu tư, 2008 [5] D Stinson, Cryptography Theory and Practice, CRC Press, 1995 [6] B.Schneider, "Applied Cryptography", 2nd edition, Wiley, 1995 [7] UNCITRAL (United Nations Commission on International Trade Law) Model Law on Electronic Signatures, 2001 [8] [9] Bruce Schneider, Applied Cryptography, 2nd edition, 1996 Public Procurement Service, Standardazation of e-Procurement, International Conference on e-Procurement, 2005 [10] Chris Min Jang, PKI based Secure e-Procurement, Digital Signature & Public Key Infrastructure, International Conference on e-Procurement, 2005 [11] Kapil Raina, PKI Security Solutions for the Enterprise: Solving HIPAA, E-Paper Act, and Other Compliance Issues, Wiley Publishing, Inc, 2003 [12] Rashmi Grover, Implementing PKI, Tata Infotech Research Group, 1999 [13] Marc Branchaud, A survey of public key infrashstructures, Department of Computer Science, McGill University, Montreal, 1997 [14] Steve Purser, Stepping Beyond the PKI Pilot, Cross-Border Security Design and Administration at Clearstream Services, Luxembourg, 2004 [15] Sebastian Fritsch, Diploma Thesis, Towards Secure Electronic Workflows Examples of Applied PKI, Department of Computer Science, Darmstadt University of Technology, 2006 Đánh giá sơ 135 [16] JoelWeise, Public Key Infrastructure Overview, Sun Global Security Practice, 2001 [17] Tim Moses, PKI trust Models [18] Carl Ellison, Bruce Schneier, Ten Risks of PKI: What You’re not Being Told about Public Key Infrastructure, Computer Security Journal, Volume XVI, Number 1, 2000 ... Chương ỨNG DỤNG HẠ TẦNG MẬT MÃ KHỐ CƠNG KHAI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 3.1 KHẢ NĂNG ĐÁP ỨNG CỦA PKI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG 3.1.1 Yêu cầu bảo mật đấu thầu qua mạng. .. TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHẠM THY HÙNG NGHIÊN CỨU ỨNG DỤNG HẠ TẦNG CƠ SỞ MẬT MÃ KHỐ CƠNG KHAI CHO HỆ THỐNG ĐẤU THẦU QUA MẠNG Ngành: Công Nghệ thông Tin Mã số: 1.01.10 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG... Chương - Ứng dụng hạ tầng khố cơng khai cho hệ thống đấu thầu qua mạng Phần phân tích đặc thù yêu cầu bảo mật hệ thống đấu thầu qua mạng, sở xem xét thực tế, tiến độ xây dựng hạ tầng khoá công khai