Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 121 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
121
Dung lượng
1,56 MB
Nội dung
Bộ giáo dục đào tạo trường đại học bách khoa hà nội - Luận văn thạc sĩ khoa học Bảo mật thông tin sử dụng sở hạ tầng khoá công khai (PKI) Ngành: Điện tử Viễn thông MÃ số: Học viên: Bùi ánh Dương Người hướng dẫn khoa học: PGS TS Nguyễn Việt Hương Hà nội 2006 MỤC LỤC DANH MỤC CÁC CHỮ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ MỞ ĐẦU Chương TỔNG QUAN VỀ PKI 1.1 Khái quát 1.2 Kỹ thuật mật mã 10 1.2.1 Mật mã khoá bảo mật 10 1.2.2 Mật mã khố cơng khai 11 1.2.3 Kết hợp kỹ thuật mã hoá đối xứng bất đối xứng 12 1.3 Các phần tử hệ thống PKI 13 1.3.1 Khoá 14 1.3.2 Chữ ký số 15 1.3.3 Chứng thực điện tử 17 1.3.4 Chủ thể đối tượng sử dụng (EE) 19 1.3.5 Đối tượng quản lý chứng thực điện tử (CA) 19 1.3.6 Đối tượng quản lý đăng ký chứng thực điện tử (RA) 20 1.4 Các dịch vụ phạm vi ứng dụng PKI 21 1.4.1 Các yêu cầu an toàn an ninh thông tin 21 1.4.2 Khả đáp ứng dịch vụ sử dụng PKI 22 1.4.3 Các ứng dụng bảo mật dựa hệ thống PKI 23 Chương CÁC MƠ HÌNH TRIỂN KHAI HỆ THỐNG PKI 26 2.1 Kiến trúc CA đơn 26 2.1.1 Ưu điểm kiến trúc CA đơn 27 2.1.2 Nhược điểm kiến trúc CA đơn 27 2.2 Kiến trúc danh sách tin cậy 27 2.2.1 Ưu điểm kiến trúc PKI danh sách tin cậy 29 2.2.2 Nhược điểm kiến trúc PKI danh sách tin cậy 29 2.3 Kiến trúc PKI phân cấp 30 2.3.1 Ưu điểm kiến trúc PKI phân cấp 32 2.3.2 Khuyết điểm kiến trúc PKI phân cấp 34 2.4 Kiến trúc PKI mạng lưới 34 2.4.1 Ưu điểm kiến trúc PKI mạng lưới 36 2.4.2 Nhược điểm kiến trúc PKI mạng lưới 37 2.5 Kiến trúc PKI lai ghép 37 2.5.1 Kiến trúc danh sách mở rộng 39 2.5.2 Kiến trúc PKI xác minh chéo 40 Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) 2.5.3 Kiến trúc CA cầu nối 42 2.6 Lựa chọn kiến trúc PKI 45 Chương CÁC CHUẨN VÀ GIAO THỨC QUẢN LÝ PKI 46 3.1 Các giao thức quản lý PKI 46 3.1.1 PKCS#10 46 3.1.2 PKCS#7 51 3.1.3 Giao thức quản lý chứng thực điện tử CMP 58 3.1.4 Quản lý chứng thực sử dụng CMS (CMC) 61 3.1.5 Giao thức cung cấp thông tin đăng ký chứng thực đơn giản 62 3.2 Họ chuẩn X 63 3.2.1 X.500 64 3.2.2 X.509 66 Chương QUẢN LÝ CHỨNG THỰC ĐIỆN TỬ 69 4.1 Chính sách tài liệu cam kết thực chứng thực điện tử 69 4.2 Yêu cầu đăng ký chứng thực điện tử RA 70 4.2.1 Đăng ký chứng thực điện tử 71 4.2.2 Tạo khóa 72 4.3 Bảo trì khố chứng thực điện tử 72 4.3.1 Sao lưu khoá 72 4.3.2 Chứng thực hết hạn lưu giữ chứng thực 73 4.3.3 Cập nhật chứng thực điện tử 73 4.3.4 Phát hành nhiều chứng thực cho người sử dụng 74 4.4 Tìm kiếm xác minh chứng thực điện tử 75 4.4.1 Tìm kiếm chứng thực điện tử 75 4.4.2 Xác minh tính hợp lệ chứng thực điện tử 76 4.5 Các phương pháp thu hồi chứng thực điện tử 78 4.5.1 CRL 78 4.5.2 Giao thức xác minh trực tuyến trạng thái chứng thực điện tử 83 Chương THIẾT KẾ HỆ THỐNG CHỨNG THỰC ĐIỆN TỬ ỨNG DỤNG TRONG NGÀNH HẢI QUAN 86 5.1 Quy trình nghiệp vụ hệ thống thơng quan điện tử hải quan 87 5.2 Mơ hình truyền thơng 88 5.3 Thiết kế hệ thống chứng thực điện tử cho ngành Hải quan 91 5.3.1 Mơ hình tổ chức ngành Hải quan 92 5.3.2 Lựa chọn mơ hình thiết kế CA 93 5.3.3 Các thành phần chức hệ thống CA 98 5.3.4 Các thông số kỹ thuật Entrust 103 5.3.5 Thời gian hiệu lực khoá 104 5.3.6 Danh sách chứng thực bị huỷ bỏ (CRL) 104 Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) 5.3.7 Lựa chọn mơ hình tích hợp hệ thống Windows Active Directory 105 5.3.8 Thiết kế vai trị sách người dùng 109 5.3.9 Chính sách người dùng hệ thống Security Manager 112 5.3.10 Quyền hạn người dùng hệ thống Entrust CA hệ thống dịch vụ thư mục 113 5.3.11 Thiết kế vật lý hệ thống CA 114 5.3.12 Lựa chọn thiết bị 116 KẾT LUẬN 118 TÀI LIỆU THAM KHẢO 119 TÓM TẮT LUẬN VĂN 120 Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) DANH MỤC CÁC CHỮ VIẾT TẮT AES CA CMC CMP CMS CPS CRL DES DN DSA DSA DUA ECC EE EFS HTTP IDEA IPSec L2TP LDAP NIST OCSP PKI PKCS PIN PPTP RA RSA SCEP SSL VPN Advanced Encryption Standard Certification Authority Certificate Management using CMS Certificate Management Protocol Cryptographic Message Syntax Certification Practice Statement Certificate Revocation List Data Encryption Standard Distinguished Name Digital Signature Algorithm Directory Service Agents Directory User Agent Elliptic Curves End-Entity Encryption File System Hypertext Transfer Protocol International Data Encryption Algorithm Internet Protocol Security Layer Tunneling Protocol Lightweight Directory Access Protocol The National Institute of Standards and Technology Online Certificate Status Protocol Public Key Infrastructure Public-Key Cryptography Standards Personal Identification Number Point-to-Point Tunneling Protocol Registration Authority Rivest, Shamir, and Adleman Simple Certificate Enrollment Protocol Secure Sockets Layer Virtual Private Network Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) DANH MỤC CÁC HÌNH VẼ Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình 1.1 Mật mã khoá đối xứng 11 1.2 Mật mã khố cơng khai 11 1.3 Kết hợp hai kỹ thuật mật mã tuyền tin 13 1.4 Các phần tử hệ thống PKI 14 1.5 Quá trình tạo chữ ký số 16 1.6 Xác thực tin ký số 17 1.7 Chứng thực điện tử 18 1.8 Các ứng dụng dựa PKI 24 2.1 Kiến trúc CA đơn 26 2.2 Kiến trúc PKI danh sách tin cậy 28 2.3 Tin cậy CA 29 2.4 Kiến trúc PKI phân cấp 31 2.5 Đường dẫn chứng thực kiến trúc PKI phân cấp 32 2.6 Đưa thêm CA vào mức CA gốc 33 2.7 Đưa thêm CA vào mức CA cấp cao 33 2.8 Kiến trúc PKI mạng lưới 35 2.9 Đường dẫn chứng thực kiến trúc PKI mắt lưới 36 2.10 Kiến trúc PKI lai ghép 38 2.11 Danh sách tin cậy mở rộng 39 2.12 Kiến trúc PKI xác minh chéo 41 2.13 Đường dẫn chứng thực kiến trúc PKI xác minh chéo 42 2.14 Kiến trúc CA cầu nối 44 2.15 Đường dẫn chứng thực kiến trúc CA cầu nối 44 3.1 Khuôn dạng yêu cầu chứng thực sử dụng PKCS#10 47 3.2 Cây thông tin thư mục (DIT) 64 3.3 X.509 v3 68 3.4 Tạo chữ ký số cho chứng thực 68 4.1 Quá trình đăng ký chứng thực 72 4.2 Đường dẫn chứng thực từ Alice tới Bob 77 4.3 CRL V2 80 4.4 Xác minh chứng thực nhờ sử dụng redirect CRL 83 4.5 Truy vấn thông tin trạng thái chứng thực 84 5.1 Mạng WAN Hải quan 89 5.2 Cấu trúc toàn ngành Hải Quan 92 5.3 Mô hình logic hệ thống CA TCHQ 94 5.4 Khai báo hải quan điện tử dùng USB Token 98 5.5 Thời gian hiệu lực khoá cho người sử dụng 104 Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) Hình Hình Hình Hình 5.6 Mơ hình Cross Domain CA – All Domain AD configuration 106 5.7 Mơ hình Subordinate CA in a Child Domain 107 5.8 Thiết kế vật lý tổng cục Hải quan 115 5.9 Thiết kế vật lý cục Hải quan 116 Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) MỞ ĐẦU Trong vài năm trở lại đây, hạ tầng truyền thông IT ngày mở rộng phần lớn người sử dụng dựa tảng để truyền thông, giao dịch, trao đổi thư điện tử với đồng nghiệp đối tác kinh doanh Rất nhiều thông tin nhạy cảm, quan trọng lưu trữ trao đổi hình thức điện tử Sự thay đổi hoạt động truyền thông đồng nghĩa với nhu cầu phải có biện pháp bảo vệ tổ chức, doanh nghiệp trước nguy lừa đảo, can thiệp, công, phá hoại vơ tình tiết lộ thơng tin Kiến trúc sở hạ tầng khố cơng khai (PKI - Public Key Infrastructure) tiêu chuẩn, cơng nghệ ứng dụng coi giải pháp tổng hợp độc lập để sử dụng nhằm giải vấn đề PKI cơng nghệ xác thực, hồn thiện sử dụng phương pháp mã hố dựa khố bí mật khố cơng khai, cho phép tạo quan hệ tin cậy chứng thực tổ chức khác PKI cho phép bắt đầu với phạm vi quan hệ tin cậy không lớn tạo khả mở rộng quy mô tương lai Với mục tiêu tìm hiểu, nghiên cứu đặc trưng hoạt động hệ thống PKI, luận văn bàn khái niệm, thành phần mơ hình hoạt động chức hệ thống Trên sở kết nghiên cứu tiến hành thiết kế mơ hình PKI áp dụng thực tiễn Đây cách để hiểu rõ hệ thống PKI, yêu cầu trình thiết kế, triển khai hệ thống lợi ích mà hệ thống mang lại Cuối cùng, em xin chân thành cám ơn PGS.TS Nguyễn Việt Hương, người tận tình hướng dẫn, gợi mở nhiều điều giúp em hồn thành luận văn Tơi xin cám ơn bạn học viên cao học khoá 2004-2006 Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) nhóm chia sẻ kiến thức, kinh nghiệm để tơi hồn thiện luận văn cách tốt Hà Nội, tháng 11 năm 2006 Học viên Bùi Ánh Dương Bảo mật thơng tin sử dụng sở hạ tầng khố công khai (PKI) Chương TỔNG QUAN VỀ PKI Ngày nay, Internet xem sở hạ tầng thông tin rộng lớn Nhiều tổ chức cá nhân sử dụng Internet để giao dịch trực tuyến phục vụ mục đích thương mại Tuy nhiên Internet dựa TCP/IP giao thức truyền thông không đề cập tới vấn đề bảo mật q trình thiết kế Do đó, địi hỏi cần phải có chế tin cậy để trao đổi thơng tin Internet cách an tồn Cơ sở hạ tầng khố cơng khai PKI gắn liền với chứng thực điện tử (Digital Certificate) giải pháp hữu hiệu cung cấp kênh truyền thông bảo mật để trao đổi thông tin Internet 1.1 Khái qt Có thể nói rằng, TCP/IP ngơn ngữ Internet cịn PKI đảm bảo an tồn cho việc trao đổi thơng tin ngơn ngữ PKI đảm bảo tin cậy (trust) xây dựng sở hạ tầng TCP/IP (Internet) PKI xây dựng dựa tảng kỹ thuật mật mã Thành phần cốt lõi hệ thống PKI chứng thực điện tử, chứa hai thành phần thơng tin định danh khố cơng khai đối tượng sử dụng Các chứng thực điện tử đối tượng quản lý chứng thực điện tử (CA Certification Authority) tạo ký với phương thức chữ ký số Trong hệ thống PKI toàn diện, đối tượng quản lý đăng ký cấp phát chứng thực (RA – Registration Authority) thường tách riêng khỏi CA RA không tạo chứng thực điện tử mà làm nhiệm vụ xác minh đối tượng truyền thông để CA cấp phát chứng thực điện tử cho đối tượng Như tên gọi nó, PKI dịch vụ cho dịch vụ an toàn an ninh dựa chứng thực điện tử Trong hệ thống này, PKI đảm nhận Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) 106 5.3.7.1 Cross Domain CA – All Domain AD configuration Ở đây, CA “rừng” (forest) AD cấp phát chứng thực điện tử cho người dùng rừng (hình 5.6) Mơ hình thích hợp với tổ chức nhỏ với số lượng Domain AD (Subordinate AD Domain) số lượng người dùng cần cấp chứng thực (Certificate) khơng nhiều Hình 5.6 Mơ hình Cross Domain CA – All Domain AD configuration 5.3.7.2 Subordinate CA in a Child Domain Mỗi Domain AD AD tương ứng Domain CA CA Có mối quan hệ 1-1 tương ứng hai (hình 5.7) Mơ hình thích hợp với tổ chức lớn, có số lượng Domain AD con, số lượng người dùng cần cấp Certificate lớn Trong mơ hình Root CA Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) 107 ngồi việc cấp chứng thực cho người dùng Root AD cấp chứng thực cho Sub CA Các Sub CA cấp chứng thực cho người dùng Sub AD tương ứng cịn cấp chứng thực cho Sub CA cấp thấp có, vv… Người quản trị cấp Root AD, CA thiết lập sách chung cho tồn tổ chức, cơng việc tạo chứng thực thiết lập sách chi tiết Sub AD, CA chia sẻ cho quản trị viên cấp tương ứng Hình 5.7 Mơ hình Subordinate CA in a Child Domain Do nghành Hải quan tổ chức lớn, với nhiều cấp, nhiều người dùng nên mơ hình lựa chọn hợp lý là: Subordinate CA in a Child Domain Nhằm đảm bảo an toàn, an ninh mạng cao giảm bớt tải máy chủ cấp Root, đề xuất: Tại Root AD, CA ta không trực tiếp tạo, quản lý người dùng mà tạo sub AD, CA riêng cho văn phịng cấp trung ương Bảo mật thơng tin sử dụng sở hạ tầng khố cơng khai (PKI) 108 Ta có mơ hình thiết kế hệ thống AD sau: Thiết kế hệ thống sử dụng forest có khơng gian tên haiquan.vn Mỗi domain có khơng gian tên riêng Cuc.haiquan.vn thừa phần không gian tên chung Hê thống domain phân cấp bao gồm: • Hệ thống domain thiết kế với hai mức phân cấp tương ứng với mức root mức cục Các chi cục dùng chung domain với Cục • Domain root đặt mức cao với tên dns haiquan.vn • Các domain cấp hai (domain root) tương đương với cấp Cục Đối với mơ hình phân cấp ngành Hải quan có 33 cục nên hệ thống thiết kế có tương ứng 33 domain cho Cục Riêng domain Văn phòng Tổng cục Hải quan thiết kế cục Do có tổng thể 34 domain cấp hai • Do chi cục dùng chung domain với Cục nên văn phịng chi cục bố trí Domain Controller, Domain Controler đồng liệu với toàn domain Cục qua đường kết nối mạng WAN Việc đồng liệu tối ưu hố thơng qua thiết kế site, chi cục site kết nối với qua site gốc Cục Như trình tích hợp máy chủ LDAP hệ thống CA hệ thống AD có đặc điểm sau: • Root CA thuộc Root Domain • Các Sub-CA thuộc Domain cấp cục tương ứng • Mỗi Sub-CA cấp quản lý chứng thực đối tượng Domain Bảo mật thơng tin sử dụng sở hạ tầng khố cơng khai (PKI) 109 • Quy chuẩn đặt tên thành phần hệ thống CA tuân thủ theo chuẩn đặt tên hệ thống AD Trong Domain nhóm người dùng bên nội (Internal User) Cục Hải quan vào OU nhóm người dùng bên (External User) Doanh nghiệp vào OU khác để áp sách bảo mật phân quyền khác cho OU 5.3.8 Thiết kế vai trị sách người dùng Security Manager chia người dùng làm hai loại theo mức độ tương tác với hệ thống CA sau: • Vai trị người dùng quản trị (Administrative Roles) định nghĩa người có quyền truy cập đến chức cấu hình, quản trị hệ thống CA • Vai trị người dùng cuối (End User Roles) dành cho người dùng với chức cài đặt ứng dụng đầu cuối Security Manager cho phép tạo role quản trị người dùng cuối để đáp ứng yêu cầu đặc thù tổ chức Các Role mặc định hệ thống Security Manager sau: Master User, Security Officer, Administrator, End User, Directory Administrator, Auditor 5.3.8.1 Master User Role dành cho đối tượng có mức độ tin cậy cao hệ thống Cùng với Security Officer, đối tượng cần thiết cho trình cài dặt khởi tạo hệ thống Master User cần truy cập vật lý vào máy chủ Security Manager để thực chức quản trị thơng qua Security Manager Control Master User có chức sau: Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) 110 • Chạy dừng dịch vụ Entrust • Phục hồi khố cho Security Officer • Sao lưu phục hồi sở liệu Mặc định, sửa đổi role kế thừa để tạo role 5.3.8.2 Security Officer Role dành cho số đối tượng có mức độ tin cậy cao hệ thống Các đối tượng quản trị hệ thống thông qua giao diện Security Manager Administration cho chức sau: • Cấu hình Security Manager để hệ thống tương thích với sách bảo mật hệ thống • Thêm/ xoá đối tượng khác Security Officer, Administrator, Auditor Directory Administrator • Tạo xác thực chéo với CA khác 5.3.8.3 Administrator Role dành cho đối tượng có độ tin cậy cao hệ thống Phục thuộc vào quy mô người dùng toàn hệ thống, để tăng cường mức độ thuận tiện quản trị tạo số đối tượng thuộc Role Các Administrator sử dụng giao diện Security Manager Administration để thực chức sau: • Kích hoạt, huỷ kích hoạt, tái kích hoạt người dùng hệ thống CA • Thay đổi DN cảu người dùng hệ thống CA • Thu hồi chứng thực • Phục hồi người dùng hệ thống CA Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) 111 5.3.8.4 End User Role dành cho người dùng hệ thống CA khơng có chức quản trị Người dùng với role đăng nhập vào giao diện Security Manager Administration Chúng ta thay đổi số thuộc tính role này, dùng role để tạo nên role tuỳ biến khác 5.3.8.5 Directory Administrator Role dành cho số đối tượng có độ tin cậy cao hệ thống Directory Administrator dùng công cụ Directory Browser Security Manager Administrator để thực số chức liên quan đến Directory sau: • Thêm xố hạng mục Directory Tuy nhiên Entrust CA tương tác với MS Actove Directory chức khơng kích hoạt Chúng ta phải dùng công cụ Active Directory để thực cơng việc • Thêm số thuộc tính cho hạng mục Directory • Thay đổi DN hạng mục Directory Tuy nhiên Entrust CA tương tác với MS Actove Directory chức không kích hoạt Chúng ta phải dùng cơng cụ Active Directory để thực công việc 5.3.8.6 Auditor Role dùng cho số đối tượng có độ tin cậy cao hệ thống Các Auditor sử dụng giao diện Security Manager Administration có quyền xem mà khơng có quyền sử đổi audit log, sách bảo mật, thuộc tính người dùng Bảo mật thơng tin sử dụng sở hạ tầng khố cơng khai (PKI) 112 Chúng ta thay đổi số thuộc tính role này, dùng role làm sỏ để tạo nên role tuỳ biến khác Để đảm bảo tính mềm dẻo, đáp ứng yêu cầu đặc thù hệ thống, tạo thêm role gán quyền thích hợp cho chúng 5.3.9 Chính sách người dùng hệ thống Security Manager Mỗi loại người dùng hệ thống Security Manager điều khiển tập sách Tập sách định nghĩa chứng thực gọi sách người dùng (user policy), đơi cịn gọi chứng thực sách (policy ceritficates) Có hai loại user policy: • Client policies • Certificate Definition Policies 5.3.9.1 Client Policy Client Policy gắn kết với user role Một tập thiết lập áp dụng cho người dùng người dùng gán role Security Manager có số client policies mặc định cài đặt, là: • Secirity Officer Policy, tập sách dành cho Security Officers • Administrator Policy, tập sách dành cho Administrator, Auditor, Directory Administrator • End User Policy, tập sách dành cho tất end user • ASH Policy, tập sách cho CA • Server Login Policy, tập sách cho Administration Service Notification Service Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) 113 Do nhu cầu quản lý mềm dẻo đối tượng tổ chức, ta cần tạo Client Policy gán chúng cho role Có thể gán Client Policy cho nhiều role role có Client Policy khác Tuy nhiên khơng thể gán nhiều Client Policy cho role 5.3.9.2 Certificate Definition Policy Certificate Definition Policies gắn kết với định nghĩa chứng thực Security Manager có số Certificate Definition Policies mặc định cài đặt, là: • Encryption Policy, tập sách dành cho chứng thực mã hố (Encryption Certificate) • Verification Policy, tập sách dành cho Verification Certificate • NonRepudiation Policy, tập sách dành cho chứng thực khơng thể từ chối • EFS Policy, tập sách dàch cho loại thẻ EFS • DualUsage Policy, tập sách dành cho DualUsage Certificate • TruePass Server Verification Policy, tập sách dành cho TruePass Server Verification Certificate 5.3.10 Quyền hạn người dùng hệ thống Entrust CA hệ thống dịch vụ thư mục Trong hệ thống Entrust CA có ba loại đối tượng có quyền tương tác với hệ thống dịch vụ thư mục là: • Security Manager • Security Manager Administration Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) 114 • Entrust Desktop Client Khi tương tác với Active Directory, Security Manager cần có quyền hạn sau: • Tồn quyền đối tượng CA đối tượng tạo CA • Tồn quyền đối tượng CA tạo Certificate Authority Container, CA cấu hình root CA • Quyền đọc ghi lên thuộc tính CACertificate NTAuthCertificates Container, NTAuthCertificates Container cấu hình • Quyền đọc ghi lên thuộc tính userCertificate entrustAttributeCerrtificate end-user object Security Manager Entrust Desktop Client cần quyền đọc (read access) liệu Security Manager tạo CA Object sub object nó, thuộc tính userCertifficate, entrust-AttributeCertificate end-user object Ngồi Security Manager Entrust Desktop Client cịn cần có quyền “List Content” đến parent container end-user object Khi tích hợp Entrust với MS AD Directory Adminstrator khơng có quyền tạo entry mà ta phải dùng công cụ MS AD để tạo người dùng AD sau bổ xung người dùng vào Security Manager 5.3.11 Thiết kế vật lý hệ thống CA Hệ thống CA Tổng Cục thiết kế vật lý theo tiêu chí sau: Bảo mật thơng tin sử dụng sở hạ tầng khố cơng khai (PKI) 115 Nokia horizon Real secure manager server server RA Server File & Printer Servers TMCM URL Filter Caching and Filtering AV remover DB SQL CSDL Toàn ngành Management Net IDS management Web proxy ISP2 CA server Khu Văn phòng Tổng cục Mail Front-end Root DC External Servers Websrv01 Truyền tin ISA for Exchange WWW Public for Internet FTP Internet Edge Servers cho ngành Mail Back-end Vphq-dc Office scan Server Norton Server Proxy DB Oracles Sub CA Server ISP1 SUS File & Printer Servers SMS Mom TMCM RA Server Servers cho VPTC Checkpoint Firewall-1/VPN-1 DB SQL Core Router VLAN n Văn phòng Bà Triệu WWW Customs Net WAN HQ DB Oracles CSDL cho VPTCHQ Web Services Các cục HQ - BTC DB Servers Trans Net Các chi nhánh VLAN Buildings Wireless users Mobile users Hình 5.8 Thiết kế vật lý tổng cục Hải quan • Các máy chủ Security Manager, Security Manager Administration, máy trạm cài Entrust Entelligent đặt vùng Server có mức độ bảo mật cao • Trong mạng Tổng Cục có máy chủ: Root Security Manager Root Security Manager Administration • Trong mạng Cục Văn phịng Tổng Cục có máy chủ: Security Manager Security Manager Administration phần mềm cài Entelligent cài máy trạm người dùng nội hệ thống Ngoài có máy trạm riêng cài phần mềm Entelligent phục vụ trình tạo chứng thực quản trị chứng thực cho đối tượng người dùng bên ngồi hệ thống Bảo mật thơng tin sử dụng sở hạ tầng khố cơng khai (PKI) 116 RemoteAccess RemoteAccess Doanh nghiep Lea sed line Internet lup Dia Access Server (w/FW) ADSL NS-5GT/FW WebServiceSrv Nối Trung tâm tỉnh HDSL KBHQ Net WebSrv WAN Router MPLS + Security Manager + Security Manager Administration + Entrust Entelligent VLAN users VLAN users Các chi cục Hải quan Server Farm Hình 5.9 Thiết kế vật lý cục Hải quan Mơ hình vật lý hệ thống CA thể hình 5.8 hình 5.9 5.3.12 Lựa chọn thiết bị Yêu cầu phần cứng: • Máy Trạm Entelligent có cấu hình tối thiểu 01 CPU GHz; 01 HDD 10 GB; 01 Nic 10/100 Mbps Hệ điều hành Windows 2000/XP Pro • Máy chủ Security Manager có cấu hình tối thiểu 02 CPU GHz; 02 HDD 34 GB; 01 Card Raid hỗ trợ Raid 0;1;5; 01 Nic 10/100/1000 Mbps; Hệ điều hành Windows Server 2003 • Máy chủ Security Manager Administration có cấu hình tối thiểu: 01 CPU GHz; 01 HDD 34 GB; 01 Nic 10/100 Mbps Bảo mật thơng tin sử dụng sở hạ tầng khố cơng khai (PKI) 117 • Thẻ lưu chứng số USB Token iK2000 hãng RainBow Phần mềm xác thực, cấp phát chứng thực số: • Entrust Authority Security Manager (CA) • Authority Security Manager Administration (RA) • Entrust Entelligence • Phần mềm driver cho thẻ lưu trữ chứng thực số USB Token iK2000 Yêu cầu dung lượng đường truyền: Sử dụng đường thuê bao riêng leaseline 128 -:- 512 Kbps Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) 118 KẾT LUẬN Cơng nghệ PKI dùng mã hoá, ký điện tử, chứng thực điện tử thực sở kỹ thuật vững chắc, đảm bảo cho phát triển toán thương mại điện tử năm tới Mục tiêu luận văn tìm hiểu nắm rõ hầu hết khía cạnh liên quan tới PKI, từ tảng sở kỹ thuật mật mã, thành phần PKI mối liên hệ chúng, mơ hình triển khai vấn đề cần cân nhắc việc quản lý chứng thực điện tử cặp khố bảo mật/cơng khai gắn liền với chúng, vv… Từ đến thực thiết kế mơ hình PKI theo kiến trúc phân cấp cho tồn ngành Hải quan ứng dụng khai báo hải quan điện tử nhằm đảm bảo an tồn tính bí mật thơng tin, liệu quán tính xác thực cao Trong tương lai, mơ hình mở rộng để xác thực chéo với tổ chức khác nhằm tạo điều kiện thuận lợi cho giao dịch điện tử Hải quan doanh nghiệp tổ chức khác nhà nước, khu vực giới mà ứng dụng nghiệp vụ thực sở hạ tầng thông tin nhằm khai thác hiệu mạnh Internet Ngày nay, giải pháp an ninh toàn diện cạnh tranh với PKI thực chưa tìm thấy Nghiên cứu luận văn PKI điểm xuất phát quan trọng để nắm vững lý thuyết PKI ứng dụng vào thực tế việc thiết kế triển khai hệ thống PKI thực tiễn khơng cho mà cịn mở rộng quy mô cho nhiều tổ chức nước xa khu vực giới, góp phần nâng cao hiệu cho hoạt động thương mại điện tử giao dịch thực qua Internet - xu tất yếu trình đổi mới, hội nhập nước ta Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) 119 TÀI LIỆU THAM KHẢO Tiếng Anh Carlisle Adams, Steve Lloyd (2002), Understanding PKI: Concepts, Standards, and Deployment Considerations, Addison Wesley, Boston Heinz Johner, Seiei Fujiwara, Amelia Sm Yeung, Anthony Stephanou, Jim Whitmore, (2000), Deploying a Public Key Infrastructure, IBM Corporation, Texas Kapil Raina, (2003), PKI Security Solutions for the Enterprise: Solving HIPAA, E-Paper Act, and Other Compliance Issues, Wiley Publishing, Inc., Indianapolis Rhee, Man Young, (2003), Internet Security Cryptographic Principles, Algorithms and Protocols, John Wiley & Sons Ltd, West Sussex Suranjan Choudhury, Kartik Bhatnagar, and Wasim Haque, (2002), Public Key Infrastructure Implementation and Design, Hungry Minds, Inc., Brian Komar, (2004), Microsoft Windows Server 2003 PKI and Certificate Security, Microsoft Press, Washington Andrew Nash, William Duane, Celia Joseph, Derek Brink, (2001), PKI: Implementing and Managing E-Security, McGraw-Hill, New York Bảo mật thông tin sử dụng sở hạ tầng khố cơng khai (PKI) 120 TĨM TẮT LUẬN VĂN Với mục tiêu tìm hiểu, nghiên cứu đặc trưng, thành phần chức hệ thống PKI để tử tiến hành thiết kế mơ hình áp dụng thực tiễn, luận văn trình bày theo nội dung sau: Chương trình bày tổng quan PKI Nội dung bàn vai trò PKI, tảng xây dựng PKI, thành phần PKI mối quan hệ chúng, đồng thời phạm vi ứng dụng PKI an toàn bảo mật thông tin Chương nghiên cứu mơ hình PKI tiêu biểu, ưu điểm, nhược điểm mơ hình để lựa chọn, kết hợp áp dụng vào thực tế phù hợp với nhu cầu tổ chức Chương trình bày chuẩn giao thức quản lý PKI, chuẩn giao thức chấp nhận rộng rãi, dùng trình đăng ký, cấp phát, truy vấn thông tin chứng thực điện tử Chương mô tả X.509, chuẩn định dạng chứng thực điện tử áp dụng hầu hết ứng dụng PKI Chương trình bày vấn đề quản lý chứng thực điện tử nhằm đảm bảo chứng thực điện tử sử dụng hợp lệ, tạo tin cậy bên tham gia truyền thông Chương trình bày q trình phân tích, thiết kế hệ thống PKI nhằm đảm bảo an toàn bảo mật cho hệ thống khai báo hải quan điện tử Bảo mật thơng tin sử dụng sở hạ tầng khố công khai (PKI) ... đảm bảo tính bí mật thông tin, A muốn trao đổi thông tin với B, A mã hố thơng tin cần truyền với khố cơng khai B truyền Bảo mật thơng tin sử dụng sở hạ tầng khố cơng khai (PKI) 23 cho B Khố bí mật. .. khả an tồn Bảo mật thơng tin sử dụng sở hạ tầng khố cơng khai (PKI) 11 Hình 1.1 Mật mã khố đối xứng 1.2.2 Mật mã khố cơng khai Trong mật mã khóa cơng khai (Public Key Cryptography), cặp khoá bất... viên Bùi Ánh Dương Bảo mật thơng tin sử dụng sở hạ tầng khố cơng khai (PKI) Chương TỔNG QUAN VỀ PKI Ngày nay, Internet xem sở hạ tầng thông tin rộng lớn Nhiều tổ chức cá nhân sử dụng Internet để