1 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN HỒNG QUANG NGHIÊN CỨU MƠ HÌNH PKI- PHỤC VỤ XÁC THỰC VÀ BẢO MẬT MỘT SỐ GIAO DỊCH ĐIỆN TỬ NGÂN HÀNG CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH MÃ SỐ: 60.48.15 Người hướng dẫn khoa học: PGS.TS TRỊNH NHẬT TIẾN TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT Hà Nội- 2010 Hiện nhu cầu bảo đảm an tồn thơng tin mạng máy tính cấp thiết hoạt động kinh tế xã hội, đặc biệt hệ thống ngân hàng với dịch vụ ngân hàng điện tử, cụ thể dịch vụ Internet Banking (Trong phạm vi luận văn, tác giả giới hạn khái niệm giao dịch Internet Banking hiểu tương đương với số giao dịch điện tử ngân hàng) Trong trình thực tế, với dịch vụ Internet Banking có rủi ro điển hình: Khả giả mạo máy tính nhân viên; Máy tính khách hàng nằm nơi đâu ngồi phạm vi kiểm sốt ngân hàng Các máy tính kết nối tới máy chủ web ngân hàng thông qua Internet Internet kết nối mở khơng quan tâm đến tính an toàn thời điểm thiết kế Những nguy hiểm, rủi ro từ Internet phá hoại lớn tồn hệ thống Internet Banking Chính vậy, luận văn vào nghiên cứu kỹ thuật, công nghệ, mô hình triển khai hạ tầng mật mã khóa cơng khai ( PKI- Public Key Infrastructure) áp dụng an toàn số giao dịch ngân hàng điện tử , từ phân tích nêu giải pháp phù hợp Luận văn gồm 04 chương: - Chương 1: Các khái niệm bản: Giới thiệu hệ mã hóa, khái niệm chữ ký số hàm băm - Chương 2: Hạ tầng mật mã khóa cơng khai(Public Key Infrastructure- PKI): Trình bày khái niệm PKI, thành phần hệ thống PKI, đặc trưng hệ thống PKI, kỹ thuật bảo vệ thơng tin mơ hình tổ chức quản lý chứng số - Chương 3: Ứng dụng PKI cho hệ thống Internet Banking Đề xuất mơ hình thiết kế chi tiết hệ thống PKI giao dịch Internet Banking - Chương 4: Mô thử nghiệm hệ thống an toàn cho giao dịch trực tuyến ngân hàng Chương CÁC KHÁI NIỆM CƠ BẢN 1.1 GIỚI THIỆU Giới thiệu phương pháp bảo vệ thông tin truyền thống: o Xây dựng hệ thống tường lửa o Áp dụng phương pháp xác thực o Thiết lập mạng riêng ảo, hệ thống cảnh báo truy cập trái phép Dựa vào chế an toàn bảo mật trên, khơng có cách đảm bảo an tồn (tính bí mật, tồn vẹn xác thực) thơng tin hai đối tượng (vì khơng có cách tổng quát để xác định độ tin cậy chúng trước truyền thông) Phần đề cập đến số phương pháp bảo vệ thông tin mật mã (cryptography) Phương pháp xem phương pháp bổ sung bảo vệ thông tin cho hệ thống thời 1.2 KỸ THUẬT MÃ HĨA 1.2.1 Khái niệm hệ mã hóa Hệ mã hóa định nghĩa năm (P, C, K, E, D), o P tập hữu hạn các rõ o C tập hữu hạn mã o K tập hữu hạn khố o E tập hàm lập mã o D tập hàm giải mã o Với k  K, có hàm lập mã ek  E, ek: P  C hàm giải mã d k  D, d k: C  P cho dk(ek(x))=x,  x P 1.2.2 Hệ mã hóa khóa đối xứng Hệ mã hóa khóa đối xứng hệ mã hóa mà khóa mã hóa “dễ” tính tốn từ khóa giải mã ngược lại Trong nhiều trường hợp, khóa mã hóa khóa giải mã giống Hệ mã hóa cịn lại hệ mã hóa khóa bí mật Mơ hình mã hóa sử dụng khóa đổi xứng mơ tả sau: Hình 1-1: Mơ hình mã hóa khóa đối xứng 1.2.3 Hệ mã hóa khóa bất đối xứng (hệ mã hóa khóa cơng khai) Hệ mã hóa khố cơng khai hay cịn gọi hệ mã hóa bất đối xứng sử dụng cặp khố, khố mã hố cịn gọi khố cơng khai (public key) khoá giải mã gọi khố bí mật hay khóa riêng (private key) Trong hệ mật này, khoá mã hoá khác với khoá giải mã Về mặt tốn học từ khố cơng khai “khó” tính khố riêng Mơ hình mã hóa khóa cơng khai mơ tả sau: Hình 1-2: Mơ hình mã hóa khóa cơng khai 21 KẾT LUẬN Hạ tầng sở mật mã khóa cơng khai (PKI) tảng cho hệ thống thông tin an toàn, cung cấp dịch vụ quản lý truy cập, tính tồn vẹn, tính xác thực, tính bí mật tính chống chối bỏ PKI đảm bảo cho giao dịch điện tử ngân hàng phiên kết nối bí mật an tồn Kết luận văn gồm có: 1/ Nghiên cứu hạ tầng sở mật mã khóa cơng khai (PKI) 2/ Đề xuất xây dựng PKI để thực xác thực bảo mật số giao dịch điện tử ngân hàng 3/ Mô thử nghiệm hệ thống an toàn cho giao dịch trực tuyến ngân hàng Hướng phát triển dự kiến luận văn : 1/ Xây dựng hồn thiện chương trình mơ ứng dụng PKI phục vụ an toàn giao dịch ngân hàng Mục tiêu ứng dụng làm giảng dạy, sản phẩm demo trình diễn hội thảo tư vấn bán hàng ( khách hàng ngân hàng, cơng ty chứng khốn cần mua giải pháp an toàn ứng dụng PKI) 2/ Kết hợp với nhà cung cấp ứng dụng PKI như: Entrust, Verisign, RSA, VDC, để đề xuất nhóm giải pháp tư vấn phù hợp triển khai cho hệ thống ngân hàng đáp ứng yêu cầu an toàn đề với chi phí đầu tư nhân cơng vận hành hệ thống tối ưu Góp phần thúc đẩy phát triển giao dịch trực tuyến hệ thống toán Việt Nam 20 - Hệ thống xác thực người dùng mô tả sau: 1/ User đăng nhập hệ thống với Username, Password, giá trị OTP (One-Time Passcode) token 2/ Webserver chuyển thông tin người dùng tới hệ thống Validation server 1.3 CHỮ KÝ SỐ Q trình mã hố thơng điệp với khố riêng người gửi gọi trình “ký số” Sơ đồ chữ ký năm (P, A, K, S, V), đó: 1/ P tập hữu hạn văn 3/ Validation server tìm userID cở liệu khách hàng so sánh password 2/ A tập hữu hạn chữ ký 4/ Nếu UserID password user đăng nhập đúng, Validation server chuyển user’s TokenID, giá trị OTP tới hệ thống kiểm tra OTP 4/ S tập thuật toán ký 5/ Hệ thống kiểm tra OTP tính tốn giá trị mong đợi OTP sơ sở giá trị bí mật token thời gian sở liệu OTP, sau tiến hành so sánh OTP vừa tính tốn với giá trị OTP vừa nhận từ Token Nếu trùng khớp trả giá trị “Yes”, ngược lại trả giá trị “No” tới Validation Server 6/ Với k ∈ K, có thuật toán ký sigk ∈ S, sigk : P → A thuật toán kiểm thử verk ∈ V, verk : P x A → {đúng, sai}, thoả mãn điều kiện sau với x ∈ P, y ∈ A: ver k (x,y) = đúng, y = sig k(x) sai, y ≠sigk(x) 6/ Validation Server cho phép User đăng nhập vào hệ thống nhận giá trị Yes từ hệ thống kiểm tra OTP - Hệ thống giao dịch ngân hàng chương trình bao gồm dịch vụ ngân hàng bản:  Tra số dư  Chuyển khoản 1.4 HÀM BĂM Hàm băm hiểu thuật toán khơng để mã hóa (ở ta dùng thuật ngữ “băm” thay cho “mã hố”), có nhiệm vụ băm thơng điệp đưa vào theo thuật tốn h chiều đó, đưa băm – văn đại diện – có kích thước cố định Giá trị hàm băm “khó” thể suy ngược lại nội dung thơng điệp từ giá trị băm Hàm băm chiều h có hai đặc tính quan trọng sau: - Với thơng điệp đầu vào x thu băm z = h(x) - Nếu liệu thông điệp x thay đổi hay bị xóa để thành thơng điệp x’ h(x’) ≠ h(x) Hàm băm ứng dụng việc tạo kiểm tra tính tồn vẹn chữ ký số 3/ K tập hữu hạn khố 5/ V tập thuật toán kiểm thử Chương HẠ TẦNG MẬT MÃ KHĨA CƠNG KHAI (PUBLIC KEY INFRASTRUCTURE - PKI) 19 4.2 SƠ ĐỒ CHỨC NĂNG HỆ THỐNG 2.1 TỔNG QUAN VỀ HẠ TẦNG CƠ SỞ MẬT MÃ KHĨA CƠNG KHAI 2.1.1 Khái niệm hạ tầng sở mật mã khóa cơng khai Hạ tầng mật mã khóa cơng khai (Public Key Infrastructure PKI) chế bên thứ (thường nhà cung cấp chứng thực số) cung cấp xác thực định danh bên tham gia vào q trình trao đổi thơng tin Cơ chế cho phép gán cho chủ thể hệ thống cặp khóa cơng khai/khóa bí mật Các q trình thường thực phần mềm đặt trung tâm phần mềm phối hợp khác địa điểm người dùng Khóa cơng khai thường phân phối chứng thực khóa cơng khai (chứng số) 2.1.2 Các dịch vụ phạm vi ứng dụng PKI 2.1.2.1 Các dịch vụ sử dụng PKI có khả đảm bảo năm yêu cầu sau: - Bảo mật thơng tin - Tồn vẹn thơng tin - Xác thực thực thể - Chống chối bỏ - Tính pháp lý 2.1.2.2 Phạm vi ứng dụng PKI - Phạm vi ứng dụng PKI bao trùm hệ thống từ lớn tới nhỏ thuộc nhiều lĩnh vực như: ngân hàng, tài chính, viễn thơng, hàng không, nghành công nghiệp hay cho hoạt động trao đổi cơng văn Sở, Ban, Nghành,… Hình 4-1: Mơ hình hệ thống thử nghiệm - Hệ thống giao dịch từ người dùng tới ngân hàng kênh truyền Internet mã hóa SSL mơ tả sau: 1/ Web browser kết nối với web server yêu cầu kết nối an toàn an toàn bảo mật 2/ Web server trả cho web browser site's certificate 3/ Web browser kiểm tra thông tin site's certificate xem có trust hay khơng (khi certificate khơng trust ta thấy xuất warning dialog, muốn cố tự cho trust click Yes để kết nối) 4/ Web browser lúc tạo session key sau dùng server's public key để encrypt (asymmetric) chuyển session key encrypt tới web server 5/ Web server dùng private key để decrypt (asymmetric) lấy session key dùng để encrypt data (symmetric) giửa web server web browser 18 Chương MÔ PHỎNG THỬ NGHIỆM HỆ THỐNG GIAO DỊCH TRỰC TUYẾN NGÂN HÀNG 4.1 MỤC TIÊU CỦA CHƯƠNG TRÌNH MƠ PHỎNG THỬ NGHIỆM Chương trình xây dựng để thực minh họa ứng dụng giao dịch ngân hàng có ứng dụng an tồn bảo mật: - Xác thực người thực giao dịch: Thông qua hệ thống xác thực hai cấp, kết hợp xác thực qua hệ thống Username/Password truyền thống phương pháp xác thực thời gian thực (One-Time Passcode) Người thực giao dịch trực tuyến phải cung cấp Username/ password passcode (mật thời gian thực- One-Time Passcode) Hệ thống kiểm tra password passcode độc lập - Xác thực máy chủ ngân hàng bảo mật thông tin giao dịch đường truyền từ trình duyệt web khách hàng tới webserver ngân hàng: Cài đặt chứng số webserver để thực xác thực máy chủ webserver ngân hàng thực giao dịch ngân hàng thông qua môi trường Internet bảo mật kênh kết nối SSL - Thực nghiệp vụ Internet Banking: Vấn tin tài khoản cá nhân giao dịch chuyển tiền khách hàng thông qua hệ thống ngân hàng Công nghệ sử dụng: - Ngôn ngữ lập trình C# - Cơng nghệ ASP.Net - Cơ sở liệu: SQL2000 - Sử dụng hệ thống cấp phát chứng số thử nghiệm SSL Hãng Verisign - Hệ thống chứng thực người dùng thông qua thẻ token xác thực One Time Password hãng VASCO 2.1.3 Các thành phần PKI Theo định nghĩa đầy đủ, PKI gồm ba phần chính: - Phần1: Tập hợp công cụ, phương tiện, giao thức bảo đảm an tồn thơng tin - Phần 2: Hành lang pháp lý: Luật giao dịch điện tử, qui định luật - Phần 3: Các tổ chức điều hành giao dịch điện tử (CA,RA, ) 2.1.4 Một số chức PKI 2.1.4.1 Quản lý khóa 1/ Sinh khóa 2/ Phân phối, thu hồi khóa 3/ Cập nhật thơng tin cặp khóa 4/ Cập nhật thơng tin cặp khóa CA 5/ Khơi phục khóa 2.1.4.2 Quản lý chứng 1/ Đăng ký xác nhận ban đầu 2/ Cập nhật thông tin chứng số 3/ Phát hành chứng danh sách chứng bị hủy bỏ 4/ Hủy bỏ chứng số 5/ Quản lý thời gian 6/ Giao tiếp PKI 2.2 THÀNH PHẦN KỸ THUẬT BẢO ĐẢM AN TỒN THƠNG TIN 2.2.1 Kỹ thuật bảo mật thông tin Phần giới thiệu hệ mã hóa cơng khai RSA Đây hệ mã hóa thường dùng hệ PKI phục vụ bảo mật thông tin Sơ đồ: - Chọn ngẫu nhiên độc lập hai số nguyên tố lớn p q với p≠q - Tính: n=p*q - Tính giá trị hàm số Ф(n)=(p-1)*(q-1) - Chọn số ngẫu nhiên b, 1