3.3.6.1 Mô tả tóm tắt
UC mô tả chứng năng gia hạn chứng thư số cho NSD. Tác nhân thực hiện chức năng là nhân viên của đại lý RA khi có người dung yêu cầu.
- 52 -
3.3.6.2 Luồng cơ bản
- Bước 1: Nhân viên đại lý thực hiện gửi yêu cầu gia hạn chứng thư số, sau khi đã kiểm tra các thông tin người dùng hợp lệ.
- Bước 2: RA thực hiện gia hạn chứng thư số cho người dùng và chuẩn bị thông tin phản hồi cho MSSP.
- Bước 3: RA gửi yêu cầu cập nhật gia hạn chứng thư số sang MSSP, thông tin bao gồm kết quả xử lý yêu cầu và thông tin chứng thư số mới. MSSP chuẩn bị thông tin để gửi xuống SIM
- Bước 4: MSSP gửi chứng thư số thu gọn xuống SIM. Trường hợp gia hạn thành công MSSP sẽ bóc tách thông tin trong chứng thư số mới và định dạng chứng thư số như theo yêu cầu trong phần đăng ký.
- Bước 5: SIM phản hồi lại kết quả cập nhật chứng thư số mới cho MSSP.
- Bước 6: MSSP trả về kết quả cập nhật chứng thư số mới tới SIM.
- Bước 7: RA hiển thị thông báo kết quả gia hạn chứng thư số cho nhân viên đại lý. 3.3.7 Thu hồi chứng thư số
3.3.7.1 Mô tả tóm tắt
UC mô tả chức năng thu hồi chứng thư số của người dùng, trong điều kiện người dùng bị mất thiết bị hoặc không đảm bảo điều kiện sử dụng dịch vụ
- 53 -
3.3.7.2 Luồng cơ bản
- Bước 1: Nhân viên đại lý RA gửi yêu cầu hủy chứng thư số sau khi đã kiểm tra thông tin chứng thư số hợp lệ.
- Bước 2: RA thực hiện hủy chứng thư số yêu cầu.
- Bước 3: RA gọi dịch vụ cập nhật kết quả thực hiện hủy chứng thư số sang MSSP.
- Bước 4: MSSP gửi kết quả thực hiện thu hồi chứng thư số qua SMS tới SIM.
- Bước 5: Ứng dụng trên SIM trả về kết quả thực hiện cho MSSP.
- Bước 6: MSSP trả về kết quả thực hiện trên SIM. Nếu thành công RA cập nhật kết quả thu hồi và hiển thị kết quả.
3.3.8 Tạm ngưng chứng thư số
Tạm ngưng chứng thư số là việc thay đổi trạng thái của chứng thư số sang trạng thái không có hiệu lực, tạm ngưng chứng thư số chỉ được sử dụng trong khoảng thời gian mà chứng thư số của khách hàng vẫn còn hiệu lực (chứng thư số đã hết hạn thì không thể tạm ngưng). Quy trình tạm ngưng được sử dụng trong trường hợp khách hàng yêu cầu do ghi ngờ bị mất usbToken, bị lộ khóa hoặc cơ quan chức năng có thẩm quyền yêu cầu tạm ngưng để điều tra.
- 54 -
3.3.8.1 Mô tả tóm tắt
UC mô tả cách thức tạm ngưng chứng thư số
3.3.8.2 Luồng cơ bản
- Bước 1: Nhân viên đại lý thực hiện yêu cầu tạm ngưng chứng thư số sau khi kiểm tra thông tin chứng thư số hợp lệ.
- Bước 2: RA kiểm tra thông tin chứng thư có phù hợp với yêu cầu, chuẩn bị thông tin gửi sang MSSP.
- Bước 3: RA gửi yêu cầu dịch vụ tạm ngưng chứng thư số sang MSSP.
- Bước 4: MSSP đóng gói thông tin dưới dạng tin nhắn sms rồi gửi xuống SIM, thông tin gồm requestId và thông tin chứng thư số.
- Bước 5: SIM trả lại kết quả thực hiện của yêu cầu tạm ngưng chứng thư số cho MSSP.
- Bước 6: MSSP trả về kết quả thực hiện yêu cầu tạm ngưng trên SIM cho RA. RA cập nhật kết quả và hiển thị cho nhân viên đại lý.
3.4 Giải pháp trên thiết bị offline (Dcom, …)
Giải pháp ký điện tử trên DCOM đảm bảo SIM có thể thực hiện ký theo phương pháp truyền thống. Mô hình truyền thống có ưu điểm người sử dụng chỉ dùng SIM khi ký, những lúc khác họ có thể cất đi đảm bảo SIM không bị mất mát và đảm bảo an toàn.
- 55 -
Việc hỗ trợ giải pháp ký trên DCOM, hoặc thiết bị khác như đầu đọc thẻ nhằm đảm bảo sự tính đa dạng trong việc đáp ứng nhu cầu của người sử dụng và phù hợp với quy trình nghiệp vụ cung cấp chứng thư số hiện có, giúp cho giải pháp chữ ký điện tử được sử dụng rộng rãi.
Ngoài ra, để đảm bảo ký theo phương pháp truyền thống điều này có nghĩa cần có sự tích hợp phần mềm SIM vào bên trong hệ điều hành theo các tiêu chuẩn hiện có như PKCS#11, chuẩn CSP của hệ điều hành Windows, … Bên cạnh đó việc sử dụng SIM không những trên thiết bị như DCOM, người sử dụng có thể bỏ SIM và lắp vào điện thoại, do đó yêu cầu SIM đồng thời có thể sử dụng với hệ thống MSSP và với cả mô hình truyền thống.
Trong mục này, chúng ta trình bày giải pháp sử dụng SIM có thể hoạt động được với các thiết bị theo phương pháp ký “truyền thống” và có thể hoạt động được đồng thời trên hệ thống MSSP.
- 56 - Hardware Layer CA Manager DCOM-SIM LIB DCOM Driver RA MSSP
Hình 3.4 – Mô hình ký trên thiết bị offline 3.4.1 Mô tả các thành phần
- CA Manager: Khối tổng hợp chức năng giao tiếp với SIM. Chức năng yêu cầu chi tiết các dữ liệu vào hàm.
- DCOM SIM LIB: gọi là khối thư viện, thực thi hóa các chức năng giao tiếp tới SIM. Chuyển đổi những dữ liệu được gửi xuống từ CA Manager, rồi mới thực hiện gửi lệnh xuống SIM.
- DCOM Driver: Khối driver thể hiện môi trường kết nối, nhận biết thiết bị được cắm vào máy tính.
- Hardware Layer: Tầng thiết bị, ở đây nổi bật là DCOM, đầu đọc thẻ SIM. Chúng ta có thể chèn SIM vào trong DCOM hoặc thẻ SIM rồi sau đó kết nối với máy tính qua cổng cắm USB.(ở đây SIM đã có chứng thư số)
- 57 -
3.4.2 Mô tả luồng hoạt động
Luồng hoạt động của mô hình ký offline được thể hiện qua những bước sau:
- Bước 1: Người dùng thao tác trên phần mềm, thông qua CA Manager để gửi yêu cầu xuống SIM.
- Bước 2: Thư viện DCOM SIM LIB tiếp nhận yêu cầu từ CA Manager, phân loại rồi chuyển hóa dữ liệu chuẩn bị gửi lệnh xuống SIM.
- Bước 3:Thư viện DCOM SIM LIB thực hiện gửi lệnh xuống SIM. Trước khi thực hiện gửi lệnh thư viện kiểm tra kết nối tới SIM thông môi trường Driver của thiết bị
- Bước 4: SIM nhận yêu cầu gửi xuống, xác định loại yêu cầu, thực hiện rồi gửi trả về kết quả cho thư viện DCOM SIM LIB.
- Bước 5: Thư viện nhận được kết quả từ SIM gửi lên, phản hồi lại cho CA Manager cập nhật.
Đối với những chức năng như: gia hạn chứng thư số, thu hồi chứng thư số, tạm ngưng chứng thư phải thực hiện các bước sau trước:
- Bước 6: CA Manager gửi yêu cầu sang RA theo mục đích của chức năng
- Bước 7: RA thực hiện rồi gửi yêu cầu sang MSSP để cập nhật chứng thư số trên MSSP.
- Bước 8: MSSP trả về kết quả thực hiện cho RA
- Bước 9: Trả kết quả thực hiện về cho CA Manager Sau đó mới thực hiện từ bước 1.
Đối với chức năng đăng ký thì thực hiện từ bước 1 tới bước 9. Còn đối với các chức năng như: ký điện tử, thay đổi mật khẩu, xem thông tin chứng thư thì không phải thực hiện các bước 6, 7, 8, 9.
3.4.3 Mô hình ca sử dụng
3.4.3.1 Đăng ký
- 58 -
UC mô tả chức năng đăng ký sử dụng dịch vụ chữ ký số trên thiết bị offline
3.4.3.1.2 Luồng cơ bản
Lệnh giao tiếp giữa CAM được thực hiện thông qua việc cập nhật file SMS. SMS được định dạng theo chuẩn tin nhắn GSM 03.48 và được mã hóa bằng mật khẩu TSOPIN (trong nội dung SMS có chứa mã TSOPIN để SIM có thể kiểm tra tính hợp lệ của yêu cầu từ CAM).
- Bước 1: CA Manager (CAM) gửi lệnh kích hoạt đăng ký CTS tới SIM, thông tin bao gồm mật khẩu dùng một lần TSOPIN.
- Bước 2: SIM sinh cặp khóa RSA và đóng gói khóa công khai để đăng ký chứng thư số vào file CSR (theo chuẩn PKCS#10), thông tin bên trong file CSR bao gồm ICCID, khóa công khai và chữ ký của khóa bí mật. File CSR được mã hóa bằng mã POP đảm bảo tính bảo mật 2 đầu SIM – RA như mô hình đăng ký của hệ thống MSSP.
- Bước 3: CAM gửi file đăng ký CSR tới RA theo webservice của hệ thống RA, việc mô tả webservice này nằm ngoài phạm vị của tài liệu này.
- 59 -
- Bước 4: Sau khi xác thực thông tin đăng ký và một số bước trong quy trình đăng kí khác, nếu quá trình đăng ký thành công RA gửi CTS về cho CAM theo định dạng X509 phiên bản 3.0 thông qua webservice giao tiếp giữa RA và CAM (nằm ngoài phạm vi tài liệu).
- Bước 5: Để SIM có thể sử dụng được với điện thoại trong trường hợp người sử dụng cắm SIM vào điện thoại, RA đăng kí người sử dụng với hệ thống MSSP thông quai webservice, thông tin bao gồm số điện thoại và chứng thư số theo định dạng X509 ver 3.0. MSSP phản hồi đăng ký người sử dụng cho RA thông qua webservice.
- Bước 6: Sau khi CAM nhận được chứng thư số từ RA, sẽ thực hiện trích rút thông tin như phần đăng ký chứng thư số của hệ thống MSSP và gửi xuống SIM.
3.4.3.2 Ký điện tử
3.4.3.2.1 Mô tả tóm tắt
UC mô tả chức năng ký điện tử của người dùng trên thiết bị offline.
3.4.3.2.2 Luồng cơ bản
- Bước 1: CAM gửi yêu cầu ký xuống SIM thông qua thư việc DCOM SIM LIB. Yêu cầu ký bao gồm dữ liệu ký(các file dữ liệu dạng pdf, docx, xlsx, text), kiểu dữ liệu ký (text, hash), định dạng đầu ra của chữ ký (PKCS#7, XML, CMS) và mật khẩu PIN.
- Bước 2: Thư viện gửi lệnh yêu cầu ký xuống SIM, yêu cầu gồm dữ liệu ký đã được băm thành 20 bytes, định dạng đầu ra của chữ ký, mật khẩu PIN.
- 60 -
chữ ký trả về là một byte[].
- Bước 4: Thư viện gửi chữ ký lên CAM theo định dạng đã chỉ ra trong lệnh yêu cầu.
3.4.3.3 Thay đổi mật khẩu
3.4.3.3.1 Mô tả tóm tắt
UC mô tả chức năng đổi mật khẩu chứng thư số của người dùng
3.4.3.3.2 Luồng cơ bản
CA Manager DCOM SIM LIB SIM
1. Yêu cầu đổi mật khẩu
2. Yêu cầu đổi mật khẩu
3. Trả về kết quả 4. Trả về kết quả
- Bước 1: CAM gửi lệnh yêu cầu thay đổi mật khẩu, với tham số là mật khẩu mới, mật khẩu cũ. Mật khẩu thường tối đa 6 hoặc 8 kí tự và có dạng chữ số.
- Bước 2: Thư viện gửi yêu cầu đổi mật khẩu xuống SIM với dữ liệu gửi xuống đã được chuyển đổi.
- Bước 3: Trả về kết quả đổi mật khẩu cho thư viện - Bước 4: Thư viện phẩn hồi kết quả cho CAM.
3.4.3.4 Xem thông tin chứng thư
3.4.3.4.1 Mô tả tóm tắt
UC mô tả cách thức người dùng xem chứng thư số từ SIM
- 61 -
CA Manager DCOM SIM LIB SIM
1. Yêu cầu xem chứng thư số
2. Gửi yêu cầu xem cts
3. Trả về kết quả(cert[]) 4. Trả về kết quả(cert[])
- Bước 1: CAM gửi yêu cầu xem chứng thư số
- Bước 2: Thư viện thực hiện gửi yêu cầu lấy danh sách chứng thư số lưu trên SIM. - Bước 3: SIM trả về danh sách các chứng thư số được lưu trên SIM. Thông tin trả
về của một chứng thư số gồm: số serial, tên chứng thư, chuỗi chứng thư số. - Bước 4: Thư viện phản hồi lại chứng thư số cho CAM.
3.4.3.5 Thu hồi chứng thư
3.4.3.5.1 Mô tả tóm tắt
UC mô tả cách thức thu hồi chứng thư số trên SIM được gắn trên thiết bị offline.
- 62 -
- Bước 1: CA Manager gửi yêu cầu thu hồi chứng thư số xuống SIM
- Bước 2: Thư viện tiếp nhận thông tin thu hồi từ CA Manager, chuyển đổi dữ liệu rồi thực hiện gửi lệnh thu hồi chứng thư số xuống SIM
- Bước 3: SIM thực hiện xóa cts thu hồi.
- Bước 4: SIM trả về kết quả thực hiện xóa chứng thư số
- Bước 5: Thư viện tiếp nhận kết quả từ SIM, xác nhận rồi thực hiện bước tiếp theo. - Bước 6: CA Manager gửi yêu cầu thu hồi chứng thư số sang RA, thông tin gửi
sang là số serial chứng thư số hoặc là CERTID.
- Bước 7: RA cập nhật trạng thái chứng thu số được thu hồi, đồng thời gửi yêu cầu thu hồi cts hiện tại sang MSSP.
- Bước 8: MSSP trả về kết quả thu hồi chứng thư số được yêu cầu. - Bước 9: RA trả về kết quả thu hồi cts.
3.4.3.6 Gia hạn chứng thư số
3.4.3.6.1 Mô tả tóm tắt
UC mô tả chức năng gia hạn chứng thư số cho người dùng qua thiết bị offline.
- 63 -
- Bước 1: CAM gửi yêu cầu gia hạn CTS cho RA, thông tin gửi gồm certID hoặc serial CTS.
- Bước 2: RA thực hiện gia hạn CTS theo certID hoặc serial CTS nhận được, chuẩn bị thông tin gửi yêu cầu cập nhật sang MSSP.
- Bước 3: RA gửi yêu cầu cập nhật trạng thái gia hạn CTS sang MSSP. - Bước 4: MSSP cập nhật trạng thái CTS yêu cầu rồi trả về kết quả cho RA.
- Bước 5: RA trả kết quả thực hiện gia hạn cho CAM, gồm những thông tin về CTS mới.
- Bước 6: CAM xác định kết quả, gửi yêu cầu gia hạn CTS xuống SIM qua thư viện.
- Bước 7: Thư viện chuyển đổi dữ liệu dưới dạng byte[] rồi gửi lệnh gia hạn CTS xuống SIM.
- Bước 8: SIM cập nhật CTS mới, rồi trả về kết quả cho thư viện - Bước 9: Thư viện trả kết quả gia hạn từ SIM cho CAM.
3.4.3.7 Tạm ngưng chứng thư số
3.4.3.7.1 Mô tả tóm tắt
- 64 -
3.4.3.7.2 Luồng cơ bản
- Bước 1: CAM gửi yêu cầu tạm ngưng CTS cho RA, thông tin gửi gồm certID hoặc serial CTS.
- Bước 2: RA thực hiện tạm ngưng CTS theo certID hoặc serial CTS nhận được, chuẩn bị thông tin gửi yêu cầu cập nhật sang MSSP.
- Bước 3: RA gửi yêu cầu cập nhật trạng thái ngưng CTS sang MSSP. - Bước 4: MSSP cập nhật trạng thái CTS yêu cầu rồi trả về kết quả cho RA. - Bước 5: RA trả kết quả thực hiện tạm ngưng dịch vụ cho CAM.
- Bước 6: CAM xác định kết quả, gửi yêu cầu tạm ngưng CTS xuống SIM qua thư viện DCOM SIM LIB.
- Bước 7: Thư viện chuyển đổi dữ liệu dưới dạng byte[] rồi gửi lệnh tạm ngưng CTS xuống SIM.
- Bước 8: SIM cập nhật CTS mới, rồi trả về kết quả cho thư viện - Bước 9: Thư viện trả kết quả tạm ngưng từ SIM cho CAM.
- 65 -
CHƯƠNG 4 – KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
Ở Việt Nam, không nằm ngoài xu hướng so với thế giới, PKI đã được chính phủ và nhiều công ty đã bắt tay triển khai việc xây dựng và cung cấp. Là một nước đông dân, với dân số trẻ và số lượng người dùng Internet đông đảo, Việt Nam luôn là một thị trường hứa hẹn đầy tiềm năng cho bất kỳ một dịch vụ Internet nào, PKI cũng không là một ngoại lệ. Ở Việt Nam hiện cũng đã có những công ty CNTT triển khai dịch vụ PKI như VASC, VDC, FPT, BKAV, Viettel,… Tính tới thời điểm hiện tại, họ đã có có những khó khăn và