Mô tả
- Định kỳ theo thời gian Native Client (tác nhân kích hoạt tiến trình xử lý) sẽ thực hiện gọi đến service cập nhật chứng thư số trong ngày.
- Download CRL của SUBCA, thực hiện xác thực CRL và cập nhật thời gian thay đổi CRL (Effective date).
- Download toàn bộ chứng thư số và thêm mới thông tin chứng thư số mới. - Kiểm tra các chứng thư số đã hết hạn, tính HMAC và cập nhập thay đổi. - Kiểm tra giá trị HMAC tạo file gửi các CI với các chứng thư số mới và các
chứng thư số thay đổi trạng thái.
- Cập nhật trạng thái đồng bộ dữ liệu LDAP trong ngày.
- Sau khi cập nhật thông tin chứng thư số tại PPC sẽ thực hiện tạo file đồng bộ dữ liệu LDAP cho các CI (nếu có).
So sánh với hiện trạng tác nghiệp
- Thực hiện đồng bộ dữ liệu LDAP.
o Hệ thống tích hợp: thực hiện lấy dữ liệu từ LDAP cơ sở dữ liệu nội tại (dữ liệu được cập nhật theo cơ chế tự động - thông thường 5 phút/lần).
o Hệ thống đề xuất: thực hiện lấy dữ liệu LDAP online tại mỗi thời điểm đồng bộ dữ liệu LDAP, trực tiếp từ LDAP server.
o Các dữ liệu đồng bộ với LDAP:
Chứng thư số root CA
ARL (Authority Revocation List) root CA
Chứng thư số sub CA
CRL (Certificate Revocation List) sub CA
Chứng thư số CIs
- Đảm bảo việc đồng bộ dữ liệu LDAP trong này là tức thời và tin cậy.
8.3.3 Quy trình xác thực tin điện tại PPC
8.3.3.1 Quy trình xác thực tin điện tại PPC
Hình 8.16: Quy trình xác thực tin điện tại PPC
Mô tả
- Service nghiệp vụ gọi đến service xử lý xác thực tin điện để thực hiện xác thực chữ ký.
- Lấy thông tin về chứng thư số của người ký duyệt trong Cơ sở dữ liệu (Bank_code, APPPRO_ID, DN_CRL, CERT_STATUS).
- Kiểm tra tính hiệu lực chứng thư số của người ký duyệt. Nếu chứng thư số hết hiệu lực thì thông báo lỗi.
- Cập nhật CRL tương ứng với chứng thư số từ LDAP. Kiểm tra thời gian Effective Date của CRL và thời gian lưu trong Cơ sở dữ liệu:
o Nếu có sự thay đổi: Kiểm tra tính hiệu lực chứng thư số của người ký duyệt từ CRL. Nếu chứng thư số hết hiệu lực thì thông báo lỗi.
o Nếu không thay đổi: thực hiện bước tiếp theo.
- Xác thực chữ ký trên giao dịch nếu không thành công thì thiết lập trạng thái giao dịch là lỗi
- Gắn giờ xác thực trên PPC lên tin điện được xác thực và trả lại kết quả xác thực chữ ký đúng.
So sánh với hiện trạng tác nghiệp
- Bỏ qua việc kiểm tra ngân hàng có tham gia hệ thống CA hay không? vì hệ thống đề xuất sẽ bỏ qua cơ chế xác thực bằng mã xác thực AAC. Như vậy, khi tham gia hệ thống IBPS thì tất cả các ngân hàng (tổ chức tín dụng) phải đều tham gia hệ thống CA.
- Thực hiện xác thực đầy đủ các thông tin:
o Chứng thư số root CA
o ARL (Authority Revocation List) root CA
o Chứng thư số sub CA
o CRL (Certificate Revocation List) sub CA
o Chứng thư số CIs
- Hệ thống đề xuất đảm bảo việc xác thực online và tin cậy. - Thay đổi thuật toán nhằm nâng cao khả năng xử lý.
8.3.3.2 Ký tin điện giao dịch tại R-PPC
Được hủy bỏ vì:
- Hệ thống loại bỏ hoàn toàn xác thực bằng mã xác thực AAC. - Sử dụng mã khóa công khai.
8.3.4 Cập nhật thông tin người dùng tại NPSC
Tại NPSC có service cập nhật thông tin người dùng (App Prover) tương tự service đồng bộ dữ liệu LDAP tại PPC.
- Hệ thống tích hợp hiện tại:
o Tất cả các vấn đề xử lý an toàn bảo mật đều được thực hiện tại PPC.
o NPSC tin tưởng cơ chế an toàn bảo mật vào PPC.
- NPSC sẽ tiến hành cập nhập các thông tin nhằm phụ vụ cho quá trình xử lý nghiệp vụ: