4.2 KIẾN TRÚC HỆ THỐNG
4.2.2Các thành phần hệ thống
4.2.2.1 Trung tâm CA
Trung tâm CA có nhiệm vụ quản lý và phát hành chứng thư số cho tất cả các ứng dụng, các người dùng cuối của NHNN khi có nhu cầu sử dụng chứng chứng thư số.
- CA Server: Cài đặt phần mềm Entrust Authority Security Manager
o Thu hồi chứng thư số của SubCA đồng thời công bố danh sách các người dùng bị thu hồi chứng thư số thông qua ARL, cho phép cập nhật CRL tới Directory
o Đảm bảo chứng thực cho chứng thư số và khóa mã đã phát hành
o Có khả năng tạo kênh xác thực chéo với các CA khác (của Chính phủ, các tổ chức khác,...) khi có nhu cầu
o Có khả năng thêm kết nối SubCA
o Cho phép lưu trữ chứng thư số gốc (RootCA) ra thiết bị lưu trữ đặc biệt: HSM (High Security Module)
- HSM (High Security Module): Là thiết bị phần cứng lưu chứng thư số gốc (Root CA).
o Quản lý khóa trên thiết bị phần cứng từ khi sinh khóa, xác nhận, lưu trữ và sao lưu khóa.
o Các thao tác với khóa chỉ được thực hiện bên trong thiết bị phần cứng nhằm ngăn chặn những người không có quyền truy cập được phép sử dụng
- SubCA Server: Cài đặt phần mềm Entrust Authority Security Manager
o Phát hành chứng thư số cho người dùng (số lượng 10.000 người trở lên)
o Cập nhật khóa, lưu trữ lịch sử khóa
o Có khả năng khôi phục khóa cho người sử dụng khi có yêu cầu: mất khóa, sợ lộ khóa,...
o Thu hồi chứng thư số của người sử dụng khi có yêu cầu, đồng thời công bố danh sách các người dùng bị thu hồi chứng thư số thông qua CRL, cho phép cập nhật CRL tới Directory
o Đảm bảo chứng thực cho chứng thư số và khóa mã đã phát hành
o Chứng thư số do hệ thống phát hành phải có khả năng lưu trữ trên các thiết bị chuyên dụng (Token qua giao tiếp với cổng USB của máy tính, không sử dụng đầu đọc chuyên dụng)
o Chứng thư số do hệ thống phát hành có khả năng tích hợp với các ứng dụng hiện có và các ứng dụng trong tương lai của NHNN Việt Nam
o Chứng thư số do hệ thống phát hành có khả năng ký điện tử / mã hóa giao dịch khi có yêu cầu
o Có chức năng quản trị hệ thống thân thiện, dễ dàng thao tác với hệ thống
o Cho phép lưu trữ chứng thư số gốc (RootCA) ra thiết bị lưu trữ đặc biệt: HSM (High Security Module)
o Quản lý, giám sát chính sách bảo mật được định nghĩa bởi Ngân hàng Nhà nước Việt Nam
o Lưu trữ chứng thư số của người dùng
o Cho phép lưu trữ danh sách chứng thư số bị thu hồi của người dùng (CRL)
o Lưu trữ các thông tin về chính sách người dùng
- Directory Server-Replicate (thành phần thường xuyên giao tiếp với người dùng):
o Lưu trữ chứng thư số của người dùng
o Cho phép lưu trữ danh sách chứng thư số bị thu hồi (CRL)
o Lưu trữ thông tin chính sách người dùng
o Toàn bộ thông tin lưu trữ trong Directory Server-Replicate sẽ được đồng bộ một chiều từ Directory Server xuống (Có nghĩa là Directoty Server có quyền ghi các thông tin xuống Directory Server-Replicate mà không có chiều ngược lại). (adsbygoogle = window.adsbygoogle || []).push({});
- CA Administration: Cài đặt phần mềm quản trị hệ thống Entrust Authority Administration, cho phép quản trị viên của hệ thống làm các việc sau:
o Cho phép tạo người dùng mới.
o Quản lý người dùng và các chứng thư số của họ.
o Quản lý các chính sách bảo mật.
o Tạo xác thực chéo với CA khác.
o Thiết lập xác thực theo mô hình cây.
4.2.2.2 Hệ thống Directory Server tại các chi nhánh NHNN (6 tỉnh/thành phố)
Theo thiết kế của mô hình này, tất cả các đối tượng đã được cấp chứng thư số khi có yêu cầu truy vấn thông tin như: danh sách chứng thư số bị thu hồi (CRL), khóa công khai của các đối tượng sử dụng khác sẽ không phải truy cập tới Directory tại Trung tâm CA mà truy cập tới các Directory ở ngay tại các PPC tương ứng. Các thông tin của Directory tại các PPC sẽ được đồng bộ từ Directory của Trung tâm CA xuống
Việc thiết kế như này sẽ phân tải được cho Directory tại Trung tâm CA, tránh việc quá nhiều truy cập trong cùng một thời điểm và làm giảm độ trễ về thời gian của việc cập nhật CRL của toàn bộ hệ thống.
4.2.2.3 Trung tâm CA-Dự phòng
Trung tâm CA-dự phòng hoàn toàn tương tự Trung tâm CA cả về kiến trúc vật lý, số lượng các máy chủ, các phiên bản phần mềm và các thiết bị phần cứng khác. Trung tâm làm nhiệm vụ dự phòng cho Trung tâm CA trong những trường hợp xảy ra thảm họa, làm ảnh hưởng nghiêm trọng tới Trung tâm CA: động đất, cháy nổ, các điều kiện khách quan khác.