8.4.1.2 Chương trình ứng dụng tại server (tại các PPC/NPSC/LDAP)
Môi trường phát triển
- Ngôn ngữ: Ansi C; C++
- Môi trường NPSC/PPCs: HP-UX 11.23, Oracle 9.2.0.6;
Một số hàm
- ldap_init: khởi tạo kết nối LDAP
/********************************************************************** LDAP *ldap_open(char *host, int port)
* ---*/ - ldap_simple_bind_s: kết nối LDAP
/********************************************************************** int ldap_simple_bind_s(LDAP *ld, const char *who, const char *passwd); * ---*/
- sc_download_crl: thực hiện lấy CRL, ARL từ LDAP
/********************************************************************** int sc_download_crl(LDAP *i_ldap,char *i_searchbase,char *i_filter,char
*i_dirCRL,const char*i_CRLname,char *o_path);
- sc_download_la: thực hiên lấy chứng thư số SubCA, người dùng
/********************************************************************** int sc_download_la(LDAP *i_ldap,char *searchbase,char *filter,char
*subCRL,int checkExpiryDate);
* ---*/
- sc_x509_to_CertInfo: thực hiên lấy chứng thư số SubCA, người dùng /********************************************************************** int sc_x509_to_CertInfo(X509* i_cert, STR_CERT_INFO* io_cert)
* ---*/
8.4.2 Môi trường
Cấu hình server IBPS
- Máy chủ NPSC:
o HP Itanium rx4640
o CPU: 4 x Itanium2 1.5GHz
o RAM 7GB
o HDD: 2 x 36GB
o Tủ đĩa ngoài: MSA1500, 10 x 73 GB HDD.
o HP-UX 11.23 o Oracle 9.2.0.6 o IP: 192.168.1.30 - Máy chủ OC-PPC o HP 9000 r93410 o CPU: 2 x PA-RISC 1.1GHz o RAM 2GB o HDD: 2 x 36GB
o Tủ đĩa ngoài: EVA3000, 9 x 73 GB HDD.
o HP-UX 11.11
o IP: 192.168.10.30 - Máy chủ HCM-PPC o HP Itanium rx4640 o CPU: 4 x Itanium2 1.5GHz o RAM 6GB o HDD: 2 x 36GB
o Tủ đĩa ngoài: EVA3000, 9 x 73 GB HDD.
o HP-UX 11.23
o Oracle 9.2.0.6
o IP: 192.168.20.30
- Máy chủ HAN-PPC, DNA-PPC, HPH-PPC,CTH-PPC
o HP 9000/D390
o CPU: 2 x PA-RISC 240MHz
o RAM 1.5GB
o HDD: 2 x 9GB
o Tủ đĩa ngoài: RAID, 10 x 9 GB HDD.
o HP-UX 11.0
o Oracle 8.0.5
Cấu hình server CA
- Máy chủ Root CA, Sub CA, Directory Server (Master & Shadow)
o SUN fire V440
o CPU: 4 x UltraSPARC 1.5 GHz
o RAM: 8GB
o HDD: 3 x 146GB
o SW: Entrust Authority Security Management 7.1 sp2; Critical Path 4.2
- Máy chủ Web Enrollment
o SUN fire V240 o CPU: 2 x UltraSPARC 1.5 GHz o RAM: 4GB o HDD: 2 x 146GB o OS: Solaris 9 o SW: Entrust 7.1 sp2 - Máy chủ Self Admin
o HP Workstation wx… o CPU: o RAM: o HDD: o OS: o SW: Entrust 7.1 sp2 8.4.3 Một số kết quả
Do chỉnh mang tính kiểm nghiệm các giải pháp và tiến trình cải tiến, nên một số kết quả khó có thể trình bày chi tiết
Sau đây là một số trong kết quả.
So sánh kết quả xác thực tin điện tại O-PPC
- Phương án xác thực online: dữ liệu LDAP được đồng bộ online với LDAP server. Thời gian để xác thực một tin điện như sau (micro second):
o Lấy thông tin chứng thư số: 2.862
o Download file CRL: 222.532
o Xác thực tin điện: 67.081
o Xử lý tin điện: 1.307
o Tổng thời gian: 463.500
- Phương án phân rã thành bản rõ ra cơ sở dữ liệu (offline): dữ liệu LDAP được đồng bộ offline với LDAP server. Thời gian để xác thực một tin điện như sau (micro second):
o Lấy thông tin chứng thư số: 2.510
o Kiểm tra MAC: 1.244
o Xác thực tin điện: 4.740
o Xử lý tin điện: 966
o Tổng thời gian: 9.460
Ký và xác thực tin điện tại CI
- Thực hiện ký thành công chuỗi vào.
- Thực hiện xác thực thành công với chuỗi chữ ký vào.
Đồng bộ dữ liệu LDAP tại CI từ PPC
- Thực hiện đồng bộ thành công.
8.4.4 Đánh giá
Tất cả các giải pháp đề xuất và các tiến trình thực hiện đều đã được kiểm nghiệm thực tế hoặc thử nghiệm một phần (do tính mật và yêu cầu an ninh của NHNN). Các kết quả cho thấy các giải pháp và việc cải tiến trình đã đạt được những kết quả mong muốn (như trình bày trong các nhận xét của chương 8 - mục 8.2).
- Các giải pháp là khả thi.
- Đám ứng được yêu cầu va hiện trạng an toàn bảo mật của hệ thống IBPS.
8.5 HƯỚNG PHÁT TRIỂN
Ứng dụng TimeStamp server
- Tăng cường cơ chế xác thực từ điểm đầu đến điểm cuối.
Cần thêm IKey dành riêng cho quá trình truyền thông tại mỗi CI
- Thêm 01 IKey chứa cặp khóa dành cho vấn đề Truyền thông. - Nhằm:
o Tách bạch Ikey dành cho người kiểm soát liên hàng sẽ chuyên dành cho ký, xác thực và Ikey dành truyền thông cho mã hóa.
o Đảm bảo độc lập về vấn đề ký, xác thực và truyền thông.
Tăng cường khả năng chống chối bỏ, xác thực người dùng
- Việc xác thực người dùng hiện tại là xác thực hai nhân tố (IKey và PIN) - Do yêu cầu của hệ thống IBPS bắt buộc người kiểm soát liên hàng phải tham
gia trực tiếp vào quá trình kiểm soát (duyệt) tin điện giao dịch. Do đó, việc ứng dụng xác thực người dùng tại CI bằng sinh trắc là phù hợp. (như trong phân tích Chương 6 - mục 6.1.2.1)
Thử nghiệm
- Cần năng cao khả năng xử lý của hạ tầng phần cứng và mạng để đáp ứng khả năng đồng bộ dữ liệu LDAP online.
KẾT LUẬN
Những kết quả đạt được
Với mục đích đề tài “Nghiên cứu giải pháp ứng dụng hạ tầng khóa công khai (PKI) trong hệ thống thanh toán điện tử liên ngân hàng (IBPS) - ngân hàng nhà nước Việt Nam”. Tôi đã tiến hành nghiên cứu tìm hiểu và trình bày các kết quả nghiên cứu về các vấn đề:
- Khái niệm về mật mã, chữ ký số, chứng thư số và tổng quan về Hạ tầng khóa công khai - PKI.
- Tổng quan về mô hình, các thành phần và tổng quát các hoạt động chính của Hệ thống CA NHNN.
- Tổng quan về mô hình, các thành phần, dịch vụ và hoạt động của Hệ thống thanh toán điện tử liên ngân hàng thuộc NHNN.
Dựa trên các kết quả nghiên cứu tìm hiểu, Tôi đã tiến hành phân tích, đánh giá và đặc biệt là đề xuất các giải pháp cho hệ thống tích hợp hệ thống CA NHNN với hệ thống thanh toán điện tử liên ngân hàng (IBPS):
- Tổng quát vấn đề an toàn bảo mật của hệ thống IBSP trước khi tích hợp với hệ thống CA. Phân tích vấn đề bảo mật tầng ứng dụng của hệ thống IBPS, những vấn đề ứng dụng hiệu quả nhất mã khóa công khai.
- Phân tích đánh giá hiện trạng hệ thống đã tích hợp.
- Đề xuất các giải pháp cải tiến nâng cao hiệu quả bảo mật an toàn cho hệ thống thanh toán điện tử liên ngân hàng.
Đánh giá kết quả
- Các giải pháp do Tôi đề xuất:
o Làm tăng khả năng an toàn bảo mật của hệ thống IBPS.
o Nâng cao hiệu quả bảo mật an toàn cho hệ thống thanh toán điện tử liên ngân hàng khi tích hợp mã khóa công khai.
- Tính khả thi của các giải pháp đề xuất là cao và nó cũng phù hợp đặc thù hệ thống cũng khả năng đầu tư của Ngân hàng nhà nước Việt Nam.
Hướng phát triển
Tuy nhiên, với kiến thức còn hạn chế về Hạ tầng khóa công khai cũng chưa có nhiều kinh nghiệm ứng dụng PKI vào thực tế, nên Tôi vẫn chưa đưa ra được các giải pháp mang tích đột phá nhằm mang lại hiệu quả cao nhất cho hệ thống.
Thông qua luận văn này, Tôi hy vọng sẽ có những đóng góp cụ thể trong công việc của mình và kết quả của luận văn sẽ có những ứng dụng thực tiễn, khi thực hiện dự án nâng cấp hệ thống tích hợp tại của ngân hàng nhà nước Việt Nam trong thời gian tới.
Với ham muốn nghiên cứu và tìm hiểu sâu về hạ tầng khóa công khai, Tôi mong muốn có nhiều cơ hội được tìm hiểu, ứng dụng và triển khai các mô hình khác nhau của PKI.
TÀI LIỆU THAM KHẢO
Tài liệu tiếng Việt
[1] Nguyễn Thúc Hải (1997), Mạng máy tính và các hệ thống mở, Nhà xuất bản Giáo dục.
[2] Phạm Huy Điển, Hà Huy Khoái (2003), Mã hoá thông tin cơ sở toán học và ứng dụng, Nhà xuất bản Đại học Quốc gia Hà nội.
[3] Phan Đình Diệu (1999), Lý thuyết mật mã và an toàn thông tin, Đại học Quốc Gia Hà Nội, Hà Nội.
[4] Trịnh Nhật Tiến (2004), Một số vấn đề về an toàn dữ liệu, Hà Nội.
Tài liệu tiếng Anh
[5] Adams, C. (1999), Understanding Public Key Infrastructures, New Riders Publishing, Indianapolis.
[6] Carlisle Adams, Steve Lloyd (2002), Understanding PKI Concepts, Standards, and Deployment Considerations, Second Edition - Addison Wesley
[7] Andrew Nash, William Duance, Celia Joseph, and Derek Brink (2001), PKI Implementing and managing E-Security, McGraw –Hill Co.
[8] Ellison, C.M. (1996), “Simple Public Key Certificate”.
[9] Fegghi, J.(1999), Digital Certificates and Applied Internet Security, Addison-Wesley Longman, Inc.
[10] ITU-T Recommendation X.509 (2000), “The Directory: Public key and Attribute Certificates Framework”.
[11] NIST FIPS PUB 180 – 1 (1994), “Secure Hash Standard”.
[12] Housley, R. (1999), Internet X.509 Public Key Infrastrure Certificate and CRL Profile, RFC 2459.
[13] Myers, M. (1999), X.509 Internet Public Key Infrastrure On-line Certificate Status Protocol, RFC 2560. Web [14] www.entrust.com [15] www.rsasecurity.com [16] www.openca.org [17] www.sbv.gov.vn
PHỤ LỤC
1 MỘT SỐ CHUẨN MẬT MÃ KHOÁ CÔNG KHAI (PKCS)
PKCS - Public Key Cryptography Standards là chuẩn mã hoá khoá công khai do phòng thí nghiệm RSA phát triển. Chuẩn PKCS cung cấp những định nghĩa cơ bản về định dạng dữ liệu và thuật toán là cơ sở nền tảng của việc triển khai PKI.
- PKCS#1 RSA Encryption Standard - Mã và ký sử dụng hệ mã công khai RSA
- PKCS#3 Diffie-Hellman Key Agreement Standard - Chuẩn trao đổi khoá Diffie-Hellman. PKCS#3 mô tả phương pháp thực hiện trao đổi khoá Diffie- Hellman.
- PKCS#5 Password-based Encrytion Standard - Chuẩn mã hoá dựa trên password. PKCS#5 mô tả phương pháp mã xâu bát phân sử dụng khoá bí mật được tính từ password để sinh ra xâu bát phân được mã hoá. PKCS # 5 có thể được sử dụng để mã hoá khoá riêng trong việc truyền khoá bí mật. - PKCS#6 Extended Certificate Syntax Standard - Chuẩn cú pháp chứng thư
số mở rộng. PKCS # 6 định nghĩa cú pháp chứng thư số X.509 mở rộng. - PKCS#7 Crytographic Message Syntax Standard - Chuẩn cú pháp thông điệp
mật mã. PKCS#7 xác định cú pháp tổng thể dữ liệu được mã hoá ví dụ như chữ ký số. PKCS#7 cung cấp một số lựa chọn định dạng: message không mã hoá hoặc ký số, message được mã hoá, message được ký số và message có cả ký số và mã hoá.
- PKCS#8 Private Key Information Syntax Standard - Chuẩn cú pháp thông tin riêng. PKCS#8 định nghĩa cú pháp thông tin khoá bí mật và cú pháp khoá bí mật được mã hoá.
- PKCS#9 Selected Attribute Types - Những loại thuộc tính được lựa chọn. PKCS#9 định nghĩa những loại thuộc tính được lựa chọn sử dụng trong chứng thư số mở rộng PKCS#6, thông điệp ký số PKCS#7, thông tin khoá bí mật
- PKCS#8 và yêu cầu ký chứng thư số PKCS#10. Những thuộc tính chứng thư số được chỉ rõ ở đây gồm có địa chỉ thư, loại nội dung, bản tóm tắt thông điệp, thời gian ký, password yêu cầu và những thuộc tính chứng thư số mở rộng. - PKCS#10 Certification Request Syntax Standard - Chuẩn cú pháp yêu cầu
chứng thư số. PKCS#10 định nghĩa cú pháp yêu cầu chứng thư số. Yêu cầu chứng thư số gồm tên phân biệt, khoá công khai và tập các thuộc tính tuỳ chọn, chữ ký của thực thể yêu cầu chứng thư số.
- PKCS#11 Cryptographic Token Interface Standard - Chuẩn giao diện thẻ bài mật mã. PKCS#11 xác định giao diện lập trình ứng dụng (Application programming interface - API) cho thiết bị người sử dụng chứa thông tin mã hoá (cũng như khoá mã hoá và chứng thư số) và thực hiện chức năng mã hoá.Smart Card là thiết bị đặc trưng thực hiện Cryptoki.
- PKCS#12 Personal Information Exchange Syntax Standard - Chuẩn cú pháp trao đổi thông tin cá nhân. PKCS#12 định nghĩa định dạng thông tin nhận diện cá nhân bao gồm khoá bí mật, chứng thư số, bí mật đặc tính khác nhau và mở rộng. PKCS#12 làm cho việc truyền chứng thư số và khoá bí mật gắn kèm được thuận tiện, giúp người sử dụng có thể chuyển thông tin nhận diện cá nhân từ thiết bị này sang thiết khác.
- PKCS#13 Elliptic Curve Crytography Standard - Chuẩn mật mã đường cong elliptic. PKCS#13 bao gồm việc tạo tham số đường cong elliptic và kiểm tra hiệu lực, tạo khoá và công nhận giá trị, chữ ký số và mã hoá khoá công khai cũng như thoả thuận khoá.
- PKCS#14 Pseudo-Random Number Generation Standard - Chuẩn tạo số giả ngẫu nhiên. Nhiều hàm mật mã cơ bản được sử dụng trong PKI như tạo khoá và thoả thuận khoá bí mật Diffie - Hellman sử dụng dữ liệu ngẫu nhiên. Tuy nhiên nếu dữ liệu ngẫu nhiên lại không ngẫu nhiên mà được chọn từ tập giá trị có thể tiên đoán được thì hàm mật mã không bảo mật được đầy đủ. Do đó tạo số giả ngẫu nhiên an toàn là điều quan trọng đối với bảo mật PKI.
2 IKEY 1032
iKey 1032 là thiết bị phần cứng (token) cung cấp các xử lý mã hóa và lưu trữ bảo mật cho người sử dụng dựa trên kết nối USB đơn thuần. Đây là một thiết bị nhỏ
gọn, sử dụng công nghệ của smart card nhưng thay vì cần có đầu đọc thẻ trực tiếp, nó có thể giao tiếp với máy tính qua cổng USB. Đặc trưng này của iKey 1032 giúp nó có thể được dễ dàng sử dụng hay tích hợp vào bất cứ hệ thống máy tính nào có sử dụng kết nối USB.
iKey 1032 có thể tạo các khóa bí mật cũng như lưu trữ khóa và chứng thư số với mục đích xác thực các máy client cho các ứng dụng xác thực mạng, truy cập Web, VPN, mã hóa email hay các ứng dụng chữ ký số trên nền tảng PKI của hệ thống. Với sự hỗ trợ một số lượng lớn các giải thuật mã hóa chuẩn, iKey 1032 có thể tích hợp với các ứng dụng sẵn có để nâng cao khả năng bảo mật cho khách hàng khi tham gia vào giao dịch trên mạng. Bộ điều khiển mã hóa của iKey cung cấp một môi trường để tạo và quản lý các khóa mã hóa. Nó cũng là thành phần để thực hiện trực tiếp các thao tác mã hóa cần sự an toàn (private) trên phần cứng của iKey 1032. Các thao tác thực hiện mã hóa một cách công khai có thể thực hiện với thư viện phần mềm đi kèm để đảm bảo hiệu suất hoạt động của hệ thống.
Dữ liệu lưu trữ trên iKey 1032 đảm bảo tính toàn vẹn và an toàn. Việc truy cập đến dữ liệu an toàn được đảm bảo vì cần phải có sự xác thực chính xác dựa trên danh tính