Một số chức năng khác

Một phần của tài liệu đồ án kỹ thuật viễn thông Quản lý và cấp phát mã khóa công khai ngân hàng nhà nước Việt Nam (NHNN) (Trang 33)

Hệ thống PKI thực hiện chức năng chứng thực, thẩm tra cùng với một số chức năng phụ trợ khác. Dưới đây là một số chức năng và dịch vụ được hầu hết các hệ thống PKI cung cấp. Một số những chức năng khác có thể được định nghĩa tuỳ theo yêu cầu cụ thể của các hệ thống PKI.

Đăng ký

Đăng ký là quá trình đến hoặc liên lạc với các tổ chức, trung tâm tin cậy để đăng ký các thông tin và xin cấp chứng thư số. RA và CA là những thực thể trong quá trình đăng ký. Quá trình đăng ký phụ thuộc vào chính sách của tổ chức. Nếu chứng thư số được cung cấp với mục đích dùng cho những hoạt động bí mật thì sử dụng phương pháp gặp mặt trực tiếp. Nếu chứng thư số chỉ được sử dụng cho những mục đích, hoạt động thường thì có thể đăng ký qua những ứng dụng viết sẵn hoặc ứng dụng điện tử.

Khởi tạo ban đầu

Khi hệ thống trạm của chủ thể nhận được các thông tin cần thiết để liên lạc với CA thì quá trình khởi tạo bắt đầu. Những thông tin này có thể là khoá công khai của CA, chứng thư số của CA, cặp khóa công /bí mật của chủ thể.

Một số hệ thống khác sử dụng cơ chế dựa trên password trong giai đoạn khởi tạo. Người dùng cuối liên lạc với CA khi nhận được password và sau đó thiết lập một kênh bảo mật để truyền những thông tin cần thiết. Giai đoạn khởi tạo thường tiếp tục với quá trình chứng thực.

Khôi phục cặp khoá

Hầu hết hệ thống PKI tạo ra hai cặp khoá cho người sử dụng cuối, một để ký số và một để mã hoá. Lý do để tạo hai cặp khoá khác nhau xuất phát từ yêu cầu khôi phục và sao lưu dự phòng khoá.

Tuỳ theo chính sách của tổ chức, bộ khoá mã (mã và giải mã) và những thông tin liên quan đến khoá của người sử dụng phải được sao lưu để có thể lấy lại được dữ liệu khi người sử dụng mất khoá bí mật hay rời khỏi đơn vị.

Còn khoá để ký số được sử dụng tuỳ theo mục đích cá nhân nên không được sao lưu. Riêng khoá bí mật của CA thì được lưu giữ dự phòng trong một thời gian dài để giải quyết những vấn đề nhầm lẫn có thể xảy ra trong tương lai. Hệ thống PKI có những công cụ để thực hiện chức năng sao lưu và khôi phục khoá.

Tạo khoá

Cặp khoá công khai/bí mật có thể được tạo ở nhiều nơi. Chúng có thể được tạo ra bằng phần mềm phía client và được gửi đến CA để chứng thực. CA cũng có thể tạo ra cặp khoá trước khi chứng thực. Trong trường hợp này, CA tự tạo cặp khoá và gửi khoá bí mật này cho người sử dụng theo một cách an toàn. Nếu khoá do bên thứ ba tạo ra thì những khoá này phải được CA tin cậy trong miền xác nhận trước khi sử dụng.

Hạn sử dụng và cập nhật khoá

Một trong những thuộc tính của chứng thư số là thời gian hiệu lực. Thời gian hiệu lực của mỗi cặp khoá được xác định theo chính sách sử dụng. Các cặp khoá của người sử dụng nên được cập nhật khi có thông báo về ngày hết hạn. Hệ thống sẽ thông báo về tình huống này trong một thời gian nhất định. Chứng thư số mới sẽ được người cấp công bố tự động sau thời gian hết hạn.

Xâm hại khoá

Đây là trường hợp không bình thường nhưng nếu xảy ra thì khoá mới sẽ được công bố và tất cả người sử dụng trong hệ thống sẽ nhận thấy điều này. Xâm hại đến khoá của CA là một trường hợp đặc biệt. Và trong trường hợp này thì CA sẽ công bố lại tất cả các chứng thư số với CA-certificate mới của mình

Thu hồi

Chứng thư số được công bố sẽ được sử dụng trong khoảng thời gian có hiệu lực. Nhưng trong trường hợp khoá bị xâm hại hay có sự thay đổi trong thông tin của chứng thư số thì chứng thư số mới sẽ được công bố, chứng thư số cũ sẽ bị thu hồi.

Công bố và gửi thông báo thu hồi chứng thư số

Một chứng thư số được cấp cho người sử dụng cuối sẽ được gửi đến cho người nắm giữ và hệ thống lưu trữ để có thể truy cập công khai. Khi một chứng thư số bị thu hồi vì một lý do nào đó, tất cả người sử dụng trong hệ thống sẽ được thông báo về việc này. Phương thức để công bố và gửi những thông báo thu hồi đã được đề cập chi tiết trong nội dung về chứng thư số ở phần trên.

Xác thực chéo

Xác thực chéo là một trong những đặc tính quan trọng nhất của hệ thống PKI. Chức năng này được sử dụng để nối hai miền PKI khác nhau. Xác thực chéo là cách để thiết lập môi trường tin cậy giữa hai CA dưới những điều kiện nhất định.

Những điều kiện này được xác định theo yêu cầu của người sử dụng. Những người sử dụng ở các miền khác nhau chỉ có thể giao tiếp an toàn với người khác sau khi việc xác thực chéo giữa các CA thành công.

Xác thực chéo được thiết lập bằng cách tạo chứng thư số CA xác thực lẫn nhau. Nếu CA-1 và CA-2 muốn thiết lập xác thực chéo thì cần thực hiện một số bước sau:

- CA-2 công bố CA - certificate cho CA-1.

- CA-1 và CA-2 sẽ sử dụng những trường mở rộng xác định trong chứng thư số để đặt những giới hạn cần thiết trong CA-certificate.

Việc xác thực chéo đòi hỏi phải có sự kiểm tra cẩn thận các chính sách PKI. Nếu cả hai đều có cùng hoặc tương tự chính sách của nhau thì việc xác thực chéo sẽ có ý nghĩa. Ngược lại, sẽ có những tình huống không mong muốn xuất hiện trong trường hợp chính sách PKI của một miền trở thành một phần của miền khác.

Trường mở rộng “Policy mapping”, “name constraints” và “policy constraints” của chứng thư số X.509 chuẩn được sử dụng trong xác thực chéo để đưa ra một số giới hạn trong môi trường tin cậy.

Hình 2.7 minh hoạ đường dẫn cấp chứng thư số được xây dựng giữa 2 CA (2 CA này đã thiết lập mối quan hệ tin cậy sử dụng xác thực chéo ngang hàng).

Mô hình chỉ ra chứng thư số chéo được cấp giữa mỗi CA và chứng thư số thực thể cuối được CA cấp. Người cấp của một chứng thư số là chủ thể của chứng thư số khác. Khoá công khai được xác nhận trong một chứng thư số tương ứng với khoá bí mật được sử dụng để ký chứng thư số khác.

Hình 2.7: Đường dẫn chứng thư số chéo 2.4 MÔ HÌNH TIN CẬY CHO PKI (adsbygoogle = window.adsbygoogle || []).push({});

X.509 định nghĩa sự tin cậy như sau: “Một thực thể có thể được nói là tin cậy với một thực thể thứ hai nếu nó (thực thể đầu tiên) tạo ra sự đảm bảo rằng thực thể thứ hai sẽ thực hiện chính xác như thực thể thứ nhất mong đợi” [10].

Định nghĩa này có thể được diễn đạt lại về mặt PKI như sau: một thực thể cuối tin cậy một CA khi thực thể cuối cho rằng CA sẽ thiết lập và duy trì sự gắn kết các thuộc tính của khoá công khai một cách chính xác.

Có một số mô hình tin cậy có thể được áp dụng hoặc được đề xuất để sử dụng trong hạ tầng mã khoá công khai - PKI dựa trên X.509:

- Single CA Model (mô hình CA đơn) - Hierarchical Model (Mô hình root)

- Mesh Model (Mô hình mắt lưới - mô hình xác thực chéo) - Hub and Spoke (Bridge CA) Model (Mô hình cầu CA) - Web Model (Trust Lists) (Mô hình web)

- User Centric Model (Mô hình người sử dụng trung tâm)

Mỗi mô hình đều có ưu và nhược điểm riêng. Việc lựa chọn mô hình nào tuỳ thuộc vào những yêu cầu mục đích của cộng đồng người dùng, tổng chi phí, thời gian triển khai, nhân lực quản lý, công nghệ hỗ trợ và một số vấn đề liên quan khác. Luận văn này sẽ tập trung xem xét mô hình root mô hình được cân nhắc để xây dựng hệ thống CA NHNN.

Hình 2.8: Mô hình root

- Các CA được tổ chức theo cấp bậc

- Root CA cấp chứng thư số cho các SubCA, user

- SubCA cấp chứng thư số cho user thuộc tổ chức của mình - Toàn bộ user trong hệ thống tin cậy RootCA

Ưu điểm của mô hình Root

- Có thể quản lý, đưa ra chính sách, quản trị một cách thống nhất trong toàn Ngành

o Dễ đưa các chính sách quản lý hành chính vào trong các ứng dụng tích hợp PKI

- Dễ dàng thêm SubCA khi có nhu cầu - Dễ xây dựng đường chứng thư số

o Chỉ cần tìm ngược đường chứng thư số Bottom-up dựa vào trường issuer trong chứng thư số của thực thể con đến root CA hoặc explicit issue CA của thực thể

o Thuật toán đơn giản, dễ tích hợp với các ứng dụng và các thiết bị. - Đường chứng thư số ngắn

o Số truy cập vào directory ít, không tốn nhiều băng thông

o Thời gian để kiểm định ngắn, chi phí tính toán thấp

o Chi phí cho thiết bị thấp, dễ tích hợp vào thiết bị - License cho phần mềm CA thấp

o Cùng một số chứng thư số, càng ít root CA, giá thành càng thấp

Nhược điểm của mô hình Root

- Khó khăn khi tích hợp với CA đã có

o Không thể chuyển một Root CA đã có thành sub CA của một CA khác - Rất nguy hiểm khi khóa Root bị lộ

o Toàn bộ hệ thống bị mất điểm tin cậy, việc phục hồi gặp nhiều khó khăn

o Rất khó xảy ra, vì root CA key thường được giữ offline, ít dùng và bảo quản an toàn

Đánh giá

- Chặt chẽ, thống nhất về mặt kiến trúc - Thuận lợi khi phát triển trong tương lai

CHƯƠNG 3

TỔNG QUAN VỀ GIẢI PHÁP PKI CỦA ENTRUST (adsbygoogle = window.adsbygoogle || []).push({});

Hiện nay có nhiều sản phẩm phần mềm quản trị CA: Entrust CA, Microsoft CA, RSA Keon,…

Sản phẩm phần mềm Entrust CA là sản phẩm đi đầu trong lĩnh vực PKI, được hãng Entrust phát triển với mục đích tạo ra một hệ thống quản lý cấp phát chứng thư số, khoá của người dùng giúp cho việc nhận dạng số và xác thực mọi giao dịch cần phải bảo mật, an toàn, xác thực.

Entrust CA có thể sử dụng chữ ký số, mã hoá, phân quyền đáp ứng cho phần lớn các ứng dụng sử dụng chứng thư số.

Sau đây là những giới thiệu tổng quan về giải pháp PKI của Entrust

3.1 CÁC TÍNH NĂNG NỔI BẬT CỦA ENTRUST CA

- Cung cấp, đáp ứng số người sử dụng lớn.

- Sử dụng các lớp user quản trị, rất đa dạng và hiệu quả. Quản trị CA (bao gồm 3 người), quản trị user (các admin), quản trị CP và CPS (các officer).. - Các quy trình sinh khóa, cập nhật, khôi phục, thu hồi chuyên nghiệp, tuân

theo đúng các tiêu chuẩn quốc tế.

- Hỗ trợ nhiều cặp khóa cho một chứng thư số (1 key pair, 2 key pairs, 3 key pairs, 4 key pair) và phù hợp với nhiều tính năng sử dụng khác nhau.

- Độ dài khoá mã: 1024 bits - 6144 bits.

- Hệ thống sử dụng đơn giản, dễ dàng. Tính năng quản trị thân thiện thông qua giao diện Windows form và Web base.

- Quản trị các kiểu chứng thư số, và tương ứng là các loại người dùng, các vai trò (role).

- Hỗ trợ đa dạng các loại Directory tiên tiến và dễ dàng lựa chọn. Directory có thể đặt trên CA server hoặc một server riêng biệt. Có thể sử dụng nhiều Directory với một CA.

3.2 KIẾN TRÚC HỆ THỐNG ENTRUST CA

Các thành phần của hệ thống Entrust CA chuẩn:

Hình 3.1: Các thành phần của hệ thống Entrust CA chuẩn

Entrust Authority™ Security Manager

Là thành phần chính của hệ thống, thực hiện các chức năng:

- Tạo chứng thư số cho người dùng, ứng dụng (xác thực cho các khoá công khai)

- Bảo trì cơ sở dữ liệu hệ thống, cho phép phục hồi các cặp khoá người dùng - Buộc hệ thống tuân thủ các thủ tục bảo mật

Thành phần Entrust Authority™ Security Manager Control

Thành phần này thực hiện các chức năng: - Khởi động / Tắt dịch vụ Entrust CA - Quản lý CSDL của Entrust CA

- Khôi phục lại mật khẩu của Security Officer.

Thành phần Entrust Authority™ Security Manager Database

Thành phần này đảm bảo việc lưu trữ các thông tin của hệ thống CA như thông tin về lịch sử khoá, thông tin phục vụ việc phục hồi các cặp khoá người dùng (khoá mã hoá). Thành phần này thực hiện các chức năng sau:

- Lưu thông tin trạng thái người dùng

- Lưu thông tin khoá và chứng thư số của người dùng

- Lưu thông tin về chính sách người dùng và chính sách bảo mật - Lưu thông tin các chứng thư số bị thu hồi

Thành phần này là 1 ứng dụng nhằm cung cấp giao diện cho người điều hành hệ thống (người được tin cậy) thực hiện các chức năng của hệ thống CA như:

- Bổ sung người dùng (xác thực chứng thư số người dùng) - Quản lý người dùng và chứng thư số của họ (adsbygoogle = window.adsbygoogle || []).push({});

- Quản lý chính sách bảo mật - Xây dựng cây xác thực

Thành phần Directory - Entrust Ready Database

Thành phần này thực hiện việc lưu trữ để phân phối chứng thư số của người dùng hệ thống CA và 1 số thông tin khác tới tất cả người dùng và ứng dụng cần sử dụng. Hệ thống này là hệ thống tương thích LDAP (Lightweight Directory Access Protocol). Cụ thể hệ thống này phục vụ hệ thống CA bằng việc lưu trữ các thông tin sau:

- Chứng thư số số người dùng

- Danh sách các chứng thư số bị thu hồi - Thông tin chính sách người dùng

Thành phần Client

Đây là thành phần người dùng cuối, thành phần này là các ứng dụng có khả năng khai thác dịch vụ mà hệ thống CA mang lại. Các ứng dụng này bao gồm:

- Ứng dụng mã hoá trong giao dịch ngân hàng trực tuyến - Ứng dụng ký điện tử trong giao dịch ngân hàng trực tuyến - Ứng dụng gửi thư điện tử đảm bảo

- Các ứng dụng sử dụng giao dịch trực tuyến khác

3.3 CẤP PHÁT CHỨNG THƯ SỐ THEO MÔ HÌNH WEB-BASED CỦA ENTRUST CA

Theo mô hình chuẩn của Entrust CA, người dùng (end-user) sau khi đăng ký xin cấp chứng thư số từ nhà cung cấp dịch vụ CA thì phải cài thành phần client (Entrust Security Provider hoặc Entrust Desktop Solution) tại máy trạm để lấy chứng thư số về. Ngoài ra hãng Entrust còn cung cấp thêm một thành phần lựa chọn khác để giúp người dùng không cần phải cài đặt thành phần client trên máy trạm mà vẫn có thể lấy được chứng thư số của mình thông qua giao diện Web base (Web Certificates).

Web-Certificate là gì?

Web-Certificate là một loại chứng thư số (bao gồm 1 cặp khóa) được phát hành cho một ứng dụng trên mạng.

Các loại ứng dụng có thể sử dụng được Web-Certificate: - Web browsers

- Web servers - Email client - VPN Device

Sinh Web-Certificate để:

- Ký dữ liệu (giao dịch, tệp dữ liệu) - Gửi và nhận email đã được ký, mã hóa

- Thiết lập được kênh bảo mật trong phiên làm việc của Web (SSL) Kiến trúc mô hình lấy chứng thư số qua giao diện Web của Entrust CA.

Hình 3.2: Kiến trúc mô hình lấy chứng thư số qua giao diện Web

Như vậy so với mô hình chuẩn của Entrust CA, trong thành phần mô hình cấp phát chứng thư số qua Web sẽ cần thêm một máy chủ để làm Web-Server.

Hình 3.3: Cấp phát chứng thư số qua Web

Quy trình cấp phát chứng thư số qua Web.

- Bước 1: Người dùng đăng kí với nhà cung cấp dịch vụ CA (gọi tắt là CA) để xin cấp chứng thư số.

Một phần của tài liệu đồ án kỹ thuật viễn thông Quản lý và cấp phát mã khóa công khai ngân hàng nhà nước Việt Nam (NHNN) (Trang 33)

(134 trang)