- Tại CI khi kiểm soát giao dịch người kiểm soát phải cắm iKey của mình vào máy.
- Kiểm tra người kiểm soát giao dịch (của ngân hàng gửi):
o Kiểm tra chứng thư số của người kiểm soát còn hiệu lực trong Cơ sở dữ liệu.
Nếu không tìm thấy: Kiểm tra chứng thư số của người kiểm soát hết hiệu lực trong Cơ sở dữ liệu.
• Nếu có: thông báo chứng thư số đã hết hiệu lực.
• Nếu không có: thông báo chưa có chứng thư số trong Cơ sở dữ liệu, đề nghị cập nhật lại thông tin chứng thư số.
Nếu tìm thấy: thực hiện bước tiếp theo.
o Kiểm tra thông tin về chứng thư số còn hiệu lực có bị thay đổi (MAC). Nếu có sự thay đổi thì thông báo lỗi và cập nhật lại thông tin chứng thư số.
o Kiểm tra Serrial của chứng thư số có tồn tại trong IKEY. Nếu không tồn tại trong IKEY thì thông báo chứng thư số trong IKEY không hợp lệ.
o Kiểm tra thời gian hết hạn chứng thư số trong IKEY với ngày giao dịch. Nếu không hợp lệ thì thông báo chứng thư số trong IKEY đã hết hạn.
o Xác thực chứng thư số trong IKEY bằng SUBCERT. Nếu xác thực không đúng thì thông báo chứng thư số trong IKEY không hợp lệ. - Kiểm tra thông tin chứng thư số người xác thực giao dịch (ngân hàng nhận):
o Lấy thông tin chứng thư số người ký giao dịch trong Cơ sở dữ liệu. Nếu không tìm thấy thông tin thì thông báo cập nhật lại thông tin chứng thư số.
o Kiểm tra thông tin chứng thư số về người ký giao dịch có bị thay đổi (MAC) và xác thực chứng thư số của người ký giao dịch bằng SUBCERT. Nếu thông tin thay đổi hoặc xác thực chứng thư số không đúng thì thông báo cập nhậ lại thông tin chứng thư số.
o Kiểm tra chứng thư số của người ký giao dịch còn hiệu lực:
Nếu chứng thư số hết hiệu lực: Thực hiện so sánh thời gian xác thực tin điện tại PPC và thời gian hết hiệu lực của chứng thư số. Nếu thời gian không hợp lệ thì thông báo lỗi.
Nếu chứng thư số còn hiệu lực: thực hiện bước tiếp theo. - Thực xác thực giao dịch
So sánh với hiện trạng tác nghiệp
- Kiểm tra người kiểm soát giao dịch bên gửi (của ngân hàng gửi):
o Kiểm tra hiệu lực chứng thư số.
Hệ thống tích hợp hiện tại chỉ kiểm tra hiệu lực chứng thư số từ cơ sở dữ liệu nội tại (dữ liệu chứng thư số được cập nhật thông qua quá trình đồng bộ dữ liệu LDAP).
Hệ thống đề xuất sẽ kết hợp việc kiểm tra hiệu lực chứng thư số tại cơ sở dữ liệu và trên IKey.
o Xác thực chứng thư số người kiểm soát giao dịch bên gửi bằng Sub CA.
Hệ thống tích hợp hiện tại chỉ xác thực chứng thư từ cơ sở dữ liệu nội tại (dữ liệu chứng thư số được cập nhật thông qua quá trình đồng bộ dữ liệu LDAP).
Hệ thống đề xuất sẽ kết hợp việc xác thực chứng thư số tại cơ sở dữ liệu và trên IKey.
- Kiểm tra thông tin chứng thư số người xác thực:
o Kiểm tra hiệu lực chứng thư số trên IKey.
Hệ thống tích hợp hiện tại chỉ kiểm tra hiệu lực chứng thư từ cơ sở dữ liệu nội tại (dữ liệu chứng thư số được cập nhật thông qua quá trình đồng bộ dữ liệu LDAP).
Hệ thống đề xuất sẽ kết hợp việc kiểm tra hiệu lực chứng thư số tại cơ sở dữ liệu và trên IKey.
o Xác thực chứng thư bằng Sub CA.
Hệ thống tích hợp hiện tại chỉ xác thực chứng thư từ cơ sở dữ liệu nội tại (dữ liệu chứng thư số được cập nhật thông qua quá trình đồng bộ dữ liệu LDAP).
Hệ thống đề xuất sẽ kết hợp việc xác thực chứng thư số tại cơ sở dữ liệu và trên IKey.
- Thực hiện một số thay đổi thuật toán xử lý nhằm tăng độ xử lý.
8.3.5.3 Xử lý file đồng bộ dữ liệu LDAP tại CI
Việc đồng bộ dữ liệu LDAP không có thay đổi so với hệ thống hiện tại (chương 7 - mục 7.2.3.3)
8.4 KIỂM NGHIỆM
8.4.1 Xây dựng chương trình
Từ các giải pháp đề xuất và việc thực hiện cải tiến các tiến trình thực hiện, tôi đã tiến hành xây dựng một số các chương trình, ứng dụng để thử nghiệm. Các chương trình, ứng dụng thử nghiệm này nhằm mục đích chứng minh các vấn đề đã đề xuất, cũng như đánh giá việc ứng thực tế từ những kết quả thử nghiệm.
Vì lý do khách quan, hiện tại việc demo chương trình, ứng dụng là khá phức tạp cũng như tính mật và vấn đề an ninh của hệ thống IBPS. Do vậy, trong khuân khổ của luận văn này chỉ trình bày một số hình ảnh giao diện, đoạn code của các chương trình thử nghiệm.
8.4.1.1 Chương trình ứng dụng tại client (tại các CI)
Môi trường phát triển
- Ngôn ngữ: AnsiC/C++, C#, VB .Net; - Môi trường: Windows XP, Ms. SQL server
- Các lib sử dụng: OpenSSL, OpenLDAP, CAPI, IKey1000, PKCS#11
Phân loại độ dài khóa
- Thuật toán HASH: SHA1 - Khóa ký: RSA 1024/RSA 2048
STT Thông tin RSA 1024 RSA 2048
1 Độ dài khóa 128 Bytes 256 Bytes
2 Độ dài khóa + phần định danh 140 Bytes (128 Bytes khóa và 12 Bytes định danh)
270 Bytes (256 Bytes khóa và 14 Bytes định danh)
3 Độ dài chữ ký ở dạng Base64 172 Bytes 344 Bytes
giờ ký tại CI + Serial + Giờ xác thực tại RPC 5 Tổng độ dài phần chữ ký: Chữ ký + Ngày giờ ký tại CI + Serial + Giờ xác thực tại RPC
200 Bytes 372 Bytes
Một số hàm chính và hình ảnh giao diện
- rsa_sign: thực hiện ký tin điện với thông tin lấy từ IKey.
/********************************************************************** int rsa_sign(CK_SESSION_HANDLE hSession, CK_BYTE input_msg[], int
input_len, CK_BYTE output_msg[], CK_OBJECT_HANDLE hKey); * ---*/