Đõy là thành phần quan trọng trong hệ thống. CA được thiết lập và khởi tạo khi chạy lần đầu để sinh cặp khoỏ và chứng chỉ cho CA.
CA cú chức năng cấp chứng chỉ cho cỏc thực thể, xử lý cỏc yờu cầu của RA, quản lý cỏc chứng chỉ được cấp và cỏc chứng chỉ hết hiệu lực.
Việc khởi tạo của CA được chia ra trong hai trường hợp: RootCA và nonRootCA.
* Trường hợp RootCA: CA sẽ tự ký certificate (self-signed). Qỳa trỡnh khởi tạo Intialization được chia ra thành ba bước:
+ Khởi tạo cơ sở dữ liệu dựng để lưu cỏc certificate trờn mỏy RootCA. + Thực hiện sinh tệp khoỏ và tệp self – sign certificate cho RootCA bằng chức năng “Generate Root CA key and empty CRL ”.
+ Sinh ra một tệp CRL trống “empty”, sau đú gửi empty CRL và chứng chỉ Root CA lờn LDAP server.
* Trường hợp NonRootCA: yờu cầu cấp chứng chỉ được CA ở mức cao hơn ký. Quỏ trỡnh khởi tạo gồm cỏc bước sau:
+ Khởi tạo cơ sở dữ liệu.
+ Tạo file khoỏ và yờu cầu cho nonRoot CA.
+ Gửi file yờu cầu lờn RootCA ký và nhận certificate về.
+ Ghộp nội dung tệp certificate vào đầu tệp chain.crt tạo nờn chuỗi chain cỏc certificate thụng qua việc sử dụng chức năng re-build chain.
+ Gửi chuỗi chain cỏc chứng chỉ CA (CA certificate chain) và empty CRL lờn LDAP server.
Hỡnh 3.5 dưới đõy là mụ hỡnh mụ phỏng hệ thống MyCA phõn cấp hai tầng.
Hỡnh 3.5: Mụ hỡnh mụ phỏng hệ thống MyCA phõn cấp hai tầng 3.2.2 Registration Authority - RA
RA cú chức năng xử lý cỏc yờu cầu từ User, xử lý cỏc CRR và CRL. Quỏ trỡnh khởi tạo Root RA và thiết lập quan hệ với RootCA gồm cỏc bước sau:
+ Sinh khoỏ và yờu cầu cấp chứng chỉ cho RA server.
+ Trờn mỏy CA, thực hiện ký Request của RA bằng cỏch ký yờu cầu chứng chỉ, yờu cầu Root RA, RAO.
+ Người quản trị tạo file định dạng PKCS#12 cho RA server. + Chuyển file định dạng PKCS#12 của RA vào trỡnh duyệt.
Root CA
nonRoot RA / RAO
Root CA / RAOs nonRoot CAs
Users Users
LDAP server
3.2.3 RAO
RAO cú một số chức năng chớnh sau:
- Nhập dữ liệu đăng ký của người sử dụng, tạo trỡnh sinh khoỏ với cỏc thụng tin đó đăng ký
- Lấy chứng chỉ, kiểm tra khoỏ cụng khai, in giấy chứng nhận cấp chứng chỉ, phỏt hành chứng chỉ lờn LDAP
- Cập nhật lại danh sỏch cỏc chứng chỉ đó huỷ bỏ và in giấy chứng nhận chứng chỉ hết hiệu lực cho người sử dụng
Việc thiết lập kết nối RA - RAO được hoạch định bởi người quản trị RA server, số lượng RAO cần thiết cho hệ thống (thuộc RA đú). Điều này cũn phụ thuộc vào số lượng ID mà RA được phộp cấp cho RAO. Thiết lập RAO gồm cỏc bước sau:
+ Sinh khoỏ và yờu cầu cấp chứng chỉ cho cỏc RAO (trờn mỏy RA). + Ký cỏc yờu cầu cấp chứng chỉ của RAO (RAO request) (trờn mỏy CA). + Tạo file định dạng PKCS#12 với cỏc chứng chỉ nhận được (trờn mỏy RA).
+ Cài file PKCS#12 vào trỡnh duyệt.
3.2.4 LDAP và Public Database Server
Trong hệ thống MyCA cỏc chứng chỉ và CRLs của người sử dụng được trung tõm phỏt hành cần được lưu trữ trờn một CSDL cụng khai để người sử dụng cú thể tải cỏc chứng chỉ hoặc cập nhật CRL từ cơ sở dữ liệu đú. Đồng thời đảm bảo yờu cầu việc cập nhật dữ liệu từ cỏc mỏy server (CA server) và query dữ liệu từ cỏc mỏy client phải nhanh chúng, chớnh xỏc, phự hợp với kiểu dữ liệu cú cấu trỳc như cỏc chứng chỉ. Để đạt được mục tiờu này hiện nay cú nhiều hệ quản trị cơ sở dữ liệu cú thể đỏp ứng. Trong hệ thống MyCA, chỳng tụi đó chọn LDAP làm hệ thống lưu trữ.
Mối quan hệ và trao đổi dữ liệu giữa cỏc thành phần trong hệ thống với Public Database Server được thể hiện trong mụ hỡnh sau:
Hỡnh 3.6: Mụ hỡnh quan hệ và trao đổi dữ liệu giữa cỏc thành phần trong hệ thống
Public Database Server là một hoặc nhiều mỏy cài đặt LDAP Server, trờn đú lưu trữ cỏc chứng chỉ đó được phỏt hành cho người sử dụng, cỏc chứng chỉ của cỏc mỏy server thuộc hệ thống, cỏc CRL do cỏc CA server phỏt hành. Trong hệ thống MyCA, người sử dụng truy cập đến Public Database Server thụng qua trang Web publicdatabase và cú thể thực hiện một trong ba chức năng sau:
- “Download CA certificates chain from LDAP”: chức năng này cho phộp nonRoot CA, Web Server và Web browser tỡm kiếm (theo tờn của CA cú cấp bậc thấp nhất trong cỏc CA phỏt hành ra chuỗi CA cần tỡm) chuỗi cỏc chứng chỉ của CA và tải chuỗi chứng chỉ đú về từ Public Database Server.
- “Download certificates from LDAP”: chức năng này cho phộp nonRoot CA, Web Server và Web browser tỡm kiếm chứng chỉ đó được phỏt hành trờn Public Database Server theo địa chỉ e-mail được đăng ký trong chứng chỉ cần tỡm và tải chứng chỉ đú về.
- “Update CRLs”: chức năng này cho phộp tất cả cỏc mỏy trờn hệ thống CA tỡm kiếm theo tờn CA đó phỏt hành ra CRL cần cập nhật và cập nhật CRL cho hệ thống của mỡnh. MyCA CA RAOs MyCA Users LDAP Server Export CRL, Cert
Export user’s certificates
Query CRLs
3.3 Qui trỡnh đăng ký, cấp phỏt và huỷ bỏ chứng chỉ 3.3.1 Qui trỡnh đăng ký và cấp chứng chỉ 3.3.1 Qui trỡnh đăng ký và cấp chứng chỉ
Người sử dụng cú nhu cầu được cấp chứng chỉ đến trung tõm làm thủ tục đăng ký. Khi đến trung tõm người sử dụng cần đem theo những giấy tờ cú liờn quan đến bản thõn (vớ dụ chứng minh thư). Việc thực hiện quỏ trỡnh đăng ký được nhõn viờn của hệ thống thực hiện qua form RAO.
Hỡnh 3.7: Mụ hỡnh đăng ký và cấp chứng chỉ số
Hỡnh 3.7 ở trờn là mụ hỡnh qui trỡnh đăng ký và cấp chứng chỉ. Cỏc thủ tục cần thực hiện được mụ tả cụ thể như sau:
1a. Cỏ nhõn (hoặc tổ chức) nào đú cú nhu cầu sử dụng chứng chỉ số lờn trung tõm đăng ký, cú đem theo một số giấy tờ cần thiết.
1b. Người quản trị mỏy RAO (nơi đăng ký) đưa thụng tin đó đăng ký từ phớa người sử dụng lờn mỏy RA thụng qua trang putDB (trang này đặt trờn mỏy RA và được thiết lập https). Sau bước này người sử dụng đó cú trỡnh sinh khoỏ riờng gắn với một IDkey duy nhất.
1c. Người sử dụng đem trỡnh sinh khoỏ về (bước này cú thể cú hoặc khụng). Nếu người sử dụng hoàn toàn tin tưởng vào trung tõm thỡ cú thể sinh khoỏ luụn tại trung tõm. 4 1b 5b RA CA 2 5c RAO LDAP User 1a 1c 3 5a
2. Người sử dụng sinh khoỏ (bằng trỡnh sinh khoỏ đó được cấp) và sinh yờu cầu cấp chứng chỉ. Sau đú, gửi yờu cầu này lờn trung tõm (mỏy RA).
3. Người quản trị mỏy RA thực hiện so sỏnh thụng tin đó đăng ký với thụng tin gửi lờn trung tõm qua đường cụng khai, đồng thời kiểm tra chữ ký của người dựng trong yờu cầu cấp chứng chỉ (bằng khoỏ cụng khai được gửi đến). Nếu hoàn toàn hợp lệ thỡ RA sẽ ký lờn yờu cầu cấp chứng chỉ và gửi yờu cầu này sang mỏy CA.
4. Người quản trị mỏy CA kiểm tra chữ ký của RA trờn yờu cầu cấp chứng chỉ của người sử dụng và idKey trong cơ sở dữ liệu xem cú bị trựng khụng, nếu hợp lệ thỡ CA chấp nhận yờu cầu cấp chứng chỉ đú, phỏt hành chứng chỉ (thực hiện ký trờn chứng chỉ) và gửi sang mỏy RA.
5a. Người sử dụng lờn trung tõm đó đăng ký để nhận chứng chỉ số và giấy chứng nhận chứng chỉ số. Để chặt chẽ hơn thỡ khi lờn người sử dụng phải đem theo yờu cầu cấp chứng chỉ (đó cú khi sinh yờu cầu cấp chứng chỉ) lưu trong tệp cú dạng ID.req_txt để trung tõm so sỏnh thụng tin đó đăng ký và khoỏ cụng khai tương ứng với chứng chỉ số. Đõy là bước đảm bảo cấp chứng chỉ số cho đỳng người sử dụng và đảm bảo về mặt phỏp lý.
5b. Người quản trị mỏy RAO lấy chứng chỉ số trờn mỏy RA và cấp chứng chỉ số cựng giấy chứng nhận đó được cấp chứng chỉ số cho người dựng.
5c. Chứng chỉ số của người dựng khi đú đó được cụng nhận trờn toàn bộ hệ thống
CA, được người quản trị mỏy RAO đưa cụng khai lờn mỏy LDAP và người
Hỡnh 3.8: Giấy chứng nhận chứng chỉ số 3.3.2 Qui trỡnh huỷ bỏ chứng chỉ
Trong quỏ trỡnh sử dụng chứng chỉ khi chưa hết thời hạn sử dụng người dựng cú thể yờu cầu huỷ bỏ chứng chỉ với nhiều lý do: chuyển cụng tỏc, thay đổi địa chỉ e-mail, nghi ngờ lộ khoỏ bớ mật….
Qui trỡnh huỷ bỏ chứng chỉ được mụ tả trong hỡnh 3.9.
Hỡnh 3.9: Mụ hỡnh huỷ bỏ chứng chỉ RAO RA LDAP CA User 2 4b 4a 3 1
1. Người sử dụng gửi yờu cầu huỷ bỏ chứng chỉ lờn mỏy RA.
2. RA kiểm tra chữ ký trờn yờu cầu huỷ bỏ chứng chỉ, nếu thấy đỳng thỡ ký sau đú chuyển sang mỏy CA.
3. CA kiểm tra chữ ký của RA trờn yờu cầu huỷ bỏ, nếu đỳng thỡ ký và sau đú chuyển sang mỏy LDAP.
4a. Người quản trị cập nhật danh sỏch cỏc chứng chỉ bị huỷ bỏ.
4b. Người dựng được cấp giấy chứng nhận huỷ bỏ chứng chỉ.
3.4 Thử nghiệm sản phẩm
Hệ thống sau khi xõy dựng được đưa vào thử nghiệm ở hai phớa: người quản trị và người sử dụng.
3.4.1 Thử nghiệm phớa quản trị
Nội dung thử nghiệm cho người quản trị hệ thống cung cấp chứng chỉ số : - Thiết lập CA:
+ Khởi tạo CA
+ Xử lý yờu cầu của RA + Quản lý chứng chỉ
+ Quản lý cỏc chứng chỉ hết hiệu lực - Thiết lập RA:
+ Khởi tạo RA và RAOs
+ Xử lý cỏc yờu cầu của người sử dụng - Thiết lập RAO:
+ Sinh khoỏ, yờu cầu cấp chứng chỉ cho cỏc RAO + Ký cỏc yờu cầu RAO
+ Tạo file định dạng PKCS#12 với cỏc chứng chỉ nhận được
+ Cài đặt PKCS#12 vào trỡnh duyệt (trờn mỏy RAO)
3.4.2 Thử nghiệm phớa người dựng
Người sử dụng sau khi thực hiện đăng ký được cấp phỏt mềm sinh khoỏ, sinh tệp yờu cầu chứng chỉ, chuyển đổi định dạng của chứng chỉ số khi được cấp và một số tiện ớch khỏc phục vụ cho việc đăng ký và sử dụng chứng chỉ.
Nội dung thử nghiệm phớa người sử dụng:
- Đăng ký và nhận chứng chỉ:
+ Đăng ký
+ Sinh tệp khoỏ, tệp yờu cầu cấp chứng chỉ + Nhận chứng chỉ được cấp
- Cài đặt chứng chỉ cho trỡnh duyệt IE: + Cài đặt tiện ớch trợ giỳp
+ Chuyển đổi định dạng chứng chỉ + Cài đặt chứng chỉ cho IE
- Cập nhật chứng chỉ của người dựng khỏc
- Tớch hợp chứng chỉ số được cấp trong eToken (iKey 2000, iKey 2032) - Sử dụng chứng chỉ được cấp trong dịch vụ thư điện tử và web
3.5 Đỏnh giỏ chung
Hệ thống cung cấp chứng chỉ số MyCA được cài đặt chạy trờn hệ điều hành Linux 7.3 và Fedora Core 2. Mỏy trạm sử dụng hệ điều hành Microsoft Windows 98, 2000, trỡnh duyệt IE và Netscape. Cỏc thao tỏc cấp chứng chỉ được thực hiện thụng qua trỡnh duyệt Web.
Hệ thống cú thể quản lý được số lượng lớn người dựng (240).
Cho phộp người sử dụng tự sinh cặp khoỏ (cụng khai và bớ mật), đảm bảo khoỏ sinh ra khụng bị trựng phụ thuộc vào ID của từng người.
Trong quỏ trỡnh cấp phỏt và huỷ bỏ chứng chỉ, mọi yờu cầu khi truyền đi đều được ký, đảm bảo tớnh toàn vẹn, xỏc thực và chống chối bỏ.
Khả năng ứng dụng của hệ thống cấp chứng chỉ số MyCA:
- Sử dụng cho dịch vụ web qua giao thức https. - Sử dụng cho dịch vụ thư tớn điện tử.
- Kết hợp chứng chỉ số với một số cụng nghệ khỏc để vệ tài liệu điện tử. - Dựng thiết bị iKey để lưu chứng chỉ và khoỏ bớ mật.
- Cú thể phối kết hợp hệ thống với cỏc giải phỏp khỏc để đảm bảo an ninh an toàn cho một hệ thống mạng nội bộ.
Dưới đõy là mụ hỡnh kết hợp hệ thống cung cấp chứng chỉ số và một số giải phỏp đảm bảo an toàn cho hệ thống mạng nội bộ.
Hỡnh 3.10: Mụ hỡnh kết hợp hệ thống cung cấp chứng chỉ số cựng cỏc giải phỏp đảm bảo an toàn hệ thống mạng nội bộ Hệ thống cấp chứng chỉ số Hệ thống tường lửa Mạng nội bộ Hệ thống giỏm sỏt IDS và hệ thống kiểm tra, diệt virus
KẾT LUẬN
Nghiờn cứu và thiết kế một hệ thống đảm bảo an toàn cho cỏc dịch vụ trờn mạng là một vấn đề phức tạp và luụn cần hoàn thiện. Hệ thống cung cấp chứng chỉ số MyCA được xõy dựng dựa trờn chuẩn cụng nghệ PKI. Quỏ trỡnh nghiờn cứu và phỏt triển hệ thống cung cấp chứng chỉ số núi riờng và PKI núi chung là một quỏ trỡnh lõu dài và đi cựng với quỏ trỡnh chấp nhận của người sử dụng. Tỷ lệ người sử dụng tăng lờn khi cỏc chuẩn cụng nghệ trở nờn hoàn thiện, chứng minh được khả năng ứng dụng và hiện thực hoỏ là khả thi.
Hiện nay, việc sử dụng mật mó khoỏ cụng khai và dịch vụ cung cấp chứng chỉ số hay cũn gọi là dịch vụ chứng thực điện tử để đảm bảo an toàn thụng tin trong cỏc hoạt động giao dịch điện tử là giải phỏp được nhiều quốc gia trờn thế giới sử dụng. Ở Việt Nam, chữ ký số và dịch vụ cung cấp chứng chỉ số là vấn đề mới và chưa được triển khai trong thực tế. Trong thời gian gần đõy, một số đơn vị, cơ quan đó cú những hoạt động ban đầu nghiờn cứu cụng nghệ, xõy dựng hệ thống kỹ thuật, phỏt triển cỏc ứng dụng và thử nghiệm cung cấp dịch vụ chứng thực điện tử. Việc triển khai dịch vụ cung cấp chứng thực điện tử yờu cầu một sự đầu tư lõu dài và nghiờm tỳc mới mang lại kết quả như mong muốn. Phần khú khăn nhất trong triển khai dịch vụ này là ở khõu tổ chức thực hiện và thay đổi nhận thức của người sử dụng. Tớnh phỏp lý của chữ ký số và dịch vụ chứng thực điện tử cũng là một vấn đề đang được đặt ra và cần giải quyết. Cỏc tổ chức, cỏ nhõn cung cấp và sử dụng dịch vụ chứng thực điện tử cần phải được quản lý, đồng thời cú quyền, nghĩa vụ nhất định. Chữ ký số và bản ghi điện tử được ký số theo đỳng qui định của phỏp luật sẽ cú giỏ trị phỏp lý như văn bản viết thụng thường.
Ngoài ra một hạ tầng cơ sở cụng nghệ yếu, chưa cú sự tin tưởng vào nhà cung cấp và những e ngại về tõm lý của người dựng này cũng là cỏc trở ngại trong việc triển khai dịch vụ cung cấp chứng chỉ số một cỏch rộng rói.
Kết quả nghiờn cứu
Luận văn này đó cú những tỡm hiểu về khỏi niệm, cụng nghệ, mụ hỡnh tổ chức và xõy dựng một hệ thống PKI, cựng với việc xõy dựng một hệ thống cung cấp chứng chỉ số ứng dụng cho Cục Cụng nghệ tin học nghiệp vụ và một số đơn vị khỏc trong Bộ Cụng an. Đõy là những kết quả nghiờn cứu ban đầu và sản phẩm đang trong giai đoạn triển khai thử nghiệm. Tuy nhiờn, với nhận định về ưu điểm của PKI và trước những yờu cầu thực tế đặt ra, chỳng tụi tin và quyết tõm đẩy mạnh hơn nữa việc nghiờn cứu, xõy dựng và triển khai dịch vụ cung cấp chứng chỉ số để đảm bảo an toàn thụng tin theo yờu cầu đặt ra trong toàn ngành.
Một số vấn đềđang được tiếp tục nghiờn cứu phỏt triển:
Tỡm hiểu về đường cong elliptic. Cài đặt hệ chữ ký số trờn đường cong Elliptic ECDSA.
TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt
1. Phạm Huy Điển, Hà Huy Khoỏi (2003), Mó hoỏ thụng tin cơ sở toỏn học và
ứng dụng, Nhà xuất bản Đại học Quốc gia Hà nội.
2. Phan Đỡnh Diệu (1999), Lý thuyết mật mó và an toàn thụng tin, Đại học Quốc Gia Hà Nội, Hà Nội.
3. Trịnh Nhật Tiến (2004), Một số vấn đề về an toàn dữ liệu, Hà Nội.