3.4 Giải pháp trên thiết bị offline (Dcom, UsbToken,…)
3.4.2 Mô tả luồng hoạt động
Luồng hoạt động của mô hình ký offline được thể hiện qua những bước sau:
- Bước 1: Người dùng thao tác trên phần mềm, thông qua CA Manager để gửi yêu cầu xuống SIM.
- Bước 2: Thư viện DCOM SIM LIB tiếp nhận yêu cầu từ CA Manager, phân loại rồi chuyển hóa dữ liệu chuẩn bị gửi lệnh xuống SIM.
- Bước 3:Thư viện DCOM SIM LIB thực hiện gửi lệnh xuống SIM. Trước khi thực hiện gửi lệnh thư viện kiểm tra kết nối tới SIM thông môi trường Driver của thiết bị
- Bước 4: SIM nhận yêu cầu gửi xuống, xác định loại yêu cầu, thực hiện rồi gửi trả về kết quả cho thư viện DCOM SIM LIB.
- Bước 5: Thư viện nhận được kết quả từ SIM gửi lên, phản hồi lại cho CA Manager cập nhật.
Đối với những chức năng như: gia hạn chứng thư số, thu hồi chứng thư số, tạm ngưng chứng thư phải thực hiện các bước sau trước:
- Bước 6: CA Manager gửi yêu cầu sang RA theo mục đích của chức năng
- Bước 7: RA thực hiện rồi gửi yêu cầu sang MSSP để cập nhật chứng thư số trên MSSP.
- Bước 8: MSSP trả về kết quả thực hiện cho RA
- Bước 9: Trả kết quả thực hiện về cho CA Manager Sau đó mới thực hiện từ bước 1.
Đối với chức năng đăng ký thì thực hiện từ bước 1 tới bước 9. Còn đối với các chức năng như: ký điện tử, thay đổi mật khẩu, xem thông tin chứng thư thì không phải thực hiện các bước 6, 7, 8, 9.
3.4.3 Mô hình ca sử dụng
3.4.3.1 Đăng ký
UC mô tả chức năng đăng ký sử dụng dịch vụ chữ ký số trên thiết bị offline
3.4.3.1.2 Luồng cơ bản
Lệnh giao tiếp giữa CAM được thực hiện thông qua việc cập nhật file SMS. SMS được định dạng theo chuẩn tin nhắn GSM 03.48 và được mã hóa bằng mật khẩu TSOPIN (trong nội dung SMS có chứa mã TSOPIN để SIM có thể kiểm tra tính hợp lệ của yêu cầu từ CAM).
- Bước 1: CA Manager (CAM) gửi lệnh kích hoạt đăng ký CTS tới SIM, thông tin bao gồm mật khẩu dùng một lần TSOPIN.
- Bước 2: SIM sinh cặp khóa RSA và đóng gói khóa công khai để đăng ký chứng thư số vào file CSR (theo chuẩn PKCS#10), thông tin bên trong file CSR bao gồm ICCID, khóa công khai và chữ ký của khóa bí mật. File CSR được mã hóa bằng mã POP đảm bảo tính bảo mật 2 đầu SIM – RA như mô hình đăng ký của hệ thống MSSP.
- Bước 3: CAM gửi file đăng ký CSR tới RA theo webservice của hệ thống RA, việc mô tả webservice này nằm ngoài phạm vị của tài liệu này.
- Bước 4: Sau khi xác thực thông tin đăng ký và một số bước trong quy trình đăng kí khác, nếu quá trình đăng ký thành công RA gửi CTS về cho CAM theo định dạng X509 phiên bản 3.0 thông qua webservice giao tiếp giữa RA và CAM (nằm ngoài phạm vi tài liệu).
- Bước 5: Để SIM có thể sử dụng được với điện thoại trong trường hợp người sử dụng cắm SIM vào điện thoại, RA đăng kí người sử dụng với hệ thống MSSP thông quai webservice, thông tin bao gồm số điện thoại và chứng thư số theo định dạng X509 ver 3.0. MSSP phản hồi đăng ký người sử dụng cho RA thông qua webservice.
- Bước 6: Sau khi CAM nhận được chứng thư số từ RA, sẽ thực hiện trích rút thông tin như phần đăng ký chứng thư số của hệ thống MSSP và gửi xuống SIM.
3.4.3.2 Ký điện tử
3.4.3.2.1 Mô tả tóm tắt
UC mô tả chức năng ký điện tử của người dùng trên thiết bị offline.
3.4.3.2.2 Luồng cơ bản
- Bước 1: CAM gửi yêu cầu ký xuống SIM thông qua thư việc DCOM SIM LIB. Yêu cầu ký bao gồm dữ liệu ký(các file dữ liệu dạng pdf, docx, xlsx, text), kiểu dữ liệu ký (text, hash), định dạng đầu ra của chữ ký (PKCS#7, XML, CMS) và mật khẩu PIN.
- Bước 2: Thư viện gửi lệnh yêu cầu ký xuống SIM, yêu cầu gồm dữ liệu ký đã được băm thành 20 bytes, định dạng đầu ra của chữ ký, mật khẩu PIN.
chữ ký trả về là một byte[].
- Bước 4: Thư viện gửi chữ ký lên CAM theo định dạng đã chỉ ra trong lệnh yêu cầu.
3.4.3.3 Thay đổi mật khẩu
3.4.3.3.1 Mô tả tóm tắt
UC mô tả chức năng đổi mật khẩu chứng thư số của người dùng
3.4.3.3.2 Luồng cơ bản
CA Manager DCOM SIM LIB SIM
1. Yêu cầu đổi mật khẩu
2. Yêu cầu đổi mật khẩu
3. Trả về kết quả 4. Trả về kết quả
- Bước 1: CAM gửi lệnh yêu cầu thay đổi mật khẩu, với tham số là mật khẩu mới, mật khẩu cũ. Mật khẩu thường tối đa 6 hoặc 8 kí tự và có dạng chữ số.
- Bước 2: Thư viện gửi yêu cầu đổi mật khẩu xuống SIM với dữ liệu gửi xuống đã được chuyển đổi.
- Bước 3: Trả về kết quả đổi mật khẩu cho thư viện - Bước 4: Thư viện phẩn hồi kết quả cho CAM.
3.4.3.4 Xem thông tin chứng thư
3.4.3.4.1 Mô tả tóm tắt
UC mô tả cách thức người dùng xem chứng thư số từ SIM
CA Manager DCOM SIM LIB SIM
1. Yêu cầu xem chứng thư số
2. Gửi yêu cầu xem cts
3. Trả về kết quả(cert[]) 4. Trả về kết quả(cert[])
- Bước 1: CAM gửi yêu cầu xem chứng thư số
- Bước 2: Thư viện thực hiện gửi yêu cầu lấy danh sách chứng thư số lưu trên SIM. - Bước 3: SIM trả về danh sách các chứng thư số được lưu trên SIM. Thông tin trả
về của một chứng thư số gồm: số serial, tên chứng thư, chuỗi chứng thư số. - Bước 4: Thư viện phản hồi lại chứng thư số cho CAM.
3.4.3.5 Thu hồi chứng thư
3.4.3.5.1 Mô tả tóm tắt
UC mô tả cách thức thu hồi chứng thư số trên SIM được gắn trên thiết bị offline.
- Bước 1: CA Manager gửi yêu cầu thu hồi chứng thư số xuống SIM
- Bước 2: Thư viện tiếp nhận thông tin thu hồi từ CA Manager, chuyển đổi dữ liệu rồi thực hiện gửi lệnh thu hồi chứng thư số xuống SIM
- Bước 3: SIM thực hiện xóa cts thu hồi.
- Bước 4: SIM trả về kết quả thực hiện xóa chứng thư số
- Bước 5: Thư viện tiếp nhận kết quả từ SIM, xác nhận rồi thực hiện bước tiếp theo. - Bước 6: CA Manager gửi yêu cầu thu hồi chứng thư số sang RA, thông tin gửi
sang là số serial chứng thư số hoặc là CERTID.
- Bước 7: RA cập nhật trạng thái chứng thu số được thu hồi, đồng thời gửi yêu cầu thu hồi cts hiện tại sang MSSP.
- Bước 8: MSSP trả về kết quả thu hồi chứng thư số được yêu cầu. - Bước 9: RA trả về kết quả thu hồi cts.
3.4.3.6 Gia hạn chứng thư số
3.4.3.6.1 Mô tả tóm tắt
UC mô tả chức năng gia hạn chứng thư số cho người dùng qua thiết bị offline.
- Bước 1: CAM gửi yêu cầu gia hạn CTS cho RA, thông tin gửi gồm certID hoặc serial CTS.
- Bước 2: RA thực hiện gia hạn CTS theo certID hoặc serial CTS nhận được, chuẩn bị thông tin gửi yêu cầu cập nhật sang MSSP.
- Bước 3: RA gửi yêu cầu cập nhật trạng thái gia hạn CTS sang MSSP. - Bước 4: MSSP cập nhật trạng thái CTS yêu cầu rồi trả về kết quả cho RA.
- Bước 5: RA trả kết quả thực hiện gia hạn cho CAM, gồm những thông tin về CTS mới.
- Bước 6: CAM xác định kết quả, gửi yêu cầu gia hạn CTS xuống SIM qua thư viện.
- Bước 7: Thư viện chuyển đổi dữ liệu dưới dạng byte[] rồi gửi lệnh gia hạn CTS xuống SIM.
- Bước 8: SIM cập nhật CTS mới, rồi trả về kết quả cho thư viện - Bước 9: Thư viện trả kết quả gia hạn từ SIM cho CAM.
3.4.3.7 Tạm ngưng chứng thư số
3.4.3.7.1 Mô tả tóm tắt
3.4.3.7.2 Luồng cơ bản
- Bước 1: CAM gửi yêu cầu tạm ngưng CTS cho RA, thông tin gửi gồm certID hoặc serial CTS.
- Bước 2: RA thực hiện tạm ngưng CTS theo certID hoặc serial CTS nhận được, chuẩn bị thông tin gửi yêu cầu cập nhật sang MSSP.
- Bước 3: RA gửi yêu cầu cập nhật trạng thái ngưng CTS sang MSSP. - Bước 4: MSSP cập nhật trạng thái CTS yêu cầu rồi trả về kết quả cho RA. - Bước 5: RA trả kết quả thực hiện tạm ngưng dịch vụ cho CAM.
- Bước 6: CAM xác định kết quả, gửi yêu cầu tạm ngưng CTS xuống SIM qua thư viện DCOM SIM LIB.
- Bước 7: Thư viện chuyển đổi dữ liệu dưới dạng byte[] rồi gửi lệnh tạm ngưng CTS xuống SIM.
- Bước 8: SIM cập nhật CTS mới, rồi trả về kết quả cho thư viện - Bước 9: Thư viện trả kết quả tạm ngưng từ SIM cho CAM.
CHƯƠNG 4 – KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
Ở Việt Nam, không nằm ngoài xu hướng so với thế giới, PKI đã được chính phủ và nhiều công ty đã bắt tay triển khai việc xây dựng và cung cấp. Là một nước đông dân, với dân số trẻ và số lượng người dùng Internet đông đảo, Việt Nam luôn là một thị trường hứa hẹn đầy tiềm năng cho bất kỳ một dịch vụ Internet nào, PKI cũng không là một ngoại lệ. Ở Việt Nam hiện cũng đã có những công ty CNTT triển khai dịch vụ PKI như VASC, VDC, FPT, BKAV, Viettel,… Tính tới thời điểm hiện tại, họ đã có có những khó khăn và thành công nhất định. Một trong những nguyên nhân dẫn đến họ chưa thực sự thành công là do PKI bao trùm trong một lĩnh vực rất rộng lớn và phức tạp bao gồm nhiều thuật toán, chuẩn và giao thức đa dạng, phức tạp và nhất là các vấn đề về an ninh mạng. Mặt khác, do người dùng có mặt bằng kiến thức về CNTT thấp nên việc triển khai PKI cũng gặp nhiều khó khăn, nếu việc cung cấp dịch vụ không hợp lý sẽ đem lại cho người dùng những bối rối nhất định. Nói một cách khác, nhu cầu của người dùng ở Việt Nam về PKI là vẫn hầu như chưa được thỏa mãn. Thực tế này lại càng làm tăng thêm sức hấp dẫn cho một thị trường đầy tiềm năng, mà trong đó cầu thì nhiều mà cung lại hầu như không đáp ứng được như ở Việt Nam. Đó cũng là lý do để tin tưởng rằng các vấn đề liên quan tới PKI sẽ ngày càng trở thành các chủ đề nóng bỏng, được bàn luận nhiều trong thời gian tới. Có thể khẳng định, một hệ thống PKI thỏa mãn nhu cầu người dùng ở Việt Nam chắc chắn sẽ được chào đón và sẽ mang lại những biến đổi tích cực rất lớn lao cho xã hội.
Chữ ký số trên thiết bị di động, hay giải pháp PKI SIM là một giải pháp mà chữ ký số được tạo ra bằng bộ vi xử lý bảo mật trên SIM trong thiết bị di động của mạng GSM. Chữ ký số trên di động được áp dụng trong việc ký điện tử cho các văn bản, hay các giao dịch điện tử trên nền web cũng như trên nền các ứng dụng PC/Mobile. Điều này mang lại cho người sử dụng sự tiện lợi và bảo mật trong giao dịch. Việc áp dụng giải pháp, ứng dụng giao dịch điện tử sẽ được bảo vệ một cách an toàn nhất:
- Việc xác thực người dùng được dựa trên thông tin của chữ ký số, chứng thư số.
- Mọi giao dịch hai chiều đều được ký số để đảm bảo tính xác thực, toàn vẹn và chống chối bỏ.
Giải pháp PKI trên SIM là một giải pháp mới hiện nay. Ở Việt Nam có duy nhất một đơn vị đang thực hiện theo giải pháp này. Giải pháp có những ưu điểm hơn so với giải pháp PKI thông thường:
- Nhỏ gọn
- Thuận tiện cho các doanh nghiệp hay cơ quan hành chính sự nghiệp có mô hình nhiều lớp
- Dễ sử dụng và tích hợp trên nhiều thiết bị khác nhau.
Ở Việt Nam, cho đến nay, các giao dịch qua mạng như thương mại điện tử, giao dịch ngân hàng vẫn thực hiện bằng con đường chưa được an toàn bằng chữ ký điện tử. Do vậy, việc đưa ra dịch vụ chữ ký điện tử có một thị trường tiềm năng lớn.
Kết quả đạt được của luận văn
Theo yêu cầu của bài toán đặt ra ban đầu là “xây dựng giải pháp PKI trên SIM”, luận văn đã đạt được những nội dung sau:
- Tìm hiểu bối cảnh chung và nhu cầu cần thiết của chữ ký điện tử trên môi trường giao dịch qua mạng. Từ đó đưa ra giải pháp chữ ký số trên SIM.
- Nắm được các khái niệm, các phương pháp mã hóa, các thành phần trong PKI và các thiết bị lưu trữ hiện nay.
- Xây dựng được giải pháp PKI trên SIM, cũng là một hướng mới trong việc phát triển rộng rãi chứng thư số trong xã hội.
Hướng phát triển
Trong thời gian tới luận văn chúng tôi sẽ đi sâu vào phát triển một số nội dung như sau vào hệ thống:
- Xây dựng hệ thống thực thi giải pháp trên
- Tối ưu khả năng xử lý và bảo mật dữ liệu
- Tìm hiểu hướng triển khai rộng rãi, tích hợp vào nhiều lĩnh vực như: Thương mại điện tử, ngân hàng hay cơ quan chính phủ,…
TÀI LIỆU THAM KHẢO
[1] Johannes A.Buchmann, Evangelos Karatsiolis, Alexender Wiesmaier. Introduction to Public Key Infrastructures. Springer 2013
[2] Phạm Huy Điền, Hà Huy Khoái. Mã Hóa Thông Tin – Cơ sở Toán học và Ứng dụng. Đại học Quốc Gia Hà Nội 2004
[3] S. Chokhani, Orion Security Solutions.Inc, W. Ford, VeriSign.Inc, R. Sabett, Cooley Godward LLP, C. Merrill, McCarter & English.LLP, S. Wu, Infoliance.Inc. Internet X509 Public Key Infrastructure Certificate Policy and Certification Pratises Framework. The Internet Society 2003
[4] Alfred J.Menezes, Paul C.van Oorschot, Scott A. Vanstone. Handbook of Applied Cryptography. ISBN 10-1996
[5] Bart Van Rompay. Analysis and Desigbn of Cryptographic Hash Functions, MAC Algorithms and BlockCiphers, Juni 2004, tr. 27-28.
[6] William Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, November 16, 2005, tr.30-35
[7] Trang web: http://www.ascertia.com/
[8] Trang web: http://www.identrust.com/
[9] Trang web: http://www.entrust.com/