Chương 2 : TỔNG QUAN VỀ HÀNH CHÍNH ĐIỆN TỬ
4.2. BÀI TOÁN NGHIấN CỨU CƠ SỞ HẠ TẦNG CễNG NGHỆ THễNG TIN
4.2.5. Triển khai mụ hỡnh thành phần hệ thống PKI của Microsoft ứng dụng trong
dụng trong giao dịch hành chớnh điện tử
4.2.5.1. Mụ hỡnh tổng quan cỏc thành phần trong hệ thống PKI
1/. Mụ hỡnh chứng chỉ số gốc - RootCA triển khai 2 cấp
Cấp 1- Root CA: được coi là điểm tin cậy của tất cả cỏc Public (thụng thường
sẽ là MIC-CA, CA của hệ thống giao dịch hành chớnh điện tử của chớnh quyền), RootCA sẽ cấp phỏt chứng thư cho Enter rise Intranet-CA. RootCA được đặt trong vựng bảo mật cao cả về kỹ thuật, cụng nghệ, cũng như an toàn về mặt vật lý, được dựng để cấp phỏt và thu hồi chứng thực số cho cỏc CA mức 2.
Cấp 2: Enterprise Intranet CA: Enterprise Intranet CA được sử dụng để cấp
phỏt chứng chỉ số/chữ ký số cho cỏc người dựng cuối.
Hỡnh 4.16: Minh họa Mụ hỡnh tổ chức chứng thực số 2 cấp
2/. Mụ hỡnh thành phần hệ thống PKI được tổ chức như sau
Hỡnh 4.17: Minh họa mụ hỡnh cỏc thành phần trong hệ thống PKI
4.2.5.2. Cấ 1 - Root CA
Vai trũ của Root CA (Offline CA): CA gốc sẽ khụng được kết nối ạng, và
cần hải được đặt trong vựng bảo ật cao cả về kỹ thuật, cụng nghệ, cũng như an toàn về ặt vật lý. Nú được dựng để cấ hỏt và thu hồi chứng thực số cho CA ức 2. iệc cấ hỏt và thu hồi chứng thực số cho CA cấ 2 được thực hiện thủ cụng thụng qua giao thức HTTP hoặc LDAP. Tuy nhiờn yờu cầu bảo ật của hệ thống ỏy Root CA yờu cầu rất cao, thậ chớ khụng được kết nối vào ạng để trỏnh tỡnh trạng bị tấn cụng. Bờn cạnh đú, cần cú ột thiết bị chuyờn dụng HSM để lưu trữ khoỏ.
4.2.5.3. Cấ 2 - Enterprise Intranet CA
Vai trũ của Enterprise Intranet CA: CA cấ 2 sẽ được tổ chức gồ 1 hoặc
nhiều CA. Bờn trong ỗi CA sẽ bao gồ cỏc thành hần sau: Time Source Master Server, TSS, Certificate Authority (CA), Registration Authority (RA), Directory Server, Database Server, Lightweight Directory Access Protocol (LDLAP), Hardware Sercurity Module (HSM)..Application Server, HSM...
Enter rise Intranet CA đả nhận vai trũ như Sub CA của Root CA và thực hiện cỏc chức năng cung cấ , quản lý, quản trị tất cả cỏc hoạt động liờn quan đến chứng chỉ số/chữ ký số của người dựng trong tổ chức.
Hệ thống hệ thống PKI của Microsoft yờu cầu ỏy chủ cấu hỡnh cao. Cỏc ỏy chủ trong Enter rise Intranet CA cần được cài đặt và cấu hỡnh cỏc hệ thống hần ề để nhằ quản lý và cấ hỏt cho cỏc thực thể cuối, bao gồ : Hệ điều hành và cỏc thành hần; Phần ề chuyờn dụng quản lý và cấ hỏt chứng chỉ số/chữ ký số; Phần ề dành cho Certificate Authority (CA), Registration Authority (RA), TimeStamp Server..
1/. Mỏy chủ tham chiếu thời gian - Time Source Master Server
Là đồng hồ chủ thời gian tha chiếu cho tồn hệ thống
2/. Mỏy chủ gỏn nhón thời gian - TimeStamp Server - TSS
Đả bảo thực hiện gỏn nhón thời gian trờn cỏc giao dịch điện tử để xỏc thực, toàn vẹn, xỏc inh tớnh hợ lệ của nguồn gốc và thời gian thực hiện cỏc giao dịch
3/. Certificate Authority – CA
Bộ phận cấp phỏt và quản lý chứng chỉ.
Cấ chứng chỉ cho cỏc thực thể, xử lý cỏc yờu cầu của RA, quản lý cỏc chứng chỉ được cấ và cỏc chứng chỉ hết hiệu lực.
4/. Registration Authority – RA
RA cú chức năng xử lý cỏc yờu cầu từ User
Quản lý người sử dụng và cỏc chứng chỉ của họ: Gồ cấ hỏt khúa, cậ nhậ khúa, thu hồi khúa hết hạn, khụi hục lại khúa bị ất, … cho cỏc ục đớch sử dụng khỏc nhau.
5/. LDAP và Public Database Server
LDAP Server được cài đặt trờn ỏy Public Database Server, trờn đú lưu trữ cỏc chứng chỉ đó được hỏt hành cho người sử dụng, cỏc chứng chỉ của cỏc ỏy server thuộc hệ thống, cỏc CRL do cỏc CA server hỏt hành.
6/. Mỏy chủ chỉ mục - Directory Server
Xử lý tất cả cỏc truy vấn từ cỏc thực thể ngoài.
Cung cầp một thư ục nơi chứa cỏc chứng thực đó được phỏt hành. Phục vụ như ột nơi lưu trữ chỉ đọc cho cỏc chủ thể cụng cộng của PKI.
7/. Mỏy chủ cơ sở dữ liệu - Database Server
Sử dụng Microsoft SQL Server của Microsoft, đả bảo việc lưu trữ cỏc thụng tin cho cỏc ứng dụng trong hệ thống Sub-CA hoạt động như thụng tin về lịch sử khoỏ, thụng tin hục vụ việc hục hồi cỏc cặ khoỏ người dựng, thụng tin người dựng, thụng tin hệ thống.
8/. Mỏy chủ ứng dụng - Application Server
Đõy là ỏy chủ dựng cho việc cài ứng dụng PKI thực hiện cỏc chức năng: Cấ hỏt và quản lý cỏc chứng chỉ/chữ ký số và gắn kố với cỏc khúa cụng khai tương ứng (cả ký và ó húa).
Cung cấ giao diện quản trị, quản lý và hõn quyền người quản trị hệ thống PKI. à Nú sử dụng cả việc xỏc thực Client lẫn Server.
Cung cấ giao diện của để gia hạn cho cỏc chứng thực. Cung cấ dịch vụ quản lý vũng đời chứng chỉ
Ban hành cỏc CRL và ARL. Server này sử dụng việc xỏc thực hoặc Server hoặc Client.
9/. Hardware Security Module - HSM
Lưu trữ khúa ột cỏch bảo ật: Cỏc khúa được ó húa với cỏc thuật toỏn như 3DES và được ó (Encode) dưới dạng an tồn. Dữ liệu ó húa được đả bảo lưu trữ trờn thiết bị bảo ật hần cứng cú chứng năng chống xõ nhậ để đả bảo tớnh toàn vẹn của khúa.
Quản lý khúa bằng hần cứng: Quản lý việc sử dụng khúa từ việc tạo khúa, xỏc nhận khúa, lưu trữ khúa và backu . Cỏc thao tỏc với khúa được thực hiện bằng hần cứng để ngăn cỏc truy cậ trỏi hộ với khúa. Hỗ trợ tớch hợ ứng dụng dễ dàng: HSM hải hỗ PKCS#11, CAPI (Micorsoft Cry toAPI 2.0), JCA (Java Cry togra hic Architecture), O enSSL, để người sử dụng cú thể dễ dàng tớch hợ hệ thống bảo ật hần cứng này vào ứng dụng của ỡnh.
Hiệu suất thực hiện cỏc thao tỏc ó húa cao: ỡ cỏc thành hần xử lý khúa thực hiện bằng hần cứng, nờn hiệu suất cho xử lý cỏc thao tỏc ó húa cao, nú cú thể xử lý được 25 chữ ký số (RSA- 1024 bit) trờn ột giõy.
10/. Intrusion Prevention System - IPS
Hệ thống IPS là ột kỹ thuật an ninh ới, kết hợ cỏc ưu điể của kỹ thuật firewall với hệ thống hỏt hiện xõ nhậ IDS (intrusion detection syste ), cú khả năng hỏt hiện sự xõ nhậ , cỏc cuộc tấn cụng và tự động ngăn chặn cỏc cuộc tấn cụng đú. IPS cung cấ sự giỏ sỏt, kiể tra, tớnh hỏ lý và bỏo cỏo về cỏc hoạt động của ạng thụng qua thiết bị kiể soỏt truy nhậ
Trờn thị trường cỏc nhiều nhà cung cấ cỏc giải hỏ này như McAfee IntruShield IDS/IPS, SecureNet IDS/IPS, Cisco IDS/IPS, …
11/. Online Certificate Status Protocol (OCSP)
OCSP là ột giao thức được sử dụng để nhận về trạng thỏi revocation của ột certificate cú chuẩn định dạng là X.509. Hoạt động theo ụ hỡnh client/server, cỏc thụng điệ OCSP (request, res onse) được ó húa theo chuẩn ANS.1 và được truyền qua giao thức HTTP. Server cũng thường được gọi là OCSP res onder.
4.2.6. Triển khai mụ hỡnh hệ thống đăng ký, cung cấp và huỷ bỏ chứng chỉ trong PKI
4.2.6.1. Một số đặc tớnh của hệ thống cung cấ chứng chỉ số
1/. Hệ thống được tuõn theo cỏc thiết kế của PKI
Cho phộp tại một trung tõm cấp chứng chỉ, cựng một lỳc phục vụ nhiều người. Cho phộp phối hợp nhiều đơn vị trong việc triển khai dịch vụ.
Mụ hỡnh quản lý CA theo nhiều tầng. Mỗi trung tõm được phõn một vựng chỉ số ID của người sử dụng.
Cấ chứng chỉ cú thời hạn và cho hộ huỷ bỏ chứng chỉ (trước thời hạn).
2/. Khuụn dạng của chứng chỉ:
Tuõn theo RFC 2459
Cho phộp đưa cỏc thụng tin về người sử dụng như: họ tờn, ngày sinh, nơi sinh, …
3/. Cỏc chuẩn mật mó được sử dụng:
Chữ ký số RSA: theo chuẩn RSASSA-PKCS-v1_5 (signature scheme with appendix), kớch thước modulo từ 1024 bit trở lờn, cỏc số nguyờn tố được sinh nhằ chống lại tấn cụng hõn tớch số.
Hàm bă SHA-1.
4/. Cỏc tệp lưu trữ và yờu cầu sử dụng cỏc chuẩn PKCS:
Tệ lưu trữ khoỏ bớ ật tuõn theo PKCS#1, PKCS#8. Khoỏ bớ mật được bảo vệ bằng mật khẩu theo PKCS#5.
Tệ lưu trữ khoỏ cụng khai theo PKCS#7.
Tệ yờu cầu cấ chứng chỉ và chứng chỉ được cấ tuõn theo PKCS#10. Khoỏ bớ mật và chứng chỉ được lưu ở dạng PKCS#12.
4.2. .2. Mụ hỡnh hệ thống đăng ký, cung cấ chứng chỉ số trong PKI
Người sử dụng cú nhu cầu được cấp chứng chỉ đến trung tõm làm thủ tục đăng ký. Khi đến trung tõ người sử dụng cần đem theo những giấy tờ cú liờn quan đến bản thõn (vớ dụ chứng minh thư).
Hỡnh 4.18: Mụ hỡnh hệ thống đăng ký, cung cấp chứng chỉ số trong PKI
* Cỏc bước thực hiện:
1. Cỏ nhõn (hoặc tổ chức) nào đú cú nhu cầu sử dụng chứng chỉ số lờn trung
tõm đăng ký, cú đem theo một số giấy tờ cần thiết.
Người quản trị mỏy RA đưa thụng tin đó đăng ký từ phớa người sử dụng lờn mỏy RA, và gửi yờu cầu này lờn trung tõm (mỏy RA).
2. Người quản trị mỏy RA thực hiện so sỏnh thụng tin đó đăng ký với thụng
tin gửi lờn trung tõm qua đường cụng khai, đồng thời kiểm tra chữ ký của người dựng trong yờu cầu cấp chứng chỉ (bằng khoỏ cụng khai được gửi đến). Nếu hợp lệ thỡ RA sẽ ký lờn yờu cầu cấp chứng chỉ và gửi yờu cầu này sang mỏy CA.
3. Người quản trị mỏy CA kiểm tra chữ ký của RA trờn yờu cầu cấp chứng chỉ
của người sử dụng và idKey trong cơ sở dữ liệu xem cú bị trựng khụng, nếu hợp lệ thỡ CA chấp nhận yờu cầu cấp chứng chỉ đú, phỏt hành chứng chỉ (thực hiện ký trờn chứng chỉ) và gửi sang mỏy RA.
4. Người sử dụng lờn trung tõ đó đăng ký để nhận chứng chỉ số và giấy chứng
nhận chứng chỉ số. Để chặt chẽ hơn thỡ khi lờn người sử dụng phải đe theo yờu cầu cấp chứng chỉ (đó cú khi sinh yờu cầu cấp chứng chỉ) lưu trong cơ sở dữ liệu để trung tõm so sỏnh thụng tin đó đăng ký và khoỏ cụng khai tương ứng với chứng chỉ số. Đõy là bước đảm bảo cấp chứng chỉ số cho đỳng người sử dụng và đảm bảo về mặt hỏ lý. Người quản trị mỏy RA lấy chứng chỉ số trờn mỏy RA và cấp chứng chỉ số cựng giấy chứng nhận đó được cấp chứng chỉ số cho người dựng.
5. Chứng chỉ số của người dựng khi đú đó được cụng nhận trờn toàn bộ hệ
thống CA, được người quản trị mỏy RA đưa cụng khai lờn mỏy LDAP.
4.2.6.3. Mụ hỡnh hệ thống hu b chứng chỉ số trong PKI
Trong quỏ trỡnh sử dụng chứng chỉ khi chưa hết thời hạn sử dụng người dựng cú thể yờu cầu huỷ bỏ chứng chỉ với nhiều lý do: chuyển cụng tỏc, thay đổi địa chỉ e-mail, nghi ngờ lộ khoỏ bớ mật….
Hỡnh 4.19: Mụ hỡnh hệ thống hu b chứng chỉ số trong PKI
* Cỏc bước thực hiện:
1. Người sử dụng gửi yờu cầu huỷ bỏ chứng chỉ lờn mỏy RA.
2. RA kiểm tra chữ ký trờn yờu cầu huỷ bỏ chứng chỉ, nếu thấy đỳng thỡ ký
sau đú chuyển sang mỏy CA.
3. CA kiểm tra chữ ký của RA trờn yờu cầu huỷ bỏ, nếu đỳng thỡ ký và sau
đú chuyển sang mỏy LDAP.
4. Người quản trị RA cập nhật danh sỏch cỏc chứng chỉ bị huỷ bỏ từ LDLAP. 5. Người dựng được RA cấp giấy chứng nhận huỷ bỏ chứng chỉ.
4.2.6.4. Một số chuẩn mật mó khoỏ cụng khai (PKCS)
PKCS - Public Key Cryptography Standards là chuẩn mó hoỏ khoỏ cụng khai do phũng thớ nghiệm RSA phỏt triển. Chuẩn PKCS cung cấp những định nghĩa cơ bản về định dạng dữ liệu và thuật toỏn là cơ sở nền tảng của việc triển khai PKI.
PKCS#1 RSA Encryption Standard – Mó và ký sử dụng hệ mó cụng khai RSAPKCS#3 Diffie-Hellman Key Agreement Standard - Chuẩn trao đổi khoỏ Diffie-Hellman. PKCS#3 mụ tả phương phỏp thực hiện trao đổi khoỏ Diffie- Hellman.
PKCS#5 Password-based Encrytion Standard - Chuẩn mó hoỏ dựa trờn password. PKCS#5 mụ tả phương phỏp mó xõu bỏt phõn sử dụng khoỏ bớ mật được tớnh từ password để sinh ra xõu bỏt phõn được mó hoỏ. PKCS # 5 cú thể được sử dụng để mó hoỏ khoỏ riờng trong việc truyền khoỏ bớ mật.
PKCS#6 Extended Certificate Syntax Standard - Chuẩn cỳ phỏp chứng chỉ mở rộng. PKCS # 6 định nghĩa cỳ phỏp chứng chỉ X.509 mở rộng.
PKCS#7 Crytographic Message Syntax Standard - Chuẩn cỳ phỏp thụng điệp mật mó. PKCS#7 xỏc định cỳ phỏp tổng thể dữ liệu được mó hoỏ vớ dụ như chữ ký số. PKCS#7 cung cấp một số lựa chọn định dạng: message khụng mó hoỏ hoặc ký số, message được mó hoỏ, message được ký số và message cú cả ký số và mó hoỏ.
PKCS#8 Private Key Information Syntax Standard - Chuẩn cỳ phỏp thụng tin riờng. PKCS#8 định nghĩa cỳ phỏp thụng tin khoỏ riờng và cỳ phỏp khoỏ riờng được mó hoỏ.
PKCS#9 Selected Attribute Types - Những loại thuộc tớnh được lựa chọn.
PKCS#9 định nghĩa những loại thuộc tớnh được lựa chọn sử dụng trong chứng chỉ mở rộng PKCS#6, thụng điệp ký số PKCS#7, thụng tin khoỏ riờng PKCS#8 và yờu cầu ký chứng chỉ PKCS#10. Những thuộc tớnh chứng chỉ được chỉ rừ ở đõy gồm cú địa chỉ thư, loại nội dung, bản túm tắt thụng điệp, thời gian ký, password yờu cầu và những thuộc tớnh chứng chỉ mở rộng.
PKCS#10 Certification Request Syntax Standard - Chuẩn cỳ phỏp yờu cầu chứng chỉ. PKCS#10 định nghĩa cỳ phỏp yờu cầu chứng chỉ. Yờu cầu chứng chỉ gồm tờn phõn biệt, khoỏ cụng và tập cỏc thuộc tớnh tuỳ chọn, chữ ký của thực thể yờu cầu chứng chỉ.
PKCS#11 Cryptographic Token Interface Standard - Chuẩn giao diện thẻ
bài mật mó. PKCS#11 xỏc định giao diện lập trỡnh ứng dụng (Application programming interface - API) cho thiết bị người sử dụng chứa thụng tin mó hoỏ (cũng như khoỏ mó hoỏ và chứng chỉ) và thực hiện chức năng mó hoỏ. Smart Card là thiết bị đặc trưng thực hiện Cryptoki.
PKCS#12 Personal Information Exchange Syntax Standard - Chuẩn cỳ phỏp trao đổi thụng tin cỏ nhõn. PKCS#12 định nghĩa định dạng thụng tin nhận diện cỏ nhõn bao gồm khoỏ riờng, chứng chỉ, bớ mật đặc tớnh khỏc nhau và mở rộng. PKCS#12 làm cho việc truyền chứng chỉ và khoỏ bớ mật gắn kốm được thuận tiện, giỳp người sử dụng cú thể chuyển thụng tin nhận diện cỏ nhõn từ thiết bị này sang thiết khỏc.
PKCS#13 Elliptic Curve Crytography Standard - Chuẩn mật mó đường cong elliptic. PKCS#13 bao gồm việc tạo tham số đường cong elliptic và kiểm tra hiệu lực, tạo khoỏ và cụng nhận giỏ trị, chữ ký số và mó hoỏ khoỏ cụng khai cũng như thoả thuận khoỏ.
PKCS#14 Pseudo-Random Number Generation Standard - Chuẩn tạo số giả ngẫu nhiờn. Nhiều hàm mật mó cơ bản được sử dụng trong PKI như tạo khoỏ và thoả thuận khoỏ bớ mật Diffie – Hellman sử dụng dữ liệu ngẫu nhiờn. Tuy nhiờn nếu dữ liệu ngẫu nhiờn lại khụng ngẫu nhiờn mà được chọn từ tập giỏ trị cú thể tiờn đoỏn được thỡ hàm mật mó khụng bảo mật được đầy đủ. Do đú tạo số giả ngẫu nhiờn an toàn là điều quan trọng đối với bảo mật PKI.
Chương 5: THỬ NGHIỆM CHƯƠNG TRèNH
5.1. GIỚI THIỆU
Luận văn thử nghiệ ột số chương trỡnh bảo đả an toàn thụng tin gồ cỏc chức năng chớnh thực hiện cỏc bài toỏn:
5.1.1. Bài toỏn an toàn thụng tin trong giao dịch hành chớnh điện tử
5.1.1.1. Bài toỏn bảo mật thụng tin
Chương trỡnh ó húa tài liệu: Dựa trờn hệ ó húa khúa cụng khai RSA để ó húa và giải ó tài liệu được ứng dụng cho cỏc đối tượng tha gia giao dịch hành chớnh trực tuyến. Chương trỡnh được viết dựa trờn ngụn ngữ lậ trỡnh C# 2010 trờn bộ cụng cụ isual studio 2010. Chương trỡnh ó húa tài liệu được thực hiện ó húa trờn từng byte của file tài liệu, chương trỡnh cú thể thực hiện ó húa trờn cỏc file tài liệu cú định dạng: *.doc, *.xls, *. pdf.
5.1.1.2. Bài toỏn bảo toàn, xỏc thực thụng tin