Các lớp bảo mật

Một phần của tài liệu (LUẬN văn THẠC sĩ) hạ tầng cơ sở khóa công khai và ứng dụng trong giao dịch điện tử trên mạng luận văn ths công nghệ thông tin 1 01 10 (Trang 77 - 83)

3.3 THIẾT KẾ HỆ THỐNG

3.3.2 Các lớp bảo mật

Firewall (tường lửa)

• Chặn các truy cập trái phép từ các máy không đăng ký sử dụng dịch vụ HOMEBANKING đến máy chủ HOMEBANKING

• Khách hàng đăng ký dịch vụ HOMEBANKING chỉ được phép truy cập đến máy chủ HOMEBANKING, không được truy cập đến các máy khác trong mạng Intranet của BIDV

Mã hoá

• Đường truyền được mã hoá theo chuẩn SSL 128 bit, đây là chuẩn thông dụng dùng cho các giao dịch thương mại điện tử.

• Sử dụng chữ ký điện tử để xác thực người gửi.

• Sử dụng mã hoá envelope là sự kết hợp của mã hoá công khai RSA và mã hoá bí mật 3DES để chống xem trộm thông tin.

• Sử dụng Microsoft CA để cấp chứng chỉ số dùng cho cơ sở hạ tầng khoá công khai

• Sử dụng iKey 2032 để lưu khoá bí mật dùng cho ký chữ ký điện tử, để truy cập iKey cần phải có số PIN

Cơ chế truy cập Microsoft LDAP

• HOMEBANKING lưu mật khẩu truy cập của người sử dụng tại Microsoft LDAP, cơ chế đăng nhập của hệ thống được tích hợp với cơ chế đăng nhập vào LDAP.

• LDAP giúp cho việc bảo vệ mật khẩu an toàn hơn và hỗ trợ quản lý các chính sách về mật khẩu.

Cơ chế truy cập Oracle

• Oracle là hệ quản trị cơ sở dữ liệu có tính bảo mật cao, để truy cập cần username và password

• Sau khi đăng nhập vào chương trình HOMEBANKING phía Ngân hàng, chương trình tiếp tục đăng nhập vào SOAP web service bằng cơ chế mật khẩu được mã hoá theo phiên, SOAP web service đăng nhập tiếp vào database Oracle nhờ giải mã file cấu hình để tìm ra username và password

• Sau khi đăng nhập vào chương trình HOMEBANKING phía khách hàng, Web server đăng nhập vào database Oracle nhờ cơ chế connection pooling, với username và password được lưu trữ dưới dạng mã hóa trên Web server Cơ chế phân quyền

• Chương trình HOMEBANKING được phân chia thành nhiều chức năng, một người sử dụng sẽ được người quản trị cấp cho một số chức năng, đối với các chức năng không được phép thì không thể truy cập được

• HOMEBANKING phân đối tượng người sử dụng làm 4 nhóm và có 4 giao diện khác nhau: quản trị, trung tâm, chi nhánh, khách hàng. Chỉ có NSD ở nhóm trên trực tiếp mới có thể tạo, loại bỏ, phân quyền NSD cho nhóm dưới.

Cơ chế nhật ký

• Lưu lại mọi thao tác của người sử dụng

• Lưu lại sự thay đổi nội dung của điện yêu cầu thanh toán Cơ chế truy cập SIBS

• Để truy cập được vào SIBS thực hiện vấn tin hay thực hiện lệnh chuyển khoản của khách hàng cần phải có một khoá cứng ngoài là iKey 1000, đây là thiết bị lưu mã truy cập SIBS, cũng giống như iKey 2032, iKey 1000 cần phải có số PIN đi kèm mới có thể sử dụng được.

• Đơn vị cấp mã truy cập SIBS sẽ đồng thời cấp iKey 1000 cho người sử dụng.

Lưu trữ chứng chỉ số trên iKey 2032

Khóa bí mật của người sử dụng được lưu trên thiết bị iKey2032, trong iKey2032 thông tin này được bảo vệ bởi các kỹ thuật mã hóa cao cấp và cơ chế quản lý truy cập.

3.3.3 Mô hình kiến trúc logic

Microsoft LDAP

Oracle Database

IBM Websphere

Webserver

Microsoft Webservice

Microsoft IE6 Brower

Chương trình ở chi nhánh

Chương trình ở trung tâm

Cổng DSP của SIBS

Hệ thống được xây dựng trên mô hình 3 lớp, cho phép nhiều kết nối đến máy chủ, chống nghẽn mạng. Mật khẩu người sử dụng được lưu trên Microsoft LDAP bảo đảm an toàn cao. Lớp giữa bao gồm IBM Websphere cung cấp dịch vụ Web cho khách hàng, Microsoft Web service cung cấp dịch vụ web cho chi nhánh. Lớp giao diện gồm có IE6 Brower, các chương trình ở chi nhánh và khách hàng.

3.3.4 Mô hình kiến trúc mạng vật lý

Mạng LAN Trung tâm CTW

Router Cơ sở dữ liệu

ORACLE

Mạng diện rộng Máy chủ

CTW

Trung t©m CTW

Máy trạm làm

việc

Mạng LAN chi nhánh

Chi nhánh

Mạng LAN Khách hàng

Khách hàng

Máy trạm làm việc Modem

Router

iKey

iKey

Mạng điện thoại nội hạt

Hệ thống HOMEBANKING được thiết kế với cơ sở dữ liệu tập trung. Mọi chương trình ở trung tâm, chi nhánh, khách hàng đều phải nối về máy chủ trung tâm.

Chương trình ở Trung tâm kết nối đến máy chủ HOMEBANKING thông qua mạng LAN.

Chi nhánh ở chi nhánh kết nối đến máy chủ HOMEBANKING thông qua mạng diện rộng WAN.

Khách hàng kết nối đến máy chủ HOMEBANKING bằng cách thông qua mạng điện thoại nội hạt để kết nối vào router của chi nhánh, router chi nhánh sẽ dẫn kết nối đến máy chủ HOMEBANKING.

3.3.5 Quy trình ký, mã hoá và giải mã dữ liệu giao dịch Quy trình mã hoá và tạo chữ ký điện tử

xxxxxxxx xxxxxxxx xxxxxxxx D-Signature

1234ABDC MMNNKL

HTO78900 Hash

Function 1a2b3c4d5f Signature Function

IKey

Private key Người gửi Encrypt

Function gửi đi

CA

Public key Người nhận

Điện rõ

Chứng chỉ số Ngýờ i

nhậ n

MD4, MD5, SHA, SHA-1 (160bit) RSA(2048bit )

(1328 byte)

(160 bit)

Điện mã

Quy trình giải mã và xác thực chữ ký điện tử

xxxxxxxx xxxxxxxx xxxxxxxx

D- Signature

1234ABDC MMNNKL HTO78900

Hash Function

1a2b3c4d5f Decrypt

Signatur e IKey

Private key Người nhận

Decrypt Function nhận đến

CA

Public key Người gửi

1a2b3c4d5f

Điện được xác thực

Digest ban đầu Digest điện nhận

OK !

Chứng chỉ số Người gửi

3.4 QUY TRÌNH ĐĂNG KÝ VÀ QUẢN LÝ NGƯỜI SỬ DỤNG:

Một phần của tài liệu (LUẬN văn THẠC sĩ) hạ tầng cơ sở khóa công khai và ứng dụng trong giao dịch điện tử trên mạng luận văn ths công nghệ thông tin 1 01 10 (Trang 77 - 83)

Tải bản đầy đủ (PDF)

(96 trang)