Nội dung của chương này giới thiệu gói phần mềm mã nguồn mở EJBCA, gó
8.3.3 Kết quả triển khai và thử nghiệm
Hệ thống sau khi triển khai đã đạt được các mục tiêu đề ra. Hình 8.4 dưới đây cho thấyCAgốc KCNTTvàcác CAcontrựctiếp củanóđược thểhiện khitruycập vào trang webcủa CAgốc và Hình8.5cho thấyCAcon BMCNPMvà cácCA contrực tiếp của nó được thể hiện khi truy cập vào trang web của CA BMCNPM.
Hình8.4.GiaodiệntrangwebcủaCAKCNTT(CAgốc)
Hình8.5.GiaodiệntrangwebcủaCABMCNPM
138
Hệthống cóthểcấp chứngnhậncho thựcthểcuối (người sửdụng)vàcho họcóthể ứng dụng vào một số lĩnh vực chính như:
• Chứngthựcngườisửdụngweb: cấp chứng nhận cho quản trị CA, RA, giám
sát viên và siêu quản trị viên để có thể đăng nhập vào hệ thống quản trị CA trên trình duyệt web như Internet Explorer và Fire Fox. Hình 8.6 cho thấy một chứng nhận được cấp cho người sử dụng với tên “SuperAdmin (BMTHCS)” để người này có thể đăng nhập vàoCABMTHCS với tất cả các quyền.
Hình8.6.Chứngnhậnchongườidùngtên“SuperAdmin(BMTHCS)”
Hình8.7.Giaodiệnquảntrịtoànquyềncủangườidùng“SuperAdmin(BMTHCS)”
139
Hình8.7ởtrênchothấy ngườidùngcó thểsửdụngchứngnhậncủa mình(được cấp phépvớiquyềnsiêuquảntrị)đểđăngnhậpvàohệthốngCAcủabộmônTHCS.Các Hình 8.8, Hình 8.9 và Hình 8.10 bên dưới cho thấy các người dùng khác có thể đăng nhập vào hệ thống với quyền quản trị lần lượt là quản trị CA, RA và giám sát viên.
Hình8.8.GiaodiệnquảntrịCAcủangườidùng“CAAdmin(BMTHCS)”
Hình8.9.GiaodiệnquảntrịRAcủangườidùng“RAAdmin(BMTHCS)”
140
• Kývàmãhóathư điện tử: hệ thống có thể cấp chứng nhận cho người dùng để ký/ xác nhận chữ ký, mã hóa/ giải mã thư điện tử trong ứng dụng thư điện tửnhưOutlookExpress.Hình8.11chothấyhaichitiếtchứngnhậncủangười dùng tên “Dang Binh Phuong” (được CA BMTHCS cấp) và chứng nhận của người dùng tên “Tran Minh Triet” được (CA BMCNPMGV cấp).
Hình8.11.Nộidungchứngnhậncủangườidùng
141
Khi người dùng “Dang Binh Phuong” gửi thư điện tử cho người dùng “Tran Minh Triet” đồng thời ký hay mã hóa thư điện tử, Hình 8.12 cho thấy người nhận “Tran MinhTriet”sẽkhôngthểxácthựcngườigửinếukhôngcóchứngnhậncủangườigửi hoặc không phải đúng người mà người gửi muốn gửi (không có khóa khớp với khóa mà người gửi sử dụng). Hình 8.13 cho thấy khi có đầy đủ các chứng nhận cần thiết, ngườinhậnsẽcóthểđọcđượcnộidungthưđượckýhoặcmãhóahaycảhai.
Hình8.12.Lỗikhôngthểđọcđượcthưđãkývàmãhóa
Hình8.13.Nộidungthưđượckývànộidungthưđượckýđồngthờimãhóa
142
• Kývà xác nhận tài liệuđiện tử:chứng nhận được cấp cho người dùng như trên cũngcó thểđược sửdụng để kývăn bảnPDF. Hình8.14cho thấyngười dùng đã ký vào tài liệu của mình (góc phải trên) đồng thời ứng dụng đọc văn bản PDF cũng xác định tài liệu này hợp lệ và chưa bị sửa đổi (góc trái).
Hình8.14.KývàxácnhậnchữkýtrongtàiliệuđiệntửPDF
Hình8.15.TàiliệuđiệntửPDFđượckýđãbịthayđổi
143
Hình 8.15 cho thấy ứng dụng đọc văn PDF đã nhận ra văn bản đã có thay đổi (gạch bỏ các thông tin ở góc trái trên). Ngoài ra ứng dụng cũng cung cấp chức năng phục hồi lại nguyên bản của tài liệu trước khi được ký.
8.4 Kết luận
EJBCAlàmộtgói phầnmềmmãnguồnmở nổitiếng, cóthểtriểnkhai mộthệthống PKI hoàn chỉnh, đầy đủ chức năng. Nhằm tận dụng những đặc tính ưu việt của gói phầnmềmnàyđồngthờicóthểquảnlýđược quátrìnhpháttriểncũngnhưđộantoàn của hệ thống, đề tài đã tiến hành tìm hiểu và phân tích.
Saukhiphântíchgóiphầnmềmnày, chúngtôinhậnthấykhóachohệmãRSAđược phát sinh là rất yếu (trên cơ sở phân tích ở Chương 5) nên đã thay bằng bộ thư viện mã hóa SmartRSA mà chúng tôi đã xây dựng. Ngoài ra, chúng tôi đã triển khai thử nghiệm một hệ thống chứng thực tập trung theo kiến trúc PKI phân cấp đơn giản có
thể sử dụng ngay trong thực tế. Hệ thống được triển khai này mang lại đầy đủ các tính chất cần thiết nhằm thiết lập một môi trường an toàn, tin cậy trong giao tiếp như tính cẩn mật, tính toàn vẹn, tính xác thực và tính không thể chối từ. Hơn nữa, hệ thống còn có khả năng mở rộng, tích hợp với các hệ thống khác một cách dễ dàng.
Ngoàira, chúng tôiđã thửnghiệm hệthống bằngcách cấpchứng nhậncho cácthực thể cuối (người sử dụng) và ứng dụng vào một số lĩnh vực phổ biến như chứng thực người sửdụng web (đăng nhập vào hệ thống quản trị); ký/mã hóa và xác nhận/giải mã thư điện tử; ký và xác nhận tài liệu điện tử.
Hệ thống được triển khai có thể sử dụng ngay trong thực tế đồng thời có tính tổng quát cao (nhiều loại CA: CA gốc, CA con cấp một và CA con cấp khác một) nên có thể ứng dụng trong bất kỳ tổ chức nào có mô hình phân cấp tương tự. Ngoài ra hệ thốngcũngrấtdễ mởrộngbằngcách triểnkhaithêmcácCAconvàyêucầucác CA sẵn có ký chứng nhận cho chúng.
144
Ch ơngƣ 9 Kết luận