Một số giải phỏp ký số đó triển khai trờn nền tảng Web. Một số giải phỏp trờn thế giới. Tại cỏc quốc gia cú hệ thống chứng thực điện tử phỏt triển mạnh, cỏc ứng dụng ký số trờn nền tảng web cũng đƣợc sử dụng nhiều, kốm theo cỏc giải phỏp cụ thể đối với từng mụ hỡnh hoạt động của hệ thống. Điển hỡnh trong đú là cỏc giải phỏp của cụng ty Digi - Sign và Ascertia. Digi - Seal Applet là sản phẩm đƣợc viết trờn nền tảng Java và đƣợc phỏt triển cho ngƣời dựng cuối cú khả năng ký số, mó húa, giải mó và xỏc thực chữ ký số trờn nền tảng web. Digi - Seal là giải phỏp tốt cho ngƣời dựng ký bờn phớa client. Đối với cỏc dịch vụ trực tuyến hay dịch vụ dựa trờn trỡnh duyệt, cỏc giao dịch đƣợc sử dụng mỏy chủ Digi - Seal. Một ứng dụng nhỏ applet sẽ đƣợc cài đặt trờn mỏy chủ Web và tự động tải về cho trỡnh duyệt. Đõy là hành động “một lần duy nhất” và khụng cần yờu cầu xử lý từ phớa ngƣời dựng cuối. Một khi cỏc applet Digi - Seal đƣợc kớch hoạt, ngƣời sử dụng cú thể ký form, ký cỏc file tải lờn theo ý muốn.
Ƣu điểm khi sử dụng Digi - Seal: Cú thể ký số lờn dữ liệu Web form và file tải lờn; hoạt động trờn cỏc hệ điều hành Windows, Linux, Solaris, Mac; dễ dàng xỏc thực hơn so với chữ ký truyền thống. Go>Sign applet là sản phẩm của Cụng ty Ascertia đƣợc viết trờn nền java. Ứng dụng này đƣợc thiết kế giỳp cho ứng dụng ký số phớa client đƣợc thực hiện dễ dàng và sử dụng trong bất kỳ ứng dụng web nào. Nú loại bỏ những khú khăn liờn quan đến phần mềm đƣợc cài đặt trờn nền tảng Desktop, đƣợc thiết kế cho phộp những ngƣời khụng chuyờn về kỹ thuật cú thể ký cỏc văn bản và dữ liệu.
Ƣu điểm Go>Sign applet là: Dễ sử dụng, dễ dàng cập nhật nõng cấp; hỗ trợ nhiều định dạng tài liệu và nhiều định dạng chữ ký PDF, CMS/PKCS#7, SML DSig, CAdES, XAdES, PAdES; cho phộp tựy chọn với nhiều kho lƣu trữ khúa; cú chức năng hiển thị cỏc tài liệu định dạng PDF, cú khả năng kiểm tra cỏc chữ ký đó
37
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
tồn tại trờn tài liệu; phũng chống rũ rỉ dữ liệu. Nú cũn cú thể tớch hợp dễ dàng và cung cấp dịch vụ xỏc thực tập trung, đõy là một trong những hỗ trợ rất khỏc so với Digi-Seal.
Một số giải phỏp tại Việt Nam.
Hiện nay, cỏc giải phỏp ký số trờn cỏc ứng dụng web chƣa đƣợc quan tõm phỏt triển đỳng mức, cỏc giải phỏp trong nƣớc hay đƣợc sử dụng là: Sử dụng ứng dụng Desktop để ký số tài liệu sau đú tải tài liệu lờn web hoặc một số ứng dụng sử dụng cỏc cụng nghệ của nƣớc ngoài. Vớ dụ, ứng dụng chữ ký số cho hệ thống kờ khai thuế qua mạng, kờ khai hải quan điện tử và sử dụng cho cỏc dịch vụ ngõn hàng trực tuyến, chứng khoỏn điện tử.... Cỏc sản phẩm này đƣợc cung cấp bởi một số nhà cung cấp dịch vụ chứng thực chữ ký số cụng cộng nhƣ: FPT- CA, VietTel- CA, VNPT- CA, BKAV- CA.... So với cỏc sản phẩm tƣơng tự của nƣớc ngoài, cỏc sản phẩm này thƣờng cú cỏc tớnh năng đơn giản và thiếu sự hỗ trợ của một số chuẩn và định dạng.
Vớ dụ, giải phỏp ký số trờn nền tảng web trong kờ khai thuế qua mạng đƣợc ứng dụng ký số của Hệ thống kờ khai thuế trực tuyến của Tổng Cục thuế - Bộ Tài chớnh đƣợc viết trờn nền java. Đõy là một sản phẩm tự phỏt triển và chỉ hỗ trợ ký số trờn tài liệu định dạng PDF. Tài liệu kờ khai thuế đƣợc chuyển đổi thành tài liệu PDF và ký số tài liệu PDF này. Tài liệu sau khi ký số đƣợc ứng dụng applet upload lờn Server. Việc sử dụng giải phỏp này giỳp cơ quan thuế thực hiện cải cỏch hành chớnh thuế, tạo thuận lợi cho ngƣời nộp thuế, giảm chi phớ về thời gian và thủ tục giấy tờ trong việc khai thuế, nộp thuế.
2.3.2 Phương phỏp tiếp cận ký số trờn nền tảng Web
2.3.2.1 Phương phỏp tiếp cận ký số trờn mỏy client
Ký số yờu cầu truy cập vào khúa bớ mật của ngƣời ký. Bởi vỡ khúa bớ mật của mỗi ngƣời chỉ cú thể truy cập bởi chớnh ngƣời đú, do đú việc ký số diễn ra trờn mỏy
38
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
tớnh của ngƣời ký. Nếu khụng ngƣời ký sẽ phải gửi khúa bớ mật của mỡnh đến mỏy chủ, điều này đặt ra mối đe dọa an ninh - khúa bớ mật cú thể bị đỏnh cắp trờn đƣờng truyền. Chỳng ta sẽ phõn tớch cỏc phƣơng phỏp tiếp cận cú thể ký số tài liệu trờn mỏy client. Một cỏch tiếp cận đú là ngƣời sử dụng cài đặt trờn mỏy tớnh của họ một số loại phần mềm thiết kế đặc biệt, nhƣng điều này lại cú một số khú khăn. Một là phần mềm ký số phải cú cỏc phiờn bản riờng biệt hỗ trợ cho cỏc hệ điều hành khỏc nhau. Ngoài ra, việc hỗ trợ cho cỏc phần mềm nhƣ vậy là phức tạp, bởi vỡ bất kỳ sự thay đổi trong đú sẽ buộc ngƣời dựng phải tải về và cài đặt phiờn bản mới. Một cỏch tiếp cận khỏc cú thể sử dụng ngụn ngữ kịch bản JavaScrip hoặc một số cụng nghệ kịch bản phớa mỏy trạm khỏc, chẳng hạn nhƣ ActiveX, Macromedia Flash, .NET Windows Forms Controls, hoặc Java applet.
2.3.2.2 Phương phỏp tiếp cận ký số dữ liệu lưu trữ trờn Server sử dụng khúa bớ mật trờn mỏy client
Chuyển chứng thƣ số và khúa bớ mật đến mỏy chủ. Phƣơng phỏp này sẽ gõy mất an toàn khúa bớ mật và nờn trỏnh (chỳng ta đề cập đến nú ở đõy cho đầy đủ cỏc phƣơng phỏp).
Chuyển tài liệu cho client. Khụng phải lỳc nào cũng tốt cho bảo mật và một số lý do khỏc. Nếu việc chuyển nhƣợng là cú thể, ký số sẽ đƣợc thực hiện bằng cỏch sử dụng mụ-đun ký số phớa mỏy client (một ứng dụng, plugin trỡnh duyệt hay Java Applet hay ActiveX control).
Tớnh toỏn giỏ trị băm của dữ liệu trờn Server và gửi lại nú cho client. Phƣơng phỏp này tƣơng tự phƣơng phỏp 1 ở trờn, ngoại trừ tài liệu khụng đƣợc gửi cho client. Phƣơng phỏp này đũi hỏi rằng một ứng dụng phớa Server, cú thể nhỳng hoặc gắn chữ ký với tài liệu gốc.
39
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
Mỏy chủ Mỏy khỏch
Ứng dụng WEB
Trỡnh duyệt web của ngƣời sử dụng Tài liệu hay dữ
liệu cần ký
Chứng thƣ số ngƣời ký, khúa bớ mật
Module phớa mỏy trạm của ứng dụng ký số (ActiveX control, Java
applet) Trang web đƣợc tải Bản túm lƣợc
Khúa bớ mật
Chứ ký số Tớnh toỏn
bản túm lƣợc (adsbygoogle = window.adsbygoogle || []).push({});
Gắn chữ ký số với tài liệu gốc theo khuụn dạng chữ ký số
Hỡnh 2.6 Mụ hỡnh ký số dữ liệu trờn Server
2.4 Sử dụng giao thức SSL/TLS trong quỏ trỡnh trao đổi giữa Web client và WebServer WebServer
Chứng thƣ số cỏ nhõn cũn cho phộp ngƣời dựng cú thể chứng thực mỡnh với một web server thụng qua giao thức bảo mật SSL. Phƣơng phỏp chứng thực dựa trờn chứng thƣ số đƣợc đỏnh giỏ là tốt, an toàn và bảo mật hơn phƣơng phỏp chứng thực truyền thống dựa trờn mật khẩu. Với sự kết hợp của giao thức SSL và chứng thực ngƣời dựng bằng chữ ký số sẽ mang lại sự bảo mật cao và an toàn cho hệ thống.
Việc kết nối giữa một Web browser tới bất kỳ điểm nào trờn mạng Internet đi qua rất nhiều cỏc hệ thống độc lập mà khụng cú bất kỳ sự bảo vệ nào với cỏc thụng tin trờn đƣờng truyền. Khụng một ai kể cả ngƣời sử dụng lẫn Web server cú bất kỳ sự kiểm soỏt nào đối với đƣờng đi của dữ liệu hay cú thể kiểm soỏt đƣợc liệu cú ai đú thõm nhập vào thụng tin trờn đƣờng truyền. Để bảo vệ những thụng tin mật trờn mạng Internet hay bất kỳ mạng TCP/IP nào, SSL đó kết hợp những yếu tố sau để thiết lập đƣợc một giao dịch an toàn:
40
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
Xỏc thực: đảm bảo tớnh xỏc thực của trang mà bạn sẽ làm việc ở đầu kia của
kết nối. Cũng nhƣ vậy, cỏc trang Web cũng cần phải kiểm tra tớnh xỏc thực của ngƣời sử dụng.
Mó hoỏ: đảm bảo thụng tin khụng thể bị truy cập bởi đối tƣợng thứ ba. Để
loại trừ việc nghe trộm những thụng tin “ nhạy cảm” khi nú đƣợc truyền qua Internet, dữ liệu phải đƣợc mó hoỏ để khụng thể bị đọc đƣợc bởi những ngƣời khỏc ngoài ngƣời gửi và ngƣời nhận.
Toàn vẹn dữ liệu: đảm bảo thụng tin khụng bị sai lệch và nú phải thể hiện
chớnh xỏc thụng tin gốc gửi đến.
Với việc sử dụng SSL, cỏc Web site cú thể cung cấp khả năng bảo mật thụng tin, xỏc thực và toàn vẹn dữ liệu đến ngƣời dựng. SSL đƣợc tớch hợp sẵn vào cỏc browser và Web server, cho phộp ngƣời sử dụng làm việc với cỏc trang Web ở chế độ an toàn. Khi Web browser sử dụng kết nối SSL tới server, biểu tƣợng ổ khúa sẽ xuất hiện trờn thanh trạng thỏi của cửa sổ browser và dũng “http” trong hộp nhập địa chỉ URL sẽ đổi thành “https”. Một phiờn giao dịch HTTPS sử dụng cổng 443 thay vỡ sử dụng cổng 80 nhƣ dựng cho HTTP
Mụ tả giao thức:
Đƣợc phỏt triển bởi Netscape, ngày nay giao thức Secure Socket Layer (SSL) đó đƣợc sử dụng rộng rói trờn World Wide Web trong việc xỏc thực và mó hoỏ thụng tin giữa client và server. Tổ chức IETF (Internet Engineering Task Force) đó chuẩn hoỏ SSL và đặt lại tờn là TLS (Transport Layer Security). Mặc dự là cú sự thay đổi về tờn nhƣng TSL chỉ là một phiờn bản mới của SSL. Phiờn bản TSL 1.0 tƣơng đƣơng với phiờn bản SSL 3.1. Tuy nhiờn SSL là thuật ngữ đƣợc sử dụng rộng rói hơn.
SSL đƣợc thiết kế nhƣ là một giao thức riờng cho vấn đề bảo mật cú thể hỗ trợ cho rất nhiều ứng dụng. Giao thức SSL hoạt động bờn trờn TCP/IP và bờn dƣới cỏc giao thức ứng dụng tầng cao hơn nhƣ là HTTP (Hyper Text Transport Protocol),
41
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
IMAP (Internet Messaging Access Protocol) và FTP (File Transport Protocol). Trong khi SSL cú thể sử dụng để hỗ trợ cỏc giao dịch an toàn cho rất nhiều ứng dụng khỏc nhau trờn Internet, thỡ hiện nay SSL đƣợc sử dụng chớnh cho cỏc giao dịch trờn Web. SSL khụng phải là một giao thức đơn lẻ, mà là một tập cỏc thủ tục đó đƣợc chuẩn hoỏ để thực hiện cỏc nhiệm vụ bảo mật sau:
Xỏc thực server: Cho phộp ngƣời sử dụng xỏc thực đƣợc server muốn kết nối. Lỳc này, phớa browser sử dụng cỏc kỹ thuật mó hoỏ cụng khai để chắc chắn rằng certificate và public ID của server là cú giỏ trị và đƣợc cấp phỏt bởi một CA (certificate authority) trong danh sỏch cỏc CA đỏng tin cậy của client. Điều này rất quan trọng đối với ngƣời dựng. Vớ dụ nhƣ khi gửi mó số credit card qua mạng thỡ ngƣời dựng thực sự muốn kiểm tra liệu server sẽ nhận thụng tin này cú đỳng là server mà họ định gửi đến khụng.
Xỏc thực Client: Cho phộp phớa server xỏc thực đƣợc ngƣời sử dụng muốn kết nối. Phớa server cũng sử dụng cỏc kỹ thuật mó hoỏ cụng khai để kiểm tra xem certificate và public ID của server cú giỏ trị hay khụng và đƣợc cấp phỏt bởi một CA (certificate authority) trong danh sỏch cỏc CA đỏng tin cậy của server khụng. Điều này rất quan trọng đối với cỏc nhà cung cấp. Vớ dụ nhƣ khi một ngõn hàng định gửi cỏc thụng tin tài chớnh mang tớnh bảo mật tới khỏch hàng thỡ họ rất muốn kiểm tra định danh của ngƣời nhận.
Mó hoỏ kết nối: Tất cả cỏc thụng tin trao đổi giữa client và server đƣợc mó hoỏ trờn đƣờng truyền nhằm nõng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bờn khi cú cỏc giao dịch mang tớnh riờng tƣ. Ngoài ra, tất cả cỏc dữ liệu đƣợc gửi đi trờn một kết nối SSL đó đƣợc mó hoỏ cũn đƣợc bảo vệ nhờ cơ chế tự động phỏt hiện cỏc xỏo trộn, thay đổi trong dữ liệu (đú là cỏc thuật toỏn băm – hash algorithm).
Giao thức SSL bao gồm 2 giao thức con: giao thức SSL record và giao thức SSL handshake. Giao thức SSL record xỏc định cỏc định dạng dựng để truyền dữ liệu. Giao thức SSL handshake (gọi là giao thức bắt tay) sẽ sử dụng SSL record
42
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
protocol để trao đổi một số thụng tin giữa server và client vào lần đầu tiờn thiết lập kết nối SSL.
Với cỏch thiết lập cho HTTPS, dũng dữ liệu cú thể đƣợc mó hoỏ trờn đƣờng truyền với thuật toỏn mó hoỏ 3DES, AES 128, 256 bit.
Chƣơng này trỡnh bày về một số giải phỏp xỏc thực web bao gồm giải phỏp xỏc thực ngƣời dựng Web, hệ thống đăng nhập duy nhất, giải phỏp ký số, xỏc thực nội dung Web và giải phỏp sử dụng giao thức SSL/TLS trong quỏ trỡnh trao đổi giữa Web client và WebServer để xõy dựng ứng dụng cho chƣơng tiếp theo.
43 (adsbygoogle = window.adsbygoogle || []).push({});
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
Chƣơng 3 XÂY DỰNG VÀ TÍCH HỢP GIẢI PHÁP XÁC THỰC WEB TRấN
CỔNG THễNG TIN NGUỒN MỞ LIFERAY 3.1 Xõy dựng, tớch hợp CAS với cổng thụng tin nguồn mở Liferay
Để xõy dựng đƣợc ứng dụng tụi dựa trờn cổng thụng tin, Liferay cú một thiết kế kiến trỳc rất rừ ràng và linh hoạt dựa trờn thực tế tốt nhất của J2EE. Do đú, nú cú thể sử dụng tốt cỏc server khỏc nhau nhƣ Tomcat, Jetty, JBoss, JRun, Oracle9iAS, Orion, WebLogic, WebSphere hay cụng nghệ khỏc nhau nhƣ Struts, Tiles, Spring, EJB , JMS, Java Mail, Web Service…Nhƣ vậy, Liferay là một open source portal container hỗ trợ gần nhƣ hầu hết JavaServer open source hay thƣơng mại.
Liferay cú thể đƣợc sử dụng với bất kỳ database nào với chỳt ớt ảnh hƣởng tựy theo việc sử dụng Hibernate trong thiết kế của nú. Liferay cú cỏc JSP tag lib và nhiều class tiện ớch khỏc trong những package khỏc nhau để trợ giỳp cỏc developer trong việc phỏt triển portal/portlet. Kiến trỳc Liferay portal nhƣ hỡnh sau:
44
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
Rừ ràng, việc sử dụng cụng cụ hỗ trợ luụn luụn là phƣơng ỏn tốt nhất giỳp cho ngƣời dựng xõy dựng Cổng thụng tin điện tử cú tớnh phức tạp hoặc đặc thự cụng việc.
Với Liferay portal ngƣời dựng cú thể xõy dựng đƣợc bất kỡ Cổng thụng tin điện tử nào nhƣ: social network, e-learning portal, e-commerce portals,… dành cho cả doanh nghiệp lẫn ngƣời dựng thụng thƣờng. Nhƣng điều đặc biệt nhất Liferay portal là mó nguồn mở và miễn phớ sử dụng.
Trong khuụn khổ của đề tài, chỳng tụi lựa chọn Liferay portal để xõy dựng cỏc giải phỏp xỏc thực web. 3.1.1 Mụ hỡnh xỏc thực người dựng CAS Server Trỡnh Duyệt Web Server Liferay Portal 1 - N gười dựng truy c ập ứn g dụng (Ứng dụng sẽ ch uyển hướn g đến địa c hỉ CA S Serv er) LDAP Server 2 - Yờu cầu Server chứng thực CAS với địa chỉ (URL) của ứng dụng 3 - Gửi yờu cầu tới
LDAP Server 4 - LDAP Server trả
lời OK, cú tồn tại User và xỏc thực thành cụng 5 – CAS Server trả lại một session cookie (TGC) HTTP S 6 - T rỡnh d uyệt chuy ển m ột ticke t tro ng H TTP GET (ST) HTTPS
7 - Ứng dụng chuyển tick et trong HTTP G
ET (ST) 8 – CAS Server trả
lại UID của người dựng, n
húm,...
45
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
Hệ thống cổng thụng tin điện tử Liferay xỏc thực ngƣời dựng dựa trờn cơ chế đăng nhập một lần (SSO). Ngƣời sử dụng cần phải cung cấp thụng tin định danh cho hệ thống xỏc thực SSO. Thụng tin này đƣợc dựng để nhận dạng ngƣời dựng. Một khi đó đƣợc xỏc thực, ngƣời dựng cú thể truy cập đƣợc vào cỏc chức năng của hệ thống.