Thông thường, trước khi xây dựng CA cho một hệ thống nào đó, trước tiên phải lựa chọn mô hình phù hợp. Việc lựa chọn mô hình nào cần căn cứ vào định hướng mô hình PKI chung của Nhà nước cũng như đặc điểm tổ chức của hệ thống đấu thầu qua mạng và các dịch vụ sử dụng trong hệ thống. Trước tiên, NVLV xin nêu lại một số mô hình CA điển hình, phân tích ưu, nhược điểm của từng mô hình qua đó lựa chọn mô hình phù hợp nhất để áp dụng cho mạng đấu thầu quốc gia.
Kiến trúc phân cấp
Trong kiến trúc này, các CA đều nằm dưới một CA gốc. CA gốc cấp các thẻ xác nhận cho những CA thứ cấp. Đến lượt các CA này lại cấp các thẻ xác nhận cho những CA ở mức thấp hơn.
Trong mô hình này, tất cả các đối tượng trong hệ thống đều phải biết khoá công khai của CA gốc. Tất cả các thẻ xác nhận đều có thể được kiểm chứng bằng cách kiểm tra đường dẫn của thẻ xác nhận đó đến CA gốc.
Như vậy, trong kiến trúc của hệ thống PKI này, tất cả các đối tượng đều dựa trên sự tin cậy đối với CA gốc duy nhất. Khoá công khai của CA gốc phải được phân phát cho các đối tượng đã được xác thực để đảm bảo sự tin cậy trong hệ thống. Sự tin cậy này được hình thành theo các cấp từ CA gốc đến các CA thứ cấp và đến các đối tượng sử dụng.
Một số đánh giá về kiến trúc hệ thống CA phân cấp như sau:
Ưu điểm của kiến trúc CA phân cấp:
1. Cấu trúc hệ thống quản lý của hầu hết các tổ chức đều có dạng phân cấp. Các mối quan hệ trong mô hình phân cấp cũng khá giống với các quan hệ trong các tổ chức. Vì vậy, ta có thể coi các nhánh của quá trình xác nhận đối tượng giống với các nhánh trong cấu trúc của tổ chức.
2. Kiến trúc phân cấp này cũng gần giống với hình thức phân cấp trong việc tổ chức thư mục. Do đó dễ tiếp cận và hiểu hơn.
3. Cách thức tìm ra một nhánh xác nhận là theo một hướng nhất định, không có hiện tượng vòng lặp. Do vậy, quá trình xác nhận được thực hiện đơn giản và nhanh chóng.
4. Tất cả các đối tượng sử dụng đều có nhánh xác nhận hướng về CA gốc, do vậy, nêu một đối tượng sử dụng A cung cấp cho B thông tin về nhánh xác nhận của mình thì B cũng có thể thực hiện xác nhận theo hướng đó vì B cũng biết khoá công khai của CA gốc.
Nhược điểm của kiến trúc CA phân cấp:
1. Trên một phạm vi lớn, không thể chỉ có một CA duy nhất để đảm nhận tất cả các quá trình xác nhận.
2. Các quan hệ kinh doanh, thương mại không phải lúc nào cũng có dạng phân cấp.
3. Khi khoá riêng của CA gốc bị tiết lộ thì toàn bộ hệ thống sẽ bị nguy hiểm. Nếu có khắc phục bằng cách thay cặp khoá mới thì thông tin về khoá công khai của CA gốc phải được truyền đến cho tất cả các đối tượng trong hệ thống. Điều này đòi hỏi thời gian và một lưu lượng truyền thông rất lớn.
Kiến trúc hệ thống CA mạng lưới
Trong kiến trúc này, việc các CA thực hiện xác nhận ngang hàng đã tạo nên một mạng lưới các mối quan hệ tin cậy lẫn nhau giữa các CA ngang hàng. Các đối tượng nắm được khoá công khai của CA “gần” mình nhất. Thông thường, đây là CA cấp cho đối tượng đó thẻ xác nhận. Các đối tượng kiểm chứng một thẻ xác nhận bằng cách kiểm tra quá trình xác nhận với đích là CA đã phát hành thẻ xác nhận đó. Các CA sẽ xác nhận ngang hàng bằng cách phát hành cho nhau những thẻ xác nhận.
Ưu điểm của kiến trúc CA mạng lưới
1. Đây là một kiến trúc linh động, nó thích hợp với các mối liên hệ và mối quan hệ tin cậy lẫn nhau trong thực tế của công việc kinh doanh.
2. Một đối tượng sử dụng ít nhất phải tin cậy CA cấp phát thẻ xác nhận cho nó. Có thể coi đây là cơ sở để tạo nên tất cả các mối quan hệ tin tưởng lẫn nhau.
3. Các CA có thể xa nhau trong mô hình tổ chức nhưng những đối tượng sử dụng của nó lại làm việc cùng nhau với mức ưu tiên cao có thể xác nhận ngang hàng theo một cách thức có độ ưu tiên cao. Độ ưu tiên này chỉ được giới hạn trong phạm vi của các CA này.
4. Kiến trúc này cho phép các CA có thể xác nhận ngang hàng một cách trực tiếp trong trường hợp các đối tượng sử dụng của chúng liên lạc với nhau thường xuyên để giảm tải lượng đường truyền và thao tác xử lý. 5. Việc khôi phục hệ thống do khoá riêng của một CA bị tiết lộ sẽ chỉ
gồm việc phân phát một cách an toàn khoá công khai mới của CA đến các đối tượng mà CA này cấp phát thẻ xác nhận.
Nhược điểm của mô hình CA mạng lưới
1. Do cấu trúc của mạng có thể rất phức tạp nên việc tìm kiếm các đối tượng rất khó khăn. Trong trường hợp có nhiều đường truyền đến một đối tượng khác thì bài toán tìm đường đi ngắn nhất đến đối tượng đó có thể rất phức tạp.
2. Một đối tượng không thể đưa ra một nhánh xác nhận duy nhất mà có thể đảm bảo tất cả các đối tượng khác trong hệ thống có thể thực hiện được.
Kiến trúc danh sách tin cậy
Đây là kiến trúc được áp dụng rộng rãi đối với dịch vụ Web. Trong đó, các trình duyệt và các máy chủ là những đối tượng sử dụng tiêu biểu nhất. Trong mô hình này, các trình duyệt đều lưu một file riêng chứa các thẻ xác nhận gốc của các CA được tin cậy. File này tồn tại ngay khi trình duyệt được cài đặt. Việc quản lý file này có thể được thực hiện bởi các cá nhân sử dụng trình duyệt. Các tổ chức cũng có thể cấp quyền cho việc tải hoặc quản lý các thông tin từ một máy chủ của tổ chức. Đối với mỗi file này, người sử dụng có thể bổ sung hoặc xóa bớt những thẻ xác nhận khỏi danh sách. Tuy nhiên, khả năng xử lý cách nhánh xác nhận của các ứng dụng hiện còn khá hạn chế.
Các trình duyệt có thể sử dụng các cặp khóa công khai/khoá riêng để ký, để kiểm chứng, giải mã hoặc mã hoá các thư điện tử theo chuẩn S/MIME. Với các thẻ xác nhận, các trình duyệt cũng có thể thiết lập các phiên truyền thông an toàn SSL (Secure Sockets Layer). SSL là một giao thức xác thực và mã hoá ở tầng chuyển vận. Trong một phiên truyền thông SSL, người dùng có thể gửi đi một mẫu biểu hoặc nhận về các thông tin từ một máy chủ dưới hình thức được mã hoá và xác thực. Mặt khác, các trình duyệt còn có thể kiểm chứng các chữ ký số được áp dụng đối với thông tin được truyền đi.
Ưu điểm của kiến trúc danh sách tin cậy
1. Đây là kiến trúc đơn giản, quá trình truyền thông và xác nhận theo một hướng duy nhất, hơn nữa, mô hình này có thể được triển khai khá dễ dàng.
2. Trong kiến trúc này này, các đối tượng sử dụng có toàn quyền quản lý file lưu trữ danh sách thẻ xác nhận của các CA mà mình tin cậy.
3. Kiến trúc này có thể làm việc rất tốt với giao thức quản lý trạng thái thẻ xác nhận trực tiếp do các nhánh xác thực khá đơn giản. Hơn nữa, những yêu cầu về trạng thái thẻ xác nhận chỉ được gửi tới các CA ở trong danh sách các CA được tin cậy.
Nhược điểm của kiến trúc danh sách tin cậy
1. Người sử dụng có toàn quyền nội dung của file chứa thẻ xác nhận của các CA mà nó tin cậy. Do vậy việc quản lý danh sách các CA được tin cậy của một tổ chức là rất khó khăn.
2. Việc khởi tạo danh sách mặc địch các CA được tin cậy khi cài đặt một trình duyệt sẽ dẫn đến việc khó đảm bảo tính xác thực trong quá trình khởi tạo thông tin về khoá công khai của các CA này. Đây có thể là một kẽ hở để các đối tượng tấn công lợi dụng.
3. Không phải tất cả những người sử dụng đều có khả năng quản lý tốt một file chứa quá nhiều thẻ xác nhận của các CA mà mình tin cậy. 4. Cấu trúc thẻ xác nhận không có nhiều hỗ trợ cho việc tìm ra các nhánh
xác nhận.
5. Không có những hỗ trợ trực tiếp đối với các cặp thẻ xác nhận ngang hàng. Do vậy, nó hạn chế khả năng của CA trong quản lý sự tin cậy của mình đối với các CA khác.
6. Các chính sách đối với thẻ xác nhận không được hỗ trợ, do vậy, cần phải có một CA quản lý một số CA khác để có thể áp dụng các chính sách thẻ xác nhận và các mức đảm bảo. Điều này dẫn đến việc tăng số CA được tin cậy trong file của mỗi đối tượng sử dụng.
7. Hiện tại các trình duyệt không hề hỗ trợ tính năng tự động lấy thông tin trạng thái hoặc huỷ bỏ các thẻ xác nhận.
Qua phân tích trên đây, kết hợp với việc phải đồng bộ với mô hình CA chung của quốc gia đã theo mô hình phân cấp. Vì vậy mô hình lựa chọn để
triển khai cho mạng đấu thầu quốc gia là mô hình phân cấp. 3.2.2.2. Mô hình công nghệ
Xét về khía cạnh đối tượng người dùng, hệ thống đấu thầu qua mạng có thể chia thành 2 nhóm đối tượng chính: nhóm 1 là những người quản trị, chủ đầu tư. Nhóm 2 là các nhà thầu. Theo thống kê, số lượng người dùng nhóm thứ nhất vào khoảng 15.000 đến 20.000 người, số lượng nhóm thứ hai vào khoảng 100.000 người.
Như vậy, hệ thống CA này được thiết kế phân cấp nên bao gồm RootCA và 2 SubCA, mỗi SubCA tương ứng với một nhóm người dùng ở trên.
Bên cạnh trung tâm CA chính phải có một trung tâm CA dự phòng có 2 SubCA tương ứng.
Hệ thống được thiết kế phải có khả năng cung cấp chứng chỉ số cho khoảng 20.000 người dùng nội bộ và các chủ đầu tư và 100.000 người dùng là các nhà thầu trên toàn quốc thông qua hệ thống thư mục. Hệ thống có khả năng mở rộng trong tương lai đáp ứng việc cấp phát và quản lý chứng chỉ số cho số lượng người dùng từ vài trăm ngàn đến cả triệu.
Hệ thống phải đáp ứng và đảm bảo khả năng kết nối với các CA khác bằng phương pháp xác thực chéo.
Các chứng chỉ sinh ra từ hệ thống có khả năng cung cấp các cặp khoá dùng cho mã hoá, cặp khoá dùng cho ký điện tử, cặp khoá dùng cho việc kiểm tra tính chống từ chối và cặp khoá phục vụ cho hệ thống mã hoá dữ liệu trên PC.
Chứng chỉ số của người dùng phải có khả năng lưu trữ trong các USB Token hoặc thẻ (Smart Card), PC.
Hệ thống phải đảm bảo chứng thực cho chứng chỉ và khoá mã đã phát hành.
Ngoài ra, hệ thống đấu thầu qua mạng còn phải hỗ trợ việc tìm kiếm và truy xuất thông tin qua điện thoại di động, việc này cho phép các nhà thầu có thể tìm kiếm hoặc thậm chí đấu thầu trực tuyến ngay cả khi đang di chuyển.
Hình 3.3. Đề xuất mô hình CA cho hệ thống đấu thầu qua mạng
Trong đó:
Hệ thống mạng Trung tâm CA
Hệ thống mạng của Trung tâm CA bao gồm các máy chủ (một máy chủ RootCA, 2 máy chủ SubCA, một máy chủ Root directory, hai máy chủ directory cho người dùng nhóm 1 và người dùng nhóm 2 và các máy trạm RA. Hệ thống được chia thành 3 phân vùng:
- Vùng bảo mật đặc biệt: gồm máy chủ RootCA, 2 máy chủ SubCA cho người dùng nội bộ và người dùng bên ngoài, HSM.
- Vùng bảo mật cao: gồm máy chủ Root directory và hai máy chủ directory cho người dùng nội bộ và người dùng bên ngoài, máy chủ lưu trữ NAS
- Vùng điều hành: gồm các máy Registration Authority (RA)
Máy chủ RootCA
Máy chủ này có nhiệm vụ:
Cấp chứng chỉ cho SubCA để cấp phát cho các đối tượng người dùng;
Thu hồi chứng chỉ số của SubCA thông qua Authority Revocation List, và cho phép cập nhật Authority Revocation List tới hệ thống thư mục;
Đảm bảo chứng thực cho chứng chỉ được phát hành;
Khả năng tạo kênh xác thực chéo với các CA khác khi có nhu cầu;
Có thể thêm SubCA khi cần;
Cho lưu chứng chỉ gốc ra thiết bị lưu trữ chuyên dụng Hardware Security Module – HSM.
Hai máy chủ SubCA cho người dùng
Các máy chủ SubCA có nhiệm vụ:
Cấp phát và quản lý chứng chỉ cho các người dùng;
Thu hồi chứng chỉ qua Certificate Revocation List và công bố danh sách trên hệ thống thư mục;
Đảm bảo chứng thực cho chứng chỉ được phát hành;
Có thể hỗ trợ nhiều cặp khóa cho một chứng chỉ số, phù hợp với các tính năng khác nhau.
Có thể lưu chứng chỉ số lên các thiết bị lưu chuyên dụng như USB Token,…
Máy chủ quản trị CA
Máy chủ quản trị CA (Administration Services) có thể cho phép admin quản trị người dùng qua giao diện web; cho phép người dùng tự đăng ký xin cấp chứng chỉ với CA. Nhiệm vụ của admin chỉ là thẩm tra lại tính chính xác của thông tin và chấp thuận hay không chấp thuận thông tin đăng ký của người dùng.
Máy chủ Entrust Authority Enrollment Server for Web
Máy chủ này co nhiệm vụ cấp chứng chỉ cho các ứng dụng và thiết bị trong hệ thống như máy chủ web và web browser để làm SSL, mạng riêng ảo (VPN), mã hóa thư điện tử.
Máy chủ Roaming
Máy chủ Roaming cho phép lưu chứng chỉ số một cách tập trung, đáp ứng cho người dùng di động (mobile user) vẫn có thể truy cập được chứng chỉ số của mình trong thực hiện các giao dịch có yêu cầu sử dụng chứng chỉ số.
Các máy trạm Registration Authority này để quản trị hệ thống CA, quản lý việc đăng ký CA của các đối tượng người dùng, có thể quản trị qua giao diện web.
Máy chủ sao lưu dự phòng
Là máy chủ dùng vào mục đích sao lưu dự phòng, có thể sử dụng công nghệ Network Attached Storage – NAS.
Thiết bị Hardware Security Module - HSM
Là thiết bị bảo mật bằng phần cứng tuyệt đối cho các CA, được thiết kế nhằm bảo vệ các RootCA dựa trên nền phần cứng tuân thủ theo các chuẩn chẳng hạn như FIPS.
Hệ thống mạng Trung tâm Dự phòng (tương tự như hệ thống CA trung tâm mô tả ở trên)
Hệ thống an ninh mạng
Hệ thống tường lửa
Sử dụng một thiết bị tường lửa chuyên dụng (VD Check Point UTM-1 1050) đặt tại cổng mạng trung tâm CA và trung tâm dự phòng, bảo vệ chống các tấn công từ bên ngoài nhằm vào hệ thống CA của mạng đấu thầu quốc gia.
Hệ thống tường lửa này cung cấp các chức năng sau:
Tạo ra hệ thống phòng thủ mạnh toàn diện, bảo vệ mạng trung tâm CA và trung tâm dự phòng bên trong trước các tấn công và truy cập trái phép từ bên ngoài Internet và mạng WAN
Có thể cho phép tạo mạng riêng ảo – VPN, mã hóa và bảo vệ dữ liệu truyền trung tâm CA với các trung tâm vùng
Phân hoạch và bảo vệ chặt chẽ các vùng mạng máy chủ quan trọng, ngăn chặn truy cập trái phép từ mạng người dùng, ngăn chặn sự lây nhiễm virus từ các máy trạm vào máy chủ ngay bên trong mạng nội bộ.
Hệ thống quét virus
Hệ thống quét virus được cài lên các máy trạm RA của trung tâm CA và trung tâm dự phòng cũng như các máy chủ Windows làm Shadow Directory ở 3 trung tâm vùng nhằm mục đích quét các loại virus, spyware và các mã độc hại.
Hệ thống chống xâm nhập mạng
Hệ thống chống xâm nhập mạng được đặt tại cổng mạng của trung tâm CA và trung tâm dự phòng, phía sau thiết bị tường lửa, bảo vệ hệ thống PKI