ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ĐOÀN VĂN PHI XÂY DỰNG GIẢI PHÁP PKI TRÊN SIM LUẬN VĂN THẠC SĨ HÀ NÔI, - 12015 - ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ĐOÀN VĂN PHI XÂY DỰNG GIẢI PHÁP PKI TRÊN SIM Ngành : Công nghệ thông tin Chuyên ngành : Công nghệ phần mềm Mã số : 60 48 10 LUẬN VĂN THẠC SĨ - 2HƯỚNG DẪN KHOA HỌC: TS TRƯƠNG NINH THUẬN LỜI CAM ĐOAN Tôi xin cam đoan kết đạt luận văn nghiên cứu, sưu tầm, tổng hợp xếp lại phù hợp với yêu cầu luận văn Toàn điều trình bày khóa luận cá nhân, tham khảo tổng hợp từ nguồn tài liệu khác Tất tài liệu tham khảo, tổng hợp trích dẫn với nguồn gốc rõ ràng Toàn chương trình, mã nguồn thiết kế xây dựng trình tham gia phát triển hệ thống, không chép chưa công bố phương tiện Tôi xin chịu hoàn toàn trách nhiệm lời cam đoan Nếu có điều sai trái, xin chịu hình thức kỷ luật theo qui định Hà Nội, tháng năm 2015 Học viên Đoàn Văn Phi - 3- Trước tiên xin bày tỏ trân trọng lòng biết ơn thầy giáo PGS.TS Trương Ninh Thuận giảng viên Bộ môn Công nghệ phần mềm - Khoa Công nghệ thông tin Trường Đại học Công nghệ - ĐHQGHN Trong suốt thời gian học làm luận văn tốt nghiệp, thầy dành nhiều thời gian quí báu để tận tình bảo, hướng dẫn, định hướng cho việc nghiên cứu, thực luận văn Tôi xin cảm ơn thầy cô giáo giảng dạy trình học tập, thực hành, làm tập, đọc nhận xét luận văn tôi, giúp hiểu thấu đáo lĩnh vực mà nghiên cứu hạn chế cần khắc phục việc học tập, nghiên cứu thực luận văn Tôi xin chân thành cảm ơn nhóm phát triển Trung Tâm Giải Pháp Cộng Đồng – Tập Đoàn Viễn Thông Quân Đội Viettel tạo điều kiện để hoàn thành tốt luân văn Xin cảm ơn bạn, đồng nghiệp thành viên gia đình tạo điều kiện tốt nhất, động viên, cổ vũ suốt trình học tập làm luận văn tốt nghiệp Xin chân thành cảm ơn! Hà Nội, ngày tháng năm 2015 Học viên Đoàn Văn Phi - 4- MỤC LỤC LỜI CAM ĐOAN CHƯƠNG – ĐẶT VẤN ĐỀ 1.1 Bối cảnh chung 1.2 Nhu cầu phát triển 1.3 Giải pháp 10 1.4 Cấu trúc luận văn 10 CHƯƠNG – CÁC KHÁI NIỆM VÀ THÀNH PHẦN TRONG PKI 12 2.1 Chữ ký số 12 2.1.1 Khái niệm 12 2.1.2 Ưu điểm sử dụng chữ ký số 12 2.2 Chứng thư số 14 2.3 Các khái niệm ký mã hóa 14 2.3.1 Phương pháp mã hóa đối xứng 14 2.3.2 Phương pháp mã hóa phi đối xứng 15 2.3.3 Quá trình băm 16 2.3.4 Quá trình mã hóa 16 2.3.5 Quá trình ký 18 2.4 Tổng quan PKI 20 2.4.1 Khái niệm PKI 20 2.4.2 Các thành phần PKI 21 2.4.3 Các mô hình tổ chức 28 2.4.4 Các chuẩn áp dụng cho PKI 35 CHƯƠNG – XÂY DỰNG GIẢI PHÁP PKI TRÊN SIM 38 3.1 Giới thiệu dịch vụ 38 - 5- 3.2 Mô hình trực tuyến 39 3.2.1 Mô tả thành phần 39 3.2.2 Tương tác thành phần 40 3.2.3 Các chuẩn chung để giao tiếp thành phần 41 3.3 Mô hình ca sử dụng 41 3.3.1 Đăng ký 42 3.3.2 Kích hoạt dịch vụ 43 3.3.3 Ký điện tử 46 3.3.4 Xem thông tin chứng thư 50 3.3.5 Tra cứu giao dịch 51 3.3.6 Gia hạn chứng thư số 51 3.3.7 Thu hồi chứng thư số 52 3.3.8 Tạm ngưng chứng thư số 53 3.4 Giải pháp thiết bị offline (Dcom, UsbToken,…) 54 3.4.1 Mô tả thành phần 56 3.4.2 Mô tả luồng hoạt động 57 3.4.3 Mô hình ca sử dụng 57 CHƯƠNG – KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 65 - 6- BẢNG CHỮ CÁI VIẾT TẮT Viết tắt Tên đầy đủ PKI Public Key Infrastructure CNTT Công nghệ thông tin HSM Hardware Security Module CA Certificate Authority (Nhà cung cấp chứng số số) DES Data Encryption Standard (Thuật toán mã hóa DES) CBC Cipher Block Chaining (Mô hình mã hóa theo dãy) RA Registration Authority (Nhà cung cấp dịch vụ đăng ký chứng thư số) CP Certificate Policy (Chính sách chứng thư số) CPS Certificate Practice Statement (CPS) AP Application Provider MSSP Mobile Signature Service Provider UC Usercase OCSP Online Certificate Status Protocol (Giao thức xác minh trạng thái chứng thư số trực tuyến) GSM Global System for Mobile Communications (Tiêu chuẩn cho tin nhắn mạng viễn thông) EE End Entity (Thực thể cuối) CAM CAManager (Ứng dụng thao tác với SIM) - 7- CHƯƠNG – ĐẶT VẤN ĐỀ 1.1 Bối cảnh chung Hiện nay, Internet phát triển vũ bão giới Công nghệ thông tin nói chung mạng Internet nói riêng đưa loài người lên tầm cao Khoảng cách địa lý không cản trở lớn trước nữa, thực sống “thế giới phẳng” Như Bill Gate nhận định: “Những ngày hôm không bắt đầu tổ chức lại công việc sống với trợ giúp Internet máy tính người bị đẩy khỏi vòng trôi thời đại” Không nằm phát triển đó, Việt Nam, Internet bùng nổ, sức mạnh tầm quan trọng ảnh hưởng tới hoạt động kinh tế – văn hóa – xã hội, thương mại điện tử phủ điện tử Thật vậy, phủ điện tử giúp máy hành cồng kềnh hoạt động hiệu quả, giảm thiểu chi phí giao dịch Ý nghĩa nữa, phủ điện tử giúp nhà nước xây dựng lòng tin, thúc đẩy tính minh bạch tăng cường tham gia cộng đồng trình định phủ Thế giới chứng kiến ảnh hưởng ngày sâu rộng CNTT vào lĩnh vực kinh tế xã hội, quốc gia nào, tập đoàn xác định lấy CNTT làm then chốt phát triển kinh tế cho tương lai Ngoài ra, xã hội ngày nay, việc sử dụng điện thoại thông minh (Smart phone) lại phổ biến Người ta nghĩ đến việc thực giao dịch qua mạng điện thoại Điều khiến cho nhiều nhà viễn thông Việt Nam xác định xây dựng ứng dụng SIM để đem lại tiện lợi cho khách hàng Trong giao dịch truyền thống, sử dụng giấy tờ, công văn với chữ ký dấu Việc giao dịch, trao đổi thông tin môi trường internet cần có chế tương tự chữ ký số sử dụng để phục vụ cho môi trường Khác với chữ ký thường phải nhiều thời gian để giám định cần thiết, chữ ký số giám định, xác nhận nhanh với công cụ điện tử Cũng thế, chứng thực số dịch vụ internet tương tự việc công chứng giấy tờ, văn thông thường Cụ thể, chữ ký số giải pháp công nghệ đảm bảo tính cho người giao dịch thông tin mạng, đảm bảo thông tin cung cấp người Liên quan đến vấn đề có ba yếu tố: Chữ ký số, chứng thư số chứng thực số - 8- Hiện nay, thị trường có nhiều nhà cung cấp chữ ký số như: Root CA, BKAVCA, FPT-CA, Viettel-CA, VNPTCA, CA2, CKCA, Safe-CA,… với dòng thiết bị điển hình usb token Ngoài có thiết bị Dcom CA với SIM không cho phép truy cập internet mà lưu thông tin chứng thư số Điều làm cho khách hàng ký giao dịch nơi đâu, tạo nên tiện dụng cho khách hàng Như vậy, liên quan đến vấn đề có yếu tố: chữ ký số, chứng thư số chứng thực số - Chữ ký số người sử dụng tạo sau nhà cung cấp dịch vụ cung cấp chứng thư số - Chứng thực số sử dụng để đối tác người sử dụng biết xác định chữ ký, chứng thư 1.2 Nhu cầu phát triển Tuy nhiên, với phát triển nhanh chóng mặt, việc trao đổi thông tin qua mạng Internet ngày xuất nhiều lỗ hổng Khi thực trao đổi thông tin qua mạng với đó, chắn người người mong muốn, không chắn thông tin gửi có bị thay đổi trước đến đích Khả bị kẻ xấu nghe trộm, giả mạo, lừa đảo qua mạng ngày tăng Thật vậy, theo thống kê thông tin công nghệ Việt Nam, 2012, tội phạm công nghệ cao gây thiệt hại cho riêng nước Mỹ 400 tỷ USD Còn Việt Nam, theo thống kê Cục Công nghệ tin học nghiệp vụ (E15), Tổng cục kỹ thuật – Bộ Công an, năm 2012, tội phạm công nghệ cao gay thiệt hại 2000 tỷ đồng, công nhằm vào lĩnh vực tài chính, chứng khoán, ngân hàng, mua bán ngoại tệ qua Internet Quả thật, tiềm ẩn rủi ro qua mạng trở thành vấn đề nhức nhối Nguy hiểm tiến trình thực Chính phủ điện tử nước ta, để kẻ xấu lợi dụng điểm yếu trên, thiệt hại tính tiền Ví dụ công văn, nghị bị kẻ phá hoại giả mạo quan chức để chống phá quyền, làm mật lòng tin nhân dân Vì hiểm họa song hành trao đổi thông tin qua mạng, hai nhu cầu lớn nhắc đến Thứ nhất, để tránh giả mạo, người dùng cần phương thức để xác minh người đưa thông tin xác minh toàn vẹn thông tin Thứ hai, để tránh bị lộ thông tin, người dùng cần phương thức để đảm bảo có người họ gửi thông tin cho đọc thông tin Nếu giải hai nhu cầu này, an toàn trao đổi thông tin mạng tăng lên đáng kể - 9- 1.3 Giải pháp Để đáp ứng hai nhu cầu cấp thiết đó, giải phá giới đề Đó là, người tham gia giao dịch điện tử cấp chứng thư số, chứng thư chứng minh họ ai, chứng minh thư số Họ dùng chứng thư để ký điện tử lên tài liệu, giao dịch họ công bố để người khác biết họ tác giả kiểm tra toàn vẹn tài liệu Họ dùng chứng thư để giải mã thông tin mà mã hóa gửi cho họ, với mong muốn họ giải mã thông tin Cũng chứng thư thông thường, chứng thư số cần có nhà cung cấp mà người tin tưởng Khi đó, có giá trị giao dịch Nhà cung cấp gọi Certificate Authority (CA) Tuy nhiên, đơn giản thế, để chứng thư số phát huy hết khả nó, cần hệ thống cung cấp, tổ chức quản lý chứng thư Hệ thống Public Key Infrastructure (PKI – Cơ sở hạ tầng khóa công khai) Đây hệ thống có cấu trúc đặc điểm công nghệ phức tạp Tuy thế, nói cách đơn giản, PKI tạo sở vững để người tin tưởng, đăng ký sử dụng chứng thư số Nhờ vậy, việc bảo vệ công bố thông tin qua mạng người dùng đảm bảo an toàn Việc triển khai thành công hệ thống PKI có ảnh hưởng tích cực tới nhiều lĩnh vực, từ định chế tài chính, lớn tổ chức phủ người dùng cá nhân toàn xã hội 1.4 Cấu trúc luận văn Nội dung luận văn gồm có chương Chương 1: Đặt vấn đề Chương giúp người đọc hiểu bối cảnh chung Internet xã hội thời nay, nhu cầu phát triển, giải pháp đưa tình hình triển khai PKI thực tế giới nói chung Việt Nam nói riêng Chương 2: Các khái niệm thành phần PKI Tìm hiểu PKI gồm mục như: - Khái niệm PKI, ký số phương pháp mã hóa PKI - Các thành phần PKI - Các mô hình tổ chức CA - 10 - 3.3.7.2 Luồng - Bước 1: Nhân viên đại lý RA gửi yêu cầu hủy chứng thư số sau kiểm tra thông tin chứng thư số hợp lệ - Bước 2: RA thực hủy chứng thư số yêu cầu - Bước 3: RA gọi dịch vụ cập nhật kết thực hủy chứng thư số sang MSSP - Bước 4: MSSP gửi kết thực thu hồi chứng thư số qua SMS tới SIM - Bước 5: Ứng dụng SIM trả kết thực cho MSSP - Bước 6: MSSP trả kết thực SIM Nếu thành công RA cập nhật kết thu hồi hiển thị kết 3.3.8 Tạm ngưng chứng thư số Tạm ngưng chứng thư số việc thay đổi trạng thái chứng thư số sang trạng thái hiệu lực, tạm ngưng chứng thư số sử dụng khoảng thời gian mà chứng thư số khách hàng hiệu lực (chứng thư số hết hạn tạm ngưng) Quy trình tạm ngưng sử dụng trường hợp khách hàng yêu cầu ghi ngờ bị usbToken, bị lộ khóa quan chức có thẩm quyền yêu cầu tạm ngưng để điều tra - 53 - 3.3.8.1 Mô tả tóm tắt UC mô tả cách thức tạm ngưng chứng thư số 3.3.8.2 Luồng - Bước 1: Nhân viên đại lý thực yêu cầu tạm ngưng chứng thư số sau kiểm tra thông tin chứng thư số hợp lệ - Bước 2: RA kiểm tra thông tin chứng thư có phù hợp với yêu cầu, chuẩn bị thông tin gửi sang MSSP - Bước 3: RA gửi yêu cầu dịch vụ tạm ngưng chứng thư số sang MSSP - Bước 4: MSSP đóng gói thông tin dạng tin nhắn sms gửi xuống SIM, thông tin gồm requestId thông tin chứng thư số - Bước 5: SIM trả lại kết thực yêu cầu tạm ngưng chứng thư số cho MSSP - Bước 6: MSSP trả kết thực yêu cầu tạm ngưng SIM cho RA RA cập nhật kết hiển thị cho nhân viên đại lý 3.4 Giải pháp thiết bị offline (Dcom, …) Giải pháp ký điện tử DCOM đảm bảo SIM thực ký theo phương pháp truyền thống Mô hình truyền thống có ưu điểm người sử dụng dùng SIM ký, lúc khác họ cất đảm bảo SIM không bị mát đảm bảo an toàn - 54 - Việc hỗ trợ giải pháp ký DCOM, thiết bị khác đầu đọc thẻ nhằm đảm bảo tính đa dạng việc đáp ứng nhu cầu người sử dụng phù hợp với quy trình nghiệp vụ cung cấp chứng thư số có, giúp cho giải pháp chữ ký điện tử sử dụng rộng rãi Ngoài ra, để đảm bảo ký theo phương pháp truyền thống điều có nghĩa cần có tích hợp phần mềm SIM vào bên hệ điều hành theo tiêu chuẩn có PKCS#11, chuẩn CSP hệ điều hành Windows, … Bên cạnh việc sử dụng SIM thiết bị DCOM, người sử dụng bỏ SIM lắp vào điện thoại, yêu cầu SIM đồng thời sử dụng với hệ thống MSSP với mô hình truyền thống Trong mục này, trình bày giải pháp sử dụng SIM hoạt động với thiết bị theo phương pháp ký “truyền thống” hoạt động đồng thời hệ thống MSSP Mô hình ký offline xây dựng hình vẽ: - 55 - CA Manager RA MSSP DCOM-SIM LIB DCOM Driver Hardware Layer Hình 3.4 – Mô hình ký thiết bị offline 3.4.1 Mô tả thành phần - CA Manager: Khối tổng hợp chức giao tiếp với SIM Chức yêu cầu chi tiết liệu vào hàm - DCOM SIM LIB: gọi khối thư viện, thực thi hóa chức giao tiếp tới SIM Chuyển đổi liệu gửi xuống từ CA Manager, thực gửi lệnh xuống SIM - DCOM Driver: Khối driver thể môi trường kết nối, nhận biết thiết bị cắm vào máy tính - Hardware Layer: Tầng thiết bị, bật DCOM, đầu đọc thẻ SIM Chúng ta chèn SIM vào DCOM thẻ SIM sau kết nối với máy tính qua cổng cắm USB.(ở SIM có chứng thư số) - 56 - 3.4.2 Mô tả luồng hoạt động Luồng hoạt động mô hình ký offline thể qua bước sau: - Bước 1: Người dùng thao tác phần mềm, thông qua CA Manager để gửi yêu cầu xuống SIM - Bước 2: Thư viện DCOM SIM LIB tiếp nhận yêu cầu từ CA Manager, phân loại chuyển hóa liệu chuẩn bị gửi lệnh xuống SIM - Bước 3:Thư viện DCOM SIM LIB thực gửi lệnh xuống SIM Trước thực gửi lệnh thư viện kiểm tra kết nối tới SIM thông môi trường Driver thiết bị - Bước 4: SIM nhận yêu cầu gửi xuống, xác định loại yêu cầu, thực gửi trả kết cho thư viện DCOM SIM LIB - Bước 5: Thư viện nhận kết từ SIM gửi lên, phản hồi lại cho CA Manager cập nhật Đối với chức như: gia hạn chứng thư số, thu hồi chứng thư số, tạm ngưng chứng thư phải thực bước sau trước: - Bước 6: CA Manager gửi yêu cầu sang RA theo mục đích chức - Bước 7: RA thực gửi yêu cầu sang MSSP để cập nhật chứng thư số MSSP - Bước 8: MSSP trả kết thực cho RA - Bước 9: Trả kết thực cho CA Manager Sau thực từ bước Đối với chức đăng ký thực từ bước tới bước Còn chức như: ký điện tử, thay đổi mật khẩu, xem thông tin chứng thư thực bước 6, 7, 8, 3.4.3 Mô hình ca sử dụng 3.4.3.1 Đăng ký 3.4.3.1.1 Mô tả tóm tắt - 57 - UC mô tả chức đăng ký sử dụng dịch vụ chữ ký số thiết bị offline 3.4.3.1.2 Luồng Lệnh giao tiếp CAM thực thông qua việc cập nhật file SMS SMS định dạng theo chuẩn tin nhắn GSM 03.48 mã hóa mật TSOPIN (trong nội dung SMS có chứa mã TSOPIN để SIM kiểm tra tính hợp lệ yêu cầu từ CAM) - - Bước 1: CA Manager (CAM) gửi lệnh kích hoạt đăng ký CTS tới SIM, thông tin bao gồm mật dùng lần TSOPIN Bước 2: SIM sinh cặp khóa RSA đóng gói khóa công khai để đăng ký chứng thư số vào file CSR (theo chuẩn PKCS#10), thông tin bên file CSR bao gồm ICCID, khóa công khai chữ ký khóa bí mật File CSR mã hóa mã POP đảm bảo tính bảo mật đầu SIM – RA mô hình đăng ký hệ thống MSSP Bước 3: CAM gửi file đăng ký CSR tới RA theo webservice hệ thống RA, việc mô tả webservice nằm phạm vị tài liệu - 58 - - - - Bước 4: Sau xác thực thông tin đăng ký số bước quy trình đăng kí khác, trình đăng ký thành công RA gửi CTS cho CAM theo định dạng X509 phiên 3.0 thông qua webservice giao tiếp RA CAM (nằm phạm vi tài liệu) Bước 5: Để SIM sử dụng với điện thoại trường hợp người sử dụng cắm SIM vào điện thoại, RA đăng kí người sử dụng với hệ thống MSSP thông quai webservice, thông tin bao gồm số điện thoại chứng thư số theo định dạng X509 ver 3.0 MSSP phản hồi đăng ký người sử dụng cho RA thông qua webservice Bước 6: Sau CAM nhận chứng thư số từ RA, thực trích rút thông tin phần đăng ký chứng thư số hệ thống MSSP gửi xuống SIM 3.4.3.2 Ký điện tử 3.4.3.2.1 Mô tả tóm tắt UC mô tả chức ký điện tử người dùng thiết bị offline 3.4.3.2.2 Luồng - - Bước 1: CAM gửi yêu cầu ký xuống SIM thông qua thư việc DCOM SIM LIB Yêu cầu ký bao gồm liệu ký(các file liệu dạng pdf, docx, xlsx, text), kiểu liệu ký (text, hash), định dạng đầu chữ ký (PKCS#7, XML, CMS) mật PIN Bước 2: Thư viện gửi lệnh yêu cầu ký xuống SIM, yêu cầu gồm liệu ký băm thành 20 bytes, định dạng đầu chữ ký, mật PIN Bước 3: SIM trả lại chữ ký cho thư viện, chữ ký liệu băm gửi xuống, - 59 - - chữ ký trả byte[] Bước 4: Thư viện gửi chữ ký lên CAM theo định dạng lệnh yêu cầu 3.4.3.3 Thay đổi mật 3.4.3.3.1 Mô tả tóm tắt UC mô tả chức đổi mật chứng thư số người dùng 3.4.3.3.2 Luồng CA Manager SIM DCOM SIM LIB Yêu cầu đổi mật Yêu cầu đổi mật Trả kết Trả kết - Bước 1: CAM gửi lệnh yêu cầu thay đổi mật khẩu, với tham số mật mới, mật cũ Mật thường tối đa kí tự có dạng chữ số Bước 2: Thư viện gửi yêu cầu đổi mật xuống SIM với liệu gửi xuống chuyển đổi Bước 3: Trả kết đổi mật cho thư viện Bước 4: Thư viện phẩn hồi kết cho CAM 3.4.3.4 Xem thông tin chứng thư 3.4.3.4.1 Mô tả tóm tắt UC mô tả cách thức người dùng xem chứng thư số từ SIM 3.4.3.4.2 Luồng - 60 - CA Manager DCOM SIM LIB SIM Yêu cầu xem chứng thư số Gửi yêu cầu xem cts Trả kết quả(cert[]) Trả kết quả(cert[]) - Bước 1: CAM gửi yêu cầu xem chứng thư số - Bước 2: Thư viện thực gửi yêu cầu lấy danh sách chứng thư số lưu SIM - Bước 3: SIM trả danh sách chứng thư số lưu SIM Thông tin trả chứng thư số gồm: số serial, tên chứng thư, chuỗi chứng thư số - Bước 4: Thư viện phản hồi lại chứng thư số cho CAM 3.4.3.5 Thu hồi chứng thư 3.4.3.5.1 Mô tả tóm tắt UC mô tả cách thức thu hồi chứng thư số SIM gắn thiết bị offline 3.4.3.5.2 Luồng - 61 - - Bước 1: CA Manager gửi yêu cầu thu hồi chứng thư số xuống SIM - Bước 2: Thư viện tiếp nhận thông tin thu hồi từ CA Manager, chuyển đổi liệu thực gửi lệnh thu hồi chứng thư số xuống SIM - Bước 3: SIM thực xóa cts thu hồi - Bước 4: SIM trả kết thực xóa chứng thư số - Bước 5: Thư viện tiếp nhận kết từ SIM, xác nhận thực bước - Bước 6: CA Manager gửi yêu cầu thu hồi chứng thư số sang RA, thông tin gửi sang số serial chứng thư số CERTID - Bước 7: RA cập nhật trạng thái chứng thu số thu hồi, đồng thời gửi yêu cầu thu hồi cts sang MSSP - Bước 8: MSSP trả kết thu hồi chứng thư số yêu cầu - Bước 9: RA trả kết thu hồi cts 3.4.3.6 Gia hạn chứng thư số 3.4.3.6.1 Mô tả tóm tắt UC mô tả chức gia hạn chứng thư số cho người dùng qua thiết bị offline 3.4.3.6.2 Luồng - 62 - - Bước 1: CAM gửi yêu cầu gia hạn CTS cho RA, thông tin gửi gồm certID serial CTS - Bước 2: RA thực gia hạn CTS theo certID serial CTS nhận được, chuẩn bị thông tin gửi yêu cầu cập nhật sang MSSP - Bước 3: RA gửi yêu cầu cập nhật trạng thái gia hạn CTS sang MSSP - Bước 4: MSSP cập nhật trạng thái CTS yêu cầu trả kết cho RA - Bước 5: RA trả kết thực gia hạn cho CAM, gồm thông tin CTS - Bước 6: CAM xác định kết quả, gửi yêu cầu gia hạn CTS xuống SIM qua thư viện - Bước 7: Thư viện chuyển đổi liệu dạng byte[] gửi lệnh gia hạn CTS xuống SIM - Bước 8: SIM cập nhật CTS mới, trả kết cho thư viện - Bước 9: Thư viện trả kết gia hạn từ SIM cho CAM 3.4.3.7 Tạm ngưng chứng thư số 3.4.3.7.1 Mô tả tóm tắt UC mô tả cách thức tạm ngưng CTS - 63 - 3.4.3.7.2 Luồng - Bước 1: CAM gửi yêu cầu tạm ngưng CTS cho RA, thông tin gửi gồm certID serial CTS - Bước 2: RA thực tạm ngưng CTS theo certID serial CTS nhận được, chuẩn bị thông tin gửi yêu cầu cập nhật sang MSSP - Bước 3: RA gửi yêu cầu cập nhật trạng thái ngưng CTS sang MSSP - Bước 4: MSSP cập nhật trạng thái CTS yêu cầu trả kết cho RA - Bước 5: RA trả kết thực tạm ngưng dịch vụ cho CAM - Bước 6: CAM xác định kết quả, gửi yêu cầu tạm ngưng CTS xuống SIM qua thư viện DCOM SIM LIB - Bước 7: Thư viện chuyển đổi liệu dạng byte[] gửi lệnh tạm ngưng CTS xuống SIM - Bước 8: SIM cập nhật CTS mới, trả kết cho thư viện - Bước 9: Thư viện trả kết tạm ngưng từ SIM cho CAM - 64 - CHƯƠNG – KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Ở Việt Nam, không nằm xu hướng so với giới, PKI phủ nhiều công ty bắt tay triển khai việc xây dựng cung cấp Là nước đông dân, với dân số trẻ số lượng người dùng Internet đông đảo, Việt Nam thị trường hứa hẹn đầy tiềm cho dịch vụ Internet nào, PKI không ngoại lệ Ở Việt Nam có công ty CNTT triển khai dịch vụ PKI VASC, VDC, FPT, BKAV, Viettel,… Tính tới thời điểm tại, họ có có khó khăn thành công định Một nguyên nhân dẫn đến họ chưa thực thành công PKI bao trùm lĩnh vực rộng lớn phức tạp bao gồm nhiều thuật toán, chuẩn giao thức đa dạng, phức tạp vấn đề an ninh mạng Mặt khác, người dùng có mặt kiến thức CNTT thấp nên việc triển khai PKI gặp nhiều khó khăn, việc cung cấp dịch vụ không hợp lý đem lại cho người dùng bối rối định Nói cách khác, nhu cầu người dùng Việt Nam PKI chưa thỏa mãn Thực tế lại làm tăng thêm sức hấp dẫn cho thị trường đầy tiềm năng, mà cầu nhiều mà cung lại không đáp ứng Việt Nam Đó lý để tin tưởng vấn đề liên quan tới PKI ngày trở thành chủ đề nóng bỏng, bàn luận nhiều thời gian tới Có thể khẳng định, hệ thống PKI thỏa mãn nhu cầu người dùng Việt Nam chắn chào đón mang lại biến đổi tích cực lớn lao cho xã hội Chữ ký số thiết bị di động, hay giải pháp PKI SIM giải pháp mà chữ ký số tạo vi xử lý bảo mật SIM thiết bị di động mạng GSM Chữ ký số di động áp dụng việc ký điện tử cho văn bản, hay giao dịch điện tử web ứng dụng PC/Mobile Điều mang lại cho người sử dụng tiện lợi bảo mật giao dịch Việc áp dụng giải pháp, ứng dụng giao dịch điện tử bảo vệ cách an toàn nhất: - Việc xác thực người dùng dựa thông tin chữ ký số, chứng thư số - Mọi giao dịch hai chiều ký số để đảm bảo tính xác thực, toàn vẹn chống chối bỏ Giải pháp PKI SIM giải pháp Ở Việt Nam có đơn vị thực theo giải pháp Giải pháp có ưu điểm so với giải pháp PKI thông thường: - Nhỏ gọn - Dễ triển khai hay tích hợp với hệ thống khác - 65 - - Thuận tiện cho doanh nghiệp hay quan hành nghiệp có mô hình nhiều lớp - Dễ sử dụng tích hợp nhiều thiết bị khác Ở Việt Nam, nay, giao dịch qua mạng thương mại điện tử, giao dịch ngân hàng thực đường chưa an toàn chữ ký điện tử Do vậy, việc đưa dịch vụ chữ ký điện tử có thị trường tiềm lớn Kết đạt luận văn Theo yêu cầu toán đặt ban đầu “xây dựng giải pháp PKI SIM”, luận văn đạt nội dung sau: - Tìm hiểu bối cảnh chung nhu cầu cần thiết chữ ký điện tử môi trường giao dịch qua mạng Từ đưa giải pháp chữ ký số SIM - Nắm khái niệm, phương pháp mã hóa, thành phần PKI thiết bị lưu trữ - Xây dựng giải pháp PKI SIM, hướng việc phát triển rộng rãi chứng thư số xã hội Hướng phát triển Trong thời gian tới luận văn sâu vào phát triển số nội dung sau vào hệ thống: - Xây dựng hệ thống thực thi giải pháp - Tối ưu khả xử lý bảo mật liệu - Tìm hiểu hướng triển khai rộng rãi, tích hợp vào nhiều lĩnh vực như: Thương mại điện tử, ngân hàng hay quan phủ,… - 66 - TÀI LIỆU THAM KHẢO [1] Johannes A.Buchmann, Evangelos Karatsiolis, Alexender Wiesmaier Introduction to Public Key Infrastructures Springer 2013 [2] Phạm Huy Điền, Hà Huy Khoái Mã Hóa Thông Tin – Cơ sở Toán học Ứng dụng Đại học Quốc Gia Hà Nội 2004 [3] S Chokhani, Orion Security Solutions.Inc, W Ford, VeriSign.Inc, R Sabett, Cooley Godward LLP, C Merrill, McCarter & English.LLP, S Wu, Infoliance.Inc Internet X509 Public Key Infrastructure Certificate Policy and Certification Pratises Framework The Internet Society 2003 [4] Alfred J.Menezes, Paul C.van Oorschot, Scott A Vanstone Handbook of Applied Cryptography ISBN 10-1996 [5] Bart Van Rompay Analysis and Desigbn of Cryptographic Hash Functions, MAC Algorithms and BlockCiphers, Juni 2004, tr 27-28 [6] William Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, November 16, 2005, tr.30-35 [7] Trang web: http://www.ascertia.com/ [8] Trang web: http://www.identrust.com/ [9] Trang web: http://www.entrust.com/ [10] Trang web: https://www.verisign.com - 67 - [...]... khóa để mã hóa và giải mã thông tin Cặp khóa này là khóa công khai (public key) và khóa bí mật (private key) Khi một thông tin được mã hóa bằng khóa công khai thì ta chỉ có thể dùng khóa bí mật tương ứng để giải mã, và ngược lại Khóa công khai là khóa mà ta sẽ công khai cho tất cả mọi người khác biết để họ giải mã các thông tin được mã hóa bởi khóa bí mật; hoặc là để mã hóa những thông tin họ gửi cho... - 16 - mà thông điệp gửi đi là cần hạn chế số người có thể hiểu nó Để đảm bảo an toàn, không bị lộ thông tin thì cần có một phương pháp mã hóa thông tin trước khi gửi đi, ở phía nhận sẽ thực hiện giải mã thông tin để có thể đọc được [2] [6] Hình 2.3.4 - Mô phỏng quá trình mã hóa Hình trên mô phỏng quá trình Alice (A) mã hóa một thông điệp rồi gửi tới cho Bob (B) Diễn biến như sau: - Msg là thông điệp...- Các chuẩn áp dụng cho PKI và các thiết bị lưu trữ hiện nay Chương 3: Xây dựng giải pháp dịch vụ chữ ký số trên SIM Xây dựng mô hình tổng quan về việc sử dụng dịch vụ chữ ký số trên SIM Mô hình hướng đến tác nhân là người dùng sử dụng dịch vụ và thực hiện những giao dịch như: chuyển tiền trực tuyến, thanh toán tiền trực tuyến, ký văn bản mềm, nộp những tờ khai thuế trực tuyến,... niệm giống như chữ ký thông thường nhưng được xây dựng dựa trên công nghệ mã hóa điện tử công khai, nhằm bảo đảm vấn đề toàn vẹn dữ liệu, và chống sự chối bỏ trách nhiệm khi đã ký 2.1.2 Ưu điểm khi sử dụng chữ ký số 2.1.2.1 Khả năng xác định nguồn gốc Các hệ thống mã hóa công khai cho phép mã hóa văn bản với khóa bí mật mà chỉ có người chủ của khóa biết Để sử dụng chữ ký số thì văn bản cần được phải... A muốn gửi cho B - Sau khi thông điệp được mã hóa bằng hàm Encrypt với đầu vào là Msg và khóa công khai U_B và B, A thu kết quả C_tx - A gửi C_tx sang cho B - B nhận C_tx, giải mã nó bằng hàm Decrypt với đầu vào là C_tx và khóa bí mật của B, thu được Msg là thông điệp gốc mà A muốn gửi cho B Một hệ mã hóa phải đảm bảo thông tin sau khi giải mã (Msg) phải trùng với thông tin trước khi được mã hóa Mã... MD5, SHA-1, SHA-2 … Gần đây giải thuật MD5, SHA-1 đã bị xếp là giải thuật yếu, không được khuyên sử dụng Giải thuật SHA-2 hiện đạng được tin dùng 2.3.4 Quá trình mã hóa Ta mã hóa thông điệp gửi đi khi ta muốn chỉ có người mà ta gửi thông điệp đó cho có thể hiểu được thông điệp Nhu cầu này xuất hiện khá thường xuyên trong thực tế, ví dụ như trong quân sự, gián điệp, thông tin nội bộ của tổ chức nào đó... nhau, Bob có thể khẳng định văn bản đi kèm chữ ký đúng là văn bản chữ ký điện tử ký lên và nó chưa bị thay đổi kể từ khi được ký lên Do khóa công khai của Alice giải mã được kết quả băm bị mã hóa để thu được kết quả băm đúng, Bob có thể khẳng định rằng chính Alice là người ký điện tử lên văn bản Hình 2.3.5-2 Mô hình xác minh chữ ký 2.4 Tổng quan về PKI 2.4.1 Khái niệm về PKI PKI là viết tắt của “Public... lợi (kiểu tấn công truyền lại gói tin) 2.1.2.2 Tính toàn vẹn Cả hai bên tham gia vào quá trình truyền thông tin đều có thể tin tưởng là văn bản không bị sửa đổi trong khi truyền Vì nếu văn bản bị thay đổi thì hàm băm cũng sẽ thay đổi và lập tức phát hiện Quy trình mã hóa sẽ ẩn nội dung đối với bên thứ ba 2.1.2.3 Tính không thể phủ nhận Trong giao dịch, một bên có thể từ chối nhận một văn bản nào đó... khai báo thông tin cá nhân khi đăng ký xin cấp chứng thư số), các quy định về thứ tự request, các tham số cần cung cấp trong các giao thức dành cho các nhà phát triển ứng dụng mà muốn xây dựng các ứng dụng client có thể tương thích được với server của nhà cung cấp … 2.4.2 Các thành phần của PKI Như đã được giới thiệu ở trên, PKI chính là hệ thống đề cấp cho mỗi người một (hay một vài) khóa công khai... thuộc, hoặc là cho cả hai trong một văn bản - 26 - Mặt khác, do một CPS chi tiết có thể chứa những thông tin nhạy cảm liên quan tới hệ thống, một CA có thể sẽ không công bố bản đầy đủ của CPS, mà thay vào đó sẽ là bản tóm lược Bản tóm lược này chỉ bao gồm các thông tin mà CA thấy là thích hợp với các bên tham gia trong PKI Bản tóm lược đương nhiên sẽ không gồm có những tông tin được cho là nhạy cảm về hệ ... GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ĐOÀN VĂN PHI XÂY DỰNG GIẢI PHÁP PKI TRÊN SIM Ngành : Công nghệ thông tin Chuyên ngành : Công nghệ phần mềm Mã số : 60 48 10 LUẬN VĂN THẠC SĨ - 2HƯỚNG DẪN KHOA... xác minh người đưa thông tin xác minh toàn vẹn thông tin Thứ hai, để tránh bị lộ thông tin, người dùng cần phương thức để đảm bảo có người họ gửi thông tin cho đọc thông tin Nếu giải hai nhu cầu... với công cụ điện tử Cũng thế, chứng thực số dịch vụ internet tương tự việc công chứng giấy tờ, văn thông thường Cụ thể, chữ ký số giải pháp công nghệ đảm bảo tính cho người giao dịch thông tin