Đang tải... (xem toàn văn)
Nghiên cứu sử dụng USB token để bảo vệ khóa bí mật trong giao dịch điện tử trên nền web
Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB TÀI LIỆU THAM KHẢO 74 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB DANH MỤC HÌNH VẼ Hình 7-2 Kết nạp hoàn thiện thẻ bảo mật (token) mềm 50 Hình 7-3 Kích hoạt thẻ OTP 51 Hình 7-4 Mô hình triển khai thực giải pháp 56 Hình 7-5 Kiến trúc triển khai giải pháp theo mô hình In-the-cloud 57 Hình 7-6 Kiến trúc triển khai giải pháp theo mô hình In-premise 59 Hình 7-7 Giao diện quản trị token người dùng 62 Hình 7-8 Giao diện người dùng tự kích hoạt 63 Hình 7-9 Giao diện người dùng tự kiểm tra thẻ token 64 Hình 7-10 Giao diện đồng token 64 Hình 7-11 Môi trường xác thực sử dụng chế hời điểm mật – OTP 66 Hình 7-12 Kiến trúc gói phần mềm lập trình phát triển quản lý (SDK) 69 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB DANH MỤC BẢNG Bảng 5-1 Các ký hiệu 19 Bảng 5-2 Các tiền tố 19 Bảng 5-3 Bộ ký tự 21 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB MỞ ĐẦU Trước tiên xin cảm ơn hướng dẫn Thạc sỹ Vũ Bảo Thạch Kỹ sư Nguyễn Đức Tân giúp đỡ nhiều trình thực đồ án Nhờ có hướng dẫn Thạc sỹ Thạch Kỹ sư Tân, đồ án : “Ứng dụng công nghệ USB Token việc bảo đảm an toàn thương mại điện tử” hoàn thành Phạm vi mục đích thực đồ án : nghiên cứu số thuật toán úng dụng công nghệ USB Token việc đảm bảo an toàn thương mại điện tử Việt Nam, đặc biệt số ngân hàng Đồ án giới thiệu cách thức sử dụng công nghệ USB Token Cấu trúc đồ án gồm có chương Giới thiệu công nghệ USB Token Các lĩnh vực ứng dụng công nghệ USB Token Một số bảng mã tham chiếu công nghệ USB Token Một số định nghĩa sử dụng Các biểu tượng chữ viết tắt Miêu tả tổng quan công nghệ USB Token Ứng dụng công nghệ USB Token thương mại điện tử VeriSign Do thời gian nghiên cứu trình độ hiểu biết có hạn nên đồ án thực nhiều thiếu sót Em xin chân thành cảm ơn Ths Vũ Bảo Thạch Kỹ sư Nguyễn Đức Tân nhiệt tình hướng dẫn tạo điều kiện để em hoàn thành đồ án Sinh viên CHƯƠNG I: GIỚI THIỆU Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB Khi mật mã bắt đầu có thừa nhận ứng dụng rộng rãi, có điều ngày rõ ràng : để có hiệu công nghệ cho phép, phải có tiêu chuẩn tương thích Mặc dù nhà cung cấp thoả thuận kỹ thuật mật mã bản, tính tương thích thực không mang nghĩa bảo đảm Khả cộng tác đòi hỏi phải tuân thủ nghiêm ngặt để đồng ý hay chống lại chuẩn Hướng tới mục tiêu đó, RSA Laboratories phát triển, hợp tác với đại diện ngành công nghiệp, viện hàn lâm phủ, tâp hợp tiêu chuẩn đời, gọi Public-Key Cryptography Standards (chuẩn mật mã khóa công khai), viết tắt PKCS PKCS cung cấp RSA Laboratories để phát triển cho hệ thống máy tính có sử dụng công nghệ khóa công khai công nghệ có liên quan.RSA Laboratories có ý định cải thiện tinh chỉnh tiêu chuẩn kết hợp với phát triển hệ thống máy tính, với mục tiêu sản xuất tiêu chuẩn mà hầu hết nhà phát triển thông qua Vai trò RSA Laboratories trình tạo chuẩn gồm có bốn phần: Xuất cách cẩn thận văn tài liệu mô tả tiêu chuẩn Trưng cầu ý kiến lời khuyên từ nhà phát triển người dùng thay đổi hữu ích cần thiết mở rộng Xuất sửa đổi tiêu chuẩn thích hợp Cung cấp hướng dẫn thực triển khai việc tham chiếu Trong trình phát triển PKCS, RSA Laboratories giữ quyền cuối tài liệu, nhận xét đầu vào rõ ràng có ảnh hưởng Tuy nhiên, mục tiêu RSA Laboratories tăng cường phát triển tiêu chuẩn thức, để cạnh tranh công việc Vì vậy, tài liệu PKCS chấp nhận tài liệu sở cho Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB tiêu chuẩn thức, RSA Laboratories tuyên bố từ bỏ "quyền sở hữu cao nhất" tài liệu, nhường đường cho trình phát triển tiêu chuẩn mở RSA Laboratories tiếp tục phát triển tài liệu liên quan, tất nhiên, theo điều khoản mô tả Tài liệu thông tin PKCS có sẵn địa trực tuyến http://www.rsasecurity.com/rsalabs/PKCS/ Cụ thể ta tìm hiểu PKCS#11 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB CHƯƠNG II: LĨNH VỰC ỨNG DỤNG Tiêu chuẩn quy định cụ thể giao diện lập trình ứng dụng (API), gọi "Cryptoki " thiết bị giữ thông tin mật mã thực chức mã hóa Cryptoki, phát âm "crypto-key" viết tắt "giao diện mã thông báo mật mã ", cách tiếp cận đối tượng đơn giản, giải mục tiêu công nghệ độc lập (với loại thiết bị) chia sẻ tài nguyên (nhiều thiết bị ứng dụng đa truy cập), đại diện cho ứng dụng logic chia sẻ chung thiết bị gọi "mật mã token" Tài liệu quy định cụ thể loại liệu chức có sẵn cho ứng dụng đòi hỏi phải có dịch vụ mật mã cách sử dụng ngôn ngữ lập trình ANSI C Các loại liệu chức thông thường cung cấp thông qua tập tin header C nhà cung cấp từ thư viện Cryptoki Tập tin header Generic ANSI C cho Cryptoki có sẵn từ trang PKCS Web Tài liệu nâng câp cho Cryptoki có sẵn từ nơi Tài liệu bổ sung cung cấp giao diện ngôn ngữ độc lập Cryptoki đồng thời cam kết ràng buộc Cryptoki ngôn ngữ lập trình khác Cryptoki phân lập ứng dụng từ chi tiết thiết bị mật mã Các ứng dụng thay đổi giao diện cho loại thiết bị khác để chạy môi trường khác nhau, đó, ứng dụng cầm tay Một số chế mã hóa (thuật toán) hỗ trợ phiên Ngoài ra, chế thêm vào sau mà không thay đổi giao diện ban đầu Nó chế bổ sung công bố theo thời gian tài liệu riêng biệt; cho phép nhà cung cấp token xác định chế riêng họ (mặc dù, mục tiêu tính tương hợp, đăng ký thông qua trình PKCS thích hợp hơn) Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB Cryptoki dự định dành cho thiết bị mật mã học gắn liền với người sử dụng, đó, số tính mà đính kèm mục đích chung ban đầu bỏ qua Ví dụ, Cryptoki biện pháp phân biệt nhiều người dùng Tiêu điểm chìa khóa người sử dụng có lẽ số chứng liên quan đến chúng Hơn nữa, trọng tâm mật mã học Trong thiết bị khác thực nhiều chức hữu ích không mật mã, chức trái với giao diện khác Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB CHƯƠNG III: MỘT SỐ BẢN MÃ THAM CHIẾU ANSI C ANSI/ISO American National Standard for Programming Languages – C 1990 ANSI X9.31 Accredited Standards Committee X9 Digital Signatures Using Reversible Public Key Cryptography for the Financial Services Industry (rDSA) 1998 ANSI X9.42 Accredited Standards Committee X9 Public Key Cryptography for the Financial Services Industry: Agreement of Symmetric Keys Using Discrete Logarithm Cryptography 2003 ANSI X9.62 Accredited Standards Committee X9 Public Key Cryptography for the Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA) 1998 ANSI X9.63 Accredited Standards Committee X9 Public Key Cryptography for the Financial Services Industry: Key Agreement and Key Transport Using Elliptic Curve Cryptography 2001 CC/PP W3C Composite Capability/Preference Profiles (CC/PP): Structure and Vocabularies World Wide Web Consortium, January 2004 URL: http://www.w3.org/TR/CCPP-struct-vocab/ CDPD Ameritech Mobile Communications et al Cellular Digital Packet Data System Specifications: Part 406: Airlink Security 1993 FIPS PUB 46–3 NIST FIPS 46-3: Data Encryption Standard (DES) October 25, 1999 URL: http://csrc.nist.gov/publications/fips/index.html FIPS PUB 74 NIST FIPS 74: Guidelines for Implementing and Using the NBS Data Encryption Standard April 1, 1981 URL: http://csrc.nist.gov/publications/fips/index.html Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB FIPS PUB 81 NIST FIPS 81: DES Modes of Operation December 1980 URL: http://csrc.nist.gov/publications/fips/index.html FIPS PUB 113 NIST FIPS 113: Computer Data Authentication May 30, 1985 URL: http://csrc.nist.gov/publications/fips/index.html FIPS PUB 180-2 NIST FIPS 180-2: Secure Hash Standard August 1, 2002 URL: http://csrc.nist.gov/publications/fips/index.html FIPS PUB 186-2 NIST FIPS 186-2: Digital Signature Standard January 27, 2000 URL: http://csrc.nist.gov/publications/fips/index.html FIPS PUB 197 NIST FIPS 197: Advanced Encryption Standard (AES) November 26, 2001 URL: http://csrc.nist.gov/publications/fips/index.html FORTEZZA CIPG NSA, Workstation Security Products FORTEZZA Cryptologic Interface Programmers Guide, Revision 1.52 November 1995 GCS-API X/Open Company Ltd Generic Cryptographic Service API (GCSAPI), Base - Draft February 14, 1995 ISO/IEC 7816-1 ISO Information Technology — Identification Cards — Integrated Circuit(s) with Contacts — Part 1: Physical Characteristics 1998 ISO/IEC 7816-4 ISO Information Technology — Integrated Circuit(s) with Contacts Commands for Interchange 1995 Identification Cards — — Part 4: Interindustry ISO/IEC 8824-1 ISO Information Technology Abstract Syntax Notation One (ASN.1): Specification of Basic Notation 2002 ISO/IEC 8825-1 ISO Information Technology—ASN.1 Encoding Rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER), and Distinguished Encoding Rules (DER) 2002 10 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB lấy liệu token từ kho lưu trữ token Khi xác thực, cập nhật ghi kho liệu token • Các thành phần gói lập trình phát triển (SDK) – VeriSign có loạt SDK mà cho phép VeriSign tích hợp khả xác thực mạnh vào môi trường có VeriSign tích hợp tính tự phục vụ ví dụ khả kích hoạt token, đồng hóa token… vào cổng VeriSign.com cách sử dụng SDK tự phục vụ Để vận hành việc hỗ trợ, VeriSign có lựa chọn sử dụng ứng dụng web quản trị out-of-box tích hợp tính vào ứng dụng hỗ trợ có cách sử dụng SDK quản lý Cuối cùng, VeriSign sử dụng SDK xác thực để tích hợp OTP vào ưng dụng xử lý nhập Giải pháp xác thực hai thành phần bao gồm plugin mà sử dụng với khả triền khai Oblix 7.6 - Các ứng dụng tự phục vụ khách hàng (người dùng) Ưng dụng tự phục vụ khả Xác thực thống tích hợp VeriSign giúp tối thiểu hóa chi phí hỗ trợ cách cho phép người dùng tự thực hoạt động vận hành chu kỳ sống token Người dùng truy cập vào ứng dụng cách sử dụng giao diện người dùng : • Giao diện webUA VeriSign – cho phép người dùng truy cập vào ứng dụng tự phục vụ thông qua giao diện web đên ứng dụng quản lý token thực doanh nghiệp Giao diện sản phẩm off-the-shelf mà cài đặt bên máy chủ web tích hợp với khả xử lý cung cấp xác thực • SDK tự phục vụ Giải pháp xác thực hai thành phần – phép tích hợp dịch vụ tự phục vụ với hệ thống cung cấp cổng người dùng có (ví dụ Tivoili Identity Manager), ứng dụng hỗ trợ khách hàng có UA SDK có sẵn công cụ Java C toolkit 60 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB Bên cạnh việc phát hành tài liệu kích hoạt OTP token, ứng dụng tự phục vụ cho phép người dùng : • Kích hoạt token • Đồng hóa token • Thay đổi mã PIN người dùng (không áp dụng mật đối tác sử dụng) • Nhận loạt OTP liên tục VeriSign cung cấp trang web để ngừoi dùng truy cập vào ứng dụng tự phục vụ thông qua giao diện web đến dịch vụ quản lý token thực doanh nghiệp mà thể cài đặt bên hay bên bề mặt máy chủ web tích hợp với hệ thống quản trị trình xử lý cung cấp xác thực Chú ý : chức dịch vụ tự phục vụ tích hợp với hệ thống IVR (nhận dạng tiếng nói tương tác) cho phép xác thực người dùng dựa mẫu nhận dạng tiếng nói người dùng cách nhận dạng theo số điện thoại đăng ký trước khách hàng Ứng dụng tự phục vụ dựa web gói lập trình SDK giải pháp xác thực hai thành phần giúp cho khách hàng giảm thiểu chi phí hỗ trợ cách cho phép người dùng tự thực việc vận hành vòng đời chứng theo cách người dùng VeriSign có ứng dụng tự phục vụ người dùng web đóng gói sẵn gói phần mềm SDK viết ngôn ngữ C Java tích hợp suốt với ứng dụng Web khách hàng VeriSign cung cấp trang web cho phép người dùng truy cập tới ứng dụng tự phục vụ thông qua giao diện web tới dịch vụ quản lý token host máy chủ doanh nghiệp cài đặt mạng bên bên máy chủ web tích hợp hoàn toàn với tiến trình chứng thực token giám sát hoạt động token Ngoài ra, VeriSign có thư viện lập trình dựa 61 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB C Java gói SDK để tích hợp chức vào trang web đối tác Hình 7-7 Giao diện quản trị token người dùng Người dùng (khách hàng) kích hoạt thẻ token thông qua giao diện web, sau xác thực tên mật Các đối tác đưa chế câu hỏi trả lời bí mật để xác thực người dùng kích hoạt thẻ token Điều loại trừ yêu cầu người quản trị hệ thống giám sát trước phân phối thẻ token cách đảm bảo an toàn đồng thời hỗ trợ nhóm quản trị giảm gánh nặng trình thiết lập, khởi tạo người dùng cho phép người dùng lấy token nào, mang token tới máy tính họ tự họ kích hoạt Cách có lợi cho quy trình thay token token bị hỏng cách dễ dàng người dùng quan phát hành thẻ 62 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB Hình 7-8 Giao diện người dùng tự kích hoạt Bên cạnh việc kích hoạt thẻ token OTP, ứng dụng tự phục vụ khách hàng cho phép người dùng : • Kiểm tra token – Lựa chọn cho phép người dùng tự kiểm tra chức hoạt động thẻ token để kiểm tra lại chức thẻ token 63 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB Hình 7-9 Giao diện người dùng tự kiểm tra thẻ token • Đồng token – Lựa chọn cho phép người dùng đồng thẻ token OTP cách cung cấp hai giá trị mật OTP liên tiếp Hình 7-10 Giao diện đồng token 7.7 - Gói phần mềm lập trình phát triển quản lý (SDK) cho modul chứng thực Gói lập trình phát triển (hỗ trợ C Java) cho phép nhà phát triển IT tích hợp trực tiếp chế xác thực dựa nhân tố vào tảng máy chủ ứng dụng Ví dụ ứng dụng phát triển J2EE thực chế xác thực lần thứ hai thông qua tảng mã điều khiển truy cập ngôn ngữ Java 7.7-1 Modul chứng thực 64 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB Modul chứng thực trung tâm truyền thông triển khai giải pháp xác thực hai thành phần : • Việc triển khai hệ thống VeriSign cách sử dụng máy xác nhận tính hợp lệ đường hầm mã hóa tiên tiến để giao tiếp với dịch vụ xác nhận tính hợp lệ VeriSign • Giả thuyết sử dụng máy chứng thực giao tiếp với máy chủ chứng thực đặt quan tổ chức Các cấu hình thể theo bước sau : 65 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB Hình 7-11 Môi trường xác thực sử dụng chế hời điểm mật – OTP 7.7-2 Quy trình xác nhận tính hợp lệ Dựa theo hình vẽ trên, quy trình chứng thực thực sau: Người dùng nhập vào tên người dùng, mật chế OTP sinh thẻ bảo mật (token) theo biểu mẫu (form) đăng nhập Biểu mẫu đăng nhập cung cấp ứng dụng tích hợp gói phần mềm lập trình phát triển cho quỳ trình xác nhận tính hợp lệ Chú ý : chế thời điểm mật khẩu, vài cấu hình máy trạm hỗ trợ sử dụng mã PIN thông qua OTP, giá trị tĩnh lựa 66 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB chọn người sử dụng Hỗ trợ hai cấu hình cần dịch vụ tách biệt, cần phải có kiểu xác nhận tính hợp lệ để thiết lập cách thích hợp Cũng nhà phát triển ứng dụng nhà tích hợp, tổ chức đứng phải có trách nhiệm cung cáp biểu mẫu đăng nhập thích hợp Mật tên người dùng xác nhận cách gửi thông tin tới máy xác nhận tính xác thực Đây bước quy trình xác thực dựa nhân tố Nếu tên người dùng mật xác thực, máy xác nhận tính hợp lệ gọi mã nhận dạng thẻ bảo mật tương ưng tên người dùng mật Đây phần thứ hai quy trình xác thực hai nhân tố, chế OTP xác nhận, quy trình xác nhận tính xác thực cụ thể phụ thuộc vào việc giả thuyết cấu hình VeriSign sử dụng : • Cấu hình giả thuyết – máy xác nhận tính hợp lệ gửi mã nhận dạng thẻ bảo mật OTP tới máy chủ xác nhận tính xác thực khách hàng Máy chủ xác nhận tính xác thực sử dụng thẻ bảo mật lưu trữ để xác nhận lại yêu cầu • Cấu hình VeriSign – máy xác nhận tính hợp lệ gửi mã nhận dạng thẻ bảo mật OTP tới dịch vụ xác nhận tính hợp lệ VeriSign Yêu cầu gửi tới dịch vụ xác nhận tính hợp lệ VeriSign thông qua việc chuyển phát qua kênh liệu đường hầm bảo mật Dịch vụ xác nhận tính hợp lệ VeriSign sử dụng thẻ bảo mật lưu trữ để xác nhận tính hợp lệ yêu cầu gửi tới Dựa vào cấu hình sử dụng bước 4, dịch vụ xác nhận tính hợp lệ giả thuyết dịch vụ xác nhận tính hợp lệ cảu VeriSign trả lại chứng thực Lời đáp trả cho máy xác nhận tính hợp lệ, chuyển phản hồi chứng thực cho ứng dụng khách Nếu quy trình xác thực thành công, người dùn đăng nhập cho phép truy cập tới vùng tài nguyên bảo vệ 67 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB 7.8 - Tổng quan gói phần mềm lập trình phát triển quản lý (SDK) Vấn đề gói phần mềm dành cho lập trình phát triển quản lý cung cấp giao diện lập trình phát triển (API) cho phép nhà lập trình ứng dụng tích hợp chức quản lý giám sát thẻ bảo mật (token) trực tiếp với ứng dụng theo chu trình công viêc, thông thường người tự sử dụng dịch vụ trợ giúp khách hàng Giao diện lập trình phát triển hỗ trợ hai chế độ từ phục vụ chức quản lý kích hoạt thẻ bảo mật (token), thay đổi mật mã PIN theo thuật toán OTP, đồng thẻ bảo mật, gán vai trò quản trị chia sẻ thông số thống kê thẻ bảo mật Gói phần mềm SDK hỗ trợ ngôn ngữ C Java, thông thường giao tiếp cách sử dụng giao thức dựa ngôn ngữ HTTP với thành phần dịch vụ quản lý vòng đời khóa bảo mật ứng dụng trình duyệt web Gói phần mềm lập trình phát triển quản lý bao gồm thư viện chạy máy trạm hỗ trợ phiên ngôn ngữ C Java Nó giao tiếp với Máy chủ quản lý thông qua giao thức HTTPs đảm bảo kênh truyền an toàn, yêu cầu xác thực SDK dựa tệp liệu có quyền ứng dụng trình duyệt web Tổ chức sử dụng khóa chia sẻ để tự xác thực chức dịch vụ Nếu nhưu tổ chức muốn chức quản trị, sử dụng tệp liệu ứng dụng trình duyệt web (User Agent) để xác thực Chú ý : thông qua việc quản lý gói phần mềm lập trình phát triển ủy quyền tất hoạt động thẻ bảo mật (token) tới máy chủ quản lý Tổ chức không cần máy chủ quản lý để phát triển ưng dụng quản lý riêng cho thẻ bảo mật (token) 7.8-1 Kiến trúc gói phần mềm lập trình phát triển quản lý 68 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB Kiến trúc tổng quan thể hình vẽ Chú ý tất quy trình ứng dụng thông qua giao diện lập trình phát triển API giao diện API xác thực cách an toàn thông qua máy chủ quản lý Hình 7-12 Kiến trúc gói phần mềm lập trình phát triển quản lý (SDK) 7.8-2 Chức gói phần mềm lập trình phát triển quản lý Gói phần mềm lập trình phát triển quản lý hỗ trợ chức sau : • Giao diện API dùng chung cho ứng dụng tùy theo yêu cầu để kết hợp với chức quản lý thẻ bảo mật • Các chức quản lý thẻ bảo mật tự phục vụ người dùng Kích hoạt thẻ bảo mật Đồng thẻ bảo mật Thiết lập mã PIN • Dịch vụ quản lý vòng đời khóa hỗ trợ chức quản lý sau đây: 69 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB Gán thẻ bảo mật cách độc lập theo khối lượng lớn Xóa bỏ việc gán thẻ bảo mật Cho phép/ ngừng cho phép thẻ bảo mật hoạt động Mở khóa thẻ bảo mật / Đồng thẻ bảo mật Cho phép/ ngừng cho phép người dùng dùng khóa PIN xác lập lại khóa PIN Đưa trạng thái làm việc thẻ bảo mật Đưa mã nhận dạng thẻ bảo mật người dùng Đưa mã hồi phục lại mã PIN thẻ bảo mật Đưa chế OTP (một thời điểm sinh khóa) liên tiếp • Hỗ trợ tảng sau đây: Windows Server 2003 Solaris Linux Red Had 3.0 Hỗ trợ ngôn ngữ lập trình C Java 70 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB TỔNG KẾT I – Những vấn đề thu trình thực đồ án Với đề tài “Ứng dụng công nghệ USB Token an toàn thương mại điện tử” rút số vấn đề sau: Lý lựa chọn giải pháp chứng thực dựa công nghệ USB Token Giải pháp chứng thực hợp lựa chọn tối ưu cho giải pháp thực Việc hiểu khách hàng yêu cầu phụ thuộc vào mục đích sử dụng họ, ứng dụng kết nối mạng giải pháp chứng thực hợp chuyển lựa chọn đối tác ủy nhiệm (OTP, PKI) lựa chọn thiết bị tối ưu Bởi xây dựng nên tiêu chuẩn mở định nghĩa OATH mà thông qua chấp nhận lãnh đạo tảng sở hạ tầng không gian ứng dụng, lựa chọn sẵn có cho khách hàng tiềm Việc gia tăng lựa chọn qua nhiều sản phẩm nhà cung cấp tương hợp bảo đảm sáng kiến lúc tới việc gửi tới khách hàng thời yêu cầu thị trường điều khiển, hiệu đặt Việc đồng thời triển khai ứng dụng giải pháp chứng thực hợp nhất, doanh nghiệp có khả tìm kiếm, đầu tư chúng làm sở hạ tầng thư mục giải pháp quản lý cước tập đoàn Vào vài năm trước, nhiều doanh nghiệp có thông qua trình việc hợp tập trung sở hạ tầng họ Như biện pháp bổ sưng, nhiều doanh nghiệp thực giải pháp quản lý cước mà thành lớp chứng thực cho phép sở hạ tầng thư mục tập trung Chi phí hành cho giải pháp chứng thực cao Với liệu quan trọng mà tích lũy qua nhiều năm kinh nghiệm triển khai chứng thực, chứng thực hợp thiết kế để tối giản 71 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB chi phí ủy quyền sử dụng cuối Bằng việc cung cấp ứng dụng mạng tổng hợp tới người dùng định vấn đề, giải pháp chứng thực hợp nhât giúp đảm bảo giảm thiểu khối lượng công việc Những bảo mật chìa khóa cho hợp chứng thực sau : Nhiều lựa chọn • Ủy nhiệm thẻ tín dụng thiết bị cho nhiều nhóm người dùng ứng dụng khác • Đơn giản, tảng tổng hợp hỗ trợ nhiều định dạng thiết bị Thiết kế điều chỉnh • Thúc đẩy đầu tư công nghệ hữu đối tác khách hàng Tích hợp với dịch vụ thư mục, Radius sở hạ tầng giải pháp SSO Tác dụng tiêu chuẩn mở cho hợp dễ dàng Tích hợp với ứng dụng hữu (sự truy cập từ xa, Wi-Fi, Windows, logon, ) • Những tùy chọn triển khai linh hoạt Xây dựng giải pháp xác thực có khả dễ dàng mở rộng, nâng cấp đáp ứng phát triển số lượng người dùng tương lai Động xác thực cao có hiệu cao dễ dàng nâng cấp phần cứng tạo tiền đề cho ứng dụng Giảm chi phí : Việc ứng dụng công nghệ USB Token đem lại số lợi ích cho việc giảm thiểu chi phí sau : 72 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB Chi phí token thấp (thẻ Token – OTP, thẻ thông USB Java OTP/PKI, OTP/PKI thẻ bảo mật) Tận dụng triệt để sở hạ tần thiết bị phần cứng (có thể tận dụng dịch vụ tảng có sẵn, tích hợp với máy chủ SSO – Single Sign On) Xây dựng dịch vụ tự quản lý cho khách hàng, bao gồm quy trình người dùng cuối tự kích hoạt Token II - Những vấn đề thiếu sót chưa thực Về mặt giải pháp : o Giải pháp xác thực hợp bao gồm OTP hay PKI thử thách không nhỏ không dễ thực Chống lại mã mở đăng ký (độc quyền sản xuất) o Nhiều lựa chọn token : nhiều nhà cung cấp phần cứng từ năm 2005 o Không bị độc quyền nàh cung cấp phần cứng token máy chủ: giải pháp OATH Sáng kiến liên tục chống lại công nghệ thời o Những thiết bị ngày nâng cấp phát triển chi phí chức o Tập hợp (của) khả quản trị tích hợp Mgt (sự an toàn & thiết bị lưu động) 73 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB TÀI LIỆU THAM KHẢO TÀI LIỆU TIẾNG VIỆT Chuẩn mã hóa token PKCS #11 v2.20 RSA Laboratories Chứng thực đa tác nhân SafeNet Công nghệ USB Token VeriSign cung cấp TÀI LIỆU TIẾNG ANH http://www.rsa.com http://vi.wikipedia.org http://www.sbv.gov.vn RSA Authentication Agent 5.3 for Web for Internet Information Services Installation and Configuration Guide 74 [...]... ứng dụng Ngoài ra, một ứng dụng sẽ có thể giao diện với nhiều thiết bị tại một thời gian nhất định 23 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật trong giao dịch điện tử trên nền WEB Đó không phải là mục tiêu của Cryptoki tạo được một giao diện chung để hoạt động mã hóa hoặc dịch vụ bảo vệ, mặc dù chắc chắn có thể xây dựng một trong những hoạt động và dịch vụ với các chức năng mà Cryptoki cung... chi tiết này không ảnh hưởng đến một 20 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật trong giao dịch điện tử trên nền WEB ứng dụng, giả sử nó được biên dịch với tập tin Cryptoki header phù hợp với các thư viện Cryptoki mà ứng dụng được liên kết Tất cả các con số và các giá trị thể hiện trong tài liệu này là số thập phân, trừ khi chúng đứng trước bởi "0x", trong trường hợp đó chúng là giá trị thập... dùng trong chuẩn này : 18 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật trong giao dịch điện tử trên nền WEB Bảng 5-1 Các ký hiệu Bảng 5-2 Các tiền tố Cryptoki dựa trên kiểu ANSI C và được định nghĩa theo một số kiểu dữ liệu sau : /* an unsigned 8-bit value */ typedef unsigned char CK_BYTE; /* an unsigned 8-bit character */ typedef CK_BYTE CK_CHAR; /* an 8-bit UTF-8 character */ 19 Nghiên cứu sử dụng. .. ứng dụng) : #ifndef CK_DISABLE_TRUE_FALSE #ifndef FALSE #define FALSE CK_FALSE #endif #ifndef TRUE #define TRUE CK_TRUE #endif #endif 22 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật trong giao dịch điện tử trên nền WEB CHƯƠNG VI: MIÊU TẢ TỔNG QUAN 6.1- Giới thiệu : Thiết bị điện toán di động như thẻ thông minh, thẻ PCMCIA, và đĩa mềm thông minh là công cụ lý tưởng để thực hiện mật mã hóa khóa. .. tiến trình đơn lẻ Hãy xem xét một quá trình UNIX P mà trở thành một ứng dụng Cyptoki bằng cách gọi C_Initialize, và sau đó sử dụng fork () gọi hệ thống để tạo ra một tiến trình con C Vì P và C có không gian địa chỉ riêng biệt 28 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật trong giao dịch điện tử trên nền WEB (hoặc khi một trong số chúng thực hiện một hoạt động viết, nếu hệ điều hành theo sau... cấp một kết nối logic giữa ứng dụng và token Một phiên có thể là một 30 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật trong giao dịch điện tử trên nền WEB phiên đọc / ghi (R / W) hoặc một phiên chỉ đọc (R / O) Phiên đọc / ghi và phiên chỉ đọc tham chiếu việc truy cập vào các đối tượng của token, không phải vào các đối tượng của phiên Trong cả hai loại phiên, một ứng dụng có thể tạo, đọc, viết và... nếu một ứng dụng có một phiên R / W Sercurity Officer với một token, sau đó nó có thể không mở một phiên R / O với token đó, kể từ đó các phiên R / O Sercurity Officer không tồn tại Đối với lý do tương tự, nếu một 35 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật trong giao dịch điện tử trên nền WEB ứng dụng có một phiên R/O mở, sau đó nó có thể không đăng nhập bất kỳ phiên khác vào các token là Sercurity... vào thư viện Cryptoki cụ thể Tiêu chuẩn này quy định cụ thể chỉ dành các giao diện cho thư viện, không phải tính năng của nó Đặc biệt, không phải tất cả các thư viện sẽ hỗ trợ tất cả các cơ chế (thuật toán) được định nghĩa trong giao diện này (vì 25 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật trong giao dịch điện tử trên nền WEB không phải tất cả các thẻ dự kiến sẽ hỗ trợ tất cả các cơ chế), và... nhập) Lưu ý rằng các phiên SO chỉ đọc không tồn tại 31 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật trong giao dịch điện tử trên nền WEB Hình 6-3 Trạng thái phiên Read/Only Bảng sau miêu tả các trạng thái của phiên : Trạng thái Phiên R/O Public Miêu tả Các ứng dụng đã mở một phiên họp chỉ đọc Ứng dụng này đã sự truy cập chỉ đọc vào các đối tượng token public và truy cập đọc/ghi đối với các đối tượng... W public" (nếu ứng dụng không có các phiên mở trước đó đã được đăng nhập), các trạng thái "R / W chức năng người dùng" (nếu ứng dụng đã mở phiên mà người dùng thông thường đăng nhập vào), hoặc trạng thái "chức năng R / W Sercủity Officer " (nếu ứng dụng đã có một phiên mở mà SO đã đăng nhập vào) 32 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật trong giao dịch điện tử trên nền WEB Hình 6-4 Trạng ... dụng cung cấp để xử lý khai báo từ Cryptoki Bảng 6-5 Tóm tắt chức Cryptoki 41 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB 42 Nghiên cứu sử dụng USB Token để bảo vệ. .. ứng dụng Ngoài ra, ứng dụng giao diện với nhiều thiết bị thời gian định 23 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB Đó mục tiêu Cryptoki tạo giao diện chung để. .. hưởng đến 20 Nghiên cứu sử dụng USB Token để bảo vệ khóa bí mật giao dịch điện tử WEB ứng dụng, giả sử biên dịch với tập tin Cryptoki header phù hợp với thư viện Cryptoki mà ứng dụng liên kết