- Thử nghiệm xây dựng hệ thống cung cấp và quản lý chứng chỉ số. - Trên ựó có Hệ thống cung cấp và quản lý chứng chỉ số.. - Báo cáo trình bày thử nghiệm xây dựng hệ thống trên, trong ựó sử dụng công nghệ SSL và IAIK.. - Hệ thống ựã ựược dùng tại một số cơ quan, và ựã ựược xác nhận có hiệu quả.. - Hệ thống cung cấp và quản lý chứng chỉ số. - Nhu cầu về Hệ thống cung cấp và quản lý chứng chỉ số. - Khái niệm Chứng chỉ số. - đó là một bản mã hoá tài liệu. - để kiểm tra Ộchữ ký sốỢ, chủ nhân của nó phải thông báo Ộkhoá công khaiỢ cho mọi người biết.ỘKhoá công khaiỢ còn dùng ựể lập mã bằng hệ mã hóa khóa công khai và nhiều ứng dụng khác.. - Hiện nay cơ quan như vậy gọi là trung tâm cung cấp và quản lý Ộchứng chỉ sốỢ. - để bảo ựảm cho trung tâm CA hoạt ựộng nhanh và thuận lợi, ta phải xây dựng hệ thống cung cấp và quản lý chứng chỉ số. - Hệ thống cung cấp và quản lý chứng chỉ số là bộ phận quan trọng của Hạ tầng cơ sở mật mã khoá công khai (PKI), trên ựó người ta có thể thực hiện ựược các giao dịch ựiện tử an toàn [2,3].. - Các thành phần của Hệ thống ung cấp và quản lý chứng chỉ số. - Các yêu c ầ u ựố i v ớ i H ệ th ố ng cung cấp và quản lý chứng chỉ số. - đối với khách hàng, hệ thống thực hiện ựược các yêu cầu: cấp mới, gia hạn, thay thế, thu hồi, nhận thông tin về chứng chỉ số, tìm kiếm chứng chỉ số, gửi chứng chỉ số cho khách hàng.. - Hệ thống có thể hoạt ựộng trên các môi trường thông dụng (UNIX, Windows, OS/2Ầ), và có giao tiếp ựồ họa (GUI).. - Hệ thống phải mở rộng thêm ựược các chức năng mới, hay kết nối ựược với hệ thống khác.. - Các thành phần của Hệ thống cung cấp và quản lý chứng chỉ số. - Bộ phận cung cấp và quản lý chứng chỉ số (Certification Authority: CA).. - Bộ phận xác thực khách hàng xin cấp chứng chỉ số (Registration Authority: RA).. - RA duyệt yêu cầu xin cấp chứng chỉ số. - CA sẽ có những ựáp ứng cụ thể như: cấp mới, gia hạn, thay thế, thu hồi chứng chỉ số.. - Công nghệ SSL. - Giới thiệu công nghệ SSL (Secure Socket Layer). - SSL của Nestcape (1994) là công nghệ phổ biến bảo ựảm an toàn thông tin trên Internet.. - SSL có ựộ an toàn cao và Ộtrong suốtỢ ựối với tầng ứng dụng. - Giao thức SSL ựóng vai trò như một tầng trong mô hình TCP/IP mở rộng. - SSL ựược ựặt giữa tầng ứng dụng (Application Layer) và tầng giao vận (Transport Layer). - Các giao thức ứng dụng (Application Protocols) dùng SSL thường ựược viết thêm hậu tố "-s:". - SSL dùng hệ mã hoá khoá ựối xứng ựể mã hoá dữ liệu trước khi truyền tin. - Có thể chia hoạt ựộng của giao thức SSL thành hai tầng:. - Tầng 1: SSL Handshake Protocol và các giao thức con SSL khác (SSL subprotocols), cho phép Client và Server xác thực lẫn nhau, thoả thuận hệ mã hoá và khoá bắ mật trước khi giao dịch.. - SSL RP ựược dùng ựể ựóng gói các giao thức ở tầng cao hơn (gói dữ liệu trước khi truyền ựi). - Trước khi mã hoá ựể truyền ựi, gói tin có thể ựược nén ựể tiết kiệm băng thông ựường truyền.. - SSL là giao thức cho phép thiết lập kênh truyền tin an toàn, tin cậy, có xác thực.. - SSL sử dụng chứng chỉ số hoặc giao thức thoả thuận khoá bắ mật chung.. - SSL sử dụng các hệ mã hoá ựối xứng ựể ựảm bảo yêu cầu về tốc ựộ. - Thông tin trước khi truyền ựi ựược nén nhằm tiết kiệm tài nguyên ựường truyền.. - SSL ựược thiết kế ựộc lập với các chương trình ứng dụng. - Nói cách khác, SSL ựược dùng ựể thiết lập kênh truyền tin an toàn và Ộtrong suốtỢ ựối với các ứng dụng trên nó. - Vắ dụ trong khi truyền tin giữa client và server, dữ liệu ựược mã hoá, nhưng người dùng cuối không có cảm nhận về sự chuyển dạng dữ liệu.. - Do Ộtắnh trong suốtỢ này, mà gần như mọi giao thức hoạt ựộng trên TCP có thể chạy ựược trên SSL chỉ với một chút sửa ựổi.. - SSL thắch hợp cho các ứng dụng viết bằng ngôn ngữ C và C++.. - Giao thức Ộbắt tayỢ (Handshake Protocol). - Client gửi thông ựiệp Client_hello tới Server, nội dung gồm có: chứng chỉ số của Client, hệ mã hoá, hàm băm, thuật toán nén, chuỗi byte ngẫu nhiên của Client dùng ựể tạo khoá chung, thời gian gửi thông ựiệp. - Server gửi thông ựiệp Server_hello tới Client, nội dung gồm có: chứng chỉ số của Server, hệ mã hoá, thuật toán nén, ựịnh danh phiên làm việc, chuỗi byte ngẫu nhiên của Server dùng ựể tạo khoá chung, thời gian gửi thông ựiệp.. - Nếu một bên nào ựó thiếu chứng chỉ số hoặc khoá công khai trong chứng chỉ số chỉ có chức năng kiểm tra chữ ký, thì gửi thông ựiệp yêu cầu chứng chỉ số của bên kia. - Mỗi bên sẽ gửi cho ựối tác chứng chỉ số hay thông ựiệp cảnh báo nếu bên kia yêu cầu.. - Gửi thông ựiệp Server_key_exchange ựể trao ựổi khoá với Client. - Gửi thông ựiệp Sever_done ựể báo rằng Server kết thúc phần trao ựổi khoá.. - Gửi thông ựiệp Client_key_exchange ựể trao ựổi khoá với Server. - Gửi thông ựiệp finished, thông báo kết thúc bắt tay.. - Trạng thái phiên và giao thức Ộbắt tay lạiỢ (Rehandshake). - a) Trạng thái phiên. - Thông tin về trạng thái phiên làm việc:. - Peer certificate: chứng chỉ số ựối tác truyền tin.. - Compression method: Phương pháp nén dữ liệu trước khi mã hoá và truyền ựi.. - Cipher spec: hệ mã hoá và hàm băm quy ước dùng giữa Client và Server.. - Master secret: 48 byte thông tin mật dùng chung giữa Client và Server.. - Thông tin về trạng thái kết nối:. - Server write MAC secret: chuỗi byte bắ mật dùng ựể tắnh MAC của thông ựiệp gửi ựi.. - Server write key: khoá ựể mã hoá dữ liệu trước khi truyền của Server.. - Client write key: khoá ựể mã hoá dữ liệu trước khi truyền của Client.. - Initialization vector: vector khởi tạo dùng trong thuật toán mã hoá khối.. - Sequence number: mỗi bên truyền tin có một số, ựể ựếm số thông ựiệp truyền và nhận tin.. - b) Giao thức Rehandshake. - Khi Client và Server cần khởi tạo lại phiên làm việc trước ựó, hoặc nhân ựôi phiên làm việc hiện tại (thay vì phải tạo phiên làm việc mới), giao thức Rehandshake thực hiện như sau:. - Client gửi thông ựiệp Client_hello của phiên làm việc trước ựó. - Vào thời ựiểm này, Client và Server phải gửi cho nhau thông ựiệp Change_cipher_spec.. - Trực tiếp xử lý thông ựiệp finished, trạng thái phiên và trạng thái liên kết tương ứng với session identifier ựó sẽ ựược sử dụng lại. - Việc khởi tạo lại ựược thực hiện xong và dữ liệu tại tầng ứng dụng có thể tiếp tục ựược trao ựổi.. - Sau khi trạng thái phiên và trạng thái liên kết ựược thiết lập, dữ liệu ựược ựóng gói, nén, mã hoá và truyền ựi qua SSL Record protocol.. - SSL Plaintext: dữ liệu ựược phân thành các khối có kắch thức nhỏ hơn 2 14 và thêm các thông tin như loại dữ liệu gửi ựi:. - Các dữ liệu ựiều khiển ựược ưu tiên gửi ựi trước dữ liệu ứng dụng (application data).. - SSL Compressed: dữ liệu sẽ ựược nén, theo phương pháp quy ước trong trạng thái kết nối.. - SSL Ciphertext: Tắnh MAC thêm vào gói tin, mã hoá toàn bộ gói tin ựóng gói, gửi ựi.. - đóng gói và truyền dữ liệu (bằng Record Protocol). - Giao thức Ộbản ghiỢ (Record Protocol-RP) dùng ựể ựóng gói dữ liệu trước khi truyền ựi:. - nén dữ liệu ựể tiết kiệm băng thông và thời gian truyền tin, mã hoá gói tin nén ựể bảo mật.. - Cụ thể giao thức RP thực hiện các công việc:. - Phân mảnh (Fragmentation): Thông ựiệp tầng trên ựược phân nhỏ thành các gói ≤ 2 14 byte.. - Mã hoá tin nén (Encrypt): Mã hoá từng gói tin nén trên, ựể bảo mật dữ liệu.. - Tắnh mã xác thực (MAC - Message Authentication Code): Tắnh MAC từng gói tin nén trên, ựể bảo toàn dữ liệu.. - Công nghệ IAIK. - Giới thiệu công nghệ IAIK. - Giống như SSL, công nghệ IAIK (Institute for Applied Information Processing and Communication) cũng dùng ựể xây dựng hệ thống cung cấp và quản lý chứng chỉ số.. - Nhưng SSL thì thắch hợp cho các ứng dụng viết bằng ngôn ngữ C và C. - trong khi IAIK lại thắch hợp cho các ứng dụng viết bằng ngôn ngữ Java [4].. - IAIK hỗ trợ các chuẩn về chứng chỉ số (CCS):. - Kế thừa từ JCA certificate/crl API, tạo mới chứng chỉ số.. - Giao thức kiểm tra trạng thái CCS trực tuyến.. - Hỗ trợ OCSP thông qua giao thức HTTP, gồm các tiện ắch ựể tạo các OCSP response từ. - các CRL và các OCSP response chứng thực chứng chỉ.. - Kết quả thử nghiệm ứng dụng. - Luật giao dịch ựiện tử ở Việt Nam có hiệu lực từ 3/2006, trước ựó 2 năm chúng tôi ựã thử nghiệm xây dựng hệ thống cung cấp và quản lý chứng chỉ số, nhằm ựón chờ cơ hội sử dụng.. - Hệ thống ựã ựược dùng thật trong hệ thống thanh toán tiền lương tại một công ty và một ngân hàng, ựược dùng trong hệ thống chuyển khoản trực tuyến tại một ngân hàng khác. - đối với việc phát triển các ứng dụng liên quan ựến bảo mật bằng ngôn ngữ Java, thì IAIK là lựa chọn hàng ựầu.. - Nhưng nó lại thắch hợp cho các ứng dụng viết bằng C và C++.. - Hiện nay trong một số ứng dụng bảo mật truyền tin tại nước ta, người ta dùng một trong hai công nghệ: SSL hay IAIK, nhưng chúng tôi dùng cả hai ựể xây dựng hệ thống cung cấp và quản lý chứng chỉ số, vì thế ựã tận dụng ựược mặt mạnh của cả hai. - Sử dụng IAIK trong việc tạo chứng chỉ số và các chương trình mã hóa.