Cơ sở hạ tầng mã hóa khóa công khai PKI trong bài toán quản lý sinh viên
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.05 MB, 61 trang )
LỜI CAM ĐOAN
Luận văn thạc sỹ này do tôi nghiên cứu và thực hiện dưới sự hướng dẫn của
Thầy giáo TS. Nguyễn Đình Hƣng. Với mục đích học tập, nghiên cứu để nâng cao
kiến thức và trình độ chuyên môn nên tôi đã làm luận văn này một cách nghiêm túc
và hoàn toàn trung thực.
Để hoàn thành bản luận văn này, ngoài các tài liệu tham khảo đã liệt kê, tôi
cam đoan không sao chép toàn văn các công trình hoặc thiết kế tốt nghiệp của người
khác.
Hà Nội, tháng 8 năm 2015
Học viên
Đậu Xuân Doanh
LỜI CẢM ƠN
Những kiến thức căn bản trong luận văn này là kết quả của 2 năm (10/2013 –
8/2015) tôi may mắn được các thầy cô giáo trong Trường Đại học Bách khoa Hà
Nội, Viện Công nghệ Thông tin và Truyền thông và một số Viện khác trực tiếp
giảng dạy, đào tạo và dìu dắt.
Tôi xin bày tỏ lời cảm ơn chân thành tới các thầy giáo, cô giáo trong Viện
Công nghệ Thông tin và Truyền thông, Phòng đào tạo sau đại học Đại học Bách
khoa Hà Nội, Ban giám hiệu Trường Đại học Sư phạm Kỹ thuât Vinh đã tạo điều
kiện thuận lợi cho tôi trong khoảng thời gian học tập tại trường.
Tôi xin bày tỏ lòng biết ơn chân thành, lời cảm ơn sâu sắc nhất đối với thầy
giáo TS. Nguyễn Đình Hưng đã trực tiếp hướng dẫn, định hướng cho tôi giải quyết
các vấn đề trong luận văn.
Tôi cũng xin cảm ơn các bạn, các anh chị em trong lớp 13BCNTT-VINH đã
đồng hành và cùng giúp đỡ tôi trong quá trình học tập và làm luận văn.
Cuối cùng học viên xin được gửi lời chia vui cùng gia đình, người thân, bạn
bè và các đồng nghiệp.
Học viên
Đậu Xuân Doanh
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT
CA
Certificate Authority: Tổ chức cấp phát thẻ chứng thực số
CDS
Certificate Distribution System: Hệ thống phân phối thẻ
CRL
Certificate Revocation List: Danh sách các chứng chỉ bị thu hồi
DC
Digital certificates: Thẻ chứng thực số
HSSV
Học sinh, Sinh viên
PKI
Publish Key Infrastructure: Hạ tầng mật mã khóa công khai
RA
Registration Authority: Trung tâm đăng ký chứng thực số
DANH SÁCH CÁC HÌNH VẼ, CÁC BIỂU BẢNG
Hình 1.1
Mô hình kê khai thuế qua mạng với iHTKK
Hình 1.2
Mô hình dich vụ hệ thống thanh toán thương mại điện tử quốc gia
KeyPay.
Hình 1.3
Sơ đồ khối thể hiện quá trình nhập học
Hình 1.4
Sơ đồ khối thể hiện quá trình quản lý nội, ngoại trú
Hình 1.5
Sơ đồ thể hiện quá trình quản lý khen thưởng.
Hình 1.6
Sơ đồ thể hiện quá trình quản lý kỷ luật
Hình 1.7
Sơ đồ thể hiện quá trình xin bảo lưu kết quả học tập tại trường
Hình 2.1
Mô hình hoạt động của PKI
Hình 2.2
Quá trình xác thực dựa trên CA
Hình 2.3
Mô hình đơn
Hình 2.4
Mô hình phân cấp
Hình 2.5
Mô hình mắt lưới
Hình 3.1
Sơ đồ chức năng của hệ thống quản lý HSSV
Hình 3.2
Mô hình đảm bảo tính xác thực thông tin khi nhập học
Hình 3.3
Mô hình đảm bảo tính xác thực thông tin trong quản lý nội, ngoại trú.
Hình 3.4
Mô hình đảm bảo tính xác thực thông tin trong quản lý chế độ chính
sách.
Hình 3.5
Mô hình đảm bảo tính xác thực thông tin trong quản lý khen thưởng,
kỷ luật..
Hình 3.6
Mô hình đảm bảo tính xác thực thông tin trong quản lý thôi học, bảo
lưu kết quả.
Hình 4.1
Mô hình kiến trúc client – server
Hình 4.2
Sơ đồ tổng quát quản lý học sinh, sinh viên
MỤC LỤC
LỜI CAM ĐOAN
LỜI CẢM ƠN
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT
DANH SÁCH CÁC HÌNH VẼ, CÁC BIỂU BẢNG
PHẦN MỞ ĐẦU .............................................................................................. 1
CHƢƠNG 1: KHẢO SÁT THỰC TIỄN ỨNG DỤNG HẠ TẦNG MÃ
HÓA KHÓA CÔNG KHAI VÀ HỆ THỐNG QUẢN LÝ HỌC SINH,
SINH VIÊN ...................................................................................................... 2
1.1.
Một số khái niệm tổng quan về cơ sở hạ tầng mã hóa khóa công khai. 2
1.1.1.
Khái niệm ...............................................................................................2
1.1.2.
Các hoạt động của PKI ..........................................................................3
1.2.
Phân tích một số ứng dụng của PKI .........................................................4
1.2.1.
Hệ thống thuế online .............................................................................4
1.2.2.
Hệ thống thanh toán ngân hàng ...........................................................7
1.3.
Phân tích bài toán quản lý Học sinh, Sinh viên [8], [9]. ..........................9
1.3.1.
Bài toán quản lý quá trình nhập học ..................................................10
1.3.2.
Bài toán quản lý nội, ngoại trú ...........................................................10
1.3.3.
Bài toán quản lý các quyết định khen thưởng....................................10
1.3.4.
Bài toán quản lý các quyết định kỷ luật ..............................................11
1.3.5.
Bài toán quản lý quá trình bảo lưu kết quả học tập ..........................11
1.4.
Mục đích và bài toán cần giải quyết của đề tài. .....................................12
1.4.1.
Mục đích ...............................................................................................12
1.4.2.
Bài toán ................................................................................................12
CHƢƠNG 2: NGHIÊN CỨU CẤU TRÚC CỦA PKI ............................... 13
2.1.
Các thành phần của PKI..........................................................................13
2.1.1.
Certificate Authority : Tổ chức chứng thực CA .................................13
2.1.2.
Registration Authority: Trung tâm đăng ký RA .................................13
2.1.3.
Thực thể cuối (người giữ chứng chỉ và Clients) ................................14
2.1.4.
Hệ thống lưu trữ (Repositories) ..........................................................14
2.1.5.
Sơ đồ tổng quát của PKI [10], [11] ....................................................15
2.2.
Chức năng của PKI [7] ............................................................................18
2.2.1.
Chứng thực (Certification) ..................................................................18
2.2.2.
Thẩm tra (Verification)........................................................................18
2.2.3.
Một số chức năng khác........................................................................19
2.3.
Tìm hiểu các mô hình, kiến trúc của PKI ..............................................21
2.3.1.
Mô hình đơn .........................................................................................21
2.3.2.
Mô hình phân cấp ................................................................................22
2.3.3.
Mô hình mắt lưới .................................................................................23
CHƢƠNG 3: THIẾT KẾ MÔ HÌNH HỆ THỐNG QUẢN LÝ ................ 25
HỌC SINH, SINH VIÊN DỰA TRÊN CƠ SỞ HẠ TẦNG MÃ HÓA
KHÓA CÔNG KHAI .................................................................................... 25
3.1. Quản lý nhập học ..........................................................................................26
3.2. Quản lý nội trú, ngoại trú ............................................................................27
3.3. Quản lý chế độ chính sách............................................................................28
3.4. Quản lý khen thƣởng, kỷ luật ......................................................................29
3.5. Quản lý thôi học và bảo lƣu kết quả học tập ..............................................30
CHƢƠNG 4: ĐỀ XUẤT SƠ ĐỒ HỆ THỐNG QUẢN LÝ SINH VIÊN
DỰA TRÊN CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI............................. 32
4.1. Xây dựng hệ thống cấp phát chứng chỉ ......................................................32
4.1.1. Cài đặt dịch vụ CA ...................................................................................32
4.1.2. Các dịch vụ chứng chỉ CA Windows Server 2003 cung cấp ....................35
4.1.3. Các loại CA trên Windows Server 2003 ...................................................36
4.1.4. Cấp phát và quản lý các chứng chỉ số .....................................................37
4.2. Xây dựng phần mềm quản lý Học sinh, Sinh viên tại trƣờng Đại học Sƣ
phạm Kỹ thuật Vinh ............................................................................................42
4.2.1. Kiến trúc ..................................................................................................42
4.2.2. Tìm hiểu thực trạng Công nghệ Thông tin tại trường Đại học Sư phạm Kỹ
thuật Vinh. ..........................................................................................................46
4.2.3. Thiết kế cơ sở dữ liệu ...............................................................................49
4.3. Xây dựng hệ thống QLHSSV và áp dụng vào thực tiễn ...........................53
KẾT LUẬN .................................................................................................... 54
TÀI LIỆU THAM KHẢO ............................................................................ 55
PHẦN MỞ ĐẦU
Ngày nay, việc giao tiếp qua mạng Internet đang trở thành một nhu cầu cấp
thiết. Các thông tin truyền tin trên mạng đều rất quan trọng, như mã số tài khoản,
thông tin mật… Tuy nhiên, với các thủ đoạn tinh vi, nguy cơ bị ăn cắp thông tin qua
mạng cũng càng ngày gia tăng. Hiện giao tiếp qua Internet cho phép các thông tin
được gửi từ máy tính này tới máy tính khác thông qua một loạt các máy tính trung
gian hoặc các mạng riêng biệt. Chính điều này đã tạo cơ hội cho những “kẻ trộm”
công nghệ cao có thể thực hiện các hành động phi pháp. Các thông tin truyền thông
trên mạng đều có thể bị nghe trộm, giả mạo, mạo danh.v.v.. Các biện pháp bảo mật
hiện nay, chẳng hạn như dùng mật khẩu, đều không đảm bảo vì có thể bị nghe trộm
hoặc bị dò ra nhanh chóng.
Do vậy, để bảo mật, các thông tin truyền thông trên internet ngày nay đều có xu
hướng được mã hóa. Trước khi truyền qua mạng Internet, người gửi mã hóa thông
tin, trong quá trình truyền, dù có chặn được các thông tin này, kẻ trộm cũng không
thể đọc được vì đã bị mã hóa. Khi tới đích, người nhận sẽ dùng một công cụ đặc
biệt để giải mã. Phương pháp mã hóa và bảo mật phổ biến nhất đang được thế giới
áp dụng là chứng chỉ số (Digital Certificate). Với những chứng chỉ số, người sử
dụng có thể mã hóa thông tin một cách hiệu quả, chống giả mạo (cho phép người
nhận kiểm tra thông tin có bị thay đổi không), xác thực danh tính của người gửi.
Ngoài ra chứng chỉ số còn là bằng chứng giúp chống cãi nguồn gốc, ngăn chặn
người gửi chối cãi nguồn gốc tài liệu mình đã gửi.
Mục tiêu chính của PKI (Public key infrastucture) là cung cấp khóa công khai,
xác thực mối quan hệ giữa khóa và định dạng người dùng. Nhờ vậy người dùng có
thể sử dụng một số ứng dụng như: Mã hóa Email hoặc xác thực người gửi Email,
mã hóa hoặc xác thực văn bản, xác thực người dùng ứng dụng, các giao thức truyền
thông an trao đổi khóa bằng khóa bất đối xứng còn mã hóa bằng khóa đối xứng.
1
CHƢƠNG 1: KHẢO SÁT THỰC TIỄN ỨNG DỤNG HẠ TẦNG MÃ
HÓA KHÓA CÔNG KHAI VÀ HỆ THỐNG QUẢN LÝ HỌC SINH,
SINH VIÊN
1.1.
Một số khái niệm tổng quan về cơ sở hạ tầng mã hóa khóa công khai.
1.1.1. Khái niệm
1.1.1.1.
Khái niệm về mật mã hóa khóa công khai [10].
Mật mã hóa khóa công khai là một dạng mật mã hóa cho phép người sử dụng
trao đổi các thông tin mật mã mà không cần phải trao đổi các khóa chung bí mật
trước đó. Điều này được thực hiện bằng cách sử dụng một cặp khóa có quan hệ toán
học với nhau là khóa công khai và khóa cá nhân.
Thuật ngữ mật mã hóa khóa bất đối xứng thường được dùng đồng nghĩa với
mật mã hóa khóa công khai mặc dù 2 khái niệm không hoàn toàn tương đương. Có
những thuật toán mật mã khóa bất đối xứng không có tính chất công khai và bí mật
như đề cập ở trên mà cả hai khóa (mã hóa và giải mã) đều cần phải giữ bí mật.
Trong mật mã hóa khóa công khai, khóa cá nhân phải được giữ bí mật trong
khi khóa công khai được phổ biến công khai. Trong hai khóa, một dùng để mã hóa
và khóa còn lại dùng để giải mã. Điều quan trọng đối với hệ thống là không thể tìm
ra khóa bí mật nếu chỉ biết khóa công khai.
Hệ thống mật mã hóa khóa công khai có thể sử dụng với các mục đích:
+ Mã hóa: giữ bí mật thông tin và chỉ có người có khóa bí mật mới giải mã
được.
+ Tạo chữ ký số: cho phép kiểm tra một văn bản có phải được tạo bởi một
khóa bí mật nào đó không?
+ Thỏa thuận khóa: cho phép thiết lập khóa dùng để trao đổi thông tin mật
giữa hai bên.
Thông thường, các kỹ thuật mật mã hóa khóa công khai đòi hỏi khối lượng
tính toán nhiều hơn các kỹ thuật mật mã khóa đối xứng, nhưng những lợi điểm mà
chúng mang lại khiến cho chúng được sử dụng trong nhiều ứng dụng.
1.1.1.2.
Khái niệm về cơ sở hạ tầng mật mã khóa công khai PKI
2
Hạ tầng mật mã khóa công khai PKI tức là hạ tầng cơ sở khóa công khai.
Hạ tầng cơ sở khóa công khai là một cơ chế để cho một bên thứ 3 (thường là nhà
cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá
trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong
hệ thống một cặp khóa công khai/khóa bí mật. Các quá trình này thường được thực
hiện bởi một phần mềm đặt tại trung tâm và các phần mềm phối hợp khác tại các
địa điểm của người dùng. Khóa công khai thường được phân phối trong chứng thực
khóa công khai (chứng chỉ số).
Một PKI cho phép người sử dụng của một mạng công cộng không bảo mật,
chẳng hạn như Internet, có thể trao đổi dữ liệu một cách an toàn thông qua việc sử
dụng một cặp mã khóa công khai và khóa cá nhân được cấp phát, sử dụng qua một
nhà cung cấp chứng thực được tín nhiệm. Nền tảng khóa công khai cung cấp một
chứng chỉ số, dùng để xác minh một cá nhân hoặc một tổ chức, các dịch vụ danh
mục có thể lưu trữ và khi cần có thể thu hồi các chứng chỉ số. Mặc dù các thành
phần cơ bản của PKI đều được phổ biến, nhưng một số nhà cung cấp đang muốn
đưa ra những chuẩn PKI riêng khác biệt. Một tiêu chuẩn chung về PKI trên Internet
cũng đang trong quá trình xây dựng.
1.1.2. Các hoạt động của PKI
1.1.2.1.
Mật mã
Đây là thành phần có vai trò rất quan trọng, là trái tim của bất cứ mạng tin
cậy nào. Nó giúp đảm bảo bảo mật và toàn vẹn cho các thông điệp, cũng như nhận
dạng và xác thực các đối tượng tham gia vào phiên truyền thông. Về cơ bản, mật mã
được phân làm 2 loại chính: mã hóa đối xứng và mã hóa bất đối xứng.
Loại mã hóa đối xứng thường được gọi là mật mã khóa bí mật và cả hai bên
đều sử dụng một khóa để mã hóa và giải mã thông tin. Các thuật toán mã hóa đối
xứng phổ biến như 3DES, AES, RC5.
Còn loại mã hóa bất đối xứng còn được gọi là mật mã khóa công khai và
cần sử dụng một cặp khóa để mã hóa và giải mã. Nếu mã hóa bằng khóa thứ nhất
(gọi là khóa công khai) thì có thể giải mã bằng khóa thứ 2 (gọi là khóa bí mật) và ngược
lại. DSA, RSA, Diffie – Hellman là ví dụ về các thuật toán bất đối xứng nổi tiếng.
3
Ngoài ra trong mật mã còn có kỹ thuật băm một chiều (one-way hash) là
một hàm nhận vào một thông điệp có chiều dài bất kỳ và tạo ra một chuỗi có chiều
dài cố định được gọi là giá trị băm. Ví dụ, giá trị mà giải thuật băm MD5 tạo ra luôn
là 128-bit, với SHA-1 là 160-bit. Hàm băm một chiều làm việc mà không cần sử
dụng bất kỳ khóa nào và đặc biệt, từ kết quả băm cuối cùng thì rất khó (thường
không thể) lần ngược lại thông điệp gốc ban đầu. Nó thường được dùng để kiểm tra
tính toàn vẹn của thông điệp, tập tin.
1.1.2.2.
Chữ ký số
Chữ ký số được tạo ra sử dụng giữa hàm băm và mật mã khóa công khai để
đảm bảo tính toàn vẹn, giúp xác thực nguồn gốc của thông điệp và đồng thời bên
gửi không thể chối từ việc đã tạo ra thông điệp đó. Nó là một giá trị băm của thông
điệp được mã hóa bằng khóa bí mật của bên gửi rồi được đính kèm với thông điệp
gốc. Bên nhận sẽ dùng khóa công khai của bên gửi để giải mã phần chữ ký ra được
giá trị băm của thông điệp rồi đối chiếu với giá trị mà nó thu được từ việc thực hiện
lại hàm băm trên thông điệp gốc. Nếu hai giá trị đó giống nhau thì bên nhận có thể
tin cậy được rằng thông điệp không bị thay đổi và nó chỉ được gửi từ bên sở hữu
khóa công khai ở trên.
1.1.2.3.
Chứng chỉ số
Chứng chỉ số là một tập tin giúp chắc chắn rằng khóa công khai thuộc về
một thực thể nào đó như người dùng, tổ chức, máy tính và điều này được xác minh
bởi một bên thứ ba đáng tin cậy thường gọi là CA (Certificate Authorities). Chứng
chỉ số chứa các thông tin nhận dạng về thực thể như tên, địa chỉ, khóa công khai
(cùng nhiều thông tin khác) và được ký số bởi khóa bí mật của CA. [4]
1.2.
Phân tích một số ứng dụng của PKI
1.2.1. Hệ thống thuế online
Nộp thuế điện tử là dịch vụ cho phép người nộp thuế lập giấy nộp tiền vào
Ngân sách Nhà nước trực tiếp trên Cổng thông tin điện tử của Cơ quan thuế và được
Ngân hàng thương mại xác nhận kết quả giao dịch nộp thuế tức thời.
4
Hình 1.1. Mô hình kê khai thuế qua mạng
Hiện nay, Tổng cục thuế đã phối hợp với các ngân hàng để cung cấp
dịch vụ Nộp thuế điện tử gồm :
-
Ngân hàng thương mại Cổ phần đầu tư và Phát triển Việt Nam
(BIDV)
-
Ngân hàng thương mại cổ phần Ngoại thương Việt Nam
(Vietcombank)
-
Ngân hàng thương mại cổ phần Quân đội (Mbbank)
-
Ngân hàng thương mại cổ phần Công thương Việt Nam
(Vietinbank)
- Ngân hàng thương mại cổ phần Nông Nghiệp và Phát triển Nông
thôn Việt Nam (Agribank)
Lợi ích đối với người nộp thuế
-
Tiết kiệm chi phí đi lại, thời gian giao dịch; đơn giản thủ tục giấy
tờ khi thực hiện nghĩa vụ thuế.
-
Nộp thuế tại bất cứ địa điểm nào có kết nối Internet.
-
Nộp thuế 24/7, kể cả ngày nghỉ/lễ, được Ngân hàng thương mại
xác nhận kết quả giao dịch ngay khi gửi giấy nộp tiền.
5
-
Có thể truy cập Cổng thông tin điện tử của Cơ quan thuế để xem,
in, tải về các thông báo, giấy nộp tiền điện tử đã nộp.
-
Được sử dụng các dịch vụ giá trị gia tăng khác của Ngân hàng
thương mại.
Điều kiện đăng ký nộp thuế điện tử
Người nộp thuế tự nguyện đăng ký nộp thuế điện tử khi có đủ các
điều kiện sau:
-
Là tổ chức, doanh nghiệp được cấp mã số thuế/mã số doanh
nghiệp và đang hoạt động.
-
Có chứng thực số do tổ chức cung cấp dịch vụ chứng thực chữ ký
số công cộng cấp và đang còn hiệu lực.
-
Có kết nối Internet và địa chỉ thư điện tử liên lạc ổn định với Cơ
quan thuế.
-
Đang thực hiện khai thuế điện tử trên Cổng thông tin điện tử của
Cơ quan thuế.
-
Có tài khoản tại Ngân hàng thương mại.
-
Trong thời điểm hiện tại, người nộp thuế muốn sử dụng dịch vụ
cần có tài khoản tại 03 ngân hàng đã phối hợp với Tổng cục Thuế
cung cấp dịch vụ và thuộc địa bàn quản lý của Cục Thuế, Chi cục
Thuế tại các tỉnh đã triển khai Nộp thuế điện tử.
Hướng dẫn đăng ký sử dụng dịch vụ :
Bước 1:
Người nộp thuế đăng ký sử dụng dịch vụ Nộp thuế điện tử trên
cổng thông tin điện tử .
Bước 2:
Người nộp thuế tải bản đăng ký ủy quyền trích nợ tài khoản với
ngân hàng trên cổng thông tin điện tử của Ngân hàng thương mại
hoặc theo các đường dẫn của các ngân hàng đã đăng ký:
Bước 3:
6
Người nộp thuế khai các thông tin, sau đó đến chi nhánh Ngân
hàng thương mại để thực hiện thủ tục đăng ký ủy quyền trích nợ
tài khoản cho dịch vụ Nộp thuế điện tử.
Bước 4:
Sau khi chi nhánh Ngân hàng thương mại duyệt đăng ký, người
nộp thuế nhận thông tin chấp nhận đăng ký sử dụng dịch vụ Nộp
thuế điện tử qua Email đã đăng ký kèm với mật khẩu đăng nhập
cho dịch vụ Nộp thuế điện tử.
Các chức năng hỗ trợ người nộp thuế thực hiện Nộp thuế điện tử
- Chức năng đăng ký sử dụng dịch vụ Nộp thuế điện tử.
- Chức năng lập giấy nộp tiền, gửi giấy nộp tiền (Có hỗ trợ thông
tin sổ thuế phải nộp).
- Chức năng tra cứu chứng từ, tra cứu thông báo.
- Chức năng cập nhật thông tin người nộp thuế.
- Chức năng đăng ký ngừng sử dụng dịch vụ.
- Chức năng thay đổi mật khẩu..
1.2.2. Hệ thống thanh toán ngân hàng
Thanh toán trực tuyến là dịch vụ giúp khách hàng thanh toán ngay qua
Internet, hoặc điện thoại di động khi mua hàng hóa, dịch vụ trên các trang
website bán hàng có liên kết thanh toán trực tuyến với các cổng thanh toán
thương mại điện tử.
Đối tượng tham gia dịch vụ
-
Các Tổ chức (có đăng ký kinh doanh) có website Thương mại điện
tử B2C, có nhu cầu thanh toán trực tuyến bằng các loại Thẻ quốc
tế và Thẻ ghi nợ nội địa (Thẻ ngân hàng, Thẻ ATM, Thẻ thanh
toán)
-
Các Tổ chức (có đăng ký kinh doanh) có website Thương mại điện
tử C2C, có nhu cầu cung cấp dịch vụ thanh toán trực tuyến cho các
7
gian hàng trên website thông qua mô hình Đại diện trung gian
thanh toán – MasterMerchant
-
Các Tổ chức, Ngân hàng có cổng thanh toán trực tuyến có nhu cầu
kết nối liên thông với hệ thống thanh toán trực tuyến KeyPay.
Đại lý phát triển Đơn vị chấp nhận thẻ (Reseller)
-
Các Tổ chức hiện đang triển khai phân phối dịch vụ POS cho các
khách hàng của mình, có nhu cầu phát triển thêm gói dịch vụ thanh
toán mới trên kênh Internet cho khách hàng.
Mô hình dịch vụ:
-
Hệ thống thanh toán thương mại điện tử quốc gia KeyPay cho
phép các tổ chức có website thương mại điện tử chấp nhận thanh
toán trực tuyến theo mô hình dưới đây:
Hình 1.2. Mô hình dich vụ hệ thống thanh toán thương mại điện tử
quốc gia KeyPay.
Các thuật ngữ
-
Đơn vị chấp nhận thẻ (Merchant): Là tên gọi tổ chức cung cấp
hàng hoá dịch vụ qua website, chấp nhận phương thức thanh toán
trực tuyến bằng thẻ của khách hàng thông qua kết nối với hệ thống
thanh toán trực tuyến Việt Nam KeyPay.
8
-
Ngân hàng phát hành (Issuing Bank): Là tên gọi ngân hàng được
phép phát hành thẻ theo quy định của pháp luật.
-
Ngân hàng thanh toán (Acquiring Bank): Là tên gọi ngân hàng
được phép thực hiện dịch vụ thanh toán thẻ. Ngân hàng thanh toán
tổ chức quản lý tài khoản thanh toán của Đơn vị chấp nhận thẻ,
đảm bảo việc thanh toán cho Đơn vị chấp nhận thẻ.
-
BIN (Bank Indentification Number): Là mã tổ chức của các ngân
hàng.
-
PIN (Personal Indentification Number): Là mã số bí mật của chủ
thẻ
-
OTP (One Time Password): Là giải pháp mật khẩu ngẫu nhiên
sinh 1 lần, được khởi tạo và gửi cho khách hàng để xác thực các
giao dịch trên môi trường Internet. Thông thường OTP chỉ có hiệu
lực trong vòng 30s – 60s.
-
Thẻ (Card): Là phương tiện thanh toán do ngân hàng phát hành
cho chủ thẻ để thực hiện giao dịch thẻ theo các điều kiện và điều
khoản được các bên thoả thuận. Có hai loại thẻ cơ bản là Thẻ quốc
tế và Thẻ nội địa. Tại Việt Nam, khách hàng hay sử dụng thuật
ngữ Thẻ ATM, Thẻ ngân hàng, Thẻ thanh toán… đây là những
cách gọi không chính xác để chỉ Thẻ ghi nợ nội địa, có phạm vi
giao dịch và thanh toán trong lãnh thổ Việt Nam.
1.3.
Phân tích bài toán quản lý Học sinh, Sinh viên [8], [9].
Bài toán quản lý Học sinh, Sinh viên (HSSV) nói chung là rất phức tạp, gồm
nhiều mảng nhiều phòng ban và nhiều nhiệm vụ. Ở đây em chỉ tìm hiểu về chức
trách, nhiệm vụ của phòng công tác HSSV (hay còn gọi là phòng Công tác chính trị
HSSV). Từ lúc sinh viên nhập học cho tới khi sinh viên tốt nghiệp ra trường và rút
hồ sơ.
9
1.3.1. Bài toán quản lý quá trình nhập học
Sau khi HSSV có điểm trúng tuyển vào trường, HSSV phải làm các thủ tục
nhập học theo lịch hẹn, theo quy định của nhà trường tại phòng công tác HSSV. Sau
một khoảng thời gian quy định nếu HSSV không đến nhập học thì coi như HSSV đó
không được nhập học nữa và nhà trường sẽ xóa tên ra khói danh sách nhập học đợt
đó. Nếu học sinh sinh viên trong quá trình nhập học thiếu một số giấy tờ quy định
nào đó thì nhà trường phát cho một giấy hẹn và hẹn ngày phải hoàn thành.
Ban đón tiếp HSSV
nhập học
HSSV
Hình 1.3. Sơ đồ khối thể hiện quá trình nhập học.
1.3.2. Bài toán quản lý nội, ngoại trú
Vấn đề đặt ra cho nhà quản lý sau khi HSSV vào học là phải cho HSSV đăng
ký nơi ở (khu ký túc xá) theo tiêu chuẩn của nhà trường vì số lượng HSSV thường
vượt mức cho phép ở ký túc xá. Một số còn lại sẽ phải ở ngoại trú (nhà bố mẹ, nhà
dân trong khu vực gần trường) nhằm đảm bảo việc học hành của mình. Công việc
quản lý nội, ngoại trú của HSSV phải được thường xuyên cập nhật vì kỳ này HSSV
ở nơi này, kỳ tới lại có thể chuyển nơi khác. Kỳ này ở nội trú, kỳ sau có thể chuyến
ra ngoại trú và ngược lại.
Phòng CTHSSV
HSSV
Hình 1.4. Sơ đồ khối thể hiện quá trình quản lý nội, ngoại trú.
1.3.3. Bài toán quản lý các quyết định khen thưởng
Bắt đầu kỳ học đầu cho đến suốt khóa học, việc học tập và rèn luyện sẽ được
các giáo vụ khoa, trợ lý khoa (giáo viên chủ nhiệm) ghi chép đầy đủ gửi lên phòng
Công tác HSSV nhằm mục đích tập trung theo dõi và đưa ra những quyết định khen
thưởng kịp thời cho HSSV.
10
Phòng CTHSSV
HSSV
Khoa
Hình 1.5. Sơ đồ thể hiện quá trình quản lý khen thưởng.
1.3.4. Bài toán quản lý các quyết định kỷ luật
Đi đôi với việc khen thưởng thì nhà trường cũng phải có kỷ cương, kỷ luật
nhằm rèn luyện đạo đức, ý chí cho HSSV. Tương tự khen thưởng thì bắt đầu kỳ học
đầu cho đến suốt khóa học, việc học tập và rèn luyện sẽ được các giáo vụ khoa, trợ
lý khoa ghi chép đầy đủ gửi lên phòng Công tác HSSV nhằm mục đích tập trung
theo dõi và đưa ra những quyết định kỷ luật kịp thời cho HSSV.
Phòng CTHSSV
HSSV
Khoa
Hình 1.6. Sơ đồ thể hiện quá trình quản lý kỷ luật
1.3.5. Bài toán quản lý quá trình bảo lưu kết quả học tập
Trong quá trình tham gia học tập tại trường nếu không may phải ngừng học
tạm thời thì việc giải quyết cho HSSV bảo lưu kết quả đã đạt được là vấn đề cấp
thiết. Để làm được vấn đề này thì HSSV muốn xin bảo lưu kết quả học tập thì phải
làm một số giấy tờ liên quan trong quy định của Nhà trường về việc bảo lưu kết quả
học tập. Sau đó gửi lên phòng Công tác HSSV để giải quyết.
Phòng CTHSSV
HSSV
Khoa
Hình 1.7. Sơ đồ thể hiện quá trình xin bảo lưu kết quả học tập tại trường.
11
1.4.
Mục đích và bài toán cần giải quyết của đề tài.
1.4.1. Mục đích
Mục đích của đề tài là nhằm giải quyết các vấn đề liên quan đến HSSV trong
quá trình học tập và rèn luyện tại cơ sở đào tạo (gọi chung là trường). Để giải quyết
vấn đề đó em đã dùng phương pháp kiểm tra mã (kiểm tra chữ ký) của hệ Elgamal
trong bài toán xác thực thông tin của HSSV do HSSV cung cấp.
1.4.2. Bài toán
-
Khảo sát thực tiễn ứng dụng hạ tầng mã hóa khóa công khai và hệ
thống quản lý HSSV.
-
Nghiên cứu cấu trúc của PKI.
-
Thiết kế mô hình hệ thống giải quyết bài toán quản lý HSSV dựa trên
cơ sở hạ tầng mã hóa khóa công khai.
-
Xây dựng hệ thống quản lý HSSV dựa trên cơ sở hạ tầng mã hóa khóa
công khai.
12
CHƢƠNG 2: NGHIÊN CỨU CẤU TRÚC CỦA PKI
2.1.
Các thành phần của PKI
2.1.1. Certificate Authority : Tổ chức chứng thực CA
Trong hạ tầng cơ sở khóa công khai, chứng chỉ có vai trò gắn kết giữa định danh
với khóa công khai. Một CA là một thực thể PKI có trách nhiệm cấp chứng chỉ cho
các thực thể khác trong hệ thống.
Tổ chức chứng thực CA cũng được gọi là bên thứ ba, chữ ký số do CA cung cấp
được người sử dụng tin tưởng sử dụng trong quá trình trao đổi, giao dịch.
Thông thường CA thực hiện chức năng xác thực bằng cách cấp chứng chỉ cho
các CA khác và thực thể cuối (người giữ chứng chỉ) trong hệ thống. Nếu CA nằm ở
đỉnh của mô hình phân cấp PKI và chỉ cấp chứng chỉ cho những CA ở mức thấp
hơn thì chứng chỉ này được gọi là chứng chỉ gốc „„root certificate‟‟.
2.1.2. Registration Authority: Trung tâm đăng ký RA
Mặc dù CA có thể thực hiện các chức năng đăng ký cần thiết nhưng đôi khi cần
có thực thể độc lập thực hiện chức năng này. Thực thể này được gọi là
„„registration authority- RA‟‟ trung tâm đăng ký. Ví dụ khi số lượng thực thể cuối
trong miền PKI tăng lên và số thực thể cuối này được phân tán khắp nơi về mặt địa
lý thì việc đăng ký tại một CA trung tâm trở thành vấn đề khó giải quyết. Để giải
quyết vấn đề này thì cần phải có một hoặc nhiều RAs (Trung tâm đăng ký địa
phương), mục đích chính của RAs là giảm tải công việc của CA. Chức năng của RA
cụ thể sẽ khác nhau tùy theo nhu cầu triển khai PKI nhưng chủ yếu bao gồm các
chức năng sau :
- Xác thực cá nhân, chủ thể đăng ký chứng chỉ.
- Kiểm tra tính hợp lệ của thông báo do chủ thể cung cấp.
- Xác định quyền của chủ thể đối với những thuộc tính chứng chỉ được yêu cầu.
- Kiểm tra xem chủ thể có thực sự sở hữu khóa riêng đang được đăng ký hay
không.
- Tạo cặp khóa bí mật/công khai.
- Phân phối bí mật được chia sẻ đến thực thể cuối.
13
- Thay mặt chủ thể (thực thể cuối) khởi tạo quá trình đăng ký với CA.
- Lưu trữ khóa riêng.
- Khởi sinh quá trình khôi phục khóa.
- Phân phối thẻ bài vật lý chứa khóa riêng (Smart Card).
Nhìn chung RA xử lý việc trao đổi giữa chủ thể thực thể cuối và quá trình đăng
ký, phân phối chứng chỉ và quản lý vòng đời chứng chỉ/khóa. Tuy nhiên trong bất
kỳ trường hợp nào thì RA cũng chỉ đưa ra những khai báo tin cậy ban đầu về chủ
thể. Chỉ CA mới có thể cung cấp chứng chỉ hay đưa ra thông tin trạng thái thu hồi
chứng chỉ CRL. [1], [2], [3].
2.1.3. Thực thể cuối (người giữ chứng chỉ và Clients)
Thực thể cuối trong PKI có thể là con người, thiết bị và thậm chí có thể là
chương trình phần mềm nhưng thường là người sử dụng hệ thống. Thực thể cuối sẽ
thể hiện những chức năng mật mã (mã hóa, giải mã, ký số).
2.1.4. Hệ thống lưu trữ (Repositories)
Chứng chỉ (khóa công) và thông tin thu hồi chứng chỉ phải được phân phối sao
cho những người cần đến chứng chỉ đều có thể truy cập và lấy được.
Có 2 phương pháp phân phối chứng chỉ :
2.1.4.1.
Phân phối cá nhân
Phân phối cá nhân là cách phân phối cơ bản nhất. Trong phương pháp này thì
mỗi cá nhân sẽ trực tiếp đưa ra chứng chỉ của họ cho người dùng khác. Việc này có
thể thực hiện theo một số cơ chế khác nhau, như chuyển giao bằng tay chứng chỉ
được lưu trữ trong đĩa mềm hay một số môi trường lưu trữ khác. Cũng có thể phân
phối bằng cách gắn chứng chỉ trong Email để gửi cho người khác; cách này thực
hiện tốt trong một nhóm ít người dùng nhưng khi số lượng người dùng tăng lên thì
có thể xảy ra vấn đề về quản lý.
2.1.4.2.
Phân phối khóa
Một phương pháp cũng khá phổ biến là phân phối khóa, phân phối chứng chỉ và
thông tin thu hồi chứng chỉ là công bố các chứng chỉ rộng rãi, các chứng chỉ này có
thể sử dụng một cách công khai và được đặt ở vị trí có thể truy cập dễ dàng. Những
vị trí này được gọi là cơ sở dữ liệu. Dưới đây là ví dụ về một số hệ thống lưu trữ:
14
- X.500 Directory System Agents (DSAs)
- Lightweight Directory Access Protocol (LDAP) Server
- Online Certificate Status Protocol (OCSP) Responders
- Domain Nam System (DNS) và web Server
- File Transfer Protocol (FTP) Servers và Corporate Database
2.1.5. Sơ đồ tổng quát của PKI [10], [11]
Hình sau đây cho ta một cái nhìn khái quát nhất về chức năng của các thành
phần trong hệ thống PKI và sự hoạt động của hệ thống này:
Hình 2.1. Mô hình hoạt động của PKI.
User gửi yêu cầu phát hành thẻ chứng thực và public key của nó đến RA (1);
Sau khi xác nhận tính hợp lệ định danh của user thì RA sẽ chuyển yêu cầu này đến
CA (2); CA phát hành thẻ chứng thực cho user (3); Sau đó user “ký” thông điệp trao
đổi với thẻ chứng thực mới vừa nhận được từ CA và sử dụng chúng (thẻ chứng thực
số + chữ ký số) trong giao dịch (4); Định danh của user được kiểm tra bởi đối tác
thông qua sự hỗ trợ của VA (5): Nếu thẻ chứng thực của user được xác nhận tính
hợp lệ (6) thì đối tác mới tin cậy user và có thể bắt đầu quá trình trao đổi thông tin
với nó (VA nhận thông tin về các thẻ chứng thực đã được phát hành từ CA (a))
15
PKI client
PKI client yêu cầu một thẻ chứng thực số từ CA hoặc từ RA. Điều này là cần
thiết với PKI client, vì nó phải nhận được thẻ chứng thực số trước khi nó có thể
truyền dữ liệu. RA kiểm tra giấy ủy nhiệm (credential) của client trước khi phát
hành thẻ chứng thực số mà client yêu cầu.
Sau khi client nhận được thể chứng thực số nó phải định danh chính nó, bằng
cách sử dụng cùng một thẻ chứng thực cho tất cả các giao dịch tiếp theo.
CA là thành phần thứ 3 tin cậy (trusted third part), nó nhận một yêu cầu phát
hành (cấp) thẻ chứng thực, từ một tổ chức hoặc một cá nhân nào đó và phát hành
thẻ chứng thực yêu cầu đến họ sau khi đã xác thực client yêu cầu (Verisign và MSN
là hai công ty CA nổi tiếng thế giới).
CA dựa vào các chính sách, trao đổi thông tin trong môi trường bảo mật, của
tổ chức để định nghĩa một tập các quy tắc, các thủ tục liên quan đến việc phát hành
thẻ chứng thực. Mọi hoạt động tạo, phát hành, thu hồi thẻ chứng thực sau này đều
tuân theo các quy tắc, thủ tục này.
Quá trình xác thực dựa trên CA có thể được minh họa như sau:
5
1
4
2
6
3
7
Hình 2.2. Quá trình xác thực dựa trên CA
16
1. Bob yêu cầu CA phát hành thẻ chứng thực với tên của anh ấy
2. CA kiểm tra tính hợp lệ về định danh của Bob và rồi phát hành thẻ chứng
thực cho Bob.
3. Bob chuyển thẻ chứng thực với định danh của anh ấy cho Alice.
4. Alice yêu cầu CA kiểm tra định danh của Bob
5. CA kiểm tra và xác nhận tính hợp lệ của thẻ chứng thực của Bob
6. CA trả kết quả kiểm tra về lại cho Alice: Hợp lệ hoặc không hợp lệ.
7. Nếu nhận được kết quả là hợp lệ thì Alice chấp nhận (tin cậy) Bob và quá
trình trao đổi thông tin giữa Bob và Alice có thể bắt đầu.
Registration Authority (RA) – Ủy quyền đăng ký
Nhiệm vụ của RA kiểm tra yêu cầu thẻ chứng thực số của client.
Khi một PKI client gửi yêu cầu phát hành thẻ chứng thực số đến một CA,
CA ủy quyền sự phản hồi xác thực yêu cầu đến RA. Sau khi kiểm tra yêu cầu thành
công, RA forward yêu cầu đến CA. CA nhận yêu cầu, phát hành thẻ chứng thực yêu
cầu và gửi thẻ chứng thực đến RA. RA forward thẻ đó đến cho PKI client (gửi yêu
cầu phát hành thẻ chứng thực trước đó).
Digital certificates (DC) – Thẻ chứng thực số
Thẻ chứng thực số được xem như một card định danh (ID card) sử dụng
trong môi trường điện tử/môi trường mạng máy tính. Nếu như trong thực tế, người
ta dùng ID card để định danh duy nhất một cá nhân nào đó thì trong môi trường trao
đổi thông tin an toàn, PKI sử dụng thẻ chứng thực số để định danh duy nhất một đối
tượng nào đó trong suốt quá trình truyền thông.
Thẻ chứng thực số chứa các thông tin sau:
-
Số serial của thẻ chứng thực
-
Ngày hết hạn của thẻ chứng thực
-
Chữ ký số của CA
-
Public key của PKI client
17
Trong quá trình giao dịch, bên gửi gửi thẻ chứng thực số, cùng với dữ liệu đã
được mã hóa, của nó cho bên nhận. Bên nhận cuối sử dụng thẻ chứng thực số này
để xác nhận tính hợp lệ xác thực của bên gửi.
Bên nhận, sử dụng public key của CA để giải mã public key của bên gửi
(được nhận cùng với thông điệp được mã hóa đến từ bên gửi). Sau khi định dạng
của bên gửi là được xác định, bên nhận sử dụng public key của bên gửi để giải mã
dữ liệu mà nó nhận được.
Certificate Distribution System (CDS) – Hệ thống phân phối thẻ
CDS lưu trữ tất cả các thẻ chứng thực đã được phát hành đến cho người sử
dụng trên mạng. CDS cũng lưu trữ các cặp khóa, tính hợp lệ và “chữ ký” của các
khóa public. Danh sách các khóa hết hạn, các khóa bị thu hồi do bị mất, do bị hết
hạn cũng được CDS lưu trữ.
2.2.
Chức năng của PKI [7]
Những hệ thống PKI khác nhau thì có chức năng khác nhau nhưng nhìn
chung có hai loại chức năng chính là: Chứng thực và kiểm tra.
2.2.1. Chứng thực (Certification)
Chứng thực là chức năng quan trọng nhất của PKI. Đây là quá trình ràng
buộc khóa công khai với định danh của thực thể. CA là thực thể PKI thực hiện chức
năng chứng thực. Có hai phương pháp chứng thực:
-
Tổ chức chứng thực (CA) tạo ra cặp khóa công khai/khóa bí mật và tạo
ra chứng chỉ cho phần khóa công khai của cặp khóa.
-
Người sử dụng tự tạo ra cặp khóa và đưa khóa công khai cho CA để CA
tạo chứng chỉ cho khóa công khai đó. Chứng chỉ đảm bảo tính toàn vẹn
của khóa công khai và các thông tin gắn cùng.
2.2.2. Thẩm tra (Verification)
Quá trình xác liệu chứng chỉ đã đưa ra có thể được sử dụng đúng mục đích
thích hợp hay không được xem là quá trình kiểm tra tính hiệu lực của chứng chỉ.
Quá trình này bao gồm một số bước:
- Kiểm tra liệu có đúng là CA được tin tưởng đã ký số lên chứng chỉ hay
không (xử lý theo đường dẫn chứng chỉ).
- Kiểm tra chữ ký số của CA trên chứng chỉ để kiểm tra tính toàn vẹn.
18
- Xác định xem chứng chỉ còn trong thời gian hiệu lực hay không.
- Xác định xem chứng chỉ bị thu hồi hay chưa.
- Xác định xem chứng chỉ đang được sử dụng có đúng mục đích, chính sách,
giới hạn hay không (bằng cách kiểm tra các trường mở rộng cụ thể như mở
rộng chính sách chứng chỉ hay việc mở rộng việc sử dụng khóa).
2.2.3. Một số chức năng khác
Ngoài các chức năng chính như ở trên thì hệ thống PKI còn có một số chức
năng sau:
2.2.3.1.
Đăng ký
Đăng ký là quá trình đến hoặc liên lạc với các tổ chức, trung tâm tin cậy để
đăng ký các thông tin và xin cấp chứng chỉ. RA và CA là những thực thể trong quá
trình đăng ký, quá trình đăng ký phụ thuộc vào chính sách của tổ chức. Nếu chứng
chỉ được cung cấp với mục đích dùng cho những hoạt động bí mật thì sử dụng
phương pháp gặp mặt trực tiếp. Nếu chứng chỉ chỉ được sử dụng cho những mục
đích, hoạt động thường thì có thể đăng ký qua những ứng dụng viết sẵn hoặc ứng
dụng điện tử.
2.2.3.2.
Khởi tạo ban đầu.
Khi hệ thống trạm của chủ thể nhận được các thông tin cần thiết để liên lạc
với CA thì quá trình khởi tạo bắt đầu. Những thông tin này có thể là khóa công khai
của CA, chứng chỉ của CA, cặp khóa công khai/bí mật của chủ thể.
Một số hệ thống khác sử dụng cơ chế dựa trên password trong giai đoạn khởi
tạo. Người dùng cuối liên lạc với CA khi nhận được password và sau đó thiết lập
một kênh bảo mật để truyền những thông tin cần thiết. Giai đoạn khởi tạo thường
tiếp tục với quá trình chứng thực.
2.2.3.3.
Khôi phục cặp khóa
Hầu hết hệ thống PKI tạo ra hai cặp cho người sử dụng cuối, một để ký số và
một để mã hóa. Lý do tạo 2 cặp khóa khác nhau xuất phát từ yêu cầu khôi phục và
sao lưu dự phòng khóa.
Tùy theo chính sách của tổ chức, bộ khóa mã (mã và giải mã) và những
thông tin liên quan đến khóa của người sử dụng phải được sao lưu để có thể lấy lại
được dữ liệu khi người sử dụng mất khóa riêng hay rời khỏi đơn vị.
19
