Bài giảng xây dựng hệ thống xác thực cho hệ thống thông tin của các cơ quan chính phủ

Trung tâm chứng thực điện tử chuyên dùng Chính phủMẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG CHÍNH PHỦ Dự án mạng truyền số liệu chuyên dùng của các cơ quan Đảng và Nhà nước từ trung ương đến địa p

XÂY DỰNG HỆ THỐNG XÁC THỰC CHO HỆ THỐNG THÔNG TIN

CỦA CÁC CƠ QUAN CHÍNH PHỦ

( NGUYEN HUU HUNG, GCA, VGISC)

Trung tâm chứng thực điện tử chuyên dùng Chính phủ

NỘI DUNG

II

III HỆ THỐNG PKI CHUYÊN DÙNG CHÍNH PHỦ

IV MỘT SỐ KẾT QUẢ VÀ KẾ HOẠCH PHÁT TRIỂN

HỆ THỐNG THÔNG TIN CỦA CHÍNH PHỦ VÀ NHU CẦU XÁC THỰC

I ĐẶT VẤN ĐỀ

Internet Mặt đối mặt

Nảy sinh các vấn đề về đảm bảo an toàn thông tin:

•Ai đang giao dịch ? (Xác thực)

•Thông tin gửi đi có bị nghe trộm? (Bí mật)

•Dữ liệu nhận được có bị sửa đổi hay không? (Toàn vẹn)

•Chối bỏ hành động đã thực hiện (Chống chối bỏ)

Các vấn đề an ninh an toàn trong xã hội thông tin

Trung tâm chứng thực điện tử chuyên dùng Chính phủ

MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG CHÍNH PHỦ

Dự án mạng truyền số liệu chuyên dùng của các cơ quan

Đảng và Nhà nước từ trung ương đến địa phương:

- Hạ tầng truyền thông tốc độ cao, đa dịch vụ với

công nghệ hiện đại, an toàn và bảo mật, cung cấp

đường truyền dẫn và các cổng kết nối để liên kết các

mạng nội bộ của các cơ quan Đảng, Nhà nước;

- Truy nhập Internet tốc độ cao, có các dịch vụ gia

tăng trên mạng: điện thoại IP, video IP, Email,

Web…;

- Mạng riêng ảo dùng cho nội bộ một đơn vị (cơ quan,

tổ chức…);

- Extranet VPN: mạng riêng ảo giữa các mạng;

- Remote Access IP VPN: mạng riêng ảo truy nhập từ

xa;

- Ipv6 VPN: mạng riêng ảo dùng IP phiên bản 6;

Multicast VPN for MPLS: mạng riêng ảo quảng bá

trên nền chuyền mạch nhãn đa giao thức;

- …………

II CÁC HỆ THỐNG THÔNG TIN CỦA CHÍNH PHỦ

• Hệ thống thư điện tử Quốc gia

• Hệ thống giao ban điện tử đa phương tiện giữa Thủ tướng Chính phủ

với với các Bộ, ngành, địa phương

• Cơ sở dữ liệu Quốc gia về dân cư

• Hệ thống thông tin giao thông vận tải

• Hệ thống quản lý thông tin đầu tư nước ngoài

• Hệ thống thông tin quản lý y tế dự phòng

• Cơ sở dữ liệu quốc gia về cán bộ, công chức, viên chức và cán bộ,

công chức cấp xã

• Cơ sở dữ liệu quốc gia kinh tế công nghiệp và thương mại

• Hệ thống thông tin về văn bản quy phạm pháp luật thống nhất từ

Trung ương tới các địa phương

• Các hệ thống thông tin về thuế, tài nguyên, môi trường…

• ………

Trích Quyết định

48/2009/TTg -Trung tâm chứng thực điện tử chuyên dùng Chính phủ

Đảm bảo an toàn trong các giao dịch:

• Xác thực đăng nhập, phân cấp, phân

quyền khai thác thông tin

• Xác thực và an toàn các phiên giao

dịch

THIẾT LẬP HỆ THỐNG XÁC THỰC VÀ BẢO MẬT

Trên cơ sở các hệ thống thông tin

của Chính phủ, hệ thống mạng

truyền số liệu chuyên dùng cho các

cơ quan Chính phủ, để đảm bảo an

toàn, tin cậy cho toàn bộ hệ thống

thì cần thiết phải thiết lập hệ thống

Trung tâm chứng thực điện tử chuyên dùng Chính phủIII PKI cho các cơ quan chính phủ

Các thành phần chính của PKI

Khung pháp lý và chính sách

Khung pháp lý và chính sách

Trung tâm chứng thực điện tử chuyên dùng Chính phủ

Sau khi Luật Giao dịch điện tử được ban hành, Chính phủ đã ban

hành Nghị định Số: 26/2007/NĐ-CP ngày 15/02/2007 Quy định chi

tiết Luật GD ĐT về chữ ký số và dịch vụ chứng thực chữ ký số

Sau khi Luật Giao dịch điện tử được ban hành, Chính phủ đã ban

hành Nghị định Số: 26/2007/NĐ-CP ngày 15/02/2007 Quy định chi

vụ các cơ quan thuộc hệ thống chính trị

Tháng 9/2007, Ban Cơ yếu Chính đã thành lập tổ chức chứng thực chữ ký số phục vụ các cơ quan thuộc hệ thống chính trị Hạ tầng cung cấp dịch vụ chứng thực chữ ký số đang tích cực triển khai cho các cơ quan, Bộ, ngành

Tháng 9/2007, Ban Cơ yếu Chính đã thành lập tổ chức chứng thực chữ ký số phục vụ các cơ quan thuộc hệ thống chính trị Hạ tầng cung cấp dịch vụ chứng thực chữ ký số đang tích cực triển khai cho các cơ quan, Bộ, ngành

CÁC CƠ SỞ PHÁP LÝ

Quyết định số 63/QĐ-TTg ban hành ngày ngày 13/01/2010 phêduyệt quy hoạch phát triển an toàn thông tin số quốc gia đến năm

2020 trong đó Ban Cơ yếu CP chịu trách nhiệm Xây dựng

Hệ thống xác thực, bảo mật cho các hệ thống thông tin Chính phủ

Quyết định số 63/QĐ-TTg ban hành ngày ngày 13/01/2010 phêduyệt quy hoạch phát triển an toàn thông tin số quốc gia đến năm

2020 trong đó Ban Cơ yếu CP chịu trách nhiệm Xây dựng

Hệ thống xác thực, bảo mật cho các hệ thống thông tin Chính phủ

Mô hình PKI hiện tại của Việt Nam

Bộ TTTT

CA công cộng (N-Root CA)

CA được cấp phép

CA được cấp phép

Ban Cơ yếu CP

CA chuyên dùng (G-Root CA)

Sub CA được giao n.vụ

Sub CA được giao n.vụ

chứng thực chéo

e-gov service provider

e-gov service provider

CA nước ngoài

Foreign CAs

chứng thực chéo

cung cấp dịch vụ

Trung tâm chứng thực điện tử chuyên dùng Chính phủ

Các mốc thời gian chính

• Thành lập theo khoản 4 Điều 6 Nghị định 26/2007/NĐ-CP

• Thuộc Ban Cơ yếu Chính phủ

• Thành lập năm 2007

Các dịch vụ cung cấp

• Thiết lập và duy trì hạ tầng PKI cho các cơ quan Chính

phủ: RootCA, các SubCA cho các cơ quan, Bộ, ngành

• Cung cấp và quản lý chứng thư số và các dịch vụ chứng

thực chữ ký số

• Tư vấn, hỗ trợ, triển khai dịch vụ chứng thực chữ ký số

• Phát triển các ứng dụng trên nền PKI

Trung tâm chứng thực điện tử chuyên dùng Chính phủ

Trung tâm chứng thực điện tử chuyên dùng Chính phủ

Mô hình các cơ quan đăng ký địa phương

• Phân tán trên cả nước

• Phục vụ cho các nhu cầu cấp phát và

quản lý chứng thư số

Dịch vụ cung cấp

Cung cấp và quản lý chứng thư số:

• Tạo và phân phối các cặp khóa cho thuê bao

• Cấp, thu hồi chứng thư số

Dịch vụ chứng thực chữ ký số:

• Tem thời gian (timestamping service)

• Kiểm tra trạng thái chứng thư số (CRLs, OCSP)

Dịch vụ công bố thông tin:

• Chứng thư số RootCA, SubCA

• Chính sách chữ ký số (Signature policy)

• Tra cứu thông tin

Trung tâm chứng thực điện tử chuyên dùng Chính phủ

Khuôn dạng chứng thư số và chứng thư số bị thu hồi

IETF RFC 3280 : Khuông dạng chứng thư số và danh sách chứng thư số bị thu hồi

ITU-T X.509 : Khuôn dạng chứng thư số khóa công khai và chứng thư thuộc tính

Mã/giải mã, ký/xác thực RSA

PKCS #1 V1.5, 2.0, 2.1

Lưu trữ, thông điệp mật mã

PKCS #5: Chuẩn mã hóa dựa trên mật khẩu

PKCS #8: Chuẩn cú pháp thông tin khóa bí mật

PKCS #11: Chuẩn giao tiếp thẻ mật mã

PKCS #15: Chuẩn định dạng thông tin thẻ mật mã

PKCS #7: Chuẩn cú pháp thông điệp mật mã

PKCS #10: Chuẩn cú pháp yêu cầu chứng thực

Chuẩn áp dụng

Nhãn thời gian

IETF RFC 3161 : Giao thức gán nhãn thời gian

IETF RFC 1305: Giao thức thời gian mạng V3.0

Danh bạ chứng thư, kiểm tra tình trạng

IETF RFC 2251: Giao thức truy cập thư mục

Ứng dụng

XAdES signature structure (EU) - ETSI TS 101 903 (dựa trên RFC 3275): khuôn dạng chữ ký số

ETSI TR 102 038 (dựa trên RFC 3125 ): Chính sách chữ ký số

IETF RFC 2650: Giao thức kiểm tra tình trạng chứng thư

Chuẩn áp dụng (tiếp…)

Trung tâm chứng thực điện tử chuyên dùng Chính phủ

Đã triển khai bước đầu cho một số cơ quan, Bộ, ngành:

• Ký số các tài liệu điện tử

IV Một số kết quả đạt được

KẾ HOẠCH PHÁT TRIỂN

Trung tâm chứng thực điện tử chuyên dùng Chính phủ

Giải pháp theo mô hình tập trung

Kết nối với RootCA thông

qua mạng truyền số liệu

chuyên dùng Chính phủ

Số lượng chứng thư số

không lớn (<1500 thuê bao)

RootCA Ban Cơ yếu Chính phủ đảm bảocung cấp các dịch vụ về chứng thư số vàchứng thực chữ ký số

Giải pháp theo mô hình phân tán

Đặc điểm:

Các dịch vụ chứng thực chữ

ký số được phân tán xuống

mạng của các cơ quan, Bộ,

Kết nối với RootCA thông

qua mạng truyền số liệu

chuyên dùng Chính phủ

Có bộ phận CA chuyên trách

Các dịch vụ về chứngthực chữ ký số được phântán xuống các mạng củatừng cơ quan, Bộ, ngành

Có hệ thống server dành riêng

cho các dịch vụ LDAP,

TimeStamp, OCSP, NTP, Web

Trung tâm chứng thực điện tử chuyên dùng Chính phủ

Tổ chức quản lý cấp phát chứng thư số User: Thuê bao thuộc các cơ quan, Bộ, ngành

LRA lập danh sách trên cơ sở nhu cầu sửdụng chứng thư số từ thuê bao gửi RA

RA kiểm tra thông tin gửi RootCA

RootCA tổ chức tạo chứng thư

số, gửi khóa bí mật được lưu trênthiết bị cho RA, RA gửi cho

LRA

LRA : Tổ chức quản lý thuê bao

RA : Cơ quan xử lý yêu cầu chứng thực

RootCA: Ban Cơ yếu Chính phủ

Quy trình:

RootCA cập nhật và công bốdanh bạ chứng thư số

BAN CƠ YẾU CHÍNH PHỦ

Tổ chức hạ tầng đảm bảo việc tiếp nhận

các yêu cầu cung cấp chứng thư số

Trên cơ sở nhu cầu của các cơ quan,

Bộ, ngành đảm bảo việc cấp chứng thư

số, thiết bị lưu khóa bí mật

Tư vấn, hỗ trợ kỹ thuật trong việc triển

khai dịch vụ tại các cơ quan, Bộ,

mô hình phân tán)

PHỐI HỢP TÍCH HỢP CHỨNG THƯ

SỐ, CHỮ KÝ SỐ VÀ DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ VÀO CÁC ỨNG DỤNG

Tổ chức tích hợp chứng thư số, chữ

ký số và dịch vụ chứng thực chữ ký sốvào trong các ứng dụng

Trung tâm chứng thực điện tử chuyên dùng Chính phủ

XIN CHÂN THÀNH CẢM ƠN

Digitally signed by Nguyen Huu Hung

DN: c=VN, o=Ban Co yeu Chinh phu, ou=Cuc Quan ly Ky thuat Nghiep vu Mat ma, l=Ha Noi, cn=Nguyen Huu Hung

Date: 2010.03.22 15:34:50 +07'00'