Hiện nay nhu cần bảo đâm an toàn thông fin trên mạng máy à thiết trong các hoạt động kinh tế xà hội, đặc biệt là trong hệ thống ngân hảng, với các dịch vụ ngân bàng điện tử, cụ thể là c
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG
PT
NGUYEN HONG QUANG
NGHIÊN CỨU MÔ HÌNH PKI- PHỤC VỤ XÁC THỰC VÀ BAO MAT MOT SO GIAO DICH
DIEN TU NGAN HANG CHUYỂN NGANH ; TRUYEN DU'LIEU VA MANG MAY TINH
MA SO; 60.48.15
Người hướng dẫn khoa học:
PGS.TS TRỊNH NHẬT TIỀN
TOM TAT LUAN VAN THAC SIKY THUAT
Hà Nột- 2010
Trang 2Hiện nay nhu cần bảo đâm an toàn thông fin trên mạng máy
à thiết trong các hoạt động kinh tế xà hội, đặc biệt là
trong hệ thống ngân hảng, với các dịch vụ ngân bàng điện tử, cụ thể là các dịch vụ Internet Banking (Trong pm vả luận văn, tác
giả giới hạn khối niệm giao dịch Intemet Bakig được hiểu trương đang với một số giao địch điện từ ngin làng) 'Trang quá
"rình thực tê, với các dich vu Tnternet Banking sẽ củ những rủi ro điển hình: Khả năng giả mạo máy rnh của nhân viễn, Máy tinh của khách hàng nằm tai bat ky nov dan ngoài phạm vi và sự kiểm, soát của ngân hàng, Các máy tỉnh này kết ndi tới it web của ngân hàng thông qua Intemet, Intemet 1a kél ndi mo va
không được quan lâm đến tỉnh an toân tại thời điểm thiết kế Thững nguy hiểm, rủi ro từ Internet sẽ là phá hoại rất lớn đối với
loan hệ thông Internet Banking Chinh vì vậy, luận văn, đi vào
nghiên cứu kỹ thuật, công nghệ, m6 hình triển khai hạ tẳng mật
mã khóa công khai ( PKI- Public Key Infrastructure} ap dung an toàn một số giao địch ngân hàng điện tử, từ đó phân tích và nêu ra các giải pháp phủ họp
Luận văn gồm 04 chương:
- Chương 1: Các khái niệm cơ bản: Giới thiệu các hệ má
hàa, khái niệm về chữ ký số và hàm băm
- _ Chương 2: Hạ tầng mật mã khóa công khai(Public Key
Infrastrueture- PKI): Trình bày khái niệm PEI, các thành phần
trong hệ thống PKI, các đặc trưng của hệ thông PEI, các kỹ
thuật bảo vệ thông tin và mô hình tổ chức quản lý chứng chỉ số
- Chương 3: Ứng dụng PKI cho hệ thống Internet Banking Đề xuất mô hình và thiết kế chỉ tiết hệ thông PKI
trong giao địch Internet Banking,
-_ Chương 4: Mô phông thừ nghiệm hệ thống an toàn cho giao địch trực tuyến ngân hàng,
Trang 3
Chương 1 CÁC KHÁI NIỆM CƠ BẢN
Giới thiện về các nhương pháp bảo vệ thông tm truyền thống:
2 Xây đựng hệ thông các bức rường lửa
2 Áp dụng các phương pháp xác thực
ø Thiết lập mạng riêng ảo, các hệ thống cảnh bảo truy
cập trái phép
Dựa vào các cơ chế an toản bảo mật trên, chủng ta không cỏ cách nào đảm bảo an toàn (tính bí mậi, toàn vợn và xác thực) cửa
thông tin giữa hai đối trọng bất kỹ (vì không cf cach ting quat
nào để xác đỉnh đồ tm cây gtữa chủng trước khi truyền thông)
Phần đưới đây sẽ đề cập đến một số phương pháp báo vệ thông, tản bằng mật mã (eryptography) Phương pháp này được xem
ni là một phương pháp bé sung bảo vệ thông tin cha hệ thắng
hiện thời
1.2.1 Khải niệp hệ mã hỏa
Hệ mã hỏa được định nghĩa là một hộ năm (P, C, K, F, D),
trong đà
2 P là tập hữu bạn các các bản rõ có thể
€ tập hữu hạn các bản mã có thể
K 1a tập hữu hạn các khoá có thể,
5 là tập các hàm lập mã
Dili tap các lim giải mã,
Với mỗi k€K, có một hàm lập mã ø =E, ek: P'~*C và
mat ham giải mã đụ€ D, dụ: C *P sao cho dụ(s(x)}=x, VxeP
Trang 41.2.2 Hệ mã bóa khúa đội xứng
TIệ mã hóa khỏa đối xửng hay là hệ mã hóa mà khóa mã hóa
có thể “đễ” tính toàn được từ khỏa giải mã và ngược lại Trong,
nhiều trưởng hợp, khỏa mã hỏa và khỏa giải mã là giống nhau
Hệ mã hóa này còn lại là hệ mã hóa khóa bí mậi
Mô hình mã hóa sử dụng khóa đổi xứng được mô tả như san:
LL]
Mô hinh mã hóa khóa đối xing
Hinh 1
1.2.3 Hệ mã hóa khóa bắt đối xứng (hệ ma hoa khoa cing
xua)
Tiê mã hóa khoá công khai hay càn được gai là hệ mã hóa bất
đối xứng sử dụng znột cặn khoả, khoá mã hoá còn gọi là khoá
công khai (publie key) và khoá giải mã được gọi là khoả bí mật
hay khỏa riêng (privale key) Trong hệ mệt này, khoá mã hoà
khác với khaá giải mã Vẽ mặt toán học thì th khaá công khai
rất “khó” tính được khoá riêng,
Mê hình mã hóa khóa công khai được mô tả như sau:
Kháan bo chee
Tĩình 1-2: Mô hình mã hóa khỏa công khai
2L
KẾT LUẬN
Hạ tầng cơ sở vẻ mắt mã khỏa công khai (PKD là một nền tảng cho các hệ thông thông lin an toàn, cung cấp các dịch vụ quản lý và ty cập, tinh toàn vẹn, tính xác thực, tính bí mật và tinh chống chổi bả PKI đảm bán cho các giao địch điện từ ngân hàng cũng như những phiên kết nối bí mật được an toàn Kết quả chính của luận văn gỗm có
1⁄ Nghiên cửu về hạ tầng cơ sở mật mã khóa công khai (PED
2/ Đề xây dựng PKI để thực hiện xác Lhục va bảo mật
một số giao địch điện lừ ngân hàng
Mô phông thứ nghiệm hệ thống an loàn cho giao dich trực
tuyển cña ngân hàng
Hướng phát triển đự kiến tiếp thea của luận văn :
1⁄ “Xây dụng hoàn thiên chương trhủ mô phỏng tìng dụng
PT phục vụ an toàn giao dịch ngân hàng, Mục tiêu là có thd ng dụng lâm giảng dạy, là các sân phẩm demo trinh diễn trong các hội hảo hoặc tr vẫn bản hàng ( khách làng Íd các ngân hàng, công ty ching khoản cần ngời giải pháp an toàn ig dung PED
3⁄/ Kết hợp với các nhờ cung cấp img dung PRT alu Entrust, Verisign, RSA, VDC dé đê xuất các nhằm giải
pháp ne vẫn phải hợp nhất triển khai cho từng hệ thông
ngân hàng đáp ứng yêu câu cm toàn đề ra với chỉ phí đâu
tr và nhân công vấn hành hệ thông là tôi ưa Góp phẩn
tiuìc đẩu phái triển giaa dịch trực tuyển trong hệ thẳng
than iodn tt Viet Name
3
Trang 520
- TIệ thống xá thực người dùng được :nô tả TÙnf sau:
1⁄ User đáng nhập hệ thống với Username, Paszword,
và gid tri OTP (One-Time Passcode) cia token
'Wehserver chuyến thông tin người đủng tới hệ thống
Validation server
2
3/ Validation scrver tim uscsID trong cơ cở dữ liệu
khách hàng và so sánh password
4/ Nêu UserlD và paswword cia user ding nhập đúng,
Validation scrver chuyén user's TokenID, gid iti
OTP toi hé thing kiém tra OTP
Sf He théng kiểm tra OTP sẽ tinh loan gid tri mong đợi
OTP trén so s6 gid trị bí mật của token và thời gian
hiện tại của nỏ trong cơ sở đữ liệu OTP, sau đỏ cẽ tiến
hành zo sảnh ƠTTP vừa được tính toán với giá trị OTT vita nhận được lừ Token, Nếu trùng khớp sẽ te ve giá
trị “Ves”, ngược lại sẽ trả về giá trị “No” tdi Validation Server
gz Vahdation Server s& cho phép User ding nhập vào hệ
thắng nếu nhận được giá trị Yes từ hệ thắng kiểm tra OTP
- Hệ thẳng giao dịch ngân hàng trong chương trình bao gồm
các dịch vụ ngân hàng cơ bản:
v Trasổ dự
v“ Chuyển khoản
13 CHỮKÝ SỐ
Quả trình mã hoá thông điệp với khoá riêng của người gũi gọi là quá trình “ký
Sơ đỗ chữ ký là một bệ năm (P, A, K, 8, V), trong đó:
12 Plà mật tập hữm hạn các văn bản có thể 2/_ A là mộttập hữu hạn các chữ ký có thể 3ˆ K là một tập hữn hạn các khoá cá thể
4/_ 8 là tập các thuật toán ký
$7 V là tập các thuật toán kiểm thù 6/ Với mỗi k C K, có một thuật toán kỷ sgy © 5, sig, PA va mt thuật toàn kiếm thứ ven, = V,
ven : Px Á —> {đúng, sai), thoả mãn điêu kiên sau đây với mọix © Py & A:
ver k (uy) = done nếu y =sig 0
No gai, nda y sign)
Hàm băm ở đây được hiển là các thuật toán không để mã hóa
(ở đây ta dùng thuật ngữ “băm” thay cho “mã hoá"), nó cỏ nhiệm vụ băm thông điệp được đưa vào theo một thuật toán h
nào đỏ, rồi đưa ra một han bam — văn bản đại điện —
tước có định Giá trị của hàm băm là duy nhất và
“khó” thể sny ngược lại được nội đung thông điệp từ giá trị
‘bam nay Ham băm một chiều h có hai đặc tính quan trọng sau:
-_ Với thông điệp đầu vào x thu được bản băm z= h(*) là duy
nhất
- Nếu dữ liệu trong thông điệp x thay đổi hay bị xóa để
thành thông điệp x' thì học) # hồ),
[lam bam img dung trong viée tao vi kiém tra tinh toan ven
của chữ ký số
Trang 6
Chương 2 HẠ TẢNG MẬT MÃ KHÓA CÔNG
KHAI (PUBLIC KEY INFRASTRUCTURE - PKI)
24 TONG QUAN VE HA TANG CO SO MAT MA
KHOA CONG KHAI
211 Khải niệm ha ting cơ sỡ mật mã khóa công khai
Ha tang mat ma khéa cong khai (Public Key Infrastructure -
PKJ) la mot co ché dé cho m6t bén thứ 3 (thưởng là nhà cung
cấp chứng thực số) cung cấp và xác thực định danh các bên
tham gia vào quá trình trao đổi thông tin Cơ chế này cho phép
gan cho mỗi chi thé trong hệ thống môt cặp khỏa công
khai/khỏa bi mat Cac qua trình này thường được thực hiện bởi
mot phan mềm đặt tại trung tâm và các phần mềm phối hợp
khác tại các địa điểm của người dùng, Khỏa công khai thưởng
được phân phối trong chứng thực khỏa công khai (chứng chỉ
số)
3.12 _ Các dịch vụ và phạm vi ứng dụng của PKI
3.12.1 Các dịch vụ sử dụng PKI có khả năng đâm bảo năm
yêu cẦu sau:
- Báo mật thông tin
~ Toàn vẹn thông tín
~ Xác thực thực thể
- Chống chỗi bỏ
~ Tỉnh pháp lý
2.1.2.2 Phạm vi ứng dung cita PKI
~ Phạm vi ứng dụng của PKI bao trùm các hệ thống tử lớn tới
nhỏ và thuộc nhiều lĩnh vực như: ngân hàng, tài chính, viên
thông, hàng không, các nghành công nghiệp hay cho hoạt động
trao đổi công văn giữa các Sở, Ban, Nghanh,
19
42 SƠ ĐỎ CHỨC NĂNG HỆ THỎNG
coreberbag
_Hình 4-1: Mô hình hệ thống thữ nghiệm
- Hé théng giao dich tử người đủng tới ngân hàng trên kênh truyền Internet mã hỏa SSL được mô ta như sau
1/ Web browser két néi với web server và yêu cầu một
kết nỗi an toản và an toàn bảo mật, rey Web server tra vé cho web browser site's certificate
3 Web browser kiểm tra các thông tin trong sites
certificate xem có trust được hay không (khi cettificate không được trust ta sẽ thấy xuất hiện một waming dialog, và nếu muốn có tự mình cho rằng nỏ
có thể trust được thì click Yes đẻ kết nối)
‘Web browser hic nay méi tao ra một session key sau
do ding server's public key để encrypt (asymmetric)
va chnyén session key đã được encrypt nay téi web
server
4
Web server ding private key cia nd dé decrypt (asymmetric) va lay due session key dùng để encrypt data (symmetric) gitta web server va web browser
Trang 718
Chuơng 4 MÔ PHONG THU NGHIEM HE THONG
GIAO DỊCH TRỰC TUYẾN NGÂN HÀNG
41 MỤC TIÊU CỦA CHƯƠNG TRÌNH MÔ PHỎNG
THỨ NGHIỆM
Chương trình được xây dựng để thực hiện mính họa các tưng,
dụng giao địch ngân hàng có ứng dụng an toàn bào mật
- Xác thực người thực hiện giao địch: Thông qna hệ
thống xắc thực hai cấp, kết hợp xác thục qua hệ thống
semame/Password truyền thống và phương pháp xác thục
thời gian thực (One-Time Passcode) Người thực hiện giao dich
truc tnyén phai cung cip Username password va passcode
(mật khẩu thời gian thuc- Ơnc-Từnc Passcodr) Hệ thống sẽ
kiểm tra password và passcode độc lập
~_ Xác thực máy chủ ngân hàng và bảo mắt thông tia giao
dịch trên đường truyền lử trình duyệt wcb của khách hàng tới
webserver cia naan hàng: Cài đặt chứng, chỉ số trên webserver
để thực hiện xảo thục mảy chủ webserver của ngân hàng và
thực hiện các giao dịch ngấn hàng thông qua mỗi trưởng
Internet duge bao mal trên kênh kết nổi SSL
-_ Thực hiện các nghiệp vụ eơ hàn của Internet Banking:
‘Van tin tải khoản cá nhân và giao dịch chuyển tiễn giữa các
+hách hàng thông qua hệ thông ngân hàng
Công nghệ sử dụng:
~ Ngôn ngữ lập trình C#
- Công nghệ ASP.Net
- Cơ sở đữ liệu: SQL2000
đụng hệ thống cấp phải chứng chỉ số thử nghiệm #SL
của Hãng V erisign
- Hệ Thống chứng thực người dùng thing qua thé token xác
thực One Time Password của hãng VASCO
2
3⁄14 Các thành phần của DKI
Theo dinh nghia day di, PKI gém ba phan chính:
- Phẳn!: Tập hợp các công cụ, phương tiện, các giao thức
ảo đảm an toàn thông tin
- Phân 2: Hành lang pháp lý: Laật giao dịch điện tử, các qui
định đưới luật
- Phân 3: Các tổ chức điều hành giao dịch dién th (CA,RA, ) 2.14 MộtxẺ chức nống của PKT
31-41 Quần l) kuáu
1⁄ Sinh khỏa
2/ Phân phối, thu hồi khỏa
3/ Cập nhật thông tin về cặp khỏa
4/ Cập nhật thông tin về cập khóa của CA
5/ Khải phục khỏa
11-43 Quân lý chứng chỉ
1⁄ Đăng ký và xác nhận ban đầu
2/ Cập nhật thông tin vẻ chứng chỉ số
3/ Phát hành chứng chỉ và danh sách chứng chỉ bị hủy bỏ
4/ Hủy bỏ chứng chỉ số
5/ Quần lý thời gian
6/ Giao tiếp gia các PKI
Trang 822 THÀNH PHẢN KỸ THUẬT BẢO ĐẢM AN TOÀN
THÔNG TIN
2.2.1 Xỹ thuật bảo mật thông tín
Phin niy giới thiệu hệ mã hỏa công khai RSA Đây là hệ mã
hóa thường được dùng trong các hệ ['KT phục vụ bảo mật thông
‘tin
Sư đã:
- Chọn ngẫu nhiên và độc lập hai số nguyên tố lớn p và q với
mà
~ Tính: =p"q
- Tính giả trị hàm số ®(n)={n-1)*{q-1)
- Chọn số ngẫu nhiên b, I<b< ®(r) và là số nguyên tổ cùng
nhan với ®ứn)
- Tính a là nghịch đào của b đổi với án): ab=l(mođ O(n)
~ Khi đỏ b là khóa mã hóa công khai và a là khỏa giải mã bí
mat
Lập mã
- Chọn P=C=Z„ với n=p*q, Z„={(0,.2 n-1}
- Giả sử x là bản rõ cần mã hỏa, khi đỏ bản mã y được tạo ra
theo công thức: y=xÌ(mod n)
Giải mã:
- Dùng khóa bí mật a để giải mã y theo công thức sau
x=ymod n)
232 Xỹ thuật xác thực:
Sử dụng sơ đỗ chữ: ký R5A
Thuật taán sinh khúa cia so dé chit ky RS
Thực thể A tao kháa công khai và kháa riêng trong ứng theo
phương thức sau:
-_ Sinhra hai só nguyên tổ lớn ngẫu nhiên p và q
1?
- Dam bao chứng thực được với các nhà cung cấp CA khác
nhau,
- Cung cấp giải pháp sao lưu đữ liệu cho hệ thông mél cach
lỉnh động, theo các cơ chế khảo nhan
- Có chế độ Haolep dứt liệu hệ thẳng PKI và các le dữ liện
liên quan của hệ thắng
27 Tính nảng registratian authority (RA}
- Thêm bớt người sử dụng CA trong hệ thống
- Quân lý người sử dụng và các chứng chỉ của họ
~ Quân trị chính sách bảo mật một cách tập trung
~ Cang cấp giao điện quản trị da dang
3/ Tính năng HSM(Hardware Sercurity Module)
- Luu trữ khóa một cách bảo mật
- Quân lý khóa bằng phần cứng
- Hiệu suấi thực hiện các thao tác mã hóa cao,
4/ Tính năng vẻ phần mềm quần lý chứng chỉ của người dùng cuỗi cùng
- Kiểm tra được chữ kỷ của CA trên chứng chỉ
- Phần mềm phia người đùng cuối có khả năng sinh cặp khỏa công khai bì mậttại chỗ
- Phần mềm phia người đủng cuối phải có khả năng giám sả
và theo đôi được các cặp khóa của người đừng để đâm bảo
chúng phải được cập nhập trước khi hết han
~ Phan mềm phia người dủng cuối phải có khả năng cập nhập
Xhóa một cách tư đông và trong snốt với nguời sử dụng, việc thay đổi khóa tuần theo chính sách được quản lý đồng bộ, tập
trưng tại CẢ 8€LvVET
Trang 916
3.2.2.2, Kids mic va cic thank phdr thiét bj
- Các máy chủ Web đặt tại vùng mang hén ngoai (DMZ)
phục vụ truy nhập cho khách hàng và nhân viên ngân hàng qua
Inlemet
- Các máy chủ ứng dụng: Phục vụ kết nạp hoặc yêu cầu
chứng chỉ và các yêu cần tìm kiếm trong cơ sở áíy liện
- Máy chủ thục hiện chữ kỷ giữ khỏa khóa gốc CA (được lưu
trữ trang thiết bị lưu trữ và bảo mật khóa chuyên đụng TISM)
và được dùng để thực hiện chữ ký số lên các chứng chỉ, hoặc
phản hồi cho các yêu cầu về trạng thái của chứng chỉ số thông
qua giao thức (OCS) hoặc đanh sách thu hồi chứng chi (CRL),
- May chủ giám sát trung tâm: Máy chủ này chạy các kịch
bân (scipÐ và các quy trình để giám sát các thành phẩn chức
Ming của Trung tâm cung cấp dịch vụ CA của ngân hàng,
- Máy chủ cơ sở dữ liệu: lưn trữ cơ sở đữ liệu thông lửn người
ding
- Máy chủ sinh khóa Việc sinh các khóa CA được thực hiện
tai một thiết bị riêng độc lập và không có kết néi vào mạng
- Máy chủ phục hồi khóa : Máy chủ hồi phục hóa làm việc tại
phân vùng hậu phương cho phép quân lý và hỗi phục khóa
3.2.2.3 Tỉnh năng sản phẩm đề xuất:
1/ Tính năng phần mễm CA
- Quản lý chững chỉ số tr động.trong suốt với người sử dụng
~ Tanu trữ an toàn các khóa bí mật cña một hệ thắng CA
- CẤp phát các chứng chỉ số cho người sử đụng cũng như
thiết bị hay ứng đựng có yêu cầu sữ dụng (chuẩn X.409)
- Thát hành danh sách thu hỗi chứng chỉ
- Duy trị một eo sở dữ liên an toàn và có thể kiểm soát được
về lịch sứ của các khỏa bị mật được cấp phát Mục đích là để
phục hỗi khóa trong trường hợp khóa của người sử đụng bí mất
- Hỗ trợ nhiều kiến thức CA chuẩn
- Tỉnh: m=p*q và ĐŒ}=(-1)*44-1)
- Krúup,a,ab)
~ Chọn b€Zn nguyên tổ cùng bin)
- Chọn a€Zn là nghịch đào của b theo thói)
~ Các giá im n và b là công khai, các giá trị p.q,a bí mật
Thuật toan ký và kiểm tra chữ kỷ
- Ky
Với mỗi K7(n,p,q,a,b) và x€Z„ la định nghữa:
| yesignQ=e mod n, ycZy -_ Kiểm tra chữ ký,
Ver(X,y) truec>xey? mod n
2.3 HE THONG CUNG CAP VA QUAN LY CHUNG
232) Chirng chisé
23 Khải niệm chứng chỉ số
Chứng chỉ số là một dang két hop gitta 3 thamh phan:
- ác thông tin mô tà về bán thân đổi tượng: số định danh (đuy nhất đối với một nhà cấp pháp chững chỉ số), tên, địa chỉ email loạt chưng chỉ, hạn sử dựng, phạm vi áp dựng
- Khóa công khai hương ứng (với I khóa bí mật được gi
riêng)
- Chữ kỷ điền tử của cơ quan cấp phát chứng chỉ sổ cho các
thông tín trên
2322 AMục đích tả ý nghĩa của chứng chỉ số
- MA hod théng tin: Dam bao tinh bi mat eta théng tin
- Chẳng giả mạo: Việc trao dé thang tin od kém chứng chỉ
xổ luôn đâm bảo an toàn, không bị giả mạo
“Xúc thực: Dâm bảo xác định rỡ được danh tính của người
Trang 10
10
- Chứng từ chải: Khi sử dụng một chứng chỉ số, ta phải chịu
trách nhiệm hoàn toàn về những thông tin mà chủng chỉ số đi
ken
2.3.2.3 Chứng chỉ khoá công khai X.509
Chúng chỉ X.509 v3 gồm 2 phần Phần đầu là những trường
sơ bản cần thiết phải có trong chứng chỉ Phân thử hai chúa
thêm một số trường plu, những trường phụ này được gọi là
trường mở rộng dùng để xác dinh và dap ứng những yên cầu bố
sung của hệ thắng
Có sảu trường bắt buộc và bốn trường tuỳ chọn Sáu trường
bắt buậc là: Số phát hành (Serial nnmher); Kỳ thuật ma hoa ky
số (Certificate Sigmahue Algorithm ldentifer); Tên của CÁ
phái hành chứng chỉ (Certifñcate Issucr Name), Thời hạn hiệu
lực của chứng chỉ (Certiieale Validity Period), Khoá công khai
(Public Key), Tén cita chi thé (Subject Name) Bin toring my
chọn là: Số phiên bán (Version Numbcr); Hai trường nhận dạng
đny nhất (Two Umaque Indentifers); CáÁc phần mở rệng
(Extensiens) Các trường tnỷ chọn chỉ có ở chứng chỉ phiên bản
2,3 (Version 2; 3)
23.24 Danh nách chứng chỉ tha hai
- Các chứng chỉ có chứa ngày hết hạn hiện lục (rong
trường thời gian hiện lựe), tuy nhiên đôi khi cần thu hỏi (ngất
hiệu lực) của một chứng chỉ trước thời gian vì một vải lý do
nàn đồ Người phát hành chứng chỉ (CA) cần một phương liên
để cập nhật thông tin trạng thải chứng chí của mọi chứng chỉ
cho người đùng Một phương tiên hữu hiệu là danh sách chứng
chi thu hài chuẩn X.509 (CRI23
~._ Danh sách chứng chỉ Ứu hôi X.509 được bảo vệ bởi chữ
ky 86 của CA phát hành Những người dùng sẽ chắc chắn rằng,
nội dung của CRL không bị thay đối bằng cách xác thực chữ ký
trên CRL, đó,
15
Internet Banking voi số lượng giao dịch thực hiện đồng thời lớn thể lên tới con sổ hàng chục nghìn hoặc hảng tram nghin(
tủy theo qui mé cha rừng ngân hàng)
- An tor cao: hệ thống phải được thiết kế có khả năng bảo
vệ chồng lại các tân công phá hoại gây hư hai dữ liệu cúng như gay dinh trệ hoạt động,
3.2.1.2 Dé xudt mé hinh chite ning
Tác giả đề xuất sử dụng kết họp hệ thủng PKI và giải pháp xác thục hai thành tổ để tao ra ha tằng hố trợ mức độ an ninh cao những vẫn rất hện dụng để trển khai các địch vụ ngân hàng, với các khách hàng qua môi trường Internet (Inicrnct Bankảng)
Với phương thức này, hoạt động của hệ thống có đặc điểm:
- Khách hàng được cấp Hybrid USB Token hd try déng thời
ca SccurID và PKCS#11
- Khách hàng truy cấp dịch vụ thông qua hệ thống Web an
†oàn có mã héa lưn thâng nhờ SST
Mọi giaa dịch của người đùng đã thực hiện (dì thành công
hay không) đền được ghỉ nhật kỷ bằng hệ thắng I.ogging Dai vai cae giao địch nội hộ cũng trang tự nhì: khách hàng Inlemet Banking Tuy nhiên với đặc trưng giao dịch nội bộ
trong pham vi mang LAN/WAN „ các kênh kết nổi thuê riêng,
do vậy nhu cầu giao địch nội bỏ không cần xác thức với máy chủ web qua 88L, chỉ cân thực hiện mã hỏa các giao dịch với chứng chỉ số của từng nhân viên, giúp tránh việc giả mạo nhân viên và đâm bảo tính pháp lý của các giao địch nội bộ
3.3.2 Đã xuất về (tỗ chức cưng cẤp quản §' chứng chỉ số
33.21 Tế xuất mê hình CA:
Mê hình Root CA, có một CÁ gốc lự cấp chứng thư cho mình
và cấp chứng thư cho các CA khác theo hình thức lan tỏa CA
gậc được coi là điểm tin cậy của hệ thông, thường ứng đụng trong muột Tình vực hay quốc gia