Đang tải... (xem toàn văn)
NGHIÊN CỨU VỀ HẠ TẦNG KHÓA CÔNG KHAI PKI, ỨNG DỤNG VÀO BẢO MẬT THÔNG TIN TRONG PHẦN MỀM QUẢN LÝ BỆNH VIỆN Ngày nay với sự phát triển của công nghệ thông tin, việc giao tiếp qua mạng Internet ngày càng phát triển và trở thành một trong những phương tiện quan trọng nhất. Tính phổ biến rộng rãi của Internet một mặt đem lại nhiều ứng dụng tiện lợi, thú vị và hầu hết các thông tin nhạy cảm và quan trọng đều được lưu trữ và trao đổi trên môi trường Internet
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Lê Anh Tuấn NGHIÊN CỨU VỀ HẠ TẦNG KHĨA CƠNG KHAI PKI, ỨNG DỤNG VÀO BẢO MẬT THÔNG TIN TRONG PHẦN MỀM QUẢN LÝ BỆNH VIỆN Chuyên ngành: Hệ thống thông tin Mã số: 60.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS TS Đặng Văn Chuyết Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thông HÀ NỘI - 2013 MỞ ĐẦU Lý chọn đề tài Ngày với phát triển công nghệ thông tin, việc giao tiếp qua mạng Internet ngày phát triển trở thành phương tiện quan trọng Tính phổ biến rộng rãi Internet mặt đem lại nhiều ứng dụng tiện lợi, thú vị hầu hết thông tin nhạy cảm quan trọng lưu trữ trao đổi mơi trường Internet; mặt khác đặt vấn đề an tồn, tính tin cậy trao đổi Internet, với thủ đoạn tinh vi, nguy thông tin bị đánh cắp qua mạng thật vấn đề đáng quan tâm Cơ sở hạ tầng khóa cơng khai (PKI) ứng dụng để giải vấn đề an tồn thơng tin Dựa dịch vụ chứng thực số chữ ký số, PKI khung sách, dịch vụ phần mềm mã hóa, đáp ứng nhu cầu bảo mật người sử dụng Chứng thực số sử dụng dạng chứng minh thư cá nhân Chứng thực số CA tích hợp vào chip nhớ nằm thẻ cước, thẻ tín dụng để tăng cường khả bảo mật, chống giả mạo, cho phép chủ thẻ xác thực danh tính nhiều hệ thống khác nhau, chẳng hạn xe bus, thẻ rút tiền ATM, kiểm soát hải quan, vào chung cư v.v Vấn đề đảm bảo an ninh, an tồn thơng tin liệu nội dung nghiên cứu thiết thực, chủ đề cấp, ngành quan tâm lĩnh vực công nghệ thông tin Nhu cầu đảm bảo an ninh thơng tin liệu mạng máy tính cấp thiết hoạt động kinh tế xã hội, đặc biệt mạng máy tính chuyên dùng phục vụ cơng tác an ninh, quốc phịng, đối ngoại quan Đảng, Nhà nước,… Hiện hầu hết Bệnh viện sử dụng hệ thống phần mềm quản lý bệnh viện để lưu trữ thơng tin mạng, truy xuất vào thời điển nào, việc tìm kiếm thơng tin dễ dàng xác, giúp cho việc quản lý khám chữa bệnh bệnh viện trở nên dễ dàng Tuy nhiên, việc đưa thông tin lên mạng mang lại tiềm ẩn nhiều rủi ro, đặc biệt phải kể đến rủi ro bảo mật thông tin hệ thống thông tin bệnh nhân Đây thông tin nhạy cảm cần phải xác thực tính xác sai sót dẫn đến hậu nghiêm trọng Bên cạnh đó, việc khám chữa bệnh nảy sinh nhiều vấn đề, thơng tin y tế thông tin cần bảo mật cần có giám sát thay đổi thơng tin 2 Do hệ thống phần mềm Bệnh viện đưa vào sử dụng phục vụ cho số lượng bệnh nhân lớn, số lượng bác sỹ tham gia khâu khám chữa bệnh nhiều, hệ thống phải xây dựng sở tích hợp hoạt động với hệ thống phân phối kiểm sốt khóa cách xác Đó sở việc áp dụng PKI vào cung cấp chức an toàn bảo mật cho hệ thống phần mềm Bệnh viện, em chọn đề tài: “Nghiên cứu hạ tầng khóa cơng khai PKI, ứng dụng vào bảo mật thơng tin phần mềm quản lý Bệnh viện” làm đề tài luận văn tốt nghiệp Mục đích nghiên cứu Nghiên cứu hạ tầng khóa cơng khai PKI, ứng dụng hạ tầng khóa cơng khai vào hệ thống quản lý phần mềm Bệnh viện cụ thể là: Xác thực chữ ký người người cập nhật thông tin bệnh nhân mà khám, mã hóa thơng tin bệnh nhân Đối tượng phạm vi nghiên cứu - Xác thực mã hóa ứng dụng khóa cơng khai PKI đối tượng nghiên cứu đề tài nhằm xác thực người dùng ký lên thơng tin bệnh nhân mã hóa thơng tin bệnh nhân - Phạm vi nghiên cứu: đề tài nghiên cứu xác thực mã hóa ứng dụng khóa cơng khai trường hợp bệnh nhân đến khám người khám cần an toan thông tin minh khám cho bệnh nhân cần bảo mật thông tin bệnh nhân đến khám Phương pháp nghiên cứu - Tìm hiểu hạ tầng khóa cơng khai PKI , tìm hiểu ứng dụng PKI Từ lựa chọn giải pháp để ứng dụng hệ thống quản lý Bệnh viện - Thu thập tài liệu, báo tạp chí khoa học nước, nước ngoài, tài liệu mạng internet có liên quan đến nội dung nghiên cứu - Tham khảo, vận dụng kế thừa thuật toán, mã có 3 Các nội dung trình bày: CHƯƠNG 1: HẠ TẦNG MÃ KHĨA CƠNG KHAI Ở chương luận văn sẻ tìm hiểu khái niệm hạ tầng mã khóa cơng khai, chứng số CHƯƠNG 2: BẢO MẬT HỒ SƠ BỆNH NHÂN Ở chương nêu lên tốn cần bảo mật mã hóa thơng tin bệnh nhân CHƯƠNG 3: TÌM HIỂU PKI – EJBCA Ở chương tìm hiểu EJBCA cách cài đặt CHƯƠNG 4: TRIỂN KHAI ỨNG DỤNG PKI - BẢO MẬT THÔNG TIN TRONG PHẦN MỀM QUẢN LÝ BỆNH VIỆN Trong chương sẻ giới thiệu demo ứng dụng PKI vào việc bảo mật thông tin hồ sơ bệnh nhân đến khám 4 CHƯƠNG 1: HẠ TẦNG MÃ KHĨA CƠNG KHAI 1.1 PKI gì? Một PKI (Public Key Infrastructure) cho phép người sử dụng mạng công cộng không bảo mật, chẳng hạn Internet, trao đổi liệu tiền cách an tồn thơng qua việc sử dụng cặp mã khóa cơng khai khóa cá nhân cấp phát sử dụng thông qua nhà cung cấp chứng thực tín nhiệm Nền tảng khóa cơng khai cung cấp chứng số, dùng để xác minh cá nhân tổ chức, dịch vụ danh mục lưu trữ cần thu hồi chứng số Mặc dù thành phần PKI phổ biến, số nhà cung cấp muốn đưa chuẩn PKI riêng khác biệt Một tiêu chuẩn chung PKI Internet trình xây dựng 1.2 Chức PKI PKI cho phép người tham gia xác thực lẫn Mục tiêu PKI cung cấp khóa cơng khai xác định mối liên hệ khóa định dạng người dùng Nhờ người dùng sử dụng số ứng dụng như: - Mã hóa, giải mã văn - Xác thực người dùng ứng dụng - Mã hóa Email xác thực người gửi Email - Tạo chữ ký số văn điện tử 1.3 Mã hóa khóa cơng khai - Là chun ngành mật mã học cho phép người sử dụng trao đổi thông tin mật mà không cần phải trao đổi khóa chung bí mật trước Điều thực cách sử dụng cặp khóa có quan hệ tốn học với khóa cơng khai khóa cá nhân (hay khóa bí mật) - Trong mật mã học khóa cơng khai, khóa cá nhân phải giữ bí mật khóa cơng khai phổ biến cơng khai Trong khóa, dùng để mã hóa khóa cịn lại dùng để giải mã Điều quan trọng hệ thống tìm khóa bí mật biết khóa công khai 1.4 Các thành phần PKI - Certification Authorities (CA) Cấp thu hồi chứng thư - Registration Authorities (RA) Tiếp nhập thông tin đăng ký chứng chư Gắn kết khóa cơng khai định danh người giữ chứng thư - End entity Người sử dụng chứng thư Hệ thống chủ thể chứng thư webserver, mailserver v.v - Repository Hệ thống (có thể tập trung phân tán) lưu trữ chứng thư danh sách chứng thư bị thu hồi Cung cấp chế phân phối chứng thư danh sách thu hồi chứng thư (CRLs Certificate Revocatio Lists) Hình 1.1: Mơ hình PKI 1.5 Mơ hình hoạt động PKI 1.5.1 Đăng ký phát hành chứng thư số Hình 1.2: Quy trình đăng ký chứng thư số Các bước thực đăng ký chứng thư số: User gửi thông tin thân tới RA để đăng ký Thông tin họ tên, số chứng minh thư, email, địa thư v.v RA ký yêu cầu chấp thuận gửi thông tin User đến trung tâm CA CA tạo chứng thư khóa cơng khai, ký khóa bí mật CA cập nhật chứng thư sở liệu LDAP, MySQL v.v CA gửi chứng thư trở lại RA RA cấp chứng thư cho người sử dụng 1.5.2 Sử dụng chứng thư số Mục đích sử dụng chứng thư số để đảm bảo dịch vụ sau: - Xác thực: đảm bảo cho người dùng thực thể đối tượng mà họ cần khẳng định Có thể xác minh thực thể xác minh nguồn gốc liệu - Bí mật: đảm bảo bí mật liệu Khơng đọc liệu ngoại trừ thực thể phép Tính bí mật yêu cầu liệu lưu trữ thiết bị ổ đĩa, usb hay truyền mạng không bảo vệ mức độ an toàn thấp - Toàn vẹn liệu: đảm bảo liệu không bị thay đổi, có thay đổi bị phát Để đảm bảo tính tồn vẹn, hệ thống phải có khả phát thay đổi liệu trái phép với mục đích giúp cho người nhận liệu xác minh liệu có bị thay đổi hay không 1.6 Các chức PKI 1.6.1 Chứng thực Chứng thực chức quan trọng hệ thống PKI Đây q trình ràng buộc khóa cơng khai với định danh thực thể CA thực thể PKI thực chức chứng thực 1.6.2 Thẩm tra Quá trình xác dịnh liệu chứng đưa đuợc sử dụng mục đích thích hợp hay khơng xem q trình kiểm tra tính hiệu lực chứng 1.6.3 Một số chức khác Hệ thống PKI thực chức chứng thực, thẩm tra với số chức phụ trợ khác Dưới số chức dịch vụ hầu hết hệ thống PKI cung cấp Một số chức khác định nghĩa tuỳ theo yêu cầu cụ thể hệ thống PKI 7 - Đăng ký - Khởi tạo ban đầu - Khơi phục cặp khóa - Tạo khóa - Hạn sử dụng cập nhật khóa - Xâm hại khóa - Thu hồi - Công bố gửi thông báo thu hồi chứng - Xác thực chéo 1.7 Các mô hình PKI Một số mơ hình tin cậy áp dụng đề xuất sử dụng hạ tầng mã hóa cơng khai –PKI dựa x.509: - Single CA Model (mơ hình CA đơn) - Hierarchical Model (Mơ hình phân cấp) - Mesh Model (Mơ hình mắt lưới- xác thực chéo) - Web Model (Trust List) (Mơ hình web) - Hub and Spoke (Birdge CA) (Mơ hình cầu CA) 1.8 Chứng số 1.8.1 Giới thiệu chứng số Chứng số văn điện tử kết hợp chữ ký số để ràng buộc khóa cơng khai với đối tượng chủ khóa (cá nhân, công ty, máy chủ,…) Chứng số tồn dạng tập tin để dễ dàng truyền qua môi trường mạng Chứng số sử dụng giống Chứng minh nhân dân truyền mạng, cho phép người sử dụng chứng minh tham gia giao dịch điện tử Chứng số bên thứ ba đáng tin cậy CA phát hành sau kiểm tra tính xác thực thơng tin người chủ khóa CA áp dụng chữ ký số vào chứng thân phát hành bên tham gia giao dịch tin tưởng vào CA tin tưởng vào chứng số Trong chứng số có ba thành phần chính: Thơng tin cá nhân người cấp Khóa cơng khai (Public key) người cấp Chữ ký số CA cấp chứng 8 Thời gian hợp lệ 1.8.2 Lợi ích chứng số 1.8.2.1 Mã hóa Lợi ích chứng số tính bảo mật thơng tin Khi người gửi mã hóa thơng tin khóa cơng khai bạn, chắn có bạn giải mã dược thơng tin để đọc 1.8.2.2 Chống giả mạo Khi bạn gửi thơng tin, liệu Email, có sử dụng chứng số, người nhận kiểm tra thơng tin bạn có bị thay đổi hay không Bất kỳ sửa đổi hay thay nội dung thông điệp gốc bị phát 1.8.2.3 Xác thực Khi sử dụng chứng số, người nhận đối tác kinh doanh, tổ chức quan quyền xác định rõ danh tính bạn Có nghĩa dù khơng nhìn thấy bạn, qua hệ thống chứng số mà bạn người nhận sử dụng, người nhận biết chắn bạn khác 1.8.2.4 Chống chối bỏ nguồn gốc Khi sử dụng chứng số, bạn phải chịu trách nhiệm hồn tồn thơng tin mà chứng số kèm Trong trường hợp người gửi chối cãi, phủ nhận thông tin khơng phải gửi (chẳng hạn qua mạng) chứng số mà người nhận có chứng khẳng định người gửi tác giả thơng tin 1.8.2.5 Chữ ký điện tử Email đóng vai trị quan trọng trao đổi thơng tin hàng ngày ưu điểm nhanh, rẻ dễ sử dụng Những thơng điệp gửi nhanh chóng qua internet đến khách hàng đồng nghiệp, nhà cung cấp đối tác Tuy nhiên, email dễ bị đọc Hacker Những thơng điệp bị đọc hay bị giả mạo trước đến người nhận Bằng việc sử dụng chứng cá nhân, bạn ngăn ngừa nguy mà không làm giảm lợi thể Email Với chứng số cá nhân, bạn tạo thêm chữ ký điện tử vào email chứng xác nhận Chữ ký điện tử có tính xác thực thơng tin, tồn vẹn liệu chống chối bỏ nguồn gốc 1.8.2.6 Bảo mật Website Khi website bạn sử dụng cho mục đích thương mại điện tử hay cho mục đích quan trọng khác, thông tin trao đổi bạn khách hàng bị lộ Để tránh nguy này, bạn dùng chứng số SSL server để bảo mật cho Website 9 1.8.2.7 Đảm bảo phần mềm Chứng số nhà phát triển phần mềm cho phép bạn ký vào applet, script, Java software, ActiveX control, file định dạng EXE, CAB, DLL Như vậy, thông qua chứng số bạn đảm bảo tính hợp pháp nguồn gốc xuất xứ sản phẩm Hơn người dùng xác thực bạn nhà cung cấp, phát thay đổi chương trình(virus, crack, lậu ) 10 CHƯƠNG 2: BẢO MẬT HỒ SƠ BỆNH NHÂN 2.1 Yêu cầu an toàn bảo mật Dữ liệu y tế cá nhân thông tin nhạy cảm cần phải bảo mật, việc để lộ thông tin y tế gây nhiều hậu nghiêm trọng Vì vậy, hệ thống quản lý Bệnh viện với vai trị quản lý chia sẻ thông tin y tế phải đảm bảo số yêu vầu an toàn bảo mật định, cụ thể sau: o Tính bảo mật: Các thơng tin hệ thống phải giữ kín q trình truyền tải lưu trữ, có người có thẩm quyền có quyền truy cập thơng tin theo mức độ mà thẩm quyền cho phép o Tính tồn vẹn: Thơng tin lưu trữ hệ thống phải đảm bảo tính tồn vẹn, xác tạo o Tính xác thực: Đảm bảo hệ thống xác định rõ ràng người cung cấp thông tin chuyển giao hệ thống nhằm xác định vai trò trách nhiệm sở y tế sức khỏe bệnh nhân o Tính chống chối bỏ: Đảm bảo đối tượng tham gia hoạt động hệ thống có trách nhiệm nội dung mà tạo chối bỏ nội dung mà thân đồng ý 2.2 Ứng dụng bảo mật hồ sơ bệnh nhân Các hệ thống phần mềm quản lý Bệnh viện nói chung yêu cầu đáp ứng số yêu cầu an toàn cần định Bên cạnh giải pháp an toàn cung cấp bên thứ ba giải pháp an ninh vật lý, firewall, mã hóa kênh truyền, điều quan trọng hệ thống xây dựng phải tích hợp sẵn module bảo mật Các biện pháp phổ biến áp dụng kể đến như: o Username/Password: Với việc sử dụng Username/Password cố định việc triển khai đơn giản, nhanh chóng phương án có nhược điểm máy tính bị xâm nhập, nhiễm virus, nghe đường truyền o OTP: Là giải pháp tăng cường mức độ an ninh phương pháp sử dụng username/password cố định Tuy nhiên, giải pháp không đảm bảo đầy đủ yêu cầu an toàn bảo mật như: tính chống chối bỏ, tính tồn vẹn 11 o Chứng thư số: Giải pháp sử dụng chứng thư số xác thực hệ thống điển tử biện pháp đảm bảo yếu tố an toàn an ninh Với đặc điểm riêng biệt trình hoạt động yêu cầu tồn diện khía cạnh an tồn bảo mật phân tích trên, hệ thống phần mềm quản lý Bệnh viện cần thiết giải pháp tương đối tồn diện Vì em xin đề xuất áp dụng biện pháp tích hợp vào hệ thống phần mềm quản lý Bệnh viện giải pháp sử dụng chứng thư số cung cấp hạ tầng PKI – EJBCA q trình xác thực mã hóa thơng tin kết hợp với việc sử dụng Username/ password việc đăng nhập/ phân quyền nhằm đem lại hiệu 2.3 Giải pháp bảo mật hồ sơ Đối với hệ thống thơng thường, q trình đăng nhập hệ thống sử dụng Username password Đây phương thức xác thực cổ điển có độ an tồn khơng cao, sử dụng thêm chứng thư để đăng nhập vào hệ thống Phương pháp có độ an tồn cao, tránh nguy bảo mật, tài khoản Sau đăng nhập nhập liệu bệnh nhân, tùy theo mức độ cần bảo mật thông tin bệnh nhân mà người bác sỹ chọn yêu cầu phù hợp Ký số thông tin cơng khai cho người khác biết, người xem thơng tin khơng thể chỉnh sửa người ký sau xác thực lại chỉnh sửa Nếu sử dụng mã hóa bảo mật thơng tin bệnh nhân có tính bí mật cao, khơng cho người khác xem nội dung thông tin, thông tin người tạo có quyền xem nội dung 2.3.1 Quá trình ký số Sơ đồ thực quy trình: Hình 2.1: Quy trình ký số 12 - Quá trình đăng nhập hệ thống: Mỗi tài khoản hệ thống lưu giữ bao gồm thông tin Username, password, certificate o Sử dụng username password để đăng nhập với thông tin lưu trữ hệ thống cho đăng nhập o Sử dụng chứng thư số để đăng nhập hệ thống: Mỗi tài khoản người dùng gắn với certificate Khi người dùng sử dụng certificate để đăng nhập vào hệ thống, người dùng sử dụng khóa bí mật để tạo chữ ký số lên liệu tạo ngẫu nhiên, sau chương trình sử dụng certificate lưu trữ hệ thống để xác thực chữ ký số người dùng Nếu trình xác thực thành cơng cho đăng nhập Khi khám bệnh, bác sĩ điền thông tin bệnh nhân bao gồm mã bệnh nhân, họ tên, chuẩn đoán, xét nghiệm, đơn thuốc Sau nhập đầy đủ thông tin bệnh nhân kê đơn, bác sĩ tiến hành lưu vào hệ thống Để xác nhận y bạ bệnh nhân lập, bác sĩ sử dụng khóa bí mật để tạo chữ ký số ký lên file lưu liệu bệnh nhân (XML) Chữ ký số file liệu đảm bảo tính xác thực hệ thống - Quá trình xác thực để chỉnh sửa: File liệu có chữ ký số xác thực Khi tra cứu mã số bệnh nhân xem thông tin bệnh nhân, bệnh án, đơn thuốc Do có chữ ký số, để chỉnh sửa bác sĩ cần xác thực người kê đơn Chương trình sử dụng certificate tài khoản đăng nhập để xác thực chữ ký file liệu (xml) Nếu người đăng nhập hệ thống người tạo kê đơn (xác thực với chứng thư tạo chữ ký file) có quyền sửa liệu ngược lại hệ thống báo xác thực khơng thành cơng có quyền xem liệu khơng có quyền chỉnh sửa 2.3.2 Mã hóa thông tin bệnh nhân Một vài trương hợp đặc biệt bệnh nhân đến khám cần giữ bí mật thơng tin khám bệnh, thông tin tên tuổi, bênh lý, họ có nhu cầu chia sẻ với người khám cần giữ bí mật, kể với bác sĩ khác Vì cần mã hóa thơng tin khám bệnh nhân Sơ đồ thực quy trình: 13 Hình 2.2: Quy trình mã hóa thơng tin - Q trình mã hóa: Đăng nhập hệ thống: Sử dụng username password sử dụng certificate Cập nhật thông tin bệnh nhân đến khám, bác sĩ tiến hành mã hóa file theo yêu cầu bệnh nhân Chương trình sử dụng chuỗi số (mật mã hóa) để tiến hành mã hóa file Phương thức sử dụng mã hóa đối xứng để bảo vệ thơng tin bệnh nhân - Quá trình giải mã để xem chỉnh sửa thông tin: Đăng nhập hệ thống: Sử dụng username password sử dụng certificate Xác thực thơng tin mã hóa: o Khi đăng nhập hệ thống, bác sĩ điền mã số bênh nhân cần tra cứu thơng tin, thơng tin mã hóa khơng hiển thị nội dung Do để xem chỉnh sửa nội dung bác sĩ cần giải mã thơng tin Phương thức mã hóa đối xứng sử dụng để giải mã, khóa q trình giải mã mật sử dụng bác sĩ mã hóa thơng tin lúc tạo hồ sơ 14 CHƯƠNG 3: TÌM HIỂU PKI – EJBCA 3.1 PKI – EJBCA EJBCA sản phẩm mã nguồn mở hãng Primekey Đây CA xây dựng dựa cơng nghệ Java J2EE, nhờ hiệu suất hoạt động khả tùy biến CA tương đối cao so với hệ thống mã nguồn mở khác Bên cạnh đó, EJBCA cịn cung cấp tính thành phần (OCSP, RA Service, Publisher, ) giúp cấu thành hệ thống PKI tương đối đầy đủ hoàn thiện 3.2 Đặc điểm kỷ thuật Được xây dựng dựa Java, EJBCA thực tảng độc lập, chạy toàn phần cứng phổ biến hệ điều hành thơng dụng như: Windows, Linux Để hoạt động, EJBCA cần chạy tảng máy chủ ứng dụng (Application Server) hệ thống Cơ sở liệu định Về mặt này, EJBCA hỗ trợ hầu hết tảng App Server phổ biến như: JBOSS – Oracle Weblogic – IBM Web Sphere hệ sở liệu từ miễn phí đến trả phí: MySQL, Oracle, IBM DB2, MS SQL, Bên cạnh đó, EJBCA cịn có số điểm đặc trưng sau: o Cung cấp khả xây dựng CA theo nhiều mức, không giới hạn số lượng CA o Hỗ trợ thuật toán RSA với độ dài khóa lên tới 4096 bits o Hỗ trợ thuật tốn DSA với độ dài khóa lên tới 1024 bits o Hỗ trợ hàm băm MD5, SHA-1, SHA-256 o Chứng thư phát hành tuân thủ nghiêm ngặt chuẩn X509 3.3 Kiến trúc EJBCA Hình 3.1: Kiến trúc EJBCA 15 EJBCA xây dựng với kiến trúc phân tầng, cụ thể sau: Data Tier – Tầng liệu: Tầng liệu lưu trữ chứng nhận, CRL thực thể cuối Thành phần CA: Thành phần có chức tạo CA gốc, CA con, chứng nhận, CRL giao tiếp với kho chứa LDAP để lưu trữ thông tin chứng nhận Thành phần RA: Thành phần có chức tạo, xóa hủy bỏ người dùng Tầng Web Tier: Đây giao diện (điển hình giao diện người – máy đồ họa) để trình khách tương tác với hệ thống EJBCA, đồng thời quy định cấp độ phạm vi truy cập thông tin khác cho thực thể cuối Trình khách: Trình khách thực thể cuối hay người sử dụng trình khách thư điện tử, máy chủ web, trình duyệt web hay cổng VPN 3.4 Chức EJBCA tổ chức chứng nhận phổ biến sử dụng, CA ưa thích Các đặc trưng CA bao gồm lựa chọn thuật toán ta cần tùy chọn chọn thuật toán SHA1 hay SHA256 với RSA với kích thước khóa khác 1024, 2048 4096 EJBCA cung cấp số tính bật lựa chọn ngôn ngữ trình cấu hình hệ thống Ngồi ta chọn loại publisher muốn LDAP, thư mục động (AD – Active Directory) hay kết nối publisher tự làm 3.5 Đánh giá Ngồi EJBCA cịn có sản phẩm khác triển khai hệ thống PKI hoàn chỉnh OpenCA Windows 2003 Server CA Do Windows 2003 Server CA sản phẩm mã nguồn mở, tự phát triển kiểm sốt q trình phát triển độ an tồn nên khơng quan tâm tìm hiểu EJBCA OpenCA dự án PKI mã nguồn mở mạnh có nhiều phát triển thực hai phần mềm EJBCA CA hệ thống quản lý PKI hoàn chỉnh, giải pháp PKI mạnh, độc lập mơi trường, hiệu suất cao, mở rộng dựa thành phần Ngoài ra, EJBCA linh hoạt việc cung cấp cách thức hoạt động tùy chọn CA độc lập tích hợp hồn tồn ứng dụng thương mại Hơn nữa, việc cấu hình hệ thống EJBCA phức tạp OpenCA nhiều hệ thống EJBCA vào hoạt động lại mang đến nhiều tiện lợi đơn giản cho người sử dụng việc phát 16 sinh quản lý chứng nhận Ngoài ra, khác với OpenCA, việc cập nhật CRL EJBCA hoàn toàn tự động Ngoài ra, EJBCA phát triển cung cấp PrimeKey, công ty PKI mã nguồn mở đứng đầu giới nên với việc sử dụng EJBCA ta thừa hưởng từ lực phát triển cơng ty hồn tồn n tâm tính an tồn ln có mã nguồn 3.6 Cài đặt EJBCA Phần mềm yêu cầu - Apache-ant-1.8.2-bin.zip - Mysql server - Mysql-connector-java-5.0.8.tar.gz - Jboss-5.1.0.GA.zip - Jce_policy-6.zip - Jdk-6u26-linux-i586-rpm.bin - Ejbca_4_0_3.zip Hệ thống cài đặt hệ điều hành Centos 5.5 Down file save /usr/local/ejbca 3.6.1 Cài đặt EJBCA Hình 3.2: Giao diện quản trị hệ thống EJBCA 3.6.2 Tạo chứng thư từ hệ thống CA cung cấp EJBCA 3.6.2.1 Tạo CA “TOKEN-CA” 3.6.2.2 Tạo Certificate Profile "TokenLogon" 3.6.2.3 Tạo End Entity Profile “TokenUser” 3.6.2.4 Tạo chứng thư cho người sử dụng cuối 17 CHƯƠNG 4: TRIỂN KHAI ỨNG DỤNG PKI – BẢO MẬT THÔNG TIN TRONG PHẦN MỀM QUẢN LÝ BỆNH VIỆN 4.1 Chuẩn bị chứng thư Chương trình demo sử dụng chứng thư số hệ PKI cung cấp Chứng thư số cặp khóa lưu trữ USB Token dạng file mềm *.p12 Để tiện cho trình demo, chương trình sử dụng file mềm *.p12 tiến hành cài đặt file *.p12 vào máy tính để sử dụng chứng thư Cụ thể chương trình demo sử dụng file *.p12 tương ứng với chứng thư là: BS ANH TUAN BS TRONG DUNG 4.2 Sử dụng chữ ký số 4.2.1 Sử dụng chữ ký số đăng nhập Khi người sử dụng tạo tài khoản, tài khoản người dùng gồm thành phần: o User o Password o Certificate Mỗi username map với certificate Khi người dùng đăng nhập username chương trình kiểm tra user sở liệu, cho đăng nhập tương ứng với quyền user 4.2.2 Tạo chữ ký số với file liệu (XML) Đối với hệ thống lớn cần lưu trữ liệu sở liệu MSSQL, Mysql, Oracle v.v Ngoài việc lưu trữ liệu database, ta lưu liệu dạng file Các dạng liệu là: - Offile: Word, excel - PDF - XML Với hệ thống PM quản lý bệnh viện ngồi việc xem thơng tin, bác sĩ chỉnh sửa, mã hóa nội dung Để tiện cho việc thay đổi truyền thông tin demo sử dụng định dang file XML Đây định dạng liệu chuẩn, dễ sử dụng môi trường desktop mơi trường web - Q trình chữ ký số: 18 Khi người muốn gửi cho văn quan trọng, đòi hỏi văn phải ký xác nhận danh người gửi văn bản; người gửi văn sẻ làm thực quy trình ký chữ ký số Quy trình ký chữ ký số sử dụng khóa cơng khai mơ hình 29, bước thực sau: Hình 4.1: Quá trình ký số Bên gửi gồm bước: o Bước 1: Dùng giả thuật băm cho thông tin cần truyền Kết tin tóm lược (Massage Digest) Dùng giải thuật MD5(Massage Digest 5) ta mã có chiều dài 128 bit dùng giải thuật SHA(Secure Hash Algorithm) ta mã có chiều dài 160 bit o Bước 2: Sử dụng khóa bí mật (Private Key) người gửi để mã hóa Massage Digest thu bước Thông thường bước sử dụng giải thuật mã hóa RSA Kết chữ ký điện tử (Digital Signature) thông điệp ban đầu o Bước 3: Gộp chữ ký điện tử (Digital Signature) tin ban đầu Việc gọi “ký xác nhận” vào thông điệp Sau ký xác nhận vào thông điệp, thay đổi thông điệp sẻ bị phát gia đoạn kiểm tra Ngoài việc ký xác nhận đảm bảo người nhận tin tưởng thông điệp xuất phát từ người gửi 19 - Quá trình xác thực chữ ký số: Sau nhận văn có đính kèm chữ ký người gửi, người nhận văn phải giải mã trở lại văn kiểm tra xem văn bị thay đổi người thứ ba chưa, chữ ký đính kèm văn có người gửi hay khơng Quy trình giải mã kiểm tra thể hình 30, bước thực sau: Hình 4.2: Quy trình xác thực chữ ký số o Bước 1: Dùng giải thuật băm MD5 (hoặc SHA) để băm văn tách phần chữ ký số, kết thu tin tóm lược o Bước 2: Bản tin điện tử có đính kèm chữ ký người gửi, sau nhận tách riêng phần chữ ký phần văn ngun vẹn Sử dụng khóa cơng khai (Public Key) người gửi (khóa thơng báo đến người) để giãi mã chữ ký số thơng điệp, kết thu tin tóm lược o Bước 3: So sánh hai tin tóm lược thu bước bước Nếu giống nhau, ta kết luận thông điệp không bị thay đổi q trình truyền thơng điệp người gửi Nếu khác nhau, thi ngược lại 4.3 Q trình mã hóa liệu Thơng tin lưu file XML, cần mã hóa liệu để bảo mật thơng tin có người định xem Các bước tiến hành mã hóa liệu - Xác định liệu cần mã hóa 20 - Chọn file cần mã hóa liệu - Nhập mật để làm key mã hóa - Sử dụng thuật tốn mã hóa Rijndael để mã hóa giải mã liệu 4.4 Chương trình mơ bảo mật thông tin hồ sơ bệnh nhân + Giao diện chương trình đăng nhập thành cơng: Hình 4.3: Giao diện đăng nhập thành công + Giao diện ký lên thông tin bệnh nhân Hình 4.4: Giao diện ký lên thơng tin bệnh nhân lưu thông tin ký + Giao diện xác thực thơng tin bệnh nhân ký Hình 4.5: Xác thực thông tin bệnh nhân thành công 21 + Giao diện xác thực không thành công không cho phép chỉnh sửa thơng tin Hình 4.6: Khơng cho phép chỉnh sửa thông tin bệnh nhân + Giao diện mã hóa thơng tin bệnh nhân Hình 4.7: Nhập mật để mã hóa thơng tin bệnh nhân + Giao diện nhập mật để giải mã thông tin bệnh nhân để xem chỉnh sửa thơng tin bệnh nhân Hình 4.8: Nhập mật giải mã Kết luận: Kết mô thể việc bảo mật thông tin hồ sơ bệnh nhân hệ thống phần mềm quản lý bệnh viện có tích hợp hệ thống PKI 22 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Các kết đạt Đề tài “Nghiên cứu hạ tầng khóa cơng khai (PKI), ứng dụng vào bảo mật thông tin hệ thống phần mềm quản lý Bệnh viện” đề tài khó rộng Trong thời gian nghiên cứu, tìm hiểu, xây dựng ứng dụng đố án hoàn thành nhiệm vụ đặt ra, cụ thể là: - Nghiên cứu sở hạ tầng khóa cơng khai PKI: thành phần, chức năng, mơ hình quy trình hoạt động - Triển khai hệ thống PKI dựa mã nguồn mở EJBCA Sử dụng để cấp phát chứng thư số cho người dùng để sử dụng chữ ký điện tử - Xây dựng mơ hình quản lý bệnh nhân, phân tích áp dụng hệ thơng PKI vào phần mềm để nâng cao tính xác, an toàn tiện lợi cho việc quản lý bệnh nhân bệnh viện - Thực việc mô bảo mật thông tin hồ sơ bệnh nhân hệ thống phần mềm quản lý Bệnh viện có tích hợp hệ thống PKI Chương trình thử nghiệm tích hợp PKI hồn thiện có đầu tư nhiều thời gian cơng sức, đề tài hồn thiện áp dụng vào thực tế Hướng phát triển đề tài Tích hợp PKI vào tồn hệ thống quản lý bệnh nhân, hình thành mơ hình bệnh viện điện tử giúp cho việc khám chữa bệnh nhanh chóng, tiết kiệm tối đa chi phí Mở rộng, kết hợp với dịch vụ kèm với khám chữa bệnh hệ thống bảo hiểm tiến tới toán bảo hiểm trực tuyến ... ? ?Nghiên cứu hạ tầng khóa cơng khai PKI, ứng dụng vào bảo mật thông tin phần mềm quản lý Bệnh viện? ?? làm đề tài luận văn tốt nghiệp Mục đích nghiên cứu Nghiên cứu hạ tầng khóa cơng khai PKI, ứng. .. - BẢO MẬT THÔNG TIN TRONG PHẦN MỀM QUẢN LÝ BỆNH VIỆN Trong chương sẻ giới thiệu demo ứng dụng PKI vào việc bảo mật thông tin hồ sơ bệnh nhân đến khám 4 CHƯƠNG 1: HẠ TẦNG MÃ KHĨA CƠNG KHAI 1.1... bệnh viện có tích hợp hệ thống PKI 22 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Các kết đạt Đề tài ? ?Nghiên cứu hạ tầng khóa cơng khai (PKI), ứng dụng vào bảo mật thông tin hệ thống phần mềm quản lý Bệnh viện? ??