BAN CƠ YẾU CHÍNH PHỦ BÁO CÁO ĐỀ TÀI NHÁNH “ NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP BẢO MẬT THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ” SẢN PHẨM SỐ 1: HỆ THỐNG CẤP PHÁT VÀ QUẢN LÝ CHỨNG CHỈ SỐ Thuộc đề tài : “Nghiên cứu số vấn đề kỹ thuật, công nghệ chủ yếu thương mại điện tử triển khai thử nghiệm – Mã số KC.01.05” 6095-2 14/9/2006 Hà nội, tháng năm 2004 Trong phÇn giới thiệu sản phẩm hệ thống CA thử nghiệm Tổng cục thuế đề tài dạng mẫu thử sử dụng mục tiêu an toàn thơng mại điện tử ứng ứng dụng đợc phát triển sở lý thuyết đà đợc trình bầy phần lý thuyết chung Vì mẫu thử, nên áp dụng vào thực tế cần có thay đổi tham số để đảm bảo an toàn sử dụng Tuỳ theo nhu cầu cụ thể mà sử dụng tham số phù hợp ứng dụng Néi dung Mơc tiªu I Mô hình hoạt động II Chu trình cấp phát chứng A Tổ chức cấp phát chứng c¸c cơc th Khởi động chơng trình Đăng ký chứng 3 Ký nhận gửi yêu cầu Nhận yêu cầu chứng Xuất yêu cầu chứng Nhập yêu cầu chứng Xem, duyệt yêu cầu chứng chØ ……………………………………………………….10 T¹o chøng chØ …………………………………………………………………………….11 XuÊt chøng 12 10 Đa chứng vào LDAP .12 11 Đa chứng RAServer .13 12 Chuyển chứng vào vùng Client .14 13 Nhận chứng Vò …………………………………………………………………… 15 14 XuÊt chøng chØ cho ng−êi dïng …………………………………………………………16 15 Sưa ®ỉi chøng chØ ……………………………………………………………………… 18 16 Quy trình cấp lại chứng 20 17 Quy trình huỷ bá chøng chØ …………………………………………………………… 22 B Tỉ chøc cÊp ph¸t chứng Tổng cục thuế 24 C Cài đặt chøng chØ cho mét trang Web …………………………………………………….33 HÖ thèng CA thử nghiệm tổng cục thuế Mục tiêu: Cung cÊp cho tỉng cơc th mét hƯ thèng qu¶n lý cấp phát chứng điện tử theo chuẩn X509 v3 phơc vơ cho viƯc thư nghiƯm kª khai th doanh nghiệp qua mạng mô hình quản lý cấp phát chứng I Mô hình hoạt động Hệ thống CA hoạt động theo mô hình sau: CA Server Switch Router Modem RAServer LDAPServer Doanh nghiÖp PSTN Modem Đăng ký từ xa Doanh nghiệp Trong đó: CAServer thành phần quan trọng hệ thống Nó đợc cài đặt phần mềm CA lu giữ khoá riêng CA Chính vậy, cần phải đảm bảo an toàn tuyệt đối cho CAServer RAServer cài đặt chơng trình quản lý đăng ký chứng RAServer thực kiểm tra yêu cầu đăng ký chứng chỉ, chấp nhận huỷ bỏ yêu cầu đăng ký chứng trớc chúng đợc CA ký, đồng thời gửi chứng đà đợc CA phát hành xuống điểm đăng ký từ xa để chuyển cho doanh nghiƯp, hc cịng cã thĨ chun trùc tiÕp cho doanh nghiệp LDAP Server máy chủ chứa tất chứng đà đợc phát hành, cho phép doanh nghiệp sử dụng dịch vụ th mục để tra cứu thông tin chứng Điểm đăng ký từ xa có nhiệm vụ kiểm tra thông tin đăng ký (chẳng hạn nh xin cấp mới, huỷ bỏ, cấp lại chứng chỉ) doanh nghiệp ký xác nhận trớc chuyển cho RAServer Tất trình truyền thông RAServer điểm đăng ký từ xa đợc thực thông qua phiên liên lạc an toàn * Để thiết lập mạng cấp phát chứng chỉ, điểm đặng ký từ xa đợc thiết lập trớc đợc cấp chứng trình thiết lập mạng cấp phát Khoá công khai CA khoá riêng điểm đăng ký từ xa đợc CA cấp theo kênh an toàn II chu trình cấp phát chứng Khi doanh nghiệp muốn đăng ký chứng chỉ, doanh nghiệp đến gặp ngời quản trị điểm đăng ký từ xa ngời quản trị RAServer, đa yêu cầu điền thông tin cần thiết chẳng hạn tên, số chứng minh th, địa th điện tử, kích thớc khoá yêu cầu, theo mẫu đăng ký Khi xác minh thông tin, thông tin không xác ngời quản trị yêu cầu doanh nghiệp điền lại, ngợc lại thông tin xác, yêu cầu đợc nhập vào sở liệu để quản lý, đồng thời chuyển cho RAServer Sau nhận kiểm tra yêu cầu, ngời quản trị RAServer chuyển yêu cầu cho CAServer theo kênh an toàn Tại CAServer, yêu cầu chứng đợc nhập vào Nếu thông tin đăng ký hợp lệ, CAServer sinh cặp khoá tạo chứng cho doanh nghiệp với khoá công khai vừa tạo Các chứng đợc CAServer chuyển cho RAServer theo kênh an toàn RAServer chuyển chứng cho doanh nghiệp, đồng thời chuyển chúng vào LDAP Server để doanh nghiệp khác tra cứu Chứng chỉ, khoá riêng doanh nghiệp khoá công khai CA đợc RAServer chuyển trực tiếp cho doanh nghiệp, chuyển cho điểm đăng ký từ xa (nơi doanh nghiệp đến đăng ký) thông qua phiên liên lạc an toàn, sau doanh nghiệp đến điểm đăng ký tõ xa ®Ĩ nhËn trùc tiÕp Doanh nghiƯp cã thể lu chứng máy tính lu khoá riêng thiết bị an toàn (chẳng hạn nh smart card, đĩa mềm ) A Tổ chức cấp phát chứng cục thuế qui trình cấp phát chứng Khởi động chơng trình Điểm đăng ký địa phơng chạy chơng trình đăng ký chứng (RAClient) cách vào Start-> Program -> KC01-05 RAClient -> Đăng ký chứng Mỗi lần chạy, chơng trình yêu cầu nhập mật đăng nhập Hình 1: Màn hình đăng nhập hệ thống user name mật mặc định "admin" Sau ngời quản trị hệ thống cấu hình lại để thay đổi Hình 2: Chơng trình quản lý đăng ký RAClient Đăng ký chứng Trình tự đăng ký cấp phát chứng cho ngời dùng đợc thực nh sau: Ngời dùng đến gặp ngời quản trị điểm đăng ký địa phơng xin đăng ký chứng điền thông tin cần thiết vào mẫu đăng ký Sau ngời dùng đăng ký chứng điền thông tin cần thiết, ngời quản trị điểm đăng ký địa phơng xác minh lại thông tin Nếu thông tin cha xác yêu cầu ngời dùng đăng ký lại, thông tin xác vào chơng trình quản lý đăng ký dành cho RAClient, chọn mục "Đăng ký chứng mới" điền thông tin ngời dùng vào Form đăng ký chọn "Tiếp tục" Hình 3: Màn hình nhập thông tin đăng ký chứng Ngời quản trị kiểm tra lại thông tin đà nhập, cha chọn "Huỷ bỏ" để Form nhập liệu ban đầu sửa đổi lại, chọn "Chấp nhận" để đa yêu cầu vào CSDL chờ ký nhận gửi Hình 4: Màn hình xác nhận lại thông tin đăng ký đà nhập Ký nhận gửi yêu cầu Để yêu cầu chuyển sang CA ký tạo chứng trớc yêu cầu phải đợc ký nhận RAClient Cục thuế gửi lên RAServer Tổng cục Ngời quản trị RAClient Cục thuế thực việc cách chọn mục "Các yêu cầu chờ ký" phần "Chứng mới" để xem danh sách yêu cầu cấp chứng chờ ký nhận, chọn yêu cầu ký nhËn ®Ĩ gưi ®i 10 ... cầu chứng chØ Nhập yêu cầu chøng chØ Xem, duyệt yêu cầu chứng .10 Tạo chứng .11 Xuất chứng 12 10 Đa chứng vào LDAP .12 11 Đa chứng RAServer .13 12 Chuyển chứng vào vùng... Hình 19 : Xem tải chứng từ LDAPServer 11 đa chứng vào RAserver RAServer quản lý tất chứng đà đợc cấp phát CA Khởi động chơng trình quản lý chứng RAServer cách vào Start-> Program -> KC0 1- 0 5 RAServer->... yêu cầu chứng Nhận yêu cầu chứng Trên RAServer, ngời quản trị chạy chơng trình quản lý đăng ký cách vào Start-> Program -> KC0 1- 0 5 RAServer-> Quản lý đăng ký chứng đăng nhập với user name mật mặc