Mô hình X-Road trong chính phủ điện tử tại Estonia
X-ROAD LÀ GÌ
X-Road lần đầu tiên được công bố vào năm 2001 bởi cơ quan Hệ thống thông tin của Estonia (Republic Of Estonia Information System Authority - RIA), đến năm 2015, Phần Lan chính thức đưa X-Road vào sử dụng, mã nguồn X-Road được công bố năm 2016. Năm 2017, Phần Lan và Estonia đã thành lập Viện Giải pháp Tương tác Bắc Âu (Nordic Institute for Interoperability Solutions - NIIS) để tiếp tục phát triển lõi X-Road.
Mục tiêu của nền tảng trao đổi dữ liệu X-Road là nhằm đáp ứng đầy đủ 3 yêu cầu khi truyền dữ liệu trên mạng giữa các cơ quan trong chính phủ:
Đầu tiên, dữ liệu phải cần dễ truy cập bởi những người có thẩm quyền đã được xác thực để sử dụng.
Thứ hai, tính toàn vẹn dữ liệu phải được duy trì, không bên thứ ba nào được thay đổi dữ liệu khi truyền.
Thứ ba, dữ liệu phải được giữ bí mật trong khi truyền, phải được bảo vệ khỏi các người dùng chưa được xác thực.
Đóng vai trò là trục xương sống của hệ thống Chính phủ điện tử Estonia, X-Road thực hiện việc trao đổi trực tiếp dữ liệu giữa các tổ chức mà không cần tới trung gian. Tất cả dữ liệu gửi đi đều được ký số và mã hóa, còn dữ liệu đến được xác thực và lưu lại nhật ký.
Mô hình X-Road (Hình 1) là lớp tích hợp phân tán được quản lý tập trung giữa các hệ thống thông tin. Cụ thể hơn, X-Road bao gồm tập các công nghệ, dịch vụ hình thành nên một hệ thống quản lý tập trung cho phép tích hợp các hệ thống thông tin độc lập, giúp các hệ thống thông tin này trao đổi dữ liệu một cách an toàn.
Hình 1. Mô hình triển khai X-Road
MÔ HÌNH KIẾN TRÚC CỦA X-ROAD
X-Road được xây dựng theo mô hình kiến trúc hướng dịch vụ nhằm đem lại những chức năng nghiệp vụ, hoặc những quy trình ứng dụng một cách thuận tiện nhất tới người sử dụng dưới dạng các dịch vụ hoạt động trên môi trường mạng có khả năng chia sẻ và sử dụng lạị. Dịch vụ chủ yếu được sử dụng trong hệ thống X-Road là dịch vụ web, sử dụng HTTP để truyền dữ liệu và XML để chuẩn hóa dữ liệu, cho phép trao đổi dữ liệu giữa các bên Hệ thống thông tin thông qua môi trường mạng Internet. Hình 2 mô tả mô hình kiến trúc hướng dịch vụ.
Hình 2. Kiến trúc hướng dịch vụ của X-Road
Các bên tham gia vào mô hình kiến trúc hướng dịch vụ có thể là bên nhà cung cấp, hoặc là bên sử dụng dịch vụ. Khi muốn triển khai một dịch vụ, bên cung cấp sẽ công bố bản mô tả dịch vụ theo định dạng WSDL (Web Service Definition Language) và đưa lên thư mục dịch vụ. Khi có nhu cầu sử dụng dịch vụ, bên sử dụng dịch vụ sẽ kìm kiếm tải xuống các mô tả định dạng WSDL của dịch vụ phía nhà cung cấp.
Tuy nhiên khi áp dụng mô hình kiến trúc hướng dịch vụ vào một hệ thống lớn và phức tạp như X-Road, cần có thêm nhiều thành phần khác tham gia. Hình 3 là mô hình kiến trúc hệ thống X-Road.
Hình 3. Kiến trúc X-Road
Trong đó, đưa ra cái nhìn tổng quan về kiến trúc X-Road. X-Road được cài đặt và quản lý bởi một cơ quan chủ quản vận hành thành phần máy chủ trung tâm (Central Server – CS). CS có nhiệm vụ quản lý thông tin các thành phần trong hệ thống X-Road. CS cung cấp dịch vụ quản lý được sử dụng bởi các máy chủ bảo mật để thực hiện các tác vụ như: đăng ký một hệ thống con được quản lý bởi một máy chủ bảo mật, hoặc thêm, xóa một chứng chỉ xác thực. Ngoài ra, CS còn có chức năng tạo cấu hình hệ thống, cấu hình này sẽ được các máy chủ bảo mật thường xuyên kiểm tra và cập nhật nếu có thay đổi. Một máy chủ cấu hình (Configuration Proxy – CP) sẽ đại diện cho máy chủ trung tâm phân phối lại cấu hình tải về từ máy chủ trung tâm đến các máy chủ bảo mật.
X-Road áp dụng cơ sở hạ tầng khóa công khai (Public Key Infrastructure -PKI) yêu cầu hai thành phần chính: Nhà cung cấp tem thời gian (Time-Stamping Authority – TSA) phát hành tem thời gian để xác nhận sự tồn tại của dữ liệu tại một thời điểm nhất định; và nhà cung cấp chứng chỉ (Certification Authority – CA) có nhiệm vụ cấp chứng chỉ cho máy chủ bảo mật (chứng chỉ xác thực) và cho các tổ chức thành viên X-Road (chứng chỉ ký). Tất cả các chứng chỉ được lưu trữ tại các máy chủ bảo mật. CA còn có chức năng phân phối thông tin hợp lệ của chứng chỉ thông qua giao thức OCSP. Các máy chủ bảo mật sẽ lưu trữ cục bộ các phản hồi OCSP để giảm tải lưu lượng mạng cho dịch vụ OCSP và để tăng tính sẵn sàng cho hệ thống. Danh sách các nhà cung cấp chứng thư số tin cậy và danh sách các tổ chức cấp tem thời gian đáng tin cậy được giữ bởi máy chủ trung tâm.
Hệ thống thông tin trong hệ thống X-Road được chia làm hai loại, một là hệ thống thông tin phía khách đóng vai trò là bên sử dụng dịch vụ; hai là hệ thống thông tin phía nhà cung cấp dịch vụ. Hệ thống thông tin phía khách có thể tải xuống danh sách thành viên X-Road và các dịch vụ được cung cấp trong toàn hệ thống bằng cách sử dụng giao thức siêu dữ liệu X-Road được cung cấp bởi máy chủ bảo mật gắn trực tiếp. Ngược lại, hệ thống thông tin phía nhà cung cấp có thể triển khai một dịch vụ đồng thời công bố bản mô tả dịch vụ theo định dạng WSDL lên hệ thống.
Việc trao đổi dữ liệu giữa các hệ thống thông tin được thực hiện bởi thành phần máy chủ bảo mật (Security Server – SS). SS chịu trách nhiệm về khía cạnh bảo mật của cơ sở hạ tầng X-Road: quản lý các khóa để ký và xác thực, gửi thông báo qua kênh bảo mật, tạo chữ ký số, tem thời gian và ghi nhật ký. Một máy chủ bảo mật có thể phục vụ một vài tổ chức khác nhau. Máy chủ bảo mật quản lý hai loại khóa. Các khóa xác thực được sử dụng để thiết lập các kênh liên lạc bảo mật bằng mật mã với các máy chủ bảo mật khác. Các khóa ký được được sử dụng để ký các tin nhắn trao đổi.
GIẢI PHÁP BẢO MẬT DỮ LIỆU ĐƯỜNG TRUYỀN X-ROAD
Một mô hình triển khai X-Road trên thực tế được minh họa trong Hình 4 dưới đây.
Hình 4. Mô hình triển khai X-Road
Trong mô hình triển khai X-Road thực tế này, phía trên là khu hạ tầng trung tâm, 2 bên trái phải là hai thành viên với SS và IS của nó. Với mỗi một IS sẽ có một máy chủ bảo mật phụ trách. Sau khi đã đăng ký với CS tại khu hạ tầng trung tâm, từ đây, khi có yêu cầu, các IS sẽ gửi thông báo tới SS, các SS sẽ tự tiến hành bắt tay lập kênh an toàn và gửi thông báo cho nhau. Việc phân tích kỹ giải pháp thực hiện bảo mật dữ liệu trên đường truyền sẽ được chúng tôi đề cập ở những bài sau, trong bài này, chúng tôi sẽ chỉ giới thiệu giải pháp bảo mật dữ liệu của X-Road khi hai hệ thống thông tin trao đổi thông báo.
Đầu tiên, dữ liệu phải cần dễ truy cập bởi những người có thẩm quyền đã được xác thực để sử dụng. Máy chủ trung tâm xử lý việc đăng ký thành viên và thành viên phải xác minh tính xác thực của các thành viên đó. Bên cung cấp khi công bố dịch vụ của mình lên hệ thống sẽ tạo chính sách kèm theo bao gồm những thành viên nào trong hệ thống X-Road được quyền sử dụng dịch vụ, và chỉ những thành viên đấy mới có thể truy vấn dữ liệu bên nhà cung cấp dịch vụ.
X-Road sử dụng giao thức truyền thông báo (Message Transport Protocol) được thực hiện giữa các máy chủ bảo mật với nhau khi hai hệ thống thông tin có nhu cầu trao đổi dữ liệu. Giao thức kết nối này sử dụng giao thức https để tiến hành xác thực hai chiều và bảo vệ tính bí mật của dữ liệu trên kênh truyền. Điều này nhằm đảm bảo tính bí mật của dữ liệu bởi các dữ liệu được mã hóa và được trao đổi trực tiếp giữa các thành viên hệ thống với nhau mà không thông qua bất kỳ bên thứ ba nào. Khi các bên trao đổi dữ liệu trực tiếp, tính khả dụng của việc trao đổi dữ liệu thực tế không phụ thuộc vào X-Road và các thành phần trung tâm của hệ thống mà chỉ phụ thuộc vào hai bên tham gia.
Tính toàn vẹn dữ liệu phải được duy trì, không bên thứ ba nào thay đổi được dữ liệu khi truyền. Tất cả các thông báo ở máy chủ bảo mật trước khi được gửi đi đến máy chủ bảo mật của Hệ thống thông tin khác để được ký và được đánh dấu một giá trị tem thời gian được cung cấp bởi TSA tin cậy, điều này đảm bảo quá trình tạo và chỉnh sửa thông báo đều được theo dõi, không ai (bao gồm cả chủ dữ liệu) có thể thay đổi dữ liệu mà không bị phát hiện.
Mỗi một thông báo đến một máy chủ bảo mật đều sẽ được lưu lại bởi mô-đun nhật ký tại máy chủ bảo mật đó để phục vụ mục đích kiểm thử sau nay.
KẾT LUẬN
Mô hình kiến trúc X-Road là một mô hình lớn gồm nhiều thành phần phức tạp nhưng lại linh hoạt và có tính mở rộng cao. Dữ liệu trong X-Road cũng được đảm bảo độ an toàn khi được trao đổi giữa các hệ thống thông tin. Với những ưu điểm nổi bật, X-Road chứng tỏ là một trong những nền tảng công nghệ tiên tiến xứng đáng để Việt Nam học tập trong quá trình triển khai Chính phủ điện tử.
Tài liệu tham khảo [1]. Margus Freudenthal, Vello Hanson, Imbi Nõgisto, Ilja Kromonov, Siim Annuk, Ilkka Seppälä, Kristo Heero, Toomas Mölder, Antti Luoma, Tatu Repo, 2018, “X-Road Architecture version 1.7”. [2]. Ilja Kromonov, Margus Freudenthal, Kristo Heero, Imbi Nõgisto, Ilkka Seppälä, Toomas Mölder, Antti Luoma, Tatu Repo, 2018, “X-Road: Security Server Architecture 1.6”. [3]. Siim Annuk, Imbi Nõgisto, Ilja Kromonov, Margus Freudenthal, Kristo Heero, Vitali Stupin, Toomas Mölder, Jarkko Hyöty, Olli Lindgren, Tatu Repo, 2018,“X-Road: Message Protocol v4.0 version 4.0.21”. [4]. Siim Annuk, Ilja Kromonov, Margus Freudenthal, Imbi Nõgisto, 2015, “X-Road: Message Transport Protocol version 2.2”. [5]. e-Governance Academy, 2017, “Secure data exchange platform - Principles and implementation - X-Road”. |
Trần Đức Long, Đặng Quốc Cường