LÊ QUANG TÙNG
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
********
CÔNG NGHỆ THÔNG TIN
LUẬN VĂN THẠC SĨ KHOA HỌC
NGÀNH: CÔNG NGHỆ THÔNG TIN
XÂY DỰNG GIẢI PHÁP ỨNG DỤNG XÁC THỰC
SINH TRẮC HỌC TRONG CƠ SỞ HẠ TẦNG KHOÁ
CÔNG KHAI DỰA TRÊN HỆ THỐNG OPENCA
LÊ QUANG TÙNG
2006-2008
HÀ NỘI 11/2008
HÀ NỘI
2008
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
********
LUẬN VĂN THẠC SĨ KHOA HỌC
XÂY DỰNG GIẢI PHÁP ỨNG DỤNG XÁC THỰC
SINH TRẮC HỌC TRONG CƠ SỞ HẠ TẦNG KHOÁ
CÔNG KHAI DỰA TRÊN HỆ THỐNG OPENCA
NGÀNH: CÔNG NGHỆ THÔNG TIN
LÊ QUANG TÙNG
Người hướng dẫn khoa học: PGS. TS NGUYỄN THỊ HOÀNG LAN
HÀ NỘI 11/2008
Thesis:
BUILDING A METHOD TO INTEGRATE A BIOMETRIC SECURITY SYSTEM
INTO A PKI SYSTEM BASED ON OPENCA
Supervisor: Associate Professor, Dr. Nguyen Thi Hoang Lan
Student: Le Quang Tung
ABSTRACT
This thesis focuses on a research to create a way to integrate a
Biometric security system into a PKI system based on Openca system.
Thesis is describes in 4 chapters:
Chapter 1 of this thesis describes a overview of PKI systems with all
components of PKI system, such as CA, RA, LDAP… at the end of chapter,
X.509 format of certificate is introduced, especially extensions field of
X.509 format version 3.
Chapter 2 descibes Viet Nam Government PKI system with some
policies and technical infrastructure. Besides, OpenCA is present as a core of
Government PKI.
Chapter 3 describes biometric systems. General biometric systems
are well known in public and systems based on the fingerprint recognition
belong, without question, to the most familiar ones. Fingerprints have been
used for identification and authentication for a long time because their
uniqueness and reliability have been proven in everyday life. Nowadays,
there are a great number of such biometric systems based on fingerprint
recognition on the market. One group of them is used for forensic purposes
(these are called dactyloscopic systems and are used in tasks of person
identification). Another group of biometric systems represents the topic of
interest of this chapter – access or verification systems.
Biometric security system is combined a biometric (fingerprint)
system with some cryptographic system, if there is enough information
entropy in the fingerprint. Some computations of the similarity among
fingerprints have already been published but they have considered the
matching of fingerprints. For cryptographic tasks, it is more important to
exploit the information strength hidden in fingerprint papillary line
structures. The answer to this question can be found in this chapter.
Chapter 4 is the final chapter of thesis, it is very important because it
introduces a method to integrate a biometric security system into a OpenCA
system after research the systems in previous chapters. Detail of this method
is that generating keys from minutiea of fingerprints and then using the keys
encrypt private key. Certificate is created with extensions field storing this
keys. Encrypted private key and certificate is written in a eToken.
MỤC LỤC
MỤC LỤC........................................................................................................ 1
DANH MỤC CÁC HÌNH VẼ .......................... Error! Bookmark not defined.
DANH MỤC CÁC TỪ VIẾT TẮT ................. Error! Bookmark not defined.
LỜI NÓI ĐẦU ................................................... Error! Bookmark not defined.
CHƯƠNG 1: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHOÁ CÔNG
KHAI .................................................................. Error! Bookmark not defined.
1.1 Khái quát về cơ sở hạ tầng khoá công khaiError! Bookmark not defined.
1.1.1 Cơ sở hạ tầng khóa công khai (Public Key Infrastructure – PKI)Error! Bookmark
1.1.2 Các thành phần chính của một hệ thống PKIError! Bookmark not defined.
1.1.3 Các loại kiến trúc của một trung tâm chứng thực CAError! Bookmark not define
1.2 Các hoạt động chính trong hệ thống PKIError! Bookmark not defined.
1.3 Chứng thư số ......................................... Error! Bookmark not defined.
1.3.1 Chứng thư khoá công khai ............. Error! Bookmark not defined.
1.3.2 Khuôn dạng chứng thư X.509........ Error! Bookmark not defined.
CHƯƠNG 2: TÌM HIỂU HỆ THỐNG PKI CỦA CHÍNH PHỦError! Bookmark not defin
2.1 Hiện trạng PKI tại một số nước ............ Error! Bookmark not defined.
2.2 Hiện trạng PKI tại Việt nam ................. Error! Bookmark not defined.
2.3 Hệ thống PKI Chính phủ ...................... Error! Bookmark not defined.
2.3.1 Khung pháp lý và chính sách ......... Error! Bookmark not defined.
2.3.2 Hạ tầng kỹ thuật ............................. Error! Bookmark not defined.
2.3.3 Các ứng dụng triển khai trên nền PKI Chính phủError! Bookmark not defined.
2.3.4 Hệ thống mã nguồn mở OpenCA trong hệ thống PKI chính phủError! Bookmark
2.3.4.1 Giới thiệu tổng quan ................... Error! Bookmark not defined.
CHƯƠNG 3: NGHIÊN CỨU HỆ THỐNG AN NINH SINH TRẮC
HỌC VÀ HƯỚNG TIẾP CẬN BIOPKI......... Error! Bookmark not defined.
3.1 Tổng quan về sinh trắc học (Biometric) Error! Bookmark not defined.
3.1.1 Khái niệm chung ............................ Error! Bookmark not defined.
3.1.2 Khái quát về một số loại sinh trắc thông dụng [11]Error! Bookmark not defined.
3.1.3 Ứng dụng của sinh trắc học ........... Error! Bookmark not defined.
3.1.4 Các lợi ích của sinh trắc................. Error! Bookmark not defined.
3.2 Sinh trắc vân tay và các đặc trưng ........ Error! Bookmark not defined.
3.2.1 Các đặc trưng chung ...................... Error! Bookmark not defined.
3.2.2 Các đặc trưng cục bộ ..................... Error! Bookmark not defined.
3.2.3 Đặc trưng hướng ............................ Error! Bookmark not defined.
3.3 Hệ thống sinh trắc (Biometric system) . Error! Bookmark not defined.
3.3.1 Các khái niệm và mô hình hoạt động của hệ thống sinh trắcError! Bookmark not
3.3.2 Hệ thống thẩm định xác thực và hệ thống nhận dạngError! Bookmark not define
3.3.3 Quá trình đối sánh sinh trắc trong hệ thống thẩm định xác thựcError! Bookmark n
3.4 Hệ thống an ninh sinh trắc (Biometric Security System)Error! Bookmark not defined
3.5 Nghiên cứu hướng tiếp cận BioPKI từ sinh trắc vân tayError! Bookmark not defined
3.5.1 Sinh khoá từ sinh trắc vân tay........ Error! Bookmark not defined.
3.5.2 Sinh chứng thư số kết hợp với sinh trắc học vân tayError! Bookmark not defined
3.5.3 Sử dụng chứng thư số mới trong các ứng dụngError! Bookmark not defined.
CHƯƠNG 4: XÂY DỰNG GIẢI PHÁP TÍCH HỢP SINH TRẮC VÂN
TAY VÀO HỆ THỐNG OPENCA ................. Error! Bookmark not defined.
4.1 Đặt vấn đề ............................................. Error! Bookmark not defined.
4.2 Xây dựng giải pháp tích hợp sinh trắc vào hệ thống OpenCAError! Bookmark not de
4.2.1 Hệ thống OpenCA ......................... Error! Bookmark not defined.
4.2.2 Xây dựng mô hình tích hợp hệ thống sinh trắc vào OpenCAError! Bookmark not
4.3 Triển khai thử nghiệm hệ thống PKI tại Ban Cơ yếu Chính phủError! Bookmark not
4.3.1 Hệ thống triển khai thử nghiệm ..... Error! Bookmark not defined.
4.3.2 Các giao dịch trong PKI thử nghiệm với OpenCAError! Bookmark not defined.
4.3.3 Một vài nhận xét về thử nghiệm .... Error! Bookmark not defined.
4.4 Khả năng triển khai giải pháp BioPKI trên hệ thống OpenCAError! Bookmark not de
KẾT LUẬN ........................................................ Error! Bookmark not defined.
TÀI LIỆU THAM KHÁO CHÍNH ................. Error! Bookmark not defined.
-1-
MỤC LỤC
MỤC LỤC ........................................................................................................ 1
DANH MỤC CÁC HÌNH VẼ......................................................................... 3
DANH MỤC CÁC TỪ VIẾT TẮT ................................................................ 5
LỜI NÓI ĐẦU ................................................................................................. 6
CHƯƠNG 1: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHOÁ CÔNG KHAI
........................................................................................................................... 8
1.1 Khái quát về cơ sở hạ tầng khoá công khai ............................................ 8
1.1.1 Cơ sở hạ tầng khóa công khai (Public Key Infrastructure – PKI) ... 8
1.1.2 Các thành phần chính của một hệ thống PKI................................... 9
1.1.3 Các loại kiến trúc của một trung tâm chứng thực CA ................... 11
1.2 Các hoạt động chính trong hệ thống PKI .............................................. 13
1.3 Chứng thư số ......................................................................................... 15
1.3.1 Chứng thư khoá công khai ............................................................. 15
1.3.2 Khuôn dạng chứng thư X.509 ........................................................ 18
CHƯƠNG 2: TÌM HIỂU HỆ THỐNG PKI CỦA CHÍNH PHỦ ............. 26
2.1 Hiện trạng PKI tại một số nước ............................................................ 26
2.2 Hiện trạng PKI tại Việt nam ................................................................. 27
2.3 Hệ thống PKI Chính phủ ....................................................................... 29
2.3.1 Khung pháp lý và chính sách ......................................................... 30
2.3.2 Hạ tầng kỹ thuật ............................................................................. 30
2.3.3 Các ứng dụng triển khai trên nền PKI Chính phủ.......................... 34
2.3.4 Hệ thống mã nguồn mở OpenCA trong hệ thống PKI chính phủ.. 35
2.3.4.1 Giới thiệu tổng quan.................................................................... 35
CHƯƠNG 3: NGHIÊN CỨU HỆ THỐNG AN NINH SINH TRẮC HỌC
VÀ HƯỚNG TIẾP CẬN BIOPKI ............................................................... 41
3.1 Tổng quan về sinh trắc học (Biometric) ............................................... 41
3.1.1 Khái niệm chung ............................................................................ 41
3.1.2 Khái quát về một số loại sinh trắc thông dụng [11] ....................... 42
3.1.3 Ứng dụng của sinh trắc học............................................................ 45
3.1.4 Các lợi ích của sinh trắc ................................................................. 47
3.2 Sinh trắc vân tay và các đặc trưng ........................................................ 52
3.2.1 Các đặc trưng chung....................................................................... 53
3.2.2 Các đặc trưng cục bộ ...................................................................... 56
3.2.3 Đặc trưng hướng ............................................................................ 58
-23.3 Hệ thống sinh trắc (Biometric system) ................................................. 58
3.3.1 Các khái niệm và mô hình hoạt động của hệ thống sinh trắc ........ 58
3.3.2 Hệ thống thẩm định xác thực và hệ thống nhận dạng .................... 62
3.3.3 Quá trình đối sánh sinh trắc trong hệ thống thẩm định xác thực ... 64
3.4 Hệ thống an ninh sinh trắc (Biometric Security System) ..................... 69
3.5 Nghiên cứu hướng tiếp cận BioPKI từ sinh trắc vân tay ...................... 71
3.5.1 Sinh khoá từ sinh trắc vân tay ........................................................ 72
3.5.2 Sinh chứng thư số kết hợp với sinh trắc học vân tay ..................... 73
3.5.3 Sử dụng chứng thư số mới trong các ứng dụng ............................. 77
CHƯƠNG 4: XÂY DỰNG GIẢI PHÁP TÍCH HỢP SINH TRẮC VÂN
TAY VÀO HỆ THỐNG OPENCA .............................................................. 80
4.1 Đặt vấn đề.............................................................................................. 80
4.2 Xây dựng giải pháp tích hợp sinh trắc vào hệ thống OpenCA ............. 83
4.2.1 Hệ thống OpenCA .......................................................................... 83
4.2.2 Xây dựng mô hình tích hợp hệ thống sinh trắc vào OpenCA........ 83
4.3 Triển khai thử nghiệm hệ thống PKI tại Ban Cơ yếu Chính phủ ......... 88
4.3.1 Hệ thống triển khai thử nghiệm ..................................................... 88
4.3.2 Các giao dịch trong PKI thử nghiệm với OpenCA ........................ 89
4.3.3 Một vài nhận xét về thử nghiệm .................................................... 98
4.4 Khả năng triển khai giải pháp BioPKI trên hệ thống OpenCA ............ 99
KẾT LUẬN .................................................................................................. 102
TÀI LIỆU THAM KHÁO CHÍNH............................................................ 104
-3DANH MỤC CÁC HÌNH VẼ
Hình 1.1: Mô hình kiến trúc hệ thống PKI ..................................................... 10
Hình 1.2 Mô hình hệ thống CA một cấp ......................................................... 11
Hình 1.3 Mô hình hệ thống CA phân cấp ....................................................... 12
Hình 1.4 Mô hình hệ thống CA ngang cấp ..................................................... 12
Hình 1.5: Quy trình đăng ký chứng thư .......................................................... 14
Hình 1.6: Quy trình huỷ bỏ chứng thư ............................................................ 14
Hình 1.7 : Chứng thư khoá công khai đơn giản [6] ........................................ 17
Hình 1.8: Khuôn dạng chứng thư số trong phiên bản 1 và 2 dạng X.509 [6]. 20
Hình 1.9: Khuôn dạng chứng thư số trong phiên bản 3 dạng X.509 [6] ........ 23
Hình 2.1: Hiện trạng PKI tại Việt Nam .......................................................... 28
Hình 2.2: Các thành phần trong hệ thống PKI chính phủ ............................... 29
Hình 2.3: Mô hình hệ thống Chứng thực điện tử Chính phủ .......................... 31
Hình 2.4: Mô hình hoạt động của CA chính phủ ............................................ 32
Hình 2.5: Hệ thống cây LDAP của CA chính phủ.......................................... 33
Hình 2.6: Hệ thống OCSP của CA chính phủ ................................................. 34
Hình 2.7: Các nút của OpenCA Chính phủ..................................................... 36
Hình 2.8: Các giao diện nút của OpenCA Chính phủ ..................................... 37
Hình 2.9: Vòng đời của các đối tượng [8] ...................................................... 38
Hình 3.1: Phân lớp sinh trắc [5] ...................................................................... 41
Hình 3.2: Các phương pháp xác thực .............................................................. 46
Hình 3.3: Các sinh trắc được sử dụng trong các ứng dụng ............................. 47
Hình 3.4 Vùng mẫu của dấu vân tay ............................................................... 54
Hình 3.5 Các đường mẫu (T) .......................................................................... 54
Hình 3.6 Các đường mẫu hình quai ................................................................ 55
Hình 3.7 Các đường hình cung ....................................................................... 55
Hình 3.8 Các đường dạng vòng xoắn.............................................................. 55
Hình 3.9 Các điểm trung tâm .......................................................................... 55
Hình 3.10 Các điểm trung tâm và delta .......................................................... 56
Hình 3.11 Số đường vân.................................................................................. 56
Hình 3.12 Các đặc trưng cục bộ ...................................................................... 57
Hình 3.13 Biểu diễn của mỗi điểm đặc trưng (điểm cụt và rẽ nhánh) ............ 58
Hình 3.14 Đặc trưng hướng của vân ............................................................... 58
Hình 3.15: Một hệ thống sinh trắc điển hình [4]............................................. 59
Hình 3.16: Thẩm định và nhận dạng [4] ......................................................... 61
Hình 3.17: Sơ đồ đăng ký, thẩm định xác thực, nhận dạng [4] ...................... 62
Hình 3.18: Đối sánh sinh trắc [4] .................................................................... 65
Hình 3.19: Các bước sinh khoá từ sinh trắc vân tay [4] ................................. 72
Hình 3.20: Các bước sinh chứng thư số [4] .................................................... 73
-4Hình 3.21: Quá trình mã hoá mầm khoá và xử lý băm ................................... 74
Hình 3.22: Quá trình mã hoá khoá bí mật ....................................................... 75
Hình 3.23: Khuôn dạng chứng thư số ............................................................. 75
Hình 3.24: Ghi dữ liệu lên eToken.................................................................. 76
Hình 3.25: Quá trình sử dụng chứng thư số [4] .............................................. 77
Hình 3.26: Quá trình giải mã lấy khoá bí mật................................................. 78
Hình 4.1 Mô hình cụ thể của hệ thống OpenCA............................................. 83
Hình 4.2: Mô hình hệ thống BioPKI ............................................................... 84
Hình 4.3: Mô hình can thiệp vào cơ sở dữ liệu các vùng ............................... 86
Hình 4.4: Sơ đồ bảo mật dấu vân tay .............................................................. 87
Hình 4.5: Sơ đồ giải mã đặc trưng vân tay ..................................................... 88
Hình 4.6 Mô hình thử nghiệm PKI ................................................................. 88
Hình 4.7: Giao diện khởi tạo CA .................................................................... 90
Hình 4.8: Giao diện khởi tạo cơ sở dữ liệu cho OpenCA ............................... 90
Hình 4.9: Giao diện sinh khóa bí mật cho CA ................................................ 91
Hình 4.10: Giao diện sinh chứng thư số cho CA ............................................ 91
Hình 4.11: Giao diện tạo chứng thư số cho RA .............................................. 92
Hình 4.12: Chứng thư số của RA .................................................................... 92
Hình 4.13: Giao diện tải chứng thư số cho RA ............................................... 93
Hình 4.14: Tạo một request ............................................................................. 94
Hình 4.15: Giao diện nhập thông tin cá nhân ................................................. 94
Hình 4.16: Request đã được tạo ...................................................................... 95
Hình 4.17: Giao diện nhập thông tin cá nhân ................................................. 95
Hình 4.18: Giao diện xử lý request ................................................................. 96
Hình 4.19: Giao diện quản lý retquest của CA ............................................... 96
Hình 4.20: Giao diện sinh chứng thư số ......................................................... 97
Hình 4.21: Chứng thư số đã được sinh ........................................................... 97
Hình 4.22: Giao diện tải chứng thư số ............................................................ 98
Hình 4.23: Giao diện ghi dữ liệu vào eToken ................................................. 98
Hình 4.24: Cơ sở dữ liệu của PUB.................................................................. 99
Hình 4.25: Cơ sở dữ liệu của CA .................................................................. 100
-5-
DANH MỤC CÁC TỪ VIẾT TẮT
CA
CAO
CP
CPS
CRL
CRR
DES
DSS
EER
FAR
FMR
FRR
LRA
LDAP
MD5
OCSP
PIN
PKI
RA
RFC
RSA
SHA
SSL
Certificate Authority
Certificate Authority Operator
Certificate Policy
Certificate Practise Statement
Certificate Revoke List
Certificate Revocation Request
Data Encryption Standard
Digital Signature Standard
Equal Error Rate
False Acceptance Rate
False Match Rate
False Rejection Rate
Local Registration Authority
Lightweight Directory Access Protocol
Message-Digest algorithm 5
Online Certificate Status Protocol
Personal Identificate Number
Public Key Infrastructure
Registration Authority
Request For Comments
Ron Rivest, Adi Shamir và Len Adleman
Secure Hash Algorithm
Secure Socket Layer
-6-
LỜI NÓI ĐẦU
Thế giới phẳng – đó là một lời giới thiệu chuẩn xác về thế giới công
nghệ thông tin hiện nay, ranh giới giữa các quốc gia, các vùng bị phá vỡ bởi
sự liên kết ngày càng mở rộng của các mạng máy tính. Giá trị thông tin giao
dịch trên mạng ngày càng tăng, ngay cả các chính phủ cũng điều hành qua
mạng – chính phủ điện tử, hoạt động thương mại trên mạng – thương mại
điện tử phát triển. Các hoạt động tội phạm trên mạng cũng ngày càng tăng gây
ra những tổn thất thông tin, tài chính, quân sự… nghiêm trọng. Do vậy nhu
cầu về bảo vệ thông tin cũng tăng theo. Rất nhiều các mô hình, phương pháp,
hệ thống bảo vệ thông tin ra đời đã đáp ứng tốt những nhu cầu về bảo vệ
thông tin.
PKI (cơ sở hạ tầng khóa công khai) là một trong những hệ thống điển
hình về bảo vệ thông tin một cách toàn diện nhất. Tuy nhiên PKI không phải
không có những nhược điểm cần phải khắc phục, ví dụ như các vấn đề về bảo
vệ khóa bí mật (private key), vấn đề về các mật khẩu, bảo vệ truy nhập hệ
thống…. Trên thế giới, các nhà xây dựng và phát triển PKI đã đưa ra rất nhiều
các giải pháp để xây dựng các hệ thống PKI an toàn hơn. Từ khi các hệ thống
sinh trắc ra đời và phát triển đã đem lại một hướng phát triển mới cho PKI.
Hệ thống sinh trắc có rất nhiều ưu điểm và đang trở nên phổ biến, tuy nhiên
việc kết hợp giữa hệ thống sinh trắc và hệ thống PKI vẫn còn là một lĩnh vực
nghiên cứu còn rất mới và gặp nhiều khó khăn.
Đối với nước ta, PKI vẫn còn rất mới mẻ, chúng ta mới chỉ ở những
bước đầu nghiên cứu và xây dựng các hệ thống PKI. Vấn đề kết hợp hệ thống
PKI và hệ thống sinh trắc học cũng chưa được quan tâm và nghiên cứu nhiều.
Chính vì vậy để góp phần việc phát triển hệ thống tích hợp, kết hợp giữa hai
hệ thống, tôi đã xây dựng luận văn tốt nghiệp cao học chuyên ngành Công
nghệ thông tin: “Xây dựng giải pháp ứng dụng xác thực sinh trắc học trong
cơ sở hạ tầng khoá công khai dựa trên hệ thống OpenCA”, mục tiêu của
luận văn tập trung nghiên cứu và tìm hiểu về hai hệ thống PKI và sinh trắc và
đưa ra một giải pháp tích hợp hệ thống cụ thể giữa OpenCA và sinh trắc học
vân tay. Về bố cục, luận văn được trình bày trong 4 chương chính, nội dung
cụ thể như sau:
Chương 1: Tổng quan về cơ sở hạ tầng khoá công khai
-7Trong chương này, toàn bộ nội dung là các nghiên cứu tìm hiểu về lý
thuyết hệ thống PKI chung với đầy đủ các thành phần của hệ thống như CA,
RA, LDAP, CRL, chứng thư số và các hoạt động của một hệ thống PKI
Chương 2: Tìm hiểu hệ thống PKI của Chính phủ
Chương này của luận văn giới thiệu khái quát về hiện trạng PKI trong
và ngoài nước và giới thiệu một hệ thống PKI cụ thể: PKI Chính phủ do Ban
Cơ yếu chính phủ chủ trì và xây dựng cùng với các chính sách đi kèm, phần
cuối chương giới thiệu về hệ thống phần mềm mã nguồn mở OpenCA được
sử dụng làm hạt nhân của PKI chính phủ.
Chương 3: Nghiên cứu hệ thống an ninh sinh trắc và hướng tiếp cận
BioPKI
Chương này giới thiệu tổng quan về các hệ thống sinh trắc và các sinh
trắc, lợi ích của các hệ thống sinh trắc, sinh trắc vân tay và các đặc trưng, hệ
thống an ninh sinh trắc và hướng tiếp cận để xây dựng hệ thống BioPKI.
Chương 4: Xây dựng giải pháp tích hợp sinh trắc vân tay vào hệ thống
OpenCA
Sau khi nghiên cứu các hệ thống PKI, hệ thống OpenCA, hệ thống sinh
trắc vân tay, hệ thống an ninh sinh trắc dựa trên vân tay, chương này đề xuất
một giải pháp cụ thể để tích hợp hệ thống sinh trắc vân tay vào hệ thống
OpenCA, xây dựng một mô hình thử nghiệm PKI với OpenCA
Sau một thời gian nghiên cứu và xây dựng, luận văn đã hoàn thành
đúng tiến độ và hoàn thành các mục tiêu đề ra, tuy nhiên do thời gian có hạn,
lĩnh vực nghiên cứu còn khá mới mẻ nên luận văn không tránh khỏi một số
thiếu sót, mong thày cô, bạn bè và các nhà nghiên cứu quan tâm và đóng góp
ý kiến để luận văn hoàn thiện hơn và đưa nghiên cứu lý thuyết trong luận văn
vào ứng dụng xây một hệ thống thực tế.
Tôi xin chân thành cám ơn PGS.TS Nguyễn Thị Hoàng Lan đã nhiệt
tình hướng dẫn, chỉ bảo tôi trong suốt quá trình làm luận văn.
Tôi cũng xin chân thành cám ơn các thày cô giáo Trường Đại học Bách
khoa Hà nội đã dạy dỗ, truyền đạt các kiến thức quý báu cho tôi trong quá
trình tôi học tại Trường, xin cám ơn gia đình tôi, các bạn bè, đồng nghiệp, các
nhà nghiên cứu khoa học đã quan tâm, giúp đỡ tôi trong quá trình làm luận
văn.
-8CHƯƠNG 1: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHOÁ CÔNG
KHAI
1.1 Khái quát về cơ sở hạ tầng khoá công khai
1.1.1 Cơ sở hạ tầng khóa công khai (Public Key Infrastructure – PKI)
Xuất phát từ nhu cầu ngày càng tăng cho các phiên giao dịch và trao
đổi thông tin điện tử cần bảo mật đã nảy sinh ra các vấn đề an toàn như sau:
Tính toàn vẹn (Integrity): đảm bảo rằng thông tin không bị sửa đổi
Tính xác thực (Authenticity): xác thực nguồn gốc thông tin
Tính bảo mật (Confidentiality): Đảm bảo rằng thông tin được giữ bí
mật
Tính không chối bỏ (Non-repudiation): đảm bảo rằng thông tin không
thể bị chối bỏ nguồn gốc.
Những mục tiêu an toàn này được đáp ứng bằng cách sử dụng
các hệ thống PKI (cơ sở hạ tầng khóa công khai). Ta có thể định nghĩa PKI
như sau:
Cơ sở hạ tầng khoá công khai (Public Key Infrastructure-PKI) là một
tập hợp các chính sách, các quy trình, thiết bị phần cứng, phần mềm sử dụng
để quản lý, cấp phát chứng thư số đảm bảo cho việc cung cấp các dịch vụ xác
thực và bảo mật [10].
Từ định nghĩa này ta có thể thấy rằng:
- PKI là một hạ tầng cơ sở cho phép các tổ chức triển khai và ứng dụng
bảo mật dựa trên hệ thống mã khoá công khai, nhằm đảm bảo an toàn thông
tin liên lạc và các giao dịch trên mạng/Internet.
- PKI bao gồm các thủ tục, các dịch vụ và các chuẩn hỗ trợ phát triển
các ứng dụng áp dụng các kỹ thuật mã khoá công khai.
- Thiết lập được các PKI tin tưởng cho người dùng là điều kiện tiên
quyết phát triển thương mại điện tử và Chính phủ điện tử.
Hệ thống PKI được xây dựng dựa trên hệ mật khóa công khai. Mỗi
người tham gia vào hệ mật khóa công khai có:
Khóa công khai (public key):sử dụng cho mục đích xác thực chữ ký,
mã hóa thông tin
Khóa bí mật (private key): sử dụng để ký các thông điệp hoặc để giải
mã các thông điệp đã được mã hóa bằng khóa công khai tương ứng.
-9Hệ mật khóa công khai ra đời đảm bảo rằng chỉ những thực thể sở hữu
khóa hợp lệ có thể thực hiện những thao tác nhất định (ví dụ: ký một thông
điệp, hoặc giải mã các thông điệp). Để đảm bảo điều này, một liên kết giữa
các thực thể đó và khóa của họ phải được thiết lập, từ đó:
- Một thông điệp có thể được mã hóa với khóa hợp lệ
- Xác thực người đã ký thông điệp
- Hệ thống mật mã khoá công khai là nền tảng cơ bản để xây dựng
Mục đích của cơ sở hạ tầng khóa công khai PKI là để cung cấp các
mối liên hệ giữa những người sử dụng và khóa công khai tương ứng của họ
theo một phương thức an toàn. Để tin tưởng vào khóa công khai của một
người sử dụng trong hệ PKI, người ta đưa ra khái niệm chứng thư số
(certificate). Chứng thư số được hiểu là một tài liệu điện tử gắn một khóa
công khai với một thực thể nào đó. Chứng thư số chứa những thông tin chẳng
hạn như danh tính và khóa công khai đi kèm, ngày hết hạn của chứng thư của
một người, một tổ chức, hoặc của một thiết bị phần cứng hoặc phần mềm…
Chứng thư số sẽ được nghiên cứu kỹ hơn trong phần sau.
1.1.2 Các thành phần chính của một hệ thống PKI
Certificate Authority (CA) là một tổ chức được tin tưởng trong việc
cấp phát chứng thư số và công nhận các nội dung thông tin lưu giữ trong
chứng thư số. CA là trái tim của hệ thống PKI, là tổ chức quản lý của PKI
Registration Authority (RA) là cơ quan chịu trách nhiệm xác nhận về
tính trung thực của yêu cầu sử dụng chứng thư số. RA không có trách nhiệm
sinh và ký chứng thư. RA sau khi nhận yêu cầu sẽ chuyển sang CA để thực
hiện.
Kết quả của CA sẽ được chuyển tới người yêu cầu thông qua RA
Local Registration Authority (LRA) là đại diện của RA tại địa
phương, thực hiện các chứng năng của RA tại khu vực quản lý của mình. Các
chức năng của một LRA đó là:
- Xác nhận các thông tin về người đăng ký
- Chấp thuận các yêu cầu đăng ký sử dụng
- Gửi yêu cầu cấp mới tới CA
- Gửi cầu gia hạn tới CA
- Gửi cầu hủy bỏ chứng thư tới CA
-10- Hỗ trợ tại chỗ cho người sử dụng
Dịch vụ thư mục để tra cứu chứng thư là một dạng cấu trúc cây thư
mục dùng để lưu trữ các chứng thư số của toàn bộ người dùng trong hệ thống
phục vụ tra cứu, tìm kiếm chứng thư.
Danh sách hủy bỏ (Certificate Revocation List – CRL) danh sách
hủy bỏ CRL phục vụ việc kiểm tra tình trạng các chứng thư số bị hủy bỏ.
Sau đây là một mô hình kiến trúc hệ thống PKI:
Trung tâm chứng
thực điện tử
LDAP (máy chủ thư mục)
Trung tâm CA
Cơ quan đăng ký
địa phương
User
User
User
User
User
User
Hình 1.1: Mô hình kiến trúc hệ thống PKI
Trung tâm chứng thực CA đứng ra chịu trách nhiệm và đảm bảo sự tin
cậy vào khóa công khai cũng như danh tính của chủ sở hữu khóa. Chứng thư
số được ký bởi một trung tâm chứng thực CA bằng khóa bí mật của CA.
Chứng thư số do CA phát hành là để xác thực danh tính của những người sử
dụng và khóa công khai đi kèm, CA có trách nhiệm phát hành quản lý, cung
cấp các dịch vụ cần thiết trên những chứng thư này.
Các chức năng mở rộng của hệ thống PKI:
- Hệ thống kiểm tra tình trạng chứng thư online (OCSP – Online
Certificate Status Protocol).
- Hệ thống chứng thực nhãn thời gian (Time Stamp Authority).
-111.1.3 Các loại kiến trúc của một trung tâm chứng thực CA
Lợi ích của việc có một CA là: bất kỳ người sử dụng nào biết được
khóa công khai của CA có thể lấy được khóa công khai của những người sử
dụng khác đã được CA xác thực. Như vậy để lấy được khóa công khai của
những người sử dụng một cách tin cậy thì cần phải biết được khóa công khai
của CA. Vấn đề nảy sinh là làm cách nào để cung cấp cho những người sử
dụng khóa công khai của CA theo một phương thức an toàn? Điều này có thể
được giải quyết theo những mô hình hệ thống sau:
Hệ thống CA một cấp
Khóa công khai của CA được truyền an toàn tới những thực thể tham
gia trong hệ PKI. Điều này được thực hiện bằng cách sử dụng một chứng thư
được ký bởi chính CA đó, trường hợp này gọi là chứng thư tự ký (self-signed
certificate). Để tạo ra một chứng thư tự ký tin cậy, điều cần thiết là phải
truyền chứng thư này tới những người sử dụng theo một phương thức an toàn
(tính toàn vẹn thông tin), chẳng hạn như gửi một mã hash (tóm lược thông
điệp) trên kênh truyền.
CA
User
User
User
Hình 1.2 Mô hình hệ thống CA một cấp
Hệ thống CA phân cấp
Trong hệ thống CA nhiều cấp, CA gốc (root CA) xác thực những CA
cấp dưới, và mỗi CA cấp dưới có thể phát hành các chứng thư trên các CA
trực thuộc…Điều này có nghĩa rằng bất kỳ ai biết được khóa công khai của
root CA có thể xác thực tất cả chứng thư được phát hành bởi hệ thống những
CA cấp dưới. Trường hợp này được gọi là
-12-
CA
SubCA-1
SubCA-2
User
User
User
Hình 1.3 Mô hình hệ thống CA phân cấp
Hệ thống CA ngang cấp (mô hình chứng thực chéo)
Thay vì cấu trúc CA phân cấp, hai CA có thể xác thực lẫn nhau. Trong
trường hợp này bất kỳ ai có khóa công khai của một trong hai CA này (chứng
thư số tự ký) có thể dựa vào đó mà xác thực chứng thư số được phát hành bởi
CA còn lại. Trường hợp này được gọi là
User
User
CA
CA
CA
User
User
User
Hình 1.4 Mô hình hệ thống CA ngang cấp
User
-13Trong thực tế sự kết hợp giữa 3 kiểu CA có thể được sử dụng.
1.2 Các hoạt động chính trong hệ thống PKI
1.2.1 Danh tính của những người tham gia vào hệ thống PKI
Như đã đề cập, chứng thư số chứa đựng những thông tin về người sử
dụng đã được chứng thực, và một điều quan trọng là thông tin này phải chính
xác. Công việc xác thực danh tính của những người sử dụng được thực hiện
tại cơ quan đăng ký địa phương LRA (Local Registration Authority). Cơ quan
đăng ký LRA thường được đặt tại địa điểm độc lập với CA. Sau các thủ tục
đăng ký (nếu LRA chấp thuận), LRA sẽ gửi thông tin về những người sử
dụng cùng với yêu cầu của họ tới trung tâm chứng thực CA, và bây giờ thông
tin này đã sẵn sàng cho việc phát hành hoặc hủy bỏ chứng thư.
1.2.2 Phát hành và quản lý các chứng thư
Khi một người sử dụng đã được xác nhận danh tính và được cơ quan
đăng ký LRA chấp nhận yêu cầu, một chứng thư sẽ được phát hành trên khóa
công khai của người sử dụng. Khóa này có thể được sinh bởi người sử dụng
(chương trình ứng dụng được trao cho người sử dụng) hoặc bởi trung tâm CA.
Trong cả hai trường hợp khóa phải được gửi an toàn đến CA bởi vậy CA có
thể liên kết nó với những thông tin chính xác đã được LRA gửi cho CA. Các
chứng thư số được phát hành, đồng thời được lưu trữ trong một thư mục
chứng thư, trong trường hợp một người sử dụng trong hệ thống PKI có thể tải
về nếu cần thiết. Tại bất kỳ thời điểm nào trung tâm CA phải duy trì một trạng
thái đúng đắn của các chứng thư, chẳng hạn như khi chứng thư bị hủy bỏ vì
một lý do nào đó (nghi ngờ khóa bị lộ, hết hạn…). Người sử dụng có thể lấy
được trạng thái chính xác của các chứng thư tại bất cứ thời điểm nào. Đối với
những chứng thư bị hủy bỏ sẽ được đưa vào danh sách gọi là danh sách các
chứng thư hủy bỏ CRLs (Certificate Revocation lists). Điều này cũng nói lên
rằng nếu một chứng thư không xuất hiện trên danh sách CRL, nó có thể coi là
vẫn hoạt động bình thường. CA phải duy trì danh sách CRL này và thiết lập
danh sách này trên một thư mục.
-141.2.3 Mô hình hoạt động, cấp phát, hủy bỏ chứng thư số
LDAP
(3)
User
(5 )
(1 )
(4)
(2)
Trung tâm CA
RA
Hình 1.5: Quy trình đăng ký chứng thư
(1) User gửi thông tin về bản thân và khóa công khai tới RA
(2) RA gửi thông tin về user và ký yêu cầu được chấp thuận đến trung
tâm CA
(3) CA tạo chứng thư trên khóa công khai, ký bằng khóa bí mật của CA
và cập nhật chứng thư trên thư mục
(4) CA gửi chứng thư trở lại RA
(5) RA cấp chứng thư cho người sử dụng
)
(1
)
(5
RA
(4 )
(2 )
User
(3)
Trung tâm CA
CLR
Hình 1.6: Quy trình huỷ bỏ chứng thư
- Xem thêm -