Tài liệu Xây dựng giải pháp ứng dụng xác thực sinh trắc học trong cơ sở hạ tầng khoá công khai dựa trên hệ thống openca

LÊ QUANG TÙNG BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ******** CÔNG NGHỆ THÔNG TIN LUẬN VĂN THẠC SĨ KHOA HỌC NGÀNH: CÔNG NGHỆ THÔNG TIN XÂY DỰNG GIẢI PHÁP ỨNG DỤNG XÁC THỰC SINH TRẮC HỌC TRONG CƠ SỞ HẠ TẦNG KHOÁ CÔNG KHAI DỰA TRÊN HỆ THỐNG OPENCA LÊ QUANG TÙNG 2006-2008 HÀ NỘI 11/2008 HÀ NỘI 2008 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ******** LUẬN VĂN THẠC SĨ KHOA HỌC XÂY DỰNG GIẢI PHÁP ỨNG DỤNG XÁC THỰC SINH TRẮC HỌC TRONG CƠ SỞ HẠ TẦNG KHOÁ CÔNG KHAI DỰA TRÊN HỆ THỐNG OPENCA NGÀNH: CÔNG NGHỆ THÔNG TIN LÊ QUANG TÙNG Người hướng dẫn khoa học: PGS. TS NGUYỄN THỊ HOÀNG LAN HÀ NỘI 11/2008 Thesis: BUILDING A METHOD TO INTEGRATE A BIOMETRIC SECURITY SYSTEM INTO A PKI SYSTEM BASED ON OPENCA Supervisor: Associate Professor, Dr. Nguyen Thi Hoang Lan Student: Le Quang Tung ABSTRACT This thesis focuses on a research to create a way to integrate a Biometric security system into a PKI system based on Openca system. Thesis is describes in 4 chapters: Chapter 1 of this thesis describes a overview of PKI systems with all components of PKI system, such as CA, RA, LDAP… at the end of chapter, X.509 format of certificate is introduced, especially extensions field of X.509 format version 3. Chapter 2 descibes Viet Nam Government PKI system with some policies and technical infrastructure. Besides, OpenCA is present as a core of Government PKI. Chapter 3 describes biometric systems. General biometric systems are well known in public and systems based on the fingerprint recognition belong, without question, to the most familiar ones. Fingerprints have been used for identification and authentication for a long time because their uniqueness and reliability have been proven in everyday life. Nowadays, there are a great number of such biometric systems based on fingerprint recognition on the market. One group of them is used for forensic purposes (these are called dactyloscopic systems and are used in tasks of person identification). Another group of biometric systems represents the topic of interest of this chapter – access or verification systems. Biometric security system is combined a biometric (fingerprint) system with some cryptographic system, if there is enough information entropy in the fingerprint. Some computations of the similarity among fingerprints have already been published but they have considered the matching of fingerprints. For cryptographic tasks, it is more important to exploit the information strength hidden in fingerprint papillary line structures. The answer to this question can be found in this chapter. Chapter 4 is the final chapter of thesis, it is very important because it introduces a method to integrate a biometric security system into a OpenCA system after research the systems in previous chapters. Detail of this method is that generating keys from minutiea of fingerprints and then using the keys encrypt private key. Certificate is created with extensions field storing this keys. Encrypted private key and certificate is written in a eToken. MỤC LỤC MỤC LỤC........................................................................................................ 1 DANH MỤC CÁC HÌNH VẼ .......................... Error! Bookmark not defined. DANH MỤC CÁC TỪ VIẾT TẮT ................. Error! Bookmark not defined. LỜI NÓI ĐẦU ................................................... Error! Bookmark not defined. CHƯƠNG 1: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHOÁ CÔNG KHAI .................................................................. Error! Bookmark not defined. 1.1 Khái quát về cơ sở hạ tầng khoá công khaiError! Bookmark not defined. 1.1.1 Cơ sở hạ tầng khóa công khai (Public Key Infrastructure – PKI)Error! Bookmark 1.1.2 Các thành phần chính của một hệ thống PKIError! Bookmark not defined. 1.1.3 Các loại kiến trúc của một trung tâm chứng thực CAError! Bookmark not define 1.2 Các hoạt động chính trong hệ thống PKIError! Bookmark not defined. 1.3 Chứng thư số ......................................... Error! Bookmark not defined. 1.3.1 Chứng thư khoá công khai ............. Error! Bookmark not defined. 1.3.2 Khuôn dạng chứng thư X.509........ Error! Bookmark not defined. CHƯƠNG 2: TÌM HIỂU HỆ THỐNG PKI CỦA CHÍNH PHỦError! Bookmark not defin 2.1 Hiện trạng PKI tại một số nước ............ Error! Bookmark not defined. 2.2 Hiện trạng PKI tại Việt nam ................. Error! Bookmark not defined. 2.3 Hệ thống PKI Chính phủ ...................... Error! Bookmark not defined. 2.3.1 Khung pháp lý và chính sách ......... Error! Bookmark not defined. 2.3.2 Hạ tầng kỹ thuật ............................. Error! Bookmark not defined. 2.3.3 Các ứng dụng triển khai trên nền PKI Chính phủError! Bookmark not defined. 2.3.4 Hệ thống mã nguồn mở OpenCA trong hệ thống PKI chính phủError! Bookmark 2.3.4.1 Giới thiệu tổng quan ................... Error! Bookmark not defined. CHƯƠNG 3: NGHIÊN CỨU HỆ THỐNG AN NINH SINH TRẮC HỌC VÀ HƯỚNG TIẾP CẬN BIOPKI......... Error! Bookmark not defined. 3.1 Tổng quan về sinh trắc học (Biometric) Error! Bookmark not defined. 3.1.1 Khái niệm chung ............................ Error! Bookmark not defined. 3.1.2 Khái quát về một số loại sinh trắc thông dụng [11]Error! Bookmark not defined. 3.1.3 Ứng dụng của sinh trắc học ........... Error! Bookmark not defined. 3.1.4 Các lợi ích của sinh trắc................. Error! Bookmark not defined. 3.2 Sinh trắc vân tay và các đặc trưng ........ Error! Bookmark not defined. 3.2.1 Các đặc trưng chung ...................... Error! Bookmark not defined. 3.2.2 Các đặc trưng cục bộ ..................... Error! Bookmark not defined. 3.2.3 Đặc trưng hướng ............................ Error! Bookmark not defined. 3.3 Hệ thống sinh trắc (Biometric system) . Error! Bookmark not defined. 3.3.1 Các khái niệm và mô hình hoạt động của hệ thống sinh trắcError! Bookmark not 3.3.2 Hệ thống thẩm định xác thực và hệ thống nhận dạngError! Bookmark not define 3.3.3 Quá trình đối sánh sinh trắc trong hệ thống thẩm định xác thựcError! Bookmark n 3.4 Hệ thống an ninh sinh trắc (Biometric Security System)Error! Bookmark not defined 3.5 Nghiên cứu hướng tiếp cận BioPKI từ sinh trắc vân tayError! Bookmark not defined 3.5.1 Sinh khoá từ sinh trắc vân tay........ Error! Bookmark not defined. 3.5.2 Sinh chứng thư số kết hợp với sinh trắc học vân tayError! Bookmark not defined 3.5.3 Sử dụng chứng thư số mới trong các ứng dụngError! Bookmark not defined. CHƯƠNG 4: XÂY DỰNG GIẢI PHÁP TÍCH HỢP SINH TRẮC VÂN TAY VÀO HỆ THỐNG OPENCA ................. Error! Bookmark not defined. 4.1 Đặt vấn đề ............................................. Error! Bookmark not defined. 4.2 Xây dựng giải pháp tích hợp sinh trắc vào hệ thống OpenCAError! Bookmark not de 4.2.1 Hệ thống OpenCA ......................... Error! Bookmark not defined. 4.2.2 Xây dựng mô hình tích hợp hệ thống sinh trắc vào OpenCAError! Bookmark not 4.3 Triển khai thử nghiệm hệ thống PKI tại Ban Cơ yếu Chính phủError! Bookmark not 4.3.1 Hệ thống triển khai thử nghiệm ..... Error! Bookmark not defined. 4.3.2 Các giao dịch trong PKI thử nghiệm với OpenCAError! Bookmark not defined. 4.3.3 Một vài nhận xét về thử nghiệm .... Error! Bookmark not defined. 4.4 Khả năng triển khai giải pháp BioPKI trên hệ thống OpenCAError! Bookmark not de KẾT LUẬN ........................................................ Error! Bookmark not defined. TÀI LIỆU THAM KHÁO CHÍNH ................. Error! Bookmark not defined. -1- MỤC LỤC MỤC LỤC ........................................................................................................ 1 DANH MỤC CÁC HÌNH VẼ......................................................................... 3 DANH MỤC CÁC TỪ VIẾT TẮT ................................................................ 5 LỜI NÓI ĐẦU ................................................................................................. 6 CHƯƠNG 1: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHOÁ CÔNG KHAI ........................................................................................................................... 8 1.1 Khái quát về cơ sở hạ tầng khoá công khai ............................................ 8 1.1.1 Cơ sở hạ tầng khóa công khai (Public Key Infrastructure – PKI) ... 8 1.1.2 Các thành phần chính của một hệ thống PKI................................... 9 1.1.3 Các loại kiến trúc của một trung tâm chứng thực CA ................... 11 1.2 Các hoạt động chính trong hệ thống PKI .............................................. 13 1.3 Chứng thư số ......................................................................................... 15 1.3.1 Chứng thư khoá công khai ............................................................. 15 1.3.2 Khuôn dạng chứng thư X.509 ........................................................ 18 CHƯƠNG 2: TÌM HIỂU HỆ THỐNG PKI CỦA CHÍNH PHỦ ............. 26 2.1 Hiện trạng PKI tại một số nước ............................................................ 26 2.2 Hiện trạng PKI tại Việt nam ................................................................. 27 2.3 Hệ thống PKI Chính phủ ....................................................................... 29 2.3.1 Khung pháp lý và chính sách ......................................................... 30 2.3.2 Hạ tầng kỹ thuật ............................................................................. 30 2.3.3 Các ứng dụng triển khai trên nền PKI Chính phủ.......................... 34 2.3.4 Hệ thống mã nguồn mở OpenCA trong hệ thống PKI chính phủ.. 35 2.3.4.1 Giới thiệu tổng quan.................................................................... 35 CHƯƠNG 3: NGHIÊN CỨU HỆ THỐNG AN NINH SINH TRẮC HỌC VÀ HƯỚNG TIẾP CẬN BIOPKI ............................................................... 41 3.1 Tổng quan về sinh trắc học (Biometric) ............................................... 41 3.1.1 Khái niệm chung ............................................................................ 41 3.1.2 Khái quát về một số loại sinh trắc thông dụng [11] ....................... 42 3.1.3 Ứng dụng của sinh trắc học............................................................ 45 3.1.4 Các lợi ích của sinh trắc ................................................................. 47 3.2 Sinh trắc vân tay và các đặc trưng ........................................................ 52 3.2.1 Các đặc trưng chung....................................................................... 53 3.2.2 Các đặc trưng cục bộ ...................................................................... 56 3.2.3 Đặc trưng hướng ............................................................................ 58 -23.3 Hệ thống sinh trắc (Biometric system) ................................................. 58 3.3.1 Các khái niệm và mô hình hoạt động của hệ thống sinh trắc ........ 58 3.3.2 Hệ thống thẩm định xác thực và hệ thống nhận dạng .................... 62 3.3.3 Quá trình đối sánh sinh trắc trong hệ thống thẩm định xác thực ... 64 3.4 Hệ thống an ninh sinh trắc (Biometric Security System) ..................... 69 3.5 Nghiên cứu hướng tiếp cận BioPKI từ sinh trắc vân tay ...................... 71 3.5.1 Sinh khoá từ sinh trắc vân tay ........................................................ 72 3.5.2 Sinh chứng thư số kết hợp với sinh trắc học vân tay ..................... 73 3.5.3 Sử dụng chứng thư số mới trong các ứng dụng ............................. 77 CHƯƠNG 4: XÂY DỰNG GIẢI PHÁP TÍCH HỢP SINH TRẮC VÂN TAY VÀO HỆ THỐNG OPENCA .............................................................. 80 4.1 Đặt vấn đề.............................................................................................. 80 4.2 Xây dựng giải pháp tích hợp sinh trắc vào hệ thống OpenCA ............. 83 4.2.1 Hệ thống OpenCA .......................................................................... 83 4.2.2 Xây dựng mô hình tích hợp hệ thống sinh trắc vào OpenCA........ 83 4.3 Triển khai thử nghiệm hệ thống PKI tại Ban Cơ yếu Chính phủ ......... 88 4.3.1 Hệ thống triển khai thử nghiệm ..................................................... 88 4.3.2 Các giao dịch trong PKI thử nghiệm với OpenCA ........................ 89 4.3.3 Một vài nhận xét về thử nghiệm .................................................... 98 4.4 Khả năng triển khai giải pháp BioPKI trên hệ thống OpenCA ............ 99 KẾT LUẬN .................................................................................................. 102 TÀI LIỆU THAM KHÁO CHÍNH............................................................ 104 -3DANH MỤC CÁC HÌNH VẼ Hình 1.1: Mô hình kiến trúc hệ thống PKI ..................................................... 10 Hình 1.2 Mô hình hệ thống CA một cấp ......................................................... 11 Hình 1.3 Mô hình hệ thống CA phân cấp ....................................................... 12 Hình 1.4 Mô hình hệ thống CA ngang cấp ..................................................... 12 Hình 1.5: Quy trình đăng ký chứng thư .......................................................... 14 Hình 1.6: Quy trình huỷ bỏ chứng thư ............................................................ 14 Hình 1.7 : Chứng thư khoá công khai đơn giản [6] ........................................ 17 Hình 1.8: Khuôn dạng chứng thư số trong phiên bản 1 và 2 dạng X.509 [6]. 20 Hình 1.9: Khuôn dạng chứng thư số trong phiên bản 3 dạng X.509 [6] ........ 23 Hình 2.1: Hiện trạng PKI tại Việt Nam .......................................................... 28 Hình 2.2: Các thành phần trong hệ thống PKI chính phủ ............................... 29 Hình 2.3: Mô hình hệ thống Chứng thực điện tử Chính phủ .......................... 31 Hình 2.4: Mô hình hoạt động của CA chính phủ ............................................ 32 Hình 2.5: Hệ thống cây LDAP của CA chính phủ.......................................... 33 Hình 2.6: Hệ thống OCSP của CA chính phủ ................................................. 34 Hình 2.7: Các nút của OpenCA Chính phủ..................................................... 36 Hình 2.8: Các giao diện nút của OpenCA Chính phủ ..................................... 37 Hình 2.9: Vòng đời của các đối tượng [8] ...................................................... 38 Hình 3.1: Phân lớp sinh trắc [5] ...................................................................... 41 Hình 3.2: Các phương pháp xác thực .............................................................. 46 Hình 3.3: Các sinh trắc được sử dụng trong các ứng dụng ............................. 47 Hình 3.4 Vùng mẫu của dấu vân tay ............................................................... 54 Hình 3.5 Các đường mẫu (T) .......................................................................... 54 Hình 3.6 Các đường mẫu hình quai ................................................................ 55 Hình 3.7 Các đường hình cung ....................................................................... 55 Hình 3.8 Các đường dạng vòng xoắn.............................................................. 55 Hình 3.9 Các điểm trung tâm .......................................................................... 55 Hình 3.10 Các điểm trung tâm và delta .......................................................... 56 Hình 3.11 Số đường vân.................................................................................. 56 Hình 3.12 Các đặc trưng cục bộ ...................................................................... 57 Hình 3.13 Biểu diễn của mỗi điểm đặc trưng (điểm cụt và rẽ nhánh) ............ 58 Hình 3.14 Đặc trưng hướng của vân ............................................................... 58 Hình 3.15: Một hệ thống sinh trắc điển hình [4]............................................. 59 Hình 3.16: Thẩm định và nhận dạng [4] ......................................................... 61 Hình 3.17: Sơ đồ đăng ký, thẩm định xác thực, nhận dạng [4] ...................... 62 Hình 3.18: Đối sánh sinh trắc [4] .................................................................... 65 Hình 3.19: Các bước sinh khoá từ sinh trắc vân tay [4] ................................. 72 Hình 3.20: Các bước sinh chứng thư số [4] .................................................... 73 -4Hình 3.21: Quá trình mã hoá mầm khoá và xử lý băm ................................... 74 Hình 3.22: Quá trình mã hoá khoá bí mật ....................................................... 75 Hình 3.23: Khuôn dạng chứng thư số ............................................................. 75 Hình 3.24: Ghi dữ liệu lên eToken.................................................................. 76 Hình 3.25: Quá trình sử dụng chứng thư số [4] .............................................. 77 Hình 3.26: Quá trình giải mã lấy khoá bí mật................................................. 78 Hình 4.1 Mô hình cụ thể của hệ thống OpenCA............................................. 83 Hình 4.2: Mô hình hệ thống BioPKI ............................................................... 84 Hình 4.3: Mô hình can thiệp vào cơ sở dữ liệu các vùng ............................... 86 Hình 4.4: Sơ đồ bảo mật dấu vân tay .............................................................. 87 Hình 4.5: Sơ đồ giải mã đặc trưng vân tay ..................................................... 88 Hình 4.6 Mô hình thử nghiệm PKI ................................................................. 88 Hình 4.7: Giao diện khởi tạo CA .................................................................... 90 Hình 4.8: Giao diện khởi tạo cơ sở dữ liệu cho OpenCA ............................... 90 Hình 4.9: Giao diện sinh khóa bí mật cho CA ................................................ 91 Hình 4.10: Giao diện sinh chứng thư số cho CA ............................................ 91 Hình 4.11: Giao diện tạo chứng thư số cho RA .............................................. 92 Hình 4.12: Chứng thư số của RA .................................................................... 92 Hình 4.13: Giao diện tải chứng thư số cho RA ............................................... 93 Hình 4.14: Tạo một request ............................................................................. 94 Hình 4.15: Giao diện nhập thông tin cá nhân ................................................. 94 Hình 4.16: Request đã được tạo ...................................................................... 95 Hình 4.17: Giao diện nhập thông tin cá nhân ................................................. 95 Hình 4.18: Giao diện xử lý request ................................................................. 96 Hình 4.19: Giao diện quản lý retquest của CA ............................................... 96 Hình 4.20: Giao diện sinh chứng thư số ......................................................... 97 Hình 4.21: Chứng thư số đã được sinh ........................................................... 97 Hình 4.22: Giao diện tải chứng thư số ............................................................ 98 Hình 4.23: Giao diện ghi dữ liệu vào eToken ................................................. 98 Hình 4.24: Cơ sở dữ liệu của PUB.................................................................. 99 Hình 4.25: Cơ sở dữ liệu của CA .................................................................. 100 -5- DANH MỤC CÁC TỪ VIẾT TẮT CA CAO CP CPS CRL CRR DES DSS EER FAR FMR FRR LRA LDAP MD5 OCSP PIN PKI RA RFC RSA SHA SSL Certificate Authority Certificate Authority Operator Certificate Policy Certificate Practise Statement Certificate Revoke List Certificate Revocation Request Data Encryption Standard Digital Signature Standard Equal Error Rate False Acceptance Rate False Match Rate False Rejection Rate Local Registration Authority Lightweight Directory Access Protocol Message-Digest algorithm 5 Online Certificate Status Protocol Personal Identificate Number Public Key Infrastructure Registration Authority Request For Comments Ron Rivest, Adi Shamir và Len Adleman Secure Hash Algorithm Secure Socket Layer -6- LỜI NÓI ĐẦU Thế giới phẳng – đó là một lời giới thiệu chuẩn xác về thế giới công nghệ thông tin hiện nay, ranh giới giữa các quốc gia, các vùng bị phá vỡ bởi sự liên kết ngày càng mở rộng của các mạng máy tính. Giá trị thông tin giao dịch trên mạng ngày càng tăng, ngay cả các chính phủ cũng điều hành qua mạng – chính phủ điện tử, hoạt động thương mại trên mạng – thương mại điện tử phát triển. Các hoạt động tội phạm trên mạng cũng ngày càng tăng gây ra những tổn thất thông tin, tài chính, quân sự… nghiêm trọng. Do vậy nhu cầu về bảo vệ thông tin cũng tăng theo. Rất nhiều các mô hình, phương pháp, hệ thống bảo vệ thông tin ra đời đã đáp ứng tốt những nhu cầu về bảo vệ thông tin. PKI (cơ sở hạ tầng khóa công khai) là một trong những hệ thống điển hình về bảo vệ thông tin một cách toàn diện nhất. Tuy nhiên PKI không phải không có những nhược điểm cần phải khắc phục, ví dụ như các vấn đề về bảo vệ khóa bí mật (private key), vấn đề về các mật khẩu, bảo vệ truy nhập hệ thống…. Trên thế giới, các nhà xây dựng và phát triển PKI đã đưa ra rất nhiều các giải pháp để xây dựng các hệ thống PKI an toàn hơn. Từ khi các hệ thống sinh trắc ra đời và phát triển đã đem lại một hướng phát triển mới cho PKI. Hệ thống sinh trắc có rất nhiều ưu điểm và đang trở nên phổ biến, tuy nhiên việc kết hợp giữa hệ thống sinh trắc và hệ thống PKI vẫn còn là một lĩnh vực nghiên cứu còn rất mới và gặp nhiều khó khăn. Đối với nước ta, PKI vẫn còn rất mới mẻ, chúng ta mới chỉ ở những bước đầu nghiên cứu và xây dựng các hệ thống PKI. Vấn đề kết hợp hệ thống PKI và hệ thống sinh trắc học cũng chưa được quan tâm và nghiên cứu nhiều. Chính vì vậy để góp phần việc phát triển hệ thống tích hợp, kết hợp giữa hai hệ thống, tôi đã xây dựng luận văn tốt nghiệp cao học chuyên ngành Công nghệ thông tin: “Xây dựng giải pháp ứng dụng xác thực sinh trắc học trong cơ sở hạ tầng khoá công khai dựa trên hệ thống OpenCA”, mục tiêu của luận văn tập trung nghiên cứu và tìm hiểu về hai hệ thống PKI và sinh trắc và đưa ra một giải pháp tích hợp hệ thống cụ thể giữa OpenCA và sinh trắc học vân tay. Về bố cục, luận văn được trình bày trong 4 chương chính, nội dung cụ thể như sau: Chương 1: Tổng quan về cơ sở hạ tầng khoá công khai -7Trong chương này, toàn bộ nội dung là các nghiên cứu tìm hiểu về lý thuyết hệ thống PKI chung với đầy đủ các thành phần của hệ thống như CA, RA, LDAP, CRL, chứng thư số và các hoạt động của một hệ thống PKI Chương 2: Tìm hiểu hệ thống PKI của Chính phủ Chương này của luận văn giới thiệu khái quát về hiện trạng PKI trong và ngoài nước và giới thiệu một hệ thống PKI cụ thể: PKI Chính phủ do Ban Cơ yếu chính phủ chủ trì và xây dựng cùng với các chính sách đi kèm, phần cuối chương giới thiệu về hệ thống phần mềm mã nguồn mở OpenCA được sử dụng làm hạt nhân của PKI chính phủ. Chương 3: Nghiên cứu hệ thống an ninh sinh trắc và hướng tiếp cận BioPKI Chương này giới thiệu tổng quan về các hệ thống sinh trắc và các sinh trắc, lợi ích của các hệ thống sinh trắc, sinh trắc vân tay và các đặc trưng, hệ thống an ninh sinh trắc và hướng tiếp cận để xây dựng hệ thống BioPKI. Chương 4: Xây dựng giải pháp tích hợp sinh trắc vân tay vào hệ thống OpenCA Sau khi nghiên cứu các hệ thống PKI, hệ thống OpenCA, hệ thống sinh trắc vân tay, hệ thống an ninh sinh trắc dựa trên vân tay, chương này đề xuất một giải pháp cụ thể để tích hợp hệ thống sinh trắc vân tay vào hệ thống OpenCA, xây dựng một mô hình thử nghiệm PKI với OpenCA Sau một thời gian nghiên cứu và xây dựng, luận văn đã hoàn thành đúng tiến độ và hoàn thành các mục tiêu đề ra, tuy nhiên do thời gian có hạn, lĩnh vực nghiên cứu còn khá mới mẻ nên luận văn không tránh khỏi một số thiếu sót, mong thày cô, bạn bè và các nhà nghiên cứu quan tâm và đóng góp ý kiến để luận văn hoàn thiện hơn và đưa nghiên cứu lý thuyết trong luận văn vào ứng dụng xây một hệ thống thực tế. Tôi xin chân thành cám ơn PGS.TS Nguyễn Thị Hoàng Lan đã nhiệt tình hướng dẫn, chỉ bảo tôi trong suốt quá trình làm luận văn. Tôi cũng xin chân thành cám ơn các thày cô giáo Trường Đại học Bách khoa Hà nội đã dạy dỗ, truyền đạt các kiến thức quý báu cho tôi trong quá trình tôi học tại Trường, xin cám ơn gia đình tôi, các bạn bè, đồng nghiệp, các nhà nghiên cứu khoa học đã quan tâm, giúp đỡ tôi trong quá trình làm luận văn. -8CHƯƠNG 1: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHOÁ CÔNG KHAI 1.1 Khái quát về cơ sở hạ tầng khoá công khai 1.1.1 Cơ sở hạ tầng khóa công khai (Public Key Infrastructure – PKI) Xuất phát từ nhu cầu ngày càng tăng cho các phiên giao dịch và trao đổi thông tin điện tử cần bảo mật đã nảy sinh ra các vấn đề an toàn như sau: Tính toàn vẹn (Integrity): đảm bảo rằng thông tin không bị sửa đổi Tính xác thực (Authenticity): xác thực nguồn gốc thông tin Tính bảo mật (Confidentiality): Đảm bảo rằng thông tin được giữ bí mật Tính không chối bỏ (Non-repudiation): đảm bảo rằng thông tin không thể bị chối bỏ nguồn gốc. Những mục tiêu an toàn này được đáp ứng bằng cách sử dụng các hệ thống PKI (cơ sở hạ tầng khóa công khai). Ta có thể định nghĩa PKI như sau: Cơ sở hạ tầng khoá công khai (Public Key Infrastructure-PKI) là một tập hợp các chính sách, các quy trình, thiết bị phần cứng, phần mềm sử dụng để quản lý, cấp phát chứng thư số đảm bảo cho việc cung cấp các dịch vụ xác thực và bảo mật [10]. Từ định nghĩa này ta có thể thấy rằng: - PKI là một hạ tầng cơ sở cho phép các tổ chức triển khai và ứng dụng bảo mật dựa trên hệ thống mã khoá công khai, nhằm đảm bảo an toàn thông tin liên lạc và các giao dịch trên mạng/Internet. - PKI bao gồm các thủ tục, các dịch vụ và các chuẩn hỗ trợ phát triển các ứng dụng áp dụng các kỹ thuật mã khoá công khai. - Thiết lập được các PKI tin tưởng cho người dùng là điều kiện tiên quyết phát triển thương mại điện tử và Chính phủ điện tử. Hệ thống PKI được xây dựng dựa trên hệ mật khóa công khai. Mỗi người tham gia vào hệ mật khóa công khai có: Khóa công khai (public key):sử dụng cho mục đích xác thực chữ ký, mã hóa thông tin Khóa bí mật (private key): sử dụng để ký các thông điệp hoặc để giải mã các thông điệp đã được mã hóa bằng khóa công khai tương ứng. -9Hệ mật khóa công khai ra đời đảm bảo rằng chỉ những thực thể sở hữu khóa hợp lệ có thể thực hiện những thao tác nhất định (ví dụ: ký một thông điệp, hoặc giải mã các thông điệp). Để đảm bảo điều này, một liên kết giữa các thực thể đó và khóa của họ phải được thiết lập, từ đó: - Một thông điệp có thể được mã hóa với khóa hợp lệ - Xác thực người đã ký thông điệp - Hệ thống mật mã khoá công khai là nền tảng cơ bản để xây dựng Mục đích của cơ sở hạ tầng khóa công khai PKI là để cung cấp các mối liên hệ giữa những người sử dụng và khóa công khai tương ứng của họ theo một phương thức an toàn. Để tin tưởng vào khóa công khai của một người sử dụng trong hệ PKI, người ta đưa ra khái niệm chứng thư số (certificate). Chứng thư số được hiểu là một tài liệu điện tử gắn một khóa công khai với một thực thể nào đó. Chứng thư số chứa những thông tin chẳng hạn như danh tính và khóa công khai đi kèm, ngày hết hạn của chứng thư của một người, một tổ chức, hoặc của một thiết bị phần cứng hoặc phần mềm… Chứng thư số sẽ được nghiên cứu kỹ hơn trong phần sau. 1.1.2 Các thành phần chính của một hệ thống PKI Certificate Authority (CA) là một tổ chức được tin tưởng trong việc cấp phát chứng thư số và công nhận các nội dung thông tin lưu giữ trong chứng thư số. CA là trái tim của hệ thống PKI, là tổ chức quản lý của PKI Registration Authority (RA) là cơ quan chịu trách nhiệm xác nhận về tính trung thực của yêu cầu sử dụng chứng thư số. RA không có trách nhiệm sinh và ký chứng thư. RA sau khi nhận yêu cầu sẽ chuyển sang CA để thực hiện. Kết quả của CA sẽ được chuyển tới người yêu cầu thông qua RA Local Registration Authority (LRA) là đại diện của RA tại địa phương, thực hiện các chứng năng của RA tại khu vực quản lý của mình. Các chức năng của một LRA đó là: - Xác nhận các thông tin về người đăng ký - Chấp thuận các yêu cầu đăng ký sử dụng - Gửi yêu cầu cấp mới tới CA - Gửi cầu gia hạn tới CA - Gửi cầu hủy bỏ chứng thư tới CA -10- Hỗ trợ tại chỗ cho người sử dụng Dịch vụ thư mục để tra cứu chứng thư là một dạng cấu trúc cây thư mục dùng để lưu trữ các chứng thư số của toàn bộ người dùng trong hệ thống phục vụ tra cứu, tìm kiếm chứng thư. Danh sách hủy bỏ (Certificate Revocation List – CRL) danh sách hủy bỏ CRL phục vụ việc kiểm tra tình trạng các chứng thư số bị hủy bỏ. Sau đây là một mô hình kiến trúc hệ thống PKI: Trung tâm chứng thực điện tử LDAP (máy chủ thư mục) Trung tâm CA Cơ quan đăng ký địa phương User User User User User User Hình 1.1: Mô hình kiến trúc hệ thống PKI Trung tâm chứng thực CA đứng ra chịu trách nhiệm và đảm bảo sự tin cậy vào khóa công khai cũng như danh tính của chủ sở hữu khóa. Chứng thư số được ký bởi một trung tâm chứng thực CA bằng khóa bí mật của CA. Chứng thư số do CA phát hành là để xác thực danh tính của những người sử dụng và khóa công khai đi kèm, CA có trách nhiệm phát hành quản lý, cung cấp các dịch vụ cần thiết trên những chứng thư này. Các chức năng mở rộng của hệ thống PKI: - Hệ thống kiểm tra tình trạng chứng thư online (OCSP – Online Certificate Status Protocol). - Hệ thống chứng thực nhãn thời gian (Time Stamp Authority). -111.1.3 Các loại kiến trúc của một trung tâm chứng thực CA Lợi ích của việc có một CA là: bất kỳ người sử dụng nào biết được khóa công khai của CA có thể lấy được khóa công khai của những người sử dụng khác đã được CA xác thực. Như vậy để lấy được khóa công khai của những người sử dụng một cách tin cậy thì cần phải biết được khóa công khai của CA. Vấn đề nảy sinh là làm cách nào để cung cấp cho những người sử dụng khóa công khai của CA theo một phương thức an toàn? Điều này có thể được giải quyết theo những mô hình hệ thống sau:  Hệ thống CA một cấp Khóa công khai của CA được truyền an toàn tới những thực thể tham gia trong hệ PKI. Điều này được thực hiện bằng cách sử dụng một chứng thư được ký bởi chính CA đó, trường hợp này gọi là chứng thư tự ký (self-signed certificate). Để tạo ra một chứng thư tự ký tin cậy, điều cần thiết là phải truyền chứng thư này tới những người sử dụng theo một phương thức an toàn (tính toàn vẹn thông tin), chẳng hạn như gửi một mã hash (tóm lược thông điệp) trên kênh truyền. CA User User User Hình 1.2 Mô hình hệ thống CA một cấp  Hệ thống CA phân cấp Trong hệ thống CA nhiều cấp, CA gốc (root CA) xác thực những CA cấp dưới, và mỗi CA cấp dưới có thể phát hành các chứng thư trên các CA trực thuộc…Điều này có nghĩa rằng bất kỳ ai biết được khóa công khai của root CA có thể xác thực tất cả chứng thư được phát hành bởi hệ thống những CA cấp dưới. Trường hợp này được gọi là -12- CA SubCA-1 SubCA-2 User User User Hình 1.3 Mô hình hệ thống CA phân cấp  Hệ thống CA ngang cấp (mô hình chứng thực chéo) Thay vì cấu trúc CA phân cấp, hai CA có thể xác thực lẫn nhau. Trong trường hợp này bất kỳ ai có khóa công khai của một trong hai CA này (chứng thư số tự ký) có thể dựa vào đó mà xác thực chứng thư số được phát hành bởi CA còn lại. Trường hợp này được gọi là User User CA CA CA User User User Hình 1.4 Mô hình hệ thống CA ngang cấp User -13Trong thực tế sự kết hợp giữa 3 kiểu CA có thể được sử dụng. 1.2 Các hoạt động chính trong hệ thống PKI 1.2.1 Danh tính của những người tham gia vào hệ thống PKI Như đã đề cập, chứng thư số chứa đựng những thông tin về người sử dụng đã được chứng thực, và một điều quan trọng là thông tin này phải chính xác. Công việc xác thực danh tính của những người sử dụng được thực hiện tại cơ quan đăng ký địa phương LRA (Local Registration Authority). Cơ quan đăng ký LRA thường được đặt tại địa điểm độc lập với CA. Sau các thủ tục đăng ký (nếu LRA chấp thuận), LRA sẽ gửi thông tin về những người sử dụng cùng với yêu cầu của họ tới trung tâm chứng thực CA, và bây giờ thông tin này đã sẵn sàng cho việc phát hành hoặc hủy bỏ chứng thư. 1.2.2 Phát hành và quản lý các chứng thư Khi một người sử dụng đã được xác nhận danh tính và được cơ quan đăng ký LRA chấp nhận yêu cầu, một chứng thư sẽ được phát hành trên khóa công khai của người sử dụng. Khóa này có thể được sinh bởi người sử dụng (chương trình ứng dụng được trao cho người sử dụng) hoặc bởi trung tâm CA. Trong cả hai trường hợp khóa phải được gửi an toàn đến CA bởi vậy CA có thể liên kết nó với những thông tin chính xác đã được LRA gửi cho CA. Các chứng thư số được phát hành, đồng thời được lưu trữ trong một thư mục chứng thư, trong trường hợp một người sử dụng trong hệ thống PKI có thể tải về nếu cần thiết. Tại bất kỳ thời điểm nào trung tâm CA phải duy trì một trạng thái đúng đắn của các chứng thư, chẳng hạn như khi chứng thư bị hủy bỏ vì một lý do nào đó (nghi ngờ khóa bị lộ, hết hạn…). Người sử dụng có thể lấy được trạng thái chính xác của các chứng thư tại bất cứ thời điểm nào. Đối với những chứng thư bị hủy bỏ sẽ được đưa vào danh sách gọi là danh sách các chứng thư hủy bỏ CRLs (Certificate Revocation lists). Điều này cũng nói lên rằng nếu một chứng thư không xuất hiện trên danh sách CRL, nó có thể coi là vẫn hoạt động bình thường. CA phải duy trì danh sách CRL này và thiết lập danh sách này trên một thư mục. -141.2.3 Mô hình hoạt động, cấp phát, hủy bỏ chứng thư số LDAP (3) User (5 ) (1 ) (4) (2) Trung tâm CA RA Hình 1.5: Quy trình đăng ký chứng thư (1) User gửi thông tin về bản thân và khóa công khai tới RA (2) RA gửi thông tin về user và ký yêu cầu được chấp thuận đến trung tâm CA (3) CA tạo chứng thư trên khóa công khai, ký bằng khóa bí mật của CA và cập nhật chứng thư trên thư mục (4) CA gửi chứng thư trở lại RA (5) RA cấp chứng thư cho người sử dụng ) (1 ) (5 RA (4 ) (2 ) User (3) Trung tâm CA CLR Hình 1.6: Quy trình huỷ bỏ chứng thư