ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ LÊ THỊ THU HUYỀN NGHIÊN CỨU, TÌM HIỂU VỀ HỆ THỐNG CHỨNG THỰC SỐ VÀ ỨNG DỤNG LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG TIN Hà Nội – 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ LÊ THỊ THU HUYỀN NGHIÊN CỨU, TÌM HIỂU VỀ HỆ THỐNG CHỨNG THỰC SỐ VÀ ỨNG DỤNG Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số:60480104 LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC CHÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC PHỤ TS HỒ VĂN HƯƠNG TS NGUYỄN VIẾT THẾ Hà Nội – 2016 LỜI CẢM ƠN Luận văn thực trường Đại học Công Nghệ - Đại Học Quốc gia Hà Nội hướng dẫn TS Nguyễn Viết Thế TS Hồ Văn Hương Em xin gửi lời cảm ơn sâu sắc đến hai thầy định hướng, giúp đỡ, quan tâm tạo điều kiện thuận lợi suốt trình nghiên cứu để hồn thành luận văn Tơi xin gửi lời cảm ơn đến thầy cô Bộ môn Hệ thống thông tin Khoa công nghệ thông tn mang lại cho kiến thức vơ q giá bổ ích q trình học tập trường Tơi xin gửi lời cảm ơn tới gia đình bạn bè ln quan tâm động viên giúp tơi có thêm nghị lực để hồn thành luận văn Cuối xin gửi lời cảm ơn tới bạn học K19, K20, K21 giúp đỡ suốt năm học tập vừa qua Do thời gian kiến thức có hạn nên luận văn khơng tránh khỏi thiếu sót Tơi mong nhận góp ý q báu thầy bạn Xin chân thành cảm ơn! Hà Nội, ngày 25 tháng 10 năm 2016 Học viên Lê Thị Thu Huyền LỜI CAM ĐOAN Tôi xin cam đoan kết đạt luận văn sản phẩm riêng cá nhân hướng dẫn TS Nguyễn Viết Thế TS Hồ Văn Hương không chép Những điều trình bày toàn nội dung luận văn, cá nhân tổng hợp từ nhiều nguồn tài liệu Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Tơi xin hồn tồn chịu trách nhiệm theo quy định cho lời cam đoan Hà Nội, ngày 25 tháng 10 năm 2016 Người cam đoan Lê Thị Thu Huyền MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ MỞ ĐẦU CHƯƠNG I TỔNG QUAN MẬT MÃ HỌC 10 1.1 Mật mã khóa bí mật 11 1.1.1 Giới thiệu mật mã khóa bí mật khái niệm có liên quan 11 1.1.2 Một vài thuật tốn sử dụng mật mã khóa đối xứng 11 1.2 Mật mã khóa cơng khai 12 1.2.1 Khái niệm 12 1.2.2 Các thuật toán sử dụng mật mã khóa cơng khai 14 1.3 Chữ ký số 15 1.3.1 Định nghĩa chữ ký số khái niệm 15 1.3.2 Tạo kiểm tra chữ ký số 16 1.4 Hàm băm 20 1.4.1 Định nghĩa hàm băm 20 1.4.2 Ứng dụng hàm băm 20 1.4.3 Một số hàm băm thông dụng 21 CHƯƠNG II CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI 22 2.1 Lịch sử phát triển PKI 22 2.2 Thực trạng PKI Việt Nam 23 2.3 Các định nghĩa sở hạ tầng khóa cơng khai khái niệm có liên quan 25 2.3.1 Định nghĩa PKI 25 2.3.2 Các khái niệm liên quan PKI 26 2.3.3 Mục tiêu, chức 32 2.3.4 Các khía cạnh an toàn mà PKI cung cấp 34 2.4 Các thành phần PKI 36 Một hệ thống PKI gồm thành phần sau: 36 2.4.1 Certification Authority (CA) – Tổ chức chứng thực 37 2.4.2.Registration Authority (RA) – Tổ chức đăng ký 37 2.4.3 Certificate – Enabled Client: Bên cấp phát chứng thư số 39 2.4.4 Data Recipient: bên nhận liệu 39 2.4.5 Chuỗi chứng thư số hoạt động 39 2.5 Cách thứchoạt động PKI 39 2.5.1 Khởi tạo thực thể cuối 40 2.5.2 Tạo cặp khóa cơng khai/ khóa riêng 40 2.5.3 Áp dụng chữ ký số để định danh người gửi 40 2.5.4 Mã hóa thơng báo 41 2.5.5 Truyền khóa đối xứng 41 2.5.6 Kiểm tra danh tính người gửi thông qua CA 41 2.5.7 Giải mã thông báo kiểm tra nội dung thông báo 41 2.6 Các tiến trình PKI 42 2.6.1 Yêu cầu chứng thư số 42 2.6.2 Hủy bỏ chứng thư số 43 2.7 Kiến trúc hệ thống PKI 43 2.7.1 Mơ hình phân cấp 43 2.7.2 Mơ hình mạng lưới 45 2.7.3 Mơ hình danh sách tin cậy 46 2.7.4 Mơ hình Hub and Spoke 46 2.7.5 Mơ hình CA đơn 47 2.8 Chứng thực chéo (Cross-certification) 48 2.8.1 Tổng quan chứng thực chéo 50 2.8.2 PKI Policy Networking 55 2.9 Ứng dụng PKI 60 CHƯƠNG III ỨNG DỤNG HỆ THỐNG CHỨNG THỰC PKI TRONG GIAO DỊCH ĐIỆN TỬ 61 3.1 Giới thiệu EJBCA 61 3.1.1 PKI – EJBCA 61 3.1.2 Đặc điểm kỹ thuật 61 3.1.3 Kiến trúc EJBCA 62 3.1.4 Chức 62 3.1.5 Đánh giá 63 3.2 Ứng dụng chứng thực chéo dựa EJBCA 63 3.2.1 Mơ hình triển khai 63 3.2.2 Ứng dụng chứng thực chéo EJBCA 64 KẾT LUẬN 71 TÀI LIỆU THAM KHẢO 72 PHỤ LỤC 73 - Thành phần RA: Thành phần có chức tạo, xóa hủy bỏ người dùng - Tầng Web Tier: Đây giao diện (điển hình giao diện người – máy đồ họa) để trình khách tương tác với hệ thống EJBCA, đồng thời quy định cấp độ phạm vi truy cập thông tin khác cho thực thể cuối - Trình khách: Trình khách thực thể cuối hay người sử dụng trình khách thư điện tử, máy chủ web, trình duyệt web hay cổng VPN 3.1.4 Chức EJBCA tổ chức chứng nhận phổ biến sử dụng, CA ưa thích Các đặc trưng CA bao gồm lựa chọn thuật toán ta cần tùy chọn thuật toán SHA1 hay SHA256 với RSA với kích thước khóa khác 1024, 2048, 4096 EJBCA cung cấp số tnh bật lựa chọn ngơn ngữ q trình cấu hình hệ thống Ngồi ta chọn loại publisher muốn LDAP, thư mục động (AD – Active Directory) hay thiết kế publisher tự làm 3.1.5 Đánh giá Ngồi EJBCA có sản phẩm khác triển khai hệ thống PKI hoàn chỉnh OpenCA Windows 2003 Server CA Do Windows 2003 Server CA sản phẩm mã nguồn mở, tự phát triển kiểm sốt q trình phát triển độ an tồn nên khơng quan tâm tìm hiểu EJBCA OpenCA dự án PKI mã nguồn mở mạnh có nhiều phát triển thực phần mềm EJBCA CA hệ thống quản lý PKI hoàn chỉnh, giải pháp PKI mạnh, độc lập mơi trường, hiệu suất cao, mở rộng dựa thành phần Ngoài ra, EJBCA linh hoạt việc cung cấp cách thức hoạt động tùy chọn CA độc lập tích hợp hồn toàn ứng dụng thương mại Hơn nữa, việc cấu hình hệ thống EJBCA phức tạp OpenCA nhiều hệ thống EJBCA vào hoạt động lại mang đến nhiều tiện lợi đơn giản cho người sử dụng việc phát sinh quản lý chứng nhận Ngoài ra, khác với OpenCA, việc cập nhật CRL EJBCA hoàn toàn tự động Ngoài ra, EJBCA phát triển cung cấp PrimeKey, công ty PKI mã nguồn mở đứng đầu giới nên việc sử dụng EJBCA ta thưa hưởng từ lực phát triển cơng ty hồn tồn n tâm tnh an tồn ln có mã nguồn 3.2 Ứng dụng chứng thực chéo dựa EJBCA 3.2.1 Mơ hình triển khai Triển khai cài đặt EJBCA máy khác nhằm tạo hai hệ thống PKI khác nhau: hệ thống PKI Chính phủ hệ thống PKI cơng cộng hình 3.2 Triển khai chứng thực chéo hai hệ thống PKI cách: hệ thống khởi tạo RootCA khởi tạo thực thể cuối sau tến hành xác thực chéo lẫn Hình 3.2 Mơ hình triển khai 3.2.2 Ứng dụng chứng thực chéo EJBCA Triển khai chứng thực chéo ngang hàng phần mềm nguồn mở EJBCA Vào trang quản trị EJBCA Hình 3.3 Trang quản trị EJBCA Tạo hai RootCA RootCA1 RootCA2 Trên trang quản trị chọn Certification Authorites để tạo các RootCA: Hình 3.4 Tạo RootCA Tạo RootCA1 RootCA2 cách Add CA Hình 3.5 Điền thơng tn cho RootCA Điền thông tin RootCA1 RootCA2 (chọn thuật toán ký, Subject DN, số ngày hết hạn chứng chỉ)  Create ta tạo RootCA Hình 3.6 Thông tin đầy đủ RootCA tạo Hình 3.7 Download PEM fle RootCA Download PEM file RootCA1 (tương tự RootCA2), sau nhập chứng RootCA1.cacert.pem (RootCA2 cacert.pem) vào Trusted Root Certificaton Authorites hệ quản lý chứng windows cách chạy Run certmgr.msc chọn Action  All Tasks  Import  thực bước để Import file “.pem” để tao chứng RootCA1 (RootCA2) (Các RootCA tự ký) Hình 3.8 Chứng thư số RootCA Tiếp theo, tạo thực thể cuối cho RootCA Chọn End Entity Profiles sau add thực thể Hình 3.9 Tạo người dùng End Entity Đối với RootCA1 ta Add Profile User1_Profile Đối với RootCA2 ta Add Profile User2_Profile Sau đó, chọn Edit End Entity Profile để cập nhật thơng tin User1_Profile User2_Profile (User name, Password, thêm Subject DN Atributes, chứng thực RootCA1 User1_Profile, RootCA2 User2_Profile ….), chọn Save để lưu thơng tin Hình 3.10 Điền đầy đủ thơng tn cho User Sau Add lại thơng tin End Entity Hình 3.11 Add lại thơng tn User Tiến hành chứng thực chéo cách: User1 gửi request đến RootCA2 User2 gửi request đến RootCA1 để xác thực Hình 3.12 Các User gửi request để thực xác thực chéo Xác thực chéo thành công: Hình 3.13 Xác thực chéo thành cơng cho User1 Hình 3.14 Xác thực chéo thành công cho User2 Kết chương: Nội dung chương xây dựng ứng dụng PKI sử dụng giải pháp chứng thực chéo dựa phần mềm mã nguồn EJBCA KẾT LUẬN Kết đạt được: Trong thời gian tìm hiểu, xây dựng ứng dụng, luận văn hoàn thành nhiệm vụ đặt ra, cụ thể là: Về mặt lý thuyết: Luận văn nghiên cứu tìm hiểu hệ thống chứng thực điện tử gồm: - Cơ sở lý thuyết mật mã khóa bí mật, mật mã khóa cơng khai, chữ ký số hàm băm làm sở cho việc tìm hiểu hạ tầng khóa cơng khai PKI - Hạ tầng khóa cơng khai PKI tm hiểu vềkhái niệm PKI, thành phần cách thức hoạt động, chức PKI, mơ hình kiến trúc PKI - Thực trạng ứng dụng PKI Việt nam - Luận văn sâu vào nghiên cứu tìm hiểu chứng thực chéo PKI để giải toán xây dựng chế tin cậy lẫn hệ thống chứng thực điện tử khác - Các ứng dụng PKI Về ứng dụng: Kết triển khai chứng thực chéo hệ thống phần mềm nguồn mở EJBCA Hướng phát triển: Ứng dụng phát triển để xây dựng chứng thực chéo hệ thống chứng thực điện tử Việt Nam để giải vấn đề chứng thực hệ thống chứng thực khác mà cần liên thông với làm sở để xây dựng Chính phủ điện tử Em xin chân thành cảm ơn! Tài liệu tiếng Việt TÀI LIỆU THAM KHẢO [1] Trịnh Nhật Tiến, ”An toàn liệu ” Đại học Cơng Nghệ- ĐHQGHN [2] Bùi Dỗn Khanh, Nguyễn Đình Thúc (2004), Giáo trình mã hóa thơng tin – Lý thuyết ứng dụng, NXB LĐXH [3] Hồ Văn Hương, Đào Thị Ngọc Thùy, Cơ sở hạ tầng khóa cơng khai sinh trắc BioPKI, tạp chí An tồn thơng tin, 2009 [4] Hồ Văn Hương, Đào Thị Ngọc Thùy, Một số ứng dụng sở hạ tầng khóa cơng khai sinh trắc, tạp chí An tồn thơng tin, 2010 [5] Hồ Văn Hương, Hoàng Chiến Thắng, Ký số xác thực tảng Web, tạp chí An tồn thơng tn, 2013 [6] Lê Quang Tùng, Giải pháp liên thông hệ thống chứng thực điện tử Việ Nam, tạp chí An tồn thơng tin, 2015 Tài liệu tiếng Anh [7] A.I Ghori, A Parveen (2006), “PKI Administraton Using EJBCA and OpenCA”, George Mason University [8] Andrew Nash, William Duane, Celia Joseph and Derek Brink (2001), "PKI: Implementing and Managing E-security", RSA Press [9] Carlisle Adams, Steve Lloyd, (November 06, 2002), “Understanding PKI: Concepts, Standards, and Deployment Considerations, Second Editon” [10] IETF Public-Key Infrastructure X.509 (PKIX) Working Group [11] Jim Turnbull (2000), Cross-Certfication and PKI Policy Networking [12] Suranjan Choudhury, Kartik Bhatnagar, and Wasim Haque (2001), "Public Key Infrastructure Implementation and Design", M&T Books [13] Z Guo, T Okuyama, M.R Finley Jr (2005), “A New Trust Model for PKI Interoperability” [14] http://www.ejbca.org PHỤ LỤC Cài đặt ứng dụng EJBCA môi trường Windows Triển khai EJBCA môi trường Windows Các bước triển khai EJBCA môi trường Windows 7/10, sử dụng hệquản trị sở liệu MySQL sau: Bước 1: Cài đặt Java Tải phiên JDK cài đặt, phiên JDK update 79 địa chỉ: https://www.sun.com/ Sử dụng thư mục cài đặt mặc định là: C:\Program Files\Java Kiểm tra cài đặt thành công cách mở cmd gõ lệnh: java –version Bước 2: Thay JCE Policy Tải Unlimited Strength Jurisdiction Policy Files for JDK địa chỉ: https://www.sun.com/ Giải nén chép đè vào thư mục C:\Program Files\Java\jre7\lib\security thư mục C:\Program Files\Java \jdk1.7.0_79\jre\lib\security Bước 3: Cài đặt Ant Tải apache-ant-1.8.2-bin.zip địa chỉ: http://ant.apache.org/bindownload.cgi Giải nén vào ổ C:\ Kiểm tra cài đặt thành công cách mở cmd gõ lệnh: ant –version Bước 4: Cài đặt Jboss Tải jboss-as-7.1.1.Final trang địa chỉ: http://www.jboss.org/ Giải nén vào ổ C:\ Bước 5: Cài đặt MySQL Tải cài đặt mysql-5.5.44 địa chỉ: http://mysql.com/ Cài đặt MySQL với cấu hình mặc định chạy cài đặt Tạo sở liệu có tên ejbca phân toàn quyền quản trị ejbca cho tài khoản người dùng, sử dụng tài khoản root MySQL Bước 6: Cài đặt MySQL Connector/J 5.1 (JDBC Driver) Tải phiên MySQL Connector cho Java địa chỉ: htp://mysql.com/ Tập tin tải có tên: mysql-connector-java-5.1.18-bin Sao chép tập tin vào thư mục: C:\jboss-as7.1.1.Final\modules\com\mysql\main Bước 7: Cài đặt biến môi trường JAVA_HOME = C:\Program Files\Java\jdk1.7.0_79 JBOSS_HOME = C:\jboss-as-7.1.1.Final ANT_HOME = C:\apache-ant-1.8.2 ANT_OPTS = -Xmx640m PATH = %JAVA_HOME%/BIN;%JBOSS_HOME%/BIN;%ANT_HOME%/bin; CLASSPATH= %JAVA_HOME%/lib/dt.jar;%JAVA_HOME%/lib/tools.jar;%JAVA_HOME%/lib; Bước 8: Cài đặt EJBCA Tải EJBCA phiên ejbca_ce_6_3_1_1 địa chỉ: https://www.ejbca.org/ Giải nén tập tin vào ổ C:\ Vào thư mục C:\ejbca_ce_6_3_1_1\conf, mở tập tin ejbca.properties.sample, chỉnh sửa tham số sau:  appserver.home=C:/jboss-as-7.1.1.Final  appserver.type=jboss  ejbca.productonmode=true  ejbca.cli.defaultusername=ejbca  ejbca.cli.defaultpassword=ejbca Sau lưu tập tin thành ejbca.properties Vào thư mục C:\ejbca_ce_6_3_1_1\conf, mở tập tin database.properties.sample, chỉnh sửa tham số sau:  datasource.jndi-name=EjbcaDS  database.name=mysql  database.url=jdbc:mysql://127.0.0.1:3306/ejbca? characterEncoding=UT F-8  database.driver=com.mysql.jdbc.Driver  database.username=  database.password= Sau lưu tập tin thành database.properties Vào thư mục C:\ejbca_ce_6_3_1_1\conf, mở tập tin web.propertes.sample, lưu tập tin thành web.properties  Chú ý: ý nghĩa tham số giải thích tập tn properties Bước 9: Triển khai hệ thống Mở Windows cmd quyền quản trị, chuyển vào thư mục C:\jboss-as7.1.1.Final\bin khởi động Jboss server (gõ câu lệnh standalone.bat) Mở Windows cmd thứ quyền quản trị, chuyển vào thư mục C:\ejbca_ce_6_3_1_1, sau thực câu lệnh sau:  ant deploy (biên dịch mã nguồn ejbca triển khai vào server ứng dụng)  ant install (cài đặt ejbca) Chuyển sang cửa sổ cmd Jboss, jboss hoàn thành thực thi lệnh triển khai ejbca khởi động lại Jboss server (Ctrl + C, sau gõ standalone.bat) Vào thư mục C:\ejbca_ce_6_3_1_1\p12, nhập tập tin superadmin.p12 vào phần quản lý chưng trình duyệt web  Bật trình duyệt web, vào địa chỉ: https://server:8443/ejbca (server địa máy chủ dùng để cài ejbca) ... CÔNG NGHỆ LÊ THỊ THU HUYỀN NGHIÊN CỨU, TÌM HIỂU VỀ HỆ THỐNG CHỨNG THỰC SỐ VÀ ỨNG DỤNG Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60480104 LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG... hiểu sở hạ tầng khóa cơng khai, thực trạng việc sử dụng hệ thống PKI, thành phần hệ thống PKI, kiến trúc trung tâm chứng thực CA, hoạt động hệ thống PKI, chứng thư số chứng thực chéo để xác thực. .. chứng thực chéo để xác thực mối quan hệ PKI 9 Chương 3: Một số ứng dụng Hệ thống chứng thực điện tử PKI Chương xây dựng ứng dụng chứng thực chéo PKI sử dụng hệ thống phần mềm trung tâm CA mã nguồn