Nghiên cứu giải pháp xây dựng hệ thống cấp chứng chỉ số dựa trên hạ tầng khóa công khai

Số hóa bởi trung tâm học liệu www: \\lrc-tnu.edu.vn

ĐẠI HỌC THÁI NGUYÊN

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

HOÀNG THỊ THÚY

NGHIÊN CỨU GIẢI PHÁP XÂY DỰNG

HỆ THỐNG CẤP CHỨNG CHỈ SỐ DỰA

TRÊN HẠ TẦNG KHÓA CÔNG KHAI

Chuyên ngành: Khoa học máy tính

Mã số: 60 48 01 01

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS. NGUYỄN VĂN TAM

Thái Nguyên 10/2013

Số hóa bởi trung tâm học liệu www: \\lrc-tnu.edu.vn

i

LỜI CẢM ƠN

Trước hết, tôi xin gửi lời cảm ơn chân thành nhất tới PGS.TS

Nguyễn Văn Tam, người thầy đã cho tôi những định hướng và những ý

kiến rất quý báu về công nghệ PKI cũng như cách để triển khai ứng

dụng trên nó.

Tôi cũng xin tỏ lòng biết ơn sâu sắc tới thầy cô, bạn bè cùng khoá

đã quan tâm, giúp đỡ tôi tiến bộ trong suốt thời gian qua. Tôi xin cảm

ơn trường Đại học Thái Nguyên cũng như trường Đại học Kinh Doanh

và Công nghệ Hà Nội đã hết sức tạo điều kiện cho tôi trong quá trình

học và làm luận văn này.

Luận văn được hoàn thành trong thời gian rất hạn hẹp, và chắc

chắn còn nhiều khiếm khuyết cần bổ sung thêm. Tôi xin cảm ơn các thầy

cô, bạn bè và người thân đã và sẽ có những góp ý chân tình cho nội

dung của luận văn này, để tôi có thể tiếp tục đi sâu tìm hiểu về PKI, CA

và hy vọng có thể đưa vào ứng dụng thực tiễn công tác.

Hoàng Thị Thúy

Số hóa bởi trung tâm học liệu www: \\lrc-tnu.edu.vn

ii

MỤC LỤC

Lời cảm ơn...................................................................................................... i

Mục lục .......................................................................................................... ii

Danh mục từ viết tắt...................................................................................... iv

Danh mục hình vẽ .......................................................................................... v

MỞ ĐẦU....................................................................................................... 1

CHƢƠNG 1: GIỚI THIỆU VỀ HỆ MẬT MÃ ........................................... 2

1.1. Hệ mật mã khoá đối xứng........................................................................ 3

1.2. Hệ mật mã khoá công khai ...................................................................... 4

1.3. Hàm băm................................................................................................. 8

1.4. Chữ kí số ............................................................................................... 11

CHƯƠNG 2: CHỨNG CHỈ SỐ VÀ HỆ THỐNG CẤP CHỨNG CHỈ CA...13

2.1. Chứng chỉ số (digital certificates).......................................................... 14

2.1.1. Chứng chỉ khóa công khai .................................................................. 14

2.1.2. Chứng chỉ khoá công khai X.509........................................................ 16

2.1.3. Thu hồi chứng chỉ............................................................................... 20

2.1.4. Chính sách đối với chứng chỉ số ......................................................... 21

2.1.5. Công bố và gửi thông báo thu hồi chứng chỉ....................................... 22

2.2. Hạ tầng khóa công khai – PKI............................................................... 25

2.3. Hệ thống cấp chứng chỉ số (Certification Authority – CA) .................... 30

2.4. Mô hình tin cậy cho PKI........................................................................ 31

2.4.1. Mô hình CA đơn................................................................................. 31

2.4.2. Mô hình phân cấp ............................................................................... 33

2.4.3. Mô hình mắt lưới (xác thực chéo)....................................................... 34

2.4.4. Mô hình Hub và Spoke (Bridge CA) .................................................. 36

2.4.5. Mô hình Web (Trust Lists).................................................................. 37

Số hóa bởi trung tâm học liệu www: \\lrc-tnu.edu.vn

iii

2.4.6. Mô hình người sử dụng trung tâm (User Centric Model).................... 38

CHƯƠNG 3: XÂY DỰNG HỆ THỐNG CẤP CHỨNG CHỈ SỐ

THỬ NGHIỆM................................................................................40

3.1. Tổng quan về hệ thống .......................................................................... 41

3.1.1. Mô hình hệ thống ............................................................................... 41

3.1.2. Một số đặc tính của hệ thống cung cấp chứng chỉ số .......................... 41

3.2. Chức năng và quá trình khởi tạo các thành phần trong hệ thống cung

cấp chứng chỉ số JavaCA ............................................................................. 46

3.2.1. Certificate Authority - CA .................................................................. 46

3.2.2. Registration Authority - RA................................................................ 47

3.2.3. RAO................................................................................................... 47

3.2.4. LDAP và Public Database Server ....................................................... 48

3.3. Qui trình đăng kí, cấp phát chứng chỉ .................................................... 49

3.4. Thử nghiệm sản phẩm ........................................................................... 50

3.4.1. Thử nghiệm phía quản trị.................................................................... 50

3.4.2. Thử nghiệm phía người dùng.............................................................. 50

3.5. Đánh giá chung...................................................................................... 50

Kết quả nghiên cứu ...................................................................................... 53

Số hóa bởi trung tâm học liệu www: \\lrc-tnu.edu.vn

iv

DANH MỤC TỪ VIẾT TẮT

ARLs Authority Revocation Lists

CA Certificate Authority

CAO Certificate Authority Operator

CMS Cryptographic Message Syntax

COST Commercial of the Shelf

CRLs Certificate Revocation Lists

CRR Certificate Revocation Request

CSP Certification Service Provider

DAP Directory Access Protocol

DES Data Encryption Standard

DNS Domain Name System

DSS Digital Signature Standard

ECC Elliptic Curve Cryptography

HTTPS Secure Hypertext Transaction Standard

IANA Internet Assigned Numbers Authority

IEEE Institute of Electrical & Electronic Engineers

IETF Internet Engineering Task Force

ISO International Organization for

Standardization

ITU-T Internet Telecommumications Union￾Telecommunication

LDAP Lightweight Directory Access Protocol

MD5 Message Digest 5 Hash Algorithm

OCSP Online Certificate Status Protocol

PEM Privacy Enhanced Mail

PGP Pretty Good Privacy

PKC Public Key Certificate

PKCS Public Key Cryptography Standards

PKI Public Key Infrastructure

PKIX Extended Public Key Infrastructure

RA Registration Authorities

RAO Registration Authorities Operator

RFC Request For Comments

RSA Rivest Shamir Adleman

S/MIME Secure Multipurpose Internet Mail

Extensions

SHA-1 Secure Hash Standard

SSL Secure Socket Layer

TLS Transport Layer Security

Số hóa bởi trung tâm học liệu www: \\lrc-tnu.edu.vn

v

DANH MỤC HÌNH VẼ

Hình 1.2: Mã hoá thông điệp sử dụng khoá công khai C .............................. 5

Hình 1.3: Giải mã thông điệp sử dụng khoá riêng của người nhận................. 5

Hình 1.4: Sơ đồ hệ mật mã RSA.................................................................... 6

Hình 1.5: Mã hoá thông điệp sử dụng khoá bí mật R để mã thông điệp và

khoá công khai C để mã khoá bí mật R......................................... 7

Hình 1.6: Giải mã thông điệp sử dụng khoá bí mật C để giải mã thông điệp7

và khoá riêng R để giải mã khoá bí mật C..................................... 7

Hình 1.7: Nhiều thông điệp nguồn cho cùng 1 kết quả đích sau mã hoá/ kí số...........9

Hình 1.8: Sơ đồ chữ kí RSA......................................................................... 12

Hình 2.1: Khuôn dạng chứng chỉ X.509 ....................................................... 17

Hình 2.2: Khuôn dạng danh sách chứng chỉ bị thu hồi................................. 23

Hình 2.3: Dịch vụ kiểm tra online ............................................................... 25

Hình 2.4: Các thành phần PKI...................................................................... 26

Hình 2.5: Mô hình CA đơn........................................................................... 32

Hình 2.6: Mô hình phân cấp ......................................................................... 33

Hình 2.7: Mô hình mắt lưới.......................................................................... 35

Hình 3.1: Mô hình hệ thống cung cấp chứng chỉ số...................................... 41

Hình 3.2: Tệp yêu cầu cấp chứng chỉ............................................................ 43

Hình 3.3: Chứng chỉ lưu khoá công khai của rootCAtrong hệ thống JavaCA ..... 44

Hình 3.4: Chứng chỉ của người sử dụng ....................................................... 45

Hình 3.5: Mô hình mô phỏng hệ thống JavaCA phân cấp hai tầng................ 47

Hình 3.6: Mô hình quan hệ và trao đổi dữ liệu giữa các thành phần trong

hệ thống ...................................................................................... 49

Hình 3.7: Mô hình đăng kí và cấp chứng chỉ số............................................ 49

Số hóa bởi trung tâm học liệu www: \\lrc-tnu.edu.vn

1

MỞ ĐẦU

Các dịch vụ trên mạng Internet/Intranet ngày càng phong phú nhưng

mức độ đe dọa đến an ninh thông tin trên mạng như làm thất thoát, sai lệch

thông tin, giả mạo thông tin và người dùng ngày càng trở nên nghiêm trọng.

Nghiên cứu xây dựng hệ thống thông tin an toàn và có tính bảo mật cao đang

là nhu cầu cấp bách hiện nay. Thuật toán mật mã khóa công khai, đặc biệt là

thuật toán RSA cho phép mã hóa, thực hiện chữ kí số để bảo đảm tính mật,

tính xác thực, tính toàn vẹn thông tin khi truyền trên mạng. Tuy nhiên, khóa

công khái có thể bị giả mạo do vậy Nhà cung cấp phải chứng thực số

(Certificate Authority - CA) chứng thực khóa công khai thuộc về ai. Chính vì

vậy học viên chọn đề tài: “Nghiên cứu giải pháp xây dựng hệ thống cấp

chứng chỉ số dựa trên hạ tầng khóa công khai” với mục đích tìm hiểu về

chứng chỉ số, hạ tầng khóa công khai PKI và triển khai thử nghiệm một hệ

thống cung cấp chứng chỉ số để minh họa.