PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP 1. Thông tin về sinh viên Họ và tên sinh viên: Trần Hoàn Vũ Điện thoại liên lạc: 0982.195.223 Email: tranhoanvu205@yahoo.com Lớp: Hệ Thống Thông Tin và Truyền Thông Hệ đào tạo: Chính quy Kỹ Sư Chất Lượng Cao – K49 Đồ án tốt nghiệp được thực hiện tại: Bộ môn Truyền thông và mạng máy tính Thời gian làm ĐATN: Từ ngày 12/03/2009 đến 12/06/2009 2. Mục đích nội dung của ĐATN Nhiệm vụ của đồ án là xây dựng thành phần Setup trong hệ thống BioPKI-OpenCA. Đây là một hệ thống an ninh thông tin dựa trên sự kết hợp giữa sinh trắc học với hạ tầng khóa công khai PKI dùng môi trường OpenCA có sử dụng thiết bị nhúng. Trọng tâm của đồ án là tập trung xây dựng phân hệ Setup hệ thống BioPKI-OpenCA. 3. Các nhiệm vụ cụ thể của ĐATN • Tìm hiểu lý thuyết về PKI, OpenCA, sinh trắc học, các giải pháp tích hợp sinh trắc với hạ tầng khóa công khai để thành hệ BioPKI • Tập trung xây dựng, phát triển phân hệ Setup hệ thống BioPKI-OpenCA • Thử nghiệm một ứng dụng trên hệ thống BioPKI-OpenCA 4. Lời cam đoan của sinh viên: 1 Tôi –Trần Hoàn Vũ - cam kết ĐATN là công trình nghiên cứu của bản thân tôi dưới sự hướng dẫn của PGS.TS. Nguyễn Thị Hoàng Lan. Các kết quả nêu trong ĐATN là trung thực, không phải là sao chép toàn văn của bất kỳ công trình nào khác. Hà Nội, ngày 29 tháng 05 năm 2009 Tác giả ĐATN Trần Hoàn Vũ 5. Xác nhận của giáo viên hướng dẫn về mức độ hoàn thành của ĐATN và cho phép bảo vệ: Hà Nội, ngày tháng năm 2009 Giáo viên hướng dẫn PGS.TS. Nguyễn Thị Hoàng Lan 2 M ỤC L ỤC PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP………………………………………… 1 LỜI CẢM ƠN…………………………………………………………………………………….6 TÓM TẮT ĐỒ ÁN……………………………………………………………………………….7 DANH MỤC TỪ VIẾT TẮT……………………………………………………………………8 DANH MỤC HÌNH VẼ………………………………………………………………………….9 CHƯƠNG 1 – LÝ THUYẾT TỔNG QUAN VỀ MẬT MÃ VÀ ỨNG DỤNG…………… 11 1.1 Giới thiệu chung………………………………………………………………………… 11 1.2 Khái niệm hệ mật mã…………………………………………………………………… 11 1.3 Hệ mật mã khoá đối xứng…………………………………………………………………12 1.4 Hệ mật mã khoá công khai……………………………………………………………… 13 1.5 Chữ ký số………………………………………………………………………………….17 1.6 Hàm băm………………………………………………………………………………… 21 CHƯƠNG 2 - CHỨNG THƯ SỐ VÀ HẠ TẦNG MÃ KHOÁ CÔNG KHAI 24 2.1. Chứng thư số (digital certificates)……………………………………………………… 25 2.1.1 Giới thiệu……………………………………………………………………………… 25 2.1.2 Chứng thư khoá công khai X.509……………………………………………………….27 2.1.3 Thu hồi chứng thư……………………………………………………………………….31 2.1.4 Chính sách của chứng thư……………………………………………………………….32 2.1.5 Công bố và gửi thông báo thu hồi chứng thư………………………………………… 33 2.2 Các thành phần của PKI………………………………………………………………….36 2.2.1 Tổ chức chứng thực CA (Certification Authority)…………………………………… 38 2.2.2 Trung tâm đăng ký RA (Registration Authorities)…………………………………… 38 3 2.2.3 Thực thể cuối ( Người giữ chứng thư và Clients)………………………………………39 2.2.4 Hệ thống lưu trữ (Repositories)…………………………………………………………39 2.3 Chức năng cơ bản của PKI……………………………………………………………… 40 2.3.1 Chứng thực (certification)………………………………………………………………40 2.3.2 Thẩm tra (validation)……………………………………………………………………40 2.3.3 Một số chức năng khác………………………………………………………………….41 2.4 Mô hình tin cậy cho PKI………………………………………………………………… 44 2.4.1 Mô hình CA đơn……………………………………………………………………… 45 2.4.2 Mô hình phân cấp……………………………………………………………………….46 2.4.3 Mô hình mắt lưới (xác thực chéo)………………………………………………………47 2.4.4 Mô hình Hub và Spoke (Bridge CA)……………………………………………………49 2.4.5 Mô hình Web (Trust Lists)…………………………………………………………… 49 2.4.6 Mô hình người sử dụng trung tâm (User Centric Model)………………………………51 CHƯƠNG 3 - PHƯƠNG ÁN THIẾT KẾ XÂY DỰNG HỆ THỐNG BIOPKI-OPENCA TRONG KHUÔN KHỔ ĐỀ TÀI KC.01.11………………………………………………… 53 3.1 Giới thiệu……………………………………………………………………………………53 3.1.1 Đề tài KC.01.11…………………………………………………………………………53 3.1.2 Sinh trắc học…………………………………………………………………………….54 a. Sinh trắc học là gì…………………………………………………………………… 54 b. Các giải pháp tích hợp sinh trắc để bảo vệ khoá cá nhân…………………………… 56 3.1.3 Tổng quan về hệ thống OpenCA……………………………………………………….58 3.1.3.1 Giới thiệu……………………………………………………………………… 58 3.1.3.2 Đánh giá về hệ OpenCA…………………………………………………………59 3.1.4 Mục đích của hệ thống BK BioPKI-OpenCA………………………………………… 59 3.2 Thư viện OpenSSL………………………………………………………………………….60 4 3.3 Phương án thiết kế xây dựng hệ thống BioPKI-OpenCA……………………………… 65 3.3.1 Mô hình hệ thống dự kiến………………………………………………………………65 3.3.2 Các thành phần và chức năng của hệ thống…………………………………………….66 3.3.3 Biểu đồ phân cấp chức năng…………………………………………………………….68 3.3.4 Xây dựng phương án về quy trình hệ thống BK-BioPKI-OpenCA…………………….74 CHƯƠNG 4 -PHÂN TÍCH THIẾT KẾ CÀI ĐẶT THÀNH PHẦN SETUP HỆ THỐNG BK-BIOPKI-OPENCA 78 4.1 Giới thiệu……………………………………………………………………………………78 4.2 Phân tích yêu cầu………………………………………………………………………… 78 4.3 Các chức năng cơ bản của Module Setup hệ thống…………………………………… 79 4.4 Xây dựng kịch bản…………………………………………………………………………80 4.4.1 Setup CA Operator…………………………………………………………………… 80 4.4.2 Setup RA……………………………………………………………………………….82 4.4.3 Setup LRA…………………………………………………………………………… 85 4.4.4 Kịch bản khởi động…………………………………………………………………… 86 CHƯƠNG 5 - THỬ NGHIỆM KỊCH BẢN ỨNG DỤNG TRONG HỆ THỐNG BIOPKI- OPENCA……………………………………………………………………………………… 88 5.1 Thiết kế kịch bản thử nghiệm ứng dụng chữ kí số……………………………………….89 5.2 Kết quả thử nghiệm……………………………………………………………………… 94 KẾT LUẬN…………………………………………………………………………………… 96 TÀI LIỆU THAM KHẢO…………………………………………………………………… 97 LỜI CẢM ƠN 5 Tôi xin gửi lời cảm ơn chân thành nhất tới PGS TS Nguyễn Thị Hoàng Lan, người thầy đã cho tôi những định hướng và những ý kiến rất quý báu để tôi hoàn thành được đồ án tốt nghiệp này. Tôi xin tỏ lòng biết ơn sâu sắc tới các thầy cô, bạn bè cùng làm việc trong khuôn khổ đề tài KC01.11/06-10 đã dìu dắt, giúp đỡ tôi tiến bộ trong suốt quá trình làm đồ án tốt nghiệp. Xin cảm ơn gia đình và bè bạn, những người luôn khuyến khích và giúp đỡ tôi trong mọi hoàn cảnh khó khăn. Tôi xin cảm ơn bộ môn Truyền Thông và Mạng Máy Tính, khoa Công Nghệ Thông Tin trường Đại Học Bách Khoa Hà Nội đã hết sức tạo điều kiện cho tôi trong quá trình học và làm đồ án này. TÓM TẮT ĐỒ ÁN 6 Đồ án này có tên “Xây dựng phân hệ Setup trong hệ thống an ninh dựa trên sinh trắc học BioPKI-OpenCA” nằm trong khuôn khổ đề tài nghiên cứu khoa học công nghệ cấp nhà nước KC01.11/06-10 “Hệ thống an ninh thông tin dựa trên sinh trắc học sử dụng công nghệ nhúng BioPKI”. Nội dung đồ án là nghiên cứu xây dựng nền tảng hệ thống BioPKI-OpenCA trong đó tập trung xây dựng phân hệ setup hệ thống và thử nghiệm một ứng dụng trên hệ thống BioPKI-OpenCA. DANH MỤC TỪ VIẾT TẮT APKI Architecture for Public-Key Infrastructure 7 CA Certificate Authority CRL Certifiate Revocation List DES Data Encrytion Standard DSA Digital Signature Algorithm DSS Digital Signature Standard IETF Internet Engineering Task Force LDAP Lightweight Directory Access Protocol MD2, 4,5 Message Digest 2,4,5 NIST National Institute of Standards and Technology NSA National Security Agency PEM Privacy Enhanced Mail PGP Pretty Good Privacy RA Registration Authority PKCS Public Key Cryptography Standards PKI Public Key Infrastructure PKIX Public Key Infrastructure X.509 group RFC Request For Comments RSA Rivest Shamir Adleman SCEP Simple Certificate Enrollment Protocol SET Secure Electronic Transactions SHA Secure Hash Algorithm SPKI Simple Public Key Infrastructure SSL Secure Socket Layer TSL Transport Layer Security DANH MỤC HÌNH VẼ Hình 1.1: Quá trình mã hoá và giải mã 8 Hình 1.2: Mã hoá thông điệp sử dụng khoá công khai P Hình 1.3: Giải mã thông điệp sử dụng khoá cá nhân của người nhận Hình 1.4: Sơ đồ hệ mật mã RSA Hình 1.5: Mã hoá thông điệp sử dụng khoá cá nhân S để mã thông điệp và khoá công khai P để mã khoá cá nhân S Hình 1.6: Giải mã thông điệp sử dụng khoá cá nhân S để giải mã thông điệp và khoá cá nhân P để giải mã khoá cá nhân S Hình 1.7: Sơ đồ chữ ký RSA Hình 1.8: Sơ đồ mô tả các công đoạn người A làm trước khi gửi thông điệp cho người B (sử dụng hàm băm rồi ký số) Hình 1.9: Sơ đồ mô tả các công đoạn kiểm tra chữ ký sau khi người B nhận được thông điệp Hình 1.10: Nhiều thông điệp nguồn cho cùng 1 kết quả đích sau mã hoá/ ký số Hình 2.1: Chứng thư số Hình 2.2: Khuôn dạng chứng chỉ X.509 Hình 2.3: Nội dung chi tiết của chứng chỉ Hình 2.4: Khuôn dạng danh sách chứng chỉ bị thu hồi Hình 2.5: Dịch vụ kiểm tra online Hình 2.6: Các thành phần PKI Hình 2.7: Đường dẫn chứng chỉ chéo Hình 2.8: Mô hình CA đơn Hình 2.9: Mô hình phân cấp Hình 2.10: Mô hình mắt lưới Hình 2.11: Mô hình Hub và Spoke (Bridge CA) Hình 3.1: Các thuộc tính sinh trắc học khác nhau 9 Hình 3.2: Bảng so sánh các đặc trưng sinh trắc học theo A. K. Jain [2] (H - cao, M - trung bình, L - thấp) Hình 3.3: Các thành phần của hệ thống OpenCA Hình 3.4: Mô hình hệ thống BioPKI-OpenCA mức khung cảnh Hình 3.5: Biểu đồ phân cấp chức năng của CA Operator Hình 3.6: Biểu đồ phân cấp chức năng của RA Hình 3.7: Biểu đồ phân cấp chức năng của LRA Hình 4.1: Các chức năng của Module Setup Hệ Thống Hình 4.2: Biểu đồ diễn tiến quá trình Setup CA Operator Hình 4.3: Biểu đồ diễn tiến quá trình Setup RA Hình 4.4: Biểu đồ diễn tiến quá trình đăng ký một LRA Hình 4.5: Biểu đồ diễn tiến quá trình setup LRA Hình 4.6: Kịch bản khởi động cho các phân hệ trong hệ thống BioPKI Hình 5.1: Biểu đồ usecase nhóm các chức năng liên quan tới ứng dụng trên nền PKI Hình 5.2: Biểu đồ diễn tiến quá trình kí Hình 5.3: Biểu đồ diễn tiến quá trình xác thực chữ kí Hình 5.4: Quá trình kí có thử nghiệm hoạt động tất cả các thành phần của hệ thống BioPKI-OpenCA Hình 5.5: Quá trình xác thực có thử nghiệm hoạt động tất cả các thành phần của hệ thống CHƯƠNG 1 LÝ THUYẾT TỔNG QUAN VỀ MẬT MÃ VÀ ỨNG DỤNG 10 [...]... này được mô tả trong hình 1.2 và 1.3 13 Hình 1.2: Mã hoá thông điệp sử dụng khoá công khai P Hình 1.3: Giải mã thông điệp sử dụng khoá cá nhân của người nhận Có nhiều hệ thống khoá công khai được triển khai rộng rãi như hệ RSA, hệ ElGamal sử dụng giao thức trao đổi khoá Diffie-Hellman và nổi lên trong những năm gần đây là hệ đường cong Elliptic Trong số các hệ mật mã trên thì hệ RSA là hệ được cộng 14... đánh giá các hệ mật mã công khai Nhưng do bản thân các hệ mật mã khoá công khai đều dựa vào các giả thiết liên quan đến các bài toán khó nên đa số các hệ mật mã này đều có tốc độ mã dịch không nhanh lắm Chính nhược điểm này làm cho các hệ mật mã khoá công khai khó được dùng một cách độc lập Một vấn đề nữa nảy sinh khi sử dụng các hệ mật mã khóa công khai là việc xác thực mà trong mô hình hệ mật mã đối... rãi trong việc thực thi mật mã khoá công khai Hệ mật mã RSA, do Rivest, Shamir và Adleman [6] tìm ra, đã được công bố lần đầu tiên vào tháng 8 năm 1977 trên tạp chí Scientific American Hệ mật mã RSA được sử dụng rộng rãi trong thực tiễn đặc biệt cho mục đích bảo mật và xác thực dữ liệu số Tính bảo mật và an toàn của chúng được bảo đảm bằng độ phức tạp của một bài toán số học nổi tiếng là bài toán phân. .. DES… hoặc các hệ mật mã dòng mà khoá được sinh ra từ một nguồn giả ngẫu nhiên bằng thuật toán Mặc dù đã thực hiện việc mã hoá và giải mã bằng các hệ mật mã khối hay bằng thuật toán sinh khoá như đã nêu ở trên thì vấn đề phân phối và thoả thuận khoá vẫn phải được thực hiện Như vậy phân phối và thoả thuận khoá là một vấn đề chưa thể được giải quyết trong các hệ mật mã khoá đối xứng 1.4 Hệ mật mã khoá... pháp Trong hệ thống mật mã khoá công khai, khoá cá nhân (khoá cá nhân) được người dùng giữ bí mật trong khi khoá công khai với tên của người sở hữu tương ứng lại được công bố công khai Đối với hệ thống như thế này, ta cần xác định và trả lời một số câu hỏi như: - Ai sẽ tạo ra cặp khoá công khai – bí mật? - Dữ liệu sẽ được lưu dưới định dạng như thế nào trong hệ thống lưu trữ (khoá công, định danh của... lập mã và giải mã Những hệ mật mã cổ điển với cách sử dụng trên được gọi là mật mã khoá đối xứng hay còn gọi là mật mã khoá cá nhân Độ an toàn của hệ mật mã đối xứng phụ thuộc vào khoá Nếu để lộ khoá thì bất kỳ người nào cũng có thể mã hoá và giải mã thông điệp 12 * Ưu và nhược điểm của hệ mật mã khoá đối xứng Ưu điểm nổi bật của các hệ mật mã khoá đối xứng là việc xây dựng một hệ mật mã có độ bảo mật... - Có cơ chế nào để giữ cho thông tin không bị thay đổi trên hệ thống lưu trữ? 23 - Làm thế nào để đảm bảo việc gắn kết giữa khoá công và định danh của thực thể yêu cầu có khoá công? - Làm thế nào để người sử dụng có thể truy cập được đến nơi lưu trữ? - Làm thế nào người sử dụng nhận biết được có sự thay đổi trong dữ liệu đang được lưu trên hệ thống lưu trữ? - Điều gì sẽ xảy với khoá công khai nếu khoá... thông tin thu hồi dựa trên những thông tin cấu hình được thiết lập trong quá trình khởi sinh Để duy trì tính nhất quán và khả năng kiểm tra, CA yêu cầu: - Duy trì bản ghi kiểm tra chứng thư thu hồi - Cung cấp thông tin trạng thái thu hồi - Công bố CRLs khi CRL là danh sách trống 2.1.4 Chính sách của chứng thư Như được giới thiệu trong phần trên, một số mở rộng liên quan đến chính sách có trong chứng thư... đến ở trên, mật mã khoá công khai sử dụng hai khoá khác nhau (khoá công và khoá cá nhân) để đảm bảo yêu cầu “bí mật, xác thực, toàn vẹn và chống chối bỏ ” của những dịch vụ an toàn Một đặc tính quan trọng khác của lược đồ khoá công khai là phần khoá công khai được phân phối một cách tự do Ngoài ra, trong hạ tầng mã khoá công khai thì khoá công ngoài việc phải luôn sẵn có để mọi người trong hệ thống. .. thừa số nguyên tố Hệ mật mã RSA được mô tả như hình 1.4 Hình 1.4: Sơ đồ hệ mật mã RSA Việc phát minh ra phương pháp mã công khai tạo ra một cuộc “cách mạng” trong công nghệ an toàn thông tin điện tử Nhưng thực tiễn triễn khai cho thấy tốc độ mã hoá khối dữ liệu lớn bằng các thuật toán mã hoá công khai chậm hơn rất nhiều so với hệ mã hoá đối xứng Ví dụ, để đạt được độ an toàn như các hệ mã đối xứng mạnh . thống an ninh dựa trên sinh trắc học BioPKI-OpenCA nằm trong khuôn khổ đề tài nghiên cứu khoa học công nghệ cấp nhà nước KC01.11/06-10 Hệ thống an ninh thông tin dựa trên sinh trắc học sử dụng. công nghệ nhúng BioPKI”. Nội dung đồ án là nghiên cứu xây dựng nền tảng hệ thống BioPKI-OpenCA trong đó tập trung xây dựng phân hệ setup hệ thống và thử nghiệm một ứng dụng trên hệ thống BioPKI-OpenCA. DANH. thuyết về PKI, OpenCA, sinh trắc học, các giải pháp tích hợp sinh trắc với hạ tầng khóa công khai để thành hệ BioPKI • Tập trung xây dựng, phát triển phân hệ Setup hệ thống BioPKI-OpenCA • Thử