ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ VŨ VĂN TRIỆU XÂY DỰNG HỆ THỐNG QUẢN LÝ CHỨNG CHỈ DỰA TRÊN CÔNG NGHỆ SSL VÀ IAIK LUẬN VĂN THẠC SĨ CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN: PGS.TS.TRỊNH NHẬT TIẾN NĂM 2007 LỜI CAM ĐOAN Tôi xin cam đoan luận văn tự nghiên cứu, tìm hiểu tổng hợp từ nhiều nguồn tài liệu khác Luận văn tốt nghiệp kết trình học tập, nghiên cứu thực hoàn toàn nghiêm túc, trung thực thân Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Tôi xin hoàn toàn chịu trách nhiệm nội dung trung thực luận văn tốt nghiệp Thạc sĩ MỤC LỤC LỜI CẢM ƠN CÁC THUẬT NGỮ VIẾT TẮT MỞ ĐẦU Chƣơng CÁC KHÁI NIỆM CƠ BẢN Error! Bookmark not defined 1.1 HỆ MÃ HÓA KHÓA ĐỐI XỨNG (Symmetric Key Cryptosystems) Error! Bookmark not defined 1.1.3 Hệ mã hóa RC2 Error! Bookmark not defined 1.1.4 Hệ mã hóa RC4 Error! Bookmark not defined 1.1.5 Hệ mã hóa IDEA Error! Bookmark not defined 1.1.6 Giao thức trao đổi khóa Error! Bookmark not defined 1.2 HỆ MÃ HÓA KHÓA CÔNG KHAI Error! Bookmark not defined 1.2.1 Khái niệm mã hóa công khai Error! Bookmark not defined 1.2.2 Hệ mã hóa RSA Error! Bookmark not defined 1.2.3 Các vấn đề liên quan đến hệ mã hóa RSA Error! Bookmark not defined 1.3 GIAO THỨC SSL Error! Bookmark not defined 1.3.1 Giới thiệu giao thức SSL Error! Bookmark not defined 1.3.2 Vị trí tầng giao thức SSL Error! Bookmark not defined 1.3.3 Hoạt động giao thức SSL Error! Bookmark not defined Chƣơng VẤN ĐỀ CÔNG NGHỆ CỦA Error! Bookmark not defined CƠ SỞ HẠ TÂNG MẬT MÃ KHÓA CÔNG KHAI Error! Bookmark not defined 2.1 GIỚI THIỆU Error! Bookmark not defined 2.1.1 Khái niệm sở hạ tầng mật mã khóa công khai Error! Bookmark not defined 2.1.2 Tình hình sử dụng chứng khóa công khai Error! Bookmark not defined 2.2 CHỨNG CHỈ KHÓA CÔNG KHAI Error! Bookmark not defined 2.2.1 Định dạng X.509 chứng số Error! Bookmark not defined 2.2.2 Đƣờng chứng thực tin tƣởng Error! Bookmark not defined 2.2.3 Các trƣờng chứng số Error! Bookmark not defined 2.2.3.1 Trƣờng tbsCertificate Error! Bookmark not defined 2.2.3.2 Trƣờng signatureAlgorithm Error! Bookmark not defined 2.2.3.3 Trƣờng signatureValue Error! Bookmark not defined 2.2.3.4 Trƣờng version Error! Bookmark not defined 2.2.3.5 Trƣờng serialNumber Error! Bookmark not defined 2.2.3.6 Trƣờng signature Error! Bookmark not defined 2.2.3.7 Trƣờng issuer Error! Bookmark not defined 2.2.3.8 Trƣờng validity Error! Bookmark not defined 2.2.3.9 Trƣờng subject Error! Bookmark not defined 2.2.3.10 Trƣờng subjectPublicKeyInfo Error! Bookmark not defined 2.2.4 Định dạng PEM chứng số Error! Bookmark not defined 2.2.5 Mô hình quản lý chứng số Error! Bookmark not defined 2.2.5.1 Đối tƣợng sử dụng Error! Bookmark not defined 2.2.5.2 Thành phần CA Error! Bookmark not defined 2.2.5.3 Thành phần RA Error! Bookmark not defined 2.2.5.4 Kho thông tin Error! Bookmark not defined 2.2.5.5 CRL Ủy quyền Error! Bookmark not defined 2.2.6 Các chức quản lý chứng số Error! Bookmark not defined 2.2.6.1 Đăng ký Error! Bookmark not defined 2.2.6.2 Khởi tạo Error! Bookmark not defined 2.2.6.3 Chứng thực Error! Bookmark not defined 2.2.6.4 Phục hồi cặp khóa Error! Bookmark not defined 2.2.6.5 Cập nhật cặp khóa Error! Bookmark not defined 2.2.6.6 Yêu cầu thu hồi Error! Bookmark not defined 2.2.6.7 Chứng thực chéo Error! Bookmark not defined 2.2.6.8 Các chức thêm Error! Bookmark not defined 2.2.7 Các giao thức quản lý chứng số Error! Bookmark not defined Chƣơng THỬ NGHIỆM XÂY DỰNG HỆ THỐNG QUẢN LÝ CHỨNG CHỈ SỐ Error! Bookmark not defined 3.1 TỔNG QUAN Error! Bookmark not defined 3.2 YÊU CẦU Error! Bookmark not defined 3.3 PHÂN TÍCH Error! Bookmark not defined 3.3.1 Hoạt động hệ thống Error! Bookmark not defined 3.3.2 Xem xét hệ thống dƣới góc độ khách hàng sử dụng Error! Bookmark not defined 3.3.3 Xem xét hệ thống dƣới góc độ quản trị hệ thống Error! Bookmark not defined 3.3.4 Hiện thực hoá hệ thống CA Error! Bookmark not defined 3.4 Công cụ hỗ trợ PKI :IAIK Error! Bookmark not defined 3.4.1 Giới thiệu chung IAIK Error! Bookmark not defined 3.4.2 Sử dụng IAIK xây dựng hệ thống Error! Bookmark not defined 3.5 HỆ THỐNG QUẢN LÝ CHỨNG CHỈ SỐ Error! Bookmark not defined 3.5.1 Mô hình phân cấp hệ thống Error! Bookmark not defined 3.5.2 Một số chức hệ thống Error! Bookmark not defined 3.5.2.1 Cấp Error! Bookmark not defined 3.5.2.2 Gia hạn thay Error! Bookmark not defined 3.5.2.3 Xem trạng thái yêu cầu Error! Bookmark not defined 3.5.2.4 Tìm kiếm, xem trạng thái lấy chứng số Error! Bookmark not defined 3.5.2.5 Xem cài đặt chuỗi chứng thực Error! Bookmark not defined 3.5.2.6 Xem cài đặt danh sách chứng số bị thu hồi Error! Bookmark not defined 3.5.2.7 Đăng ký thu hồi Error! Bookmark not defined 3.5.2.8 Quản trị hệ thống Error! Bookmark not defined KẾT LUẬN Error! Bookmark not defined TÀI LIỆU THAM KHẢO 11 PHỤ LỤC Error! Bookmark not defined LỜI CẢM ƠN Tôi xin chân thành cảm ơn PGS.TS Trịnh Nhật Tiến - người bảo, hướng dẫn, cung cấp tài liệu quý báu, giúp đỡ trình học tập hoàn thành luận văn Tôi xin cám ơn thầy cô giáo Khoa Công nghệ thông tin - trường Đại học Công nghệ, bạn học viên lớp Cao học CNTT gia đình tạo điều kiện, giúp đỡ vật chất cổ vũ trình học tập hoàn thành luận văn CÁC THUẬT NGỮ VIẾT TẮT CA – Certification Authority Thực thể có thẩm quyền chứng thực, thực thể PKI có chức cấp chứng số ASN.1 – Abstract Syntax Notation One Là ngôn ngữ hình thức mô tả thông điệp trao đổi phạm vi rộng các dụng môi trường Internet, mạng thông minh, mạng di động, thương mại điện tử… BER – Basic Encoding Rules Luật mã hóa Một luật mã hóa sử dụng thập kỷ 80 Nó đơn giản, thô, hiệu CRL – Certificate Revocation List Danh sách chứng số bị thu hồi hay không hợp lệ DER – Distinguished Encoding Rules Luật mã hóa phân biệt Luật mã hóa tùy chọn đơn giản, thô hiệu Luật mã hóa DER diễn giải thành phần tùy chọn, ví dụ: định nghĩa chiều dài hay không, lựa chọn kiểu Digital Certificate Chứng số, cấu trúc liệu sử dụng PKI để gắn thông tin xác thực đối tượng vào khóa công khai đối tượng Nó có nhiều cách gọi khác: certificate, public key certificate Digital Signature Chữ ký điện tử, kỹ thuật sử dụng mã khóa công khai cho phép giả mạo thông điệp DSA – Digital Signature Algorithm Một thuật toán sử dụng cho công nghệ chữ ký điện tử định nghĩa NIST LDAP - Lightweight Directory Access Protocol LDAP dịch vụ thư mục IETF dùng rộng rãi Internet PEM - Privacy Enhanced Mail PEM chuẩn Internet dùng để trao đổi bảo mật thư tín điện tử PKI – Public key Cryptography Infrastruture Cơ sở hạ tầng mã khóa công khai, hệ thống sử dụng hệ mã khóa công khai cho việc chứng thực, đảm bảo bí mật toàn vẹn thông tin PKIX - Public key Cryptography Infrastruture X.509 Cơ sở hạ tầng mã khóa công khai dựa X.509 nhóm IETF đưa để áp dụng PKI cho Internet PKCS – Public key Cryptographic Standards Các chuẩn mã hóa khóa công khai Đây chuẩn RSA Laboratories định nghĩa Private Key Khóa riêng, hai khóa cặp khóa hệ mã hóa bất đối xứng Public Key Khóa công khai, khóa lại cặp khóa tương ứng với Private key Message Digest Dạng băm thông điệp Phương pháp băm liệu sử dụng thuật toán chiều, từ liệ băm xác định liệu gốc Chiều dài kết băm (tính byte) cố định thuật toán băm RA – Registration Authority Thực thể CA ủy quyền quản lý việc đăng ký RFC – Requests for Comments Là công bố thức mạng Internet , đươ ̣c sử du ̣ng từ năm 1969 để mô tả và tiế p thu những nhâ ̣n xét về các giao thức , thủ tục, chương triǹ h và các khái niệm RSA Một hệ mã khóa công khai đầu tiên, công bố vào năm 1983 RSA nhà khoa học Rivest, Shamir Adleman tìm X.500 Đây chuẩn định nghĩa dịch vụ thư mục, bao gồm chứng số X.501 Định nghĩa trường giá trị tương ứng đăc tả dịch vụ thư mục X.509 Chuẩn định dạng chứng số, ITU ban hành Ciphertext Bản mã Plaintext Bản rõ IAIK Institute for Applied Information Processing and Communication : Cung cấp Crypto toolkit viết ngôn ngữ Java MỞ ĐẦU Cuộc cách mạng công nghệ thông tin Sự đời phát triển nhanh chóng cách mạng công nghệ thông tin đem lại lực phát triển cho xã hội Mọi người sử dụng máy tính tận hưởng thành hệ thống truyền thông cách vô thức để đạt mục đích mà không cảm nhận rõ rệt hữu chúng Điều khẳng định ảnh hưởng cách mạng công nghệ thông tin sâu đậm, để lại dấu ấn hành vi cá nhân hàng ngày, hàng Xã hội số hoá Vai trò chủ đạo mạng nói chung Internet nói riêng rõ ràng kinh tế giới Trên nó, xã hội số hoá hay biết tên gọi không gian điều khiển hình thành không ngừng lớn rộng dần Trong giới ảo này, phương tiện, nghi thức, quy ước, luật lệ loài người dần tái sáng tạo An toàn bảo mật Một thách thức lớn mở rộng tầm ảnh hưởng xã hội số hoá thời gian gần vấn đề an toàn bảo mật Nói nôm na làm để ngăn ngừa hành vi truy nhập bất hợp pháp chế ngự loại tội phạm tin học (điều dự đoán trước xã hội phát triển mà không dựa tảng pháp luật) Chúng tồn dạng nguy khác nhau, từ nghe trộm, sửa đổi trái phép thông tin giả mạo, gian lận thương mại Đa phần nguy bắt nguồn từ chất phân tán mạng Internet, nơi thành viên tham gia không tiếp xúc vật lý trực tiếp với (như giới thực) thông tin giao dịch buộc phải lưu chuyển qua nhiều trạm trung chuyển không nằm kiểm soát cá nhân Đơn giản, ta tưởng tượng giao dịch chuyển tiền trị giá 1.000.000$ khó lòng thực qua mạng không đảm bảo không xâm nhập để sửa đổi nghe trộm thông tin Như vậy, nhu cầu an toàn bảo mật kênh truyền tin thiết thực xúc, trở thành vấn đề thời đòi hỏi giải triệt để có hệ thống Chứng số công cụ để thực an toàn bảo mật hệ thống thông tin Các mục tiêu chung hệ thống bảo mật đảm bảo:  Tính bí mật (Secrecy hay Confidential): Tài nguyên truy cập người có thẩm quyền  Tính toàn vẹn (Accuracy, Integrity, Authencity): Tài nguyên sửa đổi người có thẩm quyền  Tính khả dụng (Avaiability): Tài nguyên (thông tin, dịch vụ) sẵn sàng đáp ứng cho người có thẩm quyền Vì việc xây dựng Hệ Thống Quản Lý Chứng Chỉ Số cần thiết, quan trọng tất yếu Trên giới có nhiều tổ chức khác xây dựng hệ thống Verisign, GlobalSign , RSASecurity… Do tính tất yếu việc xây dựng Hệ Thống Quản Lý Chứng Chỉ Số Việt Nam vô quan trọng đóng vai trò định phát triển công nghệ thông tin nước nhà Luận văn nghiên cứu xây dựng hệ thống quản lý chứng số dựa công nghệ SSL IAIK Đồng thời đưa giải pháp công nghệ cho ứng dụng thực tế liên quan đến chứng số Luận văn bao gồm chương: Chƣơng 1: Trình bày khái niệm bản: mã hóa đối xứng, mã hóa khóa công khai, giao thức SSL Chƣơng 2: Trình bày số vấn đề công nghệ sở hạ tầng mật mã khóa công khai Chƣong 3: Trình bày việc thử nghiệm xây dựng hệ thống cung cấp quản lý chứng số 10 TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt: GS.TS Phan Đình Diệu, Giáo trình Lý thuyết mật mã an toàn thông tin PGS.TS Trịnh Nhật Tiến, Giáo trình An toàn liệu Tài liệu tiếng Anh: Secure Electronic Commerce, Building the Infrastructure for Digital Signatures and Encryption, Second Edition Warwick Ford, Michael S Baum Prentice Hall PTR, 2001 PKI Implementing and Managing E-Security Andrew Nash, William Duane, Celia Joseph, Derek Brink McGraw-Hill, 2001 Digital Signatures Mohad Atreya, Benjamin Hammond, Stephen Paine, Paul Starrett, Stephen Wu McGraw-Hill, 2001 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC2527), Internet Engineering Task Force (IETF) Internet X.509 Public Key Infrastructure Qualified Certificates Profile, Internet Engineering Task Force (IETF) ASN.1 Complete, Prof John Larmouth, Open System Solution, 1999 11 12 [...]...TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt: 1 GS.TS Phan Đình Diệu, Giáo trình Lý thuyết mật mã và an toàn thông tin 2 PGS.TS Trịnh Nhật Tiến, Giáo trình An toàn dữ liệu Tài liệu tiếng Anh: 1 Secure Electronic Commerce, Building the Infrastructure for Digital Signatures and Encryption, Second