ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ VŨ THỊ NGỌC ANH NGHIÊN CỨU VỀ MOBILE PKI VÀ HẠ TẦNG ỨNG DỤNG PKI TRÊN THIẾT BỊ DI ĐỘNG LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2015 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ VŨ THỊ NGỌC ANH NGHIÊN CỨU VỀ MOBILE PKI VÀ HẠ TẦNG ỨNG DỤNG PKI TRÊN THIẾT BỊ DI ĐỘNG Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60480104 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: TS NGUYỄN VIẾT THẾ Hà Nội - 2015 -1- LỜI CAM ĐOAN Tôi xin cam đoan toàn nội dung luận văn “ Nghiên cứu Mobile PKI hạ tầng ứng dụng PKI thiết bị di động” tìm hiểu, nghiên cứu, tham khảo tổng hợp từ nguồn tài liệu khác làm theo hƣớng dẫn ngƣời hƣớng dẫn khoa học Các nguồn tài liệu tham khảo, tổng hợp có nguồn gốc rõ ràng trích dẫn theo quy định Tôi xin chịu hoàn toàn trách nhiệm lời cam đoan Nếu có điều sai trái, xin chịu hình thức kỷ luật theo quy định Hà Nội, tháng 06 năm 2015 Ngƣời cam đoan Vũ Thị Ngọc Anh -2- LỜI CẢM ƠN Trƣớc hết em xin gửi lời cảm ơn chân thành đến thầy cô Khoa Công Nghệ Thông Tin - trƣờng Đại học Công nghệ - Đại học Quốc gia Hà Nội nhiệt tình tâm huyết truyền đạt cho em kiến thức quý báu suốt thời gian học tập trƣờng Em xin gửi lời cảm ơn sâu sắc đến TS Nguyễn Viết Thế – Bộ Công an nhiệt tình, tận tâm định hƣớng, hƣớng dẫn cho em lời khuyên bổ ích để em hoàn thành luận văn tốt nghiệp Cuối cùng, em xin cảm ơn gia đình, bạn bè động viên ủng hộ em suốt trình học tập hoàn thành luận văn Bài luận văn đƣợc thực khoảng thời gian tháng Bƣớc đầu vào thực tế, tìm hiểu lĩnh vực Mobile PKI, kiến thức em nhiều hạn chế nhiều bỡ ngỡ, nên không tránh khỏi thiếu sót Em mong nhận đƣợc ý kiến đóng góp quý báu từ phía quý thầy cô bạn để luận văn đƣợc hoàn thiện Hà Nội, tháng 06 năm 2015 Học viên Vũ Thị Ngọc Anh -3- MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN LỜI NÓI ĐẦU DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT .6 DANH MỤC CÁC BẢNG, HÌNH VẼ Chƣơng I: TỔNG QUAN HẠ TẦNG KHÓA CÔNG KHAI 1.1 CƠ SỞ MẬT MÃ HỌC 1.1.1 Hệ mật mã khóa bí mật 1.1.2 Hệ mật mã khóa công khai .9 1.1.3 Chữ ký số 10 1.1.4 Hàm Băm 10 1.2 HỆ THỐNG PKI Error! Bookmark not defined 1.2.1 Mục tiêu hệ thống PKI Error! Bookmark not defined 1.2.2 Các thành phần hệ thống PKI Error! Bookmark not defined 1.2.3 Các hoạt động hệ thống PKI Error! Bookmark not defined 1.2.4 Trao đổi thông tin dựa PKI Error! Bookmark not defined 1.3 CÁC MÔ HÌNH KIẾN TRÚC CỦA HỆ THỐNG PKI Error! Bookmark not defined 1.3.1 Kiến trúc CA đơn (CA Single Architecture) Error! Bookmark not defined 1.3.2 Trust List Error! Bookmark not defined 1.3.3 Kiến trúc CA phân cấp (Hierarchical architecture) Error! Bookmark not defined 1.3.4 Kiến trúc mắt lƣới (Mesh architecture) Error! Bookmark not defined 1.3.5 Kiến trúc kết hợp (Hybrid architecture) Error! Bookmark not defined 1.3.6 Kiến trúc kiểu chứng thực chéo (Cross-certificate architecture) Error! Bookmark not defined 1.3.7 Kiến trúc CA cầu nối (Bridge CA architecture) Error! Bookmark not defined 1.4 CÁC GIẢI PHÁP AN TOÀN ĐỐI VỚI HẠ TẦNG PKI Error! Bookmark not defined 1.4.1 An toàn vật lý Error! Bookmark not defined -4- 1.4.2 An toàn Logic Error! Bookmark not defined Chƣơng 2: HẠ TẦNG MOBILE PKI Error! Bookmark not defined 2.1 CÔNG NGHỆ VÀ GIAO THỨC SỬ DỤNG TRONG MOBILE PKI Error! Bookmark not defined 2.2 KIẾN TRÚC MÔ HÌNH CÔNG NGHỆ CỦA HẠ TẦNG MOBILE PKI Error! Bookmark not defined 2.2.1 Các yêu cầu Mobile PKI Error! Bookmark not defined 2.2.2 Các thành phần hệ thống Mobile PKI Error! Bookmark not defined 2.2.3 Mô hình Mobile PKI Error! Bookmark not defined 2.2.4 Các hoạt động hệ thống Mobile PKI Error! Bookmark not defined 2.2.5 Quản lý chứng thƣ số Error! Bookmark not defined 2.2.6 Xác thực chứng thƣ số Error! Bookmark not defined 2.2.7 Lƣu trữ khóa bí mật Mobile PKI Error! Bookmark not defined 2.3 BẢO MẬT TRONG MOBILE PKI Error! Bookmark not defined 2.4 ƢU VÀ NHƢỢC ĐIỂM CỦA MOBILE PKI Error! Bookmark not defined 2.4.1 Ƣu điểm Error! Bookmark not defined 2.4.2 Nhƣợc điểm Error! Bookmark not defined 2.5 ỨNG DỤNG VÀ GIẢI PHÁP HẠ TẦNG MOBILE PKI Error! Bookmark not defined 2.5.1 Ứng dụng Mobile PKI Error! Bookmark not defined 2.5.2 Giải pháp Error! Bookmark not defined CHƢƠNG 3: ỨNG DỤNG TRÊN THIẾT BỊ MOBILE CHẠY TRÊN NỀN TẢNG ANDROID Error! Bookmark not defined 3.1 XÂY DỰNG ỨNG DỤNG CHỮ KÝ SỐ TRÊN ĐIỆN THOẠI DI ĐỘNG Error! Bookmark not defined 3.1.1 Mục tiêu giải pháp Error! Bookmark not defined 3.1.2 Hoạt động ứng dụng Error! Bookmark not defined 3.2 XÂY DỰNG ỨNG DỤNG KÝ SỐ TRÊN HỆ ĐIỀU HÀNH ANDROID Error! Bookmark not defined 3.2.1 Phân tích thiết kế Error! Bookmark not defined 3.2.2 Thiết kế Error! Bookmark not defined 3.2.3 Xây dựng chƣơng trình Error! Bookmark not defined PHỤ LỤC Error! Bookmark not defined KẾT LUẬN Error! Bookmark not defined -5- TÀI LIỆU THAM KHẢO 11 -6- LỜI NÓI ĐẦU Ngày nay, thiết bị di động (máy tính bảng, điện thoại di động, laptop ) phát triển mạnh thiết bị thiếu xã hội Việc sử dụng thiết bị di động để trao đổi thông tin, liệu, xử lý giao dịch thông qua mạng Internet, hệ thống nhƣ Mobile Banking, Payment, E-commerce hay giao dịch hành điện tử … trở nên phổ biến Chỉ với điện thoại di động có khả kết nối Internet qua Wifi, 3G GPRS, ngƣời dùng thực giao dịch lúc, nơi Tuy nhiên môi trƣờng Internet lại không an toàn tiềm ẩn nhiều nguy an toàn Đặc biệt sau vụ công dồn dập mạng thời gian gần nhƣ trộm email, nghe điện thoại, hàng loạt vụ công liên quan đến an toàn thông tin mạng internet khiến ngƣời dùng lo lắng Đứng trƣớc nguy đánh cắp thông tin sử dụng tài khoản email giao dịch mua bán mạng, việc đảm bảo an toàn thông tin trở nên vô cấp thiết Đặc biệt, nhiều ngƣời có thói quen sử dụng thiết bị di động để giải công việc, việc áp dụng biện pháp bảo mật an toàn khó khăn Trƣớc thực trạng đó, cần giải pháp ứng dụng chữ ký số thiết bị di động nhằm nâng cao tính bảo mật an toàn gửi tin nhắn, email hay sử dụng phần mềm tƣơng tự cho ngƣời dùng, chế xác thực ngƣời dùng thân thiện cung cấp mức độ bảo mật cao Việc xác thực ngƣời dùng bảo mật thông tin liên lạc đƣợc thực nhiều phƣơng pháp khác nhƣ: sử dụng mật mật mã khóa đối xứng thông thƣờng, sử dụng mật mã khóa phi đối xứng, công nghệ sinh trắc đại, nhƣng giải pháp hạ tầng khóa công khai PKI cho thiết bị di động (Mobile PKI) giải pháp giải vấn đề cách hiệu thực cần thiết Lâu nay, vấn đề bảo mật an toàn thông tin chủ yếu dành cho PC máy tính sách tay, thiết bị di động có Mobile PKI hạ tầng ứng dụng PKI thiết bị di động (Mobile) vấn đề tƣơng đối mới, nhắm nhu cầu thực tế thị trƣờng Việt Nam Hiện nay, Việt Nam có số công ty doanh nghiệp nghiên cứu phát triển ứng dụng hạ tầng PKI thiết bị di động nhƣ VNPT, NacenComm, Bkis, Viettel, FPT … Do tính linh động thiết bị di động, Mobile PKI vấn đề có tính cấp thiết đƣợc đánh giá giải pháp có tiềm phát triển Việt Nam nên em lựa chọn đề tài: “Nghiên cứu Mobile PKI hạ tầng ứng dụng PKI thiết bị di động” Hà Nội, tháng 06 năm 2015 -7- DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT AC CMP CP CPS CRL GUI HSM IMSI OCSP PKI RU SPKC SSL WTLS Attribute Certificate Certificate Manager Protocol Certificate Policy Certificate Practices Statement Certificate Revocation list Graphycal User Interface Hardware Security Module International Mobile Subscriber Identity Online Certificate Status Protocol Public Key Infrastructure Registration Utility Simple Public Key Certificate Secure Sockets Layer Wireless Transport Layer Security -8- DANH MỤC CÁC BẢNG, HÌNH VẼ Hình 1.1 Hình 1.2 Hình 1.3 Hình 1.4 Hình 1.5 Bảng 2.1 Bảng 2.2 Bảng 2.3 Hình 2.4 Hình 2.5 Hình 2.6 Hình 2.7 Hình 2.8 Hình 2.9 Hình 2.10 Hình 2.11 Hình 3.1 Hình 3.2 Hình 3.3 Hình 3.4 Hình 3.5 Hình 3.6 Hình 3.7 Hình 3.8 Hình 3.9 Hình 3.10 Hình 3.11 Hình 3.12 Hoạt động hệ thống PKI Một phiên giao dịch dựa PKI Kiến trúc CA đơn Kiến trúc CA phân cấp Kiến trúc mắt lƣới Chứng thƣ X.509 không dây Chứng thƣ ngắn hạn Thiết bị Hard Token - AudioPass Mô hình Mobile PKI Lƣợc đồ ký số thiết bị di động Lƣợc đồ xác thực thiết bị di động Giao thức quản lý chứng thƣ số Lƣợc đồ xác thực chứng thƣ số Mobile PKI Giải pháp SIM – based Giải pháp Client – based Giải pháp Roaming Mô hình ký số Mô hình mã hóa Mô hình giải mã Mô hình xác thực Sơ đồ hoạt động ứng dụng ký Android Sơ đồ chức chƣơng trình Giao diện đăng nhập hệ thống Giao diện chƣơng trình Giao diện ký số Giao diện chức mã hóa Giao diện chức giải mã Giao diện chức xác thực -9- Chƣơng I: TỔNG QUAN HẠ TẦNG KHÓA CÔNG KHAI Trong kỷ nguyên bùng nổ công nghệ thông tin, giao dịch từ xa thực thông qua mạng Internet Tuy nhiên, khó bảo đảm giao dịch Internet an toàn Hạ tầng khóa công khai đáp ứng nhu cầu bảo mật ngƣời dùng Sáng kiến hạ tầng khóa công khai PKI (Public Key Infrastructure, viết tắt PKI) đời năm 1995, tiêu chuẩn chung đƣợc xây dựng dựa phƣơng pháp mã hoá để hỗ trợ hạ tầng bảo mật mạng Internet Tại thời điểm đó, mục tiêu đƣợc đặt xây dựng tiêu chuẩn bảo mật tổng hợp với công cụ lý thuyết cho phép ngƣời dùng nhƣ tổ chức (doanh nghiệp tổ chức phi lợi nhuận) tạo lập, lƣu trữ trao đổi thông tin cách an toàn phạm vi cá nhân công cộng [12] Hiện có nhiều cách định nghĩa khác PKI tuỳ theo góc độ nghiên cứu ứng dụng sở hạ tầng Tuy nhiên, cách định nghĩa sở hạ tầng khoá công khai hệ thống vừa mang tính mô hình vừa mang tính công nghệ chuẩn, vừa mô hình kiến trúc vừa hệ thống giao dịch ứng dụng cho phép thực khởi tạo, lƣu trữ, quản lý chứng thƣ số (Digital certificate), quản lý phân phối khóa công khai, khóa bí mật chế chứng thực chứng thƣ số Thành phần cốt lõi hệ thống PKI chứng thƣ số Mỗi chứng thƣ số có hai thành phần thông tin định danh khoá công khai đối tƣợng sử dụng Các chứng thƣ số đối tƣợng quản lý chứng thƣ tạo ký với phƣơng thức chữ ký số Trong số hệ thống, đối tƣợng quản lý đăng ký đƣợc tách riêng khỏi CA Đối tƣợng không tạo chứng thƣ số Nó có nhiệm vụ xác minh đối tƣợng truyền thông cho CA, đối tƣợng mà CA cấp phát chứng thƣ số Nghĩa là, trình xác thực đối tƣợng yêu cầu chứng thƣ số CA RA đảm nhận PKI dịch vụ cho dịch vụ an toàn dựa chứng thƣ số Trong hệ thống này, PKI đảm nhận vai trò tạo lập, quản lý phân phối chứng thƣ số cho đối tƣợng truyền thông Nói tóm lại, tất chức quản lý hệ thống PKI hƣớng tới yêu cầu quản lý đối tƣợng sử dụng hệ thống với khoá công khai đối tƣợng Hiện Việt Nam, việc nghiên cứu, ứng dụng triển khai PKI nói chung dịch vụ cung cấp chứng thƣ số nói riêng vấn đề tƣơng đối mẻ Bằng việc sử dụng chứng thƣ số chữ ký số, ứng dụng cho phép PKI đƣa nhiều đặc tính đảm bảo an toàn thông tin cho ngƣời dùng Có hai mô hình cung cấp chứng thƣ số, mô hình CA sinh cặp khóa công khai -10- khóa bí mật cho ngƣời dùng, hai mô hình tự ngƣời dùng sinh cặp khóa công khai khóa bí mật cho Hiện nay, Việt Nam nghiên cứu triển khai hệ thống PKI theo mô hình thứ 1.1 CƠ SỞ MẬT MÃ HỌC Mật mã công cụ dùng để bảo mật liệu nói riêng đảm bảo an toàn thông tin hiệu nói chung Mật mã dùng để ẩn dấu nội dung thông tin, củng cố tính xác thực thông tin, tính chối bỏ giao dịch điện tử, kiểm tra tính toàn vẹn liệu, … Ngoài mật mã đƣợc sử dụng để thực ký số (ký điện tử), đảm bảo an toàn cho thông tin liên lạc Mật mã bao gồm hai quy trình trái ngƣợc nhau: mã hóa giải mã Hiện nay, có hai hệ mật mã thƣờng đƣợc sử dụng: - Hệ mật mã khóa bí mật (Secret Key Cryptography) – Khóa đối xứng - Hệ mật mã khóa công khai (Public Key Cryptography) – mã hóa phi đối xứng - Hàm băm sử dụng trình tính toán để mã hóa liệu 1.1.1 Hệ mật mã khóa bí mật Trong trình mã hóa giải mã sử dụng khóa làm tham số cho thuật toán mã hóa/giải mã Để đảm bảo tính bí mật truyền thông hai bên tham gia truyền thông phải giữ kín không để lộ thông tin khóa bí mật cho ngƣời khác Dƣới mô hình chung sử dụng mật mã khóa đối xứng để đảm bảo tính bí mật liệu truyền thông Ví dụ, A muốn gửi cho B tin mật Để phục vụ cho việc mã hóa, khóa bí mật K đƣợc tạo Nếu khóa đƣợc tạo bên gửi cần phải đƣợc truyền cho bên nhận thông qua kênh thông tin an toàn Sau A sử dụng khóa bí mật K để mã hóa liệu gửi cho B Bên nhận sử dụng khóa K đƣợc chia sẻ từ trƣớc qua kênh an toàn để giải mã liệu đƣợc mã hóa vừa nhận đƣợc Một số thuật toán mã hóa khóa đối xứng: DES (Data Encryption Standard), AES (Advanced Encryption Standard)… 1.1.2 Hệ mật mã khóa công khai Trong việc mã hóa giải mã sử dụng hai khóa riêng biệt, khóa công khai khóa bí mật Hai khóa có quan hệ mặt toán học với nhau, nhƣng từ khóa tìm chìa khóa đƣợc ngƣợc lại Khóa công khai đƣợc công bố rộng rãi, khóa riêng đƣợc giữ bí mật có ngƣời sở hữu đƣợc biết Thông thƣờng dùng khóa công khai để mã hóa dùng khóa bí mật – khóa cá nhân để giải mã, nhƣ ngƣời chủ sở hữu khóa cá nhân giải mã đƣợc tin mã hóa -11- Ví dụ, A muốn gửi cho B tin mật, trƣớc tiên A lấy khoá công khai B từ sở liệu công cộng Sau A sử dụng khoá công khai B để mã hoá tin, gửi cho B Phía B sử dụng khoá riêng để giải mã tin mã hóa Nhƣ là, B giải đƣợc tin mã mà A tạo Một số thuật toán mật mã khóa bất đối xứng đƣợc sử dụng phổ biến nhƣ RSA, Elgama, Eliptic … 1.1.3 Chữ ký số Chữ ký số dùng để “ký” lên liệu cần gửi nhằm mục đích xác minh tính toàn vẹn liệu nhân dạng ngƣời ký Mỗi ngƣời dùng sở hữu cặp khóa riêng/khóa công khai Khóa bí mật dùng để tạo chữ ký số khóa công khai dùng để xác minh chữ ký số Khóa công khai đƣợc công bố sở liệu công cộng, nhiên khóa riêng có ngƣời sở hữu biết Do vậy, xác minh chữ ký ngƣời khác khóa công khai tƣơng ứng, nhƣng việc tạo chữ ký ngƣời sở hữu cặp khóa làm đƣợc Hiện có hai sơ đồ chữ ký số thƣờng đƣợc sử dụng để ký số sơ đồ chữ ký RSA chuẩn chữ ký số DSA Quy trình sử dụng chữ ký số bao gồm hai trình tạo chữ ký xác minh chữ ký: - Tạo chữ ký số: Một hàm băm đƣợc dùng trình tạo chữ ký Mục đích nén liệu, biến mẩu tin thành mẩu tin tóm lƣợc Sau áp dụng thuật toán ký số mẩu tin tóm lƣợc Chữ ký đƣợc chuyển đến cho phía ngƣời nhận với liệu ký [12] - Xác minh chữ ký số:  Bên nhận sử dụng hàm băm để băm liệu đƣợc ký, thu đƣợc giá trị băm  Bên nhận sử dụng khóa công khai bên gửi để giải mã file chữ ký để thu đƣợc giá trị băm  Bên nhận so sánh hai giá trị băm, nhƣ hai giá trị băm giống chữ ký liệu đƣợc xác thực, ngƣợc lại không 1.1.4 Hàm Băm Mục đích hàm băm nén liệu, biến liệu thành liệu tóm lƣợc Sau đó, liệu tóm lƣợc đƣợc áp dụng thuật toán sinh chữ ký Chữ ký đƣợc chuyển cho phía ngƣời nhận với liệu ký -12- TÀI LIỆU THAM KHẢO Tiếng Việt TS Hồ Văn Hƣơng, KS Hoàng Chiến Thắng-Cục QLKTNVMM, Ban Cơ yếu Chính phủ, Ký số xác thực tảng web, Tạp trí An toàn thông tin, số (026) năm 2013 Hồ Văn Hƣơng, Hoàng Vĩnh Hà, Cao Thị Linh, Trịnh Văn Anh, Mobile PKI ứng dụng thực tế, Kỷ yếu Hội nghị Quốc gia Một số vấn đề chọn lọc Công nghệ thông tin lần thứ XVII, năm 2014 Hồ Văn Hƣơng, Hoàng Chiến Thắng, Nguyễn Quốc Uy, Giải pháp bảo mật xác thực cho văn phòng điện tử, Hội nghị Quốc gia điện tử truyền thông (REV 2013-KC01) Hồ Văn Hƣơng, Hoàng Chiến Thắng, Nguyễn Quốc Uy, Giải pháp bảo mật xác thực thư điện tử, Tạp chí An toàn thông tin số 04 (028), 2013 Hồ Văn Hƣơng, Hoàng Vĩnh Hà, Ngô Thị Linh, Trịnh Văn Anh, Hộ chiếu điện tử ứng dụng chữ ký số cho Hộ chiếu điện tử, Kỷ yếu hội thảo Khoa học công nghệ an toàn thông tin, lần thứ nhất, 12/ 2014 Nguyen Thi Hoang Lan et al, “Nghiên cứu xây dựng hệ thống kiểm soát truy cập mạng an ninh thông tin dựa sinh trắc học sử dụng công nghệ nhúng”, 2010, KC.01.11/06-10 ThS Lê Quang Hùng, Hạ tầng PKI di động tích hợp dịch vụ chứng chực điện tử cho thiết bị động, Tạp trí An toàn thông tin, năm 2012 http://vi.wikipedia.org/ Tiếng Anh Carlisle Adams & Steve Lloyd, Understanding PKI: Concepts, Standards and Deployment Considerations, Addison-Wesley, 2003 10.Suranjan Choudhury, Kartik Bhatnagar, and Wasim Haque, Public Key Infrastructure Implementation and Design, Published by M&T Books 11.Yong Lee a,*, Jeail Lee a, JooSeok Song b, Design an implementation of wireless PKI technology suitable for mobile phone in mobile-commerce, Received May 2006 12.William Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, 2005 13.Wireless Public Key Infrastructure for Mobile Phones, International Journal of Network Security & Its Applications (IJNSA), Vol.4, No.6, November 2012