Đang tải... (xem toàn văn)
Nghiên cứu và xây dựng hạ tầng khóa công khai PKINghiên cứu và xây dựng hạ tầng khóa công khai PKINghiên cứu và xây dựng hạ tầng khóa công khai PKINghiên cứu và xây dựng hạ tầng khóa công khai PKINghiên cứu và xây dựng hạ tầng khóa công khai PKINghiên cứu và xây dựng hạ tầng khóa công khai PKINghiên cứu và xây dựng hạ tầng khóa công khai PKINghiên cứu và xây dựng hạ tầng khóa công khai PKINghiên cứu và xây dựng hạ tầng khóa công khai PKINghiên cứu và xây dựng hạ tầng khóa công khai PKINghiên cứu và xây dựng hạ tầng khóa công khai PKINghiên cứu và xây dựng hạ tầng khóa công khai PKINghiên cứu và xây dựng hạ tầng khóa công khai PKI
HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG Đỗ Khắc Hiệu NGHIÊN CỨU VÀ XÂY DỰNG HẠ TẦNG KHĨA CƠNG KHAI PKI Chuyên ngành: Hệ thống thông tin Mã số: 8480104 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN HIẾU MINH HÀ NỘI - 2018 i LỜI CAM ĐOAN Tôi cam đoan đề tài: “Nghiên cứu xây dựng hạ tầng khóa cơng khai PKI” cơng trình nghiên cứu riêng hướng dẫn PGS.TS Nguyễn Hiếu Minh Các kết quả, phân tích, kết luận luận văn thạc sỹ (ngồi phần trích dẫn) kết làm việc tác giả, số liệu nêu luận văn trung thực chưa cơng bố cơng trình khác Nếu sai tơi xin hồn tồn chịu trách nhiệm Hà Nội, ngày tháng năm 2018 Tác giả Đỗ Khắc Hiệu ii LỜI CẢM ƠN Lời cho em xin gửi lời cảm ơn chân thành đến thầy, cô giáo thuộc Khoa CNTT, Khoa QT&ĐT sau đại học thuộc Học viện Cơng nghệ Bưu viễn thơng tận tình giảng dạy, truyền đạt nội dung kiến thức, kinh nghiệm quý báu suốt trình em theo học Học viện Với học quý giá, kèm cặp, bảo truyền thụ tâm huyết thầy, giúp cá nhân em hồn thiện hệ thống kiến thức chuyên ngành, phục vụ tốt yêu cầu công tác đơn vị đồng thời nâng cao vốn tri thức thân Đặc biệt, em xin gửi lời cảm ơn trân thành tới thầy hướng dẫn khoa học PGS-TS Nguyễn Hiếu Minh, Khoa Viễn thông – Học viện Kỹ Thuật Mật Mã tận tình bảo, hướng dẫn, cung cấp tài liệu nội dung kiến thức quý báu, đồng thời có định hướng đắn giúp em hoàn thành luận văn Em xin bày tỏ cảm ơn sâu sắc tới gia đình, đồng nghiệp tạo điều kiện, dành ủng hộ thân em để có nhiều thời gian cho khóa học, đạt kết khả quan trình học tập Đồng thời xin chân thành cảm ơn tập thể lớp Cao học Hệ thống thông tin – Đợt năm 2016 đồng hành, khích lệ chia sẻ suốt trình học tập Trong trình thực luận văn, thân cố gắng, chủ động việc sưu tầm tài liệu, củng cố kiến thức,… nhiên chắn luận văn nhiều thiếu sót Em mong nhận dạy, đóng góp tận tình thầy, để luận văn em hồn thiện có tính ứng dụng cao thực tiễn Xin trân trọng cảm ơn! Hà Nội, ngày tháng Học viên Đỗ Khắc Hiệu năm 2018 iii MỤC LỤC MỞ ĐẦU Chƣơng TỔNG QUAN VỀ MẬT MÃ 1.1 Khái niệm hệ mật mã 1.2 Hệ mật mã khóa đối xứng 1.3 Hệ mật mã khóa cơng khai Kết luận chương 13 Chƣơng TỔNG QUAN VỀ HẠ TẦNG KHĨA CƠNG KHAI 15 2.1 Định nghĩa 15 2.1.1 Vai trò 15 2.1.2 Một số ứng dụng 18 2.1.3 Một số hệ thống PKI 20 2.1.4 Những vấn đề liên quan 20 2.2 Các thuật toán sử dụng PKI 21 2.2.1 Thuật toán RSA 22 2.2.2 Chứng số 22 2.3 Các thành phần PKI 31 2.3.1 Tổ chức chứng thực (Certificate Authority) 32 2.3.2 Trung tâm đăng ký ( Registration Authorities) 33 2.3.3 Thực thể cuối( End Entry) 34 2.3.4 Hệ thông lưu trữ(Responsitory) 34 2.4 Chức PKI 35 2.4.1 Chứng thực 35 2.4.2 Thẩm tra 35 2.4.3 Một số chức khác 35 2.5 Một số mơ hình PKI 38 2.5.1 Mô hình CA đơn 39 2.5.2 Mơ hình phân cấp 40 2.5.3 Hoạt động mơ hình phân cấp 41 iv 2.6 Thực trạng phát triển PKI Việt Nam 43 2.6.1 Hiện trạng triển khai PKI chuyên dùng Chính phủ 43 2.6.2 Hiện trạng triển khai PKI cho hoạt động kinh tế - xã hội 44 Kết luận chương 45 Chƣơng XÂY DỰNG CHƢƠNG TRÌNH THỬ NGHIỆM 47 3.1 Mơ hình hệ thống 47 3.1.1 Mơ hình 47 3.1.2 Một số hàm sử dụng 48 3.1.3 Giới thiệu số sơ đồ nghiệp vụ 51 3.2 Xây dựng hệ thống sở liệu 53 3.2.1 Mơ hình liệu, sở liệu 53 3.2.2 Hệ thống bảng liệu 54 3.3 Giới thiệu giao diện chức hệ thống 55 3.3.1 Đăng ký thông tin người dùng 56 3.3.2 Duyệt hồ sơ cấp chứng 56 3.3.3 Sinh cặp khóa 57 3.3.4 Tạo chứng cho CA 58 3.3.5 Chứng cho người sử dụng 59 3.3.6 Kiểm tra chứng 59 3.3.7 Thu hồi chứng 60 Kết luận chương 61 KẾT LUẬN 62 TÀI LIỆU THAM KHẢO 63 PHỤ LỤC… 64 v DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT Từ viết Tiếng Anh tắt Tiếng Việt AC Attribute Certifcates Chứng thuộc tính AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến ARLs Authority Revocation List Danh sách tổ chức thu hồi CA Certificate Authority Tổ chức chứng thực CP Certificate Policies Chính sách chứng CPS Certificate Practice Statement Thủ tục hoạt động bên CRLs Certificate Revocation List Danh sách chứng bị thu hổi DES Data Encryption Standard Chuẩn mã hóa liệu DNS Domain Name System Hệ thống phân dải tên miền DSAs Directory System Agents Đại lý hệ thống thư mục DSS Digital Signature Standard Chuẩn chữ ký số FTP File Transfer Protocol Giao thức truyền file IDEA International Data Encryption Thuật tốn mã hóa liệu quốc tế Algorithm IETF Internet Engineering Task Force Đội đặc nhiệm kỹ thuật internet IP Internet Protocol Giao thức liên mạng ITU International Telecommunication Liên minh viễn thông quốc tế Union LAN Local Area Network LDAP Lightweigth Protocol OCSP Mạng máy tính cục Directory Access Giao thức truy cập cấu trúc thư mục Online Certificate Status Protocol Giao thức trạng thái chứng online vi OID Object Identifier Định danh đối tượng PGP Pretty Good Private Mật mã PGP PKI Public Key Infrastructure Hạ tầng khóa công khai RA Registration Authority Trung tâm đăng ký RFC Request For Comment Đề nghị duyệt thảo bình luận RSA Rivest Shamir Adleman Hệ mật RSA SPKC Simple Public Key Certificates Chứng khóa cơng đơn giản vii DANH MỤC CÁC BẢNG Bảng 2.1 Mơ hình sử dụng xác thực 21 viii DANH MỤC CÁC HÌNH Hình 1.1 Q trình mã hóa giải mã .4 Hình 1.2 Mã hóa thơng điệp sử dụng khóa cơng khai P Hình 1.3 Giải mã thơng điệp khóa riêng người nhận Hình 1.4 Sơ đồ chữ ký RSA .7 Hình 1.5 Mơ tả thuật toán Hình 1.6 Băm thơng điệp Hình 1.7 Ký băm Hình 1.8 Truyền liệu thơng tin cần gửi Hình 1.9 Xác minh chữ ký .10 Hình 1.10 Tiến hành băm thông điệp x kèm 10 Hình 1.11 Kiểm tra tính tồn vẹn thông điệp 10 Hình 1.12 Khởi tạo khóa RSA 11 Hình 1.13 Mã hóa giải mã 11 Hình 1.14 Sử dụng khóa bí mật S để mã thơng điệp khóa cơng khai P để mã khóa bí mật S .12 Hình 1.15 Sử dụng khóa riêng P để giải mã khóa bí mật S khóa bí mật S để giải mã thông điệp 12 Hình 2.1 Khn dạng chứng X.509 24 Hình 2.2 Khn dạng danh sách chứng bị thu hồi .29 Hình 2.3 Mơ hình xây dựng PKI 31 Hình 2.4 Các thành phần PKI 32 Hình 2.5 Mơ hình CA đơn .39 Hình 3.1: Mơ hình hệ thống PKI .47 Hình 3.2 Đăng ký, duyệt cấp chứng 52 Hình 3.3 Thu hồi, tạm dừng hay khôi phục chứng 52 Hình 3.4 Xác thực chứng 53 Hình 3.5 Thiết kế liệu bảng đăng ký 54 ix Hình 3.6 Thiết kế liệu bảng đăng ký 55 Hình 3.7 Màn hình chương trình .55 Hình 3.8 Đăng ký thông tin người dùng 56 Hình 3.9 Duyệt hồ sơ xin cấp chứng 56 Hình 3.10 Sinh cặp khóa cho User 57 Hình 3.11 Sinh cặp khóa cho CA 58 Hình 3.12 Tạo chứng cho CA 58 Hình 3.13 Tạo chứng cho USER 59 Hình 3.14 Kiểm tra chứng 60 Hình 3.15 Danh sách chứng bị thu hồi .61 52 Kiểm tra tài nguyên? Kiểm tra khách hàng? Yêu cầu đăng ký Trung tâm CA Kiểm tra thông tin S Không cấp Đ Tạo cặp khóa chứng số S Là Sub CA Đ Service Gửi thông tin quảng bá đến nhà cung cấp 0.2Hình 3.2 Đăng ký, duyệt cấp chứng b) Thu hồi, tạm dừng hay khôi phục chứng Yêu cầu thu hồi, tạm dừng, khôi phục Trung tâm CA Gửi thông tin quảng bá đến nhà cung cấp Xác thực Yêu cầu Đ S Thay đổi trạng thái chứng chỉtrong CSDL Service 0.3Hình 3.3 Thu hồi, tạm dừng hay khôi phục chứng Hủy bỏ yêu cầu 53 c) Xác thực chứng Yêu cầu Xác thực Trung tâm CA S Có trongC SDL? Đ Service CA Cấp 1? Đ S Lưu vào CSDL Không xác Đ thực CA Cấp S Time Out? CâyCA Khác Wait 0.4Hình 3.4 Xác thực chứng 3.2.Xây dựng hệ thống sở liệu 3.2.1 Mơ hình liệu, sở liệu Dữ liệu hệ thống chia thành loại Hệ thống sở liệu quan hệ: Hệ thống sử dụng hệ quản trị sở liệu SQL Server 2008 Thông tin quản lý gồm: + Danh sách nhà cung cấp + Danh sách yêu cầu đăng ký chờ xét duyệt + Danh sách thành viên cấp chứng thông tin liên quan đến chứng chỉ: thời gian hiệu lực, nơi cấp, trạng thái chứng chỉ… + Danh sách chứng bị thu hồi + Danh sách yêu cầu trung tâm gửi dịch vụ(Service) giải 54 Ngồi có thơng tin liên quan đến quản trị hệ thống cấp quyền truy cập hệ thống… Hệ thống lƣu trữ chứng chỉ: + CA: lưu trữ chứng số nhà cung cấp mà trung tâm CA trao đổi(trong mô hình phân cấp) + User: Lưu trữ tất chứng số cặp khóa End User trung tâm cấp + CRLs: Đây thư mục lưu trữ danh sách chứng bị thu hồi + Chứng chờ xác thực: Khi có yêu cầu xác thực chứng số từ xuống từ lên, thông tin chứng lưu trữ tạm thời Chứng chuyển vào thư mục đăng ký nhà cung cấp có thơng tin phản hồi tích cực, trái lại chứng bị xóa bỏ 3.2.2 Hệ thống bảng liệu 0.5Hình 3.5 Thiết kế liệu bảng đăng ký 55 0.6Hình 3.6 Thiết kế liệu bảng đăng ký 3.3 Giới thiệu giao diện chức hệ thống 0.7Hình 3.7 Màn hình chƣơng trình 56 3.3.1 Đăng ký thơng tin người dùng Cho phép người quản lý cập nhật, bổ sung, xóa bỏ thơng tin đăng ký 0.0.8Hình 3.8 Đăng ký thơng tin ngƣời dùng 3.3.2 Duyệt hồ sơ cấp chứng 0.0.9Hình 3.9 Duyệt hồ sơ xin cấp chứng 57 Dựa vào thông tin đăng ký người quản lý tiến hành cấp chứng chỉ, thông tin cấp chứng bao gồm: - Thời hạn hiệu lực chứng chỉ: Số năm tính từ thời điểm cấp - Ngày xét duyệt - Trạng thái xét duyệt: cho biết chứng xét cấp hay chưa, có trạng thái: Chờ cấp, Đã cấp Loại bỏ 3.3.3 Sinh cặp khóa 0.100.0.11Hình 3.10 Sinh cặp khóa cho User 58 0.0.12Hình 3.11 Sinh cặp khóa cho CA 3.3.4 Tạo chứng cho CA 0.13Hình 3.12 Tạo chứng cho CA 59 3.3.5 Chứng cho người sử dụng 0.0.14Hình 3.13 Tạo chứng cho USER 3.3.6 Kiểm tra chứng Khi cần kiểm tra chứng số cách trực tiếp, người quản lý chọn chứng số cần kiểm tra, hệ thống kiểm tra thông tin chứng CSDL tồn đưa kết luận, trái lại thông tin chứng gửi cho nhà cung cấp cấp thông qua dịch vụ(Service) 60 0.15Hình 3.14 Kiểm tra chứng 3.3.7 Thu hồi chứng Khi nhận yêu cầu thu hồi chứng người quản lý truy cập vào chức đặt lại trạng thái chứng chỉ, sau hệ thống tự động thông qua dịch vụ chuyển thông tin chứng bị thu hồi đến trung tâm cấp trung tâm cấp mơ hình phân cấp để cập nhật 61 0.16Hình 3.15 Danh sách chứng bị thu hồi Kết luận chương 3: Ở chương tìm hiểu mơ hình thực nghiệm hệ thống PKI gồm phần (End User,RA,CA,Repository) Phân tích thiết kế CSDL hệ thống, sơ đồ nghiệp vụ, số thuật toán sử dụng chương trình xây dựng thành cơng hệ thống PKI theo mơ hình CA phân cấp dựa chứng X509 v3 với chức 62 KẾT LUẬN 1.Kết đạt Phần lý thuyết: Trình bày khái niệm, đặc điểm hệ thống PKI Nghiên cứu sở lý thuyết mật mã, bao gồm: tổng quan hệ mật, chữ ký số, hàm băm, sinh khóa, phân phối khóa, mã hóa giải mã, chứng số giải pháp quản lý Nghiên cứu lý thuyết mơ hình trung tâm xác thực, bao gồm tổng quan mơ hình, thành phần chức chúng, mơ hình xác thực cấp đa cấp Đi sâu vào tìm hiểu phần mã hóa, giải mã chữ ký số Phần Thực Nghiệm: Lập trình modul hệ thống PKI, bao gồm module đăng ký thông tin người dùng, duyệt hồ sơ cấp chứng chỉ, sinh cặp khóa, tạo chứng chỉ, kiểm tra chứng thu hồi chứng Chạy thử nghiệm hệ thống PKI với chức 2.Hướng phát triển Nội dung đề tài tìm hiểu sở lý thuyết vấn đề liên quan bước đầu cài đặt số module chức Vì thời gian tới, hướng phát triển đề tài là: Nâng cấp hoàn thiện mơ hình cho ứng dụng đơn vị điện tử, chữ ký số,xây dựng chương trình mơi trường mềm mại(Web) linh hoạt để phục vụ cho nghiệp vụ thực tế môi trường quân đội Tiếp tục bổ sung modul tích hợp vào chương trình để người dùng sử dụng chương trình cho giao dịch điện tử việc phê duyệt văn với chữ ký số giảm thiểu nhiều thời gian vật chất cho thủ tục hành thơng thường 63 TÀI LIỆU THAM KHẢO [1] GS.TS Nguyễn Bình, Mật mã học lý thuyết thực hành, Thư viện Trung tâm KHKT&CNQS [2] TS Hoàng Xuân Dậu, Bài giảng An toàn thơng tin nâng cao, Bộ mơn An tồn thơng tin – Khoa CNTT – Học viện Cơng nghệ Bưu viễn thông [3] PGS.TS Nguyễn Hiếu Minh, Bài giảng An tồn thơng tin, Bộ mơn An ninh mạng – Khoa CNTT – Học viện Kỹ thuật quân [4] Douglas R stinson, Cryptography_ Theory and Practice, CRC Press, 1995 [5] Ph.D William Stallings, Network and Internetwork Security Principles and Practice, PRENTICE HALL, 1995 [6] Hiện trạng triển khai PKI Việt Nam [http://antoanthongtin.vn/Detail.aspx?NewsID=7d210846-67c6-4aa3-b1e9df122e14e770&CatID=037e2cf3-4b89-419e-8bcc-4552addf5ad0].[20/09/2017] [7] Internet X.509 Public Key Infrastructure, Certificate Policy and Certification Practices Framework.[http://www.ietf.org/rfc/rfc3647.txt ].[10/08/2017] 64 PHỤ LỤC Định lý số dƣ trung hoa Định lý số dư Trung Quốc, hay tốn Hàn Tín điểm binh, định lý nói nghiệm hệ phương trìnhđồng dư bậc Định lý số dư Trung Quốc tên người phương tây đặt cho định lý Người Trung Quốc gọi tốn Hàn Tín điểm binh Hàn Tín danh tướng thời Hán Sở, phong tước vương thời Hán Cao Tổ Lưu Bang dựng nghiệp Sử ký Tư Mã Thiên viết Hàn Tín tướng trói gà khơng nổi, có tài quân Tục truyền Hàn Tín điểm qn số, ơng cho qn lính xếp hàng 3, hàng 5, hàng báo cáo số dư Từ ơng tính xác qn số đến người Gần đây, định lý số dư Trung Quốc có nhiều ứng dụng tốn số nguyên lớn áp dụng vào Lý thuyết mật mã Bản chất tốn Hàn Tín điểm binh việc giải hệ phương trình đồng dư bậc Trong m1,m2,…,mk đơi ngun tố Trong tốn Hàn Tín k=3 m1=3,m2=5, m3=7 Định lý: Hệ phương trình đồng dư nói có nghiệm theo modul M=m1.m2…mk là: Trong đó: 65 Với : Ví dụ: Giải hệ phương trình đồng dư Ta có: Như x có dạng x=68+k.105, k số nguyên (hoặc số tự nhiên thích hợp tìm nghiệm tự nhiên) Định lý Fermat nhỏ Định lý nhỏ Fermat (hay định lý Fermat nhỏ - phân biệt với định lý Fermat lớn) khẳng định Plà số nguyên tố, với số nguyêna bất kỳ, ap-a sẽchia hết cho p Bằng kí hiệu đồng dư ta có: Một cách phát biểu khác định lý sau: plà số nguyên tố a số nguyên nguyên tố với p, ap-1-1sẽ chia hết cho p Nghĩa là: 66 Định lý lớn Fermat(Định lý cuối Fermat): Không tồn nghiệm nguyên khác không x, y, z thoả mãn xn + yn = zn n số nguyên lớn ... Nghiên cứu xây dựng hạ tầng khóa cơng khai PKI làm đề tài nghiên cứu Tổng quan vấn đề nghiên cứu Trên sở yêu cầu đặt an tồn tính tin cậy giao dịch qua mạng Internet Hạ tầng khóa công khai PKI. .. cam đoan đề tài: Nghiên cứu xây dựng hạ tầng khóa cơng khai PKI cơng trình nghiên cứu riêng tơi hướng dẫn PGS.TS Nguyễn Hiếu Minh Các kết quả, phân tích, kết luận luận văn thạc sỹ (ngồi phần... Đối tƣợng phạm vi nghiên cứu 4.1 Đối tượng nghiên cứu: Hệ thống PKI thành phần liên quan 4.2 Phạm vi nghiên cứu: - Nghiên cứu chuyên sâu Modul mã hóa, giải mã chữ ký số - Nghiên cứu mơ hình CA đơn