Đang tải... (xem toàn văn)
Nghiên cứu xây dựng hệ thống PKI dựa trên bộ phần mềm mã nguồn mở OpenCA
LỜI CẢM ƠN Sau ba tháng nỗ lực thực hiện, đồ án “ Nghiên cứu xây dựng hệ thống PKI dựa phần mềm mã nguồn mở OpenCA” phần hồn thành Ngồi cố gắng thân, em nhận khích lệ nhiều từ phía nhà trường, thầy cơ, gia đình, bạn bè Em xin gửi lời cảm ơn chân thành sâu sắc tới Ths Hoàng Đức Thọ, người thầy cho em định hướng ý kiến quý báu PKI OpenCA Em xin tỏ lịng biết ơn sâu sắc tới thầy khoa bạn bè khoá giúp đỡ em tiến suốt năm học Học Viện Kỹ Thuật Mật Mã Xin cảm ơn gia đình người thân yêu động viên, khuyến khích giúp đỡ hồn cảnh khó khăn Xin cảm ơn bạn bè động viên, giúp đỡ tơi q trình học tập hồn thành đồ án tốt nghiệp Đồ án tốt nghiệp em hoàn thành thời gian tương đối ngắn Vì đồ án chắn nhiều khiếm khuyết Em xin cảm ơn thầy cơ, bạn bè người thân có góp ý chân thành cho nội dung đồ án này, để em tiếp tục tìm hiểu, sâu nghiên cứu áp dụng thực tiễn Ngô Thu Hằng MỤC LỤC MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT .5 DANH MỤC HÌNH VẼ .8 LỜI NÓI ĐẦU .8 CHƯƠNG I: CƠ SỞ MẬT MÃ HỌC 10 1.1.Mật mã khố bí mật 11 1.1.1.Giới thiệu mật mã khố bí mật khái niệm có liên quan .11 1.1.2.Một vài thuật toán sử dụng mật mã khoá đối xứng 11 1.1.2.1.DES 11 1.1.2.2.IDEA 11 1.1.2.3 Triple DES 12 1.1.2.4.CAST-128 12 1.1.2.5.AES .12 1.2.Mật mã khố cơng khai 13 1.2.1.Khái niệm 13 1.2.2 Các thuật toán sử dụng mật mã khố cơng khai .14 1.2.2.1 RSA 14 1.2.2.2.Phương thức trao đổi khoá Diffie Hellman 15 1.3 Chữ ký số 15 1.3.1.Quá trình ký .15 1.3.2.Quá trình kiểm tra chữ ký số .16 1.4 Hàm hash 17 1.4.1.Khái niệm hàm hash 17 1.4.2 Tóm lược thông báo 17 CHƯƠNG II: TỔNG QUAN VỀ PKI VÀ CA 18 2.1 Lịch sử phát triển PKI .18 2.2.Tình hình PKI Việt Nam .19 2.3 Các định nghĩa PKI khái niệm có liên quan 21 2.3.1 Các định nghĩa PKI .21 2.3.2 Các khái niệm liên quan PKI 22 2.3.2.1.Chứng 22 2.3.2.2.Kho chứng 24 2.3.2.3.Hủy bỏ chứng .24 2.3.2.4 Sao lưu dự phịng khóa 25 2.3.2.5.Cập nhật khóa tự động .25 2.3.2.6.Lịch sử khóa .26 2.3.2.7.Chứng thực chéo 26 2.3.2.8.Hỗ trợ chống chối bỏ 27 2.3.2.9.Tem thời gian .27 2.3.2.10.Phần mềm phía Client 27 2.4 Mục tiêu, chức 28 2.4.1 Xác thực 28 2.4.1.1.Định danh thực thể .28 2.4.1.1.1.Xác thực cục 29 2.4.1.1.2.Xác thực từ xa .29 2.4.1.2 Định danh nguồn gốc liệu 29 2.4.2 Bí mật .29 2.4.3.Toàn vẹn liệu 30 2.4.3.1.Chữ ký số 30 2.4.3.2 Mã xác thực thông báo 30 2.4.4.Chống chối bỏ 30 2.5 Các khía cạnh an tồn mà PKI cung cấp .31 2.5.1 Đăng nhập an toàn 31 2.5.2 Đăng nhập lần an toàn .31 2.5.3 Trong suốt với người dùng cuối .32 2.5.4 An ninh toàn diện .33 CHƯƠNG IIII: CÁC THÀNH PHẦN, CƠ CHẾ LÀM VIỆC CỦA PKI CÁC MƠ HÌNH VÀ CÁC KIỂU KIẾN TRÚC CỦA PKI 33 3.1 Mơ hình PKI thành phần PKI 33 3.1.1 CA 34 3.1.2.RA .34 3.1.2.1.Chức năng, nhiệm vụ RA .34 3.1.2.2.Thành phần RA 35 3.1.2.2.1.RA Console 35 3.1.2.2.2.RA Officer 35 3.1.2.2.3.RA Manager 35 3.1.3 Certificate-Enabled Client: Bên cấp phát chứng .36 3.1.4 Data Recipient : Bên nhận liệu 36 3.1.5 Kho lưu trữ/thu hồi chứng 36 3.1.6.Chuỗi chứng hoạt động 37 3.2 Cách thức làm việc PKI 37 3.2.1 Khởi tạo thực thể cuối 38 3.2.2 Tạo cặp khố cơng khai/khố riêng 38 3.2.3 Áp dụng chữ ký số để định danh người gửi .39 3.2.4 Mã hóa thơng báo .39 3.2.5 Truyền khóa đối xứng 39 3.2.6 Kiểm tra danh tính người gửi thơng qua CA 40 3.2.7 Giải mã thông báo kiểm tra nội dung thông báo 40 3.3 Các tiến trình PKI 41 3.3.1 Yêu cầu chứng 41 3.3.1.1 Gửi yêu cầu .41 3.3.1.2 Các sách 41 3.3.2 Huỷ bỏ chứng .42 3.4 Các mơ hình PKI .42 3.4.1 Mơ hình phân cấp CA chặt chẽ (strict hierarchy of CAs) 42 3.4.2.Mơ hình phân cấp CA khơng chặt chẽ (loose hierarchy of CAs) .43 3.4.3.Mơ hình kiến trúc tin cậy phân tán (distributed trust architecture) 44 3.4.4 Mơ hình bên (four-corner model) 45 3.4.5 Mơ hình Web (web model) 46 3.4.6.Mơ hình tin cậy lấy người dùng làm trung tâm (user-centric trust) 47 3.5.Các kiểu kiến trúc PKI .48 3.5.1 Kiến trúc kiểu Web of Trust .49 3.5.2.Kiến trúc kiểu CA đơn (Single CA) 50 3.5.3 Kiến trúc CA phân cấp .52 3.5.4 Kiến trúc kiểu chứng thực chéo (Cross-certificate) 52 3.5.5 Kiến trúc Bridge CA(BCA) .53 CHƯƠNG IV: XÂY DỰNG MƠ HÌNH PKI DỰA TRÊN MÃ NGUỒN MỞ OPENCA 54 4.1.Lịch sử phát triển OpenCA 54 4.2 CA 55 4.2.1.Chức CA 56 4.2.1.1 Cấp phát chứng 56 4.2.1.2.Huỷ bỏ chứng .56 4.2.1.3.Tạo lập sách chứng 57 4.2.1.4.Hướng dẫn thực chứng số (Certification Practice Statement) .57 4.2.2.Nhiệm vụ CA 57 4.2.3 Các loại CA 57 4.2.3.1.Enterprise CA: 57 4.2.3.2.Standalone CA 58 4.2.4.Các cấp CA .58 4.2.4.1.Root CA(CA gốc) 58 4.2.4.2.Subordinate CA(CA phụ thuộc): 58 4.3 Thiết kế chung CA 59 4.3.1.Phân cấp 60 4.3.2.Các giao diện .61 4.3.2.1.Node 62 4.3.2.2.CA .63 4.3.2.3.RA .63 4.3.2.4 LDAP 63 4.3.2.5.Pub .63 4.4 Vòng đời đối tượng 64 4.5 Các lưu ý thiết kế PKI .65 4.5.1 Các vấn đề phần cứng 65 4.5.1.1.Thời gian 65 4.5.1.2.Đĩa lỗi 66 4.5.1.3.Theo dõi phần cứng 66 4.5.2.An toàn vật lý 66 4.5.3.Các vấn đề mạng 67 4.5.4.Vấn đề chứng 67 4.5.5.CDPs (Các điểm phân phối danh sách huỷ bỏ chứng (CDP)) .68 4.5.6.Các vấn đề cụ thể ứng dụng 68 4.5.6.1.Mail Server 68 4.5.6.2 Client Netscape 69 4.5.6.3.OpenLDAP 69 PHỤ LỤC 69 1.Môi trường phát triển 69 1.1.Apache 69 1.2 OpenSSL .70 1.2.1.Cơng cụ dịng lệnh openssl 71 1.2.1.1.Các dòng lệnh chuẩn 71 1.2.1.2.Các dịng lệnh tóm lược thơng báo 72 1.2.1.3 Các dòng lệnh mã hoá 72 1.2.2.Thư viện SSL/TLS OpenSL 73 1.2.2.1.Miêu tả 73 1.2.2.2 Cấu trúc liệu .73 1.2.2.3 Các file header .74 1.2.3 Thư viện mật mã OpenSSL 74 1.2.3.1 Miêu tả 74 1.2.3.2.Tổng quan .74 1.2.4 Bộ công cụ OpenSSL 74 1.3.1.Các điểm bật 76 1.3.2.Kiến trúc gói mod_ssl 76 1.3.3.Giao thức SSL .77 1.4 OpenLDAP 78 1.5 Các module perl 81 2.Các chuẩn mật mã .82 DANH MỤC CÁC TỪ VIẾT TẮT AES API APXS CA CDP: Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến Application Programming Interface Giao diện lập trình ứng dụng Apache Extention (tool) Công cụ mở rộng Apache Certificate Authority Thẩm quyền chứng thực CRL Distribution Point Điểm phân phối CRL CRL CRR CPS CSR DES DN DSO Email FTP HTTP HTTPS: IDEA: IKE: IMAP ITU: LDAP: Certificate Revocation List Danh sách huỷ bỏ chứng Certificate Revocation Request Yêu cầu huỷ bỏ chứng Certification Pratice Statement Hướng dẫn thực hành chứng Certificate Signing Request Yêu cầu ký chứng Data Encryption Standard Tiêu chuẩn Mã hóa Dữ liệu Distingished Name Tên phân biệt Dynamic Shared Object Đối tượng chia sẻ động Electronice mail Thư điện tử File Transfer Protocol Giao thức truyền tập tin Hypertext Transfer Protocol Giao thức truyền siêu văn Secure Hypertext Transfer Protocol Giao thức truyền siêu văn an toàn International Data Encryption AlgorithmThuật toán mã hoá liệu quốc tế Internet Key Exchange Trao đổi khoá Internet Internet Message Access Protocol Giao thức truy cập thông báo Internet Internet Telecommunication Union Liên minh viễn thông quốc tế Lightweight Directory Access Protocol MAC MD: NCSA OCSP OSI PEM: PGP: PKCS: PKI: POP: RSA: SCEP: SHA: S/MIME SMTP SPKC SSH TCP/IP TLS Giao thức truy cập nhanh thư mục Message Authentication Code Mã xác thực thơng báo Message Degist Tóm lược thông báo Online Certificate Status Protocol Giao thức trạng thái chứng Open System Interconnection Mơ hình kết nối hệ thống mở Privacy Enhanced Mail Thư riêng tư tăng cường Pretty Good Privacy Public Key CryptoGraphy Standards Chuẩn mật mã khố cơng khai Pulic Key Infracstructure Cơ sở hạ tầng khóa cơng khai Post Office Protocol Rivest Shamir Adleman Simple Certificate Enrollment Protocol Giao thức đăng ký chứng đơn giản Secure Hash Algorithm Thuật toán băm Secure Multipurpose Internet Mail Extensions Simple Mail Transfer Protocol Giao thức truyền thư đơn giản Simple Public Key Certificate Chứng khoá công khai đơn giản Secure Shell Transmission Control Protocol /Internet Protocol Giao thức điều khiển truyền thông/giao thức Internet Transport layer Security Giao thức đảm bảo an toàn lớp vận chuyển DANH MỤC HÌNH VẼ Hình 1: Mật mã khố bí mật 11 Hình 2: Mật mã khố công khai 12 Hình 3: Quá trình ký số 14 Hình 4: Quá trình kiểm tra chữ ký số 15 Hình 5:Mơ hình PKI Việt Nam 18 Hình 6: Khn dạng chứng X.509v3 22 Hình 7: Tiến trình đăng nhập an tồn .29 Hình 8: Tiến trình đăng nhập an toàn lần 30 Hình 9: Mơ hình thành phần PKI 32 Hình 10: Chuỗi chứng 35 Hình 11: Mơ hình phân cấp CA chặt chẽ 41 Hình 12: Mơ hình kiến trúc tin cậy phân tán .43 Hình 13: Mơ hình bốn bên 43 Hình 14: Mơ hình Web .44 Hình 15: Mơ hình tin cậy lấy người dùng làm trung tâm 46 Hình 16: Chuỗi tin cậy .47 Hình 17: Kiến trúc kiểu Web of Trust 48 Hình 18: Kiến trúc CA đơn 49 Hình 19: Kiến trúc CA phân cấp 50 Hình 20: Kiến trúc kiểu chứng thực chéo 51 Hình 21: Kiến trúc Bridge CA 52 Hình 22: Sơ đồ minh họa rootCA SubCA 57 LỜI NÓI ĐẦU Trong vài năm lại đây, hạ tầng truyền thông công nghệ thông tin ngày mở rộng mà người sử dụng dựa tảng để truyền thông giao dịch với đồng nghiệp, đối tác kinh doanh việc khách hàng dùng email mạng công cộng Hầu hết thông tin kinh doanh nhạy cảm quan trọng lưu trữ trao đổi hình thức điện tử Sự thay đổi hoạt động truyền thông doanh nghiệp đồng nghĩa với việc phải có biện pháp bảo vệ tổ chức, doanh nghiệp trước nguy lừa đảo, can thiệp, công, phá hoại vơ tình tiết lộ thơng tin Cấu trúc sở hạ tầng mã hóa khố cơng khai tiêu chuẩn công nghệ ứng dụng coi giải pháp tổng hợp độc lập sử dụng để giải vấn đề PKI trở thành phần trung tâm kiến trúc an toàn dành cho tổ chức kinh doanh PKI xem điểm trọng tâm nhiều khía cạnh quản lý an toàn Hầu hết giao thức chuẩn đảm bảo an toàn mail, truy cập Web, mạng riêng ảo hệ thống xác thực người dùng đăng nhập đơn sử dụng chứng khóa cơng khai PKI chất hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng sử dụng để khởi tạo, lưu trữ quản lý chứng thực điện tử mã khố cơng khai cá nhân Sáng kiến PKI đời năm 1995, mà tổ chức công nghiệp phủ xây dựng tiêu chuẩn chung dựa phương pháp mã hoá để hỗ trợ hạ tầng bảo mật mạng Internet Tại thời điểm đó, mục tiêu đặt xây dựng tiêu chuẩn bảo mật tổng hợp công cụ lý thuyết cho phép người sử dụng tổ chức (doanh nghiệp phi lợi nhuận) tạo lập, lưu trữ trao đổi thông tin cách an toàn phạm vi cá nhân cơng cộng PKI ngày thể rõ vai trị lĩnh vực an tồn thơng tin Hiện nay, có nhiều cách thức xây dựng PKI Một cách thức xây dựng PKI dựa mã nguồn mở OpenCA Đề tài “Nghiên cứu xây dựng hệ thống PKI dựa mã nguồn mở OpenCA” thực với mục đích tìm hiểu, nghiên cứu xây dựng PKI dựa mã nguồn mở OpenCA Nội dung đề tài bao gồm khái niệm tổng quan mật mã, khái niệm liên quan tới PKI , mơ hình kiểu kiến trúc PKI Về phần OpenCA, đề tài nêu lên đặc điểm, chức phần mềm mã mở để xây dựng nên OpenCA Apache, OpenSSL, mod_ssl , perl module perl Với giới hạn vấn đề tìm hiểu nghiên cứu, nội dung tìm hiểu đề tài em bao gồm phần Chương I: Cơ sở mật mã khố cơng khai khố bí mật Chương I trình bày mật mã khố bí mật mật mã khố cơng khai thuật toán sử dụng mật mã Chương I nêu khái niệm chữ ký số, hàm băm tóm lược thơng báo Chương II: Tổng quan PKI Chương trình bày khái niệm PKI khái niệm có liên quan tới PKI Chương nêu lên mục tiêu, chức PKI, khía cạnh an tồn mà PKI cung cấp Mục đích chương thể nhìn tổng quan PKI Chương III: Các thành phần cách thức làm việc PKI, mơ hình kiểu kiến trúc PKI Chương II nêu lên nhìn tổng quan PKI, chương III khai thác sâu khía cạnh kỹ thuật sử dụng PKI, cách thức làm việc PKI kiểu kiến trúc, mơ hình PKI Chương IV: Xây dựng mơ hình PKI dựa mã nguồn mở OpenCA Chương trình bày chi tiết CA: Bao gồm chức năng, nhiệm vụ, loại CA Chương trình bày thiết kế chung CA lưu ý xây dựng PKI dựa nguồn mở OpenCA CHƯƠNG I: CƠ SỞ MẬT MÃ HỌC Mật mã sử dụng từ lâu đời Các hình thức mật mã sơ khai tìm thấy từ khoảng bốn nghìn năm trước văn minh Ai Cập cổ đại Mật mã tồn hàng nghìn năm lịch sử sử dụng rộng rãi để giữ bí mật truyền tin đặc biệt lĩnh vực quân sự, trị, an ninh quốc phòng Mật mã chia thành hai loại mật mã khóa bí mật (hay cịn gọi mật mã đối xứng) mật mã khóa cơng khai (hay cịn gọi mật mã phi đối xứng) Để truyền tin sử dụng mật mã hai bên truyền tin phải có khóa 10 ... thức xây dựng PKI Một cách thức xây dựng PKI dựa mã nguồn mở OpenCA Đề tài ? ?Nghiên cứu xây dựng hệ thống PKI dựa mã nguồn mở OpenCA? ?? thực với mục đích tìm hiểu, nghiên cứu xây dựng PKI dựa mã nguồn. .. nguồn mở OpenCA Nội dung đề tài bao gồm khái niệm tổng quan mật mã, khái niệm liên quan tới PKI , mơ hình kiểu kiến trúc PKI Về phần OpenCA, đề tài nêu lên đặc điểm, chức phần mềm mã mở để xây dựng. .. nhìn tổng quan PKI, chương III khai thác sâu khía cạnh kỹ thuật sử dụng PKI, cách thức làm việc PKI kiểu kiến trúc, mơ hình PKI Chương IV: Xây dựng mơ hình PKI dựa mã nguồn mở OpenCA Chương trình
