- Bùi Trọng Tùng NGHIÊN CỨU, TRIỂN KHAI, THỬ NGHIỆM VÀ ỨNG DỤNG GIẢI PHÁP TÍCH HỢP SINH TRẮC VÀO PKI Chuyên ngành : Kỹ thuật máy tính và truyền thông LUẬN VĂN THẠC SĨ KHOA HỌC KỸ THUẬT MÁY TÍNH VÀ TRUYỀN THÔNG NGƯỜI HƯỚNG DẪN KHOA HỌC : TS. - Các kết quả nêu trong luận văn là trung thực, không phải là sao chép toàn văn của bất kỳ công trình nào khác. - Toàn văn luận văn đã được sự cho phép công bố của đề tài KC Nghiên cứu xây dựng hệ thống kiểm soát truy cập mạng và an ninh thông tin dựa trên sinh trắc học sử dụng công nghệ nhúng” nằm trong Chương trình Khoa học-Công nghệ trọng điểm cấp nhà nước giai đoạn 2006-2010. - Hà Nội, ngày 29 tháng 10 năm 2010 Tác giả 3 MỤC LỤC TRANG PHỤ BÌA LỜI CAM ĐOAN DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC CÁC BẢNG DANH MỤC HÌNH VẼ MỞ ĐẦU Chương 1- TỔNG QUAN VỀ HẠ TẦNG KHÓA CÔNG KHAI PKI Các khái niệm cơ bản Hệ mật mã khóa bất đối xứng Cơ sở hạ tầng khóa công khai Các thành phần của PKI Nhà phát hành chứng thư số CA Cơ quan đăng kí chứng thực RA Thực thể đầu cuối Cấu trúc chứng thư số Kho chứng thư số Các chức năng chính của PKI Yêu cầu chứng thư số Phát hành chứng thư số Công bố chứng thư số Hủy chứng thư số Các hoạt động quản lý khóa Kiến trúc PKI Kiến trúc PKI đơn có một CA Kiến trúc PKI xí nghiệp Sản phẩm mã nguồn mở hạ tầng khóa công khai OpenCA Giới thiệu chung về OpenCA Các thành phần chính của OpenCA Các dịch vụ chính của OpenCA Một số vấn đề của PKI Chương 2 - XÂY DỰNG MÔ HÌNH GIẢI PHÁP VÀ THIẾT KẾ HỆ THỐNG BIOPKI Vấn đề tích hợp sinh trắc học vào hệ thống PKI Các yêu cầu chung đối với một hệ thống BioPKI Các hướng tiếp cận sinh trắc học vào PKI Giải pháp xây dựng và phát triển hệ thống BioPKI Giải pháp sử dụng sinh trắc học và công nghệ nhúng bảo vệ khóa cá nhân.47 2.2.2 Giải pháp xây dựng BioPKI trên nền tảng PKI-OpenCA Mô hình kiến trúc hệ thống mức khung cảnh Thiết kế chức năng các thành phần trong hệ thống BioPKI Thành phần CA Operator Thành phần RA Thành phần LRA Website quảng bá thông tin Quy trình hoạt động của hệ thống BioPKI Thiết lập hệ thống ban đầu Cấp phát chứng thư số mới Hủy chứng thư theo yêu cầu Chương 3 - GIẢI PHÁP XÂY DỰNG ỨNG DỤNG CHỮ KÍ SỐ TRÊN NỀN TẢNG HỆ THỐNG BIOPKI Khái quát chung về chữ kí số Khái niệm chữ kí số Sơ đồ nguyên lý kí số và xác thực chữ kí số Ứng dụng chữ kí số trên nền tảng hệ thống BioPKI Giải pháp tích hợp ứng dụng chữ kí số trên nền tảng BioPKI vào các giao dịch điện tử Triển khai chữ kí số cho các dịch vụ trên nền tảng Application-based Triển khai ứng dụng chữ kí số trên các ứng dụng Web-based Chương 4 - TRIỂN KHAI HỆ THỐNG BIOPKI VÀ KẾT QUẢ THỬ NGHIỆM Đề xuất giải pháp triển khai hệ thống BioPKI Quy trình tác nghiệp tại một cơ quan phát hành và quản lý chứng thư số Quy trình một tác nghiệp trao đổi và xử lí văn bản Triển khai hạ tầng hệ thống BioPKI tại địa chỉ ứng dụng Kết quả triển khai thử nghiệm Mô hình hệ thống thử nghiệm Nội dung và kết quả thử nghiệm Đánh giá kết quả thử nghiệm KẾT LUẬN VÀ KIẾN NGHỊ TÀI LIỆU THAM KHẢO DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Diễn giải CA Certificate Authority CRL Certificate Revocation List CSDL Cơ sở dữ liệu FTP File Transfer Protocol HTTP Hyper Text Transfer Protocol ID Identification LDAP Lightweight Directory Access Protocol LRA Local Registration Authority PIN Personal Identification Number PKCS Public Key Cryptography Standards PKI Public Key Infrastructure RA Registration Authority XML eXtensible Markup Language 7 DANH MỤC CÁC BẢNG Bảng 4.1 Danh sách thiết bị triển khai hệ thống Bảng 4.2. - Kết quả thử nghiệm cấp phát chứng thư mới Bảng 4.3 Kết quả thử nghiệm thu hồi chứng thư số hết hạn Bảng 4.4 Kết quả thử nghiệm thu hồi chứng thư số theo yêu cầu Bảng 4.5 Kết quả triển khai chữ kí số trên nền tảng Application-based Bảng 4.6 Kết quả triển khai chữ kí số trên nền tảng Web-based Bảng 4.7 Kết quả thử nghiệm chống tấn công giả mạo nội dung Bảng 4.8 Kết quả thử nghiệm chống tấn công giả danh người dùng Bảng 4.9 Đánh giá kết quả thử nghiệm DANH MỤC HÌNH VẼ Hình 1.1 Sơ đồ nguyên lý hệ mã hóa khóa công khai đảm bảo tính mật Hình 1.2 Sơ đồ nguyên lý hệ mã hóa khóa công khai đảm bảo tính xác thực Hình 1.3 Các thành phần của PKI Hình 1.4 Cấu trúc của một chứng thư số Hình 1.5 Kiến trúc PKI có một CA Hình 1.6 Mô hình danh sách các CA tin cậy (Basic Trust List Model Hình 1.7 Mô hình PKI phân cấp Hình 1.8 Mô hình PKI lưới Hình 1.9 Mô hình danh sách điểm tin cậy mở rộng Hình 1.10 Mô hình PKI chứng nhận chéo Hình 1.11 Mô hình CA bắc cầu Hình 2.1 Hướng tiếp cận hệ thống BioPKI Hình 2.2 Một số đặc trưng sinh trắc học Hình 2.3 Hệ thống sinh trắc học Hình 2.4 Mô hình sử dụng thẻ Bio-Etoken bảo vệ khóa cá nhân Hình 2.5 Mô hình kiến trúc hệ thống BioPKI mức khung cảnh Hình 2.6 Biểu đồ phân cấp chức năng của CA Operator Hình 2.7 Sơ đồ phân cấp chức năng của LRA Hình 2.8 Sơ đồ phân cấp chức năng của LRA Hình 2.9 Kịch bản thiết lập CA Operator Hình 2.10 Kịch bản thiết lập RA Hình 2.11 Kịch bản thiết lập LRA Hình 2.12 Quy trình hệ thống cấp chứng thư mới Hình 2.13 Quy trình hệ thống hủy chứng thư theo yêu cầu Hình 3.1 Quá trình tạo và xác thực chữ kí số Hình 3.2 Kịch bản kí số lên bản tin trong hệ thống BioPKI Hình 3.3 Kịch bản xác thực chữ kí số trong hệ thống BioPKI Hình 3.4 Triển khai chữ kí số trên ứng dụng Application-based Hình 3.5 Nền tảng Web-based để xây dựng ứng dụng chữ kí số Hình 4.1 Mô hình triển khai hệ thống BioPKI tại các đơn vị ứng dụng Hình 4.2 Hạ tầng triển khai hệ thống BioPKI Hình 4.3 Sơ đồ hệ thống thử nghiệm MỞ ĐẦU Ngay từ khi mới ra đời, mạng máy tính đã chứng minh được vai trò và sức ảnh hưởng lớn lao của nó tới các lĩnh vực có ứng dụng công nghệ thông tin. - Đặc biệt, sự phát triển mạnh mẽ của mạng Internet kéo theo sự phát triển không ngừng của các giao dịch điện tử trên môi trường mạng, là nền tảng để kéo cộng đồng người dùng tới gần nhau hơn. - Nhu cầu xây dựng một hệ thống an toàn-an ninh thông tin đảm bảo các giao dịch có định danh và chống từ chối ngày càng trở nên cấp thiết. - Cơ sở hạ tầng khóa công khai PKI (Public Key Infrastructure), phát triển trên nền tảng các hệ mật khóa bất đối xứng, là một trong những giải pháp được ưa chuộng do tính ưu việt của nó so với nhiều giải pháp khác. - Mỗi người dùng trong hệ thống sẽ được xác định bởi khóa cá nhân và chứng thư số do hệ thống cấp phát . - mỗi giao dịch sẽ được gắn chữ kí số của người tham gia. - Tuy nhiên, như bất kì một hệ thống thông tin nào khác, PKI cũng có những vấn đề an toàn-bảo mật thông tin. - mà chỉ khi nào những vấn đề này được giải quyết thì PKI mới thực sự chứng minh được khả năng ứng dụng của nó. - Trong đó, nguy cơ lớn nhất là khóa cá nhân bị mất và được sử dụng bởi một người không phải là chủ sở hữu của nó. - đặc biệt nếu khóa cá nhân đó là của quản trị viên hệ thống thì hệ thống sẽ đổ vỡ. - Với một hệ thống PKI thông thường, các giải pháp kĩ thuật chỉ cho phép xác thực được “Ai đang dùng khóa cá nhân. - chứ không thể khẳng định được “Khóa cá nhân đó có đúng là của người dùng nó hay không. - Để tiến tới một giải pháp xác thực chủ thể hiệu quả, cũng như bảo vệ tốt khóa cá nhân, người ta nghĩ tới việc tích hợp yếu tố sinh trắc học, với điểm mạnh chính là tính xác thực dựa trên tính đặc trưng cho từng cá nhân, với hệ thống PKI thành BioPKI. - Trong quá trình tham gia đề tài Khoa học công nghệ cấp nhà nước mang mã số KC về “Nghiên cứu, xây dựng hệ thống kiểm soát truy cập mạng và an ninh thông tin dựa trên sinh trắc học sử dụng công nghệ nhúng”, tác giả đã nhận 11 thức được xu thế xây dựng và phát triển hệ thống BioPKI. - Nguyễn Linh Giang, tác giả đã nghiên cứu các mô hình xây dựng hệ thống BioPKI cùng với ứng dụng chữ kí số trên nền tảng BioPKI. - Với tiền đề là những kết quả công việc từ năm 2008 khi tham gia đề tài KC tác giả lựa chọn được một giải pháp xây dựng hệ thống BioPKI và ứng dụng chữ kí số để bắt đầu thực hiện luận văn Thạc sĩ khoa học “Nghiên cứu, triển khai, thử nghiệm và ứng dụng giải pháp tích hợp sinh trắc vào PKI”. - Sau một thời gian nghiên cứu, từ tháng 11/2009 đến 10/2010, tác giả đã đạt được những kết quả sau. - Nguyễn Linh Giang, tác giả tham gia Hội nghị FAIR 2009 với bài báo Mô hình tích hợp sinh trắc tăng cường an ninh cho cơ sở hạ tầng khóa công khai PKI. - Nguyễn Linh Giang, tác giả công bố bài báo “Digital signature using Bio-Etoken in BioPKI system and applications” trên Tạp chí Khoa học và Công nghệ, Số 79B. - Nguyễn Linh Giang tác giả hoàn thành luận văn Thạc sĩ khoa học. - Mục đích đề tài Với tên gọi “Nghiên cứu, triển khai, thử nghiệm và ứng dụng giải pháp tích hợp sinh trắc vào PKI. - mục đích của luận văn là đưa ra một giải pháp hệ thống an ninh thông tin trên các phương diện sau. - Đề xuất mô hình tổng thể hệ thống BioPKI trên cơ sở tích hợp sinh trắc học vào PKI, thiết kế chức năng các thành phần của hệ thống, bảo đảm an toàn khóa cá nhân. - đồng thời hệ thống có thể phục vụ cho các quy trình tác nghiệp tại một cơ quan phát hành và quản lý chứng thư số. - Xây dựng giải pháp chữ kí số trên nền tảng hệ thống BioPKI. - Đề xuất giải pháp triển khai hệ thống BioPKI và ứng dụng chữ kí số cho các nghiệp vụ thực tế. - Đối tượng nghiên cứu 12 Để đạt được mục đích của luận văn, tác giả xác định các vấn đề cần phải nghiên cứu bao gồm. - Nghiên cứu các hướng tiếp cận tích hợp sinh trắc với PKI thành BioPKI trên lý thuyết. - Nghiên cứu các thành phần và kiến trúc của cơ sở hạ tầng khóa công khai PKI theo chuẩn công nghiệp. - Nghiên cứu đề xuất mô hình, xây dựng giải pháp hệ thống an ninh thông tin BioPKI đáp ứng được các yêu cầu an toàn thông tin và các yêu cầu về quy trình tác nghiệp. - Nghiên cứu nguyên lí chữ kí số truyền thống, từ đó xây dựng giải pháp chữ kí số trên nền tảng hệ thống BioPKI và đề xuất mô hình triển khai chữ kí số trong các giao dịch điện tử. - Phạm vi nghiên cứu Dựa trên những kết quả nghiên cứu về nguyên lý cơ sở hạ tầng khoá công khai PKI và mô hình lý thuyết các hướng tiếp cận BioPKI, tác giả lựa chọn, đề xuất các giải pháp triển khai một hướng tiếp cận khả thi. - Trên cơ sở đó, tác giả xây dựng mô hình tổng thể hệ thống BioPKI với các giải pháp lựa chọn, xây dựng mô hình ứng dụng chữ kí số trên nền tảng BioPKI, thử nghiệm toàn bộ hệ thống và ứng dụng cho các quy trình tác nghiệp trên thực tế. - Phương pháp nghiên cứu Tác giả đã sử dụng các phương pháp nghiên cứu để hoàn thành luận văn, bao gồm. - Nghiên cứu lý thuyết. - Nghiên cứu các mô hình lý thuyết về cơ sở hạ tầng khóa công khai PKI • Nghiên cứu các hướng tiếp cận tích hợp sinh trắc vào PKI. - Nghiên cứu các phương pháp mật mã đảm bảo tính xác thực cho giao dịch điện tử trong môi trường mạng − Công nghệ. - Khảo sát công nghệ và lựa chọn giải pháp công nghệ phù hợp và có tính khả thi để xây dựng hệ thống BioPKI. - 13 • Phân tích, đánh giá và xây dựng giải pháp trên cơ sở phân tích các yêu cầu đối với hệ thống BioPKI. - Triển khai thử nghiệm hệ thống và đánh giá kết quả. - Những đóng góp mới của tác giả sẽ được trình bày trong nội dung luận văn, bao gồm. - Mô hình tổng thể hệ thống BioPKI tích hợp tất cả các thành phần : hệ thống PKI-OpenCA, phân hệ sinh trắc, phân hệ thiết bị nhúng. - Mô hình triển khai chữ kí số trên nền tảng hệ thống BioPKI cho các ứng dụng giao dịch điện tử xây dựng trên hai công nghệ : Application-based và Web-based. - Giải pháp triển khai hạ tầng hệ thống BioPKI cho các nghiệp vụ và ứng dụng trong thực tế. - Chương 1 – Tổng quan về hạ tầng khóa công khai PKI. - Trong chương này, tác giả trình bày những vấn đề cơ bản của hệ thống PKI, bao gồm : các thành phần chức năng, các dịch vụ lõi, kiến trúc PKI. - Các vấn đề cơ bản trên được minh họa bằng một sản phẩm mã nguồn mở là hệ thống PKI-OpenCA. - Cuối chương, tác giả đánh giá một số nguy cơ an toàn bảo mật thông tin trong hệ thống PKI để cho thấy nhu cầu phải có giải pháp tăng cường an ninh cho hệ thống. - Chương 2 – Xây dựng mô hình giải pháp và thiết kế hệ thống BioPKI. - Phần đầu chương này, tác giả trình bày lựa chọn giải pháp tích hợp sinh trắc học và công nghệ nhúng với hệ thống PKI-OpenCA thành hệ thống BioPKI. - Tác giả đã đưa ra giải pháp công nghệ, phân tích và đánh giá giải pháp phát triển hệ thống BioPKI. - Trong phần còn lại của chương này, tác giả trình bày thiết kế chức năng cho các thành phần của hệ thống BioPKI theo mô hình và giải pháp công nghệ đã lựa chọn. - Chương 3 – Giải pháp xây dựng ứng dụng chữ kí số trên nền tảng hệ thống BioPKI. - Nội dung chương này trình bày giải pháp xây dựng ứng dụng chữ kí số trên nền tảng hệ thống BioPKI, trong đó cơ chế xác thực hai yếu tố sử dụng số 14 PIN và đặc trưng sinh trắc để đảm bảo chỉ có người sở hữu thực sự của khóa cá nhân mới có thể sử dụng khóa để kí số. - Tác giả cũng đưa ra mô hình triển khai chữ kí số cho các ứng dụng trên hai nền tảng : Application-based và Web-based. - Chương 4 – Triển khai hệ thống BioPKI và kết quả thử nghiệm. - Trong chương này, tác giả trình bày nội dung triển khai hạ tầng hệ thống BioPKI để đáp ứng các quy trình tác nghiệp cho một cơ quan phát hành và quản lý chứng thư số. - Tác giả cũng trình bày các kịch bản thử nghiệm và kết quả để kiểm chứng lại những giải pháp đã đưa ra trong các chương trước. - Để có được những kết quả nghiên cứu trên, tác giả xin gửi lời cảm ơn chân thành tới TS. - Nguyễn Linh Giang, người đã tận tình hướng dẫn trong quá trình tác giả thực hiện luận văn. - Tác giả cũng xin gửi lời cảm ơn tới PGS.TS. - Nguyễn Thị Hoàng Lan, chủ nhiệm đề tài KC và các thành viên khác trong đề tài đã có những đóng góp quý báu để tác giả hoàn thành luận văn này. - 15 Chương 1 - TỔNG QUAN VỀ HẠ TẦNG KHÓA CÔNG KHAI PKI 1.1 Các khái niệm cơ bản 1.1.1 Hệ mật mã khóa bất đối xứng Mật mã là một công cụ bao gồm các nguyên tắc, phương tiện và phương thức chuyển đổi dữ liệu nhằm ấn dấu nội dung thông tin, củng cố tính xác thực của thông tin, ngăn chặn sự thay đổi, tính từ chối, và việc sử dụng trái phép thông tin. - Đây là một trong các giải pháp được dùng để đảm bảo an toàn-bảo mật cho dữ liệu của các hệ thống thông tin và truyền thông. - Hệ mật mã bất đối xứng hay còn có tên gọi là hệ mật mã mã hóa công khai gồm có 5 thành phần đặc trưng [9]: Trong đó: 1. - Bản tin rõ: Là dạng nguyên bản của thông điệp cần truyền đi, nó được sử dụng làm đầu vào cho các thuật toán mã hóa. - Khóa công khai và khóa cá nhân: Là cặp khóa được sử dụng trong quá trình truyền và nhận thông tin. - Một khóa trong hai khóa được sử dụng cho việc mã hóa, khóa còn lại được sử dụng cho việc giải mã bản tin. - Cặp khóa này mang giá trị độc lập đối với bản tin rõ và thuật toán mã hóa. - Thuật toán sẽ tạo ra các giá trị khác nhau phụ thuộc vào việc khoá công khai hay khóa cá nhân nào được sử dụng làm đầu vào trong thời điểm đấy. - Khóa cá nhân phải được giữ bí mật với tất cả mọi người, trừ người sở hữu nó, còn khóa công khai có thể được công bố rộng rãi. - Thuật toán giải mã: Ngược với thuật toán mã hóa, nó dùng mã mật làm đầu vào và sử dụng cặp khóa công khai/ khóa cá nhân để tạo ra bản tin rõ ban đầu. - Trong phương pháp mã hóa bằng khóa công khai, cặp khoá công khai/khóa cá nhân của một người mang tính chất duy nhất, vì thế có thể coi đó là đặc trưng cho người sử dụng khóa. - Nguyên tắc sử dụng cặp khóa này là. - Bản tin không thể được giải mã bằng khóa đã dùng để mã hóa nó. - Nhờ những nguyên tắc trên mà phương pháp mã hóa công khai trở nên rất thích hợp trong việc sử dụng các chứng thư số và các dịch vụ chống phủ nhận. - Một đặc trưng của công nghệ mã hóa công khai đó là: đảm bảo được tính mật và tính xác thực. - Trong các hệ mật sử dụng mã hóa công khai, người ta có thể áp dụng từng tính chất này hoặc kết hợp cả hai để đạt được hiệu quả an ninh tốt nhất. - Mô hình đảm bảo tính mật [9] Thuật toán mã hóa X Thuật toán giải mã X Bản tin đích Thám mã Y Tạo cặp khóa Bản tin gốc Hình1.1Sơ đồ nguyên lýhệ mãhóakhóacông khai đảmbảotínhmật
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt