Luận văn nghiên cứu triển khai thử nghiệm và Ứng dụng giải pháp tích hợp sinh trắc vào pki

Trong đó, nguy cơ lớn nhất là khỏa cá nhân bị mất và được sử đựng bởi một người không phải lä chú sở hữu của nó; đặc biệt nếu khỏa cả nhàn đó là của quản trị viên hệ thẳng thì hệ thống

NGHIÊN CỨU, TRIÊN KHÁI, THỦ NGHIỆM VÀ ỨNG DỤNG

GIẢI PHÁP TÍCH HỢP SINH TRÁC VÀO PKI

Chuyên ngành: Kỹ thuật máy tính và tuyển thông

LUẬN VĂN THAC SỈ KHOA HỌC

KỸ THUẬT MAY TINI VÀ TRUYÊN THONG

NGƯỜI HƯỚNG DẪN KHOA HỌC T8 NGUYỄN LTNII GIANG

Tà Nội — Nắm 2010,

LOI CAM BOAN

Tôi — Bửi Trọng Từng- cam kết luận văn Thạc sĩ khoa học nảy lá công trình

nghiên cửu của bản thân tôi đưới sự hướng din cia TS Nguyễn Linh Giang

Các kết quả nêu trong luận văn lá trung thực, không phải là sao chứp toàn

văn của bát kỳ công trình nào khác

Toàn văn luận văn đã được sự cho phép công bổ của để tải KC.01.11/06-10

“Nghiên cứu xây dựng hệ thông kiểm soát truy cập mang và an ninh thông tin dựa

trên sinh trắc học sử đụng công nghệ nhúng” năm trong Chương trình Khoa học-

Công nghệ trọng điểm cap nhà nước giai đoạn 2006-2010

Tà Nội, ngày 29 tháng 16 năm 2010

Tác giả

MỤC LỤC TRANG PHỤ BÌA

1.3 Các chức năng chính của PKI Si sereeisierrrrrrere

1.3.1 Yêu cầu chứng Bưư sổ - 26 13.2 Phat hank ching the sé

1.3.3 Công bố chứng thư số

1.3.3 Các hoại động quản lý khỏa, vasa nani?

1.42 Kiển trúc PKIxi nghiệp

1.3 San phẩm má nguồn mở hạ lằng khỏa công khai OpcnCA 38

1.5.1 Giới thiệu chưng về OQpenCA cooeeerireeaeooeo SO

15.2 Các thành phân chink của OpehiCA oeeeoeeeoeoooe E7

31 'Vắn đê tich hợp sinh trắc học vào hệ thắng PKI Al

3.11 Cae yiu cin chung déi với một hệ thẳng BioPKT - 4 2.42 Các huông tiếp cận sinh mắc học vào PKI a

2.3 Giải pháp xây dig va phat triển hệ thắng BiaPKI 47

3.3.1 Giải pháp sữ đụng sinh trắc học và công nghệ những hảo vệ khéa ed nhin 47 2.2.2 Giải pháp xây dụng BioPKI trên nên tầng PKI-OpeHCA 49

2.3 Mô hình kiến trúc hệ thống mức khung cảnh 53

2.4 Thiết kế chức năng các thành phần trong hệ thắng BioPKI 55

24.2 Thành phẩn RA 58 24.3 Thành phần LRA - oT

2.5 Quy trình hoạt động của hệthống BioPKI

3.5.7 Thiét lập hệ thẳng ham đầu - 6#

3.5.3 Hủy chững thar taa yâu câu 70

Chuong 3 - GIAT PHAP XAY DUNG UNG DUNG CRT’ Ki SO TREN NEN

TANG HE THONG BIOPKI

3.2 Ứng dụng chữ kí số trên nên tàng hệ thống BioPKI TỔ 3.3 Giải pháp tích hợp ứng dụng chữ kí số trên nền làng BioPKI vào các giao dịch

điện tử LH HH HH HHhHeegaieaaasiaaareoe.TĐ

3.3.1 Triển khai chữ kí số cho các địch vụ trên nền tăng Applicalion-based 79

3.3.2 Triển khai ng đựng chữ li số trên các ứng đụng Web-bnssd BT

Chuong 4 - TRIEN KHAI HE THONG BIOPKI VA KET QUA THU

41 Đề xmất giải pháp triển khai hệ thẳng BioPKT 81

4.1.1 Quy trình tác nghiệp tại một cơ quan phát hành và quân Í) chứng thư số 82 4.1.2 Quy trinh một tắc nghiệp trao đội và xứ W văn hàn - #

4.13 Triển uai hạ tầng hệ thống BioPKI tai dia chi ime dung aS

4.2 Két qua trién khai thi nghiệm 91

4.3.2 Mội dàng và kết quả thừ nghiệm 93

DANH MỤC CÁC TỪ VIẾT TÁT

CRL Certificate Revocation List

CSDI Cơ sở dữ liệu

TTP File Transfer Prolocal

TITTP Hyper Text Transfer Protocol

LDAP Lightweight Directory Access Protocol LRA Local Registration Authority

TIN Personal Tdentification Number

PKCS Public Key Cryplography Standards

DANH MỤC CÁC BẰNG

Bảng 4.1 Danh sách thiết bi triển khai hệ thẳng

Tiẳng 4.2 Kết quả thử nghiệm cấp phát chủng thư mới

Bảng 4.3 Kết quả thử nghiệm thu hổi chứng thư số hết hạn

Bảng 4.4 Kết quả thử nghiệm thu hỏi chứng thư số theo yêu cẳu

Bảng 4.5 Kết quả triển khai chữ kí số trên nền tang Application-based

Bảng 4.6 Kết quả triển khai chữ kỉ số trên nên tảng Web-based

Bảng 4.7 Kết quả thử nghiệm chẳng tắn công giả mạo nội đung

Bảng 4.8 Kết quả thử nghiệm chẳng tắn công giả đanh người đùng

Bang 4.9 Danh giá kết quả thử nghiệm.

DANH MỤC HÌNH YẼ TIình 1.1 Sơ đồ nguyên lý hệ mã hóa khỏa công khai đảm bảo tính mmật

Tình 1.2 Sơ đồ nguyên lý hệ mã hỏa khỏa công khai đảm bảo tính xác thực

Hình 1.3 Các thành phần của PT

Hình 1.4 Cầu trúc của một chứng Lhu 6

Hình 1.5 Kiến trúc PKI có một CA

Hình 1.6 Mô hinh đanh sách các CA tín ody (Basic Trust List Model)

Hình 1.7 Mô hình PKI phân cấp non nnnreerriei

Hinh 1.9 Mê hình danh sách điểm tin cậy mẻ rộng

Tĩnh 1.10 Mồ hình PKT chúng nhận chéo

Trình 1.LI Mô hình CA bắc cầu

Hình 2 Hướng liếp cận hệ thắng BioP'KI

Hình 2.2 Mội số đặc trưng sinh trắc học

Hình 2.3 Hệ thông sinh trắc học o c0 nh HH rưn

Hình 2.4 Mô hình sử đụng thẻ Bio-Etoken bảo vệ khỏa cá nhãn

Tinh 2.5 Mô hinh kiến trúc hệ thông BioPKI mức khung cảnh

1lỉnh 2.6 Biểu đồ phân cấp chức năng của CA Operator

Tlinh 2.7 So dé phan cap chức năng cia LRA

Hình 2.8 Sơ đỏ phản cấp chức năng eta LRA

Ilinh 3.2 Kịch bản kí số lên bản trn trong hệ thẳng BioPKI

Tlinh 3.3 Kịch bản xác thực chữ kí số trong hệ thẳng BioPKI

8

Ilinh 3.4 Trién khai chit ki sé trén tmg dung Application-based

Tlinh 3.5 Nén lang Web-based dé xay dung ứng dụng chữ kí số

Hình 4.L Mô hình triển khai hệ thông Biof'KI tại các đơn vị ứng dung

Hình 4.2 Hạ tầng triển khai hệ thông BioPKI on cssersee

Hình 4.3 Sơ đồ hệ thông thử nghiệm S nn nneeree

&0

82

BS

89 Ö91

MỠ BẦU

gay tử khí mới ra đồi, mạng rnáy tính đã chứng mninh được vai trò và sức ảnh hưởng lớn lao của nó lới các lĩnh vực có ủng dụng công nghệ thông tin Đặc

biệt, sự phải Iriển mạnh mẽ của mạng Inlernel kéo theo sự phát Iriển không ngừng

của các giao địch điện tử trên mới trường mạng, là nên tảng để kéo cộng đồng người đùng tới gản nhau hơn Tuy nhiên, mỏi trưởng mạng là một môi trưởng ảo và

tụ do, ai cũng có thể tham gia nên nguy cơ xảy ra giả đanh, giá mạo để lừa đảo là rất cao Nhu câu xây dựng một hệ thông an toản-an ninh thông tin đảm bảo các giao dịch có định danh và chống từ chỗi ngày càng trở nên cấp thiết Cơ sở hạ tẳng khóa công khai PKI (Public Key Inf#astrncrure), phát triển trên nên tảng các hệ mật khóa

Đất đối xứng, là một trong những giải pháp được ưa chuộng do tính tru việt của nó

so với nhiêu giải pháp khác Mỗi người dùng trong hệ thống sẽ được xác đình bởi

khóa cá nhân vả chứng thư số do hệ thống cắn phái ; mỗi giao địch sẽ được gắn chữ

kỉ số của người tham gia Tuy nhién, như bất kì ruột hệ thẳng thông lin nào khác, PKI cũng có những vấn để an toàn-bảo mật thông tin; mà chỉ khi nào những vấn để nảy được giải quyết thủ PEI mới thực sự chứng múnh được khả năng úng dụng của

nó Trong đó, nguy cơ lớn nhất là khỏa cá nhân bị mất và được sử đựng bởi một

người không phải lä chú sở hữu của nó; đặc biệt nếu khỏa cả nhàn đó là của quản trị viên hệ thẳng thì hệ thống sẽ đỗ vã Với một hệ thông PKT thông thường, các giải pháp kĩ thuật chỉ cho phép xác thục được “Ai đang dùng khóa cả nhân ?” chứ không thể khẳng định được “Khóa cá nhân đỏ có đúng là của người dùng nó hay không ?* Để tiểu tới một giải pháp xác thực chủ thẻ hiệu quả, cũng như bảo vệ tắt

khóa cả nhân, người ta nghỉ tới việc tich hợp yếu tổ sinh trắc học, với điểm mạnh

chính là tính xác thục dựa trên tính đặc trưng cho từng cá nhãn, với hệ thống PKI

thanh BioPKI

‘Trong quả trình tham gia đề tải Khoa học cảng nghệ cấp nhà nước mang mã

số KC01.11/06-10 về “Nghiên cứu, xây đựng hệ thông kiểm soát truy cập mạng và

an ninh thẳng tin diva trên sinh trắc học sử dụng cổng nghề nhúng”, tác giả đã nhận

10

thức được xu thể xây dựng và phát triển hệ thắng BioPKI Dưới sự gợi ý và hướng

dẫn của T8 Nguyễn Tinh Giang, tác giả đã nghiên cứu các mô hình xây đựng hệ

thông BioPKI củng với ứng dụng chí kí số trên nên tảng BioPKI Với tiến đẻ là những kết quả công việc từ năm 2008 khú tham gia dé tai KC01.11/06-10, tac giả Tua chọn được một giải pháp xây đựng hệ thông BioPKI và ứng dung chit ki sd để

bắt đầu thực hiện luận văn Thạc sĩ khoa học “Nghiên cửu, triển khai, thử nghiệm và

tng dung giải pháp tích hợp sinh trắc vào PKI” Sau một thời gian nghiên sứu, từ

thang 11/2009 đến 10/2010, tác giả đã đạt được những kết quả sau :

Thang 11/2009, cùng với T8 Ngư án Linh Giang, táe giả tham gia Hội nghị FAIR 2009 với bài bảo A6 hình tich hợp sinh trắc tăng cường an ninh cho cơ sở:

hạ tẳng khóa công khai PKI Bài bảo đã được chấp nhận và đang chờ phản biện

— Tháng 6/2010, củng với T8 Nguyễn Linh Giang, tác giả công bố bài bảo

“DigHal signature waing Bio-Efoken in BioPEl system and applicefions” tiên Tạp chỉ Khoa học và Công nghệ, Số 79B

— Thang 10/2010, dưới sự hưởng dẫn của TS Nguyễn Linh Giang lác giả hoàn

thành luận văn Thạc sĩ khoa học

Mạc đích dễ tải

Với tên gọi “Nghiên cứu, triển khai, thừ nghiệm va ứng dụng giải pháp tích

hợp sinh trắo vào PKI” „ mục đích cửa luận văn là đưa ra môi giải pháp hệ thông an

ninh thông tin trên các phương điện sau :

Đề xuất mô hình tổng, thể hệ thông, BioPKI trên cơ sở tích hợp sinh trắc học vào

PK, thiết kế chức năng các thành phần của hệ thống, bảo đắm an toàn khỏa cá nhân; đồng thời hệ thống có thể phục vụ cho các quy trình tác nghiệp tại một cơ quan phát hành và quản lý chứng thư sẻ

—_ Xây dựng giải pháp chữ kỉ số trên nên tảng hệ thông BioPKI

— Để xuất giải pháp triển khai hệ thẳng BioPKI và trng dung chữ kí số cho các

nghiệp vụ thực té

Điỗi tượng nghiên cứu

11

Để đạt được mục đích của luận văn, tác giả xác định các vẫn để cân phâi

nghiên cửu ban gồm

—_ Nghiên cứu các hướng tiếp cận tích hợp sinh trắc với PKI thành BioPKT trên lý thuyết

Nghiên cứu các thành phần và kiến trúc của cơ sở hạ tẳng khỏa công Khai PKI theo chuẩn công nghiệp

—_ Nghiên cửu để xuất mô hình, xây dựng giải pháp hệ thống an mình thông fin BioPKI đáp ứng được các yêu cầu an toàn thông tin và các yêu cầu về quy trình tắc nghiệp

các giải pháp triển khai một hưởng tiếp cân khả thi Trên cơ sở đỏ, tác giá xây đựng

mò hình tống thể hệ thống DioPKI với các giải pháp lựa chọn, xây dựng mô hình ứng đụng chữ kỉ số trên nên tảng DiaDPKI, thử nghiệm toàn bộ hệ thẳng và ứng dụng cho các quy trinh tác nghiệp trên thực tế

Phương pháp nghiên cứu

Tác giả đã sử dụng các phương pháp nghiên cứu để hoàn thành luận văn, bao gồm

—_ Nghiên cửu lý thuyết

© _ Nghiên cửu các mô hình lý thuyết về cơ sở hạ tẳng khóa công Khai PKI

© _ Nghiên cửu các hương tiếp cận tích hợp sinh tric vao PKI

«Nghiên cứu các phương pháp mật mã đám bảo tính xác thực cho giao địch điện lữ trong môi rường mạng

—_ Công nghệ :

»_ Khảo sát công nghệ và lựa chọn giải pháp công nghệ phù hợp vá có tính khả

thi để xây dựng hệ thông RioPKI

12

* Phản tích, đảnh giả và xây dựng giải pháp trên cơ sở phảu tích các yêu cảu

đối với hệ thống RioPKL

Triển khai thứ nghiệm hệ thông và đảnh giả kết quả

Những đỏng góp mới của tác giả sẽ được trình bảy trong nội đung luận văn,

bao gồm

—_ Mô hình tổng thể hệ thống BioPKI tích hợp tất cả các thánh phản : hệ thống DKI-OpenCA, phân hệ sinh trắc, phân hệ thiết bị nhủng

— Mô hình triển khai chữ ki số trên nền tảng hệ thống BioPKI cho các ứng dụng

giao dịch điện tử xây đụng trên hai công nghệ : Applicaon-based và Web- based,

—_ Giải pháp triển khai hạ tầng hệ thống BioPKI cho các nghiệp vụ và ứng dung

trong thực tế

Nội dung chỉnh của luận văn được lrình bảy theo những luận điểm sau

—_ Chương 1 — Tẵng quan về hạ tằng khóa công khai PKE Trong chương tày, táo giả trình bày những vẫn đề cơ bản của hệ thông PKI, bao gém : các thảnh phan

chúc năng, các dịch vụ lõi, kiến trủc PKI Các vấn để cơ bản trên được minh hoa

bằng một sản phẩm mã nguân mở là hệ thông PKI-OpenCA Cuỗi chương, tác

giả đảnh giả một số nguy cơ an toàn bảo mật thông tin trong hé théng PKI dé cho thấy nhu câu phải có giải pháp tăng cường an minh cho hệ thống

— Chương 2 — Xâp dựng mà hình giải pháp và thiết kế hệ thẳng HioPKI Phản đầu chương này, tác giả trình bảy lựa chọn giải pháp tích hợp sinh trắc họo và công nghệ những với hệ thông PEI-OpenCA thành hệ thẳng BioPKI Tác giả đã

đua ra giải pháp công nghệ, phân tích và đảnh giá giải pháp phát triển hệ thống,

BioPKI Trong phần còn lại của chương, này, tác giã trình bảy thiết kế chức nẵng cho các thành phản của hệ thông BioPKI theo mô hình vả giải pháp công nghệ

đã lựa chọn

— Chương 3 — Giải phản xây dựng ứng dụng chữ kí số trên nên ting hệ thông

BioPKT Nội dụng chương này trình bảy giải pháp xây đựng ứng đụng chữ kí số

trên nén tang hệ thông BioPEI, trong đó cơ chế xác thực hai yếu tô sử dụng số

13

PIN và đặc trưng sinh trắc để đâm bảo chí có người sở hữu thực sự của khỏa cá

nhân mới có thể sử dụng khóa để kí số Tác giả cứng đưa ra mô hình triển khai chit ki sd cho cde img dung Irên hai nên táng : Application-based va Web-based

— Chwong 4 — Triển khai hé thdng BioPKT va két quả thủ ngiiệm Trong

chương nảy, lác giả trình bày nội đung lriển khai hạ tẳng hệ thẳng BioPKT dé đáp ứng các quy trinh tác nghiện cho một cơ quan phát hành và quản lý chứng thu số Tác giả cũng trình bảy các kịch bản thử nghiệm và kết quả để kiểm chủng lại những giãi pháp đã đưa ra trong các chương trước

Để có được những kết quả nghiên cửu trên, tác giả xin gửi lời cảm ơn chân

thành tới TS Nguyễn Linh Giang, người đã tận tình hướng đấn trong quá trình lác

giả thực hiện luận văn Tảo giả ofing xin gửi lời cảm ơn tới PGS.TS Nguyễn Thị Hoang Lan, chủ nhiệm đẻ tải KC.01.11/06-10, vá các thành viên khác trong để tài

đã có nhíững đồng góp quý bản để t

già hoàn thành luận vẫn nảy

Chương 1 - TONG QUAN VẺ HẠ TẰNG KHÓA CÔNG KHÁI PKI

1.1 Các khái niệm cơ bân

1.11 Hệ mật mã khỏa bất dỗi xứng

Mật mã là một công cụ bao gồm các ngnyên tắc, phương tiện và phương thức chuyển đổi dit Hiện nhằm ân đấu nội ding thông tin, công cổ tỉnh xác thực cúa thông tin, ngăn chăn sự thay đối, tính từ chối, và việc sử dụng trái phép thông tín Đây là một trong các giải phap duge ding để đảm bảo an toàn-bảo mật cho dữ liệu

của các hệ thống Thông tin và truyền thông,

Hệ mật mã bất đổi xửng hay còn có tên gọi là hệ mật mã mã hóa công khai gồm có 5 thành phần đặc trưng [9]

Trong đó

1 Bán tin ra: La dang nguyên bân của thông điệp cần truyễn đi, nẻ được sử

đụng làm đân vào cho các lhuậi toán mã hóa

wv Thuật toản mã hóa: được dùng để lạo ra những phép biên đổi khác nhau

lên bản tins Irong tùng trường hợp cụ thể,

3 Khóa công khai và khúa có nhôn: Là cặp khỏa được sử dụng trong quả trỉnh truyền và nhận thông tin Một khỏa trong hai khỏa được sử dung cho việc mã hóa, khỏa còn lại được sử dụng chơ việc giải mã bản tín Cập khóa này mang giá trị độc lập đối với bản tin rõ và thuật toán mã hóa Thual loan sẽ tạo ra các giả trị khác nhau phụ thuộc vào việc khoá công khai hay khỏa cả nhân nào được sử dụng làm đân vào trong thời điểm

đấy Khóa cá nhân phải được giù bí mật với IÃI cả mọi người, trừ người

sở hữu nó, còn khỏa công khai có thể được công bổ rộng rồi

4, Äữ mặt là một bản trn được xuất ra bởi thuật toán mã hóa, nó phụ thuộc vào bản tin rõ và khóa Với củng một bản tín rõ, 2 khỏa khác nhau sẽ tạo

Ta 2 bản nã mật khác nhau

15

5 Thuật toàn giải mã: Ngược với thuật toán mã hỏa, nó dũng mã mật làm đầu vào vả sứ dung cặp khóa công khai/ khỏa cá nhân để lao ra bản tin rõ

ban dau

Trong phương pháp mã hóa bằng khóa công khai, cặp khoá công khai/khỏa

cá nhân của một người mang tính chất đuy nhất, vi thế cỏ thẻ coi đỏ là đặc trưng

cho người sử dụng khóa Nguyên tắc sử dụng cặp khóa nảy lả:

~_ Bản tin được mã hỏa bằng một trong hai khoả thì chỉ có thẻ được giải mã bằng khỏa còn lại trong cặp khỏa đó

— Không thể tim ra được khỏa giải mã nếu biết thuật toản vả khóa mã hỏa

— Bản tin không thể được giải mã bằng khỏa đã dùng để mã hóa nó

Nhờ những nguyên tắc trên mà phương pháp mã hóa công khai trở nên rất

thích hợp trong việc sử dụng các chứng thư số và các dịch vụ chống phủ nhận

Một đặc trưng của công nghệ mã hóa công khai đó lả: đảm bảo được tính mật và tính xác thực Trong các hệ mật sử dụng mã hỏa công khai, người ta có thể

áp dung timg tinh chất nảy hoặc kết hợp cả hai để đạt được hiệu quả an mình tốt

Giả sử bên A cần gửi mệt bán tin X cho B l sẽ tạo ra môi cặp khóa bắt đối

xứng, trong đó: khỏa công khai của B lä PU, và khóa cả nhân lương ting 1a PR, Chỉ mình B mới biết được PRụ trong khí đó PU, được công khai, do dé A cd thé sử dụng đuợc khỏa này

Sử dụng bàn tin X và khóa công khai PU, làm đâu vào cho thuật toán giải

ma, A sẽ tạo ra mệt mã mật:

Y=E @U,,X) Khi nhận được Y, bên D sẽ sử đụng khoá riêng PR¿ để thục hiện việc giải mã

dữ liệu

X=DŒR,,V)

Một thám mã nếu bắt được bản tìn mật Y và có được khóa công khai PU,, nhưng không có khỏa cá nhản PR, thì sẽ không thể nào từn ra được X Thám mã

mong muốn sẽ khôi phục lại được bản tin gốc X hoặc là khỏa cả nhân PR, Xiêu

thảm mã chỉ muốn cễ gắng để đọc được X tại một thời điểm cụ thể này thị chúng sẽ tập trung vào khôi phục X bang cach tao ra cdc ban tin xắp xỉ Ÿ Tuy nhiên, thông

thường thi (hm ma mong muốn cỏ thể đọc được bản tin trong các lan sau dé nita vì thé ching sé tan 1a cdc khéa ca nhan x4p xi FRE, Trong nhiing trường hợp như thể

này thì độ mạnh của thuật toán mã hóa đóng vai trò hết sức quan trọng đổi với việc

bảo vệ an toàn cho dữ liệu

b Mô hình đâm bão tính xác thực [9]

hư đã nải ở trên, việc sử dựng cặp khỏa bắt đối xứng, môi để mã hỏa dữ liệu, một

dễ giải mẽ không những chỉ đâm bảo được tỉnh mật cho hệ thẳng mà còn có thể cung cấp cả tỉnh năng xác thực như hình 1.2

Trong trường hợp nảy, khi bên A muốn gửi một bản tia X đến B, A sẽ sử

dụng khỏa cả nhân PR„ của mình để mã hóa dữ liệu trước khi truyền Mã mật Y = E (PR,, X) sẽ được nhận bởi B B cỏ thể giải mã Y để thu được bản tin gốc bằng cách

sử dụng khóa công khai PU, của A: X — D (PU;, Y).

Hình 12 Sơ đồ nguyên lỷ hệ mã hóa khóa cong khai dam bdo tính xác thực

Nếu giải mã thành công thì chứng tỏ bản tin này đã được gửi đi bởi A vi chỉ

Á mới có khóa cả nhân PR, để mã hóa bản tin Việc mã hóa dữ liêu kiểu nảy vi thể

có thể coi như lả một chữ kỉ điện tử Nó không những chỉ đám bảo cho việc xác

thực nguồn gốc của dữ liêu ma con dim bao được cả tính toán vẹn của dữ liệu

Thám mã mong muốn sẽ khỏi phục được khỏa cá nhân PR, dé có thể giả mạo nội dung bản tin gốc hoặc giả danh A trong giao dich

"Từ hai sơ đỏ trên, chúng ta thây lấn để báo vệ bí mật an foàn khỏa cả nhân

của chủ sở hữu là điểm mẫu chốt của hệ thông khóa công khai

Đánh giá công nghệ mã hóa công khai

đồng thời tránh được những vẫn đẻ phức tap trong việc phân phổi khỏa cho

các bên tham gia

— _ Thời hạn sử dụng cặp khóa dải hơn so với hệ mật mã khóa đổi xứng

18

1.1.2 Cơ sở hạ tằng khóa công khai

Trong quả trình nghiên cứu và phát triển hệ mã hóa công khai người ta gặp

phải một số vẫn để san

— Cơ quan, tổ chức hay cá nhân nảo sẽ tạo ra cặp khoá công khai — cả nhân ?

—_ Dữ liệu (khoá, định danh người dùng, các thông tin khác) được lưu dưới định

dang nảo trong hệ thẳng lưu trữ ?

Có cơ chế nào để sinh và phân phối khoả và chứng Thư số ?

—_ Làm thể nào để đâm bào việc gắn kết giữa khoá công khai vả định danh của thực thể có khoá đó 14 chính xác và đáng tìn cậy Ÿ

—_ Lâm thế nào đề người đùng có thể truy cập được đến nơi lim trữ ?

Làm thể nào để người dùng nhận biết được có sự thay đổi trong đử liệu đang được lưu trên hệ thống lưu trữ 2

—_ Vấn để gì sẽ xây ra đối với khoả công khai nêu khoá hí mật bị xâm hại ?

Dễ trả lời cho những câu hỏi, nếu chỉ đon thuần sử dụng mã hoá khoả công khai, là chưa đủ Cần phải có một hạ tầng cơ sở xác thực và phân phối đáng tin cậy

48 quan lý và hỗ trợ cho những ứng dụng của mật mã khoá công khai trên mạng

máy tỉnh, nhằm tận dụng được những tru điểm vượt trội ma mật mã khaá công khai

đem lại Giải pháp được sử dụng ở đây là cơ sở hạ tầng khoá công khai — PKI (Public Key Infrastructure)

Cơ sở hạ lẳng khoá công khai PKI lä một tập hợp phẫn củng và phẫn mềm

hệ thống, cùng với các chỉnh sách, các thủ tạo để quân lỷ và phân phối khỏa, quản

19

lý, cấp phát các chứng thu số (đigital cerficate) và chứng thực các chứng thu số

Fe key pair update,

Hinh 1.3 Cac thanh phần của PKT

Các thành phân ctia PKI gdm [6]

- Nha phat hành chứng thư số gọi tắt là CA (Certificate Authority): chin trach

nhiệm xác thực chứng thu số

= Co quan dang ki ching thực — RA (Registralion Anthorityy là đối lượng được

CA ủy quyên để chứng nhận những thông lin đẳng kỉ cấp phát chứng hư

- Thue thé dau cudi (End —Enlity) là tất cả những thực thể có thể được định danh

và cấp chứng thư số để sử đụng

-_ Chứng thư số (Certficate): văn bản điện tử đo CÁ kí chứng thực các thông tin

của thực thể đâu cuối, bao gồm cả khỏa công khai của thực thể đó

- _ Kho chủa chứng thư số: làm nhiệm vu hưu trữ các chứng thu để các thực thể đầu

cuỗi có thể lấy được

1.2.1 Nhà phát hành chúng thư số CA

Trung tâm phát hành chứng thư số gọi tắt là CA (Certificate Authority) là hạt nhân của hệ thống PKI Chi có CA mới có quyển phát hành chúng thư số cho một

đổi trong sau khi kiểm tra những thông tín về đối tượng 46 Trong hé théng PEL

CA đóng vai Irỏ là một bên thứ ba mã các tìng dụng sử dụng chứng [hư số trong hé thẳng phải lin lưởng Muôn kiểm Ira chít kí gủa CA trên chứng thư số, hệ thống sử dụng khoá công khai của nhà phải hành CA được CA tr chứng thực hoặc được ching thực bởi một CA khác mà hệ thống tin tưởng Mỗi chúng thu số có một thời

gian sống nhất định Sau khơäng thởi gian này chứng thư số cần được thu hồi và cấp phát mới cho đối tượng sử dụng Mặt khác do một điều kiện mảo đỏ việc sử dụng chứng thư số là không còn hợp lệ ví dụ như khoa bí mật của chủ thể chứng thư

số bị tiết lộ: chứng thư số cần được thu hồi Nhả phát hành chứng thư số cần quản

tý trạng thái thu hồi của chúng thư số để chương trình sử dụng đầu cuối sử dụng chứng thư sô một cách an toàn Như vậy CA không rihững quản tý chứng thư số khi

nó được khởi tạo mà CA còn phải quản ly cả chứng thư số trong quá trình sử đựng

Các chức năng cửa CÁ

- Xúc thực yêu cầu cúp phát chứng thúc số Đây là quả trình kiểm tra thông, tin định đanh, cũng như cặp khoả mà hoá của đối tượng yêu cảu cắp phát chứng thư

số Quy trình điển ra tuỳ thuộc hệ thông mả ta xây dụng, Việc xác minh này có thể

được thực hiện gián tiếp thông qua một bên trưng gian, như các trung tâm đăng kí

tha phương, hoặc xác minh trực tiếp thông qua tiếp xúc trực tiếp

- Phat hành chứng thw sé Sau kbi x4c minh théng tn định danh, khoá mã

hoá của đối trọng yêu cầu chúng thư số, hoặc nhân được yêu cầu từ một RA, CA

tiến hành cắp phát chứng thư sở cho đối tượng

- Phân phối chứng thư số Nhà phát hành chững thư số còn cung cấp các địch

vụ để các hệ thống sử đụng chứng thư số truy cập và lấy về các chứng thư số mà nó cân Các địch vụ này rất đa dạng nhưng sử dụng ph biến nhất lá dịch vụ email va

dịch vụ thư myc LDAP.

- Thu hồi chứng fiur số Khi một chứng thư sẽ được yêu cần huỷ bỏ, hoặc đo

một nguyên nhân nào đỏ mà việc sử đụng chứng thư số không còn an loản, thi CA phải thu hổi chứng thư số đó và phải thông bảo cho toàn bộ hệ thống biết danh sách các chứng thư số bị thu hỏi cho toàn hệ thủng thông qua cic CRL (Certificate Revocation List )

- Treo chitng thir sé Trong trường hợp CA phát hiện ra các dẫu hiệu khả nghỉ

việc sử đựng chứng thư số là khẳng còn an toàn nữa thì CA sẽ phải treo chứng thư

số, tức là chứng thư số đỏ bị thu hỗi tạm thời, nhưng nến GA tìm được thông tin

chứng minh rằng việc sử đụng chứng thư số vẫn đảm bảo an loàn thì chứng thư số

sẽ được thay đổi lại trạng thái bị thu hôi

- Gia han chieng thự số Trong trường hợp chung thu sé hét théi han sử dụng, những chứng thư số vẫn đảm bảo tính bí mật khi sử dụng, thỉ nó có thể được cáp lại( tùy thuộc vào yêu cầu của chủ thể chứng thư số) Túc là gia hạn thêm thời gian

sử dụng cho chứng thư số Chứng thư sổ được cấp mới không có gỉ thay đổi, ngoại

trừ trường thời gian hết hạn được thay, tắt nhiên là léo theo cả chữ kí của nhà phát

hành chứng thư số cũng thay đổi

- Quản Ip trang thdi chứng tuc số Thông qua các CRL khéng những giúp

cho các nhả phát hành chứng thư số quảng bả thông tin về những chứng thư số bị thu hổi mà còn giúp cho ŒA quân lý trạng thái thu hổi của chứng thư sổ Việc quản

lý trạng thải thu béi nay fa rat quan trọng Vì nếu các ứng dung dau cudi sit dung những chứng thư số bị thu hỏi thỉ hệ thống không còn an toàn nữa

1.2.2 Cư quan đăng kí chứng thực RA

Trong cáo hệ thống với phạm vì vật lý rộng lớn, việc CA chứng nhận thông tin định danh của đổi tượng là rất khó khăn Môt giất pháp cho vẫn dé này là CÁ sử dụng các co quan đăng kỉ địa phương - RA làm đại điện cho CA trong một công đồng nhỏ Các RA không Irực tiếp phát hành chứng thư số, hay quan lý chứng Thư

sổ mà nó chỉ thực hiên công việc xác nhận những thông tin người đùng cho CA

Bong thời FA cũng có thể thay mặt người sử dụng yên cầu CA phát hảnh, thu hải

thay đổi thông tin trên chủng thư số

Các chức năng của RA gỗm cỏ:

- Nhận các yêu câu cấp phát chứng thư số tử phía người đủng, chứng nhận các

thông, tín trên yêu cầu đó

- Gửi yêu cầu phát hành chứng thư số đến CA Nhận cáo chứng thư số từ CA

và trao ná cho chủ thê chứng thư số

- hận yêu câu thu hỏi chứng thư số từ phia người dùng, kiếm tra yêu can thu

hổi và gửi những yêu cầu này cho CA

12.3 Thực thể đầu cuỗi

Là đối tượng được CA cấp phải chứng thư số để chủng nhận những thông tin định đanh vẻ đổi tượng, đồng thời còn chúng múnh rằng đối tượng số hữu một khoá

bi mat tương ứng khoả công khai trong chứng thư số

Trong vai trà chủ thể của chứng thư số mỗi đối tượng có những quyền sau

trong hệ thống

- Yêu cdu cp phát chứng thự số Sau khi tạo được cặp khóa công khai/bi

mat, đối tượng yêu cẫu chứng thu số cỏ quyển yên cân ruột trung gian RA , hoặc yêu cầu trực tiếp với CA để được cấp phát chứng thư số San khi xác thực những, thông tin mà đổi tợng yêu câu chúng thư số cung cấp, nhả phát hành chứng thư số

CA có thể

cung cấp một chúng thư số mới cho đổi tượng yêu cầu chứng thu số

- Yên cầu thu hi chứng thức số, Khi đối tượng sử dụng chứng thư số không,

cân chứng thư số nữa, hoặc lộ mắt khóa bí mật, chủ thể chứng †hư số hoản toán có

quyển yêu cầu hệ thẳng thu hẳi chứng thư số của chỉnh nó

- Yên cdx thay ddi thẳng tân trên chieng the sé Tere 1a thay chứng thư số cũ

bằng chúng thư số mới nhung gif# nguyên các trường thông tin, chỉ thay đổi những

trường (hông tín theo yêu câu của chủ thể chủng thư số.

1.2.4 Cấu trúc chứng thư số

` Crypto-

validity period:

not before, not after

distinguished name

optional

Hinh 1.4 Cau trite cita mét chieng thie sé

Các chứng thư số hiện nay được xây dựng theo chuẩn X.509, bao gồm những trường thông tin chính sau

1 Phiên bản: phiên bản của chứng thư sô, vi du: X.509 v1, v2 hoặc v3

3 Số serial: một số duy nhất (ID) để nhận dạng chứng thư số nảy so với những

chứng thư số khác của CA

3 Chữ kỉ: số nhận đạng (ID) của các thuật toán đã đùng để tạo chữ kí số lên chứng

thu số, cùng các tham số được sử đụng trong các [huậI Loan đỏ

4 Người phái hành (Issuor): Tên phân biệt của CA đã phát hành chứng thư số này

(bao gốm các thông tin nữ: Tên nước, tên thành phổ, tên địa phương, tên tổ chúc, tên đơn vị, tên thường gọi, địa chủ email .) Trường này luôn phải có,

5 Hiệu lực (Validity): Khoảng thời gian có hiệu lực của chúng thư số

6 Chi thé (Subject): Tên nhân biệt của nguời sở hữu chứng thư số Trường này

không được để trống trừ khi có một trường khác như trường Miở rồng

(Rxtension) thay thé

.„ Thông tin về khóa công khai của chủ thể (Subjcct Public Key Infe): Khoả công khai của chủ thể và ID của các thuật toán mà hóa đã sứ dụng Trường này luôn phải có

8 Số ID của người phái hánh (Issuer Unique ID): chí só ở phiên bản 2 vả 3

9 Số ID của chủ thể (Subject Unique ID): chỉ có ở phiên bản 2 và 3

các chứng thư số trong CRL nảy

Trong chuẩn X.500, kho lưu trữ này là một thư mục mnáy chú mà máy khách

có thể truy cập qua giao thức I.DAP (Tighixveigh\ Directery Access Prolocol), hoặc lay file trên my chủ qua giao thitc FTP (File Transfer Protocol), giao thie HTTP (Hyper Text Transfer Protocol)

1.3 Các chúc năng chỉnh của PKI

1.3.1 Yên cầu chứng thu số

Một yêu câu tạo chứng Thư số được gửi từ nguời dùng tới CA thông qua RA

C6 nhiêu chuẩn khác nhau quy định nội dung một yêu cản, thông đụng nhất 1a

chuẩn PKC8#10, trong đó yêu cầu cỏ các thông tin sau:

—_ Tên của CÁ

— Khóa công khai của người dùng,

Thuật toán tương ứng

— Chír kí số của người đùng được lạo ra lừ khỏa cá nhân

Yêu cầu được người dùng gửi lới CA thông qua một kênh truyền an toản

Nếu kênh truyền không an toàn, người dùng cần lấy khỏa công khai của CA vẻ và

mã hóa thông, điệp yêu câu bằng khóa nảy, sau đó gửi đến CA

1.3.2 Phát hành chứng thư số

Sau khi đã thục hiện xác rminh người đăng kí, CA tiến hành tạo chứng thư số

dựa trên các thẳng tin có trong yêu câu phát hành Tiếp đến, CA dùng khóa cá nhân

kí lên chứng thư số, đảm báo tính toàn vẹn nội dung và khẳng định sự tin cậy của

CA đổi với chứng thư số,

Chứng thư số sau khi phát hành cần được công bố rông rãi cho bất kỳ ai có

ahu câu trao đôi thông tìn với chủ thể của chứng thư số đó

1.3.3 Công bỗ chúng thư số

Nguyên tắc co bản của hệ thông PKI là cân công bố rộng rãi chứng thư số sao cho mọi người đếu truy cập được PKI thường dùng một số phương pháp công

bồ chứng thụ số như sau:

Dịch vụ thư mục: Phương pháp nảy dành cho các chúng thư số theo chuẩn

3509 Dịch vụ thư mục dành cho PKI phổ biển là X.509/1,DAP theo chuẩn của

TETE.

Trang Web: các chúng thư số được đưa lên trang Web để mọi người có thẻ truy cập

Các phương tiện khác như email, é dia di động

Với mô hình PKI đạng lưới, các chúng thư số có thể được công bố phân tán bằng cách truyền tử người này qua người kia

1.3.4 Hủy chứng thư số

Chứng thư số chỉ được đùng đề định đanh người dùng trong một khoảng thời

gian cho trước thẻ hiện qua thông tin ngày hết hiệu lực Tuy nhiên, chứng thư số cỏ thể bị mắt tính hợp lệ trước thời hạn Nguyên nhân có thể là do khỏa cả nhân của

CA chứng thực cho chứng thư số đỏ bị mát, dẫn đến CA đỏ không cởn lin cây, hoặc người chủ sở hữu chúng nhận không còn dùng đến chứng thư số đỏ mùa Trong

các trưởng hợp như vậy, cần thiết phải thực hiện việc hủy bỏ chúng thư số

Khi một chứng thư số bị hủy bỏ, nó cân được công bổ rộng rãi cho mọi

người dùng khác rằng chứng thư số nảy không còn hiệu lực nữa, Có hai cách công

bề là: đưa thông báo lên một máy chủ để cảnh báo mợi người hoặc dua chime thu

số bị hủy bỏ vào một danh sách chứng nhận hết hiệu luc (Certificate Revocation Tísts - CRI.) Nhằm đâm bảo danh sách nảy không quá đài, khi một chủng thư số trong danh sách này lới ngày hết hạn, nó sẽ bị xóa khỏi danh sách ƠA thục hiện quản lý CRL và phản phát thường xuyên theo chủ kỳ xác định Chủ kỷ cẩn phải đô nhỏ nhằm trảnh tỉnh trạng, sử đụng bắt hợp pháp chúng thư số đã bị húy trong khi CRL chưa được cập nhật

1.3.5 Các hoạt động quân lý khóa

Bảo vệ khóa cá nhân

Kha cá nhàn cần phải giữ bí mật, do vậy trong thực tế, khóa cả nhân luôn

phải háo vệ trong một phương tiện lưu Irữ an loàn như smart card hay file đã mã hỏa Truy cập lới khóa cá nhân cẵn phải có thông tin xác thục như PIN hay mat khẩu Riêng với khỏa cả nhân của CA gốc cần phải đuợc bảo vệ rất chặi chế (mắt khóa đó thì toàn bộ hệ thống không còn giả trị), nên được chứa trong một thiết bị

+?

phần cứng đặc biệt, có khá năng chồng truy nhập và tu phả hủy khỏa trong trường

hap bi tan công

Cập nhật khúa

Khi cản phải gia han thời gian sử đụng chứng thư số, người st dung PRI chỉ

cần gửi yếu câu tới CA Do người sử dụng, đã được định danh tử trước nên quá trình này đơn giản chỉ là tạo thêm một chứng thư số và cặp khóa mới Đề cập nhật chứng thư sổ cho CA gốc, quá trình sẽ phức tạp hơn Iloạt động của CA gốc trong quá

trình cập nhật cặp khóa như sau:

- Tạo một cặp khóa mới

- Tạo một chứng thư số có chứa khóa công khai cũ của GA, được kỉ hằng khóa

cá nhân mới của CA Thời gian hoạt động của chứng thư số nảy tính tử ngày tạo cho tới ngày hết hạn của chứng thư số cũ

-_ Tạo một chúng thư số có chửa khóa công khai mới của CA, được kí bằng

khóa cả nhân cũ của CA Chứng thư số này cỏ hiệu lực từ ngày kỉ che tới ngày hết

hạn của chứng thư số cũ

- Tạo một chứng thư số có chúa khóa công khai mới của CA, được kí bằng

khóa cá nhân mới của CA Đây là chứng thu số có tính ổn định, hoạt động cho tới

khi cần phải cập nhật khóa cho CA Lan tiếp thea

San lưu/phục hồi

Chức năng nảy cho phép người dùng lây lại khóa cả nhân trong trường hợp

bị mắt, Việc sao lưu và phục hỏi khỏa phải được tiền hành bằng một đổi tác tin tưởng (như một CA), có trách nhiệm giữ bí mật các khóa cả nhân Chức năng nảy

có công dụng lẫy lại khóa cá nhân, nhưng đông thời làm giảm khả năng chống phủ nhận của hệ thống khi không chỉ mình người dùng biết khóa của họ Tuy nhiên trong thực tế, giải pháp này vẫn được chấp nhận nhằm tranh mắt mát thông in

1.4 Kiến trúc PKI

Kiến trúc PRI rat da dang, twang ứng thea mô hỉnh hoại động, của mỗi lỗ

chức Do vậy, hiện chưa có một kiến trúc PKI chuẩn Mỗi tổ chức có thể chợn mô

28

hình PKI phù hợp nhất với mình, kiến trúc đó phải đảm bảo sự tin cậy Bản tin

muến xác nhận được gửi lừ người đùng nào thì phải kiểm tra bằng khóa công khai của người đỏ Độ tin cậy thể hiện ở chỗ khóa công khai phải Ihực sự là của người gửi PKI thục hiện việc phân phối khỏa công khai và chứng nhận khỏa công khai

dưới hình thức các chứng tì sẻ Trong chứng thư số cỏ thẻng tin định danh về một

người đủng kèm theo khóa công khai của người đó Toàn bộ nội dung chứng thư số

được đảm bảo tính toản vẹn bằng chữ kí số của CA Người dừng cần lầy khóa công

khai của CA để kiểm tra tỉnh đúng đắn của chứng thư số Đề đảm bảo không bị giả

mạo, CA phải phân phối khỏa công khai của mình thông qna một kênh ruật sao cho người đùng có thể tin cậy được Một CA có thể được chủng nhận bởi một CA khảo

Do đỏ việc phân phối khóa công khai diễn ra đơn giản hơn Các CA được chứng nhận này lại chứng nhận CA khác, tạo nên chuỗi các chứng nhận của CA Chuỗi nảy được gọi là một đường dẫn chúng nan (certificate path), Số lượng các CA

trong một đường dẫn chứng nhận và tổ chức của các CA cho biết cáo kiến trúc PKI

khác nhan

Các kiến trúc PKI sau được phân loại đựa trên số hrợng CA, tổ chức và mắi quan hệ

giữa chúng [2,6,0]:

*_ Kiến trúc PKI đon có một CA (8ingle CA Architecture)

© Kién tric PKI xi nghiép (Enterprise PEI)

œ Kiến tríc PKI lai (Iybnd PKI)

1.4.1 Kiễn trúc PKI đơn có một CA

cy

Hình 1.5 Kiển trúc PKT có một CA

29

Đây là mô hình kiến trúc PKI đơn giản nhất, thường chí đáp ứng như cần cho

tổ chức có quy mê nhỏ Trong mô hình này, chỉ có duy nhất một CA lâm nhiệm vụ phat hành, phân phối chứng thư số và quản lý đanh sách chứng thư số bị hủy bố

(CRL) Mọi thực thể trong hệ thống đều tin tưởng vào CA nảy Việc mở rộng, bồ sung thêm CA vào hệ PKI dạng này không được hỗ trợ Mô hình thể hiện của kiến

trúc nảy như hình 1.5

Mô hình trên gặp giới hạn khi hai thực thể sử dụng cáo CA khác nhau có như

câu liên lạc và xác minh đính danh Do chí hỗ trợ đuy nhất một CA nên kiến trúc

PKI này không thể thực hiện được linh huống đó Một giải hán được đưa ra là sử dụng mô hình đanh sảch các CA tín cậy (Basie Trust List Model) như san hinh 1.6

PKI sử dụng nhiễu CA, giữa các CA này không có sự liên hệ tin cây chung

Do đó không tôn tại đường dẫn chứng nhận ở day Cac thuc thé trong PKI sir dung một danh sách cáo CA mả họ tin cậy, kèm theo là các chứng thư số và danh sách

chứng thư số bị hủy bỏ của từng CA Khi hai thực thẻ muốn liên lạc với nhau, trước

tiên họ kiểm tra xem trong danh sách các CA tin cậy của mỗi bên có cùng chung

một CA hay không Nếu có, quả trình xác minh định đanh và thiết lập sự tin cdy

được điễn ra Còn không, hai thực thê không thẻ tiến hành xác minh định danh của

sửa đổi diễn ra chậm và phúc tạp, dơ cỏ nhiều thông ñn trùng lặp được lưu trữ trên

các CA khác nhau Ngoài ra, khi một thục thể đưa một CA nào đó vào trong danh:

sách tin cây mà không thông báo cho CA đó, có thể dẫn đến tỉnh huồng ngư hiểm

30

sau nêu CA ngùng cưng cấp địch vụ (có thể do khóa cá nhân bị 1ô), nó sẽ thông bao

đến lắt cá các thục thể có sử dụng địch vụ của CA Nhưng với thực thể không nằm trong danh sách quân lỷ của CA, sẽ không nhận được (hông tin, va vẫn liếp lục sử dụng CA này như bình thường cho tới khi biết tin Với nhược điểm như vậy, trong

các hệ thông tổ chức phức tạp và có nhu câu nâng cap mo rong, PKI khong sir dung

mỗ hình này mà sử dụng kiến trúc PKI xi nghiệp

1.4.2 Kiến trúc PKI xí nghiệp

Mã hình kiến trúc xí nghiệp được thiết kế với mục đích sử dụng nhiều CA

phân tán Quan hệ giữa các CA có thể theo mô hình phân cấp hoặc mô hình ngang

Mô hình PKI phân cập tễ chúc các CA theo mỗi quan hệ thứ bậc, có đang

như một để thị cây Trên cao nhất của mô hình là CA gốc, kể liếp bên dưới là các

CA thủ cấp Mỗi CA con được ŒA cha tạo chứng thư số đảm bảo sự tin cậy của

mình CA gốc thường chỉ tạo chứng thư số cho các CA con, nhưng các CA cấp tháp

hơn lại có thẻ tạo chúng thư số cho cả người đúng và CA cắp thấp hơn nữa

Khi thêm một CA mới vào kiến trúc PKI hiện tai, chỉ việc đặt quan hệ CA mới trở

thành con của một CA trong hệ thẳng và để CA cha tạo chứng thư số cho CA con

Đường dẫn chứng nhận (Certificate path) trong mê hinh PKI phân cập khỏi đâu ở

root CA và kết thúc ở thục thể cuối Vỉ dụ Irong mồ hình vẽ ở trên thì đường dẫn

chứng nhận của ¡ực thể cuối là LJserX có thể được miêu lã như sau:

[Root CA > CA -LE[CA-1 > CA-3][CA-3 > UserX]

Các đặc tính nỗi bật của kiển trúc PKI phân cấp:

— _ Tỉnh khả mớ: Kiến trúc này đáp ứng việc nâng cấp, mở rộng hệ thắng

Dễ dàng triển khai: kiến trủc phân cấp triển khai dé dàng, đường dan chung

nhận từ CA gốc chơ tới thực thể hoàn toàn xác định một cách nhanh chóng và

đơn giản

—_ Đường đẫn chứng nhận ngắm: Do tổ chức theo mẻ hình cây, độ đải đường dan

chứng nhận tôi đa trong hệ thống PKI phần cấp bằng độ cao của cây

Điểm yếu duy nhất trong mô hình nảy là sự an toạn bảo mật của CA gốc

Trường hợp CA gốc bị tấn công và thâm nhập, toàn bộ hệ thông PKI sẽ bị đỗ vỡ

Nếu chỉ một CA cơn nào đó bị thâm nhận, CA cha sẽ tiến hành hủy bỏ chúng thư số của nó và xây dựng lại nhánh PKI con bắt đâu từ CA bị hủy chứng thư số

1.4.2.2 Mô hình PKI ngang hàng (mô hình lưới)

Trong mô hình lưới, các CA có mối quan hệ đồng cấp Mọi CA trong lưới PKI đến có chức năng làm điểm tin cậy (trust porml), không có CA nào có vai trỏ

quan trọng hơn Tổ chứo của mô hình PKI lưới tương tự như đổ thị vô hướng, Do các CA thục hiên chứng nhận lẫn nhan, chúng tạo nên các mối quan hệ tin cậy

tương hễ

Bề sung thêm ŒA mới vảo hệ tiễn hành đơn giãn CA mới chỉ cần được một

CA đã có trong hệ thống phát hanh chứng thư số đổi với nó

Việc xây dựng đường dẫn chứng nhận trong mô hình lưới phức tạp hơn trong

mô hỉnh phân cấp Không nh ở mô hình phân cấp, thực hiện xây dựng đường dẫn

chứng nhận ớ mô hính tưới có thể lä không hữu hạn Ví dụ với mô hình lưới như

14.2.3 Kiến trúc PEI lai

Các kiến trúc PKI don, PEI phân cấp, PKI lưới thường được triển khai cho

một tố chức Khi cân thiết phải liên kết cáo kiểu kiến trúc PKI của các tế chức khác

Có ba loại mô hình trong, kiến tric PKI lai:

—_ Mô hình danh sách điểm tin cậy mở rông (Extendod Trual T.is0: mốt phần tử trong danh sách có [hể là ŒA cña bất cứ kiến trúc nào Đây là loại hình phố biến được các trình đuyệt sử dụng

Alive Bub

Hình 1.9 Mô hình danh sách điễm tin cậy mở rộng

—_ Mô hình PKI ehứng nhận chéo ( Cross-certified PKI): kết hợp các hệ thống PKI cấp thấp nhằm thanh lập mô hình lưới PKI cao hơn.

Hinh 1.10 M6 hink PKI chieng nhan chéo

— M6 hinh CA bie cu (Bridge CA architecture): khi 86 long cdc PKT trong mé

hình chứng nhận chéo lớn, dẫn tới số Tượng chứng thư số tăng lên Giải pháp là

tạo một CA bắc câu lâm nhiệm vụ trung gian khi thực hiện xác thực giữa hai hệ

thống PKI CA này không được oơi là một điểm tin cậy

1.5 Sản phẫm mã nguồn mở hạ tầng khóa công khai OpenC.A

1.8.1 Giới thiệu chung về OpenCA

OpenCA là một hệ thẳng mã nguồn mở, mã nguồn của nó được cung cấp

rộng, rấi trên trang Web www.openca.org, được phát triển bỏi nhiều nhả lập trình

trên toàn thể giới, có tiêm năng to lớn nhằm ứng dung vao các dự án bảo mật từ

mức độ thập như mã hóa đữ liệu, chữ ki số cho đền việc xây dựng hệ thống nhận

dang và mã hóa đữ liệu cao cắp mả lõi của nó là OpenCA

PKI là một trong những hạ lắng bảo mật được ứng dụng rộng rãi trong các hệ thông an ninh thông tìn Vấn để ở đây là hầu hết các ứng dụng đều có thế được bảo

mật với chứng thư số và khóa nhưng cho tới thời điểm hiện nay, việc xây dựng các PKI là khá khó khăn vá tốn kém thậm chí cả trên môi trường mã nguồn mở như Unix OpenCA duge xây dụng để đáp úng cho nhủ câu nảy, mọi người đễ dàng có

một hạ tầng cơ sở để từ đó phát triển PKI nhữ mọi nguoi mong mmén OpenCA được xây dựng với các ứng dụng lối nền tảng và cơ bản nhất, OpenCA chỉ là hệ lỗi đáp ứng những nhu cầu cơ bản nhất cho một hệ lõi PKI, bản thân OpenCA chưa phải là hệ đầy đủ để tác nghiệp Dễ OpenCA trở thành hệ PKT ứng dựng tác nghiệp,

người phát triển cần phải thiết kế phát triển và xây dựng nó đáp ứng các yêu cầu

ứng đụng

OpenCA được [hiết ké cho mét ha ting phan tán Nó không chỉ có khả năng quản lỷ một CA ofTline, một RA online mả côn có thể sử dụng nỏ để xây đựng một

hệ thông đa cấp với it nhất là 3 tầng

OpenCA không chỉ đủ khả năng phục vụ cho các hệ thông vửa và nhỏ như

các nhà máy hay doanh nghiệp mà nó còn có thể đáp ứng nhu cầu cho một tỏ chứ

lỏn như các trường đại học, các viên nghiên cứu hay công ty đa quốc gia

Với khả năng cải đặt triển khai khác linh hoại, OpenC!A cho phép người sử dụng tùy vào yêu câu mà có thé cai đặt và sử đựng toàn bộ hệ thống hoặc chỉ các thành phân cơ bản của một hệ PKT

1.5.2 Các thành phan chính của OpenCA

Hệ thống PKI-QpenCA bao gồm các thành phẩn chỉnh sau [3]

nhiên nó không được đủng đề lưn trữ khỏa cá nhân vả chứng thư số của CA}

Chúng †a có thế cu hình với các luật khác để đồng bộ hóa với các node ở

các mức cao hơn hoặc thấp hơn của câu trúc phân cấp Nỏ cũng bao gồm các cầu

hình của các đổi tượng vả trạng thai có thể bị thay đổi Các câu hình vẻ bộ lọc có

thé cha phép ngắn ngừa các trạng Lhải có thể gây lổn hại tới hệ thông từ các mức thấp hơn

CA (Certification Authority)

Giao diện CA cung cấp các chức năng để người quản trị phê duyệt, cắp phát chứng thư số và lên danh sách thu hẻi chứng thư số Ngoai ra, CÁ cũng cung cấp các chức năng để người quản trị có thể sử dụng đề thay đổi can hinh của hệ thẳng thông qua giao diện Web, tắt nhiên chức năng này chỉ cho phép thiết đặt các cầu

hình ở mức nào đó, đáp ứng nhu cẩn co bản nhất của người quản trị hệ thẳng,

RA (Registration Authority)

RA của OpenCA cho phép người quản trị RA xem xét các yên cân cáp phát

chứng thư số được gửi lên từ người sử đụng, tiễn hành phê duyêt các yêu câu, tiến tránh tạo và cấp khóa cho nguời sử dụng đã có yêu câu hợp lẻ, gửi các yêu cầu hợp

lệ lên CA với sự xác nhận đảm bảo của RA (chức năng nảy có cho phép thực hiện

ki là điểm có thể tham khảo với định hưởng trước mắo, xóa các yêu cầu không

hợp lệ và gửi thư thông báo đến người sử dung

“ 4

LDAFT

Giao điện của module LDAP được thực thỉ cho các quản lý I.DDAP riêng biệt

Nó cân thiết vì có rãi nhiêu chức năng thực sự đặc trưng riêng hiệt cho quan ti

LDAPT, tuy nhiên chỉ một sở ít người sử dụng cản đền điểu nảy

Trong OpenCA, LDAP đóng vai trỏ đảm bão sự toàn vẹn dữ liệu Công, dụng

của nó chỉ thể hiện với một mô hình PKI triển khai đa cấp với nhiều mút khác nhan

Khi đó LDAP sẽ đóng vai trò trong việc bảo đảm cập nhật và thông nhất dữ liên ở

các root server và truy xuất đứ liêu khi có một máy sub-server đưa ra yêu câu cản

truy xuấi dữ liệu vượt cập

Puh

Giao diện Pub cung cấp tất cả những tiên Ích và tác vụ mà người sử đụng cuỗi của hệ thống cắn Tuy nhiên, trên thực tế nó chụa hoản thiện và chỉ cỏ một

danh sách nhỏ các địch vụ được cung cấp như: các yêu câu cấp chứng thư số, cập

nhật chứng thư số, cập nhật danh sách thụ hổi chứng thư sổ, hỗ trợ hai cách khác

nhan để thn hồi chứng thư số, tìm kiểm chíng thư số, xáo nhận chứng thu số của

người sử dụng trên trình đuyệt

1.83 Các dịch vụ chỉnh của OpenCA

Giao điện Web đảnh cho người sử đụng cnỗi (Pnb), cung cắp các địch vụ cho

phép người đủng xin cấp phảt chứng (hư số, lẫy chứng [hư số đã được CA cấp phát, yêu cầu thu hỗi chứng thư số hay các tác vụ quân ly cdc yêu câu đã được gũi, quần

lý các chứng thư số đang có, ngày hét hạn và các chứng thư số đã bị thu hồi Tuy

nhiên, Pub lại không cung cấp một cơ chế xác thực người dùng nào để quản lý người dùng, đây có thể coi là hệ thông phục vụ cho một người đủng duy nhất, đầy

cũng là điểm đang được nghiên cứu đề phát triển

Các dịch vụ hệ lõi PKI-OpenCA cung cấp bao pm

Yên cầu cấp chững tÍuc số: tạo các yêu câu cấp chúng Thư số với nhiêu loại yêu cầu được hỗ trợ sẵn: yêu câu cấp chứng thư số tự động phát hiện loại trình duyệt

trên máy client hoặc các yêu cầu với từng loại trình duyệt của các hãng khác

nhau, yêu cầu cấp một phản cứng thẻ từ RA (smart card); các loại yêu cầu này

38

khi duoc chọn đều đưa ra form cho người sứ dụng điển thông tin vá sau đó yêu

câu lên RA và cho người đùng một số serial của chứng thư số đã được yêu câu

—_ Lễ) chững fuz số: chứng thu số sau khi yêu cầu được RA xét duyệt hợp lệ và gửi yêu cầu lên CA, CA liễn hành cáp chứng thư số cho người sử dựng Đây là

chức nắng mà người dùng lấy chứng thư số đã được CA cấp về, thông qua số serial của chứng thư số

— Yéu cẩu thu hồi chứng thư số: đưa ra yêu cầu thu hồi chứng thư số cùng với lí

hệ tin tưởng với CA: dich vu nay cho phép người sử dựng có thể lầy dược chứng

thư số của CA và cái đặt lên máy đang sử đụng, tủy vào mục đích của máy đang

dùng mà cỏ nhiền định dạng chứng thư số được cấp khác nhau: cha máy server (

có thể là RA server hoặc các CA server cấp dưới), cho trình đyệt trên máy

Môi hệ PKT vẻ cơ bản vẫn tổn tại một số rửi ro về bảo mật sau: MÃI khỏa cá

nhân, giả mạo khóa công khai, giả mạo định đanh chủ thẻ [1]

An toin khóa cả nhân, Trong hệ thông PKI hiện nay, khỏa cả nhân được lưu trữ tiên phương tiện truyền thông như trên máy tính của người dùng, hoặc smartcard và

phương tiện này được bảo vệ truy cập bằng một mật khẩu được bảo về truy cập

bằng một mật khẩu độ dài 6 đến 8 kỉ tự, độ an toàn của khóa cá nhản pim thuộc cá

vào mật khâu này Cơ chế đảm bảo an toàn cho khóa cá nhân bằng mật khẩu không.

thể hiện được tính chống phủ nhận trong mật mã học Bản thân mật khẩu có nhiêu

nguy cơ để bị lệ, hoặc bị mất bởi virus, bị đảnh cắn bởi các chương trình mã độc hại Khi khóa cá nhân để mất sẽ rất nguy hiểm, thì bất cử ai cũng có (hế giả mạo người đỏ và không chỉ là mất thông tin mnả còn có thể dẫn đến đỏ vờ cả hệ thông Giả mạo khóa công khai.Trường hợp khỏa này được bảo vệ bằng chữ kỉ của CA,

tức lá kiểm tra được bằng khóa công khai của CA, có nguy cơ kế tân công thay thế khóa của CA trên máy người dùng, sau đó tiến hành thay thẻ khỏa công khai của

nguôi đùng bằng khóa giá Giả mạo khỏa công khai dẫn đến lộ thông tin trong hệ

thông

Định danh đỗi tượng Chứng thư số có chửa tên của đôi tượng và phải có thêm các

thông tia bổ sung đủ để tránh trường hợp định danh sai do các thông tín cả nhân của người đùng trùng nhan

Trong các nguy co về bảo mặt kể trên, naưy cơ lớn nhất trong PKI là bị mắt khóa cả nhân Vẫn để này có thể được giải quyết bằng một cơ chế xác thực định danh mạnh hơn mật khâu truyễn théng: dé 1a sinh trắc học Do sinh trắc học mang bản chất chẳng phủ nhận, khả năng giả mạo, mắt trộm đặc trưng sinh trắc học tháp

hơn nhiều so với mật khâu, nên đây là giái pháp trơng đổi hoàn thiện cho vẫn để an

toản và sử đụng khóa cá nhân

40