Nghiên cứu xây dựng giải pháp chứng thực chéo cho các hệ thống cơ sở hạ tầng khóa công khai (PKI) độc lập

TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN ĐỀ TÀI NGHIÊN CỨU GIẢI PHÁP CHỨNG THỰC CHÉO CHO CÁC HỆ THỐNG CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI PKI ĐỘC LẬP Hà Nội - N

TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI

KHOA CÔNG NGHỆ THÔNG TIN

ĐỀ TÀI NGHIÊN CỨU GIẢI PHÁP CHỨNG THỰC CHÉO CHO CÁC HỆ THỐNG CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI

(PKI) ĐỘC LẬP

Hà Nội - Năm 2016

TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI

KHOA CÔNG NGHỆ THÔNG TIN

NGUYỄN THU PHƯƠNG

NGHIÊN CỨU GIẢI PHÁP CHỨNG THỰC CHÉO CHO CÁC HỆ THỐNG CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI

(PKI) ĐỘC LẬP

Chuyên ngành : Công nghệ Thông tin

NGƯỜI HƯỚNG DẪN: TS HÀ MẠNH ĐÀO

Hà Nội - Năm 2016

MỤC LỤC

MỞ ĐẦU 1

CHƯƠNG 1: LÝ THUYẾT TỔNG QUÁT 3

Khái niệm hạ tầng khóa công khai (PKI) 3

1.2 Các thành phần cơ bản của hạ tầng khóa công khai 3

1.2.1 Cấp phát chứng thư số (CA) 3

1.2.2 Trung tâm đăng ký (RA) 4

1.2.3 Trung tâm ủy quyền xác nhận hợp lệ 4

1.2.4 Kho chứng chỉ 5

1.2.5 Người dùng cuối 5

1.3 Các mô hình hạ tầng khóa công khai 5

1.3.1 Mô hình CA đơn 5

1.3.2 Mô hình CA phân cấp 6

1.3.3 Mô hình lai 7

1.4 Chứng thư số 7

1.4.1 X.509 phiên bản 1 8

1.4.2 X.509 phiên bản 2 9

1.4.3 X.509 phiên bản 3 10

1.5 Chữ ký số 15

1.6 Quy trình hoạt động của PKI 16

1.6.1 Khởi tạo thực thể cuối 16

1.6.2 Tạo cặp khóa 16

1.6.3 Áp dụng chữ ký số để xác định danh tính người gửi 16

1.6.4 Mã hóa thông báo 17

1.6.5 Truyền khóa đối xứng 17

1.6.6 Kiểm tra định danh người gửi thông qua CA 17

1.6.7 Giải mã thông báo và kiểm tra nội dung 17

CHƯƠNG 2: NGHIÊN CỨU CÁC MÔ HÌNH CHỨNG THỰC CHÉO 18

2.1 Các mô hình chứng thực chéo 18

2.1.1 Chứng thực chéo ngang hàng 18

2.1.2 Mô hình CA cầu nối 21

2.1.3 Mô hình danh sách tin cậy web 23

2.2 Hiện trạng chứng thực chéo trên thế giới 24

2.3 Các vấn đề cần giải quyết khi thực hiện chứng thực chéo 28

2.4 Hiện trạng PKI tại Việt nam và nhu cầu chứng thực chéo 28

CHƯƠNG 3: TRIỂN KHAI THỬ NGHIỆM 32

3.1 Triển khai hệ thống sử dụng EJBCA 32

3.1.1 Giới thiệu về EJBCA 32

3.1.2 Mô hình của hệ thống PKI EJBCA 32

3.1.3 Một số ưu nhược điểm của EJBCA 34

3.1.4 Lý do chọn EJBCA 34

3.2 Mô hình triển khai 36

3.2.1 Yêu cầu 36

3.2.3Cấu hình và cài đặt 38

3.3 Triển khai hệ thống sử dụng MSCA 38

3.3.1 Các mô hình 38

3.3.2 Chuẩn bị trước khi cài đặt MicrosoftCA 39

3.3.3 Các yêu cầu về kỹ thuật đối với MicrosoftCA 40

3.3.4 Triển khai hệ thống 41

3.3.5 Cấu hình và cài đặt 42

3.4 Triển khai chứng thực chéo giữa hai hệ thống EJBCA và MicrosoftCA 42

3.4.1 Kết quả và hình ảnh demo sau khi cài đặt 45

3.4.2 Áp dụng chứng thực chéo trên thực tế 66

KẾT LUẬN 68

TÀI LIỆU THAM KHẢO 69

PHỤ LỤC A 1

PHỤ LỤC B 6

LỜI CAM ĐOAN

Em xin cam đoan các kết quả nghiên cứu đưa ra trong đồ án tốt nghiệp này dựa trên các kết quả thu được trong quá trình nghiên cứu của riêng em, không sao chép bất kỳ kết quả nghiên cứu nào của các tác giả khác

Nội dung của đồ án tốt nghiệp có tham khảo và sử dụng một số thông tin, tài liệu từ các nguồn sách, tạp chí được liệt kê trong danh mục các tài liệu tham khảo

và được sự hướng dẫn của TS Hà Mạnh Đào

Nếu phát hiện có bất kỳ sư gian lận nào em xin hoàn toàn chịu trách nhiệm về nội dung đồ án của mình

Hà Nội, tháng 6 năm 2016 Người cam đoan

Nguyễn Thu Phương

LỜI CẢM ƠN

Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ trợ, giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác Trong suốt thời gian từ khi bắt đầu học tập tại trường đến nay, em đã hết sức nỗ lực đồng thời cũng nhận được rất nhiều sự quan tâm, giúp đỡ và ủng hộ của quý Thầy Cô, gia đình và bạn bè

Em xin chân thành cảm ơn khoa công nghệ thông tin-trường đại học tài nguyên và môi trường hà nội đã tạo điều kiện tốt cho em thực hiện đề tài đồ án tốt nghiệp này

Em xin tỏ lòng biết ơn sâu sắc quý thầy cô trong trường đã tận tình giảng dạy, trang bị cho em những kiến thức quý báu trong những năm học vừa qua

Đặc biệt em xin chân thành cảm ơn TS Hà Mạnh Đào – trưởng khoa công nghệ thông tin đã tận tình hướng dẫn, giúp đỡ, chỉ bảo và đóng góp ý kiến cho em trong suốt thời gian nghiên cứu và thực hiện đề tài này

Xin cảm ơn các anh chị và bạn bè cùng khóa đã ủng hộ, giúp đỡ và động viên

em tiến bộ trong suốt những năm học qua Xin cảm ơn gia đình và bè bạn, những người luôn khuyến khích và giúp đỡ em trong mọi hoàn cảnh khó khăn Mặc dù em

đã cố gắng hoàn thành đồ án tốt nghiệp trong phạm vi và khả năng cho phép xong cũng không tránh khỏi những thiếu sót Em kính mong nhận được sự cảm thông và tận tình chỉ bảo của quý thầy cô và các bạn

Em xin chân thành cảm ơn!

DANH MỤC BẢNG

Bảng 3.1: Bảng so sánh EJBCA và OpenCA 35

DANH MỤC HÌNH Hình 1.1: Các thành phần cơ bản của PKI 3

Hình 1.2: Mô hình CA đơn cấp 6

Hình 1.3: Mô hình CA phân cấp 6

Hình 1.4: Mô hình lai 7

Hình 1.5: Chứng thư số X.509 phiên bản 1 8

Hình 1.6: Chứng thư số X.509 phiên bản 2 9

Hình 1.7: Chứng thư số X.509 phiên bản 3 11

Hình 1.8: Sơ đồ ký và kiểm tra chữ ký số 15

Hình 2 1: Mô hình chứng thực chéo ngang hàng 19

Hình 2 2: Những dạng chứng thực chéo ngang hàng khác 20

Hình 2 3: Chứng thực chéo sử dụng CA cầu nối 21

Hình 2 4: Mô hình CA cầu nối với CA cầu nối là miền tin cậy 22

Hình 2 5: Chứng thực chéo sử dụng danh sách tin cậy web 24

Hình 2 6: Mô hình hệ thống chứng thực chéo của Mỹ 25

Hình 2 7: Mô hình hệ thống chứng thực chéo của Nhật Bản 26

Hình 2 8: Mô Hình chứng chéo của Đài Loan 26

Hình 2 9: Mô hình chứng thực chéo của Hàn Quốc 27

Hình 2.10 Mô hình hiện trạng PKI tại Việt nam 29

Hình 2.11 Mô hình đề xuất 30

Hình 3.2: Mô hình triển khai đơn giản 37

Hình 3.3: Miền PKICC 38

Hình 3.4: Mô hình triển khai MicrosoftCA 42

Hình 3.5: Trang certification authorities 43

Hình 3.6: Tạo chứng thư 43

Hình 3.7: Tải yêu cầu chứng thư số 44

Hình 3.8: Submit yêu cầu 44

Hình 3.9: kết quả chứng thực chéo 45

Hình 3.10 Đăng nhập debian 6 6.5 45

Hình 3.11 Thực hiện lệnh đăng nhập vào EJBCA 46

Hình 3.12 Đăng nhập lệnh hoàn tất 46

Hình 3.13 Truy cập vào địa chỉ EJBCA 47

Hình 3.14 Giao diện EJBCA 47

Hình 3.15 Giao diện Administration của EJBCA 48

Hình 3.16 Giao diện đăng nhập tài khoản 48

Hình 3.17 Yêu cầu cấp chứng thư số thành công 49

Hình 3.18 Cài đặt chứng thư số 49

Hình 3.19 Cài đặt chứng thư số 50

Hình 3.20 Cài đặt chứng thư số 50

Hình 3.21 Cài đặt chứng thư số thành công 51

Hình 3.22 Window 7 miền PKICC 51

Hình 3.23 Cài đặt rootCA PKICC 52

Hình 3.24 Cài đặt rootCA PKICC 52

Hình 3.25 Cài đặt rootCA PKICC 53

Hình 3.26 Cài đặt rootCA PKICC thành công 53

Hình 3.27 Cài đặt sub VNPT 54

Hình 3.28 Cài đặt Sub VNPT 54

Hình 3.29 Cài đặt sub VNPT thành công 55

Hình 3.30 Cài đặt client 55

Hình 3.31 Cài đặt người dùng 56

Hình 3.32 Cài đặt người dùng thành công 56

Hình 3.33 RootCA miền PKICP 57

Hình 3.34 Cài đặt PKICP-CA 57

Hình 3.35 Cài đặt PKICP-CA 58

Hình 3.36 Cài đặt PKICP-CA thành công 58

Hình 3.37 Kí lên word 59

Hình 3.38 Điền thông tin người kí 59

Hình 3.39 Tạo khung chữ kí 60

Hình 3.40 Thực hiện kí 60

Hình 3.41 Chọn hình chữ kí riêng 61

Hình 3.42 Chọn hình chữ kí riêng 61

Hình 3.43 Chọn chứng thư số 62

Hình 3.44 Chọn chứng thư số 62

Hình 3.45 Kí thành công 63

Hình 3.46 Thông tin cơ bản trên chứng thư số của người kí 63

Hình 3.47 Thông tin cơ bản trên chứng thư số của người kí 64

Hình 3.48 View thông tin cơ bản của root CA,Sub CA,Client 64

Hình 3.49 View thông tin VNPT(subCA)miền PKICC 65

Hình 3.50 Xóa cross cert (VNPT cacert)trong Console Root 65

Hình 3.51 Xóa cross cert (VNPT cacert)trong Console Root 66

Hình 3.52 Văn bản chữ kí không hợp lệ 66

Hình 3.53 Mô hình kê khai thuế qua mạng 67

DANH MỤC TỪ VIẾT TẮT

công cộng

chính phủ