Chữ ký số trong thẻ thông minh và ứng dụng xác thực

Việc phân quyền đối với công cụ này thực chất chỉ cần thiết ở phía CA, ta sẽ tập trung thực hiện chức năng đối với hệ thống này rồi từ đó thừa kế các chức năng đã thực hiện được và áp dụ

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

===


    ===

LƯƠNG VIỆT NGUYÊN

CHỮ KÝ SỐ TRONG THẺ THÔNG MINH

VÀ ỨNG DỤNG XÁC THỰC

LUẬN VĂN THẠC SỸ

HÀ NỘI – 2008

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

===


    ===

LƯƠNG VIỆT NGUYÊN

CHỮ KÝ SỐ TRONG THẺ THÔNG MINH

VÀ ỨNG DỤNG XÁC THỰC

Ngành: Công nghệ thông tin

Mã số: 1.01.10

LUẬN VĂN THẠC SỸ

NGƯỜI HƯỚNG DẪN KHOA HỌC

PGS TS TRỊNH NHẬT TIẾN

HÀ NỘI - 2008

LỜI CAM ĐOAN

Tôi xin cam đoan toàn bộ nội dung bản luận văn này là do tôi tự sưu tầm, tra cứu và phát triển đáp ứng nội dung yêu cầu của đề tài

Nội dung bản luận văn chưa từng được công bố hay xuất bản dưới bất kỳ hình thức nào và cũng không được sao chép từ bất kỳ một công trình nghiên cứu nào

Toàn bộ ứng dụng thử nghiệm đều do tôi tự thiết kế và xây dựng Nếu sai tôi xin hoàn toàn chịu trách nhiệm

Hà nội, tháng 11 năm 2008

Người cam đoan

Lương Việt Nguyên

LỜI CẢM ƠN

Lời đầu tiên, tôi xin được gửi lời cảm ơn chân thành nhất tới thầy giáo PGS.TS Trịnh Nhật Tiến - người luôn chỉ bảo, hướng dẫn tôi hết sức nghiêm khắc và tận tình, cung cấp những tài liệu quý báu, giúp đỡ tôi trong suốt quá trình học tập và xây dựng luận văn

Tôi xin chân thành cảm ơn các Thầy, Cô giáo và các bạn đồng nghiệp trong khoa Công nghệ thông tin và Ban giám hiệu, các cán bộ trường Đại học Công nghệ, Đại học Quốc gia Hà Nội đã luôn nhiệt tình giúp đỡ và tạo điều kiện tốt nhất cho tôi trong suốt quá trình học tập Xin chân thành cảm ơn các anh, các chị và các bạn học viên lớp Cao học K11T3 - Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội đã luôn động viên, giúp đỡ và nhiệt tình chia sẻ với tôi những kinh nghiệm học tập, công tác trong suốt khóa học

Mặc dù đã có nhiều cố gắng, song do sự hạn hẹp về thời gian, điều kiện nghiên cứu và trình độ, luận văn không tránh khỏi những khiếm khuyết Tôi chân thành mong nhận được sự đóng góp ý kiến của các thầy,

cô giáo và đồng nghiệp gần xa

Hà nội, tháng 11 năm 2008

Người thực hiện luận văn

Lương Việt Nguyên

MỤC LỤC

Ch
ng 1: TỔNG QUAN VỀ THẺ THÔNG MINH 1

1.1 GIỚI THIỆU THẺ THÔNG MINH 1

1.1.1 Ưu nhược điểm và tính khả thi thẻ thông minh 3

1.1.1.1 Ưu điểm: 3

1.1.1.2 Nh ược điểm: 4

1.1.1.3 Tính khả thi: 4

1.1.2 Phân loại thẻ 5

1.1.3 Các chuẩn cho Smart Card 8

1.2 CẤU TẠO THẺ THÔNG MINH 10

1.2.1 Cấu trúc vật lý 10

1.2.1.1 Các điểm tiếp xúc 10

1.2.1.2 B ộ xử lý trung tâm trong thẻ thông minh 11

1.2.1.3 B ộ đồng xử lý trong thẻ thông minh 11

1.2.1.4 H ệ thống bộ nhớ của thẻ thông minh 12

1.2.2 Giao tiếp truyền thông với thẻ thông minh 12

1.2.2.1 Thi ết bị chấp nhận thẻ và các ứng dụng máy chủ 12

1.2.2.2 Mô hình truy ền thông với thẻ thông minh 13

1.2.2.3 Giao th ức APDU 13

1.2.2.4 Mã hoá bit (bit encoding) 15

1.2.2.5 Giao th ức TPDU 15

1.2.2.6 Thông điệp trả lời để xác lập lại (ATR) 17

1.2.3 Hệ điều hành thẻ thông minh 17

1.2.4 Các File hệ thống trong thẻ thông minh 17

1.2.4.1 Th ư mục gốc (Master File - MF) 17

1.2.4.2 Th ư mục chuyên dụng (Dedicated File - DF) 18

1.2.4.3 File c ơ bản (Elementary File - EF) 18

1.2.5 Truy cập File 19

1.2.5.1 Định danh file 19

1.2.5.2 Các ph ương thức lựa chọn file 19

1.2.5.3 Điều kiện truy cập file 20

1.2.5.4 L ệnh thao tác với thẻ 21

1.2.6 Quá trình sản xuất một Smart Card 24

1.3 ỨNG DỤNG THẺ THÔNG MINH 25

1.3.1 Phát triển ứng dụng cho Smart Card 25

1.3.1.1 Quy trình phát tri ển ứng dụng cho Smart Card 25

1.3.1.2 Các công c ụ phát triển ứng dụng cho Smart Card 26

1.3.1.3 Công c ụ cho ứng dụng phía thẻ 26

1.3.2 Ứng dụng phía thiết bị đọc thẻ (reader) 27

1.3.2.1 Các giao di ện ứng dụng chuẩn phía reader 27

1.3.2.2 Chu ẩn PC/SC 28

1.3.2.3 Ki ến trúc PC/SC 28

1.3.2.4 ICC Resource Manager 30

1.3.2.5 ICCSP 32

1.3.2.6 Các chu ẩn khác 33

1.3.3 Ứng dụng phía thẻ 34

1.3.3.1 Các khía c ạnh trong phát triển ứng dụng 34

1.3.3.2 T ập các hàm API 35

1.3.4 Một số ứng dụng trong thẻ thông minh 37

1.3.4.1 Th ẻ thông minh trong hệ thống thu lệ phí (cầu, đường) điện tử 37

1.3.4.2 Th ẻ thông minh trong chữ ký số (Digital Signature) 38

1.3.4.3 Th ẻ thông minh trong hệ thống trả tiền điện tử 40

1.4 TÓM TẮT CHƯƠNG 42

Ch
ng 2: TỔNG QUAN VỀ HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI (PKI) 43

2.1 KHÁI NIỆM VỀ PKI 43

2.2 CƠ SỞ KHOA HỌC VỀ PKI 44

2.2.1 Các thành phần kỹ thuật cơ bản của PKI 44

2.2.1.1 Mã hóa 44

2.2.1.2 Ký s ố 48

2.2.1.3 Ch ứng chỉ số 59

2.2.2 Lợi ích của chứng chỉ số 61

2.2.2.1 Đảm bảo tính xác thực 61

2.2.2.2 Mã hóa 62

2.2.2.3 Ch ống giả mạo 62

2.2.2.4 Ch ống chối cãi nguồn gốc 62

2.2.2.5 Đảm bảo phần mềm 62

2.2.2.6 Phân ph ối khóa an toàn 63

2.2.2.7 B ảo mật Website 64

2.2.2.8 X ử lý độc lập tại máy khách 64

2.2.3 Công nghệ để xây dựng PKI và giao thức 65

2.2.3.1 Công ngh ệ OpenCA 65

2.2.3.2 Công ngh ệ SSL 66

2.2.3.3 Giao th ức truyền tin an toàn tầng liên kết dữ liệu (Data Link) 70

2.2.3.4 Giao th ức truyền tin an toàn tầng ứng dụng(Application) 72

2.2.3.5 M ột số công nghệ bảo mật và an toàn thông tin trên thế giới 74

2.3 GIẢI PHÁP XÂY DỰNG PKI 75

2.3.1 Hành lang pháp lý để xây dựng và ứng dụng PKI .75

2.3.2 Giải pháp công nghệ xây dựng PKI hiện nay 77

2.4 CÁC ĐỐI TƯỢNG CƠ BẢN CỦA HỆ THỐNG PKI 78

2.4.1 Chủ thể và các đối tượng sử dụng 78

2.4.2 Đối tượng quản lý thẻ xác thực 79

2.4.3 Đối tượng quản lý đăng ký thẻ xác thực 80

2.5 CÁC HOẠT ĐỘNG CƠ BẢN TRONG HỆ THỐNG PKI 81

2.5.1 Mô hình tổng quát của hệ thống PKI 81

2.5.1.1 Thi ết lập các thẻ xác thực 81

2.5.1.2 Kh ởi tạo các EE 82

2.5.2 Các hoạt động liên quan đến thẻ xác thực 82

2.5.2.1 Đăng ký và xác thực ban đầu 82

2.5.2.2 C ập nhật thông tin về cặp khóa 82

2.5.2.3 C ập nhật thông tin về thẻ xác thực 83

2.5.2.4 C ập nhật thông tin về cặp khóa của CA 83

2.5.2.5 Yêu c ầu xác thực ngang hàng 83

2.5.2.6 C ập nhật thẻ xác thực ngang hàng 83

2.5.3 Phát hành thẻ và danh sách thẻ bị hủy bỏ 84

2.5.4 Các hoạt động phục hồi 84

2.5.5 Các hoạt động hủy bỏ 84

2.6 NHỮNG VẤNĐỀCƠ BẢN TRONG XÂY DỰNG HỆ THỐNG PKI 85

2.6.1 Các mô hình tổ chức hệ thống CA 85

2.6.1.1 Ki ến trúc phân cấp 85

2.6.1.2 Ki ến trúc hệ thống PKI mạng lưới 87

2.6.1.3 Ki ến trúc danh sách tin cậy 88

2.6.2 Những chức năng bắt buộc trong quản lý PKI 90

2.6.2.1 Kh ởi tạo CA gốc 90

2.6.2.2 Kh ởi tạo các CA thứ cấp 90

2.6.2.3 C ập nhật khóa của CA gốc 91

2.6.2.4 T ạo lập CRL 91

2.6.2.5 Yêu c ầu về thông tin hệ thống PKI 91

2.6.2.6 Xác th ực ngang hàng 91

2.6.2.7 Kh ởi tạo các EE 92

2.6.2.8 Yêu c ầu xác thực 92

2.6.2.9 C ập nhật khóa 92

2.7 THẺ XÁC NHẬN THEO CHUẨN X.509 93

2.7.1 Khuôn Dạng Chứng Chỉ X.509 93

2.7.2 Các trường cơ bản của thẻ xác thực 94

2.7.2.1 Tr ường tbsCertificate 94

2.7.2.2 Tr ường signatureAlgorithm 95

2.7.2.3 Tr ường signatureValue 95

2.7.3 Cấu trúc TBSCertificate 96

2.7.3.1 Tr ường version 96

2.7.3.2 Tr ường serialNumber 96

2.7.3.3 Tr ường signature 97

2.7.3.4 Tr ường issuer 97

2.7.3.5 Tr ường validity 98

2.7.3.6 Tr ường subject 98

2.7.3.7 Tr ường subjectPublicKeyInfo 99

2.7.3.8 Tr ường uniqueIdentifiers 99

2.7.3.9 Tr ường extensions 99

2.7.4 Các phần mở rộng của thẻ xác thực X.509 99

2.7.4.1 Ph ần mở rộng Authority Key Identifier 99

2.7.4.2 Ph ần mở rộng Subject Key Identifier 100

2.7.4.3 Ph ần mở rộng Key Usage 100

2.7.4.4 M ục đích sử dụng khóa mở rộng (Extended Key Usage) 102

2.7.4.5 Ph ần mở rộng Private Key Usage Period 102

2.7.4.6 Ph ần mở rộng Certificate Policies 102

2.7.4.7 Ph ần mở rộng Policy Mappings 103

2.7.4.8 Ph ần mở rộng Subject Alternative Name 104

2.7.4.9 Ph ần mở rộng Issuer Alternative Names 105

2.7.4.10 Ph ần mở rộng Subject Directory Attributes 105

2.7.4.11 Ph ần mở rộng Basic Constraints 105

2.7.4.12 Ph ần mở rộng Name Constraints 106

2.7.4.13 Ph ần mở rộng Policy Constraints 106

2.7.4.14 Ph ần mở rộng Extended key usage field 107

2.7.4.15 Ph ần mở rộng CRL Distribution Points 108

2.7.4.16 Các tr ường mở rộng cho Internet 109

2.8 PKI VÀ THẺ THÔNG MINH 109

2.8.1 Luật pháp 109

2.8.2 Mối quan hệ giữa công nghệ, ứng dụng và luật pháp 110

2.9 TÓM TẮT CHƯƠNG 111

Ch
ng 3: ỨNG DỤNG THẺ THÔNG MINH TRONG ĐÀO TẠO TRỰC TUYẾN 112

3.1 GIỚI THIỆU 112

3.2 TỔNG QUAN HỆ THỐNG HỌC TRỰC TUYẾN (E-L EARNING ) 113

3.3 RỦI RO LIÊN QUAN VỚI HỆ THỐNG E-L EARNING 115

3.4 VẤNĐỀAN TOÀN TRONG MÔI TRƯỜNG HỌC TRỰC TUYẾN? 116

3.5 GIAO DỊCH AN TOÀN TRÊN INTERNET 116

3.6 CÁC CHỦ THỂ THAM GIA VÀO HỆ THỐNG THẺ THÔNG MINH 119

3.7 GIẢI PHÁP TÍCH HỢP THẺ THÔNG MINH TRONG HỌC TRỰC TUYẾN 119

3.7.1 Mô hình kết hợp ngoài và mô hình kết hợp trong 119

3.7.2 Mô hình cấp chứng chỉ đơn giản 121

3.7.3 Mô hình sử dụng thẻ thông minh phân bố rộng 121

3.8 XÁC THỰC SỬ DỤNG THẺ THÔNG MINH VÀ GIAO THỨC SSL TRONG ĐÀO TẠO TRỰC TUYẾN 122

3.8.1 Thiết kế hệ thống đảm bảo tính bảo mật thông tin với chữ ký số kết hợp giao thức SSL 122

3.8.2 Nâng cấp thiết kế SSL bằng thẻ thông minh thương mại (Commercial Smart Card Token) 126

3.8.3 Quy trình xác thực sử dụng Ikey 2000 Token trong đào tạo trực tuyến 126 3.8.4 Sơ đồ chuyển chế độ của LMS và CMS trong quy trình xác thực 130

3.9 TÓM TẮT CHƯƠNG 134

Ch
ng 4: THỬ NGHIỆM GIẢI PHÁP 135

4.1 CÁC CÔNG CỤ DÙNG TRONG HỆ THỐNG 135

4.1.1 Các công cụ quản trị hệ thống 135

4.1.1.1 Công c ụ quản lý người sử dụng 135

4.1.1.2 Công c ụ tạo và quản lý chính sách 135

4.1.1.3 Công c ụ quản lý danh sách thẻ xác nhận 136

4.1.1.4 Công c ụ quản lý các sự kiện đối với hệ thống 136

4.1.2 Lưu trữ dữ liệu 137

4.1.2.1 L ưu thông tin quản lý đối tượng sử dụng chương trình 137

4.1.2.2 L ưu thông tin chính sách về thẻ xác nhận 137

4.1.2.3 L ưu trữ thông tin về thẻ xác nhận 138

4.1.3 Chức năng mã hoá dữ liệu 138

4.1.3.1 S ự cần thiết của chức năng 138

4.1.3.2 Định hướng xây dựng 138

4.1.3.3 L ưu đồ thuật toán thực hiện 139

4.1.4 Các thành phần của PKI/Smartcard 140

4.1.4.1 Đầu đọc thẻ thông minh 140

4.1.4.2 Th ẻ Mifare dùng trong hệ thống 141

4.1.4.3 Gi ải pháp ứng dụng trong hệ thống đào tạo trực tuyến 142

4.1.5 Những yêu cầu về sử dụng hệ thống thẻ thông minh 144

4.2 ĐÁNH GIÁ MÔ HÌNH KẾT HỢP 145

4.3 MỘT SỐ KẾT QUẢ THỬ NGHIỆM 147

4.4 TÓM TẮT CHƯƠNG 150

Ch ương 4: THỬ NGHIỆM GIẢI PHÁP

4.1 CÁC CÔNG CỤ DÙNG TRONG HỆ THỐNG

4.1.1 Các công cụ quản trị hệ thống

Các công cụ quản trị hệ thống được đề cập ở đây chủ yếu được áp dụng cho CA Những công cụ này là những thành phần bổ trợ cho người quản trị hệ thống Chúng được xây dựng để dành cho những người quản trị ở các mức khác nhau Các mức quản trị được dựa trên kiểu đối tượng được xác định khi đăng nhập vào hệ thống

4.1.1.1 Công c qun lý ng
i s dng

Trong thực tế, việc hạn chế quyền sử dụng các công cụ là rất cần thiết, nhất là những công cụ thực hiện chức năng của CA Do vậy, dù chỉ là một chương trình đơn giản để thể hiện chức năng của hệ thống thì ta cũng cần xây dựng một công cụ quản lý đối tượng sử dụng của chương trình Việc phân quyền đối với công cụ này thực chất chỉ cần thiết ở phía CA, ta sẽ tập trung thực hiện chức năng đối với hệ thống này rồi từ đó thừa kế các chức năng đã thực hiện được và áp dụng cho EE Ta sẽ đảm bảo để chỉ người quản trị cao nhất mới có thể sử dụng công cụ này

4.1.1.2 Công c to và qun lý chính sách

Công cụ này cũng chỉ được cung cấp cho đối tượng quản trị mức cao nhất Các đối tượng quản trị mức thấp hơn không thể sử dụng công cụ này Đây chỉ là một cách phân quyền đơn giản Trong thực tế, việc phân quyền đối với quá trình thiết lập chính sách phụ thuộc vào nhiều yếu tố khác nhau, nhất là đặc điểm của tổ chức sử dụng hệ thống PKI

Trong một hệ thống được triển khai đầy đủ, công cụ này giúp người quản trị có thể thiết lập và quản lý tất cả các chính sách đối với hệ thống PKI Trong

hệ thống ta triển khai, công cụ này chỉ nhằm minh họa về việc thiết lập và quản trị các chính sách của hệ thống Ta sẽ đề cập tới hai chính sách cơ bản là:

o Chính sách về thời gian sống của thẻ xác nhận

Chính sách về thời gian sống của thẻ xác nhận định ra một thẻ xác nhận được phép tồn tại bao lâu và trong khoảng thời gian nào Nghĩa là, sẽ có một thời điểm chặn trên và một thời điểm chặn dưới cho thời gian sống của thẻ xác nhận Thời gian sống của thẻ xác nhận chỉ nằm trọn trong miền này Như vậy, chính sách về thời gian sống của thẻ xác nhận sẽ gồm các tiêu chuẩn sau:

- Thời điểm chặn dưới

- Thời điểm chặn trên

- Khoảng thời gian sống

o Chính sách về phạm vi sử dụng của khoá trong thẻ xác nhận Chính sách về phạm vị sử dụng khoá sẽ xác định cặp khoá của đối tượng được cấp thẻ xác nhận sẽ được sử dụng trong mục đích gì Trong ứng dụng ta có một số ứng dụng của các cặp khoá như sau:

- Khoá để tạo chữ ký số

- Khoá để mã hoá dữ liệu

- Khoá để mã hoá khoá phiên

- Khoá để chống bác bỏ

- Khoá tạo cho các hàm phân tách

- Khoá để ký các CRL trong chế độ offline

- Khoá để thoả thuận khoá phiên

4.1.1.3 Công c qun lý danh sách th xác nhn

Công cụ này được tạo ra cho tất cả những người quản trị hệ thống ở các mức phân quyền khác nhau Với công cụ này, người quản trị có thể biết được hiện hệ thống đang lưu bao nhiêu thẻ xác nhận và thông tin chi tiết về từng thẻ Công cụ này cũng cho phép người quản trị xoá những thẻ xác nhận khi cần thiết

Giải pháp để thực hiện công cụ này là đồng bộ thông tin thẻ xác nhận lưu trong file và những thông tin được hiển thị Ngoài ra, vấn đề chỉ đọc các thông tin từ file, đưa vào danh sách thẻ xác nhận để quản lý khi công cụ được sử dụng Khi người quản trị không dùng công cụ này nữa, hệ thống sẽ cập nhật lại thông tin thẻ xác nhận vào file và hủy danh sách đang lưu đi Việc hủy bỏ thông tin không còn được sử dụng là rất cần thiết trong các hệ thống an toàn an ninh Nếu những thông tin không còn được sử dụng vẫn tồn tại thì sẽ gây tốn bộ nhớ hệ thống và tạo thêm những kẽ hở để hệ thống bị tấn công

4.1.1.4 Công c qun lý các s kin đi vi h thng

Công cụ này cho phép những người quản trị có thể biết được những gì đã xảy ra đối với hệ thống Những sự kiện được lưu lại bao gồm các thao tác của người quản trị (kể cả việc khởi động và dừng hệ thống), những phiên làm việc với các EE hoặc các CA khác Với công cụ này, người quản trị có thể biết được những gì đã xảy ra đối với hệ thống, nó giúp cho họ tìm hiểu được nguyên nhân dẫn đến trục trặc của hệ thống dựa trên các tác động đã xảy ra