Luận Văn Hạ Tầng Khoá Công Khai (Public Key Infrastructure - PKI)

ĐẶT VẤN ĐỀ


Kể từ khi ra đời gần ba mươi năm trước đây, phương thức mã hoá bảo mật với khoá công khai đã tạo nên một hướng phát triển mới cho các dịch vụ an toàn và an ninh thông tin. Tư tưởng cốt lõi của phương thức mã hoá bảo mật với khoá công khai là việc sử dụng cặp khoá công khai và khoá riêng. Mỗi đối tượng truyền thông đều có một cặp khoá công khai và khoá riêng. Khoá công khai của một đối tượng được thông báo cho tất cả các đối tượng tham gia truyền thông, còn khoá riêng chỉ do đối tượng đó nắm giữ.

Đối tượng truyền sẽ mã hoá thông tin cần truyền với khoá công khai của đối tượng nhận. Sau đó, thông tin đã mã hoá sẽ được truyền đến cho đối tượng nhận. Sau khi nhận được thông tin truyền đến, đối tượng nhận sẽ giải mã thông tin truyền đến với khoá riêng của mình.

Khi các dịch vụ an toàn sử dụng khoá công khai được phát triển rộng rãi thì việc quản lý đối tượng cùng với khoá công khai trở nên phức tạp và phải đối mặt với nhiều vấn đề về an toàn và an ninh thông tin. Mặt khác, do phạm vi ứng dụng của các thông tin về khoá công khai là rất rộng lớn (có thể là trong phạm vi quốc gia hoặc xuyên quốc gia) nên phải có được sự thống nhất về các khoá công khai để đảm bảo các đối tượng có thể tham gia truyền thông ở nhiều phạm vi khác nhau với nhiều dịch vụ an toàn và an ninh khác nhau.

Trong những năm gần đây, một hướng giải quyết đã được nghiên cứu và triển khai, đó là Hạ Tầng Khoá Công Khai (Public Key Infrastructure - PKI). PKI là dịch vụ ở mức nền, nó đảm bảo về việc tạo lập, quản lý và phân phát các khoá công khai của những đối tượng tham gia vào các dịch vụ an toàn, an ninh (dựa trên phương thức mã hoá với khoá công khai) thông qua các thẻ xác nhận. PKI có thể được triển khai trên nhiều phạm vi khác nhau; do vậy, nó có thể giải quyết những khó khăn mà các ứng dụng an toàn an ninh gặp phải khi phải triển khai trên phạm vi rộng và đối tượng sử dụng đa dạng.

Việc nghiên cứu và triển khai hệ thống PKI trong phạm vi một doanh nghiệp hay ở tầm cỡ một quốc gia đều đòi hỏi phải có những nghiên cứu kỹ lưỡng và một tầm nhìn chiến lược. Theo nhiều ý kiến nhận định, PKI có tiềm năng phát triển và ứng dụng rất lớn. Nó sẽ được ứng dụng rộng rãi trong các việc đảm bảo an toàn và an ninh cho các hệ thống thông tin, trong thương mại điện tử, trong các kênh liên lạc an toàn. Nói chung, PKI là cần thiết cho hầu hết các ứng dụng sử dụng phương thức mã hoá bảo mật với khoá công khai.

Với mục tiêu tìm hiểu và nghiên cứu những đặc trưng và các hoạt động cơ bản của hệ thống PKI, trong phạm vi đồ án này, ta sẽ tìm hiểu những khái niệm cơ bản, những cấu trúc dữ liệu đặc trưng, những mô hình hoạt động và những chức năng cơ bản của hệ thống. Trên cơ sở kết quả nghiên cứu, ta sẽ triển khai một hệ thống PKI đơn giản nhằm minh hoạ quá trình hoạt động của hệ thống trong thực tế. Đây cũng là cách để ta hiểu sâu hơn về hệ thống PKI, về những yêu cầu của quá trình triển khai hệ thống và những lợi ích mà hệ thống này có thể mang lại.




QMỤC LỤC

MỤC LỤC 1

CÁC THUẬT NGỮ 5

ĐẶT VẤN ĐỀ 7

1 TỔNG QUAN VỀ PKI 8

1.1. KHÁI QUÁT . 8
1.2. CÁC DỊCH VỤ VÀ PHẠM VI ỨNG DỤNG CỦA PKI 8
1.2.1. Các yêu cầu cơ bản của an toàn an ninh thông tin . 8
1.2.2. Khả năng đáp ứng của các dịch vụ sử dụng PKI 9
1.2.3. Các dịch vụ an toàn an ninh dựa trên hệ thống PKI 9
1.3. CÁC ĐỐI TƯỢNG CƠ BẢN CỦA HỆ THỐNG PKI 10
1.3.1. Chủ thể và các đối tượng sử dụng . 10
1.3.2. Đối tượng quản lý thẻ xác nhận 11
1.3.3. Đối tượng quản lý đăng ký thẻ xác nhận 11
1.4. CÁC HOẠT ĐỘNG CƠ BẢN TRONG HỆ THỐNG PKI . 12
1.4.1. Mô hình tổng quát của hệ thống PKI 12
1.4.2. Thiết lập các thẻ xác nhận . 12
1.4.3. Khởi tạo các EE . 12
1.4.4. Các hoạt động liên quan đến thẻ xác nhận . 13
1.4.4.1. Đăng ký và xác nhận ban đầu 13
1.4.4.2. Cập nhật thông tin về cặp khoá 13
1.4.4.3. Cập nhật thông tin về thẻ xác nhận 13
1.4.4.4. Cập nhật thông tin về cặp khoá của CA 13
1.4.4.5. Yêu cầu xác nhận ngang hàng . 14
1.4.4.6. Cập nhật thẻ xác nhận ngang hàng 14
1.4.5. Phát hành thẻ và danh sách thẻ bị huỷ bỏ 14
1.4.6. Các hoạt động phục hồi . 14
1.4.7. Các hoạt động huỷ bỏ 15
1.5. CẤU TRÚC CỦA CÁC THÔNG ĐIỆP PKI 15
1.5.1. Giới thiệu về nguyên tắc giả mã 15
1.5.2. Cấu trúc tổng quát của thông điệp PKI 16
1.5.3. Trường PKIHeader 17
1.5.4. Trường PKIBody 18
1.5.4.1. Thông điệp yêu cầu khởi tạo 20
1.5.4.2. Thông điệp trả lời yêu cầu khởi tạo . 20
1.5.4.3. Thông điệp yêu cầu đăng ký/yêu cầu thẻ xác nhận . 20
1.5.4.4. Thông điệp trả lời yêu cầu đăng ký/yêu cầu thẻ xác nhận 20
1.5.4.5. Thông điệp yêu cầu cập nhật khoá . 21
1.5.4.6. Thông điệp trả lời yêu cầu cập nhật khoá 21
1.5.4.7. Thông điệp yêu cầu khôi phục khoá 21
1.5.4.8. Thông điệp trả lời yêu cầu khôi phục khoá . 21
1.5.4.9. Thông điệp yêu cầu huỷ bỏ 21
1.5.4.10. Thông điệp trả lời yêu cầu huỷ bỏ . 21
1.5.4.11. Thông điệp yêu cầu thẻ xác nhận ngang hàng . 22
1.5.4.12. Thông điệp trả lời yêu cầu xác nhận ngang hàng 22
1.5.4.13. Thông điệp công bố cập nhật khoá CA . 22
1.5.4.14. Thông điệp công bố thẻ xác nhận 22
1.5.4.15. Thông điệp thông báo huỷ bỏ thẻ xác nhận . 22
1.5.4.16. Thông điệp thông báo CRL 23

Dong Manh Quan Trang 1 23/08/2005



1.5.4.17. Thông điệp xác nhận 23
1.5.4.18. Thông điệp PKI đa mục đích . 23
1.5.4.19. Thông điệp trả lời tổng quát . 23
1.5.4.20. Thông điệp thông báo lỗi . 23

2 NHỮNG VẤN ĐỀ CƠ BẢN TRONG XÂY DỰNG HỆ THỐNG PKI . 24

2.1. CÁC MÔ HÌNH TRIỂN KHAI HỆ THỐNG PKI 24
2.1.1. Kiến trúc phân cấp . 24
2.1.1.1. Những ưu điểm của kiến trúc PKI phân cấp 25
2.1.1.2. Những khuyết điểm của kiến trúc PKI phân cấp . 25
2.1.2. Kiến trúc hệ thống PKI mạng lưới 26
2.1.2.1. Ưu điểm của kiến trúc PKI mạng lưới . 26
2.1.2.2. Nhược điểm của mô hình PKI mạng lưới 27
2.1.3. Kiến trúc danh sách tin cậy . 27
2.1.3.1. Ưu điểm của kiến trúc PKI danh sách tin cậy . 27
2.1.3.2. Nhược điểm của kiến trúc PKI danh sách tin cậy . 28
2.2. NHỮNG CHỨC NĂNG BẮT BUỘC TRONG QUẢN LÝ PKI 29
2.2.1. Khởi tạo CA gốc 29
2.2.2. Cập nhật khoá của CA gốc 29
2.2.3. Khởi tạo các CA thứ cấp . 29
2.2.4. Tạo lập CRL . 29
2.2.5. Yêu cầu về thông tin hệ thống PKI 30
2.2.6. Xác nhận ngang hàng 30
2.2.7. Khởi tạo các EE . 30
2.2.7.1. Thu thập thông tin về hệ thống PKI . 30
2.2.7.2. Kiểm tra khoá công khai của CA gốc 30
2.2.8. Yêu cầu xác nhận . 30
2.2.9. Cập nhật khoá 30

3 THẺ XÁC NHẬN THEO CHUẨN X.509 . 32

3.1. CÁC TRƯỜNG CƠ BẢN CỦA THẺ XÁC NHẬN . 32
3.1.1. Trường tbsCertificate 32
3.1.2. Trường signatureAlgorithm . 32
3.1.3. Trường signatureValue 33
3.2. CẤU TRÚC TBSCERTIFICATE 33
3.2.1. Trường version . 33
3.2.2. Trường serialNumber 33
3.2.3. Trường signature . 34
3.2.4. Trường issuer . 34
3.2.5. Trường validity 35
3.2.6. Trường subject . 35
3.2.7. Trường subjectPublicKeyInfo 35
3.2.8. Trường uniqueIdentifiers . 35
3.2.9. Trường extensions 36
3.3. CÁC PHẦN MỞ RỘNG CỦA THẺ XÁC NHẬN X.509 . 36
3.3.1. Phần mở rộng Authority Key Identifier . 36
3.3.2. Phần mở rộng Subject Key Identifier 36
3.3.3. Phần mở rộng Key Usage 37
3.3.4. Phần mở rộng Private Key Usage Period . 37
3.3.5. Phần mở rộng Certificate Policies 38
3.3.6. Phần mở rộng Policy Mappings 38
3.3.7. Phần mở rộng Subject Alternative Name 39
3.3.8. Phần mở rộng Issuer Alternative Names 40



3.3.9. Phần mở rộng Subject Directory Attributes 40
3.3.10. Phần mở rộng Basic Constraints 40
3.3.11. Phần mở rộng Name Constraints 40
3.3.12. Phần mở rộng Policy Constraints . 41
3.3.13. Phần mở rộng Extended key usage field . 41
3.3.14. Phần mở rộng CRL Distribution Points 42

4 QUÁ TRÌNH XÂY DỰNG HỆ THỐNG 43

4.1. MÔI TRƯỜNG, CÔNG CỤ, MÔ HÌNH, CHỨC NĂNG, DỮ LIỆU . 43
4.1.1. Lựa chọn môi trường và công cụ 43
4.1.1.1. Môi trường phát triển . 43
4.1.1.2. Công cụ phát triển 43
4.1.2. Lựa chọn mô hình hệ thống PKI . 44
4.1.3. Lựa chọn cấu trúc dữ liệu 45
4.1.4. Lựa chọn các chức năng được thực hiện 45
4.2. PHÂN TÍCH THIẾT KẾ CHỨC NĂNG CHI TIẾT . 46
4.2.1. Mô hình thiết lập và quản lý kết nối 46
4.2.1.1. Phân tích yêu cầu . 46
4.2.1.2. Phương thức thực hiện . 47
4.2.2. Sử dụng các dịch vụ bảo mật . 47
4.2.2.1. Giới thiệu về các công cụ an toàn an ninh của hệ điều hành 47
4.2.2.2. Những đánh giá và giải pháp . 48
4.2.2.3. Kết luận 49
4.2.3. Tạo và phân tích các cấu trúc dữ liệu cơ bản . 49
4.2.3.1. Các thẻ xác nhận 49
4.2.3.2. Các thông điệp PKI 50
4.2.4. Các công cụ quản trị hệ thống 50
4.2.4.1. Công cụ quản lý người sử dụng . 50
4.2.4.2. Công cụ tạo và quản lý chính sách 51
4.2.4.3. Công cụ quản lý danh sách thẻ xác nhận . 51
4.2.4.4. Công cụ quản lý các sự kiện đối với hệ thống . 52
4.2.5. Lưu trữ dữ liệu . 52
4.2.5.1. Lưu thông tin quản lý đối tượng sử dụng chương trình 52
4.2.5.2. Lưu thông tin chính sách về thẻ xác nhận . 52
4.2.5.3. Lưu trữ thông tin về thẻ xác nhận 53
4.2.6. Chức năng mã hoá dữ liệu 53
4.2.6.1. Sự cần thiết của chức năng 53
4.2.6.2. Định hướng xây dựng 53
4.2.6.3. Lưu đồ thuật toán thực hiện . 54
4.2.7. Phân tích thiết kế chi tiết các chức năng hệ thống PKI 54
4.2.7.1. Khởi tạo CA . 54
4.2.7.2. Khởi tạo EE 56
4.2.7.3. Cập nhật khoá của CA . 58
4.2.7.4. Yêu cầu và cấp phát thẻ xác nhận . 60
4.2.7.5. Yêu cầu và cấp thẻ xác nhận ngang hàng giữa các CA 61
4.2.7.6. Yêu cầu và trả lời những thông tin về trạng thái của CA 64
4.3. LẬP TRÌNH THỰC THI HỆ THỐNG PKI 65
4.3.1. Cụ thể hoá những yêu cầu của quá trình phân tích thiết kế . 65
4.3.1.1. Các yêu cầu đối với CA . 66
4.3.1.2. Các yêu cầu đối với EE 66
4.3.2. Các lớp đối tượng cơ bản 67
4.3.2.1. Lớp CCertificationAuthority 67
4.3.2.2. Lớp CEndEntity . 67
4.3.2.3. Lớp CPKIMessage . 68
4.3.2.4. Lớp CCertificate . 68


4.3.2.5. Lớp CSessionSocket 68
4.3.2.6. Lớp CListeningSocket . 68
4.3.2.7. Lớp CCryptoTools . 68
4.3.3. Các đối tượng lưu trữ dữ liệu và phương thức quản lý 69
4.3.3.1. Quản lý file lưu trữ account . 69
4.3.3.2. Quản lý file lưu trữ chính sách hệ thống PKI 69
4.3.3.3. Quản lý file lưu trữ thẻ xác nhận . 70

5 KIỂM THỬ VÀ ĐÁNH GIÁ KẾT QUẢ 71

5.1. ĐÁNH GIÁ VỀ NHỮNG KẾT QUẢ NGHIÊN CỨU LÝ THUYẾT 71
5.2. ĐÁNH GIÁ VỀ NHỮNG CHỨC NĂNG ĐÃ XÂY DỰNG 71
5.2.1. Các chức năng đối với thẻ xác nhận . 72
5.2.1.1. Chức năng tạo thẻ xác nhận . 72
5.2.1.2. Chức năng đóng gói và lưu trữ thẻ xác nhận . 73
5.2.1.3. Chức năng quản lý danh sách thẻ xác nhận . 74
5.2.2. Các chức năng quản lý hệ thống PKI . 74
5.2.2.1. Yêu cầu và đáp ứng thẻ xác nhận 74
5.2.2.2. Chức năng yêu cầu và đáp ứng thông tin hệ thống PKI 75
5.2.2.3. Chức năng khởi tạo hệ thống . 75
5.2.2.4. Chức năng yêu cầu và đáp ứng thẻ xác nhận ngang hàng . 75
5.2.3. Các chức năng quản lý kết nối 76
5.2.4. Các công cụ quản lý hệ thống . 76
5.2.4.1. Quản lý người sử dụng hệ thống 76
5.2.4.2. Công cụ thiết lập và quản lý chính sách thẻ xác nhận . 77
5.2.4.3. Công cụ quản lý các sự kiện đối với hệ thống . 77
5.2.4.4. Chức năng mã hoá dữ liệu . 78

TÀI LIỆU THAM KHẢO 79