Luận Văn Nghiên cứu xây dựng hệ thống PKI dựa trên bộ phần mềm mã nguồn mở OpenCA

MỤC LỤC

MỤC LỤC 2
DANH MỤC CÁC TỪ VIẾT TẮT. 5
DANH MỤC HÌNH VẼ 8
LỜI NÓI ĐẦU 8
CHƯƠNG I: CƠ SỞ MẬT MÃ HỌC 10
1.1.Mật mã khoá bí mật 11
1.1.1.Giới thiệu về mật mã khoá bí mật và các khái niệm có liên quan. 11
1.1.2.Một vài các thuật toán sử dụng trong mật mã khoá đối xứng. 11
1.1.2.1.DES. 11
1.1.2.2.IDEA 11
1.1.2.3. Triple DES. 12
1.1.2.4.CAST-128. 12
1.1.2.5.AES. 12
1.2.Mật mã khoá công khai 13
1.2.1.Khái niệm 13
1.2.2. Các thuật toán sử dụng trong mật mã khoá công khai 14
1.2.2.1. RSA 14
1.2.2.2.Phương thức trao đổi khoá Diffie Hellman. 15
1.3. Chữ ký số. 15
1.3.1.Quá trình ký. 15
1.3.2.Quá trình kiểm tra chữ ký số. 16
1.4. Hàm hash. 17
1.4.1.Khái niệm hàm hash. 17
1.4.2. Tóm lược thông báo. 17
CHƯƠNG II: TỔNG QUAN VỀ PKI VÀ CA 18
2.1. Lịch sử phát triển PKI. 18
2.2.Tình hình PKI tại Việt Nam 19
2.3. Các định nghĩa về PKI và các khái niệm có liên quan. 21
2.3.1. Các định nghĩa về PKI. 21
2.3.2. Các khái niệm liên quan trong PKI. 22
2.3.2.1.Chứng chỉ 22
2.3.2.2.Kho chứng chỉ 24
2.3.2.3.Hủy bỏ chứng chỉ 24
2.3.2.4. Sao lưu và dự phòng khóa. 25
2.3.2.5.Cập nhật khóa tự động. 25
2.3.2.6.Lịch sử khóa. 26
2.3.2.7.Chứng thực chéo. 26
2.3.2.8.Hỗ trợ chống chối bỏ. 27
2.3.2.9.Tem thời gian. 27
2.3.2.10.Phần mềm phía Client 27
2.4. Mục tiêu, chức năng. 28
2.4.1. Xác thực. 28
2.4.1.1.Định danh thực thể. 28
2.4.1.1.1.Xác thực cục bộ. 29
2.4.1.1.2.Xác thực từ xa. 29
2.4.1.2. Định danh nguồn gốc dữ liệu. 29
2.4.2. Bí mật 29
2.4.3.Toàn vẹn dữ liệu. 30
2.4.3.1.Chữ ký số. 30
2.4.3.2. Mã xác thực thông báo. 30
2.4.4.Chống chối bỏ. 30
2.5. Các khía cạnh an toàn cơ bản mà PKI cung cấp. 31
2.5.1. Đăng nhập an toàn. 31
2.5.2. Đăng nhập một lần an toàn. 31
2.5.3. Trong suốt với người dùng cuối 32
2.5.4. An ninh toàn diện. 33
CHƯƠNG IIII: CÁC THÀNH PHẦN, CƠ CHẾ LÀM VIỆC CỦA PKI. CÁC MÔ HÌNH VÀ CÁC KIỂU KIẾN TRÚC CỦA PKI. 33
3.1. Mô hình PKI và các thành phần của PKI. 33
3.1.1. CA 34
3.1.2.RA 34
3.1.2.1.Chức năng, nhiệm vụ của RA 34
3.1.2.2.Thành phần của RA 35
3.1.2.2.1.RA Console. 35
3.1.2.2.2.RA Officer 35
3.1.2.2.3.RA Manager 35
3.1.3. Certificate-Enabled Client: Bên được cấp phát chứng chỉ 36
3.1.4. Data Recipient : Bên nhận dữ liệu. 36
3.1.5. Kho lưu trữ/thu hồi chứng chỉ 36
3.1.6.Chuỗi chứng chỉ hoạt động như thế nào. 37
3.2. Cách thức làm việc của PKI. 37
3.2.1. Khởi tạo thực thể cuối 38
3.2.2. Tạo cặp khoá công khai/khoá riêng. 38
3.2.3. Áp dụng chữ ký số để định danh người gửi. 39
3.2.4. Mã hóa thông báo. 39
3.2.5. Truyền khóa đối xứng. 39
3.2.6. Kiểm tra danh tính người gửi thông qua một CA 40
3.2.7. Giải mã thông báo và kiểm tra nội dung thông báo. 40
3.3. Các tiến trình trong PKI. 41
3.3.1. Yêu cầu chứng chỉ 41
3.3.1.1. Gửi yêu cầu. 41
3.3.1.2. Các chính sách. 41
3.3.2. Huỷ bỏ chứng chỉ 42
3.4. Các mô hình PKI. 42
3.4.1. Mô hình phân cấp CA chặt chẽ (strict hierarchy of CAs) 42
3.4.2.Mô hình phân cấp CA không chặt chẽ (loose hierarchy of CAs) 43
3.4.3.Mô hình kiến trúc tin cậy phân tán (distributed trust architecture) 44
3.4.4. Mô hình 4 bên (four-corner model) 45
3.4.5. Mô hình Web (web model) 46
3.4.6.Mô hình tin cậy lấy người dùng làm trung tâm (user-centric trust) 47
3.5.Các kiểu kiến trúc PKI. 48
3.5.1. Kiến trúc kiểu Web of Trust 49
3.5.2.Kiến trúc kiểu CA đơn (Single CA) 50
3.5.3. Kiến trúc CA phân cấp. 52
3.5.4. Kiến trúc kiểu chứng thực chéo (Cross-certificate) 52
3.5.5. Kiến trúc Bridge CA(BCA) 53
CHƯƠNG IV: XÂY DỰNG MÔ HÌNH PKI DỰA TRÊN MÃ NGUỒN MỞ OPENCA 54
4.1.Lịch sử phát triển OpenCA 54
4.2. CA 55
4.2.1.Chức năng của CA 56
4.2.1.1. Cấp phát chứng chỉ 56
4.2.1.2.Huỷ bỏ chứng chỉ 56
4.2.1.3.Tạo lập chính sách chứng chỉ 57
4.2.1.4.Hướng dẫn thực hiện chứng chỉ số (Certification Practice Statement) 57
4.2.2.Nhiệm vụ của CA 57
4.2.3. Các loại CA 57
4.2.3.1.Enterprise CA: 57
4.2.3.2.Standalone CA 58
4.2.4.Các cấp CA 58
4.2.4.1.Root CA(CA gốc) 58
4.2.4.2.Subordinate CA(CA phụ thuộc): 58
4.3. Thiết kế chung của CA 59
4.3.1.Phân cấp cơ bản. 60
4.3.2.Các giao diện. 61
4.3.2.1.Node. 62
4.3.2.2.CA 63
4.3.2.3.RA 63
4.3.2.4. LDAP 63
4.3.2.5.Pub. 63
4.4. Vòng đời của các đối tượng. 64
4.5. Các lưu ý khi thiết kế PKI. 65
4.5.1. Các vấn đề phần cứng. 65
4.5.1.1.Thời gian. 65
4.5.1.2.Đĩa lỗi 66
4.5.1.3.Theo dõi phần cứng. 66
4.5.2.An toàn vật lý. 66
4.5.3.Các vấn đề về mạng. 67
4.5.4.Vấn đề về chứng chỉ 67
4.5.5.CDPs (Các điểm phân phối danh sách huỷ bỏ chứng chỉ (CDP)) 68
4.5.6.Các vấn đề cụ thể về ứng dụng. 68
4.5.6.1.Mail Server. 68
4.5.6.2. Client Netscape. 69
4.5.6.3.OpenLDAP 69
PHỤ LỤC 69
1.Môi trường phát triển. 69
1.1.Apache. 69
1.2. OpenSSL 70
1.2.1.Công cụ dòng lệnh trong openssl 71
1.2.1.1.Các dòng lệnh chuẩn. 71
1.2.1.2.Các dòng lệnh tóm lược thông báo. 72
1.2.1.3. Các dòng lệnh về mã hoá. 72
1.2.2.Thư viện SSL/TLS trong OpenSL 73
1.2.2.1.Miêu tả. 73
1.2.2.2. Cấu trúc dữ liệu. 73
1.2.2.3. Các file header 74
1.2.3. Thư viện mật mã trong OpenSSL 74
1.2.3.1. Miêu tả. 74
1.2.3.2.Tổng quan. 74
1.2.4. Bộ công cụ OpenSSL 74
1.3.1.Các điểm nổi bật 76
1.3.2.Kiến trúc gói mod_ssl 76
1.3.3.Giao thức SSL 77
1.4. OpenLDAP. 78
1.5. Các module perl 81
2.Các chuẩn mật mã. 82

LỜI NÓI ĐẦU

Trong một vài năm lại đây, hạ tầng truyền thông công nghệ thông tin càng ngày càng được mở rộng khi mà người sử dụng dựa trên nền tảng này để truyền thông và giao dịch với các đồng nghiệp, các đối tác kinh doanh cũng như việc khách hàng dùng email trên các mạng công cộng. Hầu hết các thông tin kinh doanh nhạy cảm và quan trọng được lưu trữ và trao đổi dưới hình thức điện tử. Sự thay đổi trong các hoạt động truyền thông doanh nghiệp này đồng nghĩa với việc chúng ta phải có biện pháp bảo vệ tổ chức, doanh nghiệp của mình trước các nguy cơ lừa đảo, can thiệp, tấn công, phá hoại hoặc vô tình tiết lộ các thông tin đó.
Cấu trúc cơ sở hạ tầng mã hóa khoá công khai cùng các tiêu chuẩn và các công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc lập có thể được sử dụng để giải quyết vấn đề này.
PKI đang trở thành một phần trung tâm của các kiến trúc an toàn dành cho các tổ chức kinh doanh. PKI được xem là một điểm trọng tâm trong nhiều khía cạnh quản lý an toàn. Hầu hết các giao thức chuẩn đảm bảo an toàn mail, truy cập Web, mạng riêng ảo và hệ thống xác thực người dùng đăng nhập đơn đều sử dụng chứng chỉ khóa công khai
PKI bản chất là một hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các chứng thực điện tử cũng như các mã khoá công khai và cá nhân. Sáng kiến PKI ra đời năm 1995, khi mà các tổ chức công nghiệp và các chính phủ xây dựng các tiêu chuẩn chung dựa trên phương pháp mã hoá để hỗ trợ một hạ tầng bảo mật trên mạng Internet. Tại thời điểm đó, mục tiêu được đặt ra là xây dựng một bộ tiêu chuẩn bảo mật tổng hợp cùng các công cụ và lý thuyết cho phép người sử dụng cũng như các tổ chức (doanh nghiệp hoặc phi lợi nhuận) có thể tạo lập, lưu trữ và trao đổi các thông tin một cách an toàn trong phạm vi cá nhân và công cộng.
PKI ngày càng thể hiện rõ vai trò của mình trong lĩnh vực an toàn thông tin. Hiện nay, có rất nhiều cách thức xây dựng PKI . Một trong những cách thức xây dựng PKI đó là dựa trên mã nguồn mở OpenCA
Đề tài “Nghiên cứu xây dựng hệ thống PKI dựa trên mã nguồn mở OpenCA” được thực hiện với mục đích tìm hiểu, nghiên cứu và xây dựng PKI dựa trên mã nguồn mở OpenCA. Nội dung đề tài bao gồm các khái niệm tổng quan về mật mã, các khái niệm liên quan tới PKI , các mô hình và các kiểu kiến trúc của PKI. Về phần OpenCA, đề tài nêu lên được đặc điểm, chức năng của các phần mềm mã mở để xây dựng nên OpenCA như Apache, OpenSSL, mod_ssl , perl và các module perl
Với giới hạn về các vấn đề tìm hiểu và nghiên cứu, nội dung tìm hiểu đề tài của em bao gồm phần
Chương I: Cơ sở mật mã khoá công khai và khoá bí mật
Chương I trình bày về mật mã khoá bí mật và mật mã khoá công khai cùng các thuật toán được sử dụng trong mật mã. Chương I cũng nêu ra khái niệm về chữ ký số, hàm băm và bản tóm lược thông báo

Chương II: Tổng quan về PKI
Chương này trình bày về các khái niệm của PKI và các khái niệm có liên quan tới PKI. Chương này nêu lên mục tiêu, chức năng cơ bản của PKI, những khía cạnh an toàn mà PKI cung cấp. Mục đích của chương này là thể hiện cái nhìn tổng quan nhất về PKI

Chương III: Các thành phần và cách thức làm việc của PKI, các mô hình và các kiểu kiến trúc của PKI. Chương II đã nêu lên những cái nhìn tổng quan nhất về PKI, còn chương III khai thác sâu hơn về các khía cạnh kỹ thuật được sử dụng trong PKI, cách thức làm việc của PKI và các kiểu kiến trúc, các mô hình của PKI

Chương IV: Xây dựng mô hình PKI dựa trên mã nguồn mở OpenCA
Chương này trình bày chi tiết về CA: Bao gồm chức năng, nhiệm vụ, các loại CA . Chương này trình bày thiết kế chung CA và lưu ý khi xây dựng PKI dựa trên nguồn mở OpenCA