(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng(Luận văn thạc sĩ) Nghiên cứu, tìm hiểu về hệ thống chứng thực số và ứng dụng
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ LÊ THỊ THU HUYỀN NGHIÊN CỨU, TÌM HIỂU VỀ HỆ THỐNG CHỨNG THỰC SỐ VÀ ỨNG DỤNG LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG TIN Hà Nội – 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ LÊ THỊ THU HUYỀN NGHIÊN CỨU, TÌM HIỂU VỀ HỆ THỐNG CHỨNG THỰC SỐ VÀ ỨNG DỤNG Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số:60480104 LUẬN VĂN THẠC SỸ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC CHÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC PHỤ TS HỒ VĂN HƯƠNG TS NGUYỄN VIẾT THẾ Hà Nội – 2016 LỜI CẢM ƠN Luận văn thực trường Đại học Công Nghệ - Đại Học Quốc gia Hà Nội hướng dẫn TS Nguyễn Viết Thế TS Hồ Văn Hương Em xin gửi lời cảm ơn sâu sắc đến hai thầy định hướng, giúp đỡ, quan tâm tạo điều kiện thuận lợi suốt trình nghiên cứu để hồn thành luận văn Tơi xin gửi lời cảm ơn đến thầy cô Bộ môn Hệ thống thông tin Khoa công nghệ thông tin mang lại cho kiến thức vơ q giá bổ ích q trình học tập trường Tơi xin gửi lời cảm ơn tới gia đình bạn bè ln quan tâm động viên giúp tơi có thêm nghị lực để hồn thành luận văn Cuối xin gửi lời cảm ơn tới bạn học K19, K20, K21 giúp đỡ suốt năm học tập vừa qua Do thời gian kiến thức có hạn nên luận văn khơng tránh khỏi thiếu sót Tơi mong nhận góp ý q báu thầy bạn Xin chân thành cảm ơn! Hà Nội, ngày 25 tháng 10 năm 2016 Học viên Lê Thị Thu Huyền LỜI CAM ĐOAN Tôi xin cam đoan kết đạt luận văn sản phẩm riêng cá nhân hướng dẫn TS Nguyễn Viết Thế TS Hồ Văn Hương không chép Những điều trình bày toàn nội dung luận văn, cá nhân tổng hợp từ nhiều nguồn tài liệu Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Tơi xin hồn tồn chịu trách nhiệm theo quy định cho lời cam đoan Hà Nội, ngày 25 tháng 10 năm 2016 Người cam đoan Lê Thị Thu Huyền MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ MỞ ĐẦU CHƯƠNG I TỔNG QUAN MẬT MÃ HỌC 10 1.1 Mật mã khóa bí mật 11 1.1.1 Giới thiệu mật mã khóa bí mật khái niệm có liên quan 11 1.1.2 Một vài thuật tốn sử dụng mật mã khóa đối xứng 11 1.2 Mật mã khóa cơng khai 12 1.2.1 Khái niệm 12 1.2.2 Các thuật toán sử dụng mật mã khóa cơng khai 14 1.3 Chữ ký số 15 1.3.1 Định nghĩa chữ ký số khái niệm 15 1.3.2 Tạo kiểm tra chữ ký số 16 1.4 Hàm băm 20 1.4.1 Định nghĩa hàm băm 20 1.4.2 Ứng dụng hàm băm 20 1.4.3 Một số hàm băm thông dụng 21 CHƯƠNG II CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI 22 2.1 Lịch sử phát triển PKI 22 2.2 Thực trạng PKI Việt Nam 23 2.3 Các định nghĩa sở hạ tầng khóa cơng khai khái niệm có liên quan 25 2.3.1 Định nghĩa PKI 25 2.3.2 Các khái niệm liên quan PKI 26 2.3.3 Mục tiêu, chức 32 2.3.4 Các khía cạnh an toàn mà PKI cung cấp 34 2.4 Các thành phần PKI 36 Một hệ thống PKI gồm thành phần sau: 36 2.4.1 Certification Authority (CA) – Tổ chức chứng thực 37 2.4.2.Registration Authority (RA) – Tổ chức đăng ký 37 2.4.3 Certificate – Enabled Client: Bên cấp phát chứng thư số 39 2.4.4 Data Recipient: bên nhận liệu 39 2.4.5 Chuỗi chứng thư số hoạt động 39 2.5 Cách thứchoạt động PKI 39 2.5.1 Khởi tạo thực thể cuối 40 2.5.2 Tạo cặp khóa cơng khai/ khóa riêng 40 2.5.3 Áp dụng chữ ký số để định danh người gửi 40 2.5.4 Mã hóa thơng báo 41 2.5.5 Truyền khóa đối xứng 41 2.5.6 Kiểm tra danh tính người gửi thông qua CA 41 2.5.7 Giải mã thông báo kiểm tra nội dung thông báo 41 2.6 Các tiến trình PKI 42 2.6.1 Yêu cầu chứng thư số 42 2.6.2 Hủy bỏ chứng thư số 43 2.7 Kiến trúc hệ thống PKI 43 2.7.1 Mơ hình phân cấp 43 2.7.2 Mơ hình mạng lưới 45 2.7.3 Mơ hình danh sách tin cậy 46 2.7.4 Mơ hình Hub and Spoke 46 2.7.5 Mơ hình CA đơn 47 2.8 Chứng thực chéo (Cross-certification) 48 2.8.1 Tổng quan chứng thực chéo 50 2.8.2 PKI Policy Networking 55 2.9 Ứng dụng PKI 60 CHƯƠNG III ỨNG DỤNG HỆ THỐNG CHỨNG THỰC PKI TRONG GIAO DỊCH ĐIỆN TỬ 61 3.1 Giới thiệu EJBCA 61 3.1.1 PKI – EJBCA 61 3.1.2 Đặc điểm kỹ thuật 61 3.1.3 Kiến trúc EJBCA 62 3.1.4 Chức 62 3.1.5 Đánh giá 63 3.2 Ứng dụng chứng thực chéo dựa EJBCA 63 3.2.1 Mơ hình triển khai 63 3.2.2 Ứng dụng chứng thực chéo EJBCA 64 KẾT LUẬN 71 TÀI LIỆU THAM KHẢO 72 PHỤ LỤC 73 DANH MỤC CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT Từ viết đầy đủ Từ viết tắt CSDL Cơ sở liệu TCP/IP Transmission Control Protocol /Internet Protocol PKI Public Key Infrastructure: Hạ tầng khóa cơng khai CA Certification Authority: Tổ chức chứng thực RA Rigistration Authority: Tổ chức đăng ký EJBCA Enterprise Java Beans Certificate Authority CRL Certificate Revocation List: Danh sách hủy bỏ chứng nhận SHS Secure Hash Standard: Chuẩn băm bảo mật SHA Secure Hash Algorithm: Thuật toán băm bảo mật SSL Secure Sockets Layer VPN Virtual Private Network DN Distinguished Name: Tên phân biệt PKCS PEM Public Key Cryptography Standard: Chuẩn mật mã khóa cơng khai Privacy-enhanced Electronic Mail: Thư điện tử bảo mật CPS Certification Pratice Statement DNS Domain Name System: Hệ thống tên miền DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ Hình 1.1 Mật mã khóa bí mật Hình 1.2 Mật mã khóa cơng khai Hình 1.3: Tạo kiểm tra chữ ký Hình 2.1 Ví dụ chứng thư số Hình 2.2 Cấu trúc chung chứng X.509 v3 Hình 2.3 Các thành phần hệ thống PKI Hình 2.4 Q trình xác thực dựa CA Hình 2.5 Mơ hình phân cấp Hình 2.6 Mơ hình mạng lưới Hình 2.7 Mơ hình Hub and Spoke (Bridge CA) Hình 2.8 Mơ hình CA đơn Hình 2.9 Sơ đồ hệ thống chứng thực điện tử Việt Nam Hình 2.10 : Chứng thực chéo phân cấp root CA (tự trị) CA cấp phụ thuộc Hình 2.11 Chứng thực chéo ngang hàng Hình 2.12 Hình minh họa Hình 2.13 Hình minh họa Hình 2.14 Ràng buộc đường dẫn CA ngang hàng chứng thực chéo Hình 2.15 Ràng buộc đường dẫn CA phân cấp chứng thực chéo Hình 2.16 Ràng buộc tên chứng thực chéo Hình 2.17 Ràng bc sách chứng thực chéo Hình 3.1 Kiến trúc EJBCA Hình 3.2 Mơ hình triển khai Hình 3.3 Trang quản trị EJBCA Hình 3.4 Tạo RootCA Hình 3.5 Điền thơng tin cho RootCA Hình 3.6 Thông tin đầy đủ RootCA tạo Hình 3.7 Download PEM file RootCA Hình 3.8 Chứng thư số RootCA Hình 3.9 Tạo người dùng End Entity Hình 3.10 Điền đầy đủ thơng tin cho User Hình 3.11 Add lại thơng tin User Hình 3.12 Các User gửi request để thực xác thực chéo Hình 3.13 Xác thực chéo thành cơng cho User1 Hình 3.14 Xác thực chéo thành cơng cho User2 MỞ ĐẦU Ngày nay, với phát triển mạnh mẽ Internet mạng máy tính giúp cho việc trao đổi thông tin trở nên nhanh gọn, dễ dàng Email cho phép việc nhận gửi thư thiết bị có kết nối Internet, E-business cho phép thực giao dịch buôn bán mạng,…Tuy nhiên, thông tin quan trọng nằm kho liệu hay đường truyền bị trộm cắp, bị làm sai lệch, bị giả mạo gây ảnh hưởng lớn tới tổ chức, công ty hay quốc gia Đặc biệt, giao dịch điện tử có nguy xảy an tồn dẫn đến hậu tiềm ẩn lớn Do vậy, để bảo mật thơng tin truyền Internet xu hướng mã hóa sử dụng thường xuyên Trước truyền qua Intenet, thơng tin phải mã hóa, kẻ trộm có chặn thơng tin q trình truyền khơng thể đọc nội dung thơng tin mã hóa Khi tới đích, thơng tin người nhận giải mã Trước phát triển mạnh mẽ công nghệ thông tin nhu cầu cho phiên giao dịch trao đổi thông tin điện tử cần bảo mật ngày tăng nên sinh vấn đề an tồn sau: bảo mật, tính tồn vẹn, xác thực, không chối bỏ Để giải vấn đề này, luận văn nghiên cứu sở hạ tầng khóa cơng khai (PKI) Đặc biệt, nghiên cứu giải pháp chứng thực chéo xây dựng ứng dụng sử dụng giải pháp chứng thực chéo để giải vấn đề thực liên kết, phối hợp hệ thống PKI độc lập với nhằm tạo mối quan hệ tin tưởng PKI điển hình triển khai Chính phủ điện tử dịch vụ cơng trực tuyến Nội dung luận văn chia thành chương, kết luận tài liệu tham khảo: Chương 1: Tổng quan mật mã Chương tập trung tìm hiểu mật mã học, hai loại mật mã thường sử dụng mật mã khóa bí mật mật mã khóa cơng khai, chữ ký số hàm băm Hệ mã hóa, chữ ký số hàm băm tảng để xây dựng hệ thống PKI nêu chương Chương 2: Cơ sở hạ tầng khóa cơng khai Chương tìm hiểu sở hạ tầng khóa cơng khai, thực trạng việc sử dụng hệ thống PKI, thành phần hệ thống PKI, kiến trúc trung tâm chứng thực CA, hoạt động hệ thống PKI, chứng thư số chứng thực chéo để xác thực mối quan hệ PKI 61 CHƯƠNG III ỨNG DỤNG HỆ THỐNG CHỨNG THỰC PKI TRONG GIAO DỊCH ĐIỆN TỬ 3.1 Giới thiệu EJBCA Phần mềm mã nguồn mở EJBCA gói phần mềm cho phép triển khai hệ thống PKI hoàn chỉnh đầy đủ chức Nhằm tận dụng tính chất ưu việt gói phần mềm kiểm sốt q trình phát triển độ an toàn hệ thống, luận văn tiến hành cài đặt triển khai thử nghiệm hệ thống chứng thực chéo theo kiến trúc PKI đơn giản, sử dụng thực tế [7] 3.1.1 PKI – EJBCA EJBCA sản phẩm mã nguồn mở hãng Primekey Đây CA xây dựng công nghệ Java J2EE, nhờ hiệu suất hoạt động khả tùy biến CA tương đối cao so với hệ thống mã nguồn mở khác Bên cạnh đó, EJBCA cịn cung cấp tính thành phần (OCSP, RA Service, Publisher,…) giúp cấu thành hệ thống PKI tương đối đầy đủ hoàn thiện [7], [14] 3.1.2 Đặc điểm kỹ thuật Được xây dựng dựa Java, EJBCA thực tảng độc lập, chạy toàn phần cứng phổ biến hệ điều hành thông dụng Window, Linux Để hoạt động, EJBCA cần chạy tảng máy chủ ứng dụng (Application Server) hệ thống Cơ sở dư liệu định Về mặt này, EJBCA hỗ trợ hầu hết tảng App Server phổ biến như: JBOSS – Oracle Weblogic – IBM Web Sphere… hệ sở liệu từ miễn phí đến trả phí: MySQL, Oracle, IBM DB2, MS SQL,… Bên cạnh đó, EJBCA cịn có số điểm đặc trưng sau: - Cung cấp khả xây dựng CA theo nhiều mức, không giới hạn số lượng CA; - Hỗ trợ thuật tốn RSA với độ dài khóa lên tới 4096 bits; - Hỗ trợ thuật toán DSA với độ dài khóa lên tới 1024 bits; - Hỗ trợ hàm băm MD5, SHA-1, SHA-256; - Chứng thư phát hành tuân thủ nghiêm ngặt chuẩn X509 62 3.1.3 Kiến trúc EJBCA Hình 3.1 Kiến trúc EJBCA EJBCA xây dựng với kiến trúc phân tầng, cụ thể sau: - Data Tier – tầng liệu: Tầng liệu lưu trữ chứng nhận, CRL thực thể cuối - Thành phần CA: Thành phần có chức tạo CA gốc, CA con, chứng nhận, CRL giao tiếp với kho chứa LDAP để lưu trữ thông tin chứng nhận - Thành phần RA: Thành phần có chức tạo, xóa hủy bỏ người dùng - Tầng Web Tier: Đây giao diện (điển hình giao diện người – máy đồ họa) để trình khách tương tác với hệ thống EJBCA, đồng thời quy định cấp độ phạm vi truy cập thông tin khác cho thực thể cuối - Trình khách: Trình khách thực thể cuối hay người sử dụng trình khách thư điện tử, máy chủ web, trình duyệt web hay cổng VPN 3.1.4 Chức EJBCA tổ chức chứng nhận phổ biến sử dụng, CA ưa thích Các đặc trưng CA bao gồm lựa chọn thuật toán ta cần tùy chọn thuật tốn SHA1 hay SHA256 với RSA với kích thước khóa khác 1024, 2048, 4096 63 EJBCA cung cấp số tính bật lựa chọn ngơn ngữ q trình cấu hình hệ thống Ngồi ta chọn loại publisher muốn LDAP, thư mục động (AD – Active Directory) hay thiết kế publisher tự làm 3.1.5 Đánh giá Ngồi EJBCA cịn có sản phẩm khác triển khai hệ thống PKI hồn chỉnh OpenCA Windows 2003 Server CA Do Windows 2003 Server CA sản phẩm mã nguồn mở, tự phát triển kiểm soát q trình phát triển độ an tồn nên khơng quan tâm tìm hiểu EJBCA OpenCA dự án PKI mã nguồn mở mạnh có nhiều phát triển thực phần mềm EJBCA CA hệ thống quản lý PKI hoàn chỉnh, giải pháp PKI mạnh, độc lập môi trường, hiệu suất cao, mở rộng dựa thành phần Ngoài ra, EJBCA linh hoạt việc cung cấp cách thức hoạt động tùy chọn CA độc lập tích hợp hồn tồn ứng dụng thương mại Hơn nữa, việc cấu hình hệ thống EJBCA phức tạp OpenCA nhiều hệ thống EJBCA vào hoạt động lại mang đến nhiều tiện lợi đơn giản cho người sử dụng việc phát sinh quản lý chứng nhận Ngoài ra, khác với OpenCA, việc cập nhật CRL EJBCA hoàn toàn tự động Ngoài ra, EJBCA phát triển cung cấp PrimeKey, công ty PKI mã nguồn mở đứng đầu giới nên việc sử dụng EJBCA ta thưa hưởng từ lực phát triển công ty hồn tồn n tâm tính an tồn ln có mã nguồn 3.2 Ứng dụng chứng thực chéo dựa EJBCA 3.2.1 Mơ hình triển khai Triển khai cài đặt EJBCA máy khác nhằm tạo hai hệ thống PKI khác nhau: hệ thống PKI Chính phủ hệ thống PKI cơng cộng hình 3.2 Triển khai chứng thực chéo hai hệ thống PKI cách: hệ thống khởi tạo RootCA khởi tạo thực thể cuối sau tiến hành xác thực chéo lẫn 64 Hình 3.2 Mơ hình triển khai 3.2.2 Ứng dụng chứng thực chéo EJBCA Triển khai chứng thực chéo ngang hàng phần mềm nguồn mở EJBCA Vào trang quản trị EJBCA Hình 3.3 Trang quản trị EJBCA Tạo hai RootCA RootCA1 RootCA2 Trên trang quản trị chọn Certification Authorities để tạo các RootCA: 65 Hình 3.4 Tạo RootCA Tạo RootCA1 RootCA2 cách Add CA Hình 3.5 Điền thông tin cho RootCA Điền thông tin RootCA1 RootCA2 (chọn thuật toán ký, Subject DN, số ngày hết hạn chứng chỉ) Create ta tạo RootCA 66 Hình 3.6 Thông tin đầy đủ RootCA tạo Hình 3.7 Download PEM file RootCA Download PEM file RootCA1 (tương tự RootCA2), sau nhập chứng RootCA1.cacert.pem (RootCA2 cacert.pem) vào Trusted Root Certification Authorities hệ quản lý chứng windows cách chạy Run certmgr.msc chọn Action All Tasks Import thực bước để Import file “.pem” để tao chứng RootCA1 (RootCA2) (Các RootCA tự ký) 67 Hình 3.8 Chứng thư số RootCA Tiếp theo, tạo thực thể cuối cho RootCA Chọn End Entity Profiles sau add thực thể 68 Hình 3.9 Tạo người dùng End Entity Đối với RootCA1 ta Add Profile User1_Profile Đối với RootCA2 ta Add Profile User2_Profile Sau đó, chọn Edit End Entity Profile để cập nhật thông tin User1_Profile User2_Profile (User name, Password, thêm Subject DN Attributes, chứng thực RootCA1 User1_Profile, RootCA2 User2_Profile ….), chọn Save để lưu thơng tin Hình 3.10 Điền đầy đủ thơng tin cho User Sau Add lại thơng tin End Entity 69 Hình 3.11 Add lại thông tin User Tiến hành chứng thực chéo cách: User1 gửi request đến RootCA2 User2 gửi request đến RootCA1 để xác thực Hình 3.12 Các User gửi request để thực xác thực chéo Xác thực chéo thành cơng: 70 Hình 3.13 Xác thực chéo thành cơng cho User1 Hình 3.14 Xác thực chéo thành cơng cho User2 Kết chương: Nội dung chương xây dựng ứng dụng PKI sử dụng giải pháp chứng thực chéo dựa phần mềm mã nguồn EJBCA 71 KẾT LUẬN Kết đạt được: Trong thời gian tìm hiểu, xây dựng ứng dụng, luận văn hoàn thành nhiệm vụ đặt ra, cụ thể là: Về mặt lý thuyết: Luận văn nghiên cứu tìm hiểu hệ thống chứng thực điện tử gồm: - Cơ sở lý thuyết mật mã khóa bí mật, mật mã khóa cơng khai, chữ ký số hàm băm làm sở cho việc tìm hiểu hạ tầng khóa cơng khai PKI - Hạ tầng khóa cơng khai PKI tìm hiểu vềkhái niệm PKI, thành phần cách thức hoạt động, chức PKI, mô hình kiến trúc PKI - Thực trạng ứng dụng PKI Việt nam - Luận văn sâu vào nghiên cứu tìm hiểu chứng thực chéo PKI để giải toán xây dựng chế tin cậy lẫn hệ thống chứng thực điện tử khác - Các ứng dụng PKI Về ứng dụng: Kết triển khai chứng thực chéo hệ thống phần mềm nguồn mở EJBCA Hướng phát triển: Ứng dụng phát triển để xây dựng chứng thực chéo hệ thống chứng thực điện tử Việt Nam để giải vấn đề chứng thực hệ thống chứng thực khác mà cần liên thông với làm sở để xây dựng Chính phủ điện tử Em xin chân thành cảm ơn! 72 TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt [1] Trịnh Nhật Tiến, ”An tồn liệu ” Đại học Cơng Nghệ- ĐHQGHN [2] Bùi Dỗn Khanh, Nguyễn Đình Thúc (2004), Giáo trình mã hóa thơng tin – Lý thuyết ứng dụng, NXB LĐXH [3] Hồ Văn Hương, Đào Thị Ngọc Thùy, Cơ sở hạ tầng khóa cơng khai sinh trắc BioPKI, tạp chí An tồn thơng tin, 2009 [4] Hồ Văn Hương, Đào Thị Ngọc Thùy, Một số ứng dụng sở hạ tầng khóa cơng khai sinh trắc, tạp chí An tồn thơng tin, 2010 [5] Hồ Văn Hương, Hoàng Chiến Thắng, Ký số xác thực tảng Web, tạp chí An tồn thơng tin, 2013 [6] Lê Quang Tùng, Giải pháp liên thông hệ thống chứng thực điện tử Việ Nam, tạp chí An tồn thơng tin, 2015 Tài liệu tiếng Anh [7] A.I Ghori, A Parveen (2006), “PKI Administration Using EJBCA and OpenCA”, George Mason University [8] Andrew Nash, William Duane, Celia Joseph and Derek Brink (2001), "PKI: Implementing and Managing E-security", RSA Press [9] Carlisle Adams, Steve Lloyd, (November 06, 2002), “Understanding PKI: Concepts, Standards, and Deployment Considerations, Second Edition” [10] IETF Public-Key Infrastructure X.509 (PKIX) Working Group [11] Jim Turnbull (2000), Cross-Certification and PKI Policy Networking [12] Suranjan Choudhury, Kartik Bhatnagar, and Wasim Haque (2001), "Public Key Infrastructure Implementation and Design", M&T Books [13] Z Guo, T Okuyama, M.R Finley Jr (2005), “A New Trust Model for PKI Interoperability” [14] http://www.ejbca.org 73 PHỤ LỤC Cài đặt ứng dụng EJBCA môi trường Windows Triển khai EJBCA môi trường Windows Các bước triển khai EJBCA môi trường Windows 7/10, sử dụng hệquản trị sở liệu MySQL sau: Bước 1: Cài đặt Java Tải phiên JDK cài đặt, phiên JDK update 79 địa chỉ: https://www.sun.com/ Sử dụng thư mục cài đặt mặc định là: C:\Program Files\Java Kiểm tra cài đặt thành công cách mở cmd gõ lệnh: java –version Bước 2: Thay JCE Policy Tải Unlimited Strength Jurisdiction Policy Files for JDK địa chỉ: https://www.sun.com/ Giải nén chép đè vào thư mục C:\Program Files\Java\jre7\lib\security thư mục C:\Program Files\Java \jdk1.7.0_79\jre\lib\security Bước 3: Cài đặt Ant Tải apache-ant-1.8.2-bin.zip địa chỉ: http://ant.apache.org/bindownload.cgi Giải nén vào ổ C:\ Kiểm tra cài đặt thành công cách mở cmd gõ lệnh: ant –version Bước 4: Cài đặt Jboss Tải jboss-as-7.1.1.Final trang địa chỉ: http://www.jboss.org/ Giải nén vào ổ C:\ Bước 5: Cài đặt MySQL Tải cài đặt mysql-5.5.44 địa chỉ: http://mysql.com/ Cài đặt MySQL với cấu hình mặc định chạy cài đặt Tạo sở liệu có tên ejbca phân toàn quyền quản trị ejbca cho tài khoản người dùng, sử dụng tài khoản root MySQL Bước 6: Cài đặt MySQL Connector/J 5.1 (JDBC Driver) Tải phiên MySQL Connector cho Java địa chỉ: http://mysql.com/ Tập tin tải có tên: mysql-connector-java-5.1.18-bin Sao chép tập tin vào thư mục: C:\jboss-as7.1.1.Final\modules\com\mysql\main Bước 7: Cài đặt biến môi trường JAVA_HOME = C:\Program Files\Java\jdk1.7.0_79 JBOSS_HOME = C:\jboss-as-7.1.1.Final ANT_HOME = C:\apache-ant-1.8.2 74 ANT_OPTS = -Xmx640m PATH = %JAVA_HOME%/BIN;%JBOSS_HOME%/BIN;%ANT_HOME%/bin; CLASSPATH= %JAVA_HOME%/lib/dt.jar;%JAVA_HOME%/lib/tools.jar;%JAVA_HOME%/lib; Bước 8: Cài đặt EJBCA Tải EJBCA phiên ejbca_ce_6_3_1_1 địa chỉ: https://www.ejbca.org/ Giải nén tập tin vào ổ C:\ Vào thư mục C:\ejbca_ce_6_3_1_1\conf, mở tập tin ejbca.properties.sample, chỉnh sửa tham số sau: appserver.home=C:/jboss-as-7.1.1.Final appserver.type=jboss ejbca.productionmode=true ejbca.cli.defaultusername=ejbca ejbca.cli.defaultpassword=ejbca Sau lưu tập tin thành ejbca.properties Vào thư mục C:\ejbca_ce_6_3_1_1\conf, mở tập tin database.properties.sample, chỉnh sửa tham số sau: datasource.jndi-name=EjbcaDS database.name=mysql database.url=jdbc:mysql://127.0.0.1:3306/ejbca?characterEncoding=UT F-8 database.driver=com.mysql.jdbc.Driver database.username= database.password= Sau lưu tập tin thành database.properties Vào thư mục C:\ejbca_ce_6_3_1_1\conf, mở tập tin web.properties.sample, lưu tập tin thành web.properties Chú ý: ý nghĩa tham số giải thích tập tin properties Bước 9: Triển khai hệ thống Mở Windows cmd quyền quản trị, chuyển vào thư mục C:\jboss-as7.1.1.Final\bin khởi động Jboss server (gõ câu lệnh standalone.bat) Mở Windows cmd thứ quyền quản trị, chuyển vào thư mục C:\ejbca_ce_6_3_1_1, sau thực câu lệnh sau: ant deploy (biên dịch mã nguồn ejbca triển khai vào server ứng dụng) 75 ant install (cài đặt ejbca) Chuyển sang cửa sổ cmd Jboss, jboss hoàn thành thực thi lệnh triển khai ejbca khởi động lại Jboss server (Ctrl + C, sau gõ standalone.bat) Vào thư mục C:\ejbca_ce_6_3_1_1\p12, nhập tập tin superadmin.p12 vào phần quản lý chưng trình duyệt web Bật trình duyệt web, vào địa chỉ: https://server:8443/ejbca (server địa máy chủ dùng để cài ejbca) ... sách chứng thư số sử dụng để xác thực thực thể [9] Chuỗi chứng thư số bắt đầu với chứng thư số thực thể đó, chứng thư số chuỗi ký thực thể xác định chứng thư số chuỗi Chứng thư số kết thúc chứng. .. cấp chứng thư số đảm bảo tính hợp lệ chứng thư số thơng qua chữ ký số Nếu chữ ký hợp lệ người dùng sử dụng chứng thư số Hình 2.1 Ví dụ chứng thư số Hiện nay, chứng thư số X.509 chứng thư số sử... chứng thư số Clients: Người sử dụng cuối hệ thống chủ thể chứng thư số PKI Repositories: Hệ thống lưu trữ chứng thư số danh sách chứng thư số bị thu hồi Cung cấp chế phân phối chứng thư số