1. Trang chủ
  2. » Tất cả

Mô hình hạ tầng khóa công khai và chứng thư x 509

33 0 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 33
Dung lượng 660,93 KB

Nội dung

1  BÁO CÁO AN NINH MẠNG THÔNG TIN HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I MÔ HÌNH HẠ TẦNG KHÓA CÔNG KHAI VÀ CHỨNG THƯ X 509 BÁO CÁO AN NINH MẠNG THÔNG TIN 1 | P a g e BẢNG PHÂN[.]

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG I - - BÁO CÁO AN NINH MẠNG THƠNG TIN MƠ HÌNH HẠ TẦNG KHĨA CƠNG KHAI VÀ CHỨNG THƯ X.509 BÁO CÁO AN NINH MẠNG THƠNG TIN BẢNG PHÂN CƠNG CƠNG VIỆC NHĨM STT Mã sinh viên Họ tên sinh viên Nội dung Cơng việc chung CHƯƠNG 1: HẠ TẦNG MÃ HĨA CƠNG KHAI 1.1 Khái niệm hạ tầng mã hóa cơng khai PKI 1.2 Ứng dụng PKI 1.3 Vai trò PKI thương mại điện tử 1.4 Các thành phần PKI Viết lời nói đầu, thống định dạng word CHƯƠNG 1: HẠ TẦNG MÃ HĨA CƠNG KHAI 1.5 Chức PKI 1.6 Mơ hình PKI Làm mục lục, danh mục thuật ngữ viết tắt, danh mục hình ảnh CHƯƠNG 2: CHỨNG CHỈ SỐ X.509 SỬ DỤNG TRONG PKI 2.1 Giới thiệu chứng số 2.2 Chứng khóa cơng khai X.509 2.3 Thu hồi chứng 2.4 Chính sách chứng Viết kết luận Sửa lỗi soạn thảo 1|Page BÁO CÁO AN NINH MẠNG THÔNG TIN MỤC LỤC THUẬT NGỮ VIẾT TẮT DANH MỤC HÌNH VẼ MỞ ĐẦU CHƯƠNG 1: HẠ TẦNG MÃ HĨA CƠNG KHAI 1.1 Khái niệm hạ tầng mã hóa cơng khai PKI 1.2 Ứng dụng PKI 1.3 Vai trò PKI Thương mại điện tử 1.4 Các thành phần PKI 1.4.1 Tổ chức chứng thực CA 10 1.4.2 Tổ chức đăng ký chứng thực RA 11 1.4.3 Thực thể cuối EE 12 1.4.4 Kho lưu trữ chứng nhận CR 12 1.5 Chức PKI 14 1.5.1 Chứng thực (Certification) 14 1.5.2 Thẩm tra (Verification) 14 1.5.3 Một số chức khác 15 1.6 Mơ hình PKI 17 1.6.1 Mô hình đơn 17 1.6.2 Mơ hình phân cấp 18 1.6.3 Mơ hình mắt lưới 20 1.6.3 Mơ hình Hub Spoke 22 1.6.4 Mô hình Web 23 1.6.5 Mơ hình người sử dụng trung tâm 24 CHƯƠNG 2: CHỨNG CHỈ SỐ X.509 SỬ DỤNG TRONG PKI 25 2.1 Giới thiệu chứng số 25 2.2 Chứng khóa cơng khai X.509 25 2.3 Thu hồi chứng 29 2.4 Chính sách chứng 30 KẾT LUẬN 31 TÀI LIỆU THAM KHẢO 32 2|Page BÁO CÁO AN NINH MẠNG THÔNG TIN THUẬT NGỮ VIẾT TẮT CA Certification Authorities Cơ quan cấp chứng CRLs Certificate Revocation Lists Danh sách thu hồi chứng DNS Domain Name System Hệ thống tên miền DSAs Directory System Agents Đại lý hệ thống thư mục FTP File Transfer Protocol Giao thức truyền tập tin Lightweight Directory Access Giao thức ứng dụng truy cập Protocol cấu trúc thư mục LDAP OCSP Online Certificate Status Trình phản hồi trạng thái Responder chứng trực tuyến PKI Public Key Infrastructure Cơ sở hạ tầng khóa cơng khai RA Registration Authorities Cơ quan đăng ký SSL Secure Socket Layer Lớp cổng bảo mật 3|Page BÁO CÁO AN NINH MẠNG THÔNG TIN DANH MỤC HÌNH VẼ Hình 1.1: Hệ thống PKI 10 Hình 1.2: Quá trình phát hành chứng thư số 12 Hình 1.3: Mơ hình CA đơn 17 Hình 1.4: Mơ hình phân cấp 18 Hình 1.5: Mơ hình mắt lưới 19 Hình 1.6: Mơ hình Hub Spoke 21 Hình 2.1: Khn dạng chứng X.509 24 4|Page BÁO CÁO AN NINH MẠNG THÔNG TIN MỞ ĐẦU Ngày mà cách mạng công nghệ diễn rộng khắp, với phát triển nhanh chóng số lượng thiết bị thông minh, mặt đem lại nhiều ứng dụng tiện lợi, thú vị dần thay hoạt động truyền thống giới thực Mặt khác đặt vấn đề an tồn, tính tin cậy giao dịch Internet Cơ sở hạ tầng khóa cơng khai (PKI) đáp ứng, giải vấn đề cho u cầu an tồn, tính tin cậy giao dịch qua mạng Dựa dịch vụ chứng thực số chữ ký số, PKI khung sách, dịch vụ phần mềm mã hóa, đáp ứng nhu cầu bảo mật người sử dụng Dịch vụ xác thực X.509 định dạng chứng sử dụng phổ biến hầu hết nhà cung cấp sản phầm PKI triển khai Việc áp dụng kỹ thuật mã hóa, thuật tốn mã hóa giúp bảo vệ liệu cá nhân cách an tồn thuận tiện q trình giao dịch trực tuyến Với lý nhóm chúng em chọn đề tài “Mơ hình hạ tầng khóa cơng khai PKI chứng thư X.509”, để tìm hiểu cách thức mã hóa thuật tốn để mã hóa 5|Page BÁO CÁO AN NINH MẠNG THÔNG TIN CHƯƠNG 1: HẠ TẦNG MÃ HĨA CƠNG KHAI 1.1 Khái niệm hạ tầng mã hóa cơng khai PKI Cơ sở hạ tầng mã hóa cơng khai viết tắt PKI (Public Key Infrastructure), PKI hệ thống (phần cứng, phần mềm) có nhiệm vụ đảm bảo cho giao dịch điện tử, cho việc trao đổi thông tin mật, thông qua việc sử dụng khóa mã xác thực PKI cho phép: đảm bảo tin cậy, quản lý truy nhập, đảm bảo tính tồn vẹn thơng tin, xác thực người dùng, chống trối bỏ giao dịch thương mại điện tử hỗ trợ ứng dụng công nghệ thông tin PKI dùng để quản lý việc sinh phân phối cặp khóa cơng khai bí mật, cơng bố khóa cơng khai (cùng với việc nhận dạng người dùng) giấy chứng nhận người dùng trang web PKI chế bên thứ (thường nhà cung cấp chứng thực số) cung cấp xác thực định danh bên tham gia vào q trình trao đổi thơng tin Cơ chế cho phép gán cho người sử dụng hệ thống cặp public/private Các trình thường thực phần mềm đặt trung tâm phần mềm phối hợp khác địa điểm người dùng Khóa cơng khai thường phân phối chứng thực khố cơng khai - hay Public Key Infrastructure Khái niệm PKI thường dùng để toàn hệ thống bao gồm nhà cung cấp chứng thực số (CA) chế liên quan, đồng thời với toàn việc sử dụng tồn thuật tốn mật mã khóa cơng khai trao đổi thông tin PKI không thiết sử dụng thuật tốn mã hóa cơng khai 1.2 Ứng dụng PKI Mục tiêu PKI cung cấp khóa cơng khai xác định mối liên hệ khóa định dạng người dùng Nhờ người dùng sử dụng số ứng dụng như: - Mã hóa Email hoặc xác thực người gửi Email (OpenPGP hay S/MIME) 6|Page BÁO CÁO AN NINH MẠNG THƠNG TIN - Mã hóa xác thực văn (Các tiêu chuẩn chữ ký XML* mã hóa XML văn thể dạng XML) - Xác thực người dùng (Đăng nhập thẻ thông minh - SmartCard) Cơ chế cho phép gán cho người sử dụng hệ thống cặp Public/Private Các qua trình thường thực phần mềm đặt trung tâm phần mềm khác đặt địa điểm người sử dụng Khóa cơng khai thường phân phối chứng thực khóa cơng khai - Các giao thức truyền thơng an tồn dùng kỹ thuật Bootstrapping (IKE, SSL): trao đổi khóa khóa bất đối xứng, cịn mã hóa khóa đối xứng 1.3 Vai trị PKI Thương mại điện tử Những lợi ích PKI thương mại điện tử có nhờ khả tương thích Nếu nhà cung cấp làm việc với ngân hàng nhận diện chấp nhận chứng số người sử dụng ngân hàng khác cấp tính hữu dụng PKI biến Mặc dù tiêu chuẩn quốc tế cho PKI X.509 xây dựng có nhiều cách triển khai PKI khác chi tiết kỹ thuật phức tạp với yếu tố pháp kèm theo hệ thống PKI tác động lớn đến mơ hình kinh doanh thực tế Trước tiên số cặp khoá cấp cho thực thể (cá nhân/ tổ chức) Dịch vụ Trustwise Bankers Trust dùng cặp khoá cho hoạt động, dịch vụ Endorse Barclays dùng cặp khoá: cặp để mã hoá cặp để xác thực ký Chuẩn PKI quốc gia Thụy Điển (SEIS) phức tạp quy định dùng cặp khoá: cho xác thực, cho mã hoá dùng để ký Lý dẫn đến cấu trúc việc xác thực người dùng thường phân tách với hành vi ký điện tử, cịn khố mã hố phải bảo quản bên thứ khôi phục mà không làm ảnh hưởng đến hai hoạt động trước Thực tế sao? Merita - Noordbanken phát hành khoảng 35 ngàn thẻ thông minh 7|Page BÁO CÁO AN NINH MẠNG THÔNG TIN cho khách hàng với hệ thống PKI “tuân thủ chuẩn SEIS” lại không sinh khoá mã hoá mà dùng khoá phiên SSL 128 bit trình duyệt người dùng sinh Hơn nữa, khách hàng hầu hết chọn mã PIN bảo vệ giống cho cặp khoá Trong tương lai không xa, sinh trắc học thay mã PIN làm để phân biệt cặp khố? Vân tay ngón tay tương ứng với thao tác: xác thực, ký mã hố? Người dùng khơng nhớ lúc dùng ngón tay để tiến hành giao dịch Chưa hết, việc lựa chọn số cặp khoá không vấn đề kỹ thuật Hãy tưởng tượng ngân hàng cấp hai cặp khoá ngân hàng đối thủ cấp cho khách hàng cặp khố Khách hàng chuyển sang ngân hàng có cặp khố giao dịch đơn giản (và khơng lo bị lộ bí mật cho quan thuế khoá mã hoá bị giao cho bên thứ bảo quản) Nhưng ngân hàng ngành muốn triển khai PKI Nếu ngân hàng triển khai hệ thống PKI cặp khố, cơng ty viễn thơng dùng cặp khố, cịn siêu thị dùng cặp khố người dùng chuyển sang dùng hệ thống PKI siêu thị (cho giao dịch thương mại điện tử) Số cặp khóa vấn đề phức tạp nhiều vấn đề nan giải cần giải Do khơng có CA trung tâm cấp chứng thực số cho tất cá nhân tổ chức (kể phạm vi quốc gia) nên vấn đề xác thực chéo trở nên cấp thiết Vì RA/CA có quy định, quy trình riêng việc kiểm tra, đăng ký cấp chứng thực số cho người dùng, nên việc cấp chứng thực chéo (cross - certification) CA không đơn giản Hơn nữa, ngân hàng có hệ thống PKI riêng mình, để khách hàng giao dịch liên ngân hàng ngân hàng phải làm thủ tục cấp chứng thực chéo với tất ngân hàng cịn lại Để đơn giản hóa, người ta nghĩ biện pháp gọi “chứng cầu nối” (pidge certification), theo CA thực việc cấp chứng thực chéo với CA trung tâm kết tất CA hiểu chứng thực số Tuy nhiên, việc xác định trách nhiệm tài hệ thống phức tạp vơ khó khăn Năm 1999, tám ngân hàng lớn gồm ABN AMRO, Bank of America, Bankers Trust, 8|Page BÁO CÁO AN NINH MẠNG THÔNG TIN Barclays, Chase Manhattan, Citigroup, Deutsche Bank Hypo Vereinsbank lập nên công ty Identrus để cung cấp hạ tầng PKI chung, không thiên nhà cung cấp (vendor - neutral) Các ngân hàng dùng tắc cho RA CA khóa chủ dùng chung Chứng số ngân hàng nhóm phát hành tất ngân hàng cịn lại chấp nhận Nhờ có tảng chung, khách hàng doanh nghiệp dễ dàng tham gia giao dịch thương mại điện tử phạm vi toàn cầu mà không cần phải đầu tư nhiều mặt kỹ thuật Khi ứng dụng số lượng khách hàng tăng lên, số ngân hàng muốn sử dụng PKI tăng lên Để triển khai thương mại điện tử, hình thức chứng thực danh tính qua mạng cần sử dụng hiệu quả, tạo tin cậy cho người sử dụng Chứng số công cụ chứng thực hiệu cho ngành công nghiệp thương mại điện tử giới Ngoài ra, muốn thực thương mại điện tử vượt biên giới, quốc gia phải tuân theo chuẩn công nghệ chung, thực chứng thực chéo, trao đổi công nhận CA PKI thành phần thiếu để phát triển thương mại điện tử quốc gia; đảm bảo cho giao dịch điện tử, trao đổi thông tin bên thơng suốt an tồn: - Bảo vệ lợi ích kinh tế, xã hội - Đảm bảo an ninh, an tồn thơng tin ứng dụng mạng, như: chuyển nhận thơng tin thư tín, hóa đơn mua hàng, thẻ tín dụng, hợp đồng - Bảo vệ thông tin cá nhân, tổ chức, đảm bảo giao dịch điện tử có giá trị hợp pháp 1.4 Các thành phần PKI PKI cấu tổ chức gồm người, tiến trình, sách, thủ tục, phần cứng phần mềm dùng để phát sinh, quản lý, lưu trữ, triển khai thu hồi chứng nhận khóa 9|Page BÁO CÁO AN NINH MẠNG THƠNG TIN Hình 1.3: Mơ hình CA đơn • Ưu điểm: - Mơ hình dễ để triển khai giảm tối thiểu vấn đề khả tương tác • Nhược điểm: - Khơng thích hợp cho miền PKI lớn số người sử dụng miền có yêu cầu khác người miền khác - Băng khăng vào tin tưởng vào người vận hành CA vài lý - Việc quản trị khối lượng công việc ký thuật việc vận hành CA đơn cao cộng đồng PKI lớn - Chỉ có CA gây thiếu khả hoạt động CA trở thành mục tiêu cơng 1.6.2 Mơ hình phân cấp 18 | P a g e NHĨM 10 BÁO CÁO AN NINH MẠNG THƠNG TIN Mơ hình tương ứng cấu trúc phân cấp với CA gốc CA cấp CA gốc xác nhận với CA cấp dưới, CA lại xác nhận CA cấp thấp Các CA cấp không cần xác nhận CA cấp Hình 1.4: Mơ hình phân cấp Trong mơ hình này, thực thể giữ khóa cơng khai root CA kiểm tra đường dẫn chứng chữ ký CA gốc Đây mơ hình PKI tin cậy sớm • Ưu điểm: - Mơ hình dùng trực tiếp cho doanh nghiệp phân cấp độc lập, tổ chức phủ quân đội - Cho phép thực thi sách chuẩn thơng qua hạ tầng sở - Dễ vận hành tổ chức khác • Nhược điểm: 19 | P a g e NHÓM 10 ... “Mơ hình hạ tầng khóa cơng khai PKI chứng thư X. 509? ??, để tìm hiểu cách thức mã hóa thuật tốn để mã hóa 5|Page BÁO CÁO AN NINH MẠNG THƠNG TIN CHƯƠNG 1: HẠ TẦNG MÃ HĨA CƠNG KHAI 1.1 Khái niệm hạ tầng. .. pháp chứng thực : Tổ chức chứng thực (CA) tạo cặp khóa cơng khai/ khóa bí mật mà tạo chứng cho phần khóa cơng khai cặp khóa Người sủ dụng tự tạo cặp khóa đưa khóa cơng khai cho CA để CA tạo chứng. .. gian định Chứng người cấp công bố tự động sau thời gian hết hạn • X? ?m hại khóa Đây trường hợp khơng bình thư? ??ng x? ??y khóa cơng bố tất người sử dụng hệ thống nhận thấy điều X? ?m hại đến khóa CA trường

Ngày đăng: 26/02/2023, 15:28

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w