HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG VÕ ĐĂNG PHI LONG VÕ ĐĂNG PHI LONG NGHIÊN CỨU VÀ TRIỂN KHAI HỆ THỐNG HẠ TẦNG KHĨA HỆ THỐNG THƠNG TIN CƠNG KHAI SỬ DỤNG BỘ PHẦN MỀM MÃ NGUỒN MỞ EJBCA LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) 2020 – 2022 HÀ NỘI – NĂM 2022 HÀ NỘI - NĂM 2022 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG - VÕ ĐĂNG PHI LONG NGHIÊN CỨU VÀ TRIỂN KHAI HỆ THỐNG HẠ TẦNG KHĨA CƠNG KHAI SỬ DỤNG BỘ PHẦN MỀM MÃ NGUỒN MỞ EJBCA Chuyên ngành: HỆ THỐNG THÔNG TIN Mã số: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS TSKH HOÀNG ĐĂNG HẢI HÀ NỘI - NĂM 2022 LỜI CAM ĐOAN Tôi tên Võ Đăng Phi Long, cam đoan: Luận văn Thạc sĩ Kỹ thuật “Nghiên cứu triển khai hệ thống hạ tầng khóa cơng khai sử dụng phần mềm mã nguồn mở EJBCA” cơng trình nghiên cứu tác giả hướng dẫn PGS TSKH Hoàng Đăng Hải Các kết nghiên cứu luận văn trung thực, không chép từ nguồn hình thức Các nguồn tài liệu tham khảo trích dẫn ghi nguồn quy định Tác giả luận văn Võ Đăng Phi Long LỜI CẢM ƠN Với lòng biết ơn sâu sắc, xin gửi lời cảm ơn chân thành tới người giúp đỡ tơi q trình học tập, nghiên cứu khoa học Tôi xin chân thành cảm ơn: Đầu tiên xin cảm ơn thầy PGS TSKH Hồng Đăng Hải tận tình hướng dẫn truyền đạt kinh nghiệm quý báu giúp đỡ từ ngày bắt đầu hướng dẫn đến ngày bảo vệ Tiếp theo, xin cảm ơn thầy cô Học viện Cơng nghệ Bưu Viễn thơng truyền đạt kiến thức quý báu nhiệt tình dạy dỗ tơi q trình học tập Học viện Tôi xin trân trọng cảm ơn đơn vị nơi công tác làm việc tạo điều kiện thuận lợi cho tơi suốt q trình học cao học Cuối cùng, tơi xin cảm ơn gia đình, đồng nghiệp, bạn bè đồng hành, cổ vũ giúp đỡ thân tơi hồn thành luận văn MỤC LỤC MỤC LỤC DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT DANH MỤC HÌNH ẢNH .5 MỞ ĐẦU 1 Lý chọn đề tài Mục đích nghiên cứu .2 Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu Kết đạt luận văn .3 Cấu trúc luận văn CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN TRONG HỆ THỐNG THƠNG TIN 1.1 Khái quát vấn đề an toàn chung hệ thống thông tin .4 1.2 Các mối hiểm họa an tồn thơng tin 1.3 Tạo lập môi trường an ninh 13 1.3.1 Nhận thực 13 1.3.2 Toàn vẹn số liệu 14 1.3.3 Bảo mật 14 1.3.4 Trao quyền .14 1.3.5 Cấm từ chối 15 1.4 Các kỹ thuật đảm bảo tính bảo mật, tồn vẹn, xác thực: 15 1.4.1 Mã hóa cơng khai 15 1.4.2 Chứng số 15 1.4.3 Mã hóa .16 1.4.4 Chữ ký số 16 1.4.5 Giao thức HTTPS 16 1.4.6 Phương pháp quản lý khóa cơng khai khóa bí mật .16 1.5 Các công nghệ an ninh 16 1.5.1 Công nghệ mật mã 16 1.5.2 Các giải thuật đối xứng 17 1.5.3 Các giải thuật bất đối xứng 19 1.5.4 Nhận thực 20 1.5.5 Các chữ ký điện tử tóm tắt tin 21 1.5.6 Các chứng số .23 1.6 Kết chương 24 CHƯƠNG 2: CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI PKI 25 2.1 Tổng quan hạ tầng khóa cơng khai PKI 25 2.2 Kiến trúc chức PKI 28 2.2.1 Mơ hình phân cấp 30 2.2.2 Mơ hình mạng lưới 31 2.2.3 Mơ hình danh sách tin cậy .32 2.3 Ưu điểm nhược điểm PKI .33 2.4 Một số phần mềm cung cấp hạ tầng khóa cơng khai .35 2.4.1 OpenSSL 35 2.4.2 EJBCA .36 2.4.3 Dogtag Certificate System 37 2.4.5 OpenXPKI 37 2.4.6 Step-ca .38 2.4.7 OpenCA 38 2.5 So sánh đặc điểm OpenCA EJBCA 38 2.6 Kết chương 40 CHƯƠNG 3: HỆ THỐNG CHỨNG THỰC SỐ PKI SỬ DỤNG BỘ PHẦN MỀM MÃ NGUỒN MỞ EJBCA 41 3.1 Giới thiệu phần mềm mã nguồn mở EJBCA .41 3.2 Kiến trúc hệ thống PKI sử dụng EJBCA 42 3.2.1 Standalone CA/RA/VA 43 3.2.2 CA với RA và/hoặc VA phân tán 44 3.2.3 Standalone VA 45 3.2.4 PKI lai với Public Cloud 46 3.3 Các khía cạnh khác cần lưu ý thiết kế hệ thống PKI 46 3.3.1 Quản lý khóa 46 3.3.2 Phân phối chứng .47 3.3.3 Tính phân cụm sẵn sàng cao 47 3.4 Mơ hình triển khai 49 3.5 Cấu hình sử dụng 49 3.6 Kịch ứng dụng vào thực tiễn 52 3.7 Kết chương 55 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN TIẾP 56 TÀI LIỆU THAM KHẢO 58 PHỤ LỤC .61 DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt PKI Public Key Infrastructure Hạ tầng khóa cơng khai CA Certificate Authority Chứng thư số RA Registration Authority Cơ quan đăng ký số VA Validation Authority Cơ quan xác thực số Internet Engineering Task Force Lực lượng kỹ thuật internet IETF đặc biệt HSM Hardware Security Module Mô đun bảo mật phần cứng REST REpresentational State Transfer Trạng thái chuyển đổi đại diện MD Message Digest Hàm băm mã hóa DANH MỤC HÌNH ẢNH Hình 1.1 Mơ hình Gordon-Loeb 10 Hình 1.2 Luồng số liệu mật mã hóa đối xứng 17 Hình 1.3 Quá trình digest 21 Hình 2.1 Kiến trúc PKI 28 Hình 2.2 Mơ hình phân cấp .29 Hình 2.3 Mơ hình mạng lưới .30 Hình 2.4 Mơ hình danh sách tin cậy 31 Hình 3.1 Cấu trúc hệ thống EJBCA 40 Hình 3.2 Standalone CA/RA/VA 42 Hình 3.3 CA đặt phía sau tường lửa 43 Hình 3.4 CA với RA và/hoặc VA phân tán 44 Hình 3.5 Standalone VA 44 Hình 3.6 PKI lai với Public Cloud 45 Hình 3.7 Khóa lưu module bảo mật 45 Hình 3.8 Phân phối chứng 46 Hình 3.9 Các CA phân cụm .47 Hình 3.10 Cài đặt thành công EJBCA .48 Hình 3.11 Import chứng thư vào trình duyệt .49 Hình 3.12 Giao diện EJBCA .49 Hình 3.13 Giao diện quản trị EJBCA 50 Hình 3.14 Giao diện đăng ký chứng thư 51 Hình 3.15 Xác nhận tải chứng thư 51 Hình 3.16 Email sau thêm chứng thư có nhãn dán đặc biệt .52 Hình 3.17 Thông tin chứng thư ký vào email 53 Hình 3.18 Thơng tin chi tiết chứng thư 53 MỞ ĐẦU Lý chọn đề tài Trong thời đại công nghệ ngày phát triển, việc bảo vệ thông tin vô quan trọng, định tương lai cá nhân hay tổ chức Khi thông tin truyền mạng, bị đe dọa kẻ cơng, họ xem trộm, chỉnh sửa thơng tin hay chí giả mạo người nhận Từ đó, thông tin truyền mạng phải đáp ứng ba yếu tố: xác thực, bí mật, tồn vẹn Các tác vụ thương mại điện tử giao dịch điện tử, trao đổi thông tin, dịch vụ web trở thành phần tất yếu thời đại 4.0, nơi mà tảng kỹ thuật số đóng vai trị quan trọng có sức ảnh hưởng mạnh mẽ tới tất khía cạnh sống Việc giao dịch qua mạng internet đặt vấn đề thách thức công ty tổ chức phải đảm bảo ba yếu tố xác thực, bí mật, tồn vẹn cho giao dịch Hiện nay, giới có nhiều phương pháp để đảm bảo tính xác thực danh tính, đảm bảo tính bí mật thơng tin, đảm bảo thơng tin khơng bị thay đổi cung cấp chứng chống việc chối bỏ hành động thực hay diễn giao dịch điện tử Điển hình sử dụng tài khoản cá nhân, chứng số sử dụng PKI, thiết bị bảo mật vật lý smart card, etoken Đứng trước thách thức xảy thực tiễn, công ty bảo mật phối hợp công ty, tổ chức để nghiên cứu phát triển phương pháp sản phẩm nhằm bảo vệ yếu tố xác thực có liên quan tới hoạt động giao dịch trực tuyến Điển hình phần mềm CA Microsoft, OpenVPN, OpenCA hay IdentityGuard Entrust số phần mềm EJBCA PrimeKey Chính lý trên, tơi chọn giải pháp sử dụng phần mềm mã nguồn mở EJBCA tảng hệ điều hành CentOS Việc nghiên cứu đề tài “Nghiên cứu triển khai hệ thống hạ tầng khóa cơng khai sử dụng phần mềm mã nguồn mở EJBCA” cấp thiết, đáp ứng nhu cầu thực tiễn