Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 49 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
49
Dung lượng
1,35 MB
Nội dung
Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung MỤC LỤC DANH MỤC HÌNH VẼ LỜI CẢM ƠN MỞ ĐẦU Chương 1: CÁC THÀNH PHẦN KỸ THUẬT CƠ BẢN TRONG PKI (PUBLIC KEY INFRASTRUCTURE) 1.1 Hệ mã hóa khóa đối xứng 1.1.1 Đặc điểm hệ mã hóa khóa đối xứng 1.1.2 Nơi sử dụng hệ mã hóa khóa đối xứng 1.2 Hệ mã hóa khóa cơng khai 1.2.1 Đặc điểm hệ mã hóa cơng khai 11 1.2.2 Nơi sử dụng hệ mã hóa cơng khai 11 1.3 Công nghệ OpenCA 11 1.3.1 Thiết kế tổng quan 12 1.3.2 Hệ thống thứ bậc 13 1.3.3 Các giao diện 14 1.3.4 Vòng đời đối tượng 15 1.4 Công nghệ SSL 16 1.4.1 Giới thiệu SSL 16 1.4.2 Các phiên 18 1.4.3 Các thuộc tính 18 1.4.4 Mục đích 19 1.4.5 Bảo mật SSL 19 1.4.6 Ưu điểm hạn chế SSL 20 Chương 2: CHỮ KÝ SỐ VÀ CHỨNG CHỈ SỐ 24 2.1 Khái niệm chữ ký số 24 2.2 Đại diện thông điệp 25 2.3 Khái niệm chứng số 27 2.4 Hệ thông cung cấp chứng khóa cơng khai 29 Chương 3: CA (CERTIFICATE AUTHORITY) 31 3.1 Giới thiệu số vấn đề liên quan đến sở hạ tầng khóa công khai 31 3.1.1 Các giao thức quản ý sở hạ tầng khóa cơng khai theo chuẩn X509 31 3.1.2 Hồ sơ chứng số CRL(Danh sách hủy bỏ chứng chỉ) cho sở hạ tầng khóa cơng khai theo chuẩn X509 33 3.2 Cài đặt thiệt lập cấu hình cho máy CA 34 3.2.1 Cài đặt 34 3.2.2 Thiết lập cấu hình 35 Chương 4: QUY TRÌNH CẤP PHÁT CHỨNG CHỈ SỐ 37 KẾT LUẬN 48 TÀI LIỆU THAM KHẢO 49 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mô hình sinh khóa tập trung DANH MỤC HÌNH VẼ Hình 1.1.1 Mơ hình mã hóa đối xứng Hình 1.1.2 Mơ hình mã hóa khóa cơng khai 10 Hình 1.3.2.1 Cái nhìn hướng CSDL PKI 13 Hình 1.3.2.2 Cái nhìn liệu logic 14 Hình 1.3.3.1 Cái nhìn kỹ thuật PKI 14 Hình 1.3.4.1 Vịng đời đối tượng 16 Hình 1.4.1.1 Vị trí SSL mơ hình OSI 17 Hình 2.1.1 Mơ hình chữ ký số 24 Hình 2.2.1 Mơ hình mã hóa thơng điệp chữ ký khóa bí mật 26 Hình 2.2.2 Mơ hình giải mã thơng điệp chữ ký khóa cơng khai 27 Hình 4.1 Giao diện phầm mềm cung cấp chứng số 37 Hình 4.2 Giao diện nhập thơng tin người cấp chứng 38 Hình 4.3 Giao diện cảnh báo nhập xong thông tin người cấp chứng 39 Hình 4.4 Giao diện thơng báo hồn thành nhập thơng tin người cấp chứng 39 Hình 4.5 Giao diện ký yêu cầu cấp chứng số 39 Hình 4.6 Giao diện hộp hội thoại 40 Hình 4.7 Giao diện nhập mật để giải mã khóa bí mật CA 40 Hình 4.8 Giao diện thông báo cấp phát chứng thành cơng 40 Hình 4.9 Giao diện chuyển đổi định dạng PKCS10 thành PKCS12 41 Hình 4.10 Giao diện thơng báo chuyển đổi PKCS12 41 Hình 4.11 Giao diện nhập số PIN 41 Hình 4.12 Giao diện nhập mật mã hóa 42 Hình 4.13 Giao diện thơng báo chuyển đổi thành công 42 Hình 4.14 Giao diện hình commandline 43 Hình 4.15 Giao diện thực thi lệnh copyUserCert 43 Hình 4.16 Giao diện nhập số PIN 44 Hình 4.17 Giao diện thơng báo hoàn thành cấp chứng 44 Hình 4.18 Giao diện thơng báo cập nhật chứng 45 Hình 4.19 Giao diện chức “Pending Request List” 45 Hình 4.20 Giao diện chức “Issue Certificate” 46 Hình 4.21 Giao diện trang Printcert 46 Hình 4.22 Giao diện form nhập số PIN chứng 47 Hình 4.23 Giao diện giấy chứng nhận chứng số 47 Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung LỜI CẢM ƠN Trong lời báo cáo Đồ án Tốt Nghiệp “Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung” này, em muốn gửi lời cám ơn biết ơn chân thành tới tất người hỗ trợ, giúp đỡ em kiến thức tinh thần trình thực Đồ án Trước hết, em xin chân thành cảm ơn Thày Giáo – TS Hồ Văn Canh, Cố vấn cục kĩ thuật nghiệp vụ 1-Bộ CA, người trực tiếp hướng dẫn, nhận xét, giúp đỡ em suốt trình thực Đồ án Xin chân thành cảm ơn GS.TS.NGƯT Trần Hữu Nghị Hiệu trưởng Trường Đại học Dân lập Hải Phòng, ban giám hiệu nhà trường, thày Khoa Cơng Nghệ Thơng Tin phịng ban nhà trường tạo điều kiện tốt cho em bạn khác suốt thời gian học tập làm tốt mnghiệp Cuối em xin gửi lời cảm ơn đến gia đình, bạn bè, người thân giúp đỡ động viên em nhiều trình học tập làm Đồ án Tốt Nghiệp Do thời gian có hạn, kiến thức cịn nhiều hạn chế nên Đồ án thực chắn không trành khỏi thiếu sót định Em mong nhận ý kiến đóng góp thày bạn để em có thêm kinh nghiệm tiếp tục hồn thiện Đồ án Em xin chân thành cảm ơn! Hải Phòng, ngày tháng năm 2012 Sinh viên Nguyễn Tiến Hoàng Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung MỞ ĐẦU Trong vài năm lại đây, hạ tầng truyền thông IT ngày mở rộng người sử dụng dựa tảng để truyền thông giao dịch với đồng nghiệp, đối tác kinh doanh việc khách hàng dùng email mạng công cộng Hầu hết thông tin nhạy cảm quan trọng lưu trữ trao đổi hình thức điện tử quan văn phòng, doanh nghiệp Sự thay đổi hoạt động truyền thông đồng nghĩa với việc cần phải có biện pháp bảo vệ đơn vị, tổ chức, doanh nghiệp trước nguy lừa đảo, can thiệp, cơng, phá hoại vơ tình tiết lộ thơng tin Cơ sở hạ tầng khóa cơng khai (PKI – Public Key Infrastructure) tiêu chuẩn cơng nghệ ứng dụng coi giải pháp tổng hợp độc lập sử dụng để giải vấn đề PKI chất hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng sử dụng để khởi tạo, lưu trữ quản lý chứng số hay ta gọi chức thực điện tử (digital certificate) khóa cơng cộng (khóa cơng khai) cá nhân (khóa riêng) Sáng kiến PKI đời năm 1995, mà phủ tổ chức công nghiệp xây dựng tiêu chuẩn chung dựa phương pháp mã hóa để hỗ trợ hạ tầng bảo mật mạng Internet Tại thời điểm đó, mục tiêu đước đặt xây dựng tiêu chuẩn bảo mật tổng hợp công cụ lý thuyết cho phép người sử dụng tổ chức tạo lập, lữu trữ trao đổi thông tin cách an tồn phạm vi cá nhân cơng cộng Hiện Việt Nam, việc nghiên cứu, ứng dụng triển khai PKI nói chung dịch vụ cung cấp chứng số nói riêng vấn đề cịn mang tính thời Bằng việc sử dụng chứng chữ ký số, ứng dụng cho phép PKI đưa nhiều đặc tính đảm bảo an tồn thơng tin cho người sử dụng Có hai mơ hình cung cấp chứng số mơ hình CA sinh cặp khóa cơng khai khóa bí mật cho người dùng mơ hình tự người dùng sinh cặp khóa cơng khai khóa bí mật cho Hiện nay, Việt Nam nghiên cứu triển khai hệ thống PKI theo mơ hình thứ Vì em chọn đề tài “Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung” để làm đề tài đồ án tốt nghiệp .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung Chương 1: CÁC THÀNH PHẦN KỸ THUẬT CƠ BẢN TRONG PKI (PUBLIC KEY INFRASTRUCTURE) Mã hóa cơng cụ việc đảm bảo an toàn liệu Ở thời kỳ sơ khai, người sử dụng nhiều phương pháp để bảo vệ thơng tin bí mật, tất phương pháp mang tính nghệ thuật khoa học Ban đầu, mật mã học sử dụng phổ biến cho quân đội, qua nhiều chiến tranh, vai trò mật mã ngày quan trọng mang lại nhiều thành không nhỏ hệ mã cổ điển Caeser, Playfair,…Chúng tảng cho mật mã học Ngày nay, toán học áp dụng cho mật mã học lịch sử mật mã học sang trang Việc đời hệ mã hóa đối xứng khơng làm vai trị hệ mật mã cổ điển mà bổ sung cho ngành mật mã nhiều phương pháp mã hóa Từ năm 1976, hệ mật mã phi đối xứng (mật mã khóa công khai) đời, nhiều khái niệm gắn với mật mã học xuất hiện: chữ ký số, hàm băm, mã đại diện, chứng số Mật mã học khơng áp dụng cho qn mà cịn cho lĩnh vực kinh tế xã hội khác giao dịch hành chính, thương mại điện tử Hiện có nhiều phương pháp mã hóa khác nhau, phương pháp có ưu, nhược điểm riêng Tùy theo yêu cầu mơi trường ứng dụng nào, người ta dùng phương pháp hay phương pháp Có mơi trường cần phải an toàn tuyệt đối thời gian chi phí Có mơi trường lại cần giải pháp dung hịa bảo mật chi phí Các thông điệp cần chuyển cần bảo vệ an toàn gọi rõ (plaintext), ký hiệu P Nó dịng bít, file, âm số hố, Bản rõ dùng để lưu trữ để truyền đạt thông tin Trong trường hợp rõ thông điệp cần mã hố Q trình xử lý thơng điệp trước gửi gọi trình mã hố (encryption) Một thơng điệp mã hố gọi mã (ciphertext), ký hiệu C Quá trình xử lý ngược lại từ mã thành rõ gọi trình giải mã (decryption) Để bảo đảm an tồn thơng tin lưu trữ máy tính (Ví dụ giữ gìn thơng tin cố định) hay bảo đảm an tồn thơng tin đường truyền tin (Ví dụ mạng máy tính, điện thoại), người ta phải “Che Giấu” thông tin .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung “Che” thơng tin (dữ liệu) hay “Mã hóa ” thơng tin thay đổi hình dạng thơng tin gốc, người khác “khó” nhận “Giấu” thơng tin (dữ liệu) cất giấu thông tin tin khác, người khác “khó” nhận Trong phần bàn “Mã hóa” thơng tin Hệ mật mã tập hợp thuật tốn, khóa nhằm che dấu thơng tin tin làm rõ Hệ mật mã định nghĩa năm (P,C,K,E,D), đó: - P tập hữu hạn rõ - C tập hữu hạn mã - K tập hữu hạn khóa - E tập hàm lập mã - D tập hàm giải mã Với k K có hàm lập mã C) hàm giải mã D( :C P) cho Dk (Ek (x)) = x , Với khóa lập mã K, có hàm lập mã Với khóa giải mã K, có hàm giải mã cho ( (x)) = x, x Ở x gọi rõ, E, :P D, E( x :P P C, :C P, P (x) = y gọi mã Trên đường truyền tin, thông tin mã hố để bảo đảm bí mật: Người gửi G Người nhận N (T) Tin tặc trộm mã (T) khơng có khóa nên khó giải mã để tìm rõ T Người gửi G muốn gửi tin T cho người nhận N Để bảo đảm bí mật, G mã hố tin khóa lập mã , nhận mã Tin tặc trộm mã khơng có khố giải mã (T), sau gửi cho N (T), “khó” tìm tin gốc T Người N nhận mã, họ dùng khoá giải mã nhận tin gốc T = Tà i liệu Há»— trợ ôn táºp com ( , giải mã (T)) .Luáºn văn Luáºn án (T), để .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mô hình sinh khóa tập trung Hiện hệ mật mã phân làm hai loại là: Hệ mật mã đối xứng hệ mật mã bất đối xứng (hay cịn gọi hệ mật mã khóa cơng khai) Mật mã đối xứng: có khóa lập mã khóa giải mã “giống nhau”, theo nghĩa biết khóa “dễ” tính khóa Phải giữ bí mật khóa Các hệ mật mã đối xứng như: Caesar, IDEA, DES, Triple DES Mật mã khóa cơng khai: có khóa lập mã khác khóa giải mã (k1 k2), biết khóa “khó” tính khóa Bí mật khóa giải mã Cơng khai khóa lập mã Các hệ mật mã khóa cơng khai RSA, Elgamal, ECC 1.1 Hệ mã hóa khóa đối xứng Mã hóa khóa đối xứng Hệ mã hóa có khóa lập mã khóa giải mã “giống nhau”, theo nghĩa biết khóa “dễ” tính khóa Đặc biệt số Hệ mã hóa loại có khố lập mã khoá giải mã trùng ( = ) Hệ mã hóa khóa đối xứng cịn có tên gọi Hệ mã hóa khố bí mật, phải giữ bí mật khóa Trước dùng Hệ mã hóa khóa đối xứng, người gửi người nhận phải thoả thuận thuật tốn mã hóa khố chung (lập mã hay giải mã), khoá phải giữ bí mật Độ an tồn Hệ mã hóa loại phụ thuộc vào khố Khóa bí mật dùng chung người gửi người nhận Khóa bí mật dùng chung người gửi người nhận Bản mã truyền Đầu vào Thuật tốn mã hóa rõ Thuật tốn Đầu giải mã rõ Hình 1.1.1 Mơ hình mã hóa đối xứng Khóa bí mật dùng chung người gửi người nhận sinh người gửi (hoặc người gửi), khóa phải chuyển cho người lại theo kênh Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung bí mật Có thể dùng thành viên thứ (đáng tin cậy) sinh khóa phân phối khóa cách bí mật cho người gửi người nhận 1.1.1 Đặc điểm hệ mã hóa khóa đối xứng Ưu điểm: o Tốc độ mã hóa giải mã nhanh o Sử dụng đơn giản: cần dùng khoá cho bước mã giải mã Nhược điểm: o Mã hóa khóa đối xứng chưa thật an tồn với lý đơn giản: Người mã hố người giải mã phải có “chung” khố Khóa phải giữ bí mật tuyệt đối, “dễ” xác định khố biết khố Do đó, việc xác thực thơng điệp ký số khó thực o Khi hai người (lập mã, giải mã) biết “chung” bí mật, khó giữ bí mật ! o Vấn đề thỏa thuận khố quản lý khóa chung khó khăn phức tạp Người gửi người nhận phải thống với khố Việc thay đổi khố khó dễ bị lộ Khóa chung phải gửi cho kênh an toàn 1.1.2 Nơi sử dụng hệ mã hóa khóa đối xứng Hệ mã hóa khóa đối xứng thường sử dụng mơi trường mà khố chung dễ dàng trao chuyển bí mật, chẳng hạn mạng nội Hệ mã hóa khóa đối xứng dùng để mã hóa tin lớn, tốc độ mã hóa giải mã nhanh Hệ mã hóa khóa cơng khai 1.2 Hệ mã hóa khóa cơng khai Khái niệm mật mã khố cơng khai nảy sinh giải hai vấn đề khó khăn mã hóa đối xứng Vấn đề phân phối khoá Như biết, việc phân phối khoá mã hoá đối xứng yêu cầu hai bên liên lạc: o Dùng chung khoá phân phối theo cách đó; hoặc: o Sử dụng trung tâm phân phối khoá .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mô hình sinh khóa tập trung Whitfield Diffie, người phát minh mã hố khố cơng khai (cùng với Martin Hellman, trường Đại học Stanford) suy luận cho rằng, yêu cầu thứ hai phủ nhận chất mật mã Bản chất đảm bảo tính bí mật liên lạc Khó tồn hệ thống mật mã phá được, người sử dụng hệ thống bắt buộc phải dùng chung khoá trung tâm phân phối khoá (KDC), lý trung tâm để lộ khố Vấn đề thứ hai mà Diffie đặt "chữ ký số" Nếu việc sử dụng mật mã trở nên phổ biến, không lĩnh vực quân mà sử dụng cho mục đích thương mại cá nhân, thơng báo tài liệu điện tử cần có chữ ký chúng có hiệu lực tương tự chữ ký giấy tờ Các thuật toán khố cơng khai sử dụng khố để mã hố khoá khác để giải mã (tạo thành cặp khố) Chúng có tính chất quan trọng sau đây: “Khó xác định khố giải mã vào thơng tin thuật tốn khố mã hố.” Mã hóa khóa cơng khai hay cịn gọi mã hóa khóa phi đối xứng Hệ mã hóa có khóa lập mã khóa giải mã khác ( ), biết khóa “khó” tính khóa Hệ mã hóa cịn gọi Hệ mã hố khóa cơng khai, vì: Khố lập mã cho cơng khai, gọi khố cơng khai (Public key) Khóa giải mã giữ bí mật, cịn gọi khóa riêng (Private key) Một người dùng khố cơng khai để mã hố tin, người có khố giải mã có khả xem rõ .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung Vịng khóa cơng khai Alice Joy Ted Mike Bob Khóa cơng khai Bob Khóa riêng Bob Bản mã truyền Đầu Đầu Thuật toán Thuật toán mã vào giải mã hóa rõ rõ Hình 1.1.2 Mơ hình mã hóa khóa cơng khai Hình minh hoạ q trình mã hố khố cơng khai Các bước gồm: o Mỗi hệ thống mạng sinh cặp khóa, cặp khố sử dụng để mã hố giải mã thơng báo mà nhận o Mỗi hệ thống cơng bố khóa mã hố cách đặt khố vào ghi công khai file Đây khố cơng khai Khố cặp giữ bí mật o Nếu A muốn gửi cho B thơng báo, mã hố thơng báo khố cơng khai B o Khi B nhận thông báo, B giải mã thơng báo khố riêng B Khơng người nhận khác giải mã thơng báo, có B biết khố riêng Với cách giải này, tất thành viên tham gia truyền thơng truy nhập vào khố cơng khai Khố riêng thành viên sinh không phân phối Q trình liên lạc an tồn chừng hệ thống cịn kiểm sốt khố riêng Một hệ thống thay đổi khố riêng lúc nào, đồng thời cơng bố khố cơng khai cặp để thay khố cơng khai cũ .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 10 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung thư mục MayCA, có thư mục: MyCA, myca (trong thư mục có thư mục con: cgi-ca,htdocs-ca,cgi-print) - Copy thư mục myca vào thư mục /home - Copy thư mục MyCA hệ thống thư mục 3.2.2 Thiết lập cấu hình Cấu hình Apache server Giao diện người quản trị chương trình máy CA thực thơng qua trình duyệt Netscape, sau cài đặt phần mềm CA để chương trình hoạt động cần thiết lập cấu hình cho chương trình CA Apache Việc thiết lập cấu hình để CA sử dụng Apache tiến hành sau: Trong tệp cấu hình Apache (tệp httpd.conf thư mục /ect/httpd/conf) cần bổ sung trang giao diện CA mục “VirtualHost” sau: DocumentRoot "/home/myca/cgi-print/" ServerName printcert Errorlog logs/print/error_log CustomLog logs/print/access_log common ScriptAlias /cgi-bin/ "/home/myca/cgi-print/" AllowOverride None Options ExecCGI Order allow,deny Allow from all DocumentRoot "/home/myca/htdocs-ca/" ServerName rootca Errorlog logs/ca/error_log CustomLog logs/ca/access_log common ScriptAlias /cgi-bin/ "/home/myca/cgi-ca/" AllowOverride None Options ExecCGI Order allow,deny Allow from all Trong trang printcert sử dụng để in giấy chứng nhận cấp chngs số cho người sử dụng, trang rootca giao diện để người quản trị thực việc phát hành hủy bỏ chứng - Trong tệp /etc/hots bổ sung thêm trang trên: 200.1.1.2 rootca printcert Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 35 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung Cần tạo thư mục: ca, print /etc/httpd/logs để lưu lại nhật ký, thơng - báo lỗi chương trình xuất lỗi Sau thực cấu hình xong cần khởi động lại Apache để tham số - bổ sung có hiệu lực, cách thực lệnh sau: /etc/init.d/httpd restart Cấu hình cho MySSL MyCA Tất tham số cấu hình cho trình MySSL, MyCA tương ứng để tệp sau /MyCA/conf/myssl.cnf /home/htppd/cgi-ca/ca.conf Hầu hết tham số hai tệp dùng chung cho tòn hệ thống, nhiên có tham số mà máy CA (cả root nonroot) cần có thay đổi chúng thiết lập Khi máy CA thiết lập, cần có cặp khóa sinh theo số ID hệ thống chấp nhận, số ID dạng thập phân dùng làm phần tên tệp khóa tên tệp chứng CA (giả sử CA cấp ID 01 khởi tạo cho CA tệp khóa 01.key, tệp chngs 01.crt) Khi tệp cấu hình MySSL (myssl.cnf) MyCA (ca.conf) cần thay đổi tham số sau: - Trong tệp myssl.cnf vào phần [CA-defaut] thay đổi hai thuộc tính chứng private_key thành: certificate = $dir/01.crt private_key=$dir/private/01.key - Tương tự tệp ca.conf cần thay đổi hai thuộc tính cacert cakey thuộc tính địa máy public database server: cacert “/MyCA/01.crt” cakey “/MyCA/private/01.key” ldapserver 200.1.1.1 Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 36 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung Chương 4: QUY TRÌNH CẤP PHÁT CHỨNG CHỈ SỐ Phần mềm cấp chứng số chạy môi trường Linux 7.2, giao diện thực thao tác cấp chứng thực thơng qua trình duyệt Web Hình 4.1 Giao diện phầm mềm cung cấp chứng số Để sinh chứng số cho người sử dụng, cần thực ba chức giao diện phần mềm, là: Input User‟s Data, Sign Certificate Requests Generate PKCS12 Certificate Dưới bước thực việc cấp chứng số Bƣớc 1: Nhập thông tin ngƣời đƣợc cấp (Input User’s Data) Khi chọn chức hình xuất giáo diện hình 4.2 Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 37 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung Hình 4.2 Giao diện nhập thơng tin người cấp chứng Người thực nhập thông tin người cấp chứng vào mục giao diện - Họ tên (Fullname) - Số chứng minh nhân dân (ID Card Number) - Ngày cấp chứng minh (ID Card Issued Date) - Ngày tháng năm sinh (Date Of Birth) - Phòng ban (Office) - Địa Email (Email) - Chức chứng cấp (Certificate Type), ứng dụng Mail kiểu chứng phải chọn “User Certificate” - Số PIN, số PIN tự động tăng ên thông tin người chấp nhận Sau nhập đầy đủ thông tin trên, người thực chọn nút lệnh “Accept” Khi hình xuất hộp hội thoại hình 4.3 Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 38 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung Hình 4.3 Giao diện cảnh báo nhập xong thông tin người cấp chứng Chương trình tự động sinh yêu cầu cấp chứng số (Certificate Requests) với thông tin Quá trình sinh yêu cầu kết thúc hình xuất thơng báo hình 4.4 Hình 4.4 Giao diện thơng báo hồn thành nhập thơng tin người cấp chứng Sau thực xong bước 1, thư mục /MyCA/user xuất thêm thư mục mang tên số ID người sử dụng, có lưu tệp khóa bí mật tệp yêu cầu cấp chứng người sử dụng định dạng PKCS#10 Bƣớc 2: Ký yêu cầu cấp chứng số (Sign Certificate Requests) Khi chọn chức hình xuất giao diện hình 4.5 Hình 4.5 Giao diện ký yêu cầu cấp chứng số Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 39 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung Người thực chọn chức “Sign User‟s Requests Files”, amnf hình xuất hộp hội thoại hình 4.6 Hình 4.6 Giao diện hộp hội thoại Người quản trị chọn “OK”, hình xuất hộp hội thoại hình 4.7 Hình 4.7 Giao diện nhập mật để giải mã khóa bí mật CA Người sử dụng nhập dùng để giải mã khóa bí mật CA (mật khấu đặt thực thiết lập hệ thông), chọn “OK” Quá trình phát hành chứng số cho người sử dụng thực Hình 4.8 Giao diện thông báo cấp phát chứng thành công Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 40 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung Trong ví dụ người cấp chứng số có số PIN 2000202 Quá trình phát hành chứng thành cơng có thơng báo “OK!” (như hình 4.8), việc phát hành không thành công thay thơng báo “OK!” chương trình thơng báo “Failed!” Bƣớc 3: Chuyển đổi định dạng chứng (Generate PKCS12 Certificate) Sau phát hành chứng số, để cài đặt chứng cho ứng dụng Mail lưu vào thiệt bị IKEY, chứng số cần chuyển đổi định dàng thành dạng PKCS12, để thực sử dụng chức “Generate PKCS12 Certificate”, hình xuát giao diện hình 4.9 Hình 4.9 Giao diện chuyển đổi định dạng PKCS10 thành PKCS12 Người thực chọn “Generate User‟s PKCS12 files”, hình xuất hộp hội thoại hình 4.10 Hình 4.10 Giao diện thông báo chuyển đổi PKCS12 Người thực chọn “OK”, hình xuất hộp hội thoại hình 4.11 Hình 4.11 Giao diện nhập số PIN Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 41 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung Người thực nhập số PIN người cấp chứng chọn “OK”, hình xuất hộp hội thoại hình 4.12 Hình 4.12 Giao diện nhập mật mã hóa Người quản trị nhập mật mã hóa khóa bí mật tệp PKCS#12 chọn “OK”, trình chuyển đổi thực thơng báo hình Hình 4.13 Giao diện thơng báo chuyển đổi thành cơng Q trình sinh chứng kết thúc Bƣớc 4: Cấp chứng cho ngƣời dùng Bản chất bước copy chứng vào đĩa mềm cho người sử dụng Để thực mở hình commandline, chuyển thư mục hành thành /MyCA/user, hình 4.14 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 42 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung Hình 4.14 Giao diện hình commandline Cho đĩa mềm vào ổ thực lệnh “./copyUserCert” hình 4.15 Hình 4.15 Giao diện thực thi lệnh copyUserCert Người thực nhấp số PIN người sử dụng cần copy chứng số hình 4.16 Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 43 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung Hình 4.16 Giao diện nhập số PIN Quá trình copy chứng số người sử dụng chứng CA lên đĩa mềm thực thông báo hình 4.17 Hình 4.17 Giao diện thơng báo hồn thành cấp chứng Quá trình cấp chứng số kết thúc Người sử dụng cấp đĩa mềm có chứng số họ định dạng PKCS12 chứng CA Người sử dụng thực cài đặt chứng cho ứng dụng Mail .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 44 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung Bƣớc 5: Cập nhật chứng vừa phát hành lên DAP server Để thực hiện, người quản trị chọn chức “Export Certificates to LDAP server”, hình xuất thơng báo hình 4.18 Hình 4.18 Giao diện thơng báo cập nhật chứng Ngồi chức trên, giao diện cịn hai chức chức phụ không cần quan tâm Chức “Pending Request List”: hiển thị yêu cầu chưa ký Khi chọn chức hình xuất danh sách request chưa ký hình 4.19 Hình 4.19 Giao diện chức “Pending Request List” Chức “Issue Certificate”: hiển thị danh sách chứng cấp hình 4.20 Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 45 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung Hình 4.20 Giao diện chức “Issue Certificate” Bƣớc 6: In nội dung chứng Sử dụng trang http://printcert hình Netscape xuất giao diện hình 4.21 Hình 4.21 Giao diện trang Printcert Nhấp chuột vào “Print Certificate”, hình xuất form hình 4.22 Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 46 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung Hình 4.22 Giao diện form nhập số PIN chứng Người thực gõ số PIN chứng cần in, nhấn “Continue ”, hình xuất nội dung cần in hình 4.23 Hình 4.23 Giao diện giấy chứng nhận chứng số Vào menu File trình duyệt Netscape, chọn chức Print để in nội dung chứng cấp cho người sử dụng .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 47 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tìm hiểu Hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung KẾT LUẬN Với đề tài “Tìm hiểu Hệ thống cung cấp chứng số theo mô hình sinh khóa tập trung” Em mang kiến thức học nhà trường đem vận dụng vào thực tế để xây dựng tốn Qua em có điều kiện trau dồi, nâng cao kiến thức học Đồ án cho em bước đấu làm quen với công tác báo mật, hiểu thêm cách quán lý chứng số Với yêu cầu tồn cấn đề tìm hiểu hệ thống cung cấp chứng số theo mơ hình sinh khóa tập trung bước đầu em đạt số kết sau: - Nắm kiến thức mật mã hóa cơng khai, chữ ký số chứng số - Xây dựng chương trình tạo chữ ký số xác thực chữ ký số - Tuy nhiên em chưa xây dựng mơ hình cấp phát chứng số Hướng phát triển em xây dựng mơ hính cấp phát chứng số với tính cung cấp, sửa đổi xóa Do kiến thức hạn chế nên đồ án tốt nghiệp em chắn khơng tránh khỏi thiếu sót Em mong có ý kiến đánh giá, đóng góp thày bạn để nội dung đồ án thêm hoàn thiện .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án 48 .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án