ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGÔ THU PHƯƠNG lu an va NGHIÊN CỨU CƠ SỞ HẠ TẦNG n KHĨA CƠNG KHAI PKI ỨNG DỤNG CHỨNG THỰC to p ie gh tn CHO CÁC GIAO DỊCH HÀNH CHÍNH CƠNG ĐIỆN TỬ d oa nl w ll u nf va an lu LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH oi m z at nh z m co l gm @ THÁI NGUYÊN - 2017 an Lu n va ac th si ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGÔ THU PHƯƠNG NGHIÊN CỨU CƠ SỞ HẠ TẦNG lu KHĨA CƠNG KHAI PKI ỨNG DỤNG CHỨNG THỰC an n va CHO CÁC GIAO DỊCH HÀNH CHÍNH CƠNG ĐIỆN TỬ gh tn to ie Chun ngành: Khoa học máy tính p Mã số: 60.48.01.01 d oa nl w lu ll u nf va an LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH m oi Người hướng dẫn khoa học: TS Phạm Thế Quế z at nh z m co l gm @ THÁI NGUYÊN - 2017 an Lu n va ac th si i LỜI CAM ĐOAN Tôi cam đoan công trình nghiên cứu riêng tơi, dẫn TS Phạm Thế Quế Các số liệu, kết nêu luận văn trung thực, luận văn chưa bảo vệ hội đồng chưa công bố phương tiện khác lu Thái nguyên, ngày tháng năm 2017 an n va Tác giả luận văn gh tn to p ie Ngô Thu Phương d oa nl w ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va ac th si ii LỜI CẢM ƠN Em xin chân thành cảm ơn thầy giáo TS Phạm Thế Quế tận tình hướng dẫn tạo điều kiện cho em hoàn thành luận văn Em xin chân thành cảm ơn thầy giáo, cán nhân viên phịng đào tạo, ban lãnh đạo Trường Đại học Công nghệ thông tin Truyền thông giúp đỡ tạo điều kiện cho em hoàn thành luận văn Cuối cùng, em xin chân thành cảm ơn quan tâm giúp đỡ gia đình, lu quan, bạn bè tập thể lớp Cao học K14B cổ vũ động viên em hồn thành luận an văn va Tuy cố gắng thời gian trình độ có hạn nên chắn luận n tn to văn cịn nhiều thiếu sót hạn chế định Kính mong nhận góp ý p ie gh thầy cô bạn nl w Thái nguyên, ngày tháng năm 2017 d oa Học viên va an lu ll u nf Ngô Thu Phương oi m z at nh z m co l gm @ an Lu n va ac th si iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC NHỮNG TỪ VIẾT TẮT vi DANH MỤC BẢNG vii lu DANH MỤC HÌNH viii an MỞ ĐẦU va Lý chọn đề tài n Đối tượng phạm vi nghiên cứu gh tn to Ý nghĩa khoa học đề tài .2 p ie Những nội dung nghiên cứu .2 w CHƯƠNG CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI oa nl 1.1 Hệ mật mã khóa bất đối xứng [2] d 1.1.1 Khái niệm lu an 1.1.2 Thuật toán mật mã RSA u nf va 1.1.3 Chuyển đổi văn rõ 1.1.4 Đánh giá kỹ thuật mật mã bất đối xứng ll oi m 1.1.5 Một số kỹ thuật phá mã RSA z at nh 1.1.6 Một số hệ mật mã khóa cơng khai khác .9 1.2 Hàm băm bảo mật z 1.2.1 Giới thiệu @ gm 1.2.2 Các tính chất hàm băm bảo mật 10 l 1.2.3 Ứng dụng hàm băm bảo mật 11 m co 1.2.4 Hàm băm bảo mật SHA 12 an Lu 1.2.5 Hàm băm MD5 13 1.3 Chữ ký số [2] 14 n va ac th si iv 1.3.1 Khái niệm chữ ký số .14 1.3.2 Quy trình tạo kiểm tra chữ ký số 15 1.3.3 Những vấn đề tồn chữ ký số 18 1.4 Cơ sở hạ tầng khóa cơng khai PKI [3] 19 1.4.1 Khái niệm 19 1.4.2 Chức chủ yếu PKI 21 1.4.3 Các thành phần PKI 22 1.4.4 Các thủ tục PKI 23 1.4.5 Khái niệm chứng thực số 24 lu 1.5 Một số thuật toán quản lý khóa [2] .25 an va 1.5.1 Thuật toán trao đổi khoá Diffie-Hellman 25 n 1.5.2 Đánh giá độ an tồn thuật tốn trao đổi khố Diffie-Hellman 26 to 1.5.4 Sử dụng mật mã bất đối xứng để trao đổi khóa bí mật 29 ie gh tn 1.5.3 Quản lý khố cơng khai mật mã bất đối xứng 27 p Kết luận chương 31 nl w CHƯƠNG KỸ THUẬT XÁC THỰC THÔNG TIN TRONG GIAO DỊCH d oa ĐIỆN TỬ 32 an lu 2.1 Giới thiệu chung xác thực thông tin 32 va 2.2 Các kỹ thuật xác thực thông tin [2] 33 u nf 2.2.1 Sử dụng thuật tốn mật mã khóa đối xứng .34 ll 2.2.2 Sử dụng thuật tốn mật mã khóa bất đối xứng 35 m oi 2.2.3 Sử dụng mã xác thực MAC .36 z at nh 2.2.4 Sử dụng hàm băm bảo mật .37 2.2.5 Xác thực thông tin dùng chữ ký điện tử 38 z gm @ 2.2.6 Xác thực thông tin dùng chữ ký điện tử chứng thực điện tử 40 2.3 Các giao thức xác thực 42 l m co 2.3.1 Mật 42 2.3.2 Các giao thức xác thực mơ hình điểm - điểm 43 an Lu 2.3.3 Xác thực hệ thống phân tán .44 n va ac th si v 2.3.4 Giao thức xác thực Kerberos 48 2.3.5 Giao thức xác thực Kerberos 52 Kết luận chương 55 CHƯƠNG GIẢI PHÁP XÁC THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CƠNG ĐIỆN TỬ 56 3.1 Dịch vụ hành cơng .56 3.1.1 Khái niệm 57 3.1.2 Các đặc trưng dịch vụ hành cơng 57 3.2 Mơ hình xác thực người dùng hành cơng 58 lu 3.2.1 Các thành phần hệ thống xác thực 58 an va 3.2.2 Hệ thống ký hiệu 59 n 60 to gh tn 3.2.3 Hoạt động hệ thống xác thực thông tin Error! Bookmark not defined ie 3.3 Các quy trình xác thực hệ thống thơng tin hành cơng 60 p 3.3.1 Quy trình cấp quản lý chứng thực khóa 60 nl w 3.3.2 Quy trình xác thực thơng tin 63 d oa 3.3.3 Một số nhận xét 64 an lu 3.4 Cài đặt thử nghiệm 65 va 3.5 Đánh giá kết thử nghiệm Error! Bookmark not defined u nf KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 68 ll TÀI LIỆU THAM KHẢO 70 oi m z at nh z m co l gm @ an Lu n va ac th si vi DANH MỤC NHỮNG TỪ VIẾT TẮT AES ANSI lu CA CRL DES DNS DSA DSS EDI FIPS an n va p ie gh tn to FTP HTTP IDEA Chuẩn mã hoá tiên tiến Viện tiêu chuẩn quốc gia Mỹ Nhà cung cấp chứng thực Danh sách chứng thực thu hồi Chuẩn mã liệu Hệ thống tên miền Thuật toán chữ ký điện tử Chuẩn chữ ký điện tử Trao đổi liệu điện tử Chuẩn xử lý thông tin liên bang Mỹ Giao thức truyền file Giao thức truyền siêu văn Thuật toán mã hoá liệu quốc tế Tổ chức tiêu chuẩn hoá quốc tế Nhà cung cấp dịch vụ Internet Liên minh viễn thông quốc tế d u nf Viện quốc gia chuẩn công nghệ Kết nối hệ thống mở ll MD5 NIST va an lu ISP ITU oa nl w ISO Advanced Encryption Standard American National Standards Institude Certification Authority Certificate Revocation List Data Ecryption Standard Domain Name System Digital Signature Algorithm Digital Signature Standard Electronic Data Interchange Federal Information Processing Standard File Transfer Protocol Hyper Text Transport Protocol International Data Encryption Algorithm International Organization for Standardization Internet Service Provider International Telecommunication Union Message Digest National Institute of Standards and Technology Open System Interconnection Pretty Good Private Public Key Infrastructure Registration Authority Rivest-Shamir-Aldeman Secure Electronic Transaction Secure Hash Algorithm Transmission Control Protocol / Internet protocol Uniform Resource Locator z at nh z Cơ sở hạ tầng khố cơng khai Nhà quản lý đăng ký gm @ Giao dịch điện tử an tồn Thuật tốn băm an tồn Giao thức điều khiển truyền dẫn/ giao thức Internet Bộ định vị tài nguyên m co l an Lu URL oi m OSI PGP PKI RA RSA SET SHA TCP/IP n va ac th si vii DANH MỤC BẢNG Bảng 1.1: Các phiên SHA 13 Bảng 1.2: So sánh thông số SHA-1 MD5 13 Bảng 3.1: Kết thử nghiệm 67 lu an n va p ie gh tn to d oa nl w ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va ac th si viii DANH MỤC HÌNH lu an n va p ie gh tn to Hình 1.1: Cấu trúc hệ thống mật mã khóa bất đối xứng .5 Hình 1.2: Một ứng dụng điển hình hàm băm .10 Hình 1.3: Định nghĩa chữ ký số 15 Hình 1.4: Sơ đồ tổng quát tạo chữ ký số 16 Hình 1.5: Sơ đồ tổng quát kiểm tra chữ ký số 17 Hình 1.6: Sơ đồ tổng quát tạo kiểm tra chữ ký số 17 Hình 1.7: Các thành phần PKI .23 Hình 1.8: Thuật toán trao đổi khoá Diffie-Hellman 26 Hình 1.9: Dùng mật mã bất đối xứng để trao đổi khoá 29 Hình 2.1: Xác thực thơng tin dùng mật mã đối xứng .34 Hình 2.2: Sử dụng khóa bất đối xứng để trao đổi khóa bí mật 35 Hình 2.3: Xác thực thông tin dùng mật mã bất đối xứng 35 Hình 2.4: Xác thực thơng tin dùng MAC 36 Hình 2.5: Xác thực thơng tin dùng hàm băm 37 Hình 2.6: Xác thực dùng hàm băm mật mã bất đối xứng 38 Hình 2.7: Xác thực thông tin dùng chữ ký số 39 Hình 2.8: Xác thực thơng tin dùng chữ ký số 39 Hình 2.9: Minh hoạ xác thực sử dụng chứng số chữ ký điện tử 40 Hình 2.10: Sơ đồ minh họa trình xin cấp chứng số 41 Hình 2.11: Giao thức xác thực PAP 44 Hình 2.12: Giao thức xác thực CHAP 44 Hình 2.13: Thủ tục xác thực Kerberos 49 Hình 2.14: Xác thực hai lãnh địa Kerberos 52 Hình 3.1: Mơ hình tổng quát cấp chứng thực khóa 62 Hình 3.2: Quy trình khởi tạo chứng thực khóa cho người sử dụng 63 Hình 3.3: Giao diện chương trình demo chữ ký số Error! Bookmark not defined Hình 3.4: Giao diện kiểm tra chuỗi toàn vẹn Error! Bookmark not defined d oa nl w ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va ac th si 56 CHƯƠNG GIẢI PHÁP XÁC THỰC CHO CÁC GIAO DỊCH HÀNH CHÍNH CƠNG ĐIỆN TỬ 3.1 Dịch vụ hành cơng 3.1.1 Khái niệm Dịch vụ cơng hoạt động phục vụ lợi ích chung, thiết yếu, quyền nghĩa vụ tổ chức công dân Nhà nước trực tiếp thực chuyển giao cho sở Nhà nước thực nhằm mục tiêu hiệu lu công an n va Dịch vụ hành cơng loại hình dịch vụ cơng quan hành công dân Được thực dựa thẩm quyền hành - pháp lý Nhà nước 3.1.2 Các đặc trưng dịch vụ hành cơng ie gh tn to Nhà nước thực để phục vụ quyền nghĩa vụ tổ chức p Dịch vụ hành cơng gắn liền với thẩm quyền hành pháp lý nl w máy Nhà nước nên loại dịch vụ quan hành Nhà nước d oa thực hiện, việc cấp loại giấy phép, giấy khai sinh, chứng minh thư, an lu công chứng, xử lý xử phạt hành chính, kiểm tra tra hành … va Dịch vụ hành cơng phục vụ cho hoạt động quản lý Nhà nước, u nf hoạt động nhằm phục vụ cho chức quản lý; dịch vụ mà Nhà ll nước bắt buộc khuyến khích người dân phải làm để đảm bảo trật tự an toàn xã m oi hội; quy định có tính chất bắt buộc Nhà nước Càng nhiều người sử z at nh dụng dịch vụ hành cơng tạo điều kiện cho hoạt động quản lý Nhà nước tốt z gm @ Dịch vụ hành cơng hoạt động khơng vu lợi, có thu tiền thu dạng phí lệ phí để nộp ngân sách Nhà nước l m co Mọi người dân có quyền ngang việc tiếp cận sử dụng dịch vụ với tư cách đối tượng phục vụ quyền Nhà nước có trách nhiệm an Lu nghĩa vụ phục vụ cho người dân n va ac th si 57 3.1.3 Các mức độ dịch vụ hành cơng Giao dịch hành công chế giải công việc tổ chức, công dân thuộc thẩm quyền quan hành nhà nước từ tiếp nhận yêu cầu, hồ sơ đến trả kết thông qua đầu mối Hành cơng có mức độ dịch vụ khác nhau: Mức độ 1: Là dịch vụ bảo đảm cung cấp đầy đủ thông tin thủ tục hành văn có liên quan quy định thủ tục hành Mức độ : Là dịch vụ công trực tuyến mức độ cho phép người sử dụng tải mẫu văn khai báo để hoàn thiện hồ sơ theo yêu cầu Hồ sơ sau hoàn thiện gửi trực tiếp qua đường bưu điện đến quan, tổ chức cung lu cấp dịch vụ an va Mức độ : Là dịch vụ công trực tuyến mức độ cho phép người sử dụng n điền gửi trực tuyến mẫu văn đến quan, tổ chức cung cấp dịch vụ Các tn to giao dịch trình xử lý hồ sơ cung cấp dịch vụ thực môi gh trường mạng Việc tốn lệ phí (nếu có) nhận kết thực trực p ie tiếp quan, tổ chức cung cấp dịch vụ Mức độ 4: dịch vụ công trực tuyến mức độ cho phép người sử dụng nl w tốn lệ phí (nếu có) thực trực tuyến Việc trả kết oa thực trực tuyến, gửi trực tiếp qua đường bưu điện đến người sử dụng d 3.1.4 Một số dịch vụ hành cơng lu va an Lĩnh vực Báo chí u nf - Cấp giấy phép họp báo ll - Cấp giấy phép xuất bản tin m oi - Cấp phép thành lập hoạt động văn phịng đại diện quan báo chí z at nh - Cấp phép hoạt động phóng viên thường trú quan báo chí Lĩnh vực Xuất - Thủ tục đăng ký sử dụng máy photocopy màu m co l gm @ - Đăng ký hoạt động sở in z - Cấp giấy phép hoạt động in - Cấp giấy phép tổ chức triển lãm, hội chợ xuất phẩm an Lu - Cấp giấy phép xuất tài liệu không kinh doanh n va - Cấp giấy phép nhập xuất phẩm không kinh doanh ac th si 58 Lĩnh vực Phát thanh, truyền hình Thơng tin điện tử - Cấp giấy phép thiết lập trang thông tin điện tử tổng hợp - Gia hạn giấy phép thiết lập trang thông tin điện tử tổng hợp - Cấp lại giấy phép thiết lập mạng thông tin điện tử tổng hợp Lĩnh vực Công nghệ thông tin - Thủ tục thẩm định thiết kế sơ dự án đầu tư ứng dụng công nghệ thông tin (dự án nhóm B, C) sử dụng nguồn vốn ngân sách Nhà nước UBND cấp tỉnh, cấp huyện, cấp xã định đầu tư Lĩnh vực Bưu chính, Viễn Thơng lu - Cấp giấy phép bưu an va - Cấp văn xác nhận văn thông báo hoạt động bưu n - Văn chấp thuận vị trí xây dựng, lắp đặt trạm thu phát sóng thông tin di tn to động (BTS) gh - Thông báo thời gian thức bắt đầu cung cấp trị chơi G2, G3, G4 p ie mạng cho công cộng w - Thông báo thay đổi phương thức, phạm vi cung cấp dịch vụ trò chơi điện tử oa nl G1 mạng phê duyệt d − Thơng báo thời gian thức cung cấp trị chơi điện tử mạng an lu 3.2 Mơ hình xác thực người dùng hành cơng va 3.2.1 Các thành phần hệ thống xác thực u nf Người sử dụng đầu cuối (End Entity): Là tổ chức, doanh nghiệp, cá ll nhân, phần mềm thiết bị tham gia vào trình trao đổi thông oi m tin tham gia giao dịch hành cơng, sử dụng mật mã khóa cơng khai, gọi tắt z at nh thực thể đầu cuối Các thực thể có cặp khóa cơng khai PU khóa riêng z PR, khóa cơng khai PU phổ biến PKI dạng chứng thực gm @ khóa, cịn khóa bí mật thực thể quản lý, sở hữu riêng l Trung tâm chứng thực - CA (Certificate Authority): Là quan có thẩm m co quyền cấp quản lý chứng thực khóa cơng khai thực thể đầu cuối Chứng thực khóa cơng khai (gọi tắt chứng thực) Nội dung chứng thực an Lu bao gồm thông tin: n va ac th si 59 − Khóa cơng khai PU thực thể đầu cuối ủy quyền cho CA phổ biến − Thông tin cá nhân thực thể đầu cuối tham gia: Tên, định danh, địa tổ chức, doanh nghiệp, cá nhân − Chữ ký số tổ chức xác thực CA Vì vậy, CA phải thực thể tin cậy, không, chữ ký CA khơng có ý nghĩa Máy chủ chứng thực - AS (Authority Server) Cơ sở liệu lưu trữ chứng thực khóa thực thể đầu cuối, Trung tâm chứng thực - CA Máy chủ xử lý - RA (Registration Authority): Tiếp nhận yêu cầu cấp quản lý thẻ chứng thực khóa cho thực thể đầu cuối Có số chức xử lý số công việc quản lý nhằm giảm tải cho AS, chẳng hạn đăng ký thực thể lu an đầu cuối, kiểm chứng thực thể đầu cuối, tạo cặp khóa Public- Private, … n va 3.2.2 Hệ thống ký hiệu to − PUA: Khóa cơng khai thực thể đầu cuối A − KCA-A: Khóa bí mật dùng chung chothực thể A Trung tâm xác thực − H(M): Hàm băm bảo mật, H = {MD5 SHA} p ie gh tn − PRA: Khóa riêng (khóa bí mật) thực thực thể đầu cuối A nl w − E(M, K): Mã hóa tin M khóaK = {PUA ,PRA K} oa − D(M, K): Giải mã tin M khóa K d − DSA: Chữ ký số thực thể A lu va an − CA: Thẻ “Chứng thực khóa” thực thể A u nf − TA : Là thời gian có hiệu lực thẻ “Chứng thực khóa” A ll − DSCA-A: Chữ ký số Trung tâm chứng thực ký vào chứng thực CA oi m − AS: Máy chủ chứng thực, Trung tâm lưu trữ thẻ “Chứng thực khóa” z at nh − Thực thể đầu cuối là; ü Tổ chức, doanh nghiêp, công ty, cá nhân, 3.2.3 Hoạt động hệ thống xác thực thông tin m co l gm @ ü Phần mềm, z ü Thiết bị: Server, Router,… Đăng ký (Registration): Là thủ tục mà thực thể đầu cuối yêu cầu cấp an Lu chứng thực khóa n va ac th si 60 Khởi tạo (Initialization): Khởi tạo thực thể đầu cuối có nhu cầu xin cấp phát chứng thực số.Tạo cặp khóa Public/Private Chứng thực (Certification):RA tạo chứng thực khóa cho thực thể đầu cuối, ứng với khóa cơng khai vừa tạo giai đọan khởi tạo thực thể đầu cuối cung cấp Phục hồi khóa (Key Pair Recovery): Cho phép phục hồi khóa cũ.Để khơi phục liệu bị mã hố, cần phải có thủ tục để lấy lại khố Cập nhật khóa (Key PairUpdate): Sau khoảng thời gian hiệu lực, chứng thực khóa bị thu hồi (Revoke) Thủ tục Key PairUpdate có tác dụng gia hạn hiệu lực chứng thực khóa, cho phép chứng thực khóa tiếp tục tồn sau lu an hết thời gian hiệu lực n va Yêu cầu thu hồi chứng thực khóa (Revocation request): Các trường hợp hồi chứng thực khóa Thủ tục cho phép thực thể đầu cuối yêu cầu thu hồi tn to khóa riêng bị lộ, hoặcvì lý đó, người sử dụng đầu cuối yêu cầu thu ie gh chứng thực khóa chưa hết hiệu lực p 3.3 Các quy trình xác thực hệ thống thơng tin hành cơng 3.3.1 Quy trình cấp quản lý chứng thực khóa w oa nl Quy trình quy định thủ tục tổ chức, doanh nghiệp, công ty, cá d nhân… trước tham gia vào giao dịch hành cơng, cần phải làm thủ tục an lu đăng ký cấp thẻ “chứng thực khóa” Q trình tương tự va doanh nghiệp trước hoạt động cần phải đăng ký dấu, chữ ký cho quan có u nf thẩm quyền để xác nhận dấu chữ ký hợp pháp Và dấu, chữ ký phải ll lưu trữ tàng thư m oi Các bước đăng ký cấp thẻ “Chứng thực khóa” mơi trường sở hạ z at nh tầng khóa cơng khai PKI sau: Thực thể A yêu cầu cấp thẻ “Chứng thực khóa” z @ • Các phần mềm hỗ trợ: m co ü Hàm băm bảo mật H = {MD5 SHA} l ü Mật mã khóa bất đối xứng (RSA) gm ü Mật mã khóa đối xứng (DES, AES, TDES, ) thuật toán RSA an Lu • Thực thể A tạo cặp khóa cơng khai PUA khóa riêng (bí mật) PRA n va ac th si 61 • Tạo chữ ký số:DSA = E[H(IDA + Thơng tin cá nhân)] • Truy nhập vào Server RA để nhận khóa cơng khai Trung tâm PUCA • Tạo tin yêu cầu CA cấp thẻ “Chứng thực khóa”: A →RA: E([IDA + Thơng tin cá nhân + PUA + DS A), PUCA)] Máy chủ RA (Trung tâm hệ thống): • Tạo khóa cơng khai PUCA khóa bí mật PRCA thuật tốn RSA • Nhận từ A: E([IDA + Thông tin CN + PUA + DS A), PUCA)] • Giải mã: D[E([IDA + Thơng tin CN + PUA + DS A), PUCA)], PRCA] • Thơng tin sau giải mã:IDA + Thông tin CN + PUA + DSA lu • Tạo chữ ký số Trung tâm cấp thẻ CA ký thẻ “Chứng thực khóa” A:DSCAA = E[H(IDA + PUA + TA ), PRCA] an n va • Tạo thẻ “Chứng thực khóa”: CA = (IDA + PUA + TA + DSA + DSCA-A) Trong TA thời gian hiệu lực thẻ “Chứng thực khóa” to tn • Server RA cấp thẻ cho thực thể A: • Thẻ “Chứng thực khóa” thông tin A lưu trữ Server AS • RA → CA:(IDA + Thông tin CN + PUA + TA + DSA+ DSCA-A) Thực thể A nhận thẻ “Chứng thực khóa” p ie gh RA → A: E[(IDA + PUA + TA + DSA+ DSCA-A), PUA] nl w oa • Nhận từ RA:E[(IDA + PUA + TA + DSA+ DSCA-A), PUA] d • Giải mã:D[E[(IDA + PUA + TA + DSA+ DSCA-A), PUU], PRA] lu ll u nf va an • “Chứng thực khóa” A: CA = (IDA + PUA + TA + DSA+ DSCA-A) • Thực thể A kiểm chứng chữ ký: DSA DSCA-A ü D[DSA, PUA] = H(IDA + Thông tin nhân) giá trị băm nhận, so sánh với giá trị băm H(IDA + Thông tin nhân) nguyên gốc ü D[DSCA-A, PUCA] = H(IDA + PUA + TA ) giá trị băm nhận, so sánh với với giá trị bămH(IDA + PUA + TA), đóIDA+ PUA TAlà thời gian hiệu lực thể CA cấp ü Nếu kiểm chứng cho kết sai, thực thể A yêu cầu Server CA cấp lại thẻ “Chứng thực khóa” Trung tâm chứng thực CA tạo chứng thực khóa cơng khai cho thực thể sử dụng đầu cuối, cách mã hố khối thơng tin bao gồm: Mã nhận dạng thực thể IDA, thông tin nhân thực thể khố cơng khai PU thực thể, thời điểm hiệu lực chứng thực, thời gian bắt đầu kết thúc Khối thông tin mã hóa khóa cơng khai người dùng oi m z at nh z m co l gm @ an Lu n va ac th si 62 Như vậy, thực thể cấp thẻ “Chứng thực khóa” Bắt đầu từ lúc này, thực thể trao đổi khóa cơng khai cho Trung tâm xác thực kiểm tra tính hợp pháp thời hạn hiệu lực chứng thực Để tránh tình giả mạo CA, thực thể đầu cuối phải gửi yêu cầu cấp phát chứng thực đến CA kênh bảo mật, có áp dụng chế xác thực chặt chẽ lu an n va p ie gh tn to d oa nl w ll u nf va an lu oi m Hình 3.1: Mơ hình tổng qt cấp chứng thực khóa z at nh Quy trình quản lý chứng thực khóa: 1) Thủ tục người sử dụng yêu cầu Trung tâm cấp chứng thực khóa a) Thủ tục yêu cầu:E([IDA + Thông tin cá nhân + PUA + DS A), PUCA)] b) Thẻ chứng thựckhóa:E[(IDA + PUA + TA + DSA+ DSCA-A), PUA] 2) Thủ tục cấp phát quản lý chứng thực khóa Trung tâm chứng thực (IDA + Thông tin CN + PUA + TA + DSA+ DSCA-A) Trong đó: IDA: Định danh tổ chức, doanh nghiệp, cá nhân, Thông tin cá nhân: Tên, địa chỉ, định danh yêu cầu, ngày, tổ chức, doanh nghiệp, cá nhân z m co l gm @ an Lu n va ac th si 63 PUA: Khóa cơng khaicủa tổ chức, doanh nghiệp, cá nhân DSA: Chữ ký số tổ chức, doanh nghiệp, cá nhân TA : Thời gian hiệu lực chứng thực số PUCA : Khóa công khai củaTrung tân chứng thưc DSCA-A: Chữ ký số củaTrung tân chứng thưc khóa ký vào thẻ chứng thực khóa người dùng Máy chủ AS lu an n va CA = (IDA + PUA + TA + DSA+ DSCA-A) gh tn to (IDA + Thông tin CN + PUA + TA + DSA+ DSCA-A)   p ie Người sử dụng w E[(IDA + PUA + TA + DSA+ DSCA-A), PU A] Máy chủ RA oa nl (User)   d Hình 3.2: Quy trình khởi tạo chứng thực khóa cho người sử dụng 3.3.2 Quy trình xác thực thông tin Giả sử tổ chức, doanh nghiệp, công ty , ký hiệu thực thể A gửi tài liệu M cho thực thể B Tài liệu M giấy phép nhập xuất phẩm không kinh doanh, xuất phẩm nhập khơng kinh doanh…, quy trình xác thực sau: Trên thực thể người sử dụng A: ll u nf va an lu oi m z at nh • A truy nhập vào Server RA tìm khóa cơng khai B:PUB z • Mã hóa tài liệu M thuật tốn mật mã đối xứng với khóa bí mật KABchung thực thể A B: MK = E(M, KAB) gm @ m co l • A gửi thơng tin sang B mã khóa riêng B: E[(MK+KAB+CA] = E[MK +K+ (IDA +PUA +TA + DSA+ DSCA-A), PUB] Trên thực thể B: an Lu • B nhận: E[(MK+KAB+CA] = E[MK+ K+(IDA+ PUA+ TA + DSA+ DSCA-A), PUB] n va ac th si 64 • Giải mã:D[E[MK+KAB+(IDA + PUA+ TA+ DSA+DSCA-A), PUB], PRB] • Kết giải mã:MK + KAB + (IDA + PUA + TA + DSA+ DSCA-A) • Giả mã khóa chung KABnhận rõ:D(MK , K) =M • Thực thể B yêu cầu Server RA xác minh thẻ “Chứng thực khóa”A: E[(IDA + PUA + TA + DSA+ DSCA-A), PUCA-B] Máy chủ RA xác minh chữ ký số thẻ “Chứng thực khóa” A: • Giải mã:D[E[(IDA + PUA + TA + DSA+ DSCA-A), PUCA-B], PUCA-B] • Thơng tin sau giải mã: IDA + PUA + TA + DSA+ DSCA-A lu • Xác minh: ü Mã định danh IDA A ü Chữ ký sốDSA A ü Chữ ký sốDSCA-A CA ü Thời gian TA có cịn hiệu lực an n va p ie gh tn to • Server RA trả lời cho thực thể B kết xác minh Để bắt đầu trao đổi thông tin với nhau, thực thể sử dụng mật mã bất đối xứng Hai thực thể A B trao đổi chứng thực khóa cho để thực thể nhận khố cơng khai thực thể Nhờ thực thể tin cậy thứ làm trung gian để tạo chứng thực khóa, khố w oa nl cơng khai phân phối cách an tồn mà khơng bị giả mạo d 3.3.3 Một số nhận xét an lu Mơ hình xác thực thơng tin mơi trường sở hạ tầng khóa công khai u nf bảo va PKI, sử dụng chữ ký số ký qua bên thứ tin cậy, có tính pháp lý Quy trình đảm ll − Thơng tin trao đổi thực thể đảm bảo bí mật tồn vẹn hai m oi khía cạnh nội dung nguồn gốc thông tin z at nh − Xác minh nguồn gốc nơi phát sinh nơi nhận thông tin − Các thực thể tham gia khơng thể phủ nhận tính pháp lý giao z @ dịch Không thể chối cãi nguồn gốc thông tin gửi nhận m co l khai nhận diện chủ sở hữu khóa gm − Mỗi thực thể đọc chứng thực khóa để biết khóa cơng − Mỗi thực thể xác thực thơng tin chứng thực khóa an Lu xác nhờ vào chữ ký thực thể tin cậy thứ n va ac th si 65 − Chỉ có người chứng thực (Certificate Authority hay CA) có quyền tạo cập nhật chứng thực khóa − Mơ hình xác thực thơng tin mơi trường PKI sử dụng hai máy chủ Trung tâm xác thực: ü Server CA có chức lưu trữ thẻ “Chứng thực khóa” thơng tin nhân thực thể đầu cuối Nó hoạt động hồn tồn độc lập với mơi trường mạng Vì vậy, khơng thể có người sử dụng đầu cuối hợp lệ hay khơng hợp lệ lại truy xuất trực tiếp vào nó, mà phải thơng qua máy chủ trung gian RA Trung tâm Vì liệu máy chủ CA hoàn toàn tuyệt mật, đảm bảo tuyệt đối an tồn thơng tin cho hệ thống lu an ü Server RA máy chủ trung gian, có chức giao tiếp trực tiếp va người sử dụng với hệ thống Tiếp nhận, xử lý yêu cầu truy nhập thực n thể đầu cuối Có chức kiểm tra, giám sát hoạt động hệ thống Nó kết tn to nối với máy chủ CA kết nối an tồn Nó làm việc chứng thực khóa, p ie gh thường xuyên cập nhật cho máy chủ CA Tóm lại mơ hình xác thực thơng tin mơi trường sở hạ tầng khóa cơng khai PKI, đảm bảo an tồn, bí mật cho giao dịch điện tử w oa nl 3.4 Triển khai thử nghiệm d Ứng dụng java mơ q trình ký xác thực chữ ký ll u nf va an lu oi m z at nh z m co l gm @ an Lu Hình 3.3: Giao diện chương trình demo chữ ký số n va ac th si 66 Trình tạo khóa tạo cặp khóa 1024 bit Nội dung thông điệp tập tin nạp vào sử dụng khóa bí mật tạo hàm băm SHA1 đầu vào sau tạo thành chữ ký Việc tương ứng với cặp mã bí mật cơng khai tạo USB token, khóa bí mật lưu trữ USB token, khóa cơng khai lưu trữ máy chủ Root-CA Quá trình giải mã dựa vào chữ ký tạo trình ký nội dung văn bản, đối chiếu với hàm băm SHA1 khóa cơng khai để kiểm tra xem văn có tồn vẹn hay khơng, bị sửa chữa hay chưa, đồng thời kiểm tra xác thực người ký văn với cặp mã cơng khai bí mật lu an n va p ie gh tn to d oa nl w va an lu 3.5 Kết thử nghiệm ll u nf Hình 3.4: Giao diện kiểm tra chuỗi toàn vẹn m oi - Chữ ký số mã hóa RSA/SHA1 đảm bảo tính bảo mật cao Ứng dụng hoạt z at nh động xác, kiểm tra xác văn bản, tệp tin khơng bị thay đổi Nếu có thay đổi hệ thống báo file bị thay đổi z - Xác định xác định danh khóa cơng khai cặp khóa bí mật, cơng @ gm khai Khi thay đổi khóa cơng khai khóa bí mật bị thay đổi trước l mã hóa tệp tin thơng xác nhận tệp tin ký xác m co Đánh giá kết 100 lần thử nghiệm với thao tác: Thay đổi khóa bí mật, an Lu thay đổi khóa cơng khai, thay đổi file gốc file gốc ảnh, thay đổi file gốc file gốc text Kết thử nghiệm ghi chép bảng 3.2 n va ac th si 67 Bảng 3.1 Kết thử nghiệm STT Nội dung Số lần thử nghiệm 100 Kết nhận dạng 100 Tỷ lệ nhận dạng 100% Thay đổi khóa bí mật Thay đổi khóa cơng khai 100 100 100% Thay đổi input file ảnh 100 100 100% Thay đổi input file text 100 100 100% lu an - Chữ ký số mã hóa RSA/SHA1 đảm bảo tính bảo mật cao Ứng dụng hoạt va n động xác, kiểm tra xác văn bản, tệp tin khơng bị thay đổi Nếu có thay tn to đổi hệ thống báo file bị thay đổi ie gh - Xác định xác định danh khóa cơng khai cặp khóa bí mật, cơng p khai Khi thay đổi khóa cơng khai khóa bí mật bị thay đổi trước d oa nl w mã hóa tệp tin thơng xác nhận tệp tin ký xác ll u nf va an lu oi m z at nh z m co l gm @ an Lu n va ac th si 68 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Những kết nghiên cứu lý thuyết an tồn xác thực thơng tin: Xác thực chế có vai trị bảo đảm an tồn cho thực thể trao đổi thơng tin hệ thống Kỹ thuật mật mã bảo vệ tính bí mật tính tồn vẹn thông tin Kỹ thuật mật mã đại chia thành hai loại: Mật mã khóa đối xứng (Symmetric Key Encryption) cịn gọi mật mã khóa bí mật mật mã khóa bất đối xứng (Asymmetric Key Encryption) hay gọi mật mã khóa cơng khai lu an Mật mã khóa đối xứng sử dụng khóa cho việc mã hóa giải n va mã Yêu cầu phải giữ tuyệt đối bí mật việc trao đổi thông tin thực thể cao, dung lượng thơng tin lớn Các thuật tốn mật mã khóa đối xứng phổ biến bao gh tn to tham gia giao dịch Nó thích hợp với việc thực thi phần cứng, tốc độ mã hoá Mật mã khóa bất đối xứng sử dụng hai khóa khác cho q trình mã hóa p ie gồm DES, Blowfish, IDEA, AES … w giải mã Một hai khóa khóa cơng khai (Public Key) phổ biến công oa nl khai cho thực thể truy xuất khóa cịn lại khóa d riêng (Private Key) cịn gọi khóa bí mật, giữ bí mật, có chủ thể khóa an lu biết Mã hóa khóa công khai xây dựng dựa chủ yếu hàm tốn học, va thích hợp với thực thi phần mềm tốc độ mã hoá thấp, phù hợp với ll m u nf tài liệu dung lượng nhỏ RSA thuật toán mật mã khóa bất đối xứng phổ biến oi Mật mã khóa bất đối xứng có nhiều ứng dụng khác như: mật mã thông z at nh tin, tạo chữ ký số, trao đổi khóa bí mật mật mã khóa đối xứng … Hàm băm bảo mật (Secure Hash Function) chế dùng việc xác z @ thực thông tin (Message Authentication) Nguyên tắc hàm băm biến đổi khối gm thông tin gốc thành giá trị kiểm tra có kích thước cố định gọi giá trị băm (mã l băm), giá trị gửi đính kèm với thơng tin gốc Khi nhận, thông tin nhận m co đưa vào hàm băm để tạo giá trị kiểm tra Nếu hai giá trị băm bên gửi an Lu bên nhận trùng nhau, thông tin xem xác thực Nếu giá trị băm mã hóa khóa công khai mật mã bất đối xứng, tạo thành chữ ký số thành n va ac th si 69 phần số thuật toán mật mã dùng thuật tốn xác thực thơng tin (Message Authentication), Chữ ký số (digital signature) kỹ thuật nhận dạng thực thể thông tin với thông tin thực thể tạo Ứng dụng chữ ký số chứng thực đảm bảo tính khơng thể phủ nhận (Non Repudiation) thơng tin Có thể chữ ký số ký trực tiếp ký thông qua trọng tài Chuẩn chữ ký số RSA sử dụng thuật toán RSA, tạo chữ ký số dựa hàm băm bảo mật (MD5, SHA) kỹ thuật mật mã khóa bất đối xứng (RSA) Mật mã khóa cơng khai có ưu điểm có chế phân phối khóa cơng khai cách an toàn hiệu cho thực thể hệ thống Chứng lu thực khóa cơng khai (Certificate) mà chế hiệu để thực vấn đề an va Mỗi chứng thực khóa bao gồm nhận dạng thực thể đầu cuối, khóa cơng khai n thực thể đầu cuối xác nhận (bằng chữ ký số) thực thể thứ Một hệ tn to thống cung cấp chế tạo quản lý chứng thực khóa gọi sở hạ tầng Về ứng dụng thực tế, em đề xuất mơ hình xác thực cho hệ thống thơng p ie gh khóa cơng khai PKI w tin dịch vụ hành cơng theo mơ hình phân tán Yêu cầu phải quản lý oa nl thực thể truy xuất thông tin cho phải đảm bảo tuyệt đối an toàn cho hệ thống cho thực thể tham gia hoạt động giao dịch hệ thống Các mơ hình d an lu xây dựng theo mơ hình xác thực người sử dụng tham gia giao dịch truy va xuất thông tin Nghĩa thực thể muốn có quyền truy xuất thơng tin hệ u nf thống, trước tiên thực thể phải đăng ký phải hệ thống cấp phép Và ll quyền truy xuất thực thể phải hệ thống kiểm sốt mơ hình m oi xác thực sử dụng dịch vụ thông tin hệ thống z at nh Với kết đạt xu phát triển mạnh ngành an toàn bảo mật liệu, em nhận thấy kỹ thuật xác thực cần tiếp tục z nghiên cứu, cải tiến áp dụng rộng rãi thực tế @ gm Trong trình thực luận văn, điều kiện thời gian kiến thức l hạn chế, luận văn khơng thể tránh khỏi sai sót, em mong m co tham gia góp ý quý thầy cô bạn để luận văn hoàn chỉnh an Lu n va ac th si 70 TÀI LIỆU THAM KHẢO Tiếng Việt: [1] Phan Đình Diệu, Lý thuyết mật mã an tồn thơng tin, NXB Đại học Quốc Gia Hà Nội, 2002 [2] Nguyễn Linh Giang, An tồn An ninh thơng tin mạng, Đại học Bách khoa Hà Nội, 2015 [3] Trịnh Nhật Tiến, An toàn liệu, NXB Đại học Quốc Gia Hà Nội, 2008 Tiếng Anh: lu [4] Jin Li, Kui Ren, Kwangjo Kim, Accountable Attribute Based Encyption for an va Abuse Free Access Control, Cryptology ePrint Archive, Report 2009/118, n 2009 http://eprint.iacr.org Practices, Fourth Edition, 2005 ie gh tn to [5] William Stallings, Cryptography and Network Security Principles and p [6] Svetlin Nakov How, Digital Signatures Work: Digitally Signing Message, nl w 2005 d oa [7] Carlisle Adams vµ Steve Lloyd, Understanding PKI: Concepts, Standards and an lu Deployment Considerations, Addison-Wesley, 2003 va [8] Federal Information, Processing Standards Publication 180 (1995), Secure ll u nf Hash Standard (SHA) oi m z at nh z m co l gm @ an Lu n va ac th si