LÊ QUANG TÙNG BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ******** CÔNG NGHỆ THÔNG TIN LUẬN VĂN THẠC SĨ KHOA HỌC NGÀNH: CÔNG NGHỆ THÔNG TIN XÂY DỰNG GIẢI PHÁP ỨNG DỤNG XÁC THỰC SINH TRẮC HỌC TRONG CƠ SỞ HẠ TẦNG KHỐ CƠNG KHAI DỰA TRÊN HỆ THỐNG OPENCA LÊ QUANG TÙNG 2006-2008 HÀ NỘI 11/2008 HÀ NỘI 2008 Tai ngay!!! Ban co the xoa dong chu nay!!! 17057204961881000000 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ******** LUẬN VĂN THẠC SĨ KHOA HỌC XÂY DỰNG GIẢI PHÁP ỨNG DỤNG XÁC THỰC SINH TRẮC HỌC TRONG CƠ SỞ HẠ TẦNG KHỐ CƠNG KHAI DỰA TRÊN HỆ THỐNG OPENCA NGÀNH: CÔNG NGHỆ THÔNG TIN LÊ QUANG TÙNG Người hướng dẫn khoa học: PGS TS NGUYỄN THỊ HOÀNG LAN HÀ NỘI 11/2008 Thesis: BUILDING A METHOD TO INTEGRATE A BIOMETRIC SECURITY SYSTEM INTO A PKI SYSTEM BASED ON OPENCA Supervisor: Associate Professor, Dr Nguyen Thi Hoang Lan Student: Le Quang Tung ABSTRACT This thesis focuses on a research to create a way to integrate a Biometric security system into a PKI system based on Openca system Thesis is describes in chapters: Chapter of this thesis describes a overview of PKI systems with all components of PKI system, such as CA, RA, LDAP… at the end of chapter, X.509 format of certificate is introduced, especially extensions field of X.509 format version Chapter descibes Viet Nam Government PKI system with some policies and technical infrastructure Besides, OpenCA is present as a core of Government PKI Chapter describes biometric systems General biometric systems are well known in public and systems based on the fingerprint recognition belong, without question, to the most familiar ones Fingerprints have been used for identification and authentication for a long time because their uniqueness and reliability have been proven in everyday life Nowadays, there are a great number of such biometric systems based on fingerprint recognition on the market One group of them is used for forensic purposes (these are called dactyloscopic systems and are used in tasks of person identification) Another group of biometric systems represents the topic of interest of this chapter – access or verification systems Biometric security system is combined a biometric (fingerprint) system with some cryptographic system, if there is enough information entropy in the fingerprint Some computations of the similarity among fingerprints have already been published but they have considered the matching of fingerprints For cryptographic tasks, it is more important to exploit the information strength hidden in fingerprint papillary line structures The answer to this question can be found in this chapter Chapter is the final chapter of thesis, it is very important because it introduces a method to integrate a biometric security system into a OpenCA system after research the systems in previous chapters Detail of this method is that generating keys from minutiea of fingerprints and then using the keys encrypt private key Certificate is created with extensions field storing this keys Encrypted private key and certificate is written in a eToken MỤC LỤC MỤC LỤC DANH MỤC CÁC HÌNH VẼ Error! Bookmark not defined DANH MỤC CÁC TỪ VIẾT TẮT Error! Bookmark not defined LỜI NÓI ĐẦU Error! Bookmark not defined CHƯƠNG 1: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHỐ CƠNG KHAI Error! Bookmark not defined 1.1 Khái qt sở hạ tầng khố cơng khaiError! Bookmark not defined 1.1.1 Cơ sở hạ tầng khóa công khai (Public Key Infrastructure – PKI)Error! Bookmark 1.1.2 Các thành phần hệ thống PKIError! Bookmark not defined 1.1.3 Các loại kiến trúc trung tâm chứng thực CAError! Bookmark not define 1.2 Các hoạt động hệ thống PKIError! Bookmark not defined 1.3 Chứng thư số Error! Bookmark not defined 1.3.1 Chứng thư khố cơng khai Error! Bookmark not defined 1.3.2 Khuôn dạng chứng thư X.509 Error! Bookmark not defined CHƯƠNG 2: TÌM HIỂU HỆ THỐNG PKI CỦA CHÍNH PHỦError! Bookmark not defin 2.1 Hiện trạng PKI số nước Error! Bookmark not defined 2.2 Hiện trạng PKI Việt nam Error! Bookmark not defined 2.3 Hệ thống PKI Chính phủ Error! Bookmark not defined 2.3.1 Khung pháp lý sách Error! Bookmark not defined 2.3.2 Hạ tầng kỹ thuật Error! Bookmark not defined 2.3.3 Các ứng dụng triển khai PKI Chính phủError! Bookmark not defined 2.3.4 Hệ thống mã nguồn mở OpenCA hệ thống PKI phủError! Bookmark 2.3.4.1 Giới thiệu tổng quan Error! Bookmark not defined CHƯƠNG 3: NGHIÊN CỨU HỆ THỐNG AN NINH SINH TRẮC HỌC VÀ HƯỚNG TIẾP CẬN BIOPKI Error! Bookmark not defined 3.1 Tổng quan sinh trắc học (Biometric) Error! Bookmark not defined 3.1.1 Khái niệm chung Error! Bookmark not defined 3.1.2 Khái quát số loại sinh trắc thông dụng [11]Error! Bookmark not defined 3.1.3 Ứng dụng sinh trắc học Error! Bookmark not defined 3.1.4 Các lợi ích sinh trắc Error! Bookmark not defined 3.2 Sinh trắc vân tay đặc trưng Error! Bookmark not defined 3.2.1 Các đặc trưng chung Error! Bookmark not defined 3.2.2 Các đặc trưng cục Error! Bookmark not defined 3.2.3 Đặc trưng hướng Error! Bookmark not defined 3.3 Hệ thống sinh trắc (Biometric system) Error! Bookmark not defined 3.3.1 Các khái niệm mơ hình hoạt động hệ thống sinh trắcError! Bookmark not 3.3.2 Hệ thống thẩm định xác thực hệ thống nhận dạngError! Bookmark not define 3.3.3 Quá trình đối sánh sinh trắc hệ thống thẩm định xác thựcError! Bookmark n 3.4 Hệ thống an ninh sinh trắc (Biometric Security System)Error! Bookmark not defined 3.5 Nghiên cứu hướng tiếp cận BioPKI từ sinh trắc vân tayError! Bookmark not defined 3.5.1 Sinh khoá từ sinh trắc vân tay Error! Bookmark not defined 3.5.2 Sinh chứng thư số kết hợp với sinh trắc học vân tayError! Bookmark not defined 3.5.3 Sử dụng chứng thư số ứng dụngError! Bookmark not defined CHƯƠNG 4: XÂY DỰNG GIẢI PHÁP TÍCH HỢP SINH TRẮC VÂN TAY VÀO HỆ THỐNG OPENCA Error! Bookmark not defined 4.1 Đặt vấn đề Error! Bookmark not defined 4.2 Xây dựng giải pháp tích hợp sinh trắc vào hệ thống OpenCAError! Bookmark not de 4.2.1 Hệ thống OpenCA Error! Bookmark not defined 4.2.2 Xây dựng mơ hình tích hợp hệ thống sinh trắc vào OpenCAError! Bookmark not 4.3 Triển khai thử nghiệm hệ thống PKI Ban Cơ yếu Chính phủError! Bookmark not 4.3.1 Hệ thống triển khai thử nghiệm Error! Bookmark not defined 4.3.2 Các giao dịch PKI thử nghiệm với OpenCAError! Bookmark not defined 4.3.3 Một vài nhận xét thử nghiệm Error! Bookmark not defined 4.4 Khả triển khai giải pháp BioPKI hệ thống OpenCAError! Bookmark not de KẾT LUẬN Error! Bookmark not defined TÀI LIỆU THAM KHÁO CHÍNH Error! Bookmark not defined -1MỤC LỤC MỤC LỤC DANH MỤC CÁC HÌNH VẼ DANH MỤC CÁC TỪ VIẾT TẮT LỜI NÓI ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHỐ CƠNG KHAI 1.1 Khái qt sở hạ tầng khố cơng khai 1.1.1 Cơ sở hạ tầng khóa cơng khai (Public Key Infrastructure – PKI) 1.1.2 Các thành phần hệ thống PKI 1.1.3 Các loại kiến trúc trung tâm chứng thực CA 11 1.2 Các hoạt động hệ thống PKI 13 1.3 Chứng thư số 15 1.3.1 Chứng thư khố cơng khai 15 1.3.2 Khuôn dạng chứng thư X.509 18 CHƯƠNG 2: TÌM HIỂU HỆ THỐNG PKI CỦA CHÍNH PHỦ 26 2.1 Hiện trạng PKI số nước 26 2.2 Hiện trạng PKI Việt nam 27 2.3 Hệ thống PKI Chính phủ 29 2.3.1 Khung pháp lý sách 30 2.3.2 Hạ tầng kỹ thuật 30 2.3.3 Các ứng dụng triển khai PKI Chính phủ 34 2.3.4 Hệ thống mã nguồn mở OpenCA hệ thống PKI phủ 35 2.3.4.1 Giới thiệu tổng quan 35 CHƯƠNG 3: NGHIÊN CỨU HỆ THỐNG AN NINH SINH TRẮC HỌC VÀ HƯỚNG TIẾP CẬN BIOPKI 41 3.1 Tổng quan sinh trắc học (Biometric) 41 3.1.1 Khái niệm chung 41 3.1.2 Khái quát số loại sinh trắc thông dụng [11] 42 3.1.3 Ứng dụng sinh trắc học 45 3.1.4 Các lợi ích sinh trắc 47 3.2 Sinh trắc vân tay đặc trưng 52 3.2.1 Các đặc trưng chung 53 3.2.2 Các đặc trưng cục 56 3.2.3 Đặc trưng hướng 58 -23.3 Hệ thống sinh trắc (Biometric system) 58 3.3.1 Các khái niệm mơ hình hoạt động hệ thống sinh trắc 58 3.3.2 Hệ thống thẩm định xác thực hệ thống nhận dạng 62 3.3.3 Quá trình đối sánh sinh trắc hệ thống thẩm định xác thực 64 3.4 Hệ thống an ninh sinh trắc (Biometric Security System) 69 3.5 Nghiên cứu hướng tiếp cận BioPKI từ sinh trắc vân tay 71 3.5.1 Sinh khoá từ sinh trắc vân tay 72 3.5.2 Sinh chứng thư số kết hợp với sinh trắc học vân tay 73 3.5.3 Sử dụng chứng thư số ứng dụng 77 CHƯƠNG 4: XÂY DỰNG GIẢI PHÁP TÍCH HỢP SINH TRẮC VÂN TAY VÀO HỆ THỐNG OPENCA 80 4.1 Đặt vấn đề 80 4.2 Xây dựng giải pháp tích hợp sinh trắc vào hệ thống OpenCA 83 4.2.1 Hệ thống OpenCA 83 4.2.2 Xây dựng mơ hình tích hợp hệ thống sinh trắc vào OpenCA 83 4.3 Triển khai thử nghiệm hệ thống PKI Ban Cơ yếu Chính phủ 88 4.3.1 Hệ thống triển khai thử nghiệm 88 4.3.2 Các giao dịch PKI thử nghiệm với OpenCA 89 4.3.3 Một vài nhận xét thử nghiệm 98 4.4 Khả triển khai giải pháp BioPKI hệ thống OpenCA 99 KẾT LUẬN 102 TÀI LIỆU THAM KHÁO CHÍNH 104 -3DANH MỤC CÁC HÌNH VẼ Hình 1.1: Mơ hình kiến trúc hệ thống PKI 10 Hình 1.2 Mơ hình hệ thống CA cấp 11 Hình 1.3 Mơ hình hệ thống CA phân cấp 12 Hình 1.4 Mơ hình hệ thống CA ngang cấp 12 Hình 1.5: Quy trình đăng ký chứng thư 14 Hình 1.6: Quy trình huỷ bỏ chứng thư 14 Hình 1.7 : Chứng thư khố cơng khai đơn giản [6] 17 Hình 1.8: Khuôn dạng chứng thư số phiên dạng X.509 [6] 20 Hình 1.9: Khn dạng chứng thư số phiên dạng X.509 [6] 23 Hình 2.1: Hiện trạng PKI Việt Nam 28 Hình 2.2: Các thành phần hệ thống PKI phủ 29 Hình 2.3: Mơ hình hệ thống Chứng thực điện tử Chính phủ 31 Hình 2.4: Mơ hình hoạt động CA phủ 32 Hình 2.5: Hệ thống LDAP CA phủ 33 Hình 2.6: Hệ thống OCSP CA phủ 34 Hình 2.7: Các nút OpenCA Chính phủ 36 Hình 2.8: Các giao diện nút OpenCA Chính phủ 37 Hình 2.9: Vòng đời đối tượng [8] 38 Hình 3.1: Phân lớp sinh trắc [5] 41 Hình 3.2: Các phương pháp xác thực 46 Hình 3.3: Các sinh trắc sử dụng ứng dụng 47 Hình 3.4 Vùng mẫu dấu vân tay 54 Hình 3.5 Các đường mẫu (T) 54 Hình 3.6 Các đường mẫu hình quai 55 Hình 3.7 Các đường hình cung 55 Hình 3.8 Các đường dạng vịng xoắn 55 Hình 3.9 Các điểm trung tâm 55 Hình 3.10 Các điểm trung tâm delta 56 Hình 3.11 Số đường vân 56 Hình 3.12 Các đặc trưng cục 57 Hình 3.13 Biểu diễn điểm đặc trưng (điểm cụt rẽ nhánh) 58 Hình 3.14 Đặc trưng hướng vân 58 Hình 3.15: Một hệ thống sinh trắc điển hình [4] 59 Hình 3.16: Thẩm định nhận dạng [4] 61 Hình 3.17: Sơ đồ đăng ký, thẩm định xác thực, nhận dạng [4] 62 Hình 3.18: Đối sánh sinh trắc [4] 65 Hình 3.19: Các bước sinh khoá từ sinh trắc vân tay [4] 72 Hình 3.20: Các bước sinh chứng thư số [4] 73 -4Hình 3.21: Q trình mã hố mầm khoá xử lý băm 74 Hình 3.22: Q trình mã hố khố bí mật 75 Hình 3.23: Khuôn dạng chứng thư số 75 Hình 3.24: Ghi liệu lên eToken 76 Hình 3.25: Quá trình sử dụng chứng thư số [4] 77 Hình 3.26: Quá trình giải mã lấy khố bí mật 78 Hình 4.1 Mơ hình cụ thể hệ thống OpenCA 83 Hình 4.2: Mơ hình hệ thống BioPKI 84 Hình 4.3: Mơ hình can thiệp vào sở liệu vùng 86 Hình 4.4: Sơ đồ bảo mật dấu vân tay 87 Hình 4.5: Sơ đồ giải mã đặc trưng vân tay 88 Hình 4.6 Mơ hình thử nghiệm PKI 88 Hình 4.7: Giao diện khởi tạo CA 90 Hình 4.8: Giao diện khởi tạo sở liệu cho OpenCA 90 Hình 4.9: Giao diện sinh khóa bí mật cho CA 91 Hình 4.10: Giao diện sinh chứng thư số cho CA 91 Hình 4.11: Giao diện tạo chứng thư số cho RA 92 Hình 4.12: Chứng thư số RA 92 Hình 4.13: Giao diện tải chứng thư số cho RA 93 Hình 4.14: Tạo request 94 Hình 4.15: Giao diện nhập thơng tin cá nhân 94 Hình 4.16: Request tạo 95 Hình 4.17: Giao diện nhập thơng tin cá nhân 95 Hình 4.18: Giao diện xử lý request 96 Hình 4.19: Giao diện quản lý retquest CA 96 Hình 4.20: Giao diện sinh chứng thư số 97 Hình 4.21: Chứng thư số sinh 97 Hình 4.22: Giao diện tải chứng thư số 98 Hình 4.23: Giao diện ghi liệu vào eToken 98 Hình 4.24: Cơ sở liệu PUB 99 Hình 4.25: Cơ sở liệu CA 100