1 MỞ ĐẦU Phần mở đầu xin trích đoạn loạt viết “Hướng dẫn lập kế hoạch cho PKI” Martin Kiaer chuyên gia lĩnh vực PKI tập đoàn Microsoft “Một vài năm trở lại đây, hầu hết người nói năm 2000 năm PKI Nhiều người tin tưởng rằng, xu chủ đạo thị trường cuối có khuynh hướng sử dụng tất khía cạnh tốt mà PKI cung cấp Mặc dù bạn đoỏn, cỏc chứng PKI chưa thực cất cánh Điều đơn giản không đủ gây ý cho việc quản lý phân loại nhân viên kỹ thuật (người thấy giá trị PKI) Mặc dù vậy, sau thời gian, PKI lại trở thành chủ đề nóng doanh nghiệp lớn trung bình Sự thay đổi vấn đề bảo mật, nơi bảo mật cải thiện Internet công nghệ truyền thông di động trở thành ngành kinh doanh cho doanh nghiệp, điều có nghĩa chứng PKI sẵn sàng cho xu chủ đạo thị trường kinh doanh hết.” Đó thực trạng chung nhu cầu sử dụng PKI giới, Việt nam nhiều tổ chức, cá nhân đầu tư nghiên cứu phát triển hạ tầng khóa công khai thông qua việc phát triển tiêu chuẩn: mã hóa, truyền thông liên kết, xác thực, cấp chứng chỉ… Mặc dù nhu cầu cải cách hành chính, nhu cầu hội nhập quốc tế, an ninh kinh doanh doanh nghiệp… đòi hỏi phải đưa chứng số vào thực tế sống, việc ứng dụng PKI vào hoạt động tổ chức nhà nước hay doanh nghiệp nhiều hạn chế, với số tổ chức kinh doanh tài chính, ngân hàng, bảo hiểm số quan đơn vị lĩnh vực an ninh quốc phòng ứng dụng Tuy nhiên việc ứng dụng nằm phạm vi tổ chức nhóm tổ chức nhỏ Vì việc xây dựng trung tâm xác thực chung có chức thống giao tiếp với trung tâm có toán lớn trình thực phủ điện tử nước ta Mục đích luận nhằm nghiên cứu mô hình, cấu trúc thành phần trung tâm xác thực dựa công nghệ PKI, giới thiệu số mô hình giao tiếp hệ thống liên trung tâm xác thực Xây dựng thành công mô hình trung tâm xác thực ứng dụng phạm vi doanh nghiệp vừa nhỏ việc trao đổi thông tin số Luận văn gồm chương: Chương 1: Cơ sở lý thuyết mô hình trung tâm xác thực Giới thiệu cấu trúc thành phần mô hình trung tâm xác thực dựa công nghệ PKI Chương 2: Mô hình trung tâm xác thực Tổng quan trung tâm xác thực, giới thiệu loại mô hình kiến trúc trung tâm xác thực ưu nhược điểm loại mô hình kiến trúc Chương 3: Xây dựng mô hình trung tâm xác thực Xây dựng mô hình trung tâm xác thực dựa mô hình lai ghép với đầy đủ chức hệ thống trung tâm xác thực: Cấp, phân phối, thu hồi, tạm dừng, khôi phục chứng chỉ, xác thực chứng số đa cấp trung tâm ngang hàng Chương 4: Xây dựng hệ thống sở liệu Giới thiệu hệ thống thư mục sở liệu quan hệ mô hình trung tâm xác thực xây dựng chương Chương 5: Giới thiệu giao diện chức hệ thống Giới thiệu chức hệ thống hình ảnh hoạt động tương ứng CHƯƠNG CƠ SỞ LÝ THUYẾT MÔ HÌNH TRUNG TÂM XÁC THỰC 1.1 Tổng quan hệ mật mã 1.1.1 Giới thiệu Mật mã người sử dụng từ lâu đời Các hình thức mật mã sơ khai tìm thấy khoảng bốn nghìn năm trước văn minh Ai Cập cổ đại Trải qua hàng nghìn năm lịch sử, mật mã sử dụng rộng rãi khắp nơi giới từ Đông sang Tây để giữ bí mật việc trao đổi thông tin, đặc biệt lĩnh vực quân sự, trị, ngoại giao Mật mã trước hết loạt hoạt động thực tiễn, nội dung để giữ bí mật thông tin Ví dụ: Người A muốn gửi văn rõ sang người nhận B, A phải mã hóa văn gửi cho B Để hiểu nội dung thông tin mà A muốn gửi cho mình, B cần khôi phục (giải mã) lại văn bị mã hóa thành dạng rõ Do văn bị mã hóa chuyển qua đường công khai nên người “lấy trộm” đọc hiểu được; A B mã hóa giải mã hai người cú thỏa thuận khóa chung Trong thực tiễn, có hoạt động ngược lại với hoạt động bảo mật khám phá bí mật từ mã “lấy trộm” được, hoạt động thường gọi mó hay phỏ khóa Hệ mật mã định nghĩa gồm thành phần (P, C, K, E, D) đó: P tập hữu hạn rõ C tập hữu hạn mã K tập hữu hạn cỏc khóa E tập hữu hạn hàm lập mã D tập hàm giải mã Với k thuộc K tồn hàm lập mã e k thuộc E, ek:P →C hàm giải mã dk thuộc D: C → P cho dk(ek(X)) =x, với x thuộc P 1.1.2 Các Hệ mật mã 1.1.2.1 Hệ mật mã khóa đối xứng(khúa mật) Hệ thống mã hóa đối xứng dựa khóa đơn Khóa chuỗi bit có độ dài cố định Do đó, chế mã hóa coi mã hóa đơn khóa Khóa riêng (hoặc bí mật) sử dụng để mã hóa giải mã Trước hai phía trao đổi liệu, khóa phải chia sẻ chúng Sau phía gửi mã hóa tin ban đầu sử dụng khóa riờng đú gửi tin mã hóa cho phía nhận Tại phía nhận tin mã hóa giải mã sử dụng loại khóa riờng trờn Quá trình mã hóa khóa đối xứng mô tả hình 1.1 Cả người gửi người nhận phải dung chung khóa Cú cách dùng chung khóa người gửi cung cấp khóa mó cho đích danh người nhận Tuy nhiên cách không tốn nhiều thời gian mà phá hủy toàn mục tiêu mạng Có cách khác để chuyển khóa cho người nhận qua đường điện thoại Nhưng cách không an toàn bị nghe trộm điện thoại Một cách khác chuyển khóa cho người nhận qua email Tuy nhiên tất cỏc cỏch trờn bị công Do tất cỏc cỏch trao đổi khóa không an toàn, giải pháp khắc phục vấn đề làm cho khóa cú độ dài thích hợp Dựa vào độ dài khóa, theo thời gian có nhiều thuật toán mã hóa đối xứng phát triển Một vài thuật toán đối xứng sử dụng phổ biến giải pháp VPN DES, DES, RC4 Bản Rõ Key K Môi trường truyền Bản Mã Bản Mã Key K Bản Rõ Khóa K truyền kênh bí mật đến người gửi, nhận Hình 1.1 Hệ mật mã khóa đối xứng Chuẩn mã liệu DES (Data Encryption Standard) DES: Viết tắt Data Encryption Standard, DES chọn làm tiêu chuẩn liên bang Hoa kỳ vào tháng 11 năm 1976 Với DES, rõ (Plaintext) mã hóa theo khối 64 bit sử dụng khóa 64 bits, thực tế có 56 bits thực dùng để tạo khóa, bits lại dùng để kiểm tra tính chẵn, lẻ DES thuật toán sử dụng rộng rãi giới Hiện DES không đánh giá cao kích thước khóa quỏ nhỏ 56 bits dễ bị phá vỡ Chuẩn mã liệu 3DES (Triple Data Encryption Standard) Triple DES (3DES) có độ phức tạp mó lớn DES với việc sử dụng trình mã hóa giải mã sử dụng khóa Khối 64 – bits rõ mã hóa sử dụng khóa thứ Sau đó, liệu bị mã hóa giải mã việc sử dụng khóa thứ hai Cuối cùng, sử dụng khóa thứ ba kết trình giải mã để mã hóa: C = EK3(DK2(EK1(P))) P = DK1EK2(DK3(C))) AES: Viết tắt Advanced Encryption Standard, sử dụng để thay cho DES Nó hỗ trợ độ dài khóa từ 128 bits 256 bits Ưu nhược điểm: Ưu điểm bật hệ mật mã khóa đối xứng việc xây dựng hệ mật mã có độ bảo mật cao Nhưng phải cần có nguồn sinh khóa ngẫu nhiên việc phân phối, lưu trữ bảo mật thỏa thuận khóa vấn đề phức tạp thực tế Giả sử, mạng có n người dùng, cần khóa cho cặp riêng biệt phải cần tới: n(n +1)/2 khóa Để khắc phục tượng lưu trữ khối lượng khóa quỏ lớn đáp ứng nhu cầu mã dịch, người ta xem xét đến việc sử dụng hệ mật mã khối với độ dài không lớn DES, hệ mật mã dòng mà khóa sinh từ nguồn ngẫu nhiên thuật toán Mặc dù thực việc mã hóa giải mã hệ mật mã khối hay thuật toán sinh khóa nờu vấn đề phân phối thỏa thuận khóa phải thực Như phân phối thỏa thuận khóa vấn để vướng mắc chưa thể giải hệ mật mã khóa đối xứng 1.1.2.2 Hệ mật mã khóa bất đối xứng (khóa công khai) Trong mô hình mật mã cổ điển mà nghiên cứu Alice (người gửi) Bob (người nhận) chọn cách bí mật khóa K Sau dùng K để tạo luật mã hóa e k luật giải mã dk Trong hệ mật này, dk giống ek dễ dàng nhận từ (ví dụ hệ DES), trình giải hệ mật thuộc loại gọi hệ mật khóa bí mật việc để lộ ek làm cho hệ thống an toàn Nhược điểm hệ mật yêu cầu phải có thông tin trước khóa K Alice Bob qua kênh an toàn trước gửi mã Trên thực tế, điều khó đảm bảo Chẳng hạn Alice Bob xa họ liên lạc với thư tín điện tử Trong tình Alice Bob tạo kênh bảo mật với giá phải Ý tưởng xây dựng hệ mật khóa công khai (hay khóa dùng chung) tìm hệ mật khả tính toán để xác định d k biết ek Nếu quy tắc mã e k công khai cách công bố danh bạ (bởi nờn cú thuật ngữ hệ mật khóa công khai) Ưu điểm hệ mật khóa công khai chỗ Alice (hoặc ai) gửi tin mó cho Bob (mà không cần thông tin trước khóa mật) cách dùng luật mã công khai e k Bob người giải mã mã cách sử dụng luật giải mã bí mật d k Có thể hình dung tương tự sau Alice đặt vật vào họp kim loại khóa lại khóa số Bob để lại Chỉ có Bob người mở họp có biết tổ hợp mã khóa số Ý tưởng hệ mật khóa công khai Diffie Hellman đưa vào năm 1976 Còn việc thực hóa hệ mật khóa công khai Rivest Shamir Adleman đưa vào năm 1977, họ tạo nên hệ RSA tiếng Kể từ đú cú số hệ mật công bố, độ mật chúng dựa toán tính toán khác Trong quan trọng hệ mật sau: - Hệ mật RSA Độ bảo mật hệ RSA dựa độ khóa việc phân tích thừa số nguyên tố số nguyên lớn - Hệ mật xếp balụ Merkle Hellman Hệ hệ có liên quan dựa tớnh khú giải toán tổng tập (bài toán toán NP đầy đủ - lớp lớn toán thuật toán biết thời gian đa thức) Tuy nhiên tất hệ mật xếp balụ khác bị chứng tỏ không mật (ngoại trừ hệ mật Cinor – Rivest) - Hệ mật McElience Hệ dựa lý thuyết mã đại số coi an toàn Hệ mật McEliece dựa toán giải mã cho cỏc mó tuyến tính (cũng toán NP – đầy đủ) - Hệ mật ElGamal Hệ Elgamal dựa tớnh khú giải toán logarit rời rạc trờn cỏc trường hữu hạn - Hệ mật Chor – Rivest Hệ mật Chor – Rivest xem loại hệ mật xếp balụ, nhiên coi an toàn - Hệ mật trờn cỏc đường cong Eliptic Các hệ mật biến tướng hệ mật khác (chẳng hạn từ hệ mật ElGamal) Chúng làm việc đường cong Eliptic trờn cỏc đường hữu hạn Hệ mật đảm bảo độ mật với khóa số nhỏ hệ mật khóa công khai khác Sơ đồ hoạt động hệ mật khóa công khai: Bob Gửi Bản Rõ Alice Nhận Bản Mã Alice’s PublicKey Môi trường truyền Bản Mã Bản Rõ Alice’s PrivateKey Hình 1.2 Sơ đồ hoạt động sử dụng khóa công khai gửi nhận liệu Khi Bob muốn gửi liệu cho Alice, Bob lấy khóa công khai(Alice’s PublicKey) Alice mã hóa thông điệp gửi sau gửi mã cho Alice Khi nhận thông điệp mã Bob gửi Alice dùng khóa riờng mình(Alice’s PrivateKey) giải mã thông điệp Hệ mật RSA Logarit rời rạc tiếp nối phép tính lụgarit trờn trường số thực vào cỏc nhúm hữu hạn Giả sử hai số thực x,y số a>0, a ≠ 1, a x = y x gọi lụgarit số a y, ký hiệu x = logay Cho p số nguyên tố Xột nhúm nhõn cỏc số nguyên modulo p Zp = {1,2, p} với phép nhân modulo p Nếu ta tính lũy thừa bậc k số nhóm rút gọn theo modulo p ta số nhúm đú Quá trình gọi lũy thừa rời rạc modulo p Chẳng hạn với p = 17, lấy a = 3, k = ta có: 34 = 81 ≡13 (mod 17) Lụgarit rời rạc phép tính ngược lại: Biết: 3k ≡13 (mod 17) hóy tỡm k Có nhiều hệ thống khóa công khai triển khai rộng rãi hệ RSA, hệ ElGamal sử dụng giao thức trao đổi khóa Diffe – Hellnam lên năm gần hệ thống đường cong Elliptic Trong số hệ mật mã trờn thỡ hệ RSA hệ cộng đồng chuẩn quốc tế công nghiệp chấp nhận rộng rãi việc thực thi mật mã khóa công khai Thuật toán Ron Rivest, Adi Shamir Len Adleman mô tả lần vào năm 1977 tai học viện Công nghệ Masachusetts (MIT) Tên thuật toán lấy từ chữ tên tác giả Hệ mật mã RSA sử dụng rộng rãi thực tiến đặc biệt cho mục đích bảo mật xác thực liệu số Tính bảo mật an toàn chúng đảm bảo độ phức tạp 10 toán số học tiếng phân tích số nguyên thành thừa số nguyên tố Hệ mật RSA mô tả hình sau: Cho n = pq với p,q số nguyên tố lớn Đặt P = C = Zn Ta định nghĩa: K = {n, p, q, a, b}: n=pq, p,q số nguyên tố ab ≡ mod φ(n) φ(n) = (p – 1)(q – 1), a khóa mật, b khóa công khai Với K = (n, p, q, a, b), x ∈ P, y ∈C, ta xác định hàm mã giải mã sau: Hàm mã hóa: y = ek(x) = xb mod n Hàm giải mã: Dk (x) = ya mod n (x,y ∈ Zn) Các giá trị n,b công khai p,q,a giữ bí mật Hình 1.3 Sơ đồ hệ mật mã RSA Khả đảm bảo an toàn hệ mật mã RSA: Độ an toàn hệ thống RSA dựa vấn đề toán học : Bài toán phân tích thừa số nguyên tố số nguyên lớn toán RSA Nếu toán khó ( khụng tìm thuật toán hiệu để giải chỳng) thỡ thực việc phỏ mó toàn RSA Bài toán RSA toán tính bậc e mođun n (với n hợp số): tìm số m cho me = c mod n, (e,n) khóa công khai c mã Hiện phương pháp triển vọng giải toán phân tích n thừa số nguyên tố Khi thực điều này, kẻ công tìm số mũ bí mật d từ khóa công khai giải mã theo quy trình thuật toán Nếu kẻ công tìm số nguyên tố p q cho:n = pq dễ dàng tìm giá trị (p -1)(q-1) qua xác định d từ e Chưa có phương pháp tìm máy tính đề giải toán thời gian đa thức (polynomial – time) Tuy nhiên người ta chưa chứng minh điều ngược lại (sự không tồn thuật toán) 73 4.2 Hệ thống bảng quan hệ Hình 4.2 Hệ thống bảng quan hệ 74 CHƯƠNG GIỚI THIỆU GIAO DIỆN VÀ CHỨC NĂNG HỆ THỐNG 5.1 Khối chức nhà cung cấp 5.1.1 Chức quản trị hệ thống: - Cấp quyền phân quyền truy cập hệ thống - Back up Restore liệu - Giám sát truy cập… Hình 5.1 Chức quản trị nhà cung cấp 75 5.1.2 Chức nghiệp vụ Hình 5.2 Nghiệp vụ nhà cung cấp 5.1.3 Một số chức chính: - Thông tin đăng ký: Cho phép người quản lý cập nhật bổ sung, xóa bỏ thông tin đăng ký 76 - Duyệt hồ sơ cấp chứng Dựa vào thông tin đăng ký người quản lý tiến hành cấp chứng chỉ, thông tin cấp chứng bao gồm: + Thời hạn hiệu lực chứng chỉ: Số năm tính từ thời điểm cấp + Số người dùng phép cấp: số người dùng lớn chứng chứng dành cho trung tâm xác thực cấp Khi thông tin nhà cung cấp gửi cho dịch vụ để thông báo cho nhà cung cấp cấp nhà cung cấp cấp + Trạng thái xét duyệt: cho biết chứng xét cấp hay chưa, có trạng thái: Chờ cấp, Đã cấp Loại bỏ 77 - Kiểm tra chứng số: Khi cần kiểm tra chứng số cách trực tiếp, người quản lý chọn chứng số cần kiểm tra, hệ thống kiểm tra thông tin chứng CSDL tồn đưa kết luận, trái lại thông tin chứng gửi cho nhà cung cấp cấp thông qua dịch vụ(Service) 78 - Thu hồi chứng chỉ: Khi nhận yêu cầu thu hồi chứng người quản lý truy cập vào chức đặt lại trạng thái chứng chỉ, sau hệ thống tự động thông qua dịch vụ chuyển thông tin chứng bị thu hồi đến trung tâm cấp trung tâm cấp mô hình phân cấp để cập nhật 79 5.2 Khối chức người sử dụng(End User) Với người sử dụng tất nghiệp vụ thao tác giao diện sau: 80 Với chức hệ thống sau: - Trao đổi thông tin với người dùng khác, hệ thống giới thiệu giao thức truyền file liệu có mã hóa ký xác thực - Nhận liệu kiểm tra chữ ký người gửi có - Xác thực chứng số mà người sử dụng có: Khi nhận chứng số người sử dụng nhà cung cấp khác gửi đến người dùng 81 yêu cầu hệ thống phân cấp kiểm tra thông tin chứng Kết mà hệ thống trả lại là: + Thông tin chứng + Trạng thái hoạt động chứng + Thông tin nhà cung cấp chứng 82 KẾT LUẬN KIẾN NGHỊ Mô hình trung tâm xác thực nhà khoa học trong, nước nghiên cứu ứng dụng sâu rộng nhiều lĩnh vực tài ngân hàng, bảo hiểm ngành kinh tế, khoa học đa dạng khác Hạ tầng sở khóa công khai công cụ hiệu việc xây dựng trung tâm xác thực, đảm bảo an toàn tin cậy cách tuyệt thông tin, liệu cần bảo mật xác thực Việc xây dựng trung tâm xác thực nghĩa nước ta nhu cầu thiết yếu mang tầm Quốc Gia Để thực việc xây dựng phủ điện tử cần có trung tâm xác thực với đầy đủ chức hoạt động cách hiệu quả, tin cậy, đồng thời có kết hợp hài hòa ngành chức năng… Trung tâm xác thực A3T mô hình xây dựng dựa cấu trúc mô hình lai ghép với ba hệ thống nghiệp vụ chính: - Hệ thống trung tâm CA: Nơi duyệt cấp, phân phối thu hồi, xác thực chứng số - Hệ thống dịch vụ(Service): Nơi nhận yêu cầu giao dịch Đăng ký, xác thực,… với người dùng, trung tâm xác thực khác - Hệ thống người dựng(End Users): Đây nghiệp vụ dành cho người sử dụng gồm: Đăng ký, nhận chứng chỉ, xác thực chứng chỉ, trao đổi thông tin với người dựng khỏc… Vì hệ thống xây dựng mô hình lai ghép( thuộc mô hình mở rộng) nên khả mở rộng phát triển hệ thống không giới hạn Việc phát triển mở rộng mô hình trung tâm phục thuộc vào số yêu tố sau: - Nhu cầu sử dụng khả quản lý tổ chức - Khả hỗ trợ giao thức truyền số liệu Trong hệ thống sử dụng môi trường truyền số liệu mạng LAN Với tổ 83 chức lớn việc truyền số liệu dịch vụ sử dụng đòi hỏi khoảng cách mặt địa lý an toàn tin cậy truyền thông cần thiết, nên đòi hỏi kết hợp nhiều lĩnh vực - Tính pháp lý chứng số: Để áp dụng phạm vi lớn đòi hỏi dịch vụ chứng thực phải kiểm định tổ chức đơn vị có thẩm quyền văn luật kèm - Hỗ trợ giao tiếp với LDAP Server: tổ chức sử dụng mô hình PKI dựa hỗ trở Windows 2003 Server việc giao tiếp sở liệu SQL server 2000 trung tâm xác thực A3T với hệ thống chung, thông qua LDAP Server Đây vấn đề lớn thực có nhu cầu kết nối việc bắt tay SQL server LDAP Server đơn giản Hướng phát triển tiếp theo: Nâng cấp hoàn thiện mô hình cho mục đích ứng dụng khác như: Ứng dụng giao dịch Web, ứng dụng liên quan đến thiết bị đầu cuối… Nõng cao khả tương thích hệ thống với mô hình khác nhau, nâng cao hiệu hoạt động chức dịch vụ(Service) như: tăng tốc độ tra cứu thông tin số lượng User lớn, bổ sung phương thức trao đổi thông tin CA CA với End User, hỗ trỡ khả cấp phân phối khóa mật theo sơ đồ Diffie-Hellman Kerboros, phát triển dich vụ cung cấp tài nguyên cho tổ chức cá nhân( Số nguyên tố lớn, khóa mật thuật toán mã hóa, số giả ngẫu nhiên) … Cuối xin chân thành cảm ơn thầy cô Khoa CNTT – HVKTQS, Chỉ huy Hệ - HVKTQS giúp đỡ tạo điều kiện cho hoàn thành luận văn Đặc biệt, xin bày tỏ biết ơn sâu sắc đến thầy giáo, Đại úy, TS Ngô Hữu Phúc tận tình hướng dẫn hoàn thành luận văn 84 TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt PGS.TS Nguyễn Bình, Mật mã học lý thuyết thực hành, Thư viện Trung tâm KHKT&CNQS Ngụ Diờn Tập, Ghép nối máy tính Windows, nhà xuất khoa học kỹ thuật Phạm Huy Điển - Hà Huy Khoái, Mã hóa thông tin - Cơ sở toán học ứng dụng, Viện Toán học, 2004 Hà Huy Khoái, Nhập môn số học thuật toán, Nhà xuất khoa học - 1997 PGS-TS Thái Hồng Nhị - TS Phạm Minh Việt, An toàn thông tin Mạng máy tính, truyền tin số Ngụ Hựng Anh, Nghiên cứu tìm hiểu chứng số, chữ ký số Xây dựng hệ thống cung cấp chứng chỉ, chữ ký số, Luận văn thạc sỹ Phạm Mạnh Tuấn, Nghiên cứu thuật toán mật mã hóa RSA ứng dụng vào chữ ký số, Luận văn thạc sỹ Tài liệu tiếng Anh Douglas R stinson, Cryptography_ Theory and Practice, CRC Press, 1995 Man Toung Rhee, Hanyang University, Cryptography and Secure Communications, McGRAW - HILL BOOK CO, 1994 Ph.D William Stallings, Network and Internetwork Security Principles and Practice, PRENTICE HALL, 1995 Richard Martin, Designing SQL Server 2000 Databases for NET Enterprise Servers - Dominion Technology Group 85 Brian Komar with the Microsoft PKI Team, Microsoftđ Windows Server™ 2003 PKI and Certificate Security, 06/09/2004 Một số website http://www.cryptosys.net/, “CryptoSys PKI Toolkit – CryptoSys PKI” http://www.hecker.org/mozilla/open-source-crypto-and-mozilla.pdf, “Open Source Crypto and Mozilla” http://www.sans.org/resources/policies, “The SANS Security Policy Project” http://www.dmoz.org/Computers/Security/Policy/Sample_Policies/, “Security Policy Samples” http://www.ietf.org/rfc/rfc3647.txt, “Internet X.509 Public Key Infrastructure, Certificate Policy and Certification Practices Framework” http://iase.disa.mil/pki/dod-cp-v90-final-9-feb-05-signed.pdf, “X.509 Certificate Policy for the United States Department of Defense” http://www.verisign.com/repository/CPS/VeriSignCPSv3.3.pdf, “VeriSign Certification Practice Statement” http://www.microsoft.com/pki, “Public Key Infrastructure for Windows Server 2003” http://www.misoft.com.vn/?q=vi/taxonomy/term/14, “Ứng dụng chữ ký số, chứng số nhằm nâng cao mức độ an toàn - bảo mật cho giao dịch ngân hàng” 86 MỤC LỤC Trang MỞ ĐẦU CHƯƠNG .3 CƠ SỞ LÝ THUYẾT MÔ HÌNH TRUNG TÂM XÁC THỰC .3 1.1 Tổng quan hệ mật mã .3 1.1.1 Giới thiệu 1.1.2 Các Hệ mật mã 1.2 Hạ tầng sở khóa công khai 16 1.2.1 Sinh khóa, phân phối khóa .16 1.2.2 Mã hóa giải mã .28 1.2.3 Chữ ký số, Hàm Băm .29 1.2.4 Chứng số giải pháp quản lý 34 CHƯƠNG 47 MÔ HÌNH TRUNG TÂM XÁC THỰC .47 2.1 Tổng quan mô hình 47 2.1.1.Các thành phần PKI 47 2.1.2 Chức PKI .50 2.2 Một số mô hình trung tâm xác thực 55 2.2.1 Mô hình đơn giản .55 2.2.2 Mô hình Web 55 2.2.3 Mô hình phân cấp .56 2.2.4 Mô hình mắt lưới 57 2.2.5 Mô hình lai ghép .57 CHƯƠNG 60 XÂY DỰNG MÔ HÌNH TRUNG TÂM XÁC THỰC 60 3.1 Giới thiệu mô hình 60 3.2 Hoạt động mô hình 62 3.2.1 Hoạt động mô hình phân cấp .62 3.2.2 Hoạt động quan hệ ngang hàng 69 3.3 Giao thức truyền số liệu sử dụng dịch vụ 70 CHƯƠNG 71 XÂY DỰNG HỆ THỐNG CƠ SỞ DỮ LIỆU 71 4.1 Mô hình liệu, Cơ sở liệu 71 4.2 Hệ thống bảng quan hệ .73 CHƯƠNG 74 GIỚI THIỆU GIAO DIỆN VÀ CHỨC NĂNG HỆ THỐNG .74 5.1 Khối chức nhà cung cấp 74 5.1.1 Chức quản trị hệ thống: 74 87 5.1.2 Chức nghiệp vụ 75 5.1.3 Một số chức chính: 75 5.2 Khối chức người sử dụng(End User) .79 KẾT LUẬN KIẾN NGHỊ .82 TÀI LIỆU THAM KHẢO .84