PKI kỹ thuật đảm bảo an toàn sở liệu MỤC LỤC TRANG PHỤ BÌA DANH MỤC CÁC CHỮ VIẾT TẮT .3 DANH MỤC CÁC BẢNG DANH MỤC CÁC HÌNH PHẦN MỞ ĐẦU CHƢƠNG LÝ THUYẾT CHUNG VỀ MẬT MÃ KHÓA CÔNG KHAI 10 1.1 CÁC HỆ THỐNG CHUNG VỀ MẬT MÃ KHÓA CÔNG KHAI 10 1.2 CÁC ỨNG DỤNG HỆ MẬT MÃ KHOÁ CÔNG KHAI 16 1.3 CÁC YÊU CẦU ĐỐI VỚI HỆ MẬT MÃ KHÓA CÔNG KHAI 17 1.4 HỆ MẬT RSA 18 1.4.1 Tạo khoá 18 1.4.2 Mã hóa 20 1.4.3 Giải mã 20 1.4.4 Độ an toàn 21 1.5 CHỮ KÝ SỐ 21 1.5.1 Định nghĩa sơ đồ chữ ký “số” 24 1.5.2 Hàm băm 24 1.5.3 Sơ đồ chữ ký RSA 27 1.6 TÓM TẮT 30 CHƢƠNG HẠ TẦNG CƠ SỞ MẬT MÃ KHOÁ CÔNG KHAI (PKI) 30 2.1 ĐỊNH NGHĨA PKI 30 2.2 PHÂN PHỐI KHÓA CÔNG KHAI .31 2.2.1 Khai báo công khai khoá công khai 31 2.2.2 Danh bạ công khai 32 2.2.3 Trung tâm quản lý khoá công khai 33 2.2.4 Chứng khoá công khai 34 2.3 CÁC THÀNH PHẦN CHÍNH CỦA PKI 38 PKI kỹ thuật đảm bảo an toàn sở liệu 2.3.1 End Entity 38 2.3.2 CA (Certification Authority) 38 2.3.3 Cấu trúc tổ chức hệ thống CA : 39 2.3.4 Các cấu trúc quan hệ CA 40 2.3.5 Bộ phận phát hành CRL 49 2.4 CÁC CHỨC NĂNG CHUNG NHẤT CỦA PKI 50 2.4.1 Quản lý cặp khoá công khai khoá riêng 50 2.4.2 Quá trình sinh cặp khoá 50 2.4.3 Phát hành chứng 55 2.4.4 Phân phối chứng 59 2.4.5 Thu hồi chứng 62 2.4.6 Treo chứng 70 2.5 CẤU TRÚC PKI .71 2.6 CÁC YÊU CẦU VỀ PKI 72 2.7 BAN HÀNH LUẬT 73 2.7.1 Công nghệ 74 2.7.2 Phạm vi chi tiết 75 2.7.3 Các văn chữ ký 76 2.7.4 Chất lƣợng chuẩn CA 77 2.7.5 Các chuẩn thuê bao 77 2.7.6 Chia nhỏ trách nhiệm pháp lý 77 2.8 MỘT MÔ HÌNH PKI .79 2.9 THỰC TẾ TRIỂN KHAI PKI 83 2.10 TÓM TẮT 85 CHƢƠNG ỨNG DỤNG HỆ MẬT MÃ KHOÁ CÔNG KHAI TRONG VIỆC BẢO MẬT CƠ SỞ DỮ LIỆU 86 3.1 BÀI TOÁN .86 3.2 MÔ HÌNH THIẾT KẾ HỆ THỐNG .89 3.2.1 Mô hình kiến trúc logic 89 PKI kỹ thuật đảm bảo an toàn sở liệu 3.2.2 Các lớp bảo mật 90 3.3 MÔ HÌNH CA 97 3.3.1 Mục tiêu hệ thống 97 3.3.2 Mô hình hệ thống quản lý cấp phát chứng 97 3.3.3 Các chuẩn sử dụng CA 99 3.3.4 Bảo đảm mật mã CA 99 3.3.5 Tổ chức CA Server 99 3.4 TÓM TẮT 104 KẾT LUẬN 105 TÀI LIỆU THAM KHẢO 1066 PKI kỹ thuật đảm bảo an toàn sở liệu BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Phạm Thái Sơn TÊN ĐỀ TÀI LUẬN VĂN: PKI kỹ thuật đảm bảo an toàn liệu Chuyên ngành : LUẬN VĂN THẠC SĨ KỸ THUẬT Công nghệ thông tin NGƢỜI HƢỚNG DẪN KHOA HỌC : TS Phạm Đăng Hải Hà Nội 04/2016 TRANG PHỤ BÌA PKI kỹ thuật đảm bảo an toàn sở liệu LỜI CAM ĐOAN Tôi xin cam đoan công trình nghiên cứu riêng Các số liệu, kết nêu Luận văn trung thực chƣa đƣợc công bố công trình khác Tôi xin cam đoan giúp đỡ cho việc thực Luận văn đƣợc cảm ơn thông tin trích dẫn Luận văn đƣợc rõ nguồn gốc Học viên thực luận văn Phạm Thái Sơn PKI kỹ thuật đảm bảo an toàn sở liệu DANH MỤC CÁC CHỮ VIẾT TẮT CSDL Cơ sở liệu DB Database PKI Public Key Infrastructure CA Certification Authority CPS Certification Practice Statement CRS Certificate Repository Sever CRL Certificate Revocation List ITU International Telegraph Union IOS International Organization for Standardization LRA Local Registration Authorities NSD Ngƣời sử dụng RA Registration Authority PKI kỹ thuật đảm bảo an toàn sở liệu DANH MỤC CÁC BẢNG Bảng 1.1 Hệ mật mã khoá công khai đối xứng…………………………… 12 Bảng 1.2 Các ứng dụng đƣợc thuật toán hỗ trợ……………………… 16 PKI kỹ thuật đảm bảo an toàn sở liệu DANH MỤC CÁC HÌNH Hình 1.1 minh hoạ trình mã hoá khoá công khai………………………… 11 Hình 1.2 Hệ khóa công khai: Bí mật………………………………………… 13 Hình 1.3 Hệ mật khoá công khai: Xác thực ………………………………… 14 Hình 1.4 Hệ mật khoá công khai: Bí mật xác thực ……………………… 15 Hình 2.1 Phân phối khoá công khai không kiểm soát……………………… 31 Hình 2.2 Công bố khoá công khai…………………………………………… 32 Hình 2.3 Lƣợc đồ phân phối khoá công khai ………………………………… 33 Hình 2.4 Chứng khoá công khai đơn giản……………………………… 35 Hình 2.5 Khuôn dạng chứng phiên X.509………… 37 Hình 2.6 Mô hình CA theo cấu trúc hình cây………………………………… 39 Hình 2.7 Cấu trúc phân cấp tổng quát……………………………………… 41 Hình 2.8 Danh sách chứng bị huỷ bỏ………………………………… 64 Hình 2.9 Dòng thời gian hủy bỏ……………………………………………… 68 Hình 2.10 Các khối PKI………………………………………… 71 Hình 2.11 Các thành phần môi trƣờng SET…………………………… 80 Hình 2.12 Cơ sở hạ tầng khoá công khai SET ……………………………… 81 Hình 2.13 Biểu đồ thống kê sử dụng PKI giới……………………… 83 Hình 3.1 Mô hình hệ thống ứng dụng tổ chức theo thiết kế lớp…………… 88 Hình 3.2 Mô hình làm việc có ứng dụng hệ mật mã khóa công khai………… 89 Hình 3.4 Quy trình gửi liệu mã hóa khóa công khai có kèm theo chữ ký điện tử xác thực………………………………………………….… 95 Hình 3.5 Quy trình giải mã liệu kiểm tra chữ ký……………………… 96 Hình 3.6 Mô hình hoạt động hệ thống CA……………………………… 98 PKI kỹ thuật đảm bảo an toàn sở liệu PHẦN MỞ ĐẦU Lí chọn đề tài Hạ tầng sở mật mã khoá công khai (PKI) ứng dụng quan trọng phục vụ cho việc thực giao dịch điện tử mạng Internet đƣợc quan tâm nghiên cứu ứng dụng nhiều giới nhƣ nƣớc ta Đây lĩnh vực quan trọng nƣớc ta khía cạnh nghiên cứu ứng dụng Theo dự tính nhà chuyên môn, nhu cầu xác thực đƣợc đối tƣợng tham gia giao dịch việc đảm bảo an toàn thông tin giao dịch thƣơng mại điện tử lớn, chiếm phần lớn khối lƣợng giao dịch diễn mạng Internet toàn cầu Và kỹ thuật mật mã công cụ quan trọng đảm bảo an toàn thông tin mạng Lịch sử nghiên cứu Có thể phân chia mô hình mật mã dùng cho máy tính thành hai loại hệ mật mã sau: - Hệ mật mã khoá bí mật hay gọi hệ mật đối xứng, - Hệ mật khoá công khai hay gọi hệ mật phi đối xứng Đối với hệ mật mã khoá bí mật khoá để mã hoá khoá để giải mã nhƣ Khoá phải đƣợc giữ bí mật nơi mã nơi giải mã Cho đến năm 70 kỷ 20, ngƣời ta biết đến hệ mật mã khoá bí mật Mặc dù hệ mật tính toán hiệu quả, song gặp khó khăn nhiều giải toán phân phối khoá Mọi việc thay đổi W Diffie M Hellman đƣa khái niệm mật mã khoá công khai vào năm 1976 Những vấn đề khó khăn giải vấn đề phân phối khoá mã hệ mật mã khoá đối xứng đƣợc giải hệ mật khoá công khai Không giống nhƣ hệ mật đố i xứng, hệ mật khoá công khai với tính chất phi đối xứng cho phép trao đổi thông tin đƣợc mã hóa mà không đòi hỏi chuyển giao khóa bí mật PKI kỹ thuật đảm bảo an toàn sở liệu Việc phát minh hệ mật khoá công khai tạo cách mạng khoa học mật mã Một ứng dụng để giải vấn đề phân phối khoá hệ mật khoá đối xứng Đây vấn đề gặp nhiều khó khăn chƣa xuất hệ mật khoá công khai Ứng dụng mật mã khoá công khai cho phép giảm số khoá cần thiết hệ thống Đối với hệ mật khoá đối xứng để trì trao đổi bí mật n thành viên cần tới n(n-1)/2 khoá sử dụng hệ mật khoá công khai cần n cặp khoá cho n thành viên Các hệ mật mã khoá công khai đời mở lúc xu hƣớng ứng dụng mới, có hệ thống chữ ký điện tử tiền điện tử Tuy nhiên ứng dụng mật mã khoá công khai vấn đề nẩy sinh làm để phân phối khoá công khai cách tin cậy Đây vấn đề không đơn giản đòi hỏi phải có nghiên cứu phát triển hệ thống sở công nghệ pháp lý cho việc ứng dụng khoá công khai hay coi hạ tầng sở mật mã khóa công khai (viết tắc PKI) Các sở hạ tầng khoá công khai hỗ trợ nhiều dịch vụ Các dịch vụ hỗ trợ cần thiết yêu cầu trao đổi thông tin mật đƣợc sử dụng phạm vi rộng Để xây dựng hạ tầng sở khoá công khai có nhiều vấn đề cần phải giải mặt công nghệ mặt pháp lý Nhiều vấn đề đƣợc tập trung nghiên cứu năm gần Các nƣớc phát triển nhƣ Mỹ, Canada, châu nƣớc đầu lĩnh vực Châu quan tâm ý số nƣớc nhƣ Nhật, Hàn quốc, Đài loan, Singapore, Malaixia, Thái lan Các hội thảo PKI đƣợc tổ chức đặn hàng năm Việt nam giai đoạn đầu tìm hiểu ứng dụng thử nghiệm Kể từ W Diffie M Hellman lần đƣa khái niệm mật mã khoá công khai, mật mã khoá công khai có phát triển mạnh mẽ Nhiều thuật toán mã công khai đƣợc xây dựng nhƣ RSA, DSA lớp thuật toán mã dựa mật mã đƣờng cong Elliptic Nhiều chuẩn mã hoá chữ ký đƣợc PKI kỹ thuật đảm bảo an toàn sở liệu Sử dụng thuật toán mã pháp dòng mã pháp khối kết hợp hệ mã mật khóa công khai RSA để chống xem trộm thông tin Sử dụng Microsoft CA để cấp chứng số dùng cho hạ tầng sở khoá công khai Sau ngƣời sử dụng kết nối đƣợc với OLEServer, OLEServer gửi yêu cầu xác định ID Etoken tới máy trạm ngƣời sử dụng Sau nhận đƣợc thông tin trả lời từ phía máy trạm, OLEServer chấp nhận/ không chấp nhận yêu cầu truy cập CSDL ngƣời sử dụng dựa thông tin ID Etoken nhờ giải mã thông tin cấu hình liên quan đến số ID Etoken Nếu chấp nhận, OLEServer lấy tên mật tƣơng ứng ngƣời sử dụng để truy cập hệ quản trị CSDL Nếu thực đƣợc OLEServer trả lời chấp nhận cho máy trạm làm việc; ngƣợc lại thông báo không kết nối đƣợc cho máy trạm Nhƣ vậy, thay việc lƣu trữ tên ngƣời sử dụng mức hệ thống với tên mật truy cập CSDL họ mô hình phần 3.2.1 việc lƣu trữ ID Etoken với tên mật truy cập CSDL ngƣời sử dụng Cơ chế truy cập CSDL Các hệ quản trị CSDL nhƣ SQL, Oracle có tính bảo mật cao, để truy cập đƣợc vào CSDL cần tên ngƣời sử dụng Mật Sau có tên mật truy cập CSDL ngƣời sử dụng, OLEServer thay mặt cho ngƣời sử dụng gửi yêu cầu kết nối vào CSDL Nhƣ thao tác làm việc với CSDL từ máy trạm chuyển trực tiếp đến OLEServer sau OLEServer làm việc với CSDL Chính việc trao đổi thông tin đối tƣợng cần phải đƣợc xác thực ghi nhận lại hệ thống Cơ chế nhật ký Ngoài chế ghi lại nhật ký hệ điều hành hệ quản trị sở liệu, cần phải tổ chức cho OLEServer lƣu lại thao tác ngƣời sử dụng yêu cầu làm việc với sở liệu có ký xác thực chữ ký điện tử ngƣời sử dụng Cơ chế phân quyền cho ngƣời sử dụng 92 PKI kỹ thuật đảm bảo an toàn sở liệu Do việc phân quyền theo chức ứng dụng không liên quan đến việc ứng dụng PKI nên không cần đề cập tài liệu Xem xét mức hệ thống tổng thể, phân đối tƣợng ngƣời sử dụng làm nhóm bản: Nhóm CA,nhóm quản trị hệ thống nhóm ngƣời sử dụng thông thƣờng Nhóm CA : Cấp khóa riêng cấp chứng số cho ngƣời sử dụng OLEServer Nhóm quản trị hệ thống : Nhiệm vụ nhóm thực thi sách để đảm bảo an toàn thông tin toàn hệ thống Nhóm chia thành hai nhóm Bộ phận quản lý : Có trách nhiệm tiếp nhận yêu cầu ngƣời sử dụng, trình cấp có thẩm quyền phê duyệt chuyển yêu cầu cho nhóm ADMIN Nhóm làm nhiệm vụ đăng ký ngƣời sử dụng với CA để CA cấp chứng số cho ngƣời sử dụng Bộ phận đóng vai trò RA mô hình CA Bộ phận ADMIN: Làm nhiệm vụ cấp/thu hồi quyền ngƣời sử dụng OLEServer, DB Server CSDL Thông tin liên quan nhƣ tên ID Etoken, tên mật truy cập CSDL ngƣời dùng đƣợc phận tạo tổ chức lƣu giữ dƣới dạng liệu đƣợc mã hóa cao cấp lƣu trữ vùng an toàn có OLEServer giải mã đƣợc (có thể ứng dụng hệ mật mã khóa công khai để mã hóa ký xác thực thông tin này) Ngoài để đảm bảo tốt bố trí cho nhóm ADMIN làm việc khu vực đảm bảo an toàn tuyệt đối, chí Server Ngƣời sử dụng thông thƣờng : Là toàn ngƣời sử dụng ứng dụng Đối với ngƣời sử dụng có quyền sau: Đƣợc cấp CA cấp cho Etoken với ID có kèm theo khóa truy cập Etoken Là ngƣời dùng hợp pháp hệ thống đƣợc cấp tên mật để truy nhập đến OLEServer 93 PKI kỹ thuật đảm bảo an toàn sở liệu Mỗi ngƣời sử dụng phải có tên mật để OLEServer thay mặt sử dụng truy cập vào CSDL với quyền theo yêu cầu ứng dụng Ngƣời sử dụng không cần biết thông tin Dựa vào số ID Etoken, OLEServer tìm thông tin 3.2.3 Quy trình ký, mã hoá giải mã liệu giao dịch dựa vào hệ mật mã khóa công khai Sau ngƣời sử dụng kết nối đƣợc vào OLEServer, thông tin trao đổi máy trạm OLEServer đƣợc áp dụng theo quy trình ký, mã hóa giải mã dựa vào khóa công khai nhƣ sơ đồ hình 3.4 hình 3.5 Trong số trƣờng hợp ứng dụng, liệu truyền có kích thƣớc lớn cần áp dụng kết hợp với hệ mật mã đối xứng Khi cần tiến hành hai giai đoạn nhƣ sau: Giai đoạn :Bên gửi liệu tạo mầm khóa (hoặc xin cấp mầm khóa từ hệ thống cấp phát cố định) chuyển cho bên nhận liệu mầm khóa Mọi trao đổi thông tin đối tƣợng tham gia đƣợc thực theo quy trình ký, mã hoá giải mã liệu giao dịch dựa vào hệ mật mã khóa công khai Quá trình đƣợc gọi trình trao đổi mầm khóa (hay gọi trao đổi khóa phiên) Giai đoạn : Bên gửi ký liệu cần gửi mã hóa liệu đƣợc ký hệ mật đối xứng với mầm khóa thống hai bên; Gửi liệu đƣợc mã cho bên nhận; Bên nhận tiến hành giải mã liệu nhận đƣợc dựa vào mầm khóa biết xác thực lại chữ ký bên gửi để nhận đƣợc liệu đảm bảo tính xác thực liệu Nhƣ vậy, việc trao đổi mầm khóa bên mã bên giải mã đƣợc thực nhờ áp dụng hệ mật mã khóa công khai 94 PKI kỹ thuật đảm bảo an toàn sở liệu Hình 3.4 Quy trình gửi liệu mã hóa khóa công khai có kèm theo chữ ký điện tử xác thực 95 PKI kỹ thuật đảm bảo an toàn sở liệu Hình 3.5 Quy trình giải mã liệu kiểm tra chữ ký 96 PKI kỹ thuật đảm bảo an toàn sở liệu 3.3 MÔ HÌNH CA 3.3.1 Mục tiêu hệ thống Cung cấp hệ thống cấp phát quản lý chứng hoàn chỉnh Đảm bảo an toàn thông tin trình thực Đảm bảo tiện dụng, xác 3.3.2 Mô hình hệ thống quản lý cấp phát chứng Hệ thống CA hoạt động theo mô hình sau: 97 PKI kỹ thuật đảm bảo an toàn sở liệu CA Server Switch Router RAServer LDAPServer User Modem PSTN Modem Đăng ký từ xa User Hình 3.6 Mô hình hoạt động hệ thống CA Trong đó: CAServer thành phần quan trọng hệ thống Nó đƣợc cài đặt phần mềm CA lƣu giữ khoá riêng CA Chính vậy, cần phải đảm bảo an toàn tuyệt đối cho CAServer RAServer cài đặt chƣơng trình quản lý đăng ký quản lý chứng RAServer thực kiểm tra yêu cầu đăng ký chứng chỉ, chấp nhận huỷ 98 PKI kỹ thuật đảm bảo an toàn sở liệu bỏ yêu cầu đăng ký chứng trƣớc chúng đƣợc CA ký, đồng thời gửi chứng đƣợc CA phát hành xuống điểm đăng ký từ xa để chuyển cho ngƣời dùng, chuyển trực tiếp cho ngƣời dùng LDAP Server máy chủ chứa tất chứng đƣợc phát hành, cho phép ngƣời dùng sử dụng dịch vụ thƣ mục để tra cứu thông tin chứng Điểm đăng ký từ xa có nhiệm vụ kiểm tra thông tin đăng ký (chẳng hạn nhƣ xin cấp mới, huỷ bỏ, cấp lại chứng chỉ) ngƣời dùng ký xác nhận trƣớc chuyển cho RAServer Tất trình truyền thông RAServer điểm đăng ký từ xa đƣợc thực thông qua phiên liên lạc an toàn * Để thiết lập mạng cấp phát chứng chỉ, điểm đặng ký từ xa đƣợc thiết lập trƣớc đƣợc cấp chứng trình thiết lập mạng cấp phát Khoá công khai CA khoá riêng điểm đăng ký từ xa đƣợc CA cấp theo kênh an toàn 3.3.3 Các chuẩn sử dụng CA - Chứng sử dụng khuôn dạng theo chuẩn X509 V3 - Lƣu trữ khoá riêng sử dụng khuôn dạng theo chuẩn PKCS12 3.3.4 Bảo đảm mật mã CA - Sử dụng chƣơng trình sinh số nguyên tố lớn - Sử dụng hệ mật RSA - Sử dụng hàm băm MD5 3.3.5 Tổ chức CA Server Nền phát triển - Hệ điều hành Mcrosoft Server 2003 - Open CA Server 99 PKI kỹ thuật đảm bảo an toàn sở liệu - Open SSL Các chức CA Server Nhận yêu cầu từ RAServer - Nhập yêu cầu chứng từ thiết bị lƣu trữ vào - Phân tích yêu cầu chứng lƣu vào CSDL - Quản lý yêu cầu chứng chỉ: Thêm mới, Xem, Xoá yêu cầu Phát hành chứng - Xem yêu cầu chứng cần cấp phát - Chấp nhận huỷ bỏ yêu cầu Nếu đƣợc chấp nhận cặp khoá ngƣời dùng đƣợc tạo sau tạo chứng tƣơng ứng đƣợc ký khoá riêng CA - Thực quản lý chứng cấp phát: Xem, xoá, huỷ bỏ Cấp lại chứng - Xem yêu cầu cấp lại chứng - Chấp nhận huỷ bỏ yêu cầu Nếu đƣợc chấp nhận hủy bỏ chứng cũ, cặp khoá ngƣời dùng đƣợc tạo sau tạo chứng tƣơng ứng đƣợc ký khoá riêng CA - Thực quản lý chứng cấp phát: Xem, xoá, huỷ bỏ Sửa đổi chứng - Xem yêu cầu sửa đổi chứng - Chấp nhận huỷ bỏ yêu cầu Nếu đƣợc chấp nhận tiến hành nhƣ sau: + Huỷ chứng cũ + Nếu sửa đổi thông tin User chứng đƣợc tạo tƣơng ứng với cặp khoá cũ user đƣợc ký khoá riêng CA 100 PKI kỹ thuật đảm bảo an toàn sở liệu + Nếu thay đổi kích thƣớc khoá vừa thay đổi kích thƣớc khoá vừa thay đổi thông tin user cặp khoá đƣợc sinh sau tạo chứng tƣơng ứng đƣợc ký khoá riêng CA - Thực quản lý chứng cấp phát: Xem, xoá, huỷ bỏ Huỷ bỏ chứng - Xem chứng cần huỷ bỏ nhập yêu cầu huỷ chứng từ RAServer thông qua thiết bị lƣu trữ - Chấp nhận huỷ bỏ việc huỷ chứng Nếu đƣợc chấp nhận đánh dấu huỷ chứng Tạo danh sách chứng huỷ bỏ (CRL) - Tạo danh sách chứng bị huỷ bỏ ký khoá riêng CA Xuất chứng CRL - Xuất chứng đƣợc tạo chứng hiệu lực thiết bị lƣu trữ để đƣa sang RAServer LDAP Server - Xuất danh sách chứng huỷ bỏ thiết bị lƣu trữ để đƣa vào LDAPServer Tìm kiếm chứng - Tìm kiếm theo tên User - Tìm kiếm theo Email - Tìm kiếm theo tên phòng ban (Organization Unit) - Tìm kiếm theo tên tổ chức (Organization) Sơ đồ phân cấp chức cho CA đƣợc trình bày hình 3.7 Tổ chức quản lý đĩa Quản lý yêu cầu cấp chứng 101 PKI kỹ thuật đảm bảo an toàn sở liệu Các yêu cầu cấp chứng File đƣợc nhập vào từ thiết bị lƣu trữ CA quản lý File yêu cầu thƣ mục reqs chƣơng trình Thƣ mục lại gồm thƣ mục nhƣ sau: pending: Chứa File yêu cầu chờ ký deleted: Chứa File yêu cầu bị xoá archivied: Chứa File yêu cầu đƣợc xử lý Quản lý yêu cầu sửa chứng Các yêu cầu sửa đổi chứng File đƣợc nhập vào từ thiết bị lƣu trữ CA quản lý File yêu cầu thƣ mục repair_reqs chƣơng trình Thƣ mục lại gồm thƣ mục nhƣ sau: pending: Chứa File yêu cầu chờ ký deleted: Chứa File yêu cầu bị xoá archivied: Chứa File yêu cầu đƣợc xử lý Quản lý yêu cầu cấp lại chứng Các yêu cầu cấp lại chứng File đƣợc nhập vào từ thiết bị lƣu trữ CA quản lý File yêu cầu thƣ mục regen_reqs chƣơng trình Thƣ mục lại gồm thƣ mục nhƣ sau: pending: Chứa File yêu cầu chờ ký deleted: Chứa File yêu cầu bị xoá archivied: Chứa File yêu cầu đƣợc xử lý Quản lý yêu cầu huỷ bỏ chứng Các yêu cầu huỷ bỏ chứng File đƣợc nhập vào từ thiết bị lƣu trữ CA quản lý File yêu cầu thƣ mục crrs chƣơng trình Thƣ mục lại gồm thƣ mục nhƣ sau: 102 PKI kỹ thuật đảm bảo an toàn sở liệu pending: Chứa File yêu cầu chờ ký deleted: Chứa File yêu cầu bị xoá archivied: Chứa File yêu cầu đƣợc xử lý Quản lý chứng Các chứng File sau đƣợc CA phát hành đƣợc thêm vào CSDL chứng Ngoài CA quản lý File thƣ mục certs chƣơng trình Thƣ mục lại gồm thƣ mục nhƣ sau: issued: Chứa tất chứng đƣợc phát hành new: Chứa chứng đƣợc phát hành mà chƣa xuất thiết bị lƣu trữ Bên cạch đó, để đảm bảo thuận tiện cho việc quản lý danh sách chứng phát hành chƣơng trình sử dụng File index index.txt thƣ mục stuff chƣơng trình Mỗi dòng File thông tin chứng nhƣ trạng thái, số hiệu, ngày có hiệu lực, ngày hết hiệu lực, ngày huỷ bỏ (nếu có), tên chủ sở hữu ứng với chứng Khi chứng đƣợc tạo huỷ bỏ thông tin chứng đƣợc cập nhật File Quản lý khoá riêng người dùng Các khoá riêng ngƣời dùng File sau đƣợc CA sinh đƣợc CA quản lý thƣ mục privates chƣơng trình Thƣ mục lại gồm thƣ mục nhƣ sau: issued: Chứa tất khoá riêng đƣợc tạo new: Chứa khoá riêng đƣợc tạo ra, chƣa xuất thiết bị lƣu trữ Quản lý khoá công khai người dùng Các khoá công khai ngƣời dùng File đƣợc tạo CA sinh cặp khoá Mặc dù khoá công khai đƣợc đƣa vào chứng ngƣời dùng nhƣng CA quản lý khoá thƣ mục public chƣơng trình 103 PKI kỹ thuật đảm bảo an toàn sở liệu Các trình tiện ích CA CA sử dụng trình tiện ích sau: - Chƣơng trình sinh số nguyên tố lớn - Chƣơng trình tạo giá trị tóm lƣợc MD5 - Chƣơng trình tạo chứng - Chƣơng trình kiểm tra chứng - Chƣơng trình huỷ bỏ chứng - Chƣơng trình tạo danh sách chứng huỷ bỏ 3.4 TÓM TẮT Với việc kết hợp mật mã khóa công khai, hệ mật mã khóa đối xứng, mô hình ứng dụng lớp khả quản trị hệ thống sẵn có hệ điều hành, hệ quản trị sở liệu, Hệ thống đáp ứng đƣợc yêu cầu sau: • Tự động hóa đƣợc trình phân phối mầm khóa hệ thống đáp ứng đƣợc yêu cầu trao đổi thông tin cao toàn hệ thống • Đảm bảo thông tin giao dịch vùng an toàn hệ thống đề đƣợc bảo mật xác thực Do thông tin chuyển vào ghi nhận CSDL đƣợc đảm bảo tính hợp pháp • Tạo điều kiện cho việc tổ chức trao đổi thông tin hai đối tƣợng hệ thống đƣợc cấp khóa riêng/khóa công khai chứng • Ngoài ra, hệ thống tạo điều kiện thuận lợi cho ứng dụng sử dụng chữ ký điện tử để ký liệu nhƣ công văn, chứng từ kế toán tạo tin cậy trình tác nghiệp trực tiếp thông qua mạng máy tính Tuy nhiên để triển khai rộng rãi mạng Internet, mô hình cần đƣợc nghiên cứu kỹ cần đƣợc hỗ trợ, tăng cƣờng sách bảo mật khác 104 PKI kỹ thuật đảm bảo an toàn sở liệu KẾT LUẬN Tóm lại, luận văn tập trung nghiên cứu giải toán xây dựng hạ tầng sở mật mã khóa công khai với nội dung chủ yếu sau: Đã nghiên cứu, tìm hiểu khái niệm hệ mật mã khoá công khai vấn đề nẩy sinh ứng dụng mật mã khoá công khai, hạ tầng sở khoá công khai (PKI) Nghiên cứu tìm hiểu thành phần, chức PKI bao gồm vấn đề công nghệ nhƣ vấn đề pháp lý Đã đƣa giải pháp ứng dụng hạ tầng sở khoá công khai vào giải toàn bảo vệ dòng thông tin việc xây dựng ứng dụng có liên quan tới CSDL Trong tƣơng lai luận văn đƣợc phát triển theo nhiều hƣớng, cụ thể : Nghiên cứu phát triển hệ thống CA phần mềm CA mã nguồn mở Nghiên cứu phát triển giao thức kiểm tra trực tuyến tính hợp lệ chứng có độ tin cậy cao Nghiên cứu phát triển sinh tham số Hệ thống CA, giải pháp bảo vệ tham số cho hệ thống, cho ngƣời dùng, 105 PKI kỹ thuật đảm bảo an toàn sở liệu TÀI LIỆU THAM KHẢO Carlisle Adams, Steve Loyd (2003) Understanding PKI Second Edition: Concepts, Standards, and Deployment Considerations, NXB Addison Wesley, USA Jalal Feghhi, Jalil Feghhi, Peter Williams (1999) Digital Certificates, NXB Addison Wesley, USA RSA Security inc Understanding Publickey Infrastructure (PKI) , USA Chính phủ (2007) Quy định chi tiết thi hành luật giao dịch điện tử chữ ký số dịch vụ chứng thực chữ ký số, Việt Nam Nguyễn Nam Hải, Đ.H.Vân, P.N.Thuý (2003) Chứng thực thương mại điện tử, NXB Khoa học Kỹ thuật, Việt Nam Chính phủ (2007) Quy định chi tiết thi hành luật giao dịch điện tử chữ ký số dịch vụ chứng thực chữ ký số, Việt Nam Quốc hội (2005) Luật giao dịch điện tử, Việt Nam 106 ... khai PKI o Các thành phần PKI o Các cách thức quản lý phân phối khoá công khai PKI PKI kỹ thuật đảm bảo an toàn sở liệu o Chứng khoá công khai o Các chức PKI o Cấu trúc PKI o Các yêu cầu PKI o Ban... dịch việc đảm bảo an toàn thông tin giao dịch thƣơng mại điện tử lớn, chiếm phần lớn khối lƣợng giao dịch diễn mạng Internet toàn cầu Và kỹ thuật mật mã công cụ quan trọng đảm bảo an toàn thông... luật PKI - Ứng dụng PKI cho bảo mật sở liệu hệ thống ứng dụng Phƣơng pháp nghiên cứu Dựa tài liệu, văn sở lý thuyết từ xây dựng mô hình ứng dụng thực tế PKI kỹ thuật đảm bảo an toàn sở liệu CHƢƠNG