BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Bùi Trọng Tùng NGHIÊN CỨU, TRIỂN KHAI, THỬ NGHIỆM VÀ ỨNG DỤNG GIẢI PHÁP TÍCH HỢP SINH TRẮC VÀO PKI Chuyên ngành : Kỹ thuật máy tính truyền thông LUẬN VĂN THẠC SĨ KHOA HỌC KỸ THUẬT MÁY TÍNH VÀ TRUYỀN THÔNG NGƯỜI HƯỚNG DẪN KHOA HỌC : TS NGUYỄN LINH GIANG Hà Nội – Năm 2010 LỜI CAM ĐOAN Tôi – Bùi Trọng Tùng- cam kết luận văn Thạc sĩ khoa học công trình nghiên cứu thân hướng dẫn TS Nguyễn Linh Giang Các kết nêu luận văn trung thực, chép toàn văn công trình khác Toàn văn luận văn cho phép công bố đề tài KC.01.11/06-10 “Nghiên cứu xây dựng hệ thống kiểm soát truy cập mạng an ninh thông tin dựa sinh trắc học sử dụng công nghệ nhúng” nằm Chương trình Khoa họcCông nghệ trọng điểm cấp nhà nước giai đoạn 2006-2010 Hà Nội, ngày 29 tháng 10 năm 2010 Tác giả MỤC LỤC TRANG PHỤ BÌA LỜI CAM ĐOAN DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC CÁC BẢNG DANH MỤC HÌNH VẼ MỞ ĐẦU 10 Chương 1- TỔNG QUAN VỀ HẠ TẦNG KHÓA CÔNG KHAI PKI 15 1.1 Các khái niệm 15 1.1.1 Hệ mật mã khóa bất đối xứng 15 1.1.2 Cơ sở hạ tầng khóa công khai 19 1.2 Các thành phần PKI .20 1.2.1 Nhà phát hành chứng thư số CA 21 1.2.2 Cơ quan đăng kí chứng thực RA 22 1.2.3 Thực thể đầu cuối 23 1.2.4 Cấu trúc chứng thư số 24 1.2.5 Kho chứng thư số 25 1.3 Các chức PKI 26 1.3.1 Yêu cầu chứng thư số .26 1.3.2 Phát hành chứng thư số 26 1.3.3 Công bố chứng thư số 26 1.3.4 Hủy chứng thư số 27 1.3.5 Các hoạt động quản lý khóa 27 1.4 Kiến trúc PKI 28 1.4.1 Kiến trúc PKI đơn có CA 29 1.4.2 Kiến trúc PKI xí nghiệp 31 1.5 Sản phẩm mã nguồn mở hạ tầng khóa công khai OpenCA 36 1.5.1 Giới thiệu chung OpenCA 36 1.5.2 Các thành phần OpenCA .37 1.5.3 Các dịch vụ OpenCA .38 1.6 Một số vấn đề PKI .39 Chương - XÂY DỰNG MÔ HÌNH GIẢI PHÁP VÀ THIẾT KẾ HỆ THỐNG BIOPKI 41 2.1 Vấn đề tích hợp sinh trắc học vào hệ thống PKI 41 2.1.1 Các yêu cầu chung hệ thống BioPKI 41 2.1.2 Các hướng tiếp cận sinh trắc học vào PKI 42 2.2 Giải pháp xây dựng phát triển hệ thống BioPKI 47 2.2.1 Giải pháp sử dụng sinh trắc học công nghệ nhúng bảo vệ khóa cá nhân.47 2.2.2 Giải pháp xây dựng BioPKI tảng PKI-OpenCA 49 2.3 Mô hình kiến trúc hệ thống mức khung cảnh 53 2.4 Thiết kế chức thành phần hệ thống BioPKI .55 2.4.1 Thành phần CA Operator .55 2.4.2 Thành phần RA .58 2.4.3 Thành phần LRA 61 2.4.4 Website quảng bá thông tin 62 2.5 Quy trình hoạt động hệ thống BioPKI 64 2.5.1 Thiết lập hệ thống ban đầu 64 2.5.2 Cấp phát chứng thư số 67 2.5.3 Hủy chứng thư theo yêu cầu 70 Chương - GIẢI PHÁP XÂY DỰNG ỨNG DỤNG CHỮ KÍ SỐ TRÊN NỀN TẢNG HỆ THỐNG BIOPKI 72 3.1 Khái quát chung chữ kí số .72 3.1.1 Khái niệm chữ kí số 72 3.1.2 Sơ đồ nguyên lý kí số xác thực chữ kí số 73 3.2 Ứng dụng chữ kí số tảng hệ thống BioPKI 76 3.3 Giải pháp tích hợp ứng dụng chữ kí số tảng BioPKI vào giao dịch điện tử 79 3.3.1 Triển khai chữ kí số cho dịch vụ tảng Application-based 79 3.3.2 Triển khai ứng dụng chữ kí số ứng dụng Web-based .81 Chương - TRIỂN KHAI HỆ THỐNG BIOPKI VÀ KẾT QUẢ THỬ NGHIỆM .84 4.1 Đề xuất giải pháp triển khai hệ thống BioPKI 84 4.1.1 Quy trình tác nghiệp quan phát hành quản lý chứng thư số 84 4.1.2 Quy trình tác nghiệp trao đổi xử lí văn .87 4.1.3 Triển khai hạ tầng hệ thống BioPKI địa ứng dụng 88 4.2 Kết triển khai thử nghiệm 91 4.2.1 Mô hình hệ thống thử nghiệm 91 4.2.2 Nội dung kết thử nghiệm 93 4.2.3 Đánh giá kết thử nghiệm .100 KẾT LUẬN VÀ KIẾN NGHỊ 102 TÀI LIỆU THAM KHẢO 104 DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Diễn giải CA Certificate Authority CRL Certificate Revocation List CSDL Cơ sở liệu FTP File Transfer Protocol HTTP Hyper Text Transfer Protocol ID Identification LDAP Lightweight Directory Access Protocol LRA Local Registration Authority PIN Personal Identification Number PKCS Public Key Cryptography Standards PKI Public Key Infrastructure RA Registration Authority XML eXtensible Markup Language DANH MỤC CÁC BẢNG Bảng 4.1 Danh sách thiết bị triển khai hệ thống .92 Bảng 4.2 Kết thử nghiệm cấp phát chứng thư 93 Bảng 4.3 Kết thử nghiệm thu hồi chứng thư số hết hạn 94 Bảng 4.4 Kết thử nghiệm thu hồi chứng thư số theo yêu cầu 95 Bảng 4.5 Kết triển khai chữ kí số tảng Application-based 96 Bảng 4.6 Kết triển khai chữ kí số tảng Web-based 97 Bảng 4.7 Kết thử nghiệm chống công giả mạo nội dung .98 Bảng 4.8 Kết thử nghiệm chống công giả danh người dùng 99 Bảng 4.9 Đánh giá kết thử nghiệm 100 DANH MỤC HÌNH VẼ Hình 1.1 Sơ đồ nguyên lý hệ mã hóa khóa công khai đảm bảo tính mật Hình 1.2 Sơ đồ nguyên lý hệ mã hóa khóa công khai đảm bảo tính xác thực Hình 1.3 Các thành phần PKI 20 Hình 1.4 Cấu trúc chứng thư số 24 Hình 1.5 Kiến trúc PKI có CA 29 Hình 1.6 Mô hình danh sách CA tin cậy (Basic Trust List Model) 30 Hình 1.7 Mô hình PKI phân cấp .31 Hình 1.8 Mô hình PKI lưới 33 Hình 1.9 Mô hình danh sách điểm tin cậy mở rộng .34 Hình 1.10 Mô hình PKI chứng nhận chéo 35 Hình 1.11 Mô hình CA bắc cầu 35 Hình 2.1 Hướng tiếp cận hệ thống BioPKI .42 Hình 2.2 Một số đặc trưng sinh trắc học 43 Hình 2.3 Hệ thống sinh trắc học .44 Hình 2.4 Mô hình sử dụng thẻ Bio-Etoken bảo vệ khóa cá nhân .48 Hình 2.5 Mô hình kiến trúc hệ thống BioPKI mức khung cảnh .53 Hình 2.6 Biểu đồ phân cấp chức CA Operator 56 Hình 2.7 Sơ đồ phân cấp chức LRA 59 Hình 2.8 Sơ đồ phân cấp chức LRA 62 Hình 2.9 Kịch thiết lập CA Operator 64 Hình 2.10 Kịch thiết lập RA 65 Hình 2.11 Kịch thiết lập LRA 66 Hình 2.12 Quy trình hệ thống cấp chứng thư 68 Hình 2.13 Quy trình hệ thống hủy chứng thư theo yêu cầu 71 Hình 3.1 Quá trình tạo xác thực chữ kí số 74 Hình 3.2 Kịch kí số lên tin hệ thống BioPKI 77 Hình 3.3 Kịch xác thực chữ kí số hệ thống BioPKI 79 Hình 3.4 Triển khai chữ kí số ứng dụng Application-based 80 Hình 3.5 Nền tảng Web-based để xây dựng ứng dụng chữ kí số .82 Hình 4.1 Mô hình triển khai hệ thống BioPKI đơn vị ứng dụng 88 Hình 4.2 Hạ tầng triển khai hệ thống BioPKI 89 Hình 4.3 Sơ đồ hệ thống thử nghiệm 91 MỞ ĐẦU Ngay từ đời, mạng máy tính chứng minh vai trò sức ảnh hưởng lớn lao tới lĩnh vực có ứng dụng công nghệ thông tin Đặc biệt, phát triển mạnh mẽ mạng Internet kéo theo phát triển không ngừng giao dịch điện tử môi trường mạng, tảng để kéo cộng đồng người dùng tới gần Tuy nhiên, môi trường mạng môi trường ảo tự do, tham gia nên nguy xảy giả danh, giả mạo để lừa đảo cao Nhu cầu xây dựng hệ thống an toàn-an ninh thông tin đảm bảo giao dịch có định danh chống từ chối ngày trở nên cấp thiết Cơ sở hạ tầng khóa công khai PKI (Public Key Infrastructure), phát triển tảng hệ mật khóa bất đối xứng, giải pháp ưa chuộng tính ưu việt so với nhiều giải pháp khác Mỗi người dùng hệ thống xác định khóa cá nhân chứng thư số hệ thống cấp phát ; giao dịch gắn chữ kí số người tham gia Tuy nhiên, hệ thống thông tin khác, PKI có vấn đề an toàn-bảo mật thông tin; mà vấn đề giải PKI thực chứng minh khả ứng dụng Trong đó, nguy lớn khóa cá nhân bị sử dụng người chủ sở hữu nó; đặc biệt khóa cá nhân quản trị viên hệ thống hệ thống đổ vỡ Với hệ thống PKI thông thường, giải pháp kĩ thuật cho phép xác thực “Ai dùng khóa cá nhân ?” khẳng định “Khóa cá nhân có người dùng hay không ?” Để tiến tới giải pháp xác thực chủ thể hiệu quả, bảo vệ tốt khóa cá nhân, người ta nghĩ tới việc tích hợp yếu tố sinh trắc học, với điểm mạnh tính xác thực dựa tính đặc trưng cho cá nhân, với hệ thống PKI thành BioPKI Trong trình tham gia đề tài Khoa học công nghệ cấp nhà nước mang mã số KC01.11/06-10 “Nghiên cứu, xây dựng hệ thống kiểm soát truy cập mạng an ninh thông tin dựa sinh trắc học sử dụng công nghệ nhúng”, tác giả nhận 10 HDD 40GB • Hệ điều hành : Microsoft Windows XP Professional SP2 • Các phần mềm môi trường : Net framwork 2.0, thư viện OpenSSL • Hệ quản trị sở liệu : MySQL server 5.0 − Phần mềm hệ thống RA − Máy trạm đăng kí LRA : • Cấu hình phần cứng : CPU Pentium4 3.0 GHz (hoặc tương đương) DDR RAM 512 MB HDD 40GB • Hệ điều hành : Microsoft Windows XP Professional SP2 • Các phần mềm môi trường : Net framwork 2.0, thư viện OpenSSL • Hệ quản trị sở liệu : MySQL server 5.0 • Thiết bị thu nhận sinh trắc Bắt buộc : Biometrika FX3000 Tùy chọn : camera thu nhận lòng bàn tay khuôn mặt • Phần mềm hệ thống LRA − Máy trạm người dùng: • Cấu hình phần cứng : CPU Pentium4 2.06 GHz (hoặc tương đương) DDR RAM 512 MB HDD 40GB • Hệ điều hành : Microsoft Windows XP Professional SP2 • Các phần mềm môi trường : Net framwork 2.0, thư viện OpenSSL • Thiết bị thu nhận sinh trắc Bắt buộc : Biometrika FX3000 Tùy chọn : camera thu nhận lòng bàn tay khuôn mặt • Thẻ sinh trắc Bio-Etoken hệ thống phát hành 90 • Các ứng dụng sử dụng chứng thư số − Môi trường mạng : tốc độ 100Mbps 4.2 Kết triển khai thử nghiệm Giải pháp triển khai hệ thống BioPKI ứng dụng chữ kí số thử nghiệm khuôn khổ đề tài KC.01.11/06-10, bao gồm : − Triển khai hệ thống BioPKI phòng thí nghiệm liên mạng, Bộ môn Truyền thông Mạng máy tính, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội − Triển khai thử nghiệm chữ kí số cho ứng dụng quản lý bảng điểm phòng thí nghiệm liên mạng − Triển khai thử nghiệm chữ kí số cho hai ứng dụng Trung tâm bảo mật thông tin Kinh tế-Xã hội, Ban Cơ yếu Chính phủ: • Ứng dụng quản lí hồ sơ tảng công nghệ Application-based • Ứng dụng quản lí kinh doanh tảng công nghệ Web-based Toàn trình triển khai thử nghiệm mô tả sau 4.2.1 Mô hình hệ thống thử nghiệm Mô hình hệ thống thử nghiệm biểu diễn hình 4.3 Toàn cấu hình hệ thống đáp ứng theo đề xuất phần 4.1 chương Hình 4.3 Sơ đồ hệ thống thử nghiệm 91 Bảng 4.1 Danh sách thiết bị triển khai hệ thống Máy chủ cài đặt OpenCA Máy trạm cài đặt phần mềm điều hành CA Operator Máy trạm cài đặt RA Máy trạm cài đặt LRA Máy trạm người dùng, cài đặt ứng dụng Thiết bị thu nhận vân tay Biometrika Webcam thu nhận khuôn mặt lòng bàn tay Thẻ sinh trắc Bio-Etoken Bộ chuyển mạch Hệ thống gồm mạng LAN chuẩn Ethernet 100BASE-T − Mạng LAN : kết nối máy chủ OpenCA máy điều hành CA Operator − Mạng LAN : kết nối máy trạm RA, máy trạm LRA, máy trạm người dùng 92 4.2.2 Nội dung kết thử nghiệm Hệ thống thử nghiệm theo kịch để kiểm tra đánh giá giải pháp xây dựng hệ thống BioPKI ứng dụng chữ kí số mà tác giả đề xuất Các kịch chia làm nhóm : − Nhóm kịch đánh giá khả tương thích hệ thống BioPKI với nghiệp vụ mô hình tác nghiệp thực tế, bao gồm : ¾ Thử nghiệm chức Cấp phát chứng thư cho người dùng ¾ Thử nghiệm chức Thu hồi chứng thư số hết hạn ¾ Thử nghiệm chức Thu hồi chứng thư số theo yêu cầu ¾ Thử nghiệm triển khai Chữ kí số cho ứng dụng Application-based ¾ Thử nghiệm triển khai Chữ kí số cho ứng dụng Web-based − Nhóm kịch đánh giá mức độ an toàn ứng dụng chữ kí số tảng BioPKI, bao gồm : ¾ Thử nghiệm Khả chống công giả mạo nội dung file/form liệu chữ kí số tảng BioPKI ¾ Thử nghiệm Khả chống công giả danh người dùng chữ kí số tảng BioPKI 4.2.2.1 Thử nghiệm kiểm tra hoạt động hệ thống BioPKI ứng dụng chữ kí số nghiệp vụ thực tế a Thử nghiệm chức Cấp phát chứng thư cho người dùng Kịch thử nghiệm tuân theo quy trình phần 4.1.1.1 Kết thử nghiệm trình bảy bảng 4.2 Bảng 4.2 Kết thử nghiệm cấp phát chứng thư STT Số lượt Kịch Kết lô xử lí 1 lượt đăng kí chứng thư Hệ thống ghi nhận cấp phát với thời hạn 30 chứng thư kèm theo thẻ BioEtoken ngày LRA 93 14 14 lượt đăng kí chứng Hệ thống ghi nhận cấp phát 14 thư với thời hạn 60 chứng thư kèm theo 14 thẻ ngày LRA1 LRA2 Bio-Etoken 20 15 lượt đăng kí chứng Hệ thống ghi nhận cấp phát 15 thư với thời hạn 90 chứng thư kèm theo 15 thẻ ngày LRA1 LRA2 Bio-Etoken lượt đăng kí lại Hệ thống phát trường hợp đăng kí lại từ chối LRA1 LRA2 Sau thử nghiệm, hệ thống ghi nhận tổng cộng 30 chứng thư cấp phát Kết thử nghiệm cho thấy thành phần LRA, RA, CA Operator, OpenCA giải pháp tích hợp sinh trắc, tích hợp công nghệ nhúng đáp ứng yêu cầu chức quy trình cấp phát chứng thư mới, bao gồm : − Quản lí người dùng − Quản lí yêu cầu cấp phát chứng thư − Phát hành chứng thư số khóa cá nhân − Quản lí chứng thư − Quản lí thẻ sinh trắc Bio-Etoken, đồng sở liệu RA OpenCA b Thử nghiệm chức Thu hồi chứng thư số hết hạn Kịch thử nghiệm thực cách thay đổi thời gian hệ thống Kết thử nghiệm trình bảy bảng 4.3 Bảng 4.3 Kết thử nghiệm thu hồi chứng thư số hết hạn STT Kịch Kết Chỉnh ngày hệ thống Hệ thống ghi nhận có chứng thư số hết hạn cộng thêm 30 ngày Chỉnh ngày hệ thống Hệ thống ghi nhận có 14 chứng thư số hết hạn cộng thêm 60 ngày 94 Sau lô thử nghiệm, hệ thống ghi nhận tổng cộng có 15 chứng thư số hết hạn Kết thử nghiệm cho thấy thành phần RA, RA Operator, OpenCA đáp ứng yêu cầu chức : − Thu hồi chứng thư số hết hạn thời điểm thử nghiệm − Ghi nhận danh sách thu hồi chứng thư CRL − Thiết lập lại trạng thái chứng thư thẻ sinh trắc Bio-Etoken − Đồng sở liệu RA OpenCA c Thử nghiệm chức Thu hồi chứng thư số theo yêu cầu Kịch thử nghiệm tuân theo quy trình phần 4.1.1.2 Kết thử nghiệm trình bảy bảng 4.4 Sau lô thử nghiệm, hệ thống ghi nhận tổng cộng có 15 chứng thư số thu hồi Kết thử nghiệm cho thấy thành phần LRA, RA, CA Operator, OpenCA giải pháp tích hợp sinh trắc, tích hợp công nghệ nhúng đáp ứng yêu cầu chức quy trình thu hồi chứng thư theo yêu cầu, bao gồm : − Quản lí yêu cầu thu hồi chứng thư − Thu hồi chứng thư số − Quản lí chứng thư − Quản lí thẻ sinh trắc Bio-Etoken − Đồng sở liệu RA OpenCA Bảng 4.4 Kết thử nghiệm thu hồi chứng thư số theo yêu cầu STT Số lượt Kịch Kết lô xử lí 1 lượt yêu cầu thu hồi chứng Hệ thống ghi nhận thu hồi thư số 14 chứng thư 14 lượt yêu cầu thu hồi Hệ thống ghi nhận thu hồi chứng thư số LRA1 14 chứng thư LRA2 95 d Thử nghiệm triển khai Chữ kí số cho ứng dụng Application-based Kịch thử nghiệm tuân theo quy trình phần 4.1.2 sau : − Bước Phòng Đào tạo lên danh sách sinh viên đủ điều kiện thi, lập bảng điểm mẫu, kí số lên bảng điểm công bố Website − Bước Một hai CBGD phụ trách môn học download bảng điểm Website kiểm tra tính hợp lệ chữ kí bảng điểm Nếu chữ kí phòng Đào tạo, CBGD tiến hành nhập điểm vào Bảng điểm − Bước Sau kết thúc việc nhập điểm, hai CBGD đồng thời kí xác nhận lên bảng điểm chuyển bảng điểm cho cán giáo vụ khoa/viện Lúc này, bảng điểm trạng thái chờ xác nhận khoa/viện − Bước Cán giáo vụ khoa/viện xác thực tính hợp lệ chữ kí bảng điểm nhận từ CBGD Nếu chữ kí hợp lệ, cán giáo vụ thực kí chồng lên bảng điểm để phê duyệt chuyển cho cán phòng Đào tạo Lúc này, bảng điểm trạng thái chờ xác nhận phòng Đào tạo − Bước Cán phòng đào tạo xác thực chữ kí khoa/viện bảng điểm Nếu chữ kí hợp lệ, tiến hành bóc tách bảng điểm gốc kí phê duyệt trước công bố Website Kết thử nghiệm trình bảy bảng 4.5 Bảng 4.5 Kết triển khai chữ kí số tảng Application-based STT Số file Kịch Kết lô xử lí 1 Áp dụng quy trình lên file Hệ thống kí số xác thực với khóa cá nhân thành công file theo quy trình CBGD 20 Áp dụng quy trình với khóa Hệ thống kí số xác thực cá nhân CBGD, thành công 20 file theo quy khóa cho file Chứng thư số trình tương ứng khóa cá 96 nhân hạn sử dụng 20 Áp dụng quy trình với khóa Hệ thống kí số thành công lên cá nhân CBGD, 20 file theo quy trình khóa cho file Chứng thư số Hệ thống xác thực chấp nhận tương ứng khóa cá 10 file theo quy trình nhân hạn sử dụng, Hệ thống xác thực từ chối 10 khóa lại hết hạn file theo quy trình Kết thử nghiệm cho thấy giải pháp triển khai chữ kí số thành phần RA đáp ứng yêu cầu chức triển khai ứng dụng Application-based, bao gồm : xác thực sinh trắc, đọc thông tin từ thẻ sinh trắc BioEtoken, kí số lên file, xác thực chữ kí số file, xử lí theo lô Kết thử nghiệm địa ứng dụng cho đánh giá tương tự e Thử nghiệm triển khai Chữ kí số cho ứng dụng Web-based Kịch thử nghiệm tiến hành Website đăng kí thông tin người dùng Kết thử nghiệm trình bày bảng 4.6 Bảng 4.6 Kết triển khai chữ kí số tảng Web-based STT Số lượt đăng kí Kịch Kết lô xử lí 1 Kí số lên form đăng kí Hệ thống kí số xác thực với khóa cá nhân Kí số lên form đăng kí Hệ thống kí số xác thực với khóa cá nhân 10 thành công lượt đăng kí thành công lượt đăng kí Kí số lên form đăng kí Hệ thống kí số thành công với khóa cá nhân có 10 lượt đăng kí chứng thư số tương ứng Hệ thống xác thực chấp nhận hạn sử dụng lượt đăng kí Kí số lên form đăng kí Hệ thống xác thực từ chối 97 với khóa cá nhân có lượt đăng kí quy trình chứng thư số tương ứng hết hạn sử dụng Kết thử nghiệm cho thấy giải pháp triển khai chữ kí số thành phần RA đáp ứng yêu cầu chức triển khai ứng dụng Webbased, bao gồm : xác thực sinh trắc, đọc thông tin từ thẻ sinh trắc Bio-Etoken, kí số lên Web form, xác thực chữ kí số Web form, xử lí theo lô Kết thử nghiệm địa ứng dụng cho đánh giá tương tự 4.2.2.2 Thử nghiệm đánh giá độ an toàn giải pháp chữ kí số tảng hệ thống BioPKI a Thử nghiệm Khả chống công giả mạo nội dung file/văn Tình thử nghiệm, kẻ công chặn bắt file/form liệu đường truyền thay đổi nội dung Kết thử nghiệm trình bày bảng 4.7 Bảng 4.7 Kết thử nghiệm chống công giả mạo nội dung STT Số lượt xử lí Kịch Kết lô 1 file Kẻ công chặn bắt Hệ thống xác thực từ chối file nội file thay đổi dung bị thay đổi nội dung 10 file Kẻ công chặn bắt Hệ thống xác thực từ chối 10 file 10 file thay nội dung bị thay đổi đổi nội dung 20 file Kẻ công chặn bắt Hệ thống xác thực chấp nhận 10 file 10 file thay Hệ thống xác thực từ chối 10 file nội dung bị thay đổi đổi nội dung lượt đăng Kẻ công chặn bắt Hệ thống xác thực từ chối đăng kí kí file thay đổi nội dung đăng kí bị thay đổi 98 nội dung lượt đăng Kẻ công chặn bắt Hệ thống xác thực từ chối lượt form liệu đăng kí nội dung bị thay đổi kí thay đổi nội dung 10 lượt đăng Kẻ công chặn bắt Hệ thống xác thực chấp nhận lượt form liệu đăng kí kí Hệ thống xác thực từ chối lượt thay đổi nội dung đăng kí nội dung bị thay đổi Kết thử nghiệm cho thấy phát dạng công lên nội dung file/form liệu b Thử nghiệm Khả chống công giả danh người dùng Có kịch công giả danh người dùng thử nghiệm, : − Kẻ công làm giả cặp khóa cá nhân/khóa công khai − Kẻ công có thẻ Bio-Etoken dùng thẻ để giả danh người dùng Kịch đánh giá mức độ an toàn pha xác thực sinh trắc nên tình thử nghiệm kẻ công có số PIN thẻ Theo kết thử nghiệm phân hệ sinh trắc hệ thống, tỉ lệ chấp nhận sai phân hệ sinh trắc sử dụng ngón tay để bảo vệ khóa cá nhân thẻ Bio-Etoken FAR = 0.17% Kết thử nghiệm trình bảy bảng 4.8 Bảng 4.8 Kết thử nghiệm chống công giả danh người dùng STT Kịch Số lượt Kết công Kẻ công làm giả 20 cặp 20 Hệ thống qua xác thực chữ kí số từ chối 20 lượt khóa cá nhân/khóa công khai Kẻ công có thẻ Bio- 50 Etoken làm giả 10 mẫu Hệ thống qua xác thực sinh trắc từ chối 50 lượt truy xuất khóa cá nhân 99 sinh trắc cho thẻ từ thẻ Bio-Etoken Như kết thu từ thử nghiệm FAREx = 0.00 % < 0.17% Kết thử nghiệm cho thấy giải pháp chữ kí số tảng BioPKI có độ an toàn cao Với ứng dụng chữ kí số hệ PKI thông thường, người dùng bị giả danh để lộ số PIN Nguy loại trừ sử dụng yếu tố sinh trắc yếu tố xác thực thứ để bảo vệ khóa cá nhân người dùng 4.2.3 Đánh giá kết thử nghiệm Căn vào kịch thử nghiệm kết thu được, đánh giá thành phần hệ thống thẻ bảng 4.9 Bảng 4.9 Đánh giá kết thử nghiệm STT Chức yêu cầu Đánh giá 01 Thiết lập hệ thống Đạt yêu cầu 02 Tích hợp đa sinh trắc quy trình hệ thống Đạt yêu cầu 03 Tích hợp thẻ sinh trắc Bio-Etoken Đạt yêu cầu 04 05 Tiếp nhận, xử lí quản lí yêu cầu cấp phát Đạt yêu cầu chứng thư số Tiếp nhận, xử lí quản lí yêu cầu cấp thu hồi Đạt yêu cầu chứng thư theo yêu cầu 06 Thu hồi chứng thư số theo yêu cầu Đạt yêu cầu 07 Quản lí người dùng Đạt yêu cầu 08 Quản lí chứng thư số Đạt yêu cầu 09 Đồng sở liệu OpenCA RA Đạt yêu cầu 10 Kí số lên file Đạt yêu cầu 11 Kí số lên form liệu Đạt yêu cầu 12 Xác thực chứng thư số Đạt yêu cầu 13 Xác thực chữ kí số file Đạt yêu cầu 100 14 Xác thực chữ kí số form liệu Đạt yêu cầu 15 In biên Đạt yêu cầu 16 17 Sao lưu phục hồi sở liệu CA Đạt yêu cầu Operator Xử lí theo lô Đạt yêu cầu 101 KẾT LUẬN VÀ KIẾN NGHỊ Với nội dung luận văn gồm chương bao gồm tìm hiểu sở lý thuyết, đề xuất giải pháp xây dựng hệ thống, đánh giá kết thử nghiệm, tác giả hoàn thành công việc sau : − Về lý thuyết : tác giả tìm hiểu trình bày vấn đề tổng quan sở hạ tầng khóa công khai PKI, hướng tiếp cận BioPKI, sơ đồ nguyên lý kí số xác thực chữ kí số giao dịch điện tử − Về giải pháp đề xuất : Với nội dung lý thuyết nghiên cứu, sở phân tích yêu cầu hệ thống, lựa chọn giải pháp tích hợp sinh trắc công nghệ nhúng với PKI, đề xuất giải pháp công nghệ phát triển hệ thống, tác giả đưa mô hình tổng thể cho hệ thống an ninh thông tin BioPKI ứng dụng chữ kí số tảng BioPKI Các đề xuất tác giả nhằm đáp ứng yêu cầu tăng cường bảo vệ an toàn khóa cá nhân, xác thực chủ thể khóa cá nhân, đáp ứng nghiệp vụ ứng dụng thực tế − Về thử nghiệm kiểm chứng : Các kết triển khai thử nghiệm cho thấy mô hình đề xuất hoàn toàn đáp ứng yêu cầu tác nghiệp thực tế, chứng minh tính an toàn việc bảo vệ khóa cá nhân người dùng ứng dụng chữ kí số Tuy nhiên, để mô hình hệ thống thực hoàn thiện nữa, tác giả nhận thấy phải giải tốt vấn đề sau : − Phát triển hệ thống hoàn toàn tảng công nghệ Web-based Như phân tích, phức tạp xây dựng phân hệ sinh trắc, nên mô hình hệ thống, từ hệ thống lõi BioPKI tới ứng dụng chữ kí số, mô hình lai; có thành phần xây dựng tảng Application-based thành phần xây dựng tảng Web-based Mặc dù mô hình đáp ứng tốt yêu cầu tích hợp phân hệ sinh trắc học phức tạp vào hệ thống PKI-OpenCA phủ nhận điều phần làm phức tạp số 102 nghiệp vụ người dùng cuối ngăn cản hệ thống triển khai cách rộng rãi môi trường mạng Internet Trong thời gian tới, thuật toán mật mã sinh trắc học, bao gồm giải pháp đa sinh trắc, tối ưu hóa để triển khai tảng Web-based mô hình hệ thống phải đáp ứng kịp thay đổi − Tăng cường khả chống phủ nhận chống công phát lại ứng dụng chữ kí số Như mô hình tác giả đề xuất, vấn đề gán nhãn cho chữ kí số để chống phủ nhận chống công phát lại chưa giải thấu đáo Một giải pháp tương lai tác giả nghiên cứu gán tem thời gian vào thao tác kí số xác thực chữ kí số người dùng Để thực hóa giải pháp cần phải giải tốt toán đồng hóa thời gian hệ thống Lựa chọn lĩnh vực tương đối tích hợp sinh trắc học vào hạ tầng khóa công khai, luận văn trình bày giải pháp mà tác giả đưa để xây dựng hệ thống BioPKI đáp ứng toán thực tế Trong hoàn cảnh nước ta nay, giao dịch điện tử môi trường mạng, đặc biệt thương mại điện tử, phát triển mạnh mẽ giải pháp tác giả đưa có ý nghĩa ứng dụng thực tiễn cao đáp ứng toán tác nghiệp thực tế Giải pháp triển khai hướng tiếp cận tích hợp sinh trắc học mà tác giả đưa tăng cường an toàn bảo mật khóa cá nhân cho sở hạ tầng khóa công khai PKI trước đó; giải pháp chữ kí số tảng BioPKI tăng cường khả xác thực chống từ chối giao dịch điện tử Khi áp dụng mô hình hệ thống BioPKI vào tổ chức cụ thể, tác giả hi vọng kiểm tra toàn mô hình giải pháp đề xuất tất phương diện chức hiệu năng, đồng thời phát ý tưởng để hoàn thiện hệ thống Trong trình thực luận văn, chắn tác giả không tránh khỏi thiếu sót phương pháp thực nội dung luận văn Tác giả mong nhận ý kiến đóng góp từ Hội đồng người quan tâm để giải pháp tiếp tục hoàn thiện 103 TÀI LIỆU THAM KHẢO [1] [2] [3] [4] [5] [6] [7] Carl Ellison, Bruce Schneier (2000), Ten Risks of PKI, Computer Security Journal, 16(1) C.Adam, S.Lloyd (2002), Understanding PKI: Concept, Standard and Develoyment Consideration, Addition Wesley Chris Covell, Micheal Bell (2008), OpenCA Guides for 0.9.2+ F Hao, R Anderson, J Daugman (2005), Combining cryptography with biometrics effectively, Computer Laboratory - University of Cambridge, 640 Jain, A K Ross, Arun Prabhakar, Salil (2004), An introduction to biometric recognition, IEEE Transactions on Circuits and Systems for Video Technology, 14(1), pp 4–20 Suranjan Choudhury, Kartik Bhatnagar and Wasim Haque (2002), Public Key Infrastructure Implementation and Design, M&T Books Uludag, Anil K Jain (2004), Biometric Cryptosystems: Issues and Challenges, Proceedings of the IEEE, 92(6), pp 948-960 [8] Whitfield Diffie and Martin E Hellman (1976), New directions in cryptography, IEEE Trans on Information Theory, 22(6), pp 644-654 [9] William Stallings (2005) “Cryptography and Network Security Principles and Practices, Fourth Edition” Prentice Hall Bộ Khoa học Công nghệ (2010), Báo cáo tổng hợp Kết khoa học công nghệ đề tài KC.01.11/06-10 [10] 104 ... hệ thống BioPKI ứng dụng chữ kí số để bắt đầu thực luận văn Thạc sĩ khoa học Nghiên cứu, triển khai, thử nghiệm ứng dụng giải pháp tích hợp sinh trắc vào PKI Sau thời gian nghiên cứu, từ tháng... khoa học Mục đích đề tài Với tên gọi Nghiên cứu, triển khai, thử nghiệm ứng dụng giải pháp tích hợp sinh trắc vào PKI , mục đích luận văn đưa giải pháp hệ thống an ninh thông tin phương diện... : − Nghiên cứu lý thuyết : • Nghiên cứu mô hình lý thuyết sở hạ tầng khóa công khai PKI • Nghiên cứu hướng tiếp cận tích hợp sinh trắc vào PKI • Nghiên cứu phương pháp mật mã đảm bảo tính xác