Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 168 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
168
Dung lượng
2,08 MB
Nội dung
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ === === LƯƠNG VIỆT NGUYÊN CHỮ KÝ SỐ TRONG THẺ THÔNG MINH VÀ ỨNG DỤNG XÁC THỰC LUẬN VĂN THẠC SỸ HÀ NỘI – 2008 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ === === LƯƠNG VIỆT NGUYÊN CHỮ KÝ SỐ TRONG THẺ THÔNG MINH VÀ ỨNG DỤNG XÁC THỰC Ngành: Công nghệ thông tin Mã số: 1.01.10 LUẬN VĂN THẠC SỸ NGƯỜI HƯỚNG DẪN KHOA HỌC PGS TS TRỊNH NHẬT TIẾN HÀ NỘI - 2008 LỜI CAM ĐOAN Tơi xin cam đoan tồn nội dung luận văn tự sưu tầm, tra cứu phát triển đáp ứng nội dung yêu cầu đề tài Nội dung luận văn chưa công bố hay xuất hình thức khơng chép từ cơng trình nghiên cứu Tồn ứng dụng thử nghiệm tự thiết kế xây dựng Nếu sai tơi xin hồn tồn chịu trách nhiệm Hà nội, tháng 11 năm 2008 Người cam đoan Lương Việt Nguyên i LỜI CẢM ƠN Lời đầu tiên, xin gửi lời cảm ơn chân thành tới thầy giáo PGS.TS Trịnh Nhật Tiến - người bảo, hướng dẫn nghiêm khắc tận tình, cung cấp tài liệu quý báu, giúp đỡ tơi suốt q trình học tập xây dựng luận văn Tôi xin chân thành cảm ơn Thầy, Cô giáo bạn đồng nghiệp khoa Công nghệ thông tin Ban giám hiệu, cán trường Đại học Công nghệ, Đại học Quốc gia Hà Nội ln nhiệt tình giúp đỡ tạo điều kiện tốt cho suốt trình học tập Xin chân thành cảm ơn anh, chị bạn học viên lớp Cao học K11T3 - Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội động viên, giúp đỡ nhiệt tình chia sẻ với tơi kinh nghiệm học tập, cơng tác suốt khóa học Mặc dù có nhiều cố gắng, song hạn hẹp thời gian, điều kiện nghiên cứu trình độ, luận văn không tránh khỏi khiếm khuyết Tôi chân thành mong nhận đóng góp ý kiến thầy, cô giáo đồng nghiệp gần xa Hà nội, tháng 11 năm 2008 Người thực luận văn Lương Việt Nguyên ii MỤC LỤC TỔNG QUAN VỀ THẺ THÔNG MINH .1 Chng 1: 1.1 GIỚI THIỆU THẺ THÔNG MINH 1.1.1 Ưu nhược điểm tính khả thi thẻ thơng minh 1.1.1.1 Ưu điểm: 1.1.1.2 Nhược điểm: 1.1.1.3 Tính khả thi: 1.1.2 Phân loại thẻ 1.1.3 Các chuẩn cho Smart Card 1.2 CẤU TẠO THẺ THÔNG MINH 10 1.2.1 Cấu trúc vật lý 10 1.2.1.1 Các điểm tiếp xúc 10 1.2.1.2 Bộ xử lý trung tâm thẻ thông minh 11 1.2.1.3 Bộ đồng xử lý thẻ thông minh 11 1.2.1.4 Hệ thống nhớ thẻ thông minh 12 1.2.2 Giao tiếp truyền thông với thẻ thông minh 12 1.2.2.1 Thiết bị chấp nhận thẻ ứng dụng máy chủ 12 1.2.2.2 Mơ hình truyền thơng với thẻ thơng minh 13 1.2.2.3 Giao thức APDU 13 1.2.2.4 Mã hoá bit (bit encoding) 15 1.2.2.5 Giao thức TPDU 15 1.2.2.6 Thông điệp trả lời để xác lập lại (ATR) 17 1.2.3 Hệ điều hành thẻ thông minh 17 1.2.4 Các File hệ thống thẻ thông minh 17 1.2.4.1 Thư mục gốc (Master File - MF) 17 1.2.4.2 Thư mục chuyên dụng (Dedicated File - DF) 18 1.2.4.3 File (Elementary File - EF) 18 1.2.5 Truy cập File 19 1.2.5.1 Định danh file 19 1.2.5.2 Các phương thức lựa chọn file 19 1.2.5.3 Điều kiện truy cập file 20 1.2.5.4 Lệnh thao tác với thẻ 21 1.2.6 Quá trình sản xuất Smart Card .24 iii 1.3 ỨNG DỤNG THẺ THÔNG MINH 25 1.3.1 1.3.1.1 Quy trình phát triển ứng dụng cho Smart Card 25 1.3.1.2 Các công cụ phát triển ứng dụng cho Smart Card 26 1.3.1.3 Công cụ cho ứng dụng phía thẻ 26 1.3.2 Ứng dụng phía thiết bị đọc thẻ (reader) 27 1.3.2.1 Các giao diện ứng dụng chuẩn phía reader 27 1.3.2.2 Chuẩn PC/SC 28 1.3.2.3 Kiến trúc PC/SC 28 1.3.2.4 ICC Resource Manager 30 1.3.2.5 ICCSP 32 1.3.2.6 Các chuẩn khác 33 1.3.3 Ứng dụng phía thẻ 34 1.3.3.1 Các khía cạnh phát triển ứng dụng 34 1.3.3.2 Tập hàm API 35 1.3.4 1.4 Phát triển ứng dụng cho Smart Card 25 Một số ứng dụng thẻ thông minh .37 1.3.4.1 Thẻ thông minh hệ thống thu lệ phí (cầu, đường) điện tử 37 1.3.4.2 Thẻ thông minh chữ ký số (Digital Signature) 38 1.3.4.3 Thẻ thông minh hệ thống trả tiền điện tử 40 TÓM TẮT CHƯƠNG 42 TỔNG QUAN VỀ HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI (PKI) 43 Chng 2: 2.1 KHÁI NIỆM VỀ PKI 43 2.2 CƠ SỞ KHOA HỌC VỀ PKI 44 2.2.1 Các thành phần kỹ thuật PKI 44 2.2.1.1 Mã hóa 44 2.2.1.2 Ký số 48 2.2.1.3 Chứng số 59 2.2.2 Lợi ích chứng số .61 2.2.2.1 Đảm bảo tính xác thực 61 2.2.2.2 Mã hóa 62 2.2.2.3 Chống giả mạo 62 2.2.2.4 Chống chối cãi nguồn gốc 62 2.2.2.5 Đảm bảo phần mềm 62 2.2.2.6 Phân phối khóa an tồn 63 2.2.2.7 Bảo mật Website 64 2.2.2.8 Xử lý độc lập máy khách 64 iv 2.2.3 2.3 Công nghệ để xây dựng PKI giao thức 65 2.2.3.1 Công nghệ OpenCA 65 2.2.3.2 Công nghệ SSL 66 2.2.3.3 Giao thức truyền tin an toàn tầng liên kết liệu (Data Link) 70 2.2.3.4 Giao thức truyền tin an toàn tầng ứng dụng(Application) 72 2.2.3.5 Một số công nghệ bảo mật an tồn thơng tin giới 74 GIẢI PHÁP XÂY DỰNG PKI 75 2.3.1 Hành lang pháp lý để xây dựng ứng dụng PKI 75 2.3.2 Giải pháp công nghệ xây dựng PKI 77 2.4 CÁC ĐỐI TƯỢNG CƠ BẢN CỦA HỆ THỐNG PKI 78 2.4.1 Chủ thể đối tượng sử dụng 78 2.4.2 Đối tượng quản lý thẻ xác thực 79 2.4.3 Đối tượng quản lý đăng ký thẻ xác thực 80 2.5 CÁC HOẠT ĐỘNG CƠ BẢN TRONG HỆ THỐNG PKI 81 2.5.1 Mơ hình tổng qt hệ thống PKI 81 2.5.1.1 Thiết lập thẻ xác thực 81 2.5.1.2 Khởi tạo EE 82 2.5.2 Các hoạt động liên quan đến thẻ xác thực 82 2.5.2.1 Đăng ký xác thực ban đầu 82 2.5.2.2 Cập nhật thông tin cặp khóa 82 2.5.2.3 Cập nhật thông tin thẻ xác thực 83 2.5.2.4 Cập nhật thơng tin cặp khóa CA 83 2.5.2.5 Yêu cầu xác thực ngang hàng 83 2.5.2.6 Cập nhật thẻ xác thực ngang hàng 83 2.5.3 Phát hành thẻ danh sách thẻ bị hủy bỏ 84 2.5.4 Các hoạt động phục hồi 84 2.5.5 Các hoạt động hủy bỏ 84 2.6 NHỮNG VẤN ĐỀ CƠ BẢN TRONG XÂY DỰNG HỆ THỐNG PKI 85 2.6.1 Các mơ hình tổ chức hệ thống CA .85 2.6.1.1 Kiến trúc phân cấp 85 2.6.1.2 Kiến trúc hệ thống PKI mạng lưới 87 2.6.1.3 Kiến trúc danh sách tin cậy 88 2.6.2 Những chức bắt buộc quản lý PKI .90 2.6.2.1 Khởi tạo CA gốc 90 2.6.2.2 Khởi tạo CA thứ cấp 90 v 2.7 2.6.2.3 Cập nhật khóa CA gốc 91 2.6.2.4 Tạo lập CRL 91 2.6.2.5 Yêu cầu thông tin hệ thống PKI 91 2.6.2.6 Xác thực ngang hàng 91 2.6.2.7 Khởi tạo EE 92 2.6.2.8 Yêu cầu xác thực 92 2.6.2.9 Cập nhật khóa 92 THẺ XÁC NHẬN THEO CHUẨN X.509 93 2.7.1 Khuôn Dạng Chứng Chỉ X.509 93 2.7.2 Các trường thẻ xác thực 94 2.7.2.1 Trường tbsCertificate 94 2.7.2.2 Trường signatureAlgorithm 95 2.7.2.3 Trường signatureValue 95 2.7.3 Cấu trúc TBSCertificate 96 2.7.3.1 Trường version 96 2.7.3.2 Trường serialNumber 96 2.7.3.3 Trường signature 97 2.7.3.4 Trường issuer 97 2.7.3.5 Trường validity 98 2.7.3.6 Trường subject 98 2.7.3.7 Trường subjectPublicKeyInfo 99 2.7.3.8 Trường uniqueIdentifiers 99 2.7.3.9 Trường extensions 99 2.7.4 Các phần mở rộng thẻ xác thực X.509 99 2.7.4.1 Phần mở rộng Authority Key Identifier 99 2.7.4.2 Phần mở rộng Subject Key Identifier 100 2.7.4.3 Phần mở rộng Key Usage 100 2.7.4.4 Mục đích sử dụng khóa mở rộng (Extended Key Usage) 102 2.7.4.5 Phần mở rộng Private Key Usage Period 102 2.7.4.6 Phần mở rộng Certificate Policies 102 2.7.4.7 Phần mở rộng Policy Mappings 103 2.7.4.8 Phần mở rộng Subject Alternative Name 104 2.7.4.9 Phần mở rộng Issuer Alternative Names 105 2.7.4.10 Phần mở rộng Subject Directory Attributes 105 2.7.4.11 Phần mở rộng Basic Constraints 105 2.7.4.12 Phần mở rộng Name Constraints 106 vi 2.8 2.7.4.13 Phần mở rộng Policy Constraints 106 2.7.4.14 Phần mở rộng Extended key usage field 107 2.7.4.15 Phần mở rộng CRL Distribution Points 108 2.7.4.16 Các trường mở rộng cho Internet 109 PKI VÀ THẺ THÔNG MINH 109 2.8.1 Luật pháp .109 2.8.2 Mối quan hệ công nghệ, ứng dụng luật pháp 110 2.9 TÓM TẮT CHƯƠNG 111 ỨNG DỤNG THẺ THÔNG MINH TRONG ĐÀO TẠO TRỰC TUYẾN 112 Chng 3: 3.1 GIỚI THIỆU 112 3.2 TỔNG QUAN HỆ THỐNG HỌC TRỰC TUYẾN (E-LEARNING) 113 3.3 RỦI RO LIÊN QUAN VỚI HỆ THỐNG E-LEARNING 115 3.4 VẤN ĐỀ AN TỒN TRONG MƠI TRƯỜNG HỌC TRỰC TUYẾN? 116 3.5 GIAO DỊCH AN TOÀN TRÊN INTERNET 116 3.6 CÁC CHỦ THỂ THAM GIA VÀO HỆ THỐNG THẺ THƠNG MINH 119 3.7 GIẢI PHÁP TÍCH HỢP THẺ THÔNG MINH TRONG HỌC TRỰC TUYẾN 119 3.7.1 Mơ hình kết hợp ngồi mơ hình kết hợp .119 3.7.2 Mơ hình cấp chứng đơn giản 121 3.7.3 Mơ hình sử dụng thẻ thơng minh phân bố rộng 121 3.8 XÁC THỰC SỬ DỤNG THẺ THÔNG MINH VÀ GIAO THỨC SSL TRONG ĐÀO TẠO TRỰC TUYẾN 122 3.8.1 Thiết kế hệ thống đảm bảo tính bảo mật thơng tin với chữ ký số kết hợp giao thức SSL 122 3.8.2 Nâng cấp thiết kế SSL thẻ thông minh thương mại (Commercial Smart Card Token) .126 3.8.3 Quy trình xác thực sử dụng Ikey 2000 Token đào tạo trực tuyến 126 3.8.4 Sơ đồ chuyển chế độ LMS CMS quy trình xác thực 130 3.9 TĨM TẮT CHƯƠNG 134 THỬ NGHIỆM GIẢI PHÁP 135 Chng 4: 4.1 CÁC CÔNG CỤ DÙNG TRONG HỆ THỐNG 135 4.1.1 Các công cụ quản trị hệ thống .135 4.1.1.1 Công cụ quản lý người sử dụng 135 4.1.1.2 Công cụ tạo quản lý sách 135 4.1.1.3 Công cụ quản lý danh sách thẻ xác nhận 136 4.1.1.4 Công cụ quản lý kiện hệ thống 136 vii 4.1.2 Lưu trữ liệu 137 4.1.2.1 Lưu thông tin quản lý đối tượng sử dụng chương trình 137 4.1.2.2 Lưu thơng tin sách thẻ xác nhận 137 4.1.2.3 Lưu trữ thông tin thẻ xác nhận 138 4.1.3 Chức mã hoá liệu 138 4.1.3.1 Sự cần thiết chức 138 4.1.3.2 Định hướng xây dựng 138 4.1.3.3 Lưu đồ thuật toán thực 139 4.1.4 Các thành phần PKI/Smartcard 140 4.1.4.1 Đầu đọc thẻ thông minh 140 4.1.4.2 Thẻ Mifare dùng hệ thống 141 4.1.4.3 4.1.5 Giải pháp ứng dụng hệ thống đào tạo trực tuyến 142 Những yêu cầu sử dụng hệ thống thẻ thông minh 144 4.2 ĐÁNH GIÁ MƠ HÌNH KẾT HỢP 145 4.3 MỘT SỐ KẾT QUẢ THỬ NGHIỆM 147 4.4 TÓM TẮT CHƯƠNG 150 viii 4.1.2.3 Lu tr thông tin v th xác nh n Phần trọng tâm việc lưu trữ liệu lưu thông tin thẻ xác nhận Với thẻ xác nhận tạo ra, việc bổ sung vào danh sách thẻ xác nhận CA quản lý, ta cịn phải chuyển chúng thành khn dạng thích hợp để tiện cho lưu trữ Hiện tại, giải pháp cho vấn đề lưu thông tin thẻ xác nhận dạng text Do vậy, phương thức ghi lưu liệu giống với hai phương pháp Tuy nhiên, đặc điểm thẻ xác nhận cần tính bảo mật cao nên ta phải áp dụng phương pháp mã hóa liệu phù hợp Trong bước đầu trình triển khai, ta chưa thực phương pháp mã hố Thơng tin thẻ xác nhận lưu dạng file không lưu nhớ chương trình Thơng tin tải vào nhớ ta cần có thơng tin thẻ xác nhận cần phải xem danh sách thẻ xác nhận Khi không dùng đến thơng tin nữa, ta xố bỏ đối tượng lưu thông tin Điều giúp tiết kiệm nhớ chương trình tăng hiệu hệ thống 4.1.3 4.1.3.1 Chức mã hoá liệu S c n thi t c a ch c Như trình bày, hệ thống PKI quản lý đối tượng truyền thơng với (các) khố cơng khai đối tượng Như vậy, có vấn đề đặt để bảo an toàn cho thông điệp truyền chức hệ thống PKI Nếu ta bảo vệ thơng điệp có nhiều khả cơng hệ thống Các hình thức cơng nhằm vào vấn đề an tồn vấn đề an ninh hệ thống Chức mã hoá liệu thiết kế chủ yếu hướng tới việc bảo vệ thông điệp PKI Việc mã hố thơng điệp khơng cho phép đối tượng khơng phải đối tượng nhận đọc thơng tin truyền Ngồi ra, chức mã hố liệu cịn sử dụng để mã hố thơng tin khác mà hệ thống cần lưu trữ 4.1.3.2 Đ nh h ng xây d ng Chức mã liệu chủ yếu áp dụng thông điệp PKI Do vậy, phương thức mã hoá áp dụng mã hoá với khố phiên Đây thực chất mơ hình mã hoá với khoá tương đồng Mỗi khoá phiên khoá tương đồng tạo đối tượng gửi Khoá phiên xuất (export) dạng khối liệu để ghép vào thông điệp truyền Khối liệu khoá phiên xuất đảm bảo độ an toàn Việc truyền với thông điệp không ảnh hưởng tới độ an tồn thơng điệp 138 Mỗi thông điệp trước truyền mã hố với khố phiên Khố phiên cho thơng điệp hoàn toàn khác Nghĩa là, lần gọi đến thủ tục mã hoá liệu, ta tạo khoá phiên cho lần mã hố Việc xuất khố phiên thành khối liệu thực chất cơng đoạn mã hố khố phiên phương thức mã hố với khố cơng khai Cặp khố sử dụng để mã hố giải mã khoá phiên đối tượng nhận thông điệp cấp hai đối tượng khởi tạo phiên truyền thơng Đây cặp khố trao đổi khố (Key-Exchange Key) mà khố cơng khai hai đối tượng trao đổi cho Việc trao đổi khoá thực với việc trao đổi khố cơng khai cặp khố tạo chữ ký số Định hướng xây dựng chức dựa giả định đối tượng truyền thơng có khố cơng khai cặp khố trao đổi khố tương ứng Việc mã hố thơng điệp giới hạn phần mã hoá trường body cấu trúc thơng điệp Đây chưa hồn tồn giải pháp trọn vẹn thơng tin khơng mã hố (trường header) kẽ hở để đối tượng công lợi dụng Ta mã hóa phần thân thơng điệp làm đơn giản hố q trình xử lý đảm bảo an tồn cho phần thân thơng điệp - phần trọng yếu thông tin truyền Các hình thức cơng hạn chế chủ yếu tác động đến vấn đề an ninh 4.1.3.3 Lu đ thu t toán th c hi n Với định hướng trên, ta xét lưu đồ thuật tốn mã hố thơng điệp Bắt đầu Tạo khố phiên Dữ liệu chưa mã hoá Mã hoá liệu với khoá phiên tạo Khoá phiên mã hoá Mã hoá khoá phiên với khoá trao đổi khoá Dữ liệu mã hố Đóng gói thơng điệp liệu khố phiên Thơng điệp truyền Hình 4-1 Lưu đồ thuật tốn mã hóa thơng điệp 139 4.1.4 Các thành phần PKI/Smartcard - Đầu đọc thẻ smartcard - Thẻ PKI smartcard - Chứng điện tử - Thư viện thành phần kết nối với Web Browser 4.1.4.1 Đ u đ c th thông minh o Đầu đọc thẻ ACS ACR120 Là thiết bị cho phép đọc ghi liệu thẻ smartcard Có giao tiếp kết nối qua cổng COM hay USB Chuẩn PC/SC chấp nhận tập lệnh APDU theo chuẩn ISO 7816 cho thẻ smartcard Hình 4-2 Thiết bị đọc thẻ ACR120 ACR120 đầu đọc thẻ thông minh không tiếp xúc đầy đủ chặt chẽ, mang lại hiệu chi phí, loại đầu đọc hỗ trợ cho thẻ Mifare, thẻ chuẩn ISO 14443 A B Nó dễ dàng tích hợp vào ứng dụng tập hợp liệu thiết bị đầu cuối di động, bán vé, máy bán hàng tự động, kiểm soát truy cập o Dạng đầu đọc thu nhỏ giao tiếp cổng USB Hình 4-3 Thiết bị đọc thẻ giao tiếp cổng USB Tương tự đầu đọc thẻ bình thường, có kích thước nhỏ dễ mang, cầm 140 4.1.4.2 Th Mifare dùng h th ng o Mifare gì? Cơng nghệ Mifare cơng nghệ khơng tiếp xúc hoạt động tần số 13.56MHz Đây công nghệ thực Philips Electronics Họ không sản xuất thẻ Mifare hay thiết bị đọc thẻ Philips cung cấp chip sử dụng cho thẻ chip sử dụng cho việc sản xuất thiết bị đọc thẻ cho nhà sản xuất khác để tạo sản phẩm cung cấp cho người sử dụng Mifare thường xem công nghệ “thẻ thông minh” Điều dựa vào khả đọc ghi thẻ Trong thực tế, Mifare hoàn toàn thẻ nhớ - memory card (khác với thẻ vi xử lý - processor card) Thẻ Mifare thiết bị đọc/ghi thẻ phát triển ứng dụng cho giao dịch tốn hệ thống giao thơng công cộng Với khoảng cách đọc thẻ ngắn, Mifare phù hợp cho việc thực chức tăng/giảm giá trị Mặc dù thẻ thông minh tiếp xúc thực công việc thiết bị đọc thẻ không tiếp xúc thực nhanh hơn, dễ dàng không cần bảo dưỡng thiết bị đọc thẻ, bên cạnh tuổi thọ thẻ cao o Khoảng cách đọc thẻ Khoảng cách từ thiết bị đọc thẻ thẻ Mifare để thực giao dịch 2.5 cm đến 10 cm) o Dung lượng nhớ thẻ Mifare Thẻ Mifare Ultraligh với dung lượng nhớ 512 byte Thẻ Mifare S50 với dung lượng nhớ K Thẻ Mifare S70 với dung lượng nhớ K o Thẻ MIFARE có Sector? Thẻ MIFARE có 16 sector riêng biệt nhau, sector cấu lập trình ví tiền điện tử hay sử dụng cho mục đích lưu trữ liệu chung Sector sử dụng đặc trưng thư mục chứa phần cịn lại thẻ, 15 segment cịn lại sử dụng cho lưu trữ liệu ví tiền điện tử 141 o Có ứng dụng thực với thẻ Mifare? Tối đa 15 ứng dụng khác lưu trữ thẻ Mifare Những ứng dụng phân biệt bảo mật mật mã khác cho sector Chỉ có yêu cầu đặt nhà cung cấp ứng dụng khác phải hợp tác việc lập trình thư mục ứng dụng Mifare MAD (Mifare Applications Directory) mật mã để sử dụng thư mục phải cho phép đến tất nhà cung cấp ứng dụng o Chuẩn ISO Mifare sử dụng? Mifare công nghệ không tiếp xúc hoạt động tần số 13.56 MHz kỹ thuật mô tả chuẩn ISO 14443 Type A Thẻ thiết kế phép gắn vào thêm module chip tiếp xúc phải tn theo chuẩn ISO 7816 Ngồi thiết kế để dán dãi băng từ thẻ nên thẻ phải tuân theo chuẩn ISO 7811 o Mã hóa liệu thẻ Mifare? Truyền liệu thông qua RF thẻ thiết bị đọc thẻ mã hóa Tuy nhiên, liệu lưu trữ thẻ khơng mã hóa Việc truy cập đến liệu bảo vệ mật mã 48-bit đọc thiết bị đọc có mật mã giống Công nghệ Mifare cho phép chứng thực quan hệ thẻ thiết bị đọc thẻ Một số ngẫu nhiên phát dựa mật mã, thông báo gửi từ thẻ đến thiết bị đọc thẻ Thiế bị đọc thực công việc giống thẻ Điều thực lần để chứng thực thẻ hợp lệ 4.1.4.3 Gi i pháp ng d ng h th ng đào t o tr c n Các chủ thể tham gia vào hệ thống thẻ thông minh PKI CA Server: xây dựng hệ thống PKI, tổ chức CA cấp chứng số cho thẻ thông minh Tổ chức cấp dịch vụ PKI có trách nhiệm cung cấp dịch vụ chứng cho người mang thẻ người mang thẻ phương tiện nhận dạng nhằm thực ứng dụng khác môi trường đảm bảo an toàn Web Server: xây dựng hệ thống Website, đóng vai trị trung gian thực giao dịch online Nhà cung cấp dịch vụ truy cập: Có trách nhiệm thiết lập bảo trì sở hạ tầng cần thiết phục vụ cho việc đọc thẻ thông minh truy cập dịch vụ nhà cung câp PKI đưa Mã hóa thẻ: cấp cho người dùng sau nạp cặp khóa RSA chứng số 142 Người dùng thẻ: dùng thẻ thông minh Mifare thẻ USB Smart Card Reader khơng cần driver để sử dụng đâu dùng Windows Thẻ thông minh phát hành có loại: Thẻ cấp cho người thẻ gắn cho thiết bị Loại thẻ gắn cho thiết bị khơng cần có chức chữ ký điện tử Bởi phần lớn người cần sử dụng chữ ký diện tử giao dịch điện tử, thẻ thông minh cấp cho người cần phải gắn vi xử lý Web browser: phải browser an toàn có hỗ trợ JRE cho Java Applets giải pháp Lý người dùng sử dụng trình duyệt IE, FireFox hay trình duyệt khác hỗ trợ JavaApplet Cịn sử dụng với IE applet thay ActiveX control dùng chuẩn CSP Microsoft JavaApplet Đối tượng JavaApplet nhúng trang Web có vai trị thành phần kết nối liệu từ Website với đầu đọc thẻ User, cho phép thực lệnh chuyển liệu từ thẻ lên Web server ngược lại cách an toàn suốt Mỗi lần đăng nhập, User cần cắm thẻ vào đầu đọc xác nhận số PIN để xác thực Và hình tự động hiển thị User thực lệnh giao dịch Các liệu cần chuyển đến server ký mã hóa khóa chứng lưu thẻ Hình 4-4 Java Applet nhúng trang login Hình 4-5 Java Applet cho phép User thay đổi số PIN 143 Hình 4-6 Java Applet tự động lần thực giao dịch Hình 4-7 Tạo chứng Request cho thẻ hình cấp phát chứng Hệ thống thử nghiệm khơng hồn tồn tn theo mơ hình hệ thống đề xuất vài nguyên nhân khách quan Tuy nhiên hệ thống đáp ứng tốt chức hệ thống xác thực kết hợp với thiết bị cá nhân thẻ thông minh 4.1.5 Những yêu cầu sử dụng hệ thống thẻ thơng minh Hài hồ tính an ninh tính riêng tư Thẻ thơng minh không vi phạm quyền riêng tư cá nhân Thẻ thông minh cần phải trang bị CPU có chức chữ ký điện tử để phục vụ cho hệ thống E-Learning 144 Thiết bị đọc thẻ Hiện phần lớn PCs chưa trang bị đầu đọc thẻ Cần phải thời gian để tất cá PC trang bị đầu đọc thẻ Nêu cao vai trị cơng tác bảo mật Phần lớn người sử dụng dịch vụ coi thường vai trị cơng tác bảo mật Cần tiến hành đào tạo hướng dẫn mặt Tính hữu dụng khách hàng nhà cung cấp Việc chấp nhận thẻ thông minh phụ thuộc vào tính hữu dụng khách hàng nhà cung cấp Khách hàng đánh giá cao tiện lợi ứng dụng Tính hữu dụng nhà cung cấp liên quan đến mục đích sử dụng Chính sách mã hố Chính sách mã hố sử dụng nhiều cơng nghiệp Ví dụ liệu thi, điểm truyền người học đơn vị đào tạo, định phải mã hoá liệu cách ghi mã hố Như vậy, sách mã hố cần thiết nhằm thiết lập hệ thống dạy học trực tuyến hệ Phát triển ứng dụng Cần thiết phải phát triển lĩnh vực ứng dụng lẫn công nghệ Chính sách thúc đẩy thị trường có hiệu khuyến khích phát triển hệ thống thẻ thông minh Thiết lập PKI Cần thiết phải thiết lập hạ tầng khố cơng cộng PKI để phục vụ cho hệ thống dạy học Việc mở rộng thẻ thơng minh bổ sung việc cấp chứng số 4.2 ĐÁNH GIÁ MƠ HÌNH KẾT HỢP Mơ hình giải pháp đề xuất Chương III cần thiết việc đào tạo trực tuyến mang tính tổng quát khả kết hợp thẻ thông minh với khả xác thực người dùng sử dụng chữ ký số Mục tiêu hai giải pháp hướng tới thực xác thực thẻ thông minh môi trường công khai (mạng Internet) sử dụng chữ ký số Kiến trúc hệ thống hai mơ hình chia thành hai thành phần: hệ thống máy chủ hệ thống đầu cuối Hệ thống đầu cuối bao gồm thiết bị đầu cuối, đọc thẻ tạo chứng 145 Hai giải pháp có ưu điểm chung đưa ra, nhiên giải pháp có đặc trưng riêng Để có nhìn đắn hai giải pháp, cần xem xét đặc tính đưa Song song với việc xem xét đặc trưng giải pháp, luận văn thực so sánh hai mô hình giải pháp từ rút hướng thay đổi phù hợp Một số đặc trưng cần xem xét như: • Tính bảo mật tồn vẹn thơng tin • Khả triển khai ứng dụng • Hiệu tính sẵn sàng hệ thống Trong giải pháp sử dụng thẻ có chức lưu trữ thơng tin xác thực tính tồn vẹn thơng tin dựa hạ tầng khóa cơng khai Để thực xác thực từ xa chủ sở hữu thẻ, toàn liệu phải truyền tới máy chủ xác thực Sau thực xác thực, máy chủ trả liệu trở lại cho thẻ Do tính bảo mật tồn vẹn thơng tin cần phải đảm bảo tối đa Giải pháp giải vấn đề bảo mật toàn vẹn nhờ sử dụng phương pháp mã hóa ký số hạ tầng khóa cơng khai Mỗi thành phần tham gia cấp phát cặp khóa nhằm thực việc mã hóa hay ký số Ngoài giải pháp đề xuất xây dựng đường truyền tin an toàn máy chủ máy trạm dựa cơng nghệ SSL Khi thơng tin truyền xác minh tính tồn vẹn đảm bảo an toàn kênh truyền Thẻ Mifare dạng thẻ phổ biến chi phí rẻ nên việc triển khai thuận lợi yêu cầu phần cứng Các thành phần tham gia mơ hình giải pháp cần phải tham gia vào hạ tầng khóa cơng khai kênh kết nối phải đảm bảo an toàn dựa công nghệ SSL Thông tin xác thực cá thể q trình truyền thơng xác thực để đảm bảo tính tồn vẹn thơng tin Cũng lý mà q trình xác thực diễn chậm, có độ trễ tương đối cao Khả khơng thể xác thực cá thể có khả xảy hệ thống thực xác thực từ xa, thông tin mát nghẽn mạng đường truyền không đáp ứng nhu cầu hồn tồn Ngồi tính lưu trữ thẻ thơng minh dùng xác thực cịn trang bị module nhận dạng chữ ký tích hợp thẻ Điều có nghĩa phần lớn q trình xác thực thực thẻ thông minh Máy chủ xác thực có trách nhiệm xác minh danh tính người sử dụng dựa chứng số 146 Với đặc trưng nói trên, việc truyền thơng thẻ thông minh máy chủ giảm đáng kể Do thao tác thực phần lớn thẻ thân giải pháp triển khai dựa hạ tầng khóa cơng khai nên tính an tồn bảo mật toàn vẹn đảm bảo Các nhân tố rủi ro tác động lên trình xác thực giảm tương ứng Kiến trúc giải pháp tương đối đơn giản nên việc triển khai giải pháp gặp nhiều thuận lợi Ngoài giải pháp đề xuất ứng dụng phù hợp với ứng dụng công cộng vận tải công cộng, ngân hàng, chứng minh thư điện tử Do việc truyền thông thẻ máy chủ giảm nên độ trễ thực xác thực nhỏ, lưu lượng thông tin trao đổi không lớn hệ thống phục vụ tốt cho lượng người dùng đông đảo 4.3 MỘT SỐ KẾT QUẢ THỬ NGHIỆM Hình từ 4-8 tới 4-15 minh họa bước khởi động cách hiển thị hình cho giao diện người sử dụng Hình 4-8 Lệnh yêu cầu chứng nhận (giai đoạn khởi động) Hình 4-9 Lựa chọn loại chứng nhận (giai đoạn khởi động) 147 Hình 4-10 Nhập vào thông tin cần thiết nhập vào chứng (giai đoạn khởi động) Hình 4-11 Kiểm tra lại tình trạng chứng nhận (giai đoạn khởi động) Hình 4-12 Lựa chọn chứng nhận cần kiểm tra (giai đoạn khởi động) Hình 4-13 Cài đặt chứng hệ thống (máy tính cá nhân -PC terminal) (giai đoạn khởi động) 148 Hình 4-14 Copy chứng nhận từ thẻ vào hệ thống (giai đoạn khởi động) Hình 4-15 Nhập vào mật theo yêu cầu (giai đoạn khởi động) Hình thức giao diện người sử dụng để truy cập trang Web yêu cầu cấp chứng minh họa Hình 4-16 Hình 4-17 Hình 4-16 Truy nhập trang Web (Giai đoạn đăng ký khóa học theo dõi hoạt động) Hình 4-17 Lệnh yêu cầu chứng người sử dụng (Giai đoạn đăng ký khóa học theo dõi hoạt động) 149 4.4 TĨM TẮT CHƯƠNG Lợi ích Hệ thống đào tạo trực tuyến dùng thẻ thơng minh tích hợp PKI hình thức nhận dạng điện tử an tồn đáng tin cậy Hệ thống có nhiều ưu điểm: • Tăng tính riêng tư • Tăng khả bảo mật tồn vẹn thơng tin • Nâng cao hiệu tính sẵn sàng hệ thống • Tăng khả tái đầu tư • Khả nâng cấp tính linh hoạt cao 150 KẾT LUẬN Luận văn tập trung nghiên cứu xây dựng giải pháp tích hợp thẻ thơng minh kỹ thuật xác thực chữ ký số ứng dụng đào tạo học trực tuyến Luận văn đạt kết cụ thể sau: • Tìm hiểu nghiên cứu qua tài liệu thực tế để hệ thống lại vấn đề: o Thẻ thơng minh: Trình bày vấn đề thẻ thông minh hướng phát triển dịng cơng nghệ thẻ o Hạ tầng mã hóa khóa cơng khai • Đề xuất việc ứng dụng chữ ký số thẻ thông minh vào đào tạo trực tuyến Các giải pháp đưa đánh giá lợi ích, ưu nhược điểm giải pháp • Thử nghiệm ứng dụng chữ ký số thẻ thông minh Thực kiểm nghiệm thành phần giải pháp ứng dụng vào đào tạo trực tuyến (chưa phải ứng dụng hoàn chỉnh), thành phần thực nghiệm thực thi tốt • Khai thác, lập trình đọc ghi liệu loại đầu đọc thẻ thông minh khác như: đầu đọc thẻ tiếp xúc, không tiếp xúc, đầu đọc dạng thu nhỏ giao tiếp cổng USB sử dụng loại thẻ khác để thử nghiệm đầu đọc Khóa luận đạt số kết định, từ kết đạt được, vài vấn đề cần đào sâu nghiên cứu, tiếp tục phát triển hoàn thiện nhằm ứng dụng tốt thực tế: • Đánh giá hiệu hiệu thuật toán chữ ký số Chọn thuật toán tối ưu phù hợp với việc tích hợp vào thẻ thơng minh: phù hợp mặt hiệu mức độ tin cậy thuật tốn • Nghiên cứu định hướng phát triển công nghệ thẻ thông minh, thay đổi giải pháp nhằm đáp ứng tiến công nghệ phù hợp với thực tế Đưa giải pháp ứng dụng vào thực tế đơn vị, đánh giá hiệu năng, tính an tồn bảo mật giải pháp Các ứng dụng thẻ thông minh ngày trở nên phổ biến tiện lợi cho người sử dụng Việc đầu nắm vững công nghệ giải pháp thẻ thông minh mở cho đơn vị nước hội phát triển to lớn Em mong muốn kết đạt luận văn ứng dụng rộng rãi nghiên cứu cải tiến cho phù hợp Việt Nam 151 TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt [1] [2] [3] [4] PGS.TS Trịnh Nhật Tiến Nghiên cứu xây dựng Cơ sở hạ tầng mật mã khóa cơng khai Hà Nội 2005 Đơng Mạnh Qn, Hạ tầng khóa cơng khai, Học viện bưu viễn thơng Hồ Văn Hồn, Một số vấn đề thẻ thơng minh, Khóa luận tốt nghiệp Đỗ Hồng Kiên, Học cộng tác đào tạo trực tuyến, Luận văn thạc sỹ Tài liệu tham khảo [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] Harvi Singh and Chris Reed, “Achieving Success with Blended Learning”, Centra Software, 2001 Bardu H Khan, “A Framework for E-learning”, E-learning Magazine, 18 December 2001 Model of an E-learning Solution Architecture for the Enterprise, White Paper, Cisco Systems, April 2001 E-learning Solution Overview Document, PSI Data Systems, November 2002 http://ospkibook.sourceforge.net/docs/OSPKI-2.4.7/OSPKI-html/ospkibook.htm Ikey 2000 series user's guide, Rainbow technologies, 2001 Faisal A Hussien, Application of Smart Cards for Authentication Over the Web, M.Sc Thesis Submitted to Dept of Electronics and Electrical Communications, Faculty of Engineering, Cairo University, July 2003 Wolfgang Rankl and Wolfgang Effing, Smart Card Handbook Third Edition, John Wiley & Sons, Ltd Christopher J Crump, Wei Gong, Match on Card (MOC) White Paper, Cogent Systems International Technical Support Organization, Smart Cards: A Case Study, IBM Luciano Rila and Chris J Mitchell, Security analysis of smartcard to card reader communications for biometric cardholder authentication, Information Security Group Royal Holloway, University of London Adams, Carlisle, and Steve Lloyd (1999), Understanding Public-Key Infrastructure, New Riders Publishing Praca, Denis and Claude Barral (2001), “From smart card to smart objects: the road to new smart technology,” Computer Networks OECD (1998), Cryptography Policy: the Guidelines and the Issues Aljifri, Hassan, and Diego Sanxhez(2003), “International legal aspects of cryptography,” Computer and Security ITU-T(1997), Recommendation X.509, Information Technology-Open Systems Interconnection-The Directory: Authentication Framework 152 ... xúc, thẻ kết hợp Hình đưa phân loại thẻ dựa lực xử lý liệu đặc trưng vật lý loại PHÂN LOẠI THẺ THẺ THƠNG MINH Thẻ khơng ? ?thông minh? ?? Thẻ từ Thẻ quang Thẻ ? ?thông minh? ?? Thẻ chip nhớ Thẻ kết hợp Thẻ. .. quốc gia cho thẻ thông minh yêu cầu bắt buộc việc đưa Thẻ thông minh ứng dụng rộng rãi sống hàng ngày Các chuẩn đặc biệt quan trọng việc mở rộng phạm vi sử dụng Thẻ thông minh Thẻ thông minh thành... THIỆU THẺ THƠNG MINH Thẻ thơng minh thẻ nhựa gắn chip vi xử lý Thẻ thông minh có bề ngồi giống thẻ tín dụng thơng thường ngoại trừ phần tiếp xúc kim loại (chỉ có thẻ contact), ứng dụng thẻ lại