1 NGUYỄN NGỌC ĐIỆP TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG CHỨNG THỰC KHĨA CƠNG KHAI SỬ DỤNG GĨI PHẦN MỀM MÃ NGUỒN MỞ EBJCA ỨNG DỤNG TRONG CÁC GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ Chuyên ngành: TDL & MTT Mã số: 60.48.15 TÓM TẮT LUẬN VĂN THẠC SĨ Hà Nội - 2012 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: T.S Phạm Thế Quế Người hướng dẫn khoa học: TS PHẠM THẾ QUẾ Phản biện 1: …………………………………………………………………………… Phản biện 1: TS.Bùi Thu Lâm Phản biện 2: ………………………………………………………………………… Phản biện 2: PGS.TS Trịnh Nhật Tiến Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng Viễn thơng nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Vào lúc: 00 ngày 08 tháng 09 năm 2012 Có thể tìm hiểu luận văn tại: Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng - Thư viện Học viện Cơng nghệ Bưu Viễn thơng LỜI NĨI ĐẦU Ngày này, phát triển cơng nghệ thơng tin ngày chiếm vị trí quan trọng lĩnh vực sống Sự bùng nổ khoa học cơng nghệ nói chung cơng nghệ thơng tin nói riêng đem lại nhiều lợi ích cho người, rút ngắn khoảng cách địa lý, tăng hiệu suất, tiết kiệm thời gian chi phí cho cơng việc… Việc giao dịch điện tử trao đổi thư tín, thương mại điện tử, dịch vụ web, mạng riêng ảo…đã trở thành phần tất yếu sống đại Nhu cầu thực tế đặt ra, phải có quan đảm bảo chứng thực điện tử cho giao dịch điện tử đảm bảo yêu cầu xác thực, bí mật, toàn vẹn, chống chối bỏ Thực tế có nhiều cơng nghệ phương pháp để xác thực danh tính giao dịch điện tử Những phương pháp sử dụng mật khẩu, số định danh cá nhân, chứng số sử dụng PKI, thiết bị bảo mật vật lý Smart Card,… Đứng trước nhu cầu đó, nhiều cơng ty bảo mật phối hợp ngân hàng, tổ chức tài để phát triển giải pháp, sản phẩm để bảo vệ thơng tin có liên quan tới hoạt động giao dịch trực tuyến Hiện nay, giới có nhiều cách xây dựng , triển khai hệ thống PKI Có thể đơn cử vài ví dụ cụ thể như: CA – Microshoft, OpenCA – Opensourc, Entrus Trong đề tài thực tập này, em lựa chọn giải pháp sử dụng EJBCA Primekey tảng hệ điều hành CentOS EJBCA CA đầy đủ chức xây dựng Java Do dựa công nghệ J2EE, EJBCA tạo thành CA mạnh, hiệu suất cao Với mềm dẻo, chạy độc lập không phụ thuộc vào hệ điều hành phần cứng, EJBCA sử dụng độc lập tích hợp ứng dụng J2EE Qua tìm hiểu nghiên cứu em chọn đề tài “Tìm hiểu triển khai hệ thống chứng thực khóa cơng khai sử dụng gói phần mềm mã nguồn mở EJBCA ứng dụng giao dịch thương mại điện tử” cho luận văn Đề tài tập trung giải nội dung gồm chương sau: Chương 1: An tồn thơng tin giao dịch thương mại điện tử  Nêu lên tổng quan u cầu chung hệ thống an tồn thơng tin giao dịch điện tử  Các khái niệm,thuật tốn Chương 2: Cơ sở tầng khóa cơng khai  Nêu lên tổng quát sở hạ tầng khóa cơng khai PKI  Các mục tiêu, chức ưu nhược điểm hệ thống Chương : Bộ phần mềm EBJCA hệ thống chứng thực sở hạ tầng khóa cơng khai  Giới thiệu chung gói phần mềm EJBCA  Các kiến trúc hệ thống PKI sử dụng EJBCA  Đưa mơ hình triển khai  Cách cài đặt cấu hình Kết Luận Do nội dung luận văn bao gồm nhiều kiến thức mới, thời gian kiến thức hạn chế, việc nghiên cứu chủ yếu dựa lý thuyết nên chắn đề tài không tránh khỏi thiếu sót Em mong nhận đóng góp ý kiến thầy cô giáo bạn bè để đề tài em ngày hoàn thiện Trong trình thực đề tài, em xin cảm ơn nhiệt tình giúp đỡ TS.Phạm Thế Quế - Giảng viên Học viện cơng nghệ bưu viễn thơng, nhiệt tình hướng dẫn giúp đỡ em hồn thành đề tài Em xin chân thành cảm ơn ! Chương I AN TỒN THƠNG TIN TRONG CÁC GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ (TMĐT) 1.1 Yêu cầu chung cho an tồn bảo mật thơng tin giao dịch điện tử Trên mạng Internet đe dọa thường bao gồm: - Quan sát mạng Chặn kết nối Giả mạo định tuyến Giả mạo DNS - Tấn công từ chối dịch vụ Để đảm bảo an toàn mạng Internet cần quan tâm xử lý vấn đề sau:  Tính xác thực (Authentication)  b) Tính bảo mật (privacy)  c) Tính tồn vẹn liệu (Integrity)  d) Tính chống chối bỏ (Non-repudiation) Các vấn đề an tồn mạng giải dựa sở lý thuyết mật mã.Mật mã học ứng dụng xa xưa từ thời Ai cập cổ đại xuyên suốt tiến trình lịch sử để truyền thông tin quân ngoại giao bí mật.Ngày việc mật mã hố (encryption) liệu phương pháp đủ mạnh để bảo vệ liệu quan trọng riêng tư không bị xâm phạm soi mói tọc mạch hay dụng tâm có ác ý 1.2 Mật mã khóa bí mật (secret -key cryptography) Hệ mật mã khóa bí mật hay cịn gọi hệ mật mã khóa đối xứng.Trong mật mã đối xứng bên tham gia liên lạc sử dụng khóa để mã hóa giải mã Trước truyền tin, hai thực thể A B thỏa thuận với khóa dùng chung (K) Thực thể A dùng khóa để mã hóa tin (ek ) sau gửi cho thực thể B Thực thể B dùng khóa K, thực phép giải mã (dK ) để giải mã mã nhận được.Vì khóa mật mã chung phải giữ bí mật người lập mã người nhận mã biết mà thơi Có nhiều hệ khóa bí mật dùng chung, điển hình chuẩn mã hóa liệu Des (Data Encryptiol Standard) - - Ngày 13/5/1973 ủy ban quốc gia tiêu chuẩn Mỹ công bố yêu cầu hệ mật mã áp dụng cho tồn quốc Điều đặt móng cho chuẩn mã hóa liệu, DES Lúc đầu Des công ty IBM phát triển từ hệ mã Lucifer, cơng bố vào năm 1975 Sau Des xem chuẩn mã hóa liệu cho ứng dụng - Cấu trúc thuật tốn Mơ tả thuật tốn - Giải mã Các chế độ DES Triple DES: Ứng dụng DES Kết luận Không thể phủ nhận thuật tốn DES có nhiều ứng dụng viễn thông công nghệ thông tin, việc làm chủ cứng hóa thuật tốn có ý nghĩa an toàn giao dịch mạng Nhìn chung, Việt Nam, việc làm chủ cơng nghệ cứng hóa thuật tốn DES có ý nghĩa việc đảm bảo an toàn giao dịch mạng, đảm bảo an toàn truyền tin cho đơn vị yếu Việt Nam Hiện nay, triển khai cứng hóa thuật tốn DES nhờ công nghệ thiết kế số đại 1.3 Mật mã khóa cơng khai Những hạn chế mật mã đối xứng + Vấn đề phân phối khóa - Khó đảm bảo chia sẻ mà khơng làm lộ khóa bí mật - Trung tâm phân phối khóa bị cơng + Khơng thích hợp cho chữ ký số - Bên nhận làm giả thơng báo nói nhận từ bên gửi Các hạn chế mã mật mã đối xứng giải mã hóa khóa cơng khai.Phương pháp mã hóa đề xuất Whitfield Diffie Martin Hellman vào năm 1976.Có thể coi bước đột phá quan trọng lịch sử ngành mật mã.Nó bổ xung hạn chế mật mã đối xứng không thay - Đặc điểm mật mã khóa cơng khai - Ứng dụng mật mã khóa cơng khai - Hệ mã hóa RSA + Tạo khóa + Thực RSA + Vì RSA khả thi ? + Hạn chế khóa cơng khai 1.4 Hàm Băm (Hash Function) Hàm băm (Hash Function) hàm chuyển đổi thơng điệp có độ dài thành dãy bit có độ dài cố định Các hàm băm nhận chuỗi bit có chiều dài tùy ý (hữu hạn) làm liệu đầu vào tạo chuỗi bit có chiều dài cố định n bit (n > 0), gọi giá trị băm hay mã băm - Tính chất hàm băm - Các thuật toán băm +Giải thuật MD5 +Giải thuật SHA - So sánh tính bảo mật MD5 SHA 1.5 Chữ ký điện tử (Digital Signature) 1.5.1 Khái niệm Chữ ký điện tử (Digital Signature) dựa kỹ thuật sử dụng mã hóa khóa cơng khai Trong đó, người gửi người nhận, người có cặp khóa khóa bí mật,hay riêng tư (Private Key) khóa cơng khai (Public Key) Chữ ký điện tử hoạt động người gửi thơng điệp, người dùng khóa riêng để mã hóa thơng điệp sang dạng khó nhận dạng Người nhận dùng khóa cơng khai người gửi để mã hóa thơng điệp Tuy nhiên, để an tồn thật phải có bước bổ sung Do đó, thuật tốn băm MD5 thuật tốn mã hóa RSA áp dụng để xây dựng ứng dụng chữ ký điện tử 1.5.2 Quá trình tạo chữ ký điện tử 1.5.3 Quá trình kiểm tra chữ ký điện tử Chương II CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI (PKI) 2.1.Các khái niệm sở hạ tầng khóa cơng khai (PKI) 2.1.1 Khái niệm PKI Public Key Infrastructure (PKI) chế bên thứ ba (thường nhà cung cấp chứng thực số ) cung cấp xác thực định danh bên tham gia vào q trình trao đổi thơng tin Cơ chế cho phép gán cho người sử dụng hệ thống cặp public/private Các trình thường thực phần mềm đặt trung tâm phần mềm khác địa điểm người dùng Khố cơng khai thường phân phối chứng thực khóa cơng khai (PKI) Khái niệm hạ tầng khố cơng khai (PKI) thường dùng toàn hệ thống bao gồm nhà cung cấp chứng thực số (CA) chế liên quan đồng thời với toàn việc sử dụng thuật tốn mã hố cơng khai trao đổi thơng tin Tuy nhiên phần sau bao gồm khơng hồn tồn xác chế PKI khơng thiết sử dụng thuật tốn mã hố công khai PKI cho phép giao dịch điện tử diễn đảm bảo tính bí mật, tồn vẹn xác thực lẫn mà không cần trao đổi thơng tin bảo mật từ trước Mục tiêu PKI cung cấp khố cơng khai xác định mối liên hệ khoá định dạng người dùng Nhờ vậy, người dùng sử dụng số ứng dụng : -Mã hoá Email xác thực người gửi Email -Mã hoá chứng thực văn -Xác thực người dùng ứng dụng -Các giao thức truyền thơng an tồn dùng kỹ thuật Bootstrapping (IKE, SSL):trao đổi khoá bất đối xứng, mã hoá khoá đối xứng Việc Diffie, Hellman, Rivest, Shamir, Adleman cơng bố cơng trình nghiên cứu trao đổi khóa an tồn thuật tốn mật mã hóa khóa cơng khai vào năm 1976 làm thay đổi hoàn toàn cách thức trao đổi thông tin mật Cùng với phát triển hệ thống truyền thông điện tử tốc độ cao (Internet hệ thống trước nó), nhu cầu trao đổi thơng tin bí mật trở nên cấp thiết Thêm vào yêu cầu phát sinh việc xác định định dạng người tham gia vào q trình thơng tin Vì ý tưởng việc gắn định dạng người dùng với chứng thực bảo vệ kỹ thuật mật mã phát triển cách mạnh mẽ 10 Thị trường PKI thực tồn phát triển với quy mô kỳ vọng từ năm thập kỷ 1990 PKI chưa giải số vấn đề mà kỳ vọng Những PKI thành cơng tới phiên phủ thực 2.1.2 Chứng 2.1.3 Kho chứng 2.1.4 Thu hồi chứng 2.1.5 Công bố gửi thông báo thu hồi chứng 2.1.6 Sao lưu dự phòng khóa 2.1.7 Cập nhật khóa tự động 2.1.8 Lịch sử khóa 2.1.9 Chứng thực chéo 2.1.10 Hỗ trợ chống chối bỏ 2.1.11 Tem thời gian 2.1.12 Phần mềm phía người dùng 2.1.13 Chính sách chứng 2.2 Chức PKI 2.2.1 Chứng thực (certification) 2.2.2 Thẩm tra (validation) 2.3 Các thành phần PKI 17 c) Ứng dụng Trao đổi khóa (Key Exchange) 2.7 Ưu nhược điểm việc ứng dụng hệ thống PKI 2.7.1 Ưu điểm sử dụng sở hạ tầng khóa cơng khai 2.7.2 Một số điểm yếu sở hạ tầng khóa cơng khai Kết luận Chương II Chương II trình bầy khái niệm bản, phương pháp, cơng nghệ kỹ thuật sử dụng mã hóa khóa công khai để cung cấp sở hạ tầng bảo mật Một sở hạ tầng khóa cơng khai cho phép tổ chức tận dụng tốc độ mạng Internet bảo vệ thông tin quan trọng khỏi việc nghe trộm, giả mạo, truy cập trái phép 18 Chương III HỆ THỐNG CHUẨN QUẢN LÝ HẠ TẦNG KHĨA CƠNG KHAI EJBCA 3.1 Giới thiệu EJBCA (Enterprise Java Bean Certificate Authority) 3.1.1 Khái niệm - EJBCA (Enterprise Java Bean Certificate Authority)là sản phẩm công ty PrimeKey - EJBCA CA hệ thống quản lý PKI hoàn chỉnh xây dựng tảng công nghệ J2EE - Kiến trúc Enterprise Java Beans (EJB) đặc tả công ty Sun Microsystems phát triển 3.1.2 Các giai đoạn phát triển EJBCA 3.1.3 So sánh với gói phần mềm khác Dưới bảng so sánh số đặc điểm hai gói phần mềm : Bảng 3.1: So sánh đặc điểm EJBCA OpenCA Đặc điểm EJBCA OpenCA Độ khó cấu hình Rất phức tạp Phức tạp Tính bí mật Có (sử dụng mã hóa) Có (sử dụng mã hóa) Tính tồn vẹn Có (sử dụng mã hóa) Có Tính xác thực Có (sử dụng chữ ký số) Có Tính chống chối bỏ Có Khơng Chọn thuật tốn để sử Có dụng OCSP Khơng Khả chọn CSP Có Bằng tay Cập nhật CRL Có Khơng Hỗ trợ thẻ thơng minh Tự động Miễn phí Các mở rộng Có Có 19 Mơi trường Miễn phí Cơ sở liệu Java J2EE (độc lập nền) MySQL Hypersoniq,PostegreSQL, MySQL, MS SQL, Oracle, Hỗ trợ LDAP Có Có Mơđun EJB Perl Khả mở rộng Được thiết kế tốt mở Mở rộng khó với độ rộng phức tạp tăng nhiều Thành phần độc lập PKI quản trị hồn Chỉ có cách quan tồn thơng qua dịng lệnh trị PKI thơng qua giao diện web Các trình duyệt Nhiều hỗ trợ 3.2 Mơ hình hệ thống PKI EJBCA 3.2.1 Sơ đồ tổng quát hệ thống PKI EJBCA 3.2.2 Kiến trúc bên EJBCA  Tầng liệu (Data Tier  Thành phần CA  Thành phần RA  Tầng Web Perl CGI Unix Nhiều 20  Trình khách: Hình 3.2:Kiến trúc EJBCA 3.2.3 Hoạt động RA Server hệ thống EJBCA 3.2.4 Kiến trúc hoạt động External OCSP responders 3.3 Các tính EJBCA 3.4 Ứng dụng EJBCA 3.5 Một số ưu nhược điểm EJBCA * Ưu điểm: - EJBCA đơn giản để sử dụng - Mạnh mẽ - Hiệu suất cao, thành phần dựa CA - Linh hoạt tảng độc lập EJBCA sử dụng độc lập tích hợp ứng dụng J2EE - Có thể triển khai hệ điều hành khác Windows Linux - Có khả kết nối với hệ quản trị sở liệu sau: + Hypersoniq (hsqldb) (mặc định JBoss) + PostegreSQL 7.2 8.x ,MySQL 4.x 5.x + Oracle 8i, 9i 10g (http://www.oracle.com/) + Sybase + MS-SQL2000 2003 + Informix 9.2 21 + DB2 * Nhược điểm: - Cài đặt cấu hình phức tạp so với hệ thống khác 3.6 Triển khai hệ thống PKI sử dụng phần mềm EJBCA Mục tiêu Mọi người không lo lắng thư điện tử họ bị xem trộm hay khơng?có lẽ khơng thu hút tị mị lắm.Tuy nhiên thơng tin nội tổng cơng ty,tập đồn với chi nhánh thu hút ý hơn.Các công ty lo lắng thơng tin kinh doanh bị lọt vào tay đối thủ cạnh tranh họ bị lợi nhuận thị trường.Trong thực tế có chuyên gia với nghiệp vụ giỏi sẵn sang can thiệp để lấy thông tin bán lại cho đối thủ cạnh tranh công ty bị xem trộm.Nhằm thực hóa kết bảo mật thông tin nghiên cứu,dưới mô hình triển khai thử nghiệm hệ thống PKI theo kiến trúc phân cấp sử dụng gói phần mềm mã nguồn mở EBJCA.Mục tiêu đặt hệ thống sau triển khai sử dụng cung cấp chứng nhận cho người dùng để chứng thực người sử dụng web,ký mã hóa thư điện tử,ký văn 3.6.1 Mơ hình triển khai u cầu cần thiết: + Hệ điều hành triển khai hệ điều hành CentOS 5.5 + Máy chủ EJBCA Server Backup/Log + OCSP Responder đóng vai trị trả lời truy vấn thông tin chứng chỉ, CRLs… cài đặt phần mềm MySQL, Jboss, LDAP + RA Server đóng vai trị nhận xử lý truy vấn xin cấp chứng Client chờ CA xử lý cấp phát Được cài đặt MySQL JBOSS Vì khơng đủ điều kiện nên em thực gộp ba phần trên máy nên máy đóng vai trị ba phần mơ hình Các phần mềm cài đặt máy bao gồm: ejbca_3_11_1, MySQL, JBOSS-4.2.2.GA, Apache-ant-1.8.2, JDK6u23-linux, JCE_policy-6, MySQL-connector-java-1.5.14, LDAP 22 Hình 3.7: Mơ hình tổng quan hệ thống PKI triển khai theo mô PKI theo kiến trúc phân câp hình 2.3 CA có quản trị viên chia thành nhóm: + Quản trị viên CA (CA administrator) + Quản trị viên RA (RA administrator) + Siêu quản trị viên (super administrator) Tên CA,các thực thể được phát hành chứng nhận đặt theo tiêu chuẩn tên phân biệt X.509 Các bước triển khai: Cấp chứng nhận cho quản trị CA,RA,giám sát viên siêu quản trị viên,để đăng nhập vào hệ thống quản trị CA trình duyệt web fire fox,IE 23 Hình 3.8 : Giao diện quản lý ejbca Mở cửa sổ Add End Entity điền định dạng cho chứng người dùng Hình 3.11 Kết tạo quản trị viên email-1CA email-2CA - Import chứng dạng P12 vào firefox 24 Vào Edit/Preferences/Advanced/Encryption/View Certfiticates/Your Certtificates/ Nhấn vào Import file superadmin.p12 /opt/ejbca/P12/superadmin.p12 Hình 3.12: Add chứng vào trình duyệt Chi tiết chứng cấp cho user1 user với đầy đủ thơng số Hình 3.13: chứng nhận cho người dùng có tên user1 user 25 Ký mã hóa thư điện tử :Hệ thống cấp chứng nhận cho người dùng để ký xác nhận chữ ký,mã hóa giải mã thư điện tử ứng dụng thư điện tử Outlook Epress.Khi người dùng user-2 gửi thư điện tử cho user-1,đồng thời ký mã hóa thư điện tử User -1 nhận thư điện tử user-2,user -1 không đọc thư xác thực người gửi khơng có chứng nhận người gửi (khơng có khóa khớp với khóa người gửi) Hình 3.15: Giao diện user-1 nhận thư user-2 ký mã hóa Khi có đầy đủ chứng nhận cần thiết người nhận user-1 đọc nội dung thư ký mã hóa hình 26 Hình 3.16: Người nhận user-1 đọc nội dung thư gửi Tương tự Chứng nhận cấp cho người dùng thử nghiệm dùng để ký gửi file văn Kết luận chương III EJBCA gói phần mềm mã nguồn mở tiếng,có thể triển khai hệ thơng PKI hồn chỉnh,đầy đủ chức năng.Hệ thống triển khai mang lại đầy đủ tính chất cần thiết nhằm thiết lập mơi trường an tồn,tin cậy giao tiếp tính bảo mật,tồn vẹn,tính xác thực tính chống chối bỏ.Hơn hệ thống có khả mở rộng tích hợp với hệ thống khác cách dễ dàng 27 KẾT LUẬN PKI hệ thống tương đối lớn phức tạp Việc nắm vững nghiên cứu kỹ PKI địi hỏi nhiều thời gian cơng sức.Qua đề tài em vừa trình bày đưa nhìn tổng quát hệ thống sở hạ tầng PKI, mục tiêu chức hệ thống Đồng thời đề tài trình bày vấn đề bản, cách cài đặt cấu hình gói phần mềm EJBCA - cách xây dựng, triển khai hệ thống khóa cơng khai EJBCA gói phần mềm mã nguồn mở tiếng, triển khai hệ thống PKI hoàn chỉnh, đầy đủ chức Nhằm tận dụng đặc tính ưu việt gói phần mềm đồng thời quản lý trình phát triển độ an tồn hệ thống, đề tài tiến hành tìm hiểu phân tích Hướng phát triển đề tài áp dụng mơ hình triển khai vào thực tế nhiều ko phải dừng mức lý thuyết demo Chúng ta triển khai thử nghiệm hệ thống chứng thực tập trung theo kiến trúc PKI phân cấp đơn giản sử dụng thực tế Hệ thống triển khai mang lại đầy đủ tính chất cần thiết nhằm thiết lập mơi trường an tồn, tin cậy giao tiếp tính cẩn mật, tính tồn vẹn, tính xác thực tính khơng thể chối từ Hơn nữa, hệ thống cịn có khả mở rộng, tích hợp với hệ thống khác cách dễ dàng Hệ thống triển khai sử dụng thực tế đồng thời có tính tổng qt cao (nhiều loại CA: CA gốc, CA cấp CA cấp khác một), ứng dụng tổ chức có mơ hình phân cấp tương tự 28 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Học viện Kỹ thuật Mật mã (2006), "Giáo trình chứng thực điện tử" [2] Trung tâm ứng dụng công nghệ điện tử viễn thông NACENCOMM – Giải pháp PKI Tiếng Anh [3] Andrew Nash, William Duane, Celia Joseph and Derek Brink (2001), "PKI: Implementing and Managing E-security", RSA Press [4] Suranjan Choudhury, Kartik Bhatnagar, and Wasim Haque (2001), "Public Key Infrastructure Implementation and Design", M&T Books [5] RFC 2560, RFC2459, RFC2119 [6] http://www.ejbca.org [7] http://www.primekey.se [8] IETF Public-Key Infrastructure X.509 (PKIX) Working Group, http://www.ietf.org/html.charters/pkix-charter.html [9] Carlisle Adams, Steve Lloyd (November 06, 2002), “Understanding PKI: Concepts, Standards, and Deployment Considerations, Second Edition” 29 MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT .i DANH MỤC CÁC BẢNG ii DANH MỤC CÁC HÌNH VẼ iv LỜI NÓI ĐẦU Chương I AN TỒN THƠNG TIN TRONG CÁC GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ (TMĐT) 1.1 Yêu cầu chung cho an tồn bảo mật thơng tin giao dịch điện tử 1.2 Mật mã khóa bí mật (secret -key cryptography) 1.3 Mật mã khóa cơng khai 1.4 Hàm Băm (Hash Function) 1.5 Chữ ký điện tử (Digital Signature) 1.5.1 Khái niệm 1.5.2 Quá trình tạo chữ ký điện tử 1.5.3 Quá trình kiểm tra chữ ký điện tử Chương II CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI (PKI) 2.1 Khái niệm sở hạ tầng khóa cơng khai (PKI) 2.1.1 khái niệm PKI 2.1.2 Chứng 10 2.1.3 Kho chứng 10 2.1.4 Thu hồi chứng 10 2.1.5 Công bố gửi thông báo thu hồi chứng 10 2.1.6 Sao lưu dự phòng khóa 10 2.1.7 Cập nhật khóa tự động 10 2.1.8 Lịch sử khóa 10 2.1.9 Chứng thực chéo 10 2.1.10 Hỗ trợ chống chối bỏ 10 2.1.11 Tem thời gian 10 2.1.12 Phần mềm phía người dùng 10 2.1.13 Chính sách chứng 10 2.2 Chức PKI 10 30 2.2.1 Chứng thực (certification) 10 2.2.2 Thẩm tra (validation) 10 2.3 Các thành phần PKI 10 2.3.1 Cơ quan cấp chứng (CA) 11 2.3.2 Cơ quan đăng ký 11 2.3.3 Nơi lưu trữ chứng (certificate directory) 11 2.3.4 Máy chủ khơi phục khóa 11 2.3.5 Danh sách thu hồi chứng (CRL) 11 2.3.6 Cơ quan tạo tem thời gian (TSA) 11 2.3.7 Phần mềm phía client( Client Software) 11 2.4 Kiến trúc hệ thống PKI 11 2.4.1 Mơ hình phân cấp 11 2.4.2 Mơ hình mạng lưới 12 2.4.3 Mơ hình danh sách tin cậy 13 2.4.4 Hoạt động hệ thống PKI 13 2.4.5 Các loại chứng giao thức PKI 13 2.5 Các vấn đề an toàn cho PKI 16 2.5.1 Vấn đề an toàn tin cậy PKI 16 2.5.2 Vấn đề sử dụng khóa 16 2.5.3 Vấn đề xác định độ an toàn máy tính 16 2.5.4 Vấn đề xác định định danh người dùng 16 2.5.5.Vấn đề thẩm quyền CA 16 2.5.6 Vấn đề người dùng quan tâm tới thiết kế bảo mật 16 2.5.7 Vấn đề kết hợp CA với RA 16 2.5.8 Vấn đề định danh người giữ chứng 16 2.5.9 Vấn đề sử dụng chứng 16 2.5.10 Vấn đề ứng dụng CA 16 2.6 Ứng dụng PKI 16 2.7 Ưu nhược điểm việc ứng dụng hệ thống PKI 17 2.7.1 Ưu điểm sử dụng sở hạ tầng khóa cơng khai 17 2.7.2 Một số điểm yếu sở hạ tầng khóa cơng khai 17 Chương III 18 HỆ THỐNG CHUẨN QUẢN LÝ HẠ TẦNG KHĨA CƠNG KHAI EJBCA 18 31 3.1 Giới thiệu EJBCA (Enterprise Java Bean Certificate Authority) 18 3.1.1 Khái niệm 18 3.1.2 Các giai đoạn phát triển EJBCA 18 3.1.3 So sánh với gói phần mềm khác 18 3.2 Mô hình hệ thống PKI EJBCA 19 3.2.1 Sơ đồ tổng quát hệ thống PKI EJBCA 19 3.2.2 Kiến trúc bên EJBCA 19 3.2.3 Hoạt động RA Server hệ thống EJBCA 20 3.2.4 Kiến trúc hoạt động External OCSP responders 20 3.3 Các tính EJBCA 20 3.4 Ứng dụng EJBCA 20 3.5 Một số ưu nhược điểm EJBCA 20 3.6 Triển khai hệ thống PKI sử dụng phần mềm EJBCA 21 3.6.1 Mơ hình triển khai 21 3.6.2 Cài đặt cấu hình Error! Bookmark not defined KẾT LUẬN 27 TÀI LIỆU THAM KHẢO 28 ... sử dụng độc lập tích hợp ứng dụng J2EE 4 Qua tìm hiểu nghiên cứu em chọn đề tài ? ?Tìm hiểu triển khai hệ thống chứng thực khóa cơng khai sử dụng gói phần mềm mã nguồn mở EJBCA ứng dụng giao dịch. .. Bộ phần mềm EBJCA hệ thống chứng thực sở hạ tầng khóa cơng khai  Giới thiệu chung gói phần mềm EJBCA  Các kiến trúc hệ thống PKI sử dụng EJBCA  Đưa mơ hình triển khai  Cách cài đặt cấu hình... hệ thống sở hạ tầng PKI, mục tiêu chức hệ thống Đồng thời đề tài trình bày vấn đề bản, cách cài đặt cấu hình gói phần mềm EJBCA - cách xây dựng, triển khai hệ thống khóa cơng khai EJBCA gói phần