HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO BÀI TẬP LỚN MÔN: CHỨNG THỰC ĐIỆN TỬ Đề tài: Nghiên cứu hệ thống mobilePKI triển khai cho thiết bị di động GVHD: Ths.NGUYỄN THỊ HỒNG HÀ Tên thành viên: Trần Dũng Thành Nguyễn Văn An Lê Tuấn Tú Đỗ Thị Mai Anh Trần Thị Hiền Hà Nội, ngày 19 tháng năm 2019 Mục lục Danh mục hình ảnh Lời nói đầu CHƯƠNG I: TÌM HIỂU VỀ HỆ THỐNG PKI .5 Giới thiệu sở hạ tầng công cụ không dây cho điện thoại di động .5 1.1 Cơ sở hạ tầng công cộng 1.2 Tầm quan trọng sở hạ tầng công cộng không dây .7 1.2.1 PKI không dây cho điện thoại di động 1.2.2 Chữ ký số tối ưu 1.2.3 Hồ sơ chứng thực tối ưu .8 1.2.4 Giao thức quản lý yêu cầu chứng thực tối ưu .10 1.2.5 Đề án xác nhận tối ưu 11 1.3 Trình tự hoạt động thiết lập đề xuất .12 Mobile-PKI 13 2.1 PKI Java 14 2.2 Giải pháp Mobile-PKI 15 2.2.1 Mô hình Mobile -PKI 15 2.2.1.1 Người dùng M –PKI 15 2.2.1.2 Thẩm quyền chứng thực (MCA) 16 2.2.1.3 Cơ sở liệu chứng thực 17 2.2.1.4 Hệ thống quản lý chứng thực 17 2.2.1.5 Thư mục M -PKI 17 CHƯƠNG III: ỨNG DỤNG THỰC TIỄN CỦA MOBILE-PKI 18 Mobile -PKI Kịch 19 Ứng dụng mã hóa giúp bảo vệ an tồn cho giao dịch điện tử martphone 24 CHƯƠNG IV: DEMO 27 KẾT LUẬN 30 TÀI LIỆU THAM KHẢO 31 Danh mục hình ảnh Hình 1: Mơ hình kịch PKI Hình 2:Chứng thực khơng dây X.509 Hình 3: Chứng thực ngắn hạn 10 Hình 4: Giao thức quản lý chứng thực .11 Hình 5: Hoạt động CA điện thoại di động để tạo chứng thực 12 Hình 6: Tương tác với máy chủ OCSP .13 Hình 7: Mơ hình M- PKI 16 Hình 3.1:Phân loại tin nhắn 20 Hình 3.2: Luồng tin nhắn M-PKI 21 Hình 3.3: Tin nhắn SMS bình thường 21 Hình 3.4: Tin nhắn SMS nội .22 Hình 3.5: Tin nhắn SMS bí mật .22 Hình 3.6: Kịch gửi tin nhắn 23 Hình 3.7: Giải pháp VDC giúp giao diện điện tử smartphone trở nên an toàn 25 Hình 4.1: Thiết lập kết nối NPS server 27 Hình 4.2 : Cài đặt radius server 28 Hình 4.2 : Login với private key 29 Lời nói đầu Thiết bị di động đóng vai trị quan trọng mơi trường mạng khơng dây để cung cấp dịch vụ khác qua internet Các giao dịch kinh doanh thiết bị điện tử khơng dây khơng an tồn tin nhắn dễ bị chặn sửa đổi kẻ xâm nhập Vì vậy, thiết bị hỗ trợ internet không dây phải đảm bảo mức bảo mật mạng có dây PKI (Cơ sở hạ tầng khóa cơng khai) sử dụng mơi trường có dây không phù hợp với môi trường không dây xử lý mạnh nhớ nhỏ Điều nảy sinh nhu cầu phát triển sở hạ tầng khóa cơng cộng khơng dây (WPKI) cung cấp mức bảo mật tương tự PKI có dây phù hợp với điện thoại di động Trong báo này, thảo luận sở hạ tầng khóa công khai thử nghiệm thiết lập cho Cơ sở hạ tầng khóa cơng khai khơng dây cho điện thoại di động thực đề xuất PKI di động dựa ECC khắc phục hạn chế hỗ trợ ứng dụng dựa di động khác nhau, việc sử dụng ECC làm giảm đáng kể chi phí tính tốn, kích thước thơng báo chi phí truyền qua PKI dựa RSA kích thước khóa 160 bit ECC cung cấp bảo mật tương đương với khóa 1024 bit RSA Ngoài ra, phương pháp đề xuất bao gồm đại lý nhà di động (MHA) cho người dùng quan đăng ký (RA) giúp giảm thiểu tối đa tải cơng việc xử lý điện thoại di động quan cấp chứng thực (CA), tương ứng Bài viết đề cập đến việc triển khai an tồn M-PKI đề xuất, có phân tích bảo mật chống lại cơng khác cho thấy tất công bảo vệ Cuối cùng, nghiên cứu so sánh M-PKI với PKI có thực đưa hiệu suất thỏa đáng Chúng ta tìm hiểu thơng qua chương Với chương tìm hiểu hệ thống PKI Và chương tìm hiểu thiết kế sở hạ tầng khóa cơng khai thiết bị di động (M-PKI) đường cong Elliptic mật mã Chương ứng dụng PKI Tiếp theo demo phần cuối phần kết luận CHƯƠNG I: TÌM HIỂU VỀ HỆ THỐNG PKI Giới thiệu sở hạ tầng công cụ không dây cho điện thoại di động Một số loại dịch vụ điện tử cung cấp điện thoại di động qua internet Do phương tiện truyền thông không dây không đáng tin cậy, cấu trúc liên kết động hạn chế sở hạ tầng, dịch vụ dễ bị đe dọa mối đe dọa bảo mật áp đặt hạn chế việc sử dụng PKI thông thường PKI kiến trúc bảo mật cung cấp mức độ tin cậy cao cho thông tin trao đổi qua internet Để đảm bảo an ninh cho thương mại di động (M-commerce) thông qua internet không dây, công nghệ sở hạ tầng khóa cơng khai phù hợp với mơi trường khơng dây phải u cầu Internet khơng dây có nhiều hạn chế so với mạng có dây Một điện thoại di động khơng có khả tính tốn dung lượng lưu trữ tương đương với máy tính để bàn giao tiếp khơng dây có băng thơng truyền thấp so với đối tác có dây Áp dụng giao thức internet có dây cho điện thoại di động có nhiều vấn đề hạn chế kích thước hình, khả tính tốn, dung lượng nhớ hạn chế cần giải thiết kế môi trường PKI cho thiết bị khơng dây Tối ưu hóa giao thức quản lý chứng nhận kích thước liệu xử lý thiết bị di động yếu tố xem xét thiết kế giúp giảm đáng kể kích thước mơ-đun cài đặt điện thoại di động 1.1 Cơ sở hạ tầng công cộng Cơ sở hạ tầng khóa cơng khai (PKI) hệ thống bao gồm phần cứng phần mềm sử dụng để quản lý khóa cơng khai phân phối chứng thực số sử dụng để xác minh khóa chung cụ thể thuộc thực thể định PKI tạo chứng thực kỹ thuật số ánh xạ khóa cơng khai tới thực thể, lưu trữ an toàn chứng thực kho lưu trữ trung tâm thu hồi chúng cần khơng sử dụng Mật mã khóa cơng khai sử dụng để truyền khóa cơng khai người dùng mơi trường PKI Khóa cơng khai người dùng quảng cáo khóa riêng tương ứng giữ bí mật PKI bao gồm quan chứng nhận (CA), quan đăng ký (RA), chủ sở hữu chứng thực, khách hàng, kho lưu trữ, thuật toán mã hóa giao thức Như hiển thị hìnhI.1, việc xác thực danh tính người dùng sau cấp chứng thực kỹ thuật số thực CA RA bên thứ ba xác nhận danh tính người xin cấp chứng thực kỹ thuật số Thư mục PKI chứa thông tin liên quan đến chứng thực số CA Cơ sở hạ tầng khóa cơng khai đảm bảo điều sau: • • • • Đảm bảo chất lượng thông tin truyền qua mạng Trọn đời tính hợp lệ thơng tin Sự chắn quyền riêng tư, nguồn đích thơng tin Để đảm bảo khơng thối thác Hình 1: Mơ hình kịch PKI 1.2 Tầm quan trọng sở hạ tầng công cộng khơng dây Các thiết bị khơng dây có số hạn chế kỹ thuật CPU mạnh hơn, kích thước nhớ hơn, lượng pin bị hạn chế, hình nhỏ thiết bị đầu vào so với thiết bị sở hạ tầng có dây Điện thoại di động thiếu khả tính tốn dịch vụ PKI tạo khóa, xác minh tạo chữ ký số, xác thực chứng thực, xác minh danh sách thu hồi chứng thực (CRL), kích thước nhớ chứng thực lưu trữ CRL Do hạn chế kỹ thuật môi trường không dây, việc xử lý CMP (giao thức quản lý chứng thực) điện thoại di động tải xuống CRL cần thiết để xác minh chứng thực trở nên khó khăn 1.2.1 PKI khơng dây cho điện thoại di động WPKI thơng qua internet khơng dây có mức bảo mật Internet có dây, yêu cầu sau phải thỏa mãn: • Chọn thuật tốn chữ ký số tối ưu tính điện thoại di động • Một phần nhỏ liệu lưu trữ điện thoại di động truyền qua mạng • Tối ưu hóa giao thức CMP xử lý điện thoại di động thông qua băng thơng khơng dây • Tối ưu hóa chương trình xác nhận chứng thực 1.2.2 Chữ ký số tối ưu Sau hai thuật toán quan trọng để tạo chữ ký tối ưu: • ECDSA (thuật tốn khóa cơng khai) • DES (thuật tốn khóa đối xứng) Điểm thu hút thuật tốn chữ ký số đường cong elip (Elliptic Curve Digital Signature Algorithm) chỗ, cung cấp bảo mật tương đương cho kích thước khóa nhỏ RSA, giảm chi phí xử lý thuật toán chữ ký số đường cong elip dựa ECC tạo kích thước khóa 163 bit, tương đương với kích thước khóa RSA 1024bit, phải thời gian ngắn để tạo cặp khóa cơng khai điện thoại di động so với thuật tốn RSA Do kích thước khóa 163 bit ECDSA nhỏ kích thước khóa RSA 1024 bit, nên kích thước chứng thực bao gồm khóa chung giảm Tiêu chuẩn mã hóa liệu (DES) đóng vai trị quan trọng lĩnh vực mật mã hóa để mã hóa liệu điện tử Nó khơng cịn an tồn dạng ban đầu, dạng sửa đổi, hữu dụng Hiện tại, DES coi không an toàn cho nhiều ứng dụng Điều chủ yếu kích thước khóa 56 bit q nhỏ 1.2.3 Hồ sơ chứng thực tối ưu Mô tả việc cấp hồ sơ chứng thực không dây X.509 cho điện thoại di động máy chủ phát hành hồ sơ chứng thực rút gọn cho máy chủ để giảm tải xác minh điện thoại di động (Hình I.2 Hình I.3) Chứng thực X.509 bao gồm trường trường mở rộng Thế hệ ngụ ý chứng thực phải bao gồm trường định quy trình ngụ ý tệp định có chứng thực, trường phải kiểm tra chứng thực xác minh Mục đích giảm kích thước chứng thực cách loại bỏ trường không cần thiết không sử dụng khỏi chứng thực Hình 2:Chứng thực khơng dây X.509 Hình 3: Chứng thực ngắn hạn 1.2.4 Giao thức quản lý yêu cầu chứng thực tối ưu Điện thoại di động phải gửi yêu cầu bảo mật cho chứng thực cho CA CA phát hành cho điện thoại di động Sau yêu cầu giao thức yêu cầu chứng thực: • Tin nhắn yêu cầu chứng thực xây dựng điện thoại di động Giá trị phải bao gồm khóa công khai, số tham chiếu thực thể cuối ID mật • Tương ứng với khóa chung mà chứng thực yêu cầu, chứng sở hữu giá trị khóa riêng bao gồm thơng báo u cầu chứng thực • Phương thức thơng báo yêu cầu chứng thực truyền đạt an toàn đến CA Để đáp ứng yêu cầu này, giao thức quản lý chứng thực khơng dây phát triển (Hình I.4) 10 giữ bí mật Phương trình tốn học sau cho thấy cách thuật tốn RSA mã hóa giải mã thơng điệp Thơng báo mã hóa khóa cơng khai giải mã thành cơng khóa riêng cung cấp Đối với mã hóa: c = me mod n (1) Đối với giải mã: m = cd mod n Trong đó: (2) m = thơng điệp, c = thơng điệp mã hóa Hình 3.1:Phân loại tin nhắn 20 Hình 3.2: Luồng tin nhắn M-PKI Hình 3.3: Tin nhắn SMS bình thường 21 Hình 3.4: Tin nhắn SMS nội Hình 3.5: Tin nhắn SMS bí mật 22 Hình 3.6: Kịch gửi tin nhắn Các sơ đồ sau minh họa cho kịch việc gửi trả lời PKI SMS Sam muốn gửi tin nhắn SMS đến Ryan cách bí mật, Sam chọn chế độ bảo mật Vì truyền thông thời gian, Sam cần phải truy cập M - PKI thư mục để tìm kiếm khóa cơng khai Ryan xác minh thời hạn hiệu lực chứng thực kỹ thuật số Ryan Sau đó, Sam phải gắn khóa riêng vào tin nhắn Sau đó, Ryan giải mã thơng điệp khóa riêng để đạt thơng điệp Kịch trả lời tin nhắn SMS giống với kịch gửi tin nhắn SMS Nếu Ryan có khóa công khai Sam trước lưu trữ điện thoại, sau khơng cần phải truy cập vào thư mục M -PKI 23 Ứng dụng mã hóa giúp bảo vệ an tồn cho giao dịch điện tử martphone Bộ sản phẩm ứng dụng cơng nghệ hạ tầng khóa cơng khai di động tập hợp phần mềm độc lập liên kết với để đảm bảo an toàn cho giao dịch điện tử thực smartphone, tạo tin cậy cho giao dịch trực tuyến Việt Nam Việc giao dịch điện tử ngày trở nên phổ biến, nhiên vấn đề cần lưu tâm giao dịch điện tử thực hết thiết bị di động, máy tính phải đối mặt với khả để lộ thông tin, bị đánh cắp thông tin, giả mạo thông tin, giả mạo giao dịch đặc biệt thị trường Việt Nam, hạ tầng an tồn an ninh thơng tin chưa đảm bảo Bên cạnh đó, phổ biến thiết bị di động dẫn dến thực tế giao dịch điện tử thực nhiều thiết bị di động, điều đòi hỏi cần phải có bảo mật đủ mạnh để bảo vệ giao dịch điện tử thực thiết bị di động Để giải vấn đề vậy, nhóm tác giả Cơng ty Điện toán truyền số liệu VDC cho mắt giải pháp “Bộ sản phẩm ứng dụng công nghệ hạ tầng khóa cơng khai di động (Mobile PKI) - VNPT-mCA” Các sản phẩm giải pháp trang bị cho khách hàng khả kí, xác thực, mã hóa thơng tin kí mã hóa email, tin nhắn sms, văn điện tử, , đảm bảo giao dịch an toàn hợp pháp, góp phần thúc đẩy phát triển thương mại điện tử Việt Nam Đây móng tin cậy mở giao dịch hoàn toàn trực tuyến với lĩnh vực tài chính, ngân hàng, thương mại điện tử giao dịch trực tiếp quầy, giải vấn đề linh hoạt, ổn định an toàn mà người dùng quan tâm 24 Hình 3.7: Giải pháp VDC giúp giao diện điện tử smartphone trở nên an tồn Bộ sản phẩm VNPT-mCA áp dụng lĩnh vực trao đổi bảo mật thông tin (email, tin nhắn SMS), giao dịch điện tử: mua bán hàng hóa, ngân hàng (mobile banking), chứng khoán (mobile stock) Bộ sản phẩm bao gồm nhiều phần mềm độc lập liên kết với tạo thành giải pháp hồn chỉnh cho việc áp dụng cơng nghệ PKI tảng mobile Bao gồm chức sau: - Phần mềm quản lý token chứng thư số: bao gồm chức khởi tạo quản lý cặp khóa, hủy cặp khóa, sinh tạo yêu cầu chứng thư, nhập chứng thư số cấp phát, xem hủy chứng thư số - Phần mềm secured email client: Là sản phẩm email client tảng di động hoàn chỉnh, cho phép gửi nhận theo nhiều giao thức với nhà cung cấp khác nhau, bao gồm chức thiết lập cấu hình email, kiểm tra trả lời email, ký xác thực email trước gửi (sử dụng chứng thư số cơng cộng VNPT25 CA), ký mã hóa email trước gửi (sử dụng chứng thư số công cộng VNPTCA), đọc giải mã email mã hóa - Phần mềm secured sms: Là sản phẩm sms messaging tảng di động hoàn chỉnh, cho phép gửi nhận tin nhắn sms mạng di động GSM qua OTT, cho phép mã hóa nội dung thơng tin để bảo mật tin nhắn Phần mềm cung cấp chức như: nhận SMS, hiển thị người gửi nội dung, giải mã tin nhắn sms mã hóa, mã hóa tin nhắn sms gửi cho người dùng khác - Ký xác nhận văn (pdf, ms office): Đọc, xem file văn nhận di động, ký xác nhận lên file văn PDF, DOCX, XLSX xem xác thực file văn kí số, lưu trữ gửi file văn cho người dùng khác Những tính bật giải pháp “Bộ sản phẩm ứng dụng công nghệ hạ tầng khóa cơng khai di động (Mobile PKI) - VNPT-mCA” Hội đồng Giám khảo Giải thưởng Nhân tài Đất Việt 2014 đánh giá cao chọn vào sản phẩm Công nghệ thông tin ứng dụng di động tranh tài vòng Chung khảo giả Giải thưởng Nhân tài Đất Việt năm 26 CHƯƠNG IV: Xây dựng kịch Mobile - PKI 1: Mơ hình triển khai - Phân tích mơ hình: + Mơ hình bao gồm smart phone + Access point sử dụng wpa/wpa2 enterprise + Winserver 2012 cài đặt dịch vụ ADCA,NPS,ADCD - Trình tự hoạt động thiết lập đề xuất: 27 Người dùng di động (Khách hàng) yêu cầu đăng ký quan chứng nhận Một yêu cầu cho đăng ký nhận CA (Máy chủ) mã ngẫu nhiên tạo cụ thể cho yêu cầu thiết bị khơng dây Sau đó, CA tạo tên người dùng mật cụ thể cho người dùng lưu trữ giá trị với mã ngẫu nhiên sở liệu Người dùng cung cấp với tên người dùng mật Giờ người dùng tạo khóa cơng khai - khóa riêng / khóa bí mật cách sử dụng thuật tốn chữ ký số Một tin nhắn sau nhập người dùng tên người dùng mật khóa private/secret sử dụng làm tin nhắn Thơng điệp số tạo cách sử dụng thuật toán băm Sử dụng 28 thông điệp số private/secret, chữ ký số tạo Chữ ký điện tử với tin nhắn khóa private/secret gửi từ người dùng đến CA cho mục đích xác minh Chữ ký số sau mở khóa cách sử dụng khóa private/secret người dùng CA thơng báo thông báo khớp với thông báo tạo CA Khi chữ ký số xác minh, CA cấp Chứng thư số cho người dùng Các giá trị lưu trữ tệp notepad tệp lưu trữ thư mục gán cho CA URL / Tên đường dẫn chứng thư mục gửi cho người dùng giao dịch tương lai với máy chủ khác giảm tải cho thiết bị khơng dây thiết bị di động điện thoại Bất giao dịch xảy điện thoại di động máy chủ, ban đầu, máy chủ gửi chứng đến điện thoại di động Điện thoại di động gửi chứng đến máy chủ OCSP Sau đó, máy chủ OCSP tải xuống danh sách CRL từ thư mục kiểm tra chứng Thẩm định Sau xác thực, máy chủ OCSP gửi phản hồi tới điện thoại di động giao dịch tương lai với thiết bị di động, làm giảm giao dịch tương lai Như thể hình, máy chủ nhận URL Chứng thiết bị di động, gửi đến máy chủ OCSP cho Thẩm định Đổi lại, CRL gửi đến CA 29 CHƯƠNG IV: DEMO Hình 4.1: Thiết lập kết nối NPS server 30 Hình 4.2 : Cài đặt radius server 31 Hình 4.2 : Login với private key 32 KẾT LUẬN Trong viết này, khái niệm PKI thảo luận ngắn gọn hạn chế PKI mạng có dây giải Đối với môi trường không dây, mức độ bảo mật tương tự PKI có dây hỗ trợ điện thoại di động xem xét Mơ hình PKI khơng dây đề xuất nhằm mục đích bảo mật thương mại dựa điện thoại di động thông qua giao tiếp không dây Để giảm độ phức tạp xác thực chứng thực, cấu hình chứng thực tối ưu cho X.509 chứng thực tồn ngắn, làm giảm kích thước chứng thực áp dụng mơ hình OCSP để xác nhận hiệu chứng thực X.509 điện thoại di động Các dịch vụ WPKI môi trường WAP, phải tối ưu hóa cách sử dụng kỹ thuật mã hóa truyền liệu hiệu phù hợp với mơi trường có hạn chế nhớ, xử lý tồn Mơ hình đề xuất sử dụng không lĩnh vực M thương mại mà cịn truyền thơng liệu khơng dây đa dạng bệnh viện di động phủ, dựa điện thoại di động thông qua internet không dây Đề cập đến việc thiết kế M-PKI dựa ECC sử dụng cho điện thoại / thiết bị di động Dành cho điều này, số sửa đổi PKI thực chúng kết hợp với ECC khóa / tin nhắn có độ dài ngắn chi phí tính tốn / liên lạc thấp, giới thiệu MHA người dùng di động phải chịu phần lớn gánh nặng liên quan đến chứng thực RA để làm việc liên kết với CA Đề xuất sử dụng URL cụ thể điện thoại di động / MHA cho tải xuống chứng thực / xác minh thông qua thư mục CA giải nhớ yêu cầu lưu trữ chứng thực người khác Phân tích bảo mật, hiệu xử lý so sánh đề án đề xuất với đề án PKI thực 33 tìm thấy M-PKI đề xuất bảo mật tốt phù hợp với điện thoại di động với ứng dụng TÀI LIỆU THAM KHẢO 1, Critchlow, D & Zhang, N (2004) “Security enhanced accountable anonymous PKI certificates for mobile e commerce” Computer Networks, Vol 45, pp 483–503 2, Schwingenschlogl, C., Eichler, S & Muller-Rathgeber, B (2006) Performance of PKI-based security mechanisms in mobile ad hoc networks”, International Journal of Electronics and Communications, Vol 60, pp 20–24 3, Lam, K Y., Chung, S L., Gu, M & Sun, J G (2003) “Lightweight security for mobile commerce transactions”, Computer Communications, Vol 26, pp 2052-2060 4, Lee, J., Lee Y & Song, J (2001) “Wireless PKI Technology in Korea”, Proc of the First International Workshop for Asian PKI, Korea, Vol 1, pp 145-158 5, Myers, M., Ankney, R., Malpani, A., Galperin, S & Adams, C (1999) “X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP: IETF RFC2560”, IETF Network Working Group 6, OMA, (2001) “Wireless Application Protocol - Wireless Public Key Infrastructure”, WAP-217-WPKI 34 ... biến thiết bị di động dẫn dến thực tế giao dịch điện tử thực nhiều thiết bị di động, điều địi hỏi cần phải có bảo mật đủ mạnh để bảo vệ giao dịch điện tử thực thiết bị di động Để giải vấn đề vậy,... gán cho CA URL / Tên đường dẫn chứng thư mục gửi cho người dùng giao dịch tương lai với máy chủ khác giảm tải cho thiết bị không dây thiết bị di động điện thoại Bất giao dịch xảy điện thoại di động. .. gửi phản hồi tới điện thoại di động để thực giao dịch tương lai với thiết bị di động, làm giảm giao dịch tương lai Như hình I.5, máy chủ nhận URL chứng thực thiết bị di động, gửi đến máy chủ OCSP