TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN

ĐỀ TÀI
NGHIÊN CỨU GIẢI PHÁP CHỨNG THỰC CHÉO CHO
CÁC HỆ THỐNG CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
(PKI) ĐỘC LẬP

Hà Nội - Năm 2016


TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN

NGUYỄN THU PHƯƠNG

NGHIÊN CỨU GIẢI PHÁP CHỨNG THỰC CHÉO CHO
CÁC HỆ THỐNG CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
(PKI) ĐỘC LẬP
Chuyên ngành

: Công nghệ Thông tin

Mã ngành

: D480201

NGƯỜI HƯỚNG DẪN: TS. HÀ MẠNH ĐÀO

Hà Nội - Năm 2016

MỤC LỤC
MỞ ĐẦU ..................................................................................................................................................1
CHƯƠNG 1: LÝ THUYẾT TỔNG QUÁT ...........................................................................................3
Khái niệm hạ tầng khóa công khai (PKI) ....................................................................................... 3
1.2. Các thành phần cơ bản của hạ tầng khóa công khai ................................................................ 3
1.2.1. Cấp phát chứng thư số (CA)............................................................................................. 3
1.2.2. Trung tâm đăng ký (RA) .................................................................................................. 4
1.2.3. Trung tâm ủy quyền xác nhận hợp lệ ............................................................................... 4
1.2.4. Kho chứng chỉ .................................................................................................................. 5
1.2.5. Người dùng cuối ............................................................................................................... 5
1.3. Các mô hình hạ tầng khóa công khai ...................................................................................... 5
1.3.1. Mô hình CA đơn ............................................................................................................... 5
1.3.2. Mô hình CA phân cấp....................................................................................................... 6
1.3.3. Mô hình lai ....................................................................................................................... 7
1.4. Chứng thư số ........................................................................................................................... 7
1.4.1. X.509 phiên bản 1 ............................................................................................................ 8
1.4.2. X.509 phiên bản 2 ............................................................................................................ 9
1.4.3. X.509 phiên bản 3 .......................................................................................................... 10
1.5. Chữ ký số .............................................................................................................................. 15
1.6. Quy trình hoạt động của PKI................................................................................................. 16
1.6.1. Khởi tạo thực thể cuối .................................................................................................... 16
1.6.2. Tạo cặp khóa .................................................................................................................. 16
1.6.3. Áp dụng chữ ký số để xác định danh tính người gửi...................................................... 16
1.6.4. Mã hóa thông báo ........................................................................................................... 17
1.6.5. Truyền khóa đối xứng .................................................................................................... 17
1.6.6. Kiểm tra định danh người gửi thông qua CA ................................................................. 17
1.6.7. Giải mã thông báo và kiểm tra nội dung ........................................................................ 17
CHƯƠNG 2: NGHIÊN CỨU CÁC MÔ HÌNH CHỨNG THỰC CHÉO.........................................18
2.1. Các mô hình chứng thực chéo ............................................................................................... 18

2.1.1 Chứng thực chéo ngang hàng .......................................................................................... 18
2.1.2. Mô hình CA cầu nối ....................................................................................................... 21
2.1.3. Mô hình danh sách tin cậy web ...................................................................................... 23
2.2. Hiện trạng chứng thực chéo trên thế giới .............................................................................. 24


2.3. Các vấn đề cần giải quyết khi thực hiện chứng thực chéo .................................................... 28
2.4. Hiện trạng PKI tại Việt nam và nhu cầu chứng thực chéo .................................................... 28
CHƯƠNG 3: TRIỂN KHAI THỬ NGHIỆM .....................................................................................32
3.1. Triển khai hệ thống sử dụng EJBCA ..................................................................................... 32
3.1.1. Giới thiệu về EJBCA ...................................................................................................... 32
3.1.2 Mô hình của hệ thống PKI EJBCA ................................................................................. 32
3.1.3 Một số ưu nhược điểm của EJBCA ................................................................................. 34
3.1.4. Lý do chọn EJBCA ........................................................................................................ 34
3.2. Mô hình triển khai .............................................................................................................. 36
3.2.1 Yêu cầu ............................................................................................................................ 36
3.2.3Cấu hình và cài đặt ........................................................................................................... 38
3.3. Triển khai hệ thống sử dụng MSCA...................................................................................... 38
3.3.1. Các mô hình ................................................................................................................... 38
3.3.2. Chuẩn bị trước khi cài đặt MicrosoftCA ........................................................................ 39
3.3.3. Các yêu cầu về kỹ thuật đối với MicrosoftCA ............................................................... 40
3.3.4. Triển khai hệ thống......................................................................................................... 41
3.3.5. Cấu hình và cài đặt ......................................................................................................... 42
3.4. Triển khai chứng thực chéo giữa hai hệ thống EJBCA và MicrosoftCA .............................. 42
3.4.1. Kết quả và hình ảnh demo sau khi cài đặt ...................................................................... 45
3.4.2. Áp dụng chứng thực chéo trên thực tế. ......................................................................... 66
KẾT LUẬN .............................................................................................................................................68
TÀI LIỆU THAM KHẢO .......................................................................................................................69
PHỤ LỤC A ..............................................................................................................................................1
PHỤ LỤC B ..............................................................................................................................................6



LỜI CAM ĐOAN
Em xin cam đoan các kết quả nghiên cứu đưa ra trong đồ án tốt nghiệp này
dựa trên các kết quả thu được trong quá trình nghiên cứu của riêng em, không sao
chép bất kỳ kết quả nghiên cứu nào của các tác giả khác.
Nội dung của đồ án tốt nghiệp có tham khảo và sử dụng một số thông tin, tài
liệu từ các nguồn sách, tạp chí được liệt kê trong danh mục các tài liệu tham khảo
và được sự hướng dẫn của TS. Hà Mạnh Đào.
Nếu phát hiện có bất kỳ sư gian lận nào em xin hoàn toàn chịu trách nhiệm về
nội dung đồ án của mình.
Hà Nội, tháng 6 năm 2016
Người cam đoan

Nguyễn Thu Phương


LỜI CẢM ƠN
Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ
trợ, giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác. Trong suốt
thời gian từ khi bắt đầu học tập tại trường đến nay, em đã hết sức nỗ lực đồng thời
cũng nhận được rất nhiều sự quan tâm, giúp đỡ và ủng hộ của quý Thầy Cô, gia
đình và bạn bè.
Em xin chân thành cảm ơn khoa công nghệ thông tin-trường đại học tài
nguyên và môi trường hà nội đã tạo điều kiện tốt cho em thực hiện đề tài đồ án tốt
nghiệp này.
Em xin tỏ lòng biết ơn sâu sắc quý thầy cô trong trường đã tận tình giảng dạy,
trang bị cho em những kiến thức quý báu trong những năm học vừa qua.
Đặc biệt em xin chân thành cảm ơn TS. Hà Mạnh Đào – trưởng khoa công
nghệ thông tin đã tận tình hướng dẫn, giúp đỡ, chỉ bảo và đóng góp ý kiến cho em

trong suốt thời gian nghiên cứu và thực hiện đề tài này.
Xin cảm ơn các anh chị và bạn bè cùng khóa đã ủng hộ, giúp đỡ và động viên
em tiến bộ trong suốt những năm học qua. Xin cảm ơn gia đình và bè bạn, những
người luôn khuyến khích và giúp đỡ em trong mọi hoàn cảnh khó khăn. Mặc dù em
đã cố gắng hoàn thành đồ án tốt nghiệp trong phạm vi và khả năng cho phép xong
cũng không tránh khỏi những thiếu sót. Em kính mong nhận được sự cảm thông và
tận tình chỉ bảo của quý thầy cô và các bạn.
Em xin chân thành cảm ơn!


DANH MỤC BẢNG
Bảng 3.1: Bảng so sánh EJBCA và OpenCA ........................................................ 35
DANH MỤC HÌNH
Hình 1.1: Các thành phần cơ bản của PKI................................................................ 3
Hình 1.2: Mô hình CA đơn cấp ................................................................................ 6
Hình 1.3: Mô hình CA phân cấp .............................................................................. 6
Hình 1.4: Mô hình lai .............................................................................................. 7
Hình 1.5: Chứng thư số X.509 phiên bản 1 .............................................................. 8
Hình 1.6: Chứng thư số X.509 phiên bản 2 .............................................................. 9
Hình 1.7: Chứng thư số X.509 phiên bản 3 ............................................................ 11
Hình 1.8: Sơ đồ ký và kiểm tra chữ ký số .............................................................. 15
Hình 2. 1: Mô hình chứng thực chéo ngang hàng ................................................... 19
Hình 2. 2: Những dạng chứng thực chéo ngang hàng khác .................................... 20
Hình 2. 3: Chứng thực chéo sử dụng CA cầu nối ................................................... 21
Hình 2. 4: Mô hình CA cầu nối với CA cầu nối là miền tin cậy.............................. 22
Hình 2. 5: Chứng thực chéo sử dụng danh sách tin cậy web .................................. 24
Hình 2. 6: Mô hình hệ thống chứng thực chéo của Mỹ .......................................... 25
Hình 2. 7: Mô hình hệ thống chứng thực chéo của Nhật Bản ................................. 26
Hình 2. 8: Mô Hình chứng chéo của Đài Loan ....................................................... 26
Hình 2. 9: Mô hình chứng thực chéo của Hàn Quốc .............................................. 27

Hình 2.10 Mô hình hiện trạng PKI tại Việt nam ..................................................... 29
Hình 2.11 Mô hình đề xuất .................................................................................... 30
Hình 3.2: Mô hình triển khai đơn giản ................................................................... 37
Hình 3.3: Miền PKICC .......................................................................................... 38
Hình 3.4: Mô hình triển khai MicrosoftCA ............................................................ 42
Hình 3.5: Trang certification authorities ................................................................ 43
Hình 3.6: Tạo chứng thư ........................................................................................ 43
Hình 3.7: Tải yêu cầu chứng thư số ....................................................................... 44
Hình 3.8: Submit yêu cầu ...................................................................................... 44


Hình 3.9: kết quả chứng thực chéo ........................................................................ 45
Hình 3.10 Đăng nhập debian 6 6.5 ......................................................................... 45
Hình 3.11 Thực hiện lệnh đăng nhập vào EJBCA .................................................. 46
Hình 3.12 Đăng nhập lệnh hoàn tất ........................................................................ 46
Hình 3.13 Truy cập vào địa chỉ EJBCA ................................................................. 47
Hình 3.14 Giao diện EJBCA.................................................................................. 47
Hình 3.15 Giao diện Administration của EJBCA ................................................... 48
Hình 3.16 Giao diện đăng nhập tài khoản .............................................................. 48
Hình 3.17 Yêu cầu cấp chứng thư số thành công ................................................... 49
Hình 3.18 Cài đặt chứng thư số ............................................................................. 49
Hình 3.19 Cài đặt chứng thư số ............................................................................. 50
Hình 3.20 Cài đặt chứng thư số ............................................................................. 50
Hình 3.21 Cài đặt chứng thư số thành công ........................................................... 51
Hình 3.22 Window 7 miền PKICC ........................................................................ 51
Hình 3.23 Cài đặt rootCA PKICC .......................................................................... 52
Hình 3.24 Cài đặt rootCA PKICC ......................................................................... 52
Hình 3.25 Cài đặt rootCA PKICC .......................................................................... 53
Hình 3.26 Cài đặt rootCA PKICC thành công ........................................................ 53
Hình 3.27 Cài đặt sub VNPT ................................................................................. 54

Hình 3.28 Cài đặt Sub VNPT ................................................................................ 54
Hình 3.29 Cài đặt sub VNPT thành công ............................................................... 55
Hình 3.30 Cài đặt client ......................................................................................... 55
Hình 3.31 Cài đặt người dùng ................................................................................ 56
Hình 3.32 Cài đặt người dùng thành công.............................................................. 56
Hình 3.33 RootCA miền PKICP ............................................................................ 57
Hình 3.34 Cài đặt PKICP-CA ................................................................................ 57
Hình 3.35 Cài đặt PKICP-CA ................................................................................ 58
Hình 3.36 Cài đặt PKICP-CA thành công .............................................................. 58
Hình 3.37 Kí lên word ........................................................................................... 59
Hình 3.38 Điền thông tin người kí ......................................................................... 59
Hình 3.39 Tạo khung chữ kí .................................................................................. 60


Hình 3.40 Thực hiện kí .......................................................................................... 60
Hình 3.41 Chọn hình chữ kí riêng .......................................................................... 61
Hình 3.42 Chọn hình chữ kí riêng .......................................................................... 61
Hình 3.43 Chọn chứng thư số ................................................................................ 62
Hình 3.44 Chọn chứng thư số ............................................................................... 62
Hình 3.45 Kí thành công ........................................................................................ 63
Hình 3.46 Thông tin cơ bản trên chứng thư số của người kí ................................... 63
Hình 3.47 Thông tin cơ bản trên chứng thư số của người kí ................................... 64
Hình 3.48 View thông tin cơ bản của root CA,Sub CA,Client ............................... 64
Hình 3.49 View thông tin VNPT(subCA)miền PKICC .......................................... 65
Hình 3.50 Xóa cross cert (VNPT cacert)trong Console Root ................................ 65
Hình 3.51 Xóa cross cert (VNPT cacert)trong Console Root ................................. 66
Hình 3.52 Văn bản chữ kí không hợp lệ................................................................. 66
Hình 3.53 Mô hình kê khai thuế qua mạng ............................................................ 67



DANH MỤC TỪ VIẾT TẮT
CA

Certificate Authority

Tổ chức chứng nhận

VA

Validation Authority

Xác nhận thẩm quyền

RA

Registration Authority

Đăng kí thẩm quyền

PKI

Public key Inflastructure

Hạ tầng khóa công khai

CRL

Certificate Revocation List Danh sách hủy bỏ

PKICC


Hệ thống khóa công khai
công cộng

PKICP

Hệ thống khóa công khai
chính phủ