ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
===
===

LƯƠNG VIỆT NGUYÊN

CHỮ KÝ SỐ TRONG THẺ THÔNG MINH
VÀ ỨNG DỤNG XÁC THỰC

LUẬN VĂN THẠC SỸ

HÀ NỘI – 2008


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
===
===

LƯƠNG VIỆT NGUYÊN

CHỮ KÝ SỐ TRONG THẺ THÔNG MINH
VÀ ỨNG DỤNG XÁC THỰC

Ngành: Công nghệ thông tin
Mã số: 1.01.10

LUẬN VĂN THẠC SỸ

NGƯỜI HƯỚNG DẪN KHOA HỌC

PGS. TS. TRỊNH NHẬT TIẾN

HÀ NỘI - 2008


LỜI CAM ĐOAN
Tôi xin cam đoan toàn bộ nội dung bản luận văn này là do tôi tự sưu
tầm, tra cứu và phát triển đáp ứng nội dung yêu cầu của đề tài.
Nội dung bản luận văn chưa từng được công bố hay xuất bản dưới
bất kỳ hình thức nào và cũng không được sao chép từ bất kỳ một công
trình nghiên cứu nào.
Toàn bộ ứng dụng thử nghiệm đều do tôi tự thiết kế và xây dựng.
Nếu sai tôi xin hoàn toàn chịu trách nhiệm.
Hà nội, tháng 11 năm 2008
Người cam đoan

Lương Việt Nguyên

i


LỜI CẢM ƠN
Lời đầu tiên, tôi xin được gửi lời cảm ơn chân thành nhất tới thầy
giáo PGS.TS. Trịnh Nhật Tiến - người luôn chỉ bảo, hướng dẫn tôi hết sức
nghiêm khắc và tận tình, cung cấp những tài liệu quý báu, giúp đỡ tôi
trong suốt quá trình học tập và xây dựng luận văn.
Tôi xin chân thành cảm ơn các Thầy, Cô giáo và các bạn đồng
nghiệp trong khoa Công nghệ thông tin và Ban giám hiệu, các cán bộ
trường Đại học Công nghệ, Đại học Quốc gia Hà Nội đã luôn nhiệt tình
giúp đỡ và tạo điều kiện tốt nhất cho tôi trong suốt quá trình học tập.

Xin chân thành cảm ơn các anh, các chị và các bạn học viên lớp Cao
học K11T3 - Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội đã
luôn động viên, giúp đỡ và nhiệt tình chia sẻ với tôi những kinh nghiệm
học tập, công tác trong suốt khóa học.
Mặc dù đã có nhiều cố gắng, song do sự hạn hẹp về thời gian, điều
kiện nghiên cứu và trình độ, luận văn không tránh khỏi những khiếm
khuyết. Tôi chân thành mong nhận được sự đóng góp ý kiến của các thầy,
cô giáo và đồng nghiệp gần xa.
Hà nội, tháng 11 năm 2008
Người thực hiện luận văn

Lương Việt Nguyên

ii


MỤC LỤC
TỔNG QUAN VỀ THẺ THÔNG MINH.......................................................1

Ch

ng 1:
1.1.

GIỚI THIỆU THẺ THÔNG MINH .......................................................................... 1

1.1.1.

Ưu nhược điểm và tính khả thi thẻ thông minh ......................................3

1.1.1.1.


Ưu điểm: ....................................................................................................... 3

1.1.1.2.

Nhược điểm: ................................................................................................. 4

1.1.1.3.

Tính khả thi: ................................................................................................. 4

1.1.2.

Phân loại thẻ.............................................................................................5

1.1.3.

Các chuẩn cho Smart Card......................................................................8

1.2.

CẤU TẠO THẺ THÔNG MINH............................................................................. 10

1.2.1.

Cấu trúc vật lý........................................................................................10

1.2.1.1.

Các điểm tiếp xúc ........................................................................................ 10


1.2.1.2.

Bộ xử lý trung tâm trong thẻ thông minh .................................................... 11

1.2.1.3.

Bộ đồng xử lý trong thẻ thông minh............................................................ 11

1.2.1.4.

Hệ thống bộ nhớ của thẻ thông minh.......................................................... 12

1.2.2.

Giao tiếp truyền thông với thẻ thông minh ...........................................12

1.2.2.1.

Thiết bị chấp nhận thẻ và các ứng dụng máy chủ ....................................... 12

1.2.2.2.

Mô hình truyền thông với thẻ thông minh................................................... 13

1.2.2.3.

Giao thức APDU ......................................................................................... 13

1.2.2.4.


Mã hoá bit (bit encoding) ............................................................................ 15

1.2.2.5.

Giao thức TPDU ......................................................................................... 15

1.2.2.6.

Thông điệp trả lời để xác lập lại (ATR) ....................................................... 17

1.2.3.

Hệ điều hành thẻ thông minh ................................................................17

1.2.4.

Các File hệ thống trong thẻ thông minh................................................17

1.2.4.1.

Thư mục gốc (Master File - MF) ................................................................ 17

1.2.4.2.

Thư mục chuyên dụng (Dedicated File - DF).............................................. 18

1.2.4.3.

File cơ bản (Elementary File - EF) ............................................................. 18


1.2.5.

Truy cập File ..........................................................................................19

1.2.5.1.

Định danh file............................................................................................. 19

1.2.5.2.

Các phương thức lựa chọn file.................................................................... 19

1.2.5.3.

Điều kiện truy cập file................................................................................. 20

1.2.5.4.

Lệnh thao tác với thẻ................................................................................... 21

1.2.6.

Quá trình sản xuất một Smart Card .....................................................24

iii


1.3.

ỨNG DỤNG THẺ THÔNG MINH ......................................................................... 25


1.3.1.

1.3.1.1.

Quy trình phát triển ứng dụng cho Smart Card........................................... 25

1.3.1.2.

Các công cụ phát triển ứng dụng cho Smart Card ...................................... 26

1.3.1.3.

Công cụ cho ứng dụng phía thẻ .................................................................. 26

1.3.2.

Ứng dụng phía thiết bị đọc thẻ (reader) ................................................27

1.3.2.1.

Các giao diện ứng dụng chuẩn phía reader................................................. 27

1.3.2.2.

Chuẩn PC/SC.............................................................................................. 28

1.3.2.3.

Kiến trúc PC/SC.......................................................................................... 28


1.3.2.4.

ICC Resource Manager............................................................................... 30

1.3.2.5.

ICCSP ......................................................................................................... 32

1.3.2.6.

Các chuẩn khác........................................................................................... 33

1.3.3.

Ứng dụng phía thẻ..................................................................................34

1.3.3.1.

Các khía cạnh trong phát triển ứng dụng.................................................... 34

1.3.3.2.

Tập các hàm API......................................................................................... 35

1.3.4.

1.4.

Phát triển ứng dụng cho Smart Card....................................................25


Một số ứng dụng trong thẻ thông minh.................................................37

1.3.4.1.

Thẻ thông minh trong hệ thống thu lệ phí (cầu, đường) điện tử.................. 37

1.3.4.2.

Thẻ thông minh trong chữ ký số (Digital Signature) ................................... 38

1.3.4.3.

Thẻ thông minh trong hệ thống trả tiền điện tử .......................................... 40

TÓM TẮT CHƯƠNG ............................................................................................. 42
TỔNG QUAN VỀ HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI (PKI) ...........43

Ch

ng 2:
2.1.

KHÁI NIỆM VỀ PKI .............................................................................................. 43

2.2.

CƠ SỞ KHOA HỌC VỀ PKI .................................................................................. 44

2.2.1.

Các thành phần kỹ thuật cơ bản của PKI.............................................44


2.2.1.1.

Mã hóa........................................................................................................ 44

2.2.1.2.

Ký số ........................................................................................................... 48

2.2.1.3.

Chứng chỉ số ............................................................................................... 59

2.2.2.

Lợi ích của chứng chỉ số.........................................................................61

2.2.2.1.

Đảm bảo tính xác thực ................................................................................ 61

2.2.2.2.

Mã hóa........................................................................................................ 62

2.2.2.3.

Chống giả mạo ............................................................................................ 62

2.2.2.4.


Chống chối cãi nguồn gốc........................................................................... 62

2.2.2.5.

Đảm bảo phần mềm .................................................................................... 62

2.2.2.6.

Phân phối khóa an toàn .............................................................................. 63

2.2.2.7.

Bảo mật Website.......................................................................................... 64

2.2.2.8.

Xử lý độc lập tại máy khách ........................................................................ 64
iv


2.2.3.

2.3.

Công nghệ để xây dựng PKI và giao thức ............................................65

2.2.3.1.

Công nghệ OpenCA .................................................................................... 65


2.2.3.2.

Công nghệ SSL ........................................................................................... 66

2.2.3.3.

Giao thức truyền tin an toàn tầng liên kết dữ liệu (Data Link).................... 70

2.2.3.4.

Giao thức truyền tin an toàn tầng ứng dụng(Application)........................... 72

2.2.3.5.

Một số công nghệ bảo mật và an toàn thông tin trên thế giới ...................... 74

GIẢI PHÁP XÂY DỰNG PKI................................................................................. 75

2.3.1.

Hành lang pháp lý để xây dựng và ứng dụng PKI. ...............................75

2.3.2.

Giải pháp công nghệ xây dựng PKI hiện nay........................................77

2.4.

CÁC ĐỐI TƯỢNG CƠ BẢN CỦA HỆ THỐNG PKI ............................................. 78


2.4.1.

Chủ thể và các đối tượng sử dụng .........................................................78

2.4.2.

Đối tượng quản lý thẻ xác thực..............................................................79

2.4.3.

Đối tượng quản lý đăng ký thẻ xác thực................................................80

2.5.

CÁC HOẠT ĐỘNG CƠ BẢN TRONG HỆ THỐNG PKI ...................................... 81

2.5.1.

Mô hình tổng quát của hệ thống PKI ....................................................81

2.5.1.1.

Thiết lập các thẻ xác thực............................................................................ 81

2.5.1.2.

Khởi tạo các EE .......................................................................................... 82

2.5.2.


Các hoạt động liên quan đến thẻ xác thực.............................................82

2.5.2.1.

Đăng ký và xác thực ban đầu ...................................................................... 82

2.5.2.2.

Cập nhật thông tin về cặp khóa................................................................... 82

2.5.2.3.

Cập nhật thông tin về thẻ xác thực.............................................................. 83

2.5.2.4.

Cập nhật thông tin về cặp khóa của CA ...................................................... 83

2.5.2.5.

Yêu cầu xác thực ngang hàng ..................................................................... 83

2.5.2.6.

Cập nhật thẻ xác thực ngang hàng.............................................................. 83

2.5.3.

Phát hành thẻ và danh sách thẻ bị hủy bỏ.............................................84


2.5.4.

Các hoạt động phục hồi..........................................................................84

2.5.5.

Các hoạt động hủy bỏ ............................................................................84

2.6.

NHỮNG VẤN ĐỀ CƠ BẢN TRONG XÂY DỰNG HỆ THỐNG PKI.................... 85

2.6.1.

Các mô hình tổ chức hệ thống CA.........................................................85

2.6.1.1.

Kiến trúc phân cấp ...................................................................................... 85

2.6.1.2.

Kiến trúc hệ thống PKI mạng lưới .............................................................. 87

2.6.1.3.

Kiến trúc danh sách tin cậy......................................................................... 88

2.6.2.


Những chức năng bắt buộc trong quản lý PKI .....................................90

2.6.2.1.

Khởi tạo CA gốc.......................................................................................... 90

2.6.2.2.

Khởi tạo các CA thứ cấp.............................................................................. 90
v


2.7.

2.6.2.3.

Cập nhật khóa của CA gốc.......................................................................... 91

2.6.2.4.

Tạo lập CRL................................................................................................ 91

2.6.2.5.

Yêu cầu về thông tin hệ thống PKI.............................................................. 91

2.6.2.6.

Xác thực ngang hàng .................................................................................. 91


2.6.2.7.

Khởi tạo các EE .......................................................................................... 92

2.6.2.8.

Yêu cầu xác thực......................................................................................... 92

2.6.2.9.

Cập nhật khóa............................................................................................. 92

THẺ XÁC NHẬN THEO CHUẨN X.509................................................................ 93

2.7.1.

Khuôn Dạng Chứng Chỉ X.509..............................................................93

2.7.2.

Các trường cơ bản của thẻ xác thực ......................................................94

2.7.2.1.

Trường tbsCertificate .................................................................................. 94

2.7.2.2.

Trường signatureAlgorithm ........................................................................ 95


2.7.2.3.

Trường signatureValue ............................................................................... 95

2.7.3.

Cấu trúc TBSCertificate ........................................................................96

2.7.3.1.

Trường version............................................................................................ 96

2.7.3.2.

Trường serialNumber.................................................................................. 96

2.7.3.3.

Trường signature ........................................................................................ 97

2.7.3.4.

Trường issuer.............................................................................................. 97

2.7.3.5.

Trường validity............................................................................................ 98

2.7.3.6.


Trường subject ............................................................................................ 98

2.7.3.7.

Trường subjectPublicKeyInfo ..................................................................... 99

2.7.3.8.

Trường uniqueIdentifiers............................................................................ 99

2.7.3.9.

Trường extensions....................................................................................... 99

2.7.4.

Các phần mở rộng của thẻ xác thực X.509............................................99

2.7.4.1.

Phần mở rộng Authority Key Identifier....................................................... 99

2.7.4.2.

Phần mở rộng Subject Key Identifier ........................................................ 100

2.7.4.3.

Phần mở rộng Key Usage.......................................................................... 100


2.7.4.4.

Mục đích sử dụng khóa mở rộng (Extended Key Usage)........................... 102

2.7.4.5.

Phần mở rộng Private Key Usage Period................................................... 102

2.7.4.6.

Phần mở rộng Certificate Policies............................................................. 102

2.7.4.7.

Phần mở rộng Policy Mappings ................................................................ 103

2.7.4.8.

Phần mở rộng Subject Alternative Name .................................................. 104

2.7.4.9.

Phần mở rộng Issuer Alternative Names................................................... 105

2.7.4.10.

Phần mở rộng Subject Directory Attributes ............................................. 105

2.7.4.11.


Phần mở rộng Basic Constraints............................................................. 105

2.7.4.12.

Phần mở rộng Name Constraints ............................................................ 106
vi


2.8.

2.7.4.13.

Phần mở rộng Policy Constraints............................................................ 106

2.7.4.14.

Phần mở rộng Extended key usage field.................................................. 107

2.7.4.15.

Phần mở rộng CRL Distribution Points .................................................. 108

2.7.4.16.

Các trường mở rộng cho Internet ............................................................ 109

PKI VÀ THẺ THÔNG MINH............................................................................... 109

2.8.1.


Luật pháp .............................................................................................109

2.8.2.

Mối quan hệ giữa công nghệ, ứng dụng và luật pháp .........................110

2.9.

TÓM TẮT CHƯƠNG ........................................................................................... 111
ỨNG DỤNG THẺ THÔNG MINH TRONG ĐÀO TẠO TRỰC TUYẾN ...112

Ch

ng 3:
3.1.

GIỚI THIỆU ......................................................................................................... 112

3.2.

TỔNG QUAN HỆ THỐNG HỌC TRỰC TUYẾN (E-LEARNING)........................ 113

3.3.

RỦI RO LIÊN QUAN VỚI HỆ THỐNG E-LEARNING ......................................... 115

3.4.

VẤN ĐỀ AN TOÀN TRONG MÔI TRƯỜNG HỌC TRỰC TUYẾN?................. 116

3.5.


GIAO DỊCH AN TOÀN TRÊN INTERNET ........................................................ 116

3.6.

CÁC CHỦ THỂ THAM GIA VÀO HỆ THỐNG THẺ THÔNG MINH................ 119

3.7.

GIẢI PHÁP TÍCH HỢP THẺ THÔNG MINH TRONG HỌC TRỰC TUYẾN.... 119

3.7.1.

Mô hình kết hợp ngoài và mô hình kết hợp trong...............................119

3.7.2.

Mô hình cấp chứng chỉ đơn giản .........................................................121

3.7.3.

Mô hình sử dụng thẻ thông minh phân bố rộng..................................121

3.8. XÁC THỰC SỬ DỤNG THẺ THÔNG MINH VÀ GIAO THỨC SSL TRONG ĐÀO
TẠO TRỰC TUYẾN...................................................................................................................... 122

3.8.1. Thiết kế hệ thống đảm bảo tính bảo mật thông tin với chữ ký số kết
hợp giao thức SSL .........................................................................................................122
3.8.2. Nâng cấp thiết kế SSL bằng thẻ thông minh thương mại (Commercial
Smart Card Token) .......................................................................................................126

3.8.3.

Quy trình xác thực sử dụng Ikey 2000 Token trong đào tạo trực tuyến
126

3.8.4.

Sơ đồ chuyển chế độ của LMS và CMS trong quy trình xác thực......130

3.9.

TÓM TẮT CHƯƠNG ........................................................................................... 134
THỬ NGHIỆM GIẢI PHÁP....................................................................135

Ch

ng 4:
4.1.

CÁC CÔNG CỤ DÙNG TRONG HỆ THỐNG..................................................... 135

4.1.1.

Các công cụ quản trị hệ thống .............................................................135

4.1.1.1.

Công cụ quản lý người sử dụng ................................................................ 135

4.1.1.2.

Công cụ tạo và quản lý chính sách............................................................ 135


4.1.1.3.

Công cụ quản lý danh sách thẻ xác nhận.................................................. 136

4.1.1.4.

Công cụ quản lý các sự kiện đối với hệ thống ........................................... 136

vii


4.1.2.

Lưu trữ dữ liệu.....................................................................................137

4.1.2.1.

Lưu thông tin quản lý đối tượng sử dụng chương trình ............................ 137

4.1.2.2.

Lưu thông tin chính sách về thẻ xác nhận ................................................ 137

4.1.2.3.

Lưu trữ thông tin về thẻ xác nhận............................................................. 138

4.1.3.


Chức năng mã hoá dữ liệu ...................................................................138

4.1.3.1.

Sự cần thiết của chức năng....................................................................... 138

4.1.3.2.

Định hướng xây dựng ............................................................................... 138

4.1.3.3.

Lưu đồ thuật toán thực hiện...................................................................... 139

4.1.4.

Các thành phần của PKI/Smartcard...................................................140

4.1.4.1.

Đầu đọc thẻ thông minh............................................................................ 140

4.1.4.2.

Thẻ Mifare dùng trong hệ thống ............................................................... 141

4.1.4.3.

4.1.5.


Giải pháp ứng dụng trong hệ thống đào tạo trực tuyến.......................... 142

Những yêu cầu về sử dụng hệ thống thẻ thông minh ..........................144

4.2.

ĐÁNH GIÁ MÔ HÌNH KẾT HỢP........................................................................ 145

4.3.

MỘT SỐ KẾT QUẢ THỬ NGHIỆM.................................................................... 147

4.4.

TÓM TẮT CHƯƠNG ........................................................................................... 150

viii


Chương 4: THỬ NGHIỆM GIẢI PHÁP
4.1.

CÁC CÔNG CỤ DÙNG TRONG HỆ THỐNG

4.1.1.

Các công cụ quản trị hệ thống

Các công cụ quản trị hệ thống được đề cập ở đây chủ yếu được áp dụng
cho CA. Những công cụ này là những thành phần bổ trợ cho người quản trị hệ

thống. Chúng được xây dựng để dành cho những người quản trị ở các mức khác
nhau. Các mức quản trị được dựa trên kiểu đối tượng được xác định khi đăng
nhập vào hệ thống.
4.1.1.1.

Công c qu n lý ng
i s d ng

Trong thực tế, việc hạn chế quyền sử dụng các công cụ là rất cần thiết,
nhất là những công cụ thực hiện chức năng của CA. Do vậy, dù chỉ là một
chương trình đơn giản để thể hiện chức năng của hệ thống thì ta cũng cần xây
dựng một công cụ quản lý đối tượng sử dụng của chương trình. Việc phân quyền
đối với công cụ này thực chất chỉ cần thiết ở phía CA, ta sẽ tập trung thực hiện
chức năng đối với hệ thống này rồi từ đó thừa kế các chức năng đã thực hiện
được và áp dụng cho EE. Ta sẽ đảm bảo để chỉ người quản trị cao nhất mới có
thể sử dụng công cụ này.
4.1.1.2.

Công c t o và qu n lý chính sách

Công cụ này cũng chỉ được cung cấp cho đối tượng quản trị mức cao
nhất. Các đối tượng quản trị mức thấp hơn không thể sử dụng công cụ này. Đây
chỉ là một cách phân quyền đơn giản. Trong thực tế, việc phân quyền đối với quá
trình thiết lập chính sách phụ thuộc vào nhiều yếu tố khác nhau, nhất là đặc điểm
của tổ chức sử dụng hệ thống PKI.
Trong một hệ thống được triển khai đầy đủ, công cụ này giúp người quản
trị có thể thiết lập và quản lý tất cả các chính sách đối với hệ thống PKI. Trong
hệ thống ta triển khai, công cụ này chỉ nhằm minh họa về việc thiết lập và quản
trị các chính sách của hệ thống. Ta sẽ đề cập tới hai chính sách cơ bản là:
o Chính sách về thời gian sống của thẻ xác nhận
Chính sách về thời gian sống của thẻ xác nhận định ra một thẻ xác nhận

được phép tồn tại bao lâu và trong khoảng thời gian nào. Nghĩa là, sẽ có một thời
điểm chặn trên và một thời điểm chặn dưới cho thời gian sống của thẻ xác nhận.
Thời gian sống của thẻ xác nhận chỉ nằm trọn trong miền này. Như vậy, chính
sách về thời gian sống của thẻ xác nhận sẽ gồm các tiêu chuẩn sau:

135


-

Thời điểm chặn dưới

-

Thời điểm chặn trên

-

Khoảng thời gian sống

o Chính sách về phạm vi sử dụng của khoá trong thẻ xác nhận
Chính sách về phạm vị sử dụng khoá sẽ xác định cặp khoá của đối tượng
được cấp thẻ xác nhận sẽ được sử dụng trong mục đích gì. Trong ứng dụng ta có
một số ứng dụng của các cặp khoá như sau:
-

Khoá để tạo chữ ký số.

-


Khoá để mã hoá dữ liệu.

-

Khoá để mã hoá khoá phiên.

-

Khoá để chống bác bỏ.

-

Khoá tạo cho các hàm phân tách.

-

Khoá để ký các CRL trong chế độ offline.

-

Khoá để thoả thuận khoá phiên.

4.1.1.3.

Công c qu n lý danh sách th xác nh n

Công cụ này được tạo ra cho tất cả những người quản trị hệ thống ở các
mức phân quyền khác nhau. Với công cụ này, người quản trị có thể biết được
hiện hệ thống đang lưu bao nhiêu thẻ xác nhận và thông tin chi tiết về từng thẻ.
Công cụ này cũng cho phép người quản trị xoá những thẻ xác nhận khi cần thiết.

Giải pháp để thực hiện công cụ này là đồng bộ thông tin thẻ xác nhận lưu
trong file và những thông tin được hiển thị. Ngoài ra, vấn đề chỉ đọc các thông
tin từ file, đưa vào danh sách thẻ xác nhận để quản lý khi công cụ được sử dụng.
Khi người quản trị không dùng công cụ này nữa, hệ thống sẽ cập nhật lại thông
tin thẻ xác nhận vào file và hủy danh sách đang lưu đi. Việc hủy bỏ thông tin
không còn được sử dụng là rất cần thiết trong các hệ thống an toàn an ninh. Nếu
những thông tin không còn được sử dụng vẫn tồn tại thì sẽ gây tốn bộ nhớ hệ
thống và tạo thêm những kẽ hở để hệ thống bị tấn công.
4.1.1.4.

Công c qu n lý các s ki n đ i v i h th ng

Công cụ này cho phép những người quản trị có thể biết được những gì đã
xảy ra đối với hệ thống. Những sự kiện được lưu lại bao gồm các thao tác của
người quản trị (kể cả việc khởi động và dừng hệ thống), những phiên làm việc
với các EE hoặc các CA khác. Với công cụ này, người quản trị có thể biết được
những gì đã xảy ra đối với hệ thống, nó giúp cho họ tìm hiểu được nguyên nhân
dẫn đến trục trặc của hệ thống dựa trên các tác động đã xảy ra.
136


Thank you for evaluating AnyBizSoft PDF Splitter.
A watermark is added at the end of each output PDF file.

To remove the watermark, you need to purchase the software from

/>