ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

VŨ VĂN TRIỆU

XÂY DỰNG HỆ THỐNG QUẢN LÝ CHỨNG CHỈ DỰA TRÊN CÔNG
NGHỆ SSL VÀ IAIK

LUẬN VĂN THẠC SĨ CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN

NGƢỜI HƢỚNG DẪN: PGS.TS.TRỊNH NHẬT TIẾN

NĂM 2007

1


LỜI CAM ĐOAN
Tôi xin cam đoan luận văn này do tôi tự nghiên cứu, tìm hiểu và tổng hợp
từ nhiều nguồn tài liệu khác nhau. Luận văn tốt nghiệp là kết quả của quá trình
học tập, nghiên cứu và thực hiện hoàn toàn nghiêm túc, trung thực của bản thân.
Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng và được trích dẫn hợp pháp.
Tôi xin hoàn toàn chịu trách nhiệm về nội dung và sự trung thực trong luận văn
tốt nghiệp Thạc sĩ của mình

MỤC LỤC
LỜI CẢM ƠN .......................................................................................................................... 5
CÁC THUẬT NGỮ VIẾT TẮT ............................................................................................. 6
2

MỞ ĐẦU................................................................................................................................... 9
Chƣơng 1. CÁC KHÁI NIỆM CƠ BẢN.................................. Error! Bookmark not defined.
1.1. HỆ MÃ HÓA KHÓA ĐỐI XỨNG (Symmetric Key Cryptosystems)
Error! Bookmark not defined.
1.1.3 Hệ mã hóa RC2 ......................................................... Error! Bookmark not defined.
1.1.4. Hệ mã hóa RC4 ......................................................... Error! Bookmark not defined.
1.1.5. Hệ mã hóa IDEA ....................................................... Error! Bookmark not defined.
1.1.6. Giao thức trao đổi khóa ........................................... Error! Bookmark not defined.
1.2. HỆ MÃ HÓA KHÓA CÔNG KHAI
Error! Bookmark not defined.
1.2.1. Khái niệm mã hóa công khai ................................... Error! Bookmark not defined.
1.2.2. Hệ mã hóa RSA ......................................................... Error! Bookmark not defined.
1.2.3. Các vấn đề liên quan đến hệ mã hóa RSA.............. Error! Bookmark not defined.
1.3. GIAO THỨC SSL
Error! Bookmark not defined.
1.3.1. Giới thiệu giao thức SSL .......................................... Error! Bookmark not defined.
1.3.2. Vị trí của tầng giao thức SSL .................................. Error! Bookmark not defined.
1.3.3. Hoạt động của giao thức SSL .................................. Error! Bookmark not defined.
Chƣơng 2. VẤN ĐỀ CÔNG NGHỆ CỦA.............................. Error! Bookmark not defined.
CƠ SỞ HẠ TÂNG MẬT MÃ KHÓA CÔNG KHAI ............. Error! Bookmark not defined.
2.1. GIỚI THIỆU
Error! Bookmark not defined.
2.1.1. Khái niệm cơ sở hạ tầng mật mã khóa công khai. . Error! Bookmark not defined.
2.1.2. Tình hình sử dụng chứng chỉ khóa công khai ....... Error! Bookmark not defined.
2.2. CHỨNG CHỈ KHÓA CÔNG KHAI
Error! Bookmark not defined.
2.2.1. Định dạng X.509 của chứng chỉ số .......................... Error! Bookmark not defined.
2.2.2. Đƣờng chứng thực và sự tin tƣởng ......................... Error! Bookmark not defined.
2.2.3. Các trƣờng cơ bản của một chứng chỉ số ............... Error! Bookmark not defined.
2.2.3.1 Trƣờng tbsCertificate......................................... Error! Bookmark not defined.

2.2.3.2. Trƣờng signatureAlgorithm ............................. Error! Bookmark not defined.
2.2.3.3. Trƣờng signatureValue .................................... Error! Bookmark not defined.
2.2.3.4. Trƣờng version ................................................. Error! Bookmark not defined.
2.2.3.5. Trƣờng serialNumber ...................................... Error! Bookmark not defined.
2.2.3.6. Trƣờng signature .............................................. Error! Bookmark not defined.
2.2.3.7. Trƣờng issuer .................................................... Error! Bookmark not defined.
2.2.3.8. Trƣờng validity ................................................. Error! Bookmark not defined.
2.2.3.9. Trƣờng subject .................................................. Error! Bookmark not defined.
2.2.3.10. Trƣờng subjectPublicKeyInfo ........................ Error! Bookmark not defined.
2.2.4. Định dạng PEM của chứng chỉ số ........................... Error! Bookmark not defined.
2.2.5. Mô hình quản lý chứng chỉ số................................. Error! Bookmark not defined.
2.2.5.1. Đối tƣợng sử dụng ............................................ Error! Bookmark not defined.
2.2.5.2. Thành phần CA ................................................. Error! Bookmark not defined.
2.2.5.3. Thành phần RA ................................................ Error! Bookmark not defined.
2.2.5.4. Kho thông tin .................................................... Error! Bookmark not defined.
2.2.5.5. CRL Ủy quyền .................................................. Error! Bookmark not defined.
2.2.6. Các chức năng quản lý chứng chỉ số ..................... Error! Bookmark not defined.
2.2.6.1. Đăng ký .............................................................. Error! Bookmark not defined.
3


2.2.6.2. Khởi tạo ............................................................. Error! Bookmark not defined.
2.2.6.3. Chứng thực ........................................................ Error! Bookmark not defined.
2.2.6.4. Phục hồi cặp khóa ............................................. Error! Bookmark not defined.
2.2.6.5. Cập nhật cặp khóa ............................................ Error! Bookmark not defined.
2.2.6.6. Yêu cầu thu hồi ................................................. Error! Bookmark not defined.
2.2.6.7. Chứng thực chéo ............................................... Error! Bookmark not defined.
2.2.6.8. Các chức năng thêm ......................................... Error! Bookmark not defined.
2.2.7. Các giao thức quản lý chứng chỉ số........................ Error! Bookmark not defined.
Chƣơng 3. THỬ NGHIỆM XÂY DỰNG HỆ THỐNG QUẢN LÝ CHỨNG CHỈ SỐ

..................................................................................................... Error! Bookmark not defined.
3.1. TỔNG QUAN
Error! Bookmark not defined.
3.2. YÊU CẦU
Error! Bookmark not defined.
3.3. PHÂN TÍCH
Error! Bookmark not defined.
3.3.1. Hoạt động của hệ thống ........................................... Error! Bookmark not defined.
3.3.2. Xem xét hệ thống dƣới góc độ khách hàng sử dụng ........... Error! Bookmark not
defined.
3.3.3. Xem xét hệ thống dƣới góc độ quản trị hệ thống .. Error! Bookmark not defined.
3.3.4. Hiện thực hoá hệ thống CA .................................... Error! Bookmark not defined.
3.4. Công cụ hỗ trợ PKI :IAIK
Error! Bookmark not defined.
3.4.1. Giới thiệu chung về IAIK......................................... Error! Bookmark not defined.
3.4.2. Sử dụng IAIK xây dựng hệ thống ........................... Error! Bookmark not defined.
3.5 HỆ THỐNG QUẢN LÝ CHỨNG CHỈ SỐ
Error! Bookmark not defined.
3.5.1. Mô hình phân cấp hệ thống ..................................... Error! Bookmark not defined.
3.5.2. Một số chức năng chính của hệ thống..................... Error! Bookmark not defined.
3.5.2.1. Cấp mới .............................................................. Error! Bookmark not defined.
3.5.2.2. Gia hạn hoặc thay thế........................................ Error! Bookmark not defined.
3.5.2.3. Xem trạng thái yêu cầu ..................................... Error! Bookmark not defined.
3.5.2.4. Tìm kiếm, xem trạng thái và lấy chứng chỉ số Error! Bookmark not defined.
3.5.2.5. Xem và cài đặt chuỗi chứng thực ..................... Error! Bookmark not defined.
3.5.2.6. Xem và cài đặt danh sách chứng chỉ số bị thu hồi ........ Error! Bookmark not
defined.
3.5.2.7 Đăng ký thu hồi ................................................... Error! Bookmark not defined.
3.5.2.8 Quản trị hệ thống................................................ Error! Bookmark not defined.
KẾT LUẬN ................................................................................ Error! Bookmark not defined.

TÀI LIỆU THAM KHẢO..................................................................................................... 11
PHỤ LỤC ................................................................................... Error! Bookmark not defined.

4


LỜI CẢM ƠN
Tôi xin chân thành cảm ơn PGS.TS Trịnh Nhật Tiến - người luôn chỉ bảo,
hướng dẫn, cung cấp những tài liệu quý báu, giúp đỡ tôi trong quá trình học tập
và hoàn thành luận văn này.
Tôi xin cám ơn các thầy cô giáo Khoa Công nghệ thông tin - trường Đại học
Công nghệ, các bạn học viên lớp Cao học CNTT và gia đình đã tạo điều kiện,
giúp đỡ tôi về vật chất cũng như luôn cổ vũ tôi trong quá trình học tập và hoàn
thành luận văn.

5


CÁC THUẬT NGỮ VIẾT TẮT
CA – Certification Authority
Thực thể có thẩm quyền chứng thực, là thực thể duy nhất trong PKI có chức
năng cấp chứng chỉ số.
ASN.1 – Abstract Syntax Notation One
Là một ngôn ngữ hình thức mô tả các thông điệp được trao đổi trong một phạm
vi rộng giữa các các dụng trong môi trường Internet, mạng thông minh, mạng di
động, thương mại điện tử…
BER – Basic Encoding Rules
Luật mã hóa cơ bản. Một luật mã hóa được sử dụng trong thập kỷ 80. Nó đơn
giản, thô, những không có hiệu quả.
CRL – Certificate Revocation List

Danh sách các chứng chỉ số bị thu hồi hay không còn hợp lệ.
DER – Distinguished Encoding Rules
Luật mã hóa phân biệt. Luật mã hóa không có sự tùy chọn sẽ đơn giản, thô
nhưng không có hiệu quả. Luật mã hóa DER diễn giải cả các thành phần tùy
chọn, ví dụ: định nghĩa chiều dài hay không, lựa chọn các kiểu.
Digital Certificate
Chứng chỉ số, là một cấu trúc dữ liệu được sử dụng trong PKI để gắn các thông
tin đã được xác thực của một đối tượng vào một khóa công khai của đối tượng
đó. Nó có nhiều cách gọi khác: certificate, public key certificate.
Digital Signature
Chữ ký điện tử, là một kỹ thuật sử dụng mã khóa công khai cho phép không thể
giả mạo một thông điệp.
DSA – Digital Signature Algorithm
Một thuật toán được sử dụng cho công nghệ chữ ký điện tử được định nghĩa bởi
NIST.
LDAP - Lightweight Directory Access Protocol
LDAP là dịch vụ thư mục của IETF đã được dùng rộng rãi trên Internet.
PEM - Privacy Enhanced Mail
PEM là một chuẩn của Internet dùng để trao đổi bảo mật thư tín điện tử.
6


PKI – Public key Cryptography Infrastruture
Cơ sở hạ tầng mã khóa công khai, là hệ thống sử dụng hệ mã khóa công khai
cho việc chứng thực, đảm bảo bí mật và toàn vẹn thông tin.
PKIX - Public key Cryptography Infrastruture X.509
Cơ sở hạ tầng mã khóa công khai dựa trên X.509 do một nhóm của IETF đưa ra
để áp dụng PKI cho Internet.
PKCS – Public key Cryptographic Standards
Các chuẩn của mã hóa khóa công khai. Đây là các chuẩn do RSA Laboratories

định nghĩa.
Private Key Khóa riêng, một trong hai khóa trong cặp khóa trong hệ mã hóa
bất đối xứng.
Public Key Khóa công khai, khóa còn lại trong cặp khóa tương ứng với Private
key.
Message Digest Dạng băm của thông điệp. Phương pháp băm dữ liệu sử dụng
các thuật toán một chiều, từ dữ liệ băm không thể xác định được dữ liệu gốc.
Chiều dài của kết quả băm (tính bằng byte) là cố định đối với mỗi thuật toán
băm.
RA – Registration Authority
Thực thể được CA ủy quyền quản lý việc đăng ký.
RFC – Requests for Comments
Là những công bố chính thức của mạng Internet , đươ ̣c sử du ̣ng từ năm 1969 để
mô tả và tiế p thu những nhâ ̣n xét về các giao thức , thủ tục, chương triǹ h và các
khái niệm.
RSA
Một trong hệ mã khóa công khai đầu tiên, được công bố vào năm 1983. RSA do
3 nhà khoa học Rivest, Shamir và Adleman tìm ra.
X.500
Đây là chuẩn định nghĩa các dịch vụ thư mục, bao gồm cả chứng chỉ số.
X.501
Định nghĩa các trường và giá trị tương ứng trong đăc tả dịch vụ thư mục.
7


X.509
Chuẩn định dạng chứng chỉ số, do ITU ban hành.
Ciphertext Bản mã.
Plaintext Bản rõ.
IAIK

Institute for Applied Information Processing and Communication : Cung cấp
Crypto toolkit viết trên ngôn ngữ Java.

8


MỞ ĐẦU
Cuộc cách mạng công nghệ thông tin.
Sự ra đời và phát triển nhanh chóng của cuộc cách mạng công nghệ thông tin
đã đem lại một năng lực phát triển mới cho xã hội. Mọi người sử dụng máy tính
và tận hưởng thành quả của hệ thống truyền thông một cách vô thức để đạt được
mục đích của mình mà hầu như không cảm nhận rõ rệt sự hiện hữu của chúng.
Điều này khẳng định ảnh hưởng của cuộc cách mạng công nghệ thông tin là rất
sâu đậm, và để lại dấu ấn trên từng hành vi của mỗi cá nhân hàng ngày, hàng
giờ.
Xã hội số hoá.
Vai trò chủ đạo của mạng nói chung và Internet nói riêng là quá rõ ràng trong
nền kinh tế thế giới mới. Trên nó, xã hội số hoá hay còn được biết dưới tên gọi
không gian điều khiển đang hình thành và không ngừng lớn rộng dần. Trong thế
giới ảo này, các phương tiện, nghi thức, quy ước, luật lệ của loài người đang
dần được tái sáng tạo.
An toàn bảo mật.
Một trong những thách thức lớn nhất đối với sự mở rộng tầm ảnh hưởng của
xã hội số hoá trong thời gian gần đây là vấn đề an toàn bảo mật. Nói nôm na là
làm thế nào để ngăn ngừa các hành vi truy nhập bất hợp pháp hoặc chế ngự các
loại tội phạm tin học (điều này có thể dự đoán trước bởi một xã hội không thể
phát triển mà không dựa trên một nền tảng pháp luật). Chúng tồn tại dưới các
dạng nguy cơ khác nhau, từ nghe trộm, sửa đổi trái phép thông tin cho đến giả
mạo, gian lận thương mại...
Đa phần các nguy cơ đều bắt nguồn từ bản chất phân tán của mạng Internet,

nơi các thành viên tham gia không tiếp xúc vật lý trực tiếp với nhau (như trong
thế giới thực) và thông tin giao dịch buộc phải lưu chuyển qua nhiều trạm trung
chuyển không nằm trong sự kiểm soát của cá nhân. Đơn giản, ta tưởng tượng
một giao dịch chuyển tiền trị giá 1.000.000$ chắc sẽ khó lòng được thực hiện
qua mạng nếu không được đảm bảo là không ai có thể xâm nhập để sửa đổi hoặc
nghe trộm thông tin. Như vậy, nhu cầu an toàn bảo mật trên kênh truyền tin là
rất thiết thực và bức xúc, nó đã trở thành một vấn đề thời sự đòi hỏi giải quyết
triệt để và có hệ thống.
9


Chứng chỉ số là một trong các công cụ để thực hiện an toàn và bảo mật
trong hệ thống thông tin .
Các mục tiêu chung của hệ thống bảo mật là đảm bảo:
 Tính bí mật (Secrecy hay Confidential): Tài nguyên chỉ có thể được truy
cập bởi người có thẩm quyền.
 Tính toàn vẹn (Accuracy, Integrity, Authencity): Tài nguyên chỉ được
sửa đổi bởi người có thẩm quyền.
 Tính khả dụng (Avaiability): Tài nguyên (thông tin, dịch vụ) luôn được
sẵn sàng đáp ứng cho người có thẩm quyền.
Vì vậy việc xây dựng Hệ Thống Quản Lý Chứng Chỉ Số là rất cần thiết,
quan trọng và tất yếu. Trên thế giới đã có rất nhiều tổ chức khác nhau xây dựng
hệ thống này như Verisign, GlobalSign , RSASecurity… Do tính tất yếu cho nên
việc xây dựng Hệ Thống Quản Lý Chứng Chỉ Số ở Việt Nam là vô cùng quan
trọng nó đóng một trong những vai trò quyết định đối với sự phát triển công
nghệ thông tin của nước nhà.
Luận văn nghiên cứu xây dựng hệ thống quản lý chứng chỉ số dựa trên công
nghệ SSL và IAIK. Đồng thời cũng đưa ra các giải pháp về công nghệ cho các
ứng dụng thực tế liên quan đến chứng chỉ số.
Luận văn bao gồm 3 chương:

Chƣơng 1: Trình bày về các khái niệm cơ bản: mã hóa đối xứng, mã hóa
khóa công khai, giao thức SSL.
Chƣơng 2: Trình bày một số vấn đề về công nghệ của cơ sở hạ tầng mật mã
khóa công khai.
Chƣong 3: Trình bày về việc thử nghiệm xây dựng hệ thống cung cấp và
quản lý chứng chỉ số.

10


TÀI LIỆU THAM KHẢO
Tài liệu tiếng Việt:
1. GS.TS Phan Đình Diệu, Giáo trình Lý thuyết mật mã và an toàn thông tin.
2. PGS.TS Trịnh Nhật Tiến, Giáo trình An toàn dữ liệu.
Tài liệu tiếng Anh:
1. Secure Electronic Commerce, Building the Infrastructure for Digital
Signatures and Encryption, Second Edition. Warwick Ford, Michael S.
Baum. Prentice Hall PTR, 2001.
2. PKI Implementing and Managing E-Security. Andrew Nash, William Duane,
Celia Joseph, Derek Brink. McGraw-Hill, 2001.
3. Digital Signatures. Mohad Atreya, Benjamin Hammond, Stephen Paine, Paul
Starrett, Stephen Wu. McGraw-Hill, 2001.
4. Internet X.509 Public Key Infrastructure Certificate Policy and Certification
Practices Framework (RFC2527), Internet Engineering Task Force (IETF).
5. Internet X.509 Public Key Infrastructure Qualified Certificates Profile,
Internet Engineering Task Force (IETF).
6. ASN.1 Complete, Prof John Larmouth, Open System Solution, 1999.

11



12