Tải bản đầy đủ (.pdf) (24 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Kỹ thuật lập trình

Nghiên cứu và xây dựng hạ tầng khóa công khai PKI (tt)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (775.44 KB, 24 trang )

HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG
-------------------------------

Đỗ Khắc Hiệu

NGHIÊN CỨU VÀ XÂY DỰNG
HẠ TẦNG KHÓA CÔNG KHAI PKI
Chuyên ngành: Hệ thống thông tin
Mã số: 8480104

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - 2018


Luận văn được hoàn thành tại:
HỌC VIÊN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: PGS. Nguyễn Minh Hiếu

Phản biện 1: PGS.TS. Đỗ Trung Tuấn

Phản biện 2: TS. Hoàng Xuân Dậu

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại
Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: ……..giờ…….ngày ……..tháng……..năm …….

Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông



1
MỞ ĐẦU
1. Lý do chọn đề tài
Ngày nay khi mà cuộc cách mạng công nghệ lần thứ tư đang
diễn ra rộng khắp, cùng với đó là sự phát triển rất nhanh chóng số
lượng các thiết bị thông minh, một mặt đem lại nhiều ứng dụng tiện
lợi, thú vị và dần thay thế các hoạt động truyền thống trong thế giới
thực.Mặt khác nó đặt ra các vấn đề về sự an toàn, tính tin cậy của
những giao dịch trên Internet.
Cơ sở hạ tầng khóa công khai (PKI) có thể đáp ứng, giải
quyết những vấn đề cơ bản nhất cho những yêu cầu về sự an toàn,
tính tin cậy của những giao dịch qua mạng. Dựa trên các dịch vụ cơ
bản về chứng thực số và chữ ký số, một PKI chính là bộ khung của
các chính sách, dịch vụ và phần mềm mã hóa, đáp ứng nhu cầu bảo
mật của người sử dụng.
Đối với Bộ quốc phòng thì đã đặt mục tiêu sẽ xây dựng một
hệ thống có vai trò giống như hệ thống PKI càng sớm càng tốt để
giảm thiểu các thủ tục hành chính, tích kiệm chi phí in ấn và vận
chuyển cũng như phục vụ thật tốt quá trình tự động hóa chỉ huy, điều
hành thực hiện nhiệm vụ.
Chính vì thế mà học viên chọn đề tài “Nghiên cứu và xây
dựng hạ tầng khóa công khai PKI”làm đề tài nghiên cứu.

2. Tổng quan về vấn đề nghiên cứu
Trên cơ sở các yêu cầu đặt ra về sự an toàn và tính tin cậy
của các giao dịch qua mạng Internet thì Hạ tầng khóa công khai PKI
đề tài mà luận văn nghiên cứu cần xác định một số nội dung phải giải
quyết như sau:
- Tìm hiều tổng quan về mật mã.



2
- Tìm hiểu mô hình Hạ tầng khóa công khai PKI, các thành
phần và các thuật toán sử dụng trong xây dựng mô hình PKI, thực
trạng triển khai tại Việt Nam.
- Xây dựng chương trình thử nghiệm của một hệ thống PKI.

3. Mục đích nghiên cứu
3.1. Phần thuyết minh
Trình bày những khái niệm, đặc điểm cơ bản của một hệ
thống PKI.
Nghiên cứu cơ sở lý thuyết về mật mã, bao gồm: tổng quan
về các hệ mật, chữ ký số, hàm băm, sinh khóa, phân phối khóa, mã
hóa và giải mã, chứng chỉ số và giải pháp quản lý.
Nghiên cứu lý thuyết về mô hình trung tâm xác thực, bao
gồm tổng quan mô hình, các thành phần và chức năng cơ bản của
chúng, mô hình xác thực một cấp và đa cấp.
Đi sâu vào tìm hiểu phần mã hóa, giải mã và chữ ký số.

3.2. Phần Thực Nghiệm
Lập trình các modul của hệ thống PKI, tập trung vào phần
mã hóa, giải mã và chữ ký số. Chạy thử nghiệm một hệ thống PKI
với các chức năng cơ bản.

4. Đối tƣợng và phạm vi nghiên cứu
4.1. Đối tượng nghiên cứu:
Hệ thống PKI và các thành phần liên quan

4.2. Phạm vi nghiên cứu:
- Nghiên cứu chuyên sâu Modul mã hóa, giải mã và chữ ký

số.
- Nghiên cứu mô hình CA đơn. Đây lầ mô hình cơ bản và
đơn giản nhất trong hệ thống các mô hình tin cậy của PKI.
- Chạy thử nghiệm hệ thống với các chức năng cơ bản.


3
5. Phƣơng pháp nghiên cứu
- Nghiên cứu lý thuyết: Sử dụng các kỹ năng phân tích và
tổng hợp thông tin kết hợp từ nhiều nguồn như sách, báo, tài liệu trên
Internet với kiến thức nền tảng của bản thân để xây dựng các yêu cầu
mà luận văn đề ra.
- Nghiên cứu thực nghiệm : Bao gồm các nội dung
+ Tìm hiểu hệ thống PKI để xây dựng một mô hình trung tâm
xác thực.
+ Xây dựng hệ thống PKI và vận hành hệ thống với các chức
năng cơ bản.
+ Công cụ thực nghiệm : Sử dụng Ngôn ngữ lập trình C# trên
bộ Visual Studio kết hợp với Hệ Quản trị CSDL SQL Server

6. Bố cục luận văn
Luận văn có bố cục gồm: Phần mở đầu, 3 chương chính,
phần kết luận, tài liệu tham khảo và phụ lục. Được bố trí theo thứ tự:
- Mở đầu.
- Chương 1: Tổng quan về mật mã
- Chương 2:Tổng quan về hạ tầng khóa công khai.
- Chương 3:Xây dựng chương trình thử nghiệm
- Kết luận.
- Tài liệu tham khảo.



4
Chƣơng 1. TỔNG QUAN VỀ MẬT MÃ
1.1. Khái niệm hệ mật mã
Hệ mật mã được định nghĩa là một bộ (P, C, K, E, D), trong
đó:
- P là tập hữu hạn các bản rõ có thể
- C là tập hữu hạn các bản mã có thể
- K là tập hữu hạn các khóa có thể
- E là tập các hàm lập mã
- D là tập các hàm giải mã. Với mỗi k thuộc K, có một hàm
lập mã
ek thuộc E, ek : P -> C và một hàm giải mã dk thuộc D, dk : C -> P sao
cho dk(ek(x)) = x , với mọi x thuộc P

0.1Hình 1.1. Quá trình mã hóa và giải mã

1.2. Hệ mật mã khóa đối xứng
Trong các hệ mã đối xứng chỉ có một khóa được chia sẻ giữa
các bên tham gia liên lạc. Cứ mỗi lần truyền tin bảo mật, cả người
gửi A và người nhận B cùng thỏa thuận trước với nhau một khóa
chung K, sau đó người gửi dùng ek để lập mã cho thông báo gửi đi và
người nhận dùng dk để giải mã bản mật mã nhận được. Người gửi và
người nhận có cùng một khóa chung K, được giữ bí mật dùng cho cả


5
lập mã và giải mã. Những hệ mật mã cổ điển với cách sử dụng trên
được gọi là mật mã khóa đối xứng hay còn gọi là mật mã khóa bí
mật.

Độ an toàn của hệ mật mã đối xứng phụ thuộc vào khóa. Nếu
để lộ khóa thì bất kỳ người nào cũng có thể mã hóa và giải mã thông
điệp.
Ưu và nhược điểm của hệ mật mã hóa đối xứng
Ưu điểm nổi bật của các hệ mật mã khóa đối xứng là việc
xây dựng một hệ mật mã có độ bảo mật cao khá dễ dàng về mặt lý
thuyết. Nhưng nếu như không kể đến việc cần có một nguồn sinh
khóa ngẫu nhiên thì việc phân phối, lưu trữ bảo mật và thỏa thuận
khóa là một vấn đề khó chập nhận được trong mạng truyền thông
ngày nay. Trong một mạng có n người dùng, nếu cần khóa cho từng
cặp thì cần n(n+1)/2 khóa.
Mặc dù đã thực hiện việc mã hóa và giải mã bằng các hệ mật
mã khối hay bằng thuật toán sinh khóa như đã nêu ở trên thì vấn đề
phân phối và thỏa thuận khóa vẫn phải được thực hiện. Như vậy phân
phối và thỏa thuận khóa là một vẫn đề chưa thể được giải quyết trong
các hệ mật mã khóa đối xứng.

1.3. Hệ mật mã khóa công khai
Để giải quyết vấn đề phân phối và thỏa thuận khóa của mật
mã khóa đối xứng, năm 1976 Diffie và Hellman đã đưa ra khái niệm
về hệ mật mã khóa công khai và một phương pháp trao đổi công khai
để tạo ra một khóa bí mật chung mà tính an toàn được bảo đảm bởi
độ khó của một bài toán toán học cụ thể (là bài toán tính “logarit rời
rạc”). Hệ mật mã khóa công khai hay còn được gọi là hệ mật mã phi
đối xứng sử dụng một cặp khóa gồm khóa mã hóa còn được gọi là
khóa công khai( public key) và khóa giải mã được gọi là khóa bí mật


6
hay khóa riêng ( private key). Trong hệ mật này, khóa mã hóa khác

với khóa giải mã. Về mặt toán học thì từ khóa công rất khó tính được
khóa riêng. Biết được khóa này không dễ dàng tìm được khóa kia.
Khóa giải mã được giữ bí mật trong khi khóa mã hóa được công bố
công khai. Một người bất kỳ có thể sử dụng khóa công khai để mã
hóa tin tức, nhưng chỉ có người nào có đúng khóa giải mã mới có khả
năng xem được bản rõ.
Có nhiều hệ thống khóa công khai được triển khai rộng rãi
như hệ RSA, hệ ELGamal sử dụng giao thức trao đổi khóa Diffie –
Hellman và nổi lên trong những năm gần đây là hệ đường cong
Elliptic. Trong số các hệ mật mã trên thì hệ RSA là hệ được cộng
đồng chuẩn quốc tế và công nghiệp chấp nhận rộng rãi trong việc
thực thi mật mã khóa công khai.

0.2Hình 1.2. Sơ đồ chữ ký RSA


7
Ƣu và nhƣợc điểm của hệ mật mã khóa công khai
Vấn đề còn tồn đọng của hệ mật mã khóa đối xứng được giải
quyết nhờ hệ mật mã khóa công khai. Chính ưu điểm này đã thu hút
nhiều trí tuệ vào việc đề xuất, đánh giá các hệ mật mã công khai.
Nhưng do bản thân các hệ mật mã khóa công khai đều dựa vào các
giả thiết liên quan đến các bài toán khó nên đa số các hệ mật mã này
đều có tốc độ mã dịch không nhanh lắm. Chính nhược điểm này làm
cho các hệ mật mã khóa công khai khó được dùng một cách độc lập.

Kết luận chương 1:
Trong chương 1, Giới thiệu tổng quan về hệ mật mã khóa đối
xứng và hệ mật mã khóa bất đối xứng. So sánh ưu nhược điểm của 2
phương pháp mã hóa.

Tìm hiểu cơ sở lý thuyết về chữ ký số, quá trình ký và kiểm
tra chữ ký điện tử RSA.


8
Chƣơng 2. TỔNG QUAN VỀ HẠ TẦNG KHÓA
CÔNG KHAI
2.1. Định nghĩa
PKI : Viết tắt của Public Key Infrastructure tức là hạ tầng cơ sở khóa
công khai.Là một cơ chế để cho một bên thứ 3 (thường là nhà cung
cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia
vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho
mỗi người sử dụng trong hệ thống một cặp khóa công khai/khóa bí
mật.
“PKI là một tập các phần cứng, phần mềm, con người, chính
sách và các thủ tục cần thiết để tạo, quản lý, lưu trữ, phân phối và thu
hồi chứng chỉ khoá công khai dựa trên mật mã khóa công khai”.
Nhìn chung, PKI có thể được định nghĩa như một hạ tầng cơ sở sử
dụng công nghệ thông tin để cung cấp dịch vụ mã hóa khóa công
khai và chữ ký số. Một mục đích quan trọng khác của PKI là để quản
lý khóa và chứng chỉ được sử dụng trong hệ thống.

2.1.1. Vai trò
Việc xây dựng đồng bộ hạ tầng mã khoá công cộng -PKI là
điều kiện thuận lợi cho việc:
- Quản lý tốt định danh.
- Cấp phát khoá mã một cách tập trung, chặt chẽ.
- Quản lý vòng đời của khoá mã một cách tập trung, có hệ
thống. Thu hồi, cấp phát lại một cách dễ dàng, kịp thời.


2.1.2. Một số ứng dụng
a) Mã hóa


9
Lợi ích đầu tiên của chứng chỉ số là tính bảo mật thông tin.
Khi người gửi đã mã hóa thông tin bằng khóa công khai của bạn,
chắc chắn chỉ có bạn mới giải mã được thông tin để đọc.
b) Chống giả mạo
Khi bạn gửi đi một thông tin, có thể là một dữ liệu hoặc một
Email, có sử dụng chứng chỉ số, người nhận sẽ kiểm tra được thông
tin của bạn có bị thay đổi hay không. Bất kỳ một sự sửa đổi hay thay
thế nội dung của thông điệp gốc đều sẽ bị phát hiện.
c) Xác thực
Khi sử dụng một chứng chỉ số, người nhận – có thể là đối tác
kinh doanh, tổ chức hoặc cơ quan chính quyền- sẽ xác định rõ được
danh tính của bạn. Có nghĩa là dù không nhìn thấy bạn, nhưng qua hệ
thống chứng chỉ số mà bạn và người nhận cùng sử dụng, người nhận
sẽ biết chắc chắn đó là bạn chứ không phải ai khác.
d) Chống chối bỏ nguồn gốc
e) Chữ ký điện tử
g) Bảo mật website
h) Đảm bảo phần mềm

2.1.3. Một số hệ thống PKI
Dưới đây là danh sách một số hệ thống PKI, trong đó một số
nhà cung cấp chứng thực số hàng đầu (ví dụ VeriSign) không được
liệt kê vì các phần mềm của họ không được công bố công khai :

-


Hệ thống quản lý chứng thực Red Hat
Computer Associate eTrust PKI
Microsoft
OpenCA (Một mô hình PKI mã nguồn mở)
RSA Security
Phpki


10
- Newpki
- IDX-PKI
- Simple CA
2.1.4. Những vấn đề liên quan
Để xây dựng một cơ sở hạ tầng chúng ta phải giải quyết sơ
bộ những vấn đề sau đây :
- Làm sao để cấp phát khóa công khai và khóa bí mật cho
từng người.
- Vấn đề đăng ký khóa công khai với một CA
- Vấn đề thu hồi/cấp phát lại khóa công khai
- Vấn đề kiểm chứng khóa công khai
- Làm sao từ khóa công khai của 1 người hệ thống PKI
phải xác định xem chữ ký số có phải của người đó hay không.
- Vấn đề toàn vẹn dữ liệu. Hệ thống PKI phải xác định xem
liệu tin nhắn gửi đi giữa client và server có bị thay đổi hay không?
- Một thông điệp được mã hóa bởi một chìa khóa mật mã
công khai thì chỉ giải mã được bởi một chìa khóa bí mật tương ứng.
- Khóa của bên thứ 3 bên thẩm định sẽ do cấp hay tổ chức
nào giám đinh. Hay phải có cơ chế nào để chống giả mạo bên chứng
thực.

- Các Vấn đề liên quan đến chứng thực số cấp phát, xác
thực và quản lý tại server ra sao.

2.2. Các thuật toán sử dụng trong PKI
2.2.1. Thuật toán RSA

Đã trình bày ở chương I
.

0


11
2.2.2. Chứng chỉ số
a)Giới thiệu
Có nhiều loại chứng chỉ, trong đó có:
- Chứng chỉ khóa công X.509

-

Chứng chỉ khóa công đơn giản ( simple Public Key
Certificate – SPKC)
Chứng chỉ Pretty Good Privacy (PGP)

-

Chứng chỉ thuộc tính ( Attribute Certificate – AC)

-


Tất cả các loại chứng chỉ này đều có cấu trúc đinh dạng
riêng. Hiện nay chứng chỉ khóa công khai X.509 được sử dụng phổ
biến trong hầu hết các hệ thống PKI. Hệ thống chương trình cấp
chứng chỉ số thử nghiệm cũng sử dụng định dạng chứng chỉ theo
X.509, nên luận văn này tập trung vào xem xét chi tiết chứng chỉ
công khai X.509. Trong luận văn này, thuật ngữ chứng chỉ
“certificate” được sử dụng đồng nghĩa với chứng chỉ khóa công khai
X.509 v3.

b)Chứng chỉ khóa công khai X509
Chứng chỉ gồm 2 phần. Phần đầu là những trường cơ bản cần
thiết phải có trong chứng chỉ. Phần thứ hai chứa thêm một số trường
phụ, những trường phụ này được gọi là trường mở rộng dùng để xác
định và đáp ứng những yêu cầu bổ sung của hệ thống. Khuôn dạng
của chứng chỉ X.509 được chỉ ra như trong hình :


12

0.1Hình 2.1. Khuôn dạng chứng chỉ X.509
Những trƣờng cơ bản của chứng chỉ X.509
- Version: Xác định số phiên bản của chứng chỉ
- Serial Number: do CA gán, là định danh duy nhất của
chứng chỉ.
- Signature Algorithm ID: chỉ ra thuật toán CA sử dụng để
ký số chứng chỉ. Có thể là thuật toán RSA hay DSA….
- Issuer : chỉ ra CA cấp và ký chứng chỉ
- Validity Period: khoảng thời gian chứng chỉ có hiệu lực.
Trường này xác định thời gian chứng chỉ bắt đầu có hiệu lực và thời
điểm hết hạn



13
- Subject: xác đinh thực thể mà khóa công khai của thực
thể này được xác nhận. Tên của subject phải duy nhất đối với mỗi
thực thể CA xác nhận
- Subject public key information: Chứa khóa công khai và
những tham số liên quan; xác đinh thuật toán ( ví dụ RSA hay DSA)
được sử dụng cùng với khóa
- Issuer Unique ID ( Optional): là trường không bắt buộc ,
trường này cho phép sử dụng lại tên người cấp. Trường này hiếm
được sử dụng trong triển khai thực tế
- Subject Unique ID (Optional): là trường tùy chọn cho
phép sử dụng lại tên của subject khi quá hạn. Trường này cũng ít
được sử dụng.
- Extensions (Optional): chỉ có trong chứng chỉ v3. Đây là
những trường mở rộng của chứng chỉ
- Certificate Authority’s Digital Signatue: Chữ ký số của
CA được tính từ những thông tin trên chứng chỉ với khóa riêng và
thuật toán ký số được chỉ ra trong trường Signature Algorithm
Identifier của chứng chỉ.


14
2.3. Các thành phần của PKI

0.2Hình 2.2. Mô hình xây dựng PKI cơ bản
Một hệ thống PKI gồm 4 thành phần sau:
- Certificate Authorities (CA): Cấp và thu hồi chứng chỉ
- Registration Authorities (RA): Gắn kết khóa công khai và

định danh của người giữ chứng chỉ.
- Clients: Người sử dụng chứng chỉ PKI hay theo cách khác
được xác định như những thực thể cuối.

- Repository: Hệ thống (có thể phân tán) lưu trữ chứng chỉ
và danh sách các chứng chỉ bị thu hồi. Cung cấp cơ chế phân phối
chứng chỉ và CRLs đến các thực thể cuối.


15
2.3.1. Tổ chức chứng thực(Certificate Authority)
Một certificate authority (CA) là một thực thể PKI có trách
nhiệm cấp chứng chỉ cho các thực thể khác trong hệ thống.

2.3.2. Trung tâm đăng ký ( Registration Authorities)
Mục đích chính của RA là để giản tải công việc cho CA.
Chức năng thực hiện của một RA cụ thể sẽ khác nhau tùy theo nhu
cầu triển khai PKI nhưng chủ yếu bao gồm những chức năng sau:
- Xác thực cá nhân chủ thể đăng ký chứng chỉ
- Kiểm tra tính hợp lệ của thông tin do chủ thể cung cấp.
- Xác nhận quyền của chủ thể đối với những thuộc tính
chứng chỉ được yêu cầu.
- Kiểm tra xem chủ thể có thực sự sở hữu khóa riêng đang
được đăng ký hay không, điều này thường được đề cập đến như sự
chứng minh sở hữu
- Tạo cặp khóa bí mật/công khai
- Phân phối bí mật được chia sẻ đến thực thể cuối (ví dụ:
khóa công của CA).

2.3.3. Thực thể cuối( End Entry)

Thực thể cuối trong PKI có thể là con người, thiết bị và thậm
chí là một chương trình phần mềm nhưng thường là người sử dụng hệ
thống. Thực thể cuối sẽ thực hiện những chức năng mật mã ( mã hóa,
giải mã và ký số)

2.3.4. Hệ thông lưu trữ(Responsitory)
Chứng chỉ (khóa công) và thông tin thu hồi chứng chỉ được
phân phối sao cho những người cần đến chứng chỉ đều có thể truy
cập và lấy được. Có 2 phương pháp phân phối chứng chỉ:
a) Phân phối cá nhân
b) Phân phối công khai


16
2.4. Chức năng cơ bản của PKI
2.4.1. Chứng thực
Chứng thực là chức năng quan trọng nhất của hệ thống PKI.
Đây là quá trình ràng buộc khóa công khai với định danh của thực
thể. CA là thực thể PKI thực hiện chức năng chứng thực.

2.4.2. Thẩm tra
Quá trình xác định liệu chứng chỉ đã đưa ra có thể được sử
dụng đúng mục đích thích hợp hay không được xem như là quá trình
kiểm tra tính hiệu lực của chứng chỉ.

2.4.3. Một số chức năng khác
2.5. Một số mô hình PKI
Có một số mô hình tin cậy có thể được áp dụng hoặc được đề xuất để
sử dụng trong hạ tầng mã khóa công khai – PKI dựa trên X.509:
- Single CA Model ( mô hình CA đơn)

- Hierarchical Model ( mô hình phân cấp)
- Mesh Model ( mô hình mắt lưới – mô hình xác thực chéo)
- Hub and Spoke (Bridge CA) Model ( Mô hình cầu CA)
- Web Model (Trust Lists) (Mô hình web)
- User Centric Model ( mô hình người sử dụng trung tâm)

2.5.1. Mô hình CA đơn
Ƣu điểm: Mô hình này dễ để triển khai và giảm tối thiểu
được những vấn đề về khả năng tương tác
Nhƣợc điểm: Không thích hợp cho miền PKI lớn vì một số
người sử dụng ở những miền con có những yêu cầu khác nhau đối
với người ở miền khác

2.5.2. Mô hình CA phân cấp
Ƣu điểm:


17
Mô hình này có thể được dùng trực tiếp cho những doanh
nghiệp phân cấp và độc lập, cũng như những tổ chức chính phủ và
quân đội.
Cho phép thực thi chính sách và chuẩn thông qua hạ tầng cơ
sở.
Dễ vẫn hành giữa các tổ chức khác nhau.
Nhƣợc điểm:
Có thể không thích hợp đối với môi trường mà mỗi miền
khác nhau cần có chính sách và giải pháp PKI khác nhau.
Các tổ chức có thể không tự nguyện tin vào các tổ chức khác.
Có thể không thích hợp cho những mối quan hệ ngang hàng
giữa chính phủ và doanh nghiệp.

Những tổ chức thiết lập CA trước có thể không muốn trở
thành một phần của mô hình.

2.5.3. Hoạt động của mô hình phân cấp
a) Trung tâm CA
b) Người sử dụng(End User)
c) Dịch vụ

2.6. Thực trạng phát triển PKI tại Việt Nam
2.6.1. Hiện trạng triển khai PKI chuyên dùng chính phủ
2.6.1. Hiện trạng triển khai PKI cho hoạt động kinh tế xã hội
Kết luận chương 2:
Giới thiệu khái niệm hệ thống PKI, Chức năng của hệ thống,
Vai trò của PKI
- Thuật toán sử dụng trong PKI
- Các Thành phần,
- Một số mô hình trung tâm xác thực.
- Hiện trạng triển khai PKI tại Việt Nam


18
Chƣơng 3. XÂY DỰNG CHƢƠNG TRÌNH THỬ NGHIỆM
3.1. Mô hình hệ thống
3.1.1. Mô hình

0.3Hình 3.1: Mô hình hệ thống PKI

3.1.2. Một số hàm sử dụng
a) Chức năng tạo khóa
b)Chức năng tạo chứng chỉ


3.1.3. Giới thiệu một số sơ đồ nghiệp vụ
a) Đăng ký, duyệt cấp chứng chỉ
b) Thu hồi, tạm dừng hay khôi phục chứng chỉ
c) Xác thực chứng chỉ


19
3.2. Xây dựng hệ thống cơ sở dữ liệu
3.2.1. Mô hình dữ liệu, cở sở dữ liệu
Hệ thống cơ sở dữ liệu quan hệ:
Hệ thống lưu trữ chứng chỉ:

3.2.2. Hệ thống bảng dữ liệu
3.3. Giới thiệu giao diện chính và chức năng hệ thống

0.4Hình 3.2. Màn hình chính của chƣơng trình
3.3.1. Đăng ký thông tin người dùng
Cho phép người quản lý cập nhật, bổ sung, xóa bỏ thông tin
đăng ký

3.3.2.Duyệt hồ sơ cấp chứng chỉ
Dựa vào thông tin đăng ký người quản lý tiến hành cấp
chứng chỉ, thông tin cấp chứng chỉ bao gồm:


20
Thời hạn hiệu lực của chứng chỉ: Số năm tính từ thời điểm
cấp
Ngày xét duyệt

Trạng thái xét duyệt: cho biết chứng chỉ này đã được xét cấp
hay chưa, có 3 trạng thái: Chờ cấp, Đã cấp và Loại bỏ

3.3.3. Sinh cặp khóa
Sinh cặp khóa cho CA và cho User

3.3.4. Tạo chứng chỉ cho CA
3.3.5. Tạo chứng chỉ cho người sử dụng
3.3.6. Kiểm tra chứng chỉ
Khi cần kiểm tra 1 chứng chỉ số một cách trực tiếp, người
quản lý chọn chứng chỉ số cần kiểm tra, hệ thống sẽ kiểm tra thông
tin chứng chỉ trong CSDL nếu tồn tại sẽ đưa ra kết luận, trái lại thông
tin về chứng chỉ sẽ được gửi cho nhà cung cấp cấp trên thông qua
dịch vụ(Service)
3.3.7. Thu hồi chứng chỉ
Khi nhận được yêu cầu thu hồi chứng chỉ người quản lý truy
cập vào chức năng này đặt lại trạng thái chứng chỉ, sau đó hệ thống
tự động thông qua dịch vụ chuyển thông tin chứng chỉ bị thu hồi đến
trung tâm cấp trên và các trung tâm cấp dưới trong cùng một mô hình
phân cấp để cập nhật.
Kết luận chương 3:
Ở chương này chúng ta đã tìm hiểu được mô hình thực nghiệm
của hệ thống PKI gồm 4 phần (End User,RA,CA,Repository). Phân
tích thiết kế CSDL của hệ thống, các sơ đồ nghiệp vụ, một số thuật
toán sử dụng trong chương trình và xây dựng thành công hệ thống


21
PKI theo mô hình CA phân cấp dựa trên chứng chỉ X509 v3 với các
chức năng cơ bản nhất.

KẾT LUẬN

1. Kết quả đạt đƣợc
Phần lý thuyết:
Trình bày những khái niệm, đặc điểm cơ bản của một hệ
thống PKI.
Nghiên cứu cơ sở lý thuyết về mật mã, bao gồm: tổng quan
về các hệ mật, chữ ký số, hàm băm, sinh khóa, phân phối khóa, mã
hóa và giải mã, chứng chỉ số và giải pháp quản lý.
Nghiên cứu lý thuyết về mô hình trung tâm xác thực, bao
gồm tổng quan mô hình, các thành phần và chức năng cơ bản của
chúng, mô hình xác thực một cấp và đa cấp.
Đi sâu vào tìm hiểu phần mã hóa, giải mã và chữ ký số.
Phần Thực Nghiệm:
Lập trình các modul của hệ thống PKI, bao gồm module
đăng ký thông tin người dùng, duyệt hồ sơ cấp chứng chỉ, sinh cặp
khóa, tạo chứng chỉ, kiểm tra chứng chỉ và thu hồi chứng chỉ.. Chạy
thử nghiệm một hệ thống PKI với các chức năng cơ bản.

2. Hƣớng phát triển
Nội dung đề tài cơ bản đã tìm hiểu được cơ sở lý thuyết các
vấn đề liên quan và bước đầu cài đặt được một số module chức năng.
Vì vậy trong thời gian tới, hướng phát triển của đề tài sẽ là:
Nâng cấp hoàn thiện mô hình cho các ứng dụng về đơn vị điện
tử, chữ ký số, xây dựng chương trình trên môi trường mềm mại(Web)
và linh hoạt hơn để phục vụ cho các nghiệp vụ thực tế trong môi
trường quân đội. Tiếp tục bổ sung các modul tích hợp vào chương
trình để người dùng có thể sử dụng chương trình cho các giao dịch



22
điện tử như việc phê duyệt các văn bản với chữ ký số sẽ giảm thiểu
rất nhiều thời gian và vật chất cho các thủ tục hành chính thông
thường hiện nay.



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×