BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------

LUẬN VĂN THẠC SĨ KHOA HỌC

NGHIÊN CỨU GIẢI PHÁP AN NINH THÔNG TIN
DỰA TRÊN HƯỚNG TIẾP CẬN SINH TRẮC HỌC
KẾT HỢP MÃ CÔNG KHAI PKI VỚI ĐẶC ĐIỂM VÂN TAY

NGÀNH : CÔNG NGHỆ THÔNG TIN
MÃ SỐ :

TRẦN TUẤN VINH

NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS-NGUYỄN THỊ HOÀNG LAN

HÀ NỘI 2005


TRẦN TUẤN VINH
NGÀNH CÔNG NGHỆ THÔNG TIN 2003 - 2005
HÀ NỘI
2005

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
----------------------------------------

LUẬN VĂN THẠC SĨ KHOA HỌC

NGHIÊN CỨU GIẢI PHÁP AN NINH THÔNG TIN
DỰA TRÊN HƯỚNG TIẾP CẬN SINH TRẮC HỌC
KẾT HỢP MÃ CÔNG KHAI PKI VỚI ĐẶC ĐIỂM VÂN TAY

TRẦN TUẤN VINH

HÀ NỘI 2005


Lời cảm ơn
Trước hết, tôi xin trân trọng gửi lời cảm ơn tới trường Đại học Bách khoa
Hà nội và trường Đại học Sư phạm Hà nội 2 đã tạo mọi điều kiện thuận lợi
cho tôi trong thời gian học tập, nghiên cứu và hồn thành luận văn tốt nghiệp.
Tơi cũng xin gửi lời cảm ơn sâu sắc tới PGS.TS Nguyễn Thị Hoàng Lan,
người đã trực tiếp hướng dẫn và giúp đỡ tơi trong q trình học tập cũng như
q trình thực hiện luận văn.
Tơi xin gửi lời cảm ơn chân thành tới các thầy, cô giáo khoa Công nghệ
thông tin, cũng như các thầy, cô giáo khác đã giảng dạy tôi trong thời gian học
tập cao học. Xin cảm ơn những bạn bè đồng nghiệp đã đóng góp ý kiến cho
bản luận văn của tôi.
Trần Tuấn Vinh
Cao học CNTT – 2003

MỤC LỤC
Trang
MỞ ĐẦU ............................................................................................................3


Chương 1: TỔNG QUAN VỀ AN NINH THÔNG TIN ..................................5
1.1 Một số kỹ thuật an ninh thông tin ............................................................5

1.1.1 Mật mã ..........................................................................................5
1.1.2 Dấu tin ...........................................................................................6
1.1.3 Đánh dấu ẩn ..................................................................................9
1.1.4 Dấu vân tay ................................................................................ 12
1.2 PKI và sinh trắc học với an ninh thông tin .......................................... 13
1.2.1 PKI (Public Key Infrastructure) ................................................. 14
1.2.2 Sinh trắc học (Biometrics) ......................................................... 21
Chương 2: NGHIÊN CỨU MỘT SỐ THUẬT TỐN MÃ HĨA VỚI KHĨA
CƠNG KHAI................................................................................................... 28
2.1 Ngun tắc chung của mã hố với khố cơng khai ............................. 28
2.2 Giao thức trao đổi khóa của Diffie – Hellman..................................... 28
2.3 Hệ mật mã RSA ................................................................................... 29
2.4 Hệ mật mã Knapsack ........................................................................... 32
2.5 Chữ ký số ............................................................................................. 34
Chương 3: TÌM HIỂU DẤU VÂN TAY VÀ CÁC ĐẶC TRƯNG............... 38
3.1 Vài nét về lịch sử dấu vân tay............................................................... 38
3.2 Các đặc trưng của dấu vân tay ............................................................. 40
Chương 4: GIẢI PHÁP AN NINH THÔNG TIN KẾT HỢP GIỮA PKI VÀ ĐẶC
ĐIỂM VÂN TAY ............................................................................................ 48
4.1 Điểm yếu của mã hóa với khóa cơng khai và sự chứng thực khóa ...... 48
4.2 Giải pháp an tồn thơng tin dựa trên sự kết hợp giữa dấu vân tay
và PKI ................................................................................................... 48
4.2.1 Đặt vấn đề .................................................................................. 48
4.2.2 Nội dung..................................................................................... 49
4.2.3 Môi trường cài đặt ứng dụng và kết quả thực nghiệm............... 68
4.2.4 Ý nghĩa ứng dụng....................................................................... 70
KẾT LUẬN ..................................................................................................... 71
TÀI LIỆU THAM KHẢO ............................................................................... 73
PHỤ LỤC ........................................................................................................ 76


DANH MỤC CÁC HÌNH VÀ BẢNG
Hình 1 – 1. Hệ thống dấu tin[11]
Hình 1 – 2. Hệ thống đánh dấu ẩn[11]
Hình 1 – 3. Hệ mật mã dùng khóa đối xứng[18]
Hình 1 – 4. Hệ mật mã dùng khóa cơng khai[18]


Hình 1 – 5. Hàm băm[18]
Hình 1 – 6. Ví dụ chữ ký số[18]
Hình 3 – 1. Một số loại dấu vân tay
Hình 3 – 2. Vùng mẫu (Pattern Area)
Hình 3 – 3. Các đường mẫu
Hình 3 – 4. Vân tay dạng hình quai
Hình 3 – 5. Vân tay dạng hình cung
Hình 3 – 6. Vân tay dạng vịng xoắn
Hình 3 – 7. Ví dụ về điểm delta và điểm core
Hình 3 – 8. Số đường vân
Hình 3 – 9. Điểm kết thúc đường vân
Hình 3 – 10. Điểm rẽ nhánh của đường vân
Hình 3 – 11. Chấm nhỏ
Hình 3 – 12. Đoạn đường vân ngắn
Hình 3 – 13. Đường lịng hồ
Hình 3 – 14. Nhánh nhỏ
Hình 3 – 15. Đoạn cắt ngang
Hình 3 – 16. Biểu diễn các điểm minutiae
Hình 3 – 17. (a) Ảnh vân tay, (b) Ảnh vân tay với hướng của cấu trúc đường vân
Hình 4 – 1. Vùng ảnh và vùng nền trong ảnh vân tay
Hình 4 – 2. 8 hướng của một điểm
Hình 4 – 3. Minh hoạ biên và xương của đối tượng
Hình 4 – 4. Quá trình làm mảnh.

Hình 4 – 5. Điểm xương
Hình 4 – 6. Sơ đồ khối của quá trình trích chọn các điểm đặc trưng ảnh
Hình 4 – 7. Sơ đồ khối của q trình mã hố với khố được trích từ vân tay
Hình 4 – 8. Q trình trích chọn đặc trưng của vân tay
Hình 4 – 9. Đặc trưng của vân tay được chuyển thành số nguyên lớn
Bảng 1 – 1: So sánh các kỹ thuật sinh trắc học[16]


MỞ ĐẦU
Trong bối cảnh mà chúng ta đang sống hiện nay, một xã hội công nghệ
thông tin với lĩnh vực truyền thông đa phương tiện phát triển rất mạnh mẽ.
Trong đó, những thơng tin của chúng ta trao đổi trên mạng luôn tiềm ẩn
những nguy cơ đe dọa tới sự an tồn và những thơng tin đó cũng có thể là chủ
đề quan tâm chính của những kẻ xâm nhập bất hợp pháp. Chúng ta cần phải
đảm bảo an ninh bằng cách áp dụng hàng loạt các kỹ thuật để bảo vệ thơng
tin, dữ liệu khi nó được chuyển qua các kênh không được bảo vệ. Trong
trường hợp cụ thể này, an ninh đồng nghĩa với sự mã hoá. An ninh mà chúng
ta đòi hỏi sẽ được thực hiện qua việc áp dụng các kỹ thuật khác nhau.
Mặc dù mật mã có nguồn gốc từ lĩnh vực quân sự, nhưng nó sớm trở
thành một cơng cụ khơng thể thiếu trong xã hội thương mại rộng lớn. Bên
cạnh những lĩnh vực này, ngày nay, mật mã còn được mở rộng, áp dụng cho
toàn bộ lĩnh vực về quyền của cá nhân. Quyền cá nhân được hiểu như là một
nhân tố cơ bản của xã hội hiện đại.
Nhân tố quan trọng nhất ảnh hưởng tới sự phát triển của an ninh thông tin
chính là thương mại điện tử. Đối với thương mại điện tử, an ninh không phải
là một đặc trưng chỉ để trang trí mà nó là một điều kiện thiết yếu, bạn khơng
thể có một ứng dụng thương mại điện tử mà khơng có sự an ninh tương ứng.
Trong thực tế, theo các phân tích quan trọng thì trở ngại chính của việc phát
triển thương mại điện tử là khó khăn trong thực hiện các cơng cụ an ninh
tương thích cho nó.

Trong lĩnh vực truyền thơng đa phương tiện với những sản phẩm được số
hóa, vấn đề đặt ra cho an ninh khơng chỉ là mã hóa mà cịn phải đảm bảo
được bản quyền, chống sao chép bất hợp pháp và đặc biệt là xác nhận được
chính xác chủ thể.


-4Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

Trong luận văn này, tơi xin trình bày một giải pháp an ninh thông tin dựa
trên hướng tiếp cận sinh trắc học kết hợp mã công khai PKI (Public Key
Infrastructure) với đặc điểm vân tay và xây dựng ứng dụng thực nghiệm cho
giải pháp này.
Luận văn được chia thành 4 chương và phần phụ lục
Chương 1: Tổng quan về an ninh thơng tin
Chương 2: Nghiên cứu một số thuật tốn mã hóa với khóa cơng khai
Chương 3: Tìm hiểu dấu vân tay và các đặc trưng
Chương 4: Giải pháp an ninh thông tin kết hợp mã công khai PKI và đặc
điểm vân tay
Phụ lục: Một số đoạn mã của ứng dụng thực nghiệm
Tơi xin cam đoan những kết quả trình bày trong luận văn là do sự nghiên
cứu của bản thân dưới sự hướng dẫn trực tiếp của PGS.TS - Nguyễn Thị
Hoàng Lan.

Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


-5Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

Chương 1


TỔNG QUAN VỀ AN NINH THÔNG TIN
1.1 Một số kỹ thuật an ninh thông tin
Ngày nay, trong lĩnh vực truyền thông đa phương tiện, vấn đề đảm bảo an
ninh thông tin được quan tâm đặc biệt, truyền thông bao gồm mã hố bảo mật
thơng tin (cryptography) và đảm bảo an ninh khi thông tin được chuyển đi,
mà bản chất của việc đảm bảo an ninh này nằm trong việc ẩn thông tin
(information hiding). Sau đây là một số kỹ thuật phục vụ cho việc đảm bảo an
ninh thông tin.
1.1.1 Mật mã
Trong an ninh thông tin, cryptography – nghệ thuật mật mã – đóng một
vai trị quan trọng. Đó là một cơng cụ để đảm bảo bí mật trong trao đổi thông
tin, được dùng rộng rãi trong các cuộc chiến tranh, thơng tin tình báo, ngoại
giao. Mật mã là việc “nguỵ trang” văn bản (thơng tin nói chung) thành một
dạng khác để cho những người “ngồi cuộc” khơng thể đọc được, phục vụ
cho nhu cầu trao đổi thông tin, dữ liệu. Trong những thập kỷ gần đây, sự cải
tiến về mật mã đã tạo ra hàng loạt các ứng dụng quan trọng. Nó được dùng để
xác nhận người sử dụng máy tính, đảm bảo tính tồn vẹn và sự tin cậy của
truyền thông điện tử, và giữ an ninh cho các thông tin nhạy cảm. Từ công
nghệ ứng dụng đảm bảo bí mật qn sự, mật mã đã trở thành cơng nghệ chìa
khố cho tất cả các thành viên trong xã hội thơng tin có liên quan tới vấn đề
an ninh thông tin.
Người Hi Lạp đã dùng phép mã chuyển vị từ 400 năm trước công nguyên.
Người ta dùng một dải băng dài và quấn quanh một khối hình trụ rồi viết chữ
lên trên đó theo cách thức thơng thường (từ trái sang phải và từ trên xuống

Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


-6Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay


dưới). Mẩu tin chuyển đi dưới dạng dải băng và chỉ có thể đọc ra được khi
biết được bán kính của thiết diện khối trụ (và cuốn lại dải băng quanh khối trụ
như khi đã viết lên). Hoàng đế Caesar đã từng sử dụng phép mã thay thế trong
quân sự, trong đó mỗi ký tự được thay thế bởi ký tự đứng sau nó 3 vị trí trong
bảng chữ cái alphabet – nghĩa là chữ A được thay bằng chữ D, chữ B được
thay bằng chữ E,… Việc giải mã được thực hiện bằng cách thay thế ngược lại.
Trong thực tế, mã hố khơng thể đảm bảo an ninh cho truyền thông.
Trong thời kỳ Phục hưng, một số tác giả đã tập trung vào các phương pháp để
ẩn thông tin hơn là mã hoá chúng, cho dù các kỹ thuật mã hoá hiện đại đã bắt
đầu phát triển vào thời kỳ đó. Bởi vì, ẩn thơng tin khơng gợi nên sự nghi ngờ
cho những kẻ tị mị. Sở thích này vẫn còn tồn tại cho đến ngày nay.
Các kỹ thuật ẩn thông tin gần đây trở nên quan trọng trong một số lĩnh
vực ứng dụng. Tranh ảnh, video, âm thanh số được cung cấp có sự phân biệt
nhờ vào các dấu ẩn khơng thể nhận biết được, nó có thể chứa một thông tin
bản quyền, số seri ẩn hoặc trực tiếp ngăn chặn sao chép bất hợp pháp. Các hệ
thống truyền thông quân sự cũng phát triển việc sử dụng các kỹ thuật truyền
thơng tin an tồn, ngồi việc che dấu nội dung bằng cách mã hố, nó cịn che
dấu cả người gửi, người nhận và sự tồn tại của thông tin.
1.1.2 Dấu tin
Dấu tin đại diện cho những kỹ thuật cho phép truyền dữ liệu, thơng tin bí
mật bằng cách nhúng hay ẩn chúng vào trong dữ liệu khác mà không gây ra
bất cứ sự nghi ngờ nào. Các phương pháp dấu tin thường dựa vào giả thiết về
sự tồn tại của giao tiếp bí mật mà bên thứ ba không được biết, sử dụng trong
giao tiếp giữa những thành viên thực sự tin cậy. Những phương pháp dấu tin
nhìn chung khơng vững chắc, có nghĩa là thơng tin ẩn có thể khơng khơi phục
lại được sau khi dữ liệu bị sửa đổi.
Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


-7Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay


Các hệ thống dấu tin thường bao gồm một hệ chèn thơng tin và một hệ
trích chọn. Hình 1 – 1 là một hệ thống khái quát.

Hình 1 – 1. Hệ thống dấu tin[11]
Hệ thống chèn bao gồm một tệp dữ liệu chủ, một tệp chứa thông điệp cần
chèn được chuẩn bị trước, một khoá tuỳ chọn. Hệ thống thực hiện chèn thông

Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


-8Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

điệp vào trong dữ liệu chủ, tạo ra tệp dữ liệu chủ được che đậy (covert host).
Covert host sau đó được lưu trữ hay chuyển đi. Hệ thống trích chọn thực hiện
ngược lại. Nó đưa vào covert host và khố tuỳ chọn rồi lấy ra thơng điệp, có
thể thay đổi covert host để gỡ bỏ thông điệp. Nhiều hệ thống dấu tin có một
hình thức mã hố nào đó được xây dựng sẵn, nó sẽ thực hiện mã hố và giải
mã một cách tự động các thông điệp. Một hệ thống dấu tin hồn chỉnh gồm có
sự quản lý dữ liệu chủ và khoá. Hầu hết các hệ thống dấu tin thông thường sử
dụng những định dạng ảnh và audio khác nhau làm tệp dữ liệu chủ. Những
tệp này thường rất lớn, nó cung cấp băng thơng cần thiết để thực hiện chèn
một cách chính xác. Các hệ video cũng được sử dụng để khai thác kích thước
lớn của các tệp và các dòng dữ liệu video. Một số hệ thống dấu tin khơng sử
dụng tệp dữ liệu chủ, nhưng nó phát sinh ra covert host dựa vào nội dung của
thông điệp. Một hệ thống dấu tin thành công phải đảm bảo rằng covert host là
vô hại. Mức độ của che giấu phụ thuộc vào khả năng của sự đe dọa nhận thức
được. Mỗi tác giả của thuật toán dấu tin đều khẳng định một số cấp độ của
tính ẩn đối với nhận thức, đó là sự thay đổi của dữ liệu chủ có thể thấy được
hoặc nghe được. Những tác động – như các hình tạo ra khơng tự nhiên trong

ảnh hay những tiếng huýt, tiếng kêu lạ khác trong âm thanh – cần phải tránh.
Tuy thế, nhiều thuật toán để lại những ký hiệu nhận dạng mà kẻ tấn cơng có
thể khai thác chúng bằng những cơng cụ đặc biệt.
Một kẻ tấn cơng dấu tin nhằm mục đích phát hiện ra có tồn tại thơng điệp
hay khơng, nếu có sẽ trích chọn và khai thác nó. Việc phát hiện địi hỏi có sự
nhận dạng ký hiệu hay xác nhận được sự bất bình thường trong tệp.

Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


-9Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

1.1.3 Đánh dấu ẩn
Đánh dấu ẩn có thêm những đặc điểm về tính vững chắc chống lại những
tấn cơng. Ngay cả khi biết được sự tồn tại của thông tin ẩn và những nguyên
lý thuật toán của phương pháp đánh dấu ẩn, những kẻ tấn cơng cũng rất khó
phá huỷ được những dấu ẩn. Trong lĩnh vực mật mã được biết đến như luật
Kerkhoffs, một hệ thống mật mã an ninh cho dù kẻ tấn công biết được nguyên
lý và phương pháp mã hố thì cũng khơng thể có được khố giải mã thích
hợp. Để đảm bảo tính vững chắc dù cho có những thay đổi nhỏ, thơng tin ẩn
được phân phối dư thừa trên rất nhiều mẫu của dữ liệu chủ, có nghĩa là dấu ẩn
có thể khơi phục từ một phần nhỏ dữ liệu được đánh dấu, nhưng sự khơi phục
sẽ tốt hơn nếu có nhiều dữ liệu chủ được đánh dấu dùng để khôi phục. Trong
thực tế, những phương pháp đánh dấu ẩn có thể nhúng lượng thơng tin vào
trong dữ liệu chủ ít hơn các phương pháp dấu tin để đảm bảo tính vững chắc.
Dấu tin và đánh dấu ẩn là hai phương pháp bổ sung cho nhau.
Các hệ thống đánh dấu ẩn số thương mại xuất hiện nhiều trong các ứng
dụng. Một số là các ứng dụng độc lập trong khi một số khác có sẵn những mở
rộng để có thể kết hợp với các ứng dụng khác. Một số thực hiện công việc
trực tiếp với máy tính của người sử dụng trong khi một số khác tồn tại như là

các dịch vụ web. Nhìn chung, các hệ thống đánh dấu ẩn có một modul để
chèn một dấu ẩn và một modul để phát hiện dấu ẩn. Khi các thuật toán đánh
dấu ẩn bị thay đổi, thì thơng thường có một modul trích chọn để trả về đối
tượng ở trạng thái ban đầu. Các dấu ẩn có thể được người sử dụng thiết kế
hoặc được phát sinh “on the fly” để đáp ứng nội dung dữ liệu, dấu thời gian
(timestamp) hay các khoá. Một số nhà cung cấp cung cấp những dịch vụ đăng
ký để quản lý các dấu ẩn; những dịch vụ này được thực hiện bởi nhà cung cấp
hay chạy trên trang web của người sử dụng. Để làm cho dấu ẩn có hiệu lực,

Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


- 10 Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

các nhà cung cấp cung cấp các dịch vụ tìm kiếm có thể qt trên web đối với
ảnh đã đánh dấu.
Những yêu cầu đối với kỹ thuật đánh dấu ẩn khác so với dấu tin. Các dấu
ẩn mạnh về mã hố do đó chúng khơng thể bị giả mạo. Một số dấu ẩn được
thiết kế để có thể phát hiện bằng mắt thường, trong khi những dấu ẩn khác
được thiết kế ẩn. Một số dễ dàng phát hiện được bằng các bộ dị tìm của các
nhà cung cấp, một số khác lại địi hỏi phải có khố để phát hiện và nhận dạng
chúng. Một số dấu ẩn cần có những yêu cầu nào đó của dữ liệu gốc để phát
hiện dấu ẩn, một số thì khơng. Quan trọng nhất là một dấu ẩn phải chống lại
được những thay đổi của dữ liệu. Các bộ dị tìm dấu ẩn thường đo độ mạnh
của dấu ẩn. Các dấu ẩn được phát hiện bằng cách trích chọn và thu thập thơng
tin về dấu ẩn, sau đó so sánh nó với dữ liệu gốc. Sự so sánh sử dụng không
gian metric đồng dạng.
Nếu X là dấu ẩn gốc và X* là dẩu ẩn tìm được, thì metric đồng dạng
P


P

sim(X, X*) được cho bởi công thức
P

P

sim( X , X * ) =

X .X *
X *.X *

Giá trị của sim(X,X*) nằm trong khoảng (0, 1), càng gần 1 thì dấu ẩn tìm
P

P

được càng giống dấu ẩn gốc. Nếu độ mạnh vượt quá một ngưỡng nào đó thì
dấu ẩn được phát hiện. Một dấu ẩn ảnh phải chống lại được sự thay đổi tỉ lệ,
cắt bỏ, lọc và các kỹ thuật khác mà không làm thay đổi ảnh. Những kỹ thuật
này có thể làm giảm độ mạnh của dấu ẩn, nhưng những người sử dụng dấu ẩn
hi vọng rằng dấu ẩn vẫn còn đủ, nếu như ảnh giữ lại được giá trị thương mại,
để đảm bảo sự nhận dạng. Dấu ẩn audio, video và tài liệu có những yêu cầu
tương tự.

Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


- 11 Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay


Hình 1 – 2. Hệ thống đánh dấu ẩn[11]
Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


- 12 Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

Kẻ tấn cơng dấu ẩn tìm cách gỡ bỏ dấu ẩn, chèn một dấu ẩn giả vào, hoặc
gây khó khăn cho người dị tìm. Nhiều dấu ẩn bị đánh bại dễ dàng bằng các
thao tác thơng thường có sẵn trong các gói (package) xử lý ảnh, âm thanh.
StirMark và Unzign là hai công cụ để gỡ bỏ các dấu ẩn của ảnh. Một công cụ
khác là khảm (mosaic) dùng để chia ảnh thành các phần nhỏ hơn, vì thế làm
cho việc tìm kiếm dấu ẩn của các robot bị thất bại. Mặc dù các cơng cụ này có
thể có mục đích xấu, nhưng chúng cũng là động cơ thúc đẩy cải tiến các thuật
toán đánh dấu ẩn. Các tác giả kiểm tra các kỹ thuật thực hiện như thế nào khi
bị tấn công bằng các công cụ này và thiết kế các thuật toán nhằm đánh bại
chúng.
1.1.4 Dấu vân tay
Dấu vân tay là thuật ngữ biểu thị những ứng dụng đặc biệt của đánh dấu
ẩn. Chúng có liên quan tới những ứng dụng bảo vệ bản quyền, trong đó thông
tin về người tạo ra và người nhận dữ liệu số được nhúng như những dấu ẩn.
Những dấu ẩn cá nhân là những mã duy nhất ngoài hàng loạt mã được gọi là
“fingerprint” hay “label”.
Các hệ thống dấu vân tay hầu hết đồng nhất với các hệ thống đánh dấu ẩn.
Một dấu vân tay được thêm vào đối tượng mỗi lần nó được sao chép vì thế
bản sao được nhận dạng là duy nhất. Các dịch vụ đăng ký và nhận dạng theo
dõi khơng chỉ người sở hữu mà cịn cả bản sao chính xác. Những yêu cầu này
đối với dấu tay giống như đối với dấu ẩn, và các phương pháp tấn cơng cũng
tương tự. Sự khác nhau chính giữa các kỹ thuật là ở chỗ phát sinh và quản lý
dấu vân tay.


Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


- 13 Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

1.2

PKI và sinh trắc học với an ninh thông tin
Trong nhiều thế kỷ qua, vai trị của mã hóa là để bảo vệ thơng tin riêng

tránh khỏi sự tị mò; ngày nay, và tiếp tục về sau, vai trò của mã hóa được thể
hiện dưới một cách nhìn khác hơn. Thực tế, nó cung cấp những giải pháp kỹ
thuật cho một vấn đề cốt yếu đối với tương lai của một xã hội thông tin: cho
phép sử dụng những tài liệu điện tử ở mức độ như các tài liệu truyền thống,
có độ tin cậy hợp pháp. Trở ngại cần vượt qua có quan hệ với sự thiếu an ninh
bên trong các kênh truyền thông tin, điều này dẫn tới sự không chắc chắn về
nhận dạng người gửi và xác thực thơng tin nhận được. Mật mã có thể khôi
phục độ tin cậy đối với truyền thông mạng và góp phần xây dựng một xã hội
dựa trên truyền thơng số. Bên cạnh dùng mật mã để che dấu, chúng ta sử dụng
mật mã để đảm bảo chắc chắn(GUARANTEES), cung cấp độ tin cậy và xác
thực cho thông tin số.
Những khía cạnh của truyền thơng trong đó các kỹ thuật mật mã, những
công cụ để đảm bảo và tin cậy thực tế là gì? Chúng ta phân biệt lại hai dịch vụ
cơ bản này của mật mã cung cấp.
Đầu tiên là tính riêng tư, cho đến bây giờ nó vẫn được coi là chủ yếu.
Thứ hai là những gì chúng ta gọi là xác thực, đó là tất cả các dịch vụ có
liên quan tới tính đảm bảo mà có thể đạt được thông qua mật mã về sự xác
nhận các thông tin và người gửi chúng. Các dịch vụ đảm bảo cung cấp độ tin
cậy mà toàn bộ quá trình gửi và nhận thơng tin là hợp pháp và được thực hiện
bởi bất kỳ ai có quyền đó. Chúng ta có thể chia các dịch vụ đó thành ba loại

chính như sau:
- Nhận diện (IDENTIFICATION): độ tin cậy về nhận dạng người gửi.

Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


- 14 Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

- Cho phép (AUTHORISATION): độ tin cậy về tính hợp pháp của hoạt
động.
- Xác thực (AUTHENTICATION): độ tin cậy về tính xác thực và sự
tồn vẹn của thơng tin.
1.2.1 PKI
1.2.1.1

Public Key – Chữ P, K trong PKI

Mật mã
Mật mã (cryptography) đề cập đến vấn đề biến đổi văn bản gốc thành một
dạng được mã hóa bằng mật mã và sự biến đổi văn bản mã thành văn bản gốc
bằng giải mã. Trước khi các máy tính cơ học và điện tử ra đời thì sự biến đổi
được thực hiện bằng tay bao gồm các thủ tục thay thế và chuyển vị. Các thủ
tục hay những phép biến đổi này dù được thực hiện bằng tay hay bằng máy
tính thì đều liên quan đến toán học. Thủ tục biến đổi được gọi là các thuật
tốn mật mã.
Trong mơi trường máy tính, thuật tốn mã hóa và giải mã dùng khóa mã
để thực hiện những biến đổi tốn học này. Khóa có chức năng là một tham số
vào để biến đổi văn bản gốc thành văn bản mã hóa và ngược lại.
Mật mã với khóa đối xứng
Khi hệ thống sử dụng một khóa cho cả mã hóa và giải mã, thì gọi là khóa

bí mật đối xứng. Hình 1 – 3 minh họa q trình mật mã dùng khóa đối xứng.

Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


- 15 Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

Hình 1 – 3. Hệ mật mã dùng khóa đối xứng[18]
Một nhược điểm của hệ thống khóa đối xứng là khi các hệ thống mật mã
tăng về phạm vi và tính phức tạp, ví dụ như số lượng các thành viên tăng, thì
nó trở nên khó khăn và tốn nhiều chi phí cho quản lý, phân phối và đảm bảo
an ninh cho các khóa.
Mật mã với khóa cơng khai
Mật mã với khóa cơng khai hay mật mã phi đối xứng là một nhánh của
mật mã hiện đại, trong đó các thuật tốn mã hóa sử dụng một cặp khóa. Mật
mã với khóa cơng khai được phân biệt với mật mã khóa đối xứng truyền
thống sử dụng cùng một khóa cho cả mã hóa và giải mã. Cặp khóa trong mật
mã khóa cơng khai bao gồm một khóa bí mật và một khóa cơng khai, cả hai
khóa này đều có thể dùng để mã hóa hoặc giải mã dữ liệu. Một người sử dụng
Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


- 16 Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

đưa khóa cơng khai của mình cho những người khác, và giữ lại khóa bí mật
của mình. Dữ liệu được mã với khóa cơng khai có thể được giải mã chỉ với
một khóa bí mật tương ứng và ngược lại.
Hệ khóa phi đối xứng khơng có những hạn chế như của hệ khóa đối xứng,
bởi vì, khóa cơng khai được tạo sẵn một cách rộng rãi để bất kỳ người nào
cũng có thể dùng nó. Trong hệ thống này chỉ có khóa bí mật cần phải giữ bí

mật.
Hình 1 – 4 thể hiện việc sử dụng khóa cơng khai và khóa bí mật

Hình 1 – 4. Hệ mật mã dùng khóa cơng khai[18]

Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


- 17 Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

Hàm băm (Hash function)
Hàm băm – hiểu theo nghĩa đơn giản là hàm cho tương ứng một mảng dữ
liệu lớn với một mảng dữ liệu nhỏ hơn – được dùng rộng rãi trong nhiều ứng
dụng khác nhau của tin học, không chỉ riêng phạm vi mật mã học. Những
hàm băm có thuộc tính nhất định, có khả năng ứng dụng trong công nghệ mật
mã và trong lĩnh vực đảm bảo tính tồn vẹn của dữ liệu, được gọi là hàm băm
mật mã.

Hình 1 – 5. Hàm băm[18]
Chữ ký số (Digital Signature)
Chữ ký số là q trình mật mã khóa cơng khai trong đó, người ký “ký”
một thơng điệp bằng cách để cho những người khác có thể kiểm tra được
thơng điệp đó là của chính anh ta ký chứ khơng phải ai khác, và thơng điệp đó
Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


- 18 Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

không bị sửa chữa từ khi anh ta ký nó. Q trình ký số cho kết quả là một
chuỗi bits để người nhận thông điệp kiểm tra xác nhận người ký và tính tồn

vẹn của thơng điệp. Bất kỳ thuật tốn ký số nào cũng có thể phát sinh một
chuỗi bits. Những thuật tốn này có đặc điểm chung là thông tin riêng được
sử dụng để tạo ra một chữ ký và thông tin công khai được dùng để kiểm tra
các chữ ký. Một khóa bí mật phải chắc chắn là duy nhất đối với người sử
dụng nó. Nếu người sử dụng một khóa bí mật dùng nó để mã hóa một tài liệu
số, thì mã hóa này có thể coi là giống một chữ ký trên giấy. Điều đó có nghĩa
là tài liệu có một “dấu” mà chỉ có người chủ của nó mới có thể tạo ra. Trong
nhiều thuật tốn, người chủ khơng ký vào tồn bộ văn bản mà chỉ là phần đặc
trưng của văn bản đó.
Để thực hiện ký số trước tiên cần có một mã băm (digest message), một
khóa bí mật để mã hóa mã băm và một khóa cơng khai để giải mã mã băm.
Thủ tục ký số tiến hành như sau:
- A lấy đặc trưng của văn bản (bằng cách dùng hàm băm một chiều, có
sẵn trong hệ thống, để tạo ra mã băm của văn bản);
- A dùng khoá riêng của mình để mã hố “đặc trưng của văn bản” đã
được lấy ra, vì thế có được “MAC” – Message Authentication Code;
- Bước tiếp theo là tuỳ ý. Nếu thấy cần thiết A có thể mã hố văn bản (sử
dụng mã đối xứng);
- A gửi cho B cả văn bản gốc (đã mã hố hoặc khơng mã hố) và “đặc
trưng văn bản” đã “ký” (có chứa MAC);
- Khi B nhận văn bản (cùng với “đặc trưng” đã ký) thì tiến hành thực
hiện rút ra đặc trưng của văn bản mới nhận (bằng hàm băm một chiều
có sẵn của hệ thống mà A đã sử dụng), đồng thời cho giải mã “đặc
Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


- 19 Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

trưng đã ký” (sử dụng khố cơng khai của A) và so sánh hai “đặc trưng
với nhau”. Nếu thấy chúng khớp nhau thì chứng tỏ văn bản nhận được

có nội dung khơng bị thay đổi so với khi ký.

Hình 1 – 6. Ví dụ chữ ký số[18]
1.2.1.2

Infrastructure – Chữ I trong PKI

Các thành phần của PKI bao gồm:
Xác nhận chủ thể (Certification Authority-CA)
Xác nhận chủ thể là một thành viên tạo ra và “ký” một tài liệu hay một
tệp chứa tên người sử dụng và khóa cơng khai của anh ta. Bất kỳ ai cũng có
thể kiểm tra tệp đã được CA ký, bằng cách dùng khóa cơng khai của CA. Sự
tin cậy ở khóa cơng khai của người sử dụng có thể được dùng một cách đệ
Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


- 20 Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

quy. Một người có thể có một chứng nhận chứa khóa cơng khai của CA được
ký bởi một CA trước đó mà anh ta tin tưởng. Một ứng dụng rộng rãi hơn của
chứng thực số không chỉ bao gồm tên và khóa cơng khai mà cịn những thơng
tin khác nữa. Sự kết hợp đó cùng với chữ ký tạo thành một sự chứng thực mở
rộng. Những thông tin khác bao gồm, ví dụ địa chỉ thư điện tử, quyền để ký
những tài liệu bằng một giá trị cho trước, hay quyền để ký các chứng nhận
khác.
Cơ sở dữ liệu (Database)
Cơ sở dữ liệu là một cấu trúc lưu trữ dữ liệu mà ở đó CA giữ thơng tin
được u cầu cho các thao tác bên trong của CA
Kho (Repository)
Kho là một hệ thống dùng để chứa và phân phối các chứng nhận số và các

thơng tin có liên quan được cung cấp như là một cơ sở dữ liệu được tập trung
một cách có logic, đáng tin cậy. Nó thường được cung cấp bằng một server ở
xa dựa vào giao thức truy nhập thư mục nhẹ (Lightweight Directory Access
Protocol), một thư mục X.500 hoặc thư mục khác.
Quyền đăng ký (Registration Authority)
Quyền đăng ký (RA) là một thành phần của PKI có chức năng tách rời
với CA. RA hỗ trợ CA trong việc ghi lại hay kiểm tra thông tin cần thiết để
phát sinh các xác nhận khóa cơng khai, hoặc các chức năng quản lý xác nhận
khác.
Timestamp Server (TS) và Data Validation and Certification Server
(DVCS)
TS ký lên một chuỗi hoặc một tệp dữ liệu để xác nhận rằng chuỗi hay tệp
dữ liệu đó đã tồn tại một thời điểm cụ thể. DVSC xác nhận tính đúng đắn của
Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


- 21 Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

dữ liệu và sau đó ký vào đó. TS và DVCS là các thành phần tùy chọn của
PKI.
Lưu trữ(Archive)
Cung cấp nơi lưu trữ lâu dài các xác nhận và các bản ghi có giá trị khác.
1.2.2 Sinh trắc học (Biometrics)
Theo lý thuyết, bất kỳ đặc điểm vật lý hoặc hành vi nào của con người
đều có thể được dùng để nhận dạng nếu như nó thoả mãn những điều kiện
sau:
- Tính chất chung (universality), nghĩa là mọi người đều có đặc điểm đó.
- Tính duy nhất (uniqueness), nghĩa là khơng tồn tại hai người có cùng
đặc điểm đó.
- Tính cố định (permanence), nghĩa là đặc điểm đó khơng biến đổi theo

thời gian.
- Tính khả thu thập (Collectability), nghĩa là đặc điểm đó có thể được đo
bằng định lượng.
Trong thực tế, có một số điều kiện quan trọng khác:
- Sự thực thi (performance), nó được xem như khả năng nhận dạng chính
xác có thể đạt được trong những điều kiện làm việc và ảnh hưởng của
các nhân tố môi trường.
- Tính khả chấp nhận (acceptability), cho thấy con người đang sẵn sàng
chấp nhận hệ thống sinh trắc học đó ở mức độ nào.
- Sự phá vỡ (circumvention), đó là mức độ đánh lừa hệ thống bằng các
kỹ thuật.

Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin


- 22 Nghiên cứu giải pháp an ninh thông tin dựa trên sự kết hợp giữa PKI và đặc điểm vân tay

Sinh trắc học là công nghệ phát triển rất nhanh và được sử dụng rộng rãi
trong lĩnh vực pháp lý như nhận dạng tội phạm và ngày nay, nó phát triển
mạnh mẽ trong phạm vi rất rộng của các ứng dụng khác như:
- An ninh cho ngành ngân hàng (banking security) với việc chuyển tiền
điện tử, máy rút tiền tự động, thẻ tín dụng,…
- Kiểm sốt truy cập vật lý (physical access control) như kiểm tra ra vào
sân bay,…
- An ninh hệ thống thông tin (information system security), như truy cập
cơ sở dữ liệu thông qua quyền đăng nhập.
- Hải quan và nhập cư (customs and immigration) như INSPASS cho
phép làm thủ tục nhập cư nhanh hơn dựa vào dạng bàn tay.
- Các hệ ID quốc gia (national ID system) cung cấp một ID duy nhất cho
mỗi công dân và tích hợp các dịch vụ của chính phủ khác.

- Đăng ký cử tri và lái xe (voter and driver registration) cung cấp những
điều kiện thuận lợi cho các cử tri và các lái xe.
Hiện nay, có một số kỹ thuật sinh trắc học chính được sử dụng rộng rãi
hay đang trong thử nghiệm được giới thiệu một cách ngắn gọn sau đây:
- DNA: DeoxyriboNucleic Acid (DNA) là mã một chiều duy nhất và tốt
nhất đối với mỗi cá nhân, ngoại trừ trường hợp các cặp sinh đôi đồng
trứng mới có mẫu DNA giống nhau. Tuy nhiên, nó được sử dụng hầu
hết trong các ứng dụng thuộc lĩnh vực pháp lý để nhận dạng con người.
Có một vài vấn đề hạn chế tính hiệu quả của biện pháp sinh trắc học
này đối với các lĩnh vực khác là:

Trần Tuấn Vinh - Luận văn thạc sĩ khoa học - Chuyên ngành Công nghệ thông tin