Nghiên cứu xây dựng hệ thống PKI dựa trên bộ phần mềm mã nguồn mở OpenCA

LỜI CẢM ƠN Sau ba tháng nỗ lực thực hiện, đồ án “ Nghiên cứu xây dựng hệ thống PKI dựa trên bộ phần mềm mã nguồn mở OpenCA” đã phần nào hoàn thành. Ngoài sự cố gắng hết mình của bản thân, em đã nhận được sự khích lệ rất nhiều từ phía nhà trường, thầy cô, gia đình, bạn bè Em xin gửi lời cảm ơn chân thành và sâu sắc nhất tới Ths Hoàng Đức Thọ, người thầy đã cho em những định hướng và những ý kiến rất quý báu về PKI và OpenCA Em cũng xin tỏ lòng biết ơn sâu sắc tới thầy cô trong khoa và bạn bè cùng khoá đã giúp đỡ em tiến bộ trong suốt những năm học tại Học Viện Kỹ Thuật Mật Mã. Xin cảm ơn gia đình và những người thân yêu đã luôn động viên, khuyến khích giúp đỡ con trong mọi hoàn cảnh khó khăn Xin cảm ơn bạn bè đã và đang động viên, giúp đỡ tôi trong quá trình học tập và hoàn thành đồ án tốt nghiệp này Đồ án tốt nghiệp của em được hoàn thành trong một thời gian cũng tương đối ngắn. Vì vậy đồ án này chắc chắn sẽ còn nhiều khiếm khuyết. Em xin cảm ơn những thầy cô, bạn bè và người thân sẽ có những góp ý chân thành cho nội dung của đồ án này, để em có thể tiếp tục tìm hiểu, đi sâu nghiên cứu và áp dụng trong thực tiễn Ngô Thu Hằng 1 MỤC LỤC MỤC LỤC..............................................................................................................................2 DANH MỤC CÁC TỪ VIẾT TẮT.......................................................................................6 DANH MỤC HÌNH VẼ.......................................................................................................10 LỜI NÓI ĐẦU.....................................................................................................................10 CHƯƠNG I: CƠ SỞ MẬT MÃ HỌC...............................................................................13 1.1.Mật mã khoá bí mật..................................................................................................13 1.1.1.Giới thiệu về mật mã khoá bí mật và các khái niệm có liên quan...................13 1.1.2.Một vài các thuật toán sử dụng trong mật mã khoá đối xứng .........................14 1.1.2.1.DES .............................................................................................................14 1.1.2.2.IDEA............................................................................................................14 1.1.2.3. Triple DES...................................................................................................14 1.1.2.4.CAST­128....................................................................................................15 1.1.2.5.AES..............................................................................................................15 1.2.Mật mã khoá công khai..............................................................................................16 1.2.1.Khái niệm...........................................................................................................16 1.2.2. Các thuật toán sử dụng trong mật mã khoá công khai.....................................17 1.2.2.1. RSA.............................................................................................................17 1.2.2.2.Phương thức trao đổi khoá Diffie Hellman................................................17 1.3. Chữ ký số..................................................................................................................18 2 1.3.1.Quá trình ký.........................................................................................................18 1.3.2.Quá trình kiểm tra chữ ký số..............................................................................19 1.4. Hàm hash...................................................................................................................20 1.4.1.Khái niệm hàm hash...........................................................................................20 1.4.2. Tóm lược thông báo ..........................................................................................20 CHƯƠNG II: TỔNG QUAN VỀ PKI VÀ CA ..................................................................21 2.1. Lịch sử phát triển PKI..............................................................................................21 2.2.Tình hình PKI tại Việt Nam......................................................................................23 2.3. Các định nghĩa về PKI và các khái niệm có liên quan.............................................25 2.3.1. Các định nghĩa về PKI.......................................................................................25 2.3.2. Các khái niệm liên quan trong PKI....................................................................26 2.3.2.1.Chứng chỉ.....................................................................................................26 2.3.2.2.Kho chứng chỉ..............................................................................................28 2.3.2.3.Hủy bỏ chứng chỉ........................................................................................28 2.3.2.4. Sao lưu và dự phòng khóa..........................................................................29 2.3.2.5.Cập nhật khóa tự động...........................................................................30 2.3.2.6.Lịch sử khóa.................................................................................................30 2.3.2.7.Chứng thực chéo..........................................................................................31 2.3.2.8.Hỗ trợ chống chối bỏ..................................................................................31 2.3.2.9.Tem thời gian...............................................................................................32 2.3.2.10.Phần mềm phía Client...............................................................................32 2.4. Mục tiêu, chức năng ................................................................................................33 2.4.1. Xác thực.............................................................................................................34 2.4.1.1.Định danh thực thể......................................................................................34 2.4.1.1.1.Xác thực cục bộ....................................................................................34 2.4.1.1.2.Xác thực từ xa.......................................................................................34 2.4.1.2. Định danh nguồn gốc dữ liệu....................................................................35 2.4.2. Bí mật.................................................................................................................35 2.4.3.Toàn vẹn dữ liệu................................................................................................35 2.4.3.1.Chữ ký số.....................................................................................................36 2.4.3.2. Mã xác thực thông báo ...............................................................................36 2.4.4.Chống chối bỏ....................................................................................................36 2.5. Các khía cạnh an toàn cơ bản mà PKI cung cấp.....................................................36 2.5.1. Đăng nhập an toàn ............................................................................................37 2.5.2. Đăng nhập một lần an toàn ..............................................................................37 2.5.3. Trong suốt với người dùng cuối.......................................................................38 2.5.4. An ninh toàn diện..............................................................................................39 CHƯƠNG IIII: CÁC THÀNH PHẦN, CƠ CHẾ LÀM VIỆC CỦA PKI. CÁC MÔ HÌNH VÀ CÁC KIỂU KIẾN TRÚC CỦA PKI.............................................................................40 3.1. Mô hình PKI và các thành phần của PKI.................................................................40 3.1.1. CA......................................................................................................................40 3.1.2.RA.......................................................................................................................41 3.1.2.1.Chức năng, nhiệm vụ của RA....................................................................41 3.1.2.2.Thành phần của RA.....................................................................................41 3.1.2.2.1.RA Console...........................................................................................41 3.1.2.2.2.RA Officer.............................................................................................42 3.1.2.2.3.RA Manager..........................................................................................42 3.1.3. Certificate­Enabled Client: Bên được cấp phát chứng chỉ...............................42 3 3.1.4. Data Recipient : Bên nhận dữ liệu....................................................................43 3.1.5. Kho lưu trữ/thu hồi chứng chỉ..........................................................................43 3.1.6.Chuỗi chứng chỉ hoạt động như thế nào ..........................................................43 3.2. Cách thức làm việc của PKI....................................................................................44 3.2.1. Khởi tạo thực thể cuối......................................................................................45 3.2.2. Tạo cặp khoá công khai/khoá riêng..................................................................45 3.2.3. Áp dụng chữ ký số để định danh người gửi....................................................46 3.2.4. Mã hóa thông báo...............................................................................................46 3.2.5. Truyền khóa đối xứng.......................................................................................46 3.2.6. Kiểm tra danh tính người gửi thông qua một CA............................................47 3.2.7. Giải mã thông báo và kiểm tra nội dung thông báo..........................................47 3.3. Các tiến trình trong PKI............................................................................................48 3.3.1. Yêu cầu chứng chỉ.............................................................................................48 3.3.1.1. Gửi yêu cầu................................................................................................49 3.3.1.2. Các chính sách.............................................................................................49 3.3.2. Huỷ bỏ chứng chỉ..............................................................................................50 3.4. Các mô hình PKI.......................................................................................................50 3.4.1. Mô hình phân cấp CA chặt chẽ (strict hierarchy of CAs)................................50 3.4.2.Mô hình phân cấp CA không chặt chẽ (loose hierarchy of CAs)......................52 3.4.3.Mô hình kiến trúc tin cậy phân tán (distributed trust architecture)....................52 3.4.4. Mô hình 4 bên (four­corner model)....................................................................53 3.4.5. Mô hình Web (web model)................................................................................55 3.4.6.Mô hình tin cậy lấy người dùng làm trung tâm (user­centric trust)..................56 3.5.Các kiểu kiến trúc PKI..............................................................................................57 3.5.1. Kiến trúc kiểu Web of Trust.............................................................................58 3.5.2.Kiến trúc kiểu CA đơn (Single CA)..................................................................59 3.5.3. Kiến trúc CA phân cấp......................................................................................61 3.5.4. Kiến trúc kiểu chứng thực chéo (Cross­certificate).........................................62 3.5.5. Kiến trúc Bridge CA(BCA)...............................................................................63 CHƯƠNG IV: XÂY DỰNG MÔ HÌNH PKI DỰA TRÊN MÃ NGUỒN MỞ OPENCA ..............................................................................................................................................64 4.1.Lịch sử phát triển OpenCA.......................................................................................64 4.2. CA ............................................................................................................................66 4.2.1.Chức năng của CA..............................................................................................66 4.2.1.1. Cấp phát chứng chỉ.....................................................................................66 4.2.1.2.Huỷ bỏ chứng chỉ........................................................................................66 4.2.1.3.Tạo lập chính sách chứng chỉ.....................................................................67 4.2.1.4.Hướng dẫn thực hiện chứng chỉ số (Certification Practice Statement).....67 4.2.2.Nhiệm vụ của CA..............................................................................................68 4.2.3. Các loại CA........................................................................................................68 4.2.3.1.Enterprise CA: .............................................................................................68 4.2.3.2.Standalone CA..............................................................................................68 4.2.4.Các cấp CA.........................................................................................................69 4.2.4.1.Root CA(CA gốc)........................................................................................69 4.2.4.2.Subordinate CA(CA phụ thuộc): ................................................................69 4.3. Thiết kế chung của CA............................................................................................70 4.3.1.Phân cấp cơ bản.................................................................................................71 4.3.2.Các giao diện......................................................................................................73 4 4.3.2.1.Node.............................................................................................................74 4.3.2.2.CA................................................................................................................75 4.3.2.3.RA................................................................................................................75 4.3.2.4. LDAP...........................................................................................................76 4.3.2.5.Pub................................................................................................................76 4.4. Vòng đời của các đối tượng....................................................................................76 4.5. Các lưu ý khi thiết kế PKI.......................................................................................77 4.5.1. Các vấn đề phần cứng......................................................................................78 4.5.1.1.Thời gian......................................................................................................78 4.5.1.2.Đĩa lỗi...........................................................................................................78 4.5.1.3.Theo dõi phần cứng.....................................................................................78 4.5.2.An toàn vật lý......................................................................................................79 4.5.3.Các vấn đề về mạng..........................................................................................80 4.5.4.Vấn đề về chứng chỉ.........................................................................................80 4.5.5.CDPs (Các điểm phân phối danh sách huỷ bỏ chứng chỉ (CDP))....................80 4.5.6.Các vấn đề cụ thể về ứng dụng.......................................................................81 4.5.6.1.Mail Server...................................................................................................81 4.5.6.2. Client Netscape............................................................................................81 4.5.6.3.OpenLDAP...................................................................................................81 PHỤ LỤC.............................................................................................................................83 1.Môi trường phát triển...................................................................................................83 1.1.Apache....................................................................................................................83 1.2. OpenSSL...............................................................................................................84 1.2.1.Công cụ dòng lệnh trong openssl...................................................................85 1.2.1.1.Các dòng lệnh chuẩn...............................................................................85 1.2.1.2.Các dòng lệnh tóm lược thông báo.........................................................87 1.2.1.3. Các dòng lệnh về mã hoá.......................................................................87 1.2.2.Thư viện SSL/TLS trong OpenSL..................................................................88 1.2.2.1.Miêu tả.....................................................................................................88 1.2.2.2. Cấu trúc dữ liệu.....................................................................................88 1.2.2.3. Các file header.........................................................................................89 1.2.3. Thư viện mật mã trong OpenSSL.................................................................90 1.2.3.1. Miêu tả ...................................................................................................90 1.2.3.2.Tổng quan................................................................................................90 1.2.4. Bộ công cụ OpenSSL....................................................................................90 1.3.1.Các điểm nổi bật............................................................................................92 1.3.2.Kiến trúc gói mod_ssl.....................................................................................93 1.3.3.Giao thức SSL ................................................................................................93 1.4. OpenLDAP............................................................................................................95 1.5. Các module perl.....................................................................................................99 2.Các chuẩn mật mã......................................................................................................100 5 ... - tailieumienphi.vn