hunter_yunakiss
New Member
Download miễn phí Đề tài Xây dựng module đăng ký người dùng trên nền web-Based trong hệ thống an ninh thông tin BK-BioPKI
MỤC LỤC
LỜI NÓI ĐẦU 1
CHƯƠNG I: TÌM HIỂU TỔNG QUAN VỀ PKI - OPENCA VÀ SINH TRẮC HỌC 10
1. Khái niệm và các cơ sở lý thuyết của hạ tầng cơ sở khóa công khai 10
1.1. Khái niệm hạ tầng cơ sở khóa công khai 10
1.2. Các cơ sở lý thuyết của hệ thống PKI 10
1.2.1. Công nghệ mã hóa bất đối xứng (Mã hóa công khai) 10
1.2.1.1. Mô hình mã hóa bất đối xứng 10
1.2.1.3. Đánh giá công nghệ mã hóa công khai 11
1.2.2. Chữ ký điện tử 12
1.2.2.3. Khái niệm chữ kí điện tử (Electronic Signature) 12
1.2.2.4. Khái niệm chữ kí số (Digital Signature) 12
1.2.2.5. Ý nghĩa của chữ kí số 12
1.2.2.6. Hàm băm 12
1.2.2.7. Quy trình tạo và thẩm định chữ kí số 13
1.2.3. Chứng thư số 14
1.2. Các thành phần trong hệ thống PKI 15
1.2.1. Nhà phát hành chứng chỉ - CA 16
1.2.2. Cơ quan đăng ký chứng thực – RA 18
1.2.3. Thực thể đầu cuối (End –Entity) 18
1.2.4. Kho chứa chứng chỉ 19
1.3. Kiến trúc của PKI 19
1.4. Các hoạt động chính trong hệ thống PKI 21
1.4.1. Cấp phát chứng chỉ 21
1.4.2. Phân phối chứng chỉ 22
1.4.3. Thu hồi chứng chỉ 22
1.4.4. Quản lý khóa cá nhân 22
1.6. Một số vấn đề an toàn của hệ thống PKI 23
1.6.1. Lộ khóa cá nhân 23
1.6.2. Giả mạo khóa công khai 23
1.7. Tổng quan về OpenCA 24
1.7.1. Định nghĩa 24
1.7.2. Các thành phần cơ bản của OpenCA 24
1.7.2.1. Module Pub 24
1.7.2.2. Module RA 25
1.7.2.3. Module CA 25
1.8. Tổng quan về Sinh trắc học 26
1.8.1. Khái niệm 26
1.8.2. Các giải pháp tích hợp sinh trắc vào hệ thống PKI 27
1.8.2.1. Hướng dùng sinh trắc để thẩm định người dùng 27
1.8.2.2. Hướng dùng sinh trắc để sinh khóa cá nhân 28
1.8.2.3. Hướng sinh khóa sinh trắc mã hóa bảo vệ khóa cá nhân 28
CHƯƠNG 2: HỆ THỐNG BK-BioPKI VÀ GIẢI PHÁP TÍCH HỢP SINH TRẮC 30
1.Khái quát hệ thống BK-BioPKI 30
1.1.Mô hình thiết kế tổng thể hệ thống BK-BioPKI 30
1.2. Các thành phần của hệ thống BKBio-PKI dựa trên OpenCA 31
1.2.1. CA 31
1.2.1.1.CA Operator 31
1.2.1.2. Linux-OpenCA 32
1.2.2. RA 32
1.2.2.1.Bộ phận dịch vụ phát hành chứng chỉ 32
1.2.2.2.Bộ phận dịch vụ chứng chỉ 32
1.2.3.LRA 32
1.2.4.User Applications 33
1.3. Xây dựng phương án về quy trình hệ thống BK-BioPKI 33
1.3.1. Cấp phát chứng chỉ 33
1.3.2.Hủy chứng chỉ tức thời 35
1.3.3.Sử dụng chứng chỉ 35
2. Thiết kế tích hợp mã hóa sinh trắc bảo vệ khóa cá nhân vào hệ thống BK-BioPKI 36
2.1.Phân tích yêu cầu 36
2.2.Phân tích thiết kế 37
2.2.1.Phân hệ sinh trắc sinh khóa bảo vệ khóa cá nhân 37
2.2.2.Thiết kế tích hợp 37
2.2.2.1.Kịch bản xin cấp chứng chỉ 38
2.2.2.2.Kịch bản sử dụng chứng chỉ 38
CHƯƠNG 3: KHẢO SÁT VÀ PHÂN TÍCH XÂY DỰNG ỨNG DỤNG TRÊN NỀN WEB-BASED 40
1. Giới thiệu công nghệ Web 40
2. Phân tích và lựa chọn giải pháp công nghệ xây dựng ứng dụng 40
2.1. Phân tích yêu cầu ứng dụng 40
2.2. Giới thiệu một số giải pháp công nghệ web hiện nay 42
2.2.1. Web plug-in 42
2.2.2. Web Service 43
2.2.3. Java Applet 43
2.3. Lựa chọn giải pháp công nghệ 44
2.4. Triển khai sử dụng công nghệ 44
2.5. Mô hình ứng dụng 45
2.5. Một số điểm cần chú ý 45
CHƯƠNG 4: THIẾT KẾ CHI TIẾT MODULE ĐĂNG KÝ TRÊN WEB 46
1.Thiết kế kịch bản ứng dụng 46
2. Thiết kế chi tiết ứng dụng 48
2.1. Xây dựng form đăng ký 48
2.2. Xây dựng form ký dữ liệu 54
2.3. Ký vào Applet [10] 56
2.4. RA Server xác thực chữ ký của LRA 59
2.5.Cấu hình SSL cho Tomcat server[11] 61
KẾT LUẬN 65
TÀI LIỆU THAM KHẢO 67
Để tải tài liệu này, vui lòng Trả lời bài viết, Mods sẽ gửi Link download cho bạn ngay qua hòm tin nhắn.
Ketnooi -
Ai cần tài liệu gì mà không tìm thấy ở Ketnooi, đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
Chứng chỉ số sau khi phát hành cần được công bố rộng rãi cho bất kỳ ai có nhu cầu trao đối thông tin với chủ thể của chứng chỉ số đó.
1.4.2. Phân phối chứng chỉ
PKI thường dùng một số phương pháp công bố chứng chỉ số như sau:
Dịch vụ thư mục: Phương pháp này dành cho các chứng chỉ số theo chuẩn X.509. Dịch vụ thư mục dành cho PKI phổ biến là X.500/LDAP theo chuẩn của IETF.
Trang web: các chứng chỉ số được đưa lên trang web để mọi người có thể truy cập.
Các phương tiện khác như email ..
1.4.3. Thu hồi chứng chỉ
Các chứng chỉ số bị thu hồi khi hết thời gian sử dụng, CA chứng thực cho chứng chỉ đó không còn tin cậy hay chứng chỉ số đó không còn được dùng nữa Chỉ có CA mới có quyền thu hồi chứng chỉ.
Sau khi thu hồi phải công bố rộng rãi. Có hai cách công bố là: đưa thông báo lên một máy chủ để thông báo mọi người hay đưa chứng chỉ số bị hủy bỏ vào một danh sách chứng chỉ hết hiệu lực (Certificate Revocation Lists - CRL) và sau đó sẽ được xóa bỏ.
1.4.4. Quản lý khóa cá nhân
Khóa cá nhân ở đây bao gồm cả khóa cá nhân của người dùng và khóa cá nhân của CA. Việc quản lý gồm 3 hoạt động như sau:
Bảo vệ khóa cá nhân: khóa cá nhân được lưu trong phương tiện lưu trữ an toàn như smart card hay file đã mã hóa. Truy cập tới khóa cá nhân cần có thông tin xác thực như PIN, mật khẩu hay đặc trưng sinh trắc học
Cập nhật khóa: Do người sử dụng đã được định danh từ trước nên quá trình này đơn giản chỉ là tạo thêm một chứng chỉ số và cặp khóa mới. Để cập nhật chứng chỉ số cho CA gốc, quá trình sẽ phức tạp hơn, vì một số người dùng vẫn có thể đang tin cậy chứng chỉ số cũ trong khi một số chuyển sang tin cậy chứng chỉ số mới. Giải pháp cho vấn đề này là tạo ra và phát hành ba chứng chỉ số chuyển tiếp tạm thời như sau:
Một chứng chỉ số có chứa khóa công khai cũ của CA, được ký bằng khóa cá nhân mới của CA. Thời gian hoạt động của chứng chỉ số này tính từ ngày tạo cho tới ngày hết hạn của chứng chỉ số cũ.
Một chứng chỉ số có chứa khóa công khai mới của CA, được ký bằng khóa cá nhân cũ của CA. Chứng chỉ số này có hiệu lực từ ngày ký cho tới ngày hết hạn của chứng chỉ số cũ.
Một chứng chỉ số có chứa khóa công khai mới của CA, được ký bằng khóa cá nhân mới của CA. Đây là chứng chỉ số có tính ổn định, hoạt động cho tới khi cần cập nhật khóa cho CA lần tiếp theo.
Sao lưu/phục hồi: Chức năng này cho phép người dùng lấy lại khóa cá nhân trong trường hợp bị mất. Việc sao lưu và phục hồi khóa phải được tiến hành bằng một đối tác tin tưởng (như một CA), có trách nhiệm giữ bí mật các khóa cá nhân.
1.6. Một số vấn đề an toàn của hệ thống PKI
Hệ thống PKI được xây dựng với mục đích chính là để cung cấp các dịch vụ an toàn, tuy nhiên như bất cứ một hệ thống nào PKI cũng tồn tại một sô vấn đề an toàn [1].
1.6.1. Lộ khóa cá nhân
Vấn đề đầu tiên được nhắc tới của hệ thống PKI chính là việc lộ khóa cá nhân của người dùng. Khóa cá nhân của người dùng được lưu trữ trên các phương tiện khác nhau mà các phương tiện này thông thường chỉ được bảo vệ bởi một password nên khả năng mất an toàn là rất cao. Vấn đề này có thể được giải quyết khi áp dụng sinh trắc học để bảo vệ khóa riêng.
1.6.2. Giả mạo khóa công khai
Trường hợp khóa này được bảo vệ bằng chữ ký của CA, tức là kiểm tra được bằng khóa công khai của CA, có nguy cơ kẻ tấn công thay thế khóa của CA trên máy người dùng, sau đó tiến hành thay thế khóa công khai của người dùng bằng khóa giả.
1.7. Tổng quan về OpenCA
1.7.1. Định nghĩa
OpenCA là một mô hình PKI mã nguồn mở, được viết bằng Perl, sử dụng phần nhân là OpenSSL và được viết bởi PKI Lab. Hệ thống này được xây dựng với mục đích cung cấp một hạ tầng cơ sở khóa công khai mã nguồn mở với đầy đủ các chức năng quản lý chứng chỉ bao gồm cấp phát, thu hồi, gia hạn chứng chỉ cho người dùng. Phiên bản mới nhất tính đến thời điểm hiện nay (tháng 5 năm 2009) là OpenCA PKI v1.0.2 (ten-ten2) .
1.7.2. Các thành phần cơ bản của OpenCA
Hình 1.9 Các thành phần cơ bản của OpenCA
Các thành phần cơ bản của OpenCA gồm:
1.7.2.1. Module Pub
Module Pub trong OpenCA là giao diện trực tiếp với người sử dụng thực hiện các chức năng sau :
Tiếp nhận yêu cầu cấp và thu hồi chứng chỉ của người dùng : để thực hiện chức năng này, Pub thực hiện thu thập các thông tin cơ bản của người dùng đặc biệt là 1 số PIN dùng cho việc xác thực yêu cầu của người dùng. Sau đó gửi yêu cầu đó cho RA.
Pub cũng là nơi thực hiện việc cấp các chứng chỉ do CA duyệt thông qua trả về cho người dùng.
Pub cung cấp 1 số tiện ích như kiểm tra các chứng chỉ, quản lý các yêu cầu cấp và thu hồi chứng chỉ cho người dùng.
Điểm còn hạn chế của module Pub trong OpenCA là chưa có một hệ thống quản lý người dùng hoàn chỉnh. Đồng thời Pub được truy nhập , tiếp nhận yêu cầu và cấp chứng chỉ tự do tuy nhiên với một hệ thống nguồn mở thì đây vẫn còn là một điều chấp nhận được.
1.7.2.2. Module RA
Module RA trong OpenCA được sử dụng để thực hiện việc quản lý các yêu cầu cấp và thu hồi các chứng chỉ dùng cho quản trị RA.
Chức năng chính của RA :
Quản lý và xét duyệt các yêu cầu về cấp và thu hồi chứng chỉ từ Pub rồi gửi lên cho CA : chức năng này cho phép quản trị RA biên soạn lại các yêu cầu cấp chứng chỉ, xác thực thông tin người dùng sử dụng mã PIN của người dùng đó.
Duyệt các chứng chỉ do CA trả về cho người dùng.
Một chức năng quan trọng của RA là thực hiện việc sinh khóa riêng cho người dùng sau đó sử dụng mã PIN để mã hóa bảo vệ và khóa riêng và gửi lên cho CA.
Trong mô hình PKI phổ biến thì RA thường đứng ở vai trò giao tiếp với người dùng. Nhưng trong OpenCA thì module Pub cộng với RA mới tạo thành một RA đúng nghĩa. Việc phân thành hai lớp quản lý như vậy tạo ra sự linh hoạt và mềm dẻo trong việc quản lý quy trình cấp chứng chỉ.
1.7.2.3. Module CA
Module CA trong OpenCA thực hiện các chức năng quản lý việc cấp và thu hồi các chứng chỉ.
Chức năng chính của CA:
Quản lý các yêu cầu cấp phát và thu hồi chứng chỉ do RA gửi lên : ở chức năng này CA hỗ trợ việc duyệt các yêu cầu cấp chứng chỉ đồng thời thực hiện các chức năng như cấp và thu hồi chứng chỉ cho người dùng.
Quản lý các danh sách chứng chỉ bị thu hồi.
1.8. Tổng quan về Sinh trắc học
1.8.1. Khái niệm
Sinh trắc (Biometric) là đặc tính hay thuộc tính vật lý hay sinh học mà có thể định lượng được. Nó có thể được dùng là phương tiện chứng minh định danh của người dùng. Một vài đặc tính sinh trắc học như: chiều cao, cân nặng, mùi cơ thể, vân tay, mống mắt, khuôn mặt, hình dạng bàn tay hay ngón tay, giọng nói, chữ ký
Hình 1.10 Các thuộc tính sinh trắc học
Các thuộc tính sinh trắc được phân loại thành các tập nhỏ hơn và không phải tất cả các thuộc tính này đều phù hợp cho mục đích nhận dạng, thẩm định. Các tiêu chuẩn để đánh giá một thuộc tính sinh trắc có thể được sử dụng cho mục đích này hay không như sau:
Tính phổ dụng (Universality): Tất cả mọi người đều phải có đặc tính sinh trắc học này, như: mống mắt, vân tay, khuôn mặt
Tính duy nhất (Uniqueness): Đặc trưng sinh trắc học này của từng người phải khác nhau và là duy nhất.
Tính bề vững (Permanence): Những đặc tính sinh trắc học phải khá ổn định trong suốt cuộc đời con người.
Tính khả dụng (Collectability): Đặc trưng sinh trắc học này phải được thu thập một cách dễ dàng và khá nhanh chóng cho mục đích nhận dạng.
Tính hiệu quả (Performance): Mức độ chính xác phải khá cao sao cho các hệ thống có thể được triển khai tin cậy trong thực tế.
Tính chấp nhận được (Acceptability): Các đặc trưng sinh trắc học này phải được con người chấp nhận trên thực tế.
Tính an toàn (Resistance to Circumvention): Hệ thống có dễ dàng bị giả mạo hay không.
1.8.2. Các giải pháp tích hợp sinh trắc vào hệ thống PKI
Vấn đề bảo vệ khóa cá nhân luôn được chú trọng vì khóa cá nhân đóng vai trò bảo mật trung tâm cho toàn bộ hoạt động khác. Nếu khóa cá nhân của người dùng bị mất trộm thì đương nhiên những tài liệu mật gửi cho anh ta sẽ không còn an toàn. Trong trường hợp khóa cá nhân của một CA bị mất thì toàn bộ các CA và người dùng cấp dưới của nó sẽ không đảm bảo độ tin cậy, vì người lấy được khóa cá nhân đó có thể cấp chứng chỉ số cho bất kỳ một CA hay người dùng giả mạo nào đó nhân danh CA này. Nếu CA gốc bị mất khóa cá nhân thì toàn bộ hệ thống PKI trở nên vô nghĩa và sụp đổ. Có thể thấy, vấn đề bảo vệ khóa cá nhân mang ý nghĩa rất lớn.
Vấn đề xác thực và thẩm định chủ thể, điểm yếu của PKI, lại là điểm mạnh của sinh trắc học. Do đó xu thế kết hợp sinh trắc học với PKI thành BioPKI là xu thế tất yếu. Hệ thống BioPKI được xây dựng sẽ đảm bảo định danh chính xác người dùng, bảo vệ an toàn tuyệt đối khóa cá nhân, đồng thời mang lại sự tiện lợi cho người sử dụng.
Sau đây ta sẽ trình bày về các hướng tiếp cận của hệ thống sinh trắc học vào PKI để tạo nên một hệ thống có tính an toàn cao, hệ thống BioPKI [6].
1.8.2.1. Hướng dùng sinh trắc để thẩm định người dùng
Theo hướng này, người dùng mỗi khi sử dụng hệ thống PKI cần gửi kèm theo thông tin sinh trắc học để chứng minh bản thân. Nói cách khác, thông tin sinh trắc học đó chính là một dạng chứng nhận kèm theo chứng chỉ số an...