1. Trang chủ
  2. » Thể loại khác

Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ

82 3 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Nghiên Cứu Và Triển Khai Hạ Tầng Kĩ Thuật Khóa Công Khai Ở UBND Tỉnh – Thành Phố
Người hướng dẫn TS. Lê Phê Đô
Trường học trường
Thể loại báo cáo tốt nghiệp
Định dạng
Số trang 82
Dung lượng 2,24 MB

Cấu trúc

  • Chương 1 Giới thiệu tổng quan (6)
    • 1.1 Giới thiệu (6)
    • 1.2 Hệ mật mã (6)
    • 1.3 Chứng chỉ số và lợi ích của chứng chỉ số (7)
    • 1.4 Hiện trạng sử dụng chứng chỉ số trên thế giới và ở Việt Nam (10)
  • Chương 2 Chứng chỉ số và hạ tầng khóa công khai (12)
    • 2.1 Chứng chỉ số (digital certificates) (13)
      • 2.1.1 Giới thiệu (13)
      • 2.1.2 Chứng chỉ khóa công khai X.509 (15)
      • 2.1.3 Thu hồi chứng chỉ (19)
      • 2.1.4 Chính sách chứng chỉ (19)
      • 2.1.5 Công bố và gửi thông báo thu hồi chứng chỉ (20)
    • 2.2 Các thành phần của PKI (24)
      • 2.2.1 Tổ chức chứng thực (Certificate Authority) (25)
      • 2.2.2 Trung tâm đăng kí (Registration Authorities) (26)
      • 2.2.3 Thực thể cuối (End Entity) (27)
      • 2.2.4 Hệ thống lưu trữ (Reponsitories) (27)
    • 2.3 Chức năng cơ bản của PKI (28)
      • 2.3.1 Chứng thực (Certification) (28)
      • 2.3.2 Thẩm tra (28)
      • 2.3.3 Một số chức năng khác (29)
    • 2.4 Kiến trúc PKI (32)
      • 2.4.1 Mô hình CA đơn (33)
      • 2.4.2 Mô hình phân cấp (34)
      • 2.4.3 Kiến trúc phân cấp mạng lưới (35)
      • 2.4.4 Kiến trúc danh sách tin cậy (37)
  • Chương 3 Xây dựng hệ thống cung cấp chứng chỉ số (40)
    • 3.1 Tổng quan về hệ thống (40)
      • 3.1.1 Mô hình hệ thống (40)
      • 3.1.2 Một số đặc tính của hệ thống cung cấp chứng chỉ số (40)
    • 3.2 Các thành phần chính trong hệ thống cung cấp chứng chỉ số (45)
      • 3.2.1 Các thành phần CA (45)
      • 3.2.2 Các thành phần RA (46)
      • 3.2.3 Các thành phần Subcriber (47)
    • 3.3 Chức năng và quá trình khởi tạo các thành phần trong hệ thống cung cấp chứng chỉ số MyCA (47)
      • 3.3.1 Registration Authority - RA (48)
      • 3.3.2 RAO (49)
      • 3.3.3 LDAP và Public Database Server (49)
    • 3.4 Qui trình đăng ký, cấp phát và huỷ bỏ chứng chỉ (51)
      • 3.4.1 Qui trình đăng ký và cấp chứng chỉ (51)
      • 3.4.2 Qui trình huỷ bỏ chứng chỉ (53)
  • Chương 4 Triển khai CA và quản lý chứng chỉ trên môi trường window server (57)
    • 4.1 cài đặt Active Directory (57)
    • 4.2 Cài đặt dịch vụ CA (62)
    • 4.3 Các loại CA trên window server 2003 (65)
    • 4.4 Các dịch vụ chứng chỉ window server 2003 cung cấp (66)
    • 4.5 Cấp phát và quản lý chứng chỉ số (66)
      • 4.5.1 Cấp phát tự động (Auto-Enrollment) (66)
      • 4.5.2 Cấp phát bằng tay (68)
    • 4.6. Các cách yêu cầu cấp phát chứng chỉ (69)
      • 4.6.1 Yêu cầu cấp phát bằng Certificates snap-in (69)
      • 4.6.2 Yêu cầu thông qua web (70)
      • 4.6.3 Thu hồi chứng chỉ (71)
    • 4.7 Một số dịch vụ mạng sử dụng CA (72)
      • 4.7.1 Dịch vụ Web sử dụng SSL (72)
      • 4.7.2 Dịch vụ IPSec (72)
      • 4.7.3 Dịch vụ VPN (74)
  • Chương 5 Chương trình thực nghiệm (77)
  • KẾT LUẬN (80)
  • TÀI LIỆU THAM KHẢO (82)

Nội dung

Giới thiệu tổng quan

Giới thiệu

Từ xa xưa, con người đã phát triển nhiều phương thức truyền tin như khói và ánh sáng Để đáp ứng nhu cầu xác thực thông tin ngày càng cao, họ đã sử dụng các dấu hiệu đặc biệt như kí hiệu và dấu vân tay Đến nay, con dấu, dấu vân tay và chữ ký vẫn là những hình thức xác thực phổ biến và được sử dụng rộng rãi.

Trong xã hội hiện đại, việc xác thực và bảo mật thông tin là nhu cầu thiết yếu, đặc biệt trong các lĩnh vực chính trị và quân sự Những "dấu hiệu đặc biệt" không chỉ thể hiện quyền sở hữu thông tin và tài liệu mà còn có ý nghĩa pháp lý quan trọng.

Với sự tiến bộ nhanh chóng của công nghệ thông tin, tài liệu số ngày càng dễ bị sao chép và chỉnh sửa, khiến cho các hình thức chữ ký truyền thống trở nên kém hiệu quả.

Trước tình hình hiện nay, nhiều quốc gia đã áp dụng giải pháp hiệu quả là chữ ký số, hay còn gọi là chứng chỉ số, nhằm nâng cao tính an toàn và bảo mật trong giao dịch điện tử.

Chứng chỉ số hoạt động dựa trên hệ thống mã hóa khóa công khai, bao gồm hai khóa: khóa công khai và khóa bí mật Mỗi cá nhân sẽ sở hữu một cặp khóa, trong đó khóa bí mật được bảo mật cẩn thận, còn khóa công khai được công bố rộng rãi.

Hệ mật mã

Mật mã là một kỹ thuật cổ xưa được áp dụng để bảo vệ thông tin, ban đầu chỉ được sử dụng trong lĩnh vực an ninh quốc phòng Hiện nay, nhu cầu sử dụng mật mã đã mở rộng ra mọi ngành nghề và trở thành một phần thiết yếu trong việc đảm bảo an toàn thông tin cho mọi người.

Có hai loại mật mã chính: hệ mật mã khóa đối xứng, còn gọi là mật mã cổ điển, và hệ mật mã khóa công khai, hay mật mã hiện đại.

Người ta sử dụng các hệ mật theo các mục đích khác nhau tùy theo ưu điểm và nhược điểm riêng của từng hệ mật mã.

Hệ mật mã khóa đối xứng sử dụng chung một khóa cho cả quá trình mã hóa và giải mã, đòi hỏi người dùng phải giữ bí mật khóa này Mặc dù phương pháp này cho phép mã hóa thông tin với tốc độ nhanh, nhưng độ bảo mật lại kém, vì kẻ gian có thể dễ dàng giải mã thông tin nếu khóa bị lộ Do đó, hệ mật mã này thường được áp dụng để mã hóa các tài liệu có dung lượng lớn và ít quan trọng.

Hệ mã hóa khóa công khai sử dụng cặp khóa gồm khóa công khai và khóa bí mật, trong đó khóa bí mật được giữ kín và khóa công khai được công bố rộng rãi Nguyên tắc hoạt động là khóa bí mật dùng để mã hóa chỉ có thể được giải mã bằng khóa công khai, và ngược lại Mặc dù hệ thống này có độ an toàn cao, nhưng tốc độ mã hóa chậm hơn so với mã hóa đối xứng, do đó thường được áp dụng cho các bản tin nhỏ quan trọng Ngoài việc mã hóa, hệ mật mã khóa công khai còn được sử dụng để ký số, tạo đại diện, xác thực thông tin và chống chối cãi trong giao dịch điện tử.

Chứng chỉ số và lợi ích của chứng chỉ số

Chứng chỉ số là tệp tin điện tử giúp xác minh danh tính của cá nhân, công ty, máy chủ hoặc trang web trên internet, tương tự như bằng lái xe, hộ chiếu hay chứng minh thư.

Để sở hữu chứng chỉ số, bạn cần xin cấp từ cơ quan có thẩm quyền, đảm bảo tính xác thực và độ tin cậy trong việc xác minh thông tin cá nhân của bạn, tương tự như việc cấp chứng minh thư hay hộ chiếu.

Cơ quan đó được gọi là CA (Certificate Authority) CA chịu trách nhiệm về độ chính xác của các trường thông tin trên chứng chỉ.

Chứng chỉ số có các thành phần chính:

- Chữ kí số của CA

Thông tin cá nhân của đối tượng được cấp chứng chỉ số bao gồm họ tên, địa chỉ, ngày sinh, số chứng minh nhân dân, quốc tịch, email, số điện thoại và các thông tin mở rộng khác theo yêu cầu của cơ quan cấp chứng chỉ số.

Giá trị do cơ quan CA cấp cho đối tượng đăng ký chứng chỉ số được sử dụng như khóa mã hóa kết hợp với chứng chỉ số Cặp khóa bao gồm khóa công khai và khóa bí mật, tạo thành hệ mật mã khóa bất đối xứng.

Khóa công khai hoạt động dựa trên nguyên tắc mà tất cả các bên tham gia đều biết khóa công khai của nhau Cụ thể, bên A sử dụng khóa công khai của bên B để mã hóa thông tin cần gửi, trong khi bên B sẽ dùng khóa bí mật của mình để giải mã bản tin nhận được.

Nếu bên A sử dụng khóa bí mật để ký tài liệu, bất kỳ ai cũng có thể xác thực chữ ký đó bằng khóa công khai của A Có thể coi chứng chỉ số và khóa công khai như chứng minh thư hoặc hộ chiếu, trong khi khóa bí mật tương tự như dấu vân tay hoặc khuôn mặt.

Chữ kí số của CA

Chứng chỉ số do đơn vị CA cấp nhằm đảm bảo tính xác thực và hợp lệ của chứng chỉ Để xác minh tính hợp lệ của chứng chỉ số, cần kiểm tra chữ ký số của CA Việc này tương tự như con dấu xác nhận của cơ quan công an trên giấy chứng minh nhân dân hoặc hộ chiếu.

B Lợi ích của chứng chỉ số

Chứng chỉ số mang lại lợi ích quan trọng là khả năng mã hóa thông tin, cho phép người gửi sử dụng khóa công khai của người nhận để mã hóa dữ liệu trước khi gửi Điều này đảm bảo rằng chỉ người nhận mới có thể giải mã và đọc được thông tin, ngay cả khi dữ liệu có thể bị kẻ xấu đánh cắp trong quá trình truyền tải Tính năng này tạo ra sự tin cậy về bảo mật thông tin, đặc biệt cần thiết trong các giao dịch điện tử quan trọng như thanh toán, chuyển khoản, giao dịch liên ngân hàng và bỏ phiếu điện tử.

Trong lĩnh vực thông tin điện tử, việc lo lắng về tính xác thực của gói tin nhận được hay gói tin gửi đi là điều dễ hiểu, bởi vì thông tin có thể bị sao chép và làm giả một cách dễ dàng Tuy nhiên, khi sử dụng chứng chỉ số, bạn có thể hoàn toàn yên tâm vì mọi sự thay đổi trong bản tin sẽ được phát hiện Các tên miền và địa chỉ email sử dụng chứng chỉ số luôn đảm bảo an toàn cho người dùng.

Khi người nhận nhận được bản tin kèm chứng chỉ số từ người gửi, cùng với thông tin đã được xác thực về người, tổ chức hoặc cơ quan gửi, điều này tạo ra sự tin tưởng tuyệt đối Thông tin này được xác thực bởi cơ quan chứng thực (CA), giúp giảm thiểu thời gian xác thực thông tin một cách đáng kể.

Khi sử dụng chứng chỉ số, người gửi phải chịu trách nhiệm về thông tin đã gửi Nếu người gửi phủ nhận thông tin mà người nhận nhận được, chứng chỉ số của người nhận sẽ là bằng chứng xác định tính chính xác của thông tin đó Trong trường hợp người gửi tiếp tục chối cãi, cơ quan cấp chứng chỉ (CA) sẽ có trách nhiệm xác định danh tính chính xác của người gửi bản tin.

Ngày nay, email đã trở thành phương tiện gửi thư phổ biến nhờ vào tốc độ nhanh chóng và chi phí thấp Tuy nhiên, việc sao chép và lộ thông tin email cũng rất dễ xảy ra, tạo cơ hội cho kẻ gian Sử dụng chữ ký truyền thống có thể dẫn đến nguy cơ giả mạo, khiến nội dung thư có thể bị thay đổi trước khi đến tay người nhận.

Chữ ký điện tử đảm bảo tính bảo mật và an toàn cho bức thư, ngay cả khi bị kẻ xấu đánh cắp Mọi thay đổi trên bức thư đều sẽ được người nhận phát hiện kịp thời.

Để bảo vệ thông tin trao đổi giữa bạn và khách hàng trên website thương mại hoặc các mục đích quan trọng khác, việc sử dụng chứng chỉ số SSL (Secure Socket Layer) là cần thiết Chứng chỉ này giúp cấu hình website theo giao thức bảo mật, đảm bảo rằng thông tin giữa bạn, khách hàng, nhân viên và đối tác không bị lộ.

Chứng chỉ này đảm bảo an toàn cho việc mua sắm trực tuyến bằng thẻ tín dụng, ngăn chặn kẻ xấu truy cập vào mật khẩu và thông tin nhạy cảm khác Hệ thống phần mềm được đảm bảo để bảo vệ dữ liệu của người dùng.

Hiện trạng sử dụng chứng chỉ số trên thế giới và ở Việt Nam

Internet tại Việt Nam, đặc biệt là Hà Nội, đang trở nên phổ biến với tỷ lệ người dùng máy tính và truy cập internet ngày càng cao Nhu cầu giao dịch trực tuyến, đặc biệt trong lĩnh vực thương mại điện tử và tài chính ngân hàng, ngày càng gia tăng Tuy nhiên, sự phát triển của công nghệ thông tin cũng kéo theo rủi ro từ các hacker với những phương thức tấn công tinh vi, làm tăng nguy cơ mất cắp thông tin nhạy cảm như mã số tài khoản và thông tin cá nhân Các biện pháp bảo vệ thông tin như mật khẩu trở nên kém hiệu quả trước sự tiến bộ của tin tặc Do đó, vấn đề bảo mật thông tin trên mạng trở nên cấp thiết hơn bao giờ hết Ứng dụng chữ ký số tại Hà Nội và Việt Nam có tiềm năng lớn, vì nó tương tự như chữ ký tay nhưng hoạt động trong môi trường điện tử, đồng thời cung cấp độ bảo mật và tin cậy gần như tuyệt đối, giúp rút ngắn thời gian và thủ tục so với các chính sách hiện tại.

Khái niệm “chứng thực số” và “chữ ký số” vẫn còn mới mẻ đối với người sử dụng tại Việt Nam, yêu cầu người dùng cần có kiến thức về CNTT như mã hóa bất đối xứng và khóa công khai Điều này khiến một phần khách hàng chưa tin tưởng vào dịch vụ này Tại Hà Nội, việc triển khai chữ ký số gặp nhiều khó khăn do thiếu sự quan tâm từ nhà nước trong ứng dụng thương mại điện tử và hành chính điện tử, cùng với việc người dân chưa hiểu rõ về lợi ích của nó.

Để triển khai chữ ký số tại Hà Nội, cần có sự hỗ trợ từ chính phủ và tuyên truyền để người dân nhận thức đúng về lợi ích của việc sử dụng chữ ký số Quan trọng hơn, cần thiết lập tổ chức cấp chứng thư số (CA) được công nhận và xây dựng mạng lưới trung tâm xác thực địa phương nhằm đảm bảo quá trình xác thực diễn ra nhanh chóng cho từng cá nhân và tổ chức có nhu cầu.

Chứng chỉ số và hạ tầng khóa công khai

Chứng chỉ số (digital certificates)

Mật mã khóa công khai sử dụng hai loại khóa: khóa công khai và khóa riêng, nhằm đảm bảo các yêu cầu về bí mật, xác thực, toàn vẹn và chống chối bỏ trong các dịch vụ an toàn Một đặc điểm quan trọng của lược đồ khóa công khai là khóa công khai được công bố rộng rãi và phân phối tự do, giúp mọi người trong hệ thống dễ dàng tiếp cận và sử dụng Đồng thời, tính toàn vẹn của khóa công khai cũng cần được đảm bảo trong hạ tầng mã khóa công khai.

Khóa công khai được lưu trữ ở định dạng chứng chỉ, gọi là chứng chỉ khóa công khai (Public Key Certificate - PKC), là sự kết nối giữa khóa công khai và các thuộc tính liên quan đến thực thể Thực thể này có thể là người, thiết bị phần cứng, router hoặc phần mềm Chứng chỉ khóa công khai được ký bởi một tổ chức có thẩm quyền, đảm bảo rằng sự liên kết giữa thực thể sở hữu khóa công khai và các thuộc tính khác được ghi trong chứng chỉ là chính xác và có hiệu lực.

PKC còn được gọi là chứng chỉ số (digital certificate) hay digital ID

Hình 2.1 minh hoạ một chứng chỉ số do VASC-CA cấp.

Chứng chỉ số chứa thông tin quan trọng như khóa công khai, chủ thể sở hữu, người cấp và các thông tin liên quan khác Tính hợp lệ của chứng chỉ được đảm bảo thông qua chữ ký số của người cấp Để sử dụng chứng chỉ, người dùng cần kiểm tra chữ ký số; nếu hợp lệ, họ có thể sử dụng chứng chỉ cho mục đích mong muốn.

Có nhiều loại chứng chỉ, một trong số đó là :

- Chứng chỉ khóa công khai X.509

- Chứng chỉ khóa công khai đơn giản (Simple public key certificates - SPKC).

- Chứng chỉ Pretty Good Privacy (PGP).

- Chứng chỉ thuộc tính (Attribute Cercitificates - AC)

Tất cả các loại chứng chỉ đều có định dạng riêng, trong đó chứng chỉ khóa công khai X.509 hiện đang được sử dụng phổ biến trong hệ thống PKI Hệ thống cung cấp chứng chỉ số thử nghiệm cũng áp dụng định dạng X.509, vì vậy luận văn này sẽ tập trung vào việc xem xét chi tiết chứng chỉ X.509, với thuật ngữ “certificate” được hiểu là khóa công khai X.509 v3.

2.1.2 Chứng chỉ khóa công khai X.509

Chứng chỉ X.509 v3 là định dạng được sử dụng phổ biến và được hầu hết các nhà cung cấp chứng chỉ PKI triển khai.

Chứng chỉ khóa công khai X.509 được hội viễn thông quốc tế (ITU ) đưa ra lần đầu tiên năm 1988 như là một bộ phận của dịch vụ thư mục X.500.

Chứng chỉ số bao gồm hai thành phần chính: phần đầu chứa các trường cơ bản cần thiết và phần thứ hai bổ sung các trường phụ, được gọi là trường mở rộng, nhằm xác định và đáp ứng các yêu cầu bổ sung của hệ thống.

Khuân dạng chứng chỉ X509 được chỉ ra như hình dưới

Version number Serial number Signature Issuer Validity period Subject

Subject Public key information Issuer unique identifier Subject unique

Extensions a Những trường cở bản của chứng chỉ X.509

- Vertion: xác định số phiên bản chứng chỉ.

- Certificate serial number: do CA gán, là định danh duy nhất của chứng chỉ.

- Signature Algorithm ID : chỉ ra thuật toán CA sử dụng để ký số chứng chỉ, có thể là RSA, Elgamal

- Issuer : chỉ ra nhà cấp chứng chỉ.

- Validity Period : khoảng thời gian chứng chỉ có hiệu lực Trường này xác định thời gian chứng chỉ bắt đầu có hiệu lực và thời gian hết hạn.

- Subject : Xác định thực thể mà khóa công khai của thực thể này xác nhận Tên của Subject phải là duy nhất đối với mỗi CA xác nhận.

- Subject public key information: chứa khóa công khai và những tham số liên quan, xác định thuật toán được sử dụng cùng khóa.

- Issuer unique ID (optional): là trường tùy chọn cho phép sử dụng lại tên của

Subject quá hạn Trường này ít được sử dụng.

- Extension (optional): chỉ có trong chứng chỉ v3.

A Certificate Authority's digital signature is generated from the information contained in the certificate, utilizing a private key and the signing algorithm specified in the Signature Algorithm Identifier of the certificate.

Tính toàn vẹn của chứng chỉ được đảm bảo nhờ chữ ký số của CA, trong khi khóa công khai của CA được phân phối đến người sử dụng thông qua các cơ chế bảo mật trước khi thực hiện các thao tác PKI Người sử dụng có thể kiểm tra hiệu lực của chứng chỉ bằng cách xác minh chữ ký số của CA và khóa công khai của CA Bên cạnh đó, chứng chỉ X.509 còn có những trường mở rộng quan trọng.

Phần mở rộng trong chứng chỉ chứa thông tin về các thuộc tính cần thiết để liên kết với người sử dụng hoặc khóa công khai, bao gồm quản lý xác thực phân cấp, chính sách chứng chỉ và thông tin chứng chỉ thu hồi Nó cũng cho phép định nghĩa các phần mở rộng riêng biệt, phản ánh đặc trưng của từng cộng đồng Mỗi trường mở rộng được chỉ định với cờ “critical” hoặc “uncritical” để xác định mức độ quan trọng của chúng.

ID khóa công khai của CA là một chỉ số quan trọng, giúp xác định và kiểm tra chữ ký số trên chứng chỉ Mỗi ID này là duy nhất, cho phép phân biệt các cặp khóa mà CA sử dụng, đặc biệt khi CA sở hữu nhiều khóa công khai Thông tin này áp dụng cho tất cả các CA, đảm bảo tính chính xác và an toàn trong quá trình xác thực.

ID khóa công khai là một yếu tố quan trọng trong chứng chỉ, giúp phân biệt các khóa khác nhau khi nhiều khóa được gắn vào cùng một chứng chỉ của người sử dụng.

Khóa công khai trong chứng chỉ chứa một chuỗi bit quan trọng, giúp xác định chức năng hoặc dịch vụ được hỗ trợ.

Extended key usage chứa một hoặc nhiều OIDs (định danh đối tượng) để xác định cụ thể hóa việc sử dụng khóa công khai trong chứng chỉ Các giá trị sử dụng bao gồm xác thực server TSL, xác thực client TSL, ký mã, bảo mật email và tem thời gian.

The CRL Distribution Point indicates the location of the Certificate Revocation List (CRL), which contains information about revoked certificates This location can be specified as a URI (Uniform Resource Identifier), or as the address of an X.500 or LDAP server.

- Private key usage period: Trường này cho biết thời gian sử dụng của khóa riêng gắn với khóa công khai trong chứng chỉ.

- Certificate policies: Trường này chỉ ra dãy các chính sách OIDs gắn với việc cấp và sử dụng chứng chỉ.

Trường Policy Mappings trong chứng chỉ CA chỉ ra chính sách giữa hai miền, đóng vai trò quan trọng trong việc xác thực chéo và kiểm tra đường dẫn chứng chỉ.

The Subject Alternative Name (SAN) indicates various alternative names associated with the certificate holder These values can include an email address, IP address, or URL, providing flexibility in the identification of the entity.

- Issuer Alternative Name: Chỉ ra những dạng tên lựa chọn gắn với người cấp chứng chỉ.

Các thành phần của PKI

Một hệ thống PKI gồm 4 thành phần :

- Certificate Authorities (CA) : ٠Cấp và thu hồi chứng chỉ.

- Registration Authorities (RA) : ٠Gắn kết giữa khóa công khai và định danh của người giữ chứng chỉ.

Người sử dụng chứng chỉ PKI, hay còn được gọi là thực thể cuối, đóng vai trò quan trọng trong hệ thống PKI Họ chính là những người dùng cuối hoặc các hệ thống mà PKI phục vụ, đảm bảo tính bảo mật và xác thực trong giao dịch điện tử.

Hệ thống cho phép lưu trữ chứng chỉ và danh sách chứng chỉ bị thu hồi một cách phân tán, đồng thời cung cấp cơ chế phân phối chứng chỉ và CRLs đến các thực thể cuối.

Hình 2.5 Mô hình tổng quát của hệ thống PKI

Hình 2.6 mô hình kiến trúc PKI do PKIX đưa ra

2.2.1 Tổ chức chứng thực (Certificate Authority)

Trong hạ tầng khóa công khai, chứng chỉ đóng vai trò quan trọng trong việc liên kết định danh với khóa riêng Sự liên kết này được thể hiện qua cấu trúc dữ liệu đã được ký số, được gọi là chứng chỉ Certificate Authority (CA) là thực thể trong hệ thống PKI chịu trách nhiệm cấp phát chứng chỉ cho các thực thể.

Tổ chức chứng thực (CA) được coi là bên thứ ba đáng tin cậy, vì người dùng cuối dựa vào chữ ký số của CA trên chứng chỉ trong quá trình thực hiện các hoạt động mã hóa khóa công khai Thuật ngữ "Nhà cung cấp dịch vụ chứng thực" (Certificate Authority Provider) cũng được sử dụng tương tự như CA trong các tài liệu liên quan.

Thông thường CA thực hiện chức năng xác thực bằng cách cấp chứng chỉ cho các

CA đóng vai trò quan trọng trong việc xác thực và cấp phát chứng chỉ cho người giữ chứng chỉ trong hệ thống Khi CA nằm ở đỉnh của mô hình PKI, chứng chỉ được gọi là chứng chỉ gốc (root certificate).

2.2.2 Trung tâm đăng kí (Registration Authorities)

Mặc dù CA có khả năng thực hiện các chức năng đăng ký cần thiết, nhưng đôi khi cần có một thực thể độc lập để thực hiện nhiệm vụ này Thực thể độc lập này được gọi là.

Trung tâm đăng ký (Registration Authority - RA) đóng vai trò quan trọng trong việc quản lý và phân phối chứng chỉ số trong hệ thống PKI, đặc biệt khi số lượng thực thể cuối gia tăng và phân tán rộng rãi về mặt địa lý Để giải quyết những thách thức này, cần thiết phải có một hoặc nhiều RA địa phương nhằm giảm tải công việc cho CA Các chức năng của RA có thể thay đổi tùy theo nhu cầu triển khai PKI, nhưng chủ yếu bao gồm việc xác thực danh tính và xử lý yêu cầu cấp chứng chỉ.

- Xác thực cá nhân chủ thể đăng kí chứng chỉ.

- Kiểm tra tính hợp lệ của thông tin do chủ thể cấp.

- Xác nhận quyền của chủ thể với những thuộc tính của chứng chỉ được yêu cầu.

- Kiểm tra xem chủ thể có thực sự sở hữu khóa riêng đang được đăng kí hay không

- điều này thường được đề cập đến như sự chứng minh sở hữu (Proof Of

- Tạo cặp khóa bí mật công khai.

- Phân phối bí mật được chia sẻ đến thực thể cuối (ví dụ khóa công khai củaCA).

- Thay mặt chủ thể thực thể cuối khởi tạo đăng kí với CA.

- Lưu trữ khóa bí mật.

- Khởi sinh quá trình khôi phục khóa.

- Phân phối thẻ bài vật lý (ví dụ như thẻ thông minh) chứa khóa riêng.

RA đóng vai trò quan trọng trong việc xử lý các giao dịch liên quan đến tương tác người dùng, bao gồm đăng ký, phân phối chứng chỉ và quản lý vòng đời chứng chỉ Tuy nhiên, RA chỉ có khả năng cung cấp những thông tin đáng tin cậy ban đầu về chủ thể Chứng chỉ và thông tin trạng thái thu hồi chứng chỉ, như CRL, chỉ được CA cấp phát.

2.2.3 Thực thể cuối (End Entity)

Thực thể cuối trong PKI bao gồm con người, thiết bị và phần mềm, nhưng chủ yếu là người sử dụng hệ thống Những thực thể này thực hiện các chức năng mã hóa, giải mã và ký số để đảm bảo an toàn thông tin.

2.2.4 Hệ thống lưu trữ (Reponsitories)

Chứng chỉ và thông tin thu hồi chứng chỉ cần được phân phối một cách dễ dàng để mọi người có nhu cầu có thể truy cập và lấy được Có hai phương pháp phân phối chứng chỉ, trong đó phương pháp đầu tiên là phân phối cá nhân.

Phân phối cá nhân là phương thức phân phối cơ bản, trong đó mỗi cá nhân trực tiếp trao chứng chỉ của mình cho người dùng khác Quá trình này có thể thực hiện qua nhiều cơ chế khác nhau, như chuyển giao chứng chỉ lưu trên đĩa mềm hoặc các môi trường lưu trữ khác Ngoài ra, chứng chỉ cũng có thể được gửi qua email, gắn kèm trong thông điệp gửi đến người nhận.

Cách này hiệu quả trong nhóm nhỏ, nhưng khi số lượng người dùng tăng lên, vấn đề quản lý có thể phát sinh Phân phối công khai là một giải pháp cần xem xét trong bối cảnh này.

Một phương pháp phổ biến để phân phối và thu hồi chứng chỉ là công bố chúng trên các cơ sở dữ liệu công khai, giúp người dùng dễ dàng truy cập Dưới đây là một số ví dụ về hệ thống lưu trữ chứng chỉ.

- Lightweight Directory Access Protocol (LDAP) responders.

- Online Certificate Status Protocol (OCSP) Responders.

- Domain Name System (DNS) và Webservers

- File Transfer Protocol (FTP) Server và Comporate Databases.

Chức năng cơ bản của PKI

Những hệ thống cho phép PKI có những chứng năng khác nhau Nhìn chung có hai chức năng chính là chứng thực và thẩm tra.

Chứng thực là chức năng chủ chốt của hệ thống PKI, liên quan đến việc gắn kết khóa công khai với một định danh cụ thể Trong hệ thống này, CA (Certificate Authority) là thực thể đảm nhận vai trò chứng thực Có hai phương pháp chứng thực chính được áp dụng trong quy trình này.

- Tổ chức chứng thực CA tạo ra cặp khóa công khai / bí mật và tạo ra phần chứng chỉ cho cặp khóa.

Người dùng tự tạo cặp khóa và cung cấp khóa công khai cho cơ quan chứng thực (CA) để CA cấp chứng chỉ cho khóa công khai đó Chứng chỉ này đảm bảo tính toàn vẹn của khóa công khai cùng với các thông tin liên quan.

Quá trình xác định tính hợp lệ của chứng chỉ nhằm đảm bảo rằng nó được sử dụng đúng mục đích Quy trình này bao gồm nhiều bước quan trọng để kiểm tra và đánh giá hiệu lực của chứng chỉ.

- Kiểm tra xem liệu có đúng là CA được tin tưởng đã ký số lên chứng chỉ hay không (xử lý theo đường dẫn chứng chỉ).

- Kiểm tra chữ ký số của CA trên chứng chỉ để kiểm tra tính toàn vẹn.

- Xác định xem chứng chỉ còn ở trong thời gian có hiệu lực hay không.

- Xác định xem chứng chỉ đã bị thu hồi hay chưa.

Để đảm bảo chứng chỉ được sử dụng đúng mục đích và chính sách, cần kiểm tra các trường mở rộng cụ thể như mở rộng chính sách chứng chỉ và mở rộng việc sử dụng khóa.

2.3.3 Một số chức năng khác

Hệ thống PKI thực hiện chức năng chứng thực và thẩm tra, cùng với các dịch vụ phụ trợ khác Các chức năng chính của PKI bao gồm quá trình đăng ký, trong đó người dùng liên hệ với các tổ chức tin cậy để đăng ký thông tin và xin cấp chứng chỉ Trong quá trình này, RA và CA đóng vai trò quan trọng, và quy trình đăng ký sẽ phụ thuộc vào chính sách của từng tổ chức Đối với chứng chỉ dùng cho các hoạt động bí mật, phương pháp đăng ký thường yêu cầu gặp mặt trực tiếp, trong khi các chứng chỉ cho mục đích thông thường có thể được đăng ký qua ứng dụng điện tử hoặc các mẫu có sẵn.

Khi hệ thống trạm của chủ thể nhận được các thông tin cần thiết để liên lạc với

Quá trình khởi tạo chứng chỉ CA bắt đầu với việc thu thập thông tin quan trọng, bao gồm khóa công của CA, chứng chỉ của CA, cùng với cặp khóa công khai và bí mật của chủ thể.

Một số hệ thống áp dụng cơ chế dựa trên mật khẩu trong giai đoạn khởi tạo Người dùng cuối liên hệ với CA để nhận mật khẩu, sau đó thiết lập kênh bảo mật nhằm truyền tải thông tin cần thiết Giai đoạn khởi tạo thường tiếp tục với quá trình chứng thực và khôi phục cặp khóa.

Hệ thống PKI thường tạo ra hai cặp khóa cho người dùng cuối: một cặp để ký số và một cặp để mã hóa Việc này nhằm đáp ứng nhu cầu khôi phục và sao lưu dự phòng khóa, đảm bảo an toàn và bảo mật thông tin.

Tùy theo chính sách của tổ chức, bộ khóa mã và thông tin liên quan cần được lưu trữ để phục hồi dữ liệu khi người dùng mất khóa riêng Khóa ký số cá nhân không được sao lưu, trong khi khóa bí mật của CA được sao lưu lâu dài để xử lý các vấn đề nhầm lẫn trong tương lai Hệ thống PKI cung cấp các công cụ để thực hiện chức năng sao lưu và khôi phục khóa.

Khóa công khai và khóa bí mật có thể được tạo từ nhiều nguồn khác nhau, bao gồm cả từ phía client hoặc do CA (Certificate Authority) tạo ra Khi CA tạo khóa bí mật, chúng sẽ được gửi an toàn và bí mật tới người dùng cuối Nếu cặp khóa được tạo bởi bên thứ ba, cần đảm bảo rằng CA đó được tin cậy trong miền xác nhận trước khi sử dụng Ngoài ra, việc quản lý hạn sử dụng và cập nhật khóa cũng rất quan trọng để đảm bảo tính bảo mật.

Thời gian hiệu lực của chứng chỉ được xác định theo chính sách sử dụng, và người dùng sẽ nhận được thông báo khi cặp khóa của họ sắp hết hạn Hệ thống sẽ tự động thông báo về tình huống này và chứng chỉ sẽ được công bố lại sau khi hết hạn Trong trường hợp xâm hại khóa, khóa mới sẽ được công bố và tất cả người sử dụng trong hệ thống sẽ được thông báo Xâm hại đến khóa của CA là một tình huống đặc biệt, và trong trường hợp này, CA sẽ công bố lại tất cả các chứng chỉ và CA mới của mình.

Chứng chỉ sẽ có hiệu lực trong một khoảng thời gian nhất định Tuy nhiên, nếu có sự xâm hại hoặc thay đổi thông tin trên chứng chỉ, chứng chỉ mới sẽ được công bố và chứng chỉ cũ sẽ bị thu hồi Đồng thời, việc công bố và thông báo thu hồi chứng chỉ cũng sẽ được thực hiện.

Chứng chỉ cấp cho người sử dụng cuối sẽ được gửi đến người nắm giữ và hệ thống lưu trữ để đảm bảo truy cập công khai Khi chứng chỉ bị thu hồi, tất cả người dùng trong hệ thống sẽ nhận được thông báo về việc này Phương thức công bố và gửi thông báo thu hồi đã được trình bày chi tiết trong phần trước về chứng chỉ số.

Xác thực chéo là một tính năng quan trọng trong hệ thống PKI, cho phép kết nối hai miền PKI khác nhau và thiết lập môi trường tin cậy giữa các CA Điều này chỉ khả thi khi các điều kiện do người sử dụng xác định được đáp ứng Người dùng ở các miền khác nhau có thể giao tiếp an toàn chỉ sau khi xác thực chéo giữa các CA thành công Để thiết lập xác thực chéo, cần tạo chứng chỉ CA xác thực lẫn nhau, và CA-1 cùng CA-2 phải thực hiện một số bước nhất định.

- CA-1 công bố CA – certificate cho CA-2.

- CA-2 công bố CA – certificate cho CA-1.

- CA-1 và CA-2 sẽ sử dụng những trường mở rộng xác định trong chứng chỉ để đặt những giới hạn cần thiết trong CA-certificate.

Việc xác thực chéo đòi hỏi phải có sự kiểm tra cẩn thận các chính sách PKI.

Khi hai miền có chính sách tương đồng, việc xác thực chéo trở nên có ý nghĩa Ngược lại, nếu chính sách PKI của một miền không tương thích với miền khác, sẽ phát sinh những tình huống không mong muốn.

Kiến trúc PKI

X.509 định nghĩa sự tin cậy như sau: “Một thực thể có thể được nói là tin cậy với một thực thể thứ hai nếu nó (thực thể đầu tiên ) tạo ra sự đảm bảo rằng thực thể thứ hai sẽ thực hiện chính xác như thực thể thứ nhất mong đợi” [9]. Định nghĩa này có thể được diễn đạt lại về mặt PKI như sau: một thực thể cuối tin cậy một CA khi thực thể cuối cho rằng CA sẽ thiết lập và duy trì sự gắn kết các thuộc tính của khoá công một cách chính xác.

Có nhiều mô hình kiến trúc đáng tin cậy có thể áp dụng hoặc đề xuất cho hạ tầng mã khoá công khai (PKI) dựa trên tiêu chuẩn X.509.

- Single CA Model (mô hình CA đơn )

- Mesh Model (Mô hình mắt lưới – mô hình xác thực chéo)

- Hub and Spoke (Bridge CA) Model (Mô hình cầu CA)

- Web Model (Trust Lists) (Mô hình web)

- User Centric Model (Mô hình người sử dụng trung tâm )

2.4.1 Mô hình CA đơn Đây là mô hình tổ chức CA cơ bản và đơn giản nhất Trong mô hình CA đơn chỉ có một CA xác nhận tất cả các thực thể cuối trong miền PKI Mỗi người sử dụng trong miền nhận khoá công khai của CA gốc (root CA) theo một số cơ chế nào đó [5]

Mô hình này không yêu cầu xác thực chéo và cung cấp một điểm duy nhất cho tất cả người dùng kiểm tra trạng thái thu hồi của chứng chỉ đã cấp Ngoài ra, mô hình có thể được mở rộng bằng cách thêm các RA ở xa CA nhưng gần với các nhóm người dùng cụ thể.

EE EE EE EE EE EE EE EE EE

Hình 2.8 Mô hình CA đơn

Mô hình này dễ dàng triển khai và giúp giảm thiểu vấn đề tương tác, tuy nhiên, nó cũng tồn tại một số nhược điểm cần lưu ý.

- Không thích hợp cho miền PKI lớn vì một số người sử dụng ở những miền con có những yêu cầu khác nhau đối với người ở miền khác.

Một số tổ chức có thể không tình nguyện đảm nhận việc vận hành CA đơn, trong khi một số tổ chức khác lại thiếu niềm tin vào những người điều hành CA này vì nhiều lý do khác nhau.

- Việc quản trị và khối lượng công việc kỹ thuật của việc vận hành CA đơn sẽ rất cao trong cộng đồng PKI lớn.

- Chỉ có một CA sẽ gây ra thiếu khả năng hoạt động và CA này có thể trở thành mục tiêu tấn công.

Mô hình này tương ứng với cấu trúc phân cấp với CA gốc và các CA cấp dưới.

CA gốc xác nhận các CA cấp dưới, các CA này lại xác nhận các CA cấp thấp hơn Các

CA cấp dưới không cần xác nhận các CA cấp trên [5]

Hình 2.9 Mô hình phân cấp

Mô hình phân cấp được minh hoạ như Hình 2.9 ở trên.

Trong mô hình PKI này, mỗi thực thể lưu trữ bản sao khóa công khai của CA gốc và kiểm tra đường dẫn chứng chỉ từ chữ ký của CA gốc Đây là mô hình PKI tin cậy đầu tiên và được ứng dụng trong PEM.

• Ưu điểm của mô hình:

- Mô hình này có thể dùng được trực tiếp cho những doanh nghiệp phân cấp và độc lập, cũng như những tổ chức chính phủ và quân đội.

- Cho phép thực thi chính sách và chuẩn thông qua hạ tầng cơ sở.

- Dễ vận hành giữa các tổ chức khác nhau.

- Có thể không thích hợp đối với môi trường mà mỗi miền khác nhau cần có chính sách và giải pháp PKI khác nhau.

- Các tổ chức có thể không tự nguyện tin vào các tổ chức khác.

- Có thể không thích hợp cho những mối quan hệ ngang hàng giữa chính phủ và doanh nghiệp.

- Những tổ chức thiết lập CA trước có thể không muốn trở thành một phần của mô hình.

- Có thể gây ra sự trội hơn của sản phẩm đối với vấn đề về khả năng tương tác.

Chỉ có một CA gốc có thể dẫn đến một số vấn đề như thiếu khả năng hoạt động Nếu khoá bí mật của CA bị xâm phạm, việc phân phối khoá công khai mới đến tất cả người sử dụng cuối trong hệ thống sẽ cần thực hiện qua nhiều cơ chế khác nhau.

Mặc dù mô hình này có một số nhược điểm, nhưng nó vẫn phù hợp với nhu cầu của các tổ chức chính phủ nhờ vào cấu trúc phân cấp tự nhiên vốn có.

2.4.3 Kiến trúc phân cấp mạng lưới

Trong kiến trúc xác thực này, các CA thực hiện xác nhận ngang hàng, tạo ra một mạng lưới mối quan hệ tin cậy lẫn nhau Mỗi đối tượng sẽ nắm giữ khoá công khai của CA gần nhất, thường là CA cấp thẻ xác nhận cho họ Để kiểm chứng thẻ xác nhận, các đối tượng cần kiểm tra quá trình xác nhận với CA phát hành thẻ đó Các CA cũng xác nhận lẫn nhau bằng cách phát hành thẻ xác nhận, và những cặp thẻ này được lưu trữ trong cấu trúc dữ liệu gọi là CrossCertificatePair.

Trong sơ đồ, A có thể xác nhận B qua nhiều nhánh khác nhau Nhánh ngắn nhất cho thấy B được CA4 cấp thẻ xác nhận, do đó B được xác nhận bởi CA4 Đồng thời, CA4 được xác nhận ngang hàng bởi CA5, và CA5 cũng được xác nhận ngang hàng bởi CA3.

A được CA3 cấp phát thẻ xác nhận và biết được khoá công khai của CA3 nên nó có thể xác nhận trực tiếp với CA3.

Hình 2.10 Kiến trúc mạng lưới

Kiến trúc này mang tính linh động, phù hợp với các mối liên hệ và sự tin cậy lẫn nhau trong môi trường kinh doanh thực tế.

Để xây dựng mối quan hệ tin tưởng, một đối tượng cần phải có sự tin tưởng vào việc cơ quan công an (CA) cấp phát thẻ xác nhận cho mình Điều này tạo nền tảng cho sự tin cậy lẫn nhau giữa các bên.

Trong mô hình tổ chức, các CA có thể tách biệt nhưng những người sử dụng chúng lại phối hợp chặt chẽ với nhau Họ có thể xác nhận thông tin theo cách ưu tiên cao, giúp tối ưu hóa hiệu quả làm việc Mức độ ưu tiên này chỉ được áp dụng trong một phạm vi nhất định.

Kiến trúc này cho phép các CA xác nhận ngang hàng trực tiếp, giúp giảm tải lượng đường truyền và tối ưu hóa thao tác xử lý khi các đối tượng sử dụng thường xuyên liên lạc với nhau.

Xây dựng hệ thống cung cấp chứng chỉ số

Tổng quan về hệ thống

Hình 3.1 Mô hình hệ thống

Mô hình hệ thống cung cấp chứng chỉ số

Hệ thống cung cấp chứng chỉ số bao gồm ba thành phần chính: máy CA, máy RA và máy RAO Máy CA có nhiệm vụ ký chứng chỉ, trong khi máy RA thực hiện giao tiếp với máy CA và các máy làm dịch vụ LDAP Mỗi máy RA có thể kết nối với nhiều máy RAO, những máy này thực hiện chức năng tiếp xúc trực tiếp với người yêu cầu dịch vụ Các máy chủ LDAP lưu trữ thông tin về các chứng chỉ đã được cấp và các chứng chỉ đã bị huỷ bỏ.

3.1.2 Một số đặc tính của hệ thống cung cấp chứng chỉ số

Hệ thống được xây dựng tuân theo các thiết kế của PKIX:

- Tách riêng các chức năng cấp chứng chỉ (CA), đăng ký cấp chứng chỉ (RA), phục vụ cấp chứng chỉ (RAO).

- Cho phép tại một trung tâm cấp chứng chỉ, cùng một lúc phục vụ nhiều người.

- Cho phép phối hợp nhiều đơn vị trong việc triển khai dịch vụ

- Mô hình quản lý CA theo nhiều tầng Mỗi trung tâm được phân một vùng chỉ số

ID của người sử dụng.

- Cấp chứng chỉ có thời hạn và cho phép huỷ bỏ chứng chỉ (trước thời hạn). Khuôn dạng của chứng chỉ:

-Cho phép đưa các thông tin về người sử dụng như: họ tên, ngày sinh, nơi sinh,

Các chuẩn mật mã được sử dụng:

Chữ ký số RSA tuân theo chuẩn RSASSA-PKCS-v1_5, sử dụng phương pháp ký với phần phụ, với kích thước modulo tối thiểu là 1024 bit Các số nguyên tố được sinh ra nhằm bảo vệ chống lại các cuộc tấn công phân tích số.

- Tệp lưu trữ khoá bí mật tuân theo PKCS#1, PKCS#8 Khoá bí mật được bảo vệ bằng mật khẩu theo PKCS#5.

- Tệp lưu trữ khoá công khai theo PKCS#7.

- Tệp yêu cầu cấp chứng chỉ và chứng chỉ được cấp tuân theo PKCS#10.

Hình 3.2 là nội dung tệp yêu cầu cấp chứng chỉ do hệ thống MyCA cấp.

MIIB8zCCAVwCAQAwgbMxIjAgBgkqhkiG9w0BCQEWE2hvYWxuaEB0cmlHNhaS5iY2ExRTBDBgNVBAMTPEx1b25nIE5ndXllbiBIb2FuZyBIb2EtMjAwMDI wMy0xMjM0NTY3OC0xMi0xMi0xOTk3LTE5LTEtMTk3OTEQMA4GA1UECBM

The provided content appears to be a certificate request encoded in a specific format To ensure the security and integrity of digital communications, it is essential to utilize certificate requests, which authenticate the identity of users and organizations By employing a trusted certificate authority, organizations can establish secure connections, protect sensitive information, and enhance user trust Implementing these security measures is vital for maintaining compliance with industry standards and safeguarding data from potential threats.

Hình 3.2 Nội dung tệp yêu cầu cấp chứng chỉ

- Khoá bí mật và chứng chỉ được lưu ở dạng PKCS#12.

- Khoá công khai của CA được người sử dụng lưu trữ ở dạng PKCS#12.

Hình 3.3 là nội dung chứng chỉ chứa khóa công khai của rootCA trong hệ thống.

The provided certificate is a digital security credential issued to RootCA@pvkh.com, confirming its identity and establishing a secure connection It includes information such as the certificate's serial number, validity dates, and the issuer's details, ensuring trustworthiness in communications This certificate is essential for establishing encrypted connections and safeguarding data integrity, contributing to a secure online environment.

Hình 3.3 Nội dung chứng chỉ chứa khóa công khai của rootCA trong hệ thống

Hình 3.4 dưới đây là nội dung khoá công khai và chứng chỉ của người sử dụng.

Issuer: Email=RootCA@trichsai.bca, CN=RootCA, OU,

Subject: Email=hoalnh@trichsai.bca, CN=Luong Nguyen Hoang Hoa- 2000203-12345678-12-12-1997-19-1-1979, ST.BCA, OU=MyCA User, O=MyCA

69:42:a8:d2:5f:42:01:28:a5:8d:60:ab:ac:2a:b8: dd:84:21:3d:1d:52:cd:ab:dd:76:b7:6a:09:81:50: e0:36:e9:71:21:0d:4d:9a:ea:31:e3:cf:45:55:f9:

17:63:87:16:3f:c4:91:d2:f6:03:c6:ed:cb:53:8a: d3:6f:c8:09:36:47:ff:12:4d:bb:99:af:02:73:47:

5f:df:c4:4e:19:ea:8a:f0:ee:5b:39:72:8a:2f:5f: b9:4b:c6:5b:da:86:49:69 Exponent: 65537 (0x10001) X509v3 extensions:

CA:FALSE Netscape Cert Type:

SSL Client, S/MIME X509v3 Key Usage:

Digital Signature, Non Repudiation, Key Encipherment Netscape Comment:

MyCA User Certificate Signature Algorithm: sha1WithRSAEncryption

3d:d8:b8:51:6a:33:93:84:6f:cb:62:07:3f:6b:66:da:83:ce: e4:ef:44:6f:7b:81:51:ca:14:b2:00:97:89:34:35:67:8b:95:

71:ad:db:9d:2d:cf:d0:2c:21:eb:07:ea:3a:82:e2:3a:c7:81: ef:d1:e1:1c:70:26:e3:25:f5:57:ea:23:c4:4b:6d:3c:7f:9c:

MIIC4DCCAkmgAwIBAgIDHoVLMA0GCSqGSIb3DQEBBQUAMGIxHzAdB gkqhkiG9w0BCQEWEFJvb3RDQUB5YWhvby5jb20xDzANBgNVBAMTBlJvb3RD QTEMMAoGA1UECxMDRTE1MRMwEQYDVQQKEwpNeUNBIEdyb3VwMQsw CQYDVQQGEwJWTjAeFw0wNDA1MTMwNjQ4NTVaFw0wNjA1MTMwNjQ4NT VaMIGzMSIwIAYJKoZIhvcNAQkBFhNob2FsbmhAdHJpY2hzYWkuYmNhMUUw

The article discusses the certification and security protocols related to user identity management, highlighting the importance of secure communication and data protection It emphasizes the role of digital certificates in establishing trust and ensuring that user information is handled safely The content also touches on compliance with industry standards and the necessity of robust security measures to prevent unauthorized access Overall, it underscores the significance of maintaining user privacy and the integrity of digital interactions in today's online environment.

79HhHHAm4yX1V+ojxEttPH+cAlU -END CERTIFICATE -

Hình 3.4 Nội dung khoá công khai và chứng chỉ của người sử dụng

Các thành phần chính trong hệ thống cung cấp chứng chỉ số

Hình 3.5 Các thành phần trong hệ thống cung cấp chứng chỉ

CA gồm 4 thành phần làm nên các chức năng tổng quan của CA:

Thường được gọi là Certificate Generation Module (CGM) sinh và kí lên Digital Certificates và Certificate Revocation Lists.

2- CAA/CAO (Certifying Authority Administrator/Operator) Module:

Modulo này hoạt động như một nhân viên bảo mật của PKI, cung cấp giao diện bảo mật cho CAA/CAO để thực hiện tất cả các chức năng quản trị và cấp quyền cho người dùng cũng như các thực thể khác.

3- Sub CAA (Subordinate Certifying Authority Administrator) Module:

Sub-CAA đóng vai trò là văn phòng bảo mật trung gian trong hệ thống PKI, đảm bảo tính tin cậy của miền Modulo sub-CAA cung cấp giao diện cho phép thực hiện tất cả các chức năng quản trị và cấp quyền cho người dùng cũng như các thực thể khác trong miền tin cậy của Sub-CA.

CRL là danh sách các chứng chỉ đã bị thu hồi, trong khi LDAP là máy chủ lưu trữ thông tin về các chứng chỉ còn hiệu lực và đã bị thu hồi LDAP hoạt động như một cơ sở dữ liệu cho phép người dùng và các cơ quan cấp chứng chỉ (CA) dễ dàng truy cập thông tin này.

Các thành phần của RA bao gồm 2 modulo cùng thực hiện các chức năng tổng thể của RA:

• RA (Registration Authority) Policy Module

Chính sách RA xác định rõ ràng các hoạt động của văn phòng RA, giúp tạo ra và duy trì một hệ thống cấp bậc linh hoạt và có thể mở rộng, bao gồm cả người quản trị RA (RAA) và các văn phòng RAO.

• Web Registration Authority Administrator/Operator Module

RAA và RAO đóng vai trò như văn phòng bảo mật đăng ký trong miền hoạt động tin cậy dưới sự quản lý của CA/Sub-CA Mô-đun web RAA/RAO cung cấp một giao diện bảo mật cho phép RAA và RAO thực hiện quản lý các chức năng liên quan đến yêu cầu chứng chỉ và quản trị tài khoản người dùng.

RA thực hiện việc xử lý các yêu cầu từ người dùng, cũng như quản lý các CRR và CRL Quy trình khởi tạo Root RA và thiết lập mối quan hệ với RootCA bao gồm nhiều bước quan trọng.

+ Sinh khoá và yêu cầu cấp chứng chỉ cho RA server.

+ Trên máy CA, thực hiện ký Request của RA bằng cách ký yêu cầu chứng chỉ, yêu cầu Root RA, RAO.

+ Người quản trị tạo file định dạng PKCS#12 cho RA server.

+ Chuyển file định dạng PKCS#12 của RA vào trình duyệt.

Thành phần thuê bao bao gồm một bộ xử lý mở rộng, có khả năng xử lý các yêu cầu giấy chứng nhận thông qua các giao thức như SPKAC, CRMF và PKCS # 10 Việc tuyển sinh và thuê bao thành phần này giúp quản lý sự phức tạp của các giao thức, đồng thời hỗ trợ trong việc đăng ký và thu hồi yêu cầu cho RA để xử lý tiếp Ngoài ra, thành phần này cũng tạo điều kiện cho việc cấp giấy chứng nhận, quản lý tài khoản người dùng và chứng nhận của người sử dụng một cách hiệu quả.

Chức năng và quá trình khởi tạo các thành phần trong hệ thống cung cấp chứng chỉ số MyCA

Chứng chỉ số MyCA là một thành phần quan trọng trong hệ thống, được thiết lập và khởi tạo khi lần đầu chạy để sinh cặp khoá và chứng chỉ cho CA CA có nhiệm vụ cấp chứng chỉ cho các thực thể, xử lý yêu cầu từ RA, cũng như quản lý các chứng chỉ đã cấp và các chứng chỉ hết hiệu lực.

Việc khởi tạo của CA được chia ra trong hai trường hợp: RootCA và nonRootCA.

• Trường hợp RootCA: CA sẽ tự ký certificate (self-signed) Qúa trình khởi tạo Intialization được chia ra thành ba bước:

+ Khởi tạo cơ sở dữ liệu dùng để lưu các certificate trên máy RootCA.

+ Thực hiện sinh tệp khoá và tệp self – sign certificate cho RootCA bằng chức năng “Generate Root CA key and empty CRL ”.

+ Sinh ra một tệp CRL trống “empty”, sau đó gửi empty CRL và chứng chỉ Root

•Trường hợp NonRootCA: yêu cầu cấp chứng chỉ được CA ở mức cao hơn ký Quá trình khởi tạo gồm các bước sau:

+ Khởi tạo cơ sở dữ liệu.

+ Tạo file khoá và yêu cầu cho nonRoot CA.

+ Gửi file yêu cầu lên RootCA ký và nhận certificate về.

+ Ghép nội dung tệp certificate vào đầu tệp chain.crt tạo nên chuỗi chain các certificate thông qua việc sử dụng chức năng re-build chain.

+ Gửi chuỗi chain các chứng chỉ CA (CA certificate chain) và empty CRL lên LDAP server.

Hình 3.6: Mô hình mô phỏng hệ thống MyCA phân cấp hai tầng

RA thực hiện chức năng tiếp nhận và xử lý các yêu cầu từ người dùng, cũng như quản lý các CRR và CRL Quá trình khởi tạo Root RA và thiết lập mối quan hệ với RootCA bao gồm nhiều bước quan trọng.

+ Sinh khoá và yêu cầu cấp chứng chỉ cho RA server.

+ Trên máy CA, thực hiện ký Request của RA bằng cách ký yêu cầu chứng chỉ, yêu cầu Root RA, RAO.

+ Người quản trị tạo file định dạng PKCS#12 cho RA server.

+ Chuyển file định dạng PKCS#12 của RA vào trình duyệt.

RAO có một số chức năng chính sau:

- Nhập dữ liệu đăng ký của người sử dụng, tạo trình sinh khoá với các thông tin đã đăng ký

- Lấy chứng chỉ, kiểm tra khoá công khai, in giấy chứng nhận cấp chứng chỉ, phát hành chứng chỉ lên LDAP

- Cập nhật lại danh sách các chứng chỉ đã huỷ bỏ và in giấy chứng nhận chứng chỉ hết hiệu lực cho người sử dụng.

Việc thiết lập kết nối giữa RA và RAO được quản lý bởi người điều hành server RA, với số lượng RAO cần thiết phụ thuộc vào số ID mà RA có quyền cấp phát cho RAO trong hệ thống.

Thiết lập RAO gồm các bước sau:

+ Sinh khoá và yêu cầu cấp chứng chỉ cho các RAO (trên máy RA).

+ Ký các yêu cầu cấp chứng chỉ của RAO (RAO request) (trên máy CA).

+ Tạo file định dạng PKCS#12 với các chứng chỉ nhận được (trên máy RA). + Cài file PKCS#12 vào trình duyệt.

3.3.3 LDAP và Public Database Server

Trong hệ thống MyCA, các chứng chỉ và CRLs của người sử dụng cần được lưu trữ trên một cơ sở dữ liệu công khai để người dùng có thể dễ dàng tải về hoặc cập nhật thông tin Việc cập nhật dữ liệu từ các máy chủ CA và truy vấn dữ liệu từ các máy client phải được thực hiện nhanh chóng và chính xác, phù hợp với cấu trúc dữ liệu của các chứng chỉ Để đáp ứng yêu cầu này, nhiều hệ quản trị cơ sở dữ liệu hiện có sẵn, và tôi đã chọn LDAP làm hệ thống lưu trữ cho MyCA.

Mối quan hệ và trao đổi dữ liệu giữa các thành phần trong hệ thống với Public Database Server được thể hiện trong mô hình sau:

Hình 3.7 Mô hình quan hệ và trao đổi dữ liệu giữa các thành phần trong hệ thống

Public Database Server là một hệ thống gồm nhiều máy cài đặt LDAP Server, nơi lưu trữ chứng chỉ đã phát hành cho người dùng, chứng chỉ của các máy server trong hệ thống, và các CRL do các CA server phát hành Trong hệ thống MyCA, người dùng có thể truy cập Public Database Server qua trang web publicdatabase và thực hiện một trong ba chức năng chính.

The "Download CA certificates chain from LDAP" feature enables non-root Certificate Authorities (CAs), web servers, and web browsers to search for and retrieve the certificate chain from a public database server This process is initiated by looking up the name of the lowest-level CA that issued the required certificate chain.

The "Download certificates from LDAP" feature enables non-root Certificate Authorities (CAs), web servers, and web browsers to search for certificates issued on the Public Database Server Users can locate the desired certificate by using the email address registered within it and download the certificate seamlessly.

Chức năng “Cập nhật CRLs” cho phép tất cả các máy trong hệ thống CA tìm kiếm theo tên CA đã phát hành CRL cần được cập nhật và thực hiện việc cập nhật CRL cho hệ thống của mình.

Qui trình đăng ký, cấp phát và huỷ bỏ chứng chỉ

3.4.1 Qui trình đăng ký và cấp chứng chỉ

Người sử dụng cần đến trung tâm để đăng ký cấp chứng chỉ, và nên mang theo giấy tờ cá nhân như chứng minh thư Quy trình đăng ký sẽ được thực hiện bởi nhân viên thông qua mẫu đơn RAO.

Mô hình đăng ký và cấp chứng chỉ số được trình bày trong Hình 3.8, thể hiện quy trình chi tiết các thủ tục cần thực hiện để đảm bảo việc cấp chứng chỉ diễn ra hiệu quả và chính xác.

1 Cá nhân (hoặc tổ chức) nào đó có nhu cầu sử dụng chứng chỉ số lên trung tâm đăng ký, có đem theo một số giấy tờ cần thiết.

2 Người quản trị máy RAO (nơi đăng ký) đưa thông tin đã đăng ký từ phía người sử dụng lên máy RA thông qua trang putDB (trang này đặt trên máy RA và được thiết lập https) Sau bước này người sử dụng đã có trình sinh khoá riêng gắn với một IDkey duy nhất.

3 Người sử dụng đem trình sinh khoá về (bước này có thể có hoặc không) Nếu người sử dụng hoàn toàn tin tưởng vào trung tâm thì có thể sinh khoá luôn tại trung tâm.

4 Người sử dụng sinh khoá (bằng trình sinh khoá đã được cấp) và sinh yêu cầu cấp chứng chỉ Sau đó, gửi yêu cầu này lên trung tâm (máy RA).

5 Người quản trị máy RA thực hiện so sánh thông tin đã đăng ký với thông tin gửi lên trung tâm qua đường công khai, đồng thời kiểm tra chữ ký của người dùng trong yêu cầu cấp chứng chỉ (bằng khoá công khai được gửi đến) Nếu hoàn toàn hợp lệ thì RA sẽ ký lên yêu cầu cấp chứng chỉ và gửi yêu cầu này sang máy CA.

6 Người quản trị máy CA kiểm tra chữ ký của RA trên yêu cầu cấp chứng chỉ của người sử dụng và idKey trong cơ sở dữ liệu xem có bị trùng không, nếu hợp lệ thì

CA chấp nhận yêu cầu cấp chứng chỉ đó, phát hành chứng chỉ (thực hiện ký trên chứng chỉ) và gửi sang máy RA.

7 Người sử dụng lên trung tâm đã đăng ký để nhận chứng chỉ số và giấy chứng nhận chứng chỉ số Để chặt chẽ hơn thì khi lên người sử dụng phải đem theo yêu cầu cấp chứng chỉ (đã có khi sinh yêu cầu cấp chứng chỉ) lưu trong tệp có dạng ID.req_txt để trung tâm so sánh thông tin đã đăng ký và khoá công khai tương ứng với chứng chỉ số Đây là bước đảm bảo cấp chứng chỉ số cho đúng người sử dụng và đảm bảo về mặt pháp lý.

8 Người quản trị máy RAO lấy chứng chỉ số trên máy RA và cấp chứng chỉ số cùng giấy chứng nhận đã được cấp chứng chỉ số cho người dùng.

9 Chứng chỉ số của người dùng khi đó đã được công nhận trên toàn bộ hệ thống

CA, được người quản trị máy RAO đưa công khai lên máy LDAP và người dùng khác có thể truy cập máy này để lấy về.

Hình 3.9 Giấy chứng nhận chứng chỉ số

3.4.2 Qui trình huỷ bỏ chứng chỉ

Người dùng có thể yêu cầu huỷ bỏ chứng chỉ chưa hết hạn vì nhiều lý do, bao gồm chuyển công tác, thay đổi địa chỉ e-mail hoặc nghi ngờ lộ khoá bí mật.

Hình 3.10 Mô hình huỷ bỏ chứng chỉ

1 Người sử dụng gửi yêu cầu huỷ bỏ chứng chỉ lên máy RA.

2 RA kiểm tra chữ ký trên yêu cầu huỷ bỏ chứng chỉ, nếu thấy đúng thì ký sau đó chuyển sang máy CA.

3 CA kiểm tra chữ ký của RA trên yêu cầu huỷ bỏ, nếu đúng thì ký và sau đó chuyển sang máy LDAP.

4a Người quản trị cập nhật danh sách các chứng chỉ bị huỷ bỏ.

4b Người dùng được cấp giấy chứng nhận huỷ bỏ chứng chỉ.

Hệ thống sau khi xây dựng được đưa vào thử nghiệm ở hai phía: người quản trị và người sử dụng.

3.4.1 Thử nghiệm phía quản trị

Nội dung thử nghiệm cho người quản trị hệ thống cung cấp chứng chỉ số :

+ Xử lý yêu cầu của RA

+ Quản lý các chứng chỉ hết hiệu lực

+ Khởi tạo RA và RAOs

+Xử lý các yêu cầu của người sử dụng

+ Sinh khoá, yêu cầu cấp chứng chỉ cho các RAO

+ Ký các yêu cầu RAO

+ Tạo file định dạng PKCS#12 với các chứng chỉ nhận được

+ Cài đặt PKCS#12 vào trình duyệt (trên máy RAO)

3.4.3 Thử nghiệm phía người dùng

Sau khi đăng ký, người dùng sẽ nhận được phần mềm sinh khóa, tệp yêu cầu chứng chỉ, và công cụ chuyển đổi định dạng cho chứng chỉ số Những tiện ích này hỗ trợ hiệu quả trong quá trình đăng ký và sử dụng chứng chỉ.

Nội dung thử nghiệm phía người sử dụng:

- Đăng ký và nhận chứng chỉ:

+Sinh tệp khoá, tệp yêu cầu cấp chứng chỉ

+Nhận chứng chỉ được cấp

- Cài đặt chứng chỉ cho trình duyệt IE:

+Cài đặt tiện ích trợ giúp

+Chuyển đổi định dạng chứng chỉ

+Cài đặt chứng chỉ cho IE

Cập nhật chứng chỉ của người dùng khác

Tích hợp chứng chỉ số được cấp trong eToken (iKey 2000, iKey 2032)

- Sử dụng chứng chỉ được cấp trong dịch vụ thư điện tử và web

Hình 3.11 Mô hình kết hợp hệ thống cung cấp chứng chỉ số cùng các giải pháp đảm bảo an toàn hệ thống mạng nội bộ

Triển khai CA và quản lý chứng chỉ trên môi trường window server

cài đặt Active Directory

1 Đăng nhập vào máy window server 2003 mà bạn muốn làm người điều khiển tên miền cho một miền mới [7]

2 Mở thư mục cài đặt Active Directory, Start menu, select Run:gõ dcpromo, kick OK

3 Chọn Domain controller for a new domain, như hình trên, và chọn

Next Có một dialog mở ra, để chọn loại miền.

4 Chọn Domain in a new forest, như hình trên, rồi chọn Next Dialog này mở ra để ghi rõ tên của của domain mới.

5 Đánh tên miền bạn thích rồi chọn Next Dialog mới mở ra cho bạn ghi tên NetBIOS cho miền.

6 Accept the proposed NetBIOS name or enter a different one and choose Next.

7 Chọn vị trí để lưu cơ sở dữ liệu cho Active Directory và file log Chọn Next để mở dialog để chỉ rõ folder được chia sẻ trên hệ thống.

8 Specify a location for the shared system volume and choose Next.

The following dialog appears if DNS is not already installed on the local computer.

To set up DNS, select "Install and configure the DNS server" as illustrated in the screenshot, and then click "Next." A dialog box will appear, allowing you to specify the desired type of permissions.

9 Select whether to install Active Directory to use permissions

Choose Next to display a summary of your settings.

10 Chọn Next để cài đặt Active Directory.

Cài đặt dịch vụ CA

Bước 1: Cài đặt dịch vụ IIS (Internet Information Secure)

Theo thứ tự cài đặt CA, đầu tiên bạn sẻ cài đặt dịch vụ IIS trên máy tính sử dụng window server 2003.

1 Kick Start > Control Panel > Add or Remove Programs.

2 Trong Add or Remove Programs chọn Add / Remove Windows Components.

3 Trong các Components đó kick lên Application Server (nhưng không select nó) và ấn nút Details.

4 Trong Application server window chọn IIS và kick OK.

6 Sau khi hoàn thành cài đặt, kick

Finish Bước 2: Cài đặt dịch vụ CA

Cài đặt dịch vụ CA thực hiện theo các bước sau:

1 Click Start > Control Panel > Add or Remove Programs.

2 Trong Add or Remove Programs, click Add/Remove Windows Components.

3 Trong danh sách các Components, Chọn Certificate Services.

4 Bạn sẻ thấy một cảnh báo thành viên miền và máy tính đổi tên ràng buộc, Kick Yes

5 Trên trang các loại CA, chọn enterprise root CA và kick Next

6 Trên trang thông tin định danh cho CA, trong ô “common nam for CA” gõ tên của server rồi chọn Next

7 Trong trang thiết lập cơ sở dữ liệu chứng chỉ, chấp nhận mặc định trong hộ cơ

“Certificate database” và hộp “Certificate database log”, kick Next.

8 Máy sẻ nhắc nhở bạn tắt dịch vụ thông tin internet, kick Yes.

9 Cho phép Active Server Pages, kick Yes.

10 Khi quá trình cài đặt đã kết thúc kick Finish.

Các loại CA trên window server 2003

Window server 2003 cung cấp hai loại CA là Enterprise CA và Stand alone CA:

Enterprise CA là loại chứng chỉ ủy quyền (CA) dành cho các tổ chức có mạng lưới lớn với nhiều client Nó tích hợp với Active Directory, cho phép xuất bản chứng chỉ và danh sách hủy bỏ chứng chỉ gửi đến Active Directory Thông tin trong Active Directory được sử dụng để tự động chấp nhận hoặc từ chối yêu cầu cấp phát chứng chỉ Do đó, các client cần truy cập vào thư mục chung để nhận chứng chỉ từ CA này.

CA độc lập là loại chứng chỉ phù hợp cho các tổ chức nhỏ, không sử dụng mẫu chứng chỉ chung hay Active Directory như CA doanh nghiệp Quy trình chấp nhận hoặc từ chối cấp phát chứng chỉ được thực hiện thủ công bởi người quản trị, do đó không có sự tự động trong việc xử lý yêu cầu cấp phát chứng chỉ.

Các dịch vụ chứng chỉ window server 2003 cung cấp

Chữ kí điện tử: sử dụng để xác nhận người gửi thông điệp, file hoặc dữ liệu khác.

Chứng thực internet là quá trình xác thực giữa client và server, cho phép nhận diện client khi kết nối đến server và ngược lại, giúp tăng cường bảo mật và quản lý kết nối hiệu quả.

Bảo mật IP: cung cấp dịch vụ bảo vệ tầng IP, cho phép mã hóa, bảo vệ dữ liệu khỏi bị xem trộm và tấn công.

Bảo mật email là vấn đề quan trọng vì giao thức email truyền tải thông tin trên internet dưới dạng bản rõ, khiến nội dung dễ bị lộ Sử dụng PKI, người gửi có thể bảo vệ email trong quá trình truyền tải và ký xác nhận thông điệp bằng khóa riêng của mình, đảm bảo tính toàn vẹn và bảo mật thông tin.

Smart card logon : smart cart hay còn gọi là thẻ thông minh Window server

Năm 2003, thẻ thông minh đã được sử dụng như một thiết bị xác thực, chứa chứng chỉ số và khóa riêng của người dùng Điều này cho phép người dùng đăng nhập vào bất kỳ máy nào trong hệ thống của mình với mức độ an toàn cao.

Khi thiết lập mạng LAN không dây, việc đảm bảo rằng chỉ những người dùng được xác thực mới có thể kết nối là rất quan trọng để ngăn chặn việc nghe lén Để bảo vệ mạng không dây, có thể sử dụng Windows Server 2003 PKI nhằm xác định và xác thực người dùng trước khi họ được phép truy cập vào mạng.

Cấp phát và quản lý chứng chỉ số

4.5.1 Cấp phát tự động (Auto-Enrollment)

Tự động nhận và cấp phát chứng chỉ số từ client mà không cần sự can thiệp của người quản trị là tính năng của Auto-Enrollment Để sử dụng tính năng này, cần có một miền chạy Windows Server 2003, một CA doanh nghiệp hoạt động trên Windows Server 2003 và client phải chạy hệ điều hành Windows.

XP Professional Điểu khiển tiến trình sử dụng sự kết hợp của Group Policy và mẫu chứng chỉ.

Group Policy Objects enable Auto-Enrollment for all users and computers within a domain To set this up, access the Auto-Enrollment policy located in the Windows Settings \ Security Settings \ Public Key Policies directory under both the Computer Configuration and User Configuration sections of the Group Policy Object Editor In the Autoenrollment Settings Properties dialog, you can completely disable auto-enrollment for the objects in this group or allow them to automatically change and update their digital certificates.

Một kỹ thuật hiệu quả để điều khiển autoenrollment là xây dựng mẫu chứng chỉ số với các đặc tính rõ ràng Để quản lý mẫu chứng chỉ số, bạn có thể sử dụng mẫu có sẵn và điều chỉnh từng chi tiết như thời gian hiệu lực, thời gian gia hạn và kiểu mã hóa Ngoài ra, bạn cũng có thể chỉ định những người dùng hoặc nhóm nào được phép cấp phát loại chứng chỉ này.

Khi khách hàng yêu cầu cấp phát chứng chỉ, CA sẽ kiểm tra trạng thái của đối tượng trong Active Directory để xác định quyền cấp phát Nếu khách hàng đủ quyền, CA sẽ tự động cấp chứng chỉ cho họ.

Stand-alone CA không hỗ trợ tính năng auto-enrollment, do đó, khi nhận yêu cầu cấp chứng chỉ số từ client, nó sẽ lưu trữ yêu cầu này trong hàng đợi cho đến khi quản trị viên quyết định có cấp phát chứng chỉ hay không Để giám sát và xử lý các yêu cầu, quản trị viên sử dụng giao diện của Certificate Authority console.

Tất cả yêu cầu cấp phát chứng chỉ được lưu trữ trong thư mục Pending Requests Sau khi người quản trị xem xét thông tin của từng yêu cầu, họ sẽ quyết định chấp nhận hoặc từ chối cấp phát cho client Bên cạnh đó, người quản trị cũng có khả năng xem thông tin liên quan đến việc cấp phát và thu hồi chứng chỉ khi cần thiết.

Các cách yêu cầu cấp phát chứng chỉ

4.6.1 Yêu cầu cấp phát bằng Certificates snap-in

Certificates snap-in là công cụ quản lý chứng chỉ cho người dùng hoặc máy tính, cung cấp giao diện hiển thị thông tin chi tiết về các chứng chỉ Công cụ này cho phép người dùng yêu cầu và thay đổi chứng chỉ số thông qua Certificate Request Wizard và Certificate Renewal Wizard.

4.6.2 Yêu cầu thông qua web

Khi cài đặt Certificate Services trên Windows Server 2003, người dùng có thể chọn cài đặt module hỗ trợ web enrollment Để module này hoạt động hiệu quả, yêu cầu phải có IIS đã được cài đặt trên máy tính Việc chọn module trong quá trình cài đặt giúp tạo ra một trang web trên máy chủ CA, cho phép người dùng gửi yêu cầu cấp phát chứng chỉ số một cách thuận tiện.

Giao diện Web Autoenrollment Support phục vụ cho người dùng bên ngoài và bên trong mạng, cho phép truy cập vào các CA độc lập Do các máy chủ độc lập không sử dụng mẫu chứng chỉ số, nên client phải gửi yêu cầu chứa đầy đủ thông tin cần thiết về chứng chỉ số và thông tin của người dùng.

Khi khách hàng yêu cầu cấp chứng chỉ số qua giao diện Web Enrollment Support, họ có thể lựa chọn từ danh sách các loại chứng chỉ đã được định nghĩa trước hoặc tạo chứng chỉ cao cấp bằng cách cung cấp đầy đủ thông tin trong form trực tuyến Khi sử dụng chứng chỉ số, hệ thống sẽ kiểm tra điểm phân phối CRL được xác định trong chứng chỉ để đảm bảo rằng chứng chỉ cần xác thực chưa bị thu hồi.

Có một số nguyên nhân khiến người quản trị phải thu hồi chứng chỉ, như khi khóa bí mật bị lộ hoặc khi có người dùng trái phép truy cập vào CA Nếu bạn muốn sử dụng chứng chỉ với các tham số khác, chứng chỉ hiện tại cũng cần phải được thu hồi CA duy trì một danh sách các chứng chỉ bị thu hồi trong CRL, và người dùng có thể kiểm tra trạng thái của chứng chỉ thông qua cơ sở dữ liệu Active Directory bằng giao thức LDAP Đối với một CA độc lập, CRL được lưu trữ dưới dạng tệp trên đĩa cục bộ của server, cho phép client truy xuất qua giao thức HTTP hoặc FTP.

Mỗi chứng chỉ bao gồm đường dẫn đến điểm phân phối của CA cho CRLs Đường dẫn này có thể được chỉnh sửa trong bảng điều khiển của Certificate Authority bằng cách hiển thị hộp thoại thuộc tính cho CA.

Một số dịch vụ mạng sử dụng CA

4.7.1 Dịch vụ Web sử dụng SSL

SSL (Secure Socket Layer) là giao thức mã hóa đảm bảo an toàn cho việc truyền thông trên internet, bao gồm duyệt web và email Nó cung cấp chứng thực tại các điểm cuối của kết nối và tạo ra kênh truyền thông riêng tư thông qua mã hóa Thông thường, chỉ máy chủ được chứng thực, nghĩa là người dùng chỉ biết mình đang giao tiếp với ai Tuy nhiên, để đạt mức độ bảo mật cao hơn, cả hai bên cần phải chứng thực lẫn nhau, điều này yêu cầu sử dụng hạ tầng khóa công khai PKI.

Hình 4.23 mô hình dịch vụ SSL

IPSec (Internet Protocol Security) là một giao thức bảo mật được thiết kế để bảo vệ dữ liệu thông qua chữ ký điện tử và mã hóa trước khi truyền tải Giao thức này mã hóa thông tin trong các gói tin IP, giúp bảo vệ nội dung bên trong khỏi việc bị đọc trộm ngay cả khi gói tin bị chặn.

IPSec hoạt động ở tầng mạng (tầng 3) của mô hình OSI, điều này khác biệt so với các giao thức bảo mật internet khác như SSL, TLS và SSH, vốn hoạt động từ tầng giao vận trở lên (tầng 4 đến tầng 7) Sự khác biệt này mang lại cho IPSec tính linh hoạt, cho phép nó hoạt động hiệu quả với cả giao thức TCP và UDP ở tầng 4.

Có 2 giao thức được phát triển để bảo mật trên internet cho các gói tin của hai phiên bản ipv4 và ipv6: [9] a) IP Authentication Header-AH:

Gói IP không mã hóa dữ liệu mà chỉ mã hóa phần header, trong khi AH cung cấp các dịch vụ bảo mật cơ bản Mặc dù dữ liệu có thể đọc được khi bắt gói tin, nhưng nội dung bên trong không thể bị thay đổi.

Hình 4.24 Nội dung gói tin Ipv4 b) IP Encapsulating Security Payload-ESP:

Mã hóa toàn bộ nội dung gói tin IP giúp ngăn chặn việc nghe lén và bảo vệ thông tin khi dữ liệu di chuyển trên mạng Giao thức ESP cung cấp các dịch vụ chứng thực, đảm bảo tính toàn vẹn và bảo mật cho dữ liệu.

Hình 4.25 Nội dung gói tin ipv6

Hình 4.26 Mô hình dịch vụ IPSec

VPN-Virtual Private Network là một mạng riêng dùng mạng công cộng internet để kết nối các điểm hoặc người sử dụng tới mạng Lan trung tâm.

VPN cho phép truyền dữ liệu an toàn giữa hai máy tính qua mạng công cộng Thay vì sử dụng các kết nối phức tạp, VPN tạo ra các liên kết ảo, giúp người dùng truy cập từ xa vào hệ thống của tổ chức thông qua internet.

Hình 4.27 Mô hình dịch vụ VPN

Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-nối-điểm (site-to-site)

VPN truy cập từ xa, hay còn gọi là mạng Dial-up riêng ảo (VPDN), là giải pháp kết nối người dùng đến mạng LAN, thường được sử dụng bởi các tổ chức có nhiều nhân viên cần truy cập vào mạng riêng từ xa Để thiết lập một VPN lớn, các công ty thường cần hợp tác với nhà cung cấp dịch vụ doanh nghiệp (ESP), đơn vị này sẽ tạo ra máy chủ truy cập mạng (NAS) và cung cấp phần mềm máy khách cho người sử dụng Người dùng có thể gọi số miễn phí để kết nối với NAS và sử dụng phần mềm VPN để truy cập vào mạng riêng của công ty, đảm bảo các kết nối được thực hiện một cách an toàn và có mã hóa.

Hình minh họa cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tại gia hoặc nhân viên di động là loại VPN truy cập từ xa).

VPN điểm-nối-điểm sử dụng mật mã để kết nối nhiều điểm cố định qua mạng Internet Có hai loại VPN: VPN intranet, cho phép các địa điểm từ xa của một công ty kết nối với nhau trong một mạng riêng, và VPN extranet, kết nối LAN giữa các tổ chức khác nhau, thường là những đối tác hoặc khách hàng.

Trong hình minh họa, kết nối giữa Văn phòng chính và Văn phòng từ xa được thiết lập thông qua VPN Intranet, trong khi kết nối giữa Văn phòng chính và Đối tác kinh doanh sử dụng VPN Extranet.

Tường lửa là một rào chắn quan trọng giữa mạng riêng và Internet, giúp kiểm soát lưu lượng truy cập bằng cách hạn chế số lượng cổng mở, loại gói tin và giao thức được phép Một số thiết bị VPN, như router Cisco 1700, có thể được nâng cấp để tích hợp các tính năng tường lửa thông qua hệ điều hành Cisco IOS Để đảm bảo an toàn tối ưu, việc cài đặt tường lửa chất lượng trước khi thiết lập VPN là rất cần thiết.

Mật mã truy cập là quá trình mà một máy tính mã hóa dữ liệu trước khi gửi đến máy tính khác, và chỉ máy nhận mới có khả năng giải mã thông tin đó Có hai loại mật mã chính: mật mã riêng và mật mã chung.

Mật mã riêng, hay còn gọi là Mã hóa Khóa Đối xứng, là phương pháp mà mỗi máy tính sử dụng một mã bí mật để mã hóa gói tin trước khi gửi đến máy tính khác trong mạng Để thực hiện quá trình này, người gửi cần biết rõ danh tính của máy tính nhận, nhằm cài đặt mã một cách chính xác, giúp máy tính nhận có khả năng giải mã thông tin.

Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng.

Mã riêng chỉ được máy của bạn nhận biết, trong khi mã chung được cấp phát cho các máy khác để liên lạc an toàn Để giải mã một thông điệp, máy tính cần sử dụng mã chung từ máy tính nguồn và mã riêng của chính nó Một ứng dụng phổ biến cho việc này là Pretty Good Privacy (PGP), cho phép mã hóa hầu hết mọi thứ.

Giao thức bảo mật Internet (IPSec) mang đến tính năng bảo mật vượt trội với các thuật toán mã hóa tiên tiến và quy trình xác thực quyền truy cập toàn diện, đảm bảo an toàn cho dữ liệu truyền tải trên mạng.

IPSec sử dụng hai cơ chế mã hóa là Tunnel và Transport; trong đó Tunnel mã hóa cả tiêu đề và kích thước gói tin, trong khi Transport chỉ mã hóa kích thước Để sử dụng giao thức IPSec, các hệ thống phải hỗ trợ nó và tất cả thiết bị cần có mã khóa chung cùng các thiết lập bảo mật đồng nhất trên tường lửa IPSec cho phép mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router, firewall, PC và máy chủ.

Chương trình thực nghiệm

a Vai trò: là chương trình có 2 chức năng chính:

- Sinh cặp khóa bí mật - công khai cho người dùng với độ dài bit tùy chọn (H1).

- Mã hóa bản rõ (H2) hoặc một file (H4) sử dụng khóa công khai.

- Sử dụng khóa bí mật để giải mã bản mã hoặc file ghi bản mã.(H3). b Mô tả các chi tiết thao tác

- Sinh khóa (Generate Keys): trong tab “Scryption” chọn “Generate Key Pairs” xuất hiện form “Generate keys” cho phép người dùng sinh cặp khóa với đồ dài bit tùy chọn.

- Mã hóa (Encrypt) : Sử dụng khóa công khai để giải mã bản tin bằng cách trong tab “Scryption” chọn “Encrypt” để tìm đến khóa công khai cần thiết.

Để giải mã dữ liệu đã được mã hóa, bạn cần sử dụng khóa bí mật Trong tab “Scryption”, chọn “Decrypt” và tìm đến khóa bí mật để tiến hành giải mã bản tin Dưới đây là một số giao diện chính của chương trình.

H2 Giao diện chính của chương trình sinh khóa và mã hóa

H3a Dùng khóa công khai mã hóa bản tin

H 3b Dùng khóa bí mật giãi mã bản tin

H4 Mở file chứa bản rõ hoặc bản mã để mã hóa/giải mã

Ngày đăng: 13/10/2022, 15:34

HÌNH ẢNH LIÊN QUAN

Hình 2.1 minh hoạ một chứng chỉ số do VASC-CA cấp. - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình 2.1 minh hoạ một chứng chỉ số do VASC-CA cấp (Trang 14)
Hình dưới là nội dung chi tiết một chứng chỉ do một hệ thống MyCA cấp. - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình d ưới là nội dung chi tiết một chứng chỉ do một hệ thống MyCA cấp (Trang 18)
Hình 2.3 Cơ chế truy vấn online - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình 2.3 Cơ chế truy vấn online (Trang 23)
Hình 2.4 Dịch vụ kiểm tra online - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình 2.4 Dịch vụ kiểm tra online (Trang 24)
Hình 2.7 mơ xác thực chéo - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình 2.7 mơ xác thực chéo (Trang 32)
Hình 2.10 Kiến trúc mạng lưới - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình 2.10 Kiến trúc mạng lưới (Trang 36)
Hình 2.11 Kiến trúc danh sách tin cậy - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình 2.11 Kiến trúc danh sách tin cậy (Trang 38)
Hình 2.12 Danh sách các rootCA tin cậy trong Microsoft Explorer - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình 2.12 Danh sách các rootCA tin cậy trong Microsoft Explorer (Trang 39)
Hình 3.1 Mơ hình hệ thống - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình 3.1 Mơ hình hệ thống (Trang 40)
Hình 3.4 Nội dung khố cơng khai và chứng chỉ của người sử dụng - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình 3.4 Nội dung khố cơng khai và chứng chỉ của người sử dụng (Trang 45)
Hình 3.6: Mơ hình mơ phỏng hệ thống MyCA phân cấp hai tầng - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình 3.6 Mơ hình mơ phỏng hệ thống MyCA phân cấp hai tầng (Trang 48)
Hình 3.8 Mơ hình đăng ký và cấp chứng chỉ số - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình 3.8 Mơ hình đăng ký và cấp chứng chỉ số (Trang 51)
Hình 3.11 Mơ hình kết hợp hệ thống cung cấp chứng chỉ số cùng các giải pháp đảm bảo an toàn hệ thống mạng nội bộ - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình 3.11 Mơ hình kết hợp hệ thống cung cấp chứng chỉ số cùng các giải pháp đảm bảo an toàn hệ thống mạng nội bộ (Trang 56)
Hình 4.1 - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình 4.1 (Trang 57)
Hình 4.2 - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHÓA CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ
Hình 4.2 (Trang 58)

TRÍCH ĐOẠN

Kiến trúc phân cấp mạng lưới

Kiến trúc danh sách tin cậy

Chức năng và quá trình khởi tạo các thành phần trong hệ thống cung cấp Qui trình đăng ký, cấp phát và huỷ bỏ chứng chỉ Qui trình huỷ bỏ chứng chỉ Cấp phát và quản lý chứng chỉ số Các cách yêu cầu cấp phát chứng chỉ Chương trình thực nghiệm

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w