Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 32 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
32
Dung lượng
481,38 KB
Nội dung
Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính Đề Tài HẠ TẦNG MÃ KHÓA CÔNG KHAI TRONG VPN Hạ tầng khóa công khai trong VPN 1 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính MỤC LỤC MỞ ĐẦU 2 PHẦN 1-TỔNG QUAN VỀ CHỨNG CHỈ SỐ 4 1.1 Giới thiệu 5 1.2 Chứng chỉ khóa công khai X.509 6 1.3 Thu hồi chứng chỉ 10 1.4 Chính sách của chứng chỉ 11 1.5 Công bố và gửi thông báo thu hồi chứng chỉ 11 PHẦN 2- HẠ TẦNG MÃ KHÓA CÔNG KHAI 15 2.1 Tổng quan về PKI 15 2.2 Các thành phần của PKI 15 2.2.1 Tổ chức chứng thực (Certification Authority) 16 2.2.2 Trung tâm đăng ký ( Registration Authorities) 16 2.2.3 Thực thể cuối ( Người giữ chứng chỉ và Clients) 17 2.2.4 Hệ thống lưu trữ ( Repositories) 17 2.3 Chức năng cơ bản của PKI 18 2.3.1 Chứng thực ( Certification) 18 2.3.2 Thẩm tra ( Validation) 18 2.3.3 Một số chức năng khác 18 PHẦN 3-MÔ HÌNH TIN CẬY CHO PKI 22 3.1 Mô hình CA đơn 22 3.2 Mô hình phân cấp 23 3.3 Mô hình mắt lưới (Xác thực chéo) 25 3.4 Mô hình Hub và Spoke (Bridge CA) 26 3.5 Mô hình Web ( Trust Lists) 27 3.6 Mô hình người sử dụng trung tâm ( User Centric Model) 29 KẾT LUẬN 30 TÀI LIỆU THAM KHẢO 31 Hạ tầng khóa công khai trong VPN 2 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính MỞ ĐẦU Trong một vài năm lại đây, hạ tầng truyền thông IT càng ngày càng được mở rộng khi người sử dụng dựa trên nền tảng này để truyền thông và giao dịch với các đồng nghiệp, các đối tác kinh doanh cũng như việc khách hàng dùng email trên các mạng công cộng. Hầu hết các thông tin nhạy cảm và quan trọng được lưu trữ và trao đổi dưới hình thức điện tử trong các cơ quan văn phòng, doanh nghiệp. Sự thay đổi trong các hoạt động truyền thông này đồng nghĩa với việc cần phải có biện pháp bảo vệ đơn vị, tổ chức, doanh nghiệp của mình trước các nguy cơ lừa đảo, can thiệp, tấn công, phá hoại hoặc vô tình tiết lộ các thông tin đó. Cơ sở hạ tầng mã khoá công khai (PKI - Public Key Infrastructure) cùng các tiêu chuẩn và công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc lập có thể sử dụng để giải quyết vấn đề này. PKI bản chất là một hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các chứng chỉ số hay ta còn gọi là chứng thực điện tử (digital certificate) cũng như các khoá công cộng (khoá công khai) và cá nhân (khoá riêng). Sáng kiến PKI ra đời năm 1995, khi mà các chính phủ và các tổ chức công nghiệp xây dựng các tiêu chuẩn chung dựa trên phương pháp mã hoá để hỗ trợ một hạ tầng bảo mật trên mạng Internet. Tại thời điểm đó, mục tiêu được đặt ra là xây dựng một bộ tiêu chuẩn bảo mật tổng hợp cùng các công cụ và lý thuyết cho phép người sử dụng cũng như các tổ chức (doanh nghiệp hoặc phi lợi nhuận) có thể tạo lập, lưu trữ và trao đổi các thông tin một cách an toàn trong phạm vi cá nhân và công cộng. Cho tới nay, những nỗ lực hoàn thiện PKI vẫn đang được đầu tư và thúc đẩy. Và để hiện thực hoá ý tưởng tuyệt vời này, các tiêu chuẩn cần phải được nghiên cứu phát triển ở các mức độ khác nhau bao gồm: mã hoá, truyền thông và liên kết, xác thực, cấp phép và quản lý. Nhiều chuẩn bảo mật trên mạng Internet, chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) và Virtual Private Network (VPN), chính là kết quả của sáng kiến PKI. Một minh chứng là thuật toán mã hoá phi đối xứng được xây dựng dựa trên phương pháp mã hoá và giải mã thông tin sử dụng hai khoá mã: khoá công khai (public key) và khoá riêng (private key). Trong trường hợp này, một người sử dụng có thể mã hoá tài liệu của mình với khoá riêng và sau đó giải mã thông tin đó bằng khoá công khai. Nếu một văn bản chứa các dữ liệu nhạy cảm và cần phải được truyền một cách bảo mật tới duy nhất một cá nhân, thông thường người gửi mã hoá tài liệu đó bằng mã khoá riêng của mình và người nhận sẽ giải mã sử dụng khoá công khai của người gửi. Khoá công khai này có thể được gửi kèm theo tài liệu này hoặc có thể được gửi cho người nhận trước đó. Mặt khác, do có khá nhiều thuật toán phi đối xứng nên các chuẩn công khai hiện có thường xuyên được nghiên cứu cải tiến để phù hợp với các thuật toán này. Hiện nay ở Việt Hạ tầng khóa công khai trong VPN 3 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính Nam, việc nghiên cứu, ứng dụng và triển khai PKI nói chung và dịch vụ cung cấp chứng chỉ số nói riêng là vấn đề còn mang tính thời sự. Bằng việc sử dụng chứng chỉ và chữ ký số, những ứng dụng cho phép PKI đưa ra nhiều đặc tính đảm bảo an toàn thông tin cho người sử dụng. Bài báo cáo này được thực hiện với mục đích tìm hiểu nghiên cứu về PKI, bao gồm các khái niệm tổng quan về chứng chỉ số, các khái niệm cơ sở về PKI, chức năng và các thành phần PKI. Từ đó xây dựng các mô hình tin cậy của PKI trong VPN, ưu và nhược điểm của các mô hình này.Với giới hạn những vấn đề tìm hiểu và nghiên cứu như trên, bài báo cáo bao gồm 3 phần: Phần 1: Tổng quan về chứng chỉ số Giới thiệu các khái niệm về chứng chỉ số và một số vấn đề liên quan. Phần 2: Hạ tầng mã khóa công khai Khái niệm PKI, chức năng và các thành phần của PKI. Phần 3: Mô hình tin cậy cho PKI Phân tích và xây dựng các mô hình tin cậy của PKI, ưu và nhược điểm các mô hình này. Hạ tầng khóa công khai trong VPN 4 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính PHẦN 1 TỔNG QUAN VỀ CHỨNG CHỈ SỐ Mật mã khoá công khai cho đến nay được xem là giải pháp tốt nhất để đảm bảo được các yêu cầu về an toàn thông tin mạng: “bảo mật”, “toàn vẹn”, “xác thực” và “chống chối bỏ”. Mặc dù vẫn còn mới khi so sánh với các phương pháp mã cổ điển nhưng mật mã khoá công khai đã nhận được sự tin cậy rộng rãi của thế giới Internet vì những công cụ có khả năng phát triển cho vấn đề quản lý khoá. Như đã đề cập ở trên, vấn đề chính của hệ mã khoá đối xứng là vấn đề quản lý khoá và để giải quyết vấn đề này hệ mã khoá công khai đã được đưa ra như một giải pháp. Trong hệ thống mật mã khoá công khai, khoá riêng (khoá bí mật) được người dùng giữ bí mật trong khi khoá công khai với tên của người sở hữu tương ứng lại được công bố công khai. Đối với hệ thống như thế này, ta cần xác định và trả lời một số câu hỏi như: - Ai sẽ tạo ra cặp khoá công khai – bí mật? - Dữ liệu sẽ được lưu dưới định dạng như thế nào trong hệ thống lưu trữ (khoá công, định danh của người sở hữu và các thông tin khác)? - Có cơ chế nào để giữ cho thông tin không bị thay đổi trên hệ thống lưu trữ? - Làm thế nào để đảm bảo việc gắn kết giữa khoá công và định danh của thực thể yêu cầu có khoá công? - Làm thế nào để người sử dụng có thể truy cập được đến nơi lưu trữ? - Làm thế nào người sử dụng nhận biết được có sự thay đổi trong dữ liệu đang được lưu trên hệ thống lưu trữ? - Điều gì sẽ xảy với khoá công khai nếu khoá riêng tương ứng bị xâm hại? - Có một chính sách nào cho tất cả những vấn đề nêu trên không? Để trả lời cho những câu hỏi trên có một giải pháp là sử dụng hạ tầng khoá công khai - PKI. Cho đến nay có nhiều định nghĩa về PKI, nhưng chưa định nghĩa nào được công nhận chính thức. Có một số định nghĩa về PKI như sau: “PKI là một tập các phần cứng, phần mềm, con người, chính sách và các thủ tục cần thiết để tạo, quản lý, lưu trữ, phân phối và thu hồi chứng chỉ khoá công khai dựa trên mật mã khoá công khai”. “PKI là hạ tầng cơ sở có thể hỗ trợ quản lý khoá công khai để hỗ trợ các dịch vụ xác thực, mã hoá, toàn vẹn hay chống chối bỏ”. “PKI là hạ tầng cơ sở bảo mật có những dịch vụ được triển khai và chuyển giao sử dụng công nghệ và khái niệm khoá công khai”. Nhìn chung, PKI có thể được định nghĩa như một hạ tầng cơ sở sử dụng công nghệ thông tin để cung cấp dịch vụ mã hoá khoá công khai và chữ ký số. Một mục đích quan trọng khác của PKI là để quản lý khoá và chứng chỉ được sử dụng trong hệ thống. Hạ tầng khóa công khai trong VPN 5 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính Chứng chỉ là cấu trúc dữ liệu đặc biệt, gắn kết khoá công khai với chủ sở hữu của nó. Việc gắn kết này được đảm bảo bằng chữ ký số của nơi được uỷ quyền cấp chứng chỉ. 1.1 Giới thiệu Như đã nói đến ở trên, mật mã khoá công khai sử dụng hai khoá khác nhau (khoá công và khoá riêng) để đảm bảo yêu cầu “bí mật, xác thực, toàn vẹn và chống chối bỏ ” của những dịch vụ an toàn. Một đặc tính quan trọng khác của lược đồ khoá công khai là phần khoá công khai được phân phối một cách tự do. Ngoài ra, trong hạ tầng mã khoá công khai thì khoá công ngoài việc phải luôn sẵn có để mọi người trong hệ thống có thể sử dụng còn phải được đảm bảo về tính toàn vẹn. Khoá công được đặt ở vị trí công khai trong một định dạng đặc biệt. Định dạng này được gọi là chứng chỉ. Chứng chỉ (thực ra là chứng chỉ khoá công – public key certificate (PKC)) là sự gắn kết giữa khoá công của thực thể và một hoặc nhiều thuộc tính liên quan đến thực thể. Thực thể có thể là người, thiết bị phần cứng như máy tính, router hay một phần mềm xử lý. Một chứng chỉ khoá công (PKC) được người cấp ký bằng chữ ký có hiệu lực đưa ra một bảo bảm đầy đủ về sự gắn kết giữa khoá công, thực thể sở hữu khoá công này và tập các thuộc tính khác được viết trong chứng chỉ. PKC còn được gọi là “digital certificate”- chứng chỉ số, “digital ID”, hay đơn giản là chứng chỉ. Hình 1.1 minh hoạ một chứng chỉ số do hệ thống MyCA cấp. Hình 1.1 : Chứng chỉ số Hạ tầng khóa công khai trong VPN 6 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính Chứng chỉ chứa những thông tin cần thiết như khóa công khai, chủ thể (người sở hữu) khoá công, người cấp và một số thông tin khác. Tính hợp lệ của các thông tin được đảm bảo bằng chữ ký số của người cấp chứng chỉ. Người nào muốn sử dụng chứng chỉ trước hết sẽ kiểm tra chữ ký số trong chứng chỉ. Nếu đó là chữ ký hợp lệ thì sau đó có thể sử dụng chứng chỉ theo mục đích mong muốn. Có nhiều loại chứng chỉ, một trong số đó là: - Chứng chỉ khoá công X.509 - Chứng chỉ khoá công đơn giản (Simple Public Key Certificates - SPKC) - Chứng chỉ Pretty Good Privacy (PGP) - Chứng chỉ thuộc tính (Attribute Certificates - AC) Tất cả các loại chứng chỉ này đều có cấu trúc định dạng riêng. Hiện nay chứng chỉ khoá công khai X.509 được sử dụng phổ biến trong hầu hết các hệ thống PKI. Hệ thống chương trình cấp chứng chỉ số thử nghiệm cũng sử dụng định dạng chứng chỉ theo X.509, nên bài báo cáo này tập trung vào xem xét chi tiết chứng chỉ công khai X.509. Trong bài báo cáo, thuật ngữ chứng chỉ “certificate” được sử dụng đồng nghĩa với chứng chỉ khoá công khai X.509 v3. 1.2 Chứng chỉ khoá công khai X.509 Chứng chỉ X.509 v3 là định dạng chứng chỉ được sử dụng phổ biến và được hầu hết các nhà cung cấp sản phẩm PKI triển khai. Chứng chỉ khoá công khai X.509 được Hội viễn thông quốc tế (ITU) đưa ra lần đầu tiên năm 1988 như là một bộ phận của dịch vụ thư mục X.500. Chứng chỉ gồm 2 phần. Phần đầu là những trường cơ bản cần thiết phải có trong chứng chỉ. Phần thứ hai chứa thêm một số trường phụ, những trường phụ này được gọi là trường mở rộng dùng để xác định và đáp ứng những yêu cầu bổ sung của hệ thống. Khuôn dạng của chứng chỉ X.509 được chỉ ra như trong hình1.2. Hạ tầng khóa công khai trong VPN 7 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính Hình 1.2: Khuôn dạng chứng chỉ X.509 a. Những trường cơ bản của chứng chỉ X.509 - Version: xác định số phiên bản của chứng chỉ. - Certificate Serial Number: do CA gán, là định danh duy nhất của chứng chỉ. - Signature Algorithm ID: chỉ ra thuật toán CA sử dụng để ký số chứng chỉ. Có thể là thuật toán RSA hay DSA… - Issuer: chỉ ra CA cấp và ký chứng chỉ. - Validity Period: khoảng thời gian chứng chỉ có hiệu lực. Trường này xác định thời gian chứng chỉ bắt đầu có hiệu lực và thời điểm hết hạn. - Subject: xác định thực thể mà khoá công khai của thực thể này được xác nhận. Tên của subject phải duy nhất đối với mỗi thực thể CA xác nhận. - Subject public key information: chứa khoá công khai và những tham số liên quan; xác định thuật toán (ví dụ RSA hay DSA) được sử dụng cùng với khoá. - Issuer Unique ID (Optional): là trường không bắt buộc, trường này cho phép sử dụng lại tên người cấp. Trường này hiếm được sử dụng trong triển khai thực tế. - Subject Unique ID (Optional): là trường tuỳ chọn cho phép sử dụng lại tên của subject khi quá hạn. Trường này cũng ít được sử dụng. - Extensions (Optional): chỉ có trong chứng chỉ v.3. Hạ tầng khóa công khai trong VPN 8 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính - Certification Authority’s Digital Signature: chữ ký số của CA được tính từ những thông tin trên chứng chỉ với khoá riêng và thuật toán ký số được chỉ ra trong trường Signature Algorithm Identifier của chứng chỉ. Tính toàn vẹn của chứng chỉ được đảm bảo bằng chữ ký số của CA trên chứng chỉ. Khoá công khai của CA được phân phối đến người sử dụng chứng chỉ theo một số cơ chế bảo mật trước khi thực hiện các thao tác PKI. Người sử dụng kiểm tra hiệu lực của chứng chỉ được cấp với chữ ký số của CA và khoá công khai của CA. b. Những trường mở rộng của chứng chỉ X.509 Phần mở rộng là những thông tin về các thuộc tính cần thiết được đưa vào để gắn những thuộc tính này với người sử dụng hay khoá công. Những thông tin trong phần mở rộng thường được dùng để quản lý xác thực phân cấp, chính sách chứng chỉ, thông tin về chứng chỉ bị thu hồi…Nó cũng có thể được sử dụng để định nghĩa phần mở rộng riêng chứa những thông tin đặc trưng cho cộng đồng nhất định. Mỗi trường mở rộng trong chứng chỉ được thiết kế với cờ “critical” hoặc “uncritical”. - Authority Key Indentifier: chứa ID khoá công khai của CA, ID này là duy nhất và được dùng để kiểm tra chữ ký số trên chứng chỉ. Nó cũng được sử dụng để phân biệt giữa các cặp khoá do một CA sử dụng (trong trường hợp nếu CA có nhiều hơn một khoá công khai). Trường này được sử dụng cho tất cả các chứng chỉ tự ký số (CA - certificates). - Subject Key Identifier: chứa ID khoá công khai có trong chứng chỉ và được sử dụng để phân biệt giữa các khoá nếu như có nhiều khoá được gắn vào trong cùng chứng chỉ của người sử dụng (Nếu chủ thể có nhiều hơn một khoá công khai). - Key Usage: chứa một chuỗi bit được sử dụng để xác định (hoặc hạn chế) chức năng hoặc dịch vụ được hỗ trợ qua việc sử dụng khoá công khai trong chứng chỉ. - Extended Key Usage: chứa một hoặc nhiều OIDs (định danh đối tượng – Object Identifier) để xác định cụ thể việc sử dụng khoá công trong chứng chỉ. Các giá trị có thể là : (1) xác thực server TLS, (2) xác thực client TLS, (3) Ký Mã, (4) bảo mật e-mail , (5) Tem thời gian. - CRL Distribution Point: chỉ ra vị trí của CRL tức là nơi hiện có thông tin thu hồi chứng chỉ. Nó có thể là URI (Uniform Resource Indicator), địa chỉ của X.500 hoặc LDAP server. - Private Key Usage Period: trường này cho biết thời gian sử dụng của khoá riêng gắn với khóa công khai trong chứng chỉ. - Certificate Policies: trường này chỉ ra dãy các chính sách OIDs gắn với việc cấp và sử dụng chứng chỉ. - Policy Mappings: trường này chỉ ra chính sách xác thực tương đương giữa hai miền CA. Nó được sử dụng trong việc thiết lập xác thực chéo và kiểm tra đường dẫn chứng chỉ. Trường này chỉ có trong chứng chỉ CA. - Subject Alternative Name: chỉ ra những dạng tên lựa chọn gắn với người sở hữu chứng chỉ. Những giá trị có thể là: địa chỉ e-mail, địa chỉ IP, địa chỉ URI… - Issuer Alternative Name: chỉ ra những dạng tên lựa chọn gắn với người cấp chứng chỉ. Hạ tầng khóa công khai trong VPN 9 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính - Subject Directory Attributes: trường này chỉ ra dãy các thuộc tính gắn với người sở hữu chứng chỉ. Trường mở rộng này không được sử dụng rộng rãi. Nó được dùng để chứa những thông tin liên quan đến đặc quyền. - Basic Constraints Field: trường này cho biết đây có phải là chứng chỉ CA hay không bằng cách thiết lập giá trị logic (true). Trường này chỉ có trong chứng chỉ CA. Chứng chỉ CA dùng để thực hiện một số chức năng. Chứng chỉ này có thể ở một trong hai dạng. Nếu CA tạo ra chứng chỉ để tự sử dụng, chứng chỉ này được gọi là chứng chỉ CA tự ký. Khi một CA mới được thiết lập, CA tạo ra một chứng chỉ CA tự ký để ký lên chứng chỉ của người sử dụng cuối trong hệ thống. Và dạng thứ hai là CA cấp chứng chỉ cho những CA khác trong hệ thống. - Path Length Constraint: trường này chỉ ra số độ dài tối đa của đường dẫn chứng chỉ có thể được thiết lập. Giá trị “zero” chỉ ra rằng CA chỉ có thể cấp chứng chỉ cho thực thể cuối , không cấp chứng chỉ cho những CA khác. (Trường này chỉ có trong chứng chỉ của CA). - Name Constrainsts: được dùng để bao gồm hoặc loại trừ các nhánh trong những miền khác nhau trong khi thiết lập môi trường tin tưởng giữa các miền PKI. - Policy Constraints: được dùng để bao gồm hoặc loại trừ một số chính sách chứng chỉ trong khi thiết lập môi trường tin tưởng giữa các miền PKI. Hình 1.3 là nội dung chi tiết một chứng chỉ do hệ thống MyCA cấp. Hạ tầng khóa công khai trong VPN 10 [...]... dịch vụ này Hình 1.5 là dịch vụ kiểm tra online với OCSP Responder là dịch vụ khác nhau Hạ tầng khóa công khai trong VPN 14 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính Hình 1. 5: Dịch vụ kiểm tra online Hạ tầng khóa công khai trong VPN 15 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính PHẦN 2 HẠ TẦNG MÃ KHÓA CÔNG KHAI (PKI) 2.1 Tổng quan về PKI Public Key Infrastructure (PKI) là một cơ chế để cho một... chứng chỉ khác Khoá công khai được xác nhận trong một chứng chỉ tương ứng với khoá riêng được sử dụng để ký chứng chỉ khác Hạ tầng khóa công khai trong VPN 21 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính Hình 2. 2: Đường dẫn chứng chỉ chéo Hạ tầng khóa công khai trong VPN 22 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính PHẦN 3 MÔ HÌNH TIN CẬY CHO PKI X.509 định nghĩa sự tin cậy như sau: “Một thực thể... cấp công bố tự động sau thời gian hết hạn Hạ tầng khóa công khai trong VPN 20 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính f Xâm hại khoá Đây là trường hợp không bình thường nhưng nếu xảy ra thì khoá mới sẽ được công bố và tất cả người sử dụng trong hệ thống sẽ nhận thấy điều này Xâm hại đến khoá của CA là một trường hợp đặc biệt Và trong trường hợp này thì CA sẽ công bố lại tất cả các chứng chỉ với... phạm - Thông tin chứa trong chứng chỉ bị thay đổi - Khoá riêng của CA cấp chứng chỉ bị xâm phạm Trong những trường hợp này cần có một cơ chế để thông báo đến những người sử dụng khác Một trong những phương pháp để thông báo đến người sử dụng về trạng thái của chứng chỉ là công bố CRLs định kỳ hoặc khi cần thiết Ngoài ra, có một số cách lựa Hạ tầng khóa công khai trong VPN 12 Học viện Kỹ Thuật Mật Mã. .. chứng chỉ được lưu trong đĩa mềm hay trong một số các môi trường lưu trữ khác Cũng có thể phân phối bằng cách gắn chứng chỉ trong e-mail để gửi cho người khác Cách này thực hiện tốt trong một nhóm ít người dùng nhưng khi số lượng người dùng tăng lên thì có thể xảy ra vấn đề về quản lý Hạ tầng khóa công khai trong VPN 18 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính b Phân phối công khai Một phương pháp... cấp trên Hạ tầng khóa công khai trong VPN 24 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính Hình 3. 2: Mô hình phân cấp Mô hình phân cấp được minh hoạ như Hình 3.2 ở trên Trong mô hình này, mỗi thực thể sẽ giữ bản sao khoá công khai của root CA và kiểm tra đường dẫn của chứng chỉ bắt đầu từ chữ ký của CA gốc Đây là mô hình PKI tin cậy sớm nhất và được sử dụng trong PEM * Ưu điểm của mô hình: - Mô hình... một CA gốc nên có thể gây ra một số vấn đề như thiếu khả năng hoạt động Thêm vào đó, trong trường hợp khoá bí mật của CA bị xâm phạm, khoá công khai mới của CA gốc phải được phân phối đến tất cả các người sử dụng cuối trong hệ thống theo một số cơ chế khác nhau Hạ tầng khóa công khai trong VPN 25 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính Mặc dù có những nhược điểm, song mô hình này vẫn thích hợp... diễn cho mô hình hub và spoke được thể hiện trong hình 3.4 Hạ tầng khóa công khai trong VPN 27 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính Hình 3. 4: Mô hình Hub và Spoke (Bridge CA) 3.5 Mô hình Web (Trust Lists) Khái niệm về mô hình web được lấy ra từ tên của nó (www) Trong mô hình này, mỗi nhà cung cấp trình duyệt gắn vào trình duyệt một hoặc nhiều khoá công khai của một số root CA phổ biến hoặc nổi... của các CA này được gắn trong trình duyệt và người sử dụng Hình 3.5 chỉ ra danh sách các root CA được gắn trong trình duyệt của IE Hạ tầng khóa công khai trong VPN 28 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính Hình 3. 5: Danh sách các CA tin cậy trong Microsoft Explorer Danh sách tin cậy phần lớn được sử dụng để xác thực web server mà những web server này được CA xác nhận trong danh sách trình duyệt... niệm, công nghệ, mô hình tổ chức và xây dựng một hệ thống PKI Một số vấn đề đang được tiếp tục nghiên cứu phát triển: Tìm hiểu về đường cong elliptic Cài đặt hệ chữ ký số trên đường cong Elliptic ECDSA Tích hợp thiết bị lưu khoá cùng với chứng chỉ số ứng dụng trong VPN Hạ tầng khóa công khai trong VPN 31 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt 1 Phạm Huy . Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính Đề Tài HẠ TẦNG MÃ KHÓA CÔNG KHAI TRONG VPN Hạ tầng khóa công khai trong VPN 1 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính MỤC LỤC . nhau. Hạ tầng khóa công khai trong VPN 14 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính Hình 1. 5: Dịch vụ kiểm tra online. Hạ tầng khóa công khai trong VPN 15 Học viện Kỹ Thuật Mật Mã An Toàn. 1.1 : Chứng chỉ số Hạ tầng khóa công khai trong VPN 6 Học viện Kỹ Thuật Mật Mã An Toàn Mạng Máy Tính Chứng chỉ chứa những thông tin cần thiết như khóa công khai, chủ thể (người sở hữu) khoá công,