Phân tích Mô hình và Cấu trúc của Trung tâm Xác thực Dựa trên PKI
MỤC LỤC
Hạ tầng cơ sở khóa công khai
Sinh khóa, phân phối khóa 1. Sinh khóa
Nếu dùng cùng một khoá trong một thời gian dài sẽ dễ bị tổn thương, vì thế người ta thường thích dùng phương pháp trực tiếp trong đó khoá của phiên làm việc mới chỉ được tạo ra mỗi khi hai ngưới sử dụng muốn liên lạc với nhau (gọi là tính tươi mới của khoá). Nếu dùng phân phối khoá trực tiếp thì người sử dụng mạng không cần phải lưu các khoá khi muốn liên lạc với những người sử dụng khác (Tuy I = (p, α, β, γ) trong đó p là số nguyên tố lớn, α, β, γ ∈ Zp* , α phần tử nguyên thủy.
Mã hóa và giải mã Mã hóa
Độ mật của hàm RSA được dựa trên giả thiết là hàm mã ek(x) = xb mod n là hàm một chiều. Cửa sập cho phép Bob giải mã được chính là thông tin về phép phân tích thừa số n (n = pq).
Chữ ký số, Hàm Băm
Sau khi ký “văn bản” nếu cần thiết phải cho vào “phong bì” nhằm bảo đảm tính bí mật khi gửi đi, toàn bộ dữ liệu gốc và chữ ký có thể được đưa vào mã hóa bằng khóa đối xứng, chìa khóa của mã khóa đối xứng được mã một lần bởi khóa công khai của người sẽ nhận “văn bản”. Thêm vào đó có thể xảy ra trường hợp: với nhiều bức thông điệp đầu vào khác nhau, sử dụng hệ mật mã, sơ đồ ký số giống nhau (có thể khác nhau) thì cho ra kết quả bảng mã, bản ký số giống nhau (ánh xạ N – 1; nhiều – một. Hàm băm ở đây được hiểu là các thuật toán không sử dụng khóa để mã hóa (ở đây ta dùng thuật ngữ “băm” thay cho. “mã hóa”), nó có nhiệm vụ băm thông tin được đưa vào theo một thuật toán h một chiều nào đó, rồi đưa ra một văn bản – văn bản đại diện – có kích thước cố định.
Chứng chỉ số và giải pháp quản lý 1. Chứng chỉ số
Hàm băm ở đây được hiểu là các thuật toán không sử dụng khóa để mã hóa (ở đây ta dùng thuật ngữ “băm” thay cho. “mã hóa”), nó có nhiệm vụ băm thông tin được đưa vào theo một thuật toán h một chiều nào đó, rồi đưa ra một văn bản – văn bản đại diện – có kích thước cố định. Giá trị của hàm băm là duy nhất và không thể suy ngược lại nội dung thông điệp từ giá trị băm này. Hàm băm một chiều h có một số đặc tính quan trọng sau:. Cho dù chỉ là một sự thay đổi nhỏ hay chỉ là xóa đi 1 bit dữ liệu của thông điệp thì giá trị băm cũng vẫn thay đổi. Điều này có nghĩa là hai thông điệp hoàn toàn khác nhau thì giá trị hàm băm cũng khác nhau. - Nội dung của thông điệp gốc không thể bị suy ra từ giá trị hàm băm. Chứng chỉ số và giải pháp quản lý. phần khóa công khai tạo thành một file dữ liệu, đây chính là phần nội dung của chứng chỉ số). Tất cả các bên giao dịch muốn kiểm tra tính đúng đắn, hợp lệ về nội dung của chứng chỉ số đều xuất phát từ việc tin cậy vào chữ ký số của CA trên chứng chỉ số (điều này cũng hoàn toàn tự nhiên như khi ta xem xét một chứng minh thư nhân dân để tin cậy vào một cá nhân, ta tin cậy vào chữ ký và dấu của người ký chứng minh thư đó). Người sử dụng chứng chỉ có thể biết thư mục, kho lưu trữ hay cơ chế để lấy được thông tin thu hồi dựa trên những thông tin cấu hình được thiết lập trong quá trình kho lưu trữ hay cơ chế lấy được thông tin thu hồi dựa trên những thông tin cấu hình được thiết lập trong quá trình khởi sinh.
MÔ HÌNH TRUNG TÂM XÁC THỰC 2.1. Tổng quan mô hình
Các thành phần của PKI
Ví dụ khi số lượng thực thể cuối trong miên PKI tăng lên và số thực thể cuối này phân tán khắp nơi về mặt địa lý thì việc đăng ký tại một CA trung tâm trở thành vấn đề khó giải quyết. Nhìn chung, RA xử lý việc trao đổi (thường liên quan đến tương tác người dùng) giữa chủ thực thể cuối và quá trình đăng ký, phân phối chứng chỉ và quản lý vòng đời chứng chỉ/khóa. Một phương pháp phổ biến hơn để phân phối chứng chỉ (và thông tin thu hồi chứng chỉ) là công bố các chứng chỉ rộng rãi, các chứng chỉ này có thể sử dụng một cách công khai và được đặt ở vị trí có thể truy cập dễ dàng.
Chức năng cơ bản của PKI a. Chứng thực (Certification)
Tùy theo chính sách của tổ chức, bộ khóa mã (mã và giải mã) và những thông tin liên quan đến khóa của người sử dụng phải được sao lưu để lấy lại dữ liệu khi người sử dụng mất khóa riêng hay rời khỏi đơn vị. Hệ thống sẽ thông báo về tình huống này trong một thời gian nhất định Chứng chỉ mới sẽ được người cấp công bố tự động sau một thời gian hết hạn. Nhưng trong trường hợp khóa bị xâm hại hay có sự thay đổi trong thông tin của chứng chỉ thì chứng chỉ mới sẽ được công bố, chứng chỉ cũ sẽ bị thu hồi.
Một số mô hình trung tâm xác thực
Với nhiều CA, một PKI client có thể yêu cầu chứng nhận từ nhiều hơn một CA kết quả là mỗi client nắm giữ một danh sách các mối liên hệ ủy thác với tất cả các CA trong cơ sở hạ tầng. Mô hình web mở rộng: Ở loại cấu trúc này, tất cả các PKI client lưu trữ một danh sách mở rộng của tất cả các điểm ủy thác (trust points) trong cấu trúc của những tổ chức khác và cũng để ủy thác các điểm cho chính mình. Mô hình bắc cầu: Không giống Lai ghép cấu trúc, nơi nào mà tồn tại mối quan hệ ngang hàng giữa các CA gốc trong mỗi cơ sở hạ tầng của tổ chức, một thực thể mới gọi là Bridge CA (BCA) lưu giữ quan hệ ngang hàng giữa các CA gốc.
XÂY DỰNG MÔ HÌNH TRUNG TÂM XÁC THỰC 3.1. Giới thiệu mô hình
Hoạt động của mô hình
+ Nếu yêu cầu cấp chứng chỉ là một nhà cung cấp cấp dưới thì thông tin về chứng chỉ của người này sẽ được lưu vào cơ sở dự liệu của nhà cung cấp để phục vụ việc xác thực về sau, đồng thời gửi yêu cầu đến dịch vụ(Service) để thông báo cho các nhà cung cấp cấp trên và các nhà cung cấp cấp dưới thuộc cây phân cấp này nhận chứng chỉ và thông tin về nhà cung cấp đó. Dịch vụ là hệ thống chạy ngầm định và luôn luôn ở trang thái online sẵn sàng nhận yêu cầu từ: người dùng, từ nhà cung cấp cấp dưới, từ một nhà cung cấp bạn (nếu đây là cấp cao nhất trong mô hình phân cấp) và từ chính hệ thống giao tiếp của nhà cung cấp này. Khi có yêu cầu xác thực đến một chứng chỉ của thuộc cây phân cấp CA 2 từ cây phân cấp CA 1 khi đó vì cây phân cấp CA 1 là cấp cao nhất nên dịch vụ(Service) sẽ tìm trong CSDL của mình danh mục các nhà cung cấp ngang hàng và gửi thông tin yêu cầu đến trung tâm CA 2 nhờ xác thực(tất nhiên là khi có thông tin của nhà cung cấp CA 2 trong CSDL nhà cung cấp ngang hàng của CA 1).
Giao thức truyền số liệu sử dụng trong dịch vụ
+ Chứng chỉ số: Lưu trữ tất cả các chứng chỉ số của các End User không thuộc trung tâm này cấp nhưng thuộc mô hình phân cấp này và đã có giao dịch thông qua trung tâm. + Đăng ký: Đây là thư mục lưu trữ các thông tin: Chứng chỉ, Private Key, Public Key của các thành viên đã được cấp chứng chỉ bởi trung tâm này. + Chứng chỉ chờ xác thực: Khi có các yêu cầu xác thực một chứng chỉ số từ trên xuống hoặc từ dưới lên, thông tin về chứng chỉ sẽ được lưu trữ tạm thời ở đây.
GIỚI THIỆU GIAO DIỆN VÀ CHỨC NĂNG HỆ THỐNG 5.1. Khối chức năng nhà cung cấp
Chức năng nghiệp vụ
+ Số người dùng được phép cấp: nếu số người dùng lớn hơn 1 thì chứng chỉ này là chứng chỉ dành cho trung tâm xác thực cấp dưới. Khi cần kiểm tra 1 chứng chỉ số một cách trực tiếp, người quản lý chọn chứng chỉ số cần kiểm tra, hệ thống sẽ kiểm tra thông tin chứng chỉ trong CSDL nếu tồn tại sẽ đưa ra kết luận, trái lại thông tin về chứng chỉ sẽ được gửi cho nhà cung cấp cấp trên thông qua dịch vụ(Service). - Thu hồi chứng chỉ: Khi nhận được yêu cầu thu hồi chứng chỉ người quản lý truy cập vào chức năng này đặt lại trạng thái chứng chỉ, sau đó hệ thống tự động thông qua dịch vụ chuyển thông tin chứng chỉ bị thu hồi đến trung tâm cấp trên và các trung tâm cấp dưới trong cùng một mô hình phân cấp để cập nhật.
Khối chức năng người sử dụng(End User)
- Trao đổi thông tin với người dùng khác, ở đây hệ thống giới thiệu giao thức truyền file dữ liệu có mã hóa và ký xác thực. - Xác thực chứng chỉ số mà người sử dụng có: Khi nhận được 1 chứng chỉ số do người sử dụng hoặc nhà cung cấp khác gửi đến người dùng có thể. + Trạng thái hoạt động của chứng chỉ + Thông tin của nhà cung cấp chứng chỉ.