Hình sau đây cho ta một cái nhìn khái quát nhất về chức năng của các thành phần trong hệ thống PKI và sự hoạt động của hệ thống này:
Hình 2.1. Mô hình hoạt động của PKI.
User gửi yêu cầu phát hành thẻ chứng thực và public key của nó đến RA (1); Sau khi xác nhận tính hợp lệ định danh của user thì RA sẽ chuyển yêu cầu này đến CA (2); CA phát hành thẻ chứng thực cho user (3); Sau đó user “ký” thông điệp trao đổi với thẻ chứng thực mới vừa nhận đƣợc từ CA và sử dụng chúng (thẻ chứng thực số + chữ ký số) trong giao dịch (4); Định danh của user đƣợc kiểm tra bởi đối tác thông qua sự hỗ trợ của VA (5): Nếu thẻ chứng thực của user đƣợc xác nhận tính hợp lệ (6) thì đối tác mới tin cậy user và có thể bắt đầu quá trình trao đổi thông tin với nó (VA nhận thông tin về các thẻ chứng thực đã đƣợc phát hành từ CA (a)).
28
PKI client
PKI client yêu cầu một thẻ chứng thực số từ CA hoặc từ RA. Điều này là cần thiết với PKI client, vì nó phải nhận đƣợc thẻ chứng thực số trƣớc khi nó có thể truyền dữ liệu. RA kiểm tra giấy ủy nhiệm (credential) của client trƣớc khi phát hành thẻ chứng thực số mà client yêu cầu.
Sau khi client nhận đƣợc thể chứng thực số nó phải định danh chính nó, bằng cách sử dụng cùng một thẻ chứng thực cho tất cả các giao dịch tiếp theo.
CA là thành phần thứ 3 tin cậy (trusted third part), nó nhận một yêu cầu phát hành (cấp) thẻ chứng thực, từ một tổ chức hoặc một cá nhân nào đó và phát hành thẻ chứng thực yêu cầu đến họ sau khi đã xác thực client yêu cầu (Verisign và MSN là hai công ty CA nổi tiếng thế giới).
CA dựa vào các chính sách, trao đổi thông tin trong môi trƣờng bảo mật, của tổ chức để định nghĩa một tập các quy tắc, các thủ tục liên quan đến việc phát hành thẻ chứng thực. Mọi hoạt động tạo, phát hành, thu hồi thẻ chứng thực sau này đều tuân theo các quy tắc, thủ tục này.
Quá trình xác thực dựa trên CA có thể đƣợc minh họa nhƣ sau:
Hình 2.2. Quá trình xác thực dựa trên CA
4 5 6 7 3 2 1
29
1. Bob yêu cầu CA phát hành thẻ chứng thực với tên của anh ấy.
2. CA kiểm tra tính hợp lệ về định danh của Bob và rồi phát hành thẻ chứng thực cho Bob.
3. Bob chuyển thẻ chứng thực với định danh của anh ấy cho Alice. 4. Alice yêu cầu CA kiểm tra định danh của Bob.
5. CA kiểm tra và xác nhận tính hợp lệ của thẻ chứng thực của Bob. 6. CA trả kết quả kiểm tra về lại cho Alice: Hợp lệ hoặc không hợp lệ. 7. Nếu nhận đƣợc kết quả là hợp lệ thì Alice chấp nhận (tin cậy) Bob và quá
trình trao đổi thông tin giữa Bob và Alice có thể bắt đầu.
Registration Authority (RA) – Ủy quyền đăng ký.
Nhiệm vụ của RA kiểm tra yêu cầu thẻ chứng thực số của client.
Khi một PKI client gửi yêu cầu phát hành thẻ chứng thực số đến một CA, CA ủy quyền sự phản hồi xác thực yêu cầu đến RA. Sau khi kiểm tra yêu cầu thành công, RA forward yêu cầu đến CA. CA nhận yêu cầu, phát hành thẻ chứng thực yêu cầu và gửi thẻ chứng thực đến RA. RA forward thẻ đó đến cho PKI client (gửi yêu cầu phát hành thẻ chứng thực trƣớc đó).
Digital certificates (DC) – Thẻ chứng thực số
Thẻ chứng thực số đƣợc xem nhƣ một card định danh (ID card) sử dụng trong môi trƣờng điện tử/môi trƣờng mạng máy tính. Nếu nhƣ trong thực tế, ngƣời ta dùng ID card để định danh duy nhất một cá nhân nào đó thì trong môi trƣờng trao đổi thông tin an toàn, PKI sử dụng thẻ chứng thực số để định danh duy nhất một đối tƣợng nào đó trong suốt quá trình truyền thông.
Thẻ chứng thực số chứa các thông tin sau: - Số serial của thẻ chứng thực.
- Ngày hết hạn của thẻ chứng thực. - Chữ ký số của CA.
- Public key của PKI client.
Trong quá trình giao dịch, bên gửi gửi thẻ chứng thực số, cùng với dữ liệu đã đƣợc mã hóa, của nó cho bên nhận. Bên nhận cuối sử dụng thẻ chứng thực số này để xác nhận tính hợp lệ xác thực của bên gửi.
30
Bên nhận, sử dụng public key của CA để giải mã public key của bên gửi (đƣợc nhận cùng với thông điệp đƣợc mã hóa đến từ bên gửi). Sau khi định dạng của bên gửi là đƣợc xác định, bên nhận sử dụng public key của bên gửi để giải mã dữ liệu mà nó nhận đƣợc.
Certificate Distribution System (CDS) – Hệ thống phân phối thẻ
CDS lƣu trữ tất cả các thẻ chứng thực đã đƣợc phát hành đến cho ngƣời sử dụng trên mạng. CDS cũng lƣu trữ các cặp khóa, tính hợp lệ và “chữ ký” của các khóa public. Danh sách các khóa hết hạn, các khóa bị thu hồi do bị mất, do bị hết hạn cũng đƣợc CDS lƣu trữ.