Kiến trúc Bridge CA(BCA)

Một phần của tài liệu Nghiên cứu xây dựng hệ thống PKI dựa trên bộ phần mềm mã nguồn mở OpenCA (Trang 60 - 66)

Bridge CA được thiết kế để giải quyết các thiếu sót trong các kiến trúc PKI cơ bản và tạo kết nối các PKI khác nhau. Bridge CA không cấp chứng chỉ cho người dùng và chúng không phải là nguồn tin cậy. Thay vào đó, Bridge CA sẽ thiết lập mối quan hệ tin cậy peer to peer (P2P) giữa các cộng đồng người dùng khác nhau và làm giảm nhẹ vấn đề cấp phát chứng chỉ giữa các tổ chức trong khi đó lại cho phép người dùng giữ được nguồn tin cậy

Hình 21: Kiến trúc Bridge CA

Trong kiểu kiến trúc này, Bridge CA sẽ cung cấp một cái cầu tin cậy (thông qua cặp chứng thực chéo) giữa các cơ sở hạ tầng khoá công khai phân cấp và cơ sở hạ tầng khoá công khai chứng thực chéo. Độ phức tạp của mô hình này khá cao và có thể phải điều chỉnh các module PKI của người dùng cuối.

Mỗi một mối quan hệ tin cậy Bridge CA được thể hiện bằng một cặp chứng chỉ, một được cấp phát bởi BCA

CHƯƠNG IV: XÂY DỰNG MÔ HÌNH PKI DỰA TRÊN MÃ NGUỒN MỞ OPENCA

4.1.Lịch sử phát triển OpenCA

Cơ sở hạ tầng khoá công khai (PKI) là một trong những nhu cầu thiết yếu của tương lai. Nhưng vấn đề là hầu hết các ứng dụng có thể được đảm bảo an toàn bằng chứng chỉ và khoá nhưng lại rất khó và đắt đề cài đặt PKI, lý dó là phần mềm trung tâm tin cậy có tính linh hoạt thì lại rất đắt. Đây là điểm khởi đầu của OpenCA. Mục đích là sản phẩm của hệ thống trung tâm tin cậy nguồn mở để hỗ trợ cộng đồng với các giải pháp tốt, rẻ(chi phí hợp lý) và mang tính xu hướng trong tương lai

Dự án OpenCA được bắt đầu vào năm 1998. Ý tưởng OpenCA ban đầu được phát triển bởi Massimiliano Pala. Mã nguồn ban đầu của dự án được viết với đoạn script rất dài. Khi phiên bản đầu tiên của phần mềm được xây dựng, thì dự án OpenSSL vẫn có tên là SSLeay . Rất nhiều chức năng vẫn còn lỗi và nhiều thứ khác nữa đều đang bị bỏ qua

Việc cài đặt phần mềm ban đầu rất đơn giản và chỉ có một vài đoạn script khởi tạo CA. Để cài đặt nhanh chóng phần mềm, bạn chỉ cần giải nén gói đó, dùng lệnh cd để chuyển vào gói vừa giải nén đó và sử dụng lệnh “make install”, đoạn script sau đó sẽ chạy và tiến hành cài đặt phần mềm CA đơn giản và tạo ra chứng chỉ CA

Một loạt các đoạn script được cung cấp sẽ giúp cho việc cài đặt và cấu hình cho hầu hết các phần của dự án. Mặc dù đơn giản như vậy, nhưng giải pháp này gây ra rất nhiều vấn đề với cộng đồng người dùng bởi vì các vấn đề nảy sinh từ việc nhu cầu cần phải tạo ra một gói đầy đủ và tốt hơn. Phiên bản đầu tiên của OpenCA rất đơn giản, nhiều chức năng được xây dựng chủ yếu chỉ được dùng để cấp phát chứng chỉ, CRL và các phương thức cài đặt thì khá đơn sơ, không có tính tiện dụng cho bất kỳ tiện ích cấu hình nào , đoạn script chỉ có thể tương thích với bash

Các phiên bản tiếp theo được bổ sung thêm nhiều tính năng hơn cho dự án và do đó phiên bản 0.109 đã bao gồm giao diện cho server của CA, RA và Pub. Từ lúc bắt đầu dự án và từ phát hành phiên bản đầu tiên, đã có một lượng lớn sự tham gia của cộng đồng Internet đóng góp vào sự phát triển của dự án

4.2. CA

Trong phần trước, em đã nêu ra khái niệm về CA, trong phần này, em xin phép được đề cập cụ thể hơn về CA

4.2.1.Chức năng của CA

4.2.1.1. Cấp phát chứng chỉ

CA xác thực người dùng bằng cách cấp phát chứng chỉ số. Để có thể có được chứng chỉ số của CA, người dùng cần thực hiện các bước sau

Tạo ra cặp khoá riêng/khoá công khai của mình

Khi cặp khoá đã được tạo, người dùng cần phải đăng ký khoá công khai của mình với CA

Người dùng gửi yêu cầu cấp chứng chỉ tới cho RA

RA sẽ kiểm tra danh tính người dùng. Khi đã kiểm tra xong, RA sẽ chuyển yêu cầu đó cho CA

CA ký chứng chỉ bằng khoá riêng của mình và gửi chứng chỉ cho RA. RA sẽ chuyển chứng chỉ mà đã nhận được từ CA cho người dùng đã đăng ký

4.2.1.2.Huỷ bỏ chứng chỉ

Mỗi chứng chỉ đều có một giai đoạn hợp lệ. Tuy nhiên, trong một số trường hợp mà chứng chỉ có thể không hợp lệ trước giai đoạn hợp lệ là

Có sự lộ khoá riêng của thực thể

Có sự thay đổi thông tin thuộc tính của thực thể, ví dụ như tên thực thể hoặc mối quan hệ của thực thể với tổ chức

Có sự lộ khóa của CA

Một vài các phương thức mà CA có thể sử dụng để huỷ bỏ chứng chỉ gồm Các cơ chế

Cơ chế công bố định kỳ: Cơ chế này sử dụng danh sách huỷ bỏ chứng chỉ. Danh sách huỷ bỏ chứng chỉ là một danh sách

Cơ chế truy vấn online: Cơ chế truy vấn online bao gồm có giao thức trạng thái chứng chỉ và giao thức xác định tính hợp lệ của các phiên giao dịch trực tuyến: OCSP được sử dụng để đưa ra các thông tin thu hồi chứng chỉ. Giao thức xác định tính hợp lệ của các phiên giao dịch trực tuyến được sử dụng để xác minh tính hợp lệ trực tuyến

4.2.1.3.Tạo lập chính sách chứng chỉ

Chính sách chứng chỉ là một tập hợp các luật hay còn gọi là các quy tắc được tạo lập bởi CA để chỉ ra khả năng ứng dụng của chứng chỉ đối với một nhóm người cụ thể hoặc tập các ứng dụng

Mục đích chính của các chính sách chứng chỉ là để xác định chính sách an toàn mà một tổ chức phải tuân theo

4.2.1.4.Hướng dẫn thực hiện chứng chỉ số (Certification Practice Statement)

Hướng dẫn thực hành chứng chỉ số sẽ chỉ ra chứng thực sẽ được thực hiện như thế nào. Tài liệu này sẽ miêu tả các thủ tục, hoạt động mà đã được định nghĩa trong chính sách chứng chỉ sẽ được triển khai, thực hiện như thế nào

CPS sẽ chỉ ra các chính sách và các thủ tục mà một công ty , tổ chức phải tuân theo để cấp phát và quản lý chứng chỉ

CA có thể được xem như bên thứ ba tin cậy như VeriSign hoặc Thawte hoặc có thể là một thực thể bên trong của một tổ chức

4.2.2.Nhiệm vụ của CA

Chấp nhận các yêu cầu cấp chứng chỉ từ người dùng, máy tính , ứng dụng hoặc thiết bị

Tạo chứng chỉ cho người yêu cầu

Ký số chứng chỉ sử dụng khoá riêng của mình 4.2.3. Các loại CA

Có hai loại CA cơ bản . Các loại CA được phân biệt bằng vị trí mà chúng lưu trữ chứng chỉ

4.2.3.1.Enterprise CA:

Enterprise CA lưu trữ bản sao của chứng chỉ CA trong Active Directory. Loại CA này tận dụng các mẫu chứng chỉ để công bố chứng chỉ và danh sách thu hồi chứng chỉ. Enterprise CA sẽ hồi đáp tự động tới bất kỳ yêu cầu chứng chỉ nào. Điều này về cơ bản cho phép các client truy cập và lấy được chứng chỉ và lưu giữ chứng chỉ trong kho chứng chỉ cục bộ của mình. Chính vì đặc điểm này, nên EnterpriseCA không được sử dụng để cấp phát chứng chỉ cho các client bên ngoài tổ chức

Enterprise CA được cấu hình như Domain Controller

4.2.3.2.Standalone CA

Standalone CA lưu giữ cục bộ thông tin trên chứng chỉ , trong một folder chia sẻ mà ta có thể truy cập thông qua Web. Standalone CA phụ thuộc vào người quản trị có chấp thuận hay từ chối yêu cầu chứng chỉ. Standalone CA được sử dụng để cấp phát chứng chỉ cho người dùng bên ngoài tổ chức

4.2.4.Các cấp CA

4.2.4.1.Root CA(CA gốc)

Root CA là CA mức cao nhất được xem như thẩm quyền đối với tất cả các CA phụ thuộc được đặt ở dưới nó. RootCA làm nhiệm vụ cấp chứng chỉ cho tất cả các CA phụ thuộc.

RootCA khác với các CA khác là nó tự tạo chứng chỉ cho chính mình. Trong mô hình phân cấp, khi một client tin tưởng root CA, thì nó cũng phải tin tưởng các CA phụ thuộc được đặt ở dưới root CA

4.2.4.2.Subordinate CA(CA phụ thuộc):

Subordinate CA (SubCA- CA con): là CA được chứng thực bởi CA cha. CA cha chứng thực CA con bằng cách cấp phát và ký chứng chỉ cho CA con.

Có hai loại CA phụ thuộc trong kiến trúc phân cấp là Intermediate CA và Issuing CA

Intermediate CA:

Intermediate CA là CA phụ thuộc được đặt giữa root CA và các CA phụ thuộc khác. Chức năng của Intermediate CA là cấp phát chứng chỉ cho CA mức lá

Issuing CA (CA mức lá):

Issuing CA là CA ở mức thấp nhất. Chức năng của Issuing CA là cấp phát chứng chỉ cho các máy tính khác, người dùng, các thiết bị mạng, server và các dịch vụ yêu cầu CA

Hình 22: Sơ đồ minh họa rootCA và SubCA

Một phần của tài liệu Nghiên cứu xây dựng hệ thống PKI dựa trên bộ phần mềm mã nguồn mở OpenCA (Trang 60 - 66)

Tải bản đầy đủ (DOC)

(85 trang)
w