Các giấy chứng nhận số

Một phần của tài liệu Nghiên cứu IPv6 và thực nghiệm VPN trên IPv6 (Trang 87 - 91)

- Có hai loại đường hầm chính là đường hầm có cấu hình và đường hầm tự động.

d.Các giấy chứng nhận số

Một giấy chứng nhận số là một tương đương về mặt điện tử của một thẻ xác nhận và được sử dụng để xác định duy nhất một thực thể trong suốt quá trình truyền. Bên cạnh việc xác định định dan của người chủ, các giấy chứng nhận số cũng loại bỏ cơ may của sự làm giả, vì thế giảm được nguy cơ của sự tạo ra dữ liệu, các giấy chứng nhận số cũng ngăn chặn có hiệu quả người gởi từ các thông tin không xác nhận

Một giấy chứng nhận số bao gồm các thông tin giúp xác nhận tính hợp lệ của người gửi và bao gồm các thông tin sau :

 Dãy số của giấy chứng nhận  Hạn sử dụng của giấy chứng nhận  Chữ ký số của CA

 Khóa công cộng của khách hàng PKI

Trong suốt một giao dịch, người gửi phải gửi giấy chứng nhận số của anh ấy hoặc cô ấy theo với tín hiệu đã mã hóa để xác nhận anh ấy hay cô ấy. Người nhận sử dụng khóa công cộng của CA để xác nhận tính hợp lệ của khóa công cộng của người gửi, cái mà được gắn vào thông tin gửi. Như trong trường hợp các khóa công cộng, khóa công công của CA được phổ biến rộng rãi và sẵn sàng cho tất cả. Khi người nhận đã đảm bào được định danh đúng của người gửi, người sử dụng dùng khóa công cộng của người gửi để giải mã thông tin thực sự

e. Hệ thông phân phối giấy chứng nhận

Hệ thống phân phối giấy chứng nhận là một kho chứa các giấy chứng nhận được cấp cho người sử dụng và tổ chức. Thêm nữa CDS sinh ra và lưu trữ các cặp khóa, mật hiệu các khóa công cộng sau khi đã xác nhận chúng, lưu trữ và thu hồi các khóa bị mất hay hết hạn.CDS cũng chịu trách nhiệm cho việc xuất các khóa công cộng tới các server dịch vụ thư mục

Các giao dịch dựa trên PKI

Như đã đề cập phía trên, PKI cung cấp bốn chức năng bo mật chính : sự cẩn mật, sự toàn vẹn, sự xác nhận và không có sự từ chối. Mỗi bước trong một giao dịch VPN được lặp lại một hay nhiều trong số các tính năng bảo mật này. Các bước trong một giao dịch dựa trên PKI là :

Sự sinh ra cặp khóa. Trườc khi người gởi chuyển dữ liệu đến người nhận mong muốn, nó báo cho người nhận biết mục đích của nó về việc trao đổi dữ liệu. Như vậy thì, cà hai đầu sinh ra một cặp khóa tạo bởi khóa riw6ng và khóa công cộng. Đầu tiên, khóa cá nhân được tạo ra. Sau đó, khóa công cộng tương ứng được tạo bằng cách áp dụng một hàm băm một chiều đối với khóa riêng

Sự tạo ra chữ ký số. Sau khi cặp khóa được tạo ra, một chữ ký số duy nhất được tạo ra. Chữ ký số này dùng để định danh người gửi dữ liệu. Để tạo ra chữ ký số, đầu tiên thông tin gốc bị băm. Nói một cách khác, một hàm băm được áp dụng vào tín hiệu gốc. Quá trình băm cho kết quả là một tập thông tin, cái mà sau đó được mã hóa với khóa các nhân của người gửi. Kết quả được gọi là chữ ký số

Áp dụng mã hóa dữ liệu và chữ ký số.Sau khi một chữ ký số được tạo ra, thông tin gốc được mã hóa với khóa công cộng của người gửi. Kế tiếp, chữ ký số được tạo ợ trân được gắn vào thông tin đã mã hóa.

Thông tin đã mã hóa và khóa công cộng của người gửi được chuyển tới người nhận. Thông tin được mã hóa sau ứo được truyền đến người nhận cùng với khóa công cộng của người gửi. Thay vì chuyển khóa công cộng dưới dạng văn bản rõ nghĩa thì khóa công cộng đầu tiên được mã hóa bởi khóa công cộng của người nhận. Để giải mã khó công cộng được mã hóa này, người sử dụng phải sử dụng khóa riêng của mình. Bởi vì khóa riêng của người nhận chỉ có người nhận biết, cơ hội để cho các người xâm phạm phá khóa công cộng là rất thấp. Khóa công cộng của người gửi còn được xem như là khóa phiên

Nhận thông tin và xác nhận định danh người gửi. Trong lúc nhận thông tin mã hóa và khóa công cộng, người nhận có thể yêu cấu CA kiểm tra danh tính người gửi. CA làm được điều đó bằng cách kiểm tra chữ ký số được gắn với thông tin và báo kết quả cho người nhận biết. Nếu chữ ký số được kiểm tra thành công, người

nhận tiếp tục qua 1trình giải mã thông tin. Nếu không người nhận sẽ từ chối và giao dịch sẽ kết thúc

Sự giải mã thông tin. Sau khi định danh người gửi được xác nhận thành công, người nhận mã hóa thông tin. Để làm được như vậy người nhận đầu tiên phải giải mã khóa công cộng của người gửi bằng cách sử dụng khóa riêng của nó. Khi khóa công cộng của người gửi được ciết xuất thành công thì người nhận sẽ dùng nó để giải mã thông tin

Sự xác nhận nội dung thông tin Cuối cùng, người nhận xác nhận kiểm tra nội dung của thông tin nhận được. Đầu tiên, chữ ký số được giải mã sử dụng khóa công cộng của người gửi và thông tin được chiết xuất ra. Thông tin mã hóa sẽ được băm qua một hàm băm và một tập thông tin mới được rút ra. tập thông tin nhận được va tập thông tin mới sinh ra được so sánh với nhau.nếu chúng phù hợp, dữ liệu không bị chặn đứng hoặc can thiệp vào trong quá trình truyền

Ở phần kế, bạn sẽ được biết về các cách thực hiện PKI đa dạng được sử dụng phần lớn bởi các tổ chức trên thế giới

Hiện thực PKI

Như bạn đã biết, CAs giúp thiết lập định danh đúng của các thực thể giao tiếp. Tuy nhiên, CAs không những chứng thực các khách hàng PKI, mà còn các CAs khác bằng cách phát giấy chứng nhận số tới chúng. Cas được kiểm tra, xoay vòng, kiểm tra các CAs khác và chuỗi tiếp tục cho tới khi mỗi thực thể các thể tin tưởng các thực thể khác liên quan đến một giao dịch. Chuỗi chứng nhận này được biết đến như là đường đi của sự chứng nhận, và sự sắp xếp của CAs trong đường đi chứng nhận này được xem như cấu trúc của PKI

Các loại chính của cấu trúc PKI bao gồm  Cấu trúc CA đơn

 Cấu trúc danh sách tin cậy  Cấu trúc có thứ bậc

 Cấu trúc mắt lưới  Cấu trúc hỗn hợp

Một phần của tài liệu Nghiên cứu IPv6 và thực nghiệm VPN trên IPv6 (Trang 87 - 91)

(123 trang)