Mô hình lai ghép

Một phần của tài liệu nghiên cứu các mô hình, cấu trúc và các thành phần cơ bản của trung tâm xác thực dựa trên công nghệ PKI (Trang 57)

Với những cấu trúc trước đây tham khảo đến một tổ chức đơn lẻ. Tuy nhiên, kịch bản và việc triển khai cấu trúc PKI bắt đầu phức tạp khi tổ chức tác động với các tổ chức khác. Ví dụ, tổ chức này có thể sử dụng cấu trúc lưới, nhưng trong khi tổ chức khác lại dùng dạng cấu trúc đơn. Trong trường hợp này, mô hình lai ghép tỏ ra hữu dụng khi nó cho phép quá trình tương tác giữa hai tổ chức thành công.

Có 3 loại mô hình lai ghép bao gồm:

Mô hình web mở rộng: Ở loại cấu trúc này, tất cả các PKI client lưu trữ một danh sách mở rộng của tất cả các điểm ủy thác (trust points) trong cấu trúc của những tổ chức khác và cũng để ủy thác các điểm cho chính mình.

CA 1 PKI Client 2.2 CA (1-2) PKI Client (1-2).1 PKI Client(1-2).2 CA 2 CA m PKI Client 1.1 PKI Client m.k

Một điểm ủy thác trong cấu trúc các tổ chức khác có thể là một CA đơn, nhiều hơn một CA, hoặc là tất cả những CA của các tổ chức khác.

Hình 2.5 Mô hình Web mở rộng

Lai ghép cấu trúc: CA gốc của một cơ sở hạ tầng của tổ chức nắm giữ mối quan hệ ngang hàng với những gốc CA của các tổ chức khác.

Hình 2.6. Lai ghép cấu trúc PKI Client 2.1 CA 2 PKI Client 2.1 CA 1 PKI Client1.1 PKI Client1.2 CA m1 PKI Client CA m PKI Client CA m2 CA 1 PKI

Client1.1 Client1.2PKI CA 21

PKI Client CA 2 PKI Client CA 22

Mô hình bắc cầu: Không giống Lai ghép cấu trúc, nơi nào mà tồn tại mối quan hệ ngang hàng giữa các CA gốc trong mỗi cơ sở hạ tầng của tổ chức, một thực thể mới gọi là Bridge CA (BCA) lưu giữ quan hệ ngang hàng giữa các CA gốc. Hình 2.7. Mô hình bắc cầu PKI Client 2.1 CA 2 PKI Client 2.1 CA 1 PKI Client1.1 PKI Client1.2 CA m1 PKI Client CA m PKI Client CA m2 Bridge CA

CHƯƠNG 3

XÂY DỰNG MÔ HÌNH TRUNG TÂM XÁC THỰC 3.1. Giới thiệu mô hình

Trung tâm xác thực A3T là mô hình được xây dựng dựa trên cơ sở mô hình lai ghép được giới thiệu chi tiết tại mục (2.2.5)

Hình 3.1. Mô hình trung tâm xác thực Phòng TNTĐATTT(A3T) Mô hình được cấu thành từ 2 dạng mô hình như sau:

- Mô hình phân cấp:

Mỗi trung tâm CA được thiết kế dạng phân cấp. Mỗi trung tâm CA dù ở cấp nào cũng thực hiện đầy đủ các chức năng của một trung tâm CA(Cấp, thu hồi, khôi phục, xác thực chứng chỉ,…) Môi trường Trung tâm CA 1 Trung tâm CA 1.1 Trung tâm CA 1.2 Trung tâm CA 1.m End User Trung tâm CA 1.1.2 End User 1.1.3 Trung tâm CA 2 Trung tâm CA 2 Trung tâm CA ..m Trung tâm CA 1.1.1 Mô hình phân cấp Mô hình phân cấp Mô hình phân cấp Mô hình phân cấp End User m..1k

- Quan hệ ngang hàng: Giữa các trung tâm CA cấp 1(Root CA) sẽ giao tiếp với nhau qua “môi trường” nhằm mục đích xác thực các chứng chỉ do các nhà cung cấp thuộc các cây phân cấp khác nhau đưa ra.

“Môi trường” giao tiếp trong thực tế có thể là Internet, kênh thuê riêng… Trong mô hình thí nghiệm này môi trường là Mạng Lan. Việc trao đổi thông tin được thực hiện qua một dịch vụ với đầy đủ giao thức(Bắt tay, Xác thực, Trao đổi thông tin mã hóa và kết thúc).

Hệ thống được thiết kế với 3 khối chức năng chính. - Chức năng dành cho nhà cung cấp:

+ Duyệt Cấp, thu hồi chứng chỉ + Kiểm tra chứng chỉ trực tiếp

+ Thực hiện một số nghiệp vụ khác như: kích hoạt chứng chỉ, đổi mật khẩu, phân phối chứng chỉ trực tiếp

+ Quản trị hệ thống: Cấp quyền truy cập, backup and Restore…

- Chức năng dành cho người dùng: + Giao dịch với các tài khoản khác

+ Gửi yêu cầu đến nhà cung cấp: yêu cầu xác thực, tạm dừng, hay hủy bỏ chứng chỉ…

+ Đổi mật khẩu chứng chỉ…

- Dịch vụ(Service): Chức năng này đảm nhận nhiệm vụ giao tiếp với các nhà cung cấp khác hoặc với người dùng. Đây là chức năng này chạy ngầm định và luôn luôn sẵn sàng đáp ứng các yêu cầu: đăng ký, xác thực, thông báo cho các nhà cung cấp khác và ngược lại…

3.2. Hoạt động của mô hình

3.2.1. Hoạt động của mô hình phân cấp

a. Trung tâm CA: - Đăng ký:

Khi nhận được yêu cầu đăng ký cấp chứng chỉ từ người dùng hoặc từ trung tâm CA cấp dưới, hệ thống thực hiện các nghiệp vụ như sau: (adsbygoogle = window.adsbygoogle || []).push({});

+ Kiểm tra xem còn tài nguyên để cấp không?: tài nguyên ở đây là chuỗi Serial(Mã số tài khoản chứng chỉ) mà nhà cung cấp này được phép cấp nó giống như dải địa chỉ IP do nhà cung cấp dịch vụ Internet cấp.

+ Kiểm tra thông tin yêu cầu cấp chứng chỉ có hợp lệ không?

+ Tạo ra cặp khóa sử dụng cho yêu cầu(Private Key và Public Key) + Lưu thông tin yêu cầu cấp chứng chỉ vào cơ sở dữ liệu

+ Tạo chứng chỉ số cho yêu cầu: Chứng chỉ yêu cầu có 2 loại

Nhà cung cấp cấp dưới: Ngoài các thông tin chung về chứng chỉ theo chuẩn X.509 như trên ta đã biết, người cấp còn bổ sung thêm thông tin về dải tài nguyên cho phép nhà cung cấp này cấp cho người sử dụng hoặc các nhà cung cấp mức thấp hơn

Người sử dụng(End User): thông tin như chứng chỉ X.509, tất nhiên chứng chỉ người dùng không thể sử dụng cấp tiếp cho các thành viên khác hoặc nếu dùng hệ thống cấp chứng chỉ khác để cấp thì cũng không có giá trị sử dụng.

+ Nếu yêu cầu cấp chứng chỉ là một nhà cung cấp cấp dưới thì thông tin về chứng chỉ của người này sẽ được lưu vào cơ sở dự liệu của nhà cung cấp để phục vụ việc xác thực về sau, đồng thời gửi yêu cầu đến dịch vụ(Service) để thông báo cho các nhà cung cấp cấp trên và các nhà cung cấp cấp dưới thuộc cây phân cấp này nhận chứng chỉ và thông tin về nhà cung cấp đó.

+ Gửi chứng chỉ cho người yêu cầu.

- Thu hồi, tạm dừng, kích hoạt chứng chỉ:

Khi nhận được yêu cầu thu hồi tạm dừng hay kích hoạt một chứng chỉ trung tâm CA thực hiện các nghiệp vụ như sau:

+ Gửi yêu cầu cho dịch vụ(Service) thông báo cho nhà cung cấp cấp trên và các nhà cung cấp cấp dưới về trạng thái của chứng chỉ.

- Xác thực chứng chỉ:

Khi nhận yêu cầu xác thực chứng chỉ hệ thống thực hiện nghiệp vụ như sau:

+ Kiểm tra thông tin nhà cung cấp của chứng chỉ đó nếu không tồn tại trong CSDL thì gửi chứng chỉ đó lên trung tâm xác thực cấp trên the mô hình phân cấp.

+ Nếu tồn tại thông tin nhà cung cấp thì tiến hành xác thực chứng chỉ theo chuẩn đồng thời kiểm tra trạng thái chứng chỉ trong CSDL. Nếu thông tin về trạng thái chứng chỉ không có trong CSDL thì gửi lên trung tâm xác thực cấp trên nhờ xác thực.

+ Quá trình xác thực được thực hiện theo phân cấp. Đến cấp cao nhất của mô hình(Cấp 1) mà không xác thực được thì chứng chỉ đó sẽ được gửi cho hệ thống phân cấp khác xác thực(Nội dung này sẽ được trình bày trong phần 3.2. Mô hình quan hệ ngang hàng).

b. Người sử dụng(End User) - Đăng ký

- Giao dịch:

Khi cần trao đổi thông tin với một tài khoản khác, nếu chưa có chứng chỉ số người nhận thì người dùng yêu cầu dịch vụ(Service) cung cấp chứng chỉ.

+ Xác thực: khi cần xác thực một chứng chỉ đang có, người sử dụng gửi chứng chỉ đó lên trung tâm thông qua dịch vụ(Service) nhờ xác thực.

+ Khi chứng chỉ của người dùng có vấn đề người sử dụng có thể yêu cầu trung tâm tạm dừng, thu hồi hoặc yêu cầu khôi phục…

Thông tin đăng ký cấp chứng

chỉ

Mã số(Serial) được cấp

c. Dịch vụ:

Với chức năng là giữ liên lạc và giải đáp các yêu cầu cụ thể như sau: Dịch vụ là hệ thống chạy ngầm định và luôn luôn ở trang thái online sẵn sàng nhận yêu cầu từ: người dùng, từ nhà cung cấp cấp dưới, từ một nhà cung cấp bạn (nếu đây là cấp cao nhất trong mô hình phân cấp) và từ chính hệ thống giao tiếp của nhà cung cấp này.

Khi nhận được một yêu cầu hệ thống sẽ thực hiện các thao tác như sau: - Bắt tay

- Xác thực người yêu cầu - Nhận yêu cầu

- Tra cứu thông tin yêu cầu trong dữ liệu(nếu có) hoặc gửi thông tin yêu cầu lên trung tâm xác thực cao hơn hoặc các trung tâm bạn.

- Quảng bá yêu cầu đến các nhà cung cấp khác nếu là yêu cầu(thu hồi, tạm dừng, khôi phục, nhà cung cấp mới) (adsbygoogle = window.adsbygoogle || []).push({});

- Trả lời lại nơi yêu cầu - Kết thúc giao dịch

d. Giới thiệu một số sơ đồ nghiệp vụ

- Đăng ký, duyệt cấp chứng chỉ

Hình 3.2. Sơ đồ đăng ký và duyệt cấp chứng chỉ - Thu hồi, tạm dừng hay khôi phục chứng chỉ

Hình 3.3. Sơ đồ thu hồi, tạm dừng, khôi phục chứng chỉ

Đ Yêu cầu

đăng ký

Trung

tâm CA thông tin Kiểm tra

Tạo cặp khóa và chứng chỉ số Là Sub CA Không cấp

Gửi thông tin quảng bá đến các

nhà cung cấp

Kiểm tra tài nguyên? Kiểm tra khách hàng? Đ S S Service

Yêu cầu thu hồi, tạm dừng,

khôi phục

Trung

tâm CA Xác thực Yêu cầu

S Hủy bỏ yêu cầu Đ Thay đổi trạng thái chứng chỉ trong CSDL Service Gửi thông tin

quảng bá đến các nhà cung cấp

- Xác thực chứng chỉ: Hình 3.4. Sơ đồ xác thực chứng chỉ số Yêu cầu Xác thực Trung tâm CA Có trong CSDL? S Đ Lưu vào CSDL Service CA Cấp 1? CA Cấp trên Cây CA Khác Time Out? Wait Không xác thực được Đ S Đ S

3.2.2. Hoạt động của quan hệ ngang hàng

Hoạt động của mô hình này là sự trao đổi thông tin giữa các trung tâm CA cấp 1(Root CA) với nhau thông qua dịch vụ cụ thể như sau:

Khi có yêu cầu xác thực đến một chứng chỉ của thuộc cây phân cấp CA 2 từ cây phân cấp CA 1 khi đó vì cây phân cấp CA 1 là cấp cao nhất nên dịch vụ(Service) sẽ tìm trong CSDL của mình danh mục các nhà cung cấp ngang hàng và gửi thông tin yêu cầu đến trung tâm CA 2 nhờ xác thực(tất nhiên là khi có thông tin của nhà cung cấp CA 2 trong CSDL nhà cung cấp ngang hàng của CA 1)

Hoạt động này chỉ diễn ra khi có yêu cầu cần xác thực lẫn nhau giữa các cây phân cấp và chỉ diễn ra tại trung tâm CA có cấp cao nhất.

Dưới đây là một ví dụ minh họa: Trong sơ đồ 3.1

Khi End User 1.1.3 thuộc cây phân cấp CA 1 muốn trao đổi thông tin với End User m..k thuộc cây phân cấp CA m. Quá trình thực hiện như sau:

- End User 1.1.3 gửi yêu cầu theo phân cấp để lấy thông tin nhận đến Trung tâm CA 1.1 -> Trung tâm CA 1.

- Trung tâm CA 1 là cấp cao nhất sẽ tìm trong CSDL các trung tâm ngang hàng và gửi yêu cầu đến trung tâm CA m.

- Trung tâm CA m tìm trong CSDL của mình và biết rằng End User

m..1k thuộc nhà cung cấp CA m..1 Vì yêu cầu cần lấy thông tin của End User m..1k nên trung tâm CA m gửi yêu cầu theo mô hình phân cấp xuống cho trung tâm CA m..1 lấy thông tin và gửi ngược trở lại. Thông tin về chứng chỉ của End User m..1k trong qua trình gửi lên sẽ được hệ thống lưu lại tại tại từng cấp để phục vụ quá trình truy vấn về sau. Sau đó chứng chỉ End User m..1k sẽ được gửi cho trung tâm CA 1-> CA 1.1 -> End User 1.1.3 . (adsbygoogle = window.adsbygoogle || []).push({});

Chú ý quá trình nhận chứng chỉ từ một cây khác không được lưu lại trong cây phân cấp CA 1 và CA 1.1

3.3. Giao thức truyền số liệu sử dụng trong dịch vụ.

Để thuận lợi cho việc xây dựng mô hình trong phòng thí nghiệm và phù hợp yêu cầu nghiên cứu, việc xây dựng dịch vụ giao tiếp thông qua Socket/TCP giữa các máy tính trong mô hình mạng LAN. Việc truyền nhận dữ liệu có hai hình thức: Truyền dữ liệu text( đây là các yêu cầu lên xuống) và truyền file (truyền chứng chỉ số, hoặc dữ liệu đa file mã hóa và chữ ký giữa các End User)

CHƯƠNG 4

XÂY DỰNG HỆ THỐNG CƠ SỞ DỮ LIỆU 4.1. Mô hình dữ liệu, Cơ sở dữ liệu

Dữ liệu hệ thống chia thành 2 loại chính

Hệ thống cơ sở dữ liệu quan hệ:

Hệ thống sử dụng cơ sở dữ liệu SQL Server 2000 Thông tin quản lý gồm:

+ Danh sách các nhà cung cấp

+ Danh sách các yêu cầu đăng ký chờ xét duyệt

+ Danh sách các thành viên được cấp chứng chỉ và các thông tin liên quan đến chứng chỉ: thời gian hiệu lực, nơi cấp, trạng thái chứng chỉ…

+ Danh sách các chứng chỉ bị thu hồi

+ Danh sách các yêu cầu của trung tâm gửi dịch vụ(Service) giải quyết

Ngoài ra còn có các thông tin liên quan đến quản trị hệ thống như cấp quyền truy cập hệ thống…

Hệ thống lưu trữ chứng chỉ:

Đây là danh sách các thư mục:

Hình 4.1. Hệ thống thư mục lưu trữ thông tin của trung tâm CA Hệ thống thư mục chia thành 4 nhóm chính:

+ Nhà cung cấp: lưu trữ các chứng chỉ số của các nhà cung cấp mà trung tâm CA này đã từng trao đổi(trong mô hình phân cấp)

+ Chứng chỉ số: Lưu trữ tất cả các chứng chỉ số của các End User không thuộc trung tâm này cấp nhưng thuộc mô hình phân cấp này và đã có giao dịch thông qua trung tâm.

+ Đăng ký: Đây là thư mục lưu trữ các thông tin: Chứng chỉ, Private Key, Public Key của các thành viên đã được cấp chứng chỉ bởi trung tâm này.

+ Chứng chỉ chờ xác thực: Khi có các yêu cầu xác thực một chứng chỉ số từ trên xuống hoặc từ dưới lên, thông tin về chứng chỉ sẽ được lưu trữ tạm thời ở đây. Chứng chỉ sẽ được chuyển vào thư mục đăng ký hoặc nhà cung cấp nếu có thông tin phản hồi tích cực, trái lại chứng chỉ sẽ bị xóa bỏ.

4.2. Hệ thống bảng và quan hệ.

CHƯƠNG 5

GIỚI THIỆU GIAO DIỆN VÀ CHỨC NĂNG HỆ THỐNG 5.1. Khối chức năng nhà cung cấp

5.1.1. Chức năng quản trị hệ thống:

- Cấp quyền và phân quyền truy cập hệ thống - Back up và Restore dữ liệu

- Giám sát truy cập…

5.1.2. Chức năng nghiệp vụ

Hình 5.2. Nghiệp vụ của nhà cung cấp

5.1.3. Một số chức năng chính: (adsbygoogle = window.adsbygoogle || []).push({});

- Thông tin đăng ký:

- Duyệt hồ sơ cấp chứng chỉ

Dựa vào thông tin đăng ký người quản lý tiến hành cấp chứng chỉ, thông tin cấp chứng chỉ bao gồm:

+ Thời hạn hiệu lực của chứng chỉ: Số năm tính từ thời điểm cấp

+ Số người dùng được phép cấp: nếu số người dùng lớn hơn 1 thì chứng chỉ này là chứng chỉ dành cho trung tâm xác thực cấp dưới. Khi đó thông tin về nhà cung cấp sẽ được gửi cho dịch vụ để thông báo cho nhà cung cấp cấp trên và các nhà cung cấp cấp dưới.

+ Trạng thái xét duyệt: cho biết chứng chỉ này đã được xét cấp hay chưa, có 3 trạng thái: Chờ cấp, Đã cấp và Loại bỏ

- Kiểm tra chứng chỉ số:

Khi cần kiểm tra 1 chứng chỉ số một cách trực tiếp, người quản lý chọn chứng chỉ số cần kiểm tra, hệ thống sẽ kiểm tra thông tin chứng chỉ trong CSDL nếu tồn tại sẽ đưa ra kết luận, trái lại thông tin về chứng chỉ sẽ được gửi cho nhà cung cấp cấp trên thông qua dịch vụ(Service)

- Thu hồi chứng chỉ: Khi nhận được yêu cầu thu hồi chứng chỉ người quản lý truy cập vào chức năng này đặt lại trạng thái chứng chỉ, sau đó hệ thống tự động thông qua dịch vụ chuyển thông tin chứng chỉ bị thu hồi đến trung tâm cấp trên và các trung tâm cấp dưới trong cùng một mô hình phân cấp để cập nhật.

5.2. Khối chức năng người sử dụng(End User)

Với người sử dụng tất cả các nghiệp vụ đều thao tác trên cùng một giao diện như sau:

Với các chức năng chính của hệ thống như sau:

- Trao đổi thông tin với người dùng khác, ở đây hệ thống giới thiệu giao

Một phần của tài liệu nghiên cứu các mô hình, cấu trúc và các thành phần cơ bản của trung tâm xác thực dựa trên công nghệ PKI (Trang 57)

(86 trang)