4 QUÁ TRÌNH XÂY DỰNG HỆ THỐNG
4.2.7.4.Yêu cầu và cấp phát thẻ xác nhậ n
Giới thiệu về quá trình yêu cầu và cấp phát thẻ xác nhận
Một đối tượng chỉ thực sự tham gia vào hệ thống PKI khi nó có được một thẻ xác nhận của mình. Do vậy, một đối tượng sử dụng sau khi được khởi tạo sẽ có thể gửi yêu cầu về
thẻ xác nhận đến cho CA bất cứ lúc nào. Thông điệp yêu cầu thẻ xác nhận này có 3 trường thông tin cơ bản nhất:
1. Phiên bản của thẻ xác nhận. 2. Định danh của đối tượng yêu cầu. 3. Khoá công khai của đối tượng yêu cầu.
Ngoài ra có thể có một số thông tin thuộc tính khác được sử dụng trong khi yêu cầu thẻ
xác nhận. Trong hệ thống được triển khai, trường thông tin thuộc tính được sử dụng là trường lưu một tên khác của EE (alternative name). Thực chất, đây là tên thật của người sử dụng được cung cấp khi đăng nhập vào hệ thống.
Khi CA nhận được yêu cầu này, nó dựa trên những thông tin cung cấp trong thông điệp yêu cầu và những thông tin nó đang nắm giữđể quyết định có tạo thẻ xác nhận mới cho
đối tượng yêu cầu hay không. Trong trường hợp CA muốn bác bỏ yêu cầu, nó phải trả về
cho đối tượng yêu cầu một thông điệp thông báo về trạng thái phục vụđối với yêu cầu đã
được gửi đến. Đồng thời, trong thông điệp này cũng có những thông tin về lý do yêu cầu bị bác bỏ và cả những đoạn văn bản với nội dung phù hợp giải thích cho thông điệp này. Trong trường hợp yêu cầu được chấp nhận, CA sẽ sử dụng những thông tin cơ bản mà
đối tượng yêu cầu đã cũng cấp, đồng thời, nó dựa trên thông tin về bản thân, đặc biệt là các thông tin về chính sách đã được thiết lập để tạo một thẻ xác nhận cho đối tượng này. Sau đó, thẻ xác nhận được gửi về cho đối tượng yêu cầu cùng với thông báo trạng thái chấp nhận yêu cầu. Trong trường hợp này, EE sẽ gửi lại cho CA một thông điệp xác nhận rằng nó đã nhận được thẻ xác nhận của mình.
Giải pháp cho quá trình yêu cầu thẻ xác nhận
Theo đúng nhưđặc tả cho thông điệp yêu cầu thẻ xác nhận, ta phải có số hiệu của thông
điệp được gửi đi và một số bit thực hiện chức năng bảo vệ an toàn cho thông điệp. Các thành phần này rất cần thiết đối với các thông điệp PKI trong các ứng dụng thực tế. Tuy nhiên, với mục tiêu thể hiện chức năng của hệ thống, ta sẽ không sử dụng các trường thông tin của hệ thống.
Như vậy, ta sẽ chỉ sử dụng một thông điệp yêu cẩu thẻ xác nhận với hạt nhân là một cấu trúc dữ liệu đủ đáp ứng các yêu cầu về thông tin. Cấu trúc này đã được hỗ trợ bởi thư
viện SDK và có tên là CERT_REQUEST_INFO.
Ta sẽ sử dụng 3 trường thông tin của cấu trúc này. Trường dwVersion cho biết phiên bản của thẻ xác nhận. Giá trị trường này được đặt là phiên bản 3 (CERT_V3) tương ứng với giá trị 2. Cấu trúc trên mặc dù được định nghĩa song việc sử dụng trực tiếp còn gặp phải một
số vướng mắc, do vậy, giải pháp được sử dụng ở đây là dùng các trường của cấu trúc này để tạo các đoạn thông tin độc lập. Sau đó, mã hoá các thông tin này và ghép vào một mảng dữ liệu để gửi đi.
Trường subject lưu định danh của đối tượng yêu cầu thẻ xác nhận. Thông tin này được lấy trực tiếp từ một trường lưu định danh của đối tượng sử dụng. Để đảm bảo yêu cầu này và một số mục đích khác, mỗi đối tượng sử dụng đều có một trường lưu tên mình, tên CA quản lý mình. Trong khi đó, CA cũng phải có trường thông tin chứa tên mình và một trường chứa danh sách các EE mà mình quản lý.
Trường subjectPublicKeyInfo là trường chứa thông tin về khoá công khai của đối tượng sử dụng. Thông tin này được lấy ra từ bộ phận lưu các khoá mã hoá của đối tượng sử
dụng có tên là KeyContainer. Mỗi đối tượng sử dụng hệ thống PKI trên một thiết bị nào đó
đều phải có bộ phận này.
1. Khi CA nhận được yêu cầu thẻ xác nhận, nó dựa trên thông tin trong thông điệp yêu cầu và các chính sách đã được thiết lập để quyết định xem yêu cầu đó có
được chấp nhận hay không. Thông điệp trả về cho đối tượng yêu cầu gồm có số
hiệu của thông điệp yêu cầu, thông tin trạng thái và thẻ xác nhận nếu có. Do ta không sử dụng trường số hiệu thông điệp nên chỉ còn hai trường sau trong thông
điệp gửi về. Có thể trong phiên bản đầu được triển khai, hệ thống cũng không sử
dụng mã trạng thái thông điệp
Lưu đồ thuật toán thực hiện chức năng
Hình 4-6: Lưu đồ thuật toán yêu cầu và cấp thẻ xác nhận ngang hàng