4 QUÁ TRÌNH XÂY DỰNG HỆ THỐNG
4.2.7.2. Khởi tạo EE
Đặc điểm và yêu cầu của việc khởi tạo EE
Cũng giống như các CA, khi tham gia vào hệ thống PKI, hệ thống dành cho các đối tượng sử dụng thẻ xác nhận cũng cần được khởi tạo với các thông tin cần thiết. Theo tài liệu
đặc tả, quá trình khởi tạo đối tượng sử dụng bao gồm ít nhất hai công việc cơ bản sau: 1. Thu thập thông tin về hệ thống PKI mà mình tham gia.
2. Kiểm chứng thông tin về một khoá công khai của CA gốc.
Việc thu thập thông tin về hệ thống PKI bao gồm thông tin về khoá công khai của CA gốc hiện thời. Thông thường, thông tin này được cung cấp qua các kênh truyền thông riêng
để đảm bảo tính an toàn. Trong hệ thống PKI đơn giản được triển khai, ta sẽ không sử
dụng các kênh riêng vì điều này không có ý nghĩa khi ta muốn thể hiện nguyên tắc hoạt
động của hệ thống. Tuy nhiên, với việc triển khai một hệ thống PKI thực sự, việc truyền thông qua các phương tiện out-of-band là hết sức cần thiết đểđảm bảo an toàn cho toàn hệ thống ngay từ khi khởi tạo. Trong phần lập trình thực hiện, ta sẽ lấy thông tin khoá công khai của CA ngay khi đối tượng sử dụng gửi yêu cầu kết nối đến CA. Ngay trong pha này, ta cũng thu nhận luôn thông tin vềđịnh danh của CA. Đây là những thông tin tối thiểu cho các hoạt động sau này của hệ thống.
Đăng nhập Key container đã tồn tại N Y Tạo key container và các cặp khoá Kết thúc Bắt đầu Khởi tạo CS, CRL và các chính sách Khởi tạo các thông số và tiến trình kết nối Tải thông tin khoá và các thông sốhệthống
Trong trường hợp CA gốc không phải là CA đảm nhận chức năng xác nhận thì ta cần phải có thông tin về nhánh xác nhận từ CA này đến CA gốc. Trong khi lập trình, ta sẽ
không xét tới khả năng này và cũng không sử dụng thông tin về các nhánh xác thực. Cuối cùng, đối tượng sử dụng phải thu được thông tin về các thuật toán mã hoá bảo mật
được sử dụng cùng với các tham số của chúng trong các trường hợp cụ thể. Do các chức năng ta xây dựng chỉ sử dụng các cặp khoá để tạo chữ ký số nên thông tin về các thuật toán sẽđược hạn chế. Cụ thể, ta coi như có một sự thoả thuận về việc tạo chữ ký sốở
CA và các đối tượng sử dụng. Việc sử dụng các thuật toán sẽđược đồng bộở hai phía. Tuy vậy, ta sẽ không sử dụng bất kỳ tham số nào trong quá trình triển khai.
Việc kiểm chứng thông tin về khoá công khai của CA được thực hiện thông qua việc chuyển khoá dưới dạng fingerprint. Theo như tài liệu đặc tả, thông tin dạng finerprint sẽ được truyền qua các kênh riêng. Trong phần lập trình, ta thực hiện việc truyền thông tin fingerprint của CA ngay trên đường truyền dữ liệu khi đối tượng sử dụng gửi yêu cầu kết nối đến CA. Tuy vậy, việc tạo và truyền thông tin này đi có thể bị loại bỏ. Điều này sẽ giúp cho việc thực thi hệ thống đơn giản hơn.
Trên đây là những thông tin liên quan đến nguyên tắc bảo mật của hệ thống. Tuy vậy, để đảm bảo sự hoạt động của hệ thống thì ta còn cần một số thông tin và hoạt động bổ
sung. Phần giải pháp cho chức năng này sẽ cho ta những hoạt động cần thiết khi khởi tạo
đối tượng sử dụng.
Các giải pháp và mô tả quá trình khởi tạo đối tượng sử dụng
Những thủ tục khởi tạo đầu tiên của hệ thống dành cho EE cũng giống như đối với hệ
thống dành cho CA. Nghĩa là, ứng với thông tin về tên của đối tượng sử dụng, ta cũng phải có được các thông tin cần thiết của một KC phục vụ cho các hoạt động trong phiên làm việc của người sử dụng này. Với nguyên tắc xây dựng một hệ thống phục vụ nhiều người sử dụng với các thông tin bí mật của từng người, ta phải tạo ra các phiên làm việc riêng biệt cho từng người sử dụng hệ thống. Các thông tin về an toàn an ninh chỉ có hiệu lực trong từng phiên làm việc riêng biệt của mỗi người sử dụng. Khi kết thúc phiên làm việc của mình, người sử dụng có thể thoát khỏi phiên làm việc của mình bằng thủ tục sign-out. Sau thủ tục này, tất cả các thông tin liên quan tới người sử dụng sẽ được xoá triệt để.
Ngoài ra, để phục vụ cho các phiên giao dịch nhằm thu thập các thông tin về hệ thống PKI trong các bước tiếp sau của quá trình khởi tạo, ta cần phải tạo các socket kết nối đến CA đểđảm bảo chức năng truyền thông cho hệ thống. Sau đó, các hoạt động quan trọng nhất của quá trình khởi tạo sẽđược thực hiện. Đó là quá trình thu thập các thông tin về đặc tính của hệ thống PKI, các thông tin về khoá công khai và định danh của CA trong hệ
thống. Ngoài ra, có thể nó sẽ cần gửi cho CA thông tin vềđịnh danh và khoá công khai của mình. Tuy nhiên, hoạt động này không hoàn toàn cần thiết. Định danh và khoá công khai của nó có thể chỉ cần được gửi cho CA khi đối tượng này muốn yêu cầu một thẻ xác nhận. Việc cung cấp dịnh danh và khoá công khai sẽ giúp cho quá trình thực hiện các dịch vụ an toàn an ninh thông tin được thực hiện đầy đủ hơn. Đặc biệt là các thủ tục mã hoá với khoá công khai.
Quá trình xây dựng hệ thống HẠ TẦNG KHOÁ CÔNG KHAI
58
Với những giải pháp và chọn lựa đã nêu, quá trình khởi tạo đối tượng sử dụng của hệ
thống PKI sẽ gồm những bước sau đây:
1. Khởi tạo thông tin vềđịnh danh của chính đối tượng sử dụng.
2. Khởi tạo các thông tin về các thuật toán mã hoá, các cặp khoá và các dịch vụ an ninh mà hệđiều hành cung cấp.
3. Tạo một phiên kết nối đến CA và gửi thông tin vềđịnh danh của mình đến cho CA. 4. Thu nhận thông tin vềđịnh danh và khoá chung của CA do chính CA gửi tới. Ghi nhận những chính sách và các thuật toán mã hoá, đóng gói dữ liệu mà CA hỗ trợ.
Đây là một khâu quan trọng trong quá trình hoạt động của đối tượng sử dụng. Do hệ
thống được triển khai trên cơ sở các dịch vụ an toàn an ninh mà hệđiều hành cung cấp nên trong chức năng này, tất cả các thông tin dịch vụ phải được hoàn thiện và khởi tạo
ứng với đối tượng sử dụng. Định danh của đối tượng sử dụng là thông tin do chính đối tượng sử dụng nhập vào và là cơ sở để khởi tạo các thông số hệ thống. Quá trình khởi tạo được coi là thành công khi đối tượng sử dụng có được tất cả những thông tin cần thiết đã nêu.
Lưu đồ thuật toán thực hiện chức năng
Hình 4-4: Lưu đồ thuật toán khởi tạo đối tượng sử dụng