Phát hành chứng chỉ

Một phần của tài liệu (LUẬN văn THẠC sĩ) hạ tầng cơ sở khóa công khai và ứng dụng trong giao dịch điện tử trên mạng luận văn ths công nghệ thông tin 1 01 10 (Trang 48 - 52)

2.4 CÁC CHỨC NĂNG CHUNG NHẤT CỦA PKI

2.4.2 Phát hành chứng chỉ

2.4.2.1 Xin cấp một chứng chỉ

Trước khi CA có thể phát hành một chứng chỉ cho một thuê bao, thuê bao cần đăng ký với CA. Việc đăng ký trước hết thiết lập một mối quan hệ giữa thuê bao và CA, sau đó chuyển thông tin xác định của thuê bao cho CA.

Tuỳ vào từng trường hợp, việc đăng ký có thể là một hành động có ý thức hoặc không có ý thức của thuê bao. Ví dụ, trong trường hợp một ông chủ cấp chứng chỉ cho những người làm công của mình, quá trình đăng ký có thể tự động. Mối quan hệ rất dễ nhận ra. Ông chủ điều hành giống như một CA, tự động truy nhập vào cơ

sở dữ liệu của một người làm công và từ đó có được bất cứ thông tin cần thiết nào về người làm công này.

Trong trường hợp của một CA trung gian, quá trình đăng ký rõ ràng là rất quan trọng, người cần chứng chỉ phải xin cấp và chấp nhận chứng chỉ. Thêm vào đó, khi đăng ký với một CA, thuê bao cần tiến hành xin cấp chứng chỉ một cách rõ ràng. Sự khác biệt giữa đăng ký và xin cấp một chứng chỉ là ở chỗ, một yêu cầu xin cấp chứng chỉ cần có các thông tin xác định cho từng chứng chỉ được phát hành, ví dụ như giá trị của khoá công khai và các trường xác định khác (cần có trong một chứng chỉ).

Có nhiều cách khác nhau để đăng ký và thực hiện các yêu cầu chứng chỉ. Trong môi trường Internet, quá trình này có thể được tiến hành trực tuyến. Tuy nhiên, CA cần xác thực thuê bao và đảm bảo rằng, khoá công khai và các thông tin của thuê bao có nguồn gốc từ chính thuê bao và không bị làm giả trong quá trình chuyển tiếp từ thuê bao tới CA. CA có thể biết thêm thông tin về thuê bao bằng cách đối thoại trực tiếp với thuê bao hoặc tra cứu một cơ sở dữ liệu của thành viên thứ ba. Trong nhiều trường hợp, việc truyền một thông tin nào đó phải thông qua các kênh truyền thống, không trực tuyến; ví dụ, một người gửi tài liệu về nhận dạng cho một công chứng viên trong thời gian đăng ký và nhận một mật khẩu bí mật từ một cuộc trao đổi trực tuyến (yêu cầu và cấp một chứng chỉ).

2.4.2.2 Quá trình tạo chứng chỉ

Quá trình tạo ra một chứng chỉ bao gồm các bước sau đây:

1. CA nhận được các thông tin cần thiết cho chứng chỉ.

2. CA kiểm tra sự chính xác của các thông tin đó (phù hợp với các chuẩn và các chính sách áp dụng).

3. Chứng chỉ được ký bằng một thiết bị ký sử dụng khoá riêng của CA.

4. Một bản sao của chứng chỉ được chuyển tới thuê bao và nếu được yêu cầu, thuê bao sẽ gửi trả lại một xác nhận (cho biết thuê bao đã nhận được chứng chỉ).

5. Như một dịch vụ của CA, một bản sao của chứng chỉ có thể được đưa tới một kho chứa chứng chỉ (ví dụ như một dịch vụ thư mục) để công bố.

6. Như một dịch vụ tuỳ chọn của CA, một bản sao của chứng chỉ có thể được CA lưu giữ.

7. CA ghi lại các chi tiết thích hợp của quá trình tạo chứng chỉ trên một sổ nhật ký kiểm toán.

2.4.2.3 Xác thực chủ thể

Trước khi phát hành một chứng chỉ, CA cần xác nhận đặc điểm nhận dạng của người, thiết bị hoặc thực thể nắm giữ khoá riêng tương ứng với khoá công khai có trong chứng chỉ. CA hoặc thực thể nào đó được CA tin cậy phải tiếp cận các đặc điểm tiêu biểu xác định của người, thiết bị hoặc thực thể yêu cầu.

Việc xác nhận nhận dạng sử dụng một hoặc nhiều kỹ thuật và thủ tục như sau:

Sự hiện diện cá nhân (Personal presence): Sự xuất hiện của một người trước một thực thể tin cậy được công nhận rộng rãi rất quan trọng đối với xác nhận nhận dạng. Nó không những cho phép một CA hoặc người được uỷ quyền của CA có được thông tin, hoặc các đặc điểm điển hình của người xin cấp chứng chỉ, mà còn cho phép đánh giá tư cách của một người và tuân theo các quy tắc và hành động thích hợp. Một khi thiết lập được nhận dạng (dựa vào sự hiện diện cá nhân), thì sự xuất hiện của một người sẽ không cần thiết cho các mục đích chữ ký số. Nhận dạng dựa vào sự hiện diện cá nhân thường được tiến hành kết hợp với các tài liệu nhận dạng.

Các tài liệu nhận dạng (Identification document): Một CA hoặc một người uỷ quyền của CA có thể sử dụng các tài liệu nhận dạng, hoặc sử dụng riêng lẻ hoặc sử dụng kết hợp với người xin cấp chứng chỉ, để xác nhận nhận dạng của người xin cấp chứng chỉ. Các tài liệu như vậy (thông thường các tài liệu này có chứa ảnh, ví dụ như hộ chiếu, thẻ của người làm công, hoặc bằng lái xe) được công nhận rộng rãi để đảm bảo xác nhận nhận dạng tin cậy.

Các yêu cầu nhận dạng tài liệu trong thương mại và chính phủ được quan tâm khác nhau. Việc sử dụng các tài liệu nhận dạng (phù hợp với mọi kỹ thuật xác nhận nhận dạng) sẽ kèm theo các rủi ro tiềm ẩn. Các CA và những người uỷ quyền của CA có thể nhận biết một cách dễ dàng các rủi ro này.

2.4.2.4 Cơ quan đăng ký địa phương

CA sẽ thường xuyên yêu cầu sự hiện diện cá nhân khi tương tác với các thuê bao; Chẳng hạn như, việc kiểm tra nhận dạng của người xin cấp chứng chỉ thông qua việc trình các tài liệu nhận dạng, trao đổi thẻ vật lý hoặc thực hiện các biện pháp sinh trắc học nếu có thể. Điều này gây khó khăn cho CA khi hỗ trợ một số lượng lớn các thuê bao, đặc biệt với các thuê bao phân tán về mặt địa lý. Một giải pháp khắc phục điều này là sử dụng những tổ chức trung gian phân tán, họ sẽ liên lạc trực tiếp với thuê bao cần thiết. Những tổ chức trung gian này được gọi là cơ quan đăng ký địa phương(LRA).

Cơ quan đăng ký địa phương là một người hoặc tổ chức hỗ trợ cục bộ cho một nhóm các thuê bao của CA, các thuê bao này có thể ở cách xa CA. Cơ quan đăng ký địa phương không tự mình phát hành các chứng chỉ, đúng hơn là cơ quan đăng ký địa phương phê chuẩn việc xin cấp chứng chỉ. Sau đó, CA phát hành các chứng chỉ. Các chức năng mà LRA cung cấp có thể gồm có:

(a)Đăng ký, xoá đăng ký và thay đổi các thuộc tính của các thuê bao. (b)Nhận dạng và xác thực các thuê bao.

(c)Xem xét các yêu cầu về sinh cặp khoá và tạo chứng chỉ, hoặc khôi phục lại các khoá đã được sao lưu.

(d)Chấp nhận và xem xét các yêu cầu treo và huỷ bỏ chứng chỉ.

(e)Phân phối các thẻ cá nhân cho những người được uỷ quyền nắm giữ chúng và khôi phục lại các thẻ quá hạn do những người này gửi đến.

2.4.2.5 Cập nhật chứng chỉ

Mọi chứng chỉ đều có thời hạn, vấn đề này thuộc trách nhiệm của CA quản lý và thu hồi. Nói chung, các chứng chỉ có thể được thay thế dựa vào thời hạn kết thúc. Các cặp khoá cũng cần được thay thế định kỳ và từ đó tạo ra một chứng chỉ mới. Việc thu hồi và cập nhật các chứng chỉ thường đi đôi với việc thu hồi và cập nhật các cặp khoá. (Ngoại trừ trường hợp, các CA có thể phát hành một chứng chỉ đã được cập nhật cho cặp khoá chưa hết hạn).

Đôi khi, việc cập nhật chứng chỉ được thực hiện như một quá trình trong suốt đối với thuê bao nếu mục đích của việc cập nhật chứng chỉ chỉ để cập nhật cặp khoá. Ví dụ, các sản phẩm mật mã có khả năng phát hiện tự động một cặp khoá đã hết hạn, cập nhật cặp khoá này và đối thoại truyền thông cần thiết với một CA để phát hành một chứng chỉ mới, tất cả những việc này không có sự tham gia của thuê bao. Nếu như việc cập nhật một chứng chỉ kéo theo một thay đổi nào đó, ví dụ như nếu thông tin nhận dạng nào đó của thuê bao có trong chứng chỉ bị thay đổi, hoặc nếu CA có chính sách yêu cầu xác nhận các thông tin của chứng chỉ một cách định kỳ từ thuê bao, thì bắt buộc thuê bao tham gia vào quá trình cập nhật. Thuê bao được thông báo về sự cập nhật và có thể xác nhận chấp nhận một chứng chỉ mới một cách rõ ràng.

Một phần của tài liệu (LUẬN văn THẠC sĩ) hạ tầng cơ sở khóa công khai và ứng dụng trong giao dịch điện tử trên mạng luận văn ths công nghệ thông tin 1 01 10 (Trang 48 - 52)

Tải bản đầy đủ (PDF)

(96 trang)