Chƣơng 2 CƠ SỞ HẠ TẦNG BẢO ĐẢM ATTT TRONG GDĐT
3.4. MÔ HÌNH KỸ THUẬT
3.4.1. Giải pháp kỹ thuật cơ bản
Mã hoá: Dùng các hệ mã hoá RSA, Elgamal, DES. Ký số: Dùng các sơ đồ ký DSA, RSA, Elgamal. Chứng chỉ số: X.509
Giao thức truyền tin an toàn tầng DataLink:
Bảo vệ ARP bằng việc ký số, đƣa chứng chỉ vào việc xác thực các IP cho các máy với địa chỉ MAC.
Giao thức truyền tin tầng ứng dụng:
Trao đổi hồ sơ, văn bản dựa trên giao thức S/MIME. Công cụ phát triển: Dựa trên phần mềm mã nguồn mở.
3.4.2. Mô hình kiến trúc kỹ thuật cho CA
Trong đó, chính sách chứng chỉ tuân theo các quy định sau:
Bảng I: Giao diện CA-CA
Bảng II: Giao diện CA-EE
Bảng III: Giao diện hồi đáp EE và giao diện hồi đáp VA
Nội dung Giao diện
Giao thức truy nhập EE-VA Tuỳ chọn. Vai trò của VA
Certificate Validation Server (Path Construction, Path Validation)
Bảng IV: Giao diện EE-VA
Nội dung Giao diện
Chính sách chứng chỉ X.509(97) v3[x509], RFC3280[3280] Định dạng mã hoá chứng chỉ DER[x690]
Chính sách CRL X.509(97) v3, RFC3280
Định dạng mã hoá CRL DER
Định dạng yêu cầu chứng chỉ chéo PKCS#10[p10] Định dạng hồi đáp chứng chỉ. X.509/DER Phƣơng pháp gửi che dấu thông tin E-Mail
POP (proof of possession) Xác minh chữ ký trên chứng chỉ
Nội dung Giao diện
Định dạng chứng chỉ EE PKCS#12[p12]
(Bao gồm cả khoá bí mật)
Nội dung Giao diện
Giao thức truy nhập
Nội dung Giao diện
Phƣơng thức hợp lệ hoá đƣờng dẫn
chứng chỉ RFC3280
Thực thể xác minh chứng chỉ VA, EE
Bảng V: Giao diện EE-EE
Ghi chú:
+ Giao diện CA-CA: Giao diện trao đổi giữa hai cơ quan chứng thực.
+ Giao diện CA-EE: Giao diện giữa cơ quan chứng thực và ngƣời dùng cuối. + Giao diện hồi đáp EE: Giao diện các thông tin phản hồi lại ngƣời dùng cuối. + Giao diện hồi đáp VA: Giao diện các thông tin phản hồi lại các hệ thống chứng thực mở rộng.
+ Giao diện EE-VA: Giao diện giữa ngƣời dùng cuối và hệ thống chứng thực mở rộng.
+ Giao diện EE-EE: Giao diện giữa các đối tƣợng dùng cuối với nhau (có thể giữa các modun phần mềm với nhau hoặc giữa ngƣời dùng cuối với các đối tƣợng/ thiết bị dùng cuối).
3.4.3. Giới thiệu công nghệ OpenCA
OpenCA là dự án nhằm xây dựng PKI hoàn chỉnh, chuyên nghiệp cho các đơn vị cỡ vừa và lớn. OpenCA đƣợc phát triển liên tục từ năm 1999 đến nay, từ năm 2001, OpenCA đã bắt đầu đƣợc sử dụng trong thực tế.
OpenCA dùng giao diện web, hỗ trợ hầu hết các web browser chính, khác với sản phẩm thƣơng mại, không hỗ trợ sản phẩm mã nguồn mở, vì sợ bị cạnh tranh.
OpenCA bao gồm các module:
Giao tiếp công cộng: Giao diện web để ngƣời dùng truy cập qua internet.
Ngƣời dùng có thể đăng kí xin cấp chứng chỉ trực tiếp qua module này. Giao tiếp LDAP: Danh bạ công bố khoá công khai, ngƣời dùng thƣờng lấy
khoá công khai từ module này để thực hiện việc mã hoá trƣớc khi gửi thƣ đến đơn vị dùng OpenCA.
Giao tiếp RA: Đơn vị điều hành RA dùng module này để nhập các thông tin
xác thực cá nhân của ngƣời xin cấp chứng chỉ.
Giao tiếp OCSP: Module hỗ trợ kiểm tra chứng chỉ còn hiệu lực hay không.
Công nghệ OCSP có tác dụng nhƣ việc công bố CRL, nhƣng tính năng ƣu việt hơn hẳn CRL.
Giao tiếp CA: Module kí số riêng rẽ cho phép CA làm theo nguyên tắc an
ninh - tách biệt khỏi mạng công cộng để bảo vệ tối đa khoá bí mật. Điều này khiến cho OpenCA trở nên an toàn hơn hầu hết các phần mềm CA hiện nay trên thị trƣờng.
Ngoài những tính năng thiết yếu của một PKI, OpenCA có nhiều tính năng ƣu việt nhƣ:
Đăng nhập bằng chứng chỉ.
Hệ thống quản lý quyền mềm dẻo.
Sử dụng đƣợc hết các tính năng của X.509 mở rộng.
OpenCA là phần mềm mã nguồn mở miễn phí, có sẵn tài liệu chi tiết đầy đủ, giúp cho việc tìm hiểu và ứng dụng OpenCA một cách dễ dàng.
Hình 3.11: Mô hình kiến trúc tổng quát của OpenCA
Hình 3.12: Mô hình quan hệ phân cấp giữa CA, RA và người dùng
OpenCA Hệ điều hành Linux OpenLDAP Dịch vụ thư mục cho chứng chỉ số OpenSSL
Thư viện tầng Socket an toàn (hoặc thư
viện khác) Apache secure web server CA RA RA User User