Hạ tầng PKI

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu xây dựng giải pháp bảo mật mạng riêng ảo VPN dựa trên công nghệ mở Luận văn ThS. Công nghệ thông tin 60 48 15 (Trang 55 - 59)

CHƯƠNG 2 BẢO MẬT MẠNG RIấNG ẢO

2.2 Cụng nghệ bảo mật mạng riờng ảo

2.2.4 Hạ tầng PKI

2.2.4.1 Tổng quan về PKI

Public Key Infrastructure (PKI) là một cơ chế để cho một bờn thứ ba (thường là nhà cung cấp chứng thực số ) cung cấp và xỏc thực định danh cỏc bờn tham gia vào quỏ trỡnh trao đổi thụng tin. Cơ chế này cũng cho phộp gỏn cho mỗi người sử dụng trong hệ thống một cặp public/private. Cỏc quỏ trỡnh này thường được thực hiện bởi một phần mềm đặt tại trung tõm và cỏc phần mềm khỏc tại cỏc địa điểm của người dựng. Khoỏ cụng khai thường được phõn phối trong chứng thực khúa cụng khai – hay Public Key Infrastructure.

Khỏi niệm hạ tầng cụng khai (PKI) thường được dựng để chỉ toàn bộ hệ thống bao gồm cả nhà cung cấp chứng thực (CA) cựng cỏc cơ chế liờn quan đồng thời với toàn bộ việc sử dụng cỏc thuật toàn mó húa cụng khai trong trao đổi thụng tin.

2.2.4.2 Cỏc thành phần PKI

Một hệ thống PKI gồm 4 thành phần sau :

+ Certification Authorities (CA) : Cấp và thu hồi chứng chỉ.

+ Registration Authorities (RA) : Gằn kết giữa khỏo cụng khai và định danh của người giữ chứng chỉ.

+ Clients : Người sử dụng chứng chỉ PKI hay theo cỏch khỏc được xỏc định như những thực thể cuối. Người sử dụng cuối hoặc hệ thống là chủ thể của chứng chỉ PKI.

+ Repository : Hệ thống ( cú thể phõn tỏn ) lưu trữ chứng chỉ và danh sỏch cỏc chứng chỉ bị thu hồi. Cung cấp cơ chế phõn phối chứng chỉ và CRLs đến cỏc thực thể cuối . Cỏc thành phần PKI và cỏc mối quan hệ giữa chứng chỉ được chỉ ra như trong hỡnh. Đõy là mụ hỡnh kiến trỳc do PKIX đưa ra.

Hỡnh 2. 16: Cỏc thành phần PKITổ chức chứng thực ( Certification Authority) Tổ chức chứng thực ( Certification Authority)

Trong hạ tằng cơ sở cụng khai, chứng chỉ cú vai trũ gắn kết giữa định danh với khúa cụng. Sự gắn kết này thể hiện trong dạng cấu trỳc dữ liệu được ký số, được đề cập đến như chứng chỉ đó được thảo luận ở phần trước . Một Certificate Authority (CA) là một thục thể PKI cú trỏch nhiệm cấp chứng chỉ cho cỏc thực thể trong hệ thống.

Tổ chức chứng thực - CA cũng được gọi là bờn thứ ba được tin tưởng vỡ người sử dụng cuối tin tưởng vào chữ ký số CA trờn chứng chỉ trong khi thực hiện những hoạt động mó húa cụng khai cần thiết . Tổ chức cung cấp dịch vụ chứng thực -Certification Service Provider (CSP) là một thuật ngữ khỏc nhắc đền CA được sử dụng trong bài bỏo cỏo.

Thụng thường CA thực hiện chức năng xỏc thực bằng cỏch cấp chứng chỉ cho cỏc CA khỏc và cho thực thể cuối ( người giữ chứng chỉ ) trong hệ thống. Nếu CA nằm ở đỉnh của mụ hỡnh phõn cấp PKI và chi cấp chứng chỉ cho những CA ở mức thấp hơn thỡ chứng chỉ này được gọi là chứng chỉ gốc “root certificate”.

Trung tõm đăng ký ( Registration Authorities)

Mặc dự CA cú thể thực hiện những chức năng đăng ký cần thiết, nhưng đụi khi cần cú thực thể độc lập thực hiện chức năng này. Thực thể này được gọi là “registration authority” – trung tõm đăng ký. Vớ dụ khi số lượng thực thể cuồi trong miền PKI tăng lờn và số thực thể cuối này được phõn tỏn khắp nơi về mặt địa lý thỡ việc đăng ký tại một CA

trung tõm trở thành vấn đề khú giải quyết. Để giải quyết vấn đề này cần thiết phải cú một hoặc nhiều RAs ( trung tõm đăng ký địa phương ).

Mục đớch chớnh của RA là để giảm tải cụng việc của CA. Chức năng thực hiện của một RA cụ thể sẽ khỏc nhau tựy theo nhu cầu truển khai PKI nhưng chu yếu bao gồm những chức năng sau :

+ Xỏc thực cỏ nhõn chủ thể đăng ký chứng chỉ.

+ Kiểm tra tớnh hợp lệ của thụng in do chủ thể cung cấp.

+ Xỏc nhận quyền của chủ thể đối với những thuộc tớnh chứng chỉ được yờu cầu. + Kiểm tra xem chủ thể cú thực sự sở hữu khúa riờng đang được đăng ký hay khụng - điều này thường được đề cập đến như sự chứng minh sở hữu (proof of possession - POP).

+ Tạo cặp khỏo bớ mật / cụng khai.

+ Phõn phối bớ mật được chỉa sẻ đền thực thể cuối khởi tạo quỏ trỡnh đăng ký với CA.

+ Lưu trữ khúa riờng.

+ Khởi sinh quỏ trỡnh khụi phục khúa.

+ Phõn phối thẻ bài vật lý (vớ dụ như thẻ thụng minh) chứa khúa riờng.

Thực thể cuối (Người giữ chứng chỉ và Clients)

Thực thể cuối trong PKI cú thể là con người, thiết bị, và thậm chớ là một chương trỡnh phần mềm nhưng thường là người sử dụng hệ thống. Thực thể cuối sẽ thực hiện những chức năng mật mó (mó húa, giải mó và ký số).

Hệ thống lưu trữ (Repositories)

Chứng chỉ (khúa cụng) và thụng tin thu hồi chứng chỉ phải được phõn phối sao cho những người cần đến chứng chỉ đều cú thể truy cập và lấy được.

Cú 2 phương phỏp phõn phối chứng chỉ : - Phõn phối cỏ nhõn :

Là cỏch phõn phối cở bản nhất. Trong phương phỏp này sẽ trực tiếp đưa chứng chi của họ cho người dng2 khỏc nhau. Chuyển giao bằng tay chứng chỉ được lưu trong đĩa cứng hoặc trong một số cỏc mụi trường lưu trữ khỏc. Cũng cú thể phõn phối bằng cỏch gằn chứng chỉ trong email để gửi cho người khỏc.

Cỏch này thực hiện tốt trong mụi nột nhúm ớt người dựng nhưng khi số lượng tăng người tăng lờn thỡ cú thể xảy ra vấn đề quan lý.

- Phõn phối cụng khai

Một phương phỏp khỏc phổ biến hơn để phõn phối chứng chỉ (và thụng tin thu hồi chứng chỉ) là cụng bố cỏc chứng chỉ rộng rói, cỏc chứng chỉ này cú thể sử dụng một cỏch cụng khai và được đặt ở vị trớ cú thể truy cập dễ dàng. Những vị trớ này được gọi là cơ sở dữ liệu.

Dưới đõy là vớ dụ về một số hệ thống lưu trữ: + X.500 Directory Access Protocol (DSAs).

+ Lightweight Directory Access Protocol (LDAP) Server. + Domain name System (DNS) và Web Servers.

+ File Transfer Protocol (FTP) Servers và Corporate Databases.

2.2.4.3 Chức năng cơ bản của PKI

Những hệ thống cho phộp PKI cú những chức năng khỏc nhau. Nhưng nhỡn chung cú hai chức năng chỡnh là: chứng thực và kiểm tra.

Chứng thực ( Certification) : là chức năng quan trong nhất của hệ thống PKI. Đõy là quỏ trỡnh ràng buộc khúa cụng khai với định danh của thực thể. CA là thực thể PKI thực hiện chứng năng, chứng thực. Cú hai phương phỏp chứng thực:

+ Tồ chức chứng thực (CA) tạo ra cặp khúa cụng khai / khúa bớ mật và tạo ra chứng chỉ cho phần cụng khúa cụng của cặp khúa.

+ Người sử dụng tư tạo cặp khúa và đưa khúa cụng cho CA để CA tạo chứng chỉ khúa cụng đú. Chứng chi đảm bảo tớnh toan vẹn của khúa cụng khai và cỏc thụng tin gắn cựng.

Thẩm tra ( validation) : quỏ trỡnh cỏc định liệu chứng chỉ đó đưa ra cú thể được sử dụng đỳng mục đớch thớch hợp hay khụng được xem như là quỏ trỡnh kiểm tra tớnh hiệu lực của chứng chỉ. Úa trỡnh này bao gồm một sau bước sau:

+ Kiểm tra xem liệu cú đỳng là CA được tin tưởng đó ký số lện chứng chỉ hay khụng (xử lý theo đường dẫn chứng chỉ).

+ Kiểm tra chữ ký số của CA trờn chứng chỉ để kiểm tra tớnh toàn vẹn. + Xỏc định xem chứng chỉ cũn ở trong thời gian cú hiệu lực hay khụng. + Xỏc định xem chứng chỉ đó bị thu hồi hay chưa.

+ Xỏc định xem chứng chỉ đang được sử dụng đỳng mục đớch, chớnh sỏch giới hạn hay khụng (bằng cỏch kiểm tra những trường mở rộng cụ thể như mở rộng chớnh sỏch chứng chỉ hay mở rộng việc sử dụng khúa cụng khai).

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu xây dựng giải pháp bảo mật mạng riêng ảo VPN dựa trên công nghệ mở Luận văn ThS. Công nghệ thông tin 60 48 15 (Trang 55 - 59)

Tải bản đầy đủ (PDF)

(107 trang)