Nội dung của chương này trình bày khái niệm, vai trò và chức năng của hạ tần
4.1.3 Các thành phần của một hạ tầng khóa công kha
PKI là một cơ cấu tổ chức gồm con người, tiến trình, chính sách, giao thức, phần cứng và phần mềm dùng để phát sinh, quản lý, lưu trữ, triển khai và thu hồi các chứng nhận khóa công khai [60, tr.10-15].
Vềcơbản,PKIgồmcácthànhphầnnhưsau: • Thựcthểcuối(EndEntity–EE).
• Tổchứcchứngnhận(CertificateAuthority–CA). • Chínhsáchchứngnhận(CertificatePolicy–CP).
• Tuyênbốtrongsửdụngchứngnhận(CertificatePracticesStatement–CPS). • Cácmôđunbảomậtphầncứng(HardwareSecurityModule–HSM).
• Chứngnhậnkhóacôngkhai(PublicKeyCertificate).
• Tổ chức đăng ký chứng nhận (Registration Authority – RA). • Kholưutrữchứngnhận(CertificateRepository–CR).
Hình4.1.Cácthànhphầncủamộthạtầngkhóacôngkhai
56
4.1.3.1 Thựcthểcuối
Thực thể cuối không chỉ là người sử dụng mà còn bao gồm những thứ vô tri vô giác như máy tính, những đối tượng cần chứng nhận số để nhận biết chúng vì một số lý do nào đó. Thựcthểcuối thông thườngphải cókhả năngphát sinhcặp khóa côngkhai/ bí mật và một số phương tiện cho việc lưu trữ và sử dụng khóa bí mật một cách an
toàn. Theo định nghĩa này, một thực thể cuối không phải là một CA.
4.1.3.2 Tổchứcchứngnhận
Tổ chức chứng nhận (CA) là một thực thể quan trọng duy nhất trong PKI và được người sử dụng tín nhiệm. Tổ chức này có nhiệm vụ phát hành, quản lý và hủy bỏ các chứngnhận.Tổchứcnàygồmtậphợp cácconngườivàcáchệthốngmáytínhcóđộ an toàn cao (ví dụ sử dụng tường lửa trong hệ thống mạng, …) để chống lại các nguy hiểm bên ngoài và khả năng quản lý tốt để chống lại các nguy hiểm bên trong. Chi tiếtvềtổchứcnàyđãđượctrìnhbàyởChương2 .
CA làm việc trong ngữ cảnh của một chính sách làm việc tổng thể, gọi là một “chính sách chứng nhận” (Certificate Policy – CP) và các chức năng hoạt động theo một “tuyên bố trong sử dụng chứng nhận” (Certificate Practices Statement – CPS).
4.1.3.3 Chínhsáchchứng nhận
Chính sáchchứngnhận(CP) cungcấpnhữngnguyên tắchướng dẫntổngthể đểmột tổ chức có thể biết được ai được làm gì hay bằng cách nào vào được hệ thống và dữ liệu. Một CP cũng cần phải chỉ rõ cách thức để kiểm soát và quản lý. Hơn nữa, CP định rõ một tập những luật lệ cho thấy tính khả thi của một chứng nhận khóa công khaiđốivới mộtcộngđồng riêngbiệthoặcmộtlớp cácứngdụngvớinhữngyêucầu an ninh chung. Ví dụ, một CP riêng biệt có thể cho biết tính khả thi của một loại chứng nhận khóa công khai đối với việc xác thực một giao dịch trao đổi điện tử trong kinhdoanhhànghóahoặcgiátrịtiềntệ,…
4.1.3.4 Tuyênbốtrongsửdụngchứngnhận
Tuyên bố trong sử dụng chứng nhận (CPS) rất giống với chính sách chứng nhận, ngoại trừ nó tập trung vào vấn đề bảo mật của CA trong suốt các hoạt động và quản
57
lýchứngnhận đượcpháthànhbởi CA. CPSthể hiệnchitiếtmọiquytrình bêntrong chukỳ sốcủachứng nhậnkhóacông khaibaogồm sựphátsinh, pháthành,quản lý, lưu trữ, triển khai và hủy bỏ. Có thể xem CPS như một thỏa thuận giữa người dùng chứng nhận và công ty chịu trách nhiệm cho việc phát hành CA. Không giống như chính sách chứng nhận, CPS luôn có sẵn ở công cộng để một người dùng nào đó có chứng nhận luôn có thể truy cập vào CPS. Trong mỗi chứng nhận mà CA phát hành, sẽ
có một liên kết để chỉ ra vị trí nơi CPS được công bố.
4.1.3.5 Cácmôđunbảomậtphầncứng
Môđun bảo mật phần cứng (HSM) là một thành phần chính khác của một CA. Một CA phải mang đến sự tín nhiệm không chỉ đối với khách hàng của nó mà còn đối với những người tin cậyvào những chứngnhận đã được phát hành. Do sự tín nhiệmđó phảiđượcxácnhậnnhờvàosựbảomậtvàsựtoànvẹncủakhóabímậtđượcsửdụng để ký chứng nhận khóa công khai của người đăng ký, khóa bí mật đó cần phải được bảovệtốtnhấtcótrongcácthiếtbịmáytínhchuyêndụngđượcbiếtđếnnhưlàHSM. Sự thực thi và sử dụng một HSM đủ tiêu chuẩn mang tính quyết định đối với bất kỳ CA và PKI mà nó hỗ trợ.
4.1.3.6 Tổchứcđăngkýchứngnhận
Tổ chức đăng ký chứng nhận (RA) là thành phần tùy chọn nhưng thường có trong PKI[5].RAđượcthiết kếđểchiasẻbớt côngviệcmàCAthường phảiđảmtráchvà không thểthực hiệnbất kỳmột dịch vụnào mà tổchức CAcủa nó không thựchiện được. Quan trọng nhất là RA được ủy quyền và có quyền thực hiện các công việc mà CA cho phép vì lợiích của CA. Một RAchỉ nên phụcvụ chomột CA,trong khi đó một CA có thể được hỗ trợ bởi nhiều RA. Thông qua việc chia sẻ bớt nhiệm vụ cho các RA, một CA sẽ có thể đáp ứng nhanh các yêu cầu của thực thể cuối.
Mục đích chính của một RA là xác minh danh tính của thựcthể cuối và quyết định xem thựcthểnày cóđược cấpchứng nhậnkhóa côngkhai haykhông.RAphải tuân theocácchínhsách vàcácthủtụcđược địnhnghĩatrongCPvà CPS.Chứcnăngđặc trưng của RA là thẩm tra yêu cầu cấp chứng nhận của thực thể cuối bằng cách kiểm tra tên, ngày hiệu lực, các ràng buộc thích hợp, khóa công khai, sự gia hạn chứng
58
nhận và các thông tin liên quan. RA còn có thể có trách nhiệm về việc thực hiện các kiểm tra chi tiết thực thể cuối đơn giản như việc chắc chắn rằng tên của thực thể cuối là duy nhất trong phạm vi của PKI.
4.1.3.7 Chứngnhậnkhóacôngkhai
Mục đích chính của CA là hỗ trợ phát sinh, quản lý, lưu trữ, triển khai và thu hồi chứng nhận khóa công khai. Một chứng nhận khóa công khai thể hiện hay chứng
nhận sự ràng buộc của danh tính và khóa công khai của thực thể cuối. Nghĩa là nó chứa đủ thông tin cho những thực thể khác có thể xác nhận hoặc kiểm tra danh tính của chủnhậnchứngnhận đó.Địnhdạngđược sửdụngrộng rãinhấtcủachứng nhận số dựa trên chuẩn IETF X.509 (đã được trình bày ở Chương 2). Lưu ý rằng không có địnhnghĩaduynhấtnàocủachứngnhậnkhóa côngkhaitrongchuẩn IETFdomỗitổ chức triển khai PKI sẽ có ý kiến riêng về dữ liệu mở rộng và đặc biệt nào mà một chứng nhận X.509 nên có. Các tổ chức nên đánh giá các nhu cầu công việc liên quan đến cấu trúc của chứng nhận khóa công khai mà họ muốn phát hành.
4.1.3.8 Kholưutrữchứngnhận
Kho lưutrữchứngnhận(CR) lànơichứađiệntửđể chứacácthông tinvà trạngthái của các chứng nhận được phát hành bởi CA và cũng có thể chứa cả danh sách các chứng nhận bị hủy (CRL). Kho chứa còn lưu trữ các chứng nhận chéo của CA này được phát hànhbởi CA khác,chứngnhận chéocủa CA khácphát hànhbởi CA này. Khochứacòncónhiệmvụchứanhữngbiểumẫuđiệntửvàcáccôngcụchophéptải về, công bố CP và CPS, cập nhật thông tin, hỏi và đáp (Q & A), …
Kholưutrữchứngnhậnphảilà mộthệthốngtínnhiệmvàantoàn.Trênlýthuyếtcó thể truy cập bằng cách sử dụng HTTP, FTP, thư mục X.500, LDAP (Lightweight DirectoryAccessProtocol) hoặcthậmchíbằngthưđiệntửnhưnghầunhưđược truy cập thông qua HTTP hoặc LDAP. LDAP là giao thức tìm thông tin trên máy chủ, nó là một giao thức client/ server dùng để truy cập dịch vụ thư mục X500. LDAP chạy trên TCP/IP hoặc những dịch vụ hướng kết nối khác. LDAP được định nghĩa trong RFC 2251 [70]. Hiện nay, để xây dựng các hệ thống lớn, LDAP chính là giải pháp để tích hợp dữ liệu để từ đó có thể dùng chung giữa các hệ thống khác nhau.
59