CHƯƠNG III: CÁC THÀNH PHẦN, CƠ CHẾ LÀM VIỆC CỦA PKI. CÁC MÔ HÌNH VÀ CÁC KIỂU KIẾN TRÚC CỦA
3.1. Mô hình PKI và các thành phần của PKI
Hình 7: Mô hình các thành phần PKI 3.1.1. CA (Certificate Authority)
Trong PKI, CA là một thực thể PKI có trách nhiệm cấp chứng chỉ cho các thực thể khác trong hệ thống.
Tổ chức chứng thực – CA được gọi là bên thứ ba tin cậy bởi vì người dùng cuối tin tưởng vào chữ ký số của CA trên chứng chỉ trong khi thực hiện những hoạt động mã hoá khoá công khai cần thiết.
CA thực hiện xác thực bằng cách cấp chứng chỉ cho các CA khác và cho thực thể cuối trong hệ thống. Nếu CA nằm ở đỉnh của mô hình phân cấp PKI
và chỉ cấp chứng chỉ cho những CA ở mức thấp hơn thì CA này được gọi là root CA.
3.1.2.RA ( Registration Authority) a.Chức năng, nhiệm vụ của RA
- Chức năng quản trị có thể được phân phối cho RA. RA đóng vai trò trung gian làm nhiệm vụ tương tác giữa CA và client.
- RA có thể chịu trách nhiệm cho việc gán tên, tạo cặp khoá, xác thực thực thể cuối trong suốt quá trình đăng ký.
- RA làm nhiệm vụ nhận các yêu cầu của thực thể, xác minh chúng sau đó gửi yêu cầu cho CA.Và RA cũng nhận các chứng chỉ từ CA, sau đó gửi chứng chỉ cho thực thể.
- Thiết lập và xác nhận danh tính của thực thể trong giai đoạn khởi tạo
- Phân phối các bí mật dùng chung tới người sử dụng cuối để xác thực tuần tự trong suốt giai đoạn khởi tạo trực tuyến.
- Khởi tạo quá trình chứng thực với CA đại diện cho người dùng cuối.
- Thực hiện chức năng quản lý vòng đời của khoá/chứng chỉ, chú ý rằng RA không bao giờ được phép cấp chứng chỉ hoặc thu hồi chứng chỉ. Chức năng này chỉ có ở CA.
b. Thành phần của RA
RA bao gồm 3 thành phần sau:
* RA Console
RA console là một máy chủ (server) được cài đặt cho RA officer để đưa các yêu cầu chứng chỉ. Nó có thể kết nối với CA. Server này xử lý các yêu cầu chứng chỉ số trong quá trình chứng thực.
* RA Officer
RA Officer là một cá nhân thực hiện các tác vụ như đăng ký chứng chỉ số, làm mới hoặc thu hồi chứng chỉ. Sau khi RA Officer xác minh và chấp thuận yêu cầu, nó sẽ chuyển trực tiếp các yêu cầu này lên CA server. Sau khi CA server xử lý yêu cầu và cấp chứng chỉ. RA Officer sẽ phân phối chứng chỉ.
* RA Manager
RA Manager là một cá nhân làm nhiệm vụ quản lý RA Officer và đảm bảo rằng toàn bộ thủ tục ứng dụng chứng thực được thực hiện mà không có sự lừa đảo của con người. RA Manager sẽ cần phải chấp thuận tất cả các yêu cầu được xử lý bởi RA Officer trước khi đưa các ứng dụng chứng thực tới cho CA.
3.1.3. Certificate-Enabled Client: Bên được cấp phát chứng chỉ
Bên được cấp phát chứng chỉ (hay còn gọi là PKI client) thường yêu cầu CA hoặc RA cấp phát chứng chỉ. Để có được chứng chỉ từ CA, PKI client thực hiện các bước sau.
Gửi yêu cầu tạo cặp khoá công khai/khóa riêng. CA hoặc client có thể thực hiện nhiệm vụ này. Cặp khóa chứa chi tiết của client.
Sau khi cặp khoá được tạo ra, client gửi yêu cầu cho CA yêu cầu chứng chỉ.
Sau khi client nhận được chứng chỉ từ CA, nó có thể sử dụng chứng chỉ để chứng minh danh tính của chính nó và được xem như một người sở hữu chứng chỉ đã được xác thực.
Tất cả các kết nối giữa client và CA đều được giữ an toàn. Hơn nữa, client chịu trách nhiệm đảm bảo an toàn cho khoá riêng.
Ví dụ VPN Client, trình duyệt . Làm nhiệm vụ ký và mã hoá
3.1.4. Data Recipient : Bên nhận dữ liệu Ví dụ Web Server, VPN Gateway.
Làm nhiệm vụ xác minh và giải mã.
3.1.5. Kho lưu trữ/thu hồi chứng chỉ
Để làm thuận tiện quá trình phân phối, chứng chỉ có thể được công bố trong kho chứng chỉ.
Kho chứng chỉ phân phối chứng chỉ tới người dùng và các tổ chức . Kho chứng chỉ có chứa chứng chỉ, danh sách huỷ bỏ chứng chỉ, danh sách huỷ bỏ thẩm quyền và một số thứ khác có liên quan tới đối tượng , ví dụ như chính sách của các đối tượng.
Chứng chỉ có thể được phân phối bởi chính người dùng hoặc được phân phối bằng một máy chủ thư mục mà sử dụng LDAP để truy vấn thông tin
người dùng. Hệ thống phân phối chứng chỉ được sử dụng để thực hiện các nhiệm vụ sau:
- Tạo và cấp phát cặp khoá.
- Chứng thực tính hợp lệ của khoá công khai bằng cách ký vào khoá công khai.
- Thu hồi các khoá đã hết hạn.
- Công bố khoá công khai trong máy chủ dịch vụ thư mục.
3.1.6.Chuỗi chứng chỉ hoạt động như thế nào?
Khi ta nhận được chứng chỉ từ một thực thể khác, ta sẽ cần phải sử dụng chuỗi chứng chỉ để thu được chứng chỉ của root CA. Chuỗi chứng chỉ, hay còn được gọi là đường dẫn chứng chỉ, là một danh sách các chứng chỉ được sử dụng để xác thực thực thể. Chuỗi chứng chỉ sẽ bắt đầu với chứng chỉ của thực thể đó, và mỗi chứng chỉ trong chuỗi sẽ được ký bởi thực thể đã được xác định bởi chứng chỉ kế tiếp trong chuỗi. Chứng chỉ kết thúc là chứng chỉ của rootCA. Chứng chỉ của root CA luôn luôn được ký bởi chính nó. Chữ ký của tất cả các chứng chỉ trong chuỗi phải được xác minh cho tới chứng chỉ của root CA. Sơ đồ sau minh họa đường dẫn chứng chỉ từ người sở hữu chứng chỉ tới rootCA, nơi chuỗi tin cậy bắt đầu.
Hình 8: Chuỗi chứng chỉ