Đây là kiến trúc được áp dụng rộng rãi đối với dịch vụ Web. Trong đó, các trình duyệt và các máy chủ là những đối tượng sử dụng tiêu biểu nhất. Trong mô hình này, các trình duyệt đều lưu một file riêng chứa các thẻ xác nhận gốc của các CA được tin cậy. File này tồn tại ngay khi trình duyệt được cài đặt. Việc quản lý file
này có thể được thực hiện bởi các cá nhân sửdụng trình duyệt. Các tổ chức cũng có thể cấp quyền cho việc tải hoặc quản lý các thông tin từ một máy chủ của tổ chức. Đối với mỗi file này, người sử dụng có thể bổ sung hoặc xoá bớt những thẻ xác nhận khỏi danh sách. Tuy nhiên, khả năng xử lý cách nhánh xác nhận của các ứng dụng hiện còn khá hạn chế.
Các trình duyệt có thể sử dụng các cặp khoá công khai/khoá riêng để ký, để kiểm chứng, giải mã hoặc mã hoá các thư điện tử theo chuẩn S/MIME. Với các thẻ xác nhận, các trình duyệt cũng có thể thiết lập các phiên truyền thông an toàn SSL (Secure Sockets Layer). SSL là một giao thức xác thực và mã hoá ở tầng chuyển vận. Trong một phiên truyền thông SSL, người dùng có thể gửi đi một mẫu biểu hoặc nhận về các thông tin từ một máy chủ dưới hình thức được mã hoá và xác thực. Mặt khác, các trình duyệt còn có thểkiểm chứng các chữký số được áp dụng đối với thông tin được truyền đi.
Hình 1.20: Kiến trúc PKI danh sách tin cậy
Như vậy, ta có thểcoi kiến trúc PKI danh sách tin cậy là một mô hình hướng trình duyệt.
1.5.3.1. Ưu điểm của kiến trúc PKI danh sách tin cậy
Đây là kiến trúc đơn giản, quá trình truyền thông và xác nhận theo một hướng duy nhất, hơn nữa, mô hình này có thể được triển khai khá dễdàng.
Trong kiến trúc này này, các đối tượng sử dụng có toàn quyền quản lý file lưu trữdanh sách thẻxác nhận của các CA mà mình tin cậy.
Kiến trúc này có thể làm việc rất tốt với giao thức quản lý trạng thái thẻxác nhận trực tiếp do các nhánh xác thực khá đơn giản. Hơn nữa, những yêu cầu vềtrạng thái thẻxác nhận chỉ được gửi tới các CAởtrong danh sách các CA được tin cậy.
1.5.3.2. Nhược điểm của kiến trúc PKI danh sách tin cậy
Người sử dụng có toàn quyền nội dung của file chứa thẻ xác nhận của các CA mà nó tin cậy. Do vậy việc quản lý danh sách các CA được tin cậy của một tổchức là rất khó khăn.
Việc khởi tạo danh sách mặc địch các CA được tin cậy khi cài đặt một trình duyệt sẽ dẫn đến việc khó đảm bảo tính xác thực trong quá trình khởi tạo thông tin về khoá công khai của các CA này. Đây có thểlà một kẽ hở đểcác đối tượng tấn công lợi dụng.
Không phải tất cả những người sửdụng đều có khả năng quản lý tốt một file chứa quá nhiều thẻxác nhận của các CA mà mình tin cậy.
Cấu trúc thẻ xác nhận không có nhiều hỗ trợcho việc tìm ra các nhánh xác nhận.
Không có những hỗ trợ trực tiếp đối với các cặp thẻ xác nhận ngang hàng. Do vậy, nó hạn chế khả năng của CA trong quản lý sự tin cậy của mìnhđối với các CA khác.
Các chính sách đối với thẻxác nhận không được hỗ trợ, do vậy, cần phải có một CA quản lý một số CA khác để có thể áp dụng các chính sách thẻ xác nhận và các mức đảm bảo. Điều này dẫn đến việc tăng số CA được tin cậy trong file của mỗi đối tượng sửdụng.
Hiện tại các trình duyệt không hềhỗtrợ tính năng tự động lấy thông tin trạng thái hoặc huỷbỏcác thẻxác nhận.
Tóm lại, ưu điểm đáng kể nhất của kiến trúc danh sách tin cậy là khả năng hỗ trợ đối với định dạng dữliệu S/MIME và các phiên truyền thông SSL đối với các trình
duyệt hiện nay. Dịch vụWorld Wide Web và các trình duyệt là những đối tượng cơ bản trong công nghệmạng hiện nay, nó cũng là nền tảng đểphát triển các trìnhứng dụng phân tán.
Hiện nay, các máy chủ Web đều hỗtrợkiến trúc PKI theo danh sách tin cậy, bất kể ai muốn phát triển các ứng dụng PKI cho một lượng lớn đối tượng sửdụng đều phải ý thức được điều này. Hơn nữa, công nghệ Web hiện đang là một hướng lựa chọn phổ biến cho các ứng dụng trong phạm vi các mạng cục bộ.Như vậy, với sự hiện diện của các trình duyệt ở khắp mọi nơi và một vị trí quan trọng của chúng để xây dựng các ứng dụng mạng, đây thực sự là một kiến trúc quan trọng trong sốcác kiến trúc được áp dụng đểxây dựng các hệthống PKI.
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
Trong một vài năm lại đây, hạtầng truyền thông IT càng ngày càng được mở rộng khi người sửdụng dựa trên nền tảng này đểtruyền thông và giao dịch với các đồng nghiệp, các đối tác kinh doanh cũng như việc khách hàng dùng email trên các mạng công cộng. Hầu hết các thông tin nhạy cảm và quan trọng được lưu trữvà trao đổi dưới hình thức điện tử trong các cơ quan văn phòng, doanh nghiệp. Sự thay đổi trong các hoạt động truyền thông này đồng nghĩa với việc cần phải có biện pháp bảo vệ đơn vị, tổchức, doanh nghiệp của mình trước các nguy cơ lừa đảo, can thiệp, tấn công, phá hoại hoặc vô tình tiết lộ các thông tin đó. Cơ sởhạtầng mã khoá công khai (PKI - Public Key Infrastructure) cùng các tiêu chuẩn và công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc lập có thểsửdụng đểgiải quyết vấn đềnày. PKI bản chất là một hệthống công nghệvừa mang tính tiêu chuẩn, vừa mang tínhứng dụng được sửdụng đểkhởi tạo, lưu trữvà quản lý các chứng chỉsốhay ta còn gọi là chứng thực điện tử (digital certificate) cũng như các khoá công cộng (khoá công khai) và cá nhân (khoá riêng).
Hiện nayởViệt Nam, việc nghiên cứu,ứng dụng và triển khai PKI nói chung và dịch vụcung cấp chứng chỉsốnói riêng là vấn đềcòn mang tính thời sự. Bằng việc sửdụng chứng chỉvà chữký số, nhữngứng dụng cho phép PKI đưa ra nhiều đặc tính đảm bảo an toàn thông tin cho người sửdụng.
Thông qua việc thực hiện tiểu luận, nhóm đã tìm hiểu các kiến thức cơ bản vềcác dịch vụchứng thực nói chung cũng như các giao thức hỗtrợcho việc chứng thực nói riêng . Qua tiểu luận nhóm cũng đã nghiên cứu được phần nào về cơ sởhạ tầng khóa công khai (PKI). Một sốkết quả đãđạt được như sau:
Nghiên cứu về Cơ sởhạtầng khóa công khai(PKI)
TừPKI nghiên cứu đến dịch vu cung cấp chứng chỉsố hay là dịch vụ chứng thực Certification authority–CA.
Tuy nhiên do điều kiện thời gian có hạn và khả năng còn hạn chế, nên trong quá trình nghiên cứu cón nhiều chỗthiếu sót. Nhóm tiểu luận rất mong nhận được sự góp ý từcác bạn và giáo viên bộmôn.
Hướng phát triển trong tương lai nghiên cứu và xây dựng mô hình mô tảquá trình hoạt động cơsởhạtầng khóa công khai trên nền tảng mã nguồn mở.
TÀI LIỆU THAM KHẢO
[1] John Wiley – PKI Security Solutions for the Enterprise, 2003. [2] IBM – Deploying a Public Key Infrastructure, 2000.
[3] Hạtầng khóa công khai–Dong Manh Quan [4] Certificate Authority–Kỹthuật Viên (adsbygoogle = window.adsbygoogle || []).push({});