CÁC HOẠT ĐỘNG CƠ BẢN TRONG HỆ THỐNG PKI

Một phần của tài liệu Chữ ký số trong thẻ thông minh và ứng dụng xác thực (Trang 97)

2.5.1. Mô hình tng quát ca h thng PKI

Trong sơđồ dưới đây là các đối tượng của hệ thống PKI và mối quan hệ

giữa chúng trên cơ sở các hoạt động quản lý PKI. Mối liên hệ được thể hiện bằng các thông điệp được truyền đi giữa các đối tượng trong hệ thống.

RA §¨ng t¶i thÎ x¸c nhËn Thu thËp th«ng tin "out-of-band" §¨ng ký/x¸c thùc ban ®Çu

Kh«i phôc cÆp kho¸ CËp nhËt cÆp kho¸ CËp nhËt thÎ x¸c nhËn

Yªu cÇu huû bá

Ph¸t hµnh thÎ x¸c nhËn Ph¸t hµnh danh s¸ch thÎ cÇn huû bá Ph¸t hµnh thÎ x¸c nhËn Ph¸t hµnh th«ng tin "out-of-band" X¸c nhËn ngang hµng CËp nhËt thÎ x¸c nhËn ngang hµng §èi t−îng sö dông HÖ thèng l−u tr÷ CA1 CA2

Hình 2-7 Các đối tượng và hot động cơ bn trong h thng PKI

Dựa trên các thông điệp được định nghĩa (sẽ được trình bày chi tiết trong các phần sau) và xét ở một mức khái quát, các hoạt động của hệ thống quản lý PKI có thểđược phân thành các nhóm sau:

2.5.1.1. Thit lp các th xác thc

Các thẻ xác thực được tạo ra trên cơ sở một số thông tin cơ bản (đối tượng phát hành, đối tượng sử dụng, thuật toán tạo chữ ký số, thời hạn lưu hành…) và một số thông tin mở rộng. Song song với quá trình tạo ra một thẻ xác thực mới, ta cũng cần tiến hành một số bước phụ trợ. Ta có thể kểđến việc tạo lập hoặc cập nhật danh sách các thẻ bị hủy bỏ, việc đăng tải thông tin về khóa công khai của CA, lưu thẻ xác thực vừa tạo được….

2.5.1.2. Kh%i to các EE

Quá trình này đòi hỏi một số bước cơ bản như sau: Trước tiên, đối tượng này phải thu thập được thông tin về khóa công khai của CA gốc. Điều này giúp cho các thông điệp được truyền đi giữa đối tượng đó và CA gốc được đảm bảo an toàn và cũng là một phương thức để xác thực EE Sau đó, EE phải thu thập thông tin về các tùy chọn được hỗ trợ bởi đối tượng quản lý PKI. Điều này rất quan trọng vì nó ảnh hưởng đến giao thức hoạt động và các thông điệp mà EE truyền đi hay nhận về.

2.5.2. Các hot động liên quan đến th xác thc

Có nhiều hoạt động liên quan tới thẻ xác thực, các hoạt động đó được phân thành:

2.5.2.1. Đăng ký và xác thc ban đ"u

Trong quá trình này, trước tiên, EE phải thông báo cho CA hoặc RA biết về sự hiện diện của mình trong hệ thống. Đối tượng được thông báo có quyền ưu tiên cao hơn là CA sẽ cấp phát cho EE này một thẻ xác thực khi nó chấp nhận yêu cầu. Kết quả của quá trình này là một CA sẽ tạo ra một thẻ xác thực cho EE

ứng với khóa công khai mà EE này cung cấp khi đăng ký. Đồng thời, CA này cũng gửi thẻ xác thực này đến cho hệ thống lưu trữ. Trong một hệ PKI lớn, hệ

thống lưu trữ có vai trò quan trọng và có tính độc lập cao đối với CA.

Nếu xét một cách chi tiết, giai đoạn này gồm nhiều bước nhỏ hơn. Có thể, nó sẽ bao gồm cả công đoạn khởi tạo các công cụ của EE. Ví dụ, để có thểđược sử dụng trong công đoạn kiểm chứng đường dẫn đến các thẻ xác thực, các công cụ của EE phải được khởi tạo một cách an toàn với khóa công khai của một CA nào đó. Ngoài ra, một EE còn cần phải được khởi tạo với cặp khóa của chính nó.

2.5.2.2. Cp nht thông tin v c'p khóa

Mỗi đối tượng tham gia vào hệ thống PKI đều phải có một cặp khóa gồm khóa khóa công khai và khóa riêng. Tất cả các cặp khóa này cần phải được cập nhật một cách thường xuyên vì các cặp khóa này có thểđược thay bằng cặp khóa mới. Việc thay đổi thông tin của các cặp khóa này có thể là do chúng đã hết hạn sử dụng hoặc đã bị lộ.

Như vậy, đểđảm bảo tất cả các đối tượng có liên quan nắm được thông tin mới nhất về cặp khóa của mình, đối tượng sở hữu cặp khóa phải tạo các thông điệp cập nhật cặp khóa để gửi đến cho các đối tượng có liên quan.

2.5.2.3. Cp nht thông tin v th xác thc

Mỗi thẻ xác thực được cấp phát cho các đối tượng sử dụng chỉ có tác dụng trong một khoảng thời gian đã định. Khi các thẻ xác thực này hết hạn và

đối tượng sử dụng muốn tiếp tục có được thẻ xác thực của mình thì CA quản lý

đối tượng ấy sẽ tạo ra một thẻ xác thực mới cho đối tượng và phải làm nhiệm vụ

cập nhật thông tin về thẻ xác thực này. Trong trường hợp không có sự thay đổi nào về các tham số môi trường của hệ thống PKI, các CA có thể chỉ cần “làm tươi” các thẻ xác thực này.

2.5.2.4. Cp nht thông tin v c'p khóa ca CA

Cũng giống nhưđối với các EE, cặp khóa của CA cũng cần được cập nhật thường xuyên. Tuy nhiên, do vai trò và các mối liên hệ của CA trong hệ thống có nhiều khác biệt và phức tạp hơn nên ta cần phải có những cơ chế thích hợp để

thực hiện công việc này. Ví dụ, CA phải gửi được thông tin về cặp khóa công khai của mình tới tất cả các EE mà nó quản lý theo kiểu multicast. Ngoài ra, nó còn phải gửi thông tin này đến các CA khác có liên quan. (adsbygoogle = window.adsbygoogle || []).push({});

2.5.2.5. Yêu c"u xác thc ngang hàng

Khi diễn ra quá trình trao đổi thông tin giữa các CA ngang hàng, một CA có thể sẽ yêu cầu CA còn lại gửi cho mình một thẻ xác thực ngang hàng. Thẻ

xác thực ngang hàng này về bản chất cũng giống với các thẻ xác thực dành cho các EE. Trường subject của thẻ xác thực ngang hàng dùng để chỉ CA được cấp thẻ còn trường issuerđược dùng để chỉ CA cấp phát thẻ.

Trong các loại thẻ xác thực ngang hàng, ta phân ra làm hai loại như sau: Nếu hai CA thuộc về vùng quản lý khác nhau, ta có th xác thc ngang hàng liên min. Nếu hai CA thuộc cùng một vùng quản lý thì ta gọi đó là th xác thc ngang hàng ni min.

Đối với các thẻ xác thực ngang hàng, ta có một số chú ý sau:

Trong nhiều hệ thống PKI, nếu không có những định nghĩa chi tiết hơn, các thẻ xác thực ngang hàng thường hiểu là thẻ xác thực ngang hàng liên miền.

Việc phát hành các thẻ xác thực ngang hàng không nhất thiết phải được tiến hành ở cả hai CA. Nghĩa là có cả trường hợp một CA được xác thực bởi một CA khác mà không có theo chiều ngược lại.

2.5.2.6. Cp nht th xác thc ngang hàng

Việc cập nhật thẻ xác thực ngang hàng cũng giống với việc cập nhật thẻ

xác thực cho các đối tượng sử dụng. Tuy nhiên, các đối tượng có liên quan đến quá trình này chỉ là các CA.

2.5.3. Phát hành th và danh sách th b hy b

Có những hoạt động của hệ thống quản lý PKI sẽ dẫn đến việc tạo ra các thẻ xác thực hoặc danh sách các thẻ xác thực bị hủy bỏ. Ta có hai hoạt động tiểu biểu thuộc loại này là: phát hành thẻ xác thực và phát hành danh sách thẻ xác thực bị hủy bỏ.

Khi CA phát hành một thẻ xác thực, trước tiên, nó cần phải dựa trên định dạng của thẻ xác thực cần cấp. Sau khi có được các thông tin về chính sách quản trị, CA sẽ tổ chức chúng theo định dạng đã biết, khi đó, thẻ xác thực đã hoàn thiện. Tuy nhiên, phát hành thẻ xác thực chỉ hoàn tất sau khi CA gửi thông tin về

thẻ xác thực này đến đối tượng sử dụng và lưu thẻ này vào hệ thống lưu trữ. Việc phát hành danh sách thẻ xác thực bị hủy bỏ cũng được tiến hành như

với danh sách thẻ xác thực. Tuy nhiên, thông tin về danh sách này chỉ được truyền cho hệ thống lưu trữ.

2.5.4. Các hot động phc hi

Các hoạt động phục hồi được thực hiện khi các đối tượng sử dụng đánh mất thông tin mà nó lưu trữ. Ví dụ, như đã nêu ở phần trên, các đối tượng sử

dụng có thể có một số phương tiện lưu trữ an toàn cá nhân; khi phương tiện lưu trữ này bị hỏng thì nó cần phải nhờđến CA để phục hồi các thông tin bị mất.

Việc phục hồi thông tin chủ yếu được tập trung vào việc phục hồi các cặp khóa. Đối với các CA và RA, việc lưu trữ thông tin backup về khóa của các đối tượng là không bắt buộc. Khi các đối tượng cần phục hồi các cặp khóa của mình, ta cần phải có thêm một số giao thức chuyển đổi để hỗ trợ việc phục hồi khóa.

2.5.5. Các hot động hy b

Có một số hoạt động quản lý hệ thống PKI dẫn đến việc tạo một danh sách thẻ xác thực sẽ được hủy bỏ hoặc bổ sung những thẻ cần được hủy bỏ vào danh sách này. Ví dụ, một đối tượng đã được phân quyền trong hệ thống có thể

thông báo cho CA về một trạng thái không bình thường và cần phải có một số

yêu cầu hủy bỏ thẻ xác thực. Cụ thể, nếu ta phát hiện được một đối tượng đã

đăng ký để lấy thẻ xác thực có những biểu hiện không bình thường hoặc những thông tin do đối tượng này có một số bất hợp lý thì ta có thể báo cho CA biết và hủy bỏ thẻ xác thực đã cấp cho đối tượng sử dụng đó.

Đối với tất cả các hoạt động đã nêu trên, ta có một số lưu ý sau: Các giao thức làm việc theo chế độ on-line không phải là giải pháp duy nhất để thực hiện các hoạt động trên. Đối với tất cả các giao thức hoạt động theo chếđộ on-line, ta

2.6. NHNG VN ĐỀ CƠ BN TRONG XÂY DNG H THNG PKI

Trong phần này, ta sẽ tìm hiểu những vấn đề liên quan tới việc triển khai hệ thống PKI trong thực tế. Các vấn đềđược đề cập bao gồm:

Các mô hình triển khai hệ thống PKI.

Những chức năng bắt buộc trong triển khai hệ thống PKI.

Việc tìm hiểu hai nội dung trên là cơ sở để ta thực hiện công đoạn phân tích thiết kế chi tiết trong khi triển khai hệ thống PKI. Sau đây, ta sẽ tìm hiểu hai nội dung trên. (adsbygoogle = window.adsbygoogle || []).push({});

2.6.1. Các mô hình t chc h thng CA

Hệ thống PKI khi được triển khai ở bất kỳ phạm vi nào đều cần có một kiến trúc phù hợp. Thông thường, ta dựa trên đặc điểm tổ chức của hệ thống các dịch vụ sử dụng PKI đểđịnh ra kiến trúc phù hợp. Sau đây, ta sẽ tìm hiểu những kiến trúc hệ thống PKI tiêu biểu.

2.6.1.1. Kin trúc phân cp

Trong kiến trúc này, các CA đều nằm dưới một CA gốc. CA gốc cấp các thẻ xác thực cho những CA thứ cấp hay các EE. Đến lượt các CA này lại cấp các thẻ xác thực cho những CA ở mức thấp hơn hoặc cho các EE.

CA gèc CA 3 EE CA 2 EE EE (A) CA 5 EE EE EE EE EE EE (B) CA 4 Hình 2-8 Kiến trúc PKI phân cp

Trong mô hình này, tất cả các đối tượng trong hệ thống đều phải biết khóa công khai của CA gốc. Tất cả các thẻ xác thực đều có thểđược kiểm chứng bằng cách kiểm tra đường dẫn của thẻ xác thực đó đến CA gốc. Ví dụ, khi A muốn kiểm chứng thẻ xác thực của B, thẻ này do CA4 cấp, do vậy A kiểm tra thẻ

xác thực của CA4; thẻ xác thực của CA4 lại do CA2 cung cấp nên A lại kiểm tra thẻ xác thực của CA2; thẻ xác thực của CA2 là do CA gốc cung cấp. Vì A biết khóa công khai của CA gốc nên nó có thể kiểm chứng trực tiếp.

Như vậy, trong kiến trúc của hệ thống PKI này, tất cả các đối tượng đều dựa trên sự tin cậy đối với CA gốc duy nhất. Khóa công khai của CA gốc phải

được phân phát cho các đối tượng đã được xác thực đểđảm bảo sự tin cậy trong hệ thống. Sự tin cậy này được hình thành theo các cấp từ CA gốc đến các CA thứ cấp và đến các đối tượng sử dụng. Ta có một số đánh giá về kiến trúc hệ

thống PKI phân cấp như sau:

Nhng ưu đim ca kiến trúc PKI phân cp

Cấu trúc hệ thống quản lý của hầu hết các tổ chức đều có dạng phân cấp. Các mối quan hệ trong mô hình phân cấp cũng khá giống với các quan hệ trong các tổ chức. Vì vậy, ta có thể coi các nhánh của quá trình xác thực đối tượng giống với các nhánh trong cấu trúc của tổ chức.

Kiến trúc phân cấp này cũng gần giống với hình thức phân cấp trong việc tổ

chức thư mục. Do vậy, ta có thể dễ dàng làm quen hơn.

Cách thức tìm ra một nhánh xác thực là theo một hướng nhất định, không có hiện tượng vòng lặp. Do vậy, quá trình xác thực được thực hiện đơn giản và nhanh chóng.

Tất cả các đối tượng sử dụng đều có nhánh xác thực hướng về CA gốc, do vậy, nêu một đối tượng sử dụng A cung cấp cho B thông tin về nhánh xác thực của mình thì B cũng có thể thực hiện xác thực theo hướng đó vì B cũng biết khóa công khai của CA gốc.

Nhng khuyết đim ca kiến trúc PKI phân cp

Nếu ta áp dụng một mô hình phân cấp một cách cứng nhắc thì vẫn có một số nhược điểm như sau:

Trên một phạm vi lớn, không thể chỉ có một CA duy nhất đểđảm nhận tất cả các quá trình xác thực.

Các quan hệ kinh doanh, thương mại không phải lúc nào cũng có dạng phân cấp. Khi khóa riêng của CA gốc bị tiết lộ thì toàn bộ hệ thống sẽ bị nguy hiểm. Nếu có khắc phục bằng cách thay cặp khóa mới thì thông tin về khóa công khai của CA gốc phải được truyền đến cho tất cả các đối tượng trong hệ thống. Điều này

đòi hỏi thời gian và một lưu lượng truyền thông rất lớn.

Trong các hệ thống ban đầu được triển khai, mô hình phân cấp đã được

ưu tiên sử dụng. Tuy nhiên, phiên bản 3.0 của các thẻ xác thực đã có những phần mở rộng hỗ trợ quá trình xác thực không theo mô hình phân cấp. Do vậy, mô hình phân cấp ngày càng ít được sử dụng.

2.6.1.2. Kin trúc h thng PKI mng li

Trong kiến trúc này, việc các CA thực hiện xác thực ngang hàng đã tạo nên một mạng lưới các mối quan hệ tin cậy lẫn nhau giữa các CA ngang hàng. Các đối tượng nắm được khóa công khai của CA nằm “gần” mình nhất. Thông thường, đây là CA cấp cho đối tượng đó thẻ xác thực. Các đối tượng kiểm chứng một thẻ xác thực bằng cách kiểm tra quá trình xác thực với đích là CA đã phát hành thẻ xác thực đó.

Các CA sẽ xác thực ngang hàng bằng cách phát hành cho nhau những thẻ

xác thực, những cặp thẻ xác thực này được kết hợp và lưu trong một cấu trúc dữ

liệu có tên: CrossCertificatePair. Trong sơ đồ dưới đây, A có thể xác thực B theo nhiều nhánh khác nhau. Theo nhánh ngắn nhất, B được CA4 cấp thẻ xác thực nên nó được xác thực bở CA4. CA4 được xác thực ngang hàng bởi CA5 và CA5 lại được xác thực ngang hàng bởi CA3. A được CA3 cấp phát thẻ xác thực và biết được khóa công khai của CA3 nên nó có thể xác thực trực tiếp với CA3.

EE EE CA 1 CA 2 CA 5 CA 4 EE EE CA gèc (CA3) EE (A) EE EE EE EE (B) EE EE Hình 2-9 Kiến trúc PKI mng lưới Ưu đim ca kiến trúc PKI mng lưới

Đây là một kiến trúc linh động, nó thích hợp với các mối liên hệ và mối quan hệ tin cậy lẫn nhau trong thực tế của công việc kinh doanh. (adsbygoogle = window.adsbygoogle || []).push({});

Một đối tượng sử dụng ít nhất phải tin cậy CA cấp phát thẻ xác thực cho

Một phần của tài liệu Chữ ký số trong thẻ thông minh và ứng dụng xác thực (Trang 97)

(168 trang)