Có nhiều hoạt động liên quan tới thẻ xác thực, các hoạt động đó được phân thành:
2.5.2.1. Đăng ký và xác thc ban đ"u
Trong quá trình này, trước tiên, EE phải thông báo cho CA hoặc RA biết về sự hiện diện của mình trong hệ thống. Đối tượng được thông báo có quyền ưu tiên cao hơn là CA sẽ cấp phát cho EE này một thẻ xác thực khi nó chấp nhận yêu cầu. Kết quả của quá trình này là một CA sẽ tạo ra một thẻ xác thực cho EE
ứng với khóa công khai mà EE này cung cấp khi đăng ký. Đồng thời, CA này cũng gửi thẻ xác thực này đến cho hệ thống lưu trữ. Trong một hệ PKI lớn, hệ
thống lưu trữ có vai trò quan trọng và có tính độc lập cao đối với CA.
Nếu xét một cách chi tiết, giai đoạn này gồm nhiều bước nhỏ hơn. Có thể, nó sẽ bao gồm cả công đoạn khởi tạo các công cụ của EE. Ví dụ, để có thểđược sử dụng trong công đoạn kiểm chứng đường dẫn đến các thẻ xác thực, các công cụ của EE phải được khởi tạo một cách an toàn với khóa công khai của một CA nào đó. Ngoài ra, một EE còn cần phải được khởi tạo với cặp khóa của chính nó.
2.5.2.2. Cp nht thông tin v c'p khóa
Mỗi đối tượng tham gia vào hệ thống PKI đều phải có một cặp khóa gồm khóa khóa công khai và khóa riêng. Tất cả các cặp khóa này cần phải được cập nhật một cách thường xuyên vì các cặp khóa này có thểđược thay bằng cặp khóa mới. Việc thay đổi thông tin của các cặp khóa này có thể là do chúng đã hết hạn sử dụng hoặc đã bị lộ.
Như vậy, đểđảm bảo tất cả các đối tượng có liên quan nắm được thông tin mới nhất về cặp khóa của mình, đối tượng sở hữu cặp khóa phải tạo các thông điệp cập nhật cặp khóa để gửi đến cho các đối tượng có liên quan.
2.5.2.3. Cp nht thông tin v th xác thc
Mỗi thẻ xác thực được cấp phát cho các đối tượng sử dụng chỉ có tác dụng trong một khoảng thời gian đã định. Khi các thẻ xác thực này hết hạn và
đối tượng sử dụng muốn tiếp tục có được thẻ xác thực của mình thì CA quản lý
đối tượng ấy sẽ tạo ra một thẻ xác thực mới cho đối tượng và phải làm nhiệm vụ
cập nhật thông tin về thẻ xác thực này. Trong trường hợp không có sự thay đổi nào về các tham số môi trường của hệ thống PKI, các CA có thể chỉ cần “làm tươi” các thẻ xác thực này.
2.5.2.4. Cp nht thông tin v c'p khóa ca CA
Cũng giống nhưđối với các EE, cặp khóa của CA cũng cần được cập nhật thường xuyên. Tuy nhiên, do vai trò và các mối liên hệ của CA trong hệ thống có nhiều khác biệt và phức tạp hơn nên ta cần phải có những cơ chế thích hợp để
thực hiện công việc này. Ví dụ, CA phải gửi được thông tin về cặp khóa công khai của mình tới tất cả các EE mà nó quản lý theo kiểu multicast. Ngoài ra, nó còn phải gửi thông tin này đến các CA khác có liên quan.
2.5.2.5. Yêu c"u xác thc ngang hàng
Khi diễn ra quá trình trao đổi thông tin giữa các CA ngang hàng, một CA có thể sẽ yêu cầu CA còn lại gửi cho mình một thẻ xác thực ngang hàng. Thẻ
xác thực ngang hàng này về bản chất cũng giống với các thẻ xác thực dành cho các EE. Trường subject của thẻ xác thực ngang hàng dùng để chỉ CA được cấp thẻ còn trường issuerđược dùng để chỉ CA cấp phát thẻ.
Trong các loại thẻ xác thực ngang hàng, ta phân ra làm hai loại như sau: Nếu hai CA thuộc về vùng quản lý khác nhau, ta có thẻ xác thực ngang hàng liên miền. Nếu hai CA thuộc cùng một vùng quản lý thì ta gọi đó là thẻ xác thực ngang hàng nội miền.
Đối với các thẻ xác thực ngang hàng, ta có một số chú ý sau:
Trong nhiều hệ thống PKI, nếu không có những định nghĩa chi tiết hơn, các thẻ xác thực ngang hàng thường hiểu là thẻ xác thực ngang hàng liên miền.
Việc phát hành các thẻ xác thực ngang hàng không nhất thiết phải được tiến hành ở cả hai CA. Nghĩa là có cả trường hợp một CA được xác thực bởi một CA khác mà không có theo chiều ngược lại.
2.5.2.6. Cp nht th xác thc ngang hàng
Việc cập nhật thẻ xác thực ngang hàng cũng giống với việc cập nhật thẻ
xác thực cho các đối tượng sử dụng. Tuy nhiên, các đối tượng có liên quan đến quá trình này chỉ là các CA.
2.5.3. Phát hành thẻ và danh sách thẻ bị hủy bỏ
Có những hoạt động của hệ thống quản lý PKI sẽ dẫn đến việc tạo ra các thẻ xác thực hoặc danh sách các thẻ xác thực bị hủy bỏ. Ta có hai hoạt động tiểu biểu thuộc loại này là: phát hành thẻ xác thực và phát hành danh sách thẻ xác thực bị hủy bỏ.
Khi CA phát hành một thẻ xác thực, trước tiên, nó cần phải dựa trên định dạng của thẻ xác thực cần cấp. Sau khi có được các thông tin về chính sách quản trị, CA sẽ tổ chức chúng theo định dạng đã biết, khi đó, thẻ xác thực đã hoàn thiện. Tuy nhiên, phát hành thẻ xác thực chỉ hoàn tất sau khi CA gửi thông tin về
thẻ xác thực này đến đối tượng sử dụng và lưu thẻ này vào hệ thống lưu trữ. Việc phát hành danh sách thẻ xác thực bị hủy bỏ cũng được tiến hành như (adsbygoogle = window.adsbygoogle || []).push({});
với danh sách thẻ xác thực. Tuy nhiên, thông tin về danh sách này chỉ được truyền cho hệ thống lưu trữ.
2.5.4. Các hoạt động phục hồi
Các hoạt động phục hồi được thực hiện khi các đối tượng sử dụng đánh mất thông tin mà nó lưu trữ. Ví dụ, như đã nêu ở phần trên, các đối tượng sử
dụng có thể có một số phương tiện lưu trữ an toàn cá nhân; khi phương tiện lưu trữ này bị hỏng thì nó cần phải nhờđến CA để phục hồi các thông tin bị mất.
Việc phục hồi thông tin chủ yếu được tập trung vào việc phục hồi các cặp khóa. Đối với các CA và RA, việc lưu trữ thông tin backup về khóa của các đối tượng là không bắt buộc. Khi các đối tượng cần phục hồi các cặp khóa của mình, ta cần phải có thêm một số giao thức chuyển đổi để hỗ trợ việc phục hồi khóa.
2.5.5. Các hoạt động hủy bỏ
Có một số hoạt động quản lý hệ thống PKI dẫn đến việc tạo một danh sách thẻ xác thực sẽ được hủy bỏ hoặc bổ sung những thẻ cần được hủy bỏ vào danh sách này. Ví dụ, một đối tượng đã được phân quyền trong hệ thống có thể
thông báo cho CA về một trạng thái không bình thường và cần phải có một số
yêu cầu hủy bỏ thẻ xác thực. Cụ thể, nếu ta phát hiện được một đối tượng đã
đăng ký để lấy thẻ xác thực có những biểu hiện không bình thường hoặc những thông tin do đối tượng này có một số bất hợp lý thì ta có thể báo cho CA biết và hủy bỏ thẻ xác thực đã cấp cho đối tượng sử dụng đó.
Đối với tất cả các hoạt động đã nêu trên, ta có một số lưu ý sau: Các giao thức làm việc theo chế độ on-line không phải là giải pháp duy nhất để thực hiện các hoạt động trên. Đối với tất cả các giao thức hoạt động theo chếđộ on-line, ta
2.6. NHỮNG VẤN ĐỀ CƠ BẢN TRONG XÂY DỰNG HỆ THỐNG PKI
Trong phần này, ta sẽ tìm hiểu những vấn đề liên quan tới việc triển khai hệ thống PKI trong thực tế. Các vấn đềđược đề cập bao gồm:
Các mô hình triển khai hệ thống PKI.
Những chức năng bắt buộc trong triển khai hệ thống PKI.
Việc tìm hiểu hai nội dung trên là cơ sở để ta thực hiện công đoạn phân tích thiết kế chi tiết trong khi triển khai hệ thống PKI. Sau đây, ta sẽ tìm hiểu hai nội dung trên.
2.6.1. Các mô hình tổ chức hệ thống CA
Hệ thống PKI khi được triển khai ở bất kỳ phạm vi nào đều cần có một kiến trúc phù hợp. Thông thường, ta dựa trên đặc điểm tổ chức của hệ thống các dịch vụ sử dụng PKI đểđịnh ra kiến trúc phù hợp. Sau đây, ta sẽ tìm hiểu những kiến trúc hệ thống PKI tiêu biểu.
2.6.1.1. Kin trúc phân cp
Trong kiến trúc này, các CA đều nằm dưới một CA gốc. CA gốc cấp các thẻ xác thực cho những CA thứ cấp hay các EE. Đến lượt các CA này lại cấp các thẻ xác thực cho những CA ở mức thấp hơn hoặc cho các EE.
CA gèc CA 3 EE CA 2 EE EE (A) CA 5 EE EE EE EE EE EE (B) CA 4 Hình 2-8 Kiến trúc PKI phân cấp
Trong mô hình này, tất cả các đối tượng trong hệ thống đều phải biết khóa công khai của CA gốc. Tất cả các thẻ xác thực đều có thểđược kiểm chứng bằng cách kiểm tra đường dẫn của thẻ xác thực đó đến CA gốc. Ví dụ, khi A muốn kiểm chứng thẻ xác thực của B, thẻ này do CA4 cấp, do vậy A kiểm tra thẻ
xác thực của CA4; thẻ xác thực của CA4 lại do CA2 cung cấp nên A lại kiểm tra thẻ xác thực của CA2; thẻ xác thực của CA2 là do CA gốc cung cấp. Vì A biết khóa công khai của CA gốc nên nó có thể kiểm chứng trực tiếp.
Như vậy, trong kiến trúc của hệ thống PKI này, tất cả các đối tượng đều dựa trên sự tin cậy đối với CA gốc duy nhất. Khóa công khai của CA gốc phải
được phân phát cho các đối tượng đã được xác thực đểđảm bảo sự tin cậy trong hệ thống. Sự tin cậy này được hình thành theo các cấp từ CA gốc đến các CA thứ cấp và đến các đối tượng sử dụng. Ta có một số đánh giá về kiến trúc hệ
thống PKI phân cấp như sau:
Những ưu điểm của kiến trúc PKI phân cấp
Cấu trúc hệ thống quản lý của hầu hết các tổ chức đều có dạng phân cấp. Các mối quan hệ trong mô hình phân cấp cũng khá giống với các quan hệ trong các tổ chức. Vì vậy, ta có thể coi các nhánh của quá trình xác thực đối tượng giống với các nhánh trong cấu trúc của tổ chức.
Kiến trúc phân cấp này cũng gần giống với hình thức phân cấp trong việc tổ
chức thư mục. Do vậy, ta có thể dễ dàng làm quen hơn. (adsbygoogle = window.adsbygoogle || []).push({});
Cách thức tìm ra một nhánh xác thực là theo một hướng nhất định, không có hiện tượng vòng lặp. Do vậy, quá trình xác thực được thực hiện đơn giản và nhanh chóng.
Tất cả các đối tượng sử dụng đều có nhánh xác thực hướng về CA gốc, do vậy, nêu một đối tượng sử dụng A cung cấp cho B thông tin về nhánh xác thực của mình thì B cũng có thể thực hiện xác thực theo hướng đó vì B cũng biết khóa công khai của CA gốc.
Những khuyết điểm của kiến trúc PKI phân cấp
Nếu ta áp dụng một mô hình phân cấp một cách cứng nhắc thì vẫn có một số nhược điểm như sau:
Trên một phạm vi lớn, không thể chỉ có một CA duy nhất đểđảm nhận tất cả các quá trình xác thực.
Các quan hệ kinh doanh, thương mại không phải lúc nào cũng có dạng phân cấp. Khi khóa riêng của CA gốc bị tiết lộ thì toàn bộ hệ thống sẽ bị nguy hiểm. Nếu có khắc phục bằng cách thay cặp khóa mới thì thông tin về khóa công khai của CA gốc phải được truyền đến cho tất cả các đối tượng trong hệ thống. Điều này
đòi hỏi thời gian và một lưu lượng truyền thông rất lớn.
Trong các hệ thống ban đầu được triển khai, mô hình phân cấp đã được
ưu tiên sử dụng. Tuy nhiên, phiên bản 3.0 của các thẻ xác thực đã có những phần mở rộng hỗ trợ quá trình xác thực không theo mô hình phân cấp. Do vậy, mô hình phân cấp ngày càng ít được sử dụng.
2.6.1.2. Kin trúc h thng PKI mng li
Trong kiến trúc này, việc các CA thực hiện xác thực ngang hàng đã tạo nên một mạng lưới các mối quan hệ tin cậy lẫn nhau giữa các CA ngang hàng. Các đối tượng nắm được khóa công khai của CA nằm “gần” mình nhất. Thông thường, đây là CA cấp cho đối tượng đó thẻ xác thực. Các đối tượng kiểm chứng một thẻ xác thực bằng cách kiểm tra quá trình xác thực với đích là CA đã phát hành thẻ xác thực đó.
Các CA sẽ xác thực ngang hàng bằng cách phát hành cho nhau những thẻ
xác thực, những cặp thẻ xác thực này được kết hợp và lưu trong một cấu trúc dữ
liệu có tên: CrossCertificatePair. Trong sơ đồ dưới đây, A có thể xác thực B theo nhiều nhánh khác nhau. Theo nhánh ngắn nhất, B được CA4 cấp thẻ xác thực nên nó được xác thực bở CA4. CA4 được xác thực ngang hàng bởi CA5 và CA5 lại được xác thực ngang hàng bởi CA3. A được CA3 cấp phát thẻ xác thực và biết được khóa công khai của CA3 nên nó có thể xác thực trực tiếp với CA3.
EE EE CA 1 CA 2 CA 5 CA 4 EE EE CA gèc (CA3) EE (A) EE EE EE EE (B) EE EE Hình 2-9 Kiến trúc PKI mạng lưới Ưu điểm của kiến trúc PKI mạng lưới
Đây là một kiến trúc linh động, nó thích hợp với các mối liên hệ và mối quan hệ tin cậy lẫn nhau trong thực tế của công việc kinh doanh.
Một đối tượng sử dụng ít nhất phải tin cậy CA cấp phát thẻ xác thực cho nó. Có thể coi đây là cơ sởđể tạo nên tất cả các mối quan hệ tin tưởng lẫn nhau.
Các CA có thể xa nhau trong mô hình tổ chức nhưng những đối tượng sử
dụng của nó lại làm việc cùng nhau với mức ưu tiên cao có thể xác thực ngang hàng theo một cách thức có độ ưu tiên cao. Độ ưu tiên này chỉ được giới hạn trong phạm vi của các CA này.
Kiến trúc này cho phép các CA có thể xác thực ngang hàng một cách trực tiếp trong trường hợp các đối tượng sử dụng của chúng liên lạc với nhau thường xuyên để giảm tải lượng đường truyền và thao tác xử lý.
Việc khôi phục hệ thống do khóa riêng của một CA bị tiết lộ sẽ chỉ gồm việc phân phát một cách an toàn khóa công khai mới của CA đến các đối tượng mà CA này cấp phát thẻ xác thực.
Nhược điểm của mô hình PKI mạng lưới
Do cấu trúc của mạng có thể rất phức tạp nên việc tìm kiếm các đối tượng rất khó khăn. Trong trường hợp có nhiều đường truyền đến một đối tượng khác thì bài toán tìm đường đi ngắn nhất đến đối tượng đó có thể rất phức tạp.
Một đối tượng không thểđưa ra một nhánh xác thực duy nhất mà có thể đảm bảo tất cả các đối tượng khác trong hệ thống có thể thực hiện được.
2.6.1.3. Kin trúc danh sách tin cy
Đây là kiến trúc được áp dụng rộng rãi đối với dịch vụ Web. Trong đó, các trình duyệt và các máy chủ là những đối tượng sử dụng tiêu biểu nhất. Trong mô hình này, các trình duyệt đều lưu một file riêng chứa các thẻ xác thực gốc của các CA được tin cậy. File này tồn tại ngay khi trình duyệt được cài đặt. Việc quản lý file này có thể được thực hiện bởi các cá nhân sử dụng trình duyệt. Các tổ chức cũng có thể cấp quyền cho việc tải hoặc quản lý các thông tin từ một máy chủ của tổ chức. Đối với mỗi file này, người sử dụng có thể bổ sung hoặc xóa bớt những thẻ xác thực khỏi danh sách. Tuy nhiên, khả năng xử lý cách nhánh xác thực của các ứng dụng hiện còn khá hạn chế.