Trung tâm CA

Một phần của tài liệu Xây dựng mô hình trung tâm xác thực chứng chỉ số và ứng dụng trong việc trao đổi thông tin số của doanh nghiệp vừa và nhỏ (Trang 42)

a. Quá trình đăng ký và duyệt, cấp chứng chỉ

Khi nhận đƣợc yêu cầu đăng ký cấp chứng chỉ từ ngƣời dùng hoặc từ trung tâm CA cấp dƣới, hệ thống thực hiện các nghiệp vụ nhƣ sau:

+ Kiểm tra xem còn tài nguyên để cấp không?

+ Kiểm tra thông tin yêu cầu cấp chứng chỉ có hợp lệ không?

+ Tạo ra cặp khóa sử dụng cho yêu cầu (Private Key và Public Key) + Lƣu thông tin yêu cầu cấp chứng chỉ vào cơ sở dữ liệu

+ Tạo chứng chỉ số cho ngƣời yêu cầu

+ Lƣu một bản chứng chỉ ở kho lƣu trữ của hệ thống + Gửi chứng chỉ cho ngƣời yêu cầu.

Cụ thể các công việc nhƣ sau:

- Kiểm tra tài nguyên: Trong mô hình phân cấp, CA cấp trên quản lý CA cấp dƣới bằng cách cấp cho các CA cấp dƣới của nó một dải địa chỉ nào đó. Tài nguyên ở đây là chuỗi Serial (Mã số tài khoản chứng chỉ) mà nhà cung cấp này đƣợc phép cấp, nó giống nhƣ dải địa chỉ IP do nhà cung cấp dịch vụ Internet cấp.

- Kiểm tra thông tin người dùng: đó là những thông tin cá nhân về ngƣời đăng ký và xin cấp chứng chỉ, bao gồm họ tên, địa chỉ, email,…Những thông tin này đƣợc kiểm tra thông qua một số giấy tờ (CMTND) hoặc thông qua cơ quan quản lý của ngƣời đó.

-Tạo ra cặp khóa: Hệ thống sử dụng thuật toán RSA [1]

- Tạo chứng chỉ số : Chứng chỉ yêu cầu có 2 loại

Chứng chỉ cấp cho nhà cung cấp cấp dƣới: Ngoài các thông tin chung về chứng chỉ theo chuẩn X.509 nhƣ trên ta đã biết, ngƣời cấp còn bổ sung thêm thông tin về dải tài nguyên cho phép nhà cung cấp này cấp cho ngƣời sử dụng hoặc các nhà cung cấp mức thấp hơn.

Chứng chỉ cấp cho ngƣời sử dụng (End User): thông tin nhƣ chứng chỉ X.509, tất nhiên chứng chỉ ngƣời dùng không thể sử dụng cấp tiếp cho các thành viên khác hoặc nếu dùng hệ thống cấp chứng chỉ khác để cấp thì cũng không có giá trị sử dụng.

Quá trình tạo chữ ký chứng chỉ đƣợc thực hiện nhƣ trong hình dƣới đây:

Hnh 3 .1: Quá trình tạo chữ ký chứng chỉ[4]

B1. Chọn 2 số nguyên tố lớn p và q với p ≠ q B2. Tính n=pq và (n)=(p-1)(q-1)

B3. Chọn số b là nguyên tố cùng nhau với (n) và 1< b < (n) B4. Tính a sao cho ab 1 (mod (n))

Thành phần công khai bao gồm: n và b(khóa công khai) Thành phần bí mật bao gồm: p, q, a(khóa bí mật)

Toàn bộ quá trình đăng ký và duyệt cấp chứng chỉ đƣợc thể hiện bằng sơ đồ nghiệp vụ dƣới đây:

Hnh 3 .2. Lượcđồ đăng ký và duyệt cấp chứng chỉ

b. Thu hồi chứng chỉ

Thông thƣờng chứng chỉ sẽ hợp lệ trong khoảng thời gian có hiệu lực. Nhƣng trong một số trƣờng hợp chứng chỉ lại không hợp lệ trƣớc thời gian hết hạn, ví dụ nhƣ:

Khóa riêng của chủ thể bị xâm phạm

Thông tin chứa trong chứng chỉ bị thay đổi Khóa riêng của CA cấp chứng chỉ bị xâm phạm

Do đó, cần phải có một cơ chế cho phép ngƣời sử dụng chứng chỉ kiểm tra đƣợc trạng thái thu hồi chứng chỉ và cơ chế để thông báo đến những ngƣời sử dụng khác.

Một giải pháp đƣợc đƣa ra để thông báo đến ngƣời sử dụng về trạng thái của chứng chỉ là công bố danh sách chứng chỉ bị thu hồi (Certificate Revocation Lists –CRLs) định kỳ hoặc khi cần thiết.

Cơ chế thu hồi X.509 là sử dụng danh sách thu hồi chứng chỉ (CRLs). X.509 đƣa ra sự phân biệt giữa ngày, thời gian chứng chỉ bị CA thu hồi và ngày, thời gian trạng thái thu hồi đƣợc công bố đầu tiên. Ngày thu hồi thực sự đƣợc

ghi cùng với đầu vào chứng chỉ trong CRL. Ngày thông báo thu hồi đƣợc xác định trong header của CRL khi nó đƣợc công bố. Ngƣời sử dụng chứng chỉ có thể biết thƣ mục, kho lƣu trữ hay cơ chế để lấy đƣợc thông tin thu hồi dựa trên những thông tin cấu hình đƣợc thiết lập trong quá trình khởi sinh.

Certificate Revocation Lists (CRLs)

CRLs là cấu trúc dữ liệu đƣợc ký nhƣ chứng chỉ. CRLs chứa danh sách các chứng chỉ đã bị thu hồi và những thông tin cần thiết khác của ngƣời sử dụng. CRL thƣờng do một CA cấp. Những thông tin này đƣợc chứa trong trƣờng mở rộng CRLScope.

Hnh 3 .3: Khuôn dạng danh sách chứng chỉ bị thu hồi [3]

Trong đó:

Version number: Chỉ ra phiên bản của CRL

Signature: Nhận biết loại hàm băm và thuật toán ký đƣợc sử dụng danh sách thu hồi CRL

Issuer: tên của thực thể cấp và ký CRL

This Update: Chỉ ra ngày và thời gian CRL đƣợc công bố

Next Update: chỉ ra ngày và thời gian danh sách thu hồi kế tiếp đƣợc cấp

List of revoked certificates: Chứa danh sách cùng với serial của những chứng chỉ bị thu hồi

Những chứng chỉ đã bị CA thu hồi đƣợc ghi vào danh sách theo thứ tự của revokedCertificates. Mỗi đầu vào nhận biết chứng chỉ thông qua số serial và ngày thu hồi trên đó có ghi rõ thời gian và ngày khi chứng chỉ bị CA thu hồi.

Khi nhận đƣợc yêu cầu thu hồi một chứng chỉ, hệ thống thực hiện các nghiệp vụ nhƣ sau:

+ Đặt lại trạng thái chứng chỉ trong cơ sở dữ liệu + Cập nhật danh sách thu hồi chứng chỉ

+ Gửi yêu cầu cho dịch vụ (Service) thông báo cho nhà cung cấp cấp trên và các nhà cung cấp cấp dƣới về trạng thái của chứng chỉ.

Quá trình thu hồi chứng chỉ đƣợc thể hiện nhƣ lƣợc đồ dƣới đây:

Hnh 3.4: Lượcđồ thu hồi chứng chỉ

c.Xác thực chứng chỉ:

Khi nhận yêu cầu xác thực chứng chỉ hệ thống thực hiện các nghiệp vụ nhƣ sau:

- Đầu tiên, trung tâm CA mà nhận đƣợc yêu cầu xác thực từ ngƣời dùng sẽ tìm trong cơ sở dữ liệu của mình.

+Nếu có thông tin đƣợc yêu cầu thì tiến hành kiểm tra tính hợp lệ của chứng chỉ và trả lời ngƣời dùng.

+Nếu không có thì CA này sẽ gửi yêu cầu lên trung tâm cấp cao hơn theo mô hình phân cấp để nhờ xác thực. Sau đó kết quả sẽ đƣợc trả về theo đƣờng ngƣợc lại.

-Quá trình xác thực chứng chỉ chính là quá trình kiểm tra tính hợp lệ hay không hợp lệ của chứng chỉ. Thông tin cần kiểm tra bao gồm thời gian hiệu lực của chứng chỉ, chữ ký số của CA cấp chứng chỉ để đảm bảo chứng chỉ đúng là do CA của hệ thống cấp, đồng thời cũng cần đƣa ra đƣợc thông tin về chủ sở hữu của chứng chỉ nếu chứng chỉ là hợp lệ. Thuật toán kiểm tra chữ ký số của CA đƣợc chỉ ra trong hình dƣới đây:

Hnh 3.5: Quá trình kiểm tra chữ ký chứng chỉ [4]

Hnh 3.6: Minh họa quá trình xác thực chứng chỉ

Khi Client 1.1.2 thuộc cây phân cấp CA 1.1 muốn trao đổi thông tin với

Client 1.2.1.m thuộc cây phân cấp CA 1.2.1.1. Quá trình thực hiện nhƣ sau: - Client 1.1.2 gửi yêu cầu theo phân cấp để lấy thông tin. Bắt đầu từ Trung tâm CA 1.1. CA 1.1 tìm trong cơ sở dữ liệu của mình không có thông tin về

Client 1.2.1.m -> CA 1.1 sẽ gửi yêu cầu lên Trung tâm cấp cao hơn là CA 1 để nhờ xác thực.

- Trung tâm CA 1 là cấp cao nhất sẽ biết đƣợc chứng chỉ của Client 1.2.1.m

là do CA1.2 cấp. CA1 biết đƣợc điều này thông qua việc quản lý dải địa chỉ mà nó cấp phát cho các CA cấp dƣới. Mỗi chứng chỉ sẽ có một định danh duy nhất, đó chính là địa chỉ mà CA cấp cho nó, và định danh này đƣợc lƣu trong trƣờng serial number của chứng chỉ.

- Cứ tiếp tục nhƣ vậy, yêu cầu đƣợc gửi đến Trung tâm CA 1.2.1.1. CA này tìm trong CSDL của mình và biết rằng Client 1.2.1.m là do mình cấp và tiến hành kiểm tra thông tin trong cơ sở dữ liệu. Thông tin về Client 1.2.1.m và chứng chỉ của ngƣời này sẽ đƣợc gửi đến ngƣời yêu cầu ban đầu (Client 1.1.2)

theo đƣờng ngƣợc lại. Trong qúa trình gửi lên, thông tin sẽ đƣợc hệ thống lƣu lại tại từng cấp để phục vụ cho quá trình truy vấn về sau.

Hnh 3.7: Lược đồ xác thực chứng chỉ

Một phần của tài liệu Xây dựng mô hình trung tâm xác thực chứng chỉ số và ứng dụng trong việc trao đổi thông tin số của doanh nghiệp vừa và nhỏ (Trang 42)

Tải bản đầy đủ (PDF)

(59 trang)