- Học viên Đậu Xuân Doanh DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT CA Certificate Authority: Tổ chức cấp phát thẻ chứng thực số CDS Certificate Distribution System: Hệ thống phân phối thẻ CRL Certificate Revocation List: Danh sách các chứng chỉ bị thu hồi DC Digital certificates: Thẻ chứng thực số HSSV Học sinh, Sinh viên PKI Publish Key Infrastructure: Hạ tầng mật mã khóa công khai RA Registration Authority: Trung tâm đăng ký chứng thực số DANH SÁCH CÁC HÌNH VẼ, CÁC BIỂU BẢNG Hình 1.1 Mô hình kê khai thuế qua mạng với iHTKK Hình 1.2 Mô hình dich vụ hệ thống thanh toán thương mại điện tử quốc gia KeyPay. - Hình 3.4 Mô hình đảm bảo tính xác thực thông tin trong quản lý chế độ chính sách. - Hình 3.5 Mô hình đảm bảo tính xác thực thông tin trong quản lý khen thưởng, kỷ luật.. - Hình 3.6 Mô hình đảm bảo tính xác thực thông tin trong quản lý thôi học, bảo lưu kết quả. - Thực thể cuối (người giữ chứng chỉ và Clients. - Quản lý nhập học. - Xây dựng hệ thống cấp phát chứng chỉ. - Các dịch vụ chứng chỉ CA Windows Server 2003 cung cấp. - Cấp phát và quản lý các chứng chỉ số. - Phương pháp mã hóa và bảo mật phổ biến nhất đang được thế giới áp dụng là chứng chỉ số (Digital Certificate). - Với những chứng chỉ số, người sử dụng có thể mã hóa thông tin một cách hiệu quả, chống giả mạo (cho phép người nhận kiểm tra thông tin có bị thay đổi không), xác thực danh tính của người gửi. - Ngoài ra chứng chỉ số còn là bằng chứng giúp chống cãi nguồn gốc, ngăn chặn người gửi chối cãi nguồn gốc tài liệu mình đã gửi. - Nền tảng khóa công khai cung cấp một chứng chỉ số, dùng để xác minh một cá nhân hoặc một tổ chức, các dịch vụ danh mục có thể lưu trữ và khi cần có thể thu hồi các chứng chỉ số. - Chứng chỉ số Chứng chỉ số là một tập tin giúp chắc chắn rằng khóa công khai thuộc về một thực thể nào đó như người dùng, tổ chức, máy tính và điều này được xác minh bởi một bên thứ ba đáng tin cậy thường gọi là CA (Certificate Authorities). - Chứng chỉ số chứa các thông tin nhận dạng về thực thể như tên, địa chỉ, khóa công khai (cùng nhiều thông tin khác) và được ký số bởi khóa bí mật của CA. - Chức năng cập nhật thông tin người nộp thuế. - Xây dựng hệ thống quản lý HSSV dựa trên cơ sở hạ tầng mã hóa khóa công khai. - Certificate Authority : Tổ chức chứng thực CA Trong hạ tầng cơ sở khóa công khai, chứng chỉ có vai trò gắn kết giữa định danh với khóa công khai. - Một CA là một thực thể PKI có trách nhiệm cấp chứng chỉ cho các thực thể khác trong hệ thống. - Thông thường CA thực hiện chức năng xác thực bằng cách cấp chứng chỉ cho các CA khác và thực thể cuối (người giữ chứng chỉ) trong hệ thống. - Nếu CA nằm ở đỉnh của mô hình phân cấp PKI và chỉ cấp chứng chỉ cho những CA ở mức thấp hơn thì chứng chỉ này được gọi là chứng chỉ gốc „„root certificate. - Xác thực cá nhân, chủ thể đăng ký chứng chỉ. - Xác định quyền của chủ thể đối với những thuộc tính chứng chỉ được yêu cầu. - Nhìn chung RA xử lý việc trao đổi giữa chủ thể thực thể cuối và quá trình đăng ký, phân phối chứng chỉ và quản lý vòng đời chứng chỉ/khóa. - Chỉ CA mới có thể cung cấp chứng chỉ hay đưa ra thông tin trạng thái thu hồi chứng chỉ CRL. - Hệ thống lưu trữ (Repositories) Chứng chỉ (khóa công) và thông tin thu hồi chứng chỉ phải được phân phối sao cho những người cần đến chứng chỉ đều có thể truy cập và lấy được. - Có 2 phương pháp phân phối chứng chỉ : 2.1.4.1. - Trong phương pháp này thì mỗi cá nhân sẽ trực tiếp đưa ra chứng chỉ của họ cho người dùng khác. - Việc này có thể thực hiện theo một số cơ chế khác nhau, như chuyển giao bằng tay chứng chỉ được lưu trữ trong đĩa mềm hay một số môi trường lưu trữ khác. - Cũng có thể phân phối bằng cách gắn chứng chỉ trong Email để gửi cho người khác. - Phân phối khóa Một phương pháp cũng khá phổ biến là phân phối khóa, phân phối chứng chỉ và thông tin thu hồi chứng chỉ là công bố các chứng chỉ rộng rãi, các chứng chỉ này có thể sử dụng một cách công khai và được đặt ở vị trí có thể truy cập dễ dàng. - Thẻ chứng thực số chứa các thông tin sau. - Tổ chức chứng thực (CA) tạo ra cặp khóa công khai/khóa bí mật và tạo ra chứng chỉ cho phần khóa công khai của cặp khóa. - Người sử dụng tự tạo ra cặp khóa và đưa khóa công khai cho CA để CA tạo chứng chỉ cho khóa công khai đó. - Chứng chỉ đảm bảo tính toàn vẹn của khóa công khai và các thông tin gắn cùng. - Thẩm tra (Verification) Quá trình xác liệu chứng chỉ đã đưa ra có thể được sử dụng đúng mục đích thích hợp hay không được xem là quá trình kiểm tra tính hiệu lực của chứng chỉ. - Kiểm tra liệu có đúng là CA được tin tưởng đã ký số lên chứng chỉ hay không (xử lý theo đường dẫn chứng chỉ. - Kiểm tra chữ ký số của CA trên chứng chỉ để kiểm tra tính toàn vẹn. - 19 - Xác định xem chứng chỉ còn trong thời gian hiệu lực hay không. - Xác định xem chứng chỉ bị thu hồi hay chưa. - Xác định xem chứng chỉ đang được sử dụng có đúng mục đích, chính sách, giới hạn hay không (bằng cách kiểm tra các trường mở rộng cụ thể như mở rộng chính sách chứng chỉ hay việc mở rộng việc sử dụng khóa). - Đăng ký Đăng ký là quá trình đến hoặc liên lạc với các tổ chức, trung tâm tin cậy để đăng ký các thông tin và xin cấp chứng chỉ. - Nếu chứng chỉ được cung cấp với mục đích dùng cho những hoạt động bí mật thì sử dụng phương pháp gặp mặt trực tiếp. - Nếu chứng chỉ chỉ được sử dụng cho những mục đích, hoạt động thường thì có thể đăng ký qua những ứng dụng viết sẵn hoặc ứng dụng điện tử. - Những thông tin này có thể là khóa công khai của CA, chứng chỉ của CA, cặp khóa công khai/bí mật của chủ thể. - Hạn chế sử dụng và cập nhật khóa Một trong những thuộc tính của chứng chỉ là thời gian hiệu lực. - Chứng chỉ mới sẽ được người cấp công bố tự động sau thời gian hết hạn. - Và trong trường hợp này thì CA sẽ công bố lại tất cả các chứng chỉ với CA- Certificate mới của mình. - Thu hồi Chứng chỉ được công bố sẽ được sử dụng trong trong khoảng thời gian có hiệu lực. - Nhưng trong trường hợp khóa bị xâm hại hay có sự thay đổi trong thông tin của chứng chỉ thì chứng chỉ sẽ được công bố, chứng chỉ cũ sẽ bị thu hồi. - Công bố và gửi thông báo thu hồi chứng chỉ Một chứng chỉ được cấp cho người sử dụng cuối sẽ được gửi đến cho người nắm giữ và hệ thống lưu trữ để có thể truy cập công khai. - Khi một chứng chỉ bị thu hồi vì một lý do nào đó, tất cả người sử dụng trong hệ thống sẽ được thông báo về việc này. - Xác thực chéo được thiết lập bằng cách tạo ra chứng chỉ CA xác thực (CA-certificate) lẫn nhau. - CA - 1 và CA - 2 sẽ sử dụng những trường mở rộng xác định trong chứng chỉ để đặt những giới hạn cần thiết trong CA - certificate. - Mọi thực thể muốn tham gia vào PKI và xin cấp chứng chỉ đều phải thông qua CA duy nhất này. - Cuối cùng, nếu nó bị xâm hại thì nguy hại tới độ tin cậy của toàn bộ hệ thống và tất cả các chứng chỉ số phải được cấp lại một khi CA này được phục hồi. - CA và cấp trên của chúng thông qua việc CA cấp trên sẽ cấp các chứng chỉ cho các sub. - Lưu ý, Root CA không trực tiếp cấp chứng chỉ số cho các thực thể mà chúng sẽ được cấp bởi các sub CA. - Trường hợp một sub CA bị thỏa hiệp thì CA cấp trên của nó sẽ thu hồi chứng chỉ đã cấp cho nó và chỉ khi sub CA đó được khôi phục thì nó mới có thể cấp lại các chứng chỉ mới cho người dùng của nó. - Cuối cùng, CA cấp trên sẽ cấp lại cho nó một chứng chỉ mới. - Khi đó tất cả các thực thể cần được thông báo về sự cố và cho đến khi root CA được phục hồi và các chứng chỉ mới được cấp lại thì không một phiên truyền thông nào là an toàn cả. - Tất cả người dùng trong mạng lưới có thể tin cậy chỉ một CA bất kỳ, không nhất thiết hai hay nhiều người dùng phải cùng tin một CA nào đó và người dùng tin cậy CA nào thì sẽ nhận chứng chỉ do CA đó cấp Hình 2.5. - 24 Các CA trong mô hình này sau đó sẽ cấp các chứng chỉ cho nhau. - Khi hai CA cấp chứng chỉ cho nhau thì một sự tin cậy hai chiều được thiết lập giữa hai CA đó. - Các CA còn lại sẽ thu hồi chứng chỉ mà chúng đã cấp cho CA bị xâm hại và chỉ khi CA đó khôi phục hoạt động thì nó mới có khả năng cấp mới các chứng chỉ cho người dùng rồi thiết lập trust với các CA còn lại trong mạng lưới. - Quản lý nhập học Hình 3.2. - Mô hình đảm bảo tính xác thực thông tin trong quản lý nội, ngoại trú. - Mô hình đảm bảo tính xác thực thông tin trong quản lý chế độ chính sách. - Mô hình đảm bảo tính xác thực thông tin trong quản lý khen thưởng, kỷ luật. - Mô hình đảm bảo tính xác thực thông tin trong quản lý thôi học, bảo lưu kết quả. - Xây dựng hệ thống cấp phát chứng chỉ 4.1.1. - Các dịch vụ chứng chỉ CA Windows Server 2003 cung cấp Chữ ký điện tử: Sử dụng để xác thực người gửi thông điệp, file hoặc dữ liệu khác. - Smart card chứa chứng chỉ của User và khóa riêng, cho phép người dùng logon tới bất kỳ máy nào trong doanh nghiệp với độ an toàn cao. - Software code signing: Kỹ thuật Authenticode của Microsoft dùng chứng chỉ để chứng thực những phần mềm người dùng download và cài đặt chính xác là của tác giả và không được chỉnh sửa. - Chúng sử dụng mẫu chứng chỉ, xuất bản (publish) chứng chỉ và CRLs đến Active Directory, sử dụng thông tin trong cơ sở dữ liệu Active Directory để chấp nhận hoặc từ chối yêu cầu cấp phát chứng chỉ tự động. - Stand – alone: Stand – alone CAs không dùng mẫu chứng chỉ hay Active Directory, chúng lưu trữ thông tin cục bộ của nó. - Hơn nữa, mặc định, Stand – alone CAs không tự động đáp lại yêu cầu cấp phát chứng chỉ số giống như enterprise CAs làm. - Cấp phát và quản lý các chứng chỉ số 4.1.4.1. - Cấp phát tự động (Auto - Enrollment) Auto – Enrollment cho phép client yêu cầu tự động và nhận chứng chỉ số từ CA mà không cần sự can thiệp của người quản trị. - Điều khiển tiến trình Auto – Enrollment bằng sự phối hợp của group policy và mẫu chứng chỉ số. - Hộp thoại Autoenrollment Settings Properties xuất hiện, bạn có thể cho phép các đối tượng thay đổi hoặc cập nhật chứng chỉ số của chúng một cách tự động. - 38 Một kỹ thuật khác bạn có thể điều khiển Auto – Enrollment là xây dựng mẫu chứng chỉ có xác định đặc tính của điều khiển chứng chỉ số rõ ràng. - Để quản lý mẫu chứng chỉ số, bạn dùng mẫu chứng chỉ số có sẵn (Catificate Templates snap - in), như hình dưới. - Sử dụng công cụ này, bạn có thể chỉ rõ thời gian hiệu lực và thời gian gia hạn của loại chứng chỉ số đã chọn, chọn dịch vụ mã hóa (cryptographic) cung cấp cho chúng. - Dùng tab Security, bạn cũng có thể chỉ rõ những User và Group được phép yêu cầu chứng chỉ số dùng mẫu này. - Khi client yêu cầu một chứng chỉ số, CA kiểm tra đặc tính đối tượng Active Directory của client để quyết định liệu client có quyền tối thiểu được nhận chứng chỉ không? Nếu client có quyền thích hợp thì CA sẽ cấp phát chứng chỉ số một cách tự động. - Người quản trị cũng có thể xem đặc tính của việc cấp phát chứng chỉ và thu hồi chứng chỉ khi cần. - Các cách cấp phát CA Sử dụng Certificates Snap – in: Sử dụng Certificates Snap – in là một công cụ dùng để xem và quản lý chứng chỉ của một user hoặc computer cụ thể. - Màn hình chính của snap-in bao gồm nhiều thư mục chứa tất cả hạng mục chứng chỉ số được chỉ định cho user hoặc computer. - Nếu tổ chức của người dùng sử dụng enterprise Cas, Certificates Snap – in cũng cho phép người dùng yêu cầu và thay đổi chứng chỉ số bằng cách dùng Certificate Request Winzard và Certificate Renewal Wizard. - Chọn module này trong quá trình cài đặt Certificate Services tạo ra trang Web trên máy tính chạy CA, những trang Web này cho phép người dùng gửi yêu cầu cấp chứng chỉ số yêu cầu mà họ chọn. - Vì stand – alone server không dùng mẫu chứng chỉ số, client gửi yêu cầu bao gồm tất cả các thông tin cần thiết về chứng chỉ số và thông tin về người sử dụng chứng chỉ số. - Khi client yêu cầu chứng chỉ số dùng giao diện Web Enrollment Support, chúng có thể chọn từ danh sách loại chứng chỉ đã được định nghĩa trước hoặc tạo ra chứng chỉ cao cấp bằng cách chỉ rõ tất cả các thông tin yêu cầu trong from Web – based. - Thu hồi chứng chỉ số Có vài nguyên nhân cảnh báo cho người quản trị thu hồi chứng chỉ. - Mỗi chứng chỉ số chứa đường dẫn tới điểm phân phối của CA cho CRLs. - Khi một ứng dụng chứng thực client đang dùng chứng chỉ số, nó kiểm tra điểm phân phối CRL đã định rõ trong chứng chỉ số, để chắc chắn rằng chứng chỉ số không bị thu hồi. - Nếu CRL không có tại điểm phân phối đã định rõ của nó, ứng dụng từ chối chứng chỉ. - Một delta CRL là một danh sách tất cả các chứng chỉ đã thu hồi từ khi CRL cuối cùng xuất bản. - Trong tổ chức với số lượng chứng chỉ số lớn, sử dụng CRLs thay vì CRLs cơ bản có thể lưu một số lớn. - Phân tích các ưu, nhược của việc sử dụng hệ mật mã trong quá trình quản lý thông tin
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt