- 33 2.2.4 Chứng chỉ khoá công khai. - 50 2.4.3 Phát hành chứng chỉ. - 55 2.4.4 Phân phối chứng chỉ. - 59 2.4.5 Thu hồi chứng chỉ. - 62 2.4.6 Treo chứng chỉ. - 97 3.3.2 Mô hình hệ thống quản lý và cấp phát chứng chỉ. - 33 Hình 2.4 Chứng chỉ khoá công khai đơn giản. - 41 Hình 2.8 Danh sách các chứng chỉ bị huỷ bỏ. - Đây chính là khoá công khai. - chữ ký. - Các cơ quan chứng thực (CA) và các phƣơng tiện quản lý chứng chỉ tạo thành hạt nhân của các hạ tầng cơ sở khoá công khai. - PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 31 Đôi khi PKI đƣợc định nghĩa nhƣ là một tập hợp phần cứng, phần mềm, con ngƣời, chính sách và các thủ tục cần thiết để tạo, quản lý, lƣu giữ, phân phối và thu hồi các chứng chỉ khoá công khai. - 2.2.4 Chứng chỉ khoá công khai Lƣợc đồ trong hình 2.3 rất hấp dẫn nhƣng nó cũng có một số nhƣợc điểm. - PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 35 Một giải pháp lựa chọn là sử dụng chứng chỉ. - Các thành viên sử dụng chứng chỉ này để trao đổi khoá mà không cần liên lạc với cơ quan quản lý khoá công khai. - Mỗi chứng chỉ chứa một khoá công khai và các thông tin khác. - Các thành viên khác có thể kiểm tra chứng chỉ do cơ quan quản lý tạo ra. - Một thành viên có thể đọc chứng chỉ để xác định tên và khoá công khai của ngƣời sở hữu chứng chỉ. - Chỉ có cơ quan quản lý chứng chỉ mới có thể tạo ra và cập nhật các chứng chỉ. - Mọi thành viên có thể kiểm tra sự lƣu hành của chứng chỉ. - Có nhiều kiểu chứng chỉ đƣợc sử dụng cho các mục đích khác nhau. - Một trong các kiểu chứng chỉ quan trọng là chứng chỉ khoá công khai. - Chứng chỉ khoá công khai đƣợc một cơ quan chứng thực (CA) ký. - Các thuật ngữ chứng chỉ hay chứng chỉ khóa công khai chỉ là một. - (b) Số hiệu (Serial Number): Số hiệu nhận dạng duy nhất của chứng chỉ này. - Việc sử dụng chứng chỉ rất đơn giản. - Khi một ngƣời sử dụng đã có khoá công khai của CA một cách an toàn và tin tƣởng CA phát hành các chứng chỉ hợp lệ. - Ngƣời sử dụng các chứng chỉ theo cách này đƣợc gọi là một thành viên tin cậy. - Chứng chỉ không thể làm giả bởi vì ngƣời sử dụng chứng chỉ có thể kiểm tra chính xác chữ ký số của CA trên chứng chỉ. - hoặc một đối tƣợng nào đó đƣợc xác định trong trƣờng chủ thể của chứng chỉ khoá công khai. - 2.3.2 CA (Certification Authority) Là thành phần rất cơ bản của PKI vì nó là thành phần phát hành chứng chỉ khoá công khai. - Các chứng chỉ khoá công khai đƣợc ký bởi CA. - Chữ ký số của CA cấp chứng chỉ: Còn gọi là chứng chỉ gốc. - Ví dụ, để có thể có đƣợc một bản sao khoá công khai của c (bản sao khoá công khai này đã đƣợc phê chuẩn), a phải xử lý một đƣờng dẫn chứng thực của 3 chứng chỉ nhƣ sau: Z Z X X Y Y Q Q R R S S T T O O M M K K I I G G E E C C A A a a b b c c d d e e i i h h g g f f n n m m l l k k j j p p o o Hình 2.7 Cấu trúc phân cấp tổng quát Hình 2.7 Cấu trúc phân cấp tổng quát PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 42 Chứng chỉ của A dành cho CA Q , chứng chỉ này đƣợc CA A phát hành (lƣu ý rằng a luôn tin tƣởng vào khoá công khai của A). - Để a có đƣợc một bản sao khoá công khai của g cần sử dụng một đƣờng dẫn chứng thực gồm có 5 chứng chỉ. - Để a có đƣợc một bản sao khoá công khai của m, cần sử dụng một đƣờng dẫn chứng thực gồm có 7 chứng chỉ. - Các chủ đề điển hình nhƣ sau: PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 44 (a) Các giới hạn về khả năng ứng dụng và cộng đồng (Community and applicability restrictions): CA có thể chỉ phát hành các chứng chỉ cho các thành viên trong một cộng đồng riêng biệt theo một chính sách định sẵn. - Phê chuẩn các thuộc tính của chủ thể yêu cầu chứng chỉ. - Cho dù RA có thể thực hiện nhiều chức năng của CA nhƣng RA không bao giờ là ngƣời phát hành chứng chỉ khoá công khai. - Các chức năng này phải đƣợc thiết lập trong tất cả các hệ thống sử dụng chứng chỉ (hoặc trong máy chủ hỗ trợ cho hệ thống này). - Trƣớc hết, ta cần lấy lại một chứng chỉ khoá công khai của ngƣời sử dụng đích (do một CA nào đó phát hành). - Điều này không khó thực hiện vì với một chữ ký số, chứng chỉ dành cho khoá công khai của ngƣời sử dụng đích thƣờng đƣợc phân phối cùng với chữ ký. - Từ đó nảy sinh hai yêu cầu đối với dịch vụ lấy lại thông tin: PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 47 (a) Từ tên của một CA, dịch vụ lấy lại các chứng chỉ (có chứa khoá công khai của CA này) do các CA khác phát hành, và/hoặc: (b) Từ tên của một CA, dịch vụ lấy lại các chứng chỉ mà CA này đã phát hành cho các CA khác. - Các hoạt động bao gồm: PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 49 (a) Kiểm tra chữ ký số có trong mỗi chứng chỉ. - (b) Kiểm tra tên trong các chứng chỉ, xem các chứng chỉ này có phù hợp với một đƣờng dẫn chứng thực hợp lệ hay không, có nghĩa là, chủ thể của mỗi chứng chỉ (trừ chứng chỉ cuối) là ngƣời phát hành chứng chỉ tiếp theo. - PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 50 2.4 CÁC CHỨC NĂNG CHUNG NHẤT CỦA PKI Các chức năng cơ bản của PKI bao gồm: Quản lý cặp khóa công khai và khoá riêng Phát hành chứng chỉ. - Phân phối chứng chỉ Thu hồi chứng chỉ. - Khi một cặp khoá mới đƣợc sinh ra, cần phải tạo ra một chứng chỉ mới cho khoá công khai này. - Sự khác biệt giữa đăng ký và xin cấp một chứng chỉ là ở chỗ, một yêu cầu xin cấp PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 56 chứng chỉ cần có các thông tin xác định cho từng chứng chỉ đƣợc phát hành, ví dụ nhƣ giá trị của khoá công khai và các trƣờng xác định khác (cần có trong một chứng chỉ). - Có nhiều cách khác nhau để đăng ký và thực hiện các yêu cầu chứng chỉ. - CA nhận được các thông tin cần thiết cho chứng chỉ. - Chứng chỉ được ký bằng một thiết bị ký sử dụng khoá riêng của CA. - PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 57 Xác thực chủ thể Trƣớc khi phát hành một chứng chỉ, CA cần xác nhận đặc điểm nhận dạng của ngƣời, thiết bị hoặc thực thể nắm giữ khoá riêng tƣơng ứng với khoá công khai có trong chứng chỉ. - Sau đó, CA phát hành các chứng chỉ. - (d) Chấp nhận và xem xét các yêu cầu treo và huỷ bỏ chứng chỉ. - Nói chung, các chứng chỉ có thể đƣợc thay thế dựa vào thời hạn kết thúc. - Hầu hết PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 60 các giao thức truyền thông có sử dụng chữ ký số thƣờng gắn kèm các chứng chỉ vào các chữ ký số theo cách này. - Anh ta có đƣợc nó có thể do tình cờ có đƣợc từ các bản sao của chứng chỉ khoá công khai đƣợc yêu cầu lƣu giữ cục bộ. - Ngay từ đầu ngƣời ta đã nhận ra xu hƣớng sử dụng các danh bạ X.500 cho việc phân phối các chứng chỉ khoá công khai. - Các hệ thống danh bạ độc quyền cũng đƣợc sử dụng để phân phối các chứng chỉ khoá công khai trong các môi trƣờng phần mềm riêng. - LDAP tạo thành một giao thức chuẩn hữu ích cho việc truy nhập vào các thông tin đƣợc lƣu giữ trong một thƣ mục, bao gồm cả các chứng chỉ khoá công PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 62 khai. - Các chứng chỉ đƣợc sử dụng lặp đi lặp lại nhiều lần cũng thƣờng đƣợc lƣu giữ cục bộ trong các hệ thống sử dụng các khoá công khai. - Khi một chứng chỉ đợc phát hành, nó có thể đợc sử dụng trong suốt thời gian hợp lệ của mình. - Trong những trờng hợp nh vậy, CA có thể thu hồi chứng chỉ. - Yêu cầu thu hồi PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 63 Quyết định thu hồi một chứng chỉ thuộc trách nhiệm của một CA, nói chung để đáp ứng một yêu cầu từ một ngời có quyền nào đó. - Nói chung, thuê bao có quyền yêu cầu thu hồi chứng chỉ của mình. - PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 64 Khi hệ thống sử dụng một chứng chỉ, nó phải kiểm tra chữ ký số có trong chứng chỉ, khoảng thời gian hợp lệ của chứng chỉ, một CRL phù hợp gần nhất để biết đƣợc rằng số hiệu của chứng chỉ không nằm trong CRL này. - Tuy nhiên, không gì có thể đảm bảo rằng các CRL không định kỳ (off cycle CRL) nhƣ vậy có đến đƣợc các hệ thống sử dụng chứng chỉ hay không. - Sự huỷ bỏ ngay lập tức PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 66 Một mối quan tâm thƣờng xuyên đối với giải pháp "phát hành các CRL định kỳ" là các hệ thống sử dụng chứng chỉ không thể chấp nhận sự chậm trễ các thông báo thu hồi vì lý do thời gian định kỳ. - Một chứng chỉ đƣợc sử dụng bất kỳ thời gian nào sau khi sự kiện (b) phê chuẩn một khoá công khai. - Ngƣời sử dụng chứng chỉ không thể trông chờ để biết tình trạng lộ khoá. - Ngƣời sử dụng chứng chỉ không thể trông chờ để biết điều này. - Đây có thể là mối quan tâm hàng đầu của ngƣời sử dụng chứng chỉ - chờ cho đến khi CRL2 đƣợc phát hành mới tiến hành giao dịch hỏi đáp PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 70 có sử dụng khoá. - PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 71 Tình trạng treo đƣợc thông báo qua một giá trị đặc biệt, "Treo chứng chỉ" (Certificate Hold), giá trị này nằm trong trƣờng Mã lý do. - Giao diện để tạo chứng chỉ. - Giao diện để thu hồi chứng chỉ. - CA xuất các chứng chỉ và các CRL ra CRS. - CRS nhận các chứng chỉ và các CRL từ CA và lƣu vào Cơ sở dữ liệu tƣơng ứng. - Ngƣời phải chịu trách nhiệm pháp lý chính là các CA, các thuê bao và các thành viên tin cậy vào các PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 78 chứng chỉ sai sót. - Các yêu cầu chứng chỉ có thể đƣợc đệ trình thông qua thƣ tín điện tử hoặc Web. - Hạ tầng cơ sở khoá công khai PKI hỗ trợ và quản lý khóa công khai dựa trên chứng chỉ số. - Cơ chế truy cập của OLEServer Sử dụng Etoken, chứng chỉ số của hệ thống CA để xác thực ngƣời gửi thông tin. - Sử dụng Microsoft CA để cấp chứng chỉ số dùng cho hạ tầng cơ sở khoá công khai. - Nhóm CA : Cấp khóa riêng và cấp chứng chỉ số cho ngƣời sử dụng và các OLEServer. - 3.3.2 Mô hình hệ thống quản lý và cấp phát chứng chỉ Hệ thống CA hoạt động theo mô hình sau: PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 98 Trong đó: CAServer là thành phần quan trọng nhất trong hệ thống. - Phân tích các yêu cầu chứng chỉ và lƣu vào CSDL. - Quản lý các yêu cầu chứng chỉ: Thêm mới, Xem, Xoá yêu cầu. - Phát hành chứng chỉ mới - Xem các yêu cầu chứng chỉ cần cấp phát. - Thực hiện quản lý các chứng chỉ đã cấp phát: Xem, xoá, huỷ bỏ. - Cấp lại chứng chỉ - Xem các yêu cầu cấp lại chứng chỉ. - Sửa đổi chứng chỉ - Xem các yêu cầu sửa đổi chứng chỉ. - Huỷ chứng chỉ cũ. - Chấp nhận hoặc huỷ bỏ việc huỷ chứng chỉ. - Tạo danh sách chứng chỉ huỷ bỏ (CRL. - Tìm kiếm chứng chỉ - Tìm kiếm theo tên User. - Quản lý các yêu cầu cấp chứng chỉ mới PKI và kỹ thuật đảm bảo an toàn cơ sở dữ liệu 102 Các yêu cầu cấp chứng chỉ mới là các File đƣợc nhập vào từ thiết bị lƣu trữ. - Chƣơng trình tạo chứng chỉ. - Chƣơng trình kiểm tra chứng chỉ. - Chƣơng trình huỷ bỏ chứng chỉ. - Chƣơng trình tạo danh sách chứng chỉ huỷ bỏ
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt