Kểtừkhi ra đời gần ba mươi năm trước đây, phương thức mã hoá bảo mật với khoá
công khai đã tạo nên một hướng phát triển mới cho các dịch vụan toàn và an ninh thông
tin. Tưtưởng cốt lõi của phương thức mã hoá bảo mật với khoá công khai là việc sử
dụng cặp khoá công khai và khoá riêng. Mỗi đối tượng truyền thông đều có một cặp khoá
công khai và khoá riêng. Khoá công khai của một đối tượng được thông báo cho tất cả
các đối tượng tham gia truyền thông, còn khoá riêng chỉdo đối tượng đó nắm giữ.
Đối tượng truyền sẽmã hoá thông tin cần truyền với khoá công khai của đối tượng nhận.
Sau đó, thông tin đã mã hoá sẽ được truyền đến cho đối tượng nhận. Sau khi nhận được
thông tin truyền đến, đối tượng nhận sẽgiải mã thông tin truyền đến với khoá riêng của
mình.
Khi các dịch vụan toàn sửdụng khoá công khai được phát triển rộng rãi thì việc quản lý
đối tượng cùng với khoá công khai trởnên phức tạp và phải đối mặt với nhiều vấn đềvề
an toàn và an ninh thông tin. Mặt khác, do phạm vi ứng dụng của các thông tin vềkhoá
công khai là rất rộng lớn (có thểlà trong phạm vi quốc gia hoặc xuyên quốc gia) nên phải
có được sựthống nhất vềcác khoá công khai để đảm bảo các đối tượng có thểtham gia
truyền thông ởnhiều phạm vi khác nhau với nhiều dịch vụan toàn và an ninh khác nhau.
Trong những năm gần đây, một hướng giải quyết đã được nghiên cứu và triển khai, đó là
HạTầng Khoá Công Khai(Public Key Infrastructure - PKI). PKI là dịch vụ ởmức nền, nó
đảm bảo vềviệc tạo lập, quản lý và phân phát các khoá công khai của những đối tượng
tham gia vào các dịch vụan toàn, an ninh (dựa trên phương thức mã hoá với khoá công
khai) thông qua các thẻxác nhận. PKI có thể được triển khai trên nhiều phạm vi khác
nhau; do vậy, nó có thểgiải quyết những khó khăn mà các ứng dụng an toàn an ninh gặp
phải khi phải triển khai trên phạm vi rộng và đối tượng sửdụng đa dạng.
79 trang |
Chia sẻ: tuandn | Lượt xem: 2207 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Đề tài Hạ tầng khóa công khai, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Mục lục HẠ TẦNG KHOÁ CÔNG KHAI
Dong Manh Quan Trang 1 23/08/2005
QMỤC LỤC
MỤC LỤC............................................................................................................................................................ 1
CÁC THUẬT NGỮ ............................................................................................................................................ 5
ĐẶT VẤN ĐỀ ...................................................................................................................................................... 7
1 TỔNG QUAN VỀ PKI .............................................................................................................................. 8
1.1. KHÁI QUÁT ............................................................................................................................................. 8
1.2. CÁC DỊCH VỤ VÀ PHẠM VI ỨNG DỤNG CỦA PKI .......................................................................... 8
1.2.1. Các yêu cầu cơ bản của an toàn an ninh thông tin........................................................................... 8
1.2.2. Khả năng đáp ứng của các dịch vụ sử dụng PKI.............................................................................. 9
1.2.3. Các dịch vụ an toàn an ninh dựa trên hệ thống PKI ........................................................................ 9
1.3. CÁC ĐỐI TƯỢNG CƠ BẢN CỦA HỆ THỐNG PKI ............................................................................ 10
1.3.1. Chủ thể và các đối tượng sử dụng................................................................................................... 10
1.3.2. Đối tượng quản lý thẻ xác nhận ...................................................................................................... 11
1.3.3. Đối tượng quản lý đăng ký thẻ xác nhận ........................................................................................ 11
1.4. CÁC HOẠT ĐỘNG CƠ BẢN TRONG HỆ THỐNG PKI ..................................................................... 12
1.4.1. Mô hình tổng quát của hệ thống PKI .............................................................................................. 12
1.4.2. Thiết lập các thẻ xác nhận............................................................................................................... 12
1.4.3. Khởi tạo các EE............................................................................................................................... 12
1.4.4. Các hoạt động liên quan đến thẻ xác nhận..................................................................................... 13
1.4.4.1. Đăng ký và xác nhận ban đầu .................................................................................................................... 13
1.4.4.2. Cập nhật thông tin về cặp khoá.................................................................................................................. 13
1.4.4.3. Cập nhật thông tin về thẻ xác nhận............................................................................................................ 13
1.4.4.4. Cập nhật thông tin về cặp khoá của CA .................................................................................................... 13
1.4.4.5. Yêu cầu xác nhận ngang hàng ................................................................................................................... 14
1.4.4.6. Cập nhật thẻ xác nhận ngang hàng ............................................................................................................ 14
1.4.5. Phát hành thẻ và danh sách thẻ bị huỷ bỏ ...................................................................................... 14
1.4.6. Các hoạt động phục hồi................................................................................................................... 14
1.4.7. Các hoạt động huỷ bỏ ...................................................................................................................... 15
1.5. CẤU TRÚC CỦA CÁC THÔNG ĐIỆP PKI .......................................................................................... 15
1.5.1. Giới thiệu về nguyên tắc giả mã...................................................................................................... 15
1.5.2. Cấu trúc tổng quát của thông điệp PKI .......................................................................................... 16
1.5.3. Trường PKIHeader.......................................................................................................................... 17
1.5.4. Trường PKIBody.............................................................................................................................. 18
1.5.4.1. Thông điệp yêu cầu khởi tạo...................................................................................................................... 20
1.5.4.2. Thông điệp trả lời yêu cầu khởi tạo ........................................................................................................... 20
1.5.4.3. Thông điệp yêu cầu đăng ký/yêu cầu thẻ xác nhận................................................................................... 20
1.5.4.4. Thông điệp trả lời yêu cầu đăng ký/yêu cầu thẻ xác nhận ........................................................................ 20
1.5.4.5. Thông điệp yêu cầu cập nhật khoá............................................................................................................. 21
1.5.4.6. Thông điệp trả lời yêu cầu cập nhật khoá.................................................................................................. 21
1.5.4.7. Thông điệp yêu cầu khôi phục khoá .......................................................................................................... 21
1.5.4.8. Thông điệp trả lời yêu cầu khôi phục khoá ............................................................................................... 21
1.5.4.9. Thông điệp yêu cầu huỷ bỏ ........................................................................................................................ 21
1.5.4.10. Thông điệp trả lời yêu cầu huỷ bỏ ........................................................................................................... 21
1.5.4.11. Thông điệp yêu cầu thẻ xác nhận ngang hàng......................................................................................... 22
1.5.4.12. Thông điệp trả lời yêu cầu xác nhận ngang hàng .................................................................................... 22
1.5.4.13. Thông điệp công bố cập nhật khoá CA ................................................................................................... 22
1.5.4.14. Thông điệp công bố thẻ xác nhận ............................................................................................................ 22
1.5.4.15. Thông điệp thông báo huỷ bỏ thẻ xác nhận............................................................................................. 22
1.5.4.16. Thông điệp thông báo CRL...................................................................................................................... 23
Mục lục HẠ TẦNG KHOÁ CÔNG KHAI
2
1.5.4.17. Thông điệp xác nhận ................................................................................................................................ 23
1.5.4.18. Thông điệp PKI đa mục đích ................................................................................................................... 23
1.5.4.19. Thông điệp trả lời tổng quát..................................................................................................................... 23
1.5.4.20. Thông điệp thông báo lỗi ......................................................................................................................... 23
2 NHỮNG VẤN ĐỀ CƠ BẢN TRONG XÂY DỰNG HỆ THỐNG PKI ............................................. 24
2.1. CÁC MÔ HÌNH TRIỂN KHAI HỆ THỐNG PKI .................................................................................. 24
2.1.1. Kiến trúc phân cấp........................................................................................................................... 24
2.1.1.1. Những ưu điểm của kiến trúc PKI phân cấp.............................................................................................. 25
2.1.1.2. Những khuyết điểm của kiến trúc PKI phân cấp....................................................................................... 25
2.1.2. Kiến trúc hệ thống PKI mạng lưới .................................................................................................. 26
2.1.2.1. Ưu điểm của kiến trúc PKI mạng lưới....................................................................................................... 26
2.1.2.2. Nhược điểm của mô hình PKI mạng lưới.................................................................................................. 27
2.1.3. Kiến trúc danh sách tin cậy ............................................................................................................. 27
2.1.3.1. Ưu điểm của kiến trúc PKI danh sách tin cậy ........................................................................................... 27
2.1.3.2. Nhược điểm của kiến trúc PKI danh sách tin cậy ..................................................................................... 28
2.2. NHỮNG CHỨC NĂNG BẮT BUỘC TRONG QUẢN LÝ PKI............................................................ 29
2.2.1. Khởi tạo CA gốc .............................................................................................................................. 29
2.2.2. Cập nhật khoá của CA gốc.............................................................................................................. 29
2.2.3. Khởi tạo các CA thứ cấp ................................................................................................................. 29
2.2.4. Tạo lập CRL..................................................................................................................................... 29
2.2.5. Yêu cầu về thông tin hệ thống PKI.................................................................................................. 30
2.2.6. Xác nhận ngang hàng ...................................................................................................................... 30
2.2.7. Khởi tạo các EE............................................................................................................................... 30
2.2.7.1. Thu thập thông tin về hệ thống PKI........................................................................................................... 30
2.2.7.2. Kiểm tra khoá công khai của CA gốc ........................................................................................................ 30
2.2.8. Yêu cầu xác nhận ............................................................................................................................. 30
2.2.9. Cập nhật khoá.................................................................................................................................. 30
3 THẺ XÁC NHẬN THEO CHUẨN X.509............................................................................................. 32
3.1. CÁC TRƯỜNG CƠ BẢN CỦA THẺ XÁC NHẬN ............................................................................... 32
3.1.1. Trường tbsCertificate ...................................................................................................................... 32
3.1.2. Trường signatureAlgorithm............................................................................................................. 32
3.1.3. Trường signatureValue.................................................................................................................... 33
3.2. CẤU TRÚC TBSCERTIFICATE................................................................................................................ 33
3.2.1. Trường version................................................................................................................................. 33
3.2.2. Trường serialNumber ...................................................................................................................... 33
3.2.3. Trường signature ............................................................................................................................. 34
3.2.4. Trường issuer................................................................................................................................... 34
3.2.5. Trường validity ................................................................................................................................ 35
3.2.6. Trường subject ................................................................................................................................. 35
3.2.7. Trường subjectPublicKeyInfo.......................................................................................................... 35
3.2.8. Trường uniqueIdentifiers................................................................................................................. 35
3.2.9. Trường extensions............................................................................................................................ 36
3.3. CÁC PHẦN MỞ RỘNG CỦA THẺ XÁC NHẬN X.509....................................................................... 36
3.3.1. Phần mở rộng Authority Key Identifier........................................................................................... 36
3.3.2. Phần mở rộng Subject Key Identifier .............................................................................................. 36
3.3.3. Phần mở rộng Key Usage................................................................................................................ 37
3.3.4. Phần mở rộng Private Key Usage Period....................................................................................... 37
3.3.5. Phần mở rộng Certificate Policies.................................................................................................. 38
3.3.6. Phần mở rộng Policy Mappings...................................................................................................... 38
3.3.7. Phần mở rộng Subject Alternative Name........................................................................................ 39
3.3.8. Phần mở rộng Issuer Alternative Names ........................................................................................ 40
Mục lục HẠ TẦNG KHOÁ CÔNG KHAI
3
3.3.9. Phần mở rộng Subject Directory Attributes.................................................................................... 40
3.3.10. Phần mở rộng Basic Constraints .................................................................................................. 40
3.3.11. Phần mở rộng Name Constraints.................................................................................................. 40
3.3.12. Phần mở rộng Policy Constraints ................................................................................................. 41
3.3.13. Phần mở rộng Extended key usage field ....................................................................................... 41
3.3.14. Phần mở rộng CRL Distribution Points........................................................................................ 42
4 QUÁ TRÌNH XÂY DỰNG HỆ THỐNG .............................................................................................. 43
4.1. MÔI TRƯỜNG, CÔNG CỤ, MÔ HÌNH, CHỨC NĂNG, DỮ LIỆU..................................................... 43
4.1.1. Lựa chọn môi trường và công cụ .................................................................................................... 43
4.1.1.1. Môi trường phát triển ................................................................................................................................. 43
4.1.1.2. Công cụ phát triển ...................................................................................................................................... 43
4.1.2. Lựa chọn mô hình hệ thống PKI ..................................................................................................... 44
4.1.3. Lựa chọn cấu trúc dữ liệu................................................................................................................ 45
4.1.4. Lựa chọn các chức năng được thực hiện ........................................................................................ 45
4.2. PHÂN TÍCH THIẾT KẾ CHỨC NĂNG CHI TIẾT ............................................................................... 46
4.2.1. Mô hình thiết lập và quản lý kết nối................................................................................................ 46
4.2.1.1. Phân tích yêu cầu ....................................................................................................................................... 46
4.2.1.2. Phương thức thực hiện ............................................................................................................................... 47
4.2.2. Sử dụng các dịch vụ bảo mật........................................................................................................... 47
4.2.2.1. Giới thiệu về các công cụ an toàn an ninh của hệ điều hành .................................................................... 47
4.2.2.2. Những đánh giá và giải pháp ..................................................................................................................... 48
4.2.2.3. Kết luận ...................................................................................................................................................... 49
4.2.3. Tạo và phân tích các cấu trúc dữ liệu cơ bản................................................................................. 49
4.2.3.1. Các thẻ xác nhận ........................................................................................................................................ 49
4.2.3.2. Các thông điệp PKI .................................................................................................................................... 50
4.2.4. Các công cụ quản trị hệ thống ........................................................................................................ 50
4.2.4.1. Công cụ quản lý người sử dụng ................................................................................................................. 50
4.2.4.2. Công cụ tạo và quản lý chính sách ............................................................................................................ 51
4.2.4.3. Công cụ quản lý danh sách thẻ xác nhận................................................................................................... 51
4.2.4.4. Công cụ quản lý các sự kiện đối với hệ thống........................................................................................... 52
4.2.5. Lưu trữ dữ liệu................................................................................................................................. 52
4.2.5.1. Lưu thông tin quản lý đối tượng sử dụng chương trình ............................................................................ 52
4.2.5.2. Lưu thông tin chính sách về thẻ xác nhận ................................................................................................. 52
4.2.5.3. Lưu trữ thông tin về thẻ xác nhận.............................................................................................................. 53
4.2.6. Chức năng mã hoá dữ liệu ................................................................................................