PKI hoạt động dựa trên sự hỗ trợ của các thẻ chứng thực số (digital certificates), nó bao gồm các thành phần: Hardware, software, tập chính sách, các thủ tục phát hành/thu hồi thẻ chứng thực và các chuẩn. Các thành phần này kết hợp với nhau để thiết lập một phương thức trao đổi thông tin trong môi trường mạng đảm bảo tính xác thực định danh đối tác ở mức an toàn cao nhất.
Nhiệm vụ chính của PKI là sử dụng chiến lược mã hóa khóa công cộng (public key encryption) để tạo, quản lý và thu hồi các thẻ chứng thực,. Cụ thể:
- Tạo và xác định tính hợp lệ của chữ ký số (digital signatures)
- Đáp ứng sự đăng ký thẻ của người sử dụng mới
- Xác thực người sử dụng và phân phối thẻ chứng thực đến họ
- Thu hồi các thẻ chứng thực hết hạn
- Tạo các private key và public key cho các PKI client.
Với sự hỗ trợ của PKI, hệ thống bảo mật có thể xác thực người sử dụng theo cách an toàn hơn so với cách xác thực chuẩn (xác thực thông qua user name và password): Nó sử dụng các thẻ chứng thực có chứa thông tin định danh và public key của một đối tác trao đổi thông tin để xác định định danh và tính hợp lệ của họ. Ngoài ra, PKI còn giúp mã hóa các thông tin nhạy cảm và “ký” các tài liệu số.
Có thể nói, PKI là hạ tầng kỹ thuật thông tin, nó cho phép người dùng trên Internet trao đổi thông tin một cách riêng tư và bảo mật thông qua việc sử dụng cặp khóa public và private của riêng họ. Cặp khóa này được nhận và được chia sẻ thông qua một trung tâm ủy quyền tin cậy (CA).
PKI cung cấp thẻ chứng thực số cho các đối tác tham gia trao đổi thông tin trên môi trường Internet. Thẻ này được sử dụng để định danh một cá nhân, một tổ chức hoặc một dịch vụ thư mục nào đó.
1. Các thành phần của PKI:
Hệ thống PKI bao gồm các thành phần chính sau:
- PKI client
- Certification Authority (CA) – Ủy quyền thẻ chứng thực
- Registration Authority (RA) – Ủy quyền đăng ký
- Digital certificates (DC) – Thẻ chứng thực số
- Certificate Distribution System (CDS) – Hệ thống phân phối thẻ
Ngoài ra còn có các thành phần khác:
- Validation Authority (VA) – Ủy quyền xác nhận hợp lệ: Xác nhận tính hợp lệ thể chứng thực số của một đối tác trao đổi thông tin.
- Certificate revocation list (CRL): Chứa danh sách các thẻ chứng thực bị thu hồi bởi CA.
- Kỹ thuật mã hóa public key và privte key: Có thể được sử dụng để mã hóa và giải mã thông tin.
- Các đối tác (partner)/Đối tượng (Subject): Có thể là users, organizations hoặc service systems: Đây là những đối tượng muốn sử dụng kỹ thuật public key và private key để trao đổi thông tin một cách an toàn.
Hình sau đây cho ta một cái nhìn khái quát nhất về chức năng của các thành phần trong hệ thống PKI và sự hoạt động của hệ thống này:
User gửi yêu cầu phát hành thẻ chứng thực và public key của nó đến RA (1); Sau khi xác nhận tính hợp lệ định danh của user thì RA sẽ chuyển yêu cầu này đến CA (2); CA phát hành thẻ chứng thực cho user (3); Sau đó user “ký” thông điệp trao đổi với thẻ chứng thực mới vừa nhận được từ CA và sử dụng chúng (thẻ chứng thục số + chữ ký số) trong giao dịch (4); Định danh của user được kiểm tra bởi đối tác thông qua sự hỗ trợ của VA (5): Nếu thẻ chứng thực của user được xác nhận tính hợp lệ (6) thì đối tác mới tin cậy user và có thể bắt đầu quá trình trao đổi thông tin với nó (VA nhận thông tin về các thẻ chứng thực đã được phát hành từ CA (a)).
a. PKI client
PKI client yêu cầu một thẻ chứng thực số từ CA hoặc từ RA. Điều này là cần thiết với PKI client, vì nó phải nhận được thẻ chứng thực số trước khi nó có thể truyền dữ liệu. RA kiểm tra giấy ủy nhiệm (credential) của client trước khi phát hành thẻ chứng thực số mà client yêu cầu.
Sau khi client nhận được thể chứng thực số nó phải định danh chính nó, bằng cách sử dụng cùng một thẻ chứng thực cho tất cả các giao dịch tiếp theo.
b. Certification Authority (CA) – Ủy quyền thẻ chứng thực
CA là thành phần thứ 3 tin cậy (trusted third part), nó nhận một yêu cầu phát hành (cấp) thẻ chứng thực, từ một tổ chức hoặc một cá nhân nào đó, và phát hành thẻ chứng thực yêu cầu đến họ sau khi đã xác thực client yêu cầu (Verisign và MSN là hai công ty CA nổi tiếng thế giới).
CA dựa vào các chính sách, trao đổi thông tin trong môi trường bảo mật, của tổ chức để định nghĩa một tập các quy tắc, các thủ tục liên quan đến việc phát hành thẻ chứng thực. Mọi họat động tạo, phát hành, thu hồi thẻ chứng thực sau này đều tuân theo các quy tắc, thủ tục này.
c. Registration Authority (RA) – Ủy quyền đăng ký
Nhiệm vụ của RA kiểm tra yêu cầu thẻ chứng thực số của client.
Khi một PKI client gửi yêu cầu phát hành thẻ chứng thực số đến một CA, CA ủy quyền sự phản hồi xác thực yêu cầu đến RA. Sau khi kiểm tra yêu cầu thành công, RA forward yêu cầu đến CA. CA nhận yêu cầu, phát hành thẻ chứng thực yêu cầu, và gửi thẻ chứng thực đến RA. RA forward thẻ đó đến cho PKI client (gửi yêu cầu phát hành thẻ chứng thực trước đó).
d. Digital certificates (DC) – Thẻ chứng thực số
Thẻ chứng thực số được xem như một card định danh (ID card) sử dụng trong môi trường điện tử/môi trường mạng máy tính. Nếu như trong thực tế, người ta dùng ID card để định danh duy nhất một cá nhân nào đó thì trong môi trường trao đổi thông tin an toàn, PKI sử dụng thẻ chứng thực số để định danh duy nhất một đối tượng nào đó trong suốt quá trình truyền thông.
Thẻ chứng thực số chứa các thông tin sau:
- Số serial của thẻ chứng thực
- Ngày hết hạn của thẻ chứng thực
- Chữ ký số của CA
- Public key của PKI client
Trong quá trình giao dịch, bên gửi gửi thẻ chứng thực số, cùng với dữ liệu đã được mã hóa, của nó cho bên nhận. Bên nhận cuối sử dụng thẻ chứng thực số này để xác nhận tính hợp lệ xác thực của bên gửi.
Bên nhận, sử dụng public key của CA để giải mã public key của bên gửi (được nhận cùng với thông điệp được mã hóa đến từ bên gửi). Sau khi định dang của bên gửi là được xác định, bên nhận sử dụng public key của bên gửi để giải mã dữ liệu mà nó nhận được.
e. Certificate Distribution System (CDS) – Hệ thống phân phối thẻ
CDS lưu trữ tất cả các thẻ chứng thực đã được phát hành đến cho người sử dụng trên mạng. CDS cũng lưu trữ các cặp khóa, tính hợp lệ và “chữ ký” của các khóa public. Danh sách các khóa hết hạn, các khóa bị thu hồi do bị mất, do bị hết hạn cũng được CDS lưu trữ.
2. Trao đổi thông tin dựa trên PKI:
Giao dịch dựa trên PKI cung cấp cả 3 dịch vụ an ninh mạng cơ bản nhất: Bảo mật dữ liệu, đảm bảo tính toàn vẹn của dữ liệu và xác thực người dùng truy cập dữ liệu. Vì vậy, giao dịch dựa trên PKI đảm bảo tính bảo mật cao.
Các bước của một phiên giao dịch dựa trên PKI bao gồm:
1. Trước khi gửi dữ liệu, bên gửi báo cho bên nhận biết: phiên giao dịch bắt đầu. Khi đó, cả hai đều phải sinh ra cặp khóa public và private của nó. Trong trường hợp này, public key của bên gửi được gọi là session key (khóa phiên) của phiên giao dịch.
2. Sau khi public key và private key được sinh ra, một chữ ký số được tạo để định danh bên gửi dữ liệu. Chữ ký số được sinh ra bằng cách: Mã hóa thông điệp “rút gọn” bằng private key của bên gửi. Thông điệp “rút gọn” chính là kết quả băm, bởi một hàm băm (hash function) bảo mật, của thông điệp gốc.
3. Gắn chữ ký số vào thông điệp mã hóa.
4. Thông điệp mã hóa được gửi đến bên nhận cùng với public key của bên gửi. Trước khi gửi đi, public key được mã hóa với public key của bên nhận.
5. Khi nhận được thông điệp mã hóa, bên nhận yêu cầu CA xác nhận tính hợp lệ về định danh của bên gửi. CA kiểm tra bên gửi bằng cách xác định tính hợp lệ của chữ ký số được gửi cùng với thông điệp. Nếu định danh của bên gửi được xác là hợp lệ thì bước sau (bước 6) sẽ được thực hiện. Ngược lại, thông điệp bị từ chối và kết nối được kết thúc.
6. Bên nhận sử dụng private key của nó để giải mã public key của bên gửi, rồi sử dụng public key này để giả mã thông điệp mà nó nhận được.
(Nguyễn Kim Tuấn - CNTT)
» Tin mới nhất:
» Các tin khác: