Jan 21, 2013

Chương 3. Kiến trúc PKI

PKI viết tắt của "Public Key Infrastructure", tức là có 1 tổ chức và một kênh thông tin bị cai trị (ruled).

1. Ba thành phần (three component)

Trong một PKI X.509, nói chung có ba thành phần: một cơ quan cấp chứng nhận (CA), một cơ quan đăng (RA) và điểm cung cấp chứng nhận (CDP). Ba phần của một PKI được đặt tại một tòa nhà ("Trustcenter") được bảo vệ vật lý  bằng cách sử dụng biometry, người bảo vệ, cammera giám sát, hệ thống báo động và các thiết bị khác. Bạn nên xem xét vấn đề an ninh vật lý của các trustcenter cũng quan trọng ngang với phần mềm bảo mật.

1.1 RA (The Registration Authority) 

Vai trò của RA là tiếp nhận yêu cầu chứng nhận và bảo đảm rằng chúng là hợp pháp. Trong thực tế RA là một cơ quan (bulding) hơn là một máy tính. 
 Trong một RA chúng ta tìm thấy các nhân viên kiểm tra danh tính của người yêu cầu chứng chỉ, họ là những người "admin RA". Chúng ta cũng tìm thấy một máy chủ: RA server tiếp nhận yêu cầu chứng chỉ đã được phê duyệt từ admin RA.

1.2. CA (The Certification Authority)

Cơ quan cấp giấy chứng nhận nhận các yêu cầu hợp lệ và xây dựng giấy chứng nhận. Đây là cốt lõi của PKI, nó có nghĩa là các thành phần này phải được bảo vệ chống lại tất cả các cuộc tấn công (tấn công mạng và tấn công vật lý). Một thực hành tốt là đặt ẩn CA khi nó không cần phải giao tiếp với mạng. 

1.3. CDP(The Certificate Delivery Point)

CDP phân phối chứng nhận cho user của PKI. Nó có thể cung cấp thông tin về chứng nhận (valid, revoked, or unknown). Nó nắm giữ danh sách bị thu hồi chứng nhận (CRL). Đây là giao diện công khai PKI: bất cứ ai cũng có thể sử dụng các dịch vụ của CDP. CDP nói chung là hợp nhất của máy chủ LDAP, một máy chủ web responder OCSP. máy chủ LDAP lưu trữ chứng nhận CRLs (Certificate Revocation List). Đây là một phương tiện thuận tiện để cung cấp thông tin về PKI bởi vì theo một số điều kiện máy chủ LDAP có thể được tìm thấy bởi người dùng khi họ gửi yêu cầu đến DNS server của tên miền phát hành chứng chỉ. Các máy chủ web được sử dụng để định dạng thông tin cho người dùng cuối. Nó cũng có thể nhận được yêu cầu xác minh thông qua giao thức OCSP 

2. Kiến trúc đơn giản nhất

 Chúng ta xem xét kiến trúc PKI đơn giản nhất, nó chỉ có một thực thể duy nhất: một máy vi tính xử lý các yêu cầu chứng nhận, kiểm tra chúng, xây dựng chứng nhận phân phối chúng qua mạng. Nó hoạt động như một CA, RA CDP.

Ưu điểm chính của giải pháp này dễ dàng cấu hình: không trao đổi dữ liệu cấu hình, chỉ có một máy chủ để quản trị, không có sao chép các tập tin cấu hình, vv Mặc kiến trúc này thể được dễ dàng để triển khai nhưng nó là không an toàn và không có tính quy mô tốt . 
Kiến trúc này chủ yếu cho thử nghiệm một cấu hình mới của OpenCA. Bạn có thể thắc mắc tại sao nó được sử dụng như nền tảng thử nghiệm, câu trả lời sẽ rõ ràng khi bạn thử OpenCA: nhân bản các thay đổi của tập tin cấu hình thông qua các máy chủ của bạn, khởi tạo lại cơ sở dữ liệu và thư mục LDAP, cấp lại certificate cho máy chủ web có thể trở thành kinh khủng.  
Vì vậy, với một máy chủ "tất cả-trong-một", bạn có thể giảm thời gian cần thiết để kiểm tra một cấu hình mới. Với kiến trúc này bạn chỉ cần cài 1 máy ảo và cài đặt tất cả RA, CA, CDP lên đó, để dàng thay đổi cấu hình, cơ sở dữ liệu ...

3.Kiến trúc ba thành phần tách biệt

Trong kiến ​​trúc này, ba thành phần được tách ra. Như bạn có thể thấy trên hình 3.1, CA không phải luôn luôn kết nối với RA: nó là một CA offline. Lý do chính là, một cách tổng quát bạn không cấp chứng nhận liên tục, nhưng bạn phải xử lý hàng loạt


Vì vậy, khi CA xử lý các yêu cầu chứng chỉ, nó bật trạng thái  trực tuyến, lấy các yêu cầu và trở về offline. Sau đó, nó có thể xử lý chúng offline không nguy cơ bị tấn công khi khóa riêng của CA được giải mã để ký các yêu cầu. Khi xử lý hàng loạt kết thúc, CA vào trạng thái online, gửi chứng nhận tạo ra RA trở về offline.

Với mô hình này, một yêu cầu chứng nhận đến CDP không thể được ký ngay bởi CA, khi mà CA không nằm trên cùng một server với CDP. Hơn nữa trước khi CA có thể ký chứng nhận thì RA phải thông qua, do đó yêu cầu phải đến RA trước khi tới CA, đều này được thực hiện thông qua "trao đổi dữ liệu". 

 (xem tiếp)
Người đăng at
Chuyên mục:

4 comments:

  1. Nguyen Thai ToanJanuary 21, 2013 at 3:24 PM

    Do bận rộn công việc tôi sẽ cố gắng soạn thảo các chương còn lại, các bạn vui lòng chờ nhe!

    ReplyDelete
  2. Thắng NguyễnJanuary 21, 2013 at 3:57 PM

    Good job men!

    ReplyDelete
  3. UnknownMarch 20, 2013 at 7:42 AM

    Thanks bạn! Bạn có thể gửi cho mình một số tài liệu về PKI, các chứng thư và chữ ký số không? Mình đang làm đề tài này.

    ReplyDelete
  4. Nguyen Thai ToanMarch 23, 2013 at 9:30 PM

    Bạn cần gì cứ post tại đây, chúng ta cùng trao đổi.

    ReplyDelete

Subscribe to: Post Comments (Atom)