book mã hóa ứng dụng update 2 phần 10

Hệ thống phát hành, sử dụng và hủy ACs là Privilege Management Infrastructure (PMI). Trong PMI, tổ chức chứng nhận thuộc tính Attribute Authority (AA) phát hành ACs. Một AA có thể không giống như một CA.Động cơ chính cho việc sử dụng ACs là để cấp phép. Vì một người dùng có thể chỉ giữ một vai trò nào đó trong tổ chức trong một thời gian ngắn, nên khác với giấy chứng nhận khóa công cộng, AC chỉ có giá trị trong một vài ngày hoặc ngắn hơn. Hình 10.5. Phiên bản 2 của cấu trúc chứng nhận...
Nội dung trích xuất từ tài liệu:
book mã hóa ứng dụng update 2 phần 10Chương 10Hệ thống phát hành, sử dụng và hủy ACs làPrivilege Management Infrastructure (PMI).Trong PMI, tổ chức chứng nhận thuộc tínhAttribute Authority (AA) phát hành ACs. MộtAA có thể không giống như một CA.Động cơ chính cho việc sử dụng ACs là để cấpphép. Vì một người dùng có thể chỉ giữ một vaitrò nào đó trong tổ chức trong một thời gian ngắn,nên khác với giấy chứng nhận khóa công cộng,AC chỉ có giá trị trong một vài ngày hoặc ngắnhơn. Hình 10.5. Phiên bản 2 của cấu trúc chứng nhận thuộc tính10.3 Sự chứng nhận và kiểm tra chữ kýQuá trình chứng nhận chữ ký diễn ra theo hai bước. Đầu tiên, các trường của chứngnhận được ký và nén bởi thuật toán trộn cho trước. Sau đó, kết quả xuất của hàmtrộn, được gọi là hash digest, được mã hóa với khóa bí mật của tổ chức CA đã pháthành chứng nhận này.254 Chứng nhận khóa công cộng Subject Name Public Key (other fields) Hash Algorithm Frans X.509 Certificate Hash Digest Subject Name Encryption Public Key CAs (other fields) private key Signature Signature Hình 10.6. Quá trình ký chứng nhậnChứng nhận của CA phải được ký bởi khóa bí mật. Khóa bí mật này phải thuộcquyền sở hữu của CA, và thông qua việc ký chứng nhận của đối tác A, tổ chức CAnày chứng nhận sự hiện hữu của đối tác A.Để có một chứng nhận, một tổ chức CA chỉ cần tạo ra và ký giấy chứng nhận chochính nó, chứ không cần áp dụng cho một CA khác để chứng nhận. Điều này đượchiểu như sự tự chứng nhận (self-certification), và một giấy chứng như thế được gọi làgiấy chứng nhận tự ký (self-signed certificate) 255Chương 10 Hình 10.7. Quá trình kiểm tra chứng nhậnTổ chức CA sử dụng khóa bí mật của nó để ký giấy chứng nhận của đối tác A vàdùng cùng khóa bí mật đó để ký giấy chứng nhận cho chính nó. Một đối tác B có thểkiểm tra cả chữ ký trên giấy chứng nhận của đối tác A và chữ ký trên giấy chứngnhận của tổ chức CA thông qua việc dùng khóa công cộng trong giấy chứng nhậncủa CA. Cả hai giấy chứng nhận của đối tác A và tổ chức CA tạo nên một chuỗichứng nhận. Quá trình kiểm tra chứng nhận thường yêu cầu sự kiểm tra của chuỗichứng nhận. Sự kiểm tra kết thúc khi một giấy chứng nhận tự ký được kiểm tra ởcuối chuỗi [2].256 Chứng nhận khóa công cộng10.4 Các thành phần của một cở sở hạ tầng khóa công cộng Hình 10.8. Mô hình PKI cơ bản10.4.1 Tổ chức chứng nhận – Certificate Authority (CA)Tổ chức CA là một thực thể quan trọng duy nhất trong X.509 PKI. (Public keyInfrastructure).Tổ chức CA có nhiệm vụ phát hành, quản lý và hủy bỏ các giấy chứng nhận.Để thực hiện nhiệm vụ phát hành giấy chứng nhận của mình, CA nhận yêu cầuchứng nhận từ khách hàng. Nó chứng nhận sự tồn tại của khách hàng và kiểm tra nộidung yêu cầu chứng nhận của khách hàng. Sau đó, tổ chức CA tạo ra nội dung chứngnhận mới cho khách hàng và ký nhận cho chứng nhận đó.Nếu CA có sử dụng nơi lưu trữ chứng nhận thì nó sẽ lưu giấy chứng nhận mới đượctạo ra này ở đó. Tổ chức CA cũng phân phối chứng nhận tới khách hàng thông quaemail hoặc địa chỉ URL, nơi mà khách hàng có thể lấy chứng nhận. 257Chương 10Khi một giấy chứng nhận cần bị hủy bỏ, tổ chức CA sẽ tạo và quản lý thông tin hủybỏ cho chứng nhận. Khi hủy bỏ một giấy chứng nhận, CA có thể xóa chứng nhậnkhỏi nơi lưu trữ hoặc đánh dấu xóa. Tổ chức CA luôn thông báo cho khách hàng rằngchứng nhận của họ đã bị hủy, đồng thời cũng sẽ thêm số loạt của chứng nhận bị hủyvào danh sách các chứng nhận đã bị hủy – Certificate Revocation List (CRL) [2].10.4.2 Tổ chức đăng ký chứng nhận – Registration Authority (RA)Một RA là một thực thể tùy chọn được thiết kế để chia sẻ bớt công việc trên CA. MộtRA không thể thực hiện bất kỳ một dịch vụ nào mà tổ chức CA của nó không thựchiện được [2].Các nhiệm vụ chính của RA có thể được chia thành các loại: các dịch vụ chứng nhậnvà các dịch vụ kiểm tra. Một RA sẽ chứng nhận các yêu cầu khác nhau của các dịchvụ được trực tiếp gửi đến tổ chứ ...