HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Khoa Quốc tế và Đào tạo sau đại học
o0o
TIỂU LUẬN
AN NINH MẠNG
Nội Dung:
HẠ TẦNG KHÓA CÔNG KHAI
Giảng viên hướng dẫn
:
PGS. TSKH. Hoàng Đăng Hải
Nhóm sinh viên
:
Hoàng Thạch Giang
Nguyễn Minh Thành
Trịnh Hữu Lực
Nguyễn Trung Quân
Lớp
:
M11CQDT01-B
Hà Nội, 07-2012
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 2
MỤC LỤC
MỤC LỤC 1
THUẬT NGỮ VIẾT TẮT 5
ĐẶT VẤN ĐỀ 10
1.1. Giới thiệu PKI 12
1.1.1. Các yêu cầu cơ bản trong bảo mật an toàn thông tin 12
1.1.2. Khả năng đáp ứng của các dịch vụ sử dụng PKI 13
1.1.3. Các dịch vụ bảo mật an toàn thông tin dựa trên hệ thống PKI 14
1.2. Các thành phần cơ bản của hệ thống PKI 14

1.2.3. Đối tượng quản lý đăng ký chứng thực số 16
1.2.4. Chứng chỉ số(Certificate) 16
1.2.5. Cơ quan tạo dấu thời gian (TSA) 16
1.3. Các hoạt động cơ bản trong hệ thống PKI 17
1.3.1. Mô hình tổng quát của hệ thống PKI 17
1.3.2. Thiết lập chứng chỉ số 18
1.3.3. Khởi tạo các EE 18
1.3.4. Các hoạt động liên quan đến giấy chứng nhận 19
1.3.4.1. Đăng ký và xác nhận ban đầu 19
1.3.4.2. Cập nhật thông tin về cặp khoá 19
1.3.4.3. Cập nhật thông tin về thẻ xác nhận 19
1.3.4.4. Cập nhật thông tin về cặp khoá của CA 20
1.3.4.5. Yêu cầu xác nhận ngang hàng 20
1.3.5. Phát hành thể và danh sách các thẻ bị huỷ bỏ 21
1.3.6. Các hoạt động phục hồi 21
1.3.7. Các hoạt động huỷ bỏ 22
1.4. Cấu trúc của các thông điệp PKI 22
1.4.1. Giới thiệu về nguyên tắc giải mã 22
1.4.2. Cấu trúc tổng quát của thông điệp PKI 24
1.4.3. Trường PKI Header 25
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 3
1.4.4. Trường PKIBody 26
1.4.4.1. Thông điệp yêu cầu khởi tạo 29
1.4.4.2. Thông điệp trả lời yêu cầu khởi tạo 29
1.4.4.3. Thông điệp yêu cầu đăng ký/yêu cầu thẻ xác nhận 29
1.4.4.4. Thông điệp trả lời yêu cầu đăng ký/yêu cầu thẻ xác nhận 30
1.4.4.5. Thông điệp yêu cầu cập nhật khoá 30
1.4.4.6. Thông điệp trả lời yêu cầu cập nhật khoá 30
1.4.4.7. Thông điệp yêu cầu khôi phục khoá 30

1.4.4.8. Thông điệp trả lời yêu cầu khôi phục khoá 30
1.4.4.9. Thông điệp yêu cầu huỷ bỏ 31
1.4.4.10. Thông điệp trả lời yêu cầu huỷ bỏ 31
1.4.4.11. Thông điệp yêu cầu thẻ xác nhận ngang hàng 32
1.4.4.12. Thông điệp trả lời yêu cầu xác nhận ngang hàng 32
1.4.4.13. Thông điệp công bố cập nhật khoá CA 32
1.4.4.14. Thông điệp công bố thẻ xác nhận 32
1.4.4.15. Thông điệp thông báo huỷ bỏ thẻ xác nhận 33
1.4.4.16. Thông điệp thông báo CRL 33
1.4.4.17. Thông điệp xác nhận 34
1.4.4.18. Thông điệp PKI đa mục đích 34
1.4.4.19. Thông điệp trả lời tổng quát 34
1.4.4.20. Thông điệp thông báo lỗi 34
1.5. Các mô hình triển khai hệ thống PKI 35
1.5.1. Kiến trúc phân cấp 35
1.5.1.1. Những ưu điểm của kiến trúc PKI phân cấp 36
1.5.1.2. Những khuyết điểm của kiến trúc PKI phân cấp 36
1.5.2. Kiến trúc hệ thống PKI mạng lưới 37
1.5.2.1. Ưu điểm của kiến trúc PKI mạng lưới 38
1.5.2.2. Nhược điểm của mô hình PKI mạng lưới 38
1.5.3. Kiến trúc danh sách tin cậy 38
1.5.3.1. Ưu điểm của kiến trúc PKI danh sách tin cậy 39
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 4
1.5.3.2. Nhược điểm của kiến trúc PKI danh sách tin cậy 40
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 42
TÀI LIỆU THAM KHẢO 44
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 5
THUẬT NGỮ VIẾT TẮT

An toàn an ninh thông tin
(Information Security)
Là các biện pháp tác động lện hệ
thống thông tin và bản thân thông tin để
đảm bảo thông tin không bị thay đổi,
phá huỷ. Đồng thời, kiểm soát được
các đối tượng truyền và nhận thông tin.
Bí mật thông tin
(Confidentiality)
Thông tin không được tiết lộ cho các
đối tượng không được cho phép.
CA cấp dưới
(Subordinate CA)
Là những CA mà trong một mô hình
PKI phân cấp, thẻ xác nhận của nó
được xác nhận bởi một CA khác.
Những hoạt động của CA này chịu sự
giám sát của chính CA đó.
CA cấp trên
(Superior CA)
Là những CA chứng nhận những thẻ
xác nhận và giám sát hoạt động của các
CA khác.
CA gốc
(Root CA)
Trong một sơ đồ PKI phân cấp, đây
là CA với khoá công khai được tin
tưởng ở mức độ cao nhất bởi các đối
tượng của một domain.
Cặp khoá

(Key Pair)
Hai khoá có liên quan đến nhau về mặt
toán học với hai thuộc tính: (i) Một
khoá có thể được dùng để mã hoá và
việc giải mã chỉ được thực hiện khi có
khoá còn lại. (ii) Khi biết một trong hai
khoá thì việc tính toán để tìm ra khoá
còn lại là không thể thực hiện được.
Chính sách thẻ xác nhận
Là một dạng chính sách quản trị các
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 6
(Certìicate Policy)
giao tác điện tử được thực hiện trong
quá trình quản lý thẻ xác nhận. Chính
sách này đáp ứng tất cả các yêu cầu của
quá trình tạo, phân phát, thống kê, phục
hồi và quản trị các thẻ xác nhận số.
Chữ ký số
(Digital Signature)
Là kết quả của phép chuyển đổi một
thông điệp bằng một hệ thống các
phép mã hoá có sử dụng các khoá mà
một đối tượng nhận được thông tin có
thể xác định được: (i) Dữ liệu được gửi
đến có phải được tạo ra với khoá riêng
ứng với khoá công khai trong thẻ xác
nhận của đối tượng gửi hay không.
(ii) Thông tin nhận được có bị thay đổi
sau khi phép chuyển đổi được thực

hiện không. Thông tin bị coi là đã thay
đổi nếu ta không thể kiểm chứng được
chữ ký số với khoá công khai tương
ứng của đối tượng đã tạo chữ ký số.
Danh sách tin cậy
(Trust List)
Tập hợp các thẻ xác nhận đã được một
đối tượng sử dụng tin cậy và dùng để
xác thực những thẻ xác nhận khác.
Danh sách thẻ xác nhận bị huỷ bỏ
(Certificate Revocation List - CRL)
Một danh sách do CA quản lý bao
gồm các thẻ xác nhận bị huỷ bỏ trước
khi chúng hết hạn.
Dữ liệu chưa mã hóa
(Plaintext)
Dữ liệu ở đầu vào của một thủ
tục mã hoá bảo mật
Dữ liệu đã mã hóa
(Ciphertext)
Dữ liệu ở đầu ra của một thủ
tục mã hoá bảo mật.
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 7
Định danh đối tượng
(Object Identifier – OID)
Là một só có định dạng riêng và đã
được đăng ký với một tổ chức được
công nhận trên phạm vi quốc tế.
Đối tượng quản lý đăng ký

(Registration Authority - RA)
Là đối tượng có vai trò phân biệt và
xác thực các đối tượng của thẻ xác
nhận nhưng không ký và cấp các thẻ
xác nhận.
Đối tượng quản lý xác nhận
(Certification Authority – CA)
Là đối tượng được tin cậy bởi một
nhóm người sử dụng nhất định với
chức năng phát hành và quản lý các
thẻ xác nhận và danh sách thẻ xác nhận
bị huỷ bỏ.
Hạ tầng khoá công khai
(Public Key Infrastructure - PKI)
Một tập các chính sách, các tiến trình
xử lý, các máy chủ dịch vụ, các máy
trạm cùng với các phần mềm được
sử dụng để quản lý các thẻ xác nhận
cùng với các cặp khoá công khai/khoá
riêng. Trong đó, các tính năng chính
bao gồm việc phát hành, duy trì và huỷ
bỏ các thẻ xác nhận chứa khoá công
khai.
Kênh truyền thông riêng
(Out-of-band)
Quá trình truyền thông giữa các đối
tượng thông qua các phương tiện khác
với các phương tiện được sử dụng để
duy trì liên lạc thông thường giữa các
đối tượng trong hệ thống.

Khoá công khai
(Public Key)
(i) Khoá thuộc về một cặp khoá tạo
chữ ký số được sử dụng để kiểm chứng
một chữ ký số. (ii) Khoá thuộc về một
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 8
cặp khoá mã hóa được sử dụng để mã
hóa thông tin bí mật. Trong cả hai
trường hợp, khoá này thường được phổ
biến với các thẻ xác nhận.
Khoá riêng
(Private Key)
(i) Khoá thuộc về một cặp khóa được
sử dụng để tạo chữ ký số. (ii) Khoá
thuộc về một cặp khoá mã hóa được
sử dụng để giải mã các thông tin bí
mật. Trong cả hai trường hợp, khoá
này phải được giữ bí mật.
Không thể bác bỏ
(Non-repudiation)
Tính năng này đề cập tới việc: nếu
một đối tượng có thể kiểm chứng một
chữ ký số bằng một khoá công khai
nào đó thì điều đó chứng tỏ đối tượng
đang nắm giữ khoá riêng tương ứng đã
tạo ra chữ ký số này.
Mã hoá bảo mật
(Encrypt)
Quá trình biến đổi thông tin ban đầu

thành thông tin có dạng trực quan là
ngẫu nhiên và vô nghĩa
Mã hoá dữ liệu
(Encode)
Quá trình đóng gói thông tin thành các
khuôn dạng phù hợp để truyền thông
hoặc lưu trữ.
Mã xác thực thông điệp
(Message Authentication Code -
MAC)
Là chuỗi các bit được tạo ra thông qua
các thuật toán tạo mã xác thực thông
điệp dựa trên các hàm phân tách. Mã
này được sử dụng để giúp đối tượng
nhận có thể đảm bảo mình nhận được
đúng thông tin mình cần.
Phương tiện lưu trữ
Một hệ thống với phần cốt lõi là cơ sở
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 9
(Repository)
dữ liệu chứa thông tin về thẻ xác nhận
và danh sách thẻ xác nhận bị huỷ bỏ.
Tấn công phát lại gói tin
(Replay Attack)
Là hình thức tấn công dựa trên việc bắt
gói tin truyền đến, thực hiện các chỉnh
sửa theo ý muốn và phát đi trong các
thời điểm sau này tới các đối tượng
nhận.

Tin cậy
(Trust)
Là việc chấp nhận một hành động hoặc
một thể hiện của đối tượng nào đó là
đúng.
Toàn vẹn dữ liệu
(Data Integerity)
Là việc đảm bảo thông tin không bị
thay đổi mà không bị phát hiện trong
quá trình truyền từ đối tượng tạo thông
tin đến đối tượng nhận.
Thẻ xác nhận
(Certificate)
Là hình thức biểu diễn thông tin dưới
dạng số với các thông tin tối thiểu sau:
(i) CA phát hành thẻ này. (ii) Định
danh của đối tượng sử dụng. (iii)
Khoá công khai của đối tượng sử
dụng. (iv) Thời gian hiệu lực của thẻ.
Thẻ này phải được ký bởi CA tạo ra nó.
Thẻ xác nhận ngang hàng
(Cross-Certificate)
Là thẻ xác nhận được dùng để thiết lập
mối quan hệ tin cậy giữa các CA.
Trao đổi khoá
(Key Exchange)
Là quá trình trao đổi các khoá để có
thể thiết lập một kênh liên lạc an toàn.
Xác thực
(Authenticate)

Khẳng định những thông tin về định
danh của một đối tượng khi đối tượng
đó trình diện
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 10
ĐẶT VẤN ĐỀ
Kể từ khi ra đời gần ba mươi năm trước đây, phương thức mã hoá bảo
mật với
khoá
công khai đã tạo nên một hướng phát triển mới cho các dịch vụ an
toàn và an ninh
thông
tin. Tư tưởng cốt lõi của phương thức mã hoá bảo mật
với khoá công khai là việc
sử
dụng cặp khoá công khai và khoá riêng. Mỗi đối
tượng truyền thông đều có một cặp
khoá
công khai và khoá riêng. Khoá công
khai của một đối tượng được thông báo cho tất
cả
các đối tượng tham gia
truyền thông, còn khoá riêng chỉ do đối tượng đó nắm
giữ.
Đối tượng truyền sẽ mã hoá thông tin cần truyền với khoá công khai của đối
tượng
nhận.
Sau đó, thông tin đã mã hoá sẽ được truyền đến cho đối tượng nhận.
Sau khi nhận
được

thông tin truyền đến, đối tượng nhận sẽ giải mã thông tin
truyền đến với khoá riêng
của mình.
Khi các dịch vụ an toàn sử dụng khoá công khai được phát triển rộng rãi thì
việc quản
lý
đối tượng cùng với khoá công khai trở nên phức tạp và phải đối
mặt với nhiều vấn đề
về
an toàn và an ninh thông tin. Mặt khác, do phạm vi
ứng dụng của các thông tin về
khoá
công khai là rất rộng lớn (có thể là trong
phạm vi quốc gia hoặc xuyên quốc gia) nên
phải
có được sự thống nhất về các
khoá công khai để đảm bảo các đối tượng có thể tham
gia
truyền thông ở nhiều
phạm vi khác nhau với nhiều dịch vụ an toàn và an ninh khác
nhau.
Trong những năm gần đây, một hướng giải quyết đã được nghiên cứu và triển
khai, đó
là
Hạ Tầng Khoá Công Khai (Public Key Infrastructure - PKI). PKI là
dịch vụ ở mức nền,
nó
đảm bảo về việc tạo lập, quản lý và phân phát các khoá
công khai của những đối
tượng

tham gia vào các dịch vụ an toàn, an ninh (dựa
trên phương thức mã hoá với khoá
công
khai) thông qua các thẻ xác nhận. PKI
có thể được triển khai trên nhiều phạm vi
khác
nhau; do vậy, nó có thể giải
quyết những khó khăn mà các ứng dụng an toàn an ninh
gặp
phải khi phải triển
khai trên phạm vi rộng và đối tượng sử dụng đa
dạng.
Việc nghiên cứu và triển khai hệ thống PKI trong phạm vi một doanh nghiệp hay
ở tầm
cỡ
một quốc gia đều đòi hỏi phải có những nghiên cứu kỹ lưỡng và một tầm
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 11
nhìn chiến
lược.
Theo nhiều ý kiến nhận định, PKI có tiềm năng phát triển và
ứng dụng rất lớn. Nó
sẽ
được ứng dụng rộng rãi trong các việc đảm bảo an
toàn và an ninh cho các hệ
thống
thông tin, trong thương mại điện tử, trong các
kênh liên lạc an toàn. Nói chung, PKI là
cần
thiết cho hầu hết các ứng dụng sử

dụng phương thức mã hoá bảo mật với khoá
công khai.
Với mục tiêu tìm hiểu và nghiên cứu những đặc trưng và các hoạt động cơ bản
của
hệ
thống PKI, trong phạm vi đồ án này, ta sẽ tìm hiểu những khái niệm cơ
bản, những
cấu
trúc dữ liệu đặc trưng, những mô hình hoạt động và những
chức năng cơ bản của
hệ
thống. Trên cơ sở kết quả nghiên cứu, ta sẽ triển khai
một hệ thống PKI đơn giản
nhằm
minh hoạ quá trình hoạt động của hệ thống
trong thực tế. Đây cũng là cách để ta hiểu
sâu
hơn về hệ thống PKI, về những yêu
cầu của quá trình triển khai hệ thống và những lợi
ích
mà hệ thống này có thể
mang
lại.
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 12
1.1. Giới thiệu PKI
Thành phần cốt lõi của hệ thống PKI là các thẻ xác nhận. Mỗi thẻ xác nhận có hai
thành phần thông tin cơ bản là định danh và khoá công khai của đối tượng sử dụng.
Các thẻ xác nhận này do đối tượng quản lý thẻ xác nhận tạo ra và ký với phương
thức chữ ký số. Trong một số hệ thống, đối tượng quản lý đăng ký được tách riêng

ra khỏi CA. Đối tượng này không tạo ra các thẻ xác nhận. Nó có nhiệm vụ xác minh
đối tượng truyền thông cho một CA sẽ cấp phát thẻ xác nhận cho đối tượng đó.
Nghĩa là, quá trình xác thực khi một đối tượng yêu cầu một thẻ xác nhận của CA sẽ
do RA đảm nhận.
Đúng như tên gọi của nó, PKI là một dịch vụ nền cho các dịch vụ an toàn an ninh
dựa trên các thẻ xác nhận. Trong các hệ thống này, PKI đảm nhận vai trò tạo lập,
quản lý và phân phát các thẻ xác nhận cho các đối tượng truyền thông. Nói tóm lại,
tất cả các chức năng quản lý của hệ thống PKI đều hướng tới một yêu cầu
duy nhất: Quản lý các đối tượng sử dụng trong hệ thống với khoá công khai của
các đối tượng đó.
1.1.1. Các yêu cầu cơ bản trong bảo mật an toàn thông tin
An toàn an ninh thông tin bao hàm nhiều vấn đề khác nhau, trong đó, nếu nói đến
các biện pháp an toàn an ninh có sử dụng các phương pháp mã hoá (với khoá công
khai), ta có thể kể đến 4 yêu cầu cơ bản sau đây:
 Toàn vẹn dữ liệu: Toàn vẹn dữ liệu đảm bảo cho thông tin không bị thay đổi
bởi những đối tượng không được cấp thẩm quyền.
 Không thể bác bỏ: Các đối tượng không thể bác bỏ những hành động mà
mình đã thực hiện.
 Xác thực đối tượng: Khả năng xác thực đối tượng cho các đối tượng truyền
tin biết chắc mình đang giao tiếp với đối tượng nào.
 Bí mật thông tin: Bí mật thông tin là yêu cầu trong việc đảm bảo rằng nếu A
muốn truyền thông tin cho B thì chỉ có B có thể đọc được thông tin này.
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 13
1.1.2. Khả năng đáp ứng của các dịch vụ sử dụng PKI
Trong phần này, ta sẽ lấy những ví dụ để minh hoạ khả năng đảm bảo các
yêu cầu về an toàn an ninh mà các dịch vụ sử dụng PKI (thực chất là các dịch vụ sử
dụng phương thức mã hoá với khoá công khai) có thể đáp ứng. Để tiện minh hoạ, ta
lấy phương thức chữ ký số để mô tả trong các ví dụ dưới đây. Chữ ký số là một
trong số những dịch vụ tiêu biểu nhất dựa trên phương thức mã hoá với khoá

công khai. Trong quá trình hoạt động, phương thức này được kết hợp chặt chẽ
với hệ thống PKI. Đối với khả năng bảo vệ tính toàn vẹn dữ liệu, khi một thông điệp
đã được mã hoá (tạo chữ ký số cho thông điệp), mọi thay đổi đối với chữ ký số
được tạo ra đều làm cho nó không thể được kiểm chứng bởi đối tượng nhận. Do
vậy, nếu đối tượng nhận không thể kiểm chứng được chữ ký số tạo bởi đối tượng
truyền thì chứng tỏ thông tin truyền đi đã bị thay đổi hoặc có sai sót.
Với vấn đề đảm bảo tính không thể bác bỏ, khi một đối tượng muốn tạo chữ
ký số cho một thông điệp, do chỉ đối tượng đó biết được khoá riêng của mình
nên nếu ta có thể kiểm chứng được một chữ ký số với khoá công khai của đối
tượng nào đó thì chứng tỏ đối tượng đó đã tạo ra chữ ký số với khoá riêng tương
ứng. Nghĩa là, tính không thể bác bỏ gắn các đối tượng với những hành động mà đối
tượng đó đã thực hiện.
Với yêu cầu xác thực đối tượng, khi một đối tượng A muốn xác thực định
danh của đối tượng B, nó gửi một thông điệp với một số thông tin nhất định dưới
dạng mã xác thực đến cho B. B tạo chữ ký số đối với thông điệp nhận được bằng
khoá riêng của mình và truyền lại cho A. A thực hiện kiểm chứng ký số của
B trên thông điệp vừa nhận được bằng khoá công khai của B. Nếu thông thông
điệp được kiểm chứng thì A biết chắc mình đang liên lạc với B.
Với việc đảm bảo tính bí mật của thông tin, khi A muốn trao đổi thông tin
với B, A mã hoá thông tin cần truyền với khoá công khai của B rồi truyền cho B.
Chỉ B biết khoá riêng của mình nên chỉ có B mới có thể giải mã và đọc được thông
tin.
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 14
1.1.3. Các dịch vụ bảo mật an toàn thông tin dựa trên hệ thống PKI
Trong sơ đồ dưới đây ta có thể có một cái nhìn khái quát về các dịch vụ an
toàn an ninh sử dụng các thẻ xác nhận trên cơ sở PKI.
Hình 1.1 Các ứng dụng dựa trên hệ thống PKI
1.2. Các thành phần cơ bản của hệ thống PKI
Dưới góc độ các hoạt động quản lý hệ thống PKI, những đối tượng tham gia

vào hệ thống PKI bao gồm: các đối tượng sử dụng (EE), các đối tượng quản lý thẻ
xác nhận (CA) và các đối tượng quản lý đăng ký (RA) và các hệ thống lưu trữ.
1.2.1. Chủ thể và các đối tượng sử dụng
Khái niệm chủ thể được sử dụng để chỉ đối tượng được ghi tên trong trường
subject của một thẻ xác nhận. Tuy nhiên, để tránh nhầm lẫn chủ thể với tên một
trường của thẻ xác nhận, ta nên dùng cụm từ đối tượng sử dụng. Ta cần lưu ý: Một
chủ thể có thể là một CA hoặc một EE, đây là do đặc tính của quá trình cấp phát thẻ
xác nhận. Thẻ xác nhận có thể được cấp cho CA hoặc EE. Tuy nhiên, ta chỉ gọi các
EE là đối tượng sử dụng vì chỉ những thẻ cấp cho đối tượng loại này mới được sử
dụng trực tiếp trong các dịch vụ an toàn an ninh. Thẻ xác nhận cấp cho các CA chủ
yếu được dùng để hình thành mối tin cậy giữa chúng.
Có một điều quan trọng mà ta cần lưu ý là khái niệm đối tượng sử dụng
không chỉ bao hàm những người sử dụng các dịch vụ mà còn là chính bản thân các
dịch vụ đó. Đây là một điều hiển nhiên bởi vì các trình ứng dụng an toàn an ninh
được đề cập đến ở đây là những dịch vụ dựa trên thẻ xác nhận. Điều này sẽ ảnh
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 15
hưởng đến những giao thức mà các hoạt động của hệ thống PKI sử dụng. Ví dụ, một
phần mềm ứng dụng có thể biết chắc những trường mở rộng nào của một thẻ xác
nhận là cần thiết trong khi một người sử dụng phần mềm đó thì lại hầu như không
biết về những thông tin này. Trong một số trường hợp cho phép, ta có thể coi
các đối tượng sử dụng là những đối tượng không thuộc loại các đối tượng
quản lý hệ thống PKI.
Tất cả các đối tượng sử dụng ít nhất phải có khả năng quản lý và truy cập
một cách an toàn đến các thông tin sau:
 Tên của chính đối tượng đó.
 Khoá riêng của đối tượng đó.
 Tên của CA được chính đối tượng này tin tưởng (trusted CA).
 Khoá công khai của CA này.
Trong quá trình triển khai, các đối tượng sử dụng những phương tiện lưu trữ

an toàn để lưu các thông tin ngoài những thông tin tối thiểu kể trên (thẻ xác nhận
của đối tượng, các thông tin cho các dịch vụ cụ thể). Việc lưu trữ thông tin dưới
hình thức như trên được gọi là môi trường an toàn cá nhân.
1.2.2. Nhà cung cấp chứng thực số CA (Certificate Authority)
Trong các hệ thống quản lý chứng chỉ số đang hoạt động trên thế giới, Nhà
cung cấp chứng thực số (Certificate Authority - CA) là một tổ chức chuyên đưa ra
và quản lý các nội dung xác thực bảo mật trên một mạng máy tính, cùng các khoá
công khai (public key infrastructure - PKI), một CA sẽ kiểm soát cùng với một nhà
quản lý đăng ký (Registration authority - RA) để xác minh thông tin về một chứng
chỉ số mà người yêu cầu xác thực đưa ra. Nếu RA xác nhận thông tin của người cần
xác thực, CA sau đó sẽ đưa ra một chứng chỉ.
Tuỳ thuộc vào việc triển khai cơ sở hạ tầng khoá công khai, chứng chỉ số sẽ
bao gồm khoá công khai của người sở hữu, thời hạn hết hiệu lực của chứng chỉ, tên
chủ sở hữu và các thông tin khác về chủ khoá công khai.
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 16
1.2.3. Đối tượng quản lý đăng ký chứng thực số
Một nhà quản lý đăng ký (Registration Authority - RA) là một cơ quan thẩm
tra trên một mạng máy tính, xác minh các yêu cầu của người dùng muốn xác thực
một chứng chỉ số, và yêu cầu CA đưa ra kết quả. RA là một phần trong cơ sở hạ
tầng khoá công khai PKI, một hệ thống cho phép các công ty và người dùng trao đổi
các thông tin và hoạt động tài chính một cách an toàn bảo mật.
1.2.4. Chứng chỉ số(Certificate)
Chứng chỉ số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân,
một máy chủ, một công ty…trên Internet. Giống như bằng lái xe, hộ chiếu, chứng
minh thư hay những giấy tờ nhận diện cá nhân thông thường khác, chứng chỉ số
cung cấp bằng chứng cho sự nhận diện của một đối tượng.
Để có chứng minh thư, bạn phải được cơ quan Công An sở tại cấp. Chứng chỉ số
cũng vậy, phải do một tổ chức đứng ra chứng nhận những thông tin của bạn là chính
xác, được gọi là Nhà cung cấp chứng thực số (Certificate Authority, viết tắt là CA).

CA phải đảm bảo về độ tin cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số
mà mình cấp.
Trong chứng chỉ số có ba thành phần chính:
 Thông tin cá nhân của người được cấp.
 Khoá công khai (Public key) của người được cấp.
 Chữ ký số của CA cấp chứng chỉ.
 Thời gian hợp lệ
1.2.5. Cơ quan tạo dấu thời gian (TSA)
Một dấu thời gian đáng tin cậy là dấu thời gian được phát hành bởi một bên
thứ ba đáng tin hoạt động như một cơ quan tạo dấu thời gian (TSA). Nó được sử
dụng để chứng minh sự tồn tại của một dữ liệu nhất định trước một điểm nhất định
(ví dụ như hợp đồng, dữ liệu nghiên cứu, hồ sơ y tế , ) mà chủ sở hữu của nó
không thể thay đổi để dấu thời gian lùi lại được.
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 17
Kỹ thuật này được dựa trên chữ ký số và hàm băm. Trước tiên, một hàm băm sẽ
được tính toán từ dữ liệu và được gửi đến TSA. TSA sẽ ghép một dấu thời gian vào
hàm băm đó và tính toán hàm băm của sự ghép nối này. Sau đó hàm băm này sẽ
được ký kỹ thuật số với khoá riêng của TSA. Hàm đã ký đó cùng dấu thời gian sẽ
được gửi trở lại cho người yêu cầu dấu thời gian để lưu trữ chúng các dữ liệu ban
đầu.
Hình 1.2: Cơ quan tạo dấu TSA
1.3. Các hoạt động cơ bản trong hệ thống PKI
1.3.1. Mô hình tổng quát của hệ thống PKI
Trong sơ đồ dưới đây là các đối tượng của hệ thống PKI và mối quan hệ giữa
chúng trên cơ sở các hoạt động quản lý PKI. Mối liên hệ được thể hiện bằng các
thông điệp được truyền đi giữa các đối tượng trong hệ thống.
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 18
Hình 1.3 Các đối tượng và hoạt động cơ bản trong hệ thống PKI

1.3.2. Thiết lập chứng chỉ số
Các thẻ xác nhận được tạo ra trên cơ sở một số thông tin cơ bản (đối tượng
phát hành, đối tượng sử dụng, thuật toán tạo chữ ký số, thời hạn lưu hành …) và
một số thông tin mở rộng. Song song với quá trình tạo ra một thẻ xác nhận mới, ta
cũng cần tiến hành một số bước phụ trợ. Ta có thể kể đến việc tạo lập hoặc cập nhật
danh sách các thẻ bị huỷ bỏ, việc đăng tải thông tin về khoá công khai của CA, lưu
thẻ xác nhận vừa tạo được.
1.3.3. Khởi tạo các EE
Quá trình này đòi hỏi một số bước cơ bản như sau: Trước tiên, đối tượng này
phải thu thập được thông tin về khoá công khai của CA gốc. Điều này giúp
cho các thông điệp được truyền đi giữa đối tượng đó và CA gốc được đảm
bảo an toàn và cũng là một phương thức để xác thực EE Sau đó, EE phải thu
thập thông tin về các tuỳ chọn được hỗ trợ bởi đối tượng quản lý PKI. Điều này rất
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 19
quan trọng vì nó ảnh hưởng đến giao thức hoạt động và các thông điệp mà EE
truyền đi hay nhận về.
1.3.4. Các hoạt động liên quan đến giấy chứng nhận
Có nhiều hoạt động liên quan tới thẻ xác nhận, các hoạt động đó được phân thành:
1.3.4.1. Đăng ký và xác nhận ban đầu
Trong quá trình này, trước tiên, EE phải thông báo cho CA hoặc RA biết về sự hiện
diện của mình trong hệ thống. Đối tượng được thông báo có quyền ưu tiên cao hơn
là CA sẽ cấp phát cho EE này một thẻ xác nhận khi nó chấp nhận yêu cầu. Kết quả
của quá trình này là một CA sẽ tạo ra một thẻ xác nhận cho EE ứng với khoá công
khai mà EE này cung cấp khi đăng ký. Đồng thời, CA này cũng gửi thẻ xác nhận
này đến cho hệ thống lưu trữ. Trong một hệ PKI lớn, hệ thống lưu trữ có vai trò
quan trọng và có tính độc lập cao đối với CA.
Nếu xét một cách chi tiết, giai đoạn này gồm nhiều bước nhỏ hơn. Có thể, nó sẽ bao
gồm cả công đoạn khởi tạo các công cụ của EE. Ví dụ, để có thể được sử dụng trong
công đoạn kiểm chứng đường dẫn đến các thẻ xác nhận, các công cụ của EE phải

được khởi tạo một cách an toàn với khoá công khai của một CA nào đó. Ngoài ra,
một EE còn cần phải được khởi tạo với cặp khoá của chính nó.
1.3.4.2. Cập nhật thông tin về cặp khoá
Mỗi đối tượng tham gia vào hệ thống PKI đều phải có một cặp khoá gồm khoá công
khai và khoá riêng. Tất cả các cặp khoá này cần phải được cập nhật một cáchthường
xuyên vì các cặp khoá này có thể được thay bằng cặp khoá mới. Việc thay đổi thông
tin của các cặp khoá này có thể là do chúng đã hết hạn sử dụng hoặc đã bị lộ.
Như vậy, để đảm bảo tất cả các đối tượng có liên quan nắm được thông tin mới nhất
về cặp khoá của mình, đối tượng sở hữu cặp khoá phải tạo các thông điệp cập
nhật cặp khoá để gửi đến cho các đối tượng có liên quan.
1.3.4.3. Cập nhật thông tin về thẻ xác nhận
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 20
Mỗi thẻ xác nhận được cấp phát cho các đối tượng sử dụng chỉ có tác dụng trong
một khoảng thời gian đã định. Khi các thẻ xác nhận này hết hạn và đối tượng sử
dụng muốn tiếp tục có được thẻ xác nhận của mình thì CA quản lý đối tượng ấy sẽ
tạo ra một thẻ xác nhận mới cho đối tượng và phải làm nhiệm vụ cập nhật thông tin
về thẻ xác nhận này. Trong trường hợp không có sự thay đổi nào về các tham số
môi trường của hệ thống PKI, các CA có thể chỉ cần “làm tươi” các thẻ xác nhận
này.
1.3.4.4. Cập nhật thông tin về cặp khoá của CA
Cũng giống như đối với các EE, cặp khoá của CA cũng cần được cập nhật thường
xuyên. Tuy nhiên, do vai trò và các mối liên hệ của CA trong hệ thống có nhiều
khác biệt và phức tạp hơn nên ta cần phải có những cơ chế thích hợp để thực hiện
công việc này. Ví dụ, CA phải gửi được thông tin về cặp khoá công khai của mình
tới tất cả các EE mà nó quản lý theo kiểu multicast. Ngoài ra, nó còn phải gửi thông
tin này đến các CA khác có liên quan.
1.3.4.5. Yêu cầu xác nhận ngang hàng
Khi diễn ra quá trình trao đổi thông tin giữa các CA ngang hàng, một CA có thể sẽ
yêu cầu CA còn lại gửi cho mình một thẻ xác nhận ngang hàng. Thẻ xác nhận ngang

hàng này về bản chất cũng giống với các thẻ xác nhận dành cho các EE. Trường
subject của thẻ xác nhận ngang hàng dùng để chỉ CA được cấp thẻ còn trường issuer
được dùng để chỉ CA cấp phát thẻ.
Trong các loại thẻ xác nhận ngang hàng, ta phân ra làm hai loại như sau: Nếu hai
CA thuộc về vùng quản lý khác nhau, ta có thẻ xác nhận ngang hàng liên miền. Nếu
hai CA thuộc cùng một vùng quản lý thì ta gọi đó là thẻ xác nhận ngang hàng nội
miền.
Đối với các thẻ xác nhận ngang hàng, ta có một số chú ý sau:
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 21
 Trong nhiều hệ thống PKI, nếu không có những định nghĩa chi tiết hơn, các
thẻ xác nhận ngang hàng thường được hiểu là thẻ xác nhận ngang hàng liên
miền.
 Việc phát hành các thẻ xác nhận ngang hàng không nhất thiết phải được tiến
hành ở cả hai CA. Nghĩa là có cả trường hợp một CA được xác nhận bởi một
CA khác mà không có theo chiều ngược lại.
1.3.4.6. Cập nhật thẻ xác nhận ngang hàng
Việc cập nhật thẻ xác nhận ngang hàng cũng giống với việc cập nhật thẻ xác nhận
cho các đối tượng sử dụng. Tuy nhiên, các đối tượng có liên quan đến quá trình này
chỉ là các CA.
1.3.5. Phát hành thể và danh sách các thẻ bị huỷ bỏ
Có những hoạt động của hệ thống quản lý PKI sẽ dẫn đến việc tạo ra các thẻ
xác nhận hoặc danh sách các thẻ xác nhận bị huỷ bỏ. Ta có hai hoạt động tiểu biểu
thuộc loại này là: phát hành thẻ xác nhận và phát hành danh sách thẻ xác nhận bị
huỷ bỏ.
Khi CA phát hành một thẻ xác nhận, trước tiên, nó cần phải dựa trên định dạng của
thẻ xác nhận cần cấp. Sau khi có được các thông tin về chính sách quản trị, CA sẽ tổ
chức chúng theo định dạng đã biết, khi đó, thẻ xác nhận đã hoàn thiện. Tuy nhiên,
việc phát hành thẻ xác nhận chỉ hoàn tất sau khi CA gửi thông tin về thẻ xác
nhận này đến đối tượng sử dụng và lưu thẻ này vào hệ thống lưu trữ.

Việc phát hành danh sách thẻ xác nhận bị huỷ bỏ cũng được tiến hành như với
danh sách thẻ xác nhận. Tuy nhiên, thông tin về danh sách này chỉ được truyền cho
hệ thống lưu trữ.
1.3.6. Các hoạt động phục hồi
Các hoạt động phục hồi được thực hiện khi các đối tượng sử dụng đánh mất
thông tin mà nó lưu trữ. Ví dụ, như đã nêu ở phần trên, các đối tượng sử
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 22
dụng có thể có một số phương tiện lưu trữ an toàn cá nhân; khi phương tiện lưu
trữ này bị hỏng thì nó cần phải nhờ đến CA để phục hồi các thông tin bị mất.
Việc phục hồi thông tin chủ yếu được tập trung vào việc phục hồi các cặp khoá. Đối
với các CA và RA, việc lưu trữ thông tin backup về khoá của các đối tượng là
không bắt buộc. Khi các đối tượng sử dụng cần phục hồi các cặp khoá của mình, ta
cần phải có thêm một số giao thức chuyển đổi để hỗ trợ việc phục hồi khoá.
1.3.7. Các hoạt động huỷ bỏ
Có một số hoạt động quản lý hệ thống PKI dẫn đến việc tạo một danh sách
thẻ xác nhận sẽ được huỷ bỏ hoặc bổ sung những thẻ cần được huỷ bỏ vào danh
sách này. Ví dụ, một đối tượng đã được phân quyền trong hệ thống có thể thông báo
cho CA về một trạng thái không bình thường và cần phải có một số yêu cầu huỷ bỏ
thẻ xác nhận. Cụ thể, nếu ta phát hiện được một đối tượng đã đăng ký để lấy thẻ xác
nhận có những biểu hiện không bình thường hoặc những thông tin do đối tượng này
có một số bất hợp lý thì ta có thể báo cho CA biết và huỷ bỏ thẻ xác nhận đã cấp
cho đối tượng sử dụng đó.
Đối với tất cả các hoạt động đã nêu trên, ta có một số lưu ý sau: Các giao thức làm
việc theo chế độ on-line không phải là giải pháp duy nhất để thực hiện các hoạt
động trên. Đối với tất cả các giao thức hoạt động theo chế độ on-line, ta đều có một
phương thức hoạt động theo chế độ off-line cho kết quả tương đương.
1.4. Cấu trúc của các thông điệp PKI
Tất cả các quá trình trao đổi thông tin giữa các đối tượng trong hệ thống PKI đều
được thực hiện thông qua việc trao đổi các thông điệp được định nghĩa riêng cho hệ

thống. Các thông điệp này được tạo ra trên cơ sở các chức hoạt động cơ bản của hệ
thống PKI đã được nêu trong phần trước. Sau đây ta sẽ tìm hiểu chi tiết về các thông
điệp được sử dụng trong hệ thống PKI.
1.4.1. Giới thiệu về nguyên tắc giải mã
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 23
Trong phần này, để tiện mô tả các cấu trúc thông điệp, ta sử dụng kiểu ngôn
ngữ giả lập trình C. Trong phần dưới đây, ta có đoạn mã mô tả cấu trúc chung của
một thông điệp PKI và những giải thích cho nguyên tắc giả mã của toàn bộ tài
liệu.Tất cả các thông điệp được sử dụng trong việc quản lý hệ thống PKI có cấu trúc
chung như sau:
Hình 1.4 Câu trúc dữ liệu viết dưới dạng giải mã
Trong hình trên, ta có một minh hoạ tiêu biểu cho một cấu trúc dữ liệu được viết
dưới dạng giả mã. Với các trường thông tin được đánh số như trên, ta thấy một đoạn
giả mã có các thành phần và ý nghĩa của chúng như sau:
 Tên của cấu trúc: Phần này được thể hiện đầu tiên trong đoạn giả mã. Nó
cho ta biết cấu trúc thông tin nào được định nghĩa.
 Kiểu tập hợp cấu trúc: Phần này cho ta biết cấu trúc được định nghĩa là một
mảng của tập các thành phần (SEQUENCE), là chọn lựa một trong số
các thành phần (CHOICE) hay chỉ đơn thuần bao gồm các thành phần đó.
 Tên các trường: Đây là tên của các trường tạo nên cấu trúc cần định nghĩa.
Như vậy, phần này cho ta biết cấu trúc được định nghĩa gồm những trường
nào.
 Số thứ tự các trường tuỳ chọn: Thành phần thông tin này chỉ xuất
hiện khi nào trong cấu trúc định nghĩa có các thành phần tuỳ chọn. Thành
phần này có nhiệm vụ đánh số thứ tự các trường thông tin không bắt buộc
trong cấu trúc.
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 24
 Kiểu của các trường: Trường này cho ta biết kiểu ứng với tên các trường

trong cấu trúc. Kiểu của các trường có thể là các kiểu dữ liệu cơ bản hay có
thể là các kiểu dữ liệu có cấu trúc khác.
 Dấu hiệu báo tuỳ chọn: Trường này chỉ xuất hiện khi nào cấu trúc cần định
nghĩa có các thành phần tuỳ chọn. Nếu trường này xuất hiện (OPTIONAL)
thì trường thông tin nằm trên cùng dòng với dấu hiệu này được hiểu là tuỳ
chọn.
1.4.2. Cấu trúc tổng quát của thông điệp PKI
Hình 1.3 mô tả nguyên tắc giả mã trong phần trước có chứa đoạn mã định nghĩa cấu
trúc chung của thông điệp PKI. Ta nhận thấy trong một thông điệp sẽ có hai trường
cơ bản và hai trường tuỳ chọn. Hai trường cơ bản là:
 Trường header: Trường này cho ta biết các thông tin liên quan đến các đối
tượng truyền và nhận trong hệ thống PKI. Trong hầu hết các thông
điệp PKI, trường header có định dạng giống nhau. Trường này bắt
buộc phải tồn tại trong mọi thông điệp PKI và không được phép là rỗng.
 Trường body: Trường này chứa nội dung mà thông điệp PKI cần truyền tải.
Phần này của thông điệp có cấu trúc không xác định. Định dạng của trường
body trong thông điệp sẽ tuỳ thuộc vào đối tượng tạo ra nó, vào thông tin nó
truyền tải và nó được tạo ra bởi chức năng nào của hệ thống. Trong những
trường hợp đặc biệt, trường body có thể là rỗng.
 Trường protection: Trường này đóng vai trò bảo vệ cho thông tin được
truyền đi. Về nguyên tắc, các thông tin cần được bảo vệ thường được
mã hoá và chứa trong phần thân của thông điệp. Trường protection có vai
trò bảo vệ ở lớp ngoài cho cả thông điệp PKI. Thông thường, đây là những
bit được tạo ra nhờ một số thuật toán mã hoá bảo mật được hệ thống
PKI hỗ trợ. Tuy nhiên, đây là một trường tuỳ chọn và trong thực tế ta ít
sử dụng đến trường này. Trong phần mô tả chi tiết, ta cũng sẽ không đề cập
sâu hơn tới trường này.
TIỂU LUẬN AN NINH MẠNG HẠ TẦNG KHÓA CÔNG KHAI
LỚP M11CQDDT01-B 25
 Trường extraCerts: Đây là trường chứa mảng các thẻ xác nhận bổ sung. Các

thẻ xác nhận này thường có tác dụng giúp cho đối tượng nhận kiểm chứng
thông tin nhận được và xác thực đối tượng. Trường này cũng được đánh dấu
là tuỳ chọn và ta sẽ không mô tả chi tiết hơn nữa về nó trong các
phần sau vì nó không thường xuyên được sử dụng.
1.4.3. Trường PKI Header
Tất cả các thông điệp PKI đều phải chứa phần thông tin header để xác định địa chỉ
và thực hiện các giao tác. Khi các thông điệp PKI được bảo vệ (sử dụng các phương
thức mã hoá) thì trường thông tin này cũng được mã hoá. Các trường thông tin có
trong phần header của thông điệp gồm có:
Hình 1.5 Trường thông tin có trong phần header của thông điệp
 pvno: Trường này có kiểu số nguyên, nó định ra phiên bản của thông điệp
PKI; hiện tại, trường này có giá trị cao nhất là 2, ứng với phiên bản thứ 3.
 sender: Trường này chứa tên của đối tượng gửi thông điệp PKI. Khi
được sử dụng với trường senderKID, nó cho phép ta kiểm tra khả năng bảo
vệ thông điệp.
 recipient: Trường này chứa tên của đối tượng nhận thông điệp PKI. Khi
được sử dụng với trường recipKID, nó cho phép ta kiểm tra khả năng bảo vệ
thông điệp. protectionAlg: Trường này định ra thuật toán mã hoá được
sử dụng để bảo vệ thông điệp. Trường này phụ thuộc vào bit
PKIProtection, nếu bit này báo hiệu thông điệp không được bảo vệ thì