ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

VŨ THỊ NGỌC ANH

NGHIÊN CỨU VỀ MOBILE PKI VÀ HẠ TẦNG
ỨNG DỤNG PKI TRÊN THIẾT BỊ DI ĐỘNG

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội - 2015


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

VŨ THỊ NGỌC ANH

NGHIÊN CỨU VỀ MOBILE PKI VÀ HẠ TẦNG
ỨNG DỤNG PKI TRÊN THIẾT BỊ DI ĐỘNG

Ngành: Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã số: 60480104

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. NGUYỄN VIẾT THẾ

Hà Nội - 2015

-1-

LỜI CAM ĐOAN
Tôi xin cam đoan toàn bộ nội dung bản luận văn “ Nghiên cứu về Mobile
PKI và hạ tầng ứng dụng PKI trên thiết bị di động” là do tôi tìm hiểu, nghiên
cứu, tham khảo và tổng hợp từ các nguồn tài liệu khác nhau và làm theo hướng
dẫn của người hướng dẫn khoa học. Các nguồn tài liệu tham khảo, tổng hợp đều
có nguồn gốc rõ ràng và trích dẫn theo đúng quy định.
Tôi xin chịu hoàn toàn trách nhiệm về lời cam đoan của mình. Nếu có
điều gì sai trái, tôi xin chịu mọi hình thức kỷ luật theo quy định.
Hà Nội, tháng 06 năm 2015
Người cam đoan

Vũ Thị Ngọc Anh


-2-

LỜI CẢM ƠN
Trước hết em xin gửi lời cảm ơn chân thành đến các thầy cô ở Khoa Công
Nghệ Thông Tin - trường Đại học Công nghệ - Đại học Quốc gia Hà Nội đã
nhiệt tình và tâm huyết truyền đạt cho em những kiến thức quý báu trong suốt
thời gian học tập tại trường. Em xin gửi lời cảm ơn sâu sắc đến TS. Nguyễn Viết
Thế – Bộ Công an đã nhiệt tình, tận tâm định hướng, hướng dẫn và cho em
những lời khuyên bổ ích để em hoàn thành luận văn tốt nghiệp này. Cuối cùng,
em xin cảm ơn gia đình, bạn bè đã luôn động viên và ủng hộ em trong suốt quá
trình học tập và hoàn thành luận văn này.
Bài luận văn được thực hiện trong khoảng thời gian 4 tháng. Bước đầu đi
vào thực tế, tìm hiểu về lĩnh vực Mobile PKI, do kiến thức của em còn nhiều

hạn chế và còn nhiều bỡ ngỡ, nên không tránh khỏi những thiếu sót. Em rất
mong nhận được những ý kiến đóng góp quý báu từ phía quý thầy cô và các bạn
để luận văn được hoàn thiện hơn.
Hà Nội, tháng 06 năm 2015
Học viên

Vũ Thị Ngọc Anh


-3-

MỤC LỤC
LỜI CAM ĐOAN ........................................................................................................ 1
LỜI CẢM ƠN ............................................................................................................. 2
LỜI NÓI ĐẦU............................................................................................................. 5
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT ................................................... 6
DANH MỤC CÁC BẢNG, HÌNH VẼ ......................................................................... 7
Chương I: TỔNG QUAN HẠ TẦNG KHÓA CÔNG KHAI ....................................... 8
1.1. CƠ SỞ MẬT MÃ HỌC ..................................................................................... 9
1.1.1. Hệ mật mã khóa bí mật ................................................................................ 9
1.1.2. Hệ mật mã khóa công khai .......................................................................... 9
1.1.3. Chữ ký số .................................................................................................. 10
1.1.4. Hàm Băm .................................................................................................. 10
1.2. HỆ THỐNG PKI ............................................................................................. 11
1.2.1. Mục tiêu của hệ thống PKI ........................................................................ 11
1.2.2. Các thành phần của hệ thống PKI .............................................................. 11
1.2.3. Các hoạt động trong hệ thống PKI ............................................................. 15
1.2.4. Trao đổi thông tin dựa trên PKI ................................................................. 18
1.3. CÁC MÔ HÌNH KIẾN TRÚC CỦA HỆ THỐNG PKI .................................... 19
1.3.1. Kiến trúc một CA đơn (CA Single Architecture) ........................................ 20

1.3.2. Trust List ................................................................................................... 21
1.3.3. Kiến trúc CA phân cấp (Hierarchical architecture) ................................... 21
1.3.4. Kiến trúc mắt lưới (Mesh architecture) ...................................................... 22
1.3.5. Kiến trúc kết hợp (Hybrid architecture)..................................................... 23
1.3.6. Kiến trúc kiểu chứng thực chéo (Cross-certificate architecture) ................ 23
1.3.7. Kiến trúc CA cầu nối (Bridge CA architecture) ......................................... 24
1.4. CÁC GIẢI PHÁP AN TOÀN ĐỐI VỚI HẠ TẦNG PKI ................................. 24
1.4.1. An toàn vật lý ............................................................................................ 24
1.4.2. An toàn Logic............................................................................................ 25
Chương 2: HẠ TẦNG MOBILE PKI ........................................................................ 28
2.1. CÔNG NGHỆ VÀ GIAO THỨC SỬ DỤNG TRONG MOBILE PKI ............. 28
2.2. KIẾN TRÚC MÔ HÌNH CÔNG NGHỆ CỦA HẠ TẦNG MOBILE PKI ......... 29
2.2.1. Các yêu cầu đối với Mobile PKI ................................................................ 29


-4-

2.2.2. Các thành phần trong hệ thống Mobile PKI ............................................... 32
2.2.3. Mô hình Mobile PKI ................................................................................. 36
2.2.4. Các hoạt động trong hệ thống Mobile PKI ................................................. 38
2.2.5. Quản lý chứng thư số................................................................................. 40
2.2.6. Xác thực chứng thư số ............................................................................... 41
2.2.7. Lưu trữ khóa bí mật trong Mobile PKI ...................................................... 42
2.3. BẢO MẬT TRONG MOBILE PKI ................................................................. 44
2.4. ƯU VÀ NHƯỢC ĐIỂM CỦA MOBILE PKI .................................................. 46
2.4.1. Ưu điểm .................................................................................................... 46
2.4.2. Nhược điểm ............................................................................................... 46
2.5. ỨNG DỤNG VÀ GIẢI PHÁP HẠ TẦNG MOBILE PKI................................ 46
2.5.1. Ứng dụng Mobile PKI ............................................................................... 46
2.5.2. Giải pháp ................................................................................................... 48

CHƯƠNG 3: ỨNG DỤNG TRÊN THIẾT BỊ MOBILE CHẠY TRÊN NỀN TẢNG
ANDROID ................................................................................................................ 50
3.1. XÂY DỰNG ỨNG DỤNG CHỮ KÝ SỐ TRÊN ĐIỆN THOẠI DI ĐỘNG .... 50
3.1.1. Mục tiêu và giải pháp ................................................................................ 50
3.1.2. Hoạt động của ứng dụng ............................................................................ 51
3.2. XÂY DỰNG ỨNG DỤNG KÝ SỐ TRÊN HỆ ĐIỀU HÀNH ANDROID ....... 54
3.2.1. Phân tích thiết kế ....................................................................................... 54
3.2.2. Thiết kế ..................................................................................................... 56
3.2.3. Xây dựng chương trình .............................................................................. 57
PHỤ LỤC .................................................................................................................. 64
KẾT LUẬN ............................................................................................................... 69
TÀI LIỆU THAM KHẢO ......................................................................................... 70


-5-

LỜI NÓI ĐẦU
Ngày nay, thiết bị di động (máy tính bảng, điện thoại di động, laptop...)
đang phát triển rất mạnh và là một thiết bị không thể thiếu trong xã hội. Việc sử
dụng các thiết bị di động để trao đổi thông tin, dữ liệu, xử lý giao dịch thông qua
mạng Internet, các hệ thống như Mobile Banking, Payment, E-commerce hay
các giao dịch hành chính điện tử … đã trở nên phổ biến. Chỉ với chiếc điện thoại
di động có khả năng kết nối Internet qua Wifi, 3G hoặc GPRS, người dùng có
thể thực hiện giao dịch mọi lúc, mọi nơi. Tuy nhiên môi trường Internet lại
không an toàn và tiềm ẩn nhiều nguy cơ mất an toàn. Đặc biệt sau những vụ tấn
công dồn dập trên mạng trong thời gian gần đây như trộm email, nghe lén điện
thoại, hàng loạt vụ tấn công liên quan đến an toàn thông tin trên mạng internet
khiến người dùng lo lắng. Đứng trước nguy cơ đánh cắp thông tin khi sử dụng
các tài khoản email giao dịch mua bán trên mạng, việc đảm bảo an toàn thông
tin trở nên vô cùng cấp thiết. Đặc biệt, nhiều người có thói quen sử dụng thiết bị

di động để giải quyết công việc, do đó việc áp dụng các biện pháp bảo mật an
toàn càng khó khăn hơn.
Trước thực trạng đó, cần một giải pháp ứng dụng chữ ký số trên thiết bị di
động nhằm nâng cao tính bảo mật và an toàn khi gửi tin nhắn, email hay sử dụng
các phần mềm tương tự cho người dùng, một cơ chế xác thực người dùng thân
thiện cung cấp mức độ bảo mật cao. Việc xác thực người dùng và bảo mật các
thông tin liên lạc có thể được thực hiện bằng nhiều phương pháp khác nhau như:
sử dụng mật khẩu và mật mã khóa đối xứng thông thường, sử dụng mật mã khóa
phi đối xứng, các công nghệ sinh trắc hiện đại, nhưng giải pháp hạ tầng khóa
công khai PKI cho thiết bị di động (Mobile PKI) là giải pháp giải quyết các vấn
đề trên một cách hiệu quả và thực sự cần thiết.
Lâu nay, vấn đề bảo mật và an toàn thông tin chủ yếu dành cho các PC và
máy tính sách tay, còn trên thiết bị di động có rất ít. Mobile PKI và hạ tầng ứng
dụng PKI trên thiết bị di động (Mobile) là một vấn đề tương đối mới, đã nhắm
đúng nhu cầu thực tế của thị trường tại Việt Nam. Hiện nay, tại Việt Nam đã có
một số công ty và doanh nghiệp nghiên cứu và phát triển các ứng dụng hạ tầng
PKI trên thiết bị di động như VNPT, NacenComm, Bkis, Viettel, FPT … Do
tính linh động của thiết bị di động, hơn nữa Mobile PKI là một vấn đề mới có
tính cấp thiết và được đánh giá là một giải pháp có tiềm năng phát triển tại Việt
Nam nên em lựa chọn đề tài: “Nghiên cứu về Mobile PKI và hạ tầng ứng dụng
PKI trên thiết bị di động”.
Hà Nội, tháng 06 năm 2015


-6-

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

AC
CMP

CP
CPS
CRL
GUI
HSM
IMSI
OCSP
PKI
RU
SPKC
SSL
WTLS

Attribute Certificate
Certificate Manager Protocol
Certificate Policy
Certificate Practices Statement
Certificate Revocation list
Graphycal User Interface
Hardware Security Module
International Mobile Subscriber Identity
Online Certificate Status Protocol
Public Key Infrastructure
Registration Utility
Simple Public Key Certificate
Secure Sockets Layer
Wireless Transport Layer Security


-7-


DANH MỤC CÁC BẢNG, HÌNH VẼ
Hình 1.1
Hình 1.2
Hình 1.3
Hình 1.4
Hình 1.5
Bảng 2.1
Bảng 2.2
Bảng 2.3
Hình 2.4
Hình 2.5
Hình 2.6
Hình 2.7
Hình 2.8
Hình 2.9
Hình 2.10
Hình 2.11
Hình 3.1
Hình 3.2
Hình 3.3
Hình 3.4
Hình 3.5
Hình 3.6
Hình 3.7
Hình 3.8
Hình 3.9
Hình 3.10
Hình 3.11
Hình 3.12


Hoạt động của hệ thống PKI
Một phiên giao dịch dựa trên PKI
Kiến trúc CA đơn
Kiến trúc CA phân cấp
Kiến trúc mắt lưới
Chứng thư X.509 không dây
Chứng thư ngắn hạn
Thiết bị Hard Token - AudioPass
Mô hình Mobile PKI
Lược đồ ký số trên thiết bị di động
Lược đồ xác thực trên thiết bị di động
Giao thức quản lý chứng thư số
Lược đồ xác thực chứng thư số trong Mobile PKI
Giải pháp SIM – based
Giải pháp Client – based
Giải pháp Roaming
Mô hình ký số
Mô hình mã hóa
Mô hình giải mã
Mô hình xác thực
Sơ đồ hoạt động của ứng dụng ký trên Android
Sơ đồ chức năng chính của chương trình
Giao diện đăng nhập hệ thống
Giao diện chính của chương trình
Giao diện ký số
Giao diện chức năng mã hóa
Giao diện chức năng giải mã
Giao diện chức năng xác thực



-8-

Chương I: TỔNG QUAN HẠ TẦNG KHÓA CÔNG KHAI
Trong kỷ nguyên bùng nổ của công nghệ thông tin, mọi giao dịch từ xa có
thể thực hiện thông qua mạng Internet. Tuy nhiên, khó có thể bảo đảm rằng
những giao dịch trên Internet luôn an toàn. Hạ tầng khóa công khai đã đáp ứng
những nhu cầu bảo mật của người dùng.
Sáng kiến hạ tầng khóa công khai PKI (Public Key Infrastructure, viết tắt
là PKI) ra đời năm 1995, khi các tiêu chuẩn chung được xây dựng dựa trên
phương pháp mã hoá để hỗ trợ hạ tầng bảo mật trên mạng Internet. Tại thời
điểm đó, mục tiêu được đặt ra là xây dựng một bộ tiêu chuẩn bảo mật tổng hợp
với các công cụ và lý thuyết cho phép người dùng cũng như các tổ chức (doanh
nghiệp hoặc tổ chức phi lợi nhuận) có thể tạo lập, lưu trữ và trao đổi các thông
tin một cách an toàn trong phạm vi cá nhân và công cộng. [12]
Hiện nay có rất nhiều cách định nghĩa khác nhau về PKI tuỳ theo góc độ
nghiên cứu hoặc ứng dụng cơ sở hạ tầng này. Tuy nhiên, một cách cơ bản nhất
có thể định nghĩa cơ sở hạ tầng khoá công khai là một hệ thống vừa mang tính
mô hình vừa mang tính công nghệ và các chuẩn, vừa là mô hình kiến trúc vừa là
hệ thống các giao dịch và ứng dụng cho phép thực hiện khởi tạo, lưu trữ, quản lý
các chứng thư số (Digital certificate), quản lý và phân phối các khóa công khai,
khóa bí mật và cơ chế chứng thực chứng thư số.
Thành phần cốt lõi của hệ thống PKI là các chứng thư số. Mỗi chứng thư số
có hai thành phần thông tin cơ bản là định danh và khoá công khai của đối tượng
sử dụng. Các chứng thư số này do đối tượng quản lý chứng thư tạo ra và ký với
phương thức chữ ký số. Trong một số hệ thống, đối tượng quản lý đăng ký được
tách riêng ra khỏi CA. Đối tượng này không tạo ra các chứng thư số. Nó có
nhiệm vụ xác minh đối tượng truyền thông cho một CA, đối tượng mà CA sẽ
cấp phát chứng thư số. Nghĩa là, quá trình xác thực khi một đối tượng yêu cầu
một chứng thư số của CA sẽ do RA đảm nhận.

PKI là một dịch vụ nền cho các dịch vụ an toàn dựa trên các chứng thư số.
Trong các hệ thống này, PKI đảm nhận vai trò tạo lập, quản lý và phân phối các
chứng thư số cho các đối tượng truyền thông. Nói tóm lại, tất cả các chức năng
quản lý của hệ thống PKI đều hướng tới một yêu cầu duy nhất là quản lý các
đối tượng sử dụng trong hệ thống với khoá công khai của các đối tượng đó.
Hiện nay ở Việt Nam, việc nghiên cứu, ứng dụng và triển khai PKI nói
chung và dịch vụ cung cấp chứng thư số nói riêng là một vấn đề tương đối mới
mẻ. Bằng việc sử dụng chứng thư số và chữ ký số, những ứng dụng cho phép
PKI đưa ra nhiều đặc tính đảm bảo an toàn thông tin cho người dùng. Có hai mô
hình cung cấp chứng thư số, một là mô hình do CA sinh cặp khóa công khai và


-9-

khóa bí mật cho người dùng, hai là mô hình do tự người dùng sinh cặp khóa
công khai và khóa bí mật cho chính mình. Hiện nay, ở Việt Nam đang nghiên
cứu và triển khai hệ thống PKI theo mô hình thứ nhất.
1.1. CƠ SỞ MẬT MÃ HỌC
Mật mã là một công cụ dùng để bảo mật dữ liệu nói riêng và đảm bảo an
toàn thông tin hiệu quả nói chung. Mật mã dùng để ẩn dấu nội dung thông tin,
củng cố tính xác thực của thông tin, tính chối bỏ trong giao dịch điện tử, kiểm
tra tính toàn vẹn của dữ liệu, … Ngoài ra mật mã còn được sử dụng để thực hiện
ký số (ký điện tử), đảm bảo an toàn cho thông tin liên lạc.
Mật mã bao gồm hai quy trình trái ngược nhau: mã hóa và giải mã. Hiện
nay, có hai hệ mật mã cơ bản thường được sử dụng:
- Hệ mật mã khóa bí mật (Secret Key Cryptography) – Khóa đối xứng
- Hệ mật mã khóa công khai (Public Key Cryptography) – mã hóa phi đối xứng
- Hàm băm sử dụng quá trình tính toán để mã hóa dữ liệu.
1.1.1. Hệ mật mã khóa bí mật
Trong đó quá trình mã hóa và giải mã sử dụng duy nhất một khóa làm

tham số cho thuật toán mã hóa/giải mã. Để đảm bảo tính bí mật trong truyền
thông thì hai bên tham gia truyền thông phải giữ kín và không để lộ thông tin về
khóa bí mật cho người khác. Dưới đây là mô hình chung sử dụng mật mã khóa
đối xứng để đảm bảo tính bí mật dữ liệu trong truyền thông.
Ví dụ, nếu A muốn gửi cho B một bản tin mật. Để phục vụ cho việc mã
hóa, một khóa bí mật K được tạo ra. Nếu khóa được tạo bởi bên gửi thì nó cần
phải được truyền cho bên nhận thông qua một kênh thông tin an toàn. Sau đó A
sẽ sử dụng khóa bí mật K để mã hóa dữ liệu rồi gửi cho B. Bên nhận sẽ sử dụng
khóa K được chia sẻ từ trước qua kênh an toàn để giải mã dữ liệu được mã hóa
vừa nhận được.
Một số thuật toán mã hóa khóa đối xứng: DES (Data Encryption
Standard), AES (Advanced Encryption Standard)…
1.1.2. Hệ mật mã khóa công khai
Trong đó việc mã hóa và giải mã sử dụng hai khóa riêng biệt, khóa công
khai và khóa bí mật. Hai khóa này có quan hệ về mặt toán học với nhau, nhưng
từ khóa này không thể tìm ra chìa khóa kia được và ngược lại. Khóa công khai
được công bố rộng rãi, khóa riêng được giữ bí mật chỉ có người sở hữu nó được
biết. Thông thường dùng khóa công khai để mã hóa và dùng khóa bí mật – khóa
cá nhân để giải mã, như vậy chỉ người nào là chủ sở hữu khóa cá nhân thì mới
có thể giải mã được bản tin đã mã hóa.


-10-

Ví dụ, nếu A muốn gửi cho B một bản tin mật, trước tiên A sẽ lấy khoá
công khai của B từ cơ sở dữ liệu công cộng. Sau đó A sẽ sử dụng khoá công
khai của B để mã hoá bản tin, rồi gửi cho B. Phía B sẽ sử dụng khoá riêng của
mình để giải mã bản tin mã hóa. Như vậy là, chỉ B mới có thể giải được bản tin
mã mà A đã tạo ra.
Một số thuật toán mật mã khóa bất đối xứng được sử dụng phổ biến như

RSA, Elgama, Eliptic …
1.1.3. Chữ ký số
Chữ ký số dùng để “ký” lên dữ liệu cần gửi đi nhằm mục đích xác minh
tính toàn vẹn của dữ liệu và nhân dạng của người ký.
Mỗi người dùng sở hữu một cặp khóa riêng/khóa công khai. Khóa bí mật
dùng để tạo chữ ký số và khóa công khai dùng để xác minh chữ ký số. Khóa
công khai được công bố trên cơ sở dữ liệu công cộng, tuy nhiên khóa riêng thì
chỉ có người sở hữu của nó mới biết. Do vậy, bất kì ai cũng có thể xác minh chữ
ký của người khác bằng khóa công khai tương ứng, nhưng việc tạo ra chữ ký đó
thì chỉ người sở hữu cặp khóa này mới làm được.
Hiện nay có hai sơ đồ chữ ký số thường được sử dụng để ký số đó là sơ đồ
chữ ký RSA và chuẩn chữ ký số DSA.
Quy trình sử dụng chữ ký số bao gồm hai quá trình tạo chữ ký và xác
minh chữ ký:
- Tạo chữ ký số:
Một hàm băm được dùng trong quá trình tạo chữ ký. Mục đích của nó là
nén dữ liệu, biến một mẩu tin thành mẩu tin tóm lược. Sau đó áp dụng thuật toán
ký số trên mẩu tin tóm lược. Chữ ký được chuyển đến cho phía người nhận cùng
với dữ liệu ký. [12]
- Xác minh chữ ký số:
 Bên nhận sẽ sử dụng hàm băm để băm dữ liệu được ký, thu được giá trị
băm 1.
 Bên nhận sử dụng khóa công khai của bên gửi để giải mã file chữ ký để
thu được giá trị băm 2.
 Bên nhận sẽ so sánh hai giá trị băm, nếu như hai giá trị băm giống nhau
thì chữ ký trên dữ liệu được xác thực, ngược lại thì không.
1.1.4. Hàm Băm
Mục đích của hàm băm là nén dữ liệu, biến dữ liệu thành dữ liệu tóm
lược. Sau đó, dữ liệu tóm lược này được áp dụng thuật toán sinh chữ ký. Chữ ký
được chuyển đi cho phía người nhận cùng với dữ liệu đã ký.



-11-

Với dữ liệu có độ dài bất kỳ thì giá trị băm cũng có độ dài cố định và
tương đối nhỏ, thuận tiện cho việc sinh ra chữ ký. Các bước sử dụng kết hợp
hàm băm trong ký số đã được trình bày ở phần chữ ký số.
Một số hàm băm thường được dùng là MD5 (cho giá trị băm dài 128 bits),
SHA (cho giá trị băm dài 160 bits).
1.2. HỆ THỐNG PKI
1.2.1. Mục tiêu của hệ thống PKI
Hệ thống PKI cho phép những thực thể tham gia xác thực lẫn nhau và sử
dụng thông tin từ các chứng thư số để mã hóa và giải mã thông tin trong quá
trình trao đổi. Thông thường hệ thống PKI bao gồm phần mềm máy chủ
(server), phần mềm máy khách (client), phần cứng (smartcard), và các quy trình
hoạt động liên quan.
Người gửi có thể ký các văn bản điện tử với khóa bí mật của mình và
người nhận có thể kiểm tra xác thực bằng khóa công khai của người gửi.
PKI cho phép các giao dịch điện tử được diễn ra đảm bảo tính bí mật, toàn
vẹn và xác thực lẫn nhau mà không cần phải trao đổi các thông tin mật từ trước.
Mục tiêu chính của PKI là cung cấp khóa công khai và xác định mối quan
hệ giữa khóa và định dạng người dùng. Vì vậy, người dùng có thể sử dụng một
số ứng dụng như: mã hóa email hoặc xác thực người gửi email, mã hóa hoặc xác
thực văn bản, xác thực người dùng ứng dụng, xác thực truyền thông an toàn
dùng kỹ thuật Bootstrapping (IKE, SSL) - trao đổi khóa bằng khóa phi đối xứng,
còn mã hóa bằng khóa đối xứng.
Một số hệ thống PKI: Hệ thống quản lý chứng thực Red Hat, Computer
Associate eTrust PKI, Entrust, Microsoft, US Government External Certificate
Authority (ECA), Nexus, OpenCA (mô hình PKI mã nguồn mở), RSA Security,
phpki, GenCerti, Ejbca, Papyru CA Software, pyCA, IDX-PKI, ElyCA,

SimpleCA, SeguriData, Safelayer Secure Communications…
1.2.2. Các thành phần của hệ thống PKI
Hệ thống PKI gồm các thành phần chủ yếu :
- PKI Client
- Bộ phận thẩm quyền chứng thực chứng thư số (Certification Authority - CA)
- Bộ phận thẩm quyền đăng ký chứng thư số (Registration Authority - RA)
- Chứng thư số (Digital Certificates - DC)
1.1.2.1. PKI client
PKI client bao gồm các tổ chức, cá nhân người dùng các thực thể liên
quan sử dụng dịch vụ của PKI và các phần mềm có hỗ trợ cài đặt và sử dụng các
chứng thư số như các trình duyệt web, các ứng dụng email chạy phía máy client.


-12-

PKI client yêu cầu chứng thư số từ CA hoặc RA. Điều này cần thiết với
PKI Client vì nó phải nhận được chứng thư số trước khi nó truyền dữ liệu. RA
kiểm tra giấy ủy nhiệm (credential) của client trước khi phát hành chứng thư số
mà client yêu cầu.
Sau khi client nhận được chứng thư số nó phải định danh chính nó, bằng
cách sử dụng cùng một chứng thư số cho tất cả các giao dịch tiếp theo.
1.2.2.2. Bộ phận thẩm quyền chứng thực (CA)
CA là thành phần thứ 3 tin cậy, nó nhận yêu cầu phát hành (cấp) chứng
thư số từ một tổ chức hoặc một cá nhân nào đó, và phát hành thẻ chứng thực yêu
cầu đến họ sau khi đã xác thực client yêu cầu (Verisign và MSN là hai công ty
CA nổi tiếng thế giới).
CA dựa vào các chính sách, trao đổi thông tin trong môi trường bảo mật
của tổ chức để định nghĩa một tập các quy tắc, các thủ tục liên quan đến việc
phát hành thẻ chứng thực. Mọi hoạt động tạo, quản lý, phân phối, lưu trữ và thu
hồi thẻ chứng thực sau này đều tuân theo quy tắc, thủ tục này.

1.2.2.3. Bộ phận thẩm quyền đăng ký (RA)
RA đóng vai trò trung gian giữa CA và người dùng. RA thường tham gia
vào quá trình đăng ký cho người dùng (bao gồm việc xác minh các thông tin mà
người dùng sử dụng để đăng ký với PKI). Khi một user gửi yêu cầu phát hành
thẻ chứng thực đến một CA, CA ủy quyền xác thực yêu cầu đến RA. RA sẽ xác
nhận tất cả các thông tin nhận dạng cần thiết, sau khi xác nhận thành công RA
chuyển tiếp yêu cầu đó đến CA để CA thực hiện tạo và ký số lên thẻ chứng thực,
rồi gửi về cho RA, sau đó RA chuyển thẻ đó đến cho user hoặc CA sẽ gửi trực
tiếp cho user.
1.2.2.4. Chứng thư số (DC)
Chứng thư số (hay còn gọi là chứng chỉ số) là một văn bản điện tử được
CA ký cho các thực thể sử dụng, công nhận tính đúng đắn và xác thực của các
thông tin mà thực thể sử dụng dùng để giao tiếp. Chứng thư số được xem như
một thẻ định danh (ID card) sử dụng trong môi trường điện tử/ môi trường mạng
máy tính. Nếu như trong thực tế, người ta dùng ID card để định danh duy nhất
một cá nhân nào đó thì trong môi trường trao đổi thông tin an toàn, PKI sử dụng
chứng thư số để định danh duy nhất một đối tượng nào đó trong suốt quá trình
truyền thông.
Chứng thư số đảm bảo rằng chỉ có khóa công khai trong chứng thư được
chứng thực bởi một CA đáng tin cậy, thực hiện với khóa bí mật được sở hữu bởi
một thực thể nhất định. Điều này giúp loại bỏ nguy cơ mạo danh.


-13-

Trong quá trình giao dịch, bên gửi gửi chứng thư số, cùng với dữ liệu đã
được mã hóa của nó cho bên nhận. Bên nhận sử dụng chứng thư số này để xác
minh tính hợp lệ của bên gửi.
Một số định dạng chứng thư số, mỗi loại chứng thư số đều có một dạng
cấu trúc riêng biệt.

- Chứng thư số theo chuẩn X.509: do nhóm PKIX của IETF xây
dựng, dùng giao thức bảo mật SSL, IPSec …, sử dụng cho mô hình kiến trúc
PKI phân cấp.
- Chứng thư số SPKI - Simple Public Key Infrastructure.
- Chứng thư số PGP - Pretty Good Privacy: do Phil Zimmermann
thiết kế vào năm 1991, chuẩn mã hóa điện tử và chứng thực chữ ký số bằng
chứng nhận PGP, sử dụng mô hình PKI lưới – Web of Trust.
- Chứng thư số thuộc tính ( Attribute Certificate - AC)
Ngoài ra còn một số thành phần khác của hệ thống PKI:
- Bộ phận thẩm quyền xác nhận hợp lệ (Validation Authority -VA)
- Hệ thống phân phối thẻ (Certificate Distribution System - CDS)
- Kho chứa chứng thư số ( Certificate Repository (CR) and Archive)
- Danh sách các chứng thư bị thu hồi (Certificate Revocation list - CRL)
- Chính sách chứng thư số (Certificate Policy -CP)
- Quy định thực hiện cấp chứng thư số (Certificate Practices Statement - CPS)
- Các mô đun bảo mật phần cứng (Hardware Security Module - HSM)
* Ủy quyền xác nhận hợp lệ (VA): Xác nhận tính hợp lệ của chứng thư số
được sở hữu bởi một thực thể - một đối tác trao đổi thông tin.
* Hệ thống phân phối chứng thư số (CDS)
CDS lưu trữ tất cả các chứng thư số đã được phát hành đến cho người sử
dụng trên mạng. CDS cũng lưu trữ các khóa, tính hợp lệ và “chữ ký” của khóa
công khai. Danh sách các khóa hết hạn, các khóa bị thu hồi do bị mất, do hết hạn
cũng được CDS lưu trữ.
* Kho chứa chứng thư số (CR)
Là hệ thống lưu trữ chứng thư số và danh sách chứng thư số bị thu hồi.
Chứng thư số và thông tin thu hồi chứng thư phải được phân phối sao cho những
người cần đến chứng thư đều có thể truy cập và lấy được. Các chứng thư này có
thể được sử dụng một cách công khai và được đặt ở vị trí có thể truy cập dễ
dàng. Những vị trí này gọi là cơ sở dữ liệu và bên gửi có thể dễ dàng xác định vị
trí chứng thư cần thiết để thực hiện truyền thông an toàn.



-14-

Có 2 kho chứa quan trọng trong kiến trúc của PKI: Kho công khai lưu trữ
và phân phối các chứng thư và CRL (chứa danh sách các chứng thư không còn
hiệu lực).
Kho lưu trữ chứng thư (CR) là kho chứa điện tử để lưu trữ các thông tin
và trạng thái của các chứng thư được phát hành bởi CA và cũng có thể chứa
danh sách các chứng thư bị hủy (CRL). Kho chứa còn lưu trữ các chứng nhận
chéo của CA này được phát hành bởi CA khác, chứng nhận chéo của CA khác
được phát hành bởi CA này. Kho chứa còn có nhiệm vụ chứa những biểu mẫu
điện tử và các công cụ cho phép tải về, công bố CP và CPS, cập nhật thông tin,
hỏi và đáp (Q&A), … Kho lưu trữ chứng nhận phải là một hệ thống tín nhiệm và
an toàn.
* Danh sách các chứng thư bị thu hồi (CRL): CRL là một cơ sở dữ liệu được
CA dùng để sao lưu các khóa hiện đang sử dụng và lưu trữ các khóa hết hạn,
kho này cần được bảo vệ an toàn như chính CA.
* Chính sách chứng thư số (CP): CP là tập hợp các quy định đưa ra có thể áp
dụng chứng thư số vào từng ứng dụng và chỉ rõ quá trình xác thực và chứng
thực được thực hiện trước khi cấp chứng thư số, CP và các quy định khác công
nhận quyền sử dụng của chứng thư số.
* Quy định thực hiện cấp chứng thư số (CPS): rất giống với chính sách chứng
thư số, tuy nhiên CPS tập trung vào các vấn đề bảo mật của CA trong suốt các
hoạt động quản lý chứng thư số được phát hành bởi CA. CPS thể hiện chi tiết
mọi quy trình bên trong chu kỳ của chứng thư số bao gồm: phát hành, quản lý,
lưu trữ, triển khai, thu hồi và hủy bỏ. CPS có thể coi như một thỏa thuận giữa
người dùng chứng thư và công ty chịu trách nhiệm phát hành - CA. CPS luôn có
sẵn, công khai để một người dùng bất kỳ có chứng thư luôn có thể truy cập vào
CPS. Mỗi chứng thư mà CA phát hành sẽ có một liên kết để chỉ ra vị trí nơi CPS

được công bố.
* Các mô đun bảo mật phần cứng (HSM): là một thành phần khác của CA.
Một CA phải mang đến sự tín nhiệm đối với những người tin cậy vào chứng thư
mà nó phát hành. Sự tín nhiệm đó phải được xác nhận dựa vào tính bảo mật và
tính toàn vẹn của khóa bí mật được sử dụng để ký chứng nhận khóa công khai
của người đăng ký. Khóa bí mật đó cần phải được bảo vệ tốt nhất có thể trong
các thiết bị máy tính chuyên dụng được biết đến như là HSM. Việc thực thi và
sử dụng một HSM đủ tiêu chuẩn mang tính quyết định đối với CA và PKI mà nó
hỗ trợ.


-15-

1.2.3. Các hoạt động trong hệ thống PKI
1.2.3.1. Mô hình hoạt động của hệ thống PKI

Hình 1.1: Hoạt động của hệ thống PKI
User gửi yêu cầu phát hà nh chứng thư số và cặp khóa của nó đến RA (1),
Sau khi xác nhận tính hợp lệ của định danh của User thì RA sẽ chuyển yêu cầu
này đến CA (2); CA phát hành chứng thư số cho user (3); Sau đó user “ký”
thông điệp trao đổi với chứng thư số nhận được từ CA và sử dụng chúng (thẻ
chứng thư số + chữ ký số) trong giao dịch (4); Định danh của user được kiểm tra
bởi đối tác thông qua sự hỗ trợ của VA (5). Nếu thẻ chứng thực của user được
xác nhận tính hợp lệ (6) thì đối tác mới tin cậy user và có thể bắt đầu quá trình
trao đổi thông tin với nó (VA nhận thông tin về chứng thư số đã được phát hành
từ CA (i)).
1.2.3.2 Các hoạt động cơ bản trong hệ thống
- Đăng ký và phát hành chứng thư số
Trong quá trình này, người dùng gửi thông tin về bản thân tới RA để đăng
ký. Thông tin này có thể là họ tên, số chứng minh thư, email, địa chỉ, … RA ký

yêu cầu được chấp thuận và gửi thông tin về người dùng đến trung tâm CA. Đối
tượng được thông báo có quyền ưu tiên cao hơn CA sẽ cấp phát cho người dùng
một chứng thư số khi nó chấp nhận yêu cầu. Kết quả của quá trình này là một
CA sẽ tạo ra một chứng thư số cho người dùng ứng với khoá công khai mà
người dùng cung cấp khi đăng ký. Sau đó CA gửi chứng thư cho người dùng.
Đồng thời, CA này cũng gửi chứng thư số này đến cho hệ thống lưu trữ. Trong


-16-

một hệ PKI lớn, hệ thống lưu trữ có vai trò quan trọng và có tính độc lập cao đối
với CA.
- Sử dụng chứng thư số
Mục đích sử dụng chứng thư số để đảm bảo các dịch vụ sau:
 Xác thực: đảm bảo cho người dùng rằng một thực thể nào đó đúng
là đối tượng mà họ đang cần khẳng định. Có thể là xác minh thực thể hoặc xác
minh nguồn gốc dữ liệu.
 Bí mật: đảm bảo tính bí mật của dữ liệu, không ai có thể đọc dữ
liệu ngoại trừ thực thể được phép.
 Toàn vẹn dữ liệu: đảm bảo dữ liệu không bị thay đổi, nếu có thay
đổi sẽ bị phát hiện.
Nếu xét một cách chi tiết, giai đoạn này gồm nhiều bước nhỏ hơn. Có thể,
nó sẽ bao gồm cả công đoạn khởi tạo các công cụ của người dùng. Ví dụ, để có
thể được sử dụng trong công đoạn kiểm chứng đường dẫn đến các chứng thư số,
các công cụ của người dùng phải được khởi tạo một cách an toàn với khoá công
khai của một CA nào đó. Ngoài ra, người dùng còn cần phải được khởi tạo với
cặp khoá của chính nó.
- Chứng thực
Chứng thực là chức năng quan trọng nhất của hệ thống PKI. Đây là quá
trình ràng buộc khóa công khai với định danh của người dùng. CA là bộ phận thực

hiện chức năng chứng thực trong hệ thống PKI. Có 2 phương pháp chứng thực:
 Tổ chức chứng thực (CA) tạo ra cặp khóa công khai/ khóa bí mật và
tạo ra chứng thư cho phần khóa công khai của cặp khóa
 Người dùng tự tạo cặp khóa và đưa khóa công khai cho CA để CA tạo
chứng thư cho khóa công khai đó. Chứng thư đảm bảo tính toàn vẹn
của khóa công khai và các thông tin đính kèm.
- Xác thực
Xác thực là quá trình xác định xem chứng thư đã đưa ra có thể được sử
dụng đúng mục đích thích hợp hay không, đó cũng được xem như là quá trình
kiểm tra tính hiệu lực của chứng thư. Quá trình xác thực gồm một số bước sau:
 Kiểm tra tính xác thực của CA đã ký số lên chứng thư (Xử lý theo
đường dẫn chứng thư)
 Kiểm tra tính toàn vẹn của chữ ký số mà CA đã ký
 Xác định thời gian hiệu lực của chứng thư
 Xác định chứng thư đã bị thuy hồi hay vẫn còn hiệu lực


-17-

- Tạo khóa
Cặp khóa công khai/khóa bí mật có thể được tạo ở nhiều nơi. Nó có thể
được tạo ra bằng phần mềm phía người dùng và được gửi tới CA để chứng thực.
CA cũng có thể tạo cặp khóa trước khi chứng thực. Trong trường hợp này CA tự
tạo cặp khóa và gửi khóa bí mật này cho người dùng theo một cách an toàn. Nếu
khóa do bên thứ 3 tạo ra thì những khóa này phải được CA tin cậy trong miền
xác nhận trước khi sử dụng.
- Thu hồi chứng thư
Chứng thư được công bố sẽ được sử dụng trong thời gian có hiệu lực.
Nhưng trong trường hợp khóa bị xâm hại hay có sự thay đổi trong thông tin của
chứng thư thì chứng thư mới sẽ được công bố và chứng thư cũ sẽ bị thu hồi.

- Công bố và gửi thông báo thu hồi chứng thư
Chứng thư được cấp cho người dùng sẽ được gửi đến cho người dùng và
hệ thống lưu trữ để có thể truy cập công khai. Khi một chứng thư bị thu hồi vì
một lý do nào đó, tất cả những người dùng trong hệ thống sẽ được thông báo về
việc này. Việc hủy bỏ chứng thư được thông báo đến những người dùng khác
bằng cách công bố CRLs hoặc sử dụng phương pháp trực tuyến Online
Certificate Status Protocol - OCSP.
- Sao lưu và dự phòng khóa
Trong hệ thống PKI đang hoạt động, khả năng làm mất hoặc sai các mã
khóa bí mật của người dùng do quên mật khẩu, phương tiện bị hỏng hóc, thay
thế của phương tiện,… là rất lớn. Do đó cần có một cơ chế lưu trữ dự phòng và
khôi phục mã khóa.
- Cập nhật khóa tự động
Chứng thư số có thời gian sống hữu hạn. Khi chứng thư hết hạn sẽ được
thay bằng một chứng thư mới. Thủ tục này được gọi là cập nhật khóa hay cập
nhật chứng thư. Tuy nhiên việc cập nhật khóa thủ công gây ra sự bất tiện cho
người dùng với nhiều thủ tục phức tạp, hơn nữa người dùng thường không nhớ
khi nào chứng thư hết hạn. Do đó, giải pháp được đưa ra là xây dựng PKI có khả
năng cập nhật hoàn toàn tự động toàn bộ khóa hoặc chứng thư mà không cần sự
can thiệp của người dùng. Mỗi khi người dùng sử dụng chứng thư số cho một
mục đích bất kỳ thì thời gian hợp lệ của nó sẽ được kiểm tra.
- Chứng thực chéo
Trong thực tế, có rất nhiều hệ thống PKI được triển khai, hoạt động, phục
vụ trong các môi trường và cộng đồng người dùng khác nhau, các hệ thống PKI
hoạt động phối hợp, liên kết với nhau sẽ nảy sinh vấn đề làm thế nào để đảm bảo
an toàn truyền thông giữa các công đồng người dùng trong các hệ thống PKI.


-18-


Chứng thực chéo nhằm tạo ra mối quan hệ tin cậy giữa các PKI không có
quan hệ với nhau từ trước. Chức thực chéo là cơ chế cho phép người dùng của
một cộng đồng PKI này xác nhận tính hợp lệ chứng thư của người dùng khác
trong một cộng đồng PKI khác.
1.2.4. Trao đổi thông tin dựa trên PKI
1.2.4.1 Dịch vụ an ninh mạng
Hệ thống PKI cung cấp cho các giao dịch 4 dịch vụ an ninh mạng cơ bản
nhất: Bảo mật dữ liệu, đảm bảo tính toàn vẹn của dữ liệu và xác thực người
dùng truy cập dữ liệu và dịch vụ chống chối bỏ. Vì vậy, giao dịch dựa trên PKI
đảm bảo tính bảo mật cao.
- Bảo mật dữ liệu: đảm bảo tính bảo mật của dữ liệu, không ai có thể đọc
hoặc tiếp cận nội dung dữ liệu gửi ngoại trừ người nhận xác định trước.
- Toàn vẹn dữ liệu: là phương pháp đảm bảo dữ liệu không bị giả mạo
hoặc thay đổi trong khi vận chuyển hoặc lưu trữ nó trên mạng. Bất kỳ
người trái phép nào cũng không thể làm xáo trộn các thông tin hoặc thay
đổi thông tin trong quá trình vận chuyển.
- Xác thực người dùng: là quá trình xác thực danh tính người gửi, đảm bảo
cho một người dùng rằng một thực thể nào đó đúng là đối tượng mà họ
đang cần chứng thực, để người nhận yên tâm rằng những thông tin về
người gửi là đúng như những gì họ khai báo.
- Chống chối bỏ: là phương pháp đảm bảo thông tin không thể bị chối bỏ.
Có hai dạng chống chối bỏ là chống chối bỏ về nguồn gốc dữ liệu và
chống chối bỏ giao dịch bằng cách gắn mật mã với một hoạt động cụ thể
của người dùng để ngăn chặn người dùng chối bỏ các thông tin mình đã
gửi sau một thời gian nào đó.
1.2.4.2. Một phiên giao dịch dựa trên PKI
- Để bắt đầu phiên giao dịch, bên gửi báo cho bên nhận biết: phiên giao
dịch bắt đầu. Khi đó, cả hai đều phải sinh ra cặp khóa công khai và khóa bí mật
của nó. Khóa công khai của bên gửi được gọi là khóa phiên (session key) của
phiên giao dịch. Sau khi cặp khóa công khai và khóa bí mật được sinh ra, một

chữ ký số được tạo để định danh bên gửi dữ liệu. Chữ ký số được sinh ra bằng
cách mã hóa thông điệp tóm lược bằng khóa bí mật của bên gửi. Thông điệp tóm
lược chính là kết quả băm bởi một hàm băm (hash function) trên thông điệp dữ
liệu. Sau đó, gắn chữ ký số vào thông điệp dữ liệu.
- Thông điệp dữ liệu đã ký được gửi đến bên nhận cùng với khóa công
khai của bên gửi. Trước khi gửi đi, thông điệp dữ liệu được mã hóa với khóa
công khai của bên nhận.


-19-

- Khi nhận được thông điệp mã hóa, bên nhận yêu cầu CA xác nhận tính
hợp lệ về định danh của bên gửi. CA kiểm tra bên gửi bằng cách xác định tính
hợp lệ của chữ ký số được gửi cùng với thông điệp. Nếu định danh của bên gửi
được xác định là hợp lệ thì bên nhận sử dụng khóa bí mật của nó để giải mã
khóa công khai của bên gửi, rồi sử dụng khóa công khai này để giải mã thông
điệp mà nó nhận được. Ngược lại, nếu định danh của bên gửi không hợp lệ,
thông điệp bị từ chối và kết nối bị ngắt.

Hình 1.2 Một phiên giao dịch dựa trên PKI
1.3. CÁC MÔ HÌNH KIẾN TRÚC CỦA HỆ THỐNG PKI
Hệ thống PKI khi được triển khai cần có một kiến trúc phù hợp. Thông
thường ta dựa trên đặc điểm tổ chức của hệ thống các dịch vụ sử dụng PKI để
định ra kiến trúc phù hợp. Về mặt lý thuyết có nhiều kiểu mô hình PKI, mỗi mô
hình có các cách tổ chức và độ tin cậy khác nhau như số lượng các CA trong
một PKI, điểm tin cậy của người dùng cuối trong một PKI, quan hệ tin cậy giữa
các CA trong một PKI có nhiều CA [6,7]. Tuy nhiên trên thực tế có một số kiến
trúc hệ thống PKI tiêu biểu được triển khai để cung cấp “chuỗi tin cậy” từ một
khóa công khai đã biết nhằm xác thực thông qua khóa công khai cụ thể của
người dùng.

Tùy thuộc vào các yêu cầu, quy mô và khả năng của từng tổ chức mà có
thể lựa chọn triển khai một mô hình PKI phù hợp. Sự khác biệt giữa các mô hình
PKI dựa trên số lượng CA, sự sắp xếp và mối quan hệ giữa chúng. Một số mô
hình PKI phổ biến:
 Kiến trúc PKI đơn giản: Kiến trúc CA đơn (Single CA), Kiến trúc
danh sách tín nhiệm cơ bản (Basic Trust-List)
 Kiến trúc PKI trong tổ chức: Kiến trúc phân cấp (Hierachical), Kiến
trúc lưới (Mesh)


-20-

 Kiến trúc lai: Kiến trúc chứng nhận chéo (Cross-certified), Kiến
trúc CA cầu nối (Bridge CA), Kiến trúc Gateway CA, Kiến trúc
danh sách tín nhiệm mở rộng (Extended Trust-List).
1.3.1. Kiến trúc một CA đơn (CA Single Architecture)
Kiến trúc một CA đơn là mô hình PKI cơ bản nhất phù hợp với các tổ
chức nhỏ trong đó chỉ có một CA cung cấp dịch vụ cho toàn hệ thống và tất cả
người dùng đặt sự tin cậy vào CA này. Mọi thực thể muốn tham gia vào PKI và
xin cấp chứng thư đều phải thông qua CA duy nhất này. CA chịu trách nhiệm xử
lý tất cả người dùng yêu cầu giấy chứng nhận. Khi chỉ có một CA, mọi đường
dẫn chứng nhận sẽ bắt đầu với khóa công khai của nó.
Kiến trúc này cấp chứng thư và cung cấp thông tin trạng thái chứng thư
cho mỗi người dùng. Khóa công khai của CA là điểm tin cậy cơ bản, hay còn
gọi là nguồn tin cậy, được dùng để đánh giá khả năng chấp nhận chứng thư.
Người dùng có mối quan hệ trực tiếp với CA, vì vậy họ biết những ứng dụng
nào mà chứng thư cần được sử dụng.

Hình 1.3: Kiến trúc CA đơn
Kiến trúc CA đơn dễ thiết kế, triển khai và quản lý vì việc quản trị chỉ liên

quan tới một root CA. Tuy nhiên, kiến trúc này cũng có một số hạn chế, nếu CA
nào đó bị lỗi thì dịch vụ chứng thư sẽ không sẵn sàng để xử lý các yêu cầu
chứng thư, các yêu cầu làm mới chứng thư hay danh sách thu hồi chứng thư cho
tới khi CA khôi phục lại được dịch vụ. Khi quy mô tổ chức được mở rộng, chỉ
một CA thì khó mà quản lý và đáp ứng tốt các dịch vụ. Nếu nó bị xâm hại thì
ảnh hưởng tới độ tin cậy của toàn bộ hệ thống và tất cả các chứng thư số phải
được cấp lại một khi CA này được phục hồi. Kiến trúc phân cấp Single CA
thông thường chỉ được sử dụng khi việc quản trị là đơn giản và giá thành thấp.
Có thể mở rộng kiểu kiến trúc CA bằng cách kết nối các CA đơn thành
các PKI lớn sử dụng mô hình điểm – điểm (point to point) để hỗ trợ các tổ chức.


-21-

1.3.2. Trust List
Nếu có nhiều CA đơn lẻ trong tổ chức nhưng không có các quan hệ tin
cậy giữa các CA được tạo ra thì bằng cách sử dụng trust list người dùng vẫn có
thể tương tác với tất cả các CA. Lúc này các user sẽ duy trì một danh sách các
CA mà họ tin cậy và chỉ sử dụng các chứng nhận và CRL được phát hành bởi
các CA trong danh sách các CA được tín nhiệm của nó. Các CA mới về sau có
thể dễ dàng được thêm vào danh sách.
Phương thức này tuy đơn giản nhưng cũng tốn thời gian để cập nhật hết
các CA cho một lượng lớn người dùng, mặt khác nếu một CA nào đó bị tấn công
thì không có một hệ thống cảnh báo nào báo cho user tin cậy CA đó biết được sự
cố này.
1.3.3. Kiến trúc CA phân cấp (Hierarchical architecture)
Kiến trúc mô hình CA phân cấp bao gồm một root CA ở trên đỉnh, tất cả
các CA còn lại là các SubCA (subordinate CA) hoạt động bên dưới root CA
(khóa công khai của các CA này được ký bởi root CA) và dưới các Sub CA là
các thuê bao và các RA. Ngoại trừ root CA thì các CA còn lại đều có một CA

khác là cấp trên của nó. Mô hình này cho phép sự thi hành các chính sách và các
chuẩn thông qua hạ tầng, tạo ra mức đảm bảo tổng thể cao hơn là các kiến trúc
đa CA khác.

Hình 1.4: Kiến trúc CA phân cấp


-22-

Trong mô hình này root CA sẽ cấp chứng thư cho các subCA nhưng
không cấp chứng thư cho người dùng. Các subCA này lại cấp chứng thư cho các
subCA khác ở mức thấp hơn hoặc cho người dùng.
Trong mô hình này, tất cả các đối tượng trong hệ thống đều phải biết khóa
công khai của rootCA. Tất cả các chứng thư số đều có thể được kiểm chứng
bằng cách kiểm tra đường dẫn của chứng thư số đó đến rootCA. Trong kiến trúc
của hệ thống PKI này, tất cả các đối tượng đều dựa trên sự tin cậy đối với
rootCA duy nhất. Khóa công khai của rootCA phải được cấp phát cho các đối
tượng đã được xác thực để đảm bảo sự tin cậy trong hệ thống. Sự tin cậy này
được hình thành theo các cấp từ root CA đến các subCA, đến người dùng cuối.
Trường hợp một SubCA bị tấn công thì CA cấp trên của nó sẽ thu hồi
chứng thư đã cấp cho nó mà chỉ khi SubCA đó được khôi phục thì nó mới có thể
cấp lại các chứng thư mới cho người dùng của nó. Cuối cùng CA cấp trên sẽ cấp
lại cho nó một chứng thư mới.
Nếu rootCA bị tấn công thì toàn bộ hệ thống sẽ chịu ảnh hưởng. Khi đó
tất cả các thực thể cần được thông báo về sự cố và đến khi rootCA được phục
hồi và các chứng thư mới được cấp lại thì không một phiên truyền thông nào là
an toàn cả. Vì thế, root CA phải được bảo vệ an toàn ở mức cao nhất để đảm bảo
điều đó không xảy ra và thậm chí root CA có thể ở trạng thái offline, không kết
nối vào mạng.
Tất cả các đối tượng sử dụng đều có nhánh xác nhận hướng về rootCA;

nếu một đối tượng sử dụng A cung cấp cho B thông tin về nhánh xác nhận của
mình thì B cũng có thể thực hiện xác nhận theo hướng đó vì B cũng biết khóa
công khai của rootCA. Cách tìm một nhánh xác nhận theo một hướng nhất định,
không có hiện tượng vòng lặp, nên quá trình xác nhận được thực hiện nhanh
chóng và đơn giản hơn.
Tuy nhiên khi khóa riêng của rootCA bị tiết lộ thì toàn bộ hệ thống sẽ bị
nguy hiểm. Nếu có khắc phục bằng cách thay cặp khóa mới thì thông tin về khóa
công khai của rootCA phải được truyền đến cho tất cả các đối tượng trong hệ
thống. Điều này đòi hỏi thời gian và lưu lượng truyền thông rất lớn.
1.3.4. Kiến trúc mắt lưới (Mesh architecture)
Trong mô hình này, các CA sẽ có vai trò ngang nhau trong việc cung cấp
dịch vụ, không có CA đơn lẻ nào trong toàn bộ kiến trúc PKI. Tất cả các PKI
Client trong mạng lưới có thể tin cậy một CA bất kỳ, không nhất thiết hai hay
nhiều người dùng phải cùng tin một CA nào đó và người dùng tin cậy CA nào
thì sẽ nhận chứng thư do CA đó cấp.


-23-

Hình 1.5: Kiến trúc mắt lưới
Các CA trong mô hình này sau đó sẽ cấp các chứng thư cho nhau. Khi hai
CA cấp chứng thư cho nhau thì một sự tin cậy hai chiều được thiết lập giữa hai
CA đó. Các CA mới có thể được thêm vào bằng cách tạo các mối tin cậy hai
chiều giữa chúng với các CA còn lại trong mạng lưới.
Vì không có một CA duy nhất làm cấp cao nhất nên sự tổn hại khi tấn
công vào mô hình này khác so với các mô hình trước. Hệ thống PKI không thể
bị đánh sập khi chỉ có một CA bị thỏa hiệp. Các CA còn lại sẽ thu hồi chứng thư
mà chúng đã cấp cho CA bị xâm hại và chỉ khi CA đó khôi phục hoạt động thì
nó mới có khả năng cấp mới các chứng thư cho người dùng rồi thiết lập sự tin
cậy với các CA còn lại trong mạng lưới.

1.3.5. Kiến trúc kết hợp (Hybrid architecture)
Các kiến trúc PKI để phục vụ cho các nhu cầu của một doanh nghiệp hoặc
một nhóm người sử dụng. Tuy nhiên trong môt vài trường hợp, các tổ chức cần
tương tác với các tổ chức khác để thực hiện các giao dịch. Kiến trúc của mỗi tổ
chức có thể không giống nhau. Ví dụ một tổ chức có thể có kiến trúc PKI phân
cấp, trong khi tổ chức tương tác lại có kiến trúc PKI mắt lưới. Trong tình huống
đó, PKI cần cung cấp một giải pháp tối ưu cho phép các tổ chức tương tác với
nhau trong một môi trường đáng tin cậy. PKI cung cấp một môi trường đáng tin
cậy thông qua một kiến trúc Hybrid PKI. Kiến trúc Hybrid PKI cho phép các tổ
chức với nhiều PKI có thể tương thích với nhau.
1.3.6. Kiến trúc kiểu chứng thực chéo (Cross-certificate architecture)
Trong kiến trúc chứng thực chéo, root CA của một cơ sở hạ tầng của tổ
chức nắm giữ mối quan hệ ngang hàng với những root CA của các tổ chức khác,