hạ tầng khóa công khai (tiếng Anh: public key infrastructure, viết tắt PKI
1. II. Hạ tầng khóa công khai (PKI)
PKI là một tập các phần cứng, phần mềm, con người,
chính sách và các thủ tục cần thiết để tạo, quản lý, lưu trữ,
phân phối và thu hồi chứng thư số khoá công khai dựa
trên mật mã khoá công khai
HẠ TẦNG KHÓA CÔNG KHAI
2. Các thành phần của PKI:
1. Certificate Authorities (CA):
Cấp và thu hồi chứng chỉ số
2. Registration Authorities (RA):
Xác thực cá nhân chủ thể đăng ký chứng chỉ số
Kiểm tra tính hợp lệ thông tin cá nhân cung cấp…
3. Clients:
Người sử dụng chứng chỉ hoặc thực thể cuối khác
4. Repository:
Hệ thống lưu trữ ,phân phối chứng chỉ và danh
sách thu hồi chứng chỉ
HẠ TẦNG KHÓA CÔNG KHAI
3. Các chức năng của PKI
1. Chức năng chứng thực
2. Chức năng thẩm tra
3. Chức năng đăng ký
4. Chức năng tạo khóa
5. Chức năng khôi phục cặp khóa
6. Chức năng thu hồi chứng chỉ số
7. Chức năng công bố và gửi thông báo
thu hồi
8. Chức năng xác thực chéo…
HẠ TẦNG KHÓA CÔNG KHAI
4. Các mô hình cơ bản của PKI
• Mô hình CA đơn • Mô hình CA phân cấp
HẠ TẦNG KHÓA CÔNG KHAI
5. Các mô hình cơ bản của PKI
• Mô hình mắt lưới • Mô hình Hub và Spoke
HẠ TẦNG KHÓA CÔNG KHAI
6. • Là một cấu trúc dữ liệu đặc biệt
• Gắn thông tin của người sở hữu khóa riêng với khóa công khai
• Nó được tạo và được ký bởi tổ chức có thẩm quyền chứng thực được
gọi là CA
• Các chứng thư số sau khi cấp phát sẽ được lưu trữ trên một thư mục
khóa công khai ( ICAO PKD)
• Loại chứng chỉ điện tử được dùng phổ biến là chứng chỉ số X.509
HẠ TẦNG KHÓA CÔNG KHAI
III. Chứng thư số
7. Thành phần của chứng thư số
Khóa công khai
Khóa riêng CA
ký
Kho lưu trữ
Thông tin riêng: họ
tên, ngày sinh
Các thông tin khác
HẠ TẦNG KHÓA CÔNG KHAI
8. Định danh của chứng thư số
HẠ TẦNG KHÓA CÔNG KHAI
CERTIFICATE
Đơn vị cấp phát
Thông tin chủ
sở hữu
Khóa công
khai
Chữ ký đơn
vị cấp phát
Số seri
9. Phần II: Cài Đặt Hệ Thống Country Signing CA
Mô hình hệ thống:
Document Signer Inspection System
Database
(X.509, CRLs)
Database
(X.509, CRLs
HẠ TẦNG KHÓA CÔNG KHAI
CSCA Database
Certificate
SSL
10. COUNTRY SIGNING CA
Nhiệm vụ của hệ thống CSCA:
Tạo chứng chỉ số Document Signer
Tạo chứng chỉ số tự ký CSCA
Phân phối chứng chỉ số theo yêu cầu của Inspection System.
Thu hồi chứng chỉ số
HẠ TẦNG KHÓA CÔNG KHAI
11. Giao thức truyền thông SSL giữa CSCA và IS
Client Hello
(Version SSL, Cipher)
Certificate server
Server Hello
(Version SSL, Cipher)
Sesion Key
(encrypted)
Server Finished
(encrypted)
Application
data(encrypted)
Application
data(encrypted)
HẠ TẦNG KHÓA CÔNG KHAI
Inspection System CSCA
12. Quá trình tạo chứng chỉ số Document Signer
Thông tin riêng:
họ tên, ngày sinh
Khóa công khai DS
Khóa riêng CSCA
Khóa riêng DS
Cơ sở dữ liệu
Thư mục
ký
HẠ TẦNG KHÓA CÔNG KHAI
Chứng chỉ
số
Tệp.pfx
13. Quá trình phân phối chứng chỉ số:
( phục vụ cho quá trình xác thực hộ chiếu)
HẠ TẦNG KHÓA CÔNG KHAI