Có rất nhiều cấu trúc để cấp phát chứng thư số đến đối tượng sử dụng cuối cùng. Tùy vào mục đích mà mỗi hệ thống lại có sự liên kết khác nhau.
1.1, Cấu trúc phân tầng
Đây là mô hình PKI được áp dụng rộng rãi trong các tổ chức lớn. Có một CA nằm ở cấp trên cùng gọi là root CA, tất cả các CA còn lại là các Subordinate CA (gọi tắt là sub. CA) và hoạt động bên dưới root CA. Ngoại trừ root CA thì các CA còn lại trong đều có duy nhất một CA khác là cấp trên của nó. Hệ thống tên miền DNS trên Internet cũng có cấu trúc tương tự mô hình này.
Hình 30: Cấu trúc hệ thống CA phân tầng
Tất cả các thực thể (như người dùng, máy tính) trong tổ chức đều phải tin cậy cùng một root CA. CA cấp trên sẽ cấp các chứng thư cho các CA cấp dưới, CA cấp dưới có thể tạo CA cấp dưới nữa chia thành phân cấp CA cấp 1, 2, … và cuối cùng là thuê bao. Thường thì root CA không trực tiếp cấp chứng thư số cho các thực thể mà chúng sẽ được cấp bởi các CA cấp dưới. CA. Các CA mới có thể được thêm
39
ngay dưới root CA hoặc các CA cấp 1. CA cấp thấp hơn để phù hợp với sự thay đổi trong cấu trúc của tổ chức.
Mô hình phân cấp này dễ quản lý, xây dựng phù hợp với hệ thống quản lý phân cấp phổ biến trong các doanh nghiệp, cơ quan, tổ chức, chính phủ.
Mô hình này xẽ có các mức độ ảnh hưởng khác nhau nếu một CA nào đó trong mô hình này bị xâm hại.
Trường hợp một CA cấp dưới bị lộ khóa thì CA cấp trên của nó sẽ thu hồi chứng thư đã cấp cho nó và chỉ khi CA cấp dưới đó được khôi phục thì nó mới có thể cấp lại các chứng thư mới cho người dùng của nó. Cuối cùng, CA cấp trên sẽ cấp lại cho nó một chứng thư mới.
Nếu root CA bị xâm hại toàn bộ hệ thống PKI sẽ chịu ảnh hưởng cho đến khi root CA được phục hồi và các chứng thư mới được cấp lại. Trong thời gian này không một phiên truyền thông nào là an toàn. Vì thế, cũng như mô hình duy nhất một CA, root CA phải được bảo vệ an toàn ở mức cao nhất để đảm bảo điều đó không xảy ra. Thông thường hệ thống lõi để cấp phát chứng thư của root CA được vận hành ở trạng thái offline – bị tắt và không được kết nối vào mạng; Các quy trình kiểm soát truy nhập được thực hiện nghiêm ngặt.
1.2, Cấu trúc xác thực chéo từng thành phần
Mô hình này đưa ra như một sự thay thế chính cho mô hình PKI phân cấp truyền thống. Kiến trúc mô hình này giống với kiến trúc Web-of-Trust trong đó không có một CA nào làm root CA và các CA sẽ có vai trò ngang nhau trong việc cung cấp dịch vụ. Tất cả người dùng trong mạng lưới có thể tin cậy chỉ một CA bất kỳ, không nhất thiết hai hay nhiều người dùng phải cùng tin một CA nào đó và người dùng tin cậy CA nào thì sẽ nhận chứng thư số do CA đó cấp
Các CA trong mô hình này sau đó sẽ cấp các chứng thư cho nhau. Khi hai CA cấp chứng thư cho nhau thì một sự tin cậy hai chiều được thiết lập giữa hai CA đó. Các CA mới có thể được thêm vào bằng cách tạo các mối tin cậy hai chiều giữa chúng với các CA còn lại trong mạng lưới.
40
Hình 31: Cấu trúc hệ thống CA xác thực chéo
Rõ ràng mô hình này đã kiểm soát được rủi rõ hơn so với mô hình phân cấp nếu có sự cố về an toàn thông tin. Vì không có một CA duy nhất làm cấp cao nhất nên sự tổn hại khi tấn công vào mô hình này có khác so với hai mô hình trước đó. Hệ thống PKI không thể bị đánh sập khi chỉ một CA bị thỏa hiệp. Các CA còn lại sẽ thu hồi chứng thư mà chúng đã cấp cho CA bị xâm hại và chỉ khi CA đó khôi phục hoạt động thì nó mới có khả năng cấp mới các chứng thư số cho người dùng rồi thiết lập tin tưởng với các CA còn lại trong mạng lưới.
Mô hình này phức tạp về xây dựng trong thực tế do mức độ ngang hang giữa các CA là ít.
1.3, Mô hình lai
Mô hình lai là kết hợp giữa mô hình phân tầng và mô hình xác thực chéo từng thành phần để tận dụng được ưu điểm của cả hai hệ thống.
41
Hình 32: Cấu trúc hệ thống CA lai
Một CA cấp chứng thư số cho một CA khác để thiết lập sự tin cậy
Người dùng có thể kiểm tra một CA chưa biết trước thông qua chứng thực chéo từ CA của mình bởi trên chứng thư số đã lưu các thông tin đầy đủ được ký bởi những CA khác.
Có hai môt hình lưới đầy đủ và lưới một phần.Mô hình lưới đầy đủ thì từng CA phải được chứng thực bởi các CA trong toàn miền còn mô hình lưới một phần thì không cần phải chứng thực bởi các CA trong toàn miền.
Mô hình chứng thực chéo thì không có điểm trung tâm nên không có điểm tập trung trọng yếu.Các CA trong mô hình chứng thực chéo không cần có sự đồng thuận tổng thể mà chỉ cẩn giữ các CA có sự chứng thực với nhau. Tính tương tác của mô hình chứng thực chéo là cao nhưng chỉ xảy ra khi xác thực chéo với nhau
Tuy nhiên, Nếu các CA ở cùng một miền tin cậy thì việc chứng thực chéo không phù hợp. Mô hình chứng thực chéo có khả năng mở rộng kém với mô hình lưới toàn phần do mỗi CA mới phải phù hợp với các CA đã có trong mạng. Mô hình chứng thực chéo có một số điểm bị lỗi trong quá trình xác thực với mô hình lưới một phần do các CA trong miền chưa chứng thực chéo hết với nhau
42
1.4, Xác thực bắc cầu
Hình 33: Cấu trúc hệ thống CA bắc cầu
Mô hình cầu nối kết hợp cả hai mô hình phân cấp và mô hình chứng thực chéo. Mô hình cầu nối sẽ cần đến một hệ thống CA làm trung gian kết nối với các RootCA khác. Trong mô hình này , hai người dùng cuối thuộc hai Root CA khác nhau có thể kiểm tra độ tin cậy nhau thông qua CA hoặc nhóm CA làm cầu nối. Mỗi Root CA khi có nhu cầu thao tác, thay vì phải kết nối với các Root CA khác thì chỉ cần kết nối qua BCA là đủ.
Mô hình cầu nối giúp giảm thiểu các chứng thực chéo giữa các CA trong miền xác thực. Mô hình cầu nối chỉ yêu cầu chỉ một lần chứng thực chéo với BCA đối với mỗi CA. Mô hình cầu nối có khả năng mở rộng rất thuận tiện do CA mới chỉ cần xác nhận với BCA cũng như làm tăng tính tương tác giữa các CA trong miền xác thực.
Trong mô hình cầu nối thì BCA là điểm trọng yếu, nếu BCA bị sự cố mặc dù các CA trong miền vẫn hoạt động bình thường nhưng khi đó các CA trong miền không thể tương tác với nhau được. Tất cả các CA trong mô hình cầu nối cần phải đồng thuận chấp nhận BCA. Hệ thống của mô hình cầu nối khi được mở rộng phát triển thì BCA sẽ phải chịu tải rất lớn. Ngoài ra mô hình cầu nối cũng cần tính pháp lý do là điểm tin cậy của tất cả các CA
43
Mặt khác, mô hình cầu nối cũng cần chi phí đầu tư khá lớn vì là điểm tin cậy , chịu tải của tất cả các CA và phải được thiết kế sao cho khả năng xảy ra sự cố là ít nhất có thể.