Mụ hỡnh này là biến thể của mụ hỡnh phõn cấp tổng quỏt. Mụ hỡnh này được phỏt triển bởi Bộ quốc phũng Mỹ trờn cơ sở khoỏ cụng khai để trao đổi thụng điệp (message) trong quõn đội.
ZB B e C f D E F G H a b c d g h i j
Hỡnh 5.4: Mụ hỡnh phõn cấp Top - down cho CA
Với mụ hỡnh này, khụng cú chứng chỉ số được cấp từ lớp dưới lờn lớp trờn, núi cỏch khỏc cỏc CA cấp dưới khụng thể chứng thực cho cỏc CA quản lý nú được. Cỏc đường dẫn chỉ dẫn chỉ được bắt nguồn tử CA lớp cao nhẩt (CA gốc). Tất cả người sử dụng chứng chỉ số phải cú một chứng chỉ uỷ quyền lớp cao nhất như việc sở hữu tớnh xỏc thực gốc. Trong trường hợp khỏc nú phải giữ một bản sao khoỏ cụng khải đỏng tin cậy của CA lớp cao nhất, được xỏc lập bởi một CA trung gian độc lập.
Với mụ hỡnh này, cỏc RA cú một số thuận lợi sau:
Với mỗi thuờ bao cú một đường dẫn chứng chỉ duy nhất, vỡ vậy rất dễ tỡm; chẳng hạn RA B cú thể cất giữ bộ chứng chỉ của CA lớp cao nhất và RA B cú thể phõn phỏt đường dẫn nguyờn vẹn như một cấu trỳc dữ liệu cho mọi RA khỏc đang cần nú.
Việc tổ chức phản ỏnh mụ hỡnh phõn cấp quản lý theo mệnh lệnh của Bộ quốc phũng Mỹ.
Như vậy với mụ hỡnh này tất cả mọi người tham gia phải tuyệt đối tin tưởng vào CA mức cao nhất.
5. Mụ hỡnh PEM (Privacy Enhanced Mail)
PEM là mụ hỡnh trao đổi thụng điệp mở rộng được ỏp dụng cho Internet. Năm 1993, tổ chức Internet đó hoàn thiện việc phỏt triển và được đề xuất trong cỏc chuẩn sử dụng trờn Internet trờn cơ sở hạ tầng khoỏ cụng khai. Cấu trỳc PEM đó phỏt triển dựa trờn cấu trỳc Top - down.
IPRA
PCA1 PCA2 PCA3
CA1 CA2 CA3 CA4 CA5
a b c d e f g h i j
Hỡnh 5.5: Mụ hỡnh PEM cho CA Mụ hỡnh PEM định nghĩa ra 3 kiểu CA là:
IPRA (Internet Policy Registration Authority): là CA mức cao nhất trong cấu trỳc, nú hoạt động đưới sự trợ giỳp của tổ chức quản lý Internet quốc tế. Nú phõn phối khoỏ cụng khai để sử dụng rộng rói và nú chứng thực cho cỏc CA cấp dưới. PCA (Policy Certification Authority): nằm ở mức thứ hai trong cấu trỳc, nắm quyền tổ chức cỏch thức hoạt động của cỏc CA, chứng chỉ của PCA được chứng thực bởii IPRA, mỗi PCA phải đăng ký với IPRA và cụng bố trạng thỏi hoạt động trong việc cấp phỏt chứng chỉ người sử dụng hoặc hoặc chứng chỉ cho cỏc CA cấp dưới nú. Cỏch thức tổ chức hoạt động của cỏc PCA khỏc nhau, mỗi cỏch thức nhằm hướng tới một loại đối tượng sử dụng cú cỏc yờu cầu đặc trưng. CA (Certification Authority): nằm ở mức thứ 3, nú thực hiện chức năng cấp chứng chỉ, vớ dụ như một tổ chức chớnh trị nào đú, một đơn vị hành chớnh, một khu vực địa lý.
Hệ thống CA hoạt động theo mụ hỡnh sau: CA Server Switch Hub Router Modem RAServer CSDL LDAPServer User User PSTN Modem LRA CSDL Use Trong đú: • • •
CAServer: Mỏy chủ của cơ quan chứng thực (Certification Authority Server)
RAServer: Mỏy chủ của cơ quan đăng ký (Registration Authority Server).
LDAP Server: Mỏy chủ chứa danh sỏch cỏc chứng chỉ đó phỏt hành và cỏc chứng
• • • • • •
LRA: Cơ quan đăng ký địa phương (Local Registration Authority ).
Trong hệ thống này, mỏy chủ CAServer là quan trọng nhất. Nú được cài đặt phần mềm CA và khoỏ riờng của CA. Chớnh vỡ vậy phải được để ở nơi tuyệt đối an toàn và ngắt mọi kết nối mạng vỡ đú là cỏch duy nhất để bảo vệ mỏy khỏi những tấn cụng trờn mạng.
RAServer phức tạp hơn, trờn đú cài đặt một Apache Server an toàn với chế độ xỏc
thực người dựng. Apache Server chỉ đưa ra cỏc dịch vụ cho những RA được phộp chấp nhận hoặc huỷ bỏ cỏc yờu cầu cấp chứng chỉ trước khi chỳng được ký bởi CA.
LDAP Server là mỏy chủ chứa tất cả những chứng chỉ đó được phỏt hành cho phộp
người dựng chứng chỉ sử dụng dịch vụ thư mục để tỡm kiếm, đối chiếu thụng tin trờn cỏc chứng chỉ.
Cỏc LRA cú nhiệm vụ kiểm tra thụng tin trờn đăng ký chứng chỉ của người dựng (thụng qua chứng minh thư và cỏc giấy tờ khỏc của người đú) và ký nhận trước để chuẩn bị chuyển sang cho CAServer. Tất cả quỏ trỡnh truyền thụng giữa RAServer
và LRA được thực hiện thụng qua một phiờn liờn lạc an toàn (bằng Apache +
mod_ssl) bằng đường dial up.
Tại RAServer và cỏc LRA cú cỏc cơ sở dữ liệu để quản lý cỏc chứng chỉ đó cấp
phỏt.
II. Đề xuất mụ hỡnh CA ỏp dụng cho Tổng cục thuế
Đối chiếu với một số mụ hỡnh đó trỡnh bày ở trờn chỳng tụi thấy Tổng cục thuế nờn ỏp dụng mụ hỡnh phõn cấp Top – down là hợp lý nhất vỡ nú gần với cỏc yờu cầu của Tổng cục thuế là nơi cấp chứng chỉ cho cho cỏc Cục thuế cũng như cỏc doanh nghiệp. Cỏc Cục thuế khụng thể chứng thực được cho Tổng cục thuế và cỏc Cục thuế và cỏc Doanh nghiệp phải tin tưởng tuyệt đối vào CA của Tổng cục thuế.
CA ngành thuếRA Cục thuế A