Các kiến trúc PKI kể trên trong chừng mực nào đó đã thỏa mãn các nhu cầu của một tổ chức hay một nhóm người sử dụng. Tuy nhiên, khi các tổ chức muốn tương tác với nhau thì việc triển khai kiến trúc PKI trở nên phức tạp do các tổ chức này không phải lúc nào cũng sử dụng các kiến trúc PKI giống nhau. Ví dụ, một tổ chức triển khai kiến trúc CA đơn, trong khi tổ chức khác lại triển khai kiến trúc phân cấp hay lưới.
Trong tình huống như vậy, PKI cần cung cấp một giải pháp tối ưu cho phép các tổ chức có thể tương tác với nhau trong một môi trường tin cậy. Trong trường hợp này, kiến trúc “lai” sẽ rất hữu dụng trong việc cho phép quá trình tương tác giữa các tổ chức thành công.
Hình 4.12. Các PKI được triển khai ở các tổ chức khác nhau
Có ba loại kiến trúc PKI lai, đó là:
Kiến trúc danh sách tín nhiệm mở rộng (Extended Trust List): dạng mở rộng kiến trúc danh sách tín nhiệm để hỗ trợ đường dẫn tín nhiệm có độ dài nhiều hơn một chứng nhận.
Kiến trúc PKI chứng nhận chéo (Cross-certified PKI): các PKI thiết lập mối quan hệ ngang hàng để cho phép giao tiếp an toàn.
4.2.5.1 Kiến trúc danh sách tín nhiệm mở rộng
Giống như kiến trúc danh sánh tín nhiệm cơ bản, ở kiến trúc này tất cả các thực thế cuối sử dụng PKI lưu trữ một danh sách mở rộng của tất cả các điểm tín nhiệm. Mỗi điểm tín nhiệm liên quan đến một PKI của mỗi tổ chức mà thực thể cuối tin cậy. PKI đó có thể là một CA đơn, PKI phân cấp hay PKI lưới. Nếu là kiến trúc phân cấp, điểm tín nhiệm là CA gốc còn nếu là kiến trúc lưới, điểm tín nhiệm là CA bất kỳ.
Hình 4.13. Kiến trúc danh sách tín nhiệm mở rộng
Danh sách tín nhiệm của DBPhuong, HTPTrang, TMTriet là {CA–1, CA–2, CA–3} hoặc {CA–1, CA–2, CA–4} hoặc {CA–1, CA–2, CA–5}.
Danh sách tín nhiệm của LVMinh là {CA–1, CA–2, CA–4}.
4.2.5.2 Kiến trúc chứng thực chéo
Trong kiến trúc chứng nhận chéo, CA gốc của một cơ sở hạ tầng của tổ chức nắm giữ mối quan hệ ngang hàng với những gốc CA của các tổ chức khác. tức là các CA gốc của mỗi nhóm sẽ cấp chứng nhận cho nhau (cross-certification). Kiến trúc này tốt cho một nhóm nhỏ các PKI của tổ chức muốn thiết lập mối quan hệ tín nhiệm.
Hình 4.14. Kiến trúc chứng nhận chéo
Đường dẫn chứng nhận sau được dựng lên bởi DBPhương cho HTPTrang:
[CA–1 CA–12] : [CA–12 HTPTrang]
Đường dẫn chứng nhận sau được dựng lên bởi ĐBPhương cho TMTriet:
[CA–1 CA–2] : [CA–2 TMTriet]
Các đường dẫn chứng nhận sau được dựng lên bởi DBPhương cho LVMinh:
[CA–1 CA–3] : [CA–3 CA–4] : [CA–4 LVMinh]
[CA–1 CA–3] : [CA–3 CA–5] : [CA–5 CA–4] : [CA–4 LVMinh]
4.2.5.3 Kiến trúc CA cầu nối
Kiến trúc CA cầu nối là kiến trúc phù hợp nhất để liên kết các PKI có kiến trúc khác nhau. Không giống kiến trúc chứng thực chéo, nơi nào tồn tại mối quan hệ ngang hàng giữa các CA gốc trong mỗi cơ sở hạ tầng của tổ chức, một thực thể mới gọi là CA cầu nối (Bridge CA – BCA) lưu giữ quan hệ ngang hàng của giữa các CA này.
Sự thiết lập của một mối quan hệ tín nhiệm trong kiến trúc này phụ thuộc vào loại kiến trúc PKI mà sự tín nhiệm được thiết lập. Đối với kiến trúc PKI phân cấp, sự tín nhiệm được thiết lập với CA gốc, đối với kiến trúc PKI lưới, mối quan hệ tín nhiệm được thiết lập với bất kỳ CA trong PKI lưới đó. Các mối quan hệ giữa một CA chính với CA cầu nối là ngang hàng. Cách này làm giảm đáng kể số lượng chứng nhận chéo.
Hình 4.15. Kiến trúc CA cầu nối
Đường dẫn chứng nhận sau được dựng lên bởi DBPhuong cho HTPTrang:
[CA–1 CA–12] : [CA–12 HTPTrang]
Đường dẫn chứng nhận sau được dựng lên bởi DBPhuong cho TMTriet:
[CA–1 BCA] : [BCA CA–2] : [CA–2 TMTriet]
Các đường dẫn chứng nhận sau được dựng lên bởi DBPhuong cho LVMinh:
[CA–1 BCA] : [BCA CA–3] : [CA–3 CA–4] : [CA–4 LVMinh] (adsbygoogle = window.adsbygoogle || []).push({});
[CA–1 BCA] : [BCA CA–3] : [CA–3 CA–5] : [CA–5 CA–4] : [CA–4 LVMinh]
Kiến trúc này dễ thêm một CA hoặc toàn bộ PKI vào kiến trúc và sự thay đổi này “trong suốt” với người dùng và không có thay đổi nào trong các điểm tín nhiệm xảy ra.
4.2.5.4 Kiến trúc Gateway CA
Vào năm 2005, Zheng Guo, Tohru Okuyama và Marion R. Finley. Jr đề xuất kiến trúc mới có tên Gateway CA (GWCA) cho phép các PKI của các tổ chức khác nhau có thể cùng hoạt động [27]. Ý tưởng chỉnh của kiến trúc này là các GWCA được kết nối với nhau trên một cấu hình vòng, các CA cấp dưới hay trung gian có thể được kết nối trong cấu hình phân cấp hoặc cầu nối.
Kiến trúc này có các đặc điểm sau:
Các GWCA nằm trên một vòng như một CA gốc được chia thành nhiều CA giống nhau, mỗi CA tương ứng với một CA gốc của các CA cấp dưới của nó.
GWCA là điểm tín nhiệm duy nhất của các thực thể cuối và thực thể cuối chỉ cần tín nhiệm bất kỳ GWCA nào thì nó cũng sẽ tín nhiệm toàn bộ hệ thống.
Hình 4.16. Kiến trúc Gateway CA
Do các GWCA thực ra giống nhau và xem như một CA gốc ảo (virtual Root CA) được chia ra thành nhiều phần nên sẽ có cùng cặp khóa. Vì vậy sẽ không an toàn nếu một GWCA bị lộ khóa bí mật. Giải pháp được chia sẻ bí mật được Shamir đề nghị [52] là các GWCA sẽ có cùng khóa công khai còn khóa bí mật sẽ được chia thành 𝑛
mảnh, mỗi GWCA sẽ giữ một mảnh với đặc điểm sau:
Khi cần khóa bí mật, hệ thống sẽ tập hợp 𝑘 mảnh trong 𝑛 mảnh.
Ưu điểm của giải pháp này là nếu như một GWCA bị lộ phần khóa bí mật cũng không ảnh hưởng đến hệ thống do không thể tìm được khóa bí mật với chỉ một mảnh khóa bí mật. Kỹ thuật chia sẻ khóa này thường được ứng dụng trong mạng ad hoc [51].