CHƢƠNG 2 : CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
2.6. Các mô hình kiến trúc PKI
2.6.4. Mô hình kiến trúc lai
Mô hình này là kiến trúc tập hợp nhiều kiến trúc PKI. Có 3 kiểu kiến trúc lai đó là:
- Kiến trúc danh sách tin cậy mở rộng. Đây là kiến trúc mở rộng các kiến trúc danh sách tin tƣởng để hỗ trợ các đƣờng dẫn cấp pháp chứng thƣ có kích thƣớc dài hơn.
- Kiến trúc PKI chứng thực ngang. Đây là kiểu kiến trúc áp dụng cho PKI doanh nghiệp thiết lập quan hệ ngang cấp để tạo truyền thông bảo mật.
- Kiến trúc CA bắc cầu. Đây là kiểu kiến trúc hỗ trợ nhiều kiến trúc PKI [2].
2.6.4.1. Mô hình kiến trúc danh sách tin cậy mở rộng
Trong mô hình kiến trúc này các thực thể cuối lƣu giữ danh sách nhiều điểm tin tƣởng. Mỗi điểm tin tƣởng tham chiếu tới một PKI mà thực thể đó tin tƣởng. PKI đƣợc tham chiếu có thể có kiến trúc đơn, phân cấp hoặc lai.
- Vấn đề đặt ra cho mô hình này là:
+ Nếu chỉ ra trong chứng thƣ của thực thể cuối thì không thể xác định thực thể đó thuộc về một kiến trúc PKI phân cấp hay lai.
+ Khởi tạo đƣờng dẫn cấp phát chứng thƣ khó, bởi vì nếu chứng thƣ không đƣợc cấp phát bởi một trong các điểm tin tƣởng thì sẽ không rõ đƣờng dẫn cấp phát chứng thƣ bắt đầu tin tƣởng từ điểm tin tƣởng nào.
- Giải pháp kiến trúc này đƣa ra là: Danh sách tin tƣởng mở rộng sinh ra một vùng nhớ cache lƣu trữ các chứng thƣ (Certificate Cache). Vùng nhớ này chứa tất cả các đƣờng dẫn cấp phát chứng thƣ có thể. Chính vì vậy thay cho việc thiết lập đƣờng dẫn cấp phát chứng thƣ, ta có thể tham khảo bộ nhớ cache và tìm đƣờng dẫn thích hợp nhờ vào giá trị đƣờng dẫn cấp phát chứng thƣ [2].
Hình 2.5. Mô hình kiến trúc danh sách tin cậy mở rộng
2.6.4.2. Mô hình kiến trúc PKI chứng thực ngang
Trong mô hình này CA gốc hoặc CA cấp con của PKI này có thể thiết lập một quan hệ ngang cấp với CA gốc hoặc CA cấp con của PKI khác. Các thực thể của CA chứng thực ngang có thể thông qua các thực thể trong PKI khác.
Nếu có 3 CA chứng thực ngang thì có tất cả 6 chứng thƣ (vì mỗi CA nhận 2 chứng thƣ từ 2 CA còn lại).
Đƣờng dẫn cấp phát chứng thƣ sẽ bắt đầu tại điểm tin tƣởng của PKI nguồn:
- Nếu A là một ngƣời dùng trong kiến trúc PKI phân cấp thì đƣờng dẫn cấp phát chứng thƣ sẽ chỉ bắt đầu từ CA gốc.
- Nếu A là một ngƣời dùng trong kiến trúc PKI lai thì đƣờng dẫn cấp phát chứng thƣ sẽ bắt đầu từ CA cấp phát chứng thƣ cho A.
Việc thiết lập đƣờng dẫn cấp phát chứng thƣ bên trong một kiến trúc PKI sẽ đơn giản nhƣng sẽ phức tạp khi ra bên ngoài gốc của PKI đó. Trong cấu trúc này, CA gốc của một cơ sở hạ tầng của tổ chức nắm giữ mối quan hệ ngang hàng với những gốc CA của các tổ chức khác [2].
2.6.4.3. Kiến trúc CA bắc cầu
Kiến trúc CA bắc cầu đôi khi thƣờng đƣợc gọi là Hub PKI hay Spoke PKI. Đây là kiểu kiến trúc thích hợp nhất để liên kết các PKI có kiến trúc khác nhau. Bridge CA không cấp phát chứng thƣ trực tiếp tới ngƣời dùng. Bridge CA thiết lập quan hệ ngang cấp với các CA của các thực thể khác nhau. Các quan hệ đƣợc kết hợp để tạo thành một cầu tin tƣởng cho phép các thực thể tƣơng tác với nhau thông qua CA bắc cầu. Việc thiết lập quan hệ tin tƣởng phải tùy thuộc vào kiểu kiến trúc PKI.
- Đối với kiến trúc phân cấp, tin tƣởng đƣợc thiết lập với CA gốc.
- Đối với kiến trúc lƣới, quan hệ tin tƣởng có thể đƣợc thiết lập với bất kỳ CA nào trong đó.
CA thiết lập một quan hệ tin tƣởng với Bridge CA đƣợc gọi là Principle CA. Quan hệ tin tƣởng giữa Principle CA với Bridge CA là ngang cấp. Dễ dàng thêm các CA mới hay toàn bộ PKI tới PKI đƣợc kết nối cầu. Sự thay đổi là trong suốt với ngƣời dùng và không có sự thay đổi các điểm tin tƣởng. Nếu một Principle CA bị hỏng thì Bridge CA có thể thu hồi chứng thƣ của nó mà các quan hệ tin tƣởng khác không bị ảnh hƣởng. Nếu Bridge CA bị phá thì Principle CA sẽ thu hồi chứng thƣ đã cấp phát cho Bridge CA.Việc thiết lập đƣờng dẫn cấp phát chứng thƣ đã có duy nhất một chứng thƣ kết nối PKI nguồn với các PKI khác bên ngoài. Có thể dễ dàng cấp phát đƣờng dẫn cấp phát chứng thƣ hơn so với PKI lƣới, nhƣng vẫn khó hơn so với PKI phân cấp. Đƣờng dẫn tin tƣởng ngắn hơn so với PKI lƣới ngẫu nhiên có cùng số CA nhƣng dài hơn 2 lần so với PKI phân cấp [2].
Trong chƣơng này em đã trình bày tổng quan về cơ sở hạ tầng khóa công khai: Khái niệm PKI, các thành phần của PKI, chức năng và cách thức hoạt động của PKI, Các tiến trình PKI, các dịch vụ PKI và các mô hình kiến trúc PKI. Qua đây có thể hiểu một cách cơ bản về chức năng, nhiệm vụ, cách thức hoạt động cũng nhƣ các mô hình kiến trúc của PKI. Đây là nền tảng cho việc xây dựng dịch vụ chứng thực chữ ký số.
CHƢƠNG 3: XÂY DỰNG DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ ỨNG