Nội dung của chương này trình bày khái niệm, vai trò và chức năng của hạ tần
4.2.1 Kiến trúc CA đơn
4.2.1.1 Kháiniệm
Kiến trúc CA đơn là kiểu kiến trúc PKI cơ bản nhất. Trong kiểu kiến trúc này, chỉ có một CA phát hành và phân phối các chứng nhận hay danh sách các chứng nhận bị hủy (CRL) đến các thực thể cuối. Tất cả thực thể đó tín nhiệm CA này và chỉ sử dụng cácchứngnhậnđượcpháthànhbởiCAđó.Khôngcómốiquanhệtínnhiệmgiữacác CA trong kiến trúc này bởi vì chỉ tồn tại duy nhất một CA. Mọi thực thể trong kiến trúc này giao tiếp với nhau trong một môi trường tin cậy nhờ sử dụng cùng một điểm tínnhiệm(trustpoint)chungchínhlàCAđó.HìnhsaumôtảmộtkiếntrúcCAđơn.
Hình4.3.KiếntrúcCAđơn
Hình trêncho thấyDBPhương và HTPTrang làhaithực thể tínnhiệm CA-1. Vìthế, cảhaicóthểkiểmtravàxácnhậncácchứngnhậncủanhautrướckhigiaotiếp.
4.2.1.2 Đườngdẫnchứngnhận
Trong kiến trúc này, sự xây dựng đường dẫn chứng nhận cực kỳ đơn giản. Có thể nói rằng không có sự xây dựng đường dẫn nào trong kiến trúc CA đơn do kiến trúc này chỉ bao gồm duy nhất một CA hay điểm tín nhiệm và vì vậy một chứng nhận đơn thể
62
hiện toàn bộ đường dẫn. Hình sau là một ví dụ thể hiện các đường dẫn chứng nhận trong kiến trúc CA đơn.
Hình4.4.ĐườngdẫnchứngnhậntrongkiếntrúcCAđơn
hành chứng nhận cho thực thể cuối, đường dẫn chứng nhận của các thực thể cuối được mô tả như sau:
• [CA−1→ DBPhuong] • [CA−1→ HTPTrang] • [CA−1→ TMTriet]
DễthấychứngnhậnđượcpháthànhbởiCA−1chothựcthểcuốilàđường dẫnchứng nhậnhoànchỉnhvàchỉgồmcómộtchứngnhận.
4.2.1.3 Nhậnxét
Triển khai một kiến trúc CA đơn hoàn toàn đơn giản bởi vì chỉ cần phải thiết lập duy nhất một CA. Tuy nhiên, ưu điểm đó cũng chính là khuyết điểm của kiến trúc. Do chỉ có một CA duy nhất nắm giữ các thông tin quan trọng của mọi thực thể cuối, nếu khóabímậtcủaCAbịtổnthươngthìmọichứngnhậnđượcpháthànhbởiCAnàysẽ trở nên vô hiệu, và kết quả là hệ thống PKI sụp đổ hoàn toàn. Vì vậy, trong trường hợp khóa công khai của CA bị tổn thương, CA nên lập tức thông báo tình trạng này đếnmọithựcthể.Hơn nữa,nếukhóabímậtcủaCAbịtổnthương,CAcầnphảiđược tái thiết lập. Để tái thiết lập một CA, mọi chứng nhận được phát hành bởi CA phải được thu hồi và phải được phát hành lại đồng thời thông tin về CA mới sau đó phải
63
được chuyển đến mọi thực thể cuối. Vì tính chất quan trọng đó, CA phải có các thủ tục cho việc bảo vệ khóa bí mật của nó và cũng nên có một cơ chế an toàn cho việc xác nhận trực tuyến của các chứng nhận được phát hành bởi các thực thể khác nhau. Kiến trúcCAkhông thểmở rộng quymôdo nókhôngcho phépbất kỳCAmớinào thêmvào PKI. Vì vậy, nóchỉ phùhợp chomột tổ chứcnhỏ vớisố lượngngười giới hạn và khi kích thước của tổ chức tăng lên làm cho kiến trúc này trở nên bị quá tải.