Nội dung của chương này trình bày khái niệm, vai trò và chức năng của hạ tần
4.2.3 Kiến trúc phân cấp
4.2.3.1 Kháiniệm
Khisốlượng thựcthể cuốitrong tổchứctăng lên, việcquản lýcácchứng nhậnvà sự xácthựcbắtđầuphứctạpvàđòihỏinhiềuthờigianchomộtCAđơn.Đâythựcsựtrở thànhgánhnặngvàvìthếnhucầuchiasẻcôngviệcchocácCAkháctrởnêncầnthiết. Kiến trúc PKI phân cấp là kiến trúc PKI phổ biến nhất thường được triển khai trong những tổ chức có quy mô lớn. Trong kiến trúc này, các dịch vụ PKI được cung cấp bởi nhiều CA. Không giống như kiến trúc danh sách tín nhiệm, mọi CA trong kiến trúc PKI phân cấp chia sẻ mối quan hệ tín nhiệm giữa chúng. Các CA trong kiến trúc này được kết nối thông qua mối quan hệ phụ thuộc cấp trên.
Hình4.7.KiếntrúcPKIphâncấp
Sự phân cấp CA là một cấu trúc giống cây lộn ngược có gốc ở trên đỉnh (top-down), được gọi là CA gốc (root CA), và từ đó phát triển ra các nhánh hay nút. Những nút là
66
các CA cấp dưới củaCA gốc. Các CA cấp dướinày cũng giốngbất kỳCA khác và thực hiện các chức năng của một CA. Chúng cũng có thể ủy thác trách nhiệm của việcphát hànhchứngnhậncho cácCAcấp dướihơn củanó. Bất cứlúcnàoCA gốc bổ nhiệm một CA cấp dưới, CA gốc sẽ phát hành một chứng nhận đến CA cấp dưới đónhằmchobiếtloạicôngviệcnàocấpdướicóthểthựchiện.
CA gốc luôn luôn phát hành chứng nhận đến các CA cấp dưới chứ không cho thực thể cuối. Tuy nhiên, các CA cấp dưới có thể phát hành các chứng nhận cho cả thực thế cuối và CA cấp dưới hơn của nó. Trong PKI phân cấp, CA cấp dưới không phát hành chứngnhậncho CAcấp trêncủa nóhoặc CAgốc. Trừ trường hợp CA gốc, tất cảcác CAkháccó mộtCA cấptrênduynhất pháthành chứngnhậncho nó.CAgốc tự phát ký chứng nhận cho mình (self-signed) và được mọi thực thể cuối tín nhiệm.
4.2.3.2 Đườngdẫnchứngnhận
Đường dẫn chứngnhận trong kiếntrúc PKIphân cấp khángắn và duynhất,bắt đầu từgốcchođếnchứngnhậncủathựcthểcuối.
Hình4.8.ĐườngdẫnchứngnhậntrongkiếntrúcPKIphâncấp
67
Đường dẫn chứng nhận cho DBPhuong được mô tả như sau: • [RootCA → CA–1]:[CA–1 → DBPhuong]
Đường dẫn chứng nhận cho HTPTrang được mô tả như sau: • [RootCA → CA–1]:[CA–1 → HTPTrang]
Đường dẫn chứng nhận cho TMTriet được mô tả như sau:
• [RootCA → CA–2]:[CA–2 → CA–21]:[CA–21 → TMTriet] Đường dẫn chứng nhận cho LVMinh được mô tả như sau:
• [RootCA → CA–2]:[CA–2 → CA–22]:[CA–22 → LVMinh]
4.2.3.3 Nhậnxét
PKI phân cấp hoàn toàn có thể mở rộng vì vậy chúng dễ dàng thỏa mãn nhu cầu phát triển của tổ chức. Để thêm vào một thực thể mới trong hệ thống PKI, CA gốc hay CA bất kỳđơngiản thiếtlập mộtmối quanhệ tincậyvớithựcthể CAcấp dướiđó bằng cáchpháthànhmộtchứngnhậnđếnCAmớinày.
Hình4.9.MởrộngkiếntrúcPKIphâncấp
Hơn nữa,dochứngnhậnchỉđượcpháthành theomộthướngnênkiếntrúcPKIphân cấp hoàn toàn dễ triển khai. Đường dẫn cho một thực thể cuối đến gốc hay CA phát hànhcóthểđượcxácđịnhdễdàngvànhanhchóng.
Tuy nhiên, kiến trúc PKI phân cấp gặp một trở ngại chính, đó là chỉ có một điểm tín nhiệmduynhất(chínhlàCAgốc)điềukhiểntoànbộkiếntrúcPKIphâncấp.Nếusự tổn thương nằm ở CA cấp dưới vẫn có thể giải quyết được bằng cách các CA cấp trên
68
thu hồi các chứng nhận của chúng và thiết lập lại. Trong trường hợp CA gốc bị tổn thương,toànbộsựtínnhiệmtrênkiếntrúcPKIsẽsụpđổ.
Hơn nữa, việc chuyển từ một tập CA cô lập và trong PKI phân cấp có thể không thực hiệnđược bởivì lúcđó mọithựcthể phải điềuchỉnh lạiđiểmtin cậycủa mình.Một vấn đề khác kiến trúc PKI phân cấp không phù hợp trong các mối quan hệ ngang hàng. Vídụ,khi haitổchức muốnhoạtđộng trongcùng mộtkiến trúcthìai sẽquản lý CA gốc. Để khắc phục sự điều này, kiến trúc lưới được sử dụng.