Nội dung của chương này trình bày khái niệm, vai trò và chức năng của hạ tần
4.2.4 Kiến trúc lớ
4.2.4.1 Kháiniệm
Trong kiến trúc PKI lưới, các CA có mối quan hệ ngang hàng (peer−to−peer) và khôngcó CAđơn lẻ nàotrong toànbộ kiếntrúcPKI. Mọi CAtrong PKIlưới cóthể là điểm tín nhiệm và thực thể cuối tín nhiệm CA phát hành chứng nhận cho họ. Trong kiến trúc này, mọi CA chứng nhận chéo cho nhau (cross-certified). Sự chứng nhận chéo là quy trình kết nối hai CA nhằm thiết lập một mối quan hệ tincậy hai chiều. Hai CA sẽ chứng nhận chéo bất cứ khi nào các thực thể tương ứng của chúng cần giao tiếp một cách an toàn.
Hình4.10.Kiếntrúclưới
69
4.2.4.2 Đườngdẫnchứng nhận
Trong kiến trúc này, đường dẫn chứng nhận được bắt đầu tại điểm tín nhiệm và di chuyển về hướng CA phát hành chứng nhận cho thực thể cuối đang cần xây dựng đường dẫn chứng nhận.
Hình4.11.Đườngdẫnchứngnhậntrongkiếntrúclưới
MộtCAcóthểcónhiềuchứngnhậnchéovìvậyviệcxâydựngđườngdẫnthêmphức tạpdocónhiềulựachọn.Mộttrongsốlựachọndẫnđến mộtđường dẫnhợplệtrong khi các lựa chọn khác dẫn đến ngõ cụt hoặc rơi vào vòng lặp chứng nhận vô tận. Độ
dài tối đa của đường dẫn chứng nhận trong PKI lưới là số lượng CA có trong PKI. Ngoài ra, kiến trúc lưới liên quan đến sự xây dựng của các đường dẫn chứng nhận khác nhau bởi các người sử dụng khác nhau. Do điểm tính nhiệm luôn là CA phát hành chứng nhận cho thực thể cuối, nên khi DBPhuong xây dựng một đường dẫn chứng nhận cho TMTriet, điểm khởi đầu là CA đã phát hành chứng nhận cho DBPhuong (là CA-1) và điểm cuối là chứng nhận của TMTriet. Tương tự, khi LVMinh xây dựng một đường dẫn chứng nhận cho TMTriet, điểm khởi đầu là nhà phát hành chứng nhận cho LVMinh (là CA-3) và điểm cuối là chứng nhận của TMTriet. Các đường dẫn chứng nhận được dựng lên bởi DBPhương cho TMTriet:
• [CA–1 → CA–2] : [CA–2 → TMTriet]
• [CA–1 → CA–3]:[CA–3 → CA–2]:[CA–2 → TMTriet] 70
Các đường dẫn chứng nhận được dựng lên bởi LVMinh cho TMTriet: • [CA–3 → CA–2]:[CA–2 → TMTriet]
• [CA–3 → CA–1]:[CA–1 → CA–2]:[CA–2 → TMTriet]
Trong cả hai trường hợp, đường dẫn chứng nhận sẽ không như nhau trừ khi cả DBPhuong và LVMinh đều cùng có chung nhà phát hành CA hay điểm tín nhiệm giống như DBPhuong với HTPTrang (chung một điểm tín nhiệm là CA-1)
Mặc khác,do kiếntrúc lưới chứa nhiều mối quan hệhai chiều giữacác CA, thường cónhiềuhơnmộtđườngdẫnchứngnhậngiữathựcthểbấtkỳvàmộtđiểmtínnhiệm. Trong kiến trúc phân cấp, xây dựng một đường dẫn chứng nhận từ chứng nhận người dùng đến điểm tín nhiệm cao nhất là tất định trong khi ở kiến trúc lưới là bất định. Sự tìmrađường dẫnkhóhơn trongtrường hợp kiếntrúcnganghàng.Độ dàiđườngdẫn có thể dài hơn trong kiến trúc PKI phân cấp.
4.2.4.3 Nhậnxét
Có nhiềuđiểmtin cậytrong kiếntrúc PKIlưới, vàdođó sựtổn thương củamột CA đơn lẻ không thể làm sụp đổ toàn bộ PKI mà chỉ ảnh hưởng đến các thực thể liên kết vớiCAbịtổnthươngđó.Lúcnày,chứngnhậncủaCAbịtổnthươngsẽbịthuhồibởi các CA đã phát hành chứng nhận đến CA đó.
nhất một CA khác trong lưới. Kiến trúc lưới có một điểm đặc biệt là mỗi CA phải kết nốivớicácCA khác, tạothànhmột đồthịđầyđủ.Điềuđó cónghĩalà nếucó� CA, số lượng liên kết cần thiết sẽ là �×(�– 1). Do đó, khi số lượng CA tăng lên, số lượng chứng nhận chéo cũng như số lượng chuỗi chứng nhận trở nên vô cùng lớn.