CHƯƠNG III: CÁC THÀNH PHẦN, CƠ CHẾ LÀM VIỆC CỦA PKI. CÁC MÔ HÌNH VÀ CÁC KIỂU KIẾN TRÚC CỦA
3.5. Các kiểu kiến trúc PKI
Có một vài kiểu kiến trúc mà PKI có thể triển khai để cung cấp “chuỗi tin cậy” từ một khoá công khai đã biết nhằm xác thực thông qua khoá công khai cụ thể của người dùng. Ví dụ khi người dùng xác thực họ với các ứng dụng của với e-Government, thì phần mềm ứng dụng mật mã sẽ xác minh chữ ký trong chứng chỉ của người dùng bằng cách sử dụng khoá công khai của CA mà tạo ra chứng chỉ đó. Nếu khoá của CA không phải là khoá của root, thì chứng chỉ chứa nó cũng sẽ phải được xác minh tính hợp lệ bằng khoá công khai mà ký chứng chỉ đó. Và tiếp tục đến khi nào chứng chỉ trong “chuỗi tin cậy” có thể được xác minh bằng khóa của root. Chuỗi xác minh tính hợp lệ có nghĩa là sẽ xác thực tất cả các chứng chỉ,bao gồm cả chứng chỉ của người dùng cuối.
Hình 14: Chuỗi tin cậy 3.5.1. Kiến trúc kiểu Web of Trust
Đối với kiểu kiến trúc này, mỗi người dùng sẽ tạo và ký chứng chỉ cho người mà mình đã biết. Do đó, không cần phát triển phải có hạ tầng trung tâm.
Hình 15: Kiến trúc kiểu Web of Trust
Mô hình này hoạt động rất hiệu quả đối với tổ chức nhỏ, có sự tồn tại mối quan hệ trước đó, nhưng nó không hiệu quả đối với tổ chức lớn hoặc nơi mà cần phải có sự đảm bảo (ví dụ phải xác thực được yêu cầu trước khi chứng chỉ được cấp phát). Sự giao tiếp của trạng thái chứng chỉ đối với các bên tin cậy (ví dụ như chứng chỉ bị thu hồi) cũng là rất khó với mô hình này.
3.5.2.Kiến trúc kiểu CA đơn (Single CA)
Dạng kiến trúc đơn giản nhất là single CA. Kiến trúc này cấp chứng chỉ và cung cấp thông tin trạng thái chứng chỉ cho mỗi người dùng. Khoá công khai của CA là điểm tin cậy cơ bản , hay còn gọi là nguồn tin cậy, được dùng để đánh giá khả năng chấp nhận chứng chỉ. Người dùng có mối quan hệ trực tiếp với CA, vì vậy họ biết những ứng dụng nào mà chứng chỉ cần được sử dụng.
Trong một vài tổ chức chỉ yêu cầu các dịch vụ PKI cơ bản. Điển hình, đó là các tổ chức với hơn 3000 tài khoản của user trong dịch vụ thư mục. Thay vì triển khai CA nhiều mức, thì thông thường người ta sẽ triển khai một CA , được cài đặt và đóng vai trò là enterprise root CA.Enterprise root CA không
thể được di chuyển trong mạng, thay vào đó, sẽ có một máy tính là thành viên của miền và luôn luôn sẵn sàng cấp phát chứng chỉ đối với các yêu cầu cấp phát của máy tính, người dùng, các dịch vụ và các thiết bị mạng.
Kiểu kiến trúc single CA dễ quản lý bởi vì nó việc quản trị chỉ liên quan tới một CA root. Tuy nhiên, nếu CA bị lỗi, thì dịch vụ chứng chỉ sẽ không sẵn sàng để xử lý các yêu cầu chứng chỉ, các yêu cầu làm mới chứng chỉ hay danh sách thu hồi chứng chỉ cho tới khi CA khôi phục lại được dịch vụ.
Kiến trúc phân cấp single CA thông thường chỉ được sử dụng khi việc quản trị là đơn giản, giá thành thấp .
Hình 16: Kiến trúc CA đơn
Dạng mở rộng của kiểu kiến trúc CA này là kết nối các CA để hỗ trợ các cộng đồng người dùng khác nhau. Các tổ chức có thể kết nối các CA cô lập thành các PKI lớn sử dụng mối quan hệ điểm - điểm.
3.5.3. Kiến trúc CA phân cấp
Kiến trúc mô hình CA phân cấp bao gồm có một root CA ở trên đỉnh, phía dưới là một hay hai lớp CA (khoá công khai của các CA này được ký bởi root CA) và sau đó là các thuê bao và các RA ở phía dưới. Mỗi khoá được tin tưởng nhất của người dùng là khoá công khai của root CA. Mô hình này cho phép sự thi hành các chính sách và các chuẩn thông qua hạ tầng, tạo ra mức đảm bảo tổng thể cao hơn là các kiến trúc đa CA khác.
Hình 17: Kiến trúc CA phân cấp
Trong mô hình này, root CA sẽ cấp chứng chỉ cho các sub CA nhưng không cấp chứng chỉ cho người dùng. Các subCA này lại cấp chứng chỉ cho các subCA khác hoặc cho người dùng.
3.5.4. Kiến trúc kiểu chứng thực chéo (Cross-certificate)
Trong mô hình này, mỗi CA tạo ra các chứng chỉ cho các CA mà đã xác minh là đã “đủ mạnh” để sở hữu chứng chỉ. Trong mô hình phân cấp, mỗi
người chỉ có một khoá công khai của root, nhưng trong mô hình này, khoá đó lại là khoá của CA cục bộ của chúng chứ không phải là khoá của rootCA.
Hình 18: Kiến trúc kiểu chứng thực chéo
Một vấn đề của mô hình này là khó khăn với ứng dụng người dùng để xác định chuỗi chứng chỉ giữa người dùng sở hữu CA không có đường liên kết chứng thực chéo.
Mô hình này phải đối mặt với vấn đề “ai là root CA” (không ai/ hoặc là tất cả các CA), cho phép các CA trở thành cấu trúc điểm thay vì phân cấp, nhưng cũng giống như mô hình Web of Trust, chứng thực chéo sẽ tạo ra mức bảo đảm đồng nhất cho toàn hệ thống.
3.5.5. Kiến trúc Bridge CA(BCA)
Bridge CA được thiết kế để giải quyết các thiếu sót trong các kiến trúc PKI cơ bản và tạo kết nối các PKI khác nhau. Bridge CA không cấp chứng chỉ cho người dùng và chúng không phải là nguồn tin cậy. Thay vào đó, Bridge CA sẽ thiết lập mối quan hệ tin cậy peer to peer (P2P) giữa các cộng
đồng người dùng khác nhau và làm giảm nhẹ vấn đề cấp phát chứng chỉ giữa các tổ chức trong khi đó lại cho phép người dùng giữ được nguồn tin cậy.
Hình 19: Kiến trúc Bridge CA
Trong kiểu kiến trúc này, Bridge CA sẽ cung cấp một cái cầu tin cậy (thông qua cặp chứng thực chéo) giữa các cơ sở hạ tầng khoá công khai phân cấp và cơ sở hạ tầng khoá công khai chứng thực chéo. Độ phức tạp của mô hình này khá cao và có thể phải điều chỉnh các module PKI của người dùng cuối.
Mỗi một mối quan hệ tin cậy Bridge CA được thể hiện bằng một cặp chứng chỉ, một được cấp phát bởi BCA.