Hệ thống CA khi đƣợc triển khai ở bất kỳ phạm vi nào đều cần có một kiến trúc phù hợp. Thông thƣờng, ta dựa trên đặc điểm tổ chức của hệ thống các dịch vụ sử dụng CA để định ra kiến trúc phù hợp. Sau đây, ta sẽ tìm hiểu những kiến trúc hệ thống CA tiêu biểu trên thế giới.
1) Kiến trúc phân cấp
Trong kiến trúc này, các CA đều nằm dƣới một CA gốc (RootCA). Root CA cấp chứng thƣ cho các CA thứ cấp (SubCA), user. SubCA cấp chứng thƣ cho user thuộc tổ
chức của mình. Trong mô hình này, tất cả các đối tƣợng trong hệ thống đều phải biết khoá công khai của RootCA. Tất cả các chứng thƣ số đều có thể đƣợc kiểm chứng bằng cách kiểm tra đƣờng dẫn của chứng thƣ số đó đến RootCA.
RootCA SubCA User SubCA User User User User User User
Hình 2-3. Mô hình kiến trúc phân cấp
Trong kiến trúc này, các CA đều nằm dƣới một CA gốc (RootCA). Root CA cấp chứng thƣ cho các CA thứ cấp (SubCA), user. SubCA cấp chứng thƣ cho user thuộc tổ chức của mình. Trong mô hình này, tất cả các đối tƣợng trong hệ thống đều phải biết khoá công khai của RootCA. Tất cả các chứng thƣ số đều có thể đƣợc kiểm chứng bằng cách kiểm tra đƣờng dẫn của chứng thƣ số đó đến RootCA.
Trong kiến trúc của hệ thống CA này, tất cả các đối tƣợng đều dựa trên sự tin cậy đối với CA gốc duy nhất. Khoá công khai của RootCA phải đƣợc phân phát cho các đối tƣợng đã đƣợc xác thực để đảm bảo sự tin cậy trong hệ thống. Sự tin cậy này đƣợc hình thành theo các cấp từ RootCA đến các SubCA và đến các đối tƣợng sử dụng.
Ƣu điểm của kiến trúc phân cấp
- Chặt chẽ, thống nhất về mặt kiến trúc.
- Các mối quan hệ trong kiến trúc hệ thống CA phân cấp cũng khá giống với các quan hệ trong hầu hết các tổ chức. Vì vậy, ta có thể coi các nhánh của quá trình xác thực đối tƣợng giống với các nhánh trong cấu trúc của tổ chức.
- Có thể dễ dàng đƣa các chính sách quản lý hành chính vào trong các ứng dụng tích hợp CA.
- Dễ dàng thêm các SubCA khi có nhu cầu.
- Kiến trúc phân cấp này cũng gần giống với hình thức phân cấp trong việc tổ chức thƣ mục. Do vậy, ta có thể dễ dàng làm quen hơn.
- Cách thức tìm ra một nhánh xác thực là theo một hƣớng nhất định, không có hiện tƣợng vòng lặp. Do vậy, việc xác thực đƣợc thực hiện đơn giản và nhanh chóng.
Chỉ cần tìm ngƣợc đƣờng chứng thƣ dựa vào trƣờng issuer trong chứng thƣ của thực thể con sẽ tìm đến root CA.
Thuật toán đơn giản, dễ tích hợp với các ứng dụng và các thiết bị.
- Chi phí mua License cho phần mềm CA thấp
Cùng một số chứng thƣ, càng ít root CA, giá thành càng thấp.
Nhƣợc điểm của kiến trúc phân cấp
- Trên một phạm vi lớn thì kiến trúc này không phù hợp, vì không thể chỉ có một CA duy nhất để đảm nhận tất cả các quá trình xác thực.
- Các quan hệ kinh doanh, thƣơng mại không phải lúc nào cũng có dạng phân cấp. - Khó khăn khi tích hợp với hệ thống CA đã có
Không thể chuyển một Root CA đã có thành sub CA của một CA khác.
- Khi khoá riêng của RootCA bị lộ thì sẽ rất nguy hiểm, toàn bộ hệ thống bị mất điểm tin cậy. Nếu có khắc phục bằng cách thay cặp khoá mới thì thông tin về khoá công khai của RootCA phải đƣợc truyền đến cho tất cả các đối tƣợng trong hệ thống. Điều này đòi hỏi thời gian và một lƣu lƣợng truyền thông rất lớn.
2) Kiến trúc mạng lưới
Hình 2-4. Mô hình kiến trúc mạng lƣới
Mô hình này đƣợc thiết kế từ các CA ngang hàng nhau, kết quả tạo ra một mạng lƣới CA có sự tin cậy lẫn nhau. Việc kiểm tra chứng thƣ trong giao dịch đƣợc thực hiện bằng cách kiểm tra chéo. Các CA sẽ chứng thực chéo bằng cách cấp chứng thƣ
cho nhau để tạo ra một chuỗi tin cậy. Trong mô hình này mỗi tổ chức CA sẽ trao cho nhau khoá công khai của mình và tổ chức kia sẽ tạo ra một chứng thƣ xác thực chéo chứa khoá công khai đó và ký vào chứng thƣ này. Ngƣời dùng tại tổ chức CAn biết khoá công khai của CAn. Ngƣời dùng kiểm chứng một chứng thƣ số bằng cách kiểm tra quá trình xác thực với đích là CA đã phát hành chứng thƣ số đó.
Ví dụ: khi một ngƣời dùng A1 nào đó trong tổ chức CA1 cần xác thực chứng thƣ của ngƣời dùng A2 trong CA2 ngƣời dùng A1 cần tìm đƣợc đƣờng dẫn chứng thực thích hợp. Theo hình vẽ trên thì A1 có thể xác thực A2 theo nhiều nhánh khác nhau. Theo nhánh ngắn nhất, A2 đƣợc CA2 cấp chứng thƣ nên nó đƣợc xác thực bởi CA2. CA2 lại đƣợc xác thực ngang hàng bởi CA1. A1 đƣợc CA1 cấp phát chứng thƣ và biết đƣợc khoá công khai của CA1 nên nó có thể xác thực trực tiếp với CA1.
Mô hình này thích hợp với các tổ chức có nhiều đơn vị với quyền hạn, cơ cấu tổ chức nhân sự, trách nhiệm pháp lý độc lập.
Ƣu điểm của kiến trúc mạng lƣới
- Đây là một kiến trúc linh động, nó thích hợp với các mối quan hệ tin cậy lẫn nhau trong thực tế của công việc kinh doanh.
- Kiến trúc này cho phép các CA có thể xác thực ngang hàng một cách trực tiếp trong trƣờng hợp các đối tƣợng sử dụng của chúng liên lạc với nhau thƣờng xuyên để giảm tải lƣợng đƣờng truyền và thao tác xử lý.
- Việc khôi phục hệ thống do khoá riêng của một CA bị lộ sẽ chỉ gồm việc phân phát một cách an toàn khoá công khai mới của CA đến các đối tƣợng mà CA này cấp phát chứng thƣ số.
Nhƣợc điểm của kiến trúc mạng lƣới
- Do cấu trúc của mạng có thể rất phức tạp nên việc tìm kiếm các đối tƣợng rất khó khăn. Trong trƣờng hợp có nhiều đƣờng truyền đến một đối tƣợng khác thì bài toán tìm đƣờng đi ngắn nhất đến đối tƣợng đó có thể rất phức tạp.
- Một đối tƣợng không thể đƣa ra một nhánh xác thực duy nhất mà có thể đảm bảo tất cả các đối tƣợng khác trong hệ thống có thể thực hiện đƣợc.
3) Kiến trúc cầu liên kết CA User CA CA User User User User User CA User CA
Hình 2-5. Mô hình kiến trúc Cầu liên kết
Trong mô hình kiến trúc này một CA trung gian đƣợc thiết kế để kết nối các hệ thống CA khác với nhau (các hệ thống CA này có thể có kiến trúc phân cấp hoặc kiến trúc mạng lƣới). Do tính chất đó CA trung gian còn đƣợc gọi là cầu liên kết (Bridge).
Không giống CA trong mô hình kiến trúc mạng lƣới, Bridge CA không cấp chứng thƣ trực tiếp cho ngƣời dùng. Không giống RootCA trong mô hình kiến trúc phân cấp, Bridge CA không đƣợc sử dụng nhƣ một điểm tin cậy gốc. Trong mô hình này Bridge CA thực hiện thiết lập liên kết điểm - điểm (xác thực chéo) với các hệ thống CA khác và hình thành cầu liên kết tin cậy cho ngƣời dùng trong các hệ thống CA khác nhau.
Nếu hệ thống CA kết nối có kiến trúc phân cấp, Bridge CA sẽ thiết lập liên kết với Root CA. Nếu CA kết nối có kiến trúc mạng lƣới, Bridge CA sẽ thiết lập liên kết với một trong số các CA của mạng lƣới đó.
Ƣu điểm của kiến trúc cầu liên kết
- Hỗ trợ rất tốt khi cần thiết lập quan hệ tin cậy giữa nhiều hệ thống CA đã có. Các hệ thống CA này chỉ cần đƣợc xác thực chéo với Bridge CA.
- Bridge CA có thể đƣa ra một số ràng buộc để các CA đƣợc Bridge CA ký chéo.
- Khi cần xác thực một chứng thƣ ở ngoài nhánh thì xác thực qua Bridge CA. - Các nhánh CA có thể phát triển và hoàn thiện dần.
- Khả năng cách ly khi xảy ra nguy cơ tốt.
Khi một nhánh CA bị lỗi, bridge CA chỉ cần cắt liên kết với CA nhánh đó, các CA khác sẽ đƣợc an toàn.
- Khả năng phục hồi nhanh chóng.
Nhờ cách ly nhanh chóng, khi một phần nào bị tấn công, chỉ cần phục hồi phần đó và tích hợp lại vào hệ thống.
Nhƣợc điểm của kiến trúc cầu liên kết
- Việc xử lý ở Bridge CA rất phức tạp:
Bridge CA phải thay mặt các CA để xử lý các yêu cầu về chứng thƣ một cách thông suốt.
Chi phí cho việc thiết kế, triển khai rất lớn.
- Khó khăn hơn trong cấu hình Directory
Các Directory cần đƣợc cấu hình để có thể thiết lập liên kết tới Bridge.
- Sử dụng nhiều root CA nên chi phí cho license sẽ cao.
- Mô hình này có thể dễ dàng trong những năm đầu phát triển những về sau rất tốn kém và phức tạp trong quản lý cũng nhƣ điều hành khi số lựong CA và số ngƣời dùng phát triển.
