III. Phõn tớch chương trỡnh truyền nhận dữ liệu kờ khai thuế và thụng bỏo của cơ quan thuế
3. Mụ hỡnh phõn cấp với cỏc liờn kết bổ sung:
Để giảm lưu lượng nhiều đường dẫn chứng chỉ qua CA Z người ta đưa ra mụ hỡnh liờn kết bổ sung. Với mụ hỡnh này C cú thể lấy được bản sao khoỏ cụng khai của G mà khụng cần qua Z.
Hỡnh 5.3: Mụ hỡnh phõn cấp với liờn kết bổ sung cho CA
4. Mụ hỡnh phõn cấp Top – down:
Mụ hỡnh này là biến thể của mụ hỡnh phõn cấp tổng quỏt. Mụ hỡnh này được phỏt triển bởi Bộ quốc phũng Mỹ trờn cơ sở khoỏ cụng khai để trao đổi thụng điệp (message) trong quõn đội. Z B C D F E G H e f g h i j a b c d
Hỡnh 5.4: Mụ hỡnh phõn cấp Top - down cho CA
Với mụ hỡnh này, khụng cú chứng chỉ sốđược cấp từ lớp dưới lờn lớp trờn, núi cỏch khỏc cỏc CA cấp dưới khụng thể chứng thực cho cỏc CA quản lý nú được. Cỏc đường dẫn chỉ dẫn chỉđược bắt nguồn tử CA lớp cao nhẩt (CA gốc). Tất cả người sử dụng chứng chỉ số
phải cú một chứng chỉ uỷ quyền lớp cao nhất như việc sở hữu tớnh xỏc thực gốc. Trong trường hợp khỏc nú phải giữ một bản sao khoỏ cụng khải đỏng tin cậy của CA lớp cao nhất,
được xỏc lập bởi một CA trung gian độc lập. Với mụ hỡnh này, cỏc RA cú một số thuận lợi sau:
Với mỗi thuờ bao cú một đường dẫn chứng chỉ duy nhất, vỡ vậy rất dễ tỡm; chẳng hạn RA B cú thể cất giữ bộ chứng chỉ của CA lớp cao nhất và RA B cú thể phõn phỏt đường dẫn nguyờn vẹn như một cấu trỳc dữ liệu cho mọi RA khỏc đang cần nú.
Việc tổ chức phản ỏnh mụ hỡnh phõn cấp quản lý theo mệnh lệnh của Bộ quốc phũng Mỹ.
Như vậy với mụ hỡnh này tất cả mọi người tham gia phải tuyệt đối tin tưởng vào CA mức cao nhất.
5. Mụ hỡnh PEM (Privacy Enhanced Mail)
PEM là mụ hỡnh trao đổi thụng điệp mở rộng được ỏp dụng cho Internet. Năm 1993, tổ chức Internet đó hoàn thiện việc phỏt triển và được đề xuất trong cỏc chuẩn sử dụng trờn Internet trờn cơ sở hạ tầng khoỏ cụng khai. Cấu trỳc PEM đó phỏt triển dựa trờn cấu trỳc Top - down. Z B C D F E G H e f g h i j a b c d
Hỡnh 5.5: Mụ hỡnh PEM cho CA Mụ hỡnh PEM định nghĩa ra 3 kiểu CA là:
IPRA (Internet Policy Registration Authority): là CA mức cao nhất trong cấu trỳc, nú hoạt động đưới sự trợ giỳp của tổ chức quản lý Internet quốc tế. Nú phõn phối khoỏ cụng khai để sử dụng rộng rói và nú chứng thực cho cỏc CA cấp dưới. PCA (Policy Certification Authority): nằm ở mức thứ hai trong cấu trỳc, nắm quyền tổ chức cỏch thức hoạt động của cỏc CA, chứng chỉ của PCA được chứng thực bởii IPRA, mỗi PCA phải đăng ký với IPRA và cụng bố trạng thỏi hoạt
động trong việc cấp phỏt chứng chỉ người sử dụng hoặc hoặc chứng chỉ cho cỏc CA cấp dưới nú. Cỏch thức tổ chức hoạt động của cỏc PCA khỏc nhau, mỗi cỏch thức nhằm hướng tới một loại đối tượng sử dụng cú cỏc yờu cầu đặc trưng. CA (Certification Authority): nằm ở mức thứ 3, nú thực hiện chức năng cấp chứng chỉ, vớ dụ như một tổ chức chớnh trị nào đú, một đơn vị hành chớnh, một khu vực địa lý.
6. Mụ hỡnh tổng quỏt hệ thống CA
IPRA
PCA1 PCA2 PCA3
CA2
CA1 CA4 CA5
e f g h i j
a b c d
Hệ thống CA hoạt động theo mụ hỡnh sau:
Trong đú:
• CAServer: Mỏy chủ của cơ quan chứng thực (Certification Authority Server) • RAServer: Mỏy chủ của cơ quan đăng ký (Registration Authority Server).
• LDAP Server: Mỏy chủ chứa danh sỏch cỏc chứng chỉ đó phỏt hành và cỏc chứng chỉđó huỷ bỏ, cho phộp người dựng tỡm kiếm, kiểm tra, so sỏnh ... cỏc chứng chỉ số.
Router Modem PSTN Modem LRA Use RAServer LDAPServer User User CA Server Switch Hub CSDL CSDL
• LRA: Cơ quan đăng ký địa phương (Local Registration Authority ).
• Trong hệ thống này, mỏy chủ CAServer là quan trọng nhất. Nú được cài đặt phần mềm CA và khoỏ riờng của CA. Chớnh vỡ vậy phải được đểở nơi tuyệt đối an toàn và ngắt mọi kết nối mạng vỡ đú là cỏch duy nhất để bảo vệ mỏy khỏi những tấn cụng trờn mạng.
• RAServer phức tạp hơn, trờn đú cài đặt một Apache Server an toàn với chếđộ xỏc thực người dựng. Apache Server chỉ đưa ra cỏc dịch vụ cho những RAđược phộp chấp nhận hoặc huỷ bỏ cỏc yờu cầu cấp chứng chỉ trước khi chỳng được ký bởi CA. • LDAP Server là mỏy chủ chứa tất cả những chứng chỉđó được phỏt hành cho phộp
người dựng chứng chỉ sử dụng dịch vụ thư mục để tỡm kiếm, đối chiếu thụng tin trờn cỏc chứng chỉ.
• Cỏc LRA cú nhiệm vụ kiểm tra thụng tin trờn đăng ký chứng chỉ của người dựng (thụng qua chứng minh thư và cỏc giấy tờ khỏc của người đú) và ký nhận trước để
chuẩn bị chuyển sang cho CAServer. Tất cả quỏ trỡnh truyền thụng giữa RAServer
và LRA được thực hiện thụng qua một phiờn liờn lạc an toàn (bằng Apache + mod_ssl) bằng đường dial up.
• Tại RAServer và cỏc LRA cú cỏc cơ sở dữ liệu để quản lý cỏc chứng chỉ đó cấp phỏt.