The technical solution produces a variety important benefits for security mechanisms used in not only the standard network but also mobile ad hoc network.. This helps to [r]
(1)Tạp chí Khoa học & Công nghệ - Số 1(45) Tp 2/Năm 2008
QUN Lí CHỨNG CHỈ SỐ TRONG MẠNG KHÔNG DÂY AD HOC Phạm Việt Bình - Lê Anh Tú – Vũ Thành Vinh (Khoa Công nghệ thông tin - ĐH Thái Nguyên)
Tổng quan
Các chứng nhận khoá công khai sử dụng rộng rãi hệ thống bảo mật mạng giống minh chứng cho nhận dạng hay minh chứng cho khả thNm quyền Đó kỹ thuật quan trọng cho việc cung cấp dịch vụ bảo mật như: xác thực, khơng chối bỏ kiểm sốt truy cập Để sử dụng mạng chung, chứng nhận cần có hỗ trợ khố cơng khai (PKI) hợp lệ Kỹ thuật chứng nhận PKI phát triển thiết kế cho mơi trường mạng có dây truyền thống Tuy nhiên mơi trường mạng Ad hoc cần có giải pháp để phù hợp với tính chất đặc biệt mạng
Mỗi chứng nhận có thời hạn hợp lệ định sách CA (Certificate Authentical) định, nhiên chứng nhận bị thu hồi nhiều lý khác trước thời hạn hợp lệ kết thúc Những lý khố riêng có liên quan đến chứng nhận bị thoả hiệp quan hệ người chủ sở hữu thay đổi, chứng nhận khơng cịn có giá trị chưa hết hạn Việc kiểm tra chứng nhận hợp lệ bao gồm việc xác minh chữ ký người phát hành, thời gian hợp lệ việc kiểm tra tình trạng thu hồi chứng nhận
Phương pháp dùng để cung cấp thông tin thu hồi thường dựa danh sách thu hồi chứng nhận CRL (Certificate Revocation List) Những CRL đưa CA khác nhau, chứa số thứ tự thơng tin khác có liên quan đến chứng nhận bị thu hồi đưa CA Thông thường để xác minh tình trạng thu hồi chứng nhận cần lấy CRL từ máy chủ trực tuyến phân phối CRL mà đa số giải pháp đưa dựa kỹ thuật gọi “làm tràn” [4]
Các xu hướng gần mơi trường mạng máy tính mạng di động, mạng không dây mạng Ad hoc khiến cho phù hợp ứng dụng ngoại tuyến trở thành tiêu chuNn ngày quan trọng hệ thống thu hồi chứng nhận Giải pháp cho mục tiêu phương pháp điểm phân phối cho (dùng CRL phức tạp) trao đổi CRL điểm-điểm [5] Mục đích phương pháp tăng cường khả ngoại tuyến giảm tải cho máy chủ phân phối CRL Tuy nhiên cần lưu ý cách thức để nâng cao hiệu việc phân phối CRL tối ưu thơng tin CRL nhằm giảm tải trình trao đổi Các giải pháp CRL cụ thể sẽđược trình bày
1. Các giải pháp CRL
1.1 Giải pháp CRL
(2)T¹p chÝ Khoa học & Công nghệ - Số 1(45) Tp 2/Năm 2008
Mỗi CA tạo CRL chứa thông tin thu hồi chứng nhận mà phát hành Do trạm nhận chứng nhận từ trạm khác, cần phải liên hệ với điểm phân phối chứng nhận để nhận CRL Thông tin địa điểm phân phối chuNn cho chứng nhận có thểđược lưu trữ trường chứng nhận
Rõ ràng nhiều người sử dụng cần cập nhật CRL họ cách thường xuyên gây tắc nghẽn điểm phân phối Do cần có cải tiến giải pháp CRL
1.2 Giải pháp CRL nhanh
CRL nhanh (Delta CRL) chứa thay đổi kể từ CRL hoàn thiện cuối cùng, CRL nhanh nhỏ đáng kể so với CRL hồn thiện (hay cịn gọi CRL bản), cho phép cập nhật với tần số cao Trong giải pháp trạm ghi lại CRL tải CRL nhanh hành dẫn đến lưu lượng mạng nhỏ nhiều Các CRL nhanh hạ thấp lưu lượng tải cách đáng kể, có tần số cập nhật thơng tin thu hồi cao
1.3 Giải pháp lạm phát CRL nhanh
CA không cần phải đợi đến delta CRL có hết hạn, mà chứng nhận bị thu hồi CA phát hành CRL trùng khớp thời gian hợp lệ (Over-issued delta CRL) Điều khiến lưu
lượng tối đa điểm phân phối giảm xuống, tất delta CRL người dùng ghi lại hết hạn thời điểm
1.4. Giải pháp CRL gián tiếp
Trong môi trường với nhiều CA, trạm cần tải CRL khác từ nhiều điểm phân phối khác biệt để xác minh chứng nhận mà nhận Các CRL gián tiếp (Indirect CRL) CRL đưa thNm quyền khác so với người phát hành CA chứa thơng tin thu hồi từ nhiều CRL khác
1.5 CRL
Over-issued CRLs delta CRLs tồn CRL cịn hợp lệ có thơng tin thu hồi Chứng nhận mở rộng gọi “Freshest CRL” chứa thơng tin thu
Hình 2: So sánh mức độ yêu cầu Base CRL Delta CRL
(3)T¹p chÝ Khoa häc & Công nghệ - Số 1(45) Tp 2/Năm 2008
Hình 5: Điểm phân phối cho dịch vụ
cục CRL phức tạp
hồi nhận cho chứng nhận Theo cách này, ứng dụng yêu cầu tính kịp thời cao nhận thơng tin đó, ứng dụng có u cầu thấp tính kịp thời lại không cần cập nhật CRL
2. Một số giải pháp phân phối CRL dựa kỹ thuật “làm tràn”
Hầu hết báo triển khai PKI mạng Ad hoc thường đề cập ngắn gọn đến việc “làm tràn” để phân phối CRL [1] [2] [3] Kỹ thuật “làm tràn” xem phương thức khả thi để phân phối CRL khơng có chứng minh Hình 3, kết thực mô đánh giá giải pháp phân phối CRL sử dụng kỹ thuật “làm tràn” [4] Các kết mô cho thấy số nút (gọi N) phạm vi truyền thơng (phạm vi phủ sóng nút, gọi R) hai nhân tố định có ảnh hưởng đến hoạt động “làm tràn”
Hình thể N đạt tới giá trị định (khoảng 50) sẽđạt 100% mức độ bao phủ Hình thể giá trịđược yêu cầu N đểđạt 100% độ bao phủ với giá trị R khác thiết lập mô
3. Các điểm phân phối cho CRL phức tạp Trước tiên cần định nghĩa khái niệm miền thu hồi (revocation domain): Miền thu hồi nhóm CA mà trạm có khả tương tác nhiều Ví dụ: miền thu hồi hình thành tất CA thành phố tất CA cơng ty Mục đích tạo điều kiện cho trạm tải lưu lại tất thông tin thu hồi hợp lệ cho miền thu hồi mà chúng nằm
Các điểm phân phối CRL miền thu hồi phải truy cập tới tất CRL mà CA phát hành miền thu hồi Điều có thểđược thực
cách cho CA gửi CRL tới tất điểm phân phối miền thu hồi mà
Hình 3: Mức độ bao phủ CRL theo số nút (diện tích mơ 1000x1000; miền truyền thông
250; Tốc độ tối đa 10)
Hình 4: Số nút yêu cầu đểđạt bao phủ CRL 100% với giá trị N khác (diện tích mơ
(4)T¹p chÝ Khoa häc & C«ng nghƯ - Sè 1(45) Tập 2/Năm 2008
thnh viờn, kt qu l mi điểm phân phối miền có tất CRL từ tất CA miền Do trạm truy cập tới tất thông tin thu hồi cho miền từ điểm phân phối miền Một giải pháp khác cho tất điểm phân phối tạo CRL gián tiếp từ tất CRL mà chúng nhận được, sau trạm tải CRL lớn chứa tất liệu thu hồi cho miền Tuy nhiên điều khơng hiệu Các CRL miền có thời gian hợp lệ khác nhau, CA thực việc cập nhật với tần số khác Mỗi việc cập nhật xảy ra, điểm phân phối phải tạo CRL Một trạm yêu cầu cập nhật cuối phải tải tất có thểđã có hầu hết thơng tin
Một giải pháp hiệu cho điểm phân phối phân phối CRL chúng xuất từ CA Do trạm khơng có đủ thơng tin để định cập nhật mà cần, điểm phân phối phải có khả cung cấp danh sách CRL sẵn sàng cho trạm Danh sách chứa CA phát hành, số thứ tự, thời gian phát hành thời gian hết hạn CRL mà có Trạm so sánh giá trị với CRL có yêu cầu giá trị mất, thay cho giá trị hết hạn
4.Trao đổi CRL điểm - điểm
Kỹ thuật hữu dụng hoạt động trực tuyến, làm giảm đáng kể tải trọng điểm phân phối Trong trực truyến, thành viên cần kết nối tải CRL từ điểm phân phối thành viên thực giao dịch với khơng có CRL
Việc truyền CRL diễn sau trao đổi chứng nhận Hình bước giải pháp trao đổi CRL điểm - điểm
- Đầu tiên thành viên trao đổi giá
trị “Last CRL Update” (CRL cập nhật nhất) Đây lần cuối thành viên cập nhật CRL Bằng cách trao đổi giá trị thành viên định xem thành viên khác có thơng tin thu hồi khơng, mà không cần trao đổi danh sách CRL dài
- Thành viên A sau định B có thơng tin thu hồi đề nghị B đưa danh sách tất CRL mà B có Danh sách tương tự danh sách sử dụng để tải thông tin từ điểm phân phối Mỗi CRL bao gồm: người phát hành, số thứ tự, thời gian phát hành thời gian hết hạn
- Tiếp theo thành viên A sử dụng danh sách nhận từ B để định CRL yêu cầu, sau gửi yêu cầu tới B bao gồm người phát hành thứ tự CRL cần tải - Cuối B gửi CRL yêu cầu cho A A xác minh chữ ký chúng để đảm
bảo chúng hợp lệ sử dụng chúng để thay CRL hết hạn cũ
(5)T¹p chÝ Khoa häc & Công nghệ - Số 1(45) Tp 2/Năm 2008 5 Kết luận
Bài viết phân tích cách tổng quan giải pháp phân phối chứng nhận mạng Ad hoc Bao gồm giải pháp phân phối tình xác minh trực tuyến ngoại tuyến Tuy nhiên, chưa có mơ đánh giá cụ thể hiệu giải pháp Phần tiếp tục nghiên cứu thời gian tới
Tóm tắt
Bài viết giới thiệu thảo luận giải pháp kỹ thuật để sử dụng, quản lý xác minh chứng số hai tình trực tuyến ngoại tuyến Các giải pháp kỹ thuật có nhiều lợi ích quan trọng cho chế bảo mật sử dụng mạng chuNn sử dụng mạng di động Ad hoc Điều giúp trì sách bảo mật có, đồng thời tăng cường thêm sách bảo mật để áp dụng mạng di động Ad hoc
Summary
The purpose of this paper is to introduce and discuss technical solutions in using, managing and certifying the certificates in both online and offline situations The technical solution produces a variety important benefits for security mechanisms used in not only the standard network but also mobile ad hoc network This helps to maintain recent security policies Further more, this strengthens new security policies to apply into mobile ad hoc networks
Tài liệu tham khảo
[1] J Kong, P Zerfos, H Luo, S Lu, and L Zhang (2001), Providing Robust and Ubiquitous Security
Support for Mobile Ad-Hoc Networks In Proceedings of ICNP’01, p.251-260
[2] H Luo, P Zerfos, J Kong, S Lu, and L Zhang (2002), Self-securing Ad hoc Wireless Networks In Proceedings of 7th International Symposium on Computers and Communications, p.567-574
[3] S Yi and R Kravets (2003), MOCA: Mobile Certificate Authority for Wireless Ad hoc Networks In Proceedings of PKI
[4] H W Go, P Y Chan, Y Dong, A F Sui, S M Yiu, Lucas C K Hui, Victor O K Li Performance Evaluation on CRL Distribution using Flooding in Mobile Ad hoc Networks (MANETs)