Quản lý chứng chỉ số trong mạng không dây AD học

Mục đích chính của các phương pháp này là tăng cường khả năng ngoại tuyến và giảm tải cho các máy chủ phân phối CRL. Tuy nhiên chúng ta cũng cần lưu ý rằng một trong những cách thức để nâng cao hiệu quả của việc phân phối CRL chính là tối ưu thông tin trong mỗi CRL nhằm giảm tải trong quá trình trao đổi. Các giải pháp CRL cụ thể sẽ được trình bày dưới đây.
Nội dung trích xuất từ tài liệu:
Quản lý chứng chỉ số trong mạng không dây AD họcT¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008QUẢN LÝ CHỨNG CHỈ SỐ TRONG MẠNG KHÔNG DÂY AD HOCPhạm Việt Bình - Lê Anh Tú – Vũ Thành Vinh (Khoa Công nghệ thông tin - ĐH Thái Nguyên)Tổng quanCác chứng nhận khoá công khai được sử dụng rộng rãi trong các hệ thống bảo mật mạnggiống như là các minh chứng cho sự nhận dạng hay minh chứng cho khả năng và thNm quyền.Đó là các kỹ thuật quan trọng cho việc cung cấp các dịch vụ bảo mật như: xác thực, không chốibỏ và kiểm soát truy cập. Để sử dụng trong một mạng chung, các chứng nhận cần có sự hỗ trợcủa các khoá công khai (PKI) hợp lệ. Kỹ thuật về các chứng nhận và PKI đã được phát triển vàđược thiết kế cho các môi trường mạng có dây truyền thống. Tuy nhiên trong môi trường mạngAd hoc thì cần có những giải pháp mới để phù hợp với tính chất đặc biệt của mạng.Mỗi chứng nhận sẽ có thời hạn hợp lệ nhất định và do chính sách CA (CertificateAuthentical) quyết định, tuy nhiên các chứng nhận có thể bị thu hồi vì nhiều lý do khác nhautrước khi thời hạn hợp lệ của nó kết thúc. Những lý do này có thể là do khoá riêng có liên quanđến chứng nhận bị thoả hiệp hoặc do quan hệ của người chủ sở hữu đã thay đổi, do vậy chứngnhận này không còn có giá trị ngay cả khi chưa hết hạn. Việc kiểm tra chứng nhận hợp lệ baogồm việc xác minh chữ ký của người phát hành, thời gian hợp lệ và việc kiểm tra tình trạng thuhồi chứng nhận.Phương pháp được dùng để cung cấp thông tin thu hồi thường dựa trên danh sách thu hồichứng nhận CRL (Certificate Revocation List). Những CRL này được đưa ra bởi các CA khácnhau, trong đó chứa các số thứ tự và các thông tin khác nhau có liên quan đến các chứng nhận bịthu hồi đã được đưa ra bởi mỗi CA. Thông thường để xác minh tình trạng thu hồi của một chứngnhận thì cần lấy về các CRL từ một máy chủ trực tuyến phân phối CRL mà đa số các giải phápđã được đưa ra đều dựa trên một kỹ thuật được gọi là “làm tràn” [4].Các xu hướng gần đây trong các môi trường mạng máy tính như mạng di động, mạngkhông dây và mạng Ad hoc khiến cho sự phù hợp của các ứng dụng ngoại tuyến trở thành mộttiêu chuNn ngày càng quan trọng trong hệ thống thu hồi chứng nhận. Giải pháp cho mục tiêunày chính là phương pháp điểm phân phối cho (dùng các CRL phức tạp) và trao đổi CRLđiểm-điểm [5]. Mục đích chính của các phương pháp này là tăng cường khả năng ngoại tuyếnvà giảm tải cho các máy chủ phân phối CRL. Tuy nhiên chúng ta cũng cần lưu ý rằng mộttrong những cách thức để nâng cao hiệu quả của việc phân phối CRL chính là tối ưu thông tintrong mỗi CRL nhằm giảm tải trong quá trình trao đổi. Các giải pháp CRL cụ thể sẽ được trìnhbày dưới đây.1. Các giải pháp CRL1.1. Giải pháp CRL cơ bảnMô hình của giải pháp CRL cơ bản (Basic CRL) được chỉ ra trong Hình 1. Ở đây, CAtạo ra một CRL và gửi CRL này tới máy chủ gọi là điểm phân phối CRL. Các trạm khác liên kếttới điểm phân phối và truy cập CRL hiện tại. CRL này có thể được các trạm lưu giữ cho đến khinó bị thu hồi.133T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008Mỗi CA tạo ra một CRL chứa thôngtin thu hồi của các chứng nhận mà nó đã pháthành. Do vậy khi một trạm nhận một chứngnhận từ một trạm khác, nó cần phải liên hệ vớiđiểm phân phối chứng nhận để nhận CRL.Thông tin về địa chỉ của điểm phân phốichuNn cho một chứng nhận có thể được lưu trữtrong một trường của chứng nhận.Rõ ràng khi nhiều người sử dụng cần cậpnhật các CRL của họ một cách thường xuyên thìsẽ gây tắc nghẽn tại điểm phân phối. Do vậy cầncó những cải tiến trên giải pháp CRL cơ bản.Hình 1: Mô hình phân phối CRL cơ bản1.2. Giải pháp CRL nhanhCRL nhanh (Delta CRL) chỉ chứanhững thay đổi kể từ CRL hoàn thiện cuối cùng,do đó CRL nhanh sẽ nhỏ hơn đáng kể so vớiCRL hoàn thiện (hay còn gọi là CRL cơ bản),nó cho phép cập nhật với tần số cao hơn. Tronggiải pháp này trạm sẽ ghi lại CRL cơ bản và chỉtải về CRL nhanh hiện hành dẫn đến lưu lượngmạng nhỏ hơn nhiều. Các CRL nhanh hạ thấplưu lượng tải một cách đáng kể, do vậy có thểcó tần số cập nhật thông tin thu hồi cao.1.3. Giải pháp lạm phát CRL nhanhCA không cần phải đợi đến khi deltaHình 2: So sánh mức độ yêu cầu BaseCRL hiện có hết hạn, mà cứ mỗi khi mộtCRL và Delta CRLchứng nhận bị thu hồi thì CA sẽ phát hànhCRL mới trùng khớp về thời gian hợp lệ(Over-issued delta CRL). Điều này khiến lưulượng tối đa tại điểm phân phối sẽ giảm xuống, do không phải tất cả các delta CRL được cácngười dùng ghi lại đều hết hạn tại cùng một thời điểm.1.4. Giải pháp CRL gián tiếpTrong một môi trường với rất nhiều CA, một trạm có thể cần tải về các CRL khác nhautừ nhiều điểm phân phối khác biệt để xác minh các chứng nhận mà nó đã nhận được. Các CRLgián tiếp (Indirect CRL) là các CRL được đưa ra bởi một thNm quyền khác so với người pháthành CA và nó chứa thông tin thu hồi từ nhiều CRL khác.1.5. CRL mới nhấtOver-issued CRLs và delta CRLs có thể tồn tại ngay cả khi CRL vẫn còn hợp lệ và cóthông tin t ...