Quản lý chứng chỉ số trong mạng không dây AD HOC

T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008 
 133
QUẢN LÝ CHỨNG CHỈ SỐ TRONG MẠNG KHÔNG DÂY AD HOC 
Phạm Việt Bình - Lê Anh Tú – Vũ Thành Vinh (Khoa Công nghệ thông tin - ĐH Thái Nguyên) 
Tổng quan 
Các chứng nhận khoá công khai được sử dụng rộng rãi trong các hệ thống bảo mật mạng 
giống như là các minh chứng cho sự nhận dạng hay minh chứng cho khả năng và thNm quyền. 
Đó là các kỹ thuật quan trọng cho việc cung cấp các dịch vụ bảo mật như: xác thực, không chối 
bỏ và kiểm soát truy cập. Để sử dụng trong một mạng chung, các chứng nhận cần có sự hỗ trợ 
của các khoá công khai (PKI) hợp lệ. Kỹ thuật về các chứng nhận và PKI đã được phát triển và 
được thiết kế cho các môi trường mạng có dây truyền thống. Tuy nhiên trong môi trường mạng 
Ad hoc thì cần có những giải pháp mới để phù hợp với tính chất đặc biệt của mạng. 
Mỗi chứng nhận sẽ có thời hạn hợp lệ nhất định và do chính sách CA (Certificate 
Authentical) quyết định, tuy nhiên các chứng nhận có thể bị thu hồi vì nhiều lý do khác nhau 
trước khi thời hạn hợp lệ của nó kết thúc. Những lý do này có thể là do khoá riêng có liên quan 
đến chứng nhận bị thoả hiệp hoặc do quan hệ của người chủ sở hữu đã thay đổi, do vậy chứng 
nhận này không còn có giá trị ngay cả khi chưa hết hạn. Việc kiểm tra chứng nhận hợp lệ bao 
gồm việc xác minh chữ ký của người phát hành, thời gian hợp lệ và việc kiểm tra tình trạng thu 
hồi chứng nhận. 
Phương pháp được dùng để cung cấp thông tin thu hồi thường dựa trên danh sách thu hồi 
chứng nhận CRL (Certificate Revocation List). Những CRL này được đưa ra bởi các CA khác 
nhau, trong đó chứa các số thứ tự và các thông tin khác nhau có liên quan đến các chứng nhận bị 
thu hồi đã được đưa ra bởi mỗi CA. Thông thường để xác minh tình trạng thu hồi của một chứng 
nhận thì cần lấy về các CRL từ một máy chủ trực tuyến phân phối CRL mà đa số các giải pháp 
đã được đưa ra đều dựa trên một kỹ thuật được gọi là “làm tràn” [4]. 
Các xu hướng gần đây trong các môi trường mạng máy tính như mạng di động, mạng 
không dây và mạng Ad hoc khiến cho sự phù hợp của các ứng dụng ngoại tuyến trở thành một 
tiêu chuNn ngày càng quan trọng trong hệ thống thu hồi chứng nhận. Giải pháp cho mục tiêu 
này chính là phương pháp điểm phân phối cho (dùng các CRL phức tạp) và trao đổi CRL 
điểm-điểm [5]. Mục đích chính của các phương pháp này là tăng cường khả năng ngoại tuyến 
và giảm tải cho các máy chủ phân phối CRL. Tuy nhiên chúng ta cũng cần lưu ý rằng một 
trong những cách thức để nâng cao hiệu quả của việc phân phối CRL chính là tối ưu thông tin 
trong mỗi CRL nhằm giảm tải trong quá trình trao đổi. Các giải pháp CRL cụ thể sẽ được trình 
bày dưới đây. 
1. Các giải pháp CRL 
1.1. Giải pháp CRL cơ bản 
Mô hình của giải pháp CRL cơ bản (Basic CRL) được chỉ ra trong Hình 1. Ở đây, CA 
tạo ra một CRL và gửi CRL này tới máy chủ gọi là điểm phân phối CRL. Các trạm khác liên kết 
tới điểm phân phối và truy cập CRL hiện tại. CRL này có thể được các trạm lưu giữ cho đến khi 
nó bị thu hồi. 
T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008 
 134
Mỗi CA tạo ra một CRL chứa thông 
tin thu hồi của các chứng nhận mà nó đã phát 
hành. Do vậy khi một trạm nhận một chứng 
nhận từ một trạm khác, nó cần phải liên hệ với 
điểm phân phối chứng nhận để nhận CRL. 
Thông tin về địa chỉ của điểm phân phối 
chuNn cho một chứng nhận có thể được lưu trữ 
trong một trường của chứng nhận. 
Rõ ràng khi nhiều người sử dụng cần cập 
nhật các CRL của họ một cách thường xuyên thì 
sẽ gây tắc nghẽn tại điểm phân phối. Do vậy cần 
có những cải tiến trên giải pháp CRL cơ bản. 
1.2. Giải pháp CRL nhanh 
CRL nhanh (Delta CRL) chỉ chứa 
những thay đổi kể từ CRL hoàn thiện cuối cùng, 
do đó CRL nhanh sẽ nhỏ hơn đáng kể so với 
CRL hoàn thiện (hay còn gọi là CRL cơ bản), 
nó cho phép cập nhật với tần số cao hơn. Trong 
giải pháp này trạm sẽ ghi lại CRL cơ bản và chỉ 
tải về CRL nhanh hiện hành dẫn đến lưu lượng 
mạng nhỏ hơn nhiều. Các CRL nhanh hạ thấp 
lưu lượng tải một cách đáng kể, do vậy có thể 
có tần số cập nhật thông tin thu hồi cao. 
1.3. Giải pháp lạm phát CRL nhanh 
CA không cần phải đợi đến khi delta 
CRL hiện có hết hạn, mà cứ mỗi khi một 
chứng nhận bị thu hồi thì CA sẽ phát hành 
CRL mới trùng khớp về thời gian hợp lệ 
(Over-issued delta CRL). Điều này khiến lưu 
lượng tối đa tại điểm phân phối sẽ giảm xuống, do không phải tất cả các delta CRL được các 
người dùng ghi lại đều hết hạn tại cùng một thời điểm. 
1.4. Giải pháp CRL gián tiếp 
Trong một môi trường với rất nhiều CA, một trạm có thể cần tải về các CRL khác nhau 
từ nhiều điểm phân phối khác biệt để xác minh các chứng nhận mà nó đã nhận được. Các CRL 
gián tiếp (Indirect CRL) là các CRL được đưa ra bởi một thNm quyền khác so với người phát 
hành CA và nó chứa thông tin thu hồi từ nhiều CRL khác. 
1.5. CRL mới nhất 
Over-issued CRLs và delta CRLs có thể tồn tại ngay cả khi CRL vẫn còn hợp lệ và có 
thông tin thu hồi mới hơn. Chứng nhận mở rộng được gọi là “Freshest CRL” chứa thông tin thu 
Hình 2: So sánh mức độ yêu cầu Base 
CRL và Delta CRL 
Hình 1: Mô hình phân phối CRL cơ bản 
T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008 
 135
Hình 5: Điểm phân phối cho các dịch vụ 
cục bộ và CRL phức tạp 
hồi nhận được mới nhất cho chứng nhận đó. Theo cách này, các ứng dụng yêu cầu tính kịp thời 
cao có thể nhận được thông tin đó, trong khi các ứng dụng có yêu cầu thấp hơn về tính kịp thời 
lại không cần cập nhật các CRL này. 
2. Một số giải pháp phân phối CRL dựa trên kỹ thuật “làm tràn” 
Hầu hết các bài báo triển khai PKI trong mạng Ad hoc thường đề cập ngắn gọn đến việc 
“làm tràn” để phân phối CRL [1] [2] [3]. Kỹ thuật “làm tràn” được xem là phương thức khả thi 
để phân phối CRL nhưng không hề có sự chứng minh là đúng. Hình 3, 4 dưới đây là kết quả 
thực hiện mô phỏng đánh giá giải pháp phân phối CRL sử dụng kỹ thuật “làm tràn” [4]. Các kết 
quả mô phỏng cho thấy rằng số nút (gọi là N) và phạm vi truyền thông (phạm vi phủ sóng của 
mỗi nút, gọi là R) là hai nhân tố quyết định có ảnh hưởng đến hoạt động “làm tràn”. 
Hình 3 thể hiện khi N đạt tới giá trị quyết định (khoảng 50) thì sẽ đạt được 100% mức độ 
bao phủ. Hình 4 thể hiện giá trị được yêu cầu của N để đạt được 100% độ bao phủ với các giá trị 
R khác nhau trong các thiết lập mô phỏng. 
3. Các điểm phân phối cho các CRL phức tạp 
Trước tiên chúng ta cần định nghĩa khái niệm 
về miền thu hồi (revocation domain): Miền thu hồi là 
một nhóm các CA mà các trạm của nó có khả năng 
tương tác nhiều nhất. Ví dụ: một miền thu hồi có thể 
được hình thành bởi tất cả các CA trong một thành 
phố hoặc bởi tất cả các CA trong một công ty. Mục 
đích là tạo điều kiện cho các trạm tải về và lưu lại tất 
cả các thông tin thu hồi hợp lệ cho miền thu hồi mà 
chúng nằm trong đó. 
Các điểm phân phối CRL trong miền thu hồi sẽ 
phải truy cập tới tất cả các CRL mà các CA đã phát hành 
trong miền thu hồi. Điều này có thể được thực hiện bằng 
cách cho các CA gửi các CRL của nó tới tất cả các điểm phân phối trong miền thu hồi mà nó là một 
Hình 3: Mức độ bao phủ CRL theo số nút (diện 
tích mô phỏng 1000x1000; miền truyền thông 
250; Tốc độ tối đa 10) 
Hình 4: Số nút được yêu cầu để đạt bao phủ CRL 
100% với các giá trị N khác nhau (diện tích mô 
phỏng ; Tốc độ tối đa 10 ; Mật độ CA 30%) 
T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008 
 136
thành viên, kết quả là mỗi điểm phân phối trong miền sẽ có tất cả các CRL mới nhất từ tất cả các CA 
trong miền. Do vậy một trạm có thể truy cập tới tất cả các thông tin thu hồi cho miền từ bất cứ một 
điểm phân phối nào ở trong miền. Một giải pháp khác là cho tất cả các điểm phân phối tạo ra một 
CRL gián tiếp từ tất cả các CRL mà chúng nhận được, sau đó một trạm có thể tải về CRL lớn chứa 
tất cả các dữ liệu thu hồi cho miền. Tuy nhiên điều này có thể không hiệu quả. Các CRL trong miền 
có thể có các thời gian hợp lệ khác nhau, và các CA có thể thực hiện việc cập nhật với các tần số 
khác nhau. Mỗi khi việc cập nhật xảy ra, điểm phân phối phải tạo ra một CRL mới. Một trạm yêu 
cầu các cập nhật cuối cùng sẽ phải tải về tất cả ngay cả khi nó có thể đã có hầu hết các thông tin. 
Một giải pháp hiệu quả hơn cho các điểm phân phối phân phối các CRL khi chúng xuất 
hiện từ các CA. Do trạm không có đủ thông tin để quyết định cập nhật mà nó cần, điểm phân 
phối phải có khả năng cung cấp một danh sách các CRL sẵn sàng cho trạm. Danh sách này chứa 
các CA phát hành, số thứ tự, thời gian phát hành và thời gian hết hạn của mỗi CRL mà nó có. 
Trạm sẽ so sánh những giá trị này với các CRL nó đã có và chỉ yêu cầu những giá trị đã mất, 
hoặc thay thế cho những giá trị sắp hết hạn. 
4. Trao đổi CRL điểm - điểm 
Kỹ thuật này hết sức hữu dụng trong 
các hoạt động trực tuyến, do nó làm giảm 
đáng kể tải trọng của các điểm phân phối. 
Trong khi trực truyến, một thành viên chỉ cần 
kết nối và tải về các CRL mới từ một điểm 
phân phối nếu các thành viên thực hiện giao 
dịch với nó không có các CRL mới hơn. 
Việc truyền các CRL có thể diễn ra 
ngay sau khi trao đổi các chứng nhận. Hình 6 
chỉ ra các bước trong giải pháp trao đổi CRL 
điểm - điểm. 
- Đầu tiên các thành viên trao đổi giá 
trị “Last CRL Update” (CRL cập nhật mới nhất). Đây là lần cuối cùng mỗi thành viên 
cập nhật các CRL của nó. Bằng cách trao đổi giá trị này mỗi thành viên có thể quyết định 
xem các thành viên khác có thông tin thu hồi mới hơn không, mà không cần trao đổi các 
danh sách CRL dài hơn. 
- Thành viên A sau khi quyết định rằng B có thông tin thu hồi mới sẽ đề nghị B đưa ra 
danh sách của tất cả các CRL mà B có. Danh sách này tương tự như danh sách được sử 
dụng để tải thông tin từ một điểm phân phối. Mỗi CRL bao gồm: người phát hành, số thứ 
tự, thời gian phát hành và thời gian hết hạn. 
- Tiếp theo thành viên A sử dụng danh sách nhận được từ B để quyết định các CRL yêu cầu, sau 
đó nó sẽ gửi một yêu cầu tới B bao gồm người phát hành và thứ tự của mỗi CRL nó cần tải. 
- Cuối cùng B gửi các CRL được yêu cầu cho A. A xác minh chữ ký của chúng để đảm 
bảo chúng là hợp lệ và sử dụng chúng để thay thế các CRL hết hạn hoặc cũ. 
Hình 6: Giao thức phân phối CRL điểm - điểm 
T¹p chÝ Khoa häc & C«ng nghÖ - Sè 1(45) Tập 2/N¨m 2008 
 137
5. Kết luận 
Bài viết này đã phân tích một cách tổng quan về các giải pháp phân phối chứng nhận 
trong mạng Ad hoc. Bao gồm cả những giải pháp phân phối trong tình huống xác minh trực 
tuyến và ngoại tuyến. Tuy nhiên, chưa có các mô phỏng và đánh giá cụ thể về hiệu quả của mỗi 
giải pháp. Phần này vẫn còn đang được tiếp tục nghiên cứu trong thời gian tới 
 
Tóm tắt 
Bài viết này giới thiệu và thảo luận về các giải pháp kỹ thuật để sử dụng, quản lý và xác 
minh các chứng chỉ số trong cả hai tình huống trực tuyến và ngoại tuyến. Các giải pháp kỹ thuật 
này có nhiều lợi ích quan trọng cho các cơ chế bảo mật hiện đang được sử dụng trong các mạng 
chuNn và cũng có thể được sử dụng trong mạng di động Ad hoc. Điều này giúp duy trì chính 
sách bảo mật hiện có, đồng thời tăng cường thêm các chính sách bảo mật mới để áp dụng trong 
các mạng di động Ad hoc. 
Summary 
The purpose of this paper is to introduce and discuss technical solutions in using, 
managing and certifying the certificates in both online and offline situations. The technical 
solution produces a variety important benefits for security mechanisms used in not only the 
standard network but also mobile ad hoc network. This helps to maintain recent security policies. 
Further more, this strengthens new security policies to apply into mobile ad hoc networks. 
Tài liệu tham khảo 
[1] J. Kong, P. Zerfos, H. Luo, S. Lu, and L. Zhang (2001), Providing Robust and Ubiquitous Security 
Support for Mobile Ad-Hoc Networks. In Proceedings of ICNP’01, p.251-260. 
[2] H. Luo, P. Zerfos, J. Kong, S. Lu, and L. Zhang (2002), Self-securing Ad hoc Wireless Networks. In 
Proceedings of 7th International Symposium on Computers and Communications, p.567-574. 
[3] S. Yi and R. Kravets (2003), MOCA: Mobile Certificate Authority for Wireless Ad hoc Networks. In 
Proceedings of PKI. 
[4] H. W. Go, P. Y. Chan, Y. Dong, A. F. Sui, S. M. Yiu, Lucas C. K. Hui, Victor O. K. Li. Performance 
Evaluation on CRL Distribution using Flooding in Mobile Ad hoc Networks (MANETs). 
[5] Kungliga Tekniska Högskolan (2005), Security System for Ad-hoc Wireless Networks based on 
Generic Secure Objects. Matei Ciobanu Morogan.