CHƯƠNG II: TỔNG QUAN VỀ AN NINH TRONG THÔNG TIN DI ĐỘNG
CHƯƠNG 3: CÁC KỸ THUẬT AN NINH SỬ DỤNG TRONG THÔNG TIN DI ĐỘNG
3.7 An ninh WAP .1 Mở đầu
Giao thức ứng dụng vô tuyến hay còn gọi là WAP (Wireless Application Protocol) gặp nhiều chỉ trích nhiều về mặt phương tiện và tổ chức do các hạn chế về vấn đề an ninh. Vậy các vấn đề an ninh trong WAP là những vấn đề gì?
và các tổ chức khắc phục nó như thế nào?. Phần này sẽ trả lời những câu hỏi trên bằng cách giải thích những ưu điểm và những nhược điểm của nó. Sau khi xem xét mô hình an ninh WAP 1.x chúng ta sẽ xem xét mô hình an ninh WAP 2.x
Trong kiến trúc an ninh WAP 1.x, hai khía cạnh an ninh cần được xem xét đó là:
An ninh lớp truyền tải: Vấn đề này đề cập đén sự truyền thông giữa các ứng dụng Client và các Server hãng. Bao gồm hai giao thức: WTLS được sử dụng qua giao diện vô tuyến và SSL hoặc TSL được sử dụng qua hữu tuyến. Sự thay đổi giao thức này là cơ sở cho vấn đề an ninh WAP chính.
An ninh lớp ứng dụng: Vấn đề này đề cập đến vấn đề an ninh ứng dụng Client, bao gồm các chữ ký số và mật mã hoá.
Hai khía cạnh này sẽ đề cập đến các vấn đề an ninh điển hình trong bất kỳ một mô hình an ninh nào bao gồm nhận thực, tính toàn vẹn số liệu, tính bí mật, phân quyền, và tính không thể phủ nhận.
3.7.2 An ninh lớp truyền tải
An ninh lớp truyền tải được hiểu là an ninh kênh thông tin điểm đến điểm giữa một client vô tuyến và nguồn số liệu hãng. Bao gồm truyền thông qua cả các kênh hữu tuyến lẫn các kênh vô tuyến. Với giao thức ứng dụng vô tuyến (WAP) số liệu được mật mã hoá truyền tải qua giao diện vô tuyến sử dụng giao thức an ninh lớp truyền tải vô tuyến (WTLS – Wireless Transport Layer Security) và truyền tải hữu tuyến sử dụng giao thức an ninh Internet như SSL và TLS. Việc sử dụng không đồng nhất các giao thức sẽ dẫn đến một trong những vấn đề chính trong an ninh WAP. Nhưng trước khi nghiên cứu vấn đề này, chúng ta sẽ xem xét đến những đặc điểm của WTLS.
3.7.2.1 WTLS
Giao thức an ninh lớp truyền tải vô tuyến WTLS được phát triển nhắm tới những đặc thù của mạng vô tuyến là băng thông thấp và nguy cơ an ninh mạng
Chương I: Tổng quan về thông tin di động
Layer Security) (giao thức này là tiêu chuẩn của IETF về an ninh trong mạng Internet). Rất tiếc là giao thức này (giao thức TSL) không thể sử dụng trực tiếp trong mạng vô tuyến được do nó không đủ hiệu lực trong một môi trường vô tuyến. WTLS tận dụng được hiệu quả của giao thức này bằng cách bổ sung thêm những khả năng mới nhắm vào người dùng vô tuyến. Sau đây là một vài đặc tính được đưa vào WTLS mà không có trong TLS:
• Hỗ trợ các thuật toán mật mã hoá khác: SSL và TSL chủ yếu sử dụng mật mã hoá RSA. WTLS hỗ trợ RSA, Diffie-Hellman (DH), và mật mã hoá đường cong elip ECC (Elliptic Curve Cryptography).
• Định nghĩa một chứng nhận khoá công cộng thu gọn là chứng nhận WTLS: Đây là một phiên bản hiệu quả hơn của chứng nhận số X.509.
• Hỗ trợ datagram UDP: Sự hỗ trợ này sẽ dụng chạm tới nhiều phần của giao thức này từ việc số liệu được mã hoá như thế nào đến việc hỗ trợ thêm cho việc điều khiển bản tin để đảm bảo bản tin không bị mất, không bị sao lại, và không bị phân phát sai thứ tự.
• Tuỳ chọn nhớ lại khoá: Khả năng này được thoả hiệp lại một cách định kỳ dựa trên số bản tin gửi.
• Tập các bản tin cảnh báo được mở rộng: Điều này là rất rõ ràng đối với việc điều khiển lỗi.
• Bắt tay hiệu quả: Điều này làm giảm số lượng hành trình cần thiết trong mạng có nguy cơ cao.
Cùng với những thay đổi này, WTLS còn đưa ra ba mức nhận thực giữa client và gateway. Chúng được liệt kê theo thứ tự tăng dần:
Lớp WTLS 1: Phối hợp ngầm giữa client và gateway WAP, không có nhận thực.
Lớp WTLS 2: Server tự nhận thực tới client sử dụng chứng nhận WTLS.
Lớp WTLS 3: Cả client và gateway WAP nhận thực lẫn nhau Đây là dạng nhận thực sử dụng thẻ thông minh, modun nhận dạng thuê bao (SIM) GSM. Ví dụ có thể lưu trữ các chi tiết nhận thực trên thiết bị đối với nhận thực hai chiều.
3.7.2.2 Kẽ hở WAP
Không may, cùng với việc sử dụng WTLS để cải thiện TLS trong thông tin vô tuyến thì đồng thời nó cũng làm nảy sinh một vấn đề đáng phải quan tâm:
Bây giờ cả WTLS và TLS đều cần cho một kiến trúc WAP, có một điểm mà tại đó xảy ra sự biến đổi giữa hai giao thức. Chính từ điểm này, không phải từ chính
Chương I: Tổng quan về thông tin di động
giao thức WTLS, nảy sinh vấn đề về an ninh. Sự biến đổi giao thức xảy ra tại các cổng (gateway) WAP: Từ thiết bị client tới cổng WAP, WTLS được sử dụng; từ gateway tới Server hãng TLS được sử dụng. Tại điểm này, nội dung WTLS được giải mật mã rồi sau đó lại được mật mã hoá sử dụng TLS. Trong khoảng thừi gian xảy ra sự chuyển đổi, nội dung lúc này ở dạng mã có thể hiểu được, tạo nên một kẽ hở gọi là kẽ hở WAP. Tuy nhiên, nếu giữ cho lượng thời gian mà nội dung không được mã hoá ở mức tối thiểu và cổng WAP không ở miền chung, thì vẫn có thể khắc phục được phần nào. mặc dù vậy, đối với nhiều công ty, mối nguy hiểm này vẫn là quá lớn khi nó bộc lộ một điểm yếu trong mạng, cản trở an ninh đầu cuối tới đầu cuối.
Có hai lựa chọn để là giảm mối nguy cơ từ kẽ hở WAP:
• Thứ nhất là chấp nhận cổng WAP là một điểm yếu và sử dụng mọi biện pháp để nó, sử dụng tường lửa, thiết bị giám sát, và một chính sách an ninh nghiêm ngặt.
• Thứ hai là dịch chuyển cổng WAP trong phạm vi bảo vệ của tường lửa công ty và tự quản lý nó.
Việc lựa chọn giữa hai tuỳ chọn này là một quyết định mang tính thương mại phụ thuộc vào từng hãng. Nó là sự thoả hiệp giữa một bên là tài nguyên bổ sung cần thiết để duy trì một cổng WAP với một bên là mối đe doạ an ninh tiềm tàng đối với số liệu của công ty. Một giải pháp đã được đưa ra đó là WAP 2.x.
3.7.2.3 WAP 2.x
Có nhiều đặc tính trong WAP 2.0, nhưng quan trọng nhất là sự tiến triển tới các giao thức Internet chuẩn. Sự tiến triển này sử dụng HTTP, TCP, và IP cho phép TLS có thể sử dụng cho truyền thông số liệu, do đó không phải cần đến giao thức WTLS. Khi chỉ cần sử dụng một giao thức từ thiết bị client tới server hãng, WAP có thể cho phép an ninh từ đầu cuối tới đầu cuối, giải quyết mối nguy cơ từ kẽ hở WAP. Có thể khẳng định đây là một sự thay đổi chủ yếu trong WAP và nó khuyến khích các nhà cung cấp dịch vụ tiến tới sử dụng WAP 2.x.
Tuy nhiên, nó mở ra thời kỳ mới cho WAP trong lĩnh vực Internet không dây.
3.7.3 An ninh lớp ứng dụng
Với quá nhiều sự tập trung vào kẽ hở WAP và an ninh lớp truyền tải, các nhà phát triển thường quên mất phải đảm bảo an ninh lớp ứng dụng. An ninh lớp ứng dụng là vấn đề quan trọng bởi hai lí do sau đây: Thứ nhất là khi an ninh được yêu cầu thực hiện tại các điểm cuối của an ninh lớp truyền tải, thứ hai là
Chương I: Tổng quan về thông tin di động
khi nội dung trình diễn cần được truy cập nhưng số liệu hãng lại không sẵn sàng.
Điều này có thể xảy ra trong thời gian chuyển đổi mã, đó là khi một ngôn ngữ đánh dấu khác (thường là HTML) được chuyển đổi thành WML.
Tình huống thứ nhất có thể được đưa ra bởi việc sử dụng các kỹ thuật được cung cấp trong quy định WML. Nhìn chung, các sắp đặt mặc định được thiết lập ở mức an ninh cao nhất, nhưng có một vài điều cần chú ý sau đây:
• Bất cứ thẻ WML nào yêu cầu truy cập tới số liệu nhạy cảm cần phải được thiết lập số tham khảo người gửi (sendreferer) = true trong phần tử
<go>.
• Nguyên bản điều khiển yêu cầu đối với thông tin nhạy cảm cần được kiểm tra URL có trong tiêu đề REFERER của yêu cầu HTTP để chắc chắn rằng các yêu cầu này đang được điều khiển từ các miền thân thiện.
• Sử dụng HTTPS và yêu cầu nhận thực cơ bản. Nếu tin tưởng vào chỉ mình nhận dạng máy điện thoại là chưa đủ.
Tình huống thứ hai được đưa ra bởi việc sử dụng WMLScript và Crypto API. Sử dụng chức năng văn bản đánh dấu này trong API, có thể tạo ra các chữ ký số, tạo điều kiện cho PKI vô tuyến quản lý và lưu hành các chứng nhận khoá công cộng. Công nghệ này cho phép đảm bảo an ninh từ đầu cuối tới đầu cuối giữa những nhà cung cấp nội dung (thường là hãng) và client.