3. Ý NGHĨA KHOA HỌC CỦA ĐỀ TÀI
3.1.6.2. An ninh mức ứng dụng
Có 2 tình huống chính mà an ninh mức ứng dụng cần phải được thêm vào an ninh mức truyền tải. Thứ nhất, an ninh có thể cần được duy trì xa hơn điểm cuối của các giao thức mức truyền tải, ví dụ như các giao dịch tài chính với hệ thống lưu trữ thông tin phía sau. Thứ hai, kiến trúc mạng vô tuyến có thể bao gồm nhiều điểm trung gian để xử lí lớp trình diễn mà không cần truy nhập tới các thông tin ứng dụng bí mật, ví dụ như một server phiên dịch chuyển đổi giữa HTML và WML. Giải pháp cho các trường hợp này là an ninh mức ứng dụng.
WAP cho phép các khả năng trên bằng cách dùng một giao diện lập trình ứng dụng bí mật crypto API (Application Programming Interface) – WMLscript. WMLscript là một ngôn ngữ kịch bản đơn giản dùng trong các trang WML hiển thị trên các trình duyệt WAP. WMLScript được dùng để xác nhận các thông số nhập của người sử dụng, tạo các hộp thoại, xem các bản tin lỗi…Các chữ ký số được tạo bới người dùng thông qua chức năng Signtext trong WMLScript. Để dùng Signtext, mỗi người dùng cần phải có một cặp khóa công cộng và khóa riêng. Điếu này chính là sự hiện diện của KPI để đảm bảo và quản lí các chứng nhận khóa công cộng. Từ đó, các ứng dụng và giao tác của người sử dụng sẽ được bảo vệ từ đầu cuối tới đầu cuối giữa người dùng WAP và các nhà cung cấp dịch vụ nội dung. Điều này là đặc biệt quan trọng trong các giao dịch ngân hàng, tài chính, chứng khoán…
Hình 3.6. WAP với PKI và nhận thực người dùng.
WAP đã đưa ra một số thay đổi trong PKI để phù hợp với môi trường vô tuyến:
- Các định dạng chứng nhận: Mô hình WAP PKI chung là thích nghi với nhiều kiểu chúng nhận khác nhau như X.509v3, X9.68 (hệ thống chứng nhận khóa công cộng hiệu quả cho các thương mại điện tử di động)…và định dạng chứng nhận WTLS.
- Các giao thức yêu cầu chứng nhận.
- Các lý lịch WAP của các chứng nhận X.509
- Dùng chứng nhận URL: không chuyển các chứng nhận người dùng trên đường truyền vô tuyến mà chuyển các chứng nhận URL. Điều này cho phép tiết kiệm băng thông và vẫn cho phép chứng nhận người dùng được nhận bởi các đối tác tin cậy.