OMA SyncML là một chuẩn cụng nghiệp sử dụng cho việc đồng bộ dữ liệu và thụng tin cỏ nhõn qua nhiều mạng, hạ tầng và cỏc thiết bị. OMA-SyncML sử dụng cỏc kỹ thuật bảo mật đối xứng để đảm bảo bảo mật đối với cỏc thiết bị trờn cỏc mạng tƣơng ứng. Cỏc kỹ thuật này cú lợi điểm là tớnh toỏn xử lý nhanh và đơn giản. Tuy nhiờn với phƣơng phỏp này, mọi mỏy chủ quản lý thiết bị phải xỏc thực cỏc thiết bị kết nối đến nú để lƣu trữ ủy nhiệm (credentials) đối xứng. Kỹ thuật này gọi là bảo mật ủy nhiệm đối xứng. Một trong những nhƣợc điểm của nú là tớnh ổn định khụng cao. Hơn thế nữa, việc xỏc thực đƣợc thực hiện đối với một thực thể (một thiết bị hoặc mỏy chủ quản lý thiết bị khỏc) tại một thời điểm. Điều này sẽ gõy ra sự tấn cụng vào phần tử trung tõm đang hoạt động (man-in-the middle).
Khụng giống cỏc hệ thống mó húa đó sử dụng cụng nghệ mó húa SSL qua giao thức http, chỉ tồn tại trong quỏ trỡnh truyền tin và khụng lõu bền. Mó húa ngụn ngữ đỏnh dấu mở rộng (XML) cú thể đƣợc sử dụng để bảo vệ luồng thụng điệp mang tớnh riờng tƣ giữa mỏy chủ và thiết bị, cả trong truyền tin cũng nhƣ lƣu trữ định dạng đƣợc mó húa tại 2 điểm đầu cuối đú.
Mó húa XML sẽ sử dụng cỏc thẻ bảo mật để bảo vệ tớnh riờng tƣ của thụng điệp. Việc mó húa cú thể tại khối header, khối body của thụng điệp, hoặc bất kỳ cấu trỳc con nào trong thụng điệp. Mó húa đƣợc thực hiện bởi hoặc một khúa đối xứng đƣợc chia sẻ giữa ngƣời gửi và ngƣời nhận, hoặc là một khúa đối xứng chứa trong thụng điệp theo định dạng đƣợc mó húa. Mặc dự khúa đối xứng đƣợc sử dụng cho mó húa, khúa chia sẻ cũng cú thể là khúa chia sẻ phiờn (session), bắt nguồn từ hạ tõng khúa cụng khai PKI.
Khi ngƣời tạo mó húa cỏc phần của thụng điệp sử dụng mó húa XML, thỡ phải chốn một phần tử con vào khối header <syncML : Sercurity>:
i/. Phần tử <xenc : ReferenceList> sử dụng để tạo một bản khai bỏo cỏc phần đƣợc mó húa (manifest)
ii/. Phần tử <xenc : DataReference> chứa cỏc phần từ <xenc : EncryptedData>
iii/. Phần tử <xenc : EncryptedData> chứa phần tử đƣợc mó húa.
Mỗi khúa mó húa cú thể đƣợc đặt thẻ <KeyInfo> trong một phẩn tử <xenc:EncryptedData>
Vớ dụ : <SyncML>
<syncML : Sercurity>
<xenc : ReferenceList>
<xenc : DataReference URI= ôbodyID ằ /> </xenc : ReferenceList>
</syncML : Sercurity> <SyncHdr>
</SyncHdr> <SyncBody>
<xenc : EncryptedData Id= ôbodyIDằ> <KeyInfo> <KeyName>CN=NdThang,C=VN</KeyName> </KeyInfo> </xenc : EncryptedData> </SyncBody> </SyncML>
OMA DM phiờn bản 2 triển khai cỏc kỹ thuật bảo mật dựa trờn PKI trong giao thức đăng ký 4-bƣớc (4-pass registration) nhƣ là một phần của giao thức ROAP (Rights Object Acquisition Protocol). [9]
Trong việc sử dụng giao thức đăng ký 4-bƣớc ROAP, cỏc thụng điệp “chào hỏi” mỏy chủ thiết bị và RI (ngƣời cấp quyền - Rights Issuer) đƣợc sử dụng để trao đổi cỏc định danh (IDs), cú hỗ trợ cỏc thuật toỏn và chứng chỉ số (CAs) tin cậy. Thiết bị và mỏy chủ RI xỏc thực với nhau thụng qua cỏc thụng điệp đăng ký hỏi / đỏp bằng cỏch trao đổi cỏc chữ ký trờn thụng điệp trƣớc. Thiết bị cũng gửi chuỗi mó húa (nonce) của nú trong thụng điệp yờu cầu. Kết quả thực hiện xỏc thực lẫn nhau giữa thiết bị và mỏy chủ RI chỉ định một ngữ cảnh bảo mật giữa chỳng. Ngữ cảnh bảo mật chứa cỏc định danh thiết bị (IDs), cỏc chứng chỉ số cung cấp, và thời gian hết hạn bảo mật.
OMA-SyncML chứa tập cỏc thụng điệp theo định dạng chuẩn đƣợc truyền giữa thiết bị và mỏy chủ tham gia giao dịch đồng bộ dữ liệu. Thụng điệp SyncML là một tài liệu XML chuẩn, gồm 2 phần: SyncML header chứa phiờn bản, phiờn làm việc, thụng tin xỏc thực, SyncML body chứa cỏc cõu lệnh thực thực hiện cỏc tỏc vụ đồng bộ.
Kỹ thuật cài đặt tớch hợp PKI với bảo mật XML trong giao thức đồng bộ dữ liệu OMA-SyncML đƣợc thiết lập trong pha cài đặt:
1/. Khởi tạo bắt tay (handshake): Thiết bị và mỏy chủ cú thể thực hiện bắt tay nhau (thẩm vấn) đối với việc sử dụng cỏc kỹ thuật PKI.
2/. Trao đổi cỏc tham số tớch hợp với cài đặt cỏc ngữ cảnh bảo mật PKI:
3/. Xỏc thực giữa thiết bị và mỏy chủ đồng bộ sử dụng cỏc chữ ký XML trờn cỏc thụng điệp trao đổi.
Một khi ngữ cảnh bảo mật PKI đó đƣợc chỉ định giữa thiết bị và mỏy chủ quản lý thiết bị (DM), cỏc kỹ thuật bảo mật XML cú thể đƣợc sử dụng cho việc xỏc thực ở mức cỏc cõu lệnh và mức cơ sở dữ liệu và nú đƣợc bảo vệ trong suốt pha quản lý thiết bị. Mỏy chủ quản lý thiết bị sử dụng khúa cụng khai của thiết bị để gửi những mó bớ mật đƣợc sử dụng trong cỏc kỹ thuật bảo mật XML. Mó bớ mật là một băm (SHA-1) của mật mó mà chỉ mỏy chủ biết gồm: định danh và chuỗi mó húa (nounces) của thiết bị.
Thụng tin thờm trong cấu trỳc của cõy con cần phải lƣu trữ ngữ cảnh bảo mật PKI giữa mỏy khỏch và mỏy chủ quản lý thiết bị. Bởi vỡ cú thể cú nhiều hơn một mỏy chủ làm nhiệm vụ quản lý thiết bị, và cú nhiều ngữ cảnh nhƣ vậy trong thiết bị tƣơng ứng với mỗi mỏy chủ quản lý thiết bị đó cú. Thiết bị và mỏy chủ quản lý thiết bị sử dụng cỏc chữ ký XML (sử dụng khúa riờng) trờn cỏc thụng điệp trao đổi trong pha cài đặt của giao thức OMA-SyncML để xỏc thực lẫn nhau.
Một phiờn quản lý thiết bị cú thể xỏc định bởi trƣờng sessionID trong ngữ cảnh bảo mật PKI. Khi ngữ cảnh bảo mật đó đƣợc thiết lập giữa thiết bị và mỏy chủ quản lý thiết bị, cỏc vấn để bảo mật truyền tin cú thể đạt đƣợc bằng cỏch sử dụng cỏc kỹ thuật bảo mật dựa trờn bảo mật XML.
Thiết bị và mỏy chủ cũng cú thể lƣu trữ chuỗi thụng tin chứng chỉ số của nhau để đảm bảo cỏc thụng tin này khụng cần phải gửi lại trong cỏc thụng điệp trao đổi sau. Mỏy chủ quản lý thiết bị lƣu trữ một định danh khúa để xỏc định khúa thiết bị đƣợc lƣu trữ trờn mỏy chủ. Nếu định danh khúa gắn với khúa hiện tại của thiết bị, thỡ thiết bị khụng cần phải gửi chuỗi chứng chỉ số trong cỏc thụng điệp trao đổi sau. Tƣơng tự, thiết bị cũng lƣu trữ định danh khúa cho chuỗi chứng chỉ số của mỏy chủ quản lý thiết bị. Điều này sẽ làm giảm kớch thƣớc thụng điệp trao đổi sau lần đầu tiờn.
Hỡnh 4-5 bờn dƣới mụ tả cài đặt của cỏc kỹ thuật đăng ký 4-bƣớc (4-pass) trong OMA-SyncML [9]. Giao thức OMA-SyncML DM cú 2 pha: pha khởi tạo và pha quản lý. Việc xỏc thực lẫn nhau và sử dụng bảo mật PKI thực hiện ra trong pha cài đặt.
Để khởi tạo bắt tay, bộ kớch hoạt đƣợc yờu cầu tạo xỏc thực dựa trờn kỹ thuật PKI 4 - bƣớc. Việc khởi tạo cú thể xuất phỏt từ thiết bị hoặc mỏy chủ. Kỹ thuật này cũng cú thể đƣợc sử dụng để làm mới ngữ cảnh PKI khi ngữ cảnh bảo mật PKI bị quỏ hạn.
Hỡnh 4. 9 Kỹ thuật đăng ký 4-bước (4-pass) [9]
PKI SyncML gúi 1 tƣơng ứng với thụng điệp “chào hỏi” của thiết bị tới mỏy chủ DM trong giao thức đăng ký 4-bƣớc (4-pass). Thiết bị sử dụng mó thiết bị (DeviceID) để định danh nú với mỏy chủ DM, là băm SHA-1 thụng tin khúa cụng khai của thiết bị.
PKI SyncML gúi 2 đỏp lại thụng điệp “chào hỏi” của thiết bị trong giao thức đăng ký 4 - bƣớc của mỏy chủ DM tới thiết bị. DM ID đƣợc dựng dể định danh mỏy chủ, là băm SHA-1 trờn thụng tin khúa cụng khai của mỏy chủ quản lý thiết bị, xuất hiện trong chứng chỉ số của nú. DM ID cũng chứa chuỗi mó húa (nonce), là một số đƣợc sinh ra ngẫu nhiờn, và khụng đƣợc sử dụng lại. Gúi này cũng chứa định danh khúa tƣơng đƣơng (Peer Key Identifier) cho một khúa thiết bị đƣợc lƣu trờn mỏy chủ DM. Nếu định danh cú liờn kết với khúa hiện tại của thiết bị, thỡ thiết bị khụng cần phải gửi lại chuỗi chứng chỉ số trong gúi 3 tiờp sau. (adsbygoogle = window.adsbygoogle || []).push({});
PKI SyncML gúi 3 tƣơng ứng với thụng điệp yờu cầu đăng ký trong giao thức đăng ký 4-bƣớc (4-pass registration) gửi từ thiết bị tới mỏy chủ DM. Thụng điệp này chứa một số, hoặc một chuỗi đƣợc sử dụng một lần do thiết bị sinh ra ngẫu nhiờn. Nú cũng cú thể chứa chuỗi chứng chỉ số nếu gúi 2 khụng chứa định danh khúa tƣơng đƣơng (peer key) và giỏ trị của nú đƣợc xỏc định là khúa trong chuỗi chứng chỉ số hiện tại của thiết bị. Thụng điệp này cũng cú thể chứa “định danh khúa tƣơng đƣơng” (Peer Key Identifier) để xỏc định chứng chỉ số của mỏy chủ đƣợc lƣu trữ trờn thiết bị. Hơn thế nữa, thiết bị cú thể chứng thực
Chuỗi chứng chỉ số thiết bị, chữ ký XML trờn gúi 1 và gúi 2 thụng điệp này sử dụng khúa riờng (Thiết bị xỏc thực nú với DM Server)
Device Bắt tay để khởi tạo cỏc kỹ Server
thuật 4-pass PKI
PKI SyncML Gúi 1
PKI SyncML Gúi 2
PKI SyncML Gúi 3
PKI SyncML Gúi 4
Trao đổi Ids, lựa chọn thuật toỏn, …. Chuỗi chứng chỉ số mỏy chủ, chữ ký XML trờn gúi 3 và thụng điệp này sử dụng khúa riờng (DM Server xỏc thực nú với thiết bị)
bản thõn nú với mỏy chủ DM bằng cỏch thờm một chữ ký XML sử dụng khúa riờng trờn một băm của 2 gúi trƣớc đú và tất cả cỏc tham số của gúi này ngoại trừ chữ ký.
PKI SyncML gúi 4 tƣơng ứng với thụng điệp “trả lời đăng ký” (Registration Response) trong giao thức đăng ký 4-bƣớc (4-pass registration) đƣợc gửi bởi mỏy chủ DM tới thiết bị. Gúi này cú thể chứa chuỗi chứng chỉ số nếu gúi 3 khụng chứa “định danh khúa tƣơng đƣơng” và cỏc giỏ trị khúa của nú đƣợc xỏc định là khúa trong chuỗi chứng chỉ số hiện tại của mỏy chủ DM. Gúi này cũng chứa một mật mó chia sẻ (shared secret) (mó húa sử dụng khúa cụng khai của mỏy chủ) để sử dụng trong cỏc phiờn quản lý và đồng bộ sau.
Mật mó chia sẻ này là một băm của một mật mó mà mỏy chủ DM đó biết, số định danh thiết bị điện thoại chuẩn quốc tế (IMEI-International Mobile Equipment Identity number) và chuỗi mó húa nonces (trờn cả mỏy chủ DM và thiết bị). Mật mó chia sẻ này khỏc với mọi lần vỡ nú phục thuộc vào chuỗi nonces đƣợc sinh ra. Vỡ thế kỹ thuật này bảo vệ nhằm chống lại cỏc kiểu tấn cụng ghi õm (replay). Mỏy chủ DM xỏc thực bản thõn bằng cỏch thờm chữ ký XML sử dụng khúa riờng của nú trờn một băm của gúi trƣớc đú (gúi 3) và tất cả cỏc tham số của gúi này ngoại trừ chữ ký.
Cả thiết bị và mỏy chủ đều lƣu trữ thụng tin bảo mật PKI. Thiết bị lƣu trữ thụng tin thiết bị trong đối tƣợng quản lý DevInfo (hỡnh 4-10). Thụng tin này đƣợc gửi tới mỏy chủ thiết bị ở đầu phiờn quản lý. Cỏc phần tử sau cú thể đƣợc thờm vào đối tƣợng quản lý thiết bị 440 để hỗ trợ kỹ thuật PKI:
i/. Thuật toỏn mó húa đƣợc hỗ trợ 410 ( supported cryto algorithms 410) ii/. Chuỗi chứng chỉ số thiết bị 420 (Device certificate chain 420)
iii/. Nhà cung cấp chứng chỉ số tin cậy 430 ( phần tử này tựy chọn)
Tƣơng tự, mỏy chủ thiết bị cũng lƣu trữ thờm thụng tin PKI dƣới nỳt “DMAcc/x/PKI” trong cõy đối tƣợng quản lý thiết bị OMA-SyncML.
i/. Chuỗi chứng chỉ số mỏy chủ quản lý thiết bị 510 ii/. Nhà cung cấp chứng chỉ số tin cậy 520 (tựy chọn) iii/. Cỏc thuật toỏn mó húa hỗ trợ 530 ( tựy chọn)
iv/. Định danh khúa tƣơng đƣơng mỏy chủ 540 (Server peer key indentifier) – khúa thiết bị đƣợc lƣu trữ bởi mỏy chủ
v/. Định danh khúa tƣơng đƣơng thiết bị 550 ( Device peer key indentifier) – khúa mỏy chủ đƣợc lƣu trữ bởi thiết bị
Hỡnh 4. 10 Cõy quản lý đối tượng [9]
Cỏc thụng điệp SyncML cú thể đƣợc xỏc thực sử dụng chữ ký XML nhƣ đó đề cập phớa trờn. Hơn thế nữa, để đảm bảo sự tin cậy cho cỏc thụng điệp SyncML giữa thiết bị đầu cuối và mỏy chủ DM, mó húa XML cú thể đƣợc sử dụng cho cỏc cõu lệnh đồng bộ và mó húa ở mức nội dung cơ sở dữ liệu.
Kỹ thuật hiện tại cho phộp mó húa cả khối header, khối body, và những cấu trỳc con của thụng điệp bằng khúa chia sẻ đối xứng bởi ngƣời gửi và nhận hoặc khúa đối xứng đƣợc gắn trong thụng điệp theo chuẩn mó húa. Khúa chia sẻ cú thể là khúa phiờn chia sẻ, mà xuất phỏt từ PKI. Núi cỏch khỏc, khúa chia sẻ cú thể truyền một cỏch bảo mật tới ngƣời nhận. Điều này cú đƣợc bằng cỏch mó húa khúa phiờn với khúa cụng khai của ngƣời nhận, rồi đƣợc giải mó với khúa riờng của nú.
Chƣơng 5: CÀI ĐẶT ỨNG DỤNG MPE (Mobile Push Email)
5.1 ĐẶC TẢ YấU CẦU ỨNG DỤNG 5.1.1 Ứng dụng Mobile Push Email