Cỏc thiết bị thƣờng khỏc nhau cả mức vật lý và chức năng. Nhƣng một điều quan trong là cần phải quản lý, khai thỏc và sử dụng chỳng một cỏch hiệu quả. Do vậy, khỏi niệm khung đặc tả thiết bị (DDF) đó đƣợc đƣa ra trong cụng nghệ quản lý thiết bị OMA, khung đặc tả này đƣa ra cỏch thức mụ tả cỏc thiết bị để hệ thống quản lý thiết bị của nhà cung cấp cú thể nhận biết và xử lý chỳng. [6]
Tài liệu DDF cho một thiết bị đƣợc tạo dựa trờn chức năng của DDF. Tài liệu DDF của thiết bị giỳp mỏy chủ quản lý thiết bị truy cập chớnh xỏc cõy quản lý của thiết bị. Tài liệu DDF mụ tả cõy quản lý trong thiết bị đƣợc cấu trỳc nhƣ thế nào và đỏnh dấu trong thiết bị ra sao. Tài liệu DDF cú thể thay đổi từ thiết bị tới thiết bị. Kết quả là, cấu trỳc của cỏc cõy quản lý cú khả năng cũng sẽ khỏc. Vớ dụ, thiết bị A gồm 2 loại đối tƣợng: đỏnh dấu (bookmark) trỡnh duyệt và số hộp thƣ thoại. Thiết bị B chỉ gồm đối tƣợng là số thƣ thoại. Cõy quản lý cho cỏc thiết bị nhƣ sau:
Tài liệu DDF của thiết bị cũng mụ tả cỏch đỏnh địa chỉ cỏc đối tƣợng trong cõy quản lý. Vớ dụ, nếu một thẻ bookmark đƣợc thờm vào bờn dƣới nỳt trỡnh duyệt cõy quản lý của thiết bị A, thỡ cõu lệnh quản lý trong thụng điệp SyncML là:
<Add> <CmdID>4</CmdID> <Meta> <Format xmlns="syncml:metinf">chr</Format> <Type xmlns="syncml:metinf">text/plain</Type> </Meta>
<Item> <!-- Bookmark to SyncML web site --> <Target> <LocURI>./Browser/SyncML</LocURI> </Target> <Data>http://www.syncml.org</Data> </Item> </Add>
Trong cõy quản lý, cỏc quyền truy cập tới cỏc mỏy chủ quản lý thiết bị khỏc nhau cú thể thay đổi. Núi cỏch khỏc, một số mỏy chủ quản lý thiết bị cú thể khụng cú quyền truy cập tất cả cỏc đối tƣợng quản lý cú trong cõy.
Để kớch hoạt chức năng này, DDF thờm vào đặc tớnh danh sỏch điều khiển truy cập (ACL). Cỏc giỏ trị ACL cho MO cú thể đƣợc thay đổi bởi chủ thể mà cú quyền trờn ACL đối với MO. Cỏc quyền trờn MO và ACL sẽ đƣợc quản lý. cỏc bản cài đặt trờn mỏy khỏch cú thể lựa chọn, một hay nhiều chủ thể đƣợc phộp sửa cỏc giỏ trị ACL cho một MO.
Chƣơng 4: CƠ CHẾ BẢO MẬT TRONG ĐỒNG BỘ DỮ LIỆU OMA-SYNCML 4.1 CƠ CHẾ XÁC THỰC TRONG
ĐỒNG BỘ DỮ LIỆU OMA-SYNCML 4.1.1 Cỏc vấn đề xỏc thực
Xỏc thực từ xa là việc chứng minh từ xa bằng phƣơng tiện điện tử, sự tồn tại chớnh xỏc và hợp lệ danh tớnh của một chủ thể nhƣ: cỏ nhõn, tổ chức, dịch vụ hoặc một lớp thụng tin nào đú,… khi tham gia trao đổi thụng tin điện tử [2]. Việc xỏc thực này thụng qua một thụng tin đặc trƣng đại diện cho chủ thể đú.
Xỏc thực từ xa: là cụng việc đƣợc thực hiện trƣớc khi diễn ra cỏc cuộc trao đổi thụng tin điện tử thực sự.
Mục đớch: Chống giả mạo, chống chối bỏ, đảm bảo tớnh toàn vẹn, tớnh bớ
mật, tớnh xỏc thực của thụng tin.
a/. Xỏc thực bằng mật khẩu
Khi xỏc thực theo phƣơng phỏp này yờu cầu ngƣời dựng đó quyết định tin tƣởng vào mỏy dịch vụ mà khụng sử dụng bảo mật theo giao thức SSL. Mỏy dịch vụ cần phải chứng thực quyền của ngƣời dựng trƣớc khi cho phộp truy nhập vào tài nguyờn hệ thống.
Cỏc bước xỏc thực theo phương phỏp:
Phớa mỏy khỏch sẽ hiện thụng bỏo yờu cầu nhập mật khẩu. Ngƣời dựng phải nhập mật khẩu cho mỗi mỏy dịch vụ khỏc nhau trong cựng một phiờn làm việc.
Mỏy khỏch gửi mật khẩu qua mạng, mà khụng cú hỡnh thức mó hoỏ nào.
Mỏy dịch vụ tỡm kiếm mật khẩu trong CSDL
Mỏy dịch vụ xỏc định xem mỏy khỏch cú mật khẩu đú cú quyền truy cập vào những tài nguyờn nào của hệ thống.
Ưu điểm: đối với ngƣời dựng thỡ phƣơng phỏp này dễ sử dụng
Nhược điểm: phƣơng phỏp này khụng an toàn, dễ bị lộ mật khẩu, vỡ mật khẩu truyền đi trờn mạng mà khụng đƣợc mó húa nờn rất dễ bị đỏnh cắp.
b/. Xỏc thực bằng định danh
Việc xƣng danh và xỏc nhận danh tớnh của một đối tƣợng là cần thiết trong một số trƣờng hợp sau:
Để rỳt tiền từ mỏy rỳt tiền tự động (ATM), ngƣời dựng cần xƣng danh bằng cỏch dựng một thẻ rỳt tiền cựng với một số PIN của mỡnh.
Để mua hàng hoặc thanh toỏn một khoản tiền qua mạng điện thoại ngƣời dựng cần đƣa ra số thẻ tớn dụng của mỡnh.
Để truy cập vào một mỏy tớnh trờn mạng, ngƣời dựng cần khai bỏo tờn đăng nhập cựng mật khẩu ...
Mục tiờu an toàn của việc xƣng danh là bảo đảm sao cho khi nghe một chủ thể A xƣng danh với một chủ thể B, thỡ bất kỳ một ai khỏc A cũng khụng thể mạo nhận là A, kể cả chớnh B cũng khụng thể mạo nhận là A sau khi đƣợc A xƣng danh với mỡnh.
Việc xƣng danh thƣờng phải thụng qua một giao thức hỏi đỏp nào đú, qua giao thức đú để B cú thể xỏc nhận danh tớnh của A. B đặt cho A một cõu hỏi A phải trả lời, trong trả lời đú A phải chứng tỏ cho B một điều là A đang sở hữu một bớ mật mà chỉ riờng A mới cú. Điều đú thuyết phục B tin chắc rằng ngƣời trả lời đỳng là A và xỏc nhận danh tớnh của A.
c/. Xỏc thực bằng chữ ký số
* Chữ ký số là gỡ: (adsbygoogle = window.adsbygoogle || []).push({});
Trong mụi trƣờng mạng, cỏc giải thuật mật mó khúa cụng khai khụng chỉ dựng vào việc bảo vệ tớnh bớ mật của dữ liệu, mà cũn là phƣơng tiện để bảo vệ tớnh xỏc thực của dữ liệu, ngăn chặn sự giả mạo. Khi viết thƣ trờn giấy, ngƣời ta ký tờn (hoặc... lăn tay) vào bức thƣ để ngƣời nhận biết chớnh xỏc ngƣời gửi là ai. Đối với thụng điệp gửi qua mạng, cú một cơ chế để tạo ra “chữ ký” riờng mà ngƣời ta thƣờng gọi là chữ ký số (digital signature) hay chữ ký điện tử.
Khi sử dụng chữ ký số, ngƣời ta sẽ kiểm tra đƣợc tớnh xỏc thực của một thụng điệp. Việc sử dụng chữ ký số sẽ giảm bớt nguy cơ giả mạo thụng điệp. Bởi ngƣời ta cú thể dễ dàng xỏc minh đƣợc thụng điệp đú cú phải thực sự đến từ ngƣời gửi hay khụng ?
* Khỏi niệm:
Chữ ký điện tử (digital signature) là đoạn dữ liệu ngắn đớnh kốm với văn bản gốc, để chứng thực tỏc giả của văn bản và giỳp ngƣời nhận kiểm tra tớnh toàn vẹn của nội dung văn bản gốc. [5]
Trong thực tế, quỏ trỡnh ký số thường phức tạp hơn.
Chẳng hạn A muốn gửi thụng điệp x cho B:
Trƣớc kia: A ký vào bản thụng điệp gốc, sử dụng chữ ký khụi phục đƣợc (y = signA(x)), sau đú mó húa (băm) bản thụng điệp gốc x với chữ ký y, và gửi cho B.
Thay vào đú: A băm thụng điệp gốc x đƣợc bản đại diện thụng điệp z (z=h(x) ), sau đú A ký trờn bản đại diện thụng điệp z sử dụng chữ ký khụi phục đƣợc y (y = signA(z)). A mó húa (băm) thụng điệp gốc x, với y và gửi cho B.
B nhận được thụng điệp:
Đầu tiờn B giải mó thụng điệp nhận đƣợc (y, x). Để xỏc thực thụng điệp x này do chớnh A gửi và chƣa bị sửa đổi, B tiến hành:
+ Kiểm tra chữ ký số để xỏc minh xem thụng điệp nhận đƣợc cú phải đƣợc gửi từ A hay khụng bằng cỏch giải mó chữ ký số cú thể khụi phục đƣợc y, sử dụng khúa cụng khai của A.
+ Băm thụng điệp x bằng thuật toỏn băm tƣơng ứng với thuật toỏn băm A đó sử dụng đƣợc h(x). So sỏnh 2 giỏ trị băm, nếu bằng nhau (z = h(x)) thỡ đảm bảo thụng điệp A gửi cho B cũn nguyờn vẹn.
Tớnh toàn vẹn của thụng điệp đƣợc đảm bảo vỡ chỉ thay đổi một bit trong thụng điệp gửi đi thỡ kết quả hai giỏ trị băm sẽ khỏc nhau. Tớnh xỏc thực của ngƣời gửi cũng đƣợc đảm bảo vỡ chỉ cú ngƣời gửi A mới cú khoỏ riờng để mó bản băm. Chữ ký số cũng chứng minh đƣợc tớnh chống chối bỏ bản gốc vỡ chỉ A mới cú khoỏ riờng dựng để ký số.
* Sơ đồ chữ ký được định nghĩa như sau:
Sơ đồ chữ ký là một bộ năm (P, A, K, S, V), trong đú: 1. P là một tập hữu hạn cỏc văn bản cú thể 2. A là một tập hữu hạn cỏc chữ ký cú thể 3. K là một tập hữu hạn cỏc khoỏ cú thể 4. S là tập cỏc thuật toỏn ký
5. V là tập cỏc thuật toỏn kiểm thử
6. Với mỗi k ∈ K, cú một thuật toỏn ký sigk ∈ S, sigk: P → A và một thuật toỏn kiểm thử verk ∈ V, verk: P x A → {đỳng, sai}, thoả món điều kiện sau đõy với mọi x ∈ P, y ∈ A:
verk(x,y) = đỳng, nếu y = sigk(x) sai, nếu y ≠ sigk(x)
RSA cũng là thuật toỏn đƣợc dựng nhiều cho mục đớch ký số. Sơ đồ chữ ký RSA đƣợc mụ tả nhƣ trong hỡnh 4.1. [5]
Quỏ trỡnh ký và kiểm tra chữ ký đƣợc mụ tả trong 4.2 và 4.3
Giả sử A muốn gửi thụng điệp x cho B, A thực hiện cỏc bước sau:
1/. A băm thụng điệp x ( hỡnh 4.2), thu đƣợc bản đại diện thụng điệp z = h(x), cú kớch thƣớc cố định 128 bit hoặc 160 bit.
2/. A ký số trờn bản đại diện thụng điệp z (hỡnh 4.3), bằng khúa bớ mật của mỡnh, thu đƣợc bản ký số y = sigK(z). (A sử dụng chữ ký khụi phục đƣợc)
3/. A gửi (x, y) cho B (hỡnh 4.4)
Hỡnh 4. 2 Băm thụng điệp
Hỡnh 4. 3 Ký trờn bảng băm
Khi B nhận được (x,y), B thực hiện cỏc bước sau:
1/. Kiểm tra chữ ký số để xỏc minh xem thụng điệp nhận đƣợc cú phải đƣợc gửi từ A hay khụng bằng cỏch giải mó chữ ký số cú thể khụi phục đƣợc y, bằng khúa cụng khai của A, đƣợc z ( hỡnh 4.5)
2/. B dựng thuật toỏn băm – tƣơng ứng với thuật toỏn băm mà A dựng – để băm thụng điệp x đi kốm, nhận đƣợc h(x). (Hỡnh 4.6)
3/. B so sỏnh 2 giỏ trị băm z và h(z), nếu thấy giống nhau thỡ chắc chắn rằng thụng điệp x cũn nguyờn vẹn, bờn cạnh đú cũng xỏc thực đƣợc ngƣời gửi thụng tin là ai. (Hỡnh 4.7) (adsbygoogle = window.adsbygoogle || []).push({});
Hỡnh 4. 5 Xỏc minh chữ ký
Hỡnh 4. 6 Tiến hành băm thụng điệp đi kốm
d/. Xỏc thực bằng chứng chỉ số
* Chứng chỉ số là gỡ
Nhƣ ta đó biết, mật mó khúa cụng khai sử dụng hai khúa khỏc nhau (khúa cụng khai và khúa riờng) để đảm bảo yờu cầu “bớ mật, xỏc thực, toàn vẹn và chống chối bỏ” của những dịch vụ an toàn. Một đặc tớnh quan trọng của lƣợc đồ khúa cụng khai là khúa cụng khai đƣợc phõn phối một cỏch tự do. Ngoài ra, nú cũn cú phải đảm bảo tớnh toàn vẹn.
Khúa cụng khai đặt ở vị trớ cụng khai trong một định dạng đặc biệt. Định dạng này gọi là chứng chỉ. Chứng chỉ (thực ra là chứng chỉ khúa cụng khai – public key certificate (PKC)) là sự gắn kết giữa khúa cụng khai của thực thể và một hoặc nhiều thuộc tớnh liờn quan đến thực thể. Thực thể cú thể là ngƣời, thiết bị phần cứng nhƣ mỏy tớnh, hay một phần mềm xử lý. Chứng chỉ khúa cụng khai (PKC) cũn đƣợc gọi là “digital certificate” – chứng chỉ số, “digital ID”.
Nhƣ vậy, ô chứng chỉ khúa cụng khai là giấy chứng nhận khúa cụng khai
của một thực thể ằ [5]. Chứng chỉ chứa những thụng tin cần thiết nhƣ khúa cụng
khai, chủ thể sở hữu (ngƣời sở hữu) khúa cụng khai, ngƣời cấp và một số thụng tin khỏc.
* Thành phần của chứng chỉ số:
Thụng tin cỏ nhõn của ngƣời đƣợc cấp:
Đõy là cỏc thụng tin của đối tƣợng đƣợc cấp chứng chỉ số, gồm tờn, quốc tịch, địa chỉ, điện thoại, email, tờn tổ chức ... Phần này giống nhƣ cỏc thụng tin trờn chứng minh thƣ của mỗi ngƣời.
Khúa cụng khai (public key) của ngƣời đƣợc cấp:
Trong khỏi niệm mật mó, khoỏ cụng khai là một giỏ trị đƣợc nhà cung cấp chứng thực đƣa ra nhƣ một khoỏ mó hoỏ, đƣợc cụng bố cụng khai cho mọi ngƣời biết. Nú tƣơng ứng với khoỏ bớ mật, chỉ chủ thể của chứng chỉ biết, để tạo thành cặp khoỏ bất đối xứng.
Nguyờn lý hoạt động của khoỏ cụng khai trong chứng chỉ số là hai bờn giao dịch phải biết khoỏ cụng khai của nhau. Bờn A muốn gửi cho bờn B thỡ phải dựng khoỏ cụng khai của bờn B để mó hoỏ thụng tin. Bờn B sẽ dựng khoỏ cỏ nhõn của mỡnh để mở thụng tin đú ra. Tớnh bất đối xứng trong mó hoỏ thể hiện ở chỗ khoỏ cỏ nhõn cú thể giải mó dữ liệu đƣợc mó hoỏ bằng khoỏ cụng khai, nhƣng khoỏ cụng khai hoặc khụng thể, hoặc rất khú và tốn nhiều thời gian, cụng sức để cú thể giải mó lại thụng tin, kể cả những thụng tin do chớnh khoỏ cụng khai đú đó mó hoỏ.
Chứng chỉ số của nhà cung cấp chứng chỉ số (CA)
CA (Certification Authority), một cơ quan cú tƣ cỏch phỏp nhõn thƣờng xuyờn tiếp nhận đăng ký cỏc thụng tin đặc trƣng đại diện cho chủ thể nhƣ khúa cụng khai và lƣu trữ khúa cụng khai cựng lý lịch của chủ thể trong một cơ sở dữ liệu đƣợc bảo vệ chặt chẽ. Điều quan trọng nhất của một CA là uy tớn để khẳng định sự thật, bảo đảm khụng thể cú chuyện “đổi trắng thay đen”.
Thụng thƣờng, CA thực hiện chức năng xỏc thực bằng cỏch cấp chứng chỉ cho cỏc CA khỏc hoặc cho thực thể cuối (ngƣời giữ chứng chỉ) trong hệ thống. Nếu CA nằm ở đỉnh mụ hỡnh phõn cấp PKI và cấp chứng chỉ cho những CA ở mức thấp hơn thỡ chứng chỉ này đƣợc gọi là chứng chỉ gốc “Root certificate”.
* Cơ chế xỏc thực của chứng chỉ số:
Cơ chế 1: Trong mụ hỡnh xỏc thực bằng chứng chỉ. Ngƣời dựng cú thể xỏc thực anh ta bằng cỏch trỡnh cho hệ thống chứng chỉ của chớnh mỡnh. Thụng qua chữ ký của nhà phỏt hành chứng chỉ trờn khoỏ cụng khai và cỏc thụng tin định danh, anh ta cú thể chứng minh rằng mỡnh đang sở hữu một khoỏ riờng tƣơng ứng. Khoỏ riờng thƣờng là một giỏ trị rất lớn (thụng thƣờng khoỏ riờng với giỏ trị vào khoảng 21024). Với giỏ trị nhƣ thế, nú thƣờng đƣợc lƣu trong cỏc file đƣợc bảo vệ bởi mật khẩu, hoặc trong cỏc phần cứng nhƣ thẻ thụng minh. [13]
Cơ chế 2: Cỏc file hay thẻ thụng minh đƣợc bảo vệ bởi mật khẩu hoặc số PIN. Để xỏc thực chớnh mỡnh, anh ta phải đƣa ra những thụng tin về mật khẩu hoặc số PIN mà chỉ cú anh ta mới biết, từ thụng tin này, hệ thống mới cú thể cú đƣợc khoỏ riờng.
Thụng qua cỏc thao tỏc toỏn học, hệ thống chứng minh sự tƣơng ứng giữa khoỏ riờng và khoỏ cụng khai cú trong chứng chỉ. Mặt khỏc khoỏ cụng khai và cỏc thụng tin định danh đƣợc gắn kết với nhau thụng qua chữ ký của nhà phỏt hành chứng chỉ, nờn danh tớnh của anh ta đƣợc xỏc thực. [13]
Cơ chế 3: Sử dụng cỏc giao thức mó hoỏ với thẻ thụng minh để chứng minh rằng ngƣời sử dụng sở hữu khoỏ riờng tƣơng ứng. Khoỏ riờng đƣợc lƣu trong thẻ thụng minh. Hệ thống xỏc thực cung cấp một thụng tin, thẻ thụng minh sử dụng khoỏ riờng mó hoỏ thụng tin đú và gửi trả lại cho hệ thống. Hệ thống sử dụng khoỏ cụng khai trờn chứng chỉ giải mó để lấy lại thụng tin ban đầu. Nếu hai thụng tin là giống nhau thỡ chứng tỏ – thẻ thụng minh cú chứa một khoỏ riờng tƣơng ứng.
Mặc dự xỏc thực bằng chứng chỉ cú ba cơ chế. Nhƣng tất cả đều phải đƣợc xõy dựng trờn sự tin tƣởng vào nhà phỏt hành chứng chỉ. Vỡ nếu chứng chỉ bị giả mạo hay nhà phỏt hành chứng chỉ làm giả chứng chỉ, thỡ hệ thống của chỳng ta sụp đổ hoàn toàn. Nhƣ vậy về bản chất cơ chế xỏc thực cú đƣợc là do chữ ký của nhà phỏt hành chứng chỉ, tức là nhà phỏt hành chứng chỉ đó chứng minh cỏc thụng tin định danh của ngƣời sử dụng thụng qua chữ ký của mỡnh. [13]
4.1.2 Xỏc thực trong đồng bộ OMA