WTLS là gì? WTLS protocol là gì

WTLS là gì? WTLS protocol là gì

Rate this post

WTLS cung cấp các dịch vụ bảo mật giữa thiết bị di động (máy khách) và cổng WAP. WTLS dựa trên Giao thức bảo mật lớp truyền tải (TLS) tiêu chuẩn công nghiệp, 3 là giao thức cải tiến của giao thức Lớp cổng bảo mật (SSL). TLS là giao thức bảo mật tiêu chuẩn được sử dụng giữa các trình duyệt Web và máy chủ Web. WTLS hiệu quả hơn TLS, yêu cầu ít trao đổi tin nhắn hơn. Để cung cấp bảo mật đầu cuối, WTLS được sử dụng giữa máy khách và cổng vào, và TLS được sử dụng giữa cổng và máy chủ đích (Hình 17.14). Hệ thống WAP dịch giữa WTLS và TLS trong cổng WAP. Do đó, cổng là một điểm dễ bị tấn công và phải được bảo mật ở mức độ cao trước các cuộc tấn công từ bên ngoài.

Các bài viết liên quan:

WTLS cung cấp các tính năng sau.

  • Data integrity: Sử dụng xác thực thông báo để đảm bảo rằng dữ liệu được gửi giữa máy khách và cổng không bị sửa đổi.
  • Privacy: Sử dụng mã hóa để đảm bảo rằng bên thứ ba không thể đọc được dữ liệu.
  • Authentication: Sử dụng chứng chỉ số để xác thực hai bên.
  • Denial-of-service protection: Phát hiện và từ chối các tin nhắn được phát lại hoặc không được xác minh thành công.

WTLS Sessions và Connections 

Hai khái niệm WTLS quan trọng là phiên bảo mật và kết nối an toàn, được định nghĩa trong đặc tả là:

  • Secure connection: Kết nối là một phương tiện truyền tải (trong định nghĩa mô hình phân lớp OSI) cung cấp một loại dịch vụ phù hợp. Đối với SSL, các kết nối như vậy làcác mối quan hệ ngang hàng. Các kết nối là thoáng qua. Mọi kết nối được liên kết với một phiên.
  • Secure session: Phiên SSL là một liên kết giữa máy khách và máy chủ.Các phiên được tạo bởi Giao thức Bắt tay. Các phiên xác định một tập hợp các tham số bảo mật mật mã, có thể được chia sẻ giữa nhiều kết nối. Các phiên được sử dụng để tránh việc thương lượng tốn kém các tham số bảo mật mới cho mỗi kết nối.

Giữa bất kỳ cặp bên nào (các ứng dụng như HTTP trên máy khách và máy chủ), có thể có nhiều kết nối an toàn. Về lý thuyết, cũng có thể có nhiềuphiên đồng thời giữa các bên, nhưng tính năng này không được sử dụng trong thực tế.

Có một số trạng thái được liên kết với mỗi phiên. Khi một phiên được thiết lập, sẽ có trạng thái hoạt động hiện tại cho cả đọc và ghi (tức là nhận và gửi). Ngoài ra, trong Giao thức Bắt tay, các trạng thái đọc và ghi đang chờ xử lý được tạo ra. Sau khi kết thúc thành công Nghị định thư bắt tay, các trạng thái đang chờ xử lý sẽ trở thành trạng thái hiện tại.

Trạng thái phiên được xác định bởi các tham số sau:

  • Secure session: Một chuỗi byte tùy ý được máy chủ chọn để xác định trạng thái phiên hoạt động hoặc có thể tiếp tục.
  • Protocol version: Số phiên bản giao thức WTLS.
  • Peer certificate: Giấy chứng nhận của đồng nghiệp. Phần tử này của trạng thái có thể là rỗng.
  • Compression method: Thuật toán được sử dụng để nén dữ liệu trước khi mã hóa.
  • Cipher spec: Chỉ định thuật toán mã hóa dữ liệu hàng loạt (chẳng hạn như null, RC5, DES, v.v.) và thuật toán băm (chẳng hạn như MD5 hoặc SHA-1) được sử dụng để tính toán MAC. Nó cũng xác định các thuộc tính mật mã như hash_size.
  • Master secret: Một bí mật dài 20 byte được chia sẻ giữa máy khách và máy chủ.
  • Sequence number: Lược đồ đánh số thứ tự nào (tắt, ngầm định hoặc rõ ràng) được sử dụng trong kết nối an toàn này.
  • Key refresh:  Xác định tần suất một số giá trị trạng thái kết nối (khóa mã hóa, bí mật MAC và IV) được thực hiện.
  • Is resumable: Một cờ cho biết liệu phiên có thể được sử dụng để bắt đầu các kết nối mới hay không.

Trạng thái kết nối là môi trường hoạt động của giao thức bản ghi. Nó bao gồm tất cả các tham số cần thiết cho các hoạt động mật mã (mã hóa / giải mã và tính toán / xác minh MAC). Mỗi kết nối an toàn có một trạng thái kết nối, được xác định bởi các tham số sau.

  • Connection end:  Thực thể này được coi là máy khách hay máy chủ trong phiên bảo mật này.
  • Bulk cipher algorithm:  Bao gồm kích thước khóa của thuật toán này, mức độ bí mật của khóa đó, cho dù đó là mật mã khối hay dòng và kích thước khối của mật mã (nếu thích hợp).
  • MAC algorithm:  Bao gồm kích thước của khóa được sử dụng để tính toán MAC và kích thước của hàm băm được trả về bởi thuật toán MAC.
  • Compression algorithm: Bao gồm tất cả thông tin mà thuật toán yêu cầu để thực hiện nén.
  • Master secret:  Một bí mật dài 20 byte được chia sẻ giữa máy khách và máy chủ.
  • Client random:  Giá trị 16 byte do máy khách cung cấp.
  • Server random: Giá trị 16 byte do máy chủ cung cấp.
  • Sequence number mode: Lược đồ nào được sử dụng để giao tiếp số thứ tự trong kết nối an toàn này.
  • Key refresh: Xác định tần suất một số thông số trạng thái kết nối (khóa mã hóa, bí mật MAC và IV) được cập nhật. Các khóa mới được tính ở mọin = 2key_refresh thông báo, nghĩa là khi số thứ tự là 0, 2n, 3n, v.v.

WTLS Protocol Architecture 

WTLS không phải là một giao thức đơn lẻ mà là hai lớp giao thức, như được minh họa trong Hình 17.15. Giao thức Bản ghi WTLS cung cấp các dịch vụ bảo mật cơ bản cho các giao thức lớp cao hơn khác nhau. Đặc biệt, Giao thức truyền siêu văn bản (HTTP),cung cấp dịch vụ chuyển giao cho tương tác máy khách / máy chủ Web, có thể hoạt động trên WTLS. Ba giao thức lớp cao hơn được định nghĩa là một phần của WTLS: Giao thức Bắt tay, Giao thức Thông số Mã hóa Thay đổi và Giao thức Cảnh báo. Các giao thức dành riêng cho WTLS này được sử dụng trong việc quản lý các trao đổi WTLS và được kiểm tra sau đó trong phần này.

WTLS RECORD PROTOCOL

Giao thức Bản ghi WTLS lấy dữ liệu người dùng từ lớp cao hơn tiếp theo (WTP, WTLS Handshake Protocol, WTLS Alert Protocol và WTLS Change Cipher Spec Protocol) và đóng gói những dữ liệu này trong một PDU. Các bước sau xảy ra (Hình 17.16).

WTLS là gì? WTLS protocol là gì
WTLS là gì? WTLS protocol là gì

Bước 1. Tải trọng được nén bằng thuật toán nén không mất dữ liệu.

Bước 2. Mã xác thực tin nhắn (MAC) được tính trên dữ liệu nén, sử dụng HMAC. Một trong số các thuật toán băm có thể được sử dụng với HMAC, bao gồm MD-5 và SHA-1. Độ dài của mã băm là 0, 5 hoặc 10 byte. MAC được thêm vào sau dữ liệu nén.

Bước 3. Tin nhắn nén cộng với mã MAC được mã hóa bằng đối xứng thuật toán mã hóa. Các thuật toán mã hóa được phép là DES, ba DES, RC5 và IDEA.

Bước 4. Giao thức Bản ghi thêm một tiêu đề vào trọng tải được mã hóa.

Tiêu đề Giao thức Bản ghi bao gồm các trường sau (Hình 17.17).

  • Loại bản ghi (8 bit): Bao gồm các trường con:

–Chỉ báo trường độ dài bản ghi (1 bit): Cho biết có trường độ dài bản ghi hay không.

–Chỉ báo trường số thứ tự (1 bit): Cho biết có trường số thứ tự hay không.

–Chỉ báo thông số kỹ thuật mật mã (1 bit): Nếu bit này bằng 0, nó chỉ ra rằng không có chức năng nén, bảo vệ MAC hoặc mã hóa nào được sử dụng.

–Loại nội dung (4 bit): Giao thức tầng cao hơn Giao thức bản ghi WTLS.

  • Số thứ tự (16 bit): Một số thứ tự được liên kết với bản ghi này. Điều này cung cấp độ tin cậy so với một dịch vụ vận tải không đáng tin cậy.
  • Độ dài bản ghi (16 bit): Độ dài tính bằng byte của dữ liệu bản rõ (hoặc dữ liệu nén nếu sử dụng tính năng nén).

CHANGE CIPHER SPEC PROTOCOL

Được liên kết với giao dịch hiện tại là một đặc tả mật mã, chỉ định thuật toán mã hóa, thuật toán băm được sử dụng như

WTLS là gì? WTLS protocol là gì

một phần của HMAC và các thuộc tính mật mã, chẳng hạn như kích thước mã MAC. Có hai trạng thái được liên kết với mỗi phiên. Sau khi một phiên được thiết lập, có mộttrạng thái hoạt động hiện tại cho cả đọc và ghi (tức là nhận và gửi). Ngoài ra, trong Giao thức Bắt tay, các trạng thái đọc và ghi đang chờ xử lý được tạo ra.

Giao thức thông số kỹ thuật mật mã thay đổi là một trong ba giao thức dành riêng cho WTLS sử dụng Giao thức bản ghi WTLS và nó là giao thức đơn giản nhất. Giao thức này bao gồmmột thông báo, bao gồm một byte đơn có giá trị 1. Mục đích duy nhất của thông báo này là làm cho trạng thái đang chờ xử lý được sao chép sang trạng thái hiện tại, cập nhật bộ mật mã sẽ được sử dụng trên kết nối này. Do đó, khi bản tin Change Cipher Spec đến, người gửi bản tin sẽ đặt trạng thái ghi hiện tại thành trạng thái đang chờ xử lý và người nhận đặt trạng thái đọc hiện tại thành trạng thái đang chờ xử lý.

ALERT PROTOCOL

Giao thức Cảnh báo được sử dụng để chuyển các cảnh báo liên quan đến WTLS đến thực thể ngang hàng. Cũng như các ứng dụng khác sử dụng WTLS, các thông báo cảnh báo được nén và mã hóa, như được chỉ định bởi trạng thái hiện tại.

Mỗi thông báo trong giao thức này bao gồm 2 byte. Byte đầu tiên nhận giá trị cảnh báo (1), quan trọng (2) hoặc nghiêm trọng (3) để truyền đạt mức độ nghiêm trọng của thông báo. Byte thứ hai chứa một mã cho biết cảnh báo cụ thể. Nếu mức nghiêm trọng, WTLS ngay lập tức chấm dứt kết nối. Các kết nối khác trong cùng một phiên có thể tiếp tục, nhưng không có kết nối mới nào trong phiên này có thể được thiết lập. Một thông báo cảnh báo quan trọng dẫn đến việc chấm dứt kết nối an toàn hiện tại. Các kết nối khác sử dụng phiên bảo mật có thể tiếp tục và số nhận dạng an toàn cũng có thể được sử dụng để thiết lập các kết nối an toàn mới.

Kết nối bị đóng bằng cách sử dụng các thông báo cảnh báo. Một trong hai bên có thể bắt đầu trao đổi thông báo kết thúc. Nếu nhận được thông báo kết thúc, thì mọi dữ liệu sau thông báo này sẽ bị bỏ qua. Bên được thông báo cũng yêu cầu xác minh việc chấm dứt phiên bằng cách trả lời thông báo kết thúc.

Xử lý lỗi trong WTLS dựa trên các thông báo cảnh báo. Khi một lỗi được phát hiện, bên phát hiện sẽ gửi một thông báo cảnh báo có lỗi đã xảy ra. Các thủ tục khác tùy thuộc vào mức độ của lỗi đã xảy ra.

Ví dụ về cảnh báo nguy hiểm:

  • session_close_notify: thông báo cho người nhận rằng người gửi sẽ không gửi thêm bất kỳ tin nhắn nào bằng trạng thái kết nối này hoặc phiên bảo mật.
  • bất ngờ_message: Đã nhận được một thông báo không thích hợp.
  • bad_record_mac: Đã nhận được MAC không chính xác.
  • decression_failure: Hàm giải nén nhận được đầu vào không thích hợp (ví dụ: không thể giải nén hoặc giải nén lớn hơn độ dài tối đa cho phép).
  • handshake_failure: Người gửi không thể thương lượng một tập hợp các thông số bảo mật được chấp nhận với các tùy chọn có sẵn.
  • rule_parameter: Một trường trong thông báo bắt tay nằm ngoài phạm vi hoặc không nhất quán với các trường khác.

Ví dụ về cảnh báo không béo:

  • connect_close_notify: Thông báo cho người nhận rằng người gửi sẽ không gửi thêm bất kỳ tin nhắn nào bằng trạng thái kết nối này.
  • bad_certificate: Chứng chỉ nhận được đã bị hỏng (ví dụ: chứa một ký hiệu không xác minh).
  • unsupported_certificate: Loại chứng chỉ đã nhận không được hỗ trợ.
  • certificate_revoked: Chứng chỉ đã bị người ký của nó thu hồi.
  • certificate_expired: Chứng chỉ đã hết hạn.
  • certificate_unknown: Một số vấn đề không xác định khác đã phát sinh trong quá trình xử lý chứng chỉ, khiến nó không thể chấp nhận được.

HANDSHAKE PROTOCOL

Phần phức tạp nhất của WTLS là Bắt tay Giao thức. Giao thức này cho phép máy chủ và máy khách xác thực lẫn nhau và thương lượng một thuật toán mã hóa và MAC và các khóa mật mã được sử dụng để bảo vệ dữ liệu được gửi trong bản ghi WTLS.

Giao thức Bắt tay được sử dụng trước khi bất kỳ dữ liệu ứng dụng nào được truyền đi. Một chức năng quan trọng của Handshake Protocol là tạo ra một bí mật tổng thể trước, sau đó nó được sử dụng để tạo ra một bí mật chính. Sau đó, bí mật chính được sử dụng để tạo ra các khóa mật mã khác nhau.

Giao thức Bắt tay bao gồm một loạt các thông điệp được trao đổi bởi máy khách và máy chủ. Hình 17.18 cho thấy sự trao đổi ban đầu cần thiết để thiết lập một lôgic

WTLS là gì? WTLS protocol là gì

kết nối giữa máy khách và máy chủ. Việc trao đổi có thể được xem như có bốn giai đoạn.

Giai đoạn đầu tiên được sử dụng để bắt đầu kết nối logic và thiết lập khả năng bảo mật sẽ được liên kết với nó. Việc trao đổi được bắt đầu bởi khách hàng. Máy khách gửi một thông báo client_hello bao gồm ID phiên và danh sách các thuật toán mật mã và nén được máy khách hỗ trợ (theo thứ tự ưu tiên giảm dần cho từng loại thuật toán). Sau khi gửi thông báo client_hello, khách hàng sẽ đợi thông báo server_hello. Thông báo này cho biết các thuật toán mật mã và nén nào sẽ được sử dụng cho sàn giao dịch.

Giai đoạn thứ hai được sử dụng để xác thực máy chủ và trao đổi khóa. Máy chủ bắt đầu giai đoạn này bằng cách gửi chứng chỉ khóa công khai của nó nếu nó cầnđược chứng thực. Tiếp theo, một thông báo server_key_exchange có thể được gửi nếu nó được yêu cầu. Thông báo này là cần thiết cho các thuật toán khóa công khai nhất định được sử dụng để trao đổi khóa đối xứng. Tiếp theo, máy chủ có thể yêu cầu chứng chỉ khóa công khai từ máy khách, sử dụng thông báo certificate_request. Thông báo cuối cùng trong giai đoạn 2 (và một thông báo luôn được yêu cầu) là thông báo server_hello_done, được gửi bởi máy chủ để cho biết kết thúc của lời chào máy chủ và các thông báo liên quan. Sau khi gửi thông báo này, máy chủ sẽ đợi phản hồi của máy khách. Thông báo này không có tham số.

Giai đoạn thứ ba được sử dụng để xác thực máy khách và trao đổi khóa. Trênkhi nhận được thông báo server_hello_done, khách hàng phải xác minh rằng máy chủ đã cung cấp chứng chỉ hợp lệ nếu được yêu cầu và kiểm tra xem các thông số server_hello có được chấp nhận hay không. Nếu tất cả đều đạt yêu cầu, máy khách sẽ gửi một hoặc nhiều thông báo trở lại máy chủ. Nếu máy chủ đã yêu cầu chứng chỉ, máy khách sẽ gửi một thông báo chứng chỉ. Tiếp theo là thông báo client_key_exchange, phải được gửi trong giai đoạn này. Nội dung của tin nhắn tùy thuộc vào hình thức trao đổi khóa. Cuối cùng, trong giai đoạn này, máy khách có thể gửi một thông báo certificate_verify để cung cấp xác minh rõ ràng chứng chỉ máy khách.

Giai đoạn thứ tư hoàn thành việc thiết lập kết nối an toàn. Máy khách gửi một thông báo change_cipher_spec và sao chép CipherSpec đang chờ xử lý vào CipherSpec hiện tại. Lưu ý rằng thông báo này không được coi là một phần của Giao thức Bắt tay nhưng được gửi bằng Giao thức Thông số Kỹ thuật Mật mã Thay đổi. Sau đó, khách hàng sẽ ngay lập tức gửi thông điệp đã hoàn thành theo các thuật toán, khóa và bí mật mới. Thông báo hoàn thành xác minh rằng quá trình trao đổi và xác thực khóa đã thành công. Đáp lại hai thông báo này, máy chủ sẽ gửi thông báo change_cipher_spec của chính nó, chuyển thông báo đang chờ xử lý đến CipherSpec hiện tại và gửi thông báo đã hoàn thành của nó. Tại thời điểm này, quá trình lắc tay đã hoàn tất, máy khách và máy chủ có thể bắt đầu trao đổi dữ liệu lớp ứng dụng.

Cryptographic Algorithms

AUTHENTICATION

Xác thực trong WTLS được thực hiện với các chứng chỉ. Xác thực có thể xảy ra giữa máy khách và máy chủ hoặc khi máy khách chỉ xác thực máy chủ. Quy trình sau chỉ có thể xảy ra nếu máy chủcho phép nó xảy ra. Máy chủ có thể yêu cầu máy khách tự xác thực với máy chủ.

Tuy nhiên, đặc tả WTLS xác định rằng xác thực là một thủ tục tùy chọn. Hiện tại, các chứng chỉ X.509v3, X9.68 và WTLS được hỗ trợ. Chứng chỉ WTLS được tối ưu hóa cho kích thước và bao gồm các yếu tố sau (so sánh với Hình 14.14).

  • Certificate_version: Phiên bản của chứng chỉ.
  • Signature_algorithm: Thuật toán dùng để ký chứng chỉ.
  • Nhà phát hành: Xác định bên đã ký chứng chỉ, thường là một số CA.
  • Valid_not_before: Thời gian bắt đầu hiệu lực của chứng chỉ.
  • Valid_not_ after: Thời điểm sau khi chứng chỉ không còn hiệu lực.
  • Subject: Chủ sở hữu của khóa, được liên kết với khóa công khai được chứng nhận.
  • Public_key_type: Loại (thuật toán) của khóa công khai.
  • Parameter_specifier: Chỉ định tham số liên quan đến khóa công khai.
  • Public key: Khóa công khai đang được chứng nhận.
  • Signature: Đã ký với tư nhân của CA Chìa khóa.

KEY EXCHANGE

Mục đích của giao thức WTLS là để máy khách và máy chủ tạo một khóa tiền chủ được chia sẻ chung. Sau đó, khóa này được sử dụng để tạo làm khóa chính, như được giải thích sau đó. Một số giao thức trao đổi chính được hỗ trợ bởi WTLS. Chúng có thể được nhóm lại thành những giao thức bao gồm thông báo server_key_exchange như một phần của Giao thức Bắt tay (Hình 17.18) và những giao thức không.

Thông báo server_key_exchange chỉ được gửi bởi máy chủ khi thông báo chứng chỉ máy chủ (nếu được gửi) không chứa đủ dữ liệu để cho phép máy khách trao đổi bí mật trước tổng thể. Ba phương pháp sau yêu cầu sử dụng thông báo server_key_exchange.

  • DH_anon: Tính toán Diffie-Hellman thông thường được thực hiện ẩn danh (không cần xác thực). Khóa thương lượng (Z) được sử dụng làm pre_master_secret.
  • ECDH_anon: Tính toán đường cong elliptic Diffie-Hellman được thực hiện. Khóa thương lượng (Z) được sử dụng làm pre_master_secret.
  • RSA_anon: Đây là một trao đổi khóa RSA mà không cần xác thực. Máy chủ gửi khóa công khai RSA của nó. Trong phương pháp này, một giá trị bí mật 20 byte được tạo bởi máy khách, được mã hóa theo khóa công khai của máy chủ và được gửi đến máy chủ. Máy chủ sử dụng khóa riêng của nó để giải mã giá trị bí mật. Pre_master_secret là giá trị bí mật được nối với khóa công khai của máy chủ.

Xen thêm 10 nguyên nhân chính Website wordpress sẽ bị Hacker tấn công

Thông báo trao đổi khóa máy chủ không được gửi cho các phương pháp trao đổi khóa sau.

  • ECDH_ECDSA: Trao đổi khóa Diffie-Hellman theo đường cong Elliptic với các chứng chỉ dựa trên ECDSA. Máy chủ gửi một chứng chỉ có chứa khóa công khai ECDH của nó. Chứng chỉ máy chủ được bên thứ ba ký với ECDSA

được khách hàng tin tưởng. Tùy thuộc vào việc máy khách có được xác thực hay không, nó sẽ gửi chứng chỉ có chứa khóa công khai ECDH được ký với ECDSA bởi bên thứ ba được máy chủ tin cậy hoặc chỉ là khóa công khai ECDH (tạm thời) của nó. Mỗi bên tính toán bí mật trước cái chủ dựa trên khóa riêng của mình và khóa công khai của đối tác nhận được như vậy hoặc có trong chứng chỉ.

  • RSA: Trao đổi khóa RSA với các chứng chỉ dựa trên RSA. Máy chủ gửi một chứng chỉ có chứa khóa công khai RSA của nó. Chứng chỉ máy chủ được ký bằng RSA bởi bên thứ ba được máy khách tin cậy. Máy khách trích xuất khóa công khai của máy chủ từ chứng chỉ đã nhận, tạo giá trị bí mật, mã hóa nó bằng khóa công khai của máy chủ và gửi đến máy chủ. Trướcbí mật chính là giá trị bí mật được nối với khóa công khai của máy chủ. Nếu máy khách được xác thực, nó sẽ ký một số dữ liệu (tin nhắn được gửi trong quá trình bắt tay) bằng khóa riêng RSA và gửi chứng chỉ và dữ liệu đã ký.

PSEUDORANDOM FUNCTION(PRF)

PRF được sử dụng cho một số mục đích trong WTLS. PRF nhận đầu vào là giá trị bí mật, hạt giống và nhãn nhận dạng và tạo ra đầu ra có độ dài tùy ý. Trong tiêu chuẩn TLS, hai thuật toán băm đã được sử dụng để làm cho PRF an toàn nhất có thể. Để tiết kiệm tài nguyên, WTLS có thể được triển khai chỉ bằng một thuật toán băm. Thuật toán băm nào thực sự được sử dụng được đồng ý trong quá trình bắt tay như một phần của thông số kỹ thuật mật mã.

PRF dựa trên chức năng mở rộng dữ liệu

WTLS là gì? WTLS protocol là gì

ở đâu || chỉ ra sự nối và A () được định nghĩa là

  A (0) = seed

  A( )= HMAC_hash (secret, A (- 1))

PRF (secret, label, seed) = P_hash (secret, label | seed)

MASTER KEY GENERATION

Bí mật chính được chia sẻ là giá trị 20 byte một lần (160 bit) được tạo cho phiên này bằng cách trao đổi khóa an toàn. Quá trình tạo gồm hai giai đoạn. Đầu tiên, một pre_master_secret được trao đổi. Thứ hai, master_secret được tính toán bởi cả hai bên, sử dụng hàm

master_secret = PRF (pre_master_secret, “master secret”, ClientHello.random | ServerHello.random)

trong đó ClientHello.random và ServerHello.random là các số ngẫu nhiên được trao đổi trong giai đoạn đầu của giao thức bắt tay.

Sau đó, MAC và khóa mã hóa được lấy từ khóa chính. Tính toán MAC sử dụng thuật toán HMAC (Chương 12) và bao gồm các trường được chỉ ra trong biểu thức

HMAC_hash (MAC_secret, seq_number | WTLSC đã nén. record_type| WTLSCompressed.length | WTLS Compressed.fragment)

trong đó WTLSCompressed.fragment đề cập đến trường dữ liệu văn bản thuần túy được nén (tùy chọn).

MD5 hoặc SHA-1 có thể được sử dụng cho hàm băm HMAC.

Xem thêm Plugin bảo mật tốt nhất cho WordPress(Mở trong cửa số mới)

Mã hóa được áp dụng cho tất cả bản ghi WTLS, ngoại trừ tiêu đề. Các thuật toán mã hóa sau đây được cho phép.

Thuật toánKích thước khóa (bit)
RC540, 56, 64, 128
DES192
3DES40
Ý KIẾN40, 56

End to End sercurity trong mạng không dây

Mô hình truyền WAP cơ bản liên quan đến máy khách WAP, cổng WAP và một máy chủ Web dẫn đến một lỗ hổng bảo mật, như được minh họa trong Hình 17.19. Hình này tương ứng với kiến ​​trúc giao thức được thể hiện trong Hình 17.14. Thiết bị di động thiết lập phiên WTLS an toàn với cổng WAP. Cổng WAP, đến lượt nó,

WTLS là gì? WTLS protocol là gì

thiết lập phiên SSL hoặc TLS an toàn với máy chủ Web. Trong cửa ngõ,dữ liệu không được mã hóa trong quá trình dịch. Vì vậy, cổng là một điểm mà tại đó dữ liệu có thể bị xâm phạm.

Có một số cách tiếp cận để cung cấp bảo mật đầu cuối giữa máy khách di động và máy chủ Web. Trong tài liệu kiến ​​trúc WAP phiên bản 2 (được gọi là WAP2), diễn đàn WAP xác định một số cách sắp xếp giao thức cho phép bảo mật đầu cuối.

Phiên bản 1 của WAP giả định một tập hợp các giao thức được đơn giản hóa qua mạng không dây và giả định rằng mạng không dây không hỗ trợ IP. WAP2 cung cấptùy chọn để thiết bị di động triển khai các giao thức dựa trên TCP / IP đầy đủ và hoạt động qua mạng không dây hỗ trợ IP. Hình 17.20 cho thấy hai cách mà khả năng IP này có thể được khai thác để cung cấp bảo mật đầu cuối. Trong cả hai cách tiếp cận, máy khách di động thực hiện TCP / IP và HTTP.

Cách tiếp cận đầu tiên (Hình 17.20a) là sử dụng TLS giữa máy khách và máy chủ. Một phiên TLS an toàn được thiết lập giữa các điểm cuối. Cổng WAP hoạt động như một cổng cấp TCP và nối hai kết nối TCP với nhau để thực hiện lưu lượng giữa các điểm cuối. Tuy nhiên, trường dữ liệu người dùng TCP (bản ghi TLS) vẫn được mã hóa khi nó đi qua cổng, do đó bảo mật đầu cuối được duy trì.

WTLS là gì? WTLS protocol là gì

Các phương pháp tiếp cận bảo mật từ đầu đến cuối của WAP2

Một cách tiếp cận khả thi khác được thể hiện trong hình trên. Ở đây chúng tôi giả định rằng cổng WAP hoạt động như một bộ định tuyến Internet đơn giản. Trong trường hợp này, bảo mật đầu cuối có thể được cung cấp ở cấp IP bằng cách sử dụng IPsec.

Tuy nhiên, một cách tiếp cận khác, có phần phức tạp hơn, đã được diễn đàn WAP định nghĩa bằng các thuật ngữ cụ thể hơn trong đặc tả có tên “Bảo mật từ đầu đến cuối của lớp truyền tải WAP”. Cách tiếp cận này được minh họa trong Hình trên, dựa trên một hình trong.

Trong trường hợp này, máy khách WAP kết nối với cổng WAP thông thường của nó và cố gắng gửi một yêu cầu thông qua cổng đến một miền an toàn. Máy chủ nội dung an toàn xác định nhu cầu bảo mật yêu cầu máy khách di động phải kết nối với cổng WAP cục bộ của nó thay vì cổng WAP mặc định của nó. Máy chủ Web phản hồi yêu cầu máy khách ban đầu bằng thông báo chuyển hướng HTTP chuyển hướng máy khách đến cổng WAP là một phần của mạng doanh nghiệp.

Thông báo này được chuyển trở lại qua cổng mặc định,xác thực chuyển hướng và gửi nó đến máy khách. Máy khách lưu trữ thông tin chuyển hướng và thiết lập một phiên bảo mật với cổng WAP doanh nghiệp bằng cách sử dụng WTLS. Sau khi kết thúc kết nối, cổng mặc định được chọn lại và được sử dụng để giao tiếp tiếp theo với các máy chủ Web khác. Lưu ý rằng cách tiếp cận này yêu cầu doanh nghiệp duy trì một cổng WAP trên mạng không dây mà khách hàng đang sử dụng.

WTLS là gì? WTLS protocol là gì
WTLS là gì? WTLS protocol là gì

WAP Transport Layer End-to-End Security Example

Leave a Reply