Chapter 18.10.1 Keamanan Lapisan Transport Nirkabel (WTLS)
Banyak aplikasi di Web saat ini memerlukan koneksi yang aman antara a
client dan server aplikasi. WTLS adalah protokol keamanan, yang didefinisikan oleh
OMA WAP-261-WTLS-20010406-spesifikasi, untuk memastikan transaksi aman
pada terminal WAP
Catatan: WAP-261-WTLS-20010406-a hanya spesifikasi aslinya. Memiliki
telah diperbarui oleh spesifikasi WAP-261_100-WTLS-20010926-a,
WAP-261_101-WTLS-20011027-a, dan WAP-261_102-WTLS-20011027-a.
WTLS didasarkan pada Transport Layer Security (TLS) standar industri,
protokol, namun telah dioptimalkan untuk penggunaan komunikasi narrow-band
saluran. Ini memastikan integritas data, privasi, otentikasi, dan perlindungan penolakan layanan. Untuk aplikasi Web yang menggunakan standar keamanan internet
Teknik dengan TLS, gateway WAP secara otomatis dan transparan
mengelola keamanan nirkabel dengan biaya pemrosesan minimal. Ini menyediakan end-to-end
keamanan dan keamanan tingkat aplikasi. Ini termasuk fasilitas keamanan untuk
mengenkripsi dan mendekripsi, otentikasi, integritas, dan manajemen kunci yang kuat.
WTLS mematuhi peraturan tentang penggunaan algoritma kriptografi dan
panjang kunci di berbagai negara.
WTLS menggunakan mekanisme adaptasi khusus untuk lingkungan nirkabel
Misalnya, sesi aman lama yang ada, prosedur jabat tangan yang dioptimalkan untuk
jaringan nirkabel, dan reliabilitas data sederhana untuk pengoperasian pembawa datagram.
Gambar 18-21 menunjukkan lokasi WTLS pada model arsitektur WAP dan
arsitektur WTLS internal dengan protokol WTLS yang berbeda.
Tujuan lapisan WTLS
Tujuan utamanya adalah untuk memberikan keamanan antara client dan server dalam hal:
Data Privasi yang dikirim tidak disajikan dalam bentuk teks yang jelas sehingga sulit
bagi pengguna jaringan lain untuk melihat data. Ini sudah selesai
melalui penyandian arus data.
Integritas data Jika pengguna jaringan dapat mengubah data yang dikirim, itu adalah
terdeteksi oleh client atau server yang mengirim data. Ini adalah
dilakukan melalui pesan mencerna.
Otentikasi Mitra jaringan dapat memastikan bahwa dia terhubung
dengan pasangan sejati yang diinginkan dan tidak dengan orang lain
yang berpura-pura menjadi itu Hal ini dilakukan melalui digital
sertifikat.
Denial of service Menolak dan mendeteksi data yang tidak berhasil
diverifikasi. Hal ini dilakukan melalui fungsi WTLS.
Manajemen koneksi WTLS
Manajemen koneksi WTLS menyediakan komunikasi yang aman antara
klien dan server Beberapa langkah diperlukan dalam pendirian koneksi
proses melalui negosiasi untuk menyetujui parameter keamanan antara klien
dan server Hal ini serupa dengan proses pembentukan koneksi yang aman
Secure Socket Layer (SSL) (22,7, "Lapisan Soket Aman (SSL)" pada halaman 854).
Parameter keamanan untuk proses pembentukan koneksi aman bisa
termasuk, misalnya, algoritma kriptografi, prosedur pertukaran kunci, dan
otentikasi.
Layanan primitif memberikan dukungan untuk memulai koneksi yang aman ini. Itu
berikut layanan primitif tersedia:
SEC-Create: Memulai koneksi yang aman dengan pilihan berikut
parameter:
- Sertifikat klien
- Suite pertukaran kunci
- Suite Cipher
- Metode kompresi
- Aturan menyegarkan utama
- Sesi ID
SEC-Exchange: Melakukan otentikasi kunci publik atau pertukaran kunci dengan a
klien. Informasi tambahan tentang kunci publik ada dalam spesifikasi OMA
WAP-217-WPKI-20010424-a, WAP-217_103-WPKI-20011102-a, dan
WAP-217_105-WPKI-20020816-a.
SEC-Commit: Diprakarsai saat jabat tangan selesai dan peer
permintaan untuk beralih ke status koneksi yang disepakati.
SEC-Terminate: Mengakhiri koneksi.
SEC-Exception: Menginformasikan mitra lainnya tentang peringatan tingkat peringatan.
SEC-Create-Request: Server meminta klien untuk melakukan yang baru
jabat tangan
Ikhtisar protokol
Seperti ditunjukkan pada Gambar 18-21 di halaman 697, WTLS terdiri dari empat protokol
komponen:
Protokol rekaman
Protokol jabat tangan
Protokol peringatan
Protokol CipherSpec berubah
Catat protokol
Protokol rekaman adalah antarmuka ke lapisan atas (transaksi atau sesi
lapisan) dan lapisan bawah (transport layer). Ini menerima pesan dari
lapisan atas yang akan ditransmisikan, secara opsional memampatkan data, berlaku a
kode otentikasi pesan (MAC), mengenkripsi pesan, lalu mentransmisikan
pesan. Sebaliknya, data yang diterima didekripsi, diverifikasi, didekompresi,
dan dikirim ke lapisan yang lebih tinggi dari klien. Sisa empat protokol
bekerja sama sangat erat dengan protokol rekaman dalam mencapai langkah-langkah ini.
Protokol handshake
Protokol ini terdiri dari tiga subprotocol yang memungkinkan rekan kerja menyetujui keamanan
parameter untuk lapisan rekam. Protokol jabat tangan bertanggung jawab atas
proses negosiasi antara klien dan server dan digunakan saat
memulai WTLS Parameter ini dinegosiasikan selama jabat tangan:
Pengenal sesi Mengidentifikasi keamanan aktif dan yang dapat diedit
sidang.
Versi protokol versi protokol WTLS versi protokol.
Sertifikat Peer Certificate of the peer.
Metode kompresi Algoritma yang digunakan untuk kompres data sebelum enkripsi
CipherSpec Menentukan algoritma enkripsi data massal (seperti
sebagai null, RC5, DES, dan sebagainya) dan algoritma MAC
(seperti SHA-1). Ini juga mendefinisikan kriptografi
atribut, seperti ukuran MAC.
Rahasia rahasia 20 byte yang dibagi bersama antara client dan server.
Sequence number mode Sequence skema penomoran yang digunakan dalam secure ini
koneksi.
Key refresh Mendefinisikan seberapa sering beberapa nilai keadaan koneksi
(enkripsi kunci, rahasia MAC, dan IV) perhitungan
dilakukan.
Apakah bendera yang dapat diedit menunjukkan apakah sesi aman dapat dilakukan
digunakan untuk memulai koneksi aman baru.
Empat fase digunakan dalam pertukaran protokol jabat tangan, sebelum pengiriman
data aplikasi:
1. Tahap pertama: Selama fase ini, koneksi terjaga dan keamanan
kemampuan dinegosiasikan
2. Tahap kedua: Selama fase ini, otentikasi server dan pertukaran kunci
terjadi
3. Tahap ketiga: Selama tahap ini, otentikasi klien dan pertukaran kunci
terjadi
4. Fase keempat: Penyelesaian pembentukan koneksi aman.
Ubah protokol CipherSpec
Perubahan CipherSpec dikirim oleh klien atau server untuk memberi tahu pasangan lainnya
catatan selanjutnya akan dikirim melalui CipherSpec yang baru dinegosiasikan dan
kunci. Pesan ini dikirim saat jabat tangan setelah parameter keamanan
telah disepakati, tapi sebelum verifikasi selesai pesan dikirim.
Protokol peringatan
Pesan peringatan berisi informasi ke rekan tentang kejadian yang terjadi pada a
koneksi aman. Termasuk dalam alert adalah informasi tentang tingkat keparahan
pesan dan deskripsi peringatan. Tanda dibagi menjadi dua kategori, Penutupan
dan Kesalahan Tanda penutupan memberi informasi tentang mengapa sambungan aman
tertutup atau tidak bisa dibuka, sementara alert kesalahan memberikan rincian tentang kesalahan apapun
yang mungkin terjadi saat koneksi aman sedang berlangsung. Rincian tentang ini
peringatan ada di situs OMA di spesifikasi WAP-219-TLS-20010411.
Terowongan TLS nirkabel
Meski salah satu keunggulan yang diraih dengan menerapkan WAP2 adalah langsung
Koneksi dapat dibangun antara klien dan server WAP, arsitektur WAP2 masih memungkinkan proxy ada antara klien dan server. Seperti
Skenario, proses menyiapkan kemampuan TLS end-to-end menjadi lebih
rumit. Spesifikasi OMA WAP-219-TLS-20010411-spesifikasi alamat ini
dengan mendefinisikan proses pembuatan terowongan TLS di proxy.
Dalam skenario seperti itu, server proxy bertindak hanya sebagai relay data lapisan transport,
Tidak melakukan pemrosesan pada pesan yang dikirim antara server dan klien,
atau meneruskan pesan ke lapisan yang lebih tinggi dalam arsitektur. Ini diilustrasikan
pada Gambar 18-22.
EmoticonEmoticon