Áp dụng các chuẩn của W3C và OASIS trong xác thực và bảo mật web
Chính vì sự thuận tiện và hiệu quả này, giao dịch web phải đối mặt với rất nhiều rủi ro. Những vấn đề liên quan đến an toàn web bao gồm: định danh, xác thực, tin cậy, bí mật, chống chối bỏ, trao quyền....
Hiện tại, an toàn web được xem là một trọng tâm trong lĩnh vực an toàn thông tin của nhiều quốc gia và được nhiều tổ chức hoạt động trong lĩnh vực an toàn thông tin trên thế giới quan tâm. Nhiều hướng tiếp cận được đưa ra để giải quyết bài toán an toàn web. Về tổng quan, để giải quyết bài toán an toàn web, chúng ta cần nghiên cứu và giải quyết đồng bộ các vấn đề sau:
- Xây dựng chuẩn an toàn web: Các chuẩn về an toàn web đã được nghiên cứu, xây dựng và triển khai hiệu quả tại nhiều nước, cụ thể là các chuẩn về an toàn web do các tổ chức như W3C, OASIS, hãng IBM, Microsoft... đưa ra.
- Xây dựng và áp dụng các chính sách an toàn áp dụng theo khu vực, nước, tổ chức, mạng, máy chủ web,... nhằm đảm bảo an toàn về mặt hệ thống.
- Sử dụng công nghệ xây dựng ứng dụng web tiên tiến.
- Tăng cường sự hỗ trợ của mật mã để đáp ứng các yêu cầu liên quan đến an toàn ứng dụng web như: khóa, phân phối khóa, thuật toán mã hóa, khóa công khai....
Các chuẩn về an toàn web
Phần này giới thiệu một số chuẩn về an toàn web do hai tổ chức OASIS (Organization for the Advancement of Structured Information Standards) và W3C (The World Wide Web Consortium) đưa ra, cho phép chúng ta tận dụng được các mô hình an toàn đã được chứng minh và công nhận, đồng thời tạo thuận lợi cho việc tích hợp các sản phẩm xác thực và bảo mật web khác nhau.
Tổ chức W3C hướng tới việc phát triển cơ sở hạ tầng, cụ thể bằng việc đưa ra các chuẩn về chữ ký số, mã hóa và quản lý khóa như: XML Signature Syntax and Processing, XML Encryption Syntax and Processing, XML Key Management Specification (XKMS),…
Tổ chức OASIS hướng tới các ứng dụng bằng việc đưa ra các chuẩn về xác thực, trao quyền và an toàn dịch vụ web như: Security Assertion Markup Language (SAML), eXtensible Access Control Markup Language (XACML), Service Provisioning Markup Language (SPML), Web Services Security,…
Hai tổ chức W3C và OASIS có các mục đích khác nhau trong việc nghiên cứu, xây dựng và phát triển các chuẩn về an toàn web nhưng chúng có quan hệ mật thiết với nhau. Hình sau đây mô tả mối quan hệ giữa các chuẩn về an toàn web của 2 tổ chức này.
XML Signature Syntax and Processing: Là chuẩn do 2 tổ chức W3C và IETF phối hợp đưa ra, được sử dụng trong xác thực, toàn vẹn dữ liệu (chống làm giả) và chống chối bỏ. Cho phép biểu diễn chữ ký số và các thủ tục tính toán, kiểm tra chữ ký số theo cú pháp XML.
XML- Encryption Syntax and Processing: Là chuẩn của W3C, được sử dụng trong bảo mật dữ liệu. Cho phép biểu diễn tài liệu được mã hóa và các thủ tục mã hóa/giải mã chúng theo cú pháp XML.
XML Key Management Specification (XMKS): Là chuẩn của W3C, cho phép biểu diễn và quản lý (phân phối và đăng ký) khóa công khai cho các thực thể theo cú pháp XML, thích hợp với các chuẩn XML Signatures và XML Encryption. Chuẩn này bao gồm 2 phần, dịch vụ thông tin khóa XML (XML Key Information Service Specification, viết tắt là X-KISS) và dịch vụ đăng ký khóa XML (XML Key Registration Service Specification viết tắt là X-KRSS).
Security Assertion Markup Language (SAML): Là chuẩn của OASIS, cho phép biểu diễn và trao đổi dữ liệu xác thực và trao quyền giữa các thực thể theo cú pháp XML.
eXtensible Access Control Markup Language (XACML): Là chuẩn của OASIS, cho phép biểu diễn các chính sách trao quyền và quyền (xác định ai, cái gì, khi nào và truy nhập như thế nào) theo cú pháp XML.
eXtensible rights Markup Language (XrML): Là chuẩn của OASIS, gồm có 5 phần với mục đích kiểm soát việc sử dụng nội dung thông qua giấy phép (licence). Chuẩn định nghĩa một framework dựa trên XML cho phép biểu diễn các quyền, định nghĩa và quy tắc.
Service Provisioning Markup Language (SPML): Là chuẩn của OASIS, cho phép biểu diễn và trao đổi thông tin người dùng, thông tin về tài nguyên và yêu cầu cung cấp dịch vụ theo cú pháp XML.
WS-Security: Là chuẩn của OASIS, cung cấp cơ chế cho phép trao đổi các thông báo SOAP an toàn ở mức end-to-end, bằng cách sử dụng các chuẩn XML Signature Syntax and Processing để đảm bảo tính toàn vẹn và xác thực, XML Encryption Syntax and Processing để đảm bảo tính bí mật cho các thông báo SOAP. Chuẩn cũng đưa ra một số kiểu thẻ bài an toàn (Kerberos ticket, X509 certificate, SAML assertions), đồng thời cung cấp cơ chế cho phép gắn kết các thẻ bài an toàn với thông báo SOAP.
Mục đích chính của các chuẩn là cung cấp các mô hình an toàn, đưa ra cách thức giao tiếp an toàn giữa các hệ thống trong môi trường web. Nói cách khác, chúng cung cấp các khung giao tiếp an toàn trong môi trường web.
Việc áp dụng các chuẩn này tùy thuộc vào mục đích và yêu cầu sử dụng, không phụ thuộc vào công nghệ, hạ tầng khóa công khai, thuật toán mã hóa và ký. Bởi vậy, có thể nghiên cứu, áp dụng và phát triển các chính sách an toàn cụ thể phù hợp với yêu cầu của quốc gia, của tổ chức mình đặt ra, đồng thời phát triển và ứng dụng mật mã của riêng mình.
Hiện tại, việc áp dụng các chuẩn về an toàn web của tổ chức W3C và OASIS đă phổ biến ở nhiều nước và tổ chức trên thế giới, trong đó có cả Việt Nam.
Kết luận
Việc giải quyết bài toán an toàn web là một trong các vấn đề được nhiều nước và nhiều hãng bảo mật nổi tiếng trên thế giới quan tâm và đầu tư. Một trong các hướng tiếp cận để giải quyết bài toán an toàn web là áp dụng các chuẩn an toàn web do hai tổ chức W3C và OASIS đưa ra. Chuẩn cung cấp cho chúng ta các mô hình và cách thức giao tiếp an toàn giữa các hệ thống trong môi trường web. Việc áp dụng các chuẩn an toàn web cũng là một trong các mục tiêu quan trọng, nhằm tăng cường khả năng chuẩn hóa và tích hợp các sản phẩm thương mại an toàn web.