Đang tải... (xem toàn văn)
Trong phần này, chúng ta sẽ tìm hiểu chi tiết về bảo mật Java applet. Chúng ta cũng thảo luậnvề mô hình bảo mật JDK 1.2 đáp ứng nhu cầu người dùng và nhà phát triển.Java là một ngôn ngữ lập trình đầu tiên gởi các chương trình không tương tác như các file vănbản, file ảnh và các thông tin tĩnh thông qua World Wide Web. Các chương trình này, khônggiống như chương trình CGI, được chạy trên hệ thống của người dùng, hơn là chạy trên máy chủWeb (Web server). Bảo mật Java Applet là sự quan tâm chính giữa người dùng và nhà phát triểnapplet. Thiết tính bảo mật trong applet có thể dẫn tới sửa đổi hoặc phơi bày các dữ liệu nhạycảm. Mô hình bảo mật của Java 2, hoặc JDK 1.2 rất hữu ích cho người dùng, cũng như cho nhàphát triển. Nó giúp người dùng
Chương 10 THỰC THI BẢO MẬT Mục tiêu học: Cuối chương bạn Mơ tả cơng cụ JAR Tạo xem file JAR, liệt kê trích rút nội dung file Sử dụng chữ ký điện tử (Digital Signatures) để nhận dạng Applets Tạo cơng cụ khóa bảo mật (Security key) Làm việc với chứng số (Digital Certificate) Tìm hiểu gói Java.security 10.1 Giới thiệu Trong phần này, tìm hiểu chi tiết bảo mật Java applet Chúng ta thảo luận mơ hình bảo mật JDK 1.2 đáp ứng nhu cầu người dùng nhà phát triển Java ngơn ngữ lập trình gởi chương trình không tương tác file văn bản, file ảnh thông tin tĩnh thông qua World Wide Web Các chương trình này, khơng giống chương trình CGI, chạy hệ thống người dùng, chạy máy chủ Web (Web server) Bảo mật Java Applet quan tâm người dùng nhà phát triển applet Thiết tính bảo mật applet dẫn tới sửa đổi phơi bày liệu nhạy cảm Mơ hình bảo mật Java 2, JDK 1.2 hữu ích cho người dùng, cho nhà phát triển Nó giúp người dùng trì mức độ bảo mật cao Trong chương nay, học mơ hình bảo mật JDK 1.2 10.2 Công cụ JAR Một file JAR file lưu trữ nén công cụ lưu trữ Java tạo File tương tự chương trình PKZIP Nó chứa nhiều file file lưu trữ Điều cho phép tải trình duyệt hiệu Dùng jar với applet cải tiện đáng kể khả thực trình duyệt Vì tấc tất file biên dịch file đơn, trình duyệt cần thiết lập kết nối HTTP với web server Nén file giảm 50% thời gian tải file Để khởi động công cụ JAR, dùng câu lệnh sau dấu nhắc lệnh: jar [options][manifest] jar-file input-file(s) Tuỳ chọn Mô tả c Tạo lưu trữ t Ghi vào bảng nội dung cho lưu trữ x Trích dẫn file có tên từ lưu trữ v Tạo nguồn xuất đa dòng (verbose output) lỗi chuẩn f Xác định tên file lưu trữ m Bao hàm thông tin chứng thực từ file chứng thực xác định o Lưu trữ ‘use no zip’ nén M Không tạo file chứng thực cho mục (entries) Bảng 0.1 công cụ jar Một file chứng thực chứa thông file lưu trữ File tuỳ chọn Thậm chí file Thực thi bảo mật (Security Implemantation) 85 khơng xác định JAR tự động tạo File jar dùng lưu trữ File phải có phần mở rộng ‘.jar’ xác định dòng lệnh File đầu vào (input-file) danh sách phân cách file đặt lưu trữ Netscape Navigator Internet Explorer hỗ trợ file JAR Câu lệnh sau lưu trữ tất file class file java bao gồm thư mục xác định vào file jar gọi ‘pack’ jar cf pack.jar *.class *.java Tên câu lệnh Tạo lưu trữ Xác định lưu trữ Tên file Các file lưu trữ Hình 10.1 lệnh jar Dùng lệnh sau dấu nhắc liệt kê file file ‘pack.jar’ jar tf pack.jar Tuỳ chọn sử dụng cho bảng nội dung lưu trữ Tuỳ chọn xác định tên file lưu trữ Hình 10.2 Liệt kê file file pack.jar Để gộp file lưu trữ ‘pack.jar vào applet, mở trang HTML, thêm thuộc tính ARCHIVE=’pack.jar’ vào thẻ applet, sau: ARRCHIVE=”pack.jar” height=125 Thuộc tính cho trình duyệt nạp lưu trữ ‘pack.jar’ để tìm file ‘exr7.class’ Câu lệnh sau trích rút file nén file pack.jar: jar xvf pack.jar Mục chọn ‘x’ cho phép bạn trích rút nội dung file 10.3 Chữ ký điện tử (Digital Signature) để định danh applet Trong java, bảo mật applet web phần quan trọng Hacker viết applet nguy hiểm xuyên thủng hàng rào bảo mật Vì thế, applet hạn chế can thiệt ngôn ngữ Applet không hỗ trợ số nét đặt trưng sau: Đọc ghi file từ hệ thống nơi applet chạy Lấy thông tin file từ hệ thống Xoá file từ hệ thống Java thực tất đặc điểm trên, với applet cung cấp từ nhà cung cấp applet tin cậy, ký danh số (digitally signed) 86 Core Java Hình sau minh họa trình mã hố khố Hình 10.3 Mã hố dựa khố Trong hình trên, khố cơng cộng (public keys) dùng mã hoá giải mã Cùng ý tưởng sử dụng cho chữ ký số, thêm tính bổ sung Một chữ ký số file mã hố cung cấp chương trình nhận dạng xác nguồn gốc file Khóa bí mật tính giá trị từ file applet Người giữ khố bí mật kiểm tra nội dung đối tượng Trong định danh số, khóa riêng (private key) sử dụng để mã hóa, khố cơng cộng, dùng giải mã Trong ký danh (sign) đối tượng, người ký danh dùng thuật tốn tóm lược thơng báo MD5 để tính bảng tóm lược đối tượng Bảng tóm lược dùng dấu tay cho đối tượng bảng tóm lược mã hố dùng khóa riêng, đưa chử ký điện tử đối tượng Khố cơng cộng ký duyệt dùng để mã hoá chữ ký kiểm tra chúng Kết giải mã, giá trị tóm lược đưa Giá trị tóm lược đối tượng tính so sánh với giá trị tóm lược giải mã Nếu giá trị tóm lược (digest) đối tượng giá trị tóm lược mã hố khớp với nhau, chữ ký được xác nhận Tài liệu mô tả chữ ký gọi “Chứng thực” (Certificate) Thiết lập uỷ thác (trust), nhận dạng applet chứng nhận Chứng nhận thực thể sử dụng khóa cơng cộng đặt biệt Quyền chứng thực (a certificate authority) dùng thực chứng nhân Nhận được chứng thực từ CA (Certificate Authority), applet phải đệ trình tài liệu chứng thực nhận dạng Hiện cơng ty đưa dịch vụ xác nhận chứng thực sau: VeriSign Chứng thực Thawte Bạn thiết lập mức bảo mật khác Một applet đưa uỷ thác hồn tồn, không uỷ thác, với giúp đỡ tập lớp gọi “Quyền” (Permissions) Nhưng nhìn chung, applet giới hạn cách đầy đủ, trừ nhà phát triển ký danh applet Điều thiết lập cho nhà phát triển đáng tin cậy 10.4 Khoá bảo mật Java (Java Security key) Chúng ta cần tạo công cụ, tên là, ‘jar’, ‘jarsigner’, ‘keytool’, trước dùng applet ký danh Chúng ta cần tạo cặp khóa cơng cộng/riêng, làm cho trở nên sẵn sàng với công cụ jarsigner Thực thi bảo mật (Security Implemantation) 87 Bây giờ, tạo công dụng keystore Keystore (Lưu trữ khoá) Keystore sở liệu khoá, chứa chứng thực số dùng để nhận dạng giá trị khố cơng cộng Keytool (Cơng cự khố) Keytool cơng cụ khố bảo mật java, tạo quản lý khóa cơng cộng, khố riêng, chứng thực bảo mật Nó thực hiện: o Quản lý cặp khố cơng cộng/riêng o Lưu trữ khố cơng cộng o Dùng chứng thực để xác thực chứng thực khác o Xác thực (Authenticate) liệu nguồn Tất thông tin mà keytool quản lý lưu trữ sở liệu gọi keystore Sun có keystore mật định dùng định dạng file gọi JKS (java key store Lưu trữ khoá java) Để kiểm hệ thống bạn có keystore định dạng này, thực câu lệnh sau dấu nhắc lệnh: Keytool –list Thông báo lỗi sau xuất bạn khơng có keystore bạn Keytool error: keystore file does not exist: c:\windows\.keystore JDK tìm keystore thư mục C:\windows\ Đây vị trí chung cho file hệ thống quan trọng windows 95, 98 NT systems Tuỳ chọn keystore sử dụng lệnh keytool, sau: keytool –list keystore c:\java\try Câu lệnh cho JDK tìm keystore file gọi ‘try’ thư mục ‘C:\java\try’ Nếu khơng tìm thấy, hiển thị thơng báo lỗi Mục ‘-genkey’ sử dụng với câu lệnh keytool để tạo cặp khố cơng cộng/riêng Bạn dùng số tuỳ chọn khác Dạng đơn giản sau: keytool –genkey –alias “I” Bí danh (alias) dùng lưu trữ, thay xố cặp khố Các bí danh keytool khơng phân biệt chữ hoa Trong lệnh trên, không sử dụng tuỳ chọn keystore Nếu câu lệnh sử dụng tuỳ chọn keystore, viết lại sau: keytool –genkey –alias “I” –keystore “store” Trong lệnh trên, cặp khố lưu trữ keystore ‘store’, khơng lưu keystore mật định hệ thống Sau nhập lệnh vào, nhấn phím enter, keytool nhắc bạn nhập vào mật (password) cho keystore, sau: 88 Core Java Enter keystore password Nhập vào ‘password’ yêu cầu Tiếp theo, keytool nhắc bạn nhập vào thông tin bổ sung như: What is your first and last name? (Tên họ) [unknown] what is the name of your organization unit? [unknown]: software Development What is the name of your organization? (Tên tổ chức) [Unknown]: ABC Consultants (tư vấn ABC) What is the name of your city or Locality? (tên thành phố địa phương bạn) [Unknown]: California What is the name of your State or Province? (tên bang tỉnh bạn) [Unknown]:United States of America What is the two-letter country code for this unit?(Mã quốc gia với ký tự) [Unknown]: US Khi bạn nhập vào thông tin, keytool hiển thị thông tin sau: Is correct? [no]: Consultants, Cuối cùng, keystool nhắc bạn nhập vào mật cho khoá riêng bạn, như: Enter key password for (RETURN if same as keystore password) Thông tin sử dụng để kết hợp phân biệt tên (name) X500 với bí danh (alias) Thơng tin đưa vào trực tiếp từ mục chọn ‘-dname’ Mật sau phần biệt với mật keystore Nó dùng truy cập khố riêng cặp khố cơng cộng Mật trực tiếp rõ cách sử dụng tuỳ chọn ‘keypass’ Nếu mật không rõ, mật keystore dùng Tuỳ chọn ‘keypasswd’ dùng thay đổi mật Tuỳ chọn ‘-keyalg’ rõ thuật toán tạo cặp khoá Khi bạn tạo khoá bổ sung vào keystore, bạn dùng tuỳ chọn ‘-list’ keytool để xem khố có keystore hay khơng Để xố cặp khố từ sớ liệu, dùng lệnh sau: keytool –delete –alias aliasName ‘aliasName’ tên khoá xoá Bây giờ, tạo cặp khố riêng/cơng cộng cho file JAR, ký danh Lệnh jarsigner dùng để ký danh file JAR Nhập lệnh sau vào dấu nhắc DOS: Thực thi bảo mật (Security Implemantation) 89 jarsigner –keystore keyStore –storepass storePassword –keypass keyPassword Bảng sau cung cấp danh sách JARFileNames bí danh: Tuỳ chọn keyStore storePassword keyPassword JARFileName Alias Mô tả Tên keystore sử dụng Mật keystore Mật khoá riêng Tên file JAR ký danh Bí danh ký danh Bảng 10.2 JARFileNames bí danh Để ký danh file JAR ‘pack.jar’, với keystore ‘store’, mật để lưu trữ khoá riêng ‘password’, dùng lệnh sau: jarsigner –keystore store –storepass password –keypass password pack.jar pk ‘pk’ nghĩa tên bí danh Nếu tuỳ chọn ‘-keystore’ khơng rõ, keystore mật định dùng Để rõ chữ ký file JAR định danh, dùng tuỳ chọn ‘-verify’ jarsigner –verify pack.jar ‘pack.jar’ tên file JAR Nếu chữ ký khơng hợp lệ, ngoại lệ sau ném (thrown) Jarsigner:java.util.zip.ZipException:invalid entry size (expected 900 but got 876 bytes) Ngược lại, xuất thông báo “jar verified” (jar xác minh) Quá trình xác thực kiểm tra theo bước sau: Có file ‘.DSA’ chứa chữ ký hợp lệ cho file chữ ký SF không Có mục file chữ ký tóm lược hợp lệ cho mục tương ứng file kê khai (manifest file) 10.5 Chữ ký điện tử (Digital Certificates) Cho đến bây giờ, học cách tạo ký danh file JAR Bây giờ, học cách xuất chữ ký điện tử (digital certificates), sử dụng để xác thực chữ ký file JAR Chúng ta học nhập chữ ký điển tử từ file Chữ ký điện tử file, đối tượng, thông báo ký danh quyền chứng thực (certificate authority) The CA (Certificate authority) cấp chứng nhận giá trị khố cơng cộng Chứng nhận X.509 tổ chức International Standards Organization dạng chứng nhận số phổ biến Keytool hổ trợ chứng nhận 90 Core Java Keytool bước cần nhận chứng nhận (certificate) Chúng ta dùng chứng nhận tạo cặp khố ‘cơng cộng/riêng’ (private/public) Keytool nhập vào chứng nhận tạo ký danh Keytool tự động gắn (bundle) khố cơng cộng với chứng nhận Cùng thực thể tạo khố cơng cộng ký danh chứng nhận Đó gọi ‘self-signed certificates’ (Chứng nhận tự ký danh) Các chứng nhận chứng nhận đáng tin cậy cho định danh Tuy nhiên, chúng cần để tạo yêu cầu ký danh chứng nhận (certificate-signing request) Keytool tuỳ chọn sử dụng để tạo chứng nhận Câu lệnh sau giúp tạo chứng nhận trên: keytool –keystore store –alias mykey –certreq –file mykey.txt Cặp khoá tạo ‘mykey’ Tuỳ chọn ‘-file’ tên file, mà yêu cầu ký danh chứng nhận dùng để lưu Dùng lệnh ‘-export’ xuất chứng nhận sau: keytool –export –keystore store –alias pk –file mykey Câu lệnh hiển thị dấu nhắc sau: Enter keystore password Chứng nhận lưu trữ Để nhập chứng nhận khác vào keystore bạn, nhập câu lệnh sau: keytool import –keytool keystore –alias alias –file filename Tên tên file chứa chứng nhận nhập vào (imported certificate) Câu lệnh sau tên bí danh ‘alice’ để nhập chứng nhận file ‘mykey’ vào keystore ‘MyStore’: keytool –import –keystore MyStore –alias alice –file mykey Câu lệnh hiển thị dấu nhắc sau: Enter keystore password (Nhập vào mật keystore) Kết xuất hiển thị hai tuỳ chọn –Owner Issuer Nó hiển thị tên công ty, nghề nghiệp, tổ chức, địa điểm, bang tiền tệ Nó hiển thị số serial thời gian có giá trị Cuối cùng, hỏi có chứng nhận uỷ thác không Chứng nhận chấp thuận cho uỷ thác riêng bạn Dùng lệnh ‘-list’ liệt kê nội dung keystore sau: keystool –list –keystore Store Câu lệnh yêu yều password keystore Thực thi bảo mật (Security Implemantation) 91 Dùng tuỳ chọn ‘-alias’ liệt kê mục Dùng lệnh -delete để xố bí danh keystore, sau: keytool –delete –keystore Store –alias alias Dùng lệnh ‘-printcert’ in chứng nhận lưu trữ file, theo cách sau: keytool –printcert –file myfile Dùng lệnh ‘-help’ nhận danh sách tất lệnh keytool hổ trợ: keytool -help 10.6 Các gói bảo mật java (JAVA Security packages) Các gói bảo mật Java bao gồm: java.security Đây gói API nhân bảo mật (the core security API package) Chứa lớp giao diện (interface) hỗ trợ mã hố (encryption), tính bảng tóm lược tài liệu chữ ký điện tử java.security.acl Chứa giao diện dùng cài đặt sách điều kiển truy cập java.security.cert Cung cấp hổ trợ cho chứng nhận X.509 java.security.interfaces Định nghĩa giao diện truy cập thuật toán chữ ký điện tử (the digital signature algorithm) java.security.spec Cung cấp lớp độc lập phục thuộc vào thuật toán cho khố Tóm tắt: Nếu khả bảo mật applet khơng đảm bảo, liệu nhạy cảm sữa đổi phơi bày Mục đích JAR kết nối file mà applet sử dụng file nén đơn Điều cho phép applet nạp vào trình duyệt cách hiệu Một file kê khai (manifest file) chứa thông tin file lưu trữ Chữ ký điện tử mã hố kèm với chương trình để nhận diện xác nơi nguồn gốc file Keystore sở liệu khoá Keytool cơng cụ khố bảo mật java chứng nhận điện tử file, đối tượng, thông báo ký danh quyền chứng nhận (certificate authority) Kiểm tra kiến thức: 92 File file lưu trữ nén Tuỳ chọn _, dùng với cơng cụ jar, trích rút tên file từ lưu trữ (file) JAR tự động tạo file kê khai, chí khơng true/false Thuộc tính ,khi dùng thẻ applet, cho trình duyệt nạp file jar lưu trữ cụ Core Java thể, tìm file class nhập vào Trong chữ ký điện tử, _được dùng cho mã hoá _được dùng cho giải mã Tất thông tin keytool quản lý, lưu trữ sở liệu gọi _ keytool bước cần nhận chứng nhận true/false Gói _chứa giao diện (interfaces) dùng cài đặt sách điều kiển truy cập Bài tập: Tạo câu lệnh java thực hành động sau: Tạo file jar ‘core-java.jar’ chứa file lớp (class file) file nguồn Liệt kê nội dung file jar Tạo file html cho file CardLayoutDemo.class,file lớp chứa file jar trích rút (extract) file jar Dùng lệnh keytool với tên bí danh keystore để tạo cặp khố công cộng/riêng Ký danh file jar tạo Xác minh chữ ký (signature) Xuất chứng nhận (certificate) Liệt kê nội dung keystore 10.In chứng nhận lưu file Thực thi bảo mật (Security Implemantation) 93 ... lưu trữ Hình 10. 1 lệnh jar Dùng lệnh sau dấu nhắc liệt kê file file ‘pack.jar’ jar tf pack.jar Tuỳ chọn sử dụng cho bảng nội dung lưu trữ Tuỳ chọn xác định tên file lưu trữ Hình 10. 2 Liệt kê... rút file nén file pack.jar: jar xvf pack.jar Mục chọn ‘x’ cho phép bạn trích rút nội dung file 10. 3 Chữ ký điện tử (Digital Signature) để định danh applet Trong java, bảo mật applet web phần... applet tin cậy, ký danh số (digitally signed) 86 Core Java Hình sau minh họa trình mã hố khố Hình 10. 3 Mã hố dựa khố Trong hình trên, khố cơng cộng (public keys) dùng mã hoá giải mã Cùng ý tưởng