Khi một tiêu chuẩn được triển khai mở rộng như XML, các doanh nghiệp quan tâm tới phương diện bảo mật. Bài báo này giới thiệu và giải thích về 5 chuẩn XML đã đề xuất để đối phó với các vấn đề bảo mật.

Mã hóa XML (Xenc)

Bên cạnh việc sử dụng các phương pháp chuẩn khi truyền tải đi các tài liệu XML, W3C và IETF đề xuất một tiêu chuẩn để mã hóa dữ liệu XML và các thẻ trong một tài liệu. Điều này để cho bạn mã hóa các phần của một tài liệu với ý nghĩ chỉ những thông tin nhạy cảm thì cần được bảo vệ. Mã hóa các thành phần của một tài liệu với các khóa khác nhau sẽ cho phép bạn phân phối các tài liệu XML tới nhiều người nhận, nhưng người nhận chỉ có thể giải mã các thành phần liên quan đến họ.

Một khi một tài liệu XML được mã hóa với phương thức đó, một thẻ kí hiệu cho thông tin mở đầu và kết thúc xuất hiện trong tài liệu xác định bởi “các thẻ  dựa vào tên mã hóa tại W3C. Tên của các thẻ  hiện tại được thay thế bởi các thẻ  -“and-“” , dữ liệu của chính nó được hiển thị như chuỗi mã hóa kết quả.

Chuẩn được đưa ra cung cấp một mức độ điều khiển dạng hạt để cho bộ cung cấp dữ liệu XML kiểm soát tính minh bạch dựa trên các khán giả. Cũng bởi vì dữ liệu tự mã hóa, nhưng không phải tập tin có thể được công nhận bởi bộ phân tích cú pháp XML và xử lý cho phù hợp.

Để biết thêm thông tin về Xenc, bạn hãy xem trang tài liệu ” W3C’s March 4, 2002 Candidate Recommendation document”.

Chữ ký XML (XML-SIG)

Chữ ký XML liên quan mật thiết tới mã hóa. Tương tự như khái niệm chữ ký xác thực bảo mật, chữ ký XML cũng được sử dụng để đảm bảo nội dung trong tài liệu XML không có gì thay đổi. Để giúp bù đắp cho mức độ biến đổi của kỹ thuật in ấn từ hệ thống tập tin và bộ phân tích cú pháp, chữ ký XML phụ thuộc khá nhiều vào khái niệm được gọi là “canonicalisation”. Điều này cho phép chữ ký thực hiện chức năng trong nhiều môi trường đa dạng như mong đợi chẳng hạn như các tài liệu XML.

Khi một chữ ký được áp dụng cho một nội dung, “canonicalisation” sử dụng các dữ liệu và các thẻ trong tập tin XML để tạo ta một chữ ký duy nhất, loại bỏ ít hơn các thông tin quan trọng hơn, chẳng hạn như ngắt dòng và các khoảng trắng tab. Khi một tài liệu được nhận, hệ thống khách hàng thực hiện sự chuyển đổi chữ ký mã hóa XML, phân biệt giữa các nội dung được mã hóa trước khi ký và nội dung được mã hóa sau khi ký. Bất cứ điều gì được mã hóa sau khi chữ ký được giải mã, và tính toàn vẹn dữ liệu được xác minh bởi áp dụng cùng phương thức “canonicalisation” đến nội dung và so sánh kết qủa so với chữ ký bao gồm cả tài liệu XML.

Khi kết hợp sử dụng mã hóa XML, chữ ký XML đảm bảo dữ liệu được gởi đi và dữ liệu nhận được là một, mà không làm tổn hại đến khách hàng mục tiêu. Để biết thêm về điều đó, bạn tham khảo thêm thông tin trong tài liệu “W3C’s February 12, 2002 Recommendation for XML Signature Syntax and Processing.”

Mô hình kỹ thuật quản lý XML quan trọng (XKMS) 

Giao thức XKMS là một tiêu chuẩn được đưa ra và được duy trì bởi W3C. Nó xác định một cách phân phối và đăng ký khóa công khai được sử dụng bởi đặc điểm kỹ thuật XML-SIG. XKMS được chia thành 2 phần: dịch vụ đăng ký khóa XML (XML Key Registration Service Specification  (X-KRSS) ) và dịch vụ thông tin khóa XML ( XML Key Information Service Specification (X-KISS)). Dịch vụ đăng ký khóa XML được dùng để đăng ký khóa công khai, và Dịch vụ thông tin khóa XML được dùng để giải quyết các khóa được cung cấp bởi một chữ ký XML.

Một vài nhà cung cấp như VeriSign đòi hỏi khá nhiều đối với giao thức này và phát triển các toolkit và các ứng dụng khác để tạo điều kiện thuận lợi thực hiện kỹ thuật này.

Định nghĩa về đặc điểm kỹ thuật này vẫn còn khá lỏng lẻo, bản thảo mới nhất được công bố vào ngày 18 tháng 3, năm 2002, bị giới hạn các yêu cầu tại thời điểm này. 

Mô hình ngôn ngữ XACML

XACML là một tài liệu từ Oasis được hình thành để củng cố sự nổ lực các bên liên quan như IBM và Trường đại học Milan. Nó được sử dụng để kết hợp với SAML (khái niệm này sẽ được giải thích sau) và đem đến một ý nghĩa lớn trong việc tiêu chuẩn hóa các quyết định kiểm soát truy cập cho tài liệu XML. XACML còn được gọi là XACL được dùng để xác định có nên cho phép truy cập đến nguồn tài nguyên hay là toàn bộ một tài liệu, hay trên nhiều tài liệu hay một phần của tài liệu.

XACML nhận yêu cầu từ SAML để xác định nếu việc truy cập đến nguồn tài nguyên có nên được chấp nhận hay không dựa trên các bộ quy tắc, hay các chính sách được xác định bởi nhà cung cấp. Trái ngược với mã hóa XML, thông tin kiểm soát truy cập được giữ trong kho lưu trữ riêng sẽ tham chiếu tới khi được yêu cầu. XPointers và XPaths được xác định bằng các thẻ trong nguồn tài nguyên XML được thông báo đến bộ phân tích cú pháp để kiểm tra các chính sách XACML và xác định nơi nào có thể tìm thấy chúng.

Một khi chính sách được ước lượng và trả về kết quả đúng hay sai để biết cái gì nên hay không nên truy cập, việc quyết định cấp phép SAML được trả về và sau đó được xử lý phù hợp.

Bạn có thể truy cập đến trang ” Oasis XACML Committee ” trong vài phút, nghiên cứu các trường hợp có thể xảy ra và bản thảo mới nhất được tạo ra vào ngày 10 tháng 3, 2002.

Mô hình ngôn ngữ  (SAML) 

SAML được quản lý bởi Oasis là bản sao của XACM, với mục đích để xử lý việc xác thực giá trị ngoại tệ thực tế và sự cấp phép các yêu cầu và phản hồi. Một yêu cầu SAML được gởi đi thông qua SOAP trên giao thức HTTP,  đến một hệ thống xử lý yêu cầu thích hợp.

Yêu cầu SAML chứa thông tin như tên người dùng và mật khẩu xác thực và các chi tiết khác về các thông tin yêu cầu cá nhân. Những thông tin này được chuyển tới một ứng dụng được thiết kế để xử lý nó với mục đích sử dụng XACML cho phép hay phủ nhận việc truy cập đến nguồn XML. 

SAML sử dụng lược đồ ” -assertion ” được duy trì bởi Oasis. Ba loại báo cáo có thể được sử dụng: sự thẩm định, quyết định ủy quyền và thuộc tính. Ba loại này được sử dụng tại nhiều thời điểm khác nhau trong một ứng dụng để xác định ai là người yêu cầu và họ đang yêu cầu những gì, hay những yêu cầu nào của họ không được chấp thuận.

Phiên bản mới nhất của tài liệu kỹ thuật này được công bố vào ngày 31 tháng 5 năm 2002. Bạn có thể tìm thấy phiên bản này tại trang “XML-Based Security Services TC (SSTC)” trên trang web của Oasis.

Một quá trình liên tục: Bảo mật XML

Trong khi không có tài liệu kỹ thuật nào được chuyển tải và thông qua đầy đủ , cả W3C và Oasis đang làm việc chăm chỉ để cung cấp các chuẩn bảo mật cho XML. Một vài giải pháp sớm có giá trị như Phaos XML từ công nghệ Phaos và alphaWork từ IBM. Nhu cầu về gia tăng bảo mật XML như là sự phổ biến sử dụng XML. Đảm bảo an toàn cho các tài liệu liên quan tới cách sử dụng của XML, nhưng các chuẩn được đề cập để thay thế đang nhanh chóng trở thành hiện thực.

Nguồn bài viết : zdnet.com