HTTPA ، بروتوكول لخدمات الويب في بيئات موثوقة

HTTPS هو البروتوكول الرئيسي لتطبيقات الويب حاليًا يوفر اتصالاً سريعًا وآمنًا بمستوى معين من السرية والنزاهة. ومع ذلك ، لا يمكن لـ HTTPS توفير ضمانات أمنية على بيانات التطبيق في الحساب ، لذلك تعرض بيئة تكنولوجيا المعلومات مخاطر ونقاط ضعف.

في ضوء ذلك ، يعتقد اثنان من موظفي Intel أنه يمكن جعل خدمات الويب أكثر أمانًا ليس فقط من خلال إجراء العمليات الحسابية في بيئات التنفيذ عن بُعد الموثوقة ، أو TEE ، ولكن أيضًا من خلال التحقق للعملاء من أن ذلك قد تم.

جوردون كينجومهندس برمجيات و هانز وانغ ، باحث مختبرات إنتل ، اقترحوا بروتوكول لجعل هذا ممكنًا. في مقال بعنوان: "المتشعب: HTTPS Attestable Protocol ”، الذي نُشر مؤخرًا على ArXiv ، يصف بروتوكول HTTP يسمى HTTPS Attestable (HTTPA) لتحسين الأمان عبر الإنترنت من خلال الاعتماد عن بُعد.

طريقة للتطبيقات للحصول على ضمان أن البيانات ستتم معالجتها بواسطة برنامج موثوق به في بيئات تنفيذ آمنة. يمكن استخدام بيئة التنفيذ الموثوقة (TEE) القائمة على الأجهزة ، مثل Intel Software Guard Extension (Intel SGX).

منذ ملحق Intel Software Guard (Intel SGX) يوفر تشفيرًا في الذاكرة للمساعدة في حماية أجهزة الكمبيوتر قيد التشغيل لتقليل مخاطر التسرب أو التعديل غير القانوني للمعلومات الخاصة. يسمح المفهوم الأساسي لـ SGX بإجراء الحساب داخل العلبة ، وهي بيئة محمية تقوم بتشفير الرموز والبيانات المتعلقة بحساب حساس للأمان.

علاوة على ذلك ، فإن SGX تقدم ضمانات أمنية من خلال الاعتماد عن بعد لعميل الويب ، بما في ذلك هوية المزود وهوية التحقق.

تقول إنتل: "نقدم هنا بروتوكول HTTP قابل للتصديق باستخدام بروتوكول HTTPS (HTTPA) ، والذي يتضمن عملية التصديق عن بُعد على بروتوكول HTTPS لمعالجة مخاوف الخصوصية والأمان".

يقول King and Wang: "باستخدام HTTPA ، يمكننا توفير ضمانات أمنية لإنشاء موثوقية خدمات الويب وضمان سلامة معالجة الطلبات لمستخدمي الويب". نعتقد أن التصديق عن بُعد سيصبح اتجاهًا جديدًا. تم اعتماده لتقليل المخاطر الأمنية لخدمات الويب ، ونقدم بروتوكول HTTPA لتوحيد التصديق على الويب والوصول إلى الخدمات بطريقة قياسية وفعالة. «

تستخدم Intel التصديق عن بُعد كواجهة أساسية للمستخدمين أو خدمات الويب لتأسيس الثقة كقناة آمنة وموثوق بها لتقديم الأسرار أو المعلومات السرية. لتحقيق هذا الهدف ، نضيف مجموعة جديدة من طرق HTTP ، بما في ذلك طلب / استجابة اختبار HTTP المبدئي ، وطلب / استجابة تصديق HTTP ، وطلب / استجابة جلسة HTTP الموثوق بها ، لتحقيق المصادقة عن بُعد التي تتيح للمستخدمين وخدمات الويب إنشاء اتصال مباشرة إلى التعليمات البرمجية قيد التشغيل.

تم تصميم HTTPA لتوفير شهادة عن بعد وضمانات الكمبيوتر السرية بين العميل والخادم عند استخدام الويب عبر الإنترنت. في حالة HTTPA ، نفترض أن العميل جدير بالثقة وأن الخادم ليس كذلك. يمكن لمستخدم العميل التحقق من هذه الضمانات ليقرر ما إذا كان يمكنه الوثوق بأعباء العمل الحاسوبية وتشغيلها على الخادم أم لا. ومع ذلك ، لا تقدم HTTPA أي ضمان بأن الخادم جدير بالثقة. يتكون HTTPA من جزأين: الاتصال والحوسبة.

فيما يتعلق بأمن الاتصالات ، يأخذ HTTPA جميع افتراضات HTTPS لأمان الاتصالات ، بما في ذلك استخدام TLS والاتصال الآمن، ولا سيما استخدام TLS والتحقق من هوية الشخص. فيما يتعلق بالأمان الحسابي ، يتطلب بروتوكول HTTPA توفير حالة ضمان إضافية للتصديق عن بُعد لأعباء عمل تكنولوجيا المعلومات لتحدث داخل المنطقة الآمنة ، بحيث يمكن لمستخدم العميل تشغيل أحمال العمل في الذاكرة المشفرة.

قال الملك ووانغ:

"نعتقد أن HTTPA يمكن أن يكون مفيدًا لبعض الصناعات ، على سبيل المثال FinTech والرعاية الصحية. وعندما سئلوا عما إذا كان البروتوكول يمكن أن يتداخل مع الخدمات التي تتطلب نطاق ترددي أو كمون صارم ، أجابوا: "ستكون هناك حاجة إلى مزيد من الاستكشاف لتأكيد أي تأثير على الأداء ؛ ومع ذلك ، لا نتوقع أي تغييرات مهمة في الأداء من بروتوكولات HTTPS الأخرى. فيما يتعلق بما إذا كان يمكن اعتماد HTTPA أم لا ، فمن غير الواضح. عندما سئلوا عما إذا كانت هناك خطط لتقديم المواصفات باعتبارها RFC أو لإجراء بعض أشكال التوحيد الأخرى ، أجابوا: "لدينا مناقشات جارية تحتاج إلى مراجعتها من قبل فريق Intel القانوني قبل أن نتمكن من اعتماد HTTPA. «

أخيرًا ، إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك الرجوع إلى التفاصيل في الرابط التالي.


كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.