Diplomarbeit
Sicheres Applikationmanagement für mobile Endgeräte
von Gfader Peter |
|
Willkommen auf meiner J2ME Diplomarbeits Homepage.
Hier werden Ergebnisse über den Verlauf meiner Diplomarbeit
zur Verfügung gestellt.
Kurzfassung
Im Rahmen dieser Diplomarbeit wurde eine Methode bzw. ein
System zur sicheren und autorisierten Distribution von Applikationen
für Java-2-Micro-Edition-fähige (J2ME)
mobile Endgeräte entwickelt. Dabei wurde nur die Applikationsdistribution
über das Mobilfunknetzwerk betrachtet. Dieser Vorgang
wird als „Over The Air (OTA) User Initiated
Provisioning“ bezeichnet. Diese standardisierte
Verteilung von Applikationen auf die entsprechenden Endgeräte
bringt einige Sicherheitsmängel mit sich, die diese Arbeit
zu beseitigen versucht.
Ziel des entwickelten Systems, war die Integrität
der Applikationen und die Vertraulichkeit
der Transaktionen zu schützen. Deshalb darf
kein unbefugter Benutzer Zugriff auf die übertragenen
Applikationen erhalten. Ein weiterer wichtiger Aspekt ist
die Authentifizierung der verschiedenen Teilnehmer
im System, die eine Authentizität innerhalb
des Systems gewährleistet. Weiters soll die Beschaffung
von Applikationen sowohl unverbindlich anonym,
als auch bindend für registrierte Benutzer möglich
sein.
Für die Entwicklung des Projekts zu dieser Arbeit wurde
zum Teil die JSR124-Referenzimplementierung verwendet.
Die gesamte Implementierung wurde auf der Java-2-Enterprise-Edition-Plattform
durchgeführt, auf der die verschiedenen Server
für Applikationsdistribution, Bearbeitung von J2ME-Notifications
und Authentifizierung entworfen, erstellt und getestet wurden.
In dieser Arbeit wurde ein verteiltes System realisiert,
das die grundlegenden Anforderungen, der Authentifizierung
der Teilnehmer und der Authentizität
des Systems gewährleistet. Sämtliche Sicherheitsbedürfnisse
konnten nicht erfüllt werden, da ein Eingreifen und Ändern
des Standards für Applikationsdistribution nicht
erwünscht und möglich war. Bei der Entwicklung
für ein spezielles Endgerät wäre zusätzlich
die Haupteigenschaft von Java (Applikationen geräteunabhängig
ausführen) nicht mehr gegeben gewesen. In den
nächsten Versionen von J2ME sollten diese noch bestehenden
Probleme beseitigt sein, da entsprechende Sicherheitsmaßnahmen
von den Standardisierungsgremien geplant sind.
Schlagwörter
JAVA, J2ME, J2EE, JSR124, Java 2 Micro Edition, Over the
Air, MIDP, CLDC, Mobile Kommunikation, Sicheres Applikationsmanagement
Abstract
This work presents a system for authorized and
secure distribution of applications for Java
2 Micro Edition (J2ME) enabled mobile phones. Due
to the lack of security measures in the standardized J2ME
distribution mechanisms – Over the Air (OTA)
User Initiated Provisioning –, the aim of this
work is to implement and analyze a secure distribution system.
The main target of the developed system is to protect
the integrity of the applications and to keep
transactions confidential within the whole system.
No unauthorized user should get access to the applications
or to the transferred data. Another important issue is the
authentication of the different participants,
which guarantees authenticity within the
system. Additionally the download of applications should be
allowed for anonymous, noncommittal or binding distribution
including user registration.
In the development of the project the JSR124 reference
implementation was integrated. The whole system was
implemented on the Java-2-Enterprise-Edition-Platform,
which forms the base for the different servers responsible
for application distribution, processing of J2ME notifications
and authentication.
The result of this work is a distributed system,
which fulfills the basic requirements of authentication
of participants and system authenticity.
It was not possible to fulfill all security needs, because
this would require to change the Standard OTA Download,
which was not an option. However, in the next versions of
J2ME these security problems should be eliminated, because
corresponding security procedures are already planned to be
included in the J2ME standards.
Keywords
JAVA, J2ME, J2EE, JSR124, Java 2 Micro Edition, Over the
Air, MIDP, CLDC, Mobile Communication, Secure Application
Distribution
|
Thema
Worum gehts? |
Derzeitige (März 2003) Javafähige mobile Geräte
(Handy,PDA,...) besitzen keinen Standard zur sicheren bzw.
verschlüsselten Datenübertragung, ( im OTA Provisioning).
Das heisst sämtliche Daten die per Java übertragen
werden und auf dem mobilen Gerät abgespeichert werden
sind NICHT verschlüsselt.
Bei meiner Diplomarbeit geht es dabei nur um das
Herunterladen von Applikationen.
Der Download von Applikationen (Midlets) ist unverschlüsselt.
Auch bei den JAVA fähigen Geräten die über
das neue MIDP2.0 Profil (kommen Ende Sommer 2003 ) verfügen,
ist dieser Download unverschlüsselt und in keiner
Weise gesichert.
Und hier setzt meine Diplomarbeit an.
|
|
J2ME Geräte, Stand März 2003
|