Tải bản đầy đủ (.pdf) (103 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

TRIỂN KHAI CHỨNG THỰC CA CHO CÁC DỊCH VỤ MẠNG TRÊN WINDOWS SERVER 2008

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (6.05 MB, 103 trang )

LỜI CẢM ƠN

Trước hết, em xin bày tỏ lòng biết ơn đến lãnh đạo khoa Khoa Học Máy Tính
trường Cao Đẳng Cơng Nghệ Thơng Tin Hữu Nghị Việt – Hàn, tồn thể các thầy cơ
giáo đã tận tình giảng dạy trang bị cho em những kiến thức quý báu trong suốt quá
trình học tập và rèn luyện tại trường.

Em xin gửi lời cảm ơn chân thành đến cô Dương Thị Thu Hiền đã giúp em rất
nhiều trong việc góp ý chỉ ra hướng đi của đề tài và cô Dương Thị Thu Hiền đã hết
lịng góp ý, chỉnh sửa để em hoàn thiện đề tài này.

Sau cùng , em xin chuyển lời cảm ơn tất cả bạn bè những người đã động viên,
khích lệ tinh thần cho em vượt qua những khó khăn trong suốt thời gian học tập nhất là
trong thời gian thực hiện đồ án.

Để đáp lại, em sẽ cố gắng hoàn thành tốt đề tài tốt nghiệp này nhằm ra trường
đóng góp một phần sức lực nhỏ bé của mình phục vụ cho đất nước.

Xin chân thành cảm ơn !
Đà Nẵng, Ngày 2 tháng 06 năm 2013
Sinh viên thực hiện

Lê Xuân Thắng

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008

MỞ ĐẦU

 Lý do chọn đề tài.
Ngày nay mạng máy tính là một khái niệm trở nên quen thuộc với hầu hết tất cả


mọi người, đặc biệt chiếm vị trí hết sức quan trọng với các doanh nghiệp. Với xu thế
phát triển mạnh mẽ của hệ thống mạng như: mạng internet, hệ thống thương mại điện
tử, hệ thống thơng tin trong các cơ quan, doanh nghiệp,… thì vấn đề bảo mật và an
ninh mạng trở nên hết sức cần thiết.

Bảo mật và mã hóa thơng tin là một vấn đề quan trọng và có nhiều ứng dụng
trong đời sống xã hội. Ngày nay các ứng dụng mã hóa và bảo mật thông tin được sử
dụng ngày càng phổ biến hơn trong các lĩnh vực từ lĩnh vực an ninh, quân sự, quốc
phòng,… đến các lĩnh vực dân sự như thương mại điện tử, ngân hàng ….

Trong thời điểm hiện nay, khi mà mạng Internet chiếm một vai trị quan trọng thì
sự gian lận dữ liệu internet ngày càng tăng. Bạn luôn muốn mọi thông tin của bạn ln
muốn được bảo vệ với mã hóa mạnh mẽ từ các nhà cung cấp bảo mật đáng tin cậy thực
hiện việc trao đổi thông tin nhạy cảm qua Internet.

Và Secure Sockets Layer (SSL) một tiêu ch̉n an ninh cơng nghệ tồn cầu sẽ là
giải pháp mà bạn đang tìm kiếm. Việc sử dụng SSL sẽ cung cấp tính riêng tư và bảo
mật tốt hơn kết nối Internet khơng được mã hóa. Nó giảm nguy cơ bên thứ ba có thể
chặn và lạm dụng và khai thác thông tin. Chúng ta sẽ thấy an tồn, tin cậy hơn trong
việc chia sẻ thơng tin thanh tốn và thơng tin cá nhân với các nhà cung cấp dịch vụ khi
biết họ đang sử dụng giao thức SSL.

Với những lợi ích đã nói trên mà nó mang lại, nên em đã chọn đề tài “ Triển khai
chứng thực CA cho các dịch vụ mạng trên windows sv 2008 ” làm đồ án tốt nghiệp
cuối khóa của em.
 Bố cục chính của đề tài.

Chương 1: Tổng quan về SSL
Chương 2: Các phương thức tấn cơng và cách phịng chống trong SSL
Chương 3: Triển khai thực nghiệm


SVTH: Lê Xuân Thắng Trang i

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008

MỤC LỤC

MỞ ĐẦU................................................................................................................................i
MỤC LỤC ............................................................................................................................ii
DANH MỤC HÌNH VẼ ......................................................................................................iii
CHƯƠNG 1: TỔNG QUAN VỀ SSL.................................................................................1

1.1 Giới thiệu tổng quan về HTTP và HTTPs .............................................................. 1
1.2 Giới thiệu chung về SSL............................................................................................ 1
1.3 Lịch sử phát triển ...................................................................................................... 4
1.4 Cấu trúc SSL..............................................................................................................5
1.5 Các thuật tốn mã hóa ............................................................................................ 10
1.6 Lợi ích khi sử dụng giao thức SSL ......................................................................... 14
1.7 Một số dịch vụ mạng cơ bản ................................................................................... 15

1.7.1 Dịch vụ HTTP .................................................................................................... 15
1.7.2. Dịch vụ FTP ...................................................................................................... 15
1.7.3. Dịch vụ POP......................................................................................................16
1.7.4. Dịch vụ SMTP................................................................................................... 17
CHƯƠNG 2: CÁC PHƯƠNG THỨC TẤN CƠNG VÀ CÁCH PHỊNG CHỐNG
TRONG SSL....................................................................................................................... 19
2.1 Các phương thức tấn công ...................................................................................... 19
2.2 Các cách phòng chống............................................................................................. 24
CHƯƠNG 3: TRIỂN KHAI THỰC NGHIỆM............................................................... 26
3.1Giới thiệu mơ hình mạng ......................................................................................... 26

3.1.1 Mơ hình triển khai .............................................................................................. 26
3.1.2 Đặt vấn đề .......................................................................................................... 27
3.2 Chứng thực CA cho web server ............................................................................. 28
3.3 Chứng thực CA cho dịch vụ FTP...........................................................................49
3.3.1 Cài đặt và cấu hình FTP ..................................................................................... 49
3.3.2 Test thử dịch vụ FTPs trên Xp ........................................................................... 56
3.4 Triển khai CA bảo mật cho hệ thống E-mail ........................................................ 60
3.4.1 Cài đặt và cấu hình hệ thống mail server Kerio ................................................. 60
3.4.2 Triển khai Certification Authority (CA) ............................................................ 76
KẾT LUẬN......................................................................................................................... 93
TÀI LIỆU THAM KHẢO ................................................................................................. 94

SVTH: Lê Xuân Thắng Trang ii

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008

DANH MỤC HÌNH VẼ

Hình 1.1: Giao thức SSL trong mơ hình TCP/IP ........................................................5
Hình 1.2: Các giao thức con trong giao thức SSL. .....................................................6
Hình 1.3: Server và client đăng ký giấy chứng nhận từ CA .......................................6
Hình 1.4: Quá trình tạo giấy chứng chỉ (X.509) . .......................................................7
Hình 1.5:Client xác thực Server..................................................................................8
Hình 1.6: Server xác thực Client.................................................................................8
Hình 1.7: Quá trình sử dụng key đối xứng................................................................11
Hình 1.8: Các giai đoạn của DES..............................................................................12
Hình 1.9: Quá trình sử dụng key bất đối xứng..........................................................13
Hình 1.10: Quá trình sử dụng key bất đối xứng giữa người dùng A và B................13
Hình 1.11: Các dịch vụ sử dụng SSL. .......................................................................18
Hình 2.1: Giao thức HTTPS thường dùng. ...............................................................19

Hình 2.2: Quá trình Connect từ Web Browser đến Web Server...............................20
Hình 2.3: Tấn cơng giả mạo Certificate ....................................................................21
Hinh 2.4: Mô tả tấn công SSL bằng SSLStrip (1) ....................................................22
Hinh 2.5: Mô tả tấn công SSL bằng SSLStrip (2) ....................................................22
Hinh 2.6: Mô tả tấn công SSL bằng SSLStrip (3) ....................................................23
Hinh 2.7: Mô tả tấn công SSL bằng SSLStrip (4) ....................................................23
Hình 2.8: KIểm tra trang web có dùng SSL hay khơng ............................................24
Hình 2.9 : Nhận dạng tính bảo mật trang web dùng SSL .........................................25
Hình 3.1: Mơ hình triển khai.....................................................................................26
Hình 3.2: Hộp thoại chọn dịch vụ cần cài đặt ...........................................................28
Hình 3.3: Cấu hình DNS ...........................................................................................28
Hình 3.4: DNS management .....................................................................................29
Hình 3.5: Cấu hình web ............................................................................................29
Hình 3.6: Hộp thoại internet information services(IIS) manager .............................30
Hình 3.7: hộp thoại add web site...............................................................................30
Hình 3.8: Hộp thoại sites...........................................................................................31
Hình 3.9: Text chạy 2 web site cùng lúc...................................................................31
Hình3.10: Hộp thoại server manager ........................................................................32
Hình 3.11: Hộp thoại Select Server Roles ................................................................32

SVTH: Lê Xuân Thắng Trang iii

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008
Hình 3.12: Hộp thoại Select Server Roles ................................................................33
Hình 3.13: Hộp thoại installation results ..................................................................33
Hình 3.14: Hộp thoại Select Server Roles ................................................................34
Hình 3.15: Hộp thoại Select Server Roles ................................................................34
Hình 3.16: Hộp thoại set validity period...................................................................35
Hình 3.17: Hộp thoại kết thúc quá trình cài đặt CA server.......................................35
Hình 3.18: Vào giao diện CA....................................................................................36

Hình 3.19: Hộp thoại certification Authority............................................................36
Hình 3.20: Hộp thoại server certificates ...................................................................37
Hình 3.21: Hộp thoại Request sertificate ..................................................................37
Hình 3.22: Hộp thoại chọn đường dẫn lưu file .........................................................38
Hình 3.23: File yêu cầu chứng thực ..........................................................................38
Hình 3.24: Hộp thoại để liên hệ với máy chủ CA.....................................................39
Hình 3.25: Hộp thoại Request a Certificate ..............................................................39
Hình 3.26: Hộp thoại advanced certificate Request..................................................40
Hình 3.27: Hộp thoại Submit a Certificate Request or Renewal Request ................40
Hình 3.28: Hộp thoại Submit a Certificate Request or Renewal Request ................41
Hình 3.29: Hộp thoại giao diện certification Authority ............................................41
Hình 3.30: Hộp thoại giao diện certification Authority ............................................42
Hình 3.31: Hộp thoại giao diện certification Authority ............................................42
Hình 3.32: Hộp thoại để liên hệ với máy chủ CA.....................................................43
Hình 3.33: Hộp thoại View the status of a pending certificate request ....................43
Hình 3.34: Hộp thoại download file certificate issued..............................................44
Hình 3.35: Giấy chứng nhận .....................................................................................44
Hình 3.36: Hộp thoại internet information services(IIS) manager ...........................45
Hình 3.37: Hộp thoại complete certificate request ...................................................45
Hình 3.38: Hộp thoại trang web 1.............................................................................46
Hình 3.39: Hộp thoại site bindings ...........................................................................46
Hình 3.40: Hộp thoại add site binding ......................................................................46
Hình 3.41: Giao diện CMD.......................................................................................47
Hình 3.42: Giao diện CMD.......................................................................................47
Hình 3.43: Hộp thoại trang web 2.............................................................................48
Hình 3.44: Text trang web1chạy với giao thức https................................................48

SVTH: Lê Xuân Thắng Trang iv

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008

Hình 3.45: Text trang web2 chạy với giao thức https...............................................48
Hình 3.46: Hộp thoại select server roles ...................................................................49
Hình 3.47: Hộp thoại Installation results ..................................................................49
Hình 3.48: Hộp thoại cài đặt FTP server ..................................................................50
Hình 3.49: Hộp thoại End-user license agreement ...................................................50
Hình 3.50: Hộp thoại Custom setup..........................................................................51
Hình 3.51: Hộp thoại kết thúc quá trình cài đặt ........................................................51
Hình 3.52: Hộp thoại xin CA cho FTP server...........................................................52
Hình 3.53: Hộp thoại Specify Friendly Name ..........................................................52
Hình 3.54: chứng chỉ Certificate ...............................................................................53
Hình 3.55: Thư mục FTP ..........................................................................................53
Hình 3.56: Tạo FTP site ............................................................................................54
Hình 3.57: Hộp thoại Add FTP site ..........................................................................54
Hình 3.58: Hộp thoại Binding and SSL settings .......................................................55
Hình 3.59: Hộp thoại Authentication and Authorization ìnormation .......................55
Hình 3.60: Hộp thoại filezilla client..........................................................................56
Hình 3.61: Hộp thoại cài đặt FTP client ...................................................................56
Hình 3.62: Q trình cài đặt hồn tất ........................................................................57
Hình 3.63: Hộp thoại giao diện filezilla client..........................................................57
Hình 3.64: Hộp thoại Site Manager ..........................................................................58
Hình 3.65: Hộp thoại xuất hiện xác nhận giấy chứng thực.......................................58
Hình 3.67: Hộp thoại kết nối thành cơng tới FTP server ..........................................59
Hình 3.68: Hộp thoại tạo uer.....................................................................................60
Hình 3.69: Hộp thoại add e-mail vào uer..................................................................61
Hình 3.70: Hộp thoại cài đặt Mail server Kerio........................................................61
Hình 3.71: Hộp thoại License Agreement ................................................................62
Hình 3.72: Hộp thoại Setup Type .............................................................................62
Hình 3.73: Hộp thoại Destination Folder..................................................................63
Hình 3.74: Hộp thoại Ready to install the program ..................................................63
Hình 3.75: Hộp thoại configuration wizard ..............................................................64

Hình 3.76: Hộp thoại Mail Domain ..........................................................................64
Hình 3.77: Hộp thoại Administrative Account .........................................................65
Hình 3.78: Hộp thoại Message Store Directory ........................................................65

SVTH: Lê Xuân Thắng Trang v

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008
Hình 3.79: Hộp thoại InstallShield Wizard Completed ............................................66
Hình 3.80: Hộp thoại New Connection....................................................................66
Hình 3.81: Hộp thoại domains ..................................................................................67
Hình 3.82: Hộp thoại Users.......................................................................................67
Hình 3.83: Hộp thoại Import Users..........................................................................68
Hình 3.84: Hộp thoại Import Users..........................................................................68
Hình 3.85: Hộp thoại Users.......................................................................................69
Hình 3.86: Hộp thoại servises ...................................................................................69
Hình 3.87: Hộp thoại Server Manager ......................................................................70
Hình 3.88: Hộp thoại Select Features .......................................................................70
Hình 3.89: Hộp thoại Confirm Installation Selections..............................................71
Hình 3.90: Hộp thoại Installation Results .................................................................71
Hình 3.91: Hộp thoại Installation Results .................................................................72
Hình 3.92: hộp thoại Your Name ..............................................................................72
Hình 3.93: Hộp thoại Internet E-mail Address .........................................................73
Hình 3.94: Hộp thoại Setup e-mail servers ...............................................................73
Hình 3.95: hộp thoại Internet Mail Logon ................................................................74
Hình 3.96: Giao diện windows mail .........................................................................74
Hình 3.97: Hộp thoại Create Mail.............................................................................75
Hình 3.98: Thư nhận từ A gửi cho B ........................................................................75
Hình 3.99: Hộp thoại server manager .......................................................................76
Hình 3.100: Hộp thoại Select Server Roles ..............................................................76
Hình 3.101: Hộp thoại Select Role Services.............................................................77

Hình 3.102: Hộp thoại Specify Setup Type ..............................................................77
Hình 3.103: Hộp thoại Specify CA Type..................................................................78
Hình 3.104: hộp thoại Setup Private Key .................................................................78
Hình 3.105: hộp thoại Configure CA Name .............................................................79
Hình 3.106: Hộp thoại Web Server (IIS ) ................................................................79
Hình 3.107: Hộp thoại Confirm Installation Selections............................................80
Hình 3.108: Hộp thoại certsrv...................................................................................80
Hình 3.109: Hộp thoại Console1...............................................................................81
Hình 3.110: Cửa sổ Add or Remove Snap-in ...........................................................81
Hình 3.111: Hộp thoại console1................................................................................82

SVTH: Lê Xuân Thắng Trang vi

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008
Hình 3.112: Hộp thoại Before You Begin ................................................................82
Hình 3.113: Hộp thoại Request Certificates ............................................................83
Hình 3.114: Hộp thoại Certificate Installation Results .............................................83
Hình 3.115: Hộp thoại console1................................................................................84
Hình 3.116: Certificate..............................................................................................84
Hình 3.116: Certificate..............................................................................................85
Hình 3.117: Hộp thoại Create Mail...........................................................................85
Hình 3.118: Thư có đính kèm chữ ký số...................................................................86
Hình 3.119: Thư gửi cho A có mã hóa......................................................................86
Hình 3.120: Thư của B gửi cho A............................................................................87
Hình 3.121: Thư có kèm chữ ký số và mã hóa .........................................................87
Hình 3.122: Kiểm tra chữ ký số ................................................................................88
Hình 3.123: E-mail chưa sửa đổi ..............................................................................88
Hình 3.124: E-mail đã bị sửa đổi ..............................................................................89
Hình 3.125: Thư nhận được đã bị sửa đổi.................................................................90
Hình 3.126: Hộp thoại Create Mail..........................................................................91

Hình 3.127: Khơng xem được nội dung mail ...........................................................91
Hình 3.128: Mail đã mã hóa......................................................................................92
Hình 3.129: Nội dung thư B gửi cho A.....................................................................92

SVTH: Lê Xuân Thắng Trang vii

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008

CHƯƠNG 1: TỔNG QUAN VỀ SSL

1.1 Giới thiệu tổng quan về HTTP và HTTPs
- HTTP là chữ viết tắt từ Hyper Text Transfer Protocol (giao thức truyền tải siêu

văn bản). Nó là giao thức cơ bản mà World Wide Web sử dụng. HTTP xác định cách
các thơng điệp (các file văn bản, hình ảnh đồ hoạ, âm thanh, video, và các file
multimedia khác,...) được định dạng và truyền tải ra sao và những hành động nào mà
các Web server và các trình duyệt Web phải làm để đáp ứng các lệnh rất đa dạng.
Chẳng hạn, khi bạn gõ một địa chỉ Web URL vào trình duyệt Web, một lệnh HTTP sẽ
được gửi tới Web server để ra lệnh và hướng dẫn nó tìm đúng trang Web được yêu cầu
và kéo về mở trên trình duyệt Web. Như vậy, HTTP là giao thức truyền tải các file từ
một Web server vào một trình duyệt Web để người dùng có thể xem một trang Web
đang hiện diện trên Internet. HTTP là một giao thức ứng dụng của bộ giao thức
TCP/IP ( các giao thức nền tảng cho internet).

- HTTPS là viết tắt của "Hypertext Transfer Protocol Secure", Nó là một sự kết
hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS cho phép trao đổi thông
tin một cách bảo mật trên Internet. Giao thức HTTPS thường được dùng trong các giao
dịch nhậy cảm cần tính bảo mật cao.

Netscape Communications tạo ra HTTPS vào năm 1994 cho trình duyệt web

Netscape Navigator . Ban đầu, HTTPS đã được sử dụng với SSL mã hóa. Phiên bản
hiện hành của HTTPS được chính thức chỉ định bởi RFC 2818 Tháng 5 năm 2000.

HTTPS đã có lịch sử phát triển khá dài, thậm chí có thể nói rằng nó sinh cùng
thời với Web. Nhưng cho đến nay, giao thức này vẫn chỉ được sử dụng chủ yếu bởi
những trang web có hoạt động chuyển tiền, trang web của các ngân hàng hoặc các cửa
hàng trực tuyến. Nếu như có những trang web khác sử dụng HTTPS, thì họ cũng chỉ
dùng nó cho một vài tác vụ nhất định mà thôi.

1.2 Giới thiệu chung về SSL
SSL (Secure Socket Layer) là giao thức để cung cấp dịch vụ bảo mật cho lưu

lượng dữ liệu trên kênh truyền, nó sử dụng tổ hợp nhiều giải thuật nhằm mã hóa để
đảm bảo q trình trao đổi thơng tin trên mạng được bảo mật. Việc mã hóa dữ liệu
diễn ra một cách trong suốt, hỗ trợ nhiều giao thức khác chạy trên nền giao thức TCP.

Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi
qua rất nhiều các hệ thống độc lập mà không có bất kỳ sự bảo vệ nào với các thơng tin

SVTH: Lê Xuân Thắng Trang 1

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008
trên đường truyền. Không một ai kể cả người sử dụng lẫn Web server có bất kỳ sự
kiểm sốt nào đối với đường đi của dữ liệu hay có thể kiểm sốt được liệu có ai đó
thâm nhập vào thơng tin trên đường truyền. Để bảo vệ những thông tin mật trên mạng
Internet hay bất kỳ mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập
được một giao dịch an toàn:

Xác thực: đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia của kết
nối. Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực của người sử

dụng.

Mã hố: đảm bảo thơng tin khơng thể bị truy cập bởi đối tượng thứ ba. Để loại
trừ việc nghe trộm những thơng tin “nhạy cảm” khi nó được truyền qua Internet, dữ
liệu phải được mã hố để khơng thể bị đọc được bởi những người khác ngoài người
gửi và người nhận.

Toàn vẹn dữ liệu: đảm bảo thông tin không bị sai lệch và nó phải thể hiện chính
xác thơng tin gốc gửi đến.

Với việc sử dụng SSL, các Web site có thể cung cấp khả năng bảo mật thơng
tin, xác thực và tồn vẹn dữ liệu đến người dùng. SSL được tích hợp sẵn vào các
browser và Web server, cho phép người sử dụng làm việc với các trang Web ở chế độ
an toàn. Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa sẽ xuất
hiện trên thanh trạng thái của cửa sổ browser và dòng “http” trong hộp nhập địa chỉ
URL sẽ đổi thành “https”. Một phiên giao dịch HTTPS sử dụng cổng 443 thay vì sử
dụng cổng 80 như dùng cho HTTP. SSL được sử dụng phổ biến nhất trên Web, Mail,
Ftp.

Giao thức SSL được phát triển bởi Netscape, ngày nay giao thức SSL được sử
dụng rộng rãi trên World Wide Web trong việc xác thực và mã hóa thơng tin giữa
client và sever. Tổ chức IETF (Internet Engineering Task Force ) đã chuẩn hóa SSL và
đặt lại là TLS (Transport Layer Security). Mặc dù là co’ sự thay đổi về tên nhưng TLS
chỉ là một phiên bản mới của SSL.Phiên bản TLS 1.0 tương đương với phiên bản SSL
3.1.Tuy nhiên SSL là thuật ngữ được sử dụng phổ biến hơn.

SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ
cho rất nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các
giao thức ứng dụng tầng cao hơn như là HTTP (Hyper Text Transport Protocol),
IMAP ( Internet Messaging Access Protocol) và FTP (File Transport Protocol). SSL


SVTH: Lê Xuân Thắng Trang 2

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008
được sử dụng để hỗ trợ các giao dịch an toàn cho rất nhiều ứng dụng khác nhau trên
Internet và đang được sử dụng chính cho các giao dịch trên Internet.

SSL không phải là một giao thức đơn lẻ mà là một tập các thủ tục đã được chuẩn
hóa để thực hiện các nhiệm vụ bảo mật sau.

Xác thực Server: Cho phép người sử dụng xác thực được server muốn kết nối.
Lúc này, phía browser sử dụng các kỹ thuật mã hóa cơng khai để chắc chắn rằng
certificate và public ID của server là có giá trị và được cấp phát bởi một CA
(Certificate Authority) trong danh sách các CA đáng tin cậy của Client. Điều này rất
quan trọng đối với người dùng.

Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn kết
nối. Phía server cũng sử dụng các kĩ thuật mã hóa cơng khai để kiểm tra xem
Certificate và Public ID của server có giá tị hay khơng và được cấp phát bởi một CA
trong danh sách các CA đáng tin cậy của server không. Điều này rất quan trọng đối với
các nhà cung cấp.

Mã hóa kết nối: Tất cả các thơng tin trao đổi giữa client và server được mã hóa
trên đường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với
cả 2 bên khi có giao dịch mang tính riêng tư. Ngồi ra tất cả các dữ liệu được gửi đi
trên một kết nối SSL đã được mã hóa cịn được bảo vệ nhờ cơ chế tự động phát hiện
các xáo trộn, thay đổi trong dữ liệu.

Certificate Authority ( CA ) : là tổ chức phát hành các chứng thực các loại chứng
thư số cho người dùng, doanh nghiệp, máy chủ (server), mã code, phần mềm. Nhà

cung cấp chứng thực số đóng vai trị là bên thứ ba (được cả hai bên tin tưởng) để hỗ
trợ cho quá trình trao đổi thơng tin an tồn.

GlobalSign - một trong những doanh nghiệp đầu tiên trên thế giới được công
nhận là nhà cung cấp dịch vụ chứng thực chữ ký số công cộng cung cấp tất cả các loại
chứng thư, gói chứng thư, giải pháp chứng thư số cho các ngành tài chính – ngân hàng,
y tế, giáo dục và các lĩnh vực kinh doanh khác.

- Chứng thư tiêu chuẩn toàn cầu
- Tương thích với 99% các trình duyệt
- Cung cấp bởi một trong những CA uy tín nhất thế giới
- Định hướng doanh nghiệp với tất cả các dòng sản phẩm SSL

SVTH: Lê Xuân Thắng Trang 3

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008

1.3 Lịch sử phát triển

- Như chúng ta đã biết có hai giao thức bảo mật quan trọng lớp vận chuyển
(Layer Transport) có tầm quan trọng cao nhất đối với sự bảo mật của các trình ứng
dụng trên Web: đó là hai giao thức SSL và TLS.

- Nói chung, có một số khả năng để bảo vệ bằng mật mã lưu lượng dữ liệu HTTP.
Ví dụ, vào những năm 1990, tập đoàn CommerceNet đã đề xuất S-HTTP mà về cơ bản
là một cải tiến bảo mật của HTTP.Một phần thực thi của S-HTTP đã làm cho có sẵn
cơng cộng trong một phiên bản được chỉnh sửa của trình duyệt Mosaic NCSA mà
những người dùng phải mua (trái với trình duyệt Mo NCSA "ch̉n" có sẵn cơng cộng
và miễn phí trên Internet).


Tuy nhiên, cùng thời điểm Netscape Communication đã giới thiệu SSL và một
giao thức tương ứng với phiên bản đầu tiên của Netscape Navigator, Trái với tập đoàn
CommerceNet, Netscape Communications đã khơng tính phí các khách hàng của nó về
việc thực thi giao thức bảo mật của nó. Kết quả, SSL trở thành giao thức nổi bật để
cung cấp các dịch vụ bảo mật cho lưu lượng dữ liệu HTTP 1994 và S-HTTP lặng lẽ
biến mất.

Cho đến bây giờ, có ba phiên bản của SSL:
 SSL 1.0: được sử dụng nội bộ chỉ bởi Netscape Communications. Nó chứa một
sốkhiếm khuyết nghiêm trọng và không bao giờ được tung ra bên ngoài.
 SSL 2.0: được kết nhập vào Netscape Communications 1.0 đến 2.x. Nó có một
số điểm yếu liên quan đến sự hiện thân cụ thể của cuộc tấn công của đối tượng trung
gian. Trong một nỗ lực nhằm dùng sự không chắc chắn của công chúng về bảo mật
của SSL, Microsoft cũng đã giới thiệu giao thức PCT (Private Communication
Technology) cạnh tranh trong lần tung ra Internet Explorer đầu tiên của nó vào năm
1996.
 SLL 3.0: Netscape Communications đã phản ứng lại sự thách thức PCT của
Microsoft bằng cách giới thiệu SSL 3.0 vốn giải quyết các vấn đề trong SSL 2.0 và
thêm một số tính năng mới. Vào thời điểm này, Microsoft nhượng bộ và đồng ý hỗ trợ
SSL trong tất cả các phiên bản phần mềm dựa vào TCP/IP của nó (mặc dù phiên bản
riêng của nó vẫn hỗ trợ PCT cho sự tương thích ngược).

Thơng số kỹ thuật mới nhất của SSL 3.0 đã được tung ra chính thức vào tháng 3
năm 1996. Nó được thực thi trong tất cả các trình duyệt chính bao gồm ví dụ Microsoft
Internet Explorer 3.0 (và các phiên bản cao hơn), Netscape Navigator 3.0 (và các phiên

SVTH: Lê Xuân Thắng Trang 4

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008
bản cao hơn), và Open.Như được thảo luận ở phần sau trong chương này, SSL 3.0 đã

được điều chỉnh bởi IETF TLS WG.Thực tế, thông số kỹ thuật giao thức TLS 1.0 dẫn
xuất từ SSL 3.0.

1.4 Cấu trúc SSL
SSL là giao thức tầng (layered protocol), bao gồm 4 giao thức con sau:
 Giao thức SSL Handshake
 Giao thức SSL Change Cipher Spec
 Giao thức SSL Alert
 SSL Record Layer
4 giao thức con này được phân làm 2 phần chính là:
 Handshake protocols layer.
 SSL record layer.
Vị trí của các giao thức trên, tương ứng với mơ hình TCP/IP được minh hoạ theo

hình sau:

Hình 1.1: Giao thức SSL trong mơ hình TCP/IP

Theo biểu đồ trên, SSL nằm trong tầng ứng dụng của giao thức TCP/IP. Do đặc
điểm này, SSL có thể được dùng trong hầu hết mọi hệ điều hành hỗ trợ TCP/IP mà
không cần phải chỉnh sửa nhân của hệ thống hoặc ngăn xếp TCP/IP. Điều này mang
lại cho SSL sự cải tiến mạnh mẽ so với các giao thức khác như IPSec (IP Security
Protocol).Vì giao thức này đòi hỏi nhân hệ điều hành phải hỗ trợ và chỉnh sửa ngăn
xếp TCP/IP.

SVTH: Lê Xuân Thắng Trang 5

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008
 Các giao thức con trong giao thức SSL


Hình 1.2: Các giao thức con trong giao thức SSL.
Thực tế giao thức SSL không phải là một giao thức đơn mà là một bộ các giao
thức.
a. Handshake Protocol
Handshake protocol là bộ giao thức SSL phức tạp nhất.giao thức này chịu trách
nhiệm thiết lập hoặc phục hồi lại các phiên làm việc an tồn chính vì vậy giao thức này
có các chức năng chính sau:
+ Authentication( thẩm định): Xác nhận server cho các client, các tùy chọn,xác
thực các client thông qua các giấy chứng nhận(certificates) bằng các public và private
keys.
- Giấy chứng nhận là một hình thức nhận dạng bằng kỹ thuật số được ban hành
bởi một tổ chức có thẩm quyền cấp giấy chứng nhận(CA), nó chứa các thơng tin nhận
diện, thời gian hiệu lực, một khóa cơng khai, một serial, và chữ ký kĩ thuật của nhà
phát hành.

Hình 1.3: Server và client đăng ký giấy chứng nhận từ CA

SVTH: Lê Xuân Thắng Trang 6

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008
- Với mục đích xác thực,Handshake protocols sử dụng giấy chứng nhận X.509
đểxác minh danh tính của các bên nắm giữ giấy chứng nhận, đồng thời Handshake
protocols sử dụng X.509 để thực hiện các việc sau:
 Tham gia vào quá trình băm dữ liệu.trong quá trình này thì private key do CA
cung cấp sẽ được các thuật toán băm sử dụng vào quá trình tạo ra giá trị băm (MAC).
 Thiết lập độ dài của key 512 bit, 1024 bit hoặc hơn. Độ dài của key sẽ tác động
đến sự mã hóa dữ liệu, khi key có độ dài lớn thì việc mã hóa dữ liệu sẽ lâu hơn nhưng
bù là nó sẽ đảm bảo về khả năng bảo mật của dữ liệu và ngược lại. Các thuật tốn mã
hóa của RSA hoặc DSA thường sử dụng key 512 bit, 1024 bit hoặc 2018 bit.


Hình 1.4: Quá trình tạo giấy chứng chỉ (X.509) .

- CA (Certificate authority) là một bên thứ ba đáng tin cậy.CA có thể xác nhận
danh tính của bên yêu cầu cấp giấy chứng nhận (thường là một user hoặc máy tính), và
sau đó cấp giấy chứng nhận, public keys cho bên yêu cầu, CA cũng gia hạn, thu hồi
giấy chứng nhận khi cần thiết.Hiện nay có nhiều tổ chức cung cấp giấy chứng nhận
như là:

 StartCom,Cacert.. các tổ chức này chuyên cung cấp các giấy chứng nhận miễn
phí.

 Đối với Verisign,Comodo,DigiCert,Entrust,GlobalSign… thì thu phí.
Chức năng xác thực sẽ thực hiện 2 phần chính đó là:

+ Xác thực Server:Cho phép người sử dụng xác thực được server muốn kết nối.
Lúc này phía client sẽ sử dụng các thuật tốn cơng khai để chắc rằng giấy chứng
nhận(certificate) và public ID của server là có giá trị và được cấp phát bởi một CA
trong danh sách các CA đáng tin cậy của Client. Điều này rất quan trọng đối với người

SVTH: Lê Xuân Thắng Trang 7

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008
sử dụng.Ví dụ như gửi mã số credit card qua mạng thì người dùng thực sự muốn kiểm
tra server nhận thơng tin này có đúng là server mà họ định gửi đến hay không.

Hình 1.5:Client xác thực Server
+ Xác thực client: Cho phép phía server xác thực được người dùng muốn kết
nối.Phía server cũng sử dụng các kỹ thuật mã hóa cơng khai để kiểm tra xem
Certificate và public ID của server có giá trị hay khơng và được cấp phát bởi một CA
đáng tin cậy của server không. Điều này rất quan trọng đối với nhà cung cấp.Ví dụ

như một ngân hàng định gửi các thơng tin tài chính mang tính bảo mật tới một khách
hàng thì họ rất muốn kiểm tra định danh của người nhận.

SVTH: Lê Xuân Thắng Hình 1.6: Server xác thực Client Trang 8

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008
+ Trong một kết nối logic được thiết lập giữa client và server và ngược lại thì các
tham số sau sẽ được thỏa thuận.
 Version: phiên bản SSL mà hai bên server và client đang dùng.
 Random: dữ liệu chứa một tem thời gian 32 bít và một số ngẫu nhiên dài 28

byte.
 Session ID: Định danh cho phiên làm việc của server và client.
 Peer certificate: chứng nhận X.509
 CipherSuite: danh sách các thuật toán mã hoá và phương pháp trao đổi khoá mà

phía client hỗ trợ.
 Premaster secret:Được tạo ra từ Cirtificate a Premaster Secret, và được mã hóa

bằng public key (trong cirtificate).Nó được dùng để tạo ra Master Secret, master
secret được dùng để tạo ra các session key mã hóa dữ liệu trong một phiên làm
việc của server và client.
 Server public key: key công khai của server, client dùng key này để mã hóa
MAC của client, server sẽ dùng private key của nó để giải mã nhằm xác thực dữ
liệu đến.
 Server private key: như đã nói ở trên key này dùng để giải mã MAC.
 Client public key: : key công khai của client, server dùng key này để mã hóa
MAC của server, client sẽ dùng private key của nó để giải mã nhằm xác thực dữ
liệu đến.
 Client private key: dùng để giải mã dữ liệu MAC để xác thực thông tin của

server.
 Server write key: là session key của server dùng để mã hóa dữ liệu, client sẽ
dùng key này để giải mã dữ liệu mà client gửi tới
 Server write key: là session key của server dùng để mã hóa dữ liệu, client sẽ
dùng key này để giải mã dữ liệu.
 Sequence number (số thứ tự): server và client quản lý một cách riêng rẽ, các số
thứ tự này để đánh số các thông điệp gửi và nhận cho mỗi kết nối.
b. Change CipherSpec Protocol
Đây là giao thức SSL đơn giản nhất. Nó chỉ chứa một thơng điệp mang giá trị 1.
Mục đích duy nhất của thông điệp này là làm chuyển trạng thái của một phiên từ
“đang chờ” (pending) sang “bền vững” (fixed). Ví dụ khi 2 bên qui ước bộ giao thức

SVTH: Lê Xuân Thắng Trang 9

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008
nào sẽ sử dụng.Cả client và server đều phải gửi thông điệp loại này cho bên đối tác,
sau khi đã trao đổi xong thì coi như hai bên đã đồng ý với nhau.
c. Alert Protocol

Alert Protocol được các bên sử dụng để mang các thông điệp của phiên liên quan
tới việc trao đổi dữ liệu và hoạt động của các giao thức. Mỗi thông điệp của giao thức
này gồm 2 byte.Byte thứ nhất chứa một trong hai giá trị là warning (1) và fatal (2) xác
định tính nghiêm trọng của thơng điệp. Khi một trong 2 bên gửi thơng điệp có giá trị
bít đầu tiên là fatal (2) thì phiên làm việc giữa 2 bên sẽ kết thúc ngay lập tức. Byte tiếp
theo của thông điệp chứa mã lỗi xảy ra trong phiên giao dịch SSL.
d. SSL Record Protocol

SSL Record Protocol sử dụng để trao đổi tất cả các kiểu dữ liệu trong một phiên
bao gồm các thông điệp, dữ liệu của các giao thức SSL khác và dữ liệu của ứng dụng.


SSL Record Protocol liên quan đến việc bảo mật và đảm bảo tồn vẹn dữ liệu.
Mục đích của SSL Record Protocol là thu nhận những thông điệp mà ứng dụng chuẩn
bị gửi, phân mảnh dữ liệu cần truyền, đóng gói, bổ sung header tạo thành một đối
tượng gọi là bản ghi (record), bản ghi đó được mã hố và có thể truyền bằng giao thức
TCP.

Trong mô tả của RFC 2246 thì Record Layer có 4 chức năng sau:
 Tập hợp những mảng dữ liệu từ ứng dụng thành các khối để quản lý (và tập hợp
lại các dữ liệu đến chuyển đến lớp ứng dụng).
 Nén và giải nén dữ liệu chuyển đến.
 Sử dụng Message Authentication Code (MAC) để xác minh dữ liệu đến.
 Mã hoá dữ liệu băm và giải mã dữ liệu đến.

1.5 Các thuật tốn mã hóa
Tất cả các thông tin trao đổi giữa client và server sẽ được mã hóa trên đường

truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bên
khi có giao dịch mang tính riêng tư. Ngồi ra, tất cả các dữ liệu được gửi đi trên một
kết nối SSL đã được mã hố cịn được bảo vệ nhờ cơ chế tự động phát hiện các xáo
trộn, thay đổi trong dữ liệu.(đó là các thuật toán băm- hash algorithm).

SSL hỗ trợ nhiều thuật toán mã hoá. Các thuật tốn mã hố (cryptographic
algorithm hay cịn gọi là cipher) là các hàm toán học được sử dụng để mã hố thơng
tin. SSL áp dụng các thuật tốn này để thực hiện chứng thực server và client, truyền tải

SVTH: Lê Xuân Thắng Trang 10

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008
các certifitaces và thiết lập các khoá của từng phiên giao dịch (sesion key). Client và
server có thể hỗ trợ các bộ mật mã (cipher suite) khác nhau tuỳ thuộc vào nhiều yếu tố

như phiên bản SSL đang dùng, chính sách của các tổ chức về độ dài khoá mà họ cảm
thấy an toàn, điều này liên quan đến mức độ bảo mật của thông tin.

Các thuật toán mã hoá và xác thực của SSL được sử dụng bao gồm nhiều loại tuỳ
theo phiên bản SSL hỗ trợ nhưng chung quy chúng thuộc 2 kiểu mã hố:
a. Kiểu mã hóa đối xứng

Phương pháp mã hoá đối xứng là phương pháp dùng khoá riêng, nghĩa là cả bên
gửi và bên nhận phải biết cùng một khóa. Vấn đề chính trong phương pháp này là bên
gửi và bên nhận phải trao đổi khóa một cách an tồn.

Ví dụ:Khi người dùng A có thơng tin quan trọng muốn gửi cho người dùng B có
nội dung là “tài khoản ngân hàng là Viet 12345” chẳng hạn và A muốn mã hoá dữ liệu
trước khi gửi cho B, thì A sẽ sử dụng khố ví dụ là “key 1” chẳng hạn và tiến hành mã
hố nó thành chuỗi “abcd”.

Khi đó B nhận được thơng tin từ A gửi cho và dùng chính khố là “key 1” để giải
mã thơng tin mã hố đó thành dữ liệu có ý nghĩa mà A đã gửi cho.

Hình 1.7: Quá trình sử dụng key đối xứng.

Các thuật toán thường sử dụng của kiểu mã hóa đối xứng :
 DES - Data Encryption Standard : DES là kỹ thuật bảo mật khóa riêng dùng
thuật tốn để mã hóa theo từng khối 64-bit với khóa 56-bit. Thuật tốn nầy được giải
thích trong mục “Cryptography”. Khóa 56-bit cho phép khoảng một triệu mũ 4 tổ hợp
khác nhau. Ngoài ra, mỗi khối trong dịng dữ liệu được mã hóa bằng các biến dạng
khóa khác nhau, làm khó phát hiện sơ đồ mã hóa trong các thơng điệp dài.

- DES có 3 giai đoạn :


SVTH: Lê Xuân Thắng Trang 11

Triển khai chứng thực CA cho các dịch vụ mạng trên windows server 2008

Hình 1.8: Các giai đoạn của DES.

 Giai đoạn 1: Hoán vị 64 bit trong một khối
 Giai đoạn 2: ứng dụng đưa ra thao tác 16 vịng trong 64 bit
 Giai đoạn 3 : Hốn vị 64 bit sử dụng nghịch đảo của hoán vị gốc.
 Triple-DES là thuật toán mã hoá DES ba lần.
 SKIPJACK là thuật toán khoá đối xứng phân loại được thực hiện trong phần

cứng Fortezza, sử dụng bởi chính phủ Mỹ

b. Kiểu mã hóa bất đối xứng

Theo phương pháp này thì , mỗi người có một cặp khóa, một khóa bí mật và một

khóa cơng khai. Bên gởi mã hóa thơng điệp bằng khóa cơng khai của bên nhận và

thơng điệp nầy chỉ được giải mã bởi khóa bí mật của bên nhận. Như vậy vấn đề trao

đổi khóa được giải quyết vì các khóa được thơng báo cơng khai.

Thuật tốn mã hóa bất đối xứng.

Người ta chứng minh rằng luôn tồn tại 2 số P,Q với P# :

+Lấy hai số, p và q, nhân chúng n=pq; n được gọi là môđun.


+Chọn một số e nhỏ hơn n, e và (p-1)(q-1) khơng có ước số cơng cộng nào khác

ngồi 1.

+ Tìm một số khác d, mà (ed-1) là ước số của (p-1)(q-1). Giá trị e và d được gọi
là số mũ chung và số mũ riêng. d = e-1 mod ((p-1)*(q-1)).

+ Khóa cơng cộng là cặp (n,e).

+ Khóa riêng là (n,d).
+ Mã hố c=me mod n.
+ Giả mã m=cd mod n.

- Ví dụ :

SVTH: Lê Xuân Thắng Trang 12


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×