Tải bản đầy đủ (.doc) (32 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Nghiên cứu tim hiểu Giao thức SSL

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (439.59 KB, 32 trang )

Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
ĐỀ TÀI: GIAO THỨC SSL
MỤC LỤC
I. Lời nói đầu
Ngày nay vấn đề bảo mật dữ liệu rất quan trọng, thông tin dữ liệu đi và đến được các server
quản lý nhờ vào một số ứng dụng trược tiếp bởi các công cụ bảo mật trong máy Server. SSL
là một trong số các giao thức đó. SSL mã hóa thông tin đi/đến rất hiệu quả và nó được tích
hợp trong máy Server nếu bạn cài bộ Server 2000 trở lên. Nhưng hiện tại việc ứng dụng
SSL ở việc nam rất hạn chế. Sau đây nhóm trình bài về giao thức SSL.
II. Giao thức SSL (Secure Socket Layer)
1. SSL là gì?
SSL (Secure Socket Layer ) là giao thức đa mục đích được thiết kế để tạo ra các giao
tiếp giữa hai chương trình ứng dụng, nhằm mã hoá toàn bộ thông tin đi/đến, mà ngày nay
được sử dụng rộng rãi cho giao dịch điện tử như truyền số hiệu thẻ tín dụng, mật khẩu, số bí
mật cá nhân (PIN) trên Internet. Giao thức SSL tổ hợp nhiều giải thuật mã hóa nhằm đảm
bảo quá trình trao đổi thông tin trên mạng được bảo mật. Việc mã hóa dữ liệu diễn ra một
Trang - 1 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
cách trong suốt, hỗ trợ nhiều giao thức khác chạy trên nền giao thức TCP, SSL chạy ứng
dụng trên một cổng định trước (socket 443)
Giao thức SSL (Secure Socket Layer) tổ hợp nhiều giải thuật mã hóa nhằm đảm bảo
quá trình trao đổi thông tin trên mạng được bảo mật. Việc mã hóa dữ liệu diễn ra một cách
trong suốt, hỗ trợ nhiều giao thức khác chạy trên nền giao thức TCP, SSL đã kết hợp những
yếu tố sau để thiết lập được một giao dịch an toàn
: đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia của kết nối.
Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực của người sử dụng.
Mã hoá: đảm bảo thông tin không thể bị truy cập bởi đối tượng thứ ba. Để loại trừ
việc nghe trộm những thông tin “ nhạy cảm” khi nó được truyền qua Internet, dữ liệu phải
được mã hoá để không thể bị đọc được bởi những người khác ngoài người gửi và người
nhận.
Toàn vẹn dữ liệu: đảm bảo thông tin không bị sai lệch và nó phải thể hiện chính xác


thông tin gốc gửi đến.
Với việc sử dụng SSL, các Web site có thể cung cấp khả năng bảo mật thông tin, xác
thực và toàn vẹn dữ liệu đến người dùng. SSL được tích hợp sẵn vào các browser và Web
server, cho phép người sử dụng làm việc với các trang Web ở chế độ an toàn. Khi Web
browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa sẽ xuất hiện trên thanh trạng thái
của cửa sổ browser và dòng “http” trong hộp nhập địa chỉ URL sẽ đổi thành “https”.
Sercure Socket Layer (SSL) hiện nay là giao thức bảo mật rất phổ biến trên Internet trong
các hoạt động thương mại điện tử (E-Commerce). Việt Nam đang trên đường hội nhập với
nền công nghệ thông tin thế giới, nên nay mai, các hoạt động giao dịch trên mạng ở Việt
Nam cũng sẽ diễn ra sôi nổi, khi đó vấn đề bảo mật trở nên quan trọng, việc triển khai SSL
là điều thiết yếu. Tuy nhiên đến nay hình như vẫn chưa có trang Web nào ở Việt Nam sử
dụng SSL trong các giao dịch của mình.
2. Lịch sử ra đời và phát triển
Giao thức SSL được hình thành và phát triển đầu tiên năm 1994 bởi nhóm nghiên
cứu Netscape dẫn dắt bởi Elgammal và ngày nay đã trở thành chuẩn bảo mật thực hành trên
mạng Internet. Phiên bản SSL hiện nay là 3.0 và vẫn đang tiếp tục được bổ sung và hoàn
thiện. Tương tự như SSL, một giao thức khác có tên là PCT - Private Communication
Technology được đề xướng bởi Microsoft hiện nay cũng được sử dụng rộng rãi trong các
mạng máy tính chạy trên hệ điều hành Windows NT. Ngoài ra, một chuẩn của IETF
Trang - 2 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
(Internet Engineering Task Force) có tên là TLS (Transport Layer Security) dựa trên SSL
cũng được hình thành và xuất bản dưới khuôn khổ nghiên cứu của IETF Internet Draft được
tích hợp và hỗ trợ trong sản phẩm của Netscape
SSL được coi là giao thức bảo mật quan trọng lớp vận chuyển (Layer Transport) có
tầm quan trọng cao nhất đối với sự bảo mật của các trình ứng dụng trên Web.
Vào giai đoạn này, có một số khả năng để bảo vệ bằng mật mã lưu lượng dữ liệu HTTP. Ví
dụ, vào những năm 1990, tập đoàn CommerceNet đã đề xuất S-HTTP mà về cơ bản là một
cải tiến bảo mật của HTTP. Một phần thực thi của S-HTTP đã làm cho có sẵn công cộng
trong một phiên bản được chỉnh sửa của trình duyệt Mosaic NCSA mà những người dùng

phải mua (trái với trình duyệt Mo NCSA "chuẩn" có sẵn công cộng và miễn phí trên
Internet).
Tuy nhiên, cùng thời điểm Netscape Communication đã giới thiệu SSL và một giao thức
tương ứng với phiên bản đầu tiên của Netscape Navigator, Trái với tập đoàn CommerceNet,
Netscape Communications đã không tính phí các khách hàng của nó về việc thực thi giao
thức bảo mật của nó. Kết quả, SSL trở thành giao thức nổi bật để cung cấp các dịch vụ bảo
mật cho lưu lượng dữ liệu HTTP 1994.
Cho đến bây giờ, có ba phiên bản của SSL:
 SSL 1.0: được sử dụng nội bộ chỉ bởi Netscape Communications. Nó chứa một số
khiếm khuyết nghiêm trọng và không bao giờ được tung ra bên ngoài.
 SSL 2.0: được kết nhập vào Netscape Communications 1.0 đến 2.x. Nó có một số
điểm yếu liên quan đến sự hiện thân cụ thể của cuộc tấn công của đối tượng trung gian.
Trong một nỗ lực nhằm dùng sự không chắc chắn của công chúng về bảo mật của SSL,
Microsoft cũng đã giới thiệu giao thức PCT (Private Communication Technology) cạnh
tranh trong lần tung ra Internet Explorer đầu tiên của nó vào năm 1996.
 Netscape Communications đã phản ứng lại sự thách thức PCT của Microsoft bằng
cách giới thiệu SSL 3.0 vốn giải quyết các vấn đề trong SSL 2.0 và thêm một số tính năng
mới. Vào thời điểm này, Microsoft nhượng bộ và đồng ý hỗ trợ SSL trong tất cả các phiên
bản phần mềm dựa vào TCP/IP của nó (mặc dù phiên bản riêng của nó vẫn hỗ trợ PCT cho
sự tương thích ngược).
Thông số kỹ thuật mới nhất của SSL 3.0 đã được tung ra chính thức vào tháng 3 năm
1996. Nó được thực thi trong tất cả các trình duyệt chính bao gồm ví dụ Microsoft Internet
Explorer 3.0 (và các phiên bản cao hơn), Netscape Navigator 3.0 (và các phiên bản cao
Trang - 3 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
hơn), và Open. Như được thảo luận ở phần sau trong chương này, SSL 3.0 đã được điều
chỉnh bởi IETF TLS WG. Thực tế, thông số kỹ thuật giao thức TLS 1.0 dẫn xuất từ SSL 3.0.
3. Giới thiệu chung về giao thức SSL.
Như đã nói ở trên giao thức SSL được hình thành và phát triển đầu tiên năm 1994 bởi
nhóm nghiên cứu Netscape dẫn dắt bởi Elgammal và ngày nay đã trở thành chuẩn bảo mật

thực hành trên mạng Internet. Phiên bản SSL hiện nay là 3.0 và vẫn đang tiếp tục được bổ
sung và hoàn thiện. SSL là giao thức tầng (layered protocol), bao gồm 4 giao thức con sau:
 Giao thức SSL Handshake
 Giao thức SSL Change Cipher Spec
 Giao thức SSL Alert
 SSL Record Layer
4. Các thuật toán mã hoá dùng trong SSL
Các thuật toán mã hoá (cryptographic algorithm hay còn gọi là cipher) là các hàm
toán học được sử dụng để mã hoá và giải mã thông tin. Giao thức SSL hỗ trợ rất nhiều các
thuật toán mã hoá, được sử dụng để thực hiện các công việc trong quá trình xác thực server
và client, truyền tải các certificates và thiết lập các khoá của từng phiên giao dịch (sesion
key). Client và server có thể hỗ trợ các bộ mật mã (cipher suite) khác nhau tuỳ thuộc vào
nhiều yếu tố như phiên bản SSL đang dùng, chính sách của công ty về độ dài khoá mà họ
cảm thấy chấp nhận được - điều này liên quan đến mức độ bảo mật của thông tin, ….
Các bộ mật mã được trình bày ở phần sau sẽ đề cập đến các thuật toán sau:
 DES (Data Encryption Standard) là một thuật toán mã hoá có chiều dài khoá là 56
bit.
 3-DES (Triple-DES): là thuật toán mã hoá có độ dài khoá gấp 3 lần độ dài khoá
trong mã hoá DES
 DSA (Digital Signature Algorithm): là một phần trong chuẩn về xác thực số đang
được được chính phủ Mỹ sử dụng.
 KEA (Key Exchange Algorithm) là một thuật toán trao đổi khoá đang được chính
phủ Mỹ sử dụng.
 MD5 (Message Digest algorithm) được phát thiển bởi Rivest.
 RSA: là thuật toán mã hoá công khai dùng cho cả quá trình xác thực và mã hoá dữ
liệu được Rivest, Shamir, and Adleman phát triển.
Trang - 4 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
 RSA key exchange: là thuật toán trao đổi khoá dùng trong SSL dựa trên thuật toán
RSA.

 RC2 and RC4: là các thuật toán mã hoá được phát triển bởi Rivest dùng cho RSA
Data Security.
 SHA-1 (Secure Hash Algorithm): là một thuật toán băm đang được chính phủ Mỹ
sử dụng.
Các thuật toán trao đổi khoá như KEA, RSA key exchange được sử dụng để 2 bên
client và server xác lập khoá đối xứng mà họ sẽ sử dụng trong suốt phiên giao dịch SSL. Và
thuật toán được sử dụng phổ biến là RSA key exchange.
Các phiên bản SSL 2.0 và SSL 3.0 hỗ trợ cho hầu hết các bộ mã hoá. Người quản trị
có thể tuỳ chọn bộ mã hoá sẽ dùng cho cả client và server. Khi một client và server trao đổi
thông tin trong giai đoạn bắt tay (handshake), họ sẽ xác định bộ mã hoá mạnh nhất có thể và
sử dụng chúng trong phiên giao dịch SSL.
III.Cấu trúc SSL
1. Cấu trúc SSL
Vị trí của các giao thức trên, tương ứng với mô hình TCP/IP được minh hoạ theo
biểu đồ sau:
Trang - 5 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành

Theo hình này, SSL ám chỉ một lớp (bảo mật) trung gian giữa lớp vận chuyển (Transport
Layer) và lớp ứng dụng (Application Layer). SSL được xếp lớp lên trên một dịch vụ vận
chuyển định hướng nối kết và đáng tin cậy, chẳng hạn như được cung cấp bởi TCP. Về khả
năng, nó có thể cung cấp các dịch vụ bảo mật cho các giao thức ứng dụng tùy ý dựa vào
TCP chứ không chỉ HTTP. Thực tế, một ưu điểm chính của các giao thức bảo mật lớp vận
chuyển (Transport layer) nói chung và giao thức SSL nói riêng là chúng độc lập với ứng
dụng theo nghĩa là chúng có thể được sử dụng để bảo vệ bất kỳ giao thức ứng dụng được
xếp lớp lên trên TCP một cách trong suốt. Hình 1.1 minh họa một số giao thức ứng dụng
điển hình bao gồm NSIIOP, HTTP, FTP, Telnet, IMAP, IRC, và POP3. Tất cả chúng có thể
được bảo vệ bằng cách xếp lớn chúng lên trên SSL (mẫu tự S được thêm vào trong các từ
ghép giao thức tương ứng chỉ định việc sử dụng SSL). Tuy nhiên, chú ý rằng SSL có một
định hướng client-server mạnh mẽ và thật sự không đáp ứng các yêu cầu của các giao thức

ứng dụng ngang hàng.
Nhìn chung, giao thức SSL cung cấp sự bảo mật truyền thông vốn có ba đặc tính cơ bản:
1. Các bên giao tiếp (nghĩa là client và server) có thể xác thực nhau bằng cách sử dụng
mật mã khóa chung.
2. Sự bí mật của lưu lượng dữ liệu được bảo vệ vì nối kết được mã hóa trong suốt sau khi
một sự thiết lập quan hệ ban đầu và sự thương lượng khóa session đã xảy ra.
3. Tính xác thực và tính toàn vẹn của lưu lượng dữ liệu cũng được bảo vệ vì các thông
báo được xác thực và được kiểm tra tính toàn vẹn một cách trong suốt bằng cách sử dụng
MAC.
Tuy nhiên, điều quan trọng cần lưu ý là SSL không ngăn các cuộc tấn công phân tích lưu
Trang - 6 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
lượng. Ví dụ, bằng cách xem xét các địa chỉ IP nguồn và đích không được mã hóa và các sô
cổng TCP, hoặc xem xét lượng dữ liệu được truyền, một người phân tích lưu lượng vẫn có
thể xác định các bên nào đang tương tác, các loại dịch vụ đang được sử dụng, và đôi khi
ngay cả dành được thông tin về các mối quan hệ doanh nghiệp hoặc cá nhân. Hơn nữa, SSL
không ngăn các cuộc tấn công có định hướng dựa vào phần thực thi TCP, chẳng hạn như
các cuộc tấn công làm tràn ngập TCP SYN hoặc cưỡng đoạt session.
Để sử dụng sự bảo vệ SSL, cả client lẫn server phải biết rằng phía bên kia đang sử dụng
SSL. Nói chung, có ba khả năng để giải quyết vấn đề này:
1. Sử dụng các số cổng chuyên dụng được dành riêng bởi Internet Asigned Numbers
Authority (IANA). Trong trường hợp này, một số cổng riêng biệt phải được gán cho mọi
giao thức ứng dụng vốn sử dụng SSL.
2. Sử dụng số cổng chuẩn cho mọi giao thức ứng dụng và để thương lượng các tùy chọn
bảo mật như là một phần của giao thức ứng dụng (bây giờ được chỉnh sửa đôi chút).
3. Sử dụng một tùy chọn TCP để thương lượng việc sử dụng một giao thức bảo mật,
chẳng hạn như SSL trong suốt giai đoạn thiết lập nối kết TCP thông thường.
Sự thương lượng dành riêng cho ứng dụng của các tùy chọn bảo mật (nghĩa là khả năng
thứ hai) có khuyết điểm là đòi hỏi mọi giao thức ứng dụng được chỉnh sửa để hiểu tiến trình
thương lượng. Ngoài ra, việc xác định một tùy chọn TCP (nghĩa là khả năng thứ ba) là một

giải pháp tốt, nhưng đó không được thảo luận nghiêm túc cho đến bây giờ. Thực tế, các số
cổng riêng biệt đã được dành riêng và được gán bởi IANA cho mọi giao thức ứng dụng vốn
có thể chạy trên SSL hoặc TLS (nghĩa là khả năng thứ nhất). Tuy nhiên, hãy chú ý việc sử
dụng các số cổng riêng biệt cũng có khuyết điểm là đòi hỏi hai nối kết TCP nếu client
không biết những gì mà server hỗ trợ. Trước tiên, client phải nối kết với cổng an toàn và sau
đó với cổng không an toàn hay ngược lại. Rất có thể các giao thức sau này sẽ hủy bỏ
phương pháp này và tìm khả năng thứ hai. Ví dụ, SALS (Simple Authentication và Security
Layer) xác định một phù hợp để thêm sự hỗ trợ xác thực vào các giao thức ứng dụng dựa
vào kết nối. Theo thông số kỹ thuật SALS, việc sử dụng các cơ chế xác thực có thể thương
lượng giữa client và server của một giao thức ứng dụng đã cho.
Các số cổng được gán bởi IANA cho các giao thức ứng dụng vốn chạy trên SSL/TLS
được tóm tắt trong bảng 1.2 và được minh họa một phần trong hình 1.1. Ngày nay, "S" chỉ
định việc sử dụng SSL được thêm (hậu tố) nhất quán vào các từ ghép của các giao thức ứng
Trang - 7 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
dụng tương ứng (trong một số thuật ngữ ban đầu, S được sử dụng và được thêm tiền tố một
cách không nhất quán và một số từ ghép).
 !"#$%&'()*
Từ khóa Cổng Mô tả
Nsiiop 261 Dịch vụ tên IIOP trên TLS/SSL
https 443 HTTP trên TLS/SSl
Smtps 465 SMTP trên TLS/SSL
Nntps 563 NNTP trên TLS/SSL
Ldaps 636 LDAP trên TLS/SSL
Ftps-data 989 FTP (dữ liệu) trên TLS/SSL
Ftps 990 FTP (Điều khiển) trên TLS/SSL
Tenets 992 TELNET trên TLS/SSL
Imaps 994 IRC trên TLS/SSL
Pop3s 995 POP3 trên TLS/SSL
Nói chung, một session SSL có trạng thái và giao thức SSL phải khởi tạo và duy trì

thông tin trạng thái ở một trong hai phía của session. Các phần tử thông tin trạng thái
session tương ứng bao gồm một session ID, một chứng nhận ngang hàng, một phương pháp
nén, một thông số mật mã, một khóa mật chính và một cờ vốn chỉ định việc session có thể
tiếp tục lại hay không, được tóm tắt trong bảng 1.3. Một session SSL có thể được sử dụng
trong một số kết nối và các thành phần thông tin trạng thái nối kết tương ứng được tóm tắt
trong bảng 1.4. Chúng bao gồm các tham số mật mã, chẳng hạn như các chuỗi byte ngẫu
nhiên server và client, các khóa mật MAC ghi server và client, các khóa ghi server và client,
một vector khởi tạo và một số chuỗi. Ở trong hai trường hợp, điều quan trọng cần lưu ý là
các phía giao tiếp phải sử dụng nhiều session SSL đồng thời và các session có nhiều nối kết
đồng thời.
+,-.&/
Thành Phần Mô tả
Session ID
Định danh được chọn bởi server để nhận dạng một
trạng thái session hoạt động hoặc có thể tiếp tục lại.
Peer certificate
Chứng nhân X.509 phiên bản 3 của thực thể ngang
hàng.
Compression
method
Thuật toán dừng để nén dữ liệu trước khi mã hóa
Cipher spec Thông số của các thuật toán mã hóa dữ liệu và MAC
Master secret Khóa mật 48-byte được chia sẻ giữa client và server.
Trang - 8 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
Is resumable
Cờ vốn biểu thị session có thể được sử dụng để bắt đầu
các nối kết mới hay không.
0,-.&12
Thành Phần Mô tả

Ngẫu nhiên
server và client
Các chuỗi byte được chọn bởi server và client cho mỗi nối
kết.
Khóa mật MAC
ghi server
Khóa mật được sử dụng cho các hoạt động MAC trên dữ
liệu được ghi bởi server.
Khóa mật MAC
ghi client
Khóa mật được sử dụng cho các hoạt động MAC trên dữ
liệu được ghi bởi client.
Khóa ghi server
Khóa được sử dụng cho việc mã hóa dữ liệu bởi server và
giải mã bởi client
Khóa ghi client
Khóa được sử dụng để mã khóa dữ liệu bởi client và giải
mã bởi server.
Initialization
vector
Trạng thái khởi tạo cho một mật mã khối trong chế độ
CBC. Trường này được khởi tạo đầu tiên bởi SSL
Handshake Player. Sau đó, khối text mật mã sau cùng từ
mỗi bản ghi được dành riêng để sử dụng vởi bản ghi sau
đó.
Số chuỗi
Mỗi phía duy trì các số chuỗi riêng biệt cho các thông báo
được truyền và được nhận cho mỗi nối kết.
Như được minh họa trong hình 1.1, giao thức SSL gồm hai phần chính, SSL Record
Protocol và một số giao thức con SSL được xếp lớp trên nó:

- Record OK được xếp lớp trên một dịch vụ lớp vận chuyển định hướng nối kết và
đáng tin cậy, chẳng hạn như được cung cấp bởi TCP và cung cấp sự xác thực nguồn gốc
thông báo, sự bí mật dữ liệu và dữ liệu.
- Các dịch vụ toàn vẹn (bao gồm nhưng thứ như chống xem lại).
- Các giao thức con SSL được xếp lớp trên SSL Record Protocol để cung cấp sự hỗ
trợ cho việc quản lý session SSL và thiết lập nối kết.
Giao thức con SSL quan trọng nhất là SSL Handshake Protocol. Lần lượt giao thức này là
một giao thức xác thực và trao đổi khóa vốn có thể được sử dụng để thương lượng, khởi tạo
và đồng bộ hóa các tham số bảo mật và thông tin trạng thái tương ứng được đặt ở một trong
hai điểm cuối của một session hoặc nối kết SSL.
Sau khi SSL Handshake Protocol đã hoàn tất, dữ liệu ứng dụng có thể được gửi và được
Trang - 9 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
nhận bằng cách sử dụng SSL Record Protocol và các tham số bảo mật được thương lượng
và các thành phần thông tin trạng thái.
Được phát triển bởi Netscape, ngày nay giao thức Secure Socket Layer (SSL) đã được sử
dụng rộng rãi trên World Wide Web trong việc xác thực và mã hoá thông tin giữa client và
server. Tổ chức IETF (Internet Engineering Task Force ) đã chuẩn hoá SSL và đặt lại tên là
TLS (Transport Layer Security). Mặc dù là có sự thay đổi về tên nhưng TSL chỉ là một
phiên bản mới của SSL. Phiên bản TSL 1.0 tương đương với phiên bản SSL 3.1. Tuy nhiên
SSL là thuật ngữ được sử dụng rộng rãi hơn.
SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều
ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức ứng dụng
tầng cao hơn như là HTTP (Hyper Text Transport Protocol), IMAP ( Internet Messaging
Access Protocol) và FTP (File Transport Protocol). Trong khi SSL có thể sử dụng để hỗ trợ
các giao dịch an toàn cho rất nhiều ứng dụng khác nhau trên Internet, thì hiện nay SSL được
sử dụng chính cho các giao dịch trên Web.
SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để
thực hiện các nhiệm vụ bảo mật sau:


// Cho phép người sử dụng xác thực được server muốn kết nối. Lúc
này, phía browser sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằng certificate và
public ID của server là có giá trị và được cấp phát bởi một CA (certificate authority) trong
danh sách các CA đáng tin cậy của client. Điều này rất quan trọng đối với người dùng. Ví
dụ như khi gửi mã số credit card qua mạng thì người dùng thực sự muốn kiểm tra liệu server
sẽ nhận thông tin này có đúng là server mà họ định gửi đến không.

3/ Cho phép phía server xác thực được người sử dụng muốn kết nối.
Phía server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xem certificate và
public ID của server có giá trị hay không và được cấp phát bởi một CA (certificate
authority) trong danh sách các CA đáng tin cậy của server không. Điều này rất quan trọng
đối với các nhà cung cấp. Ví dụ như khi một ngân hàng định gửi các thông tin tài chính
mang tính bảo mật tới khách hàng thì họ rất muốn kiểm tra định danh của người nhận.

4512 Tất cả các thông tin trao đổi giữa client và server được mã hoá
trên đường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai
bên khi có các giao dịch mang tính riêng tư. Ngoài ra, tất cả các dữ liệu được gửi đi trên một
Trang - 10 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
kết nối SSL đã được mã hoá còn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn,
thay đổi trong dữ liệu. ( đó là các thuật toán băm – hash algorithm).
Giao thức SSL bao gồm 2 giao thức con: giao thức SSL record và giao thức SSL handshake.
Giao thức SSL record xác định các định dạng dùng để truyền dữ liệu. Giao thức SSL
handshake (gọi là giao thức bắt tay) sẽ sử dụng SSL record protocol để trao đổi một số
thông tin giữa server và client vào lấn đầu tiên thiết lập kết nối SSL
2. Giao thức SSL làm việc
Điểm cơ bản của SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí
mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ
như webserver và các trình duyệt khách (browsers), do đó được sử dụng rộng rãi trong
nhiều ứng dụng khác nhau trên môi trường Internet.

Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được
phổ biến công khai, trừ khoá chia xẻ tạm thời (session key) được sinh ra tại thời điểm trao
đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạng máy
tính.
Ngoài ra, giao thức SSL còn đỏi hỏi ứng dụng chủ phải được chứng thực bởi một đối
tượng lớp thứ ba (CA) thông qua giấy chứng thực điện tử (digital certificate) dựa trên mật
mã công khai (thí dụ RSA). Sau đây ta xem xét một cách khái quát cơ chế hoạt động của
SSL để phân tích cấp độ an toàn của nó và các khả năng áp dụng trong các ứng dụng nhạy
cảm, đặc biệt là các ứng dụng về thương mại và thanh toán điện tử
Giao thức SSL dựa trên hai nhóm con giao thức là giao thức “bắt tay” (handshake
protocol) và giao thức “bản ghi” (record protocol). Giao thức bắt tay xác định các tham số
giao dịch giữa hai đối tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản
ghi xác định khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều giữa hai đối tượng đó.
Khi hai ứng dụng máy tính, thí dụ giữa một trình duyệt web và máy chủ web, làm
việc với nhau, máy chủ và máy khách sẽ trao đổi “lời chào” (hellos) dưới dạng các thông
điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các chuẩn về
thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng dụng.
Ngoài ra, các ứng dụng còn trao đổi “số nhận dạng/khoá theo phiên” (session ID,
session key) duy nhất cho lần làm việc đó. Sau đó ứng dụng khách (trình duyệt) yêu cầu có
chứng thực điện tử (digital certificate) xác thực của ứng dụng chủ (web server).
Trang - 11 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
Chứng thực điện tử thường được xác nhận rộng rãi bởi một cơ quan trung gian (là
CA -Certificate Authority) như RSA Data Sercurity hay VeriSign Inc., một dạng tổ chức
độc lập, trung lập và có uy tín. Các tổ chức này cung cấp dịch vụ “xác nhận” số nhận dạng
của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận
dạng (identity) cho các giao dịch trên mạng, ở đây là các máy chủ webserver.
Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công
khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các thông tin trong chứng
chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể giải mã.

Trên cơ sở đó, hai ứng dụng trao đổi khoá chính (master key) - khoá bí mật hay khoá
đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ liệu qua lại giữa hai ứng dụng
chủ khách. Toàn bộ cấp độ bảo mật và an toàn của thông tin/dữ liệu phụ thuộc vào một số
tham số: (i) số nhận dạng theo phiên làm việc ngẫu nhiên; (ii) cấp độ bảo mật của các thuật
toán bảo mật áp dụng cho SSL; và (iii) độ dài của khoá chính (key length) sử dụng cho lược
đồ mã hoá thông tin.
IV. Bảo mật với SSL
1. Cách thức
I - SSL Record Protocol:
SSL Record Protocol nhận dữ liệu từ các giao thức con SSL lớp cao hơn và xử lý
việc phân đoạn, nén, xác thực và mã hóa dữ liệu. Chính xác hơn, giao thức này lấy một khối
dữ liệu có kích cỡ tùy ý làm dữ liệu nhập và tạo một loạt các đoạn dữ liệu SSL làm dữ liệu
xuất (hoặc còn được gọi là các bản ghi) nhỏ hơn hoặc bằng 16,383 byte.
Trang - 12 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
Các bước SSL Record Protocol.
Các bước khác nhau của SSL Record Protocol vốn đi từ một đoạn dữ liệu thô đến
một bản ghi SSL Plaintext (bước phân đoạn), SSL Compressed (bước nén) và SSL
Ciphertext (bước mã hóa) được minh họa trong hình trên. Sau cùng, mỗi bản ghi SSL chứa
các trường thông tin sau đây:
- Loại nội dung;
- Số phiên bản của giao thức;
- Chiều dài;
- Tải trọng dữ liệu (được nén và được mã hóa tùy ý);
- MAC.
Loại nội dung xác định giao thức lớp cao hơn vốn phải được sử dụng để sau đó xử lý
tải trọng dữ liệu bản ghi SSL (sau khi giải nén và giải mã hóa thích hợp).
Số phiên bản của giao thức xác định phiên bản SSL đang sử dụng (thường là version 3.0)
Mỗi tải trọng dữ liệu bản ghi SSL được nén và được mã hóa theo phương thức nén hiện
hành và thông số mật mã được xác định cho session SSL.

Lúc bắt đầu mỗi session SSL, phương pháp nén và thông số mật mã thường được xác
định là rỗng. Cả hai được xác lập trong suốt quá trình thực thi ban đầu SSL Handshake
Protocol. Sau cùng, MAC được thêm vào mỗi bản ghi SSL. Nó cung cấp các dịch vụ xác
thực nguồn gốc thông báo và tính toàn vẹn dữ liệu. Tương tự như thuật toán mã hóa, thuật
toán vốn được sử dụng để tính và xác nhận MAC được xác định trong thông số mật mã của
trạng thái session hiện hành. Theo mặc định, SSL Record Protocol sử dụng một cấu trúc
Trang - 13 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
MAC vốn tương tự nhưng vẫn khác với cấu trúc HMAC hơn. Có ba điểm khác biệt chính
giữa cấu trúc SSL MAC và cấu trúc HMAC:
1. Cấu trúc SSL MAC có một số chuỗi trong thông báo trước khi hash để ngăn các hình
thức tấn công xem lại riêng biệt.
2. Cấu trúc SSL MAC có chiều dài bản ghi.
3. Cấu trúc SSL MAC sử dụng các toán tử ghép, trong khi cấu trúc MAC sử dụng moduloe
cộng 2.
Tất cả những điểm khác biệt này hiện hữu chủ yếu vì cấu trúc SSL MAC được sử
dụng trước cấu trúc HMAC trong hầu như tất cả thông số kỹ thuật giao thức bảo mật
Internet. Cấu trúc HMAC cũng được sử dụng cho thông số kỹ thuật giao thức TLS gần đây
hơn.
Như được minh họa trong hình, một số giao thức con SSL được xếp lớp trên SSL Record
Protocol. Mỗi giao thức con có thể tham chiếu đến các loại thông báo cụ thể vốn được gửi
bằng cách sử dụng SSL Record Protocol. Thông số kỹ thuật SSL 3.0 xác định ba giao thức
SSL sau đây:
- Alert Protocol;
- Handshake Protocol;
- ChangeCipherSpec Protocol;
Tóm lại, SSL Alert Protocol được sử dụng để chuyển các cảnh báo thông qua SSL Record
Protocol. Mỗi cảnh báo gồm 2 phần, một mức cảnh báo và một mô tả cảnh báo.
SSL Handshake Protocol là giao thức con SSL chính được sử dụng để hỗ trợ xác thực client
và server và để trao đổi một khóa session.

Sau cùng, SSL ChangeCipherSpec Protocol được sử dụng để thay đổi giữa một thông số
mật mã này và một thông số mật mã khác. Mặc dù thông số mật mã thường được thay đổi ở
cuối một sự thiết lập quan hệ SSL, nhưng nó cũng có thể được thay đổi vào bất kỳ thời điểm
sau đó. Ngoài những giao thức con SSL này, một SSL Application Data Protocol được sử
dụng để chuyển trực tiếp dữ liệu ứng dụng đến SSL Record Protocol.
SSL handshake
Giao thức SSL sử dụng kết hợp 2 loại mã hoá đối xứng và công khai. Sử dụng mã
hoá đối xứng nhanh hơn rất nhiều so với mã hoá công khai khi truyền dữ liệu, nhưng mã
hoá công khai lại là giải pháp tốt nhất trong qúa trình xác thực. Một giao dịch SSL thường
Trang - 14 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
bắt đầu bởi quá trình “bắt tay” giữa hai bên (SSL handshake). Các bước trong quá trình “bắt
tay” có thể tóm tắt như sau:
1. Client sẽ gửi cho server số phiên bản SSL đang dùng, các tham số của thuật toán
mã hoá, dữ liệu được tạo ra ngẫu nhiên (đó chính là digital signature) và một số thông tin
khác mà server cần để thiết lập kết nối với client.
2. Server gửi cho client số phiên bản SSL đang dùng, các tham số của thuật toán mã
hoá, dữ liệu được tạo ra ngẫu nhiên và một số thông tin khác mà client cần để thiết lập kết
nối với server. Ngoài ra server cũng gửi certificate của nó đến client, và yêu cầu certificate
của client nếu cần.
3. Client sử dụng một số thông tin mà server gửi đến để xác thực server. Nếu như
server không được xác thực thì người sử dụng sẽ được cảnh báo và kết nối không được thiết
lập. Còn nếu như xác thực được server thì phía client sẽ thực hiện tiếp bước 4.
4. Sử dụng tất cả các thông tin được tạo ra trong giai đoạn bắt tay ở trên, client (cùng
với sự cộng tác của server và phụ thuộc vào thuật toán được sử dụng) sẽ tạo ra premaster
secret cho phiên làm việc, mã hoá bằng khoá công khai (public key) mà server gửi đến trong
certificate ở bước 2, và gửi đến server.
5. Nếu server có yêu cầu xác thực client, thì phía client sẽ đánh dấu vào phần thông
tin riêng chỉ liên quan đến quá trình “bắt tay” này mà hai bên đều biết. Trong trường hợp
này, client sẽ gửi cả thông tin được đánh dấu và certificate của mình cùng với premaster

secret đã được mã hoá tới server.
6. Server sẽ xác thực client. Trường hợp client không được xác thực, phiên làm việc
sẽ bị ngắt. Còn nếu client được xác thực thành công, server sẽ sử dụng khoá bí mật (private
key) để giải mã premaster secret, sau đó thực hiện một số bước để tạo ra master secret.
7. Client và server sẽ sử dụng master secret để tạo ra các session key, đó chính là các
khoá đối xứng được sử dụng để mã hoá và giải mã các thông tin trong phiên làm việc và
kiểm tra tính toàn vẹn dữ liệu.
8. Client sẽ gửi một lời nhắn đến server thông báo rằng các message tiếp theo sẽ
được mã hoá bằng session key. Sau đó nó gửi một lời nhắn đã được mã hoá để thông báo
rằng phía client đã kết thúc giai đoạn “bắt tay”.
9. Server cũng gửi một lời nhắn đến client thông báo rằng các message tiếp theo sẽ
được mã hoá bằng session key. Sau đó nó gửi một lời nhắn đã được mã hoá để thông báo
rằng server đã kết thúc giai đoạn “bắt tay”.
Trang - 15 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
10. Lúc này giai đoạn “bắt tay” đã hoàn thành, và phiên làm việc SSL bắt đầu. Cả hai
phía client và server sẽ sử dụng các session key để mã hoá và giải mã thông tin trao đổi giữa
hai bên, và kiểm tra tính toàn vẹn dữ liệu
2. Thực thi
Bước đầu tiên trong việc thực thi SSL cho Web site của bạn đó là phải có được chứng chỉ
SSL từ một trung tâm cấp chứng chỉ SSL. Chứng chỉ SSL của Web Server để phân biệt tên
miền và địa chỉ IP riêng biệt của nó. Bạn có thể mua chứng chỉ SSL từ các nhà cung cấp
chứng chỉ như Verisign, Thawte, Entrust hay một số nhà cung cấp chứng chỉ công cộng
khác. Chứng chỉ của những công ty đó đều được các trình duyệt lớn nhận ra. Bạn cũng có
thể có được chứng chỉ từ một CA nội bộ.
Để cấu hình IIS 6.0 Web site (chạy trên Windows Server 2003) sử dụng mã hóa SSL, bạn
thực hiện theo các bước dưới đây:
1. Mở IIS Manager từ menu Programs | Administrative Tools
2. Trong cửa sổ bên trái của giao diện người dùng, bạn mở nút có tên Web server
(trong ví dụ là CA1), sau đó mở rộng thư mục Web Sites như trong hình 1.2

Hình 1.2 Cấu hình Websites
3. Kích chuột phải vào Web site mà bạn muốn sử dụng SSL, sau đó chọn Properties
để mở được trang thuộc tính Properties cho trang này.
4. Kích vào tab Directory Security như trong hình B.
Trang - 16 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
0)67/'/'
5. Bên dưới Secure Communications, bạn kích chuột vào nút Server Certificate.
Động tác này sẽ khởi chạy Web Server Certificate Wizard. Kích nút Next trên trang đầu tiên
của Wizard.
6. Trên trang Server Certificate, bạn sẽ có các lựa chọn như sau: Create a new
certificate (Tạo một chứng chỉ mới), Assign an existing certificate (Gán một chứng chỉ đang
tồn tại), Import a certificate from a Key Manager backup file (Nhập một chứng chỉ từ file
backup Key Manager), Import a certificate from a .pfx file (Nhập một chứng chỉ từ file
.pfx), Copy or move a certificate from a remote server to this site (Sao chép hoặc di chuyển
một chứng chỉ từ một máy chủ điều khiển từ xa đến site này). Tạo lựa chọn thích hợp và
theo các bước dưới đây. Để nhập một chứng chỉ, bạn cần biết:
•Đường dẫn tới nơi mà chứng chỉ được lưu
•Mật khẩu trên file .pl
Để tạo một chứng chỉ mới, bạn cần gửi yêu cầu đến một bộ phận có thẩm quyền cấp chứng
chỉ cho mạng của bạn hoặc chuẩn bị yêu cầu và gửi nó một cách thủ công đến CA không
trên mạng của bạn. Bạn phải nhập vào URL cho Web site và nếu dự định là cho site này có
thể dùng được trên Internet thì tên của nó phải hợp với tên miền riêng bên ngoài trang. Nếu
trang chỉ sử dụng cho người dùng nội bộ thì bạn có thể sử dụng tên NetBIOS.
7. Nếu đang tạo một chứng chỉ mới, bạn phải nhập vào vị trí địa lý của mình (như là
quốc gia, tỉnh thành,…) trong trang thông tin địa lý.
Trang - 17 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
8. Yêu cầu chứng chỉ sẽ được lưu dưới dạng file text nếu bạn chọn tạo yêu cầu thủ
công và gửi nó đến sau. Nhập vào tên cho file văn bản này.

9. Xem lại những thông tin yêu cầu trên trang Request File Summary và kích Next để
tạo file. Bạn có thể gửi file đến bộ phận cấp chứng chỉ.
10. Bảo đảm rằng cổng 443 được chọn trong trang SSL Port
11. Chọn CA trong trang Choose a Certification Authority
12. Xem lại thông tin yêu cầu và kích Next để đệ trình yêu cầu trong trang Certificate
Request Submission
V. Một số ứng dụng của SSL
1. Ứng dụng về thương mại điện tử.
Trong thực tiễn, sự hiểu biết của người sử dụng về cơ chế bảo mật được "sắp đặt" trong các
giao dịch điện tử trên mạng Internet là ít ỏi và mờ. Tất cả phần lớn dựa vào sự tin tưởng
(trust), chẳng hạn tên tuổi của các hãng uy tín (VisaCard, MasterCard, ) va sản phẩm có
tính nǎng tốt của cacs hãng nổi tiếng (Oracle, Microsoft, Netscape, ).
Bảo mật và an tàn là vấn đề quan trọng trong việc quyết định sự phát triển mạnh mẽ thương
mại điện tử hoặc hiện nay như chính phủ điện tử (e-government) và tạo lòng tin cho khách
hàng và công chúng.
Trong các giao dịch điện tử trên mạng và trong các giao dịch thanh toán trực tuyến, thông
tin/dữ liệu trên môi trường mạng Internet không an toàn thường được bảo đảm bởi cơ chế
bảo mật thực hiện trên tầng vận tải có tên Lớp cổng bảo mật SSL (Secure Socket Layer) -
một giải pháp kỹ thuật hiện nay được sử dụng khá phổ biến trong các hệ điều hành mạng
máy tính trên Internet. SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp
giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ
thông tin đi/đến, được sử dụng trong giao dịch điện tử như truyền số liệu thẻ tín dụng, mật
khẩu, số bí mật cá nhân (PIN) trên Internet.
Giao thức SSL được hình thành và phát triển đầu tiên nǎm 1994 bởi nhóm nghiên cứu
Netscape dẫn dắt bởi Elgammal, và ngày nay đã trở thành chuẩn bảo mật thực hành trên
mạng Internet.
a) Ứng dụng công nghệ xác thực máy chủ ssl trong giao dịch thương mại điện tử.
Một khách hàng làm quen với Website và truy nhập một địa chỉ URL an toàn, được
đảm bảo bằng mã số máy chủ. Điều này có thể là một mẫu đơn đặt hàng trực tuyến thu thập
Trang - 18 -

Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
những thông tin cá nhân từ khách hàng như địa chỉ, số điện thoại, số thẻ tín dụng hoặc các
thông tin thanh toán khác.
Trình duyệt của khách hàng tự động truyền cho máy chủ số phiên bản SSL của trình
duyệt đó, các cài đặt mật mã, các dữ liệu được sinh ngẫu nhiên, và những thông tin khác mà
máy chủ đó cần để giao tiếp với khách hàng sử dụng SSL.
Máy chủ trả lời, tự động truyền tới trình duyệt của người sử dụng xác nhận số của
Website cùng với số phiên bản SSL của máy chủ, các thiết lập mật mã.
Trình duyệt của người sử dụng xem xét các thông tin chứa trong xác nhận máy chủ
đó và xác nhận rằng: Xác nhận máy chủ đó có giá trị và còn trong thời hạn sử dụng; Cơ
quan chức năng xác thực CA cho máy chủ này có quyền được ký và là một cơ quan xác
thực tin cậy, xác thực của cơ quan này được liệt kê sẵn trong trình duyệt đang sử dụng;
Khoá công cộng của CA này được cài đặt sẵn trong trình duyệt đang sử dụng, xác nhận tính
hợp lệ của chữ ký điện tử của người cung cấp; Tên miền được chỉ định bằng xác thực máy
chủ khớp với tên miền thực của máy chủ đó. Nếu máy chủ này không được xác thực, người
sử dụng sẽ được cảnh báo rằng một kết nối được mã hoá, được xác thực có thể không thiết
lập được.
Nếu máy chủ đó được xác thực thành công, trình duyệt Web của khách hàng này sẽ
tạo ra một khoá phiên (session key) duy nhất để mã hoá tất cả các giao tiếp với Website đó
bằng việc sử dụng mã hoá không đối xứng.
Trình duyệt của người sử dụng tự mã hoá khoá phiên đó bằng khoá công cộng của
site sao cho chỉ site đó mới có thể đọc được khoá phiên đó, rồi gửi nó tới máy chủ.
Máy chủ giải mã cho khoá phiên đó bằng việc sử dụng khoá cá nhân của chính nó.
Trình duyệt gửi một thông điệp tới máy chủ thông báo cho máy chủ biết rằng các
thông điệp tiếp sau đó từ khách hàng sẽ được mã hoá bằng khoá phiên đó.
Máy chủ sau đó gửi một thông điệp tới khách hàng thông báo với khách hàng rằng
các thông điệp tiếp sau từ máy chủ sẽ được mã hoá bằng khóa phiên đó.
Một phiên giao dịch an toàn SSL bây giờ đã được thiết lập. Giao thực máy chủ SSL
sau đó sử dụng mã hoá đối xứng để mã hoá và giải mã thông điệp bên trong phiên giao dịch
an toàn SSL này.

Một phiên giao dịch kết thúc, khoá phiên sẽ được vô hiệu hoá.
Tất cả quá trình trên diễn tự động trong vài giây, chính vì thế mà giao thức xác thực
máy chủ SSL giúp cho các giao dịch điện tử này được thực hiện trực tuyến, an toàn; đồng
Trang - 19 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
thời nó cũng không gây ra bất cứ phiền toái nào cho người sử dụng, tạo điệu kiện cho việc
mở rộng các ứng dụng TMĐT.
84.96:';
b) Ứng dụng của SSL trong chứng chỉ số, chữ ký số
 SSL Certificates - Chứng chỉ số có vai trò rất quan trọng trong các giao dịch trực
tuyến như: đặt hàng, thanh toán, trao đổi thông tin, đặc biệt là trong các lĩnh vực thương
mại điện tử, sàn giao dịch vàng và chứng khoán, ngân hàng điện tử, chính phủ điện tử. Khi
được sử dụng, mọi dữ liệu trao đổi giữa người dùng và website sẽ được mã hóa (ở phía
người gửi) và giải mã (ở phía người nhận) bởi cơ chế SSL mạnh mẽ nhất hiện nay.
 Nếu Website không sử dụng chứng chỉ số, mọi dữ liệu sẽ được truyền đi nguyên
bản. Khi đó, nguy cơ dữ liệu bị xâm nhập trong quá trình trao đổi dữ liệu giữa người gửi và
người nhận sẽ rất cao. Một hậu quả trước mắt là khách hàng sẽ không tin tưởng, và dẫn đến
không sử dụng dịch vụ của website đó. Hậu quả lớn hơn nữa là kẻ gian sẽ tận dụng cơ hội
này để lấy hếtthông tin khách hàng, thông tin kinh doanh của website và xa hơn, kẻ gian có
thể ăn cắp thông tin trên thẻ tín dụng của khách để sử dụng bất hợp pháp.
Trang - 20 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
 VeriSign® là thương hiệu uy tín nhất trên toàn thế giới hiện nay trong lĩnh vực
cung cấp chứng chỉ số. Một website có gắn biểu tượng "VeriSign Secured Seal" sẽ gia tăng
mức độ tin cậy từ phía khách hàng lên rất nhiều lần. Tại thị trường Việt Nam, chúng tôi là
đơn vị cung cấp các giải pháp bảo mật của VeriSign trong lĩnh vực cung cấp chứng chỉ số -
chứng thực số với khả năng mã hóa dữ liệu tốt nhất và độ tin cậy cao nhất.
 Chứng chỉ số SSL Server sẽ cho phép bạn lập cấu hình Website của mình theo
giao thức bảo mật SSL (Secure Sockets Layer). Loại chứng chỉ số này sẽ cung cấp
cho Website của bạn một định danh duy nhất nhằm đảm bảo với khách hàng của bạn về tính

xác thực và tính hợp pháp của Website. Chứng chỉ số SSL Server cũng cho phép trao đổi
thông tin an toàn và bảo mật giữa Website với khách hàng, nhân viên và đối tác của bạn
thông qua công nghệ SSL mà nổi bật là các tính năng:
+ Thực hiện mua bán bằng thẻ tín dụng
+ Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng
+ Đảm bảo hacker không thể dò tìm được mật khẩu
 Giao thức SSL (Secured Socket Layer) và Chứng thực số là giải pháp bảo vệ
thông tin cá nhân của người dùng trong quá trình trao đổi dữ liệu trên môi trường mạng,
đồng thời đảm bảo sự tin cậy của những thông tin trên website người dùng truy cập, từ đó
xóa bỏ đi rào cản về nguy cơ lộ thông tin cá nhân, giúp người dùng yên tâm thực hiện các
giao dịch trên mạng, giúp doanh nghiệp phát huy được hết các tiềm năng của website mình
 Giải pháp chứng thực ssl của Vsign
 Trên cơ sở nghiên cứu nhu cầu của doanh nghiệp, của người sử dụng mạng, VSign
cung cấp dịch vụ chứng thực SSL cho các doanh nghiệp kinh doanh thương mại điện tử.
Khi đăng ký sử dụng dịch vụ chứng thực số SSL. VSign sẽ cấp cho khách hàng một
chứng chỉ số SSL. Mỗi chứng chỉ SSL chứa đựng thông tin của duy nhất một khách hàng
mà danh tính của họ đã được xác thực và một cặp khóa bao gồm một khóa bí mật và một
khóa công khai. Khóa công khai dùng để mã hóa dữ liệu và khóa bí mật dùng để giải mã
thông tin. Khi web browser truy cập đến phần dữ liệu đã được mã hóa, Client (web browser)
sẽ phát sinh ra một Session Key ngẫu nhiên và yêu cầu Server gửi Chứng thực SSL. Sau đó
Client sẽ kiểm tra tính hợp lệ của Chứng thực SSL. Nếu Chứng thực SSL của Server hợp
lệ, Client sẽ mã hóa Session Key bằng Public Key. Client gửi Session Key đã được mã hóa
cho Server. Sau đó, Server giải mã Session Key bằng Private Key. Do đó, các luồng thông
tin được truyền giữa client và server được bảo đảm an toàn tuyệt đối.
Trang - 21 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
 Giao thức SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an
toàn và chống giả mạo luồng thông tin qua internet giữa hai ứng dụng bất kỳ.
Khi khách hàng truy cập vào website sử dụng dịch vụ chứng thực SSL của VSign thì
trên thanh địa chỉ sẽ xuất hiện biểu tượng ổ khóa SSL. Click chuột vào biểu tượng ổ khóa,

các thông tin về doanh nghiệp được VSign chứng thực sẽ hiện thị. Nếu các thông tin không
phù hợp với chứng chỉ, browser sẽ hiện thị thông báo lỗi hoặc một khuyến cáo để người
dùng cảnh giác.
 Trước khi cung cấp dịch vụ chứng thực SSL cho website, VSign sẽ tiến hành xác
thực các thông tin sau:
Sự tồn tại của doanh nghiệp xin cấp chứng thực về mặt pháp lý
Định danh chính xác của doanh nghiệp xin cấp chứng thực và các thông tin
liên quan (bao gồm địa chỉ, số điện thoại, …)
Mã số đăng ký tại các cơ quan nhà nước (ví dụ số giấy phép đăng ký kinh
doanh)
Quyền sử dụng tên miền
c) Giải pháp máy ảo chuyên dụng SSL.
 Ứng dụng mạng riêng ảo sử dụng SSL (SSL VPN)
- SSL VPN có thể hiểu đơn giản là công nghệ kết nối mạng riêng ảo sử dụng các giao
thức kết nối bảo mật và mã hoá thông tin, đảm bảo tính riêng biệt trên môi trường Internet
chung.
- Ứng dụng mạng riêng ảo sử dụng SSL cho phép người dùng truy cập từ xa vào
mạng lưới của công ty bất kỳ lúc nào, SSL hỗ trợ các trình duyệt web chuẩn như là IE,
FireFox, Đối với người dùng là những văn phòng nhỏ hoặc những người sử dụng điện
thoại để truy cập vào những ứng dụng nội bộ và chia sẽ tập tin nội bộ. Vigor2930 cho phép
chúng ta thiết lập tối đa 30 phiên SSL.
Trang - 22 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
<4.=>?
 Ứng dụng mạng riêng ảo và tường lửa (VPN & Firewall)
- Cơ chế kiển soát trạng thái gói tin(SPI Firewall) có thể giúp bạn thiết lập các chính
sách cho tường lửa của bạn dễ dàng, tính năng SCM cho phép bạn kiểm soát truy cập một
cách chính xác và hiệu quả hơn với các ứng dụng IM và P2P. Bên cạnh đó với tính năng
chống tấn công từ chối dịch vụ(DoS / DDoS) và lọc các nội dung của trang web nhằm giảm
thiểu các mối đe doạ từ bên trong và bên ngoài trang web.

- Với việc hỗ trợ chipset mã hoá VPN bằng phần cứng ngay trên thiết bị,
Vigor2930VS hỗ trợ tối đa 100 VPN với các giao thức cao cấp như IPSec / PPTP / L2TP /
L2TP over IPSec with AES / DES / 3DES for encryption and MD5 / SHA-1 for
authentication.
@4.=>?AB/C33
d) Ứng dụng SSL VPN dành cho ISP
- Giải pháp SSL VPN SA 6000 SP cho phép các ISP cung cấp những giải pháp truy
cập từ xa và truy cập extranet, dịch vụ phục hồi sau thảm họa và dịch vụ bảo mật LAN
Intranet - VoIP WLAN tới các khách hàng doanh nghiệp trên toàn cầu. Quan trọng hơn cả,
đó là những giải pháp không đòi hỏi chi phí cao, nhưng vẫn đảm bảo công nghệ bảo mật
Trang - 23 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
hàng đầu và tính chuyên dụng của sản phẩm, đáp ứng nhu cầu của các doanh nghiệp vừa và
nhỏ, vốn rất quan tâm tới chi phí đầu tư.
- Khi ISP triển khai các dịch vụ SSL VPN này, những người dùng được cấp phép của
khách hàng sử dụng dịch vụ đều có quyền truy cập bảo mật tới mọi tài nguyên mạng từ bất
cứ một kết nối Internet và trình duyệt Web chuẩn nào, như máy tính cá nhân, máy tính xách
tay và các thiết bị di động. Người dùng cuối không còn bị ràng buộc sử dụng các thiết bị cụ
thể, cũng như không phải làm việc ở những vị trí cố định nào. Không như các mạng riêng
ảo IPSec trước kia, khách hàng của ISP không cần một máy khách (client) để có thể truy
cập từ xa – cho phép tăng sự linh động và gia tăng hiệu suất khai thác hệ thống.
- SSL VPN cũng sẽ là một trong những dịch vụ quan trọng giúp các ISP đa dạng hoá
sản phẩm của mình, khai thác tiềm năng rất lớn của dịch vụ mạng bảo mật dành cho doanh
nghiệp vừa và nhỏ".
- Kết luận: Việc ứng dụng của SSL ngày còn trở nên quan trọng trong các giao dịch
thương mại điện tử hiện nay, nó gốp phần làm cho việc kí kết các hợp đồng các hoạt động
thương mại điện tử và bảo mật trên mạng hiện nay trở nên thuộn lợi và oan toàn hơn
VI. Một số rủi ro của SSL so với một số phương thức bảo mật thông tin khác
1. Rủi ro
Các rủi ro về an ninh cụ thể hơn đối với SSL VPN sẽ được đề cập dưới đây. Phần lớn các

rủi ro này liên quan đến một thực tế là SSL VPN có thể được sử dụng trên các máy công
cộng.

)2,-DED-2(D'.F
SSL VPN tạo sự dễ dàng và thuận tiện cho việc kết nối từ bất cứ nơi nào trên Internet
tới mạng nội bộ của tổ chức. Tuy nhiên, các máy công cộng được sử dụng cho SSL VPN có
thể không được cài đặt phần mềm chống virus cần thiết và bảo trì đúng cách, đồng thời
không có tường lửa dạng host-based. Những chiếc máy công cộng này tạo ra mối đe dọa lớn
khi được sử dụng cho SSL VPN. ChúngChChúng có thể lây lan virus, sâu, Trojan và thậm
chí có thể trở thành cửa hậu (backdoor) cho các tấn công nguy hiểm. Ngay cả cơ chế xác
thực mạnh cũng sẽ không bảo vệ được mạng nếu máy tính từ xa đã bị xâm nhập, do kẻ tấn
công có thể "cưỡi" trên một phiên giao dịch sống thông qua Trojan và nhắm vào các nguồn
lực nội bộ.

)'G,G3HD'$I
Trang - 24 -
Đề Tài: Giao thức SSL GVHD: Đặng Trung Thành
Nếu một máy tính từ xa thiết lập kết nối vào mạng nội bộ của bạn, và người sử dụng
không đóng phiên giao dịch khi rời máy, mạng nội bộ của bạn sẽ bị phơi ra trước những
người có truy cập vật lý vào máy tính này. Các cá nhân Unauthorized personnel may use
this computer to explore and attack your internal resources.tkhkhkhokhông được cấp quyền
có thể sử dụng máy tính này để khám phá và tấn công các nguồn tài nguyên nội bộ của bạn.
SSL VPN significantly increases this type of risk—a connection can be started from any
Internet-based machine.SSL VPN gia tăng đáng kể rủi ro loại này. The physical access
nature of shared machines adds numerous risks besides providing unauthorized network
connection to the corporate internal network; these are discussed later in this paper. Bản
chất truy cập vật lý của máy dùng chung tăng thêm nhiều rủi ro khác nữa ngoài việc cung
cấp kết nối mạng trái phép vào mạng nội bộ công ty, sẽ được đề cập tiếp trong phần sau của
bài viết.


J/'1/3/
Các máy tính công cộng (ví dụ tại các kiot) dễ bị keystroke logger. Các máy tính này
thường không đáp ứng các chính sách và tiêu chuẩn an ninh của tổ chức. Khi các máy này
bị xâm nhập, keystroke logger có thể chặn các thông tin xác thực người dùng và thông tin bí
mật khác. Các máy tính công cộng có thể bị cài đặt phần mềm độc hại hoặc thậm chí các
keystroke logger dựa trên phần cứng để thu thập thông tin nhạy cảm.

)26K!-LD.&'DMNOP
Thông tin nhạy cảm bao gồm các loại như thông tin xác thực người dùng (tên tài
khoản / mật khẩu), dự báo bán hàng, thông tin nhân sự nội bộ, và các thông tin khách hàng.
Intellectual property includes source code, company, and even third-party (under NDA)
design and technology information. Critical information may be left on a remote computer if
the computer is not properly protected—this is especially important when the remote
computer is shared with the public. Sở hữu trí tuệ bao gồm mã nguồn, thông tin thiết kế và
công nghệ của tổ chức, và thậm chí của bên thứ ba (đã có thỏa thuận không tiết lộ thông
tin). Thông tin quan trọng có thể nằm lại trên máy tính từ xa nếu máy tính không được bảo
vệ đúng cách - điều này đặc biệt quan trọng khi các máy tính từ xa được dùng chung cho
công cộng. Endpoint protection is key to addressing this type of risk.Bảo vệ đầu cuối là chìa
khóa để giải quyết loại rủi ro này. User awareness and education also play critical roles.Đào
tạo và nâng cao nhận thức của người dùng cũng đóng vai trò quan trọng.

4LL/LD$$3/1).$&4LL/LD$$3/
Trang - 25 -

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×