Microsoft Trusted Networks
Thuyết trình:
Trường Đại học Công Nghệ Thông Tin
Đại Học Quốc Gia – TPHCM
GVHD : Tô Nguyễn Nhật Quang
Nhóm 19 :
Nguyễn Đình Thi 06520448
Nguyễn Hồng Duy 08520071
Lê Thế Công 08520048
2
2
2
NỘI DUNG

Tổng Quan

Các khái niệm cơ bản

Cơ sở hạ tầng khóa công khai

Triển khai dịch vụ CA trên môi trường Windows
Server 2003

Triển khai một số dịch vụ mạng sử dụng CA

Kết quả và hướng phát triển cho tương lai
3
3
3
TỔNG QUAN


Ngày nay, việc giao tiếp qua mạng Internet đang trở thành
một nhu cầu cấp thiết. Các thông tin truyền trên mạng đều rất
quan trọng, như mã số tài khoản, thông tin mật, giao dịch qua
mạng … Tuy nhiên với các thủ đoạn tinh vi nguy cơ bị ăn cắp
thông tin qua mạng cũng gia tăng.

Vì vậy, để bảo mật các thông tin trên Internet ngày nay đều có
xu hướng mã hóa. Phương pháp mã hóa phổ biến nhất đang
được thế giới áp dụng là chứng chỉ số ( Digital Certificate ).

Cách mã hóa dự liệu đảm bảo an toàn đó là mã hóa khóa
công khai. Để sử dụng được cách mã hóa này, cần phải có
một chứng chỉ số từ tổ chức quản trị được gọi là nhà cung
cấp chứng chỉ số ( Certification Authority )
4
4
4
CÁC KHÁI NIỆM CƠ BẢN
1. Cơ quan chứng thực ( Certification Authority ) là gì ?
Cơ quan chứng thực (Certification Authority - CA) có thẩm
quyền cấp phát, thu hồi, quản lý chứng thư số cho các thực thể thực
hiện các giao dịch an toàn. Cơ quan chứng thực là một thành phần
chính của hệ thống chứng thực.
2. Chứng thư số là gì ?
Để thực hiện được các giao dịch an toàn qua mạng, các bên
tham gia cần phải có “chứng thư số”. Chứng thư số là một cấu trúc
dữ liệu chứa các thông tin cần thiết để thực hiện các giao dịch an
toàn qua mạng. Chứng thư số được lưu giữ trên máy tính dưới dạng
một tập tin (file).
5

5
5
CÁC KHÁI NIỆM CƠ BẢN
3. Cơ quan đăng ký ( Registration Authority ) là gì ?
Cơ quan đăng ký (Registration Authority) là một thành phần
trong hệ thống chứng thực có nhiệm vụ tiếp nhận và xác minh các
yêu cầu về chứng thư số của người sử dụng đồng thời gửi các yêu
cầu đã xác minh cho cơ quan chứng thực (CA) thực hiện yêu cầu
đó.
4. Hệ thống chứng thực điện tử là gì ?
Hệ thống chứng thực là một hạ tầng an ninh mạng được xây
dựng trên một hạ tầng cơ sở khóa công khai (PKI) cung cấp các giải
pháp đảm bảo an toàn cho các hoạt động (gọi chung là giao dịch)
thông qua mạng.
6
6
6
CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
1. Khái niệm :
Một PKI ( Public key infrastructure ) cho phép người sử
dụng của một mạng công cộng không bảo mật, chẳng hạn như
Internet, có thể trao đổi dữ liệu và tiền một cách an toàn thông qua
việc sử dụng một cặp mã khóa công khai, các nhân được cấp phát
và sử dụng qua một nhà cung cấp chứng thực được tín nhiệm.
Mặc dù các thành phần cơ bản của PKI đều được phổ biến,
nhưng một số nhà cung cấp đang muốn đưa ra chuẩn PKI riêng
khác biệt.
7
7
7

CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
2. Các thành phần trong cơ sở hạ tầng khóa công khai :
Một nhà cung cấp chứng thực số (CA) chuyên cung cấp và
xác minh các chứng chỉ số.
Một nhà quản lý đăng ký ( Registration Authority ) đóng vai
trò như người thẩm tra cho CA trước khi một chứng chỉ số được cấp
phát tới người yêu cầu.
Một hoặc nhiều danh mục nơi các chứng chỉ số được lưu
trữ, phục vụ cho các nhu cầu tra cứu, lấy khóa công khai của đối tác
cần thực hiện giao dịch chứng thực số.
Một hệ thống quản lý chứng chỉ
8
8
8
CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
3. Chứng chỉ số :
Chứng chỉ số là một tệp tin điện tử dùng để xác minh danh
tính một cá nhân, một máy chủ, một công ty … trên Internet. Do
nhà cung cấp chứng thực số (CA) xác thực và chứng nhận, đảm bảo
độ tin cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số đó.
Các thành phần chính :
+ Thông tin cá nhân của khách hàng được cấp.
+ Khóa công khai.
+ Chữ ký số của CA cấp chứng chỉ.
+Thời gian hợp lệ.
9
9
9
CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
3. Lợi ích của chứng chỉ số

+ Mã hóa.
+ Chống giả mạo.
+ Xác thực.
+ Chống chối cãi nguồn gốc.
+ Chữ ký điện tử.
+ Bảo mật website.
+ Đảm bảo phần mềm.
10
10
10
CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
3. Lợi ích của chứng chỉ số
+ Mã hóa.
+ Chống giả mạo.
+ Xác thực.
+ Chống chối cãi nguồn gốc.
+ Chữ ký điện tử.
+ Bảo mật website.
+ Đảm bảo phần mềm.
11
11
11
TRIỂN KHAI DỊCH VỤ CA TRÊN MÔI
TRƯỜNG WINDOWS SERVER 2003
1. Cài đặt dịch vụ CA.
2. Các dịch vụ chứng chỉ CA Windows Servers 2003 cung cấp
+ Chữ ký điện tử.
+ Chứng thực internet.
+ Bảo mật IP ( IP Security – IPSec ).
+ Secure e-mail.

+ Smart card logon.
+ Software code signing.
+ Wireless network authentication.
12
12
12
TRIỂN KHAI DỊCH VỤ CA TRÊN MÔI
TRƯỜNG WINDOWS SERVER 2003
3. Các loại CA trên Windows Servers 2003
Có hai loại :
Enterprise : Enterprise CAs được tích hợp trong dịch vụ Active
Directory. Chúng sử dụng mẫu chứng chỉ, xuất bản chứng chỉ và CRLs đến
Active Directory, sử dụng thông tin trong cơ sở dữ liệu Active Directory để chấp
nhận hoặc từ chối yêu cầu cấp phát chứng chỉ tự động. Bởi vậy client của tổ chức
CA phải truy xuất đến Active Directory để nhận chứng chỉ, nhiều tổ chức CA
không thích hợp cho việc cấp phát chứng chỉ cho các client bên ngoài tổ chức.
Stand-alone : Stand-alone CAs không dùng mẫu chứng chỉ hay Active
Directory, chúng lưu trữ thông tin cục bộ của nó. Hơn nữa, mặc định stand-alone
không tự động đáp lại yêu cầu cấp phát chứng chỉ số giống enterprise CAs làm.
Yêu cầu chờ trong hàng đợi cho người quản trị chấp nhận hoặc từ chối bằng tay.
Dù người dùng chọn tạo ra một enterprise CA hay là một stand-alone CA, đều
phải chỉ rõ CA là gốc (root) hay cấp dưới (subordinate)
13
13
13
TRIỂN KHAI DỊCH VỤ CA TRÊN MÔI
TRƯỜNG WINDOWS SERVER 2003
4. Cấp phát và quản lý các chứng chỉ số
a). Cấp phát tự động ( Auto-Enrollment )
Auto – Enrollment cho phép client yêu cầu tự động và nhận

chứng chỉ số từ CA mà không cần can thiệp của người quản tri. Để
dùng Auto – Enrollment thì phải có domain chạy Windows Server
2003, một enterprise CA chạy trên Windows Sever 2003 và client
có thể chạy Windows XP Professional. Điều khiển tiến trình Auto –
Enrollment bằng sự phối hợp của group policy và mẫu chứng chỉ
số.
14
14
14
TRIỂN KHAI DỊCH VỤ CA TRÊN MÔI
TRƯỜNG WINDOWS SERVER 2003
4. Cấp phát và quản lý các chứng chỉ số
b). Cấp phát không tự động ( Manual Enrollment )
Stand-alone CAs không thể dùng auto – enrollment, vì vậy
khi một stand-alone CA nhận yêu cầu về chừng chỉ số từ client, nó
sẽ lưu trữ những yêu cầu đó vào trong một hàng đợi cho tới khi
người quản trị quyết định liệu có cấp phát chứng chỉ số hay không?
Để giám sát và xử lý các yêu cầu vào, người quản trị dùng
Certification Authority console.
15
15
15
TRIỂN KHAI DỊCH VỤ CA TRÊN MÔI
TRƯỜNG WINDOWS SERVER 2003
c). Các cách yêu cầu cấp phát CA
+ Sử dụng Certificates Snap-in : là một công cụ dùng để
xem và quản lý chứng chỉ của một user hoặc computer cụ thể.
16
16
16

TRIỂN KHAI DỊCH VỤ CA TRÊN MÔI
TRƯỜNG WINDOWS SERVER 2003
c). Các cách yêu cầu cấp phát CA
+ Yêu cầu cấp phát thông qua Web ( Web Enrollment )
17
17
17
TRIỂN KHAI DỊCH VỤ CA TRÊN MÔI
TRƯỜNG WINDOWS SERVER 2003
d). Thu hồi chừng chỉ số
Có vài nguyên nhân cảnh báo cho người quản trị thu hồi
chứng chỉ. Nếu như khóa riêng ( private key ) bị lộ, hoặc người
dùng trái phép lợi dụng truy xuất đến CA, thậm chí nếu bạn muốn
cấp phát chứng chỉ dùng tham số khác như là khóa dài hơn, bạn
phải được thu hồi chứng chỉ trước đó.
18
18
18
TRIỂN KHAI MỘT SỐ DỊCH VỤ MẠNG
SỬ DỤNG CA
1. Dịch vụ web sử dụng SSL.
SSL – Sercure Layer là giao thức mã hóa cung cấp sự truyền
thông an toàn trên Internet như web browing, e-mail.
SSL cung cấp sự chứng thực tại các điểm cuối của kết nối,
kênh truyền thông riêng tư trên Internet bằng cách mã hóa.
Thông thường chí có Server được chứng thực.
Ở mức độ bảo mật cao hơn, cả hai phái đều phải biết nhau,
chứng thực lẫn nhau. Chứng thực lẫn nhau yêu cầu dùng hạ tầng
khóa công khai PKI.
19

19
19
TRIỂN KHAI MỘT SỐ DỊCH VỤ MẠNG
SỬ DỤNG CA
1. Dịch vụ web sử dụng SSL.
20
20
20
TRIỂN KHAI MỘT SỐ DỊCH VỤ MẠNG
SỬ DỤNG CA
2. Dịch vụ IPSec.
IPSec – Internet Protocol Security là một giao thức được
thiết kế để bảo vệ dữ liệu bằng chữ kí điện tử và mã hóa trước khi
truyền đi.
IPSec mã hóa các thông tin trong gói tin theo cách đóng gói
nó, nên ngay cả khi bắt được các gói tin sẽ không đọc được nội
dung bên trong.
Do IPSec hoạt động ở tầng mạng nên IPSec tạo một kênh
mã hóa liên tục giữa các điểm kết nối (end – to – end ).
21
21
21
TRIỂN KHAI MỘT SỐ DỊCH VỤ MẠNG
SỬ DỤNG CA
2. Dịch vụ IPSec
22
22
22
TRIỂN KHAI MỘT SỐ DỊCH VỤ MẠNG
SỬ DỤNG CA

3. Dịch vụ VPN.
VPN – Virtual Private Network là một mạng riêng dùng
mạng công cộng ( Internet ) để kết nối các điểm hoặc người sủ dụng
tới mạng LAN trung tâm.
VPN cho phép truyền dữ liệu giữa hai máy tính sử dụng môi
trường mạng công cộng giống như cách có một đường kết nối riêng
giữa hai máy này.
Để tạo một kết nối điểm điểm ( point – to – point ), dữ liệu
đóng gói (encapsulate), bao bọc (wrap) với một header để cung cấp
các thông tin định tuyến. Để giả lập một kênh truyền riêng, dữ liệu
sẽ được mã hóa.
23
23
23
TRIỂN KHAI MỘT SỐ DỊCH VỤ MẠNG
SỬ DỤNG CA
3. Dịch vụ VPN
24
24
24
TỔNG KẾT
1. Kết quả
Thông qua việc thực hiện báo cáo, nhóm đã tìm hiểu các
kiến thức cơ bản về cơ sở hạ tầng khóa công khai PKI, một mô hình
có độ tin cậy đang được sử dụng rất nhiều cho việc truyền thông
trên mạng hiện nay.
Triển khai một dịch vụ CA, một thành phần quan trọng của
PKI.
Tích hợp được dịch vụ CA vào một số dịch vụ mạng khác để
tạo nên các dịch vụ có tính bảo mật cao.

25
25
25
TỔNG KẾT
2. Hướng phát triển
Các mô hình dịch vụ trên được thực hiện giả lập trong môi
trường mạng LAN. Nếu cơ sở hạ tầng mạng tốt hơn, sẽ có thể triển
khai trên phạm vi lớn hơn với môi trường Internet thật.
Ngoài ra, có thể tìm hiểu thêm để tích hợp các dịch vụ trên
trong môi trường Linux.