HeaderNghiên Pagecứu of 166.khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố triển TRƯỜNG ………………… KHOA……………………… -[\ [\ - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬT KHOÁ CÔNG KHAI Ở UBND TỈNH - THÀNH PHỐ LỜI CẢM ƠN - - Footer Page of 166 HeaderNghiên Pagecứu of 166.khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố triển Trước tiên, em muốn gửi lời cảm ơn sâu sắc đến thầy giáo TS Lê Phê Đô, người tận tình hướng dẫn em suốt trình học tập làm khóa luận tốt nghiệp Em xin bày tỏ lời cảm ơn sâu sắc đến thầy cô giáo giảng dạy chúng em suốt năm học qua, kiến thức mà chúng em nhận giảng đường đại học hành trang giúp chúng em vững bước tương lai Tôi muốn gửi lời cảm ơn sâu sắc đến tất bạn bè, đặc biệt tập thể lớp K51CD , người bên suốt tháng năm học tập rèn luyện Được hoàn thành thời gian hạn hẹp Luận văn chắn nhiều thiếu sót Tôi xin cảm ơn thầy cô, bạn bè người thân có ý kiến đóng góp chân thành cho nội dung luận văn để tiếp tục sâu vào tìm hiểu ứng dụng thực tiễn công tác - - Footer Page of 166 HeaderNghiên Pagecứu of 166.khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố triển Tóm tắt Ở Việt Nam vài năm gần đây, sở hạ tầng truyền thông ngày mở rộng, lượng người sử dụng internet ngày phổ biến, internet trở thành môi trường giao dịch với nhiều người, nhiều tổ chứng, hầu hết thông tin nhạy cảm quan trọng lưu trao đổi hình thức điện tử doanh nghiệp văn phòng Sự phát triển công nghệ khiến cho việc thông tin bị xem trộm, phá hoại trở nên dễ dàng, chứng số trở nên thiết Chứng số nhiều nơi giới triển khai ứng dụng thành công, nhiên Việt Nam việc nghiên cứu, ứng dụng triển khai PKI (Public Key Infrastructure) dịch vụ cung cấp vấn đề mang tính thời Luận văn thực với mục đích nghiên cứu tìm hiểu hệ thống PKI bao gồm chứng số, khái niệm sở PKI, chức thành phần PKI, quy trình xin cấp, phát, hủy bỏ chứng PKI, mô hình PKI tin cậy, ưu nhược điểm mô hình Khóa luận nghiên cứu ứng dụng công nghệ, cách thức triển khai quản lý hệ thống cấp phát chứng số môi trường windows server 2003 - - Footer Page of 166 HeaderNghiên Pagecứu of 166.khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố triển Mục lục Chương - Giới thiệu tổng quan .1 1.1 Giới thiệu 1.2 Hệ mật mã 1.3 Chứng số lợi ích chứng số .7 1.4 Hiện trạng sử dụng chứng số giới Việt Nam 10 Chương – Chứng số hạ tầng khóa công khai 12 2.1 Chứng số (digital certificates) 13 2.1.1 Giới thiệu 13 2.1.2 Chứng khóa công khai X.509 15 2.1.3 Thu hồi chứng 19 2.1.4 Chính sách chứng 19 2.1.5 Công bố gửi thông báo thu hồi chứng 20 2.2 Các thành phần PKI 24 2.2.1 Tổ chức chứng thực (Certificate Authority) 25 2.2.2 Trung tâm đăng kí (Registration Authorities) .26 2.2.3 Thực thể cuối (End Entity) .27 2.2.4 Hệ thống lưu trữ (Reponsitories) 27 2.3 Chức PKI 28 2.3.1 Chứng thực (Certification) 28 2.3.2 Thẩm tra 28 2.3.3 Một số chức khác 29 2.4 Kiến trúc PKI 32 2.4.1 Mô hình CA đơn .33 2.4.2 Mô hình phân cấp 34 2.4.3 Kiến trúc phân cấp mạng lưới .35 2.4.4 Kiến trúc danh sách tin cậy 37 Chương - Xây dựng hệ thống cung cấp chứng số 40 3.1 Tổng quan hệ thống 40 3.1.1 Mô hình hệ thống 40 3.1.2 Một số đặc tính hệ thống cung cấp chứng số .40 3.2 Các thành phần hệ thống cung cấp chứng số 45 3.2.1 Các thành phần CA .45 3.2.2 Các thành phần RA .46 - - Footer Page of 166 HeaderNghiên Pagecứu of 166.khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố triển 3.2.3 Các thành phần Subcriber .47 3.3 Chức trình khởi tạo thành phần hệ thống cung cấp chứng số MyCA .47 3.3.1 Registration Authority - RA 48 3.3.2 RAO 49 3.3.3 LDAP Public Database Server 49 3.4 Qui trình đăng ký, cấp phát huỷ bỏ chứng 51 3.4.1 Qui trình đăng ký cấp chứng 51 3.4.2 Qui trình huỷ bỏ chứng 53 Chương : Triển khai CA quản lý chứng môi trường window server 2003 .57 4.1 cài đặt Active Directory 57 4.2 Cài đặt dịch vụ CA 62 4.3 Các loại CA window server 2003 65 4.4 Các dịch vụ chứng window server 2003 cung cấp .66 4.5 Cấp phát quản lý chứng số 66 4.5.1 Cấp phát tự động (Auto-Enrollment) 66 4.5.2 Cấp phát tay 68 4.6 Các cách yêu cầu cấp phát chứng 69 4.6.1 Yêu cầu cấp phát Certificates snap-in 69 4.6.2 Yêu cầu thông qua web 70 4.6.3 Thu hồi chứng 71 4.7 Một số dịch vụ mạng sử dụng CA 72 4.7.1 Dịch vụ Web sử dụng SSL .72 4.7.2 Dịch vụ IPSec 72 4.7.3 Dịch vụ VPN 74 Chương : Chương trình thực nghiệm 72 KẾT LUẬN 80 DANH MỤC TỪ VIẾT TẮT 81 TÀI LIỆU THAM KHẢO 82 - - Footer Page of 166 HeaderNghiên Pagecứu of 166.khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố triển Chương - Giới thiệu tổng quan 1.1 Giới thiệu Từ xa xưa người sáng tạo cách thức truyền tin dùng khói dùng ánh sáng, dùng khói…rồi tiếp nhu cầu xác thực thông tin ngày cao họ biết sử dụng dấu hiệu đặc biệt kí hiệu, dấu vân tay…Và dấu hiệu phổ biến mà ngày sử dụng rộng rãi dấu, dấu vân tay chữ kí Trong xã hội đại việc xác thực bảo mật thông tin trở thành nhu cầu quan trọng thiếu đặc biệt lĩnh vực trị, quân Những “dấu hiệu đặc biệt” mang tính chất sở hữu thông tin, tài liệu … mà mang tính chất pháp lý Với phát triển nhanh chóng công nghệ thông tin, văn tài liệu lưu dạng số trở nên dễ dàng bị chép, sửa đối Với hình thức chữ kí truyền thống dường trở nên không hiệu Trước tình hình người ta đưa nhiều giải pháp có giải pháp hiệu nhiều nước giới sử dụng rộng rãi chữ kí số hay gọi chứng số Chứng số hoạt động dựa hệ thống mã hóa khóa công khai Hệ thống mã hóa gồm hai khóa, khóa công khai khóa bí mật Mỗi chủ thể sẻ có cặp khóa vậy, khóa bí mật chủ thể giữ an toàn bí mật khóa công khai công bố công khai 1.2 Hệ mật mã Mật mã kỹ thuật sử dụng từ lâu đời để đảm bảo an toàn thông tin Trước mật mã chủ yếu sử dụng an ninh quốc phòng, ngày trở thành nhu cầu người ngành Có nhiều loại mật mã khác phổ biến hệ mật mã khóa đối xứng (mật mã cổ điển) hệ mật mã khóa công khai (mật mã đại) [3] Người ta sử dụng hệ mật theo mục đích khác tùy theo ưu điểm nhược điểm riêng hệ mật mã - - Footer Page of 166 HeaderNghiên Pagecứu of 166.khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố triển Với hệ mật mã khóa đối xứng khóa việc mã hóa giải mã dùng chung khóa, người dùng phải giữ bí mật khóa chung đó, hệ mật mã có khả mã hóa thông tin với tốc độ nhanh lại có nhược điểm độ bảo mật kém, kẻ gian dễ dàng giải mã thông tin khóa bị lộ nên thường dùng mã hóa tài liệu có dung lượng lớn quan trọng Với hệ mã hóa khóa công khai, người dùng có cặp khóa công khai khóa bí mật Nguyên tắc dùng khóa bí mật để mã hóa dùng khóa công khai để giãi mã, dùng khóa công khai để mã hóa dùng khóa bí mật để giải mã Khóa bí mật người dùng giữ bí mật khóa công khai công bố để có nhu sử dụng cầu biết lấy Hệ mã hóa khóa công khai có độ an toàn cao lại có tốc độ mã hóa chậm so với hệ mã hóa khó đối xứng nên thường sử dụng mã hóa tin nhỏ có tầm quan trọng Ngoài việc mã hóa hệ mật mã khóa công khai sử dụng để ký số, tạo đại diện, xác thực thông tin, chống chối cãi giao dịch điện tử… 1.3 Chứng số lợi ích chứng số A Khái niệm Chứng số tệp tin điện tử dùng để xác minh cá nhân, công ty, máy chủ, trang web… internet Nó giống lái xe, hộ chiếu hay, chứng minh thư hay giấy tờ cá nhân người Cũng tương tự chứng minh thư hay hộ chiếu…Để có chứng số bạn phải xin cấp quan có thẩm quyền đủ tin cậy xác minh thông tin bạn Cơ quan gọi CA (Certificate Authority) CA chịu trách nhiệm độ xác trường thông tin chứng Chứng số có thành phần chính: - Thông tin cá nhân - Khóa công khai - Chữ kí số CA - Thời gian sử dụng Thông tin cá nhân: Là thông tin cá nhân đối tượng cấp chứng số họ tên, địa chỉ, ngày sinh, số chứng minh nhân dân, quốc tích, email, số điện thoại trường thông tin mở rộng khác tùy theo quan cấp chứng số - - Footer Page of 166 HeaderNghiên Pagecứu of 166.khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố triển Khóa công khai: Là giá trị quan CA cấp cho đối tượng đăng kí chứng số Nó sử dụng khóa mã hóa kèm với chứng số Khóa công khai khóa bí mật tạo nên cặp khóa hệ mật mã khóa bất đối xứng Khóa công khai hoạt động dựa nguyên lý bên tham gia biết khóa công khai Bên A dùng khóa công khai bên B mã hóa thông tin muốn gửi cho bên B, bên B sử dụng khóa bí mật để giải mã tin gửi đến Ngược lại bên A dùng khóa bí mật để ký lên tài liệu có nhu cầu dùng khóa công khai A để xác thực chữ ký tài liệu A ký Để đơn giản coi chứng số khóa công khai chứng minh thư hay hộ chiếu… khóa bí mật dấu vân tay, khuôn mặt… Chữ kí số CA Là chứng đơn vị CA cấp chứng nhằm đảm bảo tính xác thực hợp lệ CA Để kiểm tra tính xác thực chứng số phải kiểm tra chữ kí số CA xem có hợp lệ hay không Nó giống dấu xác nhận quan công an mà bạn trực thuộc giấy chứng minh nhân dân hộ chiếu B Lợi ích chứng số Mã hóa : Một lợi ích chứng số mã hóa Người gửi mã hóa thông tin khóa công khai người nhận trước gửi đi, điều đảm bảo người nhận có khả giải mã đọc tin nhận từ người gửi dù trình truyền tin internet thông tin bị kẻ xấu lấy trộm biết gói tin mang thông tin Đây tính quan trọng giúp người gửi hoàn toàn tin cậy khả bảo mật thông tin Điều cần thiết giao dịch điện tử mang tính quan trọng toán điện tử, chuyển khoản, giao dịch liên ngân hàng bỏ phiếu điện tử… Chống giả mạo: Trong thông tin điện tử, bạn sẻ lo lắng gói tin nhận có phải thật không hay gói tin bạn truyền có bị làm giả sửa đổi thông tin bên hay không công nghệ thông tin tin hoàn toàn chép làm giả cách dễ dàng Tuy nhiên với tin có sử dụng chứng số bạn - - Footer Page of 166 HeaderNghiên Pagecứu of 166.khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố triển hoàn toàn yên tâm, thay đổi tin sẻ bị phát Với tên miền, địa email có sử dụng chứng số đảm bảo an toàn Xác thực: Khi người nhận nhận tin có kèm chứng số người gửi đồng thời người biết thông tin người, tổ chức, quan gửi tin, thông tin quan CA xác thực hoàn toàn tin cậy Điều quan trọng, tạo tin tưởng giảm kể thời gian xác thực thông tin Chống chối cãi: Khi sử dụng chứng số, người gửi phải chịu trách nhiệm thông tin gửi Trong trường hợp người gửi phủ định thông tin mà người nhận nhận chứng số người nhận có sẻ chứng xác định thông tin xác người gửi Nếu người gửi chối cãi quan cấp chứng CA sẻ chịu trách nhiệm xác định xác người gửi tin Chữ kí điện tử: Ngày việc sử dụng email trở nên phổ biến email phương tiện gửi thư nhanh chóng, rẻ tiền Bên cạnh việc chép, bị lộ email dễ dàng kẻ gian Nếu sử dụng chữ kí truyền thống sẻ dễ bị giả mạo, thư gửi bị thay đổi trước đến tay người nhận Với chữ kí điện tử, thử gửi đảm bảo hoàn toàn bí mật, an toàn trường hợp bị kẻ gian lấy trộm thư, thay đổi thư sẻ bị người nhận phát Bảo mật website Bạn sử dụng website cho mục đích thương mại, mục đích quan trọng khác Để đảm bảo thông tin trao đổi bạn khách hàng bị lộ, sử dụng chứng số SSL (Secures Socket Layer) cho phép cầu hình website theo giao thức bảo mật Chứng số cho phép thôngtin trao đổi ban khách hàng, nhân viên, đối tác…không bị lộ Chứng đảm bảo an toàn thực mua sắm thẻ tín dụng, giao dịch trực tiếp mạng, không bị kẻ gian dò mật hay thông tin nhạy cảm khác - - Footer Page of 166 HeaderNghiên Pagecứu 10vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố Đảm bảo phần mềm: Hiện việc chép làm giả ăn cắp quyền phần mềm việc phổ biến tình trạng phổ biến Việt Nam nhiều nước khác giới Sử dụng chứng số đảm bảo phần mềm bạn có “có tem chống hàng giả” tin cậy Nhà sản xuất chứng số cho phép bạn kí lên Aplet, Script, Java Software…các file dạng exe, cab,dll Thông qua chứng số người dùng sẻ xác thực nguồn gốc thực sản phẩm, xác thực bạn nhà cung cấp Qua làm cho nhà sản xuất có trách nhiệm cao với sản phẩm làm Ngoài chứng giúp phát thay đổi sản phẩm trường hợp có viruts, bị crack… Chứng số với chức đảm bảo phần mềm sử dụng rộng rãi giới Đây tảng công nghệ dần trở thành tiêu chuẩn toàn cầu 1.4 Hiện trạng sử dụng chứng số giới Việt Nam Hiện internet Việt Nam nói chung Hà Nội nói riêng phổ biến, Số lượng người sử dụng máy tính truy cập internet chiếm tỷ lệ ngày cao Nhu cầu giao dịch trực tuyến mạng trở nên phổ biến ngành thương mại điện tử tài ngân hàng Tuy nhiên với phát triển công nghệ thông tin hacker với thử đoạn tinh vi, nguy trộm cắp bị lộ thông tin nhạy cảm mã số tài khoản, thông tin cá nhân…ngày gia tăng Các biện pháp bảo vệ thông tin mật mật trở nên không hiệu tin tặc dễ dàng dò Vì vấn để bảo mật thông tin truyền mạng ngày trở nên cấp thiết Do khả ứng dụng chữ kí số Hà Nội Việt Nam lớn, có tác dụng tương tự chữ kí tay dùng môi trường điện tử.Mặt khác chứng số lại có độ bảo mật tin cậy gần tuyệt đối lại nhanh chóng giúp rút ngắn thời gian thủ tục so với sách áp dụng thời nhiều lần.[4] Khái niệm “chứng thực số” “chữ kí số” tương đối với người sử dụng Việt Nam Để hiểu vai trò giao dịch điện tử, người dùng đòi hỏi phải có kiến thức định CNTT (mã hóa bất đối xứng, khóa công khai, khóa bí mật…) Vì phần khách hàng chưa hưởng ứng dịch vụ “không tin” vào chứng thực số chữ kí số Để triển khai chữ kí số Hà Nội nhiều khó khăn gặp phải chữ kí số chưa thực sự quan tâm ủng hộ mạnh mẽ nhà nước ứng dụng thương mại điện tử hành điện tử Bên cạnh người dân chưa thực hiểu rõ lợi ích, tính chưa quen tiếp cận với công nghệ - 10 - Footer Page 10 of 166 HeaderNghiên Pagecứu 68vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố Hình 4.18 Khi client yêu cầu cấp phát chứng chỉ, CA sẻ kiểm tra thông tin trạng thái đối tượng Active Directory client để định xem có quyền cấp phát hay không Nếu có quyền CA sẻ tự động cấp chứng cho client 4.5.2 Cấp phát tay Stand-alone CA dùng auto-enrollment, stand-alone CA nhận yêu cầu chứng số từ client, lưu trữ vào hàng đợi người quản trị định liệu có cấp phát chứng cho client hay không Để giám sát xử lý yêu cầu vào, người quản trị dùng Certificate Authority console - 68 - Footer Page 68 of 166 HeaderNghiên Pagecứu 69vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố Hình 4.19 Tất yêu cầu cấp phát chứng nằm thư mục Pending Requests Sau người quản trị xem xét đánh giá thông tin request sẻ định chấp nhận từ chối cấp phát cho client đó.Ngoài người quản trị xem thông tin cấp phát, thu hồi chứng cần 4.6 Các cách yêu cầu cấp phát chứng 4.6.1 Yêu cầu cấp phát Certificates snap-in Certificates snap-in công cụ để xem quản lý chứng user máy tính cụ thể Giao diện certificates snap-in cho chứa tất thông tin chứng user máy tính Certificates snap-in cho phép người dùng yêu cầu thay đổi chứng số cách dùng Certificate Request Winza rd Certificate Renewal Winzard Hình 4.20 - 69 - Footer Page 69 of 166 HeaderNghiên Pagecứu 70vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố 4.6.2 Yêu cầu thông qua web Khi cài đặt Certificate Services máy chạy windows server 2003, người dùng có chọn cài đặt module certificate services web enrollment support Để hoạt động đắn, module yêu cầu người dùng phải cài đặt IIS máy tính trước Chọn module trình cài đặt Certificate Services tạo rat rang web máy tính chạy CA, Trang web cho phép người dùng gửi yêu cầu cấp phát chứng số mà họ chọn Hình 4.21 Giao diện Web Autoenrollment Support dùng cho người sử dụng bên bên mạng truy xuất đến Stand-alone CAs Vì stand-alone server không dùng mẫu chứng số, client gửi yêu cầu bao gồm tất thông tin cần thiết chứng số thông tin vể người dùng chứng số Khi client yêu cầu cấp chứng số dùng giao diện Wen Erollment Support, chúng chọn từ danh sách loại chứng định nghĩa trước tạo chứng cao cấp cách rõ tất thông tin yêu cầu form Web-based Khi Client dùng chứng số kiểm tra điểm phân phối CRL định rõ chứng để chắn chứng cần chứng thực chưa bị thu hồi - 70 - Footer Page 70 of 166 HeaderNghiên Pagecứu 71vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố Hình 4.22 4.6.3 Thu hồi chứng Có vài nguyên nhân cảnh báo cho người quản trị thu hồi chứng Nếu khóa bí mật bị lộ người dùng trái phép lợi dụng truy xuất đến CA, chí bạn muốn dùng chứng sử dụng tham số khác trước chứng bạn phải thu hồi CA có CRL chứa danh sách chứng bị thu hồi, người dùng truy xuất đến CRL sở liệu Active Directory để xem trạng thái chứng bị thu hồi hay không, giao thức gọi LDAP Một stand-alone CA lưu trữ CRL file đĩa cục server, client dùng giao thức HTTP FTP để truy xuất Mỗi chứng chứa đường dẫn tới điểm phân phối CA cho CRLs Có thể sửa đổi đường dẫn Certificate Authority console cách hiển hị hộp thoại peroperties cho CA - 71 - Footer Page 71 of 166 HeaderNghiên Pagecứu 72vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố 4.7 Một số dịch vụ mạng sử dụng CA 4.7.1 Dịch vụ Web sử dụng SSL SSL-Secure Socket Layer giao thức mã hóa cung cấp truyền thông an toàn internet web browing, email.SSL cung cấp chứng thực điểm cuối kết nối, kênh truyền thông riêng tư internet cách mã hóa Thông thường có server chứng thực, nghĩa có người dùng cuối biết rõ nói chuyện với Ở mức độ bảo mật cao hai bên phải biết nhau, chứng thực lẫn Chứng thực lẫn yêu cầu dùng hạ tầng khóa công khai PKI Mô hình dịch vụ: Hình 4.23 mô hình dịch vụ SSL 4.7.2 Dịch vụ IPSec IPSec-Internet Protocol Sercurity giao thức thiết kế để bảo vệ liệu chữ kí điện tử mã hóa trước truyền IPSec mã hóa thông tin gói tin IP theo cách đóng gói nó, nên bắt gói tin sẻ không đọc nội dung bên IPSec hoạt động tầng mạng (tầng 3) mô hình OSI, khác với giao thức bảo mật internet khác SSL, TLS SSH thực tầng giao vận trở - 72 - Footer Page 72 of 166 HeaderNghiên Pagecứu 73vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố lên (tầng tới tầng 7) điều tạo tình mềm dẻo cho IPSec hoạt động tới tầng với TCP UDP Có giao thức phát triển để bảo mật internet cho gói tin hai phiên ipv4 ipv6: [9] a) IP Authentication Header-AH: Không mã hóa liệu gói IP mà mã hóa phần header AH cung cấp dịch vụ bảo mật bản, liệu đọc bắt gói tin, nội dung thay đổi Hình 4.24 Nội dung gói tin Ipv4 b) IP Encapsulating Security Payload-ESP: Mã hóa toàn nội dung gói tin IP, ngăn không cho người nghe đọc nội dung gói liệu di chuyển mạng ESP cung cấp dịch vụ chứng thực, đảm bảo toàn vẹn liệu mã hóa liệu Hình 4.25 Nội dung gói tin ipv6 - 73 - Footer Page 73 of 166 HeaderNghiên Pagecứu 74vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố Mô hình dịch vụ: Hình 4.26 Mô hình dịch vụ IPSec 4.7.3 Dịch vụ VPN VPN-Virtual Private Network mạng riêng dùng mạng công cộng internet để kết nối điểm người sử dụng tới mạng Lan trung tâm VPN cho phép truyền liệu hai máy tính sử dụng môi trường mạng công cộng Thay kết nối phức tạp, VPN tạo liên kết ảo truyền qua internet tổ chức với địa điểm, cá nhân truy cập từ xa Hình 4.27 Mô hình dịch vụ VPN - 74 - Footer Page 74 of 166 HeaderNghiên Pagecứu 75vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố Các loại VPN Có hai loại phổ biến VPN truy cập từ xa (Remote-Access ) VPN điểm-nối-điểm (site-to-site) VPN truy cập từ xa gọi mạng Dial-up riêng ảo (VPDN), kết nối người dùng-đến-LAN, thường nhu cầu tổ chức có nhiều nhân viên cần liên hệ với mạng riêng từ nhiều địa điểm xa Ví dụ công ty muốn thiết lập VPN lớn phải cần đến nhà cung cấp dịch vụ doanh nghiệp (ESP) ESP tạo máy chủ truy cập mạng (NAS) cung cấp cho người sử dụng từ xa phần mềm máy khách cho máy tính họ Sau đó, người sử dụng gọi số miễn phí để liên hệ với NAS dùng phần mềm VPN máy khách để truy cập vào mạng riêng công ty Loại VPN cho phép kết nối an toàn, có mật mã Hình minh họa cho thấy kết nối Văn phòng "Văn phòng" gia nhân viên di động loại VPN truy cập từ xa) VPN điểm-nối-điểm việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với thông qua mạng công cộng Internet Loại dựa Intranet Extranet Loại dựa Intranet: Nếu công ty có vài địa điểm từ xa muốn tham gia vào mạng riêng nhất, họ tạo VPN intranet (VPN nội bộ) để nối LAN với LAN Loại dựa Extranet: Khi công ty có mối quan hệ mật thiết với công ty khác (ví dụ đối tác cung cấp, khách hàng ), họ xây dựng VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác làm việc môi trường chung Trong hình minh họa trên, kết nối Văn phòng Văn phòng từ xa loại VPN Intranet, kết nối Văn phòng với Đối tác kinh doanh VPN Extranet Bảo mật VPN Tường lửa (firewall) rào chắn vững mạng riêng Internet Bạn thiết lập tường lửa để hạn chế số lượng cổng mở, loại gói tin giao thức chuyển qua Một số sản phẩm dùng cho VPN router 1700 Cisco nâng cấp để gộp tính tường lửa cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt cài tường lửa thật tốt trước thiết lập VPN - 75 - Footer Page 75 of 166 HeaderNghiên Pagecứu 76vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố Mật mã truy cập máy tính mã hóa liệu gửi tới máy tính khác có máy giải mã Có hai loại mật mã riêng mật mã chung Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính có mã bí mật để mã hóa gói tin trước gửi tới máy tính khác mạng Mã riêng yêu cầu bạn phải biết liên hệ với máy tính để cài mã lên đó, để máy tính người nhận giải mã Mật mã chung (Public-Key Encryption) kết hợp mã riêng mã công cộng Mã riêng có máy bạn nhận biết, mã chung máy bạn cấp cho máy muốn liên hệ (một cách an toàn) với Để giải mã message, máy tính phải dùng mã chung máy tính nguồn cung cấp, đồng thời cần đến mã riêng Có ứng dụng loại dùng phổ biến Pretty Good Privacy (PGP), cho phép bạn mã hóa thứ Giao thức bảo mật giao thức Internet (IPSec) cung cấp tính an ninh cao cấp thuật toán mã hóa tốt hơn, trình thẩm định quyền đăng nhập toàn diện IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin Transport mã hóa kích thước Chỉ hệ thống hỗ trợ IPSec tận dụng giao thức Ngoài ra, tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống IPSec mã hóa liệu nhiều thiết bị khác router với router, firewall với router, PC với router, PC với máy chủ Máy chủ AAA AAA viết tắt ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) Accounting (kiểm soát) Các server dùng để đảm bảo truy cập an toàn Khi yêu cầu thiết lập kết nối gửi tới từ máy khách, phải qua máy chủ AAA để kiểm tra Các thông tin hoạt động người sử dụng cần thiết để theo dõi mục đích an toàn - 76 - Footer Page 76 of 166 HeaderNghiên Pagecứu 77vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố Chương Chương trình thực nghiệm a Vai trò: chương trình có chức chính: - Sinh cặp khóa bí mật - công khai cho người dùng với độ dài bit tùy chọn (H1) - Mã hóa rõ (H2) file (H4) sử dụng khóa công khai - Sử dụng khóa bí mật để giải mã mã file ghi mã.(H3) b Mô tả chi tiết thao tác - Sinh khóa (Generate Keys): tab “Scryption” chọn “Generate Key Pairs” xuất form “Generate keys” cho phép người dùng sinh cặp khóa với đồ dài bit tùy chọn - Mã hóa (Encrypt) : Sử dụng khóa công khai để giải mã tin cách tab “Scryption” chọn “Encrypt” để tìm đến khóa công khai cần thiết - Giải mã (Decrypt) : liệu mã hóa, sử dụng khóa bí mật để giải mã tin cách tab “Scryption” chọn “Decrypt” tìm đến khóa bí mật để giải mã c Một số giao diện chương trình: H1 Trình sinh khóa - 77 - Footer Page 77 of 166 HeaderNghiên Pagecứu 78vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố H2 Giao diện chương trình sinh khóa mã hóa H3a Dùng khóa công khai mã hóa tin - 78 - Footer Page 78 of 166 HeaderNghiên Pagecứu 79vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố H 3b Dùng khóa bí mật giãi mã tin H4 Mở file chứa rõ mã để mã hóa/giải mã - 79 - Footer Page 79 of 166 HeaderNghiên Pagecứu 80vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố KẾT LUẬN Kết đạt hạn chế: Trong thời gian nghiên cứu sở hạ tầng khóa công khai, nắm kiến trúc chung PKI, kiến thức sở để xây dựng hệ thống PKI Cách thức xây dựng hệ thống PKI để ứng dựng đơn vị quan Khóa luận có tìm hiểu, trình bày khái niệm, công nghệ, mô hình tổ chức nhằm xây dựng nên sở hạ tầng lý thuyết vững tạo tiền đề đưa hệ thống PKI triển khai vào thực tế Bên cạnh khóa luận xây dựng chương trình cấp cặp khóa cho thực thể cuối Đã rõ cách thức cài đặt, cấu hình cho hệ thống “mini” CA dựa phần mềm tích hợp sẵn môi trường windows server 2003 Tuy nhiên khóa luận vấn đề hạn chế chưa xây dựng hoàn thiện hệ thống PKI, chưa tìm hiểu đường cong elliptic cài đặt chữ kí số đường cong elliptic ECDSA Hướng phát triển tương lai o Hoàn thiện module hệ thống cung cấp chứng số o Đẩy mạnh việc nghiên cứu, xây dựng triển khai hệ thống cung cấp chứng số để đảm bảo an toàn thông tin giao dịch ngành - 80 - Footer Page 80 of 166 HeaderNghiên Pagecứu 81vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố DANH MỤC TỪ VIẾT TẮT ARLs Authority Revocation Lists CA Certificate Authority CAO Certificate Authority Operator CSP Certification Service Provider CRLs Certificate Revocation Lists CRR Certificate Revocation Request DAP Directory Access Protocol DES Data Encryption Standard DNS Domain Name System DSS Digital Signature Standard ECC Elliptic Curve Cryptography EE End Entity PGP Pretty Good Privacy PKI Public Key Infrastructure PKIX Extended Public Key Infrastructure PKC Public Key Certificate PKCS Public Key Cryptography Standards Security RA Registration Authorities RAO Registration Authorities Operator RFC Request For Comments RSA Rivest Shamir Adleman SSL Secure Socket Layer TLS Transport Layer IEEE Institute of Electrical & Electronic Engineers LDAP Lightweight Directory Access Protocol OCSP Online Certificate Status Protocol - 81 - Footer Page 81 of 166 HeaderNghiên Pagecứu 82vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố TÀI LIỆU THAM KHẢO [1] Jalal Feghhi, Jalil Feghhi, Peter Wiliams, Digital Certificates Applied Internet Sercurity [2] Alexander W.Dent and Chris J.Mitchell, A Companion to User’s Guide to Cryptography and Standards [3] Trịnh Nhật Tiến, ”An toàn liệu ” Đại học Công Nghệ- ĐHQGHN [4] http://www.pcworld.com.vn/articles/quan-ly/tu-van/2009/04/1193885/chu-kyso-va-thuong-mai-dien-tu/ [5] http://www.e.govt.nz/archive/services/see/see-pkipaper4/chapter3.html/view?searchterm=architectures [6] http://www.corestreet.com/solutions/prod_tech/tech/d-ocsp.html [7] http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHel p/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e.mspx [8] http://mystyleit.com/blogs/mystyleit/archive/2008/01/14/creating-a-ssl-certificatewith-selfssl.aspx [9] 1.html [10] http://www.thietkewebsite.com/tai-lieu-mang-bao-mat/ipsec-toan-tap-phanhttp://www.youdzone.com/signature.html - 82 - Footer Page 82 of 166 ... cầu - 11 - Footer Page 11 of 166 HeaderNghiên Pagecứu 12vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố Chương – Chứng số hạ tầng khóa công khai Mật mã khóa công khai. .. dụng thực tiễn công tác - - Footer Page of 166 HeaderNghiên Pagecứu of 166 .khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố triển Tóm tắt Ở Việt Nam vài năm gần đây, sở hạ tầng truyền... công khai - 12 - Footer Page 12 of 166 HeaderNghiên Pagecứu 13vàoftriển 166 khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố “PKI sở hạ tầng trợ hỗ trợ quản lý khóa công khai để hỗ