TRờng đại học vinh Khoa công nghệ thông tin === === bảo mật websi te bảo mật websi te với ssl certi fi cate với ssl certi fi cate khóa luận TốT NGHIệP đại học khóa luận TốT NGHIệP đại học Giáo viên hớng dẫn: ThS. nguyễn công nhật Sinh viên thực hiện: Trần thị kiều Lớp: 48B - CNTT Khóa luận tốt nghiệp Bảo mật Website với SSL Certificate Vinh - 2011 GVHD:Th.s Nguyễn Công Nhật 2 SV: Trần Thị Kiều Khóa luận tốt nghiệp Bảo mật Website với SSL Certificate LỜI CẢM ƠN Em xin gửi lời cảm ơn chân thành tới quý thầy, cô giáo khoa công nghệ thông tin trường đại học vinh nói chung và thầy cô giáo trong tổ bộ môn mạng máy tính và truyền thông nói riêng đã giúp đỡ và tạo điều kiện cho em trong suốt quá trình làm khóa luận. Em xin chân thành cảm ơn thầy giáo Nguyễn Công Nhật đã giúp đỡ, chỉ bảo và hướng dẫn tận tình. Trong quá trình làm khóa luận, tuy đã cố gắng hết sức nhưng cũng không thể tránh khỏi những thiếu sót. Rất mong nhận được ý kiến giúp đỡ của các thầy, cô để khóa luận của em được hoàn thiện hơn. Em xin cảm ơn! Sinh viên thực hiện Trần Thị Kiều GVHD:Th.s Nguyễn Công Nhật 1 SV: Trần Thị Kiều Khóa luận tốt nghiệp Bảo mật Website với SSL Certificate MỤC LỤC .1 2.3 Cấu hình Trusted Root Certificate Authority .30 II. HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 43 GVHD:Th.s Nguyễn Công Nhật 2 SV: Trần Thị Kiều Khóa luận tốt nghiệp Bảo mật Website với SSL Certificate LỜI MỞ ĐẦU Trong thực tế hiện nay, bảo mật thông tin đang đóng một vai trò thiết yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin. Vai trò to lớn của việc ứng dụng công nghệ thông tin đã và đang diễn ra sôi động, không chỉ thuần túy là quảng bá thông tin, hình ảnh mà còn được sử dụng trong thương mại điện tử, các giao dịch trực tuyến …Vấn đề nảy sinh là khi phạm vi ứng dụng của các ứng dụng Internet ngày càng được mở rộng thì khả năng xuất hiện lỗi và bị tấn công càng cao, trở thành đối tượng cho nhiều người tấn công với nhiều mục đích khác nhau. Với những công cụ tự động tìm lỗ hổng cũng giúp ích rất nhiều cho các nhà lập trình Web nhưng cũng không thể ngăn chặn toàn bộ vì công nghệ Web đang phát triển nhanh chóng (chủ yếu chú ý đến thẫm mỹ, tốc độ…) Nên dẫn đến nhiều khuyết điểm mới phát sinh. Sự tấn công không nằm trong khuôn khổ vài kỹ thuật đã được phát hiện mà linh động và tăng lên tùy vào những sai sót của nhà quản trị hệ thống cũng như những nhà lập trình ứng dụng. Giao tiếp HTTP được coi là tốt cho các máy chủ Web thông thường chỉ chứa các trang thông tin thuần túy. Nhưng với các trang thương mại điện tử hoặc các dịch vụ Web cần các giao dịch bảo mật, thì cần bảo mật giao tiếp giữa máy chủ Web với máy khách hàng, cách thức phổ biến nhất là sử dụng Secure Socket Layer (SSL), cách thức dùng một mã khóa công khai để bảo vệ các thông tin bí mật của khách hàng (như số liệu thẻ tín dụng hoặc mật khẩu tài khoản ngân hàng) khi truyền qua môi trường Web. Để biết thêm về vai trò và cách thức hoạt động của SSL, em đã chọn đề tài “Bảo mật Website với Secure Socket Layer Certificate” làm đề tài khóa luận tốt nghiệp của mình. Qua đề tài sẽ cho chúng ta thấy được tầm quan trọng của việc bảo mật thông tin trên Internet. Vai trò của SSL Certififcate trong việc bảo mật Website. GVHD:Th.s Nguyễn Công Nhật 3 SV: Trần Thị Kiều Khóa luận tốt nghiệp Bảo mật Website với SSL Certificate I. Mục tiêu: Tìm hiểu về tầm quan trọng của việc bảo mật Website đối với các trang web giao dịch thương mại điện tử. Đưa ra các giải pháp bảo mật Website cho các tổ chức, doanh nghiệp. Tìm hiểu cách thức hoạt động, các bước cài đặt giao thức bảo mật SSL. II. Phương pháp nghiên cứu: • Đọc kỹ và nắm bắt được các yêu cầu của khóa luận đề ra. • Đi sâu vào việc tìm kiếm tài liệu và trình bày một cách hợp lý nhất. • Tiếp thu những ý kiến đóng góp của giáo viên hướng dẫn. III. Bố cục của khóa luận gồm 3 chương: • Chương I: Tổng quan về SSL Certificate • Chương II: Cài đặt SSL Certificate từ Verisign.com • Chương III: Kết luận GVHD:Th.s Nguyễn Công Nhật 4 SV: Trần Thị Kiều Khóa luận tốt nghiệp Bảo mật Website với SSL Certificate DANH MỤC TỪ VIẾT TẮT SỐ HIỆU CỤM TỪ VIẾT TẮT 1 Secure Socket Layer SSL 2 Công Nghệ Thông Tin CNTT 3 Certificate Authority CA 4 Identification ID 5 Hypertext Transfer Protocol HTTP 6 Hypertext Transfer Protocol Secure HTTPS 7 Internet Message Access Protocol IMAP 8 Post Office Protocol POP 9 Network Interface Controller NIC 10 Internet Protocol IP 11 File Transfer Protocol FTP 12 Private Communication Technology PCT 13 Universal Resource Locator URL 14 Rivest, Samir, Adleman RSA 15 Digital Signature Algorithm DSA 16 Data Encryption Standard DES 17 Key Exchange Algorithm KEA 18 Message Digest algorithm MD5 19 Secure Hash Algorithm SHA CHƯƠNG I TỔNG QUAN VỀ SECURE SOCKET LAYER CERTIFICATE GVHD:Th.s Nguyễn Công Nhật 5 SV: Trần Thị Kiều Khóa luận tốt nghiệp Bảo mật Website với SSL Certificate I. KHÁI NIỆM VỀ SECURE SOCKET LAYER CERTIFICATE 1.1.1 Khái niệm về Certificate (Chứng chỉ số): Chứng chỉ số là một tệp tin điện tử, được sử dụng để nhận dạng một cá nhân, một máy chủ, một công ty hoặc một vài đối tượng khác và gắn chỉ danh của đối tượng đó với một khóa công khai (public key). Chứng chỉ số được dùng để chứng thực chỉ danh của bạn hoặc xem xét quyền truy nhập hệ thống và dịch vụ của bạn một cách trực tuyến. 1.1.2 Tại sao cần một chứng chỉ số ? Internet ra đời đã đem lại nhiều lợi ích rất lớn cho con người, nó là một trong những nhân tố hàng đầu góp phần vào sự phát triển nhanh chóng của cả thế giới, nó mở ra các cơ hội kinh doanh mới như mua bán trực tuyến, dịch vụ ký nhận thông tin trực tuyến hay các giao dịch của ngân hàng…Chính vì một khả năng kết nối rộng rãi như vậy mà các nguy cơ mất an toàn của mạng máy tính rất lớn. Đó là các nguy cơ bị tấn công của mạng máy tính, tấn công để lấy dữ liệu, tấn công nhằm mục đích phá hoại làm tê liệt cả một hệ thống máy tính lớn, tấn công để thay đổi cơ sở dữ liệu. Các nguy cơ bị tấn công ngày càng nhiều và ngày càng tinh vi hơn, nguy hiểm hơn. Chính vì vậy, khi các doanh nghiệp, các công ty thực hiện công việc kinh doanh, trao đổi thông tin, ký kết hợp đồng thương mại trên Internet thì việc bảo đảm an toàn và bảo mật cho các thông tin đó là vấn đề quan trọng hàng đầu. Điều này đã được các công ty nhận thức một cách rõ ràng, an toàn và bảo mật trong trao đổi thông tin qua mạng đã là một chính sách không thể thiếu của họ. Đã có nhiều giải pháp bảo mật cho mạng máy tính được đưa ra như dùng các phần mềm, chương trình để bảo vệ tài nguyên, tạo những tài khoản truy xuất mạng đòi hỏi có mật khẩu…nhưng những giải pháp đó chỉ bảo vệ một phần mạng máy tính mà thôi, một khi những kẻ phá hoại mạng máy tính đã thâm nhập sâu hơn vào bên trong mạng thì có rất nhiều cách để phá hoại hệ thống dữ liệu. Giải pháp khác cho vấn đề này là dùng một chứng chỉ số, nó sẽ đảm bảo an ninh hơn nhiều so với các phương pháp bảo mật khác. Chứng chỉ số chứng thực rằng Website giao dịch của bạn đã được bảo mật an toàn bởi các cơ quan an ninh mạng đáng tin cậy GVHD:Th.s Nguyễn Công Nhật 6 SV: Trần Thị Kiều Khóa luận tốt nghiệp Bảo mật Website với SSL Certificate Đối với mỗi công ty sử dụng chứng chỉ số thì được các nhà cung cấp chứng chỉ số thẩm định rõ ràng sự tồn tại của họ về cơ sở pháp lý, điều này sẽ làm tăng sự tin tưởng của khách hàng vào doanh nghiệp đó. Và xa hơn nữa là cung cấp mức pháp lý cho khách hàng khi họ tham gia giao dịch với các doanh nghiệp đã được nhà cung cấp chứng chỉ chứng thực cho việc cấp chứng chỉ số. 1.1.3 Cách thức hoạt động của Certificate Chứng chỉ số là sự kết hợp chỉ danh với một cặp khóa, cặp khóa này dùng để xác thực sự giao dịch giữa máy chủ và máy khách, giúp cho việc mã hóa và giải mã thông tin sau này. Trong chứng chỉ số chứa một khóa gắn một tên duy nhất của một đối tượng (như tên của một nhân viên hay một server). Chứng chỉ số giúp ngăn chặn việc sử dụng khóa công khai cho việc giả mạo. Chỉ có khóa công khai đã được chứng thực bởi chứng chỉ số mới được làm việc với khóa riêng (private key) tương ứng được sở hữu bởi đối tượng có chỉ danh đã được chứng thực nằm trong chứng chỉ số. Ngoài khóa công khai một chứng chỉ số còn chứa thêm tên một đối tượng mà nó nhận diện, hạn dùng, tên của nhà cấp chứng chỉ số đó (Certificate Authority-viết tắt là CA), mã số thứ tự và những thông tin khác. Điều quan trọng nhất là một chứng chỉ số luôn chứa chữ ký số của CA đã cấp chứng chỉ số đó. Nó cho phép chứng chỉ số như đã được đóng dấu để cho người sử dụng biết và tin cậy vào CA. Chứng chỉ số đảm bảo an toàn cho các giao dịch của các tổ chức doanh nghiệp, cá nhân thông qua mạng. 1.1.4 Certificate Authority (CA) là gì? Đây là một tổ chức tin cậy phát hành các chứng thực điện tử (electronic certificate) cho các đối tác cần trao đổi thông tin, giao dịch với nhau thông qua các phương tiện giao tiếp điện tử như: Internet, Smartcard, Security card…CA cung cấp và quản lý các electronic certificate cho các đối tác như: kiểm tra đối tác đăng kí (registration), cấp phát (issue), thu hồi certificate. CA được cấu trúc theo mô hình phân cấp X.500 và cho phép các phân cấp con có thể chứng thực cho các đối tác khác (intermediate). Các thông tin trong một certificate bao gồm public key của server, tên của đối tác đăng kí, GVHD:Th.s Nguyễn Công Nhật 7 SV: Trần Thị Kiều Khóa luận tốt nghiệp Bảo mật Website với SSL Certificate Algorithm ID được dùng để kí lên certificate, ngày hết hạn certificate, tên của tổ chức CA cấp phát. Các trusted CA bảo đảm được đầy đủ ba yếu tố cho một đối tác khi sử dụng trusted certificate đó là: CONFIDENTIALITY: Không ai có thể đọc được nội dung khi đang giao dịch. INTEGRITY: Đảm bảo được tính toàn vẹn của dữ liệu, không ai có thể chỉnh sửa lại dữ liệu. AUTHENTICATION: Bảo đảm được tính xác thực của đối tác đăng ký, không ai có thể giả mạo được. 1.1.5 Khái niệm về Secure Socket Layer (SSL) SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hóa toàn bộ thông tin đi/đến, được sử dụng trong giao dịch điện tử như truyền số liệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (mã Pin) trên Internet. Vậy SSL Certificate là gì? SSL dùng một chứng nhận số được phát hành bởi nhà cung cấp chứng nhận (CA) hợp lệ để xác thực cho cả hai bên trong giao dịch (máy khách và máy chủ). Chứng chỉ số cung cấp và chứng thực cho các khóa public key và private key để mã hóa và giải mã dữ liệu do SSL đã mã hóa, nhằm đảm bảo tính bí mật, an toàn của thông tin. 1.1.6 Lịch sử phát triển của giao thức SSL Giao thức SSL được hình thành và phát triển đầu tiên vào năm 1994 bởi nhóm nghiên cứu Netscape được dẫn dắt bởi Elgammal và ngày nay đã thành chuẩn bảo mật thực hành trên internet. Cho đến bây giờ, có 3 phiên bản của SSL: 1. SSL 1.0: Được sử dụng nội bộ chỉ bởi Netscape Communications. Nó chứa một số khiếm khuyết nghiêm trọng và không bao giờ được tung ra bên ngoài. 2. SSL 2.0: Được kết nhập vào Netscape 1.0 đến 2.x. Nó có một số điểm yếu liên quan đến sự hiện thân cụ thể của cuộc tấn công của đối tượng trung gian. Trong một nỗ lực nhằm dùng sự không chắc chắn của công chúng về bảo mật SSL, Microsoft đã giới thiệu giao thức PCT (Private Communication GVHD:Th.s Nguyễn Công Nhật 8 SV: Trần Thị Kiều . đại học vinh Khoa công nghệ thông tin === === bảo mật websi te bảo mật websi te với ssl certi fi cate với ssl certi fi cate khóa luận TốT NGHIệP đại học. Khóa luận tốt nghiệp Bảo mật Website với SSL Certificate Hình 1.2 Mô hình ứng dụng SSL II. CHỨC NĂNG, HOẠT ĐỘNG CỦA SSL CERTIFICATE 1.2.1 Chức năng của SSL