Nghiên cứu triển khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố TRƯỜNG ………………… KHOA……………………… - - Báo cáo tốt nghiệp Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI HẠ TẦNG KĨ THUẬ T KHỐ CƠNG KHAI Ở UBND TỈNH THÀNH PHỐ LỜI CẢM ƠN - - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố Trước tiên, em muốn gửi lời cảm ơn sâu sắc đến thầy giáo TS Lê Phê Đơ, người tận tình hướng dẫn em suốt q trình học tập làm khóa luận tốt nghiệp Em xin bày tỏ lời cảm ơn sâu sắc đến thầy cô giáo giảng dạy chúng em suốt năm học qua, kiến thức mà chúng em nhận giảng đường đại học hành trang giúp chúng em vững bước tương lai Tôi muốn gửi lời cảm ơn sâu sắc đến tất bạn bè, đặc biệt tập thể lớp K51CD , người bên suốt tháng năm học tập rèn luyện Được hoàn thành thời gian hạn hẹp Luận văn chắn cịn nhiều thiếu sót Tơi xin cảm ơn thầy cơ, bạn bè người thân có ý kiến đóng góp chân thành cho nội dung luận văn để tiếp tục sâu vào tìm hiểu ứng dụng thực tiễn cơng tác - - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố Tóm tắt Ở Việt Nam vài năm gần đây, sở hạ tầng truyền thông ngày mở rộng, lượng người sử dụng internet ngày phổ biến, internet trở thành môi trường giao dịch với nhiều người, nhiều tổ chứng, hầu hết thông tin nhạy cảm quan trọng lưu trao đổi hình thức điện tử doanh nghiệp văn phịng Sự phát triển cơng nghệ khiến cho việc thông tin bị xem trộm, phá hoại trở nên dễ dàng, chứng số trở nên thiết Chứng số nhiều nơi giới triển khai ứng dụng thành công, nhiên Việt Nam việc nghiên cứu, ứng dụng triển khai PKI (Public Key Infrastructure) dịch vụ cung cấp vấn đề mang tính thời Luận văn thực với mục đích nghiên cứu tìm hiểu hệ thống PKI bao gồm chứng số, khái niệm sở PKI, chức thành phần PKI, quy trình xin cấp, phát, hủy bỏ chứng PKI, mô hình PKI tin cậy, ưu nhược điểm mơ hình Khóa luận nghiên cứu ứng dụng công nghệ, cách thức triển khai quản lý hệ thống cấp phát chứng số môi trường windows server 2003 - - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố Mục lục Chương - Giới thiệu tổng quan 1.1 Giới thiệu 1.2 Hệ mật mã 1.3 Chứng số lợi ích chứng số 1.4 Hiện trạng sử dụng chứng số giới Việt Nam 10 Chương – Chứng số hạ tầng khóa cơng khai 12 2.1 Chứng số (digital certificates) 13 2.1.1 Giới thiệu 13 2.1.2 Chứng khóa cơng khai X.509 15 2.1.3 Thu hồi chứng 19 2.1.4 Chính sách chứng 19 2.1.5 Công bố gửi thông báo thu hồi chứng 20 2.2 Các thành phần PKI 24 2.2.1 Tổ chức chứng thực (Certificate Authority) 25 2.2.2 Trung tâm đăng kí (Registration Authorities) 26 2.2.3 Thực thể cuối (End Entity) 27 2.2.4 Hệ thống lưu trữ (Reponsitories) 27 2.3 Chức PKI 28 2.3.1 Chứng thực (Certification) 28 2.3.2 Thẩm tra 28 2.3.3 Một số chức khác 29 2.4 Kiến trúc PKI 32 2.4.1 Mơ hình CA đơn 33 2.4.2 Mơ hình phân cấp 34 2.4.3 Kiến trúc phân cấp mạng lưới 35 2.4.4 Kiến trúc danh sách tin cậy 37 Chương - Xây dựng hệ thống cung cấp chứng số 40 3.1 Tổng quan hệ thống 40 3.1.1 Mơ hình hệ thống 40 3.1.2 Một số đặc tính hệ thống cung cấp chứng số 40 3.2 Các thành phần hệ thống cung cấp chứng số 45 3.2.1 Các thành phần CA 45 3.2.2 Các thành phần RA 46 - - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố 3.2.3 Các thành phần Subcriber 47 3.3 Chức trình khởi tạo thành phần hệ thống cung cấp chứng số MyCA 47 3.3.1 Registration Authority - RA 48 3.3.2 RAO 49 3.3.3 LDAP Public Database Server 49 3.4 Qui trình đăng ký, cấp phát huỷ bỏ chứng 51 3.4.1 Qui trình đăng ký cấp chứng 51 3.4.2 Qui trình huỷ bỏ chứng 53 Chương : Triển khai CA quản lý chứng môi trường window server 2003 57 4.1 cài đặt Active Directory 57 4.2 Cài đặt dịch vụ CA 62 4.3 Các loại CA window server 2003 65 4.4 Các dịch vụ chứng window server 2003 cung cấp .66 4.5 Cấp phát quản lý chứng số 66 4.5.1 Cấp phát tự động (Auto-Enrollment) 66 4.5.2 Cấp phát tay 68 4.6 Các cách yêu cầu cấp phát chứng 69 4.6.1 Yêu cầu cấp phát Certificates snap-in 69 4.6.2 Yêu cầu thông qua web 70 4.6.3 Thu hồi chứng 71 4.7 Một số dịch vụ mạng sử dụng CA 72 4.7.1 Dịch vụ Web sử dụng SSL 72 4.7.2 Dịch vụ IPSec 72 4.7.3 Dịch vụ VPN 74 Chương : Chương trình thực nghiệm 72 KẾT LUẬN 80 DANH MỤC TỪ VIẾT TẮT 81 TÀI LIỆU THAM KHẢO 82 - - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố Chương - Giới thiệu tổng quan 1.1 Giới thiệu Từ xa xưa người sáng tạo cách thức truyền tin dùng khói dùng ánh sáng, dùng khói…rồi tiếp nhu cầu xác thực thông tin ngày cao họ biết sử dụng dấu hiệu đặc biệt kí hiệu, dấu vân tay…Và dấu hiệu phổ biến mà ngày sử dụng rộng rãi dấu, dấu vân tay chữ kí Trong xã hội đại việc xác thực bảo mật thông tin trở thành nhu cầu quan trọng thiếu đặc biệt lĩnh vực trị, quân Những “dấu hiệu đặc biệt” khơng mang tính chất sở hữu thơng tin, tài liệu … mà cịn mang tính chất pháp lý Với phát triển nhanh chóng công nghệ thông tin, văn tài liệu lưu dạng số trở nên dễ dàng bị chép, sửa đối Với hình thức chữ kí truyền thống dường trở nên khơng cịn hiệu Trước tình hình người ta đưa nhiều giải pháp có giải pháp hiệu nhiều nước giới sử dụng rộng rãi chữ kí số hay cịn gọi chứng số Chứng số hoạt động dựa hệ thống mã hóa khóa cơng khai Hệ thống mã hóa gồm hai khóa, khóa cơng khai khóa bí mật Mỗi chủ thể sẻ có cặp khóa vậy, khóa bí mật chủ thể giữ an tồn bí mật khóa cơng khai cơng bố công khai 1.2 Hệ mật mã Mật mã kỹ thuật sử dụng từ lâu đời để đảm bảo an tồn thơng tin Trước mật mã chủ yếu sử dụng an ninh quốc phòng, ngày trở thành nhu cầu người ngành Có nhiều loại mật mã khác phổ biến hệ mật mã khóa đối xứng (mật mã cổ điển) hệ mật mã khóa cơng khai (mật mã đại) [3] Người ta sử dụng hệ mật theo mục đích khác tùy theo ưu điểm nhược điểm riêng hệ mật mã - - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố Với hệ mật mã khóa đối xứng khóa việc mã hóa giải mã dùng chung khóa, người dùng phải giữ bí mật khóa chung đó, hệ mật mã có khả mã hóa thơng tin với tốc độ nhanh lại có nhược điểm độ bảo mật kém, kẻ gian dễ dàng giải mã thơng tin khóa bị lộ nên thường dùng mã hóa tài liệu có dung lượng lớn quan trọng Với hệ mã hóa khóa cơng khai, người dùng có cặp khóa cơng khai khóa bí mật Ngun tắc dùng khóa bí mật để mã hóa dùng khóa cơng khai để giãi mã, cịn dùng khóa cơng khai để mã hóa dùng khóa bí mật để giải mã Khóa bí mật người dùng giữ bí mật khóa cơng khai cơng bố để có nhu sử dụng cầu biết lấy Hệ mã hóa khóa cơng khai có độ an tồn cao lại có tốc độ mã hóa chậm so với hệ mã hóa khó đối xứng nên thường sử dụng mã hóa tin nhỏ có tầm quan trọng Ngồi việc mã hóa hệ mật mã khóa cơng khai cịn sử dụng để ký số, tạo đại diện, xác thực thông tin, chống chối cãi giao dịch điện tử… 1.3 Chứng số lợi ích chứng số A Khái niệm Chứng số tệp tin điện tử dùng để xác minh cá nhân, công ty, máy chủ, trang web… internet Nó giống lái xe, hộ chiếu hay, chứng minh thư hay giấy tờ cá nhân người Cũng tương tự chứng minh thư hay hộ chiếu…Để có chứng số bạn phải xin cấp quan có thẩm quyền đủ tin cậy xác minh thơng tin bạn Cơ quan gọi CA (Certificate Authority) CA chịu trách nhiệm độ xác trường thơng tin chứng Chứng số có thành phần chính: - Thơng tin cá nhân - Khóa cơng khai - Chữ kí số CA - Thời gian sử dụng Thông tin cá nhân: Là thông tin cá nhân đối tượng cấp chứng số họ tên, địa chỉ, ngày sinh, số chứng minh nhân dân, quốc tích, email, số điện thoại trường thông tin mở rộng khác tùy theo quan cấp chứng số - - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố Khóa cơng khai: Là giá trị quan CA cấp cho đối tượng đăng kí chứng số Nó sử dụng khóa mã hóa kèm với chứng số Khóa cơng khai khóa bí mật tạo nên cặp khóa hệ mật mã khóa bất đối xứng Khóa cơng khai hoạt động dựa nguyên lý bên tham gia biết khóa cơng khai Bên A dùng khóa cơng khai bên B mã hóa thơng tin muốn gửi cho bên B, bên B sử dụng khóa bí mật để giải mã tin gửi đến Ngược lại bên A dùng khóa bí mật để ký lên tài liệu có nhu cầu dùng khóa cơng khai A để xác thực chữ ký tài liệu A ký Để đơn giản coi chứng số khóa cơng khai chứng minh thư hay hộ chiếu… khóa bí mật dấu vân tay, khn mặt… Chữ kí số CA Là chứng đơn vị CA cấp chứng nhằm đảm bảo tính xác thực hợp lệ CA Để kiểm tra tính xác thực chứng số phải kiểm tra chữ kí số CA xem có hợp lệ hay khơng Nó giống dấu xác nhận quan công an mà bạn trực thuộc giấy chứng minh nhân dân hộ chiếu B Lợi ích chứng số Mã hóa : Một lợi ích chứng số mã hóa Người gửi mã hóa thơng tin khóa cơng khai người nhận trước gửi đi, điều đảm bảo người nhận có khả giải mã đọc tin nhận từ người gửi dù q trình truyền tin internet thơng tin bị kẻ xấu lấy trộm khơng thể biết gói tin mang thơng tin Đây tính quan trọng giúp người gửi hồn tồn tin cậy khả bảo mật thơng tin Điều cần thiết giao dịch điện tử mang tính quan trọng tốn điện tử, chuyển khoản, giao dịch liên ngân hàng bỏ phiếu điện tử… Chống giả mạo: Trong thông tin điện tử, bạn sẻ lo lắng gói tin nhận có phải thật khơng hay gói tin bạn truyền có bị làm giả sửa đổi thơng tin bên hay khơng cơng nghệ thơng tin tin hồn tồn chép làm giả cách dễ dàng Tuy nhiên với tin có sử dụng chứng số bạn - - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố hồn tồn n tâm, thay đổi tin sẻ bị phát Với tên miền, địa email có sử dụng chứng số ln đảm bảo an tồn Xác thực: Khi người nhận nhận tin có kèm chứng số người gửi đồng thời người biết thơng tin người, tổ chức, quan gửi tin, thơng tin quan CA xác thực hồn tồn tin cậy Điều quan trọng, tạo tin tưởng giảm kể thời gian xác thực thông tin Chống chối cãi: Khi sử dụng chứng số, người gửi phải chịu trách nhiệm thông tin gửi Trong trường hợp người gửi phủ định thơng tin mà người nhận nhận chứng số người nhận có sẻ chứng xác định thơng tin xác người gửi Nếu người gửi chối cãi quan cấp chứng CA sẻ chịu trách nhiệm xác định xác người gửi tin Chữ kí điện tử: Ngày việc sử dụng email trở nên phổ biến email phương tiện gửi thư nhanh chóng, rẻ tiền Bên cạnh việc chép, bị lộ email dễ dàng kẻ gian Nếu sử dụng chữ kí truyền thống sẻ dễ bị giả mạo, thư gửi bị thay đổi trước đến tay người nhận Với chữ kí điện tử, thử gửi đảm bảo hồn tồn bí mật, an tồn trường hợp bị kẻ gian lấy trộm thư, thay đổi thư sẻ bị người nhận phát Bảo mật website Bạn sử dụng website cho mục đích thương mại, mục đích quan trọng khác Để đảm bảo thông tin trao đổi bạn khách hàng bị lộ, sử dụng chứng số SSL (Secures Socket Layer) cho phép cầu hình website theo giao thức bảo mật Chứng số cho phép thôngtin trao đổi ban khách hàng, nhân viên, đối tác…không bị lộ Chứng đảm bảo an toàn thực mua sắm thẻ tín dụng, giao dịch trực tiếp mạng, khơng bị kẻ gian dị mật hay thông tin nhạy cảm khác - - Nghiên cứu triển khai hạ tầng kĩ thuật khóa công khai UBND tỉnh – thành phố Đảm bảo phần mềm: Hiện việc chép làm giả ăn cắp quyền phần mềm việc phổ biến tình trạng phổ biến Việt Nam nhiều nước khác giới Sử dụng chứng số đảm bảo phần mềm bạn có “có tem chống hàng giả” tin cậy Nhà sản xuất chứng số cho phép bạn kí lên Aplet, Script, Java Software…các file dạng exe, cab,dll Thông qua chứng số người dùng sẻ xác thực nguồn gốc thực sản phẩm, xác thực bạn nhà cung cấp Qua làm cho nhà sản xuất có trách nhiệm cao với sản phẩm làm Ngoài chứng giúp phát thay đổi sản phẩm trường hợp có viruts, bị crack… Chứng số với chức đảm bảo phần mềm sử dụng rộng rãi giới Đây tảng công nghệ dần trở thành tiêu chuẩn toàn cầu 1.4 Hiện trạng sử dụng chứng số giới Việt Nam Hiện internet Việt Nam nói chung Hà Nội nói riêng phổ biến, Số lượng người sử dụng máy tính truy cập internet chiếm tỷ lệ ngày cao Nhu cầu giao dịch trực tuyến mạng trở nên phổ biến ngành thương mại điện tử tài ngân hàng Tuy nhiên với phát triển công nghệ thông tin hacker với thử đoạn tinh vi, nguy trộm cắp bị lộ thông tin nhạy cảm mã số tài khoản, thông tin cá nhân…ngày gia tăng Các biện pháp bảo vệ thông tin mật mật trở nên khơng hiệu tin tặc dễ dàng dị Vì vấn để bảo mật thơng tin truyền mạng ngày trở nên cấp thiết Do khả ứng dụng chữ kí số Hà Nội Việt Nam lớn, có tác dụng tương tự chữ kí tay dùng mơi trường điện tử.Mặt khác chứng số lại có độ bảo mật tin cậy gần tuyệt đối lại nhanh chóng giúp rút ngắn thời gian thủ tục so với sách áp dụng thời nhiều lần.[4] Khái niệm “chứng thực số” “chữ kí số” cịn tương đối với người sử dụng Việt Nam Để hiểu vai trị giao dịch điện tử, người dùng đòi hỏi phải có kiến thức định CNTT (mã hóa bất đối xứng, khóa cơng khai, khóa bí mật…) Vì phần khách hàng chưa hưởng ứng dịch vụ “khơng tin” vào chứng thực số chữ kí số Để triển khai chữ kí số Hà Nội cịn nhiều khó khăn gặp phải chữ kí số chưa thực sự quan tâm ủng hộ mạnh mẽ nhà nước ứng dụng thương mại điện tử hành điện tử Bên cạnh người dân chưa thực hiểu rõ lợi ích, tính chưa quen tiếp cận với công nghệ - 10 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố Hình 4.18 Khi client yêu cầu cấp phát chứng chỉ, CA sẻ kiểm tra thông tin trạng thái đối tượng Active Directory client để định xem có quyền cấp phát hay khơng Nếu có quyền CA sẻ tự động cấp chứng cho client 4.5.2 Cấp phát tay Stand-alone CA khơng thể dùng auto-enrollment, stand-alone CA nhận yêu cầu chứng số từ client, lưu trữ vào hàng đợi người quản trị định liệu có cấp phát chứng cho client hay không Để giám sát xử lý yêu cầu vào, người quản trị dùng Certificate Authority console - 68 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố Hình 4.19 Tất yêu cầu cấp phát chứng nằm thư mục Pending Requests Sau người quản trị xem xét đánh giá thông tin request sẻ định chấp nhận từ chối cấp phát cho client đó.Ngồi người quản trị xem thông tin cấp phát, thu hồi chứng cần 4.6 Các cách yêu cầu cấp phát chứng 4.6.1 Yêu cầu cấp phát Certificates snap-in Certificates snap-in công cụ để xem quản lý chứng user máy tính cụ thể Giao diện certificates snap-in cho chứa tất thông tin chứng user máy tính Certificates snap-in cho phép người dùng yêu cầu thay đổi chứng số cách dùng Certificate Request Winza rd Certificate Renewal Winzard Hình 4.20 - 69 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố 4.6.2 Yêu cầu thông qua web Khi cài đặt Certificate Services máy chạy windows server 2003, người dùng có chọn cài đặt module certificate services web enrollment support Để hoạt động đắn, module yêu cầu người dùng phải cài đặt IIS máy tính trước Chọn module trình cài đặt Certificate Services tạo rat rang web máy tính chạy CA, Trang web cho phép người dùng gửi yêu cầu cấp phát chứng số mà họ chọn Hình 4.21 Giao diện Web Autoenrollment Support dùng cho người sử dụng bên bên mạng truy xuất đến Stand-alone CAs Vì stand-alone server khơng dùng mẫu chứng số, client gửi yêu cầu bao gồm tất thông tin cần thiết chứng số thông tin vể người dùng chứng số Khi client yêu cầu cấp chứng số dùng giao diện Wen Erollment Support, chúng chọn từ danh sách loại chứng định nghĩa trước tạo chứng cao cấp cách rõ tất thông tin yêu cầu form Web-based Khi Client dùng chứng số kiểm tra điểm phân phối CRL định rõ chứng để chắn chứng cần chứng thực chưa bị thu hồi - 70 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố Hình 4.22 4.6.3 Thu hồi chứng Có vài nguyên nhân cảnh báo cho người quản trị thu hồi chứng Nếu khóa bí mật bị lộ người dùng trái phép lợi dụng truy xuất đến CA, chí bạn muốn dùng chứng sử dụng tham số khác trước chứng bạn phải thu hồi CA có CRL chứa danh sách chứng bị thu hồi, người dùng truy xuất đến CRL sở liệu Active Directory để xem trạng thái chứng bị thu hồi hay không, giao thức gọi LDAP Một stand-alone CA lưu trữ CRL file đĩa cục server, client dùng giao thức HTTP FTP để truy xuất Mỗi chứng chứa đường dẫn tới điểm phân phối CA cho CRLs Có thể sửa đổi đường dẫn Certificate Authority console cách hiển hị hộp thoại peroperties cho CA - 71 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố 4.7 Một số dịch vụ mạng sử dụng CA 4.7.1 Dịch vụ Web sử dụng SSL SSL-Secure Socket Layer giao thức mã hóa cung cấp truyền thơng an toàn internet web browing, email.SSL cung cấp chứng thực điểm cuối kết nối, kênh truyền thông riêng tư internet cách mã hóa Thơng thường có server chứng thực, nghĩa có người dùng cuối biết rõ nói chuyện với Ở mức độ bảo mật cao hai bên phải biết nhau, chứng thực lẫn Chứng thực lẫn yêu cầu dùng hạ tầng khóa cơng khai PKI Mơ hình dịch vụ: Hình 4.23 mơ hình dịch vụ SSL 4.7.2 Dịch vụ IPSec IPSec-Internet Protocol Sercurity giao thức thiết kế để bảo vệ liệu chữ kí điện tử mã hóa trước truyền IPSec mã hóa thơng tin gói tin IP theo cách đóng gói nó, nên bắt gói tin sẻ không đọc nội dung bên IPSec hoạt động tầng mạng (tầng 3) mơ hình OSI, khác với giao thức bảo mật internet khác SSL, TLS SSH thực tầng giao vận trở - 72 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố lên (tầng tới tầng 7) điều tạo tình mềm dẻo cho IPSec hoạt động tới tầng với TCP UDP Có giao thức phát triển để bảo mật internet cho gói tin hai phiên ipv4 ipv6: [9] a) IP Authentication Header-AH: Khơng mã hóa liệu gói IP mà mã hóa phần header AH cung cấp dịch vụ bảo mật bản, liệu đọc bắt gói tin, nội dung khơng thể thay đổi Hình 4.24 Nội dung gói tin Ipv4 b) IP Encapsulating Security Payload-ESP: Mã hóa tồn nội dung gói tin IP, ngăn khơng cho người nghe đọc nội dung gói liệu di chuyển mạng ESP cung cấp dịch vụ chứng thực, đảm bảo toàn vẹn liệu mã hóa liệu Hình 4.25 Nội dung gói tin ipv6 - 73 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố Mơ hình dịch vụ: Hình 4.26 Mơ hình dịch vụ IPSec 4.7.3 Dịch vụ VPN VPN-Virtual Private Network mạng riêng dùng mạng công cộng internet để kết nối điểm người sử dụng tới mạng Lan trung tâm VPN cho phép truyền liệu hai máy tính sử dụng mơi trường mạng cơng cộng Thay kết nối phức tạp, VPN tạo liên kết ảo truyền qua internet tổ chức với địa điểm, cá nhân truy cập từ xa Hình 4.27 Mơ hình dịch vụ VPN - 74 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố Các loại VPN Có hai loại phổ biến VPN truy cập từ xa (Remote-Access ) VPN điểm-nối-điểm (site-to-site) VPN truy cập từ xa gọi mạng Dial-up riêng ảo (VPDN), kết nối người dùng-đến-LAN, thường nhu cầu tổ chức có nhiều nhân viên cần liên hệ với mạng riêng từ nhiều địa điểm xa Ví dụ cơng ty muốn thiết lập VPN lớn phải cần đến nhà cung cấp dịch vụ doanh nghiệp (ESP) ESP tạo máy chủ truy cập mạng (NAS) cung cấp cho người sử dụng từ xa phần mềm máy khách cho máy tính họ Sau đó, người sử dụng gọi số miễn phí để liên hệ với NAS dùng phần mềm VPN máy khách để truy cập vào mạng riêng công ty Loại VPN cho phép kết nối an tồn, có mật mã Hình minh họa cho thấy kết nối Văn phịng "Văn phịng" gia nhân viên di động loại VPN truy cập từ xa) VPN điểm-nối-điểm việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với thông qua mạng cơng cộng Internet Loại dựa Intranet Extranet Loại dựa Intranet: Nếu cơng ty có vài địa điểm từ xa muốn tham gia vào mạng riêng nhất, họ tạo VPN intranet (VPN nội bộ) để nối LAN với LAN Loại dựa Extranet: Khi cơng ty có mối quan hệ mật thiết với cơng ty khác (ví dụ đối tác cung cấp, khách hàng ), họ xây dựng VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác làm việc mơi trường chung Trong hình minh họa trên, kết nối Văn phịng Văn phịng từ xa loại VPN Intranet, kết nối Văn phòng với Đối tác kinh doanh VPN Extranet Bảo mật VPN Tường lửa (firewall) rào chắn vững mạng riêng Internet Bạn thiết lập tường lửa để hạn chế số lượng cổng mở, loại gói tin giao thức chuyển qua Một số sản phẩm dùng cho VPN router 1700 Cisco nâng cấp để gộp tính tường lửa cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt cài tường lửa thật tốt trước thiết lập VPN - 75 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố Mật mã truy cập máy tính mã hóa liệu gửi tới máy tính khác có máy giải mã Có hai loại mật mã riêng mật mã chung Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính có mã bí mật để mã hóa gói tin trước gửi tới máy tính khác mạng Mã riêng yêu cầu bạn phải biết liên hệ với máy tính để cài mã lên đó, để máy tính người nhận giải mã Mật mã chung (Public-Key Encryption) kết hợp mã riêng mã công cộng Mã riêng có máy bạn nhận biết, cịn mã chung máy bạn cấp cho máy muốn liên hệ (một cách an tồn) với Để giải mã message, máy tính phải dùng mã chung máy tính nguồn cung cấp, đồng thời cần đến mã riêng Có ứng dụng loại dùng phổ biến Pretty Good Privacy (PGP), cho phép bạn mã hóa thứ Giao thức bảo mật giao thức Internet (IPSec) cung cấp tính an ninh cao cấp thuật tốn mã hóa tốt hơn, q trình thẩm định quyền đăng nhập tồn diện IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin cịn Transport mã hóa kích thước Chỉ hệ thống hỗ trợ IPSec tận dụng giao thức Ngoài ra, tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống IPSec mã hóa liệu nhiều thiết bị khác router với router, firewall với router, PC với router, PC với máy chủ Máy chủ AAA AAA viết tắt ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) Accounting (kiểm soát) Các server dùng để đảm bảo truy cập an toàn Khi yêu cầu thiết lập kết nối gửi tới từ máy khách, phải qua máy chủ AAA để kiểm tra Các thông tin hoạt động người sử dụng cần thiết để theo dõi mục đích an tồn - 76 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố Chương Chương trình thực nghiệm a Vai trị: chương trình có chức chính: - Sinh cặp khóa bí mật - cơng khai cho người dùng với độ dài bit tùy chọn (H1) - Mã hóa rõ (H2) file (H4) sử dụng khóa cơng khai - Sử dụng khóa bí mật để giải mã mã file ghi mã.(H3) b Mô tả chi tiết thao tác - Sinh khóa (Generate Keys): tab “Scryption” chọn “Generate Key Pairs” xuất form “Generate keys” cho phép người dùng sinh cặp khóa với đồ dài bit tùy chọn - Mã hóa (Encrypt) : Sử dụng khóa cơng khai để giải mã tin cách tab “Scryption” chọn “Encrypt” để tìm đến khóa công khai cần thiết - Giải mã (Decrypt) : liệu mã hóa, sử dụng khóa bí mật để giải mã tin cách tab “Scryption” chọn “Decrypt” tìm đến khóa bí mật để giải mã c Một số giao diện chương trình: H1 Trình sinh khóa - 77 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố H2 Giao diện chương trình sinh khóa mã hóa H3a Dùng khóa cơng khai mã hóa tin - 78 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố H 3b Dùng khóa bí mật giãi mã tin H4 Mở file chứa rõ mã để mã hóa/giải mã - 79 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố KẾT LUẬN Kết đạt hạn chế: Trong thời gian nghiên cứu sở hạ tầng khóa cơng khai, tơi nắm kiến trúc chung PKI, kiến thức sở để xây dựng hệ thống PKI Cách thức xây dựng hệ thống PKI để ứng dựng đơn vị quan Khóa luận có tìm hiểu, trình bày khái niệm, cơng nghệ, mơ hình tổ chức nhằm xây dựng nên sở hạ tầng lý thuyết vững tạo tiền đề đưa hệ thống PKI triển khai vào thực tế Bên cạnh khóa luận xây dựng chương trình cấp cặp khóa cho thực thể cuối Đã rõ cách thức cài đặt, cấu hình cho hệ thống “mini” CA dựa phần mềm tích hợp sẵn mơi trường windows server 2003 Tuy nhiên khóa luận cịn vấn đề hạn chế chưa xây dựng hồn thiện hệ thống PKI, chưa tìm hiểu đường cong elliptic cài đặt chữ kí số đường cong elliptic ECDSA Hướng phát triển tương lai o Hoàn thiện module hệ thống cung cấp chứng số o Đẩy mạnh việc nghiên cứu, xây dựng triển khai hệ thống cung cấp chứng số để đảm bảo an tồn thơng tin giao dịch ngành - 80 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố DANH MỤC TỪ VIẾT TẮT ARLs Authority Revocation Lists CA Certificate Authority CAO Certificate Authority Operator CSP Certification Service Provider CRLs Certificate Revocation Lists CRR Certificate Revocation Request DAP Directory Access Protocol DES Data Encryption Standard DNS Domain Name System DSS Digital Signature Standard ECC Elliptic Curve Cryptography EE End Entity PGP Pretty Good Privacy PKI Public Key Infrastructure PKIX Extended Public Key Infrastructure PKC Public Key Certificate PKCS Public Key Cryptography Standards Security RA Registration Authorities RAO Registration Authorities Operator RFC Request For Comments RSA Rivest Shamir Adleman SSL Secure Socket Layer TLS Transport Layer IEEE Institute of Electrical & Electronic Engineers LDAP Lightweight Directory Access Protocol OCSP Online Certificate Status Protocol - 81 - Nghiên cứu triển khai hạ tầng kĩ thuật khóa cơng khai UBND tỉnh – thành phố TÀI LIỆU THAM KHẢO [1] Sercurity [2] Jalal Feghhi, Jalil Feghhi, Peter Wiliams, Digital Certificates Applied Internet Alexander W.Dent and Chris J.Mitchell, A Companion to User’s Guide to Cryptography and Standards [3] Trịnh Nhật Tiến, ”An tồn liệu ” Đại học Cơng Nghệ- ĐHQGHN - 82 -