Đăng ký
  1. Trang chủ
  2. » Tất cả

Giao thức https và bảo mật web với https

22 0 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Bài thi cuối kỳ môn an ninh mạng HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THƠNG I - - BÀI BÁO CÁO MÔN HỌC: AN NINH MẠNG THÔNG TIN Đề Tài: GIAO THỨC HTTPS VÀ BẢO MẬT WEB VỚI HTTPS Nhóm 1 Bài thi cuối kỳ môn an ninh mạng Mục Lục Mục Lục Bảng phân công việc Thuật ngữ viết tắt Danh mục hình vẽ MỞ ĐẦU GIAO THỨC HTTPS VÀ BẢO MẬT WEB DỰA TRÊN HTTPS I Giới thiệu HTTPS 1.1 Định nghĩa HTTPS 1.2 Điểm khác biệt với HTTP 1.3 Ưu nhược điểm HTTPS 1.3.1 Ưu điểm 1.3.2 Nhược điểm HTTPS II Hoạt động giao thức HTTPS 2.1 Hoạt động HTTPS 2.2 Quá trình giao tiếp client server thông qua HTTPS 11 III Bảo mật web dựa HTTPs 12 3.1 Bảo mật website 12 3.1.1 Định nghĩa website 12 3.1.2 Lý cần bảo vệ website 12 3.1.3 Lỗ hổng bảo mật web 13 3.2 Mã hóa đối xứng 14 3.3 Mã hóa bất đối xứng 14 3.4 Chứng nhận thẩm quyền 15 3.4.1 Tổ chức phát hành chứng 15 3.4.2 Chứng số SSL 16 3.4.2 Các loại chứng SSL 17 3.4.3 Chứng thực lẫn client server 18 3.5 Kết hợp mã hóa đối xứng mã hóa khơng đối xứng 19 IV Kết Luận 20 Tài Liệu Tham Khảo 21 LỜI CẢM ƠN 22 Bài thi cuối kỳ môn an ninh mạng Bảng phân công việc Sinh viên thực Nội dung I Giới thiệu HTTPs II Hoạt động giao thức HTTPs 3.1 Bảo mật Web 3.2 Mã hóa đối xứng 3.3 Mã hóa bất đối xứng 3.4 Chứng nhận thẩm quyền 3.5 Kết hợp mã hóa đối xứng bất đối xứng Nhiệm vụ Tham khảo tìm tên đề tài, tìm tổng hợp nội dung Tham khảo tìm tên đề tài, tìm tổng hợp nội dung Tham khảo tìm tên đề tài, tìm tổng hợp nội dung nhóm làm thành Bài thi cuối kỳ môn an ninh mạng Thuật ngữ viết tắt Từ viết tắt CA Từ đầy đủ Certificate Authority HTML Hypertext Markup Language HTTPs SQL Hypertext Transfer Protocol Secure Open Systems Interconnection Reference Model Structured Query Language SSL TCP Secure Sockets Layer Transmission Control Protocol OSI Nghĩa Nhà cung cấp chứng thực số Ngôn ngữ đánh dấu siêu văn Giao thức truyền tải siêu văn bảo mật Mơ hình tham chiếu kết nối hệ thống mở Ngôn ngữ truy vấn mang tính cấu trúc Tầng socket bảo mật Giao thức điều khiển truyền tải Danh mục hình vẽ Hình 1.1 HTTPs mơ hình OSI Hình 1.2 Giao diện HTTPs web Hình 2.1 HTTPS bổ sung mã hóa cho HTTP SSL Hình 2.2 Chứng SSL Hình 2.3 Minh họa bảo mật https 10 Hình 2.4 Sơ đố kết nối HTTPS thiết lập trình duyệt máy chủ web 11 Hình 3.1 Q trình mã hóa bất đối xứng 15 Hình 3.2 Quy trình xác thực chứng SSL 17 Hình 3.3 Quá trình Xác thực lẫn dựa chứng 18 Hình 3.4 Quá trình Xác thực lẫn dựa tên người dùng mật 19 Hình 3.5 Kết hợp mã hóa đối xứng bất đối xứng 20 Danh mục bảng biểu Bảng Khác biệt HTTP HTTPs Bài thi cuối kỳ môn an ninh mạng MỞ ĐẦU Trong thập kỷ trở lại đây, chứng phát triển mạnh mẽ internet Internet phát triển giúp ích cho người nhiều thứ sống song song với cịn tồn nhiều vấn đề khiến phải bận tâm sử dụng Và vấn đề việc bảo mật thơng tin lướt web Đó lý đời giao thức HTTPS Giao thức HTTPS đời nhằm mục đích tạo khơng gian mạng có tính bảo mật cao, giúp an tâm sử dụng internet Việc tạo giao thức truyền tải siêu văn có tính bảo mật cao mang ý nghĩa thực tiễn lớn phát triển internet Mục tiêu cung cấp cho người nhìn tổng quan HTTPS Giúp người biết lịch sử HTTPS, hiểu HTTPS cách thức hoạt động Cuối cho người thấy lợi ích đem lại số hạn chế tồn Trên sở đó, chúng em định chọn đề tài “ giao thức HTTPs bảo mật web dựa HTTPs” Đây đề tài thiết thực dựa kiến thức chúng em học nhà trường dẫn thầy cô đặc biệt cô Phạm Anh Thư Ngồi ba chương chính, bố cục báo cáo cịn có phần mở đầu, kết luận tài liệu tham khảo Phần kết luận nêu tóm tắt vấn đề trình bày phần , đánh giá kết đạt được, đồng thời đưa định hướng nghiên cứu, phát triển Nội dung tóm tắt thành phần sau: I Giới thiệu chung giao thức HTTPS II Hoạt động giao thức HTTPS III Bảo mật web dựa HTTPS Mặc dù cố gắng hạn hẹp kiến thức nên làm chúng em hạn chế sai sót định Chúng em mong nhận góp ý chủ đề giúp làm chúng em hoàn thiện Qua chúng em chân thành cảm ơn tới cô Phạm Anh Thư, người giúp đỡ chúng em nhiều việc hoàn thành báo cáo Bài thi cuối kỳ môn an ninh mạng GIAO THỨC HTTPS VÀ BẢO MẬT WEB DỰA TRÊN HTTPS I Giới thiệu HTTPS 1.1 Định nghĩa HTTPS HTTP tên viết tắt HyperText Transfer Protocol (giao thức truyền tải siêu văn bản), giao thức dùng cho World Wide Web (www) để truyền tải liệu dạng văn bản, hình ảnh, video, âm tập tin khác từ Web server đến trình duyệt web ngược lại Còn HTTPS (HyperText Transfer Protocol Secure) giao thức HTTP có sử dụng thêm chứng SSL (secure Sockets Layer) giúp mã hóa liệu truyền tải nhằm gia tang bảo mật Web sever đến trình duyệt web HTTPS phiên HTTP an toàn hơn, bảo mật HTTPS hoạt đồng tầng mơ hình OSITransport Layer Hình 1.1 HTTPs mơ hình OSI 1.2 Điểm khác biệt HTTP HTTPs Bảng Khác biệt HTTP HTTPs Các tiêu chí HTTP HTTPS Được phát triền HTTP phát triển ' Tim Berners-Lee' HTTPS phát triển bởi' Netscape Communications ' Hoạt động mơ hình OSI Hoạt động " Application Layer " mơ hình OSI Hoạt động " Transport Layer " mơ hình OSI Port 80 433 URL URL HTTP bắt đầu "http: // " URL HTTPS bắt đầu với " https: // " Mã hóa Khơng mã hóa Thơng tin mã hóa đường truyền Web server trình Bài thi cuối kỳ mơn an ninh mạng duyệt web sử dụng giao thức SSL/TLS( tiêu chuẩn cơng nghệ bảo mật) Mức độ an tồn Khơng an tồn( Vì thơng tin khơng mã hóa đường truyền nên dễ bị hacker công) HTTPS an tồn HTTP( Vì HTTPS hỗ trợ việc xác thực tính đích danh website mà máy khách truy cập thông qua việc kiểm tra xác thực bảo mật Các xác thực bảo mật cung cấp xác minh CA (Certificate Authority) uy tín Khi xác thực từ CA người dùng biết truy cập vào website cần tìm thay web mạo danh Tốc độ truy cập HTTP có tộc độ truy cập web nhanh HTTPS có tốc độ truy cập web chậm Cách thức hoạt động Trình duyệt mở kết nối TCP (Transmission Control Protocol) sau gửi yêu cầu HTTP đến máy chủ, máy chủ phản hồi thơng qua HTTP đến trình duyệt sau kết nối TCP bị đóng Đầu tiên xác thực thực sau lựa chọn mật mã thuật toán mật mã mà khách hàng máy chủ hỗ trợ sau kỹ thuật mã hóa sử dụng sau tạo kết nối SSL(Secure Socket Layer) mã hóa sau yêu cầu HTTP làm việc để tiếp tục 1.3 Ưu nhược điểm HTTPS 1.3.1 Ưu điểm  Mã hóa liệu Dữ liệu truyền đường truyền mã hóa người cơng bắt gói tin truyền khơng thể đánh cắp liệu  Bảo mật liệu HTTP lưu giữ cookie/dữ liệu hệ thống máy khách Đặc biệt người dùng sử dụng HTTP hệ thống công cộng, người dùng dễ dàng bị đánh cắp liệu HTTPS không lưu loại liệu hệ thống máy khách Vì HTTPS đảm bảo bảo mật liệu  Xác thực server Người dùng sử dụng HTTPS ấn vào ổ khóa địa Nếu người dùng click chuột vào người dùng xác thực server Người dùng kiểm tra cookies lưu trữ hệ thống mình, chứng xác thực giấy phép cho phép truy cập vào nguồn hệ thống Bài thi cuối kỳ môn an ninh mạng Nếu giấy phép website không phù hợp người dùng thông báo kết nối không bảo mật yêu cầu giấy phép để tiếp tục  HTTPs cung cấp cho người dùng cảnh báo rời trước người dùng cung cấp liệu cho cá nhân cho máy chủ khơng an tồn Hình 1.2 Giao diện HTTPs web  Bắt tay trước truyền liệu: HTTPS yêu cầu bắt tay để truyền file điểu đảm bảo liệu tồn vẹn khơng bị gói liệu  Giúp trang web tăng thứ hạng tìm kiếm google (SEO) 1.3.2 Nhược điểm HTTPS Nhược điểm HTTPS so với HTTP sử dụng HTTPS khiến tốc độ giao tiếp (duyệt web, tải trang đích) Client Server chậm HTTP Tuy nhiên nhờ công nghệ phát triển, khác biệt đạt tới giới hạn tiệm cận II Hoạt động giao thức HTTPS 2.1 Hoạt động HTTPS Hình 2.1 HTTPS bổ sung mã hóa cho HTTP SSL Bài thi cuối kỳ môn an ninh mạng HTTPS mã hóa tất nội dung thư, bao gồm tiêu đề HTTP liệu yêu cầu/phản hồi HTTPS bổ sung mã hóa cho giao thức HTTP cách gói HTTP bên giao thức SSL/TLS (đó lý SSL gọi giao thức đường hầm), để tất thông báo mã hóa theo hai hướng hai máy tính nối mạng (ví dụ: máy khách máy chủ web) Mặc dù kẻ nghe trộm truy cập vào địa IP, số cổng, tên miền, lượng thông tin trao đổi thời lượng phiên, tất liệu thực tế trao đổi mã hóa an tồn SSL/TLS, bao gồm: + URL yêu cầu (mà trang web khách hàng yêu cầu) + Nội dung trang web + Tham số truy vấn + Tiêu đề + Cookie HTTPS sử dụng giao thức SSL/TLS để xác thực SSL/TLS sử dụng tài liệu kỹ thuật số gọi chứng X.509 để liên kết cặp khóa mật mã với danh tính thực thể trang web, cá nhân cơng ty Mỗi cặp khóa bao gồm khóa riêng tư, giữ an tồn khóa cơng khai, phân phối rộng rãi Bất kỳ có khóa cơng khai sử dụng để: + Gửi thơng báo mà người sở hữu khóa riêng giải mã + Xác nhận tin nhắn ký điện tử khóa riêng tương ứng Nếu chứng cung cấp trang web HTTPS ký tổ chức phát hành chứng đáng tin cậy công khai (CA), chẳng hạn SSL.com, người dùng n tâm danh tính trang web xác thực bên thứ ba đáng tin cậy kiểm tra chặt chẽ  Quá trình thiết lập máy chủ Hình 2.2 Chứng SSL Để chuẩn bị máy chủ web chấp nhận kết nối HTTPS, quản trị viên phải tạo chứng khóa công khai cho máy chủ web Chứng phải ký tổ chức phát hành chứng đáng tin cậy để trình duyệt web chấp nhận mà khơng cần cảnh báo Cơ quan có thẩm quyền chứng nhận chủ sở hữu chứng người điều hành Bài thi cuối kỳ môn an ninh mạng máy chủ web cung cấp Các trình duyệt web thường phân phối với danh sách chứng ký quan cấp chứng để họ xác minh chứng họ ký Hệ thống sử dụng để xác thực máy khách nhằm giới hạn quyền truy cập vào máy chủ web người dùng ủy quyền Để làm điều này, quản trị viên trang web thường tạo chứng cho người dùng, chứng người dùng tải vào trình duyệt họ Thông thường, chứng chứa tên địa e-mail người dùng ủy quyền máy chủ tự động kiểm tra kết nối để xác minh danh tính người dùng, chí khơng u cầu mật  Điều xảy trang web không sử dụng https? Vào năm 2020, trang web không sử dụng HTTPS phân phát nội dung hỗn hợp (cung cấp tài nguyên hình ảnh qua HTTP từ trang HTTPS) phải chịu cảnh báo lỗi bảo mật trình duyệt Hơn nữa, trang web xâm phạm quyền riêng tư bảo mật người dùng cách khơng cần thiết khơng thuật tốn cơng cụ tìm kiếm ưa thích Do đó, trang web HTTP trang web có nội dung hỗn hợp gặp nhiều cảnh báo lỗi trình duyệt , độ tin cậy người dùng thấp SEO so với họ bật HTTPS Hình 2.3 Minh họa bảo mật https Cách nhận biết trang web có sử dụng HTTPS:  URL HTTPS bắt đầu https:// thay http:// Các trình duyệt web đại cho biết người dùng truy cập trang web HTTPS an tồn cách hiển thị biểu tượng ổ khóa đóng bên trái URL:  Trong trình duyệt đại Chrome, Firefox Safari, người dùng nhấp vào khóa để xem chứng số trang web HTTPS có bao gồm thơng tin nhận dang chủ sở hữu hay khơng 10 Bài thi cuối kỳ môn an ninh mạng Các bước thiết lập HTTPs trình duyệt máy chủ web: Bước Trình duyệt cố gắng kết nối với https://payment.com Bước Máy chủ Payment.com gửi chứng đến trình duyệt Chứng bao gồm khóa cơng khai máy chủ pay.com số chứng cho thấy khóa công khai thực thuộc pay.com Bước Trình duyệt xác minh chứng để xác nhận có khóa cơng khai thích hợp cho Payment.com Bước Trình duyệt chọn khóa đối xứng ngẫu nhiên K để sử dụng cho kết nối với máy chủ pay.com Nó mã hóa K khóa công khai Payment.com Bước pay.com giải mã K khóa riêng Bây trình duyệt máy chủ tốn biết K, khơng khác biết Bước Bất lúc trình duyệt muốn gửi đến pay.com, mã hóa theo K; máy chủ pay.com giải mã nhận Bất máy chủ pay.com muốn gửi nội dung đến trình duyệt người dùng, mã hóa K Hình 2.4 Sơ đố kết nối HTTPS thiết lập trình duyệt máy chủ web 2.2 Quá trình giao tiếp client server thông qua HTTPS Client gửi yêu cầu (request) cho trang bảo mật (secure page) (có URL bắt đầu với https://) Server gửi lại cho client certificate Client (trình duyệt web) tiến hành xác thực certificate cách kiểm tra (verify) tính hợp lệ chữ ký số CA kèm theo certificate Giả sử certificate xác thực hạn sử dụng client cố tình truy cập Web browser cảnh báo tin cậy certificate (do dạng self11 Bài thi cuối kỳ môn an ninh mạng signed SSL certificate certificate hết hiệu lực, thơng tin certificate khơng đúng) xảy bước sau Client tự tạo ngẫu nhiên symmetric encryption key (hay session key), sử dụng public key (lấy certificate) để mã hóa session key gửi cho server Server sử dụng private key (tương ứng với public key certificate trên) để giải mã session key Sau đó, server client sử dụng session key để mã hóa/giải mã thơng điệp suốt phiên truyền thông Và tất nhiên, session key tạo ngẫu nhiên khác phiên làm việc với server Ngồi encryption chế hashing sử dụng để đảm bảo tính Integrity cho thông điệp trao đổi III Bảo mật web dựa HTTPs 3.1 Bảo mật website 3.1.1 Định nghĩa website Ngày không phủ nhận vai trị quan trọng internet đời sống người Và Website yếu tố quan trọng internet Một website bao gồm thơng tin như: hình ảnh, video, âm thanh, nội dung, thông tin lưu trữ hệ thống máy chủ Website sử dụng tệp HTML sử dụng giao thức truyền tải siêu văn HTTP Có loại website : tĩnh động - Website tĩnh: Được lập trình dựa tảng HTML CSS Javascript Loại website sử dụng khơng có tương tác với người dùng quản trị viên web thay đổi nội dung trang khơng có kiến thức HTML - Website động: Bên cạnh hai tảng HTML CSS Javascript, website động dùng thêm ngơn ngữ lập trình khác PHP ASP.NET,….Hầu hết trang web thuộc loại website động Người quản trị trang dễ dàng thay đổi nội dung, thông tin biểu thị trang web cách dễ dàng 3.1.2 Lý cần bảo vệ website  Website bị cơng, hacker lấy cắp thông tin người dùng: Khi người dùng truy cập trang web không bảo vệ, phần mềm độc hại cài vào máy tính Khi kẻ cơng thu thập liệu người dùng, chí chiếm đoạt tài ngun máy tính  Số lượng website bị cơng tăng lên cách nhanh chóng Một nghiên cứu thực cho biết trung bình 39 giây lại có cơng web Năm 2016 có 50 triệu trang web bị công, số tăng lên gấp đôi vào năm 2017 Ngay trang web tiếng Facebook, British Airways bị công Nghiên cứu tên người dùng mật khơng an tồn sử dụng mang lại cho kẻ công nhiều hội thành công 12 Bài thi cuối kỳ môn an ninh mạng  Đối với doanh nghiệp, website bị cơng ảnh hưởng đến doanh thu uy tín họ Các trang web doanh nghiệp mà không bao gồm (HTTPS) đánh dấu không an toàn hạn chế khách hàng truy cập vào trang web Khi website bị cơng khách hàng tin tưởng dẫn đến uy tín cơng ty, dẫn đến doanh thu sụt giảm  Website bị công bị đưa vào danh sách đen google Một trang web bị đưa vào danh sách đen chưa phần mềm độc hại với người dùng Khi nằm danh sách đen đến 95% lưu lượng truy cập điều ảnh hưởng nghiêm trọng đến doanh thu Do đó, bảo vệ website công việc quan trọng người quản trị Một trang web bảo vệ tốt tránh rịm ngó hacker, tránh để lộ thông tin người dùng doanh nghiệp, tạo cạnh tranh công doanh nghiệp, tổ chức Người quản trị cần thường xuyên kiểm tra vá lỗ hổng bảo mật trang web 3.1.3 Lỗ hổng bảo mật web Lỗ hổng bảo mật kẽ hở website, ứng dụng, lỗi lập trình viên trình vận hành hệ thống Dựa vào lỗ hổng đó, hacker thâm nhập lấy cắp, thay đổi thơng tin Có loại lỗ hổng bảo mật web phổ biến:  SQL INJJECTION Đây loại lỗ hổng phổ biến Kẻ công sử dụng mã ứng dụng để truy cập, thêm câu lệnh SQL bất hợp pháp để đọc thay đổi liệu website hay server  Cross Site Scripting (xss) Lỗ hổng cho phép kẻ công chèn đoạn javascript html độc hại vào website nạn nhân Chúng thực thi tập lệnh trình duyệt web nạn nhân, chiếm quyền điều khiển, phá hoại trang web chuyển hướng đến trang web khác  Xác thực bị hỏng quản lý phiên Lỗ hổng liên quan đến trì danh tính người dùng Nếu thơng tin xác thực số nhận dạng phiên không bảo vệ lúc, kẻ cơng chiếm đoạt phiên hoạt động giả dạng danh tính người dùng  Tham chiếu đối tượng trực tiếp không an tồn Đối tượng bên ứng dụng web tệp, ghi sở liệu, thư mục khóa sở liệu Khi ứng dụng web để lộ đối tượng này, kẻ công truy cập liệu cá nhân người dùng  Cấu hình sai bảo mật Đây loại lỗ hổng tập trung vào việc thiếu bảo trì thiếu ý đến cấu hình ứng dụng web Lỗ hổng cho phép kẻ công truy cập liệu xâm phạm tồn hệ thống  Cross-site request forgery (csrf) CSRF công người dùng bị lừa thực hành động họ không cố ý làm Trang web bên thứ giả mạo website mà người dùng xác thực vd 13 Bài thi cuối kỳ môn an ninh mạng ngân hàng Sau kẻ cơng lấy liệu qua trang web xác thực nạn nhân Mục tiêu kẻ cơng trang mạng xã hội, gmail ngân hàng trực tuyến 3.2 Mã hóa đối xứng Hiện ngày có hàng triệu liệu nhạy cảm trao đổi máy khách/ trình duyệt với máy chủ Do nhu cầu bảo mật phải đặt lên hàng đầu Kết nối HTTPS máy khách máy chủ sử dụng kiểu mã hóa là: đối xứng bất đối xứng Mã hóa đối xứng người gửi người nhận sử dụng chung khóa bí mật để mã hóa giải mã tin nhắn Khóa bí mật phải phân phối an toàn bên gửi bên nhận Phân phối khóa an tồn thách thức mã hóa đối xứng HTTPS sau sử dụng mã hóa khơng đối xứng để thiết lập kết nối thay mã hóa đối xứng (được gọi phiên) suốt thời gian kết nối Khóa phiên khóa đối xứng sử dụng lần dùng để mã hóa giải mã Khóa phiên tạo ngẫu nhiên sử dụng cho phiên cụ thể Việc sử dụng khóa đối xứng khắc phục nhược điểm khóa bất đối xứng chậm gây cạn kiệt tài nguyên độ phức tạp Mã hóa đối xứng bảo mật có người gửi người nhận biết key sử dụng Những có vấn đề bên gửi bên nhận khơng gặp để thống thỏa thuận trước gửi khơng biết key Cịn gửi key packet làm cho attacker biết key, giải mã đánh cắp giả mạo packet Để giải dùng mã khóa bất đối xứng 3.3 Mã hóa bất đối xứng Mã hóa bất đối xứng (hay mã hóa dùng khóa cơng khai) phương thức dùng khóa riêng để giải mã mã hóa liệu Bất dùng khóa mã hóa (khóa cơng khai) để mã hóa thơng điệp Tuy nhiên, khóa giải mã bí mật có khóa bí mật khóa cơng khai tương ứng giải mã thơng điệp hay liệu mã hóa khóa cơng khai Với bên gửi client bên nhận server Quá trình mã hóa bất đối xứng diễn sau:  Client gửi tin nhắn không chứa liệu khơng mã hóa lên server request  Server gửi lại cho client gói tin có chưa khóa cơng khai giữ lại khóa bí mật server  Client gửi yêu cầu/ liệu mã hóa khóa cơng khai mà nhận từ server  Server nhận gói tin giải mã khóa bí mật Vậy thơng tin trao đổi client server mà không sợ bị kẻ công đọc trộm hay sửa đổi kẻ cơng khơng có khóa bí mật Nhóm 14 Bài thi cuối kỳ môn an ninh mạng Hình 3.1 Q trình mã hóa bất đối xứng Các khóa bất đối xứng thơng thường độ dài 1024 2048 bits Tuy nhiên, key có dài 1024 bits cho khơng cịn an tồn sử dụng Mã khóa độ dài 2048 Bits có đủ ký tự số để mã hóa liệu, key có độ dài lớn 2048 bits tạo gánh nặng cho máy chủ phải xử lý nhiều thuật toán mã dài 2048 bits sử dụng Hiện khóa độ dài 2048 bits an tồn tính theo đơn vị thời gian phải 14 tỷ năm để ta bẻ khóa key 2048 bits 3.4 Chứng nhận thẩm quyền Để tránh kẻ cơng đánh cắp gói tin có chứa khóa cơng khai mà server gửi cho client gửi gói tin khóa cơng khai giả mạo mà kẻ cơng có khóa bí mật Khi client nhận khóa cơng khai giả mạo khơng biết mà lại mã hóa liệu khóa vừa nhận được, sau bước kẻ cơng dễ dàng bắt gói tin client gửi cho server giải mã khóa bí mật tương ứng để đọc liệu gửi liệu giả mạo đến server sử dụng khóa cơng khai mà bắt server bước trước Khi thơng tin trao đổi bên bị lộ thay đổi Để tránh việc HTTPS dùng chứng thực khóa cơng khai (cịn gọi chứng thực số /chứng thực điện tử) chứng thực sử dụng chữ kí số để gắn khóa cơng khai với thực thể(cá nhân, máy chủ công ty ) Chứng thực số sử dụng để xác định khóa cơng khai thuộc Xác thực máy khách HTTPS yêu cầu máy khách phải có Chứng khóa cơng khai (PKC) Nếu định xác thực máy khách, máy chủ web xác thực máy khách chứng khóa cơng khai máy khách Xác thực ứng dụng khách HTTPS phương pháp xác thực an tồn Nó sử dụng HTTP qua SSL (HTTPS), máy chủ xác thực máy khách Chứng khóa cơng khai (PKC) máy khách Trong đó, SSL cung cấp mã hóa liệu, xác thực máy chủ, tính tồn vẹn thư xác thực ứng dụng khách tùy chọn cho kết nối TCP/IP Nó cấp tổ chức đáng tin cậy, gọi Tổ chức phát hành chứng (CA) cung cấp nhận dạng cho người dùng 3.4.1 Tổ chức phát hành chứng Tổ chức phát hành chứng (Certificate Authority - CA): Là bên thứ ba tin cậy có trách nhiệm tạo, quản lý, phân phối, lưu trữ thu hồi chứng số CA nhận yêu cầu cấp chứng số cấp cho xác minh nhận dạng họ Nhóm 15 Bài thi cuối kỳ môn an ninh mạng CA phát hành chứng khóa cơng khai CA chứng nhận khóa công khai nằm chứng thực thuộc cá nhân, tổ chức, máy chủ hay thực thể ghi chứng thực Nhiệm vụ CA kiểm tra tính xác thơng tin liên quan đến thực thể chứng thực Khi người sử dụng tin tưởng vào CA họ kiểm tra chữ kí số CA họ tin tưởng vào khóa cơng khai thực thể ghi chứng thực số Nhờ có chứng thực khóa cơng khai mà client xác định khóa cơng khai mà nhận có khóa cơng khai server gửi khơng 3.4.2 Chứng số SSL Chứng số SSL (Secure Sockets Layer) tiêu chuẩn an ninh cơng nghệ tồn cầu tạo liên kết mã hóa máy chủ web trình duyệt Liên kết đảm bảo tất liệu trao đổi máy chủ web trình duyệt ln bảo mật an toàn Chứng thư số SSL cài website client cho phép client truy cập xác minh tính xác thực, tin cậy website, đảm bảo liệu, thông tin trao đổi website client mã hóa, tránh nguy bị can thiệp Chứng SSL hoạt động cách tích hợp khóa mã hóa vào thơng tin định danh client Nó giúp client mã hóa thơng tin truyền mà không bị ảnh hưởng chỉnh sửa bên thứ SSL hoạt động cách sử dụng khóa bí mật khóa cơng khai, đồng thời khóa phiên giao dịch Mỗi khách truy cập điền vào địa SSL thông tin trình duyệt web chuyển hướng tới trang web bảo mật, trình duyệt web server thiết lập kết nối Trong phiên kết nối ban đầu, khóa bí mật khóa cơng khai dùng để tạo session key, vốn dùng để mã hóa giải mã liệu truyền đưa Session key sử dụng khoảng thời gian định dùng cho phiên giao dịch Nâng cao độ tin cậy website qua bước:  SSL mã hóa thơng tin nhạy cảm q trình giao dịch trực tuyến  Mỗi chứng SSL tạo cho website  Kết hợp với quan uy tín xác thực danh tính chủ nhân website trước cấp chứng SSL đảm bảo tất liệu truyền máy chủ web trình duyệt mang tính riêng tư tách rời Tiêu chuẩn xác thực-SSL cung cấp đơn vị cấp phát chứng thư (CA) có uy tín tồn giới sau thực xác minh thông tin chủ thể đăng ký kỹ mang lại mức độ tin cậy cao cho người dùng Internet tạo nên giá trị cho website, doanh nghiệp cung cấp dịch vụ Nhóm 16 Bài thi cuối kỳ mơn an ninh mạng Hình 3.2 Quy trình xác thực chứng SSL Các bước xác thực chứng SSL trình duyệt máy chủ web: Trình duyệt yêu cầu website cung cấp thơng tin xác nhận danh tính Website gửi cho trình duyệt chứng SSL cấp Trình duyệt kiểm tra chứng SSL có tồn hay khơng Nếu đúng, thơng báo lại cho website SSL chấp nhận Website gửi ngược lại chữ ký số dùng để mã hóa giải mã suốt q trình giao dịch Dữ liệu trình duyệt website mã hóa 3.4.2 Các loại chứng SSL  Domain Validation (DV - SSL) Chứng thư số DV SSL chứng thực cho Domain Name - Website Khi Website sử dụng DV SSL xác thực tên domain website mã hoá an toàn trao đổi liệu Với chứng thư DomainSSL, Website kích hoạt "ổ khóa màu xanh" bảo mật giao dịch thương mại điện tử, thông tin đăng nhập tài khoản web, email trực tuyến, lưu lượng mạng dịch vụ trực tuyến  Organization Validation (OV -SSL) Chứng thư số OV SSL chứng thực cho Website xác thực cho doanh nghiệp sở hữu website Kích hoạt "ổ khóa màu vàng", đảm bảo an toàn cho giao dịch thương mại điện tử, thông tin đăng nhập tài khoản web, email trực tuyến, lưu lượng mạng dịch vụ trực tuyến Chứng thư OrganizationSSL tổ chức hiệu đính khách truy cập trang web xem chi tiết công ty hiệu đính chứng thư, giúp tăng cường tin tưởng với trang web đem lại lợi kinh doanh cao  Extended Validation (EV -SSL) Chứng thư số EV SSL cho khách hàng thấy Website có độ bảo mật cao rà xoát pháp lý kỹ Xuất địa sang màu xanh với hiển thị đầy đủ thông tin doanh nghiệp, cho thấy thông tin doanh nghiệp xác thực kiểm duyệt tình hình hoạt động, cung cấp cấp độ cao tin tưởng vào website doanh nghiệp Nhóm 17 Bài thi cuối kỳ mơn an ninh mạng  Wildcard SSL Certificate Với việc tùy chọn thêm Wildcard SSL, chứng thư số SSL bảo mật cho tất tên miền cấp Là chứng lý tưởng dành cho cổng thương mại điện tử Các website dạng thường tạo trang e-store dành cho chủ cửa hàng trực tuyến, e-store sub domains chia sẻ địa IP nhất.Khi đó, để triển khai giải pháp bảo bảo mật giao dịch trực tuyến (khi đặt hàng, toán, đăng ký & đăng nhập tài khoản, ) SSL, người dùng dùng chứng số Wildcard cho tên miền website dùng chung địa IP để chia sẻ cho tất sub domains  SANS Nhiều tên miền hợp chứng thư số chứng thư số SSL tiêu chuẩn bảo mật cho tên miền kiểm định Lựa chọn thêm SANs cho phép bảo mật tới 40 tên miền máy chủ với chứng thư số SANs mang lại linh hoạt cho người sử dụng, dễ dàng việc cài đặt, sử dụng quản lý chứng thư số SSL Ngồi ra, SANs có tính bảo mật cao Wildcard SSL, đáp ứng xác yêu cầu an toàn máy chủ làm giảm tổng chi phí triển khai SSL tới tất tên miền máy chủ cần thiết Chứng thư số SSL SANs tích hợp với tất loại chứng thư số SSL GlobalSign bao gồm: Chứng thực tên miền (DV SSL), chứng thực tổ chức doanh nghiệp (OV SSL) Chứng thực mở rộng cao cấp (EV SSL) 3.4.3 Chứng thực lẫn client server  Xác thực lẫn dựa chứng Khi sử dụng xác thực lẫn dựa chứng chỉ, diễn theo bước: Hình 3.3 Quá trình Xác thực lẫn dựa chứng Một khách hàng yêu cầu quyền truy cập vào tài nguyên bảo vệ Máy chủ web đưa chứng cho máy khách Nhóm 18 Bài thi cuối kỳ môn an ninh mạng Máy khách xác thực chứng máy chủ Nếu thành cơng, máy khách gửi chứng đến máy chủ Máy chủ xác thực thông tin đăng nhập khách hàng Nếu thành công, máy chủ cấp quyền truy cập vào tài nguyên bảo vệ mà máy khách yêu cầu  Xác thực lẫn dựa tên người dùng mật Trong xác thực lẫn dựa tên người dùng mật khẩu, diễn theo bước: Hình 3.4 Quá trình Xác thực lẫn dựa tên người dùng mật Một khách hàng yêu cầu quyền truy nhập vào tài nguyên bảo vệ Máy chủ Web đưa chứng cho máy khách Máy khách xác minh chứng máy chủ Nếu thành công, máy khách gửi tên người dùng mật tới máy chủ, máy chủ xác minh thông tin đăng nhập máy khách Nếu xác minh thành công, máy chủ cấp quyền truy cập vào tài nguyên bảo vệ mà máy khách yêu cầu 3.5 Kết hợp mã hóa đối xứng mã hóa khơng đối xứng Thay lần trao đổi máy khách web server lại phải thực bước trao đổi khóa xác thực khóa, áp dụng mã hóa đối xứng mã hóa khơng đối xứng cách trao đổi xác thực khóa Giai đoạn đầu thiết lập kết nối, sau trao đổi thành công, máy khách lưu lại khóa thực cho lần sau mà khơng cần phải trao đổi khóa lại Nhóm 19 Bài thi cuối kỳ môn an ninh mạng Bây tạm thời có q trình an tồn để trao đổi liệu client server Các phiên truy cập để máy chủ máy khách bắt tay với dùng mã hóa đối xứng Hình 3.5 Kết hợp mã hóa đối xứng bất đối xứng Server gửi khóa cơng khai đến cho client Trình duyệt tạo session key mã hóa với khóa cơng khai bất đối xứng server Sau gửi đến server Server giải mã session key khóa bí mật để có session key với dạng mã hóa đối xứng Lúc server trình duyệt mã hóa giải mã tất liệu truyền với session key Điều cho phép kênh an tồn trình duyệt máy chủ biết session key, session key sử dụng cho phiên truy cập Nếu trình duyệt để kết nối đến máy chủ vào ngày hôm sau, session key tạo IV Kết Luận Trong báo cáo, giới thiệu tổng quan HTTPs, khác biệt HTTP HTTPs HTTPs hoạt động dựa theo mơ hình Client (Máy khách) - Server (Máy chủ), khác chỗ HTTPs tích hợp thêm chứng SSL nhằm mã hóa thơng điệp giao tiếp để tăng tính bảo mật Hơn báo cáo đề cập tới vấn đề bảo mật web dựa HTTPs cách sử dụng chứng SSL để tăng độ tin cậy trình giao tiếp Client web server Nhóm 20 Bài thi cuối kỳ môn an ninh mạng Tài Liệu Tham Khảo Huong, N V (2018, 26 4) Tại lại cần HTTPS? Những điều engineer cần biết lịch sử kỹ thuật phía sau TLS Retrieved from VIBLO: Tại lại cần HTTPS? Những điều engineer cần biết lịch sử kỹ thuật phía sau TLS Love, C (2021, 09) How HTTPS Works to Keep You Secure 🔐 and How it Differs From HTTP Retrieved from LOVE2DEV: https://love2dev.com/blog/how-https-works/ Nguyen, M (2018, 19) Hiểu HTTPS với ví dụ bồ câu đưa thư Retrieved from VIBLO: https://viblo.asia/p/hieu-hon-ve-https-voi-vi-du-bo-cau-dua-thuOeVKBojQZkW BASSI, B (January 04, 2021) Common Website Security Vulnerabilities Bobby (10 Sep, 2017) How Does HTTPS Work? RSA Encryption Explained infoguard (January 5, 2019) Reasons why website security is important Arampatzis, A (2019) What Are the Best Use Cases for Symmetric vs Asymmetric Encryption? Nhóm 21 Bài thi cuối kỳ môn an ninh mạng LỜI CẢM ƠN Đầu tiên, em xin gửi lời cám ơn chân thành đến Học Viện Cơng nghệ Bưu Viễn thông đưa môn học An ninh mạng vào chương trình giảng dạy nhà trường Đặc biệt, em xin gửi lời cám ơn đến cô Phạm Anh Thư giảng viên môn giảng dạy truyền cho chúng em kiến thức đáng quý, tạo điều kiện cho chúng em nghiên cứu giao thức HTTPs vấn đề liên quan tới giao thức Thông qua tiểu luận, chúng em tiếp thu nhiều kiến thức bổ ích HTTPs Trong q trình nghiên cứu nhóm chúng em khó tránh khỏi thiếu xót, kính mong xem xét góp ý giúp chúng em hoàn thiện Chúng em xin chân thành cảm ơn! Nhóm 22 ... ninh mạng GIAO THỨC HTTPS VÀ BẢO MẬT WEB DỰA TRÊN HTTPS I Giới thiệu HTTPS 1.1 Định nghĩa HTTPS HTTP tên viết tắt HyperText Transfer Protocol (giao thức truyền tải siêu văn bản), giao thức dùng... song với cịn tồn nhiều vấn đề khiến phải bận tâm sử dụng Và vấn đề việc bảo mật thơng tin lướt web Đó lý đời giao thức HTTPS Giao thức HTTPS đời nhằm mục đích tạo khơng gian mạng có tính bảo mật. .. GIAO THỨC HTTPS VÀ BẢO MẬT WEB DỰA TRÊN HTTPS I Giới thiệu HTTPS 1.1 Định nghĩa HTTPS 1.2 Điểm khác biệt với HTTP 1.3 Ưu nhược điểm HTTPS

Ngày đăng: 26/02/2023, 15:13

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN

w