Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 26 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
26
Dung lượng
1,45 MB
Nội dung
Trường Đại học Công Nghệ Thông Tin Đại Học Quốc Gia – TPHCM Thuyết trình: Microsoft Trusted Networks GVHD : Tơ Nguyễn Nhật Quang Nhóm 19 : Nguyễn Đình Thi 06520448 Nguyễn Hồng Duy 08520071 Lê Thế Công 08520048 NỘI DUNG Tổng Quan Các khái niệm Cơ sở hạ tầng khóa cơng khai Triển khai dịch vụ CA môi trường Windows Server 2003 Triển khai số dịch vụ mạng sử dụng CA Kết hướng phát triển cho tương lai 22 TỔNG QUAN Ngày nay, việc giao tiếp qua mạng Internet trở thành nhu cầu cấp thiết Các thông tin truyền mạng quan trọng, mã số tài khoản, thông tin mật, giao dịch qua mạng … Tuy nhiên với thủ đoạn tinh vi nguy bị ăn cắp thông tin qua mạng gia tăng Vì vậy, để bảo mật thơng tin Internet ngày có xu hướng mã hóa Phương pháp mã hóa phổ biến giới áp dụng chứng số ( Digital Certificate ) Cách mã hóa dự liệu đảm bảo an tồn mã hóa khóa cơng khai Để sử dụng cách mã hóa này, cần phải có chứng số từ tổ chức quản trị gọi nhà cung cấp chứng số ( Certification Authority ) 33 CÁC KHÁI NIỆM CƠ BẢN Cơ quan chứng thực ( Certification Authority ) ? Cơ quan chứng thực (Certification Authority - CA) có thẩm quyền cấp phát, thu hồi, quản lý chứng thư số cho thực thể thực giao dịch an toàn Cơ quan chứng thực thành phần hệ thống chứng thực Chứng thư số ? Để thực giao dịch an toàn qua mạng, bên tham gia cần phải có “chứng thư số” Chứng thư số cấu trúc liệu chứa thông tin cần thiết để thực giao dịch an toàn qua mạng Chứng thư số lưu giữ máy tính dạng tập tin (file) 44 CÁC KHÁI NIỆM CƠ BẢN Cơ quan đăng ký ( Registration Authority ) ? Cơ quan đăng ký (Registration Authority) thành phần hệ thống chứng thực có nhiệm vụ tiếp nhận xác minh yêu cầu chứng thư số người sử dụng đồng thời gửi yêu cầu xác minh cho quan chứng thực (CA) thực yêu cầu Hệ thống chứng thực điện tử ? Hệ thống chứng thực hạ tầng an ninh mạng xây dựng hạ tầng sở khóa cơng khai (PKI) cung cấp giải pháp đảm bảo an toàn cho hoạt động (gọi chung giao dịch) thông qua mạng 55 CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI Khái niệm : Một PKI ( Public key infrastructure ) cho phép người sử dụng mạng công cộng không bảo mật, chẳng hạn Internet, trao đổi liệu tiền cách an tồn thơng qua việc sử dụng cặp mã khóa cơng khai, nhân cấp phát sử dụng qua nhà cung cấp chứng thực tín nhiệm Mặc dù thành phần PKI phổ biến, số nhà cung cấp muốn đưa chuẩn PKI riêng khác biệt 66 CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI Các thành phần sở hạ tầng khóa công khai : Một nhà cung cấp chứng thực số (CA) chuyên cung cấp xác minh chứng số Một nhà quản lý đăng ký ( Registration Authority ) đóng vai trị người thẩm tra cho CA trước chứng số cấp phát tới người yêu cầu Một nhiều danh mục nơi chứng số lưu trữ, phục vụ cho nhu cầu tra cứu, lấy khóa cơng khai đối tác cần thực giao dịch chứng thực số Một hệ thống quản lý chứng 77 CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI Chứng số : Chứng số tệp tin điện tử dùng để xác minh danh tính cá nhân, máy chủ, công ty … Internet Do nhà cung cấp chứng thực số (CA) xác thực chứng nhận, đảm bảo độ tin cậy, chịu trách nhiệm độ xác chứng số Các thành phần : + Thơng tin cá nhân khách hàng cấp + Khóa cơng khai + Chữ ký số CA cấp chứng +Thời gian hợp lệ 88 CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI Lợi ích chứng số + Mã hóa + Chống giả mạo + Xác thực + Chống chối cãi nguồn gốc + Chữ ký điện tử + Bảo mật website + Đảm bảo phần mềm 99 CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI Lợi ích chứng số + Mã hóa + Chống giả mạo + Xác thực + Chống chối cãi nguồn gốc + Chữ ký điện tử + Bảo mật website + Đảm bảo phần mềm 10 10 10 TRIỂN KHAI DỊCH VỤ CA TRÊN MÔI TRƯỜNG WINDOWS SERVER 2003 Các loại CA Windows Servers 2003 Có hai loại : Enterprise : Enterprise CAs tích hợp dịch vụ Active Directory Chúng sử dụng mẫu chứng chỉ, xuất chứng CRLs đến Active Directory, sử dụng thông tin sở liệu Active Directory để chấp nhận từ chối yêu cầu cấp phát chứng tự động Bởi client tổ chức CA phải truy xuất đến Active Directory để nhận chứng chỉ, nhiều tổ chức CA khơng thích hợp cho việc cấp phát chứng cho client bên tổ chức Stand-alone : Stand-alone CAs không dùng mẫu chứng hay Active Directory, chúng lưu trữ thơng tin cục Hơn nữa, mặc định stand-alone không tự động đáp lại yêu cầu cấp phát chứng số giống enterprise CAs làm Yêu cầu chờ hàng đợi cho người quản trị chấp nhận từ chối tay Dù người dùng chọn tạo enterprise CA stand-alone CA, phải rõ CA gốc (root) hay cấp (subordinate) 12 12 12 TRIỂN KHAI DỊCH VỤ CA TRÊN MÔI TRƯỜNG WINDOWS SERVER 2003 Cấp phát quản lý chứng số a) Cấp phát tự động ( Auto-Enrollment ) Auto – Enrollment cho phép client yêu cầu tự động nhận chứng số từ CA mà không cần can thiệp người quản tri Để dùng Auto – Enrollment phải có domain chạy Windows Server 2003, enterprise CA chạy Windows Sever 2003 client chạy Windows XP Professional Điều khiển tiến trình Auto – Enrollment phối hợp group policy mẫu chứng số 13 13 13 TRIỂN KHAI DỊCH VỤ CA TRÊN MÔI TRƯỜNG WINDOWS SERVER 2003 Cấp phát quản lý chứng số b) Cấp phát không tự động ( Manual Enrollment ) Stand-alone CAs khơng thể dùng auto – enrollment, stand-alone CA nhận yêu cầu chừng số từ client, lưu trữ yêu cầu vào hàng đợi người quản trị định liệu có cấp phát chứng số hay không? Để giám sát xử lý yêu cầu vào, người quản trị dùng Certification Authority console 14 14 14 TRIỂN KHAI DỊCH VỤ CA TRÊN MÔI TRƯỜNG WINDOWS SERVER 2003 c) Các cách yêu cầu cấp phát CA + Sử dụng Certificates Snap-in : công cụ dùng để xem quản lý chứng user computer cụ thể 15 15 15 TRIỂN KHAI DỊCH VỤ CA TRÊN MÔI TRƯỜNG WINDOWS SERVER 2003 c) Các cách yêu cầu cấp phát CA + Yêu cầu cấp phát thông qua Web ( Web Enrollment ) 16 16 16 TRIỂN KHAI DỊCH VỤ CA TRÊN MÔI TRƯỜNG WINDOWS SERVER 2003 d) Thu hồi chừng số Có vài nguyên nhân cảnh báo cho người quản trị thu hồi chứng Nếu khóa riêng ( private key ) bị lộ, người dùng trái phép lợi dụng truy xuất đến CA, chí bạn muốn cấp phát chứng dùng tham số khác khóa dài hơn, bạn phải thu hồi chứng trước 17 17 17 TRIỂN KHAI MỘT SỐ DỊCH VỤ MẠNG SỬ DỤNG CA Dịch vụ web sử dụng SSL SSL – Sercure Layer giao thức mã hóa cung cấp truyền thơng an tồn Internet web browing, e-mail SSL cung cấp chứng thực điểm cuối kết nối, kênh truyền thơng riêng tư Internet cách mã hóa Thơng thường chí có Server chứng thực Ở mức độ bảo mật cao hơn, hai phái phải biết nhau, chứng thực lẫn Chứng thực lẫn u cầu dùng hạ tầng khóa cơng khai PKI 18 18 18 TRIỂN KHAI MỘT SỐ DỊCH VỤ MẠNG SỬ DỤNG CA Dịch vụ web sử dụng SSL 19 19 19 TRIỂN KHAI MỘT SỐ DỊCH VỤ MẠNG SỬ DỤNG CA Dịch vụ IPSec IPSec – Internet Protocol Security giao thức thiết kế để bảo vệ liệu chữ kí điện tử mã hóa trước truyền IPSec mã hóa thơng tin gói tin theo cách đóng gói nó, nên bắt gói tin khơng đọc nội dung bên Do IPSec hoạt động tầng mạng nên IPSec tạo kênh mã hóa liên tục điểm kết nối (end – to – end ) 20 20 20 TRIỂN KHAI MỘT SỐ DỊCH VỤ MẠNG SỬ DỤNG CA Dịch vụ IPSec 21 21 21 TRIỂN KHAI MỘT SỐ DỊCH VỤ MẠNG SỬ DỤNG CA Dịch vụ VPN VPN – Virtual Private Network mạng riêng dùng mạng công cộng ( Internet ) để kết nối điểm người sủ dụng tới mạng LAN trung tâm VPN cho phép truyền liệu hai máy tính sử dụng mơi trường mạng cơng cộng giống cách có đường kết nối riêng hai máy Để tạo kết nối điểm điểm ( point – to – point ), liệu đóng gói (encapsulate), bao bọc (wrap) với header để cung cấp thông tin định tuyến Để giả lập kênh truyền riêng, liệu mã hóa 22 22 22 TRIỂN KHAI MỘT SỐ DỊCH VỤ MẠNG SỬ DỤNG CA Dịch vụ VPN 23 23 23 TỔNG KẾT Kết Thông qua việc thực báo cáo, nhóm tìm hiểu kiến thức sở hạ tầng khóa cơng khai PKI, mơ hình có độ tin cậy sử dụng nhiều cho việc truyền thông mạng Triển khai dịch vụ CA, thành phần quan trọng PKI Tích hợp dịch vụ CA vào số dịch vụ mạng khác để tạo nên dịch vụ có tính bảo mật cao 24 24 24 TỔNG KẾT Hướng phát triển Các mơ hình dịch vụ thực giả lập môi trường mạng LAN Nếu sở hạ tầng mạng tốt hơn, triển khai phạm vi lớn với mơi trường Internet thật Ngồi ra, tìm hiểu thêm để tích hợp dịch vụ môi trường Linux 25 25 25 The End 26 26 26 ... dịch an toàn qua mạng, bên tham gia cần phải có “chứng thư số” Chứng thư số cấu trúc liệu chứa thông tin cần thiết để thực giao dịch an toàn qua mạng Chứng thư số lưu giữ máy tính dạng tập tin. .. quan chứng thực (Certification Authority - CA) có thẩm quyền cấp phát, thu hồi, quản lý chứng thư số cho thực thể thực giao dịch an toàn Cơ quan chứng thực thành phần hệ thống chứng thực Chứng... QUAN Ngày nay, việc giao tiếp qua mạng Internet trở thành nhu cầu cấp thiết Các thông tin truyền mạng quan trọng, mã số tài khoản, thông tin mật, giao dịch qua mạng … Tuy nhiên với thủ đoạn tinh