Đăng ký
  1. Trang chủ
  2. » Công Nghệ Thông Tin

SSL secure sockets layer)

27 320 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

SSL (Secure Sockets Layer) ỨNG DỤNG SSL MỘT SỐ KHÁI NIÊM: SSL LÀ GÌ? SSL giao thức đa mục đích thiết kế để tạo giao tiếp hai chương trình ứng dụng cổng định trước (socket 443) nhằm mã hố tồn thơng tin đi/đến, mà ngày sử dụng rộng rãi cho giao dịch điện tử truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) Internet Giao thức SSL hình thành phát triển năm 1994 nhóm nghiên cứu Netscape dẫn dắt Elgammal ngày trở thành chuẩn bảo mật thực hành mạng Internet Phiên SSL 3.0 tiếp tục bổ sung hoàn thiện Tương tự SSL, giao thức khác có tên PCT - Private Communication Technology đề xướng Microsoft sử dụng rộng rãi mạng máy tính chạy hệ điều hành Windows NT Ngoài ra, chuẩn IETF (Internet Engineering Task Force) có tên TLS (Transport Layer Security) dựa SSL hình thành xuất khuôn khổ nghiên cứu IETF Internet Draft tích hợp hỗ trợ sản phẩm Netscape TCP/IP Layer Application Layer Secure Socket Layer Transport Layer Internet Layer Protocol HTTP, Telnet, FTP, SSL TCP IP SSL TCP/IP GIAO THỨC SSL LÀM VIỆC NHƯ THẾ NÀO? Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 81 Điểm SSL thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an tồn chống giả mạo luồng thông tin qua Internet hai ứng dụng bất kỳ, thí dụ webserver trình duyệt khách (browsers), sử dụng rộng rãi nhiều ứng dụng khác mơi trường Internet Tồn chế hoạt động hệ thống thuật toán mã hố sử dụng SSL phổ biến cơng khai, trừ khoá chia xẻ tạm thời (session key) sinh thời điểm trao đổi hai ứng dụng tạo ngẫu nhiên bí mật người quan sát mạng máy tính Ngồi ra, giao thức SSL đỏi hỏi ứng dụng chủ phải chứng thực đối tượng lớp thứ ba (CA) thông qua giấy chứng thực điện tử (digital certificate) dựa mật mã cơng khai (thí dụ RSA) Sau ta xem xét cách khái quát chế hoạt động SSL để phân tích cấp độ an tồn khả áp dụng ứng dụng nhạy cảm, đặc biệt ứng dụng thương mại toán điện tử Giao thức SSL dựa hai nhóm giao thức giao thức “bắt tay” (handshake protocol) giao thức “bản ghi” (record protocol) Giao thức bắt tay xác định tham số giao dịch hai đối tượng có nhu cầu trao đổi thơng tin liệu, cịn giao thức ghi xác định khuôn dạng cho tiến hành mã hoá truyền tin hai chiều hai đối tượng Khi hai ứng dụng máy tính, thí dụ trình duyệt web máy chủ web, làm việc với nhau, máy chủ máy khách trao đổi “lời chào” (hellos) dạng thông điệp cho với xuất phát chủ động từ máy chủ, đồng thời xác định chuẩn thuật toán mã hố nén số liệu áp dụng hai ứng dụng Ngoài ra, ứng dụng cịn trao đổi “số nhận dạng/khố theo phiên” (session ID, session key) cho lần làm việc Sau ứng dụng khách (trình duyệt) u cầu có chứng thực điện tử (digital certificate) xác thực ứng dụng chủ (web server) Chứng thực điện tử thường xác nhận rộng rãi quan trung gian (là CA -Certificate Authority) RSA Data Sercurity hay Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 82 VeriSign Inc., dạng tổ chức độc lập, trung lập có uy tín Các tổ chức cung cấp dịch vụ “xác nhận” số nhận dạng công ty phát hành chứng cho công ty chứng nhận dạng (identity) cho giao dịch mạng, máy chủ webserver Sau kiểm tra chứng điện tử máy chủ (sử dụng thuật tốn mật mã cơng khai, RSA trình máy trạm), ứng dụng máy trạm sử dụng thông tin chứng điện tử để mã hố thơng điệp gửi lại máy chủ mà có máy chủ giải mã Trên sở đó, hai ứng dụng trao đổi khố (master key) - khố bí mật hay khố đối xứng - để làm sở cho việc mã hoá luồng thông tin/dữ liệu qua lại hai ứng dụng chủ khách Toàn cấp độ bảo mật an toàn thông tin/dữ liệu phụ thuộc vào số tham số: (i) số nhận dạng theo phiên làm việc ngẫu nhiên; (ii) cấp độ bảo mật thuật toán bảo mật áp dụng cho SSL; (iii) độ dài khố (key length) sử dụng cho lược đồ mã hố thơng tin Các thuật tốn mã hố xác thực SSL sử dụng bao gồm (phiên 3.0): DES - chuẩn mã hoá liệu (ra đời năm 1977), phát minh sử dụng phủ Mỹ DSA - thuật tốn chữ ký điện tử, chuẩn xác thực điện tử), phát minh sử dụng phủ Mỹ KEA - thuật toán trao đổi khoá), phát minh sử dụng phủ Mỹ MD5 - thuật tốn tạo giá trị “băm” (message digest), phát minh Rivest; RC2, RC4 - mã hố Rivest, phát triển cơng ty RSA Data Security; Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 83 RSA - thuật toán khoá cơng khai, cho mã hố va xác thực, phát triển Rivest, Shamir Adleman; RSA key exchange - thuật toán trao đổi khoá cho SSL dựa thuật toán RSA; SHA-1 - thuật toán hàm băm an tồn, phát triển sử dụng phủ Mỹ SKIPJACK - thuật toán khoá đối xứng phân loại thực phần cứng Fortezza, sử dụng phủ Mỹ 10 Triple-DES - mã hố DES ba lần Cơ sở lý thuyết chế hoạt động thuật toán sử dụng bảo mật bên phổ biến rộng rãi công khai, trừ giải pháp thực ứng dụng thực hành vào sản phẩm bảo mật (phần cứng, phần dẻo, phần mềm) GIAO THỨC SSL SSL Message Các bước thực để thiết lập kết nối SSL client server: Khi browser muốn thiết lập kết nối SSL với server gởi URL bắt đầu https thay http Browser tự động gởi đến server số thông tin cần thiết để tạo kết nối SSL với server phiên SSL, mã … Server tự động trả lời cách gởi cho browser digital certificate site với số thông tin phiên SSL sử dụng, mã… Browser kiểm tra thông tin chứa certificate server : Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 84 a Thời gian sử dụng certificate b CA ký vào certificate có tin cậy hay khơng c Kiểm tra public key CA tạo chữ ký điện tử d Kiểm tra domain name certificate server có trùng với domain name server khơng Nếu việc định danh server thành cơng borwser phát sinh khoá gọi “session key” để mã hoá tất giao tiếp sau Browser mã hoá session key public key server gởi đến cho server Server giải mã liệu nhận private key (lúc có client server biết session key) Browser gởi thông điệp đến server để thông báo thơng điệp sau mã hố session key Sever gởi thông điệp đến client để thông báo thông điệp sau mã hoá session key 10 Phiên làm việc SSL thành lập, SSL sử dụng phương pháp mã hoá secret key để mã hoá giải mã liệu qúa trình giao tiếp 11 Khi phiên làm việc kết thúc session key bị huỷ bỏ Kiến trúc phân tầng SSL Kiến trúc phân tầng SSL/TCP Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 85 Quá trình bắt tay SSL sử dụng ba giao thức: • SSL Handshake protocol: xác định phiên làm việc ( thống session key, ) • SSL Chage Cipher Spec: thống giải thuật mã hoádùng phiên làm việc • SSL Alert Protocol: thơng báo lổi Dữ liệu, lệnh giao thức đóng gói truyền xuống lớp SSL Record Protocol SSL Record Protocol truyền xuống lớp TCP, IP Dữ liệu phân mảnh, mã hố, tính digest truyền xuống cho lớp TCP để gởi Độ tin cậy SSL: SSL 40bit SSL 128 bit SSL cung cấp hai mức độ tin cậy: 40 bit 128 bit SSL 128 bit SSL 40 bit ý nói độ dài session key dùng để mã hoá liệu sau định danh thiết lập session key giải thuật public key (RSA DellfiHellman) Độ dài khoá session key lớn độ bảo mật tăng Hiện SSL 128 bit có độ tin cậy lớn Theo RSA phải tỉ năm giải mã kỷ thuật Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 86 Các transactions sử dụng SSL 40bit 128 bit tuỳ thuộc vào khả browser Để có SSL Certificate 128bit ta phải tạo private key 1024 bit Hoạt động SSL 2.0 − Kết nối từ client đến server thực giao thức HTTPS (HTTP+SSL) − Server ký khố cơng khai (public key) khố bí mật (private key) gửi cho client − Client dùng khố cơng khai server để xác nhận server liên lạc − Client kiểm tra xem có CA ký vào khố Nếu khơng client hỏi người dùng xem có nên tin tưởng vào server không − Client sinh khoá bất đối xứng (asymmetric key) cho phiên giao dịch, khố mã hố khố cơng khai máy chủ gửi ngược lại Khoá dùng để mã hố tất thơng tin sau SSL 3.0 bổ sung thêm cho SSL 2.0 cách hỗ trợ cho chứng thực máy khách (client certificate), giúp server nhận diện ngược lại client SSL 3.0 hoạt động SSL 2.0 , sau client xác thực server, đến lượt server kiểm tra ngược lại client 4.1 Cấu hình SSL Click  Start  Programs  Administrative Tools Click Internet Information Services ( IIS ) Click phải vào website cần thiết lập SSL  Click Properties Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 87 Click Directory Security Tab  Click Server Certifcate… Màn hình Welcome to the Web Server Certificate Wizard xuất hiện,Click Next Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 88 Trên trang Server Certificate  Chọn Create a new Certificate ,sau Click Next Note: Tại bạn Import Certificate có sẵn bạn phải làm bước sau: Click Import certificate from a.pfx file  Click Next Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 89 Trong hình Import Certificate, Click Browser… đến nơi chứa Certificate đó,sau Click Next Và nhập Password  Click Next tiếp tục bước Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 90 Trên Geographical Information Page nhập thông số sau: Country/Region : VietNam State/Province : City/locality : Click Next Trên Certificate Request File Name Click Browser… chọn đường dẫn nơi lưu trữ mặc định là: \certreq.txt Click Next Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 93 Click Next Click Finish hoàn thành trình Configuration SSL Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 94 1.2 Tạo request Trên Web Server ta tạo Request đến CA Server Mở trình duyệt Web Internet Expolorer Click Request a Certifcate Click Advance Certificate Request Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 95 Click Submit a Certfiate request by using a base ……… Sau mở file C:\certreq.txt Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 96 Copy nội dung file certreq.txt dán vào Request Box Click Certifiate Template List  Click Web Server  Click Submit Sau CA server xác nhận đồng ý cấp Certificate, từ Client vào lại 26.0.0.2/certsrv  View the status of a pending certificate request  Saved- Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 97 Request Certificate (Tuesday August 29 2006 5:42:02 PM)  Chọn DER encoded  Click Download Certificate Click Save máy Web Server Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 98 4.3 Import Certificate vào Web server Double Click File certnew.cer vừa Download Click Install Certificate… Click Next Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 99 Click Next Click Finish hồn thành q trình Import Certificate Web Server Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 100 1.3 Certificate Request chưa giải Trở lại với IIS Client ,nhấp chuột phải vào website cần thiết lập SSL  Properties  Directory security  Server Certificate  Next Chọn Process the Pending request and install the certificate  Click Next Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 101 Click Browser…đến file certnew.cer  Click Next Trên SSL port Page nhập Port 443  Click Next Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 102 Click Next tiếp tục q trình đăng ký Click Finish để hồn thành Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 103 4.5 User Log on vào Web SSL Mở trình duyệt Web Internet Explorer Trên Address nhập : https://26.0.0.3 Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 104 Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 105 Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 106 Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 107 ... tính digest truyền xuống cho lớp TCP để gởi Độ tin cậy SSL: SSL 40bit SSL 128 bit SSL cung cấp hai mức độ tin cậy: 40 bit 128 bit SSL 128 bit SSL 40 bit ý nói độ dài session key dùng để mã hoá liệu... tầng SSL/ TCP Athena-Tài liệu hướng dẫn thực tập Security+.Lưu hành nội 85 Quá trình bắt tay SSL sử dụng ba giao thức: • SSL Handshake protocol: xác định phiên làm việc ( thống session key, ) • SSL. .. mật (phần cứng, phần dẻo, phần mềm) GIAO THỨC SSL SSL Message Các bước thực để thiết lập kết nối SSL client server: Khi browser muốn thiết lập kết nối SSL với server gởi URL bắt đầu https thay http

Ngày đăng: 31/03/2016, 06:15

Xem thêm: SSL secure sockets layer)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w