Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 72 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
72
Dung lượng
9,23 MB
Nội dung
Đồ án tốt nghiệp Triểnkhaihệthốngcungcấpchứngchỉsố trờng đại học vinh Khoa công nghệ thông tin Nguyễn mạnh Cờng Triểnkhaihệthốngcungcấpchứngchỉsố đồ án tốt nghiệp đại học Kỹ s công nghệ thông tin Vinh, 05 - 2010 Sinh viên thực hiện: Nguyễn Mạnh Cờng 1 §å ¸n tèt nghiÖp TriÓn khai hÖ thèng cung cÊp chøng chØ sè Lời cảm ơn Để có được thành công của đề tài này trong quá trình làm Đồ án tốt nghiệp cuối khóa, em đã nhận được sự giúp đỡ, động viên và chia sẻ của nhiều người. Trước hết, em xin gửi lời cảm ơn chân thành và sâu sắc đến Giáo viên hướng dẫn – Thạc sĩ Lê Hồng Trang – giảng viên khoa Công nghệ thông tin, trường Đại học Vinh trong quá trình trực tiếp hướng dẫn đã rất quan tâm và giúp đỡ em rất tận tình. Sự gợi ý về ý tưởng, cungcấp tài liệu, số liệu, hướng dẫn và chỉ đạo của thầy là một trong những nhân tố chính giúp em hoàn thành tốt đề tài của mình. Thầy đã rất quan tâm đến việc thực hiện đề tài của em, nên em đã hoàn thành đề tài đúng thời gian cũng như yêu cầu đặt ra. Em cũng xin gửi lời cảm ơn chân thành và sâu sắc đến thầy giáo Nguyễn Bá Hoàng – Giảng viên trường Nghệ An -Aptech. Trong quá trình thực hiện đề tài, thầy đã có nhiều nhận xét, góp ý quý báu, giúp em có thêm cơ sở để hoàn thiện thêm đề tài này. Em cũng xin gửi lời cảm ơn đến các thầy cô trong khoa Công nghệ thông tin, trường Đại học Vinh đã giúp đỡ em trong quá trình thực hiện đề tài này. Nhân đây, em cũng muốn bày tỏ lòng biết ơn sâu sắc đền gia đình và bạn bè, đã quan tâm, giúp đỡ, dộng viên và chia sẻ với em trong quá trình làm đề tại này. Em kính gửi lời chúc sức khỏe, hạnh phúc đến gia đình, toàn thể thầy cô và bạn bè. Sinh viªn thùc hiÖn: NguyÔn M¹nh Cêng 2 Đồ án tốt nghiệp Triểnkhaihệthốngcungcấpchứngchỉsố Mục lục Mở đầu .5 Chơng I:Tổng quan về dịch vụ mạng 7 I. Active Directory .7 1.1. Giới thiệu Active Directory .7 1.2. Các thành phần của Active Directory 7 II. Dịch vụ DHCP .8 III. Giới thiệu về giao thức POP và IMAP .9 3 1. POP ( Post Office Protocol) 10 3.2. IMAP(Internet Mail Access Protocol) .10 3.3. So sánh POP3 và IMAP4 .12 IV. Hệthống DNS .13 4.1. Khái niệm về hệthống tên miền .13 4.2. Cấu tạo tên miền 13 4.3. Giới thiệu về hệthống DNS .14 4.4. Cấu trúc của hệthống tên miền .14 4.5. Hoạt động của DNS 16 V. Dịch vụ IPSec 18 Chơng II : dịch vụ chứngchỉsố 20 I. Giới thiệu .20 II. Cơ sở hạ tầng khóa công khai .21 1.1. Khái niệm .21 1.2. Nhà cungcấpchứngchỉsố CA (Certificate Authority) .21 1.3. Chứngchỉsố .22 1.3.1. Khái niệm 22 1.3.2. Lợi ích của chứngchỉsố .23 Sinh viên thực hiện: Nguyễn Mạnh Cờng 3 Đồ án tốt nghiệp Triểnkhaihệthốngcungcấpchứngchỉsố III. Triểnkhai dịch vụ CA trên môi trờng Windows Server 2003 27 3.1. Cài đặt dịch vụ CA .27 3.2. Các dịch vụ chứngchỉ CA Windows Server 2003 cungcấp 28 3.3. Các loại CA trên Windows Server 2003 .29 3.4. Cấp phát và quản lý các chứngchỉsố .30 3.4.1. Cấp phát tự động (Auto-Enrollment) 30 3.4.2. Cấp phát không tự động (Manual Enrollment) 31 3.4.3. Các yêu cầu cấp phát CA .32 3.5. Thu hồi chứngchỉsố 34 Chơng 3 : Xây dựng hệthốngcungcấpchứngchỉsố .36 I. Dịch vụ nhận và gửi E-mail .36 1.1. Mô hình dịch vụ .36 1.2. Tiến hành cài đặt .38 II. Dịch vụ VPN .52 2.1. Mô hình dịch vụ .52 2.2. Tiến hành cài đặt .54 III. Dịch vụ Web sử dụng SSL 63 Chơng IV: Kết quả và hớng phát triển .74 4.1.Kết quả .74 4.2. Hớng Phát triển 74 Sinh viên thực hiện: Nguyễn Mạnh Cờng 4 Đồ án tốt nghiệp Triểnkhaihệthốngcungcấpchứngchỉsố Lời nói đầu Trong một vài năm gần lại đây, hạ tầng truyền thông IT ngày càng đợc mở rộng khi ngời sử dụng dựa trên nền tảng này để truyền thông và giao dịch với các đồng nghiệp, các đối tác kinh doanh cũng nh việc khách hàng dùng Email trên các mạng công cộng. Hầu hết các thông tin nhạy cảm và quan trọng đợc lu trữ và trao đổi dới hình thức điện tử và trong các cơ quan văn phòng doanh nghiệp. Sự thay đổi trong các hoạt động truyền thông này đồng nghĩa với việc cần phải có biện pháp bảo vệ đơn vị, tổ chức, doanh nghiệp của mình trớc các nguy cơ lừa đảo, can thiệp, tấn công, phá hoại hoặc vô tình tiết lộ các thông tin đó. Hệthốngcungcấpchứngchỉsốcùng các công nghệ ứng dụng của nó có thể coi đợc coi là một giải pháp tổng hợp và độc lập có thể sử dụng để giải quyết vấn đề này. Chứngchỉsố hoạt động dựa trên mã khóa công khai. Hệthống mã hóa này gồm 2 khóa, khóa bí mật và khóa công khai. Mỗi chủ thể có một cặp khóa nh vậy, chủ thể đó sẽ giữ khóa bí mật còn khóa công khai của chủ thể sẽ đợc đa ra công cộng để bất kỳ ai cũng có thể biết. Nguyên tắc hệthống mã hóa công khai đó là nếu ta mã hóa khóa bí mật thì chỉ có khóa công khai mới giải mã thông tin đợc, và ngợc lại nếu ta mã hóa khóa công khai thì chỉ có khóa bí mật mới giải mã đợc. Cho tới nay, những nổ lực hoàn thiện chứngchỉsố vẫn đang đợc đầu t và thúc đẩy và để thực hóa ý tởng tuyệt vời này, các tiêu chuẩn cần phải nghiên cứu phát triển ở các mức khác nhau bao gồm: mã hóa, truyền thông và liên kết, xác thực, cấp phép và quản lý. Nhiều chuẩn bảo mật trên Internet, chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) và Virtual Private Network (VPN), chính là kết quả sáng kiến của chứngchỉ số. Một minh chứng là thuật toán mã hóa phi đối xứng xây dựng dựa trên phơng pháp mã hóa và giải mã thông tin sử dụng hai khóa mã: Khóa công khai (public key) và khóa riêng (private key). Trong trờng hợp này, một ngời sử dụng có thể mã hóa tài liệu của Sinh viên thực hiện: Nguyễn Mạnh Cờng 5 Đồ án tốt nghiệp Triểnkhaihệthốngcungcấpchứngchỉsố mình với khóa riêng và sau đó giải mã thông tin đó bằng khóa công khai. Nếu một văn bản chứa các dữ liệu nhạy cảm và cần phải đợc thực hiện một cách bảo mật tới duy nhất cá nhân, thôngthờng ngời gửu mã hóa tài liệu bằng khóa riêng của mình và ngời nhận sẽ giải mã sử dụng khóa công khai của ngời gửu. Khóa công khai này có thể đợc kèm theo tài liệu này hoặc gửu cho ngời nhận trớc đó. Mặt khác do có nhiều thuật toán phi đối xứng nên các chuẩn công khai hiện có thờng xuyên đợc nghiên cứu cải tiến để phù hợp với các thuật toán này. Hiện nay ở Việt Nam, việc nghiên cứu, ứng dụng và triểnkhai PKI nói chung và chứngchỉsố nói riêng là vấn đề còn mang tính thời sự. Bằng việc sử dụng chứngchỉ và chữ ký số, những ứng dụng cho phép chứngchỉsố đa ra nhiều tính đảm bảo an toàn thông tin cho ngời sử dụng. Đồ án này đợc thực hiện với mục đích xây dựng hệthốngcungcấpchứngchỉsố bao gồm các khái niệm về các dịch vụ mạng, khái niệm và những lợi ích của chứngchỉ số, khái niệm về PKI, các dịch vụ của CA. Đồ án tập trung vào việc tìm hiểu các dịch vụ mạng sử dụng chứngchỉsố qua đó vận dụng cungcấpchứngchỉsố có khả năng ứng dụng cho cơ quan công tác và một số đơn vị khác. Với giới hạn những vấn đề tìm hiểu và nghiên cứu nh trên, đồ án bao gồm 3 chơng: Chơng 1: Tổng quan về các dịch vụ mạng. Chơng 2: Dịch vụ chứngchỉ số. Chơng 3: Triểnkhai một số dịch vụ mạng sử dụng chứngchỉ số. Chơng 4: Kết quả và hớng phát triển Mặc dầu đã rất cố gắng đồ án này chắc còn nhiều thiếu sót. Em mong đợc các thầy cô, bạn bè góp ý sữa chữa cho nội dung đồ án này để em có thể tiếp tục đi sâu tìm hiểu và đa chứngchỉsố vào ứng dụng trong thực tiễn công tác. Em xin chân thành cảm ơn. Sinh viên thực hiện: Nguyễn Mạnh Cờng 6 Đồ án tốt nghiệp Triểnkhaihệthốngcungcấpchứngchỉsố Chơng i- Tổng quan về CáC DịCH Vụ MạNG I. Active Directory 1.1. Giới thiệu Active Directory Active Directory (AD) là nơi lu trữ các thông tin về các tài nguyên khác trên mạng, các tài nguyên đợc AD lu trữ và theo dõi gồm: file server, printer, fax server, applycation, database, use, webserver. Thông tin lu trữ này sử dụng để truy cập các tài nguyên trên mạng. Thông qua AD ngời sử dụng có thể tìm tới mức chi tiết của bất kì tài nguyên nào dựa trên một hay nhiều thuộc tính của nó. 1.2. Các thành phần của Active Directory Active Directory gồm có 2 cấu trúc là logic và vật lý. Cấu trúc logic của AD gồm: Miền (domain ). Đơn vị tổ chức (organization unit_OU). Cây (tree, hệ miền phân cấp ). Rừng (forest :tập hợp các cây). Cấu trúc vật lý của AD Cấu trúc logic của một AD đợc tách ra từ một cấu trúc vật lý của nó và hoàn toàn tách biệt với cấu trúc vật lý. Cấu trúc vật lý đợc sử dụng để tổ chức việc trao đổi trên mạng trong khi đó cấu trúc logic đợc sử dụng để tổ chức các tài nguyên có sẵn trên mạng. Cấu trúc vật lý của AD gồm 2 phần : Site(các vị trí, địa bàn): Một site là một sự kết hợp của một hoặc nhiều mạng con IP đợc kết nối bởi đờng truyền tốc độ cao. Các site đợc định nghĩa để tạo sự thuận lợi đặc biệt cho chiến lợc truy cập và nhân bản một AD. Sinh viên thực hiện: Nguyễn Mạnh Cờng 7 Đồ án tốt nghiệp Triểnkhaihệthốngcungcấpchứngchỉsố Domain controller (điều khiển miền): Là một máy tính chạy Win 2k server và chứa một bản sao của AD của miền, trong một miền có thể có nhiều hơn một domain controller (DC). Tất cả các DC trong miền đều lu một bản sao của AD. II. Dịch vụ DHCP Trong một mạng máy tính, việc cấp các địa chỉ IP tĩnh cố định cho các host sẽ dẫn đến tình trạng lãng phí địa chỉ IP, vì trong cùng một lúc không phải các host hoạt động đồng thời với nhau, do vậy sẽ có một số địa chỉ IP bị thừa. Để khắc phục tình trạng đó, dịch vụ DHCP đa ra để cấp phát các địa chỉ IP động trong mạng. Trong mạng máy tính khi một máy phát ra yêu cầu về các thông tin của TCP/IP thì gọi là DHCP client, còn các máy cungcấpthông tin của TCP/IP gọi là DHCP server. Các máy DHCP server bắt buộc phải là Windows NT server. Cách cấp phát địa chỉ IP trong DHCP: Một user khi log on vào mạng, nó cần xin cấp 1 địa chỉ IP, theo 4 bớc sau : Gửi thông báo đến tất cả các DHCP server để yêu cầu đợc cấp địa chỉ. Tất cả các DHCP server gửi trả lời địa chỉ sẽ cấp đến cho user đó. User chọn 1 địa chỉ trong số các địa chỉ, gửi thông báo đến server có địa chỉ đợc chọn. Server đợc chọn gửi thông báo khẳng định đến user mà nó cấp địa chỉ. Quản trị các địa chỉ IP của DHCP server: Server quản trị địa chỉthông qua thời gian thuê bao địa chỉ (lease duration). Có ba phơng pháp gán địa chỉ IP cho các Workstation : Gán thủ công. Gán tự động. Gán động . Trong phơng pháp gán địa chỉ IP thủ công thì địa chỉ IP của DHCP client đ- ợc gán thủ công bởi ngời quản lý mạng tại DHCP server và DHCP đợc sử dụng để chuyển tới DHCP client giá trị địa chỉ IP mà đợc định bởi ngời quản trị mạng. Sinh viên thực hiện: Nguyễn Mạnh Cờng 8 Đồ án tốt nghiệp Triểnkhaihệthốngcungcấpchứngchỉsố Trong phơng pháp gán địa chỉ IP tự động DHCP client đợc gán địa chỉ IP khi lần đầu tiên nó nối vào mạng. Địa chỉ IP đợc gán bằng phơng pháp này sẽ đ- ợc gán vĩnh viễn cho DHCP client và địa chỉ này sẽ không bao giờ đuợc sử dụng bởi một DHCP client khác. Trong phơng pháp gán địa chỉ IP động thì DHCP server gán địa chỉ IP cho DHCP client tạm thời. Sau đó địa chỉ IP này sẽ đợc DHCP client sử dụng trong một thời gian đặc biệt. Đến khi thời gian này hết hạn thì địa chỉ IP này sẽ bị xóa mất. Sau đó nếu DHCP client cần nối kết vào mạng thì nó sẽ đợc cấp một địa chủ IP khác. Phơng pháp gán địa chỉ IP động này đặc biệt hữu hiệu đối với những DHCP client chỉ cần địa chỉ IP tạm thời để kết nối vào mạng. Ví dụ một tình huống trên mạng có 300 users và sử dụng subnet là lớp C. Điều này cho phép trên mạng có 253 nodes trên mạng. Bởi vì mổi computer nối kết vào mạng sử dụng TCP/IP cần có một địa chỉ IP duy nhất do đó tất cả 300 computer không thể đồng thời nối kết vào mạng. Vì vậy nếu ta sử dụng phơng pháp này ta có thể sử dụng lại những IP mà đã đợc giải phóng từ các DHCP client khác. Cài đặt DHCP chỉ có thể cài trên Windows NT server mà không thể cài trên Client. III. Giới thiệu về giao thức POP và IMAP Trong giai đoạn đầu phát triển của th điện tử ngời dùng đợc yêu cầu truy nhập vào máy chủ th điện tử và đọc các bức điện ở đó. Các chơng trình th thờng sử dụng dạng text và thiếu khả năng thân thiện với ngời dùng, để giải quyết vấn đề đó một số thủ tục đợc phát triển để cho phép ngời dùng có thể lấy th về máy của họ hoặc có các giao diện sử dụng thân thiện hơn với ngời dùng. Điều đó đã đem đến sự phổ biến của th điện tử. Có hai thủ tục đợc sử dụng phổ biến nhất để lấy th về hiện nay là POP(Post Office Protocol) và IMAP(Internet Mail Access Protocol). 3.1. POP ( Post Office Protocol) Sinh viên thực hiện: Nguyễn Mạnh Cờng 9 Đồ án tốt nghiệp Triểnkhaihệthốngcungcấpchứngchỉsố POP cho phép ngời dùng có account tại máy chủ th điện tử kết nối vào và lấy th về máy tính của mình, ở đó có thể đọc và trả lời lại. POP đợc phát triển đầu tiên vào năm 1984 và đợc nâng cấp từ bản POP2 lên POP3 vào năm 1988. Và hiện nay hầu hết ngời dùng sử dụng tiêu chuẩn POP3. POP3 kết nối trên nền TCP/IP để đến máy chủ th điện tử (sử dụng giao thức TCP cổng mặc định là 110). Ngời dùng điền username và password. Sau khi xác thực đầu máy khách sẽ sử dụng các lệnh của POP3 để lấy và xoá th. POP3 chỉ là thủ tục để lấy th trên máy chủ th điện tử về MUA. POP3 đợc quy định bởi tiêu chuẩn RFC 1939. Bảng 1: Lệnh của POP3 Lệnh Miêu tả User Xác định username Pass Xác định password Star Yêu cầu về trạng thái của hộp th nh số lợng th và độ lớn th List Hiện danh sách của th Retr Nhận th Dele Xoá một bức th xác định Noop Không làm gì cả Rset Khôi phục lại những th đã xoá(rollback) Quit Thực hiện việc thay đổi và thoát ra Thủ tục POP3 là một thủ tục rất có ích và sử dụng rất đơn giản để lấy th về cho ngời dùng. Nhng sự đơn giản đó cũng đem đến việc thiếu một số công dụng cần thiết. Ví dụ: POP3 chỉ làm việc với chế độ offline có nghĩa là th đợc lấy sẽ bị xóa trên server và ngời dùng chỉ thao tác và tác động trên MUA. 3.2. IMAP(Internet Mail Access Protocol) IMAP đợc phát triển vào năm 1986 bởi trờng đại học Stanford. IMAP2 phát triển vào năm 1987. IMAP4 là bản mới nhất đang đợc sử dụng và nó đợc các tổ chức tiêu chuẩn Internet chấp nhận vào năm 1994. IMAP4 đợc quy định bởi tiêu chuẩn RFC 2060 và nó sử dụng cổng 143 của TCP . Giao thức này cũng tơng tự Sinh viên thực hiện: Nguyễn Mạnh Cờng 10