1. Trang chủ
  2. » Luận Văn - Báo Cáo

Triển khai hệ thống cung cấp chứng chỉ số

72 1,9K 10

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 72
Dung lượng 9,23 MB

Nội dung

Đồ án tốt nghiệp Triển khai hệ thống cung cấp chứng chỉ số trờng đại học vinh Khoa công nghệ thông tin Nguyễn mạnh Cờng Triển khai hệ thống cung cấp chứng chỉ số đồ án tốt nghiệp đại học Kỹ s công nghệ thông tin Vinh, 05 - 2010 Sinh viên thực hiện: Nguyễn Mạnh Cờng 1 §å ¸n tèt nghiÖp TriÓn khai hÖ thèng cung cÊp chøng chØ sè Lời cảm ơn Để có được thành công của đề tài này trong quá trình làm Đồ án tốt nghiệp cuối khóa, em đã nhận được sự giúp đỡ, động viên và chia sẻ của nhiều người. Trước hết, em xin gửi lời cảm ơn chân thành và sâu sắc đến Giáo viên hướng dẫn – Thạc sĩ Lê Hồng Trang – giảng viên khoa Công nghệ thông tin, trường Đại học Vinh trong quá trình trực tiếp hướng dẫn đã rất quan tâm và giúp đỡ em rất tận tình. Sự gợi ý về ý tưởng, cung cấp tài liệu, số liệu, hướng dẫn và chỉ đạo của thầy là một trong những nhân tố chính giúp em hoàn thành tốt đề tài của mình. Thầy đã rất quan tâm đến việc thực hiện đề tài của em, nên em đã hoàn thành đề tài đúng thời gian cũng như yêu cầu đặt ra. Em cũng xin gửi lời cảm ơn chân thành và sâu sắc đến thầy giáo Nguyễn Bá Hoàng – Giảng viên trường Nghệ An -Aptech. Trong quá trình thực hiện đề tài, thầy đã có nhiều nhận xét, góp ý quý báu, giúp em có thêm cơ sở để hoàn thiện thêm đề tài này. Em cũng xin gửi lời cảm ơn đến các thầy cô trong khoa Công nghệ thông tin, trường Đại học Vinh đã giúp đỡ em trong quá trình thực hiện đề tài này. Nhân đây, em cũng muốn bày tỏ lòng biết ơn sâu sắc đền gia đình và bạn bè, đã quan tâm, giúp đỡ, dộng viên và chia sẻ với em trong quá trình làm đề tại này. Em kính gửi lời chúc sức khỏe, hạnh phúc đến gia đình, toàn thể thầy cô và bạn bè. Sinh viªn thùc hiÖn: NguyÔn M¹nh Cêng 2 Đồ án tốt nghiệp Triển khai hệ thống cung cấp chứng chỉ số Mục lục Mở đầu .5 Chơng I:Tổng quan về dịch vụ mạng 7 I. Active Directory .7 1.1. Giới thiệu Active Directory .7 1.2. Các thành phần của Active Directory 7 II. Dịch vụ DHCP .8 III. Giới thiệu về giao thức POP và IMAP .9 3 1. POP ( Post Office Protocol) 10 3.2. IMAP(Internet Mail Access Protocol) .10 3.3. So sánh POP3 và IMAP4 .12 IV. Hệ thống DNS .13 4.1. Khái niệm về hệ thống tên miền .13 4.2. Cấu tạo tên miền 13 4.3. Giới thiệu về hệ thống DNS .14 4.4. Cấu trúc của hệ thống tên miền .14 4.5. Hoạt động của DNS 16 V. Dịch vụ IPSec 18 Chơng II : dịch vụ chứng chỉ số 20 I. Giới thiệu .20 II. Cơ sở hạ tầng khóa công khai .21 1.1. Khái niệm .21 1.2. Nhà cung cấp chứng chỉ số CA (Certificate Authority) .21 1.3. Chứng chỉ số .22 1.3.1. Khái niệm 22 1.3.2. Lợi ích của chứng chỉ số .23 Sinh viên thực hiện: Nguyễn Mạnh Cờng 3 Đồ án tốt nghiệp Triển khai hệ thống cung cấp chứng chỉ số III. Triển khai dịch vụ CA trên môi trờng Windows Server 2003 27 3.1. Cài đặt dịch vụ CA .27 3.2. Các dịch vụ chứng chỉ CA Windows Server 2003 cung cấp 28 3.3. Các loại CA trên Windows Server 2003 .29 3.4. Cấp phát và quản lý các chứng chỉ số .30 3.4.1. Cấp phát tự động (Auto-Enrollment) 30 3.4.2. Cấp phát không tự động (Manual Enrollment) 31 3.4.3. Các yêu cầu cấp phát CA .32 3.5. Thu hồi chứng chỉ số 34 Chơng 3 : Xây dựng hệ thống cung cấp chứng chỉ số .36 I. Dịch vụ nhận và gửi E-mail .36 1.1. Mô hình dịch vụ .36 1.2. Tiến hành cài đặt .38 II. Dịch vụ VPN .52 2.1. Mô hình dịch vụ .52 2.2. Tiến hành cài đặt .54 III. Dịch vụ Web sử dụng SSL 63 Chơng IV: Kết quả và hớng phát triển .74 4.1.Kết quả .74 4.2. Hớng Phát triển 74 Sinh viên thực hiện: Nguyễn Mạnh Cờng 4 Đồ án tốt nghiệp Triển khai hệ thống cung cấp chứng chỉ số Lời nói đầu Trong một vài năm gần lại đây, hạ tầng truyền thông IT ngày càng đợc mở rộng khi ngời sử dụng dựa trên nền tảng này để truyền thông và giao dịch với các đồng nghiệp, các đối tác kinh doanh cũng nh việc khách hàng dùng Email trên các mạng công cộng. Hầu hết các thông tin nhạy cảm và quan trọng đợc lu trữ và trao đổi dới hình thức điện tử và trong các cơ quan văn phòng doanh nghiệp. Sự thay đổi trong các hoạt động truyền thông này đồng nghĩa với việc cần phải có biện pháp bảo vệ đơn vị, tổ chức, doanh nghiệp của mình trớc các nguy cơ lừa đảo, can thiệp, tấn công, phá hoại hoặc vô tình tiết lộ các thông tin đó. Hệ thống cung cấp chứng chỉ số cùng các công nghệ ứng dụng của nó có thể coi đợc coi là một giải pháp tổng hợp và độc lập có thể sử dụng để giải quyết vấn đề này. Chứng chỉ số hoạt động dựa trên mã khóa công khai. Hệ thống mã hóa này gồm 2 khóa, khóa bí mật và khóa công khai. Mỗi chủ thể có một cặp khóa nh vậy, chủ thể đó sẽ giữ khóa bí mật còn khóa công khai của chủ thể sẽ đợc đa ra công cộng để bất kỳ ai cũng có thể biết. Nguyên tắc hệ thống mã hóa công khai đó là nếu ta mã hóa khóa bí mật thì chỉ có khóa công khai mới giải mã thông tin đợc, và ngợc lại nếu ta mã hóa khóa công khai thì chỉ có khóa bí mật mới giải mã đợc. Cho tới nay, những nổ lực hoàn thiện chứng chỉ số vẫn đang đợc đầu t và thúc đẩy và để thực hóa ý tởng tuyệt vời này, các tiêu chuẩn cần phải nghiên cứu phát triển ở các mức khác nhau bao gồm: mã hóa, truyền thông và liên kết, xác thực, cấp phép và quản lý. Nhiều chuẩn bảo mật trên Internet, chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) và Virtual Private Network (VPN), chính là kết quả sáng kiến của chứng chỉ số. Một minh chứng là thuật toán mã hóa phi đối xứng xây dựng dựa trên phơng pháp mã hóa và giải mã thông tin sử dụng hai khóa mã: Khóa công khai (public key) và khóa riêng (private key). Trong trờng hợp này, một ngời sử dụng có thể mã hóa tài liệu của Sinh viên thực hiện: Nguyễn Mạnh Cờng 5 Đồ án tốt nghiệp Triển khai hệ thống cung cấp chứng chỉ số mình với khóa riêng và sau đó giải mã thông tin đó bằng khóa công khai. Nếu một văn bản chứa các dữ liệu nhạy cảm và cần phải đợc thực hiện một cách bảo mật tới duy nhất cá nhân, thông thờng ngời gửu mã hóa tài liệu bằng khóa riêng của mình và ngời nhận sẽ giải mã sử dụng khóa công khai của ngời gửu. Khóa công khai này có thể đợc kèm theo tài liệu này hoặc gửu cho ngời nhận trớc đó. Mặt khác do có nhiều thuật toán phi đối xứng nên các chuẩn công khai hiện có thờng xuyên đợc nghiên cứu cải tiến để phù hợp với các thuật toán này. Hiện nay ở Việt Nam, việc nghiên cứu, ứng dụng và triển khai PKI nói chungchứng chỉ số nói riêng là vấn đề còn mang tính thời sự. Bằng việc sử dụng chứng chỉ và chữ ký số, những ứng dụng cho phép chứng chỉ số đa ra nhiều tính đảm bảo an toàn thông tin cho ngời sử dụng. Đồ án này đợc thực hiện với mục đích xây dựng hệ thống cung cấp chứng chỉ số bao gồm các khái niệm về các dịch vụ mạng, khái niệm và những lợi ích của chứng chỉ số, khái niệm về PKI, các dịch vụ của CA. Đồ án tập trung vào việc tìm hiểu các dịch vụ mạng sử dụng chứng chỉ số qua đó vận dụng cung cấp chứng chỉ số có khả năng ứng dụng cho cơ quan công tác và một số đơn vị khác. Với giới hạn những vấn đề tìm hiểu và nghiên cứu nh trên, đồ án bao gồm 3 chơng: Chơng 1: Tổng quan về các dịch vụ mạng. Chơng 2: Dịch vụ chứng chỉ số. Chơng 3: Triển khai một số dịch vụ mạng sử dụng chứng chỉ số. Chơng 4: Kết quả và hớng phát triển Mặc dầu đã rất cố gắng đồ án này chắc còn nhiều thiếu sót. Em mong đợc các thầy cô, bạn bè góp ý sữa chữa cho nội dung đồ án này để em có thể tiếp tục đi sâu tìm hiểu và đa chứng chỉ số vào ứng dụng trong thực tiễn công tác. Em xin chân thành cảm ơn. Sinh viên thực hiện: Nguyễn Mạnh Cờng 6 Đồ án tốt nghiệp Triển khai hệ thống cung cấp chứng chỉ số Chơng i- Tổng quan về CáC DịCH Vụ MạNG I. Active Directory 1.1. Giới thiệu Active Directory Active Directory (AD) là nơi lu trữ các thông tin về các tài nguyên khác trên mạng, các tài nguyên đợc AD lu trữ và theo dõi gồm: file server, printer, fax server, applycation, database, use, webserver. Thông tin lu trữ này sử dụng để truy cập các tài nguyên trên mạng. Thông qua AD ngời sử dụng có thể tìm tới mức chi tiết của bất kì tài nguyên nào dựa trên một hay nhiều thuộc tính của nó. 1.2. Các thành phần của Active Directory Active Directory gồm có 2 cấu trúc là logic và vật lý. Cấu trúc logic của AD gồm: Miền (domain ). Đơn vị tổ chức (organization unit_OU). Cây (tree, hệ miền phân cấp ). Rừng (forest :tập hợp các cây). Cấu trúc vật lý của AD Cấu trúc logic của một AD đợc tách ra từ một cấu trúc vật lý của nó và hoàn toàn tách biệt với cấu trúc vật lý. Cấu trúc vật lý đợc sử dụng để tổ chức việc trao đổi trên mạng trong khi đó cấu trúc logic đợc sử dụng để tổ chức các tài nguyên có sẵn trên mạng. Cấu trúc vật lý của AD gồm 2 phần : Site(các vị trí, địa bàn): Một site là một sự kết hợp của một hoặc nhiều mạng con IP đợc kết nối bởi đờng truyền tốc độ cao. Các site đợc định nghĩa để tạo sự thuận lợi đặc biệt cho chiến lợc truy cập và nhân bản một AD. Sinh viên thực hiện: Nguyễn Mạnh Cờng 7 Đồ án tốt nghiệp Triển khai hệ thống cung cấp chứng chỉ số Domain controller (điều khiển miền): Là một máy tính chạy Win 2k server và chứa một bản sao của AD của miền, trong một miền có thể có nhiều hơn một domain controller (DC). Tất cả các DC trong miền đều lu một bản sao của AD. II. Dịch vụ DHCP Trong một mạng máy tính, việc cấp các địa chỉ IP tĩnh cố định cho các host sẽ dẫn đến tình trạng lãng phí địa chỉ IP, vì trong cùng một lúc không phải các host hoạt động đồng thời với nhau, do vậy sẽ có một số địa chỉ IP bị thừa. Để khắc phục tình trạng đó, dịch vụ DHCP đa ra để cấp phát các địa chỉ IP động trong mạng. Trong mạng máy tính khi một máy phát ra yêu cầu về các thông tin của TCP/IP thì gọi là DHCP client, còn các máy cung cấp thông tin của TCP/IP gọi là DHCP server. Các máy DHCP server bắt buộc phải là Windows NT server. Cách cấp phát địa chỉ IP trong DHCP: Một user khi log on vào mạng, nó cần xin cấp 1 địa chỉ IP, theo 4 bớc sau : Gửi thông báo đến tất cả các DHCP server để yêu cầu đợc cấp địa chỉ. Tất cả các DHCP server gửi trả lời địa chỉ sẽ cấp đến cho user đó. User chọn 1 địa chỉ trong số các địa chỉ, gửi thông báo đến server có địa chỉ đợc chọn. Server đợc chọn gửi thông báo khẳng định đến user mà nó cấp địa chỉ. Quản trị các địa chỉ IP của DHCP server: Server quản trị địa chỉ thông qua thời gian thuê bao địa chỉ (lease duration). Có ba phơng pháp gán địa chỉ IP cho các Workstation : Gán thủ công. Gán tự động. Gán động . Trong phơng pháp gán địa chỉ IP thủ công thì địa chỉ IP của DHCP client đ- ợc gán thủ công bởi ngời quản lý mạng tại DHCP server và DHCP đợc sử dụng để chuyển tới DHCP client giá trị địa chỉ IP mà đợc định bởi ngời quản trị mạng. Sinh viên thực hiện: Nguyễn Mạnh Cờng 8 Đồ án tốt nghiệp Triển khai hệ thống cung cấp chứng chỉ số Trong phơng pháp gán địa chỉ IP tự động DHCP client đợc gán địa chỉ IP khi lần đầu tiên nó nối vào mạng. Địa chỉ IP đợc gán bằng phơng pháp này sẽ đ- ợc gán vĩnh viễn cho DHCP client và địa chỉ này sẽ không bao giờ đuợc sử dụng bởi một DHCP client khác. Trong phơng pháp gán địa chỉ IP động thì DHCP server gán địa chỉ IP cho DHCP client tạm thời. Sau đó địa chỉ IP này sẽ đợc DHCP client sử dụng trong một thời gian đặc biệt. Đến khi thời gian này hết hạn thì địa chỉ IP này sẽ bị xóa mất. Sau đó nếu DHCP client cần nối kết vào mạng thì nó sẽ đợc cấp một địa chủ IP khác. Phơng pháp gán địa chỉ IP động này đặc biệt hữu hiệu đối với những DHCP client chỉ cần địa chỉ IP tạm thời để kết nối vào mạng. Ví dụ một tình huống trên mạng có 300 users và sử dụng subnet là lớp C. Điều này cho phép trên mạng có 253 nodes trên mạng. Bởi vì mổi computer nối kết vào mạng sử dụng TCP/IP cần có một địa chỉ IP duy nhất do đó tất cả 300 computer không thể đồng thời nối kết vào mạng. Vì vậy nếu ta sử dụng phơng pháp này ta có thể sử dụng lại những IP mà đã đợc giải phóng từ các DHCP client khác. Cài đặt DHCP chỉ có thể cài trên Windows NT server mà không thể cài trên Client. III. Giới thiệu về giao thức POP và IMAP Trong giai đoạn đầu phát triển của th điện tử ngời dùng đợc yêu cầu truy nhập vào máy chủ th điện tử và đọc các bức điện ở đó. Các chơng trình th thờng sử dụng dạng text và thiếu khả năng thân thiện với ngời dùng, để giải quyết vấn đề đó một số thủ tục đợc phát triển để cho phép ngời dùng có thể lấy th về máy của họ hoặc có các giao diện sử dụng thân thiện hơn với ngời dùng. Điều đó đã đem đến sự phổ biến của th điện tử. Có hai thủ tục đợc sử dụng phổ biến nhất để lấy th về hiện nay là POP(Post Office Protocol) và IMAP(Internet Mail Access Protocol). 3.1. POP ( Post Office Protocol) Sinh viên thực hiện: Nguyễn Mạnh Cờng 9 Đồ án tốt nghiệp Triển khai hệ thống cung cấp chứng chỉ số POP cho phép ngời dùng có account tại máy chủ th điện tử kết nối vào và lấy th về máy tính của mình, ở đó có thể đọc và trả lời lại. POP đợc phát triển đầu tiên vào năm 1984 và đợc nâng cấp từ bản POP2 lên POP3 vào năm 1988. Và hiện nay hầu hết ngời dùng sử dụng tiêu chuẩn POP3. POP3 kết nối trên nền TCP/IP để đến máy chủ th điện tử (sử dụng giao thức TCP cổng mặc định là 110). Ngời dùng điền username và password. Sau khi xác thực đầu máy khách sẽ sử dụng các lệnh của POP3 để lấy và xoá th. POP3 chỉ là thủ tục để lấy th trên máy chủ th điện tử về MUA. POP3 đợc quy định bởi tiêu chuẩn RFC 1939. Bảng 1: Lệnh của POP3 Lệnh Miêu tả User Xác định username Pass Xác định password Star Yêu cầu về trạng thái của hộp th nh số lợng th và độ lớn th List Hiện danh sách của th Retr Nhận th Dele Xoá một bức th xác định Noop Không làm gì cả Rset Khôi phục lại những th đã xoá(rollback) Quit Thực hiện việc thay đổi và thoát ra Thủ tục POP3 là một thủ tục rất có ích và sử dụng rất đơn giản để lấy th về cho ngời dùng. Nhng sự đơn giản đó cũng đem đến việc thiếu một số công dụng cần thiết. Ví dụ: POP3 chỉ làm việc với chế độ offline có nghĩa là th đợc lấy sẽ bị xóa trên server và ngời dùng chỉ thao tác và tác động trên MUA. 3.2. IMAP(Internet Mail Access Protocol) IMAP đợc phát triển vào năm 1986 bởi trờng đại học Stanford. IMAP2 phát triển vào năm 1987. IMAP4 là bản mới nhất đang đợc sử dụng và nó đợc các tổ chức tiêu chuẩn Internet chấp nhận vào năm 1994. IMAP4 đợc quy định bởi tiêu chuẩn RFC 2060 và nó sử dụng cổng 143 của TCP . Giao thức này cũng tơng tự Sinh viên thực hiện: Nguyễn Mạnh Cờng 10

Ngày đăng: 19/12/2013, 15:35

HÌNH ẢNH LIÊN QUAN

Bảng 1: Lệnh của POP3 - Triển khai hệ thống cung cấp chứng chỉ số
Bảng 1 Lệnh của POP3 (Trang 10)
Bảng 1: Lệnh của POP3 - Triển khai hệ thống cung cấp chứng chỉ số
Bảng 1 Lệnh của POP3 (Trang 10)
Bảng 2: Lệnh của IMAP4 - Triển khai hệ thống cung cấp chứng chỉ số
Bảng 2 Lệnh của IMAP4 (Trang 11)
Bảng 2: Lệnh của IMAP4 - Triển khai hệ thống cung cấp chứng chỉ số
Bảng 2 Lệnh của IMAP4 (Trang 11)
từ tên miền sang địa chỉ IP và ngợc lại. Hệ thống DNS cũng giống nh mô hình quản lý cá nhân của một đất nớc - Triển khai hệ thống cung cấp chứng chỉ số
t ừ tên miền sang địa chỉ IP và ngợc lại. Hệ thống DNS cũng giống nh mô hình quản lý cá nhân của một đất nớc (Trang 14)
Hình 1: cấu trúc của hệ thống tên miền - Triển khai hệ thống cung cấp chứng chỉ số
Hình 1 cấu trúc của hệ thống tên miền (Trang 14)
Hệ thống DNS sử dụng giao thức UDP tại lớp 4 của mô hình OSI, mặc định là sử dụng cổng 53 để trao đổi thông tin về tên miền. - Triển khai hệ thống cung cấp chứng chỉ số
th ống DNS sử dụng giao thức UDP tại lớp 4 của mô hình OSI, mặc định là sử dụng cổng 53 để trao đổi thông tin về tên miền (Trang 16)
Hình 2: Truy vấn DNS - Triển khai hệ thống cung cấp chứng chỉ số
Hình 2 Truy vấn DNS (Trang 16)
Hình 4:Mô hình mã hóa Encapsulating Security Payload - Triển khai hệ thống cung cấp chứng chỉ số
Hình 4 Mô hình mã hóa Encapsulating Security Payload (Trang 18)
Hình 3: Mô hình mã hóa Authentication Header - Triển khai hệ thống cung cấp chứng chỉ số
Hình 3 Mô hình mã hóa Authentication Header (Trang 18)
Hình 4:Mô hình mã hóa Encapsulating Security Payload - Triển khai hệ thống cung cấp chứng chỉ số
Hình 4 Mô hình mã hóa Encapsulating Security Payload (Trang 18)
Hình 3: Mô hình mã hóa Authentication Header - Triển khai hệ thống cung cấp chứng chỉ số
Hình 3 Mô hình mã hóa Authentication Header (Trang 18)
1.1. Mô hình dịch vụ - Triển khai hệ thống cung cấp chứng chỉ số
1.1. Mô hình dịch vụ (Trang 35)
2.1. Mô hình dịch vụ - Triển khai hệ thống cung cấp chứng chỉ số
2.1. Mô hình dịch vụ (Trang 51)

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w