Ứng dụng mô hình PKI trong hệ thống mail an toàn

3.1.1. Xây dựng mô hình và mô tả hoạt động của mô hình:

Hình 3.1. Mô hình PKI trong hệ thống mail an toàn

Ý tưởng xây dựng mô hình là sử dụng Microsoft CA để xây dựng một hệ thống PKI đơn có khả năng cấp phát chứng thư cho người dùng.

•Máy chủ mailserver được cài đặt sẵn Mdeamon và Microsoft CA xử lí trên môi

trường window server 2008.

•Các client đóng vai trò là các máy tính gửi, nhận mail sử dụng Outlook Express,

request chứng thư từ máy chủ mail.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

- 1 user gửi 1 email cho 1 user khác bằng outlook express, email này sẽ được ký và mã hóa. Khi đến hộp thư của user2, được sự xác nhận của user2 thì email mới hiển thị được nội dung.

- Nếu trong quá trình gửi email gặp phải sự cố, làm thay đổi nội dung email gửi tới user2 thì user2 sẽ nhận được cảnh báo nguy hiểm hoặc không hiển thị nội dung email.

Hình 3.2. Request chứng thư

3.1.2. Hƣớng dẫn thực hiện

• Máy chủ mail server :

Sau khi cài đặt window server 2008, chúng ta tiến hành cài CA :

Để cài CA server, đầu tiên ta phải tiến hành cài dịch vụ IIS lên máy hoàn tất mới có thể cài CA Services nếu không CA sẽ không chạy được.

a.Cài IIS() trước rồi tiến hành cài CA Services :

Trên windown server 2008: chọn Server Manager, chọn Roles, chọn Add Roles, chọn Application Server.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Nhấp Next để cài đặt.

Sau khi cài đặt hoàn tất IIS, chúng ta quay lại bảng Windows Components Wizard ở trên để tiến hành cài đặt CA, chọn certificate Services :

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Chọn Role Service, chọn Certification Authority

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Trong Private key, chọn Create a new private key, ấn next

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Vào CA Name đặt tên cho CA

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Chọn nơi lưu trữ database, log, cấu hình của CA.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

b. Cài đặt Mail Mdaemon cho máy chủ.

- Quá trình tiến hành cài đặt Mdaemon Standard như sau

- Tiếp theo ta chọn Next để tiến hành cài đặt

- Sau khi chọn Next ta tiến điền đầy đủ thông tin vào Customer Information.thông tin đầy đủ như sau.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

- Sau một số quá trình cài đặt MDaemon cho máy chủ tiến hành nhập domain name

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

- Bước tiếp theo xác lập tài khoản của admin rồi nhấn Next

Next tiếp ta được bảng, ở bảng này, chúng ta không cần nhập địa chứng thư số DNS mà chứng thư số cần đánh dấu vào mục Use Window DNS setting là đủ.

- Next tiếp để hoàn thành quá trình cài đặt máy chủ mail Mdaemon. - Chúng ta được cửa sổ hoàn thiện của MDaemon như sau

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Như vậy chúng ta đã hoàn tất quá trình cài đặt CA và máy chủ mail Mdaemon.Tiếp theo chúng ta chỉ cần tạo users và tiến hành xin xác nhận CA trong quá trình gửi mail.

Tạo users trên máy chủ mail Mdaemon :

Sau khi khởi động Mdaemon, chọn thanh công cụ Accounts mục New accounts. Điền đầy đủ các thông tin cần thiết cho việc tạo tài khoản

Hình 3.3. Tạo Accounts cho tài khoản mới

Ở đây, chúng ta sẽ tạo 2 tài khoản là cảnh 1 và cảnh 2 để tiến hành minh họa việc gửi và nhận mail bằng Outlook Express.

Ở máy cảnh1 khi tiến hành gửi 1 e-mail cho cảnh2, nếu như hacker có thể xâm nhập chiếm quyền administrator trong 1 khoảng thời gian thì chúng có thể thay đổi được nội dung email mà cảnh1 đã gửi cho cảnh2 với điều kiện e-mail đó chưa ký và mã hóa.

Để thực hiện ký và mã hóa email gửi đi, chúng ta phải yêu cầu CA server cấp phát chứng thư cho mình. Tại cảnh1 chúng ta thực hiện request certificate như sau :

Vào địa chỉ http://[IP máy CA server]/certsrv

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Do việc chúng ta cần là chứng thực e-mail nên ở bảng tiếp theo chúng ta nhấp vào mục E-Mail Protection Certificate.

Ở bảng này, chúng ta phải nhập chính xác các thông tin về tài khoản ha1 của mình và nhấp vào Submit để yêu cầu:

Sau khi Submit sẽ hiện ra bảng ở trên, có nghĩa là yêu cầu chứng thư của chúng ta đã đc gửi đi với ID là 4. Tuy nhiên, chúng ta phải chờ xác nhận của administrator về yêu cầu mà chúng ta đã đưa ra. Bước Request a Certificate cho 1 client đến đây là kết thúc.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Trở lại với máy chủ CA server, chúng ta tiến hành issued cho Certificate mà cảnh1 đã yêu cầu như sau :

Theo đường dẫn :StartProgramsAdministrative tool Certificate Authority để xem các yêu cầu chứng thực từ các client. Trong folder Pending Request, chúng ta chọn Issue để chấp nhận các request từ phía user.

Sau khi được chấp nhận, yêu cầu chứng thư sẽ hiển thị trong Folder Issued Certificates.

Như vậy chúng ta đã hoàn thành bước xác nhận yêu cầu cho các users từ phía CA Server :

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Tiếp theo, trên cảnh1 chúng ta phải thực hiện export chứng thư mà CA server đã cấp import lên bản thân để sử dụng :

Vào lại trang Web CA Server chọn View the Statuts of a pending certificate request.

Sau đó nhấp vào đường link :

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Màn hình thông báo thành công :

Bây giờ chúng ta đã được cấp CA rồi ,có thể gửi mail an toàn.

Vào outlook, thực hiện gửi 1 email sử dụng chữ kí số trước.Sau khi gửi mail này đi, cảnh 2 nhận được sẽ xác nhận đây là chữ kí của cảnh 2 và từ đó, những lần gửi mail sau chúng ta mới có thể kí và mã hóa hoàn toàn nội dung của email. Click vào biểu tượng sign và encrypt trong outlook để ký và mã hoá.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Biểu tượng email có màu đỏ trên hình trên là minh chứng bức email của chúng ta đã được ký.

Trong trường hợp hacker xâm nhập vào quyền administrator ở máy chủ mail và thay đổi nội dung bức email mà cảnh1 đã gửi cho cảnh 2 thì tại tài khoản của cảnh 2 sẽ nhận được cảnh báo nguy hiểm về nội dung bức mail của cảnh1.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

3.2 Ứng dụng mô hình PKI trong hệ thống Web an toàn. 3.2.1. Xây dựng mô hình và mô tả hoạt động : 3.2.1. Xây dựng mô hình và mô tả hoạt động :

Hình 3.4. Mô hình PKI trong hệ thống web an toàn

Ý tưởng của mô hình là sử dụng Micrsoft CA để xây dựng mô hình hệ thống PKI đơn có khả năng cấp phát chứng thư cho người dùng :

Web server và DNS server chạy trên nền tảng window server 2008. DNS server đã được nâng cấp lên DC.

Client là các máy tính duyệt web.

Hình 3.5. Request chứng thư trong web

3.2.2. Hƣớng dẫn thực hiện:

Quá trình cài đặt DNS đƣợc thực hiện cụ thể qua các bƣớc sau.

• Start Server Manager cửa sổ Server Manage xuất hiện ta chọn Roles sau đó chọn Add Roles chọn Next chọn DNS Server, nhấn chuột trái vào Next sau đó chọn Install để tiến hành cài đặt DNS.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

• Sau khi tiến hành các quá trình cài đặt DNS ta tiến hành làm việc với DNS như

sau vào Start Adminstrative Tools DNS hiện ra bảng sau

• Nhấn chuột phải vào Formard Lookup Zones New Zone ta được cửa sổ

sau

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

• Chọn Finish

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

• Tại vị trí Name ta gõ WWW sau đó chọn Add Host

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

• Quá trình tiến hành ta thu được kết quả ngược như sau.

• Bƣớc tiếp theo ta vào

Start Administrative tools Internet information services (IIS) ta tiến hành tạo Web server

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Kết quả ta thu được như hình sau

Kết quả IIS như sau

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Kết luận chƣơng: Ở chương này đã xây dựng được ứng dụng mô hình PKI trong hệ thống mail an toàn, và Web an toàn

PHỤ LỤC 1. Các chuẩn mật mã đƣợc sử dụng

PKCS là chuẩn mật mã khóa công khai do phòng thí nghiệm RSA phát triển. Chuẩn này cung cấp những định nghĩa cơ bản về định dạng dữ liệu và thuật toán nền tảng để triển khai PKI.

Standard Number Stander Name

PKCS#1 Chuẩn mật mã RSA

PKCS#2 Chuẩn này được liên kết thành chuẩn PKCS#1

PKCS#3 Chuẩn thỏa thuậ khóa Diffie-Hellman

PKCS#4 Chuẩn này được liên kết thành chuẩn PKCS#1

PKCS#5 Chuẩn mật mã dựa trên mật khẩu

PKCS#6 Chuẩn ký tự chứng thư mở rộng

PKCS#7 Chuẩn ký tự thông báo mật mã

PKCS#8 Chuẩn ký tự thông tin khóa riêng

PKCS#9 Các kiểu thuộc tính đã chọn

PKCS#10 Chuẩn ký tự yêu cầu chứng thư

PKCS#11 Chuẩn giao diện thẻ bài mật mã

PKCS#12 Chuẩn trao đổi thông tin cá nhân

PKCS#13 Chuẩn mật mã đường cong Eliptic

PKCS#14 Chuẩn bộ sinh số giả ngẫu nhiên

PKCS#15 Chuẩn mãu thông tin thẻ bài mật mã

Các chuẩn được sử dụng trong quá trình yêu cầu, cấp phát và tải chứng thư là PKCS#8, PKCS#10 và PKCS#12.

2.Giao thức SSL

SSL là một giao thức cho phép truyền thông tin một cách an toàn qua mạng. Nó được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức ứng dụng tầng cao hơn như là HTTP, IMAP và FTP. Trong khi SSL có thể sử dụng để hỗ trợ các giao dịch an toàn cho rất nhiều ứng dụng khác nhau trên Internet, thì hiện nay SSL được sử dụng chính cho các giao dịch trên Web.

SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:

• Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối. Lúc này, phía browser sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằng certificate và public ID của server là có giá trị và được cấp phát bởi một CA trong danh sách các CA đáng tin cậy của client. Điều này rất quan trọng đối với người dùng. Ví dụ như khi gửi mã số credit card qua mạng thì người dùng thực sự muốn kiểm tra liệu server sẽ nhận thông tin này có đúng là server mà họ định gửi đến không.

• Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn kết nối. Phía server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xem certificate và public ID của server có giá trị hay không và được cấp phát bởi một CA trong danh sách các CA đáng tin cậy của server không. Điều này rất quan trọng đối với các nhà cung cấp. Ví dụ như khi một ngân hàng định gửi các thông tin tài chính mang tính bảo mật tới khách hàng thì họ rất muốn kiểm tra định danh của người nhận.

• Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server được mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư. Ngoài ra, tất cả các dữ liệu được gửi đi trên một kết nối SSL đã được mã hoá còn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu.

Bảo mật SSL được sử dụng khá nhiều trên giao thức HTTPS.

3. Giao thức HTTPS

Người dùng Internet vốn quen với giao thức rất phổ biến HTTP nhưng trong môi trường network thì HTTP chưa thật sự an toàn. Ứng dụng và triển khai HTTPS ngay từ những ngày đầu đã cung cấp việc mã hóa dữ liệu của người dùng và máy chủ thông qua việc sử dụng giao thức SSL nhằm đảm bảo tính an toàn và tăng cường bảo mật tối đa cho người sử dụng khi truyền đạt thông tin qua mạng.

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

Một kết nối sử dụng HTTPs thường được thấy khi vào các trang Web thanh toán trực tuyến tạo sự an toàn trong giao dịch.

KẾT LUẬN

Trong quá trình làm luận văn, tôi đã thu thập và tham khảo một số tài liệu liên quan tới luận văn, tôi tập trung nghiên cứu vào việc triển khai ứng dụng chứng thực số PKI trong Mail và Web tìm hiểu nguyên lí hoạt động của PKI.

Trong quá trình triển khai PKI trong Mail và Web mà cụ thể ở đây tôi đã chạy chế độ OutLook 2007 để ký và thay thế Gmail nhận và gửi thư tại Trường THCS & THPT Minh Ngọc_Bắc Mê_Hà Giang tôi thấy có rất nhiều ưu điểm và hiện tượng Spam trong mail là không thấy.Đối với Web tôi đã xây dựng localhost để nhằm mục đích chuyển giao thức HTTP sang dạng giao thức HTTPs với mục đích bảo mật Web thông qua sự hỗ trợ của giao thức SSL vì đây là một giao thức cho phép truyền thông tin một cách an toàn qua mạng.

Luận văn cũng đề xuất giải pháp triển khai mô hình ứng dụng tại Trường THCS & THPT Minh Ngọc_Bắc Mê_Hà Giang và trong tương lai có thể ứng dụng rộng hơn nữa trong các danh nghiệp, cá nhân, ngân hàng...

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

TÀI LIỆU THAM KHẢO Website [1]. http://edocs.vn/tim-hieu-va-trien-khai-he-thong-chung-thuc-khoa-cong-khai- su-dung-goi-phan-mem-ma-nguon-mo-ejbca-ung-dung-trong-cac-giao-dich-thuong- mai-dien-tu/ [2]. http://tai-lieu.com/tai-lieu/nghien-cuu-xay-dung-ha-tang-khoa-cong-khai-pki- dua-tren-openca-3213/ [3]. http://antoanthongtin.vn/ [4]. http://ddcntt.vn/forum/archive/index.php/t-794.html [5]. http://www.kamasecurity.net/xforce/chung-thuc-dien-tu/4805-pki-va-chung-thuc- dien-tu.html [6]. http://www.vnperts.net/bai-viet-ky-thuat/security/488-tng-quan-v-public-key- infrastructure-pki.html Tiếng Việt

[7].TS. Hồ Văn Hương, Ths Đào Thị Ngọc Thuỳ, Ứng dụng hệ thống kiểm soát truy

nhập mạng theo mô hình truy nhập một lần, Tạp chí An toàn thông tin, số 1 (025) 2013.

[8]. TS. Hồ Văn Hương, KS. Hoàng Chiến Thắng, Ký số và xác thực trên nền