3.1.2.1. Sử dụng Certificates Snap-in:
Certificate Snap-in là một công cụ dùng ựể xem và quản lý chứng chỉ của một user hoặc computer cụ thể. Màn hình chắnh của snap-in bao gồm nhiều thư mục chứa tất cả hạng mục chứng chỉ số ựược chỉ ựịnh cho user hoặc computer. Neu tổ chức của người dùng sử dụng enterprise CAs, Certificate Snap-in cũng cho phép người dùng yêu cầu và thay ựổi chứng chỉ số bằng cách dùng Certificate Request Wizard và Certificate Renewal Wizard.
3.1.2.2. Yêu cầu cấp phát thông qua Web (Web Enrollment)
Khi bạn cài ựặt Certificate Services trên máy tắnh chạy Windows Server 2003, người dùng có thể chọn cài ựặt module Certificate Services Web Enrollment Support. đe hoạt ựộng một cách ựúng ựắn, module này yêu cầu người dùng phải cài ựặt IIS trên máy tắnh trước. Chọn module này trong quá trình cài ựặt Certificate Services tạo ra trang Web trên máy tắnh chạy CA, những trang Web này cho phép người dùng gửi yêu cầu cấp chứng chỉ số yêu cầu mà họ chọn.
Giao diện Web Enrollment Support ựược dùng cho người sử dụng bên ngoài hoặc bên trong mạng truy xuất ựen stand-alone CAs. Vì stand-alone server không dùng mẫu chứng chỉ so, client gửi yêu cầu bao gồm tất cả các thông tin cần thiết về chứng chỉ số và thông tin về người sử dụng chứng chỉ số.
Khi client yêu cầu chứng chỉ số dùng giao diện Web Enrollment Support, chúng có thể chọn từ danh sách loại chứng chỉ ựã ựược ựịnh nghĩa trước hoặc tạo ra chứng chỉ cao cấp bằng cách chỉ rõ tất cả các thông tin yêu cầu trong form Web-based.
3.1.2.3. Thu hồi chứng chỉ số
Có vài nguyên nhân cảnh báo cho người quản trị thu hồi chứng chỉ. Nếu như khóa riêng (private key) bị lộ, hoặc người dùng trái phép lợi dụng truy xuất ựen CA, thâm
chắ nếu bạn muốn cấp phát chứng chỉ dùng tham số khác như là khóa dài hơn, bạn phải ựược thu hồi chứng chỉ trước ựó.
Một CA duy trì một CRL (Certificate Revocation List). Enterprise CAs xuất bản CRLs của chúng trong cơ sở dữ liệu Active Directory, vì vây client có thể truy xuất chúng dùng giao thức truyền thông Active directory chuẩn, gọi là Lightweight Directory Access Protocol (LDAP).
Một stand-alone CA lưu trữ CRL của nó như là một file trên ựĩa cục bộ của server, vì vây client truy xuất dùng giao thức truyền thông Internet như Hypertext Transfer Protocol (HTTP) or File Transfer Protocol (FTP).
Mỗi chứng chỉ số chứa ựường dẫn tới ựiểm phân phối của CA cho CRLs. Có thể sửa ựổi ựường dẫn này trong Certification Authority console bằng cách hiển thị hộp thoại Properties cho CA, click vào tab Extension.
Khi một ứng dụng chứng thực client ựang dùng chứng chỉ số, nó kiểm tra ựiểm phân phối CRL ựã ựịnh rõ trong chứng chỉ số, ựể chắc chắn rằng chứng chỉ số không bị thu hoi. Nếu CRL không có tại ựiểm phân phối ựã ựịnh rõ của nó, ứng dụng từ chối chứng chỉ.
Bằng cách chọn thư mục Revoked Certificates trong Certification Authority console và sau ựó hiển thị hộp thoại Properties của nó, bạn có thể chỉ rõ bao lâu thì CA nên xuất bản một CRL mới, và cũng cấu hình CA ựể xuất bản delta CRLs.Một delta CRL là một danh sách tất cả các chứng chỉ ựã thu hồi từ khi CRL cuối cùng xuất bản. Trong tổ chức với số lượng chứng chỉ số lớn, sử dụng CRLs thay vì CRLs cơ bản có thể lưu một số lớn.
3.2.Triển khai một số dịch vụ mạng sử dụng CA
3.2.1. Dịch vụ Web sử dụng SSL
SSL-Sercue Socket Layer, là một giao thức mã hóa cung cấp sự truyền thông an toàn trên Internet như web browsing, e-mail.SSL cung cấp sự chứng thực tại các ựiểm cuối của kết nối, kênh truyền thông riêng tư trên Internet bằng cách mã hóa. Thông thường chỉ có Server là ựược chứng thực, có nghĩa là chỉ có người dùng cuối (người sử dụng, ứng dụng, ...) biết rõ mình ựang Ộnói chuyệnỢ với ai. Ở mức ựộ bảo mật cao hơn, cả hai phắa ựều phải biết nhau, chứng thực lẫn nhau. Chứng thực lẫn nhau yêu cầu dùng hạ tầng khóa công khai-PKI.
Máy Web Server ựược cấu hình dịch vụ web sử dụng SSL bằng cách nhân chứng chỉ từ CA service.
Cấu hình dịch vụ:
Tại Web server yêu cầu cấp phát chứng chỉ:
Bước 1: Mở IIS, click chuột phải vào website cần cấu hình SSL, chọn tab Directory Security, chọn Server Certificate
Nhấn Next, chọn Prepare for Request now, but send it later và lưu yêu cầu cấp phát xuống file
Bước 3: Mở Internet Explorer, gõ vào ựịc chỉ của CA Service ựể yêu cầu cấp phát chứng chỉ qua web
Chọn Request a Certificate và chọn Submit a certificate request by using a base-
64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64- encodedPKCS #7file:
Mở file yêu cầu ở trên và copy nội dung và dán vào ô Saved Request:
Nếu CA Service không cấp phát tự ựộng thì vào máy CA ựể cấp phát(Issue) cho chứng chỉ vửa yêu cầu. Vào lại trang web yêu cầu CA, chọn Download Certificate ựể tải chứng chỉ vừa ựược cấp phát về.
Bước 4: Quay trở lại IIS, chọn Process the pending request and install the
certificate ựể Import chứng chỉ vừa có ựược ở trên.
Chọn Edit, chọn Require secure channel(SSL) ựể cấu hình cho web site dùng SSL khi có yêu cầu kết nối.
Khi không dùng SSL, nếu dùng các công cụ bắt gói dữ liệu ta có thể xem ựược nội dung, còn khi dùng SSL dữ liệu sẽ ựược mã hóa và không xem ựược dù bắt ựược gói tin.
3.2.2. Dịch vụ IPSec
IPSec-Intemet Protocol Security, là một giao thức ựược thiết ke ựể bảo vệ dữ liệu bằng chữ kắ ựiện tử và mã hóa trước khi truyền ựi.IPSec mã hóa các thông tin trong gói tin IP theo cách ựóng gói nó, nên ngay cả khi bắt ựược các gói tin sẽ không ựọc ựược nội dung bên trong.
Do IPSec hoạt ựộng ở tầng mạng nên IPSec tạo một kênh mã hóa liên tục giữa các ựiểm kết nối(end-to-end), nghĩa là khi dữ liệu ựược mã hóa ở máy gửi thì chỉ ựược giải mã khi tới máy nhân.
IPSec Protocol:
- IP Authentication Header-AH: không mã hóa dữ liệu trong gói tin IP, mà chỉ mã hóa phần header. AH cung cấp các dịch vụ bảo mật cơ bản, dữ liệu có thể ựọc ựược khi bắt gói tin, nhưng nội dung thì không thể thay ựổi
- IP Encapsulating Security Payload-ESP: mã hóa toàn bộ nội dung gói tin IP, ngăn không cho người nghe lén có thể ựọc ựược nội dung khi gói tin di chuyển trên mạng. ESP cung cấp các dịch vụ chứng thực, ựảm bảo toàn vẹn và mã hóa dữ liêu.
Mô hình dịch vụ:
Trong mô hình trên, FTP server là máy tắnh cung cấp các dịch vụ truyền file trong mạng, client sẽ kết nối vào server này ựể download và upload các file dữ liệu.Trước khi các client tạo kết nối thì phải qua một quá trình chứng thực, ựể ựảm bảo an toàn trong quá trình này, cũng như cho nội dung của các file dữ liệu, ta sẽ tắch hợp với dịch vụ CA.Máy CA Service sẽ cung cấp các chứng chỉ ựể thực hiện chứng thực giữa FTP server và các client.
để làm ựược ựiều này thì máy cung cấp dịch vụ CA cũng ựóng vai trò là Domain Controler, cấp các chứng chỉ tự ựộng cho các máy khi có yêu cầu.
Triển khai dịch vụ:
Phần này trình bày một số bước ựể thiết lập chắnh sách IPSec có sử dụng CA cho mô hình bên trên. Chắnh sách này tạo tại mỗi máy có yêu cầu truyền thông bằng IPSec.
Bước 1: Trong cửa sổ chương trình IP Security Policy, tạo một chắnh sách mới
Bước 2: Chọn Next ựể thêm một luật mới, trong tab Rule chọn Add ựể thêm một danh sách các yêu cầu lọc trên giao thức IP(IP Filter List)
Bước 3: Chọn Add ựể thêm các luật theo yêu cầu cần lọc. Giả sử ở ựây ta thiết lập luật ựể lọc giao thức FTP khi chứng thực giữa máy hiện tại với tất các máy khác
Trong ô From this port, nhập giá trị 21, ựây là cổng mà FTP sẽ dùng ựể chứng thực người dùng.
Bước 4: Nhấn OK ựể ựến cửa sổ Filter Action, chọn Require Security ựể yêu cầu sử dụng IPSec bất cứ khi nào cần chứng thực FTP.
Bước 5: Chọn phương pháp chứng thực, chọn cách chứng thực bằng CA, nhấn nút Browse ựể dẫn CA của mô hình mạng trên.
Bước 6: Với chắnh sách vừa tạo, chọn Assign ựể chắnh sách ựược áp dụng.
Minh họa kết quả:
Giả sử từ client kết nối vào FTP Server, khi không dùng IPSec ta sẽ biết ựược usemame và password khi người dùng chứng thực nếu bắt ựược các gói dữ liệu này.
Khi sử dụng IPSec, các gói tin sẽ ựược mã hóa và không ựọc ựược nội dung.
3.2.3. Dịch vụ VPN
VPN-Virtual Private Network, là một mạng riêng dùng mạng công cộng(Internet) ựể kết nối các ựiểm hoặc người sử dụng tới mạng LAN trung tâm.
VPN cho phép truyền dữ liệu giữa hai máy tắnh sử dụng môi trường mạng công cộng giống như cách có một ựường kết nối riêng giữa hai máy này. đe tạo một kết nối ựiểm ựiểm(point-to-point), dữ liệu ựược ựóng gói(encapsulate), bao bọc(wrap) với một header ựể cung cấp các thông tin ựịnh tuyến. để giả lập một kênh truyền riêng, dữ liệu sẽ ựược mã hóa.
Trong mô hình này, dịch vụ VPN sẽ ựược triển khai tại văn phòng đà Lạt, người dùng ở nơi khác như Hà Nội Tp Hồ Chắ Minh có thể kết nối, truy cập các tài nguyên bên trong mạng LAN tại đà Lạt. Giao thức VPN sử dụng L2TP/IPSec, chứng thực bằng chứng chỉ số do CA.
Triển khai dịch vụ:
Phần này sẽ giải thắch chức năng và trình bày một số cấu hình quan trọng một các máy tắnh trong mô hình trên.
- Domain Controller: hoạt ựộng như một trung tâm ựiều khiển, cung các dịch vụ phân giải tên mien(DNS-Domain Name System), cấp phát ựịa chỉ IP ựộng
(DHCP-Dyamic Host Configuration Protocol). đồng thời ựây cũng là CA server nơi cấp phát các chứng chỉ theo yêu cầu.
- Web Server: cung cấp dịch vụ Website cho người dùng.
- IAS: là máy quản lý người sử dụng truy cập từ xa, RADIUS (Remote Access Dial-in User Service).
để sử dụng dịch vụ phải ựược cài ựặt trước.đe cài ựặt IAS chọn Control Panel- >Add and Remove Program->Window Component->Network Services -> Internet Authentication Serivce.
Mở chương trình IAS, tạo mới một RADIUS client và một chắnh sách chỉ ựịnh nhóm hoặc người dùng nào ựược phép truy cập từ xa.
Thêm chắnh sách mới, qui ựịnh cho những người dùng trong nhóm VPNUsers ựược truy cập.
- VPN Server: là máy chủ VPN, nhân yêu cầu kết nối từ bên ngoài. Một số cấu hình chắnh:
Bước 1: Mở chương trình Routing and Remote Acces, chọn Configure and Enable Routing and Remote Access.
Bước 2: Chọn Remote Access(dial-up or VPN)
Bước 4: Nhập ựịa chỉ RADIUS server
Bước 5: Trong phần DHCP Relay Agent, nhập ựịa chỉ của máy cung cấp dịch vụ DHCP
Tạo kết nối từ các máy người dùng ngoài mạng Bước 1: tạo kết nối mạng loại VPN
Bước 2: Mở kết nối, nhập username và password của người dùng ựược phép truy cập
Bước 3: Chọn Properties, chọn loại VPN là L2TP/IPSec. Nhấn OK và chọn Connect.
KẾT LUẬN
ỘHạ tầng khóa công khai (PKI), triển khai và ứng dụng trong các giao dịch ựiện tửỢ là một vấn ựề phức tạp và luôn cần hoàn thiện.
Quá trình nghiên cứu và phát triển hệ thống PKI là một quá trình lâu dài và ựi cùng với quá trình chấp nhận của người sử dụng. Tỷ lệ người sử dụng tăng lên khi các chuẩn công nghệ trở nên hoàn thiện, chứng minh ựược khả năng ứng dụng và hiện thực hoá là khả thi.
Hiện nay, việc sử dụng mật mã khoá công khai và dịch vụ cung cấp chứng chỉ số hay còn gọi là dịch vụ chứng thực ựiện tử ựể ựảm bảo an toàn thông tin trong các hoạt ựộng giao dịch ựiện tử là giải pháp ựược nhiều quốc gia trên thế giới sử dụng. Ở Việt Nam, chữ ký số và dịch vụ cung cấp chứng chỉ số là vấn ựề mới.
Trong thời gian nghiên cứu, tìm hiểu, triển khai ựồ án ựã hoàn thành ựược các nhiệm vụ ựược ựặt ra, cụ thể là:
- Về mặt lý thuyết : Khóa luận trình bày những khái niệm, ựặc ựiểm cơ bản của
một hệ thống PKI. Ứng dụng của hạ tầng khóa công khai trong các giao dịch ựiện tử. Cấp phát và xác thực chứng thực số.
- Tìm hiểu và triển khai dịch vụ CA - một thành phần quan trọng của PKI - trên
môi trường Windows Server 2003. Cuối cùng là ựã tắch hợp ựược dịch vụ CA vào một số dịch vụ mạng khác ựể tạo nên các dịch vụ có tắnh bảo mật cao.
Hướng phát triển ựề tài:
Ớ Các mô hình dịch vụ trên ựược thực hiện giả lập trong môi trường mạng LAN. Neu cơ sở hạ tầng mạng tốt hơn, sẽ có thể triển khai trên phạm vi lớn hơn với môi trường Internet thật. Ngoài ra, có thể tìm hiểu thêm ựể tắch hợp các dịch vụ trên trong môi trường Linux.
Ớ Cải thiện việc gửi dữ liệu từ client và xử lý tại server ựể thời gian hoạt ựộng của cả hệ thống là nhanh nhất và hiệu quả của hệ thông là tốt nhất có thể.
[1] William Stallings. Cryptography and Network Security : Principles and Practice,
Fourth Edition. Prentice Hall, 2005.
TS.Nguyễn đại Thọ Bộ môn Mạng & Truyền thông Máy tắnh Khoa Công nghệ Thông tin
Slide bài giảng AN TOÀN MẠNG - (Chương 3 Ờ trang 96).
http://vi.wikipedia.org/wiki/M%E1%BA%ADt_m%C3%A3_h%C3%B3a_kh%C3%B3a_c %C3%B4ng_khai
[2] đinh Mạnh Tường Ờ Giáo trình ỘCấu trúc dữ liệu và giải thuậtỢ
[3] Adams, C. (1999), Understanding Public Key Infrastructures, New Riders Publishing,
Indianapolis.
[4] TS.Nguyễn đại Thọ Bộ môn Mạng & Truyền thông Máy tắnh Khoa Công nghệ Thông
tin. Slide bài giảng AN TOÀN MẠNG - (Chương 4 Ờ trang 116).
http://vi.wikipedia.org/wiki/H%C3%A0m_b%C4%83m_m%E1%BA%ADt_m%C3%A3_ h%E1%BB%8Dc
[5],[8] đặng Bình Phương Luận văn cao học Ờ đại học khoa học tự nhiên TP.Hồ Chắ
Minh - Nghiên cứu kiến trúc và xây dựng hệ thống chứng thực tập trung.(trang 8-11)
[6] http://ptic.com.vn/chuyende_chitiet.asp?stuff_id=7
[7] Chứng thực ựiện tử&Chữ ký ựiện tử(HÀ NỘI ỜIT Week 2004) Ờ VASC CA
[8] Phạm Huy điển, Hà Huy Khoái (2003), Mã hoá thông tin cơ sở toán học và ứng dụng,
Nhà xuất bản đại học Quốc gia Hà nội.
[9] Carlisle Adams, Steve Lloyd
Understanding PKI: Concepts, Standards, and Deployment Considerations, Second Edition November 06, 2002 (Chương 6 Certificates and Certification).
[10] . Ellison, C.M. (1996), ỘSimple Public Key CertificateỢ.
[11] ITU-T Recommendation X.509 (2000), ỘThe Directory: Public key and Attribute
Certificates FrameworkỢ.
[12] NIST PKI Project Team (2001), ỘCertificate Issuing and Management Components
Protection ProfileỢ.
[13] Phan đình Diệu (1999), Lý thuyết mật mã và an toàn thông tin, đại học Quốc Gia Hà
Nội, Hà Nội.
[14] http://www.ietf.org/ids.by.wg/pkix.html ỘInternet X.509 Public Key
Infrastructure TimeStamp ProtocolsỢ
[15] http://www.ietf.org/ids.by.wg/pkix.html ỘSimple Certificate Validation