BÁO CÁO ĐỒ ÁN MÔN ỨNG DỤNG TRUYỀN THÔNG VÀ AN TOÀN THÔNG TIN Microsoft Trusted Networks

NỘI DUNG  Các khái niệm cơ bản  Cơ sở hạ tầng khóa công khai  Triển khai dịch vụ CA trên môi trường Windows Server 2003  Triển khai một số dịch vụ mạng sử dụng CA  Kết quả và hướng

Trang 1

Microsoft Trusted Networks

Thuyết trình:

Trường Đại học Công Nghệ Thông Tin

Đại Học Quốc Gia – TPHCM

GVHD : Tô Nguyễn Nhật Quang Nhóm 19 :

Nguyễn Đình Thi 06520448 Nguyễn Hồng Duy 08520071

GVHD : Tô Nguyễn Nhật Quang Nhóm 19 :

Nguyễn Đình Thi 06520448 Nguyễn Hồng Duy 08520071

Trang 2

NỘI DUNG

 Các khái niệm cơ bản

 Cơ sở hạ tầng khóa công khai

 Triển khai dịch vụ CA trên môi trường Windows

Server 2003

 Triển khai một số dịch vụ mạng sử dụng CA

 Kết quả và hướng phát triển cho tương lai

Trang 3

TỔNG QUAN

một nhu cầu cấp thiết Các thông tin truyền trên mạng đều rất quan trọng, như mã số tài khoản, thông tin mật, giao dịch qua mạng … Tuy nhiên với các thủ đoạn tinh vi nguy cơ bị ăn cắp thông tin qua mạng cũng gia tăng.

có xu hướng mã hóa Phương pháp mã hóa phổ biến nhất

đang được thế giới áp dụng là chứng chỉ số ( Digital

Certificate ).

công khai Để sử dụng được cách mã hóa này, cần phải có

một chứng chỉ số từ tổ chức quản trị được gọi là nhà cung

cấp chứng chỉ số ( Certification Authority )

Trang 4

CÁC KHÁI NIỆM CƠ BẢN

1 Cơ quan chứng thực ( Certification Authority ) là gì ?

Cơ quan chứng thực (Certification Authority - CA) có thẩm quyền cấp phát, thu hồi, quản lý chứng thư số cho các thực thể thực hiện các giao dịch an toàn Cơ quan chứng thực là một thành phần chính của hệ thống chứng thực

2 Chứng thư số là gì ?

Để thực hiện được các giao dịch an toàn qua mạng, các bên tham gia cần phải có “chứng thư số” Chứng thư số là một cấu trúc

dữ liệu chứa các thông tin cần thiết để thực hiện các giao dịch an

toàn qua mạng Chứng thư số được lưu giữ trên máy tính dưới dạng một tập tin (file)

Trang 5

CÁC KHÁI NIỆM CƠ BẢN

3 Cơ quan đăng ký ( Registration Authority ) là gì ?

Cơ quan đăng ký (Registration Authority) là một thành phần trong hệ thống chứng thực có nhiệm vụ tiếp nhận và xác minh các yêu cầu về chứng thư số của người sử dụng đồng thời gửi các yêu cầu đã xác minh cho cơ quan chứng thực (CA) thực hiện yêu cầu

đó

4 Hệ thống chứng thực điện tử là gì ?

Hệ thống chứng thực là một hạ tầng an ninh mạng được xây dựng trên một hạ tầng cơ sở khóa công khai (PKI) cung cấp các giải pháp đảm bảo an toàn cho các hoạt động (gọi chung là giao dịch)

thông qua mạng

Trang 6

CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI

và sử dụng qua một nhà cung cấp chứng thực được tín nhiệm

Mặc dù các thành phần cơ bản của PKI đều được phổ biến, nhưng một số nhà cung cấp đang muốn đưa ra chuẩn PKI riêng

khác biệt

Trang 7

2 Các thành phần trong cơ sở hạ tầng khóa công khai :

Một nhà cung cấp chứng thực số (CA) chuyên cung cấp và xác minh các chứng chỉ số

Một nhà quản lý đăng ký ( Registration Authority ) đóng vai trò như người thẩm tra cho CA trước khi một chứng chỉ số được cấp phát tới người yêu cầu

Một hoặc nhiều danh mục nơi các chứng chỉ số được lưu trữ, phục vụ cho các nhu cầu tra cứu, lấy khóa công khai của đối tác cần thực hiện giao dịch chứng thực số

Một hệ thống quản lý chứng chỉ

Trang 8

3 Chứng chỉ số :

Chứng chỉ số là một tệp tin điện tử dùng để xác minh danh tính một cá nhân, một máy chủ, một công ty … trên Internet Do nhà cung cấp chứng thực số (CA) xác thực và chứng nhận, đảm bảo độ tin cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số đó

Các thành phần chính :

+ Thông tin cá nhân của khách hàng được cấp

+ Khóa công khai

+ Chữ ký số của CA cấp chứng chỉ

+Thời gian hợp lệ

Trang 9

Trang 10

Trang 11

TRIỂN KHAI DỊCH VỤ CA TRÊN MÔI

TRƯỜNG WINDOWS SERVER 2003

+ Smart card logon.

+ Software code signing.

Trang 12

3 Các loại CA trên Windows Servers 2003

Có hai loại :

Enterprise : Enterprise CAs được tích hợp trong dịch vụ Active

Directory Chúng sử dụng mẫu chứng chỉ, xuất bản chứng chỉ và CRLs đến

Active Directory, sử dụng thông tin trong cơ sở dữ liệu Active Directory để chấp nhận hoặc từ chối yêu cầu cấp phát chứng chỉ tự động Bởi vậy client của tổ chức

CA phải truy xuất đến Active Directory để nhận chứng chỉ, nhiều tổ chức CA

không thích hợp cho việc cấp phát chứng chỉ cho các client bên ngoài tổ chức.

Stand-alone : Stand-alone CAs không dùng mẫu chứng chỉ hay Active

Directory, chúng lưu trữ thông tin cục bộ của nó Hơn nữa, mặc định stand-alone không tự động đáp lại yêu cầu cấp phát chứng chỉ số giống enterprise CAs làm Yêu cầu chờ trong hàng đợi cho người quản trị chấp nhận hoặc từ chối bằng tay.

Dù người dùng chọn tạo ra một enterprise CA hay là một stand-alone CA, đều

Trang 13

4 Cấp phát và quản lý các chứng chỉ số

a) Cấp phát tự động ( Auto-Enrollment )

Auto – Enrollment cho phép client yêu cầu tự động và nhận chứng chỉ số từ CA mà không cần can thiệp của người quản tri Để dùng Auto – Enrollment thì phải có domain chạy Windows Server

2003, một enterprise CA chạy trên Windows Sever 2003 và client

có thể chạy Windows XP Professional Điều khiển tiến trình Auto – Enrollment bằng sự phối hợp của group policy và mẫu chứng chỉ

số

Trang 14

4 Cấp phát và quản lý các chứng chỉ số

b) Cấp phát không tự động ( Manual Enrollment )

Stand-alone CAs không thể dùng auto – enrollment, vì vậy khi một stand-alone CA nhận yêu cầu về chừng chỉ số từ client, nó

sẽ lưu trữ những yêu cầu đó vào trong một hàng đợi cho tới khi

người quản trị quyết định liệu có cấp phát chứng chỉ số hay không?

Để giám sát và xử lý các yêu cầu vào, người quản trị dùng

Certification Authority console

Trang 15

c) Các cách yêu cầu cấp phát CA

+ Sử dụng Certificates Snap-in : là một công cụ dùng để xem và quản lý chứng chỉ của một user hoặc computer cụ thể

Trang 16

c) Các cách yêu cầu cấp phát CA

+ Yêu cầu cấp phát thông qua Web ( Web Enrollment )

Trang 17

d) Thu hồi chừng chỉ số

Có vài nguyên nhân cảnh báo cho người quản trị thu hồi chứng chỉ Nếu như khóa riêng ( private key ) bị lộ, hoặc người

dùng trái phép lợi dụng truy xuất đến CA, thậm chí nếu bạn muốn

cấp phát chứng chỉ dùng tham số khác như là khóa dài hơn, bạn

phải được thu hồi chứng chỉ trước đó

Trang 18

Thông thường chí có Server được chứng thực.

Ở mức độ bảo mật cao hơn, cả hai phái đều phải biết nhau, chứng thực lẫn nhau Chứng thực lẫn nhau yêu cầu dùng hạ tầng

khóa công khai PKI

Trang 20

IPSec mã hóa các thông tin trong gói tin theo cách đóng gói

nó, nên ngay cả khi bắt được các gói tin sẽ không đọc được nội

dung bên trong

Do IPSec hoạt động ở tầng mạng nên IPSec tạo một kênh

mã hóa liên tục giữa các điểm kết nối (end – to – end )

Trang 22

VPN cho phép truyền dữ liệu giữa hai máy tính sử dụng môi trường mạng công cộng giống như cách có một đường kết nối riêng giữa hai máy này.

Để tạo một kết nối điểm điểm ( point – to – point ), dữ liệu đóng gói (encapsulate), bao bọc (wrap) với một header để cung cấp các thông tin định tuyến Để giả lập một kênh truyền riêng, dữ liệu

sẽ được mã hóa

Trang 24

TỔNG KẾT

1 Kết quả

Thông qua việc thực hiện báo cáo, nhóm đã tìm hiểu các kiến thức cơ bản về cơ sở hạ tầng khóa công khai PKI, một mô hình

có độ tin cậy đang được sử dụng rất nhiều cho việc truyền thông

trên mạng hiện nay

Triển khai một dịch vụ CA, một thành phần quan trọng của PKI

Tích hợp được dịch vụ CA vào một số dịch vụ mạng khác

để tạo nên các dịch vụ có tính bảo mật cao

Trang 25

TỔNG KẾT

2 Hướng phát triển

Các mô hình dịch vụ trên được thực hiện giả lập trong môi trường mạng LAN Nếu cơ sở hạ tầng mạng tốt hơn, sẽ có thể triển khai trên phạm vi lớn hơn với môi trường Internet thật

Ngoài ra, có thể tìm hiểu thêm để tích hợp các dịch vụ trên trong môi trường Linux

Trang 26

The End

Định dạng
Số trang	26
Dung lượng	1,45 MB