Nghiên cứu đề xuất giải pháp bảo mật và an toàn thông tin cho hệ thống mạng cục bộ của cơ quan nhà nước trên địa bàn tỉnh bắc ninh

DANH MỤC CÁC TỪ VIẾT TẮTTừ viết tắt Nghĩa tiếng anh Nghĩa tiếng việt AC Attribute Certificates Chứng chỉ thuộc tính CA Certificate Authority Tổ chức chứng thực CRC Cyclic Redundancy Chec

TRƯỜNG ĐẠI HỌC KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO CHUYÊN ĐỀ

Học phần: Phân tích thiết kế hệ thống an toàn thông tin

NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP BẢO MẬT VÀ AN TOÀN THÔNG TIN TRONG HỆ THỐNG MẠNG CỤC

BỘ CỦA CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH

BẮC NINH

Nhóm học viên: Nguyễn Văn Sáng

Cao Văn Tài Hoàng Hồng Quân

Vũ Trường Thành

Bắc Ninh, tháng 9 năm 2019

TRƯỜNG ĐẠI HỌC KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO CHUYÊN ĐỀ

Học phần: Phân tích thiết kế hệ thống an toàn thông tin

NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP BẢO MẬT VÀ AN TOÀN THÔNG TIN TRONG HỆ THỐNG MẠNG CỤC

BỘ CỦA CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH

BẮC NINH

Nhóm học viên: Nguyễn Văn Sáng

Cao Văn Tài Hoàng Hồng Quân

Vũ Trường Thành

Bắc Ninh, tháng 9 năm 2019

MỤC LỤC

MỞ ĐẦU 1

CHƯƠNG 1 CÁC PHƯƠNG PHÁP BẢO MẬT THÔNG TIN VÀ TỔNG QUAN VỀ HỆ MẬT MÃ 4

Vấn đề bảo mật, an toàn thông tin 4

1.1.1 Bảo vệ an toàn thông tin dữ liệu trong các cơ quan nhà nước 4

1.1.2 Các nguyên tắc bảo vệ an toàn cho hệ thống mạng máy tính 5

1.1.3 Quản trị mạng 7

1.1.4 An toàn thông tin bằng mật mã 7

1.1.5 Vai trò của hệ mật mã 7

Giới thiệu về hệ mật mã 8

1.2.1 Định nghĩa hệ mật mã 8

1.2.2 Tính chất của hệ mật mã 8

1.2.3 Phân loại hệ mật mã 9

Mã hóa đối xứng (mã hóa khóa bí mật) 9

Mã hóa bất đối xứng (mã hóa khóa công khai) 10

1.4.1 Giới thiệu chung 10

1.4.2 Giới thiệu chung về hệ mật RSA 11

Hàm Băm 12

1.5.1 Khái niệm hàm băm 12

1.5.2 Đặc tính quan trọng của hàm băm 13

1.5.3 Tính chất của hàm băm 13

1.5.4 Ý nghĩa của hàm băm 14

Chữ ký số 15

1.6.1 Giới thiệu chung về chữ ký số 15

1.6.2 Đặc điểm của chữ ký số 16

1.6.3 Phân loại chữ ký số 16

1.6.4 Yêu cầu của chữ ký số 16

1.6.5 Ứng dụng của chữ ký số 16

1.6.6 Vai trò của chữ ký số 17

TIỂU KẾT CHƯƠNG 1 18

CHƯƠNG 2 CHỨNG CHỈ SỐ VÀ HẠ TẦNG KHÓA CÔNG KHAI 19

Chứng chỉ số 19

2.1.1 Khái niệm chứng chỉ số 19

2.1.2 Cơ quan chứng thực chữ ký số (Certificate Authority-CA) 19

2.1.3 Thành phần của chứng chỉ số 20

2.1.4 Cấu trúc của một chứng chỉ số 20

2.1.5 Phân loại chứng chỉ số 21

2.1.6 Thời hạn tồn tại và việc thu hồi chứng chỉ số 21

2.1.7 Vai trò của chứng chỉ số 22

Tổng quan về cơ sở hạ tầng khóa công khai 24

2.2.1 Khái niệm 24

2.2.2 Thành phần của PKI 25

2.2.3 Chức năng của PKI 25

2.2.4 Dịch vụ CA trên môi trường windows server 2008 26

TIỂU KẾT CHƯƠNG 2 27

CHƯƠNG 3 BẢO MẬT VÀ AN TOÀN THÔNG TIN CỦA CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH BẮC NINH 28

Thực trạng về sử dụng mạng cục bộ cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh 28

3.1.1 Các thiết bị tin học được sử dụng 28

3.1.2 Các phần mềm bảo mật được sử dụng 28

3.1.3 Mô hình hệ thống mạng ở Công an tỉnh Bắc Ninh 29

3.1.4 Quản lý mạng 29

3.1.5 Công nghệ và lựa chọn thiết bị sử dụng 30

3.1.6 Thực trạng an toàn thông tin trên địa bàn tỉnh 30

Kiến trúc và hoạt động của hệ thống thư điện tử trên địa bàn tỉnh 31 3.2.1 Tài khoản thư điện tử 31

3.2.2 Đường đi của thư điện tử 31

3.2.3 Các thành phần hệ thống trong thư điện tử 31

3.2.4 Gửi, nhận và chuyển thư điện tử 32

Các mối hiểm họa trong thư điện tử 34

3.3.1 Lỗ hổng trong các thành phần thư điện tử 35

3.3.2 Hiểm họa bị đọc lén và phân tích đường truyền 37

3.3.3 Giả mạo và lừa đảo thư điện tử 38

3.3.4 Thư rác 40

Phương thức lây nhiễm của mã độc qua thư điện tử 43

3.4.1 Giới thiệu về Mã độc 43

3.4.2 Tổng quan phương thức lây nhiễm 43

TIỂU KẾT CHƯƠNG 3 48

CHƯƠNG 4 GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THƯ ĐIỆN TỬ CỦA CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH BẮC NINH 49

Giải pháp bảo mật cho thư điện tử 49

4.1.1 Phòng chống mã độc 49

4.1.2 Người dùng sử dụng thư điện tử 50

4.1.3 Sử dụng phần mềm diệt virus 55

4.1.4 Trạm thư an toàn 59

Cài đặt và sử dụng phần mềm PGP 60

4.2.1 Giới thiệu về PGP 60

4.2.2 Cài đặt ứng dụng mã hóa PGP 61

4.2.3 Quản lý khóa 67

4.2.4 Trao đổi các chìa khóa công cộng 75

4.2.5 Xác nhận và ký chìa khóa công khai 77

4.2.6 Mã hóa và giải mã các email 79

4.2.7 Đánh giá PGP 82

TIỂU KẾT CHƯƠNG 4 83

KẾT LUẬN 84

TÀI LIỆU THAM KHẢO 86

DANH MỤC HÌNH ẢNH

Hình 1.1 Các mức độ bảo vệ trên mạng máy tính 6

Hình 1.2 Sơ đồ hệ mật mã đối xứng 9

Hình 1.3 Sơ đồ mô tả bản băm thông điệp 12

Hình 1.4 Đường đi đúng của thông tin 13

Hình 1.5 Thông tin bị lấy trộm và thay đổi trên đường truyền 13

Hình 1.6 Sơ đồ tạo chữ ký số 14

Hình 1.7 Sơ đồ xác thực chữ ký số 15

Hình 2.1 Chu trình sống của một chứng chỉ số 22

Hình 3.1 Sơ đồ hệ thống mạng công an tỉnh Bắc Ninh 29

Hình 3.2 Các thành phần của thư điện tử 32

Hình 3.3 Truy vấn DNS trong thư điện tử 33

Hình 3.4 Thư điện tử được gửi qua các trạm 34

Hình 3.5 Phân tích gói tin trên đường truyền bằng Wireshark 38

Hình 3.6 Ví dụ về lừa đảo trong thư điện tử 39

Hình 3.7 Mô hình MAPI 44

Hình 3.8 Mô hình đối tượng của Outlook 44

Hình 3.9 Nội dung email giả mạo “Goi trong Cong an Nhan dan Viet Nam ” là Mã độc tống tiền GandCrab 5.2 45

Hình 3.10 Liên kết trong email chứa mã độc 46

Hình 3.11 Ransomware WannaCry 47

Hình 4.1 Email lừa đảo với tiêu đề “Quà tặng giáng sinh” 54

Hình 4.2 Mô hình Firewall tích hợp ứng dụng quét virus 56

Hình 4.3 Mô hình quét virus trên chính máy chủ thư 57

Hình 4.4 Quét virus được thực hiện trên các trạm của người sử dụng 58

Hình 4.5 Giao diện cài đặt GPG4win 62

Hình 4.6 Cài đặt GPG4win hoàn thành 62

Hình 4.7 Giao diện cài đặt Mozilla Thunderbird 63

Hình 4.8 Cài đặt Mozilla Thunderbird hoàn thành 63

Hình 4.9 Giao diện chính của Mozilla Thunderbird 64

Hình 4.10 Điền thông tin email và lựa chọn cấu hình 64

Hình 4.11 Giao diện chính sau khi thêm tài khoản email 65

Hình 4.12 Quản lý tiện ích 65

Hình 4.13 Tìm kiếm Enigmail 66

Hình 4.14 Thêm Enigmail vào Thunderbird 66

Hình 4.15 Enigamil đã được thêm vào Thunderbird 67

Hình 4.16 Quản lý Khóa của Enigmail 68

Hình 4.17 Nhập thông tin tạo khóa 69

Hình 4.18 Tạo chứng nhận thu hồi 69

Hình 4.19 Lưu chứng nhận thu hồi 69

Hình 4.20 Yêu cầu nhập Passphrase 70

Hình 4.21 Hoàn tất tạo chứng chỉ thu hồi 70

Hình 4.22 Dạng chứng chỉ thu hồi 70

Hình 4.23 Cài đặt tài khoản Email 71

Hình 4.24 Các thiết lập OpenPGP của Enigmail cho tài khoản email trên Thunderbird 71

Hình 4.25 Quản lý khóa 72

Hình 4.26 Bảng thuộc tính của Khóa 72

Hình 4.27 Thay đổi mật khẩu khóa 73

Hình 4.28 Nhập mật khẩu cũ của khóa 73

Hình 4.29 Nhập mật khẩu mới của khóa 73

Hình 4.30 Xuất khóa ra Tập tin 74

Hình 4.31 Cửa sổ xác nhận Enigmail 74

Hình 4.32 Gửi khóa công khai 75

Hình 4.33 Viết thư gửi khóa công khai 76

Hình 4.34 Nhập khóa công khai từ email gửi đến 76

Hình 4.35 Nhấn OK để đồng ý nhập khóa 76

Hình 4.36 Nhập khóa thành công và thông tin về khóa của đối tác 77

Hình 4.37 Khóa công khai của đối tác đã được thêm vào 77

Hình 4.38 Xem dấu vân tay của khóa công khai 78

Hình 4.39 Ký tên khóa 79

Hình 4.40 Ký tên khóa 79

Hình 4.41 Xác nhận Passphrase 79

Hình 4.42 Soạn thư gửi email mã hóa 80

Hình 4.43 Chọn khóa công khai để mã hóa email 80

Hình 4.44 Xác nhận Passphrase 80

Hình 4.45 Nội dung email đã được mã hóa 81 Hình 4.46 Nhập Passphrase để xem email mã hóa 81 Hình 4.47 Nội dung email mã hóa 82

DANH MỤC CÁC TỪ VIẾT TẮT

Từ viết tắt Nghĩa tiếng anh Nghĩa tiếng việt

AC Attribute Certificates Chứng chỉ thuộc tính

CA Certificate Authority Tổ chức chứng thực

CRC Cyclic Redundancy Check Phương pháp kiểm tra

IMAP Internet Message Access

PKI Public Key Infrastructure Cơ sở hạ tầng khóa công khai

POP Post Office Protocol Giao thức sử dụng để nhận mail

(port 110)

RSA Rivest-Shamir-Adleman Hệ mật mã khóa công khai

RA Registration Authorities Trung tâm đăng kí thông tin SSL Secure Sockets Layer Giao thức an ninh thông tin

SMTP Simple Mail Transfer Protocol Giao thức sử dụng để gửi email

Với sự phát triển ngày càng nhanh và mạnh của Internet nh ư hiện nay thì việc sử dụng chữ ký số c àng có nhiều ứng dụng trong thực tế Việc sử dụng chữ

ký số là hết sức quan trọng và cần thiết trong việc gửi/nhận các văn bản gửi qua hệ thống thư điện tử, qua hệ thống hỗ trợ quản lý, điều h ành, tác nghiệp Chữ ký số, cơ

sở hạ tầng khóa công khai (PKI) c ùng các tiêu chuẩn và ứng dụng của nó có thể làm thay đổi phương thức và nâng cao hiệu quả làm việc của cán bộ trong các c ơ quan nhà nước để đáp ứng công tác điều hành, quản lý trong giai đoạn hiện nay Mô hình chữ ký số đảm bảo an toàn dữ liệu khi gửi, nhận trên mạng và đươc sử dụng để tạo chứng nhận điện tử trong các thông tin được truyền đi trên mạng Internet

Bắc Ninh là một tỉnh thuộc vùng đồng bằng Sông Hồng, nằm trong tam giác vàng kinh tế trọng điểm Hà Nội- Hải Phòng- Quảng Ninh và là cửa ngõ phía Đông Bắc của Thủ đô Hà Nội Nằm ở vị trí địa lý quan trọng như vậy thì các loại tội phạm cũng xuất hiện ngày càng nhiều Hoạt động trao đổi thông tin, truyền và nhận thư điện tử, chữ ký số, chữ ký điện tử giữa các cơ quan nhà nước trên địa bàn cũng được sử dụng thường xuyên nhằm nâng cao hiệu lực, hiệu quả làm việc của cán bộ Vì vậy vấn đề

2

bảo mật và an toàn thông tin trong hệ thống mạng cục bộ của cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh cũng được chú trọng hàng đầu Ngày 24 tháng 10 năm 2014 Ủy ban nhân dân tỉnh Bắc Ninh đã ban hành quyết định số 456/2014/QĐ-UBND quy định

về quy chế đảm bảm an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh

Ngày nay, hệ mã hóa thường được sử dụng để xây dựng các l ược đồ chữ

ký số, đó l à hệ mã hóa RSA Chính vì những vấn đề thực tiễn tr ên, báo cáo: ”Nghiên cứu đề xuất giải pháp bảo mật và an toàn thông tin trong hệ thống mạng cục

bộ của cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh ” tập trung nghiên cứu một

trong những phương pháp bảo vệ an toàn thông tin dữ liệu có tính an toàn cao hiện nay, đó là dùng hệ mã hóa khóa công khai, các ch ứng chỉ số, chữ ký số trong việc xác thực thông tin truyền tải trên mạng và cài đặt ứng dụng để đảm bảo an toàn thông tin trong hệ thống mạng máy tính của cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh

2 Mục đích nghiên cứu

Bài báo cáo tập trung n ghiên cứu về các giải pháp an toàn thông tin, hệ mật

mã, chú trọng nghiên cứu khóa công khai, chữ ký số và ứng dụng của chữ ký số, mã hoá dữ liệu để bảo mật, an toàn thông tin của các cơ quan nhà nước hiện nay trong các giao dịch gửi, nhận thư điện tử và truyền tải văn bản trong hệ thống mạng cục bộ trên địa bàn tỉnh Bắc Ninh

3 Đối tượng nghiên cứu

Báo cáo nghiên cứu các khái niệm của lý thuyết mật mã, thuật toán mã hóa đối xứng, bất đối xứng (như mật mã khóa công khai RSA), chữ ký số, chứng chỉ số, ứng dụng chữ ký số trong gửi/nhận Email và truyền tải văn bản qua mạng

4 Phương pháp nghiên cứu

+ Tiếp cận phân tích và tổng hợp: Đọc tài liệu, tổng hợp lý thuyết, phân tích lý thuyết về Hệ mật mã đối xứng, hệ mật mã bất đối xứng (hệ mật mã khóa công khai), chữ ký số, sử dụng chữ ký số để bảo mật các hệ thống dùng chung đang được quản lý tại Trung tâm tích hợp dữ liệu của tỉnh với một số tính năng cơ bản như: có cơ chế phân

bổ khóa tự động, mã hóa các thông tin cần thiết khi gửi/nhận các thông tin

+ Tiếp cận theo định tính và định lượng: Nghiên cứu cơ sở khoa học của mã hóa, chữ ký số của các tác giả trong và ngoài nước, các bài báo, thông tin trên mạng, tìm hiểu các mô hình bảo mật, chứng chỉ số…từ đó trình bày theo ý tưởng của mình và đề

5 Bố cục của bài báo cáo

Bài báo cáo được trình bày trong bốn chương:

Chương 1: Các phương pháp bảo mật thông tin và tổng quan về hệ mật mã Chương 2: Chứng chỉ số và hạ tầng khóa công khai

Chương 3: Bảo mật và an toàn thông tin của cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh

Chương 4: Giải pháp bảo mật cho hệ thống thư điện tử của cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh

4

CHƯƠNG 1 CÁC PHƯƠNG PHÁP BẢO MẬT THÔNG TIN VÀ TỔNG QUAN

VỀ HỆ MẬT MÃ Vấn đề bảo mật, an toàn thông tin

Ngày nay với sự phát triển mạnh mẽ của công nghệ thông tin việc ứng dụng các công nghệ bảo mật trên mạng máy tính càng trở nên phổ cập và vô cùng cần thiết Sự xuất hiện mạng Internet cho phép mọi người có thể truy cập, chia sẻ và khai thác thông tin một cách dễ dàng và hiệu quả Sự phát triển mạnh mẽ của Internet về mặt bản chất chính là việc đáp ứng lại sự gia tăng không ngừng của nhu cầu gửi/nhận Email và truyền tải văn bản trên hệ thống mạng toàn cầu Các giao dịch trên Internet trong các cơ quan nhà nước chủ yếu là để gửi/nhận Email và truyền tải văn bản như tệp văn bản, massage, trao đổi tài liệu thông qua Hệ thống quản lý văn bản, điều hành, tác nghiệp Nhu cầu gửi/nhận Email và truyền tải văn bản, dữ liệu trong các cơ quan nhà nước ngày càng lớn

và đa dạng; cơ sở hạ tầng công nghệ thông tin trong các cơ quan nhà nước cũng không ngừng được phát triển, mở rộng để nâng cao chất lượng và lưu lượng truyền tin thì các biện pháp bảo vệ an toàn thông tin dữ liệu khi trao đổi trên mạng cũng ngày càng được đổi mới

Tuy nhiên vấn đề an toàn thông tin càng trở nên cấp bách hơn khi có Internet Internet có những kỹ thuật cho phép mọi người truy cập, khai thác và chia sẻ thông tin với nhau Nhưng nó cũng là nguy cơ chính dẫn đến thông tin dễ bị hư hỏng hay bị phá hủy hoàn toàn Sở dĩ có lí do đó là vì việc truyền thông tin qua mạng Internet hiện nay chủ yếu sử dụng giao thức TCP/IP TCP/IP cho phép các thông tin từ máy tính này tới máy tính khác phải đi qua một loạt các máy tính trung gian hoặc các mạng riêng biệt trước khi nó tới được đích Chính vì vậy, giao thức TCP/IP đã tạo cơ hội cho bên thứ ba

có thể thực hiện các hành động gây mất an toàn thông tin trong khi thực hiện việc truyền thông tin trên mạng

Để vừa đảm bảo tính bảo mật của thông tin và tăng cường sự trao đổi, quản lý, điều hành giữa các cơ quan nhà nước trong việc gửi/nhận Email và truyền tải văn bản qua mạng, giảm bớt giấy tờ thì chúng ta phải có các giải pháp phù hợp Hiện có rất nhiều giải pháp cho vấn đề an toàn thông tin trên mạng như mã hóa thông tin, chữ ký điện tử, chứng chỉ số, sử dụng tường lửa, bảo vệ vật lý, dùng mật khẩu để kiểm soát quyền truy cập …

1.1.1 Bảo vệ an toàn thông tin dữ liệu trong các cơ quan nhà nước

Chủ yếu theo 03 phương pháp sau:

- Bảo vệ an toàn thông tin bằng các biện pháp hành chính

5

- Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng)

- Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm)

Ba phương pháp trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp Môi trường khó bảo vệ an toàn thông tin nhất là môi trường mạng và truyền tin Biện pháp hiệu quả nhất hiện nay trên mạng truyền tin và mạng máy tính là biện pháp dùng thuật toán để mã hóa Trong thực tế không có một biện pháp bảo vệ an toàn thông tin dữ liệu nào là an toàn tuyệt đối cả

1.1.2 Các nguyên tắc bảo vệ an toàn cho hệ thống mạng máy tính

- Thực hiện nguyên tắc bất kỳ một máy tính nào cùng chỉ được sử dụng một số tài nguyên mạng nhất định trong hệ thống

- Trong một hệ thống mạng nên tạo nhiều cơ chế an toàn để tương hỗ lẫn nhau

- Cần tạo ra nút thắt trong hệ thống để cho phép thông tin đi vào hệ thống bằng con đường duy nhất vì vậy phải tổ chức một cơ cấu kiểm soát và điều khiển thông tin đi qua nút thắt này song phải chú ý đến mức độ an toàn vật lý của hệ thống mạng máy tính

- Cần phải sử dụng nhiều biện pháp bảo vệ khác nhau cho hệ thống và cho cả các

hệ thống khác nhau nếu không một hệ thống bị tấn công thì các hệ thống khác cũng dễ dàng bị tấn công

- Các mức độ bảo vệ trên mạng: Sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào chắn Việc bảo vệ thông tin trên mạng máy tính chủ yếu là bảo

vệ thông tin cất giữ trong máy tính, đặc biệt là các máy chủ của hệ thống Bởi thế ngoài một số biện pháp nhằm chống thất thoát thông tin trên đường truyền cần tập trung vào việc xây dựng các rào chắn cho các hệ thống kết nối vào mạng Thông thường có các mức bảo vệ sau:

1.1.2.1 Quyền truy cập

Lớp bảo vệ trong cùng là quyền truy nhập nhằm mục đích: kiểm soát các tài nguyên của mạng và quyền hạn của các máy tính trên tài nguyên đó Dĩ nhiên là kiểm soát được các cấu trúc dữ liệu càng chi tiết càng tốt Hiện tại việc kiểm soát thường ở mức tệp

1.1.2.2 Đăng ký tên/mật khẩu

Thực ra đây cũng là mức kiểm soát quyền truy nhập, nhưng không phải truy nhập

ở mức thông tin mà ở mức hệ thống Đây là phương pháp bảo vệ phổ biến nhất vì nó đơn giản và cũng rất hiệu quả Khi người sử dụng muốn được tham gia vào hệ thống để

sử dụng tài nguyên đều phải đăng ký tên và mật khẩu trước Người quản trị hệ thống có

Sau đây là sơ đồ các mức độ bảo vệ trên hệ thống mạng:

Hình 1.1 Các mức độ bảo vệ trên mạng máy tính

7

1.1.3 Quản trị mạng

Công tác quản trị mạng cần phải được thực hiện một cách khoa học đảm bảo các yêu cầu sau:

- Toàn bộ hệ thống hoạt động bình thường trong giờ làm việc

- Có hệ thống dự phòng khi xảy ra sự cố về phần cứng hoặc phần mềm

- Sao lưu (Backup) dữ liệu quan trọng theo định kỳ

- Bảo dưỡng mạng theo định kỳ

- Bảo mật dữ liệu, phân quyền truy cập, tổ chức nhóm làm việc trên hệ thống mạng

1.1.4 An toàn thông tin bằng mật mã

Mật mã là một ngành khoa học chuyên nghiên cứu các phương pháp truyền tin

bí mật bao gồm hai quá trình: mã hóa và giải mã Để bảo vệ thông tin trên đường truyền người ta thường biến đổi thông tin trước khi truyền đi trên mạng gọi là mã hoá thông tin (encryption), ở trạm nhận phải thực hiện quá trình ngược lại được gọi là giải mã thông tin

Để bảo vệ thông tin bằng mật mã người ta thường tiếp cận theo hai hướng: theo đường truyền (Link_Oriented_Security) và từ nút đến nút (End_to_End)

Theo cách thứ nhất thông tin được mã hoá để bảo vệ trên đường truyền giữa hai nút mà không quan tâm đến nguồn và đích của thông tin đó Lưu ý rằng đối với cách này thông tin chỉ được bảo vệ trên đường truyền, tức là ở mỗi nút đều có quá trình giải

mã sau đó mã hoá để truyền đi tiếp, do đó các nút cần phải được bảo vệ tốt

Ngược lại theo cách thứ hai thông tin trên mạng được bảo vệ trên toàn đường truyền từ nguồn đến đích Thông tin sẽ được mã hoá ngay sau khi mới tạo ra và chỉ được giải mã khi về đến đích Cách này có nhược điểm là chỉ có dữ liệu của người dùng thì mới có thể mã hóa được, còn dữ liệu điều khiển thì giữ nguyên để có thể xử lý tại các nút

1.1.5 Vai trò của hệ mật mã

- Dùng để che giấu nội dung của văn bản rõ: để đảm bảo sao cho chỉ người chủ hợp pháp của thông tin mới có quyền truy cập thông tin hay nói cách khác là chống truy nhập không đúng quyền hạn

8

- Tạo các yếu tố xác thực thông tin: đảm bảo thông tin lưu hành trong hệ thống đến người nhận hợp pháp là xác thực Tổ chức các sơ đồ chữ ký điện tử, đảm bảo không

có hiện tượng giả mạo, mạo danh để gửi thông tin trên mạng

Ưu điểm lớn nhất của bất kỳ hệ mật mã nào đó là có thể đánh giá được độ phức tạp tính toán phải giải quyết bài toán để có thể lấy được thông tin của dữ liệu đã được

mã hoá

Giới thiệu về hệ mật mã

Trong mô hình hệ mật mã, yếu tố quan trọng nhất là khóa, nó quyết định đến độ mật của hệ mật mã và độ đo về tính an toàn của hệ mật mã liên quan đến nỗ lực tính toán cần thiết để phá mã của hệ mật và được tiến hành theo phương thức quy độ an toàn của hệ mật mã đó về một bài toán có độ phức tạp tính toán không thuộc lớp P

Chúng ta đã biết một thông tin thường được tổ chức dưới dạng bản rõ Người gửi

sẽ làm nhiệm vụ mã hoá bản rõ, kết quả thu được gọi là bản mã Bản mã này được gửi

đi trên một đường truyền tới người nhận, sau khi nhận được bản mã người nhận giải mã

nó để tìm hiểu nội dung Thuật toán dùng khi sử dụng định nghĩa hệ mật mã: Ek(R) =M , Dk(M) = R

9

- Tính xác thực: Người nhận có thể xác minh được nguồn tin mình nhận được là đúng đối tác của mình gửi hay không

1.2.3 Phân loại hệ mật mã

Dựa vào cách truyền khóa có thể phân các hệ mật mã thành hai loại:

- Hệ mật đối xứng (hay còn gọi là mật mã khóa bí mật): là những hệ mật dùng chung một khoá cả trong quá trình mã hoá dữ liệu và giải mã dữ liệu Do đó khoá phải được giữ bí mật tuyệt đối

- Hệ mật mã bất đối xứng (hay còn gọi là mật mã khóa công khai) các hệ mật này dùng một khoá để mã hoá sau đó dùng một khoá khác để giải mã, nghĩa là khoá để mã hoá và giải mã là khác nhau Các khoá này tạo nên từng cặp chuyển đổi ngược nhau và không có khoá nào có thể suy được từ khoá kia Khoá dùng để mã hoá có thể công khai nhưng khoá dùng để giải mã phải giữ bí mật Trong hệ mật này việc phân phối khóa và thỏa thuận khóa được giải quyết một cách tự động, nếu An trong hệ thống muốn gửi thông điệp cho Bình, An phải lấy khóa công khai của Bình trên mạng để mã hóa thông điệp và gửi đến cho Bình, Bình dùng khóa bí mật để giải mã thành thông điệp ban đầu

Mã hóa đối xứng (mã hóa khóa bí mật)

Thuật toán khóa đối xứng là thuật toán trong đó các khóa dùng cho việc mã hóa

và giải mã có quan hệ rõ ràng với nhau (Có thể dễ dàng tìm được một khóa nếu biết khóa kia)

Trong rất nhiều trường hợp khóa để mã hóa và khóa giải mã là giống nhau hoặc chỉ khác nhau nhờ một biến đổi giữa hai khóa Thuật toán này còn có nhiều tên gọi khác như thuật toán khóa bí mật, thuật toán khóa đơn giản, Thuật toán này yêu cầu người gửi và người nhận phải thỏa thuận một khóa trước khi văn bản được gửi đi và khóa này phải được cất giấu bí mật Độ an toàn của thuật toán này vẫn phụ thuộc vào khóa, nếu

để lộ ra khóa này nghĩa là bất kì người nào cũng có thể mã hóa và giải mã các văn bản trong hệ thống mã hóa Sự mã hóa và giải mã của thuật toán được mô tả như sau: Ek(R)

= M và Dk(M) = R

Hình 1.2 Sơ đồ hệ mật mã đối xứng

10

Các vấn đề đối với phương pháp mã hóa đối xứng:

Phương pháp mã hóa đối xứng đòi hỏi người mã và người giải mã phải cùng dùng chung một khóa Khi đó khóa phải được giữ bí mật tuyệt đối, do vậy ta dễ dàng xác định một khóa nếu biết khóa kia

Hệ mã hóa khóa đối xứng không an toàn nếu khóa bị lộ với xác suất cao Trong

hệ này, khoá phải được gửi đi trên kênh an toàn Do vậy, vấn đề quản lý và phân phối khóa là khó khăn và phức tạp khi sử dụng hệ mã hóa khóa đối xứng Người gửi và người nhận luôn phải thống nhất với nhau về khóa Việc thay đổi khóa là rất khó và dễ bị lộ

Các hệ mật mã đối xứng (hệ mật khóa bí mật) thường dùng: Mã dịch vòng, Mã thay thế thường, Mã Vigenere, Mã Affine, Mã Hill

Mã hóa bất đối xứng (mã hóa khóa công khai)

1.4.1 Giới thiệu chung

Trong mật mã hóa khóa công khai có hai khóa được sử dụng, là khóa công khai

và khóa bí mật trong đó khóa công khai dùng để mã hóa còn khóa bí mật dùng để giải

mã (cũng có thể thực hiện ngược lại) Rất khó để có thể thu được khóa bí mật từ khóa công khai Điều này có nghĩa là một người nào đó có thể tự do gửi khóa công khai của

họ ra bên ngoài theo các kênh không an toàn mà vẫn chắc chắn rằng chỉ có họ có thể giải mã các thông điệp được mã hóa bằng khóa đó

Vì lý do nào đó, các hệ thống mật mã hóa lai ghép được sử dụng trong thực tế; khóa được trao đổi thông qua mật mã khóa công khai và phần còn lại của thông tin được mật mã hóa bằng cách sử dụng thuật toán khóa đối xứng (điều này về cơ bản là nhanh hơn) Mật mã hóa đường cong eliptic là một dạng thuật toán khóa công khai có thể có một số ưu điểm hơn so với các hệ thống khác

Trong mật mã hóa khóa công khai, khóa cá nhân phải được giữ bí mật trong khi khóa công khai được phổ biến công khai Trong 2 khóa, một dùng để mã hóa và khóa còn lại dùng để giải mã Điều quan trọng đối với hệ thống là không thể tìm ra khóa bí mật nếu chỉ biết khóa công khai

Hệ thống mật mãkhóa công khai có thể sử dụng với các mục đích:

- Mã hóa: giữ bí mật thông tin và chỉ có người có khóa bí mật mới giải mã được

- Tạo chữ ký số: cho phép kiểm tra một văn bản có phải đã được tạo với một khóa bí mật nào đó hay không

- Thỏa thuận khóa: cho phép thiết lập khóa dùng để gửi/nhận Email và truyền tải văn bản mật giữa 2 bên

11

Về khía cạnh an toàn, các thuật toán mật mã khóa bất đối xứng cũng không khác nhiều với các thuật toán mã khóa đối xứng Có những thuật toán được dùng rộng rãi, có thuật toán chủ yếu trên lý thuyết; có thuật toán vẫn được xem là an toàn, có thuật toán

đã bị phá vỡ Cũng cần lưu ý là những thuật toán được dùng rộng rãi không phải lúc nào cũng đảm bảo an toàn Một số thuật toán có những chứng minh về độ an toàn với những tiêu chuẩn khác nhau Nhiều chứng minh gắn việc phá vỡ thuật toán với những bài toán nổi tiếng vẫn được cho là không có lời giải trong thời gian đa thức Nhìn chung, chưa có thuật toán nào được chứng minh là an toàn tuyệt đối (như hệ thống mật mã sử dụng một lần) Vì vậy, cũng giống như tất cả các thuật toán mật mã nói chung, các thuật toán mã hóa khóa công khai vẫn cần phải được sử dụng một cách thận trọng tuy cặp khóa bí mật và khóa công khai được tạo ra bởi các tính toán rất phức tạp

Ứng dụng rõ ràng nhất của mật mã hóa khóa công khai là bảo mật: một văn bản được mã hóa bằng khóa công khai của một người sử dụng thì chỉ có thể giải mã với khóa

bí mật của người đó Các thuật toán tạo chữ ký số khóa công khai còn dùng để nhận thực Người gửi thông điệp có thể mã hóa văn bản và gửi kèm chữ ký số được tạo ra bởi khóa bí mật của mình Nếu người nhận thông điệp có thể kiểm tra chữ ký số bằng khóa công khai của người gửi thì giải mã được văn bản gửi kèm có thể tin chắc chắn rằng văn bản thực sự là của người gửi gắn với khóa công khai của người đó

1.4.2 Giới thiệu chung về hệ mật RSA

1.4.2.1 Lịch sử ra đời

Hệ mật mã RSA là hệ mật mã khoá công khai được phát minh bởi Ron Rivest, Adi Shamir và Len Adleman, được công bố năm 1977 RSA được dùng để bảo mật dữ liệu trên đường truyền, bảo đảm tính riêng tư và xác thực của Email, bảo đảm phiên đăng nhập truy cập từ xa

RSA đáp ứng đầy đủ yêu cầu bảo mật thông tin nên được sử dụng trong nhiều phần mềm bảo mật của hệ thống thư điện tử và hệ thống quản lý, điều hành, tác nghiệp Hiện tại hệ mật mã RSA đủ để đảm bảo tính riêng tư và xác thực dữ liệu số Để đảm bảo

an toàn thông tin trong quá trình gửi/nhận Email và truyền tải văn bản qua mạng thì sử dụng hệ mật mã RSA là giải pháp tốt và an toàn nhất hiện nay

1.4.2.2 Mô tả thuật toán

Sinh khoá:

- Chọn ngẫu nhiên hai số nguyên tố lớn p và q, với p#q

- Tính n = pq

Để gửi dữ liệu cần mã hóa thì người gửi thực hiện:

- Thu nhận khóa công khai của người nhận <n,e>

- Biến đổi thông điệp muốn gửi R thành những số nguyên M < n theo một hàm

có thể đảo ngược (Từ M có thể xác định được R) được thỏa thuận trước

1.5.1 Khái niệm hàm băm

Hàm băm là các thuật toán không sử dụng khóa để mã hóa (ở đây ta thường dùng thuật ngữ “băm” thay cho “mã hóa”), nó có nhiệm vụ băm thông điệp và đưa vào theo một thuật toán một chiều nào đó, rồi đưa ra một bản băm–văn bản đại diện –có kích thước cố định

Hình 1.3 Sơ đồ mô tả bản băm thông điệp

13

1.5.2 Đặc tính quan trọng của hàm băm

Hàm băm h là hàm một chiều có các đặc tính sau:

-Với thông điệp đầu vào X thu được bản băm Y = h(X) là duy nhất

- Nếu dữ liệu trong thông điệp X thay đổi hay bị xóa để thành thông điệp X’ thì h(X’) ≠ h(X) Cho dù chỉ có một sự thay đổi nhỏ hay chỉ là xóa đi một bits dữ liệu của thông điệp thì giá trị băm cũng vẫn thay đổi Điều này có nghĩa là: hai thông điệp khác nhau thì giá trị hàm băm hoàn toàn khác nhau

- Nội dung của thông điệp gốc không thể bị suy ra từ giá trị hàm băm Nghĩa là với thông điệp X thì dễ dàng tính được Y = h(X), nhưng lại không thể tính suy ngược lại được X nếu chỉ biết hàm băm h(X)

1.5.3 Tính chất của hàm băm

Việc đưa hàm băm h vào dùng trong sơ đồ chữ ký số không làm giảm sự an toàn của sơ đồ chữ ký số vì nó là bản tóm lược văn bản – văn bản đại diện cho thông điệp được ký chứ không phải là thông điệp gốc Điều cần thiết là hàm băm cần thỏa mãn một

số tính chất sau để tránh bị giả mạo:

Tính chất 1: Hàm băm h không va chạm yếu: h là hàm băm không có tính va

chạm yếu nếu khi cho trước một thông điệp X, không thể tiến hành về mặt tính toán để tìm ra một thông điệp X’ ≠ X mà h(X’)=h(X)

Xét một kiểu tấn công: Thông tin cần phải truyền từ A đến B Nhưng trên đường truyền, thông tin bị lấy trộm và thay đổi

Hình 1.4 Đường đi đúng của thông tin

Hình 1.5 Thông tin bị lấy trộm và thay đổi trên đường truyền

Người A gửi cho B (X, Y) với Y = sigK(h(X)) Nhưng trên đường truyền, thông tin bị lấy trộm Hacke bằng cách nào đó tìm được một bản thông điệp X’ có h(X’) = h(X) mà X’≠ X Sau đó Hacker đưa X’thay thế X rồi truyền tiếp cho B Người B nhận được và thông tin vẫn được xác thực là đúng đắn

14

Tính chất 2: Hàm băm h là không va chạm mạnh: h là hàm băm không va chạm

mạnh nghĩa là ta khó có thể tìm được cặp thông điệp X và X’ thỏa mãn h(X)=h(X’)

Tính chất 3: Hàm băm h là hàm một chiều: h là hàm một chiều nếu cho trước

một bản tóm lược của văn bản Y thì không thể thực hiện về mặt tính toán để tìm ra thông điệp ban đầu X sao cho h(X) =Y

Một số hàm băm phổ biến: HAVAL, MD2, MD4, MD5, PANAMA, RIPEMD, SHA…

1.5.4 Ý nghĩa của hàm băm

Hàm băm trợ giúp cho các sơ đồ chữ ký số nhằm giảm dung lượng của dữ liệu cần thiết để truyền qua mạng điều này tương đương với việc giảm thời gian truyền tin qua mạng

Hàm băm thường kết hợp với chữ ký số để tạo một loại chữ ký điện tử vừa an toàn vừa dùng để kiểm tra tính toàn vẹn của thông điệp

1.5.4.1 Sơ đồ tạo chữ ký số và xác thực chữ ký số sử dụng hàm băm

Hình 1.6 Sơ đồ tạo chữ ký số

15

1.5.4.2 Sơ đồ xác thực chữ ký số

Hình 1.7 Sơ đồ xác thực chữ ký số

Chữ ký số

1.6.1 Giới thiệu chung về chữ ký số

Chữ ký số (digital signature) là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ mật mã khóa công khai, theo đó người có thông điệp dữ liệu ban đầu và khóa công khai của người ký có thể xác thực được chữ ký số vừa ký

Chữ ký số là một chuỗi số liên quan đến thông điệp và do vậy khi thông điệp thay đổi thì chữ ký số cũng thay đổi, chính vì vậy chữ ký số đảm bảo tính toàn vẹn của thông điệp, chữ ký số không thể sử dụng lại và cũng không thể giả mạo được Hai thuộc tính không thể làm giả được và xác thực không chối bỏ của người ký chữ ký số là nguyên tắc để đảm bảo an toàn cho các hệ thống sử dụng chữ ký số trong truyền tải thông tin và

dữ liệu qua mạng

+ So sánh chữ ký số với chữ ký thông thường:

- Về tài liệu được ký: Chữ ký thông thường tài liệu thường được đặt ở cuối văn bản để xác định nguồn gốc hay trách nhiệm của người ký với tài liệu đó Còn chữ ký số không gắn theo kiểu vật lý vào thông điệp nên không nhìn thấy trên văn bản được

- Về kiểm tra chữ ký: Để kiểm tra chữ ký thông thường ta so sánh chữ ký này với chữ ký mẫu xem có giống nhau không vì vậy chữ ký thông thường là không an toàn

- Tính an toàn: Bảo đảm tính toàn vẹn của dữ liệu được truyền đi

- Không thể dùng lại: Một chữ ký chỉ đƣợc sử dụng cho một tài liệu

- Không thể phủ nhận: Bảo đảm được tính không thể phủ nhận của thông tin đã

ký

- Tính hiệu quả: Thông tin được ký và xác minh nhanh chóng, dễ dàng

1.6.3 Phân loại chữ ký số

Có 2 loại chữ ký số: chữ ký kèm thông điệp và chữ ký khôi phục thông điệp

Chữ ký kèm thông điệp là kỹ thuật ký mà chữ ký số là một phần đính vào thông điệp gửi đi, cả hai đều là đầu vào cho quá trình xác minh tính đúng đắn của một chữ ký

Chữ ký khôi phục thông điệp là loại chữ ký mà từ nó có thể phục hồi lại thông điệp ban đầu trước khi ký, thông điệp ban đầu này không phải là đầu vào cho quá trình xác minh chữ ký

1.6.4 Yêu cầu của chữ ký số

- Chữ ký chỉ chứa thông tin của người gửi để tránh giả mạo

- Chứa thông điệp được ký

- Dễ dàng tạo và xác nhận chữ ký số

- Đảm bảo bí mật, khó giả mạo chữ ký

1.6.5 Ứng dụng của chữ ký số

- Bạn có thể sử dụng chữ ký số trong các giao dịch thư điện tử, ký vào các email

để các đối tác, khách hàng của bạn biết có phải bạn là người gửi thư không

- Bạn có thể sử dụng dụng chữ ký số này để đầu tư chứng khoán trực tuyến, mua bán hàng trực tuyến, thanh toán online, chuyển tiền trực tuyến mà không sợ bị mất cắp tiền như với đối với các tài khoản VISA, Master

- Bạn có thể sử dụng với các ứng dụng chính phủ điện tử, các cơ quan nhà nước trong tương lai sẽ làm việc với nhân dân hoàn toàn trực tuyến và một cửa Khi cần làm

- Bạn có thể sử dụng chữ ký số với các ứng dụng quản lý của doanh nghiệp của mình với mức độ tin cậy, bảo mật và xác thực cao hơn rất nhiều

- Bạn cũng có thể dụng chữ ký số để ký hợp đồng với các đối tác làm ăn hoàn toàn trực tuyến trên mạng mà không cần gặp nhau, chỉ cần ký vào file hợp đồng và gửi qua email

1.6.6 Vai trò của chữ ký số

- Công nghệ thông tin phát triển, việc trao đổi thông tin đòi hỏi yêu cầu nhanh gọn, chính xác, an toàn Trao đổi thông tin theo phong cách truyền thống mang tính chất thủ công làm giảm tốc độ, sự chính xác của thông tin, gây ra sự chậm trễ và thiếu chính xác trong trao đổi

- Ứng dụng chữ ký điện tử giúp doanh nghiệp tiết kiệm thời gian, chi phí hành chính Hoạt động giao dịch điện tử cũng được nâng tầm đẩy mạnh

- Không mất thời gian đi lại, chờ đợi

- Không phải in ấn các hồ sơ

- Công tác ký kết các văn bản ký điện tử có thể diễn ra ở bất kỳ đâu, bất kỳ thời gian nào

- Công tác chuyển tài liệu, hồ sơ đã ký cho đối tác, khách hàng, cơ quan quản lý… diễn ra tiện lợi và nhanh chóng

- Đây là yếu tố đã nảy sinh sự phát triển mạnh mẽ của công nghệ thông tin đặc biệt là trong lĩnh vực công nghệ mã hóa Ở các nước phát triển, mạng máy tính đang được sử dụng rộng rãi trong các lĩnh vực của xã hội đặc biệt trong các cơ quan Nhà nước điều này làm cho việc bảo mật, an toàn thông tin được đặt lên hàng đầu Mã hóa bảo mật các thông tin số dùng chữ ký xác thực Email trao đổi thông tin, thông tin số các doanh nghiệp, kiểm soát truy cập, các đơn đặt hàng, mua sắm trực tuyến … mà vai trò chủ yếu là chữ ký điện tử

18

TIỂU KẾT CHƯƠNG 1

Mạng Internet đã phổ cập đến từng cán bộ công chức và đến từng cơ quan và có thể cung cấp rất nhiều dịch vụ cho các hoạt động gửi/nhận Email và truyền tải văn bản trong công tác quản lý nhà nước Tuy nhiên, quá trình gửi/nhận Email và truyền tải văn bản qua mạng có một yêu cầu thiết yếu là thông tin phải được bảo vệ một cách an toàn, bảo mật

Sự ra đời của hệ mật mã đã phần nào giải quyết được các yêu cầu trên Hai hệ mật mã được nghiên cứu ở phần trên là hệ mật mã đối xứng (hệ mật khóa bí mật) và hệ mật mã bất đối xứng (hay hệ mật mã khóa công khai)

Trong chương 1: Nhóm đã nghiên cứu, tìm hiểu và trình bày về các vấn đề bảo mật và an toàn thông tin, các nguyên tắc bảo vệ an toàn cho hệ thống mạng máy tính, yêu cầu của công tác quản trị mạng, an toàn thông tin bằng hệ mật mã, giới thiệu tổng quan về hệ mật mã, các tính chất, phân loại hệ mật mã Từ đó đi sâu vào nghiên cứu hai

hệ mật là hệ mật đối xứng (hệ mật khóa bí mật) và hệ mật bất đối xứng (hệ mật khóa công khai) trong đó các phương pháp mã hóa phổ biến được sử dụng là hệ mật RSA, hàm băm và chữ ký số

là giao thức cho phép các thông tin được gửi từ máy tính này tới máy tính khác thông qua một loạt các máy trung gian hoặc các mạng riêng biệt Chính điều này đã tạo cơ hội cho những ''kẻ trộm''công nghệ cao có thể thực hiện các hành động phi pháp Các thông tin truyền trên mạng đều có thể bị nghe trộm, giả mạo, mạo danh Các biện pháp bảo mật hiện nay chẳng hạn như dùng mật khẩu đều không đảm bảo vì có thể bị nghe trộm hoặc bị dò ra nhanh chóng

Do vậy để bảo mật, các thông tin truyền trên Internet ngày nay đều có xu hướng được mã hoá Trước khi truyền qua mạng Internet, người gửi mã hoá thông tin, trong quá trình truyền, dù có ''chặn'' được các thông tin này, kẻ trộm cũng không thể đọc được

vì bị mã hoá Khi tới đích, người nhận sẽ sử dụng một công cụ đặc biệt để giải mã Phương pháp mã hoá và bảo mật phổ biến nhất đang được thế giới áp dụng là chứng chỉ

số (Digital Certificate)

Chứng chỉ số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân, một

tổ chức,….nó gắn định danh của đối tượng đó với một khóa công khai, giống như bằng lái xe, hộ chiếu hoặc chứng minh thư của một người

2.1.2 Cơ quan chứng thực chữ ký số (Certificate Authority-CA)

Trong các hệ thống quản lý chứng thực số đang hoạt động trên thế giới, Cơ quan chứng thực chữ ký số (Certificate authority - CA) là một tổ chức chuyên đưa ra và quản

lý các nội dung xác thực bảo mật trên một mạng máy tính, cùng các khoá công khai để

mã hoá thông tin Là một phần trong Cơ sở hạ tầng khoá công khai (public key infrastructure - PKI), một CA sẽ kiểm soát cùng với một nhà quản lý đăng ký (Registration authority - RA) để xác minh thông tin về một chứng chỉ số mà người yêu cầu xác thực đưa ra Nếu RA xác nhận thông tin của người cần xác thực, CA sau đó sẽ đưa ra một chứng chỉ

Tuỳ thuộc vào việc triển khai cơ sở hạ tầng khoá công khai, chứng chỉ số sẽ bao gồm khoá công khai của người sở hữu, thời hạn hết hiệu lực của chứng chỉ, tên chủ sở hữu và các thông tin khác về chủ khoá công khai

- Khóa công khai (Public key) của người được cấp: Trong khái niệm mật mã, khoá công khai là một giá trị được nhà cung cấp chứng thực chữ ký số đưa ra như một khoá mã hoá, kết hợp cùng với một khoá cá nhân duy nhất được tạo ra từ khoá công khai để tạo thành cặp mã khoá bất đối xứng

- Nguyên lý hoạt động của khoá công khai trong chứng chỉ số là hai bên giao dịch phải biết khoá công khai của nhau Bên A muốn gửi cho bên B thì phải dùng khoá công khai của bên B để mã hoá thông tin Bên B sẽ dùng khoá cá nhân của mình để mở thông tin đó ra Tính bất đối xứng trong mã hoá thể hiện ở chỗ khoá cá nhân có thể giải mã dữ liệu được mã hoá bằng khoá công khai (trong cùng một cặp khoá duy nhất mà một cá nhân sở hữu), nhưng khoá công khai không có khả năng giải mã lại thông tin kể cả những thông tin do chính khoá công khai đó đã mã hoá Đây là đặc tính cần thiết vì có thể nhiều cá nhân B, C, D cùng thực hiện giao dịch và có khoá công khai của A nhưng

C, D không thể giải mã được các thông tin mà B gửi cho A dù cho đã chặn bắt được các gói thông tin gửi đi trên mạng

-Chữ ký số của CA cấp chứng chỉ: Còn gọi là chứng chỉ gốc Đây chính là sự xác nhận của CA, bảo đảm tính chính xác và hợp lệ của chứng chỉ Muốn kiểm tra một chứng chỉ số, trước tiên phải kiểm tra chữ ký số của CA có hợp lệ hay không Trên chứng minh thư, đây chính là con dấu xác nhận của Công An Tỉnh hoặc Thành phố mà mình trực thuộc Về nguyên tắc, khi kiểm tra chứng minh thư, đúng ra đầu tiên phải là xem con dấu này, để biết chứng minh thư có bị làm giả hay không

2.1.4 Cấu trúc của một chứng chỉ số

- Serial Number: Số nhận dạng của chứng chỉ số

- Subject: Thông tin nhận dạng của chứng chỉ số

- Signature Algorithm: Giải thuật tạo chữ ký

- Signature Hash Algorithm: Giải thuật tạo chuỗi băm cho tạo chữ ký

- Signature: Chữ ký của người/tổ chức cấp chứng chỉ

- Issuer: Người/tổ chức có thẩm quyền cấp chứng chỉ

21

- Valid-From: Ngày bắt đầu có hiệu lực của chứng chỉ

- Valid-To: Ngày hết hạn sử dụng chứng chỉ

- Key-Usage: Mục đích sử dụng khóa (chữ ký số, mã hóa )

- Public key: Khóa công khai của chủ thể

- Thumbprint Algorithm: Giải thuật hash sử dụng để tao chuỗi băm cho khóa công khai

- Thumbprint: Chuỗi băm tạo ra từ khóa công khai

2.1.5 Phân loại chứng chỉ số

Chứng chỉ được phân thành nhiều loại, một trong số đó là:

- Chứng chỉ khóa công khai X.509

- Chứng chỉ khóa công đơn giản (SPKC)

- Chứng chỉ Pretty Good Privacy (PGP)

- Chứng chỉ thuộc tính (Attribute Certificates - AC)

Mỗi loại chứng chỉ này đều có cấu trúc định dạng riêng Chứng chỉ khóa công khai X.509 được sử dụng phổ biến trong hầu hết các hệ thống PKI Thuật ngữ chứng chỉ

“certificate” được sử dụng chính là chứng chỉ khóa công khai X.509 v3

2.1.6 Thời hạn tồn tại và việc thu hồi chứng chỉ số

Trong hệ thống kỹ thuật, một cặp khóa bất kì có thời gian tồn tại bị giới hạn nhằm kiểm soát các cơ hội thám mã và hạn chế thời gian có thể xảy ra tấn công Vì vậy, một chứng chỉ có thời gian hợp lệ được quy định trước, có ngày giờ bắt đầu và ngày giờ kết thúc Sau khi chứng chỉ số hết hạn, sự ràng buộc giữa khóa công khai và chủ thể của chứng chỉ có thể không còn hợp lệ nữa và chứng chỉ không còn được tin cậy Một người

sử dụng khóa công khai không nên dùng chứng chỉ đã hết hạn, trừ khi muốn kiểm tra chữ ký trên tài liệu cũ Thời hạn kết thúc của chứng chỉ còn dùng để bảo vệ những người dùng chống lại việc tiếp tục sử dụng khóa công khai – thông qua chứng chỉ đã được phát hành trước khi thoả hiệp Có nhiều trường hợp, trong đó một CA muốn huỷ bỏ hoặc thu hồi chứng chỉ trước khi thời hạn sử dụng của nó kết thúc Chứng chỉ bị thu hồi trong trường hợp phát hiện hoặc nghi ngờ có thỏa hiệp khóa riêng tương ứng

22

Hình 2.1 Chu trình sống của một chứng chỉ số

2.1.7 Vai trò của chứng chỉ số

2.1.7.1 Mã hóa-Bảo mật

Khi người gửi đã mã hoá thông tin bằng khoá công khai của bạn, chắc chắn chỉ

có bạn mới giải mã được thông tin để đọc Trong quá trình truyền qua Internet, dù có đọc được các gói tin đã mã hoá này, kẻ xấu cũng không thể biết được trong gói tin có thông tin gì Đây là một tính năng rất quan trọng, giúp người sử dụng hoàn toàn tin cậy

về khả năng bảo mật thông tin

Những dữ liệu cần bảo mật cao, chẳng hạn giao dịch liên ngân hàng, ngân hàng điện tử, thanh toán bằng thẻ tín dụng, đều cần phải có chứng chỉ số để đảm bảo an toàn

Xác thực là một tính năng rất quan trọng trong việc thực hiện các giao dịch điện

tử qua mạng, cũng như các thủ tục hành chính với cơ quan pháp quyền Các hoạt động này cần phải xác minh rõ người gửi thông tin để sử dụng tư cách pháp nhân

Đây chính là nền tảng của một Chính phủ điện tử, môi trường cho phép công dân

có thể giao tiếp, thực hiện các công việc hành chính với cơ quan nhà nước hoàn toàn

Địa chỉ mail của bạn, tên domain đều có thể bị kẻ xấu làm giả để đánh lừa người nhận để lây lan virus, ăn cắp thông tin quan trọng Chứng chỉ số thì không thể làm giả, nên việc trao đổi thông tin có kèm chứng chỉ số luôn đảm bảo an toàn

2.1.7.4 Chống chối cãi nguồn gốc

Khi sử dụng chứng chỉ số, bạn phải chịu trách nhiệm hoàn toàn về những thông tin mà chứng chỉ số đi kèm Trong trường hợp người gửi chối cãi, phủ nhận một thông tin nào đó không phải do mình gửi (chẳng hạn một đơn đặt hàng qua mạng), chứng chỉ

số mà người nhận có được sẽ là bằng chứng khẳng định người gửi là tác giả của thông tin đó Trong trường hợp chối cãi, CA cung cấp chứng chỉ số cho hai bên sẽ chịu trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tin được gửi

2.1.7.5 Bảo mật Website

Khi Website của bạn sử dụng cho mục đích thương mại điện tử hay cho những mục đích quan trọng khác, những thông tin trao đổi giữa bạn và khách hàng của bạn có thể bị lộ

Để tránh nguy cơ này, bạn có thể dùng chứng chỉ số SSL trên Server để bảo mật cho Website của mình Chứng chỉ số SSL Server sẽ cho phép bạn lập cấu hình Website của mình theo giao thức bảo mật SSL (Secure Sockets Layer)

Loại chứng chỉ số này sẽ cung cấp cho Website của bạn một định danh duy nhất nhằm đảm bảo với khách hàng của bạn về tính xác thực và tính hợp pháp của Website Chứng chỉ số SSL Server cũng cho phép trao đổi thông tin an toàn và bảo mật giữa Website với khách hàng và nhân viên

Công nghệ SSL có các tính năng nổi bật như:

-Thực hiện mua bán bằng thẻ tín dụng

- Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng

- Đảm bảo hacker không thể tìm được mật khẩu

24

2.1.7.6 Bảo mật VPN

VPN (Virtual Private Network) là mạng riêng ảo, mạng mở rộng của mạng nội

bộ dùng thông qua mạng công cộng như Internet kết nối các máy tính lại với nhau Tính bảo mật của VPN chính là cách đóng gói thông tin của gói IP khi truyền qua Internet Thông tin được giải mã tại đích đến bằng cách loại bỏ gói IP để lấy ra thông tin ban đầu

Công nghệ VPN đang phát triển nhanh chóng và trở nên phổ biến được sử dụng ngày nay là SSL (Secure Sockets Layer) VPN Giao thức SSL VPN còn bị hạn chế nhiều nhưng cũng đem lại một lợi thế về bảo mật cao

SSL VPN hoạt động ở tầng session layer (tầng giao dịch) - cao hơn IPsec trong

mô hình OSI nên SSL VPN có khả năng điều khiển truy cập theo khối tốt hơn Để xác thực server SSL VPN sử dụng chứng chỉ số (digital certificates) để đảm bảo khả năng bảo mật cao nhất Mặc dù các phương pháp khác cũng có thể áp dụng nhƣng sử dụng chứng chỉ số vẫn được ưa chuộng và đảm bảo độ tin cậy

Như vậy, thông qua chứng chỉ số bạn sẽ đảm bảo tính hợp pháp cũng như nguồn gốc xuất xứ của sản phẩm Hơn nữa người dùng sản phẩm có thể xác thực được bạn là nhà cung cấp, phát hiện được sự thay đổi của chương trình (do vô tình hỏng hay do virus phá, bị crack và bán lậu )

Tổng quan về cơ sở hạ tầng khóa công khai

2.2.1 Khái niệm

Hạ tầng khóa công khai (Public Key Infrastructure – PKI) là hệ thống vừa mang tính tiêu chuẩn, vừa mang tính công nghệ cho phép người dùng trong một mạng công cộng không bảo mật (như Internet), có thể trao đổi thông tin một cách an toàn thông qua việc sử dụng một cặp khóa bí mật và công khai được chứng nhận bởi một nhà cung cấp chứng nhận số CA (Certificate Authority) được tín nhiệm Nền tảng khóa công khai cung cấp một chứng chỉ số, dùng để xác minh một cá nhân hoặc một tổ chức, và các dịch vụ danh mục có thể lưu trữ và khi cần có thể thu hồi các chứng chỉ số

25

PKI cho phép những người tham gia xác thực lẫn nhau Mục tiêu chính của PKI

là cung cấp khóa công khai và xác định mối liên hệ giữa khóa và định danh người dùng

2.2.2 Thành phần của PKI

- Thực thể cuối (End Entity – EE): Đối tượng sử dụng chứng nhận có thể là một

tổ chức, một người cụ thể hay một dịch vụ trên máy chủ, …

- Tổ chức chứng nhận (Certificate Authority – CA): Có nhiệm vụ phát hành, quản

lý và hủy bỏ các chứng thư số

-Chứng nhận khoá công khai (Public Key Certificate):

+ Một chứng nhận khóa công khai thể hiện hay chứng nhận sự ràng buộc của danh tính và khóa công khai của thực thể cuối

+ Chứng nhận khóa công khai chứa đủ thông tin cho những thực thể khác có thể xác nhận hoặc kiểm tra danh tính của chủ nhận chứng nhận đó

-Tổ chức đăng kí chứng nhận (Registration Authority – RA): RA là trung tâm đăng ký thông tin, mặc dù CA có thể thực hiện những chức năng đăng ký cần thiết, nhưng đôi khi cần có thực thể độc lập thực hiện chức năng này RA được sử dụng để giảm tải công việc của CA

-Kho lưu trữ chứng nhận (Certificate Repository – CR):

+ Hệ thống lưu trữ chứng thư và danh sách các chứng thư bị thu hồi

+ Cung cấp cơ chế phân phối chứng thư và danh sách thu hồi chứng thư (CRLs - Certificate Revocatio Lists)

2.2.3 Chức năng của PKI

2.2.3.1 Chứng thực (Certification)

Chứng thực là quá trình ràng buộc khóa công khai với định danh của thực thể Đây là quá trình quan trọng nhất của hệ thống PKI CA là một thực thể PKI thực hiện chức năng chủ yếu là chứng thực Hiện nay hai phương pháp chứng thực được sử dụng:

- Tổ chức chứng thực (CA): Thực hiện việc tạo ra cặp khóa công khai/khóa bí mật và tạo ra chứng chỉ cho phần khóa công khai của cặp khóa

- Người sử dụng tự tạo cặp khóa công khai và đưa khóa công khai cho CA: Để

CA tạo chứng chỉ cho khóa công đó Chứng chỉ đảm bảo tính toàn vẹn của khóa công khai và các thông tin gắn cùng

26

2.2.3.2 Thẩm tra (Validation)

Đây là quá trình kiểm tra tính hiệu lực của chứng chỉ, xác định xem chứng chỉ đư

a ra sử dụng đúng mục đích, thích hợp hay không Quá trình thẩm tra bao gồm một số bước sau:

- Kiểm tra xem CA ký số lên chứng chỉ có được tin tưởng hay không (chính là

xử lý theo đường dẫn chứng chỉ)

- Kiểm tra tính toàn vẹn bằng cách kiểm tra chữ ký số của CA

- Xác định xem thời gian còn hiệu lực hay không của chứng chỉ

- Xác định xem chứng chỉ đã bị thu hồi hay chưa

- Xác định xem có mục đích, chính sách, giới hạn của chứng chỉ đang được sử dụng hay không (bằng cách kiểm tra các trường mở rộng của chứng chỉ như mở rộng chính sách hay mở rộng việc sử dụng khóa)

Ngoài hai chức năng chính của PKI là chứng thực và thẩm tra thi PKI còn có các chức năng khác như: Đăng ký, khởi tạo ban đầu, khôi phục cặp khóa, tạo khóa, hạn sử dụng và cập nhật khóa, xâm hại khóa, thu hồi, công bố và gửi thông báo thu hồi chứng chỉ, xác thực chéo

2.2.4 Dịch vụ CA trên môi trường windows server 2008

2.2.4.1 Các dịch vụ của chứng chỉ CA

Dịch vụ chứng chỉ CA gồm các loại sau:

Chữ ký điện tử: Là các thông tin đi kèm theo dữ liệu như văn bản, hình ảnh, video

… nhằm mục đích xác định các thông tin của người chủ các dữ liệu đó nhưng không hỗ trợ bảo vệ dữ liệu khi truyền

Chứng thực Internet: Chứng thực Client và Server được thiết lập kết nối trên Internet thường sử dụng PKI vì vậy Server có thể nhận dạng máy Client kết nối đến nó

và Client cũng xác nhận đã kết nối đúng Server

Bảo mật IP (IP Security - IPSec): Mở rộng IPSec cho phép mã hóa và truyền chữ

ký số, nhằm ngăn chặn dữ liệu bị lộ khi truyền trên mạng

Bảo mật Email: Giao thức Email trên Internet truyền thông điệp Email ở chế độ bản rõ, vì vậy nội dung mail dễ dàng đọc khi được truyền Với PKI, người gửi có thể bảo mật Email khi truyền bằng cách mã hóa nội dung mail dùng khóa công khai của người nhận Ngoài ra người gửi có thể ký lên thông điệp bằng khóa riêng của mình

27

TIỂU KẾT CHƯƠNG 2

Trong chương 2 nhóm đã tập trung nghiên cứu và tìm hiểu về chứng chỉ số và tổng quan về hạ tầng khóa công khai Trong đó đi sâu vào tìm hiểu và phân tích về khái niệm chứng chỉ số, các thành phần của chứng chỉ số, cấu trúc của một chứng chỉ số, các loại chứng chỉ số đang có; ngoài ra nhóm còn tìm hiểu về thời hạn tồn tại và việc thu hồi chứng chỉ số và vai trò của chứng chỉ số đối với bảo mật và an toàn thông tin Bên cạnh đó nhóm còn tìm hiểu và trình bày về khái niệm, các thành phần, chức năng của một cơ sở hạ tầng khóa công khai PKI, các dịch vụ CA Qua đó cho chúng ta thêm các kiến thức cần thiết về chứng chỉ số và tổng quan cơ sở hạ tầng khóa công khai PKI Từ

đó làm tiền đề để nghiên cứu, phân tích trong Chương 3: Bảo mật và an toàn thông tin của cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh Và đề xuất giải pháp, xây dựng hệ thống bảo mật, an toàn thông tin trong hệ thống thư điện tử trong Chương 4: Giải pháp bảo mật cho hệ thống thư điện tử trong cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh

28

CHƯƠNG 3 BẢO MẬT VÀ AN TOÀN THÔNG TIN CỦA CƠ QUAN NHÀ

NƯỚC TRÊN ĐỊA BÀN TỈNH BẮC NINH

Khảo sát tình hình thực tế sử dụng mạng cục bộ của tòa nhà chính công an tỉnh Bắc Ninh gồm 6 tầng với số lượng cán bộ làm việc khoảng 300 người Các phòng ban làm việc bao gồm: Phòng Tham Mưu, phòng Cảnh sát Hình Sự, phòng An Ninh Kinh

Tế, phòng Cảnh Sát Giao Thông, Tổ Chức Cán Bộ, Phòng Hậu Cần.Mỗi phòng gồm 50 cán bộ làm việc

Thực trạng về sử dụng mạng cục bộ cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh

3.1.1 Các thiết bị tin học được sử dụng

Máy Server: Sử dụng hệ điều hành Microsoft Windows Server 2012

Máy Client: Sử dụng hệ điều hành Microsoft Windows 7

Máy tính trạm: 200 máy cũ

Router: Sử dụng Router Cisco CISCO877-SEC-K9 4 Port

Switch: Sử dụng Switch 32 port D-Link Pro 1000SGD - 16000

3.1.2 Các phần mềm bảo mật được sử dụng

Có nhiều giải pháp bảo mật cho mạng máy tính được đưa ra như dùng các phần mềm, chương trình để bảo vệ tài nguyên, tạo những tài khoản truy xuất mạng đòi hỏi có mật khẩu…nhưng những giải pháp đó chỉ bảo vệ một phần mạng máy tính mà thôi

Firewall là công cụ để chống sự xâm nhập mạng bất hợp pháp ngay từ bên ngoài mạng nhưng còn nhiều hạn chế

Chống virus: Việc triển khai công tác đảm bảo an ninh thông tin và mạng được triển khai đơn lẻ, không thành hệ thống Việc sử dụng các phần mềm diệt vi rút bản quyền còn ít và cũng triển khai đơn lẻ

29

3.1.3 Mô hình hệ thống mạng ở Công an tỉnh Bắc Ninh

Hình 3.1 Sơ đồ hệ thống mạng công an tỉnh Bắc Ninh

- Vùng Server: 1 máy File Server chứa dữ liệu phân quyền thư mục và chia sẻ tài nguyên các phòng ban, 1 máy Web Server cung cấp dịch vụ web, 1 máy Mail Server để gửi mail, 1 máy Server Database quản trị cơ sở dữ liệu

- Vùng bao gồm các máy client của các phòng ban đều được kết nối vào domain, switch và router để kết nối và định tuyến, máy in cung cấp dịch vụ, và có một Firewall

để kiểm soát dữ liệu ra vào

3.1.4 Quản lý mạng

- Quản lý Web Server:

Web Server chứa trang Cổng thông tin điện tử của Công an tỉnh Bắc Ninh và truy cập được bằng Internet Cấu hình mọi người trong mạng nội bộ và ngoài mạng Internet truy cập vào web của Công an tỉnh Bắc Ninh với cơ chế bảo mật SSL nhằm đảm bảo an toàn thông tin tài khoản

Một số máy trong mỗi tầng không được truy cập vào mạng Internet, đảm bảo yêu cầu cơ quan

-Triển khai Web:

Trang Cổng thông tin điện tử của tỉnh (https://congan.bacninh.gov.vn) dùng để giới thiệu và phổ biến các văn bản, điều lệ của Công an tỉnh, danh sách phòng ban, danh

30

bạ số điện thoại cũng như cung cấp các thông tin cho báo chí truyền thông và nhân dân được biết

- Quản lý Mail Server:

Mail Server giúp cho các cán bộ có được một địa chỉ mail riêng của cơ quan, giúp cho người quản trị mạng có thể dễ dàng quản lý được việc gửi và nhận mail của cán bộ Cán bộ có thể gửi mail cho máy khác trong hệ thống hoặc gửi mail ra ngoài Internet

- Lưu trữ dữ liệu trên File Server:

Trên máy tính của mỗi cán bộ phòng ban có thư mục riêng chứa dữ liệu và được lưu trữ trên File Server, máy tính client có sẵn ổ đĩa chứa dữ liệu thuộc File chứa dữ liệu mỗi khi đăng nhập vào hệ thống

3.1.5 Công nghệ và lựa chọn thiết bị sử dụng

- Tận dụng các công nghệ phổ biến của Microsoft kết hợp thêm các dịch vụ khác

- Router, Switch đáp ứng được nhu cầu sử dụng Dùng 1 Switch L3 24 port để làm Switch tổng, nối với Router và đấu nối các Switch các tầng Các Switch còn lại là Switch L2 32 port để đáp ứng số lượng máy, nhu cầu thêm mới sau này

- Tổng băng thông yêu cầu cho cả một tầng liên lạc nội bộ là 8MB/s nên dùng chuẩn mạng cục bộ 802 - Ethernet sử dụng giao thức CSMA/CD để truyền tải và chia

sẻ dữ liệu trên một đường truyền chung

- Có tốc độ truyền tải dữ liệu là 10 MB/s

3.1.6 Thực trạng an toàn thông tin trên địa bàn tỉnh

Thời gian qua, tỉnh Bắc Ninh đã ghi nhận nhiều cảnh báo về mất ATTT của hệ thống mạng CNTT Các hình thức tấn công mạng thường xuyên thay đổi với thủ đoạn tinh vi, phức tạp như: trinh sát hệ thống, do thám mật khẩu, khai thác lỗ hổng nhằm chiếm quyền điều khiển của các máy chủ trong hệ thống, bí mật mở kết nối tới máy chủ điều khiển ở nước ngoài để chuyển dữ liệu đã đánh cắp

Trong năm 2017, hệ thống giám sát ATTT của Ban Cơ yếu Chính phủ đã phát hiện gần 122.000 sự kiện liên quan đến dò quét, truy cập từ xa vào hệ thống mạng CNTT của tỉnh Bắc Ninh Nguồn gốc các cuộc tấn công xuất phát từ nhiều quốc gia, trong đó

có các địa chỉ IP tại Mỹ, Hà Lan, Trung Quốc… đăng nhập thành công vào hệ thống thư điện tử của tỉnh; cảnh báo tấn công khai thác lỗ hổng web, giao thức SNMP, giao thức

sử dụng cho các máy chủ gửi email…; phát hiện các máy tính người dùng có các kết nối

ra ngoài tới các địa chỉ IP không đáng tin cậy

31

Nguy cơ các máy tính kết nối Internet bị nhiễm mã độc là rất cao, người dùng rất

dễ bị đánh cắp thông tin hoặc mã hóa các dữ liệu trên máy tính Một số vụ tấn công, lây nhiễm mã độc xảy ra đã được ghi nhận trên địa bàn tỉnh như vụ tấn công của mã độc WannaCry tới Sở Khoa học và Công nghệ (tháng 5/2017), vụ tấn công mã độc đào tiền

ảo lây lan thông qua ứng dụng Facebook Messenger (tháng 12/2017),…

Kiến trúc và hoạt động của hệ thống thư điện tử trên địa bàn tỉnh

3.2.1 Tài khoản thư điện tử

Muốn gửi thư điện tử người gửi cần phải có một account trên một máy chủ thư Một máy chủ có thể có một hoặc nhiều account Mỗi account đều được mang một tên khác nhau (User ID) Mỗi account đều có một hộp thư riêng (mailbox) cho account đó Thông thường thì tên của hộp thư sẽ giống như tên của account Có một số nơi cấp phát account thư điện tử miễn phí cho người dùng như gmail.com hoặc yahoo.com Ngoài

ra, còn có nhiều nhà cung cấp dịch vụ thư điện tử có tính phí hàng tháng

3.2.2 Đường đi của thư điện tử

Mỗi một bức thư truyền thống phải đi tới các bưu cục khác nhau trên đường đến với người dùng Tương tự thư điện tử cũng chuyển từ máy máy chủ thư điện tử này tới máy chủ thư điện tử khác trên Internet Khi thư được chuyển đến đích thì nó được chứa tại hộp thư điện tử tại máy chủ thư điện tử cho đến khi người nhận nhận được thư Toàn

bộ quá trình xử lý chỉ xảy ra trong thời gian ngắn, do đó nó cho phép nhanh chóng liên lạc với mọi người trên toàn thế giới một cánh nhanh chóng tại bất cứ thời điểm

3.2.3 Các thành phần hệ thống trong thư điện tử

Mail User Agent (MUA): Là chương trình mà người dùng sử dụng để đọc và gửi e-mail Nó đọc e-mail được gửi vào mailbox của người dùng và gửi e-mail tới MTA để gửi đến nơi nhận Các MUA thường được sử dụng trên Linux là: elm, pine, mutt Trên Windows là các Microsoft Outlook, Outlook Express

Mail Tranfer Agent (MTA): hoạt động cơ bản của nó giống như một “mail router”

nó nhận e-mail từ các MUA hay từ một MTA khác, dựa vào thông tin trong phần header của e-mail nó sẽ đưa ra xử lý phù hợp với e-mail đó, sau đó e-mail sẽ được gửi đến một MDA phù hợp để gửi e-mail đó Các MTA thường được sử dụng trên Linux là: sendmail, postfix, qmail Trên Windows có Mdaemon, Exchange

Mail Delivery Agent (MDA): nhận e-mail từ MTA và thực hiện việc gửi e-mail đến đích thực sự Qua những khái niệm trên bạn có thể nhận thấy MTA là phần quan trọng nhất trong một hệ thống thư điện tử