Bảo mật lớp mạng, vận chuyển và bảo mật email

các phương pháp bảo mật trong mạng internet hiện nay các giao thức bảo mật trong lớp mạng IPsec, lớp vận chuyển và bảy giao thức bảo mật email bài tập lớn Môn an toàn mạng viễn thông Trao đổi thông tin luôn là nhu cầu cần thiết của con người, đặc biệt là trong cuộc sống hiện đại ngày nay khi mà mạng máy tính và Internet phát triển một cách mạnh mẽ và giữ vai trò quan trọng trong mọi lĩnh vực của đời sống xã hội như: chính trị, quân sự, học tập, mua sắm, kinh doanh, … Mạng Internet mang lại rất nhiều tiện ích hữu dụng và cung cấp cho người dùng một khối lượng thông tin và dịch vụ khổng lồ. Tất cả những thông tin liên quan đến những công việc này đều được máy vi tính quản lý và truyền đi trên hệ thống mạng. Đối với những thông tin bình thường thì không ai chú ý đến, nhưng đối với những thông tin mang tính chất sống còn đối với một cá nhân hay một tổ chức thì vấn đề bảo mật thông tin là rất quan trọng và được đặt lên hàng đầu. Chính vì vậy nên rất nhiều tổ chức, cá nhân đã nghiên cứu, tìm kiếm và đưa ra rất nhiều giải pháp bảo mật thông tin. Để bảo vệ truyền thông trên mạng, có thể triển khai các giải thuật mã hóa tại lớp bất kỳ trong kiến trúc mạng. Sử dụng các giải thuật mã hóa ở các lớp khác nhau sẽ cung cấp các mức độ bảo vệ khác nhau.

BÀI TẬP LỚN Môn học: An toàn mạng viễn

thông Chủ đề: Ứng dụng của mật mã trong bảo

vi tính quản lý và truyền đi trên hệ thống mạng Đối với những thông tin bìnhthường thì không ai chú ý đến, nhưng đối với những thông tin mang tính chất sốngcòn đối với một cá nhân hay một tổ chức thì vấn đề bảo mật thông tin là rất quantrọng và được đặt lên hàng đầu Chính vì vậy nên rất nhiều tổ chức, cá nhân đãnghiên cứu, tìm kiếm và đưa ra rất nhiều giải pháp bảo mật thông tin Để bảo vệtruyền thông trên mạng, có thể triển khai các giải thuật mã hóa tại lớp bất kỳ trongkiến trúc mạng Sử dụng các giải thuật mã hóa ở các lớp khác nhau sẽ cung cấp cácmức độ bảo vệ khác nhau.

Báo cáo này được biên soạn dựa trên những kiến thức lĩnh hội được từ Môn học

An toàn mạng viễn thông, và thông qua sự tìm hiểu, nghiên cứu của các thành viên.Báo cáo của nhóm đi sâu vào trình bày Giao thức bảo mật lớp mạng, Giao thức bảomật lớp bảo mật và bảo mật Email được chia thành 3 phần riêng biệt

1 Giao thức bảo mật lớp mạng

Internet là một hệ thống thông tin toàn cầu có thể được truy nhập công cộng gồmcác mạng máy tính được liên kết với nhau Hệ thống này truyền thông tin theo kiểunối chuyển gói dữ liệu (packet switching) dựa trên một giao thức liên mạng đã đượcchuẩn hóa (giao thức IP) Hệ thống này bao gồm hàng ngàn mạng máy tính nhỏ hơncủa các doanh nghiệp, của các viện nghiên cứu và các trường đại học, của ngườidùng cá nhân và các chính phủ trên toàn cầu Mạng Internet mang lại rất nhiều tiệních hữu dụng và cung cấp cho người dùng một khối lượng thông tin và dịch vụkhổng lồ Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặttrên toàn thế giới cả về số lượng, kĩ thuật và chưa có dấu hiệu là sẽ dừng lại Sựphát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thốngInternet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiệnđại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau Hiện nay, với

sự phát triển của thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch, điềuhành được thực hiện qua mạng Internet Tuy nhiên, người dùng phải đối mặt vớihàng loạt các nguy cơ mà trong đó nguy cơ hàng đầu bị đánh cắp thông tin, thay đổithông tin truyền tải một cách có chủ đích IPSec là một trong những giải pháp được

sử dụng để bảo mật an toàn cho các dữ liệu trong quá trình truyền qua mạng

IP Security (IPSec – Internet Protocol Security) là một giao thức được chuẩn hoábởi IETF (Internet Engineering Task Force) từ năm 1998 nhằm mục đích nâng cấpcác cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên mạngbằng giao thức IP Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở đượcthiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứngthực dữ liệu giữa các thiết bị mạng

IPsec trong mô hình OSI

IPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI vìmọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP Do đó,khi một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng được bảomật bởi vì các giao tiếp đều đi qua tầng 3 (Network layer) trong mô hình OSI.IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhấttrong cả hai phiên bản IPv4 và IPv6 Đối với IPv4, việc áp dụng IPSec là một tuỳchọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc.

Kiến trúc của IPsecIPsec bao gồm các giao thức:

- Security Associations (SA) Để xác thực lẫn nhau, mỗi cặp thực thể phải thiết lậpmột liên kết bảo mật SA cung cấp các thuật toán và các thông số cần thiết để AH vàESP hoạt động SA đóng vai trò kết nối ảo để thiết lập các tham số bảo mật (thuậttoán bảo mật, khóa ) Các SA được phân biệt bởi 3 thành phần:

– SPI (Security Parameters Index): một chuỗi 32-bit gán cho SA

– Địa chỉ IP đích: đích là các hệ thống đầu cuối, firewall hoặc router

– Giao thức bảo mật: AH hoặc ESP

Giao thức bảo mật

Địa chỉ IP đích SPI

Các SA trong IPSec được thực hiện theo một trong 2 chế độ:

– Transport Mode: dùng khi mạng nội bộ tin tưởng được, được thực

hiện ở các hệ thống đầu cuối Chế độ này chỉ mã hóa tải dữ liệu (payload) mà không mã hóa tiêu đề (Header) của gói tin Và các Routertrên đường truyền biết địa chỉ thực của nguồn và đích

– Tunnel Mode: dùng khi mạng nội bộ không tin tưởng được, được thực

hiện ở các cổng bảo mật, mã hóa cả tải dữ liệu lẫn tiêu đề Địa chỉnguồn và đích được dấu đi, thay vào đó là địa chỉ nguồn và đích củaRouter

- Authentication Headers (AH): bảo đảm toàn vẹn, xác thực nguồn gốc dữ liệu vàchống phát lại AH trong Transport Mode xác thực tải và header AH trong TunnelMode xác thực toàn bộ gói tin gốc và header

- Encapsulating Securtiry Payloads (ESP): chức năng gần giống như AH, nhưngNội dung của tải hoặc toàn bộ gói IP được mã hóa và đóng gói (encapsulated) giữacác trường ESP header và ESP trailer và chúng ta có thể tùy chọn xác thực hoặckhông xác thực dữ liệu

ESP ở chế độ Transport Mode mã hóa và tùy chọn tải của gói tin IP gốc, ESP

ở chế độ Tunnel Mode mã hóa và tùy chọn toàn bộ gói tin IP gốc

- Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thiIPSec IPSec không phải là một công nghệ riêng biệt mà là sự tổ hợp của nhiều cơchế, giao thức và kỹ thuật khác nhau, trong đó mỗi giao thức, cơ chế đều có nhiềuchế độ hoạt động khác nhau Việc xác định một tập các chế độ cần thiết để triểnkhai IPSec trong một tình huống cụ thể là chức năng của miền thực thi Xét về mặtứng dụng, IPSec thực chất là một giao thức hoạt động song song với IP nhằm cungcấp 2 chức năng cơ bản mà IP nguyên thuỷ chưa có, đó là mã hoá và xác thực gói

dữ liệu Một cách khái quát có thể xem IPSec là một tổ hợp gồm hai thành phần:

 Giao thức đóng gói, gồm AH và ESP: bảo về truyền thông IP, dựa vào SA(khóa, địa chỉ, các thuật toán mật mã)

 Giao thức trao đổi khoá IKE (Internet Key Exchange): thiết lập các liên kếtbảo mật cho IPSec bằng cách sử dụng thỏa thuận khóa phiên (sử dụng thuậttoán Diffie-Hellman), thỏa thuận các tham số bảo mật giữa các bên trước khibắt đầu phiên liên lạc, cập nhật các tham số bảo mật (nếu cần) trong phiên,xoá bỏ các SA và khóa sau khi kết thúc phiên Ưu điểm của IKE là có thểdùng với bất kỳ cơ chế an ninh nào và hiệu quả cao

- Thuật toán mật mã (Encryption Algorithm): Định nghĩa các thuật toán mã hoá vàgiải mã sử dụng trong IPSec IPSec chủ yếu dựa vào các thuật toán mã hoá đốixứng

- Thuật toán xác thực (Authentication Algorithm): Định nghĩa các thuật toán xácthực thông tin sử dụng trong AH và ESP.

- Quản lý khoá (Key Management): Mô tả các cơ chế quản lý và trao đổi khoátrong IPSec

Vấn đề bảo mật cho lớp mạng của hệ thống TCP/IP từ khi ra đời được giao thứcIPsec giải quyết tốt và được ứng dụng đến hiện nay cho thấy được rất nhiều ưuđiểm từ giao thức này:

 Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến của một mạng riêng, thì tính năng an toàn của IPSec có thể áp dụng cho toàn bộ vào

ra mạng riêng đó mà các thành phần khác không cần phải xử lý thêm các công việc liên quan đến bảo mật

 IPSec được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong suốt đối với các lớp này Do vậy không cần phải thay đổi phần mềm hay cấu hình lại các dịch vụ khi IPSec được triển khai

 IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phức tạp

mà người dùng phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet

Nhưng hạn chế của giao thức này là

 Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, điều này làm cho thông lượng hiệu dụng của mạng giảm xuống Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa

 IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ cácdạng lưu lượng khác

 Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu

 Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số quốc gia

2 Giao thức bảo mật lớp vận chuyển

Lớp vận chuyển có chức năng truyền tải, hỗ trợ truyền thông giữa các thiết bị quacác mạng Với sự bùng nổ của Internet, việc truyền nhận không dây và truyềnthông thông qua trình duyệt Web đang là xu hướng và phát triển hơn nữa Có thểnói Web là một trong những ứng dụng quan trọng nhất của Internet Đi cùng với đóthì việc đảm bảo an ninh, bảo mật cho thông tin truyền tải là điều tất yếu Các nguy

cơ an ninh đối với Web được thể hiện ở bảng dưới:

Lớp vận chuyển cung cấp các dịch vụ vận chuyển hướng kết nối và phi kết nối, vậnchuyển tin cậy và không tin cậy và chú ý đảm bảo an ninh Các yêu cầu an ninhcủa lớp này phải đảm bảo được tính bảo mật, tính toàn vẹn/xác thực, quản lý khóa,chống phủ nhận và yêu cầu cấp quyền

Vì vậy, các giao thức được nghiên cứu đưa vào sử dụng để đảm bảo an ninh lớpvận chuyển được chia thành 2 nhóm:

-Nhóm 1: Dịch vụ hướng kết nối và phi kết nối bao gồm các giao thứcSecurity Protocol 4 (SP4) – NSA, NIST

- Nhóm 2: Dịch vụ hướng kết nối bao gồm các giao thức Encrypted SessionManager (ESM) – AT&T Bell Labs, Secure Socket Layer (SSL) và TransportLayer Security (TLS)

Truyền thông trên Web là truyền thông giữa các trình duyệt Web với các máy chủWeb, ban đầu giao thức của Web là HTTP tồn tại nhiều vấn đề về bảo mật Khi bạnkết nối với một trang web thông qua giao thức HTTP, trình duyệt sẽ tìm địa chỉ IPtương ứng với trang web đó và kết nối với địa chỉ IP này Trình duyệt sẽ mặc nhiêncoi rằng bạn đang kết nối với đúng máy chủ cần kết nối Dữ liệu gửi qua HTTPcũng không hề được mã hóa, thay vào đó chỉ sử dụng dạng ký tự văn bản bìnhthường, do đó những kẻ nghe/xem lén trên mạng Wi-Fi của bạn, nhà mạng mà bạnđang sử dụng và cả những cơ quan tình báo như NSA đều có thể dò tìm ra cáctrang web mà bạn đã ghé thăm cũng như các thông tin bạn đã gửi/nhận Như vậy,những kẻ nghe lén sẽ dễ dàng lấy cắp được mật khẩu, số thẻ tín dụng và các thôngtin khác mà bạn gửi qua HTTP Lỗ hổng an ninh của HTTP đó là giao thức nàykhông được mã hóa Và HTTPS đã giải quyết vấn đề này bằng cách thêm các giaothức an ninh lớp vận chuyển SSL hoặc TLS

 Bộ giao thức SSL:

 Giới thiệu:

Tiêu chuẩn Secure Socket Layer (SSL) – Giao thức an toàn tầng giao vận là mộttiêu chuẩn ban đầu do Netscape Communications phát triển ngay sau khi Trungtâm Quốc gia Ứng dụng siêu máy tính (National Center for SupercomputingApplications - NCSA) phát hành Mosaic 1.0, trình duyệt web phổ biến đầu tiênvào năm 1993 Tám tháng sau, vào giữa năm 1994, Netscape Communications đãhoàn thành thiết kế cho SSL phiên bản 1 (SSL 1.0) Phiên bản này chỉ lưu hành nội

bộ và chưa bao giờ được công bố ra bên ngoài vì nó đã có một số sai sót Ví dụ, nókhông cung cấp bảo vệ toàn vẹn dữ liệu Kết hợp với việc sử dụng thuật toán mãhóa dòng RC4 để mã hóa dữ liệu, điều này cho phép một tin tặc thay đổi thôngđiệp gốc có thể dự đoán được Ngoài ra, SSL 1.0 không sử dụng số thứ tự, vì vậy

nó dễ bị tổn thương để chống lại các cuộc tấn công Sau đó, các nhà thiết kế củaSSL 1.0 thêm số thứ tự và bít kiểm tra, nhưng SSL 1.0 vẫn sử dụng thuật toán kiểmtra lỗi dư thừa theo chu kỳ (Cyclic Redundancy Check - CRC) thay vì sử dụng mộthàm băm mã hóa mạnh mẽ Đến cuối năm 1994, Netscape Communications đãphát triển SSL phiên bản 2 (SSL 2.0) và công bố chính thức vào tháng 2/1995

nhưng chứa nhiều lỗi nghiêm trọng nên dẫn đến phải phát triển SSL phiên bản 3(SSL 3.0) SSL 3.0 do tổ chức Internet Engineering Task Force (IETF) - Nhómchuyên trách kỹ thuật Internet công bố vào tháng 11/1996 tại RFC 6101 nhưng chỉ

ở dạng bản nháp và chưa bao giờ được phát hành chính thức Các phiên bản tiếptheo của SSL cũng như TLS sẽ dựa trên SSL 3.0 để phát triển

Nhận biết trang Web có SSL ta có thể để ý ở URL bắt đầu bằng HTTPS chứ khôngphải là HTTP, có biểu tượng khóa ở thanh công cụ phía dưới của trình duyệt

SSL là một giao thức có phân lớp Tại mỗi lớp, các thông điệp có thể có các trườngnhư trường độ dài, mô tả và nội dung SSL có thể phân mảnh gói dữ liệu ban đầuthành nhiều khối dữ liệu nhỏ hơn có thể quản lý, tùy chọn nén dữ liệu, áp dụng mộthàm băm Mã xác thực thông điệp (Message Authentication Code - MAC), mã hóa

và truyền dữ liệu đi Dữ liệu nhận về sẽ được giải mã, xác nhận, giải nén và tổnghợp lại, sau đó được chuyển tới các thành phần khác ở mức cao hơn

Các mục tiêu của SSL 3.0 theo thứ tự ưu tiên là:

- An ninh mã hóa: SSL nên được sử dụng để thiết lập một kết nối an toàngiữa hai bên

- Khả năng liên thông: Các nhà phát triển phần mềm độc lập có thể pháttriển ứng dụng sử dụng SSL 3.0 có thể trao đổi các tham số mã hóa mà không cầnhiểu hết mã nguồn của người khác.Không phải tất cả các trường hợp có thể kết nốithành công (ngay cả trong cùng lớp ứng dụng) Ví dụ, nếu máy chủ hỗ trợ thiết bịphần cứng cụ thể và máy khách không có quyền truy cập thiết bị phần cứng đó thìkết nối sẽ không thành công.

- Khả năng mở rộng: SSL nhằm tạo ra một khung cho phép phương phápkhóa công khai và mã hóa số lượng lớn mới tạo ra có thể kết hợp với nhau khi cầnthiết Điều này cũng sẽ thực hiện hai mục tiêu khác: tránh tạo ra một giao thức mới(rủi ro vì có thể có điểm yếu mới) và tránh phải xây dựng toàn bộ một thư viện bảomật mới

- Hiệu quả tương đối: Việc mã hóa có xu hướng sử dụng tài nguyên CPUcao, đặc biệt là quá trình trao đổi khóa công khai Vì lý do này, SSL đã kết hợp mộtthủ tục lưu trữ bộ nhớ đệm theo phiên tùy chọn để giảm số lượng kết nối cần đượcthiết lập từ đầu Ngoài ra, SSL cũng xem xét thực hiện giảm hoạt động mạng

• Các dịch vụ kết nối toàn vẹn (không phục hồi)

SSL cung cấp dịch vụ kết nối an ninh có ba đặc tính cơ bản:

- Kết nối bí mật Mã hóa được sử dụng sau khi thiết lập kết nối để xác định mộtkhóa bí mật Mã hóa đối xứng được sử dụng để mã hóa dữ liệu (ví dụ các tiêuchuẩn mã hóa: Data Encryption Standard - DES, 3DES – Triple Data EncryptionStandard, RC4)

- Định danh của điểm kết nối có thể được xác thực bằng cách sử dụng mã hóa bấtđối xứng hoặc khóa công khai (ví dụ như Rivest-Shamir-Adleman - RSA, DigitalSignature Standard - DSS)

- Kết nối đáng tin cậy Thông điệp vận chuyển thông báo bao gồm kiểm tra tínhtoàn vẹn thông điệp sử dụng một MAC, hàm băm an toàn được sử dụng để tínhtoán MAC ví dụ SHA, MD5

Mặc dù thực tế giao thức SSL sử dụng mật mã khóa công khai nhưng nó khôngcung cấp dịch vụ chống chối bỏ, không chống chối bỏ cho bằng chứng về nguồngốc cũng như không chống chối bỏ cho bằng chứng đã truyền tin Điều này tráingược hẳn với giao thức an toàn truyền siêu văn bản (Secure Hypertext TransferProtocol, S-HTTP) và ký số ngôn ngữ đánh dấu mở rộng (Extensible MarkupLanguage Signature- XML Signature) Như tên gọi của nó, giao thức SSL địnhhướng theo cửa giao tiếp mạng, có nghĩa là tất cả hoặc không có dữ liệu gửi hoặcnhận nào được mã hóa bảo vệ từ một cửa giao tiếp mạng theo cùng một cách.

SSL được xem như một tầng trung gian tốt nhất giữa tầng giao vận và tầng ứngdụng trong mô hình TCP/IP SSL có hai chức năng chính sau:

- Thứ nhất là thiết lập một kênh kết nối an toàn giữa các điểm giao tiếp (ví dụ, xácthực và bảo mật)

- Thứ hai, SSL sử dụng kết nối này để truyền tải dữ liệu của giao thức ở tầng caohơn từ nơi gửi đến nơi nhận một cách an toàn Do đó, nó chia dữ liệu thành cácphần nhỏ hơn và xử lý từng phần dữ liệu đã chia đó, mỗi phần có thể được nén, xácthực với một MAC, mã hóa, thêm vào trước với một tiêu đề và được truyền đếnnơi nhận Mỗi phần dữ liệu được xử lý và chuẩn bị theo cách này được gọi là mộtbản ghi SSL

- Về phía người nhận, các bản ghi SSL phải được giải mã, xác nhận (sử dụng MACcủa mình), giải nén, và tập hợp lại, trước khi dữ liệu có thể được gửi đến các tầngcao hơn tương ứng, thường là tầng ứng dụng

Vị trí của giao thức SSL được minh họa trong hình Nó bao gồm hai lớp con vàmột số giao thức thành phần:

- Lớp thấp hơn gọi là Lớp bản ghi (Record), bao gồm Giao thức bản ghi SSL (SSLRecord Protocol), nằm trên tầng giao vận, một số giao thức trong tầng giao vậnnhư Giao thức điều khiển truyền vận (TCP), Giao thức truyền vận không tin cậy(UDP)

- Lớp cao hơn gọi là Lớp thiết lập (Handshake Layer) nằm trên lớp chứa Giao thứcbản ghi SSL bao gồm bốn giao thức:

• Giao thức thiết lập SSL (SSL Handshake Protocol) là giao thức cốt lõi của SSL,

nó cho phép các điểm giao tiếp xác thực lẫn nhau và thoả thuận cách thức mã hóa

và phương pháp nén Cách thức mã hóa được sử dụng để mã hóa bảo vệ dữ liệu vềtính xác thực, tính toàn vẹn và tính bí mật, trong khi đó phương pháp nén là tùychọn để nén dữ liệu

• Giao thức đặc tả mã hóa thay đổi SSL (SSL Change Cipher Spec Protocol) chophép các điểm giao tiếp thông báo thay đổi cách thức mã hóa Trong khi Giao thứcthiết lập SSL được sử dụng để thỏa thuận các tham số bảo mật, thì Giao thức đặc tả

mã hóa thay đổi SSL được sử dụng để đặt các tham số vào đúng vị trí và làm chúnghoạt động có hiệu quả

• Giao thức cảnh báo SSL (SSL Alert Protocol) cho phép các điểm giao tiếp báohiệu các vấn đề có thể xảy ra và trao đổi thông điệp cảnh báo tương ứng

• Giao thức dữ liệu ứng dụng SSL (SSL Application Data Protocol) được sử dụngcho chức năng thứ hai của SSL đề cập ở trên (ví dụ truyền tải an toàn của dữ liệuứng dụng) Giao thức này là thành phần hoạt động chính thực tế của SSL: nó lấy

dữ liệu từ tầng cao hơn, thường là tầng ứng dụng và chuyển cho Giao thức bản ghiSSL để bảo vệ mã hóa và bảo đảm an toàn việc truyền dẫn

 Các trạng thái phiên làm việc và kết nối của SSL

- Một phiên làm việc của SSL có trạng thái Đây là nhiệm vụ của Giao thức thiết lập SSL để điều phối các trạng thái của máy khách và máy chủ, do đó cho phép giao thức quản lý cơ chế làm việc của mỗi máy để hoạt động thống nhất mặc dù hành động không diễn ra đồng thời

- Có hai trạng thái làm việc, một là trạng thái hoạt động hiện tại (trong quá trình thiết lập giao thức), hai là trạng thái chờ Bên cạnh đó, cũng phân biệt các trạng thái đọc và ghi để duy trì cơ chế làm việc Khi máy khách hay máy chủ nhận một thông báo đặc tả thay đổi mã hóa, nó sao chép trạng thái chờ đọc vào trạng thái đọchiện tại Khi máy khách hay máy chủ gửi một thông báo đặc tả thay đổi mã hóa, nósao chép trạng thái chờ ghi vào trạng thái ghi hiện tại Khi quá trình thỏa thuận

thiết lập hoàn thành, máy khách và máy chủ trao đổi các thông điệp đặc tả thay đổi

mã hóa và bắt đầu giao tiếp bằng cách sử dụng những đặc tả mã hóa đã thỏa thuận trước đó

- Một phiên làm việc SSL có thể bao gồm nhiều kết nối an toàn, bên cạnh đó, các bên tham gia có thể có nhiều phiên làm việc khác nhau đồng thời

- Một trạng thái phiên làm việc bao gồm các tham số sau đây:

• Định danh phiên làm việc (session identifier): Là một byte bất kỳ có thứ tự được

chọn bởi máy chủ để xác định một trạng thái phiên làm việc đang hoạt động hoặc

có thể khôi phục lại trạng thái phiên làm việc hiện tại

• Chứng thư của thành phần tham gia (peer certificate): X509.v3, chứng thư của

thành phần tham gia, tham số này có thể bỏ trống

• Phương pháp nén (compression method): Thuật toán sử dụng để nén dữ liệu trước

khi mã hóa

• Đặc tả mã hóa (cipher spec): Xác định thuật toán mã hóa dữ liệu lớn (ví dụ như

DES ) và một thuật toán MAC (ví dụ MD5 hay SHA) Nó cũng định nghĩa các

thuộc tính mã hóa, ví dụ kích thước băm (hash_size).

• Mã bí mật chính (master secret): Một thông điệp bí mật có kích thước 48 byte

được chia sẻ giữa máy khách và máy chủ

• Có thể khôi phục (is resumable): Một chỉ báo phiên làm việc có thể được sử dụng

để khởi tạo các kết nối mới

- Trạng thái kết nối bao gồm các thành phần sau:

• Số thứ tự máy chủ và máy khách ngẫu nhiên (server and client random): Là một

byte sắp thứ tự được chọn bởi máy chủ và máy khách trong từng phiên làm việc

• Máy chủ ghi mã MAC bí mật (server write MAC secret): Mã bí mật được máy

chủ ghi ra trong quá trình thực hiện MAC

• Máy khách ghi mã MAC bí mật (client write MAC secret): Mã bí mật được máy

khách ghi ra trong quá trình thực hiện MAC

• Khóa máy chủ ghi (server write key): Khóa mã được sử dụng để mã hóa dữ liệu

bởi máy chủ và giải mã của máy khách