TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TPHCM
KHOA CÔNG NGHỆ THÔNG TIN
───────  ───────
ĐỒ ÁN MÔN HỌC
BẢO MẬT THÔNG TIN
ĐỀ TÀI: GIAO THỨC BẢO MẬT SSL
Giáo viên hướng dẫn: Văn Thiên Hoàng
Lớp : 10LDTHM1
Nhóm thực hiện: NHÓM 1
1. Lê Trần Thanh Tùng – 1081020102
2. Nguyễn Hoài Phương – 1081020077
3. Quách Đình Thắng – 1081020094
4. Viên Ngọc Quang - 1081020084
TPHCM 05/2012
Page | 1
MỤC LỤC
Trang
CHƯƠNG I: TỔNG QUAN VỀ GIAO THỨC SSL
1.1. Khái niệm về SSL……………………………………………………………… 2
1.2. Lịch sử phát triển của SSL……………………………………………………… 3
1.3. Giới thiệu chung về giao thức SSL……………………………………………… 4
1.3.1. Khả năng ứng dụng SSL trong bảo mật thông tin 4
1.3.2. Các thuật toán mã hóa dùng trong SSL 6
1.3.2.1. Giới thiệu chung 6
1.3.2.2. Bộ mã hóa tiêu biểu sử dụng thuật toán RCA 7
1.4. Một số ứng dụng của SSL 8
1.4.1. Ứng dụng công nghệ xác thực máy chủ SSL trong giao dịch thương mại điện tử
….9
1.4.2. Ứng dụng của SSL trong chứng chỉ số, chữ ký số 11
1.4.3. Giải pháp máy ảo chuyên dụng SSL 13

3.4.2.1. Tư tạo chứng thực CA cho chính mình 49
3.4.2.2. Tạo chứng thực cho máy chủ (server) 51
3.4.2.3. Cài đặt MyCA và MyServer 53
3.5. Kết quả Demo 59
KẾT LUẬN VÀ TÀI LIỆU THAM KHẢO 63
Page | 3
CHƯƠNG I: TỔNG QUAN VỀ GIAO THỨC SSL
1.1. Khái niệm về SSL
SSL (Secure Socket Layer ) là giao thức đa mục đích được thiết kế để tạo ra các
giao tiếp giữa hai chương trình ứng dụng trên 1 cổng định trước (socket 443) nhằm mã
hoá toàn bộ thông tin đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch điện tử
như truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet.
Giao thức SSL (Secure Socket Layer) tổ hợp nhiều giải thuật mã hóa nhằm đảm
bảo quá trình trao đổi thông tin trên mạng được bảo mật. Việc mã hóa dữ liệu diễn ra một
cách trong suốt, hỗ trợ nhiều giao thức khác chạy trên nền giao thức TCP
Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi qua
rất nhiều các hệ thống độc lập mà không có bất kỳ sự bảo vệ nào với các thông tin trên
đường truyền. Không một ai kể cả người sử dụng lẫn Web server có bất kỳ sự kiểm soát
nào đối với đường đi của dữ liệu hay có thể kiểm soát được liệu có ai đó thâm nhập vào
thông tin trên đường truyền. Để bảo vệ những thông tin mật trên mạng Internet hay bất
kỳ mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch
an toàn:
Xác thực: đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia của kết
nối. Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực của người sử
dụng.
Mã hóa: đảm bảo thông tin không thể bị truy cập bởi đối tượng thứ ba. Để loại trừ
việc nghe trộm những thông tin “ nhạy cảm” khi nó được truyền qua Internet, dữ liệu
phải được mã hoá để không thể bị đọc được bởi những người khác ngoài người gửi và
người nhận.
Page | 4

là TLS (Transport Layer Security). Mặc dù là có sự thay đổi về tên nhưng TSL chỉ là một
phiên bản mới của SSL. Phiên bản TSL 1.0 tương đương với phiên bản SSL 3.1. Tuy
nhiên SSL là thuật ngữ được sử dụng rộng rãi hơn.
Hiện nay: SSL 3.2 (Tương đương TLS 1.1)
1.3. Giới thiệu chung về giao thức SSL:
1.3.1. Khả năng ứng dụng SSL trong bảo mật thông tin:
Ngày nay việc bảo mật thông tin là yếu tố quan trọng để quyết định sự sống còn
của một tổ chức, một công ty hay doanh nghiệp.Với sự phát triển nhanh chóng của công
nghệ đã mang lại nhiều tiện ích cho người dùng nhưng đồng thời cũng đặt ra một nhu cầu
hết sức cấp thiết về sự an toàn và bảo mật .Và SSL chính là giải pháp tốt nhất hiện nay
đáp ứng những nhu cầu đó và nó được coi như là “lá chắn cuối cùng” trong bảo mật
thương mại điện tử.
Việc truyền các thông tin nhạy cảm trên mạng rất không an toàn vì những vấn đề
sau:
Page | 6
• Bạn không thể luôn luôn chắc rằng bạn đang trao đổi thông tin với đúng đối tượng
cần trao đổi.
• Dữ liệu mạng có thể bị chặn ,vì vậy dữ liệu có thể bị 1 đối tượng thứ 3 khác đọc
trộm, thường được biết đến như attacker .
• Nếu attacker có thể chặn dữ liệu, attacker có thể sửa đổi dữ liệu trước khi gửi nó
đến người nhận.
Và giao thức SSL được đưa ra để có thể giải quyết các vấn đề trên. SSL không phải
là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để thực hiện các
nhiệm vụ bảo mật sau:
 Xác thực server:
 Cho phép người sử dụng xác thực được server muốn kết nối. Lúc
này, phía browser sử dụng các kỹ thuật mã hoá công khai để chắc
chắn rằng certificate và public ID của server là có giá trị và được cấp
phát bởi một CA (certificate authority) trong danh sách các CA đáng
tin cậy của client. Điều này rất quan trọng đối với người dùng.

tin, ….
Các thuật toán được sử dụng trong giao thức SSL:
• DES (Data Encryption Standard): là một thuật toán mã hoá có chiều dài khoá là
56 bit.
• 3-DES (Triple-DES): là thuật toán mã hoá có độ dài khoá gấp 3 lần độ dài khoá
trong mã hoá DES
• DSA (Digital Signature Algorithm): là một phần trong chuẩn về xác thực số
đang được được chính phủ Mỹ sử dụng.
• KEA (Key Exchange Algorithm):là một thuật toán trao đổi khoá đang được
chính phủ Mỹ sử dụng.
• MD5 (Message Digest algorithm): được phát thiển bởi Rivest.
Page | 8
• RSA: là thuật toán mã hoá công khai dùng cho cả quá trình xác thực và mã hoá dữ
liệu được Rivest, Shamir, and Adleman phát triển.
• RSA key exchange: là thuật toán trao đổi khoá dùng trong SSL dựa trên thuật
toán RSA.
• RC2 and RC4: là các thuật toán mã hoá được phát triển bởi Rivest dùng cho RSA
Data Security.
• SHA-1 (Secure Hash Algorithm): là một thuật toán băm đang được chính phủ
Mỹ sử dụng.
Các thuật toán trao đổi khoá như KEA, RSA key exchange được sử dụng để 2 bên
client và server xác lập khoá đối xứng mà họ sẽ sử dụng trong suốt phiên giao dịch SSL.
Và thuật toán được sử dụng phổ biến là RSA key exchange.
Các phiên bản SSL 2.0 và SSL 3.0 hỗ trợ cho hầu hết các bộ mã hoá. Người quản
trị có thể tuỳ chọn bộ mã hoá sẽ dùng cho cả client và server. Khi một client và server
trao đổi thông tin trong giai đoạn bắt tay (handshake), họ sẽ xác định bộ mã hoá mạnh
nhất có thể và sử dụng chúng trong phiên giao dịch SSL.
1.3.2.2. Bộ mã hóa sử dụng thuật toán phổ biến RCA:
Đây là danh sách các bộ mã hoá được hỗ trợ trong SSL mà sử dụng thuật
toán trao đổi khoá RSA và được liệt kê theo khả năng bảo mật từ mạnh đến yếu.

bộ thông tin đi/đến, được sử dụng trong giao dịch điện tử như truyền số liệu thẻ tín dụng,
mật khẩu, số bí mật cá nhân (PIN) trên Internet.
Giao thức SSL được hình thành và phát triển đầu tiên nǎm 1994 bởi nhóm nghiên cứu
Netscape dẫn dắt bởi Elgammal, và ngày nay đã trở thành chuẩn bảo mật thực hành trên
mạng Internet.
1.4.1. Ứng dụng công nghệ xác thực máy chủ ssl trong giao dịch thương
mại điện tử:
Một khách hàng làm quen với Website và truy nhập một địa chỉ URL an toàn,
được đảm bảo bằng mã số máy chủ. Điều này có thể là một mẫu đơn đặt hàng trực tuyến
thu thập những thông tin cá nhân từ khách hàng như địa chỉ, số điện thoại, số thẻ tín dụng
hoặc các thông tin thanh toán khác.
Trình duyệt của khách hàng tự động truyền cho máy chủ số phiên bản SSL của
trình duyệt đó, các cài đặt mật mã, các dữ liệu được sinh ngẫu nhiên, và những thông tin
khác mà máy chủ đó cần để giao tiếp với khách hàng sử dụng SSL.
Máy chủ trả lời, tự động truyền tới trình duyệt của người sử dụng xác nhận số của
Website cùng với số phiên bản SSL của máy chủ, các thiết lập mật mã.
Trình duyệt của người sử dụng xem xét các thông tin chứa trong xác nhận máy
chủ đó và xác nhận rằng: Xác nhận máy chủ đó có giá trị và còn trong thời hạn sử dụng;
Cơ quan chức năng xác thực CA cho máy chủ này có quyền được ký và là một cơ quan
xác thực tin cậy, xác thực của cơ quan này được liệt kê sẵn trong trình duyệt đang sử
dụng; Khoá công cộng của CA này được cài đặt sẵn trong trình duyệt đang sử dụng, xác
nhận tính hợp lệ của chữ ký điện tử của người cung cấp; Tên miền được chỉ định bằng
Page | 11
xác thực máy chủ khớp với tên miền thực của máy chủ đó. Nếu máy chủ này không được
xác thực, người sử dụng sẽ được cảnh báo rằng một kết nối được mã hoá, được xác thực
có thể không thiết lập được.
Nếu máy chủ đó được xác thực thành công, trình duyệt Web của khách hàng này
sẽ tạo ra một khoá phiên (session key) duy nhất để mã hoá tất cả các giao tiếp với
Website đó bằng việc sử dụng mã hoá không đối xứng.
Trình duyệt của người sử dụng tự mã hoá khoá phiên đó bằng khoá công cộng của

cung cấp chứng chỉ số. Một website có gắn biểu tượng "VeriSign Secured Seal" sẽ
gia tăng mức độ tin cậy từ phía khách hàng lên rất nhiều lần. Tại thị trường Việt
Nam, chúng tôi là đơn vị cung cấp các giải pháp bảo mật của VeriSign trong lĩnh
vực cung cấp chứng chỉ số - chứng thực số với khả năng mã hóa dữ liệu tốt nhất
và độ tin cậy cao nhất.
 Chứng chỉ số SSL Server sẽ cho phép bạn lập cấu hình Website của mình theo
giao thức bảo mật SSL (Secure Sockets Layer). Loại chứng chỉ số này sẽ cung cấp
cho Website của bạn một định danh duy nhất nhằm đảm bảo với khách hàng của
bạn về tính xác thực và tính hợp pháp của Website. Chứng chỉ số SSL Server cũng
cho phép trao đổi thông tin an toàn và bảo mật giữa Website với khách hàng, nhân
viên và đối tác của bạn thông qua công nghệ SSL mà nổi bật là các tính năng:
• Thực hiện mua bán bằng thẻ tín dụng
• Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng
• Đảm bảo hacker không thể dò tìm được mật khẩu
 Giao thức SSL (Secured Socket Layer) và Chứng thực số là giải pháp bảo vệ
thông tin cá nhân của người dùng trong quá trình trao đổi dữ liệu trên môi trường
Page | 13
mạng, đồng thời đảm bảo sự tin cậy của những thông tin trên website người dùng
truy cập, từ đó xóa bỏ đi rào cản về nguy cơ lộ thông tin cá nhân, giúp người dùng
yên tâm thực hiện các giao dịch trên mạng, giúp doanh nghiệp phát huy được hết
các tiềm năng của website mình
 Giải pháp chứng thực ssl của Vsign
• Trên cơ sở nghiên cứu nhu cầu của doanh nghiệp, của người sử dụng mạng,
VSign cung cấp dịch vụ chứng thực SSL cho các doanh nghiệp kinh doanh
thương mại điện tử.
o Khi đăng ký sử dụng dịch vụ chứng thực số SSL. VSign sẽ cấp cho
khách hàng một chứng chỉ số SSL. Mỗi chứng chỉ SSL chứa đựng thông
tin của duy nhất một khách hàng mà danh tính của họ đã được xác thực
và một cặp khóa bao gồm một khóa bí mật và một khóa công khai.
Khóa công khai dùng để mã hóa dữ liệu và khóa bí mật dùng để giải mã

• Ứng dụng mạng riêng ảo sử dụng SSL cho phép người dùng truy cập từ xa
vào mạng lưới của công ty bất kỳ lúc nào, SSL hỗ trợ các trình duyệt web
chuẩn như là IE, FireFox, Đối với người dùng là những văn phòng nhỏ
hoặc những người sử dụng điện thoại để truy cập vào những ứng dụng nội
bộ và chia sẽ tập tin nội bộ. Vigor2930 cho phép chúng ta thiết lập tối đa 30
phiên SSL.
 Ứng dụng mạng riêng ảo và tường lửa (VPN & Firewall)
• Cơ chế kiển soát trạng thái gói tin(SPI Firewall) có thể giúp bạn thiết lập
các chính sách cho tường lửa của bạn dễ dàng, tính năng SCM cho phép
bạn kiểm soát truy cập một cách chính xác và hiệu quả hơn với các ứng
dụng IM và P2P. Bên cạnh đó với tính năng chống tấn công từ chối dịch
Page | 15
vụ(DoS / DDoS) và lọc các nội dung của trang web nhằm giảm thiểu các
mối đe doạ từ bên trong và bên ngoài trang web.
• Với việc hỗ trợ chipset mã hoá VPN bằng phần cứng ngay trên thiết bị,
Vigor2930VS hỗ trợ tối đa 100 VPN với các giao thức cao cấp như IPSec /
PPTP / L2TP / L2TP over IPSec with AES / DES / 3DES for encryption
and MD5 / SHA-1 for authentication.
1.4.4. Ứng dụng SSL VPN dành cho ISP:
 Giải pháp SSL VPN SA 6000 SP cho phép các ISP cung cấp những giải pháp
truy cập từ xa và truy cập extranet, dịch vụ phục hồi sau thảm họa và dịch vụ
bảo mật LAN Intranet - VoIP WLAN tới các khách hàng doanh nghiệp trên
toàn cầu. Quan trọng hơn cả, đó là những giải pháp không đòi hỏi chi phí cao,
nhưng vẫn đảm bảo công nghệ bảo mật hàng đầu và tính chuyên dụng của sản
phẩm, đáp ứng nhu cầu của các doanh nghiệp vừa và nhỏ, vốn rất quan tâm tới
chi phí đầu tư.
 Khi ISP triển khai các dịch vụ SSL VPN này, những người dùng được cấp
phép của khách hàng sử dụng dịch vụ đều có quyền truy cập bảo mật tới mọi
tài nguyên mạng từ bất cứ một kết nối Internet và trình duyệt Web chuẩn nào,
như máy tính cá nhân, máy tính xách tay và các thiết bị di động. Người dùng

Hình 2.1: SSL giữa tầng ứng dụng và tầng TCP/IP
2.1.1.1. Nhiệm vụ và cấu trúc của SSL:
Những mục đích chính của việc phát triển SSL là:
• Xác thực server và client với nhau: SSL hỗ trợ sử dụng các kỹ thuật mã hoá
khoá chuẩn (mã hoá sử dụng khoá công khai) để xác thực các đối tác truyền
thông với nhau. Hầu hết các ứng dụng hiện nay xác thực các client bằng cách sử
dụng chứng chỉ số, SSL cũng có thể sử dụng phương pháp này để xác thực client.
• Đảm bảo toàn vẹn dữ liệu: trong một phiên làm việc, dữ liệu không thể bị làm
hỏng dù vô tình hay cố ý.
• Bảo vệ tính riêng tư: dữ liệu trao đổi giữa client và server phải được bảo vệ,
tránh bị đánh cắp trên đường truyền và chỉ có đúng người nhận mới có thể đọc
được các dữ liệu đó. Các dữ liệu được bảo vệ bao gồm các những dữ liệu liên quan
đến chính hoạt động giao thức (các thông tin trao đổi trong quá trình thiết lập
phiên làm việc SSL) và các dữ liệu thực trao đổi trong phiên làm việc.

Page | 18
Thực tế SSL không phải là một giao thức đơn mà là một bộ các giao thức, có thể
được chia làm 2 lớp:
1. Giao thức đảm bảo sự an toàn và toàn vẹn dữ liệu: lớp này chỉ có một giao thức là
SSL Record Protocol .
2. Các giao thức thiết kế để thiết lập kết nối SSL: lớp này gồm có 3 giao thức: SSL
Handshake Protocol, SSL ChangeCipherSpecProtocol và SSL Alert Protocol.
Hình 2.2: Các lớp giao thức SSL
SSL sử dụng các giao thức này để thực hiện các nhiệm vụ được đề cập ở trên.
• SSL Record Protocol chịu trách nhiệm mã hoá và đảm bảo toàn vẹn dữ liệu. Như
ta thấy trong hình 2.2, giao thức này còn chịu trách nhiệm đóng gói các dữ liệu của
các giao thức SSL khác tức là cũng liên quan đến các tác vụ kiểm tra dữ liệu SSL.
• Ba giao thức còn lại chịu trách nhiệm quản lý các phiên, quản lý các tham số mã
hoá và truyền các thông điệp SSL giữa client và server.
2.1.1.2. Phiên SSL và kết nối SSL:

thuật toán băm (như MD5 hay SHA-1) sử dụng để tính
Page | 20
toán MAC.Nó cũng định nghĩa các thuộc tính mã hóa như
hash-size.
Master secret Khóa mật 48-byte được chia sẻ giữa client và server.
Is resumable
Một cờ chỉ ra rằng phiên này có thể được dùng để khởi tạo
các kết nối khác hay không.
Ngoài ra còn có một số tham số khác:
Bảng 2.4 Các thành phần thông tin trạng thái nối kết SSL
Thành Phần Mô tả
Server and
client random
Các chuỗi byte được chọn bởi server và client cho mỗi nối
kết.
Server write
MAC secret
Khóa mật được sử dụng cho các hoạt động MAC trên dữ
liệu được ghi bởi server.
Client write
MAC secret
Khóa mật được sử dụng cho các hoạt động MAC trên dữ
liệu được ghi bởi client.
Server write
key
Khóa được sử dụng cho việc mã hóa dữ liệu bởi server và
giải mã bởi client
Client write
key
Khóa được sử dụng để mã khóa dữ liệu bởi client và giải

client tin tưởng.
Để chứng minh server thuộc về tổ chức mà nó khẳng định là nó đại diện,
server phải trình chứng chỉ khóa công khai của nó cho client. Nếu chứng chỉ này là
Page | 22
hợp lệ , client có thể chắc chắn về định danh của server.
Thông tin trao đổi qua lại giữa client và server cho phép chúng thỏa thuận 1
khóa bí mật chung. Ví dụ,với RSA, client dùng khóa công khai của server, có được
từ chứng chỉ khóa công khai, để mã hóa thông tin khóa bí mật. Client gửi thông tin
khóa bí mật đã được mã hóa đến server. Chỉ có server mới có thể giải mã cái
message này bởi vì quá trình giải mã phải cần đến khóa riêng của server.
2.1.2.3. Gửi dữ liệu đã mã hóa:
Bây giờ, cả client và server có thể truy cập đến khóa bí mật chung.Với mỗi
message , chúng dùng đến hàm băm mã hóa, đã được chọn trong bước thứ nhất của
tiến trình này, và chia sẻ thông tin bí mật,để tính toán 1 HMAC nối thêm vào
message. Sau đó, chúng dùng khóa bí mật và thuật toán khóa bí mật đã được đàm
phán ở bước đầu tiên của tiến trình này để mã hóa dữ liệu và HMAC an toàn. Client
và server giờ đây có thể trao đổi thông tin với nhau 1 cách an toàn với các dữ liệu đã
băm và mã hóa.
2.1.2.4. Tiến trình SSL:
Hình sau minh họa chuỗi tuần tự các message được trao đổi trong SSL
handshake. Các message mà chỉ được gửi trong 1 trường hợp nào đó được đánh dấu là
tùy chọn.
Page | 23
Hình 2.5: Các message SSL
Các message SSL được gửi theo thứ tự sau:
1) Client hello: client gửi đến server các thông tin bao gồm phiên bản SSL cao nhất
và 1 danh sách các cipher suite mà nó hỗ trợ. (TLS 1.0 được chỉ ra như là
SSL3.1).Thông tin cipher suite bao gồm các thuật toán mã hóa và kích thước khóa.
2) Server hello: server chọn ra phiên bản SSL cao nhất và cipher suite tốt nhất mà
cả client và server hỗ trợ, và gửi thông tin này về cho client.

Trích đoạn Giải pháp phòng chống và triển khai SSL

---