If you're seeing this message, it means we're having trouble loading external resources on our website.

Nếu bạn đang sử dụng bộ lọc web, vui lòng kiểm tra lại xem bộ lọc có chặn hai tên miền *.kastatic.org*.kasandbox.org hay không.

Nội dung chính

Giao thức bảo mật tầng giao vận (TLS)

Máy tính gửi các gói dữ liệu trên khắp mạng Internet. Các gói dữ liệu này giống như những con chữ trong một phong thư và những người không liên quan có thể dễ dàng đọc được dữ liệu bên trong đó. Nếu dữ liệu được gửi là những thông tin công khai như một bài báo thì đó không phải là vấn đề lớn. Tuy nhiên, nếu dữ liệu là mật khẩu, số thẻ tín dụng hoặc email riêng tư thì việc để lộ thông tin sẽ rất nguy hiểm.
Giao thức bảo mật tầng giao vận (Transport Layer Security - TLS) bổ sung thêm một tầng bảo mật lên trên giao thức truyền tải TCP/IP. TLS sử dụng cả mã hóa đối xứngmã hóa khóa công khai để gửi dữ liệu riêng tư một cách an toàn và thêm các tính năng bảo mật bổ sung như xác minh danh tính và phát hiện tin nhắn giả mạo.
TLS bổ sung thêm các bước bảo mật trong quá trình gửi dữ liệu bằng TCP/IP, do đó làm tăng
trong giao tiếp Internet. Tuy nhiên, độ trễ này là không đáng kể so với lợi ích bảo mật mà TLS mang lại.
(Lưu ý rằng TLS là giao thức kế nhiệm của giao thức SSL, vậy nên các thuật ngữ TLS và SSL thường được sử dụng thay thế cho nhau.)

Quy trình truyền gói tin

Hãy cùng tìm hiểu quá trình gửi dữ liệu an toàn bằng TLS từ máy tính này sang máy tính khác. Chúng ta gọi máy tính gửi dữ liệu là máy khách và máy nhận dữ liệu là máy chủ.

Quá trình bắt tay trong giao thức TCP

Vì TLS được xây dựng trên giao thức TCP/IP nên trước tiên, máy khách phải hoàn tất Quá trình bắt tay 3 bước TCP với máy chủ.
Sơ đồ gồm hai máy tính với các mũi tên ở giữa. Máy tính phía bên phải là là máy chủ được gán địa chỉ IP của khanacademy.org. Bên trên mũi tên đi từ máy tính xách tay đến máy chủ là một ô vuông với dòng chữ "ClientHello, ProtocolVersion: TLS 1.3, CipherSuites: TLS_RSA_WITH_RC4_128_SHA".
  • Mũi tên đi từ máy tính xách tay đến máy chủ có nhãn "SYN".
  • Mũi tên đi từ máy chủ đến máy tính xách tay có nhãn "ACK SYN".
  • Mũi tên đi từ máy tính xách tay đến máy chủ có nhãn "ACK".

Khởi tạo TLS

Máy khách phải thông báo cho máy chủ rằng máy khách muốn thiết lập một kết nối TLS chứ không phải kết nối thông thường không bảo mật. Vì vậy, máy khách sẽ gửi kèm một dòng tin nhắn mô tả phiên bản giao thức TLS và các kỹ thuật mã hóa mà máy khách muốn sử dụng.
Sơ đồ hai máy tính với các mũi tên ở giữa. Máy tính ở bên trái là một máy tính hiển thị màn hình đăng nhập của khanacademy.org. Máy tính bên phải là máy chủ được gán địa chỉ IP của khanacademy.org. Bên trên một mũi tên đi từ máy tính đến máy chủ là một ô vuông với dòng chữ "ClientHello, ProtocolVersion: TLS 1.3, CipherSuites: TLS_RSA_WITH_RC4_128_SHA".

Máy chủ xác nhận giao thức

Nếu máy chủ không hỗ trợ các công nghệ mà máy khách yêu cầu, máy khách sẽ hủy bỏ kết nối. Điều này có thể xảy ra nếu máy khách đời mới cố gắng kết nối với một máy chủ đời cũ hơn.
Trong trường hợp máy chủ hỗ trợ phiên bản giao thức TLS và các tùy chọn khác mà máy khách yêu cầu, máy chủ sẽ phản hồi với một thông báo xác nhận, kèm theo một chứng thư số chứa khóa công khai của máy chủ.
Sơ đồ gồm hai máy tính với các mũi tên ở giữa. Máy tính ở bên trái là một máy tính hiển thị màn hình đăng nhập của khanacademy.org. Máy tính bên phải là máy chủ được gán địa chỉ IP của khanacademy.org. Bên trên mũi tên đi từ máy chủ đến máy tính xách tay là một ô vuông với dòng chữ "ClientHello, ProtocolVersion: TLS 1.3, CipherSuites: TLS_RSA_WITH_RC4_128_SHA".

Xác minh chứng thư

Chứng thư số của máy chủ là cách máy chủ xác nhận danh tính của mình, cho thấy máy chủ này chính là máy chủ mà máy khách muốn kết nối. Nếu máy khách không tin chứng thư đó hợp lệ, máy khách sẽ hủy bỏ kết nối vì máy khách không muốn gửi dữ liệu riêng tư đến kẻ mạo danh.
Ngược lại, nếu máy khách có thể xác minh chứng thư, máy khách sẽ tiếp tục chuyển sang bước tiếp theo.
Sơ đồ máy khách xác minh chứng thư. Một máy tính với hình bong bóng thể hiện suy nghĩ của nó hiện ra với dòng chữ "Chứng chỉ = khanacademy.org?".

Tạo khóa chung

Đến bước này, máy khách đã biết khóa công khai của máy chủ, vậy về mặt lý thuyết, máy khách có thể sử dụng phương pháp mã hóa khóa công khai để mã hóa dữ liệu bằng khóa công khai của máy chủ. Sau đó, máy chủ có thể giải mã dữ liệu bằng khóa riêng tư tương ứng của nó.
Tuy nhiên, mã hóa khóa công khai mất nhiều thời gian hơn mã hóa đối xứng do sử dụng nhiều các thuật toán phức tạp hơn. Vì vậy, nếu có thể, các máy tính sẽ ưu tiên dùng mã hóa đối xứng để tiết kiệm thời gian.
Trong thực tế, sử dụng mã hóa đối xứng là hoàn toàn khả thi! Các máy tính trước tiên sẽ sử dụng phương pháp mã hóa khóa công khai để tạo riêng một khóa chung và sau đó, chúng có thể sử dụng khóa chung này để mã hóa đối xứng các tin nhắn sau này.
Quá trình trên sẽ bắt đầu như sau. Máy khách gửi một thông điệp đến máy chủ có chứa khóa dự bị, khóa dự bị này đã được mã hóa bằng khóa công khai của máy chủ. Máy khách tạo ra khóa chung dựa trên khóa dự bị đó và lưu trữ khóa chung cục bộ (vì gửi khóa dự bị sẽ an toàn hơn là gửi trực tiếp khóa chung chính thức).
Máy khách cũng sẽ gửi thông điệp "Finished" (Hoàn tất) chứa nội dung được mã hóa bởi khóa chung.
Sơ đồ gồm hai máy tính với các mũi tên ở giữa. Máy tính ở bên trái là một máy tính hiển thị màn hình đăng nhập của khanacademy.org. Máy tính bên phải là máy chủ được gán địa chỉ IP của khanacademy.org. Bên trên một mũi tên đi từ máy tính đến máy chủ là một ô vuông với dòng chữ "ClientKeyExchange (PreMasterSecret: c3ac534fd919a0e92b966795e), ChangeCipherSpec, Finished (21c124d28a548559f0f8abd4b)".

Máy chủ xác minh khóa chung

Máy chủ nhận được khóa dự bị và tương tự như máy khách, máy chủ có thể tạo ra khóa chung dựa trên khóa dự bị. Sau đó, máy chủ dùng khóa chung này để giải mã thông điệp "Finished" (Hoàn tất). Nếu việc giải mã thất bại, máy chủ sẽ hủy kết nối.
Khi máy chủ thành công giải mã thông điệp từ máy khách bằng khóa chung, máy chủ sẽ gửi thông báo xác nhận cùng với thông điệp "Finished" (Hoàn tất) kèm theo nội dung đã được mã hóa.
Sơ đồ gồm hai máy tính với các mũi tên ở giữa. Máy tính ở bên trái là một máy tính hiển thị màn hình đăng nhập cho khanacademy.org. Máy tính bên phải là máy chủ được gán địa chỉ IP của khanacademy.org. Bên trên một mũi tên đi từ máy tính đến máy chủ là một ô vuông với dòng chữ "ChangeCipherSpec, Finished (c49fe482d338760807c3c278f)".

Gửi dữ liệu an toàn

Cuối cùng, máy khách gửi dữ liệu riêng tư một cách an toàn đến máy chủ, bằng cách sử dụng phương pháp mã hóa đối xứng với khóa chung đó.
Sơ đồ gồm hai máy tính với các mũi tên ở giữa. Máy tính ở bên trái là một máy tính hiển thị màn hình đăng nhập cho khanacademy.org. Máy tính bên phải là máy chủ được gán địa chỉ IP của khanacademy.org. Bên trên một mũi tên đi từ máy tính đến máy chủ là một ô vuông với một dòng dữ liệu đã được mã hóa
Thông thường, một máy khách cần gửi dữ liệu đến máy chủ nhiều lần giống như khi một người dùng điền thông tin vào các biểu mẫu trên nhiều trang của một trang web. Trong trường hợp đó, các máy tính có thể sử dụng quy trình rút gọn để thiết lập phiên làm việc bảo mật.
Bài tập vận dụng
Để thiết lập kết nối an toàn thông qua TLS, cả máy khách và máy chủ đều phải trải qua rất nhiều bước.
Hãy chọn các bước và điền theo đúng trình tự trong phần dưới đây:
  1. Máy khách và máy chủ hoàn thiện quá trình bắt tay trong giao thức TCP
  2. Máy khách gửi dữ liệu đã mã hóa bằng khóa chung

TLS ở mọi nơi

TLS được sử dụng cho nhiều hình thức trao đổi thông tin an toàn trên mạng Internet, ví dụ như gửi email hay tải tệp tin bảo mật. Trong đó, giao thức này được ứng dụng nhiều nhất để bảo mật quá trình duyệt web (HTTPS).
TLS cung cấp một lớp bảo mật lên trên TCP/IP, nhờ sử dụng cả khóa công khai và phương pháp mã hóa đối xứng. TLS đang ngày càng trở nên thiết yếu trong việc bảo mật dữ liệu riêng tư khi được truyền tải qua Internet.

🙋🏽🙋🏻‍♀️🙋🏿‍♂️Bạn có câu hỏi nào về chủ đề này không? Chúng tôi rất sẵn sàng hỗ trợ bạn — hãy để lại câu hỏi ở mục câu hỏi phía dưới nhé!

Tham gia cuộc thảo luận?

Chưa có bài đăng nào.
Bạn có hiểu Tiếng Anh không? Bấm vào đây để thấy thêm các thảo luận trên trang Khan Academy Tiếng Anh.