Řešení Infineon Security Platform
Ověření klienta
Až donedávna používaly počítačové sítě ke správě uživatelů, jejich oprávnění a k řízení přístupů centralizovanou databázi účtů. Tento způsob je jednoduchý a účinný u malých sítí. Ale v současnosti, kdy jsou zcela běžné rozsáhlé sítě s tisíci uživatelů, je čím dál těžší spravovat takové centralizované řízení. Problémy spojené s tímto systémem sahají od snahy ověřit účet v databázi umístěné na Internetu až po spravování dlouhých seznamů uživatelů. Navíc jsou díky rozšiřování Internetu počítačové sítě mnohem náchylnější k útokům z vnějších zdrojů.
Používání certifikátů
Certifikáty veřejných klíčů nabízejí řešení, díky kterému je spravování velkého počtu uživatelů v rozsáhlých sítích mnohem jednodušší a zároveň se snižuje riziko útoku na uživatelská jména a hesla. Tyto certifikáty lze distribuovat mezi mnoho uživatelů, mohou je vydávat celé řady vydavatelů a jejich ověřování probíhá bez nutnosti odkazovat na nějakou centralizovanou databázi.
Certifikáty můžete používat k zabezpečené komunikaci a k ověřování uživatele mezi klienty a servery na webu. Certifikáty umožňují klientům zjistit identitu serveru, protože server předloží ověřovací certifikát serveru obsahující jeho adresu. Pokud se připojíte k webu, jehož certifikát serveru vydala důvěryhodná autorita, tak si můžete být jisti, že tento server je skutečně provozován osobou nebo organizací uvedenou v certifikátu. Podobným způsobem umožňují certifikáty serverům zjistit vaši identitu. Jakmile se připojíte k webu, může si být server, který obdrží váš certifikát klienta, jist vaší identitou. Certifikát, který se používá k ověření serveru, se nazývá certifikát serveru a proces vlastního ověřování identity serveru se nazývá ověřování serveru. Podobně certifikát určený k ověření identity klienta se nazývá certifikát klienta a proces ověřování klienta se nazývá ověřování klienta.
Pokud chce například webový server omezit přístup k informacím nebo službám na určité uživatele nebo klienty, vyžádá si při navázání zabezpečeného připojení (např. SSL) certifikát klienta.
Zatímco ověřování serveru zajišťuje bezpečnost přenosu dat, ověřování klienta zvyšuje úroveň zabezpečení těchto online transakcí.
Mapování certifikátů do uživatelských účtů
Technologie veřejných klíčů nabídla řešení mnoha bezpečnostních problémů velkých sítí. Certifikáty můžete použít ke zjištění identity určité osoby a ke zkontrolování její pravosti bez nutnosti použít rozsáhlé databáze uživatelů a seznamy uživatelských účtů a jejich přístupových oprávnění.
Stávající operační systémy a nástroje pro správu jsou ale vybaveny pouze pro práci s uživatelskými účty a nikoli s certifikáty. Nejjednodušším řešením pro zachování výhod jak certifikátů, tak uživatelských účtů, je vytvořit spojení, neboli mapování, mezi certifikátem a uživatelským účtem. Tak může operační systém i nadále používat uživatelské účty a rozsáhlejší systém a uživatelé mohou používat certifikáty.
V rámci tohoto modelu je certifikát vydaný určitému uživateli mapován do jeho uživatelského účtu v síti. Jakmile uživatel předloží svůj certifikát, podívá se systém na mapování a zjistí, který účet by měl být přihlášen.
V této příručce naleznete několik přístupů k tomuto tématu. Popisuje způsob, jak můžete připravit služby IIS a Active Directory na ověřování klientů a používání ověřování klientů pomocí aplikace Internet Explorer.
Mapování certifikátů a ověřování klientů je popsáno také pro rozhraní PKCS #11 aplikace Mozilla Firefox.
©Infineon Technologies AG