Infineon Security Platform Solution
Autenticación del cliente
Hasta hace poco, las redes de sistemas informáticos utilizaban una base de datos de cuentas centralizada para administrar los usuarios, sus privilegios y sus controles de acceso. Esta técnica es sencilla y eficaz para redes pequeñas. Sin embargo, en el panorama actual, donde las redes grandes con miles de usuarios están a la orden del día, esta forma de control centralizado resulta difícil de administrar. Los problemas de este sistema van desde la comprobación de una cuenta en una base de datos ubicada en Internet hasta la administración de una lista interminable de usuarios. Además, la aparición de Internet ha causado que las redes de sistemas informáticos sean más propensas a sufrir ataques de entidades externas.
Uso de certificados
Los certificados con clave pública ofrecen una solución que facilita en gran modo la administración de grandes números de usuarios en redes extensas, al mismo tiempo que reduce el riesgo de ataques de Id. o contraseña. Estos certificados pueden distribuirse ampliamente, pueden tener varios emisores y pueden comprobarse sin necesidad de consultar una base de datos centralizada.
Los certificados pueden utilizarse para obtener una autenticación de usuarios y unas comunicaciones seguras entre clientes y servidores en el Web. Los certificados permiten a los clientes establecer la identidad de un servidor, ya que el servidor presenta un certificado de autenticación de servidor que revela su origen. Si se conecta a un sitio Web que tiene un certificado de servidor emitido por una entidad emisora de certificados de confianza, puede estar seguro de que quien administra el servidor es realmente la persona u organización que se identifica mediante el certificado. De forma parecida, los certificados permiten a los servidores determinar la identidad de los usuarios. Si un usuario se conecta a un sitio Web, el servidor puede estar seguro de la identidad de dicho usuario si recibe su certificado de cliente. Un certificado utilizado para identificar un servidor recibe el nombre de certificado de servidor, y el proceso de comprobar realmente la identidad del servidor se denomina autenticación del servidor. De forma parecida, un certificado utilizado para comprobar la identidad de un cliente recibe el nombre de certificado de cliente, y el proceso de autentizar un cliente se denomina autenticación del cliente.
Por ejemplo, si un servidor Web quiere restringir el acceso a la información o los servicios para determinados usuarios o clientes, solicita un certificado de cliente durante el establecimiento de la conexión segura (por ejemplo: SSL).
Mientras que la autenticación del servidor garantiza una transmisión segura de datos, la autenticación del cliente mejora la seguridad de dichas transacciones en línea.
Asignar certificados a cuentas de usuario
La tecnología de clave pública ha proporcionado soluciones para muchas de las preocupaciones en materia de seguridad en redes de gran tamaño. Los certificados pueden utilizarse para verificar la identidad de una entidad, y para comprobar su autenticidad sin necesidad de utilizar extensas bases de datos de usuarios y listas de cuentas de usuario junto con sus privilegios de acceso.
Sin embargo, los sistemas operativos y las herramientas de administración existentes sólo están diseñados para trabajar con cuentas de usuario, no con certificados. La solución más sencilla para conservar las ventajas de los certificados y de las cuentas de usuario consiste en crear una asociación –o asignación– entre un certificado y una cuenta de usuario. De este modo, el sistema operativo puede seguir utilizando cuentas, mientras que los sistemas más grandes y los usuarios utilizan certificados.
En este modelo, un certificado que se ha emitido para un usuario se asigna a la cuenta de dicho usuario en una red. Cuando un usuario presenta su certificado, el sistema busca la asignación y determina qué cuenta debe registrarse.
En esta Guía para los primeros pasos se esbozan distintos enfoques de este tema. Se explica la manera en que pueden prepararse IIS y Active Directory para la autenticación del cliente, así como el uso de la autenticación del cliente con Internet Explorer.
Para un entorno PKCS #11 con Mozilla Firefox, también quedan cubiertas la asignación de certificados y la autenticación del cliente.
©Infineon
Technologies AG