Infineon Программное решение Security Platform
Проверка подлинности клиента
До сих пор компьютерные сети использовали централизованные базы данных учетных записей для управления пользователями, их привилегиями и управления доступом. Эта техника проста и эффективна для малых сетей. Однако в наши дни, когда большие сети с тысячами пользователей в порядке вещей, такой формой централизованного контроля стало трудно управлять. Проблемы такой системы разнообразны - от попытки проверить учетную запись пользователя в базе данных находящейся в Интернете, до управления длинным списком пользователей. Кроме того, распространение Интернета сделало компьютерные сети более подверженными атакам внешних субъектов.
Использование сертификата
Сертификаты открытого ключа предлагают решение, которое делает администрирование большого количества пользователей в крупных сетях гораздо проще, в то же время, снижая риск атаки на идентификаторы / пароли. Эти сертификаты можно широко распространять, они могут выдаваться многими компаниями и их проверка осуществляется, с помощью проверки самого сертификата без обращения к централизованной базе данных.
Сертификаты можно использовать для защищенной связи и проверки подлинности пользователя при взаимодействии клиента и сервера на веб-сайте. Сертификаты позволяют клиентам установить принадлежность сервера, поскольку сервер предоставляет сертификат подлинности сервера с указанием его происхождения. Если вы подключаетесь к веб-сайту, имеющему сертификат сервера, выданный доверяемым центром сертификации, вы можете быть уверены, что сервером действительно управляет лицо или организация, указанная в сертификате. Подобным же образом сертификаты позволяют серверу определить вашу подлинность. Когда вы подключаетесь к веб-сайту, сервер может убедиться в вашей подлинности, получив ваш клиентский сертификат. Сертификат, используемый для проверки подлинности сервера, называется сертификатом сервера и процесс проверки подлинности сервера называется Проверка подлинности сервера. Точно также, сертификат, используемый для проверки подлинности клиента, называется сертификатом клиента и процесс проверки подлинности клиента называется Проверка подлинности клиента.
Например, если веб-сервер хочет ограничить доступ к информации или услугам для определенных пользователей или клиентов, он запрашивает сертификат клиента во время установки безопасного подключения (например, SSL).
В то время как проверка подлинности сервера гарантирует безопасную передачу данных, проверка подлинности клиента улучшает безопасность таких интерактивных транзакций.
Сопоставление сертификатов учетным записям пользователей
Технология открытого ключа предоставила решения многих проблем безопасности крупных сетей. Сертификаты могут использоваться как гарантия подлинности личности и позволяют проверить ее подлинность без использования больших баз данных пользователей и списков учетных записей пользователя и их привилегий доступа.
Однако, существующие операционные системы и административные инструменты приспособлены только для работы с учетными записями пользователей, но не с сертификатами. Самым простым решением для использования всех преимуществ сертификатов и учетных записей пользователей, является создание связи, или сопоставление сертификата и учетной записи. Это позволяет операционной системе продолжать использовать учетные записи, в то время как более крупные системы и пользователи будут использовать сертификаты.
В этой модели, сертификат, выданный пользователю, сопоставляется с его учетной записью в сети. Когда пользователь предоставляет сертификат, система ищет сопоставления и определяет с какой учетной записью он должен войти в систему.
В данном руководстве описываются различные подходы к этому вопросу. Оно описывает способы, при помощи которых IIS и Active Directory могут быть подготовлены для проверки подлинности клиента и использование проверки подлинности клиента с Internet Explorer.
Также описано сопоставление пользовательских сертификатов и проверка подлинности клиента в окружении PKCS #11 для Mozilla Firefox.
©Infineon Technologies AG