Infineon Security Platform 解决方案
客户鉴权
直到最近,计算机网络仍然使用集中的账户数据库来管理用户、用户权限以及用户的访问控制。这种技术对于小型网络简单而高效。但是在当今的情境中,拥有成千上万用户的大型网络正成为当今的需求,这种集中式的控制对于管理员来说变得十分困难。这种系统中出现的问题从在因特网上数据库中的账户验证,到一长串用户的管理。而且,因特网的出现使计算机网络更加容易受到来自外部实体的攻击。
证书使用
公共密钥证书提供的方案使大型网络中很多用户的管理更加容易,而且减少账号或密码受到攻击的风险。这些证书可以广泛地分配、由多方签发、并且通过证书进行验证而无需参考集中的数据库。
证书可以用于万维网上的安全通信以及客户机与服务器之间的用户鉴权。证书可以让客户机建立一个服务器的身份,因为服务器会出示一个显示其来源的服务器鉴权证书。如果您连接到一个网站,网站上有某个可信赖团体签发的服务器证书,您可以相信服务器实际上在由证书识别的个人或机构进行运作。同样,证书可以让服务器来确定您的身份。当您连接到一个网站时,如果服务器收到您的客户证书,则可以确信您的身份。用于鉴定服务器的证书叫做服务器证书,而实际验证服务器身份的过程叫做服务器鉴权。同样,用于鉴定客户机身份的证书叫做客户证书,而验证客户机身份的过程叫做客户鉴权。
例如,如果某个网站要将对信息或服务的访问限制给特定的用户或客户,则在建立安全连接(如 SSL)的过程中需要客户证书。
服务器鉴权可以保证数据的安全传输,而客户鉴权则增强了此类在线交易的安全性。
证书映射至用户帐户
公共密钥技术为大型网络中的很多安全担心之处提供了解决方案。证书可以用来确定某个实体的身份,无需使用很大的用户数据库和一长串的用户账户以及他们的访问权限即可检查其真实性。
但是,现有装备的操作系统和管理工具都只能使用用户帐户而不是证书。要保持证书和用户帐户两者的优势,最为简单的解决方案就是在证书和用户帐户之间创建一种关联,或者说是映射。这样,操作系统可以继续使用用户帐户,而更大型的系统和用户则使用证书。
在这种模型中,签发给用户的证书在网络上被映射至该用户的账户上。当用户出示其证书时,系统检查其映射,确定哪一个账户登录。
此“起步指导”简要介绍此主题的几种不同方法,包括如何准备 IIS 和 Active Directory 进行客户鉴权以及如何在 Internet Explorer 中使用客户鉴权。
对于使用 Mozilla Firefox 的 PKCS #11 环境,本指导中也涵盖了其用户证书映射和客户鉴权的内容。
©Infineon
Technologies AG