Использование сертификатов доступа
Использование сертификатов доступа к информационному ресурсу.
При организации доступа к некоторым ресурсам Интернет часто возникает необходимость во введении ограничений. Это означает, что владелец информационного ресурса должен определить правила определения тех пользователей, которым разрешен доступ, и предоставить способ, с помощью которого они могуг доказать свою принадлежность к таким пользователям. Следовательно, необходима процедура аутентификация в сети Интернет.
Аутентификация с применением сертификатов является альтернативой использованию паролей и представляется естественным решением, когда число пользователей сети слишком велико. В таких обстоятельствах процедура регистрации пользователей, связанная с назначением и хранением их паролей становится опасной, а иногда нереализуемой. При использовании сертификатов сеть, которая дает пользователю доступ к своим информационным ресурсам, не хранит информации о своих пользователях. Они ее предоставляют в своих запросах в виде сертификатов, удостоверяющих личность пользователя. Сертификаты выдаются специальными организациями - центрами сертификации. Задача хранения секретной информации здесь возлагается на самих пользователей, что делает это решение более эффективным.
Аутентификация личности на основе сертификатов происходит следующим образом.
1. Сертификат является аналогом пропуска к информационному ресурсы и выдается по запросам пользователя при выполнении определенных условий. Он представляет собой электронную форму, в которой имеются такие поля, как:
· Имя владельца,
· Наименование организации, выдавшей сертификат,
· Открытый ключ владельца.
Кроме того, сертификат содержит электронную подпись организации - зашифрованные закрытым ключом этой организации все остальные поля сертификата. Использование сертификатов основано на предположении, что сертифицирующих организаций немного, и их открытые ключи могут быть всем известны каким-либо способом.
Рекомендуемые материалы
2. Когда пользователь хочет подтвердить свою личность, он предъявляет свой сертификат в двух формах:
Ещё посмотрите лекцию "3 - Основные части геодезических приборов" по этой теме.
· в открытой, в которой он получил его в сертифицирующей организации,
· в зашифрованной с применением своего закрытого ключа.
3. Сторона, проводящая аутентификацию, берет из открытой формы сертификата открытый ключ пользователя и расшифровывает с помощью него зашифрованную часть сертификата. Совпадение результата с открытым сертификатом подтверждает факт, что предъявитель является владельцем закрытого ключа, парного с указанным открытым.
4. Затем с помощью известного открытого ключа указанной в сертификате организации проводится расшифровка подписи этой организации в сертификате. Если в результате получается тот же сертификат с тем же именем пользователя и его открытым ключом - значит он прошел регистрацию в сертификационном центре и является тем, за кого себя выдает, а указанный в сертификате открытый ключ действительно принадлежит ему.
Сертификаты можно использовать для предоставления избирательных прав доступа. Для этого в сертификат могут вводиться дополнительные поля, в которых указывается принадлежность его владельца к той или иной категории пользователей. Эта категория указывается сертифицирующей организацией в зависимости от условий, на которых выдается сертификат. Например, организация-вендор, поставляющая через сеть информацию, может выдавать сертификаты категории пользователям, оплатившим годовую подписку на некоторый бюллетень, а Web-сервер будет предоставлять доступ к страницам бюллетеня только пользователям, предъявившим сертификат данной категории.
При использовании сертификатов отпадает необходимость хранить на серверах списки пользователей с их паролями, достаточно иметь на сервере только список имен и открытых ключей сертифицирующих организаций. Поддержка сертификатов реализована в Internet Explorer и в сервере Internet Information Server.