люч, відповідний даному відкритому ключу. Наявність необов'язкових полів характерно для сертифікатів версій 2 і 3, к необов'язковим полях сертифіката відносяться номер версії, два унікальних ідентифікаторів і доповнення.
Додатки сертифіката:
Додатки дозволяють включати в сертифікат інформацію, яка відсутня в основному змісті. У доповненнях міститься технологічна інформація, що дозволяє перевірити справжність сертифікату.
Опціональне полі «Extensions» з'являється у сертифікатах третьої версії. Кожне доповнення складається з ідентифікатора типу доповнення Extension identifier, ознаки критичності Criticality flag і власне значення доповнення Extension value.
Додатки сертифікатів X.509 визначені рекомендаціями Х.509 версії 3 Міжнародного Союзу з телекомунікацій і документом RFC 3280. Всі ці доповнення можна розділити на дві категорії: обмежують та інформаційні. Перші обмежують область застосування ключа, визначеного сертифікатом, або самого сертифіката. Другі містять додаткову інформацію, яка може бути використана в прикладному програмному забезпеченні користувачем сертифіката. До обмежуючим доповнень відносяться:
· основні обмеження (Basic Constraints);
· призначення ключа (Key Usage);
· розширене призначення ключа (Extended Key Usage);
· політики застосування сертифіката (Certificates Policies, Policy Mappings, Policy Constraints);
· обмеження на імена (Name Constraints).
До інформаційних доповнень відносяться:
· ідентифікатори ключів (Subject Key Identifier, Authority Key Identifier);
· альтернативні імена (Subject Alternative Name, Issuer Alternative Name);
· пункт поширення списку анульованих сертифікатів (CRL Distribution Point, Issuing Distribution Point);
· спосіб доступу до інформації УЦ (Authority Access Info). [22] - Сервер:
Абревіатура RADIUS розшифровується як Remote Authentication Dial-In User Service (Служба віддаленої аутентифікації входять користувачів). Спочатку концепція RADIUS полягало у забезпеченні віддаленого доступу через коммутируемое телефонне з'єднання. Зараз же протокол RADIUS використовується для авторизації, аутентифікації та обліку користувачів в різних системах (у тому числі і бездротових). Протокол RADIUS повністю абстрагований не тільки від технології зв'язку, але і від протоколів передачі даних в мережі, в якій відбувається авторизація. Фактично функція сервера RADIUS зводиться до того, що сервер приймає інформацію, яку користувач мережі надає в процесі аутентифікації, і авторизує користувача. Використання сервера RADIUS не може зробити безпечніше сам процес передачі даних у мережі, воно може убезпечити тільки процес передачі даних в ході аутентифікації. Після того як процес авторизації користувача в мережі завершився, сервер RADIUS йому більше не потрібен, принаймні, до тих пір, поки користувачеві не знадобиться знову авторизуватися в сістеме.сновние складові частини служби RADIUS описуються двома RFC від IETF: RFC +2865 під назвою Remote Authentication Dial-In User Service (RADIUS) у формі проекту стандарту і RFC 2866 під назвою RADIUS Accounting у вигляді «інформаційного RFC».
Концепція служби ідентифікації віддалених користувачів увазі, що клієнт відсилає серверові RADIUS параметри доступу користувача (в англомовній документації вони часто називаються Credentials, тобто мандат, куди, наприклад, входять його налаштування безпеки і права доступу ), а також параметри відповідного з'єднання. Для цього клієнт використовує спеціальний формат, так званий RADIUS-Message (повідомлення RADIUS). У відповідь сервер починає перевірку, в ході якої він аутентифікує і авторизує запит клієнта RADIUS, а потім пересилає йому відповідь - RADIUS-Message-response. Після цього клієнт передає на сервер RADIUS облікову інформацію (Малюнок 9).
Малюнок 9-Процес аутентифікації 802.1x EAP-TLS
Самі по собі повідомлення RADIUS передаються у формі пакетів UDP. Причому інформація про аутентифікації направляється на порт UDP з номером 1812. Деякі сервери доступу використовують, проте, порти 1645 (для повідомлень про аутентифікації) або, відповідно, 1646 (для обліку) - вибір повинен визначати своїм рішенням адміністратор. У полі даних пакета UDP завжди поміщається тільки одне повідомлення RADIUS. Відповідно до RFC 2865 і RFC 2866 визначені наступні типи повідомлень:
· Access-Request - «запит доступу». Запит клієнта RADIUS, з якого починається власне аутентифікація і авторизація спроби доступу в мережу;
· Access-Accept - «доступ дозволений». За допомогою цього відповіді на запит дос...
