деяких випадках користувач повинен вдруге здійснити логічний вхід в комунікаційний сервер вже після аутентифікації.
. 3 Аутентифікація на основі сертифікатів
Аутентифікація із застосуванням цифрових сертифікатів є альтернативою використанню паролів і видається природним рішенням в умовах, коли число користувачів мережі (нехай і потенційних) вимірюється мільйонами. В таких обставинах процедура попередньої реєстрації користувачів, пов'язана з призначенням і зберіганням їх паролів, стає вкрай обтяжливою, небезпечної, а іноді й просто нездійсненною. При використанні сертифікатів мережу, яка дає користувачеві доступ до своїх ресурсів, не зберігає ніякої інформації про своїх користувачів - вони її надають самі у своїх запитах у вигляді сертифікатів, що засвідчують особу користувачів. Сертифікати видаються спеціальними уповноваженими організаціями - центрами сертифікації (Certificate Authority, СА). Тому завдання зберігання секретної інформації (закритих ключів) покладається на самих користувачів, що робить це рішення набагато більш масштабованим, ніж варіант з використанням централізованої бази паролів.
. 3.1 Схема використання сертифікатів
Аутентифікація особистості на основі сертифікатів відбувається приблизно так само, як на прохідній великого підприємства. Вахтер пропускає людей на територію на підставі пропуску, який містить фотографію і підпис співробітника, засвідчених печаткою підприємства і підписом особи, яка видала перепустку. Сертифікат є аналогом пропуску і видається за запитами спеціальними сертифікують центрами при виконанні певних умов.
Сертифікат являє собою електронну форму, в якій міститься наступна інформація:
§ відкритий ключ власника даного сертифіката;
§ відомості про власника сертифіката, такі, наприклад, як ім'я, адресу електронної пошти, найменування організації, в якій він працює, і т. п .;
§ найменування сертифікує організації, що видала цей сертифікат.
Крім того, сертифікат містить електронний підпис сертифікує організації - зашифровані закритим ключем цієї організації дані, що містяться в сертифікаті.
Використання сертифікатів засноване на припущенні, що сертифікуючих організацій небагато і їх відкриті ключі можуть бути всім відомі будь-яким способом, наприклад, з публікацій у журналах.
Коли користувач хоче підтвердити свою особу, він пред'являє свій сертифікат у двох формах - відкритої (тобто такий, в якій він отримав його в сертифікує організації) і зашифрованою із застосуванням свого закритого ключа (малюнок 3.4). Сторона, що проводить аутентифікацію, бере з відкритого сертифіката відкритий ключ користувача і розшифровує за допомогою нього зашифрований сертифікат. Збіг результату з відкритим сертифікатом підтверджує факт, що пред'явник дійсно є власником закритого ключа, парного із зазначеним відкритим.
Малюнок 3.4 - Аутентифікація користувачів на основі сертифікатів
Потім за допомогою відомого відкритого ключа зазначеної в сертифікаті організації проводиться розшифровка підпису цієї організації в сертифікаті. Якщо в результаті виходить той же сертифікат з тим же ім'ям користувача і його відкритим ключем - значить, він дійсно пройшов реєстрацію в сертифікаційному центрі, є тим, за кого себе видає, і зазначений у сертифікаті відкритий ключ дійсно належить йому.
Сертифікати можна використовувати не тільки для аутентифікації, але й для надання виборчих прав доступу. Для цього в сертифікат можуть вводитися додаткові поля, в яких вказується приналежність його власників тієї чи іншої категорії користувачів. Ця категорія призначається сертифікує організацією в залежності від умов, на яких видається сертифікат. Наприклад, організація, що поставляє через Інтернет на комерційній основі інформацію, може видавати сертифікати певної категорії користувачам, які сплатили річну підписку на деякий бюлетень, а Web-сервер буде надавати доступ до сторінок бюлетеня тільки користувачам, які пред'явили сертифікат даної категорії.
Підкреслимо тісний зв'язок відкритих ключів з сертифікатами. Сертифікат є не тільки посвідченням особи, а й посвідченням приналежності відкритого ключа. Цифровий сертифікат встановлює і гарантує відповідність між відкритим ключем і його власником. Це запобігає загрозу підміни відкритого ключа. Если деякому абоненту надходить відкритий ключ у складі сертифіката, то він може бути впевнений, що цей відкритий ключ гарантовано належить відправнику, адресу та інші відомості про який містяться в цьому сертифікаті.
При використанні сертифікатів відпадає необхідність зберігати на серверах корпорацій списки користувачів з ...
