їхніми паролями, замість цього достатньо мати на сервері список імен і відкритих ключів сертифікуючих організацій. Може також знадобитися деякий механізм відображень категорій власників сертифікатів на традиційні групи користувачів для того, щоб можна було використовувати в незмінному вигляді механізми управління виборчим доступом більшості операційних систем або додатків.
мережевий безпеку аутентифікація авторизація
3.3.2 сертифікують центри
Сертифікат є засобом аутентифікації Користувача при його зверненні до мережевих ресурсів, роль аутентифицирующей сторони грають при цьому інформаційні сервери корпоративної мережі або Інтернету. У той же час і сама процедура отримання сертифікату включає етап аутентифікації, тут аутентифікатором виступає сертифікуюча організація. Для отримання сертифікату клієнт повинен повідомити сертифікує організації свій відкритий ключ і ті чи інші відомості, що засвідчують його особу. Всі ці дані клієнт може відправити електронною поштою або принести на гнучкому диску особисто. Перелік необхідних даних залежить від типу одержуваного сертифіката. Сертифікуюча організація перевіряє докази справжності, поміщає свою цифровий підпис в файл, що містить відкритий ключ, і посилає сертифікат назад, підтверджуючи факт приналежності даного конкретного ключа конкретній особі. Після цього сертифікат може бути вбудований в будь-який запит на використання інформаційних ресурсів мережі.
Практично важливим питанням є питання про те, хто може виконувати функції сертифікує організації. По-перше, завдання забезпечення своїх співробітників сертифікатами може взяти на себе саме підприємство. У цьому випадку спрощується процедура первинної аутентифікації при видачі сертифіката. Підприємства вже достатньо обізнані про своїх співробітників, щоб брати на себе завдання підтвердження їх особистості. Для автоматизації процесу генерації, видачі й обслуговування сертифікатів підприємства можуть використовувати готові програмні продукти, наприклад компанія Netscape Communications випустила сервер сертифікатів, який організації можуть у себе встановлювати для випуску своїх власних сертифікатів.
По-друге, ці функції можуть виконувати незалежні центри з видачі сертифікатів, що працюють на комерційній основі, наприклад сертифікуючий центр компанії Verisign. Сертифікати компанії Verisign виконані відповідно до міжнародного стандарту Х.509 і використовуються в багатьох продуктах захисту даних, у тому числі в популярному протоколі захищеного каналу SSL. Будь-який бажаючий може звернутися із запитом на отримання сертифіката на Web-сервер цієї компанії. Сервер Verisign пропонує кілька типів сертифікатів, що відрізняються рівнем можливостей, які отримує власник сертифіката.
§ Сертифікати класу 1 надають користувачеві найнижчий рівень повноважень. Вони можуть бути використані для відправки та отримання шифрованого електронної пошти через Інтернет. Щоб отримати сертифікат цього класу, користувач повинен повідомити сервер Verisign свою адресу електронної пошти або своє унікальне ім'я.
§ Сертифікати класу 2 дають можливість їх власнику користуватися внутрішньокорпоративної електронною поштою і брати участь у підписних інтерактивних службах. Щоб отримати сертифікат цього більш високого рівня, користувач повинен організувати підтвердження своєї особистості сторонньою особою, наприклад своїм роботодавцем. Такий сертифікат з інформацією від роботодавця може бути ефективно використаний для ділової кореспонденції.
§ Сертифікати класу 3 надають власнику всі ті можливості, які має власник сертифікату класу 2, плюс можливість участі в електронних банківських операціях, електронних угодах по купівлі товарів і деякі інші можливості. Для доказу своєї автентичності здобувач сертифіката повинен з'явитися особисто і надати підтверджуючі документи.
§ Сертифікати класу 4 використовуються при виконанні великих фінансових операцій. Оскільки Такий сертифікат наділяє власника найвищим рівнем довіри, сертифікуючий центр Verisign проводить ретельне вивчення приватної особи або організації, запитуючої сертифікат.
Механізм отримання користувачем сертифіката добре автоматизується в мережі в моделі клієнт-сервер, коли браузер виконує роль клієнта, а в сертифікує організації встановлено спеціальний сервер видачі сертифікатів. Браузер виробляє для користувача пару ключів, залишає закритий ключ у себе і передає частково заповнену форму сертифіката сервера. Для того щоб непідписаний ще сертифікат не можна було підмінити при передачі по мережі, браузер ставить свій електронний підпис, зашифровуючи сертифікат виробленим закритим ключем. Сервер сертифікатів підписує отриманий сертифікат, фіксує його в своїй базі даних і повертає його яким-небудь способом власнику. Очевидно, що...
