- •Ідентифікація та автентифікація Основні поняття і класифікація
- •Проста автентифікація
- •Автентифікація на основі багаторазових паролів
- •Автентифікація на основі одноразових паролів
- •Автентифікація на основі сертифікатів
- •Біометрична ідентифікація та автентифікація користувача
- •Строга автентифікація
- •Протоколи автентифікації з нульовою передачею знань
Автентифікація на основі сертифікатів
Коли число користувачів в мережі вимірюється мільйонами, процедура попередньої реєстрації користувачів, пов'язана з призначенням і зберіганням паролів користувачів, стає вкрай громіздкою і практично погано реалізованою. В таких умовах автентифікація на основі цифрових сертифікатів служить раціональною альтернативою застосуванню паролів. При використовуванні цифрових сертифікатів комп'ютерна мережа, яка дає доступ до своїх ресурсів, не зберігає ніякої інформації про своїх користувачів. Цю інформацію користувачі надають самі в своїх запитах - сертифікатах. Таке рішення масштабується набагато легше, ніж варіант з використанням паролів централізованою базою даних. При цьому задача зберігання секретної інформації, зокрема закритих ключів, покладається тепер на самих користувачів. Цифрові сертифікати, що засвідчують особу користувача, видаються по запитах користувачів спеціальними уповноваженими організаціями - центрами сертифікації СА при виконанні певних умов. Слід зазначити, що сама процедура отримання сертифіката також включає етап перевірки автентичності (тобто автентифікації) користувача. Тут як перевіряюча сторона виступає сертифікуюча організація. Для отримання сертифіката клієнт повинен направити в центр сертифікації СА зведення, що засвідчують його особу, і свій відкритий ключ. Перелік необхідних даних залежить від типу одержуваного сертифіката. Сертифікуюча організація після перевірки доказів автентичності користувача поміщає свій цифровий підпис у файл, що містить відкритий ключ і відомості про користувача, і видає йому сертифікат, підтверджуючи факт приналежності даного відкритого ключа конкретній особі. Сертифікат представляє собою електронну форму, в якій міститься наступна інформація:
відкритий ключ власника даного сертифіката;
відомості про власника сертифіката, наприклад ім'я, електронна адреса, найменування організації, в якій працює даний співробітник і т.п.;
найменування сертифікуючої організації, що видала цей сертифікат;
електронний підпис сертифікуючої організації - зашифровані закритим ключем цієї організації дані, що містяться в сертифікаті.
Сертифікат є засобом автентифікації користувача при його зверненні до мережних ресурсів. При цьому роль перевіряючої сторони грають сервери автентифікації корпоративної мережі. Сертифікати можна використовувати не тільки для автентифікації, але і для надання певних прав доступу. Для цього в сертифікат вводяться додаткові поля, в яких вказується приналежність його власника до тієї або іншої категорії користувачів. Слід особливо відзначити тісний зв'язок відкритих ключів з сертифікатами. Сертифікат є не тільки посвідченням особи, але і посвідченням приналежності відкритого ключа. Цифровий сертифікат встановлює і гарантує відповідність між відкритим ключем і його власником. Це запобігає загрозі підміни відкритого ключа. Застосування сертифікатів засновано на припущенні, що сертифікуючих організацій відносно небагато, і їх відкриті ключі можуть бути доступні всім зацікавленим особам і організаціям (наприклад, за допомогою публікацій в журналах). При реалізації процесу автентифікації на основі сертифікатів винятково важливо рішення питання про те, хто буде виконувати функції сертифікуючої організації. Цілком природним є рішення, при якому задачу забезпечення своїх співробітників сертифікатами берет на себе саме підприємство. На підприємстві зберігається достатньо багато відомостей про співробітників, а отже, воно може узяти на себе задачу підтвердження їх особи. Це спрощує процедуру первинної автентифікації при видачі сертифіката. Підприємства можуть використовувати існуючі програмні продукти, що забезпечують автоматизацію процесів генерації, видачі і обслуговування сертифікатів. Наприклад, компанія Netscape Communications пропонує свої сервери підприємствам для випуску ними власних сертифікатів. Альтернативне рішення проблеми виконання функцій сертифікуючої організації - залучення на комерційній основі незалежних центрів по видачі сертифікатів. Такі послуги пропонує, зокрема, сертифікуючий центр компанії Verisign. Її сертифікати задовольняють вимогам міжнародного стандарту Х.509 і використовуються у ряді продуктів захисту даних, наприклад в протоколі захищеного каналу SSL. ^