Аутентификация на основе сертификатов

Когда число пользователей в сети исчисляется миллионами, процедура предварительной регистрации пользователей, связанная с назначением и хранением паролей пользователей, становится крайне громоздкой и практически плохо реализуемой. В таких условиях аутентификация на основе цифровых сертификатов служит рациональной альтернативой применению паролей.

При использовании цифровых сертификатов компьютерная сеть не хранит никакой информации о своих пользователях. Эту информацию пользователи предоставляют сами в своих запросах – сертификатах. При этом задача хранения секретной информации, в частности закрытых ключей, возлагается теперь на самих пользователей.

Цифровые сертификаты, удостоверяющие личность пользователя, выдаются по запросам пользователей специальными уполномоченными организациями – центрами сертификации CA (Certification Authorities) при выполнении определенных условий. При этом сама процедура получения сертификата также включает этап проверки подлинности (т.е. аутентификации) пользователя. Здесь в качестве проверяющей стороны выступает сертифицирующая организация.

Для получения сертификата клиент должен представить в центр сертификации CA сведения, удостоверяющие его личность, и свой открытый ключ. Перечень необходимых данных зависит от типа получаемого сертификата. Сертифицирующая организация после проверки доказательств подлинности пользователя помещает свою цифровую подпись в файл, содержащий открытый ключ и сведения о пользователе, и выдает ему сертификат, подтверждая факт принадлежности данного открытого ключа конкретному лицу.

Сертификат представляет собой электронную форму, в которой содержится следующая информация:

1. открытый ключ владельца данного сертификата;

2. сведения о владельце сертификата (имя, электронный адрес, наименование организации, в которой работает данный сотрудник и т.п.);

3. наименование сертифицирующей организации, выдавшей этот сертификат;

4. электронная подпись сертифицирующей организации.

Сертификат является средством аутентификации пользователя при его обращении к сетевым ресурсам.

Роль проверяющей стороны играют серверы аутентификации корпоративной сети.

Сертификаты можно использовать не только для аутентификации, но и для предоставления определенных прав доступа. Для этого в сертификат вводятся дополнительные поля, в которых указывается принадлежность его владельца к той или иной категории пользователей.

Следует особо отметить тесную связь открытых ключей с сертификатами. Сертификат является не только удостоверением личности, но и удостоверением принадлежности открытого ключа. Цифровой сертификат устанавливает и гарантирует соответствие между открытым ключом и его владельцем. Это предотвращает угрозу подмены открытого ключа.

Если абонент получает от партнера по информационному обмену открытый ключ в составе сертификата, то он может проверить цифровую подпись CA на этом сертификате с помощью открытого ключа данного CA и убедиться, что полученный открытый ключ принадлежит именно тому пользователю, адрес и другие сведения о котором содержатся в данном сертификате. При использовании сертификатов исчезает необходимость хранить на серверах корпораций списки пользователей с их паролями. На сервере достаточно иметь список имен и открытых ключей сертифицирующих организаций.

Сервер – ЭВМ, выполняющая функции обслуживания пользователей. В сетях выполняет функции управления разделяемыми ресурсами. Существует понятие сервера безопасности.

Следует отметить, что выполнение функций сертифицирующей организации может взять на себя и само предприятие.