Электронная коммерция и
сетевой бизнес растут
феноменальными темпами без
видимого замедления темпов. Каждый
день тысячи новых web-серверов,
серверов транзакций баз данных и
серверов приложений осуществляют
поддержку миллионов пользователей.
Новые системы добавляются
практически ежедневно. Вполне
возможно, что в ближайшем будущем
каждый человек, имеющий доступ к
компьютеру сможет выполнять любой
вид сделок, подключаясь к таким
сетям, как Интернет.
Однако возможность
торговли, продажи и покупки
продуктов и услуг будут полезны
только в том случае, если покупатель
сможет безопасным путем
удостовериться в местоположении и
подлинности предприятия, с которым
он взаимодействует. При росте
количества электронных транзакций
одним из обязательных ограничений
эффективного использования сети
определяется качеством и сферой
действия безопасности, а также
доступными службами защиты
клиентов.
Структура открытого
ключа (PKI
– Public Key Infrastructure) в Windows
2000 создает архитектуру для сетевой
безопасности, которая закладывает
фундамент для текущих и будущих
потребностей бизнеса и
предоставляют платформу для
безопасных сетевых транзакций.
Центры сертификации Microsoft
предоставляют средства для защиты
данных при помощи выдаваемых
сертификатов, которые дают
возможность обеспечивать
безопасность (шифровать) содержание
транзакции. Эти сертификаты также
используются для обеспечения
гарантии того, что содержание
послания не будет подделано за
время прохождения его от автора до
того момента, когда его прочтет
потребитель.
Процессы и участники
Инфраструктуры Открытого Ключа
Центры Сертификации (ЦС)
устанавливают и управляют
идентификацией держателей
сертификатов. Недействительные
сертификаты публикуются в списке
отзыва сертификатов (CRL – certificate
revocation
list),
которые используются Центрами
Регистрации (Registration Authority)
и верификаторами сертификатов. В
простейшую архитектуру PKI входит только один корневой ЦС.
Однако, в большинство реализаций
структуры PKI
входит несколько ЦС, организованных
в группы, называемые иерархией ЦС.
Регистрация
сертификатов осуществляется при
помощи зарегистрационной web-страницы.
Windows
2000 предоставляет компонент,
позволяющий осуществлять
регистрацию запросов сертификатов
через web-интерфейс.
Сервер Сертификатов Microsoft
устанавливает страничку
регистрации сертификатов по
умолчанию. Пользователи могут
передавать запросы на получение
сертификатов через web-браузер.
Web-страничка
автоматически направляет запрос на
Сервер Сертификатов, который
генерирует сертификат.
Информация о
сертификате хранится в Active
Directory.
Для упрощения внедрения и установки,
Windows
2000 может автоматизировать процесс
регистрации сертификатов,
используемых компьютерами. Все
компьютеры осведомлены о том, что
информация о сертификатах хранится
в Active
Directory.
Компьютеры Windows
2000 знают о том, что они могут
запрашивать и обновлять
сертификаты автоматически.
Групповые Политики Windows 2000 интегрированы со структурой PKI.
Политики могут быть использованы
для распределения сертификатов
компьютерам автоматически,
определения списков достоверных
сертификатов и списков доверенных
ЦС. Кроме того, групповые политики
могут быть использованы для
политики восстановления EFS
– зашифрованной файловой системы.
PKI
и Active
Directory – решение по управлению
внешней идентификацией
Во многих случаях
предприятия нуждаются во
взаимодействии с внешними
партнерами при помощи web-сайтов.
Информация, которая публикуется на
данном сайте, обычно не является
общедоступной. В подобном случае
лишь небольшое число внешних
партнеров нуждается в
идентификации и получении
необходимого доступа к
опубликованной информации.
Структура PKI
Windows
2000 и Active
Directory
предоставляют способ для
безопасного получения доступа
внешними пользователями. Внешние
пользователи идентифицируются при
помощи Active
Directory.
Пользовательская учетная запись
создается для каждого внешнего
пользователя. Опознание ресурсов и
контроль доступа осуществляется
через создание пользовательских
учетных записей, назначаемых
внешним пользователям в Active Directory. Эти учетные записи внешние
пользователи могут использовать
для доступа к ресурсам в сети.
Для OU
(организационной единицы), в которой
создаются учетные записи для
внешних пользователей, должны быть
выпущены сертификаты ЦС,
перечисленными в списке
достоверных сертификатов. В момент
входа в систему Active
Directory
сопоставляет этот сертификат
учетной записи. В ходе этого
определяется какая часть
защищенного web-сайта
может быть доступна. И, в заключении,
внешнему пользователю явно
предоставляется доступ к
защищенному web-сайту.
рис. 1. Обзор структуры
безопасности для управления
идентификацией.
Смарт-карты и Active
Directory
– решение для управления внешней
идентификацией
Усиление безопасности
сетевых ресурсов достаточно
сложная задача. Хорошо известно, что
наиболее уязвимое место для каждого
компьютера – это пароли
пользователей. Одним из методов
решения этой проблемы –
использование смарт-карт. В Windows
2000 встроена поддержка безопасности
при помощи смарт-карт.
Смарт-карта имеет размер
обычной кредитной карточки. Она
служит для безопасного хранения
защищенных личных сертификатов и
частных ключей.
Смарт-карты содержат чип,
в котором хранится индивидуальные
частные ключи, информация для входа
в сеть и сертификат общего ключа.
Пользователь вставляет карту в
считыватель, подключенный к
компьютеру и вводит PIN-код,
вместо того, чтобы вводить сложный
пароль, который, как правило, сложно
запомнить. Windows
2000 использует информацию о
сертификатах, которая хранится на
карте для разрешения или запрещения
пользователю входа в сеть Windows 2000.
Идентификация и доступ
для внешних пользователей требует
от них как наличия «физической»
карты, так и дополнительных знаний (PIN-код
карты), прежде чем они смогут
получить доступ к сети. Этот метод,
использующий как карту, так и ее PIN-код
известен как «двукратная
аутентификация».
Леонард Лоро, MCSE, MCSD,
ISS, MCT, CCNA.
|