[ Pobierz całość w formacie PDF ]
.Takie uwierzytelnianie za pomoc¹ klucza publicznego pozwalaklientom wysy³aæ ¿¹dania wstêpnego biletu TGT, przy u¿yciu klucza prywatnego,podczas gdy centrum Centrum dystrybucji Dystrybucji kluczy Kluczy (KDC)weryfikuje ¿¹danie, korzystaj¹c z klucza publicznego, uzyskanego z certyfikatuX.509, a zapisanego w obiekcie U¿ytkownik w Active Directory.Certyfikatu¿ytkownika mo¿e byæ wydany przez niezale¿n¹ jednostkê certyfikuj¹c¹(third-party CA), tak¹ jak Digital ID VeriSign lub przez Microsoft CertificateServer systemu Windows 2000.Po wstêpnym uwierzytelnieniu klucza prywatnego dopo³¹czenia siê z us³ugami sieciowymi, w celu uzyskania biletów sesji (sessiontickets) stosowana jest standardowa wersja protoko³u Kerberos.Wskazówka: Ci, którzy chc¹ wiêcej wiedzieæ na temat X.509, mog¹ znaleŸæinformacje w Internecie.Poszukiwania radzi³bym rozpocz¹æ od raportu grupy IETFPublic Key Infrastructure X.509 (PKIX), który znajduje siê pod adresem www.i.etf.o.rg/html.c.harters/pkix-charter.html.Rozszerzenia protoko³u Kerberos dotycz¹ce uwierzytelniania za pomoc¹ kluczapublicznego stanowi¹ podstawy u¿ycia kart elektronicznych (smart card) douwierzytelniania sieciowego.System Windows 2000 pozwala u¿ytkownikom nalogowanie siê do stacji roboczych, korzystaj¹c z kart elektronicznych (smartcard).W przysz³oœci pojawi siê wiele mo¿liwoœci uzyskiwania certyfikatów dlau¿ytkowników, w zale¿noœci od ich przynale¿noœci organizacyjnej lubwykonywanych zadañ.System Windows 2000 zawiera serwer Serwer certyfikatówCertyfikatów (Certificate Server), przeznaczony dla instytucji, które chc¹wydawaæ swoim u¿ytkownikom certyfikaty z kluczem publicznym bez koniecznoœcikorzystania z us³ug komercyjnych jednostek certyfikuj¹cych (commercial CA).Polityka wydawania certyfikatów jest jasna — certyfikaty s¹ wydawaneu¿ytkownikom uwierzytelnionym za pomoc¹ wa¿nych danych uwierzytelniaj¹cychkonta domeny (valid domain account credentials).W nastêpnym rozdzialeprzedstawiono, w jaki sposób certyfikaty te mog¹ byæ wykorzystane do uzyskaniadostêpu do zasobów Windows 2000 przez intranet lub Internet.Rozwi¹zane pokrewne Zobacz na stronie:Zastosowanie centrum dystrybucji kluczyUwierzytelnianie logowanieAnaliza biletów protoko³u KerberosStosowanie Zabezpieczeñ z kluczem publicznym w systemie Windows 2000Zastosowanie certyfikatów z kluczem publicznym do zapewnienia bezpieczeñstwa wInternecieKryptografia klucz publicznego (public key cryptography) umo¿liwia bezpiecznekomunikowanie siê w przedsiêbiorstwie i przez Internet.Techniki zabezpieczaniakomunikowania siê przez Internet firmy Microsoft obejmuj¹ serwer Serwercertyfikatów Certyfikatów (Certificate Server), czyli us³ugodawcê zabezpieczeñkana³u bezpiecznego (secure channel security provider), bêd¹cego implementacj¹protoko³Ã³w SSL/TLS i Secure Electronic Transaction (SET) oraz zabezpieczaj¹cetransakcje dokonywane za pomoc¹ kart kredytowych i elementy interfejsuCryptoAPI do zarz¹dzania i administrowania certyfikatami.Wskazówka: Omówienie protoko³u SET mo¿na znaleŸæ pod adresem www.m.astercard.c.om/shoponline/set/.Do bardziej szczegó³owych opisów prowadz¹³¹cza (links) na stronê http://trienadecet.m.kn.c.o.u.k/help/system/set/info.Szczegó³y na temat interfejsu CryptoAPI mo¿na znaleŸæpod adresem www.microsoft.com/security/tech/cryptoapi/.Na rysunku 1.6 przedstawiono elementy infrastruktury klucza publicznegoMicrosoftu.Infrastruktura zabezpieczeñ internetowych firmy Microsoft jest oparta nastandardach zabezpieczeñ z kluczem publicznym (public key security),obejmuj¹cych algorytm szyfrowania RSA (Rivest Shamir Adleman), formatcertyfikatów X.509 i standardy kryptografii z kluczem publicznym (Public KeyCryptography Standards — PKCS).Applications — Programy u¿ytkoweSmartcard interfaces — Interfejsy kart elektronicznychAuthenticode — Us³uga znakowania plików AuthenticodeNetwork APIs — Sieciowe interfejsy APIMessage Standards (PKCS) — Standardy komunikatów (PKCS)Certificate Management Services — Us³ugi zarz¹dzania certyfikatamiCrypto Services — Us³ugi kryptograficzneSecure channel — Kana³ bezpiecznyFile I/O — Wejœcie-Wyjœcie plikuRSA Base CSP — Us³ugodawca kryptograficzny korzystaj¹cy z algorytmu RSAHardware CSP — Sprzêtowy us³ugodawca kryptograficznyDevice driver — Sterownik urz¹dzeniaReader — CzytnikRysunek 1.6
[ Pobierz całość w formacie PDF ]