Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Новый курс по PKI на базе Центра Компьютерной Безопасности компании Поликом Про
Часть 2: Использование смарт-карт и USB-ключей на платформе Microsoft Windows Server
Наталья Боровикова, компания Aladdin
До сих пор наиболее часто используемый в организациях метод защиты ресурсов
идентификация при доступе к информационной системе и к различным приложениям
с помощью пароля. Однако часто пароли передаются в сеть в открытом виде, что
делает их крайне привлекательными для перехвата и компрометации.
Курс, впервые представляемый в Санкт-Петербурге компаниями Поликом-Про и Aladdin
Software Security R.D., поможет техническим специалистам обеспечить в своих
компаниях высокий уровень безопасности информационной системы с помощью замены
парольной аутентификации на аутентификацию с помощью цифровых сертификатов.
Для этого используются смарт-карты или USB-ключи eToken и штатные средства операционных
систем Microsoft Windows 2000/2003. Изучив предлагаемые сегодня различными учебными
центрами курсы, мы остановили свой выбор именно на нем. В рамках курса специалисты
получают как теоретические знания о наиболее распространенной платформе Microsoft
Windows, так и практические навыки внедрения смарт-карт для повышения уровня
безопасности информационной системы.
В настоящей статье мы подробно рассмотрим смарт-карты и USB-ключи, и их использование
в решениях Microsoft Windows.
Ввод пароля не доказывает, что его ввел человек, которому этот пароль на самом
деле принадлежит. Для усиленной аутентификации необходимы следующие условия:
1. Пользователь обязан знать некую информацию (пароль/парольная фраза);
2. Пользователь должен обладать неким предметом (аппаратный ключ, или токен,
кредитная карта, смарт-карта).
Термин смарт-карта используется для обозначения устройств размером с кредитную
карточку, обладающих различными возможностями: карты для хранения данных, бесконтактные
карты. Все они отличаются друг от друга, а также от традиционных карт с магнитной
полосой, обычно используемых для обслуживания банковского счета.
На персональном компьютере и в среде Windows используются карты на основе интегральных
микросхем, так как они могут выполнять сложные криптографические операции. Смарт-карта
это, по существу, миниатюрный компьютер с ограниченной памятью и возможностью
обработки данных, заключенный в форму пластиковой кредитной карточки. Устройства
для чтения смарт-карт достаточно разнообразны и могут подсоединяться к компьютеру
с помощью интерфейса RS-232, PCMCIA или USB.
eToken это первый полнофункциональный аналог смарт-карты, выполненный в виде
брелка. Он напрямую подключается к компьютеру через порт Universal Serial Bus
(USB) и не требует наличия дорогостоящих устройств считывания или других дополнительных
устройств.
Смарт-карты являются важнейшим компонентом инфраструктуры открытых ключей (PKI),
интегрированной Microsoft в Windows 2000. Смарт-карты расширяют возможности
программной аутентификации. Аналогичными функциями обладают и USB-ключи.
eToken (как в виде смарт-карты, так и в виде USB-ключа) обеспечивает:
•физическое хранилище сертификатов, надежно защищенное от взлома;
•изоляцию криптографических операций с личными ключами от операционной
системы;
•возможность использования одних и тех же сертификатов и ключей
на работе, дома или в другом месте за счет мобильности физического хранилища.
eToken может использоваться для аутентификации пользователя в домене Windows
2000 в трех случаях:
•интерактивный вход в систему (interactive logon), при котором
задействуются каталог Active Directory, протокол Kerberos версии 5 и сертификат
открытого ключа;
•удаленный вход в систему (remote logon), использующий сертификат
открытого ключа, протокол Extensible Authentication Protocol Transport Layer
Security (EAP-TLS) для идентификации удаленного пользователя, учетная запись
которого хранится в каталоге Active Directory;
•аутентификация клиента (client authentication) процесс взаимной
идентификации пользователя и домена с помощью сертификата открытого ключа, сопоставленного
с хранящейся в каталоге Active Directory учетной записью.
В следующей статье цикла будет рассмотрена технология PKI.
Приглашаем на новый курс по технологии PKI.
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru