Компьютерные сети. Принципы, технологии, протоколы (Олифер, Олифер) - страница 735
Когда пользователь хочет подтвердить свою личность, он предъявляет свой сертификат в двух формах: открытой (то есть такой, в которой он получил его в сертифицирующей организации) и зашифрованной с применением своего закрытого ключа (рис. 24.17). Сторона, проводящая аутентификацию, берет из незашифрованного сертификата открытый ключ пользователя и расшифровывает с его помощью зашифрованный сертификат. Совпадение результата с открытым сертификатом подтверждает, что предъявитель действительно является владельцем закрытого ключа, соответствующего указанному открытому.
Затем с помощью известного открытого ключа указанной в сертификате организации проводится расшифровка подписи этой организации в сертификате. Если в результате получается тот же сертификат р тем же именем пользователя и его открытым ключом, значит, он действительно прошел регистрацию в сертификационном центре, является тем, за кого себя выдает, и указанный в сертификате открытый ключ действительно принадлежит ему.
Сертификаты можно использовать не только для аутентификации, но и для предоставления избирательных прав доступа. Для этого 6 сертификат могут вводиться дополнительные поля, в которых указывается принадлежность его владельцев к той или иной категории пользователей. Эта категория назначается сертифицирующей организацией в зависимо-
сти от условий, на которых выдается сертификат. Например, организация, поставляющая через Интернет на коммерческой основе информацию, может выдавать сертификаты определенной категории пользователям, оплатившим годовую подписку на некоторый бюллетень, тогда веб-сервер будет предоставлять доступ к страницам бюллетеня только пользователям, предъявившим сертификат данной категории.
Сертифицирующая
организация
□ □□□□ □ □□□□ □ □□□□ □ □□□□
Выдача
сертификата
| Открытые ключисертифицирующихорганизаций |
|---|
 |
Сведения о пользователе
| Запрос на получение сертификата |
|---|
 |
| Сертификат, зашифрованный закрытым ключом пользователя | |
|---|---|
| СЕРТИФИКАТ | |
| Имнов Ими Иванович | 0110010 |
| Валютный цантр-Профсоюанап | 0100111 |
| Тал 246-70-44 Фалс Армадилле | 0101110 |
| ■111 | 01111010110100 |
Запрос на аутентификацию
Электронная подпись
сертифицирующей
организации
it
ТУ
Открытый и закрытый ключи пользователя
Открытый и закрытый ключи сертифицирующей организации
Рис. 24.17. Аутентификация пользователей на основе сертификатов
Подчеркнем тесную связь открытых ключей с сертификатами. Сертификат является удостоверением не только личности, но и принадлежности открытого ключа. Цифровой сертификат устанавливает и гарантирует соответствие между открытым ключом и его владельцем. Это предотвращает угрозу подмены открытого ключа. Если некоторый абонент А получает по сети сертификат от абонента Б, то он может быть уверен, что открытый ключ, содержащийся в сертификате, гарантированно принадлежит абоненту Б, адрес и другие сведения о котором содержатся в этом сертификате. Это значит, что абонент А может без опасений использовать открытый ключ абонента Б для секретных посланий в адрес последнего.