Информатика для юристов и экономистов


Технологии защищенной связи - часть 7


1. Читается ли электронная подпись клиента с помощью его открытого ключа? Если да, то сервер может знать, с кем он имеет дело, однако он еще в этом не уверен. Поскольку связь между клиентом и его доменным именем пока не проверена, он может подозревать, что кто-то воспользовался чужим именем для создания пары ключей и подделки сертификата.

2.Соответствует ли текущая дата периоду действия сертификата? Если нет, сертификат недействителен.

3.Является ли центр сертификации, выдавший сертификат на открытый ключ клиента, доверенным центром? Сервер имеет список центров сертификации, которым доверяет. Если этого центра в списке нет, клиент не будет идентифицирован, пока не будет проверена вся цепочка центров сертификации, то есть, пока она не приведет к центру сертификации, которому сервер доверяет.

4.Соответствует ли публичный ключ центра сертификации его электронной подписи на сертификате, представленном клиентом? Если нет, то сертификату доверять нельзя — он поддельный.

5.Следующая проверка не относится к протоколу 551, но во многих случаях сервер ее проводит. Если клиент корпоративный и тоже представлен Web-сервером, то возможна проверка его доменного имени — имя на сертификате и в реальном сеансе должно быть одним и тем же. Ели же клиент индивидуальный и не имеет доменного имени, на этом этапе сервер может сделать факультативную проверку. Он может обратиться к распределенным сетевым базам данных о людях по протоколу LDAP (Lightweight Directory Access Protocol — Упрощенный протокол доступа к информационным каталогам) и посмотреть, соответствует ли представленный клиентом открытый ключ и сертификат тому, что содержится в информационных каталогах.

 

Эта проверка напоминает проверку по телефонному справочнику. Представьте себе, что вам позвонил неизвестный, представился участковым инспектором и попросил дать информацию о соседях. Вы сообщаете ему, что сами перезвоните через несколько минут и вешаете трубку. Далее вы определяете по телефонному справочнику номер своего участкового, звоните по этому номеру, и, если он снимает трубку, значит, можно предположить, что он действительно тот, за кого себя выдает.

Проверка в информационных каталогах может показать, например, что у представившегося клиента на самом деле иной открытый ключ и, соответственно, сертификат. Возможно, она покажет, что сертификат подлинный, но по каким-то причинам был недавно отозван.

 

6.Самая последняя проверка также не относится к протоколу 55i и определяется внутренней политикой администрации сервера. По установленному имени клиента сервер определяет, имеет ли тот право на предоставление тех услуг или ресурсов, которые запросил.

 




Начало  Назад  Вперед



Книжный магазин