ProHoster > blog > Gweinyddiaeth > Profiad o ddefnyddio technoleg Rutoken ar gyfer cofrestru ac awdurdodi defnyddwyr yn y system (rhan 1)

Profiad o ddefnyddio technoleg Rutoken ar gyfer cofrestru ac awdurdodi defnyddwyr yn y system (rhan 1)

Prynhawn Da Rwyf am rannu fy mhrofiad ar y pwnc hwn.

Mae Rutoken yn atebion caledwedd a meddalwedd ym maes dilysu, diogelwch gwybodaeth a llofnod electronig. Yn y bΓ΄n, gyriant fflach yw hwn sy'n gallu storio data dilysu y mae'r defnyddiwr yn ei ddefnyddio i fewngofnodi i'r system.

Yn yr enghraifft hon, defnyddir Rutoken EDS 2.0.

I weithio gyda'r Rutoken hwn mae angen ichi gosod gyrrwr ar ffenestri.

Ar gyfer Windows, mae gosod un gyrrwr yn unig yn sicrhau bod popeth sydd ei angen yn cael ei osod fel bod yr OS yn gweld eich Rutoken ac yn gallu gweithio gydag ef.

Gallwch chi ryngweithio Γ’ Rutoken mewn sawl ffordd. Gallwch gael mynediad iddo o ochr gweinydd y cais, neu'n uniongyrchol o ochr y cleient. Bydd yr enghraifft hon yn edrych ar ryngweithio Γ’ Rutoken o ochr cleient y cais.

Mae rhan cleient y cymhwysiad yn rhyngweithio Γ’'r rutoken trwy'r ategyn rutoken. Mae hon yn rhaglen sy'n cael ei gosod ar wahΓ’n ar bob porwr. Ar gyfer Windows does ond angen i chi lawrlwytho a gosod yr ategyn, lleoli ar y ddolen hon.

Dyna ni, nawr gallwn ryngweithio Γ’ Rutoken o ochr cleient y cais.

Mae'r enghraifft hon yn trafod y syniad o weithredu algorithm awdurdodi defnyddiwr yn y system gan ddefnyddio'r cynllun her-ymateb.

Mae hanfod y syniad fel a ganlyn:

  1. Mae'r cleient yn anfon cais awdurdodi i'r gweinydd.
  2. Mae'r gweinydd yn ymateb i gais gan y cleient trwy anfon llinyn ar hap.
  3. Mae'r cleient yn padio'r llinyn hwn gyda 32 did ar hap.
  4. Mae'r cleient yn llofnodi'r llinyn a dderbyniwyd gyda'i dystysgrif.
  5. Mae'r cleient yn anfon y neges wedi'i hamgryptio a dderbyniwyd i'r gweinydd.
  6. Mae'r gweinydd yn gwirio'r llofnod trwy dderbyn y neges wreiddiol heb ei hamgryptio.
  7. Mae'r gweinydd yn tynnu'r 32 did olaf o'r neges heb ei hamgryptio a dderbyniwyd.
  8. Mae'r gweinydd yn cymharu'r canlyniad a dderbyniwyd gyda'r neges a anfonwyd wrth ofyn am awdurdodiad.
  9. Os yw'r negeseuon yr un peth, yna ystyrir bod yr awdurdodiad yn llwyddiannus.

Yn yr algorithm uchod mae y fath beth Γ’ thystysgrif. Ar gyfer yr enghraifft hon, mae angen i chi ddeall rhywfaint o theori cryptograffig. Ar HabrΓ© mae erthygl wych ar y pwnc hwn.

Yn yr enghraifft hon, byddwn yn defnyddio algorithmau amgryptio anghymesur. Er mwyn gweithredu algorithmau anghymesur, rhaid bod gennych bΓ’r allweddol a thystysgrif.

Mae pΓ’r allwedd yn cynnwys dwy ran: allwedd breifat ac allwedd gyhoeddus. Rhaid i'r allwedd breifat, fel y mae ei enw'n ei awgrymu, fod yn gyfrinachol. Rydym yn ei ddefnyddio i ddadgryptio gwybodaeth. Gellir dosbarthu'r allwedd gyhoeddus i unrhyw un. Defnyddir yr allwedd hon i amgryptio data. Felly, gall unrhyw ddefnyddiwr amgryptio data gan ddefnyddio'r allwedd gyhoeddus, ond dim ond perchennog yr allwedd breifat all ddadgryptio'r wybodaeth hon.

Mae tystysgrif yn ddogfen electronig sy'n cynnwys gwybodaeth am y defnyddiwr sy'n berchen ar y dystysgrif, yn ogystal ag allwedd gyhoeddus. Gyda thystysgrif, gall y defnyddiwr lofnodi unrhyw ddata a'i anfon at y gweinydd, a all wirio'r llofnod a dadgryptio'r data.

Er mwyn llofnodi neges yn gywir gyda thystysgrif, mae angen i chi ei chreu'n gywir. I wneud hyn, mae pΓ’r allwedd yn cael ei greu yn gyntaf ar Rutoken, ac yna rhaid cysylltu tystysgrif ag allwedd gyhoeddus y pΓ’r allwedd hwn. Rhaid i'r dystysgrif fod Γ’'r union allwedd gyhoeddus sydd wedi'i lleoli ar Rutoken, mae hyn yn bwysig. Os ydym yn syml yn creu pΓ’r allweddol a thystysgrif ar unwaith ar ochr cleient y cais, yna sut gall y gweinydd wedyn ddadgryptio'r neges hon wedi'i hamgryptio? Wedi'r cyfan, nid yw'n gwybod dim byd o gwbl am y pΓ’r allweddol na'r dystysgrif.

Os plymiwch yn ddyfnach i'r pwnc hwn, gallwch ddod o hyd i wybodaeth ddiddorol ar y Rhyngrwyd. Mae yna rai awdurdodau ardystio yr ydym yn amlwg yn ymddiried ynddynt. Gall yr awdurdodau ardystio hyn roi tystysgrifau i ddefnyddwyr; maent yn gosod y tystysgrifau hyn ar eu gweinydd. Ar Γ΄l hyn, pan fydd y cleient yn cyrchu'r gweinydd hwn, mae'n gweld yr union dystysgrif hon, ac yn gweld ei bod wedi'i chyhoeddi gan awdurdod ardystio, sy'n golygu y gellir ymddiried yn y gweinydd hwn. Mae yna hefyd ddigonedd o wybodaeth ar y Rhyngrwyd am sut i osod popeth yn gywir. Er enghraifft, gallwch chi ddechrau gyda hyn.

Os byddwn yn dychwelyd at ein problem, mae'r ateb yn ymddangos yn amlwg. Mae angen i chi rywsut greu eich canolfan ardystio eich hun. Ond cyn hynny, mae angen i chi ddarganfod ar ba sail y dylai'r ganolfan ardystio roi tystysgrif i'r defnyddiwr, oherwydd nid yw'n gwybod dim amdano. (Er enghraifft, ei enw cyntaf, ei enw olaf, ac ati) Mae yna beth o'r fath a elwir yn gais am dystysgrif. Ceir rhagor o wybodaeth am y safon hon, er enghraifft, ar Wicipedia ru.wikipedia.org/wiki/PKCS
Byddwn yn defnyddio fersiwn 1.7 - PKCS#10.

Gadewch inni ddisgrifio'r algorithm ar gyfer cynhyrchu tystysgrif ar Rutoken (ffynhonnell wreiddiol: dogfennaeth):

  1. Rydym yn creu pΓ’r allweddol ar y cleient ac yn ei gadw ar Rutoken. (mae arbed yn digwydd yn awtomatig)
  2. Rydym yn creu cais am dystysgrif ar y cleient.
  3. O'r cleient rydym yn anfon y cais hwn at y gweinydd.
  4. Pan fyddwn yn derbyn cais am dystysgrif ar y gweinydd, rydym yn cyhoeddi tystysgrif gan ein hawdurdod ardystio.
  5. Rydym yn anfon y dystysgrif hon at y cleient.
  6. Rydym yn arbed y dystysgrif Rutoken ar y cleient.
  7. Rhaid rhwymo'r dystysgrif i'r pΓ’r allwedd a grΓ«wyd yn y cam cyntaf.

Nawr mae'n dod yn amlwg sut y bydd y gweinydd yn gallu dadgryptio llofnod y cleient, gan iddo ei hun gyhoeddi'r dystysgrif iddo.

Yn y rhan nesaf, byddwn yn edrych yn agosach ar sut i sefydlu'ch awdurdod tystysgrif yn seiliedig ar y llyfrgell cryptograffeg ffynhonnell agored lawn OpenSSL.

Ffynhonnell: hab.com

Ychwanegu sylw