ProHoster > Blog > Stjórnsýsla > Reynsla af notkun Rutoken tækni til að skrá og heimila notendur í kerfinu (hluti 1)

Reynsla af notkun Rutoken tækni til að skrá og heimila notendur í kerfinu (hluti 1)

Góðan daginn Mig langar að deila reynslu minni um þetta efni.

Rutoken er vélbúnaðar- og hugbúnaðarlausnir á sviði auðkenningar, upplýsingaöryggis og rafrænnar undirskriftar. Í meginatriðum er þetta glampi drif sem getur geymt auðkenningargögn sem notandinn notar til að skrá sig inn í kerfið.

Í þessu dæmi er Rutoken EDS 2.0 notað.

Til að vinna með þetta Rutoken þarftu setja upp bílstjóri á windows.

Fyrir Windows tryggir það að setja upp aðeins einn rekla að allt sem þarf sé uppsett þannig að stýrikerfið sjái Rutoken þinn og geti unnið með það.

Þú getur haft samskipti við Rutoken á ýmsa vegu. Þú getur fengið aðgang að því frá miðlarahlið forritsins eða beint frá biðlarahlið. Þetta dæmi mun skoða samskipti við Rutoken frá viðskiptavinahlið forritsins.

Biðlarahluti forritsins hefur samskipti við rutoken í gegnum rutoken viðbótina. Þetta er forrit sem er sett upp sérstaklega á hverjum vafra. Fyrir Windows þarftu bara að hlaða niður og setja upp viðbótina, staðsett á þessum hlekk.

Það er það, nú getum við haft samskipti við Rutoken frá viðskiptavinahlið forritsins.

Þetta dæmi fjallar um hugmyndina um að innleiða notendaheimildaralgrím í kerfinu með því að nota áskorunar-viðbragðskerfið.

Kjarni hugmyndarinnar er sem hér segir:

  1. Viðskiptavinurinn sendir heimildarbeiðni til netþjónsins.
  2. Miðlarinn svarar beiðni frá viðskiptavininum með því að senda handahófskennda streng.
  3. Viðskiptavinurinn fyllir þennan streng með handahófi 32 bita.
  4. Viðskiptavinurinn undirritar móttekna strenginn með vottorðinu.
  5. Viðskiptavinurinn sendir mótteknu dulkóðuðu skilaboðunum til netþjónsins.
  6. Miðlarinn staðfestir undirskriftina með því að fá upprunalegu ódulkóðuðu skilaboðin.
  7. Miðlarinn fjarlægir síðustu 32 bitana úr mótteknu ódulkóðuðu skilaboðunum.
  8. Miðlarinn ber saman móttekna niðurstöðu við skilaboðin sem voru send þegar óskað var eftir heimild.
  9. Ef skilaboðin eru þau sömu telst heimildin hafa tekist.

Í ofangreindu reikniritinu er eitthvað sem heitir vottorð. Fyrir þetta dæmi þarftu að skilja einhverja dulritunarkenningu. Á Habré er frábær grein um þetta efni.

Í þessu dæmi munum við nota ósamhverfar dulkóðunaralgrím. Til að innleiða ósamhverfar reiknirit verður þú að hafa lyklapar og vottorð.

Lyklapar samanstendur af tveimur hlutum: einkalykli og opinberum lykli. Einkalykillinn, eins og nafnið gefur til kynna, verður að vera leyndur. Við notum það til að afkóða upplýsingar. Almenna lyklinum er hægt að dreifa til hvers sem er. Þessi lykill er notaður til að dulkóða gögn. Þannig getur hvaða notandi sem er dulkóðað gögn með því að nota opinbera lykilinn, en aðeins eigandi einkalykilsins getur afkóðað þessar upplýsingar.

Vottorð er rafrænt skjal sem inniheldur upplýsingar um notandann sem á skírteinið, auk almenningslykils. Með vottorði getur notandinn undirritað hvaða gögn sem er og sent þau á netþjóninn sem getur staðfest undirskriftina og afkóða gögnin.

Til þess að undirrita skeyti rétt með vottorði þarftu að búa það til rétt. Til að gera þetta er fyrst búið til lyklapar á Rutoken og síðan þarf að tengja vottorð við almenningslykil þessa lyklapars. Vottorðið verður að hafa nákvæmlega þann opinbera lykil sem er staðsettur á Rutoken, þetta er mikilvægt. Ef við búum einfaldlega til lyklapar og vottorð strax á biðlarahlið forritsins, hvernig getur þá þjónninn afkóðað þessi dulkóðuðu skilaboð? Enda veit hann ekkert um hvorki lyklaparið né skírteinið.

Ef þú kafar dýpra í þetta efni geturðu fundið áhugaverðar upplýsingar á netinu. Það eru ákveðin vottunaryfirvöld sem við treystum augljóslega. Þessi vottunaryfirvöld geta gefið út skírteini til notenda; þau setja upp þessi vottorð á netþjóninum sínum. Eftir þetta, þegar viðskiptavinurinn fer inn á þennan netþjón, sér hann einmitt þetta vottorð og sér að það var gefið út af vottunaryfirvaldi, sem þýðir að hægt er að treysta þessum netþjóni. Það er líka fullt af upplýsingum á netinu um hvernig eigi að setja allt rétt upp. Til dæmis er hægt að byrja á þessu.

Ef við snúum okkur aftur að vanda okkar virðist lausnin augljós. Þú þarft einhvern veginn að búa til þína eigin vottunarmiðstöð. En áður en það gerist þarftu að finna út á hvaða grundvelli vottunarmiðstöðin ætti að gefa út vottorð til notandans, því hann veit ekkert um það. (Til dæmis fornafn hans, eftirnafn o.s.frv.) Það er til eitthvað sem heitir vottorðsbeiðni. Frekari upplýsingar um þennan staðal er til dæmis að finna á Wikipedia ru.wikipedia.org/wiki/PKCS
Við munum nota útgáfu 1.7 - PKCS#10.

Leyfðu okkur að lýsa reikniritinu til að búa til vottorð á Rutoken (upprunaleg heimild: skjöl):

  1. Við búum til lyklapar á viðskiptavininn og vistum það á Rutoken. (vistun á sér stað sjálfkrafa)
  2. Við búum til vottorðsbeiðni á viðskiptavininn.
  3. Frá viðskiptavininum sendum við þessa beiðni til netþjónsins.
  4. Þegar við fáum beiðni um vottorð á netþjóninum gefum við út vottorð frá vottunaryfirvöldum okkar.
  5. Við sendum þetta vottorð til viðskiptavinarins.
  6. Við vistum Rutoken vottorðið á viðskiptavininum.
  7. Vottorðið verður að vera bundið við lyklaparið sem var búið til í fyrsta skrefi.

Nú kemur í ljós hvernig þjónninn mun geta afkóðað undirskrift viðskiptavinarins, þar sem hann gaf honum sjálfur út vottorðið.

Í næsta hluta munum við skoða nánar hvernig á að setja upp vottorðsyfirvaldið þitt byggt á fullbúnu opnum dulritunarsafninu openSSL.

Heimild: www.habr.com

Bæta við athugasemd