0

Аутентификация пользователя осуществляется для

Опубликовано автором admin

В наши дни не обязательно идти в банк, чтобы совершить какие-либо денежные переводы; не обязательно идти в энергопоставляющую компанию, чтобы оплатить счет за электрический свет; не обязательно идти на железнодорожный вокзал, чтобы приобрести билеты на поезд — все эти и другие подобные вопросы, занимающие массу времени, упрощаются и решаются с помощью Интернета.

Сегодня есть множество областей, где выполнение задачи достигается за счет взаимодействия человека с компьютером — путем использования какого-либо сайта или приложения на мобильном устройстве. Подобные системы должны иметь надлежащий уровень защиты и первое с чем сталкивается пользователь при их использование — это идентификация, аутентификация и авторизация. В чем разница между ними? Давайте рассмотрим подробнее.

Что такое идентификация?

Предположим, что есть определенная система или база данных, где содержится ряд из параметров (идентификаторов), например:

  • ID пользователя;
  • ФИО (фамилия, имя и отчество);
  • номер телефона;
  • IMEI-устройства;
  • адрес электронной почты;
  • логин (никнейм);
  • реквизиты банковской карты;
  • номер автомобиля;
  • серийный номер (штрих-код);
  • трек-номер;
  • смарт-карта;
  • адрес веб-сайта;
  • и т. д.

Каждый раз, когда что-либо покупаете в Интернете, где-либо регистрируетесь, Вы получаете идентификатор — определенный параметр позволяющий взаимодействовать с системой. Как правило, он является уникальным — не пересекается с другими информационными системами, участниками и пользователями. Таким образом, при необходимости получить доступ к системе или узнать какие-либо сведения, потребуется предоставить один или несколько идентификаторов. Исходя из этого, можно сказать, что идентификации — процесс позволяющий однозначно определить (распознать) субъект или объект, по его идентификатору, в той или иной системе.

Для большего понимания давайте рассмотрим на примере простой ситуации. Вы находитесь дома, занимаетесь своими делами: смотрите фильмы для взрослых, делаете физические упражнения или читаете статью про кибербезопасность на моём сайте. В один момент Вы слышите звонок в дверь, прекращаете заниматься своей деятельностью и направляетесь открывать. Подойдя к двери смотрите в глазок, но никого не видите, спрашиваете: "Кто там?" и слышите в ответ: "Это я, ИМЯ человека!". Имя человека по ту стороны двери, в данной ситуации, является идентификатором. Правильный или неправильный ответ на вопрос — процесс идентификации.

Рассмотрим на примере другой ситуации. Вы совершаете звонок в банк с целью получить какую-либо информацию по Вашей банковской карте. Сотрудник, отвечающий на Ваш звонок, прежде чем предоставить информацию, обязан Вас идентифицировать. Помимо номера телефона, он может запросить у Вас другой идентификатор, например, номер банковской карты или ФИО. Ваш ответ, в данном случае — идентификация.

Что такое аутентификация?

Для того чтобы предотвратить несанкционированный доступ к системе и данным, одной лишь идентификации недостаточно, поэтому применяют аутентификацию, а в последнее время, все более актуальным становится вопрос — двухфакторной аутентификации. Использование той или иной характеристики в системе зависит от требуемой надёжности, защищённости и стоимости внедрения.

Понятие аутентификации подразумевает проверку подлинности идентификатора или человека (объекта или субъекта). Для этого выделяют три основных фактора аутентификации:

  • знания (то, что известно только нам) – пароль, ПИН-код, графический ключ и т. д.;
  • владения (то, что имеем только мы) – мобильное устройство, смарт-карта, ключ и т. п.;
  • свойства (то, что является нашей неотъемлемой частью) – биометрические параметры (отпечатки пальцев и ладони, голос, сетчатка глаза и т. д.).

Для общего понимания, рассмотрим на предыдущих примерах. В первом случае, когда к Вам приходят незваные гости и на вопрос "Кто там?" в ответ слышите только имя — это будет идентификация. Порой ее недостаточно, поэтому если спросить какую-либо информацию (фактор аутентификации), которую знает только данный человек, например: "Какое у Вас имя? Сколько лет? На какой ягодице у Вас родинка? и т.д.", то ответ данного человека — аутентификация.

Во случае общения с сотрудником в банке, если информация или требуемые действия будут выходить за рамки идентификации, то сотрудник, для подтверждения подлинности, попросит уточнить фактор аутентификации, например, кодовое слово или последние 3 операции по карте (с точным перечислением содержимого и стоимости). Ваш ответ на его запрос — процесс аутентификации.

Что такое авторизация?

Предоставление доступа к той или иной системе, присутствие в ней и выполнения определенных действий — авторизация. Понятие подразумевает, что человек прошедший авторизацию получает полное право выполнять действия в рамках его привилегий и полномочий, для этого в информационной системе могут применять три основные категории:

  • избирательное управление доступом — доступ к информации и выполнению тех или иных действий предоставлен определённому пользователю или группе пользователей;
  • мандатное управление — предоставление и ограничение доступа к информации по степени ее секретности. Действия пользователей регламентируется уровнями доступа или же должностью пользователей;
  • доступ по ролям — гибкая форма разграничения доступа, сочетающая две предыдущие, которая варируется в зависимости от ситуации, в конкретный период времени.

Если рассмотреть на приведенных примерах, то в первом случае, если человек пройдет идентификацию и аутентификацию, и Вы откроете ему дверь для доступа в квартиру — это будет считаться авторизацией.

Вторая ситуация, в момент, когда банковский сотрудник получит необходимые ему сведения, а затем предоставит или сделает желаемое для Вас (например, перевод денежных средств) – этот процесс будет называться авторизацией.

Связь между идентификацией, аутентификацией и авторизацией

«. скованные одной цепью
связанные одной целью. »

Все три выше перечисленных процесса взаимодействуют между собой и не существуют друг без друга. В первую формируется идентификатор, затем происходит подтверждения подлинности и соответствия, а в последствие — Вы пользуетесь всеми возможностями и преимуществами системы, в рамках своих полномочий.

В Интернете на каком-либо сайте это будет выглядеть подобным образом:

  1. идентификация — проходите регистрацию;
  2. аутентификация — используете логин и пароль;
  3. авторизация — пользуетесь предоставленными ресурсами и возможностями.

К слову говоря, Вы сразу же перейти к практике — зарегистрироваться здесь на сайте, затем войти с помощью логина и пароля и воспользоваться возможностями, которые имеют только пользователи, например, написать комментарий.

Читайте также:  Дополнительный рабочий стол windows 7

Основы идентификации и аутентификации. Одной из важных задач обеспечения защиты от НСД является использование методов и средств, позволяющих одной (проверяющей) стороне убедиться в подлинности другой (проверяемой) стороны.

С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его. Это может быть число или строка символов. Эту информацию называют идентификатором субъекта. Если пользователь имеет идентификатор, зарегистрированный в сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным. Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс первичного взаимодействия с компьютерной системой, который включает идентификацию и аутентификацию.

Идентификация — это процедура распознавания пользователя по его идентификатору (имени). Эта функция выполняется в первую очередь, когда пользователь делает попытку войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.

Аутентификация — процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, неизвестную другим пользователям информацию о себе (например, пароль).

Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы, можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация. Процесс идентификации и аутентификации показан на рис. 5.24.

Рис. 5.24. Процесс идентификации и аутентификации

Авторизация — процедура предоставления субъекту определенных полномочий и ресурсов в данной системе. Иными словами, авторизация устанавливает сферу действия субъекта и доступные ему ресурсы. Если система не может надежно отличить авторизованное лицо от неавторизованного, конфиденциальность и целостность информации в ней могут быть нарушены.

С процедурами идентификации и авторизации тесно связана процедура администрирования действий пользователя.

Администрирование — это регистрация действий пользователя в сети, включая его попытки доступа к ресурсам. Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них. Записи в системном журнале, аудиторские проверки и администрирование ПО — все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором.

Для подтверждения своей подлинности субъект может предъявлять системе разные сущности. В зависимости от предъявляемых субъектом сущностей процессы аутентификации могут быть разделены на следующие категории:

  • 1. На основе знания чего-либо. Примерами могут служить пароль, персональный идентификационный код (PIN), а также секретные и открытые ключи, знание которых демонстрируется в протоколах типа запрос—ответ.
  • 2. На основе обладания чем-либо. Обычно это магнитные карты, смарт-карты, сертификаты и устройства touch memory.
  • 3. На основе каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голос, радужная оболочка и сетчатка глаза, отпечатки пальцев, геометрия ладони и др.) В данной категории не используются криптографические методы и средства. Аутентификация на основе биометрических характеристик применяется для контроля доступа в помещения или к какой-либо технике.

Пароль — это то, что знает пользователь и что также знает другой участник взаимодействия. Для взаимной аутентификации участников взаимодействия может быть организован обмен паролями между ними.

Персональный идентификационный код PIN является испытанным способом аутентификации держателя пластиковой карты и смарт-карты. Секретное значение PIN-кода должно быть известно только держателю карты.

Динамический (одноразовый) пароль — это пароль, который после одноразового применения никогда больше не используется. На практике обычно используется регулярно меняющееся значение, которое базируется на постоянном пароле или ключевой фразе.

При сравнении и выборе протоколов аутентификации необходимо учитывать следующие характеристики:

  • 1. Наличие взаимной аутентификации. Это свойство отражает необходимость обоюдной аутентификации между сторонами аутентификационного обмена.
  • 2. Вычислительная эффективность. Количество операций, необходимых для выполнения протокола.
  • 3. Коммуникационная эффективность. Данное свойство отражает количество сообщений и их длину, необходимую для осуществления аутентификации.
  • 4. Наличие третьей стороны. Примером третьей стороны может служить доверенный сервер распределения симметричных ключей или сервер, реализующий дерево сертификатов для распределения открытых ключей.
  • 5. Гарантии безопасности. Примером может служить применение шифрования и цифровой подписи [51].

Классификация протоколов аутентификации. Протоколы (процессы, алгоритмы) аутентификации обычно классифицируют по уровню обеспечиваемой безопасности [51]. В соответствии с данным подходом процессы аутентификации разделяются на следующие типы.

  • а) аутентификация, использующая пароли и РПУ-коды;
  • б) строгая аутентификация на основе использования криптографических методов и средств;
  • в) биометрическая аутентификация пользователей.

С точки зрения безопасности, каждый из перечисленных типов способствует решению своих специфических задач, поэтому процессы и протоколы аутентификации активно используются на практике. В то же время следует отметить, что интерес к протоколам аутентификации, обладающим свойством доказательства с нулевым знанием, носит скорее теоретический, нежели практический характер, но, возможно, в будущем их начнут активно использовать для защиты информационного обмена. Классификация протоколов аутентификации представлена на рис. 5.25.

Методы аутентификации, использующие пароли и РШ-коды. Одной из распространенных схем аутентификации является простая аутентификация, которая основана на применении традиционных многоразовых и динамических (одноразовых) паролей. Аутентификация на основе паролей и Р/№-кодов является простым и наглядным примером использования разделяемой информации. Пока в большинстве

Рис. 5.25. Классификация протоколов аутентификации

защищенных компьютерных сетей доступ клиента к серверу разрешается по паролю. Однако все чаще применяются более эффективные средства аутентификации, например, программные и аппаратные системы аутентификации на основе одноразовых паролей, смарт-карт, Р/УУ-кодов и цифровых сертификатов.

Процедуру простой аутентификации пользователей в сети можно представить следующим образом. При попытке входа в сеть пользователь набирает на клавиатуре ПЭВМ свой идентификатор и пароль. Эти данные поступают для обработки на сервер аутентификации. В базе данных сервера по идентификатору пользователя находится соответствующая запись, из нее извлекается пароль и сравнивается с тем паролем, который ввел пользователь. Если они совпали, то аутентификация прошла успешно, пользователь получает легальный статус, а также права и ресурсы сети, которые определены для его статуса системой авторизации.

Читайте также:  Ворлд оф танкс не запускается клиент

Передача идентификатора и пароля от пользователя к системе может проводиться в открытом и зашифрованном виде.

Схема простой аутентификации с использованием пароля показана на рис. 5.26.

Рис. 5.26. Схема простой аутентификации с использованием пароля

Очевидно, что вариант аутентификации с передачей пароля пользователя в незашифрованном виде не гарантирует даже минимального уровня безопасности. Чтобы защитить пароль, его нужно зашифровать перед посылкой по незащищенному каналу. Для этого в схему включены средства шифрования Ек и дешифрования DK, управляемые секретным ключом К. Проверка подлинности пользователя основана на сравнении присланного пользователем пароля Ра и исходного значения Ра, хранящегося на сервере аутентификации. Если значения Ра и Ра совпадают, то пароль Ра считается подлинным, а пользователь А — законным.

Наиболее распространенным методом аутентификации держателя пластиковой карты и смарт-карты является ввод секретного числа, которое обычно называют PIN-кодом. Зашита /V/V-кода карты является критичной для безопасности всей системы. Карты могут быть потеряны, украдены или подделаны. В таких случаях единственной контрмерой против несанкционированного доступа остается секретное значение PIN- кода. Вот почему открытая форма PIN должна быть известна только законному держателю карты. Очевидно, значение PIN нужно держать в секрете в течение всего срока действия карты.

Длина PIN- кода должна быть достаточно большой, чтобы минимизировать вероятность определения правильного PIN-кот методом проб и ошибок. С другой стороны, длина PIN-кода должна быть достаточно короткой, чтобы дать возможность держателям карт запомнить его значение. Согласно рекомендациям стандарта /50 9564-1 длина Я/УУ-кода должна содержать от 4 до 12 буквенно-цифровых символов. Однако в большинстве случаев ввод нецифровых символов технически невозможен, поскольку доступна только цифровая клавиатура. Поэтому обычно Я/УУ-код представляет собой 4—6-разрядное число, каждая цифра которого может принимать значение от 0 до 9.

Различают статические и изменяемые Я/УУ-коды. Статический РШ-код не может быть изменен пользователем, поэтому пользователь должен надежно его хранить. Если он станет известен постороннему, пользователь должен уничтожить карту и получить новую карту с другим фиксированным Я/УУ-кодом.

Изменяемый Р1И-код может быть изменен согласно пожеланиям пользователя или заменен на число, которое пользователю легче запомнить. Простейшей атакой на Я/УУ-код, помимо подглядывания через плечо за вводом его с клавиатуры, является угадывание его значения. Вероятность угадывания зависит от длины п угадываемого Я/УУ-кода, от составляющих его символов т (для цифрового кода т = 10, для буквенного — т = 32, для буквенно-цифрового — т = 42 и т.д.), от количества разрешенных попыток ввода /’ и выражается формулой:

Если Я/УУ-код состоит из 4 десятичных цифр, а число разрешенных попыток ввода равно трем, т.е. п = 4, т = 10, / = 3, то вероятность угадывания правильного значения Я/УУ-кода составит Я = 3/10 4 = = 0,00003, или 0,03%.

Строгая аутентификация на основе использования криптографических методов и средств. Идея строгой аутентификации, реализуемая в криптографических протоколах, заключается в следующем. Проверяемая (доказывающая сторона) доказывает свою подлинность проверяющей стороне, демонстрируя знание некоторого секрета [44, 51]. Например, этот секрет может быть предварительно распределен безопасным способом между сторонами аутентификационного обмена. Доказательство знания секрета осуществляется с помощью последовательности запросов и ответов с использованием криптографических методов и средств.

Существенным является тот факт, что доказывающая сторона демонстрирует только знание секрета, но сам секрет в ходе аутентификационного обмена не раскрывается. Это обеспечивается посредством ответов доказывающей стороны на различные запросы проверяющей стороны. При этом результирующий запрос зависит только от пользовательского секрета и начального запроса, который обычно представляет произвольно выбранное в начале протокола большое число.

В большинстве случаев строгая аутентификация заключается в том, что каждый пользователь аутентифицируется по признаку владения своим секретным ключом. Иначе говоря, пользователь имеет возможность определить, владеет ли его партнер по связи надлежащим секретным ключом и может ли он использовать этот ключ для подтверждения того, что он действительно является подлинным партнером и по информационному обмену.

В соответствии с рекомендациями стандарта Х.509 различают процедуры строгой аутентификации следующих типов:

  • а) односторонняя аутентификация;
  • б) двусторонняя аутентификация;
  • в) трехсторонняя аутентификация.

Односторонняя аутентификация предусматривает обмен информацией только в одном направлении. Данный тип аутентификации позволяет:

  • — подтвердить подлинность только одной стороны информационного обмена;
  • — обнаружить нарушение целостности передаваемой информации;
  • — обнаружить проведение атаки типа «повтор передачи»;
  • — гарантировать, что передаваемыми аутентификационными данными может воспользоваться только проверяющая сторона.

Двусторонняя аутентификация по сравнению с односторонней содержит дополнительный ответ проверяющей стороны доказывающей стороне, который должен убедить ее, что связь устанавливается именно с той стороны, которой были предназначены аутентификационные данные.

Трехсторонняя аутентификация содержит дополнительную передачу данных от доказывающей стороны проверяющей. Этот подход позволяет отказаться от использования меток времени при проведении аутентификации.

В зависимости от используемых криптографических алгоритмов протоколы строгой аутентификации можно разделить на следующие группы (рис. 5.27).

1. Протоколы аутентификации с симметричными алгоритмами шифрования. Для работы данных протоколов необходимо, чтобы проверяющий и доказывающий с самого начала имели один и тот же

Рис. 5.27. Классификация протоколов строгой аутентификации

секретный ключ. Для закрытых систем с небольшим количеством пользователей каждая пара пользователей может заранее разделить его между собой. В больших распределенных системах часто используются протоколы аутентификации с участием доверенного сервера, с которым каждая сторона разделяет знание ключа. Такой сервер распределяет сеансовые ключи для каждой пары пользователей всякий раз, когда один из них запрашивает аутентификацию другого. Кажущаяся простота данного метода является обманчивой, на самом деле разработка протоколов аутентификации этого типа является сложной и с точки зрения безопасности неочевидной.

Протоколы аутентификации с симметричными алгоритмами шифрования реализуются в следующих вариантах:

  • а) односторонняя аутентификация с использованием меток времени;
  • б) односторонняя аутентификация с использованием случайных чисел;
  • в) двусторонняя аутентификация.
Читайте также:  Диагностика автономного отопителя эберспехер своими руками

Введем следующие обозначения:

гА случайное число, сгенерированное участником А;

г В — случайное число, сгенерированное участником В;

/Д — метка времени, сгенерированная участником А;

Ек симметричное шифрование на ключе К (ключ Одолжен быть предварительно распределен между А и В).

Математическая модель односторонней аутентификации с использованием меток времени выглядит следующим образом:

После получения и расшифрования данного сообщения участник ? убеждается в том, что метка времени действительна, и идентификатор В, указанный в сообщении, совпадает с его собственным.

Предотвращение повторной передачи данного сообщения основывается на том, что без знания ключа невозможно изменить метку времени іЛ и идентификатор В.

Модель односторонней аутентификации с использованием слу-чаиных чисел можно представить в следующем виде:

Рис. 5.29. Применение односторонней хеш-функции к сообщению,

дополненному секретным ключом К

Участник В выбирает случайным образом г и вычисляет значение л: = h (г) (значение л: демонстрирует знание г без раскрытия самого значения г), далее он вычисляет значение е = РА(г, В). Под РА подразумевается алгоритм несимметричного шифрования (например, RSA, Шнорра, Эль-Гамаля, Вильямса, LUC и т.д.), а под И(-) — хеш-функция. Участник В отправляет сообщение (2.11) участнику А. Участник А расшифровывает е = РА(г, В) и получает значения г’ и В’, а также вычисляетх’= И(г). После этого производится ряд сравнений, доказывающих, что л: = х’и что полученный идентификатор /Гдействи-тельно указывает на участника В. В случае успешного проведения сравнения участник Л посылает г. Получив его, участник В проверяет, то ли это значение, которое он отправил в первом сообщении.

В качестве примера приведем модифицированный протокол Нидхема и Шредера, основанный на несимметричном шифровании. Протокол имеет следующую структуру (PB — алгоритм шифрования открытым ключом участника В):

После принятия данного сообщения участник В проверяет правильность метки времени /Л, полученный идентификатор В и, используя открытый ключ из сертификата семА, корректность цифровой подписи ЗАЦА, В).

  • б) односторонняя аутентификация с использованием случайных чисел:
  • (5.32)
  • (5.33)

Аутентификация посредством .NET Passport

IIS 6 может использовать паспорт Microsoft . NET Passport для аутентификации пользователей, запрашивающих ресурсы на веб-сайте или в виртуальном каталоге веб-сайта. Преимуществом данного подхода является то, что аутентификационные данные сохраняются и управляются другим сервером, за работу которого пользователь не несет никакой ответственности. Пользователи проходят аутентификацию с помощью службы . NET Passport и затем осуществляют доступ к веб-сайту, расположенному на сервере WS03. Тем не менее, данная служба не обеспечивает контроль доступа или авторизацию сайта. Сервер . NET Passport может лишь подтверждать тот факт, что веб-потребитель, представляющий себя в качестве лица, имеющего профиль на сервере . NET Passport , успешно прошел аутентификацию как лицо, представленное имеющимся профилем.

Система . NET Passport является бесплатной для регистрации и использования. Пользователи интернета входят и выходят из системы на сервере Passport и направляются на нужный веб- сайт после успешного прохождения процедуры аутентификации. Страницы входа и выхода могут иметь дизайн , соответствующий веб-сайту, вход на который осуществляют пользователи.

Паспорт обеспечивает удобную систему аутентификации для всех пользователей, вовлеченных в работу с интернетом, поскольку предоставляет простую процедуру входа на любой веб- сайт , аутентификация на котором осуществляется при помощи . NET Passport . Преимуществом этого подхода является тот факт, что стороне, обеспечивающей работу сайта, не требуется создавать и поддерживать работу своей системы или своего сервера аутентификации, однако за пользование услугами Microsoft . NET Passport ей придется платить определенную сумму. После создания учетной записи в службе . NET Passport нужно создать веб-страницу на сервере, содержащем сайт , обеспечивающую аутентификацию пользователей. Для этого придется затратить не больше усилий, чем для любого "казенного" механизма регистрации и аутентификации, работа которого не зависит от расположения аутентификационных данных зарегистрированных пользователей. Но в данном случае взаимодействие осуществляется только с аутентифицированными пользователями.

Недостаток системы . NET Passport заключается в том, что многие пользователи нерешительно настроены на использования данного способа аутентификации. Сообщество пользователей интернет с опасением относится к предоставлению личных данных службе . NET Passport . Существующие в интернете электронные магазины и порталы без особого энтузиазма воспринимают . NET Passport , поскольку уже имеют собственные системы аутентификации. Преимущества единой системы аутентификации в интернете сводятся к нулю, когда веб-потребителю приходится проходить аутентификацию на других подконтрольных ему сайтах. Без широкого одобрения системы . NET Passport ее применение лишено смысла, так как веб-потребителю невыгодно использовать единую систему аутентификации.

Настройка службы .NET Passport

Перед использованием службы .NET Passport необходимо подготовить соответствующий сайт. Ниже приведена последовательность действий для настройки на работу с сервером .NET Passport .

  1. Зарегистрируйтесь на веб-сайте посредством службы .NET Passport . Для начала перейдите по адресу http://www.microsoft.com/net/services/passport/developer.asp. На этой странице вы заполните ряд форм и завершите работу мастера .NET Passport Wizard, предоставив ему информацию о себе и о веб-сайте. В таблице 7.1 приводится необходимая информация.
  2. После успешной регистрации сайту присваивается идентификатор и статус разработки. Microsoft пробует скопировать сайт на свой сервер и проверить его.
  3. Создайте соответствующий веб-сайт. Microsoft предоставляет пакет разработки .NET Passport для помощи в создании веб-сайта .NET Passport . SDK доступен для бесплатной загрузки с сайта Microsoft по адресу http://msdn.microsoft.com/library/default.asp?url=/downloads/list/websrvpass.asp.
  4. Запросите проверку веб-сайта на соответствие службой .NET Passport . Если сайт соответствует установленным стандартам, вам придется ознакомиться с соглашением о предоставлении услуг службой .NET Passport .
  5. Запустите сайт. Получите ключи шифрования для сайта и разберитесь с кодом, необходимым для обеспечения интеграции с .NET Passport .

Процесс регистрации (шаг 1) является достаточно трудоемким. Потребуется выполнение мастера .NET Passport Wizard. По завершении работы мастера отобразятся веб-страницы, запрашивающие различную информацию (заполнение некоторых является обязательным для завершения процесса). Информация, запрашиваемая в процессе регистрации, приведена в табл. 7.1.

Post Views: 3

Похожие записи:

  1. Бмв это хорошая машина
  2. Борьба с дребезгом контактов
  3. Восстановление резервной копии вайбер
  4. Как быстро закрыть вкладку в браузере

admin

More Posts

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

0

Аутентификация пользователя осуществляется для

Опубликовано автором admin

В наши дни не обязательно идти в банк, чтобы совершить какие-либо денежные переводы; не обязательно идти в энергопоставляющую компанию, чтобы оплатить счет за электрический свет; не обязательно идти на железнодорожный вокзал, чтобы приобрести билеты на поезд — все эти и другие подобные вопросы, занимающие массу времени, упрощаются и решаются с помощью Интернета.

Сегодня есть множество областей, где выполнение задачи достигается за счет взаимодействия человека с компьютером — путем использования какого-либо сайта или приложения на мобильном устройстве. Подобные системы должны иметь надлежащий уровень защиты и первое с чем сталкивается пользователь при их использование — это идентификация, аутентификация и авторизация. В чем разница между ними? Давайте рассмотрим подробнее.

Что такое идентификация?

Предположим, что есть определенная система или база данных, где содержится ряд из параметров (идентификаторов), например:

  • ID пользователя;
  • ФИО (фамилия, имя и отчество);
  • номер телефона;
  • IMEI-устройства;
  • адрес электронной почты;
  • логин (никнейм);
  • реквизиты банковской карты;
  • номер автомобиля;
  • серийный номер (штрих-код);
  • трек-номер;
  • смарт-карта;
  • адрес веб-сайта;
  • и т. д.

Каждый раз, когда что-либо покупаете в Интернете, где-либо регистрируетесь, Вы получаете идентификатор — определенный параметр позволяющий взаимодействовать с системой. Как правило, он является уникальным — не пересекается с другими информационными системами, участниками и пользователями. Таким образом, при необходимости получить доступ к системе или узнать какие-либо сведения, потребуется предоставить один или несколько идентификаторов. Исходя из этого, можно сказать, что идентификации — процесс позволяющий однозначно определить (распознать) субъект или объект, по его идентификатору, в той или иной системе.

Для большего понимания давайте рассмотрим на примере простой ситуации. Вы находитесь дома, занимаетесь своими делами: смотрите фильмы для взрослых, делаете физические упражнения или читаете статью про кибербезопасность на моём сайте. В один момент Вы слышите звонок в дверь, прекращаете заниматься своей деятельностью и направляетесь открывать. Подойдя к двери смотрите в глазок, но никого не видите, спрашиваете: "Кто там?" и слышите в ответ: "Это я, ИМЯ человека!". Имя человека по ту стороны двери, в данной ситуации, является идентификатором. Правильный или неправильный ответ на вопрос — процесс идентификации.

Рассмотрим на примере другой ситуации. Вы совершаете звонок в банк с целью получить какую-либо информацию по Вашей банковской карте. Сотрудник, отвечающий на Ваш звонок, прежде чем предоставить информацию, обязан Вас идентифицировать. Помимо номера телефона, он может запросить у Вас другой идентификатор, например, номер банковской карты или ФИО. Ваш ответ, в данном случае — идентификация.

Что такое аутентификация?

Для того чтобы предотвратить несанкционированный доступ к системе и данным, одной лишь идентификации недостаточно, поэтому применяют аутентификацию, а в последнее время, все более актуальным становится вопрос — двухфакторной аутентификации. Использование той или иной характеристики в системе зависит от требуемой надёжности, защищённости и стоимости внедрения.

Понятие аутентификации подразумевает проверку подлинности идентификатора или человека (объекта или субъекта). Для этого выделяют три основных фактора аутентификации:

  • знания (то, что известно только нам) – пароль, ПИН-код, графический ключ и т. д.;
  • владения (то, что имеем только мы) – мобильное устройство, смарт-карта, ключ и т. п.;
  • свойства (то, что является нашей неотъемлемой частью) – биометрические параметры (отпечатки пальцев и ладони, голос, сетчатка глаза и т. д.).

Для общего понимания, рассмотрим на предыдущих примерах. В первом случае, когда к Вам приходят незваные гости и на вопрос "Кто там?" в ответ слышите только имя — это будет идентификация. Порой ее недостаточно, поэтому если спросить какую-либо информацию (фактор аутентификации), которую знает только данный человек, например: "Какое у Вас имя? Сколько лет? На какой ягодице у Вас родинка? и т.д.", то ответ данного человека — аутентификация.

Во случае общения с сотрудником в банке, если информация или требуемые действия будут выходить за рамки идентификации, то сотрудник, для подтверждения подлинности, попросит уточнить фактор аутентификации, например, кодовое слово или последние 3 операции по карте (с точным перечислением содержимого и стоимости). Ваш ответ на его запрос — процесс аутентификации.

Что такое авторизация?

Предоставление доступа к той или иной системе, присутствие в ней и выполнения определенных действий — авторизация. Понятие подразумевает, что человек прошедший авторизацию получает полное право выполнять действия в рамках его привилегий и полномочий, для этого в информационной системе могут применять три основные категории:

  • избирательное управление доступом — доступ к информации и выполнению тех или иных действий предоставлен определённому пользователю или группе пользователей;
  • мандатное управление — предоставление и ограничение доступа к информации по степени ее секретности. Действия пользователей регламентируется уровнями доступа или же должностью пользователей;
  • доступ по ролям — гибкая форма разграничения доступа, сочетающая две предыдущие, которая варируется в зависимости от ситуации, в конкретный период времени.

Если рассмотреть на приведенных примерах, то в первом случае, если человек пройдет идентификацию и аутентификацию, и Вы откроете ему дверь для доступа в квартиру — это будет считаться авторизацией.

Вторая ситуация, в момент, когда банковский сотрудник получит необходимые ему сведения, а затем предоставит или сделает желаемое для Вас (например, перевод денежных средств) – этот процесс будет называться авторизацией.

Связь между идентификацией, аутентификацией и авторизацией

«. скованные одной цепью
связанные одной целью. »

Все три выше перечисленных процесса взаимодействуют между собой и не существуют друг без друга. В первую формируется идентификатор, затем происходит подтверждения подлинности и соответствия, а в последствие — Вы пользуетесь всеми возможностями и преимуществами системы, в рамках своих полномочий.

В Интернете на каком-либо сайте это будет выглядеть подобным образом:

  1. идентификация — проходите регистрацию;
  2. аутентификация — используете логин и пароль;
  3. авторизация — пользуетесь предоставленными ресурсами и возможностями.

К слову говоря, Вы сразу же перейти к практике — зарегистрироваться здесь на сайте, затем войти с помощью логина и пароля и воспользоваться возможностями, которые имеют только пользователи, например, написать комментарий.

Читайте также:  Как активировать карту открытие банк

Основы идентификации и аутентификации. Одной из важных задач обеспечения защиты от НСД является использование методов и средств, позволяющих одной (проверяющей) стороне убедиться в подлинности другой (проверяемой) стороны.

С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его. Это может быть число или строка символов. Эту информацию называют идентификатором субъекта. Если пользователь имеет идентификатор, зарегистрированный в сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным. Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс первичного взаимодействия с компьютерной системой, который включает идентификацию и аутентификацию.

Идентификация — это процедура распознавания пользователя по его идентификатору (имени). Эта функция выполняется в первую очередь, когда пользователь делает попытку войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.

Аутентификация — процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, неизвестную другим пользователям информацию о себе (например, пароль).

Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы, можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация. Процесс идентификации и аутентификации показан на рис. 5.24.

Рис. 5.24. Процесс идентификации и аутентификации

Авторизация — процедура предоставления субъекту определенных полномочий и ресурсов в данной системе. Иными словами, авторизация устанавливает сферу действия субъекта и доступные ему ресурсы. Если система не может надежно отличить авторизованное лицо от неавторизованного, конфиденциальность и целостность информации в ней могут быть нарушены.

С процедурами идентификации и авторизации тесно связана процедура администрирования действий пользователя.

Администрирование — это регистрация действий пользователя в сети, включая его попытки доступа к ресурсам. Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них. Записи в системном журнале, аудиторские проверки и администрирование ПО — все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором.

Для подтверждения своей подлинности субъект может предъявлять системе разные сущности. В зависимости от предъявляемых субъектом сущностей процессы аутентификации могут быть разделены на следующие категории:

  • 1. На основе знания чего-либо. Примерами могут служить пароль, персональный идентификационный код (PIN), а также секретные и открытые ключи, знание которых демонстрируется в протоколах типа запрос—ответ.
  • 2. На основе обладания чем-либо. Обычно это магнитные карты, смарт-карты, сертификаты и устройства touch memory.
  • 3. На основе каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голос, радужная оболочка и сетчатка глаза, отпечатки пальцев, геометрия ладони и др.) В данной категории не используются криптографические методы и средства. Аутентификация на основе биометрических характеристик применяется для контроля доступа в помещения или к какой-либо технике.

Пароль — это то, что знает пользователь и что также знает другой участник взаимодействия. Для взаимной аутентификации участников взаимодействия может быть организован обмен паролями между ними.

Персональный идентификационный код PIN является испытанным способом аутентификации держателя пластиковой карты и смарт-карты. Секретное значение PIN-кода должно быть известно только держателю карты.

Динамический (одноразовый) пароль — это пароль, который после одноразового применения никогда больше не используется. На практике обычно используется регулярно меняющееся значение, которое базируется на постоянном пароле или ключевой фразе.

При сравнении и выборе протоколов аутентификации необходимо учитывать следующие характеристики:

  • 1. Наличие взаимной аутентификации. Это свойство отражает необходимость обоюдной аутентификации между сторонами аутентификационного обмена.
  • 2. Вычислительная эффективность. Количество операций, необходимых для выполнения протокола.
  • 3. Коммуникационная эффективность. Данное свойство отражает количество сообщений и их длину, необходимую для осуществления аутентификации.
  • 4. Наличие третьей стороны. Примером третьей стороны может служить доверенный сервер распределения симметричных ключей или сервер, реализующий дерево сертификатов для распределения открытых ключей.
  • 5. Гарантии безопасности. Примером может служить применение шифрования и цифровой подписи [51].

Классификация протоколов аутентификации. Протоколы (процессы, алгоритмы) аутентификации обычно классифицируют по уровню обеспечиваемой безопасности [51]. В соответствии с данным подходом процессы аутентификации разделяются на следующие типы.

  • а) аутентификация, использующая пароли и РПУ-коды;
  • б) строгая аутентификация на основе использования криптографических методов и средств;
  • в) биометрическая аутентификация пользователей.

С точки зрения безопасности, каждый из перечисленных типов способствует решению своих специфических задач, поэтому процессы и протоколы аутентификации активно используются на практике. В то же время следует отметить, что интерес к протоколам аутентификации, обладающим свойством доказательства с нулевым знанием, носит скорее теоретический, нежели практический характер, но, возможно, в будущем их начнут активно использовать для защиты информационного обмена. Классификация протоколов аутентификации представлена на рис. 5.25.

Методы аутентификации, использующие пароли и РШ-коды. Одной из распространенных схем аутентификации является простая аутентификация, которая основана на применении традиционных многоразовых и динамических (одноразовых) паролей. Аутентификация на основе паролей и Р/№-кодов является простым и наглядным примером использования разделяемой информации. Пока в большинстве

Рис. 5.25. Классификация протоколов аутентификации

защищенных компьютерных сетей доступ клиента к серверу разрешается по паролю. Однако все чаще применяются более эффективные средства аутентификации, например, программные и аппаратные системы аутентификации на основе одноразовых паролей, смарт-карт, Р/УУ-кодов и цифровых сертификатов.

Процедуру простой аутентификации пользователей в сети можно представить следующим образом. При попытке входа в сеть пользователь набирает на клавиатуре ПЭВМ свой идентификатор и пароль. Эти данные поступают для обработки на сервер аутентификации. В базе данных сервера по идентификатору пользователя находится соответствующая запись, из нее извлекается пароль и сравнивается с тем паролем, который ввел пользователь. Если они совпали, то аутентификация прошла успешно, пользователь получает легальный статус, а также права и ресурсы сети, которые определены для его статуса системой авторизации.

Читайте также:  Дополнительный рабочий стол windows 7

Передача идентификатора и пароля от пользователя к системе может проводиться в открытом и зашифрованном виде.

Схема простой аутентификации с использованием пароля показана на рис. 5.26.

Рис. 5.26. Схема простой аутентификации с использованием пароля

Очевидно, что вариант аутентификации с передачей пароля пользователя в незашифрованном виде не гарантирует даже минимального уровня безопасности. Чтобы защитить пароль, его нужно зашифровать перед посылкой по незащищенному каналу. Для этого в схему включены средства шифрования Ек и дешифрования DK, управляемые секретным ключом К. Проверка подлинности пользователя основана на сравнении присланного пользователем пароля Ра и исходного значения Ра, хранящегося на сервере аутентификации. Если значения Ра и Ра совпадают, то пароль Ра считается подлинным, а пользователь А — законным.

Наиболее распространенным методом аутентификации держателя пластиковой карты и смарт-карты является ввод секретного числа, которое обычно называют PIN-кодом. Зашита /V/V-кода карты является критичной для безопасности всей системы. Карты могут быть потеряны, украдены или подделаны. В таких случаях единственной контрмерой против несанкционированного доступа остается секретное значение PIN- кода. Вот почему открытая форма PIN должна быть известна только законному держателю карты. Очевидно, значение PIN нужно держать в секрете в течение всего срока действия карты.

Длина PIN- кода должна быть достаточно большой, чтобы минимизировать вероятность определения правильного PIN-кот методом проб и ошибок. С другой стороны, длина PIN-кода должна быть достаточно короткой, чтобы дать возможность держателям карт запомнить его значение. Согласно рекомендациям стандарта /50 9564-1 длина Я/УУ-кода должна содержать от 4 до 12 буквенно-цифровых символов. Однако в большинстве случаев ввод нецифровых символов технически невозможен, поскольку доступна только цифровая клавиатура. Поэтому обычно Я/УУ-код представляет собой 4—6-разрядное число, каждая цифра которого может принимать значение от 0 до 9.

Различают статические и изменяемые Я/УУ-коды. Статический РШ-код не может быть изменен пользователем, поэтому пользователь должен надежно его хранить. Если он станет известен постороннему, пользователь должен уничтожить карту и получить новую карту с другим фиксированным Я/УУ-кодом.

Изменяемый Р1И-код может быть изменен согласно пожеланиям пользователя или заменен на число, которое пользователю легче запомнить. Простейшей атакой на Я/УУ-код, помимо подглядывания через плечо за вводом его с клавиатуры, является угадывание его значения. Вероятность угадывания зависит от длины п угадываемого Я/УУ-кода, от составляющих его символов т (для цифрового кода т = 10, для буквенного — т = 32, для буквенно-цифрового — т = 42 и т.д.), от количества разрешенных попыток ввода /’ и выражается формулой:

Если Я/УУ-код состоит из 4 десятичных цифр, а число разрешенных попыток ввода равно трем, т.е. п = 4, т = 10, / = 3, то вероятность угадывания правильного значения Я/УУ-кода составит Я = 3/10 4 = = 0,00003, или 0,03%.

Строгая аутентификация на основе использования криптографических методов и средств. Идея строгой аутентификации, реализуемая в криптографических протоколах, заключается в следующем. Проверяемая (доказывающая сторона) доказывает свою подлинность проверяющей стороне, демонстрируя знание некоторого секрета [44, 51]. Например, этот секрет может быть предварительно распределен безопасным способом между сторонами аутентификационного обмена. Доказательство знания секрета осуществляется с помощью последовательности запросов и ответов с использованием криптографических методов и средств.

Существенным является тот факт, что доказывающая сторона демонстрирует только знание секрета, но сам секрет в ходе аутентификационного обмена не раскрывается. Это обеспечивается посредством ответов доказывающей стороны на различные запросы проверяющей стороны. При этом результирующий запрос зависит только от пользовательского секрета и начального запроса, который обычно представляет произвольно выбранное в начале протокола большое число.

В большинстве случаев строгая аутентификация заключается в том, что каждый пользователь аутентифицируется по признаку владения своим секретным ключом. Иначе говоря, пользователь имеет возможность определить, владеет ли его партнер по связи надлежащим секретным ключом и может ли он использовать этот ключ для подтверждения того, что он действительно является подлинным партнером и по информационному обмену.

В соответствии с рекомендациями стандарта Х.509 различают процедуры строгой аутентификации следующих типов:

  • а) односторонняя аутентификация;
  • б) двусторонняя аутентификация;
  • в) трехсторонняя аутентификация.

Односторонняя аутентификация предусматривает обмен информацией только в одном направлении. Данный тип аутентификации позволяет:

  • — подтвердить подлинность только одной стороны информационного обмена;
  • — обнаружить нарушение целостности передаваемой информации;
  • — обнаружить проведение атаки типа «повтор передачи»;
  • — гарантировать, что передаваемыми аутентификационными данными может воспользоваться только проверяющая сторона.

Двусторонняя аутентификация по сравнению с односторонней содержит дополнительный ответ проверяющей стороны доказывающей стороне, который должен убедить ее, что связь устанавливается именно с той стороны, которой были предназначены аутентификационные данные.

Трехсторонняя аутентификация содержит дополнительную передачу данных от доказывающей стороны проверяющей. Этот подход позволяет отказаться от использования меток времени при проведении аутентификации.

В зависимости от используемых криптографических алгоритмов протоколы строгой аутентификации можно разделить на следующие группы (рис. 5.27).

1. Протоколы аутентификации с симметричными алгоритмами шифрования. Для работы данных протоколов необходимо, чтобы проверяющий и доказывающий с самого начала имели один и тот же

Рис. 5.27. Классификация протоколов строгой аутентификации

секретный ключ. Для закрытых систем с небольшим количеством пользователей каждая пара пользователей может заранее разделить его между собой. В больших распределенных системах часто используются протоколы аутентификации с участием доверенного сервера, с которым каждая сторона разделяет знание ключа. Такой сервер распределяет сеансовые ключи для каждой пары пользователей всякий раз, когда один из них запрашивает аутентификацию другого. Кажущаяся простота данного метода является обманчивой, на самом деле разработка протоколов аутентификации этого типа является сложной и с точки зрения безопасности неочевидной.

Протоколы аутентификации с симметричными алгоритмами шифрования реализуются в следующих вариантах:

  • а) односторонняя аутентификация с использованием меток времени;
  • б) односторонняя аутентификация с использованием случайных чисел;
  • в) двусторонняя аутентификация.
Читайте также:  Запись windows xp на флешку winsetupfromusb

Введем следующие обозначения:

гА случайное число, сгенерированное участником А;

г В — случайное число, сгенерированное участником В;

/Д — метка времени, сгенерированная участником А;

Ек симметричное шифрование на ключе К (ключ Одолжен быть предварительно распределен между А и В).

Математическая модель односторонней аутентификации с использованием меток времени выглядит следующим образом:

После получения и расшифрования данного сообщения участник ? убеждается в том, что метка времени действительна, и идентификатор В, указанный в сообщении, совпадает с его собственным.

Предотвращение повторной передачи данного сообщения основывается на том, что без знания ключа невозможно изменить метку времени іЛ и идентификатор В.

Модель односторонней аутентификации с использованием слу-чаиных чисел можно представить в следующем виде:

Рис. 5.29. Применение односторонней хеш-функции к сообщению,

дополненному секретным ключом К

Участник В выбирает случайным образом г и вычисляет значение л: = h (г) (значение л: демонстрирует знание г без раскрытия самого значения г), далее он вычисляет значение е = РА(г, В). Под РА подразумевается алгоритм несимметричного шифрования (например, RSA, Шнорра, Эль-Гамаля, Вильямса, LUC и т.д.), а под И(-) — хеш-функция. Участник В отправляет сообщение (2.11) участнику А. Участник А расшифровывает е = РА(г, В) и получает значения г’ и В’, а также вычисляетх’= И(г). После этого производится ряд сравнений, доказывающих, что л: = х’и что полученный идентификатор /Гдействи-тельно указывает на участника В. В случае успешного проведения сравнения участник Л посылает г. Получив его, участник В проверяет, то ли это значение, которое он отправил в первом сообщении.

В качестве примера приведем модифицированный протокол Нидхема и Шредера, основанный на несимметричном шифровании. Протокол имеет следующую структуру (PB — алгоритм шифрования открытым ключом участника В):

После принятия данного сообщения участник В проверяет правильность метки времени /Л, полученный идентификатор В и, используя открытый ключ из сертификата семА, корректность цифровой подписи ЗАЦА, В).

  • б) односторонняя аутентификация с использованием случайных чисел:
  • (5.32)
  • (5.33)

Аутентификация посредством .NET Passport

IIS 6 может использовать паспорт Microsoft . NET Passport для аутентификации пользователей, запрашивающих ресурсы на веб-сайте или в виртуальном каталоге веб-сайта. Преимуществом данного подхода является то, что аутентификационные данные сохраняются и управляются другим сервером, за работу которого пользователь не несет никакой ответственности. Пользователи проходят аутентификацию с помощью службы . NET Passport и затем осуществляют доступ к веб-сайту, расположенному на сервере WS03. Тем не менее, данная служба не обеспечивает контроль доступа или авторизацию сайта. Сервер . NET Passport может лишь подтверждать тот факт, что веб-потребитель, представляющий себя в качестве лица, имеющего профиль на сервере . NET Passport , успешно прошел аутентификацию как лицо, представленное имеющимся профилем.

Система . NET Passport является бесплатной для регистрации и использования. Пользователи интернета входят и выходят из системы на сервере Passport и направляются на нужный веб- сайт после успешного прохождения процедуры аутентификации. Страницы входа и выхода могут иметь дизайн , соответствующий веб-сайту, вход на который осуществляют пользователи.

Паспорт обеспечивает удобную систему аутентификации для всех пользователей, вовлеченных в работу с интернетом, поскольку предоставляет простую процедуру входа на любой веб- сайт , аутентификация на котором осуществляется при помощи . NET Passport . Преимуществом этого подхода является тот факт, что стороне, обеспечивающей работу сайта, не требуется создавать и поддерживать работу своей системы или своего сервера аутентификации, однако за пользование услугами Microsoft . NET Passport ей придется платить определенную сумму. После создания учетной записи в службе . NET Passport нужно создать веб-страницу на сервере, содержащем сайт , обеспечивающую аутентификацию пользователей. Для этого придется затратить не больше усилий, чем для любого "казенного" механизма регистрации и аутентификации, работа которого не зависит от расположения аутентификационных данных зарегистрированных пользователей. Но в данном случае взаимодействие осуществляется только с аутентифицированными пользователями.

Недостаток системы . NET Passport заключается в том, что многие пользователи нерешительно настроены на использования данного способа аутентификации. Сообщество пользователей интернет с опасением относится к предоставлению личных данных службе . NET Passport . Существующие в интернете электронные магазины и порталы без особого энтузиазма воспринимают . NET Passport , поскольку уже имеют собственные системы аутентификации. Преимущества единой системы аутентификации в интернете сводятся к нулю, когда веб-потребителю приходится проходить аутентификацию на других подконтрольных ему сайтах. Без широкого одобрения системы . NET Passport ее применение лишено смысла, так как веб-потребителю невыгодно использовать единую систему аутентификации.

Настройка службы .NET Passport

Перед использованием службы .NET Passport необходимо подготовить соответствующий сайт. Ниже приведена последовательность действий для настройки на работу с сервером .NET Passport .

  1. Зарегистрируйтесь на веб-сайте посредством службы .NET Passport . Для начала перейдите по адресу http://www.microsoft.com/net/services/passport/developer.asp. На этой странице вы заполните ряд форм и завершите работу мастера .NET Passport Wizard, предоставив ему информацию о себе и о веб-сайте. В таблице 7.1 приводится необходимая информация.
  2. После успешной регистрации сайту присваивается идентификатор и статус разработки. Microsoft пробует скопировать сайт на свой сервер и проверить его.
  3. Создайте соответствующий веб-сайт. Microsoft предоставляет пакет разработки .NET Passport для помощи в создании веб-сайта .NET Passport . SDK доступен для бесплатной загрузки с сайта Microsoft по адресу http://msdn.microsoft.com/library/default.asp?url=/downloads/list/websrvpass.asp.
  4. Запросите проверку веб-сайта на соответствие службой .NET Passport . Если сайт соответствует установленным стандартам, вам придется ознакомиться с соглашением о предоставлении услуг службой .NET Passport .
  5. Запустите сайт. Получите ключи шифрования для сайта и разберитесь с кодом, необходимым для обеспечения интеграции с .NET Passport .

Процесс регистрации (шаг 1) является достаточно трудоемким. Потребуется выполнение мастера .NET Passport Wizard. По завершении работы мастера отобразятся веб-страницы, запрашивающие различную информацию (заполнение некоторых является обязательным для завершения процесса). Информация, запрашиваемая в процессе регистрации, приведена в табл. 7.1.

Post Views:

Похожие записи:

  1. Бмв гранд туризмо 5 серии отзывы владельцев
  2. Борьба с дребезгом контактов
  3. Восстановление резервной копии вайбер
  4. Как быстро закрыть вкладку в браузере

admin

More Posts

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *