مصادقة المستخدمين وأجهزة إنترنت الأشياء مع المتبادل TLS

طريقة واحدة ومتبادلة SSL /TLS التحقّق من المُستخدم

إحدى السمات المميزة لـ SSL /TLS البروتوكول هو دوره في مصادقة الأطراف المجهولة على شبكات الكمبيوتر (مثل الإنترنت). عند زيارة موقع ويب به ملف SSL /TLS شهادة، يمكن للمستعرض الخاص بك التحقق من أن مالك موقع الويب قد أظهر بنجاح السيطرة على اسم المجال هذا إلى جهة خارجية موثوق بها لشهادة المرجع (CA) ، مثل SSL.com إذا فشل هذا التحقق ، فسيحذرك متصفح الويب من عدم الوثوق بهذا الموقع.

بالنسبة لمعظم التطبيقات ، SSL /TLS يستخدم هذا النوع من مصادقة أحادية الاتجاه من الخادم للعميل ؛ يتفاوض عميل مجهول (متصفح الويب) على جلسة مشفرة مع خادم ويب ، والذي يقدم SSL / موثوقًا به بشكل عامTLS شهادة لتعريف نفسها خلال SSL /TLS مصافحة:

المصادقة المتبادلة، حيث كلا الخادم و العميل في SSL /TLS تم توثيق الجلسة ، وهي ممكنة أيضًا ويمكن أن تكون مفيدة جدًا في بعض الظروف. في المصادقة المتبادلة ، بمجرد مصادقة الخادم أثناء تبادل الإشارات ، سيرسل ملف CertificateRequest رسالة إلى العميل. سيستجيب العميل بإرسال شهادة إلى الخادم للمصادقة:

مصادقة العميل عبر المتبادلة TLS يتطلب أن شهادة بما في ذلك Client Authentication (1.3.6.1.5.5.7.3.2) يتم تثبيت Extended Key Usage (EKU) على جهاز العميل. كل من SSL.com شهادات البريد الإلكتروني والعميل وتوقيع المستندات تشمل مصادقة العميل.

حالات استخدام المصادقة المتبادلة

مشترك TLS يمكن استخدام المصادقة لمصادقة المستخدمين النهائيين وللتوثيق المتبادل للأجهزة على شبكة الكمبيوتر.

مصادقة المستخدم

يمكن للشركات والمؤسسات الأخرى توزيع شهادات العميل الرقمية على المستخدمين النهائيين مثل الموظفين والمقاولين والعملاء. يمكن استخدام شهادات العميل هذه كعامل مصادقة للوصول إلى موارد الشركة مثل Wi-Fi و VPN وتطبيقات الويب. عند استخدامها بدلاً من (أو بالإضافة إلى) بيانات اعتماد اسم المستخدم / كلمة المرور التقليدية ، تكون متبادلة TLS يقدم العديد من المزايا الأمنية:

• مشترك TLS المصادقة ليست عرضة لسرقة بيانات الاعتماد عبر تكتيكات مثل التصيد. فيريزون 2020 تقرير تحقيقات خرق البيانات يشير إلى أن ما يقرب من ربع (22٪) من خروقات البيانات ناتجة عن التصيد. تم إيقاف حملات التصيد الاحتيالي للحصول على بيانات اعتماد تم جمعها بسهولة مثل كلمات مرور تسجيل الدخول إلى موقع الويب ، وليس المفاتيح الخاصة لشهادات عميل المستخدمين. كدفاع إضافي ضد التصيد الاحتيالي ، فإن جميع مواقع SSL.com البريد الإلكتروني والعميل وتوقيع المستند تتضمن الشهادات الموثوقة بشكل عام S/MIME للبريد الإلكتروني الموقع والمشفّر.
• مشترك TLS لا يمكن اختراق المصادقة بسبب سوء نظافة كلمة المرور أو هجمات القوة الغاشمة على كلمات المرور. يمكنك أن تطلب من المستخدمين إنشاء كلمات مرور قوية ، ولكن كيف تعرف أنهم لا يستخدمون نفس كلمة المرور "الآمنة" على 50 موقعًا مختلفًا ، أو كتابتها في ملاحظة لاصقة؟ أ 2019 مسح جوجل يشير إلى أن 52٪ من المستخدمين يعيدون استخدام كلمات المرور لحسابات متعددة ، وأن 13٪ من المستخدمين يعيدون استخدام نفس كلمة المرور لـ من جميع من حساباتهم.
  
• تقدم شهادات العميل بشكل واضح سلسلة من الثقة، ويمكن إدارتها مركزيًا. مع المتبادل TLS، التحقق من المرجع المصدق (CA) الذي أصدر بيانات اعتماد المستخدم يتم إدخاله مباشرة في عملية المصادقة. SSL.com أدوات الإدارة عبر الإنترنت, واجهة برمجة تطبيقات SWS، والوصول إلى البروتوكولات القياسية مثل SCEP يجعل إصدار وتجديد وإلغاء بيانات الاعتماد هذه أمرًا سريعًا!

يقدم SSL.com خيارات متعددة لإصدار وإدارة شهادات العميل:

• يمكن للأفراد أو المنظمات التي تتطلب شهادة واحدة أو بضع شهادات فقط الطلب شهادات البريد الإلكتروني والعميل وتوقيع المستندات قائمة انتقائية من SSL.com.
• يمكن استخدام بروتوكولات مثل SCEP و EST و CMP لأتمتة تسجيل شهادة العميل وتجديدها للأجهزة المملوكة للشركة والأجهزة BYO.
• للعملاء الذين يطلبون كمية كبيرة من الشهادات ، تتوفر خصومات بالجملة من خلال موقعنا برنامج إعادة البيع والشراء بالجملة.

مصادقة أجهزة إنترنت الأشياء

مشترك TLS تُستخدم المصادقة أيضًا على نطاق واسع للمصادقة من آلة إلى آلة. لهذا السبب ، لديها العديد من التطبيقات لأجهزة إنترنت الأشياء (IoT). في عالم إنترنت الأشياء ، هناك العديد من الحالات التي قد يحتاج فيها الجهاز "الذكي" إلى مصادقة نفسه عبر شبكة غير آمنة (مثل الإنترنت) من أجل الوصول إلى الموارد المحمية على الخادم.

مثال: ترموستات "ذكي"

كمثال مبسط للمتبادل TLS بالنسبة لإنترنت الأشياء ، سننظر في الشركة المصنعة التي تصمم ترموستات "ذكي" متصل بالإنترنت للاستخدام المنزلي. بمجرد الاتصال بالإنترنت في منزل العميل ، ترغب الشركة المصنعة في أن يقوم الجهاز بإرسال واستقبال البيانات من وإلى خوادم الشركة ، بحيث يمكن للعملاء الوصول إلى ظروف درجة الحرارة وإعدادات الثرموستات في منازلهم من خلال حساب المستخدم الخاص بهم على موقع الشركة الإلكتروني و / أو تطبيق هاتف ذكي. في هذه الحالة ، يمكن للشركة المصنعة:

• اشحن كل جهاز بزوج مفاتيح تشفير فريد وشهادة عميل. نظرًا لأن جميع الاتصالات ستكون بين منظم الحرارة وخوادم الشركة ، فقد تكون هذه الشهادات موثوق بها من القطاع الخاص، مما يوفر مرونة إضافية لسياسات مثل عمر الشهادة.
• قدم رمزًا فريدًا للجهاز (مثل الرقم التسلسلي أو رمز الاستجابة السريعة) الذي يمكن للعميل مسحه ضوئيًا أو إدخاله في حساب المستخدم الخاص به على بوابة الويب الخاصة بالشركة المصنعة أو تطبيق الهاتف الذكي لربط الجهاز بحسابه.

بمجرد توصيل الجهاز بالإنترنت عبر شبكة Wi-Fi الخاصة بالمستخدم ، سيفتح مشتركًا TLS الاتصال بخادم الشركة المصنعة. سيصادق الخادم نفسه على منظم الحرارة ويطلب شهادة عميل منظم الحرارة ، والتي ترتبط بالرمز الفريد الذي أدخله المستخدم في حسابه.

تم الآن مصادقة طرفي الاتصال (الخادم والثرموستات) بشكل متبادل ويمكنهما إرسال الرسائل ذهابًا وإيابًا باستخدام SSL /TLS التشفير عبر بروتوكولات طبقة التطبيق مثل HTTPS و MQTT. يمكن للمستخدم الوصول إلى البيانات من منظم الحرارة أو إجراء تغييرات على إعداداته من خلال حساب بوابة الويب أو تطبيق الهاتف الذكي. ليست هناك حاجة مطلقًا إلى وجود رسائل نصية أو غير مصدق عليها بين الجهازين.

للتحدث مع أحد الخبراء حول كيف يمكن لـ SSL.com مساعدتك في تأمين أجهزة إنترنت الأشياء الخاصة بك وتحسين أمان المستخدم بشكل متبادل TLS، يرجى ملء وتقديم الاستمارة أدناه:

اتصل بأخصائي SSL.com حول Mutual TLS و IoT