Έλεγχος ταυτότητας χρηστών και συσκευών IoT με αμοιβαία TLS

Αμοιβαία TLS μπορεί να χρησιμοποιηθεί για έλεγχο ταυτότητας χρήστη χωρίς κωδικό πρόσβασης και για έλεγχο ταυτότητας από υπολογιστή σε υπολογιστή στο Internet of Things (IoT).

Σχετικό περιεχόμενο

Θέλετε να συνεχίσετε να μαθαίνετε;

Εγγραφείτε στο ενημερωτικό δελτίο του SSL.com, μείνετε ενημερωμένοι και ασφαλείς.

Μονόδρομος και αμοιβαίο SSL /TLS Πιστοποίηση

Ένα από τα καθοριστικά χαρακτηριστικά του SSL /TLS Το πρωτόκολλο είναι ο ρόλος του στην εξακρίβωση της ταυτότητας άλλων ανώνυμων μερών σε δίκτυα υπολογιστών (όπως το Διαδίκτυο). Όταν επισκέπτεστε έναν ιστότοπο με αξιόπιστο από το κοινό SSL /TLS πιστοποιητικό, το πρόγραμμα περιήγησής σας μπορεί να επαληθεύσει ότι ο κάτοχος του ιστότοπου απέδειξε με επιτυχία τον έλεγχο αυτού του ονόματος τομέα σε μια αξιόπιστη αρχή έκδοσης πιστοποιητικών τρίτου μέρους (CA), όπως το SSL.com. Εάν αυτή η επαλήθευση αποτύχει, τότε το πρόγραμμα περιήγησης ιστού θα σας προειδοποιήσει να μην εμπιστευτείτε αυτόν τον ιστότοπο.

Για τις περισσότερες εφαρμογές, SSL /TLS χρησιμοποιεί αυτό το είδος μονόδρομος έλεγχος ταυτότητας ενός διακομιστή σε έναν πελάτη · ένας ανώνυμος πελάτης (το πρόγραμμα περιήγησης ιστού) διαπραγματεύεται μια κρυπτογραφημένη συνεδρία με έναν διακομιστή ιστού, ο οποίος παρουσιάζει ένα αξιόπιστο SSL /TLS πιστοποιητικό για να αναγνωριστεί κατά τη διάρκεια του SSL /TLS χειραψία:

μονόδρομος έλεγχος ταυτότηταςΑμοιβαίος έλεγχος ταυτότητας, στον οποίο και οι δύο διακομιστές και πελάτης στο SSL /TLS η περίοδος ελέγχου ταυτότητας είναι δυνατή, είναι επίσης δυνατή και μπορεί να είναι πολύ χρήσιμη σε ορισμένες περιπτώσεις. Σε αμοιβαίο έλεγχο ταυτότητας, όταν ο διακομιστής πιστοποιηθεί κατά τη χειραψία, θα στείλει ένα CertificateRequest μήνυμα στον πελάτη. Ο πελάτης θα απαντήσει στέλνοντας ένα πιστοποιητικό στο διακομιστή για έλεγχο ταυτότητας:

αμοιβαίος έλεγχος ταυτότηταςΈλεγχος ταυτότητας πελάτη μέσω αμοιβαίου TLS απαιτεί ένα πιστοποιητικό που να περιλαμβάνει το Client Authentication (1.3.6.1.5.5.7.3.2) Η εκτεταμένη χρήση κλειδιού (EKU) είναι εγκατεστημένη στη συσκευή πελάτη. Όλα τα SSL.com Πιστοποιητικά ηλεκτρονικού ταχυδρομείου, πελάτη και υπογραφής εγγράφων περιλαμβάνουν έλεγχο ταυτότητας πελάτη.

Περιπτώσεις αμοιβαίου ελέγχου ταυτότητας

Αμοιβαία TLS Ο έλεγχος ταυτότητας μπορεί να χρησιμοποιηθεί τόσο για έλεγχο ταυτότητας τελικών χρηστών όσο και για αμοιβαίο έλεγχο ταυτότητας συσκευών σε δίκτυο υπολογιστών.

Έλεγχος ταυτότητας χρήστη

Οι επιχειρήσεις και άλλοι οργανισμοί μπορούν να διανέμουν ψηφιακά πιστοποιητικά πελατών σε τελικούς χρήστες όπως υπαλλήλους, εργολάβους και πελάτες. Αυτά τα πιστοποιητικά πελάτη μπορούν να χρησιμοποιηθούν ως παράγοντας ελέγχου ταυτότητας για πρόσβαση σε εταιρικούς πόρους όπως Wi-Fi, VPN και εφαρμογές ιστού. Όταν χρησιμοποιείται αντί για (ή επιπλέον) παραδοσιακών διαπιστευτηρίων ονόματος χρήστη / κωδικού πρόσβασης, αμοιβαία TLS προσφέρει πολλά πλεονεκτήματα ασφάλειας:

  • Αμοιβαία TLS Ο έλεγχος ταυτότητας δεν είναι ευάλωτος σε κλοπή διαπιστευτηρίων μέσω τακτικών όπως Phishing. Το Verizon Αναφορά ερευνών παραβίασης δεδομένων 2020 υποδεικνύει ότι σχεδόν το ένα τέταρτο (22%) των παραβιάσεων δεδομένων οφείλεται σε ηλεκτρονικό ψάρεμα. Οι καμπάνιες ηλεκτρονικού "ψαρέματος" (phishing) είναι διαθέσιμες για εύκολη συλλογή διαπιστευτηρίων, όπως κωδικοί πρόσβασης σύνδεσης στον ιστότοπο και όχι για τα ιδιωτικά κλειδιά των πιστοποιητικών πελατών των χρηστών. Ως περαιτέρω άμυνα κατά του ηλεκτρονικού ψαρέματος, όλα τα SSL.com Υπογραφή email, πελάτη και εγγράφων Τα πιστοποιητικά περιλαμβάνουν δημόσια αξιόπιστα S/MIME για υπογεγραμμένο και κρυπτογραφημένο email.
  • Αμοιβαία TLS Ο έλεγχος ταυτότητας δεν μπορεί να παραβιαστεί από κακή υγιεινή κωδικού πρόσβασης ή από βίαιες επιθέσεις στους κωδικούς πρόσβασης. Μπορείτε να απαιτήσετε από τους χρήστες να δημιουργήσουν ισχυρούς κωδικούς πρόσβασης, αλλά πώς ξέρετε ότι δεν χρησιμοποιούν τον ίδιο «ασφαλή» κωδικό πρόσβασης σε 50 διαφορετικούς ιστότοπους ή έχουν γράψει σε μια κολλώδη σημείωση; ΕΝΑ Έρευνα Google 2019 υποδεικνύει ότι το 52% των χρηστών επαναχρησιμοποιούν κωδικούς πρόσβασης για πολλούς λογαριασμούς και το 13% των χρηστών επαναχρησιμοποιούν τον ίδιο κωδικό πρόσβασης για όλοι των λογαριασμών τους.
  • Τα πιστοποιητικά πελατών προσφέρουν σαφή αλυσίδα εμπιστοσύνηςκαι μπορεί να διαχειριστεί κεντρικά. Με αμοιβαία TLS, η επαλήθευση της αρχής έκδοσης πιστοποιητικών (CA) που εξέδωσε τα διαπιστευτήρια ενός χρήστη μεταφέρεται απευθείας στη διαδικασία ελέγχου ταυτότητας. SSL.com's διαδικτυακά εργαλεία διαχείρισης, API SWSκαι η πρόσβαση σε τυπικά πρωτόκολλα, όπως το SCEP, κάνει την έκδοση, την ανανέωση και την ανάκληση αυτών των διαπιστευτηρίων γρήγορα!

Το SSL.com προσφέρει πολλές επιλογές για έκδοση και διαχείριση πιστοποιητικών πελάτη:

 

Έλεγχος ταυτότητας συσκευών IoT

Αμοιβαία TLS Ο έλεγχος ταυτότητας χρησιμοποιείται επίσης ευρέως για έλεγχο ταυτότητας μεταξύ συσκευών. Για αυτόν τον λόγο, διαθέτει πολλές εφαρμογές για συσκευές Internet of Things (IoT). Στον κόσμο του IoT, υπάρχουν πολλές περιπτώσεις στις οποίες μια "έξυπνη" συσκευή ενδέχεται να χρειαστεί να γίνει έλεγχος ταυτότητας μέσω ενός μη ασφαλούς δικτύου (όπως το Διαδίκτυο) για να αποκτήσει πρόσβαση σε προστατευμένους πόρους σε έναν διακομιστή.

Παράδειγμα: Ένας «έξυπνος» θερμοστάτης

Ως απλοποιημένο παράδειγμα αμοιβαίας TLS για το IoT, θα εξετάσουμε έναν κατασκευαστή που σχεδιάζει έναν «έξυπνο» θερμοστάτη συνδεδεμένο στο Διαδίκτυο για οικιακή χρήση. Μόλις συνδεθεί στο Διαδίκτυο στο σπίτι του πελάτη, ο κατασκευαστής θα ήθελε η συσκευή να στέλνει και να λαμβάνει δεδομένα από και προς τους διακομιστές της εταιρείας, έτσι ώστε οι πελάτες να έχουν πρόσβαση σε συνθήκες θερμοκρασίας και ρυθμίσεις θερμοστάτη στο σπίτι τους μέσω του λογαριασμού χρήστη τους στον ιστότοπο της εταιρείας και / ή μια εφαρμογή smartphone. Σε αυτήν την περίπτωση, ο κατασκευαστής θα μπορούσε:

  • Αποστολή κάθε συσκευής με ένα μοναδικό ζεύγος κρυπτογραφικών κλειδιών και πιστοποιητικό πελάτη. Επειδή όλη η επικοινωνία θα γίνεται μεταξύ του θερμοστάτη και των διακομιστών της εταιρείας, αυτά τα πιστοποιητικά ενδέχεται να είναι ιδιωτικά αξιόπιστα, προσφέροντας επιπλέον ευελιξία για πολιτικές όπως η διάρκεια ζωής του πιστοποιητικού.
  • Καταχωρίστε έναν μοναδικό κωδικό συσκευής (όπως σειριακός αριθμός ή κωδικός QR) που ο πελάτης μπορεί να σαρώσει ή να εισάγει στον λογαριασμό χρήστη του στην πύλη ιστού του κατασκευαστή ή στην εφαρμογή smartphone για να συσχετίσει τη συσκευή με τον λογαριασμό του.

Μόλις η συσκευή συνδεθεί στο Διαδίκτυο μέσω του δικτύου Wi-Fi του χρήστη, θα ανοίξει ένα κοινό TLS σύνδεση με τον διακομιστή του κατασκευαστή. Ο διακομιστής θα πραγματοποιήσει έλεγχο ταυτότητας στον θερμοστάτη και θα ζητήσει το πιστοποιητικό πελάτη του θερμοστάτη, το οποίο σχετίζεται με τον μοναδικό κωδικό που εισάγει ο χρήστης στον λογαριασμό του.

Τα δύο μέρη της σύνδεσης (διακομιστής και θερμοστάτης) είναι τώρα ταυτόχρονα αμοιβαία επικυρωμένα και μπορούν να στείλουν μηνύματα μπρος-πίσω με SSL /TLS κρυπτογράφηση πάνω από πρωτόκολλα επιπέδου εφαρμογής όπως HTTPS και MQTT. Ο χρήστης μπορεί να έχει πρόσβαση σε δεδομένα από τον θερμοστάτη ή να κάνει αλλαγές στις ρυθμίσεις του με τον λογαριασμό πύλης ιστού ή την εφαρμογή smartphone. Δεν υπάρχει ποτέ ανάγκη για μη εξουσιοδοτημένα ή σαφή μηνύματα μεταξύ των δύο συσκευών.

Για να μιλήσετε με έναν ειδικό για το πώς το SSL.com μπορεί να σας βοηθήσει να ασφαλίσετε τις συσκευές IoT σας και να βελτιώσετε την ασφάλεια των χρηστών με αμοιβαία TLS, συμπληρώστε και υποβάλετε την παρακάτω φόρμα:

Επικοινωνήστε με έναν ειδικό του SSL.com σχετικά με το Mutual TLS και το IoT

Σας ευχαριστούμε που επιλέξατε το SSL.com! Εάν έχετε απορίες, επικοινωνήστε μαζί μας μέσω email στο Support@SSL.com, κλήση 1-877-SSL-SECUREή απλώς κάντε κλικ στο σύνδεσμο συνομιλίας κάτω δεξιά αυτής της σελίδας. Μπορείτε επίσης να βρείτε απαντήσεις σε πολλές κοινές ερωτήσεις υποστήριξης στο βάση γνώσεων.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.