Page History

...

Сертификат

Цифровая сущность, содержащая в себе: атрибуты принадлежности (название, компания, город и т.п.), даты начала и конца валидности, публичный ключ, название и идентификатор того, кто этот сертификат подписал (другой сертификат). Служит для подтверждения "идентичности" того, кто сертификат предъявляет. При правильной настройке прослеживается цепочка "доверия" сертификатов друг другу, вплоть до того сертификата, который числится в "заведомо доверенных" на устройстве.

Удостоверяющий центр

Организация либо управляемая ею программное средство, выписывающее сертификаты оборудованию или конечным пользователям (абонентам) сети. Также имеет инструменты проверки валидности (действительности) сертификатов, публикующая списки отзыва и т.п.

PEM

Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Текстовый. Закодирован в BASE64. Содержит в начале и конце строки вида ----- BEGIN CERTIFICATE ------ и т.п.

DER

Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Бинарный. Технически эквивалентен PEM.

Открытый и закрытый ключи

Автоматически сформированные очень большие числа, запакованные специальным образом (в контейнер), позволяющие осуществить операции по цифровой подписи и шифрованию данных (см. здесь). Публичный ключ содержится в сертификате и доступен всем желающим. Приватный ключ находится в защищенном хранилище мобильного устройства, и никогда не передается по сети в открытом виде.

PFX

Бинарный формат файла (контейнер), в котором содержится сертификат и приватный ключ субъекта (абонента сети). Дополнительно защищен паролем. Его допустимо пересылать по сети, для последующей установки в клиентское устройство.

CSR

Запрос на подпись сертификата, контейнер, содержащий по сути "недоделанный сертификат". Внешний Удостоверяющий центр выпускает на его основе полноценный сертификат за своей подписью.

PKI

Инфраструктура открытых ключей, набор инструментов для функционирования, в том числе, авторизации на основе сертификатов

LDAP

Служба каталога, справочник, а также сам протокол, по которому передаются запросы и получаются ответы об атрибутах учетной записи (принадлежность к группе, специфические атрибуты и т.п.). WNAM использует LDAP для запроса контроллера домена Windows

Active Directory

Служба каталога в исполнении Mocrosoft. Помимо запросов каталога реализует защищенные методы проверки аутентичности учетной записи пользователя, компьютера, помогает распространять групповые политики и т.п.

802.1x

Стандарт, описывающий процесс инкапсуляции учетных данных подключающегося устройства в протокол EAP, для последующей передачи серверу авторизации.

MAB или MAC Bypass

Процесс, при котором аутентификация устройства производится в упрощенном порядке, по его МАС-адресу. Применяется тогда, когда оконечное устройство не поддерживает протокол 802.1х

Аутентификация

Процесс определения идентичности подключающегося устройства (субъекта), путем проверки его учетной записи, логина, пароля, сертификата, анализа других параметров (например, откуда и когда осуществлено подключение, с какого типа устройства). В результате проверяющий компонент принимает решение, допускать в сеть, или нет.

Авторизация

Процесс определения реультирующих прав подключающегося устройства, то есть назначения тому определенных политик, например ограничение скорости или номера VLAN. 

Аккаунтинг

При успешной аутентификации и авторизации абонентское устройство получает доступ в сеть, а подключающее устройство - VPN шлюз, коммутатор ЛВС, контроллер БЛВС - формирует сведения об объеме передаваемых абонентом данных, включая дополнительные параметры (профилирование, IP адрес и т.п.). Сессия аккаунтинга длится, пока абонент находится в сети, а подключающее устройство присылает периодические обновления (interim). Никогда аккаунтинг не передает информацию о том, куда (на какие ресурсы) подключается абонент: это дело других устройств (DPI, прокси, источники Netflow, NAT-Syslog и т.п.)