XenMobile Аутентификация сертифікат мобільний пристрій

Аутентифікація за сертифікатами для віддаленого доступу часто є ключовою вимогою безпеки.

Найбільш поширений сценарій зустрічається у замовників наступний. Користувачам видають USB-токен, на якому знаходиться власний сертифікат, захищений пін-кодом. Користувач вставляє USB-токен в свій ноутбук, драйвер токена запитує пін-код. Далі користувач запускає CitrixReceiver і підключається до XA / XD фермі. У момент підключення його просять вибрати сертифікат, щоб ідентифікувати зі списку, серед яких знаходяться сертифікати, встановлені в операційній системі і в тому числі сертифікат знаходиться на usb-токені.

Що насправді представляє з себе аутентифікація за сертифікатом? Користувач, підключаючись до сервера, повідомляє приблизно наступне: «я Василь, покажи мені плиз сторінку ххх.рф». Сервер йому у відповідь каже: «Доведи, що ти Василь! Я знаю і вмію безпомилково перевіряти підпис Василя. Розпишіться, будь ласка, під цим документом ».

Цифровий підпис під чимось цифровим є наступною. Sign = F (x), де

X - це цифрова версія підписується документа, наприклад, побайтовая сума всіх символів.

F - необоротна математична функція. Наприклад MOD5 - цілочисельний залишок від ділення на 5. MOD5 (7) = (7-5 ​​* n) = (7-5 ​​* 1) = 2. MOD5 (18) = (18-5 * n) = (18-5 * 3) = 3. Під необоротністю розуміється, що знаючи X і знаючи SIGN (маючи документ і бачачи підпис), неможливо визначити, яка саме F використовується, щоб зловмисникові самому потім потайки від чужого імені підписувати документи. MOD567 (-1234) = 100; (1234 = 567 * 2 + 100). А тепер уявіть, що «567» Вам невідомо, а відомо, що MODX (-1234) = 100. Знайдіть Х? А якщо числа використовуються 1000-значні ...

F будемо називати закритим ключем для підпису.

Призначеному для користувача додатком закритий ключ підпису Василя не доступний в явному вигляді-це було б небезпечно - зберігати закритий ключ на комп'ютері таким чином, щоб будь-який додаток могло б його собі взяти. Тому додаток викликає системне API SignMyMessage ( "message text") - прошу операційну систему підписати закритим ключем це повідомлення. Якщо ключ знаходиться в сховищі ОС, то API звертається до цього сховища за закритим ключем, підписує і видає підпис. Якщо ключ знаходиться на usb-токені, то API звертається до драйверу токена, драйвер запитує у користувача pin-код, якщо pin вірний, то драйвер видає API-функції закритий ключ, або алгоритмом API підписує сам.

Якщо ключ знаходиться на usb-токені, то API звертається до драйверу токена, драйвер запитує у користувача pin-код, якщо pin вірний, то драйвер видає API-функції закритий ключ, або алгоритмом API підписує сам

Складність в тому, що в мобільних OS, наприклад, в iOS, немає загальнодоступних API для доступу до призначених для користувача сертифікатами. API доступні тільки для деяких додатків, наприклад для Cisco VPN client.

API доступні тільки для деяких додатків, наприклад для Cisco VPN client

XenMobile MDM вміє автоматично при енролменте виписувати призначені для користувача сертифікати і встановлювати їх в сховище мобільної ОС. У версії XenMobile Enterprise Edition 8.6 можна автоматично встановлювати сертифікати не тільки в сховище ОС, але і в окреме сховище WorxHome. Але Citrix Receiver не може використовувати ні встановлені в ОС сертифікати, ні сертифікат знаходиться в WorxHome - така архітектура мобільної ОС.

Але Citrix Receiver не може використовувати ні встановлені в ОС сертифікати, ні сертифікат знаходиться в WorxHome - така архітектура мобільної ОС

Тому придуманий наступний трюк.

Citrix Receiver аутентифицирующей на NS за допомогою технології STA - secure ticket authority. Ticket вдає із себе якусь унікальну рядок типу «FE0A7B2CE2E77DDC17C7FD3EE7959E79». Але для того, щоб отримати ticket необхідно аутентифицироваться за сертифікатом. За сертифікатом аутентифицирующей WorxHome, так як в його сховищі є сертифікат.

  1. Worx Home підключається до VIP NSG (Virtual IP Adress) (Netscaler Gateway). NSG дивиться в налаштовані політики, бачить, що для аутентифікації потрібно сертифікат і username: password з AD. NSG запитує ці дані і WH висилає їх.
  2. Після успішної аутентифікації запит відправляється на Application Controller AppC. WH просить список додатків і їх параметри для даного користувача.
  3. AppC від імені користувача запитує у StoreFront список XA / XD додатків для даного користувача.
  4. SF видає список XA / XD додатків. Чи не описуючи процес більш складно, домовимося, що в цей момент на SF створюється STA тікет і генеруються ICA-файли для доступу до XA / XD додатків. В реальності STA і ICA створюються не в той момент, коли користувачеві генерується список доступних додатків, а тоді, коли користувач натискає на іконку конкретного XA / XD додатки. Усередині ICA файлу в тому числі знаходиться STA тікет.
  5. ICA видаються AppC.
  6. Список XA / XD додатків додається до списку додатків AppC (це MDX, native mobile apps, WEB / SaaS) і надсилається до WH для відтворення на екрані мобільного пристрою.

Список XA / XD додатків додається до списку додатків AppC (це MDX, native mobile apps, WEB / SaaS) і надсилається до WH для відтворення на екрані мобільного пристрою

Після попередніх кроків, з точки зору XA / XD, на мобільному пристрої виявляються ICA файли, в яких міститься STA-тікет, необхідний для аутентифікації і підключення з сервера XA / XD.

  1. Користувач натискає іконку XA / XD додатки. ICA файл асоційований з цієї іконкою відкривається в Citrix Receiver CR. У ICA файлі є адреса NSG шлюзу. CR підключається до NSG і надає йому STA-тікет.
  2. NSG перевіряє валідність STA-тікета у SF.
  3. SF підтверджує валідність STA-тікета.
  4. NSG підключається до XA / XD сервера на якому запускається Windows додаток.
  5. Картинка від Windows додатки передається на мобільний пристрій.

Подробиці по конкретним налаштувань можна подивитися тут: / blogs / 2014/01/17 / xenmobile-enable-hdx-apps-with-certificate-based-authentication /

Стосується для Citrix XenMobile Enterprise 8.6.

Що насправді представляє з себе аутентифікація за сертифікатом?
100. Знайдіть Х?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: