Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
58
Добавлен:
19.02.2016
Размер:
165.89 Кб
Скачать

Глава 11. Архитектура системы эцп

11.1. Архитектура системы эцп

Под архитектурой системы ЭЦП мы будем понимать принципы построения аппаратно-программных комплексов, обеспечивающих функционирование удостоверяющих центров, с помощью которых корпоративные и индивидуальные пользователи могут работать с сертификатами открытых ключей [25,26]. При этом пользователям предоставляются в комплексные решения в области создания инфраструктуры открытых ключей (Public Key Infrastructure – PKI), описанной рабочей группой PKIX (Public Key Infrastructure Working Group).

Основными характеристиками архитектуры системы ЭЦП являются модульность, модель доверия и масштабируемость. Несмотря на отсутствие строгих определений этих понятий, пользуясь ими как критериями можно в целом оценить качество решений, реализованных в программных продуктах ведущих производителей мира.

На мировом рынке программных продуктов, поддерживающих инфраструктуру PKI, представлены следующие решения, получившие наиболее широкое распространение:

– Entrust Authority 6.0 (далее – Entrust);

– iPlanet Certificate Management System 4.7 (далее – iPlanet);

– Microsoft Certificate Server 2.0 (далее – MСS);

– RSA Keon 5.7 (далее – RSA);

– UniCERT PKI 3.5.3 (далее – UniCERT).

Модульность. При сравнении систем ЭЦП по критерию модульности следует учитывать состав выбранных решений, должный обеспечить полнофункциональную работу инфраструктуры открытых ключей.

Деление продуктов, реализующих системы ЭЦП, на сервисы (услуги, модули) достаточно условно. Вместе с тем, при анализе архитектуры различных систем можно выделить некоторые общие черты, в том числе:

Сервис регистрации, обеспечивающий поддержку процедур обслуживания пользователей систем ЭЦП, включая:

– принятие заявок на регистрацию;

– проверка данных пользователя, аутентификация и контроль полномочий;

– создание заявок на сертификацию;

– запись данных на электронные носители (смарт-карты, флеш-память и т.д.);

– консультационная поддержка.

Сервис сертификации, ориентированный на выполнение процедур обслуживания сертификатов открытых ключей пользователей, в том числе:

– проверка поступления запросов на сертификацию;

– формирование сертификата;

– отправка сертификата к сервису баз данных;

– создание перечня блокированных и отмененных сертификатов.

Сервис ведения баз данных, обеспечивающий:

– хранение и опубликование сертификатов, а также списков блокированных или отмененных сертификатов.

Сервис статуса сертификата (on-line certificate status protocol - OCSP), входящий в режиме on-line в состав сервиса баз данных и обеспечивающий:

– создание сообщений о статусе сертификатов;

– поддержку инфраструктуры открытых ключей PKI.

Сервис фиксации времени, ориентированный на:

– создание отметок времени для документов и сообщений;

– удостоверение существования документа или сообщения до определенного времени.

Сервис блокирования и отмены, включающий функции:

– проверки запросов на блокировку или отмену сертификата;

– передачи указаний на блокировку или отмену в сервис сертификации.

В центры сертификации ключей запросы на блокирование или отмену сертификатов могут поступать по телефону или в виде письменного уведомления с помощью электронной почты (e-mail), а также обычного почтового сообщения.

Основаниями для блокирования или отмены могут быть компрометация секретного ключа вследствие его утраты или кражи носителя информации, завершение срока работы пользователя в системе или смена данных сертификата на основе решения клиента.

Служба управления ключами обеспечивает:

– управление Root-ключем (корневой ключ);

– управление ключами для Сервиса ведения баз данных и Сервиса фиксации времени;

– генерацию открытых и секретных ключей.

Протоколы сервиса баз данных, в том числе:

а) Протокол опроса открытых сертификатов (LDAP);

б) Протокол ведомостей про статус (OCSP):

1) протокол HTTP;

2) ведомости об уникальности запрашиваемого сертификатом перечня;

3) в случае уникальности ‑ проверка на блокирование или отмену;

4) подлежат проверке с помощью усиленной цифровой подписи.

в) Список блокирования или отмен (LDAP):

1) проверка с помощью усиленной цифровой подписи, возможен on‑line доступ.

Наиболее привлекательно при сравнении по критерию «модульность» выглядят решения Entrust и UniCERT, предоставляющие модули для всех областей использования инфраструктуры открытых ключей.

В частности, наличие сервисов временной метки, поддержки «бродячих» пользователей и протокола беспроводных приложений, предназначенного для безопасных беспроводных транзакций делает эти решения уникальными по данному пункту сравнения.

Модель доверия. Существуют несколько моделей доверия для процедур сертификации открытых ключей, которым присущи свои достоинства и недостатки. Модель доверия – это основа, на которой строится взаимодействие различных систем PKI.

Существуют две модели доверия, схематично изображенные на рис. 11.1 и рис. 11.2:

иерархическая модель, устанавливающая единую точку доверия двум или более Центрам сертификации ключей (ЦСК ‑ Сertificate Authority, СА).

сетевая модель, определяющая прямые доверительные отношения между двумя или более ЦСК и реализующая так называемый метод кросс – сертификации. В этой модели, каждый из ЦСК считается подчиненным центра, с которым установлены доверительные отношения.

Соседние файлы в папке Гулак_по_главам