Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4603 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Государственный университет телекоммуникаций
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Материалы что дал Мухачев / Материалы что дал Мухачев-1 / Книги / Гулак_по_главам / Глава_а11.doc
Скачиваний:
60
Добавлен:
19.02.2016
Размер:
165.89 Кб
Скачать
►Содержание►

11.1. Иерархическая модель доверия

Рис. 11.2 Сетевая модель доверия

Основные различия между двумя моделями доверия заключаются в методах построения цепочек сертификатов и методах верификации сертификатов, выданных различными ЦСК.

Данный критерий отражает возможность различных решений PKI взаимодействовать между собой без дополнительных затрат, и наиболее критичен для корпораций объединяющих в своей инфраструктуре несколько решений или расширяющих свои подразделения.

Предпочтительнее по этим параметрам выглядят продукты Entrust, RSA и UniCert, которые обеспечивают гибридную модель доверия.

MCS и iPlanet поддерживают только иерархическую модель доверия.

Законом Украины «Об электронной цифровой подписи» определена в качестве основы построения национальной системы ЭЦП наиболее распространенная иерархическая модель сертификации открытых ключей с единым корнем. Законом также наложено ограничение на глубину возможной сертификации.

Для большинства приложений это – двухуровневая схема, включающая центральный удостоверяющий орган (ЦУО – корневой удостоверяющий орган) и отдельные центры сертификации ключей.

При необходимости, в государственных органах предусматривается возможность создания трехуровневой системы сертификации: центральный удостоверяющий орган –удостоверяющий центр – центр сертификации ключей.

Преимуществом иерархичной модели в сравнении с сетевой является более простой процесс проверки сертификата пользователя.

Недостатком этой архитектуры является то, что в случае нарушения работы корневого центра сертификации ключей (ЦУО) практически нарушается работа всей системы.

Это означает, что в случае компрометации секретного ключа ЦУО, все сертификаты, которые были заверены ЦСК с его помощью, считаются компрометированными и подлежат замене.

Отмеченный недостаток требует особого внимания вопросам обеспечения безопасности как на этапе проектирования ЦУО, так и в ходе его практической эксплуатации.

Масштабируемость. Критерий масштабируемости часто очень свободно трактуется производителями тех или иных продуктов. Характеристика этого показателя типа: «высокая масштабируемость – 1 миллионов сертификатов», что скорее свидетельствует скорее о весьма средней базе данных, нежели о качестве самого решения PKI.

Признано, что масштабируемое решение должно удовлетворять следующим условиям.

1. Иметь модульную структуру, обеспечивающую построение полнофункциональной инфраструктуры открытых ключей.

2. Поддерживать различные программные платформы – операционные системы.

3. Поддерживать открытые криптографические стандарты, для взаимодействия с другими системами.

4. При необходимости взаимодействия различных реализаций PKI поддерживать гибридную модель доверия.

5. Обеспечивать поддержку построения доверительных отношений с центром сертификации, не входящим в имеющуюся иерархию, в реальном масштабе времени. Данное условие минимизирует затраты на построение, управление и техническую поддержку инфраструктуры PKI. Этому условию удовлетворяют решения Entrust , UniCERT и MCS.

6. Обеспечивать гибкую систему управления и контроля над инфраструктурой PKI. Данное требование обусловлено тем фактором, что проблемы в работе инфраструктуры открытых ключей могут привести к серьезным финансовым потерям, поэтому очень важно в составе программного продукта иметь средства реагирования на аварийные ситуации, проведения анализа состоянии системы и получения необходимых отчетов.

7. Поддерживать инфраструктуру управления привилегиями (PMI), что обусловлено все более интенсивным использованием в корпоративных средах возможностей по применению сертификатов определяющих признаков (Attribute certificates) для передачи сервисам авторизации информации о пользовательских привилегиях. Такой сервис предоставляют решения Entrust, RSA и UniCERT.

В целом, при сравнении по критерию масштабируемости наиболее предпочтительными выглядят решения Entrust и UniCERT. Решения RSA и iPlanet немного отстают по критериям модульности и поддержки построения доверительных отношений в реальном масштабе времени.

Кроме того, решение iPlanet , как и решение MCS, не имеет поддержки инфраструктуры управления привилегиями (PMI). Решение Microsoft можно назвать масштабируемым исключительно в пределах платформы Windows.

Соседние файлы в папке Гулак_по_главам
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности