Инфраструктура управления открытыми ключами PKI

Логическая структура и компоненты PKI

Инфраструктура открытых ключей PKI (Public Key Infrastructure) — это набор агентов и правил, предназначенных для управления ключами, политикой безопасности и собственно обменом защищенными сообщениями.

Основные задачи PKI:

• поддержка жизненного цикла цифровых ключей и сертификатов (т. е. генерация ключей, создание и подпись сертификатов, их распределение и пр.);
• регистрация фактов компрометации и публикация «черных» списков отозванных сертификатов;
• поддержка процессов идентификации и аутентификации пользователей таким образом, чтобы сократить, по возможности, время допуска каждого пользователя в систему;
• реализация механизма интеграции (основанного на PKI) существующих приложений и всех компонентов подсистемы безопасности;
• предоставление возможности использования единственного «токена» безопасности, единообразного для всех пользователей и приложений, содержащего все необходимые ключевые компоненты и сертификаты.

Токен безопасности — это индивидуальное средство безопасности, определяющее все права и окружение пользователя в системе, например смарт-карта.

Приложение, требующее систему управления ключами, должно взаимодействовать с системой PKI в ряде точек (передача сертификата на подпись, получение сертификата и «черного» списка при установлении взаимодействия и т. п.). Очевидно, что это взаимодействие с чуждой по отношению к данному приложению системой может осуществляться только при условии полной поддержки международных стандартов, которым удовлетворяет большинство современных PKI-систем (например, Baltimore, Entrust, Verisign).

Для предоставления удаленного доступа мобильным пользователям центр управления должен допускать подключение компьютеров, IP-адрес которых ему заранее неизвестен. Участники информационного обмена опознаются по их криптографическим сертификатам. Так как криптографический сертификат пользователя является электронным паспортом, он, как и любой паспорт, должен соответствовать определенным стандартам. В криптографии это стандарт Х.509.

На рисунке приведена логическая структура и основные компоненты инфраструктуры управления открытыми ключами PKI.

Компоненты этой структуры имеют следующее назначение.

Каталог сертификатов — общедоступное хранилище сертификатов пользователей. Доступ к сертификатам производится обычно по стандартизованному протоколу доступа к каталогам LDAP (Lightweight Directory AccessProtocol).

Центр регистрации RA (Registration Authority) — организационная единица, назначение которой — регистрация пользователей системы.

Пользователь — владелец какого-либо сертификата (такой пользователь подлежит регистрации) или любой пользователь, запрашивающий сертификат, хранящийся в каталоге сертификатов.

Центр сертификации СА (Certification Authority) — организационная единица, назначение которой — сертификация открытых ключей пользователей (здесь из открытого ключа получается сертификат формата Х.509) и их опубликование в каталоге сертификатов.

Общая схема работы СА выглядит следующим образом:

• СА генерирует собственные ключи и формирует сертификаты СА, предназначенные для проверки сертификатов пользователей;
• пользователи формируют запросы на сертификацию и доставляют их СА тем или иным способом;
• СА на основе запросов пользователей формирует сертификаты пользователей;
• СА формирует и периодически обновляет списки отмененных сертификатов CRL (Certificate Revocation List);
• сертификаты пользователей, сертификаты СА и списки отмены CRL публикуются СА (рассылаются пользователям либо помещаются в общедоступный справочник).

Инфраструктуру открытых ключей PKI поддерживает ряд ОС, приложений и стандартов.

В свою очередь инфраструктура открытых ключей PKI может интегрировать перечисленные функциональные области. В результате можно создавать комплексную систему информационной безопасности путем интеграции инфраструктуры открытых ключей в ИС компании и использования единых стандартов и сертификатов открытых ключей.


Страницы: 1 2 3 4

Эта статья была опубликована Пятница, 10 сентября, 2010 at 19:15 в рубрике Инфраструктура защиты на прикладном уровне. Вы можете следить за ответами через RSS 2.0 feed.

Написать ответ