LINEBURG


<< Пред. стр.

страница 21
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

томатизированную систему регистрации, позволяющую полностью
интегрировать PKI-решение с системами управления базами данных
и системами электронного документооборота. Для автоматизации
процесса регистрации модуль ARM поддерживает систему предва-
рительной аутентификации на базе предварительно подписанных
цифровыми подписями PIN-кодов и паролей пользователей. Модуль
ARM интегрирован с модулями UniCERT CA и RA, модулями кор-




PDF created with pdfFactory Pro trial version www.pdffactory.com
__________ & Программные средства поддержки РК1 ____________ 181


поративных баз данных (например, базой данных отдела кадров)
и систем управления смарт-картами.
Другой необходимый для серьезной реализации PKI компо-
нент UniCERT — Key Archive Server служит для резервного копиро-
вания, защищенного хранения и восстановления секретных ключей
шифрования владельцев сертификатов.
Модуль UniCERT Roaming позволяет конечным пользовате-
лям получать доступ к своим PIN-кодам и паролям и цифровым об-
разом подписывать электронные транзакции без использования ап-
паратных криптографических ключей, например смарт-карт, посред-
ством практически любого web-браузера.
Модуль Roaming содержит следующие компоненты:
• Credential Server, который контролирует и координирует
работу других компонентов роуминга;
• Protection Encryption Key (РЕК) Server, который гаранти
рует безопасность системы;
• Proxy Server, маскирующий местоположение серверов
Credential Server и РЕК Server;
• апплеты роуминга - программы, которые выгружаются
конечными пользователями и от их имени выполняют все операции
по обеспечению безопасности.
Использование модуля позволяет поддерживать защищенную
электронную среду, в которой пользователи имеют доступ к своим
PIN-кодам и паролям для выполнения аутентификации, шифрования
или подписания электронных документов, а клиентские приложения
защищены независимо от их аппаратного и программного обеспече-
ния, платформы и размещения.
Сервер XKMS (XML Key Management Specification) Server
обеспечивает интерфейс web-сервисов для регистрации, размеще-
ния, аннулирования и проверки подлинности сертификатов ключей
пользователей и способствует интеграции UniCERT PKI с XML-
приложениями.
Сервер Timestamp Server обеспечивает проставление меток
времени и поддерживает сервис неотказуемости, то есть позволяет
доказать всем сторонам-участникам, что транзакция имела место
в определенное время (день и час), одновременно гарантируя циф-




PDF created with pdfFactory Pro trial version www.pdffactory.com
182___________________ Основы технологии PKI_________________


ровую идентичность сторон. Сервер принимает запросы на простав-
ление меток времени и возвращает метки через Интернет, его работа
полностью автоматизирована и не требует от пользователей специ-
альных знаний технологии цифровых подписей или меток времени.
Для идентификации пользователей мобильных телефонов в
UniCERT Advanced предлагается система Telepathy Registration Sys-
tem (TRS), позволяющая абонентам мобильной связи применять
цифровые сертификаты, хранимые в PKI-системе, для доступа к сер-
висам и приложениям беспроводной связи и участия в мобильной
коммерции (для оплаты различных товаров и услуг посредством мо-
бильного-телефона).
В силу того, что Baltimore UniCERT разрабатывался как от-
крытый программный продукт для поддержки работы удостове-
ряющего центра, в нем не предусмотрено специфическое клиентское
программное обеспечение, а предполагается использование клиен-
тами для взаимодействия с удостоверяющим и регистрационным
центрами стандартной модели web-браузера или РК1-приложений
третьей стороны.
К достоинствам программного продукта Baltimore UniCERT
5.0 эксперты относят разнообразие функций модуля удостоверяю-
щего центра Certificate Authority, удобство администрирования,
способность работать со многими операционными системами [43].
Многофункциональный графический интерфейс пользователя по-
зволяет просматривать всю структуру удостоверяющих и регистра-
ционных центров. В системе Baltimore UniCERT на высоком уровне
организован процесс обновления сертификатов и эффективно ис-
пользуются централизованно разрабатываемые правила для распре-
деленного администрирования.
8.1.3. ВТ TrustWise Onsite 4.5
Компания VeriSign Inc., бесспорный лидер среди независи-
мых общедоступных удостоверяющих центров, предоставляет сер-
висы цифровой аутентификации и имеет большой опыт выпуска
цифровых сертификатов для частных лиц и корпоративных web-
серверов [24]. Большинство web-браузеров принимают выданные
VeriSign сертификаты, даже если они представлены неизвестным
web-сервером, и это доверие к компании позволяет ей сохранять ли-




PDF created with pdfFactory Pro trial version www.pdffactory.com
___________8. Программные средства поддержки PKI____________ 183


дерство среди независимых удостоверяющих центров. В области
услуг аутсорсинга компания Verisign имеет репутацию надежного
партнера [43]. VeriSign предлагает свои услуги по поддержке PKI
вместе с возможностью доступа компаний к своим данным. Вместо
приобретения специальных систем и найма соответствующих спе-
циалистов компании могут подключиться к одному из центров об-
работки данных VeriSign, который берет на себя заботу об обслужи-
вании клиентов, восстановлении ключей, обработке сертификатов,
резервном копировании информации и других операциях.
Для организаций, желающих реализовать полную инфраструк-
туру открытых ключей, VeriSign предлагает гибридный сервис, ко-
торый сочетает элементы управления «по месту» с защищенностью
базы PKI. Этот сервис предоставляется компанией VeriSign само-
стоятельно и через партнеров. VeriSign является производителем
полностью интегрированной платформы PKI OnSite для админист-
рирования сертификатов, управления и восстановления ключей
и поддержки приложений (интранет, экстранет, виртуальных част-
ных сетей и электронной коммерции) других компаний.
Партнер VeriSign, компания British Telecom, распространяет
последнюю версию этого программного продукта под названием ВТ
TrustWise OnSite 4.5, применение которого решает проблему развер-
тывания PKI, полностью управляемой самой организацией, без ин-
вестиций в инфраструктуру серверов, необходимых для поддержки
PKJ [79]. При помощи OnSite 4.5 организация контролирует работу
УЦ и непрерывно осуществляет администрирование и аудит опера-
ций. Криптографические функции, подписание сертификатов и хра-
нение данных делегируются центру защиты данных компании Brit-
ish Telecom. В состав WorldTrust входят следующие модули: Sub-
scriber Manager, RA Control Center, CA Control Center, Certificate
Processing, Certificate Manager (рис. 8.2).
Модуль Subscriber Manager поддерживает регистрацию ко-
нечных пользователей и обновление сертификатов, как правило, че-
рез корпоративные web-серверы или серверы ВТ центра.
Модуль RA Control Center реализует функции управления
жизненным циклом сертификатов, обеспечивая полный контроль
процессов регистрации и аутентификации. Модуль обесп«имо->˜-




PDF created with pdfFactory Pro trial version www.pdffactory.com
184 __________________ Основы технологии РК1 ________________


принятие и аннулирование запросов на сертификаты, аудит и управ-
ление неограниченным количеством администраторов (с разными
полномочиями), полную автономность функций администрирова-
ния, ведение контрольных журналов, генерацию отчетов, а также
реализует сервис невозможности отказа от электронных транзакций
с использованием сертификатов.
Модуль СА Control Center поддерживает web-конфигурацию
инструментальных средств поддержки, администрирования и помо-
щи, генераторы отчетов и модули интеграции приложений предос-
тавляют организации полный контроль своего удостоверяющего
центра и связь с центром обработки ВТ. СА Control Center дает воз-
можность организации самостоятельно формировать политику ло-
кального удостоверяющего центра (содержание сертификатов и пол-
номочия администрирования).
Модуль Certificate Processing обеспечивает выпуск сертифи-
катов и управление их жизненным циклом, поддержку протоколов
управления криптографическими ключами, защищенное хранение и
резервное копирование данных.
Модуль Certificate Manager позволяет пользователю выбирать
тип необходимого ему сертификата (SSL, S/MIME, IPSec
TrustGateWay).
Секретные ключи пользователей хранятся в цифровых конвер-
тах в организации, это избавляет компанию British Telecom от ответ-
ственности за их хранение. Клиентское программное обеспечение
Key Manager генерирует и восстанавливает секретные ключи, созда-
ет их резервные копии, направляет запросы на выпуск сертификатов
и доставляет ключи и сертификаты конечным пользователям.
Каждый секретный ключ шифруется уникальным сеансовым
ключом (алгоритм шифрования triple-DES), который, в свою оче-
редь, шифруется открытым ключом удостоверяющего центра ВТ для
создания блока восстановления ключа (Key Recovery Block - KRB).
Процедуры восстановления ключей гарантируют безопасность
секретных ключей, даже в том случае, если база данных ключей по-
хищена или скопирована. Доступ к секретным ключам возможен
только после расшифрования сеансовых ключей уполномоченными
администраторами при помощи ВТ TrustWise OnSite 4.5. В системе




PDF created with pdfFactory Pro trial version www.pdffactory.com
185
Д. Программные средства поддержки РК1


поддерживается полностью автоматизированная среда аннулирова-
ния сертификатов через стандартные web-браузеры, списки аннули-
рованных сертификатов формируются ежедневно каждый час.

Организация Центр BT/Verbign

1
1 ---
Сервис
восстановления
ключей
1




Управление ключами
Корпоративные серверы
Certificate Processing


Администратор
корпоративного
УЦ


Администратор ^^^
корпоративного I) I
РЦ




Корпоративный Корпоративная
каталог база данных
сертификатов регистрации


Рис. 8.2. Архитектура BT/VeriSign WorldTrust

Программные модули Enterprise Integration Software Modules
обеспечивают интерфейс с корпоративными базами данных для
поддержки автоматизированного выпуска сертификатов и других
функций администрирования, их размещения в корпоративном ката-




PDF created with pdfFactory Pro trial version www.pdffactory.com
186 __________________ Основы технологии PKI ________________


логе и организации доступа к информации об аннулировании серти-
фикатов через корпоративные web-серверы.
Инструментальные средства интеграции приложений Applica-
tion Integration Toolkits используются поставщиками коммерческих
приложений или корпоративными заказчиками для интеграции го-
товых РК1-приложений.
Специалисты компании NSS Group, тестировавшие ВТ Trust-
Wise OnSite 4.5, отмечают [79а], что этот программный продукт
поддерживает функции PKI, полностью управляемой из организа-
ции. OnSite 4.5 - одна из наиболее совершенных инсталляций удо-
стоверяющего центра, обеспечивающая меры физической безопасно-
сти, защиты данных, процедуры восстановления сертификатов, а
также средства формирования политики безопасности и возможно-
сти модификации регистрационных форм и профилей сертификатов.
Автоматическая генерация и возобновление сертификатов не вызы-
вают никаких трудностей и проводятся очень эффективно. Разрабо-
танный VeriSign протокол OCSP является для OnSite 4.5 «родным» и
используется для проверки статуса сертификатов в реальном време-
ни [43].
К недостаткам OnSite 4.5 относят невозможность администри-
рования PKI через внутреннюю корпоративную сеть (а только через
Интернет) и некоторое запаздывание уведомления пользователей о
принятии их запросов на сертификаты. Задачи администрирования
становятся громоздкими и медленно выполняются при возрастании
Интернет-трафика в течение рабочего дня.
Благодаря тому, что компания VeriSign и ее партнеры берут
всю организацию системы PKI на себя, компании-заказчики могут
достаточно быстро реализовать пилотную систему PKI [43]. Фирмы
же, предъявляющие к процедуре сертификации минимальные требо-
вания и имеющие разработанные средства интеграции со всеми не-
обходимыми приложениями, могут получить работоспособную ин-
фраструктуру за несколько месяцев. Тем не менее, этот программ-
ный продукт может быть рекомендован для пилотных проектов и
реализаций PKI с числом пользователей до 1000, так как с ростом
масштаба PKI стоимость ВТ TrustWise OnSite 4.5 растет высокими
темпами.




PDF created with pdfFactory Pro trial version www.pdffactory.com
___________ 8. Программные средства поддержки PKI _____________ 187


8.1.4. IBM Trust Authority 3.1
IBM SecureWay Trust Authority 3.1 входит в семейство про-
граммных продуктов IBM First Secure, предназначенных для ком-
плексного обеспечения информационной безопасности: защиты от
вирусов, обнаружения вторжений, управления доступом, контроля
контента трафика шифрования, управления цифровыми сертифика-
тами, межсетевого экранирования. Trust Authority реализует функ-
ции шифрования и цифровой сертификации для обеспечения аутен-
тификации пользователей и гарантированной защиты коммуникаций
179].
Система Trust Authority pa6oTaet на серверных платформах
ШМ AIX/6000 и Microsoft Windows NT. К основным компонентам
системы Trust Authority относятся:
Trust Authority Server - центральный сервер, который связы-
вает вместе другие компоненты системы, обеспечивает ее админист-
рирование и поддерживает базу данных;
Certification Authority (CA) - серверный компонент, выпол-
няет функции удостоверяющего центра и управляет процессом сер-
тификации;
Registration Authority (RA) - серверный компонент, выпол-
няет функции регистрационного центра и управляет процессом ре-
гистрации;
Audit Server - подсистема аудита, обеспечивающая регист-
рацию действий, имеющих отношение к безопасности;
WebSphere Application Server - сервер web-приложений,
предоставляет среду для развертывания приложений регистрации
системы Trust Authority;
Database system - в качестве системы управления базами
данных используется универсальная СУБД ШМ DB2. Серверные
компоненты поддерживают отдельные базы для данных регистра-
ции, аудита, каталога и информации о сертификатах;
Directory Server - сервер каталога ШМ SecureWay Directory,
интегрируется с DB2 для централизованного хранения информации
о сертификатах;
Client - клиентское программное обеспечение (на платформе
Microsoft Windows 95, 98 или NT) используется тогда, когда для ре-




PDF created with pdfFactory Pro trial version www.pdffactory.com
188 Основы технологии РК1


гистрации пользователи не могут воспользоваться стандартными
web-браузерами.
При развертывании небольших PKI все основные компоненты
могут размещаться на одном компьютере. В крупномасштабных
реализациях для более высокой производительности и расширяемо-
сти основные компоненты Trust Authority'/RA, Directory и CA/Audit
Server следует размещать на отдельных компьютерах. Безопасность
в системе Trust Authority обеспечивается подписанием программно-
го кода и сообщений, шифрованием данных и защищенным хране-
нием ключей и паролей.
Подписание кода. Базовый код системы Trust Authority под-
писывается при изготовлении. После подписания сгенерированным
изготовителем секретным ключом код становится статичным и за-
щищенным объектом, который не может быть несанкционированно
модифицирован или заменен.
Подписание сообщений. В процессе конфигурирования систе-
мы генерируются ключи подписи для серверов регистрационного и
удостоверяющего центров и аудита. Все сообщения, которыми об-
мениваются внутренние модули системы при коммуникации, подпи-
сываются и на основании электронной цифровой подписи каждого
компонента могут быть аутентифицированы.
Шифрование данных. Большинство данных, хранимых в базах
данных Trust Authority, и вся информация, размещенная в защищен-
ных областях хранения Key Stores, шифруется.
Trust Authority обеспечивает поддержку Key Stores, защищен-
ных областей хранения секретных ключей, сертификатов, кодов ау-
тентификации сообщений (MAC) и других объектов, имеющих от-
ношение к безопасности. Для компонентов RA, Audit и нескольких
серверных агентов существуют различные области Key Stores. За-
щищенное хранение объектов в Key Stores гарантирует целостность
системы. Конфиденциальность объектов обеспечивается регулиро-
ванием доступа к защищенным областям хранения и зашифрован-
ным данным: доступ к ним разрешается только тому компоненту
системы, код которого был подписан при помощи ключа, сгенери-
рованного изготовителем программного обеспечения.




PDF created with pdfFactory Pro trial version www.pdffactory.com
__________ 8. Программные средства поддержки PKI_____________189


Trust Authority поддерживает следующие категории сертифи-
катов формата Х.509 v3:
• сертификаты браузеров;
• сертификаты серверов;
• сертификаты устройств;
• сертификаты для доступа к PKIX-совместимым приложе
ниям;
• взаимные сертификаты для удостоверяющих центров.
Для защиты ключа корневого УЦ компания ШМ предлагает
аппаратное решение - криптографический сопроцессор IBM Se-
cureWay 4758 PCI. Сопроцессор выполняет криптографические
функции (алгоритмы RSA и DES, алгоритмы хэширования MD5 и
SHA-1), обеспечивает криптографическую защиту данных, управле-
ние ключами, поддержку приложений заказчика. В Trust Authority
сопроцессор генерирует ключи подписи УЦ.
В системе Trust Authority 3.1 предусматривается отдельный
домен регистрации и один сервер РЦ. Большинство конечных поль-
зователей обращаются с запросами на сертификаты через свои web-
браузеры, на сервере RA поддерживается набор web-страниц, позво-
ляющий пройти регистрацию через Интернет. Пользователю пред-
лагается загрузить сертификат корневого удостоверяющего центра
в браузер и заполнить запрос на сертификат. Как только запрос
одобрен регистрационным центром, пользователь получает уни-
кальный цифровой паспорт запроса. Если политикой безопасности
разрешена автоматическая регистрация, запрос авторизуется и обра-

<< Пред. стр.

страница 21
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign