Протоколы управления
• PKCS#10 + SSL, PKCS#10 + PKCS#7 ; использование
штатных
механизмов безопасности для защиты
управляющей информации
• СМР; специализированный
многофункциональный
протокол
управления PKI с унифицированной структурой
сообщения
• СМР; протокол управления,
объединяющий в себе
функциональность СМР и простоту PKCS#7
• SCEP;специализированный
протокол для выпуска
сертификатов
VPN-устройств компании Cisco Systems
Следующую группу протоколов составляют протоколы управления. Данные протоколы должны обеспечивать минимальный уровень функциональности по управлению жизненным циклом ключей и сертификатов, включая регистрацию и выпуск сертификата пользователя или уполномоченного органа ЦС, получение и обработку запросов на обновление ключей и сертификатов и изменение статусной информации.
Среди протоколов управления, реализованных на базе защищенных протоколов общего назначения, наибольшее распространение получили PKCS#10+SSL и PKCS#10+PKCS#7. Ранние версии многих систем поддержки работы с цифровыми сертификатами использовали эти протоколы, но, в силу их недостаточной функциональности, со временем перешли на более сложные и специализированные.
Протокол СМР представляет собой специализированный многофункциональный протокол управления PKI с унифицированной структурой сообщения, который поддерживает более 20 различных типов управляющих сообщений. По сравнению с ограниченными возможностями защиты, предоставляемыми SSL и PKCS#7, данный протокол включает в себя целый комплекс мер для противодействия различного вида атакам, включая атаки повтора (reply), засорения (contamination) и другие. Широко распространенный протокол CMC объединяет в себе функциональность протокола СМР с простотой реализации защиты с использованием PKCS#7.
Критерии сравнения протоколов управления
1. Функциональная полнота
2. Поддержка транзакционных моделей
3.
Механизмы
доказательства обладания секретным
ключом
4. Сложность и эффективность транзакций
5. Расширяемость сообщений протокола
6. Возможность архивирования сообщений
7. Использование существующего программного кода
Чтобы сделать правильный выбор между различными протоколами управления PKI необходимо выработать адекватные критерии их сравнения. В качестве подобных критериев могут использоваться следующие:
•Функциональная полнота: мера покрытия протоколом задач управления PKI
•Поддержка транзакционных моделей: возможность реализации протокола с участием различного числа сторон
•Механизмы доказательства обладания секретным ключом
•Сложность и эффективность транзакций: анализируется в аспекте их применения в процессе работы прикладной системы
•Расширяемость сообщений протокола: возможность добавления в структуру сообщения уточняющей информации
•Возможность архивирования сообщений: снабжение управляющих сообщений средствами контроля целостности и подлинности, которые могут быть сохранены при переносе информации в архив,
•Использование существующего программного кода: возможность повторного использования программного кода, предназначенного для других целей и задач, для реализации протокола.
Разбор конкретных протоколов будет осуществляться с учетом этих критериев.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.