Протоколы PKI
Компоненты PKI взаимодействуют между собой посредством различных протоколов обмена. По аналогии с инфраструктурой транспорта или водоснабжения протоколы представляют собой магистрали для передачи информации между компонентами PKI. Главной задачей любой инфраструктуры является обеспечение высокой надежности и производительности в процессе функционирования.
Для эффективного функционирования PKI, при условии предоставления требуемого уровня сервиса, это требует разработки специализированных протоколов. Поскольку информация, передаваемая между некоторыми из компонент, может являться критичной с точки зрения безопасности PKI-системы, эти протоколы должны включать в себя также соответствующие механизмы обеспечения безопасности.
Подходов к построению таких протоколов может быть несколько. Один из них предполагает расширение существующих протоколов общего назначения путем внесения в них специфики PKI. Данный подход позволяет максимальным образом использовать уже написанный программный код, однако, полученное решение не всегда будет оптимальным. Второй подход предполагает разработку протоколов "с нуля".
В данной лекции продемонстрированы оба подхода на примере протоколов, реализующий базовый набор РК1-сервисов.
Содержание лекции
1. Группы протоколов PKI
2. Операционные протоколы
3. Протоколы управления
4. Протоколы валидации
5. Протокол меток времени
6. Атрибутные сертификаты
7. Библиография
Коротко о содержании лекции.
Прежде всего, будет приведена классификация существующих протоколов PKI по группам в соответствии с выполняемыми функциями.
Будет проведен анализ протоколов, обеспечивающих распространение информации в PKI. В качестве примера будет разобран протокол LDAP и его расширения LDAPv2 для работы с цифровыми сертификатами.
Затем будут рассмотрены протоколы управления PKI, включая протокол, основанный на обмене подписанным сообщениями в формате CMS и многофункциональный специализированный протокол СМР. Будут предложены критерии сравнения протоколов управления и проведен сравнительный анализ.
Далее будет представлен обзор протоколов валидации. Более детальная информация будет представлена по протоколу онлайновой проверки статуса сертификата OCSP и многоцелевому сервису валидации сертификатов и цифровых документов DVCS. Отдельно будет рассмотрен протокол простановки меток времени.
Заключительная часть лекции будет посвящена обзору технологии PMI. Будут перечислены модели авторизации, поддерживаемые PMI, рассмотрена структура атрибутного сертификата и механизм проверки полномочий.
Лекция завершится обзором библиографических источников.
Группы протоколов PKI
Операционные протоколы - протоколы, отвечающие за распространение сертификатов и списков отозванных сертификатов в PKI
Протоколы управления — протоколы обмена служебными сообщениями, посредством которых осуществляется управление жизненным циклом сертификатов
Протоколы валидации— протоколы, посредством которых осуществляется проверка объектов PKI
Протоколы PKI предоставляют средства для обеспечения требуемого уровня сервиса PKI-системы.По функциональному признаку они могут быть разделены на следующие основные группы:
•операционные протоколы: протоколы, отвечающие за распространение сертификатов и списков отозванных сертификатов в PKI;
•протоколы управления : протоколы обмена служебными сообщениями, посредством которых осуществляется управление жизненным циклом сертификатов.
•протоколы валидации: протоколы, посредством которых осуществляется проверка объектов PKI.
Целью операционных протоколов является обеспечение высокого уровня доступности данных, произведенных ЦС и используемых конечными пользователями. В качестве таких протоколов могут быть использованы любые протоколы общего назначения, занимающиеся распространением данных в информационных системах.
Протоколы управления и валидации по своей сути являются специализированными. Основной задачей данных протоколов является аутентификация сторон и защита данных информационного обмена. Основой для этих протоколов может служить какой-либо защищенный протокол обмена (S/MIME, SSL).
Операционные протоколы
• HTTP;сертификаты и CRL хранятся на web-сервере в виде
файлов и
доступны для загрузки
• FTP; сертификаты и CRL хранятся на ftp-сервере в виде
файлов и доступны для загрузки
• E-mail;сертификаты и CRL рассылаются в составе
почтового
сообщения S/MIME
• LDAP;сертификаты и CRL хранятся на ldap-сервере в виде
элементов
LDAP-каталога и доступны для загрузки
В качестве операционных протоколов PKI могут использоваться HTTP, FTP, SMTP, LDAP. Протоколы реализуют взаимодействие клиент-сервер. Объекты PKI размещаются на сервере в виде файлов или записей базы данных, и доступны пользователю по запросу.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.
