Основные понятия архитектуры PKI

Основные понятия архитектуры PKI

Архитектура PKI описывает структуру отношений доверия между удостоверяющими центрами и другими субъектами инфраструктуры. По архитектуре PKI делятся на разные типы в зависимости от следующих характеристик:

* количества удостоверяющих центров, которые непосредственно доверяют друг другу;

* структуры отношений доверия между удостоверяющими центрами;

* способа добавления в инфраструктуру нового УЦ;

* сложности построения и проверки пути сертификации ;

* серьезности последствий компрометации удостоверяющих центров.

Каждый тип архитектуры обладает своими достоинствами и недостатками. Простые типы, например, одиночный УЦ и простой список доверия УЦ, пригодны для развертывания небольшой PKI и являются основой других типов архитектуры. Для решения проблем безопасности крупной организации (большой компании или правительственного агентства) требуется более сложная архитектура, например, иерархическая или сетевая, связывающая отношениями доверия многие удостоверяющие центры. Часто списки доверия, иерархическая и сетевая инфраструктуры открытых ключей комбинируются для создания гибридной PKI. Можно выделить следующие типы гибридной архитектуры: расширенные списки доверия ; кросс-сертифицированные корпоративные инфраструктуры и мостовые PKI. Для каждого типа архитектуры характерны свои отношения доверия. В зависимости от своих особенностей, каждый тип архитектуры используется в определенной среде.

Фундаментальной конструкцией PKI являются пути сертификации. Путем сертификации называется последовательность сертификатов, в которой издатель первого сертификата является пунктом доверия, а субъект последнего сертификата - конечным субъектом. Последний элемент последовательности - сертификат конечного субъекта - подлежит валидации. Сертификат конечного субъекта, который содержит идентификационные данные и открытый ключ владельца сертификата, может использоваться для проверки цифровой подписи или создания секретного ключа. Приложения, базирующиеся на PKI, прежде чем использовать открытый ключ субъекта для выполнения криптографической операции, должны построить и проверить путь сертификации, связывающий пункт доверия PKI и сертификат этого субъекта. Приложение не может доверять открытому ключу сертификата, пока не выполнено построение пути сертификации от данного сертификата до одного из удостоверяющих центров, признаваемых пунктами доверия PKI. Сложность этого шага зависит от сложности архитектуры PKI.

Обработка пути сертификации заключается в нахождении пути, или цепочки, сертификатов между данным целевым сертификатом и доверенным ключом и проверке валидности каждого сертификата в этом пути. Под доверенным ключом понимается ключ пункта доверия субъекта, выполняющего построение и валидацию пути . Иными словами, окончательная цель одного пользователя заключается в проверке того, можно ли доверять открытому ключу в сертификате другого пользователя. Проверяемый сертификат (и, следовательно, соответствующий открытый ключ) является надежным, если обнаруживается, что каждый сертификат (и соответствующий открытый ключ) построенного пути является надежным.

Обработка пути сертификации состоит из двух этапов:

1 построение пути, которое заключается в агрегировании всех сертификатов, необходимых для формирования полного пути;

2 валидация пути, которая включает последовательную проверку каждого сертификата пути и определение надежности соответствующего открытого ключа.

Построение и валидация пути сертификации зависят от топологии PKI, часто они выполняются как два независимых шага, но могут быть и объединены.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг:

Основные понятия JavaScript

Из книги автора

Основные понятия JavaScript Давайте рассмотрим пример еще одного Web-сценария, совсем небольшого:x = 4;y = 5;z = x * y;Больше похоже на набор каких-то формул. Но это не формулы, а выражения языка JavaScript; каждое выражение представляет собой описание одного законченного действия,


Глава 3 Основные понятия

Из книги автора

Глава 3 Основные понятия – Сервер.– Протоколы.– Службы Интернета.– Всемирная паутина.Прежде всего следует четко представлять, что такое Интернет. Интернет – это миллионы постоянно работающих компьютеров, разбросанных по всему миру и объединенных всевозможными


Основные понятия JavaScript

Из книги автора

Основные понятия JavaScript Давайте рассмотрим пример еще одного Web-сценария, совсем небольшого:x = 4;y = 5;z = x * y;Больше похоже на набор каких-то формул. Но это не формулы, а выражения языка JavaScript; каждое выражение представляет собой описание одного законченного действия,


6.1. Основные сетевые понятия

Из книги автора

6.1. Основные сетевые понятия 6.1.1. Протокол и интерфейс В основе сети Интернет лежит протокол TCP/IP, поэтому знакомство с понятием протокола необходимо любому пользователю.Протокол — это совокупность правил, определяющая взаимодействие абонентов вычислительной системы (в


1. Интернет и его основные понятия

Из книги автора

1. Интернет и его основные понятия Что такое интернет? Интернет – это много миллионов размещенных по всему миру компьютеров, связанных между собой в одну общую большую сеть. В наиболее широком смысле Интернет представляет из себя «место», где осуществляется постоянный


Основные понятия

Из книги автора

Основные понятия Что такое CVS? CVS - это система управления версиями. На самом деле, для CVS не важно, версиями чего вы управляете, однако здесь этот инструмент будет рассматриваться в том контексте, в котором он обычно используется - управление исходными текстами при


R.3 Основные понятия

Из книги автора

R.3 Основные понятия Имя обозначает объект, функцию, множество функций, элемент перечисления, тип, член класса, шаблон типа, значение или метку. Имя становится известно в программе с помощью описания. Имя можно использовать только в пределах части программы, называемой


1.1 Основные понятия

Из книги автора

1.1 Основные понятия 1.1.1 Общее устройство X Window Система X Window представляет совокупность программ и библиотек. Сердцем ее является отдельный UNIX-процесс, существующий на компьютере, к которому присоединен дисплей. Именно сервер знает особенности конкретной аппаратуры,


16.1.1. Основные понятия

Из книги автора

16.1.1. Основные понятия Под системами, ориентированными на типовые конфигурации (образцы), мы будем понимать программные системы специальной архитектуры. Для некоторых конкретных типов задач такая архитектура дает преимущества по сравнению с традиционным способом


6.1. Основные определения и понятия

Из книги автора

6.1. Основные определения и понятия Понятия «информация» и «данные» являются базовыми, первичными понятиями в информатике, поэтому на протяжении многих лет существовала и существует в настоящее время проблема при их трактовке. Многие авторы в отечественной учебной


11.3. Основные понятия

Из книги автора

11.3. Основные понятия Топология сетей Перед началом создания сети необходимо выяснить, где и как будут располагаться подключаемые компьютеры. Нужно также определить место для необходимого сетевого оборудования и то, как будут проходить связывающие компьютеры кабели.


Основные понятия ActionScript

Из книги автора

Основные понятия ActionScript Сценарий — это последовательный набор выражений, которые могут содержать действия — команды, воздействующие непосредственно на фильм. Также в выражениях могут быть ключевые слова — особые слова языка ActionScript, имеющие специальное значение, но не


Лекция 10. Основные понятия и типы архитектуры PKI

Из книги автора

Лекция 10. Основные понятия и типы архитектуры PKI Рассматриваются такие понятия архитектуры PKI, как путь сертификации, пункты доверия PKI, доверенный ключ. Описываются простая, иерархическая, сетевая и гибридная архитектура PKI, обсуждаются способы построения пути