Кросс-сертифицированные корпоративные PKI
Кросс-сертифицированные корпоративные PKI
Если две организации или сообщества пользователей постоянно взаимодействуют друг с другом и нуждаются в защищенных коммуникациях, то между их инфраструктурами открытых ключей могут быть установлены одноранговые связи.
Рис. 10.8. Кросс-сертифицированные корпоративные PKI и пути сертификации пользователя А
Пример 10.6. На рис. 10.8 УЦ пользователя А кросс-сертифицирован с головным УЦ иерархической PKI компании "Бета" и УЦ подразделения 2 в сетевой PKI компании "Гамма". Кроме того, удостоверяющие центры компаний "Бета" и "Гамма" кросс-сертифицированы друг с другом. Каждый пользователь поддерживает один пункт доверия. Пользователи A, B и D доверяют удостоверяющим центрам, которые выпустили их сертификаты, а пользователь С доверяет своему головному УЦ. Межкорпоративные отношения являются одноранговыми, а внутри корпоративных инфраструктур установлены или одноранговые, или иерархические связи. Имея свой список доверия, пользователь А не может добавлять в него новый УЦ внешней PKI по своему усмотрению, а должен полагаться на действия администратора своего пункта доверия. А дминистраторы УЦ обычно имеют более высокую квалификацию, чем пользователи, и способны определить надежность УЦ или PKI. Прежде чем устанавливать отношения кросс-сертификации, администраторы УЦ анализируют политику и практику применения сертификатов другого УЦ. После кросс-сертификации удостоверяющих центров пользователь В получает возможность проверять валидность сертификатов пользователей С и D из других PKI. В соответствии с принципами архитектуры расширенного списка доверия пользователям необходимо обновлять свои собственные списки доверия.
Преимущество данной архитектуры заключается в том, что пользователь А строит пути от одного пункта доверия. Но пути сертификации в этой среде могут быть слишком сложными. Поскольку объединенная PKI включает и сетевой, и иерархический сегменты, алгоритмы построения пути должны комбинировать иерархический и сетевой методы построения пути, что усложняет и сами сертификаты, и процесс построения правильного пути. Эта архитектура решает многие проблемы, которые возникают у пользователя А в результате компрометации УЦ. Пользователь А поддерживает один пункт доверия и имеет прямую связь со своим УЦ, о компрометации которого пользователь уведомляется немедленно. УЦ пользователя А имеет прямые отношения кросс-сертификации с двумя другими удостоверяющими центрами. Если любой из них скомпрометирован, УЦ пользователя А будет уведомлен об этом и аннулирует соответствующий сертификат. Кроме того, если компрометируются другие корпоративные PKI, управление их компрометацией будет осуществляться так же, как обсуждалось раньше.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Осуществляем кросс-доменные запросы
Осуществляем кросс-доменные запросы Даже при небольшом опыте работы с AJAX уже должно было возникнуть закономерное возражение: «Это не будет работать из-за кроссдоменной безопасности» (для предотвращения XSS-атак). Давайте рассмотрим и этот вопрос.Для обеспечения
Кросс — браузерность
Кросс — браузерность Как с обычного компьютера, так и с гаджета пользователь может выходить в Интернет с помощью разных браузеров. Добиться полной совместимости сайта с каждым из них – та еще задачка. Так что желательно заранее решить, какие программы — просмотрщики
«Корпоративные» системы управления исходным кодом
«Корпоративные» системы управления исходным кодом Вполне возможно, что ваша фирма уже вложила целое состояние в «корпоративную» систему управления исходным кодом. В таком случае примите мои соболезнования. Вероятно, по политическим соображениям вы не сможете просто
Корпоративные журналы и газеты
Корпоративные журналы и газеты Многие компании, круг клиентов которых достаточно четко обозначен, выпускают корпоративные газеты или журналы. Такие издания интересны для специалиста конкурентной разведки тем, что они могут содержать перечни клиентов и содержать
10 советов тем, кто собирается открыть корпоративные аккаунты в социальных сетях
10 советов тем, кто собирается открыть корпоративные аккаунты в социальных сетях 1. Определитесь с какой целью вы собираетесь работать — от лица компании или представлять себя как специалиста в сетях.2. В 9 случаях из 10 работа в соцсетях ведет к повышению узнаваемости
Корпоративные ресурсы
Корпоративные ресурсы Корпоративные интернет-ресурсы – эффективные инструменты для привлечения и обслуживания клиентов. Они предоставляют посетителям максимально полную информацию по реализуемым продуктам (услугам) по возможности с описаниями как самих продуктов
Корпоративные медиа
Корпоративные медиа Особого разговора заслуживают корпоративные медиаресурсы. Они находятся между корпоративными и информационными ресурсами и часто используются для организаци эффективных внутренних коммуникаций в фирме. Во многих случаях это интернет-версии
Корпоративные блоги
Корпоративные блоги В Википедии корпоративный блог определяется как блог, издаваемый организацией (юридическим лицом) и используемый как для связей с общественностью, так и для внутренней организации ее работы.Цели внутрикопоративного блога разнообразны. Среди них:
7. Крисс-кросс, или Эвристическое составление головоломки
7. Крисс-кросс, или Эвристическое составление головоломки Многие считают кроссворды слишком трудной головоломкой, потому что отгадать слово им не под силу. Но вписывать буквы в клетки нравится. Для подобных людей существует более простая головоломка — крисс-кросс.Каждый
Деловые инициативы и корпоративные цели
Деловые инициативы и корпоративные цели Из обзора Дэна Лэнджина в предыдущем разделе становится ясным, что против компании, неспособной обеспечить безопасность, могут быть предприняты меры правового воздействия. Но даже когда над головой нависает угроза судебного
СОФТЕРРА: Длинные руки: Корпоративные системы удаленного управления. Часть 2
СОФТЕРРА: Длинные руки: Корпоративные системы удаленного управления. Часть 2 Автор: Ралько, АндрейПродолжим начатую в предыдущем номере тему удаленного управления компьютером через сеть. Все продукты этого класса очевидным образом можно разделить на две группы: в первую
Кросс-сертификация
Кросс-сертификация Кросс-сертификация - это механизм связывания вместе удостоверяющих центров, ранее не имевших связей друг с другом, таким образом, что становятся возможными защищенные коммуникации между соответствующими сообществами субъектов. Фактически
Построение пути для кросс-сертифицированных PKI
Построение пути для кросс-сертифицированных PKI Архитектура кросс-сертифицированных PKI имеет много общего с архитектурами сетевой PKI и расширенных списков доверия. Здесь также разные пользователи строят разные пути сертификации для одного и того же сертификата