Определение масштаба и сферы применения PKI

Определение масштаба и сферы применения PKI

Правильное определение сферы применения является предпосылкой успешного проектирования PKI. Как правило, чем шире назначение PKI, тем уже спектр свойств и возможностей, которые доступны ее пользователям. PKI может быть предназначена для пользователей:

1 массового рынка;

2 интрасети;

3 экстрасети.

Массовый рынок предполагает использование PKI множеством разобщенных, удаленных пользователей, работающих на компьютерах разных моделей, например, клиентов Интернет-банкинга. В этом случае возможен (если вообще возможен) лишь минимальный контроль за компьютерами пользователей. Пользователи становятся клиентами корневого УЦ открытой иерархии, имеющего свой web-сайт, и взаимодействуют с ним через интерфейс браузера.

Корпоративные пользователи часто принадлежат к одной организации. Это дает возможность поддерживать более унифицированную среду для клиентских мест и позволяет иметь некоторый контроль над действиями пользователей. В этом случае развертывание PKI в зависимости от ее масштаба может осуществляться на базе и частных, и открытых иерархий. Кроме того, пользователи получают возможность управлять сертификатами при помощи соответствующих клиентских приложений; такими функциями, например, обладает клиентское программное обеспечение двух ведущих поставщиков услуг PKI - компаний Entrust [214] и VeriSign [220].

Обычно компании создают интрасети для своих сотрудников, однако полномочия на доступ к ним иногда предоставляют деловым партнерам и другим группам пользователей. Доступ деловых партнеров к информации, хранящейся во внутренней корпоративной сети, обеспечивает экстрасеть. Поскольку клиентские места пользователей экстрасети невозможно контролировать в той же мере, что и компьютеры служащих компании, подход к этому сообществу должен быть аналогичен тому, который предлагается для массового рынка. Но очевидно, что количество пользователей экстрасети намного меньше, поэтому PKI может быть реализована как в виде открытой, так и в виде частной иерархии, дополненной системой однократной регистрации или другими системами контроля.

Возможны самые разные варианты использования PKI. В масштабе страны может быть развернута федеральная PKI, обеспечивающая контакты между правительственными учреждениями и всеми гражданами посредством сертификатов и цифровых подписей. Отдельная компания может использовать персональные сертификаты на смарт-картах для управления доступом штатных сотрудников в помещения и к компьютерным системам и приложениям. При помощи персональных сертификатов Интернет-магазин может аутентифицировать клиентов, заказывающих товар. В финансовой сфере PKI может использоваться в системе банковских расчетов для перевода денег корпоративным клиентам и операций по аккредитивам.

В таблице 18.2: 1 приводится перечень возможных сфер применения и приложений PKI, сформированный международным объединением пользователей и поставщиков услуг и программных продуктов в области инфраструктур открытых ключей (PKI Форум) [86].

В зависимости от назначения и масштаба PKI ее конечными субъектами или пользователями могут выступать граждане страны, клиенты, ИТ-штат или весь персонал организации, деловые партнеры или другие компании.

При задании сферы применения PKI необходимо определить уровень взаимодействия участников системы (международный, межкорпоративный, корпоративный, между несколькими подразделениями компании и т.п.).

| Сфера применения | Категория приложения | Примеры объектов и транзакций PKI-приложений |

|Банковская и финансовая сферы | Аутентификация платежей | Покупка акций

Денежные переводы по кредитам на обучение

|

|Контроль доступа | Банковские операции в онлайновом режиме |

|Защищенная электронная почта | Подача документов в комиссию по ценным бумагам и биржам |

|Защищенное хранение и поиск документов | Электронные ипотечные кредиты

Заявки на приобретение ценных бумаг

|

|Цифровой нотариат | Документы о правовом титуле

Кредиты

|

|Защищенные транзакции | Гарантийные письма |

|Страхование | Электронная цифровая подпись | Онлайновые:

* квоты;

* заявки;

* разрешения

|

|Аутентификация платежей | Онлайновые платежи:

* страховые премии;

* компенсации по страховым полисам

|

|Контроль доступа | Электронный документооборот

Информация о страхователях

|

|Здравоохранение | Аутентификация платежей | Выплата компенсаций |

|Защищенный обмен сообщениями / электронная почта | Подача заявлений на компенсацию |

|Защищенное хранение и поиск документов | Информация о пациентах |

|Квалификационная идентификация | Удостоверения врачей |

|Персональная идентификация | Паспорта |

|Правительство | Контроль доступа | Проход в правительственные здания |

|Аутентификация платежей | Выплаты органов социального обеспечения |

|Защищенный обмен сообщениями | Финансовые полномочия администрации |

|Защищенное хранение и поиск документов | Юридические документы по судебным делам |

|Бизнес- бизнес | Контроль доступа | Просмотр выбранных документов деловыми партнерами |

|Аутентификация платежей | Защищенные электронные платежи |

|Электронная цифровая подпись | Электронные контракты |

|Защищенный обмен сообщениями | Соглашения о коммерческой тайне

Запросы с предложениями о поставках

Контракты

|

Таблица 18.2.Сферы применения и категории приложений PKI

На предварительном этапе чрезвычайно важно выявить проблемы взаимодействия и функциональной совместимости инфраструктуры с другими PKI и таким образом очертить круг сторон, вовлекаемых в процесс развертывания PKI. В домен доверия PKI не входят индивидуумы или организации, не включенные в сферу применения инфраструктуры. По мере функционирования PKI сфера применения может быть пересмотрена и дополнена новыми типами пользователей.