Масштабируемость решения
Масштабируемость решения
Функционирование системы PKI так или иначе затрагивает многие ресурсы (персонал, аппаратное и программное обеспечение), поэтому нельзя не учитывать, что с течением времени масштаб системы может существенно возрасти. Очевидно, что разнообразие практических реализаций PKI не позволяет предложить готовое решение поддержки масштабируемости, но тем не менее можно выделить "узкие места" функционирования системы, влияющие на ее расширяемость [116]:
* генерация ключей;
* хранение сертификатов;
* поддержка списков САС;
* управление жизненным циклом сертификатов и ключей.
Генерация пар ключей требует значительных вычислительных ресурсов; если она выполняется централизованно, то существенно увеличивает рабочую нагрузку на сервер УЦ, так как параллельно с ней происходит выпуск и подписание сертификатов, выполняются криптографические операции, организуется хранение информации в локальной базе данных. Поэтому более рациональным способом обеспечения масштабируемости считается генерация пар ключей пользователями, позволяющая одновременно решить проблему распространения ключей.
Сертификаты обычно хранятся в общедоступном каталоге. В большинстве случаев поддерживается централизованный универсальный каталог (LDAP), для которого сертификаты являются не единственным объектом обслуживания. Для уменьшения рабочей нагрузки на каталог сертификаты и другая информация могут храниться в кэш-памяти приложений (быстродействующей буферной памяти). Этот способ повышения производительности и масштабируемости в целом достаточно эффективен, но требует документального закрепления в политике PKI ограничений на срок хранения сертификатов в кэш-памяти, в течение которого сертификаты остаются действительными.
Для функционирования PKI чрезвычайно важна поддержка списков САС. Следует учитывать, что выбор такого способа проверки статуса сертификатов, как онлайновая верификация, значительно повышает требования к производительности сервера каталогов, поэтому система УЦ должна выдерживать дополнительную нагрузку при возрастании числа пользователей PKI. Кроме того, для нормального функционирования PKI крайне нежелательно совпадение дат окончания срока действия одновременно многих сертификатов и ключей, поэтому их генерация и возобновление должны происходить непрерывно, а не привязываться к определенной дате. Это требование иногда бывает трудно выполнимо, например, в образовательной среде, когда требуется составить список и выдать сертификаты многим учащимся в течение относительно короткого периода времени. Кроме того, при проектировании PKI и организации ее базы данных необходимо учитывать ежедневные часы пиковой нагрузки в работе системы.
Итак, в связи с тем, что организация может расти с течением времени и может расширяться круг ее поставщиков и клиентов, ей важно выбрать масштабируемое PKI-решение, позволяющее управлять большим количеством сертификатов. Предварительно оценивая количество сертификатов, которые будут обслуживаться PKI, следует учитывать, что каждый субъект обычно нуждается не в одном, а во многих сертификатах, поскольку сертификаты имеют разное назначение, могут быть потеряны или просрочены. Таким образом, пользователю необходимо иметь по крайней мере 2-3 сертификата для каждого приложения. Кроме того, масштаб развертывания зависит от количества сертификатов, которое может выпустить PKI за короткий период времени (например, сотни или тысячи сертификатов). В этом случае лучшей стратегией является планирование максимально возможного масштаба, но реализация реально необходимого варианта.
Проблемы масштабирования связаны не только с выпуском сертификатов УЦ, но и с функционированием РЦ. С возрастанием количества сертификатов, которыми необходимо управлять, повышается нагрузка на РЦ. Кроме того, масштабируемость зависит от системы каталога и возможностей базы данных - именно они используются для хранения, поиска и проверки статуса сертификатов. Поэтому, когда речь идет о большом количестве сертификатов (например, заверенных ключом корневого сертификата УЦ в масштабе страны), предлагаемая система организации и управления данными действительно критически важна.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Конфликт при захвате блокировки и масштабируемость
Конфликт при захвате блокировки и масштабируемость Термин "конфликт при захвате блокировки" (lock contention, или просто contention) используется для описания блокировки, которая в данный момент захвачена и на освобождение которой ожидают другие потоки. Блокировки с высоким уровнем
2. Существующие решения
2. Существующие решения Автору известны три объектно-ориентированные библиотеки, которые можно рассматривать как альтернативу библиотеке VCL при написании компактных программ. Это библиотеки классов XCL, ACL и KOL. Все библиотеки бесплатны и поставляются в исходных
Однопротокольные решения
Однопротокольные решения Помимо утилит, работающих с несколькими протоколами, существуют решения, поддерживающие один протокол.ICQ-клиент LicqLicq (http://licq.sourceforge.net/) – это очень известная программа-клон стандартного ICQ-клиента, ранее присутствующая чуть ли не в каждом
5. Проблемы и их решения
5. Проблемы и их решения Зависла программа Если зависла программа, то в таком случае существует несколько вариантов действий.• В Windows XP большинство зависших приложений можно закрыть, нажав кнопку: Программа попросит подтверждение (рис. 5.1). Нажимаем Завершить
Масштабируемость
Масштабируемость Появление сравнительно недорогих компьютерных сетей между 1980-ми и 1990-ми годами вызвало увеличенный спрос на масштабируемые информационные системы с дружественным пользователю интерфейсом. Программное обеспечение электронных таблиц и настольных баз
1 Решения, решения
1 Решения, решения Путей- есть два и больше. Путей всегда есть два и больше. Всю мою профессиональную жизнь этот простой принцип служил практическим ориентиром, который побуждал меня искать различные альтернативы при разработке программного обеспечения и организации
Отраслевые решения (IS)
Отраслевые решения (IS) Довольно давно компания SAP поняла, что каждая отрасль имеет специфические требования, характерные для компаний в этой отрасли. Компания SAP поставляет широкий спектр вертикальных отраслевых решений (Industry-Specific Solutions (IS)), которые могут прилагаться к
Механизм решения
Механизм решения И снова запись механизма решения напрямую вытекает из анализа поставленной проблемы. Введем новую форму присваивания, назвав ее попыткой присваивания (assignment attempt):target ?= sourceЗнак вопроса указывает на предварительный характер операции. Пусть сущность target
Комплексность решения
Комплексность решения Многие сервисы безопасности можно реализовать без развертывания PKI [44]. Существуют типовые частные решения, некоторые функции безопасности встраиваются в приложения. Это может быть вариантом лишь для некоторых сред, но большинство средне- и
Стандартность решения
Стандартность решения Считается, что решение является стандартным, когда оно базируется на принятых в отрасли стандартах, а уникальные детали его реализации не препятствуют совместимости с продуктами поставщика технологии, который при разработке опирается на те же
Масштабируемость и производительность
Масштабируемость и производительность Наконец, с развертыванием сервиса репозитория связаны потенциальные проблемы масштабируемости и производительности. Очевидно, что необходимое количество серверов зависит от количества конечных пользователей, а также от срока
5.1. Готовые решения
5.1. Готовые решения В заключительной главе мы рассмотрим еще одну дизайнерскую программу из семейства W.Y.S.I.W.Y.G., которая позволяет новичку в деле веб-дизайна за считанные минуты создавать не просто отдельные странички, которые потом еще надо скреплять вместе, а сразу