Определение масштаба и сферы применения PKI
Определение масштаба и сферы применения PKI
Правильное определение сферы применения является предпосылкой успешного проектирования PKI. Как правило, чем шире назначение PKI, тем уже спектр свойств и возможностей, которые доступны ее пользователям. PKI может быть предназначена для пользователей:
1 массового рынка;
2 интрасети;
3 экстрасети.
Массовый рынок предполагает использование PKI множеством разобщенных, удаленных пользователей, работающих на компьютерах разных моделей, например, клиентов Интернет-банкинга. В этом случае возможен (если вообще возможен) лишь минимальный контроль за компьютерами пользователей. Пользователи становятся клиентами корневого УЦ открытой иерархии, имеющего свой web-сайт, и взаимодействуют с ним через интерфейс браузера.
Корпоративные пользователи часто принадлежат к одной организации. Это дает возможность поддерживать более унифицированную среду для клиентских мест и позволяет иметь некоторый контроль над действиями пользователей. В этом случае развертывание PKI в зависимости от ее масштаба может осуществляться на базе и частных, и открытых иерархий. Кроме того, пользователи получают возможность управлять сертификатами при помощи соответствующих клиентских приложений; такими функциями, например, обладает клиентское программное обеспечение двух ведущих поставщиков услуг PKI - компаний Entrust [214] и VeriSign [220].
Обычно компании создают интрасети для своих сотрудников, однако полномочия на доступ к ним иногда предоставляют деловым партнерам и другим группам пользователей. Доступ деловых партнеров к информации, хранящейся во внутренней корпоративной сети, обеспечивает экстрасеть. Поскольку клиентские места пользователей экстрасети невозможно контролировать в той же мере, что и компьютеры служащих компании, подход к этому сообществу должен быть аналогичен тому, который предлагается для массового рынка. Но очевидно, что количество пользователей экстрасети намного меньше, поэтому PKI может быть реализована как в виде открытой, так и в виде частной иерархии, дополненной системой однократной регистрации или другими системами контроля.
Возможны самые разные варианты использования PKI. В масштабе страны может быть развернута федеральная PKI, обеспечивающая контакты между правительственными учреждениями и всеми гражданами посредством сертификатов и цифровых подписей. Отдельная компания может использовать персональные сертификаты на смарт-картах для управления доступом штатных сотрудников в помещения и к компьютерным системам и приложениям. При помощи персональных сертификатов Интернет-магазин может аутентифицировать клиентов, заказывающих товар. В финансовой сфере PKI может использоваться в системе банковских расчетов для перевода денег корпоративным клиентам и операций по аккредитивам.
В таблице 18.2: 1 приводится перечень возможных сфер применения и приложений PKI, сформированный международным объединением пользователей и поставщиков услуг и программных продуктов в области инфраструктур открытых ключей (PKI Форум) [86].
В зависимости от назначения и масштаба PKI ее конечными субъектами или пользователями могут выступать граждане страны, клиенты, ИТ-штат или весь персонал организации, деловые партнеры или другие компании.
При задании сферы применения PKI необходимо определить уровень взаимодействия участников системы (международный, межкорпоративный, корпоративный, между несколькими подразделениями компании и т.п.).
| Сфера применения | Категория приложения | Примеры объектов и транзакций PKI-приложений |
|Банковская и финансовая сферы | Аутентификация платежей | Покупка акций
Денежные переводы по кредитам на обучение
|
|Контроль доступа | Банковские операции в онлайновом режиме |
|Защищенная электронная почта | Подача документов в комиссию по ценным бумагам и биржам |
|Защищенное хранение и поиск документов | Электронные ипотечные кредиты
Заявки на приобретение ценных бумаг
|
|Цифровой нотариат | Документы о правовом титуле
Кредиты
|
|Защищенные транзакции | Гарантийные письма |
|Страхование | Электронная цифровая подпись | Онлайновые:
* квоты;
* заявки;
* разрешения
|
|Аутентификация платежей | Онлайновые платежи:
* страховые премии;
* компенсации по страховым полисам
|
|Контроль доступа | Электронный документооборот
Информация о страхователях
|
|Здравоохранение | Аутентификация платежей | Выплата компенсаций |
|Защищенный обмен сообщениями / электронная почта | Подача заявлений на компенсацию |
|Защищенное хранение и поиск документов | Информация о пациентах |
|Квалификационная идентификация | Удостоверения врачей |
|Персональная идентификация | Паспорта |
|Правительство | Контроль доступа | Проход в правительственные здания |
|Аутентификация платежей | Выплаты органов социального обеспечения |
|Защищенный обмен сообщениями | Финансовые полномочия администрации |
|Защищенное хранение и поиск документов | Юридические документы по судебным делам |
|Бизнес- бизнес | Контроль доступа | Просмотр выбранных документов деловыми партнерами |
|Аутентификация платежей | Защищенные электронные платежи |
|Электронная цифровая подпись | Электронные контракты |
|Защищенный обмен сообщениями | Соглашения о коммерческой тайне
Запросы с предложениями о поставках
Контракты
|
Таблица 18.2.Сферы применения и категории приложений PKI
На предварительном этапе чрезвычайно важно выявить проблемы взаимодействия и функциональной совместимости инфраструктуры с другими PKI и таким образом очертить круг сторон, вовлекаемых в процесс развертывания PKI. В домен доверия PKI не входят индивидуумы или организации, не включенные в сферу применения инфраструктуры. По мере функционирования PKI сфера применения может быть пересмотрена и дополнена новыми типами пользователей.