19.09.2001, среда
| |
Описание решений компании Baltimore Technologies
Оглавление
Введение
- Core Technology
1.1 СA
1.2 CAO
1.3 RA
1.4 RAO
1.5 Gateway
1.6 Token Manager
- Advanced Technology
2.1 KAS
2.2 ARM
2.3 APM
2.4 WebRAO
- Extended Technology
3.1 Timestamp Server
3.2 ACS
3.3 Roaming
3.4 DKM
|
Введение |
|
UniCERT - это платформа для управления цифровыми сертификатами в Инфраструктуре Открытых Ключей (PKI).
UniCERT обеспечивает сервис для регистрации пользователей, выдачи и удаления цифровых сертификатов. Программные модули UniCERT обеспечивают централизованный контроль и определяют все политики функционирования PKI.
Основным преимуществом UniCERT для построения PKI является гибкость.
Технология UniCERT содержит три основных уровня:
Core Technology - ядро технологии UniCERT.
Модули, составляющие ядро, обеспечивают функционирование СА - Сервера Сертификатов. Ядро обеспечивает регистрацию пользователей в PKI, выпуск и управление сертификатами.
Advanced Technology - продвинутый уровень составляют модули, предназначенные для больших организаций и коммерческих Серверов Сертификатов.
Extended Technology - расширенный уровень составляют модули, обеспечивающие дополнительные сервисы, например, Метку Времени.
Схема взаимодействия модулей UniCERT представлена на рисунке 1:
Рис. 1. Схема взаимодействия основных модулей UniCERT.
Схема взаимодействия модулей UniCERT при выдаче сертификатов представлена на рисунке 2.:
Рис.2. Схема взаимодействия основных модулей UniCERT при выдаче сертификатов.
|
1. Core Technology |
|
1.1. Certificate Authority (CA) - Сервер Сертификатов.
СА - основной элемент UniCERT. Обеспечивает выпуск заверенных собственной подписью сертификатов.
Все доверительные отношения внутри PKI начинаются с электронно-цифровой подписи СА. Сервер Сертификатов функционирует в соответствии с гибкой политикой, которая устанавливается Оператором Сервера Сертификатов - Certificate Authority Operator (CAO).
Функции СА:
- СА принимает подтвержденные запросы на выдачу или аннулирование сертификатов от Центра Регистрации (RA) и Оператора Сервера Сертификатов (CAO), и возвращает сертификаты и подтверждения аннулирования.
- В соответствии с установленной политикой, СА выдает конечным пользователям личные ключи шифрования, которые сохраняются в Сервере Архивов Ключей (КAS).
- СА несет ответственность за ЭЦП внутри всей PKI и за подпись пользовательских сертификатов. СА также подписывает сертификаты подчиненных СА и других СА, в случае перекрестной сертификации.
- Certificate Revocation Lists (CRLs) - перечень отозванных сертификатов и Authority Revocation Lists (ARLs) - перечень аннулированных серверов сертификации - СА подписывает всю информацию об аннулированных сертификатах в форме CRL, CRLDP и ARL.
- Все сообщения, посылаемые СА, подписываются его ЭЦП.
- Все сообщения, получаемые СА, проверяются на целостность и подлинность отправителя;
- Все данные и журнал регистрации сохраняются в собственной базе данных СА. Каждая запись имеет свой номер.
- СА публикует сертификаты, CRL, ARL в LDAP, каталог стандарта X.500 и на диск;
- СА может отвечать за публикацию CRL и ARL на OCSP-серверах;
- СА генерирует пары ключей для себя и для главного САО;
- СА может проверять уникальность всех сертификатов и открытых ключей.
Особенности:
- Работает под управлением Solaris, HP, Windows 2000, NT;
- Многоязыковая поддержка;
- Поддержка аппаратных средств хранения ключей и сертификатов (smartcard, eToken);
- Поддержка LDAP и DAP;
- СА может пользоваться различными парами ключей для различных функций: подпись сертификатов, подпись CRL, шифрование данных, шифрование ключей;
- Изменение времени публикации CRL;
- Публикация CRL для OCSP-серверов;
- Поддержка различных алгоритмов шифрования, включая RSA, DSA, EC DSA.
1.2. Certificate Authority Operator (CAO) - рабочее место администратора Сервера Сертификатов.
САО обеспечивает интерфейс между системой и администратором. Через САО оператор управляет политикой функционирования Сервера Сертификатов. Через САО также конфигурируются все остальные компоненты UniCERT. САО выдает сертификаты всем элементам UniCERT, определяет политики регистрации пользователей и отправляет эти политики в RAO. Для распределенного администрирования возможно применение нескольких САО с различными правами.
Функции САО:
- САО направляет утвержденные запросы на получение сертификата в СА. САО сохраняет запросы на удаление сертификатов в базе данных СА;
- САО отвечает за создание и поддержку политики выдачи сертификатов. СА также поддерживает политики функционирования СА и всех RA;
- САО выдает RAO политики выдачи сертификатов (через СА и RA);
- Некоторые сертификаты могут быть аннулированы САО;
- САО может добавлять новые модули в PKI и определять им привилегии;
- САО создает пары ключей для новых модулей;
- Все сообщения, посылаемые САО, подписываются его ЭЦП;
- Все сообщения, получаемые САО, проверяются на целостность и подлинность отправителя;
- Все данные и журнал регистрации сохраняются в базе данных СА. Все записи подписываются САО. Каждая запись имеет уникальный номер.
Особенности:
- Работает на Windows NT и Windows 2000;
- Многоязыковая поддержка;
- Графический интерфейс пользователя;
- Интерфейс для просмотра журналов регистрации и сертификатов;
- Выдача сертификатов и CRL;
- Поддержка использования аппаратных средств хранения сертификатов и ключей;
- Пользователь индивидуального САО может иметь ограниченные привилегии;
- Возможность подтверждения запроса на отзыв сертификата несколькими САО для удаления сертификата;
- Просмотр обрабатываемых запросов.
1.3. Registration Authority (RA) - сервер регистрации.
RA - центральная точка пересылки информации между CA, RAO, ARM, MAIL/Web Gateway. RA принимает прямые запросы на получение сертификата от RAO (ARM) и удаленные запросы на получение сертификата от MAIL Gateway или Web Gateway. Затем Сервер Регистрации отправляет запросы на получение сертификатов Серверу Сертификатов. Для передачи сообщений между CA и RA используется протокол PKIX, гарантирующий целостность переданных сообщений. RA подчиняется центральной политике функционирования, устанавливаемой САО.
Функции RA:
- RA пересылает утвержденные запросы на получение и аннулирование сертификатов от RAO в СА. RA получает выданные сертификаты и подтверждения аннулирования сертификатов и делает их доступными для RAO.
- RA пересылает запросы на получение и аннулирование сертификатов от Gateway в RAO и посылает выданные сертификаты и информационные сообщения обратно в Gateway.
- RA отвечает за действительность сертификатов пользователей в течение определенного времени;
- Все сообщения, посылаемые RA, подписываются ЭЦП;
- Все сообщения, получаемые RA, проверяются на целостность и подлинность отправителя;
- Все данные и журнал регистрации хранятся в базе данных RA. Все записи подписываются RA. Каждая запись имеет уникальный номер.
Особенности:
- Работает под управлением Windows NT и Windows 2000.
- Поддержка использования аппаратных средств хранения сертификатов и пользовательских ключей;
- RA может автоматически подтверждать запросы, приходящие от Gateway, без вмешательства RAO;
1.4. Registration Authority Operator - рабочее место администратора Сервера Регистрации.
RAO - интерфейс для принятия и обработки запросов на получение сертификата. Запросы на получение сертификата могут приниматься через Email, WWW, или напрямую от пользователя. Администратор Сервера Регистрации принимает запросы на получение сертификата и проверяет действительность представленной информации. Если информация действительна, она регистрируется в базе данных RA. Затем RA отсылает подтвержденный запрос в Сервер Сертификатов на подпись. Если данные, представленные в запросе признаны не удовлетворительными, запрос отвергается. В дальнейшем, отвергнутые запросы не обрабатываются. Если необходимо, RAO может генерировать пользовательские ключи. Каждый RAO имеет права регистрации в соответствии с политикой, определяемой САО.
Функции RAO:
- RAO получает запросы на получение сертификата от Gateway или напрямую от пользователя;
- RAO подтверждает или отвергает пользовательские запросы на получение сертификата;
- RAO может генерировать пользовательские ключи;
- RAO посылает подтвержденные запросы на получение и аннулирование сертификатов в RA;
- Все сообщения, посылаемые RAO, подписываются ЭЦП;
- Все сообщения, получаемые RAO, проверяются на целостность и подлинность отправителя;
- Все данные и журнал регистрации хранятся в базе данных RA. Все записи подписываются RAO. Каждая запись имеет уникальный номер.
Особенности:
- Работает под управлением Windows NT и Windows 2000.
- Многоязыковая поддержка;
- Графический интерфейс пользователя;
- Возможность просмотра журналов регистрации и сертификатов;
- Поддержка использования аппаратных средств хранения сертификатов и пользовательских ключей;
- Возможность использования нескольких распределенных RAO.
1.5. Gateway - шлюз для получения запросов на регистрацию по электронной почте и/или через Web-интерфейс.
Gateway содержит три отдельных части: Web Gateway, E-mail Gateway, VPN Gateway. Все три части могут находиться на одном компьютере и работать как один модуль. Основная функция Gateway - принимать удаленные запросы пользователей и возвращать сертификаты и информационные сообщения.
Функции Gateway:
- Gateway получает запросы на получение сертификатов от удаленных пользователей и отсылает запросы RA. Gateway принимает сертификаты от RA и пересылает их конечным пользователям;
- E-mail Gateway принимает запросы на получение сертификатов в соответствии со стандартом PKCS#10, присланные электронной почтой на порт POP3. Gateway отсылает обратно сертификаты в форме PKCS#7 и информационное сообщение по электронной почте;
- Web Gateway принимает запросы на получение сертификатов через HTTP сервис. Gateway записывает в файл выданный сертификат и отправляет по электронной почте на URL, где пользователь может получить сертификат.
- Web Gateway также принимает запросы на аннулирование сертификатов через HTTP сервис. Gateway также обеспечивает подтверждение подлинности или отвержение Web страниц.
- VPN Gateway принимает запросы на получение сертификатов через HTTP сервис и обслуживает информационные страницы. Gateway записывает в файл выданный сертификат и отправляет по электронной почте URL, где VPN клиент может получить сертификат.
- VPN Gateway принимает запросы на получение сертификатов в стандарте SCEP и отправляет сертификаты в том же стандарте. SCEP это стандарт используемый оборудованием и ПО Cisco.
Особеннсти:
- Работает под управлением Windows NT и Windows 2000.
- Многоязыковая поддержка;
- Многозадачное приложение;
- Графический интерфейс пользователя;
- Web Gateway принимает запросы на получение сертификатов от Netscape Communicator и MS Internet Explorer;
- VPN Gateway может возвращать сертификаты в форматах PEM, DER, PKCS#7.
1.6. Token Manager - приложение для использования аппаратных средств хранения сертификатов и ключей в соответствии со стандартом PKCS#11.
Token Manager обеспечивает следующие функции:
- Инициализация идентификаторов;
- Изменение Личных Идентификационных Номеров (PIN) в идентификаторах;
- Изменение программных приложений для работы с идентификаторами и т.д.
|
2. Advanced Technology |
|
2.1. Key Archive Server (KAS) - сервер архивов ключей.
KAS предназначен для безопасного хранения пользовательских ключей. Позволяет восстанавливать старые ключи для расшифровки данных. При необходимости, ключи могут храниться только в KAS.
Функции KAS:
- KAS зашифровывает личные ключи шифрования по алгоритму 3-DES. Ключи для шифрования (DEK) создаются отдельно для каждого архивного ключа. Зашифрованные личные ключи хранятся в базе данных.
- KAS шифрует DEK, и результат сохраняется в базе данных KAS.
- Все сообщения, посылаемые KAS, подписываются ЭЦП;
- Все сообщения, получаемые KAS, проверяются на целостность и подлинность отправителя;
- Все данные и журнал регистрации сохраняются в базе данных KAS. Все записи подписываются KAS. Каждая запись имеет уникальный номер.
Свойства:
- Работает под управлением Windows NT.
- Графический интерфейс пользователя;
- Возможность просмотра журналов и базы ключей;
- Возможность восстановления личных ключей;
- Поддержка аппаратных носителей сертификатов.
2.2. Advanced Registration Module (ARM) - расширенный модуль регистрации.
ARM позволяет эффективно работать с большим количеством сертификатов и ключей.
ARM предназначен для компаний - системных интеграторов, коммерческих СА.
Функции ARM:
- Использование существующих личных идентификационных номеров или паролей для автоматизации регистрации. Функция позволяет выдавать личные идентификационные номера и пароли для аутентификации ограниченному числу пользователей (например, служащим организации). Организация может получить идентификационные номера и получать сертификаты по этим номерам без прохождения стандартной процедуры регистрации. ARM предлагает большой набор функций для предоставления сертификатов сторонним организациям.
- Позволяет работать с аппаратными средствами аутентификации. Уникальность ARM - это возможность интегрироваться с системами, использующими Смарткарты. Это позволит использовать все возможности личной идентификации, а также хранить сертификаты и личные ключи на Смарткартах.
- Позволяет интегрироваться в корпоративные базы данных. ARM - гибкая система регистрации, позволяющая PKI интегрироваться в корпоративную базу данных. Это позволяет получать наиболее полную информацию о пользователях из разных источников. Это также позволяет при регистрации пользователей брать информацию из корпоративных баз данных.
2.3. Advanced Publishing Module (APM) - расширенный модуль публикации.
АРМ реализует функции публикации сертификатов для больших организаций и коммерческих СА. АРМ обеспечивает работу с различными каталогами, включая Microsoft Active Directory. Каталоги используются для быстрого доступа к хранимым данным. В некоторых случаях они формируют основу IT инфраструктуры, как в Windows 2000. Каталог - это структурированная база данных, состоящая из записей об объектах (пользователях), и атрибутов этих объектах (адрес почты, телефон). Все атрибуты могут быть легко найдены по имени объекта. Каталоги часто играют большую роль в PKI для распределенного хранения сертификационной информации о больших группах пользователей.
Посредством АРМ, сертификаты могут располагаться в индивидуальных каталогах организации, в соответствии со структурой и организационными требованиями предприятия.
Преимущества:
- Интеграция с MS Active Directory;
- Уменьшенные администраторские издержки;
- Позволяет различным СА публиковать сертификаты в различных разделах или каталогах;
- Возможность конфигурирования мест публикации сертификатов облегчает интеграцию с существующими приложениями;
- Позволяет PKI использовать существующие каталоги;
- Может поддерживаться существующая структура каталогов;
- Гибкость и контроль каталогов;
- Публикация сертификатов на АРМ, разгружается работа СА.
АРМ полнофункциональный модуль, который добавляется к новому или существующему UniCERT.
Функции АРМ:
- Публикует сертификаты и CRL в каталоги, использующие протокол LDAP v3.
- Поддерживает MS Active Directory;
- Публикует сертификаты, используя существующие возможности каталогов;
- Уведомляет пользователей при публикации сертификата;
- Возможность публикации сертификатов из различных СА в различные каталоги;
- Поддержка точки распределения CRL;
- Расширенные возможности восстановления;
2.4. WebRAO - модуль для работы с Сервером Сертификатов через Web;
WebRAO позволяет использовать стандартные функции Internet-браузеров для регистрации пользователей в PKI. Позволяет безопасно использовать Internet для работы с UniCERT.
Функции WebRAO:
- WebRAO принимает удаленные запросы на получение сертификатов от RA и напрямую от пользователей;
- WebRAO утверждает или отбрасывает запросы на получение сертификатов;
- WebRAO Server может удалять или временно отстранять выпущенные им сертификаты;
- WebRAO может генерировать пользовательские ключи;
- WebRAO отправляет подтвержденные запросы на получение и удаление сертификатов в RA через WebRAO Server;
- Все сообщения, посылаемые WebRAO, подписываются ЭЦП;
- Все сообщения, получаемые WebRAO, проверяются на целостность и подлинность отправителя;
- Все сообщения, получаемые и отсылаемые WebRAO, шифруются по стандарту PKCS#7;
- Все данные и журнал регистрации сохраняются в базе данных RA. Все записи подписываются WebRAO. Каждая запись имеет уникальный номер.
Свойства:
- Работает на Netscape Communicator и Microsoft Internet Explorer.
- Простой пользовательский интерфейс;
- Возможность просмотра журнала регистрации и сертификатов.
|
3. Extended Technology |
|
3.1. Timestamp Server - Сервер Меток Времени.
Возможность подтверждения даты и времени подписи контракта или перевода денег - важнейшая функция в электронной коммерции. Timestamp представляет собой подписанный ЭЦП файл, подтверждающий существование источника документа в определенный момент времени, например, в электронной сделке устанавливается точная дата и время. UniCERT Timestamp Server позволяет всем сторонам в электронной сделке юридически доверять времени и дате сделки, имея гарантии в виде цифровой подписи. UniCERT Timestamp Server принимает запросы через Internet и возвращает в ответ метку времени. Timestamp Server не требует специальных знаний о цифровой подписи или метке времени, все происходит автоматически.
Преимущества:
Timestamp Server обладает следующими преимуществами для предоставления гарантий в электронном бизнесе.
- Полное доверие временным меткам, использующим PKI инфраструктуру;
- Минимизация возможных обманов и судебных тяжб, т.к. Timestamp Server гарантирует подлинность даты и времени электронной сделки;
- Простота использования;
- Мало ощутим на бюджете организации, имеет маленькую стоимость внедрения и сопровождения;
Свойства Timestamp Server:
- Полная длина ключей;
- Поддержка стандарта Х.509;
- Различные временные сервисы могут работать на одной машине, использовать различные источники времени или быть настроенными на различные временные зоны;
- Информацию о времени можно получать как из системных часов, так и из доверенных источников;
- Взаимодействие с аппаратными средствами хранения сертификатов;
- Встраивается в другие пользовательские приложения;
- Поддерживает некоторые СА, включая UniCERT.
Timestamp Server обеспечивает высокий уровень безопасности и доверия, необходимый в электронной коммерции.
3.2. Attribute Certificate Server (ACS) - сервер сертификатов атрибутов.
Все больше организаций обращаются к PKI для защиты своих электронных данных. Сертификаты предлагают сильную пользовательскую аутентификацию, но они не обеспечивают поддержку пользовательских атрибутов. Изменение пользовательских ролей требует выпуска новых сертификатов, а это долгий и дорогой процесс. Существующая непродолжительное время информация, такая как пользовательские роли, может располагаться в отдельных сертификатах и быть легко обновлена. Эти сертификаты связаны с пользовательскими сертификатами (Х.509), и называются Сертификаты Атрибутов. ACS предназначен для выпуска и управления Сертификатами Атрибутов для любых стандартных PKI. ACS - добавляемый модуль, позволяющий использовать контроль доступа и авторизацию.
Сертификаты атрибутов обеспечивают больше, чем просто возможность авторизации, например, Сертификаты Атрибутов могут контролировать доступ пользователей к сетевым ресурсам.
Как и пользовательские атрибуты, сертификаты атрибутов имеют непродолжительное время существования. ACS уменьшает необходимость переиздания сертификатов. Пользовательские сертификаты выпускаются и управляются централизовано, а сертификаты атрибутов могут выдаваться и управляться в распределенном режиме, в соответствии со структурой центров доступа. Поддержка пользовательских атрибутов может передаваться отдельным администраторам.
Преимущества:
- Сертификаты атрибутов криптографически связаны с пользовательскими сертификатами, и не могут использоваться отдельно;
- Упрощенное управление сертификатов;
- Освобождение пользовательских сертификатов от атрибутов уменьшает потребность в переиздании пользовательских сертификатов и CRL;
- Использование мало живущих сертификатов атрибутов позволяет удалять эти сертификаты до того, как информация выйдет из времени, уменьшая потребность в перевыпуске;
- Децентрализация администрирования атрибутной информации. Атрибуты могут поддерживаться в локальных офисах, где больше знаний об атрибутах;
- Возможность расширить ваш PKI за рамки приложений на идентичности в сферу, где атрибуты важны - контроль доступа, основанный на ролях;
Свойства:
- Поддержка стандартных СА-решений, включая UniCERT;
- Возможность взаимодействия с ODBC базами данных;
- Легко встраиваются в новые и существующие приложения;
- Простой интерфейс для упрощения администрирования ACS;
3.3. Roaming - роуминг.
Roaming позволяет пользователям подписывать транзакции почти из любого броузера, не используя аппаратные средства хранения сертификатов. Используя эту технологию, онлайновые приложения, требующие безопасность транзакций, могут легко быть расширены до больших, распределенных групп пользователей, независимо от места расположения, аппаратуры, ОС и приложений.
3.4. Desktop Manager - клиент для управления сертификатами на рабочих станциях.
DKM обеспечивает выполнение на рабочих станциях централизованной политики управления ключами и сертификатами. DKM самостоятельно выполняет ежедневные задачи по управлению безопасностью.
Функции DKM:
- Администратор создает центральную политику управления PKI, которая выполняется на рабочих станциях с помощью DKM;
- Политика распространяется в безопасном режиме, как XML документ;
- DKM обеспечивает выполнение задач управления ключами, таких как переиздание и обновление ключей, без участия пользователя;
- Ключи генерируются в соответствии с центральными правилами;
- Пользователь не должен управлять Сервером Сертификатов или каталогами;
- Поддержка Windows NT и 2000;
- Работает со стандартными PKI, включая UniCERT.
Вернуться на главную страницу обзора
|