Протоколы безопасного сетевого взаимодействия

       

В этой лекции будут рассматриваться


В этой лекции будут рассматриваться управляющие протоколы PKI.
Сначала мы сделаем общий обзор проблем в области протоколов управления PKI и обсудим предположения и ограничения, связанные с протоколами управления. Затем рассмотрим структуры данных, используемые в сообщениях управления PKI и определим функции, выполняемые протоколами управления PKI. Наконец, опишем простой протокол для передачи сообщений.
PKI должна быть организована таким образом, чтобы быть согласованной с различными типами администрирования. Предоставление администраторам альтернатив в использовании не связанных между собой функциональных возможностей не только ведет к усложнению ПО, но и увеличивает вероятность того, что незначительная ошибка администратора или разработчика ПО приведет к большим проблемам, связанным с безопасностью. Аналогично, ограничение администраторов громоздкими механизмами приведет к тому, что они не будут использовать PKI.
Протоколы управления требуются для поддержки on-line взаимодействия между компонентами PKI. Например, протокол управления должен использоваться между СА и системой клиента, с которым связана пара ключей, или между двумя САs, которые выпустили кросс-сертификаты друг для друга.
Все конечные участники требуют локального безопасного доступа к некоторой информации – как минимум к своему собственному имени и закрытому ключу, имени СА, который является доверенным для данного участника, и открытому ключу СА (или дайджесту открытого ключа, если допустима самосертифицированная версия). Может использоваться локальное безопасное хранение и для большего количества информации (например, сертификата конечного участника или информации, относящейся к приложению). Форма хранения также может быть различной – от файлов до неподделываемых криптографических токенов. Такое локальное доверенное хранение мы будем определять как персональное безопасное окружение (Personal Security Environment – PSE) конечного участника.
Хотя форматы PSE находятся вне рассматриваемой предметной области (в частности, они очень зависят от оборудования), здесь мы определим общий формат обмена для PSEs.

Содержание раздела