Основные принципы формирования системы удостоверяющих центров

Компоненты архитектуры мостового УЦ


Рис. 1 Пример архитектуры мостовой ИОК

СУЦРФ может состоять из следующих компонентов (Рис.1):

  • Центр управления политиками (ЦУП) мостового УЦ: устанавливает общие политики Мостового УЦ, проверяет политики доверенных доменов и участвует в кросс-сертификации с доменами ИОК организаций. По сути он назначает политики, которые определяют государственные уровни услуг по сертификации,  осуществляющие единые техники и процедуры проведения кросс-сертификации, что значительно упрощает, детерминирует и удешевляет их;
  • Доверенные домены организаций: В данном контексте это домены ИОК организаций, которые кросс-сертифицировались с мостовым УЦ, и которые функционируют под управлением одного органа управления политиками. Домен ИОК может иметь такую архитектуру, которая необходима ему для эффективного функционирования, и может содержать несколько УЦ. Кросс-сертифицируется с мостовым УЦ так называемый УЦ принципал, который обычно совмещен с органами управления политиками домена и\или является точкой доверия домена.
  • Центр управления политиками доверенного домена (ЦУПД):  этот орган устанавливает политики внутри домена ИОК организации, и контролирует их исполнение;
  • Органы сертификации (УЦ):

à         Мостовой УЦ (Bridge УЦ - МУЦ): Это совокупность сильносвязных кросс-сертифицированных УЦ, функционирующих под управлении ЦУП. Его целевое назначение состоит в обеспечении мостов доверия между доверенными доменами ИОК. ЦУП вводит в мостовую инфраструктуру УЦ принципалы через кросс-сертификацию с МУЦ. Заметим, что МУЦ не является корневым УЦ для пользователей доверенных доменов, так как самоподписанные (самоизданные) сертификаты не начинают с него путей сертификации. Таким образом, каждый доверенный домен имеет такую архитектуру ИОК, которая ему необходима;

à         УЦ принципал (Principal УЦ, PУЦ):  Это УЦ внутри доверенного домена, который кросс-сертифицируется с МУЦ. В каждом домене может быть только один УЦ принципал.  УЦ принципал обычно совмещен с органами управления политиками домена и/или является точкой доверия домена.

Число УЦ (см. Рис.2), которое необходимо иметь в мостовом УЦ, определяется числом требующих поддержки криптографических алгоритмов и протоколов управления ИОК.

Рис. 2 К вопросу о числе УЦ в МУЦ

Это позволит решить проблемы совместимости при кросс-сертификации с МУЦ и стойкость МУЦ к зависимости от частного решения ИОК.



Содержание раздела