В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Юрий Орлов, ООО "ЛИССИ"
Алексей Степанов, ООО "ЛИССИ"
Александр Тараканов, ООО "ЛИССИ"
Функции УЦ LISSICA
В УЦ LISSICA реализуются следующие основные функции:
Компоненты внешнего сервера УЦ
На внешнем сервере УЦ функционируют следующие компоненты:
Публичный Веб-интерфейс для доступа пользователей предназначен для формирования пользователями заявок на получение и отзыв сертификатов, просмотр и получение сертификатов и списков отозванных сертификатов.
Доступ пользователей к ЦР через публичный Веб-интерфейс может вестись как по протоколу HTTP, так и по протоколу HTTPS в анонимном режиме. Последний режим имеет свои преимущества. Во-первых, к ЦР могут обращаться только те пользователи, у которых на рабочем месте есть криптопровайдеры, поддерживающие российскую криптографию, а во-вторых, что более существенно, в данном режиме пользователь может удостовериться, что это именно тот центр регистрации, к которому он обращается.
Публичный интерфейс позволяет пользователю сформировать заявку на получение сертификата следующими способами (рис. 2):
В первых трех случаях генерация ключевой пары будет производиться криптографическими средствами, установленными на стороне пользователя.
При использовании в качестве браузера IE на рабочем месте пользователя должны быть установлены криптопро-вайдер LISSI-CSP и провайдер безопасности LSChannel (или КриптоПро CSP/КриптоПро TLS, или аналогичные), а также CAPICOM (рис. 3.1).
В качестве хранилища ключевой пары может использоваться электронный ключ еТокеп (рис. 3.2).
При использовании в качестве браузера Netscape, Mozilla и т.д. на рабочем месте пользователя должны быть установлены LirNSS и LirCryptoky (при поддержке PKCS#11 с российской криптографией) (рис. 4).
Пользователь может получать сертификаты через публичный Веб-интерфейс или по электронной почте. Если ключевая пара была сгенерирована на стороне сервера, то пользователь получает закрытый ключ и сертификат в защищенном формате PKCS#12 (рис. 5).
Пользователь может импортировать сертификат и закрытый ключ из формата PKCS#12, скажем, на электронный ключ eToken. Соответствующий механизм для работы с российской криптографией встроен в браузеры IE, Konqueror и Netscape.
Полученный сертификат устанавливается в хранилище, где его можно просмотреть средствами браузера (рис. 6).
Через публичный интерфейс ЦР пользователь также имеет возможность просмотреть список действительных сертификатов, сертификатов с истекшим сроком действия, временно блокированных сертификатов и блокированных сертификатов, а также проверить сертификат, полученный от Веб-сервера, и блокировать сертификат.
Центр регистрации предназначен для получения и обработки регистрационных данных пользователей, запросов на издание и отзыв сертификатов, а также для публикации списка отозванных сертификатов.
Заявки пользователей сохраняются в базе данных (можно использовать Oracle, MуSQL, Postgres и т.д.). Функция просмотра, редактирования, утверждения или отклонения заявок входит в обязанности администратора ЦР (рис. 7).
Утвержденные заявки администратор передает в центр сертификации (ЦС).
В обязанности администратора ЦР также входит рассылка почтовых сообщений пользователям с PIN-кодом для отзыва сертификата.
Сервер LDAP предназначен для публикации списков отозванных сертификатов.
Каждый из перечисленных компонентов может функционировать на отдельном компьютере, т.е. все компоненты УЦ могут масштабироваться как по вертикали, так и по горизонтали.
Доступ администраторов ЦС, ЦР и LDAP осуществляется через Веб-интерфейс по протоколу HTTPS в авторизованном режиме с использованием сертификатов открытых ключей по ГОСТ Р 34.10-2001.
Обмен между ЦР и ЦС
На внутреннем сервере УЦ функционирует только ЦС, что позволило надежно защитить его от внешних атак. Оперативный обмен данными (заявки, сертификаты, списки отозванных сертификатов и т.п.) между ЦС и ЦР достигается использованием механизмов, заложенных в ПАК "SMS-FW". ЦС предназначен для приема, обработки и хранения утвержденных заявок на издание или отзыв сертификатов открытых ключей пользователей и администраторов, издание и блокирование сертификатов УЦ, издание списков отозванных сертификатов, ведение базы сертификатов. Администратор ЦС просматривает поступившие утвержденные заявки и принимает решение об издании или отзыве сертификатов (рис. 8).
Выписанные сертификаты ЦС передает в ЦР, откуда через публичный интерфейс их могут забирать пользователи.
Таким образом, использование в качестве платформы для построения УЦ ПАК "SMS-FW", с одной стороны, обеспечивает надежную защиту ЦС, а с другой - позволяет осуществлять обмен информацией между ними в реальном масштабе времени.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2007