Научная литература
booksshare.net -> Добавить материал -> Информатика -> Петров А.А. -> "Компьютерная безопасность. Криптографические методы защиты" -> 57

Компьютерная безопасность. Криптографические методы защиты - Петров А.А.

Петров А.А. Компьютерная безопасность. Криптографические методы защиты — M.: ДМК, 2000. — 448 c.
ISBN 5-89818-064-8
Скачать (прямая ссылка): comp_safety.pdf
Предыдущая << 1 .. 51 52 53 54 55 56 < 57 > 58 59 60 61 62 63 .. 181 >> Следующая

Управление ключами состоит из следующих процедур:
• инициализация ключевой структуры для пользователей в домене;
• создание, распределение и инсталляция ключевого материала;
• контроль над использованием ключевого материала;
• обновление, восстановление, уничтожение ключевого материала;
• хранение ключевого материала.
Основной целью управления ключами является поддержка ключевых взаимоотношений и ключевого материала таким образом, чтобы не произошло:
• компрометации секретных ключей;
• компрометации системы аутентификации секретной ключевой информации или открытых ключей;
• неавторизованного использования секретных или открытых ключей (например, необходимо обеспечивать невозможность использования ключей, срок действия которых истек).
Реализация системы управления ключами должна проводиться в соответствии с политикой безопасности, принятой в организации. В политику безопасности обычно включены следующие стороны, связанные с управлением ключами:
• использование наряду с техническими средствами управления ключами административных методов;
• ответственность и подотчетность каждой стороны, вовлеченной в управление ключами;
• аудит системы управления ключами.
Схемы организации распределения ключей
Существуют две основные модели построения схем распределения ключей, на основании которых в дальнейшем строятся более сложные схемы. Основными являются схемы типа «точка-точка» и централизованные схемы распределения ключей, которые в свою очередь делятся на схемы с использованием KDC и KTC (рис. 2.5).
Протоколы распределения и управления ключевой информацией_141
Схемы типа «точка-точка» обеспечивают прямой обмен ключами между двумя сторонами.
Централизованные схемы с использованием KDC (KDC используется для распределения сеансовых ключей между двумя сторонами, которые предварительно должны разделить знание своих секретных ключей с KDC).
Централизованные схемы с использованием KTC Основное отличие от предыдущего варианта заключается в том, что KTC обеспечивает перешифровывание полученной ключевой информации.
Функции третьей стороны
В зависимости от того, каким образом третья сторона участвует в обмене ключевой информации между двумя сторонами, ее можно классифицировать следующим образом; распределения ключей
• inline: третья сторона (T) находится непосредственно между сторонами ключевого обмена, то есть выполняет функции посредника в режиме реального времени;
• online: T может участвовать в режиме реального времени в ходе ключевого обмена между сторонами, тем не менее стороны могут обмениваться друг с другом напрямую;
• offline: T используется только для предварительного распределения ключевой информации, а обмен между сторонами в режиме реального времени происходит без участия Т.
Отдельно хотелось бы сказать о роли третьей стороны при использовании сертификатов открытых ключей (рис. 2.6):
• служба сертификации (CA) - обеспечивает распределение и аутентичность открытых ключей. В случае использования сертификатов открытых ключей вышеперечисленное обеспечивается за счет связывания имени владельца открытого ключа, самого открытого ключа и номера сертификата и при помощи подписания данной службой этой информации (на практике сертификаты несут в себе гораздо больше информации);
Схема типа «точка-точка»
к



Централизованная схема с использованием KDC
KDC
KDC
К №

Централизованная схема с использованием КТО
KTC
KTC
К №



Рис. 2.5. Модели
142
Аспекты создания и применения криптографических протоколов

Служба имен
Служба регистрации
Генерация ключей

Пользователь Служба

сертификации
Z
Директория сертификатов
Рис. 2.6. Службы, обеспечиваемые третьей стороной при использовании сертификатов
• служба имен - необходима для выделения пользователю системы уникального имени;
• служба регистрации - служит для авторизации доступа пользователей к службе сертификации и для связывания имени пользователя с его комплектом ключевой информации;
• генерация ключей - на данном этапе создается открытый и секретный ключ пользователя (дополнительно может создаваться симметричный ключ или пароль);
• директория сертификатов - содержит сертификаты всех зарегистрировавшихся пользователей, например в виде базы данных, которая доступна только для чтения.
Среди дополнительных функций третьей стороны можно выделить следующие:
• служба аутентификации пользователей;
• реализация механизмов управления ключами. В рамках CA может быть реализованы процедуры, обеспечивающие безопасное хранение ключевой информации, контроль времени жизни ключевой информации, а также процедуры аудита, связанные с функционированием CA.
К третьей стороне пользователями могут быть выдвинуты требования, определяющие уровень доверия к ней. В соответствии с данными требованиями можно выделить следующие уровни доверия к третьей стороне:
• третья сторона знает секретные ключи каждого пользователя;
• третья сторона не знает секретных ключей пользователей, но может создать аутентификационную информацию, используемую пользователем без обнаружения данного факта;
Предыдущая << 1 .. 51 52 53 54 55 56 < 57 > 58 59 60 61 62 63 .. 181 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed