Элвис-Плюс

Решения компании Элвис-Плюс

Система безопасности на основе цифровых сертификатов

(подсистема управления электронными ключами)

Компания ЭЛВИС-ПЛЮС предлагает систему безопасности на основе цифровых сертификатов. Подсистема управления электронными ключами корпоративной информационной системы (КИС) предназначена для интеграции функций управления жизненным циклом открытых ключей, используемых в прикладных, управляющих и вспомогательных системах — веб-порталах, серверах документооборота, офисных приложениях, средствах обмена электронной почтой, серверах СУБД, системах безопасности. Программно-аппаратные средства, входящие в состав подсистемы, выполняют следующие задачи:

  • Оформление и передачу заявок на сертификацию;

  • Генерацию ключей и сертификатов;

  • Хранение и распределение сертификатов;

  • Отзыв сертификатов;

  • Генерацию списка отозванных сертификатов (Certificate Revocation List, CRL);

  • Хранение и распределение CRL;

  • Кросссертификацию и поддержку иерархических взаимосвязей между узлами подсистемы;

  • Предоставление доступа к сертификатам и CRL по протоколам HTTP, LDAP и SCEP;

  • Предоставление информации о статусе сертификата в реальном времени по протоколу OCSP;

  • Повторную сертификации ключа;

  • Предоставление доступа к пользовательскому интерфейсу по протоколу HTTP;

  • Защищенное управление узлами подсистемы по протоколу HTTPS;

  • Аудит событий и предоставление доступа к журналам событий в формате XML.

Подсистема управления электронными ключами

Подсистема управления электронными ключами строится по иерархической схеме и состоит из трех классов типовых узлов — Корневого узла, Периферийного узла и Узла доступа. (В ряде случаев, все зависит от сложности КИС Заказчика, второй и третий узлы могут быть совмещены функционально). В центре звезды (Главный офис КИС) расположен корневой узел системы, включающий в себя Центр Сертификации (ЦС), Центр Регистрации (ЦР) и хранилище сертификатов. В отделениях (фидиалах) КИС размещаются Периферийные узлы, содержащие подчиненные ЦС, логически являющиеся подчиненными по отношению к ЦС Центрального узла. При необходимости в состав Периферийного узла может быть включен Центр Регистрации. ЦС Периферийного узла публикует изданные им сертификаты в своем локальном хранилище. Узел доступа, размещаемый в рабочей группе, представляет собой Центр Регистрации, пересылающий заявки на сертификацию, полученные им от пользователей, ЦС одного из Периферийных узлов.

Центр Регистрации отвечает за прием заявок на сертификацию от пользователей Главного Офиса и передачу их (после проверки корректности предоставленных пользователем персональных данных) в защищенном виде в Центр Сертификации.

Центр Сертификации генерирует сертификаты на основе заявок полученных из Центра Регистрации или непосредственно от пользователей. Сгенерированные сертификаты помещаются в хранилище, откуда пользователь может их получить по протоколам LDAP или HTTP. После размещения сертификата в хранилище пользователю (возможно, посредством Центра Регистрации) передается уведомление о выпуске сертификата.

Центр Сертификации отвечает также за отзыв сертификата вследствие компрометации закрытого ключа пользователя, увольнения сотрудника или по каким-либо другим причинам. Для этого предусмотрен пользовательский интерфейс, позволяющий подать заявку на отзыв сертификата при помощи стандартного Internet-браузера. После утверждения заявки на отзыв оператором Центра Сертификации идентификатор сертификата помещается в CRL, регулярно публикуемый в хранилище LDAP.

Хранилище сертификатов создается на базе серверов доменной структуры Active Directory. Доступ к сертификатам и CRL, находящимся в хранилище, может осуществляться непосредственно по протоколу LDAP или же через веб-интерфейс соответствующего Центра Сертификации.

Помимо вышеперечисленных функций Центры Сертификации обеспечивают поддержание иерархических взаимосвязей в подсистеме. ЦC Центрального узла выпускает сертификаты для ЦС Периферийных узлов и ЦР Центрального узла. ЦС Периферийных узлов выпускают сертификаты для своих ЦР и ЦР Узлов доступа. Таким образом поддерживается гибкое централизованное управление конфигурацией и политикой безопасности как самой подсистемы управления электронными ключами, так и обслуживаемых ею прикладных систем.

Узлы подсистемы управления электронными ключами строятся на базе линейки продуктов RSA Keon разработки компании RSA Security. В качестве Центра Сертификации используется RSA Keon Certificate Authority, включающий в свой состав следующие элементы:

  • Administration Server Workbench — интерфейс администратора CA;

  • Enrollment Server — предоставляет пользователям системы услуги регистрации;

  • Secure Directory Server — хранилище сертификатов и CRL;
  • Logging Server — выполняет функции мониторинга активности и сбоев для всех остальных компонентов;

  • CRL Server — web-сервер, который может быть использован как средство распределения CRL при помощи протокола HTTP;

  • OCSP Responder — сервер услуг определения статуса сертификата в реальном времени.

Функции Центра Регистрации обеспечивает RSA Keon Registration Authority, предоставляющий пользователям доступ к интерфейсу подачи заявок на сертификацию, а операторам и администраторам — удобный, интуитивно понятный гипертекстовый интерфейс управления работой ЦР.

В качестве средства генерации ключей, шифрования и ЭЦП используется СКЗИ «КриптоПро CSP», обладающее сертификатом соответствия требованиям ГОСТ 28147-89, ГОСТ Р34.10-2001, ГОСТ Р34.11-94 и требованиям ФАПСИ к стойкости СКЗИ класса КНВ 2.99, вследствие чего может использоваться для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну.

В качестве носителей ключевой информации пользователей используются аппаратные электронные ключи eToken разработки компании «Аладдин». Помимо надежного защищенного хранения закрытого ключа пользователя eToken позволяют обеспечить мобильность пользователя, усилить защищенность системы путем использования двухфакторной аутентификации и реализовать функции однократной аутентификации (Single-Sign-On).

Преимущества предложенной архитектуры состоят в следующем:

  • Простота развертывания за счет соответствия организационной структуре;

  • Гибкость и масштабируемость топологии;

  • Централизованное формирование политики безопасности;

  • Снижение нагрузки на оборудование и каналы связи за счет группировки основных транзакций внутри узла;

  • Надежность и устойчивость функционирования за счет использования распределенной структуры;

  • Соответствие российским и международным стандартам в области построения систем управления сертификатами открытых ключей.


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Toolbar | КПК-версия | Подписка на новости  | RSS