Все_лекции_Горбенко
.pdfРисунок 3.1 – Функціональна схема комплексу.
–3 До складу комплексу повинні входити такі складові частини (рис. 3.1):
CS-центр сертифікації ключів (CSCA, ЦСК підпису електронних паспортів);
CV-центр сертифікації ключів (CVCA, ЦСК перевірки ЕП) суміщений з DV-центром сертифікації ключів (DV, верифікатор ЕП);
робоча станція (РС) оператора PKD (CIL); DS-сервер (сервер підпису електронних паспортів); EAC-сервер (сервер перевірки ЕП).
–3.1.4 Комплекс повинен підтримувати можливість включення до його складу кількох DS-серверів та необхідну кількість EAC-серверів.
5.3.2 Вимоги до функцій складових частин комплексу
3.2.1 CS-центр сертифікації ключів повинен забезпечити реалізацію регламентних процедур та механізмів роботи комплексу, пов’язаних з обслуговуванням сертифікатів підписувачів електронних паспортів (DS), що включає:
–реєстрацію підписувачів;
–сертифікацію відкритих ключів підписувачів;
–розповсюдження сертифікатів;
–управління статусом сертифікатів;
–розповсюдження інформації про статус сертифікатів.
3.2.2CS-ЦСК повинен забезпечити виконання наступних функцій, пов’язаних з обслуговуванням сертифікатів підписувачів:
–реєстрацію підписувачів;
–сертифікацію відкритих ключів підписувачів;
–розповсюдження сертифікатів підписувачів;
–управління статусом сертифікатів підписувачів та розповсюдження інформації про статус сертифікатів;
3.2.3Для забезпечення функціонування CS-ЦСК також повинен виконувати наступні функції:
1) управління ключами CS-ЦСК, що включає:
–генерацію особистого та відкритого ключів CS-ЦСК;
–створення резервних копій особистого ключа CS-ЦСК, а також відновлення особистого ключа з резервних копій;
–формування сертифіката CS-ЦСК та запис сформованого сертифікату у реєстр сертифікатів;
–публікацію сформованого сертифікату на інформаційному ресурсі;
–передачу сформованого сертифікату безпосередньо або через оператора PKD до ICAO PKD;
2)отримання та розповсюдження сертифікатів CS-ЦСК та підписувачів (DS) інших країн, що включає:
–отримання сертифікатів CS-ЦСК та підписувачів інших країн від оператора PKD (в т.ч. і у вигляді списків сертифікатів – майстерлистів);
–публікацію отриманих сертифікатів на власному інформаційному ресурсі (LDAP-каталозі та web-сторінці);
3)отримання та розповсюдження інформації про статус сертифікатів CSЦСК та підписувачів інших країн, що включає:
–отримання списків відкликаних сертифікатів CS-ЦСК інших країн від оператора PKD;
–публікацію отриманих списків відкликаних сертифікатів на власному інформаційному ресурсі (LDAP-каталозі та web-сторінці);
4)ведення реєстру посадових осіб CS-ЦСК, що включає:
–введення реєстраційних даних посадових осіб до реєстру посадових осіб;
–зберігання реєстру посадових осіб та забезпечення доступу до реєстраційних даних;
–зміну реєстраційних даних посадових осіб у реєстрі;
–видалення реєстраційних даних посадових осіб з реєстру;
5)управління ключами посадових осіб CS-ЦСК, що включає:
–генерацію особистого та відкритого ключів посадових осіб;
–формування сертифікату посадової особи та запис сформованого сертифікату у реєстр сертифікатів.
5.3.2.4CV-центр сертифікації ключів повинен забезпечити реалізацію регламентних процедур та механізмів роботи комплексу, пов’язаних з обслуговуванням сертифікатів верифікаторів електронних паспортів (DV, DVЦСК), що включає:
–сертифікацію відкритих ключів верифікаторів (в т.ч. і верифікаторів інших країн);
–розповсюдження сертифікатів;
–управління статусом сертифікатів;
–розповсюдження інформації про статус сертифікатів.
3.2.5 CV-ЦСК повинен забезпечити виконання наступних функцій, пов’язаних з обслуговуванням сертифікатів верифікаторів (DV):
1)сертифікацію відкритих ключів верифікаторів (власного – DV-ЦСК та верифікаторів інших країн), що включає:
–реєстрацію верифікаторів (за необхідності);
–приймання та реєстрацію запитів верифікаторів на формування сертифікатів;
–зберігання запитів, отриманих від верифікаторів, у базі даних запитів;
–архівування бази даних запитів;
–формування сертифікатів верифікаторів;
–внесення сформованих сертифікатів у реєстр;
–зберігання реєстру сертифікатів;
–архівування реєстру сертифікатів;
2)розповсюдження сертифікатів верифікаторів, що включає:
–публікацію реєстру сертифікатів на інформаційному ресурсі;
–забезпечення доступу до реєстру сертифікатів на інформаційному ресурсі;
3)управління статусом сертифікатів верифікаторів та розповсюдження інформації про статус сертифікатів, що включає:
–скасування, блокування або поновлення сертифікатів та внесення інформації про поточний статус сертифіката до реєстру сертифікатів;
–формування списків відкликаних сертифікатів;
–публікацію списків відкликаних сертифікатів на інформаційному ресурсі;
–забезпечення доступу до списків відкликаних сертифікатів на інформаційному ресурсі;
–забезпечення доступу до інформації про статус сертифікатів (та самих сертифікатів) з використанням протоколу визначення статусу сертифіката (OCSP).
3.2.6Для забезпечення функціонування CV-ЦСК також повинен виконувати наступні функції:
1)управління ключами CV-ЦСК, що включає:
–генерацію особистого та відкритого ключів CV-ЦСК;
–створення резервних копій особистого ключа CV-ЦСК, а також відновлення особистого ключа з резервних копій;
–формування сертифікатів (самопідписаного та зв’язаного – підписаного на попередньому особистому ключеві) CV-ЦСК та запис сформованих сертифікатів у реєстр сертифікатів;
–публікацію сформованих сертифікатів на інформаційному ресурсі;
–передачу сформованих сертифікатів підписувачам (DS-серверам) з метою включення їх до складу даних паспорта;
2)ведення реєстру посадових осіб CV-ЦСК, що включає:
–введення реєстраційних даних посадових осіб до реєстру посадових осіб;
–зберігання реєстру посадових осіб та забезпечення доступу до реєстраційних даних;
–зміну реєстраційних даних посадових осіб у реєстрі;
–видалення реєстраційних даних посадових осіб з реєстру;
3)управління ключами посадових осіб CV-ЦСК, що включає:
–генерацію особистого та відкритого ключів посадових осіб;
–формування сертифікату посадової особи та запис сформованого сертифікату у реєстр сертифікатів.
3.2.7DV-центр сертифікації ключів повинен забезпечити реалізацію регламентних процедур та механізмів роботи комплексу, пов’язаних з обслуговуванням сертифікатів EAC-серверів (груп інспекційних станцій – IS), що включає:
– реєстрацію EAC-серверів;
– сертифікацію відкритих ключів EAC-серверів;
– розповсюдження сертифікатів;
– управління статусом сертифікатів;
– розповсюдження інформації про статус сертифікатів.
3.2.8DV-ЦСК повинен забезпечити виконання наступних функцій, пов’язаних з
обслуговуванням сертифікатів EAC-серверів:
1)реєстрацію EAC-серверів, що включає:
–введення реєстраційних даних EAC-серверів до реєстру серверів;
–зберігання реєстру серверів та забезпечення доступу до реєстраційних даних;
–резервне копіювання та архівування реєстру серверів;
–зміну реєстраційних даних EAC-серверів у реєстрі;
–видалення реєстраційних даних серверів з реєстру;
2)сертифікацію відкритих ключів EAC-серверів, що включає:
–приймання та реєстрацію запитів серверів на формування сертифікатів;
–зберігання запитів, отриманих від серверів, у базі даних запитів;
–архівування бази даних запитів;
–формування сертифікатів EAC-серверів;
–внесення сформованих сертифікатів у реєстр;
–зберігання реєстру сертифікатів;
–архівування реєстру сертифікатів;
3)розповсюдження сертифікатів EAC-серверів, що включає:
–публікацію реєстру сертифікатів на інформаційному ресурсі;
–забезпечення доступу до реєстру сертифікатів на інформаційному ресурсі;
4)управління статусом сертифікатів відкритих ключів EAC-серверів та розповсюдження інформації про статус сертифікатів, що включає:
–скасування, блокування або поновлення сертифікатів та внесення інформації про поточний статус сертифіката до реєстру сертифікатів;
–формування списків відкликаних сертифікатів;
–публікацію списків відкликаних сертифікатів на інформаційному ресурсі;
–забезпечення доступу до списків відкликаних сертифікатів на інформаційному ресурсі;
–забезпечення доступу до інформації про статус сертифікатів (та самих сертифікатів) з використанням протоколу визначення статусу сертифіката (OCSP).
3.2.9Для забезпечення функціонування DV-ЦСК також повинен виконувати наступні функції:
1)управління ключами DV-ЦСК, що включає:
–генерацію особистого та відкритого ключів DV-ЦСК;
–створення резервних копій особистого ключа DV-ЦСК, а також відновлення особистого ключа з резервних копій;
–передачу запиту на формування сертифіката до CV-ЦСК (в т.ч. і у CV-ЦСК інших країн);
–запис сформованих сертифікатів у реєстр сертифікатів;
–публікацію сформованих сертифікатів на інформаційному ресурсі;
2)отримання та розповсюдження сертифікатів CV-ЦСК та верифікаторів (DV) інших країн, що включає:
–отримання сертифікатів CV-ЦСК та верифікаторів (DV) інших країн;
–публікацію отриманих сертифікатів на власному інформаційному ресурсі;
3)отримання та розповсюдження інформації про статус сертифікатів CVЦСК та верифікаторів інших країн, що включає:
–отримання списків відкликаних сертифікатів CV-ЦСК інших країн;
–публікацію отриманих списків відкликаних сертифікатів на власному інформаційному ресурсі;
4)ведення реєстру посадових осіб CV-ЦСК, що включає:
–введення реєстраційних даних посадових осіб до реєстру посадових осіб;
–зберігання реєстру посадових осіб та забезпечення доступу до реєстраційних даних;
–зміну реєстраційних даних посадових осіб у реєстрі;
–видалення реєстраційних даних посадових осіб з реєстру;
5)управління ключами посадових осіб CV-ЦСК, що включає:
–генерацію особистого та відкритого ключів посадових осіб;
–формування сертифікату посадової особи та запис сформованого сертифікату у реєстр сертифікатів.
–РС оператора PKD (CIL) призначена для реалізації регламентних процедур та механізмів роботи комплексу, пов’язаних із взаємодією з ICAO PKD, і повинна виконувати наступні функції:
1)отримання від CS-ЦСК та завантаження (передачу) у ICAO PKD:
–сертифікатів CS-ЦСК;
–сертифікатів підписувачів (DS);
–списків відкликаних сертифікатів, що формує CS-ЦСК;
–списків сертифікатів CS-ЦСК та підписувачів (майстер-листів);
2)отримання з ICAO PKD та передачу у CS-ЦСК:
–сертифікатів CS-ЦСК та підписувачів інших країн;
–списків відкликаних сертифікатів CS-ЦСК інших країн.
–3.2.11 DS-сервер призначений для забезпечення криптографічної
підтримки регламентних процедур випуску електронних паспортів на лінії їх виготовлення (персоналізації), і повинен виконувати наступні функції:
1)управління ключами DS-сервера, що включає:
–генерацію особистих та відкритих ключів сервера;
–формування та передачу запиту на формування сертифіката до CSЦСК;
–отримання, перевірку, зберігання та використання сформованого сертифікату;
–формування та передачу запитів на блокування, скасування та поновлення сертифікату до CS-ЦСК;
2)реалізацію криптографічних перетворень та інших процедур під час випуску електронних паспортів, що включає:
–зберігання та використання особистого ключа DS-сервера;
–отримання та зберігання сертифікатів CS-ЦСК та CV-ЦСК;
–підпис даних (формування ЕЦП) електронного паспорта під час його виготовлення;
–генерацію особистого та відритого ключів для електронного паспорта;
–передачу згенерованих ключів для запису їх у ЕП на лінію виготовлення;
–передачу сертифікату CV-ЦСК для запису його у ЕП;
–пошуку та інтерактивної перевірки статусу сертифікатів у CS-ЦСК за протоколом OCSP (через OCSP-сервер);
–пошуку (за необхідності) сертифікатів у LDAP-каталозі CS-ЦСК (на
LDAP-сервері).
–5.3.2.12 Зберігання особистого ключа та сертифіката DS-сервера і інших сертифікатів (за необхідності), а також виконання криптографічних перетворень повинні здійснюватися у апаратному криптомодулі.
–3.2.13 EAC-сервер призначений для забезпечення криптографічної підтримки регламентних процедур перевірки електронних паспортів інспекційними станціями (IS) на пункті паспортного контролю, і повинен виконувати наступні функції:
10)управління ключами EAC-сервера, що включає:
–генерацію особистих та відкритих ключів сервера;
–формування та передачу запиту на формування сертифіката до DVЦСК;
–отримання, перевірку, зберігання та використання сформованого сертифікату;
–формування та передачу запитів на блокування, скасування та поновлення сертифікату до DV-ЦСК;
11)реалізацію криптографічних перетворень та інших процедур під час перевірки електронних паспортів, що включає:
–зберігання та використання особистого ключа EAC-сервера;
–отримання від DV-ЦСК та зберігання сертифікатів власних CVЦСК та верифікатора (DV);
–отримання від DV-ЦСК та зберігання (за необхідності) сертифікатів CV-ЦСК та верифікаторів інших країн;
–отримання та зберігання (за необхідності) сертифікатів CS-ЦСК та підписувачів (DS, власних та інших країн);
–перевірку підпису даних (перевіряння ЕЦП) електронного паспорта (включаючи і пошук та перевірку статусу сертифікатів підписувача країни, яка видала паспорт);
–реалізацію криптографічних перетворень під час виконання процедур автентифікації чипу (Chip Authentification – СА) та терміналу (Termina Authentification – TА), що входять в механізм розширеного контролю доступу (ЕАС), під час перевірки паспорта;
–пошуку та інтерактивної перевірки (за необхідності) статусу сертифікатів у DV-ЦСК за протоколом OCSP (через OCSP-сервер);
–пошуку (за необхідності) сертифікатів у LDAP-каталозі DV-ЦСК (на LDAP-сервері).
–3.2.14 Зберігання особистого ключа та сертифіката EAC-сервера та інших сертифікатів (за необхідності), а також виконання криптографічних перетворень повинні здійснюватися у апаратному криптомодулі.
5.4 Вимоги до структури та призначення комплексу технічних засобів
–5.4.1 Структурна схема комплексу технічних засобів наведена на рис. 5.5.
Вимоги до структури та призначення комплексу технічних засобів CS-ЦСК
– 3.3.2.1 До складу CS-ЦСК повинні входити такі технічні засоби (структурна схема – рис. 3.2):
РС обслуговуючого персоналу (адміністратора безпеки та адміністратора сертифікації);
центральні сервери; внутрішнє комунікаційне обладнання ЛОМ; сервери взаємодії;
міжмережний екран (МЕ) та система виявлення втручань (IDS); комунікаційне обладнання зовнішньої комунікаційної мережі (ЗКМ).
– 3.3.2.2 Вимоги до призначення РС адміністратора безпеки повинні визначатися у окремому технічному завданні (ТЗ) на комплексну систему захисту інформації (КСЗІ).
–
Рисунок 3.2 – Структурна схема комплексу технічних засобів.
–3.3.2.3 РС адміністратора сертифікації призначена для:
генерації особистого та відкритого ключів адміністратора сертифікації; введення та використання особистих ключів адміністратора сертифікації; формування та передачу запиту на формування сертифіката
адміністратора сертифікації на центральний сервер; отримання, зберігання та використання сертифікату адміністратора
сертифікації.
налагодження параметрів технічних засобів та системного програмного забезпечення;
діагностування роботи технічних засобів;
введення реєстраційних даних підписувачів (DS-серверів) до реєстру підписувачів;
зміни реєстраційних даних підписувачів у реєстрі; видалення реєстраційних даних підписувачів з реєстру;
приймання та введення запитів підписувачів на формування сертифікатів відкритих ключів;
ініціювання скасування, блокування чи поновлення сертифікатів підписувачів центральним сервером;
моніторингу та контролю стану технічних засобів CS-ЦСК та виконання ним окремих функцій, зокрема, наступних функцій центрального сервера:
–публікації реєстру сертифікатів на інформаційному ресурсі центральним сервером;
–формування списків відкликаних сертифікатів;
–публікації сформованих списків відкликаних сертифікатів на інформаційному ресурсі;
–формування центральним сервером списків сертифікатів підписувачів та CS-ЦСК (в т.ч. і інших країн) – майстер-листів;
–публікації сформованих списків сертифікатів на інформаційному ресурсі;
–отримання сертифікатів CS-ЦСК та підписувачів інших країн від оператора PKD (в т.ч. і у вигляді списків сертифікатів – майстерлистів);
–публікації отриманих сертифікатів на власному інформаційному ресурсі;
–отримання списків відкликаних сертифікатів CS-ЦСК інших країн від оператора PKD;
–публікації отриманих списків відкликаних сертифікатів на власному інформаційному ресурсі.
–
–3.3.2.4 Центральні сервери призначені для:
генерації особистого та відкритого ключів CS-ЦСК;
створення резервних копій особистого ключа CS-ЦСК, а також відновлення особистого ключа з резервних копій;
формування сертифіката CS-ЦСК та запис сформованого сертифікату у реєстр сертифікатів;
публікацію сформованого сертифікату на інформаційному ресурсі; введення реєстраційних даних посадових осіб (адміністратора
сертифікації та оператора PKD) до реєстру посадових осіб; зберігання реєстру посадових осіб та забезпечення доступу до
реєстраційних даних; видалення реєстраційних даних посадових осіб з реєстру;
приймання та обробку запитів на формування сертифікатів посадових осіб;
формування сертифікатів посадових осіб; запис сформованих сертифікатів у реєстр посадових осіб; використання сертифікатів посадових осіб;
зберігання реєстру підписувачів та забезпечення використання реєстраційних даних;
резервного копіювання та архівування реєстру підписувачів;