Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Все_лекции_Горбенко

.pdf
Скачиваний:
286
Добавлен:
23.02.2015
Размер:
16.96 Mб
Скачать

Рисунок 3.1 – Функціональна схема комплексу.

3 До складу комплексу повинні входити такі складові частини (рис. 3.1):

CS-центр сертифікації ключів (CSCA, ЦСК підпису електронних паспортів);

CV-центр сертифікації ключів (CVCA, ЦСК перевірки ЕП) суміщений з DV-центром сертифікації ключів (DV, верифікатор ЕП);

робоча станція (РС) оператора PKD (CIL); DS-сервер (сервер підпису електронних паспортів); EAC-сервер (сервер перевірки ЕП).

3.1.4 Комплекс повинен підтримувати можливість включення до його складу кількох DS-серверів та необхідну кількість EAC-серверів.

5.3.2 Вимоги до функцій складових частин комплексу

3.2.1 CS-центр сертифікації ключів повинен забезпечити реалізацію регламентних процедур та механізмів роботи комплексу, пов’язаних з обслуговуванням сертифікатів підписувачів електронних паспортів (DS), що включає:

реєстрацію підписувачів;

сертифікацію відкритих ключів підписувачів;

розповсюдження сертифікатів;

управління статусом сертифікатів;

розповсюдження інформації про статус сертифікатів.

3.2.2CS-ЦСК повинен забезпечити виконання наступних функцій, пов’язаних з обслуговуванням сертифікатів підписувачів:

реєстрацію підписувачів;

сертифікацію відкритих ключів підписувачів;

розповсюдження сертифікатів підписувачів;

управління статусом сертифікатів підписувачів та розповсюдження інформації про статус сертифікатів;

3.2.3Для забезпечення функціонування CS-ЦСК також повинен виконувати наступні функції:

1) управління ключами CS-ЦСК, що включає:

генерацію особистого та відкритого ключів CS-ЦСК;

створення резервних копій особистого ключа CS-ЦСК, а також відновлення особистого ключа з резервних копій;

формування сертифіката CS-ЦСК та запис сформованого сертифікату у реєстр сертифікатів;

публікацію сформованого сертифікату на інформаційному ресурсі;

передачу сформованого сертифікату безпосередньо або через оператора PKD до ICAO PKD;

2)отримання та розповсюдження сертифікатів CS-ЦСК та підписувачів (DS) інших країн, що включає:

отримання сертифікатів CS-ЦСК та підписувачів інших країн від оператора PKD (в т.ч. і у вигляді списків сертифікатів – майстерлистів);

публікацію отриманих сертифікатів на власному інформаційному ресурсі (LDAP-каталозі та web-сторінці);

3)отримання та розповсюдження інформації про статус сертифікатів CSЦСК та підписувачів інших країн, що включає:

отримання списків відкликаних сертифікатів CS-ЦСК інших країн від оператора PKD;

публікацію отриманих списків відкликаних сертифікатів на власному інформаційному ресурсі (LDAP-каталозі та web-сторінці);

4)ведення реєстру посадових осіб CS-ЦСК, що включає:

введення реєстраційних даних посадових осіб до реєстру посадових осіб;

зберігання реєстру посадових осіб та забезпечення доступу до реєстраційних даних;

зміну реєстраційних даних посадових осіб у реєстрі;

видалення реєстраційних даних посадових осіб з реєстру;

5)управління ключами посадових осіб CS-ЦСК, що включає:

генерацію особистого та відкритого ключів посадових осіб;

формування сертифікату посадової особи та запис сформованого сертифікату у реєстр сертифікатів.

5.3.2.4CV-центр сертифікації ключів повинен забезпечити реалізацію регламентних процедур та механізмів роботи комплексу, пов’язаних з обслуговуванням сертифікатів верифікаторів електронних паспортів (DV, DVЦСК), що включає:

сертифікацію відкритих ключів верифікаторів (в т.ч. і верифікаторів інших країн);

розповсюдження сертифікатів;

управління статусом сертифікатів;

розповсюдження інформації про статус сертифікатів.

3.2.5 CV-ЦСК повинен забезпечити виконання наступних функцій, пов’язаних з обслуговуванням сертифікатів верифікаторів (DV):

1)сертифікацію відкритих ключів верифікаторів (власного – DV-ЦСК та верифікаторів інших країн), що включає:

реєстрацію верифікаторів (за необхідності);

приймання та реєстрацію запитів верифікаторів на формування сертифікатів;

зберігання запитів, отриманих від верифікаторів, у базі даних запитів;

архівування бази даних запитів;

формування сертифікатів верифікаторів;

внесення сформованих сертифікатів у реєстр;

зберігання реєстру сертифікатів;

архівування реєстру сертифікатів;

2)розповсюдження сертифікатів верифікаторів, що включає:

публікацію реєстру сертифікатів на інформаційному ресурсі;

забезпечення доступу до реєстру сертифікатів на інформаційному ресурсі;

3)управління статусом сертифікатів верифікаторів та розповсюдження інформації про статус сертифікатів, що включає:

скасування, блокування або поновлення сертифікатів та внесення інформації про поточний статус сертифіката до реєстру сертифікатів;

формування списків відкликаних сертифікатів;

публікацію списків відкликаних сертифікатів на інформаційному ресурсі;

забезпечення доступу до списків відкликаних сертифікатів на інформаційному ресурсі;

забезпечення доступу до інформації про статус сертифікатів (та самих сертифікатів) з використанням протоколу визначення статусу сертифіката (OCSP).

3.2.6Для забезпечення функціонування CV-ЦСК також повинен виконувати наступні функції:

1)управління ключами CV-ЦСК, що включає:

генерацію особистого та відкритого ключів CV-ЦСК;

створення резервних копій особистого ключа CV-ЦСК, а також відновлення особистого ключа з резервних копій;

формування сертифікатів (самопідписаного та зв’язаного – підписаного на попередньому особистому ключеві) CV-ЦСК та запис сформованих сертифікатів у реєстр сертифікатів;

публікацію сформованих сертифікатів на інформаційному ресурсі;

передачу сформованих сертифікатів підписувачам (DS-серверам) з метою включення їх до складу даних паспорта;

2)ведення реєстру посадових осіб CV-ЦСК, що включає:

введення реєстраційних даних посадових осіб до реєстру посадових осіб;

зберігання реєстру посадових осіб та забезпечення доступу до реєстраційних даних;

зміну реєстраційних даних посадових осіб у реєстрі;

видалення реєстраційних даних посадових осіб з реєстру;

3)управління ключами посадових осіб CV-ЦСК, що включає:

генерацію особистого та відкритого ключів посадових осіб;

формування сертифікату посадової особи та запис сформованого сертифікату у реєстр сертифікатів.

3.2.7DV-центр сертифікації ключів повинен забезпечити реалізацію регламентних процедур та механізмів роботи комплексу, пов’язаних з обслуговуванням сертифікатів EAC-серверів (груп інспекційних станцій – IS), що включає:

реєстрацію EAC-серверів;

сертифікацію відкритих ключів EAC-серверів;

розповсюдження сертифікатів;

управління статусом сертифікатів;

розповсюдження інформації про статус сертифікатів.

3.2.8DV-ЦСК повинен забезпечити виконання наступних функцій, пов’язаних з

обслуговуванням сертифікатів EAC-серверів:

1)реєстрацію EAC-серверів, що включає:

введення реєстраційних даних EAC-серверів до реєстру серверів;

зберігання реєстру серверів та забезпечення доступу до реєстраційних даних;

резервне копіювання та архівування реєстру серверів;

зміну реєстраційних даних EAC-серверів у реєстрі;

видалення реєстраційних даних серверів з реєстру;

2)сертифікацію відкритих ключів EAC-серверів, що включає:

приймання та реєстрацію запитів серверів на формування сертифікатів;

зберігання запитів, отриманих від серверів, у базі даних запитів;

архівування бази даних запитів;

формування сертифікатів EAC-серверів;

внесення сформованих сертифікатів у реєстр;

зберігання реєстру сертифікатів;

архівування реєстру сертифікатів;

3)розповсюдження сертифікатів EAC-серверів, що включає:

публікацію реєстру сертифікатів на інформаційному ресурсі;

забезпечення доступу до реєстру сертифікатів на інформаційному ресурсі;

4)управління статусом сертифікатів відкритих ключів EAC-серверів та розповсюдження інформації про статус сертифікатів, що включає:

скасування, блокування або поновлення сертифікатів та внесення інформації про поточний статус сертифіката до реєстру сертифікатів;

формування списків відкликаних сертифікатів;

публікацію списків відкликаних сертифікатів на інформаційному ресурсі;

забезпечення доступу до списків відкликаних сертифікатів на інформаційному ресурсі;

забезпечення доступу до інформації про статус сертифікатів (та самих сертифікатів) з використанням протоколу визначення статусу сертифіката (OCSP).

3.2.9Для забезпечення функціонування DV-ЦСК також повинен виконувати наступні функції:

1)управління ключами DV-ЦСК, що включає:

генерацію особистого та відкритого ключів DV-ЦСК;

створення резервних копій особистого ключа DV-ЦСК, а також відновлення особистого ключа з резервних копій;

передачу запиту на формування сертифіката до CV-ЦСК (в т.ч. і у CV-ЦСК інших країн);

запис сформованих сертифікатів у реєстр сертифікатів;

публікацію сформованих сертифікатів на інформаційному ресурсі;

2)отримання та розповсюдження сертифікатів CV-ЦСК та верифікаторів (DV) інших країн, що включає:

отримання сертифікатів CV-ЦСК та верифікаторів (DV) інших країн;

публікацію отриманих сертифікатів на власному інформаційному ресурсі;

3)отримання та розповсюдження інформації про статус сертифікатів CVЦСК та верифікаторів інших країн, що включає:

отримання списків відкликаних сертифікатів CV-ЦСК інших країн;

публікацію отриманих списків відкликаних сертифікатів на власному інформаційному ресурсі;

4)ведення реєстру посадових осіб CV-ЦСК, що включає:

введення реєстраційних даних посадових осіб до реєстру посадових осіб;

зберігання реєстру посадових осіб та забезпечення доступу до реєстраційних даних;

зміну реєстраційних даних посадових осіб у реєстрі;

видалення реєстраційних даних посадових осіб з реєстру;

5)управління ключами посадових осіб CV-ЦСК, що включає:

генерацію особистого та відкритого ключів посадових осіб;

формування сертифікату посадової особи та запис сформованого сертифікату у реєстр сертифікатів.

РС оператора PKD (CIL) призначена для реалізації регламентних процедур та механізмів роботи комплексу, пов’язаних із взаємодією з ICAO PKD, і повинна виконувати наступні функції:

1)отримання від CS-ЦСК та завантаження (передачу) у ICAO PKD:

сертифікатів CS-ЦСК;

сертифікатів підписувачів (DS);

списків відкликаних сертифікатів, що формує CS-ЦСК;

списків сертифікатів CS-ЦСК та підписувачів (майстер-листів);

2)отримання з ICAO PKD та передачу у CS-ЦСК:

сертифікатів CS-ЦСК та підписувачів інших країн;

списків відкликаних сертифікатів CS-ЦСК інших країн.

3.2.11 DS-сервер призначений для забезпечення криптографічної

підтримки регламентних процедур випуску електронних паспортів на лінії їх виготовлення (персоналізації), і повинен виконувати наступні функції:

1)управління ключами DS-сервера, що включає:

генерацію особистих та відкритих ключів сервера;

формування та передачу запиту на формування сертифіката до CSЦСК;

отримання, перевірку, зберігання та використання сформованого сертифікату;

формування та передачу запитів на блокування, скасування та поновлення сертифікату до CS-ЦСК;

2)реалізацію криптографічних перетворень та інших процедур під час випуску електронних паспортів, що включає:

зберігання та використання особистого ключа DS-сервера;

отримання та зберігання сертифікатів CS-ЦСК та CV-ЦСК;

підпис даних (формування ЕЦП) електронного паспорта під час його виготовлення;

генерацію особистого та відритого ключів для електронного паспорта;

передачу згенерованих ключів для запису їх у ЕП на лінію виготовлення;

передачу сертифікату CV-ЦСК для запису його у ЕП;

пошуку та інтерактивної перевірки статусу сертифікатів у CS-ЦСК за протоколом OCSP (через OCSP-сервер);

пошуку (за необхідності) сертифікатів у LDAP-каталозі CS-ЦСК (на

LDAP-сервері).

5.3.2.12 Зберігання особистого ключа та сертифіката DS-сервера і інших сертифікатів (за необхідності), а також виконання криптографічних перетворень повинні здійснюватися у апаратному криптомодулі.

3.2.13 EAC-сервер призначений для забезпечення криптографічної підтримки регламентних процедур перевірки електронних паспортів інспекційними станціями (IS) на пункті паспортного контролю, і повинен виконувати наступні функції:

10)управління ключами EAC-сервера, що включає:

генерацію особистих та відкритих ключів сервера;

формування та передачу запиту на формування сертифіката до DVЦСК;

отримання, перевірку, зберігання та використання сформованого сертифікату;

формування та передачу запитів на блокування, скасування та поновлення сертифікату до DV-ЦСК;

11)реалізацію криптографічних перетворень та інших процедур під час перевірки електронних паспортів, що включає:

зберігання та використання особистого ключа EAC-сервера;

отримання від DV-ЦСК та зберігання сертифікатів власних CVЦСК та верифікатора (DV);

отримання від DV-ЦСК та зберігання (за необхідності) сертифікатів CV-ЦСК та верифікаторів інших країн;

отримання та зберігання (за необхідності) сертифікатів CS-ЦСК та підписувачів (DS, власних та інших країн);

перевірку підпису даних (перевіряння ЕЦП) електронного паспорта (включаючи і пошук та перевірку статусу сертифікатів підписувача країни, яка видала паспорт);

реалізацію криптографічних перетворень під час виконання процедур автентифікації чипу (Chip Authentification – СА) та терміналу (Termina Authentification – TА), що входять в механізм розширеного контролю доступу (ЕАС), під час перевірки паспорта;

пошуку та інтерактивної перевірки (за необхідності) статусу сертифікатів у DV-ЦСК за протоколом OCSP (через OCSP-сервер);

пошуку (за необхідності) сертифікатів у LDAP-каталозі DV-ЦСК (на LDAP-сервері).

3.2.14 Зберігання особистого ключа та сертифіката EAC-сервера та інших сертифікатів (за необхідності), а також виконання криптографічних перетворень повинні здійснюватися у апаратному криптомодулі.

5.4 Вимоги до структури та призначення комплексу технічних засобів

5.4.1 Структурна схема комплексу технічних засобів наведена на рис. 5.5.

Вимоги до структури та призначення комплексу технічних засобів CS-ЦСК

3.3.2.1 До складу CS-ЦСК повинні входити такі технічні засоби (структурна схема – рис. 3.2):

РС обслуговуючого персоналу (адміністратора безпеки та адміністратора сертифікації);

центральні сервери; внутрішнє комунікаційне обладнання ЛОМ; сервери взаємодії;

міжмережний екран (МЕ) та система виявлення втручань (IDS); комунікаційне обладнання зовнішньої комунікаційної мережі (ЗКМ).

3.3.2.2 Вимоги до призначення РС адміністратора безпеки повинні визначатися у окремому технічному завданні (ТЗ) на комплексну систему захисту інформації (КСЗІ).

Рисунок 3.2 – Структурна схема комплексу технічних засобів.

3.3.2.3 РС адміністратора сертифікації призначена для:

генерації особистого та відкритого ключів адміністратора сертифікації; введення та використання особистих ключів адміністратора сертифікації; формування та передачу запиту на формування сертифіката

адміністратора сертифікації на центральний сервер; отримання, зберігання та використання сертифікату адміністратора

сертифікації.

налагодження параметрів технічних засобів та системного програмного забезпечення;

діагностування роботи технічних засобів;

введення реєстраційних даних підписувачів (DS-серверів) до реєстру підписувачів;

зміни реєстраційних даних підписувачів у реєстрі; видалення реєстраційних даних підписувачів з реєстру;

приймання та введення запитів підписувачів на формування сертифікатів відкритих ключів;

ініціювання скасування, блокування чи поновлення сертифікатів підписувачів центральним сервером;

моніторингу та контролю стану технічних засобів CS-ЦСК та виконання ним окремих функцій, зокрема, наступних функцій центрального сервера:

публікації реєстру сертифікатів на інформаційному ресурсі центральним сервером;

формування списків відкликаних сертифікатів;

публікації сформованих списків відкликаних сертифікатів на інформаційному ресурсі;

формування центральним сервером списків сертифікатів підписувачів та CS-ЦСК (в т.ч. і інших країн) – майстер-листів;

публікації сформованих списків сертифікатів на інформаційному ресурсі;

отримання сертифікатів CS-ЦСК та підписувачів інших країн від оператора PKD (в т.ч. і у вигляді списків сертифікатів – майстерлистів);

публікації отриманих сертифікатів на власному інформаційному ресурсі;

отримання списків відкликаних сертифікатів CS-ЦСК інших країн від оператора PKD;

публікації отриманих списків відкликаних сертифікатів на власному інформаційному ресурсі.

3.3.2.4 Центральні сервери призначені для:

генерації особистого та відкритого ключів CS-ЦСК;

створення резервних копій особистого ключа CS-ЦСК, а також відновлення особистого ключа з резервних копій;

формування сертифіката CS-ЦСК та запис сформованого сертифікату у реєстр сертифікатів;

публікацію сформованого сертифікату на інформаційному ресурсі; введення реєстраційних даних посадових осіб (адміністратора

сертифікації та оператора PKD) до реєстру посадових осіб; зберігання реєстру посадових осіб та забезпечення доступу до

реєстраційних даних; видалення реєстраційних даних посадових осіб з реєстру;

приймання та обробку запитів на формування сертифікатів посадових осіб;

формування сертифікатів посадових осіб; запис сформованих сертифікатів у реєстр посадових осіб; використання сертифікатів посадових осіб;

зберігання реєстру підписувачів та забезпечення використання реєстраційних даних;

резервного копіювання та архівування реєстру підписувачів;

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.