Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5133 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Костромской государственный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ОЗІ / Лекц_ї / Лекция 10.doc
Скачиваний:
44
Добавлен:
05.06.2015
Размер:
113.15 Кб
Скачать
►Содержание►

Термінологія pki

Ми будемо використовувати наступні терміни й поняття.

  1. Public Key Infrastructure (PKI)інфраструктура відкритого ключа – це безліч апаратури, ПЗ, людей, політик і процедур, необхідних для створення, керування, зберігання, розподіли й скасування сертифікатів, заснованих на криптографії з відкритим ключем.

  2. End-entity (ЕЕ) – кінцевий учасник, для якого випущений даний сертифікат. Важливо помітити, що тут під кінцевими учасниками маються на увазі не тільки люди й використовувані ними додатка, але також і винятково самі додатки (наприклад, для безпеки рівня IP). Цей фактор впливає на протоколи, які використовують операції керування PKI; наприклад, ПЗ додатки варто більш точно знати необхідні розширення сертифіката, чим людині.

  3. Certificate Authority (CA) – центр, що засвідчує (сертифікаційний) – це вповноважений орган, що створює й підписує сертифікати відкритого ключа. Додатково СА може створювати пари закритий/відкритий ключ кінцевого учасника. Важливо помітити, що СА відповідає за сертифікати відкритого ключа протягом усього часу їхнього життя, а не тільки в момент випуску.

  4. Public Key Certificate (PKC)сертифікат відкритого ключа або просто сертифікат – це структура даних, що містить відкритий ключ кінцевого учасника й іншу інформацію, що підписана закритим ключем СА, що випустив даний сертифікат.

  5. Registration Authority (RA) – реєстраційний центр – необов'язковий учасник, відповідальний за виконання деяких адміністративних завдань, необхідних для реєстрації кінцевих учасників. Такими завданнями можуть бути: підтвердження ідентифікації кінцевого учасника; перевірка значень, які будуть зазначені в створюваному сертифікаті; перевірка, чи знає кінцевий учасник закритий ключ, що відповідає відкритому ключу, зазначеному в сертифікаті. Помітимо, що RA сам також є кінцевим учасником.

Причини, які пояснюють наявність RA, можуть бути розділені на технічні фактори, що мають, і ті, які є організаційними. До числа технічних ставляться наступні причини:

  • Якщо використовується апаратний токен, то не всі кінцеві учасники мають необхідне устаткування для його ініціалізації; устаткування RA може включати необхідну функціональність (це також може бути питанням політики).

  • Не всі кінцеві учасники можуть мати можливість опублікувати сертифікати; для цього може використовуватися RA.

  • RA може мати можливість випускати підписані запити скасування від імені кінцевого учасника, пов'язаного з ним, тоді як кінцевий учасник не завжди має можливість зробити це (якщо пари ключів загублена).

Деякі організаційні причини для використання RA можуть бути наступні:

  • Може віявитися більше ефективним сконцентрувати деяку функціональність в устаткуванні RA, чим мати дану функціональність для всіх кінцевих учасників (особливо якщо використовується спеціальне устаткування для ініціалізації токена).

  • Установлення Rаs в організації може зменшити число необхідних СAs.

  • RAs можуть бути краще розміщені для ідентифікації людей з їх "електронними" іменами, особливо якщо СА фізично віддалений від кінцевого учасника.

  • Для багатьох додатків уже існують певні адміністративні структури, які можуть відігравати роль RA.

  1. Випускаючий CRL - необов'язковий компонент, якому СА делегує функції опублікування списків скасованих сертифікатів.

  2. Certificate Policy (CP) – політика сертифіката – пойменована безліч правил, що визначає застосовність сертифіката відкритого ключа для конкретного співтовариства або класу додатків із загальними вимогами безпеки. Наприклад, конкретна політика сертифіката може вказувати застосовність типу сертифіката відкритого ключа для автентифікації транзакцій даних при торгівлі товарами в даному ціновому діапазоні.

  3. Certificate Practice Statement (CPS) – регламент сертифікаційної практики, відповідно до якої співробітники центра, що засвідчує, випускають сертифікати відкритого ключа.

  4. Relying party (RP) – сторона, що перевіряє, - користувач або агент (наприклад, клієнт або сервер), що використовує сертифікат для надійного одержання відкритого ключа суб'єкта й, бути може, деякої додаткової інформації.

  5. Root CAСА, якому безпосередньо довіряє ЕЕ; це означає безпечне придбання значення відкритого ключа кореневого СА, що вимагає деяких зовнішніх кроків. Цей термін не означає, що кореневий СА обов'язково повинен бути вершиною ієрархії, просто показує, що СА є безпосередньо довіреним. Помітимо, що термін "довірений якір" має те ж значення, що й кореневий СА в даному документі.

  6. Subordinate CA – "підлеглий СА" являє собою СА, що не є кореневим СА для ЕЕ. Часто підлеглий СА не є кореневим СА для будь-якого учасника, але це не обов'язково.

  7. Top CA – вершина ієрархії PKI. Зауваження: часто він також називається кореневим СА, тому що в термінах структур даних і в теорії графів вузол на вершині дерева називається коренем. Однак щоб уникнути плутанини в даному документі будемо називати даний вузол "вершиною СА", а "кореневий СА" зарезервуємо за СА, безпосередньо тим, кому довіряє ЕЕ. Даний термін не є загальноприйнятим у всіх документах PKIX і профілях PKI.

  8. Репозиторий - система або набір розподілених систем, які зберігають сертифікати й CRLs і призначені для розподілу цих сертифікатів і CRLs між кінцевими учасниками.

Соседние файлы в папке Лекц_ї
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности