Предлагаемая архитектура СУЦРФ
При формировании СУЦРФ необходимо учитывать административно-хозяйственные особенности, географическую распределённость возможных участников и их отраслевую принадлежность.
Очевидно, что в российских условиях будет формироваться модель, в большей или меньшей степени объединяющая все три, описанные в Приложении 3. Строящиеся в настоящее время иерархические ведомственные системы УЦ неизбежно столкнутся с необходимостью производить кросс-сертификацию как с параллельными системами, так и с независимыми УЦ, не входящими ни в одну ведомственную иерархию.
Взаимодействие между компонентами ИОК
Первоначально в Федеральном центре, а в последствии и на уровне Федеральных округов может возникнуть необходимость кросс-сертификации электронных коммуникаций между одноранговыми УЦ.
Иерархические ведомственные системы УЦ, например, на уровне Федеральных округов объединяются доверительными связями, создавая горизонтальный уровень (уровни) кросс-сертификации, в т.ч. и посредством Модели 2 («доверенные списки удостоверяющих центров»). При этом, в случае неприемлемости условий удостоверения подписей между двумя аналогичными структурами (например, между городскими филиалами различных банков), т.е. при недостатке доверия к конкурирующей организации, у субъектов отношений есть выбор использовать окружной УЦ УФО, либо обратиться в независимый УЦ, созданный как отдельная компания, либо как часть подчиненной ведомственной структуры какого-либо федерального органа, например, УЦ Минсвязи или Торгово-промышленной палаты.
|
|
Вместе с тем целесообразно создать централизованный механизм доверительных связей между пользователями различных информационных систем. Наиболее полно соответствует этой задаче мостовая модель, при которой ведомственные УЦ организуют доверительные отношения с федеральным мостовым УЦ, основываясь на стандартах и регламентах, представленных УФО.
При использовании и соответствующем уровне развития системы УЦ с налаженными «мостовыми» связями, абонент одного УЦ сможет передать юридически значимые электронные документы в другой город и в подразделение другого ведомства с достаточной уверенностью в их своевременной доставке и пригодности.
Компоненты архитектуры мостового УЦ
Рис. 1 Пример архитектуры мостовой ИОК
СУЦРФ может состоять из следующих компонентов (Рис.1):
· Центр управления политиками (ЦУП) мостового УЦ: устанавливает общие политики Мостового УЦ, проверяет политики доверенных доменов и участвует в кросс-сертификации с доменами ИОК организаций. По сути он назначает политики, которые определяют государственные уровни услуг по сертификации, осуществляющие единые техники и процедуры проведения кросс-сертификации, что значительно упрощает, детерминирует и удешевляет их;
|
|
· Доверенные домены организаций: В данном контексте это домены ИОК организаций, которые кросс-сертифицировались с мостовым УЦ, и которые функционируют под управлением одного органа управления политиками. Домен ИОК может иметь такую архитектуру, которая необходима ему для эффективного функционирования, и может содержать несколько УЦ. Кросс-сертифицируется с мостовым УЦ так называемый УЦ принципал, который обычно совмещен с органами управления политиками домена и\или является точкой доверия домена.
· Центр управления политиками доверенного домена (ЦУПД): этот орган устанавливает политики внутри домена ИОК организации, и контролирует их исполнение;
· Органы сертификации (УЦ):
à Мостовой УЦ (Bridge УЦ - МУЦ): Это совокупность сильносвязных кросс-сертифицированных УЦ, функционирующих под управлении ЦУП. Его целевое назначение состоит в обеспечении мостов доверия между доверенными доменами ИОК. ЦУП вводит в мостовую инфраструктуру УЦ принципалы через кросс-сертификацию с МУЦ. Заметим, что МУЦ не является корневым УЦ для пользователей доверенных доменов, так как самоподписанные (самоизданные) сертификаты не начинают с него путей сертификации. Таким образом, каждый доверенный домен имеет такую архитектуру ИОК, которая ему необходима;
|
|
à УЦ принципал (Principal УЦ, PУЦ): Это УЦ внутри доверенного домена, который кросс-сертифицируется с МУЦ. В каждом домене может быть только один УЦ принципал. УЦ принципал обычно совмещен с органами управления политиками домена и/или является точкой доверия домена.
Число УЦ (см. Рис.2), которое необходимо иметь в мостовом УЦ, определяется числом требующих поддержки криптографических алгоритмов и протоколов управления ИОК.
Рис. 2 К вопросу о числе УЦ в МУЦ
Это позволит решить проблемы совместимости при кросс-сертификации с МУЦ и стойкость МУЦ к зависимости от частного решения ИОК.
Дата добавления: 2018-04-04; просмотров: 204; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!