Книга: Инфраструктуры открытых ключей

Проблемы интеграции PKI

Важным фактором адаптации PKI является решение проблем интеграции и обеспечения работы приложений. PKI может быть интегрирована несколькими способами:

* с приложениями (например, клиентскими приложениями электронной почты);

* с данными третьей стороны (например, с базой данных аутентификации);

* с системами более сильной аутентификации (биометрией или смарт-картами);

* с существующими системами организации >[105].

Большие трудности при развертывании инфраструктуры открытых ключей вызывает интеграция соответствующих PKI-функций во вновь создаваемые приложения, а также в уже имеющиеся прикладные системы. PKI должна взаимодействовать с множеством разнообразных систем и приложений, в числе которых могут быть системы управления доступом, каталоги пользователей, виртуальные частные сети, операционные системы, сервисы безопасности, приложения защищенной электронной почты и web-приложения >[36]. Налаживание связи между новой инфраструктурой и всеми этими приложениями и системами является сложной задачей, для ее решения важно наличие интерфейсов прикладного программирования, обеспечивающих взаимодействие существующих корпоративных приложений с PKI и использование ее сервисов. Некоторые программные средства поддержки PKI предоставляют интерфейсы прикладного программирования высокого уровня для распространенных приложений. Выбор программного продукта такого типа облегчает интеграцию PKI и сокращает время развертывания инфраструктуры.

Интеграция с приложениями

Чтобы использовать PKI, программное обеспечение, оперирующее от имени конечных пользователей, процессов или устройств, должно поддерживать такие функции, как шифрование и расшифрование, генерацию и верификацию цифровых подписей, а также обеспечивать доступ к функциям управления жизненным циклом сертификатов и ключей, то есть быть PKI-совместимым.

Очевидно, что не все приложения совместимы с PKI, например, популярное приложение Microsoft Word не способно использовать возможности PKI. Для того чтобы заверить цифровой подписью договор, подготовленный в MS Word, и переслать его партнеру с гарантией соблюдения целостности, пользователю необходимо получить сертификат ключа подписи и воспользоваться дополнительным приложением, обеспечивающим выполнение криптографических функций.

Существует несколько способов придания приложению функций PKI. Чаще всего для этого используются инструментальные средства поставщика PKI. Инструментальный набор позволяет добавлять основные функции PKI, например, генерацию ключей. Разработчики должны затем адаптировать интерфейс пользователя для вызова специфических функций PKI, таких как формирование запроса на сертификат (см. рис. 21.1.).


Рис. 21.1.  Пример интегрированного запроса к web-серверу

Кроме того, последние версии большинства web-серверов существенно расширили возможности web-администратора создавать запросы на сертификаты с консоли администратора. Для интеграции PKI некоторые поставщики предлагают программное обеспечение промежуточного уровня.

В настоящее время список PKI-совместимых программных средств растет, и можно ожидать, что эта тенденция сохранится. Некоторые наиболее популярные системы электронной почты и электронного документооборота являются PKI-совместимыми. Многие поставщики рынка виртуальных частных сетей также реализуют технологию открытых ключей (например, те, которые ориентируются на стандарт IKE >[147]), кроме того, web-технология может рассматриваться как частично PKI-совместимая.

Интеграция с данными третьей стороны

Основой модели развертывания качественной PKI является сильная аутентификация, которая, в свою очередь, зависит от интеграции с надежным источником данных. Системы PKI обычно обеспечивают доступ к ODBC- и LDAP-совместимым базам данных и интеграцию с этими данными, а также с данными на базе текстовых файлов. Во многих корпоративных системах выполняется интеграция с базой данных персонала. В системах PKI, предназначенных для массового рынка, часто необходима интеграция с данными третьей стороны, например, бюро кредитных историй. Некоторые поставщики данных предоставляют также и инструментальные средства интеграции.

Интеграция с системами более сильной аутентификации

Как только организация начинает осознавать необходимость сильной аутентификации, она переходит к использованию биометрии и смарт-карт. Обычно большая часть работы по интеграции с биометрическими устройствами возлагается на поставщика устройств, а не на поставщика PKI, поэтому важен правильный выбор поставщика, который поддерживает партнерские программы, или поставщика независимого программного обеспечения, предлагающего готовые решения.

Применение биометрических устройств требует установки клиентского программного обеспечения для контролирования доступа к среде хранения сертификатов на каждом персональном компьютере, а также регистрации и сохранения на компьютере биометрических характеристик пользователей для процедур сравнения.

Применение смарт-карт и управление их жизненным циклом также связано с использованием специального клиентского программного обеспечения и установки дополнительных драйверов. Поставщики смарт-карт могут использовать обычные стандарты типа CAPI (Cryptographic Application Programmer Interface) >[112] и PKCS#11 >[202]. Следует учитывать, что интеграция с системами более сильной аутентификации требует дополнительных финансовых затрат и затрат времени.

Интеграция с существующими системами

Поскольку любая организация использует существующую ИТ-инфраструктуру, часто возникают проблемы интеграции PKI с уже действующими системами. Обычно предполагается, что PKI будет обслуживать только системы на базе персональных компьютеров и PKI-совместимые приложения. Большинство программных продуктов для PKI не предназначено для работы в системах на базе UNIX или мейнфреймов. Для интеграции PKI с большими вычислительными системами необходимо программное обеспечение промежуточного слоя или передача данных вручную.

Интеграция с интерфейсом пользователя

Важным аспектом PKI, который часто упускается из виду, является удобство работы пользователя. Пользователь должен иметь простое и понятное средство формирования запросов на выдачу, обновление и аннулирование сертификатов. Большинство поставщиков PKI предлагают некоторый интерфейс пользователя, но, как правило, он является приложением, базирующимся на клиентском программном обеспечении, и не всегда приспособлен для работы на разных компьютерных платформах ( PC, UNIX, Mac ) или разных версиях.

Оглавление книги


Генерация: 1.133. Запросов К БД/Cache: 3 / 1
поделиться
Вверх Вниз