Технология "Инфраструктура открытых ключей" в коммерческом предприятии.

Автор: Олег Каштанов

Современные крупные компании включают в себя множество структурных подразделений, часто объединенных между собой в локально-вычислительную сеть, а иногда и в распределенную сеть. Каждое подразделение выполняет определенные функции и использует различные информационные системы.

В совокупности мы получаем организацию, состоящую из большого числа информационных систем, в каждой из которых пользователь должен иметь учетную запись. Но пользователь по необходимости или своим должностным обязанностям может использовать несколько информационных систем. В этом случае встает проблема наличия нескольких учетных записей на доступ к этим системам, что создает большие неудобства для пользователя в запоминании имен и паролей для входа в ту или иную систему, а также открывает брешь в безопасности, что может вызвать несанкционированное проникновение в систему и нанести материальный ущерб организации.

Решением является создание единой системы аутентификации и механизмов контроля доступа, безопасное взаимодействие пользователей, построени

верительных отношений между ними. Инфраструктура открытых ключей (ИОК) позволяет выполнить в совокупности вышеупомянутые позиции.

Инфраструктура открытых ключей (PKI) представляет собой комплексную систему, которая связывает открытые ключи с личностью пользователя посредством удостоверяющего центра (УЦ). В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:

  • закрытый ключ известен только его владельцу;
  • удостоверяющий центр создает сертификат открытого ключа, таким образом удостоверяя этот ключ;
  • никто не доверяет друг другу, но все доверяют удостоверяющему центру;
  • удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.

Фактически, ИОК представляет собой систему, основным компонентом которой является удостоверяющий центр и пользователи, взаимодействующие между собой посредством удостоверяющего центра.

Основная работа удостоверяющего центра заключается в:

  • идентификации пользователей и их запросов на сертификаты;
  • выдаче пользователям сертификатов;
  • проверке подлинностей сертификатов;
  • проверке по сертификату, не выдаёт ли пользователь сертификата себя за другого;
  • в аннулировании или отзыве сертификатов;
  • ведении списка отозванных сертификатов.

Сервер службы каталогов реализуют на основе протокола X.500 и его облегченной разновидности LDAP (Lightweight Directory Access Protocol), которая функционирует поверх TCP/IP (порт 389). Изначально каталоги X.500 использовались телекоммуникационными операторами и предоставляли централизованную информацию обо всех именованных объектах сети (ресурсах, приложениях и пользователях).

Задача снижения затрат на администрирование учетных записей и управление их жизненным циклом решается с помощью подсистемы централизованного управления учетными записями и правами доступа. Под данной системой будем понимать технологию однократной аутентификации.

Использование рассмотренной подсистемы позволяет автоматизировать процессы, связанные с администрированием учетных записей, предоставлением доступа к ресурсам и управлением правами в разнородных операционных системах. Благодаря этому снижается нагрузка на ИТ-персонал.

Одной из ключевых задач подсистемы управления учетными записями является автоматическое изменение параметров или удаление учетных записей пользователей, которые уже не работают или ушли в плановый отпуск и не должны иметь доступ к ресурсу.

Использование решений централизованного управления учетными записями и правами доступа позволяет сократить расходы на ведение учетных записей в корпоративных системах, т.к. создание/изменение/удаление учетных записей проводится один раз в центральной системе, и далее эта информация через центральное хранилище передается в целевые системы автоматически.