ГлавнаяПродуктыРешенияОтчетность через интернетУчебный центрЭлектронные торгиСкачатьО компании

Общая технология функционирования подсистем распределения ключей в системе ViPNet


 

1. Введение

2. Системы с открытым (PKI) и симметричным распределением ключей

2.1. Преимущества симметричного распределения ключей перед системами с открытым распределением ключей

2.2. Преимущества открытого распределения ключей перед симметричным распределением

2.3. Какой же выбор?

3. Ключевая структура и система управления ключами технологии ViPNet

3.1. Общее описание структуры виртуальной сети ViPNet, определяющей ее ключевую структуру

3.2. Подсистема симметричного распределения ключей

3.3. Подсистема открытого распределения ключей

3.4. Общая технология функционирования подсистем распределения ключей в системе ViPNet

 

3.4.1. Описанная выше симметричная многоуровневая ключевая структура виртуальной сети, реализованная в пакете программ ViPNet[Custom], обеспечивает возможность построения легко масштабируемой безопасной системы распределения симметричных ключей, и одновременно системы управления допустимыми связями объектов сети для доступа к информации. 

Технология распределения симметричных ключей является полностью автоматизированной и не требует вмешательства пользователей в этот процесс.

Функционирующая под защитой системы симметричного шифрования простая автоматическая подсистема открытого распределения ключей обеспечивает защиту объектов сети от возможных компрометаций в центральных администрациях.

3.4.2. Любой узел может быть включен в виртуальную защищенную сеть только после регистрации этого узла и его абонентов в Центре управления сетью, задания необходимых связей и создания для него ключевого файла - дистрибутива, в состав которого может входить минимальный объем ключевой информации и справочников доступа, необходимый для получения возможности взаимодействия с ключевым центром, центром управления и своим координатором.

Ключевая информация в этом дистрибутиве защищена персональным ключом, который в свою очередь зашифрован на парольном ключе. Персональный ключ может входить в состав файла - дистрибутива или храниться отдельно на персональном носителе.

3.4.3. После получения файла дистрибутива может быть инсталлировано ПО ViPNet и данный компьютер

немедленно окажется в виртуальной защищенной сети и сможет взаимодействовать в любых приложениях с другими узлами своей или другой виртуальной сети, с которыми ему в ЦУСе предоставили связи и создали соответствующую ключевую информацию.

3.4.4. Если требуется обеспечить взаимодействие с новыми узлами, то в центре управления задаются новые связи, в ключевом центре автоматически формируется вся необходимая ключевая информация, которая через ЦУС вместе со справочниками доступа отправляется на соответствующие узлы. Любая ключевая информация в ЦУСе при отправке на узлы дополнительно шифруется на ключах связи ЦУСа с соответствующим узлом и только после этого отправляется адресатам через существующие VPN-туннели напрямую или через координаторы. При поступлении на узел новая ключевая информация автоматически обновляет существующую ключевую информацию.

Аналогичные действия производятся и при удалении связей, только при этом на узле при поступлении обновления лишняя ключевая информация автоматически удаляется.

3.4.5. Для установления взаимодействия с другими виртуальными сетями необходим лишь первый ручной этап для установления связи между ЦУСами этих сетей, когда доверительным способом производится обмен некоторыми данными между ЦУСами, в том числе формирование единого межсетевого мастер - ключа, и кроссертификация своих корневых сертификатов.

После установления защищенного канала между ЦУСами организация взаимодействия между узлами сетей осуществляется путем экспорта и импорта через защищенный канал некоторых данных о соответствующих узлах, установления взаимно согласованных связей между узлами, независимой выработки в своих ключевых центрах необходимой ключевой информации и рассылки ее на соответствующие узлы своей сети. После проведения данных процедур узлы из разных виртуальных сетей могут взаимодействовать между собой в любых интересующих их приложениях.

3.4.6. При объявлении о компрометации какого-то узла все необходимые действия предпринимаются в ЦУСе, в котором данный объект объявляется скомпрометированным. Автоматически формируются необходимые данные для ключевого центра, который создает необходимые ключи с новым вариантом. Новая ключевая информация вместе с новыми справочниками доступа обычным образом через ЦУС рассылается по необходимым узлам и там автоматически обновляется.

3.4.7. При смене ключей, особенно при смене мастер - ключа и, соответственно, всех ключей, которые им порождены, очень важно обеспечить синхронизацию смены. Для этого в ЦУСе всегда можно задать время обновления информации на каждом узле, воспользоваться системой подтверждений и откатов обновлений. На самих узлах предусмотрена временная поддержка предыдущих действующих ключей. Эти меры обеспечивают непрерывность работы системы даже при массовых сменах ключей.

3.4.8. Обновление асимметричных ключей шифрования между узлами происходит автоматически в заданные сроки без участия пользователей и центра управления сетью.

 3.4.9. О необходимости обновление ключей ЭЦП система предупреждает заблаговременно. Обновление производится либо централизованно с генерацией соответствующих ключей и сертификатов в удостоверяющем центре, либо каждым пользователем на месте с занесением секретного ключа на его носитель и автоматическим получением в удостоверяющем центре сертификата открытого ключа.