Читаем Инфраструктуры открытых ключей полностью

Управление внешним доступом к пограничному репозиторию зависит от политики PKI и уровня конфиденциальности хранимой информации. В любом случае удаленные клиенты должны иметь возможность получать доступ к необходимым сертификатам и информации об аннулированных сертификатах без "блуждания" по корпоративной сети и, соответственно, без прямого доступа к конфиденциальной информации корпоративной базы данных. Рис. 12.1 иллюстрирует ряд возможных конфигураций сети, связанных с развертыванием междоменного репозитория [44].

Вариант А соответствует использованию прямого доступа внешних субъектов к корпоративному репозиторию через корпоративный межсетевой экран, защищающий внутреннюю сеть. Вариант прямого доступа позволяет клиентскому программному обеспечению конечного пользователя одного домена получать прямой доступ к репозиторию другого домена и наоборот; или позволяет внешнему репозиторию напрямую обращаться к внутрикорпоративному репозиторию. Этот вариант может использоваться тогда, когда между доменами установлены двусторонние отношения доверия и/или репозиторий защищен от несанкционированного доступа.

Рис. 12.1.  Варианты развертывания междоменного репозитория

Вариант B соответствует двум возможным сценариям. Первый сценарий заключается в частичной репликации данных корпоративного репозитория вне контура зоны корпоративного межсетевого экрана. Этим экраном защищен каталог X.500, содержащий закрытую информацию о сотрудниках, включая их телефонные номера, адреса электронной почты, номера карточек социального страхования, сведения о выплатах и т.п. Кроме того, каталог содержит сертификаты и списки САС. Для хранения частично реплицированной информации применяется пограничный репозиторий, который дублирует сертификаты и списки САС из внутреннего репозитория. Второй сценарий состоит в том, что пограничный репозиторий становится промежуточным репозиторием, или прокси-репозиторием и входящие запросы адресуются соответствующему репозиторию без какого-либо вовлечения в этот процесс конечного пользователя. B некоторых средах могут поддерживаться одновременно варианты А и B или оба сценария варианта B.

Помимо управления доступом может потребоваться поддержка сервиса конфиденциальности. Предотвращение несанкционированного ознакомления с информацией, передаваемой от одного корпоративного домена к другому, может быть достигнуто при помощи протоколов безопасности, таких как протокол безопасности транспортного уровня Transport Layer Security (TLS), протокол инкапсулирующей защиты содержимого IP-пакетов Encapsulating Security Payload (ESP) или посредством некоторых протоколов уровня приложений, например X.500 Directory Access Protocol (DAP).

Концепция пограничного репозитория впервые была разработана в рамках инициативы федерального мостового УЦ США (U.S. Federal Bridge CA). Там же была предложена концепция мостового репозитория, который может использоваться для взаимосвязи многих пограничных репозиториев [210]. Возможности пограничного репозитория используются в некоторых реализациях PKI, в частности, в PKI правительства Канады.

Традиционным вариантом организации репозитория PKI является каталог. Используются несколько типов систем каталога, но имеются и другие варианты поддержки PKI-информации. Для передачи сертификатов и данных об аннулировании могут использоваться любые протоколы, которые приняты для распространения двоичной информации. Обмен PKI-информацией может осуществляться при помощи электронной почты S/MIME версии 3, сетевых протоколов FTP, HTTP, TLS и IPSec (особенно протокола обмена ключами Internet Key Exchange - IKE) и даже системы доменных имен DNS.

В некоторых средах, например, в Интернете, обмен сертификатами и списками САС при помощи сетевых протоколов может быть единственным способом передачи этой информации пользователям PKI. Следует отметить, что обмен PKI-информацией на базе сетевых протоколов может лишь дополнить, а не полностью заменить использование репозитория.