Компоненты
Windows 2000, обеспечивающие шифрование
На рис. 26.1 схематично
показана логическая взаимосвязь средств Windows 2000, позволяющих применять
шифрование с открытым ключом.
Изображенные на рис. 26.1
средства не обязательно должны размещаться на отдельных компьютерах. Несколько
служб могут эффективно работать на одном компьютере. Ключевое звено схемы —
служба сертификатов Microsoft (Microsoft Certificate Services). Она позволяет
создать один или несколько ЦС предприятия, поддерживающих создание и отзыв сертификатов.
Они интегрированы в Active Directory, где хранится информация о политике ЦС
и их местоположении. Кроме того, с помощью Active Directory выполняется публикация
информации о сертификатах и их отзыве.
|
|
|
Рис 26.1.
Взаимосвязь
средств Windows 2000, предназначенных для работы с открытым ключом
|
Средства работы с открытым
ключом не заменяют существующих механизмов доверительных отношений между доменами
и аутентификации, реализованных с помощью контроллеров доменов и
центров
распространения: ключей Kerberos
(Key Distribution Center, KDC). Напротив,
данные средства взаимодействуют с этими службами, что позволяет приложениям
безопасно передавать конфиденциальную информацию через Интернет и корпоративным
глобальным каналам.
Поддержка прикладных средств
шифрования информации с открытым ключом включена в состав программного обеспечения
операционных систем Windows 2000, Windows NT, а также Windows 95/98. На рис.
26.2 показана структура служб, предназначенных для поддержки прикладных программ.
Основой архитектуры поддержки прикладных программ шифрования информации с открытым
ключом является библиотека CryptoAPI. Она позволяет работать со всеми устанавливаемыми
поставщиками услуг шифрования
(Cryptographic Service Providers, CSP)
через стандартный интерфейс. CSP могут быть реализованы на программном уровне
или с помощью специального оборудования. Они поддерживают различные длины ключей
и алгоритмы шифрования. Как видно на рис. 26.2, один из CSP поддерживает смарт-карты.
Услугами служб шифрования пользуются службы управления сертификатами. Они соответствуют
стандарту Х.509 v3 и позволяют организовывать принудительное хранение, службы
подсчета и дешифрования. Кроме того, эти службы предназначены для работы с различными
отраслевыми стандартами сообщений. В основном они поддерживают стандарты PKCS
и разработанный в IETF (Internet Engineering Task Force) набор предварительных
стандартов PKIX (Public Key Infrastructure, X.509).
|
|
|
Рис 26.2.
Службы средств шифрования информации с открытым ключом,
поддерживающие прикладные программы
|
Остальные службы используют
CryptoAPI для придания дополнительной функциональности прикладным программам.
Защищенный канал (Secure Channel) поддерживает сетевую аутентификацию и шифрование
в соответствии со стандартными протоколами TLS и SSL, обращение к которым может
быть выполнено с помощью интерфейсов Microsoft Winlnet и SSPI. Служба Authenticode
предназначена для проверки и подписи объектов и в основном используется при
получении информации через Интернет.
В состав программного обеспечения
служб поддержки прикладных средств шифрования входит поддержка интерфейса, предназначенного
для работы со смарт-картами. Они используются для регистрации на компьютере
и в сети Windows 2000.
Содержание раздела
|
