ООО Топ Кросс


 
 Модуль разграничения доступа

Общие сведения

Модуль разграничения доступа для протокола HTTP (HyperText Transfer Protocol) инкапсулированного в SSL v.3 (Secure Sockets Layer) или TLS v.1.0 (Transport Layer Security, RFC 2246). Для серверов, использующих открытые операционные системы Linux и FreeBSD, появилась возможность быстро создавать защищенные HTTP ресурсы на основе популярного сервера Apache. Установка Модуля обеспечивает следующие технические возможности:

  1. защищенный доступ для пользователей российских криптографических алгоритмов (при условии соответствия программного обеспечения клиентов опубликованным драфтам);
  2. гибкие механизмы задания политики разграничения доступа;
  3. разграничение доступа на основе любых элементов X.509 сертификатов;
  4. разграничение доступа на основе атрибутных сертификатов * и любых их элементов;
  5. задание и использование уникальных для конкретной организации расширений к X.509 и атрибутным сертификатам;
  6. настраиваемые механизмы проверки сертификатов, включая поддержку протокола OCSP и самостоятельное построение цепочки сертификации. Поддерживается также использование сетевого справочника (LDAP) и точек распространения списков отозванных сертификатов и обновлений к ним;
  7. включена поддержка кросс-сертификатов и «мостов доверия»

Примечания:

  • Полноценная поддержка атрибутных сертификатов будет возможна только с появлением Удостоверяющих Центров, издающих атрибутные сертификаты.
  • Разделы документации, посвященные функциональным возможностям, реализованным не в полном объеме (как поддержка атрибутных сертификатов), отмечены знаком *

Системные требования:

  • Аппаратная платформа: x86 (IA32).
  • Операционная система: FreeBSD 4.6+ либо Linux 2.4+.
  • HTTP-сервер Apache v1.3.33, специальной сборки.

В состав установленного Модуля входят:

  1. Разделяемая библиотека libtctls.so – модуль для подключения к Apache.
  2. Внешний конфигурационный файл – помимо настроек содержит лицензию на использование модуля заверенную ЭЦП производителя.
  3. Атрибутные модули*: разделяемые библиотеки, содержащие описания ASN.1-типов, специфичных для конкретной автоматизированной системы.
  4. Утилита командной строки pki_tool для управления сертификатами сервера и решения вспомогательных задач, таких как выработка ЭЦП на публикуемыми документами.
  5. Криптографические токены сторонних производителей (КТ) – программные библиотеки с интерфейсом PKCS#11, либо драйвера к аппаратным устройствам, реализующие ограниченный набор функций в соответствии с интерфейсом PKCS#11.
  6. Пример программы передающей Apache данные для авторизации в КТ.
  7. Сопроводительная документация и примеры конфигурационных файлов.

Примечание: Доступ к криптографическим токенам ограничен PIN кодом. В связи с тем, что модуль функционирует в автоматическом режиме встает задача получения PIN кода доступа для соответствующего слота КТ. Прямое указание PIN кода в конфигурационном файле, из которого программный модуль мог бы получить эту информацию может вступить в противоречие с регламентными документами на систему. Решение задачи безопасного распространения информации о PIN кодах криптографического токена в таких случаях может быть возложено на специальный сервис (“PIN Keeper”), для которого:

  • PIN коды доступа вводятся с консоли уполномоченными лицами в начале смены в момент монтирования собственных хранилищ.
  • Отмонтирование хранилища автоматически приводит к очистке из памяти информации о PIN коде доступа к соответствующему устройству.
  • PIN коды доступа не хранятся в памяти процесса в открытом виде.
  • Передача PIN кода выполняется только жестко определенным программным модулям, целостность которых проверена и подтверждена.


Модуль разграничения доступа © 2005-2012
LLC Top Cross
All Rights Reserved
 
 поиск
Google

 Цифровой Секретарь
клиентское программное обеспечение

на технологиях открытых ключей