Схема 1. Уровни адресной и прикладной администрацииОтправителем и получателем зашифрованной информации всегда являются коллективы, зарегистрированные на АП и СМ. Поэтому коллектив является минимальной группой с точки зрения доступа к зашифрованной информации. Под доступом здесь и далее понимается возможность зашифровывать исходную информацию и расшифровывать зашифрованную. В состав каждого коллектива может входить один или несколько абонентов (пользователей). Каждый пользователь имеет возможность зашифровывать информацию от имени тех коллективов, в которые он входит, и расшифровывать информацию, предназначенную для коллективов, в которые он входит. Пользователь не имеет доступа к зашифрованной информации коллективов, где абонент не зарегистрирован, Пользователь, желающий обеспечить защиту от доступа к своей зашифрованной информации со стороны других пользователей, должен быть зарегистрирован в некотором коллективе один. Пользователь может также зашифровать информацию от имени абонентского пункта (АП) или «общего коллектива». В этом случае информация будет доступна всем пользователям, зарегистрированным во всех коллективах данного АП. Симметричные ключи шифрования для обмена информацией между коллективами формируются в УКЦ при наличии связи соответствующих коллективов, которая задается в Центре управления сетью. Кроме того, Центр управления сетью формирует для каждого сетевого узла Адресные справочники доступа, определяющие, какие другие сетевые узлы, коллективы и пользователи «видны» с данного сетевого узла. Информационная независимость объектов сети от Центров достигается самостоятельным формированием каждым объектом сети дополнительных ключей шифрования на принципах открытого распределения, не доступных Центрам. Достоверность открытой части асимметричного ключа шифрования (АОКШ) каждого объекта сети подтверждается электронной подписью пользователя, сформировавшего данный ключ. Центр управления сетью определяет, какие пользователи имеют право электронной подписи. Для этих абонентов УКЦ формирует ключ электронной подписи, используемый для подтверждения того факта, что авторство информации, подписанной данным пользователем, принадлежит этому пользователю. Так как с точки зрения маршрутизации сообщений сеть ViPNet является иерархической, то иерархия структуры сети находит свое отражение и в сетевом адресе узла. Сетевой адрес имеет бинарное и символьное представления. В бинарном представлении сетевой адрес есть struct { word Select, // поле селекторов word NumNet, // номер Сети word NumSrv, // номер Координатора word NumAP // номер АП в области данного Координатора };
Структура сетевого адреса позволяет иметь до 65535 сетей ViPNet, не пересекающихся по сетевым адресам. В каждой сети может быть размещено до 65535 СМ, к каждому из которых может быть подключено до 65535 АП (рабочих станций). Поле селекторов в настоящее время является нулевым и зарезервировано для дальнейшего использования (в частности, для групповой и широковещательной адресации). Отсутствие числа в поле селекторов означает, что адрес принадлежит отдельному сетевому узлу. Символьное представление сетевого адреса получается из бинарного путем преобразования каждого 2-байтного поля в 4 шестнадцатеричных символа. Каждой сети ViPNet при продаже ПО лицензируется уникальный номер. Уникальность этого номера не имеет значения при автономном функционировании сети ViPNet. Однако этот номер становится важным, если две сети ViPNet захотят установить между собой защищенную связь. Например: На рисунке 2 представлена информация о структуре ViPNet-сети № 6670.
Рис. 2. Структура сети - Сетевой адрес СМ Сервер Офис имеет следующий вид ® 6670.2.0. - Сетевому адресу СМ Сервер Офис в ЦУСе присваивается уникальный идентификатор этого СМ · ID СМ: СМ Сервер Офис ® ID СМ 1А0Е000D. - Сетевой адрес АП Компьютер_1 (Фурманов), который зарегистрирован в ЦУСе за этим СМ, имеет вид ® 6670.2.3. - Сетевому адресу АП Компьютер_1 (Фурманов) соответствует идентификатор этого Абонентского Пункта: · ID АП: АП Компьютер_1 (Фурманов) ® 1А0Е000В. - Кроме того, ЦУС каждому типу коллектива, зарегистрированного на АП или СМ, присваивает уникальный идентификатор Типа Коллектива: · ID ТК: Сервер Офис ® 1А0Е1А13, · ID ТК: Компьютер_1 (Фурманов) ® 1А0Е000D. - Каждый пользователь, зарегистрированный в коллективах, также получает свой уникальный идентификатор Пользователя: · ID А: Сервер Офис ® 1А0Е0003, · ID А: Фурманова ® 1А0Е000В. - Заметим, что в ТК Компьютер_1 (Фурманов) зарегистрированы три пользователя – Фурманов и пользователи с именами aa и bb. Каждый из пользователей получает свой уникальный идентификатор: · ID аа ® 1А0Е000Е, · ID bb ® 1А0Е000F. Дадим дополнительные комментарии к введенным в таблице 1 определениям. Регистрацией коллективов на Сетевых Узлах и пользователей в коллективах обеспечивается возможность разграничения доступа к шифрованной информации на различных СУ. С этой целью на каждом СУ может быть зарегистрировано несколько разных коллективов, не имеющих доступа к конфиденциальной информации друг друга. В составе каждого коллектива регистрируются пользователи, имеющие одинаковый уровень доступа. Если необходимо запретить доступ к конфиденциальной информации некоторого пользователя, то он должен присутствовать в каком-то коллективе один и этот коллектив должен быть для него Главным коллективом. Каждый пользователь может быть зарегистрирован в ЦУСе в одном или нескольких коллективах на одном или нескольких СУ. Смысл регистрации одного и того же пользователя в нескольких коллективах заключается в том, что пользователь получает на этих СУ доступ к поступившей зашифрованной информации, предназначенной другим пользователям коллективов, в которых он зарегистрирован, и не имеет доступа к зашифрованной информации других коллективов. Например, генеральный директор может быть зарегистрирован одновременно в ТК «Генеральный директор», в который входит он один, в ТК «Руководство», в который, помимо него, входят его заместитель и главный инженер, в ТК «Бухгалтерия», в ТК «Производственный отдел» и т.д.
|
