Формирование ключей при первоначальном развертывании сети

Развертывание сети начинается с создания необходимой конфигурации в Центре управления сетью, который формирует набор различных справочников для УКЦ. После этого начинается процесс формирования ключей в УКЦ.

- При каждом запуске УКЦ осуществляется выбор источника генерации случайных чисел и инициализируется программный датчик случайных чисел.

- При первоначальном запуске УКЦ формируются три различных мастер-ключа этой сети (для формирования ключей обмена коллективов, для формирования ключей защиты ключей обмена и для формирования персональных ключей), а также ключ защиты мастер-ключей. Мастер-ключи шифруются на ключе защиты мастер-ключей и в таком виде сохраняются на жестком диске. Ключ защиты мастер-ключей шифруется на персональном ключе администратора УКЦ и в таком виде сохраняется на его дискете или ином носителе. Персональный ключ администратора УКЦ шифруется на парольном ключе и в таком виде сохраняется на его дискете или игом носителе. Пароль в дальнейшем может изменяться. Пароль забывать нельзя, иначе администратор УКЦ не сможет войти в систему. Если к этому моменту он не успеет делегировать свои полномочия другому администратору УКЦ, то потребуется полная смена мастер-ключей, а значит и всех ключей в системе.

- При формировании дискеты администратора УКЦ также создается его ЭЦП. ЭЦП будет использоваться для подписи (сертификации) открытых ключей ЭЦП других пользователей.

- Формируются индивидуальные ключи и пароли для каждого пользователя сети. Индивидуальная ключевая информация, а также ключи для связи с ЦУСом, УКЦ и своим координатором заносится на ключевые дискеты или другие персональные носители для каждого абонента в зашифрованном на персональном ключе виде вместе с этим персональным ключом. Персональный ключ шифруется на парольном ключе. Вся сформированная ключевая информация передается в файле-дистрибутиве.

- Для каждого пользователя формируется некоторое количество резервных персональных ключей (с очередным вариантом) в зашифрованном на первоначальном парольном ключе виде. Эта информация заносится на отдельные от ключевой дискеты индивидуальные носители для каждого пользователя и не используется в процессе эксплуатации системы. Данные ключи в дальнейшем могут использоваться для дистанционного обновления ключей на ключевой дискете пользователя, в случае компрометации действующей ключевой дискеты этого пользователя.

- Для каждого узла формируются файлы-склейки, содержащие все основные массивы ключевой информации (ключи обмена), зашифрованные на индивидуальных ключах абонентов для взаимодействия между коллективами, зашифрованные на ключах, содержащихся на ключевых дискетах. Эти файлы автоматически попадают в ЦУС в ЦУС для автоматической рассылки. При необходимости эта информация также может быть включена в состав ключевого дистрибутива, передаваемого пользователю.

На этом первичное формирование ключевой информации в УКЦ можно считать завершенным.

После инсталляции программного обеспечения узла с использованием ключевого дистрибутива, если имеется не весь необходимый набор ключевой информации и адресных справочников доступа, производится соединение с ViPNet-координатором и загрузка всей необходимой информации.

Формирование ключей в связи с изменением структуры сети (модификацией)

Структура сети может изменяться:

- при добавлении или удалении объектов своей сети, изменении их связей, регистрации пользователей в других коллективах и др.

- при установлении взаимодействия с другой сетью или изменениями структуры связей, в части узлов, связанных с другой сетью.