Архітектури ІВК

Власники сертифікату отримують інші сертифікати від ОС в залежності від організації або спільноти, членами якої вони є. ІВК зазвичай складається з багатьох ОС, пов’язаних вивіреними каналами. Вивірений канал пов’язує сторону з одною або кількома вивіреними третіми особами, такими, щоб сторона, яка покладається, могла мати упевненість в дійсності використовуваного сертифікату. Є дві традиційні архітектури ІВК для досягнення цієї мети, а саме: ієрархічна і переплетена. Третій підхід, з’єднана архітектура ОС, був розроблений з метою вирішення проблеми, що стоїть перед організаціями, які шукають шляхів з’єднання своєї ІВК з ІВК їхніх ділових партнерів.

· Ієрархічна

Органи організовані за ієрархією під «кореневим» ОС, який видає сертифікати підлеглим ОС.

Ці ОС можуть видавати сертифікати іншим ОС або користувачам, які знаходяться нижче за них в ієрархії зв’язків. В ієрархічній ІВК кожна сторона, яка покладається, знає відкритий ключ свого кореневого ОС. Будь-який сертифікат можна перевірити, перевіривши канали сертифікації для сертифікатів, починаючи з кореневого ОС.

· Переплетена

Незалежні ОС сертифікують один одного (тобто видають сертифікати один одному), що дає результат загального переплетіння вивірених зв’язків між рівними ОС. Сторона, яка покладається, знає відкритий ключ ОС «біля» неї, і, як правило, того, хто видав її сертифікат.

Сторона, яка полагающаяся, здійснює перевірку сертифікату шляхом перевірки каналу сертифікації, який походить від вивіреного ОС.

Малюнок 1.1 ілюструє ці дві базові архітектури ІВК. В схемі ієрархічної архітектури, ячейка 1 позначає кореневий ОС.

Малюнок 1.1 Традиційні архітектури ІВК

· З’єднувальний ОС

Архітектура з’єднувального ОС була розроблена для зв’язку організаційних ІВК, незалежно від їх архітектури. Вона досягається шляхом введення нового ОС, що називається з’єднувальним, єдиною метою якого є встановлення зв’язків з організаційними ІВК.

На відміну від переплетеного ОС, з’єднувальний ОС не видає сертифікатів прямо користувачам. На відміну від кореневого ОС в ієрархічній структурі, з’єднувальний ОС не призначений для використання в якості точки довіри. Всі користувачі ІВК сприймають з’єднувального ОС як посередника. З’єднувальний ОС встановлює однакові відносини з іншими організаційними ІВК (малюнок 1.2). Ці відносини можуть об’єднуватися для формування мосту довіри, що пов’язує користувачів у різних ІВК.

Якщо для домену довіри використано ієрархічну ІВК, з’єднувальний ОС встановить зв’язок із кореневим ОС. Якщо ж домен працює у вигляді переплетеної ІВК, з’єднувальний ОС вступить у зв’язок тільки з одним з ОС цього домену. В обох випадках ОС, що вступає у вивірені зв’язки із з’єднувальним ОС, називається головним ОС.

Малюнок 1.2 Ілюстрація з’єднувального ОС