Ασφάλεια πληροφοριακών και επικοινωνιακών συστημάτων με χρήση υπηρεσιών έμπιστης τρίτης οντότητας: λειτουργικά, αρχιτεκτονικά και οργανωτικά ζητήματα

Abstract

The services provided by a Trusted Third Party play an important role in the assurance of the security characteristics of an Information System. The participation of a TTP in the environment of the IS causes direct or indirect modifications in the interactions between its elements. All the aspects that compose the functions of a TTP as an organization, are analysed in this context. During the study of the general principles it is concluded that the TTP plays an important role in the proactive control of the potential threats against an IS. The conflicts between policies adopted by different TTPs, the transitivity of trust and various technological incompatibilities cause serious interoperability problems. The policies consist a powerful mean of preserving the interoperability and the proposed meta-policy development system solves their conflicts. Trust is transitive and multiform and consists a fundamental principle for the existence and the operation of a TTP. The functional and technological aspects of the TTP operations are examined and the general, functional and ethical user requirements are listed. Successively, the services provided by the TTP in order to satisfy the user needs, are described in detail. Furthermore, a model for key administration and a model for privilege management are proposed. The design of a logical architecture for the Public Key Infrastructure is then approached in three abstraction levels. The proposed architecture is extensible, scaleable, flexible, based on standards and useful across national and application domains. The considerable and multiple role of the middleware technologies in the formation of an open, distributed architecture, is distinguished. Finally, the organizational aspects are analysed, where the quality assurance is examined under two perspectives: The quality of the management of the internal organisation and the quality of service.

Οι υπηρεσίες Έμπιστης Τρίτης Οντότητας διαδραματίζουν σημαντικό ρόλο στη διασφάλιση των χαρακτηριστικών ασφάλειας ενός Πληροφοριακού Συστήματος. Η συμμετοχή της ΕΤΟ στο περιβάλλον του ΠΣ δημιουργεί άμεσες ή έμμεσες τροποποιήσεις στις αλληλεπιδράσεις μεταξύ των στοιχείων του. Στο παρόν κείμενο αναλύονται όλες οι συνιστώσες που συνθέτουν τη λειτουργία μίας ΕΤΟ. Κατά τη μελέτη των γενικών αρχών λειτουργίας διαπιστώνεται ότι η ΕΤΟ κατέχει ένα σημαντικό ρόλο στην προληπτική αντιμετώπιση των δυνητικών απειλών. Παράλληλα, μελετώνται τα προβλήματα διαλειτουργικότητας που οφείλονται σε συγκρούσεις των πολιτικών που υιοθετούνται από κάθε ΕΤΟ, στη μεταβατικότητα της εμπιστοσύνης και σε πιθανές τεχνολογικές ασυμβατότητες. Οι πολιτικές αποτελούν ένα ισχυρό μέσο διασφάλισης της διαλειτουργικότητας και προτείνεται ένα σύστημα ανάπτυξης μεταπολιτικών για την επίλυση των μεταξύ τους συγκρούσεων. Ως θεμελιώδης για την ύπαρξη και τη λειτουργία μίας ΕΤΟ διαπιστώνεται η έννοια της εμπιστοσύνης η οποία χαρακτηρίζεται ως προαιρετικά μεταβατική και επιλεκτική. Εξετάζεται η λειτουργική - τεχνολογική συνιστώσα, διατυπώνονται οι γενικευμένες, λειτουργικές και δεοντολογικές απαιτήσεις των χρηστών και περιγράφονται ολοκληρωμένα οι υπηρεσίες προστιθέμενης αξίας που παρέχονται από μία ΕΤΟ για την ικανοποίηση των απαιτήσεων. Προτείνονται επιπλέον ένα μοντέλο διαχείρισης κλειδιών και ένα μοντέλο διαχείρισης δικαιωμάτων από την πλευρά της ΕΤΟ. Στη συνέχεια προσεγγίζεται σε τρία αφαιρετικά επίπεδα ο σχεδιασμός μίας λογικής αρχιτεκτονικής Υποδομής Δημόσιου Κλειδιού, η οποία είναι επεκτάσιμη, βασισμένη σε πρότυπα, ευέλικτη και εφαρμόσιμη κατά μήκος διαφορετικών εθνικών και διοικητικών συνόρων και επιχειρησιακών τομέων. Διαπιστώνεται ο πολλαπλός και σημαντικός ρόλος των υπηρεσιών μέσου επιπέδου στη διαμόρφωση μία ανοικτής κατανεμημένης αρχιτεκτονικής. Τέλος, αναλύεται η οργανωτική συνιστώσα, όπου η διασφάλιση της ποιότητας της ΕΤΟ εξετάζεται από δύο οπτικές γωνίες: Την ποιότητα της εσωτερικής οργάνωσης της ΕΤΟ και την ποιότητα των παρεχόμενων υπηρεσιών.