Ochik kalitlarni boshqarish infratuzilmasi PKI man-in-the-middle hujumlaridan ishonchli himoyalashii amalga oshirishga imkon beruvchi notariuslar tarmog’idan iborat. Notarius orqali foydalanuvchilar orasidagi oddiy ishonch zanjiri (5.2-rasm) bitta notariusga, unga tashrif buyurgan foydalanuvchilarning ochiq kalitlarini, imzolangan sertifikatlarni yaratish yo’li bilan himoyalashga imkon beradi.
Bu tizimning samarali ishlashi quyidagilarga bog’liq:
- o’zaro aloqa ishtirokchilari sertifikatsiya markazi ochiq sertifikatining haqiqiy nusxasiga ega bo’lishlari shart;
- o’zaro aloqa ishtrokchilari ishlatadigan axborotni himoyalash vosi¬talari o’zaro aloqadagi sherigining har qanday sertifikatini sertifikatsiya markazining ochiq, sertifikatidan foydalanib avtomatik tarzda tekshira olishi lozim.
Ba’zida o’zaro aloqadagi sheriklar sertifikatsiya markazidan juda uzoqda bo’lishligi mumkin. Bu holda CA notariuslarining taqsimlangan qatlamlari yaratiladi.
Sertifikatsiyalashning uchta bazaviy modeli farqlanadi:
- sertifikatlarning iyerarxik (shajara) zanjiriga asoslangan ser-tifikatsiyalashning iyerarxik modeli;
- kross-sertifikatsiyalash modeli (o’zaro sertifikatsiyalashni ko’zda tutadi);
- sertifikatsiyalashning tarmoq (gibrid) modeli (iyerarxik va o’zaro sertifikatsiyalash elementlarini o’z ichiga oladi);
Iyerarxik modelda CA lar boshqa CA larga sertifikatlar beruvchi ildiz sertifikatsiya markaziga iyerarxik tobelikda joylashgan (3-rasm).
3.rasm. CAning ikki satxli iyerarxiyasi
Ildiz sertifikatsiya markazining vazifasi tobe CA1 va CA2 larni qaydlashdan iborat.
Har bir CA xavfsizlikning yagona darajasini ta’minlash maqsadida sertifikatsiyalashning berilgan siyosatiga muvofiq ishlaydi. 5.3-rasmda keltirilgan misolda CA notariuslarning yana bir iyerarxik satxi yaratiladi. Notariuslar:
o foydalanuvchilarga o’xshab sertifikatlarini markaziy CAda imzolashadi;
o markaziy CAga o’xshab oddiy foydalanuvchilariing sertifikatla¬rini maxfiy kalitlari bilan, imzolaydilar.
Masofadagi sherikning haqiqiyligini tekshirish mantiqi quyidagiicha quriladi (4-rasm)
4-rasm. Masofadagi abonent sertifikatini tekshirish sxemasi.
foydalanuvchi sherigining sertifikatini olib, uni notanish CA imzolaganini aniqlaydi;
u sherigidan ushbu CAning sertifikatini so’raydi;
CAning sertifikatini olib, uni markaziy CA sertifikati bilan tekshiradi;
muvaffaqiyatli tekshirishdan so’ng foydalanuvchi bu CAga ishona boshlaydi va unnng sertifakat bilan masofadagi foydalanuvchi sertifikatini tekshiradi.
Xuddi shunday tekshirishni ikkinchi sherik ham bajaradi. Muximi, ishlatiladigan axborotni himoyalash tizimlari bunday murakkab iyerarxik tekshirishlarni avtomatik tarzda bajara olsinlar. Tavsiflangan iyerarxik sxemani, zaruriyat tug’ilganda iyerarxiyaning yangi satxlarini kiritib, davom ettirish mumkin.
Do'stlaringiz bilan baham: |