OCHIQ KALITLARNI BOSHQARISH INFRATUZILMASINING MANTIQIY TUZILMASI VA KOMPONENTLARI Ochiq kalitlarni boshqarish infratuzilmasi RKI ning asosiy vazifalari quyidagilar:
- raqamli kalitlar va sertifikatlarning xayot siklini madadlash (ya’ni kalitlarni generatsiyalash, sertifikatlarni yaratish va imzolash, ularni taqsimlash va x.k);
- obro’sizlantirish faktlarini qaydlash va chaqirib olingan sertifikatlarning "qora" ro’yxatini chop etish;
- foydalanuvchining tizimdan foydalanish vaqtini imkoni boricha kamaytiruvchi identifikatsiyalash va autentifikatsiyalash jarayonlarini madadlash:
- mavjud ilovalar va xavfsizlik qism tizimining barcha komponentlarini integratsiyalash mexanizmini (PKIra asoslangan) amalga oshirish;
- barcha foydalanuvchilar va ilovalar uchun bir xil va tarkibida bar¬cha zaruriy kalit komponentlari va sertifikatlar bo’lgan xavfsizlikning yagona tokenidan foydalanish imkoniyatini taqdim etish.
Xavfsizlik tokeni - foydalanuvchining tizimdagi barcha huquqlari va qurshovini aniqlovchi xavfsizlikning shaxsiy vositasi, masalan smart- karta.
5-rasmda ochiq kalitlarni boshqarish infratuzilmasining mantiqiy tuzilmasi va asosiy komponentlari keltirilgan.
5. rasm. PKIning mantiqiy tuzilmasi va asosiy komponentalari
Rasmda quyidagi belgilashlar qabul qilingan:
- CA sertifikatsiyalash markazi;
- RA - qaydlash markazi;
- OCSP – joriy sertifikat makomining protokoli (Online Certifi¬cate Status Protocol);
- DIR - X.511, X.519, DAP, LDAP foydalanish protokollari bo’yicha dirketoriya xizmati.
Qaydlash markazi RA - PKI elementi, qaydlashni amalga oshiruvchi vakil, ya’ni foydalanuvchiga sertifikatni himoyalangan xolda berish imkoniyatini ta’minlash maqsadida foydalanuvchilarni autentifikatsiyalashni va ularni qaydlashni amalga oshiradi. Qaydlash markazining xususiyati shunday iboratki, u funksional nuqtai nazaridan sertifikatsiya markaziga qaraganda foydalanuvchiga yaqinroq. Undan tashqari aynan qaydlash markazi RKIning o’zaro aloqaga layoqatligini ta’minlovchi samarali interfeys xisoblanadi.
Sertifikatsiya markazi CA - RKIning elementi (sertifikatlarning ishonchli manbai, notarius), unga sertifikatlarni yaratish va/yoki tasdiqlash ishonib topshirilgan. Sertifikatsiya markazining ishlash sxemasi quyidagicha:
- CA shaxsiy kalitlarini generatsiyalaydi va foydalanuvchilar sertifikatlarini tekshirishga atalgan CA sertifikatlarini shakllantiradi;
- foydalanuvchilar sertifkatsiyalashga so’rovlarni shakllantiradilar va ularni u yoki bu usul bo’yicha CAga yetkazadi;
- CA foydalanuvchilar so’rovlari asosida ularning sertifikatlarini shakllantiradi;
- CA bekor qilingan sertifikatlar ro’yxatlarini (CRL) shakllan¬tiradi va vaqti-vaqti bilan yangilaydi;
- foydalanuvchi sertifikatlari, CA sertifikatlari va bekor qilinganlar ro’yxati CRL sertifikatlar markazi tomonidan chop etiladi (foydalanuvchilarga tarqatiladi yoki umumfoydalanuvchi ma’lumotnomaga joylashtiriladi).
PKI bajaradigan funksiyalarni shartli ravishda bir necha guruxlarga ajratish mumkin:
- sertifikatalarni boshqarish funksiyalari;
- kalitlarni boshqarish funksiyalari;
- qo’shimcha funksiyalar (xizmatlar).
Sertifikatalarni boshqarish funksiyalariga quyidagilar kiradi:
- qaydlash. Nafaqat funksiyalarning bir qismi, balki RKIning xavfsizligi ham to’g’ri qaydlashga va identifkatsiyalashga asoslangan. Foyda¬lanuvchilar sifatida fizik foydalanuvchilar, tatbiqiy dastur, tarmoq qurilmasi va x.k ishtirok etishi mumkin. Identifikatsiyalashda ishlatiladigan usullarni sertifkatsiyalash siyosati belgilaydi. Shunday qilib, foydalanuvchilarni identifikatsiyalash va qaydlash PKI tizimining minimal to’liq komponentlari hisoblanadi;
- ochiq kalitlarni sertifikatsiyalash. Sertifikatsiyalash jarayoniga sertifkatsiyalash markazi CA javob beradi. Moxiyatan, sertifikatsiyalash jarayoni foydalanuvchi ismini ochiq kalit bilan bog’lashdan iborat.
CA quyidagi xarakatlarni bajargan xolda foydalanuvchi va pastroq satxdagi CA sertifikatlarini imzolaydi:
- foydalanuvchilarning haqiqiyligini tekshirish;
- sertifkatga identifikator berish;
- ma’lumotlarni sertifkatga kiritish;
- xarakat vaqtini (boshlanish-nixoyasi) o’rnatish;
- sertifikatni imzolash;
- sertifkatni sertifikatlarning ochiq serverida chop etirish.
CAning maxfiy kalitini saqlash. Bu tizimning eng nozik nuqtasi. CA maxfiy kalitini obro’sizlantirilishi uning ixtiyoridagi butun tizimni buzadi. CAning maxfiy kaliti joylashgan kompyuter ishonchli qo’riqlanishi lozim;
- sertifikatlar bazasini saqlash va sertifkatlarni taqsimlash. Tizim ishlashining qulayligini ta’minlash maqsadida foydalanuvchilar¬ning va oraliq SAlarning (eng yuqori satx SAsidan bo’lak) barcha sertifkatlari sertifikatlar serveri deb ataluvchi umumfoydalanuvchi serverga olib qo’yiladi. Bu xolda foydalanuvchilar abonentning sertifikatini, xatto u tarmoqda vaqtincha bo’lmagan holda ham, olishlari mumkin;
- sertifikatni yangilash. Ushbu jarayon sertifikat ta’siri muddati o’tgan xolda faollashadi va foydalanuvchi ochiq kaliti uchun yangi serti¬fikatni berishdan iborat bo’ladi. Agar kalitlar jufti obro’sizlantirilgan bo’lsa yoki yangi sertifikat siyosat, kengayish yoki xususiyat atamalarida oldingisidan farqlansa bu usul ishlatilmaydi. Yaroqchilik muddati davrida sertifikatning ismi va mansubligi (foydala¬nuvchining boshqa bo’limga o’tishi) kabi jiddiy bo’lmagan xususiyatlarining o’zgarishi ham sertifikatni oldingi ochiq, kalit bilan yangilashni (regeneratsiyalashni) talab etishga olib kelishi mumkin.
- kalitlarni yangilash. Foydalanuvchilar yoki uchinchi tomon kalitlarning yangi juftini generatsiyalaganlarida yangi ochiq kalitga mos keluvchi sertifikatni yaratish zarur. Bu usuldan sertifikatni yangilash mumkin bo’lgan hollarida ham foydalaniladi;
- sertifikatni qaytarib olish maqomini aniqlash. Ushbu jarayon foydalanuvchiga sertifikatining qaytarib olingan emasligini tekshirishga imkon beradi. Bu jarayon sertifikatning ochiq kalitlar katalogi RKDda (Public Key Directory) va sertifikatlarni qaytarib olish ro’yxati CRLda (Certificate Revocation List) borligini tekshirish orqali yoki bu masalani yechishga vakolati bo’lgan uchinchi tomonga so’rov yordamida tashkil etilishi mumkin.
- sertifikatni qaytarib olish. Bu jarayon turli xolatlar natijasida xavfsizlikning muayyan siyosatiga bog’liq holda (masalan, kalitlar- ning obrusizlantirilishi, ismlarning uzgarishi, foydalanishning tuxtashi va x,.) bo’lishi mumkin.
- kalitlarni boshsarish funksiyasi - kalitlarni generatsiyalash va taqsimlash asosiy qism guruxlariga bo’linadi.
Kalitlarni taksimlash funksiyalari o’z navbatida ochiq kalitlarni taqsimlash va tokenlarni personallashtirishga bo’linadi.
Tokenlarni personallashtirishda fizik qurilmalar - tokenlardan foydalanib maxfiy kalitlarni va qo’shimcha ma’lumotlarni saqlash tash¬kil etiladi; tokenlarning personalizatsiyasi CA, RA va foydalanuvchi tomonidan madadlanishi lozim. Masalan, smart-kartaning personalizatsiyasi o’rnatish (fayl tizimini yaratish) muolajasini, tasodifiy PIN-kodni yoki parolni tanlash, bu smart-kartaga tegishli barcha ma’lumotlarni yetkazish va saqlashni o’z ichiga olishi mumkin.
Qo'shimcha funksiyalar (xizmarlar) guruhi tarkibiga quyidagilar kiradi:
- o’zaro sertifikatsiyalash (turli CAlarda kross-sertifikatsiyalash);
- ochiq kalitni uning unga qo’yiladigan arifmetik talablarga mos kelishini, ya’ni ochiq kalit haqiqiy ekanligini tekshirish;
- sertifikatni tekshirish; agar foydalanuvchi boshqa foydalanuvchi¬ning raqamli imzosiga ishonishni xoxlasa va mos sertifikatni tekshira-olmasa, tekshirishni ishonchli uchinchi tomondan iltimos qilishi mumkin;
- arxivlash xizmatlari va x-k.
