P K ln in g m an tiq iy tu zilm a si va a so s iy kom ponentlari.
Rasmda quyidagi belgilashlar qabul qilingan:
- SA - sertifikatsiyalash markazi;
- RA - qaydlash markazi;
- OCSP - joriy sertifikat maqomining protokoli (Online Certificate Status Protocol);
- DIR - X.51I, X.519, DAP, LDAP foydalanish protokollari bo‘yicha direktoriya xizmati. Qaydlash markazi RA
- PKI elementi, qaydlashni amalga oshiruvchi vakil, ya’ni foydalanuvchiga sertifikatni himoyalangan holda berish imkoniyatini ta’minlash maqsadida foydalanuvchilarni autentifikatsiyalashni va ularni qaydlashni amalga oshiradi. Qaydlash markazining xususiyati shundan iboratki, u fimksional nuqtai nazaridan sertifikatsiya markaziga qaraganda foydalanuvchiga yaqinroq. Undan tashqari, aynan qaydlash markazi PKIning o‘zaro aloqaga layoqatligini ta’minlovchi samarali interfeys hisoblanadi. Sertifikatsiya markazi CA
- PKIning elementi (sertifikatlarning ishonchli manbai, notarius), unga sertifikatlami yaratish va/yoki tasdiqlash ishonib topshirilgan.
Sertifikatsiya markazining ishlash sxemasi quyidagicha:
- SA shaxsiy kalitlarini generatsiyalaydi va foydalanuvchilar sertifikatlarini tekshirishga atalgan SA sertifikatlarini shakllantiradilar;
- foydalanuvchilar sertifikatsiyalashga so'rovlami shakllantiradilar va ularni u yoki bu usul bo‘yicha SAga yetkazadi;
- SA foydalanuvchilar so‘rovlari asosida ulaming sertifikatlarini shakllantiradi; - SA bekor qilingan sertifikat ro‘yxatlarini (CRL) shakllantiradi va vaqti-vaqti bilan yangilaydi;
- foydalanuvchi sertiflkatlari, SA sertifikatlari va bekor qilinganlar ro'yxati CRL sertifikatlar markazi tomonidan chop etiladi (foydalanuvchilarga tarqatiladi yoki umumfoydalanuvchi ma’lumotnomaga joylashtiriladi).
PKI bajaradigan funksiyalami shartli ravishda bir necha guruhlarga ajratish mumkin:
- sertifikatlami boshqarish funksiyalari;
-kalitlam i boshqarish funksiyalari;
- qo'shimcha funksiyalar (xizmatlar). Sertifikatlami boshqarish funksiyalariga quyidagilar kiradi:
- qaydlash. Nafaqat funksiyalaming bir qismi, balki PKIning xavfsizligi ham to‘g‘ri qaydlashga va identifikatsiyalashga asoslangan. Foydalanuvchilar sifatida fizik foydalanuvchilar, tatbiqiy dastur, tarmoq qurilmasi va h. ishtirok etishi mumkin. Identifikatsiyalashda ishlatiladigan usullarni sertifikatsiyalash siyosati belgilaydi. Shunday qilib, foydalanuvchilami identifikatsiyalash va qaydlash PKI tizimining minimal to'liq komponentlari hisoblanadi;
- ochiq kalitlami sertifikatsiyalash. Sertifikatsiyalash jarayoniga sertifkatsiyalash markazi SA javob beradi. Mohiyatan, sertifikatsiyalash jara-yoni foydalanuvchi ismini ochiq kalit bilan bog‘lashdan iborat. SA quyidagi harakatlarni bajargan holda foydalanuvchi va pastroq sathdagi SA sertifikatlarini imzolaydi: - foydalanuvchilaming haqiqiyligini tekshirish;
- sertifikatga identifikator berish; - ma’lumotlami sertifikatga kiritish;
- harakat vaqtini (boshlanishi-nihoyasi) o'matish;
- sertifikatni imzolash;
- sertifikatni sertifikatlarning ochiq serverida chop etish. SAning maxfiy kalitini saqlash. Bu tizimning eng nozik nuqtasi. SA maxfiy kalitini obro'sizlantirilishi uning ixtiyoridagi butun tizimni buzadi. SAning maxfiy kaliti joylashgan kompyuter ishonchli qo‘riqlanishi lozim;
- sertifikatlar bazasini saqlash va sertifikatlarni taqsimlash. Tizim ishlashining qulayligini ta’minlash maqsadida foydalanuvchilaming va oraliq SAlaming (eng yuqori sath SAsidan bo‘lak) barcha sertifikatlari sertifikatlar serveri deb ataluvchi umumfoydalanuvchi serverga olib qo‘yiladi. Bu holda foydalanuvchilar abonentning sertifikatini, hatto u tarmoqda vaqtincha bo‘lmagan holda ham olishlari mumkin;
- sertifikatni yangilash. Ushbu jarayon sertifikat ta'siri muddati o‘tgan holda faollashadi va foydalanuvchi ochiq kaliti uchun yangi sertifikatni berishdan iborat boMadi. Agar kalitlar jufti obro‘sizlantirilgan boMsa yoki yangi sertifikat siyosat, kengayish yoki xususiyat atamalarida oldingisidan farqlansa, bu usul ishlatilmaydi. Yaroqlilik muddati davrida sertifikatning ismi va mansubligi (foydalanuvchining boshqa boMimga-o‘tishi) kabi jiddiy boMmagan xususiyatlarining o ‘zgarishi ham sertifikatni oldingi ochiq kalit bilan yangilashni (regeneratsiyalashni) talab etishga olib kelishi mumkin;
- kalitlami yangilash. Foydalanuvchilar yoki uchinchi tomon kalitlaming yangi juftini generatsiyalaganlarida yangi ochiq kalitga mos keluvchi sertifikatni yaratish zarur. Bu usuldan sertifikatni yangilash mumkin boMmagan hollarida ham foydalaniladi;
- sertifikatni qaytarib olish maqomini aniqlash. Ushbu jarayon foydalanuvchiga sertifikatining qaytarib olingan emasligini tekshirishga imkon beradi. Bu jarayon sertifikatning ochiq kalitlar katalogi PKDda (Public Key Directory) va sertifikatlarni qaytarib olish ro‘yxati CRLda (Certificate Revocation List) borligini tekshirish orqali yoki bu masalani yechishga vakolati boMgan uchinchi tomonga so'rov yordamida tashkil etilishi mumkin;
- sertifikatni qaytarib olish. Bu jarayon turli holatlar natijasida xavfsizlikning muayyan siyosatiga bogMiq holda (masalan, kalitlarning obro'sizlantirilishi, ismlaming o‘zgarishi, foydalanishning to‘xtashi va h.) boMishi mumkin;
- kalitlami boshqarish funksiyasi
- kalitlami generatsiyalash va taqsimlash asosiy qism guruhlariga bo’linadi.
Kalitlarni taqsimlash funksiyalari, o‘z navbatida, ochiq kalitlami taqsimlash va tokenlarni personallashtirishga bo‘linadi. Tokenlarni personallashtirishda fizik qurilmalar - tokeniardan foydalanib maxfiy kalitlami va qo‘shimcha ma’lumotlarni saqlash tashkil etiladi; tokenlaming personalizatsiyasi CA, RA va foydalanuvchi tomonidan madadlanishi lozim. Masalan, smart-kartaning personalizatsiyasi o‘rnatish (fayl tizimini yaratish) muolajasini, tasodifiy PIN-kodni yoki parolni tanlash, bu smart-kartaga tegishli barcha ma’lumotlarni yetkazish va saqlashni o‘z ichiga olishi mumkin.
Qo‘shimcha funksiyalar (xizmatlar) guruhi tarkibiga quyidagilar kiradi:
- o'zaro sertifikatsiyalash (turli CAlarda kross-sertifikatsiyalash);
- ochiq kalitni uning unga qo‘yiladigan arifmetik talablarga mos kelishini, ya’ni ochiq kalit haqiqiy ekanligini tekshirish;
- sertifikatni tekshirish; agar foydalanuvchi boshqa foydalanuvchining raqamli imzosiga ishonishni xohlasa va mos sertifikatni tekshiraolmasa, tekshirishni ishonchli uchinchi tomondan iltimos qilishi mumkin;
- arxivlash xizmatlari va h.k
Ochiq kalitlar infratuzilmasi PKI quyidagi qator ilovalar va standartlami madadlaydi:
- ochiq kalit sertifikatlarini madadlovchi vositalar o‘matilgan Linux, FreeBSD, HP-UX, Microsoft Windows, Novell Netware, Sun Solaris ope-ratsion tizimlari;
- ochiq kalit sertifikatlari asosida foydalanuvchilami autentifikatsiyalash mexanizmini madadlovchi ma’lumotlar bazasini boshqarish tizimlari, xususan, Oracle, DB2, Informix, Sybase;
- IP protokoli asosida amalga oshiriluvchi virtual himoyalangan tarmoqlami (VPN) tashkil etish vositalari, xususan, Cisco Systems, Nortel Network kompaniyalarining telekommunikatsiya asbobuskunalari hamda ixtisoslashtirilgan dasturiy ta’minot;
- elektron hujjat aylanishi tizimlari, masalan, Lotus Notes, Microsoft Exchange hamda himoyalangan pochta almashish standarti S/MIMEni madadlovchi pochta tizimlari;
- Microsoft Active Directory, Novell NDS, Netscape iPlanet kataloglarining xizmati;
- SSL standarti asosida amalga oshiriluvchi Web-resurslardan foydalanish tizimlari.
- foydalanuvchilami autentifikatsiyalash tizimlari, xususan, RSA kompaniyasining SecurlD va h. k
0 ‘z navbatida, ochiq kalitlar infratuzilmasi sanab o‘tilgan funksional sohalami integratsiyalashi mumkin. Natijada, ochiq kalitlar infratuzilmalarini kompaniya axborot tizimiga integratsiyalash va umumiy standartlar va ochiq kalit sertifikatlaridan foydalanish yoMi bilan axborot xavfsizligining kompleks tizimini yaratish mumkin. Yuqorida keltirilganlar ochiq kalitlar infratuzilmasini yaratish va madadlash xizmatlari ahamiyatini oshishiga olib keladi.
XULOSA
Tez rivojlanib borayotgan kompyuter axborot texnologiyalari bizning kundalik xayotimizning barcha jabxalarida sezilarli o’zgarishlarni olib kirmokda. Xozirda “axborot tushunchasi” sotib olish, sotish, biror boshka tovarga almashtirish mumkin bulgan maxsus tovar belgisi sifatida tez-tez ishlatilmokda. Shu bilan birga axborotning baxosi kup xollarda uning uzi joylashgan kompyuter tizimining baxosida bir necha yuz va ming barobarga oshib ketmokda. SHuning uchun tamomila tabiiy xolda axborotni unga ruxsat etilmagan xolda kirishdan, kasddan o’zgartirishdan, uni ugirlashdan, yo’qotishdan va boshka jinoiy xarakterlardan ximoya qilishga kuchli zarurat tugiladi.
Kompyuter tizimlari va tarmoqlarida axborotni ximoya ostiga olish deganda, berilayotgan, saqlanayotgan va qayta ishlanilayotgan axborotni ishonchliligini tizimli tarzda ta’minlash maksadida turli vosita va usullarni kullash, choralarni kurish va tadbirlarni amalga oshirishni tushunish kabul qilingan.
FOYDALANILGAN ADABIYOTLAR :
1. S.K.G‘aniyev, M.M. Karimov. Hisoblash sistemalari va tarmoqlarida informatsiya himoyasi. Oliy o‘quv yurt.talab. uchun o‘quv qoMlanma. —Toshkent Davlat texnika universiteti, 2003.
3. В.И. Завгородныш. Комплексная защита информации в компьютерных системах: Учебное пособие. - М.: Логос; ПБОЮЛ Н.А.Егоров, 2001.
4. Г.Н. Устинов. Основы Информационной безопасности систем и сетей передачи данных. Учебное пособие. Серия «Безопасность». - М.:СИНТЕГ, 2000.
Do'stlaringiz bilan baham: |