ساختار سلسله مراتبی زیرساخت کلید عمومی PKI

زیرساخت کلید عمومی

زیرساخت کلید عمومی مجموعه ای از فرایندها و سیستمهای نرم افزاری و سخت افزاری است که  بر اساس رمزنگاری کلید عمومی، امنیت سرویسهای مدیریت گواهی را تضمین میکند. مطابق با آیین نامه اجرایی ماده 32 قانون تجارت الکترونیک، مدل سلسله مراتبی که از شورای سیاست گذاری گواهی الکترونیکی کشور، مرکز دولتی صدور گواهی الکترونیکی ریشه ( که به عنوان نقطه اعتماد می باشد ) و مراکز صدور گواهی الکترونیکی میانی زیرین ( که به عنوان معماری زیرساخت کلید عمومی کشور  می باشد)  تشکیل شده است را، تصویب کرده است.


ساختار PKI، ساختاری سلسله مراتبی می باشد که تعداد CA هایی که در PKI وجود دارند و نیز روابط اعتمادی که بین آنها حاکم می باشد، را مشخص می نماید. از آنجا که زیرساختار CA شامل سلسله مراتبی است که در میان هر یک از آنها درجه اعتمادی وجود دارد، بنابراین هرکدام از آنها قادر به احراز هویت گواهی های همدیگر هستند. بنابراین پیاده سازی ساختار PKI ، نیاز به تعیین انواع  CA و نقشهای آنها و همچنین تعداد CA هایی که  مورد نیاز است را، دارد.


Root CA:

مرکز صدور گواهی ریشه ( Root CA ) در راس ساختار قرار گرفته است که این مرکز، سایر CAها را به عنوان زیرمجموعه ای از CA ریشه، انتخاب می نماید و نیز مورد تایید و پذیرش قرار میدهد. همچنین گواهیهایی که در مجموعه CA صادر و منتشر میشود را، مدیریت می نماید و نیز مسئولیت صدور گواهی برای مراکز میانی CA را برعهده دارد. در Root CA ، هیچ شخصی قادر نخواهد بود به کلیدهای خصوصی دسترسی پیدا کند، بنابراین مسئولیت اعطای گواهی دیجیتالی را به CA های دیگر واگذار می کند. این مرکز، امنیت فوق العاده بالایی دارد، در واقع مرکز صدور گواهی ریشه، تنها برای مراکز میانی  CA گواهی صادر می نماید.


در واقع مرکز صدور گواهی ریشه، در بالاترین سطح از سلسله مراتب ساختار PKI قرار دارد و به عنوان بنیان اصلی مدل اعتماد شناخته می شود. بنابراین از آنجا که مرجع بالاتر از CA ریشه وجود ندارد، Root CA برای خود نیز گواهی صادر می کند. همه زنجیره هایی که در ساختار PKI وجود دارد ، در آخر به مرکز صدور گواهی ریشه منتهی می گردد و همه سازمان های وابسته  و Clientها موظفند به Root CA اعتماد نمایند زیرا که CAریشه، مهمترین و اساسی ترین رکن در ساختار سلسله مراتبی PKI می باشد و با ایجاد اختلال در Root CA، تمامی CAهای وابسته در این ساختار نیز دچار اختلال خواهند شد.


Subordinate CA :

Subordinate CA یا CA های وابسته، در سطح پایینتری بعد از Root CA قرار می گیرند. Subordinate CA هایی که بدینگونه بعد از Root CA در بالاترین سطح از این ساختار می باشند، Intermediate CA نامگذاری می شوند که در واقع این CAهای میانی، برای سایر CAهایی که در سطوح پایینتر قرار دارند، CAمرجع می باشند و برای Root CA، همان  Subordinate CA می باشند. Intermediate CAها، گواهی خود را از CAریشه می گیرند و می توانند برای حصول اطمینان از درستی CAهای میانی دیگر، از کلیدی که از ریشه دریافت می نمایند، استفاده کنند.

Intermediate CA ها، قابلیت جداسازی کلاس هایCertificate را نیز دارند.


Issuing CA :

در سطح پایینتر از Subordinate CA، مراکز صادرکننده گواهی که همان Issuing CAها می باشند، قرار می گیرند، که این مراکز برای کاربران، گواهی صادر می نمایند و به صورت مداوم در حالت آنلاین قرار دارند.


RA :

پایینترین سطح در ساختار سلسله مراتبی مدل اعتماد، سامانه های ثبت درخواست RA می باشند. RAها زیرنظر CA های صادرکننده Certificate، می باشند. مراکز ثبت نام RA، تحت هیچ شرایطی Certificate صادر نمی کنند، بلکه مسئولیت احراز هویت کاربرانی را دارند که درخواست گواهی دارند. همچنین درخواست ابطال گواهی برای کاربران را ثبت می کنند و نیز مراکز ثبت نام RA، نمی توانند CRL تولید کنند. همچنین درخواست تجدید کلید توسط مراکز ثبت نام RA انجام می شود.


لینکهای مرتبط :

سامانه های ثبت درخواست RA

مرکز صدور گواهی ریشه CA

امضای الکترونیک

Posted in توکن و امضای الکترونیکی on Nov 05, 2018