Smart Token

703 views

Published on

This Document is about Computer Security in Public Key Infrastructure and Smart Token Technology .

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
703
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Smart Token

  1. 1. بسم الّله الرّحمن الرّحیم<br />توکن های هوشمند<br />امنيت و ...<br />مريم ملاحسينی<br />8861083<br />1<br />زمستان 1389<br />
  2. 2. تاریخچه پیدایش<br />مزایا و قابلیت‌ها <br />زیرساخت کلید عمومی<br />امنیت مبتنی بر PKI<br />توکن‌های هوشمند<br />امنیت مبتنی بر توکن<br />معرفیPKCS#11<br />2<br />
  3. 3. 3<br />تاریخچه پیدایش<br />كارت‌هاي هوشمند و توكن‌هاي هوشمند USB به عنوان رايج‌ترين توكن‌هاي سخت‌افزاري امروزي شناخته مي‌شوند. كارت‌هاي هوشمند كه پيدايش اولين نمونه‌هاي آن به اواخر دهه 70 ميلادي در اروپا (فرانسه) باز مي‌گردد. در مقايسه با توكن‌هاي هوشمند USB كه اولين نمونه‌هاي آن در اواخر دهه 90 ميلادي توليد شدند، از قدمت بسيار بيشتري برخورداراند.‌ <br />
  4. 4. 4<br />مزایا و قابلیت‌های توکن هوشمند<br /><ul><li>نگهداري امن و جلوگيري از دسترسي غير مجاز به داده‌ها و اطلاعات حساس كاربر
  5. 5. امكان انجام اعمال رمزنگاري مانند رمزگذاري و يا امضانمودن داده‌ها بصورت سخت‌افزاري
  6. 6. امكان دسترسي امن و مجاز به برنامه‌هاي كاربردي مختلف
  7. 7. راه‌حل‌های امنیتی
  8. 8. احراز هویت موثر كاربر</li></li></ul><li>اينكه توكن‌هاي سخت‌افزاري به چه ميزان در برابر دسترسي‌هاي غير مجاز مقاوم هستند و مانع از دسترسي افراد غير مجاز به اطلاعات محرمانه موجود در خود مي‌گردند، موضوعي است كه جزء ويژگي‌هاي كليدي اين توكن‌ها محسوب مي‌گردد. به واقع امنيت توكن‌هاي سخت‌افزاري در برابر انواع حملات افراد غير مجاز جهت دسترسي و استفاده از اطلاعات موجود در توكن، از اهميت ويژه‌اي برخوردار است. در اين زمينه استانداردهاي مختلف امنيتي در دنيا وجود دارد كه امروزه توكن‌هاي سخت‌افزاري سعي در پشتيباني هرچه بيشتر اين استاندارها دارند. <br />5<br />راه حل‌های امنیتی<br />PKI Based<br />Security Solution<br />Smart Token Based<br />
  9. 9. 6<br />چهارچوب زیرساخت کلید عمومی<br />امروزه رمزنگاري نامتقارن و ساير راه‌حل‌هاي وابسته به آن چهارچوب و بستر امني را مهيا نموده‌است كه با استفاده از آن‌ها بخش عمده‌اي از دغدغه‌هاي امينتي در سيستم‌هاي اطلاعاتي قابل رفع و يا حداقل كاهش جدي مي‌باشند. اين چهارچوب و بستر كه امروزه PKI يا چهارچوب رمزنگاري مبتني بر كليد عمومي (Public Key Infrastructure) ناميده مي‌شود،‌ بطور بالقوه مي‌تواند بستر امنيتي مناسبي را در اختيار كاربران سيستم‌هاي اطلاعاتي فراهم نمايد.<br />
  10. 10. 7<br />دستاوردهای زیرساخت کلید عمومی<br />
  11. 11. 8<br />زیرساخت کلید عمومی و گواهی دیجیتال<br />از مهمترين دغدغه‌ها و مشكلات مطرح در رمزنگاري نامتقارن مي‌توان به مسئله توزيع مناسب كليد عمومي و جلوگيري از خطاها و سوء استفاده‌هاي احتمالي افراد خرابكار و همچنين محافظت از كليد خصوصي توسط فرد صاحب كليد، بطوريكه امكان نفوذ و دسترسي ساير افراد به آن وجود نداشته باشد، اشاره نمود. امروزه چهارچوب PKI با استفاده از مفهوم گواهي ديجيتال و مراكز صادركننده گواهي‌هاي ديجيتال مشكل اول كه همان توزيع مناسب كليد عمومي افراد باشد را حل نموده‌اند و در حقيقت مراكز صادركننده گواهي ديجيتال از مهمترين عناصر چهارچوب PKIمي‌باشند. هرچند تا مدت‌ها مشكل دوم و چگونگي نگهداري از كليد خصوصي محل بحث‌هاي فراوان بود ولي امروزه توكن‌هاي هوشمند مشكل نگهداري امن و مطمئن كليد خصوصي افراد را حل نموده‌اند.<br />
  12. 12. 9<br />رمزنگاری نامتقارن<br />Cleartext<br />Cleartext<br />Public<br />Key<br />Private<br />Key<br />ENCRYPT<br />(LOCK)<br />DECRYPT<br />(UNLOCK)<br />Ciphertext<br />Ciphertext<br />(Sender)<br />(Receiver)<br />
  13. 13. 10<br />خدمات امضای دیجیتال<br />گیرنده می‌تواند مطمئن باشد که اطلاعات حین انتقال تغییر نیافته‌است.<br />گیرنده می‌تواند مطمئن باشد که فرستنده اطلاعات کیست.<br />امضا كننده نمی‌تواند امضای اطلاعات را انکار نماید.<br />
  14. 14. 11<br />PKI<br />گیرنده<br />فرستنده<br />سفارش<br />مهم<br />مهم<br />مهم<br />آقای الف<br />PUk<br />Verify?<br />PRk<br />=<br />ن/*%&6ال<br />ن/*%&6ال<br />Hash<br />RSA<br />RSA<br />Hash<br />PUk<br />ن/*%&6ال<br />معادل هش<br />نامتقارن<br />نامتقارن<br />سفارش<br />مهم<br />مهم<br />مهم<br />آقای الف<br />سفارش<br />مهم<br />مهم<br />مهم<br />آقای الف<br />$$$؟؟/*%<br />$$$؟؟/*%<br />امضای دیجیتال<br />PUk<br />Internet<br />Intranet<br />نحوه امضای دیجیتال یک پیام<br />PUk<br />
  15. 15. 12<br />امنيت مبتني بر زیرساخت کلید عمومی<br />امن‌سازي هر برنامه كاربردي يا نرم‌افزارها و سخت‌افزارهاي مورد استفاده در سيستم‌هاي اطلاعاتي مقوله‌اي كاملا متفاوت از صرف ايجاد و توسعه آنها مي‌باشد. در واقع اگر در طراحي و ساخت نرم‌افزارها و سخت‌افزارها موارد امنيتي ملاحظه و اجرا نشده‌باشد، هيچ نرم‌افزار و سخت‌افزاري به خودي خود امن نخواهد بود. بسياري از سيستم‌هايي كه امروز مورد استفاده قرار مي‌گيرند امن نيستند و به‌منظور افزودن موارد امنيتي به آن‌ها بايد پروسه تحليل، ‌طراحي و ساخت راه حل امنيتي مربوطه را با صرف و تخصيص منابع مورد نياز به اجرا درآورد. <br />جهت استفاده از راه‌حل امنيتي چهارچوب زیرساخت کلید عمومی نيز بايد برنامه‌هاي كاربردي را به خدمات امنيتي چهارچوب PKI مجهز نمود و به‌عبارتي آن‌ها را PK-Enabled نمود. هيچ محصولي به خودي خود امكان استفاده از خدمات امنيتي چهارچوب PKI را ندارد و به عبارتي هرمحصولي PK-Enabled نيست.<br />
  16. 16. 13<br />چهارچوب PKI وتوکن های هوشمند <br />توكن‌هاي هوشمند امروزه علاوه بر امكان مهم نگهداري امن كليد خصوصي و ساير اطلاعات حساس كاربر، امكان انجام سخت‌افزاري رمزگذاري با الگوريتم‌هاي رمزنگاري نامتقارن را نيز دارا مي‌باشند. تا مدت‌ها الگوريتم‌هاي مهم مورد استفاده دررمزنگاري نامتقارن مانند الگوريتم‌هاي رمزگذاري، رمزگشايي و همچنين توليد و بررسي امضاء ديجيتال مشكل كارايي و استفاده در موارد كاربرد عملي را دارا بودند. در واقع اجراي اين الگوريتم‌ها بصورت نرم‌افزاري فوق‌العاده زمان‌بر و كند و همچنين ناامن بودند؛‌ ولي امروزه توكن‌هاي هوشمند امكان انجام سخت‌افزاري اين اعمال را به شكل كاملا كارا، موثر و امن فراهم نموده‌اند.<br />
  17. 17. 14<br />نگهداری امن کلیدهای خصوصی<br />چهارچوب PKI وتوکن های هوشمند<br /> يكي از قابليت‌هاي مهم توكن‌هاي هوشمند امكان نگهداري امن اطلاعات حساس كاربر مي‌باشد؛ در نتيجه امكان نگهداري كليد خصوصي به‌عنوان مهمترين و حساس‌ترين اطلاع كاربر نيز در توكن‌هاي هوشمند ميسر خواهد بود و بدين ترتيب استفاده از توكن‌هاي هوشمند در كنار چهارچوب PKI‌ بستري را فراهم مي‌نمايد كه از نظر امنيتي سطح بسيار قابل قبولي از امنيت و اطمينان را در اختيار كاربران سيستم‌هاي اطلاعاتي قرار خواهد داد. در حقيقت دغدغه چگونگي محافظت از كليد خصوصي كه از دغدغه‌هاي سنتي در چهارچوب PKI‌ بوده‌است. بدين ترتيب به شكل بسيار مناسبي مرتفع مي‌گردد. تهيه و استفاده از اين توكن‌هاي هوشمند نيز همانطور كه اشاره شده، بدليل قيمت مناسب و همچنين سهولت استفاده براي كاربران عادي سيستم‌هاي اطلاعاتي نيز به سادگي ميسر مي‌باشد.<br />
  18. 18. چيپ هوشمند در واقع اصلي‌ترين و مهمترين عنصر موجود در كارت‌ها و يو‌اس‌بي توكن‌هاي هوشمند مي‌باشد. امروزه با وجود اين چيپ‌هاي هوشمند درحقيقت كارت‌ها و توكن‌هاي هوشمند به نوعي يك ميني كامپيوتر هستند كه با سيستم عامل خاص خود امكان پردازش و ذخيره‌سازي اطلاعات را به شيوه‌اي كاملا امن، به همراه انجام موثر اعمال رمزنگاري در اختيار كاربر قرار مي‌دهند.<br />15<br />چیپ هوشمند<br />
  19. 19. در يك چيپ هوشمند امروزي معمولا اجزاي اصلي شامل حافظه موقت، دائمي و قابل برنامه‌ريزي مجدد و همچنين پردازنده و كمك‌پردازنده مي‌باشد كه بدين ترتيب امكان انجام فرآيندهاي رمزنگاري در داخل چيپ و به شكل سخت‌افزاري فراهم مي‌باشد. با انجام اعمال رمزنگاري بصورت سخت‌افزاري و در واقع به كمك پياده‌سازي سخت‌افزاري الگوريتم‌هاي درهم‌سازی رمزنگاري و توليد كليد، كاهش محسوسي در زمان انجام اعمالي نظير رمزگذاري يا رمزگشايي و توليد كليد و امضاء فراهم آمده‌است. البته لازم به ذكر است كه علاوه بر اين‌ها، كيفيت و همچنين امنيت لازم در مورد فرآيندهاي رمزنگاري و توليد كليد نيز بدين ترتيب افزايش يافته‌است.<br />16<br />اجزای اصلی چیپ هوشمند<br />
  20. 20. 17<br />كاركرد توابع درهم سازي<br />ورودي<br />خروجي<br />
  21. 21. 18<br />امنيت مبتني بر توکن‌های هوشمند<br />توكن‌هاي هوشمند ابزار موثري در راه‌حل امنيتي سيستم‌هاي اطلاعاتي تلقي مي‌شوند ولي بايد به اين نكته مهم توجه داشت كه امكان استفاده از توكن‌هاي هوشمند در برنامه‌هاي كاربردي يا نرم‌افزارها و سخت‌افزارهاي مختلف به خودي خود ميسر نمي‌باشد. در واقع استفاده از توكن‌هاي هوشمند بعنوان راه‌حل امنيتي، نيازمندي‌هاي خاص خود را دارد كه البته با مفهوم PK-Enabled‌ بودن هم كاملا متفاوت است. سيستم‌هاي بسياري امروزه PK-Enabled هستند اما امكان استفاده از توكن‌هاي هوشمند در آن‌ها وجود ندارد. افزودن و ايجاد اين امكان نيز نياز به عمليات و فرآيند وي‍‍ژه‌اي دارد. <br />جهت استفاده از قابليت‌هاي توكن‌هاي هوشمند در كنار برنامه‌هاي كاربردي بايد آنها را بدين منظور مجهز نمود و به عبارتي آن‌ها را Smart Token-Enabledنمود.<br />هيچ محصولي به خودی خود امكان استفاده از قابليت‌هاي توكن‌هاي هوشمند را ندارد به‌عبارتي هرمحصولی که PK-Enabled،لزوما Smart Token-Enabledنيست.<br />
  22. 22. 19<br />راه حل‌هاي مبتني بر توكن‌هاي هوشمند<br />
  23. 23. 20<br />احراز هویت دو فاکتوری<br />از روش‌هاي رايج و سنتي در هويت‌شناسي، استفاده از شناسه كاربر و گذرواژه مي‌باشد كه امروزه ضعف امنيتي و نامناسب بودن اين روش كاملا برهمگان اثبات گرديده‌است. بعنوان روش جايگزين، امروزه احراز هویت در سيستم‌هاي اطلاعاتي را نيز مانند سيستم‌هاي معمول احراز هويت در زندگي عادي به مواردي به غير از صرفا "چيزي كه كاربر مي‌داند" منتسب مي‌نمايند. مي‌توان مانند سيستم‌هاي احراز هويت روزمره، احراز هويت را به "چيزي كه كاربر دارد" نيز منتسب نمود؛ در واقع همانطور كه داشتن يك گذرنامه مي‌تواند عامل احراز هويت باشد،‌ در سيستم‌هاي اطلاعاتي نيز مي‌توان متناظري براي آن يافت و اين ابزار متناظر در واقع همان توكن‌هاي هوشمند هستند كه در كنار عامل ديگر يعني گذرواژه توكن، احراز هویت موثري را فراهم مي‌نمايد كه امروزه بعنوان احراز هويت دوفاكتوري شناخته مي‌گردند. در حقيقت در هويت‌شناسي دو فاكتوري تنها به آنچه كاربر مي‌داند (گذرواژه) اكتفا نمي‌گردد و براي انجام موفقيت‌آميز عمل هويت‌شناسي كاربر بايد حتما توكن هوشمند اختصاصي خود را نيز در اختيار داشته‌باشد.<br />
  24. 24. 21<br />امنيت در كامپيوترهاي شخصي<br />
  25. 25. 22<br />Boot Protection<br />يكي از موارد امنيتي مهم و مورد تاكيد كاربران عادي سيستم‌ها،‌ امكان حفاظت موثر در برابر دسترسي افراد غير مجاز به كامپيوترهاي شخصي مي‌باشد. در واقع افراد بسياري تمايل دارند كه از PC يا Notebook‌ شخصي خود محافظت نموده و امكان استفاده و دسترسي ساير افراد را مسدود نمايند. ناكارآمدي و مشكلات امنيتي روش سنتي رايج كه همان استفاده از گذرواژه بمنظور جلوگيري از بوت‌كردن و روشن‌كردن سيستم مي‌باشد امروز كاملا شناخته شده‌است. در واقع اين روش سنتي علاوه بر دارا بودن همه ضعف‌هاي گذرواژه به عنوان يك ابزار هويت‌شناسي، مشكل مهم ديگري را نيز دارا مي‌باشد؛ افراد غيرمجاز مي‌توانند با از كار انداختن باتري و منبع تغذيه داخلي سيستم و يا دستكاري در BIOS‌ آن گذرواژه را تغيير داده و يا از بين ببرند.<br />
  26. 26. 23<br />Data Encryption<br />يكي از روش‌هاي موثر جهت حفاظت از اطلاعات حساس كاربر و جلوگيري از دسترسي افراد غير مجاز به اين اطلاعات، رمزگذاري آن‌ها مي‌باشد. در واقع با انجام يك رمزگذاري مناسب، داده‌ها به صورت و شكلي تبديل مي‌شوند كه هيچ اطلاعي در مورد حالت و وضعيت خود قبل از رمزگذاري در اختيار مشاهده كننده قرار نمي‌دهند. به عبارت ديگر بدين ترتيب پوششي حفاظتي بر روي داده‌ها گسترده مي‌شود كه برداشتن اين پوشش حفاظتي نيز تنها توسط دارنده كليد خصوصي ميسر مي‌باشد.<br />با استفاده از توكن‌هاي هوشمند مي‌توان فرآيند رمزگذاري و حفاظت از داده‌هاي حساس كاربر را با امنيت و كارايي مناسب به انجام رسانيد. در يك راه‌حل امنيتي موثر در اين رابطه، كاربر مي‌تواند با متصل‌نمودن توكن به سيستم نسبت به رمزگذاري اطلاعات مورد نظر خود اقدام نمايد و رمزگشايي از اطلاعات رمزگذاري‌شده نيز تنها در صورتي ميسر خواهد بود كه كاربر دارنده توكن، توكن مذكور را مجددا به سيستم متصل نمايد. در حقيقت بدين ترتيب بدون دسترسي و مالكيت توكن فوق‌الذكر هيچ فردي نمي‌تواند نسبت به رمزگشايي و اطلاع از داده‌هاي محافظت‌شده اقدام نمايد. <br />
  27. 27. 24<br />Program/Data Change Protection<br />گاهي اطلاعات و داده‌هاي كاربر از چنان اهميت و حساسيتي برخوردار نيست كه نيازمند رمزگذاري باشد ولي كاربر تمايل دارد اين داده‌ها بدون تغيير مانده و يا تغييرات احتمالي رخ داده در اين داده‌ها به وي اطلاع داده‌شود. به عبارت ديگر كاربر تمايل دارد لايه‌اي حفاظتي بر روي داده‌هاي مورد نظر خود قرار دهد بطوريكه هر نوع تغيير احتمالي در اين داده‌ها به اطلاع وي رسانده شود و در واقع كاربر از هرگونه تغييرات احتمالي رخ داده در داده‌هاي مورد نظر خود مطلع گردد. اين عمل در مورد برنامه‌هاي كاربردي نيز به همين ترتيب و مفهموم قابل تصور است. <br />با استفاده از توكن‌هاي هوشمند كاربر مي‌تواند به نحوي موثر و غير قابل خدشه نسبت به ايجاد چنين لايه­ حفاظتي بر روي داده‌ها و برنامه‌هاي مورد نظر خود اقدام نموده و در نتيجه از كليه تغييرات احتمالي رخ‌داده در آن‌ها مطلع شود. بدين ترتيب تنها كاربر دارنده توكن است كه مي‌تواند نسبت به ايجاد اين لايه حفاظتي اقدام نموده و هيچ فرد ديگري نمي‌تواند نسبت به تغيير يا ايجاد مجدد اين لايه حفاظتي اقدام نمايد. امكان بررسي و اطلاع از تغييرات احتمالي داده‌ها نيز تنها توسط شخص دارنده توكن ميسر خواهد بود.<br />
  28. 28. 25<br />Program Access<br />دسترس پذیری عبارتست از این که منابع سیستم مانند سرویس ها، برنامه های کاربردی و داده ها در دسترس افراد مجاز با کیفیت قابل قبول باشند. برای این کار باید از برنامه های خدماتی به گونه ای که بدون احراز هویت تنزل پیدا نکنند و تخریب نشوند حفاظت کرد. اگر هنگامی که یک کاربر مجاز به اطلاعات نیاز دارد سیستم و داده ها در دسترس نباشند نتیجه می تواند به اندازه زمانی که اطلاعات از روی سیستم حذف شده اند ناخوشایند باشد.در کنترل دسترسی نکات زیر قابل بررسی می باشد. <br /><ul><li>دسترسی کاربران غیرمجاز به داده های محرمانه
  29. 29. دستکاری غیرمجاز داده توسط کاربران مجاز
  30. 30. دستکاری داده توسط کاربران غیرمجاز</li></li></ul><li>26<br />امنيت در شبکه<br />
  31. 31. 27<br />Network Logon<br />از نظر امنيتي ورود امن و مطمئن كاربر مجاز به شبكه و يا به سيستم ويندوز كه در اصطلاح، Loginكردن كاربر ناميده مي‌شود، از اهميت ويژه‌اي برخوردار مي‌باشد. در واقع جهت دسترسي به شبكه يا سيستم ويندوز در نخستين گام از كاربر احراز‌هويت به عمل آمده و هنگامي كه فرآيند احراز‌هویت با موفقيت به انجام رسيد، ادامه كار و فعاليت براي كاربر ميسر خواهد گرديد. روش سنتي و رايج بدين منظور استفاده از شناسه كاربر و گذرواژه مي‌باشد كه روشي كاملا ناامن و با درجه امنيتي بسيار پايين مي‌باشد. امكان نفوذ به سيستم‌هايي كه صرفا با استفاده از گذرواژه يا همان روش احراز‌هویت سنتي در سيستم‌هاي اطلاعاتي فعاليت مي‌نمايند، بسيار بالاست و در مواردي كه دغدغه مسائل امنيتي وجود دارد به هيچ عنوان استفاده از اين روش جهت هويت‌شناسي كاربران توصيه نمي‌گردد.<br />
  32. 32. يك شبکه خصوصی مجازی مطلوب در واقع شبكه به شدت حفاظت شده‌اي است كه امكان دسترسي افراد يك مجموعه خاص به اطلاعات و برنامه‌هاي كاربردي ويژه‌اي را از نقاط مختلف و در مواردي از طريق اينترنت يا وب فراهم مي‌نمايد. امنيت درVPN ها معمولا با استفاده از چهارچوب PKI تامين مي‌گردد؛ در واقع در اين نوع شبكه‌ها كليه تبادلات اطلاعاتي بين كاربر و سيستم به صورت رمزگذاري‌شده انجام گرديده و همچنين دسترسي به هر برنامه كاربردي يا مجموعه اطلاعات در اين شبكه نيازمند انجام عمليات هويت‌شناسي و احراز هويت كاربر مي‌باشد. همانطور كه اشاره شد روش سنتي هويت‌شناسي،‌ يعني استفاده از گذرواژه به هيچ عنوان مناسب اين نوع كاربردهاي حساس نمي‌باشد،‌ ضمن اينكه معمولا در يك VPN كاربر بايد جهت دسترسي‌هاي مختلف گذرواژه‌هاي متعددي نيز را نگهداري و در خاطر بسپارد.<br />28<br />Virtual Private Network<br />
  33. 33. 29<br />Single Sign On<br />احراز هویت یکپارچه در واقع امكاني است كه بمنظور كاهش پيچيدگي استفاده از شناسه‌ها و گذرواژه‌هاي متعدد به منظور دسترسي به مجموعه‌اي از برنامه‌هاي كاربردي و خدمات گوناگون در شبكه‌هاي كامپيوتري مورد استفاده قرار مي‌گيرد. در حقيقت كاربر به جاي اينكه لازم باشد جهت دسترسي و استفاده از هر برنامه كاربردي يا سرويس ارائه‌شده توسط سرويس‌دهندگان متعدد شبكه عمليات هويت‌شناسي و احراز هويت را به طور مجزا انجام دهد، در روش دسترسي‌هاي مختلف تنها از يك مجرا تنها كافيست كه در يك سرويس‌دهنده ويژه كه به همين منظور در اولين نقطه تماس كاربر با شبكه تعبيه شده‌است، عمل هويت‌شناسي انجام شده و سپس امكان دسترسي به خدمات و سرويس‌هاي ساير سرويس‌دهندگان شبكه نيز براي كاربر مهيا مي‌گردد. بديهي است كه انجام اين تنها عمل هويت‌شناسي نيازمند دقت نظر و توجه بيشتري باشد و در نتيجه استفاده از روش‌هاي موثر هويت‌شناسي مانند هويت‌شناسي دوفاكتوري در اين مورد به طوري جدي مورد تاكيد است.<br />
  34. 34. 30<br />امنيت در اینترنت و وب<br />
  35. 35. 31<br />Authentication<br />احراز هویت در وب و اينترنت از اهميت فوق‌العاده‌اي برخوردار مي‌باشد. در حقيقت در دنياي مجازي وب و اينترنت كاربران به نوعي كاملا گمنام‌اند و هويت واقعي‌شان گاه به‌كلي متفاوت از آنچه وانمود مي‌كنند، مي‌باشد. هرچند اين خصيصه شايد يكي از ويژگي‌هاي مثبت وب و اينترنت تلقي شود ولي در مواردي و حداقل در برخي كاربردها و خدمات، كاملا مي‌تواند مشكل آفرين باشد. موارد بسيار متعدد و فراواني را مي‌توان نام برد كه در آن اطلاع از اينكه كاربر چه كسي است و آيا اجازه لازم يا ارتباط لازم را دارد يا نه از اهميت برخوردار است؛ در كليه اين موارد احراز‌هویت و احراز‌هويت كاربران اهميت خواهد داشت و البته همانطور كه در بخش‌هاي قبل نيز گفته شد، احراز‌هویت با استفاده از روش سنتي يعني شناسه كاربر و گذرواژه از نظر امنيتي كاملا نامناسب و نا مطلوب مي‌باشد.<br />
  36. 36. 32<br />Email Security<br />پست الكترونيك به نوعي همچون سيستم پست غير الكترونيك، دغدغه‌هاي امنيتي مشابهي را دارا مي‌باشد. از جمله مهمترين اين نگراني‌هاي امنيتي مي‌توان به اطمينان از ارسال و دريافت صحيح نامه، اطمينان از هويت فرستنده و دريافت‌كننده نامه، اطمينان از عدم تغيير محتويات نامه، اطمينان از عدم بازشدن و خوانده‌شدن نامه توسط ديگران، ارسال نامه‌هاي محرمانه و رمزگذاري و رمزگشايي آن‌ها‌ و مواردي مانند آن اشاره نمود. جهت رفع و كاهش اين نگراني‌هاي امنيتي در حوزه پست الكترونيك از بدو پيدايش اين فناوري تا به امروز راه‌حل‌هاي متفاوت و متنوعي ارائه گرديده كه هر كدام به نوعي بخش كوچك يا بزرگي از دغدغه‌هاي امنيتي در اين حوزه را پوشش مي‌دهند.<br />با استفاده از چهارچوب PKI و توكن‌هاي هوشمند در اين برنامه‌هاي دغدغه امنيت مراسلات در پست الكترونيك تا مقدار زيادي كاهش مي‌يابد. درواقع بدين ترتيب فرد دارنده توكن مي‌تواند نامه‌هاي رمزگذاري يا امضاشده ارسال داشته و همچنين نامه‌هاي دريافتي را نيز تنها خود رمزگشايي نمايد؛ در واقع رمزگشايي و توليد امضاء ديجيتال تنها و تنها توسط مالك توكن هوشمند ميسر خواهد بود.<br />
  37. 37. 33<br />Web Single Sign On<br />احراز هویت یکپارچه در وب همانند مورد مشابه در شبكه‌هاي كوچكتر در واقع امكاني است كه بمنظور كاهش پيچيدگي استفاده از شناسه‌ها و گذرواژه‌هاي متعدد به منظور دسترسي به مجموعه‌اي از برنامه‌هاي كاربردي و خدمات گوناگون ارائه‌شده توسط يك شركت يا موسسه در وب مورد استفاده قرار مي‌گيرد. در حقيقت كاربر به جاي اينكه لازم باشد جهت دسترسي و استفاده از هر برنامه كاربردي يا سرويس ارائه‌شده توسط سرورهای متعدد شبكه عمليات احراز هویت را به طور مجزا انجام دهد.<br />توكن‌هاي هوشمند مي‌توانند ضمن فراهم آوردن امكان انجام روش موثر احراز هویت دو فاكتوري، دغدغه احراز هویت موثر در روش دسترسي‌هاي مختلف يكپارچه را مرتفع نمايند. در حقيقت در اين روش مي‌توان با استفاده از تنها يك توكن هوشمند و با به خاطرسپاري تنها يك گذرواژه كه همان پين‌كد توكن هوشمند مي‌باشد، امكان احراز‌هویت و دسترسي به برنا‌مه‌هاي كاربردي و خدمات متعدد سرويس‌دهندگان يك شبكه را فراهم نمود. توكن‌هاي هوشمند امكان نگهداري شناسه‌ها و اطلاعات لازم براي برنامه‌هاي كاربردي متعدد را نيز دارا مي‌باشد.<br />
  38. 38. 34<br />امنیت در تجارت الکترونیک<br />
  39. 39. 35<br />استاندارد PKCS#11<br />در مباحث رمزنگاري، PKCS#11 يکي از اعضاي مجموعه استانداردهاي رمزنگاري کليد عمومي مي‌باشد. در اين استاندارد يک واسط برنامه‌سازي مستقل از سيستم عامل (platform) براي توکن‌ها، مانند ماجول‌هاي امنيتي سخت‌افزاري و کارت‌هاي هوشمند، تعريف شده‌است. استاندارد PKCS#11، اين واسط برنامه‌سازي را "Cryptoki" مي‌نامد که از ادغام کلمات عبارت"Cryptographic Token Interface" حاصل شده‌است. ولي اکثراً از عنوان PKCS#11 براي ارجاع به واسط برنامه‌سازي مذکور استفاده مي‌کنند.<br />از آن جهت که استاندارد رسمي براي توکن‌ها با کاربرد رمزنگاري وجود ندارد، اين واسط برنامه‌سازي به منظور فراهم‌آوردن يک لايه انتزاعي براي عموم توکن‌ها با کاربرد رمزنگاري، توسعه يافته‌است. واسط برنامه‌سازيPKCS#11، بسياري از انواع شيءهاي رمزنگاري (کليدهاي RSA، گواهي‌هاي X.509 کليدهاي DES و 3DES و ...) و تمامي توابع مورد نياز براي استفاده از آن‌ها مانند ايجاد، تغيير و حذف اين اشياء را تعريف نموده‌است.<br />نرم‌افزار اکثر مراکز گواهي تجاري از PKCS#11 براي دسترسي به کليد امضاي کاربران از توكن استفاده می‌کنند. نرم‌افزار مستقل از سيستم عامل که نياز به استفاده از توكن هوشمند دارد، PKCS#11 را بکار مي‌برد. Mozilla Firefox/Thunderbird و Adobe Professional از جمله اين نرم‌افزار‌ها مي‌باشند.<br />
  40. 40. 36<br />استاندارد PKCS#11<br />در استاندارد PKCS#11 به هر ارتباطي که بين نرم‌افزار و يک توکن برقرار مي‌شود، نشست گفته مي‌شود که به دو دسته نشست R/O و نشست R/W تقسيم مي‌شود. در يک نشست R/O ، کاربر فقط جهت خواندن به اشياي ذخيره‌شده در توکن دسترسي دارد ولي در نشست R/W کاربر هم دسترسي خواندن و هم دسترسي نوشتن روي اشياي ذخيره‌شده در توکن را دارا مي‌باشد. <br />هرگاه توسط يکي از نشست‌هاي نرم‌افزار هويت کاربر براي توكن احراز شود(Login شود)، تمام نشست‌هاي اين نرم‌افزار نسبت به توکن وضعيت Login پيدا مي‌کنند و هرگاه يک نشست با توکن در وضعيت Logout قرار گيرد تمام نشست‌هاي ديگر نرم‌افزار نيز در وضعيت Logout قرار مي‌گيرند.<br />در Cryptoki توابع و نوع‌هاي داده‌اي مورد نياز جهت پياده‌سازي عمليات فوق معرفي و پيشنهاد شده‌است. نرم‌افزارهايي که براي ويندوز نوشته شده باشند، ممکن است به جاي PKCS#11 از واسط برنامه‌سازي MS-CAPI استفاده کنند که به سيستم عامل وابسته مي‌باشد.<br />
  41. 41. 37<br />استاندارد PKCS#11<br />در رابط برنامه‌نويسي Cryptoki عملياتي که در يک نشست تشکيل شده بين نرم‌افزار و توکن، قابل پياده‌سازي مي‌باشد به سه دسته کلي زير تقسيم مي‌شود:<br />
  42. 42. ما بدان مقصد عالی نتوانیم رسید<br />هم مگر پیش نهد لطف شما، گامی چند<br />(حافظ)<br />با تشکر از توجه شما<br />با سپاس<br />38<br />
  43. 43. 39<br />Any Question?<br />

×