فرمت پاورپوینت

1. ‫امنیت‬‫داده‬‫ها‬‫در‬‫کارت‬‫های‬‫هوشمند‬
‫وحید‬‫حیدری‬
‫دانشجوی‬‫كارشناسی‬‫ارشد‬،‫رشته‬‫مدیریت‬‫فن‬‫آوری‬‫اطالعات‬

2. ‫کارت‬‫های‬‫هوشمند‬‫به‬‫عنوان‬‫یکی‬‫از‬‫بزرگترین‬‫دستاوردهای‬‫فن‬‫آوری‬
‫اطالعات‬،‫تحولی‬‫شگرف‬‫در‬‫حوزه‬‫‌های‬‫م‬‫سیست‬‫کاربردی‬‫روزمره‬‫ایجاد‬‌‫ه‬‫کرد‬
‫.است‬ ‫دو‬‫مقوله‬‫امنیت‬‫و‬‫همراه‬‫بودن‬‫از‬‫‌های‬‫ی‬‫ویژگ‬‫منحصربه‬‫‌فرد‬‫این‬‫فن‬
‫آوری‬‫هستند‬ .
‫کارت‬‫های‬‫هوشمند‬‫شامل‬‫اطالعات‬‫با‬‫ارزشی‬‫از‬‫جمله‬‫اطالعات‬‫هویتی‬‫و‬
‫مالی‬‫اشخاص‬،‫سازمان‬‫ها‬‫و‬‫حتی‬‫کشورها‬‫در‬‫سطوح‬‫بین‬‫المللی‬‫می‬‫باشند‬ .
‫به‬‫همین‬‫دلیل‬‫حفظ‬‫امنیت‬‫و‬‫کنترل‬‫دسترسی‬‫به‬‫اطالعات‬‫کارت‬‫های‬‫هوشمند‬
‫از‬‫اهمیت‬‫ویژه‬‫ای‬‫برخوردار‬‫است‬ .
‫پیش‬‫گفتار‬

3. ‫اولین‬‫بار‬‫کارت‬‫پالستیکی‬‫حدود‬ 60 ‫سال‬‫پیش‬‫مورد‬‫استفاده‬‫قرار‬‫گرفت‬ .
‫آنچه‬‫امروزه‬‫به‬‫عنوان‬‫کارت‬‫هوشمند‬‫تعریف‬‫می‬‫شود‬،‫کارتی‬‫است‬‫با‬‫تراشه‬
‫ای‬‫الکترونیکی‬‫که‬‫عالوه‬‫بر‬‫قابلیت‬‫ذخیره‬‫سازی‬‫داده‬‫ها‬،‫قابلیت‬‫پردازش‬‫و‬
‫تامین‬‫امنیت‬‫داده‬‫ها‬‫را‬‫نیز‬‫دارد‬ .
1968 ‫هلموت‬‫و‬‫یورگن‬‫دو‬‫مهندس‬‫برق‬‫آلمانی‬‫اولین‬‫کارت‬‫تراشه‬‫را‬‫ثبت‬
‫اختراع‬‫کردند‬ .
2008 ‫ادغام‬‫دو‬‫شرکت‬‫جم‬‫پالس‬‫و‬‫آکسالتو‬‫با‬‫نام‬‫جمالتو‬‫كه‬‫در‬‫حال‬‫حاضر‬
‫پیشگام‬‫فن‬‫آوری‬‫های‬‫كارت‬‫هوشمند‬‫است‬ .
2015 ‫توزیع‬‫میلیاردها‬‫کارت‬‫هوشمند‬‫در‬‫سراسر‬‫جهان‬ .
‫پیشینه‬

4. ‫پیشینه‬

5. ‫كارت‬‫های‬‫هوشمند‬‫دارای‬‫یك‬‫تراشه‬‫با‬‫قابلیت‬‫پردازش‬‫هستند‬ . ‫این‬‫کارت‬‫ها‬
‫دارای‬‫قابلیت‬‫های‬‫زیادی‬‫در‬‫مقوله‬‫های‬‫امنیتی‬‫و‬‫چند‬‫كاركردی‬‫بودن‬‫هستند‬ .
‫شاید‬‫تنها‬‫محدودیت‬‫كارت‬‫های‬‫هوشمند‬،‫حافظه‬‫و‬‫توان‬‫محاسباتی‬‫این‬‫کارت‬
‫ها‬‫باشد‬ .
‫از‬‫كاربردهای‬‫این‬‫كارت‬‫ها‬‫می‬‫توان‬‫به‬‫احراز‬‫هویت‬،‫كنترل‬‫دسترسی‬،
‫كاربردهای‬‫بانكی‬‫و‬‫ارتباطات‬‫مخابراتی‬‫بی‬‫سیم‬‫كه‬‫امنیت‬‫اطالعات‬‫و‬‫حریم‬
‫خصوصی‬‫در‬‫آن‬‫ها‬‫اهمیت‬‫باالیی‬‫دارد‬‫اشاره‬‫نمود‬ .
‫کارت‬‫هوشمند‬

6. ‫در‬‫حال‬‫حاضر‬‫كارت‬‫های‬‫هوشمند‬‌‫تقریبا‬‫یك‬‫كامپیوتر‬‫كامل‬،‫بدون‬‫نمایشگر‬
‫و‬‫صفحه‬‫كلید‬‫هستند‬ . ‫هسته‬‫مركزی‬‫كارت‬‫هوشمند‬‫قادر‬‫است‬‫سلسله‬
‫دستوراتی‬‫را‬‫كه‬‫به‬‫آن‬‫داده‬‫می‬‫شود‬‫اجرا‬‫نماید‬ . ‫جهت‬‫مدیریت‬‫و‬‫اجرای‬‫این‬
‫دستورات‬،‫مجموعه‬‫ای‬‫از‬‫توابع‬‫سطح‬‫باال‬‫در‬‫حافظه‬‫كارت‬‫نوشته‬‫می‬‫شوند‬ .
‫مجموعه‬‫توابعی‬‫كه‬‫به‬‫صورت‬‫دائمی‬‫وغیرقابل‬‫تغییر‬‫درون‬‫حافظه‬‫كارت‬
‫نوشته‬‫می‬‫شوند‬‫را‬‫سیستم‬‫عامل‬‫كارت‬‫گویند‬ .
‫سیستم‬‫عامل‬،‫تراشه‬‫را‬‫قادر‬‫می‬‫سازد‬‫برنامه‬‫کاربردی‬‫را‬‫مطابق‬‫با‬‫فرامینی‬
‫که‬‫توسط‬‫کاربر‬‫و‬‫از‬‫بیرون‬‫به‬‫کارت‬‫ارسال‬‫می‬‫شود‬،‫مدیریت‬‫و‬‫کنترل‬
‫.نماید‬
‫امنیت‬‫در‬‫کارت‬‫های‬‫هوشمند‬

7. ‫سیستم‬‫عامل‬‫تامین‬‫امنیت‬‫داده‬‫های‬‫کارت‬‫ازجمله‬ : ‫تبادل‬‫امن‬‫داده‬‫ها‬‫بین‬
‫کارت‬‫و‬‫کارت‬‫خوان‬‫و‬‫کنترل‬‫دسترسی‬‫به‬‫حافظه‬‫را‬‫بر‬‫عهده‬‫دارد‬ . ‫برای‬
‫برقراری‬‫ارتباط‬‫كارت‬‫هوشمند‬‫با‬‫جهان‬‫خارج‬‫باید‬‫تراشه‬‫کارت‬‫درنزدیكی‬‫یا‬
‫درون‬‫یك‬‫كارت‬‫خوان‬‫كه‬‫معموال‬‫با‬‫یک‬‫كامپیوتر‬‫در‬‫ارتباط‬‫است‬،‫قرار‬
‫.بگیرد‬ ‫این‬‫تراشه‬‫ها‬‫با‬‫استفاده‬‫از‬‫قدرت‬‫پردازشی‬‫که‬‫دارند‬،‫به‬‫بررسی‬
‫دستورات‬‫فرستاده‬‫شده‬‫از‬‫سمت‬‫کارت‬‫خوان‬‫پرداخته‬‫و‬‫آنها‬‫را‬‫از‬‫لحاظ‬
‫امنیتی‬‫چک‬‫می‬‫کنند‬ .
‫امنیت‬‫در‬‫کارت‬‫های‬‫هوشمند‬

8. ‫تراشه‬‫کارت‬‫هوشمند‬‫در‬‫برابر‬‫هک‬‫شدن‬‫مقاوم‬‫است‬‫و‬‫قابلیت‬‫ذخیره‬‫سازی‬
‫حجم‬‫زیادی‬‫از‬‫اطالعات‬‫امنیتی‬،‫انجام‬‫وظیفه‬‫محاسبات‬،‫و‬‫تعامل‬‫هوشمندانه‬
‫با‬‫یک‬‫کارت‬‫خوان‬‫هوشمند‬‫را‬‫فراهم‬‫می‬‫کند‬ . ‫کارت‬‫هوشمند‬‫و‬‫کارت‬‫خوان‬
‫از‬‫طریق‬‫استفاده‬‫از‬‫بسته‬‫های‬‫داده‬‫کوچک‬‫به‬‫نام‬ (APDUs) ‫نرم‬‫افزار‬‫واحد‬
‫پروتکل‬‫داده‬‫ها‬‫ارتباط‬‫برقرار‬‫می‬‫کنند‬‫و‬‫با‬‫استفاده‬‫از‬‫یک‬‫پروتکل‬‫احراز‬
‫هویت‬‫فعال‬‫متقابل‬‫به‬‫شناسایی‬‫یکدیگر‬‫می‬‫پردازند‬ .
‫امنیت‬‫در‬‫کارت‬‫های‬‫هوشمند‬

9. ‫اهمیت‬‫یک‬‫کارت‬‫هوشمند‬‫به‬‫طور‬‫مستقیم‬‫به‬‫حجم‬‫و‬‫نوع‬‫اطالعات‬‫و‬‫برنامه‬
‫های‬‫کاربردی‬‫که‬‫برای‬‫استفاده‬‫در‬‫آن‬‫نوشته‬‫شده‬‫مربوط‬‫است‬ .
‫رشد‬‫و‬‫حجم‬‫باالی‬‫اطالعات‬‫کاربردی‬‫در‬‫کارت‬‫های‬‫هوشمند‬‫این‬‫کارت‬‫ها‬
‫را‬‫به‬‫اهداف‬‫محبوبی‬‫برای‬‫حمله‬‫هکرهای‬‫غیررسمی‬‫و‬‫رسمی‬ ( ‫از‬‫جمله‬
‫دولت‬‫ها‬ ) ‫تبدیل‬‫کرده‬‫است‬ .
‫با‬‫در‬‫نظر‬‫گرفتن‬‫مراحل‬‫چرخه‬‫عمر‬‫یك‬‫كارت‬‫هوشمند‬‫زمان‬‫بندی‬‫حمله‬‫ها‬
‫در‬‫سه‬‫بازه‬‫زمانی‬‫تعریف‬‫می‬‫شوند‬ :
1. ‫زمان‬‫طراحی‬‫تراشه‬‫و‬‫توسعه‬‫سیستم‬‫عامل‬
2. ‫زمان‬‫تولید‬
3. ‫زمان‬‫استفاده‬
‫تهدیدات‬‫امنیتی‬‫کارت‬‫های‬‫هوشمند‬

10. ‫با‬‫بررسی‬‫مراحل‬‫و‬‫تهدیدات‬‫چرخه‬‫عمر‬‫یک‬‫کارت‬‫هوشمند‬،‫مشخص‬‫است‬
‫که‬‫دست‬‫یابی‬‫به‬‫اطالعات‬‫کارت‬‫بدون‬‫آگاهی‬‫از‬‫ساختار‬‫سخت‬‫افزاری‬‫و‬‫نرم‬
‫افزاری‬‫تراشه‬‫و‬‫کارت‬‫امکان‬‫پذیر‬‫نمی‬‫باشد‬ . ‫از‬‫این‬‫رو‬‫شرایطی‬‫عمومی‬
‫برای‬‫محافظت‬‫در‬‫برابر‬‫تجریه‬‫و‬‫تحلیل‬‫داده‬‫های‬‫کارت‬‫های‬‫هوشمند‬‫در‬
‫شرایط‬‫متفاوت‬‫طراحی‬‫شده‬‫است‬ .
• ‫مالحظات‬‫امنیتي‬‫در‬‫هنگام‬‫طراحي‬‫تراشه‬‫و‬‫طراحی‬‫سیستم‬‫عامل‬ .
• ‫محافظت‬‫در‬‫برابر‬‫تحلیل‬‫های‬‫ایستا‬‫و‬‫پویا‬ .
• ‫نكات‬‫امنیتي‬‫الزم‬‫االجرا‬‫در‬‫نرم‬‫افزارها‬‫و‬‫الگوریتم‬‫ها‬ .
‫شرایط‬‫عمومی‬‫محافظت‬‫داده‬‫ها‬

11. ‫ضرایب‬‫باالی‬‫امنیتی‬‫برای‬‫کارت‬‫های‬‫هوشمند‬‫در‬‫نظر‬‫گرفته‬‫شده‬‫اما‬
‫همچنان‬‫به‬‫نظرمی‬‫رسد‬‫این‬‫امنیت‬‫تا‬‫حدی‬‫غیر‬‫واقعی‬‫است‬‫چرا‬‫که‬
‫هیچ‬‫سیستم‬‫امنیتی‬‫غیر‬‫قابل‬‫نفوذی‬‫وجود‬‫ندارد‬‫و‬‫یا‬‫دست‬‫کم‬‫تا‬‫کنون‬
‫طرحی‬‫نشده‬‫است‬ .
‫سنجش‬‫میزان‬‫امنیت‬‫یک‬‫سیستم‬‫به‬‫این‬‫معنی‬‫است‬‫که‬‫آیا‬‫سیستم‬‫به‬‫درستی‬‫از‬
‫اطالعات‬‫ذخیره‬‫شده‬‫محافظت‬‫می‬‫نماید‬‫و‬‫یا‬‫مهاجم‬‫چه‬‫مقدار‬‫هزینه‬ ( ‫زمان‬،
‫پول‬،‫مهارت‬‫و‬‫تالش‬ ) ‫نیاز‬‫دارد‬‫تا‬‫به‬‫یک‬‫حمله‬‫موفق‬‫دست‬‫یابد‬‫و‬‫تا‬‫چه‬
‫حدی‬‫می‬‫تواند‬‫منافع‬‫داشته‬‫باشد‬ . ‫در‬‫یک‬‫طبقه‬‫بندی‬‫توسط‬‫محققان‬ IBM
‫مهاجمان‬‫با‬‫خطر‬‫فزآینده‬‫در‬‫سه‬‫سطح‬‫دیده‬‫شده‬‫اند‬ :
‫مهاجمان‬‫کارت‬‫های‬‫هوشمند‬

12. 1. ‫سطح‬‫یک‬ ( ‫هوشمندان‬‫بیگانه‬ ) Clever Outsiders
2. ‫سطح‬‫دوم‬ ( ‫خبرگان‬‫خودی‬ ): Knowledgeable Insiders
3. ‫سطح‬‫سوم‬ ( ‫تشکیالت‬‫سازمانی‬ ): Funded Organizations
‫قبل‬‫از‬‫طراحی‬‫یک‬‫سیستم‬‫امنیتی‬‫باید‬‫درک‬‫درستی‬‫از‬‫اینکه‬‫سیستم‬‫در‬‫چه‬
‫سطحی‬‫مورد‬‫حمله‬‫قرار‬‫خواهد‬‫گرفت‬،‫داشته‬‫باشیم‬ .
‫فقط‬‫با‬‫در‬‫دسترس‬‫بودن‬‫این‬‫اطالعات‬‫است‬‫که‬‫می‬‫توانیم‬‫برای‬‫طراحی‬‫و‬
‫مهندسی‬‫یک‬‫سیستم‬‫مناسب‬‫تصمیم‬‫گیری‬‫نماییم‬ .
‫مهاجمان‬‫کارت‬‫های‬‫هوشمند‬

13. ‫دسترسی‬‫به‬‫اطالعات‬‫یک‬‫کارت‬‫هوشمند‬‫بدون‬‫آگاهی‬‫از‬‫ساختار‬‫سخت‬
‫افزاری‬‫و‬‫نرم‬‫افزاری‬‫تراشه‬‫امکان‬‫پذیر‬‫نمی‬‫باشد‬ .
‫در‬‫کشورهای‬‫توسعه‬‫نیافته‬‫و‬‫در‬‫حال‬‫توسعه‬‫و‬‫حتی‬‫گاها‬ " ‫توسعه‬‫یافته‬،
‫امکان‬‫تولید‬‫تراشه‬‫و‬‫طراحی‬‫یک‬‫سیستم‬‫عامل‬‫وجود‬‫ندارد‬،‫دو‬‫عاملی‬‫که‬
‫نقش‬‫کلیدی‬‫و‬‫اصلی‬‫را‬‫در‬‫تامین‬‫امنیت‬‫داده‬‫ها‬‫بر‬‫عهده‬‫دارند‬ . ‫با‬‫توجه‬‫به‬
‫اینکه‬‫فن‬‫آوری‬‫ساخت‬‫کارت‬‫های‬‫هوشمند‬‫و‬‫به‬‫طور‬‫مشخص‬‫تراشه‬‫آن‬‫در‬
‫انحصار‬‫چند‬‫شرکت‬‫بزرگ‬‫دنیا‬‫است‬،‫این‬‫سوال‬‫را‬‫مطرح‬‫می‬‫شود‬ : ‫تا‬‫کجا‬
‫و‬‫چگونه‬‫می‬‫توان‬‫از‬‫امنیت‬‫داده‬‫های‬‫کارت‬‫های‬‫هوشمند‬‫تولید‬‫شده‬‫توسط‬
‫شرکت‬‫های‬‫بیگانه‬‫اطمینان‬‫حاصل‬‫نمود‬‫؟‬
‫نتیجه‬‫گیری‬

14. ‫تنها‬‫راه‬‫کار‬‫عملی‬‫در‬‫کشورهای‬‫توسعه‬‫نیافته‬‫و‬‫درحال‬‫توسعه‬‫برای‬‫ارتقای‬
‫امنیت‬‫داده‬‫های‬‫کارت‬‫هوشمند‬‫طراحی‬‫سیستم‬‫عامل‬‫و‬‫برنامه‬‫نویسی‬‫نرم‬
‫افزارهای‬‫مورد‬‫استفاده‬‫در‬‫این‬‫کارت‬‫ها‬‫توسط‬‫مهندسین‬‫داخلی‬‫و‬‫استفاده‬‫از‬
‫تراشه‬‫های‬‫شرکت‬‫های‬‫شناخته‬‫شده‬‫و‬‫قابل‬‫اطمینان‬‫می‬‫باشد‬ .
‫نتیجه‬‫گیری‬

15. ‫پایان‬