SlideShare a Scribd company logo

Smart Token

Download as PPTX, PDF
M
mollahosseini

This Document is about Computer Security in Public Key Infrastructure and Smart Token Technology .

Technology
1 of 39
Downloaded 11 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
بسم الّله الرّحمن الرّحیمتوکن های هوشمندامنيت و ...مريم ملاحسينی88610831زمستان 1389
تاریخچه پیدایشمزایا و قابلیت‌ها زیرساخت کلید عمومیامنیت مبتنی بر PKIتوکن‌های هوشمندامنیت مبتنی بر توکنمعرفیPKCS#112
3تاریخچه پیدایشكارت‌هاي هوشمند و توكن‌هاي هوشمند USB به عنوان رايج‌ترين توكن‌هاي سخت‌افزاري امروزي شناخته مي‌شوند. كارت‌هاي هوشمند كه پيدايش اولين نمونه‌هاي آن به اواخر دهه 70 ميلادي در اروپا (فرانسه) باز مي‌گردد. در مقايسه با توكن‌هاي هوشمند USB كه اولين نمونه‌هاي آن در اواخر دهه 90 ميلادي توليد شدند، از قدمت بسيار بيشتري برخورداراند.‌
4مزایا و قابلیت‌های توکن هوشمندنگهداري امن و جلوگيري از دسترسي غير مجاز به داده‌ها و اطلاعات حساس كاربر
امكان انجام اعمال رمزنگاري مانند رمزگذاري و يا امضانمودن داده‌ها بصورت سخت‌افزاري
امكان دسترسي امن و مجاز به برنامه‌هاي كاربردي مختلف
راه‌حل‌های امنیتی
احراز هویت موثر كاربراينكه توكن‌هاي سخت‌افزاري به چه ميزان در برابر دسترسي‌هاي غير مجاز مقاوم هستند و مانع از دسترسي افراد غير مجاز به اطلاعات محرمانه موجود در خود مي‌گردند، موضوعي است كه جزء ويژگي‌هاي كليدي اين توكن‌ها محسوب مي‌گردد. به واقع امنيت توكن‌هاي سخت‌افزاري در برابر انواع حملات افراد غير مجاز جهت دسترسي و استفاده از اطلاعات موجود در توكن، از اهميت ويژه‌اي برخوردار است. در اين زمينه استانداردهاي مختلف امنيتي در دنيا وجود دارد كه امروزه توكن‌هاي سخت‌افزاري سعي در پشتيباني هرچه بيشتر اين استاندارها دارند. 5راه حل‌های امنیتیPKI BasedSecurity SolutionSmart Token Based
6چهارچوب زیرساخت کلید عمومیامروزه رمزنگاري نامتقارن و ساير راه‌حل‌هاي وابسته به آن چهارچوب و بستر امني را مهيا نموده‌است كه با استفاده از آن‌ها بخش عمده‌اي از دغدغه‌هاي امينتي در سيستم‌هاي اطلاعاتي قابل رفع و يا حداقل كاهش جدي مي‌باشند. اين چهارچوب و بستر كه امروزه PKI يا چهارچوب رمزنگاري مبتني بر كليد عمومي (Public Key Infrastructure) ناميده مي‌شود،‌ بطور بالقوه مي‌تواند بستر امنيتي مناسبي را در اختيار كاربران سيستم‌هاي اطلاعاتي فراهم نمايد.
7دستاوردهای زیرساخت کلید عمومی
8زیرساخت کلید عمومی و گواهی دیجیتالاز مهمترين دغدغه‌ها و مشكلات مطرح در رمزنگاري نامتقارن مي‌توان به مسئله توزيع مناسب كليد عمومي و جلوگيري از خطاها و سوء استفاده‌هاي احتمالي افراد خرابكار و همچنين محافظت از كليد خصوصي توسط فرد صاحب كليد، بطوريكه امكان نفوذ و دسترسي ساير افراد به آن وجود نداشته باشد، اشاره نمود. امروزه چهارچوب PKI با استفاده از مفهوم گواهي ديجيتال و مراكز صادركننده گواهي‌هاي ديجيتال مشكل اول كه همان توزيع مناسب كليد عمومي افراد باشد را حل نموده‌اند و در حقيقت مراكز صادركننده گواهي ديجيتال از مهمترين عناصر چهارچوب PKIمي‌باشند. هرچند تا مدت‌ها مشكل دوم و چگونگي نگهداري از كليد خصوصي محل بحث‌هاي فراوان بود ولي امروزه توكن‌هاي هوشمند مشكل نگهداري امن و مطمئن كليد خصوصي افراد را حل نموده‌اند.
9رمزنگاری نامتقارنCleartextCleartextPublicKeyPrivateKeyENCRYPT(LOCK)DECRYPT(UNLOCK)CiphertextCiphertext(Sender)(Receiver)
10خدمات امضای دیجیتالگیرنده می‌تواند مطمئن باشد که اطلاعات حین انتقال تغییر نیافته‌است.گیرنده می‌تواند مطمئن باشد که فرستنده اطلاعات کیست.امضا كننده نمی‌تواند امضای اطلاعات را انکار نماید.
11PKIگیرندهفرستندهسفارشمهممهممهمآقای الفPUkVerify?PRk=ن/*%&6الن/*%&6الHashRSARSAHashPUkن/*%&6المعادل هشنامتقارننامتقارنسفارشمهممهممهمآقای الفسفارشمهممهممهمآقای الف$$$؟؟/*%$$$؟؟/*%امضای دیجیتالPUkInternetIntranetنحوه امضای دیجیتال یک پیامPUk
12امنيت مبتني بر زیرساخت کلید عمومیامن‌سازي هر برنامه كاربردي يا نرم‌افزارها و سخت‌افزارهاي مورد استفاده در سيستم‌هاي اطلاعاتي مقوله‌اي كاملا متفاوت از صرف ايجاد و توسعه آنها مي‌باشد. در واقع اگر در طراحي و ساخت نرم‌افزارها و سخت‌افزارها موارد امنيتي ملاحظه و اجرا نشده‌باشد، هيچ نرم‌افزار و سخت‌افزاري به خودي خود امن نخواهد بود. بسياري از سيستم‌هايي كه امروز مورد استفاده قرار مي‌گيرند امن نيستند و به‌منظور افزودن موارد امنيتي به آن‌ها بايد پروسه تحليل، ‌طراحي و ساخت راه حل امنيتي مربوطه را با صرف و تخصيص منابع مورد نياز به اجرا درآورد. جهت استفاده از راه‌حل امنيتي چهارچوب زیرساخت کلید عمومی نيز بايد برنامه‌هاي كاربردي را به خدمات امنيتي چهارچوب PKI مجهز نمود و به‌عبارتي آن‌ها را PK-Enabled نمود. هيچ محصولي به خودي خود امكان استفاده از خدمات امنيتي چهارچوب PKI را ندارد و به عبارتي هرمحصولي PK-Enabled نيست.
13چهارچوب PKI وتوکن های هوشمند توكن‌هاي هوشمند امروزه علاوه بر امكان مهم نگهداري امن كليد خصوصي و ساير اطلاعات حساس كاربر، امكان انجام سخت‌افزاري رمزگذاري با الگوريتم‌هاي رمزنگاري نامتقارن را نيز دارا مي‌باشند. تا مدت‌ها الگوريتم‌هاي مهم مورد استفاده دررمزنگاري نامتقارن مانند الگوريتم‌هاي رمزگذاري، رمزگشايي و همچنين توليد و بررسي امضاء ديجيتال مشكل كارايي و استفاده در موارد كاربرد عملي را دارا بودند. در واقع اجراي اين الگوريتم‌ها بصورت نرم‌افزاري فوق‌العاده زمان‌بر و كند و همچنين ناامن بودند؛‌ ولي امروزه توكن‌هاي هوشمند امكان انجام سخت‌افزاري اين اعمال را به شكل كاملا كارا، موثر و امن فراهم نموده‌اند.
14نگهداری امن کلیدهای خصوصیچهارچوب PKI وتوکن های هوشمند يكي از قابليت‌هاي مهم توكن‌هاي هوشمند امكان نگهداري امن اطلاعات حساس كاربر مي‌باشد؛ در نتيجه امكان نگهداري كليد خصوصي به‌عنوان مهمترين و حساس‌ترين اطلاع كاربر نيز در توكن‌هاي هوشمند ميسر خواهد بود و بدين ترتيب استفاده از توكن‌هاي هوشمند در كنار چهارچوب PKI‌ بستري را فراهم مي‌نمايد كه از نظر امنيتي سطح بسيار قابل قبولي از امنيت و اطمينان را در اختيار كاربران سيستم‌هاي اطلاعاتي قرار خواهد داد. در حقيقت دغدغه چگونگي محافظت از كليد خصوصي كه از دغدغه‌هاي سنتي در چهارچوب PKI‌ بوده‌است. بدين ترتيب به شكل بسيار مناسبي مرتفع مي‌گردد. تهيه و استفاده از اين توكن‌هاي هوشمند نيز همانطور كه اشاره شده، بدليل قيمت مناسب و همچنين سهولت استفاده براي كاربران عادي سيستم‌هاي اطلاعاتي نيز به سادگي ميسر مي‌باشد.
چيپ هوشمند در واقع اصلي‌ترين و مهمترين عنصر موجود در كارت‌ها و يو‌اس‌بي توكن‌هاي هوشمند مي‌باشد. امروزه با وجود اين چيپ‌هاي هوشمند درحقيقت كارت‌ها و توكن‌هاي هوشمند به نوعي يك ميني كامپيوتر هستند كه با سيستم عامل خاص خود امكان پردازش و ذخيره‌سازي اطلاعات را به شيوه‌اي كاملا امن، به همراه انجام موثر اعمال رمزنگاري در اختيار كاربر قرار مي‌دهند.15چیپ هوشمند
در يك چيپ هوشمند امروزي معمولا اجزاي اصلي شامل حافظه موقت، دائمي و قابل برنامه‌ريزي مجدد و همچنين پردازنده و كمك‌پردازنده مي‌باشد كه بدين ترتيب امكان انجام فرآيندهاي رمزنگاري در داخل چيپ و به شكل سخت‌افزاري فراهم مي‌باشد. با انجام اعمال رمزنگاري بصورت سخت‌افزاري و در واقع به كمك پياده‌سازي سخت‌افزاري الگوريتم‌هاي درهم‌سازی رمزنگاري و توليد كليد، كاهش محسوسي در زمان انجام اعمالي نظير رمزگذاري يا رمزگشايي و توليد كليد و امضاء فراهم آمده‌است. البته لازم به ذكر است كه علاوه بر اين‌ها، كيفيت و همچنين امنيت لازم در مورد فرآيندهاي رمزنگاري و توليد كليد نيز بدين ترتيب افزايش يافته‌است.16اجزای اصلی چیپ هوشمند
17كاركرد توابع درهم سازيوروديخروجي
18امنيت مبتني بر توکن‌های هوشمندتوكن‌هاي هوشمند ابزار موثري در راه‌حل امنيتي سيستم‌هاي اطلاعاتي تلقي مي‌شوند ولي بايد به اين نكته مهم توجه داشت كه امكان استفاده از توكن‌هاي هوشمند در برنامه‌هاي كاربردي يا نرم‌افزارها و سخت‌افزارهاي مختلف به خودي خود ميسر نمي‌باشد. در واقع استفاده از توكن‌هاي هوشمند بعنوان راه‌حل امنيتي، نيازمندي‌هاي خاص خود را دارد كه البته با مفهوم PK-Enabled‌ بودن هم كاملا متفاوت است. سيستم‌هاي بسياري امروزه PK-Enabled هستند اما امكان استفاده از توكن‌هاي هوشمند در آن‌ها وجود ندارد. افزودن و ايجاد اين امكان نيز نياز به عمليات و فرآيند وي‍‍ژه‌اي دارد. جهت استفاده از قابليت‌هاي توكن‌هاي هوشمند در كنار برنامه‌هاي كاربردي بايد آنها را بدين منظور مجهز نمود و به عبارتي آن‌ها را Smart Token-Enabledنمود.هيچ محصولي به خودی خود امكان استفاده از قابليت‌هاي توكن‌هاي هوشمند را ندارد به‌عبارتي هرمحصولی که PK-Enabled،لزوما Smart Token-Enabledنيست.
19راه حل‌هاي مبتني بر توكن‌هاي هوشمند
20احراز هویت دو فاکتوریاز روش‌هاي رايج و سنتي در هويت‌شناسي، استفاده از شناسه كاربر و گذرواژه مي‌باشد كه امروزه ضعف امنيتي و نامناسب بودن اين روش كاملا برهمگان اثبات گرديده‌است. بعنوان روش جايگزين، امروزه احراز هویت در سيستم‌هاي اطلاعاتي را نيز مانند سيستم‌هاي معمول احراز هويت در زندگي عادي به مواردي به غير از صرفا "چيزي كه كاربر مي‌داند" منتسب مي‌نمايند. مي‌توان مانند سيستم‌هاي احراز هويت روزمره، احراز هويت را به "چيزي كه كاربر دارد" نيز منتسب نمود؛ در واقع همانطور كه داشتن يك گذرنامه مي‌تواند عامل احراز هويت باشد،‌ در سيستم‌هاي اطلاعاتي نيز مي‌توان متناظري براي آن يافت و اين ابزار متناظر در واقع همان توكن‌هاي هوشمند هستند كه در كنار عامل ديگر يعني گذرواژه توكن، احراز هویت موثري را فراهم مي‌نمايد كه امروزه بعنوان احراز هويت دوفاكتوري شناخته مي‌گردند. در حقيقت در هويت‌شناسي دو فاكتوري تنها به آنچه كاربر مي‌داند (گذرواژه) اكتفا نمي‌گردد و براي انجام موفقيت‌آميز عمل هويت‌شناسي كاربر بايد حتما توكن هوشمند اختصاصي خود را نيز در اختيار داشته‌باشد.
21امنيت در كامپيوترهاي شخصي
22Boot Protectionيكي از موارد امنيتي مهم و مورد تاكيد كاربران عادي سيستم‌ها،‌ امكان حفاظت موثر در برابر دسترسي افراد غير مجاز به كامپيوترهاي شخصي مي‌باشد. در واقع افراد بسياري تمايل دارند كه از PC يا Notebook‌ شخصي خود محافظت نموده و امكان استفاده و دسترسي ساير افراد را مسدود نمايند. ناكارآمدي و مشكلات امنيتي روش سنتي رايج كه همان استفاده از گذرواژه بمنظور جلوگيري از بوت‌كردن و روشن‌كردن سيستم مي‌باشد امروز كاملا شناخته شده‌است. در واقع اين روش سنتي علاوه بر دارا بودن همه ضعف‌هاي گذرواژه به عنوان يك ابزار هويت‌شناسي، مشكل مهم ديگري را نيز دارا مي‌باشد؛ افراد غيرمجاز مي‌توانند با از كار انداختن باتري و منبع تغذيه داخلي سيستم و يا دستكاري در BIOS‌ آن گذرواژه را تغيير داده و يا از بين ببرند.
23Data Encryptionيكي از روش‌هاي موثر جهت حفاظت از اطلاعات حساس كاربر و جلوگيري از دسترسي افراد غير مجاز به اين اطلاعات، رمزگذاري آن‌ها مي‌باشد. در واقع با انجام يك رمزگذاري مناسب، داده‌ها به صورت و شكلي تبديل مي‌شوند كه هيچ اطلاعي در مورد حالت و وضعيت خود قبل از رمزگذاري در اختيار مشاهده كننده قرار نمي‌دهند. به عبارت ديگر بدين ترتيب پوششي حفاظتي بر روي داده‌ها گسترده مي‌شود كه برداشتن اين پوشش حفاظتي نيز تنها توسط دارنده كليد خصوصي ميسر مي‌باشد.با استفاده از توكن‌هاي هوشمند مي‌توان فرآيند رمزگذاري و حفاظت از داده‌هاي حساس كاربر را با امنيت و كارايي مناسب به انجام رسانيد. در يك راه‌حل امنيتي موثر در اين رابطه، كاربر مي‌تواند با متصل‌نمودن توكن به سيستم نسبت به رمزگذاري اطلاعات مورد نظر خود اقدام نمايد و رمزگشايي از اطلاعات رمزگذاري‌شده نيز تنها در صورتي ميسر خواهد بود كه كاربر دارنده توكن، توكن مذكور را مجددا به سيستم متصل نمايد. در حقيقت بدين ترتيب بدون دسترسي و مالكيت توكن فوق‌الذكر هيچ فردي نمي‌تواند نسبت به رمزگشايي و اطلاع از داده‌هاي محافظت‌شده اقدام نمايد.
24Program/Data Change Protectionگاهي اطلاعات و داده‌هاي كاربر از چنان اهميت و حساسيتي برخوردار نيست كه نيازمند رمزگذاري باشد ولي كاربر تمايل دارد اين داده‌ها بدون تغيير مانده و يا تغييرات احتمالي رخ داده در اين داده‌ها به وي اطلاع داده‌شود. به عبارت ديگر كاربر تمايل دارد لايه‌اي حفاظتي بر روي داده‌هاي مورد نظر خود قرار دهد بطوريكه هر نوع تغيير احتمالي در اين داده‌ها به اطلاع وي رسانده شود و در واقع كاربر از هرگونه تغييرات احتمالي رخ داده در داده‌هاي مورد نظر خود مطلع گردد. اين عمل در مورد برنامه‌هاي كاربردي نيز به همين ترتيب و مفهموم قابل تصور است. با استفاده از توكن‌هاي هوشمند كاربر مي‌تواند به نحوي موثر و غير قابل خدشه نسبت به ايجاد چنين لايه­ حفاظتي بر روي داده‌ها و برنامه‌هاي مورد نظر خود اقدام نموده و در نتيجه از كليه تغييرات احتمالي رخ‌داده در آن‌ها مطلع شود. بدين ترتيب تنها كاربر دارنده توكن است كه مي‌تواند نسبت به ايجاد اين لايه حفاظتي اقدام نموده و هيچ فرد ديگري نمي‌تواند نسبت به تغيير يا ايجاد مجدد اين لايه حفاظتي اقدام نمايد. امكان بررسي و اطلاع از تغييرات احتمالي داده‌ها نيز تنها توسط شخص دارنده توكن ميسر خواهد بود.
25Program Accessدسترس پذیری عبارتست از این که منابع سیستم مانند سرویس ها، برنامه های کاربردی و داده ها در دسترس افراد مجاز با کیفیت قابل قبول باشند. برای این کار باید از برنامه های خدماتی به گونه ای که بدون احراز هویت تنزل پیدا نکنند و تخریب نشوند حفاظت کرد. اگر هنگامی که یک کاربر مجاز به اطلاعات نیاز دارد سیستم و داده ها در دسترس نباشند نتیجه می تواند به اندازه زمانی که اطلاعات از روی سیستم حذف شده اند ناخوشایند باشد.در کنترل دسترسی نکات زیر قابل بررسی می باشد. دسترسی کاربران غیرمجاز به داده های محرمانه
دستکاری غیرمجاز داده توسط کاربران مجاز
دستکاری داده توسط کاربران غیرمجاز26امنيت در شبکه
27Network Logonاز نظر امنيتي ورود امن و مطمئن كاربر مجاز به شبكه و يا به سيستم ويندوز كه در اصطلاح، Loginكردن كاربر ناميده مي‌شود، از اهميت ويژه‌اي برخوردار مي‌باشد. در واقع جهت دسترسي به شبكه يا سيستم ويندوز در نخستين گام از كاربر احراز‌هويت به عمل آمده و هنگامي كه فرآيند احراز‌هویت با موفقيت به انجام رسيد، ادامه كار و فعاليت براي كاربر ميسر خواهد گرديد. روش سنتي و رايج بدين منظور استفاده از شناسه كاربر و گذرواژه مي‌باشد كه روشي كاملا ناامن و با درجه امنيتي بسيار پايين مي‌باشد. امكان نفوذ به سيستم‌هايي كه صرفا با استفاده از گذرواژه يا همان روش احراز‌هویت سنتي در سيستم‌هاي اطلاعاتي فعاليت مي‌نمايند، بسيار بالاست و در مواردي كه دغدغه مسائل امنيتي وجود دارد به هيچ عنوان استفاده از اين روش جهت هويت‌شناسي كاربران توصيه نمي‌گردد.
يك شبکه خصوصی مجازی مطلوب در واقع شبكه به شدت حفاظت شده‌اي است كه امكان دسترسي افراد يك مجموعه خاص به اطلاعات و برنامه‌هاي كاربردي ويژه‌اي را از نقاط مختلف و در مواردي از طريق اينترنت يا وب فراهم مي‌نمايد. امنيت درVPN ها معمولا با استفاده از چهارچوب PKI تامين مي‌گردد؛ در واقع در اين نوع شبكه‌ها كليه تبادلات اطلاعاتي بين كاربر و سيستم به صورت رمزگذاري‌شده انجام گرديده و همچنين دسترسي به هر برنامه كاربردي يا مجموعه اطلاعات در اين شبكه نيازمند انجام عمليات هويت‌شناسي و احراز هويت كاربر مي‌باشد. همانطور كه اشاره شد روش سنتي هويت‌شناسي،‌ يعني استفاده از گذرواژه به هيچ عنوان مناسب اين نوع كاربردهاي حساس نمي‌باشد،‌ ضمن اينكه معمولا در يك VPN كاربر بايد جهت دسترسي‌هاي مختلف گذرواژه‌هاي متعددي نيز را نگهداري و در خاطر بسپارد.28Virtual Private Network
29Single Sign Onاحراز هویت یکپارچه در واقع امكاني است كه بمنظور كاهش پيچيدگي استفاده از شناسه‌ها و گذرواژه‌هاي متعدد به منظور دسترسي به مجموعه‌اي از برنامه‌هاي كاربردي و خدمات گوناگون در شبكه‌هاي كامپيوتري مورد استفاده قرار مي‌گيرد. در حقيقت كاربر به جاي اينكه لازم باشد جهت دسترسي و استفاده از هر برنامه كاربردي يا سرويس ارائه‌شده توسط سرويس‌دهندگان متعدد شبكه عمليات هويت‌شناسي و احراز هويت را به طور مجزا انجام دهد، در روش دسترسي‌هاي مختلف تنها از يك مجرا تنها كافيست كه در يك سرويس‌دهنده ويژه كه به همين منظور در اولين نقطه تماس كاربر با شبكه تعبيه شده‌است، عمل هويت‌شناسي انجام شده و سپس امكان دسترسي به خدمات و سرويس‌هاي ساير سرويس‌دهندگان شبكه نيز براي كاربر مهيا مي‌گردد. بديهي است كه انجام اين تنها عمل هويت‌شناسي نيازمند دقت نظر و توجه بيشتري باشد و در نتيجه استفاده از روش‌هاي موثر هويت‌شناسي مانند هويت‌شناسي دوفاكتوري در اين مورد به طوري جدي مورد تاكيد است.
30امنيت در اینترنت و وب
31Authenticationاحراز هویت در وب و اينترنت از اهميت فوق‌العاده‌اي برخوردار مي‌باشد. در حقيقت در دنياي مجازي وب و اينترنت كاربران به نوعي كاملا گمنام‌اند و هويت واقعي‌شان گاه به‌كلي متفاوت از آنچه وانمود مي‌كنند، مي‌باشد. هرچند اين خصيصه شايد يكي از ويژگي‌هاي مثبت وب و اينترنت تلقي شود ولي در مواردي و حداقل در برخي كاربردها و خدمات، كاملا مي‌تواند مشكل آفرين باشد. موارد بسيار متعدد و فراواني را مي‌توان نام برد كه در آن اطلاع از اينكه كاربر چه كسي است و آيا اجازه لازم يا ارتباط لازم را دارد يا نه از اهميت برخوردار است؛ در كليه اين موارد احراز‌هویت و احراز‌هويت كاربران اهميت خواهد داشت و البته همانطور كه در بخش‌هاي قبل نيز گفته شد، احراز‌هویت با استفاده از روش سنتي يعني شناسه كاربر و گذرواژه از نظر امنيتي كاملا نامناسب و نا مطلوب مي‌باشد.
32Email Securityپست الكترونيك به نوعي همچون سيستم پست غير الكترونيك، دغدغه‌هاي امنيتي مشابهي را دارا مي‌باشد. از جمله مهمترين اين نگراني‌هاي امنيتي مي‌توان به اطمينان از ارسال و دريافت صحيح نامه، اطمينان از هويت فرستنده و دريافت‌كننده نامه، اطمينان از عدم تغيير محتويات نامه، اطمينان از عدم بازشدن و خوانده‌شدن نامه توسط ديگران، ارسال نامه‌هاي محرمانه و رمزگذاري و رمزگشايي آن‌ها‌ و مواردي مانند آن اشاره نمود. جهت رفع و كاهش اين نگراني‌هاي امنيتي در حوزه پست الكترونيك از بدو پيدايش اين فناوري تا به امروز راه‌حل‌هاي متفاوت و متنوعي ارائه گرديده كه هر كدام به نوعي بخش كوچك يا بزرگي از دغدغه‌هاي امنيتي در اين حوزه را پوشش مي‌دهند.با استفاده از چهارچوب PKI و توكن‌هاي هوشمند در اين برنامه‌هاي دغدغه امنيت مراسلات در پست الكترونيك تا مقدار زيادي كاهش مي‌يابد. درواقع بدين ترتيب فرد دارنده توكن مي‌تواند نامه‌هاي رمزگذاري يا امضاشده ارسال داشته و همچنين نامه‌هاي دريافتي را نيز تنها خود رمزگشايي نمايد؛ در واقع رمزگشايي و توليد امضاء ديجيتال تنها و تنها توسط مالك توكن هوشمند ميسر خواهد بود.
33Web Single Sign Onاحراز هویت یکپارچه در وب همانند مورد مشابه در شبكه‌هاي كوچكتر در واقع امكاني است كه بمنظور كاهش پيچيدگي استفاده از شناسه‌ها و گذرواژه‌هاي متعدد به منظور دسترسي به مجموعه‌اي از برنامه‌هاي كاربردي و خدمات گوناگون ارائه‌شده توسط يك شركت يا موسسه در وب مورد استفاده قرار مي‌گيرد. در حقيقت كاربر به جاي اينكه لازم باشد جهت دسترسي و استفاده از هر برنامه كاربردي يا سرويس ارائه‌شده توسط سرورهای متعدد شبكه عمليات احراز هویت را به طور مجزا انجام دهد.توكن‌هاي هوشمند مي‌توانند ضمن فراهم آوردن امكان انجام روش موثر احراز هویت دو فاكتوري، دغدغه احراز هویت موثر در روش دسترسي‌هاي مختلف يكپارچه را مرتفع نمايند. در حقيقت در اين روش مي‌توان با استفاده از تنها يك توكن هوشمند و با به خاطرسپاري تنها يك گذرواژه كه همان پين‌كد توكن هوشمند مي‌باشد، امكان احراز‌هویت و دسترسي به برنا‌مه‌هاي كاربردي و خدمات متعدد سرويس‌دهندگان يك شبكه را فراهم نمود. توكن‌هاي هوشمند امكان نگهداري شناسه‌ها و اطلاعات لازم براي برنامه‌هاي كاربردي متعدد را نيز دارا مي‌باشد.
34امنیت در تجارت الکترونیک
35استاندارد PKCS#11در مباحث رمزنگاري، PKCS#11 يکي از اعضاي مجموعه استانداردهاي رمزنگاري کليد عمومي مي‌باشد. در اين استاندارد يک واسط برنامه‌سازي مستقل از سيستم عامل (platform) براي توکن‌ها، مانند ماجول‌هاي امنيتي سخت‌افزاري و کارت‌هاي هوشمند، تعريف شده‌است. استاندارد PKCS#11، اين واسط برنامه‌سازي را "Cryptoki" مي‌نامد که از ادغام کلمات عبارت"Cryptographic Token Interface" حاصل شده‌است. ولي اکثراً از عنوان PKCS#11 براي ارجاع به واسط برنامه‌سازي مذکور استفاده مي‌کنند.از آن جهت که استاندارد رسمي براي توکن‌ها با کاربرد رمزنگاري وجود ندارد، اين واسط برنامه‌سازي به منظور فراهم‌آوردن يک لايه انتزاعي براي عموم توکن‌ها با کاربرد رمزنگاري، توسعه يافته‌است. واسط برنامه‌سازيPKCS#11، بسياري از انواع شيءهاي رمزنگاري (کليدهاي RSA، گواهي‌هاي X.509 کليدهاي DES و 3DES و ...) و تمامي توابع مورد نياز براي استفاده از آن‌ها مانند ايجاد، تغيير و حذف اين اشياء را تعريف نموده‌است.نرم‌افزار اکثر مراکز گواهي تجاري از PKCS#11 براي دسترسي به کليد امضاي کاربران از توكن استفاده می‌کنند. نرم‌افزار مستقل از سيستم عامل که نياز به استفاده از توكن هوشمند دارد، PKCS#11 را بکار مي‌برد. Mozilla Firefox/Thunderbird و Adobe Professional از جمله اين نرم‌افزار‌ها مي‌باشند.

More Related Content

PPTX
Smart token
mollahosseini
 
PPSX
Smart token
mollahosseini
 
PPSX
Smart token
mollahosseini
 
PPTX
Smart token
mollahosseini
 
PPT
Information security & isms
meryamsiroos
 
PDF
TWT Trendradar: Intelligente Schaufenster für Museen
TWT
 
PPTX
Smart Cities, Smart Regions and the Role of Open Data
Johann Höchtl
 
PPTX
Ecosistema de una Smart City
Smart University
 
Smart token
mollahosseini
 
Smart token
mollahosseini
 
Smart token
mollahosseini
 
Smart token
mollahosseini
 
Information security & isms
meryamsiroos
 
TWT Trendradar: Intelligente Schaufenster für Museen
TWT
 
Smart Cities, Smart Regions and the Role of Open Data
Johann Höchtl
 
Ecosistema de una Smart City
Smart University
 

Viewers also liked (9)

PPT
Stanford University Give Smart presentation
liquidnetforgood
 
PPSX
My Smart University - Breaking the Barriers.pdf
Jaime Alfredo Cabrera
 
PDF
Smart University - The university as a platform
Thomas Roth-Berghofer
 
PPTX
Smart university presentation 27-8 2014
Jacob Knudsen
 
PPTX
The national and international vision for electricity grids
Thearkvalais
 
PPTX
Smart Meter Triple Play : du concret (de la théorie à la mise en oeuvre)
Thearkvalais
 
PPT
M2M ist smart
Orange Business Services
 
PDF
Gfk Smart Home Studie
myDLS
 
PDF
All about INCOTERMS latest revision
Mihai Guta
 
Stanford University Give Smart presentation
liquidnetforgood
 
My Smart University - Breaking the Barriers.pdf
Jaime Alfredo Cabrera
 
Smart University - The university as a platform
Thomas Roth-Berghofer
 
Smart university presentation 27-8 2014
Jacob Knudsen
 
The national and international vision for electricity grids
Thearkvalais
 
Smart Meter Triple Play : du concret (de la théorie à la mise en oeuvre)
Thearkvalais
 
M2M ist smart
Orange Business Services
 
Gfk Smart Home Studie
myDLS
 
All about INCOTERMS latest revision
Mihai Guta
 
Ad

Similar to Smart Token (20)

PPS
Aliakbarhassanpour securityproject
it88tabriz
 
PPTX
Authentication
peykanpour
 
PPTX
Authentication
peykanpour
 
PPSX
Authentication
peykanpour
 
PPTX
Authentication
peykanpour
 
PPSX
security in network
samaneirfan
 
PDF
آشنایی با زیرساخت کلید عمومی (PKI)
مرکز دولتی صدور گواهی الکترونیکی ریشه
 
PPTX
E Commerce Security
mdasgar
 
PPTX
Network security
Iman Rahmanian
 
POT
Default
mahdi_14263
 
PPT
Amniat
morycom
 
PPSX
Amniat(ghasemi)
mojtabaghasemiroshan
 
PPTX
Amniat
mojtabaghasemiroshan
 
PPTX
Rajabi security project
abnoos1
 
PPTX
Rajabi security project
abnoos1
 
PDF
معرفی مرکز دولتی صدور گواهی الکترونیکی ریشه
مرکز دولتی صدور گواهی الکترونیکی ریشه
 
PDF
امنیت شبکه
arichoana
 
PPT
E commerce security
meryamsiroos
 
PPTX
IOT security
leila valiei
 
PPTX
IOT security
leila valiei
 
Aliakbarhassanpour securityproject
it88tabriz
 
Authentication
peykanpour
 
Authentication
peykanpour
 
Authentication
peykanpour
 
Authentication
peykanpour
 
security in network
samaneirfan
 
آشنایی با زیرساخت کلید عمومی (PKI)
مرکز دولتی صدور گواهی الکترونیکی ریشه
 
E Commerce Security
mdasgar
 
Network security
Iman Rahmanian
 
Default
mahdi_14263
 
Amniat
morycom
 
Amniat(ghasemi)
mojtabaghasemiroshan
 
Amniat
mojtabaghasemiroshan
 
Rajabi security project
abnoos1
 
Rajabi security project
abnoos1
 
معرفی مرکز دولتی صدور گواهی الکترونیکی ریشه
مرکز دولتی صدور گواهی الکترونیکی ریشه
 
امنیت شبکه
arichoana
 
E commerce security
meryamsiroos
 
IOT security
leila valiei
 
IOT security
leila valiei
 
Ad

Smart Token

  • 1. بسم الّله الرّحمن الرّحیمتوکن های هوشمندامنيت و ...مريم ملاحسينی88610831زمستان 1389
  • 2. تاریخچه پیدایشمزایا و قابلیت‌ها زیرساخت کلید عمومیامنیت مبتنی بر PKIتوکن‌های هوشمندامنیت مبتنی بر توکنمعرفیPKCS#112
  • 3. 3تاریخچه پیدایشكارت‌هاي هوشمند و توكن‌هاي هوشمند USB به عنوان رايج‌ترين توكن‌هاي سخت‌افزاري امروزي شناخته مي‌شوند. كارت‌هاي هوشمند كه پيدايش اولين نمونه‌هاي آن به اواخر دهه 70 ميلادي در اروپا (فرانسه) باز مي‌گردد. در مقايسه با توكن‌هاي هوشمند USB كه اولين نمونه‌هاي آن در اواخر دهه 90 ميلادي توليد شدند، از قدمت بسيار بيشتري برخورداراند.‌
  • 4. 4مزایا و قابلیت‌های توکن هوشمندنگهداري امن و جلوگيري از دسترسي غير مجاز به داده‌ها و اطلاعات حساس كاربر
  • 5. امكان انجام اعمال رمزنگاري مانند رمزگذاري و يا امضانمودن داده‌ها بصورت سخت‌افزاري
  • 6. امكان دسترسي امن و مجاز به برنامه‌هاي كاربردي مختلف
  • 8. احراز هویت موثر كاربراينكه توكن‌هاي سخت‌افزاري به چه ميزان در برابر دسترسي‌هاي غير مجاز مقاوم هستند و مانع از دسترسي افراد غير مجاز به اطلاعات محرمانه موجود در خود مي‌گردند، موضوعي است كه جزء ويژگي‌هاي كليدي اين توكن‌ها محسوب مي‌گردد. به واقع امنيت توكن‌هاي سخت‌افزاري در برابر انواع حملات افراد غير مجاز جهت دسترسي و استفاده از اطلاعات موجود در توكن، از اهميت ويژه‌اي برخوردار است. در اين زمينه استانداردهاي مختلف امنيتي در دنيا وجود دارد كه امروزه توكن‌هاي سخت‌افزاري سعي در پشتيباني هرچه بيشتر اين استاندارها دارند. 5راه حل‌های امنیتیPKI BasedSecurity SolutionSmart Token Based
  • 9. 6چهارچوب زیرساخت کلید عمومیامروزه رمزنگاري نامتقارن و ساير راه‌حل‌هاي وابسته به آن چهارچوب و بستر امني را مهيا نموده‌است كه با استفاده از آن‌ها بخش عمده‌اي از دغدغه‌هاي امينتي در سيستم‌هاي اطلاعاتي قابل رفع و يا حداقل كاهش جدي مي‌باشند. اين چهارچوب و بستر كه امروزه PKI يا چهارچوب رمزنگاري مبتني بر كليد عمومي (Public Key Infrastructure) ناميده مي‌شود،‌ بطور بالقوه مي‌تواند بستر امنيتي مناسبي را در اختيار كاربران سيستم‌هاي اطلاعاتي فراهم نمايد.
  • 11. 8زیرساخت کلید عمومی و گواهی دیجیتالاز مهمترين دغدغه‌ها و مشكلات مطرح در رمزنگاري نامتقارن مي‌توان به مسئله توزيع مناسب كليد عمومي و جلوگيري از خطاها و سوء استفاده‌هاي احتمالي افراد خرابكار و همچنين محافظت از كليد خصوصي توسط فرد صاحب كليد، بطوريكه امكان نفوذ و دسترسي ساير افراد به آن وجود نداشته باشد، اشاره نمود. امروزه چهارچوب PKI با استفاده از مفهوم گواهي ديجيتال و مراكز صادركننده گواهي‌هاي ديجيتال مشكل اول كه همان توزيع مناسب كليد عمومي افراد باشد را حل نموده‌اند و در حقيقت مراكز صادركننده گواهي ديجيتال از مهمترين عناصر چهارچوب PKIمي‌باشند. هرچند تا مدت‌ها مشكل دوم و چگونگي نگهداري از كليد خصوصي محل بحث‌هاي فراوان بود ولي امروزه توكن‌هاي هوشمند مشكل نگهداري امن و مطمئن كليد خصوصي افراد را حل نموده‌اند.
  • 13. 10خدمات امضای دیجیتالگیرنده می‌تواند مطمئن باشد که اطلاعات حین انتقال تغییر نیافته‌است.گیرنده می‌تواند مطمئن باشد که فرستنده اطلاعات کیست.امضا كننده نمی‌تواند امضای اطلاعات را انکار نماید.
  • 14. 11PKIگیرندهفرستندهسفارشمهممهممهمآقای الفPUkVerify?PRk=ن/*%&6الن/*%&6الHashRSARSAHashPUkن/*%&6المعادل هشنامتقارننامتقارنسفارشمهممهممهمآقای الفسفارشمهممهممهمآقای الف$$$؟؟/*%$$$؟؟/*%امضای دیجیتالPUkInternetIntranetنحوه امضای دیجیتال یک پیامPUk
  • 15. 12امنيت مبتني بر زیرساخت کلید عمومیامن‌سازي هر برنامه كاربردي يا نرم‌افزارها و سخت‌افزارهاي مورد استفاده در سيستم‌هاي اطلاعاتي مقوله‌اي كاملا متفاوت از صرف ايجاد و توسعه آنها مي‌باشد. در واقع اگر در طراحي و ساخت نرم‌افزارها و سخت‌افزارها موارد امنيتي ملاحظه و اجرا نشده‌باشد، هيچ نرم‌افزار و سخت‌افزاري به خودي خود امن نخواهد بود. بسياري از سيستم‌هايي كه امروز مورد استفاده قرار مي‌گيرند امن نيستند و به‌منظور افزودن موارد امنيتي به آن‌ها بايد پروسه تحليل، ‌طراحي و ساخت راه حل امنيتي مربوطه را با صرف و تخصيص منابع مورد نياز به اجرا درآورد. جهت استفاده از راه‌حل امنيتي چهارچوب زیرساخت کلید عمومی نيز بايد برنامه‌هاي كاربردي را به خدمات امنيتي چهارچوب PKI مجهز نمود و به‌عبارتي آن‌ها را PK-Enabled نمود. هيچ محصولي به خودي خود امكان استفاده از خدمات امنيتي چهارچوب PKI را ندارد و به عبارتي هرمحصولي PK-Enabled نيست.
  • 16. 13چهارچوب PKI وتوکن های هوشمند توكن‌هاي هوشمند امروزه علاوه بر امكان مهم نگهداري امن كليد خصوصي و ساير اطلاعات حساس كاربر، امكان انجام سخت‌افزاري رمزگذاري با الگوريتم‌هاي رمزنگاري نامتقارن را نيز دارا مي‌باشند. تا مدت‌ها الگوريتم‌هاي مهم مورد استفاده دررمزنگاري نامتقارن مانند الگوريتم‌هاي رمزگذاري، رمزگشايي و همچنين توليد و بررسي امضاء ديجيتال مشكل كارايي و استفاده در موارد كاربرد عملي را دارا بودند. در واقع اجراي اين الگوريتم‌ها بصورت نرم‌افزاري فوق‌العاده زمان‌بر و كند و همچنين ناامن بودند؛‌ ولي امروزه توكن‌هاي هوشمند امكان انجام سخت‌افزاري اين اعمال را به شكل كاملا كارا، موثر و امن فراهم نموده‌اند.
  • 17. 14نگهداری امن کلیدهای خصوصیچهارچوب PKI وتوکن های هوشمند يكي از قابليت‌هاي مهم توكن‌هاي هوشمند امكان نگهداري امن اطلاعات حساس كاربر مي‌باشد؛ در نتيجه امكان نگهداري كليد خصوصي به‌عنوان مهمترين و حساس‌ترين اطلاع كاربر نيز در توكن‌هاي هوشمند ميسر خواهد بود و بدين ترتيب استفاده از توكن‌هاي هوشمند در كنار چهارچوب PKI‌ بستري را فراهم مي‌نمايد كه از نظر امنيتي سطح بسيار قابل قبولي از امنيت و اطمينان را در اختيار كاربران سيستم‌هاي اطلاعاتي قرار خواهد داد. در حقيقت دغدغه چگونگي محافظت از كليد خصوصي كه از دغدغه‌هاي سنتي در چهارچوب PKI‌ بوده‌است. بدين ترتيب به شكل بسيار مناسبي مرتفع مي‌گردد. تهيه و استفاده از اين توكن‌هاي هوشمند نيز همانطور كه اشاره شده، بدليل قيمت مناسب و همچنين سهولت استفاده براي كاربران عادي سيستم‌هاي اطلاعاتي نيز به سادگي ميسر مي‌باشد.
  • 18. چيپ هوشمند در واقع اصلي‌ترين و مهمترين عنصر موجود در كارت‌ها و يو‌اس‌بي توكن‌هاي هوشمند مي‌باشد. امروزه با وجود اين چيپ‌هاي هوشمند درحقيقت كارت‌ها و توكن‌هاي هوشمند به نوعي يك ميني كامپيوتر هستند كه با سيستم عامل خاص خود امكان پردازش و ذخيره‌سازي اطلاعات را به شيوه‌اي كاملا امن، به همراه انجام موثر اعمال رمزنگاري در اختيار كاربر قرار مي‌دهند.15چیپ هوشمند
  • 19. در يك چيپ هوشمند امروزي معمولا اجزاي اصلي شامل حافظه موقت، دائمي و قابل برنامه‌ريزي مجدد و همچنين پردازنده و كمك‌پردازنده مي‌باشد كه بدين ترتيب امكان انجام فرآيندهاي رمزنگاري در داخل چيپ و به شكل سخت‌افزاري فراهم مي‌باشد. با انجام اعمال رمزنگاري بصورت سخت‌افزاري و در واقع به كمك پياده‌سازي سخت‌افزاري الگوريتم‌هاي درهم‌سازی رمزنگاري و توليد كليد، كاهش محسوسي در زمان انجام اعمالي نظير رمزگذاري يا رمزگشايي و توليد كليد و امضاء فراهم آمده‌است. البته لازم به ذكر است كه علاوه بر اين‌ها، كيفيت و همچنين امنيت لازم در مورد فرآيندهاي رمزنگاري و توليد كليد نيز بدين ترتيب افزايش يافته‌است.16اجزای اصلی چیپ هوشمند
  • 20. 17كاركرد توابع درهم سازيوروديخروجي
  • 21. 18امنيت مبتني بر توکن‌های هوشمندتوكن‌هاي هوشمند ابزار موثري در راه‌حل امنيتي سيستم‌هاي اطلاعاتي تلقي مي‌شوند ولي بايد به اين نكته مهم توجه داشت كه امكان استفاده از توكن‌هاي هوشمند در برنامه‌هاي كاربردي يا نرم‌افزارها و سخت‌افزارهاي مختلف به خودي خود ميسر نمي‌باشد. در واقع استفاده از توكن‌هاي هوشمند بعنوان راه‌حل امنيتي، نيازمندي‌هاي خاص خود را دارد كه البته با مفهوم PK-Enabled‌ بودن هم كاملا متفاوت است. سيستم‌هاي بسياري امروزه PK-Enabled هستند اما امكان استفاده از توكن‌هاي هوشمند در آن‌ها وجود ندارد. افزودن و ايجاد اين امكان نيز نياز به عمليات و فرآيند وي‍‍ژه‌اي دارد. جهت استفاده از قابليت‌هاي توكن‌هاي هوشمند در كنار برنامه‌هاي كاربردي بايد آنها را بدين منظور مجهز نمود و به عبارتي آن‌ها را Smart Token-Enabledنمود.هيچ محصولي به خودی خود امكان استفاده از قابليت‌هاي توكن‌هاي هوشمند را ندارد به‌عبارتي هرمحصولی که PK-Enabled،لزوما Smart Token-Enabledنيست.
  • 22. 19راه حل‌هاي مبتني بر توكن‌هاي هوشمند
  • 23. 20احراز هویت دو فاکتوریاز روش‌هاي رايج و سنتي در هويت‌شناسي، استفاده از شناسه كاربر و گذرواژه مي‌باشد كه امروزه ضعف امنيتي و نامناسب بودن اين روش كاملا برهمگان اثبات گرديده‌است. بعنوان روش جايگزين، امروزه احراز هویت در سيستم‌هاي اطلاعاتي را نيز مانند سيستم‌هاي معمول احراز هويت در زندگي عادي به مواردي به غير از صرفا "چيزي كه كاربر مي‌داند" منتسب مي‌نمايند. مي‌توان مانند سيستم‌هاي احراز هويت روزمره، احراز هويت را به "چيزي كه كاربر دارد" نيز منتسب نمود؛ در واقع همانطور كه داشتن يك گذرنامه مي‌تواند عامل احراز هويت باشد،‌ در سيستم‌هاي اطلاعاتي نيز مي‌توان متناظري براي آن يافت و اين ابزار متناظر در واقع همان توكن‌هاي هوشمند هستند كه در كنار عامل ديگر يعني گذرواژه توكن، احراز هویت موثري را فراهم مي‌نمايد كه امروزه بعنوان احراز هويت دوفاكتوري شناخته مي‌گردند. در حقيقت در هويت‌شناسي دو فاكتوري تنها به آنچه كاربر مي‌داند (گذرواژه) اكتفا نمي‌گردد و براي انجام موفقيت‌آميز عمل هويت‌شناسي كاربر بايد حتما توكن هوشمند اختصاصي خود را نيز در اختيار داشته‌باشد.
  • 25. 22Boot Protectionيكي از موارد امنيتي مهم و مورد تاكيد كاربران عادي سيستم‌ها،‌ امكان حفاظت موثر در برابر دسترسي افراد غير مجاز به كامپيوترهاي شخصي مي‌باشد. در واقع افراد بسياري تمايل دارند كه از PC يا Notebook‌ شخصي خود محافظت نموده و امكان استفاده و دسترسي ساير افراد را مسدود نمايند. ناكارآمدي و مشكلات امنيتي روش سنتي رايج كه همان استفاده از گذرواژه بمنظور جلوگيري از بوت‌كردن و روشن‌كردن سيستم مي‌باشد امروز كاملا شناخته شده‌است. در واقع اين روش سنتي علاوه بر دارا بودن همه ضعف‌هاي گذرواژه به عنوان يك ابزار هويت‌شناسي، مشكل مهم ديگري را نيز دارا مي‌باشد؛ افراد غيرمجاز مي‌توانند با از كار انداختن باتري و منبع تغذيه داخلي سيستم و يا دستكاري در BIOS‌ آن گذرواژه را تغيير داده و يا از بين ببرند.
  • 26. 23Data Encryptionيكي از روش‌هاي موثر جهت حفاظت از اطلاعات حساس كاربر و جلوگيري از دسترسي افراد غير مجاز به اين اطلاعات، رمزگذاري آن‌ها مي‌باشد. در واقع با انجام يك رمزگذاري مناسب، داده‌ها به صورت و شكلي تبديل مي‌شوند كه هيچ اطلاعي در مورد حالت و وضعيت خود قبل از رمزگذاري در اختيار مشاهده كننده قرار نمي‌دهند. به عبارت ديگر بدين ترتيب پوششي حفاظتي بر روي داده‌ها گسترده مي‌شود كه برداشتن اين پوشش حفاظتي نيز تنها توسط دارنده كليد خصوصي ميسر مي‌باشد.با استفاده از توكن‌هاي هوشمند مي‌توان فرآيند رمزگذاري و حفاظت از داده‌هاي حساس كاربر را با امنيت و كارايي مناسب به انجام رسانيد. در يك راه‌حل امنيتي موثر در اين رابطه، كاربر مي‌تواند با متصل‌نمودن توكن به سيستم نسبت به رمزگذاري اطلاعات مورد نظر خود اقدام نمايد و رمزگشايي از اطلاعات رمزگذاري‌شده نيز تنها در صورتي ميسر خواهد بود كه كاربر دارنده توكن، توكن مذكور را مجددا به سيستم متصل نمايد. در حقيقت بدين ترتيب بدون دسترسي و مالكيت توكن فوق‌الذكر هيچ فردي نمي‌تواند نسبت به رمزگشايي و اطلاع از داده‌هاي محافظت‌شده اقدام نمايد.
  • 27. 24Program/Data Change Protectionگاهي اطلاعات و داده‌هاي كاربر از چنان اهميت و حساسيتي برخوردار نيست كه نيازمند رمزگذاري باشد ولي كاربر تمايل دارد اين داده‌ها بدون تغيير مانده و يا تغييرات احتمالي رخ داده در اين داده‌ها به وي اطلاع داده‌شود. به عبارت ديگر كاربر تمايل دارد لايه‌اي حفاظتي بر روي داده‌هاي مورد نظر خود قرار دهد بطوريكه هر نوع تغيير احتمالي در اين داده‌ها به اطلاع وي رسانده شود و در واقع كاربر از هرگونه تغييرات احتمالي رخ داده در داده‌هاي مورد نظر خود مطلع گردد. اين عمل در مورد برنامه‌هاي كاربردي نيز به همين ترتيب و مفهموم قابل تصور است. با استفاده از توكن‌هاي هوشمند كاربر مي‌تواند به نحوي موثر و غير قابل خدشه نسبت به ايجاد چنين لايه­ حفاظتي بر روي داده‌ها و برنامه‌هاي مورد نظر خود اقدام نموده و در نتيجه از كليه تغييرات احتمالي رخ‌داده در آن‌ها مطلع شود. بدين ترتيب تنها كاربر دارنده توكن است كه مي‌تواند نسبت به ايجاد اين لايه حفاظتي اقدام نموده و هيچ فرد ديگري نمي‌تواند نسبت به تغيير يا ايجاد مجدد اين لايه حفاظتي اقدام نمايد. امكان بررسي و اطلاع از تغييرات احتمالي داده‌ها نيز تنها توسط شخص دارنده توكن ميسر خواهد بود.
  • 28. 25Program Accessدسترس پذیری عبارتست از این که منابع سیستم مانند سرویس ها، برنامه های کاربردی و داده ها در دسترس افراد مجاز با کیفیت قابل قبول باشند. برای این کار باید از برنامه های خدماتی به گونه ای که بدون احراز هویت تنزل پیدا نکنند و تخریب نشوند حفاظت کرد. اگر هنگامی که یک کاربر مجاز به اطلاعات نیاز دارد سیستم و داده ها در دسترس نباشند نتیجه می تواند به اندازه زمانی که اطلاعات از روی سیستم حذف شده اند ناخوشایند باشد.در کنترل دسترسی نکات زیر قابل بررسی می باشد. دسترسی کاربران غیرمجاز به داده های محرمانه
  • 29. دستکاری غیرمجاز داده توسط کاربران مجاز
  • 30. دستکاری داده توسط کاربران غیرمجاز26امنيت در شبکه
  • 31. 27Network Logonاز نظر امنيتي ورود امن و مطمئن كاربر مجاز به شبكه و يا به سيستم ويندوز كه در اصطلاح، Loginكردن كاربر ناميده مي‌شود، از اهميت ويژه‌اي برخوردار مي‌باشد. در واقع جهت دسترسي به شبكه يا سيستم ويندوز در نخستين گام از كاربر احراز‌هويت به عمل آمده و هنگامي كه فرآيند احراز‌هویت با موفقيت به انجام رسيد، ادامه كار و فعاليت براي كاربر ميسر خواهد گرديد. روش سنتي و رايج بدين منظور استفاده از شناسه كاربر و گذرواژه مي‌باشد كه روشي كاملا ناامن و با درجه امنيتي بسيار پايين مي‌باشد. امكان نفوذ به سيستم‌هايي كه صرفا با استفاده از گذرواژه يا همان روش احراز‌هویت سنتي در سيستم‌هاي اطلاعاتي فعاليت مي‌نمايند، بسيار بالاست و در مواردي كه دغدغه مسائل امنيتي وجود دارد به هيچ عنوان استفاده از اين روش جهت هويت‌شناسي كاربران توصيه نمي‌گردد.
  • 32. يك شبکه خصوصی مجازی مطلوب در واقع شبكه به شدت حفاظت شده‌اي است كه امكان دسترسي افراد يك مجموعه خاص به اطلاعات و برنامه‌هاي كاربردي ويژه‌اي را از نقاط مختلف و در مواردي از طريق اينترنت يا وب فراهم مي‌نمايد. امنيت درVPN ها معمولا با استفاده از چهارچوب PKI تامين مي‌گردد؛ در واقع در اين نوع شبكه‌ها كليه تبادلات اطلاعاتي بين كاربر و سيستم به صورت رمزگذاري‌شده انجام گرديده و همچنين دسترسي به هر برنامه كاربردي يا مجموعه اطلاعات در اين شبكه نيازمند انجام عمليات هويت‌شناسي و احراز هويت كاربر مي‌باشد. همانطور كه اشاره شد روش سنتي هويت‌شناسي،‌ يعني استفاده از گذرواژه به هيچ عنوان مناسب اين نوع كاربردهاي حساس نمي‌باشد،‌ ضمن اينكه معمولا در يك VPN كاربر بايد جهت دسترسي‌هاي مختلف گذرواژه‌هاي متعددي نيز را نگهداري و در خاطر بسپارد.28Virtual Private Network
  • 33. 29Single Sign Onاحراز هویت یکپارچه در واقع امكاني است كه بمنظور كاهش پيچيدگي استفاده از شناسه‌ها و گذرواژه‌هاي متعدد به منظور دسترسي به مجموعه‌اي از برنامه‌هاي كاربردي و خدمات گوناگون در شبكه‌هاي كامپيوتري مورد استفاده قرار مي‌گيرد. در حقيقت كاربر به جاي اينكه لازم باشد جهت دسترسي و استفاده از هر برنامه كاربردي يا سرويس ارائه‌شده توسط سرويس‌دهندگان متعدد شبكه عمليات هويت‌شناسي و احراز هويت را به طور مجزا انجام دهد، در روش دسترسي‌هاي مختلف تنها از يك مجرا تنها كافيست كه در يك سرويس‌دهنده ويژه كه به همين منظور در اولين نقطه تماس كاربر با شبكه تعبيه شده‌است، عمل هويت‌شناسي انجام شده و سپس امكان دسترسي به خدمات و سرويس‌هاي ساير سرويس‌دهندگان شبكه نيز براي كاربر مهيا مي‌گردد. بديهي است كه انجام اين تنها عمل هويت‌شناسي نيازمند دقت نظر و توجه بيشتري باشد و در نتيجه استفاده از روش‌هاي موثر هويت‌شناسي مانند هويت‌شناسي دوفاكتوري در اين مورد به طوري جدي مورد تاكيد است.
  • 35. 31Authenticationاحراز هویت در وب و اينترنت از اهميت فوق‌العاده‌اي برخوردار مي‌باشد. در حقيقت در دنياي مجازي وب و اينترنت كاربران به نوعي كاملا گمنام‌اند و هويت واقعي‌شان گاه به‌كلي متفاوت از آنچه وانمود مي‌كنند، مي‌باشد. هرچند اين خصيصه شايد يكي از ويژگي‌هاي مثبت وب و اينترنت تلقي شود ولي در مواردي و حداقل در برخي كاربردها و خدمات، كاملا مي‌تواند مشكل آفرين باشد. موارد بسيار متعدد و فراواني را مي‌توان نام برد كه در آن اطلاع از اينكه كاربر چه كسي است و آيا اجازه لازم يا ارتباط لازم را دارد يا نه از اهميت برخوردار است؛ در كليه اين موارد احراز‌هویت و احراز‌هويت كاربران اهميت خواهد داشت و البته همانطور كه در بخش‌هاي قبل نيز گفته شد، احراز‌هویت با استفاده از روش سنتي يعني شناسه كاربر و گذرواژه از نظر امنيتي كاملا نامناسب و نا مطلوب مي‌باشد.
  • 36. 32Email Securityپست الكترونيك به نوعي همچون سيستم پست غير الكترونيك، دغدغه‌هاي امنيتي مشابهي را دارا مي‌باشد. از جمله مهمترين اين نگراني‌هاي امنيتي مي‌توان به اطمينان از ارسال و دريافت صحيح نامه، اطمينان از هويت فرستنده و دريافت‌كننده نامه، اطمينان از عدم تغيير محتويات نامه، اطمينان از عدم بازشدن و خوانده‌شدن نامه توسط ديگران، ارسال نامه‌هاي محرمانه و رمزگذاري و رمزگشايي آن‌ها‌ و مواردي مانند آن اشاره نمود. جهت رفع و كاهش اين نگراني‌هاي امنيتي در حوزه پست الكترونيك از بدو پيدايش اين فناوري تا به امروز راه‌حل‌هاي متفاوت و متنوعي ارائه گرديده كه هر كدام به نوعي بخش كوچك يا بزرگي از دغدغه‌هاي امنيتي در اين حوزه را پوشش مي‌دهند.با استفاده از چهارچوب PKI و توكن‌هاي هوشمند در اين برنامه‌هاي دغدغه امنيت مراسلات در پست الكترونيك تا مقدار زيادي كاهش مي‌يابد. درواقع بدين ترتيب فرد دارنده توكن مي‌تواند نامه‌هاي رمزگذاري يا امضاشده ارسال داشته و همچنين نامه‌هاي دريافتي را نيز تنها خود رمزگشايي نمايد؛ در واقع رمزگشايي و توليد امضاء ديجيتال تنها و تنها توسط مالك توكن هوشمند ميسر خواهد بود.
  • 37. 33Web Single Sign Onاحراز هویت یکپارچه در وب همانند مورد مشابه در شبكه‌هاي كوچكتر در واقع امكاني است كه بمنظور كاهش پيچيدگي استفاده از شناسه‌ها و گذرواژه‌هاي متعدد به منظور دسترسي به مجموعه‌اي از برنامه‌هاي كاربردي و خدمات گوناگون ارائه‌شده توسط يك شركت يا موسسه در وب مورد استفاده قرار مي‌گيرد. در حقيقت كاربر به جاي اينكه لازم باشد جهت دسترسي و استفاده از هر برنامه كاربردي يا سرويس ارائه‌شده توسط سرورهای متعدد شبكه عمليات احراز هویت را به طور مجزا انجام دهد.توكن‌هاي هوشمند مي‌توانند ضمن فراهم آوردن امكان انجام روش موثر احراز هویت دو فاكتوري، دغدغه احراز هویت موثر در روش دسترسي‌هاي مختلف يكپارچه را مرتفع نمايند. در حقيقت در اين روش مي‌توان با استفاده از تنها يك توكن هوشمند و با به خاطرسپاري تنها يك گذرواژه كه همان پين‌كد توكن هوشمند مي‌باشد، امكان احراز‌هویت و دسترسي به برنا‌مه‌هاي كاربردي و خدمات متعدد سرويس‌دهندگان يك شبكه را فراهم نمود. توكن‌هاي هوشمند امكان نگهداري شناسه‌ها و اطلاعات لازم براي برنامه‌هاي كاربردي متعدد را نيز دارا مي‌باشد.
  • 38. 34امنیت در تجارت الکترونیک
  • 39. 35استاندارد PKCS#11در مباحث رمزنگاري، PKCS#11 يکي از اعضاي مجموعه استانداردهاي رمزنگاري کليد عمومي مي‌باشد. در اين استاندارد يک واسط برنامه‌سازي مستقل از سيستم عامل (platform) براي توکن‌ها، مانند ماجول‌هاي امنيتي سخت‌افزاري و کارت‌هاي هوشمند، تعريف شده‌است. استاندارد PKCS#11، اين واسط برنامه‌سازي را "Cryptoki" مي‌نامد که از ادغام کلمات عبارت"Cryptographic Token Interface" حاصل شده‌است. ولي اکثراً از عنوان PKCS#11 براي ارجاع به واسط برنامه‌سازي مذکور استفاده مي‌کنند.از آن جهت که استاندارد رسمي براي توکن‌ها با کاربرد رمزنگاري وجود ندارد، اين واسط برنامه‌سازي به منظور فراهم‌آوردن يک لايه انتزاعي براي عموم توکن‌ها با کاربرد رمزنگاري، توسعه يافته‌است. واسط برنامه‌سازيPKCS#11، بسياري از انواع شيءهاي رمزنگاري (کليدهاي RSA، گواهي‌هاي X.509 کليدهاي DES و 3DES و ...) و تمامي توابع مورد نياز براي استفاده از آن‌ها مانند ايجاد، تغيير و حذف اين اشياء را تعريف نموده‌است.نرم‌افزار اکثر مراکز گواهي تجاري از PKCS#11 براي دسترسي به کليد امضاي کاربران از توكن استفاده می‌کنند. نرم‌افزار مستقل از سيستم عامل که نياز به استفاده از توكن هوشمند دارد، PKCS#11 را بکار مي‌برد. Mozilla Firefox/Thunderbird و Adobe Professional از جمله اين نرم‌افزار‌ها مي‌باشند.
  • 40. 36استاندارد PKCS#11در استاندارد PKCS#11 به هر ارتباطي که بين نرم‌افزار و يک توکن برقرار مي‌شود، نشست گفته مي‌شود که به دو دسته نشست R/O و نشست R/W تقسيم مي‌شود. در يک نشست R/O ، کاربر فقط جهت خواندن به اشياي ذخيره‌شده در توکن دسترسي دارد ولي در نشست R/W کاربر هم دسترسي خواندن و هم دسترسي نوشتن روي اشياي ذخيره‌شده در توکن را دارا مي‌باشد. هرگاه توسط يکي از نشست‌هاي نرم‌افزار هويت کاربر براي توكن احراز شود(Login شود)، تمام نشست‌هاي اين نرم‌افزار نسبت به توکن وضعيت Login پيدا مي‌کنند و هرگاه يک نشست با توکن در وضعيت Logout قرار گيرد تمام نشست‌هاي ديگر نرم‌افزار نيز در وضعيت Logout قرار مي‌گيرند.در Cryptoki توابع و نوع‌هاي داده‌اي مورد نياز جهت پياده‌سازي عمليات فوق معرفي و پيشنهاد شده‌است. نرم‌افزارهايي که براي ويندوز نوشته شده باشند، ممکن است به جاي PKCS#11 از واسط برنامه‌سازي MS-CAPI استفاده کنند که به سيستم عامل وابسته مي‌باشد.
  • 41. 37استاندارد PKCS#11در رابط برنامه‌نويسي Cryptoki عملياتي که در يک نشست تشکيل شده بين نرم‌افزار و توکن، قابل پياده‌سازي مي‌باشد به سه دسته کلي زير تقسيم مي‌شود:
  • 42. ما بدان مقصد عالی نتوانیم رسیدهم مگر پیش نهد لطف شما، گامی چند(حافظ)با تشکر از توجه شمابا سپاس38