تصدیق اصالت یا احراز هویت
اسلاید 1: امنیت شبکههای کامپیوتریتصديق اصالت يا احراز هويتAuthentication
اسلاید 2: روالي است که طي آن ،کاربر خود را به سيستم معرفي ميکند. مانند وارد کردن یک شناسه ورود یا Login ID. شناسایی يا تعيين هويت در حقیقت برای پاسخگویی کاربر به اعمالی است که وی بر روی سیستم انجام میدهد. یعنی شناسایی در دنیای فناوری اطلاعات برابر با قابلیت حسابرسی فعالیتهای کاربران در سیستمهای اطلاعاتی است .شناسايي Identification
اسلاید 3: احراز هويت روالي است که طي آن سيستم اصالت هويت کاربر را بررسي نموده و ادعـاي کـاربر را تـصديق يـا تکذيب ميکند. به عبارت ديگر بررسي ميکند که آيا طرف ديگر ارتباط، هماني است که ادعا ميكند يـا فرد ديگري است که خود را به جاي او جا زده است.احراز هویت Authentication
اسلاید 4: تصديق اصالت با اين سوال سر و کار دارد که آيا شما حقيقتاً در حال ارتباط با يک فرد يا پروسه مجازهستيد. اما مجوز سنجي با اين مقوله سر و کار دارد که فرد يا پروسه، مجوز انجام چه کارهايي دارد.تصديق اصالت و مجوز سنجي (Authorization $ Authentication)
اسلاید 5: مثال: يک پروسه کلاينت با يک پروسه سرويس دهند ة فايل ارتباط برقرار کرده و اعلام ميکنـد مـن Bob هستم و ميخواهم فايل userlist.txt را حذف کنم. پروسه سرور بايد پاسخ دو سوال زير را پيدا کند:آيا اين پروسه واقعاً Bob است؟ آيا Bob اجازۀ حذف فايل userlist.txt را دارد؟ پاسخ به سؤال اول مشکلتر وحياتيتر است زيرا بررسي مجوزها ميتواند با جستجو در يـک پايگـاه اطلاعاتي به سادگي انجام گيرد ·تصديق اصالت و مجوز سنجي(ادامه)
اسلاید 6: احراز هويت به دو دسته اصلي تقسيم ميشود:احراز هويت هستار(Entity Authentication)سيستم از هويت كاربر يا پروسهاي كه ادعاي مجاز بودن دارد اطمينان حاصل ميكند.احراز هويت پيام(Message Authentication)هنگام دريافت پيام در مقصد، گيرنده از هويت ارسال كننده پيام و عدم تغییر پیام حین انتقال اطمينان مييابد.
اسلاید 7: احراز هویت موجودیت تکنیکی است که طراحی شده تا یک طرف ارتباط، هویت طرف دیگر را اثبات کند. هستار میتواند یک فرد، یک فرایند، مشتری، یا یک سرور باشد. موجودیتی که هویت آن باید ثابت شود مدعی نامیده میشود. طرفی که برای اثبات هویت مدعی تلاش میکند تصدیقکننده نامیده میشود.تصديق اصالت موجودیت Entity Authentication
اسلاید 8: تصديق اصالت بر اساس اطلاعاتي که کاربر مي داند. مانند کلمه عبور و شمارههایی مانند پین کد ....تصديق اصالت بر اساس چيزهايي که کاربر در تملک خود دارد. مانند کليد فیزیکی يا smartcard و یا انواع Token ها و ...تصديق اصالت بر اساس ويژگي هاي منحصر به فردي که کـاربر دارد . ماننـد اثـر انگـشت يـا مردمک چشم تصديق اصالت بر اساس مکاني که فرد از آنجا ارتباط برقرار ميکند (عموماً در شبکه کاربرد دارد)روشهاي احراز هويت
اسلاید 9: در اين حالت دو روش مرسوم است :كلمه عبور توليد شده توسط كاربر (User Password Generated)به خاطر سپردن توسط کاربر راحتتر است .امکان دارد به راحتي توسط نفوذگر حدس زده شود. (Dictionary Attack)كلمه عبور توليد شده توسط سيستم (System Password Generated)به خاطر سپردن براي کاربر مشکل است.بـه راحتـي قابـل حدس زدن نيست.كلمه عبور password
اسلاید 10: در اين روش براي تصديق اصالت يک سري سوال که قبلاً از کاربر پرسيده شده است مي پرسيم .مانند: تيم مورد علاقه تاريخ تولد شماره شناسنامه نام همسر نام اولين مدرسه........ يک يا چندين سوال که کاربر قبلاً به آنها پاسخ داده در هر بار پرسيده مي شود و در هر بار ممکن است سوالات متفاوت باشد.مزيت:ميزان اطلاعاتي که مهاجم بايد براي ورود به سيستم به دست آورد زياد است .عيب:اگر مهاجم كاربر را بشناسد جواب برخي از اين سوالها را ميداند.رمزعبور انجمني Associative Password
اسلاید 11: يکي از طرفين يک رشته تصادفي بزرگ را براي ديگري ارسـال مـيکنـد و طـرف مقابـل تبديل خاصي بر روي آن اعمال ميکند و حاصل را برميگرداند و یا سوالی را میپرسد که طـرف مقابـل به اوپاسخ میدهد. طرف اول با بررسي اين حاصل پي به هويت طرف مقابل ميبرد. اگر مقدار برگشت داده شده همان مقدار مورد انتظار طرف اول باشد هويت طرف مقابل تصديق ميشود. امروزه اين روش کاربرد زيادي دارد.پرسش- پاسخ Challenge Response
اسلاید 12: کپچا (CAPTCHA) این عبارت که سرنام برابر انگلیسی «آزمون همگانی کاملاً خودکارشده تورینگ برای مجزا کردن انسان و رایانه» است، یک سامانه امنیتی و روند ارزیابی است که برای جلوگیری از برخی حملههای خرابکارانه رباتهای اینترنتی بهکار میرود. کپچا گاهی «معکوس تست تورینگ» نامیده میشود. چون تست تورینگ توسط انسان برگزار میشود و هدفش تشخیص ماشین است اما کپچا توسط ماشین برگزار میشود و هدفش تشخیص انسان است. CAPTCHA :Completely Automated Public Turing test to tell Computers and Humans Apart12
اسلاید 13: کلیدهای فیزیکی فلشهای USB میتوانند به کلیدهای فیزیکی برای ورود به یک حریم شخصی بدل شوند. به عنوان مثال، تنها زمانی که فلش USB به رایانه متصل باشد امکان ورود به ایمیل کاربر برای او فراهم میشود.13
اسلاید 14: کارت هوشمند smart card
اسلاید 15: کارت اعتباری برای اولین بار در سال ۱۹۵۰ در ایالات متحده آمریکا به وجود آمد. شرکت داینرز با قراردادی مابین خود و چند رستوران اقدام به ایجاد سرویس پرداخت نمود، به طوریکه مشتریان با ارائه کارت داینرز میتوانستند از سرویس رستوران استفاده نموده و در پایان ماه به شرکت نامبرده بدهی خود را پرداخت نمایند.15
اسلاید 16: کارتهای اعتباری توسط سیستمهای مختلف الکترونیک مدیریت و پردازش میشوند. آنها به طور کلی عبارتند از: کارتهای دارای حافظه و پردازشگر (کارت هوشمند) کارتهای پردازش همزمان (آنلاین) که عمدتاً به صورت کارتهای مغناطیسی تهیه و عرضه میشوند و کارتهای بدون تماس RFID(Radio-frequency identification)نکته:کارتهای شناسایی دیگری نیز استفاده ميشوند ولی این سه نوع بیشترین استفاده را دارند. 16
اسلاید 17: در اروپا بیشتر از کارتهای هوشمند و در آمریکا از کارتهای مغناطیسی استفاده میشود.عيب: هر کس کارت را در اختيار داشته باشد ميتواند به عنوان کاربر مجاز وارد سيستم شود.راه حل: ميتوان در حين عمليات علاوه بر كارت هوشمند، كلمه عبور نيز از كاربر درخواست كرد.
اسلاید 18: کارتهای هوشمند در حال استفاده و یا در حال راهاندازی در ایرانکارت هوشمند بانکیکارت تلفنSIM Cardکارت مجموعه ورزشی انقلابکارت متروکارت سوختکارت سلامت: اطلاعات پزشکی افراد، بیمهکارت خودرو: گارانتی، بیمه
اسلاید 19: رمزیاب یا Token یک وسیله امنیتی (Secure Module)است که به منظور ایجاد رمزهای یکبار مصرف طراحی شدهاند.توکن Token و به همین منظور به آنها OTP نیز گفته میشود. (One Time Password)
اسلاید 20: اکثر OTP ها بر مبناي احراز هویت با دو معیارعمل میکنند: معیار اول چیزي است که شما دارید (جواز/ نرم افزار شما) و معیار دوم چیزي است که شما میدانید (PIN code)Two Factor Authentication
اسلاید 21: کاربران نمیتوانند گذرواژههاي ضعیف انتخاب کنند. کافی است کاربران PIN را به خاطر بسپارند و دیگر نیازي به به خاطر سپردن گذرواژههاي قوي نیست. گذرواژههاي شنود شده، به دلیل یکبار مصرف بودن چندان به دردخور نیستند. برتري OTP ها برگذرواژهها
اسلاید 22: کاربر باید کارت جواز را براي احراز هویت به همراه داشته باشد. OTP به سروري اضافی نیاز داردکه درخواستها را از سرور احراز هویت دریافت کند. واردکردن گذرواژه با استفاده از OTP، بیشتر از واردکردن گذرواژههاي عادي طول میکشد. OTP در شبکههاي بزرگ گران تمام میشود.دلایل عدم جايگزينيOTP باگذرواژههاي عادي
اسلاید 23: سیستمهای بایومتریک از مکانیزمهای نوع سوم فاکتورهای احراز هویت یعنی آنچه شما هستید ميباشند. بایومتریک یک سیستم خودکار است که انسانها را از روی ویژگیهای فیزیولوژیکی و همچنین رفتارهای فرد شناسایی و احراز هویت میکند. در اینگونه سیستمها یک پایگاه داده از تصاویر مربوط به ویژگیهای فیزیولوژیکی افراد وجود دارد که به محض درخواست فرد برای احراز هویت، این تصاویر با تصویر ویژگیهای فرد مقایسه شده و در نهایت در صورتی که تصویر مربوطه در پایگاه داده وجود داشته باشد شخص احراز هویت میشود.معیارهاي زیستی Biometric
اسلاید 24: مزايا:يكتا هستند.رونوشتبرداري و دوبارهسازي آنها سخت است. کاربر نیازي به همراه داشتن و به خاطر سپردن چیزي را ندارد. اشکالات :فناوري جدید بوده و هنوز به بلوغ نرسیده است. اطلاعات زیستی قابل تغییر یا ابطال نیست بنابراین با به دست آوردن این اطلاعات عملیات جعل هویت به سادگی امکان پذیر است. اگر شما از اطلاعات زیستی در چند سیستم استفاده کنید، مهاجم میتواند با نفوذ به ناامنترین سیستم، اطلاعات شما را به دست آورده و به سیستمهاي دیگر نفوذ کند. معمولاً با استفاده از PIN امنیت این روش را بالاتر می برند.معیارهاي زیستی(ادامه)
اسلاید 25: احراز هويت پيام از روشهاي زير انجام ميگيرد:رمزنگاري متقارن(Symmetric Cipher)رمزنگاري كليد عمومي(Public Key Cipher)استفاده از كد احراز هويت پيام(MAC)استفاده از توابع درهمساز(Hash)احراز هويت پيام (Message Authentication)
اسلاید 26: احراز هويت با رمز متقارندادهها در مبدا(A) با كليد متقارن مشترك بين مبدا و مقصد رمز ميشوند. مقصد(B) با رمزگشايي پيام با همان كليد از مبدا پيام مطمئن ميشود. زيرا كس ديگري جز A اين كليد را نميداند.سرويس هاي محرمانگي، احراز هويت و جامعيت برقرار است. اما مبدا و مقصد ميتوانند به ترتيب ارسال و دريافت دادهها را انكار كنند.
اسلاید 27: دادهها در مبدا(A) با كليد خصوصي مبدا رمز ميشوند. مقصد(B) با رمزگشايي پيام با كليد عمومي Aاز مبدا پيام مطمئن ميشود.احراز هويت و جامعيت برقرار است.مبدا نميتواند ارسال دادهها را انكار كند.محرمانگي نداريم.مقصد ميتواند دريافت دادهها را انكار كند.احراز هويت با رمزكليد عمومي
اسلاید 28: کد احرازهویت پیام (MAC) Message Authentication Codeدر رمزنگاری، یک کد اصالت سنجی پیام یا کد احراز هویت پیام عبارت است از تکهی کوچکی از اطلاعات که برای اصالت سنجی یک پیام استفاده میشود.یک الگوریتم MAC که گاهی اوقات تابع درهمساز رمزنگاری شده نامیده میشود یک کلید رمز و یک پیام دلخواه را به عنوان ورودی برای اصالتسنجی دریافت میکند و یکMAC را که گاهی اوقات از آن به عنوان برچسب نیز یاد میشود به عنوان خروجی تحویل میدهد.مقدار MAC همزمان از صحت دادهی پیام و اصالت آن محافظت میکند. بدین ترتیب که فرد دارای کلید رمز میتواند هرگونه تغییرات را در محتوای پیام تشخیص دهد.
اسلاید 29: MAC مقداری است با طول ثابت و مشخص که از روی پیام و یک کلید به دست میآید.برای ایجاد MAC دو طرف باید یک کلید سری مشترک داشته باشند.مبدا از روی پیام M و با کلید K یک MAC محاسبه میکند C(K,M)وهمراه پیام برای مقصد ارسال مینماید. C را checksum هم میگویند.مقصد با استفاده از همان کلید از روی پیام دریافت شده MAC را محاسبه میکند.MAC مبدا با MAC مقصد مقایسه میشود و در صورتی که برابر باشند مقصد از اصالت مبدا ارسال کننده پیام مطمئن میشود.کد احرازهویت پیام(ادامه)
اسلاید 30: کد احرازهویت پیام(ادامه)
اسلاید 31: اگر تنها فرستنده و گیرنده از ماهیت کلید سری آگاه باشند و MAC مبدا و مقصد مساوی شوند:دریافت کننده مطمئن است که پیام از طرف شخص دیگری نیامده است.(احراز هویت پیام)دریافت کننده مطمئن است که دادههایی که دریافت کرده در بین راه تغییرداده نشدهاند. (جامعیت)در این حالت محرمانگی وجود ندارد. همچنین مبدا و مقصد ميتوانند به ترتيب ارسال و دريافت دادهها را انكار كنند. بنابراین کد احراز هویت پیام همانند رمزگذاری متقارن است با این تفاوت که لزومی ندارد که تابع MAC برگشتپذیر باشد.از لحاظ سرویسهای امنیتی برقرار شده نیز MAC شبیه رمزگذاری متقارن است. با این تفاوت که محرمانگی وجود ندارد
اسلاید 32: در مواردی نیاز داریم که احراز هویت داشته باشیم و محرمانگی مورد نیاز نیست. برای مثال میخواهیم یک پیام را برای چند مقصد بفرستیم.معمولا در شبکه یک نفر مسئول احراز هویت میشود و در صورت وجود مشکل بقیه را خبر میکند. پس نیازی نیست همه احراز هویت کنند.اگر رمزگذاری متقارن کنیم همه مجبورند رمزگشایی کنند که باعث تاخیر میشود. MAC و محرمانگی
اسلاید 33: اگر تنها از MAC استفاه کنیم فقط احراز هویت انجام میشود.اگر بخواهیم محرمانگی هم داشته باشیم باید از رمز متقارن در کنار MAC استفاده کنیم.میتوان رمزگذاری را قبل یا بعد از MAC انجام داد.کد احرازهویت پیام و محرمانگی
اسلاید 34: کد احرازهویت پیام و محرمانگی(ادامه)
اسلاید 35: یک نوع از کد احراز هویت پیام ،تابع درهمسازی است.همانند MAC یک تابع درهمسازی یک پیام با طول متغیر را به عنوان ورودی دریافت کرده و یک خروجی با طول ثابت و مشخص به عنوان کد درهمسازی را تولید میکند.برخلاف MAC، تابع درهمسازی از کلید استفاده نمیکند.به کد درهمسازی (Hash Code)، خلاصه پیام(Message Digest) نیز میگویند.از درهمسازی به روشهای متعددی میتوان برای احراز هویت استفاده کرد.تابع درهمسازی(Hash Function)
اسلاید 36: یک Hash از روی پیام محاسبه شده و پیام به همراه مقدار Hash با الگوریتم متقارن رمز میشود و ارسال میگردد.در مقصد پس از رمز گشایی مجددا از روی دادهها Hashمحاسبه شده و با Hash ارسال شده از مبدا مقایسه میشود.مبدا و مقصد ميتوانند به ترتيب ارسال و دريافت دادهها را انكار كنند.این روش رایج نیست.استفاده ازHash(روش اول)
اسلاید 37: یک Hash از روی پیام محاسبه شده و با الگوریتم متقارن رمز و به همراه پیام ارسال میشود.زمانی مناسب است که:احراز هویت و جامعیت برقرار است.محرمانگی و عدم انكار مبدا برقرار نیست.محرمانگی مورد نیاز نیست.استفاده ازHash(روش دوم)
اسلاید 38: یک Hash از روی پیام محاسبه شده و با کلید خصوصی رمز میگردد و به همراه پیام ارسال میشود. به این روش امضاء دیجیتال هم میگویند.در مقصد امضاء بررسی میشود.امضاء با کلید عمومی مبدا رمزگشایی میشود.احراز هویت و جامعیت برقرار است. مبدا نميتواند ارسال دادهها را انكار كند.محرمانگی و عدم انكار مقصد برقرار نیست. استفاده ازHash(روش سوم)
اسلاید 39: اگر بخواهیم به همراه امضاء دیجیتال محرمانگی هم داشته باشیم از این روش استفاده میشود. این روش بسیار رایج است.برای برقراری احراز هویت از امضاء دیجیتال و برای محرمانگی از رمزگذاری متقارن استفاده میکنیم.محرمانگی، جامعیت عدم انكار مبدا داریم.عدم انكار مقصد برقرار نیست.استفاده ازHash(روش چهارم)
اسلاید 40: بین احراز هویت پیام (مبدا داده) و احراز هویت موجودیت دو تفاوت وجود دارد:احراز هویت پیام ممکن است در زمان واقعی (Real Time) اتفاق نیفتد اما احراز هویت نهاد باید بیدرنگ انجام شود.احراز هویت پیام به سادگی صحت یک پیام را اثبات میکند. این فرآیند باید برای هر پیام جدید تکرار شود. اما احراز هویت موجودیت برای تمام طول مدت یک جلسه به مدعی اعتبار میبخشد .نکته: بیدرنگ یا زمان حقیقی (Real Time) به فرایندهایی گفته میشود که پاسخ یک محرک بیدرنگ و بلافاصله بدون فاصله از رخداد محرک حاصل شود.احراز هویت پیام در مقابل احراز هویت موجودیت
اسلاید 41: 41خدا قوت
نقد و بررسی ها
هیچ نظری برای این پاورپوینت نوشته نشده است.