تصدیق اصالت یا احراز هویت

تصدیق اصالت یا احراز هویت

اسلاید 1: امنیت شبکه‌های کامپیوتریتصديق اصالت يا احراز هويتAuthentication

اسلاید 2: روالي است که طي آن ،کاربر خود را به سيستم معرفي مي‌کند. مانند وارد کردن یک شناسه ورود یا Login ID. شناسایی يا تعيين هويت در حقیقت برای پاسخ‌گویی کاربر به اعمالی است که وی بر روی سیستم انجام می‌دهد. یعنی شناسایی در دنیای فناوری اطلاعات برابر با قابلیت حسابرسی فعالیت‌های کاربران در سیستم‌های اطلاعاتی است .شناسايي Identification

اسلاید 3: احراز هويت روالي است که طي آن سيستم اصالت هويت کاربر را بررسي نموده و ادعـاي کـاربر را تـصديق يـا تکذيب مي‌کند. به عبارت ديگر بررسي مي‌کند که آيا طرف ديگر ارتباط، هماني است که ادعا مي‌كند يـا فرد ديگري است که خود را به جاي او جا زده است.احراز هویت Authentication

اسلاید 4: تصديق اصالت با اين سوال سر و کار دارد که آيا شما حقيقتاً در حال ارتباط با يک فرد يا پروسه مجازهستيد. اما مجوز سنجي با اين مقوله سر و کار دارد که فرد يا پروسه، مجوز انجام چه کارهايي دارد.تصديق اصالت و مجوز سنجي (Authorization $ Authentication)

اسلاید 5: مثال: يک پروسه کلاينت با يک پروسه سرويس دهند ة فايل ارتباط برقرار کرده و اعلام مي‌کنـد مـن Bob هستم و مي‌خواهم فايل userlist.txt را حذف کنم. پروسه سرور بايد پاسخ دو سوال زير را پيدا کند:آيا اين پروسه واقعاً Bob است؟ آيا Bob اجازۀ حذف فايل userlist.txt را دارد؟ پاسخ به سؤال اول مشکل‌تر وحياتي‌تر است زيرا بررسي مجوزها مي‌تواند با جستجو در يـک پايگـاه اطلاعاتي به سادگي انجام گيرد ·تصديق اصالت و مجوز سنجي(ادامه)

اسلاید 6: احراز هويت به دو دسته اصلي تقسيم مي‌شود:احراز هويت هستار(Entity Authentication)سيستم از هويت كاربر يا پروسه‌اي كه ادعاي مجاز بودن دارد اطمينان حاصل مي‌كند.احراز هويت پيام(Message Authentication)هنگام دريافت پيام در مقصد، گيرنده از هويت ارسال كننده پيام و عدم تغییر پیام حین انتقال اطمينان مي‌يابد.

اسلاید 7: احراز هویت موجودیت تکنیکی است که طراحی شده تا یک طرف ارتباط، هویت طرف دیگر را اثبات کند. هستار می‌تواند یک فرد، یک فرایند، مشتری، یا یک سرور باشد. موجودیتی که هویت آن باید ثابت شود مدعی نامیده می‌شود. طرفی که برای اثبات هویت مدعی تلاش می‌کند تصدیق‌کننده نامیده می‌شود.تصديق اصالت موجودیت Entity Authentication

اسلاید 8: تصديق اصالت بر اساس اطلاعاتي که کاربر مي داند. مانند کلمه عبور و شماره‌هایی مانند پین کد ....تصديق اصالت بر اساس چيزهايي که کاربر در تملک خود دارد. مانند کليد فیزیکی يا smartcard و یا انواع Token ها و ...تصديق اصالت بر اساس ويژگي هاي منحصر به فردي که کـاربر دارد . ماننـد اثـر انگـشت يـا مردمک چشم تصديق اصالت بر اساس مکاني که فرد از آنجا ارتباط برقرار مي‌کند (عموماً در شبکه کاربرد دارد)روش‌هاي احراز هويت

اسلاید 9: در اين حالت دو روش مرسوم است :كلمه عبور توليد شده توسط كاربر (User Password Generated)به خاطر سپردن توسط کاربر راحت‌تر است .امکان دارد به راحتي توسط نفوذگر حدس زده شود. (Dictionary Attack)كلمه عبور توليد شده توسط سيستم (System Password Generated)به خاطر سپردن براي کاربر مشکل است.بـه راحتـي قابـل حدس زدن نيست.كلمه عبور password

اسلاید 10: در اين روش براي تصديق اصالت يک سري سوال که قبلاً از کاربر پرسيده شده است مي پرسيم .مانند: تيم مورد علاقه تاريخ تولد شماره شناسنامه نام همسر نام اولين مدرسه........ يک يا چندين سوال که کاربر قبلاً به آنها پاسخ داده در هر بار پرسيده مي شود و در هر بار ممکن است سوالات متفاوت باشد.مزيت:ميزان اطلاعاتي که مهاجم بايد براي ورود به سيستم به دست آورد زياد است .عيب:اگر مهاجم كاربر را بشناسد جواب برخي از اين سوال‌ها را مي‌داند.رمزعبور انجمني Associative Password

اسلاید 11: يکي از طرفين يک رشته تصادفي بزرگ را براي ديگري ارسـال مـي‌کنـد و طـرف مقابـل تبديل خاصي بر روي آن اعمال مي‌کند و حاصل را برمي‌گرداند و یا سوالی را می‌پرسد که طـرف مقابـل به اوپاسخ می‌دهد. طرف اول با بررسي اين حاصل پي به هويت طرف مقابل مي‌برد. اگر مقدار برگشت داده شده همان مقدار مورد انتظار طرف اول باشد هويت طرف مقابل تصديق مي‌شود. امروزه اين روش کاربرد زيادي دارد.پرسش- پاسخ Challenge Response

اسلاید 12: کپچا (CAPTCHA) این عبارت که سرنام برابر انگلیسی «آزمون همگانی کاملاً خودکارشده تورینگ برای مجزا کردن انسان و رایانه» است، یک سامانه امنیتی و روند ارزیابی است که برای جلوگیری از برخی حمله‌های خراب‌کارانه ربات‌های اینترنتی به‌کار می‌رود. کپچا گاهی «معکوس تست تورینگ» نامیده می‌شود. چون تست تورینگ توسط انسان برگزار می‌شود و هدفش تشخیص ماشین است اما کپچا توسط ماشین برگزار می‌شود و هدفش تشخیص انسان است. CAPTCHA :Completely Automated Public Turing test to tell Computers and Humans Apart12

اسلاید 13: کلیدهای فیزیکی فلش‌های USB می‌توانند به کلیدهای فیزیکی برای ورود به یک حریم شخصی بدل شوند. به عنوان مثال، تنها زمانی که فلش USB به رایانه متصل باشد امکان ورود به ایمیل کاربر برای او فراهم می‌شود.13

اسلاید 14: کارت هوشمند smart card

اسلاید 15: کارت اعتباری برای اولین بار در سال ۱۹۵۰ در ایالات متحده آمریکا به وجود آمد. شرکت داینرز با قراردادی مابین خود و چند رستوران اقدام به ایجاد سرویس پرداخت نمود، به طوری‌که مشتریان با ارائه کارت داینرز می‌توانستند از سرویس رستوران استفاده نموده و در پایان ماه به شرکت نام‌برده بدهی خود را پرداخت نمایند.15

اسلاید 16: کارت‌های اعتباری توسط سیستم‌های مختلف الکترونیک مدیریت و پردازش می‌شوند. آنها به طور کلی عبارتند از: کارت‌های دارای حافظه و پردازش‌گر (کارت هوشمند) کارت‌های پردازش همزمان (آنلاین) که عمدتاً به صورت کارت‌های مغناطیسی تهیه و عرضه می‌شوند و کارت‌های بدون تماس RFID(Radio-frequency identification)نکته:کارت‌های شناسایی دیگری نیز استفاده مي‌شوند ولی این سه نوع بیشترین استفاده را دارند. 16

اسلاید 17: در اروپا بیشتر از کارت‌های هوشمند و در آمریکا از کارت‌های مغناطیسی استفاده می‌شود.عيب: هر کس کارت را در اختيار داشته باشد مي‌تواند به عنوان کاربر مجاز وارد سيستم شود.راه حل: مي‌توان در حين عمليات علاوه بر كارت هوشمند، كلمه عبور نيز از كاربر درخواست كرد.

اسلاید 18: کارت‌های هوشمند در حال استفاده و یا در حال راه‌اندازی در ایرانکارت هوشمند بانکیکارت تلفنSIM Cardکارت مجموعه ورزشی انقلابکارت متروکارت سوختکارت سلامت: اطلاعات پزشکی افراد، بیمهکارت خودرو: گارانتی، بیمه

اسلاید 19: رمزیاب یا Token یک وسیله امنیتی (Secure Module)است که به منظور ایجاد رمزهای یک‌بار مصرف طراحی شده‌اند.توکن Token و به همین منظور به آنها OTP نیز گفته می‌شود. (One Time Password)

اسلاید 20: اکثر OTP ها بر مبناي احراز هویت با دو معیارعمل می‌کنند: معیار اول چیزي است که شما دارید (جواز/ نرم افزار شما) و معیار دوم چیزي است که شما می‌دانید (PIN code)Two Factor Authentication

اسلاید 21: کاربران نمی‌توانند گذرواژه‌هاي ضعیف انتخاب کنند. کافی است کاربران PIN را به خاطر بسپارند و دیگر نیازي به به خاطر سپردن گذرواژه‌هاي قوي نیست. گذرواژه‌هاي شنود شده، به دلیل یک‌بار مصرف بودن چندان به دردخور نیستند. برتري OTP ها برگذرواژه‌ها

اسلاید 22: کاربر باید کارت جواز را براي احراز هویت به همراه داشته باشد. OTP به سروري اضافی نیاز داردکه درخواست‌ها را از سرور احراز هویت دریافت کند. واردکردن گذرواژه با استفاده از OTP، بیشتر از واردکردن گذرواژه‌هاي عادي طول می‌کشد. OTP در شبکه‌هاي بزرگ گران تمام می‌شود.دلایل عدم جايگزينيOTP باگذرواژه‌هاي عادي

اسلاید 23: سیستم‌های بایومتریک از مکانیزم‌های نوع سوم فاکتورهای احراز هویت یعنی آنچه شما هستید مي‌باشند. بایومتریک یک سیستم خودکار است که انسان‌ها را از روی ویژگی‌های فیزیولوژیکی و همچنین رفتارهای فرد شناسایی و احراز هویت می‌کند. در این‌گونه سیستم‌ها یک پایگاه داده از تصاویر مربوط به ویژگی‌های فیزیولوژیکی افراد وجود دارد که به محض درخواست فرد برای احراز هویت، این تصاویر با تصویر ویژگی‌های فرد مقایسه شده و در نهایت در صورتی که تصویر مربوطه در پایگاه داده وجود داشته باشد شخص احراز هویت می‌شود.معیارهاي زیستی Biometric

اسلاید 24: مزايا:يكتا هستند.رونوشت‌برداري و دوباره‌سازي آنها سخت است. کاربر نیازي به همراه داشتن و به خاطر سپردن چیزي را ندارد. اشکالات :فناوري جدید بوده و هنوز به بلوغ نرسیده است. اطلاعات زیستی قابل تغییر یا ابطال نیست بنابراین با به دست آوردن این اطلاعات عملیات جعل هویت به سادگی امکان پذیر است. اگر شما از اطلاعات زیستی در چند سیستم استفاده کنید، مهاجم می‌تواند با نفوذ به ناامن‌ترین سیستم، اطلاعات شما را به دست آورده و به سیستم‌هاي دیگر نفوذ کند. معمولاً با استفاده از PIN امنیت این روش را بالاتر می برند.معیارهاي زیستی(ادامه)

اسلاید 25: احراز هويت پيام از روش‌هاي زير انجام مي‌گيرد:رمزنگاري متقارن(Symmetric Cipher)رمزنگاري كليد عمومي(Public Key Cipher)استفاده از كد احراز هويت پيام(MAC)استفاده از توابع درهم‌ساز(Hash)احراز هويت پيام (Message Authentication)

اسلاید 26: احراز هويت با رمز متقارنداده‌ها در مبدا(A) با كليد متقارن مشترك بين مبدا و مقصد رمز مي‌شوند. مقصد(B) با رمزگشايي پيام با همان كليد از مبدا پيام مطمئن مي‌شود. زيرا كس ديگري جز A اين كليد را نمي‌داند.سرويس هاي محرمانگي، احراز هويت و جامعيت برقرار است. اما مبدا و مقصد مي‌توانند به ترتيب ارسال و دريافت داده‌ها را انكار كنند.

اسلاید 27: داده‌ها در مبدا(A) با كليد خصوصي مبدا رمز مي‌شوند. مقصد(B) با رمزگشايي پيام با كليد عمومي Aاز مبدا پيام مطمئن مي‌شود.احراز هويت و جامعيت برقرار است.مبدا نمي‌تواند ارسال داده‌ها را انكار كند.محرمانگي نداريم.مقصد مي‌تواند دريافت داده‌ها را انكار كند.احراز هويت با رمزكليد عمومي

اسلاید 28: کد احرازهویت پیام (MAC) Message Authentication Codeدر رمزنگاری، یک کد اصالت سنجی پیام یا کد احراز هویت پیام عبارت است از تکه‌ی کوچکی از اطلاعات که برای اصالت سنجی یک پیام استفاده می‌شود.یک الگوریتم MAC که گاهی اوقات تابع درهم‌ساز رمزنگاری شده نامیده می‌شود یک کلید رمز و یک پیام دل‌خواه را به عنوان ورودی برای اصالت‌سنجی دریافت می‌کند و یکMAC را که گاهی اوقات از آن به عنوان برچسب نیز یاد می‌شود به عنوان خروجی تحویل می‌دهد.مقدار MAC هم‌زمان از صحت داده‌ی پیام و اصالت آن محافظت می‌کند. بدین ترتیب که فرد دارای کلید رمز می‌تواند هرگونه تغییرات را در محتوای پیام تشخیص دهد.

اسلاید 29: MAC مقداری است با طول ثابت و مشخص که از روی پیام و یک کلید به دست می‌آید.برای ایجاد MAC دو طرف باید یک کلید سری مشترک داشته باشند.مبدا از روی پیام M و با کلید K یک MAC محاسبه می‌کند C(K,M)وهمراه پیام برای مقصد ارسال می‌نماید. C را checksum هم می‌گویند.مقصد با استفاده از همان کلید از روی پیام دریافت شده MAC را محاسبه می‌کند.MAC مبدا با MAC مقصد مقایسه می‌شود و در صورتی که برابر باشند مقصد از اصالت مبدا ارسال کننده پیام مطمئن می‌شود.کد احرازهویت پیام(ادامه)

اسلاید 30: کد احرازهویت پیام(ادامه)

اسلاید 31: اگر تنها فرستنده و گیرنده از ماهیت کلید سری آگاه باشند و MAC مبدا و مقصد مساوی شوند:دریافت کننده مطمئن است که پیام از طرف شخص دیگری نیامده است.(احراز هویت پیام)دریافت کننده مطمئن است که داده‌هایی که دریافت کرده در بین راه تغییرداده نشده‌اند. (جامعیت)در این حالت محرمانگی وجود ندارد. همچنین مبدا و مقصد مي‌توانند به ترتيب ارسال و دريافت داده‌ها را انكار كنند. بنابراین کد احراز هویت پیام همانند رمزگذاری متقارن است با این تفاوت که لزومی ندارد که تابع MAC برگشت‌پذیر باشد.از لحاظ سرویس‌های امنیتی برقرار شده نیز MAC شبیه رمزگذاری متقارن است. با این تفاوت که محرمانگی وجود ندارد

اسلاید 32: در مواردی نیاز داریم که احراز هویت داشته باشیم و محرمانگی مورد نیاز نیست. برای مثال می‌خواهیم یک پیام را برای چند مقصد بفرستیم.معمولا در شبکه یک نفر مسئول احراز هویت می‌شود و در صورت وجود مشکل بقیه را خبر می‌کند. پس نیازی نیست همه احراز هویت کنند.اگر رمزگذاری متقارن کنیم همه مجبورند رمزگشایی کنند که باعث تاخیر می‌شود. MAC و محرمانگی

اسلاید 33: اگر تنها از MAC استفاه کنیم فقط احراز هویت انجام می‌شود.اگر بخواهیم محرمانگی هم داشته باشیم باید از رمز متقارن در کنار MAC استفاده کنیم.می‌توان رمزگذاری را قبل یا بعد از MAC انجام داد.کد احرازهویت پیام و محرمانگی

اسلاید 34: کد احرازهویت پیام و محرمانگی(ادامه)

اسلاید 35: یک نوع از کد احراز هویت پیام ،تابع درهم‌سازی است.همانند MAC یک تابع درهم‌سازی یک پیام با طول متغیر را به عنوان ورودی دریافت کرده و یک خروجی با طول ثابت و مشخص به عنوان کد درهم‌سازی را تولید می‌کند.برخلاف MAC، تابع درهم‌سازی از کلید استفاده نمی‌کند.به کد درهم‌سازی (Hash Code)، خلاصه پیام(Message Digest) نیز می‌گویند.از درهم‌سازی به روش‌های متعددی می‌توان برای احراز هویت استفاده کرد.تابع درهم‌سازی(Hash Function)

اسلاید 36: یک Hash از روی پیام محاسبه شده و پیام به همراه مقدار Hash با الگوریتم متقارن رمز می‌شود و ارسال می‌گردد.در مقصد پس از رمز گشایی مجددا از روی داده‌ها Hashمحاسبه شده و با Hash ارسال شده از مبدا مقایسه می‌شود.مبدا و مقصد مي‌توانند به ترتيب ارسال و دريافت داده‌ها را انكار كنند.این روش رایج نیست.استفاده ازHash(روش اول)

اسلاید 37: یک Hash از روی پیام محاسبه شده و با الگوریتم متقارن رمز و به همراه پیام ارسال می‌شود.زمانی مناسب است که:احراز هویت و جامعیت برقرار است.محرمانگی و عدم انكار مبدا برقرار نیست.محرمانگی مورد نیاز نیست.استفاده ازHash(روش دوم)

اسلاید 38: یک Hash از روی پیام محاسبه شده و با کلید خصوصی رمز می‌گردد و به همراه پیام ارسال می‌شود. به این روش امضاء دیجیتال هم می‌گویند.در مقصد امضاء بررسی می‌شود.امضاء با کلید عمومی مبدا رمزگشایی می‌شود.احراز هویت و جامعیت برقرار است. مبدا نمي‌تواند ارسال داده‌ها را انكار كند.محرمانگی و عدم انكار مقصد برقرار نیست. استفاده ازHash(روش سوم)

اسلاید 39: اگر بخواهیم به همراه امضاء دیجیتال محرمانگی هم داشته باشیم از این روش استفاده می‌شود. این روش بسیار رایج است.برای برقراری احراز هویت از امضاء دیجیتال و برای محرمانگی از رمزگذاری متقارن استفاده می‌کنیم.محرمانگی، جامعیت عدم انكار مبدا داریم.عدم انكار مقصد برقرار نیست.استفاده ازHash(روش چهارم)

اسلاید 40: بین احراز هویت پیام (مبدا داده) و احراز هویت موجودیت دو تفاوت وجود دارد:احراز هویت پیام ممکن است در زمان واقعی (Real Time) اتفاق نیفتد اما احراز هویت نهاد باید بی‌درنگ انجام شود.احراز هویت پیام به سادگی صحت یک پیام را اثبات می‌کند. این فرآیند باید برای هر پیام جدید تکرار شود. اما احراز هویت موجودیت برای تمام طول مدت یک جلسه به مدعی اعتبار می‌بخشد .نکته: بی‌درنگ یا زمان حقیقی (Real Time) به فرایندهایی گفته می‌شود که پاسخ یک محرک بی‌درنگ و بلافاصله بدون فاصله از رخداد محرک حاصل شود.احراز هویت پیام در مقابل احراز هویت موجودیت

اسلاید 41: 41خدا قوت