Smart token

1

بسم الّله الّرحمن الّرحیم

توکن های هوشمندامنيت در تجارت الکترونیک

1389زمستان

مريم مالحسينی8861083

فهرست مطالب

2

تاریخچه پیدایش

زیرساخت کلید عمومیPKIامنیت مبتنی بر

توکن های هوشمند

مزایا و قابلیت ها

امنیت مبتنی بر توکنPKCS#11 معرفی

3

تاریخچه پیدایش

پیدایش کارت های هوشمند•

ميالدي70اواخر دهه

USBپیدایش توكن های •

ميالدي90اواخر دهه

هوشمن;د توكن هاي و هوشمن;د توكن هاي USBكارت هاي رايج ترين عنوان ب;ه س;خت افزاري امروزي شناخت;ه مي شوند. كارت هاي هوشمن;د ك;ه پيداي;ش اولين

اواخ;ر ده;ه ب;ه آ;ن باز مي گردد. در 70نمونه هاي )فرانسه( اروپ;ا در ميالدي 90 ك;ه اولي;ن نمونه هاي آ;ن در اواخ;ر دهه USBمقايس;ه ب;ا توكن هاي هوشمن;د

ميالدي توليد شدند، از قدمت بسيار بيشتري برخورداراند.

4

مزایا و قابلیت های توکن هوشمند

به • مجاز غي;ر دس;ترسي از جلوگيري و ام;ن نگهداري داده ها و اطالعات حساس كاربر

يا • و رمزگذاري مانن;د رمزنگاري اعمال انجام امكان امضانمودن داده ها بصورت سخت افزاري

كاربردي • برنامه هاي به مجاز و ام;ن دس;ترسي امكان مختلف

راه حل های امنیتی•

احراز هویت موثر كاربر•

اينك;ه توكن هاي س;خت افزاري ب;ه چ;ه ميزان در برابر دس;ترسي هاي غي;ر مجاز مقاوم هستند و مان;ع از دس;ترسي افراد غي;ر مجاز ب;ه اطالعات محرمان;ه موجود در خود مي گردن;د، موضوعي توكن هاي امنيت واق;ع ب;ه مي گردد. محس;وب توكن ه;ا اي;ن كليدي ويژگي هاي جزء ك;ه اس;ت از اطالعات و استفاده افراد غي;ر مجاز جه;ت دس;ترسي انواع حمالت برابر س;خت افزاري در موجود در توك;ن، از اهمي;ت ويژه اي برخوردار اس;ت. در اي;ن زمين;ه اس;تانداردهاي مختل;ف امنيتي اين بيشت;ر هرچ;ه پشتيبان;ي در توكن هاي س;خت افزاري س;عي امروزه ك;ه دارد وجود دني;ا در

استاندارها دارند.

5

PKI Based Smart Token Based

Security Solution

راه حل های امنیتی

6

امروزه رمزنگاري نامتقارن و س;اير راه حل هاي وابس;ته ب;ه آ;ن چهارچوب و بستر دغدغه هاي از بخش عمده اي آن ه;ا از اس;تفاده ب;ا ك;ه نموده اس;ت مهي;ا را امن;ي

و ي;ا حداق;ل كاه;ش جدي مي باشند. اين امينت;ي در س;يستم هاي اطالعات;ي قاب;ل رف;ع ي;ا چهارچوب رمزنگاري مبتن;ي بر كلي;د عمومي PKIچهارچوب و بس;تر ك;ه امروزه

(Public Key Infrastructure ) امنيتي بالقوه مي توان;د بس;تر ناميده مي شود، بطور مناسبي را در اختيار كاربران سيستم هاي اطالعاتي فراهم نمايد.

چهارچوب زیرساخت کلید عمومی

7

دستاوردهای زیرساخت کلید عمومی

فراهم کردن سرویس محرمانگی از طریق رمزگذاری و رمزگشایی با دو

کلید متفاوت

فراهم کردن سرویس احراز

هویت و انکارناپذیری با

استفاده از مفهوم امضای دیجیتال

رفع مشکل توزیع کلید از طریق

انتشار کلید عمومی به همراه گواهی

دیجیتال

8

زیرساخت کلید عمومی و گواهی دیجیتال

از مهمتري;ن دغدغه ه;ا و مشكالت مطرح در رمزنگاري نامتقارن مي توان ب;ه مسئله توزي;ع مناس;ب كلي;د عموم;ي و جلوگ;يري از خطاه;ا و س;وء اس;تفاده هاي احتمالي از كلي;د خص;وصي توس;ط فرد ص;احب كليد، افراد خرابكار و همچني;ن محافظ;ت بطوريك;ه امكان نفوذ و دس;ترسي س;اير افراد ب;ه آ;ن وجود نداشت;ه باشد، اشاره

چهارچوب امروزه مراكز PKIنمود. و ديجيتال گواه;ي مفهوم از اس;تفاده ب;ا ص;ادركننده گواهي هاي ديجيتال مشك;ل اول ك;ه همان توزي;ع مناس;ب كلي;د عمومي از ديجيتال و در حقيق;ت مراك;ز ص;ادركننده گواهي نموده ان;د را ح;ل باش;د افراد

مي باشند. هرچند تا مدت ه;ا مشكل دوم و چگونگي PKIمهمترين عناصر چهارچوب توكن هاي امروزه ولي بود فراوان بحث هاي مح;ل خص;وصي كلي;د از نگهداري

هوشمند مشكل نگهداري امن و مطمئن كليد خصوصي افراد را حل نموده اند.

9

رمزنگاری نامتقارن

ENCRYPT

(LOCK)

Cleartext

Ciphertext

PublicKey

DECRYPT

(UNLOCK)

Ciphertext

PrivateKey

Cleartext

(Sender) (Receiver)

10امضای دیجیتال

عدم انکار

احرازهویت

حفظ تمامیت

خدمات امضای دیجیتال

امضا كننده نمی تواند امضای اطالعات را انکار

نماید.

گیرنده می تواند مطمئن باشد که

فرستنده اطالعات کیست.

گیرنده می تواند مطمئن باشد که اطالعات حین انتقال تغ;ییر نیافته است.

11

نحوه امضای دیجیتال یک پیام

Hash

سفارشمهممهممهم

آقای الف

PUk

فرستنده PUk

PRk

*/؟؟$$$%

امضای

دیجیتال

RSA

نامتقارن

ن/*معادلP ال%6&

هش

سفارشمهممهممهم

آقای الف

InternetIntranet

Hash

ن/*ال%6&

ن/*ال%6&

=

Verify?

گیرنده

سفارشمهممهممهم

آقای الف

PUk

*/؟؟$$$%

RSA

نامتقارن

PKI

PUk

12

امنيت مبتني بر زیرساخت کلید عمومی

در استفاده نرم افزاره;ا و س;خت افزارهاي مورد ي;ا كاربردي برنام;ه امن س;ازي ه;ر س;يستم هاي اطالعات;ي مقوله اي كامال متفاوت از ص;رف ايجاد و توس;عه آنها مي باشد. در واق;ع اگ;ر در طراح;ي و س;اخت نرم افزاره;ا و س;خت افزارها موارد امنيت;ي مالحظه ب;ه خودي خود ام;ن نخواهد بود. و اجرا نشده باش;د، هي;چ نرم افزار و س;خت افزاري و نيستند ام;ن مي گيرن;د قرار اس;تفاده مورد امروز ك;ه س;يستم هايي از بس;ياري به منظور افزودن موارد امنيتي به آن ها بايد پروسه تحليل، طراحي و ساخت راه حل

امنيتي مربوطه را با صرف و تخص;يص منابع مورد نياز به اجرا درآورد. بايد ني;ز ع;موم;ی کلی;د زیرس;اخت چهارچوب امنيت;ي راه ح;ل از اس;تفاده جه;ت

مجه;ز نمود و به عبارت;ي آن ها PKIبرنامه هاي كاربردي را ب;ه خدمات امنيت;ي چهارچوب نمود. هي;چ محص;ولي ب;ه خودي خود امكان اس;تفاده از خدمات امنيتي PK-Enabledرا

نيست.PK-Enabled را ندارد و به ع;بارتي هرمحصولي PKIچهارچوب

مهم امكان بر عالوه امروزه هوشمن;د توكن هاي اطالعات ساير و خص;وصي كلي;د ام;ن نگهداري سخت افزاري انجام امكان كاربر، حس;;;اس

را نامتقارن رمزنگاري الگوريتم هاي با رمزگذاري مهم الگوريتم هاي مدت ه;ا ت;ا مي باشند. دارا ني;ز مانند نامتقارن دررمزنگاري اس;;;تفاده مورد

همچنين و رمزگشاي;;ي رمزگذاري، الگوريتم هاي و كارايي مشك;ل ديجيتال امضاء بررس;ي و تولي;د در بودند. دارا را كاربرد عملي موارد در اس;تفاده نرم افزاري بصورت الگوريتم ه;ا اي;ن اجراي واق;ع بودند؛ ناام;ن و همچني;ن كن;د و فوق العاده زمان ;بر انجام امكان هوشمند توكن هاي امروزه ول;;ي كارا، كامال شكل ب;ه را اعمال اي;ن س;خت افزاري

موثر و امن فراهم نموده اند.13

وتوکن های PKIچهارچوب هوشمند

14

يك;ي از قابليت هاي مه;م توكن هاي هوشمن;د امكان نگهداري امن اطالعات حس;اس كاربر مي باش;د؛ در نتيج;ه امكان نگهداري كلي;د خصوصي به عنوان ميسر هوشمن;د توكن هاي در ني;ز كاربر اطالع حس;اس ترين و مهمتري;ن خواه;د بود و بدي;ن ترتي;ب اس;تفاده از توكن هاي هوشمند در كنار چهارچوب

PKI بس;تري را فراه;م مي نماي;د ك;ه از نظ;ر امنيت;ي س;طح بس;يار قاب;ل قبولي قرار اطالعاتي س;يستم هاي كاربران اختيار در را اطمينان و امني;ت از خواه;د داد. در حقيق;ت دغدغ;ه چگونگ;ي محافظ;ت از كلي;د خص;وصي كه از

بوده اس;ت. بدي;ن ترتي;ب ب;ه شك;ل بسيار PKIدغدغه هاي س;نتي در چهارچوب نيز توكن هاي هوشمن;د اي;ن از اس;تفاده و تهي;ه مرتف;ع مي گردد. مناس;بي همانطور ك;ه اشاره شده، بدلي;ل قيم;ت مناس;ب و همچني;ن سهولت استفاده

براي كاربران ع;ادي سيستم هاي اطالعاتي نيز به سادگي ميسر مي باشد.

وتوکن های PKIچهارچوب نگهداری امن کلیدهای خصوصی هوشمند

چي;پ هوشمن;د در واق;ع اص;لي ترين و مهمتري;ن عنص;ر موجود در كارت ها و چيپ هاي اين وجود ب;ا امروزه مي باشد. هوشمن;د توكن هاي يو اس; بي ميني ي;ك نوع;ي ب;ه هوشمن;د توكن هاي و كارت ه;ا درحقيق;ت هوشمن;د و پردازش امكان خود خاص عامل س;يستم ب;ا ك;ه هس;تند كامپيوت;ر موثر انجام همراه ب;ه ام;ن، كامال شيوه اي ب;ه را اطالعات ذخيره س;ازي

اعمال رمزنگاري در اختيار كاربر قرار مي دهند.

15

چیپ هوشمند

در يك چيپ هوشمند امروزي معموال اجزاي اصلي شام;ل حافظ;ه موق;ت، دائم;ي و قابل برنامه ريزي مجدد و همچنين پردازنده و كمك پردازنده مي باشد ك;ه بدي;ن ترتيب امكان انجام فرآيندهاي رمزنگاري فراهم ب;ه شك;ل س;خت افزاري و چي;پ داخ;ل در بصورت رمزنگاري اعمال انجام ب;;ا مي باشد. پياده سازي كم;ك ب;ه واق;ع در و س;خت افزاري س;خت افزاري الگوريتم هاي درهم سازی رمزنگاري انجام زمان در كاه;ش محسوسي كلي;د، تولي;د و توليد و رمزگشاي;ي ي;ا رمزگذاري نظي;ر اعمال;ي كلي;د و امضاء فراه;م آمده اس;ت. البت;ه الزم ب;ه ذكر اس;ت ك;ه عالوه بر اين ه;ا، كيفي;ت و همچني;ن امنيت كليد تولي;د و رمزنگاري فرآيندهاي مورد در الزم

نيز بدين ترتيب افزايش يافته است.

16

اجزای اصلی چیپ هوشمند

17

كاركرد توابع درهم سازي

ورودي خروجي

18

امنيت مبتني بر توکن های هوشمند

تلقي اطالعات;ي س;يستم هاي امنيت;ي راه ح;ل در موثري ابزار هوشمن;د توكن هاي مي شون;د ول;ي باي;د ب;ه اي;ن نكت;ه مه;م توج;ه داش;ت ك;ه امكان استفاده از توكن هاي هوشمن;د در برنامه هاي كاربردي ي;ا نرم افزاره;ا و س;خت افزارهاي مختل;ف به خودي خود ميس;ر نمي باشد. در واق;ع اس;تفاده از توكن هاي هوشمن;د بعنوان راه ح;ل امنيتي،

مفهوم ب;ا البت;ه ك;ه دارد را خود خاص كامال PK-Enabledنيازمندي هاي هم بودن هس;تند ام;ا امكان استفاده PK-Enabledمتفاوت اس;ت. س;يستم هاي بس;ياري امروزه

از توكن هاي هوشمن;د در آن ه;ا وجود ندارد. افزودن و ايجاد اي;ن امكان ني;ز نياز به عمليات و فرآيند وي ژه اي دارد.

جهت استفاده از قابليت هاي توكن هاي هوشمند در كنار برنامه هاي كاربردي بايد آنها نمود.Smart Token-Enabledرا بدين منظور مجهز نمود و به عبارتي آن ها را

هيچ محصولي به خودی خود امكان

استفاده از قابليت هاي توكن هاي

هوشمند را ندارد به عبارتي هرمحصوPلی

، لزوما PK-Enabledکه Smart Token-Enabled

نيست.

19

Smart Token

Internet Security

Network Security

E-Commerce SecurityPC

Security

راه حل هاي مبتني بر توكن هاي هوشمند

20

احراز هویت دو فاکتوری

و كاربر شناسه از اس;تفاده هويت شناس;ي، در س;نتي و راي;ج روش هاي از گذرواژ;ه مي باش;د ك;ه امروزه ضع;ف امنيت;ي و نامناس;ب بودن اين روش كامال برهمگان اثبات گرديده اس;ت. بعنوان روش جايگزي;ن، امروزه احراز هویت در در هويت احراز معمول س;يستم هاي مانن;د ني;ز را اطالعات;ي س;يستم هاي زندگ;ي عادي ب;ه مواردي ب;ه غي;ر از ص;رفا "چيزي ك;ه كاربر مي دان;د" منتسب مي نمايند. مي توان مانن;د س;يستم هاي احراز هوي;ت روزمره، احراز هويت را ب;ه "چيزي ك;ه كاربر دارد" ني;ز منتس;ب نمود؛ در واق;ع همانطور ك;ه داشت;ن يك نيز اطالعات;ي در س;يستم هاي باش;د، هوي;ت احراز عام;ل گذرنام;ه مي توان;د مي توان متناظري براي آ;ن ياف;ت و اي;ن ابزار متناظ;ر در واقع همان توكن هاي هوشمن;د هس;تند ك;ه در كنار عام;ل ديگ;ر يعن;ي گذرواژ;ه توك;ن، احراز هویت موثري را فراه;م مي نماي;د ك;ه امروزه بعنوان احراز هوي;ت دوفاك;توري شناخته كاربر آنچه ب;ه تنه;ا فاكتوري دو هويت شناس;ي در حقيق;ت در مي گردند. ع;مل موفقيت آمي;;ز انجام براي و نمي گردد اك;تف;;ا )گذرواژ;;ه( مي دان;;د هويت شناس;ي كاربر باي;د حتم;ا توك;ن هوشمن;د اختص;اصي خود را نيز در اختيار

داشته باشد.

حفاظت سيستم در برابر دسترسي غيرمجازBoot Protection

رمزگذاري و حفاظت از اطالعات حساس كاربرData Encryption

حفاظت از تغييرات داده ها و برنامه هاProgram/Data Change Protection

دسترسي به برنامه هاي كاربرديProgram Access

21

امنيت در كامپيوترهاي شخصي

22

Boot Protection

عادي سيستم ها، كاربران تاكي;د مورد و مه;م امنيت;ي موارد از يك;ي به مجاز غي;;ر افراد دس;;ترسي برابر در موث;;ر حفاظ;;ت امكان كامپيوترهاي شخص;ي مي باشد. در واق;ع افراد بس;ياري تماي;ل دارن;د كه

شخص;ي خود محافظ;ت نموده و امكان استفاده و Notebook ي;ا PCاز دس;ترسي س;اير افراد را مس;دود نمايند. ناكارآمدي و مشكالت امنيتي روش س;نتي راي;ج ك;ه همان اس;تفاده از گذرواژه بمنظور جلوگيري از شناخته كامال امروز مي باش;;د س;;يستم روشن كردن و بوت كردن همه بودن دارا بر عالوه س;نتي روش اي;ن واق;ع در شده اس;ت. ابزار هويت شناس;ي، مشك;ل مهم ي;ك عنوان ب;ه گذرواژ;ه ضع;ف هاي ديگري را ني;ز دارا مي باش;د؛ افراد غيرمجاز مي توانن;د ب;ا از كار انداختن

آن گذرواژه BIOSباتري و منب;ع تغذي;ه داخل;ي س;يستم و يا دس;تكاري در را تغيير داده و يا از بين ببرند.

23

Data Encryption

يك;ي از روش هاي موث;ر جه;ت حفاظ;ت از اطالعات حساس كاربر و جلوگيري از دس;ترسي افراد غي;ر مجاز ب;ه اي;ن اطالعات، رمزگذاري آن ها مي باشد. در تبديل شكل;ي و ص;ورت ب;ه داده ه;ا مناس;ب، رمزگذاري ي;ك انجام ب;ا واق;ع مي شون;د كه هيچ اطالع;ي در مورد حال;ت و وضعي;ت خود قبل از رمزگذاري در ترتي;ب پوششي بدي;ن ديگ;ر ب;ه عبارت كننده قرار نمي دهند. اختيار مشاهده حفاظت;ي بر روي داده ه;ا گس;ترده مي شود ك;ه برداشت;ن اي;ن پوش;ش حفاظتي

نيز تنها توسط دارنده كليد خصوصي ميسر مي باشد.از حفاظت و رمزگذاري فرآين;د مي توان هوشمن;د توكن هاي از اس;تفاده ب;ا داده هاي حس;اس كاربر را ب;ا امني;ت و كاراي;ي مناس;ب ب;ه انجام رس;انيد. در يك راه ح;ل امنيت;ي موث;ر در اي;ن رابط;ه، كاربر مي توان;د ب;ا متص;ل نمودن توك;ن به و نمايد اقدام خود نظ;ر مورد اطالعات رمزگذاري ب;ه نس;بت س;يستم رمزگشاي;ي از اطالعات رمزگذاري شده ني;ز تنه;ا در ص;ورتي ميس;ر خواهد بود در نمايد. ب;ه س;يستم متصل را مجددا توك;ن مذكور توك;ن، دارنده كاربر ك;ه بدي;ن ترتي;ب بدون دس;ترسي و مالكي;ت توك;ن فوق الذك;ر هيچ فردي حقيق;ت اقدام محافظت شده داده هاي از اطالع و رمزگشايي ب;ه نس;بت نمي توان;د

نمايد.

24

Program/Data Change Protection

گاه;ي اطالعات و داده هاي ك;اربر از چنان اهمي;ت و حس;اسيتي برخوردار نيس;ت كه نيازمن;د رمزگذاري باش;د ول;ي كاربر تماي;ل دارد اي;ن داده ه;ا بدون تغيي;ر مانده و يا تغييرات احتمال;ي رخ داده در اي;ن داده ه;ا ب;ه وي اطالع داده شود. ب;ه عبارت ديگر دهد قرار خود نظ;ر مورد داده هاي روي بر حفاظت;ي اليه اي دارد تماي;ل كاربر بطوريك;ه ه;ر نوع; تغ;يي;ر احتمال;ي در اي;ن داده ه;ا ب;ه اطالع وي رسانده شود و در واق;ع ك;اربر از هرگون;ه تغييرات احتمال;ي رخ داده در داده هاي مورد نظ;ر خود مطلع گردد. اي;ن عم;ل در مورد برنامه هاي كاربردي ني;ز ب;ه همي;ن ترتي;ب و مفهموم قابل

تصور است. ب;ا اس;تفاده از توكن هاي هوشمن;د كاربر مي توان;د ب;ه نحوي موث;ر و غي;ر قاب;ل خدشه ب;ه ايجاد چني;ن الي;ه حفاظت;ي بر روي داده ه;ا و برنامه هاي مورد نظر خود نس;بت آن ه;ا مطلع شود. احتمال;ي رخ داده در تغ;ييرات از كلي;ه نتيج;ه و در نموده اقدام تنه;ا كاربر دارنده توك;ن اس;ت ك;ه مي توان;د نس;بت ب;ه ايجاد اي;ن اليه بدي;ن ترتي;ب حفاظت;ي اقدام نموده و هي;چ فرد ديگري نمي توان;د نس;بت ب;ه تغيي;ر يا ايجاد مجدد اي;ن الي;ه حفاظت;ي اقدام نمايد. امكان بررس;ي و اطالع از تغييرات احتمال;ي داده ها

نيز تنها توسط شخص دارنده توكن ميسر خواهد بود.

25

Program Access

ها، س;رویس مانن;د س;یستم مناب;ع ک;ه ای;ن از عبارتس;ت پذیری دس;ترسقابل کیفی;ت ب;ا مجاز افراد دس;ترس در ه;ا داده و کاربردی های برنام;ه . بدون ک;ه ای گونه به خدماتی های برنامه از باید ک;ار این برای باشند قبول . هنگامی اگ;ر کرد حفاظ;ت نشون;د تخری;ب و نکنن;د پیدا تنزل هوی;ت احرازدسترس در ه;ا داده و س;یستم دارد نیاز اطالعات ب;ه مجاز کاربر ی;ک ک;هسیستم روی از اطالعات ک;ه زمان;ی اندازه ب;ه توان;د م;ی نتیج;ه نباشن;د

. باشد ناخوشاین;د ان;د شده قابل حذف زی;ر نکات دس;ترسی کنترل در بررسی می باشد.

دسترسی کاربران غیرمجاز به داده های محرمانهدستکاری غیرمجاز داده توسط کاربران مجازدستکاری داده توسط کاربران غیرمجاز

ورود امن به شبكه Network Logon

امنيت در شبكه خصوصي مجازي VPN Security

احراز هویت یکپارچهSingle Sign On

26

امنيت در شبکه

27

Network Logon

به ي;ا و ب;ه شبك;ه مجاز كاربر و مطمئ;ن ام;ن ورود امنيت;ي نظ;ر از كردن كاربر ناميده مي شود، از Loginس;يستم ويندوز ك;ه در اصطالح،

اهمي;ت ويژه اي برخوردار مي باشد. در واق;ع جه;ت دس;ترسي ب;ه شبكه ي;ا س;يستم ويندوز در نخس;تين گام از كاربر احراز هوي;ت ب;ه عمل آمده و هنگام;ي ك;ه فرآين;د احراز هوی;ت ب;ا موفقي;ت ب;ه انجام رس;يد، ادامه كار و فعالي;ت براي كاربر ميس;ر خواه;د گرديد. روش س;نتي و راي;ج بدين منظور اس;تفاده از شناس;ه كاربر و گذرواژ;ه مي باش;د ك;ه روشي كامال به نفوذ امكان مي باشد. پايي;ن بس;يار امنيت;ي درج;ه ب;ا و ناام;ن روش همان يا گذرواژ;ه از اس;تفاده ب;ا ص;رفا ك;ه س;يستم هايي احراز هوی;ت س;نتي در س;يستم هاي اطالعات;ي فع;الي;ت مي نماين;د، بسيار ب;ه هيچ دارد امنيت;ي وجود ك;ه دغدغ;ه مس;ائل و در مواردي باالس;ت توصيه كاربران هويت شناس;ي جه;ت روش اي;ن از اس;تفاده عنوان

نمي گردد.

حفاظت شدت ب;ه شبك;ه واق;ع در مطلوب مجازی خص;وصی شبک;ه ي;ك شده اي اس;ت ك;ه امكان دس;ترسي افراد ي;ك مجموع;ه خاص به اطالعات و طريق از مواردي در و مختل;ف نقاط از را ويژه اي كاربردي برنامه هاي

در امني;ت مي نمايد. فراه;م وب ي;ا از VPNاينترن;ت استفاده ب;ا معموال ه;ا تبادالت PKIچهارچوب كليه نوع شبكه ه;ا اي;ن در واق;ع در تامي;ن مي گردد؛

انجام گرديده و ب;ه صورت رمزگذاري شده بي;ن كاربر و س;يستم اطالعات;ي همچني;ن دس;ترسي ب;ه ه;ر برنام;ه كاربردي ي;ا مجموع;ه اطالعات در اي;ن شبكه نيازمند انجام عمليات هويت شناسي و احراز هويت كاربر مي باشد. همانطور ك;ه اشاره ش;د روش س;نتي هويت شناس;ي، يع;ن;ي اس;تفاده از گذرواژ;ه ب;ه هيچ عنوان مناس;ب اي;ن نوع كاربردهاي حس;اس نمي باش;د، ضم;ن اينكه معموال در

كاربر باي;د جه;ت دس;ترسي هاي مختل;ف گذرواژه هاي متعددي نيز را VPNي;ك 28نگهداري و در خاطر بسپارد.

Virtual Private Network

29

Single Sign On

پيچيدگي كاه;ش بمنظور ك;ه اس;ت امكان;ي واق;ع در یکپارچ;ه هوی;ت احراز اس;تفاده از شناس;ه ها و گذرواژه هاي متعدد ب;ه منظور دس;ترسي به مجموعه اي مورد كامپيوتري شبكه هاي در گوناگون خدمات و كاربردي برنامه هاي از جهت باش;د الزم اينك;ه جاي ب;ه كاربر حقيق;ت در مي گيرد. قرار اس;تفاده توسط ارائه شده س;رويس ي;ا كاربردي برنام;ه ه;ر از اس;تفاده و دس;ترسي س;رويس دهندگان متعدد شبك;ه عمليات هويت شناس;ي و احراز هوي;ت را به طور مجزا انجام ده;د، در روش دس;ترسي هاي مختل;ف تنه;ا از ي;ك مجرا تنه;ا كافيست ك;ه در ي;ك س;رويس دهنده ويژ;ه ك;ه ب;ه همي;ن منظور در اولي;ن نقطه تماس كاربر امكان سپس و شده انجام هويت شناس;ي عم;ل شده اس;ت، تع;بيه شبك;ه ب;ا براي نيز ب;ه خدمات و س;رويس هاي س;اير س;رويس دهندگان شبك;ه دس;ترسي كاربر مهي;ا مي گردد. بديه;ي اس;ت ك;ه انجام اي;ن تنه;ا ع;م;ل هويت شناس;ي نيازمند موثر روش هاي از اس;تفاده نتيج;ه در و باش;د بيشتري توج;ه و نظ;ر دق;ت جدي طوري به مورد اي;ن در دوفاكتوري هويت شناس;ي مانن;د هويت شناس;ي

مورد تاكيد است.

احراز هويت موثر كاربر Authentication

امنيت پست الكترونيكEmail Security

احراز هویت یکپارچه Web Single Sign On

30

امنيت در اینترنت و وب

31

Authentication

احراز هوی;ت در وب و اينترن;ت از اهميت فوق العاده اي برخوردار مي باشد. در و گمنام اند كامال نوع;ي ب;ه كاربران اينترن;ت و وب مجازي دنياي در حقيق;ت هوي;ت واقعي شان گاه به كل;ي متفاوت از آنچ;ه وانمود مي كنن;د، مي باشد. هرچند اي;ن خص;يصه شاي;د يك;ي از ويژگي هاي مثب;ت وب و اينترن;ت تلق;ي شود ولي در مواردي و حداق;ل در برخ;ي كاربرده;ا و خدمات، كامال مي توان;د مشك;ل آفرين از آن اطالع در ك;ه برد نام را مي توان و فراوان;ي بس;يار متع;دد باشد. موارد از نه ي;ا ارتباط الزم را دارد ي;ا آي;ا اجازه الزم اينك;ه كاربر چ;ه كس;ي اس;ت و اهمي;ت برخوردار اس;ت؛ در كلي;ه اي;ن موارد احراز هوی;ت و احراز هويت كاربران گفت;ه شد، ني;ز قب;ل در بخش هاي ك;ه البت;ه همانطور و اهمي;ت خواه;د داش;ت احراز هوی;ت ب;ا اس;تفاده از روش س;نتي يعن;ي شناس;ه ك;اربر و گذرواژ;ه از نظر

امنيتي كامال نامناسب و نا مطلوب مي باشد.

32

Email Security

دغدغه هاي الكترونيك، غي;ر پس;ت س;يستم همچون نوع;ي ب;ه الكتروني;ك پس;ت امنيتي نگراني هاي اي;ن مهمتري;ن جمل;ه از مي باشد. دارا را مشابه;ي امنيت;ي مي توان ب;ه اطمينان از ارس;ال و درياف;ت ص;حيح نام;ه، اطمينان از هويت فرستنده عدم از اطمينان نامه، محتويات تغ;يي;ر عدم از اطمينان نام;ه، دريافت كننده و و محرمانه نامه هاي ارس;;ال ديگران، توس;;ط نام;;ه خوانده شدن و بازشدن و رفع جه;ت نمود. اشاره آ;ن مانن;د مواردي و آن ها رمزگشاي;ي و رمزگذاري اين پيداي;ش بدو از الكتروني;ك پس;ت حوزه در امنيت;ي نگراني هاي اي;ن كاه;ش فناوري ت;ا ب;ه امروز راه حل هاي متفاوت و متنوع;ي ارائ;ه گرديده ك;ه ه;ر كدام به پوشش را حوزه اي;ن در امنيت;ي دغدغه هاي از بزرگ;ي ي;ا ك;وچ;ك بخ;ش نوع;ي

مي دهند. و توكن هاي هوشمن;د در اي;ن برنامه هاي دغدغ;ه امنيت PKIبا اس;تفاده از چهارچوب

مراس;الت در پس;ت الكتروني;ك ت;ا مقدار زيادي كاه;ش مي يابد. درواق;ع بدي;ن ترتيب و داشته ارس;ال امضاشده ي;ا رمزگذاري نامه هاي مي توان;د توك;ن دارنده فرد همچني;ن نامه هاي دريافت;ي را ني;ز تنه;ا خود رمزگشايي نمايد؛ در واقع رمزگشايي و

توليد امضاء ديجيتال تنها و تنها توسط مالك توكن هوشمند ميسر خواهد بود.

33

Web Single Sign On

احراز هوی;ت یکپارچ;ه در وب همانن;د مورد مشاب;ه در شبكه هاي كوچكت;ر در واقع امكان;ي اس;ت ك;ه بمنظور كاه;ش پيچيدگ;ي اس;تفاده از شناسه ها و گذرواژه هاي خدمات و كاربردي برنامه هاي از مجموعه اي به دس;ترسي منظور ب;ه متع;دد استفاده قرار ي;ا موس;سه در وب مورد ي;ك شرك;ت ارائه شده توس;ط گوناگون مي گ;يرد. در حقيق;ت كاربر ب;ه جاي اينك;ه الزم باش;د جه;ت دس;ترسي و استفاده از ه;ر برنام;ه كاربردي ي;ا س;رويس ارائه شده توس;ط س;رورهای متع;دد شبكه عمليات

احراز هویت را به طور مجزا انجام دهد.توكن هاي هوشمن;د مي توانن;د ضم;ن فراه;م آوردن امكان انجام روش موثر احراز احراز هوی;ت موث;ر در روش دس;ترسي هاي مختلف فاكتوري، دغدغ;ه دو هوی;ت يكپارچ;ه را مرتف;ع نمايند. در حقيق;ت در اي;ن روش مي توان ب;ا اس;تفاده از تنه;ا يك توكن پين ك;د ك;ه همان گذرواژ;ه ي;ك تنه;ا خاطرس;پاري ب;ه ب;ا و توك;ن هوشمن;د و كاربردي برنا مه هاي به دس;ترسي و احراز هوی;ت امكان مي باش;د، هوشمن;د توكن هاي هوشمند نمود. فراه;م را ي;ك شبك;ه متع;دد س;رويس دهندگان خدمات امكان نگهداري شناس;ه ها و اطالعات الزم براي برنامه هاي كاربردي متعدد را نيز

دارا مي باشد.

SmartToken

E-Payment

E-Health

E-Banking

E-Voting

E-WalletE-Money

E-Identity

E-Authentication

E-Privacy

34

امنیت در تجارت الکترونیک

35

رمزنگاري، مباح;;ث استانداردهاي PKCS#11در مجموع;;ه اعضاي از يک;;ي برنامه سازي واس;ط ي;ک اس;تاندارد اي;ن در مي باشد. عموم;ي ک;لي;د رمزنگاري

( عام;ل س;يستم از امنيتي platformمس;تقل ماجول هاي مانن;د توکن ه;ا، براي )، اين PKCS#11س;خت افزاري و کارت هاي هوشمن;د، تعري;ف شده اس;ت. اس;تاندارد

" را برنامه س;;;ازي کلمات Cryptokiواس;;;ط ادغام از که مي نام;;;د "از عنوان Cryptographic Token Interfaceعبارت" اکثراً " حاص;ل شده اس;ت. ولي

PKCS#11.براي ارجاع به واسط برنامه سازي مذکور استفاده مي کنند از آ;ن جه;ت ک;ه اس;تاندارد رس;مي براي توکن ه;ا با کاربرد رمزنگاري وجود ندارد، براي عموم انتزاعي الي;ه ي;ک فراهم آوردن ب;ه منظور برنامه س;ازي اي;ن واس;ط

برنامه سازي يافته اس;ت. واس;ط توس;ع;ه ب;ا کاربرد رمزنگاري، ، PKCS#11توکن ه;ا کليدهاي X.509، گواهي هاي RSAبسياري از انواع شيءهاي رمزنگاري )کليدهاي

DES 3 وDES ،و ...( و تمام;ي تواب;ع مورد نياز براي اس;تفاده از آن ه;ا مانند ايجاد تغيير و حذف اين اشياء را تع;ريف نموده است.

PKCS#11استاندارد

نرم افزار اکثر مراکز گواهي تجاري از PKCS#11 براي دسترسي به کليد امضاي

کاربران از توكن استفاده می کنند. نرم افزار مستقل از سيستم عامل ک;ه نياز به استفاده

را بکار PKCS#11از توكن هوشمند دارد، Adobe و Mozilla Firefox/Thunderbirdمي برد.

Professional از جمله اين نرم افزار ها مي باشند.

36

ب;ه ه;ر ارتباط;ي ک;ه بي;ن نرم افزار و ي;ک توکن برقرار PKCS#11در اس;تاندارد R/W و نشست R/Oمي شود، نشس;ت گفت;ه مي شود ک;ه ب;ه دو دس;ته نشس;ت

، کاربر فق;ط جه;ت خواندن به اشياي R/Oتقس;يم مي شود. در ي;ک نشس;ت کاربر هم دسترسي R/Wذخيره شده در توکن دسترسي دارد ولي در نشست

دارا را توکن در ذخيره شده اشياي روي نوشت;ن ه;م دس;ترسي و خواندن مي باشد.

هرگاه توس;ط يک;ي از نشس;ت هاي نرم افزار هوي;ت کاربر براي توكن احراز شود(، تمام نشس;ت هاي اي;ن نرم افزار نس;بت ب;ه توک;ن وضعيت Loginشود)Login پيدا مي کنند و هرگاه يک نشست با توکن در وضع;يت Logout قرار گيرد

قرار مي گيرند.Logoutتمام نشست هاي ديگر نرم افزار نيز در وضعيت تواب;ع و نوع هاي داده اي مورد نياز جه;ت پياده سازي عمليات فوق Cryptokiدر

نوشته شده ويندوز براي ک;ه نرم افزارهاي;ي پيشنهاد شده اس;ت. و معرف;ي جاي ب;ه اس;ت ممک;ن برنامه سازي PKCS#11باشن;د، واس;ط از MS-CAPI

استفاده کنند که به سيستم عامل وابسته مي باشد.

PKCS#11استاندارد

37

عملیات رمزنگاری

امضا و محاسبه •چکيده پيام

مديريت اشيا حذف وايجاد •

شيئ

Loginمثل •

PKCS#11استاندارد

عمليات;ي ک;ه در ي;ک نشس;ت تشکي;ل شده بين نرم افزار و Cryptokiدر راب;ط برنامه نويس;ي توکن، قابل پياده سازي مي باشد به سه دسته کلي زير تقسيم مي شود:

با تشکر از توجه شمابا سپاس

38

ما بدان مقصد عالی نتوانیم رسید

هم مگر پیش نهد لطف شما، گامی چند(حافظ)

39

Any Question?