هکبش و ها تینما هاگشیام آ فیش یتعنص هاگشنا{ce.sharif.edu/courses/94-95/1/ce442-1/resources/root/Slides/DataNetSec-Dousti-01... · یتسو اص دمحم

امنیت داده و شبکه محمد صادق دوستی

صنعتی شریف دانشگاه آزمایشگاه امنیت داده و شبکه دانشکده مهندسی کامپیوتر

محمد صادق دوستی

http://dnsl.ce.sharif.edu

مفاهیم و تعاریف اولیه: 1درس

1 / 81


فهرست مطالب

محتوا و جایگاه درس•

ضرورت امنیت داده و شبکه•

مفاهیم اولیه•

امنیت دشواری برقراری•

انواع و ماهیت حمالت•

خدمات امنیتی•

مدلهای امنیت شبکه•

2 / 81


1 -موضوعات تحت پوشش درس

مقدمات

مفاهیم و تعاریف اولیه: 1درس

ساز و کارهای تأمین امنیت: 2درس

اصول رمزنگاری

مفاهیم رمزنگاری و رمزنگاری سنتی: 3درس

(مدرن)رمزنگاری متقارن : 4درس

(کلید عمومی) نامتقارنرمزنگاری : 5درس

درهم سازتصدیق هویت پیام و توابع کدهای: 6درس

امضای رقمی و زیرساخت کلید عمومی: 7درس

3 / 81



پروتکلهای امنیتی

پروتکلهای رمزنگاریطراحی : 8درس

کربروسپروتکل : 9درس

رایانامهامنیت : 10درس

11درس :SSL/TLS

12درس: IPsec

4 / 81



تجهیزات امنیتی

آتشدیوار : 13درس

سیستم تشخیص نفوذ: 14درس

دسترسیکنترل : 15درس

ارزیابی امنیتی: 16درس

5 / 81


1 -سایر دروس امنیتی دانشکده

(40-817: شماره درس)امنیت شبکه پیشرفته

داخلی دیوار آتش، سیستم تشخیص نفوذ، مقابلهه بها الگوریتمهای

، تله عسهل، مقابلهه بها بات نتحمالت منع خدمت، تشخیص کرم و

، مسیردهی، تحلیل ترافیک، گمنامی، امنیت فیشینگ، جاسوس افزار

VoIP، امنیت شبکه بیسیم و رایانه ایمقابله و کشف جرایم

(40-874: شماره درس) نرم افزارتوسعه امن

(، آزمهون پیهاده سهازی تحلیل، طراحی، ) نرم افزارچرخه تولید امن ،

آزمون نفوذ، مهندسی معکوس، قفل شکنی

6 / 81



(40-843: شماره درس) سخت افزارامنیت

حمهالت فیزیکههی و مقاومههت در برابهر دسههتکاری، حمههالت کانههال

سخت افزاریجانبی، اسب تروای

(40-873: شماره درس)روشهای صوری در امنیت اطالعات

،و وارسهی سیسهتمها و پروتکلههای امنیتهی بهر مدلسازیتوصیف ،

مبنای منطق

7 / 81



(40-734: شماره درس)امنیت پایگاه داده

مدلهای کنترل دسترسی(DAC ،MAC ،RBAC ، )... طراحهی

پایگاه داده امن، امنیت پایگاه داده آماری، پرس و جو روی داده رمز

شده

(40-675: شماره درس)نظریه رمزنگاری

تعریف، ساخت و اثبات امنیت سهاختارها و پروتکلههای مدل سازی ،

امنیتی مبتنی بر نظریه پیچیدگی

8 / 81


سایر گروههای امنیت اطالعات در دانشگاه شریف

پژوهشکده الکترونیک –دانشکده مهندسی برق

(امنیت و نظریه اطالعات)دکتر عارف

(پروتکلامنیت ) اقلیدسدکتر

(رمزنگاری) سلماسی زادهدکتر

(ریاضی رمز، امنیت پروتکل)مهندس مهاجری

دانشکده علوم ریاضی

(رمزنگاری مبتنی بر نظریه پیچیدگی) دانشگردکتر

(رمزنگاری) خزاییدکتر

(روشهای صوری در امنیت) رمضانیاندکتر

9 / 81


(کارشناسی )درسهای تخصصی گرایش رایانش امن

هم نیاز پیشنیاز تعداد واحد عنوان ردیف

ساختمان داده ها 3 پایگاه داده ها 1

برنامه سازی پیشرفته 3 سیستم هاتحلیل و طراحی 2

شبکه های کامپیوتری 3 امنیت شبکه 3

کامپیوتری شبکه های سیستم های عامل 3 مبانی رایانش امن 4

3 امنیت سیستم های پایه 5 داده ها،پایگاه

سیستم های عامل

مبانی رایانش امن 3 مدیریت امنیت اطالعات 6

مبانی رایانش امن 3 مبانی رمزنگاری 7

سیستم هاتحلیل و طراحی 3 توسعه امن نرم افزار 8

3 حقوق و ادله الکترونیکی در امنیت 9 امنیت شبکه،

امنیت سیستم های پایه

واحد 80بعد از 1 (در زمینه رایانش امن)کارآموزی 10

واحد 100بعد از 3 پروژه رایانش امن 11

31 جمع

آموزش عالی برنامه ریزیشورای – 1392مصوب وزارت علوم، تحقیقات و فناوری

10 / 81


جبرانی -دروس تحصیالت تکمیلی گرایش رایانش امن

در صورت عدم گذراندن درس در دوره کارشناسی و یا به تشخیص

.می یابددانشکده، تا دو درس جبرانی اختصاص

تعداد واحد عنوان ردیف

3 مبانی رایانش امن/ امنیت داده و شبکه 1

3 تحلیل و طراحی سیستمها/ 1مهندسی نرم افزار 2

3 سیستم عامل 3 3 شبکه های کامپیوتری 4

11 / 81


1گروه -دروس تحصیالت تکمیلی گرایش رایانش امن

بههرای دانشههجویان 1گههروه درس هههایدرس از 3اخههذ حههداقل

.است الزامیکارشناسی ارشد

و در نهایت شده اندبرای دوره گذر تعریف )*( با عالمت درس های

.می شوندبه دوره کارشناسی منتقل


3 )*(رمزنگاری کاربردی 1

3 امنیت شبکه پیشرفته 2

3 امنیت پایگاه داده 3 3 *توسعه امن نرم افزار 4 3 *مدیریت امنیت اطالعات 5

12 / 81



بههرای دانشههجویان 2گههروه درس هههایدرس از 2اخههذ حههداقل

.است الزامیکارشناسی ارشد


3 روشهای صوری در امنیت اطالعات 1

3 ریاضیات رمزنگاری 2

3 پروتکلهای امنیتی 3 3 مفاهیم پیشرفته در رایانش امن 4 3 سخت افزارامنیت و اعتماد 5

13 / 81



بههرای دانشههجویان 3گههروه درس هههایدرس از 3اخههذ حههداک ر

.کارشناسی ارشد مجاز است

اختصاصی دوره دکترا در قالب مفاهیم پیشرفته با تأییهد درس های

.دانشکده ارائه می شود تعداد واحد عنوان ردیف

3 امنیت تجارت الکترونیک 1

3 اطالعات نهان سازی 2

3 امنیت سیستم های نوین ارتباطاتی 3 3 بازی ها الگوریتمینظریه 4 3 نظریه پیچیدگی 5 3 کدینگتئوری اطالعات و 6 3 سیستم های واکنشی درستی یابی 7 3 دانشگاه دانشکده هاییا گرایشهایک درس از سایر 8

14 / 81










15 / 81


ست؟یت چیامن

مها یت عبارتست از حفاظت از آنچه بهرا یامن :به طور غیر رسمی

. ارزشمند است

یدر برابر حمالت عمد

در برابر نفوذ غیر عمدی

16 / 81


یتیاقدامات امن

پیشگیری(Prevention)

جلوگیری از خسارت

تشخیص و ردیابی(Detection & Tracing)

میزان خسارت

هویت دشمن

( زمان، مکان، دالیل حمله، نقاط ضعف و )چگونگی حمله...

واکنش(Reaction)

ترمیم، بازیابی و جبران خسارات

جلوگیری از حمالت مجدد

17 / 81


یتیاقدامات امن

پیشگیریPrevention

1

تشخیصDetection

2

واکنشReaction

3

18 / 81


گذشته و حال: ت اطالعاتیامن

قفسه هاینگهداری اطالعات در قفل دار

مکان هایدر قفسه هانگهداری امن

استفاده از نگهبان

سیستم هایاستفاده از الکترونیکی نظارت

روشهای فیزیکی و مدیریتی

نگهداری اطالعات در کامپیوترها

بین شبکه ایبرقراری ارتباط

کامپیوترها

برقراری امنیت در کامپیوترها و

شبکه ها

امنیت اطالعات دنیای نوین امنیت اطالعات سنتی

19 / 81


CERTمنتشر شده توسط آمار

0

20,000

40,000

60,000

80,000

100,000

120,000

140,000

1989 1991 1993 1995 1997 1999 2001 2003

یعوقاد داتع

سال

CERT: Computer Emergency Response Team

20 / 81


ابزار مهاجمان

1980 1990 2000

زیاد

Password Guessing

Self-Replicating

Code Password Cracking

Exploiting Known Vulnerability Disabling Audits

Back Doors Sweepers

DDoS Sniffers

Packet Forging, Spoofing Internet Worms

ابزار مهاجمان

مهاجمان نیاز دانشبه

کم

21 / 81


گذشته و حال: نیازهای امنیتی

از دو نمودار قبلی بخوبی پیداست:

تعداد حمالت علیهه امنیهت اطالعهات بهه طهور قابهل مالحظهه ای

.افزایش یافته است

امروزه تدارک حمله با در اختیار بودن ابزارهای فراوان در دسترس

(.بر خالف گذشته)به دانش زیادی احتیاج ندارد

22 / 81


(1)انگلیس BISنگاهی به گزارش

2013 2014

%86 سازمان بزرگ 81%

%64 سازمان کوچک 60%

میزان نفوذ به سازمانهای شرکت کننده در آمار

2013 2014

850تا 450 سازمان بزرگ 1150تا 600

65تا 35 سازمان کوچک 115تا 65

مخارج ناشی از بدترین نفوذ به سازمانهای (هزار پوند)شرکت کننده در آمار

.میزان نفوذ اندکی کاهش یافته است

.برابر شده است 2مخارج نفوذ تقریباً

23 / 81


(2)انگلیس BISنگاهی به گزارش

0

10

20

30

40

50

60

70

80

بدافزار کالهبرداری

عوامل داخلی مهاجم خارجی

2013

2014

0

10

20

30

40

50

60

70

80

بدافزار کالهبرداری

عوامل داخلی مهاجم خارجی

2013

2014

بزرگسازمانهای

سازمانهای کوچک

24 / 81


(1) فیشینگ های سایتتوزیع - SIRگزارش

2010ماه دوم 6

25 / 81


(2) فیشینگ های سایتتوزیع - SIRگزارش

2013ماه دوم 6

26 / 81


(1)آلوده های سیستم توزیعتوزیع - SIRگزارش

2010ماه دوم 3

27 / 81


(2)آلوده های سیستم توزیعتوزیع - SIRگزارش

2013ماه دوم 3

28 / 81


(1) ساز آلوده های سایت توزیعتوزیع - SIRگزارش

2010چهارم ماه 3

29 / 81


(2) ساز آلوده های سایت توزیعتوزیع - SIRگزارش

2013چهارم ماه 3

30 / 81


(1)جنگ سایبری

(1991)جنگ اول خلیج فارس –جنگ عراق و آمریکا در کویت

ایجاد اختالل در سیستم ضد هوایی عراق

توسط نیروی هوایی آمریکا با استفاده از ویروسی با نامAF/91

انتقال از طریق تراشه چاپگر آلوده به ویروس از مسیر اردن

بیش نیست شایعه ایاین ویروس:

ولی...

AF/91 = April’s Fool 1991

31 / 81



(2007) استونیروسیه به سایبریحمله

مجسهمه سهرباز جابهه جهایی و روسیه در قضهیه استونیکشمکش

تالینبرنزی در شهر

ها رسانه، و ها بانک، مجلس، ها وزارتخانهحمله به

اداری تحت کنترل روسیه هایکارگزارحمله از طریق

32 / 81



(2010)ایران ای هستهبه تاسیسات صهیونیستیحمله رژیم

بدافزاراز طریق Stuxnet

کنترل صنعتی و های سیستم سازی آلودهPLCها

نطنز سانتریفیوژهای سازی آلوده: هدف

PL

C

سزیمن

مدل

S7-3

00

33 / 81



ایران ای هستهتاسیسات به صهیونیستیرژیم حمله :Stuxnet

58.85, ایران 18.22, اندونزی

8.31, هند

2.57, آذربایجان

1.56, آمریکا

1.28, پاکستان

9.2, سایرین

34 / 81


(5) سایبریجنگ

(2011)حمله به وزارت امورخارجه ایران

توسط گروهی موسوم به گروهAnonymous

رایانامهه اداره گذرنامهه و روادیهد وزارت امهور کارگزارهاینفوذ به

خارجه

رایانامه 000,10محتوای بیش از افشای

We are Anonymous.

We are Legion.

We do not forgive.

We do not forget.

Expect us.

35 / 81










36 / 81


مبانی امنیت داده ها

دسترس پذیری، صحت و محرمانگی :سه ویژگی اساسی.

محرمانگی (Confidentiality)

غیرمجاز داده ها افشایعدم

صحت(Integrity)

«داده ها توسط «مکان کشف دستکاریا»یا /و« دستکاری امکان عدم

افراد یا نرم افزارهای غیرمجاز

دسترس پذیری (Availability)

مجاز« زمانو مکان »افراد مجاز در توسط ها دادهدسترسی به

(C) محرمانگی

(A) دسترس پذیری (I)صحت

CIAم لث

37 / 81


محرمانگی

داده محرمانگی(Data Confidentiality)

محرمانه و خصوصی برای افراد غیرمجاز های دادهاطمینان از اینکه

.شوند نمیفاش

حفظ حریم خصوصی(Privacy)

آوری جمهع روی امکهان و نحهوه تواننهد میاطمینان از اینکه افراد ،

خصوصهی خهود توسهط ههای داده افشهای و انتشار یها سازی ذخیره

.دیگران کنترل و تاثیر داشته باشند

38 / 81


محرمانگی

ساز و کارهای متداول :

اریگنرمز

کنترل دسترسی

My Credit Card PIN #:

1234

39 / 81


صحت

صحت داده(Data Integrity)

توسط افراد غیرمجهاز تیییهر ها برنامهو یا ها دادهاطمینان از اینکه

.، و در صورت تیییر ما متوجه خواهیم شدیابند نمی

صحت منبع(Origin Integrity)

اطالعات( فرستنده)اطمینان از درستی و صحت منبع.

40 / 81


صحت

ساز و کارهای متداول :

امضای دیجیتال

کد تصدیق هویت پیام

کنترل دسترسی

انتقال پول از به محمودعلی

انتقال پول از حسینبه علی

41 / 81


دسترس پذیری

خدمت دهی به افراد مجاز در زمان و ها و دسترسی به داده :تعریف

.مکان مجاز

ساز و کارهای متداول:

وجود پشتیبان

تکرار داده و خدمت

پایش و توزیع بار های سیستم

42 / 81


امنیت اولیهمفاهیم تعاریف و

انواع تعاریف امنیتی در مستندات و استانداردهای مختلف:

RFC 4949 : 2واژگان امنیتی اینترنت، نسخه

ISO/IEC 27000سری ( مشهور بهISMS)

NIST IR 7298 (اصطالحات اساسی امنیت اطالعات واژه نامه)

واژگانENISA

واژگانISACA

...

تعاریف مورد استفاده ما

43 / 81


سطوح مختلف امنیت

یتینما )Policy( تسایس

یتینما )Model( لدم

یتینما )Architecture( یرامعم

یتینما )Mechanism( راک و زاس

یتینما تامدخ هچ دوش مهارف دیاب

یتینما تامدخ هنوگچ دوش یزاس هدایپ دیاب

44 / 81


خدمات امنیتی

خدمت امنیتی:

یا ارتباطی از سیستم؛ پردازشییک خدمت

برای منابع سیستم محافظتجهت فراهم آوردن نوع مشخصی از.

مثال:

خدمت کنترل دسترسی

داده محرمانگیخدمت

خدمت تصدیق هویت موجودیت

45 / 81


ساز و کار امنیتی

یک روش، فرآیند یا ابزار؛

؛خدمت امنیتییک پیاده سازیجهت

که توسط یک سیستم یا درون آن فراهم می شود.

مثال:

رمزنگاری

امضای رقمی

دیوار آتش

46 / 81


معماری امنیتی

از اصول که موارد زیر را توصیف می کند مجموعه ایطرح و:

کهاربرانش که یک سیستم باید در جهت رفع نیهاز خدمات امنیتی

فراهم آورد؛

خدمات امنیتی؛ پیاده سازیالزم جهت اجزایی

مورد نیاز اجزا جهت تعامل با محیط تهدید سطوح کارایی.

مثال:

معماری امنیتی مدل مرجعOSI (ISO 7499-2)

47 / 81


مدل امنیتی

توصیف ترسیمی؛

از مجموعه موجودیتها و روابط آنها؛

که به واسطه آنها خدمات امنیتی توسط یها درون سیسهتم فهراهم

.می شود

مثال:

مبنا -مدل کنترل دسترسی نقش(RBAC)

48 / 81


امنیتی( خط مشی)سیاست

یک هدف، مسیر یا روش اقدام مشخص؛

به تصمیمات حال و آینده؛ جهت دهیبرای تعیین و

در رابطه با امنیت در یک سیستم.

مثال:

سیاست امنیتی نصب نرم افزار

گذرواژهسیاست امنیتی ساخت

دسترسی راه دورسیاست امنیتی

49 / 81


آسیب پذیری، تهدید، حمله و مهاجم

متسیس ای عبنم کی)هلمح فده(

مجاهم)هلمح لماع(

راک و زاسهلمحیتینما

)لعفلاب دیدهت(

یریذپ بیسآ

50 / 81


(Vulnerability)آسیب پذیری

نقصان یا ضعف؛

سیستم؛ عملیات و مدیریت، یا پیاده سازی، طراحیدر

سیاست امنیتی سیستم را نقه می توانکه با سوء استفاده از آن

.کرد

مثال:

آسیب پذیری خونریزی قلبی(HeartBleed ) درOpenSSL

آسیب پذیری سر ریز بافر(Buffer Overflow)

CVE: Common Vulnerabilities and Exposures

51 / 81

https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures





(Threat)تهدید

امکان بالقوه برای نق امنیت.

یک تهدید وجود دارد( حداقل)با هر آسیب پذیری، متناظر.

می تواند عمدی یا غیر عمدی باشد.

فرد یها )امنیت توسط یک موجودیت هوشمند امکان نق :عمدی

(سازمان

امکان خطای انسانی، عملکرد ناصهحی ابهزار، وقهایع : غیر عمدی

...(زلزله، سیل، آتش سوزی، و )طبیعی

52 / 81


حمله و مهاجم

هوشهمند یهک موجودیهت حمله، بالفعل شدن یک تهدیهد توسهط

.است( مهاجم)

نمی شودهر تهدیدی منجر به حمله.

موفق نیست الزاماً حمله ایهر.

53 / 81


رخنه گرو مهاجم

رخنه(Hack ) در واقع به معنی کنکاش به منظور کشف حقایق و

.کار یک سیستم است هنحو

حمله(Attack )نفهوذ بهه سیسهتمهای دیگهران و در تالش برای

.است بدخواهانهیا خصمانه رخنه واقع

Malicious Hacker = Attacker

54 / 81










55 / 81


امنیت یبرقرار یدشوار

شودی م یریاس پذیمقو ییش کارایافزا یت معموالً قربانیامن.

بر است نهیهزت باال یامن.

ت را به عنوان مانع در برابر انجهام شهدن کارهها یکاربران عادی امن

.کنندی نم یرویپ یتیامن یاستهایکنند و از سی م یتلق

56 / 81


امنیت یبرقرار یدشوار

ار یه ت به طور گسترده در اختیدور زدن امن یافزارها اطالعات و نرم

.هستند

رند و از یگی ک مبارزه در نظر میت را به عنوان یدور زدن امن یبرخ

.برندی انجام آن لذت م

هها ها و شبکه ستمیه سیاول یهای در هنگام طراح یتیمالحظات امن

.شود در نظر گرفته نمی

57 / 81


دالیل ناامنی شبکه ها

(پیاده سازیتحلیل، طراحی، )ضعف فناوری

پروتکل، سیستم عامل، تجهیزات

تنظیماتضعف

گذرواژه های نامناسب، عهدم اسهتفاده از پیش فرض تنظیماترهاکردن ، ...الزم، تنظیماتخدمات اینترنت بدون اعمال راه اندازیرمزنگاری،

سیاست گذاریضعف

عدم وجود سیاست امنیتی

عدم وجود طرحی برای مقابله و بازیابی مخاطرات

(مدیریتی و فنی)نداشتن نظارت امنیتی مناسب

58 / 81


یامن ساز

گستره امنیت تمامی منابع سازمان است و نه تنها کارگزار اصلی.

نگرش فنی صرفاً نه است، نگرش مدیریتینیازمند امنیت همسئل.

بیشتری دارند همهاجمین داخلی خطر بالقو.

توان تراکنش امن داشت مادام که انسانها امن فکر نکنند نمی.

خاص و مقطعی فهیوظک یاست نه ندیفرآک ی یامن ساز.

59 / 81


تصدیق هویت، دیوار . . . آتش، رمزنگاری،

های تشخیص سیستم. . .نفوذ، تله عسل،

آزمون نفوذ و پذیری آسیب

عملیات شبکه و امنیت

چرخه ایجاد امنیت

سیاست امنیتی

سازی امن

پایش

تست و آزمون

مدیریت و بهبود

1

2

3

4

60 / 81


یت سازمانیراهبرد امن

،عملکرد، و سهولت کاربردمصالحه بین امنیت.

مصالحه بین امنیت و هزینه.

میزان امنیت مورد انتظار کاربران

میزان ناامنی قابل تحمل سازمان امنیت

سهولت کاربرد عملکرد

نقطه آرمانی

کجاست؟؟؟

61 / 81










62 / 81


انواع حمالت از نظر تاثیر

جعل هویت(Masquerade)

ارسال دوباره پییام(Replay)

تیییر(Modification)

خدمتمنع

(Denial of Service)

ترافیکتحلیل

(Traffic Analysis)

محتوای پییامانتشار (Release of Message Contents)

(Passive)منفعل حمالت (Active)فعال حمالت

63 / 81


حمالت منفعل

شبکه

64 / 81


حمالت فعال

1

2

3

شبکه

65 / 81


1 -سمع استراقحمله شنود یا

محرمانگینق :هدف

دسترسی غیرمجاز به داده های طبقه بندی شده :نتیجه

تحقق حمله راه های:

بسته هااتصال فیزیکی به شبکه و دریافت

پایگاه داده هادسترسی غیرمجاز به

وجود ضعف و آسیب پذیری در سیستم کنترل دسترسی

66 / 81


2 -سمع استراقحمله شنود یا

مشتری

کارگزار

مهاجم

ود شن

کافی

تر

مشتری PINرمز یا

67 / 81


1 -حمله منع خدمت یا وقفه

دسترس پذیرینق :هدف

کاهش کارایی و یا عدم امکان دسترسی کاربران بهه :نتیجه حمله

شبکه و یا خدمات فراهم شده

تحقق حمله راه های :

مشکل دار درخواست هایارسال بسته و

سیل ترافیکی راه اندازی

خدمات ویاشبکه نرم افزاری آسیب پذیری هایو ضعف هااستفاده از

68 / 81


2 -حمله منع خدمت یا وقفه

مشتری کارگزار

مشتری

کارگزار

مهاجم

مهاجم

69 / 81


1 -حمله تغییر یا دستکاری داده ها

نق صحت: هدف

تیییر غیرمجاز داده های سیستم یا شبکه: نتیجه


قرار گرفتن در مسیر شبکه و دستکاری و ارسال به گیرنده

و تیییر غیرمجاز در آن پایگاه داده هادسترسی غیرمجاز به

وجود ضعف و آسیب پذیری در سیستم کنترل دسترسی و صحت

70 / 81


2 -حمله تغییر یا دستکاری داده ها

حمله مرد میانی(Man in the Middle )

مشتری

کارگزار

مهاجم

میلیون 2انتقال ( 1) علیبه حساب تومان

میلیون 2انتقال : مشتری( 2) بابکبه حساب تومان

میلیون تومان 2: کارگزار( 3) .منتقل شد بابکبه حساب

میلیون تومان 2: کارگزار( 4) .منتقل شد علیبه حساب

71 / 81


1 -حمله جعل هویت

نق صحت :هدف

کهه مهی تواننهد ییداده هها و پیام ها( اضافه کردنیا )جعل :نتیجه

.استفاده باشند مخرب یا منشأ سوء


بسته هااتصال فیزیکی به شبکه و دریافت

تیییهرات موردنیهاز اِعمهال شنود شهده پهس از بسته های بازارسال

(جعلی بسته هایارسال )

وجود ضعف در ساز و کار تصدیق هویت و کنترل صحت

72 / 81


2 -حمله جعل هویت

(به طور مشابه جعل کارگزار)حمله جعل مشتری یا کاربر

مشتری

کارگزار

مهاجم

جعلی داده هایارسال جای مشتریبه

73 / 81








امنیتیخدمات •


74 / 81


1 - خدمات امنیتی

ها محرمانگی داده (Data Confidentiality)

ها داده صحت(Data Integrity)

پذیری دسترس(Availability)

تصدیق هویت(Authentication)

دسترسی کنترل(Access Control)

ناپذیری انکار(Non Repudiation)

پیشتر آشنا شدیم

75 / 81


2 - ت امنیتیاخدم

تصدیق هویت

تصدیق هویت همتا(Peer :)کند که ادعا می استهمانی کاربر.

مبدأ تصدیق هویت(Origin )همهانی اسهت منبهع داده : داده

.کند ادعا میکه

ممانعت از دسترسی غیر مجاز به منابع: کنترل دسترسی.

شرکت در یک ارتباط توسط ههر عدم امکان انکار :ناپذیری انکار

.یک از فرستنده یا گیرنده

76 / 81








امنیتیخدمات •


77 / 81


مدل کلی در یک ارتباط امن

سناریوی کلی در هر ارتباط امن:

انتقال یک پییام بین طرفین با استفاده از یهک کانهال نهاامن :نیاز

(م ل شبکه اینترنت)

صحت، تصدیق هویت، و محرمانگینیاز به تأمین خدمات ،...

کنند روشهای مورد استفاده عموما از دو مؤلفه زیر استفاده می:

جهت فراهم آوردن خدمات امنیتی مورد نیاز :تبدیل امنیتی

گیرنهد و در تبدیل امنیتی مورد استفاده قرار می :اطالعات مخفی

.اند به نحوی بین طرفین ارتباط به اشتراک گذاشته شده

78 / 81


یک مدل نمونه برای ارتباط امن

اعتمادشخص ثالث مورد (م الً توزیع کننده اطالعات مخفی)

دشمن

اطالعات مخفی اطالعات مخفی

تبدیل امنیتی تبدیل امنیتی اطالعاتکانال

گیرنده فرستنده

امپی

پیام

ن امامپی

نپیام ام

79 / 81


تضمین خدمت امنیتی

دهد که برای فراهم آمدن یک خدمت امنیتهی مدل فوق نشان می

:خاص مجبوریم نیازهای زیر را فراهم کنیم

انجام تبدیل امنیتی مورد نظرطراحی الگوریتم مناسب برای

موردنیاز طرفین اطالعات مخفیتولید

اطالعات مخفیدرباره استفاده از روش مناسب برای توزیع و توافق

ارتباط طرفین و تضمین خهدمت طراحی یک پروتکل مناسب برای

امنیتی

80 / 81


پایان

:صفحه درس

/1-442/ce1/95-94http://ce.sharif.edu/courses/

16الی 15 شنبه ها :مراجعه حضوری جهت رفع اشکال

(جنب آسانسور شیشه ایطبقه پنجم دانشکده، درب )

یا در زمانهای دیگر با قرار قبلی

dousti@ce :یا به وسیله رایانامه

81 / 81

http://ce.sharif.edu/courses/94-95/1/ce442-1/











Documents

هکبش و ها تینما هاگشیام آ فیش یتعنص هاگشنا{ce.sharif.edu/courses/94-95/1/ce442-1/resources/root/Slides/DataNetSec-Dousti-01... · یتسو اص دمحم