1

حیم حمن الّر� �له الّر� بسم ال

توکن های هوشمندامنيت و ...

1389زمستان

مريم مالحسينی8861083

فهّرست مطالب

2

تاریخچه پیدایش

زیّرساخت کلید عمومی

PKIامنیت مبتنی بّر

توکن های هوشمند

مزایا و قابلیت ها

امنیت مبتنی بّر توکن

PKCS#11 معّرفی

3

تاریخچه پیدایش

پیدایش کارت های هوشمند•

ميالدي70اواخّر دهه

USBپیدایش توكن های •

ميالدي90اواخّر دهه

توكن ه;اي هوش;مند توكن ه;اي USBكارت ه;اي هوش;مند و رايج ت;ّرين ب;ه عن;وان

س;خت افزاري ام;ّروزي ش;ناخته مي ش;وند. كارت ه;اي هوش;مند ك;ه پي;دايش اولين

اواخ;ّر ده;ه ب;ه ب;از مي گ;ّردد. در 70نمونه ه;اي آن اروپ;ا )فّرانس;ه( ميالدي در

90 ك;ه اولين نمونه ه;اي آن در اواخ;ّر ده;ه USBمقايس;ه ب;ا توكن ه;اي هوش;مند

ميالدي توليد شدند، از قدمت بسيار بيشتّري بّرخورداراند.

4

مزایا و قابلیت های توکن هوشمند

ب;ه • مج;از غ;يّر دستّرس;ي از جلوگ;يّري و امن نگه;داري

داده ها و اطالعات حساس كاربّر

ي;ا • و رمزگ;ذاري مانن;د رمزنگ;اري اعم;ال انج;ام امك;ان

امضانمودن داده ها بصورت سخت افزاري

ك;اربّردي • بّرنامه ه;اي ب;ه مج;از و امن دستّرس;ي امك;ان

مختلف

راه حل های امنیتی•

احّراز هویت موثّر كاربّر•

اينك;ه توكن ه;اي س;خت افزاري ب;ه چ;ه م;يزان در بّراب;ّر دستّرس;ي هاي غ;يّر مج;از مق;اوم هس;تند و

م;ا;نع از د;ستّرس;ي اف;ّراد ;غ;يّر ;مج;از ;ب;ه اط;الع;ا;ت محّرما;ن;ه موج;ود ;در خ;و;د مي گّر;دن;د، موض;وعي

توكن ه;اي ام;نيت وا;ق;ع توكن; ه;ا مح;س;وب مي گ;ّردد. ;ب;ه اين ك;لي;د;ي وي;ژگي ه;ا;ي اس;ت ك;ه ;ج;زء

ت ا;ف;ّراد غ;يّر مج;از جهت; دست;ّرس;ي و اس;تفاد;ه از ;اطالع;ات س;خت ;افزاري; در ب;ّراب;ّر; ان;واع حمال;

مو;ج;ود در ت;وكن،; از اه;ميت وي;ژه اي بّر;خ;وردار; اس;ت. د;ر اين زمين;ه اس;تا;نداردهاي مختل;ف امني;تي

اين بيش;تّر ت;وكن ه;اي س;خت افز;اري س;ع;ي در پش;تي;باني; هّرچ;ه ام;ّرو;زه در ;دني;ا وج;و;د دارد ك;ه

اس;تاندارها دا;رند.;

5

PKI Based

Smart Token Based

Security Solution

راه حل های امنیتی

6

ام;ّروزه رمزنگ;اري نامتق;ارن و س;ايّر راه حل ه;اي وابس;ته ب;ه آن چه;ارچوب و بس;تّر

از دغ;دغه هاي آن ه;ا بخش عم;ده اي از اس;تفاده ب;ا ك;ه نموده اس;ت را مهي;ا ام;ني

و ي;ا ح;داقل ك;اهش ج;دي مي باش;ند. اين امين;تي در سيس;تم هاي اطالع;اتي قاب;ل رف;ع

ي;ا چه;ارچوب رمزنگ;اري مبت;ني ب;ّر كلي;د عم;ومي PKIچه;ارچوب و بس;تّر ك;ه ام;ّروزه

(Public Key Infrastructure ) نامي;ده مي ش;ود، بط;ور ب;القوه مي توان;د بس;تّر امني;تي

مناسبي را در اختيار كاربّران سيستم هاي اطالعاتي فّراهم نمايد.

چهارچوب زیرساخت کلید عمومی

7

دستاوردهای زیّرساخت کلید عمومی

فراهم کردن سرویس محرمانگی از طریق رمزگذاری و رمزگشایی با دو

کلید متفاوت

فراهم کردن سرویس احراز

هویت و انکارناپذیری با

استفاده از مفهوم امضای دیجیتال

رفع مشکل توزیع کلید از طریق

انتشار کلید عمومی به همراه گواهی

دیجیتال

8

زیّرساخت کلید عمومی و گواهی دیجیتال

از مهم;تّرين دغ;دغه ها و مش;كالت مط;ّرح در رمزنگ;اري نامتق;ارن مي ت;وان ب;ه مس;ئله

توزي;ع مناس;ب كلي;د عم;ومي و جلوگ;يّري از خطاه;ا و س;وء اس;تفاده هاي احتم;الي

اف;ّراد خّرابك;ار و همچ;نين مح;افظت از كلي;د خصوص;ي توس;ط ف;ّرد ص;احب كلي;د،

بطوريك;ه امك;ان نف;وذ و دستّرس;ي س;ايّر اف;ّراد ب;ه آن وج;ود نداش;ته باش;د، اش;اره

چه;ارچوب ام;ّروزه مّراك;ز PKIنم;ود. و ديجيت;ال گ;واهي مفه;وم از اس;تفاده ب;ا

ص;ادركننده گواهي ه;اي ديجيت;ال مش;كل اول ك;ه هم;ان توزي;ع مناس;ب كلي;د عم;ومي

از نموده ان;د و در حقيقت مّراك;ز ص;ادركننده گ;واهي ديجيت;ال را ح;ل باش;د اف;ّراد

مي باش;ند. هّرچن;د ت;ا م;دت ها مش;كل دوم و چگ;ونگي PKIمهم;تّرين عناص;ّر چه;ارچوب

توكن ه;اي ام;ّروزه ولي ب;ود ف;ّراوان بحث ه;اي مح;ل كلي;د خصوص;ي از نگه;داري

هوشمند مشكل نگهداري امن و مطمئن كليد خصوصي افّراد را حل نموده اند.

9

رمزنگاری نامتقارن

ENCRYPT

(LOCK)

Cleartext

Ciphertext

PublicKey

DECRYPT

(UNLOCK)

Ciphertext

PrivateKey

Cleartext

(Sender) (Receiver)

10امضای دیجیتال

عدم انکار

احّرازهویت

حفظ تمامیت

خدمات امضای دیجیتال

امضا كننده نمی تواند امضای اطالعات را انکار

نماید.

گیّرنده می تواند مطمئن باشد که

فّرستنده اطالعات کیست.

گیّرنده می تواند مطمئن باشد که اطالعات حین انتقال تغییّر نیافته است.

11

نحوه امضای دیجیتال یک پیام

Hash

سفارشمهممهممهم

آقای الف

PUk

فرستنده PUk

PRk

*/؟؟$$$%

امضای

دیجیتال

RSA

نامتقارن

ن/*معادل ال%6&

هش

سفارشمهممهممهم

آقای الف

InternetIntranet

Hash

ن/*ال%6&

ن/*ال%6&

=

Verify?

گیرنده

سفارشمهممهممهم

آقای الف

PUk

*/؟؟$$$%

RSA

نامتقارن

PKI

PUk

12

امنيت مبتني بّر زیّرساخت کلید عمومی

نّرم افزاره;ا و س;خت افزارهاي م;ورد اس;تفاده در ي;ا بّرنام;ه ك;اربّردي امن س;ازي ه;ّر

سيس;تم هاي اطالع;اتي مق;وله اي ك;امال متف;اوت از ص;ّرف ايج;اد و توس;عه آنه;ا مي باش;د.

در واق;ع اگ;ّر در ط;ّراحي و س;اخت نّرم افزاره;ا و س;خت افزارها م;وارد امني;تي مالحظ;ه

و اج;ّرا نشده باش;د، هيچ نّرم اف;زار و س;خت افزاري ب;ه خ;ودي خ;ود امن نخواه;د ب;ود.

و نيس;تند امن مي گيّرن;د ق;ّرار اس;تفاده م;ورد ام;ّروز ك;ه سيس;تم هايي از بس;ياري

به منظ;ور اف;زودن م;وارد امني;تي ب;ه آن ه;ا باي;د پّروس;ه تحلي;ل، ط;ّراحي و س;اخت راه ح;ل

امنيتي مّربوطه را با صّرف و تخصيص منابع مورد نياز به اجّرا درآورد.

باي;د ن;يز عم;ومی کلی;د زیّرس;اخت چه;ارچوب امني;تي راه ح;ل از اس;تفاده جهت

مجه;ز نم;ود و به عب;ارتي آن ه;ا PKIبّرنامه ه;اي ك;اربّردي را ب;ه خ;دمات امني;تي چه;ارچوب

نم;ود. هيچ محص;ولي ب;ه خ;ودي خ;ود امك;ان اس;تفاده از خ;دمات امني;تي PK-Enabledرا

نيست.PK-Enabled را ندارد و به عبارتي هّرمحصولي PKIچهارچوب

امك;ان مهم ب;ّر ام;ّروزه عالوه توكن ه;اي هوش;مند

ا;طالع;ات و ;س;ايّر خصوص;ي ك;لي;د امن نگه;داري

س;;خت اف;زاري انج;;ام ك;;اربّر، ;;امك;;ان; حس;;ا;س

رمز;گ;ذار;ي ب;ا الگوريتم ;ه;اي رم;زنگ;اري نامتق;ارن را

مهم الگوري;تم ه;اي م;دت ه;ا ت;ا م;ي باش;ند.; دارا ن;يز

ما;نن;;د نامتق;;ارن درر;مزن;گ;;اري اس;;تفاد;ه م;;ورد

همچ;نين و ر;مزگش;ايي رمزگ;ذاري، الگور;يتم ه;ا;ي

تولي;د; و بّررس;ي; امض;اء ديجيت;ال مش;كل; ك;ارايي و

اس;تفا;ده در م;وا;رد ك;اربّر;د عملي ر;ا دارا بودن;د. در

نّرم اف;زاري بص;ورت ا;لگور;يتم ه;ا اج;ّراي ;اين واق;ع

فو;ق الع;اده ز;م;ان بّر; و كن;د و همچ;نين ن;اامن بودن;د؛

ان;ج;ام امك;ان هوش;مند تو;كن ه;اي ولي ;ام;ّروزه

س;خ;ت افزاري ا;ين اعم;ال را ;ب;ه ش;كل; ك;امال ك;ارا،

موثّر; و امن ;فّراهم; نموده ان;د.13

وتوکن های PKIچهارچوب هوشمند

14

يكي از قابليت ه;اي مهم توكن ه;اي هوش;مند امك;ان نگه;داري امن اطالع;ات

حس;اس ك;اربّر مي باش;د؛ در نتيج;ه امك;ان نگه;داري كلي;د خصوص;ي به عن;وان

ميس;ّر هوش;مند توكن ه;اي در ن;يز ك;اربّر اطالع حس;اس تّرين و مهم;تّرين

خواه;د ب;ود و ب;دين ت;ّرتيب اس;تفاده از توكن ه;اي هوش;مند در كن;ار چه;ارچوب

PKI بس;تّري را ف;ّراهم مي نماي;د ك;ه از نظ;ّر امني;تي س;طح بس;يار قاب;ل قب;ولي

ق;ّرار اطالع;اتي سيس;تم هاي ك;اربّران اختي;ار در را اطمين;ان و ام;نيت از

خواه;د داد. در حقيقت دغدغ;ه چگ;ونگي مح;افظت از كلي;د خصوص;ي ك;ه از

بوده اس;ت. ب;دين ت;ّرتيب ب;ه ش;كل بس;يار PKIدغ;دغه هاي س;نتي در چه;ارچوب

ن;يز توكن ه;اي هوش;مند اين از اس;تفاده و تهي;ه مناس;بي مّرتف;ع مي گ;ّردد.

هم;انطور ك;ه اش;اره ش;ده، ب;دليل قيمت مناس;ب و همچ;نين س;هولت اس;تفاده

بّراي كاربّران عادي سيستم هاي اطالعاتي نيز به سادگي ميسّر مي باشد.

وتوکن های PKIچهارچوب نگهداری امن کلیدهای خصوصی هوشمند

چيپ هوش;مند در واق;ع اص;لي تّرين و مهم;تّرين عنص;ّر موج;ود در كارت ه;ا و

چيپ ه;اي اين وج;ود ب;ا ام;ّروزه مي باش;د. هوش;مند توكن ه;اي ي;و اس بي

مي;ني ي;ك ن;وعي ب;ه هوش;مند توكن ه;اي و كارت ه;ا درحقيقت هوش;مند

و پ;ّردازش امك;ان خ;ود خ;اص عام;ل سيس;تم ب;ا ك;ه هس;تند ك;امپيوتّر

م;وثّر انج;ام ب;ه هم;ّراه امن، ك;امال ب;ه ش;يوه اي را اطالع;ات ذخيّره س;ازي

اعمال رمزنگاري در اختيار كاربّر قّرار مي دهند.

15

چیپ هوشمند

در ي;ك چيپ هوش;مند ام;ّروزي معم;وال اج;زاي اص;لي

ش;امل حافظ;ه م;وقت، دائمي و قاب;ل بّرن;امه ريزي

مج;دد و همچ;نين پّردازن;ده و كمك پّردازن;ده مي باش;د

ك;ه ب;دين ت;ّرتيب امك;ان انج;ام فّرآين;دهاي رمزنگ;اري

ف;ّراهم ب;ه ش;كل س;خت افزاري و چيپ داخ;ل در

بص;ورت رمزنگ;اري اعم;ال انج;ام ب;ا مي باش;د.

پياده س;ازي كم;ك ب;ه واق;ع در و س;خت افزاري

س;خت افزاري الگوريتم ه;اي درهم س;ازی رمزنگ;اري

انج;ام زم;ان در ك;اهش محسوس;ي كلي;د، تولي;د و

تولي;د و رمزگش;ايي ي;ا رمزگ;ذاري نظ;يّر اعم;الي

كلي;د و امض;اء ف;ّراهم آمده اس;ت. البت;ه الزم ب;ه ذك;ّر

اس;ت ك;ه عالوه ب;ّر اين ه;ا، كيفيت و همچ;نين ام;نيت

تولي;د كلي;د الزم در م;ورد فّرآين;دهاي رمزنگ;اري و

نيز بدين تّرتيب افزايش يافته است.

16

اجزای اصلی چیپ هوشمند

17

كاركّرد توابع درهم سازي

وروديخروجي

18

امنيت مبتني بّر توکن های هوشمند

تلقي اطالع;اتي سيس;تم هاي امني;تي راه ح;ل در م;وثّري اب;زار هوش;مند توكن ه;اي

مي ش;وند ولي باي;د ب;ه اين نكت;ه مهم توج;ه داش;ت ك;ه امك;ان اس;تفاده از توكن ه;اي

هوش;مند در بّرنامه ه;اي ك;اربّردي ي;ا نّرم افزاره;ا و س;خت افزارهاي مختل;ف ب;ه خ;ودي

خ;ود ميس;ّر نمي باش;د. در واق;ع اس;تفاده از توكن ه;اي هوش;مند بعن;وان راه ح;ل امني;تي،

مفه;وم ب;ا البت;ه ك;ه دارد را خ;ود خ;اص ك;امال PK-Enabledنيازمن;دي هاي هم ب;ودن

هس;تند ام;ا امك;ان اس;تفاده PK-Enabledمتف;اوت اس;ت. سيس;تم هاي بس;ياري ام;ّروزه

از توكن ه;اي هوش;مند در آن ه;ا وج;ود ن;دارد. اف;زودن و ايج;اد اين امك;ان ن;يز ني;از ب;ه

عمليات و فّرآيند وي ژه اي دارد.

جهت اس;تفاده از قابليت ه;اي توكن ه;اي هوش;مند در كن;ار بّرنامه ه;اي ك;اربّردي باي;د آنه;ا

نمود.Smart Token-Enabledرا بدين منظور مجهز نمود و به عبارتي آن ها را

هيچ محصولي به خودی خود امكان

استفاده از قابليت هاي توكن هاي

هوشمند را ندارد به عبارتي هرمحصولی

، لزوما PK-Enabledکه Smart Token-Enabled

نيست.

19

Smart Token

Internet Security

Network Security

E-Commerce SecurityPC

Security

راه حل هاي مبتني بّر توكن هاي هوشمند

20

احّراز هویت دو فاکتوری

و ك;اربّر از شناس;ه اس;تفاده در هويت شناس;ي، و س;نتي رايج از روش ه;اي

گ;ذرواژه مي باش;د ك;ه ام;ّروزه ض;عف امني;تي و نامناس;ب ب;ودن اين روش ك;امال

بّرهمگ;ان اثب;ات گّرديده اس;ت. بعن;وان روش ج;ايگزين، ام;ّروزه اح;ّراز ه;ویت در

در ه;ويت اح;ّراز معم;ول سيس;تم هاي مانن;د ن;يز را اطالع;اتي سيس;تم هاي

زن;دگي ع;ادي ب;ه م;واردي ب;ه غ;يّر از ص;ّرفا "چ;يزي ك;ه ك;اربّر مي دان;د" منتس;ب

مي نماين;د. مي ت;وان مانن;د سيس;تم هاي اح;ّراز ه;ويت روزم;ّره، اح;ّراز ه;ويت را

ب;ه "چ;يزي ك;ه ك;اربّر دارد" ن;يز منتس;ب نم;ود؛ در واق;ع هم;انطور ك;ه داش;تن ي;ك

ن;يز اطالع;اتي باش;د، در سيس;تم هاي اح;ّراز ه;ويت گذرنام;ه مي توان;د عام;ل

مي ت;وان متن;اظّري ب;ّراي آن ي;افت و اين اب;زار متن;اظّر در واق;ع هم;ان توكن ه;اي

هوش;مند هس;تند ك;ه در كن;ار عام;ل ديگ;ّر يع;ني گ;ذرواژه ت;وكن، اح;ّراز ه;ویت

م;وثّري را ف;ّراهم مي نماي;د ك;ه ام;ّروزه بعن;وان اح;ّراز ه;ويت دوف;اكتوري ش;ناخته

ك;اربّر آنچ;ه ب;ه تنه;ا ف;اكتوري دو هويت شناس;ي در حقيقت در مي گّردن;د.

عم;ل موفقيت آم;يز انج;ام ب;ّراي و نمي گ;ّردد اكتف;ا )گ;ذرواژه( مي دان;د

هويت شناس;ي ك;اربّر باي;د حتم;ا ت;وكن هوش;مند اختصاص;ي خ;ود را ن;يز در اختي;ار

داشته باشد.

حفاظت سيستم در برابر دسترسي غيرمجازBoot Protection

رمزگذاري و حفاظت از اطالعات حساس كاربرData Encryption

حفاظت از تغييّرات داده ها و بّرنامه هاProgram/Data Change Protection

دستّرسي به بّرنامه هاي كاربّرديProgram Access

21

امنيت در كامپيوتّرهاي شخصي

22

Boot Protection

ك;اربّران ع;ادي سيس;تم ها، تاكي;د م;ورد و امني;تي مهم م;وارد از يكي

ب;ه مج;از غ;يّر اف;ّراد دستّرس;ي بّراب;ّر در م;وثّر حف;اظت امك;ان

كامپيوتّره;اي شخص;ي مي باش;د. در واق;ع اف;ّراد بس;ياري تماي;ل دارن;د ك;ه

شخص;ي خ;ود مح;افظت نم;وده و امك;ان اس;تفاده و Notebook ي;ا PCاز

دستّرس;ي س;ايّر اف;ّراد را مس;دود نماين;د. ناكارآم;دي و مش;كالت امني;تي

روش س;نتي رايج ك;ه هم;ان اس;تفاده از گ;ذرواژه بمنظ;ور جلوگ;يّري از

ش;ناخته ك;امال ام;ّروز مي باش;د سيس;تم روش;ن كّردن و ب;وت كّردن

هم;ه ب;ودن دارا ب;ّر عالوه س;نتي روش اين واق;ع در شده اس;ت.

اب;زار هويت شناس;ي، مش;كل مهم ي;ك ب;ه عن;وان ض;عف هاي گ;ذرواژه

ديگ;ّري را ن;يز دارا مي باش;د؛ اف;ّراد غيّرمج;از مي توانن;د ب;ا از ك;ار ان;داختن

آن گ;ذرواژه BIOSب;اتّري و منب;ع تغذي;ه داخلي سيس;تم و ي;ا دس;تكاري در

را تغييّر داده و يا از بين ببّرند.

23

Data Encryption

يكي از روش ه;اي م;وثّر جهت حف;اظت از اطالع;ات حس;اس ك;اربّر و جلوگ;يّري

از دستّرس;ي اف;ّراد غ;يّر مج;از ب;ه اين اطالع;ات، رمزگ;ذاري آن ه;ا مي باش;د. در

تب;ديل ش;كلي و ص;ورت ب;ه داده ه;ا مناس;ب، رمزگ;ذاري ي;ك انج;ام ب;ا واق;ع

مي ش;وند ك;ه هيچ اطالعي در م;ورد ح;الت و وض;عيت خ;ود قب;ل از رمزگ;ذاري در

اختي;ار مش;اهده كنن;ده ق;ّرار نمي دهن;د. ب;ه عب;ارت ديگ;ّر ب;دين ت;ّرتيب پوشش;ي

حف;اظتي ب;ّر روي داده ه;ا گس;تّرده مي ش;ود ك;ه بّرداش;تن اين پوش;ش حف;اظتي

نيز تنها توسط دارنده كليد خصوصي ميسّر مي باشد.

از حف;اظت و رمزگ;ذاري فّرآين;د هوش;مند مي ت;وان توكن ه;اي از اس;تفاده با

داده ه;اي حس;اس ك;اربّر را ب;ا ام;نيت و ك;ارايي مناس;ب ب;ه انج;ام رس;انيد. در ي;ك

راه ح;ل امني;تي م;وثّر در اين رابط;ه، ك;اربّر مي توان;د ب;ا متص;ل نمودن ت;وكن ب;ه

و نماي;د اق;دام خ;ود نظ;ّر م;ورد اطالع;ات رمزگ;ذاري ب;ه نس;بت سيس;تم

رمزگش;ايي از اطالع;ات رمزگذاري ش;ده ن;يز تنه;ا در ص;ورتي ميس;ّر خواه;د ب;ود

ك;ه ك;اربّر دارن;ده ت;وكن، ت;وكن م;ذكور را مج;ددا ب;ه سيس;تم متص;ل نماي;د. در

ت;ّرتيب ب;دون دستّرس;ي و م;الكيت ت;وكن فوق ال;ذكّر هيچ ف;ّردي ب;دين حقيقت

اق;دام محافظت ش;ده داده ه;اي از اطالع و رمزگش;ايي ب;ه نس;بت نمي توان;د

نمايد.

24

Program/Data Change Protection

گاهي اطالع;ات و داده ه;اي ك;اربّر از چن;ان اهميت و حساس;يتي بّرخ;وردار نيس;ت ك;ه

نيازمن;د رمزگ;ذاري باش;د ولي ك;اربّر تماي;ل دارد اين داده ه;ا ب;دون تغي;يّر مان;ده و ي;ا

تغي;يّرات احتم;الي رخ داده در اين داده ه;ا ب;ه وي اطالع داده ش;ود. ب;ه عب;ارت ديگ;ّر

ده;د ق;ّرار خ;ود نظ;ّر م;ورد داده ه;اي روي ب;ّر حف;اظتي اليه اي دارد تماي;ل ك;اربّر

بطوريك;ه ه;ّر ن;وع تغي;يّر احتم;الي در اين داده ه;ا ب;ه اطالع وي رس;انده ش;ود و در

واق;ع ك;اربّر از هّرگون;ه تغي;يّرات احتم;الي رخ داده در داده ه;اي م;ورد نظ;ّر خ;ود مطل;ع

گ;ّردد. اين عم;ل در م;ورد بّرنامه ه;اي ك;اربّردي ن;يز ب;ه همين ت;ّرتيب و مفهم;وم قاب;ل

تصور است.

با اس;تفاده از توكن ه;اي هوش;مند ك;اربّر مي توان;د ب;ه نح;وي م;وثّر و غ;يّر قاب;ل خدش;ه

نس;بت ب;ه ايج;اد چ;نين الي;ه حف;اظتي ب;ّر روي داده ه;ا و بّرنامه ه;اي م;ورد نظ;ّر خ;ود

اق;دام نم;وده و در نتيج;ه از كلي;ه تغي;يّرات احتم;الي رخ داده در آن ه;ا مطل;ع ش;ود.

ب;دين ت;ّرتيب تنه;ا ك;اربّر دارن;ده ت;وكن اس;ت ك;ه مي توان;د نس;بت ب;ه ايج;اد اين الي;ه

حف;اظتي اق;دام نم;وده و هيچ ف;ّرد ديگ;ّري نمي توان;د نس;بت ب;ه تغي;يّر ي;ا ايج;اد مج;دد

اين الي;ه حف;اظتي اق;دام نماي;د. امك;ان بّررس;ي و اطالع از تغي;يّرات احتم;الي داده ه;ا

نيز تنها توسط شخص دارنده توكن ميسّر خواهد بود.

25

Program Access

ها، سّرویس مانند سیستم منابع که این از عبارتست پذیّری دستّرس

قابل کیفیت با مجاز افّراد دستّرس در ها داده و کاربّردی های بّرنامه

. بدون که ای گونه به خدماتی های بّرنامه از باید کار این بّرای باشند قبول

. هنگامی اگّر کّرد حفاظت نشوند تخّریب و نکنند پیدا تنزل هویت احّراز

دستّرس در ها داده و سیستم دارد نیاز اطالعات به مجاز کاربّر یک که

سیستم روی از اطالعات که زمانی اندازه به تواند می نتیجه نباشند

. باش;د ناخوش;ایند ان;د ش;ده نک;ات زی;ّر قاب;ل ح;ذف در کن;تّرل دستّرس;ی

بّررسی می باشد.

دستّرسی کاربّران غیّرمجاز به داده های محّرمانه

دستکاری غیّرمجاز داده توسط کاربّران مجاز

دستکاری داده توسط کاربّران غیّرمجاز

ورود امن به شبكه Network Logon

امنيت در شبكه خصوصي مجازي VPN Security

احراز هویت یکپارچهSingle Sign On

26

امنيت در شبکه

27

Network Logon

ب;ه ي;ا و ش;بكه ب;ه مج;از ك;اربّر و مطمئن امن ورود امني;تي نظ;ّر از

ك;ّردن ك;اربّر نامي;ده مي ش;ود، از Loginسيس;تم وين;دوز ك;ه در اص;طالح،

اهميت وي;ژه اي بّرخ;وردار مي باش;د. در واق;ع جهت دستّرس;ي ب;ه ش;بكه

ي;ا سيس;تم وين;دوز در نخس;تين گ;ام از ك;اربّر احّراز ه;ويت ب;ه عم;ل آم;ده

و هنگ;امي ك;ه فّرآين;د احّراز ه;ویت ب;ا م;وفقيت ب;ه انج;ام رس;يد، ادام;ه ك;ار

و فع;اليت ب;ّراي ك;اربّر ميس;ّر خواه;د گّردي;د. روش س;نتي و رايج ب;دين

منظ;ور اس;تفاده از شناس;ه ك;اربّر و گ;ذرواژه مي باش;د ك;ه روش;ي ك;امال

ب;ه نف;وذ امك;ان مي باش;د. پ;ايين بس;يار امني;تي درج;ه ب;ا و ن;اامن

روش هم;ان ي;ا گ;ذرواژه از اس;تفاده ب;ا ص;ّرفا ك;ه سيس;تم هايي

احّراز ه;ویت س;نتي در سيس;تم هاي اطالع;اتي فع;اليت مي نماين;د، بس;يار

ب;ه هيچ امني;تي وج;ود دارد باالس;ت و در م;واردي ك;ه دغدغ;ه مس;ائل

توص;يه ك;اربّران هويت شناس;ي جهت روش اين از اس;تفاده عن;وان

نمي گّردد.

حف;اظت ش;دت ب;ه ش;بكه واق;ع در مطل;وب مج;ازی خصوص;ی ش;بکه يك

ش;ده اي اس;ت ك;ه امك;ان دستّرس;ي اف;ّراد ي;ك مجموع;ه خ;اص ب;ه اطالع;ات و

از طّري;ق م;واردي در و مختل;ف نق;اط از را وي;ژه اي ك;اربّردي بّرنامه ه;اي

در ام;نيت مي نماي;د. ف;ّراهم وب ي;ا از VPNاين;تّرنت اس;تفاده ب;ا معم;وال ه;ا

تب;ادالت PKIچه;ارچوب ن;وع ش;بكه ها كلي;ه اين ت;امين مي گ;ّردد؛ در واق;ع در

اطالع;اتي بين ك;اربّر و سيس;تم ب;ه ص;ورت رمزگذاري ش;ده انج;ام گّردي;ده و

همچ;نين دستّرس;ي ب;ه ه;ّر بّرنام;ه ك;اربّردي ي;ا مجموع;ه اطالع;ات در اين ش;بكه

نيازمن;د انج;ام عملي;ات هويت شناس;ي و اح;ّراز ه;ويت ك;اربّر مي باش;د. هم;انطور

ك;ه اش;اره ش;د روش س;نتي هويت شناس;ي، يع;ني اس;تفاده از گ;ذرواژه ب;ه هيچ

عن;وان مناس;ب اين ن;وع كاربّرده;اي حس;اس نمي باش;د، ض;من اينك;ه معم;وال در

ك;اربّر باي;د جهت دستّرس;ي هاي مختل;ف گ;ذرواژه هاي متع;ددي ن;يز را VPNي;ك

28نگهداري و در خاطّر بسپارد.

Virtual Private Network

29

Single Sign On

پيچي;دگي ك;اهش بمنظ;ور ك;ه اس;ت امك;اني واق;ع در یکپارچ;ه ه;ویت اح;ّراز

اس;تفاده از شناس;ه ها و گ;ذرواژه هاي متع;دد ب;ه منظ;ور دستّرس;ي ب;ه مجم;وعه اي

م;ورد ك;امپيوتّري ش;بكه هاي در گون;اگون خ;دمات و ك;اربّردي بّرنامه ه;اي از

جهت باش;د الزم اينك;ه ج;اي ب;ه ك;اربّر حقيقت در مي گ;يّرد. ق;ّرار اس;تفاده

توس;ط ارائه ش;ده س;ّرويس ي;ا ك;اربّردي بّرنام;ه ه;ّر از اس;تفاده و دستّرس;ي

س;ّرويس دهندگان متع;دد ش;بكه عملي;ات هويت شناس;ي و اح;ّراز ه;ويت را ب;ه ط;ور

مج;زا انج;ام ده;د، در روش دستّرس;ي هاي مختل;ف تنه;ا از ي;ك مج;ّرا تنه;ا كافيس;ت

ك;ه در ي;ك س;ّرويس دهنده وي;ژه ك;ه ب;ه همين منظ;ور در اولين نقط;ه تم;اس ك;اربّر

امك;ان و س;پس انج;ام ش;ده هويت شناس;ي عم;ل تعبي;ه شده اس;ت، ب;ا ش;بكه

دستّرس;ي ب;ه خ;دمات و س;ّرويس هاي س;ايّر س;ّرويس دهندگان ش;بكه ن;يز ب;ّراي

ك;اربّر مهي;ا مي گ;ّردد. ب;ديهي اس;ت ك;ه انج;ام اين تنه;ا عم;ل هويت شناس;ي نيازمن;د

م;وثّر روش ه;اي از اس;تفاده نتيج;ه در و باش;د بيش;تّري توج;ه و نظ;ّر دقت

ب;ه ط;وري ج;دي م;ورد اين در دوف;اكتوري مانن;د هويت شناس;ي هويت شناس;ي

مورد تاكيد است.

احراز هويت موثر كاربر Authentication

امنيت پست الكترونيكEmail Security

احراز هویت یکپارچه Web Single Sign On

30

امنيت در اینتّرنت و وب

31

Authentication

اح;ّراز ه;ویت در وب و اين;تّرنت از اهميت فوق الع;اده اي بّرخ;وردار مي باش;د. در

و ك;امال گمنام ان;د ن;وعي ب;ه ك;اربّران اين;تّرنت و دني;اي مج;ازي وب در حقيقت

ه;ويت واقعي ش;ان گ;اه به كلي متف;اوت از آنچ;ه وانم;ود مي كنن;د، مي باش;د. هّرچن;د

اين خصيص;ه ش;ايد يكي از ويژگي ه;اي مثبت وب و اين;تّرنت تلقي ش;ود ولي در

م;واردي و ح;داقل در ب;ّرخي كاربّرده;ا و خ;دمات، ك;امال مي توان;د مش;كل آف;ّرين

باش;د. م;وارد بس;يار متع;دد و ف;ّراواني را مي ت;وان ن;ام ب;ّرد ك;ه در آن اطالع از

آي;ا اج;ازه الزم ي;ا ارتب;اط الزم را دارد ي;ا ن;ه از اينك;ه ك;اربّر چ;ه كس;ي اس;ت و

اهميت بّرخ;وردار اس;ت؛ در كلي;ه اين م;وارد احّراز ه;ویت و احّراز ه;ويت ك;اربّران

ن;يز گفت;ه ش;د، قب;ل البت;ه هم;انطور ك;ه در بخش ه;اي و اهميت خواه;د داش;ت

احّراز ه;ویت ب;ا اس;تفاده از روش س;نتي يع;ني شناس;ه ك;اربّر و گ;ذرواژه از نظ;ّر

امنيتي كامال نامناسب و نا مطلوب مي باشد.

32

Email Security

دغ;دغه هاي الكتّروني;ك، غ;يّر پس;ت همچ;ون سيس;تم ن;وعي ب;ه الكتّروني;ك پس;ت

امني;تي نگّراني ه;اي اين مهم;تّرين جمل;ه از مي باش;د. دارا را مش;ابهي امني;تي

مي ت;وان ب;ه اطمين;ان از ارس;ال و دري;افت ص;حيح نام;ه، اطمين;ان از ه;ويت فّرس;تنده

از ع;دم اطمين;ان نام;ه، تغي;يّر محتوي;ات از ع;دم اطمين;ان نام;ه، دريافت كنن;ده و

و محّرمان;ه نامه ه;اي ارس;ال ديگ;ّران، توس;ط نام;ه خوانده ش;دن و بازش;دن

و رف;ع جهت نم;ود. اش;اره آن مانن;د م;واردي و آن ه;ا رمزگش;ايي و رمزگ;ذاري

اين پي;دايش ب;دو از الكتّروني;ك پس;ت ح;وزه در امني;تي نگّراني ه;اي اين ك;اهش

فن;اوري ت;ا ب;ه ام;ّروز راه حل ه;اي متف;اوت و متن;وعي ارائ;ه گّردي;ده ك;ه ه;ّر ك;دام ب;ه

پوش;ش را ح;وزه اين در امني;تي دغ;دغه هاي از ب;زرگي ي;ا كوچ;ك بخش ن;وعي

مي دهند.

و توكن ه;اي هوش;مند در اين بّرنامه ه;اي دغدغ;ه ام;نيت PKIبا اس;تفاده از چه;ارچوب

مّراس;الت در پس;ت الكتّروني;ك ت;ا مق;دار زي;ادي ك;اهش مي ياب;د. درواق;ع ب;دين ت;ّرتيب

و داش;ته ارس;ال امضاش;ده ي;ا رمزگ;ذاري نامه ه;اي ت;وكن مي توان;د دارن;ده ف;ّرد

همچ;نين نامه ه;اي دري;افتي را ن;يز تنه;ا خ;ود رمزگش;ايي نماي;د؛ در واق;ع رمزگش;ايي و

توليد امضاء ديجيتال تنها و تنها توسط مالك توكن هوشمند ميسّر خواهد بود.

33

Web Single Sign On

اح;ّراز ه;ویت یکپارچ;ه در وب همانن;د م;ورد مش;ابه در ش;بكه هاي كوچك;تّر در واق;ع

امك;اني اس;ت ك;ه بمنظ;ور ك;اهش پيچي;دگي اس;تفاده از شناس;ه ها و گ;ذرواژه هاي

خ;دمات و ك;اربّردي بّرنامه ه;اي از مجم;وعه اي ب;ه دستّرس;ي منظ;ور ب;ه متع;دد

گون;اگون ارائه ش;ده توس;ط ي;ك ش;ّركت ي;ا موسس;ه در وب م;ورد اس;تفاده ق;ّرار

مي گ;يّرد. در حقيقت ك;اربّر ب;ه ج;اي اينك;ه الزم باش;د جهت دستّرس;ي و اس;تفاده از

ه;ّر بّرنام;ه ك;اربّردي ي;ا س;ّرويس ارائه ش;ده توس;ط س;ّرورهای متع;دد ش;بكه عملي;ات

احّراز هویت را به طور مجزا انجام دهد.

توكن ه;اي هوش;مند مي توانن;د ض;من ف;ّراهم آوردن امك;ان انج;ام روش م;وثّر اح;ّراز

ه;ویت دو ف;اكتوري، دغدغ;ه اح;ّراز ه;ویت م;وثّر در روش دستّرس;ي هاي مختل;ف

يكپارچ;ه را مّرتف;ع نماين;د. در حقيقت در اين روش مي ت;وان ب;ا اس;تفاده از تنه;ا ي;ك

ت;وكن پين ك;د ك;ه هم;ان گ;ذرواژه ي;ك تنه;ا ب;ه خاطّرس;پاري ب;ا و ت;وكن هوش;مند

و ك;اربّردي بّرنا مه ه;اي ب;ه دستّرس;ي و احّراز ه;ویت امك;ان مي باش;د، هوش;مند

خ;دمات متع;دد س;ّرويس دهندگان ي;ك ش;بكه را ف;ّراهم نم;ود. توكن ه;اي هوش;مند

امك;ان نگه;داري شناس;ه ها و اطالع;ات الزم ب;ّراي بّرنامه ه;اي ك;اربّردي متع;دد را ن;يز

دارا مي باشد.

Smart

Token

E-Payment

E-Health

E-Banking

E-Voting

E-WalletE-Money

E-Identity

E-Authentication

E-Privacy

34

امنیت در تجارت الکتّرونیک

35

رمزنگ;;اري، مب;;احث اس;;تانداردهاي PKCS#11در مجموع;;ه اعض;;اي از يکي

بّرنامه س;ازي واس;ط ي;ک اس;تاندارد اين در مي باش;د. عم;ومي کلي;د رمزنگ;اري

( عام;ل از سيس;تم امني;تي platformمس;تقل ماجول ه;اي مانن;د توکن ه;ا، ب;ّراي )

، اين PKCS#11س;خت افزاري و کارت ه;اي هوش;مند، تعّري;ف شده اس;ت. اس;تاندارد

" را بّرنامه س;;ازي کلم;;ات Cryptokiواس;;ط ادغ;;ام از ک;;ه مي نام;;د "

� از عن;وان Cryptographic Token Interfaceعب;ارت" " حاص;ل شده اس;ت. ولي اک;ثّرا

PKCS#11.بّراي ارجاع به واسط بّرنامه سازي مذکور استفاده مي کنند

از آن جهت ک;ه اس;تاندارد رس;مي ب;ّراي توکن ه;ا ب;ا ک;اربّرد رمزنگ;اري وج;ود ن;دارد،

ب;ّراي عم;وم ان;تزاعي ب;ه منظ;ور ف;ّراهم آوردن ي;ک الي;ه بّرنامه س;ازي اين واس;ط

يافته اس;ت. واس;ط بّرنامه س;ازي ب;ا ک;اربّرد رمزنگ;اري، توس;عه ، PKCS#11توکن ه;ا

کلي;دهاي X.509، گواهي ه;اي RSAبس;ياري از ان;واع ش;يءهاي رمزنگ;اري )کلي;دهاي

DES 3 وDES ،و ...( و تم;امي تواب;ع م;ورد ني;از ب;ّراي اس;تفاده از آن ه;ا مانن;د ايج;اد

تغييّر و حذف اين اشياء را تعّريف نموده است.

PKCS#11استاندارد

نّرم افزار اکثّر مّراکز گواهي تجاري از

PKCS#11 بّراي دستّرسي به کليد امضاي

کاربّران از توكن استفاده می کنند. نّرم افزار

مستقل از سيستم عامل که نياز به استفاده

را بکار PKCS#11از توكن هوشمند دارد،

Adobe و Mozilla Firefox/Thunderbirdمي بّرد.

Professional از جمله اين نّرم افزار ها

مي باشند.

36

ب;ه ه;ّر ارتب;اطي ک;ه بين نّرم اف;زار و ي;ک ت;وکن بّرق;ّرار PKCS#11در اس;تاندارد

R/W و نشس;ت R/Oمي ش;ود، نشس;ت گفت;ه مي ش;ود ک;ه ب;ه دو دس;ته نشس;ت

، ک;اربّر فق;ط جهت خوان;دن ب;ه اش;ياي R/Oتقس;يم مي ش;ود. در ي;ک نشس;ت

ک;اربّر هم دستّرس;ي R/Wذخيّره ش;ده در ت;وکن دستّرس;ي دارد ولي در نشس;ت

دارا را ت;وکن اش;ياي ذخيّره ش;ده در نوش;تن روي خوان;دن و هم دستّرس;ي

مي باشد.

هّرگ;اه توس;ط يکي از نشس;ت هاي نّرم اف;زار ه;ويت ک;اربّر ب;ّراي ت;وكن اح;ّراز

ش;ود(، تم;ام نشس;ت هاي اين نّرم اف;زار نس;بت ب;ه ت;وکن وض;عيت Loginش;ود)

Login پي;دا مي کنن;د و هّرگ;اه ي;ک نشس;ت ب;ا ت;وکن در وض;عيت Logout ق;ّرار گ;يّرد

قّرار مي گيّرند.Logoutتمام نشست هاي ديگّر نّرم افزار نيز در وضعيت

تواب;ع و نوع ه;اي داده اي م;ورد ني;از جهت پياده س;ازي عملي;ات ف;وق Cryptokiدر

وين;دوز نوش;ته ش;ده ب;ّراي نّرم افزاره;ايي ک;ه پيش;نهاد شده اس;ت. و مع;ّرفي

ج;اي ب;ه اس;ت ممکن بّرنامه س;ازي PKCS#11باش;ند، واس;ط از MS-CAPI

استفاده کنند که به سيستم عامل وابسته مي باشد.

PKCS#11استاندارد

37

عملیات رمزنگاری

امضا و محاسبه •چکيده پيام

مديريت اشيا

حذف وايجاد •شيئ

عمليات اجرايي

Loginمثل •

PKCS#11استاندارد

عملي;اتي ک;ه در ي;ک نشس;ت تش;کيل ش;ده بين نّرم اف;زار و Cryptokiدر راب;ط بّرنامه نويس;ي توکن، قابل پياده سازي مي باشد به سه دسته کلي زيّر تقسيم مي شود:

با تشکر از توجه شمابا سپاس

38

ما بدان مقصد عالی نتوانیم رسید

هم مگر پیش نهد لطف شما، گامی چند(حافظ)

39

Any Questi on?