1 / 60

آشنایی با سیستم‏های یکپارچه احراز اصالت

آشنایی با سیستم‏های یکپارچه احراز اصالت . ملیحه ابراهیمی کارشناس ارشد تیم سرویس های پایه و کاربردی مرکز تخصصی آپا دانشگاه صنعتی اصفهان بهمن‏ماه 1388. روند ارائه مطالب. مشکل چیست؟ امنیت اطلاعات رمز‏نگاری احراز هویت امضای دیجیتالی گواهینامه دیجیتالی پیاده‏سازی CA

halia
Download Presentation

آشنایی با سیستم‏های یکپارچه احراز اصالت

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. آشنایی با سیستم‏های یکپارچه احراز اصالت ملیحه ابراهیمی کارشناس ارشد تیم سرویس های پایه و کاربردی مرکز تخصصی آپا دانشگاه صنعتی اصفهان بهمن‏ماه 1388

  2. روند ارائه مطالب • مشکل چیست؟ • امنیت اطلاعات • رمز‏نگاری • احراز هویت • امضای دیجیتالی • گواهینامه دیجیتالی • پیاده‏سازی CA • چند نمونه استفاده از سیستم‏های احراز اصالت • SSL • امنیت رایانامه • SSO

  3. مشکل چیست؟ • اطلاعات به صورت رمز نشده، نا امن و کاملا موجود بر روی اینترنت منتشر می‏شوند. • سرمایه اساسی هر سازمان داده است. • داده‏های محرمانه در اختیار کاربران مجاز است. • اهميت حفاظت از داده‏ها

  4. امنیت اطلاعات • تهدید‏های طبیعی • تهدید‏های عمدی • تهدید‏های غیر عمدی

  5. ابعاد امنیتی • محرمانه‏ماندن اطلاعات (Confidentiality) • احراز هویت (Authentication) • تضمین صحت اطلاعات (Integrity) • غیر قابل انکار ساختن پیام‏ها (Non-Repudiation)

  6. تهدیدات امنیتی استراق سمع داده‏ها دستکاری/تحریف داده‏ها جعل و ارسال داده‏های ساختگی ایجاد اختلال/ وقفه کامل

  7. رمز‏نگاری

  8. رمز‏نگاري • کلید رمز نگاری • الگوریتم رمز نگاری • کلید رمز گشایی • الگوریتم رمز گشایی C = f (P , K)

  9. الگوریتم‏های رمزنگاری • الگوریتم متقارن • DES، 3-DES، AES (Rijndael)، Serpent • الگوریتم نا‏متقارن • RSA، DSA ، ElGamal، Diffie-Hellman • الگوریتم درهم‏سازی • SHA-1، MD5، RIPEMD

  10. رمز‏نگاری متقارن • به ازای هر نشست نیاز به یک کلید نشست است. • نگهداری کلید ها مشکل است.

  11. رمز‏نگاری نامتقارن • روش‏های کلید عمومی کند هستند. • تعویض جفت کلید ها

  12. احراز هویت

  13. روش‏های احراز هویت • چیزی که کاربر بداند • رمز عبور متنی، رمز عبور تصویری • چیزی که کاربر مالک آن است • توکن‏های امنیتی، کارت‏های هوشمند • چیزی که کاربر از نظر بیولوژیک دارد • اثر انگشت، الگوی شبکه چشم، تشخیص چهره، تشخیص صدا

  14. کلمه عبور • رایج‏ترین نوع احراز هویت است. • مزیت • پیاده سازی بسیار ساده • معایب • می توان آن را حدس زد. • به آسانی به دیگری داده می شود. • یادآوری آن، به ویژه اگر مرتبا استفاده نشود، همیشه آسان نیست. • آموزش کاربران

  15. توکن • توکن دارای حافظه‏ای برای انجام عملیات رمز‏نگاری و نگهداری گواهی‏های الکترونیکی هستند و با استفاده از ریز تراشه موجود در آن ها و بکارگیری الگوریتم های پیچیده، عملیات رمز نگاری انجام می شود • تنها شخصی که دارنده توکن می باشد، می تواند با وارد کردن کلمه عبور توکن به اطلاعات محرمانه دسترسی پیدا کند.

  16. بیو‏متریک • استفاده از خصوصیات فیزیکی اشخاص • مزیت • غیر قابل دسترسی، گم شدن، فراموشی • عیب • هزینه‏، نصب، نگهداری

  17. انواع احراز هویت • احراز اصالت ضعیف • احراز اصالت قوی • استفاده از چند عامل • چالش و پاسخ

  18. امضا و گواهینامه دیجیتالی

  19. امضای دیجیتالی • گیرنده سند یا پیام الکترونیکی بتواند هویت صاحب سند را به درستی تشخیص دهد و از جعلی نبودن آن اطمینان حاصل کند. • صاحب و امضا کننده سند بعدا نتواند محتوای سند یا پیام ارسالی خود را به هیچ طریقی انکار کند. • یک حمله کننده نتواند پیام‏ها یا اسناد جعلی تولید و آن‏ها را به دیگران منتسب کند.

  20. Hash فرآیند امضای دیجیتالی مرحله 1 مرحله 2 رمزنگاری Hash امضای دیجیتالی داده Private امضای دیجیتال مرحله 3 Public • مرحله 1. درهم سازی داده‏ها با استفاده از یکی از الگوریتم‏های درهم‏سازی (چکیده پیام) • مرحله 2. رمز‏نگاری داده درهم‏سازی با استفاده از کلید خصوصی فرستنده • مرحله 3. اضافه کردن امضا ( و یک کپی از کلید عمومی فرستنده) به انتهای متن پیام

  21. درهم‏سازی درهم‏سازی امضای دیجیتال فرآیند بررسی صحت امضای دجیتالی مرحله 1 درهم‏سازی مرحله 3 داده مرحله 2 رمز گشایی Public Key • مرحله 1. درهم‏سازی پیام اصلی با استفاده از الگوریتم درهم‏سازی مشابه • مرحله 2. رمز‏گشایی امضای دیجیتالی با استفاده از کلید عمومی • مرحله 3. مقایسه نتیجه در‏هم‏سازی و رمز گشایی. اگر هر دو طرف یکسان باشند، صحت امضای دیجیتالی تایید می‏شود. در صورتیکه تطابق نشوند، پیام یا امضا در حین انتقال تغییر یافته‏اند.

  22. سوالات اساسی • گیرنده پیام چگونه از کلید عمومی فرستنده اطلاع یابد؟ (به منظور بررسی صحت امضای دیجیتالی) • فرستنده پیام چگونه از کلید عمومی گیرنده اطلاع یابد؟ (به منظور ارسال پیام رمز شده)

  23. ~~~~ ~~~~ ~~~~ Digital Certificate گواهینامه‏های دیجیتالی • قبل از تبادل اطلاعات میان دو طرف با استفاده از رمز نگاری کلید عمومی، هر دو می بایستی احراز هویت شده باشند . • قبل از آن که باب پیامی را همراه با امضای دیجیتالی از آلیس دریافت کند، باید اطمینان حاصل کند که کلید عمومی در اختیار باب متعلق به آلیس می‏باشد و به شخص دیگری تعلق ندارد.

  24. مراکز صدور گواهی • برای اطمینان از صحت تعلق کلید عمومی به یک شخص از مراکز مورد اعتماد استفاده می شود که به مراکز صدور گواهی (CA) مشهور است. • مراکز صدور گواهی مورد اعتماد همه می‏باشند. • هنگامی که آلیس از طرف CA شناسایی شد، یک پیام حاوی نام و کلید عمومی آلیس ایجاد می‏شود. این پیام گواهینامه دیجیتالی نامیده می‏شود.

  25. X.509 Certificate Version # Serial # Signature Algorithm Issuer Name Validity Period Subject Name Subject Public Key Issuer Unique ID Subject Unique ID Extensions DigitalSignature گواهینامه‏های دیجیتالی • یک گواهینامه دیجیتالی به فرمت استاندارد X.509 همراه با یک امضای دیجیتالی می‏باشد. اطلاعات بر روی گواهینامه نشان دهنده شخص مالک، امضای مرکز و دیگر اطلاعات مرتبط می باشد. • چکیده محتویات گواهینامه، با کلید خصوصی مرکز امضا می‏شود. • کلید عمومی CA در اختیار تمامی افراد قرار می‏گیرد. • ترودی هیچ گاه نمی تواند محتوای گواهینامه یا کلید عمومی را تغییر دهد. CA Authorized

  26. DigitalSignature احراز هویت/کنترل دسترسی • آیا تکنولوژی کلید عمومی برای انجام احراز هویت یا کنترل دسترسی به کار می رود؟ مطمئنا چگونه؟ استفاده از امضای دیجیتالی و گواهینامه دیجیتالی

  27. لیست گواهینامه‏های باطل شده(CRL) • ابطال گواهینامه‏ها قبل از تاریخ انقضا • کشف کلید خصوصی • حادثه امنیتی .... • انواع CRL • Complete • Delta

  28. انواع گواهینامه • گواهینامه های سرویس دهنده • گواهینامه های شخصی • گواهینامه های ناشر نرم افزار • گواهینامه های مراکزCA

  29. پیاده‏سازی CA در ویندوز

  30. انواع CA

  31. نصب CA در ویندوز سرور 2003

  32. صدور گواهینامه دیجیتالی از یک CA آنلاین • MMC • web browser

  33. استفاده از MMC • MMC> Add/Remove Snap-In > Add

  34. استفاده از MMC(ادامه ...) • Certificates > Current User > Personal

  35. استفاده از MMC(ادامه ...) • MMC > Current User > Personal > Certificates

  36. استفاده از Web Browser • پیش‏نیاز: IIS

  37. استفاده از web browser (ادامه ...) • http://server_name/certsrv

  38. استفاده از web browser (ادامه ...)

  39. Export کردن یک گواهینامه

  40. امنیت وب

  41. HTTP FTP NNTP and so on ….. Application Network Layer Secure Socket Layer TCP/IP Layer پروتکل SSL • Secure Socket Layer به منظور امنیت داده‏ شبکه‏های TCP/IP به کار می‏رود.

  42. SSL 2.0 پروتکل • SSL 2.0 داده‏های مبادله شده میان سرور و مرورگر را رمزنگاری می‏کند. مرورگر به سرور امن متصل می‏شود سرور کپی گواهینامه (CertS) خود را برای مرورگر ارسال می‏کند • مرورگر صحت امضای موجود بر روی CertSرا بررسی می‏کند • مرورگر یک کلید نشست (SessKeyB) ایجاد می‏کند. • مرورگر کلید نشست را با استفاده از CertSرمزنگاریمی‏کند. CertS {SessKeyB } CertS سرور SessKeyBرا با استفاده از کلید خصوصی خود رمزگشایی می‏کند. {Data} SessKeyB مرورگر و سرور با استفاده از SessKeyBداده های مبادله شده بر روی اینترنت رمز نگاری می کنند

  43. SSL 3.0 همراه با احراز هویت سرویس‏گیرنده مرورگر به سرور امن متصل می‏شود سرور کپی گواهینامه (CertS) خود را برای مرورگر ارسال می‏کند CertS - SSL 3.0 • مرورگر صحت امضای موجود بر روی CertSرا بررسی می‏کند • مرورگر یک کلید نشست (SessKeyB) ایجاد می‏کند. • مرورگر کلید نشست را با استفاده از CertSرمزنگاریمی‏کند. • مرورگر گواهینامه خود (CertB) را برای سرور ارسال می‏کند. • سرور SessKeyBرا با استفاده از کلید خصوصی خود رمزگشایی می‏کند. • سرور صحت امضای موجود بر CertB را بررسی می‏کند. {SessKeyB } CertS+ CertB {Data} SessKeyB مرورگر و سرور با استفاده از SessKeyBداده های مبادله شده بر روی اینترنت رمز نگاری می کنند

  44. امنیت رایانامه

  45. امضا و رمزنگاری رایا‏نامه • جلوگیری از Mail spoofing • ممانعت از رایانامه‏های جعلی • محافظت از اطلاعات و پیام‏های حساس • غیر قابل انکار ساختن پیام‏ها

  46. 1 تنظیمات Outlook (1) انتخاب Toolsاز منوی اصلی و سپس انتخاب Options

  47. 2 تنظیمات Outlook (2) بر روی Security tab کلیک کنید

  48. 3 تنظیمات Outlook (3) بر روی دکمه Settings کلیک کنید.

  49. 4 تنظیمات Outlook (4) در قسمت Security Settings Name, یک نام برای تنظیمات امنیتی جدید وارد کنید. در قسمتSecure Message Format را بنویسید. بر روی دکمه Chooseکلیک کنید تا گواهی مورد نظر را انتخاب کنید.

  50. 5 تنظیمات Outlook (5) گواهی مورد نظر را انتخاب کرده و بر روی OK کلیک کنید

More Related