محمد نصیری
هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

کاملترین معرفی انواع روشهای احراز هویت + پروتکل ها و تکنیک ها

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

شناسایی و احراز هویت دو هسته اصلی در بیشتر سیستم های کنترل دسترسی هستند. شناسایی عملی است که یک کاربر برای معرفی خود به یک سیستم اطلاعاتی استفاده می کند که معمولا در قالب یک شناسه ورود یا Login ID وجود دارد . شناسایی در حقیقت برای پاسخگویی کاربر به اعمالی است که وی بر روی سیستم انجام می دهد .

کاملترین معرفی انواع روشهای احراز هویت + پروتکل ها و تکنیک ها

یعنی شناسایی در دنیای فناوری اطلاعات برابر با قابلیت حسابرسی به فعالیت های کاربران در سیستم های اطلاعاتی است . احراز هویت تاییدی بر این است که کاربر همان فردی است که ادعا می کند و در حقیقت بررسی می کند که شناسه کاربر معتبر است یا معتبر نیست . معمولا احراز هویت توسط رمز عبور کاربران در شبکه انجام می شود.

فاکتورهای اصلی احراز هویت چه چیزهایی هستند؟

  1. چیزی که شما می دانید ( What You Know ) : مانند رمزهای عبور و شماره هایی مانند پین کد ....
  2. چیزی که شما دارید ( What You Have ) : مانند کارت های هوشمند اعتباری و بانکی و یا انواع Token ها و ...
  3. چیزی که شما هستید ( What You Are ) : فیزیک بدنی شما ، اثر انگشت ، نمونه DNA ، ساختار شبکیه و عنبیه چشم و ...

کاملترین معرفی انواع روشهای احراز هویت + پروتکل ها و تکنیک ها
برخی اوقات می توان فاکتور چهارمی نیز به این موارد اضافه کرد که معمولا به آن چیزی که شما انجام می دهید نیز گفته می شود ، برای مثال مدت زمانی که طول می کشد که شما نام کاربری و رمز عبور خود را بر روی کیبورد وارد کنید در این فاکتور قرار می گیرد ، شما می توانید این فاکتور یکی از زیرمجموعه های فاکتور چیزی که شما هستید ( What You Are ) بدانید.

احراز هویت دوگانه یا Two-Factor Authentication به این معناست که دو عدد از فاکتورهای احراز هویت را بصورت همزمان در فرآیند احراز هویت استفاده کنیم. برای مثال دریافت پول از دستگاه های خودپرداز بانک از سیستم احراز هویت دو دوگانه استفاده می کند ، شما ضمن اینکه بایستی کارت هوشمند بانکی ( چیزی که شما دارید ) را همراه داشته باشید ، رمز عبور آن ( چیزی که شما می دانید ) را نیز بایستی بدانید .

نوع اول احراز هویت : رمزهای عبور | Password ها | OTP ها

رمز های عبور ممکن است افشا شوند و به همین دلیل بایستی از آنها محافظت شود . اگر بخواهیم ایده آل در مورد امنیت فکر کنیم ، هر رمز عبور فقط بایستی یکبار استفاده شود. به این نوع رمز های عبور ، رمز های عبور یکبار مصرف یا One Time Password گفته می شود .در این روش حداکثر امنیت ممکن در رمزهای عبور را می توانیم داشته باشیم به دلیل اینکه در هر باز استفاده شدن رمز عبور ، این رمز تغییر کرده و در بار بعدی نمی توان از رمز قبلی استفاده کرد.

رمز عبوری که در هر بار ورود به سیستم ثابت مانده و تغییر نمی کند را رمزهای عبور ایستا یا Static می نامند و رمزهای عبوری که در هر بار ورود به سیستم تغییر می کنند را رمز های عبور پویا یا Dynamic می نامند. مقایسه تغییر رمز در بین این دو نوع رمز عبور واقعه غیر قابل مقایسه است .

رمزهای عبور بسته به نوع استفاده و حساسیت مصرف آنها در نوع منابعی که از آنها محافظت می کنند ، بصورت ماهیانه ، هتگی و یا حتی روزانه تعویض می شوند . در حقیقت هر چقدر زمان استفاده از رمز های عبور طولانی تر شود ، امکان سوء استفاده و افشای آن بیشتر می شود .

یک Passphrase ترتیبی از کاراکترها است که معمولا بیشتر از طول رمزهای عبور یا Password ها هستند و برای امنیت بیشتر سیستم های اطلاعاتی به رمز عبور کمک می کنند ، Passphrase در هنگام استفاده در قالب یک رمز عبور مجازی فعالیت می کند .

کاملترین معرفی انواع روشهای احراز هویت + پروتکل ها و تکنیک ها

Token ها یا توکن ها ابزاهای فیزیکی هستند که در اندازه ای مانند اندازه کارت های هوشمند ، و یا حافظه های فلش وجود دارند ، این ابزارها وظیفه نگهداری و یا تولید رمزهای عبور ایستا و یا پوسا را بر عهده دارند . این نوع از توکن ها مثالی از آنچه شما دارید هستند . یک کارت بانکی یا ATM اطلاعات خاصی در مورد شما را در خود ذخیره می کند . کارت های هوشمند پا را از این نیز فراتر می گذارند و در درون خود پردازنده نیز قرار می دهند ، در واقع کارت های هوشمند توانایی پردازش اطلاعات را نیز دارند. در ادامه به معرفی چهار نوع از این نوع کارت های هوشمند می پردازیم :

توکن های رمزهای عبور ایستا ( Static Password Tokens )

  • مالک خود را به توکن احراز هویت می کند
  • توکن مالک را برای استفاده از یک سیستم اطلاعاتی احراز هویت می کند

توکن های رمزهای عبور پویای همگام

  • توکن در وهله های زمانی معین و تعیین شده رمزهای عبور منحصر به فرد جدید ایجاد می کند .( این رمزعبور می تواند با یک کلید دیگر رمزنگاری شود)
  • این رمز عبور منحصر به فرد به همراه پین کد یا PIN مالک به سیستم یا ایستگاه کاری وارد می شود.
  • موجودیتی که در سیستم یا ایستگاه کاری وجود دارد ، کلید محرمانه و PIN مالک را می شناسد ، این موجودیت رمز عبور وارد شده را اعتبار سنجی کرده و در مورد آن تصمیم گیری می کند که در صورت معتبر بودن و وارد کردن رمز در زمان معین به آن اجازه ورود می دهد.

توکن های رمزهای عبور پویای ناهمگام

  • این نوع ساختار نیز مانند ساختار توکن های رمزهای عبور پویای همگام هستند با این تفاوت که رمز عبور جدید تولید شده فاکتور وارد کردن رمز در زمان معین شده را ندارد.

توکن های Challenge-Response

  • در این نوع ساختار ابتدا سیستم یا ایستگاه کاری یک رشته ( Challenge ) تصادفی تولید می کند و مالک این رشته را در داخل توکن به همراه PIN مربوطه قرار می دهد .
  • در ادامه توکن نیز یک رشته بازگشت می دهد که به سیستم یا ایستگاه کاری وارد می شود.
  • مکانیزم های احراز هویت در سیستم یا ایستگاه کاری بعدا تعیین می کند که مالک بایستی احراز هویت شود یا خیر.

در تمامی این ساختارها یک دستگاه احراز هویت جلودار یا Front-End و یک دستگاه احراز هویت پشتی یا Back-End وجود دارند که این قابلیت را به سیستم ها و سرویس های می دهند که براحتی فرآیند های احراز هویت را انجام دهند و این سرویس را پشتیبانی کنند .

نوع دوم احراز هویت : سیستم های بایومتریک یا Biometric

یکی از راهکارهای که می توان در کنار رمزهای عبور برای پیاده سازی کنترل های دسترسی استفاده کرد سیستم های بایومتریک هستند. سیستم های بایومتریک از مکانیزم های نوع سوم فاکتورهای احراز هویت یعنی آنچه شما هستید ، هستند . بایومتریک یک سیستم خودکار است که انسان ها را از روی ویژگیهای فیزیولوژیکی و همچنین رفتارهای فرد شناسایی و احراز هویت می کند .

در اینگونه سیستم ها یک پایگاه داده از تصاویر مربوط به ویژگیهای فیزیولوژیکی افراد وجود دارد که به محض در خواست فرد برای احراز هویت ، این تصاویر با تصویر ویژگیهای فرد مقایسه شده و در نهایت در صورتیکه تصویر مربوطه در پایگاه داده وجود داشته باشد شخص احراز هویت می شود . معمولا تجهیزات و سیستم های احراز هویت بایومتریک در پیاده سازی کنترل های امنیتی فیزیکی و همچنین احراز هویت در کنترل های منطقی مورد استفاده قرار می گیرد.
کاملترین معرفی انواع روشهای احراز هویت + پروتکل ها و تکنیک ها

مقیاس های کارایی تجهیزات بایومتریک

  1. خطای نوع اول : میزان مردود کردن اشتباه False Rejection Rate یا FRR درصد درخواست های معتبری است که به اشتباه رد می شوند.
  2. خطای نوع دوم : میزان قبول کردن اشتباه False Acceptance Rate یا FAR درصد درخواست های نامعتبری است که به نادرستی به عنوان صحیح شناخته شده و قبول می شوند .
  3. خطای نوع سوم : درصد خطاهای متقاطع Crossover Error Rate یا CERدرصدی که در آن FRR با FAR برابر می شوند.

تقریبا تمامی تشخیص ها در هنگام فرآیند بازرسی این اجازه را به حساسیت سیستم می دهد که در زمان تشخیص زیاد یا کم شود.زمانی که حساسیت یک سیستم بالا می رود ، مثلا در فرودگاه ها و سیستم های تشخیص فلزات موجود در گیت های ورودی ، درصد FRR بسیار بالا می رود. بر همین اساس اگر حساسیت سیستم کاهش پیدا کند ، میزان FAR سیستم بالا خواهد رفت . بنابراین برای اندازه گیری میزان کارایی سیستم در اینجاست که CER استفاده می شود . در شکل بعد می تواندی نمودار این مفهوم را مشاهده کنید :
کاملترین معرفی انواع روشهای احراز هویت + پروتکل ها و تکنیک ها

شکل الف : درصد خطاهای متقاطع ( Crossover Error Rate یا CER )
علاوه بر دقت و صحت انجام عملیات احراز هویت توسط سیستم های بایومتریک فاکتورهای دیگری نیز وجود دارند که بایستی در نظر گرفته شوند.این فاکتورها به ترتیب زمان ثبت نام ( Enrollment Time ) ، نرخ توان عملیاتی (throughput) و همچنین محدودیت های پذیرش ( Acceptability ) هستند .

زمان ثبت نام یا Enrollment Time در حقیقت مدت زمانی است که ما بایستی برای ورود اطلاعات و ثبت نام افراد در سیستم و تهیه نمونه های خاصیت های بایومتریک افراد در سیستم صرف کنیم . برای مثال در سیستم های بایومتریک اثر انگشت برای ذخیره هر اثر انگشت با کیفیت مناسب بایستی 250 کیلوبایت حافظه در نظر گرفته شود .

این سطح از اطلاعات برای استفاده در نرم افزارهای اثر انگشت لازم است و خود تشکیل یک پایگاه داده عظیم را خواهد داد که در جستجو های بعدی برای عملیات احراز هویت مورد استفاده قرار می گیرد . در تکنولوژی های اسکن اثر انگشت ، یک اثر انگشت کامل ذخیره نمی شود بلکه به جای آن چهره یا ریخت اقتباس شده از این اثر انگشت با استفاده از یک قالب ذخیره سازی که بین 500 تا 1000 بایت از حافظه را اشغال می کنند در پایگاه داده ذخیره می شود .

اثر انگشت اصلی نمی تواند از طریق این قالب بازسازی شود. تکنولوژی اسکن اثر انگشت برای مقایسه های یک به یک و ایجاد پایگاه داده های کوچک مورد استفاده قرار می گیرد . بروز رسانی برخی از ویژگیهای بایومتریک که در طول زمان تغییر می کنند مانند صدا و امضاء می بایستی در وهله های زمانی معین انجام شود .

اثر انگشت در احراز هویت


نرخ توان عملیاتی (throughput) مدت زمانی است که سیستم فرآیند های شناسایی و احراز هویت را برای افراد انجام می دهد .نرخ توان عملیاتی قابل قبول برای اینگوه سیستم های بایومتریک معمولا محدوده 10 عدد عملیات در هر دقیقه می باشد. محدودیت های پذیرش به مسائلی همچون حفظ حریم خصوصی و محرمانگی ، سادگی و سهولت استفاده از فیزیک و فیزیولوژی سیستم اشاره می کند .

برای مثال یکی از مسائلی که در مورد سیستم های اسکن شبکیه چشم وجود دارد تبادل و رد و بدل شدن مایعات درون چشم و عدسی دوربین است . یکی دیگر از مواردی که باز هم در اشکن کردن شبکیه وجود دارد وجود تغییرات در شبکیه به دلیل بیماری افراد می باشد ، برای مثال کسانی که مبتلا به دیابت و یا فشار خون زیاد می شوند این عمل می تواند مستقیما بر روی الگوهای شبکیه چشم اثرگذار باشد .

تصاویری که توسط سیستم های بایومتریک جمع آوری می شود در محلی به نام تنه یا Corpus ذخیره می شوند. خود corpus در یک پایگاه داده از تصاویر ذخیره می شود . اصلی ترین منابع خطایی که ممکن است در اینگونه سیستم ها به وجود بیایند به ترتیب : خراب شدن تصاویر به هنگام جمع آوری ، برچسب گذاری نادرست تصاویر و یا حتی ذخیره نادرست اطلاعات در پایگاه داده می باشد .

بنابراین فرآیند جمع آوری تصاویر و ذخیره سازی آن در هنگام فرآیند ثبت نام قطعا حیاتی ترین و مهمترین قسمت برای عملکرد درست یک دستگاه یا سیستم بایومتریک است. برخی از شاخص ترین ویژگی هایی که برای احراز هویت شناسه منحصر به فرد ، هر فرد در سیستم های بایومتریک استفاده می شود به شرح زیر می باشد :

  1. اثر انگشت
  2. اسکن شبکیه چشم
  3. اسکن عنبیه چشم
  4. اسکن صورت یا چهره
  5. اسکن کف دست
  6. استفاده از شکل هندسی دست
  7. صوت و لحن
  8. الگوهای دست خط و امضاء

نوع سوم احراز هویت : SSO یا Single Sing On

قابلیت Single Sign On یا SSO برای برطرف کردن مشکل ورود کاربر با نامهای کاربری و رمزهای عبور متعدد به سیستم های مختلف برای دسترسی به منابع را برطرف می کند. یک کاربر برای پیدا کردن دسترسی به منابع مختلف در شبکه مجبور است تعداد زیادی رمز عبور را حفظ باشد و یا آنها را در جایی یادداشت کند که این رمز ها فراموش نشوند ، معمولا همین رمز ها هستند که توسط مهاجمین مورد سوء استفاده قرار می گیرند .

در ساختار SSO کاربر صرفا یک نام کاربری و رمز عبور یکتا در شبکه دارد که بلافاصله بعد از اینکه وارد یک سیستم در ساختار SSO شود می تواند از تمامی منابعی که برای وی در شبکه تعریف شده است استفاده کند ، بدون نیاز به اینکه برای هر منبع اطلاعاتی نام کاربری و رمز عبور جدیدی وارد کند .

قابلیت Single Sign On  یا ورود یکپارچه به سیستم

برای امنیت SSO مهمترین مسئله این است که رمزهای عبوری که در بین سیستم های اطلاعاتی رد و بدل می شوند بایستی بصورت رمزنگاری شده استفاده شوند ، این رمز ها نبایستی بر روی سیستم ها ذخیره شده و یا اینکه بصورت رمزنگاری نشده در شبکه منتقل شوند . نرم افزارهای کاربردی که با قابلیت SSO کار می کنند ، هم می توانند بر روی ایستگاه کاری کاربر باشند و یا بر روی سرورهای احراز هویت قرار داشته باشند.

مزیت SSO در این است که کاربر می تواند از رمز عبور قویتری استفاده کند ، مدیریت تغییر رمزهای عبور و یا تغییرات و همچنین حذف حسابهای کاربری برای مدیریت شبکه بسیار آسانتر می شود و همچنین دسترسی به منابع اطلاعاتی نیز در مدت زمان کمتری انجام می شود. اصلی ترین خطری که در پیاده سازی نادرست SSO وجود دارد این است که زمانی که یک کاربر با یک بار ورود به سیستم با نام کاربری خود وارد شود .

می تواند به صورت آزادانه به تمامی منابع شبکه ای که در شبکه وجود دارد بدون محدودیت دسترسی پیدا کند. گروه Open Group که در حقیقت یکی از بزرگترین کنسرسیوم هایی است که به سازمان ها در جهت رسیدن به اهدافشان با توجه به استانداردهای فناوری اطلاعات کمک می کند ، اهداف عملیاتی را برای پشتیبانی رابط کاربری در محیط SSO تدوین کرده است که مهمترین این اهداف به شرح ذیل می باشند :


  1. رابط بایستی از نوع احراز هویت اطلاعات مستقل باشد.
  2. رابط نبایستی زمانبندی فعالیت های Secondary Logon Service را از پیش تعریف کند .
  3. برای ایجاد پروفایل کاربری پیشفرض برای یک شیء پشتیبانی کامل بایستی انجام شود .


مکانیزم های احراز هویتی مانند کارت های هوشمند و علائم مغناطیسی استفاده شوند . کنترل های سخت گیرانه ای بایستی در خصوص جلوگیری از تغییر تنظیمات توسط کاربران پیاده سازی شود. قلمرو استانداردهای Open Group برای SSO ، تعیین سرویس ها در پشتیبانی از موارد زیر تعیین شده است :

  • توسعه نرم افزارهای کاربردی برای ایجاد یک رابط کاربری یکپارچه برای کل سازمان
  • توسعه نرم افزارهای کاربردی برای مدیریت هدایت شده اطلاعات حسابهای کاربری چندگانه در کل سازمان


SSO ها می توانند به شکل یک اسکریپت که اطلاعات مربوط به نام کاربری و رمز عبور را به سیستم های احراز هویت بصورت رمزنگاری شده و برای ورود به سیستم های اطلاعاتی مختلف ارسال می کنند نیز پیاده سازی شوند و پس از احراز هویت توسط این سیستم ها به منابع اطلاعاتی موجود در آنها دسترسی پیدا کنند .

مدیریت یکپارچه تاسیسات اقتصادی کلان یا Enterprise Access Management) EAM ) سرویس مدیریت کنترل های دسترسی برای سیستم های سازمانی تحت وب را که شامل قابلیت SSO نیز می شوند را ارائه می دهد. SSO به روش های متنوعی قابل پیاده سازی می باشد.

برای مثال می توان ساختار SSO را به شکلی پیاده سازی کرد که نرم افزارهای کاربردی تحت وب که در یک دامنه اینترنتی ( Domain ) اما بر روی سرورهای مختلف قرار دارند ، برای احراز هویت مرکزی از کوکی های رمزنگاری شده مستقر بر روی کامپیوترهای کلاینت ها استفاده کنند و به این نحو در تمامی سرور ها احراز هویت شوند ، بدون نیاز به وارد کردن مجدد اطلاعات احراز هویت .

اینکار به وسیله ارسال کوکی موجود بر روی سیستم کاربر به سمت هر سروی که کاربر قصد ورود به آن را دارد انجام می شود . یکی دیگر از راهکارهای پیاده سازی SSO ایجاد یک شناسه ایمن برای هر کاربر بر روی یک Reverse Proxy که در مقابل سرویس دهنده وب مستقر شده است ، می باشد . هز زمانی که کاربر بخواهد به یک نرم افزار کاربردی تحت وب محافظت شده وارد شود ، رمز عبور و نام کاربری به آن نرم افزار نمایش داده می شود . پروتکل های Kerberos ، SESAME ، Kryptoknight و NetSP از انواع سیستم های احراز هویت هستند که قابلیت های مربوط به SSO را پشتیبانی می کنند.

پروتکل Kerberos | کربروس چیست؟

Kerberos نام یک پروتکل قابل اعتماد احراز هویت است که توسط انیستیتو تکنولوژی دانشگاه ماساچوست یا همان MIT تحت عنوان پروژه Athena طراحی و تولید شد . در افسانه های یونان باستان Kerberos نام سگ سه سری بود که از دروازه ورود به دنیای زیر زمین نگهبانی می کرد .

با استفاده از رمزنگاری کلید متقارن ( Symmetric Key Cryptography ) Kerberos این قابلیت را دارد که کلاینت ها را برای معرفی به سرویس های دیگر تحت شبکه احراز هویت و معرفی کند. ساختار و الگوی کارکرد پروتکل Kerberos را می توان با ساختار کاری محیط یک دانشگاه تشریح کرد . در چنین محیطی ممکن است هزاران مکان مختلف برای ایستگاه های کاری ، شبکه های محلی ، کامیپوترهای شخصی و بسیاری از کامیپوترهای دیگری که ایمن نشده اند وجود داشته باشد .
کاملترین معرفی انواع روشهای احراز هویت + پروتکل ها و تکنیک ها

بنابراین در چنین محیطی کسی نمی تواند ادعا کند که کابل کشی های کاملا ایمن هستند ، پیام های ارسال شده در شبکه از دستکاری در امان هستند و حتی سرورها و محل های نگهداری آنها را نیز نمی توان کامل ایمن دانست . اما در چنین محیطی حداقل می توان چند سرور و یا چند محل را تا حد توان ایمن سازی کرد و ادعا کرد که این سرور ها و محل نگهداری آنها ایمن هستند ، بهر حال در اینجا می توان این سرورها را به عنوان یک مکانیزم احراز هویت ایمن بین هر کلاینت و سرویس در شبکه در نظر گرفت و به آن اعتماد کرد .

این سرور های متمرکز شده با همدیگر تشکیل Kerberos-trusted Key Distribution Center که به اختصار KDC می نامیم ، Kerberos Ticket Granting Ticket که به اختصار TGS می نامیم و Kerberos Authentication Service که به اختصار AS می نامیم را می دهند . از ویندوز سرور 2000 و بعد از آن پروتکل Kerberos توسط سیستم عامل های شرکت مایکروسافت پشتیبانی می شود. قاعده کلی فعالیت پروتکل Kerberos در محیط های عملیاتی به شکل زیر است :

  1. KDC تمامی کلید های سری مربوط به کلاینت ها و سرورهای شبکه را می داند.
  2. KDC با استفاده از این کلیدها تبادل اطلاعات بین سرورها و کلاینت ها را انجام می دهد .
  3. Kerberos با استفاده از TGS درخواست های سرویس مربوط به کلاینت ها را ابتدا احراز هویت کرده و برای هر یک از نشست هایی که بین این سرویس ها مانند کلاینت ها و KDC ، سرور و KDC و همچنین کلاینت و سرور برقرار می شود ، یک کلید متقارن نشست موقتی تولید می کند.
  4. در این لحظه ارتباطات با استفاده از کلیدهای تولید شده در مرحله قبلی برقرار می شود .

کاملترین معرفی انواع روشهای احراز هویت + پروتکل ها و تکنیک ها

نقاط ضعف Kerberos کربروس

پروتکل Kerberos قابلیت صحت و تمامیت و محرمانگی اطلاعات را به ما می دهد اما در خصوص دسترسی پذیری و حملاتی مانند frequency analysis بصورت تخصصی نمی تواند کاری انجام دهد. علاوه بر این به دلیل اینکه تمامی کلید های سری و تمامی عملیات های احراز هویت توسط TGS و سرورهای احراز هویت انجام می شود ، این سرورها هم در برابر حملات فیزیکی و هم در برابر کدهای مخرب بسیار آسیب پذیرند.

در صورتیکه مهاجم بتواند در وهله زمانی که در Kerberos بصورت پیشفرض در نظر گرفته شده است بتواند کلیدی را بدست بیاورد می تواند از حمله Replay برای حمله به سرور یا کلاینت استفاده کند. به دلیل اینکه رمز عبور کاربر برای برقراری درخواست کنترل سرویس Kerberos مورد استفاده قرار می گیرد ، حملاتی از نوع حدس زدن رمز عبور یا Password Guessing نیز می تواند در این میان انجام شود . حتی کلیدهایی که برای تبادل اطلاعات در Kerberos استفاده می شود دارای نقاط ضعف امنیت هستند . تمامی کلید های سری کلاینت ها بصورت موقتی بر روی خود کامپیوتر کلاینت و یا سرورها درخواست کنند قرار می گیرند و امکان دستکاری و سوء استفاده از این کلید ها بسیار محتمل است.

پروتکل SESAME چیست؟

برای پوشش دادن و رفع یک سری از مشکلات و نقاط ضعف امنیت موجود در پروتکل Kerberos پروژه SESAME ایجاد شد. SESAME مخفف Secure European System for Applications in multi-vendor Environment است . در این پروژه از ساختار رمزنگاری کلید عمومی برای توزیع کلید های سری و همچنین پشتیبانی از سیستم های کنترل دسترسی بیشتر استفاده می شود . SESAME از پروتکل Needham-Schroeder و همچنین سرور احراز هویت مورد اعتماد در هر میزبان برای کاهش نیازمندی های مدیریت کلید استفاده می کند.

SESAME از الگوریتم های Hashing یک طرفه MD5 و crc32 در عملیات خود استفاده می کند. علاوه بر این SESAME دو certificate و یا Ticket را با یکدیگر ترکیب می کند. یکی از این Certificate ها سرویس احراز هویت همانند پروتکل Kerberos انجام می دهد و دیگری سطح دسترسی های کاربر را که به وی اختصاص داده شده است را تعیین می کند. یکی از نقاط ضعفی که در SESAME وجود دارد این است که این سیستم احراز هویت را صرفا با بلوک اول پیغام انجام می دهد و از کل پیغام برای احراز هویت استفاده نمی کند. SESAME هم همانند Kerberos در برابر حملات Password Guessing ضعیف عمل می کند.

پروتکل Kryptonite چیست؟

سیستم Kryptonite متعلق به شرکت IBM است که سرویس های احراز هویت ، SSO و توزیع کلید را در یکجا در خود ارائه می دهد. این سیستم برای استفاده در کامپیوترهایی طراحی شد که قابلیت های محاسباتی متنوعی داشتند. این سیستم نیز دارای یک KDC است که تمامی کلید های سری در هر سمت از شبکه را در خود نگه می دارد. یکی از تفاوت هایی که Kryptonite با Kerberos دارد این است که در این پروتکل یک رابطه Peer-to-Peer بین طریفت ارتباط و KDC برقرار می شود.

برای پیاده سازی SSO ، KDC دارای کلید سری طرف مقابل می باشد که رمز را بصورت Hash شده منتقل می کند. اولین اطلاعات رد و بدل شده بین KDC طرف مقابل ارتباط نام کاربری و یک مقدار است ، این مقدار در نقش Nonce ( یک وسیله احراز هویت یکبار مصرف که بصورت تصادفی تولید می شود ) عمل می کند . در اینجا KDC کاربر را احراز هویت کرده و برای کاربر Ticket رمزنگاری شده را به همراه کلید سری کاربر ارسال می کند.

کاربر در این لحظه Ticket را رمزگشایی کرده و می تواند از آن برای احراز هویت شدن توسط سرورها جهت دریافت سرویس ها از سیستم های موجود در شبکه استفاده کند . NetSP نیز یکی محصول مشابه kryptonite است با این تفاوت که از ایستگاه های کاری مستقر در شبکه به عنوان سرور احراز هویت استفاده می کند ، Ticket های تولید شده توسط NetSP با یک سری از سرویس های کنترل دسترسی مانند Resource Access Control Facility یا RACF هماهنگ هستند .

  • چند نوع احراز هویت وجود دارد؟

    بصورت کلی چهار نوع روش احراز هویت وجود دارد ، چیزی که شما می دانید مثل رمزهای عبور و پسوردها ، چیزی که شما در اختیار دارید مثل کارت های بانکی و کارت های شناسایی و Token ها ، چیزی که شما هستید مثل اثر انگشت و DNA ، چیزی که شما رفتار می کنید ( سرعت تایپ و ... ) از جمله مهمترین روشهای احراز هویت هستند
  • قویترین روش احراز هویت در دنیا چیست؟

    مکانیزم های احراز هویت ترکیبی یا Hybrid که با ترکیب رمز عبور ، کارت های شناسایی و Token و سیستم احراز هویت بیومتریک باشند به عنوان قویترین مکانیزم احراز هویت به حساب می آیند. اما بصورت خلاص احراز هویت بیومتریک دارای بیشترین درجه امنیت است

محمد نصیری
محمد نصیری

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، بیش از 12 هزار ساعت سابقه تدریس در بیش از 40 سازمان دولتی ، خصوصی و نظامی ، علاقه مند به یادگیری بیشتر و عاشق محیط زیست ، عضو کوچکی از مجموعه توسینسو

06 شهریور 1391 این مطلب را ارسال کرده

نظرات