احراز هویت مبتنی بر گواهی

احراز هویت مبتنی بر گواهی‌

احراز هویت مبتنی بر گواهی‌ یکی از تکنیک‌هایی است که می‌تواند در گسترش کاربرد هویت دیجیتال نقش بسزایی داشته باشد. هویت دیجیتال یک هویت آنلاین یا شبکه‌ای است که توسط یک فرد، سازمان یا دستگاه الکترونیکی در فضای سایبری مورد استفاده قرار می‌گیرد. هویت دیجیتال همانند همتای غیر دیجیتال آن، دارای ویژگی‌ها و اطلاعات (نام کاربری و رمز عبور، فعالیت‌های جستجوی آنلاین نظیر تراکنش‌های الکترونیکی، تاریخ تولد، شماره تأمین اجتماعی، سوابق پزشکی، سوابق خرید یا رفتار) است. وقتی یك فرد یا به‌طورکلی هر موجودیت گواهی خود را به‌عنوان شناسه هویتی خود ارائه می‌‌كند، می‌توان از درستی اطلاعات شناسه مطمئن بود. همچنین، به دلیل اینكه گواهی الكترونیكی به‌هیچ‌وجه قابل‌تغییر و دست‌کاری نیست، امكان جعل آن و استفاده توسط موجودیتی دیگر (حمله‌كننده) وجود ندارد.

بیشتر بخوانید: نقش اعتبارنامه در احراز هویت

معمولاً در روش‌های احراز هویت از نام كاربری و گذرواژه استفاده می‌شود كه مشكلات امنیتی متعددی مثل حملات لغت‌نامه‌ای، حدس زدن كلمه عبور، دزدی پایگاه داده كلمات عبور و فریب‌كاری دارد. احراز هویت مبتنی بر گواهی‌ (Certificate-based Authentication)  جایگزین مطمئن و امنی برای روش‌های مذكور است؛ همچنین مكملی برای سایر روش‌ها مثل احراز هویت دو عامله است. با استفاده از این گواهی، به‌طور دقیق می‌توان موجودیت‌ها (مثل افراد و سیستم‌ها) را شناسایی كرد. حتی از این گواهی می‌توان در مكانیزم‌های كنترل دسترسی نیز استفاده كرد.

احراز هویت

احراز هویت یا Authentication به فرآیندی گفته می‌شود که در آن ارسال‌کننده یا دریافت‌کننده اطلاعات برای همدیگر داده‌هایی را ارائه می‌کنند تا مطمئن شوند، آن‌ها همانی هستند که ادعا می‌کنند. اگر ارسال‌کننده یا دریافت‌کننده اطلاعات نتوانند به‌درستی برای همدیگر احراز هویت شوند در این میان اعتمادی ایجاد نمی‌شود که  بتوانند با همدیگر تبادل اطلاعات داشته باشند. گواهی الكترونیكی (digital certificate) شناسه دیجیتال یك موجودیت (مانند فرد، دستگاه شبكه، نرم‌افزار و سیستم) در تعاملات الكترونیكی است. درواقع، همان‌طور كه در تعاملات غیر الكترونیكی، کارت ملی یا شناسنامه یك فرد، ابزاری برای شناسایی وی هست، در تعاملات الكترونیكی نیز گواهی الكترونیكی، شناسه فرد (هر موجودیت) می‌باشد.

احراز هویت مبتنی بر گواهی

در تعاملات الكترونیكی (برخلاف تعاملات رودررو( طرفین ممكن است نتوانند هویت طرف مقابل را شناسایی كنند. این چالش می‌تواند منجر به برخی محدودیت‌ها و مشكلات در این نوع تعاملات شود. برای مثال، وقتی یك فرد به سیستم ورود می‌كند، نمی‌توان مطمئن بود كه آن فرد همان فردی است كه انتظار می‌رود، باشد. برای مثال، حمله‌كننده‌ای، نام كاربری و كلمه عبور یك فرد را در اختیار دارد (مثلاً آن‌ها را به‌درستی حدس زده است).

وقتی حمله‌كننده به سیستم ورود می‌كند، تصور می‌شود كه فرد اصلی ورود كرده است اما درواقع، این حمله‌كننده است كه به سیستم ورود كرده است. این مشكل ناشی از عدم امكان شناسایی هویت افراد است. گواهی الكترونیكی، رایج‌ترین راه‌حل مواجهه با این چالش است. یك موجودیت با استفاده از گواهی الكترونیكی خود، می‌تواند به‌طرف مقابل، از اصالت هویتش اطمینان دهد.

بیشتر بخوانید: احراز هویت مبتنی بر توکن

احراز هویت مبتنی بر گواهی‌

احراز هویت یکی از پنج اصل تضمین اطلاعات است و بیانگر فرآیندی است که هویت یک کاربر را تأیید و تضمین می‌کند. چهار اصل دیگر تمامیت، در دسترس ‌بودن، محرمانگی و عدم انکار است و هنگامی ‌که یک کاربر، درصدد دسترسی به اطلاعات یا دیگر منابع است، احراز هویت آغاز می‌شود.

در ابتدا کاربر باید حق دسترسی و هویت خود را اثبات کند. کاربران هنگام ورود به سیستم کامپیوتر معمولاً نام کاربری و رمز عبور خود را به ‌منظور احراز هویت وارد می‌کنند. این شیوه باید برای هر کاربر اجرا شود تا احراز هویت حاصل شود. بسیاری از شرکت‌ها از احراز هویت برای اعتبارسنجی کاربران وب‌سایتشان استفاده می‌کنند. بدون اقدامات امنیتی مناسب، ممکن است داده‌های کاربران نظیر شماره کارت اعتباری، اطلاعات سلامت و همچنین شماره‌های تأمین اجتماعی به دست مجرمان سایبری بیفتد.

سازمان‌ها همچنین از احراز هویت، برای کنترل دسترسی کاربران به شبکه‌ها و منابع سازمانی نیز استفاده می‌کنند و همچنین می‌توانند سطح دسترسی ماشین‌ها و سرورها را شناسایی و کنترل کنند. شرکت‌ها همچنین روش‌های احراز هویت را به کار می‌گیرند تا کارکنانی که دورکاری می‌کنند، به‌طور امن به اپلیکیشن‌ها و شبکه‌ها دسترسی پیدا کنند. برای شرکت‌ها و دیگر سازمان‌های بزرگ، احراز هویت ممکن است با استفاده از یک سیستم شناسایی منحصربه‌فرد انجام شود که دسترسی به سیستم‌های مرتبط دیگر را صرفاً با همان احراز هویت اولیه فراهم کند.

مؤسسات مالی که محصولات و خدمات مبتنی بر اینترنت به مشتریان خود ارائه می‌کنند، باید از روش‌های مؤثری برای احراز هویت مشتریان استفاده کنند. تکنیک‌های احراز هویتی که توسط مؤسسات مالی به کار گرفته می‌شود، باید متناسب با ریسک و خطراتی باشد که محصولات و خدمات ارائه‌شده به همراه دارند. مؤسسات مالی باید به‌طور دوره‌ای اقدامات زیر را انجام دهند:

  • از برنامه امنیتی اطلاعاتشان اطمینان حاصل کنند. شناسایی و ارزیابی ریسک‌های مرتبط با محصولات و خدمات مبتنی بر اینترنت و شناسایی اقدامات کاهش‌دهنده ریسک که شامل قدرت احراز هویت متناسب با محصولات و خدمات ارائه ‌شده می‌شود. همچنین اندازه‌گیری و ارزیابی تلاش‌ها برای آگاه‌ کردن مشتریان هم جزئی از این اقدامات است.
  • در صورت لزوم، برنامه احراز هویت را با توجه به تغییرات مرتبط با فناوری، میزان حساسیت اطلاعات مشتریان و یا تهدیدهای داخلی و خارجی نسبت به اطلاعات، تنظیم می‌کنند.
  • استراتژی‌های کاهش‌دهنده ریسک متناسب را به کار گیرند.

احراز هویت فرآیند تأیید هویت یک کاربر برای به دست آوردن نوعی گواهی‌ است که این گواهی‌، هویت یک کاربر را تأیید می‌کند. اگر گواهی‌ مزبور معتبر باشد، فرآیند کسب اجازه شروع می‌شود. به عبارت دیگر، فرآیند احراز هویت، همواره به فرآیند کسب اجازه می‌انجامد. در فرآیند مجوز دهی کاربرانی که هویتشان احراز شده است، اجازه می‌یابند (به این شرط که حق دسترسی به سیستم را داشته باشند) تا به منابع دسترسی پیدا کنند.

فرآیند مجوزدهی کمک می‌کند تا با اعطاء و یا رد مجوزهای خاص برای کاربران احراز هویت‌ شده، حق دسترسی‌ها کنترل شوند. به ‌عبارت ‌دیگر هدف از احراز هویت، تأیید صلاحیت است و نظیر آنچه در استفاده از نام کاربری و رمز عبور اتفاق می‌افتد در این فرآیند نیز هویت تأیید می‌شود. این فرآیند همچنین نباید با فرآیند شناسایی، که در آن یک شناسه کاربری به انسان، کامپیوتر یا بخشی از یک شبکه اعطاء می‌شود، اشتباه گرفته شود.

گردش کار احراز هویت مبتنی بر گواهی‌

صادرکننده، سند را به‌ صورت دیجیتالی امضا می‌کند و برای دارنده آن ارسال می‌کند. در مرحله بعد، دارنده، یک ارائه قابل ‌تأیید در قالب خاصی ایجاد می‌کند که مطابق با مشخصات W3C است و آن را برای تأیید صحت، ارسال می‌کند. سرانجام تأییدکننده، داده ارائه شده را در برابر مشخصات بررسی می‌کند تا سه جنبه (اقتدار صلاحیت‌دار، اعتبار، ویژگی ضد دست‌کاری اعتبارنامه) را تأیید کند.

 اگر هر سه شرط برآورده شده باشد، اعتبارنامه، تأییدشده تلقی می‌شود و ارائه قابل ‌تأیید برای دارنده، ارسال می‌شود. در این گردش کاری، دارنده، می‌تواند مراحل را آغاز کند. برای مثال، دارنده آن فردی است که می‌خواهد سفر کند، اما شرکت هواپیمایی فقط افرادی را پذیرش می‌کند که در برابر COVID-19 واکسینه شده‌اند. در این مورد، دارنده، اطلاعات را از صادرکننده درخواست می‌کند و برای تأیید به تأییدکننده ارسال می‌کند. پس از تأیید، دارنده می‌تواند اعتبارنامه را به شرکت هواپیمایی ارسال کند. به همین ترتیب، تأییدکننده، می‌تواند درخواست دریافت برخی از داده‌ها را از دارنده انجام دهد و به‌ نوبه خود، دارنده برای ارسال آن به صادرکننده اقدام می‌نماید.

اگرچه احراز هویت مبتنی بر گواهی، امنیت را مورد بررسی قرار می‌دهد اما مسائل مربوط به دسترسی گذرواژه‌های شخصی را برطرف نمی‌کند. رمزنگاری کلید عمومی، تأیید می‌کند که یک کلید خصوصی برای امضای برخی اطلاعات، با کلید عمومی در یک گواهی مطابقت دارد. یکی از اصول مهمی هنگام طراحی هر سیستمی، به حداقل رساندن داده‌های افشاء شده در یک تعامل معین است.

هنگامی‌که کاربران، اطلاعات را به اشتراک می‌گذارند، باید بتوانند انتخاب کنند که چه چیزی را و به چه مقدار و به‌صورت موردی به اشتراک می‌گذارند (اغلب به‌عنوان افشای انتخابی نامیده می‌شود) و طرف‌های دیگر، که اطلاعات را دریافت می‌کنند، باید بتوانند در مورد ارائه‌شده اطمینان داشته باشند. منشأ و یکپارچگی اطلاعات، با داشتن راه‌حل‌هایی که به‌راحتی به افشای انتخابی می‌رسند، می‌تواند فرهنگ مبتنی بر حداقل تبادل اطلاعات موردنیاز برای افزایش حریم خصوصی کاربران را پیش ببرد. رایج‌ترین راه‌حل‌ها برای حل این مشکلات صدور به موقع، شاهد امن و رمزنگاری می‌باشند.

نویسنده: محمدصالح میثمی

مراجع

[1] Jusop Choi, “Towards Secure and Usable Certificate-Based Authentication System Using a Secondary Device for an Industrial Internet of Things,” MDPI, جلد 1, شماره user authentication, pp. 1-16, 2020.

[2] Thomas Zink, “X.509 User Certificate-based Two-Factor Authentication for Web Applications,” Informatics (LNI) , جلد 1, شماره SECURITY, pp. 1-11, 2017.

[3] hp Group, “Certificate-based authentication for data security,” hp, جلد 1, شماره data security , pp. 1-8, 2018.

[4] John Harris, “Using Certificate‐based Authentication for Access Control,” GLOBALSIGN, جلد 1, شماره Authentication , pp. 1-10, 2020.

[5] Paul Griffiths,, “TPM 2.0 and Certificate-Based IoT Device Authentication,” GlobalSign, جلد 1, شماره IoT Device Authentication, pp. 1-8, 2021.

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.