احراز هویت مبتنی بر گواهی
احراز هویت مبتنی بر گواهی یکی از تکنیکهایی است که میتواند در گسترش کاربرد هویت دیجیتال نقش بسزایی داشته باشد. هویت دیجیتال یک هویت آنلاین یا شبکهای است که توسط یک فرد، سازمان یا دستگاه الکترونیکی در فضای سایبری مورد استفاده قرار میگیرد. هویت دیجیتال همانند همتای غیر دیجیتال آن، دارای ویژگیها و اطلاعات (نام کاربری و رمز عبور، فعالیتهای جستجوی آنلاین نظیر تراکنشهای الکترونیکی، تاریخ تولد، شماره تأمین اجتماعی، سوابق پزشکی، سوابق خرید یا رفتار) است. وقتی یك فرد یا بهطورکلی هر موجودیت گواهی خود را بهعنوان شناسه هویتی خود ارائه میكند، میتوان از درستی اطلاعات شناسه مطمئن بود. همچنین، به دلیل اینكه گواهی الكترونیكی بههیچوجه قابلتغییر و دستکاری نیست، امكان جعل آن و استفاده توسط موجودیتی دیگر (حملهكننده) وجود ندارد.
بیشتر بخوانید: نقش اعتبارنامه در احراز هویت
معمولاً در روشهای احراز هویت از نام كاربری و گذرواژه استفاده میشود كه مشكلات امنیتی متعددی مثل حملات لغتنامهای، حدس زدن كلمه عبور، دزدی پایگاه داده كلمات عبور و فریبكاری دارد. احراز هویت مبتنی بر گواهی (Certificate-based Authentication) جایگزین مطمئن و امنی برای روشهای مذكور است؛ همچنین مكملی برای سایر روشها مثل احراز هویت دو عامله است. با استفاده از این گواهی، بهطور دقیق میتوان موجودیتها (مثل افراد و سیستمها) را شناسایی كرد. حتی از این گواهی میتوان در مكانیزمهای كنترل دسترسی نیز استفاده كرد.
احراز هویت
احراز هویت یا Authentication به فرآیندی گفته میشود که در آن ارسالکننده یا دریافتکننده اطلاعات برای همدیگر دادههایی را ارائه میکنند تا مطمئن شوند، آنها همانی هستند که ادعا میکنند. اگر ارسالکننده یا دریافتکننده اطلاعات نتوانند بهدرستی برای همدیگر احراز هویت شوند در این میان اعتمادی ایجاد نمیشود که بتوانند با همدیگر تبادل اطلاعات داشته باشند. گواهی الكترونیكی (digital certificate) شناسه دیجیتال یك موجودیت (مانند فرد، دستگاه شبكه، نرمافزار و سیستم) در تعاملات الكترونیكی است. درواقع، همانطور كه در تعاملات غیر الكترونیكی، کارت ملی یا شناسنامه یك فرد، ابزاری برای شناسایی وی هست، در تعاملات الكترونیكی نیز گواهی الكترونیكی، شناسه فرد (هر موجودیت) میباشد.

در تعاملات الكترونیكی (برخلاف تعاملات رودررو( طرفین ممكن است نتوانند هویت طرف مقابل را شناسایی كنند. این چالش میتواند منجر به برخی محدودیتها و مشكلات در این نوع تعاملات شود. برای مثال، وقتی یك فرد به سیستم ورود میكند، نمیتوان مطمئن بود كه آن فرد همان فردی است كه انتظار میرود، باشد. برای مثال، حملهكنندهای، نام كاربری و كلمه عبور یك فرد را در اختیار دارد (مثلاً آنها را بهدرستی حدس زده است).
وقتی حملهكننده به سیستم ورود میكند، تصور میشود كه فرد اصلی ورود كرده است اما درواقع، این حملهكننده است كه به سیستم ورود كرده است. این مشكل ناشی از عدم امكان شناسایی هویت افراد است. گواهی الكترونیكی، رایجترین راهحل مواجهه با این چالش است. یك موجودیت با استفاده از گواهی الكترونیكی خود، میتواند بهطرف مقابل، از اصالت هویتش اطمینان دهد.
بیشتر بخوانید: احراز هویت مبتنی بر توکن
احراز هویت مبتنی بر گواهی
احراز هویت یکی از پنج اصل تضمین اطلاعات است و بیانگر فرآیندی است که هویت یک کاربر را تأیید و تضمین میکند. چهار اصل دیگر تمامیت، در دسترس بودن، محرمانگی و عدم انکار است و هنگامی که یک کاربر، درصدد دسترسی به اطلاعات یا دیگر منابع است، احراز هویت آغاز میشود.
در ابتدا کاربر باید حق دسترسی و هویت خود را اثبات کند. کاربران هنگام ورود به سیستم کامپیوتر معمولاً نام کاربری و رمز عبور خود را به منظور احراز هویت وارد میکنند. این شیوه باید برای هر کاربر اجرا شود تا احراز هویت حاصل شود. بسیاری از شرکتها از احراز هویت برای اعتبارسنجی کاربران وبسایتشان استفاده میکنند. بدون اقدامات امنیتی مناسب، ممکن است دادههای کاربران نظیر شماره کارت اعتباری، اطلاعات سلامت و همچنین شمارههای تأمین اجتماعی به دست مجرمان سایبری بیفتد.
سازمانها همچنین از احراز هویت، برای کنترل دسترسی کاربران به شبکهها و منابع سازمانی نیز استفاده میکنند و همچنین میتوانند سطح دسترسی ماشینها و سرورها را شناسایی و کنترل کنند. شرکتها همچنین روشهای احراز هویت را به کار میگیرند تا کارکنانی که دورکاری میکنند، بهطور امن به اپلیکیشنها و شبکهها دسترسی پیدا کنند. برای شرکتها و دیگر سازمانهای بزرگ، احراز هویت ممکن است با استفاده از یک سیستم شناسایی منحصربهفرد انجام شود که دسترسی به سیستمهای مرتبط دیگر را صرفاً با همان احراز هویت اولیه فراهم کند.
مؤسسات مالی که محصولات و خدمات مبتنی بر اینترنت به مشتریان خود ارائه میکنند، باید از روشهای مؤثری برای احراز هویت مشتریان استفاده کنند. تکنیکهای احراز هویتی که توسط مؤسسات مالی به کار گرفته میشود، باید متناسب با ریسک و خطراتی باشد که محصولات و خدمات ارائهشده به همراه دارند. مؤسسات مالی باید بهطور دورهای اقدامات زیر را انجام دهند:
- از برنامه امنیتی اطلاعاتشان اطمینان حاصل کنند. شناسایی و ارزیابی ریسکهای مرتبط با محصولات و خدمات مبتنی بر اینترنت و شناسایی اقدامات کاهشدهنده ریسک که شامل قدرت احراز هویت متناسب با محصولات و خدمات ارائه شده میشود. همچنین اندازهگیری و ارزیابی تلاشها برای آگاه کردن مشتریان هم جزئی از این اقدامات است.
- در صورت لزوم، برنامه احراز هویت را با توجه به تغییرات مرتبط با فناوری، میزان حساسیت اطلاعات مشتریان و یا تهدیدهای داخلی و خارجی نسبت به اطلاعات، تنظیم میکنند.
- استراتژیهای کاهشدهنده ریسک متناسب را به کار گیرند.
احراز هویت فرآیند تأیید هویت یک کاربر برای به دست آوردن نوعی گواهی است که این گواهی، هویت یک کاربر را تأیید میکند. اگر گواهی مزبور معتبر باشد، فرآیند کسب اجازه شروع میشود. به عبارت دیگر، فرآیند احراز هویت، همواره به فرآیند کسب اجازه میانجامد. در فرآیند مجوز دهی کاربرانی که هویتشان احراز شده است، اجازه مییابند (به این شرط که حق دسترسی به سیستم را داشته باشند) تا به منابع دسترسی پیدا کنند.
فرآیند مجوزدهی کمک میکند تا با اعطاء و یا رد مجوزهای خاص برای کاربران احراز هویت شده، حق دسترسیها کنترل شوند. به عبارت دیگر هدف از احراز هویت، تأیید صلاحیت است و نظیر آنچه در استفاده از نام کاربری و رمز عبور اتفاق میافتد در این فرآیند نیز هویت تأیید میشود. این فرآیند همچنین نباید با فرآیند شناسایی، که در آن یک شناسه کاربری به انسان، کامپیوتر یا بخشی از یک شبکه اعطاء میشود، اشتباه گرفته شود.
گردش کار احراز هویت مبتنی بر گواهی
صادرکننده، سند را به صورت دیجیتالی امضا میکند و برای دارنده آن ارسال میکند. در مرحله بعد، دارنده، یک ارائه قابل تأیید در قالب خاصی ایجاد میکند که مطابق با مشخصات W3C است و آن را برای تأیید صحت، ارسال میکند. سرانجام تأییدکننده، داده ارائه شده را در برابر مشخصات بررسی میکند تا سه جنبه (اقتدار صلاحیتدار، اعتبار، ویژگی ضد دستکاری اعتبارنامه) را تأیید کند.

اگر هر سه شرط برآورده شده باشد، اعتبارنامه، تأییدشده تلقی میشود و ارائه قابل تأیید برای دارنده، ارسال میشود. در این گردش کاری، دارنده، میتواند مراحل را آغاز کند. برای مثال، دارنده آن فردی است که میخواهد سفر کند، اما شرکت هواپیمایی فقط افرادی را پذیرش میکند که در برابر COVID-19 واکسینه شدهاند. در این مورد، دارنده، اطلاعات را از صادرکننده درخواست میکند و برای تأیید به تأییدکننده ارسال میکند. پس از تأیید، دارنده میتواند اعتبارنامه را به شرکت هواپیمایی ارسال کند. به همین ترتیب، تأییدکننده، میتواند درخواست دریافت برخی از دادهها را از دارنده انجام دهد و به نوبه خود، دارنده برای ارسال آن به صادرکننده اقدام مینماید.
اگرچه احراز هویت مبتنی بر گواهی، امنیت را مورد بررسی قرار میدهد اما مسائل مربوط به دسترسی گذرواژههای شخصی را برطرف نمیکند. رمزنگاری کلید عمومی، تأیید میکند که یک کلید خصوصی برای امضای برخی اطلاعات، با کلید عمومی در یک گواهی مطابقت دارد. یکی از اصول مهمی هنگام طراحی هر سیستمی، به حداقل رساندن دادههای افشاء شده در یک تعامل معین است.
هنگامیکه کاربران، اطلاعات را به اشتراک میگذارند، باید بتوانند انتخاب کنند که چه چیزی را و به چه مقدار و بهصورت موردی به اشتراک میگذارند (اغلب بهعنوان افشای انتخابی نامیده میشود) و طرفهای دیگر، که اطلاعات را دریافت میکنند، باید بتوانند در مورد ارائهشده اطمینان داشته باشند. منشأ و یکپارچگی اطلاعات، با داشتن راهحلهایی که بهراحتی به افشای انتخابی میرسند، میتواند فرهنگ مبتنی بر حداقل تبادل اطلاعات موردنیاز برای افزایش حریم خصوصی کاربران را پیش ببرد. رایجترین راهحلها برای حل این مشکلات صدور به موقع، شاهد امن و رمزنگاری میباشند.
نویسنده: محمدصالح میثمی
[1] Jusop Choi, “Towards Secure and Usable Certificate-Based Authentication System Using a Secondary Device for an Industrial Internet of Things,” MDPI, جلد 1, شماره user authentication, pp. 1-16, 2020.
[2] Thomas Zink, “X.509 User Certificate-based Two-Factor Authentication for Web Applications,” Informatics (LNI) , جلد 1, شماره SECURITY, pp. 1-11, 2017.
[3] hp Group, “Certificate-based authentication for data security,” hp, جلد 1, شماره data security , pp. 1-8, 2018.
[4] John Harris, “Using Certificate‐based Authentication for Access Control,” GLOBALSIGN, جلد 1, شماره Authentication , pp. 1-10, 2020.
[5] Paul Griffiths,, “TPM 2.0 and Certificate-Based IoT Device Authentication,” GlobalSign, جلد 1, شماره IoT Device Authentication, pp. 1-8, 2021.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.