rajabi security project
TRANSCRIPT
1
eCommerce Security Project
زینب رجبی
بسم الله الرحمن الرحیم
2
تعاریف پایه امنیتی
3A (Authentication ، Authorization ، (Accounting
مسائل امنیتی مربوط به الیه ها
مکانیزم های مختلف برای یکپارچگی داده ها وشناسایی هویت
فهرست مطالب
3
تهدید پذیری (Vulnerability)
در ط0راحی، اختالل ی0ا ی0ک ض0عف به ی0ک ی0ا م0دیریت و اج0را پی0اده س0ازی، سیس0تم اطالق می ش0ود ک0ه ب0ه ط0ور ب0ا را سیس0تم آن توان0د می ب0القوه تهدی0د مواج0ه کن0د ی0ا ب0ه عب0ارت دقیق0تر دار خدش0ه را آن امنی0تی سیاس0ت
.نماید رمز عبوری که بدون رمزگذاری 1مثال ذخیره می شود
وجود یک خطا در یک سیستم 2مثال نرم افزاری
4
وج0ود احتم0الی ی0ک ف0رد ی0ا ی0ک فراین0د اس0ت ک0ه ی0ک پ0ذیری تهدی0د از اس0تفاده ب0ا توان0د می سیاس0ت ش0راطی تحت توان0د می سیس0تم امنی0تی ی0ک سیس0تم را خدش0ه دار کن0د و ب0ه ان
آسیب برساند.
مثال
احتمال ورود یک کاربر غیر مجاز به یک سیستم بدون رمز عبور و دسترسی به اطالعات محرمانه
(Threatتهدید )
5
نمونه تهدیدات امنیتی
استراق سمعEavesdropping جعل هویتMasquerading تغییر در پیامMessage tampering قطع سرویسDOS استفاده مجدد - تکرارReplayingعملیات نفوذInfiltration تحلیل ترافیکTraffic analysis دسترسی غیر مجاز
6
: استراق سمع يتيدات امنيتهد)شنود(
رندهيگ
data, control messages
داده داده
Alice Bob
Trudy
داده
کانال
فرستنده
7
:جعلي تيدات امنيتهدهویت
دادهفرستنده
AliceTrudy
رندهيگ داده
BobTrudy
8
: وقفهيتيدات امنيتهد
فرستنده رندهيگ
کانال data, control messages
داده
Alice Bob
Trudy
9
: تغییر يتيدات امنيتهد اطالعات
فرستنده رندهيگ
کانال data, control messages
دادهداده متفاوت
Alice Bob
Trudy
10
انتظ0ار آس0یب و ی0ا اختالل در ک0ارکردی0ک سیس0تم0 تعری0ف می ش0و0د زمانیک0ه ی0ک ت0هدی0د از ت0هدی0دپ0ذیری0 ی0ک سیس0تم زی0ان ی0ک 0نتیج0ه کن0د 0و م0ی اس0تفاده هم0راه0 ب0ه0 می 0توان0د 0می 0تو0ا0ن0د ب0ا0ر
دا0شته 0باشد.
مثال اطالع0ات ب0ه مج0از ک0اربر ی0ک وق0تی محرما0ن0ه ی0ک سیس0تم 0ب0دون رم0ز عب0ور
کن0د م0ی از دست0رس0ی 0پی0دا احتم0ال بین ر0فتن 0ا0طالع0ات0 0توس0ط 0آن ک0اربر0 ی0ا0 دزدی0دن 0اطالع0ات م0حرم0ان0ه ی0ک و
مخاطر0ه یا ر0یسک نا0میده می شود.
مخاطره
11
ی0ک تهدیدپ0ذیری همچ0نین احتم0الی خطره0ای تحلی0ل آن ک0ارکرد بهب0ود ب0رای ق0دم اولین همیش0ه سیس0تم سیس0تم از لح0اظ امنی0تی می باش0د. تحلی0ل ریس0ک رابط0ه بین ج0دیت ی0ک خط0ر، احتم0ال تک0رار آن و همچ0نین هزین0ه پی0اده س0ازی ی0ک راه ح0ل ب0رای حف0اظت از آن بررس0ی
می کند.
جدیت ی0ک خط0ر براس0اس هزین0ه بازی0ابی از آن در ص0ورتموفقیت حمله نیاز است، اندازه گیری می شود.
مدیریت مخاطره
12
احتمال خطر)احتمال تکرار(
جدیت )هزینه بازیابی(
به ندرت بعضی اوقات غالبا
کم اهمیت 1 2 3
جدی 4 5 6
خیلی جدی 7 8 9
سطوح مخاطره
اگ0ر خط0ری ج0دی باش0د احتم0ال وق0وع آن ن0یز زی0اد باش0د، هزین0ه بازی0ابی ازآن در ص0ورت وق0وع بس0یار زی0اد خواه0د ب0ود و همین ط0ور در ه0ر زم0انی ممکن بس0یار اش مخ0اطره بیفت0د س0طوح اتف0اق اس0ت
باالست.
13
مدیریت مخاطره
،فراین0د شناس0ایی مخ0اطراتبراس0اس آنه0ا بن0دی اول0ویت ب00رای نی00از م00ورد هزین00ه همچ0نین و سیس0تم بازی0ابی شناس0ایی و پی0اده س0ازی راه این ک0اهش ب0رای کاره0ایی م000دیریت را مخ000اطرات
مخاطره می نامند.
14
درح0ال دائم0ا اطالع0ات فن0اوری همچ0نین و این0ترنت ب0ه ک0ه هم0انطور تغی0یرات این و باش0د می تغی0یر معن0ای ب0ه باش0د می جدی0د پیش0رفتهای معن0ای آن م0دیریت همچ0نین و سیس0تم ی0ک مخ0اطرات ط0ور ب0ه تغی0یرات این اعم0ال و ب0ازبینی نیازمن0د
مداوم می باشد
تغییرات و مخاطره
15
سیاست امنیتی
سرویس امنیتی
مکانیزم امنیتی
تهدید
16
خدمات امنیتی کارکردهایی هستند که برای پیاده سازی سیاست های امنیتی استفاده می شوند.
Security)خدمات امنیتی )Service
17
خدمات امنیتی
مهمترین خدمات امنیتی
18
ک0اربران مج0از کن0د ک0ه فق0ط این س0رویس تض0مین می ق0ادر ب0ه فهم داده ه0ای مح0افظت ش0ده می باش0ند. ب0رای رمزگ0ذاری ه0ای مک0انیزم از خ0دمات این س0ازی پی0اده
استفاده می شود.
محرمانگی
19
وظیف0ه این خ0دمت حص0ول اطمین0ان از ع0دم تغی0یر دادهها توسط افراد غیر مجاز میباشد.
مثال اگ0ر نام0ه الک0ترونیکی ب0رای ف0ردی ارس0ال نمایی0د و متن
گفت ت0وان می نمای0د تغی0یر رس0یدن از قب0ل نام0ه آن یکپارچگی دادخ آن از بین رفته است.
ی0ک ش0رکت ی0ک سیس0تم حس0ابداری در ی0ک ع0دد تغی0یر توسط کاربر غیر مجاز.
یکپارچگی
20
شناسایی هویت
خ000دمت این وظیف000ه از اطمین000ان حص000ول ی0ا ک0اربر ه0ویت درس0تی
مبدا دادهها می باشد.
21
کنترل دسترسی
وظیف0ه ین خ0دمت جلوگ0یریب0ه غیرمج0از دسترس0ی از حف0اظت ه0ای داده و من0ابع
شده می باشد.
22
گیرن0ده ی0ا و ک0ه فرس0تنده کن0د این خ0دمت تض0مین می اطالع0ات نتوان0د دری0افت و ی0ا ارس0ال اطالع0ات را انک0ار
نماید.
عدم انکار
مثالاگ0ر ش0ما ی0ک نام0ه الکترونی0ک مهم را دری0افت کنی0د ب0رای اینک0ه بع0دا نتوانی0د دری0افت آن را ب0ه ه0ر دلی0ل انک0ار کنی0د معم0وال ک0ه کنی0د اس0تفاده انک0ار ع0دم خ0دمت از بای0د
نیازمند ساختارهای پیچیده و پرهزینه می باشد.
23
مکانیزم امنیتی
امنی0تی ه0ای مک0انیزم توس0ط امنی0تی خدمات این ش0وند، می اج0را نهایت0ا و س0ازی پی0اده نوب0ه خ0ود توس0ط پروتک0ل ب0ه ن0یز مک0انیزم ه0ا ه0ای امنی0تی و الگ0وریتم ه0ای رمزگ0ذاری پی0اده
سازی می شود.
24
مکانیزم های امنیتی
مکانیزم های فراگیر
مکانیزم های خاص
انواع مکانیزم های امنیتی
مکانیزم های امنیتی فراگیر که به یک سرویس خاص تعلق ندارند
مکانیزم های امنیتی که به یک سرویس خاص
تعلق دارد
25
برچسب های امنیتی
بازیابی امنیتی
حسابرسی امنیتی
تشخیص حمله
نمونه ای از مکانیزم های امنیتی فراگیر
26
محرمانگیالگوریتم های رمزنگاری متقارن، الگوریتم های •
رمزنگاری نامتقارن
شناسایی هویت HMACSالگوریتم •
یکپارچگی MD5، SHA، MACالگوریتم •
کنترل دسترسی •Identiy Based Access Control ، Rule Based Access Control(Security label)
عدم انکار جیتال• امضای دی
مکانیزم هایی که خدمات امنیتی را پیاده می کند
27
س های امنیتیين سرويارتباط ب
یکپارچگی
احراز هویت
عدم انکار
28
س های امنیتیين سرويارتباط ب) سرويس احراز هويتAuthentication در برگيرنده (
یکپارچگی داده ها نيز می باشد.
)سرويس عدم انکارNon-Repudiation هر دو سرويس (یکپارچگی و احراز هويت را شامل می شود.
29
Authentication مک0انیزمی ک0ه براس0اس آن پروس0ه ه0ا ه0ویت حقیقی ی0ا حق0وقی
کاربران خود را اثبات می کنند.Authorizationمک0انیزمی ک0ه براس0اس آن مش0خص می ش0ود پروس0ه ای ک0ه
و0 ک0اره0ا مج0وز 0انج0ام 0چ0ه ش0ده،0 اح0راز0 آن واقعی ه0ویت0 عملیاتی را دارد.
Accounting( گاهی بهA سوم Access controlمیگویند( پروس0ه چ0ه آن مش0خص می ش0ود براس0اس ک0ه مک0انیزمی س0همی0 از من0ابع0 سیس0تمی0 و خ0دما0ت را می ب0رد 0و آی0ا د0ر ازای ک0رده پ0رداخت را0 آن حس0اب0 و ح0ق0 خ0دمات0، س0هم دری0اف
است.
( 3A)AAA
30
من آرش هستم و می خواهم از
خدمات شما
.بهره مند شوماز آرش چ0ه س0همی من00ابع و خ00دمات آی0ا و دارد سیس0تم ح0ق وحس0اب خ0ود را پرداخت کرده است
آرش چ0ه کاره0ایی را انج00ام توان00د می ب00ه مج00از و بده00د کاره0ایی چ0ه انج0ام
نیست؟
آیا تو واقعا آرش Authenticationهستی؟
AuthorizationAccounting
( 3A)AAA
31
در یک تحلیل امنیتی اینکه در کدام الیه به کدام مکانیزم نیاز است
بستگی دارد به:
صورت مساله
سیاست امنیتی
هزینه
32
بسته بندي اجناسامن سازي در الية كاربرد
بسته بندي پستيامن سازي در الية حمل
امن سازي در الية اينترنتچينش در اتاقكهايمخصوص ترابري
ر بسياري از اوقات امن سازي در دچندين اليه ضرورت دارد
33
الیه برنامه
الیه انتقال
الیه دسترسی به شبکه
البه اینترنت
الیه مسائل امنیتی مربوط به الیه ها – دسترسی به شبکه
اگ0ر در الی0ه ه0ای پ0ایین اطالع0ات را ک0د را گیرن0ده آدرس و ک0نیم امن ک0نیم گ0ره بع0دی در ش0بکه نی0از ب0ه زی0ادی ب0ار بس0یار دیک0د داش0ته ک0ه فراین00د آن ب00ر عالوه و داش00ته مس00ائل خ00اطر ب00ه ای پیچی00ده بوج0ود کلی0د اش0تراک ب0ه مرب0وط ب0رای گ0واهی ب0ه نی0از و آی0د می
کنترل کلید دارد.
34
الیه برنامه
الیه انتقال
الیه دسترسی به شبکه
الیه اینترنت
الیه مسائل امنیتی مربوط به الیه ها – اینترنت
مزایادی0د • از و ش0ده پی0اده خ0وبی ب0ه
ک0اربران الی0ه ه0ای ب0االیی غیرقاب0ل دی0د و برنام0ه در تغی0یر ب0ه نی0ازی و اس0ت
سیستم عامل ندارد.
توس0ط م0دیران ب0رروی ش0بکه نص0ب •میشود.
احتم0ال خط0ا و س0وراخ امنی0تی بس0یار •کم است.
35
الیه برنامه
الیه انتقال
الیه دسترسی به شبکه
الیه اینترنت
الیه مسائل امنیتی مربوط به الیه ها – اینترنت
معایباز • ه0ا مجبورن0د برنام0ه هم0ه
و کنن0د اس0تفاده ام0نیت این ممکن اس0ت در م0واردی اص0ال نداش00ته ام00نیت ب00ه نی00ازی باش0یم و ب0اعث ب0ه ه0در رفتن
منابع و کارایی می شود.ی0ک • از بای0د ه0ا برنام0ه هم0ه
ورژن سازگار استفاده کنند. برنام0ه ه0ا بای0د ب0ه ی0ک هاس0ت •
در ام0نیت پی0اده س0ازی جهت اعتم0اد کنن0د ک0ه این0ترنت الی0ه در سیس0تم ه0ای امنی0تی خ0اص لزوم0ا پ0رداخت مث0ل سیس0تم
ممکن نیست.
36
الیه برنامه
الیه انتقال
الیه دسترسی به شبکه
الیه اینترنت
الیه مسائل امنیتی مربوط به الیه ها – برنامه
مزایا بس0یار منعط0ف اس0ت، متناس0ب ب0ا •
امنی00تی س00رویس ی00ا برنام00ه ه00ر پی00اده مناس00بی امنی00تی مکانیس00م
میکند.ه0ای • مولف0ه در تغی0یر ب0ه نی0از
سیس0تم عام0ل ن0دارد چ0ون در س0طح برنامه پیاده می کنیم.
ام0نیت • ب0ه بیش0تری نس0بت ک0ارایی در الی0ه این0ترنت دارد چ0ون هرج0ا الزم باش0د از مکانیس0م ه0ا و س0رویس ه0ای
امنیتی استفاده می کنیم.
هم0ه س0رویس ه0ای امنی0تی را می •توانیم در ای الیه پیاده کنیم.
37
الیه برنامه
الیه انتقال
الیه دسترسی به شبکه
الیه اینترنت
الیه مسائل امنیتی مربوط به الیه ها – برنامه
معایب چ0ون ام0نیت در الی0ه برنام0ه پی0اده •
ک0اربران ب0رخی ش0ود می س0ازی ناخواس00ته اس00ت ممکن ناآگ00اه
مشکالتی را ایجاد کنند.
38
الیه برنامه
الیه انتقال
الیه دسترسی به شبکه
الیه اینترنت
الیه مسائل امنیتی مربوط به الیه ها – انتقال
نوعی ام0نیت بین الی0ه برنام0ه و الی0ه اینترنت است.
توسط مدیر پیاده می شود• مش0کل ک0ارایی الی0ه این0ترنت کم0تر •
در الی0ه انتق0ال ایج0اد می ش0ود چ0ون زمانیک0ه برنام0ه ه0ا نیازمن0د اس0تفاده الی0ه این امنی0تی ه0ای س0رویس از کنن0د، نمی اس0تفاده آن از نباش0ند ام0ا وق0تی ب0ا ش0بکه خ0ارجی ارتب0اط این ه0ای از س0رویس کنن0د برق0رار
الیه استفاده می کنند.کم • تغی0یرات ب0ه نی0از ه0ا برنام0ه
ب0ا ام0نیت این الی0ه ص0حبت ت0ا دارن0د کنند.
39
قابليت انعطاف كمتر
پيچيدگي بيشتر
محدوديت زماني بيشتر
محدوديت سرويسهاي قابل ارائه
عموميت بيشتر سرويسها
شفافيت بيشتر سرويسها
الیه برنامه
الیه انتقال
الیه اینترنت
الیه دسترسی به شبکه
قابليت انعطاف بيشتر
پيچيدگي كمتر
وسعت زماني بيشتر
سرويسهاي قابل ارائه بيشتر
خاص شدن سرويسها
شفافيت كمتر سرويس
مقایسه الیه های شبکه از نظر مکانیزم های امنیتی
40
Message Digest5(MD5)Secure Hash Standard
SHA-1SHA-512SHA-384SHA-256
Message Authentication Codes(MACS)
مکانیزم های مختلف برای یکپارچگی داده ها و شناسایی هویت
41
توابع درهم ساز از ک00ه ه00ایی الگ00وریتم به
ط00ول ب00ا پی00ام ی00ک درون ط0ول ب0ا چکی0ده ی0ک متغ0یر، و محاس00به ث00ابت و کوت00اه اس0تخراج می کنن0د، اص0طالحا
) س00از درهم Hashتواب00ع Function و ب0ه چکی0ده پی0ام (
) ش00ده درهم Hashک00د Code.نیز گفته می شود (
42
H1H2H3H4H5
.
.Hj
P1P2P3P4P5.....
pi
فضای حالت پیام
i=2n
n>>m
j=2m
فضای حالت چکیده پیام ها
43
.طول پیام می تواند به هر اندازه ای باشد.چکیده پیام طول ثابتی دارد برای هر پیام معینی، محاسبه چکیده پیام نسبتا آسان
باشد. پیدا کردن پیامب که چکیده معینی دارد غیر عملی
است..تغییر پیام بدون تغییر چکیده آن، غیر ممکن است یافتن دو پیام متفاوت با یک چکیده یکسان ممکن
نیست.
شرایطی که یک تابع درهم ساز باید داشته باشد
44
این مکانیزم از الگوریتمMac.استفاده می کند ارس0ال کنن0ده پی0ام و کلی0د را ب0ه الگ0وریتمی ک0ه هم0انHash اس0ت می
ده0د و ا0ین الگ0و0ریتم ی0ک چکی0ده ب0ه ع0ن0وان 0خ0روج0ی می ده0د ک0ه ن0امش Mac 0.است0، پیام به 0همر0اه 0چکیده ارسا0ل می 0شود
دری0افت کنن0ده ب0ا کم0ک کلی0دی ک0ه از قب0ل دارد مج0دد چکی0ده پی0ام دری0افتش0ده0 را ب0دس0ت آو0رده0 و0 ب0ا چکی0ده0 دری0ا0فتی مق0ایس0ه 0می کن0د در ص0و0رتی ک0ه 0ه0ردوی آ0ن ه0ا براب0ر0 ب0ودن0د0، 0گیرن0ده0 0متوج0ه 0می 0ش0ود 0ک0ه پی0ا0م را0 ب0ه
درست0ی دریا0فت کرده0 است.
در اسالید بعد روند پیاده سازی این الگوریتم نشان داده شده است.
در هنگام مشاهده کلیک نکنید.
مکانیزمی برای بررسی صحت داده با کمک تابع درهم ساز
45
چکیده پیام
پیام
چکیده پیام
پیام
فرستندهگیرنده
پیام
چکیده پیام
پیام
پیامپیام
=؟
اکر یکی باشد پیام به طور صحیح دریافت شده است
چکیده پیام
چکیده پیام
این اس0الید ح0اوی انیمیش0ن اس0ت ص0ورت ب0ه را ک0ار مراح0ل ک0ه فیلم نش0ان می ده0د و ب0ا تب0دیل
ب0ه اج0را Pdfش0دن انیمیش0ن نمی شود.
46
پایانبا تشکر از استاد محترم جناب آقای دکتر سخاوتی