بررسی، مقایسه و شبیه سازی راهکارهای امنیتی در رایانش ابری ۹۳- قسمت ۱۸

١ -کاربر درخواست خود را از طریق مرورگر به یک صفحه امن ارسال میکند (آدرس این صفحه معمولا با https:// شروع
میشود)
٢‐ وب سرور کلید عمومی خود را به همراه گواهینامه خود برای کاربر ارسال می کند.
٣‐ مرورگر چک میکند که آیا این گواهینامه توسط یک مرکز مورد اطمینان صادر شده است و اینکه آیا این گواهینامه هنوز اعتبار دارد و همچنین آیا این گواهینامه مرتبط با سایت درخواستی میباشد.
۴‐ سپس مرورگر از این کلید عمومی دریافت شده از طرف سرور استفاده میکند سپس یک کلید متقارن را رمز گذاری
میکند. در نهایت هم دادههای رمز URL تصادفی را تولید میکند و توسط آن تمام دادهها و گذاری شده را به همراه خود کلید متقارن تولیدی، مجددا توسط کلید عمومی سرور رمز گذاری کرده و نتیجه را به سرور ارسال میکند.
۵ -وب سرور توسط کلید خصوصی خود، کلید متقارن رمز گذاری شده را رمزگشایی و با استفاده از آن سایر داده ها و URL را نیز رمزگشایی مینماید.
۶ ‐وب سرور، html درخواستی را با کمک کلید متقارن رمز گذاری و به کاربر باز میگرداند.
٧ ‐مرورگر نیز دادههای دریافتی را با کمک کلید متقارن خود بازگشایی کرده و به کاربر نمایش میدهد.
همانطور که از مرحله ٣ پیداست، در این مرحله است که میزان اعتبار CA مشخص میشود. در صورتی که این CA
به هر دلیل از نظر مرورگر دارای اعتبار و شرایط خاصی نباشند، هشداری مبنی بر عدم امن بودن سایت مورد نظر به کاربر ارائه
میدهد. توجه کنید که در این مورد تنها به هشدار بسنده می شود، اطمینان به آن به شما و شرایط شما بستگی دارد. در ضمن آنکه این هشدار هرگز نمیتواند به معنای قطعی عدم وجود امنیت باشد.حال اگر شما یک CA اینترنت راه اندازی کردید، مسلما هیچ کدام از مرورگرها شما را نمیشناسند و بنابراین گواهیهای صادر شده از طرف شما را نا امن میپندارند .از آنجا که کاربران عادی اینترنت نیز این هشدارها را جدی در نظر میگیرند، از ادامه تراکنش با سایت شما صرف نظر خواهند کرد.
۲-۲-۴-۲۴-نکاتی در مورد گواهینامه ها
شما در صورتی به یک سایت با یک گواهینامه معین اعتماد میکنید که آنرا یک CA معتبر )حداقل نزد شما) امضا کرده باشد. در واقع این اعتماد شما ضمنی است. به این روند، درخت اعتبار گواهینامه یا مسیر گواهینامه گفته میشود. معمولا مرورگرها تعدادی از CA های معروف را برای خود در نظر میگیرد.
ای متفاوتی در اینترنت وجود دارد که شاید مشهورترین verisign آن باشد .به هر حال قرار نیست شما همیشه، با توجه به تراکنش خود، به تمام CA ها یا به عبارت بهتر به انواع گواهینامه آنها اعتماد کنید یک راه مناسب برای تشخیص این موضوع میزان مبلغی است که گواهینامه مورد نظر تراکنش شما را بیمه می کند. به طور مثال حداکثر مبلغی که iranSSL تراکنش شما را بیمه میکند ۰۰۰،۱٠ دلار میباشد. اما Verisign گواهینامه ای دارد که تا ۲۵۰,۰۰۰ دلار تراکنش شما را بیمه
مینماید.
پروتکلSSL بر اساس میزان امن بودن دستهبندی میشوند. این دستهبندی بر اساس مقدارbitهای تولیدی به ازاء هر بخش از دادهای است که رمز گذاری میشود. مسلما هرچه تعداد این bitهای تولیدی بیشتر باشد، رمزگشایی آن بدون کلید، بسیار سخت تر و با استفاده از کلید نیز زمان برتر خواهد بود. به عنوان نمونه یک SSL با ۴٠ یا ۵۶ بیت که یک رمز گذاری ضعیف میباشد میتواند توسط یک هکر با ابزار کافی، در عرض چند دقیقه شکسته شود. اما همین هکر برای مقابله با SSL ١٢٨ بیتی، نیاز به ٢٨٨ بار زمان بیشتر دارد و این بدین معنی است که SSL ١٢٨ بیتی نسبت به حالت ۴٠ یا ۵۶ بیتی ترلیون ترلیون بار امنتر و غیر قابل نفوذتر است!
یک بحث دیگر اینجا مطرح میشود و آن اینکه اگر یک هکر در میان راه کلید عمومی خود را جایگزین کلید عمومی سرور کرد. در این حالت عملا هکر به راحتی به اطلاعات کاربر دسترسی خواهد داشت. در واقع اینCAها کلید عمومی سرور را با کلید خصوصی خود امضا میکنند. مرورگر هم CAهای قابل اعتماد را میشناسد (کلید عمومی آنها را دارد). این کلید عمومی سرور که توسط کلید خصوصی CA رمز گذاری شده است همان گواهینامه میباشد. از آنجا که سرور میبایست گواهینامه خود را ارسال کند، در سمت مرورگر سعی میشود که توسط کلیدهای عمومیCAهایی را که میشناسد، آن گواهینامه را
رمز گشایی کند .اگر موفق شد و نتیجه با کلید عمومی سرور یکسان بود در واقع گواهینامه قابل اعتماد است. در این صورت امکان استفاده از گواهینامه دیگران هم وجود ندارد. دقیقا همان بحث امضای دیجیتالی است.
۲-۲-۴-۲۵-تشخیص هویت [۴۶]
یکی از مباحث مهم و اصول در ارتباطات ایمن، تشخیص هویت متقابل از هر دو طرف Client و Server میباشد. در یک ارتباط، میباشد هویت اصلی سرور برای کاربران و برعکس مشخص شود زیرا در غیر این صورت هر سروری قادر به ایجاد اعتماد در کاربران خواهد بود. هر سرور باید دارای گواهینامه دیجیتالی باشد که این گواهینامه، نشان دهنده هویت اصلی آن است و توسط شرکتهایی مانندVerisign وThawte ارائه میگردد. در این گواهینامه الکترونیکی اطلاعاتی از قبیل:
کلید عمومی (برای مخفی سازی اطلاعات)، شماره سریال، نام دامنه، امضای دیجیتالی و تاریخ شروع و انقضای اعتبار گواهینامه درج میشود.
کاربر به راحتی میتواند مشخصات گواهینامه سرور را بررسی نماید. به عنوان مثال فرض کنید که برای خرید یک کالا به صورت On-lin به یکی از سایت های مربوطه متصل شدهاید، در ابتدا پیغامی مبنی بر ایجاد یک ارتباط با استفاده از SSL را ملاحظه میکنید، که بعد از تأیید آن، اگر به پایین پن

برای دانلود متن کامل این پایان نامه به سایت  pipaf.ir  مراجعه نمایید.

جره مرورگر خود از سمت راست (Staus Bar) دقت نمایید، آیکونی (به شکل یک قفل) را مبنی بر یک ارتباط ایمن مشاهده خواهید کرد که با دو بار کلیک کردن بر روی آن میتوانید اطلاعاتی گواهینامه سرور را بطور کامل مشاهده نمایید. البته باید توجه داشته باشید که حتماً مرور گر وب شما قابلیت پشتیبانی ازSSL را داشته باشد و یا آن را غیرفعال نکرده باشید. برای اطمینان از فعال بودن این پروتکل، درInternet Explorer از منوهای بالا به منوی Tools > Internet Options رفته و از پنجره ظاهر شده،Tab مربوط بهAdvanced را انتخاب کرده و از انتخاب گزینهای با عنوان ۰،۳Use SSL اطمینان حاصل کنید. پیشنهاد میکنم که حتماًٌ قبل از استفاده از
Credit Card خود در اینترنت، گواهینامه سرور را از نظر تاریخ انقضا و نام دامنه مورد بررسی قرار دهید.
۲-۲-۴-۲۶- سرویس‌های امنیتی WEP – Authentication [۴۷]
در قسمت قبل به معرفی پروتکل WEP که عملاً تنها روش امن‌سازی ارتباطات در شبکه‌های بی‌سیم بر مبنای استاندارد ۸۰۲٫۱۱ است پرداختیم و در ادامه سه سرویس اصلی این پروتکل را معرفی کردیم.
در این قسمت به معرفی سرویس اول، یعنی Authentication، می‌پردازیم.
استاندارد ۸۰۲٫۱۱ دو روش برای احراز هویت کاربرانی که درخواست اتصال به شبکه‌ی بی‌سیم را به نقاط دسترسی ارسال می‌کنند، دارد که یک روش بر مبنای رمزنگاری‌ست و دیگری از رمزنگاری استفاده نمی‌کند.
شکل زیر شَمایی از فرایند Authentication را در این شبکه‌ها نشان می‌دهد:
شکل۲- ۲۰-تشخیص هویت
همان‌گونه که در شکل نیز نشان داده شده است، یک روش از رمزنگاری RC4 استفاده می‌کند و روش دیگر از هیچ تکنیک رمزنگاری‌ استفاده نمی‌کند.
۲-۲-۴-۲۷- Authentication بدون رمزنگاری
در روشی که مبتنی بر رمزنگاری نیست، دو روش برای تشخیص هویت مخدوم وجود دارد.
در هر دو روش مخدومِ متقاضی پیوستن به شبکه، درخواست ارسال هویت از سوی نقطه‌ی دسترسی را با پیامی حاوی یک
(SSID (Service Set Identifier پاسخ می‌دهد.
در روش اول که به Open System Authentication موسوم است، یک SSID خالی نیز برای دریافت اجازه‌ی اتصال به شبکه کفایت می‌کند. در واقع در این روش تمامی مخدوم‌هایی که تقاضای پیوستن به شبکه را به نقاط دسترسی ارسال می‌کنند با پاسخ مثبت روبه‌رو می‌شوند و تنها آدرس آن‌ها توسط نقطه‌ی دسترسی نگاه‌داری می‌شود. به‌همین دلیل به این روش NULL Authentication نیز اطلاق می‌شود.