اصالت‌سنجی

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو

اصالت‌سنجی[۱] یا احراز هویت به تعیین صحت و سقم یک ویژگی، داده یا نهاد گفته می‌شود. این فرایند ممکن است شامل تایید هویت یک شخص، دنبال کردن ریشه‌های یک سازهٔ بشری، مطمئن شدن از اینکه یک کالا همانی است که بسته‌بندی و شناس‌برگش ادعا می‌کنند، یا اطمینان از قابل اعتماد بودن یک نرم‌افزار رایانه‌ای باشد.[۲]

در شبکه رایانه‌ای اصالت سنجی بدین معناست که یک سرویس دهنده بتواند تشخیص دهد کسی که تقاضایی را روی آن سیستم دارد شخص حقیقی است یا یک شیاد است تا بدین ترتیب به گیرنده پیام اطمینان داده شود که پیام از همان مبدایی است که ادعا شده است. هر مکانیزمی که بتواند هویت واقعی یک فرد را بدون هیچ ابهامی، تایید یا رد کند سرویسی جهت اصالت‌سنجی است. این سرویس برخلاف باور عموم یکی از پیچیده ترین مباحث امنیت شبکه به شمار می‌رود.[۳] در سطح حداقل، احراز هویت تضمین می‌کند که پیام از منبع موثقی می‌رسد. علاوه بر این احراز هویت می‌تواند شامل حفاظت در مقابل تغییر، تاخیر، تکرار و ترتیب مجدد پیام باشد. عنصر مهم طرح احراز هویت، استفاده از احراز کننده لست که معمولاً کد احراز هویت پیام (MAC) یا تابع درهم سازی است.[۴]

تعریف[ویرایش]

شناسایی و احراز هویت دو هسته اصلی در بیشتر سیستم های کنترل دسترسی هستند. شناسایی عملی است که یک کاربر برای معرفی خود به یک سیستم اطلاعاتی استفاده می کند و که معمولاً در قالب یک نام کاربری و کلمه عبوراست.
احراز هویت اولین گام در فرایند اتصال است. هر سازمان یا شخصی نیاز به اتصال قابل اعتماد به سیستم و برنامه های کاربردیش دارد پس یک منبع تعیین هویت واحد و قابل اعتماد برای مدیریت دسترسی ها لازم است. بعد از فرایند احراز هویت اتصال برقرار می شود.
شناسایی در حقیقت برای پاسخگویی کاربر به اعمالی است که بر روی سیستم انجام می دهد.احرازهویت روشی است که براساس آن بررسی می شود که آیا طرف مقابل ارتباط همانی است که باید باشد یا یک نفوذگر است که خود را به جای طرف واقعی جازده است. بررسی هویت واقعی طرف مقابل ارتباط، عملی دشوار است.
در واقع حراز هویت یعنی تشخیص هویت فردی که می خواهد از امکانات یک سیستم یا شبکه استفاده کند و این اطمینان را می دهد که موجودیتی که در یک ارتباط شرکت کرده مجاز است یا نه. یکی بودن هویت کاربر با چیزی که ادعا کرده یعنی مجاز شناخته شدن آن کاربر. تنها از این طریق است که کاربر می توانداز سرویس ها و امکانات یک شبکه یا سیستم استفاده کند. احراز هویت، هویت فرد را بوسیله مقایسه یک یا چند عامل با پایگاه دادهایی از هویت‌های معتبر، بررسی میکند.

فاکتورها و هویت[ویرایش]

در کل از3 متد برای احراز هویت استفاده می شود. امروزه این 3 متد را 3 فاکتور احراز هویت گویند البته یک متدچهارم هم به آنها اضافه شده ولی می توان آن را در دسته های دیگر هم جای داد :

  • چیزی که شما می دانید. (رمز)
  • چیزی که شما دارید. (کارت شناسایی)
  • چیزی که شما هستید. (بیومتریک: اثرانگشت)
  • جایی که شما هستید. (محل شما را مشخص میکند)

چیزی که شما می دانید[ویرایش]

عامل احراز هویت اول چیزی است که شما می دانید که رایجترین آن یک رمز است و رشته ای از کاراکترهاست که در ذهن شماست و به خاطر سپرده اید. رمز ساده ترین مدل پیاده سازی شده ی احراز هویت است و همچنین می توان گفت ضعیف ترین، چون امکان حدس زدن رمز وجود دارد. کاربران معمولاً رمزهای ضعیف و ساده انتخاب می کنند حتی رمزهایی به طول یکی دو حرف، اما برای حل این مشکل می توان حداقل طول رمز را مشخص کردکه مثلاً کمتر از 8 حرف نباشد و اینکه از ترکیب حروف و اعداد و علائم خاص استفاده شود. ولی در این حالت هم چون امکان فراموشی رمز وجود دارد مشکلاتی دیگر ممکن است به وجود آید مثلاً بسیاری رمز را در مکانی می نویسند تا فراموش نشود که در این حالت ممکن است شخصی آن را پیدا کرده و از آن سواستفاده کند. در کل این مدل احراز هویت به تنهایی مناسب نیست.

چیزی که شما دارید[ویرایش]

عامل احراز هویت نوع دوم چیزی است که شما دارید یعنی یک ابزار فیزیکی که باید در زمان احرازهویت همراه داشته باشید، مانندیک کارت شناسایی. بعضی از سیستم های احراز هویت از یک نشانه استفاده می کنند که مربوط به کاربر باشد یعنی وسیله یا شی که تعیین کننده هویت کاربر باشد که متداول ترین آن یک کارت اعتباری یا یک کلید فیزیکی است. این روش زیاد مناسب نیست مثل حالت قبل ساده و ضعیف است چون امکان دزدیده شدن شی فیزیکی وجود دارد. این روش هم زیاد به تنهایی استفاده نمی‌شود اما می تواند با یک رمز استفاده شود. مانند کارت عابر بانک که در صورتی که دزدیده شود باید رمز آن هم در دسترس باشد.

چیزی که شما هستید[ویرایش]

عامل احراز هویت نوع سوم چیزی است که شما هستید. این عامل بخشی از بدن شما یا خصیصه فیزیکی شماست مانند اثرانگشت. هر شخصی ویژگی های فیزیکی خاص خود را دارد که او را از سایر افراد متمایز میکند. در این روش افراد می توانند از این ویژگی های خاص برای احراز هویت استفاده کنند. این روش می تواند برای کامپیوتر ها اندکی دشوار باشد. مانند تشخیص صدای آنالوگ. اما در سالهای اخیر تکنولوژی به اندازه کافی رشد کرده که کامپیوتر ها بتوانند این ویژگی هارا پردازش کنند. به عنوان یک مثال : کاربر در سیستم بیومتریک با ارائه یک نمونه مشخصه ی فیزیکی ثبت نام می کند. سیستم این ویژگی آنالوگ را به دیجیتال تبدیل می کند و یک الگویی از آن تهیه می کند و در سرور احرازهویت مرکزی ذخیره می کند. اگر کاربر درخواست ورود داشته باشد یک نمونه از ویژگی فیزیکی او گرفته می شود و به نمونه دیجیتالی تبدیل می شود و نمونه دیجیتالی جدید با الگوی ذخیره شده در سرور مقایسه می شود اگر این دو نمونه شبیه بود کاربر پذیرفته می شود.
بعضی از انواع سیستم های بیومتریک:

  • شناسایی چهره (اندازه گیری فاصله بین نقاط خاصی روی صورت)
  • اثر انگشت (اندازه گیری فاصله بین خطوط روی انگشت)
  • صدا (اندازه گیری الگوی صوتی در گفتار انسانی برای عبارات از پیش تعیین شده) . . . .

جایی که شما هستید[ویرایش]

عامل احراز هویت چهارم یعنی جایی که شما آنجا هستید، مانند یک ترمینال کامپیوتری که از طریق آن وارد شده اید یا شماره تلفن شهر یا کشوری که از آنجا تماس گرفته اید که این عامل را می توان در دسته دوم احراز هویت هم جای داد.
ما میتوانیم قدرت احراز هویت را با ترکیب دو یا چند عامل افزایش دهیم، زیرا استفاده از 2 عامل با هم اطمینان بسیار بالاتری در احراز هویت فراهم می آورد.

اصالت سنجی محصول[ویرایش]

بسیاری از کالاهای تقلبی به صورت معتبر به مصرف کنندگان عرضه می شوندو محصولات تقلبی به صورت مشروع به فروش می رسند. تلاش هایی براب کنترل کردن این مشکل صورت گرفته تا مصرف کنندگان مثلاً از طریق برچسپ متوجه شوند وکالا را ارزیابی کنند و اطمینان حاصل کنند که محصول معتبر است. البته امروزه چاپ های امنیتی که روی کالا ها هم وجود دارند می توانند جعل شوند.

محتوای اطلاعات[ویرایش]

احرازهویت اطلاعات مشلات خاص خود را دارد که اعلب به احرازهویت پیچیده ای نیاز است.
جعل ادبی شامل تقلید از سبک یک نویسنده مشهور است. در این حالت اگر دست نوشته اصلی در دسترس باشد می تواند به قبول یا رد صحت سند کمک کند. البته متن، صوت ، صوت ، ویدئو می توانند به صورت دیگری کپی شوند، این محتوای اطلاعات است که نیاز به احرازهویت دارد.
روش معمول سرقت ادبی کشف یک کپی یکسان یا بسیار شبیه به متن است که در برخی شرایط کیفیت بیش از حد بالاست که سوظن سرقط ادبی را بالا می برد.

تایید واقعی[ویرایش]

تعیین حقیقت و یا صحت و دقت اطلاعات موجود در یک پیام مشکلی است که جداازاحراز هویت در نظر گرفته شده است. طیف گسترده ای از تکنیک ها می تواند استفاده شود.

تایید اعتبار ویدئو[ویرایش]

گاهی اوقات لازم است تا ویدئویی که ضبط شده است و به عنوان یکی از شواهد در روند قضایی استفاده می شود اعتبارش بررسی گردد.

تاریخچه[ویرایش]

از لحاظ تاریخی ، اثر انگشت به عنوان معتبر ترین روش احراز هویت استفاده می شود، اما پرونده هایی در دادگاه های اخیر در ایالات متحده و جاهای دیگر شک و تردید اساسی در مورد قابلیت اطمینان اثر انگشت را مطرح کرده اند. شواهد نشان می دهد که امکان جعل اثر انگشت هم وجود دارد.
می توان از دو فاکتور برای احرازهویت استفاده کرد مثلاً استفاده از یک کلید خصوصی. در زمینه کامپیوتر توسعه روش های رمزنگاری مشکلات را تا حدی حل کرده است. معلوم نیست که این روش های توسعه یافته کاملاً امن باشند در آینده مشخص خواهد شد.

مجوز دسترسی[ویرایش]

فرایند مجوز دسترسی جدا از احرازهویت است. احرازهویت فرایند مشخص کردن این است که "شما کسی هستید که باید باشید". اما مجوز دسترسی فرایندی است که تایید می کند که "شما اجازه انجام کاری که سعی می کنید انجام دهید را دارید". برای مثال، یک مشتری مدارک شناسایی مناسب به یک کارمند بانک نشان داده و در صورت صحت، تصدیق می شود که او واقعاکسی است که مدارک شناسایی اش را نشان داده است .وقتی مشتری احراز هویت شد او مجاز به دسترسی به حساب هایش است ونه هیچ کس دیگری . مشابه همین روش در سیستم های کامپیوتری هم وجود دارد وقتی شخصی درخواست ورود را دارد باید در ابتدا هویتش را ثابت کند یعنی نام کاربری و کلمه عبور را وارد کند. سپس این ترکیب بررسی می شود تا مشخص شود معتبر است یا نه.
در نهایت، مجموعه ای از مجوز ها و محدودیت های از پیش تعریف شده ای به این کاربر اختصاص داده شده است.
تعیین مجوز دسترسی بدون احرازهویت صورت نمی‌گیرد.

کنترل دسترسی[ویرایش]

مفهومی آشنا در رابطه با احرازهویت و مجوز دسترسی، کنترل دسترسی است. برای استفاده و دسترسی به منابع احرازهویت لازم است و اعطای امتیازات تعیین شده برای یک شخص، باید کنترل شده باشد.

مقالات مرتبط[ویرایش]

منابع[ویرایش]

  1. اصالت‌سنجی واژهٔ مصوب فرهنگستان زبان و ادب فارسی به جای Authentication در انگلیسی است. «جستجوی واژه‌های مصوب فرهنگستان». فرهنگستان زبان و ادب فارسی. بازبینی‌شده در ۲۴ اردیبهشت ۱۳۹۰. 
  2. مشارکت‌کنندگان ویکی‌پدیا، «Authentication»، ویکی‌پدیای انگلیسی، دانشنامهٔ آزاد (بازیابی در ۲۴ اردیبهشت ۱۳۹۰).
  3. ملکیان، احسان. اصول مهندسی اینترنت. نص. شابک ‎۹۶۴-۴۱۰-۰۹۵-۶. 
  4. استالینگز، ویلیام. مبانی امنیت شبکه. علوم رایانه. شابک ‎۸-۳۸-۸۹۹۶-۹۶۴-۹۷۸. 

5.Ch. Mallow, “Authentication Methods and Techniques,” Giac, http://www.giac.org/cissp-papers/2.pdf%7B%7Bسخ}} 6. J. Migga Kizza, “Authentication,” pp. 203-221 http://link.springer.com/chapter/10.1007/978-1-4471-4543-1_10