الاستيقان

بحث متقدم

أ ب ت ث ج ح خ د ذ ر ز س ش ص ض ط ظ ع غ ف ق ك ل م ن هـ و ي

الاستيقان

استيقان

Authentication - Authentification

الاستيقان في المنظومات

غسان سابا

يسعى مختصو أمن الشبكات والحواسيب إلى تحقيق هدفين أساسيين:

1 -منع الأشخاص غير المخوّلين من النفاذ إلى الموارد.

2 -التأكد من استطاعة الأشخاص المخوّلين النفاذ إلى الموارد التي يحتاجون إليها.

ولكي يستطيع مديرو الأنظمة تحديد سماحيات النفاذ لا بد من التحقق من هويَّة المستخدم الذي يحاول النفاذ إلى مورد ما.

الاستيقان authentication هو التوثق من صحة هوية المستخدم، ويمكن تحقيق ذلك بوساطة عدة طرائق، مثل كلمات المرور passwords أو بالعودة إلى الخصائص الحيوية للشخص. يجري الاستيقان عادةً باستخدام واحدة أو أكثر من الوسائل التالية:

• تعرّف رمز فريد، مثل رقم التعريف الشخصي personal identification number (PIN) أو كلمة المرور.

• تعرّف أداة محدّدة مثل بطاقة الصرّاف الآلي أو بطاقة ذكية smart card.

• تعرّف مميزات “فيزيائية” مثل بصمة الإصبع أو قزحية العين.

تعتمد بعض التطبيقات - مثل التطبيقات المصرفية - على وسيلتي استيقان أو أكثر في آنٍ واحد. يُعرف ذلك بالاستيقان المتعدد العوامل.

أنواع الاستيقان

كلمات المرور:

تُعدّ كلمات المرور من أكثر طرائق الاستيقان شيوعاً. يمكن التفريق بين كلمات المرور الساكنة - التي لا تتغير إلا بعد مدة محدّدة من الزمن يحدّدها مدير النظام (كل شهر مثلاً) - وبين كلمة مرور الاستخدام الوحيد one -time password التي تُستخدم مرة واحدة فقط. أضف إلى ذلك أنه يمكن توليد كلمات المرور آلياً باستخدام بطاقات الذاكرة memory cards أو البطاقات الذكية أو أي أجهزة خاصة.

ومع ضرورة التغيير الدوري لكلمات المرور يجب أن تكون هذه الكلمات قوية بمعنى أنه يجب أن تحوي أحرفاً وأرقاماً ورموزاً، ويجب ألا تؤخذ كلمات من القاموس، ويجب أن تكون طويلة (8 محارف على الأقل).

يعاني الاستيقان بكلمات المرور أنه عرضة للاختراق، إذ يمكن لبرامج مصمّمة لهذا الغرض password cracker تجربة جميع التراكيب الممكنة للأحرف والأرقام إلى أن تعثر على كلمة المرور المطلوبة، ويسمى ذلك بهجمات القوة العنيفة brute - force attacks . وقد يستخدم المهاجم متنصتاً شبكياً network sniffer يلتقط الطرود الشبكية ويتعرّف تلك الطرود التي تحوي كلمات المرور غير المشفَّرة.

الخصائص الحيوية :biometric characteristics

يجري الاستيقان الحيوي آلياً عن طريق تعرّف هوية شخص من خصائصه الفيزيولوجية أو السلوكية. يفيد الاستيقان الحيوي بتعرّف الهوية identification قبل الاستيقان منها. ومثال ذلك: عملية تعرّف بصمة متهم بمقارنتها بقاعدة معطيات للبصمات، وهي عملية بحث عن عنصر ضمن عناصر متعددة one -to -many search، أما الاستيقان فهو عملية بحث من النوع “عنصر إلى عنصر” one -to -one search، مثل مقارنة بصمة شخص بالبصمة المخزّنة سابقاً.

من أهم الطرق المستخدمة في الاستيقان الحيوي:

• مسح شبكية العين retina scan.

• مسح قزحية العين iris scan.

• البصمات fingerprints.

• مسح الوجه facial scan.

• مسح الكف palm scan.

• شكل اليد hand geometry.

• الصوت voice.

الدخول المفرد single sign-on:

باستخدام الدخول المفرد يزوّد المستخدم معلومات التحقق، مثل كلمة المرور لمرة واحدة فقط. وهذا ما يتيح له النفاذ إلى جميع موارد الشبكة من دون الحاجة إلى إعادة إدخال كلمة المرور من جديد. يجب هنا تخزين معلومات الاستيقان ونقلها نقلاً آمناً وموثوقاً على الشبكة. ولعل من أهم المخدّمات التي توفر الدخول المفرد مخدّمات كيريوروس Kerberos.

بروتوكولات الاستيقان

تجري عملية التحقق من الهوية عند الدخول إلى الشبكة logon، وعند النفاذ إلى موارد الشبكة وخدماتها، وعند استخدام البروتوكول IPSec وعند النفاذ البعيد.

استيقان الدخول

تتطلب غالبية أنظمة الاستثمار الشبكية استيقان المستخدم قبل الدخول إلى الشبكة. يجري ذلك عن طريق إدخال كلمة مرور أو رقم معرِّف شخصي.

استيقان النفاذ إلى الشبكة:

يجري هنا التحقق من هوية المستخدم عند النفاذ إلى أي خدمة شبكية. عادةً تكون هذه العملية بالنسبة للمستخدم الذي سجّل دخوله سابقاً.

استيقان بالبروتوكول IPSec

يحقِّق البروتوكول IPSec تشفير الرسائل المرسلة عبر الشبكة و/ أو توقيعها لضمان خصوصيتها وتكامليتها ومصدرها. يستطيع البروتوكول IPSec استخدام بروتوكولات استيقان متعددة مثل كيربوروس أو بنية المفاتيح العامة أو غيرها. لكن يجب في هذه الحالة إعداد الطرفين لاستخدام البروتوكول نفسه.

النفاذ البعيد remote access

يُعدّ الاستيقان من المتطلبات المهمة عند تحقيق جلسة نفاذ بعيد إلى موارد شبكة ما. يتوافر العديد من الخدمات والبروتوكولات التي تحقق استيقان النفاذ البعيد، منها:

• المخدم راديوس :Radius

هو معيار استيقان النفاذ البعيد عن طريق الطلب الهاتفي remote authentication and dial -in user service (Radius). وهو بروتوكول مفتوح وبسيط، يعمل في طبقة تعلو البروتوكول UDP. وهو قابل للتعامل مع غالبية أنظمة الحماية المتوافرة. يزوِّد البروتوكول راديوس خدمات الاستيقان والتخويل authorization لاستخدام الموارد التي يحق للشخص استخدامها، إضافةً إلى المحاسبة. يوصّف معيار الإنترنت RFC 2865 ميزاته الكاملة.

• البروتوكولات TACACS و TACACS+

تستخدم البروتوكولات terminal access controller access controller system (TACACS) لاستيقان النفاذ البعيد. تُخزَّن كلمات المرور ضمن مخدِّم مركزي، وهذا ما يعطي مرونة عند التوسع المستقبلي. يتعامل البروتوكول TACACS مع كلمات المرور الساكنة، في حين يتيح البروتوكول TACACS+ التعامل مع كلمات المرور الديناميكية.

بروتوكولات استيقان كلمات المرور في النفاذ البعيد

• بروتوكول استيقان كلمات المرور :PAP

باستخدام (password authentication protocol (PAP، يزوِّد المستخدم الاسم وكلمة المرور غير المشفرتين اللتين تُقارنان بقاعدة معطيات المستخدمين المخوَّلين عن طريق وصلة اتصال ما. يُعدّ البروتوكول PAP - الموصّف بالوثيقة RFC 1334 - غير آمن، وهو عرضة لهجمات التقاط معلومات المستخدم.

• البروتوكول تشاب :CHAP

تصف الوثيقة RFC 1994 البروتوكولchallenge handshake authentication protocol (CHAP) الذي يحقق الاستيقان بعد إنشاء الاتصال الأولي بين المستخدم والمخدِّم CHAP، ويمر الاستيقان وفق مصافحة ثلاثية المراحل كما يلي:

1. يرسل المخدِّم CHAP رسالة challenge (وهي سلسلة محارف) إلى المستخدم بعد تأسيس الاتصال الأولي.

2. يرد المستخدم على الرسالة بإرسال سلسلة محارف أخرى يجري توليدها عن طريق خوارزمية تلبيد hashing وحيدة الاتجاه اعتماداً على كلمة المرور.

3. تجري مقارنة نتيجة التلبيد التي أرسلها المستخدم بنتيجة التلبيد على الرسالة نفسها من طرف المخدّم. في حال تطابق النتيجتين يُعدّ الاستيقان مؤكداً.

4. لزيادة الأمن يجري تكرار الخطوات من 1 إلى 3 عشوائياً لحماية المستخدم من هجمات الإعادة.

الاستيقان باستخدام المعيار X.509:

تُعدّ توصيات ITU -T X.509 جزءاً من خدمات الدليل X.500. والدليل هو مخدّم أو مجموعة مخدّمات موزّعة، تدير قاعدة معطيات للمستخدمين.

تعرِّف توصيات المعيار X.509 منصة عمل لتحقيق خدمات الاستيقان بالاستفادة من الدليل X.500. ضمن هذا السياق يعمل الدليل مخزناً للشهادات الرقمية التي تعتمد المفاتيح العامة public keys . تحوي كل شهادة رقمية معلومات عن المستخدم إضافةً إلى مفتاحه العام، وتكون موقّعة رقمياً من سلطة توزيع الشهادات الرقمية certification authority الموثوق بها. يعرّف المعيار X.509 أيضاً بروتوكول الاستيقان البديل اعتماداً على بنية شهادات المفتاح العام.

يُعدّ البروتوكول X.509 معياراً مهماً بسبب استخدام بنية الشهادات الرقمية وبروتوكولات الاستيقان في مجالات مختلفة مثل S/MIME و IP Security و SSL/TLS و SET.

الشهادات الرقمية digital certificates

تتألف الشهادة الرقمية من معلومات تُستخدم للاستيقان ولحماية الاتصال عبر شبكة غير آمنة، مثل الإنترنت. تربط الشهادةُ مفتاحاً عاماً بالمستخدم أو بأي كيان آخر (حاسوب أو خدمة) يمتلك مفتاحه الخاص.

تُمنح الشهادات الرقمية من سلطة خاصة، وهي جهة موثوقة قادرة على التحقق من هويات الأشخاص والحواسيب. توقّع سلطة الشهادات هذه كل شهادة ممنوحة رقمياً باستخدام مفتاحها الخاص، وتكون الشهادة صالحة مدة محددة (عادةً سنة واحدة)؛ عندما تنتهي صلاحيتها يجب إصدار شهادة جديدة أو تجديد الشهادة بحسب السياسة الأمنية المتبعة. كما تستطيع سلطة الشهادات إلغاء revoke شهادة ما قبل أن تنتهي صلاحيتها.

طبقة المقابس الآمنة SSL

يُستخدم بروتوكول طبقة المقابس الآمنة secure socket layer (SSL) لحماية النفاذ إلى مواقع الوِب عن طريق تقانة المفتاح العام وتقانة المفتاح الخصوصي private key. تُعدّ تقانة التشفير بالمفتاح الخصوصي (المتناظرة) أسرع، ولكن استخدام التشفير بالمفتاح العام غير المتناظر يحقق استيقاناً أفضل؛ لذلك تم بناء SSL للاستفادة من كلتا التقانتين.

تعمل الطبقة SSL تحت مستوى طبقة التطبيقات بحسب النموذج الطبقي للإنترنت. وهذا يعني ضرورة كتابة التطبيقات لاستخدامها، خلافاً للبروتوكول IPSec.

يعتمد الاستيقان SSL على الشهادات الرقمية التي تسمح لمخدّمات الوب وزبائنها بتعرّف هويات بعضهم بعضاً قبل إنشاء الاتصال. أي يمكن هنا استخدام نوعين من الاستيقان: استيقان المخدّم واستيقان الزبون.

الهجمات على الاستيقان

التصيّد phishing:

يحاول المهاجم سرقة معلومات سرية واستخدامها عن طريق جعل المستخدم يعتقد أنه يقوم بعمليات إلكترونية مع طرف شرعي. يستخدم هجوم التصيد الهندسة الاجتماعيةsocial engineering والخدع التقنية technical subterfugeلسرقة المعلومات المتعلقة بالهوية الشخصية.

• الهندسة الاجتماعية:

يقوم المهاجم بإرسال رسالة إلكترونية تحوّل الضحية إلى موقع مزوَّر، يطلب الموقع إدخال معلومات حساسة؛ مثل استلام رسالة تبدو قادمة من المصرف وتطلب ضرورة النفاذ إلى موقع المصرف الإلكتروني بغية تحديث بعض المعلومات أو التوثُّق من حدث ما. وعند اتباع الرابط ضمن الرسالة يُدخل المستخدم إلى موقع مزوّر يشبه موقع المصرف الاعتيادي، فتصبح أي معلومة يجري إدخالها معروفة من قبل المهاجم.

• الخدع التقنية:

يُزرع برنامج خبيث ضمن الحاسوب بغية سرقة المعلومات الشخصية مباشرةً. يجري ذلك عن طريق حصان طروادة أو برامج التنصت على ضربات المفاتيح keylogger spyware.

البرامج الخبيثة :malware

وهي برامج مختصة بسرقة معلومات شخصية عن المستخدم عن طريق:

• سرقة معلومات الحساب الإلكتروني عن طريق التقاط ضربات المفاتيح.

• وضع موقع وِب مزور.

• اختطاف الحساب: يقوم البرنامج الخبيث باختطاف المتصفح ونقل المعلومات من دون علم المستخدم. فعندما يريد المستخدم الدخول إلى موقع المصرف مثلاً يستدعي البرنامج الخبيث متصفحاً مخفياً يقوم بالنفاذ إلى المصرف ويقرأ ما يريده من معلومات ويقوم بالتحويلات المالية.

مراجع للاستزادة:

- P. Gutmann, PKI: It’s Not Dead, Just Resting, Computer, 2002.

- D. Salomon, Elements of Computer Security, Springer, 2010.

- RFC 3538, Secure Electronic Transaction (SET) Supplement for the v1.0 Internet Open Trading Protocol (IOTP), 2003.

- RFC 2311, S/MIME Version 2 Message Specification, 1998.