مسیر صفحه
توکن آرش - احراز هویت متمرکز

توکن آرش در یک نگاه

مطابق استاندارد، هر توکن غیر متصل فقط برای یک سرویس دهنده امکان احراز هویت فراهم میکند. همچنین مقادیر رمز تولید شده میبایستی از کانال امن عبور داده شوند. ولی با یک توکن هایبرید آرش میتوان همزمان در چندین سرویس دهنده و چندین مکان متفاوت عمل احراز هویت را - بدون نیاز به کانال امن - انجام داد.

مقدمه

یکی از روش های جلوگیری از حدس زدن کلمات عبور ضعیف و نامناسب، استفاده از رمزهای یک بار مصرف (One Time Password) می باشد. آنچه که از کلمه رمز در ذهن اغلب افراد تداعی می شود، کلمه ی رمز ایستا می باشد که مقداری است ثابت و می بایست به خاطره سپرده شود. در مقابل رمز ثابت ، رمز یک بار مصرف یا OTP قراردارد که به معنای کلمه رمزی است که فقط و فقط یکبار می تواند مورد استفاده قرار گیرد. برای تولید کلمات عبور یک بار مصرف از ابزاری به نام توکن OTP، استفاده می گردد.

شناخت یک تهدید رو به رشد

یک ایراد اساسی که کاربران در دنیای امروز با آن دست به گریبان هستند، لزوم ثبت نام چندین باره و دریافت رمز عبور از تمامی وب سایتهای مخاطب خود است. مدیریت و نگهداری این حجم بالای رمزهای عبور ثابت و تک عاملی ، به نحوی که فاش نشوند و غیر تکراری هم باشند، و دارای طول و پراکندگی کافی نیز باشند، به اندازه کافی باعث آزار کاربران میشود که نیاز به دو یا چند عاملی شدن مراحل احراز هویت با دستگاه های OTP نیز بر این بار اضافی به شرح زیر افزوده است:

1- هزینه ای که در اثر اجبار به خرید این سخت افزارها به کاربران تحمیل میگردد
2- مطابق استاندارد، هر دستگاه تنها توانایی مخاطب قرار دادن یک سرویس از یک سازمان را دارد. بنابراین، هر کاربر در صورت هر نوع جابجایی مجبور خواهد بود تمامی دستگاه های OTP خود را به همراه داشته باشد. نگهداری و حفاظت از این حجم تجهیزات در مقابل دزدیده شدن، به تنهایی باعث استرس، اتلاف وقت و کاهش بهره وری است.

با این حال توکن های OTP غیر متصل (Air-Gap) به دلیل عدم نیاز به نصب درگاه یا نرم افزار خاص در سمت کاربر نهایی، قابلیت استفاده در انواع دستگاه ها را دارند، بنابراین اغلب به روشهای قویتر احراز هویت نظیر (PKI) ترجیح داده میشوند.

راه حلی که توکن آرش ارائه میدهد

پس از حدود 4 سال تحقیق، توسعه و کار در آزمایشگاه، بر مبنای اختراع شماره 82305، راه حل یک توکن چند منظوره با قابلیت استفاده در چندین سرویس دهنده مجزا است که با تلفیق الگوریتم های رمز نگاری نا متقارن (asymmetric encryption algorithms) در خاصیت غیر متصل (Air-Gap) توکن های OPT ساخته شده است. به این ترتیب توکن آرش هم در سطح ارتباط کاربر نهایی با نوع دستگاه سمت مشتری و هم در سطح سرورهای متفاوت سازمانها و شرکتها، قادر به احراز هویت کاربران تنها با یک دستگاه توکن سخت افزاری یا نرم افزاری میباشد.

در این میان، روش نوآورانه ای که مورد استفاده قرار گرفته است قابل توجه است. در هم آمیختن دو خاصیت نا همگون غیر متصل بودن در سمت کاربر نهایی و نامتقارن بودن (که نیاز به متصل بودن به شبکه و تبادل کلید را اجباری میکند) باعث شد با اقتباس از شرایطی که در میزبانی وب مرسوم است (به جای اینکه هر فرد برای داشتن یک وب سایت در اینترنت، در منزل یا محل کار شرایط استقرار و نگهداری یک سرور را ایجاد کند، بخشی از فضای یک سرور میزبان وب را اجاره میکند) ، فرض بر این گردید که مطابق اتاق سرور (server room) یک اتاق توکن (token room) ایجاد میگردد و هر فرد در حالی که نمیتواند توکن نامتقارن خود را به شبکه متصل کند، یک پورت به عنوان بخشی از فضای اتاق توکن را به خود اختصاص دهد (اجاره کند) تا به جای وی در شبکه مورد استفاده قرار بگیرد.

تصویر زیر نحوه شکل گیری ایده کلی ایجاد توکن آرش را نمایان میسازد:

توپولوژی منحصر بفرد توکن آرش

در واقع توکن آرش تشکیل شده است از یک زوج توکن به نحوی که توکن اصلی به صورت متصل به شبکه در داخل یک اتاق توکن (token room) قرار میگیرد و توکن فرعی که در واقع یک شبیه ساز رفتار توکن اصلی است و به صورت غیر متصل در اختیار کاربر نهایی قرار میگیرد. بنابراین، آنچه از رفتار واقعی توکن اصلی با سرور میانی واقعا به صورت توزیع شده و غیر متمرکز در شبکه محاسبه میگردد با نتیجه خروجی شبیه ساز توکن آرش در سمت مشتری نهایی مقایسه شده و امکان احراز هویت کاربر را ممکن میسازد. لازم به توضیح است که اتاق توکن (token room) یک واژه مفهومی است که اشاره به یک سیستم (emulator) برای تعبیه تعداد زیادی توکن نامتقارن به صورت درونسازی (built-in) شده دارد.

تصویر زیر روال کار را با جزئیات کاملتری به نمایش میگزارد:

رقبای توکن آرش

نظر به اهمیت ادغام خاصیت غیر متصل بودن (air-gap) و نامتقارن بودن در یک سیستم احراز هویت، مطالعه لیست اختراعات ثبت شده زیر - که هر کدام به نحوی سعی در حل مسئله داشته اند - خالی از لطف نیست:


• PAT. NO.: 5,768,373 - Assignee: Symantec Corporation (Cupertino, CA) - Title: Method for providing a secure non-reusable one-time password
• PAT. NO.: 7,058,180 - Assignee: Swisscom Mobile AG (Bern, CH) - Title: Single sign-on process
• PAT. NO.: 7,548,620 - Assignee: VeriSign, Inc. (Mountain View, CA) - Title: Token provisioning
• PAT. NO.: 7,930,554 - Assignee: Vasco Data Security,Inc. (Oak Brook Terrace, IL) - Title: Remote authentication and transaction signatures
• PAT. NO.: 8,015,599 - Assignee: Symantec Corporation (Mountain View, CA) - Title: Token provisioning
• PAT. NO.: 8,281,375 - Assignee: eBay Inc. (San Jose, CA) - Title: One time password authentication of websites
• PAT. NO.: 8,468,351 - Assignee: Codesealer APS (Valby, DK) - Title: Digital data authentication
• PAT. NO.: 8,543,829 - Assignee: eBay Inc. (San Jose, CA) - Title: Token device re-synchronization through a network solution
• PAT. NO.: 8,600,056 - Assignee: Apple Inc. (Cupertino, CA) - Title: Method and system for controlling the locking/unlocking of the network access functions
• PAT. NO.: 8,667,285 - Assignee: Vasco Data Security, Inc. (Oakbrook Terrance, IL) - Title: Remote authentication and transaction signatures

قابلیتهای توکن آرش

• پشتیبانی از چندین سرویس دهنده همزمان (Multi-DMZ Support)
• پشتیبانی از انواع روشهای ارتباطی غیر امن همانند تلفنبانک، USSD، SMS و ...
• پشتیبانی از انواع روشهای پرداخت آنلاین و آفلاین همانند ATM، Pin، POS و ...
• احراز هویت و سرویس شبه امضای دیجیتال (Auth & Signature Like)
• امتیاز 100 برای الگوریتمهای ابداعی از آزمایشگاه امنیت (Grade A for Security)
• سامانه چکامه: امضای ضد جعل چک بانکی (Preventing Check Fraud)

همچنین، سیستم آزمایشی کاملی از نحوه عملکرد توکن آرش به صورت آنلاین پیاده سازی شده و از طریق لینکهای زیر میتوانید آنرا مستقیما آزمایش کنید.
توضیح: در صورت نصب نسخه تحت اندروید از توکن آرش، رمز پین ورودی #1234 میباشد. همچنین توکن آزمایشی تحت اندروید برای نام کاربری demo@e-trust.ir کد شده است.

دسترسی سریع

استانداردهای IETF


> RFC - 2104

> RFC - 4226

> RFC - 6287

بازخوردها


> پرداخت از طریق کانال نا امن