• طبقه بندی مقالات
    • بررسی احراز هویت الکترونیک در سنگاپور، اتحادیه اروپا و NIST
      بررسی احراز هویت الکترونیک  در سنگاپور، اتحادیه اروپا  و NIST
      مقدمه
      احراز هویت الکترونیک از مجموعه ای از خدمات و راهکارها تشکیل می شود که هدف همگی آنها ایجاد اعتماد و قابلیت ردیابی در تعاملات و تراکنش های بین نقش آفرینان مختلف فضای مجازی نظیر دولت، کسب و کارهای خصوصی و شهروندان هر کشور است. معمولا کشورهای مختلف بنا به خصوصیات ثبت احوال، اسناد و کسب و کارهای ویژه خود، اقدام به تدوین قوانین و پیاده سازی راهکارها و خدمات مربوطه می نمایند. با توجه به افزایش بی رویه خدمات آنلاین و تأثیر آن بر مراودات بین اعضای مختلف جوامع، استفاده از راهکارهای مطمئن برای احراز هویت در این محیط امری ضروری می نماید. در گزارش حاضر نحوه احراز هویت بر اساس مدل ارائه شده توسط موسسه ملی استاندارد و فناوری امریکا (NIST) و مدل های مورد استفاده در سنگاپور و اتحادیه اروپا مورد بررس قرار می گیرد.

      1- فرآیند ثبت و احراز هویت بر اساس مدل احراز هویت الکترونیک NIST
      موسسه NIST در سال 2017 بر اساس تجربیاتی که از اجرای عملیاتی مدل اولیه خود برای احراز هویت الکترونیک کسب کرده بود، اقدام به بروزرسانی آن مدل نمود. بطور کلی این مدل از دو بخش تشکیل شده است. در بخش اول، فرآیند ثبت هویت انجام می شود و بخش دوم، شامل فرآیند احراز هویت است که در ارائه انواع مختلف خدمات مورد استفاده قرار می گیرد. در ادامه اصطلاحات مورد استفاده در این مدل تعریف شده و پس آن فرآیند ثبت و احراز هویت بر اساس مدل مذکور ارائه می شوند[1].

      1-1- تعریف اصطلاحات
      • سطح تضمین هویت (IAL 1): این سطوح، فرآیند ثبت هویت را مشخص می کنند و 3 سطح را شامل می شوند:
      IAL1: در این سطح هیچ نیازی به اتصال هویت مجازی و هویت واقعی فرد وجود ندارد.
      IAL2: در این سطح شواهدی برای بررسی و اثبات هویت مورد ادعا در دنیای واقعی وجود دارد.
      IAL3: در این سطح حضور فیزیکی فرد برای اثبات هویت ضروری است.

      • بررسی کننده 2 هویت خواهان3 را بررسی می کند.
      • خواهان: موجودیتی است که می خواهد احراز هویت شود.
      • مشترک4 : متقاضی ای است فرآیند ثبت هویت آن به طور موفقیت آمیز کامل شده است.
      • متقاضی 5: موجودیتی است که قصد ثبت هویت خود را دارد.
      • ثبت هویت6 فرآیند بررسی موضوع هویت به همراه هویت او در جهان واقع است.
      • طرف های متکی(7 RP) وابسته به CSP و بررسی کننده جهت اعلان اطلاعات مربوط به مشترکین هستند.
      • اداره ثبت (RA 8 ) و مدیر هویت (IM 9) برخی از وظایف CSP را انجام می دهند.
      • ارائه دهنده خدمت گواهینامه (CSP 10) فرآیندهای ثبت نام، ثبت هویت و انتشار را اجرا می کند.
      • سطح تضمین احراز هویت کننده(AAL 11): به فرآیند احراز هویت اشاره دارد و شامل 3 سطح زیر است:
      AAL1: پایین ترین سطح از تضمین احراز هویت است که با استفاده از فناوری های احراز هویت یک یا دو عامله انجام می شود.
      AAL2: سطح بالاتری از احراز هویت را نشان می دهد که با استفاده از پروتکل های احراز هویت پیشرفته تر و مبتنی بر رمزنگاری انجام می شود.
      AAL3: بالاترین سطح احراز هویت است که با استفاده توأمان از کلیدهای رمزنگاری شده نرم افزاری و سخت افزاری تأیید می گردد.

      • سطح تضمین یکپارچگی(FAL 12): یک پروتکل اعلان13 است که در محیط های یکپارچه برای انتقال اطلاعات احراز هویت به RP بکار می رود.

      2-1- فرآیند ثبت هویت
      • متقاضی درخواست ثبت هویت را به CSP تقدیم می کند تا فرآیند ثبت و احراز هویت شروع شود.
      • CSP فرآیند بررسی هویت را انجام می دهد و در صورت تأیید، متقاضی به عنوان مشترک ثبت می شود.
      • CSP و مشترک، احراز هویت کننده/ها و گواهینامه مربوطه را ایجاد می کنند.
      • CSP، گواهی وضعیت آن و داده های مربوط به ثبت را نگهداری می کند و مشترک هم احراز هویت کننده/ها را نگهداری می کند.


      3-1- فرآیند احراز هویت
      • مشترک که از این پس خواهان نامیده می شود، از یک پروتکل احراز هویت برای اثبات تملک و کنترل بر احراز هویت کننده/های خود استفاده می کند.
      • بررسی کننده در تعامل با CSP به اعتبارسنجی گواهی ای می پردازد که برای اتصال هویت مشترک به احراز هویت کننده/ها ارائه شده است. همچنین CSP می تواند از این طریق به مشخصات خواهان دست یابد.
      • بررسی کننده یا CSP نتیجه بررسی را به RP اعلان می کنند و RP از اطلاعات آنها برای تعیین وثوق هویت مشترک استفاده می کند.
      • در مرحله آخر یک نشست احراز هویت شده 14 بین RP و مشترک ایجاد می شود.

      2- چارچوب احراز هویت الکترونیک اروپا
      احراز هویت الکترونیک راهکاری برای تعیین و اثبات هویت افراد و کسب و کارها بصورت آنلاین است و با استفاده از آن می توان به خدمات دولتی نظیر تکمیل فرم های مالیات و اسناد رسمی دسترسی داشت. معمولا eIDها دارای قابلیت امضا هستند تا امکان امضای الکترونیک قراردادها را برای شهروندان ایجاد کنند. تاکنون بیش از 20 کشور اروپایی اقدام به پیاده سازی eID در سطح کشورهای خود نموده اند. استفاده از eID برای کاربران و کسب وکارهای اروپایی داوطلبانه است ولی با توجه به اینکه افزایش روزافزون تعداد خدماتی که بهره مندی از آنها مستلزم استفاده از این شناسه است، روز به روز کاربران بیشتری به استفاده از آن روی می آورند. انتظار می رود در آینده ای بسیار نزدیک علاوه بر خدمات دولتی، بسیاری از خدمات دانشگاه ها، بیمارستان ها و سایر سازمان ها دیگر با استفاده از این شناسه امکان پذیر شود.

      eIDAS یا احراز هویت الکترونیک(ID) و خدمات اعتماد (AS) چارچوبی است 15 که در اروپا برای تضمین اجرای ایمن تعاملات و تراکنش های بین انواع بازیگران مختلف در محیط آنلاین ایجاد شده و ابزارهای امن برای دسترسی به خدمات آنلاین و اجرای تراکنش های الکترونیکی ارائه می دهد[2]. قوانین و مقررات مربوط به این چارچوب در سال 2014 به تصویب اتحادیه اروپا رسیده است. این چارچوب از 6 نوع خدمت تشکیل می شود[3]:

      1. eID: خدمات ثبت و احراز هویت
      2. eSignature: خدماتی که تأیید یک فرد یا موجودیت بر محتوای یک سند یا مجموعه ای از داده ها را نشان می دهد.
      3. eSeal: نوعی تمبر الکترونیکی است که منشأ و یکپارچگی یک سند را تضمین می کند.
      4. eTimestamp: وجود سند در نقاط زمانی مختلف را تأیید می کند.
      5. گواهی صلاحیت احراز هویت مبتنی بر وب(WACs 16): گواهینامه های الکترونیکی هستند که مالکیت فرد یا سازمان بر یک وبسایت را اثبات نموده و به جلوگیری از فیشینگ داده ها کمک می کنند.
      6. eDelivery: خدمتی است که امکان انتقال داده بین کسب وکارها، ادارات عمومی و شهروندان را به شیوه ای فراهم می کند که از طریق آن می توان ارسال و دریافت داده را اثبات نموده و از آن در مقابل ریسک های از دست دادن، سرقت، آسیب و دستکاری داده ها حفاظت نمود.

      در شکل (1-2) فرآیند احراز هویت از طریق eIDAS نشان داده شده است. این فرآیند بدین صورت است که ابتدا کاربر درخواست احراز هویت را به اپلیکیشنی مخصوص این موضوع ارائه می دهد و اپلیکشن مربوطه در تعامل با ارائه دهنده خدمات احراز هویت، هویت وی را تأیید یا رد می کند[4].


      3- احراز هویت الکترونیک در سنگاپور
      SingPass17 یک سیستم احراز هویت برای شهروندان سنگاپوری به منظور انجام تراکنش های آنلاین با بخش دولتی است. با استفاده از شناسه SingPass ID) SingPass ) کاربران می توانند به انواع خدمات دولتی به شیوه ای امن و آسان دسترسی پیدا کنند. کاربران می توانند از طریق اپلیکیشن مخصوص با استفاده از اثر انگشت یا تشخیص چهره، کد 6 رقمی مخصوص، دریافت یک رمز OTP که از طریق پیامک یا یک توکن OneKey (یک سکوی امن تجاری برای کنترل دسترسی در سنگاپور) وارد این سیستم شوند[5].
      دولت سنگاپور در حال ایجاد یک شناسه دیجیتال ملی (NDI 18) به عنوان گسترشی از SingPass است تا تراکنش های آنلاین شهروندان آن راحت تر و امن تر انجام گیرند. این شناسه که از تلفیق سه سامانه SingPass Mobile، MyInfo و MyInfo Business بدست می آید در سال 2020 به بهره برداری عملیاتی خواهد رسید. افراد می توانند با استفاده از NDI تمامی تراکنش های خود با بخش های خصوصی و دولتی را انجام دهند. مشخصات این سامانه ها به شرح زیر است:

      • SingPass Mobile: یک توکن نرم افزاری مبتنی بر رمزنگاری است که خدمات احراز هویت دو عامله (2FA 19)، تشخیص اثر انگشت و چهره و گذرواژه 6 رقمی را به منظور استفاده کاربران از خدمات دولتی ارائه می دهد. این سامانه پس از گذشت چهار ماه از شروع به کار آن، دارای بیش از 200 هزار کاربر فعال است.
      • My Info: سامانه ای است که خدمت “Tell us Once” ارائه می دهد. بدین معنی که کاربران فقط یک بار اطلاعات مربوط به خود را در این سامانه وارد می کنند تا ارزیابی شود. پس از آن در استفاده از هیچ یک از خدمات دولتی نیازمند ورود مجدد این اطلاعات و ارزیابی آن نخواهند بود و می توانند از این اطلاعات در تمامی خدمات دولتی استفاده کنند.احراز هویت در این سامانه با استفاده از SingPass ID انجام می شود.
      • MyInfo Business: این سامانه گسترش یافته MyInfo به منظور انجام تعاملات بین کسب وکارها با هویت مورد تأیید دولت است.

      پی نوشت:

      1. Identity Assurance Level
      2. Verifier
      3. claimant
      4. Subscriber
      5. Applicant
      6. Identity Proofing
      7. Relying Parties (RPs)
      8. Registration Authority
      9. Identity Manager
      10.Credential Service Providers
      11.Authenticator Assurance Level
      12.Federation Assurance Level
      13.Assertion Protocol
      14.authenticated session
      15.Electronic Identification (eID) and Trust Services (AS)
      16.Website Authentication Certificates (WACs)
      17.Singapore Personal Access
      18.National Digital Identity (NDI)
      19. 2-Factor Authentication


      کلمات کلیدی

      شورای عالی فضای مجازی ، مرکز ملی فضای مجازی ، معاونت راهبری فنی ، احراز هویت الکترونیک ، سنگاپور ، اتحادیه اروپا ، NIST

      منبع اصلی مقاله

      [1]. https://www.cryptomathic.com/news-events/blog/overview-of-the-nist-digital-identity-model-compared-to-eidas
      [2]. https://www.eid.as/home/#preamble
      [3]. https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=53865
      [4]. https://www.bleepingcomputer.com/news/security/europes-electronic-id-system-fixed-against-impersonation-risk/
      [5]. https://www.tech.gov.sg/files/media/media-releases/2019/May/Annex%20C%20Factsheet%20-%20National%20Digital%20Identity.pdf

      منبع درج


      منابع




      نظر کاربران
      نام:
      پست الکترونیک:
      شرح نظر:
      کد امنیتی:
       
تمامی حقوق برای مرکز ملی فضای مجازی محفوظ است. هر گونه کپی‌برداری از مطالب با ذکر منبع بلامانع است.