2. موضوعات
نیاز
بازیگران اصلی
- فراه مکنندگان خدمات آنلاین
- اپراتورهای تلفن همراه
- دولت و حاکمیت
مروری اجماالی بار مفااهیم انااانداردهای
)ETSI MSS ( امضا با موبایل
چگااونگی ایفااای نلاای کلیاادی توناا
نیم کارت و زیرناخت شبک های اپراتور
چگونگی بکارگیری تون کاربر
2
3. ذی نفعان کلیدی
فراهم کننده خدمات آنلاین
خدماتی نظیر پرداخت و بانکداری اینارنای
پایگا ههای ارائه خدمات به مشاریان
اپراتور تلفن همراه
زیرناخت شبکه
مشارکین
دولت و حاکمیت
خدمات همگانی بیی از پیی مبانی بر وب خواهد شد.
احراز هویت به شکل دو عامله، مبانی بر امضای الکارونیکی و با انافاده از تلفن همراه
افراد انجام خواهد شد.
مشاری
کاربرانی که از ارز شهای افزوده بهره م یگیرند.
3
5. محر کهای کلیدی فراهم کننده خدمات آنلاین
احراز هویت از طریق کانالی مجزا از کانال ارائه خدمت
غیر ممکن نازی حملاتی نظیر مرد میانی و یا فیشینگ و ...
5
6. محر کهای کلیدی فراهم کننده خدمات آنلاین
توافلات قانونی الزا مآور از طریق بکارگیری تلفن همراه
انکارناپذیری توافلات
6
7. تحلیلی بر روش های مختلف امنیتی
توکن رمز ی کبار مصرف رمز ی کبار مصرف از طریق پیامک امضای همراه PIN/TAN لیست
ابزار مورد نیاز
لیست های مافاوت که از طریق فاراهم
کنناادگان کاااربرد، ماادیریت و صااادر
می گردد.
چند توکن که هر کدام تونا یا
فراه مکنناااده کااااربرد، مااادیریت
می گردد.
ی گوشی تلفن همراه معمولی
ی گوشی تلفن همراه کاه از طریاق یا نای مکارت
هوشاامند و یااا بااه روشاای دیگاار، از زیرناااخت کلیااد
عمومی پشایبانی کند.
قابلیت بکارگیری در چند کاربرد
مختلف
فل قابل اناافاده در حاوزه خادمات
کاربردی فراه مکننده مربوطه
فل قابل انافاده در حوزه خادمات
کاربردی فراه مکننده مربوطه کلیه کاربردها کلیه کاربردها
عملیاتی که شهروند می بایست
انجام دهد.
وارد نمودن مجدد کد رمز جدید بارای
هر بار اناافاده باه صاورت دناای در
پایانه
وارد نمودن مجادد کاد رماز جدیاد
باارای هاار بااار انااافاده بااه صااورت
دنای در پایانه
وارد نمودن مجدد کد رماز جدیاد
برای هار باار اناافاده باه صاورت
دنای در پایانه
وارد نمودن رمز شخصی در تلفن همراه
نیازمند یهای قابل حمل لیست رمزهای عبور )ت منظوره( یست رمزهای عبور )ت منظوره( تلفن همراه تلفن همراه
هزینه خدمات پشتیبانی مشتری بر عهده فراهم کننده کاربرد انت. بر عهده فراهم کننده کاربرد انت. بر عهده اپراتور تلفن همراه انت. بر عهده اپراتور تلفن همراه انت.
محدودی تهای بکارگیری
قاباال کپی باارداری و نیازمنااد صاادور
مجدد انت. حملات فیشاینگ و مارد
میانی
تمااام شاادن باااطری، ب هروزرنااانی
پی نکدها، نایر مسائل پشایبانی دنارنی به شبکه تلفن همراه
دنارنی به شبکه تلفن همراه، معابار باودن گاواهی
الکارونیکی ماورد اناافاده، پشاایبانی نایم کارت یاا
تلفن همراه از زیرناخت کلید عمومی
منظوره( گران )ت منظوره( بدون هزینه تمدید یا صدور مجدد گواهی الکارونیکی کاه معماو به صورت نا نًه انجام می شود.
هزین ههای گسترش هزینااه های مااداوم و تکااراری )تاا
7
8. مقایسه روش های مختلف احراز هویت بر اساس هزینه
روش احراز هویت
لیست
PIN/
TAN
رمز یکبار
مصرف
امضا بر روی
موبایل
توکن
سخت افزاری
توکن
نرم افزاری
کارت
هوشمند
100 € 50 € 35 € 12 € 15 € هزینه انافاده در نال € 13
LOW MEDIUM LOW HIGH MEDIUM LOW قابلیت بکارگیری
Source: Entrust and MSS business model security cost analyze, 10000 users, 3 year period 8
9. منافع فراهم کننده خدمات آنلاین
افزایی نطح امنیای
امنیت دو عامله
کاهی هزینه ها
عدم وابساگی به وجود ی توکن یا کارت
هوشمند
نیاز کمار به صرف هزین ههای مدیریت و
نگهداری
ارتلای خدمات از طریق کاهی هزینه
تراکن یها
ایجاد ظرفیت جهت بازگشت بیشار نرمایه
خدمات ارزش افزوده
کنارل مجوز برای نهادهای ثالث
افزایی نهولت برای مشاریان
افزایی ضریب نفوذ موبایل
نادگی تعامل برای کاربر
کانال مشارک
ی روش مشارک احراز هویت برای کلیه نلاط
دنارنی، مانند اینارنت، موبایل، تلویزیون
دیجیاال و ...
تراکن یهای مشارک
ی روش مشارک برای انجام انواع مخالف
تراکن یها، مانند ورود به نیسام، پرداخت،
گردش کار، تاییدیه، امضا و ...
امنیت برای همه بخی ها
شنانایی مشاریان
شنانایی فراه مکنندگان خدمات آنلاین
حفظ محرمانگی
عدم امکان انکار ی تراکنی
9
11. نیازها
اپراتورها پس از نرمایه گذاری های ننگینی کاه در ناال های
اخیر جهت تونعه شبکه، رقابات و نیاز ارتلاای نسال، مانناد
انالرار تلفن همراه نسل نوم، عمیلا نیاز به جریان بازگشات
نرمایه دارند.
اباکار و نوآوری در خلق خدمات ارزش افزوده تنهاا راه ایجااد
این جریان انت.
خدمات باید ی بازار انباوه را پشاایبانی کنناد. بطاور مثاال
حوزه حاکمیای و حوزه مال و اقاصادی
گاهی اوقات، انالال و یا تغییر تعادادی زیاادی شاماره تلفان
ممکن انت باعث ایجاد ی دردنر بزگ شود.
11
12. محر کهای کلیدی
امکان ارائه طیف گسارد های از نرویس های امنیای
مشاریان تجاری و مصر فکننده
12
13. محر کهای کلیدی
ی نیم کارت که بر روی آن گواهی الکارونیکی و کلیاد نصاب
شده باشد، باعث کاهی احامال تغییر اپراتور تلفن همراه تون
مشاری می شود.
13
14. Mobile PKI
زیرناخت کلید عمومی را هحل فنی ایده آل رفع این نیاز انت.
هر کس ی تلفن همراه )نیم کارت( دارد.
بنابراین پیاد هنازی زیرناخت کلید عمومی روی نی مکارت راه حل
ایده آل انت.
Mobile PKI زیرناخت کلید عمومی بر روی موبایل با عناوان
شناخاه شده انت. Wireless PKI و یا
تنها ی توانمند نااز بارای ایان گوناه خادمات Mobile PKI
انت.
14
16. محر کهای کلیدی
هرگونه خدمات شهروندی قابل ارائه تون دولت ممکان انات
باواند از طریق وب ارائه شود.
هر نرویسی که شامل اطلاعات حساس باشد )مالی، نالامت و
...( نیازمند ی شیوه احراز هویت مساحکم انت.
PKI بطور مثال کارت ملی شهروندی افاراد م یتواناد مبانای بار
باشد.
16
17. تجرب ههای موفق در اروپا
2006 Manchester Declaration, setting objectives for a EU eIDM
interoperability and mutual recognition of national eIDM
2007 Common spesifications for interoperable EIDM and call for
large scale pilots
2008 Large scale pilots of eIDM in cross-border services
2009 eSignatures in eGovernment, undertake review of take-up
in public services
2010 Review the uptake by the Member States, interoperable
eIDM at work
Countries in piloting phase:
Austria/Belgium (leading countries), UK, Germany, Italy, Poland,
Netherlands, Portugal, Malta, Estonia + possibly others
17
19. Mobile PKI
در نال 2000 هنوز هیچ اناانداردی در این زمینه وجود نداشت.
،)ETSI( اولااین بااار در نااال 2002 ، مونسااه اناااانداردهای مخااابراتی اروپااا
اناانداردهایی نظیر اناانداردهای زیر مناشر شد:
نیازمندی های کسب و کار و عملیاتی( ( ETSI TR 102 203
چارچوب امنیای( ( ETSI TR 102 206
رومینگ( ( ETSI TS 102 207
وان وب( ( ETSI TS 102 204
خصوصیات وان نیم کارت( ( ETSI TS 100 977
الگوریام و پارمارهای امضای الکارونیکی( ( ETSI SR 002 176
وان برنامه نویسی نیم کارت( ( ETSI TS 131 130
و ...
در حااال حاضاار کلیااه را هح لهااای پیاده نااازی شااده، خااود را باار اناااس
ارتلا داد هاند. ETSI اناانداردهای
19
20. Mobile PKI / MSS
SMSC
WAP/OMA
OTA Server
Client
X
Client X
WIB VPN
Mobile Access
Web pages Content Signing
Customer Care and Billing
DB
LDAP
Certificates
CA
CA
Online Bank
Web Shops
3D Security Server
(MSSP)
20
21. سهولت و سادگی احراز هویت
تمام چیزی که برای احراز هویات خاود
نیاز داریاد عباارت انات از یا عادد
نی مکارت!
Insert your
Authentication
PIN code:
****
21
22. الزام آوری قانونی
انجام توافلات قانونی از طریق تلفن همراه
انکارناپذیری
شنانایی رنمی اشخاص حلیلی و حلوقی
Insert your
Signature PIN
code:
******
22
23. PKI پنهان سازی پیچیدگی های
و زیرناااخت کلیااد عمااومی مخالااف CA پشااایبانی از چناادین
بصورت همزمان
عدم نیاز به هیچ فناوری یا نیانت گذاری
23
24. ETSI MSS
مبانی بر چهاار )ETSI MSSP( اناانداردهای فراهم کننده خدمات امضای موبایل
موجودیت زیر انت:
به ی کلاینت مجزا و اخاصاصی اخاصاص دارد( ( Home Entity
بدنت آورنده امضا( ( Acquiring Entity
فراه مکننده رومینگ در بین شبکه های اپراتورهای مخالف( ( Routing Entity
که ممکن انت با با موجودیت اول یا دوم ادغام شود.( ( Verification Entity
هر ی از این موجودیت ها می توانند باا هام ادغاام شاوند و یاا بصاورت مجازا
پیاده نازی شوند.
در برگیرناااده وانااا های باااین موجودی تهاااا و بااارای ETSI انااااانداردهای
یکپارچه نازی هر کاربردی که از امضا بر روی موبایل انافاده می کند، هساند.
24
25. ETSI خصوصیات نق شها در استاندارد 102
Relying
Party
Service Provider
ETSI 102 204
WEB interface
ETSI 102 207
Roaming
MSS
Acquiring
Entity
Relying
Party
Service Provider
MSS
Acquiring
Entity
MSS
Roaming
Entity
MSS
Roaming
Entity
CA Registration processes
CA Registration processes
MSS
HOME
Entity
MSS
HOME
Entity
SIM
SIM
CA Registration processes
CA Registration processes
GW
DP
OTA
WAP
gateway
PPG
GW
OTA
DP
WAP
gateway
PPG
25
26. MSSP رومینگامضا در
ض ل ع ی ف لغی ل
MSS Mesh
ض ل ع ی ف لغی ل Home
MSSP
Acquiring
Entity
Routing
Entity
سی ل ضققگل
یقن
Verification
Entity
Verification
Entity
102 204
Acquiring
Entity
102 207
Routing
Entity
Home
MSSP
غیض بگقی طل ل ن عض یقفهض ن
Acquiring
Entity
Routing
Entity
Verification
Entity
LDAP, CRL/OSCP
غیض بگقی طل ل ن عض یقفهض ن
غیض بگقی طل ل ن عض یقفهض ن
102 207
26
28. راه حل زیربنایی
SMSC
OTA Server VMAC
WAP/OMA
VMAC
WIB
Mobile Access VPN
Content Signing
Web pages
Customer Care and Billing
DB
LDAP
Certificates
CA
CA
نق یف ف
سیق ظ ل نق یف ن
3D Security Server
Validator
Messaging
Server
Registration
Server
iD Server
MSSP SDK
28
29. نقش کلیدی اپراتورهای تلفن همراه
امضاا در Hash همه چیز از نیم کارت، جایی که زوج کلیدها و
ی فضای حفاظت شده نگهداری م یشوند، شروع می شود.
از نظر فنای تنهاا اپراتورهاای تلفان هماراه م یتوانناد مجاوز
دنارنی به نیم کارت ها را داشاه باشند.
الباه نازندگان تلفن همراه نیز م یتوانند ی فضای محافظت
شده ای را در قالب ی تراشاه فاراهم کنناد تاا از آن جهات
نگهداری زوج کلید انافاده شود. اماا ایان در دنیاا باه د یًال
تجاری مرنوم نشده انت.
29
30. صدور گواهی و زوج کلید
تراشه داخل نی مکارت دربرگیرناده کلیاد خصوصای معماو تونا
اپراتور تلفن همراه صادر م یشود.
هویت مال نی مکارت بر اناس اطلاعات گاواهی وی کاه در مراکاز
صدور گواهی ثبت شده انت، تعیین می گردد.
گواهی های الکارونیکی بار روی نایم کارت قارار نمی گیرناد. بلکاه از
طریق مخزن مرکز صدور گواهی مناشر م یشوند.
30
32. احراز هویت در بانکداری الکترونیکی
1. کاربر نهایی با نام کاربری خود به نایت بان مراجعه م یکند.
از طریاق اپراتاور WPKI 2. نیسام بان ی درخوانت احراز هویت را بر اناس شماره تلفن همراه کاربر بارای
تلفن همراه ارنال م یکند.
3. کاربر پی نکد را در تلفن همراه خود وارد می کند.
4. به کاربر اجازه ورود به نایت بان داده م یشود.
32
33. اعتبارسنجیتراکنش در بانکداری الکترونیکی
از طریاق WPKI 1. بان درخوانت اعابارننجی را برای نارویس
اپراتور تلفن همراه ارنال م یکند.
2. پردازش امضا می بایست بصورتی شفاف باشد که هماان چیازی
WYSIWYS (what you see . که دیده م یشود، امضا شاود
is what you sign)
33
34. یک سناریو جهت را هاندازی زیرساخت
شبکه تلفن همراه
PKI-enabled
Mobile Phone
حیطه اپراتور تلفن همراه
Validator - MSSP
(Acquiring)
End User
Notebook
iD Server Financial
شبکه بانک
MSS XML-messages
using SOAP over HTTP
Validator - MSSP
(Home)
MSS XML-messages
using SOAP over HTTP
(SSL-secured)
Internet Bank System
Application Provider in
ETSI terminology
مشترک تلفن همراه
34
35. مدل گردش کار بین موجودی تها
کاربر نهایی
فراهم کننده سرویس آنلاین
iD Server
Validator
MSSP
نایت برنامه کاربردی
اپراتور تلفن همراه
مرکز صدور
گواهی
مخزن گواهی
Messaging
Server
گردش کار جهت احراز
هویت
پایگاه داده کاربران
گردش کار جهت ثبت نام
Registration
Server
35
36. تلفن همراه ی ونیله مطمئن انت که
در هرجا و هر وقت جهت دنارنی به اطلاعات تجاری،
اعاباری و شخصی قابل انافاده انت.
با سپاس
36