مقدمه:

ارگان­ها، سازمان­ها و شرکت­ها از جمله جوامع هدف احراز هویت چند عاملی هستند اما رویکرد آن­ها ممکن است متفاوت باشد. برای مثال رویکرد یک سازمان در یک جامعه ممکن است خدمات زیر ساختی باشد، و امنیت کاربران و کارکنان آن در محیط سازمان بسیار مهم تر باشد. این گونه سازمان­ها معمولا رویکرد تجاری کمتر و یا محدود شده­ای در بین عامه مردم دارند و حریم خصوصی کارکنان آن­ها باید در نهایت امنیت از دسترسی عموم دور بماند، فلذا احراز هویت کاربران (کارکنان) این سازمان­ها باید در بستر زیر ساخت خود سازمان و بدون دسترسی به اینترنت انجام شود. شرکت­های تجاری معمولا به دلیل رویکرد تبلیغاتی و رقابتی بیشتر در بین عموم، خواهان امنیت در سطح اینترنت و دسترسی­های از راه دور هستند چرا که دامنه کاربران آن­ها گسترده تر و عام تر است. دسته­ای از سازمان­ها هم ترکیبی از هردو رویکرد را مطالبه دارند.

احراز هویت چند عاملی با هر رویکردی باید حافظ امنیت و دافع بیشترین خطرات احتمالی باشد. در نتیجه بسیار از سامانه­های ارائه دهنده احراز هویت چند عاملی به دلیل پیچیدگی بالا در پوشش دادن تمامی رویکرد­ها، سرویس­هایی محدود به یکی از رویکرد­های مذکور ارائه می­دهند.

شعار کیپر در همین راستا راه حل جامع احراز هویت چند عاملی  می­باشد.

کیپر با افتخار اعلام می­دارد که تمامی رویکرد­ها رو پوشش می­دهد. در این مقاله قصد داریم به احراز هویت چند عاملی در زیر ساخت امن سازمان و دور از دسترسی به اینترنت  بپردازیم چرا که وجه تمایز کیپر با سایر سامنه­های احراز هویت چندعاملی در این نقطه نمو می­کند. اجزای احراز کننده چند عاملی کیپر:

سرویس دهنده اصلی (Qiper Gate):

سرویس دهنده اصلی بر روی یکی از سرور­های سازمان نصب می­شود و وظیفه اصلی ارسال توکن دریافت باز خورد و قیاس با دامنه کاربری که در Active Directory سازمان قرار دارد را انجام می­دهد. در این لایه ارتباط با دامنه کاربری سازمان با پروتکل LDAP انجام می­شود.

LDAP پروتکلی است که به شما این اجازه را می­دهد که سرویس دهنده ثالث (Third Party) با دامنه اصلی کاربران سازمان که توسط خود سازمان، ساماندهی شده و در Active Directory قرار دارد به سادگی ارتباط برقرار کند. در این سطح همان طور که توضیح داده شد، ارتباط محلی است و هیچ گونه ارتباطی با اینترنت نداریم.

سرویس میز کار کیپر (Qiper Self-Service)

سرویس دهنده کیپر دارای یک وب اپلیکیشن به عنوان میز کار است که با ایجاد یک واسط گرافیکی برای مدیر اصلی، مدیران و کاربر عادی امکان توکن سازی و مدیریت سرویس­های احراز هویت چند عاملی که توسط سرویس دهنده اصلی پشتیبانی می­شود، را به آن­ها می­دهد. این وب اپلیکیشن  در خصوص ارگان­هایی که امنیت بالایی را برای کاربران خود طلب می­کنند برای اینکه دور از دسترسی عام و اینترنت قرار بگیرد، بر روی دامنه­ی داخلی خود سازمان قرار می­گیرد و اصطلاحا عمومی (Public) نمی­شود. در این راستا ارگان می­تواند آدرس این وب اپلیکیشن را در ساده ترین حالت در لیست هاست سرور خود قرار دهد.

نرم افزار اعتبار سنجی کیپر (Qiper CP):

این نرم افزار که بر روی دسکتاپ کاربر نصب می­شود از طریق پروتکل HTTPS و به واسطه یک مرورگر متداول همچون فایرفاکس یا کروم با سرویس دهنده احراز هویت چند عاملی ارتباط برقرار می­کند. این نرم افزار وظیفه ارتباط فرآیند احراز هویت با کاربر را دارد و هنگام ورود به محیط کاربری سیستم عامل ،کاربر را به متد­های احراز هویت چند عاملی با توکن­هایی که از قبل برای کاربر در سرویس دهنده تعریف شده است، مجهز می­کند. این نکته شایان ذکر است که با اینکه فرآیند از طریق وب و پروتکل HTTPS انجام می­شود ولی از طریق وب جهانی (اینترنت) قابل دسترسی نیست و این فرآیند کاملا درون سازمانی انجام می­شود.

عاملیت­های دوم (توکن) پشتیبانی شده توسط کیپر که نیازی به دسترسی به اینترنت ندارند به شرح ذیل می­باشند:

  1. TOTP
  2. HOTP
  3. Push
  4. SMS
  5. Fido2/U2F Security Key

 OTP

یعنی TOTP و HOTP برای ارسال توکن به اپلیکیشن موبایل کاربر (Authenticator) نیازی به دسترسی به اینترنت ندارند. در مورد TOTP توکن بر اساس فریم­های زمانی که  در آن سرویس دهنده و اپلیکیشن موبایل همزمان شده­اند، ساخته و به کاربر ارسال می­شود. در مورد HOTP توکن براساس شمارنده هماهنگ عمل می­کند.

 Push

 به کاربر این امکان را می­دهد که توکن ساخته شده به صورت اتوماتیک بازگذاری و ارسال شود.

SMS

سرویس پیامک (SMS)  توکن را از طریق سرویس دهنده پیامک به موبایل کاربر پیام می­دهد. در این سرویس برای آنکه مکانیزم کاملا درون سازمانی باشد سرویس دهنده پیامک (SMS Center) باید درون سازمان مستقر باشد.

Fido2

تکنولوژی جدیدی است که از رمز نگاری نا متقارن، جفت کلید خصوصی و عمومی و گواهی امضای الکترونیکی بهره می­برد و از لحاظ امنیتی در بالاترین سطح قرار دارد. Fido یک کلید سخت افزاری است که یک جفت کلید خصوصی و عمومی تولید می­کند، کلید خصوصی را در خود ذخیره می­کند و کلید عمومی را در اختیار سرویس دهنده قرار می­دهد. کاربر به هنگام ورود، درخواست ورود با کلید سخت افزاری را از طریق (Qiper CP) به سرویس دهنده ارسال می­کند سرویس دهنده که در ارتباط با دامنه کاربان سازمان است در پاسخ به این درخواست، با توجه به کلید عمومی کاربر، چالشی (challenge) را برای کاربر باز هم از همان طریق (Qiper CP) ارسال می­کند. کاربر برای اثبات حقیقی بودن خود جهت احراز هویت باید در ابتدا به کلید سخت افزاری خود ورود کند. این ورود با یک تدبیر امنیتی همچون وارد کردن Pin ، اثرانگشت و یا حتی فشردن یک دکمه ساده، همراه است. کاربر پس از ورود به کلید، اجازه دسترسی به کلید خصوصی را خواهد داشت و به وسیله آن گواهی امضای الکترونیکی خود را که مجوز ورود او به دامنه کاربری می­باشد را می­سازد و به سرویس دهنده ارسال می­کند. سرویس دهنده نیز این گواهی را بررسی کرده و تصمیم می­گیرد که هویت کاربر را احراز کند یا از دسترسی او جلوگیری کند. نکته مهم در تکنولوژی Fido2 این است که حملات سایبری به سرویس دهنده و دسترسی به کلید عمومی کاربر به تنهایی هویت کاربر را جهت ورود احراز نمی­کند و حتما باید کلید سخت افزاری و طبیعتا کلید خصوصی کاربر هم در دسترس متجاوزین باشد. این امر وقتی که فرآیند احراز هویت از دسترسی اینترنت دور باشد به مراتب سخت تر و احتمال به سرقت رفتن هویت کاربر به صفر نزدیک می­شود.