Network Security Essentials

‫‪www.NetSimulate.
net‬‬ ‫ﺳﺎﯾﺖ ﻧﺖ ﺳﯿﻤﻮﻟﯿﺖ ‪ -‬ﻣﺮﺟﻊ ﺷﺒﯿﻪ ﺳﺎزي ﺷﺒﮑﻪ ﻫﺎي ﮐﺎﻣﭙﯿﻮﺗﺮي و ﻣﺨﺎﺑﺮاﺗﯽ‬
‫ﺍﺻﻮﻝ ﺍﻣﻨﻴﺖ‬
‫ﺷﺒﻜﻪﻫﺎﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ‬
‫ﻛﺎرﺑﺮدﻫﺎ و اﺳﺘﺎﻧﺪاردﻫﺎ‬
‫ﻭﻳﺮﺍﻳﺶ ﺳﻮّﻡ )‪ ۲۰۰۷‬ﻣﻴﻼﺩﻱ(‬
‫ﺍﺛﺮ‪William Stallings :‬‬
‫ﺗﺮﺟﻤﺔ‪ :‬ﻣﺴﻌﻮﺩ ﻣﻮﺣّﺪ‬

‫ﻣﺪﺭّﺱ‬
‫ﻣﺮﻛﺰ ﺁﻣﻮﺯﺵ ﺷﺮﻛﺖ ﻣﺨﺎﺑﺮﺍﺕ ﺍﻳﺮﺍﻥ‬
‫ﻭ‬
‫ﺩﺍﻧﺸﻜﺪﺓ ﻋﻠﻤﻲ_ﻛﺎﺭﺑﺮﺩﻱ ﭘﺴﺖ ﻭ ﻣﺨﺎﺑﺮﺍﺕ‬
‫‪www.NetSimulate.net‬‬ ‫ﺳﺎﯾﺖ ﻧﺖ ﺳﯿﻤﻮﻟﯿﺖ ‪ -‬ﻣﺮﺟﻊ ﺷﺒﯿﻪ ﺳﺎزي ﺷﺒﮑﻪ ﻫﺎي ﮐﺎﻣﭙﯿﻮﺗﺮي و ﻣﺨﺎﺑﺮاﺗﯽ‬
‫در ﺑﺎﺭﺓ ﻧﻮﻳﺴﻨﺪﻩ ‪:‬‬

‫‪ William Stallings‬ﺩﺍﺭﺍﻱ ﻟﻴﺴﺎﻧﺲ ﻣﻬﻨﺪﺳﻲ ﺑﺮﻕ ﺍﺯ ﺩﺍﻧﺸﮕﺎﻩ ‪ Notre Dame‬ﻭ ﺩﺭﺟـﺔ ‪Ph.D.‬‬
‫ﺍﺯ ﺩﺍﻧﺸﮕﺎﻩ ‪ M.I.T.‬ﻛﺸﻮﺭ ﺍﻣﺮﻳﻜﺎﺳﺖ‪ .‬ﺧﻼﻗﻴﺖﻫﺎﻱ ﺍﻭ ﺍﺛـﺮﺍﺕ ﻣﻨﺤـﺼﺮﺑﻔﺮﺩﻱ ﺩﺭ ﻓﻬـﻢ ﺷـﺒﻜﻪﻫـﺎﻱ‬
‫ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﻭ ﻣﻌﻤﺎﺭﻱ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺩﺍﺷﺘﻪ ﺍﺳﺖ‪ .‬ﻭﻱ ﻣﺆﻟﻒ ‪ ۱۷‬ﻛﺘﺎﺏ ﺩﺭ ﺯﻣﻴﻨـﻪﻫـﺎﻱ ﻋﻠـﻮﻡ ﻛـﺎﻣﭙﻴﻮﺗﺮ‬
‫ﺍﺳﺖ ﻛﻪ ﻫﺮﻛﺪﺍﻡ ﺑﺎﺭﻫﺎ ﺗﺠﺪﻳﺪ ﭼﺎﭖ ﺷﺪﻩﺍﻧﺪ‪ .‬ﺩﺭ ‪ ۲۰‬ﺳﺎﻝ ﮔﺬﺷﺘﻪ ﻭﻱ ﻣﺪﻳﺮ ﭼﻨﺪﻳﻦ ﻣﺆﺳﺴﺔ ﻓﻨـﻲ ﻭ‬
‫ﺗﺤﻘﻴﻘﺎﺗﻲ ﺑﻮﺩﻩ ﻭ ﺩﺭ ﺣﺎﻝ ﺣﺎﺿﺮ ﻳﻚ ﻣﺸﺎﻭﺭ ﻣـﺴﺘﻘﻞ ﺍﺳـﺖ ﻛـﻪ ﻣـﺸﺘﺮﻳﺎﻥ ﺍﻭ ﻛﺎﺭﺧﺎﻧﺠـﺎﺕ ﺳـﺎﺯﻧﺪﺓ‬
‫ﻛﺎﻣﭙﻴﻮﺗﺮ ﻭ ﺗﺠﻬﻴﺰﺍﺕ ﺷﺒﻜﻪ‪ ،‬ﺗﻮﻟﻴﺪﻛﻨﻨﺪﮔﺎﻥ ﻧﺮﻡﺍﻓﺰﺍﺭ ﻭ ﻣﺆﺳﺴﺎﺕ ﺛﺤﻘﻴﻘـﺎﺗﻲ ﺑﺮﺟـﺴﺘﻪ ﺩﻭﻟـﺖ ﺍﻣﺮﻳﻜـﺎ‬
‫ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﻧﺎﻣﺒﺮﺩﻩ ﻫﻔﺖ ﺑﺎﺭ ﺑﺮﻧﺪﺓ ﺟﺎﻳﺰﺓ ﺑﻬﺘﺮﻳﻦ ﻛﺘﺎﺏﻫﺎﻱ ﺩﺍﻧﺸﮕﺎﻫﻲ ﻋﻠﻮﻡ ﻣﻬﻨﺪﺳﻲ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑـﻮﺩﻩ‬
‫ﺍﺳﺖ‪.‬‬
‫‪ Stallings‬ﺳﺎﻳﺖ ﻣﺮﺟﻊ ﺩﺍﻧﺸﺠﻮﻳﺎﻥ ﺭﺷﺘﺔ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑـﺎ ﺁﺩﺭﺱ ‪WilliamStallings.com/StudentSupport/html‬‬
‫ﺭﺍ ﺧﻠﻖ ﻛﺮﺩﻩ ﺍﺳﺖ ﻛﻪ ﺍﺳﻨﺎﺩ ﻭ ﻟﻴﻨﻚﻫﺎﻱ ﺑﺴﻴﺎﺭ ﻣﺘﻨﻮﻋﻲ ﺩﺭ ﺯﻣﻴﻨﻪﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻋﻠﻮﻡ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﺑـﺮﺍﻱ ﺍﻓـﺮﺍﺩ ﺁﻣـﺎﺗﻮﺭ ﻭ ﺣﺮﻓـﻪﺍﻱ‬
‫ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﺍﻭ ﻋﻀﻮ ﻫﻴﺌﺖ ﺗﺤﺮﻳﺮﻳﺔ ﻣﺠﻠﺔ ‪ Cryptologia‬ﺍﺳـﺖ ﻛـﻪ ﺁﺧـﺮﻳﻦ ﺩﺳـﺘﺎﻭﺭﺩﻫﺎﻱ ﻋﻠـﻢ ﺭﻣﺰﺷﻨﺎﺳـﻲ ﺭﺍ ﻋﺮﺿـﻪ‬
‫ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺩﺭﺑﻴﻦ ﻛﺘﺎﺏﻫﺎﻱ ﺍﻭﻛﺘﺎﺏ ‪، Data and Computer Communications‬ﻛﻪ ﺍﺧﻴﺮﺍﹰ ﻭﻳﺮﺍﻳﺶ ﻫﺸﺘﻢ ﺁﻥ ﺑﭽﺎﭖ ﺭﺳﻴﺪﻩ‬
‫ﺍﺳﺖ‪ ،‬ﺑﻌﻨﻮﺍﻥ ﻛﺘﺎﺏ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻳﻦ ﺭﺷﺘﻪ ﺩﺭ ﺳﺮﺍﺳﺮ ﺩﻧﻴﺎ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺩﺭ ﺑﺎﺭﺓ ﻣﺘﺮﺟﻢ ‪:‬‬

‫ﻣﺴﻌﻮﺩ ﻣﻮّﺣﺪ ﺩﺍﺭﺍﻱ ﻓﻮﻕ ﻟﻴﺴﺎﻧﺲ ﻣﻬﻨﺪﺳﻲ ﺑﺮﻕ ﻭ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺍﺯ ﺩﺍﻧﺸﻜﺪﺓ ﻓﻨـﻲ ﺩﺍﻧـﺸﮕﺎﻩ ﺗﻬـﺮﺍﻥ ﻭ‬
‫ﺩﺭﺟﺔ ‪ D.Eng.‬ﺩﺭ ﺭﺷﺘﺔ ﻣﺨﺎﺑﺮﺍﺕ ﺍﺯ ﺩﺍﻧﺸﮕﺎﻩ ‪ George Washington‬ﻛﺸﻮﺭ ﺍﻣﺮﻳﻜﺎﺳﺖ‪ .‬ﻭﻱ ﺍﺯ‬
‫ﺳﺎﻝ ‪ ۱۳۵۸‬ﺑﻪ ﺧﺪﻣﺖ ﺷﺮﻛﺖ ﻣﺨﺎﺑﺮﺍﺕ ﺍﻳﺮﺍﻥ ﺩﺭﺁﻣﺪﻩ ﻭ ﺗﺎ ﻛﻨﻮﻥ ﺿﻤﻦ ﺗـﺼﺪﻱ ﻣـﺸﺎﻏﻞ ﻣﺨﺘﻠـﻒ‬
‫ﻣﺪﻳﺮﻳﺖ ﺁﻣﻮﺯﺷﻲ‪ ،‬ﺑﻪ ﺗﺪﺭﻳﺲ ﺩﺭ ﺯﻣﻴﻨﻪﻫﺎﻱ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻭ ﻣﺨﺎﺑﺮﺍﺕ ﻣـﺸﻐﻮﻝ ﺑـﻮﺩﻩ ﺍﺳـﺖ‪ .‬ﻧـﺎﻣﺒﺮﺩﻩ‬
‫ﻫﻤﭽﻨﻴﻦ ﺑﻤﺪﺕ ﭼﻬﺎﺭﺳﺎﻝ ﺭﺋﻴﺲ ﻣﺮﻛﺰ ﺁﻣﻮﺯﺵ ﻭ ﻣﺠﺮﻱ ﻃﺮﺡﻫـﺎﻱ ﺁﻣﻮﺯﺷـﻲ ﺷـﺮﻛﺖ ﻣﺨـﺎﺑﺮﺍﺕ‬
‫ﺍﻳﺮﺍﻥ ﺑﻮﺩﻩ ﻭ ﺑﻄﻮﺭ ﻫﻤﺰﻣﺎﻥ ﺳﺮﭘﺮﺳﺘﻲ ﺩﺍﻧﺸﻜﺪﺓ ﭘﺴﺖ ﻭ ﻣﺨـﺎﺑﺮﺍﺕ ﻭﺍﺑـﺴﺘﻪ ﺑـﻪ ﻭﺯﺍﺭﺕ ﺍﺭﺗﺒﺎﻃـﺎﺕ ﻭ‬
‫ﻓﻨﺎﻭﺭﻱ ﺍﻃﻼﻋﺎﺕ ﺭﺍ ﺑﻌﻬﺪﻩ ﺩﺍﺷﺘﻪ ﺍﺳﺖ‪.‬‬
‫ﻧﺎﻣﺒﺮﺩﻩ ﺩﺭ ﺣﺎﻝ ﺣﺎﺿﺮ ﺩﺭ ﺯﻣﻴﻨﺔ ﻣﺨﺎﺑﺮﻩ ﻭ ﺍﻧﺘﻘﺎﻝ ﺩﺍﺩﻩﻫﺎ‪ ،‬ﺷﺒﻜﻪﻫﺎﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﻭ ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﻣﺴﺎﺋﻞ ﺍﻣﻨﻴﺘﻲ ﺷـﺒﻜﻪﻫـﺎ ﻭ‬
‫ﺍﻳﻨﺘﺮﻧﺖ ﺑﻪ ﺗﺪﺭﻳﺲ ﻭ ﺗﺤﻘﻴﻖ ﺍﺷﺘﻐﺎﻝ ﺩﺍﺭﺩ‪ .‬ﻭﻱ ﻛﺘﺎﺏ ﺣﺎﺿﺮ ﺭﺍ ﺑﺎﺭﻫﺎ ﺩﺭ ﺩﻭﺭﻩﻫﺎﻱ ﺿﻤﻦ ﺧﺪﻣﺖ ﻛﺎﺭﺷﻨﺎﺳﺎﻥ ﺷﺮﻛﺖﻫـﺎﻱ ﻭﺍﺑـﺴﺘﻪ‬
‫ﺑﻪ ﻭﺯﺍﺭﺕ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺗﺪﺭﻳﺲ ﻧﻤﻮﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﺑﻨﺎﻡ ﺁﻓﺮﻳﻨﻨﺪﺓ ﺍﻧﺪﻳﺸﻪﻫﺎﻱ ﮊﺭﻑ‬
‫ﺍﮔﺮﭼﻪ ﺗﺮﺟﻤﺔ ﺍﻳﻦ ﻛﺘﺎﺏ ﺭﺍ ﺍﺯ ﻣﺪﺕﻫﺎ ﻗﺒﻞ ﺁﻣﺎﺩﻩ ﻛﺮﺩﻩ ﺑﻮﺩﻡ ﻭﻟﻲ ﺍﻧﺘـﺸﺎﺭ ﺁﻥ ﺭﺍ ﺑـﻪ ﺩﻭ ﺩﻟﻴـﻞ ﺑـﻪ‬
‫ﺗﻌﻮﻳﻖ ﺍﻧﺪﺍﺧﺘﻢ‪ .‬ﺍﻭﻝ ﺍﻳﻨﻜﻪ ﭼﻨﺪﻳﻦ ﺑﺎﺭ ﺁﻥ ﺭﺍ ﺗﺪﺭﻳﺲ ﻛﻨﻢ ﺗﺎ ﺿﻤﻦ ﻛـﺴﺐ ﺗﺠﺮﺑـﻪ‪ ،‬ﺑـﺎ ﺍﺳـﺘﻨﺒﺎﻁ ﻧﻮﻳـﺴﻨﺪﺓ‬
‫ﻣﺤﺘﺮﻡ ﺩﺭ ﻣﻮﺭﺩ ﻣﻄﺎﻟﺐ ﻛﺘﺎﺏ ﺑﻴﺸﺘﺮﺁﺷﻨﺎ ﺷﻮﻡ ﻭ ﺩﻭﻡ ﺍﻳﻨﻜﻪ ﻭﻳﺮﺍﻳﺶ ﺳـﻮﻡ ﺍﻳـﻦ ﻛﺘـﺎﺏ ﻛـﻪ ﺑـﺮﺍﻱ ﺳـﺎﻝ‬
‫‪ ۲۰۰۷‬ﻣﻴﻼﺩﻱ ﺁﻣﺎﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ﺑﻪ ﺑﺎﺯﺍﺭ ﺁﻳﺪ ﺗﺎ ﺁﺧﺮﻳﻦ ﺗﻐﻴﻴﺮﺍﺗﻲ ﻛﻪ ﻣﺆﻟﻒ ﻣﺤﺘﺮﻡ ﺩﺭ ﻣﺘﻦ ﻛﺘﺎﺏ ﺍﻋﻤـﺎﻝ‬
‫ﻧﻤﻮﺩﻩﺍﻧﺪ ﺭﺍ ﻧﻴﺰ ﺩﺭ ﻣﺘﻦ ﺗﺮﺟﻤﻪ ﺷﺪﻩ ﻭﺍﺭﺩ ﻧﻤﺎﻳﻢ‪ .‬ﺍﻛﻨﻮﻥ ﻛﻪ ﺍﻳﻦ ﺩﻭ ﺍﻣـﺮ ﺣﺎﺻـﻞ ﺷـﺪﻩ ﺍﺳـﺖ‪ ،‬ﺧﺪﺍﻭﻧـﺪ ﺭﺍ‬
‫ﺷﺎﻛﺮﻡ ﻛﻪ ﺑﻤﻦ ﺗﻮﻓﻴﻖ ﺩﺍﺩ ﺗﺎ ﮔﺎﻣﻲ ﺑﺴﻴﺎﺭ ﻛﻮﭼﻚ ﺩﺭ ﻭﺍﺩﻱ ﺑﺴﻴﺎﺭ ﺑﺰﺭﮒ ﺍﻣﻨﻴـﺖ ﺷـﺒﻜﻪ ﺑـﺮﺩﺍﺭﻡ‪ .‬ﺍﺯ ﻛﻠﻴـﺔ‬
‫ﺩﺍﻧﺸﺠﻮﻳﺎﻧﻲ ﻛﻪ ﺩﺭ ﻛﻼﺱ ﺩﺭﺱ ﺑﺎ ﺭﺍﻫﻨﻤﺎﺋﻲﻫﺎﻱ ﺍﺭﺯﻧﺪﺓ ﺧﻮﺩ ﻣﺸﻮﻕ ﻣﻦ ﺩﺭ ﺍﻳﻦ ﺍﻣﺮ ﺑﻮﺩﻩﺍﻧﺪ ﺳﭙﺎﺳـﮕﺰﺍﺭﻡ‬
‫ﻭ ﺍﺯ ﻫﻤﺔ ﺧﻮﺍﻧﻨﺪﮔﺎﻧﻲ ﻛﻪ ﻣﺘﻦ ﻛﺘﺎﺏ ﺭﺍ ﻣﻼﺣﻈﻪ ﻣﻲﻓﺮﻣﺎﻳﻨﺪ ﺗﻘﺎﺿﺎ ﺩﺍﺭﻡ ﺗﺎ ﺑﺮ ﻣﻦ ﻣﻨﺖ ﮔﺬﺍﺷﺘﻪ ﻭ ﺑﺎ ﺍﺭﺳﺎﻝ‬
‫ﺍﻧﺘﻘﺎﺩﺍﺕ ﻭ ﭘﻴﺸﻨﻬﺎﺩﺍﺕ ﺧﻮﺩ ﺑـﻪ ﺁﺩﺭﺱ ﭘـﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴـﻚ ‪ movahed@ictfaculty.ir‬ﻣـﻦ ﺭﺍ ﺩﺭ‬
‫ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﺁﻳﻨﺪﻩﺍﻡ ﺭﺍﻫﻨﻤﺎﺋﻲ ﻓﺮﻣﺎﻳﻨﺪ‪.‬‬
‫ﺩﺭ ﺧﺎﺗﻤﻪ ﻻﺯﻡ ﺍﺳﺖ ﺍﺯ ﺟﻨﺎﺏ ﺁﻗﺎﻱ ﺩﻛﺘﺮ ﻏﻼﻣﻌﻠﻲ ﺣﺴﻨﻲ ﺻﺪﺭ ﺭﺋﻴﺲ ﻣﺤﺘـﺮﻡ ﻣﺮﻛـﺰ ﺁﻣـﻮﺯﺵ‬
‫ﺷﺮﻛﺖ ﻣﺨﺎﺑﺮﺍﺕ ﺍﻳﺮﺍﻥ ﻭ ﺩﺍﻧﺸﻜﺪﺓ ﻋﻠﻤﻲ‪-‬ﻛﺎﺭﺑﺮﺩﻱ ﭘﺴﺖ ﻭ ﻣﺨﺎﺑﺮﺍﺕ ﻛـﻪ ﺩﺳـﺘﻮﺭ ﭼـﺎﭖ ﺍﻳـﻦ ﻛﺘـﺎﺏ ﺭﺍ‬
‫ﺻﺎﺩﺭ ﻓﺮﻣﻮﺩﻩﺍﻧﺪ ﻭ ﻫﻤﭽﻨﻴﻦ ﺍﺯ ﺳﺮﻛﺎﺭ ﺧـﺎﻧﻢ ﻣﻌـﺼﻮﻣﺔ ﮔﺮﺍﻣـﻲﺯﺍﺩﻩ ﻛﺎﺭﺷـﻨﺎﺱ ﻣﺤﺘـﺮﻡ ﻣﺮﻛـﺰ ﺁﻣـﻮﺯﺵ‬
‫ﻣﺨﺎﺑﺮﺍﺕ ﺍﻳﺮﺍﻥ ﻛﻪ ﺩﺭ ﺗﻬﻴﺔ ﺷـﻜﻞﻫـﺎ ﻭ ﺟـﺪﺍﻭﻝ ﻛﺘـﺎﺏ ﺯﺣﻤـﺎﺕ ﺯﻳـﺎﺩﻱ ﺭﺍ ﻣﺘﻘﺒـﻞ ﺷـﺪﻩﺍﻧـﺪ ﺻـﻤﻴﻤﺎﻧﻪ‬
‫ﺳﭙﺎﺳﮕﺰﺍﺭﻱ ﻧﻤﺎﻳﻢ‪.‬‬
‫ﻣﺴﻌﻮﺩ ﻣﻮﺣّﺪ‬
‫ﺯﻣﺴﺘﺎﻥ ‪۱۳۸۵‬‬
‫ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ‬
‫ﭘﻴﺶ ﮔﻔﺘﺎﺭ ‪۹‬‬

‫ﻓﺼﻞ ‪ ۱‬ﻣﻘﺪﻣﻪ ‪۱۳‬‬
‫‪۱۶‬‬ ‫‪ ۱-۱‬ﺭَﻭَﻧﺪ ﺍﻣﻨﻴﺖ‬
‫‪۱۷‬‬ ‫ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ ‪OSI‬‬ ‫‪۱-۲‬‬
‫‪۱۹‬‬ ‫‪ ۱-۳‬ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ‬
‫‪۲۲‬‬ ‫ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬ ‫‪۱-۴‬‬
‫‪۲۶‬‬ ‫ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬ ‫‪۱-۵‬‬
‫‪۲۸‬‬ ‫ﻳﻚ ﻣﺪﻝ ﺑﺮﺍﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬ ‫‪۱-۶‬‬
‫‪۳۰‬‬ ‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺍﻧﺠﻤﻦ ﺍﻳﻨﺘﺮﻧﺖ‬ ‫‪۱-۷‬‬
‫‪۳۳‬‬ ‫ﺳﺎﺧﺘﺎﺭ ﺍﻳﻦ ﻛﺘﺎﺏ‬ ‫‪۱-۸‬‬
‫‪۳۴‬‬ ‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۱-۹‬‬
‫‪۳۴‬‬ ‫ﻣﻨﺎﺑﻊ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﻭِﺏ‬ ‫‪۱-۱۰‬‬
‫‪۳۷‬‬ ‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۱-۱۱‬‬
‫ﻗﺴﻤﺖ ﺍﻭﻝ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪۳۹‬‬
‫ﻓﺼﻞ ‪ ۲‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ‪۴۱‬‬

‫‪۴۲‬‬ ‫ﺍﺻﻮﻝ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬ ‫‪۲-۱‬‬
‫‪۴۸‬‬ ‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ‬ ‫‪۲-۲‬‬
‫‪۵۴‬‬ ‫ﺭﻣﺰﻫﺎﻱ ﺩﻧﺒﺎﻟﻪﺍﻱ ﻭ ‪RC4‬‬ ‫‪۲-۳‬‬
‫‪۶۱‬‬ ‫ﻣُﻮﺩﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺭﻣﺰﻫﺎﻱ ﻗﺎﻟﺒﻲ‬ ‫‪۲-۴‬‬
‫‪۶۵‬‬ ‫ﻣﺤﻞ ﺍﺳﺘﻘﺮﺍﺭ ﺗﺠﻬﻴﺰﺍﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪۲-۵‬‬
‫‪۶۶‬‬ ‫ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ‬ ‫‪۲-۶‬‬
‫‪۶۸‬‬ ‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۲-۷‬‬
‫‪۶۹‬‬ ‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۲-۸‬‬
‫ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٦‬‬
‫ﻓﺼﻞ ‪ ۳‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ‪۷۳‬‬
‫‪۷۴‬‬ ‫ﻧﺤﻮﺓ ﺑﺮﺧﻮﺭﺩ ﺑﺎ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬ ‫‪۳-۱‬‬

‫‪۷۸‬‬ ‫ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ ﻭ ‪HMAC‬‬ ‫‪۳-۲‬‬
‫‪۸۸‬‬ ‫ﺍﺻﻮﻝ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬ ‫‪۳-۳‬‬
‫‪۹۱‬‬ ‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬ ‫‪۳-۴‬‬
‫‪۹۹‬‬ ‫ﺍﻣﻀﺎﺀﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ‬ ‫‪۳-۵‬‬
‫‪۱۰۰‬‬ ‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‬ ‫‪۳-۶‬‬
‫‪۱۰۲‬‬ ‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۳-۷‬‬
‫‪۱۰۳‬‬ ‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۳-۸‬‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ‪۱۰۹‬‬ ‫ﻗﺴﻤﺖ ﺩﻭﻡ‬
‫ﻓﺼﻞ ‪ ۴‬ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪۱۱۱‬‬
‫‪۱۱۲‬‬ ‫‪Kerberos‬‬ ‫‪۴-۱‬‬

‫‪۱۳۱‬‬ ‫ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪X.509‬‬ ‫‪۴-۲‬‬
‫‪۱۴۲‬‬ ‫ﺯﻳﺮﺳﺎﺧﺖ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ )‪(PKI‬‬ ‫‪۴-۳‬‬
‫‪۱۴۵‬‬ ‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۴-۴‬‬
‫‪۱۴۶‬‬ ‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۴-۵‬‬
‫‪۱۴۸‬‬ ‫ﺿﻤﻴﻤﺔ ‪ -۴‬ﺍﻟﻒ ‪ :‬ﺗﻜﻨﻴﻚﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪Kerberos‬‬
‫ﻓﺼﻞ ‪ ۵‬ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ‪۱۵۳‬‬
‫‪۱۵۴‬‬ ‫)‪Pretty Good Privacy (PGP‬‬ ‫‪۵-۱‬‬

‫‪۱۷۴‬‬ ‫‪S/MIME‬‬ ‫‪۵-۲‬‬
‫‪۱۹۲‬‬ ‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۵-۳‬‬
‫‪۱۹۲‬‬ ‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۵-۴‬‬
‫‪۱۹۴‬‬ ‫ﺿﻤﻴﻤﺔ ‪ - ۵‬ﺍﻟﻒ ‪ :‬ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺩﻳﺘﺎ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ZIP‬‬
‫‪۱۹۶‬‬ ‫ﺿﻤﻴﻤﺔ ‪ - ۵‬ﺏ ‪ :‬ﺗﺒﺪﻳﻞ ‪RADIX-64‬‬
‫ﺗﻮﻟﻴﺪ ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ ﺩﺭ ‪۱۹۸ PGP‬‬ ‫ﺿﻤﻴﻤﻪ ‪ - ۵‬ﺝ ‪:‬‬
‫‪٧‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻓﺼﻞ ‪ ۶‬ﺍﻣﻨﻴﺖ ‪۲۰۳ IP‬‬

‫‪۲۰۴‬‬ ‫ﻣﺮﻭﺭﻱ ﺑﺮ ﺍﻣﻨﻴﺖ ‪IP‬‬ ‫‪۶-۱‬‬
‫‪۲۰۷‬‬ ‫ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ ‪IP‬‬ ‫‪۶-۲‬‬
‫‪۲۱۳‬‬ ‫ﺳﺮﺁﻳﻨﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ )‪(AH‬‬ ‫‪۶-۳‬‬
‫‪۲۱۹‬‬ ‫‪ ۶-۴‬ﻛﭙﺴﻮﻟﻲﻛﺮﺩﻥ ﻣﺤﻤﻮﻟﺔ ﺍﻣﻨﻴﺘﻲ )‪(ESP‬‬
‫‪۲۲۴‬‬ ‫ﺗﺮﻛﻴﺐ ﺍﺗﺤﺎﺩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬ ‫‪۶-۵‬‬
‫‪۲۲۸‬‬ ‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‬ ‫‪۶-۶‬‬
‫‪۲۳۹‬‬ ‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۶-۷‬‬
‫‪۲۴۰‬‬ ‫‪ ۶-۸‬ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬
‫‪۲۴۱‬‬ ‫ﺿﻤﻴﻤﺔ ‪ - ۶‬ﺍﻟﻒ ‪ :‬ﻋﻤﻠﻴﺎﺕ ﺑﻴﻦﺷﺒﻜﻪﺍﻱ ﻭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ‬
‫ﻓﺼﻞ ‪ ۷‬ﺍﻣﻨﻴﺖ ‪۲۵۱ WEB‬‬

‫‪۲۵۲‬‬ ‫ﻣﻼﺣﻈﺎﺕ ﺍﻣﻨﻴﺖ ﻭِﺏ‬ ‫‪۷-۱‬‬
‫‪۲۵۴‬‬ ‫ﻻﻳﺔ ﺳﻮﻛِﺖ ﺍﹶﻣﻦ )‪ (SSL‬ﻭ ﺍﻣﻨﻴﺖ ﻻﻳﺔ ﺣﻤﻞ ﻭﻧﻘﻞ )‪(TLS‬‬ ‫‪۷-۲‬‬
‫‪۲۷۴‬‬ ‫ﻣﻌﺎﻣﻠﺔ ﺍﻟﻜﺘﺮﻭﻧﻴﻜﻲ ﺍﹶﻣﻦ )‪(SET‬‬ ‫‪۷-۳‬‬
‫‪۲۸۶‬‬ ‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۷-۴‬‬
‫‪۲۸۷‬‬ ‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۷-۵‬‬
‫ﻓﺼﻞ ‪ ۸‬ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ‪۲۸۹‬‬

‫‪۲۹۰‬‬ ‫ﻣﻔﺎﻫﻴﻢ ﺍﺳﺎﺳﻲ ‪SNMP‬‬ ‫‪۸-۱‬‬
‫‪۲۹۸‬‬ ‫ﺗﺴﻬﻴﻼﺕ ﺟﺎﻣﻌﻪﺍﻱ ‪SNMPv1‬‬ ‫‪۸-۲‬‬
‫‪۳۰۱‬‬ ‫‪SNMPv3‬‬ ‫‪۸-۳‬‬
‫‪۳۲۶‬‬ ‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۸-۴‬‬
‫‪۳۲۷‬‬ ‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۸-۵‬‬
‫ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ ‪۳۳۱‬‬ ‫ﻗﺴﻤﺖ ﺳﻮﻡ‬
‫ﻓﺼﻞ ‪ ۹‬ﻣﻬﺎﺟﻤﻴﻦ ‪۳۳۳‬‬

‫‪۳۳۴‬‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬ ‫‪۹-۱‬‬
‫‪۳۳۸‬‬ ‫ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ‬ ‫‪۹-۲‬‬
‫ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٨‬‬
‫‪۳۵۱‬‬ ‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻤﺔﻋﺒﻮﺭ‬ ‫‪۹-۳‬‬

‫‪۳۶۱‬‬ ‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۹-۴‬‬
‫‪۳۶۲‬‬ ‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۹-۵‬‬
‫ﺿﻤﻴﻤﺔ ‪ -۹‬ﺍﻟﻒ ‪ :‬ﺧﻄﺎﻱ ﻧﺮﺥ‪ -‬ﭘﺎﻳﻪ ‪۳۶۵‬‬
‫ﻓﺼﻞ ‪ ۱۰‬ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ ‪۳۶۹‬‬

‫‪۳۷۰‬‬ ‫ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﺗﻬﺪﻳﺪﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻧﻬﺎ‬ ‫‪۱۰-۱‬‬
‫‪۳۸۲‬‬ ‫ﺭﻭﺵﻫﺎﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﻭﻳﺮﻭﺱﻫﺎ‬ ‫‪۱۰-۲‬‬
‫‪۳۸۶‬‬ ‫ﺣﻤﻼﺕ ﺗﻮﺯﻳﻊ ﺷﺪﺓ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ )‪(DDoS‬‬ ‫‪۱۰-۳‬‬
‫‪۳۹۲‬‬ ‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۱۰-۴‬‬
‫‪۳۹۳‬‬ ‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۱۰-۵‬‬
‫ﻓﺼﻞ ‪ ۱۱‬ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ‪۳۹۵‬‬

‫‪۳۹۶‬‬ ‫ﺍﺻﻮﻝ ﻃﺮﺍﺣﻲ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ‬ ‫‪۱۱-۱‬‬
‫‪۴۰۹‬‬ ‫ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﻌﺘﻤﺪ‬ ‫‪۱۱-۲‬‬
‫‪۴۱۵‬‬ ‫ﻣﻌﻴﺎﺭﻫﺎﻱ ﻣﺸﺘﺮﻙ ﺑﺮﺍﻱ ﺍﺭﺯﻳﺎﺑﻲ ﺍﻣﻨﻴﺖ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺍﻃﻼﻋﺎﺕ‬ ‫‪۱۱-۳‬‬
‫‪۴۱۹‬‬ ‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۱۱-۴‬‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ ‪۴۲۰‬‬ ‫‪۱۱-۵‬‬
‫ﭘﻴﻮﺳﺖﻫﺎ‬
‫)ﺍﻟﻒ( ﺟﻨﺒﻪﻫﺎﺋﻲ ﺍﺯ ﺗﺌﻮﺭﻱ ﺍﻋﺪﺍﺩ ‪۴۲۲‬‬

‫‪۴۲۴‬‬ ‫ﺍﻋﺪﺍﺩ ﺍﻭﻝ ﻭ ﺍﻭﻝ ﻧﺴﺒﻲ‬ ‫ﺍﻟﻒ‪۱-‬‬
‫‪۴۲۶‬‬ ‫ﺣﺴﺎﺏ ﭘﻴﻤﺎﻧﻪﺍﻱ‬ ‫ﺍﻟﻒ‪۲-‬‬
‫)ﺏ( ﻭﺍﮊﻩﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ‪۴۲۹‬‬
‫)ﺝ( ﻣﺮﺍﺟﻊ ‪۴۳۷‬‬
‫ﻭﺍﮊﻩﻧﺎﻣﺔ ﺍﻧﮕﻠﻴﺴﻲ‪ -‬ﻓﺎﺭﺳﻲ ‪۴۴۵‬‬
‫ﻭﺍﮊﻩﻧﺎﻣﺔ ﻓﺎﺭﺳﻲ‪ -‬ﺍﻧﮕﻠﻴﺴﻲ ‪۴۵۳‬‬
‫ﻋﻼﺋﻢ ﺍﺧﺘﺼﺎﺭﻱ ‪۴۶۱‬‬
‫ﭘﻴﺶﮔﻔﺘﺎﺭ‬
‫ﺭ ﺍﻳﻦ ﻋﺼﺮ ﺍﺗﺼﺎﻝ ﺍﻟﻜﺘﺮﻭﻧﻴﻜﻲ ﺟﻬﺎﻥ‪ ،‬ﻋﺼـﺮ ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﻫَﻜﺮﻫﺎ‪ ،‬ﻋﺼـﺮ ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻭ ﻋﺼـﺮ‬ ‫ﺩ‬
‫ﻓﺮﻳﺐ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪ ،‬ﻭﺍﻗﻌﺎﹰ ﺯﻣﺎﻧﻲ ﻗﺎﺑﻞ ﺗﺼﻮﺭ ﻧﻴﺴﺖ ﻛﻪ ﺩﺭ ﺁﻥ ﺍﻣﻨﻴﺖ ﻣﻄﺮﺡ ﻧﺒﺎﺷـﺪ‪ .‬ﺩﻭ ﺭَﻭَﻧـﺪ ﻣﺘﻔـﺎﻭﺕ ﮔـﺮﺩ ﻫـﻢ‬
‫ﺁﻣﺪﻩﺍﻧﺪ ﺗﺎ ﻣﻮﺿﻮﻉ ﺍﻳﻦ ﻛﺘــﺎﺏ ﺭﺍ ﺍﺯ ﺍﻫﻤﻴﺖ ﺣﻴـﺎﺗﻲ ﺑﺮﺧــﻮﺭﺩﺍﺭ ﺳـﺎﺯﻧﺪ‪ .‬ﺍﻭّﻝ‪ ،‬ﺭﺷـﺪ ﺍﻧﻔﺠـﺎﺭﺁﻣﻴﺰ ﺳﻴـﺴﺘﻢﻫـﺎﻱ‬
‫ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﻭ ﺍﺗﺼﺎﻝ ﺁﻧﻬﺎ ﺍﺯ ﻃﺮﻳﻖ ﺷﺒﻜﻪﻫﺎ‪ ،‬ﻭﺍﺑﺴﺘﮕﻲ ﻫﻢ ﺳﺎﺯﻣﺎﻥﻫﺎ ﻭ ﻫﻢ ﺍﻓﺮﺍﺩ ﺑﻪ ﺍﻃﻼﻋﺎﺕ ﺫﺧﻴﺮﻩﺷـﺪﻩ ﻭ ﻣﺒﺎﺩﻟـﻪ‬
‫ﺷﺪﻩ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻳﻦ ﺳﻴﺴﺘﻢﻫﺎ ﺭﺍ ﺍﻓﺰﺍﻳﺶ ﺩﺍﺩﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺑﻨﻮﺑﺔ ﺧﻮﺩ ﻫﻮﺷـﻴﺎﺭﻱ ﻛـﺎﺭﺑﺮﺍﻥ ﻧـﺴﺒﺖ ﺑـﻪ ﻟـﺰﻭﻡ‬
‫ﻣﺤﺎﻓﻈﺖ ﺩﻳﺘﺎ ﻭ ﻣﻨﺎﺑﻊ ﺍﻃﻼﻋﺎﺗﻲ ﺍﺯ ﺍﻓﺸﺎ‪ ،‬ﺗﻀﻤﻴﻦ ﻣﻮﺛﻖ ﺑﻮﺩﻥ ﺩﺍﺩﻩﻫﺎ ﻭ ﭘﻴﺎﻡﻫﺎ‪ ،‬ﻭ ﻣﺤﺎﻓﻈﺖ ﺳﻴـﺴﺘﻢﻫـﺎ ﺍﺯ ﺣﻤـﻼﺕ‬
‫ﻣﺒﺘﻨﻲ ﺑﺮ ﺷﺒﻜﻪ ﺭﺍ ﺍﺭﺗﻘﺎﺀ ﺑﺨﺸﻴﺪﻩ ﺍﺳﺖ‪ .‬ﺩﻭّﻡ‪ ،‬ﻣﻘﻮﻟﻪﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﻛﻤﺎﻝ ﺑﻴﺸﺘﺮﻱ ﻳﺎﻓﺘـﻪ‬
‫ﻭ ﻣﻨﺠﺮ ﺑﻪ ﺍﻳﺠﺎﺩ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻋﻤﻠﻲﺗﺮ ﻭﺁﻣﺎﺩﻩﺗﺮﻱ ﺑﺮﺍﻱ ﺍﻋﻤﺎﻝ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫ﺍﻫﺪﺍﻑ‬
‫ﻫﺪﻑ ﺍﻳﻦ ﻛﺘﺎﺏ‪ ،‬ﻓﺮﺍﻫﻢﺁﻭﺭﺩﻥ ﻳﻚ ﺑﺮﺭﺳﻲ ﻋﻤﻠﻲ ﺍﺯ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻭ ﺍﺳـﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺍﻣﻨﻴـﺖ ﺷـﺒﻜﻪ ﺍﺳـﺖ‪ .‬ﺩﺭ ﻣـﻮﺭﺩ‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎ‪ ،‬ﺗﺄﻛﻴﺪ ﺑﺮﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ ﺑﻄﻮﺭ ﻓﺰﺍﻳﻨﺪﻩﺍﻱ ﺩﺭ ﺷﺒﻜﻪﻫﺎﻱ ﺳﺎﺯﻣﺎﻥﻫﺎ ﻭ ﺍﻳﻨﺘﺮﻧﺖ ﻣـﻮﺭﺩ ﺍﺳـﺘﻔﺎﺩﻩ‬
‫ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪﺍﻧﺪ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎ ﻧﻴﺰ ﺗﺄﻛﻴﺪ ﺑﺮ ﺭﻭﻱ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺘﻲ ﺍﺳـﺖ ﻛـﻪ ﺩﺭ ﺳـﻄﺢ ﮔـﺴﺘﺮﺩﻩﺍﻱ‬
‫ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻫﺴﺘﻨﺪ‪.‬‬
‫ﭘﻴﺶ ﮔﻔﺘﺎﺭ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪١٠‬‬
‫ﻣﺨﺎﻃﺒﻴﻦ ﻣﻮﺭﺩ ﻧﻈﺮ‬
‫ﺍﻳﻦ ﻛﺘﺎﺏ ﻫﻢ ﺑﺮﺍﻱ ﻣﺨﺎﻃﺒﻴﻦ ﺩﺍﻧﺸﮕﺎﻫﻲ ﻭ ﻫﻢ ﺑﺮﺍﻱ ﻣﺨﺎﻃﺒﻴﻦ ﺣﺮﻓﻪﺍﻱ ﺗﺪﺍﺭﻙ ﺩﻳﺪﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﻌﻨـﻮﺍﻥ ﻳـﻚ ﻛﺘـﺎﺏ ﺩﺍﻧـﺸﮕﺎﻫﻲ‪،‬‬
‫ﺑﺮﺍﻱ ﻳﻚ ﺩﺭﺱ ﺳﻪ ﻭﺍﺣﺪﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺩﻭﺭﺓ ﻟﻴﺴﺎﻧﺲ ﺑﺮﺍﻱ ﺩﺍﻧﺸﺠﻮﻳﺎﻥ ﺭﺷﺘﺔ ﻋﻠﻮﻡ ﻛـﺎﻣﭙﻴﻮﺗﺮ‪ ،‬ﻣﻬﻨﺪﺳـﻲ ﻛـﺎﻣﭙﻴﻮﺗﺮ ﻭ ﻣﻬﻨﺪﺳـﻲ‬
‫ﺑﺮﻕ ﻣﻨﺎﺳﺐ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻛﺘﺎﺏ ﻫﻤﭽﻨﻴﻦ ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﻣﺮﺟﻊ ﻗﺎﺑﻞ ﻣﻄﺎﻟﻌﻪ ﺑﺮﺍﻱ ﺍﻓﺮﺍﺩ ﻋﻼﻗﻪﻣﻨﺪ ﺑﺎﺷﺪ‪.‬‬
‫ﻃﺮﺍﺣﻲ ﻛﺘﺎﺏ‬
‫ﻛﺘﺎﺏ ﺩﺭ ﺳﻪ ﻗﺴﻤﺖ ﺳﺎﺯﻣﺎﻥ ﻳﺎﻓﺘﻪ ﺍﺳﺖ‪:‬‬
‫ﻗﺴﻤﺖ ﺍﻭﻝ‪ -‬ﺭﻣﺰﻧﮕﺎﺭﻱ‪ :‬ﻣﺮﻭﺭ ﻓﺸﺮﺩﻩﺍﻱ ﺑﺮ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎ ﻭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺯﻳﺮﺳﺎﺧﺖ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺩﺍﺭﺩ ﻛﻪ ﺷﺎﻣﻞ ﺭﻣﺰﻧﮕﺎﺭﻱ‪،‬‬
‫ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ‪ ،‬ﺍﻣﻀﺎﺀﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ﻭ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺍﺳﺖ‪.‬‬
‫ﻗﺴﻤﺖ ﺩﻭﻡ‪-‬ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‪ :‬ﺍﺑﺰﺍﺭﻫﺎﻱ ﻣﻬﻢ ﺍﻣﻨﻴـﺖ ﺷـﺒﻜﻪ‪ ،‬ﺷـﺎﻣﻞ ‪ ،Kerberos‬ﮔـﻮﺍﻫﻲﻧﺎﻣـﻪﻫـﺎﻱ‪،X.509v3‬‬
‫‪ ،S/MIME ،PGP‬ﺍﻣﻨﻴﺖ ‪ SET ،SSL/TLS ،IP‬ﻭ ‪ SNMPv3‬ﺑﺮﺭﺳﻲ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫ﻗﺴﻤﺖ ﺳﻮﻡ‪ -‬ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ‪ :‬ﺑﻪ ﻣﻘﻮﻟﻪﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺩﺭ ﺳﻄﺢ ﺳﻴﺴﺘﻢ ﻣﻲﭘﺮﺩﺍﺯﺩ ﻛﻪ ﺷﺎﻣﻞ ﺗﻬﺪﻳﺪﻫﺎ ﻭ ﺭﻭﺵﻫـﺎﻱ ﻣﻘﺎﺑﻠـﻪ ﺑـﺎ‬
‫ﺁﻧﻬﺎ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﻬﺎﺟﻢ ﻭ ﻭﻳﺮﻭﺱﻫﺎ‪ ،‬ﻭ ﻫﻤﭽﻨﻴﻦ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻭ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﻌﺘﻤﺪ ﺍﺳﺖ‪.‬‬
‫ﻋﻼﻭﻩ ﺑﺮ ﺁﻥ‪،‬ﻛﺘﺎﺏ ﺷﺎﻣﻞ ﻳﻚ ﻭﺍﮊﻩﻧﺎﻣﺔ ﻣﻔﺼﻞ‪ ،‬ﻳﻚ ﻟﻴﺴﺖ ﺍﺯ ﻋﻼﺋﻢ ﺍﺧﺘﺼﺎﺭﻱ ﻛﺜﻴﺮﺍﻻﺳﺘﻌﻤﺎﻝ ﻭ ﻳﻚ ﻓﻬﺮﺳﺖ ﻣﺮﺍﺟﻊ ﺍﺳﺖ‪.‬‬
‫ﻫﺮ ﻓﺼﻞ ﺷﺎﻣﻞ ﺗﻌﺪﺍﺩﻱ ﺳﺆﺍﻝ‪ ،‬ﻣﺴﺄﻟﻪ‪ ،‬ﻟﻴﺴﺘﻲ ﺍﺯ ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ ﻭ ﻣﻨﺎﺑﻊ ﭘﻴﺸﻨﻬﺎﺩﻱ ﺑﺮﺍﻱ ﻣﻄﺎﻟﻌﺔ ﺑﻴﺸﺘﺮ ﺍﺳﺖ‪.‬‬
‫ﺧﻼﺻﺔ ﻣﻔﺼﻞﺗﺮﻱ ﺍﺯ ﻣﻄﺎﻟﺐ ﻃﺮﺡﺷﺪﻩ ﺩﺭ ﻓﺼﻮﻝ ﻫﺮ ﻗﺴﻤﺖ‪ ،‬ﺩﺭ ﺍﺑﺘﺪﺍﻱ ﺁﻥ ﻗﺴﻤﺖ ﺫﻛﺮ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻣﻄﺎﻟﺐ ﭘﺸﺘﻴﺒﺎﻥ ﺗﺪﺭﻳﺲ‬
‫ﺑﺮﺍﻱ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﺪﺭﺳﻴﻦ‪ ،‬ﻣﻄﺎﻟﺐ ﺯﻳﺮ ﻓﺮﺍﻫﻢ ﺁﻣﺪﻩ ﺍﺳﺖ‪:‬‬
‫ﺣﻞ ﺍﻟﻤﺴﺎﺋﻞ‪ :‬ﭘﺎﺳﺦ ﺑﻪ ﺗﻤﺎﻡ ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ ﺍﻧﺘﻬﺎﻱ ﻫﺮ ﻓﺼﻞ‪.‬‬ ‫•‬
‫ﺍﺳﻼﻳﺪﻫﺎﻱ ‪ :PowerPoint‬ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺍﺳﻼﻳﺪﻫﺎ ﺑﺮﺍﻱ ﺗﻤﺎﻡ ﻓﺼﻮﻝ‪ ،‬ﻛﻪ ﺑﻪ ﺍﻣﺮ ﺗﺪﺭﻳﺲ ﻛﻤﻚ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫ﻓﺎﻳﻞﻫﺎﻱ ‪ :PDF‬ﺗﻤﺎﻡ ﺷﻜﻞﻫﺎ ﻭ ﺟﺪﺍﻭﻝ ﻛﺘﺎﺏ‪.‬‬ ‫•‬
‫ﻟﻴﺴﺖ ﭘﺮﻭﮊﻩﻫﺎ‪ :‬ﺗﻜﺎﻟﻴﻔﻲ ﺑﺼﻮﺭﺕ ﭘﺮﻭﮊﻩ‪ ،‬ﺩﺭ ﺗﻤﺎﻡ ﻣﻘﻮﻟﻪﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ﺯﻳﺮ ﺫﻛﺮ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫‪١١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣﺪﺭﺳﻴﻦ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺮﺍﻱ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺍﻳﻦ ﻣﻄﺎﻟﺐ ﺑﺎ ﻧﻤﺎﻳﻨﺪﺓ ‪ Pearson Education‬ﻳﺎ ‪ Prentice Hall‬ﺗﻤـﺎﺱ ﺣﺎﺻـﻞ‬
‫ﻛﻨﻨﺪ‪.‬‬
‫ﻋﻼﻭﻩ ﺑﺮ ﺍﻳﻦ‪ ،‬ﭘﺎﻳﮕﺎﻩ ﻭِﺏ ﻛﺘﺎﺏ ﻣﺪﺭﺳﻴﻦ ﺭﺍ ﺑﺎ ﻣﻮﺍﺭﺩ ﺯﻳﺮ ﻣﺠﻬﺰ ﻣﻲﻛﻨﺪ‪:‬‬
‫ﻟﻴﻨﻚﻫﺎﺋﻲ ﺑﻪ ﭘﺎﻳﮕﺎﻩﻫﺎﻱ ﻭِﺏ ﺩﺭﺱﻫﺎﻱ ﺩﻳﮕﺮ‪ ،‬ﻛﻪ ﺩﺭ ﺗﺪﺭﻳﺲ ﺁﻧﻬﺎ ﺍﺯ ﺍﻳﻦ ﻛﺘﺎﺏ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬ ‫•‬
‫ﺍﻃﻼﻋﺎﺕ ﻋﻀﻮﻳﺖ ﺑﺮﺍﻱ ﻳﻚ ﻟﻴﺴﺖ ﭘﺴﺘﻲ ﺍﻳﻨﺘﺮﻧﺘﻲ ﺑﺮﺍﻱ ﻣﺪﺭﺳﻴﻦ‪.‬‬ ‫•‬
‫ﺳﺮﻭﻳﺲ ﺍﻳﻨﺘﺮﻧﺘﻲ ﺑﺮﺍﻱ ﺍﺳﺎﺗﻴﺪ ﻭ ﺩﺍﻧﺸﺠﻮﻳﺎﻥ‬
‫ﺑﺮﺍﻱ ﺍﻳﻦ ﻛﺘﺎﺏ ﻳﻚ ﺻﻔﺤﺔ ﻭِﺏ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﺑﺮﺍﻱ ﺍﺳـﺘﻔﺎﺩﺓ ﺩﺍﻧـﺸﺠﻮﻳﺎﻥ ﻭ ﺍﺳـﺎﺗﻴﺪ ﻃﺮﺍﺣـﻲ ﺷـﺪﻩ ﺍﺳـﺖ‪ .‬ﺍﻳـﻦ ﺻـﻔﺤﻪ ﺷـﺎﻣﻞ‬
‫ﻟﻴﻨﻚﻫﺎﺋﻲ ﺑﻪ ﺳﺎﻳﺖﻫﺎﻱ ﻣﺮﺗﺒﻂ‪ ،‬ﺷﻜﻞﻫﺎ ﻭ ﺟﺪﺍﻭﻝ ﻛﺘﺎﺏ ﺑﺎ ﻓﺮﻣﺖ ‪ PDF‬ﻭ ﺍﻃﻼﻋﺎﺕ ﺛﺒﺖ ﻧﺎﻡ ﺑﺮﺍﻱ ﻟﻴﺴﺖ ﭘﺴﺘﻲ ﺍﻳﻨﺘﺮﻧﺘـﻲ ﻛﺘـﺎﺏ‬
‫ﺍﺳﺖ‪ .‬ﺁﺩﺭﺱ ﺻﻔﺤﺔ ﻭِﺏ ‪ WilliamStallings.com/NetSec2e.html‬ﺍﺳﺖ‪ .‬ﻳﻚ ﻟﻴﺴﺖ ﭘﺴﺘﻲ ﺍﻳﻨﺘﺮﻧﺘﻲ ﻫﻢ ﻓـﺮﺍﻫﻢ ﺷـﺪﻩ‬
‫ﺍﺳﺖ ﺗﺎ ﻣﺪﺭﺳﻴﻨﻲ ﻛﻪ ﺍﻳﻦ ﻛﺘﺎﺏ ﺭﺍ ﺗﺪﺭﻳﺲ ﻣﻲﻛﻨﻨﺪ ﺑﺘﻮﺍﻧﻨﺪ ﺍﻃﻼﻋﺎﺕ‪ ،‬ﭘﻴﺸﻨﻬﺎﺩﻫﺎ ﻭ ﺳﺆﺍﻻﺕ ﺧﻮﺩ ﺭﺍ ﺑﺎ ﻳﻜﺪﻳﮕﺮ ﻭ ﺑﺎ ﻧﻮﻳﺴﻨﺪﻩ ﻣﺒﺎﺩﻟﻪ‬
‫ﻧﻤﺎﻳﻨﺪ‪ .‬ﻏﻠﻂ ﻫﺎﻱ ﺍﺣﺘﻤﺎﻟﻲ ﻣﻮﺟﻮﺩ ﺩﺭ ﻛﺘﺎﺏ ﻧﻴﺰ ﺩﺭ ﻳﻚ ﻟﻴﺴﺖ ﻏﻠﻂﻧﺎﻣﻪ ﻭﺍﺭﺩ ﺷﺪﻩﺍﻧﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ‪ ،‬ﺳﺎﻳﺖ ﻣﺮﺟﻊ ﺩﺍﻧﺸﺠﻮﻳﺎﻥ ﻋﻠـﻮﻡ‬
‫ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺎ ﺁﺩﺭﺱ ‪ WilliamStallings.com/StudentSupport.html‬ﻧﻴﺰ ﺍﺳﻨﺎﺩ‪ ،‬ﺍﻃﻼﻋﺎﺕ ﻭ ﻟﻴﻨﻚﻫﺎﻱ ﻣﻔﻴﺪﻱ ﺭﺍ ﺑﺮﺍﻱ‬
‫ﺩﺍﻧﺸﺠﻮﻳﺎﻥ ﻋﻠﻮﻡ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻭ ﺍﻓﺮﺍﺩ ﺣﺮﻓﻪﺍﻱ ﺑﻪ ﻫﻤﺮﺍﻩ ﺩﺍﺭﺩ‪.‬‬
‫ﭘﺮﻭﮊﻩﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺗﺪﺭﻳﺲ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬
‫ﺑﺮﺍﻱ ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﻣﺪﺭﺳﻴﻦ‪ ،‬ﺑﺨﺶ ﻣﻬﻤﻲ ﺍﺯ ﻳﻚ ﺩﺭﺱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﻳﺎ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‪ ،‬ﻳﻚ ﭘﺮﻭﮊﻩ ﻳﺎ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﭘﺮﻭﮊﻩﻫـﺎﺋﻲ ﺍﺳـﺖ‬
‫ﻛﻪ ﺑﺘﻮﺳﻂ ﺁﻧﻬﺎ ﺩﺍﻧﺸﺠﻮﻳﺎﻥ ﭘﺸﺘﻮﺍﻧﺔ ﺗﺠﺮﺑﻲ ﺑﻬﺘﺮﻱ ﺭﺍ ﺍﺯ ﺩﺭﺱ ﺑﺪﺳﺖ ﺁﻭﺭﻧﺪ‪ .‬ﺍﻳﻦ ﻛﺘﺎﺏ ﺑـﺎ ﻓـﺮﺍﻫﻢ ﺁﻭﺭﺩﻥ ﻣﺆﻟﻔـﺔ ﭘـﺮﻭﮊﻩ‪ ،‬ﻧـﻮﻋﻲ‬
‫ﭘﺸﺘﻴﺒﺎﻧﻲ ﻏﻴﺮ ﻣﻮﺍﺯﻱ ﺍﺯ ﺩﺭﺱ ﺭﺍ ﺑﻮﺟﻮﺩ ﺁﻭﺭﺩﻩ ﺍﺳﺖ‪ .‬ﺟﺰﻭﺓ ﺭﺍﻫﻨﻤﺎﻱ ﺍﺳﺘﺎﺩ ﻧﻪ ﺗﻨﻬﺎ ﺷﺎﻣﻞ ﺭﺍﻫﻨﻤﺎﺋﻲ ﺩﺭ ﻣـﻮﺭﺩ ﺗﺨـﺼﻴﺺ ﻭ ﺳـﺎﺧﺖ‬
‫ﭘﺮﻭﮊﻩ ﺍﺳﺖ‪ ،‬ﺑﻠﻜﻪ ﺷﺎﻣﻞ ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﺍﺯ ﭘﺮﻭﮊﻩﻫﺎﻱ ﭘﻴﺸﻨﻬﺎﺩﻱ ﺍﺳﺖ ﻛﻪ ﺑﺎﺯﺓ ﻭﺳﻴﻌﻲ ﺍﺯ ﻣﻮﺿﻮﻋﺎﺕ ﻣﺘﻦ ﺭﺍ ﭘﻮﺷﺶ ﻣﻲﺩﻫﺪ‪:‬‬
‫ﭘﺮﻭﮊﻩﻫﺎﻱ ﺗﺤﻘﻴﻘﺎﺗﻲ‪ :‬ﻳﻚ ﺳﺮﻱ ﺍﺯ ﻣﻮﺿﻮﻋﺎﺗﻲ ﻛﻪ ﺑﻪ ﺩﺍﻧﺸﺠﻮ ﺁﻣﻮﺯﺵ ﻣﻲﺩﻫـﺪ ﺗـﺎ ﭼﮕﻮﻧـﻪ ﺩﺭﺑـﺎﺭﺓ ﻳـﻚ ﻣﻮﺿـﻮﻉ ﺩﺭ‬ ‫•‬
‫ﺍﻳﻨﺘﺮﻧﺖ ﺗﺤﻘﻴﻖ ﻛﺮﺩﻩ ﻭ ﮔﺰﺍﺭﺵ ﺗﻬﻴﻪ ﻛﻨﺪ‪.‬‬
‫ﭘﺮﻭﮊﻩﻫﺎﻱ ﺑﺮﻧﺎﻣﻪﻧﻮﻳﺴﻲ‪ :‬ﻳﻚ ﺳﺮﻱ ﺍﺯ ﭘﺮﻭﮊﻩﻫﺎﻱ ﺑﺮﻧﺎﻣﻪﻧﻮﻳﺴﻲ ﻛﻪ ﻣﺤـﺪﻭﺩﺓ ﻭﺳـﻴﻌﻲ ﺍﺯ ﻣﻮﺿـﻮﻋﺎﺕ ﺭﺍ ﭘﻮﺷـﺶ ﺩﺍﺩﻩ ﻭ‬ ‫•‬
‫ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﻪ ﻫﺮ ﺯﺑﺎﻥ ﻣﻨﺎﺳﺒﻲ ﻭ ﺭﻭﻱ ﻫﺮ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﻧﻮﺷﺘﻪ ﺷﻮﻧﺪ‪.‬‬
‫ﺗﻤﺮﻳﻦﻫﺎﻱ ﺁﺯﻣﺎﻳﺸﮕﺎﻫﻲ‪ :‬ﻳﻚ ﺳﺮﻱ ﭘﺮﻭﮊﻩﻫﺎﺋﻲ ﻛﻪ ﺷﺎﻣﻞ ﺑﺮﻧﺎﻣﻪﻧﻮﻳﺴﻲ ﻭ ﺗﺠﺮﺑﻪ ﺁﻣﻮﺯﻱ ﺩﺭ ﺑﺎﺭﺓ ﻣﻔﺎﻫﻴﻢ ﻛﺘﺎﺏ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺗﻜﺎﻟﻴﻒ ﻧﻮﺷﺘﻨﻲ‪ :‬ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﺍﺯ ﺗﻜﺎﻟﻴﻒ ﻛﺘﺒﻲ ﺑﺮﺍﻱ ﻫﺮ ﻓﺼﻞ‪.‬‬ ‫•‬
‫ﺗﻜﺎﻟﻴﻒ ﻣﻄﺎﻟﻌﺎﺗﻲ‪ /‬ﮔﺰﺍﺭﺵﺩﻫﻲ‪ :‬ﻳﻚ ﻟﻴﺴﺖ ﺍﺯ ﻣﻘﺎﻻﺕ ﻣﻮﺟﻮﺩ ﺩﺭ ﻣﻘﻮﻟﻪﻫﺎﻱ ﺫﻳﺮﺑﻂ‪ ،‬ﻳﻜﻲ ﺑﺮﺍﻱ ﻫﺮ ﻓﺼﻞ‪ ،‬ﻛﻪ ﻣﻲﺗﻮﺍﻧـﺪ‬ ‫•‬
‫ﺑﻪ ﺩﺍﻧﺸﺠﻮ ﻣﺤﻮﻝ ﺷﺪﻩ ﺗﺎ ﺍﺯ ﺭﻭﻱ ﺁﻥ ﮔﺰﺍﺭﺵ ﺗﻬﻴﻪ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﭘﻴﺶ ﮔﻔﺘﺎﺭ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪١٢‬‬
‫ﻣﻄﺎﻟﺐ ﺟﺪﻳﺪ ﺩﺭ ﻭﻳﺮﺍﻳﺶ ﺳﻮﻡ‬
‫ﺩﺭ ﻇﺮﻑ ﺳﻪ ﺳﺎﻟﻲ ﻛﻪ ﺍﺯ ﭼﺎﭖ ﺩﻭﻡ ﺍﻳﻦ ﻛﺘﺎﺏ ﻣﻲﮔﺬﺭﺩ‪ ،‬ﻣﻘﻮﻟﺔ ﺍﻣﻨﻴﺖ‪ ،‬ﻧﻮﺁﻭﺭﻱﻫﺎ ﻭ ﺗﻮﺳﻌﻪﻫﺎﻱ ﺟﺪﻳﺪﻱ ﺭﺍ ﺑﺨﻮﺩ ﺩﻳـﺪﻩ ﺍﺳـﺖ‪ .‬ﺩﺭ‬
‫ﺍﻳﻦ ﭼﺎﭖ ﺟﺪﻳﺪ‪ ،‬ﻣﻦ ﻛﻮﺷﻴﺪﻩﺍﻡ ﺗﺎ ﺩﺭ ﺿﻤﻦ ﺍﻳﻦ ﻛﻪ ﺳﺎﺧﺘﺎﺭ ﻛﻠﻲ ﻛﺘﺎﺏ ﺭﺍ ﺗﻐﻴﻴﺮ ﻧﺪﻫﻢ‪ ،‬ﺗﻐﻴﻴﺮﺍﺕ ﺟﺪﻳﺪ ﺭﺍ ﻧﻴﺰ ﺩﺭﺁﻥ ﻣﻨﻌﻜﺲ ﻧﻤﺎﻳﻢ‪.‬‬
‫ﺑﺮﺍﻱ ﺷﺮﻭﻉ ﺍﻳﻦ ﺑﺎﺯﻧﮕﺮﻱ‪ ،‬ﭼﺎﭖ ﺩﻭﻡ ﺑﺘﻮﺳﻂ ﺍﺳﺎﺗﻴﺪ ﻣﺘﻌﺪﺩﻱ ﻛﻪ ﺍﻳﻦ ﻛﺘﺎﺏ ﺭﺍ ﺗﺪﺭﻳﺲ ﻧﻤﻮﺩﻩﺍﻧﺪ ﻣﺮﻭﺭ ﮔﺮﺩﻳﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﻋـﺪﻩﺍﻱ‬
‫ﺍﺯ ﺍﻓﺮﺍﺩ ﺷﺎﻏﻞ ﺩﺭ ﺍﻳﻦ ﺣﺮﻓﻪ ﻧﻴﺰ ﻓﺼﻮﻝ ﺍﻳﻦ ﻛﺘﺎﺏ ﺭﺍ ﻣﻄﺎﻟﻌﻪ ﻧﻤﻮﺩﻧﺪ‪ .‬ﻧﺘﻴﺠﺔ ﻛﺎﺭ ﺍﻳﻦ ﺷﺪ ﻛﻪ ﺩﺭ ﺑﺮﺧﻲ ﻣﻮﺍﺭﺩ‪ ،‬ﺍﻧﺸﺎﻱ ﻣﻄﻠـﺐ ﺑـﺮﺍﻱ‬
‫ﻓﻬﻢ ﺑﻬﺘﺮ ﺗﺼﺤﻴﺢ ﮔﺮﺩﻳﺪ ﻭ ﺷﻜﻞﻫﺎ ﺗﻐﻴﻴﺮ ﻳﺎﻓﺖ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺗﻌﺪﺍﺩﻗﺎﺑﻞ ﺗﻮﺟﻪﺍﻱ ﻣﺴﺄﻟﻪ‪ ،‬ﺑﻪ ﻓﺼﻮﻝ ﺍﺿﺎﻓﻪ ﮔﺮﺩﻳﺪ‪.‬‬
‫ﻋﻼﻭﻩ ﺑﺮ ﺍﻳﻦ ﺍﺻﻼﺣﺎﺕ ﻛﻪ ﺩﺭ ﺟﻬﺖ ﻓﻬﻢ ﺑﻬﺘﺮ ﻣﻄﻠﺐ ﺍﻧﺠﺎﻡ ﺷﺪ‪ ،‬ﺗﻐﻴﻴﺮﺍﺕ ﻗﺎﺑﻞ ﺗﻮﺟﻬﻲ ﻧﻴﺰ ﺩﺭ ﺑﺮﺧـﻲ ﺳﺮﻓـﺼﻞﻫـﺎ ﺍﻳﺠـﺎﺩ‬
‫ﮔﺮﺩﻳﺪ‪ .‬ﻋﻤﺪﺓ ﺁﻧﻬﺎ ﺑﺸﺮﺡ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﺭﻣﺰﻫﺎﻱ ﺩﻧﺒﺎﻟﻪﺍﻱ‪ :‬ﺭﻣﺰﻫﺎﻱ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺩﺭ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﻭ ﻛﺎﺭﺑﺮﺩﻫﺎ ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪ .‬ﭼـﺎﭖ ﺳـﻮﻡ‪،‬‬ ‫•‬
‫ﺍﻳﻦ ﻣﻘﻮﻟﻪ ﺭﺍ ﭘﻮﺷﺶ ﺩﺍﺩﻩ ﻭ ﭘﺮﺍﺳﺘﻔﺎﺩﻩﺗﺮﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻳﻦ ﺣﻮﺯﻩ ﻛﻪ ‪ RC4‬ﺍﺳﺖ ﺭﺍ ﺗﻮﺻﻴﻒ ﻛﺮﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﺯﻳﺮﺳﺎﺧﺖ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ )‪ :(PKI‬ﺍﻳﻦ ﻣﻘﻮﻟﺔ ﻣﻬﻢ ﺩﺭ ﻭﻳﺮﺍﻳﺶ ﺟﺪﻳﺪ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺣﻤﻼﺕ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ ﺗﻮﺯﻳﻊ ﺷﺪﻩ )‪ :(DDoS‬ﺣﻤﻼﺕ ‪ DDoS‬ﺩﺭ ﺳﺎﻝﻫﺎﻱ ﺍﺧﻴـﺮ ﺗﻮﺟـﻪ ﺯﻳـﺎﺩﻱ ﺭﺍ ﺑﺨـﻮﺩ ﺟﻠـﺐ‬ ‫•‬
‫ﻛﺮﺩﻩﺍﻧﺪ‪.‬‬
‫ﻣﻌﻴﺎﺭﻫﺎﻱ ﻣﺸﺘﺮﻙ ﺑﺮﺍﻱ ﺍﺭﺯﻳﺎﺑﻲ ﺍﻣﻨﻴﺖ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺍﻃﻼﻋﺎﺕ‪ :‬ﻣﻌﻴﺎﺭﻫﺎﻱ ﻣﺸﺘﺮﻙ‪ ،‬ﺑﻪ ﻳﻚ ﭼﻬﺎﺭﭼﻮﺏ ﺑﻴﻦﺍﻟﻤﻠﻠﻲ ﺑﺮﺍﻱ‬ ‫•‬
‫ﺗﺸﺮﻳﺢ ﻧﻴﺎﺯﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﺍﺭﺯﻳﺎﺑﻲ ﻣﺤﺼﻮﻻﺕ ﻭ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎ ﻣﺒﺪﻝ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ‪ ،‬ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﺳﺎﻳﺮ ﻣﻄﺎﻟﺐ ﻛﺘﺎﺏ ﺑﺎﺯﻧﮕﺮﻱ ﻭ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫ﺍﺭﺗﺒﺎﻁ ﺍﻳﻦ ﻛﺘﺎﺏ ﺑﺎ ﻛﺘﺎﺏ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‪ ،‬ﻭﻳﺮﺍﻳﺶ ﭼﻬﺎﺭﻡ‬
‫ﺍﻳـﻦ ﻛﺘـﺎﺏ ﺍﺯ ﻛﺘـﺎﺏ )‪ Cryptography and Network Security, Fourth Edition (CNS4e‬ﺍﻗﺘﺒـﺎﺱ ﺷـﺪﻩ ﺍﺳـﺖ‪.‬‬
‫‪ CNS4e‬ﭘﻮﺷﺶ ﺟﺎﻣﻌﻲ ﺍﺯ ﻣﺒﺤﺚ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺍﺷﺘﻪ ﻛﻪ ﺷﺎﻣﻞ ﺗﺤﻠﻴﻞ ﻣﻔﺼﻠﻲ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎ ﻭ ﭘﺸﺘﻮﺍﻧﺔ ﺭﻳﺎﺿﻲ ﺁﻧﻬﺎﺳﺖ ﻛﻪ ﺧـﻮﺩ‬
‫ﻗﺮﻳﺐ ﺑﻪ ‪ ۴۰۰‬ﺻﻔﺤﻪ ﺍﺯ ﻛﺘﺎﺏ ﺭﺍ ﺩﺭﺑﺮ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫)‪ Network Security Essentials: Applications and Standards, Third Edition (NSE3e‬ﺩﺭﻋـﻮﺽ‬
‫ﻣﺮﻭﺭ ﻣﺨﺘﺼﺮﻱ ﺑﺮ ﻣﺒﺎﺣﺚ ﻓﻮﻕ ﺩﺭ ﻓﺼﻮﻝ ‪ ۲‬ﻭ ‪ ۳‬ﺩﺍﺭﺩ‪ .‬ﻣﺎﺑﻘﻲ ‪ NSE3e‬ﺷﺎﻣﻞ ﻛﻠﻴﺔ ﻣﻄﺎﻟﺐ ﺑﺎﻗﻴﻤﺎﻧﺪﻩ ‪ CNS4e‬ﺍﺳـﺖ‪NSE3e .‬‬
‫ﻫﻤﭽﻨﻴﻦ ﺍﻣﻨﻴﺖ ‪ SNMP‬ﺭﺍ ﭘﻮﺷﺶ ﻣﻲﺩﻫﺪ ﻛﻪ ﺩﺭ ‪ CNS4e‬ﭘﻮﺷﺶ ﺩﺍﺩﻩ ﻧـﺸﺪﻩ ﺍﺳـﺖ‪ .‬ﺑﻨـﺎﺑﺮﺍﻳﻦ ‪ NSE3e‬ﺑـﺮﺍﻱ ﺗـﺪﺭﻳﺲ ﺩﺭ‬
‫ﻛﺎﻟﺞﻫﺎ ﻭ ﺑﺮﺍﻱ ﺧﻮﺍﻧﻨﺪﮔﺎﻥ ﺣﺮﻓﻪﺍﻱ ﻛﻪ ﻋﻼﻗﺔ ﺁﻧﻬﺎ ﺑﻴﺸﺘﺮ ﺑﻪ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺑﻮﺩﻩ ﻭ ﻧﻴﺎﺯ ﻭ ﺗﻮﺟﻪ ﻛﻤﺘﺮﻱ ﺑﻪ ﻋﻤﻴـﻖ ﺷـﺪﻥ‬
‫ﺩﺭ ﺗﺌﻮﺭﻱﻫﺎ ﻭ ﺍﺻﻮﻝ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺍﺭﻧﺪ‪ ،‬ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻓﺼـﻞ ‪۱‬‬
‫ﻣﻘﺪﻣﻪ‬
‫ﺭَﻭَﻧﺪ ﺍﻣﻨﻴﺖ‬ ‫‪۱-۱‬‬
‫ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ ‪OSI‬‬ ‫‪۱-۲‬‬
‫ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ‬ ‫‪۱-۳‬‬
‫ﺣﻤﻼﺕ ﻏﻴﺮﻓﻌﺎﻝ‬
‫ﺣﻤﻼﺕ ﻓﻌﺎﻝ‬
‫ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬ ‫‪۱-۴‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﺩﺍﺩﻩﻫﺎ‬
‫ﺻﺤﺖ ﺩﺍﺩﻩﻫﺎ‬
‫ﻋﺪﻡ ﺍﻧﻜﺎﺭ‬
‫ﻗﺎﺑﻠﻴﺖ ﺩﺳﺘﺮﺳﻲ‬
‫ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬ ‫‪۱-۵‬‬
‫ﻳﻚ ﻣﺪﻝ ﺑﺮﺍﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬ ‫‪۱-۶‬‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺍﻧﺠﻤﻦ ﺍﻳﻨﺘﺮﻧﺖ‬ ‫‪۱-۷‬‬
‫ﺳﺎﺯﻣﺎﻥﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺍﻧﺘﺸﺎﺭﺍﺕ ‪RFC‬‬
‫ﻣﺮﺍﺣﻞ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﺳﺎﺯﻱ‬
‫ﺩﺳﺘﻪﺑﻨﺪﻱ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺘﻲ‬
‫ﺳﺎﻳﺮ ﺍﻧﻮﺍﻉ ‪RFC‬‬
‫ﺳﺎﺧﺘﺎﺭ ﺍﻳﻦ ﻛﺘﺎﺏ‬ ‫‪۱-۸‬‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۱-۹‬‬
‫ﻣﻨﺎﺑﻊ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﻭِﺏ‬ ‫‪۱-۱۰‬‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۱-۱۱‬‬
‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪١٤‬‬
‫ﺯﻣﻪﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ ﺩﺭ ﺩﺭﻭﻥ ﻳﻚ ﺳﺎﺯﻣﺎﻥ‪ ،‬ﺩﺭ ﻃﻲ ﺩﻫﻪﻫﺎﻱ ﺍﺧﻴﺮ ﺩﻭ ﺗﻐﻴﻴﺮ ﻋﻤﺪﻩ ﻳﺎﻓﺘﻪ ﺍﺳﺖ‪ .‬ﻗﺒﻞ ﺍﺯ ﺍﺳﺘﻔﺎﺩﺓ‬
‫ﻻ‬
‫ﮔﺴﺘﺮﺩﻩ ﺍﺯ ﺗﺠﻬﻴﺰﺍﺕ ﭘﺮﺩﺍﺯﺵ ﺩﺍﺩﻩﻫﺎ‪ ،‬ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺗﻲ ﻛﻪ ﺍﺯ ﻧﻈﺮ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﺍﺭﺯﺷﻤﻨﺪ ﺗﻠﻘﻲ ﻣﻲﺷﺪ ﻋﻤﺪﺗﺎﹰ ﺍﺯ ﻃــﺮﻳﻖ ﺭﻭﺵﻫﺎﻱ‬
‫ﻓﻴﺰﻳﻜﻲ ﻭ ﻣﺪﻳﺮﻳﺘﻲ ﻓﺮﺍﻫﻢ ﻣﻲﮔﺮﺩﻳﺪ‪ .‬ﻣﺜﺎﻟﻲ ﺍﺯ ﺭﻭﺵ ﻓﻴﺰﻳﻜﻲ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻤﺪﻫﺎ ﻭ ﻓﺎﻳﻞﻫﺎﻱ ﻣﺴﺘﺤﻜﻢ ﺑﺎ ﻗﻔﻞ ﻫﺎﻱ ﺭﻣﺰﻱ ﺑﺮﺍﻱ‬
‫ﺣﻔﺎﻇﺖ ﺍﺯ ﺍﺳﻨﺎﺩ ﻣﻬﻢ ﺍﺳﺖ‪ .‬ﻣﺜﺎﻟﻲ ﺍﺯ ﺭﻭﺵ ﻣﺪﻳﺮﻳﺘﻲ‪ ،‬ﺟﻤﻊﺁﻭﺭﻱ ﺍﻃﻼﻋﺎﺕ ﮔﺰﻳﻨﺸﻲ ﺩﺭ ﻫﻨﮕﺎﻡ ﺍﺳﺘﺨﺪﺍﻡ ﭘﺮﺳﻨﻞ ﺍﺳﺖ‪.‬‬
‫ﺑﺎ ﻭﺭﻭﺩ ﺭﺍﻳﺎﻧﻪ‪ ،‬ﻧﻴﺎﺯ ﺑﻪ ﻟﻮﺍﺯﻡ ﺧﻮﺩﻛﺎﺭ ﺑﺮﺍﻱ ﺣﻔﺎﻇﺖ ﺍﺯ ﻓﺎﻳﻞﻫﺎ ﻭ ﺳﺎﻳﺮ ﺍﻃﻼﻋﺎﺕ ﺫﺧﻴﺮﻩﺷﺪﻩ ﺩﺭ ﺭﺍﻳﺎﻧﻪ ﺁﺷﻜﺎﺭ ﮔﺮﺩﻳﺪ‪ .‬ﺍﻳﻦ‬
‫ﻣﻮﺿﻮﻉ ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﺩﺭ ﻣﻮﺭﺩ ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﮔﺬﺍﺷﺘﻪ ﺷﺪﻩ ﻫﻤﺎﻧﻨﺪ ﻳﻚ ﺳﻴﺴﺘﻢ ﺍﺷﺘﺮﺍﻙ ﺯﻣﺎﻧﻲ ﺟﺪﻱﺗﺮ ﺑﻮﺩﻩ ﻭ ﺣﺘﻲ ﺩﺭ‬
‫ﻣﻮﺭﺩ ﺳﻴﺴﺘﻢﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ﻃﺮﻳﻖ ﺷﺒﻜﺔ ﺗﻠﻔﻨﻲ‪ ،‬ﺷﺒﻜﺔ ﺩﻳﺘﺎ‪ ،‬ﻭ ﻳﺎ ﺍﻳﻨﺘﺮﻧﺖ ﻗﺎﺑﻞ ﺩﺳﺖﻳﺎﺑﻲ ﻫﺴﺘﻨﺪ ﺣﻴﺎﺗﻲﺗﺮ ﺍﺳﺖ‪ .‬ﻧﺎﻡ ﻛﻠﻲ ﻣﺠﻤﻮﻋﺔ‬
‫ﻟﻮﺍﺯﻣﻲ ﻛﻪ ﺑﺮﺍﻱ ﺣﻔﺎﻇﺖ ﺩﺍﺩﻩﻫﺎ ﻭ ﺧﻨﺜﻲ ﻛﺮﺩﻥ ﻧﻴﺎﺕ ﺑﺪﺍﻧﺪﻳﺸﺎﻥ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺍﻣﻨﻴﺖ ﺭﺍﻳﺎﻧﻪ ﺍﺳﺖ‪.‬‬
‫ﺗﻐﻴﻴﺮ ﻋﻤﺪﺓ ﺩﻳﮕﺮ ﻛﻪ ﺍﻣﻨﻴﺖ ﺭﺍ ﺗﺤﺖ ﺗﺄﺛﻴﺮ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﺍﺳﺖ‪ ،‬ﻭﺭﻭﺩ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺗﻮﺯﻳﻊ ﺷﺪﻩ ﻭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺗﺴﻬﻴﻼﺕ ﺷﺒﻜﻪﺍﻱ‬
‫ﻭ ﺍﺭﺗﺒﺎﻃﻲ ﺑﺮﺍﻱ ﺣﻤﻞ ﺩﺍﺩﻩﻫﺎ ﺑﻴﻦ ﭘﺎﻳﺎﻧﻪ ﻭ ﺭﺍﻳﺎﻧﻪ‪ ،‬ﻭ ﺑﻴﻦ ﺭﺍﻳﺎﻧﻪ ﻭ ﺭﺍﻳﺎﻧﻪ ﺍﺳﺖ‪ .‬ﻣﻌﻴﺎﺭﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺑﺮﺍﻱ ﺣﻔﺎﻇﺖ ﺍﺯ ﺩﺍﺩﻩﻫﺎ ﺩﺭ‬
‫ﻫﻨﮕﺎﻡ ﺍﻧﺘﻘﺎﻝ ﺁﻥﻫﺎ ﺿﺮﻭﺭﻱ ﺍﺳﺖ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﺍﺻﻄﻼﺡ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺗﺎ ﺣﺪﻭﺩﻱ ﮔﻤﺮﺍﻩﻛﻨﻨﺪﻩ ﺍﺳﺖ ﺯﻳﺮﺍ ﺗﻤﺎﻡ ﻣﺸﺎﻏﻞ‪ ،‬ﺩﻭﻟﺖ ﻭ‬
‫ﺳﺎﺯﻣﺎﻥﻫﺎﻱ ﺁﻣﻮﺯﺷﻲ‪ ،‬ﺗﺠﻬﻴﺰﺍﺕ ﭘﺮﺩﺍﺯﺵ ﺩﻳﺘﺎﻱ ﺧﻮﺩ ﺭﺍ ﺑﺎ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺷﺒﻜﻪﻫﺎﻱ ﻣﺘﻌﺎﻣﻞ ﺑﻬﻢ ﻭﺻﻞ ﻛﺮﺩﻩﺍﻧﺪ‪ .‬ﭼﻨﻴﻦ ﻣﺠﻤﻮﻋﻪﺍﻱ‬
‫ﺭﺍ ﺍﻏﻠﺐ ﺍﻳﻨﺘﺮﻧﺖ ﻧﺎﻣﻨﺪ ﻭ ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﺁﻥ‪ ،‬ﺍﺻﻄﻼﺡ ﺍﻣﻨﻴﺖ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﻳﺎ ﺍﻣﻨﻴﺖ ﺑﻴﻦ ﺷﺒﻜﻪﺍﻱ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪.‬‬
‫ﺑﻴﻦ ﺍﻳﻦ ﺩﻭ ﻧﻮﻉ ﺍﻣﻨﻴﺖ‪ ،‬ﻣﺮﺯﺑﻨﺪﻱ ﺭﻭﺷﻨﻲ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ‪ .‬ﻣﺜﻼﹰ ﻳﻜﻲ ﺍﺯ ﻣﻌﺮﻭﻑﺗﺮﻳﻦ ﺍﻧﻮﺍﻉ ﺣﻤﻼﺕ ﺑﺮ ﺭﻭﻱ ﺳﻴﺴﺘﻢﻫﺎﻱ‬
‫ﺍﻃﻼﻋﺎﺗﻲ‪ ،‬ﻭﻳﺮﻭﺱ ﺭﺍﻳﺎﻧﻪﺍﻱ ﺍﺳﺖ‪ .‬ﻳﻚ ﻭﻳﺮﻭﺱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﺩﻳﺴﻜﺖ ﻭ ﻳﺎ ﻳﻚ ﺩﻳﺴﻚ ﻧﻮﺭﻱ ﺑﺼﻮﺭﺕ ﻓﻴﺰﻳﻜﻲ ﻭﺍﺭﺩ‬
‫ﺷﺪﻩ ﻭ ﻣﺘﻌﺎﻗﺒﺎﹰ ﺭﻭﻱ ﺭﺍﻳﺎﻧﻪﺍﻱ ﺑﺎﺭﮔﺬﺍﺭﻱ ﺷﻮﺩ‪ .‬ﻭﻳﺮﻭﺱﻫﺎ ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﻃﺮﻳﻖ ﺍﻳﻨﺘﺮﻧﺖ ﻭﺍﺭﺩ ﺷﻮﻧﺪ‪ .‬ﺩﺭ ﻫﺮ ﻳﻚ ﺍﺯ ﺩﻭ‬
‫ﻣﻮﺭﺩ‪ ،‬ﻫﻤﻴﻦﻛﻪ ﻭﻳﺮﻭﺱ ﺭﻭﻱ ﻳﻚ ﺳﻴﺴﺘﻢ ﺭﺍﻳﺎﻧﻪ ﻣﺴﺘﻘﺮ ﮔﺮﺩﻳﺪ‪ ،‬ﻟﻮﺍﺯﻡ ﺍﻣﻨﻴﺖ ﺩﺍﺧﻠﻲ ﺭﺍﻳﺎﻧﻪ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﺁﻥ ﻭ ﻧﺠﺎﺕ ﺭﺍﻳﺎﻧﻪ ﺍﺯ‬
‫ﺷﺮّ ﺁﻥ‪ ،‬ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﺍﻳﻦ ﻛﺘﺎﺏ ﺑﺮ ﺭﻭﻱ ﺍﻣﻨﻴﺖ ﺍﻳﻨﺘﺮﻧﺖ ﻣﺘﻤﺮﻛﺰ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﻣﻌﻴﺎﺭﻫﺎﺋﻲ ﺑﺮﺍﻱ ﺷﻨﺎﺳﺎﺋﻲ‪ ،‬ﺟﻠﻮﮔﻴﺮﻱ‪ ،‬ﺗﺸﺨﻴﺺ ﻭ ﺍﺻﻼﺡ‬
‫ﺗﺨﻠﻔﺎﺕ ﺍﻣﻨﻴﺘﻲ ﻛﻪ ﺍﻃﻼﻋﺎﺕ ﺭﺍ ﺗﺤﺖ ﺗﺄﺛﻴﺮ ﻗﺮﺍﺭ ﻣﻲﺩﻫﻨﺪ‪ ،‬ﻣﻲﺑﺎﺷﺪ‪ .‬ﺍﻳﻦ ﻣﻘﻮﻟﺔ ﮔﺴﺘﺮﺩﻩﺍﻱ ﺍﺳﺖ ﻛﻪ ﻣﻮﺍﺭﺩ ﻭﺳﻴﻌﻲ ﺭﺍ ﺩﺭ ﺑﺮﺩﺍﺭﺩ‪.‬‬
‫ﺑﺮﺍﻱ ﺍﻳﻦﻛﻪ ﺍﺣﺴﺎﺳﻲ ﺍﺯ ﻣﺴﺎﺋﻠﻲ ﻛﻪ ﺩﺭﺍﻳﻦ ﻛﺘﺎﺏ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻴﺪ‪ ،‬ﺑﻪ ﻣﺜﺎﻝﻫﺎﻱ ﺯﻳﺮ ﺍﺯ ﻣﺨﺎﻃﺮﺍﺕ ﺍﻣﻨﻴﺘﻲ‬
‫ﺗﻮﺟﻪ ﻛﻨﻴﺪ‪:‬‬
‫‪ -۱‬ﻛﺎﺭﺑﺮ‪ A‬ﻳﻚ ﻓﺎﻳﻞ ﺭﺍ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮ‪ B‬ﻣﻲﻓﺮﺳﺘﺪ‪ .‬ﻓﺎﻳﻞ ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺕ ﺣﺴﺎﺳﻲ )ﻣﺜﻞ ﺍﻃﻼﻋﺎﺕ ﻣﺎﻟﻲ( ﺍﺳﺖ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺍﺯ‬
‫ﺩﺳﺘﺮﺱ ﺑﻴﮕﺎﻧﻪ ﺩﻭﺭ ﺑﺎﺷﺪ‪ .‬ﻛﺎﺭﺑﺮ ‪ C‬ﻛﻪ ﻣﺠﺎﺯ ﺑﻪ ﺧﻮﺍﻧﺪﻥ ﻓﺎﻳﻞ ﻧﻤﻲﺑﺎﺷﺪ‪ ،‬ﻗﺎﺩﺭ ﺑﻪ ﭘﺎﺋﻴﺪﻥ ﺍﻧﺘﻘﺎﻝ ﺍﻃﻼﻋﺎﺕ ﺑﻮﺩﻩ ﻭ ﻳﻚ ﻧﺴﺨﻪ‬
‫ﺍﺯ ﻓﺎﻳﻞ ﺭﺍ ﺩﺭ ﻫﻨﮕﺎﻡ ﺍﺭﺳﺎﻝ ﺑﻪ ﺩﺳﺖ ﻣﻲﺁﻭﺭﺩ‪.‬‬
‫‪ -۲‬ﻳﻚ ﻣﺪﻳﺮ ﺷﺒﻜﻪ ‪ ،D‬ﭘﻴﺎﻣﻲ ﺭﺍ ﺑﺮﺍﻱ ﺭﺍﻳﺎﻧﺔ ‪ E‬ﻛﻪ ﺗﺤﺖ ﻣﺪﻳﺮﻳﺖ ﺍﻭﺳﺖ ﻣﻲﻓﺮﺳﺘﺪ‪ .‬ﭘﻴﺎﻡ ﺑﻪ ﺭﺍﻳﺎﻧﺔ ‪ E‬ﻓﺮﻣﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﻓﺎﻳﻞ‬
‫ﺍﻓﺮﺍﺩ ﻣﺠﺎﺯ ﺭﺍ ﺑﻪﺭﻭﺯﻛﺮﺩﻩ ﻭ ﻧﺎﻡ ﭼﻨﺪﻳﻦ ﻛﺎﺭﺑﺮ ﺟﺪﻳﺪﻛﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﻪ ﺳﻴﺴﺘﻢ ﺩﺳﺖ ﻳﺎﺑﻨﺪ ﺭﺍ ﺩﺭ ﺁﻥ ﻭﺍﺭﺩ ﻛﻨﺪ‪ .‬ﻛﺎﺭﺑﺮ ‪ F‬ﭘﻴﺎﻡ‬
‫ﺭﺍ ﺩﺯﺩﻳﺪﻩ‪ ،‬ﻣﺤﺘﻮﻳﺎﺕ ﺁﻥ ﺭﺍ ﺑﺎ ﺍﺿﺎﻓﻪ ﻛﺮﺩﻥ ﻭ ﻳﺎ ﺣﺬﻑ ﻛﺮﺩﻥ ﻧﺎﻡﻫﺎﻱ ﺩﻟﺨﻮﺍﻩ ﺧﻮﺩ ﺗﻐﻴﻴﺮ ﺩﺍﺩﻩ ﻭ ﺳﭙﺲ ﺁﻥ ﺭﺍ ﺑﺮﺍﻱ ‪E‬‬
‫ﻣﻲﻓﺮﺳﺘﺪ‪ E .‬ﭘﻴﺎﻡ ﺭﺍ ﺑﺎ ﺗﺼﻮﺭ ﺍﻳﻦﻛﻪ ﺍﺯ ﺳﻮﻱ ﻣﺪﻳﺮ ‪ D‬ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﭘﺬﻳﺮﻓﺘﻪ ﻭ ﻓﺎﻳﻞ ﺍﻓﺮﺍﺩ ﻣﺠﺎﺯ ﺭﺍ ﺑﺮ ﺍﺳﺎﺱ ﺁﻥ ﺑﻪﺭﻭﺯ‬
‫ﺩﺭﻣﻲﺁﻭﺭﺩ‪.‬‬
‫‪١٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬
‫‪ -۳‬ﺑﺠﺎﻱ ﺩﺯﺩﻳﺪﻥ ﻳﻚ ﭘﻴﺎﻡ‪ ،‬ﻛﺎﺭﺑﺮ ‪ ،F‬ﭘﻴﺎﻡ ﻣﻮﺭﺩ ﻧﻈﺮ ﺧﻮﻳﺶ ﺑﺎ ﻭﺭﻭﺩﻱﻫﺎﻱ ﺩﻟﺨﻮﺍﻩ ﺧﻮﺩ ﺭﺍ ﺳﺎﺧﺘﻪ ﻭ ﺁﻥ ﺭﺍ ﻃﻮﺭﻱ ﺑﺮﺍﻱ ‪E‬‬
‫ﻣﻲﻓﺮﺳﺘﺪ ﻛﻪ ‪ E‬ﺧﻴﺎﻝ ﻣﻲﻛﻨﺪ ﺍﺯ ﺟﺎﻧﺐ ﻣﺪﻳﺮ‪ D‬ﺻﺎﺩﺭ ﺷﺪﻩ ﺍﺳﺖ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻓﺎﻳﻞ ﺍﻓﺮﺍﺩ ﻣﺠﺎﺯ ﺭﺍ ﺑﺮ ﺍﺳﺎﺱ ﺁﻥ ﺑﻪﺭﻭﺯ‬
‫ﺩﺭ ﻣﻲﺁﻭﺭﺩ‪.‬‬
‫‪ -۴‬ﻛﺎﺭﻣﻨﺪﻱ ﺑﺪﻭﻥ ﺍﺧﻄﺎﺭ ﻗﺒﻠﻲ ﺍﺧﺮﺍﺝ ﻣﻲﺷﻮﺩ‪ .‬ﻣﺪﻳﺮ ﺍﻣﻮﺭ ﺍﺩﺍﺭﻱ ﭘﻴﺎﻣﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﺳِﺮﻭﺭ ﻣﻲﻓﺮﺳﺘﺪ ﺗﺎ ﺣﺴﺎﺏ ﺍﻭ ﺭﺍ ﺍﺯ ﺍﻋﺘﺒﺎﺭ‬
‫ﺧﺎﺭﺝ ﻧﻤﺎﻳﺪ‪ .‬ﻭﻗﺘﻲ ﺍﻳﻦ ﻋﻤﻞ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ ،‬ﺳِﺮﻭﺭ ﺑﺎﻳﺴﺘﻲ ﺗﺬﻛﺎﺭﻳﻪﺍﻱ ﺭﺍ ﺑﺮﺍﻱ ﻓﺎﻳﻞ ﻛﺎﺭﻣﻨﺪ ﺍﺭﺳﺎﻝ ﻛﺮﺩﻩ ﻭ ﺍﻧﺠﺎﻡ ﻋﻤﻞ ﺭﺍ‬
‫ﺗﺄﺋﻴﺪ ﻛﻨﺪ‪ .‬ﻛﺎﺭﻣﻨﺪ ﻗﺎﺩﺭ ﺑﻪ ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ ﭘﻴﺎﻡ ﺑﻮﺩﻩ ﻭ ﺍﺭﺳﺎﻝ ﺁﻥ ﺭﺍ ﺁﻧﻘﺪﺭ ﺑﻪ ﺗﺄﺧﻴﺮ ﻣﻲﺍﻧﺪﺍﺯﺩ ﺗﺎ ﺧﻮﺩ ﺑﺘﻮﺍﻧﺪ ﺁﺧﺮﻳﻦ‬
‫ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺳِﺮﻭﺭ ﺭﺍ ﭘﻴﺪﺍ ﻛﺮﺩﻩ ﻭ ﺍﻃﻼﻋﺎﺕ ﺣﺴﺎﺱ ﺭﺍ ﺍﺳﺘﺨﺮﺍﺝ ﻛﻨﺪ‪ .‬ﭘﺲ ﺍﺯ ﺁﻥ ﭘﻴﺎﻡ ﺍﺭﺳﺎﻝ ﺷﺪﻩ‪ ،‬ﻋﻤﻞ ﺻﻮﺭﺕ ﭘﺬﻳﺮﻓﺘﻪ‬
‫ﻭ ﺗﺄﺋﻴﺪ ﺁﻥ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﻋﻤﻞ ﺍﻳﻦ ﻛﺎﺭﻣﻨﺪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﻣﺪﺕ ﻗﺎﺑﻞ ﻣﻼﺣﻈﻪﺍﻱ ﻛﺸﻒ ﻧﺸﻮﺩ‪.‬‬
‫‪ -۵‬ﻳﻚ ﭘﻴﺎﻡ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﻃﺮﻑ ﻳﻚ ﻣﺸﺘﺮﻱ ﺑﺮﺍﻱ ﺧﺮﻳﺪ ﺳﻬﺎﻡ ﺑﻪ ﻛﺎﺭﮔﺰﺍﺭ ﺍﻭ ﻓﺮﺳﺘﺎﺩﻩ ﺷﻮﺩ‪ .‬ﻣﺘﻌﺎﻗﺒﺎﹰ ﻣﻤﻜﻦ ﺍﺳﺖ ﻗﻴﻤﺖ‬
‫ﺳﻬﺎﻡ ﭘﺎﺋﻴﻦ ﺁﻣﺪﻩ ﻭ ﻣﺸﺘﺮﻱ ﺍﺭﺳﺎﻝ ﭼﻨﻴﻦ ﭘﻴﺎﻣﻲ ﺭﺍ ﺍﻧﻜﺎﺭ ﻛﻨﺪ‪.‬‬
‫ﺍﮔﺮﭼﻪ ﺍﻳﻦ ﻟﻴﺴﺖ ﺑﻬﻴﭻ ﻭﺟﻪ ﺗﻤﺎﻡ ﺗﻬﺪﻳﺪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﭘﻮﺷﺶ ﻧﻤﻲﺩﻫﺪ‪ ،‬ﻭﻟﻲ ﻧﻤﺎﻳﺶﮔﺮ ﻣﺤﺪﻭﺩﺓ ﻭﺳﻴﻊ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺍﺳﺖ‪.‬‬
‫ﺍﻣﻨﻴﺖ ﺑﻴﻦ ﺷﺒﻜﻪﺍﻱ‪ ،‬ﻫﻢ ﺟﺬﺍﺏ ﻭ ﻫﻢ ﭘﻴﭽﻴﺪﻩ ﺍﺳﺖ‪ .‬ﺑﺮﺧﻲ ﺩﻻﻳﻞ ﺁﻥ ﺑﻪ ﻗﺮﺍﺭ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫‪ -۱‬ﺍﻣﻨﻴﺘﻲ ﻛﻪ ﺍﺭﺗﺒﺎﻃﺎﺕ ﻭ ﺷﺒﻜﻪﻫﺎ ﺩﺭﮔﻴﺮﺁﻧﻨﺪ ﺁﻧﭽﻨﺎﻥ ﻛﻪ ﺩﺭ ﺍﺑﺘﺪﺍ ﺑﺮﺍﻱ ﻳﻚ ﺗﺎﺯﻩﻛﺎﺭ ﺟﻠﻮﻩ ﻣﻲﻛﻨﺪ‪ ،‬ﺳﺎﺩﻩ ﻧﻴﺴﺖ‪ .‬ﺍﻫﺪﺍﻑ ﺍﻳﻦ‬
‫ﺍﻣﻨﻴﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﺧﻴﻠﻲ ﺳﺎﺩﻩ ﺑﻴﺎﻥ ﺷﻮﻧﺪ ﻭ ﺩﺭ ﻭﺍﻗﻊ ﻧﻴﺎﺯﻫﺎﻱ ﺍﺳﺎﺳﻲ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺍﻏﻠﺐ ﺑﺎ ﻳﻚ ﻛﻠﻤﻪ ﺑﻴﺎﻥ ﻣﻲﺷﻮﻧﺪ‪:‬‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ‪ ،‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻋﺪﻡ ﺍﻧﻜﺎﺭ‪ ،‬ﺻﺤﺖ‪ .‬ﺍﻣﺎ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﺋﻲ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ﺣﺼﻮﻝ ﺍﻳﻦ ﻧﻴﺎﺯﻫﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﻧﺪ ﺍﻏﻠﺐ‬
‫ﺑﺴﻴﺎﺭ ﭘﻴﭽﻴﺪﻩ ﺑﻮﺩﻩ ﻭ ﻓﻬﻢ ﺁﻧﻬﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺳﺘﺪﻻﻻﺕ ﺯﻳﺮﻛﺎﻧﻪﺍﻱ ﺭﺍ ﺍﻳﺠﺎﺏ ﻛﻨﺪ‪.‬‬
‫‪ -۲‬ﺩﺭ ﻃﺮﺍﺣﻲ ﻳﻚ ﻣﻜﺎﻧﻴﺴﻢ ﻭ ﻳﺎ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻣﻨﻴﺘﻲ ﺑﺨﺼﻮﺹ‪ ،‬ﻫﻤﻴﺸﻪ ﺑﺎﻳﺴﺘﻲ ﺣﻤﻼﺕ ﻣﺆﺛﺮ ﺑﺮ ﻋﻠﻴﻪ ﺁﻥ ﻭﻳﮋﮔﻲ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺩﺭ‬
‫ﻧﻈﺮ ﺩﺍﺷﺖ‪ .‬ﺩﺭ ﺑﺴﻴﺎﺭﻱ ﻣﻮﺍﺭﺩ‪ ،‬ﺣﻤﻼﺕ ﻣﻮﻓﻘﻴﺖﺁﻣﻴﺰ ﺑﺎ ﻧﮕﺎﻫﻲ ﻛﺎﻣﻼﹰ ﻣﺘﻔﺎﻭﺕ ﺑﻪ ﻣﺴﺄﻟﻪ ﻃﺮﺍﺣﻲ ﻣﻲﺷﻮﻧﺪ ﻭ ﺍﺯ ﻧﻘﺎﻁ ﺿﻌﻒ‬
‫ﻏﻴﺮﻗﺎﺑﻞ ﺍﻧﺘﻈﺎﺭ ﻣﻜﺎﻧﻴﺴﻢ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫‪ -۳‬ﺑﻌﻠﺖ ﻧﻜﺘﺔ ﺑﺎﻻ‪ ،‬ﺭﻭﺵﻫﺎﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺑﺮﺍﻱ ﻓﺮﺍﻫﻢ ﻧﻤﻮﺩﻥ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺑﺨﺼﻮﺹ‪ ،‬ﺍﻏﻠﺐ ﺳﺎﺩﻩ ﺑﻪ ﺫﻫﻦ ﻧﻤﻲﺁﻳﻨﺪ‪ .‬ﺍﻏﻠﺐ‬
‫ﺑﻴﺎﻥ ﻳﻚ ﻧﻴﺎﺯ ﺍﻣﻨﻴﺘﻲ ﻧﻤﻲﺗﻮﺍﻧﺪ ﺯﻧﺠﻴﺮﺓ ﭘﻴﭽﻴﺪﻩﺍﻱ ﺍﺯ ﻋﻤﻠﻴﺎﺗﻲ ﻛﻪ ﻃﺮﺍﺣﻲ ﺷﺪﻩﺍﻧﺪ ﺭﺍ ﺑﻪ ﺭﺍﺣﺘﻲ ﺗﻮﺟﻴﻪ ﻛﻨﺪ‪ .‬ﺗﻨﻬﺎ ﺯﻣﺎﻧﻲ ﺍﻳﻦ‬
‫ﻣﻌﻴﺎﺭﻫﺎ ﻣﻌﻨﻲ ﭘﻴﺪﺍ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﺷﮕﺮﺩﻫﺎﻱ ﺿﺪﺍﻣﻨﻴﺘﻲ ﺁﻧﻬﺎ ﻣﻄﺎﻟﻌﻪ ﺷﻮﻧﺪ‪.‬‬
‫‪ -۴‬ﻭﻗﺘﻲ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﻣﺘﻔﺎﻭﺕ ﺍﻣﻨﻴﺘﻲ ﻃﺮﺍﺣﻲ ﺷﺪﻧﺪ‪ ،‬ﻻﺯﻡ ﺍﺳﺖ ﺗﺼﻤﻴﻢ ﮔﺮﻓﺘﻪ ﺷﻮﺩ ﻛﻪ ﺩﺭ ﻛﺠﺎ ﺑﺎﻳﺪ ﺍﺯ ﺁﻧﻬﺎ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ‪ .‬ﺍﻳﻦ‬
‫ﺍﻣﺮ ﻫﻢ ﺩﺭ ﻣﻮﺭﺩ ﻣﺤﻞ ﻓﻴﺰﻳﻜﻲ ﺁﻧﻬﺎ )ﺍﻳﻦ ﻛﻪ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺩﺭ ﻛﺪﺍﻡ ﻧﻘﻄﺔ ﺷﺒﻜﻪ ﻣﻮﺭﺩ ﻧﻴﺎﺯﻧﺪ( ﻭ ﻫﻢ ﺩﺭ ﻣﻔﻬﻮﻡ‬
‫ﻣﻨﻄﻘﻲ ﺁﻧﻬﺎ )ﺍﻳﻦ ﻛﻪ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺩﺭﻛﺪﺍﻡ ﻻﻳﻪ ﻭ ﻳﺎ ﻻﻳﻪﻫﺎﻱ ﻳﻚ ﻣﻌﻤﺎﺭﻱ‪ ،‬ﻣﺜﻞ ‪ ،TCP/IP‬ﺑﺎﻳﺪ ﮔﻨﺠﺎﻧﺪﻩ ﺷﻮﻧﺪ(‪،‬‬
‫ﺻﺤﻴﺢ ﻣﻲﺑﺎﺷﺪ‪.‬‬
‫‪ -۵‬ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﻌﻤﻮﻻﹰ ﺷﺎﻣﻞ ﺑﻴﺶ ﺍﺯ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻭ ﻳﺎ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﻫﺴﺘﻨﺪ‪ .‬ﺁﻧﻬﺎ ﻣﻌﻤﻮﻻﹰ ﺍﺷﺨﺎﺹ ﺭﺍ ﻣﻘﻴﺪ ﻣﻲﻛﻨﻨﺪ ﺗﺎ‬
‫ﺑﺮﺧﻲ ﺍﻃﻼﻋﺎﺕ ﺳﺮّﻱ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ )ﻣﺜﻼﹰ ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ( ﻛﻪ ﺍﻳﻦ ﺧﻮﺩ ﺳﺆﺍﻻﺗﻲ ﺩﺭ ﺯﻣﻴﻨﺔ ﺗﻮﻟﻴﺪ‪ ،‬ﺗﻮﺯﻳﻊ ﻭ‬
‫ﺣﻔﺎﻇﺖ ﺍﺯ ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﺳﺮّﻱ ﺭﺍ ﻣﻄﺮﺡ ﻣﻲﺳﺎﺯﺩ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺍﺗﻜﺎﺀ ﺑﻪ ﺭﻓﺘﺎﺭ ﺑﺮﺧﻲ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﺭﺗﺒﺎﻃﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﻭﻇﻴﻔﺔ‬
‫ﻃﺮﺍﺣﻲ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺑﺎ ﻣﺸﻜﻞ ﻣﻮﺍﺟﻪ ﺳﺎﺯﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﺍﮔﺮ ﻋﻤﻠﻜﺮﺩ ﺻﺤﻴﺢ ﻳﻚ ﻣﻜﺎﻧﻴﺴﻢ ﺍﻣﻨﻴﺘﻲ ﻧﻴﺎﺯ ﺑﻪ‬
‫ﻣﺤﺪﻭﺩ ﻛﺮﺩﻥ ﺯﻣﺎﻥ ﺍﻧﺘﻘﺎﻝ ﻳﻚ ﭘﻴﺎﻡ ﺑﻴﻦ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﮔﻴﺮﻧﺪﻩ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﻫﺮ ﭘﺮﻭﺗﻜﻞ ﻳﺎ ﺷﺒﻜﻪﺍﻱ ﻛﻪ ﺗﺄﺧﻴﺮ ﺯﻣﺎﻧﻲ‬
‫ﻣﺘﻐﻴﺮ ﻭ ﻳﺎ ﻏﻴﺮﻗﺎﺑﻞ ﺍﻧﺘﻈﺎﺭﻱ ﺩﺭ ﺍﺭﺳﺎﻝ ﭘﻴﺎﻡ ﺭﺍ ﺍﻳﺠﺎﺩ ﻧﻤﺎﻳﺪ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﻳﻦ ﻣﻌﻴﺎﺭ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺑﻲﻣﻌﻨﻲ ﺳﺎﺯﺩ‪.‬‬
‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪١٦‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ‪ ،‬ﻧﻜﺎﺕ ﺑﺴﻴﺎﺭﻱ ﺭﺍ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻧﻈﺮ ﺩﺍﺷﺖ‪ .‬ﺍﻳﻦ ﻓﺼﻞ ﻳﻚ ﻧﮕﺎﻩ ﻛﻠﹼﻲ ﺑﻪ ﻣﺴﺄﻟﻪ ﺩﺍﺷﺘﻪ ﻭ ﺳﺎﺧﺘﺎﺭ ﻣﻄﺎﻟﺐ ﺑﻘﻴﺔ ﻛﺘﺎﺏ ﺭﺍ‬
‫ﺳﺎﺯﻣﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻣﻮﺿﻮﻉ ﺭﺍ ﺑﺎ ﻳﻚ ﺑﺤﺚ ﻛﻠﻲ ﺩﺭ ﻣﻮﺭﺩ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﻭ ﺍﻧﻮﺍﻉ ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ ﻛﻪ ﺍﻳﻦ ﺳﺮﻭﻳﺲﻫﺎ‬
‫ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﺁﻧﻬﺎ ﭘﺎﺳﺦ ﺩﻫﻨﺪ‪ ،‬ﺷﺮﻭﻉ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺁﻧﮕﺎﻩ ﻳﻚ ﻣﺪﻝ ﻋﻤﻮﻣﻲ ﻛﻪ ﺳﺮﻭﻳﺲﻫﺎ ﻭ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﻣﻨﻈﺮ ﺁﻥ‬
‫ﺩﻳﺪﻩ ﺷﻮﻧﺪ ﺭﺍ ﺍﺭﺍﺋﻪ ﻣﻲﺩﻫﻴﻢ‪.‬‬
‫ﺭَﻭَﻧﺪ ﺍﻣﻨﻴﺖ‬ ‫‪۱-۱‬‬
‫ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۴‬ﻣﻴﻼﺩﻱ‪ ،‬ﮔﺮﻭﻩ ﻣﻌﻤﺎﺭﻱ ﺍﻳﻨﺘﺮﻧﺖ )‪ (IAB‬ﮔﺰﺍﺭﺷﻲ ﺑﺎ ﻋﻨﻮﺍﻥ »ﺍﻣﻨﻴﺖ ﺩﺭ ﻣﻌﻤﺎﺭﻱ ﺍﻳﻨﺘﺮﻧﺖ« ﺭﺍ ﻣﻨﺘﺸﺮ ﻧﻤﻮﺩ‬
‫)‪ .(RFC 1636‬ﺍﻳﻦ ﮔﺰﺍﺭﺵ ﺑﻴﺎﻥﻛﻨﻨﺪﺓ ﺗﻮﺍﻓﻖ ﺟﻤﻌﻲ ﺑﺮ ﺍﻳﻦ ﻣﻄﻠﺐ ﺑﻮﺩ ﻛﻪ ﺍﻳﻨﺘﺮﻧﺖ ﺑﻪ ﺍﻣﻨﻴﺖ ﺑﻴﺸﺘﺮ ﻭ ﺑﻬﺘﺮﻱ ﻧﻴﺎﺯ ﺩﺍﺭﺩ‪ .‬ﺩﺭ‬
‫ﺿﻤﻦ‪ ،‬ﺯﻣﻴﻨﻪﻫﺎﻱ ﻛﻠﻴﺪﻱ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻧﻴﺰ ﺩﺭ ﺍﻳﻦ ﮔﺰﺍﺭﺵ ﻣﺸﺨﺺ ﺷﺪﻩ ﺑﻮﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﮔﺰﺍﺭﺵ ﺑﻪ ﻣﻘﻮﻟﻪﻫﺎﺋﻲ ﭼﻮﻥ ﻧﻴﺎﺯ ﺑﻪ‬
‫ﻣﺼﻮﻥ ﻛﺮﺩﻥ ﺯﻳﺮﺳﺎﺧﺖ ﺷﺒﻜﻪ ﺍﺯ ﭘﺎﻳﺶﻫﺎﻱ ﻏﻴﺮﻣﺠﺎﺯ‪ ،‬ﻛﻨﺘﺮﻝ ﺗﺮﺍﻓﻴﻚ ﺷﺒﻜﻪ ﻭ ﺍﻣﻦ ﻛﺮﺩﻥ ﺗﺮﺍﻓﻴﻚ ﻛﺎﺭﺑﺮﺍﻧﺘﻬﺎﺋﻲ‪ -‬ﺑﻪ‪-‬ﻛﺎﺭﺑﺮ ﺍﻧﺘﻬﺎﺋﻲ‬
‫ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺷﺎﺭﻩ ﺷﺪﻩ ﺑﻮﺩ‪.‬‬
‫ﺍﻳﻦ ﻧﮕﺮﺍﻧﻲﻫﺎ ﻛﺎﻣﻼﹰ ﺑﺠﺎ ﻫﺴﺘﻨﺪ‪ .‬ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﺍﻳﻦ ﺍﻣﺮ ﺑﻪ ﮔﺰﺍﺭﺵ ﺭَﻭَﻧﺪ ﺍﻣﻨﻴﺖ ﻣﺮﻛﺰ ﻫﻤﺎﻫﻨﮕﻲ ﺗﻴﻢ ﭘﺎﺳﺨﮕﻮﺋﻲ ﺑﻪ ﻓﻮﺭﻳﺖﻫﺎﻱ‬
‫ﺭﺍﻳﺎﻧﻪﺍﻱ)‪ (CERT/CC‬ﺗﻮﺟﻪ ﻛﻨﻴﺪ‪ .‬ﺷﻜﻞ ‪۱-۱‬ﺍﻟﻒ ﺭَﻭَﻧﺪ ﺭﺷﺪ ﺁﺳﻴﺐﭘﺬﻳﺮﻱﻫﺎﻱ ﻣﺮﺗﺒﻂ‪ -‬ﺑﺎ‪ -‬ﺍﻳﻨﺘﺮﻧﺖ ﮔﺰﺍﺭﺵ ﺷﺪﻩ ﺑﻪ ‪CERT‬‬
‫ﺩﺭ ﻃﻲ ﻳﻚ ﺩﻭﺭﺓ ﺩﻩﺳﺎﻟﻪ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻨﻬﺎ ﺷﺎﻣﻞ ﺿﻌﻒﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﻮﺟﻮﺩ ﺩﺭ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻋﺎﻣﻞ ﺭﺍﻳﺎﻧﻪﻫﺎ )ﻣﺜﻞ‬
‫‪ Windows‬ﻭ ‪ (Linux‬ﻭ ﻫﻤﭽﻨﻴﻦ ﺁﺳﻴﺐﭘﺬﻳﺮﻱﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺩﺭ ﻣﺴﻴﺮﻳﺎﺏﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺳﺎﻳﺮ ﺗﺠﻬﻴﺰﺍﺕ ﺷﺒﻜﻪﺍﻧﺪ‪ .‬ﺷﻜﻞ‬
‫‪۱-۱‬ﺏ ﺗﻌﺪﺍﺩ ﻣﺸﻜﻼﺕ ﻣﺮﺗﺒﻂ‪ -‬ﺑﺎ‪ -‬ﺍﻣﻨﻴﺖ ﮔﺰﺍﺭﺵ ﺷﺪﻩ ﺑﻪ ‪ CERT‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻨﻬﺎ ﺷﺎﻣﻞ ﺣﻤﻼﺕ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ‪ ،‬ﺟﻌﻞ‬
‫‪ IP‬ﻛﻪ ﺩﺭ ﺁﻥ ﻣﻬﺎﺟﻤﻴﻦ ﺑﺴﺘﻪﻫﺎﺋﻲ ﺑﺎ ﺁﺩﺭﺱ ‪ IP‬ﺟﻌﻠﻲ ﺧﻠﻖ ﻛﺮﺩﻩ ﻭ ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﺭﺍ ﻛﻪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ‪ IP‬ﺩﺍﺭﻧﺪ ﺭﺍ ﻓﺮﻳﺐ‬
‫ﻣﻲﺩﻫﻨﺪ‪ ،‬ﻭ ﻓﺮﻡﻫﺎﻱ ﻣﺘﻨﻮﻋﻲ ﺍﺯ ﺍﺳﺘﺮﺍﻕﺳﻤﻊ ﻭ ﺑﻮﻛﺸﻴﺪﻥ ﺑﺴﺘﻪﻫﺎ ﻛﻪ ﺩﺭ ﺁﻥ ﺣﻤﻠﻪﻛﻨﻨﺪﮔﺎﻥ ﺍﻃﻼﻋﺎﺕ ﺍﻧﺘﻘﺎﻝﻳﺎﻓﺘﻪ ﺍﺯ ﻗﺒﻴﻞ ﺍﻃﻼﻋﺎﺕ‬
‫ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﺗﺼﺎﻝ ﺑﻪ ﺳﻴﺴﺘﻢ ﻭ ﻣﺤﺘﻮﺍﻱ ﭘﺎﻳﮕﺎﻩﻫﺎﻱ ﺩﺍﺩﻩ ﺭﺍ ﻣﻲﺧﻮﺍﻧﻨﺪ‪ ،‬ﻫﺴﺘﻨﺪ‪.‬‬
‫‪4500‬‬
‫‪4000‬‬
‫‪3500‬‬
‫‪3000‬‬
‫‪2500‬‬
‫‪2000‬‬
‫‪1500‬‬
‫‪1000‬‬
‫‪500‬‬
‫‪1995‬‬ ‫‪1996‬‬ ‫‪1997‬‬ ‫‪1998‬‬ ‫‪1999‬‬ ‫‪2000‬‬ ‫‪2001‬‬ ‫‪2002‬‬ ‫‪2003‬‬ ‫‪2004‬‬
‫ﺁﺳﻴﺐﭘﺬﻳﺮﻱﻫﺎﻱ ﮔﺰﺍﺭﺵ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪CERT‬‬ ‫ﺷﻜﻞ ‪۱-۱‬ﺍﻟﻒ‬

‫‪١٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬
‫‪140,000‬‬
‫‪130,000‬‬
‫‪120,000‬‬
‫‪110,000‬‬
‫‪100,000‬‬
‫‪90,000‬‬
‫‪80,000‬‬
‫‪70,000‬‬
‫‪60,000‬‬
‫‪50,000‬‬
‫‪40,000‬‬
‫‪30,000‬‬
‫‪20,000‬‬
‫‪10,000‬‬
‫‪1995‬‬ ‫‪1996‬‬ ‫‪1997‬‬ ‫‪1998‬‬ ‫‪1999‬‬ ‫‪2000‬‬ ‫‪2001‬‬ ‫‪2002‬‬ ‫‪2003‬‬
‫ﺷﻜﻞ ‪ ۱-۱‬ﺏ ﺣﻮﺍﺩﺙ ﺍﻣﻨﻴﺘﻲ ﮔﺰﺍﺭﺵ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪CERT‬‬
‫ﺩﺭ ﻃﻮﻝ ﺯﻣﺎﻥ‪ ،‬ﺣﻤﻼﺕ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﺘﺼﻞ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﭘﻴﭽﻴﺪﻩﺗﺮ ﺷﺪﻩ ﺩﺭ ﺣﺎﻟﻲﻛﻪ ﻣﻬﺎﺭﺕ ﻭ ﻣﻌﻠﻮﻣﺎﺕ ﻻﺯﻡ‬
‫ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﺣﻤﻠﻪ ﻛﺎﻫﺶ ﻳﺎﻓﺘﻪ ﺍﺳﺖ )ﺷﻜﻞ ‪ .(۱-۲‬ﺩﺭ ﺿﻤﻦ‪ ،‬ﺣﻤﻼﺕ ﻓﺮﻡ ﺧﻮﺩﻛﺎﺭﺗﺮﻱ ﺑﻪ ﺧﻮﺩ ﮔﺮﻓﺘﻪ ﻭ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺻﺪﻣﺎﺕ‬
‫ﺑﻴﺸﺘﺮﻱ ﺭﺍ ﻭﺍﺭﺩ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫ﺍﻳﻦ ﺍﻓﺰﺍﻳﺶ ﺩﺭ ﺗﻌﺪﺍﺩ ﺣﻤﻼﺕ‪ ،‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺑﻴﺸﺘﺮ ﺍﺯ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺍﻓﺰﺍﻳﺶ ﭘﻴﭽﻴﺪﮔﻲ ﭘﺮﻭﺗﻜﻞﻫﺎ‪ ،‬ﻛﺎﺭﺑﺮﺩﻫﺎ ﻭ ﺧﻮﺩ ﺍﻳﻨﺘﺮﻧﺖ‬
‫ﻣﻘﺎﺭﻥ ﺑﻮﺩﻩﺍﻧﺪ‪ .‬ﺯﻳﺮﺳﺎﺧﺖﻫﺎﻱ ﺣﻴﺎﺗﻲ‪ ،‬ﺑﻄﻮﺭ ﺭﻭﺯﺍﻓﺰﻭﻧﻲ ﺑﺮﺍﻱ ﻋﻤﻠﻴﺎﺕ ﺧﻮﺩ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﻣﺘﻜﻲﺍﻧﺪ‪ .‬ﻛﺎﺭﺑﺮﺍﻥ ﻣﻨﻔﺮﺩ ﻧﻴﺰ ﺑﻪ ﺍﻣﻨﻴﺖ‬
‫ﺍﻳﻨﺘﺮﻧﺖ‪ ،‬ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪ ،‬ﻭِﺏ ﻭ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﻭِﺏ ﺑﻴﺶ ﺍﺯ ﭘﻴﺶ ﺍﺗﻜﺎ ﺩﺍﺭﻧﺪ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﻳﻚ ﻣﺤﺪﻭﺩﺓ ﻭﺳﻴﻊ ﺍﺯ ﺗﻜﻨﻮﻟﻮﮊﻱﻫﺎ‬
‫ﻭ ﺍﺑﺰﺍﺭﻫﺎ‪ ،‬ﺑﺮﺍﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺍﻳﻦ ﺗﻬﺪﻳﺪﻫﺎﻱ ﻓﺰﺍﻳﻨﺪﻩ ﻣﻮﺭﺩ ﻧﻴﺎﺯﻧﺪ‪ .‬ﺩﺭ ﺳﻄﺢ ﺍﺑﺘﺪﺍﺋﻲ‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎ ﻫﺪﻑ ﻣﺤﺮﻣﺎﻧﮕﻲ ﻭ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﻫﻤﻴﺖ ﺯﻳﺎﺩﺗﺮﻱ ﺩﺍﺭﻧﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻃﺮﺍﺣﺎﻥ ﻧﻴﺎﺯﻣﻨﺪ ﺗﻤﺮﻛﺰ ﺑﺮ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻣﺒﺘﻨﻲ‪ -‬ﺑﺮ‪ -‬ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺁﺳﻴﺐﭘﺬﻳﺮﻱﻫﺎﻱ‬
‫ﺳﻴﺴﺘﻢﻫﺎﻱ ﻋﺎﻣﻞ ﻭ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﺍﻳﻦ ﻛﺘﺎﺏ ﺗﻤﺎﻡ ﺍﻳﻦ ﺯﻣﻴﻨﻪﻫﺎﻱ ﺗﻜﻨﻴﻜﻲ ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ ‪OSI‬‬ ‫‪۱-۲‬‬
‫ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ ﻧﻴﺎﺯﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻳﻚ ﺳﺎﺯﻣﺎﻥ‪ ،‬ﻭ ﺑﺮﺍﻱ ﺍﺭﺯﻳﺎﺑﻲ ﻭ ﺍﻧﺘﺨﺎﺏ ﺧﻂﻣﺸﻲﻫﺎ ﻭ ﻣﺤﺼﻮﻻﺕ ﺍﻣﻨﻴﺘﻲ ﻣﺨﺘﻠﻒ‪ ،‬ﻣﺪﻳﺮ ﻣﺴﺌﻮﻝ ﺍﻣﻨﻴﺖ‬
‫ﻧﻴﺎﺯﻣﻨﺪ ﻳﻚ ﺭﻭﺵ ﺳﻴﺴﺘﻤﺎﺗﻴﻚ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﻧﻴﺎﺯﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﻣﺸﺨﺺ ﻛﺮﺩﻥ ﺭﻭﺵﻫﺎﻱ ﺗﺄﻣﻴﻦ ﺍﻳﻦ ﻧﻴﺎﺯﻫﺎﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻣﺮﺧﻮﺩ‬
‫ﺑﻘﺪﺭ ﻛﺎﻓﻲ ﺩﺭ ﻳﻚ ﻣﺤﻴﻂ ﻣﺘﻤﺮﻛﺰ ﭘﺮﺩﺍﺯﺵ ﺩﺍﺩﻩﻫﺎ ﭘﻴﭽﻴﺪﻩ ﺑﻮﺩﻩ ﻭ ﺩﺭ ﺻﻮﺭﺕ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺷﺒﻜﻪﻫﺎﻱ ‪ LAN‬ﻭ ‪ WAN‬ﭘﻴﭽﻴﺪﮔﻲ ﺁﻥ‬
‫ﭼﻨﺪﻳﻦ ﺑﺮﺍﺑﺮ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺗﻮﺻﻴﻪﻧﺎﻣﺔ ‪ X.800‬ﺳﺎﺯﻣﺎﻥ ‪ ITU-T‬ﺑﺎ ﻧﺎﻡ‪ ،‬ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ ﺑﺮﺍﻱ ‪ ،OSI‬ﭼﻨﻴﻦ ﺭﻭﺵ ﺳﻴﺴﺘﻤﺎﺗﻴﻜﻲ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ ‪ OSI‬ﺑﺮﺍﻱ ﺳﺎﺯﻣﺎﻧﺪﻫﻲ ﻭﻇﻴﻔﺔ ﺍﻳﺠﺎﺩ ﺍﻣﻨﻴﺖ ﺑﺮﺍﻱ ﻣﺪﻳﺮﺍﻥ‪ ،‬ﻣﻔﻴﺪ ﺍﺳﺖ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﭼﻮﻥ ﺍﻳﻦ ﻣﻌﻤﺎﺭﻱ ﺑﺼﻮﺭﺕ ﻳﻚ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺑﻴﻦﺍﻟﻤﻠﻠﻲ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺳﺎﺯﻧﺪﮔﺎﻥ ﺭﺍﻳﺎﻧﻪﻫﺎ ﻭ ﺗﺠﻬﻴﺰﺍﺕ ﺍﺭﺗﺒﺎﻃﻲ‪ ،‬ﺧﺼﻮﺻﻴﺎﺕ ﺍﻣﻨﻴﺘﻲ ﻣﺤﺼﻮﻻﺕ ﺧﻮﺩ ﺭﺍ ﺑﺮ ﺍﺳﺎﺱ‬
‫ﺗﻌﺎﺭﻳﻒ‪ ،‬ﺳﺮﻭﻳﺲﻫﺎ ﻭ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻳﻦ ﻣﻌﻤﺎﺭﻱ ﻓﺮﺍﻫﻢ ﻧﻤﻮﺩﻩﺍﻧﺪ‪.‬‬
‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪١٨‬‬
‫‪Sophisticated command and control‬‬

‫‪Increase in worms‬‬ ‫‪Low‬‬
‫‪Anti-forensic techniques‬‬
‫‪Home users targeted‬‬
‫‪Intruder‬‬
‫‪DDoS attacks‬‬
‫‪Knowledge‬‬
‫‪Distributed attack tools‬‬
‫‪Increase in wide-scale Torjan horse distribution‬‬
‫‪Attack Sophistication‬‬
‫‪e-mail propagation of malicious code‬‬
‫)‪Windows-based remote controllable Torjans (back office‬‬
‫‪"Stealth"/advanced scanning techniques‬‬
‫‪Widespread attacks on‬‬
‫‪Widespread attacks using‬‬ ‫‪DNS infrastructure‬‬
‫‪NNTP to distribute attack‬‬ ‫‪Techniques to analyze code‬‬
‫‪for vuls without source‬‬
‫)‪Executable code attacks (agains browsers‬‬
‫‪Widespread DoS attacks‬‬
‫‪Automated widespread attacks‬‬
‫‪GUI intruder tools‬‬
‫‪Automated probes/scans‬‬
‫‪Hijacking sessions‬‬
‫‪Packet spoofing‬‬
‫‪Sniffers‬‬ ‫‪High‬‬
‫‪Internet social engineering attacks‬‬
‫‪High‬‬ ‫‪Intruder Knowledge‬‬ ‫‪Low‬‬

‫‪1990‬‬ ‫‪1991‬‬ ‫‪1992‬‬ ‫‪1993‬‬ ‫‪1994‬‬ ‫‪1995‬‬ ‫‪1996‬‬ ‫‪1997‬‬ ‫‪1998‬‬ ‫‪1999‬‬ ‫‪2000‬‬ ‫‪2001‬‬
‫‪Source: CERT‬‬
‫ﺷﻜﻞ ‪ ۱-۲‬ﺭَﻭَﻧﺪ ﭘﻴﭽﻴﺪﮔﻲ ﺣﻤﻼﺕ ﻭ ﺁﮔﺎﻫﻲﻫﺎﻱ ﻣﻬﺎﺟﻢ‬
‫ﺑﺮﺍﻱ ﻣﻘﺎﺻﺪ ﻣﺎ‪ ،‬ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ ‪ OSI‬ﻳﻚ ﺩﻳﺪ ﻛﻠﻲ‪ ،‬ﺍﮔﺮﭼﻪ ﻣﺒﻬﻢ‪ ،‬ﺍﺯ ﻣﺒﺎﺣﺜﻲ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﻛﺘﺎﺏ ﺑﻪ ﺁﻧﻬﺎ ﭘﺮﺩﺍﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‬
‫ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﺩ‪ .‬ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ ‪ OSI‬ﺑﺮ ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﻣﻜﺎﻧﻴﺴﻢﻫﺎ ﻭ ﺳﺮﻭﻳﺲﻫﺎ ﺗﻤﺮﻛﺰ ﺩﺍﺭﺩ‪ .‬ﺍﻳﻦ ﻋﻨﺎﻭﻳﻦ ﺭﺍ ﺑﻄﻮﺭ ﺧﻼﺻﻪ‬
‫ﭼﻨﻴﻦ ﻣﻲﺗﻮﺍﻥ ﺗﻌﺮﻳﻒ ﻛﺮﺩ‪:‬‬
‫• ﺣﻤﻠﺔ ﺍﻣﻨﻴﺘﻲ‪ :‬ﻫﺮ ﻋﻤﻠﻲ ﻛﻪ ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ ﻣﺘﻌﻠﻖ ﺑﻪ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﺭﺍ ﺑﻪ ﻣﺨﺎﻃﺮﻩ ﺍﻧﺪﺍﺯﺩ‪.‬‬
‫• ﻣﻜﺎﻧﻴﺴﻢ ﺍﻣﻨﻴﺘﻲ‪ :‬ﺳﺎﺯﻭﻛﺎﺭﻱ ﻛﻪ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ‪ ،‬ﺟﻠﻮﮔﻴﺮﻱ ﻭ ﻳﺎ ﺑﺨﻮﺩﺁﻣﺪﻥ ﺍﺯ ﻳﻚ ﺣﻤﻠﺔ ﺍﻣﻨﻴﺘﻲ ﺑﻜﺎﺭ ﺭﻭﺩ‪.‬‬
‫• ﺳﺮﻭﻳﺲ ﺍﻣﻨﻴﺘﻲ‪ :‬ﺳﺮﻭﻳﺴﻲ ﻛﻪ ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢﻫﺎﻱ ﭘﺮﺩﺍﺯﺵ ﺍﻃﻼﻋﺎﺕ ﻭ ﺍﻧﺘﻘﺎﻝ ﺍﻃﻼﻋﺎﺕ ﺩﺭ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﺭﺍ ﺍﺭﺗﻘﺎﺀ ﺑﺨﺸﺪ‪.‬‬
‫ﻫﺪﻑ ﺍﻳﻦ ﺳﺮﻭﻳﺲﻫﺎ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ ﺑﻮﺩﻩ ﻭ ﺍﺯ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻣﻜﺎﻧﻴﺴﻢ ﺍﻣﻨﻴﺘﻲ ﺑﺮﺍﻱ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻥ ﺳﺮﻭﻳﺲ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫ﺩﺭ ﺍﺩﺑﻴﺎﺕ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﻭﺍﮊﻩﻫﺎﻱ ﺗﻬﺪﻳﺪ ﻭ ﺣﻤﻠﻪ ﻣﻜﺮﺭﺍﹰً ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﻭ ﺗﻘﺮﻳﺒﺎﹰ ﺩﺍﺭﺍﻱ ﻳﻚ ﻣﻌﻨﻲ ﻫﺴﺘﻨﺪ‪ .‬ﺟﺪﻭﻝ ‪ ۱-۱‬ﺗﻌﺎﺭﻳﻔﻲ ﻛﻪ ﺍﺯ‬
‫ﻭﺍﮊﻩﻧﺎﻣﺔ ﺍﻣﻨﻴﺖ ﺍﻳﻨﺘﺮﻧﺖ ‪ RFC 2828‬ﺍﻗﺘﺒﺎﺱ ﺷﺪﻩ ﺍﺳﺖ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺟﺪﻭﻝ ‪ ۱-۱‬ﺗﻬﺪﻳﺪﻫﺎ ﻭ ﺣﻤﻠﻪﻫﺎ )‪(RFC 2828‬‬
‫ﺗﻬﺪﻳﺪ‬
‫ﺍﺳﺘﻌﺪﺍﺩ ﺑﺎﻟﻘﻮﺓ ﻧﻘﺾ ﺍﻣﻨﻴﺖ ﺩﺭ ﺻﻮﺭﺕ ﻭﺟﻮﺩ ﺷﺮﺍﻳﻂ‪ ،‬ﻗﺎﺑﻠﻴﺖ‪ ،‬ﻋﻤﻞ‪ ،‬ﻳﺎ ﺍﺗﻔﺎﻗﻲ ﻛﻪ ﺍﻣﻨﻴﺖ ﺭﺍ ﻣـﻮﺭﺩ ﻣﺨـﺎﻃﺮﻩ‬
‫ﻗﺮﺍﺭ ﺩﻫﺪ‪ .‬ﻳﻌﻨﻲ ﻳﻚ ﺗﻬﺪﻳﺪ ﻳﻚ ﺧﻄﺮ ﺍﺣﺘﻤﺎﻟﻲ ﺍﺳﺖ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳـﺖ ﺍﺯ ﻳـﻚ ﻧﻘﻄـﺔ ﺁﺳـﻴﺐﭘـﺬﻳﺮ ﺍﻣﻨﻴﺘـﻲ‬
‫ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺣﻤﻠﻪ‬
‫ﻫﺠﻮﻣﻲ ﺑﺮ ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﻳﻚ ﺗﻬﺪﻳﺪ ﻫﻮﺷﻤﻨﺪ ﺳﺮﭼﺸﻤﻪ ﻣﻲﮔﻴﺮﺩ‪ .‬ﻳﻌﻨﻲ ﻋﻤﻠﻲ ﻫﻮﺷﻤﻨﺪﺍﻧﻪ ﺍﺳﺖ‬
‫ﻛﻪ ﺗﻼﺷﻲ ﺯﻳﺮﻛﺎﻧﻪ ﺑﺮﺍﻱ ﺣﻤﻠﻪ ﺑﻪ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﻧﻘﺾ ﺳﻴﺎﺳﺖﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺳﻴﺴﺘﻢ ﺩﺍﺭﺩ‪.‬‬
‫‪١٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬
‫‪Darth‬‬ ‫ﻣﺤﺘﻮﻳﺎﺕ ﭘﻴﺎﻡ ‪ Bob‬ﺑﻪ ‪Alice‬‬

‫ﺭﺍ ﻣﻲﺧﻮﺍﻧﺪ‬
‫ﺍﻳﻨﺘﺮﻧﺖ‬
‫ﻳﺎ ﺗﺴﻬﻴﻼﺕ ﺩﻳﮕﺮ ﺍﺭﺗﺒﺎﻃﻲ‬
‫‪Bob‬‬ ‫‪Alice‬‬
‫)ﺍﻟﻒ( ﺍﻓﺸﺎﻱ ﻣﺤﺘﻮﻳﺎﺕ ﭘﻴﺎﻡ‬
‫‪Darth‬‬ ‫ﺍﻟﮕﻮﻱ ﭘﻴﺎﻡﻫﺎﻱ ‪ Bob‬ﺑﻪ ‪Alice‬‬

‫ﺭﺍ ﻣﺸﺎﻫﺪﻩ ﻣﻲﻛﻨﺪ‬
‫‪Bob‬‬
‫‪Alice‬‬
‫)ﺏ( ﺗﺤﻠﻴﻞ ﺗﺮﺍﻓﻴﻚ‬
‫ﺷﻜﻞ ‪ ۱-۳‬ﺣﻤﻼﺕ ﻏﻴﺮﻓﻌﺎﻝ‬
‫ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ‬ ‫‪۱-۳‬‬
‫ﻳﻚ ﺭﻭﺵ ﻣﻨﺎﺳﺐ ﺑﺮﺍﻱ ﺩﺳﺘﻪﺑﻨﺪﻱ ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ ﻛﻪ ﻫﻢ ﺩﺭ ‪ X.800‬ﻭ ﻫﻢ ﺩﺭ ‪ RFC 2828‬ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺗﻘﺴﻴﻢ ﺍﻳﻦ‬
‫ﺣﻤﻼﺕ ﺑﻪ ﺩﻭ ﺩﺳﺘﺔ ﺣﻤﻼﺕ ﻏﻴﺮﻓﻌﺎﻝ ﻭ ﺣﻤﻼﺕ ﻓﻌﺎﻝ ﻣﻲﺑﺎﺷﺪ‪ .‬ﻳﻚ ﺣﻤﻠﺔ ﻏﻴﺮﻓﻌﺎﻝ ﺗﻼﺵ ﺩﺍﺭﺩ ﺗﺎ ﺍﻃﻼﻋﺎﺕ ﺳﻴﺴﺘﻢ ﺭﺍ ﺑﻪ ﺩﺳﺖ‬
‫ﺁﻭﺭﺩﻩ ﻭ ﻳﺎ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ ﻭﻟﻲ ﺭﻭﻱ ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ ﺗﺄﺛﻴﺮ ﻧﻤﻲﮔﺬﺍﺭﺩ‪ .‬ﻳﻚ ﺣﻤﻠﺔ ﻓﻌﺎﻝ ﺳﻌﻲ ﺩﺍﺭﺩ ﺗﺎ ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ ﺭﺍ ﺗﻐﻴﻴﺮ ﺩﺍﺩﻩ ﻭ‬
‫ﻳﺎ ﺑﺮ ﻋﻤﻠﻴﺎﺕ ﺁﻥ ﺗﺄﺛﻴﺮ ﺑﮕﺬﺍﺭﺩ‪.‬‬
‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٠‬‬
‫ﺣﻤﻼﺕ ﻏﻴﺮﻓﻌﺎﻝ‬
‫ﺣﻤﻼﺕ ﻏﻴﺮﻓﻌﺎﻝ ﺩﺍﺭﺍﻱ ﻣﺎﻫﻴﺖ ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ ﻭ ﻳﺎ ﺷﻨﻮﺩ ﺍﻃﻼﻋﺎﺕ ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ ﺍﺳﺖ‪ .‬ﻫﺪﻑ ﺩﺷﻤﻦ ﺩﺭ ﺍﻳﻦ ﻧﻮﻉ ﺣﻤﻠﻪ‪ ،‬ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ‬
‫ﺍﻃﻼﻋﺎﺕ ﺍﺳﺖ‪ .‬ﺩﻭ ﻧﻮﻉ ﺣﻤﻠﺔ ﻏﻴﺮﻓﻌﺎﻝ‪ ،‬ﻳﻜﻲ ﺍﻓﺸﺎﻱ ﻣﺤﺘﻮﻳﺎﺕ ﭘﻴﺎﻡ ﻭ ﺩﻳﮕﺮﻱ ﺗﺤﻠﻴﻞ ﺗﺮﺍﻓﻴﻚ ﺍﺳﺖ‪.‬‬
‫ﺍﻓﺸﺎﻱ ﻣﺤﺘﻮﻳﺎﺕ ﭘﻴﺎﻡ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺴﻬﻮﻟﺖ ﺩﺭﻙ ﻛﺮﺩ )ﺷﻜﻞ ‪۱-۳‬ﺍﻟﻒ(‪ .‬ﻳﻚ ﻣﻜﺎﻟﻤﺔ ﺗﻠﻔﻨﻲ‪ ،‬ﻳﻚ ﭘﻴﺎﻡ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪ ،‬ﻭ‬
‫ﻳﻚ ﻓﺎﻳﻞ ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺕ ﺣﺴﺎﺱ ﻭ ﻳﺎ ﻣﺤﺮﻣﺎﻧﻪ ﺑﺎﺷﻨﺪ‪ .‬ﻋﻼﻗﻪﻣﻨﺪﻳﻢ ﻛﻪ ﺍﺯ ﺩﺳﺖﻳﺎﺑﻲ ﺩﺷﻤﻦ ﺑﻪ ﺍﻳﻦ‬
‫ﺍﻃﻼﻋﺎﺕ ﺟﻠﻮﮔﻴﺮﻱ ﻧﻤﺎﺋﻴﻢ‪.‬‬
‫ﻧﻮﻉ ﺩﻳﮕﺮ ﺣﻤﻠﺔ ﻏﻴﺮﻓﻌﺎﻝ‪ ،‬ﺗﺤﻠﻴﻞ ﺗﺮﺍﻓﻴﻚ ﺍﺳﺖ )ﺷﻜﻞ ‪۱-۳‬ﺏ(‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ﺑﺎ ﺗﻮﺳﻞ ﺑﻪ ﺭﻭﺷﻲ ﻣﺤﺘﻮﻳﺎﺕ ﭘﻴﺎﻡ ﻭ ﻳﺎ ﺳﺎﻳﺮ‬
‫ﺍﻃﻼﻋﺎﺕ ﺗﺮﺍﻓﻴﻜﻲ ﺭﺍ ﻃﻮﺭﻱ ﺗﻐﻴﻴﺮ ﺩﺍﺩﻩﺍﻳﻢ ﻛﻪ ﺩﺷﻤﻨﺎﻥ‪ ،‬ﺣﺘﻲ ﺍﮔﺮ ﭘﻴﺎﻡ ﺭﺍ ﺳﺮﻗﺖ ﻛﻨﻨﺪ‪ ،‬ﻧﺘﻮﺍﻧﻨﺪ ﺍﻃﻼﻋﺎﺕ ﺁﻥ ﺭﺍ ﺍﺳﺘﺨﺮﺍﺝ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫ﺗﻜﻨﻴﻚ ﻣﻌﻤﻮﻝ ﺑﺮﺍﻱ ﺍﻳﻦ ﻛﺎﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ‪ .‬ﻭﻟﻲ ﺣﺘﻲ ﺍﮔﺮ ﺣﻔﺎﻇﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ ﻧﻴﺰ ﺩﺭ ﺟﺎﻱ ﺧﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻴﻢ‪ ،‬ﻳﻚ ﺩﺷﻤﻦ‬
‫ﺑﺎﺯﻫﻢ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺘﻮﺍﻧﺪ ﺍﻟﮕﻮﻱ ﺍﻳﻦ ﭘﻴﺎﻡﻫﺎ ﺭﺍ ﻛﺸﻒ ﻛﻨﺪ‪ .‬ﺩﺷﻤﻦ ﻣﻲﺗﻮﺍﻧﺪ ﻣﺤﻞ ﻭ ﻫﻮﻳﺖ ﻃﺮﻓﻴﻦ ﺍﺭﺗﺒﺎﻁ ﺭﺍ ﺗﻌﻴﻴﻦ ﻛﺮﺩﻩ ﻭ ﺍﺯ ﺗﻌﺪﺍﺩ‬
‫ﻭ ﻃﻮﻝ ﭘﻴﺎﻡﻫﺎﺋﻲ ﻛﻪ ﺑﻴﻦ ﺁﻧﻬﺎ ﺭﺩﻭﺑﺪﻝ ﻣﻲﺷﻮﺩ‪ ،‬ﺁﮔﺎﻩ ﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﺣﺪﺱ ﻣﺎﻫﻴﺖ ﺍﺭﺗﺒﺎﻃﻲ ﻛﻪ ﺩﺭ ﺣﺎﻝ ﺍﻧﺠﺎﻡ‬
‫ﺍﺳﺖ ﻣﻔﻴﺪ ﺑﺎﺷﺪ‪.‬‬
‫ﺗﺸﺨﻴﺺ ﺣﻤﻼﺕ ﻏﻴﺮﻓﻌﺎﻝ ﺑﺴﻴﺎﺭ ﻣﺸﻜﻞ ﺍﺳﺖ ﺯﻳﺮﺍ ﺗﺄﺛﻴﺮﻱ ﺭﻭﻱ ﺧﻮﺩ ﺩﺍﺩﻩﻫﺎ ﻧﻤﻲﮔﺬﺍﺭﻧﺪ‪ .‬ﻣﻌﻤﻮﻻﹰ ﺗﺮﺍﻓﻴﻚ ﭘﻴﺎﻡ ﺑﺎ ﺭﻭﻧﺪ‬
‫ﻋﺎﺩﻱ ﺍﺭﺳﺎﻝ ﻭ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﻭ ﻧﻪ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﻧﻪ ﮔﻴﺮﻧﺪﻩ ﺍﺯ ﺍﻳﻨﻜﻪ ﻃﺮﻑ ﺳﻮﻣﻲ ﭘﻴﺎﻡ ﺭﺍ ﺧﻮﺍﻧﺪﻩ ﻭ ﻳﺎ ﺍﻟﮕﻮﻱ ﺗﺮﺍﻓﻴﻚ ﺭﺍ ﻣﻼﺣﻈﻪ ﻛﺮﺩﻩ‬
‫ﺍﺳﺖ ﻣﻄﻠﻊ ﻧﻤﻲﺷﻮﻧﺪ‪ .‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ ﻣﻌﻘﻮﻝ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﻣﻮﻓﻘﻴﺖ ﭼﻨﻴﻦ ﺣﻤﻼﺗﻲ‪ ،‬ﻣﻌﻤﻮﻻﹰ ﺑﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺟﻠﻮﮔﻴﺮﻱ ﻛﺮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﺮﺍﻱ‬
‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼﺕ ﻏﻴﺮﻓﻌﺎﻝ ﺗﺄﻛﻴﺪ ﺑﺮ ﭘﻴﺶﮔﻴﺮﻱ‪ ،‬ﺑﺠﺎﻱ ﺗﺸﺨﻴﺺ‪ ،‬ﺍﺳﺖ‪.‬‬
‫ﺣﻤﻼﺕ ﻓﻌﺎﻝ‬
‫ﺣﻤﻼﺕ ﻓﻌﺎﻝ ﺷﺎﻣﻞ ﺍﻳﺠﺎﺩ ﺗﻐﻴﻴﺮﺍﺕ ﺩﺭ ﺟﺮﻳﺎﻥ ﺩﻳﺘﺎ ﻭ ﻳﺎ ﺧﻠﻖ ﺟﺮﻳﺎﻥ ﺟﺪﻳﺪﻱ ﺍﺯ ﺩﺍﺩﻩﻫﺎﺳﺖ ﻭ ﻣﻲﺗﻮﺍﻥ ﺁﻧﻬﺎ ﺭﺍ ﺑﻪ ﭼﻬﺎﺭ ﺩﺳﺘﻪ‬
‫ﺗﻘﺴﻴﻢ ﻛﺮﺩ‪ :‬ﻧﻘﺎﺏﺩﺍﺭ‪ ،‬ﺑﺎﺯﺧﻮﺍﻧﻲ‪ ،‬ﺗﻐﻴﻴﺮ ﭘﻴﺎﻡ ﻭ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ‪.‬‬
‫ﻳﻚ ﺣﻤﻠﺔ ﻧﻘﺎﺏﺩﺍﺭ ﻭﻗﺘﻲ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ ﻛﻪ ﺷﺨﺼﻲ ﻳﺎ ﻭﺍﺣﺪﻱ ﻭﺍﻧﻤﻮﺩ ﻛﻨﺪ ﻛﻪ ﺷﺨﺺ ﻳﺎ ﻭﺍﺣﺪ ﺩﻳﮕﺮﻱ ﺍﺳﺖ‬
‫)ﺷﻜﻞ‪۱-۴‬ﺍﻟﻒ(‪ .‬ﻳﻚ ﺣﻤﻠﺔ ﻧﻘﺎﺏﺩﺍﺭ ﻣﻌﻤﻮﻻﹰ ﺑﺎ ﺣﻤﻠﺔ ﻓﻌﺎﻝ ﺩﻳﮕﺮﻱ ﻫﻤﺮﺍﻩ ﺍﺳﺖ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﺩﻧﺒﺎﻟﻪﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻲﺗﻮﺍﻧﻨﺪ‬
‫ﺩﺯﺩﻳﺪﻩ ﺷﺪﻩ ﻭ ﭘﺲ ﺍﺯ ﺍﻳﻦﻛﻪ ﻳﻚ ﻋﻤﻞ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻌﺘﺒﺮ ﺑﻪ ﭘﺎﻳﺎﻥ ﺭﺳﻴﺪ‪ ،‬ﺑﺎﺯﺧﻮﺍﻧﻲ ﺷﻮﻧﺪ ﻭ ﺑﺪﻳﻦ ﺗﺮﺗﻴﺐ ﺑﻪ ﻳﻚ ﻭﺍﺣﺪ ﻣﺠﺎﺯ ﻛﻪ‬
‫ﺩﺍﺭﺍﻱ ﺳﻄﺢ ﺩﺳﺖﻳﺎﺑﻲ ﭘﺎﺋﻴﻦﺗﺮﻱ ﺍﺳﺖ ﺍﺟﺎﺯﻩ ﺩﻫﺪ ﺗﺎ ﺑﺎ ﺟﻌﻞ ﻫﻮﻳﺖ ﻭﺍﺣﺪ ﺩﻳﮕﺮﻱ ﻛﻪ ﺩﺍﺭﺍﻱ ﺳﻄﺢ ﺩﺳﺖﻳﺎﺑﻲ ﺑﺎﻻﺗﺮﻱ ﺍﺳﺖ‪،‬‬
‫ﺍﻣﺘﻴﺎﺯﺍﺕ ﺑﻴﺸﺘﺮﻱ ﻛﺴﺐ ﻛﻨﺪ‪.‬‬
‫ﺣﻤﻠﺔ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺷﺎﻣﻞ ﺩﺯﺩﻳﺪﻥ ﻏﻴﺮﻓﻌﺎﻝ ﻭﺍﺣﺪﻫﺎﻱ ﺩﻳﺘﺎ ﻭ ﺍﺭﺳﺎﻝ ﻣﺠﺪﺩ ﺁﻧﻬﺎ ﺑﺎ ﺗﺄﺧﻴﺮ‪ ،‬ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﻳﻚ ﺍﺛﺮ ﻣﺨﺮﺏ ﺍﺳﺖ‬
‫)ﺷﻜﻞ ‪۱-۴‬ﺏ(‪.‬‬
‫ﺗﻐﻴﻴﺮ ﭘﻴﺎﻡ ﺑﺴﺎﺩﮔﻲ ﺩﺍﺭﺍﻱ ﺍﻳﻦ ﻣﻌﻨﻲ ﺍﺳﺖ ﻛﻪ ﺑﺨﺸﻲ ﺍﺯ ﻳﻚ ﭘﻴﺎﻡ ﻗﺎﻧﻮﻧﻲ ﺗﻐﻴﻴﺮ ﺩﺍﺩﻩ ﺷﻮﺩ‪ ،‬ﻳﺎ ﺍﻳﻦﻛﻪ ﭘﻴﺎﻡﻫﺎ ﺗﺄﺧﻴﺮ ﻳﺎﻓﺘﻪ ﻳﺎ‬
‫ﻧﻈﻢ ﺁﻧﻬﺎ ﺑﺮﻫﻢ ﺯﺩﻩ ﺷﻮﺩ ﺗﺎ ﻧﻬﺎﻳﺘﺎﹰ ﺑﺎﻋﺚ ﺍﺛﺮﻱ ﻏﻴﺮﻣﺠﺎﺯ ﮔﺮﺩﻧﺪ )ﺷﻜﻞ‪۱-۴‬ﺝ(‪ .‬ﻣﺜﻼﹰ ﭘﻴﺎﻡ " ﺑﻪ ﺁﻗﺎﻱ ﺣﻤﻴﺪ ﺣﻤﻴﺪﻱ ﺍﺟﺎﺯﻩ ﺩﻫﻴﺪ ﺗﺎ‬
‫ﻓﺎﻳﻞ ﺣﺴﺎﺏﻫﺎﻱ ﻣﺤﺮﻣﺎﻧﻪ ﺭﺍ ﻣﺸﺎﻫﺪﻩ ﻛﻨﺪ" ﺑﻪ ﭘﻴﺎﻡ "ﺑﻪ ﺁﻗﺎﻱ ﻣﺠﻴﺪ ﻣﺠﻴﺪﻱ ﺍﺟﺎﺯﻩ ﺩﻫﻴﺪ ﺗﺎ ﻓﺎﻳﻞ ﺣﺴﺎﺏﻫﺎﻱ ﻣﺤﺮﻣﺎﻧﻪ ﺭﺍ ﻣﺸﺎﻫﺪﻩ‬
‫ﻛﻨﺪ" ﺗﻐﻴﻴﺮ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ ﻣﺎﻧﻊ ﻛﺎﺭﻛﺮﺩ ﻧﺮﻣﺎﻝ ﺗﺠﻬﻴﺰﺍﺕ ﺷﺪﻩ ﻭ ﻳﺎ ﺍﺯ ﻣﺪﻳﺮﻳﺖ ﺗﺴﻬﻴﻼﺕ ﺍﺭﺗﺒﺎﻃﻲ ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﻧﻤﺎﻳﺪ )ﺷﻜﻞ ‪۱-۴‬ﺩ(‪.‬‬
‫ﺍﻳﻦ ﺣﻤﻠﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻫﺪﻑ ﻣﻌﻴﻨﻲ ﺭﺍ ﻧﺸﺎﻧﻪ ﺑﮕﻴﺮﺩ‪ .‬ﻣﺜﻼﹰ ﻭﺍﺣﺪﻱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﻤﺎﻡ ﭘﻴﺎﻡﻫﺎﺋﻲ ﺭﺍ ﻛﻪ ﺑﺮﺍﻱ ﻳﻚ ﻣﻘﺼﺪ ﺑﺨﺼﻮﺹ‬
‫‪٢١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬
‫ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﻧﺪﺣﺬﻑ ﻛﻨﺪ)ﻣﺜﻞ ﺑﺎﺯﺭﺳﻲ ﺍﻣﻨﻴﺘﻲ(‪ .‬ﺻﻮﺭﺕ ﺩﻳﮕﺮﻱ ﺍﺯ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ‪ ،‬ﺍﻳﺠﺎﺩ ﺍﺧﺘﻼﻝ ﺩﺭ ﺗﻤﺎﻡ ﺷﺒﻜﻪ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﻛﺎﺭ‬
‫ﻳﺎ ﺑﺎ ﺍﻳﺠﺎﺩ ﺧﺮﺍﺑﻲ ﺩﺭ ﺷﺒﻜﻪ ﻭ ﻳﺎ ﺑﺎ ﺍﺭﺳﺎﻝ ﭘﻴﺎﻡﻫﺎﻱ ﺑﺴﻴﺎﺭ ﺯﻳﺎﺩ ﺑﻪ ﺷﺒﻜﻪ ﺑﻤﻨﻈﻮﺭ ﺍﻳﺠﺎﺩ ﺍﺧﺘﻼﻝ ﺩﺭ ﻋﻤﻠﻜﺮﺩ ﺁﻥ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪.‬‬
‫ﺣﻤﻼﺕ ﻓﻌﺎﻝ ﺩﺍﺭﺍﻱ ﻣﺸﺨﺼﺎﺗﻲ ﺧﻼﻑ ﺣﻤﻼﺕ ﻏﻴﺮﻓﻌﺎﻝ ﻫﺴﺘﻨﺪ‪ .‬ﺩﺭ ﺣﺎﻟﻲﻛﻪ ﺗﺸﺨﻴﺺ ﺣﻤﻼﺕ ﻏﻴﺮﻓﻌﺎﻝ ﻣﺸﻜﻞ ﺍﺳﺖ ﻭﻟـﻲ‬
‫ﺭﻭﺵﻫﺎﺋﻲ ﺑﺮﺍﻱ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﻣﻮﻓﻘﻴﺖ ﺁﻧﻬﺎ ﻣﻮﺟﻮﺩ ﻣﻲﺑﺎﺷﺪ‪ .‬ﺑﺮﻋﻜﺲ‪ ،‬ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺣﻤﻼﺕ ﻓﻌﺎﻝ ﻛﺎﺭﻱ ﺑﺲ ﺩﺷﻮﺍﺭ ﺍﺳﺖ ﺯﻳﺮﺍ ﻧﻴـﺎﺯ‬
‫ﺑﻪ ﻣﺤﺎﻓﻈﺖ ﻓﻴﺰﻳﻜﻲ ﺗﻤﺎﻡ ﺗﺴﻬﻴﻼﺕ ﻭ ﻣﺴﻴﺮﻫﺎﻱ ﺍﺭﺗﺒﺎﻃﻲ ﺩﺭ ﺗﻤﺎﻡ ﺯﻣﺎﻥﻫﺎ ﺩﺍﺭﺩ‪ .‬ﺑﺠﺎﻱ ﺍﻳﻦ ﻛﺎﺭ‪ ،‬ﻫـﺪﻑ ﺗـﺸﺨﻴﺺ ﺍﻳـﻦ ﺣﻤـﻼﺕ ﻭ‬
‫ﺭﻓﻊ ﻣﺸﻜﻼﺕ ﻭ ﻳﺎ ﺗﺄﺧﻴﺮﻫﺎﺋﻲ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﺣﻤﻼﺕ ﻣﻤﻜـﻦ ﺍﺳـﺖ ﺩﺭ ﺷـﺒﻜﻪ ﺍﻳﺠـﺎﺩ ﻧﻤﺎﻳﻨـﺪ‪ .‬ﭼـﻮﻥ ﺗـﺸﺨﻴﺺ‪ ،‬ﺧـﻮﺩ ﺩﺍﺭﺍﻱ ﺍﺛـﺮ‬
‫ﺑﺎﺯﺩﺍﺭﻧﺪﮔﻲ ﺍﺳﺖ‪ ،‬ﺍﻳﻦ ﻛﺎﺭ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺣﻤﻼﺕ ﻧﻴﺰ ﻛﻤﻚ ﻛﻨﺪ‪.‬‬
‫‪Darth‬‬ ‫ﭘﻴﺎﻣﻲ ﺍﺯ ‪ Darth‬ﻛﻪ ﺑﻨﻈﺮﻣﻴﺮﺳﺪ‬

‫ﺍﺯ ﺟﺎﻧﺐ ‪ Bob‬ﺍﺳﺖ‪.‬‬
‫‪Bob‬‬
‫‪Alice‬‬
‫)ﺍﻟﻒ( ﻧﻘﺎﺏﺩﺍﺭ‬
‫‪Darth‬‬ ‫ﭘﻴﺎﻡ ‪ Bob‬ﺑﻪ ‪ Alice‬ﺭﺍ ﺩﺯﺩﻳﺪﻩ‬

‫ﻭﺑﻌﺪﺍﹰ ﺁﻥ ﺭﺍ ﻣﻲﻓﺮﺳﺘﺪ‪.‬‬
‫‪Bob‬‬ ‫‪Alice‬‬
‫)ﺏ( ﺑﺎﺯﺧﻮﺍﻧﻲ‬
‫ﺷﻜﻞ ‪ ۱-۴‬ﺣﻤﻼﺕ ﻓﻌﺎﻝ‬

‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٢‬‬
‫‪Darth‬‬ ‫‪ Darth‬ﭘﻴﺎﻡ ‪ Bob‬ﺑﻪ ‪ Alice‬ﺭﺍ‬

‫ﺗﻐﻴﻴﺮ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪Bob‬‬
‫‪Alice‬‬
‫)ﺝ( ﺗﻐﻴﻴﺮ ﭘﻴﺎﻡ‬
‫‪Darth‬‬ ‫‪ Darth‬ﺳﺮﻭﻳﺲ ﻣﻬﻴﺎﺷﺪﻩ ﺗﻮﺳﻂ‬

‫ﺳﻴﺴﺘﻢ ﺭﺍ ﻣﺨﺘﻞ ﻣﻴﻜﻨﺪ‪.‬‬
‫‪Bob‬‬
‫‪Server‬‬
‫)ﺩ( ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ‬
‫ﺷﻜﻞ ‪ ۱-۴‬ﺣﻤﻼﺕ ﻓﻌﺎﻝ )ﺍﺩﺍﻣﻪ ﺷﻜﻞ ﻗﺒﻞ(‬
‫ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬ ‫‪۱-۴‬‬
‫‪ X.800‬ﻳﻚ ﺳﺮﻭﻳﺲ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﺳﺮﻭﻳﺴﻲ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﺘﻮﺳﻂ ﻳﻚ ﻻﻳﺔ ﭘﺮﻭﺗﻜﻠﻲ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺑﺎﺯ ﺍﺭﺗﺒﺎﻃﻲ ﻓﺮﺍﻫﻢ‬
‫ﺷﺪﻩ ﻭ ﺍﻣﻨﻴﺖ ﻛﺎﻓﻲ ﺑﺮﺍﻱ ﺳﻴﺴﺘﻢﻫﺎ ﻭ ﻳﺎ ﺍﻧﺘﻘﺎﻝ ﺩﺍﺩﻩﻫﺎ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺷﺎﻳﺪ ‪ RFC 2828‬ﺗﻌﺮﻳﻒ ﺭﻭﺷﻦﺗﺮﻱ ﺭﺍ ﺍﺭﺍﺋﻪ ﻛﻨﺪ ﻛﻪ‬
‫ﭼﻨﻴﻦ ﺍﺳﺖ‪ :‬ﺳﺮﻭﻳﺲ ﺍﻣﻨﻴﺘﻲ ﻳﻚ ﺳﺮﻭﻳﺲ ﺍﺭﺗﺒﺎﻃﻲ‪ ،‬ﻭ ﻳﺎ ﭘﺮﺩﺍﺯﺷﻲ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻳﻚ ﺳﻴﺴﺘﻢ ﺍﻳﺠﺎﺩ ﺷﺪﻩ ﺗﺎ ﻧﻮﻉ ﺗﻌﺮﻳﻒ ﺷﺪﻩﺍﻱ‬
‫ﺍﺯ ﺣﻔﺎﻇﺖ ﺭﺍ ﺑﺮﺍﻱ ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ ﺑﻮﺟﻮﺩ ﺁﻭﺭﺩ‪ .‬ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﺧﻂﻣﺸﻲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺍﺯ ﻃﺮﻳﻖ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬
‫ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫‪٢٣‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬
‫‪ X.800‬ﺍﻳﻦ ﺳﺮﻭﻳﺲﻫﺎ ﺭﺍ ﺑﻪ ﭘﻨﺞ ﮔﺮﻭﻩ ﻭ ﭼﻬﺎﺭﺩﻩ ﺳﺮﻭﻳﺲ ﻣﺸﺨﺺ ﺗﻘﺴﻴﻢ ﻣﻲﻛﻨﺪ )ﺟﺪﻭﻝ ‪ .(۱-۲‬ﻫﺮﻳﻚ ﺍﺯ ﺍﻳﻦ ﮔﺮﻭﻩﻫﺎ ﺭﺍ‬
‫ﺑﻨﻮﺑﺖ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺴﺌﻮﻝ ﺍﻃﻤﻴﻨﺎﻥ ﻳﺎﻓﺘﻦ ﺍﺯ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﺍﺭﺗﺒﺎﻁ ﻣﻌﺘﺒﺮ ﺍﺳﺖ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ﻳﻚ ﭘﻴﺎﻡ ﺗﻨﻬﺎ‪ ،‬ﻣﺎﻧﻨﺪ ﻳﻚ ﺳﻴﮕﻨﺎﻝ‬
‫ﻫﺸﺪﺍﺭﺩﻫﻨﺪﻩ ﻳﺎ ﺁﻻﺭﻡ‪ ،‬ﻭﻇﻴﻔﺔ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﮔﻴﺮﻧﺪﮔﺎﻥ ﭘﻴﺎﻡ ﺍﻃﻤﻴﻨﺎﻥ ﺩﻫﺪ ﻛﻪ ﺍﻳﻦ ﺳﻴﮕﻨﺎﻝ ﻭﺍﻗﻌﺎﹰ ﺍﺯ ﻣﻨﺒﻌﻲ‬
‫ﻛﻪ ﺍﺩﻋﺎ ﺩﺍﺭﺩ ﺳﺮﭼﺸﻤﻪ ﮔﺮﻓﺘﻪ ﺍﺳﺖ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ﻳﻚ ﺗﻌﺎﻣﻞ ﺩﺍﺋﻤﻲ‪ ،‬ﻫﻤﺎﻧﻨﺪ ﺍﺗﺼﺎﻝ ﻳﻚ ﭘﺎﻳﺎﻧﻪ ﺑﻪ ﻳﻚ ﺭﺍﻳﺎﻧﻪ‪ ،‬ﻣﻮﺿﻮﻉ ﺩﻭ ﺟﻨﺒﻪ ﺩﺍﺭﺩ‪.‬‬
‫ﺍﻭﻝ ﺍﻳﻦ ﻛﻪ ﺩﺭ ﻫﻨﮕﺎﻡ ﺑﺮﻗﺮﺍﺭﻱ ﺍﺭﺗﺒﺎﻁ‪ ،‬ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻪ ﻃﺮﻓﻴﻦ ﺍﺭﺗﺒﺎﻁ ﺍﻃﻤﻴﻨﺎﻥ ﺩﻫﺪ ﻛﻪ ﻃﺮﻑ ﻣﻘﺎﺑﻞ ﻣﻌﺘﺒﺮ ﺑﻮﺩﻩ ﻭ ﻫﺮﻳﻚ‬
‫ﺍﺯ ﻃﺮﻓﻴﻦ ﻭﺍﻗﻌﺎﹰ ﻫﻤﺎﻧﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺍﺩﻋﺎ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺩﻭﻡ ﺍﻳﻦ ﻛﻪ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺎﻳﺴﺘﻲ ﺗﻀﻤﻴﻦ ﻛﻨﺪ ﻛﻪ ﺍﺗﺼﺎﻝ ﺑﻴﻦ ﺩﻭ ﻛﺎﺭﺑﺮ‬
‫ﺩﺭ ﺍﺷﻐﺎﻝ ﻓﺮﺩ ﺛﺎﻟﺜﻲ ﻛﻪ ﺑﺘﻮﺍﻧﺪ ﺧﻮﺩ ﺭﺍ ﺑﺠﺎﻱ ﻫﺮﻳﻚ ﺍﺯ ﻃﺮﻓﻴﻦ ﺟﺎﺯﺩﻩ ﻭ ﺍﺭﺳﺎﻝ ﻭ ﺩﺭﻳﺎﻓﺖ ﻏﻴﺮﻣُﺠﺎﺯﻱ ﺭﺍ ﺍﻳﺠﺎﺩ ﻧﻤﺎﻳﺪ‪ ،‬ﺩﺭﻧﻴﺎﻣﺪﻩ‬
‫ﺍﺳﺖ‪.‬‬
‫ﺩﻭ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺸﺨﺺ ﺩﺭ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺗﻌﺮﻳﻒ ﺷﺪﻩﺍﻧﺪ‪:‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭﺍﺣﺪ ﻧﻈﻴﺮ‪ :‬ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﻫﻮﻳﺖ ﻳﻚ ﻭﺍﺣﺪ ﻧﻈﻴﺮ)‪ (peer‬ﺩﺭ ﻳﻚ ﻣﺠﺘﻤﻊ ﺭﺍﻳﺎﻧﻪﺍﻱ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﺩﻭ ﻭﺍﺣﺪ ﺭﺍ ﻧﻈﻴﺮ‬ ‫•‬
‫ﻫﻢ ﺧﻮﺍﻧﻨﺪ ﺍﮔﺮ ﺁﻧﻬﺎ ﺩﺭ ﺩﻭ ﺳﻴﺴﺘﻢ ﻣﺨﺘﻠﻒ ﺩﺭ ﭘﺮﻭﺗﻜﻞ ﻳﻜﺴﺎﻧﻲ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺷﻮﻧﺪ‪ .‬ﻣﺜﻼﹰ ﻣﺪﻭﻝﻫﺎﻱ ‪ TCP‬ﺩﺭ ﺩﻭ ﺳﻴﺴﺘﻢ‬
‫ﺍﺭﺗﺒﺎﻃﻲ‪ ،‬ﻧﻈﻴﺮ ﻫﻢ ﻫﺴﺘﻨﺪ‪ .‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻳﻦ ﺳﺮﻭﻳﺲ ﺩﺭ ﻫﻨﮕﺎﻡ ﺑﺮﻗﺮﺍﺭﻱ ﺍﺭﺗﺒﺎﻁ ﻭ ﻳﺎ ﺩﺭ ﺧﻼﻝ ﺍﻧﺘﻘﺎﻝ ﺩﺍﺩﻩﻫﺎﺳﺖ‪ .‬ﺍﻳﻦ ﺳﺮﻭﻳﺲ‬
‫ﺗﻼﺵ ﻣﻲﻛﻨﺪ ﺗﺎ ﺍﻳﻦ ﺍﻃﻤﻴﻨﺎﻥ ﺭﺍ ﻓﺮﺍﻫﻢ ﺳﺎﺯﺩ ﻛﻪ ﻳﻚ ﻭﺍﺣﺪ ﺧﻮﺩ ﺭﺍ ﺑﺠﺎﻱ ﻭﺍﺣﺪ ﺩﻳﮕﺮ ﺟﺎﻧﺰﺩﻩ ﻭ ﻳﺎ ﻳﻚ ﺍﺭﺗﺒﺎﻁ ﻗﺪﻳﻤﻲ ﺭﺍ‬
‫ﺑﺎﺯﺧﻮﺍﻧﻲ ﻧﻜﺮﺩﻩ ﺑﺎﺷﺪ‪.‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻨﺒﻊ ﺩﻳﺘﺎ‪ :‬ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﻫﻮﻳﺖ ﻣﻨﺒﻊ ﻳﻚ ﻭﺍﺣﺪ ﺩﻳﺘﺎ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﺣﻔﺎﻇﺘﻲ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﻜﺮﺍﺭ ﻭ ﻳﺎ ﺗﻐﻴﻴﺮ ﺩﺍﺩﻩﻫﺎ‬ ‫•‬
‫ﺍﻳﺠﺎﺩ ﻧﻤﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﻧﻮﻉ ﺳﺮﻭﻳﺲ ﺍﺯ ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﻫﻤﺎﻧﻨﺪ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻛﻪ ﺩﺭ ﺁﻧﻬﺎ ﻫﻴﭻ ﺗﻌﺎﻣﻠﻲ ﺑﻴﻦ ﻭﺍﺣﺪﻫﺎﻱ ﻣﺮﺗﺒﻂ‬
‫ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ‪ ،‬ﺣﻤﺎﻳﺖ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺩﺭ ﻣﻘﻮﻟﺔ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‪ ،‬ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻣﻔﻬﻮﻡ ﻗﺎﺑﻠﻴﺖ ﻣﺤﺪﻭﺩﻛﺮﺩﻥ ﻭ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﻴﺰﺑﺎﻥ ﻭ ﻛﺎﺭﺑﺮﺩﻫﺎ ﺍﺯ‬
‫ﻃﺮﻳﻖ ﭘﻴﻮﻧﺪ ﺍﺭﺗﺒﺎﻃﻲ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺣﺼﻮﻝ ﺍﻳﻦ ﺍﻣﺮ‪ ،‬ﻫﺮ ﻭﺍﺣﺪ ﻛﻪ ﺗﻤﺎﻳﻞ ﺑﻪ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻳﺎ ﻛﺎﺭﺑﺮﺩﻱ ﺭﺍ ﺩﺍﺭﺩ ﺑﺎﻳﺴﺘﻲ ﺍﻭﻝ‬
‫ﺷﻨﺎﺳﺎﺋﻲ ﻭ ﻳﺎ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﮔﺮﺩﺩ ﺗﺎ ﺣﻖ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺨﺘﺺ ﺧﻮﺩﺵ ﺑﻪ ﺍﻭ ﺩﺍﺩﻩ ﺷﻮﺩ‪.‬‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﺩﺍﺩﻩﻫﺎ‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﻋﺒﺎﺭﺕ ﺍﺯ ﺣﻔﺎﻇﺖ ﺍﻃﻼﻋﺎﺕ ﺍﻧﺘﻘﺎﻝﻳﺎﻓﺘﻪ ﺩﺭ ﺑﺮﺍﺑﺮ ﺣﻤﻼﺕ ﻏﻴﺮﻓﻌﺎﻝ ﺍﺳﺖ‪ .‬ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﻣﺤﺘﻮﻳﺎﺕ ﻳﻚ ﺍﻧﺘﻘﺎﻝ ﺩﻳﺘﺎ ﭼﻨﺪﻳﻦ‬
‫ﺳﻄﺢ ﺣﻔﺎﻇﺖ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺗﻌﺮﻳﻒ ﻛﺮﺩ‪ .‬ﻭﺳﻴﻊﺗﺮﻳﻦ ﺳﺮﻭﻳﺲ‪ ،‬ﺗﻤﺎﻡ ﺩﻳﺘﺎﻱ ﺍﻧﺘﻘﺎﻝﻳﺎﻓﺘﻪ ﺑﻴﻦ ﺩﻭ ﻛﺎﺭﺑـﺮ ﺩﺭ ﻃـﻮﻝ ﺯﻣـﺎﻥ ﺭﺍ ﻣﺤﺎﻓـﻈﺖ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﻣﺜﻼﹰ ﻭﻗﺘﻲ ﻳﻚ ﺍﺗﺼﺎﻝ ‪ TCP‬ﺑﻴﻦ ﺩﻭ ﺳﻴﺴﺘﻢ ﺑﺮﻗﺮﺍﺭ ﻣﻲﺷﻮﺩ‪ ،‬ﺍﻳﻦ ﺣﻔﺎﻇﺖ ﻭﺳﻴﻊ ﺍﺯ ﺑﺮﻣﻼ ﺷﺪﻥ ﻫﺮﮔﻮﻧﻪ ﺩﺍﺩﻩ ﻛﺎﺭﺑﺮ ﺭﻭﻱ‬
‫ﺍﺗﺼﺎﻝ ‪ TCP‬ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﻛﻨﺪ‪ .‬ﺷﻜﻞ ﺿﻌﻴﻒﺗﺮ ﺳﺮﻭﻳﺲ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺣﻔﺎﻇﺖ ﻓﻘﻂ ﺍﺯ ﻳﻚ ﭘﻴﺎﻡ ﻭ ﻳﺎ ﺣﺘﻲ ﺑﺨﺶﻫﺎﻱ ﻣﺸﺨﺼﻲ ﺍﺯ‬
‫ﻳﻚ ﭘﻴﺎﻡ ﺻﻮﺭﺕ ﭘﺬﻳﺮﺩ‪ .‬ﺍﻳﻦ ﺳﺮﻭﻳﺲ ﭘﺎﻻﻳﺶ ﺷﺪﻩ ﻛﻤﺘﺮ ﺍﺯ ﺳﺮﻭﻳﺲ ﻭﺳﻴﻊ ﻣﻔﻴﺪ ﺑﻮﺩﻩ ﻭ ﺣﺘﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﭘﻴﭽﻴﺪﮔﻲ ﻭ ﻫﺰﻳﻨﺔ‬
‫ﺑﻴﺸﺘﺮﻱ ﻣﻨﺠﺮ ﺷﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٤‬‬
‫ﺟﺪﻭﻝ ‪ ۱-۲‬ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ)‪(X.800‬‬
‫ﺻﺤﺖ ﺩﺍﺩﻩﻫﺎ )‪(DATA INTEGRITY‬‬ ‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ )‪(AUTHENTICATION‬‬

‫ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﺍﻳﻨﻜﻪ ﺩﺍﺩﺓ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺩﻗﻴﻘﺎﹰ ﻫﻤﺎﻧﻲ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻳﻚ ﻭﺍﺣﺪ‬ ‫ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﺍﻳﻨﻜﻪ ﻭﺍﺣﺪ ﺍﺭﺗﺒﺎﻃﻲ ﻫﻤﺎﻥ ﺍﺳﺖ ﻛﻪ ﺍﺩﻋﺎ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻣﻌﺘﺒﺮ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺍﺳﺖ )ﻳﻌﻨﻲ ﺗﻐﻴﻴﺮ ﻧﻴﺎﻓﺘﻪ‪ ،‬ﺍﺿـﺎﻓﻪ ﻧـﺸﺪﻩ‪ ،‬ﺣـﺬﻑ ﻧـﺸﺪﻩ ﻭ‬
‫ﺑﺎﺯﺧﻮﺍﻧﻲ ﻧﺸﺪﻩ ﺍﺳﺖ(‪.‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭﺍﺣﺪ ﻧﻈﻴﺮ)‪(Peer Entity Authentication‬‬
‫ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﻳﻚ ﺍﺭﺗﺒﺎﻁ ﻣﻨﻄﻘﻲ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺗﺎ ﻧﺴﺒﺖ ﺑﻪ ﻫﻮﻳﺖ ﻭﺍﺣﺪﻫﺎﻱ‬
‫ﺻﺤﺖ ﺍﺗﺼﺎﻟﻲ ﺑﺎ ﺑﺎﺯﻳﺎﺑﻲ )‪(Connection Integrity with Recovery‬‬
‫ﻣﺮﺗﺒﻂ ﺍﻳﺠﺎﺩ ﺍﻃﻤﻴﻨﺎﻥ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺻﺤﺖ ﻛﻞ ﺩﺍﺩﺓ ﻛﺎﺭﺑﺮ ﺭﻭﻱ ﻳﻚ ﺍﺗﺼﺎﻝ ﺭﺍ ﺗﺄﺋﻴﺪ ﻛﺮﺩﻩ ﻭ ﻫﺮﮔﻮﻧﻪ ﺗﻐﻴﻴﺮ‪،‬‬
‫ﺣﺬﻑ‪ ،‬ﺍﺿﺎﻓﻪ‪ ،‬ﻭ ﻳﺎ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺩﺍﺩﻩﻫﺎ ﺩﺭ ﻳﻚ ﺩﻧﺒﺎﻟﺔ ﻛﺎﻣﻞ ﺩﻳﺘﺎ ﺭﺍ ﺗﺸﺨﻴﺺ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻨﺒﻊ ﺩﻳﺘﺎ )‪(Data-Origin Authentication‬‬
‫ﻣﻲﺩﻫﺪ‪ .‬ﺑﺎﺯﻳﺎﺑﻲ ﺩﺍﺩﻩ ﻧﻴﺰ ﻣﻮﺭﺩ ﻧﻈﺮ ﺍﺳﺖ‪.‬‬
‫ﺩﺭ ﻳﻚ ﺍﻧﺘﻘﺎﻝ ﻏﻴﺮﺍﺗﺼﺎﻟﻲ‪ ،‬ﺍﻳﻦ ﺍﻃﻤﻴﻨﺎﻥ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ﻣﻨﺒﻊ ﺩﻳﺘﺎﻱ‬
‫ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﻫﻤﺎﻥ ﺍﺳﺖ ﻛﻪ ﺍﺩﻋﺎ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺻﺤﺖ ﺍﺗﺼﺎﻟﻲ ﺑﺪﻭﻥ ﺑﺎﺯﻳﺎﺑﻲ)‪(Connection Integrity without Recovery‬‬
‫ﻫﻤﺎﻧﻨﺪ ﻣﻮﺭﺩ ﺑﺎﻻﺳﺖ‪ ،‬ﻭﻟﻲ ﺗﻨﻬﺎ ﺗﺸﺨﻴﺺ ﻭ ﻧﻪ ﺑﺎﺯﻳﺎﺑﻲ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﺍﺳﺖ‪.‬‬
‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ )‪(ACCESS CONTROL‬‬
‫ﺻﺤﺖ ﺍﺗﺼﺎﻟﻲ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺍﻧﺘﺨﺎﺑﻲ‬ ‫ﻣﻤﺎﻧﻌﺖ ﺍﺯ ﺍﺳﺘﻔﺎﺩﺓ ﻏﻴﺮﻣﺠﺎﺯ ﺍﺯ ﻳﻚ ﻣﻨﺒﻊ )ﻳﻌﻨﻲ ﺍﻳﻦ ﺳﺮﻭﻳﺲ ﻛﻨﺘﺮﻝ ﻣﻲﻛﻨﺪ‬
‫)‪(Selective-Field Connection Integrity‬‬ ‫ﻛﻪ ﭼﻪ ﻛﺴﻲ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﻳﻚ ﻣﻨﺒﻊ ﺩﺳﺖ ﻳﺎﻓﺘﻪ‪ ،‬ﺗﺤـﺖ ﭼـﻪ ﺷـﺮﺍﻳﻄﻲ ﺍﻳـﻦ‬
‫ﺻﺤﺖ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺍﻧﺘﺨﺎﺏﺷﺪﻩﺍﻱ ﺍﺯ ﺩﺍﺩﺓ ﻛﺎﺭﺑﺮ ﺩﺭ ﻳﻚ ﺑﻠﻮﻙ ﺭﺍ ﺑﻌﻬﺪﻩ‬ ‫ﺩﺳﺖﻳﺎﺑﻲ ﻣﻲﺗﻮﺍﻧﺪ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪ ،‬ﻭ ﺁﻧﻬﺎﺋﻲ ﻛﻪ ﺩﺳﺖﻳﺎﺑﻲ ﭘﻴﺪﺍ ﻛﻨﻨﺪ ﻣﺠـﺎﺯ ﺑـﻪ‬
‫ﺩﺍﺷﺘﻪ ﻭ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﺁﻳﺎ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺍﻧﺘﺨﺎﺏﺷﺪﻩ ﺗﻐﻴﻴﺮﻳﺎﻓﺘﻪ‪ ،‬ﺣﺬﻑ ﻳﺎ‬ ‫ﺍﻧﺠﺎﻡ ﭼﻪ ﻛﺎﺭﻫﺎﺋﻲ ﻫﺴﺘﻨﺪ(‪.‬‬
‫ﺍﺿﺎﻓﻪ ﺷﺪﻩ ﻭ ﻳﺎ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﺩﺍﺩﻩﻫﺎ )‪(DATA CONFIDENTIALITY‬‬
‫ﺻﺤﺖ ﻏﻴﺮﺍﺗﺼﺎﻟﻲ )‪(Connectionless Integrity‬‬ ‫ﺣﻔﺎﻇﺖ ﺍﺯ ﺩﺍﺩﻩﻫﺎ ﺩﺭ ﺑﺮﺍﺑﺮ ﺍﻓﺸﺎﻱ ﻏﻴﺮﻣﺠﺎﺯ‬
‫ﺻﺤﺖ ﻳﻚ ﺑﻠﻮﻙ ﺩﻳﺘﺎﻱ ﻣﻨﻔﺮﺩ ﺭﺍ ﺗﻌﻴﻴﻦ ﻧﻤﻮﺩﻩ ﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﻗﺪﺭﺕ‬
‫ﺗﺸﺨﻴﺺ ﺗﻐﻴﻴﺮ ﺩﺍﺩﻩ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﺗﻮﺍﻥ ﻣﺤﺪﻭﺩﻱ ﺍﺯ ﺗﺸﺨﻴﺺ‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﺍﺗﺼﺎﻟﻲ )‪(Connection Confidentiality‬‬
‫ﺑﺎﺯﺧﻮﺍﻧﻲ ﺭﺍ ﻧﻴﺰ ﻣﻲﺗﻮﺍﻧﺪ ﺗﺄﻣﻴﻦ ﻛﻨﺪ‪.‬‬ ‫ﺣﻔﺎﻇﺖ ﺍﺯ ﺗﻤﺎﻡ ﺩﺍﺩﺓ ﻛﺎﺭﺑﺮ ﺩﺭ ﻃﻮﻝ ﺍﺗﺼﺎﻝ‬
‫ﺻﺤﺖ ﻏﻴﺮﺍﺗﺼﺎﻟﻲ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺍﻧﺘﺨﺎﺑﻲ‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﻏﻴﺮﺍﺗﺼﺎﻟﻲ )‪(Connectionless Confidentiality‬‬

‫)‪(Selective-Field Connectionless Integrity‬‬ ‫ﺣﻔﺎﻇﺖ ﺍﺯ ﺗﻤﺎﻡ ﺩﺍﺩﺓ ﻛﺎﺭﺑﺮ ﺩﺭ ﻳﻚ ﺑﻠﻮﻙ ﻣﻨﻔﺮﺩ‬
‫ﺻﺤﺖ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩﺍﻱ ﺩﺭ ﻳﻚ ﺑﻠﻮﻙ ﺩﻳﺘﺎﻱ ﻏﻴﺮﺍﺗﺼﺎﻟﻲ ﺭﺍ ﺗﻌﻴﻴﻦ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ ﻛﻪ ﺁﻳﺎ ﻣﻴﺪﺍﻥﻫﺎﻱ ﻣﻮﺭﺩ ﻧﻈﺮ ﺗﻐﻴﻴﺮ ﻳﺎﻓﺘﻪﺍﻧﺪ‪.‬‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﻣﻴﺪﺍﻥ ﺍﻧﺘﺨﺎﺑﻲ )‪(Selective-Field Confidentiality‬‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺩﺍﺩﺓ ﻛﺎﺭﺑﺮ ﺩﺭ ﺗﻤﺎﻡ ﻳﻚ ﺍﺗﺼﺎﻝ ﻭ ﻳﺎ ﺩﺭ‬
‫ﻋﺪﻡ ﺍﻧﻜﺎﺭ )‪(NONREPUDIATION‬‬ ‫ﻳﻚ ﺑﻠﻮﻙ ﺩﻳﺘﺎ‬
‫ﺩﺭ ﺑﺮﺍﺑﺮ ﺍﻧﻜﺎﺭ ﻳﻜﻲ ﺍﺯ ﻃﺮﻓﻴﻦ ﺍﺭﺗﺒﺎﻁ ﻧﺴﺒﺖ ﺑﻪ ﺍﻧﻜﺎﺭ ﺗﻤﺎﻡ ﻭ ﻳﺎ ﺑﺨﺸﻲ ﺍﺯ‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﺟﺮﻳﺎﻥ ﺗﺮﺍﻓﻴﻚ )‪(Traffic-Flow Confidentiality‬‬
‫ﺍﺭﺗﺒﺎﻁ‪ ،‬ﺍﻳﺠﺎﺩ ﺣﻔﺎﻇﺖ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺣﻔﺎﻇﺖ ﺍﺯ ﺍﻃﻼﻋﺎﺗﻲ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﻣﺸﺎﻫﺪﺓ ﺟﺮﻳﺎﻥ ﺗﺮﺍﻓﻴﻚ ﺩﺍﺩﻩﻫﺎ‬
‫ﻋﺪﻡ ﺍﻧﻜﺎﺭ‪ ،‬ﻣﺒﺪﺃ )‪(Nonrepudiation, Origin‬‬

‫ﺑﺪﺳﺖ ﺁﻳﺪ‪.‬‬
‫ﺍﺛﺒﺎﺕ ﺍﻳﻨﻜﻪ ﭘﻴﺎﻡ ﺑﺘﻮﺳﻂ ﻃﺮﻑ ﺍﺻﻠﻲ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻋﺪﻡ ﺍﻧﻜﺎﺭ‪ ،‬ﻣﻘﺼﺪ )‪(Nonrepudiation, Destination‬‬

‫ﺍﺛﺒﺎﺕ ﺍﻳﻨﻜﻪ ﭘﻴﺎﻡ ﺑﺘﻮﺳﻂ ﻃﺮﻑ ﺍﺻﻠﻲ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪٢٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬
‫ﺟﻨﺒﺔ ﺩﻳﮕﺮ ﻣﺤﺮﻣﺎﻧﮕﻲ‪ ،‬ﺣﻔﺎﻇﺖ ﺟﺮﻳﺎﻥ ﺗﺮﺍﻓﻴﻚ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﺠﺰﻳﻪ ﻭ ﺗﺤﻠﻴﻞ ﺩﺷﻤﻦ ﺍﺳﺖ‪ .‬ﻻﺯﻣﺔ ﺍﻳﻦ ﻛﺎﺭ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻳﻚ‬
‫ﻣﻬﺎﺟﻢ ﻧﺘﻮﺍﻧﺪ ﻣﻨﺒﻊ‪ ،‬ﻣﻘﺼﺪ‪ ،‬ﺗﻮﺍﺗﺮ‪ ،‬ﻃﻮﻝ ﻭ ﻳﺎ ﺳﺎﻳﺮ ﻣﺸﺨﺼﻪﻫﺎﻱ ﺗﺮﺍﻓﻴﻜﻲ ﻳﻚ ﺗﺴﻬﻴﻼﺕ ﺍﺭﺗﺒﺎﻃﻲ ﺭﺍ ﻣﺸﺎﻫﺪﻩ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺻﺤﺖ ﺩﺍﺩﻩﻫﺎ‬
‫ﻫﻤﺎﻧﻨﺪ ﻣﺤﺮﻣﺎﻧﮕﻲ‪ ،‬ﻛﻨﺘﺮﻝ ﺻﺤﺖ ﻭ ﻳﺎ ﺍﺻﺎﻟﺖ ﺩﺍﺩﻩﻫﺎ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﺟﺮﻳﺎﻥ ﺩﺍﺋﻤﻲ ﭘﻴﺎﻡﻫﺎ‪ ،‬ﺑﻪ ﻳﻚ ﭘﻴﺎﻡ ﻣﻨﻔﺮﺩ ﻭ ﻳﺎ ﺑﻪ ﻣﻴﺪﺍﻥﻫﺎﻱ‬
‫ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺍﺯ ﻳﻚ ﭘﻴﺎﻡ ﺍﻋﻤﺎﻝ ﮔﺮﺩﺩ‪ .‬ﺑﺎﺯﻫﻢ ﻣﻔﻴﺪﺗﺮﻳﻦ ﻭ ﺳﺮﺭﺍﺳﺖﺗﺮﻳﻦ ﺭﻭﺵ‪ ،‬ﺣﻔﺎﻇﺖ ﺍﺯ ﻛﻞ ﺟﺮﻳﺎﻥ ﺩﺍﺩﻩﻫﺎﺳﺖ‪.‬‬
‫ﻳﻚ ﺳﺮﻭﻳﺲ ﺻﺤﺖ ﺍﺗﺼﺎﻝﮔﺮﺍ‪ ،‬ﺳﺮﻭﻳﺴﻲ ﻛﻪ ﺑﺎ ﺟﺮﻳﺎﻥ ﭘﻴﻮﺳﺘﺔ ﭘﻴﺎﻡﻫﺎ ﺳﺮﻭﻛﺎﺭ ﺩﺍﺭﺩ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺍﻳﻦ ﺍﻃﻤﻴﻨﺎﻥ ﺭﺍ ﺍﻳﺠﺎﺩ ﻛﻨﺪﻛﻪ‬
‫ﭘﻴﺎﻡﻫﺎ ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﻧﺪ ﺩﺭﻳﺎﻓﺖ ﮔﺮﺩﻧﺪ‪ ،‬ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ ﻣﺠﺪﺩﺍﹰ ﺗﻜﺮﺍﺭ ﺷﺪﻩ‪ ،‬ﭼﻴﺰﻱ ﺑﻪ ﺁﻧﻬﺎ ﺍﺿﺎﻓﻪ ﺷﺪﻩ‪ ،‬ﺗﻐﻴﻴﺮ ﻳﺎﻓﺘﻪ‪ ،‬ﻧﻈﻢ‬
‫ﺁﻧﻬﺎ ﺑﻬﻢ ﺧﻮﺭﺩﻩ ﻭ ﻳﺎ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺷﺪﻩ ﺑﺎﺷﻨﺪ‪ .‬ﺗﺨﺮﻳﺐ ﺩﺍﺩﻩﻫﺎ ﻧﻴﺰ ﺗﺤﺖ ﻫﻤﻴﻦ ﺳﺮﻭﻳﺲ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺳﺮﻭﻳﺲ ﺻﺤﺖ ﺑﺎ ﮔﺮﺍﻳﺶ‬
‫ﺍﺗﺼﺎﻟﻲ ﻫﻢ ﺗﻐﻴﻴﺮ ﺩﺍﺩﻩﻫﺎ ﻭ ﻫﻢ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ ﺭﺍ ﻣﻮﺭﺩ ﺧﻄﺎﺏ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪ .‬ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ ﻳﻚ ﺳﺮﻭﻳﺲ ﺻﺤﺖ ﻏﻴﺮﺍﺗﺼﺎﻟﻲ ﺁﻥ‬
‫ﺍﺳﺖ ﻛﻪ ﺗﻨﻬﺎ ﺑﺎ ﭘﻴﺎﻡﻫﺎﻱ ﻣﻨﻔﺮﺩ‪ ،‬ﺑﺪﻭﻥ ﺗﻮﺟﻪ ﺑﻪ ﻣﺤﺪﻭﺩﺓ ﻭﺳﻴﻊ ﺁﻧﻬﺎ‪ ،‬ﺳﺮﻭﻛﺎﺭ ﺩﺍﺷﺘﻪ ﻭ ﻓﻘﻂ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﻐﻴﻴﺮ ﻣﺤﺘﻮﻳﺎﺕ ﭘﻴﺎﻡ ﺣﻔﺎﻇﺖ‬
‫ﺍﻳﺠﺎﺩﻛﻨﺪ‪.‬‬
‫ﻣﻲﺗﻮﺍﻥ ﺑﻴﻦ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺑﺎ ﺑﺎﺯﻳﺎﺑﻲ ﻭ ﺑﺪﻭﻥ ﺑﺎﺯﻳﺎﺑﻲ ﺗﻤﺎﻳﺰ ﻗﺎﺋﻞ ﺷﺪ‪ .‬ﭼﻮﻥ ﺳﺮﻭﻳﺲ ﺻﺤﺖ ﻣﺮﺑﻮﻁ ﺑﻪ ﺣﻤﻼﺕ ﻓﻌﺎﻝ ﺍﺳﺖ‪،‬‬
‫ﺟﻨﺒﺔ ﺗﺸﺨﻴﺺ ﺁﻧﻬﺎ ﻭ ﻧﻪ ﺟﻨﺒﺔ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺁﻧﻬﺎ ﺩﺍﺭﺍﻱ ﺍﻫﻤﻴﺖ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﺩﺭ ﺻﺤﺖ ﺩﻳﺘﺎ ﺧﻠﻠﻲ ﻣﺸﺎﻫﺪﻩ ﮔﺮﺩﺩ‪ ،‬ﺳﺮﻭﻳﺲ ﻣﺮﺑﻮﻁ‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﻨﻬﺎ ﺍﻳﻦ ﺧﻠﻞ ﺭﺍ ﮔﺰﺍﺭﺵ ﻧﻤﺎﻳﺪ ﻭ ﻻﺯﻡ ﺑﺎﺷﺪ ﺗﺎ ﺑﺨﺶ ﺩﻳﮕﺮﻱ ﺍﺯ ﻧﺮﻡﺍﻓﺰﺍﺭ ﻭ ﻳﺎ ﻧﻮﻋﻲ ﺩﺧﺎﻟﺖ ﺍﻧﺴﺎﻧﻲ ﻣﺸﻜﻞ ﺭﺍ ﺣﻞ ﻛﻨﺪ‪.‬‬
‫ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﺋﻲ ﻧﻴﺰ ﻭﺟﻮﺩ ﺩﺍﺭﻧﺪ ﻛﻪ ﻋﻼﻭﻩ ﺑﺮ ﺗﺸﺨﻴﺺ ﻋﺪﻡ ﺻﺤﺖ ﺑﻪ ﺣﻞ ﻣﺸﻜﻞ ﻧﻴﺰ ﻛﻤﻚ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻗﺮﺍﺭﺩﺍﺩﻥ‬
‫ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺑﺎﺯﻳﺎﺑﻲ ﺧﻮﺩﻛﺎﺭ ﻣﻌﻤﻮﻻﹰ ﺍﻧﺘﺨﺎﺏﻫﺎﻱ ﭘﺮﺟﺎﺫﺑﻪﺗﺮﻱ ﻫﺴﺘﻨﺪ‪.‬‬
‫ﻋﺪﻡ ﺍﻧﻜﺎﺭ‬
‫ﻋﺪﻡ ﺍﻧﻜﺎﺭ‪ ،‬ﭼﻪ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﭼﻪ ﮔﻴﺮﻧﺪﻩ ﺭﺍ ﺍﺯ ﺍﻧﻜﺎﺭ ﻳﻚ ﭘﻴﺎﻡ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﻣﺎﻧﻊ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻭﻗﺘﻲ ﭘﻴﺎﻣﻲ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪ ،‬ﮔﻴﺮﻧﺪﻩ‬
‫ﭘﻴﺎﻡ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺛﺒﺎﺕ ﻛﻨﺪ ﻛﻪ ﺣﺘﻤﺎﹰ ﻫﻤﺎﻥ ﻓﺮﺳﺘﻨﺪﺓ ﺫﻛﺮﺷﺪﻩ‪ ،‬ﭘﻴﺎﻡ ﺭﺍ ﺍﺭﺳﺎﻝ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺑﻄﺮﻳﻖ ﻣﺸﺎﺑﻪ ﻭﻗﺘﻲ ﭘﻴﺎﻣﻲ ﺩﺭﻳﺎﻓﺖ ﻣﻲﮔﺮﺩﺩ‪،‬‬
‫ﻓﺮﺳﺘﻨﺪﺓ ﭘﻴﺎﻡ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺛﺒﺎﺕ ﻛﻨﺪ ﻛﻪ ﺣﺘﻤﺎﹰ ﻫﻤﺎﻥ ﮔﻴﺮﻧﺪﺓ ﺫﻛﺮﺷﺪﻩ‪ ،‬ﭘﻴﺎﻡ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﺳﺮﻭﻳﺲ ﻗﺎﺑﻠﻴﺖ ﺩﺳﺘﺮﺳﻲ‬

‫ﻫﻢ ‪ X.800‬ﻭ ﻫﻢ ‪ RFC 2828‬ﻗﺎﺑﻠﻴﺖ ﺩﺳﺘﺮﺳﻲ )‪ (availability‬ﺭﺍ ﺧﺎﺻﻴﺖ ﻳﻚ ﺳﻴﺴﺘﻢ ﻭ ﻳﺎ ﻳﻚ ﻣﻨﺒﻊ ﻣﻲﺩﺍﻧﻨﺪ ﻛﻪ ﺩﺭ‬
‫ﺻﻮﺭﺕ ﺗﻘﺎﺿﺎ ﺍﺯ ﺳﻮﻱ ﻳﻚ ﻭﺍﺣﺪ ﻣﺠﺎﺯ ﻭ ﺑﺮ ﺍﺳﺎﺱ ﻣﺸﺨﺼﻪﻫﺎﻱ ﻋﻤﻠﻜﺮﺩ‪ ،‬ﺳﻴﺴﺘﻢ ﻭ ﻣﻨﺎﺑﻊ ﺁﻥ ﺁﻣﺎﺩﺓ ﺳﺮﻭﻳﺲﺩﻫﻲ ﺑﺎﺷﻨﺪ )ﻳﻌﻨﻲ‬
‫ﻳﻚ ﺳﻴﺴﺘﻢ ﻭﻗﺘﻲ ﻗﺎﺑﻞ ﺩﺳﺘﺮﺱ ﺍﺳﺖ ﻛﻪ ﻫﺮﻭﻗﺖ ﻛﺎﺭﺑﺮﺍﻥ ﺑﺨﻮﺍﻫﻨﺪ‪ ،‬ﺑﺘﻮﺍﻧﺪ ﺑﺮ ﺍﺳﺎﺱ ﻃﺮﺍﺣﻲ ﺧﻮﺩ ﺑﻪ ﺁﻧﺎﻥ ﺍﺭﺍﺋﺔ ﺳﺮﻭﻳﺲ ﻧﻤﺎﻳﺪ(‪.‬‬
‫ﺣﻤﻼﺕ ﻣﺨﺘﻠﻔﻲ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺎﻋﺚ ﻛﻢ ﺷﺪﻥ ﻗﺎﺑﻠﻴﺖ ﺩﺳﺘﺮﺳﻲ ﺷﻮﻧﺪ‪ .‬ﺍﺯ ﺑﻌﻀﻲ ﺍﺯ ﺍﻳﻦ ﺣﻤﻠﻪﻫﺎ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﭼﺎﺭﻩﺟﻮﺋﻲﻫﺎﻱ ﺧﻮﺩﻛﺎﺭ ﻣﺜﻞ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺟﻠﻮﮔﻴﺮﻱ ﻛﺮﺩ ﺩﺭ ﺣﺎﻟﻴﻜﻪ ﺑﺎﺯﻳﺎﺑﻲ ﺍﺯ ﺑﺮﺧﻲ ﺩﻳﮕﺮ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﮔﺴﺘﺮﺩﻩ‪ ،‬ﻧﻴﺎﺯ ﺑﻪ ﻧﻮﻋﻲ ﺩﺧﺎﻟﺖ‬
‫ﻓﻴﺰﻳﻜﻲ ﺩﺍﺭﺩ‪.‬‬
‫‪ X.800‬ﻗﺎﺑﻠﻴﺖ ﺩﺳﺘﺮﺳﻲ ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﺧﺎﺻﻴﺘﻲ ﻣﺮﺗﺒﻂ ﺑﺎ ﺳﺮﻭﻳﺲﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺍﻣﻨﻴﺘﻲ ﻣﻲﺷﻨﺎﺳﺪ‪ .‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ ﻣﻨﻄﻘﻲ ﺍﺳﺖ‬
‫ﻛﻪ ﺑﻪ ﺩﻧﺒﺎﻝ ﻳﻚ ﺳﺮﻭﻳﺲ ﻣﺨﺼﻮﺹ ﻗﺎﺑﻠﻴﺖ ﺩﺳﺘﺮﺳﻲ ﻧﻴﺰ ﺑﺎﺷﻴﻢ‪ .‬ﺍﻳﻦ ﺳﺮﻭﻳﺲ‪ ،‬ﻧﮕﺮﺍﻧﻲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﺮﺗﺒﻂ ﺑﺎ ﺣﻤﻼﺕ ﺍﻧﻜﺎﺭ‬
‫ﺳﺮﻭﻳﺲ ﺭﺍ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﺳﺮﻭﻳﺲ ﺍﺗﻜﺎﺀ ﺑﻪ ﻣﺪﻳﺮﻳﺖ ﻣﻨﻈﻢ ﻭ ﻛﻨﺘﺮﻝ ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ ﺩﺍﺷﺘﻪ‪ ،‬ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻭﺍﺑﺴﺘﻪ ﺑﻪ‬
‫ﺳﺮﻭﻳﺲ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻭ ﺳﺎﻳﺮ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٦‬‬
‫‪ ۱-۵‬ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬
‫ﺟﺪﻭﻝ ‪ ۱-۳‬ﻟﻴﺴﺖ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺩﺭ ‪ X.800‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﻣﻲﺗﻮﺍﻥ ﺩﻳﺪ‪ ،‬ﻣﻜﺎﻧﻴﺴﻢﻫﺎ ﺑﻪ‬
‫ﺩﻭﺩﺳﺘﻪ‪ ،‬ﻳﻜﻲ ﺁﻧﻬﺎﺋﻲ ﻛﻪ ﺩﺭ ﻳﻚ ﻻﻳﺔ ﭘﺮﻭﺗﻜﻠﻲ ﺧﺎﺹ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ ﻭ ﺩﻳﮕﺮﻱ ﺁﻧﻬﺎﺋﻲ ﻛﻪ ﻣﺨﺘﺺ ﻻﻳﺔ ﺧﺎﺹ ﻭ ﻳﺎ ﺳﺮﻭﻳﺲ ﺍﻣﻨﻴﺘﻲ‬
‫ﺧﺎﺻﻲ ﻧﻴﺴﺘﻨﺪ ﺗﻘﺴﻴﻢ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﻳﻦ ﻣﻜﺎﻧﻴﺴﻢﻫﺎ ﺩﺭ ﻣﺤﻞ ﻣﻨﺎﺳﺐ ﺧﻮﺩ ﺩﺭ ﺍﻳﻦ ﻛﺘﺎﺏ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﺧﻮﺍﻫﻨﺪ ﮔﺮﻓﺖ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ‬
‫ﻓﻌﻼﹰ ﻭﺍﺭﺩ ﺟﺰﺋﻴﺎﺕ ﺁﻧﻬﺎ ﻧﻤﻲﺷﻮﻳﻢ‪ .‬ﻓﻘﻂ ﺩﺭ ﻣﻮﺭﺩ ﺗﻌﺮﻳﻒ ﻗﺎﺑﻠﻴﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺑﻪ ﻧﻜﺘﻪﺍﻱ ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨﻴﻢ‪ X.800 .‬ﺑﻴﻦ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺮﮔﺸﺖﭘﺬﻳﺮ ﻭ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺮﮔﺸﺖﻧﺎﭘﺬﻳﺮ ﺗﻔﺎﻭﺕ ﻗﺎﺋﻞ ﺍﺳﺖ‪ .‬ﻳﻚ ﻣﻜﺎﻧﻴﺴﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺮﮔﺸﺖﭘﺬﻳﺮ‬
‫ﺑﺴﺎﺩﮔﻲ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺩﺍﺩﻩﻫﺎ ﺑﻪ ﺭﻣﺰ ﺩﺭﺁﻣﺪﻩ ﻭ ﻣﺘﻌﺎﻗﺒﺎﹰ ﺍﺯ ﺭﻣﺰ ﺧﺎﺭﺝ ﺷﻮﻧﺪ‪ .‬ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺮﮔﺸﺖﻧﺎﭘﺬﻳﺮ ﺷﺎﻣﻞ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺩﺭﻫﻢﺳﺎﺯﻱ ﻭ ﻛﹸﺪﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺑﻮﺩﻩ ﻛﻪ ﺩﺭ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﻭ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪.‬‬
‫ﺟﺪﻭﻝ ‪ ۱-۴‬ﻛﻪ ﺑﺮ ﺍﺳﺎﺱ ‪ X.800‬ﺑﻨﺎ ﺷﺪﻩ ﺍﺳﺖ ﺭﺍﺑﻄﺔ ﺑﻴﻦ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺟﺪﻭﻝ ‪ ۱-۳‬ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ )‪(X.800‬‬
‫ﻛﻨﺘﺮﻝ ﻣﺴﻴﺮﻳﺎﺑﻲ )‪(Routing Control‬‬

‫ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﺨﺼﻮﺹ‬
‫ﺍﻧﺘﺨﺎﺏ ﻣﺴﻴﺮﻫﺎﻱ ﻓﻴﺰﻳﻜﻲ ﺍﻣﻦ ﺑﺮﺍﻱ ﺑﻌﻀﻲ ﺩﺍﺩﻩﻫﺎ ﺭﺍ ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﻛﺮﺩﻩ ﻭ‬
‫ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺩﺭ ﺻﻮﺭﺕ ﺑﺮﻭﺯ ﻳﻚ ﺗﻬﺪﻳﺪ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﻣﺴﻴﺮ ﺗﻌﻮﻳﺾ ﺷﻮﺩ‪.‬‬ ‫ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﻻﻳﻪ ﭘﺮﻭﺗﻜﻠﻲ ﻣﻨﺎﺳﺐ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﺷﻮﺩ ﺗﺎ ﺑﻌﻀﻲ ﺍﺯ‬
‫ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ‪ OSI‬ﺭﺍ ﻓﺮﺍﻫﻢ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺛﺒﺖ ﺳﻨﺪ )‪(Notarization‬‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻃﺮﻑ ﺛﺎﻟﺚ ﻣﻌﺘﻤﺪ ﺑﺮﺍﻱ ﺍﻃﻤﻴﻨﺎﻥ ﻳﺎﻓﺘﻦ ﺍﺯ ﺧﺼﻮﺻﻴﺎﺕ ﻳﻚ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ )‪(Encipherment‬‬
‫ﻣﺒﺎﺩﻟﺔ ﺩﻳﺘﺎ‪.‬‬ ‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻳﺎﺿﻲ‪ ،‬ﺗﺎ ﺩﺍﺩﻩﻫﺎ ﺭﺍ ﺑﻪ ﺷﻜﻞ ﻏﻴﺮﻗﺎﺑﻞ ﻓﻬﻤﻲ‬
‫ﺩﺭﺁﻭﺭﺩ‪ .‬ﺗﺒﺪﻳﻞ ﺩﻳﺘﺎ ﻭ ﺑﺎﺯﻳﺎﺑﻲ ﺁﻳﻨﺪﺓ ﺁﻥ ﺑﺴﺘﮕﻲ ﺑﻪ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻭ ﺍﺣﺘﻤﺎﻻﹰ ﻳﻚ‬
‫ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻓﺮﺍﮔﻴﺮ‬
‫ﻳﺎ ﭼﻨﺪ ﻛﻠﻴﺪ ﺭﻣﺰ ﺩﺍﺭﺩ‪.‬‬
‫ﻣﻜﺎﻧﻴﺴﻢﻫﺎﺋﻲ ﻛﻪ ﺑﻪ ﺳﺮﻭﻳﺲ ﺍﻣﻨﻴﺘﻲ ﻭ ﻳﺎ ﻳﻚ ﻻﻳﺔ ﭘﺮﻭﺗﻜﻠﻲ ﺧﺎﺹ ‪OSI‬‬ ‫ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ )‪(Digital Signature‬‬
‫ﻭﺍﺑﺴﺘﻪ ﻧﻴﺴﺘﻨﺪ‪.‬‬ ‫ﺩﻳﺘﺎﻱ ﻭﺻﻞ ﺷﺪﻩ ﺑﻪ‪ /‬ﻳﺎ ﺗﺒﺪﻳﻞ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﺓ ﻳﻚ ﻭﺍﺣﺪ ﺩﻳﺘﺎ ﻛﻪ ﺑﻪ ﻳﻚ‬
‫ﻋﻤﻠﻜﺮﺩ ﻣﻄﻤﺌﻦ )‪(Trusted Functionality‬‬ ‫ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﺓ ﻭﺍﺣﺪ ﺩﻳﺘﺎ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﻣﻨﺒﻊ ﺩﻳﺘﺎ ﻭ ﺻﺤﺖ ﺩﻳﺘﺎ ﺭﺍ ﺍﺛﺒﺎﺕ‬
‫ﺍﻳﻨﻜﻪ ﺩﻳﺘﺎ ﻣﻮﺍﻓﻖ ﺑﺎ ﺷﺮﺍﻳﻂ ﺧﺎﺻﻲ ﺻﺤﻴﺢ ﺑﺎﺷﺪ )ﻣﺜﻼﹰ ﺑﺮ ﺍﺳﺎﺱ ﻳﻚ‬ ‫ﻛﺮﺩﻩ ﻭ ﺍﺯ ﺗﻘﻠﺐ ﺟﻠﻮﮔﻴﺮﻱ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺧﻂﻣﺸﻲ ﺍﻣﻨﻴﺘﻲ(‬ ‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ )‪(Access Control‬‬
‫ﺑﺮﭼﺴﺐ ﺍﻣﻨﻴﺘﻲ )‪(Security Label‬‬ ‫ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﻣﺘﻨﻮﻋﻲ ﻛﻪ ﺣﻖ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻣﻨﺎﺑﻊ ﺭﺍ ﻗﺎﻧﻮﻥﻣﻨﺪ ﻣﻲﺳﺎﺯﻧﺪ‪.‬‬
‫ﻧﺸﺎﻧﻪﺍﻱ ﻛﻪ ﺑﻪ ﻳﻚ ﻣﻨﺒﻊ )ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﻭﺍﺣﺪ ﺩﻳﺘﺎ ﺑﺎﺷﺪ( ﻭﺻﻞ‬ ‫ﺻﺤﺖ ﺩﻳﺘﺎ )‪(Data Integrity‬‬
‫ﻣﻲﮔﺮﺩﺩ ﺗﺎ ﻣﺸﺨﺼﻪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺁﻥ ﻣﻨﺒﻊ ﺭﺍ ﻧﺸﺎﻥ ﺩﻫﺪ‪.‬‬ ‫ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﻣﺘﻨﻮﻋﻲ ﻛﻪ ﺍﺯ ﺁﻧﻬﺎ ﺑﺮﺍﻱ ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﺻﺤﺖ ﻳﻚ ﻭﺍﺣﺪ ﺩﻳﺘﺎ ﻭ‬
‫ﺗﺸﺨﻴﺺ ﻭﻗﺎﻳﻊ )‪(Event Detection‬‬ ‫ﻳﺎ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ ﻭﺍﺣﺪﻫﺎﻱ ﺩﻳﺘﺎ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺗﺸﺨﻴﺺ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ‪.‬‬ ‫ﻣﺒﺎﺩﻟﺔ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ )‪(Authentication Exchange‬‬
‫ﺭﺩﭘﺎﻱ ﻣﻤﻴﺰﻱ ﺍﻣﻨﻴﺘﻲ )‪(Security Audit Trail‬‬ ‫ﻣﻜﺎﻧﻴﺴﻤﻲ ﺑﺎ ﻫﺪﻑ ﺍﻃﻤﻴﻨﺎﻥ ﻳﺎﻓﺘﻦ ﺍﺯ ﻫﻮﻳﺖ ﻳﻚ ﻭﺍﺣﺪ ﺍﺯ ﻃﺮﻳﻖ ﻣﺒﺎﺩﻟﺔ‬
‫ﺩﻳﺘﺎﻱ ﺟﻤﻊﺁﻭﺭﻱﺷﺪﻩ ﻛﻪ ﺑﻄﺮﺯ ﻣﺆﺛﺮﻱ ﺑﺮﺍﻱ ﺗﺴﻬﻴﻞ ﻳﻚ ﻣﻤﻴﺰﻱ ﺍﻣﻨﻴﺘﻲ‬ ‫ﺍﻃﻼﻋﺎﺕ‪.‬‬
‫ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﻣﺮﻭﺭﻱ ﻣﺴﺘﻘﻞ ﺑﺮ ﺳﻮﺍﺑﻖ ﺳﻴﺴﺘﻢ ﻭ ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﺁﻥ ﺍﺳﺖ‪.‬‬ ‫ﻻﺑﻪﻻ ﻛﺮﺩﻥ ﺗﺮﺍﻓﻴﻚ )‪(Traffic Padding‬‬
‫ﺑﺎﺯﻳﺎﺑﻲ ﺍﻣﻨﻴﺘﻲ )‪(Security Recovery‬‬ ‫ﻭﺍﺭﺩﻛﺮﺩﻥ ﺑﻴﺖﻫﺎ ﺩﺭ ﺷﻜﺎﻑﻫﺎﻱ ﺩﻳﺘﺎ ﺑﻪ ﻣﻨﻈﻮﺭ ﺧﻨﺜﻲ ﻛﺮﺩﻥ ﺗﻼﺵﻫﺎﻱ‬
‫ﻣﺮﺑﻮﻁ ﺑﻪ ﺩﺭﺧﻮﺍﺳﺖ ﺍﺯ ﻣﻜﺎﻧﻴﺴﻢﻫﺎ‪ ،‬ﻫﻤﺎﻧﻨﺪ ﺭﺗﻖ ﻭ ﻓﺘﻖ ﻭﻗﺎﻳﻊ ﻭ ﻋﻤﻠﻴﺎﺕ‬ ‫ﺗﺤﻠﻴﻞ ﺗﺮﺍﻓﻴﻚ‪.‬‬
‫ﻣﺪﻳﺮﻳﺘﻲ ﺑﻮﺩﻩ ﻛﻪ ﺑﻪ ﺑﺎﺯﻳﺎﺑﻲ ﻣﻨﺘﻬﻲ ﺷﻮﺩ‪.‬‬
‫‪٢٧‬‬
‫‪www.NetSimulate.net‬‬
‫ﺟﺪﻭﻝ ‪ ۱-۴‬ﺭﺍﺑﻄﺔ ﺑﻴﻦ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬
‫ﻣﻜﺎﻧﻴﺴﻢ‬
‫ﻛﻨﺘﺮﻝ‬ ‫ﻻﺑﻪﻻﺋﻲ‬ ‫ﻣﺒﺎﺩﻟﺔ‬ ‫ﺻﺤﺖ‬ ‫ﻛﻨﺘﺮﻝ‬ ‫ﺍﻣﻀﺎﺀ‬
‫ﺛﺒﺖﺳﻨﺪ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫ﺳﺮﻭﻳﺲ‬
‫ﻣﺴﻴﺮﻳﺎﺑﻲ‬ ‫ﺗﺮﺍﻓﻴﻚ‬ ‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬ ‫ﺩﺍﺩﻩﻫﺎ‬ ‫ﺩﺳﺖﻳﺎﺑﻲ‬ ‫ﺩﻳﺠﻴﺘﺎﻝ‬
‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭﺍﺣﺪ ﻧﻈﻴﺮ‬
‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻨﺒﻊ ﺩﻳﺘﺎ‬
‫ﺑﻠﻲ‬ ‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‬
‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬
‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﺟﺮﻳﺎﻥ ﺗﺮﺍﻓﻴﻚ‬
‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫ﺻﺤﺖ ﺩﺍﺩﻩﻫﺎ‬
‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫ﻋﺪﻡ ﺍﻧﻜﺎﺭ‬
‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫ﻗﺎﺑﻠﻴﺖ ﺩﺳﺘﺮﺳﻲ‬
‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣﻘﺪﻣﻪ‬
‫ﺳﺎﯾﺖ ﻧﺖ ﺳﯿﻤﻮﻟﯿﺖ ‪ -‬ﻣﺮﺟﻊ ﺷﺒﯿﻪ ﺳﺎزي ﺷﺒﮑﻪ ﻫﺎي ﮐﺎﻣﭙﯿﻮﺗﺮي و ﻣﺨﺎﺑﺮاﺗﯽ‬
‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٨‬‬
‫ﻳﻚ ﻣﺪﻝ ﺑﺮﺍﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬ ‫‪۱-۶‬‬
‫ﻳﻚ ﻣﺪﻝ ﺑﺮﺍﻱ ﺑﻴﺸﺘﺮ ﻣﻄﺎﻟﺒﻲ ﻛﻪ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﺧﻮﺍﻫﺪ ﮔﺮﻓﺖ‪ ،‬ﺩﺭ ﺣﺎﻟﺖ ﺑﺴﻴﺎﺭ ﻛﻠﻲ‪ ،‬ﺩﺭ ﺷﻜﻞ ‪ ۱-۵‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻗﺮﺍﺭ‬
‫ﺍﺳﺖ ﻳﻚ ﭘﻴﺎﻡ‪ ،‬ﺍﺯ ﻳﻚ ﻃﺮﻑ ﻣﻜﺎﻟﻤﻪ ﺑﻪ ﻃﺮﻑ ﺩﻳﮕﺮ‪ ،‬ﺩﺭ ﻋﺮﺽ ﻧﻮﻋﻲ ﺍﻳﻨﺘﺮﻧﺖ ﺍﺭﺳﺎﻝ ﮔﺮﺩﺩ‪ .‬ﺩﻭ ﻃﺮﻑ ﻣﻜﺎﻟﻤﻪ ﻛﻪ ﺭﺅﺳﺎﻱ‬
‫)‪ (principals‬ﺍﻳﻦ ﺍﺭﺗﺒﺎﻁ ﻫﺴﺘﻨﺪ ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﻳﻜﺪﻳﮕﺮ ﻫﻤﻜﺎﺭﻱ ﻧﻤﻮﺩﻩ ﺗﺎ ﺍﻳﻦ ﺍﻧﺘﻘﺎﻝ ﺻﻮﺭﺕ ﭘﺬﻳﺮﺩ‪ .‬ﺑﺎ ﺗﻌﺮﻳﻒ ﻳﻚ ﻣﺴﻴﺮ ﺍﺭﺗﺒﺎﻃﻲ ﺍﺯ‬
‫ﺩﺭﻭﻥ ﺷﺒﻜﻪﻫﺎ‪ ،‬ﻛﻪ ﻣﺒﺪﺃ ﺭﺍ ﺑﻪ ﻣﻘﺼﺪ ﻣﺘﺼﻞ ﻣﻲﻛﻨﺪ‪ ،‬ﻭ ﻫﻤﻜﺎﺭﻱ ﺩﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﺭﺗﺒﺎﻃﻲ )ﻣﺜﻞ ‪ ،(TCP/IP‬ﻳﻚ ﻛﺎﻧﺎﻝ‬
‫ﺍﻃﻼﻋﺎﺗﻲ ﻣﻨﻄﻘﻲ ﺑﻴﻦ ﺩﻭ ﺭﺋﻴﺲ ﺍﺭﺗﺒﺎﻁ ﺑﺮﻗﺮﺍﺭ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺟﻨﺒﻪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭﻗﺘﻲ ﻭﺍﺭﺩ ﻗﻀﻴﻪ ﻣﻲﮔﺮﺩﻧﺪ ﻛﻪ ﻻﺯﻡ ﺑﺎﺷﺪ ﺗﺎ ﺍﻧﺘﻘﺎﻝ ﺍﻃﻼﻋﺎﺕ ﺭﺍ ﺍﺯ ﻳﻚ ﺩﺷﻤﻦ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﻬﺪﻳﺪﻱ‬
‫ﺑﺮﺍﻱ ﻣﺤﺮﻣﺎﻧﮕﻲ‪ ،‬ﺍﻋﺘﺒﺎﺭ ﻭ ﻏﻴﺮﻩ ﺍﻳﺠﺎﺩ ﻛﻨﺪ‪ ،‬ﻣﺤﺎﻓﻈﺖ ﻛﺮﺩ‪ .‬ﺗﻤﺎﻡ ﺗﻜﻨﻴﻚﻫﺎﺋﻲ ﻛﻪ ﺍﻣﻨﻴﺖ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﻧﺪ ﺩﺍﺭﺍﻱ ﺩﻭ ﻣﺆﻟﻔﻪ ﻫﺴﺘﻨﺪ‪:‬‬
‫• ﻳﻚ ﺗﺒﺪﻳﻞ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ‪ ،‬ﺭﻭﻱ ﭘﻴﺎﻣﻲ ﻛﻪ ﻗﺮﺍﺭ ﺍﺳﺖ ﺍﺭﺳﺎﻝ ﺷﻮﺩ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﻣﺜﺎﻝﻫﺎﻱ ﺍﻳﻦ ﻣﻮﺭﺩ ﺷﺎﻣﻞ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡ ﺍﺳﺖ ﻛﻪ ﻃﻮﺭﻱ ﭘﻴﺎﻡ ﺭﺍ ﺩﺭﻫﻢ ﻣﻲﺭﻳﺰﺩ ﺗﺎ ﻗﺎﺑﻞ ﺧﻮﺍﻧﺪﻥ ﺑﺘﻮﺳﻂ ﺩﺷﻤﻦ ﻧﺒﺎﺷﺪ ﻭ ﻫﻤﭽﻨﻴﻦ ﺍﺿﺎﻓﻪ ﻛﺮﺩﻥ ﻳﻚ‬
‫ﻛﹸﺪ ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﺤﺘﻮﻳﺎﺕ ﭘﻴﺎﻡ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﻫﻮﻳﺖ ﺍﺭﺳﺎﻝﻛﻨﻨﺪﻩ ﺑﻜﺎﺭ ﺭﻭﺩ‪.‬‬
‫• ﻧﻮﻋﻲ ﺍﻃﻼﻋﺎﺕ ﺳﺮّﻱ ﻛﻪ ﺑﻴﻦ ﺩﻭ ﺭﺋﻴﺲ ﺍﺭﺗﺒﺎﻁ ﻣﺸﺘﺮﻙ ﺍﺳﺖ ﻭ ﺍﻣﻴﺪ ﻣﻲﺭﻭﺩ ﺗﺎ ﺑﺮﺍﻱ ﺩﺷﻤﻦ ﻧﺎﺷﻨﺎﺧﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻣﺜﺎﻟﻲ ﺩﺭ‬
‫ﺍﻳﻦ ﺯﻣﻴﻨﻪ ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﺑﻪﻫﻤﺮﺍﻩ ﺗﺒﺪﻳﻞ ﺑﺮﺍﻱ ﺩﺭﻫﻢ ﺭﻳﺨﺘﻦ ﭘﻴﺎﻡ ﻗﺒﻞ ﺍﺯ ﺍﺭﺳﺎﻝ‪ ،‬ﻭ ﺍﺻﻼﺡ ﭘﻴﺎﻡ ﭘﺲ ﺍﺯ‬
‫ﺩﺭﻳﺎﻓﺖ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪.‬‬
‫ﻳﻚ ﻃﺮﻑ ﺛﺎﻟﺚ ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ ﻧﻴﺰ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﺍﻧﺘﻘﺎﻝ ﺍﻣﻦ ﺍﻃﻼﻋﺎﺕ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺑﺎﺷﺪ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ ﻃﺮﻑ ﺛﺎﻟﺚ‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ ﻣﺴﺌﻮﻟﻴﺖ ﺗﻮﺯﻳﻊ ﺍﻃﻼﻋﺎﺕ ﺳﺮّﻱ ﺑﻪ ﺩﻭ ﺭﺋﻴﺲ ﻭ ﭘﻨﻬﺎﻥ ﻧﮕﺎﻩ ﺩﺍﺷﺘﻦ ﺁﻥ ﺍﺯ ﺩﻳﺪ ﺩﺷﻤﻦ ﺭﺍ ﺑﻌﻬﺪﻩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻳﺎ ﻃﺮﻑ‬
‫ﺛﺎﻟﺚ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﺩﺍﻭﺭﻱ ﺍﺧﺘﻼﻓﺎﺗﻲ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻴﻦ ﺩﻭ ﺭﺋﻴﺲ ﺩﺭ ﻣﻮﺭﺩ ﺍﻋﺘﺒﺎﺭ ﻳﻚ ﭘﻴﺎﻡ ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ ﺭﺥ ﺩﻫﺪ ﻣﻮﺭﺩ ﻧﻴﺎﺯ‬
‫ﺑﺎﺷﺪ‪.‬‬
‫ﻃﺮﻑ ﺛﺎﻟﺚ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ‬

‫)ﻣﺜﻞ ﺩﺍﻭﺭ‪ ،‬ﺗﻮﺯﻳﻊﻛﻨﻨﺪﺓ ﺍﻃﻼﻋﺎﺕ ﺳﺮّﻱ(‬
‫ﻓﺮﺳﺘﻨﺪﻩ‬ ‫ﺗﺒﺪﻳﻞ‬
‫ﻛﺎﻧﺎﻝ‬ ‫ﺗﺒﺪﻳﻞ‬ ‫ﮔﻴﺮﻧﺪﻩ‬
‫ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ‬ ‫ﺍﻃﻼﻋﺎﺕ‬ ‫ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ‬
‫ﭘﻴﺎﻡ ﺍﻣﻦ‬
‫ﭘﻴﺎﻡ ﺍﻣﻦ‬
‫ﭘﻴﺎﻡ‬
‫ﭘﻴﺎﻡ‬
‫ﺍﻃﻼﻋﺎﺕ ﺳﺮّﻱ‬ ‫ﺍﻃﻼﻋﺎﺕ ﺳﺮّﻱ‬

‫ﺩﺷﻤﻦ‬
‫ﺷﻜﻞ ‪ ۱-۵‬ﻣﺪﻝ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬

‫‪٢٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬
‫ﻣﺪﻝ ﻛﻠﹼﻲ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺩﺭ ﻃﺮﺍﺣﻲ ﻳﻚ ﺳﺮﻭﻳﺲ ﺍﻣﻨﻴﺘﻲ ﺧﺎﺹ‪ ،‬ﭼﻬﺎﺭ ﻭﻇﻴﻔﺔ ﺍﺻﻠﻲ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪:‬‬
‫‪ -۱‬ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﺗﺒﺪﻳﻞ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ ﭘﻴﺎﻡ ﺑﺎﻳﺴﺘﻲ ﻃﺮﺍﺣﻲ ﺷﻮﺩ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﺎﻳﺪ ﭼﻨﺎﻥ ﺑﺎﺷﺪ ﻛﻪ ﻳﻚ ﺩﺷﻤﻦ‬
‫ﻧﺘﻮﺍﻧﺪ ﻫﺪﻑ ﺁﻥ ﺭﺍ ﺷﻜﺴﺖ ﺩﻫﺪ‪.‬‬
‫‪ -۲‬ﺍﻃﻼﻋﺎﺕ ﺳﺮّﻱ ﻻﺯﻡ ﺑﺘﻮﺳﻂ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺗﻮﻟﻴﺪ ﺷﻮﺩ‪.‬‬
‫‪ -۳‬ﺭﻭﺵﻫﺎﺋﻲ ﺑﺮﺍﻱ ﺗﻮﺯﻳﻊ ﻭ ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﮔﺬﺍﺷﺘﻦ ﺍﻃﻼﻋﺎﺕ ﺳﺮّﻱ ﺗﻌﻴﻴﻦ ﮔﺮﺩﺩ‪.‬‬
‫‪ -۴‬ﭘﺮﻭﺗﻜﻠﻲ ﺗﻌﻴﻴﻦ ﺷﻮﺩ ﻛﻪ ﺩﻭ ﺭﺋﻴﺲ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﺑﺎ ﺑﻬﺮﻩﺑﺮﺩﺍﺭﻱ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻣﻨﻴﺘﻲ ﻭ ﺍﻃﻼﻋﺎﺕ ﺳﺮّﻱ‪،‬‬
‫ﺳﺮﻭﻳﺲ ﺍﻣﻨﻴﺘﻲ ﺧﺎﺻﻲ ﺭﺍ ﺑﺮﺍﻱ ﻃﺮﻓﻴﻦ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩ‪.‬‬
‫ﻗﺴﻤﺖ ﺩﻭﻡ ﺍﻳﻦ ﻛﺘﺎﺏ ﺭﻭﻱ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﺳﺮﻭﻳﺲﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ﻣﺪﻝ ﺷﻜﻞ ‪ ۱-۵‬ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ ﻣﺘﻤﺮﻛﺰ ﺍﺳﺖ‪ .‬ﻭﻟﻲ‬
‫ﻣﻘﻮﻟﻪﻫﺎﻱ ﺩﻳﮕﺮﻱ ﻧﻴﺰ ﺩﺭ ﺍﻳﻦ ﻛﺘﺎﺏ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭﮔﺮﻓﺘﻪ ﻛﻪ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ ﺑﻮﺩﻩ ﻭﻟﻲ ﺩﻗﻴﻘﺎﹰ ﺩﺭ ﺍﻳﻦ ﻣﺪﻝ ﻧﻤﻲﮔﻨﺠﻨﺪ‪ .‬ﻳﻚ ﻧﻤﻮﻧﻪ‬
‫ﺍﺯ ﺍﻳﻦ ﻣﻮﺍﺭﺩ ﺩﺭ ﺷﻜﻞ ‪ ۱-۶‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﻧﮕﺮﺍﻧﻲﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺣﻔﺎﻇﺖ ﻳﻚ ﺳﻴﺴﺘﻢ ﺍﻃﻼﻋﺎﺗﻲ ﺍﺯ ﺩﺳﺖﻳﺎﺑﻲ ﻧﺎﺧﻮﺍﺳﺘﻪ‬
‫ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺑﻴﺸﺘﺮ ﺧﻮﺍﻧﻨﺪﮔﺎﻥ ﺑﺎ ﻧﮕﺮﺍﻧﻲﻫﺎﻱ ﻧﺎﺷﻲ ﺍﺯ ﺗﻼﺵ ﻫَﻜﺮﻫﺎ ﺑﺮﺍﻱ ﻧﻔﻮﺫ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻳﻚ ﺷﺒﻜﻪ ﺁﺷﻨﺎﺋﻲ ﺩﺍﺭﻧﺪ‪ .‬ﻳﻚ‬
‫ﻫَﻜﺮ ﻣﻲﺗﻮﺍﻧﺪ ﻓﺮﺩﻱ ﺑﺎﺷﺪ ﻛﻪ ﺑﺪﻭﻥ ﻧﻴﺖ ﺳﻮﺀ‪ ،‬ﺍﺯ ﺷﻜﺴﺘﻦ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﻭﺭﻭﺩ ﻏﻴﺮﻣﺠﺎﺯ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﺭﺍﻳﺎﻧﻪﺍﻱ ﻟﺬﺕ ﺑﺒﺮﺩ‪.‬‬
‫ﻳﻚ ﻣﻬﺎﺟﻢ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﻛﺎﺭﻣﻨﺪ ﻧﺎﺭﺍﺿﻲ ﺑﻮﺩﻩ ﻛﻪ ﺑﺨﻮﺍﻫﺪ ﺑﻪ ﺳﻴﺴﺘﻢ ﺻﺪﻣﻪ ﺯﺩﻩ ﻭ ﻳﺎ ﻣﺠﺮﻣﻲ ﺑﺎﺷﺪ ﻛﻪ ﺑﺨﻮﺍﻫﺪ ﺍﺯ ﺗﺴﻬﻴﻼﺕ‬
‫ﺭﺍﻳﺎﻧﻪﺍﻱ ﺑﺮﺍﻱ ﺳﻮﺀ ﺍﺳﺘﻔﺎﺩﻩ ﻣﺎﻟﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ )ﻣﺜﻞ ﺑﺪﺳﺖ ﺁﻭﺭﺩﻥ ﺷﻤﺎﺭﺓ ﻛﺎﺭﺕﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﻱ ﻳﺎ ﺍﻧﺠﺎﻡ ﻧﻘﻞ ﻭ ﺍﻧﺘﻘﺎﻝ ﻏﻴﺮﻗﺎﻧﻮﻧﻲ‬
‫ﭘﻮﻝ(‪.‬‬
‫ﻧﻮﻉ ﺩﻳﮕﺮﻱ ﺍﺯ ﺩﺳﺖﻳﺎﺑﻲ ﻧﺎﻣﻄﻠﻮﺏ‪ ،‬ﻗﺮﺍﺭﺩﺍﺩﻥ ﻧﻮﻋﻲ ﻣﻨﻄﻖ ﺩﺭ ﺳﻴﺴﺘﻢ ﺭﺍﻳﺎﻧﻪﺍﻱ ﺑﺮﺍﻱ ﺑﻬﺮﻩﮔﻴﺮﻱ ﺍﺯ ﻧﻘﺎﻁ ﺁﺳﻴﺐﭘﺬﻳﺮ‬
‫ﺳﻴﺴﺘﻢ ﺑﻮﺩﻩ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﻭ ﻫﻤﭽﻨﻴﻦ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺳﻴﺴﺘﻤﻲ ﻣﺎﻧﻨﺪ ﻭﻳﺮﺍﻳﺶﮔﺮﻫﺎ ﻭ ﻛﺎﻣﭙﺎﻳﻠﺮﻫﺎ ﺭﺍ ﺗﺤﺖ ﺗﺄﺛﻴﺮ ﻗﺮﺍﺭ‬
‫ﺩﻫﺪ‪ .‬ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻣﻮﺫﻱ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺩﻭ ﻧﻮﻉ ﺗﻬﺪﻳﺪ ﺭﺍ ﺑﻮﺟﻮﺩ ﺁﻭﺭﻧﺪ‪:‬‬
‫• ﺗﻬﺪﻳﺪﻫﺎﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺍﻃﻼﻋﺎﺕ ﻛﻪ ﺩﺍﺩﻩﻫﺎ ﺭﺍ ﺑﻪ ﻧﻤﺎﻳﻨﺪﮔﻲ ﺍﺯ ﻃﺮﻑ ﻛﺎﺭﺑﺮﻫﺎﺋﻲ ﻛﻪ ﻧﺒﺎﻳﺴﺘﻲ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺁﻧﻬﺎ‬
‫ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ ﺩﺯﺩﻳﺪﻩ ﻭ ﻳﺎ ﺗﻐﻴﻴﺮ ﻣﻲﺩﻫﻨﺪ‪.‬‬
‫ﺗﻬﺪﻳﺪﻫﺎﻱ ﺳﺮﻭﻳﺲ ﻛﻪ ﺍﺯ ﻧﻮﺍﻗﺺ ﺳﺮﻭﻳﺲﻫﺎ ﺩﺭ ﺭﺍﻳﺎﻧﻪﻫﺎ ﺳﻮﺀ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﻣﺎﻧﻊ ﺍﺳﺘﻔﺎﺩﺓ ﻛﺎﺭﺑﺮﺍﻥ ﻗﺎﻧﻮﻧﻲ ﺍﺯ ﺁﻧﻬﺎ‬ ‫•‬
‫ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫ﺳﻴﺴﺘﻢ ﺍﻃﻼﻋﺎﺗﻲ‬
‫ﻣﻨﺎﺑﻊ ﻣﺤﺎﺳﺒﺎﺗﻲ‬
‫ﺩﺷﻤﻦ‬
‫)ﭘﺮﺩﺍﺯﺵﮔﺮ‪ ،‬ﺣﺎﻓﻈﻪ‪( I /O ،‬‬
‫‪ ---‬ﺍﻧﺴﺎﻥ )ﻣﺜﻞ ﻧﻔﻮﺫﮔﺮ(‬
‫ﺩﺍﺩﻩﻫﺎ‬
‫‪ ---‬ﻧﺮﻡﺍﻓﺰﺍﺭ )ﻣﺜﻞ ﻭﻳﺮﻭﺱ ﻳﺎ ﻛِﺮﻡ(‬
‫ﭘﺮﺩﺍﺯﺵﻫﺎ‬
‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‬ ‫ﻋﻤﻞ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭ‬
‫ﺩﺭﻭﺍﺯﻩﺑﺎﻧﻲ‬
‫ﻛﻨﺘﺮﻝﻫﺎﻱ ﺩﺍﺧﻠﻲ ﺍﻣﻨﻴﺖ‬
‫ﺷﻜﻞ ‪ ۱-۶‬ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺷﺒﻜﻪ‬
‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٠‬‬
‫ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﻛِﺮﻡﻫﺎ ﺩﻭ ﻣﺜﺎﻝ ﺍﺯ ﺣﻤﻼﺕ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﭼﻨﻴﻦ ﺣﻤﻼﺗﻲ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﺩﻳﺴﻜﺖ ﻋﻠﻴﻪ ﺭﺍﻳﺎﻧﻪ‬
‫ﺻﻮﺭﺕ ﭘﺬﻳﺮﻓﺘﻪ ﻭ ﺷﺎﻣﻞ ﻣﻨﻄﻘﻲ ﻧﺎﻣﻄﻠﻮﺏ ﺑﺎﺷﺪ ﻛﻪ ﺩﺭ ﭘﻮﺷﺶ ﻳﻚ ﻧﺮﻡﺍﻓﺰﺍﺭ ﻣﻔﻴﺪ ﭘﻨﻬﺎﻥ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺣﻤﻠﻪﻫﺎ ﻫﻤﭽﻨﻴﻦ‬
‫ﻣﻲﺗﻮﺍﻧﻨﺪ ﺍﺯ ﻃﺮﻳﻖ ﺷﺒﻜﻪ ﻋﻠﻴﻪ ﺳﻴﺴﺘﻢ ﺍﻧﺠﺎﻡ ﺷﻮﻧﺪﻛﻪ ﻣﻮﺭﺩ ﺍﺧﻴﺮ ﺑﻴﺸﺘﺮ ﺩﺭ ﻣﻘﻮﻟﺔ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪.‬‬
‫ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﺩﺳﺖﻳﺎﺑﻲﻫﺎﻱ ﻧﺎﺧﻮﺍﺳﺘﻪ ﻣﻘﺎﺑﻠﻪ ﻧﻤﺎﻳﻨﺪ ﺑﻪ ﺩﻭ ﺩﺳﺘﺔ ﺑﺰﺭﮒ ﺗﻘﺴﻴﻢ ﻣﻲﺷﻮﻧﺪ )ﺷﻜﻞ‪.(۱-۶‬‬
‫ﺩﺳﺘﺔ ﺍﻭﻝ ﻫﻤﺎﻧﻨﺪ ﻳﻚ ﺩﺭﻭﺍﺯﻩﺑﺎﻥ ﻋﻤﻞ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺍﻳﻨﻬﺎ ﺷﺎﻣﻞ ﺭﻭﺵﻫﺎﻱ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺮ ﺍﺳﺎﺱ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻭ‬
‫ﺭﻭﺵﻫﺎﻱ ﺑﺎﺯﺭﺳﻲ ﻣﻲﺑﺎﺷﻨﺪ ﻛﻪ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﻭ ﺣﺬﻑ ﻛِﺮﻡﻫﺎ‪ ،‬ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﺳﺎﻳﺮ ﺣﻤﻼﺕ ﻣﺸﺎﺑﻪ ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪ .‬ﻭﻟﻲ ﺍﮔﺮ ﻳﻚ‬
‫ﻛﺎﺭﺑﺮ ﻧﺎﺧﻮﺍﺳﺘﻪ ﻭ ﻳﺎ ﻧﺮﻡﺍﻓﺰﺍﺭ ﺑﺪﺍﻧﺪﻳﺶ ﺗﻮﺍﻧﺴﺖ ﺑﻪ ﺳﻴﺴﺘﻢ ﺩﺳﺖ ﻳﺎﺑﺪ ﺁﻧﮕﺎﻩ ﺧﻂ ﺩﻭﻡ ﺩﻓﺎﻋﻲ ﻛﻪ ﺷﺎﻣﻞ ﻣﻮﺍﺭﺩ ﻣﺘﻨﻮﻉ ﻛﻨﺘﺮﻝﻫﺎﻱ‬
‫ﺩﺍﺧﻠﻲ ﺍﻋﻢ ﺍﺯ ﭘﺎﺋﻴﺪﻥ ﻓﻌﺎﻟﻴﺖﻫﺎ ﻭ ﺗﺤﻠﻴﻞ ﺍﻃﻼﻋﺎﺕ ﺫﺧﻴﺮﻩﺷﺪﻩ ﻣﻲﺑﺎﺷﻨﺪ ﻭﺍﺭﺩ ﻋﻤﻞ ﺷﺪﻩ ﻭ ﺗﻼﺵ ﺧﻮﺍﻫﻨﺪ ﻛﺮﺩ ﺗﺎ ﺣﻀﻮﺭ ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﻧﺎﺧﻮﺍﺳﺘﻪ ﺭﺍ ﺗﺸﺨﻴﺺ ﺩﻫﻨﺪ‪ .‬ﺍﻳﻦ ﻣﻄﺎﻟﺐ ﺩﺭ ﻗﺴﻤﺖ ﺳﻮﻡ ﺍﻳﻦ ﻛﺘﺎﺏ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺍﻧﺠﻤﻦ ﺍﻳﻨﺘﺮﻧﺖ‬ ‫‪۱-۷‬‬
‫ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﭘﺮﻭﺗﻜﻞﻫﺎﺋﻲ ﻛﻪ ﻣﺠﻤﻮﻋﺔ ﭘﺮﻭﺗﻜﻠﻲ ‪ TCP/IP‬ﺭﺍ ﻣﻲﺳﺎﺯﻧﺪ‪ ،‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺷﺪﻩ ﻭ ﻳﺎ ﺩﺭ ﺷﺮﻑ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﺷﺪﻥ ﻫﺴﺘﻨﺪ‪ .‬ﺑﺎ‬
‫ﻣﻮﺍﻓﻘﺖ ﺟﻬﺎﻧﻲ‪ ،‬ﺳﺎﺯﻣﺎﻧﻲ ﺑﻨﺎﻡ ﺍﻧﺠﻤﻦ ﺍﻳﻨﺘﺮﻧﺖ )‪ (Internet Society‬ﻣﺴﺌﻮﻝ ﺍﻳﺠﺎﺩ ﻭ ﺍﻧﺘﺸﺎﺭ ﺍﻳﻦ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﺳﺖ‪ .‬ﺍﻧﺠﻤﻦ ﺍﻳﻨﺘﺮﻧﺖ‬
‫ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﺣﺮﻓﻪﺍﻱ ﺍﺳﺖ ﻛﻪ ﺑﺮ ﻧﻴﺮﻭﻫﺎﻱ ﻭﺳﻴﻌﻲ ﻛﻪ ﺩﺭﮔﻴﺮ ﻛﺎﺭﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺘﻲ ﻭ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﺳﺎﺯﻱ ﻫﺴﺘﻨﺪ‪ ،‬ﻧﻈﺎﺭﺕ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺍﻳﻦ ﺑﺨﺶ ﺗﻮﺻﻴﻒ ﻣﺨﺘﺼﺮﻱ ﺍﺯ ﺭﻭﺵﻫﺎﺋﻲ ﻛﻪ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻣﺠﻤﻮﻋﺔ ﭘﺮﻭﺗﻜﻠﻲ ‪ TCP/IP‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ ﺭﺍ ﻓﺮﺍﻫﻢ‬
‫ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫ﺳﺎﺯﻣﺎﻥﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺍﻧﺘﺸﺎﺭﺍﺕ ‪RFC‬‬

‫ﺍﻧﺠﻤﻦ ﺍﻳﻨﺘﺮﻧﺖ ﻛﻤﻴﺘﺔ ﻫﻤﺎﻫﻨﮓﻛﻨﻨﺪﺓ ﻃﺮﺍﺣﻲ‪ ،‬ﻣﻬﻨﺪﺳﻲ‪ ،‬ﻭ ﻣﺪﻳﺮﻳﺖ ﺍﻳﻨﺘﺮﻧﺖ ﺍﺳﺖ‪ .‬ﻣﺤﺪﻭﺩﺓ ﭘﻮﺷﺸﻲ ﺁﻥ‪ ،‬ﻋﻤﻠﻴﺎﺕ ﺧﻮﺩ ﺍﻳﻨﺘﺮﻧﺖ ﻭ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻛﺮﺩﻥ ﭘﺮﻭﺗﻜﻞﻫﺎﺋﻲ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺍﻧﺘﻬﺎﺋﻲ ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪ .‬ﺳﻪ ﺳﺎﺯﻣﺎﻥ ﺗﺤﺖ ﻣﺪﻳﺮﻳﺖ ﺍﻧﺠﻤﻦ ﺍﻳﻨﺘﺮﻧﺖ‪،‬‬
‫ﻣﺴﺌﻮﻝ ﻭﺍﻗﻌﻲ ﻛﺎﺭ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎ ﻭ ﺍﻧﺘﺸﺎﺭﺍﺕ ﻣﻲﺑﺎﺷﻨﺪ‪:‬‬
‫ﮔﺮﻭﻩ ﻣﻌﻤﺎﺭﻱ ﺍﻳﻨﺘﺮﻧﺖ )‪ :Internet Architecture Board (IAB‬ﻣﺴﺌﻮﻝ ﺗﻌﺮﻳﻒ ﻣﻌﻤﺎﺭﻱ ﻛﻠﻲ ﺍﻳﻨﺘﺮﻧﺖ ﺑﻮﺩﻩ ﻭ‬ ‫•‬
‫ﺭﺍﻫﻨﻤﺎﺋﻲ ﻭ ﺟﻬﺖ ﻓﻌﺎﻟﻴﺖ ‪ IETF‬ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪.‬‬
‫ﻧﻴﺮﻭﻱ ﻣﻬﻨﺪﺳﻲ ﺍﻳﻨﺘﺮﻧﺖ )‪ :Internet Engineering Task Force (IETF‬ﺑﺎﺯﻭﻱ ﺗﻮﺳﻌﻪ ﻭ ﻣﻬﻨﺪﺳﻲ ﺍﻳﻨﺘﺮﻧﺖ‪.‬‬ ‫•‬
‫ﮔﺮﻭﻩ ﺭﺍﻫﺒﺮﻱ ﻣﻬﻨﺪﺳﻲ ﺍﻳﻨﺘﺮﻧﺖ )‪ :Internet Engineering Steering Group (IESG‬ﻣﺴﺌﻮﻝ ﻣﺪﻳﺮﻳﺖ ﻓﻨﻲ‬ ‫•‬
‫ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ‪ IETF‬ﻭ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ‪.‬‬
‫ﮔﺮﻭﻩﻫﺎﻱ ﻛﺎﺭﻱ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ IETF‬ﺑﺴﻴﺞ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺗﻮﺳﻌﻪ ﻭﺍﻗﻌﻲ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺟﺪﻳﺪ ﻭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺭﺍ ﺑﻌﻬﺪﻩ‬
‫ﺩﺍﺭﻧﺪ‪ .‬ﻋﻀﻮﻳﺖ ﺩﺭ ﻳﻚ ﮔﺮﻭﻩ‪ ،‬ﻛﺎﺭﻱ ﺩﺍﻭﻃﻠﺒﺎﻧﻪ ﺍﺳﺖ ﻭ ﻫﺮ ﮔﺮﻭﻩ ﻋﻼﻗﻪﻣﻨﺪ ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﺁﻥ ﺷﺮﻛﺖ ﻧﻤﺎﻳﺪ‪ .‬ﺩﺭ ﺟﺮﻳﺎﻥ ﺗﻬﻴﺔ ﻳﻚ‬
‫ﻣﺸﺨﺼﻪ‪ ،‬ﻳﻚ ﮔﺮﻭﻩ ﻛﺎﺭﻱ ﻳﻚ ﭘﻴﺶﻧﻮﻳﺲ ﺍﺯ ﺍﺳﻨﺎﺩ ﻣﻮﺟﻮﺩ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﭘﻴﺶﻧﻮﻳﺲ ﺍﻳﻨﺘﺮﻧﺖ ﺗﻬﻴﻪ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺩﺭ ﻓﻬﺮﺳﺖ‬
‫”‪ “Internet Draft‬ﺑﻄﻮﺭ ﻣﺴﺘﻘﻴﻢ ﺭﻭﻱ ﺧﻂ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﺳﻨﺪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﺎ ﺷﺶ ﻣﺎﻩ ﺩﺭ ﻣﺤﻞ ﺫﻛﺮﺷﺪﻩ ﻗﺮﺍﺭ ﺩﺍﺷﺘﻪ ﺗﺎ‬
‫ﮔﺮﻭﻩﻫﺎﻱ ﻋﻼﻗﻪﻣﻨﺪ ﺑﺘﻮﺍﻧﻨﺪ ﺁﻥ ﺭﺍ ﻣﻄﺎﻟﻌﻪ ﻛﺮﺩﻩ ﻭ ﻧﻈﺮﺍﺕ ﺧﻮﺩ ﺭﺍ ﺍﺑﺮﺍﺯ ﺩﺍﺭﻧﺪ‪ .‬ﺩﺭ ﺧﻼﻝ ﺍﻳﻦ ﻣﺪﺕ‪ IESG ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﻧﺘﺸﺎﺭ ﺍﻳﻦ‬
‫ﺳﻨﺪ ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﻳﻚ‪ (Request for Comment) RFC‬ﺗﺼﻮﻳﺐ ﻛﻨﺪ‪ .‬ﺍﮔﺮ ﺍﻳﻦ ﭘﻴﺶﻧﻮﻳﺲ ﻇﺮﻑ ﻳﻚ ﺩﻭﺭﺓ ﺷﺶ ﻣﺎﻫﻪ‪ ،‬ﻓﺮﻡ‬
‫‪٣١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬
‫‪ RFC‬ﺑﺨﻮﺩ ﻧﮕﺮﻓﺖ ﺍﺯ ﻓﻬﺮﺳﺖ ﺧﺎﺭﺝ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﮔﺮﻭﻩ ﻛﺎﺭﻱ ﺩﺭ ﭘﻲ ﺁﻥ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﻧﺴﺨﺔ ﺍﺻﻼﺡ ﻭ ﺩﺳﺘﻜﺎﺭﻱ ﺷﺪﺓ ﺁﻥ ﺭﺍ‬
‫ﺍﻧﺘﺸﺎﺭ ﺩﻫﺪ‪.‬‬
‫‪ IETF‬ﻣﺴﺌﻮﻝ ﺍﻧﺘﺸﺎﺭ ‪RFC‬ﻫﺎ ﺑﺎ ﺗﺼﻮﻳﺐ ‪ IESG‬ﺍﺳﺖ‪RFC .‬ﻫﺎ ﻳﺎﺩﺩﺍﺷﺖﻫﺎﻱ ﻛﺎﺭﻱ ﻛﻤﻴﺘﺔ ﺗﻮﺳﻌﻪ ﻭ ﻣﻬﻨﺪﺳﻲ ﺍﻳﻨﺘﺮﻧﺖ‬
‫ﺍﺳﺖ‪ .‬ﻳﻚ ﺳﻨﺪ ﺩﺭ ﺍﻳﻦ ﺳﺮﻱ ﻣﻤﻜﻦ ﺍﺳﺖ ﻫﺮ ﻣﻮﺿﻮﻋﻲ ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺭﺍﻳﺎﻧﻪﺍﻱ ﺑﻮﺩﻩ ﻭ ﻣﻲﺗﻮﺍﻧﺪ ﻫﺮﭼﻴﺰﻱ ﺍﺯ ﮔﺰﺍﺭﺵ ﻳﻚ‬
‫ﻣﻼﻗﺎﺕ ﺗﺎ ﻣﺸﺨﺼﺎﺕ ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺑﺎﺷﺪ‪.‬‬
‫ﻛﺎﺭ ‪ IETF‬ﺑﻪ ﻫﺸﺖ ﺷﻌﺒﻪ ﺗﻘﺴﻴﻢ ﺷﺪﻩ ﻛﻪ ﻫﺮﺷﻌﺒﻪ ﺩﺍﺭﺍﻱ ﻳﻚ ﻣﺪﻳﺮ ﺑﻮﺩﻩ ﻭ ﺧﻮﺩ ﺷﺎﻣﻞ ﮔﺮﻭﻩﻫﺎﻱ ﻛﺎﺭﻱ ﺑﺴﻴﺎﺭ ﺍﺳﺖ‪.‬‬
‫ﺟﺪﻭﻝ ‪ ۱-۵‬ﺷﻌﺒﺎﺕ ‪ IETF‬ﻭ ﻭﻇﺎﻳﻒ ﺁﻧﻬﺎ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺭَﻭَﻧﺪ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﺳﺎﺯﻱ‬
‫ﺗﺼﻤﻴﻢﮔﻴﺮﻱ ﺭﺍﺟﻊ ﺑﻪ ﺍﻳﻨﻜﻪ ﻛﺪﺍﻡ ‪ RFC‬ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻳﻨﺘﺮﻧﺖ ﺷﻮﺩ‪ ،‬ﺑﺘﻮﺳﻂ ‪ IESG‬ﻭ ﺑﺮ ﺍﺳﺎﺱ ﺗﻮﺻﻴﺔ ‪ IETF‬ﺻﻮﺭﺕ‬
‫ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﻳﻚ ﻣﺸﺨﺼﻪ ﺑﺼﻮﺭﺕ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺩﺭﺁﻳﺪ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺩﺍﺭﺍﻱ ﺷﺮﺍﻳﻂ ﺯﻳﺮ ﺑﺎﺷﺪ‪:‬‬
‫ﭘﺎﻳﺪﺍﺭ ﺑﻮﺩﻩ ﻭ ﺧﻮﺏ ﺩﺭﻙ ﺷﺪﻩ ﺑﺎﺷﺪ‪.‬‬ ‫•‬

‫ﺍﺯ ﻧﻈﺮ ﺗﻜﻨﻴﻜﻲ‪ ،‬ﺭﻗﻴﺐ ﺗﻜﻨﻴﻚﻫﺎﻱ ﺩﻳﮕﺮ ﺑﺎﺷﺪ‪.‬‬ ‫•‬
‫ﺩﺍﺭﺍﻱ ﺻﻮﺭ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻣﺘﻌﺪﺩ‪ ،‬ﻣﺴﺘﻘﻞ ﻭ ﻣﺘﻌﺎﻣﻞ ﺑﺎ ﺗﺠﺎﺭﺏ ﻋﻤﻠﻴﺎﺗﻲ ﻗﺎﺑﻞ ﺗﻮﺟﻪ ﺑﺎﺷﺪ‪.‬‬ ‫•‬
‫ﺍﺯ ﺣﻤﺎﻳﺖ ﻋﻤﻮﻣﻲ ﭼﺸﻢﮔﻴﺮﻱ ﺑﺮﺧﻮﺭﺩﺍﺭ ﺑﺎﺷﺪ‪.‬‬ ‫•‬
‫ﺑﻄﻮﺭ ﻗﺎﺑﻞ ﻣﻼﺣﻈﻪﺍﻱ ﺩﺭ ﺑﺨﺸﻲ ﻭ ﻳﺎ ﺗﻤﺎﻡ ﺑﺨﺶﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﻣﻔﻴﺪ ﺑﺎﺷﺪ‪.‬‬ ‫•‬
‫ﺟﺪﻭﻝ ‪ ۱-۵‬ﻋﺮﺻﻪﻫﺎﻱ ‪IETF‬‬
‫ﻧﻤﻮﻧﺔﮔﺮﻭﻩﻫﺎﻱ ﻛﺎﺭﻱ‬ ‫ﻣﻮﺿﻮﻉ‬ ‫ﻋﺮﺻﺔ ‪IETF‬‬

‫‪Policy Framework‬‬ ‫ﺭﻭﺵﻫﺎﻱ ﻛﺎﺭﻱ ‪IETF‬‬ ‫ﻋﻤﻮﻣﻲ‬
‫‪Process for Organization of‬‬
‫‪Internet Standards‬‬
‫)‪Web- related protocols(HTTP‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎ‬
‫‪EDI- Internet integration‬‬
‫‪LDAP‬‬
‫‪IPv6‬‬ ‫ﺯﻳﺮﺳﺎﺧﺖ ﺍﻳﻨﺘﺮﻧﺖ‬ ‫ﺍﻳﻨﺘﺮﻧﺖ‬
‫‪PPP extensions‬‬
‫‪SNMPv3‬‬ ‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎ ﻭ ﺗﻌﺎﺭﻳﻒ ﻣﺮﺗﺒﻂ ﺑﺎ ﻋﻤﻠﻴﺎﺕ ﺷﺒﻜﻪ‬ ‫ﻋﻤﻠﻴﺎﺕ ﻭ ﻣﺪﻳﺮﻳﺖ‬
‫‪Remote Network Monitoring‬‬
‫‪Multicast routing‬‬ ‫ﭘﺮﻭﺗﻜﻞﻫﺎ ﻭ ﻣﺪﻳﺮﻳﺖ ﺍﻃﻼﻋﺎﺕ ﻣﺴﻴﺮﻳﺎﺑﻲ‬ ‫ﻣﺴﻴﺮﻳﺎﺑﻲ‬
‫‪OSPF‬‬
‫‪QoS routing‬‬
‫‪Kerberos‬‬ ‫ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﻓﻦﺁﻭﺭﻱﻫﺎ‬ ‫ﺍﻣﻨﻴﺖ‬
‫‪IPsec‬‬
‫‪X.509‬‬
‫‪S/MIME‬‬
‫‪TLS‬‬
‫‪Differentiated services‬‬ ‫ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻻﻳﻪ ﺣﻤﻞﻭﻧﻘﻞ‬ ‫ﺣﻤﻞ ﻭ ﻧﻘﻞ‬
‫‪IP telephony‬‬
‫‪NFS‬‬
‫‪RSVP‬‬
‫‪Responsible Use of the Internet‬‬ ‫ﺭﻭﺵﻫﺎﻱ ﺍﺭﺗﻘﺎﺀ ﻛﻴﻔﻴﺖ ﺍﻃﻼﻋﺎﺕ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻥ‬ ‫ﺳﺮﻭﻳﺲﻫﺎﻱ ﻛﺎﺭﺑﺮﺍﻥ‬
‫‪User Services‬‬
‫‪FYI documents‬‬ ‫ﺍﻳﻨﺘﺮﻧﺖ‬
‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٢‬‬
‫ﺍﺧﺘﻼﻑ ﻛﻠﻴﺪﻱ ﺑﻴﻦ ﺍﻳﻦ ﺷﺮﺍﻳﻂ ﻭ ﺁﻧﻬﺎﺋﻲ ﻛﻪ ﺍﺯ ﻃﺮﻑ ‪ ITU‬ﺑﺼﻮﺭﺕ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺑﻴﻦﺍﻟﻤﻠﻠﻲ ﻣﻄﺮﺡ ﻣﻲﺷﻮﻧﺪ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ‬
‫ﺩﺭ ﺍﻳﻨﺠﺎ‪ ،‬ﺗﺄﻛﻴﺪ ﺑﺮ ﺗﺠﺎﺭﺏ ﻋﻤﻠﻴﺎﺗﻲ ﺍﺳﺖ‪.‬‬
‫ﺳﻤﺖ ﭼﭗ ﺷﻜﻞ ‪ ۱-۷‬ﻗﺪﻡﻫﺎﺋﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﻣﺴﻴﺮ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷﻮﻧﺪ ﻭ ﻳﻚ ﻣﺸﺨﺼﻪ ﺑﺎﻳﺴﺘﻲ ﺁﻧﻬﺎ ﺭﺍ‬
‫ﭘﻴﻤﻮﺩﻩ ﺗﺎ ﺑﺼﻮﺭﺕ ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺩﺭﺁﻳﺪ‪ .‬ﺍﻳﻦ ﺗﺤﻮﻝ ﺩﺭ‪ RFC 2026‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻗﺪﻡﻫﺎ ﺷﺎﻣﻞ ﻣﻴﺰﺍﻥ ﻓﺰﺍﻳﻨﺪﻩﺍﻱ ﺍﺯ‬
‫ﺑﺎﺯﺭﺳﻲﻫﺎﻱ ﺩﻗﻴﻖ ﻭ ﺁﺯﻣﺎﻳﺶﻫﺎﻱ ﻣﺘﻨﻮﻉ ﺍﺳﺖ‪ .‬ﺩﺭ ﻫﺮ ﻗﺪﻡ‪ IETF ،‬ﺑﺎﻳﺴﺘﻲ ﺗﻮﺻﻴﻪﻫﺎﺋﻲ ﺑﺮﺍﻱ ﺭﺷﺪ ﭘﺮﻭﺗﻜﻞ ﺭﺍ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩ ﻭ‬
‫‪ IESG‬ﺑﺎﻳﺴﺘﻲ ﺁﻥ ﺭﺍ ﺗﺼﻮﻳﺐ ﻛﻨﺪ‪ .‬ﻋﻤﻞ ﻭﻗﺘﻲ ﺁﻏﺎﺯ ﻣﻲﺷﻮﺩ ﻛﻪ ‪ IESG‬ﻧﺴﺨﺔ ﻣﻨﺘﺸﺮﺷﺪﺓ ﭘﻴﺶﻧﻮﻳﺲ ﺳﻨﺪ ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ‪RFC‬‬
‫ﭘﻴﺸﻨﻬﺎﺩﺷﺪﻩ ﺑﺮﺍﻱ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺑﭙﺬﻳﺮﺩ‪.‬‬
‫ﺧﺎﻧﻪﻫﺎﻱ ﺳﻔﻴﺪ ﺩﺭ ﺷﻜﻞ ‪ ۱-۷‬ﻧﻤﺎﻳﺶ ﺣﺎﻻﺕ ﻣﻮﻗﺖ ﺑﻮﺩﻩ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ﺣﺪﺍﻗﻞ ﺯﻣﺎﻥ ﻣﻤﻜﻦ ﺍﺷﻐﺎﻝ ﺷﻮﻧﺪ‪ .‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ‬
‫ﻳﻚ ﺳﻨﺪ ﺑﺎﻳﺴﺘﻲ ﺣﺪﺍﻗﻞ ﺷﺶ ﻣﺎﻩ ﺑﺼﻮﺭﺕ ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﭘﻴﺸﻨﻬﺎﺩﺷﺪﻩ‪ ،‬ﻭ ﺣﺪﺍﻗﻞ ﭼﻬﺎﺭﻣﺎﻩ ﺑﺼﻮﺭﺕ ﻳﻚ ﭘﻴﺶﻧﻮﻳﺲ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ‪ ،‬ﺩﺭ‬
‫ﺣﺎﻟﺖ ﺍﻧﺘﻈﺎﺭ ﻗﺮﺍﺭ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﺯﻣﺎﻥ ﻛﺎﻓﻲ ﺑﺮﺍﻱ ﺗﺠﺪﻳﺪﻧﻈﺮ ﻭ ﭘﻴﺸﻨﻬﺎﺩﻫﺎ ﻣﻮﺟﻮﺩ ﺑﺎﺷﺪ‪ .‬ﺧﺎﻧﻪﻫﺎﻱ ﺧﺎﻛﺴﺘﺮﻱ ﻧﻤﺎﻳﺶﮔﺮ ﺣﺎﻻﺕ‬
‫ﻃﻮﻻﻧﻲ ﺑﻮﺩﻩ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺳﺎﻝﻫﺎ ﻃﻮﻝ ﺑﻜﺸﻨﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﻳﻚ ﻣﺸﺨﺼﻪ ﺑﻪ ﺣﺎﻟﺖ ﭘﻴﺶﻧﻮﻳﺲ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﺭﺗﻘﺎﺀ ﻳﺎﺑﺪ‪ ،‬ﺣﺪﺍﻗﻞ ﺑﺎﻳﺴﺘﻲ ﺩﻭ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻣﺴﺘﻘﻞ ﻭ ﻣﺘﻌﺎﻣﻞ ﺍﺯ‬
‫ﺁﻥ ﺑﺎ ﺗﺠﺮﺑﻴﺎﺕ ﻋﻤﻠﻲ ﻛﺴﺐ ﺷﺪﻩ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﭘﺲ ﺍﺯ ﺍﻳﻨﻜﻪ ﻣﺸﺨﺼﻪ ﺑﺼﻮﺭﺕ ﻗﺎﺑﻞ ﺗﻮﺟﻬﻲ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺷﺪﻩ ﻭ ﺗﺠﺮﺑﻴﺎﺕ ﻋﻤﻠﻲ ﺍﺯ ﺁﻥ ﺑﺪﺳﺖ ﺁﻣﺪﻩ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺁﻥ‬
‫ﻣﺸﺨﺼﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﺳﻄﺢ ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻳﻨﺘﺮﻧﺖ ﺍﺭﺗﻘﺎﺀ ﻳﺎﺑﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﺮﺣﻠﻪ‪ ،‬ﺑﻪ ﻣﺸﺨﺼﻪ ﻳﻚ ﺷﻤﺎﺭﺓ ‪ STD‬ﻭ ﻫﻤﭽﻨﻴﻦ ﻳﻚ‬
‫ﺷﻤﺎﺭﺓ ‪ RFC‬ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺑﺎﻻﺧﺮﻩ ﺯﻣﺎﻧﻲ ﻛﻪ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺩﻳﮕﺮ ﺑﻪ ﺩﺭﺩ ﻧﺨﻮﺭﺩ‪ ،‬ﺣﺎﻟﺖ ﺗﺎﺭﻳﺨﻲ ﺑﻪ ﺁﻥ ﻧﺴﺒﺖ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺩﺳﺘﻪﺑﻨﺪﻱ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺘﻲ‬

‫ﺗﻤﺎﻡ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺩﺭ ﻳﻜﻲ ﺍﺯ ﺩﻭ ﮔﺮﻭﻩ ﺯﻳﺮ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ‪:‬‬
‫ﻣﺸﺨﺼﺎﺕ ﻓﻨﻲ )‪ :Technical specification (TS‬ﻳﻚ ‪ ،TS‬ﻳﻚ ﭘﺮﻭﺗﻜﻞ‪ ،‬ﺳﺮﻭﻳﺲ‪ ،‬ﺭﻭﺵ‪ ،‬ﻗﺮﺍﺭﺩﺍﺩ ﻭ ﻳﺎ ﻓﺮﻣﺖ ﺭﺍ‬ ‫•‬
‫ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻴﺸﺘﺮ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎ ﺍﺯ ﻧﻮﻉ ‪ TS‬ﻫﺴﺘﻨﺪ‪.‬‬
‫ﮔﺰﺍﺭﺵ ﻗﺎﺑﻠﻴﺖ ﻋﻤﻠﻴﺎﺗﻲ )‪ :Applicability statement (AS‬ﻳﻚ ‪ AS‬ﻣﺸﺨﺺ ﻣﻲﺳﺎﺯﺩ ﻛﻪ ﭼﮕﻮﻧﻪ ﻭ ﺗﺤﺖ ﭼﻪ‬ ‫•‬
‫ﺷﺮﺍﻳﻄﻲ ﻳﻜﻲ ﻭ ﻳﺎ ﺑﻴﺶ ﺍﺯ ﻳﻜﻲ ﺍﺯ ‪TS‬ﻫﺎ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺮﺍﻱ ﺣﻤﺎﻳﺖ ﺍﺯ ﻳﻚ ﻗﺎﺑﻠﻴﺖ ﺍﻳﻨﺘﺮﻧﺘﻲ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﻮﻧﺪ‪ .‬ﻳﻚ ‪،AS‬‬
‫ﻳﻚ ﻳﺎ ﭼﻨﺪ ‪ TS‬ﻛﻪ ﻣﺮﺗﺒﻂ ﺑﺎ ﻳﻚ ﻗﺎﺑﻠﻴﺖ ﺑﻮﺩﻩ ﺭﺍ ﻣﻌﺮﻓﻲ ﻛﺮﺩﻩ ﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﻣﻘﺎﺩﻳﺮ ﻭ ﻳﺎ ﻣﺤﺪﻭﺩﺓ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ‬
‫ﻣﺨﺼﻮﺻﻲ ﺭﺍ ﻛﻪ ﻣﺮﺗﺒﻂ ﺑﺎ ﻳﻚ ‪ TS‬ﻭ ﻳﺎ ﺯﻳﺮﻣﺠﻤﻮﻋﺔ ﻋﻤﻠﻴﺎﺗﻲ ﻳﻚ ‪ TS‬ﺑﺎﺷﻨﺪ ﺭﺍ ﻣﺸﺨﺺ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺳﺎﻳﺮ ﺍﻧﻮﺍﻉ ‪RFC‬‬

‫‪RFC‬ﻫﺎﻱ ﺑﺴﻴﺎﺭﻱ ﻭﺟﻮﺩ ﺩﺍﺭﻧﺪ ﻛﻪ ﺟﻬﺖ ﺁﻧﻬﺎ ﺍﻳﻦ ﻧﻴﺴﺖ ﻛﻪ ﺑﺼﻮﺭﺕ ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻳﻨﺘﺮﻧﺖ ﺩﺭﺁﻳﻨﺪ‪ .‬ﺑﻌﻀﻲ ‪RFC‬ﻫﺎ ﻧﺘﻴﺠﺔ‬
‫ﻓﻌﺎﻟﻴﺖ ﻫﺎﻱ ﻣﻮﺷﻜﺎﻓﺎﻧﺔ ﺍﻧﺠﻤﻦﻫﺎ ﺩﺭ ﻣﻮﺭﺩ ﺑﻴﺎﻥ ﻳﻚ ﺍﺻﻞ ﻭ ﻳﺎ ﻧﺘﺎﻳﺞ ﺍﻳﻦ ﻛﻪ ﺑﻬﺘﺮﻳﻦ ﺭﺍﻩ ﺣﻞ ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﺑﺮﺧﻲ ﻋﻤﻠﻴﺎﺕ ﻳﺎ ﻭﻇﻴﻔﺔ‬
‫ﻳﻚ ‪ IETF‬ﻛﺪﺍﻡ ﺍﺳﺖ ﺭﺍ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺍﻳﻦ ‪RFC‬ﻫﺎ ﺭﺍ ﺑﻬﺘﺮﻳﻦ ﺭﻭﺵ ﺟﺎﺭﻱ )‪Best Current Practice (BCP‬‬
‫ﻣﻲﻧﺎﻣﻨﺪ‪ .‬ﺗﺼﻮﻳﺐ ‪BCP‬ﻫﺎ ﺗﻘﺮﻳﺒﺎﹰ ﻫﻤﺎﻥ ﻣﺴﻴﺮ ﺗﺼﻮﻳﺐ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﭘﻴﺸﻨﻬﺎﺩ ﺷﺪﻩ ﺭﺍ ﻃﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺧﻼﻑ ﺍﺳﻨﺎﺩﻱ ﻛﻪ ﺭﻭﻱ ﺧﻂ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ‪ ،‬ﺑﺮﺍﻱ ‪BCP‬ﻫﺎ ﻳﻚ ﺩﻭﺭﺓ ﺳﻪ ﻣﺮﺣﻠﻪﺍﻱ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ‪ .‬ﻳﻚ ‪ ،BCP‬ﺣﺎﻟﺖ ﭘﻴﺶﻧﻮﻳﺲ ﺍﻳﻨﺘﺮﻧﺖ ﺗﺎ ‪BCP‬‬
‫ﺗﺼﻮﻳﺐ ﺷﺪﻩ ﺭﺍ ﺩﺭ ﻳﻚ ﻗﺪﻡ ﻃﻲ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪٣٣‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬
‫ﭘﻴﺶﻧﻮﻳﺲ‬
‫ﺍﻳﻨﺘﺮﻧﺘﻲ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ‬ ‫ﺑﻬﺘﺮﻳﻦ ﺭﻭﺵ‬

‫ﭘﻴﺸﻨﻬﺎﺩﺷﺪﻩ‬ ‫ﺟﺎﺭﻱ‬ ‫ﺁﺯﻣﺎﻳﺸﻲ‬ ‫ﺍﻃﻼﻋﺎﺗﻲ‬
‫ﭘﻴﺶﻧﻮﻳﺲ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ‬
‫ﺗﺎﺭﻳﺨﻲ‬
‫ﺷﻜﻞ ‪ ۱-۷‬ﺭَﻭَﻧﺪ ﺍﻧﺘﺸﺎﺭ ﻳﻚ ‪ RFC‬ﺍﻳﻨﺘﺮﻧﺖ‬
‫ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﻳﺎ ﻣﺸﺨﺼﺔ ﺩﻳﮕﺮﻱ ﻛﻪ ﺁﻣﺎﺩﺓ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺷﺪﻥ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﻧﻤﻲﺷﻮﺩ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺼﻮﺭﺕ ﻳﻚ ‪RFC‬‬
‫ﺁﺯﻣﺎﻳﺸﻲ ﻣﻨﺘﺸﺮ ﮔﺮﺩﺩ‪ .‬ﭘﺲ ﺍﺯ ﻛﺎﺭ ﺑﻴﺸﺘﺮﻱ‪ ،‬ﻣﺸﺨﺼﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻣﺠﺪﺩﺍﹰ ﺍﺭﺍﺋﻪ ﮔﺮﺩﺩ‪ .‬ﻣﻌﻤﻮﻻﹰ ﺍﮔﺮ ﻣﺸﺨﺼﻪ ﭘﺎﻳﺪﺍﺭ ﺑﻮﺩﻩ‪ ،‬ﺍﻫﺪﺍﻑ‬
‫ﻃﺮﺍﺣﻲ ﻣﺸﺨﺼﻲ ﺭﺍ ﺑﺮﺁﻭﺭﺩﻩ ﻛﺮﺩﻩ‪ ،‬ﺩﺭﻙ ﺧﻮﺑﻲ ﺍﺯ ﺁﻥ ﺣﺎﺻﻞ ﺷﺪﻩ‪ ،‬ﺑﺎﺯﻧﮕﺮﻱﻫﺎﻱ ﻗﺎﺑﻞ ﺗﻮﺟﻬﻲ ﺩﺭ ﺁﻥ ﺑﻮﺟﻮﺩ ﺁﻣﺪﻩ ﻭ ﺑﻨﻈﺮ ﺑﺮﺳﺪ‬
‫ﻛﻪ ﺍﺭﺯﺵ ﻗﺎﺑﻞ ﻣﻼﺣﻈﻪﺍﻱ ﺩﺍﺭﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﺁﻥ ‪ RFC‬ﺑﺼﻮﺭﺕ ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﭘﻴﺸﻨﻬﺎﺩ ﺷﺪﻩ ﺩﺭﻣﻲﺁﻳﺪ‪.‬‬
‫ﻧﻬﺎﻳﺘﺎﹰ ﻳﻚ ﻣﺸﺨﺼﺔ ﺍﻃﻼﻋﺎﺗﻲ )‪ (Informational Specification‬ﺑﺮﺍﻱ ﺍﻃﻼﻉ ﺍﻧﺠﻤﻦ ﻣﻨﺘﺸﺮ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺳﺎﺧﺘﺎﺭ ﺍﻳﻦ ﻛﺘﺎﺏ‬ ‫‪۱-۸‬‬
‫ﺍﻳﻦ ﻓﺼﻞ ﻭﻇﻴﻔﺔ ﻣﻌﺮﻓﻲ ﺗﻤﺎﻡ ﻛﺘﺎﺏ ﺭﺍ ﺑﻌﻬﺪﻩ ﺩﺍﺭﺩ‪ .‬ﺑﻘﻴﺔ ﻛﺘﺎﺏ ﺩﺭ ﺳﻪ ﻗﺴﻤﺖ ﺳﺎﺯﻣﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪:‬‬
‫ﻗﺴﻤﺖ ﺍﻭﻝ‪ :‬ﻣﺮﻭﺭ ﻣﺨﺘﺼﺮﻱ ﺑﺮ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺯﻳﺮﺳﺎﺧﺖ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺩﺍﺭﺩ ﻛﻪ‬ ‫•‬
‫ﺷﺎﻣﻞ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ‪ ،‬ﺍﻣﻀﺎﺀﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ﻭ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﻫﺴﺘﻨﺪ‪.‬‬
‫• ﻗﺴﻤﺖ ﺩﻭﻡ‪ :‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﺑﺮﺍﻱ ﻓﺮﺍﻫﻢﺁﻭﺭﺩﻥ ﺍﻣﻨﻴﺖ ﺩﺭ ﺷﺒﻜﻪﻫﺎ ﻭ‬
‫ﺍﻳﻨﺘﺮﻧﺖ ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﺪ‪ .‬ﻋﻨﺎﻭﻳﻨﻲ ﻫﻤﭽﻮﻥ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﺎﺭﺑﺮ‪ ،‬ﺍﻣﻨﻴﺖ‪ ،e-mail‬ﺍﻣﻨﻴﺖ ‪ IP‬ﻭ ﺍﻣﻨﻴﺖ ‪ WEB‬ﺩﺭ ﺍﻳﻦ‬
‫ﻓﺼﻞ ﮔﻨﺠﺎﻧﺪﻩ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٤‬‬
‫ﻗﺴﻤﺖ ﺳﻮﻡ‪ :‬ﻣﺮﺑﻮﻁ ﺑﻪ ﺗﺴﻬﻴﻼﺕ ﺍﻣﻨﻴﺘﻲ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺑﺮﺍﻱ ﺣﻔﺎﻇﺖ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺭﺍﻳﺎﻧﻪﺍﻱ‪ ،‬ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﻬﺪﻳﺪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬ ‫•‬
‫ﻣﺎﻧﻨﺪ ﻣﻬﺎﺟﻤﻴﻦ‪ ،‬ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﻛِﺮﻡﻫﺎﺳﺖ‪ .‬ﺩﺭﺍﻳﻦ ﻗﺴﻤﺖ ﺑﻪ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺩﻳﻮﺍﺭﺁﺗﺶ ﻧﻴﺰ ﭘﺮﺩﺍﺧﺘﻪ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﭘﺮﻭﺗﻜﻞﻫﺎ ﻭ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﻛﺘﺎﺏ ﻣﻮﺭﺩ ﺗﻮﺻﻴﻒ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪﺍﻧﺪ‬
‫ﺑﺼﻮﺭﺕ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺩﺭﺁﻣﺪﻩﺍﻧﺪ‪ .‬ﻣﻬﻢﺗﺮﻳﻦ ﺁﻧﻬﺎ‪ ،‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖﻛﻪ ﺩﺭ ‪RFC‬ﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺗﻌﺮﻳﻒ ﺷﺪﻩ‪ ،‬ﻭ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ‬
‫ﻓﺪﺭﺍﻝ ﭘﺮﺩﺍﺯﺵ ﺍﻃﻼﻋﺎﺕ )‪ (FIPS‬ﻛﻪ ﺑﻪ ﺗﻮﺳﻂ ﺳﺎﺯﻣﺎﻥ ﻣﻠﻲ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎ ﻭ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺁﻣﺮﻳﻜﺎ)‪ (NIST‬ﻣﻨﺘﺸﺮ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﻣﻲ‬
‫ﺑﺎﺷﻨﺪ‪.‬‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۱-۹‬‬
‫]‪ [PFLE02‬ﺍﻣﻨﻴﺖ ﺭﺍﻳﺎﻧﻪ ﻭ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺭﺍ ﺑﺨﻮﺑﻲ ﻣﻌﺮﻓﻲ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺩﻭ ﺑﺮﺭﺳﻲ ﻓﻮﻕﺍﻟﻌﺎﺩﺓ ﺩﻳﮕﺮ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺩﺭ ]‪ [PIEP03‬ﻭ‬
‫]‪ [BISH05‬ﺟﺴﺘﺠﻮ ﻛﺮﺩ‪ [BISH03] .‬ﺗﻘﺮﻳﺒﺎﹰ ﻫﻤﺎﻥ ﻣﻄﺎﻟﺐ ]‪ [BISH05‬ﺭﺍ ﺑﺎ ﺟﺰﺋﻴﺎﺕ ﺭﻳﺎﺿﻲ ﺑﻴﺸﺘﺮ ﻭ ﻗﻮﻱﺗﺮﻱ ﭘﻮﺷﺶ ﺩﺍﺩﻩ ﺍﺳﺖ‪.‬‬
‫]‪ [SCHN00‬ﻳﻚ ﻣﻨﺒﻊ ﺧﻮﺍﻧﺪﻧﻲ ﺍﺭﺯﻧﺪﻩ ﺑﺮﺍﻱ ﻫﺮﻛﺴﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺯﻣﻴﻨﺔ ﺍﻣﻨﻴﺖ ﺭﺍﻳﺎﻧﻪ ﻭ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﻓﻌﺎﻟﻴﺖ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﻛﺘﺎﺏ‬
‫ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﺗﻜﻨﻮﻟﻮﮊﻱ ﻭ ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ ﻓﺮﺍﻫﻢﺁﻭﺭﺩﻥ ﺍﻣﻨﻴﺖ ﺭﺍ ﺑﺮﺭﺳﻲ ﻛﺮﺩﻩ ﻭ ﻧﻴﺎﺯ ﺗﻮﺟﻪ ﺑﻪ ﺳﺨﺖﺍﻓﺰﺍﺭ‪ ،‬ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎﻱ‬
‫ﻧﺮﻡﺍﻓﺰﺍﺭﻱ‪ ،‬ﺷﺒﻜﻪﻫﺎ ﻭ ﻣﺮﺩﻣﻲ ﻛﻪ ﺩﺭ ﺍﻳﺠﺎﺩ ﺍﻣﻨﻴﺖ ﻭ ﺍﺧﻼﻝ ﺩﺭ ﺍﻣﻨﻴﺖ ﻣﺸﺎﺭﻛﺖ ﺩﺍﺭﻧﺪ ﺭﺍ ﮔﻮﺷﺰﺩ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪BISH03 Bishop, M. Computer Security: Art and Science. Boston : Addison-Wesley, 2003.‬‬
‫‪BISH05 Bishop, M. Introduction to Computer Security. Boston : Addison-Weseley, 2005.‬‬
‫‪PFLE02 Pfleeger, C. Security in Computing. Upper Saddle River, NJ: Prentice Hall, 2002.‬‬
‫‪PIEP03 Pieprzyk, J.; Hardjono, T.; and Seberry, J. Fundamentals of Computer Security.‬‬
‫‪New York: Springer-Verlag, 2003.‬‬
‫‪SCHN00 Schneier, B. Secrets and Lies: Digital Security in a Networked World. New York: Wiley‬‬
‫‪2000.‬‬
‫ﻣﻨﺎﺑﻊ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﻭِﺏ‬ ‫‪۱-۱۰‬‬
‫ﻣﻨﺎﺑﻊ ﻣﺘﻌﺪﺩﻱ ﺩﺭ ﺍﻳﻨﺘﺮﻧﺖ ﭘﺸﺘﻴﺒﺎﻥ ﺍﻳﻦ ﻛﺘﺎﺏ ﺑﻮﺩﻩ ﻭ ﺑﻪ ﻓﺮﺩ ﻛﻤﻚ ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﺧﻮﺩ ﺭﺍ ﺑﺎ ﭘﻴﺸﺮﻓﺖﻫﺎﻱ ﺍﻳﻦ ﺣﻮﺯﻩ ﻫﻢﮔﺎﻡ ﺳﺎﺯﺩ‪.‬‬
‫‪٣٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬
‫ﻭِﺏﺳﺎﻳﺖﻫﺎﻱ ﺍﻳﻦ ﻛﺘﺎﺏ‬

‫ﻳﻚ ﺻﻔﺤﺔ ﻭِﺏ ﺑﻄﻮﺭ ﺍﺧﺘﺼﺎﺻﻲ ﺑﺮﺍﻱ ﺍﻳﻦ ﻛﺘﺎﺏ ﺩﺭ ﺁﺩﺭﺱ ﺯﻳﺮ ﺗﻬﻴﻪ ﺷﺪﻩ ﺍﺳﺖ‪:‬‬
‫‪WilliamStallings.com/NetSec/NetSec3e.html‬‬
‫ﺳﺎﻳﺖ ﺷﺎﻣﻞ ﻣﻄﺎﻟﺐ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﺳﺎﻳﺖﻫﺎﻱ ﻣﻔﻴﺪ ﺩﺭ ﻭِﺏ‪ :‬ﻟﻴﻨﻚﻫﺎﺋﻲ ﺑﻪ ﺳﺎﻳﺖﻫﺎﻱ ﺩﻳﮕﺮ ﻣﺮﺗﺒﻂ ﺑﺎ ﻣﻄﻠﺐ‪ ،‬ﺑﺮ ﺍﺳﺎﺱ ﻓﺼﻮﻝ ﻛﺘﺎﺏ‪ ،‬ﻓﺮﺍﻫﻢ ﺷﺪﻩ ﻛﻪ ﺷﺎﻣﻞ ﺳـﺎﻳﺖﻫـﺎﻱ‬ ‫•‬
‫ﺍﻳﻦ ﺑﺨﺶ ﻭ ﻓﺼﻮﻝ ﺩﻳﮕﺮ ﺍﺳﺖ‪.‬‬
‫ﻏﻠﻂﻧﺎﻣﻪ‪ :‬ﻳﻚ ﻟﻴﺴﺖ ﺍﺯ ﻏﻠﻂﻫﺎﻱ ﻛﺘﺎﺏ ﺩﺭ ﺍﻳﻨﺠﺎ ﻧﮕﻬﺪﺍﺭﻱ ﻭ ﻣﺮﺗﺒﺎﹰ ﺑﻪ ﺭﻭﺯ ﻣﻲﺷﻮﺩ‪ .‬ﻟﻄﻔﺎﹰ ﺑﻪ ﻫﺮ ﺍﺷﺘﺒﺎﻫﻲ ﺑﺮﺧﻮﺭﺩ ﻣﻲﻛﻨﻴﺪ‪ ،‬ﺁﻥ ﺭﺍ ﺑﺮﺍﻱ‬ ‫•‬
‫ﻧﮕﺎﺭﻧﺪﺓ ﻛﺘﺎﺏ ‪ e-mail‬ﻛﻨﻴﺪ‪.‬‬
‫ﺷﻜﻞﻫﺎ‪ :‬ﺗﻤﺎﻡ ﺷﻜﻞﻫﺎﻱ ﺍﻳﻦ ﻛﺘﺎﺏ ﺑﺎ ﻓﺮﻣﺖ ‪.PDF‬‬ ‫•‬
‫ﺟﺪﻭﻝﻫﺎ‪ :‬ﺗﻤﺎﻡ ﺟﺪﻭﻝﻫﺎﻱ ﺍﻳﻦ ﻛﺘﺎﺏ ﺑﺎ ﻓﺮﻣﺖ ‪.PDF‬‬ ‫•‬
‫ﺍﺳﻼﻳﺪﻫﺎ‪ :‬ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺍﺳﻼﻳﺪﻫﺎ ﺑﺼﻮﺭﺕ ‪ Power Point‬ﺑﺮﺍﻱ ﻫﺮﻓﺼﻞ‪.‬‬ ‫•‬
‫ﻟﻴﺴﺖ ﭘﺴﺘﻲ ﺍﻳﻨﺘﺮﻧﺖ‪ :‬ﺳﺎﻳﺖ ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺕ ﻻﺯﻡ ﺑﺮﺍﻱ ﺛﺒﺖ ﻧﺎﻡ ﺩﺭ ﻟﻴﺴﺖ ﭘﺴﺘﻲ ﺍﻳﻦ ﻛﺘﺎﺏ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺩﻭﺭﻩﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‪ :‬ﻟﻴﻨﻚﻫﺎﺋﻲ ﺑﻪ ﺩﻭﺭﻩﻫﺎﺋﻲ ﻛﻪ ﺑﺮ ﺍﺳﺎﺱ ﺍﻳﻦ ﻛﺘﺎﺏ ﺗﺪﺭﻳﺲ ﻣﻲﺷـﻮﺩ ﻭﺟـﻮﺩ ﺩﺍﺭﺩ ﻛـﻪ ﻣـﻲﺗﻮﺍﻧـﺪ ﺑـﺮﺍﻱ ﺳـﺎﻳﺮ‬ ‫•‬
‫ﻣﺪﺭﺳﻴﻦ ﺟﻬﺖ ﻣﻌﻤﺎﺭﻱ ﺩﺭﺱ ﻣﻔﻴﺪ ﺑﺎﺷﺪ‪.‬‬
‫ﺍﻳﻨﺠﺎﻧﺐ ﻫﻤﭽﻨﻴﻦ ﺳﺎﻳﺖ ‪ Computer Science Student Resource Site‬ﺭﺍ ﺩﺭ ﺁﺩﺭﺱ ﺫﻳﻞ ﻧﮕﺎﻩ ﺩﺍﺷﺘﻪﺍﻡ‬
‫‪WilliamStalling.com/StudentSupport.html‬‬
‫ﻫﺪﻑ ﺍﻳﻦ ﺳﺎﻳﺖ ﻓﺮﺍﻫﻢﺁﻭﺭﺩﻥ ﺍﺳﻨﺎﺩ‪ ،‬ﺍﻃﻼﻋﺎﺕ‪ ،‬ﻭ ﻟﻴﻨﻚﻫﺎﺋﻲ ﺑﺮﺍﻱ ﺩﺍﻧﺸﺠﻮﻳﺎﻥ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻭ ﺍﻓﺮﺍﺩ ﺣﺮﻓﻪﺍﻱ ﺍﺳﺖ‪ .‬ﻟﻴﻨﻚﻫﺎ ﻭ ﺍﺳﻨﺎﺩ ﺩﺭ ﭼﻬﺎﺭ ﮔﺮﻭﻩ‬
‫ﻃﺒﻘﻪﺑﻨﺪﻱ ﺷﺪﻩﺍﻧﺪ‪:‬‬
‫ﺭﻳﺎﺿﻲ‪ :‬ﺷﺎﻣﻞ ﻗﺴﻤﺖ ﻳﺎﺩﺁﻭﺭﻱ ﺭﻳﺎﺿﻴﺎﺕ‪ ،‬ﺗﺌﻮﺭﻱ ﻣﻘﺪﻣﺎﺗﻲ ﺻﻒ‪ ،‬ﺑﺤﺚ ﻣﻘﺪﻣﺎﺗﻲ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺍﻋﺪﺍﺩ‪ ،‬ﻭ ﻟﻴﻨﻚﻫﺎﻱ ﻣﺘﻌـﺪﺩﻱ ﺑـﻪ ﺳـﺎﻳﺮ‬ ‫•‬
‫ﺳﺎﻳﺖﻫﺎﻱ ﺭﻳﺎﺿﻲ ﺍﺳﺖ‪.‬‬
‫ﭼﮕﻮﻧﻪ‪ :‬ﻫﺪﺍﻳﺖ ﻭ ﺭﺍﻫﻨﻤﺎﺋﻲ ﺑﺮﺍﻱ ﺣﻞ ﺗﻜﺎﻟﻴﻒ‪ ،‬ﻧﻮﺷﺘﻦ ﮔﺰﺍﺭﺵﻫﺎﻱ ﻓﻨﻲ ﻭ ﺁﻣﺎﺩﻩﺳﺎﺯﻱ ﺑﺮﺍﻱ ﺍﺭﺍﺋﺔ ﻣﻄﻠﺐ‪.‬‬ ‫•‬
‫ﻣﻨﺎﺑﻊ ﺗﺤﻘﻴﻖ‪ :‬ﻟﻴﻨﻚﻫﺎﺋﻲ ﺑﻪ ﻣﺠﻤﻮﻋﺔ ﻣﻘﺎﻻﺕ‪ ،‬ﮔﺰﺍﺭﺷﺎﺕ ﻓﻨﻲ ﻭ ﻓﻬﺮﺳﺖﻫﺎﺳﺖ‪.‬‬ ‫•‬
‫ﻣﺘﻔﺮﻗﻪ‪ :‬ﻣﻮﺍﺭﺩ ﻣﺘﻨﻮﻉ ﺩﻳﮕﺮﻱ ﺍﺯ ﺍﺳﻨﺎﺩ ﻭ ﻟﻴﻨﻚﻫﺎ‪.‬‬ ‫•‬
‫ﺳﺎﻳﺮ ﻭِﺏﺳﺎﻳﺖﻫﺎ‬
‫ﺳﺎﻳﺖﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﻭﺟﻮﺩ ﺩﺍﺭﻧﺪ ﻛﻪ ﺩﺭ ﻣﻮﺭﺩ ﻋﻨﺎﻭﻳﻦ ﻣﻄﺮﺡ ﺷﺪﻩ ﺩﺭ ﺍﻳﻦ ﻛﺘﺎﺏ ﺍﺭﺍﺋـﺔ ﺍﻃﻼﻋـﺎﺕ ﻣـﻲﻧﻤﺎﻳﻨـﺪ‪ .‬ﺩﺭ ﻓـﺼﻮﻝ ﺁﻳﻨـﺪﻩ‪ ،‬ﺩﺭﻫﺮﻓـﺼﻞ‬
‫ﺳﺎﻳﺖﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﻣﻄﻠﺐ ﺭﺍ ﺩﺭ ﺑﺨﺶ ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ ﻣﻌﺮﻓﻲ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ‪ .‬ﻧﻈﺮ ﺑﻪ ﺍﻳﻦﻛﻪ ﺁﺩﺭﺱ ﺳﺎﻳﺖﻫﺎ ﻣﻜﺮﺭﺍﹰ ﺗﻐﻴﻴﺮ ﻣﻲﻛﻨﻨﺪ‪ ،‬ﺁﻧﻬـﺎ ﺭﺍ ﺩﺭ‬
‫ﺍﻳﻦ ﻛﺘﺎﺏ ﻧﻴﺎﻭﺭﺩﻩﺍﻳﻢ‪ .‬ﺑﺮﺍﻱ ﺗﻤﺎﻡ ﺳﺎﻳﺖﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﻛﺘﺎﺏ ﻟﻴﺴﺖ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻟﻴﻨﻚ ﻣﺮﺗﺒﻄﻲ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺩﺭ ﺳﺎﻳﺖ ﺍﻳـﻦ ﻛﺘـﺎﺏ ﭘﻴـﺪﺍ ﻛـﺮﺩ‪.‬‬
‫ﺳﺎﻳﺮ ﻟﻴﻨﻚﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﻛﺘﺎﺏ ﺫﻛﺮ ﻧﺸﺪﻩ ﺍﺳﺖ ﺩﺭ ﻃﻮﻝ ﺯﻣﺎﻥ ﺑﻪ ﺳﺎﻳﺖ ﺍﺿﺎﻓﻪ ﺧﻮﺍﻫﻨﺪ ﺷﺪ‪.‬‬
‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٦‬‬
‫ﺳﺎﻳﺖﻫﺎﻱ ﺯﻳﺮ ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﻗﺎﺑﻞ ﺗﻮﺟﻪﺍﻧﺪ‪:‬‬
‫‪ :COAST‬ﻣﺠﻤﻮﻋﻪ ﻛﺎﻣﻠﻲ ﺍﺯ ﻟﻴﻨﻚﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‪.‬‬ ‫•‬

‫‪ :IETF Security Area‬ﻣﻄﺎﻟﺐ ﻣﺮﺑﻮﻁ ﺑﻪ ﺗﻼﺵﻫﺎﻱ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﺳﺎﺯﻱ ﺍﻣﻨﻴﺖ ﺍﻳﻨﺘﺮﻧﺖ‪.‬‬ ‫•‬
‫‪ :Computer and Network Security Reference Index‬ﻳﻚ ﻣﺮﺟﻊ ﺧﻮﺏ ﺍﺯ ﺳﺎﺯﻧﺪﮔﺎﻥ ﻭ ﻣﺤﺼﻮﻻﺕ ﺗﺠﺎﺭﻱ‪ ،‬ﺳﺆﺍﻻﺗﻲ‬ ‫•‬
‫ﻛﻪ ﻣﻜﺮﺭﺍﹰ ﭘﺮﺳﻴﺪﻩ ﻣﻲﺷﻮﻧﺪ)‪ ،(FAQ‬ﺁﺭﺷﻴﻮ ﮔﺮﻭﻩﻫﺎﻱ ﺧﺒﺮﻱ‪ ،‬ﻣﻘﺎﻟﻪﻫﺎ ﻭ ﻟﻴﺴﺖ ﺳﺎﻳﺮ ﺳﺎﻳﺖﻫﺎ‪.‬‬
‫‪ :The Cryptography FAQ‬ﺳﺆﺍﻻﺕ ﻣﻔﺼﻞ ﻭ ﺍﺭﺯﺷﻤﻨﺪ ﺩﺭ ﺗﻤﺎﻡ ﺯﻣﻴﻨﻪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻪ ﻫﻤﺮﺍﻩ ﭘﺎﺳﺦ ﺁﻧﻬﺎ‪.‬‬ ‫•‬
‫‪ :Tom Dunigan's Security Page‬ﻳﻚ ﻟﻴﺴﺖ ﻓﻮﻕﺍﻟﻌﺎﺩﻩ ﺍﺯ ﺳﺎﻳﺖﻫﺎﻱ ﻣﺮﺟﻊ ﺩﺭ ﻣﻮﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‪.‬‬ ‫•‬
‫‪ :IEEE Technical Committee on Security and Privacy‬ﻛﭙﻲ ﺧﺒﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﻭ ﺍﻃﻼﻋﺎﺕ ﻭ ﻓﻌﺎﻟﻴﺘﻬﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ‬ ‫•‬
‫‪..IEEE‬‬
‫‪ :Computer Security Resource Center‬ﻣﺮﺑﻮﻁ ﺑﻪ ﺳﺎﺯﻣﺎﻥ ﻣﻠﻲ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎ ﻭ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺁﻣﺮﻳﻜﺎ )‪ (NIST‬ﻛﻪ ﺷﺎﻣﻞ‬ ‫•‬
‫ﺍﻃﻼﻋﺎﺕ ﻭﺳﻴﻌﻲ ﺩﺭ ﻣﻮﺭﺩ ﺗﻬﺪﻳﺪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﻓﻦﺁﻭﺭﻱ ﻭ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﺳﺖ‪.‬‬
‫‪ :Security Focus‬ﺍﻃﻼﻋﺎﺕ ﻣﺘﻨﻮﻋﻲ ﺩﺭ ﺑﺎﺭﺓ ﺍﻣﻨﻴﺖ‪ ،‬ﺑﺎ ﺗﺄﻛﻴﺪ ﺧﺎﺻﻲ ﺑﺮ ﻣﺤﺼﻮﻻﺕ ﻓﺮﻭﺷﻨﺪﮔﺎﻥ ﻭ ﻧﻴﺎﺯﻫﺎﻱ ﻛﺎﺭﺑﺮﺍﻥ ﺍﻧﺘﻬﺎﺋﻲ‪.‬‬ ‫•‬
‫‪ :SANS Institute‬ﻣﺸﺎﺑﻪ ‪ Security Focus‬ﺍﺳﺖ‪ .‬ﻣﺠﻤﻮﻋﺔ ﻭﺳﻴﻌﻲ ﺍﺯ ﻣﻘﺎﻻﺕ ﺭﺍ ﺩﺭﺑﺮ ﺩﺍﺭﺩ‪.‬‬ ‫•‬
‫‪ :Data Protection Resource Directory‬ﻣﺠﻤﻮﻋﺔ ﮔﻮﻧﺎﮔﻮﻧﻲ ﺍﺯ ﻟﻴﻨﻚﻫﺎ‪.‬‬ ‫•‬
‫ﮔﺮﻭﻩﻫﺎﻱ ﺧﺒﺮﻱ ‪USENET‬‬

‫ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﮔﺮﻭﻩﻫﺎﻱ ﺧﺒﺮﻱ ‪ ،USENET‬ﺑﻪ ﺑﻌﻀﻲ ﺯﻣﻴﻨﻪﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﻳﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺧﺘﺼﺎﺹ ﺩﺍﺭﻧﺪ‪ .‬ﺗﻘﺮﻳﺒﺎﹰ ﻫﻤﺎﻧﻨﺪ ﺗﻤﺎﻡ ﮔﺮﻭﻩﻫﺎﻱ‬
‫ﺧﺒﺮﻱ ‪ ،USENET‬ﻣﻄﺎﻟﺐ ﺳﺎﺯﻣﺎﻥ ﻳﺎﻓﺘﻪ ﻧﺒﻮﺩﻩ ﻭ ﭘﺮﺍﻛﻨﺪﻩﺍﻧﺪ ﻭﻟﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺎ ﺟﺴﺘﺠﻮ ﺩﺭ ﻻﺑﻼﻱ ﺁﻧﻬﺎ ﻧﻜﺎﺕ ﻣﻔﻴﺪﻱ ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪.‬‬
‫ﻣﺮﺗﺒﻂﺗﺮﻳﻦ ﺁﻧﻬﺎ ﺑﻘﺮﺍﺭ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫‪ :sci.cryp.research‬ﺑﻬﺘﺮﻳﻦ ﮔﺮﻭﻫﻲ ﺍﺳﺖ ﻛﻪ ﻣﻴﺘﻮﺍﻥ ﺩﻧﺒﺎﻝ ﻛﺮﺩ‪ .‬ﻋﻤﺪﺗﺎﹰ ﻋﻨﺎﻭﻳﻦ ﻣﻘﺎﻻﺗﻲ ﺭﺍ ﻣﻌﺮﻓﻲ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﻪ ﺟﻨﺒﻪﻫﺎﻱ ﻓﻨﻲ‬ ‫•‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺭﺗﺒﺎﻁ ﺩﺍﺭﻧﺪ‪.‬‬
‫‪ :sci.crypt‬ﻣﺒﺎﺣﺚ ﻋﺎﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﻋﻨﺎﻭﻳﻦ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ‪.‬‬ ‫•‬
‫‪ :sci.crypt.random-numbers‬ﺑﺤﺚ ﺩﺭ ﻣﻮﺭﺩ ﺗﺼﺎﺩﻓﻲ ﺑﻮﺩﻥ ﺗﻮﺍﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ‪.‬‬ ‫•‬
‫‪ :alt.security‬ﻳﻚ ﺑﺤﺚ ﻛﻠﻲ ﺍﺯ ﻋﻨﺎﻭﻳﻦ ﺭﻣﺰﻧﮕﺎﺭﻱ‪.‬‬ ‫•‬
‫‪ :comp.security.misc‬ﻣﺒﺎﺣﺚ ﻋﺎﻡ ﺍﻣﻨﻴﺖ ﺭﺍﻳﺎﻧﻪ‪.‬‬ ‫•‬
‫‪ :comp.security.firewalls‬ﺑﺤﺚ ﺩﺭ ﻣﻮﺭﺩ ﻣﺤﺼﻮﻻﺕ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻭ ﻓﻦﺁﻭﺭﻱ ﺁﻧﻬﺎ‪.‬‬ ‫•‬
‫‪ :comp.security.announce‬ﺍﺧﺒﺎﺭ‪ ،‬ﺍﻃﻼﻋﻴﻪﻫﺎﻱ ‪.CERT‬‬ ‫•‬
‫‪ :comp.risks‬ﺑﺤﺚ ﺩﺭ ﻣﻮﺭﺩ ﺧﻄﺮﺍﺗﻲ ﻛﻪ ﺍﺯ ﺟﺎﻧﺐ ﺭﺍﻳﺎﻧﻪﻫﺎ ﻭ ﻛﺎﺭﺑﺮﺍﻥ ﻣﺘﻮﺟﻪ ﺟﺎﻣﻌﻪ ﺍﺳﺖ‪.‬‬ ‫•‬
‫‪ :comp.virus‬ﺑﺤﺚ ﺳﺎﺩﻩ ﺷﺪﻩﺍﻱ ﺩﺭ ﻣﻮﺭﺩ ﻭﻳﺮﻭﺱﻫﺎﻱ ﺭﺍﻳﺎﻧﻪﺍﻱ‪.‬‬ ‫•‬
‫‪٣٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۱-۱۱‬‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‬
‫‪access control‬‬ ‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‬ ‫‪intruder‬‬ ‫ﻣﻬﺎﺟﻢ‬

‫‪active threat‬‬ ‫ﺗﻬﺪﻳﺪ ﻓﻌﺎﻝ‬ ‫‪masquerader‬‬ ‫ﻧﻘﺎﺏﺩﺍﺭ‬
‫‪authentication‬‬ ‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬ ‫‪nonrepudiation‬‬ ‫ﻋﺪﻡ ﺍﻧﻜﺎﺭ‬
‫‪authenticity‬‬ ‫ﺍﻋﺘﺒﺎﺭ‬ ‫‪OSI security architecture‬‬ ‫ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ ‪OSI‬‬
‫‪availability‬‬ ‫‪ passive threat‬ﻗﺎﺑﻠﻴﺖ ﺩﺳﺘﺮﺳﻲ‬ ‫ﺗﻬﺪﻳﺪ ﻏﻴﺮﻓﻌﺎﻝ‬
‫‪data confidentiality‬‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﺩﺍﺩﻩﻫﺎ‬ ‫‪replay‬‬ ‫ﺑﺎﺯﺧﻮﺍﻧﻲ‬
‫‪data integrity‬‬ ‫‪ security attacks‬ﺻﺤﺖ ﺩﺍﺩﻩﻫﺎ‬ ‫ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ‬
‫‪denial of service‬‬ ‫ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ‬ ‫‪security mechanisms‬‬ ‫ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬
‫‪encryption‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪security services‬‬ ‫ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬
‫‪integrity‬‬ ‫ﺻﺤﺖ‪ ،‬ﻳﻜﭙﺎﺭﭼﮕﻲ‬ ‫‪traffic analysis‬‬ ‫ﺗﺤﻠﻴﻞ ﺗﺮﺍﻓﻴﻚ‬
‫ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ‬
‫‪ ۱-۱‬ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ ‪ OSI‬ﭼﻴﺴﺖ؟‬

‫‪ ۱-۲‬ﺗﻔﺎﻭﺕ ﺑﻴﻦ ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ ﻓﻌﺎﻝ ﻭ ﻏﻴﺮﻓﻌﺎﻝ ﭼﻴﺴﺖ؟‬
‫ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ ﻓﻌﺎﻝ ﻭ ﻏﻴﺮﻓﻌﺎﻝ ﺭﺍ ﺩﺳﺘﻪﺑﻨﺪﻱ ﻛﺮﺩﻩ ﻭ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﺗﻌﺮﻳﻒ ﻛﻨﻴﺪ‪.‬‬ ‫‪۱-۳‬‬
‫‪ ۱-۴‬ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﻃﺒﻘﻪﺑﻨﺪﻱ ﻛﺮﺩﻩ ﻭ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﺗﻌﺮﻳﻒ ﻛﻨﻴﺪ‪.‬‬
‫‪ ۱-۵‬ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﻃﺒﻘﻪﺑﻨﺪﻱ ﻛﺮﺩﻩ ﻭ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﺗﻌﺮﻳﻒ ﻛﻨﻴﺪ‪.‬‬
‫ﻣﺴﺎﺋﻞ‬
‫ﺟﺪﻭﻟﻲ ﻣﺸﺎﺑﻪ ﺑﺎ ﺟﺪﻭﻝ ‪ ۱-۴‬ﺗﺮﺳﻴﻢ ﻛﻨﻴﺪ ﻛﻪ ﺭﺍﺑﻄﺔ ﺑﻴﻦ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﺣﻤﻼﺕ ﺭﺍ ﻧﺸﺎﻥ ﺩﻫﺪ‪.‬‬ ‫‪۱-۱‬‬
‫‪ ۱-۲‬ﺟﺪﻭﻟﻲ ﻣﺸﺎﺑﻪ ﺑﺎ ﺟﺪﻭﻝ ‪ ۱-۴‬ﺗﺮﺳﻴﻢ ﻛﻨﻴﺪ ﻛﻪ ﺭﺍﺑﻄﺔ ﺑﻴﻦ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﺣﻤﻼﺕ ﺭﺍ ﻧﺸﺎﻥ ﺩﻫﺪ‪.‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫ﻗﺴﻤﺖ‬
‫ﺍﻭﻝ‬
‫ﺗﺎ ﺍﻳﻦ ﺯﻣﺎﻥ‪ ،‬ﻣﻬﻢﺗﺮﻳﻦ ﻭﺳﻴﻠﺔ ﺧﻮﺩﻛﺎﺭ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺩﺭ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﻭ ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ‪ .‬ﺩﻭ‬
‫ﺷﻜﻞ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺮﺳﻮﻡ ﺍﺳﺖ‪ :‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺳﻤﻲ ﻳﺎ ﻣﺘﻘـﺎﺭﻥ ﻭ ﺭﻣﺰﻧﮕـﺎﺭﻱ ﻛﻠﻴـﺪ‪ -‬ﻋﻤـﻮﻣﻲ ﻳـﺎ ﻧﺎﻣﺘﻘـﺎﺭﻥ‪.‬‬
‫ﻗﺴﻤﺖ ﺍﻭﻝ ﻣﺮﻭﺭﻱ ﻛﻠﻲ ﺑﺮ ﺍﺻﻮﻝ ﺍﺳﺎﺳﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺩﺍﺷـﺘﻪ‪ ،‬ﻧﮕـﺎﻫﻲ ﺑـﻪ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﭘﺮﺍﺳﺘﻔﺎﺩﺓ ﺁﻧﻬﺎ ﺍﻧﺪﺍﺧﺘﻪ ﻭ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﺳﺎﺳﻲ ﺍﻳﻦ ﺩﻭ ﺑﺮﺧﻮﺭﺩ ﺭﺍ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻓﺼﻞ ‪ ۲‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ‬
‫ﻓﺼﻞ‪ ۲‬ﺭﻭﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺗﻤﺮﻛﺰ ﻛﺮﺩﻩ ﻭ ﺗﺄﻛﻴﺪﻱ ﺑﺮ ﭘﺮﺍﺳﺘﻔﺎﺩﻩ ﺗﺮﻳﻦ ﺗﻜﻨﻴﻚ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﻳﻌﻨﻲ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻳﺘﺎ )‪ ،(DES‬ﻭ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻣﺘﻌﺎﻗﺐ ﺁﻥ ﻣﺜﻞ ‪ 3DES‬ﻭ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺸﺮﻓﺘﻪ )‪(AES‬‬
‫ﺩﺍﺭﺩ‪ .‬ﺻﺮﻑﻧﻈﺮ ﺍﺯ ﺳﺆﺍﻻﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﺳﺎﺧﺘﺎﺭ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‪ ،‬ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻣـﺴﺎﺋﻞ ﻃﺮﺍﺣـﻲ‪،‬‬
‫ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺑﻪ ﻣﻨﻈﻮﺭ ﺍﻳﺠﺎﺩ ﻣﺤﺮﻣﺎﻧﮕﻲ ﻫﺴﺘﻨﺪ‪ .‬ﺍﻳﻦ ﻓﺼﻞ ﺷﺎﻣﻞ ﺑﺤﺜـﻲ ﺩﺭ ﻣـﻮﺭﺩ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡﻫﺎﻱ ﻃﻮﻻﻧﻲ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﺩﺭ ﻣﻘﺎﺑﻞ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ ﻭ ﺗﻜﻨﻴﻚﻫـﺎﻱ ﺗﻮﺯﻳـﻊ ﻛﻠﻴـﺪ‬
‫ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ‪ ۳‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﻳﻜﻲ ﺍﺯ ﻣﺴﺎﺋﻠﻲ ﻛﻪ ﺩﺭ ﺯﻣﻴﻨﺔ ﻣﻌﻴﺎﺭﻫـﺎﻱ ﺍﻣﻨﻴﺘـﻲ ﺑـﻪ ﺍﻧـﺪﺍﺯﺓ ﻣﺤﺮﻣـﺎﻧﮕﻲ ﺍﻫﻤﻴـﺖ ﺩﺍﺭﺩ‪ ،‬ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ ﺍﺳـﺖ‪.‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺍﻳﻦ ﺍﻃﻤﻴﻨﺎﻥ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ﻳﻚ ﭘﻴﺎﻡ ﺍﺯ ﻳﻚ ﻣﻨﺒـﻊ ﻗـﺎﻧﻮﻧﻲ ﺳﺮﭼـﺸﻤﻪ ﮔﺮﻓﺘـﻪ ﺍﺳـﺖ‪.‬‬
‫ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻲﺗﻮﺍﻧﺪ ﺷﺎﻣﻞ ﺣﻔﺎﻇﺖ ﭘﻴﺎﻡ ﺩﺭ ﺑﺮﺍﺑﺮ ﺩﺳﺘﻜﺎﺭﻱ‪ ،‬ﺗﺄﺧﻴﺮ‪ ،‬ﺑﺎﺯﺧﻮﺍﻧﻲ ﻭ ﻳﺎ ﺗﻐﻴﻴﺮ ﻧﻈﻢ ﻧﻴﺰ‬
‫ﺑﺎﺷﺪ‪ .‬ﻓﺼﻞ‪ ۳‬ﺑﺎ ﺗﺤﻠﻴﻠـﻲ ﺩﺭ ﻣـﻮﺭﺩ ﻻﺯﻣـﻪﻫـﺎﻱ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ ﺷـﺮﻭﻉ ﺷـﺪﻩ ﻭ ﺁﻧﮕـﺎﻩ ﻧﮕـﺎﻫﻲ ﺑـﻪ ﺭﻭﺵﻫـﺎﻱ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻲﺍﻧﺪﺍﺯﺩ‪ .‬ﻳﻚ ﻋﻨﺼﺮ ﻛﻠﻴﺪﻱ ﺭﻭﺵ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺍﺳﺖ ﻛﻪ ﻣﻌﻤﻮﻻﹰ ﻳـﺎ ﻛﹸـﺪ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ )‪ (MAC‬ﺑـﻮﺩﻩ ﻭ ﻳـﺎ ﻳـﻚ ﺗـﺎﺑﻊ ﺩﺭﻫـﻢﺳـﺎﺯ )‪ (hash‬ﺍﺳـﺖ‪ .‬ﻣﻼﺣﻈـﺎﺕ ﻃﺮﺍﺣـﻲ ﺑـﺮﺍﻱ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻫﺮ ﺩﻭ ﻧﻮﻉ ﻣﻮﺭﺩ ﺑﺮﺭﺳﻲ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﻭ ﭼﻨﺪﻳﻦ ﻣﺜﺎﻝ ﻣﺸﺨﺺ ﺗﺤﻠﻴﻞ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫ﻗﺴﻤﺖ ﺍﻭﻝ ‪ /‬ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٠‬‬
‫ﺑﻌﺪ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‪ ،‬ﻧﻮﻉ ﻣﻄﺮﺡ ﺩﻳﮕﺮ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴـﺪ‪ -‬ﻋﻤـﻮﻣﻲ ﺍﺳـﺖ ﻛـﻪ ﺍﻧﻘﻼﺑـﻲ ﺩﺭ ﺩﻧﻴـﺎﻱ ﺍﻣﻨﻴـﺖ‬
‫ﺍﻃﻼﻋﺎﺕ ﺑﻮﺟﻮﺩ ﺁﻭﺭﺩﻩ ﺍﺳﺖ‪ .‬ﺩﻧﺒﺎﻟﺔ ﻓﺼﻞ ﺳﻮّﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺍ ﻣﻌﺮﻓﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ RSA‬ﻣﻔﺼﻼﹰ ﻣﻮﺭﺩ ﺑﺤـﺚ‬
‫ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﻭ ﻣﺴﺄﻟﺔ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﻣﺠﺪﺩﺍﹰ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗـﺮﺍﺭ ﻣـﻲﮔﻴـﺮﺩ‪ .‬ﺍﻳـﻦ ﻓـﺼﻞ ﻫﻤﭽﻨـﻴﻦ ﺗﻜﻨﻴـﻚ ﭘﺮﻛـﺎﺭﺑﺮﺩ ﺗﻮﺯﻳـﻊ ﻛﻠﻴـﺪ‬
‫‪ Diffie-Hellman‬ﺭﺍ ﭘﻮﺷﺶ ﻣﻲﺩﻫﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺍﻳﻦ‪ ،‬ﺍﻳﻦ ﻓﺼﻞ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﺭﺍ ﺗﻌﺮﻳﻒ ﻛـﺮﺩﻩ ﻭ ﻛﺎﺭﺑﺮﺩﻫـﺎﻱ ﺁﻥ ﺭﺍ ﺑﺮﺭﺳـﻲ‬
‫ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﻓﺼـﻞ ‪۲‬‬ ‫‪G‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬
‫ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ‬
‫ﺍﺻﻮﻝ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬ ‫‪۲-۱‬‬

‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﻳﺎ ﻛﺸﻒ ﺭﻣﺰ‬
‫ﺳﺎﺧﺘﺎﺭ ﺭﻣﺰ ‪Feistel‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ‬ ‫‪۲-۲‬‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻳﺘﺎ )‪(DES‬‬
‫‪Triple DES‬‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺸﺮﻓﺘﻪ )‪(AES‬‬
‫ﺭﻣﺰﻫﺎﻱ ﺩﻧﺒﺎﻟﻪﺍﻱ ﻭ ‪RC4‬‬ ‫‪۲-۳‬‬
‫ﺳﺎﺧﺘﺎﺭ ﺭﻣﺰﻫﺎﻱ ﺩﻧﺒﺎﻟﻪﺍﻱ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ‪RC4‬‬
‫ﻣُﻮﺩﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺭﻣﺰﻫﺎﻱ ﻗﺎﻟﺒﻲ‬ ‫‪۲-۴‬‬
‫ﻣُﻮﺩ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺭﻣﺰ ﻗﺎﻟﺒﻲ‬
‫ﻣُﻮﺩ ﻓﻴﺪﺑﻚ ﺭﻣﺰ‬
‫ﻣﺤﻞ ﺍﺳﺘﻘﺮﺍﺭ ﺗﺠﻬﻴﺰﺍﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪۲-۵‬‬
‫ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ‬ ‫‪۲-۶‬‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۲-۷‬‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۲-۸‬‬
‫ﻓﺼﻞ ﺩﻭﻡ‬ ‫‪ ٤٢‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣـﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻛﻪ ﺍﺯ ﺁﻥ ﺑﺎ ﻋﻨﺎﻭﻳﻦ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺳﻤﻲ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﺳﺮّﻱ‪ ،‬ﻭ ﻳﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎ ﻳﻚ‪ -‬ﻛﻠﻴﺪ ﻧﻴﺰ ﻳﺎﺩ‬
‫ﻣﻲﺷﻮﺩ‪ ،‬ﺗﻨﻬﺎ ﻧﻮﻉ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺒﻞ ﺍﺯ ﻣﻌﺮﻓﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺩﺭﺍﻭﺍﺧﺮ ﺩﻫﺔ‪۱۹۷۰‬ﺑﻮﺩ‪ .‬ﺍﻳﻦ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ‬
‫ﺭ‬
‫ﺯﻣﺎﻥ ﺣﺎﻝ ﻧﻴﺰ ﭘﺮﺍﺳﺘﻔﺎﺩﻩﺗﺮﻳﻦ ﺭﻭﺵ‪ ،‬ﺍﺯ ﺑﻴﻦ ﺩﻭ ﻧﻮﻉ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻌﻤﻮﻝ ﻣﻲﺑﺎﺷﺪ‪.‬‬
‫ﺍﻳﻦ ﻓﺼﻞ ﺭﺍ ﺑﺎ ﻧﮕﺎﻫﻲ ﺑﻪ ﻳﻚ ﻣﺪﻝ ﻋﻤﻮﻣﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺷﺮﻭﻉ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻣﺎ ﺭﺍ ﻗﺎﺩﺭ ﻣﻴﺴﺎﺯﺩ ﺗﺎ ﺑﺎ ﻣﺤﻴﻄﻲ ﻛﻪ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎ ﺩﺭﺁﻥ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻭﺍﻗﻊ ﻣﻲﺷﻮﻧﺪ ﺁﺷﻨﺎ ﺷﻮﻳﻢ‪ .‬ﺳﭙﺲ ﺑﻪ ﺳﻪ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﻬﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﻈﺮ ﻣﻲﺍﻓﻜﻨﻴﻢ ﻛﻪ ﻋﺒﺎﺭﺕ ﺍﺯ‬
‫‪ 3DES ،DES‬ﻭ ‪ AES‬ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﺑﻌﺪ ﺍﺯ ﺁﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻧﺒﺎﻟﻪﺍﻱ ﻣﺘﻘﺎﺭﻥ ﺭﺍ ﻣﻌﺮﻓﻲ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ ﻭ ﺑﺎ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ‪ RC4‬ﻛﻪ‬
‫ﻣﻮﺍﺭﺩ ﺍﺳﺘﻔﺎﺩﺓ ﮔﺴﺘﺮﺩﻩﺍﻱ ﺩﺍﺭﺩ ﺁﺷﻨﺎ ﺧﻮﺍﻫﻴﻢ ﺷﺪ‪ .‬ﺩﺭ ﭘﺎﻳﺎﻥ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺍﺻﻮﻝ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬ ‫‪۲-۱‬‬
‫ﻳﻚ ﻃﺮﺡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺩﺍﺭﺍﻱ ﭘﻨﺞ ﺟﺰﺀ ﺍﺳﺖ )ﺷﻜﻞ‪:(۲-۱‬‬
‫ﻣﺘﻦ ﺳﺎﺩﻩ‪ :‬ﺍﻳﻦ ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﻭ ﻳﺎ ﺩﺍﺩﻩﻫﺎﺋﻲ ﺍﺳﺖ ﻛﻪ ﺑﻌﻨﻮﺍﻥ ﻭﺭﻭﺩﻱ ﻭﺍﺭﺩ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﻲﺷﻮﺩ‪.‬‬ ‫•‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ :‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺟﺎﻳﮕﺰﻳﻨﻲﻫﺎ ﻭ ﺗﺒﺪﻳﻼﺕ ﻣﺨﺘﻠﻔﻲ ﺭﺍ ﺭﻭﻱ ﻣﺘﻦ ﺳﺎﺩﻩ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪.‬‬ ‫•‬
‫• ﻛﻠﻴﺪ ﺳﺮّﻱ‪ :‬ﻛﻠﻴﺪ ﺳﺮّﻱ ﻧﻴﺰ ﻳﻜﻲ ﺍﺯ ﻭﺭﻭﺩﻱﻫﺎﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﺳﺖ‪ .‬ﺟﺎﻳﮕﺰﻳﻨﻲﻫﺎ ﻭ ﺗﺒﺪﻳﻼﺕ ﺍﻧﺠﺎﻡﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺍﻟﮕﻮﺭﻳﺘﻢ‪،‬‬
‫ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﺍﻳﻦ ﻛﻠﻴﺪ ﺍﺳﺖ‪.‬‬
‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‪ :‬ﺍﻳﻦ ﭘﻴﺎﻡ ﺩﺭﻫﻢﺭﻳﺨﺘﻪﺷﺪﻩﺍﻱ ﺍﺳﺖ ﻛﻪ ﺑﻌﻨﻮﺍﻥ ﺧﺮﻭﺟﻲ ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﻣﺘﻦ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﻣﺘﻦ ﺳﺎﺩﻩ ﻭ‬ ‫•‬
‫ﻛﻠﻴﺪ ﺳﺮّﻱ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻳﻚ ﭘﻴﺎﻡ ﺩﺍﺩﻩﺷﺪﻩ‪ ،‬ﺩﻭ ﻛﻠﻴﺪ ﻣﺨﺘﻠﻒ ﺩﻭ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﻣﺨﺘﻠﻒ ﺗﻮﻟﻴﺪ ﺧﻮﺍﻫﻨﺪ ﻛﺮﺩ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﮔﺸﺎﺋﻲ‪ :‬ﺍﻳﻦ ﻣﻌﻤﻮﻻﹰً ﻫﻤﺎﻥ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﺑﻄﻮﺭ ﻣﻌﻜﻮﺱ ﺍﺟﺮﺍ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﺘﻦ‬ ‫•‬
‫ﺭﻣﺰﺷﺪﻩ ﻭ ﻫﻤﺎﻥ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﻣﺘﻦ ﺳﺎﺩﻩ ﺍﻭﻟﻴﻪ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﺓ ﺍﻣﻦ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺩﻭ ﭼﻴﺰ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﺑﻪ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻗﻮﻱ ﺍﺣﺘﻴﺎﺝ ﺩﺍﺭﻳﻢ‪ .‬ﺣﺪﺍﻗﻞ ﻣﺎﻳﻠﻴﻢ ﻛﻪ ﺍﻟﮕﻮﺭﻳﺘﻢ ﭼﻨﺎﻥ ﺑﺎﺷﺪ ﻛﻪ ﺩﺷﻤﻨﻲ ﻛﻪ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﺍ‬
‫ﻣﻲﺷﻨﺎﺳﺪ ﻭ ﺑﻪ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺩﺳﺘﺮﺳﻲ ﺩﺍﺭﺩ‪ ،‬ﻗﺎﺩﺭ ﻧﺒﺎﺷﺪ ﺗﺎ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﻛﻠﻴﺪ‬
‫ﺭﻣﺰ ﺭﺍ ﻛﺸﻒ ﻛﻨﺪ‪ .‬ﺍﻳﻦ ﻧﻴﺎﺯ ﻣﻌﻤﻮﻻﹰ ﺑﺼﻮﺭﺕ ﻣﺤﻜﻢﺗﺮﻱ ﭼﻨﻴﻦ ﺑﻴﺎﻥ ﻣﻲﮔﺮﺩﺩ‪ :‬ﺩﺷﻤﻦ ﺑﺎﻳﺴﺘﻲ ﻗﺎﺩﺭ ﻧﺒﺎﺷﺪ ﺗﺎ ﻣﺘﻦ‬
‫ﺭﻣﺰﺷﺪﻩ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﻛﻠﻴﺪ ﺭﻣﺰ ﺭﺍ ﻛﺸﻒ ﻛﻨﺪ‪ ،‬ﺣﺘﻲ ﺍﮔﺮ ﺍﻭ ﭼﻨﺪ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﻬﻤﺮﺍﻩ ﻣﺘﻮﻥ ﺳﺎﺩﺓ ﻧﻈﻴﺮ ﺁﻧﻬﺎ‬
‫ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫‪ -۲‬ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﮔﻴﺮﻧﺪﻩ ﺑﺎﻳﺴﺘﻲ ﻛﭙﻲﻫﺎﻱ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺭﺍ ﺑﻪ ﺭﻭﺵ ﺍﻣﻨﻲ ﺑﺪﺳﺖ ﺁﻭﺭﺩﻩ ﺑﺎﺷﻨﺪ ﻭ ﺁﻧﻬﺎ ﺭﺍ ﺍﻣﻦ ﻧﮕﺎﻩ ﺩﺍﺭﻧﺪ‪ .‬ﺍﮔﺮ‬
‫ﻛﺴﻲ ﺑﺘﻮﺍﻧﺪ ﻛﻠﻴﺪ ﺭﺍ ﻛﺸﻒ ﻛﺮﺩﻩ ﻭ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﺍ ﻧﻴﺰ ﺑﺪﺍﻧﺪ‪ ،‬ﺗﻤﺎﻡ ﺍﺭﺗﺒﺎﻃﺎﺗﻲ ﻛﻪ ﺍﺯ ﺍﻳﻦ ﻛﻠﻴﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ ﻗﺎﺑﻞ ﺷﻨﻮﺩ‬
‫ﺧﻮﺍﻫﻨﺪ ﺑﻮﺩ‪.‬‬
‫‪٤٣‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﺸﺘﺮﻙ‬ ‫ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﺸﺘﺮﻙ‬

‫ﺑﻴﻦ ﺍﺭﺳﺎﻝﻛﻨﻨﺪﻩ ﻭ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ‬ ‫ﺑﻴﻦ ﺍﺭﺳﺎﻝﻛﻨﻨﺪﻩ ﻭ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ‬
‫‪=K‬‬ ‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ‬

‫‪=K‬‬
‫‬
‫ﻣﺘﻦ ﺳﺎﺩﺓ‬ ‫‪X‬‬ ‫‪Ã‬‬ ‫]‪Y = E[K, X‬‬ ‫‪Ã‬‬ ‫]‪X = D[K, Y‬‬
‫‬
‫ﻣﺘﻦ ﺳﺎﺩﺓ‬
‫ﻭﺭﻭﺩﻱ‬
‫ﺧﺮﻭﺟﻲ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫)ﻣﺜﻞ ‪( DES‬‬ ‫)ﻋﻜﺲ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ(‬
‫ﺷﻜﻞ ‪ ۲-۱‬ﻣﺪﻝ ﺳﺎﺩﻩﺷﺪﺓ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬
‫ﻣﻬﻢ ﺍﺳﺖ ﺗﻮﺟﻪ ﻛﻨﻴﻢ ﻛﻪ ﺍﻣﻨﻴﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺑﺴﺘﮕﻲ ﺑﻪ ﺳﺮّﻱ ﺑﻮﺩﻥ ﻛﻠﻴﺪ‪ ،‬ﻭ ﻧﻪ ﺳﺮّﻱ ﺑﻮﺩﻥ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺍﺭﺩ‪ .‬ﻳﻌﻨﻲ‬
‫ﻓﺮﺽ ﻣﻲﺷﻮﺩ ﻛﻪ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻳﻚ ﭘﻴﺎﻡ ﺑﺮ ﻣﺒﻨﺎﻱ ﺩﺍﻧﺴﺘﻦ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﻌﻼﻭﺓ ﺩﺍﻧﺴﺘﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ /‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺎﺭﻱ‬
‫ﻏﻴﺮﻋﻤﻠﻲ ﺍﺳﺖ‪ .‬ﺑﻌﺒﺎﺭﺕ ﺩﻳﮕﺮ‪ ،‬ﻻﺯﻡ ﻧﻴﺴﺖ ﻛﻪ ﻣﺎ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﺍ ﻣﺨﻔﻲ ﻧﮕﺎﻩ ﺩﺍﺭﻳﻢ‪ ،‬ﺑﻠﻜﻪ ﻓﻘﻂ ﻛﺎﻓﻲ ﺍﺳﺖ ﻛﻪ ﻛﻠﻴﺪ ﺭﺍ ﻣﺨﻔﻲ ﺩﺍﺷﺘﻪ‬
‫ﺑﺎﺷﻴﻢ‪.‬‬
‫ﺍﻳﻦ ﺧﺼﻴﺼﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻫﻤﺎﻥ ﭼﻴﺰﻱ ﺍﺳﺖ ﻛﻪ ﺁﻥ ﺭﺍ ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﺓ ﮔﺴﺘﺮﺩﻩ ﻣﻘﺒﻮﻝ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺍﻳﻦ ﻭﺍﻗﻌﻴﺖ ﻛﻪ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﻻﺯﻡ ﻧﻴﺴﺖ ﺗﺎ ﻣﺨﻔﻲ ﺑﻤﺎﻧﺪ‪ ،‬ﺑﺪﻳﻦ ﻣﻌﻨﻲ ﺍﺳﺖ ﻛﻪ ﺳﺎﺯﻧﺪﮔﺎﻥ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺗﺮﺍﺷﻪﻫﺎﻱ ﺍﺭﺯﺍﻥ ﻗﻴﻤﺘﻲ ﻛﻪ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ ﻋﻤﻠﻴﺎﺗﻲ ﻣﻲﺳﺎﺯﻧﺪ ﺗﻮﻟﻴﺪ ﻧﻤﺎﻳﻨﺪ ﻭ ﭼﻨﻴﻦ ﻧﻴﺰ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺗﺮﺍﺷﻪﻫﺎ ﺩﺭ ﺳﻄﺢ ﻭﺳﻴﻌﻲ ﺩﺭ ﺩﺳﺘﺮﺱ ﺑﻮﺩﻩ ﻭ ﺩﺭ‬
‫ﺗﻌﺪﺍﺩﻱ ﻣﺤﺼﻮﻻﺕ ﻧﻴﺰ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩﺍﻧﺪ‪ .‬ﺩﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻣﺴﺄﻟﺔ ﺍﺻﻠﻲ ﺍﻣﻨﻴﺖ‪ ،‬ﺣﻔﻆ ﺳﺮّﻱ ﺑﻮﺩﻥ ﻛﻠﻴﺪ ﺍﺳﺖ‪.‬‬
‫ﺳﻴﺴﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻌﻤﻮﻻﹰ ﺍﺯ ﺳﻪ ﺑُﻌﺪ ﻣﺴﺘﻘﻞ ﺩﺳﺘﻪﺑﻨﺪﻱ ﻣﻲﺷﻮﻧﺪ‪:‬‬
‫‪ -۱‬ﻧﻮﻉ ﻋﻤﻠﻴﺎﺕ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺑﺮﺍﻱ ﺗﺒﺪﻳﻞ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﻪ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‪ :‬ﺗﻤﺎﻡ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺮ ﻣﺒﻨﺎﻱ ﺩﻭ‬
‫ﺍﺻﻞ ﻋﻤﻮﻣﻲ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ‪ :‬ﺟﺎﻳﮕﺰﻳﻨﻲ‪ ،‬ﻛﻪ ﺩﺭ ﺁﻥ ﻫﺮ ﻋﻨﺼﺮ ﻣﺘﻦ ﺳﺎﺩﻩ )ﺑﻴﺖ‪ ،‬ﺣﺮﻑ‪ ،‬ﮔﺮﻭﻫﻲ ﺍﺯ ﺑﻴﺖﻫﺎ ﻳﺎ ﺣﺮﻭﻑ( ﺑﺎ‬
‫ﻋﻨﺼﺮ ﺩﻳﮕﺮﻱ ﺟﺎﻳﮕﺰﻳﻦ ﺷﺪﻩ‪ ،‬ﻭ ﺟﺎﺑﺠﺎﺋﻲ ﻛﻪ ﺩﺭ ﺁﻥ ﻋﻨﺎﺻﺮ ﻣﺘﻦ ﺳﺎﺩﻩ ﺟﺎﻱ ﺧﻮﺩ ﺭﺍ ﻋﻮﺽ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻣﻬﻢﺗﺮﻳﻦ ﻭ‬
‫ﺍﺻﻠﻲﺗﺮﻳﻦ ﺍﻟﺰﺍﻡ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻫﻴﭻ ﺍﻃﻼﻋﺎﺗﻲ ﮔﻢ ﻧﺸﻮﺩ )ﻳﻌﻨﻲ ﺗﻤﺎﻡ ﻋﻤﻠﻴﺎﺕ ﺑﺮﮔﺸﺖﭘﺬﻳﺮ ﺑﺎﺷﻨﺪ(‪ .‬ﺑﻴﺸﺘﺮ ﺳﻴﺴﺘﻢﻫﺎ ﻛﻪ‬
‫ﺍﺯ ﺁﻧﻬﺎ ﺑﺎ ﻋﻨﻮﺍﻥ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺗﺮﻛﻴﺒﻲ ﻳﺎﺩ ﻣﻲﺷﻮﺩ‪ ،‬ﺷﺎﻣﻞ ﭼﻨﺪﻳﻦ ﻣﺮﺣﻠﺔ ﺟﺎﻳﮕﺰﻳﻨﻲ ﻭ ﺟﺎﺑﺠﺎﺋﻲ ﻫﺴﺘﻨﺪ‪.‬‬
‫‪ -۲‬ﺗﻌﺪﺍﺩ ﻛﻠﻴﺪﻫﺎﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ‪ :‬ﺍﮔﺮ ﻫﻢ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﻫﻢ ﮔﻴﺮﻧﺪﻩ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﻨﺪ‪ ،‬ﺳﻴﺴﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ‬
‫ﻣﺘﻘﺎﺭﻥ‪ ،‬ﺗﻚ‪-‬ﻛﻠﻴﺪﻱ‪ ،‬ﻛﻠﻴﺪ‪ -‬ﺳﺮّﻱ ﻭ ﻳﺎ ﺭﺳﻤﻲ ﮔﻮﻳﻨﺪ‪ .‬ﺍﮔﺮ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﮔﻴﺮﻧﺪﻩ ﻫﺮﻛﺪﺍﻡ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﻣﺘﻔﺎﻭﺕ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻛﻨﻨﺪ‪ ،‬ﺳﻴﺴﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ ﻧﺎﻣﺘﻘﺎﺭﻥ‪ ،‬ﺩﻭ‪ -‬ﻛﻠﻴﺪﻱ ﻭ ﻳﺎ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻧﺎﻣﻨﺪ‪.‬‬
‫‪ -۳‬ﻧﺤﻮﺓ ﭘﺮﺩﺍﺯﺵ ﻣﺘﻦ ﺳﺎﺩﺓ ﭘﻴﺎﻡ‪ :‬ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ)‪ ،(block cipher‬ﻭﺭﻭﺩﻱ ﺭﺍ ﺑﺼﻮﺭﺕ ﻳﻚ ﺑﻠﻮﻙ ﺩﺭ ﻫﺮ ﺯﻣﺎﻥ ﻣﻮﺭﺩ‬
‫ﭘﺮﺩﺍﺯﺵ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﻭ ﻳﻚ ﺑﻠﻮﻙ ﺧﺮﻭﺟﻲ ﺑﺮﺍﻱ ﻫﺮ ﺑﻠﻮﻙ ﻭﺭﻭﺩﻱ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﻳﻚ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ‬
‫)‪ (stream cipher‬ﻋﻨﺎﺻﺮ ﻭﺭﻭﺩﻱ ﺭﺍ ﺑﺼﻮﺭﺕ ﭘﻴﻮﺳﺘﻪ ﭘﺮﺩﺍﺯﺵ ﻛﺮﺩﻩ ﻭ ﻫﻤﻴﻨﻄﻮﺭ ﻛﻪ ﺟﻠﻮ ﻣﻲﺭﻭﺩ‪ ،‬ﻋﻨﺎﺻﺮ ﺧﺮﻭﺟﻲ‬
‫ﻧﻴﺰ ﺑﻄﻮﺭ ﭘﻴﻮﺳﺘﻪ ﺍﺯ ﺁﻥ ﺧﺎﺭﺝ ﻣﻲﮔﺮﺩﻧﺪ‪.‬‬
‫ﻓﺼﻞ ﺩﻭﻡ‬ ‫‪ ٤٤‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﻳﺎ ﻛﺸﻒ ﺭﻣﺰ‬

‫ﻛﻮﺷﺶ ﺑﺮﺍﻱ ﻛﺸﻒ ﻛﺮﺩﻥ ﻣﺘﻦ ﺳﺎﺩﺓ ﭘﻴﺎﻡ ﻭ ﻳﺎ ﻛﻠﻴﺪ ﺭﺍ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﮔﻮﻳﻨﺪ‪ .‬ﺍﺳﺘﺮﺍﺗﮋﻱ ﺑﻜﺎﺭﮔﺮﻓﺘﻪﺷﺪﻩ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ‪ ،‬ﺑﺴﺘﮕﻲ ﺑﻪ‬
‫ﻃﺒﻴﻌﺖ ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻃﻼﻋﺎﺕ ﻗﺎﺑﻞ ﺩﺳﺘﺮﺳﻲ ﻣﺴﺌﻮﻝ ﻛﺸﻒ ﺭﻣﺰ ﺩﺍﺭﺩ‪.‬‬
‫ﺟﺪﻭﻝ ‪ ۲-۱‬ﺍﻧﻮﺍﻉ ﻣﺨﺘﻠﻒ ﺣﻤﻼﺕ ﻛﺸﻒ ﺭﻣﺰ‪ ،‬ﺑﺮ ﻣﺒﻨﺎﻱ ﻣﻴﺰﺍﻥ ﺍﻃﻼﻋﺎﺗﻲ ﻛﻪ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﻛﺸﻒﻛﻨﻨﺪﺓ ﺭﻣﺰ ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﺭﺍ‬
‫ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻣﺸﻜﻞﺗﺮﻳﻦ ﻣﻮﺭﺩ ﺯﻣﺎﻧﻲ ﺍﺳﺖ ﻛﻪ ﻓﻘﻂ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺩﺭ ﺩﺳﺘﺮﺱ ﺑﺎﺷﺪ‪ .‬ﺩﺭ ﺑﻌﻀﻲ ﻣﻮﺍﺭﺩ ﻧﻪ ﺗﻨﻬﺎ ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺑﻠﻜﻪ ﻋﻤﻮﻣﺎﹰ ﻣﻲﺗﻮﺍﻧﻴﻢ ﻓﺮﺽ ﻛﻨﻴﻢ ﻛﻪ ﺩﺷﻤﻦ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻄﻠﻊ ﺍﺳﺖ‪.‬‬
‫ﻳﻜﻲ ﺍﺯ ﺣﻤﻼﺗﻲ ﻛﻪ ﺗﺤﺖ ﺍﻳﻦ ﺷﺮﺍﻳﻂ ﻣﻤﻜﻦ ﺍﺳﺖ ﺭﺥ ﺩﻫﺪ‪ ،‬ﺟﺴﺘﺠﻮﻱ ﺟﺎﻣﻊ)‪ (brute-force‬ﺍﻣﺘﺤﺎﻥ ﻛﺮﺩﻥ ﻫﻤﺔ ﻛﻠﻴﺪﻫﺎﻱ ﻣﻤﻜﻦ‬
‫ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﻓﻀﺎﻱ ﻛﻠﻴﺪ ﺧﻴﻠﻲ ﻭﺳﻴﻊ ﺑﺎﺷﺪ‪ ،‬ﺍﻳﻦ ﺍﻣﺮ ﻏﻴﺮﻋﻤﻠﻲ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺩﺷﻤﻦ ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﺗﺠﺰﻳﻪ ﻭ ﺗﺤﻠﻴﻞ ﺧﻮﺩ ﻣﺘﻦ‬
‫ﺭﻣﺰﺷﺪﻩ ﻣﺘﻜﻲ ﺑﻮﺩﻩ ﻭ ﺗﺴﺖﻫﺎﻱ ﺁﻣﺎﺭﻱ ﻣﺨﺘﻠﻔﻲ ﺭﺍ ﺭﻭﻱ ﺁﻥ ﺍﻧﺠﺎﻡ ﺩﻫﺪ‪ .‬ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻳﻦ ﺭﻭﺵ‪ ،‬ﺩﺷﻤﻦ ﺑﺎﻳﺴﺘﻲ ﺍﻳﺪﻩﻫﺎﺋﻲ‬
‫ﻧﺴﺒﺖ ﺑﻪ ﻧﻮﻉ ﻣﺘﻦ ﺳﺎﺩﻩ ﭘﻴﺎﻡ ﻛﻪ ﭘﻨﻬﺎﻥ ﺷﺪﻩ ﺍﺳﺖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻳﻌﻨﻲ ﻣﺜﻼﹰ ﺑﺪﺍﻧﺪ ﻛﻪ ﭘﻴﺎﻡ‪ ،‬ﻳﻚ ﻣﺘﻦ ﺍﻧﮕﻠﻴﺴﻲ‪ ،‬ﻳﻚ ﻣﺘﻦ ﻓﺮﺍﻧﺴﻪ‪،‬‬
‫ﻳﻚ ﻓﺎﻳﻞ ‪ ،EXE‬ﻳﻚ ﺑﺮﻧﺎﻣﺔ ‪ ،Java‬ﻳﻚ ﺳﻨﺪ ﻣﺎﻟﻲ ﻭ ﻏﻴﺮﻩ ﺍﺳﺖ‪.‬‬
‫ﺩﻓﺎﻉ ﺩﺭ ﺑﺮﺍﺑﺮ ﺣﻤﻠﺔ ﻓﻘﻂ‪ -‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺳﺎﺩﻩﺗﺮﻳﻦ ﻧﻮﻉ ﺩﻓﺎﻉ ﺍﺳﺖ ﺯﻳﺮﺍ ﺩﺷﻤﻦ ﻛﻤﺘﺮﻳﻦ ﺍﻃﻼﻋﺎﺕ ﺭﺍ ﺩﺍﺭﺍﺳﺖ‪ .‬ﺩﺭ ﺑﺴﻴﺎﺭﻱ‬
‫ﻣﻮﺍﺭﺩ‪ ،‬ﺷﻜﻨﻨﺪﺓ ﺭﻣﺰ ﺍﻃﻼﻋﺎﺕ ﺑﻴﺸﺘﺮﻱ ﺩﺍﺭﺩ‪ .‬ﺍﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﻗﺎﺩﺭ ﺑﺎﺷﺪ ﺗﺎ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﭘﻴﺎﻡ ﺳﺎﺩﻩ ﺑﻪ ﻫﻤﺮﺍﻩ ﻓﺮﻡ ﺭﻣﺰﻧﮕﺎﺭﻱﺷﺪﺓ ﺁﻧﻬﺎ‬
‫ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪ .‬ﻛﺸﻒﻛﻨﻨﺪﺓ ﺭﻣﺰ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺪﺍﻧﺪ ﻛﻪ ﺍﻟﮕﻮﻫﺎﻱ ﻣﺨﺼﻮﺻﻲ ﺩﺭ ﭘﻴﺎﻡ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﻣﺜﻼﹰ ﻓﺎﻳﻠﻲ ﻛﻪ ﺑﺎ ﻓﺮﻣﺖ‬
‫‪ Postscript‬ﻛﹸﺪ ﻣﻲﺷﻮﺩ ﻫﻤﻴﺸﻪ ﺑﺎ ﺍﻟﮕﻮﻱ ﺧﺎﺻﻲ ﺷﺮﻭﻉ ﻣﻲﺷﻮﺩ ﻭ ﻳﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﻋﻨﻮﺍﻥ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﺷﺪﻩ‪ ،‬ﻫﻤﻴﺸﻪ ﻫﻤﺮﺍﻩ ﻳﻚ‬
‫ﭘﻴﺎﻡ ﺍﻟﻜﺘﺮﻭﻧﻴﻜﻲ ﺍﻧﺘﻘﺎﻝﺩﻫﻨﺪﺓ ﭘﻮﻝ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻫﻤﺔ ﺍﻳﻨﻬﺎ ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﻣﺘﻦ ﺳﺎﺩﺓ ﻣﻌﻠﻮﻡﺍﻧﺪ‪ .‬ﺑﺎ ﭼﻨﻴﻦ ﻣﻌﻠﻮﻣﺎﺗﻲ‪ ،‬ﺗﺤﻠﻴﻞﮔﺮ ﺭﻣﺰ‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺘﻮﺍﻧﺪ ﻛﻠﻴﺪ ﺭﺍ‪ ،‬ﺑﺮ ﻣﺒﻨﺎﻱ ﺁﮔﺎﻫﻲ ﺍﺯ ﺍﻟﮕﻮﻱ ﻣﺘﻦ ﺳﺎﺩﺓ ﺭﻣﺰﻧﺸﺪﻩ‪ ،‬ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪.‬‬
‫ﺟﺪﻭﻝ ‪ ۲-۱‬ﺍﻧﻮﺍﻉ ﺣﻤﻼﺕ ﺑﻪ ﭘﻴﺎﻡﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ‬

‫ﺁﻧﭽﻪ ﺑﺮﺍﻱ ﻛﺸﻒ ﻛﻨﻨﺪﺓ ﺭﻣﺰ ﻣﻌﻠﻮﻡ ﺍﺳﺖ‬ ‫ﻧﻮﻉ ﺣﻤﻠﻪ‬
‫• ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫ﻓﻘﻂ‪ -‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‬
‫• ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩﺍﻱ ﻛﻪ ﺑﺎﻳﺪ ﺑﺎﺯ ﺷﻮﺩ‬
‫• ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫ﻣﺘﻦ ﺳﺎﺩﺓ ﻣﻌﻠﻮﻡ‬
‫• ﻳﻚ ﻳﺎ ﭼﻨﺪﺟﻔﺖ ﻣﺘﻦ ﺳﺎﺩﻩ‪ -‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺳﺮّﻱ‬
‫• ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫ﻣﺘﻦ ﺳﺎﺩﺓ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ‬
‫• ﭘﻴﺎﻡ ﺳﺎﺩﺓ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻛﺸﻒﺭﻣﺰﻛﻨﻨﺪﻩ‪ ،‬ﺑﻬﻤﺮﺍﻩ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﻧﻈﻴﺮ ﺁﻥ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺳﺮّﻱ‬
‫• ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ‬

‫• ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﺍﻧﺘﺨﺎﺏﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺷﻜﻨﻨﺪﺓ ﺭﻣﺰ‪ ،‬ﺑﻬﻤﺮﺍﻩ ﻣﺘﻦ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺷﺪﻩ ﻧﻈﻴﺮ ﺁﻥ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ‬
‫ﺳﺮّﻱ‬
‫• ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫ﻣﺘﻦ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ‬
‫• ﭘﻴﺎﻡ ﺳﺎﺩﺓ ﺍﻧﺘﺨﺎﺏﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻛﺸﻒﺭﻣﺰﻛﻨﻨﺪﻩ‪ ،‬ﺑﻬﻤﺮﺍﻩ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﻧﻈﻴﺮﺁﻥ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﺳﺮّﻱ‬
‫• ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﺍﻧﺘﺨﺎﺏﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻛﺸﻒﺭﻣﺰﻛﻨﻨﺪﻩ‪ ،‬ﺑﻬﻤﺮﺍﻩ ﻣﺘﻦ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺷﺪﻩ ﻧﻈﻴﺮ ﺁﻥ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﻛﻠﻴﺪ ﺳﺮّﻱ‬
‫‪٤٥‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣﻮﺭﺩﻱ ﻛﻪ ﺧﻴﻠﻲ ﻣﺮﺗﺒﻂ ﺑﺎ ﺣﻤﻠﺔ ﻣﺘﻦ ﺳﺎﺩﺓ ﻣﻌﻠﻮﻡ ﺍﺳﺖ‪ ،‬ﭼﻴﺰﻱ ﺍﺳﺖ ﻛﻪ ﻣﻲﺗﻮﺍﻥ ﺍﺯ ﺁﻥ ﺑﺎ ﻧﺎﻡ ﺣﻤﻠﺔ ﻛﻠﻤﺔ ﻣﺤﺘﻤﻞ ﻳﺎﺩ‬
‫ﻛﺮﺩ‪ .‬ﺍﮔﺮ ﺩﺷﻤﻦ ﺭﻭﻱ ﻛﺸﻒ ﺭﻣﺰ ﻳﻚ ﻣﺘﻦ ﻋﻤﻮﻣﻲ ﻛﺎﺭ ﻛﻨﺪ‪ ،‬ﺍﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﻃﻼﻋﺎﺕ ﻛﻤﻲ ﻧﺴﺒﺖ ﺑﻪ ﻣﺤﺘﻮﻳﺎﺕ ﭘﻴﺎﻡ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﻭﻟﻲ ﺍﮔﺮ ﺩﺷﻤﻦ ﺑﺪﻧﺒﺎﻝ ﺍﻃﻼﻋﺎﺕ ﺧﻴﻠﻲ ﺗﺨﺼﺼﻲ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺨﺸﻲ ﺍﺯ ﭘﻴﺎﻡ ﺭﺍ ﺑﺸﻨﺎﺳﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﺍﮔﺮ ﻳﻚ ﺳﻨﺪ‬
‫ﺍﻃﻼﻋﺎﺕ ﻣﺎﻟﻲ ﻣﻨﺘﻘﻞ ﻣﻴﺸﻮﺩ‪ ،‬ﺩﺷﻤﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﻣﺤﻞ ﺑﺮﺧﻲ ﻛﻠﻤﺎﺕ ﻛﻠﻴﺪﻱ ﺩﺭ ﻋﻨﻮﺍﻥ ﻓﺎﻳﻞ ﺑﺎ ﺧﺒﺮ ﺑﺎﺷﺪ‪ .‬ﻣﺜﺎﻝ ﺩﻳﮕﺮ ﺍﻳﻨﻜﻪ ﻛﹸﺪ‬
‫ﺍﻭﻟﻴﺔ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﺗﻬﻴﻪﺷﺪﻩ ﺩﺭ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﻳﻚ ﺟﻤﻠﺔ ﻣﺮﺑﻮﻁ ﺑﻪ ﻧﺎﻡ ﺳﺎﺯﻣﺎﻥ ﺩﺭ ﻳﻚ ﻣﺤﻞ ﻣﺸﺨﺺ ﻭ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺑﺎﺷﺪ‪.‬‬
‫ﺍﮔﺮ ﺗﺤﻠﻴﻞﮔﺮ ﺑﻄﺮﻳﻘﻲ ﻗﺎﺩﺭ ﺑﺎﺷﺪ ﺗﺎ ﺳﻴﺴﺘﻢ ﻣﻨﺒﻊ ﺭﺍ ﻭﺍﺩﺍﺭﺩ ﺗﺎ ﭘﻴﺎﻡ ﺍﻧﺘﺨﺎﺏﺷﺪﻩﺍﻱ ﺑﺘﻮﺳﻂ ﺗﺤﻠﻴﻞﮔﺮ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻨﺪ‪ ،‬ﺁﻧﮕﺎﻩ‬
‫ﻳﻚ ﺣﻤﻠﺔ ﻣﺘﻦ ﺳﺎﺩﺓ ﺍﻧﺘﺨﺎﺏﺷﺪﻩ ﻣﺤﺘﻤﻞ ﺍﺳﺖ‪ .‬ﺩﺭ ﺣﺎﻟﺖ ﻛﻠﻲ‪ ،‬ﺍﮔﺮ ﺗﺤﻠﻴﻞﮔﺮ ﺑﺘﻮﺍﻧﺪ ﭘﻴﺎﻡﻫﺎﺋﻲ ﺭﺍ ﺟﻬﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﻧﺘﺨﺎﺏ ﻛﻨﺪ‪ ،‬ﺍﻭ‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ ﺯﻳﺮﻛﺎﻧﻪ ﺍﺯ ﭘﻴﺎﻡﻫﺎﺋﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ ﻛﻪ ﺍﻧﺘﻈﺎﺭ ﻣﻲﺭﻭﺩ ﺗﺎ ﺳﺎﺧﺘﺎﺭ ﻛﻠﻴﺪ ﺭﺍ ﺁﺷﻜﺎﺭ ﺳﺎﺯﻧﺪ‪.‬‬
‫ﺟﺪﻭﻝ ‪ ۲-۱‬ﺩﻭ ﻧﻮﻉ ﺣﻤﻠﺔ ﺩﻳﮕﺮ ﺭﺍ ﻧﻴﺰ ﺫﻛﺮﻛﺮﺩﻩ ﺍﺳﺖ‪ :‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﺍﻧﺘﺨﺎﺏﺷﺪﻩ ﻭ ﻣﺘﻦ ﺍﻧﺘﺨﺎﺏﺷﺪﻩ‪ .‬ﺍﻳﻦ ﺣﻤﻠﻪﻫﺎ ﻛﻤﺘﺮ‬
‫ﺑﻌﻨﻮﺍﻥ ﺗﻜﻨﻴﻚﻫﺎﻱ ﻛﺸﻒ ﺭﻣﺰ ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪ ،‬ﻭﻟﻲ ﺑﺎ ﺍﻳﻦ ﻭﺟﻮﺩ ﺭﺍﻩﻫﺎﻱ ﮔﺸﻮﺩﻩﺍﻱ ﺑﺮﺍﻱ ﺣﻤﻠﻪﺍﻧﺪ‪.‬‬
‫ﺗﻨﻬﺎ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻧﺴﺒﺘﺎﹰ ﺿﻌﻴﻒ ﺩﺭ ﺑﺮﺍﺑﺮ ﺣﻤﻠﺔ ﻓﻘﻂ‪ -‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺷﻜﺴﺖ ﻣﻲﺧﻮﺭﻧﺪ‪ .‬ﻣﻌﻤﻮﻻﹰ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﻃﻮﺭﻱ ﻃﺮﺍﺣﻲ ﻣﻲﺷﻮﺩ ﻛﻪ ﺩﺭ ﻣﻘﺎﺑﻞ ﺣﻤﻠﺔ ﻣﺘﻦ ﺳﺎﺩﺓ ﻣﻌﻠﻮﻡ ﻧﻴﺰ ﻣﻘﺎﻭﻣﺖ ﻛﻨﺪ‪.‬‬
‫ﻳﻚ ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ ﺻﻮﺭﺗﻲ ﺍﺯ ﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﺍﻣﻦ ﺍﺳﺖ ﻛﻪ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺁﻥ ﺭﻭﺵ‪ ،‬ﻳﻚ ﻭ ﻳﺎ ﻫﺮﺩﻭ ﺷﺮﻁ‬
‫ﺯﻳﺮ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪:‬‬
‫ﻫﺰﻳﻨﺔ ﺷﻜﺴﺘﻦ ﺭﻣﺰ‪ ،‬ﺍﺯ ﺍﺭﺯﺵ ﺍﻃﻼﻋﺎﺕ ﺭﻣﺰﺷﺪﻩ ﺗﺠﺎﻭﺯ ﻛﻨﺪ‪.‬‬ ‫•‬
‫ﺯﻣﺎﻥ ﻻﺯﻡ ﺑﺮﺍﻱ ﺷﻜﺴﺘﻦ ﺭﻣﺰ‪ ،‬ﺍﺯ ﻋﻤﺮ ﻣﻔﻴﺪ ﺍﻃﻼﻋﺎﺕ ﺗﺠﺎﻭﺯ ﻛﻨﺪ‪.‬‬ ‫•‬
‫ﻣﺘﺄﺳﻔﺎﻧﻪ ﺑﺴﻴﺎﺭ ﺳﺨﺖ ﺍﺳﺖ ﺗﺎ ﻣﻴﺰﺍﻥ ﻛﻮﺷﺶ ﻻﺯﻡ ﺑﺮﺍﻱ ﻛﺸﻒ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺭﺍ ﺗﺨﻤﻴﻦ ﺯﺩ‪ .‬ﻭﻟﻲ ﺑﺎ ﻓﺮﺽ ﺍﻳﻨﻜﻪ ﻫﻴﭻ‬
‫ﺿﻌﻒ ﺫﺍﺗﻲ ﺭﻳﺎﺿﻲ ﺩﺭ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻭﺟﻮﺩ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺑﺎ ﺗﺼﻮﺭ ﻳﻚ ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ ﻣﻴﺘﻮﺍﻥ ﺗﺨﻤﻴﻦ ﻣﻌﻘﻮﻟﻲ ﻧﺴﺒﺖ ﺑﻪ‬
‫ﻫﺰﻳﻨﻪﻫﺎ ﻭ ﺯﻣﺎﻥ ﻛﺸﻒ ﺭﻣﺰ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪.‬‬
‫ﺭﻭﺵ ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ‪ ،‬ﺷﺎﻣﻞ ﺍﻣﺘﺤﺎﻥ ﻛﺮﺩﻥ ﻫﻤﺔ ﻛﻠﻴﺪﻫﺎﻱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﺎ ﻳﻚ ﺗﺮﺟﻤﺔ ﻗﺎﺑﻞ ﻓﻬﻢ ﺍﺯ ﻣﺘﻦ ﺭﻣﺰﻧﮕـﺎﺭﻱ ﺷـﺪﻩ‬
‫ﺑﻪ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﻪ ﺩﺳﺖ ﺁﻳﺪ‪ .‬ﺑﻄﻮﺭ ﻣﺘﻮﺳﻂ‪ ،‬ﺑﺮﺍﻱ ﻣﻮﻓﻘﻴﺖ ﺑﺎﻳﺴﺘﻲ ﻧﺼﻒ ﻛﻠﻴﺪﻫﺎﻱ ﻣﻤﻜﻦ ﺭﺍ ﺍﻣﺘﺤﺎﻥ ﻛﺮﺩ‪ .‬ﺟﺪﻭﻝ ‪ ۲-۲‬ﺯﻣﺎﻥ ﺻـﺮﻑ‬
‫ﺷﺪﻩ ﺑﺮﺍﻱ ﻛﻠﻴﺪﻫﺎﺋﻲ ﺑﺎ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺩﺭ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ DES‬ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ‪ -۵۶‬ﺑﻴﺘﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣـﻲﺷـﻮﺩ‪ .‬ﺑـﺮﺍﻱ‬
‫ﺍﻧﺪﺍﺯﺓ ﻫﺮ ﻛﻠﻴﺪ‪ ،‬ﻧﺘﺎﻳﺞ ﺑﺎ ﻓﺮﺽ ﺍﻳﻨﻜﻪ ﻳﻚ ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ ﺑﺮﺍﻱ ﻫﺮ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺳﺎﺩﻩ ﺻﺮﻑ ﺧﻮﺍﻫﺪ ﺷﺪ‪ ،‬ﻧـﺸﺎﻥ ﺩﺍﺩﻩ ﺷـﺪﻩ ﺍﺳـﺖ‪ .‬ﻳـﻚ‬
‫ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ ﺑﺮﺍﻱ ﻫﺮ ﺭﻣﺰﮔﺸﺎﺋﻲ‪ ،‬ﺍﻧﺪﺍﺯﺓ ﻣﻌﻘﻮﻟﻲ ﺑﺮﺍﻱ ﻣﺎﺷﻴﻦﻫﺎﻱ ﺍﻣﺮﻭﺯﻱ ﺍﺳﺖ‪ .‬ﺑﺎ ﺍﺳـﺘﻔﺎﺩﻩ ﺍﺯ ﺗﻌـﺪﺍﺩ ﺯﻳـﺎﺩﻱ ﻣﻴﻜﺮﻭﭘﺮﻭﺳـﺴﻮﺭ ﺑـﺎ‬
‫ﺳﺎﺯﻣﺎﻧﺪﻫﻲ ﻣﻮﺍﺯﻱ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﺮﺥ ﭘﺮﺩﺍﺯﺵ ﺭﺍ ﺑﻪ ﭼﻨﺪﻳﻦ ﺑﺮﺍﺑﺮ ﺍﻓﺰﺍﻳﺶ ﺩﺍﺩ‪ .‬ﺳﺘﻮﻥ ﺁﺧﺮ ﺩﺭ ﺟﺪﻭﻝ ‪ ۲-۲‬ﻧﺘﺎﻳﺞ ﺭﺍ ﺑﺮﺍﻱ ﺳﻴﺴﺘﻤﻲ‬
‫ﻛﻪ ﺑﺘﻮﺍﻧﺪ ﻳﻚ ﻣﻴﻠﻴﻮﻥ ﻛﻠﻴﺪ ﺩﺭ ﻫﺮ ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ ﺭﺍ ﺁﺯﻣﺎﻳﺶ ﻛﻨﺪ‪ ،‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﻣـﺸﺎﻫﺪﻩ ﻣـﻲﻛﻨﻴـﺪ‪ ،‬ﺩﺭ ﭼﻨـﻴﻦ ﺳـﻄﺢ‬
‫ﻋﻤﻠﻜﺮﺩﻱ‪ DES ،‬ﺩﻳﮕﺮ ﻧﻤﻲﺗﻮﺍﻧﺪ ﺍﺯ ﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﺍﻣﻦ ﻓﺮﺽ ﺷﻮﺩ‪.‬‬
‫ﺳﺎﺧﺘﺎﺭ ﺭﻣﺰ ‪Feistel‬‬

‫ﺑﻴﺸﺘﺮ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻗﺎﻟﺒﻲ‪ ،‬ﺍﺯ ﺟﻤﻠﻪ ‪ ،DES‬ﺩﺍﺭﺍﻱ ﺳﺎﺧﺘﺎﺭﻱ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮﺍﻱ ﺍﻭﻟﻴﻦ ﺑﺎﺭ ﺑﺘﻮﺳﻂ‬
‫‪ Horst Feistel‬ﺍﺯ ﺷﺮﻛﺖ ‪ IBM‬ﺩﺭ ﺳﺎﻝ ‪ [FEIS73] ۱۹۷۳‬ﺗﻮﺻﻴﻒ ﮔﺮﺩﻳﺪ ﻭ ﺩﺭ ﺷﻜﻞ ‪ ۲-۲‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻭﺭﻭﺩﻱﻫﺎﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﻳﻚ ﺑﻠﻮﻙ ﺍﺯ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﺎ ﻃﻮﻝ ‪ 2w‬ﺑﻴﺖ ﻭ ﻳﻚ ﻛﻠﻴﺪ ‪ K‬ﺍﺳﺖ‪ .‬ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﻪ ﺩﻭ ﻧﻴﻤﺔ ‪L0‬‬
‫ﻭ ‪ R0‬ﺗﻘﺴﻴﻢ ﻣﻴﺸﻮﺩ‪ .‬ﺩﻭ ﻧﻴﻤﺔ ﺩﻳﺘﺎ‪ n ،‬ﺩُﻭﺭ ﭘﺮﺩﺍﺯﺵ ﺭﺍ ﭘﺸﺖ ﺳﺮ ﮔﺬﺍﺷﺘﻪ ﻭ ﺁﻧﮕﺎﻩ ﺑﺎ ﻳﻜﺪﻳﮕﺮ ﺗﺮﻛﻴﺐ ﺷﺪﻩ ﺗﺎ ﺑﻠﻮﻙ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺭﺍ‬
‫ﻓﺼﻞ ﺩﻭﻡ‬ ‫‪ ٤٦‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺟﺪﻭﻝ ‪ ۲-۲‬ﺯﻣﺎﻥ ﻣﺘﻮﺳﻂ ﻻﺯﻡ ﺑﺮﺍﻱ ﺍﻣﺘﺤﺎﻥ ﻫﻤﺔ ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰ‬
‫ﺯﻣﺎﻥ ﻻﺯﻡ ﻛﺸﻒ ﺭﻣﺰ‬ ‫ﺯﻣﺎﻥ ﻻﺯﻡ ﻛﺸﻒ ﺭﻣﺰ‬ ‫ﺗﻌﺪﺍﺩ ﻛﻠﻴﺪﻫﺎﻱ‬ ‫ﺍﻧﺪﺍﺯﺓ ﻛﻠﻴﺪ‬
‫ﺑﺎ ﻳﻚ ﻣﻴﻠﻴﻮﻥ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺩﺭ ﻫﺮ ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ‬ ‫ﺑﺎ ﻳﻚ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺩﺭ ﻫﺮ ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ‬ ‫ﻣﻤﻜﻦ‬ ‫) ‪( bits‬‬
‫ﻣﻴﻠﻲ ﺛﺎﻧﻴﻪ‬ ‫‪۲/۱۵‬‬ ‫ﺩﻗﻴﻘﻪ‬ ‫‪ ۲۳۱‬ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ= ‪۳۵/۸‬‬ ‫‪۲۳۲= ۴/۳×۱۰۹‬‬ ‫‪۳۲‬‬
‫ﺳﺎﻋﺖ‬ ‫‪۱۰/۰۱‬‬ ‫ﺳﺎﻝ‬ ‫‪ ۲۵۵‬ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ= ‪۱۱۴۲‬‬ ‫‪۲۵۶ = ۷/۲×۱۰۱۶‬‬ ‫‪۵۶‬‬
‫ﺳﺎﻝ‬ ‫‪۵/۴ × ۱۰۱۸‬‬ ‫‪ ۲۱۲۷‬ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ=‪ ۵/۴ × ۱۰۲۴‬ﺳﺎﻝ‬ ‫‪۲۱۲۸ = ۳/۴×۱۰۳۸‬‬ ‫‪۱۲۸‬‬
‫ﺳﺎﻝ‬ ‫‪۵/۹ × ۱۰۳۰‬‬ ‫‪ ۲۱۶۷‬ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ=‪ ۵ /۹× ۱۰۳۶‬ﺳﺎﻝ‬ ‫‪۲۱۶۸ = ۳/۷×۱۰۵۰‬‬ ‫‪۱۶۸‬‬
‫ﺳﺎﻝ‬ ‫‪۶/۴ × ۱۰۶‬‬ ‫‪ ۲×۱۰۲۶‬ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ=‪ ۶/۴ × ۱۰۱۲‬ﺳﺎﻝ‬ ‫‪۲۶ != ۴×۱۰۲۶‬‬ ‫‪ ۲۶‬ﻛﺎﺭﺍﻛﺘﺮ ) ﺟﺎﻳﮕﺸﺖ (‬
‫ﺍﻳﺠﺎﺩ ﻧﻤﺎﻳﻨﺪ‪ .‬ﻫﺮ ﺩُﻭﺭ ‪ i‬ﺩﺍﺭﺍﻱ ﻭﺭﻭﺩﻱﻫﺎﻱ ‪ Li-1‬ﻭ ‪،Ri-1‬ﻛﻪ ﺧﺮﻭﺟﻲ ﺩﻭﺭ ﻣﺎﻗﺒﻞ ﺑﻮﺩﻩ‪ ،‬ﻭ ﻫﻤﭽﻨﻴﻦ ﻳﻚ ﺯﻳﺮﻛﻠﻴﺪ ‪ Ki‬ﻛﻪ ﺍﺯ ﻛﻠﻴـﺪ ‪K‬‬
‫ﻣﺸﺘﻖ ﺷﺪﻩ ﺍﺳﺖ ﻣﻲﺑﺎﺷﺪ‪ .‬ﻋﻤﻮﻣﺎﹰ ﺯﻳﺮﻛﻠﻴﺪﻫﺎﻱ ‪ Ki‬ﺑﺎ ﻳﻜﺪﻳﮕﺮ ﻭ ﻫﻤﭽﻨﻴﻦ ﺑﺎ ‪ K‬ﻓﺮﻕ ﺩﺍﺷﺘﻪ ﻭ ﺑﺘﻮﺳﻂ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺗﻮﻟﻴـﺪ ﺯﻳﺮﻛﻠﻴـﺪ‬
‫ﺧﻠﻖ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫ﻫﻤﺔ ﺩُﻭﺭﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺍﺭﺍﻱ ﺳﺎﺧﺘﺎﺭ ﻳﻜﺴﺎﻧﻲ ﻫﺴﺘﻨﺪ‪ .‬ﻳﻚ ﺟﺎﻳﮕﺰﻳﻨﻲ ﺭﻭﻱ ﻧﻴﻤﺔ ﭼﭗ ﺩﻳﺘﺎ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺑﺎ‬
‫ﺍﻋﻤﺎﻝ ﻳﻚ ﺗﺎﺑﻊ ﺩُﻭﺭ)‪ F (round function‬ﺑﻪ ﻧﻴﻤﺔ ﺭﺍﺳﺖ ﺩﻳﺘﺎ ﻭ ﺳﭙﺲ ‪ XOR‬ﻛﺮﺩﻥ ﺧﺮﻭﺟﻲ ﺍﻳﻦ ﺗﺎﺑﻊ ﺑﺎ ﻧﻴﻤﺔ ﭼﭗ ﺩﻳﺘﺎ‬
‫ﺣﺎﺻﻞ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺩﺭ ﻫﺮ ﺩُﻭﺭ‪ ،‬ﺗﺎﺑﻊ ﺩُﻭﺭ ﺩﺍﺭﺍﻱ ﺳﺎﺧﺘﺎﺭ ﻋﻤﻮﻣﻲ ﻳﻜﺴﺎﻧﻲ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﺯﻳﺮﻛﻠﻴﺪ ﺩُﻭﺭ ‪ Ki‬ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺁﻥ ﺗﻐﻴﻴﺮ‬
‫ﻣﻲﻳﺎﺑﺪ‪ .‬ﭘﺲ ﺍﺯ ﺍﻳﻦ ﺟﺎﻳﮕﺰﻳﻨﻲ‪ ،‬ﻳﻚ ﺟﺎﻳﮕﺸﺖ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ ﻛﻪ ﺷﺎﻣﻞ ﺗﻌﻮﻳﺾ ﻣﺤﻞ ﺩﻭ ﻧﻴﻤﺔ ﺩﻳﺘﺎﺳﺖ‪.‬‬
‫ﺳﺎﺧﺘﺎﺭ ‪ Feistel‬ﻳﻚ ﻣﺜﺎﻝ ﺧﺎﺹ ﺍﺯ ﺳﺎﺧﺘﺎﺭ ﻋﻤﻮﻣﻲﺗﺮﻱ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﺗﻤﺎﻡ ﺭﻣﺰﻫﺎﻱ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ‬
‫ﻣﻲﮔﻴﺮﺩ‪ .‬ﺩﺭ ﺣﺎﻟﺖ ﻛﻠﻲ‪ ،‬ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ ﺷﺎﻣﻞ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﺩُﻭﺭﻫﺎﻱ ﻣﺘﻮﺍﻟﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻫﺮ ﺩُﻭﺭ‪ ،‬ﻋﻤﻠﻴﺎﺕ ﺟﺎﻳﮕﺰﻳﻨﻲ ﻭ‬
‫ﺟﺎﺑﺠﺎﺋﻲ ﺑﺎ ﻭﺍﺑﺴﺘﮕﻲ ﺑﻪ ﺍﻧﺪﺍﺯﺓ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺩُﻭﺭ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﺗﺤﻘﻖ ﻭﺍﻗﻌﻲ ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ‪ ،‬ﺑﺴﺘﮕﻲ ﺑﻪ ﺍﻧﺘﺨﺎﺏ‬
‫ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺯﻳﺮ ﻭ ﻣﻮﺍﺭﺩ ﻃﺮﺍﺣﻲ ﺩﺍﺭﺩ‪:‬‬
‫• ﺍﻧﺪﺍﺯﺓ ﺑﻠﻮﻙ‪ :‬ﻫﺮﭼﻘﺪﺭ ﺍﻧﺪﺍﺯﺓ ﺑﻠﻮﻙﻫﺎ ﺑﺰﺭﮔﺘﺮ ﺑﺎﺷﺪ )ﺑﺎ ﻓﺮﺽ ﺛﺎﺑﺖ ﺑﻮﺩﻥ ﺳﺎﻳﺮ ﭘﺎﺭﺍﻣﺘﺮﻫﺎ(‪ ،‬ﺍﻣﻨﻴﺖ ﺑﻴﺸﺘﺮ ﻭﻟﻲ ﺳﺮﻋﺖ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ‪ /‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﻤﺘﺮ ﺍﺳﺖ‪ .‬ﻣﺼﺎﻟﺤﺔ ﻣﻨﺎﺳﺐ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ‪ ،‬ﺍﻧﺘﺨﺎﺏ ﺑﻠﻮﻛﻲ ﺑﺎ ﻃﻮﻝ ‪ ۱۲۸‬ﺑﻴﺖ ﺑﻮﺩﻩ ﻛﻪ ﺩﺭ ﻃﺮﺍﺣﻲ‬
‫ﺭﻣﺰ ﻗﺎﻟﺒﻲ‪ ،‬ﺗﻘﺮﻳﺒﺎﹰ ﺍﻧﺘﺨﺎﺑﻲ ﻫﻤﮕﺎﻧﻲ ﺍﺳﺖ‪.‬‬
‫• ﺍﻧﺪﺍﺯﺓ ﻛﻠﻴﺪ‪ :‬ﺍﻧﺪﺍﺯﺓ ﺑﺰﺭﮔﺘﺮ ﻛﻠﻴﺪ ﺑﻤﻨﺰﻟﺔ ﺍﻣﻨﻴﺖ ﺑﻴﺸﺘﺮ ﺍﺳﺖ‪ ،‬ﻭﻟﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺳﺮﻋﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ /‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺭﺍ ﻛﺎﻫﺶ‬
‫ﺩﻫﺪ‪ .‬ﻣﻌﻤﻮﻝﺗﺮﻳﻦ ﻛﻠﻴﺪﻫﺎ ﺩﺭ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻣﺪﺭﻥ‪ ،‬ﺩﺍﺭﺍﻱ ﻃﻮﻝ ‪ ۱۲۸‬ﺑﻴﺖ ﻫﺴﺘﻨﺪ‪.‬‬
‫• ﺗﻌﺪﺍﺩ ﺩُﻭﺭﻫﺎ‪ :‬ﺟﻮﻫﺮﺓ ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ ﺩﺭ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺗﻨﻬﺎ ﻳﻚ ﺩُﻭﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺍﻣﻨﻴﺖ ﻣﻨﺎﺳﺒﻲ ﺭﺍ ﺍﻳﺠﺎﺩ ﻧﻤﻲﻛﻨﺪ ﻭ‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﺩُﻭﺭﻫﺎﻱ ﺑﻴﺸﺘﺮﻱ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺮﺍﻱ ﺍﻓﺰﺍﻳﺶ ﺍﻣﻨﻴﺖ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪ .‬ﺍﻧﺪﺍﺯﺓ ﻣﻌﻤﻮﻝ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ‪ ۱۶ ،‬ﺩُﻭﺭ ﺍﺳﺖ‪.‬‬
‫• ﺍﻟﮕﻮﺭﻳﺘﻢ ﺗﻮﻟﻴﺪ ﺯﻳﺮﻛﻠﻴﺪ‪ :‬ﭘﻴﭽﻴﺪﮔﻲ ﺑﻴﺸﺘﺮ ﺩﺭ ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺑﺎﻋﺚ ﺍﻓﺰﺍﻳﺶ ﭘﻴﭽﻴﺪﮔﻲ ﺩﺭ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﮔﺮﺩﺩ‪.‬‬
‫• ﺗﺎﺑﻊ ﺩُﻭﺭ‪ :‬ﺑﺎﺯ ﻫﻢ ﭘﻴﭽﻴﺪﮔﻲ ﺑﻴﺸﺘﺮ‪ ،‬ﻣﻌﻤﻮﻻﹰ ﺑﻤﻌﻨﺎﻱ ﻣﻘﺎﻭﻣﺖ ﺑﻴﺸﺘﺮ ﺩﺭ ﻣﻘﺎﺑﻞ ﻛﺸﻒ ﺭﻣﺰ ﺍﺳﺖ‪.‬‬
‫ﺩﻭ ﻣﻮﺭﺩ ﺩﻳﮕﺮ ﺭﺍ ﻧﻴﺰ ﺩﺭ ﻃﺮﺍﺣﻲ ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ ﺑﺎﻳﺴﺘﻲ ﺩﺭﻧﻈﺮ ﮔﺮﻓﺖ‪:‬‬
‫ﻧﺮﻡﺍﻓﺰﺍﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ /‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺳﺮﻳﻊ‪ :‬ﺩﺭ ﺑﺴﻴﺎﺭﻱ ﻣﻮﺍﺭﺩ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ ﺩﻝ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻭ ﻳﺎ ﺗﻮﺍﺑﻊ ﺍﺟﺮﺍﺋﻲ ﻃﻮﺭﻱ ﻗﺮﺍﺭ‬
‫ﮔﺮﻓﺘﻪ ﺍﺳﺖ ﻛﻪ ﺧﺎﺭﺝ ﺍﺯ ﺣﻴﻄﺔ ﺍﺟﺮﺍﻱ ﺳﺨﺖﺍﻓﺰﺍﺭﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺳﺮﻋﺖ ﺍﺟﺮﺍﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻳﻜﻲ ﺍﺯ ﻧﻜﺘﻪﻫﺎﻱ‬
‫ﻗﺎﺑﻞ ﺗﺄﻣﻞ ﺍﺳﺖ‪.‬‬
‫‪٤٧‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫)‪Plaintext (2w bits‬‬
‫‪L0‬‬ ‫‪R0‬‬
‫‪w bits‬‬ ‫‪w bits‬‬
‫‪Round 1‬‬
‫‪K1‬‬
‫⊕‬ ‫‪F‬‬
‫‪L1‬‬ ‫‪R1‬‬
‫‪Round i‬‬
‫‪Ki‬‬
‫⊕‬ ‫‪F‬‬
‫‪Li‬‬ ‫‪Ri‬‬
‫‪R1‬‬
‫‪Round n‬‬
‫‪Kn‬‬
‫⊕‬ ‫‪F‬‬
‫‪Ln‬‬ ‫‪Rn‬‬
‫‪Ln+1‬‬ ‫‪Rn+1‬‬
‫)‪Ciphertext (2w bits‬‬
‫ﺷﻜﻞ‪ ۲-۲‬ﺷﺒﻜﺔ ﻛﻼﺳﻴﻚ ‪Feistel‬‬

‫ﻓﺼﻞ ﺩﻭﻡ‬ ‫‪ ٤٨‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫• ﺳﻬﻮﻟﺖ ﺗﺤﻠﻴﻞ‪ :‬ﺍﮔﺮﭼﻪ ﻋﻼﻗﻪﻣﻨﺪﻳﻢ ﻛﻪ ﺑﺮﺍﻱ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺷﻜﺴﺘﻦ ﺭﻣﺰ‪ ،‬ﻫﺮﭼﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﺍ ﭘﻴﭽﻴﺪﻩﺗﺮ ﻛﻨﻴﻢ‬
‫ﻭﻟﻲ ﺍﻳﺠﺎﺩ ﺳﻬﻮﻟﺖ ﺩﺭ ﺗﺤﻠﻴﻞ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﺤﺴﻨﺎﺕ ﺯﻳﺎﺩﻱ ﺩﺍﺭﺩ‪ .‬ﻳﻌﻨﻲ ﺍﮔﺮ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﺘﻮﺍﻧﺪ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﻭ ﺭﻭﺷﻦ ﺑﻴﺎﻥ ﺷﻮﺩ‪،‬‬
‫ﺗﺤﻠﻴﻞ ﺁﻥ ﺑﺮﺍﻱ ﺁﺳﻴﺐﭘﺬﻳﺮﻱﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﻫﻢ ﺳﺎﺩﻩﺗﺮ ﺑﻮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺳﻄﺢ ﺍﻃﻤﻴﻨﺎﻥ ﺑﻪ ﻗﺪﺭﺕ ﺁﻥ ﺭﺍ‬
‫ﻣﻲﺗﻮﺍﻥ ﺍﻓﺰﺍﻳﺶ ﺩﺍﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ DES ،‬ﺩﺍﺭﺍﻱ ﻋﻤﻠﻜﺮﺩ ﺗﺤﻠﻴﻠﻲ ﺳﺎﺩﻩﺍﻱ ﻧﻴﺴﺖ‪.‬‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﺎ ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ ﻧﻴﺰ ﺿﺮﻭﺭﺗﺎﹰ ﻣﺜﻞ ﻫﻤﺎﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺁﻥ ﺍﺳﺖ‪ .‬ﻗﺎﻋﺪﻩ ﭼﻨﻴﻦ ﺍﺳﺖ‪ :‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺭﺍ‬
‫ﺑﻌﻨﻮﺍﻥ ﻭﺭﻭﺩﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﻜﺎﺭ ﺑﺮﺩﻩ ﻭﻟﻲ ﺯﻳﺮﻛﻠﻴﺪﻫﺎﻱ ‪ Ki‬ﺭﺍ ﺑﺎ ﻧﻈﻢ ﻣﻌﻜﻮﺱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻴﻢ‪ .‬ﻳﻌﻨﻲ ‪ Kn‬ﺩﺭ ﺩﻭﺭ ﺍﻭﻝ‪ Kn-1 ،‬ﺩﺭ ﺩﻭﺭ‬
‫ﺩﻭﻡ‪ ،‬ﻭ ﺑﻬﻤﻴﻦ ﺗﺮﺗﻴﺐ ﺗﺎ ‪ K1‬ﻛﻪ ﺩﺭ ﺩﻭﺭ ﺁﺧﺮ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺍﻳﻦ ﺧﺎﺻﻴﺖ ﺟﺬﺍﺑﻲ ﺍﺳﺖ ﺯﻳﺮﺍ ﻻﺯﻡ ﻧﻴﺴﺖ ﺗﺎ ﺍﺯ ﺩﻭ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﺨﺘﻠﻒ‪ ،‬ﻳﻜﻲ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﻳﻜﻲ ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ‬ ‫‪۲-۲‬‬
‫ﻣﻌﻤﻮﻝﺗﺮﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺑﻜﺎﺭﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‪ ،‬ﺭﻣﺰﻫﺎﻱ ﻗﺎﻟﺒﻲ ﻫﺴﺘﻨﺪ‪ .‬ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ‪ ،‬ﻣﺘﻦ ﺳﺎﺩﺓ ﻭﺭﻭﺩﻱ ﺭﺍ ﺩﺭ‬
‫ﻗﺎﻟﺐ ﺑﻠﻮﻙﻫﺎﺋﻲ ﺑﺎ ﺍﻧﺪﺍﺯﺓ ﺛﺎﺑﺖ ﭘﺮﺩﺍﺯﺵ ﻛﺮﺩﻩ ﻭ ﻳﻚ ﺑﻠﻮﻙ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﺎ ﻫﻤﺎﻥ ﺍﻧﺪﺍﺯﻩ ﺭﺍ‪ ،‬ﺑﺮﺍﻱ ﻫﺮ ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﻩ ﺗﻮﻟﻴﺪ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﺳﺔ ﻧﻮﻉ ﺍﺯ ﻣﻬﻢﺗﺮﻳﻦ ﺭﻣﺰﻫﺎﻱ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ ﺭﺍ ﻣﻮﺭﺩ ﺑﺮﺭﺳﻲ ﻗﺮﺍﺭ ﻣﻲﺩﻫﻴﻢ‪ :‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻳﺘﺎ‬
‫)‪ DES ،(DES‬ﺳﻪﮔﺎﻧﻪ )‪ (3DES‬ﻭ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺸﺮﻓﺘﻪ )‪.(AES‬‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻳﺘﺎ )‪Data Encryption Standard (DES‬‬

‫ﭘﺮﺍﺳﺘﻔﺎﺩﻩﺗﺮﻳﻦ ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺑﺮ ﻣﺒﻨﺎﻱ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻳﺘﺎ )‪ (DES‬ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﻛﻪ ﺩﺭﺳﺎﻝ ‪ ۱۹۷۷‬ﺑﺘﻮﺳﻂ ﺩﻓﺘﺮ ﻣﻠﻲ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎ ﺩﺭ ﺁﻣﺮﻳﻜﺎ ﻛﻪ ﺍﻣﺮﻭﺯ ﻣﺆﺳﺴﺔ ﻣﻠﻲ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎ ﻭ ﺗﻜﻨﻮﻟﻮﮊﻱ)‪ (NIST‬ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﺗﺤﺖ ﻋﻨﻮﺍﻥ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻓﺪﺭﺍﻝ‬
‫ﭘﺮﺩﺍﺯﺵ ﺍﻃﻼﻋﺎﺕ ‪ (FIP PUB46) ۴۶‬ﭘﺬﻳﺮﻓﺘﻪ ﺷﺪ‪ .‬ﺍﺯ ﺧﻮﺩ ﺍﻟﮕﻮﺭﻳﺘﻢ‪ ،‬ﺑﺎ ﻧﺎﻡ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻳﺘﺎ )‪ (DEA‬ﻳﺎﺩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺗﻮﺻﻴﻒ ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫ﻣﺘﻦ ﺳﺎﺩﻩ ﺩﺍﺭﺍﻱ ﻃﻮﻝ ‪ ۶۴‬ﺑﻴﺖ ﺑﻮﺩﻩ ﻭ ﻃﻮﻝ ﻛﻠﻴﺪ‪ ۵۶‬ﺑﻴﺖ ﺍﺳﺖ‪ .‬ﻣﺘﻮﻥ ﺳﺎﺩﺓ ﻃﻮﻳﻞﺗﺮ ﺩﺭ ﺑﻠﻮﻙﻫﺎﻱ ‪ -۶۴‬ﺑﻴﺘﻲ ﻣﻮﺭﺩ‬
‫ﭘﺮﺩﺍﺯﺵ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﺳﺎﺧﺘﺎﺭ ‪ DES‬ﺗﻘﺮﻳﺒﺎﹰ ﻫﻤﺎﻥ ﺳﺎﺧﺘﺎﺭ ﺷﺒﻜﺔ ‪ Feistel‬ﺑﺎ ﻛﻤﻲ ﺗﻐﻴﻴﺮﺍﺕ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺷﻜﻞ ‪ ۲-۲‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ‬
‫ﺷﺪﻩ ﺍﺳﺖ‪ ۱۶ .‬ﺩُﻭﺭ ﭘﺮﺩﺍﺯﺵ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺍﺯ ﻛﻠﻴﺪ ﺍﻭﻟﻴﺔ ‪ -۵۴‬ﺑﻴﺘﻲ‪ ،‬ﺷﺎﻧﺰﺩﻩ ﺯﻳﺮﻛﻠﻴﺪ ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﺩ ﻛﻪ ﻫﺮﻛﺪﺍﻡ ﺩﺭ ﻳﻚ ﺩُﻭﺭ‬
‫ﭘﺮﺩﺍﺯﺵ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪.‬‬
‫ﻧﺤﻮﺓ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﺎ ‪ DES‬ﺿﺮﻭﺭﺗﺎﹰ ﺷﺒﻴﻪ ﻧﺤﻮﺓ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎ ﺁﻥ ﺍﺳﺖ‪ .‬ﻗﺎﻋﺪﻩ ﭼﻨﻴﻦ ﺍﺳﺖ‪ :‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﻭﺭﻭﺩﻱ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ DES‬ﺑﻜﺎﺭ ﺑﺮﺩﻩ ﻭﻟﻲ ﺍﺯ ﺯﻳﺮﻛﻠﻴﺪﻫﺎ ﺑﺎ ﻧﻈﻢ ﻣﻌﻜﻮﺱ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﻴﺪ‪ .‬ﻳﻌﻨﻲ ﺩﺭ ﺍﻭﻟﻴﻦ ﺗﻜﺮﺍﺭ ﻛﻠﻴﺪ ‪ ،K16‬ﺩﺭ ﺩﻭﻣﻴﻦ ﺗﻜﺮﺍﺭ ﻛﻠﻴﺪ‬
‫‪ ،K15‬ﻭ ﺑﻬﻤﻴﻦ ﻧﺤﻮ ﺟﻠﻮﺭﻓﺘﻪ ﻭ ﺩﺭ ﺷﺎﻧﺰﺩﻫﻤﻴﻦ ﻭ ﺁﺧﺮﻳﻦ ﺗﻜﺮﺍﺭ ﻛﻠﻴﺪ ‪ K1‬ﺭﺍ ﺑﻜﺎﺭ ﺑﺮﻳﺪ‪.‬‬
‫ﺗﻮﺍﻧﺎﺋﻲ ‪DES‬‬
‫ﻧﮕﺮﺍﻧﻲ ﻧﺴﺒﺖ ﺑﻪ ﺗﻮﺍﻧﺎﺋﻲ ‪ DES‬ﺩﺭ ﺩﻭ ﻣﻘﻮﻟﺔ ﺟﺪﺍ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ :‬ﻧﮕﺮﺍﻧﻲ ﺩﺭ ﻣﻮﺭﺩ ﺧﻮﺩ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻭ ﻧﮕﺮﺍﻧﻲ ﺩﺭ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﻳﻚ ﻛﻠﻴﺪ ‪ -۵۴‬ﺑﻴﺘﻲ‪ .‬ﺍﻭﻟﻴﻦ ﻧﮕﺮﺍﻧﻲ‪ ،‬ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﺍﻣﻜﺎﻥ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺑﻜﺎﺭﮔﻴﺮﻱ ﻣﺸﺨﺼﻪﻫﺎﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ DES‬ﺍﺳﺖ‪.‬‬
‫‪٤٩‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺩﺭ ﻃﻮﻝ ﺳﺎﻟﻴﺎﻥ ﮔﺬﺷﺘﻪ‪ ،‬ﺗﻼﺵﻫﺎﻱ ﺑﺴﻴﺎﺭﻱ ﺑﺮﺍﻱ ﻛﺸﻒ ﻭ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻧﻘﺎﻁ ﺿﻌﻒ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ DES‬ﺍﻧﺠﺎﻡ ﺷﺪﻩ ﻭ ﺑﻬﻤﻴﻦ‬
‫ﻣﻨﺎﺳﺒﺖ ‪ DES‬ﺍﻟﮕﻮﺭﻳﺘﻤﻲ ﺍﺳﺖ ﻛﻪ ﺑﻴﺶ ﺍﺯ ﻫﻤﻪ ﻣﻮﺭﺩ ﻣﻄﺎﻟﻌﻪ ﻗﺮﺍﺭﮔﺮﻓﺘﻪ ﺍﺳﺖ‪ .‬ﺑﺎ ﻭﺟﻮﺩ ﺗﻼﺵﻫﺎﻱ ﻓﺮﺍﻭﺍﻥ‪ ،‬ﺗﺎ ﻛﻨﻮﻥ ﻛﺴﻲ‬
‫ﻧﺘﻮﺍﻧﺴﺘﻪ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﺿﻌﻒ ﺣﻴﺎﺗﻲ ﺩﺭ ‪ DES‬ﭘﻴﺪﺍ ﻛﻨﺪ‪.‬‬
‫ﻧﮕﺮﺍﻧﻲ ﺟﺪﻱﺗﺮ ﻣﺮﺑﻮﻁ ﺑﻪ ﻃﻮﻝ ﻛﻠﻴﺪ ﺍﺳﺖ‪ .‬ﺑﺎ ﻛﻠﻴﺪﻱ ﺑﺎ ﻃﻮﻝ ‪ ۵۶‬ﺑﻴﺖ‪ ،‬ﺗﻌﺪﺍﺩ ‪ ۲۵۶‬ﻛﻠﻴﺪ ﻣﻤﻜﻦ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﺗﻘﺮﻳﺒﺎﹰ‬
‫‪ ۷/۲ × ۱۰۱۶‬ﻛﻠﻴﺪ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺩﺭ ﺻﻮﺭﺕ ﻇﺎﻫﺮ‪ ،‬ﻳﻚ ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ ﻏﻴﺮﻋﻤﻠﻲ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺑﺎ ﻓﺮﺽ ﺍﻳﻨﻜﻪ ﺑﻄﻮﺭ ﻣﺘﻮﺳﻂ‬
‫ﻧﺼﻒ ﻓﻀﺎﻱ ﻛﻠﻴﺪ ﺭﺍ ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ﻳﺎﻓﺘﻦ ﺁﻥ ﺟﺴﺘﺠﻮ ﻛﺮﺩ‪ ،‬ﺍﮔﺮ ﻗﺮﺍﺭ ﺑﺎﺷﺪ ﻳﻚ ﻣﺎﺷﻴﻦ ﺗﻨﻬﺎ ﻛﻪ ﺩﺭ ﻫﺮ ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ ﻳﻚ ﻓﻘﺮﻩ‬
‫ﺭﻣﺰﮔﺸﺎﻳﻲ ‪ DES‬ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻴﺪﻫﺪ ﺑﻜﺎﺭﮔﺮﻓﺘﻪ ﺷﻮﺩ‪ ،‬ﺑﻴﺶ ﺍﺯ ﻫﺰﺍﺭﺳﺎﻝ ﻃﻮﻝ ﺧﻮﺍﻫﺪ ﻛﺸﻴﺪ ﺗﺎ ﺭﻣﺰ ﺷﻜﺴﺘﻪ ﺷﻮﺩ )ﺟﺪﻭﻝ ‪ ۲-۲‬ﺭﺍ‬
‫ﻣﻼﺣﻈﻪ ﻛﻨﻴﺪ(‪.‬‬
‫ﺍﻣﺎ ﻓﺮﺽ ﻳﻚ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ ﻫﺮ ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ ﺑﻴﺶ ﺍﺯ ﺣﺪ‪ ،‬ﻣﺤﺎﻓﻈﻪﻛﺎﺭﺍﻧﻪ ﺍﺳﺖ‪ .‬ﺑﺎﻻﺧﺮﻩ ﻭ ﺑﻄﻮﺭ ﻗﻄﻌﻲ ﺩﺭ ﻣﺎﻩ ﺟﻮﻻﻱ ﺳﺎﻝ‬
‫‪ ۱۹۹۸‬ﺍﺛﺒﺎﺕ ﮔﺮﺩﻳﺪ ﻛﻪ ‪ DES‬ﻧﺎﺍﻣﻦ ﺍﺳﺖ‪ .‬ﺩﻟﻴﻞ ﺍﻣﺮ ﺍﻳﻦ ﺑﻮﺩ ﻛﻪ )‪ Electronic Frontier Foundation (EFF‬ﺍﻋﻼﻡ ﻛﺮﺩ‬
‫ﻛﻪ ﺭﻣﺰ ﻳﻚ ‪ DES‬ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻣﺎﺷﻴﻦ ﻣﺨﺼﻮﺹ ”‪ “DES cracker‬ﻛﻪ ﺑﺎ ﻫﺰﻳﻨﺔ ﻛﻤﺘﺮ ﺍﺯ ‪ ۲۵۰,۰۰۰‬ﺩﻻﺭ ﺳﺎﺧﺘﻪ ﺷﺪﻩ‬
‫ﺍﺳﺖ‪ ،‬ﺷﻜﺴﺘﻪ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺣﻤﻠﻪ ﻛﻤﺘﺮ ﺍﺯ ﺳﻪ ﺭﻭﺯ ﻃﻮﻝ ﻛﺸﻴﺪﻩ ﺑﻮﺩ‪ EFF .‬ﺗﻮﺻﻴﻒ ﻣﻔﺼﻠﻲ ﺍﺯ ﻣﺎﺷﻴﻦ ﻣﺰﺑﻮﺭ ﺭﺍ ﻣﻨﺘﺸﺮ ﻧﻤﻮﺩﻩ ﺍﺳﺖ ﺗﺎ‬
‫ﺩﻳﮕﺮﺍﻥ ﻧﻴﺰ ﺑﺘﻮﺍﻧﻨﺪ ﺭﻣﺰﺷﻜﻦ ﺧﻮﺩ ﺭﺍ ﺑﺴﺎﺯﻧﺪ ]‪ [EFF98‬ﻭ ﺍﻟﺒﺘﻪ ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﺍﻳﻨﻜﻪ ﺑﺎ ﺍﻓﺰﺍﻳﺶ ﺳﺮﻋﺖ‪ ،‬ﻗﻴﻤﺖ ﺳﺨﺖﺍﻓﺰﺍﺭﻫﺎ ﭘﺎﺋﻴﻦ‬
‫ﻣﻲﺁﻳﺪ‪ DES ،‬ﺑﻄﻮﺭ ﺿﻤﻨﻲ ﺑﻲﺍﺭﺯﺵ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﻣﻬﻢ ﺍﺳﺖ ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﺩﺭ ﺣﻤﻠﺔ ﺟﺴﺘﺠﻮﻱ ﻛﻠﻴﺪ‪ ،‬ﻧﻜﺎﺕ ﻣﻬﻢﺗﺮﻱ ﻧﻴﺰ ﺳﻮﺍﻱ ﺟﺴﺘﺠﻮﻱ ﻫﻤﺔ ﻛﻠﻴﺪﻫﺎ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺑﻐﻴﺮ ﺍﺯ‬
‫ﻣﻮﺭﺩﻱ ﻛﻪ ﻭﺍﻗﻌﺎﹰ ﻳﻚ ﻣﺘﻦ ﺳﺎﺩﻩ ﺩﺭ ﺩﺳﺘﺮﺱ ﺑﺎﺷﺪ‪ ،‬ﻳﻚ ﺗﺤﻠﻴﻞﮔﺮ ﺑﺎﻳﺴﺘﻲ ﻳﻚ ﻣﺘﻦ ﺳﺎﺩﻩ ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﻣﺘﻦ ﺳﺎﺩﻩ ﺗﺸﺨﻴﺺ ﺩﻫﺪ‪ .‬ﺍﮔﺮ‬
‫ﭘﻴﺎﻡ ﺻﺮﻓﺎﹰ ﻳﻚ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﻪ ﺯﺑﺎﻥ ﺍﻧﮕﻠﻴﺴﻲ ﺑﺎﺷﺪ ﺩﺭ ﺍﻳﻦ ﺻﻮﺭﺕ ﻧﺘﻴﺠﻪ ﺑﻪ ﺳﻬﻮﻟﺖ ﺍﺳﺘﺨﺮﺍﺝ ﺧﻮﺍﻫﺪ ﺷﺪ‪ ،‬ﺍﮔﺮﭼﻪ ﻭﻇﻴﻔﺔ ﺷﻨﺎﺧﺖ‬
‫ﺯﺑﺎﻥ ﺍﻧﮕﻴﺴﻲ ﺭﺍ ﺑﺎﻳﺪ ﺧﻮﺩﻛﺎﺭ ﻧﻤﻮﺩ‪ .‬ﺍﮔﺮ ﻣﺘﻦ ﭘﻴﺎﻡ ﻗﺒﻞ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻓﺸﺮﺩﻩ ﺷﺪﻩ ﺑﺎﺷﺪ‪ ،‬ﺷﻨﺎﺧﺖ ﺁﻥ ﺩﺷﻮﺍﺭﺗﺮ ﺧﻮﺍﻫﺪ ﺷﺪ ﻭ ﺍﮔﺮ ﭘﻴﺎﻡ‬
‫ﻧﻤﻮﻧﺔ ﻋﺎﻡﺗﺮﻱ ﺍﺯ ﺩﻳﺘﺎ‪ ،‬ﻫﻤﺎﻧﻨﺪ ﻳﻚ ﻓﺎﻳﻞ ﻋﺪﺩﻱ ﺑﻮﺩﻩ ﻭ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻫﻢ ﺷﺪﻩ ﺑﺎﺷﺪ‪ ،‬ﻣﺸﻜﻞ ﺗﺤﻠﻴﻞ ﺧﻮﺩﻛﺎﺭ ﺁﻥ ﺑﺎﺯﻫﻢ ﭘﻴﭽﻴﺪﻩﺗﺮ‬
‫ﺧﻮﺍﻫﺪ ﮔﺮﺩﻳﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﺮﺍﻱ ﻓﺮﺍﻫﻢﺁﻭﺭﺩﻥ ﺭﻭﺵ ﻫﻤﻪ ﺟﺎﻧﺒﻪ‪ ،‬ﻣﻘﺪﺍﺭﻱ ﺩﺍﻧﺶ ﺩﺭ ﻣﻮﺭﺩ ﻣﺘﻦ ﺳﺎﺩﻩ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺑﻮﺩﻩ ﻭ ﻫﻤﭽﻨﻴﻦ ﻻﺯﻡ‬
‫ﺍﺳﺖ ﺗﺎ ﻭﺳﻴﻠﻪﺍﻱ ﺑﺮﺍﻱ ﺗﻤﻴﺰﺩﺍﺩﻥ ﻣﺘﻦ ﺳﺎﺩﻩ ﺍﺯ ﻳﻚ ﻣﺘﻦ ﺑﻲﻣﻌﻨﻲ ﺑﺼﻮﺭﺕ ﺧﻮﺩﻛﺎﺭ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺭﻭﺵ ‪ EFF‬ﺍﻳﻦ ﻣﻘﻮﻟﻪ ﺭﺍ‬
‫ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﻭ ﻫﻤﭽﻨﻴﻦ ﺗﻜﻨﻴﻚﻫﺎﻱ ﺧﻮﺩﻛﺎﺭﻱ ﺭﺍ ﻛﻪ ﺩﺭ ﺑﺮﺧﻲ ﺯﻣﻴﻨﻪﻫﺎ ﻣﺆﺛﺮﻧﺪ‪ ،‬ﻣﻌﺮﻓﻲ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻳﻚ ﻧﻜﺘﺔ ﻧﻬﺎﺋﻲ‪ :‬ﺍﮔﺮ ﺗﻨﻬﺎ ﻓﺮﻡ ﻣﻤﻜﻦ ﺣﻤﻠﻪ ﻧﺴﺒﺖ ﺑﻪ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺭﻭﺵ ﻣﻘﺎﺑﻠﻪ ﺑﺎ‬
‫ﺁﻥ ﻛﺎﻣﻼﹰ ﺭﻭﺷﻦ ﺑﻮﺩﻩ ﻭ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪﻫﺎﻱ ﻃﻮﻻﻧﻲﺗﺮﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻛﻪ ﺍﻳﺪﻩﺍﻱ ﻧﺴﺒﺖ ﺑﻪ ﺍﻧﺪﺍﺯﺓ ﻛﻠﻴﺪ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﭘﻴﺪﺍ ﻛﻨﻴﻢ‪،‬‬
‫ﺍﺟﺎﺯﻩ ﺩﻫﻴﺪ ﺗﺎ ﺍﺯ ﺭﻣﺰﺷﻜﻦ ‪ EFF‬ﺑﺮﺍﻱ ﺗﺨﻤﻴﻦ ﺍﻣﺮ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﺋﻴﻢ‪ EFF cracker .‬ﻳﻚ ﻧﻤﻮﻧﺔ ﻣﻨﺤﺼﺮﺑﻔﺮﺩ ﺑﻮﺩﻩ ﻭ ﻣﺎ ﻣﻲﺗﻮﺍﻧﻴﻢ‬
‫ﻓﺮﺽ ﻛﻨﻴﻢ ﻛﻪ ﺑﺎ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺍﻣﺮﻭﺯ‪ ،‬ﺳﺎﺧﺖ ﻳﻚ ﻣﺎﺷﻴﻦ ﺳﺮﻳﻊﺗﺮ ﻣﻘﺮﻭﻥ ﺑﺼﺮﻓﻪﺗﺮ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﻓﺮﺽ ﻛﻨﻴﻢ ﻛﻪ ﻳﻚ ﺭﻣﺰﺷﻜﻦ ﺑﺘﻮﺍﻧﺪ‬
‫ﺩﺭ ﻫﺮ ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ ﻳﻚ ﻣﻴﻠﻴﻮﻥ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﻧﺠﺎﻡ ﺩﻫﺪ‪ ،‬ﻛﻪ ﻧﺮﺧﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺟﺪﻭﻝ ‪ ۲-۲‬ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺁﻧﮕﺎﻩ ﺗﻘﺮﻳﺒﺎﹰ‬
‫‪ ۱۰‬ﺳﺎﻋﺖ ﻃﻮﻝ ﺧﻮﺍﻫﺪ ﻛﺸﻴﺪ ﺗﺎ ﻳﻚ ﺭﻣﺰ ‪ DES‬ﺷﻜﺴﺘﻪ ﺷﻮﺩ‪ .‬ﺳﺮﻋﺖ ﺍﻳﻦ ﺭﻣﺰﺷﻜﻨﻲ ﺗﻘﺮﻳﺒﺎﹰ ‪ ۷‬ﺑﺮﺍﺑﺮ ﺑﻴﺸﺘﺮ ﺍﺯ ﻧﺘﻴﺠﺔ ‪ EFF‬ﺍﺳﺖ‪.‬‬
‫ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻳﻦ ﻧﺮﺥ‪ ،‬ﺷﻜﻞ ‪ ۲-۳‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﭼﻘﺪﺭ ﻃﻮﻝ ﺧﻮﺍﻫﺪ ﻛﺸﻴﺪ ﺗﺎ ﺍﻟﮕﻮﺭﻳﺘﻤﻲ ﺑﺎ ﻓﺮﻡ ‪ DES‬ﺭﺍ ﺑﺮﺣﺴﺐ ﺗﺎﺑﻌﻲ ﺍﺯ‬
‫ﺍﻧﺪﺍﺯﺓ ﻛﻠﻴﺪ ﺷﻜﺴﺖ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﺑﺮﺍﻱ ﻳﻚ ﻛﻠﻴﺪ ‪ -۱۲۸‬ﺑﻴﺘﻲ‪ ،‬ﻛﻪ ﺩﺭ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻓﻌﻠﻲ ﻣﺮﺳﻮﻡ ﺍﺳﺖ‪ ،‬ﺑﻴﺶ ﺍﺯ ‪ ۱۰۱۸‬ﺳﺎﻝ ﻃﻮﻝ‬
‫ﺧﻮﺍﻫﺪ ﻛﺸﻴﺪ ﺗﺎ ﺑﺘﻮﺍﻥ ﺭﻣﺰﻱ ﺭﺍ‪ ،‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﺷﻜﻦ ‪ EFF‬ﺷﻜﺴﺖ‪ .‬ﺣﺘﻲ ﺍﮔﺮ ﺑﺘﻮﺍﻥ ﺳﺮﻋﺖ ﺭﻣﺰﺷﻜﻦ ﺭﺍ ﺑﺎ ﻓﺎﻛﺘﻮﺭ ﻳﻚ ﺗﺮﻳﻠﻴﻮﻥ‬
‫)‪ (۱۰۱۲‬ﺍﻓﺰﺍﻳﺶ ﺩﺍﺩ‪ ،‬ﺑﺎﺯﻫﻢ ﻳﻚ ﻣﻴﻠﻴﻮﻥ ﺳﺎﻝ ﻃﻮﻝ ﺧﻮﺍﻫﺪ ﻛﺸﻴﺪ ﺗﺎ ﺭﻣﺰ ﺷﻜﺴﺘﻪ ﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻳﻚ ﻛﻠﻴﺪ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﺩﺭ ﺍﻟﮕﻮﺭﻳﺘﻤﻲ ﻛﻪ ﺩﺭ ﻣﻘﺎﺑﻞ ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ ﺷﻜﺴﺖﻧﺎﭘﺬﻳﺮ ﺑﺎﺷﺪ‪ ،‬ﻳﻚ ﺍﻧﺘﺨﺎﺏ ﺗﻀﻤﻴﻦ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﺩﻭﻡ‬ ‫‪ ٥٠‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪۱۰۴۴‬‬
‫‪۱۰۴۰‬‬
‫‪۱۰۳۶‬‬
‫‪۱۰۳۲‬‬
‫•‬
‫ﺳﺎﻝﻫﺎﺋﻲ ﻛﻪ ﻃﻮﻝ ﻣﻲﻛﺸﺪ ﺗﺎ ﺭﻣﺰ ﺑﺸﻜﻨﺪ‬
‫‪۱۰۲۸‬‬
‫‪۱۰۲۴‬‬
‫‪۱۰۲۰‬‬
‫•‬
‫‪۱۰۱۶‬‬
‫‪۱۰۱۲‬‬
‫‪۱۰۸‬‬
‫‪۱۰۴‬‬
‫‪۱۰۰‬‬
‫•‬
‫‪۱۰-۴‬‬
‫ﻃﻮﻝ ﻛﻠﻴﺪ )ﺑﺮﺣﺴﺐ ﺑﻴﺖ (‬
‫‪۵۶‬‬ ‫‪۱۰۰‬‬ ‫‪۱۲۸‬‬ ‫‪۱۵۰‬‬ ‫‪۱۶۸‬‬ ‫‪۲۰۰‬‬
‫ﺩﺭ (ﻫﺮ ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ(‬ ‫ﺭﻣﺰﮔﺸﺎﺋﻲ‬ ‫‪۱۰‬‬‫ﺟﺪﻭﻝ ‪ ۲-۳‬ﺯﻣﺎﻥ ﺷﻜﺴﺘﻦ ﻳﻚ ﺭﻣﺰ ) ﺑﺎ ﻓﺮﺽ ‪۶‬‬
‫ﻃﻮﻝ ﻛﻠﻴﺪ ) ﺑﻴﺖ‬
‫ﺷﻜﻞ ‪ ۲-۳‬ﺯﻣﺎﻥ ﺷﻜﺴﺘﻦ ﻳﻚ ﺭﻣﺰ ) ﺑﺎ ﻓﺮﺽ ‪ ۱۰۶‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺩﺭ ﻫﺮ ﻣﻴﻜﺮﻭﺛﺎﻧﻴﻪ(‬
‫‪Triple DES‬‬
‫)‪ ،Triple DES (3DES‬ﺍﻭﻟﻴﻦ ﺑﺎﺭ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۸۵‬ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺩﺭﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺎﻟﻲ‪ ،‬ﺑﺎ ﻧﺎﻡ ‪ X9.17‬ﺩﺭ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ‬
‫‪ ANSI‬ﺛﺒﺖ ﮔﺮﺩﻳﺪ‪ 3DES .‬ﺑﺎ ﺍﻧﺘﺸﺎﺭ ‪ FIPS PUB 46-3‬ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۹‬ﺑﻌﻨﻮﺍﻥ ﺑﺨﺸﻲ ﺍﺯ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻳﺘﺎ )‪(DES‬‬
‫ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪ‪.‬‬
‫‪ 3DES‬ﺍﺯ ﺳﻪ ﻛﻠﻴﺪ ﻭ ﺳﻪ ﺑﺎﺭ ﺍﺟﺮﺍﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ DES‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺗﺎﺑﻊ ﺍﺯ ﻳﻚ ﺩﻧﺒﺎﻟﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ -‬ﺭﻣﺰﮔﺸﺎﺋﻲ‪-‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ )‪ (EDE‬ﺗﺒﻌﻴﺖ ﻣﻲﻛﻨﺪ)ﺷﻜﻞ ‪۲-۴‬ﺍﻟﻒ(‪:‬‬
‫))) ‪C = E(K3, D(K2, E(K1, P‬‬

‫ﻛﻪ ﺩﺭ ﺁﻥ‬
‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ) ‪C = ( ciphertext‬‬
‫) ‪P = (plaintext‬‬ ‫ﻣﺘﻦ ﺳﺎﺩﻩ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ‪ X‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ‪E [K, X] = K‬‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ‪ Y‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ‪D [K, Y] = K‬‬
‫‪٥١‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﺴﺎﺩﮔﻲ ﻫﻤﺎﻥ ﻋﻤﻠﻴﺎﺕ ﻗﺒﻞ ﺍﺳﺖ ﻛﻪ ﺗﺮﺗﻴﺐ ﻛﻠﻴﺪﻫﺎ ﺩﺭ ﺁﻥ ﻋﻮﺽ ﺷﺪﻩ ﺍﺳﺖ) ﺷﻜﻞ ‪۲-۴‬ﺏ(‪:‬‬
‫)))‪P = D(K1, E(K2, D(K3, C‬‬
‫ﺍﺯﻧﻈﺮ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﻫﻴﭻ ﻭﻳﮋﮔﻲ ﺧﺎﺻﻲ ﺩﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﺮﺣﻠﺔ ﺩﻭﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪ 3DES‬ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ‪ .‬ﺗﻨﻬﺎ ﺣﺴﻦ ﺁﻥ‬
‫ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ ‪ 3DES‬ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺩﺍﺩﻩﻫﺎﺋﻲ ﺭﺍ ﻛﻪ ﺑﺘﻮﺳﻂ ﻓﺮﻡ ﻗﺪﻳﻤﻲ ‪ DES‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺑﻮﺩﻧﺪ‪ ،‬ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫ﻧﻤﺎﻳﻨﺪ‪:‬‬
‫]‪C = E(K1, D(K1, E(K1, P))) = E[K, P‬‬
‫ﺑﺎ ﺳﻪ ﻛﻠﻴﺪ ﻣﺘﻤﺎﻳﺰ‪ 3DES ،‬ﺩﺍﺭﺍﻱ ﻛﻠﻴﺪﻱ ﺑﺎ ﻃﻮﻝ ﻣﺆﺛﺮ ‪ ۱۶۸‬ﺑﻴﺖ ﺍﺳﺖ‪ FIPS 46-3 .‬ﻫﻤﭽﻨﻴﻦ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺩﻭ ﻛﻠﻴﺪ‪،‬‬
‫‪ ،K1 = K3‬ﺭﺍ ﺍﺟﺎﺯﻩ ﻣﻴﺪﻫﺪ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﻃﻮﻝ ﻛﻠﻴﺪ ‪ ۱۱۲‬ﺑﻴﺖ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ FIPS 46-3 .‬ﺷﺎﻣﻞ ﺳﻪ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻞ ﺯﻳﺮ ﺑﺮﺍﻱ‬
‫‪ 3DES‬ﺍﺳﺖ‪:‬‬
‫• ‪ 3DES‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻣﻨﺘﺨﺐ ﻭ ﺗﺄﺋﻴﺪﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪ FIPS‬ﺍﺳﺖ‪.‬‬

‫• ‪ DES‬ﺍﻭﻟﻴﻪ ﻛﻪ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ‪ -۵۶‬ﺑﻴﺘﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﺗﻨﻬﺎ ﺩﺭ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺳﻴﺴﺘﻢﻫﺎﺋﻲ ﻛﻪ ﻭﺍﺭﺙ ﺁﻥ ﻫﺴﺘﻴﻢ ﻣﺠﺎﺯ‬
‫ﻣﻲﺑﺎﺷﺪ‪ .‬ﺳﺎﺧﺘﺎﺭﻫﺎﻱ ﺟﺪﻳﺪ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ‪ 3DES‬ﺣﻤﺎﻳﺖ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫• ﺗﻮﺻﻴﻪ ﻣﻴﺸﻮﺩ ﻛﻪ ﺳﺎﺯﻣﺎﻥﻫﺎﻱ ﺩﻭﻟﺘﻲ‪ ،‬ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﻮﺭﻭﺛﻲ ‪ DES‬ﺭﺍ ﺑﺎ ‪ 3DES‬ﺗﻌﻮﻳﺾ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫• ﭘﻴﺶﺑﻴﻨﻲ ﻣﻴﺸﻮﺩ ﻛﻪ ‪ 3DES‬ﻭ ‪ AES‬ﺩﺭ ﻛﻨﺎﺭ ﻫﻢ‪ ،‬ﺑﻌﻨﻮﺍﻥ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﭘﺬﻳﺮﻓﺘﻪ ﺷﺪﺓ ‪ ،FIPS‬ﻫﻤﺰﻳﺴﺘﻲ ﺩﺍﺷﺘﻪ ﻭ ﺩﺭ‬
‫ﻃﻮﻝ ﺯﻣﺎﻥ ﺑﺘﺪﺭﻳﺞ ‪ 3DES‬ﺣﺬﻑ ﻭ ‪ AES‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻏﺎﻟﺐ ﺷﻮﺩ‪.‬‬
‫ﺑﺴﻬﻮﻟﺖ ﻣــﻲﺗﻮﺍﻥ ﺩﺭﻳﺎﻓﺖ ﻛﻪ ‪ 3DES‬ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻧﻴﺮﻭﻣﻨﺪ ﺍﺳﺖ‪ .‬ﭼــﻮﻥ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣــﺰﻧﮕﺎﺭﻱ ﺑﺴﺘﺮ ﺁﻥ ‪DEA‬‬
‫)‪ (Data Encryption Algorithm‬ﺍﺳﺖ‪ 3DES ،‬ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﻣﻘﺎﺑﻞ ﺗﻼﺵﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﺸﻒ ﺭﻣﺰ‪ ،‬ﻫﻤﺎﻥ ﺍﺩﻋﺎﻫﺎﻱ ‪DEA‬‬
‫ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ‪ -۱۶۸‬ﺑﻴﺘﻲ‪ ،‬ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ ﺑﻪ ﺁﻥ ﻋﻤﻼﹰ ﻏﻴﺮﻣﻤﻜﻦ ﺍﺳﺖ‪.‬‬
‫ﺑﺎﻻﺧﺮﻩ ﻭ ﺩﺭ ﻧﻬﺎﻳﺖ ﻗﺮﺍﺭ ﺍﺳﺖ ‪ AES‬ﺟﺎﻳﮕﺰﻳﻦ ‪ 3DES‬ﺷﻮﺩ‪ ،‬ﻭﻟﻲ ﺍﻳﻦ ﺗﺤﻮﻝ ﺳﺎﻟﻬﺎ ﻃﻮﻝ ﺧﻮﺍﻫﺪ ﻛﺸﻴﺪ‪ NIST .‬ﭘﻴﺶﺑﻴﻨﻲ‬
‫ﻣﻴﻜﻨﺪ ﻛﻪ ‪ 3DES‬ﺑﺮﺍﻱ ﺁﻳﻨﺪﻩﺍﻱ ﻗﺎﺑﻞ ﭘﻴﺶﺑﻴﻨﻲ‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﻮﻓﻘﻲ ﺑﺎﺷﺪ‪.‬‬
‫‪K1‬‬ ‫‪K2‬‬ ‫‪K3‬‬
‫‪A‬‬ ‫‪B‬‬
‫‪P‬‬ ‫‪E‬‬ ‫‪D‬‬ ‫‪E‬‬ ‫‪C‬‬
‫)ﺍﻟﻒ( ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪K3‬‬ ‫‪K2‬‬ ‫‪K1‬‬
‫‪B‬‬ ‫‪A‬‬
‫‪C‬‬ ‫‪D‬‬ ‫‪E‬‬ ‫‪D‬‬ ‫‪P‬‬
‫)ﺏ( ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫ﺷﻜﻞ ‪Triple DES ۲-۴‬‬

‫ﻓﺼﻞ ﺩﻭﻡ‬ ‫‪ ٥٢‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺸﺮﻓﺘﻪ )‪Advanced Encryption Standard (AES‬‬
‫‪ 3DES‬ﺩﺍﺭﺍﻱ ﺩﻭ ﺟﺎﺫﺑﻪ ﺍﺳﺖ ﻛﻪ ﺍﺳﺘﻔﺎﺩﺓ ﮔﺴﺘﺮﺩﻩ ﺍﺯ ﺁﻥ ﺩﺭ ﭼﻨﺪﺳﺎﻝ ﺁﻳﻨﺪﻩ ﺭﺍ ﺗﻀﻤﻴﻦ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻭﻻﹰ ﺑﺎ ﻃﻮﻝ ﻛﻠﻴﺪ ‪ -۱۶۸‬ﺑﻴﺘﻲ‬
‫ﺧﻮﺩ‪ ،‬ﺑﺮ ﺁﺳﻴﺐﭘﺬﻳﺮﻱﻫﺎﻱ ﻧﺎﺷﻲ ﺍﺯ ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ ﺩﺭ ‪ DEA‬ﻏﻠﺒﻪ ﻣﻲﻛﻨﺪ‪ .‬ﺛﺎﻧﻴﺎﹰ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪ 3DES‬ﻫﻤﺎﻥ ‪DEA‬‬
‫ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﻴﺶ ﺍﺯ ﻫﺮ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻳﮕﺮ ﺩﺭ ﻃﻮﻝ ﺯﻣﺎﻥ ﻣﻮﺭﺩ ﺭﺳﻴﺪﮔﻲ ﺩﻗﻴﻖ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﻭ ﻫﻴﭻ ﻧﻮﻉ‬
‫ﺁﺳﻴﺐﭘﺬﻳﺮﻱ‪ ،‬ﺑﺠﺰ ﻣﻮﺭﺩ ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ‪ ،‬ﺩﺭ ﺁﻥ ﻣﺸﺎﻫﺪﻩ ﻧﺸﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﺩﺭ ﻣﻮﺭﺩ ﻣﻘﺎﻭﻣﺖ ‪ 3DES‬ﺩﺭ ﻣﻘﺎﺑﻞ ﻛﺸﻒ ﺭﻣﺰ‬
‫ﺍﻋﺘﻤﺎﺩ ﺯﻳﺎﺩﻱ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺍﺯ ﺍﻳﻦﺭﻭ ﺍﮔﺮ ﻓﻘﻂ ﻣﺴﺄﻟﺔ ﺍﻣﻨﻴﺖ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﺑﻮﺩ‪ 3DES ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻧﺘﺨﺎﺑﻲ ﻣﻨﺎﺳﺒﻲ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ‬
‫ﻃﻮﻝ ﺩﻫﻪﻫﺎﻱ ﺁﻳﻨﺪﻩ ﺑﺎﻗﻲ ﻣﻲﻣﺎﻧﺪ‪.‬‬
‫ﻣﺸﻜﻞ ﺍﺻﻠﻲ ‪ 3DES‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﺯ ﻧﻈﺮ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻟﹶﺨﺖ ﺍﺳﺖ‪ DEA .‬ﺍﻭﻟﻴﻪ ﺑﺮﺍﻱ ﺗﺠﻬﻴﺰﺍﺕ ﺳﺨﺖﺍﻓﺰﺍﺭﻱ‬
‫ﺳﺎﻝﻫﺎﻱ ﻣﻴﺎﻧﺔ ‪ ۱۹۷۰‬ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺑﻮﺩ ﻭ ﻛﹸﺪ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﺑﻬﺮﻩﻭﺭﻱ ﺭﺍ ﺗﻮﻟﻴﺪ ﻧﻤﻲﻛﻨﺪ‪ 3DES .‬ﻛﻪ ﺳﻪ ﺑﺮﺍﺑﺮ ‪ DES‬ﻋﻤﻠﻴﺎﺕ ﺍﺟﺮﺍﺋﻲ‬
‫ﺩﺍﺭﺩ‪ ،‬ﺣﺘﻤﺎﹰ ﻛﻨﺪﺗﺮ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﻣﺸﻜﻞ ﺩﻭﻡ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ‪ DEA‬ﻭ ‪ 3DES‬ﻫﺮ ﺩﻭ ﺍﺯ ﻳﻚ ﺑﻠﻮﻙ ﺩﻳﺘﺎ ﺑﺎ ﺍﻧﺪﺍﺯﺓ ‪ -۶۴‬ﺑﻴﺖ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﻪ ﺩﻻﻳﻠﻲ ﻛﻪ ﻫﻢ ﻣﺮﺑﻮﻁ ﺑﻪ ﺑﻬﺮﻩﻭﺭﻱ ﻭ ﻫﻢ ﻣﺮﺑﻮﻁ ﺑﻪ ﻣﺴﺎﺋﻞ ﺍﻣﻨﻴﺘﻲ ﻣﻲﺷﻮﺩ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺑﻠﻮﻛﻲ ﺑﺎ ﺍﻧﺪﺍﺯﺓ ﺑﺰﺭﮔﺘﺮ‬
‫ﻣﻄﻠﻮﺏﺗﺮ ﺍﺳﺖ‪.‬‬
‫ﺑﻌﻠﺖ ﺍﻳﻦ ﻣﺸﻜﻼﺕ‪ 3DES ،‬ﺩﺭ ﺩﺭﺍﺯﻣﺪﺕ ﻛﺎﻧﺪﻳﺪﺍﻱ ﻣﻌﻘﻮﻟﻲ ﻧﻴﺴﺖ‪ .‬ﺑﺮﺍﻱ ﺟﺎﻧﺸﻴﻨﻲ ﺁﻥ ﺑﺎ ﺍﻧﺘﺨﺎﺏ ﺑﻬﺘﺮﻱ‪ NIST ،‬ﺩﺭ‬
‫ﺳﺎﻝ ‪ ،۱۹۹۷‬ﻓﺮﺍﺧﻮﺍﻧﻲ ﺑﺮﺍﻱ ﻃﺮﺍﺣﻲ ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺸﺮﻓﺘﻪ )‪ (AES‬ﻣﻨﺘﺸﺮ ﻛﺮﺩ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺩﺍﺭﺍﻱ ﺗﻮﺍﻥ ﺍﻣﻨﻴﺘﻲ ﺑﺮﺍﺑﺮ‬
‫ﻭ ﻳﺎ ﺑﻬﺘﺮ ﺍﺯ ‪ 3DES‬ﻭ ﺑﻬﺮﻩﻭﺭﻱ ﻗﺎﺑﻞ ﻣﻼﺣﻈﻪﺍﻱ ﻣﻲﺑﻮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺑﻴﺎﻥ ﻧﻴﺎﺯﻫﺎﻱ ﻛﻠﻲ‪ NIST ،‬ﻣﺸﺨﺺ ﻧﻤﻮﺩ ﻛﻪ ‪ AES‬ﺑﺎﻳﺴﺘﻲ‬
‫ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ ﺑﺎ ﻃﻮﻝ ﺑﻠﻮﻙ ‪ -۱۲۸‬ﺑﻴﺖ ﺑﻮﺩﻩ ﻭ ﺍﺯ ﻛﻠﻴﺪﻫﺎﺋﻲ ﺑﺎ ﻃﻮﻝ ‪ ،۱۹۲ ،۱۲۸‬ﻭ ‪ ۲۵۶‬ﺑﻴﺖ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻧﻤﺎﻳﺪ‪ .‬ﻧﻜﺎﺕ‬
‫ﻣﻮﺭﺩ ﺍﺭﺯﻳﺎﺑﻲ ﺷﺎﻣﻞ ﺍﻣﻨﻴﺖ‪ ،‬ﺑﻬﺮﻩﻭﺭﻱ ﻣﺤﺎﺳﺒﺎﺗﻲ‪ ،‬ﻧﻴﺎﺯﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺣﺎﻓﻈﻪ‪ ،‬ﺗﻨﺎﺳﺐ ﺳﺨﺖﺍﻓﺰﺍﺭ ﻭ ﻧﺮﻡﺍﻓﺰﺍﺭ ﻭ ﻗﺎﺑﻠﻴﺖ ﺍﻧﻌﻄﺎﻑ‬
‫ﺍﻋﻼﻡ ﮔﺮﺩﻳﺪ‪.‬‬
‫ﺩﺭ ﺍﻭﻟﻴﻦ ﺩﻭﺭ ﺍﺭﺯﻳﺎﺑﻲ‪ ۱۵ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﺯ ﺑﻴﻦ ﭘﻴﺸﻨﻬﺎﺩﻫﺎ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻧﺪ‪ .‬ﺩﺭ ﺩﻭﺭ ﺑﻌﺪﻱ‪ ۵ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﭘﺬﻳﺮﻓﺘﻪ ﺷﺪﻧﺪ‪ .‬ﺑﺎﻻﺧﺮﻩ‬
‫‪ NIST‬ﺍﺭﺯﻳﺎﺑﻲ ﺧﻮﺩ ﺭﺍ ﺑﻪ ﭘﺎﻳﺎﻥ ﺭﺳﺎﻧﺪﻩ ﻭ ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻧﻬﺎﺋﻲ )‪ (FIPS PUB 197‬ﺭﺍ ﺩﺭ ﻧﻮﺍﻣﺒﺮ ﺳﺎﻝ ‪ ۲۰۰۱‬ﻣﻨﺘﺸﺮﻧﻤﻮﺩ‪.‬‬
‫‪ Rijndael‬ﺑﻌﻨﻮﺍﻥ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻧﺘﺨﺎﺑﻲ ‪ AES‬ﭘﺬﻳﺮﻓﺘﻪ ﺷﺪ‪ .‬ﺩﻭ ﭘﮋﻭﻫﺸﮕﺮﻱ ﻛﻪ ‪ Rijndael‬ﺭﺍ ﺗﻬﻴﻪ ﻭ ﺍﺭﺍﺋﻪ ﻛﺮﺩﻧﺪ ﻫﺮ ﺩﻭ ﺭﻣﺰﻧﮕﺎﺭﺍﻧﻲ‬
‫ﺍﺯ ﺑﻠﮋﻳﻚ ﺑﻪ ﻧﺎﻡﻫﺎﻱ ‪ Dr. Joan Daemen‬ﻭ ‪ Dr. Vincent Rijmen‬ﺑﻮﺩﻧﺪ‪.‬‬
‫ﺑﺮﺭﺳﻲ ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫‪ AES‬ﺍﺯ ﻳﻚ ﺑﻠﻮﻙ ﺩﻳﺘﺎ ﺑﺎ ﻃﻮﻝ ‪ ۱۲۸‬ﺑﻴﺖ ﻭ ﻳﻚ ﻛﻠﻴﺪ ﻛﻪ ﻣﻴﺘﻮﺍﻧﺪ ‪ ،۱۹۲ ،۱۲۸‬ﻭ ﻳﺎ ‪ ۲۵۶‬ﺑﻴﺖ ﺑﺎﺷﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ‬
‫ﺍﻳﻦ ﺑﺮﺭﺳﻲ ﻃﻮﻝ ﻛﻠﻴﺪ ﺭﺍ ‪ ۱۲۸‬ﺑﻴﺖ ﻓﺮﺽ ﻣﻲﻛﻨﻴﻢ ﻛﻪ ﺍﺣﺘﻤﺎﻻﹰ ﻳﻜﻲ ﺍﺯ ﭘﺮﺍﺳﺘﻔﺎﺩﻩﺗﺮﻳﻦ ﺁﻧﻬﺎ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﺷﻜﻞ ‪ ۲-۵‬ﺳﺎﺧﺘﺎﺭ ﻛﻠﻲ ‪ AES‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻭﺭﻭﺩﻱ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻳﻚ ﺑﻠﻮﻙ ﻣﻨﻔﺮﺩ‬
‫‪ -۱۲۸‬ﺑﻴﺘﻲ ﺍﺳﺖ‪ .‬ﺩﺭ ‪ ،FIPS PUB 197‬ﺍﻳﻦ ﺑﻠﻮﻙ ﺑﺼﻮﺭﺕ ﻳﻚ ﻣﺎﺗﺮﻳﺲ ﻣﺮﺑﻌﻲ ﺍﺯ ﺑﺎﻳﺖﻫﺎ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺑﻠﻮﻙ ﺩﺭ‬
‫ﺭﺷﺘﺔ ‪ state‬ﻛﭙﻲ ﺷﺪﻩ ﻛﻪ ﺩﺭ ﻫﺮ ﻣﺮﺣﻠﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻳﺎ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺗﻌﺪﻳﻞ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻌﺪ ﺍﺯ ﺁﺧﺮﻳﻦ ﻣﺮﺣﻠﻪ‪ state ،‬ﺩﺭ ﻣﺎﺗﺮﻳﺲ‬
‫ﺧﺮﻭﺟﻲ ﻛﭙﻲ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻄﺮﻳﻖ ﻣﺸﺎﺑﻪ‪ ،‬ﻛﻠﻴﺪ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﺑﺼﻮﺭﺕ ﻳﻚ ﻣﺎﺗﺮﻳﺲ ﻣﺮﺑﻌﻲ ﺍﺯ ﺑﺎﻳﺖﻫﺎ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﻛﻠﻴﺪ ﺳﭙﺲ‬
‫ﺑﺮ ﺍﺳﺎﺱ ﺑﺮﻧﺎﻣﺔ ﻛﻠﻴﺪ)‪ (key schedule‬ﮔﺴﺘﺮﺵ ﻣﻲﻳﺎﺑﺪ‪ .‬ﻫﺮﻛﻠﻤﻪ ﺷﺎﻣﻞ ‪ ۴‬ﺑﺎﻳﺖ ﺑﻮﺩﻩ ﻭ ﻛﻞ ﺑﺮﻧﺎﻣﻪ ﻛﻠﻴﺪ‪ ۴۴ ،‬ﻛﻠﻤﻪ ﺑﺮﺍﻱ ﻳﻚ‬
‫ﻛﻠﻴﺪ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﻧﻈﻢ ﺑﺎﻳﺖﻫﺎ ﺩﺭ ﻳﻚ ﻣﺎﺗﺮﻳﺲ‪ ،‬ﺳﺘﻮﻧﻲ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﺮﺍﻱ ﻣﺜﺎﻝ ﭼﻬﺎﺭ ﺑﺎﻳﺖ ﺍﻭﻝ ﻭﺭﻭﺩﻱ ﻣﺘﻦ‬
‫ﺳﺎﺩﻩ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﺑﻪ ﺭﻣﺰﻧﮕﺎﺭ‪ ،‬ﺍﻭﻟﻴﻦ ﺳﺘﻮﻥ ﻣﺎﺗﺮﻳﺲ ﻭﺭﻭﺩﻱ‪ ،‬ﭼﻬﺎﺭ ﺑﺎﻳﺖ ﺩﻭﻡ ﺳﺘﻮﻥ ﺩﻭﻡ ﻭ ﻏﻴﺮﻩ ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﺪ‪ .‬ﺑﻄﺮﻳﻖ ﻣﺸﺎﺑﻪ‪،‬‬
‫ﺍﻭﻟﻴﻦ ‪ ۴‬ﺑﺎﻳﺖ ﻛﻠﻴﺪ ﮔﺴﺘﺮﺵ ﻳﺎﻓﺘﻪ ﻛﻪ ﻳﻚ ﻛﻠﻤﻪ ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﺪ‪ ،‬ﺍﻭﻟﻴﻦ ﺳﺘﻮﻥ ﻣﺎﺗﺮﻳﺲ ‪ w‬ﺭﺍ ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫‪٥٣‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣﺘﻦ ﺳﺎﺩﻩ‬ ‫ﻛﻠﻴﺪ‬ ‫ﻣﺘﻦ ﺳﺎﺩﻩ‬
‫‪Add round key‬‬ ‫]‪W[0,3‬‬ ‫‪Add round key‬‬
‫‪Round 10‬‬
‫‪Inverse sub bytes‬‬
‫‪Substitute bytes‬‬ ‫‪Expand key‬‬
‫‪Inverse shift rows‬‬
‫‪Round 1‬‬
‫‪Shift rows‬‬
‫‪Mix columns‬‬ ‫‪Inverse mix cols‬‬
‫‪Round 9‬‬
‫‪Substitute bytes‬‬ ‫‪Inverse shift rows‬‬

‫‪Round 9‬‬
‫‪Mix columns‬‬ ‫‪Inverse mix cols‬‬

‫‪lb t‬‬
‫‪Add round key‬‬ ‫‪Add round key‬‬
‫]‪W[36,39‬‬
‫‪Round 1‬‬
‫‪Substitute bytes‬‬
‫‪Inverse shift rows‬‬

‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‬ ‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‬
‫)ﺍﻟﻒ( ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫)ﺏ( ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺭﻣﺰﮔﺸﺎﺋﻲ ‪AES‬‬ ‫ﺷﻜﻞ ‪۲-۵‬‬
‫ﻣﻮﺍﺭﺩ ﺫﻳﻞ‪ ،‬ﻧﻜﺎﺗﻲ ﺩﺭ ﻣﻮﺭﺩ ‪ AES‬ﺭﺍ ﺭﻭﺷﻦ ﻣﻲﺳﺎﺯﺩ‪:‬‬
‫‪ -۱‬ﻳﻜﻲ ﺍﺯﺧﺼﻮﺻﻴﺎﺕ ﻗﺎﺑﻞ ﺗﻮﺟﻪ ﺍﻳﻦ ﺳﺎﺧﺘﺎﺭ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﺳﺎﺧﺘﺎﺭ ‪ Feistel‬ﻧﻴﺴﺖ‪ .‬ﺑﺨﺎﻃﺮ ﺁﻭﺭﻳﺪ ﻛﻪ ﺩﺭ ﺳﺎﺧﺘﺎﺭ‬
‫ﻛﻼﺳﻴﻚ ‪ ،Feistel‬ﻳﻚ ﻧﻴﻤﻪ ﺍﺯ ﺑﻠﻮﻙ ﺩﻳﺘﺎ ﺑﺮﺍﻱ ﺗﻐﻴﻴﺮ ﻧﻴﻤﺔ ﺩﻳﮕﺮ ﺑﻜﺎﺭ ﻣﻴﺮﻓﺖ ﻭ ﺁﻧﮕﺎﻩ ﺩﻭ ﻧﻴﻤﻪ ﺟﺎﻱ ﺧﻮﺩ ﺭﺍ ﻋﻮﺽ‬
‫ﻣﻲﻛﺮﺩﻧﺪ‪ AES .‬ﺍﺯ ﺳﺎﺧﺘﺎﺭ‪ Feistel‬ﺍﺳﺘﻔﺎﺩﻩ ﻧﻜﺮﺩﻩ ﺑﻠﻜﻪ ﺩﺭ ﻫﺮ ﺩُﻭﺭ‪ ،‬ﻛﻞ ﺑﻠﻮﻙ ﺩﻳﺘﺎ ﺭﺍ ﺑﺼﻮﺭﺕ ﻣﻮﺍﺯﻱ ﺑﻜﺎﺭﮔﺮﻓﺘﻪ ﻭ‬
‫ﺟﺎﻳﮕﺰﻳﻨﻲ ﻭ ﺟﺎﺑﺠﺎﺋﻲ ﺭﺍ ﺩﺭ ﺁﻥ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪ -۲‬ﻛﻠﻴﺪﻱ ﻛﻪ ﺩﺭ ﻭﺭﻭﺩﻱ ﻓﺮﺍﻫﻢ ﻣﻴﺸﻮﺩ‪ ،‬ﺑﺼﻮﺭﺕ ﻳﻚ ﺭﺷﺘﺔ ‪ -۴۴‬ﺗﺎﺋﻲ ﺍﺯ ﻛﻠﻤﺎﺕ ‪ ۳۲‬ﺑﻴﺘﻲ ]‪ w[i‬ﮔﺴﺘﺮﺵ ﻣﻲﻳﺎﺑﺪ‪ .‬ﺩﺭ‬
‫ﻫﺮ ﺩُﻭﺭ ‪ ۴‬ﻛﻠﻤﺔ ﻣﺠﺰﺍ )‪ ۱۲۸‬ﺑﻴﺖ ( ﺑﻌﻨﻮﺍﻥ ﻛﻠﻴﺪ ﺩُﻭﺭ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫ﻓﺼﻞ ﺩﻭﻡ‬ ‫‪ ٥٤‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ -۳‬ﺍﺯ ﭼﻬﺎﺭ ﻋﻤﻞ ﻣﺨﺘﻠﻒ ﻛﻪ ﻳﻜﻲ ﺍﺯ ﺁﻧﻬﺎ ﺟﺎﺑﺠﺎﺋﻲ ﻭ ﺳﻪﺗﺎﻱ ﺩﻳﮕﺮ ﺟﺎﻳﮕﺰﻳﻨﻲ ﺍﺳﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪:‬‬
‫ﺑﺎﻳﺖﻫﺎ ﺟﺎﺑﺠﺎ ﺷﻮﻧﺪ‪ :‬ﺍﺯ ﻳﻚ ﺟﺪﻭﻝ ﻛﻪ ‪ S-box‬ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷﻮﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺗﺎ ﺑﺎﻳﺖ ﺑﻪ ﺑﺎﻳﺖ ﺑﻠﻮﻙ ﺭﺍ ﺟﺎﺑﺠﺎ‬ ‫•‬
‫ﻛﻨﺪ‪.‬‬
‫ﺳﻄﺮﻫﺎ ﺷﻴﻔﺖ ﺩﺍﺩﻩ ﺷﻮﻧﺪ‪ :‬ﻳﻚ ﺟﺎﺑﺠﺎﺋﻲ ﺳﺎﺩﻩ ﻛﻪ ﺭﺩﻳﻒ ﺑﻪ ﺭﺩﻳﻒ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪.‬‬ ‫•‬
‫ﺳﺘﻮﻥﻫﺎ ﻣﺨﻠﻮﻁ ﺷﻮﻧﺪ‪ :‬ﻳﻚ ﺟﺎﺑﺠﺎﺋﻲ ﻛﻪ ﻫﺮ ﺑﺎﻳﺖ ﻳﻚ ﺳﺘﻮﻥ ﺭﺍ ﺑﺼﻮﺭﺕ ﺗﺎﺑﻌﻲ ﺍﺯ ﺗﻤﺎﻡ ﺑﺎﻳﺖﻫﺎﻱ ﻫﻤﺎﻥ ﺳﺘﻮﻥ‬ ‫•‬
‫ﺗﻐﻴﻴﺮ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻛﻠﻴﺪ ﺩُﻭﺭ ﺍﺿﺎﻓﻪ ﺷﻮﺩ‪ :‬ﻳﻚ ‪ XOR‬ﺳﺎﺩﻩ ﻛﻪ ﺑﻴﺖﻫﺎﻱ ﺑﻠﻮﻙ ﻓﻌﻠﻲ ﺭﺍ ﺑﺎ ﺑﺨﺸﻲ ﺍﺯ ﻛﻠﻴﺪ ﮔﺴﺘﺮﺵ ﻳﺎﻓﺘﻪ ‪XOR‬‬ ‫•‬
‫ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۴‬ﺳﺎﺧﺘﺎﺭ ﻛﺎﻣﻼﹰ ﺳﺎﺩﻩ ﺍﺳﺖ‪ .‬ﻫﻢ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﻫﻢ ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ‪ ،‬ﺭﻣﺰ ﺑﺎ ﻳﻚ ﻣﺮﺣﻠﻪ ﺍﺿﺎﻓﻪ ﻛﺮﺩﻥ ﻛﻠﻴﺪ ﺩُﻭﺭ‬
‫)‪ (Add Round Key‬ﺷﺮﻭﻉ ﺷﺪﻩ ﻭ ﺑﺪﻧﺒﺎﻝ ﺁﻥ ﺑﺎ ﻧﻪ ﺩُﻭﺭ ﺩﻳﮕﺮ ﻛﻪ ﻫﺮﻛﺪﺍﻡ ﺷﺎﻣﻞ ﭼﻬﺎﺭ ﻣﺮﺣﻠﻪ ﺍﺳﺖ ﺍﺩﺍﻣﻪ ﻳﺎﻓﺘﻪ ﻭ‬
‫ﺩﺭ ﺍﻧﺘﻬﺎ ﺑﺎ ﺳﻪ ﻣﺮﺣﻠﻪ ﺩﺭ ﺩُﻭﺭ ﺩﻫﻢ ﺧﺎﺗﻤﻪ ﻣﻲﻳﺎﺑﺪ‪ .‬ﺷﻜﻞ ‪ ۲-۶‬ﺳﺎﺯﻣﺎﻥ ﻳﻚ ﺩُﻭﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﺎﻣﻞ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪ -۵‬ﺗﻨﻬﺎ ﻣﺮﺣﻠﺔ ‪ Add Round Key‬ﺍﺯ ﻛﻠﻴﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻬﻤﻴﻦ ﺩﻟﻴﻞ ﺭﻣﺰ ﺑﺎ ﻣﺮﺣﻠﺔ ‪ Add Round Key‬ﺷﺮﻭﻉ‬
‫ﻭ ﺧﺎﺗﻤﻪ ﻣﻲﻳﺎﺑﺪ‪ .‬ﻫﺮ ﻣﺮﺣﻠﺔ ﺩﻳﮕﺮ ﺑﺪﻭﻥ ﻧﻴﺎﺯ ﺑﻪ ﻛﻠﻴﺪ ﻗﺎﺑﻞ ﺑﺮﮔﺸﺖ ﺑﻮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﭼﻴﺰﻱ ﺑﻪ ﺍﻣﻨﻴﺖ ﺍﺿﺎﻓﻪ ﻧﻤﻲﻛﻨﺪ‪.‬‬
‫‪ -۶‬ﻣﺮﺣﻠﺔ ‪ Add Round Key‬ﺑﻪﺗﻨﻬﺎﺋﻲ ﻧﻴﺮﻭﻣﻨﺪ ﻧﻴﺴﺖ‪ .‬ﺳﻪ ﻣﺮﺣﻠﺔ ﺩﻳﮕﺮ ﺑﻴﺖﻫﺎ ﺭﺍ ﻣﺨﻠﻮﻁ ﻛﺮﺩﻩ ﻭﻟﻲ ﺧﻮﺩ ﺍﻣﻨﻴﺘﻲ ﺭﺍ‬
‫ﺍﻳﺠﺎﺩ ﻧﻤﻲﻧﻤﺎﻳﻨﺪ‪ ،‬ﺯﻳﺮﺍ ﺍﺯ ﻛﻠﻴﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﻲﻛﻨﻨﺪ‪ .‬ﻣﻴﺘﻮﺍﻥ ﺭﻣﺰ ﺭﺍ ﺑﺼﻮﺭﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪(Add Round Key) XOR‬‬
‫ﻳﻚ ﺑﻠﻮﻙ ﻭ ﭘﺲ ﺍﺯ ﺁﻥ ﺩﺭﻫﻢ ﺭﻳﺨﺘﻦ ﺑﻠﻮﻙ )ﺳﻪ ﻣﺮﺣﻠﺔ ﺩﻳﮕﺮ( ﻭ ﺑﺪﻧﺒﺎﻝ ﺁﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪ XOR‬ﻭ ﻏﻴﺮﻩ ﺩﺭ ﻧﻈﺮ‬
‫ﮔﺮﻓﺖ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﻫﻢ ﺑﻬﺮﻩﻭﺭ ﻭ ﻫﻢ ﺑﻐﺎﻳﺖ ﺍﻣﻦ ﺍﺳﺖ‪.‬‬
‫‪ -۷‬ﻫﺮ ﻣﺮﺣﻠﻪ ﺑﻪ ﺁﺳﺎﻧﻲ ﺑﺮﮔﺸﺖﭘﺬﻳﺮ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻣﺮﺍﺣﻞ ﺟﺎﺑﺠﺎﺋﻲ ﺑﺎﻳﺖ‪ ،‬ﺷﻴﻔﺖ ﺭﺩﻳﻒ‪ ،‬ﻭ ﻣﺨﻠﻮﻁ ﻛﺮﺩﻥ ﺳﺘﻮﻥ‪ ،‬ﻳﻚ ﺗﺎﺑﻊ‬
‫ﻣﻌﻜﻮﺱ ﺩﺭ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻣﺮﺣﻠﺔ ‪ ،Add Round Key‬ﻋﻤﻞ ﻋﻜﺲ ﺑﺎ ‪ XOR‬ﻛﺮﺩﻥ‬
‫ﻫﻤﺎﻥ ﻛﻠﻴﺪ ﺩﻭﺭ ﺑﻪ ﺑﻠﻮﻙ ﺣﺎﺻﻞ ﻣﻲﮔﺮﺩﺩ ﺯﻳﺮﺍ ‪ A⊕A⊕B = B‬ﺍﺳﺖ‪.‬‬
‫‪ -۸‬ﻫﻤﺎﻧﻨﺪ ﺍﻛﺜﺮ ﺭﻣﺰﻫﺎﻱ ﻗﺎﻟﺒﻲ‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﺯ ﻛﻠﻴﺪ ﮔﺴﺘﺮﺵﻳﺎﻓﺘﻪ ﺑﺎ ﻧﻈﻢ ﻣﻌﻜﻮﺱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺷﺒﻴﻪ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﻴﺴﺖ‪ .‬ﺍﻳﻦ ﻧﺘﻴﺠﺔ ﺳﺎﺧﺘﺎﺭ ﺧﺎﺹ ‪ AES‬ﺍﺳﺖ‪.‬‬
‫‪ -۹‬ﻭﻗﺘﻲ ﺭﻭﺷﻦ ﺷﺪ ﻛﻪ ﻫﺮ ﭼﻬﺎﺭ ﻣﺮﺣﻠﻪ ﺑﺎﺯﮔﺸﺖﭘﺬﻳﺮ ﻫﺴﺘﻨﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺗﺄﺋﻴﺪ ﺍﻳﻨﻜﻪ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﺘﻦ ﺳﺎﺩﻩ ﺭﺍ ﺍﺣﻴﺎﺀ ﺧﻮﺍﻫﺪ‬
‫ﻛﺮﺩ‪ ،‬ﺁﺳﺎﻥ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺷﻜﻞ ‪ ۲-۵‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺭﺍ ﺩﺭ ﺩﻭ ﺳﺘﻮﻥ ﻛﻨﺎﺭﻫﻢ ﺑﺎ ﺟﻬﺖﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻧﺸﺎﻥ ﺩﺍﺩﻩ‬
‫ﺍﺳﺖ‪ .‬ﺩﺭ ﻫﺮ ﺳﻄﺢ ﺍﻓﻘﻲ )ﻣﺜﻞ ﺧﻂﭼﻴﻦﻫﺎ ﺩﺭ ﺷﻜﻞ(‪ state ،‬ﺑﺮﺍﻱ ﻫﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﻫﻢ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻳﻜﻲ ﺍﺳﺖ‪.‬‬
‫‪ - ۱۰‬ﺩﻭﺭ ﻧﻬﺎﺋﻲ ﭼﻪ ﺩﺭ ﻋﻤﻞ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﭼﻪ ﺩﺭ ﻋﻤﻞ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻓﻘﻂ ﺩﺍﺭﺍﻱ ﺳﻪ ﻣﺮﺣﻠﻪ ﺍﺳﺖ‪ .‬ﺑﺎﺯﻫﻢ ﺍﻳﻦ ﻧﺘﻴﺠﺔ ﺳﺎﺧﺘﺎﺭ‬
‫ﺧﺎﺹ ‪ AES‬ﺍﺳﺖ ﻭ ﻻﺯﻡ ﺍﺳﺖ ﭼﻨﻴﻦ ﺑﺎﺷﺪ ﺗﺎ ﺭﻣﺰ ﺑﺎﺯﮔﺸﺖﭘﺬﻳﺮ ﺑﺎﺷﺪ‪.‬‬
‫ﺭﻣﺰﻫﺎﻱ ﺩﻧﺒﺎﻟﻪﺍﻱ ﻭ ‪RC4‬‬ ‫‪۲-۳‬‬
‫ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺩﺭ ﻫﺮ ﺯﻣﺎﻥ ﻳﻚ ﺑﻠﻮﻙ ﺍﺯ ﻋﻨﺎﺻﺮ ﻭﺭﻭﺩﻱ ﺭﺍ ﭘﺮﺩﺍﺯﺵ ﻧﻤﻮﺩﻩ ﻭ ﻳﻚ ﺑﻠﻮﻙ ﺧﺮﻭﺟﻲ ﺑـﺮﺍﻱ ﺁﻥ ﺑﻠـﻮﻙ ﻭﺭﻭﺩﻱ ﺗﻮﻟﻴـﺪ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﻳﻚ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ‪ ،‬ﻋﻨﺎﺻﺮ ﻭﺭﻭﺩﻱ ﺭﺍ ﺑﻄﻮﺭ ﭘﻴﻮﺳﺘﻪ ﭘﺮﺩﺍﺯﺵ ﻛﺮﺩﻩ ﻭ ﻫﻤﻴﻨﻄﻮﺭ ﻛـﻪ ﺟﻠـﻮ ﻣـﻲﺭﻭﺩ ﻋﻨـﺼﺮ ﺑـﻪ ﻋﻨـﺼﺮ ﻣـﺘﻦ‬
‫ﺭﻣﺰﺷﺪﻩ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﺍﮔﺮﭼﻪ ﺭﻣﺰﻫﺎﻱ ﻗﺎﻟﺒﻲ ﺑﺴﻴﺎﺭ ﻣﺘﺪﺍﻭﻝﺗﺮﻧﺪ‪ ،‬ﻭﻟﻲ ﺩﺭ ﺑﺮﺧﻲ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻳﻚ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﮔﺰﻳﻨﻪﺍﻱ ﻣﻨﺎﺳﺐﺗـﺮ‬
‫ﺍﺳﺖ‪ .‬ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﺍﻳﻦ ﻛﺎﺭﺑﺮﺩﻫﺎ ﺭﺍ ﺩﺭ ﺑﺨﺶﻫﺎﻱ ﺑﻌﺪﻱ ﻣﻌﺮﻓﻲ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﺑﻪ ﻣﺘﺪﺍﻭﻝﺗﺮﻳﻦ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﻣﺘﻘـﺎﺭﻥ‬
‫ﻳﻌﻨﻲ ‪ RC4‬ﻧﮕﺎﻫﻲ ﻣﻲﺍﻧﺪﺍﺯﻳﻢ‪ .‬ﺍﺑﺘﺪﺍ ﻣﺮﻭﺭﻱ ﺑﺮ ﺳﺎﺧﺘﺎﺭ ﺭﻣﺰﻫﺎﻱ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺩﺍﺷﺘﻪ ﻭ ﺳﭙﺲ ‪ RC4‬ﺭﺍ ﺑﺮﺭﺳﻲ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ‪.‬‬
‫‪٥٥‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪State‬‬
‫‪SubBytes‬‬ ‫‪S‬‬ ‫‪S‬‬ ‫‪S‬‬ ‫‪S‬‬ ‫‪S‬‬ ‫‪S‬‬ ‫‪S‬‬ ‫‪S‬‬ ‫‪S‬‬ ‫‪S‬‬ ‫‪S‬‬ ‫‪S‬‬ ‫‪S‬‬ ‫‪S‬‬ ‫‪S‬‬ ‫‪S‬‬
‫‪State‬‬
‫‪ShiftRow‬‬
‫‪State‬‬
‫‪MixColumn‬‬ ‫‪M‬‬ ‫‪M‬‬ ‫‪M‬‬ ‫‪M‬‬
‫‪State‬‬
‫‪r0‬‬ ‫‪r1‬‬ ‫‪r2‬‬ ‫‪r3‬‬ ‫‪r4‬‬ ‫‪r5‬‬ ‫‪r6‬‬ ‫‪r7‬‬ ‫‪r8‬‬ ‫‪r9‬‬ ‫‪r10‬‬ ‫‪r11 r12‬‬ ‫‪r13‬‬ ‫‪r14‬‬ ‫‪r15‬‬
‫‪Add‬‬
‫⊕‬
‫‪Round Key‬‬ ‫⊕ ⊕ ⊕ ⊕ ⊕ ⊕ ⊕ ⊕ ⊕ ⊕ ⊕ ⊕ ⊕ ⊕ ⊕ ⊕‬
‫‪State‬‬
‫ﺷﻜﻞ ‪ ۲-۶‬ﻳﻚ ﺩّﻭﺭ ﻋﻤﻠﻴﺎﺗﻲ ‪AES‬‬
‫ﺳﺎﺧﺘﺎﺭ ﺭﻣﺰﻫﺎﻱ ﺩﻧﺒﺎﻟﻪﺍﻱ‬

‫ﻳﻚ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﻣﻌﻤﻮﻻﹰ ﻣﺘﻦ ﺳﺎﺩﻩ ﺭﺍ ﺑﺼﻮﺭﺕ ﺑﺎﻳﺖ‪ -‬ﺑﻪ‪ -‬ﺑﺎﻳﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺍﻟﺒﺘﻪ ﻣﻲﺗـﻮﺍﻥ ﺭﻣﺰﻫـﺎﻱ ﺩﻧﺒﺎﻟـﻪﺍﻱ ﺩﻳﮕـﺮﻱ‬
‫ﺧﻠﻖ ﻛﺮﺩ ﻛﻪ ﺩﺍﺩﻩﻫﺎ ﺭﺍ ﺑﺼﻮﺭﺕ ﺑﻴﺖ‪ -‬ﺑﻪ‪ -‬ﺑﻴﺖ ﻭ ﻳﺎ ﺩﺭ ﻭﺍﺣﺪﻫﺎﻱ ﺑﺰﺭﮒﺗﺮ ﺍﺯ ﺑﺎﻳﺖ ﺩﺭ ﻫﺮ ﺯﻣﺎﻥ ﺭﻣﺰﻧﮕـﺎﺭﻱ ﻧﻤﺎﻳـﺪ‪ .‬ﺷـﻜﻞ ‪۲-۷‬‬
‫ﻧﻤﺎﻳﺶﺩﻫﻨﺪﺓ ﺳﺎﺧﺘﺎﺭ ﻳﻚ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﺳﺎﺧﺘﺎﺭ ﻳﻚ ﻛﻠﻴﺪ‪ ،‬ﻭﺭﻭﺩﻱ ﻳﻚ ﺗﻮﻟﻴﺪﻛﻨﻨﺪﺓ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ ﺑﻴﺖﻫﺎ ﺑﻮﺩﻩ ﻛﻪ ﻳﻚ‬
‫ﻓﺼﻞ ﺩﻭﻡ‬ ‫‪ ٥٦‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺩﻧﺒﺎﻟﺔ ‪ -۸‬ﺑﻴﺘﻲ ﻛﻪ ﻇﺎﻫﺮﺍﹰ ﺗﺼﺎﺩﻓﻲ ﺑﻪ ﻧﻈﺮ ﻣﻲﺭﺳﺪ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﺧﺮﻭﺟﻲ ﺗﻮﻟﻴﺪﻛﻨﻨﺪﺓ ﺷـﺒﻪ ﺗـﺼﺎﺩﻓﻲ‪ ،‬ﻛـﻪ ﻳـﻚ ﺩﻧﺒﺎﻟـﺔ ﻛﻠﻴـﺪ‬
‫)‪ ،(keystream‬ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷﻮﺩ ﺑﺎ ﺩﻧﺒﺎﻟﺔ ﻣﺘﻦ ﺳﺎﺩﺓ ﻭﺭﻭﺩﻱ ﺑﺼﻮﺭﺕ ﻳﻚ ﺑﺎﻳﺖ ﺩﺭ ﻫﺮ ﺯﻣﺎﻥ ﻭ ﺑﺼﻮﺭﺕ ﻋﻤﻞ ‪ XOR‬ﺭﻭﻱ ﺑﻴﺖﻫﺎ‬
‫ﺗﺮﻛﻴﺐ ﻣﻲﺷﻮﺩ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ ﺍﮔﺮ ﺑﺎﻳﺖ ﺗﻮﻟﻴﺪﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻣﻮﻟﺪ ‪ 01101100‬ﻭ ﺑﺎﻳﺖ ﻣﺘﻦ ﺳﺎﺩﻩ ‪ 11001100‬ﺑﺎﺷـﺪ‪ ،‬ﺁﻧﮕـﺎﻩ ﺑﺎﻳـﺖ‬
‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﺣﺎﺻﻞ ﭼﻨﻴﻦ ﺍﺳﺖ‪:‬‬
‫ﻣﺘﻦ ﺳﺎﺩﻩ‬ ‫⊕ ‪11001100‬‬
‫ﺩﻧﺒﺎﻟﺔ ﻛﻠﻴﺪ‬ ‫‪01101100‬‬
‫ــــــــــــــــ‬
‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‬ ‫‪10100000‬‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﻧﻴﺎﺯ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻫﻤﺎﻥ ﺭﺩﻳﻒ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ ﺭﺍ ﺩﺍﺭﺩ‪.‬‬
‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‬ ‫⊕ ‪10100000‬‬

‫ﺩﻧﺒﺎﻟﺔ ﻛﻠﻴﺪ‬ ‫‪01101100‬‬
‫ــــــــــــــــ‬
‫‪ 11001100‬ﻣﺘﻦ ﺳﺎﺩﻩ‬
‫]‪ [KUMA97‬ﻣﻼﺣﻈﺎﺕ ﻣﻬﻢ ﺯﻳﺮ ﺩﺭ ﻃﺮﺍﺣﻲ ﻳﻚ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺭﺍ ﺫﻛﺮ ﻛﺮﺩﻩ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﺩﻧﺒﺎﻟﺔ ﺭﻣﺰ ﺑﺎﻳﺴﺘﻲ ﺩﺍﺭﺍﻱ ﺩﻭﺭﺓ ﺗﻨﺎﻭﺏ ﺑﺰﺭﮔﻲ ﺑﺎﺷﺪ‪ .‬ﻳﻚ ﺗﻮﻟﻴﺪﻛﻨﻨﺪﺓ ﺍﻋﺪﺍﺩ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ ﺍﺯ ﺗﺎﺑﻌﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﻛـﻪ‬
‫ﻳﻚ ﺩﻧﺒﺎﻟﺔ ﻳﻘﻴﻨﻲ ﺍﺯ ﺑﻴﺖﻫﺎ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﻛﻪ ﻧﻬﺎﻳﺘﺎﹰ ﺑﻌﺪﺍﺯ ﻣﺪﺗﻲ ﺗﻜﺮﺍﺭ ﻣﻲﺷـﻮﻧﺪ‪ .‬ﻫﺮﭼﻘـﺪﺭ ﺩﻭﺭﺓ ﺗﻨـﺎﻭﺏ ﺍﻳـﻦ ﺗﻜـﺮﺍﺭ‬
‫ﻃﻮﻳﻞﺗﺮ ﺑﺎﺷﺪ‪ ،‬ﻋﻤﻞ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﺳﺨﺖﺗﺮ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫‪ -۲‬ﺩﻧﺒﺎﻟﺔ ﻛﻠﻴﺪ ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﺗﻘﺮﻳﺐ ﺑﺴﻴﺎﺭ ﺧﻮﺏ‪ ،‬ﺧﻮﺍﺹ ﻳﻚ ﺩﻧﺒﺎﻟﺔ ﻋﺪﺩ ﺗﺼﺎﺩﻓﻲ ﻭﺍﻗﻌﻲ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﺗﻘﺮﻳﺒﺎﹰ‬
‫ﺑﺎﻳﺴﺘﻲ ﺗﻌﺪﺍﺩ ‪1‬ﻫﺎ ﻭ ‪0‬ﻫﺎ ﺩﺭ ﺍﻳﻦ ﺩﻧﺒﺎﻟﻪ ﺑﺮﺍﺑﺮ ﺑﺎﺷﻨﺪ‪ .‬ﺍﮔﺮ ﺩﻧﺒﺎﻟﻪ ﻛﻠﻴﺪ ﺑﺼﻮﺭﺕ ﻳﻚ ﺭﺩﻳﻒ ﺍﺯ ﺑﺎﻳﺖﻫـﺎ ﻣـﻮﺭﺩ ﺍﺳـﺘﻔﺎﺩﻩ‬
‫ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﺗﻤﺎﻡ ‪ ۲۵۶‬ﺣﺎﻟﺖ ﻣﻤﻜﻦ ﺑﺎﻳﺴﺘﻲ ﺗﻘﺮﻳﺒﺎﹰ ﺑﺼﻮﺭﺕ ﻣﺴﺎﻭﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ‪ .‬ﻫﺮ ﭼﻘـﺪﺭ ﺩﻧﺒﺎﻟـﺔ‬
‫ﻛﻠﻴﺪ ﺗﺼﺎﺩﻓﻲﺗﺮ ﺑﻨﻈﺮ ﺁﻳﺪ‪ ،‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺗﺼﺎﺩﻓﻲﺗﺮ ﺑﻮﺩﻩ ﻭ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﺳﺨﺖﺗﺮ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﻛﻠﻴﺪ‬ ‫ﻛﻠﻴﺪ‬
‫‪K‬‬ ‫‪K‬‬
‫ﻣﻮﻟﺪ ﺑﺎﻳﺖﻫﺎﻱ‬ ‫ﻣﻮﻟﺪ ﺑﺎﻳﺖﻫﺎﻱ‬

‫ﺷﺒﻪﺗﺼﺎﺩﻓﻲ‬ ‫ﺷﺒﻪﺗﺼﺎﺩﻓﻲ‬
‫ﺩﻧﺒﺎﻟﺔ ﺑﺎﻳﺖﻫﺎﻱ‬ ‫)‪(key stream generator‬‬ ‫)‪(key stream generator‬‬ ‫ﺩﻧﺒﺎﻟﺔ ﺑﺎﻳﺖﻫﺎﻱ‬
‫ﺩﻧﺒﺎﻟﺔ ﺑﺎﻳﺖﻫﺎﻱ‬
‫ﻣﺘﻦ ﺳﺎﺩﻩ‬ ‫ﻣﺘﻦ ﺳﺎﺩﻩ‬
‫‪M‬‬ ‫‪k‬‬ ‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‬ ‫‪k‬‬ ‫‪M‬‬
‫‪+‬‬ ‫‪C‬‬ ‫‪+‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫ﺩﻳﺎﮔﺮﺍﻡ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ‬ ‫ﺷﻜﻞ ‪۲-۷‬‬

‫‪٥٧‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ -۳‬ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﺷﻜﻞ ‪ ۲-۷‬ﻣﻲﺗﻮﺍﻥ ﺩﺭﻳﺎﻓﺖ ﻛﻪ ﺧﺮﻭﺟﻲ ﻳﻚ ﻣﻮﻟﺪ ﺍﻋﺪﺍﺩ ﺷﺒﻪﺗـﺼﺎﺩﻓﻲ ﺑـﻪ ﺍﻧـﺪﺍﺯﺓ ﻛﻠﻴـﺪ ﻭﺭﻭﺩﻱ ﻭﺍﺑـﺴﺘﻪ‬
‫ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺣﻤﻼﺕ ﻫﻤﻪ ﺟﺎﻧﺒﻪ‪ ،‬ﻛﻠﻴﺪ ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﺍﻧﺪﺍﺯﺓ ﻛﺎﻓﻲ ﺑﺰﺭﮒ ﺑﺎﺷﺪ‪ .‬ﻫﻤﺎﻥ ﻣﻼﺣﻈﺎﺗﻲ ﻛﻪ ﺩﺭ ﻣﻮﺭﺩ‬
‫ﺭﻣﺰﻫﺎﻱ ﻗﺎﻟﺒﻲ ﻭﺟﻮﺩ ﺩﺍﺷﺖ ﺩﺭ ﺍﻳﻨﺠﺎ ﻧﻴﺰ ﺻﺎﺩﻕﺍﻧﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﺎ ﺗﻜﻨﻮﻟﻮﮊﻱ ﻛﻨﻮﻧﻲ‪ ،‬ﻛﻠﻴﺪﻱ ﺑﺎ ﻃﻮﻝ ﺣـﺪﺍﻗﻞ ‪ ۱۲۸‬ﺑﻴـﺖ‬
‫ﻣﻨﺎﺳﺐ ﺑﻨﻈﺮ ﻣﻲﺭﺳﺪ‪.‬‬
‫ﺑﺎ ﻳﻚ ﻣﻮﻟﺪ ﺍﻋﺪﺍﺩ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ ﺑﺎ ﻃﺮﺡ ﻣﻨﺎﺳﺐ‪ ،‬ﻳﻚ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻬﻤﺎﻥ ﺍﻧﺪﺍﺯﺓ ﻳﻚ ﺭﻣﺰ ﻗـﺎﻟﺒﻲ‪ ،‬ﺑـﺎ ﻫﻤـﺎﻥ ﻃـﻮﻝ‬
‫ﻛﻠﻴﺪ‪ ،‬ﺍﻣﻦ ﺑﺎﺷﺪ‪ .‬ﻣﺰﻳﺖ ﺍﺻﻠﻲ ﻳﻚ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺭﻣﺰﻫﺎﻱ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺗﻘﺮﻳﺒﺎﹰ ﻫﻤﻴﺸﻪ ﺳﺮﻳﻊﺗﺮ ﺑﻮﺩﻩ ﻭ ﻧﺴﺒﺖ ﺑﻪ ﺭﻣﺰﻫـﺎﻱ‬
‫ﻗﺎﻟﺒﻲ ﺍﺯ ﺣﺠﻢ ﺑﺮﻧﺎﻣﺔ ﻛﻤﺘﺮﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺭﻣﺰ ‪ RC4‬ﻛﻪ ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﺗﺸﺮﻳﺢ ﺷﺪﻩ ﺍﺳﺖ ﺗﻨﻬﺎ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎ ﭼﻨـﺪ ﺧـﻂ ﺑﺮﻧﺎﻣـﺔ‬
‫ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺷﻮﺩ‪ .‬ﺟﺪﻭﻝ ‪ ۲-۳‬ﻛﻪ ﺍﺯ ﺍﻃﻼﻋﺎﺕ ]‪ [RESC01‬ﺍﻗﺘﺒﺎﺱ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺯﻣﺎﻥ ﺍﺟـﺮﺍﻱ ‪ RC4‬ﺭﺍ ﺑـﺎ ﺳـﻪ ﺭﻣـﺰ‬
‫ﻗﺎﻟﺒﻲ ﻣﻌﺮﻭﻑ ﻣﻘﺎﻳﺴﻪ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺣﺴﻦ ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺩﺭ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺷﻤﺎ ﻣﻲﺗﻮﺍﻧﻴﺪ ﺍﺯ ﻛﻠﻴﺪ ﺭﻣﺰ ﺑﺎﺭﻫﺎ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﻴـﺪ‪ .‬ﺩﺭ ﺭﻣـﺰ‬
‫ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﮔﺮ ﺩﻭ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﻳﻜﺴﺎﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﻧﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﻏﺎﻟﺒﺎﹰ ﺑﺴﻴﺎﺭ ﺁﺳﺎﻥ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ]‪.[DAWS96‬‬
‫ﺍﮔﺮ ﺩﻭ ﺩﻧﺒﺎﻟﺔ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﺎ ﻫﻢ ‪ XOR‬ﺷﻮﻧﺪ‪ ،‬ﻧﺘﻴﺠﻪ ﺑﺎ ‪ XOR‬ﺩﻭ ﻣﺘﻦ ﺳﺎﺩﺓ ﻧﻈﻴﺮ ﺁﻧﻬﺎ ﻳﻜﺴﺎﻥ ﺧﻮﺍﻫﺪﺑﻮﺩ‪ .‬ﺣﺎﻝ ﺍﮔﺮ ﻣـﺘﻦ ﺳـﺎﺩﻩ‪،‬‬
‫ﺩﻧﺒﺎﻟﺔ ﻛﻮﺗﺎﻫﻲ ﻫﻤﺎﻧﻨﺪ ﺷﻤﺎﺭﺓ ﻛﺎﺭﺕﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﻱ ﻭ ﻳﺎ ﺭﺩﻳﻒﻫﺎﻱ ﺩﻳﮕﺮﻱ ﺑﺎ ﺧﻮﺍﺹ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺑﺎﺷﻨﺪ‪ ،‬ﻋﻤﻞ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﻣﻤﻜـﻦ‬
‫ﺍﺳﺖ ﻣﻮﻓﻘﻴﺖﺁﻣﻴﺰ ﺑﺎﺷﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﻫﻤﺎﻧﻨﺪ ﻛﺎﻧﺎﻝﻫﺎﻱ ﻣﺨﺎﺑﺮﺓ ﺩﺍﺩﻩﻫﺎ ﻭ ﻳﺎ ﻣﺮﻭﺭ ﻟﻴﻨﻚﻫﺎﻱ ﻭِﺏ ﻛﻪ ﻧﻴﺎﺯ ﺑﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ /‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺩﻧﺒﺎﻟﻪﻫـﺎﻱ‬
‫ﺩﻳﺘﺎ ﺩﺍﺭﻧﺪ‪ ،‬ﻳﻚ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﻣﻲﺗﻮﺍﻧﺪ ﮔﺰﻳﻨﺔ ﺑﻬﺘﺮﻱ ﺑﺎﺷﺪ‪ .‬ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﻫﻤﭽﻮﻥ ﺍﻧﺘﻘﺎﻝ ﻓﺎﻳﻞ‪ ،‬ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻭ ﭘﺎﻳﮕـﺎﻩ ﺩﺍﺩﻩ‬
‫ﻛﻪ ﺑﺎ ﺑﻠﻮﻙﻫﺎﻱ ﺩﻳﺘﺎ ﺳﺮﻭﻛﺎﺭ ﺩﺍﺭﻧﺪ‪ ،‬ﺭﻣﺰﻫﺎﻱ ﻗﺎﻟﺒﻲ ﻣﻲﺗﻮﺍﻧﻨﺪ ﻣﻨﺎﺳﺐﺗﺮ ﺑﺎﺷﻨﺪ‪ .‬ﺑـﺎ ﻭﺟـﻮﺩ ﺍﻳـﻦ ﻫـﺮ ﺩﻭ ﻧـﻮﻉ ﺭﻣـﺰ ﺗﻘﺮﻳﺒـﺎﹰ ﺩﺭ ﻫـﺮ‬
‫ﻛﺎﺭﺑﺮﺩﻱ ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﻩﺍﻧﺪ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ‪RC4‬‬
‫‪ RC4‬ﻳﻚ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۸۷‬ﻣﻴﻼﺩﻱ ﺑﺘﻮﺳـﻂ ‪ Ron Rivest‬ﺑـﺮﺍﻱ ﻛﻤﭙـﺎﻧﻲ ‪ RSA Security‬ﻃﺮﺍﺣـﻲ‬
‫ﮔﺮﺩﻳﺪ‪ RC4 .‬ﻳﻚ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺑﺎ ﻃﻮﻝ ﻛﻠﻴﺪ ﻣﺘﻐﻴﺮ ﺑﻮﺩﻩ ﻭ ﻋﻤﻠﻴﺎﺕ ﺁﻥ ﺭﻭﻱ ﺑﺎﻳﺖﻫﺎ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﺮ ﻣﺒﻨﺎﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﻳﻚ ﺟﺎﻳﮕﺸﺖ ﺗﺼﺎﺩﻓﻲ ﺑﻨﺎ ﻧﻬﺎﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺗﺤﻠﻴﻞ ﺍﻳﻦ ﺭﻣﺰ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺩﻭﺭﺓ ﺗﻨﺎﻭﺏ ﺭﻣﺰ ﺑﺎ ﺍﺣﺘﻤﺎﻝ ﻗﺮﻳﺐ ﺑﻪ ﻳﻘـﻴﻦ ﺑﺰﺭﮔﺘـﺮ‬
‫ﺍﺯ ‪ ۱۰۱۰۰‬ﺍﺳﺖ ]‪ .[ROBS95a‬ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻫﺮ ﺑﺎﻳﺖ ﺧﺮﻭﺟﻲ ﺑﻴﻦ ‪ ۸‬ﺗﺎ ‪ ۱۶‬ﻋﻤﻞ ﻻﺯﻡ ﺍﺳﺖ ﻭ ﺍﻧﺘﻈﺎﺭ ﻣﻲﺭﻭﺩ ﻛـﻪ ﺭﻣﺰﻧﮕـﺎﺭﻱ ﺩﺭ‬
‫ﻧﺮﻡﺍﻓﺰﺍﺭ ﺑﻪ ﺳﺮﻋﺖ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪ RC4 .‬ﺩﺭ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ‪(Secure Socket Layer/Transport Layer Security) SSL/TLS‬‬
‫ﻛــﻪ ﺑــﺮﺍﻱ ﺍﺭﺗﺒــﺎﻁ ﺑــﻴﻦ ﻣﺮﻭﺭﮔﺮﻫــﺎﻱ ﻭِﺏ ﻭ ﺳِــﺮﻭﺭﻫﺎ ﺗﻌﺮﻳــﻒ ﺷــﺪﻩ ﺍﺳــﺖ‪ ،‬ﺑﻜــﺎﺭ ﻣــﻲﺭﻭﺩ‪ .‬ﺍﻳــﻦ ﺭﻣــﺰ ﻫﻤﭽﻨ ـﻴﻦ ﺩﺭ ﭘﺮﻭﺗﻜــﻞ‬
‫‪ (Wired Equivalent Privacy) WEP‬ﻭ ﭘﺮﻭﺗﻜــﻞ ﺟﺪﻳــﺪﺗﺮ ‪ (WiFi Protected Access) WPA‬ﻛــﻪ ﺑﺨــﺸﻲ ﺍﺯ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ‪ IEEE 802.11‬ﻣﺮﺑﻮﻁ ﺑﻪ ‪ LAN‬ﺑﻲﺳﻴﻢ ﻫﺴﺘﻨﺪ‪ ،‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺳﺖ‪ RC4 .‬ﺍﺯ ﻧﻈـﺮ ﺗﺠـﺎﺭﻱ ﻣـﺪﺗﻬﺎ ﺍﺯ ﺳـﻮﻱ‬
‫ﻛﻤﭙﺎﻧﻲ ‪ RSA Security‬ﭘﻨﻬﺎﻥ ﻧﮕﺎﻩ ﺩﺍﺷﺘﻪ ﺷﺪﻩ ﺑﻮﺩ‪ .‬ﺩﺭ ﺳـﭙﺘﺎﻣﺒﺮ ‪ ۱۹۹۴‬ﺍﻳـﻦ ﺍﻟﮕـﻮﺭﻳﺘﻢ ﺑـﺼﻮﺭﺕ ﻧﺎﺷـﻨﺎﺱ ﺩﺭ ﻟﻴـﺴﺖ ﭘـﺴﺘﻲ‬
‫‪ Cypherpunks‬ﻗﺮﺍﺭ ﮔﺮﻓﺖ ﻭ ﻟﻮ ﺭﻓﺖ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ RC4‬ﺑﺼﻮﺭﺕ ﻗﺎﺑﻞ ﺗﻮﺟﻬﻲ ﺳﺎﺩﻩ ﺑﻮﺩﻩ ﻭ ﺗﺸﺮﻳﺢ ﺁﻥ ﻛﺎﻣﻼﹰ ﺁﺳﺎﻥ ﺍﺳﺖ‪ .‬ﻳﻚ ﻛﻠﻴﺪ ﺑﺎ ﻃﻮﻝ ﻣﺘﻐﻴﺮ ‪ ۱‬ﺗﺎ ‪ ۲۵۶‬ﺑﺎﻳـﺖ‬
‫)‪ ۸‬ﺗﺎ ‪ ۲,۰۴۸‬ﺑﻴﺖ( ﺑﺮﺍﻱ ﺁﻏﺎﺯﻳﺪﻥ ﻳﻚ ﺑﺮﺩﺍﺭ ﺣﺎﻟﺖ ‪ -۲۵۶‬ﺑﺎﻳﺘﻲ ‪ S‬ﺑﺎ ﻣﺆﻟﻔﻪﻫﺎﻱ ]‪ S[255] ،....،S[1] ،S[0‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗـﺮﺍﺭ‬
‫ﻣﻲﮔﻴﺮﺩ‪ .‬ﺩﺭ ﻫﻤﺔ ﺣﺎﻻﺕ‪ S ،‬ﺷﺎﻣﻞ ﺟﺎﻳﮕﺸﺖ ﻫﻤﺔ ﺍﻋﺪﺍﺩ ‪ -۸‬ﺑﻴﺘﻲ ﺍﺯ ﺻﻔﺮ ﺗﺎ ‪ ۲۵۵‬ﺍﺳﺖ‪ .‬ﺑـﺮﺍﻱ ﺭﻣﺰﻧﮕـﺎﺭﻱ ﻭ ﺭﻣﺰﮔـﺸﺎﺋﻲ‪ ،‬ﻳـﻚ‬
‫ﺑﺎﻳﺖ ‪) k‬ﺷﻜﻞ ‪ ۲-۷‬ﺭﺍ ﺑﺒﻴﻨﻴﺪ( ﺍﺯ ﻣﻴﺎﻥ ‪ ۲۵۵‬ﻣﺆﻟﻔﺔ ‪ S‬ﺑﺼﻮﺭﺕ ﺳﻴﺴﺘﻤﺎﺗﻴﻚ ﺍﻧﺘﺨﺎﺏ ﻣﻲﺷﻮﺩ‪ .‬ﻫﻤﻴﻨﻄـﻮﺭ ﻛـﻪ ﻫـﺮ ﻣﻘـﺪﺍﺭ ‪ k‬ﺗﻮﻟﻴـﺪ‬
‫ﻣﻲﺷﻮﺩ‪ ،‬ﻣﺆﻟﻔﻪﻫﺎﻱ ‪ S‬ﻳﻚﺑﺎﺭ ﺩﻳﮕﺮ ﺟﺎﻳﮕﺸﺖ ﻣﻲﻳﺎﺑﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﺩﻭﻡ‬ ‫‪ ٥٨‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣﻘﺎﻳﺴﺔ ﺳﺮﻋﺖ ﭘــﺮﺩﺍﺯﺵ ﺭﻣﺰﻫﺎﻱ ﻣﺘﻘﺎﺭﻥ ﺭﻭﻱ ﻳﻚ ﭘـــﺮﺩﺍﺯﺵﮔﺮ‬ ‫ﺟﺪﻭﻝ ‪۲-۳‬‬

‫‪Pentium II‬‬
‫ﺳﺮﻋﺖ )‪(Mbps‬‬ ‫ﻃﻮﻝ ﻛﻠﻴﺪ‬ ‫ﻧﻮﻉ ﺭﻣﺰ‬

‫‪۹‬‬ ‫‪۵۶‬‬ ‫‪DES‬‬
‫‪۳‬‬ ‫‪۱۶۸‬‬ ‫‪3DES‬‬
‫‪۰/۹‬‬ ‫ﻣﺘﻐﻴﺮ‬ ‫‪RC2‬‬
‫‪۴۵‬‬ ‫ﻣﺘﻐﻴﺮ‬ ‫‪RC4‬‬
‫ﺁﻏﺎﺯﻳﺪﻥ ‪S‬‬
‫ﺑﺮﺍﻱ ﺷﺮﻭﻉ‪ ،‬ﻣﻘﺎﺩﻳﺮ ﺻﻔﺮ ﺗﺎ ‪ ۲۵۵‬ﺑﺼﻮﺭﺕ ﺻﻌﻮﺩﻱ ﺩﺭ ﻣﺆﻟﻔﻪﻫﺎﻱ ‪ S‬ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﻣﻲﺷـﻮﺩ‪ ،‬ﻳﻌﻨـﻲ ‪ S[1] = 1 ،S[0] = 0‬ﻭ‬
‫‪ .S[255] = 255‬ﻫﻤﭽﻨﻴﻦ ﻳﻚ ﺑﺮﺩﺍﺭ ﻣﻮﻗﺖ ‪ T‬ﺧﻠﻖ ﻣﻲﺷﻮﺩ‪ .‬ﺍﮔﺮ ﻃﻮﻝ ﻛﻠﻴﺪ ‪ K‬ﺑﺮﺍﺑﺮ ‪ ۲۵۶‬ﺑﺎﻳﺖ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕـﺎﻩ ‪ K‬ﺑـﻪ ‪ T‬ﻣﻨﺘﻘـﻞ‬
‫ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﻏﻴﺮ ﺍﻳﻨﺼﻮﺭﺕ ﺑﺮﺍﻱ ﻛﻠﻴﺪﻱ ﺑﺎ ﻃﻮﻝ ‪ keylen‬ﺑﺎﻳﺖ‪ ،‬ﺍﻭﻟﻴﻦ ﻣﺆﻟﻔﻪﻫﺎﻱ ‪ T‬ﺍﺯ ‪ K‬ﻛﭙﻲ ﺷـﺪﻩ ﻭ ﺳـﭙﺲ ‪ K‬ﻫـﺮ ﭼﻨـﺪﺑﺎﺭ‬
‫ﻻﺯﻡ ﺑﺎﺷﺪ ﺗﻜﺮﺍﺭ ﺷﺪﻩ ﺗﺎ ‪ T‬ﭘﺮ ﺷﻮﺩ‪ .‬ﺍﻳﻦ ﻋﻤﻠﻴﺎﺕ ﺍﺑﺘﺪﺍﺋﻲ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﭼﻨﻴﻦ ﺧﻼﺻﻪ ﻛﺮﺩ‪:‬‬
‫‪/* Initialization */‬‬

‫‪for I = 0 to 255 do‬‬
‫; ‪S[i] = i‬‬
‫; ]‪T[i] = K[i mod keylen‬‬
‫ﺳﭙﺲ ﺍﺯ ‪ T‬ﺑﺮﺍﻱ ﺟﺎﻳﮕﺸﺖ ﺁﻏﺎﺯﻳﻦ ‪ S‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺑﺎ ]‪ S[0‬ﺷﺮﻭﻉ ﺷﺪﻩ ﻭ ﺗﺎ ]‪ S[255‬ﺍﺩﺍﻣﻪ ﻣﻲﻳﺎﺑﺪ‪ .‬ﻫﺮ ]‪S[i‬‬
‫ﺑﺎ ﺑﺎﻳﺖ ﺩﻳﮕﺮﻱ ﺩﺭ ‪ S‬ﺑﺮ ﺍﺳﺎﺱ ﺭﻭﺷﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ]‪ T[i‬ﺩﻳﻜﺘﻪ ﻣﻲﺷﻮﺩ ﺗﻌﻮﻳﺾ ﻣﻲﺷﻮﺩ‪:‬‬
‫‪/* Initial Permutation of S */‬‬

‫;‪J = 0‬‬
‫‪for I = 0 to 255 do‬‬
‫; ‪j = ( j + S[i] + T[i] ) mod 256‬‬
‫; )]‪Swap (S[i] , S[j‬‬
‫ﭼﻮﻥ ﺗﻨﻬﺎ ﻋﻤﻞ ﺭﻭﻱ ‪ S‬ﻳﻚ ﺗﻌﻮﻳﺾ ﻣﺤﻞ ﺑﺎﻳﺖﻫﺎﺳﺖ‪ ،‬ﺗﻨﻬﺎ ﺍﺛﺮ ﺍﻳﻦ ﺍﻣﺮ ﺍﻳﺠﺎﺩ ﻳﻚ ﺟﺎﻳﮕﺸﺖ ﺍﺳﺖ‪ S .‬ﻫﻤﭽﻨﺎﻥ ﺷﺎﻣﻞ ﺗﻤﺎﻡ‬
‫ﺍﻋﺪﺍﺩ ﺑﻴﻦ ﺻﻔﺮ ﺗﺎ ‪ ۲۵۵‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫‪٥٩‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺗﻮﻟﻴﺪ ﺩﻧﺒﺎﻟﻪ‬
‫ﻫﻤﻴﻦﻛﻪ ﺑﺮﺩﺍﺭ ‪ S‬ﺑﺎ ﻣﻘﺎﺩﻳﺮ ﺍﻭﻟﻴﻪ ﭘﺮ ﺷﺪ‪ ،‬ﺩﻳﮕﺮ ﺍﺯ ﻛﻠﻴﺪ ﻭﺭﻭﺩﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻧﺨﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺗﻮﻟﻴﺪ ﺩﻧﺒﺎﻟﻪ ﺷـﺎﻣﻞ ﻋﺒـﻮﺭ ﺍﺯ ]‪ S[0‬ﺗـﺎ‬
‫]‪ S[255‬ﺑﻮﺩﻩ ﻭ ﻫﺮ ﻣﻘﺪﺍﺭ ]‪ S[i‬ﺑﺎ ﺑﺎﻳﺖ ﺩﻳﮕﺮﻱ ﺩﺭ ‪ ،S‬ﺑﺮﺣﺴﺐ ﻗﺎﻧﻮﻧﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﻭﺿـﻊ ﻓﻌﻠـﻲ ‪ S‬ﺩﻳﻜﺘـﻪ ﻣـﻲﺷـﻮﺩ‪ ،‬ﺟـﺎﻳﮕﺰﻳﻦ‬
‫ﻣﻲﮔﺮﺩﺩ‪ .‬ﺑﻌﺪ ﺍﺯ ﺍﻳﻨﻜﻪ ﺑﻪ ]‪ S[255‬ﺭﺳﻴﺪﻳﻢ‪ ،‬ﭘﺮﺩﺍﺯﺵ ﺑﺎ ﺷﺮﻭﻉ ﻣﺠﺪﺩ ﺍﺯ ]‪ S[0‬ﺍﺩﺍﻣﻪ ﻣﻲﻳﺎﺑﺪ‪:‬‬
‫‪/* Stream Generation */‬‬
‫;‪i, j =0‬‬
‫)‪While (true‬‬
‫; ‪I = (i+1) mod 256‬‬
‫‪j = (j + S[i]) mod 256‬‬
‫; )]‪Swap (S[i] , S[j‬‬
‫; ‪T = ( S[i] + S[j] ) mod 256‬‬
‫; ]‪K = S[t‬‬
‫ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺍﻧﺪﺍﺯﺓ ‪ k‬ﺭﺍ ﺑﺎ ﺑﺎﻳﺖ ﺑﻌﺪﻱ ﻣﺘﻦ ﺳﺎﺩﻩ ‪ XOR‬ﻣﻲﻛﻨﻴﻢ‪ .‬ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ‪ ،‬ﺍﻧﺪﺍﺯﺓ ‪ k‬ﺭﺍ ﺑﺎ ﺑﺎﻳـﺖ ﺑﻌـﺪﻱ ﻣـﺘﻦ‬
‫ﺭﻣﺰﺷﺪﻩ ‪ XOR‬ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺷﻜﻞ ‪ ۲-۸‬ﻣﻨﻄﻖ ‪ RC4‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺗﻮﺍﻧﺎﺋﻲ ‪RC4‬‬
‫ﻣﻘﺎﻟﻪﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﻧﻮﺷﺘﻪ ﺷﺪﻩﺍﻧﺪ ﻛﻪ ﺭﻭﺵ ﺣﻤﻠـﻪ ﺑـﻪ ‪ RC4‬ﺭﺍ ﺗﺤﻠﻴـﻞ ﻛـﺮﺩﻩﺍﻧـﺪ )ﻣـﺜﻼﹰ ]‪،[MIST98] ،[KNUD98‬‬
‫]‪ [FLUH00‬ﻭ ]‪ .([MANT01‬ﻫﻴﭽﻜﺪﺍﻡ ﺍﺯ ﺍﻳﻦ ﺭﻭﺵﻫﺎ ﺑﺮﺍﻱ ﺣﻤﻠﻪ ﺑﻪ ‪ RC4‬ﺑـﺎ ﻛﻠﻴـﺪﻱ ﻛـﻪ ﺩﺍﺭﺍﻱ ﻃـﻮﻝ ﻣﻨﻄﻘـﻲ ﻫﻤﭽـﻮﻥ‬
‫‪ ۱۲۸‬ﺑﻴﺖ ﺑﺎﺷﺪ‪ ،‬ﻋﻤﻠﻲ ﻧﻴﺴﺘﻨﺪ‪ .‬ﻳﻚ ﻣﻮﺭﺩ ﺟﺪﻱﺗﺮ ﺩﺭ ]‪ [FLUH01‬ﻣﻄﺮﺡ ﮔﺮﺩﻳﺪ‪ .‬ﻧﻮﻳﺴﻨﺪﮔﺎﻥ ﻣﻘﺎﻟﻪ ﻧﺸﺎﻥ ﺩﺍﺩﻧـﺪ ﻛـﻪ ﭘﺮﻭﺗﻜـﻞ‬
‫‪ WEP‬ﻛﻪ ﺑﺮﺍﻱ ﻓﺮﺍﻫﻢ ﻧﻤﻮﺩﻥ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺩﺭ ﺷﺒﻜﻪﻫﺎﻱ ‪ LAN‬ﺑﻲﺳﻴﻢ ﺍﺯ ﭘﺮﻭﺗﻜﻞ ‪ 802.11‬ﺍﺳـﺘﻔﺎﺩﻩ ﻣـﻲﻛﻨـﺪ‪ ،‬ﺩﺭ ﺑﺮﺍﺑـﺮ ﺣﻤﻠـﺔ‬
‫ﺑﺨﺼﻮﺻﻲ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺍﺳﺖ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﻣﺸﻜﻞ ﺑﻪ ‪ RC4‬ﺭﺑﻄﻲ ﻧﺪﺍﺷﺘﻪ ﺑﻠﻜﻪ ﺑﻪ ﺭﻭﺷﻲ ﻛﻪ ﻛﻠﻴـﺪﻫﺎ ﺑـﺮﺍﻱ ﺍﺳـﺘﻔﺎﺩﻩ ﺩﺭ ﻭﺭﻭﺩﻱ ‪RC4‬‬
‫ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﻣﺮﺗﺒﻂ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﺸﻜﻞ ﺑﺨﺼﻮﺹ ﺩﺭ ﺳﺎﻳﺮ ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ‪ RC4‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ ﻇـﺎﻫﺮ ﻧـﺸﺪﻩ ﻭ ﺩﺭ ‪WEP‬‬
‫ﻧﻴﺰ ﺑﺎ ﺗﻐﻴﻴﺮ ﺭﻭﺵ ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪﻫﺎ‪ ،‬ﻣﺸﻜﻞ ﺭﻓﻊ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺍﻳﻦ ﻣﺴﺄﻟﻪ‪ ،‬ﻣﺸﻜﻞ ﻃﺮﺍﺣﻲ ﻳﻚ ﺳﻴﺴﺘﻢ ﺍﻣﻦ‪ ،‬ﻛﻪ ﻫﻢ ﺍﺯ ﺗﺎﺑﻊ ﺭﻣﺰﻧﮕـﺎﺭﻱ ﻭ‬
‫ﻫﻢ ﺍﺯ ﭘﺮﻭﺗﻜﻞﻫﺎﺋﻲ ﻛﻪ ﺍﻳﻦ ﺗﻮﺍﺑﻊ ﺭﺍ ﺑﻜﺎﺭ ﻣﻲﮔﻴﺮﻧﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ ،‬ﺭﺍ ﺧﺎﻃﺮﻧﺸﺎﻥ ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫ﻓﺼﻞ ﺩﻭﻡ‬ ‫‪ ٦٠‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪253 254 255‬‬
‫]‪S[t‬‬
‫‪k‬‬
‫]‪S[j‬‬
‫]‪S[j‬‬
‫ﺷﻜﻞ ‪۲-۸‬‬
‫)ﺍﻟﻒ( ﺣﺎﻟﺖ ﺍﻭﻟﻴﺔ ‪ S‬ﻭ ‪T‬‬
‫)ﺏ( ﺟﺎﻳﮕﺸﺖ ﺍﻭﻟﻴﺔ ‪S‬‬
‫)ﺝ( ﺗﻮﻟﻴﺪ ﺩﻧﺒﺎﻟﻪ‬

‫‪Swap‬‬
‫‪Swap‬‬
‫‪RC4‬‬
‫]‪T = S[i] +T[j‬‬
‫]‪j = j+S[i] +T[i‬‬
‫]‪J = j+S[i‬‬
‫]‪T[i‬‬
‫]‪S[i‬‬
‫]‪S[i‬‬
‫‪4‬‬
‫‪i‬‬
‫‪i‬‬
‫‪3‬‬
‫‪keylen‬‬
‫‪2‬‬
‫‪1‬‬
‫‪0‬‬
‫‪K‬‬
‫‪S‬‬
‫‪T‬‬
‫‪T‬‬
‫‪S‬‬
‫‪S‬‬
‫‪٦١‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣُﻮﺩﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺭﻣﺰﻫﺎﻱ ﻗﺎﻟﺒﻲ‬ ‫‪۲-۴‬‬
‫ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ‪ ،‬ﺩﺍﺩﻩﻫﺎ ﺭﺍ ﺑﺼﻮﺭﺕ ﻳﻚ ﺑﻠﻮﻙ ﺩﺭ ﻫﺮ ﺯﻣﺎﻥ ﭘﺮﺩﺍﺯﺵ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ‪ DES‬ﻭ ‪ 3DES‬ﻃـﻮﻝ ﺑﻠـﻮﻙ ‪ ۶۴‬ﺑﻴـﺖ‬
‫ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻣﺘﻮﻥ ﺳﺎﺩﻩ ﺑﺎ ﻃﻮﻝ ﺑﻴﺸﺘﺮ‪ ،‬ﻻﺯﻡ ﺍﺳﺖ ﺗﺎ ﻣﺘﻦ ﺑﻪ ﺑﻠﻮﻙﻫﺎﻱ ‪ -۶۴‬ﺑﻴﺘﻲ ﺗﻘﺴﻴﻢ ﺷﻮﺩ )ﺍﮔﺮ ﻻﺯﻡ ﺑﺎﺷﺪ‪ ،‬ﺁﺧـﺮﻳﻦ ﺑﻠـﻮﻙ ﺑـﺎ‬
‫ﺑﻴــﺖﻫــﺎﻱ ﺍﺿــﺎﻓﻲ ﻛﺎﻣــﻞ ﻣــﻲﺷــﻮﺩ(‪ .‬ﺳـﺎﺩﻩﺗــﺮﻳﻦ ﺭﺍﻩ ﺑــﺮﺍﻱ ﺍﻳــﻦ ﻛــﺎﺭ ﭼﻴــﺰﻱ ﺍﺳــﺖ ﻛــﻪ ﺁﻥ ﺭﺍ ﻣُــﻮﺩ ﻛﺘــﺎﺏ ﻛﹸــﺪ ﺍﻟﻜﺘﺮﻭﻧﻴﻜــﻲ‬
‫)‪ electronic codebook (ECB‬ﮔﻮﻳﻨﺪ ﻛﻪ ﺩﺭ ﺁﻥ ﺩﺭ ﻫﺮ ﻟﺤﻈﻪ‪ ۶۴ ،‬ﺑﻴﺖ ﺍﺯ ﻣﺘﻦ ﺳﺎﺩﻩ ﺗﺤﺖ ﭘـﺮﺩﺍﺯﺵ ﻗـﺮﺍﺭ ﮔﺮﻓﺘـﻪ ﻭ ﻫﻤـﺔ‬
‫ﺑﻠﻮﻙﻫﺎﻱ ﻣﺘﻦ ﺑﺎ ﻛﻠﻴﺪ ﻭﺍﺣﺪﻱ ﭘﺮﺩﺍﺯﺵ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﺻﻄﻼﺡ ﻛﺘﺎﺏ ﻛﹸﺪ)‪ (codebook‬ﺍﺯ ﺍﻳﻦ ﺟﻬﺖ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ‬
‫ﻳﻚ ﻛﻠﻴﺪ ﻭﺍﺣﺪ‪ ،‬ﻳﻚ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﻳﻜﺘﺎ ﺑﺮﺍﻱ ﻫﺮﺑﻠﻮﻙ ‪ -۶۴‬ﺑﻴﺘﻲ ﺩﻳﺘﺎ ﺣﺎﺻﻞ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﻴﺘﻮﺍﻥ ﻳﻚ ﻛﺘﺎﺏ ﻛﹸـﺪ ﻋﻈﻴﻤـﻲ ﺭﺍ‬
‫ﺗﺼﻮﺭ ﻛﺮﺩ ﻛﻪ ﺩﺭ ﺁﻥ ﺑﺮﺍﻱ ﻫﺮ ﺑﻠﻮﻙ ‪ -۶۴‬ﺑﻴﺘﻲ ﻣﻤﻜﻦ ﺍﺯ ﻣﺘﻦ ﺳﺎﺩﻩ‪ ،‬ﻳﻚ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﻧﻈﻴﺮ ﺁﻥ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﺩﺭ ‪ ،ECB‬ﺍﮔﺮ ﻫﻤﺎﻥ ﺑﻠﻮﻙ ‪ -۶۴‬ﺑﻴﺘﻲ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﻴﺶ ﺍﺯ ﻳﻜﺒﺎﺭ ﺩﺭ ﭘﻴﺎﻡ ﻇﺎﻫﺮ ﺷﻮﺩ‪ ،‬ﻫﻤﻴﺸﻪ ﻫﻤﺎﻥ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﺩﻓﻌﺔ ﺍﻭﻝ‬
‫ﺣﺎﺻﻞ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺑﻬﻤﻴﻦ ﺩﻟﻴﻞ ﺑﺮﺍﻱ ﭘﻴﺎﻡﻫﺎﻱ ﻃﻮﻻﻧﻲ‪ ،‬ﻣُﻮﺩ ‪ ECB‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﻣﻦ ﻧﺒﺎﺷﺪ‪ .‬ﺍﮔﺮ ﭘﻴﺎﻡ ﺑـﺸﺪﺕ ﺳـﺎﺧﺘﺎﺭﻳﺎﻓﺘﻪ ﺑﺎﺷـﺪ‪،‬‬
‫ﻳﻚ ﺷﻜﻨﻨﺪﺓ ﺭﻣﺰ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺘﻮﺍﻧﺪ ﺍﺯ ﺍﻳﻦ ﻧﻈﻢ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﺍﮔﺮ ﻣﻌﻠﻮﻡ ﺑﺎﺷﺪ ﻛﻪ ﭘﻴﺎﻡ ﻫﻤﻴﺸﻪ ﺑﺎ ﻣﻴـﺪﺍﻥﻫـﺎﻱ ﺍﺯ‬
‫ﻗﺒﻞ ﺗﻌﺮﻳﻒ ﺷﺪﺓ ﻣﻌﻴﻨﻲ ﺷﺮﻭﻉ ﻣﻲﺷﻮﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﺷﻜﻨﻨﺪﺓ ﺭﻣﺰ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﻌﺪﺍﺩﻱ ﺯﻭﺝ ﻣـﺘﻦ ﺳـﺎﺩﻩ‪ -‬ﻣـﺘﻦ ﺭﻣﺰﺷـﺪﻩ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴـﺎﺭ‬
‫ﺩﺍﺷﺘﻪ ﻭ ﺭﻭﻱ ﺁﻧﻬﺎ ﻛﺎﺭ ﻛﻨﺪ‪ .‬ﺍﮔﺮ ﭘﻴﺎﻡ ﺩﺍﺭﺍﻱ ﻋﻨﺎﺻﺮ ﺗﻜﺮﺍﺭﺷﺪﻩﺍﻱ ﺑﺎﺷﺪ ﻛﻪ ﭘﺮﻳﻮﺩ ﺗﻜﺮﺍﺭ ﺁﻧﻬﺎ ﻣﻀﺮﺑﻲ ﺍﺯ ‪ ۶۴‬ﺑﻴﺖ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕـﺎﻩ ﺍﻳـﻦ‬
‫ﻋﻨﺎﺻﺮ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺘﻮﺳﻂ ﺗﺤﻠﻴﻞﮔﺮ ﺷﻨﺎﺧﺘﻪ ﺷﻮﻧﺪ‪ .‬ﺍﻳﻦ ﻣﻮﺍﺭﺩ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﺗﺤﻠﻴﻞ ﺭﻣﺰ ﻛﻤﻚ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﻓﺮﺻﺘﻲ ﺑﺮﺍﻱ‬
‫ﺟﺎﻳﮕﺰﻳﻨﻲ ﻭ ﻳﺎ ﺗﻐﻴﻴﺮ ﺳﺎﺯﻣﺎﻥ ﺑﻠﻮﻙ ﺑﺪﺳﺖ ﺩﻫﻨﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﻏﻠﺒﻪ ﺑﺮ ﻛﻤﺒﻮﺩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ‪ ،ECB‬ﻋﻼﻗﻪﻣﻨﺪ ﺑﻪ ﺗﻜﻨﻴﻜﻲ ﻫﺴﺘﻴﻢ ﻛﻪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺁﻥ‪ ،‬ﻫﻤﺎﻥ ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﻩ ﺩﺭ‬
‫ﺻﻮﺭﺕ ﺗﻜﺮﺍﺭ‪ ،‬ﺑﻠﻮﻙﻫﺎﻱ ﺭﻣﺰﺷﺪﺓ ﻣﺘﻔﺎﻭﺗﻲ ﺭﺍ ﺍﻳﺠﺎﺩ ﻛﻨﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻗﺴﻤﺖ ﺑﻪ ﺩﻭ ﺭﻭﺵ ﻣﺨﺘﻠﻒ ﻛﻪ ﺩﺭ ‪ FIPS PUB 81‬ﺗﻌﺮﻳﻒ‬
‫ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻧﮕﺎﻫﻲ ﻣﻲﺍﻧﺪﺍﺯﻳﻢ‪.‬‬
‫ﻣُﻮﺩ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺭﻣﺰ ﻗﺎﻟﺒﻲ )‪(Cipher Block Chaining Mode‬‬

‫ﺩﺭ ﻣُﻮﺩ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺭﻣﺰ ﻗﺎﻟﺒﻲ)‪) ، (CBC‬ﺷﻜﻞ ‪ ،(۲-۹‬ﻭﺭﻭﺩﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺯ ‪ XOR‬ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﺓ ﻓﻌﻠﻲ ﺑﺎ ﺑﻠﻮﻙ ﻣﺘﻦ‬
‫ﺭﻣﺰﺷﺪﺓ ﻗﺒﻠﻲ ﺑﺪﺳﺖ ﻣﻲﺁﻳﺪ ﻭ ﺍﺯ ﻛﻠﻴﺪ ﻭﺍﺣﺪﻱ ﻧﻴﺰ ﺑﺮﺍﻱ ﻫﻤﺔ ﻣﺮﺍﺣﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﺛﺮ ﺍﻳﻦ ﺍﻣﺮ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﭘﺮﺩﺍﺯﺵ ﺭﺩﻳﻒ‬
‫ﺑﻠﻮﻙﻫﺎﻱ ﻣﺘﻦ ﺳﺎﺩﻩ ﺭﺍ ﺑﻬﻢ ﺯﻧﺠﻴﺮ ﻛﺮﺩﻩﺍﻳﻢ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﻭﺭﻭﺩﻱ ﺗﺎﺑﻊ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺮﺍﻱ ﻫﺮ ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﻩ‪ ،‬ﺭﺍﺑﻄﺔ ﺛﺎﺑﺘﻲ ﺑﺎ ﺧﻮﺩ‬
‫ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﻩ ﻧﺪﺍﺭﺩ‪ .‬ﺑﻪ ﻫﻤﻴﻦ ﺩﻟﻴﻞ ﻗﺎﻟﺐﻫﺎﻱ ﺗﻜﺮﺍﺭ ﺷﺪﻩ ‪ -۶۴‬ﺑﻴﺘﻲ ﺩﺭ ﺧﺮﻭﺟﻲ ﻇﺎﻫﺮ ﻧﺨﻮﺍﻫﻨﺪ ﺷﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ‪ ،‬ﻫﺮ ﺑﻠﻮﻙ ﺭﻣﺰﺷﺪﻩ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻋﺒﻮﺭ ﻣﻲﻛﻨﺪ‪ .‬ﻧﺘﻴﺠﺔ ﺍﻳﻦ ﻋﻤﻞ ﺑﺎ ﺑﻠﻮﻙ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﻗﺒﻠﻲ‬
‫‪ XOR‬ﺷﺪﻩ ﺗﺎ ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﺪﺳﺖ ﺁﻳﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﺻﺤﺖ ﺍﻳﻦ ﺭﻭﺵ‪ ،‬ﻣﻲﺗﻮﺍﻥ ﻧﻮﺷﺖ‪:‬‬
‫)]‪Ci = E ([K, [Ci-1⊕ Pi‬‬

‫ﻛﻪ ﺩﺭﺁﻥ ]‪ E [K, X‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻦ ﺳﺎﺩﺓ ‪ X‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ‪ K‬ﺑﻮﺩﻩ ﻭ ⊕ ﻋﻤﻞ ‪ XOR‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻴﺪﻫﺪ‪ .‬ﺁﻧﮕﺎﻩ‬
‫))]‪D [K, Ci] = D(K, E (K, [Ci-1⊕ Pi‬‬

‫‪D [K, Ci] = Ci-1⊕ Pi‬‬
‫‪Ci-1⊕ D (K, Ci) = Ci-1 ⊕ Ci-1 ⊕ Pi = Pi‬‬
‫ﻛﻪ ﺷﻜﻞ ‪۲-۹‬ﺏ ﺭﺍ ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﺩﻭﻡ‬ ‫‪ ٦٢‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﺍﻭﻟﻴﻦ ﺑﻠﻮﻙ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‪ ،‬ﻳﻚ ﺑﺮﺩﺍﺭ ﺁﻏﺎﺯﮔﺮ )‪ Initialization Vector (IV‬ﺑﺎ ﺍﻭﻟﻴﻦ ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﻩ ‪XOR‬‬
‫ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﺯﻣﺎﻥ ﺭﻣﺰﮔﺸﺎﺋﻲ‪ IV ،‬ﺑﺎ ﺧﺮﻭﺟﻲ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﮔﺸﺎﺋﻲ ‪ XOR‬ﺷﺪﻩ ﺗﺎ ﺍﻭﻟﻴﻦ ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﺪﺳﺖ ﺁﻳﺪ‪.‬‬
‫‪ IV‬ﺑﺎﻳﺴﺘﻲ ﻫﻢ ﺑﺮﺍﻱ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﻫﻢ ﺑﺮﺍﻱ ﮔﻴﺮﻧﺪﻩ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺑﺎﺷﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﻣﺎﻛﺰﻳﻤﻢ ﺍﻣﻨﻴﺖ‪ ،‬ﺍﺯ ‪ IV‬ﻧﻴﺰ ﻫﻤﺎﻧﻨﺪ ﻛﻠﻴﺪ‬
‫ﺑﺎﻳﺴﺘﻲ ﻣﺤﺎﻓﻈﺖ ﻧﻤﻮﺩ‪ .‬ﻳﻜﻲ ﺍﺯ ﺩﻻﻳﻞ ﺣﻔﺎﻇﺖ ﺍﺯ ‪ IV‬ﺍﻳﻦ ﺍﺳﺖ‪ :‬ﺍﮔﺮ ﻳﻚ ﺩﺷﻤﻦ ﺑﺘﻮﺍﻧﺪ ﮔﻴﺮﻧﺪﻩ ﺭﺍ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣﻘﺪﺍﺭ ﺩﻳﮕﺮﻱ‬
‫ﺑﺮﺍﻱ ‪ IV‬ﻭﺍﺩﺍﺭ ﻛﻨﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺩﺷﻤﻦ ﺧﻮﺍﻫﺪ ﺗﻮﺍﻧﺴﺖ ﺗﺎ ﺑﻴﺖﻫﺎﻱ ﺍﻧﺘﺨﺎﺏﺷﺪﻩ ﺩﺭ ﺍﻭﻟﻴﻦ ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﻩ ﺭﺍ ﻣﻌﻜﻮﺱ ﻧﻤﺎﻳﺪ‪ .‬ﺑﺮﺍﻱ‬
‫ﺭﻭﺷﻦ ﺷﺪﻥ ﻣﻄﻠﺐ ﻓﺮﺽ ﻛﻨﻴﺪ‪:‬‬
‫)]‪C1 = E (K, [IV ⊕ P1‬‬
‫)‪P1 = IV ⊕ D (K, C1‬‬
‫ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻧﻤﺎﻳﺶ ]‪ X[j‬ﺑﻌﻨﻮﺍﻥ ‪ j‬ﺍﻣﻴﻦ ﺑﻴﺖ ﻣﻘﺪﺍﺭ ‪ -۶۴‬ﺑﻴﺘﻲ ‪ ، X‬ﺁﻧﮕﺎﻩ‬
‫]‪P1[j] = IV[j] ⊕ D (K, C1)[j‬‬
‫‪Time = 1‬‬ ‫‪Time = 2‬‬ ‫‪Time = N‬‬

‫‪P1‬‬ ‫‪P2‬‬ ‫‪PN‬‬
‫‪IV‬‬
‫⊕‬ ‫⊕‬ ‫‪CN-1‬‬ ‫⊕‬
‫‪K‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭ‬ ‫‪K‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭ‬ ‫‪K‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭ‬
‫‪C1‬‬ ‫‪C2‬‬ ‫‪CN‬‬
‫‪C1‬‬ ‫‪C2‬‬ ‫‪CN‬‬
‫‪K‬‬ ‫ﺭﻣﺰﮔﺸﺎ‬ ‫‪K‬‬ ‫ﺭﻣﺰﮔﺸﺎ‬ ‫‪K‬‬ ‫ﺭﻣﺰﮔﺸﺎ‬
‫‪IV‬‬ ‫⊕‬ ‫⊕‬ ‫‪CN-1‬‬ ‫⊕‬

‫‪P1‬‬ ‫‪P2‬‬ ‫‪PN‬‬
‫ﺷﻜﻞ ‪ ۲-۹‬ﻣُﻮﺩ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺭﻣﺰ ﻗﺎﻟﺒﻲ )‪(CBC‬‬

‫‪٦٣‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺳﭙﺲ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺧﻮﺍﺹ ﻋﻤﻞ ‪ XOR‬ﻣﻲﺗﻮﺍﻥ ﮔﻔﺖ‬

‫]‪P1[j]' = IV[j]' ⊕ D (K, C1)[j‬‬
‫ﻛﻪ ﻋﻼﻣﺖ ﭘﺮﻳﻢ)'( ﻧﻤﺎﻳﺶ ﻳﻚ ﺑﻴﺖ ﻧﻔﻲ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺑﺪﻳﻦ ﻣﻌﻨﻲ ﺍﺳﺖ ﻛﻪ ﺍﮔﺮ ﺩﺷﻤﻦ ﺑﺎ ﺗﺨﻤﻴﻦ ﺑﺘﻮﺍﻧﺪ ﺑﻴﺖﻫﺎﻱ ‪ IV‬ﺭﺍ ﻋﻮﺽ‬
‫ﻛﻨﺪ‪ ،‬ﺑﻴﺖﻫﺎﻱ ﻧﻈﻴﺮ ﺍﻧﺪﺍﺯﺓ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ‪ P1‬ﻣﻲﺗﻮﺍﻧﻨﺪ ﺗﻐﻴﻴﺮ ﻳﺎﺑﻨﺪ‪.‬‬
‫‪ CBC‬ﻛﺎﺭﺑﺮﺩ ﮔﺴﺘﺮﺩﻩﺍﻱ ﺩﺭ ﻣﺴﺎﺋﻞ ﺍﻣﻨﻴﺘﻲ ﺩﺍﺭﺩ ﻛﻪ ﺑﻌﺪﺍﹰ ﺑﻪ ﺁﻥ ﺍﺷﺎﺭﻩ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﻣُﻮﺩ ﻓﻴﺪﺑﻚ ﺭﻣﺰ )‪(Cipher Feedback Mode‬‬
‫ﺍﻳﻦ ﺍﻣﻜﺎﻥ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣُﻮﺩ ﻓﻴﺪﺑﻚ ﺭﻣﺰ )‪ ،(CFB‬ﻫﺮ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺭﺍ ﺑﺼﻮﺭﺕ ﻳﻚ ﺭﻣـﺰ ﺩﻧﺒﺎﻟـﻪﺍﻱ ﺩﺭﺁﻭﺭﺩ‪ .‬ﺩﺭ ﻳـﻚ‬
‫ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﻧﻴﺎﺯﻱ ﻧﻴﺴﺖ ﻛﻪ ﺑﺎ ﺍﺿﺎﻓﻪ ﻛﺮﺩﻥ ﺑﻴﺖﻫﺎ ﺑﻪ ﭘﻴﺎﻡ‪ ،‬ﺗﺎ ﺣﺪ ﻣﻀﺮﺑﻲ ﺍﺯ ﺑﻠﻮﻙﻫﺎ‪ ،‬ﺁﻥ ﺭﺍ ﻛﺎﻣـﻞ ﻛـﺮﺩ‪ .‬ﻫﻤﭽﻨـﻴﻦ ﺍﻳـﻦ ﺭﻣـﺰ‬
‫ﻣﻴﺘﻮﺍﻧﺪ ﺩﺭ ﺣﺎﻟﺖ ﺑﻼﺩﺭﻧﮓ ﻛﺎﺭ ﻛﻨﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﮔﺮ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ ﻛﺎﺭﺍﻛﺘﺮﻫﺎ ﻗﺮﺍﺭ ﺍﺳﺖ ﺍﺭﺳﺎﻝ ﺷﻮﻧﺪ‪ ،‬ﻫﺮ ﻛﺎﺭﺍﻛﺘﺮ ﻣﻴﺘﻮﺍﻧﺪ ﺑﺎ ﺍﺳـﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﻳﻚ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺑﺎ ﮔﺮﺍﻳﺶ ﻛﺎﺭﺍﻛﺘﺮﻱ‪ ،‬ﺑﻼﻓﺎﺻﻠﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﺭﺳﺎﻝ ﮔﺮﺩﺩ‪.‬‬
‫ﻳﻜﻲ ﺍﺯ ﺧﺼﻮﺻﻴﺎﺕ ﻣﻄﻠﻮﺏ ﻳﻚ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺩﺍﺭﺍﻱ ﻫﻤﺎﻥ ﻃﻮﻝ ﻣﺘﻦ ﺳﺎﺩﻩ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﮔﺮ‬
‫ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ‪ -۸‬ﺑﻴﺘﻲ ﺍﺭﺳﺎﻝ ﻣﻲﮔﺮﺩﻧﺪ‪ ،‬ﻫﺮ ﻛﺎﺭﺍﻛﺘﺮ ﺑﺎﻳﺴﺘﻲ ﺑﺎ ‪ ۸‬ﺑﻴﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﺩ‪ .‬ﺍﮔﺮ ﺑﻴﺶ ﺍﺯ ‪ ۸‬ﺑﻴﺖ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪،‬‬
‫ﻇﺮﻓﻴﺖ ﺍﻧﺘﻘﺎﻝ ﺗﻠﻒ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۲-۱۰‬ﺭﻭﺵ ‪ CFB‬ﺭﺍ ﺑﻪ ﺗﺼﻮﻳﺮ ﻛﺸﻴﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﺷﻜﻞ ﻓﺮﺽ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﻭﺍﺣﺪ ﺍﻧﺘﻘﺎﻝ ‪ s‬ﺑﻴﺖ ﺍﺳﺖ ﻛﻪ‬
‫ﺍﻧﺪﺍﺯﺓ ﻣﻌﻤﻮﻝ ﺁﻥ ‪ ۸‬ﻣﻴﺒﺎﺷﺪ‪ .‬ﻫﻤﺎﻧﻨﺪ ‪ ،CBC‬ﻭﺍﺣﺪﻫﺎﻱ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﻬﻢ ﺯﻧﺠﻴﺮ ﺷﺪﻩﺍﻧﺪ ﺑﻄﻮﺭﻱﻛﻪ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﻫﺮ ﻭﺍﺣﺪ ﻣﺘﻦ ﺳﺎﺩﻩ‪،‬‬
‫ﺗﺎﺑﻌﻲ ﺍﺯ ﺗﻤﺎﻡ ﻣﺘﻮﻥ ﺳﺎﺩﺓ ﻗﺒﻠﻲ ﺍﺳﺖ‪.‬‬
‫ﺩﺭ ﺍﺑﺘﺪﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪ .‬ﻭﺭﻭﺩﻱ ﺗﺎﺑﻊ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻳﻚ ﺷﻴﻔﺖ ﺭﺟﻴﺴﺘﺮ ‪ -۶۴‬ﺑﻴﺘﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺍﺑﺘﺪﺍ ﺑﺎ ﻳﻚ‬
‫ﺑﺮﺩﺍﺭ ﺍﻭﻟﻴﻪ)‪ (IV‬ﭘﺮ ﻣﻲﺷﻮﺩ‪ .‬ﭼﭗﺗﺮﻳﻦ )ﺑﺎ ﺍﻫﻤﻴﺖﺗﺮﻳﻦ( ‪ s‬ﺑﻴﺖ ﺧﺮﻭﺟﻲ ﺗﺎﺑﻊ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎ ﺍﻭﻟﻴﻦ ﻭﺍﺣﺪ ﻣﺘﻦ ﺳﺎﺩﺓ ‪ P1‬ﺑﺼﻮﺭﺕ‬
‫‪ XOR‬ﺩﺭﺁﻣﺪﻩ ﺗﺎ ﺍﻭﻟﻴﻦ ﻭﺍﺣﺪ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ‪ C1‬ﺭﺍ ﻛﻪ ﻣﺘﻌﺎﻗﺒﺎﹰ ﺍﺭﺳﺎﻝ ﺧﻮﺍﻫﺪ ﺷﺪ ﺗﺸﻜﻴﻞ ﺩﻫﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ‪ ،‬ﻣﺤﺘﻮﻳﺎﺕ ﺷﻴﻔﺖ‬
‫ﺭﺟﻴﺴﺘﺮ ﺑﺎﻧﺪﺍﺯﺓ ‪ s‬ﺑﻴﺖ ﺑﻪ ﭼﭗ ﺷﻴﻔﺖ ﺩﺍﺩﻩ ﺷﺪﻩ ﻭ ‪ C1‬ﺩﺭ ﺭﺍﺳﺖﺗﺮﻳﻦ )ﻛﻢ ﺍﻫﻤﻴﺖﺗﺮﻳﻦ( ‪ s‬ﺑﻴﺖ ﺷﻴﻔﺖ ﺭﺟﻴﺴﺘﺮ ﺟﺎﻱ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫ﺍﻳﻦ ﺍﻣﺮ ﺗﺎ ﻭﻗﺘﻲ ﻛﻪ ﺗﻤﺎﻡ ﻭﺍﺣﺪﻫﺎﻱ ﻣﺘﻦ ﺳﺎﺩﻩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﻧﺪ‪ ،‬ﺍﺩﺍﻣﻪ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ‪ ،‬ﻫﻤﻴﻦ ﺭﻭﺵ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﺑﺠﺰ ﺍﻳﻨﻜﻪ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺩﺭﻳﺎﻓﺖﺷﺪﻩ ﺑﺎ ﺧﺮﻭﺟﻲ ﺗﺎﺑﻊ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪ XOR‬ﺷﺪﻩ ﺗﺎ ﻣﺘﻦ ﺳﺎﺩﻩ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﻨﺪ‪ .‬ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﺍﻳﻦ ﺗﺎﺑﻊ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻴﮕﻴﺮﺩ ﻧﻪ ﺗﺎﺑﻊ ﺭﻣﺰﮔﺸﺎﺋﻲ‪.‬‬
‫ﺍﻳﻦ ﻣﺴﺄﻟﻪ ﺑﺴﺎﺩﮔﻲ ﻗﺎﺑﻞ ﺗﻮﺿﻴﺢ ﺍﺳﺖ ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ )‪ Ss(X‬ﺑﻌﻨﻮﺍﻥ ﺑﺎ ﺍﻫﻤﻴﺖﺗﺮﻳﻦ ‪ s‬ﺑﻴﺖ ‪ X‬ﺗﻌﺮﻳﻒ ﺷﻮﺩ‪ .‬ﺁﻧﮕﺎﻩ‬
‫])‪C1 = P1 ⊕ Ss [E(K, IV‬‬

‫ﺑﻨﺎﺑﺮﺍﻳﻦ‬
‫])‪P1 = C1 ⊕ Ss[E(K, IV‬‬
‫ﻫﻤﻴﻦ ﺍﺳﺘﺪﻻﻝ ﺑﺮﺍﻱ ﻗﺪﻡﻫﺎﻱ ﺑﻌﺪﻱ ﺍﻳﻦ ﭘﺮﺩﺍﺯﺵ ﻧﻴﺰ ﺻﺎﺩﻕ ﺍﺳﺖ‪.‬‬
IV CM-1
Shift register Shift register Shift register
‫ﻓﺼﻞ ﺩﻭﻡ‬
www.NetSimulate.net
64 – s bits s bits 64 – s bits s bits 64 – s bits s bits
64 64 64
K ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ K ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ... K ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬

64 64 64
Select Discard Select Discard Select Discard
s bits b – s bits s bits b – s bits s bits b – s bits
P1 P2 PM
s s s
s s s
s
C1 C2 CM
‫)ﺍﻟﻒ ( ﺭﻣﺰﻧﮕﺎﺭﻱ‬
CM-1
IV Shift register
64 – s bits s bits
Shift register Shift register
64 – s bits s bits 64 – s bits s bits
64
64 64
K ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬
K
K ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ s ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ... 64
64 64 Select Discard
s bits b – s bits
Select Discard Select Discard
s bits b – s bits s bits b – s bits s
s
s s s CM
s C1 C2
PM
P1 P2
‫)ﺏ ( ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫ ﺑﻴﺖ‬s ‫( ﺑﺎ ﺍﻧﺪﺍﺯﺓ‬CFB)‫ ﻣُﻮﺩ ﻓﻴﺪﺑﻚ ﺭﻣﺰ‬٢-١٠ ‫ﺷﻜﻞ‬

‫ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬٦٤
‫ ﻣﺮﺟﻊ ﺷﺒﯿﻪ ﺳﺎزي ﺷﺒﮑﻪ ﻫﺎي ﮐﺎﻣﭙﯿﻮﺗﺮي و ﻣﺨﺎﺑﺮاﺗﯽ‬- ‫ﺳﺎﯾﺖ ﻧﺖ ﺳﯿﻤﻮﻟﯿﺖ‬
‫‪٦٥‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣﺤﻞ ﺍﺳﺘﻘﺮﺍﺭ ﺗﺠﻬﻴﺰﺍﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪۲-۵‬‬
‫ﻗﻮﻱﺗﺮﻳﻦ ﻭ ﻣﻌﻤﻮﻝﺗﺮﻳﻦ ﺭﻭﺵ ﺑﺮﺍﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ ﺑﻪ ﺷﺒﻜﻪ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻻﺯﻡ ﺍﺳﺖ‬
‫ﺗﺼﻤﻴﻢ ﺑﮕﻴﺮﻳﻢ ﻛﻪ ﭼﻪ ﭼﻴﺰﻱ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﺮﺩﻩ ﻭ ﻟﻮﺍﺯﻡ ﻣﺮﺑﻮﻁ ﺑﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ ﺩﺭ ﻛﺠﺎ ﻗﺮﺍﺭ ﺩﻫﻴﻢ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﺩﻭ ﺍﻧﺘﺨﺎﺏ‬
‫ﺍﺻﻠﻲ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ :‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ)‪ ،(link encryption‬ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ )‪ (end-to-end encryption‬ﻛﻪ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﺍﺯ ﺁﻧﻬﺎ ﺩﺭ ﻋﺮﺽ ﻳﻚ ﺷﺒﻜﺔ ﺳﻮﺋﻴﭻ ﺑﺴﺘﻪﺍﻱ ﺩﺭ ﺷﻜﻞ ‪ ۲-۱۱‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺩﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ‪ ،‬ﻫﺮ ﭘﻴﻮﻧﺪ ﻣﺨﺎﺑﺮﺍﺗﻲ ﺁﺳﻴﺐﭘﺬﻳﺮ‪ ،‬ﺩﺭ ﻫﺮ ﻳﻚ ﺍﺯ ﺩﻭ ﺍﻧﺘﻬﺎ ﺑﺎ ﻳـﻚ ﻭﺳـﻴﻠﺔ ﺭﻣﺰﻧﮕـﺎﺭﻱ ﺗﺠﻬﻴـﺰ ﻣـﻲﺷـﻮﺩ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﻛﻞ ﺗﺮﺍﻓﻴﻚ ﺭﻭﻱ ﺗﻤﺎﻡ ﭘﻴﻮﻧﺪﻫﺎﻱ ﻣﺨﺎﺑﺮﺍﺗﻲ ﺍﻣﻦ ﺧﻮﺍﻫﻨﺪ ﺷﺪ‪ .‬ﺍﮔﺮﭼﻪ ﺩﺭ ﻳﻚ ﺷﺒﻜﺔ ﻭﺳﻴﻊ‪ ،‬ﺍﻳﻦ ﺭﻭﺵ ﻧﻴﺎﺯ ﺑﻪ ﺗﻌﺪﺍﺩ ﺯﻳـﺎﺩﻱ‬
‫ﺗﺠﻬﻴﺰﺍﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺍﺭﺩ‪ ،‬ﻭﻟﻲ ﺩﺭ ﻋﻴﻦ ﺣﺎﻝ ﺳﻄﺢ ﺑﺎﻻﺋﻲ ﺍﺯ ﺍﻣﻨﻴﺖ ﺭﺍ ﺍﻳﺠﺎﺩ ﺧﻮﺍﻫﺪ ﻛﺮﺩ‪ .‬ﻳﻜﻲ ﺍﺯ ﻣﻌﺎﻳﺐ ﺍﻳﻦ ﺭﻭﺵ ﺍﻳـﻦ ﺍﺳـﺖ ﻛـﻪ‬
‫ﭘﻴﺎﻡ ﻫﺮ ﺑﺎﺭ ﻛﻪ ﻭﺍﺭﺩ ﻳﻚ ﺳﻮﺋﻴﭻ ﺑﺴﺘﻪﺍﻱ ﻣﻴﺸﻮﺩ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺭﻣﺰﮔﺸﺎﺋﻲ ﮔﺮﺩﺩ‪ .‬ﻋﻠﺖ ﺍﻳﻦ ﺍﻣﺮ ﺍﻳـﻦ ﺍﺳـﺖ ﻛـﻪ ﺳـﻮﺋﻴﭻ ﺑﺎﻳـﺴﺘﻲ ﺁﺩﺭﺱ‬
‫ﻣﻮﺟﻮﺩ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ﺑﺴﺘﻪ )ﺷﻤﺎﺭﺓ ﻣﺪﺍﺭ ﻣﺠﺎﺯﻱ( ﺭﺍ ﺧﻮﺍﻧﺪﻩ ﺗﺎ ﺑﺘﻮﺍﻧﺪ ﺁﻥ ﺭﺍ ﻣﺴﻴﺮﻳﺎﺑﻲ ﻧﻤﺎﻳﺪ‪ .‬ﺑﻬﻤﻴﻦ ﺩﻟﻴﻞ ﭘﻴﺎﻡ ﺍﺯ ﻧﻈﺮ ﺍﻣﻨﻴﺘﻲ ﺩﺭ ﻣﺤﻞ‬
‫ﺳﻮﺋﻴﭻ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺍﮔﺮ ﺍﻳﻦ ﺷﺒﻜﻪ‪ ،‬ﻳﻚ ﺷﺒﻜﺔ ﺳﻮﺋﻴﭻ ﺑﺴﺘﻪﺍﻱ ﻫﻤﮕﺎﻧﻲ ﺑﺎﺷﺪ‪ ،‬ﻛﺎﺭﺑﺮ ﻛﻨﺘﺮﻟﻲ ﺑﺮ ﺍﻣﻨﻴـﺖ ﮔـﺮﻩﻫـﺎ ﻧﺨﻮﺍﻫـﺪ‬
‫ﺩﺍﺷﺖ‪.‬‬
‫ﺩﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ ﺩﻭ ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﻣﻴﺰﺑﺎﻥ ﻳﺎ ﭘﺎﻳﺎﻧﻪ ﻣﻨﺒﻊ‪ ،‬ﺩﺍﺩﻩﻫﺎ ﺭﺍ ﺑﻪ ﺭﻣﺰ‬
‫ﺩﺭ ﻣﻲﺁﻭﺭﺩ‪ .‬ﺁﻧﮕﺎﻩ ﺩﺍﺩﻩﻫﺎ‪ ،‬ﺑﺎ ﻓﺮﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﻭ ﺑﺪﻭﻥ ﺗﻐﻴﻴﺮ ﺩﺭ ﻋﺮﺽ ﺷﺒﻜﻪ ﺑﻪ ﭘﺎﻳﺎﻧﻪ ﻭ ﻳﺎ ﻣﻴﺰﺑﺎﻥ ﻣﻘﺼﺪ ﻋﺒﻮﺭ ﻣﻲﻛﻨﺪ‪ .‬ﻣﻘﺼﺪ‬
‫ﺑﺎ ﻛﻠﻴﺪﻱ ﻛﻪ ﻫﻤﺎﻧﻨﺪ ﻛﻠﻴﺪ ﻣﻨﺒﻊ ﺍﺳﺖ‪ ،‬ﭘﻴﺎﻡ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻨﻈﺮ ﻣﻴﺮﺳﺪ ﻛﻪ ﺍﻳﻦ ﺭﻭﺵ‪ ،‬ﺍﻧﺘﻘﺎﻝ ﭘﻴﺎﻡ ﺩﺭ ﻣﻘﺎﺑﻞ ﺣﻤﻼﺗﻲ ﻛﻪ ﺑﻪ‬
‫ﭘﻴﻮﻧﺪﻫﺎ ﻭ ﻳﺎ ﺳﻮﺋﻴﭻﻫﺎ ﻣﻲﺷﻮﺩ ﺭﺍ ﺗﻀﻤﻴﻦ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ ﻫﻨﻮﺯ ﻳﻚ ﻧﻘﻄﺔ ﺳُﺴﺖ ﺑﺎﻗﻲ ﺍﺳﺖ‪.‬‬
‫ﺣﺎﻟﺖ ﺯﻳﺮ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪ .‬ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﺑﻪ ﻳﻚ ﺷﺒﻜﺔ ﺳﻮﺋﻴﭻ ﺑﺴﺘﻪﺍﻱ ‪ X.25‬ﻭﺻﻞ ﺷﺪﻩ‪ ،‬ﻳﻚ ﻣﺪﺍﺭ ﻣﺠـﺎﺯﻱ ﺑـﺎ ﻣﻴﺰﺑـﺎﻥ‬
‫ﺩﻳﮕﺮﻱ ﺭﺍ ﺑﺮﻗﺮﺍﺭ ﻛﺮﺩﻩ ﻭ ﺁﻣﺎﺩﻩ ﺍﺳﺖ ﺗﺎ ﺩﻳﺘﺎ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﺑﺮﺍﻱ ﻣﻴﺰﺑﺎﻥ ﺩﻳﮕﺮ ﺑﻔﺮﺳﺘﺪ‪ .‬ﺩﻳﺘﺎ ﺭﻭﻱ ﭼﻨـﻴﻦ‬
‫ﺷﺒﻜﻪﺍﻱ ﺑﺼﻮﺭﺕ ﺑﺴﺘﻪﻫﺎﺋﻲ ﻣﻨﺘﻘﻞ ﻣﻲﮔﺮﺩﺩ ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ﺳﺮﺁﻳﻨﺪ ﻭ ﺑﺨﺶ ﺩﺍﺩﻩﻫﺎﺳﺖ‪ .‬ﻣﻴﺰﺑﺎﻥ ﻛﺪﺍﻡ ﺑﺨـﺶ ﺭﺍ ﺑﺎﻳـﺪ ﺭﻣﺰﻧﮕـﺎﺭﻱ‬
‫ﻧﻤﺎﻳﺪ؟ ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﻣﻴﺰﺑﺎﻥ ﻛﻞ ﺑﺴﺘﻪ ﻛﻪ ﺷﺎﻣﻞ ﺳﺮﺁﻳﻨﺪ ﻧﻴﺰ ﻫﺴﺖ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻋﻤﻠﻲ ﻧﺨﻮﺍﻫﺪ ﺑﻮﺩ‪ ،‬ﺯﻳﺮﺍ ﻓﺮﺍﻣﻮﺵ‬
‫ﻧﻜﻨﻴﺪ ﻛﻪ ﺗﻨﻬﺎ ﻣﻴﺰﺑﺎﻥ ﺍﻧﺘﻬﺎﺋﻲ ﻗﺎﺩﺭ ﺑﻪ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﺳﺖ‪ .‬ﺩﺭﺍﻳﻦ ﺣﺎﻟﺖ‪ ،‬ﮔﺮﺓ ﺳﻮﺋﻴﭻ ﺑﺴﺘﻪﺍﻱ ﻛﻪ ﻳﻚ ﺑﺴﺘﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺭﺍ ﺩﺭﻳﺎﻓﺖ‬
‫ﻣﻲﻛﻨﺪ ﻗﺎﺩﺭ ﺑﻪ ﺧﻮﺍﻧﺪﻥ ﺳﺮﺁﻳﻨﺪ ﺁﻥ ﻧﺒﻮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻧﺨﻮﺍﻫﺪ ﺗﻮﺍﻧﺴﺖ ﺗﺎ ﺁﻥ ﺭﺍ ﻣﺴﻴﺮﻳﺎﺑﻲ ﻧﻤﺎﻳـﺪ‪ .‬ﭘـﺲ ﭼﻨـﻴﻦ ﺑﻨﻈـﺮ ﻣﻴﺮﺳـﺪ ﻛـﻪ‬
‫ﻣﻴﺰﺑﺎﻥ ﻣﺒﺪﺃ ﻓﻘﻂ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺨﺶ ﺩﺍﺩﻩﻫﺎﻱ ﺑﺴﺘﻪ ﺩﻳﺘﺎ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﺮﺩﻩ ﻭ ﺑﺎﻳﺴﺘﻲ ﺑﺨﺶ ﺳﺮﺁﻳﻨﺪ ﺭﺍ ﺁﺯﺍﺩ ﮔﺬﺍﺷﺘﻪ ﺗﺎ ﺷﺒﻜﻪ ﺑﺘﻮﺍﻧﺪ ﺑﺎ‬
‫ﺧﻮﺍﻧﺪﻥ ﺁﻥ ﺑﺴﺘﻪ ﺭﺍ ﺑﻪ ﻣﺴﻴﺮ ﺻﺤﻴﺢ ﻫﺪﺍﻳﺖ ﻛﻨﺪ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﺩﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ‪ ،‬ﺩﺍﺩﻩﻫﺎﻱ ﻛﺎﺭﺑﺮ ﺍﻣﻦ ﻣﻲﻣﺎﻧﻨﺪ‪ .‬ﺍﻣـﺎ ﭼـﻮﻥ ﺳـﺮﺁﻳﻨﺪ ﺑـﺴﺘﻪﻫـﺎ ﺑـﺼﻮﺭﺕ ﺳـﺎﺩﻩ ﻣﻨﺘﻘـﻞ‬
‫ﻣﻲﮔﺮﺩﻧﺪ‪ ،‬ﺍﹸﻟﮕﻮﻱ ﺗﺮﺍﻓﻴﻚ ﺍﻣﻦ ﻧﺨﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﺍﻣﻨﻴﺖ ﺑﻴﺸﺘﺮ‪ ،‬ﻫﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ ﻭ ﻫﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳـﺮ‪ -‬ﺑـﻪ‪ -‬ﺳـﺮ ﻣـﻮﺭﺩ‬
‫ﻧﻴﺎﺯﻧﺪ ﻛﻪ ﺍﻳﻦ ﻣﻄﻠﺐ ﺩﺭ ﺷﻜﻞ ‪ ۲-۱۱‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺑﻄﻮﺭ ﺧﻼﺻﻪ‪ ،‬ﻫﺮ ﻭﻗﺖ ﺍﺯ ﻫﺮ ﺩﻭ ﻓﺮﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﻣﻴﺰﺑﺎﻥ ﻣﺒﺪﺃ ﺩﺭ ﺍﺑﺘﺪﺍ ﺑﺨﺶ ﺩﺍﺩﻩﻫﺎﻱ ﻛﺎﺭﺑﺮ ﺩﺭ ﻳﻚ‬
‫ﺑﺴﺘﺔ ﺩﻳﺘﺎ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻛﻨﺪ ﻭ ﺳﭙﺲ ﺗﻤﺎﻡ ﺑﺴﺘﻪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ ﺑﻪ ﺭﻣﺰ ﺩﺭﻣﻲﺁﻳﺪ‪ .‬ﻫﻤﻴﻨﻄﻮﺭ ﻛﻪ ﺑﺴﺘﻪ ﺩﻳﺘﺎ ﺩﺭ ﻋﺮﺽ ﺷﺒﻜﻪ ﻋﺒﻮﺭ ﻣﻲﻧﻤﺎﻳﺪ‪ ،‬ﻫﺮ ﺳﻮﺋﻴﭻ‪ ،‬ﺑﺴﺘﻪ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ‬
‫ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﺗﺎ ﺳﺮﺁﻳﻨﺪ ﺁﻥ ﺭﺍ ﺧﻮﺍﻧﺪﻩ ﻭ ﺳﭙﺲ ﻣﺠﺪﺩﺍﹰ ﺗﻤﺎﻡ ﺑﺴﺘﻪ ﺭﺍ ﺑﺮﺍﻱ ﺍﺭﺳﺎﻝ ﺭﻭﻱ ﭘﻴﻮﻧﺪ ﺑﻌﺪﻱ ﻣﺴﻴﺮ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺑﺪﻳﻦ ﺗﺮﺗﻴﺐ ﺗﻤﺎﻡ ﻳﻚ ﺑﺴﺘﺔ ﺩﻳﺘﺎ‪ ،‬ﻣﮕﺮ ﺩﺭ ﺯﻣﺎﻧﻲ ﻛﻪ ﺑﺴﺘﻪ ﺩﺭ ﺣﺎﻓﻈﺔ ﻳﻚ ﺳﻮﺋﻴﭻ ﺑﺴﺘﻪﺍﻱ ﻗﺮﺍﺭ ﺩﺍﺷﺘﻪ‪ ،‬ﺍﻣﻦ‬
‫ﺍﺳﺖ ﻛﻪ ﻓﻘﻂ ﺩﺭ ﺁﻥ ﺯﻣﺎﻥ ﺳﺮﺁﻳﻨﺪ ﺑﺴﺘﻪ ﺑﺼﻮﺭﺕ ﺭﻣﺰﻧﺸﺪﻩ ﻗﺎﺑﻞ ﻣﺸﺎﻫﺪﻩ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﺩﻭﻡ‬ ‫‪ ٦٦‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺷﺒﻜﺔ ﺳﻮﺋﻴﭻ‬
‫ﺑﺴﺘﻪﺍﻱ‬
‫= ﻭﺳﻴﻠﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ‬

‫= ﻭﺳﻴﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ‬
‫‪ = PSN‬ﮔﺮﻩ ﺳﻮﺋﻴﭻ ﺑﺴﺘﻪﺍﻱ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ ﻋﺮﺽ ﻳﻚ ﺷﺒﻜﺔ ﺳﻮﺋﻴﭻ ﺑﺴﺘﻪﺍﻱ‬ ‫ﺷﻜﻞ ‪۲-۱۱‬‬
‫ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ‬ ‫‪۲-۶‬‬
‫ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻋﻤﻠﻲ ﮔﺮﺩﺩ‪ ،‬ﻃﺮﻓﻴﻦ ﺍﺭﺗﺒﺎﻁ ﺑﺎﻳﺴﺘﻲ ﺩﺍﺭﺍﻱ ﻛﻠﻴﺪ ﺭﻣﺰ ﻭﺍﺣﺪﻱ ﺑﻮﺩﻩ ﻭ ﺍﻳﻦ ﻛﻠﻴﺪ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﺩﺳﺖﻳﺎﺑﻲ‬
‫ﺩﻳﮕﺮﺍﻥ ﻣﺤﺎﻓﻈﺖ ﮔﺮﺩﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺍﻳﻦ ﻣﻌﻤﻮﻻﹰ ﻻﺯﻡ ﺍﺳﺖ ﺗﺎ ﻣﻜﺮﺭﺍﹰ ﻛﻠﻴﺪ ﺭﺍ ﺗﻌﻮﻳﺾ ﻛﺮﺩﻩ ﺗﺎ ﺍﺣﺘﻤﺎﻝ ﻓﺎﺵ ﺷﺪﻥ ﺩﺍﺩﻩﻫﺎ‪ ،‬ﺩﺭ ﺻﻮﺭﺕ‬
‫ﺩﺳﺖﻳﺎﺑﻲ ﻳﻚ ﺩﺷﻤﻦ ﺑﻪ ﻛﻠﻴﺪ‪ ،‬ﺭﺍ ﺑﻪ ﺣﺪﺍﻗﻞ ﺑﺮﺳﺎﻧﻴﻢ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻗﺪﺭﺕ ﻳﻚ ﺳﻴﺴﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺭﻭﺵ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﺍﺳﺖ‪.‬‬
‫ﺍﺻﻄﻼﺡ »ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ« ﺑﻪ ﺭﻭﺵ ﺗﺤﻮﻳﻞ ﻛﻠﻴﺪ ﺑﻪ ﺩﻭ ﻃﺮﻓﻲ ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨﺪﻛﻪ ﺗﻤﺎﻳﻞ ﺑﻪ ﻣﺒﺎﺩﻟﺔ ﺩﻳﺘﺎ ﺩﺍﺭﻧﺪ‪ ،‬ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ ﺩﻳﮕﺮﺍﻥ ﺑﺘﻮﺍﻧﻨﺪ‬
‫ﻛﻠﻴﺪ ﺭﺍ ﻣﺸﺎﻫﺪﻩ ﻧﻤﺎﻳﻨﺪ‪ .‬ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﺭﺍ ﻣﻴﺘﻮﺍﻥ ﺑﻪ ﭼﻨﺪ ﺻﻮﺭﺕ ﺍﻧﺠﺎﻡ ﺩﺍﺩ‪ .‬ﺑﺮﺍﻱ ﺩﻭ ﻃﺮﻑ ‪ A‬ﻭ ‪:B‬‬
‫‪ -۱‬ﻛﻠﻴﺪ ﻣﻴﺘﻮﺍﻧﺪ ﺑﺘﻮﺳﻂ ‪ A‬ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﻭ ﺑﺼﻮﺭﺕ ﻓﻴﺰﻳﻜﻲ ﺑﻪ ‪ B‬ﺗﺤﻮﻳﻞ ﮔﺮﺩﺩ‪.‬‬
‫‪ -۲‬ﺷﺨﺺ ﺛﺎﻟﺜﻲ ﻣﻴﺘﻮﺍﻧﺪ ﻛﻠﻴﺪ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﺮﺩﻩ ﻭ ﺑﺼﻮﺭﺕ ﻓﻴﺰﻳﻜﻲ ﺁﻥ ﺭﺍ ﺑﻪ ‪ A‬ﻭ ‪ B‬ﺗﺤﻮﻳﻞ ﺩﻫﺪ‪.‬‬
‫‪ -۳‬ﺍﮔﺮ ‪ A‬ﻭ ‪ B‬ﻗﺒﻼﹰ ﻭ ﺍﺧﻴﺮﺍﹰ ﺍﺯ ﻛﻠﻴﺪﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﺮﺩﻩﺍﻧﺪ‪ ،‬ﻳﻜﻲ ﺍﺯ ﻃﺮﻓﻴﻦ ﻣﻴﺘﻮﺍﻧﺪ ﻛﻠﻴﺪ ﺟﺪﻳﺪ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ‬
‫ﺑﺼﻮﺭﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﻗﺪﻳﻢ‪ ،‬ﺑﻪ ﻃﺮﻑ ﺩﻳﮕﺮ ﺗﺤﻮﻳﻞ ﺩﻫﺪ‪.‬‬
‫‪ -۴‬ﺍﮔﺮ ‪ A‬ﻭ ‪ B‬ﻫﺮﻛﺪﺍﻡ ﻳﻚ ﺍﺭﺗﺒﺎﻁ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺑﺎ ﺷﺨﺺ ﺛﺎﻟﺚ ‪ C‬ﺩﺍﺭﻧﺪ‪ C ،‬ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﻛﻠﻴﺪ ﺭﺍ ﺍﺯ ﻃﺮﻳﻖ‬
‫ﭘﻴﻮﻧﺪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺑﺎ ‪ A‬ﻭ ‪ B‬ﺑﻪ ﺁﻧﻬﺎ ﺗﺤﻮﻳﻞ ﺩﻫﺪ‪.‬‬
‫ﺭﻭﺵﻫﺎﻱ ‪ ۱‬ﻭ ‪ ۲‬ﻧﻴﺎﺯ ﺑﻪ ﺗﺤﻮﻳﻞ ﺩﺳﺘﻲ ﻳﻚ ﻛﻠﻴﺪ ﺩﺍﺭﻧﺪ‪ .‬ﺩﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ‪ ،‬ﺍﻳﻦ ﻳﻚ ﻧﻴﺎﺯ ﻣﻌﻘﻮﻝ ﺍﺳﺖ ﺯﻳﺮﺍ ﻫﺮ ﺩﺳﺘﮕﺎﻩ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ ﺗﻨﻬﺎ ﻣﻲﺧﻮﺍﻫﺪ ﺩﺍﺩﻩﻫﺎ ﺭﺍ ﺑﺎ ﺷﺮﻳﻚ ﺧﻮﺩ ﺩﺭ ﻃﺮﻑ ﺩﻳﮕﺮ ﭘﻴﻮﻧﺪ ﻣﺒﺎﺩﻟﻪ ﻧﻤﺎﻳﺪ‪ .‬ﻭﻟﻲ ﺩﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ‬
‫ﺗﺤﻮﻳﻞ ﺩﺳﺘﻲ ﻏﻴﺮﻣﻌﻘﻮﻝ ﺍﺳﺖ‪ .‬ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﻮﺯﻳﻊ ﺷﺪﻩ‪ ،‬ﻫﺮ ﻣﻴﺰﺑﺎﻥ ﻭ ﻳﺎ ﭘﺎﻳﺎﻧﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﻴﺎﺯ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﺩﺭ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‬
‫ﺑﺎ ﻣﻴﺰﺑﺎﻧﺎﻥ ﺑﺴﻴﺎﺭ ﺩﻳﮕﺮﻱ ﻣﺸﺎﺭﻛﺖ ﻛﻨﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻫﺮ ﺩﺳﺘﮕﺎﻩ ﻧﻴﺎﺯ ﺑﻪ ﺗﻌﺪﺍﺩﻱ ﻛﻠﻴﺪ ﺩﺍﺷﺘﻪ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻃﻮﻝ ﺯﻣﺎﻥ ﺑﺼﻮﺭﺕ‬
‫ﭘﻮﻳﺎﺋﻲ ﺗﻮﻟﻴﺪ ﺷﻮﻧﺪ‪ .‬ﺍﻳﻦ ﻣﺸﻜﻞ ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﻮﺯﻳﻊ ﺷﺪﺓ ﭘﻬﻨﺎﻭﺭ ﺣﺎﺩﺗﺮ ﺍﺳﺖ‪.‬‬
‫‪٦٧‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺭﻭﺵ‪ ۳‬ﺍﻣﻜﺎﻧﻲ ﺍﺳﺖ ﻛﻪ ﻫﻢ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ ﻭ ﻫﻢ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻭﻟﻲ ﺍﮔﺮ ﻳﻚ‬
‫ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﻳﻜﺒﺎﺭ ﻣﻮﻓﻖ ﺑﻪ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻛﻠﻴﺪﻱ ﮔﺮﺩﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﻫﻤﺔ ﻛﻠﻴﺪﻫﺎﻱ ﺑﻌﺪﻱ ﻧﻴﺰ ﻟﻮ ﺧﻮﺍﻫﻨﺪ ﺭﻓﺖ‪ .‬ﺣﺘﻲ ﺍﮔﺮ ﺩﺭ ﻣﻮﺭﺩ‬
‫ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ‪ ،‬ﺗﻌﻮﻳﺾﻫﺎﻱ ﻣﻜﺮﺭﻱ ﺻﻮﺭﺕ ﭘﺬﻳﺮﺩ‪ ،‬ﺍﻳﻦ ﻛﺎﺭ ﺑﺎﻳﺴﺘﻲ ﺑﻄﻮﺭ ﺩﺳﺘﻲ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ﺗﻬﻴﺔ ﻛﻠﻴﺪﻫﺎ‬
‫ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ‪ ،‬ﺭﻭﺵ ‪ ۴‬ﺩﺍﺭﺍﻱ ﺍﺭﺟﺤﻴﺖ ﺑﻴﺸﺘﺮﻱ ﺍﺳﺖ‪.‬‬
‫ﺷﻜﻞ‪ ۲-۱۲‬ﺭﻭﺷﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻴﺪﻫﺪ ﻛﻪ ﮔﺰﻳﻨﻪ ‪ ۴‬ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﺭﺍ ﻋﻤﻠﻲ ﻧﻤﻮﺩﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﺷﻜﻞ ﺍﺯ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ ﺻﺮﻓﻨﻈﺮ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﻮﺭﺩ ﺭﺍ ﻣﻴﺘﻮﺍﻥ ﺑﺮ ﺣﺴﺐ ﻧﻴﺎﺯ ﺍﺿﺎﻓﻪ ﻛﺮﺩ ﻭ ﻳﺎ ﻧﻜﺮﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﺭﻭﺵ ﺩﻭ ﻧﻮﻉ ﻛﻠﻴﺪ ﺗﻌﺮﻳﻒ‬
‫ﺷﺪﻩ ﺍﺳﺖ‪:‬‬
‫• ﻛﻠﻴﺪ ﺍﺟﻼﺱ‪ :‬ﻭﻗﺘﻲ ﺩﻭ ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ )ﻣﻴﺰﺑﺎﻥ‪ ،‬ﭘﺎﻳﺎﻧﻪ ﻭ ﻏﻴﺮﻩ( ﺗﻤﺎﻳﻞ ﺑﻪ ﺍﺭﺗﺒﺎﻁ ﺩﺍﺭﻧﺪ‪ ،‬ﺁﻧﻬﺎ ﻳﻚ ﺍﺗﺼﺎﻝ ﻣﻨﻄﻘﻲ )ﻣﺜﻞ ﻣﺪﺍﺭ‬
‫ﻣﺠﺎﺯﻱ( ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺩﺭ ﺧﻼﻝ ﺗﺪﺍﻭﻡ ﺍﺗﺼﺎﻝ ﻣﻨﻄﻘﻲ‪ ،‬ﺗﻤﺎﻡ ﺩﺍﺩﻩﻫﺎﻱ ﻛﺎﺭﺑﺮ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻳﻜﺒﺎﺭﻣﺼﺮﻑ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﺧﺎﺗﻤﺔ ﮔﻔﺘﮕﻮ‪ ،‬ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻣﻌﺪﻭﻡ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫• ﻛﻠﻴﺪ ﺩﺍﺋﻢ‪ :‬ﻳﻚ ﻛﻠﻴﺪ ﺩﺍﺋﻢ ﻛﻠﻴﺪﻱ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪﻫﺎﻱ ﺍﺟﻼﺱ ﺑﻴﻦ ﻭﺍﺣﺪﻫﺎ ﺑﻜﺎﺭ ﻣﻴﺮﻭﺩ‪.‬‬
‫ﭘﻴﻜﺮﺑﻨﺪﻱ ﺷﻜﻞ ‪ ۲-۱۲‬ﺷﺎﻣﻞ ﻋﻨﺎﺻﺮ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫• ﻣﺮﻛﺰ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ)‪ :(KDC‬ﻣﺮﻛﺰ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﻛﺪﺍﻡ ﺳﻴﺴﺘﻢﻫﺎ ﻣﺠﺎﺯ ﺑﻪ ﺍﺭﺗﺒﺎﻁ ﺑﺎ ﻳﻜﺪﻳﮕﺮﻧﺪ‪ .‬ﻭﻗﺘﻲ ﺑﻪ‬
‫ﺩﻭ ﺳﻴﺴﺘﻢ ﺍﺟﺎﺯﻩ ﺩﺍﺩﻩ ﺷﺪ ﺗﺎ ﺑﺎ ﻫﻢ ﺍﺭﺗﺒﺎﻁ ﻳﺎﺑﻨﺪ‪ ،‬ﻣﺮﻛﺰ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻳﻜﺒﺎﺭﻣﺼﺮﻑ ﺭﺍ ﺑﺮﺍﻱ ﺍﻳﻦ ﺍﺭﺗﺒﺎﻁ‬
‫ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪.‬‬
‫• ﻣﺪﻭﻝ ﺳﺮﻭﻳﺲ ﺍﻣﻨﻴﺘﻲ )‪ :(SSM‬ﺍﻳﻦ ﻣﺪﻭﻝ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﻋﻤﻠﻜﺮﺩ ﺩﺭ ﻳﻚ ﻻﻳﻪ ﭘﺮﻭﺗﻜﻠﻲ ﺑﺎﺷﺪ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﻭ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﺍ ﺍﺯ ﺟﺎﻧﺐ ﻛﺎﺭﺑﺮﺍﻥ ﺑﺪﺳﺖ ﻣﻲﺁﻭﺭﺩ‪.‬‬
‫ﻗﺪﻡﻫﺎﺋﻲ ﻛﻪ ﺑﺮﺍﻱ ﺑﺮﻗﺮﺍﺭﻱ ﺍﺭﺗﺒﺎﻁ ﺑﺮﺩﺍﺷﺘﻪ ﻣﻲﺷﻮﺩ ﺩﺭ ﺷﻜﻞ ‪ ۲-۱۲‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﻣﻲﺧﻮﺍﻫﺪ ﺗﺎ‬
‫ﺍﺭﺗﺒﺎﻃﻲ ﺑﺎ ﻣﻴﺰﺑﺎﻥ ﺩﻳﮕﺮ ﺑﺮﻗﺮﺍﺭ ﺳﺎﺯﺩ‪ ،‬ﻳﻚ ﺑﺴﺘﺔ ﺩﺭﺧﻮﺍﺳﺖ ﺍﺭﺗﺒﺎﻁ ﺭﺍ ﺍﺭﺳﺎﻝ ﻣﻴﻜﻨﺪ )ﻗﺪﻡ ﺍﻭﻝ(‪ SSM .‬ﺁﻥ ﺑﺴﺘﻪ ﺭﺍ ﺫﺧﻴﺮﻩ ﻛﺮﺩﻩ ﻭ‬
‫ﺍﺯ ‪ KDC‬ﺍﺟﺎﺯﻩ ﻣﻴﺨﻮﺍﻫﺪ ﺗﺎ ﺍﺭﺗﺒﺎﻁ ﺭﺍ ﺑﺮﻗﺮﺍﺭ ﻛﻨﺪ )ﻗﺪﻡ ﺩﻭﻡ(‪ .‬ﺍﺭﺗﺒﺎﻁ ﺑﻴﻦ ‪ SSM‬ﻭ ‪ KDC‬ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﺍﺻﻠﻲ ﻛﻪ ﺗﻨﻬﺎ ﺩﺭ ﺍﺧﺘﻴﺎﺭ‬
‫‪ SSM‬ﻭ ‪ KDC‬ﺍﺳﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪ .‬ﺍﮔﺮ ‪ KDC‬ﺗﻘﺎﺿﺎﻱ ﺍﺗﺼﺎﻝ ﺭﺍ ﺑﭙﺬﻳﺮﺩ‪ ،‬ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺗﻬﻴﻪ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺎ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﻳﻜﺘﺎﻱ ﺩﺍﺋﻢ ﺑﺮﺍﻱ ﻫﺮ ‪ ،SSM‬ﺑﻪ ﺩﻭ ‪ SSM‬ﺫﻳﺮﺑﻂ ﺗﺤﻮﻳﻞ ﻣﻲﺩﻫﺪ )ﻗﺪﻡ ﺳﻮﻡ(‪ .‬ﺍﻛﻨﻮﻥ ‪ SSM‬ﻣﺘﻘﺎﺿﻲ ﺍﺭﺗﺒﺎﻁ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺑﺴﺘﺔ ﺩﺭﺧﻮﺍﺳﺖ ﺍﺭﺗﺒﺎﻁ ﺭﺍ ﺭﻫﺎ ﻛﺮﺩﻩ ﻭ ﻳﻚ ﺍﺗﺼﺎﻝ ﺑﻴﻦ ﺩﻭ ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ ﺑﺮﻗﺮﺍﺭ ﻣﻲﺷﻮﺩ )ﻗﺪﻡ ﭼﻬﺎﺭﻡ(‪ .‬ﺗﻤﺎﻡ ﺩﺍﺩﻩﻫﺎﻱ‬
‫ﻛﺎﺭﺑﺮ ﻛﻪ ﺑﻴﻦ ﺩﻭ ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ ﺭﺩ ﻭ ﺑﺪﻝ ﻣﻲﺷﻮﻧﺪ ﺑﺘﻮﺳﻂ ‪SSM‬ﻫﺎﻱ ﺫﻳﺮﺑﻂ ﻭ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻳﻜﺒﺎﺭ ﻣﺼﺮﻑ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫ﺭﻭﺵ ﺗﻮﺯﻳﻊ ﺍﺗﻮﻣﺎﺗﻴﻚ ﻛﻠﻴﺪ‪ ،‬ﺍﻧﻌﻄﺎﻑﭘﺬﻳﺮﻱ ﻭ ﭘﻮﻳﺎﺋﻲ ﻻﺯﻡ ﺑﺮﺍﻱ ﺍﺭﺗﺒﺎﻁ ﺗﻌﺪﺍﺩﻱ ﭘﺎﻳﺎﻧﻪ ﺑﺎ ﺗﻌﺪﺍﺩﻱ ﻣﻴﺰﺑﺎﻥ ﻭ ﻫﻤﭽﻨﻴﻦ ﺍﺭﺗﺒﺎﻁ‬
‫ﻣﻴﺰﺑﺎﻥﻫﺎ ﺑﺮﺍﻱ ﻣﺒﺎﺩﻟﺔ ﺩﺍﺩﻩﻫﺎ ﺑﺎ ﻳﻜﺪﻳﮕﺮ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪.‬‬
‫ﺭﻭﺵ ﺩﻳﮕﺮﻱ ﺑﺮﺍﻱ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻓﺼﻞ ﺳﻮﻡ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ‬
‫ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﺩﻭﻡ‬ ‫‪ ٦٨‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣﺮﻛﺰ‬
‫ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ‬ ‫‪ -١‬ﻣﻴﺰﺑﺎﻥ ﺑﺴﺘﺔ ﺩﺭﺧﻮﺍﺳﺖ ﺍﺭﺗﺒﺎﻁ ﺭﺍ ﺍﺭﺳﺎﻝ ﻣﻲﺩﺍﺭﺩ‪.‬‬
‫‪ -۲‬ﺳﺮﻭﻳﺲ ﺍﻣﻨﻴﺘﻲ ﺑﺴﺘﻪ ﺭﺍ ﺫﺧﻴﺮﻩ ﻛﺮﺩﻩ ﻭ ﺍﺯ ‪KDC‬‬
‫ﺗﻘﺎﺿﺎﻱ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ KDC -۳‬ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﺍ ﺑﺮﺍﻱ ﻫﺮﺩﻭ ﻣﻴﺰﺑﺎﻥ ﻣﻲﻓﺮﺳﺘﺪ‪.‬‬
‫‪ -۴‬ﺑﺴﺘﺔ ﺫﺧﻴﺮﻩ ﺷﺪﻩ ﺍﻧﺘﻘﺎﻝ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫‪3‬‬
‫ﻛﺎﺭﺑﺮﺩ‬ ‫ﻛﺎﺭﺑﺮﺩ‬
‫‪2‬‬
‫‪1‬‬
‫ﺳﺮﻭﻳﺲ‬ ‫ﺳﺮﻭﻳﺲ‬
‫ﺍﻣﻨﻴﺖ‬ ‫ﺍﻣﻨﻴﺖ‬
‫‪4‬‬
‫ﻣﻴﺰﺑﺎﻥ‬ ‫ﻣﻴﺰﺑﺎﻥ‬
‫ﺷﺒﻜﻪ‬
‫ﺗﻮﺯﻳﻊ ﺍﺗﻮﻣﺎﺗﻴﻚ ﻛﻠﻴﺪ ﺑﺮﺍﻱ ﭘﺮﻭﺗﻜﻞ ﺑﺎ ﮔﺮﺍﻳﺶ ﺍﺗﺼﺎﻟﻲ‬ ‫ﺷﻜﻞ ‪۲-۱۲‬‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۲-۷‬‬
‫ﻋﻨﺎﻭﻳﻦ ﺍﻳﻦ ﻓﺼﻞ ﺑﺎ ﺟﺰﺋﻴﺎﺕ ﺑﻴﺸﺘﺮﻱ ﺩﺭ ]‪ [STAL06a‬ﭘﻮﺷﺶ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﺯﻣﻴﻨﺔ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ [SCHN96] ،‬ﻳﻚ‬
‫ﻣﺮﺟﻊ ﻛﺎﻣﻞ ﺍﺳﺖ ﻛﻪ ﺗﻘﺮﻳﺒﺎﹰ ﺗﻤﺎﻡ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎ ﻭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻪ ﺗﺎ ﺯﻣﺎﻥ ﻧﺸﺮ ﺍﻳﻦ ﻛﺘﺎﺏ ﻣﻨﺘﺸﺮ ﺷﺪﻩﺍﻧﺪ ﺩﺭ ﺁﻥ ﺗﻮﺻﻴﻒ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻳﻜﻲ ﺩﻳﮕﺮ ﺍﺯ ﺑﺮﺭﺳﻲﻫﺎﻱ ﺩﻗﻴﻖ ﻭ ﺍﺭﺯﺷﻤﻨﺪ ]‪ [MENE97‬ﺍﺳﺖ‪ .‬ﻳﻚ ﻧﮕﺮﺵ ﻋﻤﻴﻖﺗﺮ ﺑﻬﻤﺮﺍﻩ ﺑﺤﺚﻫﺎﻱ ﻣﻔﺼﻞ ﺭﻳﺎﺿﻲ ﺩﺭ ]‪ [STIN06‬ﺁﻣﺪﻩ‬
‫ﺍﺳﺖ‪.‬‬
‫‪MENE97 Menezes, A.; van Oorshoot, P.; and Vanstone, S. Handbook of Applied Cryptography.‬‬
‫‪Boca Raton, FL: CRC Press, 1997.‬‬
‫‪SCHN96 Schneier, B. Applied Cryptography. New York: Wiley, 1996.‬‬
‫‪STAL06a Stallings, W. Cryptography and Network Security: Principles and Practice, Fourth‬‬
‫‪Edition. Upper Saddle River, NJ: Prentice Hall, 2006.‬‬
‫‪STIN06‬‬ ‫‪Stinson, D. Cryptography: Theory and Practice. Boca Raton, FL: CRC Press, 2006.‬‬
‫‪٦٩‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻭِﺏ ﺳﺎﻳﺖﻫﺎﻱ ﻣﻔﻴﺪ‬
‫‪ :AES home page‬ﺻﻔﺤﺔ ‪ NIST‬ﺩﺭ ﻣﻮﺭﺩ ‪ .AES‬ﺷﺎﻣﻞ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻭ ﻳﻚ ﺳﺮﻱ ﺍﺳﻨﺎﺩ ﻣﺮﺗﺒﻂ ﺩﻳﮕﺮ ﺍﺳﺖ‪.‬‬ ‫•‬
‫‪ :AES Lounge‬ﺷﺎﻣﻞ ﻳﻚ ﻓﻬﺮﺳﺖ ﻣﻔﺼﻞ ﺍﺯ ﺍﺳﻨﺎﺩ ﻭ ﻣﻘﺎﻟﻪﻫﺎ ﺩﺭ ﻣﻮﺭﺩ ‪ AES‬ﺑﺎ ﻗﺎﺑﻠﻴﺖ ﻛﭙﻲ ﺑﺮﺩﺍﺷﺘﻦ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺍﺯ ﺁﻧﻬﺎﺳﺖ‪.‬‬ ‫•‬
‫‪ :Block Cipher Modes of Operation‬ﺻﻔﺤﺔ ‪ NIST‬ﺑﺎ ﺍﻃﻼﻋﺎﺕ ﻛﺎﻣﻠﻲ ﺩﺭ ﻣﻮﺭﺩ ﻣُﻮﺩﻫﺎﻱ ﻣﻮﺭﺩ ﺗﺄﺋﻴﺪ ‪.NIST‬‬ ‫•‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۲-۸‬‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺸﺮﻓﺘﻪ)‪Advanced Encyption Standard (AES‬‬ ‫‪encryption‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪block cipher‬‬ ‫ﺭﻣﺰ ﻗﺎﻟﺒﻲ‬ ‫‪end-to-end encryption‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ‬
‫‪brute-force attack‬‬ ‫‪ Feistel cipher‬ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ‬ ‫ﺭﻣﺰ‪Feistel‬‬
‫‪cipher block chaining (CBC) mode‬‬ ‫ﻣُﻮﺩ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺭﻣﺰ ﻗﺎﻟﺒﻲ‬ ‫‪key distribution‬‬ ‫ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ‬
‫‪cipher feedback (CFB) mode‬‬ ‫ﻣﻮﺩ ﻓﻴﺪﺑﻚ ﺭﻣﺰ‬ ‫‪link encryption‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ‬
‫‪ciphertext‬‬ ‫‪ plaintext‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‬ ‫ﻣﺘﻦ ﺳﺎﺩﻩ‬
‫‪cryptoanalysis‬‬ ‫‪ session key‬ﺷﻜﺴﺘﻦ ﺭﻣﺰ‪-‬ﻛﺸﻒ ﺭﻣﺰ‬ ‫ﻛﻠﻴﺪ ﺍﺟﻼﺱ‬
‫‪cryptography‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪stream cipher‬‬ ‫ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ‬
‫)‪Data Encryption Standard (DES‬‬ ‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻳﺘﺎ‬ ‫‪subkey‬‬ ‫ﺯﻳﺮﻛﻠﻴﺪ‬
‫‪decryption‬‬ ‫ﺭﻣﺰﮔﺸﺎﺋﻲ‬ ‫‪symmetric encryption‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬
‫‪electronic codebook (ECB) mode‬‬ ‫ﻣُﻮﺩ ﻛﺘﺎﺏ ﻛﹸﺪ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‬ ‫)‪triple DES (3DES‬‬ ‫‪ DES‬ﺳﻪﮔﺎﻧﻪ‬
‫ﺳﻮﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﻩ ﺑﺤﺚ‬

‫‪ ۲-۱‬ﺍﺟﺰﺍﺀ ﺿﺮﻭﺭﻱ ﻳﻚ ﺭﻣﺰ ﻣﺘﻘﺎﺭﻥ ﻛﺪﺍﻣﻨﺪ؟‬
‫‪ ۲-۲‬ﺩﻭ ﻋﻤﻞ ﺍﺳﺎﺳﻲ ﻛﻪ ﺩﺭ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺯ ﺁﻧﻬﺎ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﻛﺪﺍﻣﻨﺪ؟‬
‫‪ ۲-۳‬ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﺩﻭ ﻧﻔﺮ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﺭﻣﺰ ﻣﺘﻘﺎﺭﻥ ﺑﺎ ﻫﻢ ﺍﺭﺗﺒﺎﻁ ﻳﺎﺑﻨﺪ‪ ،‬ﭼﻨﺪ ﻛﻠﻴﺪ ﻻﺯﻡ ﺍﺳﺖ؟‬
‫‪ ۲-۴‬ﺍﺧﺘﻼﻑ ﺑﻴﻦ ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺑﺎ ﻳﻚ ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﭼﻴﺴﺖ؟‬
‫‪ ۲-۵‬ﺩﻭ ﺭﻭﺵ ﻣﻌﻤﻮﻝ ﺣﻤﻠﻪ ﺑﻪ ﺭﻣﺰ ﻛﺪﺍﻣﻨﺪ؟‬
‫‪ ۲-۶‬ﭼﺮﺍ ﺑﻌﻀﻲ ﺍﺯ ﻣُﻮﺩﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺗﻨﻬﺎ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﺑﺮﺧﻲ ﺩﻳﮕﺮ ﻫﻢ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﻫﻢ ﺍﺯ‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ؟‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻪﮔﺎﻧﻪ ﭼﻴﺴﺖ؟‬ ‫‪۲-۷‬‬
‫ﭼﺮﺍ ﺑﺨﺶ ﻣﻴﺎﻧﻲ ‪ 3DES‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﺳﺖ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﻴﺴﺖ؟‬ ‫‪۲-۸‬‬
‫ﻓﺼﻞ ﺩﻭﻡ‬ ‫‪ ٧٠‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ ۲-۹‬ﺍﺧﺘﻼﻑ ﺑﻴﻦ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﺩﺭ ﭼﻴﺴﺖ؟‬

‫‪ ۲-۱۰‬ﺭﺍﻩﻫﺎﻱ ﻣﻤﻜﻦ ﺑﺮﺍﻱ ﺗﻮﺯﻳﻊ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺑﻴﻦ ﺩﻭ ﻭﺍﺣﺪ ﻣﺮﺗﺒﻂ ﺭﺍ ﻧﺎﻡ ﺑﺒﺮﻳﺪ‪.‬‬
‫‪ ۲-۱۱‬ﺍﺧﺘﻼﻑ ﻳﻚ ﻛﻠﻴﺪ ﺍﺻﻠﻲ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺩﺭ ﭼﻴﺴﺖ؟‬
‫ﻳﻚ ﻣﺮﻛﺰ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﭼﻴﺴﺖ؟‬ ‫‪۲-۱۲‬‬
‫‪ ۲-۱‬ﻧﺸﺎﻥ ﺩﻫﻴﺪ ﻛﻪ ﺭﻣﺰﮔﺸﺎﺋﻲ ‪ ،Feistel‬ﻋﻜﺲ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪ Feistel‬ﺍﺳﺖ‪.‬‬
‫‪ ۲-۲‬ﻛﺪﺍﻡ ﺍﻧﺪﺍﺯﺓ ﻛﻠﻴﺪ ‪ ،RC4‬ﺑـﺮﺩﺍﺭ ﺣﺎﻟـﺖ ‪ S‬ﺩﺭ ﻣﺮﺣﻠـﺔ ﺁﻏﺎﺯﻳـﺪﻥ ﺭﺍ ﺗﻐﻴﻴـﺮ ﻧﺨﻮﺍﻫـﺪ ﺩﺍﺩ؟ ﻳﻌﻨـﻲ ﺑﻌـﺪ ﺍﺯ ﺟﺎﻳﮕـﺸﺖ ﺍﻭﻟﻴـﺔ ‪،S‬‬
‫ﻣﺆﻟﻔﻪﻫﺎﻱ ‪ S‬ﺑﺮﺍﺑﺮ ﻣﻘﺎﺩﻳﺮ ﺻﻔﺮ ﺗﺎ ‪ ۲۵۵‬ﺑﺼﻮﺭﺕ ﺻﻌﻮﺩﻱ ﺧﻮﺍﻫﻨﺪ ﺑﻮﺩ‪.‬‬
‫‪ RC4 ۲-۳‬ﺩﺍﺭﺍﻱ ﻳﻚ ﺣﺎﻟﺖ ﺩﺍﺧﻠﻲ ﺳﺮّﻱ ﺍﺳﺖ ﻛﻪ ﺟﺎﻳﮕﺸﺖ ﺗﻤﺎﻡ ﻣﻘﺎﺩﻳﺮ ﻣﻤﻜﻦ ﺑﺮﺩﺍﺭ ‪ S‬ﻭ ﺩﻭ ﺍﻧﺪﻳﺲ ‪ i‬ﻭ ‪ j‬ﺍﺳﺖ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺭﻭﺵ ﺳﺮﺭﺍﺳﺖ ﺑﺮﺍﻱ ﺫﺧﻴﺮﻩ ﻧﻤﻮﺩﻥ ﺣﺎﻟﺖ ﺩﺍﺧﻠﻲ‪ ،‬ﭼﻪ ﺗﻌﺪﺍﺩ ﺑﻴﺖ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ؟‬
‫ﺏ ‪ -‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﺑﻪ ﺍﻳﻦ ﻣﺴﺄﻟﻪ ﺑﺎ ﺍﻳﻦ ﺩﻳﺪ ﻧﮕﺎﻩ ﻛﻨﻴﻢ ﻛﻪ ﭼﻪ ﻣﻘﺪﺍﺭ ﺍﻃﻼﻋﺎﺕ ﺑﺎ ﺍﻳﻦ ﺣﺎﻟﺖ ﻣﺮﺗﺒﻂ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﺻﻮﺭﺕ ﻻﺯﻡ‬
‫ﺍﺳﺖ ﺗﻌﻴﻴﻦ ﻛﻨﻴﻢ ﻛﻪ ﭼﻨﺪ ﺣﺎﻟﺖ ﻣﺨﺘﻠﻒ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻭ ﺁﻧﮕﺎﻩ ﻟﮕﺎﺭﻳﺘﻢ ﺍﻳﻦ ﻋﺪﺩ ﺩﺭ ﻣﺒﻨﺎﻱ ‪ ۲‬ﺭﺍ ﺣﺴﺎﺏ ﻛـﺮﺩﻩ ﺗـﺎ ﺩﺭﻳـﺎﺑﻴﻢ ﻛـﻪ‬
‫ﭼﻨﺪ ﺑﻴﺖ ﺍﻃﻼﻋﺎﺕ ﻧﺸﺎﻥﺩﻫﻨﺪﺓ ﺍﻳﻦ ﺣﺎﻟﺖ ﺍﺳﺖ‪ .‬ﺑﺎ ﺍﻳﻦ ﺭﻭﺵ ﭼﻨﺪ ﺑﻴﺖ ﻻﺯﻡ ﺍﺳﺖ ﺗﺎ ﺣﺎﻟﺖ ﺭﺍ ﻧﺸﺎﻥ ﺩﻫﺪ‪.‬‬
‫‪ ۲-۴‬ﺩﺭ ﻣُﻮﺩ ‪ ،ECB‬ﺍﮔﺮ ﺧﻄﺎﺋﻲ ﺩﺭ ﻳﻚ ﺑﻠﻮﻙ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺑﻮﺟﻮﺩ ﺁﻳﺪ‪ ،‬ﺗﻨﻬﺎ ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﺓ ﻧﻈﻴﺮﺁﻥ ﺗﺤﺖ ﺗﺄﺛﻴﺮ‬
‫ﻭﺍﻗﻊ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﺣﺎﻟﻲﻛﻪ ﺩﺭ ﻣُﻮﺩ ‪ ،CBC‬ﺍﻳﻦ ﺧﻄﺎ ﻣﻨﺘﺸﺮ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﻳﻚ ﺧﻄﺎ ﺩﺭ ‪ C1‬ﺍﺭﺳﺎﻝ ﺷﺪﻩ )ﺷﻜﻞ ‪(۲-۹‬‬
‫ﺑﻄﻮﺭ ﺁﺷﻜﺎﺭ ‪ P1‬ﻭ ‪ P2‬ﺭﺍ ﺧﺮﺍﺏ ﻣﻴﻜﻨﺪ‪.‬‬
‫ﺍﻟﻒ ‪ -‬ﺁﻳﺎ ﺑﻠﻮﻙ ﺩﻳﮕﺮﻱ ﺑﺠﺰ ‪ P2‬ﺗﺤﺖ ﺗﺄﺛﻴﺮ ﺧﻄﺎ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ؟‬
‫ﺏ – ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﻳﻚ ﺧﻄﺎ ﺩﺭ ﻧﺴﺨﺔ ﺍﺑﺘﺪﺍﺋﻲ ‪ P1‬ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺍﻳﻦ ﺧﻄﺎ ﺩﺭ ﭼﻨﺪ ﺑﻠﻮﻙ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﻣﻨﺘﺸﺮ ﻣﻲﺷﻮﺩ ؟ ﺍﺛﺮ‬
‫ﺍﻳﻦ ﺍﻣﺮ ﺩﺭ ﮔﻴﺮﻧﺪﻩ ﭼﻪ ﺧﻮﺍﻫﺪ ﺑﻮﺩ؟‬
‫‪ CBC-Pad ۲-۵‬ﻳﻚ ﻣِﻮﺩ ﻋﻤﻠﻴﺎﺗﻲ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ‪ RC5‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ ﻭﻟﻲ ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﻫﺮ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺩﻳﮕﺮ ﻧﻴـﺰ‬
‫ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪ CBC-Pad .‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﻫﺮ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﺎ ﻫﺮ ﻃﻮﻟﻲ ﺍﻋﻤﺎﻝ ﮔﺮﺩﺩ‪ .‬ﻃﻮﻝ ﻣﺘﻦ ﺭﻣﺰ ﺷﺪﻩ ﻧﻈﻴﺮ‪ ،‬ﺣـﺪﺍﻛﺜﺮ ﺑـﻪ‬
‫ﺍﻧﺪﺍﺯﺓ ﻳﻚ ﺑﻠﻮﻙ ﺍﺯ ﻃﻮﻝ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﻴﺸﺘﺮ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﻃﻮﻝ ﻣﺘﻦ ﺳﺎﺩﻩ ﻣﻀﺮﺑﻲ ﺍﺯ ﻃﻮﻝ ﺑﻠـﻮﻙ ﮔـﺮﺩﺩ‪ ،‬ﺑﻴـﺖﻫـﺎﻱ‬
‫ﻻﺋﻲ ﺑﻪ ﻣﺘﻦ ﺍﺿﺎﻓﻪ ﻣﻲﮔﺮﺩﺩ‪ .‬ﻓﺮﺽ ﻣﻲﺷﻮﺩ ﻛﻪ ﻣﺘﻦ ﺳﺎﺩﺓ ﺍﻭﻟﻴﻪ ﻣﻀﺮﺏ ﺻﺤﻴﺤﻲ ﺍﺯ ﺑﺎﻳﺖﻫﺎﺳﺖ‪ .‬ﺑﻪ ﺍﻧﺘﻬﺎﻱ ﺍﻳﻦ ﻣﺘﻦ ﺳـﺎﺩﻩ ﺍﺯ‬
‫‪ 1‬ﺗﺎ ‪ bb‬ﺑﺎﻳﺖ ﺍﺿﺎﻓﻪ ﻣﻲﺷﻮﺩ ﻛﻪ ‪ bb‬ﻣﻌﺎﺩﻝ ﺍﻧﺪﺍﺯﺓ ﺑﻠﻮﻙ ﺑﺮﺣﺴﺐ ﺑﺎﻳﺖ ﺍﺳﺖ‪ .‬ﺑﺎﻳﺖﻫﺎﻱ ﻻﺋﻲ ﻫﻤﻪ ﻳﻜﺴﺎﻥ ﺑﻮﺩﻩ ﻭ ﺍﻳﻦ ﻣﻘﺪﺍﺭ‬
‫ﺑﺮﺍﺑﺮ ﺗﻌﺪﺍﺩ ﺑﺎﻳﺖﻫﺎ ﻻﺋﻲ ﺍﺳﺖ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﺍﮔﺮ ‪ ۸‬ﺑﺎﻳﺖ ﻻﺋﻲ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻫﺮ ﺑﺎﻳﺖ ﺩﺍﺭﺍﻱ ﺍﻧﺪﺍﺯﺓ ‪ 00001000‬ﺍﺳﺖ‪.‬‬
‫ﭼﺮﺍ ﺍﺯ ﻋﺪﻡ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻻﺋﻲ ﺍﺟﺘﻨﺎﺏ ﻣﻲﺷﻮﺩ؟ ﻳﻌﻨﻲ ﺍﮔﺮ ﻃﻮﻝ ﻣﺘﻦ ﺳﺎﺩﺓ ﺍﻭﻟﻴﻪ ﻣﻀﺮﺏ ﺻﺤﻴﺤﻲ ﺍﺯ ﺍﻧـﺪﺍﺯﺓ ﺑﻠـﻮﻙ ﺑﺎﺷـﺪ‪ ،‬ﭼـﺮﺍ‬
‫ﺑﺎﺯﻫﻢ ﺍﺯ ﻻﺋﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ؟‬
‫‪ ۲-۶‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺑﻴﺖﻫﺎﻱ ﻻﺋﻲ ﻫﻤﻴﺸﻪ ﻣﻨﺎﺳﺐ ﻧﻴﺴﺖ‪ .‬ﻣﺜﻼﹰ ﻣﻤﻜﻦ ﺍﺳﺖ ﻋﻼﻗﻪﻣﻨﺪ ﺑﺎﺷﻴﻢ ﺗـﺎ ﺩﻳﺘـﺎﻱ ﺭﻣﺰﺷـﺪﻩ ﺭﺍ ﺩﺭ ﻫﻤـﺎﻥ ﺣﺎﻓﻈـﺔ‬
‫ﻣﻮﻗﺖ ﻛﻪ ﺩﻳﺘﺎﻱ ﻣﺘﻦ ﺳﺎﺩﻩ ﺭﺍ ﻧﮕﻬﺪﺍﺭﻱ ﻣﻲﻧﻤﺎﻳﺪ ﺫﺧﻴﺮﻩ ﻛﻨﻴﻢ‪ .‬ﺩﺭ ﺍﻳﻦ ﺣﺎﻟﺖ ﻃﻮﻝ ﺩﻳﺘﺎﻱ ﺭﻣﺰﺷﺪﻩ ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﻃﻮﻝ ﺩﻳﺘﺎﻱ ﺍﻭﻟﻴﻪ‬
‫ﺑﺮﺍﺑﺮ ﺑﺎﺷﺪ‪ .‬ﻣُﻮﺩ ﻋﻤﻠﻴﺎﺗﻲ ﻣﺨﺼﻮﺹ ﺍﻳﻦ ﻛﺎﺭ ﻣُـﻮﺩ ‪ (Ciphertext Stealing Mode) CTS‬ﻧـﺎﻡ ﺩﺍﺭﺩ‪ .‬ﺷـﻜﻞ ‪ ۲-۱۳‬ﺍﻟـﻒ‬
‫ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺍﻳﻦ ﻣُﻮﺩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﻃﺮﺯ ﻋﻤﻞ ﺍﻳﻦ ﻣِﻮﺩ ﺭﺍ ﺗﺸﺮﻳﺢ ﻛﻨﻴﺪ‪.‬‬
‫ﺏ‪ -‬ﺗﻮﺿﻴﺢ ﺩﻫﻴﺪ ﻛﻪ ‪ Cn-1‬ﻭ ‪ Cn‬ﭼﮕﻮﻧﻪ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫‪٧١‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ ۲-۷‬ﺷﻜﻞ ‪۲-۱۳‬ﺏ ﺭﻭﺵ ﺩﻳﮕﺮﻱ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻳﻚ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﺎ ﻃﻮﻟﻲ ﻣﺴﺎﻭﻱ ﻣﺘﻦ ﺳﺎﺩﻩ‪ ،‬ﺩﺭ ﺣـﺎﻟﺘﻲ ﻛـﻪ ﻣـﺘﻦ ﺳـﺎﺩﻩ ﻣـﻀﺮﺏ‬
‫ﺻﺤﻴﺤﻲ ﺍﺯ ﻃﻮﻝ ﺑﻠﻮﻙ ﻧﻴﺴﺖ‪ ،‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﺍ ﺗﺸﺮﻳﺢ ﻛﻨﻴﺪ‪.‬‬
‫ﺏ‪ -‬ﺗﻮﺿﻴﺢ ﺩﻫﻴﺪ ﻛﻪ ﭼﺮﺍ ‪ CTS‬ﺑﻪ ﺭﻭﺷﻲ ﻛﻪ ﺩﺭ ﺷﻜﻞ ‪۲-۱۳‬ﺏ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺍﺭﺟﺢ ﺍﺳﺖ‪.‬‬
‫‪ ۲-۸‬ﺍﮔﺮ ﻳﻚ ﺑﻴﺖ ﺧﻄﺎ ﺩﺭ ﺍﻧﺘﻘﺎﻝ ﻳﻚ ﻛﺎﺭﺍﻛﺘﺮ ‪ -۸‬ﺑﻴﺘﻲ ﺭﻣﺰﺷﺪﻩ ﺩﺭ ﻣُﻮﺩ ‪ CBF‬ﺍﺗﻔﺎﻕ ﺍﻓﺘـﺪ‪ ،‬ﺍﻳـﻦ ﺧﻄـﺎ ﺗـﺎ ﭼـﻪ ﻣـﺴﺎﻓﺘﻲ ﻣﻨﺘـﺸﺮ‬
‫ﻣﻲﺷﻮﺩ؟‬
‫‪ ۲-۹‬ﺭﻭﺵﻫﺎﻱ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﻛﻪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻣﺮﻛﺰ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻭ‪ /‬ﻳﺎ ﻣﺮﻛﺰ ﺗﻮﺯﻳـﻊ ﻛﻠﻴـﺪ ﺍﻧﺠـﺎﻡ ﻣـﻲﺷـﻮﻧﺪ ﺩﺍﺭﺍﻱ ﻧﻘـﺎﻁ‬
‫ﺁﺳﻴﺐﭘﺬﻳﺮ ﻣﺮﻛﺰﻱﺍﻧﺪ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ﺍﻣﻨﻴﺖ ﺿﻤﻨﻲ ﭼﻨﻴﻦ ﺗﻤﺮﻛﺰﻱ ﺑﺤﺚ ﻧﻤﺎﺋﻴﺪ‪.‬‬
‫ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﻓﺮﺩﻱ ﺭﺍﻩ ﺯﻳﺮ ﺭﺍ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﺍﻳﻨﻜﻪ ﻫﺮ ﺩﻭﻱ ﺷﻤﺎ ﺻﺎﺣﺐ ﻳﻚ ﻛﻠﻴﺪ ﻭﺍﺣﺪ ﺳﺮّﻱ ﻣﻲﺑﺎﺷـﻴﺪ ﭘﻴـﺸﻨﻬﺎﺩ ﻣـﻲﻛﻨـﺪ‪.‬‬ ‫‪۲-۱۰‬‬
‫ﻳﻚ ﺩﻧﺒﺎﻟﺔ ﺗﺼﺎﺩﻓﻲ ﺍﺯ ﺑﻴﺖﻫﺎ ﺑﺎ ﻫﻤﺎﻥ ﻃﻮﻝ ﻛﻠﻴﺪ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ‪ ،‬ﺁﻥ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ‪ XOR‬ﻛﺮﺩﻩ ﻭ ﻧﺘﻴﺠـﻪ ﺭﺍ ﺭﻭﻱ ﻛﺎﻧـﺎﻝ ﺑﻔﺮﺳـﺘﻴﺪ‪.‬‬
‫ﺷﺮﻳﻚ ﺷﻤﺎ‪ ،‬ﺑﻠﻮﻙ ﻭﺭﻭﺩﻱ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ‪ XOR‬ﻧﻤﻮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﭘﺲ ﻣﻲﻓﺮﺳﺘﺪ‪ .‬ﺷﻤﺎ ﺑﻴﺖﻫﺎﻱ ﺩﺭﻳﺎﻓﺘﻲ ﺭﺍ ﻛﻨﺘـﺮﻝ ﻛـﺮﺩﻩ ﻭ ﺍﮔـﺮ‬
‫ﺁﻧﻬﺎ ﺑﺮﺍﺑﺮ ﺩﻧﺒﺎﻟﺔ ﺗﺼﺎﺩﻓﻲ ﺍﻭﻟﻴﻪ ﺷﻤﺎ ﺑﻮﺩﻧﺪ ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﻴﺪ ﻛﻪ ﻛﻠﻴﺪ ﺷﺮﻳﻚ ﺷﻤﺎ ﻫﻤﺎﻥ ﻛﻠﻴﺪ ﺷﻤﺎﺳﺖ ﻭ ﺑﺎ ﺍﻳﻦ ﺭﻭﺵ ﻫﻴﭽﻴـﻚ ﺍﺯ‬
‫ﺷﻤﺎ ﺧﻮﺩ ﻛﻠﻴﺪ ﺭﺍ ﺍﻧﺘﻘﺎﻝ ﻧﺪﺍﺩﻩﺍﻳﺪ‪ .‬ﺁﻳﺎ ﺩﺭ ﺍﻳﻦ ﺭﻭﺵ ﻋﻴﺒﻲ ﻭﺟﻮﺩ ﺩﺍﺭﺩ؟‬
‫‪IV‬‬ ‫‪P1‬‬ ‫‪PN-2‬‬ ‫‪PN-1‬‬ ‫‪PN 00…0‬‬
‫‪CN-3‬‬ ‫‪+‬‬ ‫‪+‬‬

‫‪+‬‬ ‫‪+‬‬
‫‪K‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪K‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪K‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪K‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪C1‬‬ ‫‪CN-2‬‬ ‫‪CN‬‬ ‫‪X‬‬ ‫‪CN-1‬‬
‫)ﺍﻟﻒ( ﻣُﻮﺩ ‪CTS‬‬
‫‪P1‬‬ ‫‪PN-2‬‬ ‫‪PN-1‬‬ ‫‪PN‬‬

‫)‪IV (bb bits‬‬ ‫)‪(bb bits‬‬ ‫)‪(bb bits‬‬ ‫)‪(j bits‬‬
‫‪CN-3‬‬ ‫‪+‬‬ ‫‪+‬‬ ‫‪+‬‬

‫‪+‬‬
‫‪select‬‬
‫‪K‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪K‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪K‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪K‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪leftmost‬‬
‫‪j bits‬‬
‫‪C1‬‬ ‫‪CN-2‬‬ ‫‪CN-1‬‬ ‫‪CN‬‬

‫)‪(bb bits‬‬ ‫)‪(bb bits‬‬ ‫)‪(bb bits‬‬ ‫)‪(j bits‬‬
‫)ﺏ( ﺭﻭﺵ ﺩﻳﮕﺮ‬
‫ﻣُﻮﺩﻫﺎﻱ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺑﺮﺍﻱ ﻣﺘﻮﻥ ﺳﺎﺩﻩﺍﻱ ﻛﻪ ﻣﻀﺮﺏ ﺻﺤﻴﺤﻲ ﺍﺯ ﻃﻮﻝ ﺑﻠﻮﻙ ﻧﻴﺴﺘﻨﺪ‬ ‫ﺷﻜﻞ ‪۲-۱۳‬‬
‫ﻓﺼـﻞ ‪۳‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﻧﺤﻮﺓ ﺑﺮﺧﻮﺭﺩ ﺑﺎ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬ ‫‪۳-۱‬‬

‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺑﺪﻭﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡ‬
‫ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ ﻭ ‪HMAC‬‬ ‫‪۳-۲‬‬
‫ﻻﺯﻣﻪﻫﺎﻱ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ‬
‫ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺳﺎﺩﻩ‬
‫ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ ‪SHA-1‬‬
‫ﺳﺎﻳﺮ ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ‬
‫‪HMAC‬‬
‫ﺍﺻﻮﻝ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬ ‫‪۳-۳‬‬
‫ﺳﺎﺧﺘﺎﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﺑﺮﺍﻱ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫ﻻﺯﻣﻪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬ ‫‪۳-۴‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ‪RSA‬‬
‫ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪Diffie - Hellman‬‬
‫ﺳﺎﻳﺮ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫ﺍﻣﻀﺎﺀﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ‬ ‫‪۳-۵‬‬
‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‬ ‫‪۳-۶‬‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪﻫﺎﻱ ﺳﺮّﻱ ﺍﺯ ﻃﺮﻳﻖ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۳-۷‬‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۳-۸‬‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٧٤‬‬
‫ﻻﻭﻩ ﺑﺮ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ‪ ،‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ)‪ (message authentication‬ﻧﻴﺰ ﻳﻚ ﻭﻇﻴﻔﺔ ﻣﻬﻢ ﺍﻣﻨﻴﺘﻲ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻓﺼﻞ‬
‫ﻉ‬
‫ﺳﻪ ﺟﻨﺒﻪ ﺍﺯ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺭﺍ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪ .‬ﺍﺑﺘﺪﺍ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﹸﺪﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﻭ ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ‬
‫)‪ (hash functions‬ﺑﺮﺍﻱ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻥ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﻧﮕﺎﻩ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺳﭙﺲ ﺑﻪ ﺍﺻﻮﻝ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺩﻭ ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫ﻣﺨﺼﻮﺹ ﺁﻥ ﻧﻈﺮﻣﻲﺍﻓﻜﻨﻴﻢ‪ .‬ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎ ﺩﺭ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ ﻣﻔﻴﺪ ﻫﺴﺘﻨﺪ‪ .‬ﭘﺲ ﺍﺯ ﺁﻥ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﺗﻮﺟﻪ ﻣﻲﻛﻨﻴﻢ ﻛﻪ ﻧﻮﻉ ﺍﺭﺗﻘﺎﺀ ﻳﺎﻓﺘﺔ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺍﺳﺖ‪ .‬ﺑﺎﻻﺧﺮﻩ ﻣﺠﺪﺩﺍﹰ‬
‫ﻧﮕﺎﻫﻲ ﺑﻪ ﻣﻘﻮﻟﺔ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﻣﻲﺍﻧﺪﺍﺯﻳﻢ‪.‬‬
‫ﻧﺤﻮﺓ ﺑﺮﺧﻮﺭﺩ ﺑﺎ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬ ‫‪۳-۱‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺩﺭ ﺑﺮﺍﺑﺮ ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ ﻏﻴﺮﻓﻌﺎﻝ )ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ( ﺣﻔﺎﻇﺖ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪ .‬ﻧﻴﺎﺯ ﻣﺘﻔﺎﻭﺕ ﺩﻳﮕﺮ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺑﺮﺍﺑﺮ‬
‫ﺣﻤﻼﺕ ﻓﻌﺎﻝ )ﺟﻌﻞ ﺍﺳﻨﺎﺩ ﻭ ﺩﺍﺩﻩﻫﺎ(‪ ،‬ﺍﻳﺠﺎﺩ ﺣﻔﺎﻇﺖ ﻧﻤﺎﺋﻴﻢ‪ .‬ﺣﻔﺎﻇﺖ ﺩﺭ ﻣﻘﺎﺑﻞ ﭼﻨﻴﻦ ﺣﻤﻠﺔﻫﺎﺋﻲ ﺭﺍ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﮔﻮﻳﻨﺪ‪.‬‬
‫ﻳﻚ ﭘﻴﺎﻡ‪ ،‬ﻓﺎﻳﻞ‪ ،‬ﺳﻨﺪ‪ ،‬ﻭ ﻳﺎ ﻣﺠﻤﻮﻋﺔ ﺩﻳﮕﺮﻱ ﺍﺯ ﺩﺍﺩﻩﻫﺎ ﺭﺍ ﻭﻗﺘﻲ ﻣﻌﺘﺒﺮ ﺧﻮﺍﻧﻨﺪ ﻛﻪ ﺩﺳﺖ ﺍﻭﻝ ﺑﻮﺩﻩ ﻭ ﺍﺯ ﻳﻚ ﻣﻨﺒﻊ ﻗﺎﻧﻮﻧﻲ ﻣﻨﺸﺄ‬
‫ﮔﺮﻓﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺭﻭﺷﻲ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﻃﺮﻓﻴﻦ ﺩﺭﮔﻴﺮ ﺩﺭ ﺍﺭﺗﺒﺎﻁ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﻣﻌﺘﺒﺮ ﺑﻮﺩﻥ ﭘﻴﺎﻡ ﺭﺍ ﺗﺄﺋﻴﺪ ﻧﻤﺎﻳﻨﺪ‪ .‬ﺩﻭ‬
‫ﺟﻨﺒﺔ ﻣﻬﻢ ﺍﻣﺮ‪ ،‬ﻳﻜﻲ ﺗﺤﻘﻴﻖ ﺩﺭ ﻣﻮﺭﺩ ﺩﺳﺖ ﻧﺨﻮﺭﺩﻩ ﺑﻮﺩﻥ ﭘﻴﺎﻡ ﻭ ﺩﻭﻣﻲ ﻣﻌﺘﺒﺮ ﺑﻮﺩﻥ ﺧﻮﺩ ﻣﻨﺒﻊ ﺍﺳﺖ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ ﺍﺳﺖ‬
‫ﻋﻼﻗﻪﻣﻨﺪ ﺑﺎﺷﻴﻢ ﺗﺎ ﺑﻬﻨﮕﺎﻡ ﺑﻮﺩﻥ ﭘﻴﺎﻡ )ﺍﻳﻨﻜﻪ ﻋﻤﺪﺍﹰ ﺑﻪ ﺗﺄﺧﻴﺮ ﻧﻴﻔﺘﺎﺩﻩ ﻭ ﺑﺎﺯﺧﻮﺍﻧﻲ ﻧﺸﺪﻩ ﺑﺎﺷﺪ( ﻭ ﻳﺎ ﻧﻈﻢ ﺁﻥ ﻧﺴﺒﺖ ﺑﻪ ﺳﺎﻳﺮ ﭘﻴﺎﻡﻫﺎﺋﻲ‬
‫ﻛﻪ ﺑﻴﻦ ﺩﻭﻃﺮﻑ ﺭﺩﻭﺑﺪﻝ ﻣﻲﺷﻮﺩ ﺭﺍ ﺗﺤﻘﻴﻖ ﻛﻨﻴﻢ‪.‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬

‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﻣﻴﺘﻮﺍﻥ ﺑﺴﺎﺩﮔﻲ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺍﻧﺠﺎﻡ ﺩﺍﺩ‪ .‬ﺍﮔﺮ ﻓﺮﺽ ﻛﻨﻴﻢ ﻛﻪ ﺗﻨﻬﺎ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﮔﻴﺮﻧﺪﻩ ﻳﻚ ﻛﻠﻴﺪ‬
‫ﻣﺸﺘﺮﻙ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺭﻧﺪ )ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﭼﻨﻴﻦ ﺑﺎﺷﺪ(‪ ،‬ﺁﻧﮕﺎﻩ ﺗﻨﻬﺎ ﻓﺮﺳﺘﻨﺪﺓ ﻭﺍﻗﻌﻲ ﺍﺳﺖ ﻛﻪ ﻗﺎﺩﺭ ﺑﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻮﻓﻘﻴﺖﺁﻣﻴﺰ ﭘﻴﺎﻡ ﺑﺮﺍﻱ‬
‫ﻃﺮﻑ ﻣﻘﺎﺑﻞ ﺍﺳﺖ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﺍﮔﺮ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﻳﻚ ﻛﹸﺪ ﺗﺸﺨﻴﺺ ﺧﻄﺎ ﻭ ﻳﻚ ﺷﻤﺎﺭﺓ ﺭﺩﻳﻒ ﺑﺎﺷﺪ‪ ،‬ﮔﻴﺮﻧﺪﻩ ﻣﻄﻤﺌﻦ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ‬
‫ﺗﻐﻴﻴﺮﻱ ﺩﺭ ﭘﻴﺎﻡ ﺭﺥ ﻧﺪﺍﺩﻩ ﻭ ﻧﻈﻢ ﭘﻴﺎﻡ ﻧﻴﺰ ﺻﺤﻴﺢ ﻣﻲﺑﺎﺷﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺍﮔﺮ ﭘﻴﺎﻡ ﺩﺍﺭﺍﻱ ﻳﻚ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﺑﺎﺷﺪ‪ ،‬ﮔﻴﺮﻧﺪﻩ ﻣﻄﻤﺌﻦ‬
‫ﺧﻮﺍﻫﺪ ﺷﺪ ﻛﻪ ﭘﻴﺎﻡ ﺑﻴﺶ ﺍﺯ ﺣﺪ ﻣﻌﻘﻮﻟﻲ ﻛﻪ ﻣﻌﻤﻮﻻﹰ ﺷﺒﻜﻪ ﺩﺭ ﺁﻥ ﺗﺄﺧﻴﺮ ﺍﻳﺠﺎﺩ ﻣﻴﻜﻨﺪ ﺩﻳﺮ ﺩﺭﻳﺎﻓﺖ ﻧﺸﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺑﺪﻭﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡ‬

‫ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ‪ ،‬ﭼﻨﺪ ﺭﻭﺵ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﻛﻪ ﻣﺘﻜﻲ ﺑﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﻴﺴﺘﻨﺪ ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺩﺭ ﺗﻤﺎﻡ ﺍﻳﻦ ﺭﻭﺵﻫﺎ ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ‪،‬‬
‫ﻳﻚ ﺩﻧﺒﺎﻟﺔ )‪ (tag‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻪ ﭘﻴﺎﻡ ﻭﺻﻞ ﻣﻴﺸﻮﺩ‪ .‬ﺧﻮﺩ ﭘﻴﺎﻡ ﺑﻪ ﺭﻣﺰ ﺩﺭﻧﻴﺎﻣﺪﻩ ﻭ ﻣﻲﺗﻮﺍﻧﺪ ﻣﺴﺘﻘﻞ ﺍﺯ ﻋﻤﻞ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﺭ ﻣﻘﺼﺪ‬
‫ﺧﻮﺍﻧﺪﻩ ﺷﻮﺩ‪.‬‬
‫‪٧٥‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﻧﻈﺮ ﺑﻪ ﺍﻳﻨﻜﻪ ﺭﻭﺵﻫﺎﻱ ﻣﻮﺭﺩ ﺑﺤﺚ ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﭘﻴﺎﻡ ﺭﺍ ﺑﻪ ﺭﻣﺰ ﺩﺭﻧﻤﻲﺁﻭﺭﻧﺪ‪ ،‬ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ﻓﺮﺍﻫﻢ ﻧﻤﻲﮔﺮﺩﺩ‪ .‬ﺑﺎ ﺗﻮﺟﻪ‬
‫ﺑﻪ ﺍﻳﻨﻜﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ ﻭ ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﺍﻳﻨﻜﻪ ﺑﺎ ﺣﻀﻮﺭ ﻣﺤﺼﻮﻻﺕ ﺁﻣﺎﺩﺓ ﻣﻮﺟﻮﺩ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﻣﺘﻘﺎﺭﻥ ﺑﻄﻮﺭ ﮔﺴﺘﺮﺩﻩﺍﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ ،‬ﭼﺮﺍ ﺑﻪ ﺳﻬﻮﻟﺖ ﺍﺯ ﭼﻨﻴﻦ ﺭﻭﺷﻲ ﻛﻪ ﻫﻢ ﻣﺤﺮﻣﺎﻧﮕﻲ ﻭ ﻫﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﺍﻳﺠﺎﺩ‬
‫ﻣﻴﻜﻨﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﻲﻛﻨﻴﻢ؟ ]‪ [DAVI89‬ﺩﺭ ﺳﻪ ﺣﺎﻟﺖ‪ ،‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻪ ﺩﻭﺭ ﺍﺯ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺭﺍ ﺍﺭﺟﺢ ﻣﻲﺷﻤﺎﺭﺩ‪:‬‬
‫‪ -۱‬ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﻭﺟﻮﺩ ﺩﺍﺭﻧﺪ ﻛﻪ ﺩﺭ ﺁﻧﻬﺎ ﻳﻚ ﭘﻴﺎﻡ ﺑﻪ ﻣﻘﺎﺻﺪ ﻣﺘﻌﺪﺩﻱ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﻣﺜﻼﹰ ﺍﺧﻄﺎﺭ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ ﺷﺒﻜﻪ ﺩﺭ ﻣﻮﺭﺩ‬
‫ﺍﻳﻨﻜﻪ ﺷﺒﻜﻪ ﻓﻌﻼﹰ ﻗﻄﻊ ﺍﺳﺖ‪ ،‬ﻭ ﻳﺎ ﺁﻻﺭﻡ ﻳﻚ ﻣﺮﻛﺰ ﻛﻨﺘﺮﻝ ﺍﺯ ﺍﻳﻦ ﺟﻤﻠﻪﺍﻧﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﺣﺎﻟﺖ ﺩﺍﺷﺘﻦ ﺗﻨﻬﺎ ﻳﻚ ﻣﻘﺼﺪ ﻣﺴﺌﻮﻝ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺭﺯﺍﻥﺗﺮ ﻭ ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩﺗﺮ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﭘﻴﺎﻡ ﺑﺎﻳﺴﺘﻲ ﺑﺼﻮﺭﺕ ﻳﻚ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﻬﻤﺮﺍﻩ ﻳﻚ ﺩﻧﺒﺎﻟﺔ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﭘﻴﺎﻡ ﭘﺨﺶ ﺷﻮﺩ‪ .‬ﺍﮔﺮ ﻧﺘﻴﺠﺔ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻨﻔﻲ ﺑﺎﺷﺪ ﺳﻴﺴﺘﻢ ﻣﺴﺌﻮﻝ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﺳﻴﺴﺘﻢﻫﺎﻱ ﺩﻳﮕﺮ ﻣﻘﺼﺪ ﺭﺍ ﺑﺘﻮﺳﻂ‬
‫ﻳﻚ ﻫﺸﺪﺍﺭ ﻋﻤﻮﻣﻲ ﺧﺒﺮﺩﺍﺭ ﺧﻮﺍﻫﺪ ﻛﺮﺩ‪.‬‬
‫‪ -۲‬ﺳﻨﺎﺭﻳﻮﻱ ﻣﻤﻜﻦ ﺩﻳﮕﺮ‪ ،‬ﺗﺒﺎﺩﻝ ﺩﺍﺩﻩﻫﺎ ﺑﻴﻦ ﺩﻭﻃﺮﻓﻲ ﺍﺳﺖ ﻛﻪ ﻳﻜﻲ ﺍﺯ ﺁﻧﻬﺎ ﺑﺎﺭ ﺳﻨﮕﻴﻨﻲ ﺩﺍﺷﺘﻪ ﻭ ﻭﻗﺖ ﻻﺯﻡ ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫ﻫﻤﺔ ﭘﻴﺎﻡﻫﺎﻱ ﻭﺭﻭﺩﻱ ﺭﺍ ﻧﺪﺍﺭﺩ‪ .‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺮ ﺍﺳﺎﺱ ﺍﻧﺘﺨﺎﺏ ﻧﻤﻮﻧﻪ ﺻﻮﺭﺕ ﭘﺬﻳﺮﻓﺘﻪ ﻭ ﭘﻴﺎﻡﻫﺎ ﺑﻄﻮﺭ ﺗﺼﺎﺩﻓﻲ ﺑﺮﺍﻱ‬
‫ﻛﻨﺘﺮﻝ ﺍﻋﺘﺒﺎﺭ ﺑﺮﮔﺰﻳﺪﻩ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫‪ -۳‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﺑﺎ ﻣﺘﻦ ﺳﺎﺩﻩ‪ ،‬ﺳﺮﻭﻳﺲ ﭘﺮﺟﺎﺫﺑﻪﺍﻱ ﺍﺳﺖ‪ .‬ﺑﺮﻧﺎﻣﺔ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﻴﺘﻮﺍﻧﺪ ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ ﻫﺮ ﺑﺎﺭ‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﺷﻮﺩ‪ ،‬ﺍﺟﺮﺍ ﺷﻮﺩ ﻛﻪ ﺧﻮﺩ ﺻﺮﻓﻪﺟﻮﺋﻲ ﺑﺰﺭﮔﻲ ﺩﺭ ﻣﻨﺎﺑﻊ ﭘﺮﺩﺍﺯﺵﮔﺮ ﺍﺳﺖ‪ .‬ﺩﺭ ﻋﻴﻦ ﺣﺎﻝ ﺍﮔﺮ ﻳﻚ ﺩﻧﺒﺎﻟﺔ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺑﻪ ﺑﺮﻧﺎﻣﻪ ﻣﻨﺘﻘﻞ ﮔﺮﺩﺩ‪ ،‬ﻣﻴﺘﻮﺍﻥ ﺁﻥ ﺭﺍ ﺩﺭ ﻫﺮ ﺯﻣﺎﻥ ﻻﺯﻡ ﺑﺮﺍﻱ ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﺍﺻﺎﻟﺖ ﭘﻴﺎﻡ ﻛﻨﺘﺮﻝ ﻧﻤﻮﺩ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﺮﺍﻱ ﺑﺮﺁﻭﺭﺩﻩ ﻧﻤﻮﺩﻥ ﻧﻴﺎﺯﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﺟﺎﺋﻲ ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﺓ ﺗﻮﺃﻡ ﺍﺯ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪.‬‬
‫ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ )‪(MAC‬‬

‫ﻳﻜﻲ ﺍﺯ ﺭﻭﺵﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺎﻣﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻳﻚ ﺑﻠﻮﻙ ﻛﻮﭼﻚ ﺩﻳﺘﺎ‪ ،‬ﺑﻨﺎﻡ ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﭘﻴﺎﻡ )‪ (Message Authentication Code‬ﺍﺳﺖ ﻛﻪ ﺑﻪ ﭘﻴﺎﻡ ﻭﺻﻞ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﺭﻭﺵ ﻓﺮﺽ ﺑﺮﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﻭ ﻃﺮﻑ‬
‫ﺍﺭﺗﺒﺎﻁ‪ ،‬ﻣﺜﻼﹰ ‪ A‬ﻭ ‪ ،B‬ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﺸﺘﺮﻙ ﻣﺜﻞ ‪ KAB‬ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺭﻧﺪ‪ .‬ﻭﻗﺘﻲ ‪ A‬ﺩﺍﺭﺍﻱ ﭘﻴﺎﻣﻲ ﺑﻪ ﻣﻘﺼﺪ ‪ B‬ﺍﺳﺖ‪ ،‬ﻛﹸﺪ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺭﺍ ﺑﺼﻮﺭﺕ ﺗﺎﺑﻌﻲ ﺍﺯ ﭘﻴﺎﻡ ﻭ ﻛﻠﻴﺪ‪ ،‬ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ‪ .MACM = F(KAB, M) :‬ﭘﻴﺎﻡ ﺑﺎﺿﺎﻓﺔ ﻛﹸﺪ ﺑﺮﺍﻱ ﮔﻴﺮﻧﺪﺓ‬
‫ﻣﻮﺭﺩ ﻧﻈﺮ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﮔﻴﺮﻧﺪﻩ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻫﻤﺎﻥ ﻛﻠﻴﺪ‪ ،‬ﻫﻤﺎﻥ ﻣﺤﺎﺳﺒﺎﺕ ﺭﺍ ﺭﻭﻱ ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﻭ ﻳﻚ ﻛﹸﺪ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺟﺪﻳﺪ ﺑﺪﺳﺖ ﻣﻲﺁﻭﺭﺩ‪ .‬ﻛﹸﺪ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺑﺎ ﻛﹸﺪ ﻣﺤﺎﺳﺒﻪ ﺷﺪﻩ ﻣﻘﺎﻳﺴﻪ ﻣﻲﺷﻮﺩ )ﺷﻜﻞ ‪ .(۳ -۱‬ﺍﮔﺮ ﻓﺮﺽ ﻛﻨﻴﻢ ﻛﻪ ﺗﻨﻬﺎ‬
‫ﮔﻴﺮﻧﺪﻩ ﻭ ﻓﺮﺳﺘﻨﺪﻩ ﺍﺯ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺑﺎﺧﺒﺮﻧﺪ ﻭ ﺍﮔﺮ ﻛﹸﺪ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺑﺎ ﻛﹸﺪ ﻣﺤﺎﺳﺒﻪ ﺷﺪﻩ ﺗﻄﺒﻴﻖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ‬
‫‪-۱‬ﮔﻴﺮﻧﺪﻩ ﻣﻄﻤﺌﻦ ﻣﻲﺷﻮﺩ ﻛﻪ ﭘﻴﺎﻡ ﺗﻐﻴﻴﺮ ﻧﻴﺎﻓﺘﻪ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﺩﺷﻤﻨﻲ ﭘﻴﺎﻡ ﺭﺍ ﺗﻐﻴﻴﺮ ﺩﺍﺩﻩ ﻭﻟﻲ ﻛﹸﺪ ﺭﺍ ﺗﻐﻴﻴﺮ ﻧﺪﺍﺩﻩ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﻛﹸﺪ‬
‫ﻣﺤﺎﺳﺒﻪ ﺷﺪﺓ ﮔﻴﺮﻧﺪﻩ ﺑﺎ ﻛﹸﺪ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﻓﺮﻕ ﺧﻮﺍﻫﺪ ﺩﺍﺷﺖ‪ .‬ﭼﻮﻥ ﻓﺮﺽ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺩﺷﻤﻦ ﺍﺯ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺑﻲﺧﺒﺮ‬
‫ﺍﺳﺖ‪ ،‬ﺍﻭ ﻧﻤﻲﺗﻮﺍﻧﺪ ﻛﹸﺪ ﺭﺍ ﻃﻮﺭﻱ ﺗﻐﻴﻴﺮ ﺩﻫﺪ ﻛﻪ ﺑﺎ ﺗﻐﻴﻴﺮﺍﺕ ﭘﻴﺎﻡ ﻫﻤﺨﻮﺍﻧﻲ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫‪-۲‬ﮔﻴﺮﻧﺪﻩ ﻣﻄﻤﺌﻦ ﻣﻲﺷﻮﺩ ﻛﻪ ﭘﻴﺎﻡ ﺍﺯ ﺳﻮﻱ ﻓﺮﺳﺘﻨﺪﺓ ﻗﺎﻧﻮﻧﻲ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﭼﻮﻥ ﻛﺲ ﺩﻳﮕﺮﻱ ﺍﺯ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﻄﻠﻊ‬
‫ﻧﻴﺴﺖ‪ ،‬ﻫﻴﭻﻛﺲ ﻧﻤﻲﺗﻮﺍﻧﺪ ﻳﻚ ﭘﻴﺎﻡ ﺟﻌﻠﻲ ﺑﺎ ﻛﹸﺪ ﺻﺤﻴﺢ ﺭﺍ ﺗﻬﻴﻪ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۳‬ﺍﮔﺮ ﭘﻴﺎﻡ ﺩﺍﺭﺍﻱ ﻳﻚ ﺷﻤﺎﺭﺓ ﺭﺩﻳﻒ ﺑﺎﺷﺪ )ﻣﺜﻞ ﺁﻧﭽﻪ ﺩﺭ ‪ HDLC ، X.25‬ﻭ ‪ TCP‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺳﺖ(‪ ،‬ﺁﻧﮕﺎﻩ ﮔﻴﺮﻧﺪﻩ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ﻧﻈﻢ ﭘﻴﺎﻡ ﻣﻄﻤﺌﻦ ﺷﻮﺩ ﺯﻳﺮﺍ ﻳﻚ ﺩﺷﻤﻦ ﻧﻤﻲﺗﻮﺍﻧﺪ ﺷﻤﺎﺭﺓ ﺭﺩﻳﻒ ﺭﺍ ﺑﺼﻮﺭﺕ ﻣﻮﻓﻘﻴﺖﺁﻣﻴﺰﻱ ﺗﻐﻴﻴﺮ ﺩﻫﺪ‪.‬‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٧٦‬‬
‫ﭘﻴﺎﻡ‬
‫‪K‬‬
‫‪MAC‬‬
‫ﺍﺭﺳﺎﻝ‬
‫‪algorithm‬‬
‫ﻣﻘﺎﻳﺴﻪ‬
‫‪MAC‬‬
‫‪algorithm‬‬ ‫‪MAC‬‬
‫‪K‬‬
‫ﺷﻜﻞ ‪ ۳-۱‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ )‪(MAC‬‬
‫ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻣﻲﺗﻮﺍﻥ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ‪ NIST .‬ﺩﺭ ﻣﺸﺨﺼﺔ ‪،FIPS PUB 113‬‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ DES‬ﺭﺍ ﺗﻮﺻﻴﻪ ﻣﻲﻛﻨﺪ‪ DES .‬ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻳﻚ ﻧﺴﺨﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺯ ﭘﻴﺎﻡ ﺑﻜﺎﺭﺭﻓﺘﻪ‪ ،‬ﻭ ﺁﺧﺮﻳﻦ ﺑﻴﺖﻫﺎﻱ ﻣﺘﻦ‬
‫ﺭﻣﺰﺷﺪﻩ ﺑﻌﻨﻮﺍﻥ ﻛﹸﺪ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﻳﻚ ﻛﹸﺪ ‪ ۱۶‬ﻳﺎ ‪ -۳۲‬ﺑﻴﺘﻲ‪ ،‬ﻛﹸﺪﻱ ﻣﺮﺳﻮﻡ ﺍﺳﺖ‪.‬‬
‫ﺭﻭﺷﻲ ﻛﻪ ﻫﻢ ﺍﻛﻨﻮﻥ ﺫﻛﺮ ﺷﺪ‪ ،‬ﺷﺒﻴﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ‪ .‬ﻳﻚ ﺍﺧﺘﻼﻑ ﺁﻥ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﺮﺧﻼﻑ ﺁﻧﭽﻪ ﺩﺭ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻻﺯﻡ‬
‫ﺍﺳﺖ‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻻﺯﻡ ﻧﻴﺴﺖ ﺑﺮﮔﺸﺖﭘﺬﻳﺮ ﺑﺎﺷﺪ‪ .‬ﭼﻨﻴﻦ ﺑﺮﻣﻲﺁﻳﺪ ﻛﻪ ﺑﺪﻟﻴﻞ ﺧﻮﺍﺹ ﺭﻳﺎﺿﻲ ﺗﺎﺑﻊ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﺍﻳﻦ ﺗﺎﺑﻊ‬
‫ﺩﺭ ﻣﻘﺎﺑﻞ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﺁﺳﻴﺐﭘﺬﻳﺮﻱ ﻛﻤﺘﺮﻱ ﻧﺴﺒﺖ ﺑﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺍﺭﺩ‪.‬‬
‫ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﻳﻚ‪ -‬ﻃﺮﻓﻪ‬

‫ﺭﻗﻴﺐ ﺩﻳﮕﺮﻱ ﺑﺮﺍﻱ ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‪ ،‬ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﻳـﻚ‪ -‬ﻃﺮﻓـﻪ ﺍﺳـﺖ‪ .‬ﻫﻤﺎﻧﻨﺪﻛﹸـﺪ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ ﭘﻴـﺎﻡ‪ ،‬ﻳـﻚ ﺗـﺎﺑﻊ‬
‫ﺩﺭﻫﻢﺳﺎﺯ ﻳﻚ ﭘﻴﺎﻡ ‪ M‬ﺑﺎ ﻃﻮﻝ ﻣﺘﻐﻴﺮ ﺑﻌﻨﻮﺍﻥ ﻭﺭﻭﺩﻱ ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﻳـﻚ ﭼﻜﻴـﺪﺓ )‪ (digest‬ﭘﻴـﺎﻡ )‪ H(M‬ﺑـﺎ ﻃـﻮﻝ ﺛﺎﺑـﺖ ﺭﺍ ﺧـﺎﺭﺝ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺧﻼﻑ ‪ ،MAC‬ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﻭﺭﻭﺩﻱ ﻧﻤﻲﺧﻮﺍﻫﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‪ ،‬ﭼﻜﻴـﺪﺓ ﭘﻴـﺎﻡ‬
‫ﺑﺼﻮﺭﺗﻲ ﺑﻪ ﻫﻤﺮﺍﻩ ﭘﻴﺎﻡ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ ﻛﻪ ﭼﻜﻴﺪﻩ ﻣﻌﺘﺒﺮ ﺑﻤﺎﻧﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۳-۲‬ﺳﻪ ﺭﻭﺵ ﻛﻪ ﭘﻴﺎﻡ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺘﻮﺳﻂ ﺁﻧﻬﺎ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﻮﺩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ )ﺑﺨﺶ ﺍﻟﻒ( ﺑﻪ ﺭﻣﺰ ﺩﺭﺁﻳﺪ‪ .‬ﺍﮔﺮ ﻓﺮﺽ ﺷﻮﺩ ﻛﻪ ﺗﻨﻬﺎ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﮔﻴﺮﻧﺪﻩ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺭﺍ ﺩﺭ ﺍﺷﺘﺮﺍﻙ ﺩﺍﺭﻧﺪ‪ ،‬ﺁﻧﮕﺎﻩ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺤﺮﺯ ﺍﺳﺖ‪ .‬ﭘﻴﺎﻡ ﻫﻤﭽﻨﻴﻦ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﻪ ﺭﻣﺰ ﺩﺭﺁﻳﺪ )ﺑﺨﺶ ﺏ( ﻛﻪ ﺍﻳﻦ ﻣﻘﻮﻟﻪ‬
‫ﺩﺭ ﺑﺨﺶ ‪ ۳-۵‬ﺗﻮﺿﻴﺢ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺭﻭﺵ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺩﺍﺭﺍﻱ ﺩﻭ ﻣﺰﻳﺖ ﺍﺳﺖ‪ :‬ﺍﻭﻝ ﺍﻳﻨﻜﻪ ﻋﻼﻭﻩ ﺑﺮ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‪ ،‬ﻳﻚ‬
‫ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﻧﻴﺰ ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﺩ ﻭ ﺩﻭﻡ ﺍﻳﻨﻜﻪ ﻧﻴﺎﺯﻱ ﺑﻪ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﺑﻴﻦ ﻃﺮﻓﻴﻦ ﺍﺭﺗﺒﺎﻁ ﻧﻴﺴﺖ‪.‬‬
‫ﻣﺰﻳﺖ ﺍﻳﻦ ﺩﻭ ﺭﻭﺵ ﻧﺴﺒﺖ ﺑﻪ ﺭﻭﺵﻫﺎﺋﻲ ﻛﻪ ﺗﻤﺎﻡ ﭘﻴﺎﻡ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻛﻨﻨﺪ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻣﺤﺎﺳﺒﺎﺕ ﻛﻤﺘﺮﻱ ﻣﻮﺭﺩ ﻧﻴﺎﺯ‬
‫ﺍﺳﺖ‪ .‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ ﻋﻼﻗﺔ ﺯﻳﺎﺩﻱ ﻧﺴﺒﺖ ﺑﻪ ﺧﻠﻖ ﺗﻜﻨﻴﻚﻫﺎﺋﻲ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﺑﻄﻮﺭ ﻛﻠﻲ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺻﺮﻓﻨﻈﺮ ﺷﻮﺩ‪ .‬ﺩﻻﻳﻞ‬
‫ﻣﺘﻌﺪﺩﻱ ﺑﺮﺍﻱ ﺍﻳﻦ ﻋﻼﻗﻪ ﺩﺭ ]‪ [TSUD92‬ﺫﻛﺮ ﺷﺪﻩ ﺍﺳﺖ‪:‬‬
‫‪٧٧‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﻣﻨﺒﻊ ‪A‬‬ ‫ﻣﻘﺼﺪ ‪B‬‬

‫ﻣﻨﺒﻊ ‪A‬‬
‫ﭘﻴﺎﻡ ﭘﻴﺎﻡ‬
‫‪H‬‬
‫ﭘﻴﺎﻡ ﭘﻴﺎﻡ‬
‫ﭘﻴﺎﻡ‬
‫‪K‬‬ ‫ﻣﻘﺎﻳﺴﻪ‬
‫‪K‬‬
‫‪H‬‬
‫‪E‬‬ ‫)ﺍﻟﻒ( ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬ ‫‪D‬‬
‫‪H‬‬
‫ﭘﻴﺎﻡ‬
‫ﭘﻴﺎﻡ‬
‫ﭘﻴﺎﻡ‬
‫‪PRa‬‬ ‫‪PUa‬‬ ‫ﻣﻘﺎﻳﺴﻪ‬
‫‪H‬‬
‫‪E‬‬ ‫‪D‬‬
‫‪D‬‬
‫)ﺏ( ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫‪S‬‬ ‫‪S‬‬
‫‪H‬‬
‫ﭘﻴﺎﻡ‬
‫ﭘﻴﺎﻡ‬
‫ﭘﻴﺎﻡ‬
‫ﭘﻴﺎﻡ‬
‫‪H‬‬ ‫ﻣﻘﺎﻳﺴﻪ‬
‫)ﺝ( ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣﻘﺪﺍﺭ ﺳﺮّﻱ‬
‫ﺷﻜﻞ ‪ ۳-۲‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﻳﻚ‪ -‬ﻃﺮﻓﻪ‬
‫ﻧﺮﻡﺍﻓﺰﺍﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺗﺎ ﺣﺪ ﺯﻳﺎﺩﻱ ﻛﻨﺪ ﺍﺳﺖ‪ .‬ﺍﮔﺮﭼﻪ ﻣﻴﺰﺍﻥ ﺩﺍﺩﻩﻫﺎﺋﻲ ﻛﻪ ﺑﺮﺍﻱ ﻫﺮ ﭘﻴﺎﻡ ﺑﺎﻳﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﺩ ﻛﻢ ﺍﺳﺖ‪ ،‬ﻭﻟﻲ‬ ‫•‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﺟﺮﻳﺎﻥ ﭘﻴﻮﺳﺘﻪ ﺍﺯ ﭘﻴﺎﻡﻫﺎ ﻭﺍﺭﺩ ﺳﻴﺴﺘﻢ ﺷﺪﻩ ﻭ ﺍﺯ ﺁﻥ ﺧﺎﺭﺝ ﮔﺮﺩﺩ‪.‬‬
‫ﻫﺰﻳﻨﻪﻫﺎﻱ ﺳﺨﺖﺍﻓﺰﺍﺭﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻗﺎﺑﻞ ﭼﺸﻢﭘﻮﺷﻲ ﻧﻴﺴﺖ‪ DES .‬ﺭﻭﻱ ﺗﺮﺍﺷﻪﻫﺎﻱ ﺍﺭﺯﺍﻥ ﻗﻴﻤﺘﻲ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺷﺪﻩ ﺍﺳﺖ‬ ‫•‬
‫ﻭﻟﻲ ﺍﮔﺮ ﻗﺮﺍﺭ ﺑﺎﺷﺪ ﻛﻪ ﻫﻤﺔ ﮔﺮﻩﻫﺎﻱ ﻳﻚ ﺷﺒﻜﻪ ﻗﺎﺑﻠﻴﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ ،‬ﻫﺰﻳﻨﻪ ﺑﺎﻻ ﺧﻮﺍﻫﺪ ﺭﻓﺖ‪.‬‬
‫ﺳﺨﺖﺍﻓﺰﺍﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭﻗﺘﻲ ﺑﻬﻴﻨﻪﺗﺮ ﻣﻲﺷﻮﺩ ﻛﻪ ﺍﻧﺪﺍﺯﺓ ﺑﻠﻮﻙﻫﺎﻱ ﺩﻳﺘﺎ ﺑﺰﺭﮒﺗﺮ ﺷﻮﺩ‪ .‬ﺑﺮﺍﻱ ﺑﻠﻮﻙﻫﺎﻱ ﻛﻮﭼﻚ ﺩﻳﺘﺎ‪ ،‬ﺑﺨﺶ‬ ‫•‬
‫ﻗﺎﺑﻞ ﺗﻮﺟﻬﻲ ﺍﺯ ﺯﻣﺎﻥ ﺑﺮﺍﻱ ﺳﺮﺑﺎﺭﻩﻫﺎﻱ ﺷﺮﻭﻉ‪ /‬ﻓﺮﺍﺧﻮﺍﻧﻲ ﺻﺮﻑ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﺛﺒﺖ ﺭﺳﻴﺪﻩ ﻭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺁﻥ ﺑﺪﻭﻥ ﺍﺟﺎﺯﻩ ﺍﻣﻜﺎﻥﻧﺎﭘﺬﻳﺮ ﺑﺎﺷﺪ‬ ‫•‬
‫ﺷﻜﻞ ‪۳-۲‬ﺝ ﺗﻜﻨﻴﻜﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺍﺯ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﻭﻟﻲ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻤﻨﻈﻮﺭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﻓﺮﺽ ﻣﻲﻛﻨﺪ ﻛﻪ ﺩﻭﻃﺮﻑ ﺍﺭﺗﺒﺎﻁ‪ ،‬ﻣﺜﻞ ‪ A‬ﻭ ‪ ،B‬ﻳﻚ ﻣﻘﺪﺍﺭ ﺳﺮﻱ ‪ SAB‬ﺭﺍ ﺩﺭ ﺍﺷﺘﺮﺍﻙ ﺩﺍﺭﻧﺪ‪ .‬ﻭﻗﺘﻲ ‪A‬‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٧٨‬‬
‫ﻣﻲﺧﻮﺍﻫﺪ ﭘﻴﺎﻣﻲ ﺭﺍ ﺑﺮﺍﻱ ‪ B‬ﺑﻔﺮﺳﺘﺪ‪ ،‬ﺍﻭ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺭﺍ ﺭﻭﻱ ﺍﺗﺼﺎﻝ ﭘﻴﺎﻡ ﻭ ﻣﻘﺪﺍﺭ ﺳﺮّﻱ ﺍﻋﻤﺎﻝ ﻣﻲﻛﻨﺪ‬
‫)‪ ||) MDM = H (SAB || M‬ﻋﻼﻣﺖ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻣﻘﺎﺩﻳﺮ ﺩﻭ ﺳﻤﺖ ﺍﻳﻦ ﻋﻼﻣﺖ ﭘﺸﺖ ﺳﺮﻫﻢ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ(‪ A .‬ﺁﻧﮕﺎﻩ‬
‫]‪ [M || MDM‬ﺭﺍ ﺑﺮﺍﻱ ‪ B‬ﻣﻲﻓﺮﺳﺘﺪ‪ .‬ﭼﻮﻥ ‪ SAB ،B‬ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺭﺩ‪ ،‬ﺍﻭ ﻣﻲﺗﻮﺍﻧﺪ ) ‪ H ( SAB || M‬ﺭﺍ ﻣﺠﺪﺩﺍﹰ ﻣﺤﺎﺳﺒﻪ ﻛﺮﺩﻩ ﻭ‬
‫‪ MDM‬ﺭﺍ ﺗﺄﺋﻴﺪ ﻛﻨﺪ‪ .‬ﭼﻮﻥ ﺧﻮﺩ ﻣﻘﺪﺍﺭ ﺳﺮﻱ ‪ SAB‬ﺍﺭﺳﺎﻝ ﻧﻤﻲﺷﻮﺩ‪ ،‬ﺑﺮﺍﻱ ﻳﻚ ﺩﺷﻤﻦ ﻣﻴﺴﺮ ﻧﺨﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ ﭘﻴﺎﻡ ﺭﺍ ﺩﺳﺘﻜﺎﺭﻱ‬
‫ﻧﻤﺎﻳﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺗﺎ ﺯﻣﺎﻧﻲ ﻛﻪ ﻣﻘﺪﺍﺭ ﺳﺮّﻱ ﻣﺤﻔﻮﻅ ﺑﺎﺷﺪ‪ ،‬ﺑﺮﺍﻱ ﺩﺷﻤﻦ ﻣﻴﺴﺮ ﻧﺨﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ ﻳﻚ ﭘﻴﺎﻡ ﺗﻘﻠﺒﻲ ﺍﻳﺠﺎﺩ ﻛﻨﺪ‪.‬‬
‫ﻧﻮﻉ ﺗﻌﺪﻳﻞ ﺷﺪﻩﺍﻱ ﺍﺯ ﺗﻜﻨﻴﻚ ﺳﻮﻡ‪ ،‬ﺑﻨﺎﻡ ‪ HMAC‬ﺑﺮﺍﻱ ﺍﻣﻨﻴﺖ ‪ IP‬ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺍﺳﺖ )ﻓﺼﻞ ﺷﺸﻢ(‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﻫﻤﭽﻨﻴﻦ‬
‫ﺑﺮﺍﻱ ‪) SNMPv3‬ﻓﺼﻞ ﻫﺸﺘﻢ( ﻧﻴﺰ ﺗﻌﻴﻴﻦ ﮔﺮﺩﻳﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ ﻭ ‪HMAC‬‬ ‫‪۳-۲‬‬
‫ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ ﻳﻚ‪ -‬ﻃﺮﻓﻪ ﻳﺎ ﺗﺎﺑﻊ ‪ hash‬ﺍﻣﻦ‪ ،‬ﻧﻪ ﺗﻨﻬﺎ ﺩﺭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺑﻠﻜﻪ ﺩﺭ ﺍﻣﻀﺎﺀﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ﻧﻴﺰ ﺣﺎﺋﺰ ﺍﻫﻤﻴﺖ‬
‫ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺑﺨﺶ ﺭﺍ ﺑﺎ ﺑﺮﺭﺳﻲ ﺧﻮﺍﺹ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ ﺷﺮﻭﻉ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺳﭙﺲ ﻳﻜﻲ ﺍﺯ ﻣﻬﻢﺗﺮﻳﻦ ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ‬
‫ﻳﻌﻨﻲ ‪ SHA‬ﺭﺍ ﻣﻮﺭﺩ ﺑﺮﺭﺳﻲ ﻗﺮﺍﺭ ﻣﻲﺩﻫﻴﻢ‪ .‬ﺩﺭ ﭘﺎﻳﺎﻥ ‪ HAMC‬ﺭﺍ ﻣﻌﺮﻓﻲ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ‪.‬‬
‫ﻻﺯﻣﻪﻫﺎﻱ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ‬

‫ﻫﺪﻑ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻳﻚ »ﺍﺛﺮﺍﻧﮕﺸﺖ« ﺍﺯ ﻳﻚ ﻓﺎﻳﻞ‪ ،‬ﻳﻚ ﭘﻴﺎﻡ‪ ،‬ﻭ ﻳﺎ ﺑﻠﻮﻙ ﺩﻳﮕﺮﻱ ﺍﺯ ﺩﻳﺘﺎ ﺑﻮﺟﻮﺩ ﺁﻭﺭﺩ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ‬
‫ﻛﻪ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ‪ H‬ﺑﻪ ﺩﺭﺩ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺑﺨﻮﺭﺩ ﺑﺎﻳﺴﺘﻲ ﺩﺍﺭﺍﻱ ﺧﻮﺍﺹ ﺯﻳﺮ ﺑﺎﺷﺪ‪:‬‬
‫‪ H -۱‬ﺑﺘﻮﺍﻧﺪ ﺑﻪ ﻳﻚ ﺑﻠﻮﻙ ﺩﺍﺩﻩ ﺑﺎ ﻫﺮ ﺍﻧﺪﺍﺯﻩﺍﻱ ﺍﻋﻤﺎﻝ ﮔﺮﺩﺩ‪.‬‬

‫‪ H -۲‬ﻳﻚ ﺧﺮﻭﺟﻲ ﺑﺎ ﻃﻮﻝ ﺛﺎﺑﺖ ﺍﻳﺠﺎﺩ ﻛﻨﺪ‪.‬‬
‫‪ -۳‬ﻣﺤﺎﺳﺒﺔ )‪ H(x‬ﺑﺮﺍﻱ ﻫﺮ ‪ x‬ﻧﺴﺒﺘﺎﹰ ﺳﺎﺩﻩ ﺑﻮﺩﻩ ﻭ ﺑﺘﻮﺍﻥ ﺁﻥ ﺭﺍ ﺑﺼﻮﺭﺕ ﺳﺨﺖﺍﻓﺰﺍﺭﻱ ﻭ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﺍﺟﺮﺍ ﻧﻤﻮﺩ‪.‬‬
‫‪ -۴‬ﺑﺮﺍﻱ ﻫﺮ ﻣﻘﺪﺍﺭ ‪ ،h‬ﭘﻴﺪﺍﻛﺮﺩﻥ ‪ x‬ﺑﻄﻮﺭﻱ ﻛﻪ ‪ H(x) = h‬ﺑﺎﺷﺪ ﺍﺯ ﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﻣﻘﺪﻭﺭ ﻧﺒﺎﺷﺪ‪.‬‬
‫‪ -۵‬ﺑﺮﺍﻱ ﻫﺮ ﺑﻠﻮﻙ ‪ ،x‬ﭘﻴﺪﺍﻛﺮﺩﻥ ﻳﻚ ﻣﻘﺪﺍﺭ ‪ y ≠ x‬ﺑﻄﻮﺭﻱﻛﻪ )‪ H(y) = H(x‬ﺑﺎﺷﺪ‪ ،‬ﺍﺯ ﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﻣﻘﺪﻭﺭ ﻧﺒﺎﺷﺪ‪ .‬ﺍﻳﻦ‬
‫ﻣﻮﺭﺩ ﺭﺍ ﮔﺎﻫﻲ ﻣﻘﺎﻭﻣﺖ ﺿﻌﻴﻒ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﺼﺎﺩﻡ )‪ (weak collision resistance‬ﻧﺎﻣﻨﺪ‪.‬‬
‫‪ -۶‬ﭘﻴﺪﺍ ﻛﺮﺩﻥ ﺯﻭﺟﻲ ﻣﺎﻧﻨﺪ )‪ (x,y‬ﺑﻄﻮﺭﻱ ﻛﻪ )‪ H(x) = H(y‬ﺑﺎﺷﺪ ﺍﺯ ﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﻣﻘﺪﻭﺭ ﻧﺒﺎﺷﺪ‪.‬ﺍﻳﻦ ﻣﻮﺭﺩ ﺭﺍ ﮔﺎﻫﻲ‬
‫ﻣﻘﺎﻭﻣﺖ ﻗﻮﻱ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﺼﺎﺩﻡ )‪ (strong collision resistance‬ﻧﺎﻣﻨﺪ‪.‬‬
‫ﺳﻪ ﺧﺎﺻﻴﺖ ﺍﻭﻝ ﻣﺮﺑﻮﻁ ﺑﻪ ﻧﻴﺎﺯﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻋﻤﻠﻲ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺍﺳﺖ‪ .‬ﺧﺎﺻﻴﺖ ﭼﻬﺎﺭﻡ‬
‫ﻳﻚ ﺧﺎﺻﻴﺖ »ﻳﻚ‪ -‬ﻃﺮﻓﻪ« ﺍﺳﺖ‪ :‬ﺍﻳﻦ ﺳﺎﺩﻩ ﺍﺳﺖ ﺗﺎ ﻛﹸﺪ ﻣﺮﺑﻮﻁ ﺑﻪ ﻳﻚ ﭘﻴﺎﻡ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩ ﻭﻟﻲ ﻋﻤﻼﹰ ﻣﺤﺎﻝ ﺍﺳﺖ ﻛﻪ ﺑﺎ ﺩﺍﺷﺘﻦ ﻛﹸﺪ‪،‬‬
‫ﭘﻴﺎﻡ ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪ .‬ﺍﻳﻦ ﺧﺎﺻﻴﺖ ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻪ ﺗﻜﻨﻴﻚ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺎﻣﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻣﻘﺪﺍﺭ ﺳﺮّﻱ ﺑﺎﺷﺪ )ﺷﻜﻞ‪۳-۲‬ﺝ(‪ ،‬ﻣﻬﻢ‬
‫ﺍﺳﺖ‪ .‬ﺍﮔﺮﭼﻪ ﺧﻮﺩ ﻣﻘﺪﺍﺭ ﺳﺮّﻱ ﺍﺭﺳﺎﻝ ﻧﻤﻲﺷﻮﺩ ﻭﻟﻲ ﺍﮔﺮ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﻳﻚ‪ -‬ﻃﺮﻓﻪ ﻧﺒﺎﺷﺪ‪ ،‬ﻳﻚ ﺩﺷﻤﻦ ﺑﺴﻬﻮﻟﺖ ﻣﻲﺗﻮﺍﻧﺪ ﻣﻘﺪﺍﺭ‬
‫ﺳﺮّﻱ ﺭﺍ ﻛﺸﻒ ﻛﻨﺪ‪ :‬ﺍﮔﺮ ﺩﺷﻤﻦ ﺑﺘﻮﺍﻧﺪ ﺑﻪ ﻳﻚ ﺍﻧﺘﻘﺎﻝ ﮔﻮﺵ ﻓﺮﺍﺩﺍﺩﻩ ﻭ ﻳﺎ ﺁﻥ ﺭﺍ ﻣﺸﺎﻫﺪﻩ ﻧﻤﺎﻳﺪ‪ ،‬ﺍﻭ ﭘﻴﺎﻡ ‪ M‬ﻭ ﻛﹸﺪ ﺩﺭﻫﻢ ﺷﺪﺓ‬
‫)‪ MDM = H (SAB || M‬ﺭﺍ ﺑﻪ ﭼﻨﮓ ﻣﻲﺁﻭﺭﺩ‪ .‬ﺩﺷﻤﻦ ﺁﻧﮕﺎﻩ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺭﺍ ﻣﻌﻜﻮﺱ ﻛﺮﺩﻩ ﺗﺎ )‪SAB || M = H -1(MDM‬‬
‫ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪ .‬ﺣﺎﻝ ﭼﻮﻥ ﺩﺷﻤﻦ ﻫﻢ ‪ M‬ﻭ ﻫﻢ ‪ SAB || M‬ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺭﺩ‪ ،‬ﺑﺴﺎﺩﮔﻲ ﻣﻲﺗﻮﺍﻧﺪ ‪ SAB‬ﺭﺍ ﺍﺳﺘﺨﺮﺍﺝ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪٧٩‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﺧﺎﺻﻴﺖ ﭘﻨﺠﻢ ﺗﻀﻤﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﻧﻴﺴﺖ ﺗﺎ ﭘﻴﺎﻡ ﺩﻳﮕﺮﻱ ﺑﺎ ﻫﻤﺎﻥ ﺍﻧﺪﺍﺯﺓ ‪ hash‬ﭘﻴﺎﻡ ﺍﺻﻠﻲ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ‬
‫ﺍﺯ ﺗﻘﻠﺐ ﺩﺭ ﺯﻣﺎﻧﻲ ﻛﻪ ﻳﻚ ﻛﹸﺪ ‪ hash‬ﺭﻣﺰﺷﺪﻩ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﻛﻨﺪ )ﺷﻜﻞﻫﺎﻱ ‪۳-۲‬ﺍﻟﻒ ﻭ ﺏ(‪ .‬ﺍﮔﺮ ﺍﻳﻦ ﺧﺎﺻﻴﺖ ﺟﺎﺭﻱ‬
‫ﻧﺒﺎﺷﺪ‪ ،‬ﻳﻚ ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﻗﺎﺩﺭ ﺑﻪ ﺍﻧﺠﺎﻡ ﻋﻤﻠﻴﺎﺕ ﺯﻳﺮ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ :‬ﺍﻭﻝ‪ ،‬ﻳﻚ ﭘﻴﺎﻡ ﺑﺎﺿﺎﻓﺔ ﻛﹸﺪ ‪ hash‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﺓ ﺁﻥ ﺭﺍ ﻣﻼﺣﻈﻪ ﻳﺎ‬
‫ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ ﻛﻨﺪ‪ .‬ﺩﻭﻡ‪ ،‬ﻳﻚ ﻛﹸﺪ ‪ hash‬ﺭﻣﺰﻧﺸﺪﻩ ﺍﺯ ﭘﻴﺎﻡ ﺭﺍ ﺗﻬﻴﻪ ﻛﻨﺪ‪ .‬ﺳﻮﻡ‪ ،‬ﻳﻚ ﭘﻴﺎﻡ ﺩﻳﮕﺮ ﺑﺎ ﻫﻤﺎﻥ ﻛﹸﺪ ‪ hash‬ﺗﻬﻴﻪ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻳﻚ ﺗﺎﺑﻊ ‪ hash‬ﻛﻪ ﭘﻨﺞ ﺧﺎﺻﻴﺖ ﺍﻭﻝ ﻟﻴﺴﺖ ﻗﺒﻞ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺗﺎﺑﻊ ‪ hash‬ﺿﻌﻴﻒ ﻣﻲﺧﻮﺍﻧﻨﺪ‪ .‬ﺍﮔﺮ ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﺧﺎﺻﻴﺖ‬
‫ﺷﺸﻢ ﻧﻴﺰ ﺍﺭﺿﺎﺀ ﮔﺮﺩﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﺗﺎﺑﻊ ‪ hash‬ﺭﺍ ﻗﻮﻱ ﻣﻲﻧﺎﻣﻨﺪ‪ .‬ﺧﺎﺻﻴﺖ ﺷﺸﻢ ﺍﺯ ﻳﻚ ﺩﺳﺘﻪ ﺣﻤﻼﺕ ﭘﻴﭽﻴﺪﻩ ﻛﻪ ﺣﻤﻠﺔ ﺭﻭﺯ ﺗﻮﻟﺪ ﺧﻮﺍﻧﺪﻩ‬
‫ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺟﺰﺋﻴﺎﺕ ﺍﻳﻦ ﺣﻤﻠﻪ ﻓﺮﺍﺗﺮ ﺍﺯ ﺍﻓﻖ ﺩﻳﺪ ﺍﻳﻦ ﻛﺘﺎﺏ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺣﻤﻠﻪ ﺗﻮﺍﻧﺎﺋﻲ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ‬
‫‪ -m‬ﺑﻴﺘﻲ ﺭﺍ ﺍﺯ ‪ 2m‬ﺑﻪ ‪ 2m/2‬ﻛﺎﻫﺶ ﻣﻲﺩﻫﺪ‪ [YUVA79] .‬ﻭ ﻳﺎ ]‪ [STAL06a‬ﺭﺍ ﻣﻼﺣﻈﻪ ﻧﻤﺎﺋﻴﺪ‪.‬‬
‫ﻋﻼﻭﻩ ﺑﺮ ﻓﺮﺍﻫﻢ ﻧﻤﻮﺩﻥ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻳﻚ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺻﺤﺖ ﭘﻴﺎﻡ ﺭﺍ ﻧﻴﺰ ﺗﻀﻤﻴﻦ ﻣﻲﻛﻨﺪ‪ .‬ﻋﻤﻞ ﺁﻥ ﻫﻤﺎﻧﻨﺪ ﺩﻧﺒﺎﻟﺔ ﻛﻨﺘﺮﻝ‬
‫ﻓﺮﻳﻢ )‪ (FCS‬ﺍﺳﺖ‪ :‬ﺍﮔﺮ ﻫﺮ ﺑﻴﺘﻲ ﺍﺯ ﭘﻴﺎﻡ ﺩﺭ ﺣﻴﻦ ﺍﻧﺘﻘﺎﻝ ﺑﻄﻮﺭ ﺗﺼﺎﺩﻓﻲ ﺗﻐﻴﻴﺮ ﻧﻤﺎﻳﺪ‪ ،‬ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﻋﻮﺽ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺳﺎﺩﻩ‬

‫ﺗﻤﺎﻡ ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺑﺮ ﺍﺳﺎﺱ ﺍﺻﻮﻝ ﻋﻤﻮﻣﻲ ﺯﻳﺮ ﻛﺎﺭ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻭﺭﻭﺩﻱ )ﭘﻴﺎﻡ‪ ،‬ﻓﺎﻳﻞ‪ ،‬ﻭ ﻏﻴﺮﻩ( ﺑﺼﻮﺭﺕ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ ﺑﻠﻮﻙﻫﺎﻱ‬
‫‪ -n‬ﺑﻴﺘﻲ ﺗﻠﻘﻲ ﻣﻲﮔﺮﺩﺩ‪ .‬ﻭﺭﻭﺩﻱ ﺑﺼﻮﺭﺕ ﻳﻚ ﺑﻠﻮﻙ ﺩﺭ ﻫﺮ ﺯﻣﺎﻥ ﻭ ﺑﻪ ﺭﻭﺵ ﺗﻜﺮﺍﺭ ﻣﻮﺭﺩ ﭘﺮﺩﺍﺯﺵ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺗﺎ ﻳﻚ ﺗﺎﺑﻊ‬
‫ﺩﺭﻫﻢﺳﺎﺯﻱ ﺷﺪﺓ ‪ -n‬ﺑﻴﺘﻲ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﻨﺪ‪.‬‬
‫ﻳﻜﻲ ﺍﺯ ﺳﺎﺩﻩﺗﺮﻳﻦ ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯﻱ‪ XOR ،‬ﻛﺮﺩﻥ ﺑﻴﺖ‪ -‬ﺑﻪ‪ -‬ﺑﻴﺖ ﻫﺮ ﺑﻠﻮﻙ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﻧﺸﺎﻥ ﺩﺍﺩ‪:‬‬
‫‪Ci = bi1 ⊕ bi2 ⊕ …⊕ bim‬‬

‫‪ i = Ci‬ﺍﻣﻴﻦ ﺑﻴﺖ ﻛﹸﺪ ‪1≤ i ≤ n hash‬‬
‫‪ = m‬ﺗﻌﺪﺍﺩ ﺑﻠﻮﻙﻫﺎﻱ ‪ -n‬ﺑﻴﺘﻲ ﺩﺭ ﻭﺭﻭﺩﻱ‬
‫‪ i = bij‬ﺍﻣﻴﻦ ﺑﻴﺖ ﺩﺭ ‪ j‬ﺍﻣﻴﻦ ﺑﻠﻮﻙ‬
‫⊕ = ﻋﻤﻞ ‪XOR‬‬
‫ﺷﻜﻞ ‪ ۳-۳‬ﺍﻳﻦ ﻋﻤﻠﻴﺎﺕ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻫﺮ ﺑﻴﺖ ﻛﹸﺪ ‪ hash‬ﺑﺴﺎﺩﮔﻲ ﻳﻚ ﺑﻴﺖ ﺗﻮﺍﺯﻥ )‪ (parity‬ﺑﻮﺩﻩ ﻛﻪ ﺗﺴﺖ ﺍﻓﺰﻭﻧﮕﻲ ﻋﻤﻮﺩﻱ‬
‫)‪ (VRC‬ﻧﻴﺰ ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﻋﻤﻞ ﺑﺮﺍﻱ ﺩﺍﺩﻩﻫﺎﻱ ﺗﺼﺎﺩﻓﻲ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺗﺴﺖ ﺻﺤﺖ ﺩﻳﺘﺎ ﻛﺎﻣﻼﹰ ﻣﺆﺛﺮ ﺍﺳﺖ‪ .‬ﻫﺮﻳﻚ ﺍﺯ ﻣﻘﺎﺩﻳﺮ‬
‫‪ -n‬ﺑﻴﺘﻲ ﻛﹸﺪ ﺩﺭﻫﻢﺳﺎﺯﻱ ﺷﺪﻩ ﺑﻄﻮﺭ ﻣﺴﺎﻭﻱ ﻣﺤﺘﻤﻞﺍﻧﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﺣﺘﻤﺎﻝ ﺍﻳﻨﻜﻪ ﻳﻚ ﺧﻄﺎ ﺩﺭ ﺩﻳﺘﺎ ﺑﺎﻋﺚ ﺗﻐﻴﻴﺮﻧﻜﺮﺩﻥ ﻛﹸﺪ ‪ hash‬ﺁﻥ‬
‫ﺷﻮﺩ‪ 2-n ،‬ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﻓﺮﻣﺖ ﺩﻳﺘﺎ ﻗﺎﺑﻞ ﭘﻴﺶﺑﻴﻨﻲﺗﺮ ﺑﺎﺷﺪ‪ ،‬ﺗﺎﺑﻊ ﻛﻤﺘﺮ ﻣﺆﺛﺮ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﻣﺜﻼﹰ ﺩﺭ ﺑﻴﺸﺘﺮ ﻓﺎﻳﻞﻫﺎﻱ ﻣﺘﻨﻲ ﻧﺮﻣﺎﻝ‪ ،‬ﺑﻴﺖ‬
‫ﭘﺮﺍﺭﺯﺵ ﻫﺮﺍﹸﻛﺘﺖ ﻫﻤﻴﺸﻪ ﺻﻔﺮ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﮔﺮ ﺍﺯ ﻳﻚ ﻣﻘﺪﺍﺭ ‪ -۱۲۸‬ﺑﻴﺘﻲ ‪ hash‬ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪ ،‬ﺑﺠﺎﻱ ﺍﻳﻨﻜﻪ ﺗﺄﺛﻴﺮ ﺁﻥ ‪۲-۱۲۸‬‬
‫ﺑﺎﺷﺪ‪ ،‬ﺗﺎﺑﻊ ‪ hash‬ﭼﻨﻴﻦ ﺩﻳﺘﺎﺋﻲ ﺩﺍﺭﺍﻱ ﺗﺄﺛﻴﺮﻱ ﺑﺮﺍﺑﺮ ‪ ۲-۱۱۲‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﺭﺍﻩ ﺳﺎﺩﻩﺍﻱ ﺑﺮﺍﻱ ﺑﻬﺒﻮﺩ ﻛﺎﺭ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﭘﺲ ﺍﺯ ﭘﺮﺩﺍﺯﺵ ﻫﺮﺑﻠﻮﻙ‪ ،‬ﻳﻚ ﮔﺮﺩﺵ ﻭ ﻳﺎ ﺷﻴﻔﺖ ﺣﻠﻘﻮﻱ ﺑﺎﻧﺪﺍﺯﺓ ﻳﻚ ﺑﻴﺖ ﺭﻭﻱ‬
‫ﻣﻘﺪﺍﺭ ‪ hash‬ﺍﻧﺠﺎﻡ ﺩﻫﻴﻢ‪ .‬ﺭﻭﺵ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﺧﻼﺻﻪ ﻛﺮﺩ‪:‬‬
‫‪ -۱‬ﺩﺭ ﺍﺑﺘﺪﺍ ﻣﻘﺪﺍﺭ ‪ -n‬ﺑﻴﺘﻲ ‪ hash‬ﺭﺍ ﺑﺮﺍﺑﺮ ﺻﻔﺮ ﻗﺮﺍﺭ ﺩﻫﻴﺪ‪.‬‬

‫‪ -۲‬ﻫﺮ ﺑﻠﻮﻙ ‪ -n‬ﺑﻴﺘﻲ ﺩﻳﺘﺎ ﺭﺍ ﭘﺲ ﺍﺯ ﺁﻥ ﻣﺘﻮﺍﻟﻴﺎﹰ ﺑﻪ ﺭﻭﺵ ﺯﻳﺮ ﭘﺮﺩﺍﺯﺵ ﻧﻤﺎﺋﻴﺪ‪:‬‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٨٠‬‬
‫ﺍﻟﻒ‪ -‬ﻣﻘﺪﺍﺭ ﺟﺎﺭﻱ ‪ hash‬ﺭﺍ ﻳﻚ ﺑﻴﺖ ﺑﻪ ﺳﻤﺖ ﭼﭗ ﺑﭽﺮﺧﺎﻧﻴﺪ‪.‬‬

‫ﺏ‪ -‬ﺑﻠﻮﻙ ﺭﺍ ﺑﺎ ﻣﻘﺪﺍﺭ ‪ XOR ،hash‬ﻧﻤﺎﺋﻴﺪ‪.‬‬
‫ﺍﺛﺮ ﺍﻳﻦ ﺍﻣﺮ »ﺗﺼﺎﺩﻓﻲ«ﺗﺮ ﻛﺮﺩﻥ ﻭ ﻏﻠﺒﻪ ﺑﺮ ﻫﺮ ﻧﻮﻉ ﻧﻈﻤﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻭﺭﻭﺩﻱ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪.‬‬
‫ﺍﮔﺮﭼﻪ ﺭﻭﺵ ﺩﻭﻡ ﻣﻌﻴﺎﺭ ﺧﻮﺑﻲ ﺑﺮﺍﻱ ﺳﻨﺠﺶ ﺻﺤﺖ ﺩﻳﺘﺎ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ ،‬ﻭﻟﻲ ﻭﻗﺘﻲ ﻫﻤﺎﻧﻨﺪ ﺷﻜﻞﻫﺎﻱ ‪۳-۲‬ﺍﻟﻒ ﻭ ﺏ‬
‫ﻳﻚ ﻛﹸﺪ ‪ hash‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺑﻬﻤﺮﺍﻩ ﻳﻚ ﭘﻴﺎﻡ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ ،‬ﺍﺯ ﻧﻈﺮ ﺍﻣﻨﻴﺖ ﺩﺍﺩﻩﻫﺎ ﺑﻲﺍﺭﺯﺵ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻳﻚ ﭘﻴﺎﻡ‬
‫ﺩﺍﺩﻩ ﺷﺪﻩ‪ ،‬ﻛﺎﺭ ﺁﺳﺎﻧﻲ ﺍﺳﺖ ﺗﺎ ﭘﻴﺎﻡ ﺟﺪﻳﺪﻱ ﻛﻪ ﻫﻤﺎﻥ ﻛﹸﺪ ‪ hash‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ ﺧﻠﻖ ﻛﺮﺩ‪ :‬ﺑﺴﺎﺩﮔﻲ ﭘﻴﺎﻡ ﻣﻮﺭﺩ ﻧﻈﺮ ﺟﺪﻳﺪ ﺭﺍ ﺗﻬﻴﻪ‬
‫ﻛﺮﺩﻩ ﻭ ﺁﻧﮕﺎﻩ ﻳﻚ ﺑﻠﻮﻙ ‪ -n‬ﺑﻴﺘﻲ ﻛﻪ ﺑﺎﻋﺚ ﺷﻮﺩ ﺗﺎ ﭘﻴﺎﻡ ﺟﺪﻳﺪ ﺑﺎﺿﺎﻓﺔ ﺑﻠﻮﻙ‪ ،‬ﻛﹸﺪ ‪ hash‬ﻣﻄﻠﻮﺏ ﺭﺍ ﺍﻳﺠﺎﺩ ﻧﻤﺎﻳﺪ ﺑﻪ ﺁﻥ ﺍﺿﺎﻓﻪ‬
‫ﻛﻨﻴﺪ‪.‬‬
‫ﺍﮔﺮﭼﻪ ﻳﻚ ‪ XOR‬ﺳﺎﺩﻩ ﻭ ﻳﺎ ﻳﻚ ‪ XOR‬ﭼﺮﺧﺶ ﻳﺎﻓﺘﻪ)‪ (RXOR‬ﺩﺭ ﺣﺎﻟﺘﻲ ﻛﻪ ﻓﻘﻂ ﻛﹸﺪ ‪ hash‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ ﻛﺎﻓﻲ‬
‫ﻧﻴﺴﺖ‪ ،‬ﻭﻟﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﻫﻨﻮﺯ ﺗﺼﻮﺭ ﻛﻨﻴﺪ ﻛﻪ ﺩﺭ ﺻﻮﺭﺗﻲﻛﻪ ﻫﻢ ﭘﻴﺎﻡ ﻭ ﻫﻢ ﻛﹸﺪ ‪ hash‬ﺩﻧﺒﺎﻝ ﺁﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ﮔﺮﺩﻧﺪ‪ ،‬ﭼﻨﻴﻦ ﺗﺎﺑﻊ‬
‫ﺳﺎﺩﻩﺍﻱ ﻣﻲﺗﻮﺍﻧﺪ ﻣﻔﻴﺪ ﻭﺍﻗﻊ ﺷﻮﺩ‪ .‬ﺍﻣﺎ ﺑﺎﻳﺴﺘﻲ ﺩﻗﺖ ﻛﺮﺩ‪ .‬ﺗﻜﻨﻴﻜﻲ ﻛﻪ ﺩﺭ ﺍﺑﺘﺪﺍ ﺑﺘﻮﺳﻂ ﺩﺍﻳﺮﺓ ﻣﻠﻲ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺁﻣﺮﻳﻜﺎ ﭘﻴﺸﻨﻬﺎﺩ‬
‫ﮔﺮﺩﻳﺪ ﺍﺯ ﻳﻚ ‪ XOR‬ﺳﺎﺩﻩ ﻛﻪ ﺑﻪ ﺑﻠﻮﻙﻫﺎﻱ ‪ -۶۴‬ﺑﻴﺘﻲ ﭘﻴﺎﻡ ﺍﻋﻤﺎﻝ ﻣﻲﺷﺪ ﻭ ﺳﭙﺲ ﺍﺯ ﻣُﻮﺩ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺭﻣﺰ ﻗﺎﻟﺒﻲ )‪ (CBC‬ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻣﻲﻛﺮﺩ‪ ،‬ﺗﺸﻜﻴﻞ ﺷﺪﻩ ﺑﻮﺩ‪ .‬ﺭﻭﺵ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﭼﻨﻴﻦ ﺗﻮﺻﻴﻒ ﻛﺮﺩ‪ :‬ﺑﺎ ﺩﺍﺷﺘﻦ ﭘﻴﺎﻣﻲ ﻛﻪ ﺷﺎﻣﻞ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ ﺑﻠﻮﻙﻫﺎﻱ ‪ -۶۴‬ﺑﻴﺘﻲ‬
‫‪ X1,X2,…,Xn‬ﺍﺳﺖ‪ ،‬ﻛﹸﺪ ‪ hash‬ﺁﻥ ﺭﺍ ﺑﺼﻮﺭﺕ ‪ XOR‬ﺑﻠﻮﻙ‪ -‬ﺑﻪ‪ -‬ﺑﻠﻮﻙ ﺗﻤﺎﻡ ﺑﻠﻮﻙﻫﺎ ﺗﻌﺮﻳﻒ ﻛﺮﺩﻩ ﻭ ﻛﹸﺪ ‪ hash‬ﺭﺍ ﺑﻌﻨﻮﺍﻥ‬
‫ﺁﺧﺮﻳﻦ ﺑﻠﻮﻙ ﺑﻪ ﭘﻴﺎﻡ ﻭﺻﻞ ﻛﻨﻴﺪ‪:‬‬
‫‪C = XN+1 = X1 ⊕ X2 ⊕ …⊕ XN‬‬
‫ﺳﭙﺲ ﺗﻤﺎﻡ ﭘﻴﺎﻡ ﺑﻌﻼﻭﺓ ﻛﹸﺪ ‪ hash‬ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣُﻮﺩ ‪ CBC‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﺮﺩﻩ ﺗﺎ ﭘﻴﺎﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ‪ Y1,Y2,…,YN+1‬ﺑﺪﺳﺖ‬
‫ﺁﻳﺪ‪ [JUEN85] .‬ﺑﻪ ﭼﻨﺪﻳﻦ ﺭﺍﻩ ﻛﻪ ﺩﺭ ﺁﻧﻬﺎ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﺍﻳﻦ ﭘﻴﺎﻡ ﻣﻲﺗﻮﺍﻧﺪ ﻃﻮﺭﻱ ﺩﺳﺘﻜﺎﺭﻱ ﺷﺪﻩ ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﹸﺪ ‪ hash‬ﻗﺎﺑﻞ‬
‫ﺁﺷﻜﺎﺭﺳﺎﺯﻱ ﻧﺒﺎﺷﺪ‪ ،‬ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﺑﺮﺣﺴﺐ ﺗﻌﺮﻳﻒ ‪) CBC‬ﺷﻜﻞ ‪ (۲-۹‬ﺩﺍﺭﻳﻢ‬
‫)‪X1 = IV ⊕ D (K, Y1‬‬

‫)‪Xi = Yi-1⊕ D (K, Yi‬‬
‫)‪XN+1 = YN ⊕ D (K, YN+1‬‬
‫ﺑﻴﺖ ‪1‬‬ ‫ﺑﻴﺖ ‪2‬‬ ‫•‬ ‫•‬ ‫•‬ ‫ﺑﻴﺖ ‪n‬‬

‫ﺑﻠﻮﻙ ‪1‬‬ ‫‪b11‬‬ ‫‪b21‬‬ ‫‪bn1‬‬
‫ﺑﻠﻮﻙ ‪2‬‬ ‫‪b12‬‬ ‫‪b22‬‬ ‫‪bn2‬‬
‫•‬ ‫•‬ ‫•‬ ‫•‬
‫•‬ ‫•‬ ‫•‬ ‫•‬
‫•‬ ‫•‬ ‫•‬ ‫•‬
‫ﺑﻠﻮﻙ ‪m‬‬ ‫‪b1 m‬‬ ‫‪b2m‬‬ ‫‪bnm‬‬

‫ﻛﹸﺪ ‪Hash‬‬ ‫‪C1‬‬ ‫‪C2‬‬ ‫‪Cn‬‬
‫ﺷﻜﻞ ‪ ۳-۳‬ﺗﺎﺑﻊ ‪ hash‬ﺳﺎﺩﻩ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ XOR‬ﺑﻴﺖ‪ -‬ﺑﻪ‪ -‬ﺑﻴﺖ‬

‫‪٨١‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﺍﻣﺎ ‪ XN+1‬ﻛﹸﺪ ‪ hash‬ﺍﺳﺖ‪:‬‬

‫‪XN+1 = X1 ⊕ X2 ⊕ …⊕ XN‬‬
‫])‪= [IV ⊕ D (K, Y1)] ⊕ [Y1 ⊕ D (K, Y2)] ⊕ …⊕ [YN-1 ⊕ D (K, YN‬‬
‫ﭼﻮﻥ ﻋﺒﺎﺭﺍﺕ ﺟﻤﻠﺔ ﻗﺒﻞ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﻫﺮ ﻧﻈﻤﻲ ‪ XOR‬ﻧﻤﻮﺩ‪ ،‬ﻧﺘﻴﺠﻪ ﻣﻲﮔﻴﺮﻳﻢ ﻛﻪ ﺍﮔﺮ ﺑﻠﻮﻙﻫﺎﻱ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺗﺤﺖ ﻫﺮ ﺟﺎﻳﮕﺸﺘﻲ‬
‫ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ‪ ،‬ﻛﹸﺪ ‪ hash‬ﺗﻐﻴﻴﺮ ﻧﺨﻮﺍﻫﺪ ﻛﺮﺩ‪.‬‬
‫ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ ‪SHA-1‬‬

‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ )‪ Secure Hash Algorithm (SHA‬ﺑﺘﻮﺳﻂ ﺍﻧﺴﺘﻴﺘﻮﻱ ﻣﻠﻲ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎ ﻭ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺁﻣﺮﻳﻜﺎ‬
‫)‪ (NIST‬ﺗﻮﻟﻴﺪ ﻭ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻓﺪﺭﺍﻝ ﭘﺮﺩﺍﺯﺵ ﺍﻃﻼﻋﺎﺕ )‪ (FIPS 180‬ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۳‬ﻣﻨﺘﺸﺮ ﮔﺮﺩﻳﺪ‪ .‬ﻧﺴﺨﺔ ﺑﺎﺯﻧﮕﺮﻱ‬
‫ﺷﺪﺓ ﺁﻥ ﺑﻌﻨﻮﺍﻥ ‪ FIPS 180-1‬ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۵‬ﻣﻨﺘﺸﺮ ﺷﺪ ﻭ ﻣﻌﻤﻮﻻﹰ ﺍﺯ ﺁﻥ ﺑﺎ ﻧﺎﻡ ‪ SHA-1‬ﻳﺎﺩ ﻣﻲﺷﻮﺩ‪ SHA-1 .‬ﻫﻤﭽﻨﻴﻦ ﺩﺭ‬
‫‪ RFC 3174‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﻋﻤﻮﻣﺎﹰ ﺷﺎﻣﻞ ﻫﻤﺎﻥ ﺗﻌﺎﺭﻳﻒ ‪ FIPS 180-1‬ﺑﻮﺩﻩ ﻭﻟﻲ ﻳﻚ ﻛﹸﺪ ﺑﻪ ﺯﺑﺎﻥ ‪ C‬ﻧﻴﺰ ﺑﻪ ﺁﻥ ﺍﺿﺎﻓﻪ‬
‫ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ SHA-1‬ﻳﻚ ﺍﻧﺪﺍﺯﺓ ‪ hash‬ﺑﺎ ﻃﻮﻝ ‪ ۱۶۰‬ﺑﻴﺖ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﺳﺎﻝ ‪ NIST ،۲۰۰۲‬ﻳﻚ ﻧﺴﺨﺔ ﺟﺪﻳﺪ ﺍﺯ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ‪،‬‬
‫‪ FIPS 180-2‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩ ﻛﻪ ﺳﻪ ﻧﺴﺨﺔ ﺟﺪﻳﺪ ﺍﺯ ‪ SHA‬ﺑﺎ ﻃﻮﻝﻫﺎﻱ ‪ ۳۸۴ ،۲۵۶‬ﻭ ‪ ۵۱۲‬ﺑﻴﺖ ﺑﺮﺍﻱ ﺍﻧﺪﺍﺯﺓ ‪ hash‬ﺭﺍ ﺗﻌﺮﻳﻒ‬
‫ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺗﻮﺍﺑﻊ ‪ SHA-384 ،SHA-256‬ﻭ ‪ SHA-512‬ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﻧﺪ )ﺟﺪﻭﻝ ‪ .(۳-۱‬ﺍﻳﻦ ﻧﺴﺨﻪﻫﺎﻱ ﺟﺪﻳﺪ ﻫﻤﺎﻥ‬
‫ﺳﺎﺧﺘﺎﺭ ﺯﻳﺮﺑﻨﺎﺋﻲ ﺭﺍ ﺩﺍﺷﺘﻪ ﻭ ﺍﺯ ﻫﻤﺎﻥ ﺣﺴﺎﺏ ﭘﻴﻤﺎﻧﻪﺍﻱ ﻭ ﻋﻤﻠﻴﺎﺕ ﻣﻨﻄﻘﻲ ﺑﺎﻳﻨﺮﻱ ‪ SHA-1‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺩﺭ ﺳﺎﻝ ‪،۲۰۰۵‬‬
‫‪ NIST‬ﻗﺼﺪ ﺧﻮﺩ ﻧﺴﺒﺖ ﺑﻪ ﻛﻨﺎﺭﮔﺬﺍﺷﺘﻦ‪ SHA-1‬ﻭ ﺍﺗﻜﺎﺀ ﺑﺮ ﺳﺎﻳﺮ ﻧﺴﺨﻪﻫﺎﻱ ‪ SHA‬ﺗﺎ ﺳﺎﻝ ‪ ۲۰۱۰‬ﺭﺍ ﺍﻋﻼﻡ ﻛﺮﺩ‪ .‬ﻛﻤﻲ ﺑﻌﺪ ﺍﺯ‬
‫ﺁﻥ‪ ،‬ﻳﻚ ﺗﻴﻢ ﺗﺤﻘﻴﻘﺎﺗﻲ ﺣﻤﻠﻪﺍﻱ ﺭﺍ ﺗﻮﺻﻴﻒ ﻛﺮﺩ ﻛﻪ ﺩﺭﺁﻥ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ ۲۶۹‬ﻋﻤﻠﻴﺎﺕ ﻣﻲﺗﻮﺍﻥ ﺩﻭ ﭘﻴﺎﻡ ﺭﺍ ﭘﻴﺪﺍ ﻛﺮﺩ ﻛﻪ ﺩﺍﺭﺍﻱ ﺍﻧﺪﺍﺯﺓ‬
‫‪ hash‬ﻳﻜﺴﺎﻥ ﺑﺎﺷﻨﺪ‪ .‬ﺍﻳﻦ ﺗﻌﺪﺍﺩ ﻋﻤﻠﻴﺎﺕ ﺑﺴﻴﺎﺭ ﻛﻤﺘﺮ ﺍﺯ ‪ ۲۸۰‬ﻋﻤﻠﻴﺎﺗﻲ ﺍﺳﺖ ﻛﻪ ﺗﺼﻮﺭ ﻣﻲﺷﺪ ﺑﺮﺍﻱ ﭘﻴﺪﺍﻛﺮﺩﻥ ﻳﻚ ﺗﺼﺎﺩﻡ ﺩﺭ‬
‫‪ SHA-1‬ﻻﺯﻡ ﺍﺳﺖ ]‪ .[WANG05‬ﺍﻳﻦ ﻧﺘﻴﺠﻪ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﮔﺬﺭ ﺑﻪ ﺳﺎﻳﺮ ﻧﺴﺦ ‪ SHA‬ﺑﺎﻳﺴﺘﻲ ﺳﺮﻳﻊﺗﺮ ﺻﻮﺭﺕ ﭘﺬﻳﺮﺩ‪.‬‬
‫ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﺗﻮﺻﻴﻔﻲ ﺍﺯ ‪ SHA-512‬ﺭﺍ ﺍﺭﺍﺋﻪ ﻣﻲﺩﻫﻴﻢ‪ .‬ﺳﺎﻳﺮ ﻧﺴﺨﻪﻫﺎ ﻛﺎﻣﻼﹰ ﻣﺸﺎﺑﻪ ﺍﻳﻦ ﻧﺴﺨﻪﺍﻧﺪ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﻌﻨﻮﺍﻥ ﻭﺭﻭﺩﻱ‬
‫ﻳﻚ ﭘﻴﺎﻡ ﺑﺎ ﻣﺎﻛﺰﻳﻤﻢ ﻃﻮﻝ ﻛﻤﺘﺮ ﺍﺯ ‪ ۲۱۲۸‬ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﻳﻚ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ‪ -۵۱۲‬ﺑﻴﺘﻲ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﻭﺭﻭﺩﻱ ﺩﺭ ﺑﻠﻮﻙﻫﺎﻱ‬
‫‪ -۱۰۲۴‬ﺑﻴﺘﻲ ﻣﻮﺭﺩ ﭘﺮﺩﺍﺯﺵ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺷﻜﻞ ‪ ۳-۴‬ﭘﺮﺩﺍﺯﺵ ﻛﺎﻣﻞ ﻳﻚ ﭘﻴﺎﻡ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻳﻚ ﭼﻜﻴﺪﻩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﭘﺮﺩﺍﺯﺵ‬
‫ﺷﺎﻣﻞ ﻗﺪﻡﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﻣﻘﺎﻳﺴﺔ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ‪SHA‬‬ ‫ﺟﺪﻭﻝ ‪۳-۱‬‬
‫‪SHA-512‬‬ ‫‪SHA-384‬‬ ‫‪SHA-256‬‬ ‫‪SHA-1‬‬

‫‪512‬‬ ‫‪384‬‬ ‫‪256‬‬ ‫‪160‬‬ ‫ﺍﻧﺪﺍﺯﺓ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ‬
‫‪M2128‬‬ ‫‪M2128‬‬ ‫‪M264‬‬ ‫‪M264‬‬ ‫ﺍﻧﺪﺍﺯﺓ ﭘﻴﺎﻡ‬
‫‪1024‬‬ ‫‪1024‬‬ ‫‪512‬‬ ‫‪512‬‬ ‫ﺍﻧﺪﺍﺯﺓ ﺑﻠﻮﻙ‬

‫‪64‬‬ ‫‪64‬‬ ‫‪32‬‬ ‫‪32‬‬ ‫ﺍﻧﺪﺍﺯﺓ ﻛﻠﻤﻪ‬
‫‪80‬‬ ‫‪80‬‬ ‫‪64‬‬ ‫‪80‬‬ ‫ﺗﻌﺪﺍﺩ ﻗﺪﻡﻫﺎ‬
‫‪256‬‬ ‫‪192‬‬ ‫‪128‬‬ ‫‪80‬‬ ‫ﺍﻣﻨﻴﺖ‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٨٢‬‬
‫‪N × 1024 bits‬‬

‫‪L bits‬‬ ‫‪128 bits‬‬
‫ﭘﻴﺎﻡ‬ ‫‪100-0‬‬ ‫‪L‬‬
‫‪1024 bits‬‬ ‫‪1024 bits‬‬ ‫‪1024 bits‬‬

‫‪M1‬‬ ‫‪M2‬‬ ‫•••‬ ‫‪MN‬‬
‫‪1024‬‬ ‫‪1024‬‬ ‫‪1024‬‬
‫‪512‬‬ ‫‪H1‬‬ ‫‪H2‬‬

‫‪F‬‬ ‫‪+‬‬ ‫‪F‬‬ ‫‪+‬‬ ‫•••‬ ‫‪F‬‬ ‫‪+‬‬
‫‪IV= H0‬‬ ‫= ‪HN‬‬
‫‪hash‬‬
‫‪code‬‬
‫‪+ = word-by-word addition mod 264‬‬
‫ﺷﻜﻞ‪ ۳-۴‬ﺗﻮﻟﻴﺪ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ‪SHA-1‬‬
‫• ﻗﺪﻡ ﺍﻭﻝ‪ :‬ﺑﻴﺖﻫﺎﻱ ﻻﺋﻲ )‪ (padding‬ﺭﺍ ﺑﻪ ﭘﻴﺎﻡ ﻭﺻﻞ ﻛﻨﻴﺪ‪ .‬ﺑﻴﺖﻫﺎﻱ ﻻﺋﻲ ﻃﻮﺭﻱ ﺑﻪ ﺑﻴﺖﻫﺎﻱ ﭘﻴﺎﻡ ﺍﺿﺎﻓﻪ ﻣﻲﺷﻮﻧﺪ ﻛﻪ‬
‫ﻃﻮﻝ ﺁﻥ ‪ 896 modulo 1024‬ﮔﺮﺩﺩ‪ .‬ﺑﻴﺖﻫﺎﻱ ﻻﺋﻲ ﻫﻤﻴﺸﻪ ﺑﻪ ﭘﻴﺎﻡ ﺍﺿﺎﻓﻪ ﻣﻲﮔﺮﺩﻧﺪ ﺣﺘﻲ ﺍﮔﺮ ﭘﻴﺎﻡ ﺧﻮﺩ ﺩﺍﺭﺍﻱ ﻃﻮﻝ‬
‫ﻣﻄﻠﻮﺏ ﺑﺎﺷﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺗﻌﺪﺍﺩ ﺑﻴﺖﻫﺎﻱ ﻻﺋﻲ ﺑﻴﻦ ‪ ۱‬ﺗﺎ ‪ ۱,۰۲۴‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﻻﺋﻲ ﺷﺎﻣﻞ ﻳﻚ ﺑﻴﺖ ‪ 1‬ﻭ ﺑﺪﻧﺒﺎﻝ ﺁﻥ ﺗﻌﺪﺍﺩ ﻻﺯﻡ‬
‫ﺑﻴﺖﻫﺎﻱ ‪ 0‬ﺍﺳﺖ‪.‬‬
‫• ﻗﺪﻡ ﺩﻭﻡ‪ :‬ﻃﻮﻝ ﭘﻴﺎﻡ ﺭﺍ ﻭﺻﻞ ﻛﻨﻴﺪ‪ .‬ﻳﻚ ﺑﻠﻮﻙ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﺑﻪ ﺍﻧﺘﻬﺎﻱ ﭘﻴﺎﻡ ﻭﺻﻞ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺑﻠﻮﻙ ﺑﺼﻮﺭﺕ ﻳﻚ ﻋﺪﺩ‬
‫ﺻﺤﻴﺢ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﺑﺪﻭﻥ ﻋﻼﻣﺖ )ﺑﺎ ﺍﺭﺯﺵﺗﺮﻳﻦ ﺑﺎﻳﺖ ﺩﺭ ﺍﺑﺘﺪﺍ ﻭﺍﻗﻊ ﻣﻲﺷﻮﺩ( ﺑﻮﺩﻩ ﻭ ﺷﺎﻣﻞ ﻃﻮﻝ ﭘﻴﺎﻡ ﺍﻭﻟﻴﻪ )ﻗﺒﻞ ﺍﺯ ﺍﺿﺎﻓﻪ‬
‫ﺷﺪﻥ( ﺍﺳﺖ‪.‬‬
‫ﺍﺟﺮﺍﻱ ﺩﻭ ﻗﺪﻡ ﺍﻭﻝ‪ ،‬ﭘﻴﺎﻣﻲ ﺭﺍ ﺑﺪﺳﺖ ﻣﻲﺩﻫﺪ ﻛﻪ ﻃﻮﻝ ﺁﻥ ﻣﻀﺮﺏ ﺻﺤﻴﺤﻲ ﺍﺯ ‪ ۱,۰۲۴‬ﺑﻴﺖ ﺍﺳﺖ‪ .‬ﺩﺭ ﺷﻜﻞ ‪ ۳-۴‬ﭘﻴﺎﻡ‬
‫ﺗﻮﺳﻌﻪﻳﺎﻓﺘﻪ ﺑﺼﻮﺭﺕ ﻳﻚ ﺩﻧﺒﺎﻟﻪ ﺍﺯ ﺑﻠﻮﻙﻫﺎﻱ ‪ ۱,۰۲۴‬ﺑﻴﺘﻲ ‪ M1, M2 ,...,MN‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺑﻄﻮﺭﻱﻛﻪ ﻃﻮﻝ ﻛﻠﻲ ﭘﻴﺎﻡ‬
‫ﺗﻮﺳﻌﻪﻳﺎﻓﺘﻪ ‪ N × 1024‬ﺑﻴﺖ ﺍﺳﺖ‪.‬‬
‫• ﻗﺪﻡ ﺳﻮﻡ‪ :‬ﺣﺎﻓﻈﺔ ‪ hash‬ﺭﺍ ﺑﺎ ﻣﻘﺎﺩﻳﺮ ﺍﻭﻟﻴﻪ ﭘﺮﻛﻨﻴﺪ‪ .‬ﻳﻚ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ‪ -۵۱۲‬ﺑﻴﺘﻲ ﺑﺮﺍﻱ ﻧﮕﻬﺪﺍﺭﻱ ﻣﻘﺎﺩﻳﺮ ﻣﻴﺎﻧﻲ ﻭ‬
‫ﺍﻧﺘﻬﺎﺋﻲ ﺗﺎﺑﻊ ‪ hash‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﺍﻳﻦ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺼﻮﺭﺕ ‪ ۸‬ﺭﺟﻴﺴﺘﺮ ‪ -۶۴‬ﺑﻴﺘﻲ )‪ (a, b, c, d, e, f, g, h‬ﻧﺸﺎﻥ‬
‫ﺩﺍﺩﻩ ﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺣﺎﻓﻈﻪﻫﺎﻱ ﻣﻮﻗﺖ ﺩﺭ ﺍﺑﺘﺪﺍ ﺑﺎ ﺍﻋﺪﺍﺩ ﺻﺤﻴﺢ ‪ -۶۴‬ﺑﻴﺘﻲ ﺯﻳﺮ )ﺑﺼﻮﺭﺕ ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ( ﭘﺮ ﻣﻲﺷﻮﻧﺪ‪:‬‬
‫‪a = 6A09E667F3BCC908‬‬ ‫‪e = 510E527FADE682D1‬‬

‫‪b = BB67AE8584CAA73B‬‬ ‫‪f = 9B05688C2B3E6C1F‬‬
‫‪c = 3C6EF372FE94F82B‬‬ ‫‪g = 1F83D9ABFB41BD6B‬‬
‫‪d = A54FF53A5F1D36F1‬‬ ‫‪h = 5BE0CDI9137E2179‬‬
‫‪٨٣‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﺍﻳﻦ ﻣﻘﺎﺩﻳﺮ ﺑﺎ ﻓﺮﻡ ‪ big-endian‬ﺫﺧﻴﺮﻩ ﻣﻲﺷﻮﻧﺪ ﻛﻪ ﺩﺭ ﺁﻥ ﺑﺎ ﺍﻫﻤﻴﺖﺗﺮﻳﻦ ﺑﺎﻳﺖ ﻳﻚ ﻛﻠﻤﻪ‪ ،‬ﺩﺭ ﻣﺤﻞ ﭘﺎﺋﻴﻦﺗﺮﻳﻦ )ﭼﭗﺗﺮﻳﻦ(‬
‫ﺁﺩﺭﺱ ﺑﺎﻳﺖ ﻗﺮﺍﺭﻣﻲﮔﻴﺮﺩ‪ .‬ﺍﻳﻦ ﻛﻠﻤﺎﺕ ﺑﺎ ﺍﻧﺘﺨﺎﺏ‪ ۶۴‬ﺑﻴﺖ ﺍﻭﻝ ﺑﺨﺶﻫﺎﻱ ﺍﻋﺸﺎﺭﻱ ﺟﺬﺭ ﺍﻭﻟﻴﻦ ﻫﺸﺖ ﻋﺪﺩ ﺍﻭﻝ ﺑﺪﺳﺖ ﺁﻣﺪﻩﺍﻧﺪ‪.‬‬
‫• ﻗﺪﻡ ﭼﻬﺎﺭﻡ‪ :‬ﭘﻴﺎﻡ ﺭﺍ ﺩﺭ ﺑﻠﻮﻙﻫﺎﻱ ‪ -۱۰۲۴‬ﺑﻴﺘﻲ )‪-۱۲۸‬ﻛﻠﻤﻪﺍﻱ( ﭘﺮﺩﺍﺯﺵ ﻛﻨﻴﺪ‪ .‬ﻗﻠﺐ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﺪﻭﻟﻲ ﺍﺳﺖ ﻛﻪ‬
‫ﺷﺎﻣﻞ‪ ۸۰‬ﺩُﻭﺭ ﭘﺮﺩﺍﺯﺵ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﺪﻭﻝ ﺩﺭﺷﻜﻞ ‪ ۳-۴‬ﺑﺎ ‪ F‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻣﻨﻄﻖ ﻋﻤﻞ ﺩﺭﺷﻜﻞ ‪ ۳-۵‬ﺭﺳﻢ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻫﺮ ﺩُﻭﺭ ﺑﻌﻨﻮﺍﻥ ﻭﺭﻭﺩﻱ‪ ،‬ﻳﻚ ﺑﻠﻮﻙ ‪ -۵۱۲‬ﺑﻴﺘﻲ ‪ abcdefgh‬ﺣﺎﻓﻈﻪ ﻣﻮﻗﺖ ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﻣﺤﺘﻮﻳﺎﺕ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ﺭﺍ ﺑﻪ ﺭﻭﺯ‬
‫ﺩﺭﻣﻲﺁﻭﺭﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻭﺭﻭﺩﻱ ﺍﻭﻟﻴﻦ ﺩُﻭﺭ‪ ،‬ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ﺩﺍﺭﺍﻱ ﺍﻧﺪﺍﺯﺓ ‪ hash‬ﻣﻴﺎﻧﻲ ‪ Hi-1‬ﺍﺳﺖ ﻫﺮ ﺩﻭﺭ ‪ t‬ﺍﺯ ﻳﻚ ﺍﻧﺪﺍﺯﺓ‬
‫‪ -۶۴‬ﺑﻴﺘﻲ ‪ Wt‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﻛﻪ ﺍﺯ ﺑﻠﻮﻙ ‪ -۱۰۲۴‬ﺑﻴﺘﻲ ﺩﺭ ﺣﺎﻝ ﭘﺮﺩﺍﺯﺵ )‪ (Mi‬ﻣﺸﺘﻖ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻫﺮ ﺩُﻭﺭ ﻫﻤﭽﻨﻴﻦ ﺍﺯ ﻳﻚ‬
‫ﺛﺎﺑﺖ ﺟﻤﻊ ﺷﻮﻧﺪﻩ ‪ Kt‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻛﻪ ﺩﺭﺁﻥ ‪ 0 ≤ t ≤ 79‬ﻧﻤﺎﻳﺶ ﺩﻫﻨﺪﺓ ﻳﻜﻲ ﺍﺯ ‪ ۸۰‬ﺩُﻭﺭ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻛﻠﻤﺎﺕ ﺍﻭﻟﻴﻦ ‪ ۶۴‬ﺑﻴﺖ‬
‫ﺑﺨﺶﻫﺎﻱ ﺍﻋﺸﺎﺭﻱ ﺭﻳﺸﺔ ﺳﻮﻡ ﺍﻭﻟﻴﻦ ﻫﺸﺖ ﻋﺪﺩ ﺍﻭﻝ ﻣﻲﺑﺎﺷﻨﺪ ﺛﺎﺑﺖﻫﺎ ﻳﻚ ﺍﻟﮕﻮﻱ ﺗﺼﺎﺩﻓﻲ ‪ -۶۴‬ﺑﻴﺘﻲ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﻨﺪ ﻛﻪ‬
‫ﻗﺎﻋﺪﺗﺎﹰ ﻫﺮﮔﻮﻧﻪ ﻧﻈﻢ ﺩﺭ ﺩﻳﺘﺎﻱ ﻭﺭﻭﺩﻱ ﺭﺍ ﺍﺯ ﺑﻴﻦ ﺧﻮﺍﻫﺪ ﺑﺮﺩ‪.‬‬
‫ﺧﺮﻭﺟﻲ ﻫﺸﺘﺎﺩﻣﻴﻦ ﺩُﻭﺭ ﺑﻪ ﻭﺭﻭﺩﻱ ﺍﻭﻟﻴﻦ ﺩُﻭﺭ )‪ (Hi-1‬ﺍﺿﺎﻓﻪ ﺷﺪﻩ ﺗﺎ ‪ Hi‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﻨﺪ‪ .‬ﺟﻤﻊ ﺑﺮﺍﻱ ﻫﺮﻳﻚ ﺍﺯ ‪ ۸‬ﻛﻠﻤﺔ‬
‫ﻣﻮﺟﻮﺩ ﺩﺭ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ﺑﺎ ﻫﺮ ﻛﻠﻤﺔ ﻧﻈﻴﺮ ﺩﺭ ‪ Hi-1‬ﺟﺪﺍﮔﺎﻧﻪ ﻭ ﺑﺼﻮﺭﺕ ‪ modulo 264‬ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪.‬‬
‫• ﻗﺪﻡ ﭘﻨﺠﻢ‪ :‬ﺧﺮﻭﺟﻲ‪ .‬ﺑﻌﺪﺍﺯﺍﻳﻨﻜﻪ ﺗﻤﺎﻡ ‪ N‬ﺑﻠﻮﻙ ‪ -۱۰۲۴‬ﺑﻴﺘﻲ ﭘﺮﺩﺍﺯﺵ ﮔﺮﺩﻳﺪ‪ ،‬ﺧﺮﻭﺟﻲ ‪ N‬ﺍﻣﻴﻦ ﻣﺮﺣﻠﻪ ﭼﻜﻴﺪﺓ‬
‫‪ -۵۱۲‬ﺑﻴﺘﻲ ﭘﻴﺎﻡ ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ SHA-512‬ﺩﺍﺭﺍﻱ ﺍﻳﻦ ﺧﺎﺻﻴﺖ ﺍﺳﺖ ﻛﻪ ﻫﺮ ﺑﻴﺖ ﻛﹸﺪ ‪ hash‬ﺗﺎﺑﻌﻲ ﺍﺯ ﺗﻤﺎﻡ ﺑﻴﺖﻫﺎﻱ ﻭﺭﻭﺩﻱ ﺍﺳﺖ‪ .‬ﺗﻜﺮﺍﺭ‬
‫ﭘﻴﭽﻴﺪﺓ ﺗﺎﺑﻊ ﺍﺻﻠﻲ ‪ F‬ﻧﺘﺎﻳﺠﻲ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﺨﻮﺑﻲ ﻣﺨﻠﻮﻁ ﺷﺪﻩﺍﻧﺪ‪ .‬ﻳﻌﻨﻲ ﻏﻴﺮﻣﺤﺘﻤﻞ ﺍﺳﺖ ﻛﻪ ﺩﻭ ﭘﻴﺎﻣﻲ ﻛﻪ ﺑﺼﻮﺭﺕ ﺗﺼﺎﺩﻓﻲ‬
‫ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩﺍﻧﺪ‪ ،‬ﺣﺘﻲ ﺍﮔﺮ ﻧﻈﻢ ﻣﺸﺎﺑﻪﺍﻱ ﺍﺯ ﺧﻮﺩ ﻧﺸﺎﻥ ﺩﻫﻨﺪ‪ ،‬ﺩﺍﺭﺍﻱ ﻫﻤﺎﻥ ﻛﹸﺪ ‪ hash‬ﻳﻜﺴﺎﻥ ﺑﺎﺷﻨﺪ‪ .‬ﻣﮕﺮ ﺿﻌﻒ ﭘﻨﻬﺎﻥ ﺷﺪﻩﺍﻱ ﺩﺭ‬
‫‪ SHA-512‬ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﻛﻪ ﺗﺎ ﻛﻨﻮﻥ ﻫﻮﻳﺪﺍ ﻧﺸﺪﻩ ﺑﺎﺷﺪ ﻭﺍﻻ ﻣﺴﺄﻟﺔ ﺭﺳﻴﺪﻥ ﺑﻪ ﺩﻭ ﭘﻴﺎﻣﻲ ﻛﻪ ﺩﺍﺭﺍﻱ ﭼﻜﻴﺪﺓ ﻳﻜﺴﺎﻧﻲ ﺑﺎﺷﻨﺪ‬
‫ﻧﻴﺎﺯ ﺑﻪ ﻋﻤﻠﻴﺎﺗﻲ ﺑﺎ ﺣﺠﻢ‪ ۲۲۵۶‬ﺩﺍﺭﺩ‪ .‬ﺑﻪ ﻫﻤﻴﻦ ﺗﺮﺗﻴﺐ ﻣﻮﺭﺩ ﭘﻴﺪﺍﻛﺮﺩﻥ ﭘﻴﺎﻣﻲ ﺑﺎ ﻳﻚ ﭼﻜﻴﺪﺓ ﺩﺍﺩﻩ ﺷﺪﻩ‪ ،‬ﻧﻴﺎﺯ ﺑﻪ ‪ ۲۵۱۲‬ﻋﻤﻠﻴﺎﺕ ﺩﺍﺭﺩ‪.‬‬
‫ﺳﺎﻳﺮ ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ‬

‫ﻫﻤﺎﻧﮕﻮﻧﻪ ﻛﻪ ﺩﺭ ﻣﻮﺭﺩ ﺭﻣﺰﻫﺎﻱ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ ﻧﻴﺰ ﭼﻨﻴﻦ ﺑﻮﺩ‪ ،‬ﻃﺮﺍﺣﺎﻥ ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ ﺗﻤﺎﻳﻠﻲ ﻧﺪﺍﺷﺘﻪﺍﻧﺪ ﻛﻪ ﺍﺯ ﻳﻚ ﺳﺎﺧﺘﺎﺭ‬
‫ﺑﻪ ﺍﺛﺒﺎﺕ ﺭﺳﻴﺪﻩ ﻋﺪﻭﻝ ﻧﻤﺎﻳﻨﺪ‪ DES .‬ﺑﺮ ﻣﺒﻨﺎﻱ ﺭﻣﺰ ‪ Feistel‬ﺑﻨﺎﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻫﻤﺔ ﺭﻣﺰﻫﺎﻱ ﻗﺎﻟﺒﻲ ﭘﺲ ﺍﺯ ﺁﻥ ﻧﻴﺰ ﺗﻠﻮﻳﺤﺎﹰ ﺍﺯ ﻃﺮﺍﺣﻲ‬
‫‪ Feistel‬ﺗﺒﻌﻴﺖ ﻛﺮﺩﻩﺍﻧﺪ‪ ،‬ﺯﻳﺮﺍ ﺍﻳﻦ ﻃﺮﺍﺣﻲ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﻃﻮﺭﻱ ﺗﻐﻴﻴﺮ ﺩﺍﺩ ﻛﻪ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﻬﺪﻳﺪﻫﺎﻱ ﻛﺸﻒ ﺭﻣﺰﻱ ﻛﻪ ﺟﺪﻳﺪﺍﹰ ﻛﺸﻒ‬
‫ﺷﺪﻩ ﻧﻴﺰ ﻣﻘﺎﻭﻡ ﮔﺮﺩﺩ‪ .‬ﺍﮔﺮ ﺑﺠﺎﻱ ﺁﻥ ﺍﺯ ﻳﻚ ﻃﺮﺍﺣﻲ ﻛﺎﻣﻼﹰ ﻧﻮ ﺑﺮﺍﻱ ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﺪ‪ ،‬ﺍﻳﻦ ﻧﮕﺮﺍﻧﻲ ﻭﺟﻮﺩ ﺩﺍﺷﺖ‬
‫ﻛﻪ ﺳﺎﺧﺘﺎﺭ ﺟﺪﻳﺪ ﺭﺍﻩﻫﺎﻱ ﺣﻤﻠﺔ ﺟﺪﻳﺪﻱ ﻛﻪ ﺗﺎ ﻛﻨﻮﻥ ﻧﺴﺒﺖ ﺑﻪ ﺁﻥ ﻓﻜﺮ ﻧﺸﺪﻩ ﺑﻮﺩ ﺭﺍ ﺑﮕﺸﺎﻳﺪ‪ .‬ﺑﺪﻟﻴﻞ ﻣﺸﺎﺑﻪ‪ ،‬ﺑﻴﺸﺘﺮ ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ‬
‫ﺟﺪﻳﺪ ﻭ ﻣﻬﻢ ﻧﻴﺰ ﺍﺯ ﻫﻤﺎﻥ ﺳﺎﺧﺘﺎﺭ ﺍﺳﺎﺳﻲ ﺷﻜﻞ ‪ ۳-۴‬ﻛﻪ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺗﻜﺮﺍﺭﺷﻮﻧﺪﻩ ﺧﻮﺍﻧﺪﻩ ﺷﺪﻩ ﻭ ﺩﺭ ﺍﺑﺘﺪﺍ ﺑﺘﻮﺳﻂ‬
‫]‪ Merkle[MERK79,MERK89‬ﭘﻴﺸﻨﻬﺎﺩ ﺷﺪﻩ ﺍﺳﺖ ﺗﺒﻌﻴﺖ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻣﺤﺮﻙ ﺍﻳﻦ ﺳﺎﺧﺘﺎﺭ ﺗﻜﺮﺍﺭﺷﻮﻧﺪﻩ ﺍﺯ ﻣﺸﺎﻫﺪﺍﺕ‬
‫]‪ Merkle[MERK89‬ﻭ ]‪ Damgard[DAMG89‬ﺳﺮﭼﺸﻤﻪ ﻣﻲﮔﻴﺮﺩ ﻛﻪ ﺍﮔﺮ ﺗﺎﺑﻊ ﻣﺮﺑﻮﻁ ﺑﻪ ﻳﻚ ﺑﻠﻮﻙ ﻣﻨﻔﺮﺩ‪ ،‬ﻛﻪ ﺗﺎﺑﻊ‬
‫ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﺩﺭ ﻣﻘﺎﺑﻞ ﺗﺼﺎﺩﻡ ﻣﻘﺎﻭﻡ ﺑﺎﺷﺪ‪ ،‬ﻧﺘﻴﺠﺔ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺷﺪﻩ ﻭ ﺗﻜﺮﺍﺭﺷﺪﺓ ﺁﻥ ﻫﻢ‪ ،‬ﻫﻤﺎﻥ ﺧﺎﺻﻴﺖ ﺭﺍ ﺧﻮﺍﻫﺪ‬
‫ﺩﺍﺷﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺳﺎﺧﺘﺎﺭ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ‪ ،‬ﺑﺮﺍﻱ ﻋﻤﻞ ﺭﻭﻱ ﭘﻴﺎﻣﻲ ﺑﺎ ﻫﺮ ﻃﻮﻝ ﺑﻜﺎﺭ ﺑﺮﺩ‪ .‬ﻣﺴﺄﻟﺔ ﻃﺮﺍﺣﻲ‬
‫ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ ﺑﻪ ﻣﺴﺄﻟﺔ ﻃﺮﺍﺣﻲ ﻳﻚ ﺗﺎﺑﻊ ﻓﺸﺮﺩﻩﺳﺎﺯ ﻣﻘﺎﻭﻡ ﺩﺭ ﻣﻘﺎﺑﻞ ﺗﺼﺎﺩﻡ ﻛﻪ ﺭﻭﻱ ﻭﺭﻭﺩﻱﻫﺎﺋﻲ ﺑﺎ ﻃﻮﻝ ﺛﺎﺑﺖ ﻛﺎﺭ‬
‫ﻣﻲﻛﻨﻨﺪ‪ ،‬ﺑﺮﻣﻲﮔﺮﺩﺩ‪ .‬ﺛﺎﺑﺖ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﺑﺮﺧﻮﺭﺩ‪ ،‬ﺭﻭﺵ ﻣﻄﻤﺌﻨﻲ ﺍﺳﺖ ﻭ ﻃﺮﺡﻫﺎﻱ ﺟﺪﻳﺪﺗﺮ ﺗﻨﻬﺎ ﺳﺎﺧﺘﺎﺭ ﺭﺍ ﭘﺎﻻﻳﺶ ﻛﺮﺩﻩ ﻭ‬
‫ﺑﻪ ﻃﻮﻝ ﻛﹸﺪ ﺍﻓﺰﻭﺩﻩﺍﻧﺪ‪.‬‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٨٤‬‬
‫‪Mi‬‬ ‫‪Hi-1‬‬
‫‪message‬‬
‫‪schedule‬‬ ‫‪64‬‬
‫‪a‬‬ ‫‪b‬‬ ‫‪c‬‬ ‫‪d‬‬ ‫‪e‬‬ ‫‪f‬‬ ‫‪g‬‬ ‫‪h‬‬
‫‪W0‬‬ ‫‪K0‬‬
‫‪Round 0‬‬
‫‪..‬‬
‫‪.‬‬
‫‪a‬‬ ‫‪b‬‬ ‫‪c‬‬ ‫‪d‬‬ ‫‪e‬‬ ‫‪f‬‬ ‫‪g‬‬ ‫‪h‬‬
‫‪Wt‬‬ ‫‪Kt‬‬
‫‪Round t‬‬
‫‪..‬‬
‫‪.‬‬
‫‪a‬‬ ‫‪b‬‬ ‫‪c‬‬ ‫‪d‬‬ ‫‪e‬‬ ‫‪f‬‬ ‫‪g‬‬ ‫‪h‬‬
‫‪W79‬‬ ‫‪K79‬‬
‫‪+‬‬ ‫‪+ +‬‬ ‫‪+ + + + +‬‬
‫‪Hi‬‬
‫ﺷﻜﻞ ‪ ۳-۵‬ﭘﺮﺩﺍﺯﺵ ‪ SHA-512‬ﻳﻚ ﺑﻠﻮﻙ ‪ -۱۰۲۴‬ﺑﻴﺘﻲ‬
‫ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﻧﮕﺎﻫﻲ ﺑﻪ ﺩﻭ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ ﺩﻳﮕﺮ‪ ،‬ﻛﻪ ﻋﻼﻭﻩ ﺑﺮ ‪ SHA‬ﭘﺬﻳﺮﺵ ﺗﺠﺎﺭﻱ ﻳﺎﻓﺘﻪﺍﻧﺪ‪ ،‬ﻣﻲﺍﻧﺪﺍﺯﻳﻢ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ‪MD5‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ‪ (RFC 1321) MD5‬ﺑﺘﻮﺳﻂ ‪ Ron Rivest‬ﻃﺮﺍﺣﻲ ﮔﺮﺩﻳﺪ‪ .‬ﺗﺎ ﭼﻨﺪﻳﻦ ﺳﺎﻝ ﻗﺒﻞ ﻛﻪ ﻫﻨﻮﺯ‬
‫ﻧﮕﺮﺍﻧﻲﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ ﻭ ﻛﺸﻒ ﺭﻣﺰ ﺟﺪﻱ ﻧﺒﻮﺩ‪ MD5 ،‬ﭘﺮﺍﺳﺘﻔﺎﺩﻩﺗﺮﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺭﻫﻢﺳﺎﺯﻱ ﺍﻣﻦ ﺑﻮﺩ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫ﺑﻌﻨﻮﺍﻥ ﻭﺭﻭﺩﻱ‪ ،‬ﻳﻚ ﭘﻴﺎﻡ ﺑﺎ ﻃﻮﻝ ﺍﺧﺘﻴﺎﺭﻱ ﺭﺍ ﭘﺬﻳﺮﻓﺘﻪ ﻭ ﺑﻌﻨﻮﺍﻥ ﺧﺮﻭﺟﻲ ﻳﻚ ﭼﻜﻴﺪﺓ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﺍﺯ ﭘﻴﺎﻡ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﻭﺭﻭﺩﻱ‬
‫ﺑﺼﻮﺭﺕ ﺑﻠﻮﻙﻫﺎﻱ ‪ -۵۱۲‬ﺑﻴﺘﻲ ﻣﻮﺭﺩ ﭘﺮﺩﺍﺯﺵ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫‪٨٥‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﻫﻤﻴﻨﻄﻮﺭ ﻛﻪ ﺳﺮﻋﺖ ﭘﺮﺩﺍﺯﺵﮔﺮﻫﺎ ﺍﻓﺰﺍﻳﺶ ﻳﺎﻓﺘﻪ ﺍﺳﺖ‪ ،‬ﺍﻣﻨﻴﺖ ﻳﻚ ﻛﹸﺪ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﻧﻴﺰ ﺯﻳﺮ ﺳﺆﺍﻝ ﺭﻓﺘﻪ ﺍﺳﺖ‪ .‬ﻣﻴﺘﻮﺍﻥ ﻧﺸﺎﻥ‬
‫ﺩﺍﺩﻛﻪ ﭘﻴﭽﻴﺪﮔﻲ ﺭﺳﻴﺪﻥ ﺑﻪ ﺩﻭ ﭘﻴﺎﻡ ﻣﺘﻔﺎﻭﺕ ﻛﻪ ﺩﺍﺭﺍﻱ ﻳﻚ ﭼﻜﻴﺪﻩ ﺑﺎﺷﻨﺪ ﺩﺭ ﻣﺮﺯ‪ ۲۶۴‬ﻋﻤﻠﻴﺎﺕ ﻗﺮﺍﺭ ﺩﺍﺷﺘﻪ ﺩﺭ ﺣﺎﻟﻲﻛﻪ ﭘﻴﭽﻴﺪﮔﻲ‬
‫ﭘﻴﺪﺍﻛﺮﺩﻥ ﻳﻚ ﭘﻴﺎﻡ ﺑﺎ ﻳﻚ ﭼﻜﻴﺪﺓ ﻣﻮﺭﺩ ﻧﻈﺮ ﺩﺭ ﺣﺪ ‪ ۲۱۲۸‬ﻋﻤﻠﻴﺎﺕ ﺍﺳﺖ‪ .‬ﺭﻗﻢ ﻗﺒﻠﻲ ﺑﺮﺍﻱ ﺍﻣﻨﻴﺖ ﺧﻴﻠﻲ ﻛﻮﭼﻚ ﺍﺳﺖ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ‬
‫ﺗﻌﺪﺍﺩﻱ ﻋﻤﻠﻴﺎﺕ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﺻﻮﺭﺕ ﭘﺬﻳﺮﻓﺘﻪ ﺍﺳﺖ ﻛﻪ ﺁﺳﻴﺐﭘﺬﻳﺮﻱ ‪ MD5‬ﺩﺭ ﻣﻘﺎﺑﻞ ﻛﺸﻒ ﺭﻣﺰ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‬
‫]‪.[BERS92,BOER93,DOBB96‬‬
‫‪Whirlpool‬‬
‫‪ [BARR03,STAL06b] Whirlpool‬ﺑﺘﻮﺳﻂ ‪ Vincent Rijmen‬ﺍﻫﻞ ﺑﻠﮋﻳﻚ ﻭ ﺳﻬﻴﻢ ﺩﺭ ﺍﺧﺘﺮﺍﻉ ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫‪) Rijndael‬ﺍﻟﮕﻮﺭﻳﺘﻤﻲ ﻛﻪ ﺑﻌﻨﻮﺍﻥ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﭘﻴﺸﺮﻓﺘﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪ AES‬ﭘﺬﻳﺮﻓﺘﻪ ﺷﺪ( ﻭ ‪ Paulo Barreto‬ﻛﻪ ﻳﻚ ﺭﻣﺰﻧﮕﺎﺭ‬
‫ﺑﺮﺯﻳﻠﻲ ﺍﺳﺖ ﻃــﺮﺍﺣﻲ ﺷــﺪﻩ ﺍﺳﺖ‪ Whirlpool .‬ﻳﻜــﻲ ﺍﺯ ﺗﻨﻬﺎ ﺩﻭ ﺗﺎﺑــﻊ ﺩﺭﻫﻢﺳــﺎﺯﻱ ﺍﺳﺖ ﻛﻪ ﻣــﻮﺭﺩ ﺗﺄﺋﻴــﺪ‬
‫‪ (New European Schemes for Signatures, Integrity, and Encryption) NESSIE‬ﻣﻲﺑﺎﺷﺪ ]‪.[PREN02‬‬
‫ﭘﺮﻭﮊﺓ ‪ NESSIE‬ﻳﻚ ﺗﻼﺵ ﺍﺗﺤﺎﺩﻳﺔ ﺍﺭﻭﭘﺎ ﺑﺮﺍﻱ ﻓﺮﺍﻫﻢ ﻛﺮﺩﻥ ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﺍﺯ ﺗﻮﺍﺑﻊ ﻧﻴﺮﻭﻣﻨﺪ ﻭ ﻣﺘﻨﻮﻉ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﺷﺎﻣﻞ‬
‫ﺭﻣﺰﻫﺎﻱ ﻗﺎﻟﺒﻲ‪ ،‬ﺭﻣﺰﻫﺎﻱ ﺩﻧﺒﺎﻟﻪﺍﻱ‪ ،‬ﺭﻣﺰﻫﺎﻱ ﻣﺘﻘﺎﺭﻥ‪ ،‬ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﻭ ﻛﹸﺪﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﻣﻲﺑﺎﺷﺪ‪.‬‬
‫‪ Whirlpool‬ﺑﺮ ﻣﺒﻨﺎﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺭﻣﺰﻗﺎﻟﺒﻲ ﺑﺮﺍﻱ ﺗﺎﺑﻊ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ Whirpool .‬ﺍﺯ ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﻄﻮﺭ ﺍﺧﺺ ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺩﺭ ﺗﺎﺑﻊ ‪ hash‬ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ ﻭ ﻏﻴﺮﻣﺤﺘﻤﻞ ﺍﺳﺖ ﻛﻪ ﻫﺮﮔﺰ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺗﺎﺑﻊ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺗﻨﻬﺎ ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﻋﻠﺖ ﺍﻳﻦ ﺍﻣﺮ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻃﺮﺍﺣﺎﻥ ﻣﻲﺧﻮﺍﺳﺘﻪﺍﻧﺪ ﺍﺯ ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺑﺎ ﺍﻣﻨﻴﺖ ﻭ ﺑﻬﺮﻩﻭﺭﻱ ‪ AES‬ﻭﻟﻲ ﺑﺎ‬
‫ﻳﻚ ﻃﻮﻝ ‪ hash‬ﻛﻪ ﺍﻣﻨﻴﺖ ﺑﺎﻟﻘﻮﻩﺍﻱ ﺑﺮﺍﺑﺮ ‪ SHA-512‬ﺭﺍ ﻓﺮﺍﻫﻢ ﻧﻤﺎﻳﺪ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﻨﺪ‪ .‬ﻧﺘﻴﺠﺔ ﺍﻳﻦ ﻛﺎﺭ ﺗﻮﻟﻴﺪ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ‪ W‬ﺍﺳﺖ ﻛﻪ‬
‫ﺳﺎﺧﺘﺎﺭﻱ ﻣﺸﺎﺑﻪ ‪ AES‬ﺩﺍﺷﺘﻪ ﻭ ﺍﺯ ﻫﻤﺎﻥ ﺗﻮﺍﺑﻊ ﺍﺑﺘﺪﺍﺋﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﻭﻟﻲ ﺍﻧﺪﺍﺯﺓ ﺑﻠﻮﻙ ﻭ ﺍﻧﺪﺍﺯﺓ ﻛﻠﻴﺪ ﺁﻥ ‪ ۵۱۲‬ﺑﻴﺖ ﺍﺳﺖ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﻌﻨﻮﺍﻥ ﻭﺭﻭﺩﻱ ﻳﻚ ﭘﻴﺎﻡ ﺑﺎ ﻣﺎﻛﺰﻳﻤﻢ ﻃﻮﻝ ﻛﻤﺘﺮ ﺍﺯ ‪ ۲۲۵۶‬ﺑﻴﺖ ﺭﺍ ﻗﺒﻮﻝ ﻛﺮﺩﻩ ﻭ ﻳﻚ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ‪ -۵۱۲‬ﺑﻴﺘﻲ ﺭﺍ‬
‫ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﻭﺭﻭﺩﻱ ﺩﺭ ﺑﻠﻮﻙﻫﺎﻱ ‪ -۵۱۲‬ﺑﻴﺘﻲ ﭘﺮﺩﺍﺯﺵ ﻣﻲﮔﺮﺩﺩ‬
‫‪HMAC‬‬
‫ﺩﺭ ﺳﺎﻝﻫﺎﻱ ﺍﺧﻴﺮ ﺗﻤﺎﻳﻞ ﻓﺰﺍﻳﻨﺪﻩﺍﻱ ﺑﻪ ﺗﻮﻟﻴﺪ ﻳﻚ ‪ MAC‬ﺍﺯ ﻳﻚ ﻛﹸﺪ ‪ hash‬ﺭﻣﺰﻱ ﻫﻤﺎﻧﻨﺪ ‪ SHA-1‬ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺍﺳﺖ‪.‬‬
‫ﻣﺤﺮﻙﻫﺎﻱ ﺍﻳﻦ ﻋﻼﻗﻪ ﭼﻨﻴﻦ ﺑﻮﺩﻩﺍﻧﺪ‪:‬‬
‫ﺗﻮﺍﺑﻊ ﺭﻣﺰﻱ ‪ hash‬ﻣﻌﻤﻮﻻﹰ ﺳﺮﻳﻊﺗﺮ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻣﺜﻞ ‪ DES‬ﺍﺟﺮﺍ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫•‬
‫ﻛﹸﺪﻫﺎﻱ ﻛﺘﺎﺑﺨﺎﻧﻪﺍﻱ ﺗﻮﺍﺑﻊ ‪ hash‬ﺑﺼﻮﺭﺕ ﮔﺴﺘﺮﺩﻩﺍﻱ ﺩﺭ ﺩﺳﺘﺮﺱﺍﻧﺪ‪.‬‬ ‫•‬
‫ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﻣﺜﻞ ‪ SHA-1‬ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺑﺼﻮﺭﺕ ‪ MAC‬ﻃﺮﺍﺣﻲ ﻧﺸﺪﻩ ﺍﺳﺖ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻧﻤﻲﺗﻮﺍﻧﺪ ﻣﺴﺘﻘﻴﻤﺎﹰ ﺑﺮﺍﻱ‬
‫ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﺑﻜﺎﺭ ﺭﻭﺩ‪ ،‬ﺯﻳﺮﺍ ﻣﺘﻜﻲ ﺑﻪ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻧﻴﺴﺖ‪ .‬ﭘﻴﺸﻨﻬﺎﺩﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺑﺮﺍﻱ ﺑﻜﺎﺭﮔﺮﻓﺘﻦ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺩﺭ ﻳﻚ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺭﻫﻢﺳﺎﺯﻱ ﻣﻮﺟﻮﺩ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺭﻭﺷﻲ ﻛﻪ ﺑﻴﺸﺘﺮﻳﻦ ﭘﺬﻳﺮﺵ ﺭﺍ ﺩﺍﺷﺘﻪ ﺍﺳﺖ ‪[BELL96a,BELL96b] HMAC‬‬
‫ﺍﺳﺖ‪ HMAC .‬ﺗﺤﺖ ﻋﻨﻮﺍﻥ ‪ RFC 2104‬ﻣﻨﺘﺸﺮﺷﺪﻩ ﻭ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺍﻧﺘﺨﺎﺏ ﻗﻄﻌﻲ ﺑﺮﺍﻱ ﺍﻣﻨﻴﺖ ‪ IP‬ﭘﺬﻳﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﺯ‬
‫‪ HMAC‬ﻫﻤﭽﻨﻴﻦ ﺩﺭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺩﻳﮕﺮﻱ ﭼﻮﻥ ﺍﻣﻨﻴﺖ ﻻﻳﺔ ﺣﻤﻞ ﻭ ﻧﻘﻞ )‪ TLS‬ﻛﻪ ﺑﺰﻭﺩﻱ ﺟﺎﻳﮕﺰﻳﻦ ‪ SSL‬ﺧﻮﺍﻫﺪ ﺷﺪ(‬
‫ﻭ ﺍﺳﻨﺎﺩ ﺍﻣﻦ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ )‪ (SET‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٨٦‬‬
‫ﺍﻫﺪﺍﻑ ﻃﺮﺍﺣﻲ ‪HMAC‬‬

‫‪ RFC 2104‬ﺍﻫﺪﺍﻑ ﻃﺮﺍﺣﻲ ﺯﻳﺮ ﺑﺮﺍﻱ ‪ HMAC‬ﺭﺍ ﻟﻴﺴﺖ ﻛﺮﺩﻩ ﺍﺳﺖ‪:‬‬
‫ﺍﺯ ﺗﻮﺍﺑﻊ ‪ hash‬ﻣﻮﺟﻮﺩ ﺑﺪﻭﻥ ﺗﻐﻴﻴﺮﺍﺕ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪ ،‬ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﺗﻮﺍﺑﻌﻲ ﻛﻪ ﺍﺯ ﻧﻈﺮ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﺧﻮﺏ ﻋﻤﻞ ﻛﺮﺩﻩ ﻭ ﺑﺮﺍﻱ‬ ‫•‬
‫ﺁﻧﻬﺎ ﺑﺮﻧﺎﻣﺔ ﺁﺯﺍﺩ ﻭ ﻓﺮﺍﻫﻢ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪.‬‬
‫ﺍﺟﺎﺯﻩ ﺩﻫﺪ ﺗﺎ ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻪ ﺗﻮﺍﺑﻊ ‪ hash‬ﺍﻣﻦﺗﺮﻱ ﭘﻴﺪﺍ ﺷﺪﻩ ﻭ ﻳﺎ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻭﺍﻗﻊ ﺷﻮﻧﺪ‪ ،‬ﺁﻥ ﺗﻮﺍﺑﻊ ﺑﺘﻮﺍﻧﻨﺪ ﺟﺎﻳﮕﺰﻳﻦ ﺗﺎﺑﻊ‬ ‫•‬
‫‪ hash‬ﻣﻮﺟﻮﺩ ﺩﺭ ﺁﻥ ﮔﺮﺩﻧﺪ‪.‬‬
‫ﺑﺘﻮﺍﻧﺪ ﻋﻤﻠﻜﺮﺩ ﺍﻭﻟﻴﺔ ﺗﺎﺑﻊ ‪ hash‬ﺭﺍ ﺣﻔﻆ ﻛﺮﺩﻩ‪ ،‬ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ ﻛﻴﻔﻴﺖ ﺁﻥ ﺗﻨﺰﻝ ﻗﺎﺑﻞ ﻣﻼﺣﻈﻪﺍﻱ ﻳﺎﺑﺪ‪.‬‬ ‫•‬
‫ﺑﺘﻮﺍﻧﺪ ﻛﻠﻴﺪﻫﺎ ﺭﺍ ﺑﻪ ﺭﻭﺵ ﺳﺎﺩﻩﺍﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﺩﻫﺪ‪.‬‬ ‫•‬
‫ﺗﺤﻠﻴﻞ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻗﺎﺑﻞﻓﻬﻤﻲ ﺍﺯ ﻗﺪﺭﺕ ﻣﻜﺎﻧﻴﺴﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﺑﺮ ﺍﺳﺎﺱ ﻓﺮﺿﻴﺎﺕ ﻣﻌﻘﻮﻝ ﻧﺴﺒﺖ ﺑﻪ ﺗﺎﺑﻊ ‪ hash‬ﺍﺭﺍﺋﻪ ﺩﻫﺪ‪.‬‬ ‫•‬
‫ﺍﻭﻟﻴﻦ ﺩﻭ ﻫﺪﻑ ﺩﺭ ﻣﻮﺭﺩ ﭘﺬﻳﺮﺵ ‪ HMAC‬ﺩﺍﺭﺍﻱ ﺍﻫﻤﻴﺖ ﺍﺳﺖ‪ HMAC .‬ﺑﺎ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺑﺼﻮﺭﺕ ﻳﻚ‬
‫»ﺟﻌﺒﺔ ﺳﻴﺎﻩ« ﺑﺮﺧﻮﺭﺩ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺩﻭ ﺣﺴﻦ ﺩﺍﺭﺩ‪ .‬ﺍﻭﻝ ﺍﻳﻨﻜﻪ ﻳﻚ ﻓﺮﻡ ﺍﺟﺮﺍﺋﻲ ﺍﺯ ﻳﻚ ﺗﺎﺑﻊ ‪ hash‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﺼﻮﺭﺕ ﻳﻚ ﻣﺪﻭﻝ‬
‫ﺍﺟﺮﺍﺋﻲ ﺩﺭ ‪ HMAC‬ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﺻﻮﺭﺕ ﺑﺨﺶ ﻋﻤﺪﺓ ﻛﹸﺪ ﺑﺮﻧﺎﻣﺔ ‪ HMAC‬ﺍﺯ ﻗﺒﻞ ﺁﻣﺎﺩﻩ ﺑﻮﺩﻩ ﻭ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺪﻭﻥ ﺩﺳﺖ‬
‫ﺧﻮﺭﺩﻥ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪ .‬ﺛﺎﻧﻴﺎﹰ ﺍﮔﺮ ﺭﻭﺯﻱ ﺑﺨﻮﺍﻫﻴﻢ ﺗﺎ ﻳﻚ ﺗﺎﺑﻊ ‪ hash‬ﺩﺭ ﻳﻚ ﺍﺟﺮﺍﻱ ‪ HMAC‬ﺭﺍ ﻋﻮﺽ ﻛﻨﻴﻢ‪ ،‬ﺗﻨﻬﺎ ﻛﺎﺭ‬
‫ﻻﺯﻡ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻣﺪﻭﻝ ﺗﺎﺑﻊ ‪ hash‬ﺟﺎﺭﻱ ﺭﺍ ﺑﺮﺩﺍﺷﺘﻪ ﻭ ﻣﺪﻭﻝ ﺟﺪﻳﺪ ﺭﺍ ﺟﺎﻳﮕﺰﻳﻦ ﺁﻥ ﻧﻤﺎﺋﻴﻢ‪ .‬ﺍﻳﻦ ﻛﺎﺭ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻪ‬
‫ﺗﺎﺑﻊ ‪ hash‬ﺳﺮﻳﻊﺗﺮﻱ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺑﺎﺷﺪ ﺍﻧﺠﺎﻡ ﺩﺍﺩ‪ .‬ﻣﻬﻢﺗﺮ ﺍﻳﻨﻜﻪ ﺍﮔﺮ ﺍﻣﻨﻴﺖ ﺗﺎﺑﻊ ‪ hash‬ﻣﻮﺟﻮﺩ ﺩﺭ ‪ HMAC‬ﺑﻪ ﻣﺨﺎﻃﺮﻩ ﺍﻓﺘﺪ‪،‬‬
‫ﺍﻣﻨﻴﺖ ‪ HMAC‬ﺭﺍ ﺑﺴﺎﺩﮔﻲ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﺟﺎﻳﮕﺰﻳﻦ ﻛﺮﺩﻥ ﺗﺎﺑﻊ ‪ hash‬ﺁﻥ ﺑﺎ ﻳﻚ ﺗﺎﺑﻊ ‪ hash‬ﺍﻣﻦﺗﺮ ﺟﺒﺮﺍﻥ ﻧﻤﻮﺩ‪.‬‬
‫ﺁﺧﺮﻳﻦ ﻫﺪﻑ ﻃﺮﺍﺣﻲ ﺩﺭ ﻟﻴﺴﺖ ﻗﺒﻞ ﺩﺭ ﻭﺍﻗﻊ ﻣﺰﻳﺖ ﻋﻤﺪﺓ ‪ HMAC‬ﺑﺮ ﺳﺎﻳﺮ ﺭﻭﺵﻫﺎﻱ ﭘﻴﺸﻬﺎﺩﺷﺪﻩ ﻣﺒﺘﻨﻲ ﺑﺮ ﺩﺭﻫﻢﺳﺎﺯﻱ‬
‫ﺑﻮﺩﻩ ﺍﺳﺖ‪ HMAC .‬ﺩﺭ ﺻﻮﺭﺗﻲ ﺍﻣﻦ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ ﺗﺎﺑﻊ ‪ hash‬ﺩﺭﻭﻧﻲ ﺁﻥ ﺩﺍﺭﺍﻱ ﺗﻮﺍﻥﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻌﻘﻮﻟﻲ ﺑﺎﺷﺪ‪ .‬ﺑﻌﺪﺍﹰ ﺩﺭ ﺍﻳﻦ‬
‫ﺑﺨﺶ ﺑﻪ ﺍﻳﻦ ﻧﻜﺘﻪ ﺑﺮﻣﻲﮔﺮﺩﻳﻢ‪ ،‬ﻭﻟﻲ ﻓﻌﻼﹰ ﺳﺎﺧﺘﺎﺭ ‪ HMAC‬ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ‪HMAC‬‬
‫ﺷﻜﻞ ‪ ۳-۶‬ﻋﻤﻠﻴﺎﺕ ‪ HMAC‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻭﺍﮊﻩﻫﺎﻱ ﺯﻳﺮ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﻴﻢ‪:‬‬
‫‪ = H‬ﺗﺎﺑﻊ ‪ hash‬ﻟﺤﺎﻅ ﺷﺪﻩ ﺩﺭ ‪) HAMC‬ﻣﺜﻞ ‪(SHA-1‬‬

‫‪ = M‬ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﺑﻪ ‪) HMAC‬ﺷﺎﻣﻞ ﺑﻴﺖﻫﺎﻱ ﻻﺋﻲ ﻣﺸﺨﺺ ﺷﺪﻩ ﺩﺭ ﺗﺎﺑﻊ ‪(hash‬‬
‫‪ = Yi‬ﺑﻠﻮﻙ ‪ i‬ﺍﻡ ‪0 ≤ i ≤ (L-1) M‬‬
‫‪ = L‬ﺗﻌﺪﺍﺩ ﺑﻠﻮﻙﻫﺎ ﺩﺭ ‪M‬‬
‫‪ = b‬ﺗﻌﺪﺍﺩ ﺑﻴﺖﻫﺎ ﺩﺭ ﻳﻚ ﺑﻠﻮﻙ‬
‫‪ = n‬ﻃﻮﻝ ﻛﹸﺪ ‪ hash‬ﺗﻮﻟﻴﺪﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ‬
‫‪= K‬ﻛﻠﻴﺪ ﺳﺮّﻱ‪ .‬ﺍﮔﺮ ﻃﻮﻝ ﻛﻠﻴﺪ ﺍﺯ ‪ b‬ﺑﺰﺭﮔﺘﺮ ﺍﺳﺖ‪ ،‬ﻛﻠﻴﺪ ﻭﺍﺭﺩ ﺗﺎﺑﻊ ‪ hash‬ﺷﺪﻩ ﺗﺎ ﻳﻚ ﻛﻠﻴﺪ ‪ -n‬ﺑﻴﺘﻲ ﺗﻮﻟﻴﺪ ﺷﻮﺩ‪.‬‬
‫ﻃﻮﻝ ﺗﻮﺻﻴﻪ ﺷﺪﻩ ﺑﺮﺍﻱ ﻛﻠﻴﺪ ﺑﺰﺭﮔﺘﺮ ﻭ ﻳﺎ ﻣﺴﺎﻭﻱ ‪ n‬ﺍﺳﺖ‪.‬‬
‫‪ K = K+‬ﻛﻪ ﺑﺘﻮﺳﻂ ﻗﺮﺍﺭﺩﺍﺩﻥ ﺻﻔﺮﻫﺎﺋﻲ ﺩﺭ ﺳﻤﺖ ﭼﭗ ﺁﻥ ﻃﻮﻳﻞﺗﺮ ﺷﺪﻩ ﺗﺎ ﻃﻮﻝ ﺁﻥ ﺑﻪ ‪ b‬ﺑﻴﺖ ﺑﺮﺳﺪ‪.‬‬
‫‪ ) 00110110 = ipad‬ﻣﻌﺎﺩﻝ ‪ 36‬ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ ( ﻛﻪ ‪ b/8‬ﺑﺎﺭ ﺗﻜﺮﺍﺭ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ ) 01011100 = opad‬ﻣﻌﺎﺩﻝ ‪ 5C‬ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ ( ﻛﻪ ‪ b/8‬ﺑﺎﺭ ﺗﻜﺮﺍﺭ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪٨٧‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫‪K+‬‬ ‫‪ipad‬‬
‫⊕‬
‫‪b bits‬‬ ‫‪b bits‬‬ ‫‪b bits‬‬
‫‪Si‬‬ ‫‪Y0‬‬ ‫‪Y1‬‬ ‫•‬ ‫•‬ ‫•‬ ‫‪YL-1‬‬
‫‪n bits‬‬
‫‪IV‬‬ ‫‪Hash‬‬
‫‪K+‬‬ ‫‪opad‬‬ ‫‪n bits‬‬
‫)‪H(Si || M‬‬
‫⊕‬
‫‪b bits‬‬ ‫‪pad to b bits‬‬
‫‪S0‬‬
‫‪n bits‬‬
‫‪IV‬‬ ‫‪Hash‬‬
‫‪n bits‬‬
‫)‪HMAC(K, M‬‬
‫ﺷﻜﻞ ‪ ۳-۶‬ﺳﺎﺧﺘﺎﺭ ‪HMAC‬‬
‫ﺑﺎ ﺍﻳﻦ ﺗﻌﺎﺭﻳﻒ ‪ HMAC‬ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﻧﺸﺎﻥ ﺩﺍﺩ‪:‬‬
‫]]‪HMAC (K, M) = H[(K+ ⊕ opad ) || H[(K+ ⊕ ipad) || M‬‬

‫ﻛﻪ ﺑﺎ ﻛﻠﻤﺎﺕ ﭼﻨﻴﻦ ﻣﻲﺷﻮﺩ‪:‬‬
‫‪ -۱‬ﺻﻔﺮﻫﺎﺋﻲ ﺭﺍ ﺑﻪ ﺳﻤﺖ ﭼﭗ ‪ K‬ﺍﺿﺎﻓﻪ ﻛﻨﻴﺪ ﺗﺎ ﻳﻚ ﺩﻧﺒﺎﻟﺔ ‪ -b‬ﺑﻴﺘﻲ ‪ K +‬ﺣﺎﺻﻞ ﺷﻮﺩ )ﻣﺜﻼﹰ ﺍﮔﺮ ‪ K‬ﺩﺍﺭﺍﻱ ﻃﻮﻝ ‪ ۱۶۰‬ﺑﻴﺖ‬
‫ﺑﻮﺩﻩ ﻭ‪ b = ۵۱۲‬ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ‪ K‬ﺑﺎ ‪ ۴۴‬ﺑﺎﻳﺖ ‪ 0‬ﻛﺎﻣﻞ ﻣﻲﺷﻮﺩ(‪.‬‬
‫‪ K + -۲‬ﺭﺍ ﺑﻴﺖ‪ -‬ﺑﻪ‪ -‬ﺑﻴﺖ ﺑﺎ ‪ ipad‬ﺑﺼﻮﺭﺕ ‪ XOR‬ﺩﺭﺁﻭﺭﺩﻩ ﺗﺎ ﺑﻠﻮﻙ ‪ -b‬ﺑﻴﺘﻲ ‪ Si‬ﺣﺎﺻﻞ ﺷﻮﺩ‪.‬‬
‫‪ M -۳‬ﺭﺍ ﺑﻪ ‪ Si‬ﻭﺻﻞ )ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ( ﻛﻨﻴﺪ‪.‬‬
‫‪ H -۴‬ﺭﺍ ﺑﻪ ﺩﻧﺒﺎﻟﺔ ﺗﻮﻟﻴﺪﺷﺪﻩ ﺩﺭ ﻗﺪﻡ ﺳﻮﻡ ﺍﻋﻤﺎﻝ ﻧﻤﺎﺋﻴﺪ‪.‬‬
‫‪ K+ -۵‬ﺭﺍ ﺑﺎ ‪ XOR ،opad‬ﻧﻤﻮﺩﻩ ﺗﺎ ﺑﻠﻮﻙ ‪ -b‬ﺑﻴﺘﻲ ‪ So‬ﺣﺎﺻﻞ ﺷﻮﺩ‪.‬‬
‫‪ -۶‬ﻧﺘﻴﺠﺔ ‪ hash‬ﻗﺪﻡ ﭼﻬﺎﺭﻡ ﺭﺍ ﺑﻪ ‪ So‬ﻭﺻﻞ )ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ( ﻛﻨﻴﺪ‪.‬‬
‫‪ H -۷‬ﺭﺍ ﺑﻪ ﺩﻧﺒﺎﻟﺔ ﺗﻮﻟﻴﺪﺷﺪﻩ ﺩﺭ ﻗﺪﻡ ﺷﺸﻢ ﺍﻋﻤﺎﻝ ﻛﺮﺩﻩ ﻭ ﻧﺘﻴﺠﻪ ﺭﺍ ﺧﺎﺭﺝ ﺳﺎﺯﻳﺪ‪.‬‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٨٨‬‬
‫ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ‪ XOR‬ﺑﺎ ‪ ipad‬ﺑﺎﻋﺚ ﻋﻮﺽ ﺷﺪﻥ ﻧﻴﻤﻲ ﺍﺯ ﺑﻴﺖﻫﺎﻱ ‪ K‬ﻣﻲﺷﻮﺩ‪ .‬ﺑﻄﺮﻳﻖ ﻣﺸﺎﺑﻪ‪ XOR ،‬ﻛﺮﺩﻥ ﺑﺎ ‪opad‬‬
‫ﺑﺎﻋﺚ ﺗﻌﻮﻳﺾ ﻧﻴﻤﻲ ﺍﺯ ﺑﻴﺖﻫﺎﻱ ‪ K‬ﺩﺭ ﻣﻮﻗﻌﻴﺖﻫﺎﻱ ﻣﺘﻔﺎﻭﺕ ﺩﻳﮕﺮﻱ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﺑﺎ ﻋﺒﻮﺭﺩﺍﺩﻥ ‪ Si‬ﻭ ‪ So‬ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫ﺩﺭﻫﻢﺳﺎﺯﻱ‪ ،‬ﺑﻄﻮﺭ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ ﺩﻭ ﻛﻠﻴﺪ ﺍﺯ ‪ K‬ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩﺍﻳﻢ‪.‬‬
‫ﺑﺮﺍﻱ ﭘﻴﺎﻡﻫﺎﻱ ﻃﻮﻻﻧﻲ‪ ،‬ﺯﻣﺎﻥ ﺍﺟﺮﺍﻱ ‪ HMAC‬ﺑﺎﻳﺴﺘﻲ ﺗﻘﺮﻳﺒﺎﹰ ﺑﺮﺍﺑﺮ ﺯﻣﺎﻥ ﺍﺟﺮﺍﻱ ﺗﺎﺑﻊ ‪ hash‬ﺩﺭﻭﻥ ﺁﻥ ﺑﺎﺷﺪ‪HMAC .‬‬
‫ﺳﻪ ﺍﺟﺮﺍﻱ ﺗﺎﺑﻊ ‪ hash‬ﺩﺭﻭﻥ ﺧﻮﺩ ﺭﺍ ﺩﺭ ﺑﺮﺩﺍﺭﺩ )ﺑﺮﺍﻱ ‪ Si‬ﻭ ‪ So‬ﻭ ﺑﻠﻮﻛﻲ ﻛﻪ ﺍﺯ ‪ hash‬ﺩﺭﻭﻧﻲ ﺣﺎﺻﻞ ﻣﻲﺷﻮﺩ(‪.‬‬
‫ﺍﺻﻮﻝ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬ ‫‪۳-۳‬‬
‫ﺩﺭ ﺭﺩﻳﻒ ﺍﻫﻤﻴﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﻛﻪ ﺩﺭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﻭ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﺍﺑﺘﺪﺍ ﻧﮕﺎﻫﻲ ﺑﻪ ﻣﻔﻬﻮﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﻧﺪﺍﺧﺘﻪ ﻭ ﺳﭙﺲ ﻧﮕﺎﻫﻲ ﺍﺑﺘﺪﺍﺋﻲ ﺑﻪ ﻣﻘﻮﻟﺔ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ‬
‫ﻣﻲﺍﻧﺪﺍﺯﻳﻢ‪ .‬ﺑﺨﺶ ‪ ۳-۴‬ﺩﻭﻗﻠﻢ ﺍﺯ ﻣﻬﻢﺗﺮﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻳﻌﻨﻲ ‪ RSA‬ﻭ ‪ Diffie-Hellman‬ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ‬
‫ﺑﺨﺶ ‪ ۳-۵‬ﺍﻣﻀﺎﺀﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ﺭﺍ ﻣﻌﺮﻓﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺳﺎﺧﺘﺎﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬

‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻛﻪ ﺑﺮﺍﻱ ﺍﻭﻟﻴﻦ ﺑﺎﺭ ﺑﺘﻮﺳﻂ ‪ Diffie‬ﻭ‪ Hellman‬ﺩﺭﺳﺎﻝ‪۱۹۷۶‬ﺩﺭﻣﻌﺮﺽ ﻋﻤﻮﻡ ﻗﺮﺍﺭ ﮔﺮﻓﺖ]‪،[DIFF76‬‬
‫ﺍﻭﻟﻴﻦ ﺟﻬﺶ ﺍﻧﻘﻼﺑﻲ ﻭﺍﻗﻌﻲ ﺩﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ ﻃﻮﻝ ﻫﺰﺍﺭﺍﻥ ﺳﺎﻝ ﺍﺳﺖ‪ .‬ﺍﺯ ﻳﻚ ﺩﻳﺪ‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﺠﺎﻱ ﺍﻳﻨﻜﻪ ﺷﺎﻣﻞ‬
‫ﻋﻤﻠﻴﺎﺕ ﺳﺎﺩﻩﺍﻱ ﺑﺮ ﺭﻭﻱ ﺑﻴﺖﻫﺎ ﺑﺎﺷﻨﺪ‪ ،‬ﻣﺒﺘﻨﻲ ﺑﺮ ﺗﻮﺍﺑﻊ ﺭﻳﺎﺿﻲﺍﻧﺪ‪ .‬ﻣﻬﻢﺗﺮ ﺍﻳﻦﻛﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﺮ ﺧﻼﻑ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﺳﻨﹼﺘﻲ ﻛﻪ ﺗﻨﻬﺎ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﺷﺎﻣﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺩﻭ ﻛﻠﻴﺪ ﻣﺠﺰﺍ ﺑﻮﺩﻩ ﻭ ﻧﺎﻣﺘﻘﺎﺭﻥ ﺍﺳﺖ‪ .‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺩﻭ ﻛﻠﻴﺪ ﻧﺘﺎﻳﺞ‬
‫ﻓﻮﻕﺍﻟﻌﺎﺩﻩﺍﻱ ﺩﺭ ﺯﻣﻴﻨﺔ ﻣﺤﺮﻣﺎﻧﮕﻲ‪ ،‬ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻪ ﺑﺎﺭﻣﻲﺁﻭﺭﺩ‪.‬‬
‫ﻗﺒﻞ ﺍﺯ ﺍﻳﻦﻛﻪ ﺟﻠﻮﺗﺮ ﺑﺮﻭﻳﻢ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﺍﺑﺘﺪﺍ ﺑﻪ ﭼﻨﺪﻳﻦ ﺍﺷﺘﺒﺎﻩ ﻣﻌﻤﻮﻝ ﺩﺭ ﻣﻮﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﺷﺎﺭﻩ ﻛﻨﻴﻢ‪ .‬ﻳﻜﻲ‬
‫ﺍﻳﻦﻛﻪ ﮔﻔﺘﻪ ﻣﻲﺷﻮﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺩﺭ ﻣﻘﺎﺑﻞ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﺍﻣﻦﺗﺮ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ ﺍﺳﺖ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﺍﻣﻨﻴﺖ ﻫﺮ ﺭﻭﺵ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺴﺘﮕﻲ ﺑﻪ‪ (۱) :‬ﻃﻮﻝ ﻛﻠﻴﺪ ﻭ )‪ (۲‬ﻛﺎﺭ ﻣﺤﺎﺳﺒﺎﺗﻲ ﻻﺯﻡ ﺑﺮﺍﻱ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﺩﺍﺭﺩ‪ .‬ﺍﺯ ﻧﻈﺮ ﺍﺻﻮﻟﻲ ﻫﻴﭻ ﭼﻴﺰ ﺩﺭ ﻣﻮﺭﺩ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ ﻭ ﻳﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ ﻛﻪ ﻳﻜﻲ ﺭﺍ ﻧﺴﺒﺖ ﺑﻪ ﺩﻳﮕﺮﻱ ﺩﺭ ﻣﻘﺎﺑﻞ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﺍﺭﺟﺤﻴﺖ ﺩﻫﺪ‪.‬‬
‫ﺍﺷﺘﺒﺎﻩ ﺩﻭﻡ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺍ ﻳﻚ ﺗﻜﻨﻴﻚ ﻋﺎﻡ ﺗﺼﻮﺭ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ ﺭﺍ ﺍﺯ ﻣﻴﺪﺍﻥ ﺑﺪﺭ ﻛﺮﺩﻩ‬
‫ﺍﺳﺖ‪ .‬ﺑﺮﻋﻜﺲ‪ ،‬ﺑﻌﻠﺖ ﺳﺮﺑﺎﺭﺓ ﻣﺤﺎﺳﺒﺎﺗﻲ ﺭﻭﺵﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻣﻮﺟﻮﺩ‪ ،‬ﻫﻴﭻ ﭘﻴﺶﺑﻴﻨﻲ ﺍﺣﺘﻤﺎﻟﻲ ﺩﺭ ﻣﻮﺭﺩ ﺯﻣﺎﻥ‬
‫ﻭﺍﮔﺬﺍﺭﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ ﻧﻤﻲﺗﻮﺍﻥ ﻛﺮﺩ‪ .‬ﺑﺎﻻﺧﺮﻩ ﺍﻳﻦ ﺍﺣﺴﺎﺱ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﺩﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‪ ،‬ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ‬
‫ﺩﺭ ﻣﻘﺎﻳﺴﻪ ﺑﺎ ﻋﻤﻠﻴﺎﺕ ﭘﻴﭽﻴﺪﻩﺍﻱ ﻛﻪ ﺩﺭ ﻣﺮﺍﻛﺰ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ ،‬ﻛﺎﺭ ﺳﺎﺩﻩﺍﻱ ﺍﺳﺖ‪ .‬ﻭﺍﻗﻌﻴﺖ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ‬
‫ﺩﺭ ﺍﻳﻦ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺟﺪﻳﺪ ﻫﻢ ﻧﻮﻋﻲ ﭘﺮﻭﺗﻜﻞ ﻛﻪ ﻣﻌﻤﻮﻻﹰ ﺷﺎﻣﻞ ﻳﻚ ﻋﺎﻣﻞ ﻣﺮﻛﺰﻱ ﺍﺳﺖ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺑﻮﺩﻩ ﻭ ﺭﻭﺵﻫﺎﻱ ﺍﻣﺮ ﻧﻪ ﺳﺎﺩﻩﺗﺮ‬
‫ﻭ ﻧﻪ ﺑﻬﺮﻩﻭﺭﺗﺮ ﺍﺯ ﺁﻧﻬﺎﺋﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪.‬‬
‫ﻳﻚ ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺩﺍﺭﺍﻱ ﺷﺶ ﺟﺰﺀ ﺍﺳﺖ )ﺷﻜﻞ ‪۳-۷‬ﺍﻟﻒ(‪:‬‬
‫• ﻣﺘﻦ ﺳﺎﺩﻩ‪ :‬ﺍﻳﻦ ﭘﻴﺎﻡ ﺧﻮﺍﻧﺎ ﻭ ﻳﺎ ﺩﻳﺘﺎﺋﻲ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﻭﺭﻭﺩﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫• ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ :‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺗﺒﺪﻳﻞﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺭﺍ ﺭﻭﻱ ﺩﻳﺘﺎ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪٨٩‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫• ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻭ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ‪ :‬ﻳﻚ ﺟﻔﺖ ﻛﻠﻴﺪ ﺍﺳﺖ ﻛﻪ ﻃﻮﺭﻱ ﺍﻧﺘﺨﺎﺏ ﻣﻲﺷﻮﻧﺪ ﻛﻪ ﺍﮔﺮ ﺍﺯ ﻳﻜﻲ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﺷﻮﺩ‪ ،‬ﺍﺯ ﺩﻳﮕﺮﻱ ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﺳﺘﻔﺎﺩﻩ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺗﺒﺪﻳﻞﻫﺎﻱ ﻭﺍﻗﻌﻲ ﺍﻧﺠﺎﻡﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﻭﺍﺑﺴﺘﻪ ﺑﻪ‬
‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻭ ﻳﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻭﺭﻭﺩﻱ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫• ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‪ :‬ﺍﻳﻦ ﭘﻴﺎﻡ ﺩﺭﻫﻢﺭﻳﺨﺘﻪﺍﻱ ﺍﺳﺖ ﻛﻪ ﺑﻌﻨﻮﺍﻥ ﺧﺮﻭﺟﻲ ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﭘﻴﺎﻡ ﺑﺴﺘﮕﻲ ﺑﻪ ﻣﺘﻦ ﺳﺎﺩﻩ ﻭ ﻛﻠﻴﺪ ﺩﺍﺭﺩ‪.‬‬
‫ﺑﺮﺍﻱ ﻳﻚ ﭘﻴﺎﻡ ﻭﺍﺣﺪ‪ ،‬ﺩﻭ ﻛﻠﻴﺪ ﻣﺨﺘﻠﻒ ﺩﻭ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﻣﺨﺘﻠﻒ ﺍﻳﺠﺎﺩ ﺧﻮﺍﻫﻨﺪ ﻛﺮﺩ‪.‬‬
‫• ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﮔﺸﺎﺋﻲ‪ :‬ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﻭ ﻛﻠﻴﺪ ﺫﻳﺮﺑﻂ ﺭﺍ ﭘﺬﻳﺮﻓﺘﻪ ﻭ ﻣﺘﻦ ﺳﺎﺩﺓ ﺍﻭﻟﻴﻪ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺍﺯ ﻧﺎﻡ ﺁﻥ ﺑﺮﻣﻲﺁﻳﺪ‪ ،‬ﺍﺯ ﺑﻴﻦ ﺩﻭ ﻛﻠﻴﺪ‪ ،‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺑﺮﺍﻱ ﻫﻤﻪ ﺷﻨﺎﺧﺘﻪﺷﺪﻩ ﺑﻮﺩﻩ ﻭ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺁﻥ ﺭﺍ ﺑﻜﺎﺭ ﮔﻴﺮﻧﺪ‬
‫ﺩﺭ ﺣﺎﻟﻲﻛﻪ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺗﻨﻬﺎ ﺑﺮﺍﻱ ﺻﺎﺣﺐ ﺁﻥ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﺎ ﻣﺼﺮﻑ ﻋﺎﻡ‪ ،‬ﻣﺘﻜﻲ‬
‫ﺑﺮ ﻳﻚ ﻛﻠﻴﺪ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﻳﻚ ﻛﻠﻴﺪ ﻣﺘﻔﺎﻭﺕ ﻭﻟﻲ ﻣﺮﺗﺒﻂ ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﺳﺖ‪.‬‬
‫ﺩﺳﺘﻪ ﻛﻠﻴﺪ‬
‫ﻋﻤﻮﻣﻲ‪Bob‬‬
‫‪JOY‬‬
‫‪Mike‬‬
‫‪Alice‬‬
‫‪Ted‬‬ ‫=‬
‫‪PUa‬‬ ‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪Alice‬‬ ‫‪PRa‬‬ ‫ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪Alice‬‬
‫ﻭﺭﻭﺩﻱ‬ ‫‬ ‫‪X‬‬
‫‪ÃÃ‬‬
‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ‬
‫]‪Y=E[PUa , X‬‬ ‫‪Ã‬‬ ‫=‪X‬‬
‫‬ ‫ﻣﺘﻦ ﺳﺎﺩﺓ‬
‫]‪D[PRa , Y‬‬
‫)ﻣﺜﻞ ‪( RSA‬‬ ‫)ﻋﻜﺲ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ(‬
‫ﺩﺳﺘﻪ ﻛﻠﻴﺪ‬
‫ﻋﻤﻮﻣﻲ‪Alice‬‬
‫=‬ ‫‪JOY‬‬
‫‪Mike‬‬ ‫‪Bob‬‬
‫‪Ted‬‬
‫‪PRb‬‬ ‫ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪Bob‬‬ ‫‪PUb‬‬ ‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪Bob‬‬
‫ﻭﺭﻭﺩﻱ‬ ‫‬ ‫‪X‬‬
‫‪Ã‬‬
‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ‬
‫]‪Y=E[PRb , X‬‬
‫‪Ã‬‬ ‫=‪X‬‬ ‫‬ ‫ﻣﺘﻦ ﺳﺎﺩﺓ‬
‫]‪D[PUb , Y‬‬
‫)ﻣﺜﻞ ‪( RSA‬‬ ‫)ﻋﻜﺲ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ(‬
‫)ﺏ( ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﺷﻜﻞ ‪ ۳-۷‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬

‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٩٠‬‬
‫ﻗﺪﻡﻫﺎﻱ ﺍﺻﻠﻲ ﺍﺟﺮﺍﻱ ﺭﻭﺵ ﺑﻘﺮﺍﺭ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫‪ -۱‬ﻫﺮ ﻛﺎﺭﺑﺮ ﻳﻚ ﺯﻭﺝ ﻛﻠﻴﺪ ﻛﻪ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺭﻣﺰﮔﺸﺎﺋﻲ ﭘﻴﺎﻡﻫﺎ ﺑﻜﺎﺭ ﺧﻮﺍﻫﺪ ﺭﻓﺖ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ -۲‬ﻫﺮ ﻛﺎﺭﺑﺮ ﻳﻜﻲ ﺍﺯ ﺩﻭ ﻛﻠﻴﺪ ﺭﺍ ﺩﺭ ﻳﻚ ﻣﺨﺰﻥ ﻋﻤﻮﻣﻲ ﻭ ﻳﺎ ﻓﺎﻳﻞ ﻗﺎﺑﻞ ﺩﺳﺘﺮﺱ ﺩﻳﮕﺮ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﻫﻤﺎﻥ ﻛﻠﻴﺪ‬
‫ﻋﻤﻮﻣﻲ ﺍﺳﺖ‪ .‬ﻛﻠﻴﺪ ﻧﻈﻴﺮ ﺁﻥ ﻣﺨﻔﻲ ﻧﮕﺎﻩ ﺩﺍﺷﺘﻪ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﻫﻤﺎﻥﻃﻮﺭ ﻛﻪ ﺷﻜﻞ ‪۳-۷‬ﺍﻟﻒ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ ،‬ﻫﺮ ﻛﺎﺭﺑﺮ‬
‫ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﻛﻪ ﺍﺯ ﺩﻳﮕﺮﺍﻥ ﮔﺮﻓﺘﻪ ﺍﺳﺖ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺭﺩ‪.‬‬
‫‪ -۳‬ﺍﮔﺮ ‪ Bob‬ﺑﺨﻮﺍﻫﺪ ﻳﻚ ﭘﻴﺎﻡ ﺧﺼﻮﺻﻲ ﺑﺮﺍﻱ ‪ Alice‬ﺑﻔﺮﺳﺘﺪ‪ Bob ،‬ﭘﻴﺎﻡ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ Alice‬ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﺧﻮﺍﻫﺪ ﻛﺮﺩ‪.‬‬
‫‪ -۴‬ﻭﻗﺘﻲ ‪ Alice‬ﭘﻴﺎﻡ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻧﻤﻮﺩ‪ ،‬ﺍﻭ ﭘﻴﺎﻡ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺧﻮﺩ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﻲﻛﻨﺪ‪ .‬ﻫﻴﭻ ﮔﻴﺮﻧﺪﺓ ﺩﻳﮕﺮﻱ‬
‫ﻧﻤﻲﺗﻮﺍﻧﺪ ﭘﻴﺎﻡ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﻨﺪ ﺯﻳﺮﺍ ﺗﻨﻬﺎ ‪ Alice‬ﺍﺯ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ Alice‬ﻣﻄﻠﻊ ﺍﺳﺖ‬
‫ﺩﺭ ﭼﻨﻴﻦ ﺭﻭﺷﻲ‪ ،‬ﺗﻤﺎﻡ ﺷﺮﻛﺖﻛﻨﻨﺪﮔﺎﻥ ﺑﻪ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺩﺳﺘﺮﺳﻲ ﺩﺍﺭﻧﺪ ﻭ ﻛﻠﻴﺪﻫﺎﻱ ﺧﺼﻮﺻﻲ ﺑﻄﻮﺭ ﻣﺤﻠﻲ ﻭ ﺑﺘﻮﺳﻂ ﻫﺮ‬
‫ﺷﺮﻛﺖﻛﻨﻨﺪﻩ ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﺩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻻﺯﻡ ﻧﻴﺴﺖ ﺗﺎ ﺗﻮﺯﻳﻊ ﺷﻮﻧﺪ‪ .‬ﺗﺎ ﺯﻣﺎﻧﻲ ﻛﻪ ﻳﻚ ﻛﺎﺭﺑﺮ ﺍﺯ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺧﻮﺩ ﻣﺤﺎﻓﻈﺖ‬
‫ﻣﻲﻧﻤﺎﻳﺪ‪ ،‬ﺍﺭﺗﺒﺎﻃﺎﺕ ﻭﺭﻭﺩﻱ ﺍﻣﻦ ﺧﻮﺍﻫﻨﺪ ﺑﻮﺩ‪ .‬ﺩﺭ ﻫﺮﺯﻣﺎﻥ‪ ،‬ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻲﺗﻮﺍﻧﺪ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺧﻮﺩ ﺭﺍ ﻋﻮﺽ ﻛﺮﺩﻩ ﻭ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‬
‫ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﺭﺍ ﺑﺮﺍﻱ ﺟﺎﻳﮕﺰﻳﻨﻲ ﻛﻠﻴﺪ ﻗﺒﻠﻲ ﺑﻪ ﺍﻃﻼﻉ ﻋﻤﻮﻡ ﺑﺮﺳﺎﻧﺪ‪.‬‬
‫ﻛﻠﻴﺪ ﺍﺳﺘﻔﺎﺩﻩﺷﺪﻩ ﺩﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺭﺍ ﻣﻌﻤﻮﻻﹰ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﻲﮔﻮﻳﻨﺪ‪ .‬ﺩﻭ ﻛﻠﻴﺪﻱ ﻛﻪ ﺩﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﻜﺎﺭ‬
‫ﻣﻲﺭﻭﺩ ﺭﺍ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻭ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻣﻲﻧﺎﻣﻨﺪ‪ .‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺑﺪﻭﻥ ﺍﺳﺘﺜﻨﺎﺀ ﺳﺮّﻱ ﻧﮕﺎﻩ ﺩﺍﺷﺘﻪ ﻣﻲﺷﻮﺩ ﻭﻟﻲ ﺍﺯ ﺍﻳﻦ ﺟﻬﺖ ﺁﻥ‬
‫ﺭﺍ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ‪ ،‬ﻭ ﻧﻪ ﻛﻠﻴﺪ ﺳﺮّﻱ‪ ،‬ﻣﻲﮔﻮﻳﻨﺪ ﻛﻪ ﺑﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ ﺍﺷﺘﺒﺎﻩ ﻧﺸﻮﺩ‪.‬‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﺑﺮﺍﻱ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬

‫ﻗﺒﻞ ﺍﺯ ﺍﻳﻦﻛﻪ ﺟﻠﻮﺗﺮ ﺑﺮﻭﻳﻢ‪ ،‬ﻻﺯﻡ ﺍﺳﺖ ﻳﻜﻲ ﺍﺯ ﺟﻨﺒﻪﻫﺎﻱ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺎﻋﺚ ﮔﻤﺮﺍﻫﻲ‬
‫ﺷﻮﺩ ﺭﺍ ﺭﻭﺷﻦ ﻧﻤﺎﺋﻴﻢ‪ .‬ﺳﻴﺴﺘﻢﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻧﻮﻉ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎ ﺩﻭ ﻛﻠﻴﺪ ﻛﻪ ﻳﻜﻲ ﺍﺯ ﺁﻧﻬﺎ ﺧﺼﻮﺻﻲ‬
‫ﻧﮕﺎﻩ ﺩﺍﺷﺘﻪ ﺷﺪﻩ ﻭ ﺩﻳﮕﺮﻱ ﺩﺭ ﺩﺳﺘﺮﺱ ﻋﻤﻮﻡ ﺍﺳﺖ‪ ،‬ﻣﺸﺨﺺ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺑﺮ ﺣﺴﺐ ﺍﻳﻨﻜﻪ ﻧﻮﻉ ﻛﺎﺭﺑﺮﺩ ﭼﻴﺴﺖ‪ ،‬ﻓﺮﺳﺘﻨﺪﻩ ﻳﺎ ﺍﺯ ﻛﻠﻴﺪ‬
‫ﺧﺼﻮﺻﻲ ﺧﻮﺩ ﻭ ﻳﺎ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﮔﻴﺮﻧﺪﻩ ﻭ ﻳﺎ ﺍﺯ ﻫﺮﺩﻭ ﻛﻠﻴﺪ ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﻧﻮﻋﻲ ﻋﻤﻞ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﻣﻔﻬﻮﻡ ﻭﺳﻴﻊ‪،‬‬
‫ﻣﻮﺍﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺍ ﻣﻲﺗﻮﺍﻧﻴﻢ ﺑﻪ ﺳﻪ ﺩﺳﺘﻪ ﺗﻘﺴﻴﻢ ﻛﻨﻴﻢ‪:‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ‪ /‬ﺭﻣﺰﮔﺸﺎﺋﻲ‪ :‬ﻓﺮﺳﺘﻨﺪﻩ ﻳﻚ ﭘﻴﺎﻡ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﮔﻴﺮﻧﺪﻩ ﺑﻪ ﺭﻣﺰ ﺩﺭﻣﻲﺁﻭﺭﺩ‪.‬‬ ‫•‬
‫ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ‪ :‬ﻓﺮﺳﺘﻨﺪﻩ ﻳﻚ ﭘﻴﺎﻡ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺧﻮﺩ »ﺍﻣﻀﺎﺀ« ﻣﻲﻛﻨﺪ‪ .‬ﺍﻣﻀﺎﺀ ﺑﺎ ﺍﻋﻤﺎﻝ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫•‬
‫ﺑﻪ ﭘﻴﺎﻡ ﻭ ﻳﺎ ﺑﻪ ﺑﻠﻮﻙ ﻛﻮﭼﻜﻲ ﺍﺯ ﺩﻳﺘﺎ ﻛﻪ ﺗﺎﺑﻌﻲ ﺍﺯ ﭘﻴﺎﻡ ﺍﺳﺖ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‪ :‬ﺩﻭﻃﺮﻑ ﺑﺮﺍﻱ ﻣﺒﺎﺩﻟﺔ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻫﻤﻜﺎﺭﻱ ﻣﻲﻛﻨﻨﺪ‪ .‬ﭼﻨﺪﻳﻦ ﺭﻭﺵ ﻣﺨﺘﻠﻒ ﻛﻪ ﺷﺎﻣﻞ ﻛﻠﻴﺪ ﻳﺎ‬ ‫•‬
‫ﻛﻠﻴﺪﻫﺎﻱ ﺧﺼﻮﺻﻲ ﻳﻜﻲ ﺍﺯ ﻃﺮﻓﻴﻦ ﻭ ﻳﺎ ﻫﺮﺩﻭﻱ ﺁﻧﻬﺎﺳﺖ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪.‬‬
‫ﺑﻌﻀﻲ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎ ﺑﺮﺍﻱ ﻫﺮﺳﻪ ﻛﺎﺭﺑﺮﺩ ﻣﻨﺎﺳﺐﺍﻧﺪ ﺩﺭ ﺣﺎﻟﻲﻛﻪ ﺑﺮﺧﻲ ﺩﻳﮕﺮ ﺗﻨﻬﺎ ﺑﺮﺍﻱ ﻳﻚ ﻳﺎ ﺩﻭ ﻛﺎﺭﺑﺮﺩ ﺑﻪ ﺩﺭﺩ ﻣﻲﺧﻮﺭﻧﺪ‪.‬‬
‫ﺟﺪﻭﻝ ‪ ۳-۲‬ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﻛﻪ ﻣﻮﺭﺩ ﺣﻤﺎﻳﺖ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻣﻮﺭﺩ ﺑﺤﺚ ﺩﺭ ﺍﻳﻦ ﻓﺼﻞ ﻳﻌﻨﻲ ‪ RSA‬ﻭ ‪ Diffie Hellman‬ﻫﺴﺘﻨﺪ ﺭﺍ‬
‫ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺟﺪﻭﻝ ﻫﻤﭽﻨﻴﻦ ﺷﺎﻣﻞ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ )‪ (DSS‬ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺧﹶﻢ ﺑﻴﻀﻮﻱ ﻧﻴﺰ ﻫﺴﺖ ﻛﻪ ﺑﻌﺪﺍﹰ ﺩﺭ ﻫﻤﻴﻦ‬
‫ﻓﺼﻞ ﺑﻪ ﺁﻧﻬﺎ ﺍﺷﺎﺭﻩ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫‪٩١‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﺟﺪﻭﻝ ‪ ۳-۲‬ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‬ ‫ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‪ /‬ﺭﻣﺰﮔﺸﺎﺋﻲ‬ ‫ﺍﻟﮕﻮﺭﻳﺘﻢ‬

‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫‪RSA‬‬
‫ﺑﻠﻲ‬ ‫ﺧﻴﺮ‬ ‫ﺧﻴﺮ‬ ‫‪Diffie-Hellman‬‬
‫ﺧﻴﺮ‬ ‫ﺑﻠﻲ‬ ‫ﺧﻴﺮ‬ ‫‪DSS‬‬
‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫ﺑﻠﻲ‬ ‫‪Elliptic Curve‬‬
‫ﻻﺯﻣﻪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬

‫ﺳﻴﺴﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﺸﺎﻥﺩﺍﺩﻩﺷﺪﻩ ﺩﺭ ﺷﻜﻞ ‪ ۳-۷‬ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﺑﺮ ﻣﺒﻨﺎﻱ ﺩﻭ ﻛﻠﻴﺪ ﻣﺮﺗﺒﻂ ﺑﻨﺎ ﻧﻬﺎﺩﻩ‬
‫ﺷﺪﻩ ﺍﺳﺖ‪ Diffie .‬ﻭ ‪ Hellman‬ﭼﻨﻴﻦ ﺳﻴﺴﺘﻤﻲ ﺭﺍ ﻣﻔﺮﻭﺽ ﺩﺍﻧﺴﺘﻪ ﻭ ﺑﺪﻭﻥ ﺍﻳﻦﻛﻪ ﻧﺸﺎﻥ ﺩﻫﻨﺪ ﻛﻪ ﻭﺍﻗﻌﺎﹰ ﭼﻨﻴﻦ ﺍﻟﮕﻮﺭﻳﺘﻤﻲ ﻭﺟﻮﺩ‬
‫ﺩﺍﺭﺩ‪ ،‬ﺷﺮﺍﻳﻄﻲ ﻛﻪ ﭼﻨﻴﻦ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﺋﻲ ﺑﺎﻳﺪ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ ﺭﺍ ﭼﻨﻴﻦ ﺑﻴﺎﻥ ﻛﺮﺩﻩﺍﻧﺪ]‪:[DIFF76‬‬
‫‪ -۱‬ﺍﺯ ﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﺑﺮﺍﻱ ﻃﺮﻑ ‪ B‬ﺳﺎﺩﻩ ﺍﺳﺖ ﺗﺎ ﻳﻚ ﺯﻭﺝ ﻛﻠﻴﺪ )ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ PUb‬ﻭ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ (PRb‬ﺗﻮﻟﻴﺪ ﻛﻨﺪ‪.‬‬
‫‪ -۲‬ﺍﺯ ﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﺑﺮﺍﻱ ﻓﺮﺳﺘﻨﺪﺓ ‪ A‬ﺳﺎﺩﻩ ﺍﺳﺖ ﺗﺎ ﺑﺎ ﺩﺍﻧﺴﺘﻦ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻭ ﭘﻴﺎﻣﻲ ﻛﻪ ﺑﺎﻳﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﺩ)‪ ،(M‬ﻣﺘﻦ‬
‫ﺭﻣﺰﺷﺪﺓ ﻧﻈﻴﺮ ﺭﺍ ﺗﻮﻟﻴﺪﻛﻨﺪ‪.‬‬
‫) ‪C = E (PUb, M‬‬
‫‪ -۳‬ﺍﺯ ﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﺑﺮﺍﻱ ﮔﻴﺮﻧﺪﺓ ‪ B‬ﺳﺎﺩﻩ ﺍﺳﺖ ﺗﺎ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﻧﺘﻴﺠﻪ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻧﻤﺎﻳﺪ‪:‬‬
‫])‪M = D (PRb, C ) = D [PRb, E (PUb, M‬‬
‫‪ -۴‬ﺍﺯ ﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﺑﺮﺍﻱ ﻳﻚ ﺩﺷﻤﻦ ﻣﻴﺴﺮ ﻧﻴﺴﺖ ﻛﻪ ﺑﺎ ﺩﺍﺷﺘﻦ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ ،PUb‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ PRb‬ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪.‬‬
‫‪ -۵‬ﺍﺯ ﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﺑﺮﺍﻱ ﻳﻚ ﺩﺷﻤﻦ ﻣﻴﺴﺮ ﻧﻴﺴﺖ ﻛﻪ ﺑﺎ ﺩﺍﺷﺘﻦ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ PUb‬ﻭ ﻳﻚ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ‪ ،C‬ﭘﻴﺎﻡ ﺍﻭﻟﻴﺔ ‪M‬‬
‫ﺭﺍ ﺍﺳﺘﺨﺮﺍﺝ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻣﻲﺗﻮﺍﻧﻴﻢ ﺷﺮﻁ ﻣﺸﺨﺼﻲ ﺭﺍ ﻛﻪ ﺍﮔﺮﭼﻪ ﻣﻔﻴﺪ ﺍﺳﺖ ﻭﻟﻲ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻻﺯﻡ ﻧﻴﺴﺖ ﺍﺿﺎﻓﻪ ﻧﻤﺎﺋﻴﻢ‪:‬‬
‫‪ -۶‬ﻫﺮﻳﻚ ﺍﺯ ﺩﻭ ﻛﻠﻴﺪ ﻣﺮﺑﻮﻁ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻜﺎﺭ ﺭﻭﺩ ﻭ ﺍﺯ ﻛﻠﻴﺪ ﺩﻳﮕﺮ ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﺳﺘﻔﺎﺩﻩ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫])‪M = D [PUb, E (PRb, M)] = D [PRb, E (PUb, M‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬ ‫‪۳-۴‬‬
‫ﺩﻭ ﻣﻮﺭﺩ ﺍﺯ ﭘﺮﺍﺳﺘﻔﺎﺩﻩﺗﺮﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‪ RSA ،‬ﻭ ‪ Diffie- Hellman‬ﻫﺴﺘﻨﺪ‪ .‬ﻣﺎ ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﻫﺮ ﺩﻭﻱ ﺁﻧﻬﺎ ﺭﺍ‬
‫ﺑﺮﺭﺳﻲ ﻧﻤﻮﺩﻩ ﻭ ﺩﻭ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﻳﮕﺮ ﺭﺍ ﻧﻴﺰ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﻣﻌﺮﻓﻲ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ‪.‬‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٩٢‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ‪RSA‬‬

‫ﻳﻜﻲ ﺍﺯ ﺍﻭﻟﻴﻦ ﺭﻭﺵﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۷۷‬ﺑﺘﻮﺳﻂ ‪ Adi Shamir،Ron Rivest‬ﻭ ‪ Len Adleman‬ﺩﺭ‬
‫ﺩﺍﻧﺸﮕﺎﻩ ‪ MIT‬ﺷﻜﻞ ﮔﺮﻓﺖ ﻭ ﺑﺮﺍﻱ ﺍﻭﻟﻴﻦ ﺑﺎﺭ ﺩﺭ ‪ ۱۹۷۸‬ﻣﻨﺘﺸﺮ ﮔﺮﺩﻳﺪ]‪ .[RIVE78‬ﺭﻭﺵ ‪ RSA‬ﺍﺯ ﺁﻥ ﺯﻣﺎﻥ ﺑﻌﻨﻮﺍﻥ‬
‫ﭘﺬﻳﺮﻓﺘﻪﺷﺪﻩﺗﺮﻳﻦ ﻭ ﭘﺮﻛﺎﺭﺑﺮﺩﺗﺮﻳﻦ ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺩﺭ ﺍﻭﺝ ﻗﺮﺍﺭﺩﺍﺷﺘﻪ ﺍﺳﺖ‪ RSA .‬ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭﺁﻥ‬
‫ﻣﺘﻦ ﺳﺎﺩﻩ ﻭ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺍﻋﺪﺍﺩ ﺻﺤﻴﺤﻲ ﺑﻴﻦ ‪ 0‬ﺗﺎ ‪ n-1‬ﺑﺮﺍﻱ ﻣﻘﺪﺍﺭﻱ ﺍﺯ ‪ n‬ﻣﻲﺑﺎﺷﻨﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﺓ ‪ M‬ﻭ ﺑﻠﻮﻙ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ‪ ،C‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﺸﻜﻞ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫‪C = M e mod n‬‬

‫‪M = C d mod n =( M e)d mod n = M ed mod n‬‬
‫ﻫﻢ ﮔﻴﺮﻧﺪﻩ ﻭ ﻫﻢ ﻓﺮﺳﺘﻨﺪﻩ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﻣﻘﺎﺩﻳﺮ ‪ n‬ﻭ ‪ e‬ﻣﻄﻠﻊ ﺑﻮﺩﻩ ﻭﻟﻲ ﻓﻘﻂ ﮔﻴﺮﻧﺪﻩ ﺍﻧﺪﺍﺯﺓ ‪ d‬ﺭﺍ ﻣﻲﺩﺍﻧﺪ‪ .‬ﺍﻳﻦ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ }‪ PU = {e,n‬ﻭ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ }‪ PR = {d,n‬ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦﻛﻪ ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﺮﺍﻱ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺿﺎﻳﺖﺑﺨﺶ ﺑﺎﺷﺪ‪ ،‬ﻧﻴﺎﺯﻫﺎﻱ ﺯﻳﺮ ﺑﺎﻳﺴﺘﻲ ﺑﺮﺁﻭﺭﺩﻩ ﺷﻮﻧﺪ‪:‬‬
‫‪ -۱‬ﺑﺎﻳﺴﺘﻲ ﻣﻤﻜﻦ ﺑﺎﺷﺪ ﻣﻘﺪﺍﺭ ‪ ،d ،e‬ﻭ ‪ n‬ﺭﺍ ﻃﻮﺭﻱ ﭘﻴﺪﺍ ﻧﻤﻮﺩ ﻛﻪ ﺑﺮﺍﻱ ﺟﻤﻴﻊ ﻣﻘﺎﺩﻳﺮ ‪ M ed = M mod n ،M< n‬ﺑﺎﺷﺪ‪.‬‬
‫‪ - ۲‬ﻣﺤﺎﺳﺒﺔ ‪ M e‬ﻭ ‪ C d‬ﺑﺮﺍﻱ ﺟﻤﻴﻊ ﻣﻘﺎﺩﻳﺮ ‪ M < n‬ﻧﺴﺒﺘﺎﹰ ﺁﺳﺎﻥ ﺑﺎﺷﺪ‪.‬‬
‫‪ - ۳‬ﺑﺎ ﺩﺍﺷﺘﻦ ‪ e‬ﻭ ‪ ،n‬ﺗﻌﻴﻴﻦ ‪ d‬ﻣﻘﺪﻭﺭ ﻧﺒﺎﺷﺪ‪.‬‬
‫ﺩﻭ ﻧﻴﺎﺯ ﺍﻭﻝ ﺑﻪ ﺳﻬﻮﻟﺖ ﺑﺮﺁﻭﺭﺩﻩ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻧﻴﺎﺯ ﺳﻮﻡ ﺑﺮﺍﻱ ﻣﻘﺎﺩﻳﺮ ﺑﺰﺭﮒ ‪ e‬ﻭ ‪ n‬ﻗﺎﺑﻞ ﺣﺼﻮﻝ ﺍﺳﺖ‪.‬‬
‫ﺷﻜﻞ ‪ ۳-۸‬ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ RSA‬ﺭﺍ ﺧﻼﺻﻪ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﺑﺘﺪﺍ ﺩﻭ ﻋﺪﺩ ﺍﻭﻝ ‪ p‬ﻭ ‪ q‬ﺍﻧﺘﺨﺎﺏ ﻭ ﺣﺎﺻﻠﻀﺮﺏ ﺁﻧﻬﺎ ‪ n‬ﻣﺤﺎﺳﺒﻪ‬
‫ﻣﻲﮔﺮﺩﺩ ﻛﻪ ﭘﻴﻤﺎﻧﺔ )‪ (module‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﺳﺖ‪ .‬ﺳﭙﺲ ﺑﻪ ﻛﻤﻴﺖ )‪ φ (n‬ﻧﻴﺎﺯ ﺩﺍﺭﻳﻢ ﻛﻪ ﺗﺎﺑﻊ ‪ Euler‬ﻧﺎﻣﻴﺪﻩ ﺷﺪﻩ ﻭ‬
‫ﺗﻌﺪﺍﺩ ﺍﻋﺪﺍﺩ ﺻﺤﻴﺢ ﻣﺜﺒﺖ ﻛﻮﭼﻚﺗﺮ ﺍﺯ ‪ n‬ﻭ ﺍﻭﻝ ﻧﺴﺒﺖ ﺑﻪ ‪ n‬ﺍﺳﺖ‪ .‬ﺁﻧﮕﺎﻩ ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ‪ e‬ﻃﻮﺭﻱ ﺍﻧﺘﺨﺎﺏ ﻣﻲﮔﺮﺩﺩ ﻛﻪ ﻧﺴﺒﺖ‬
‫ﺑﻪ )‪ φ (n‬ﺍﻭﻝ ﺑﺎﺷﺪ ]ﻳﻌﻨﻲ ﺑﺰﺭﮔﺘﺮﻳﻦ ﻣﻘﺴﻮﻡﻋﻠﻴﻪ ﻣﺸﺘﺮﻙ ‪ e‬ﻭ )‪ φ (n‬ﻣﺴﺎﻭﻱ ‪ ۱‬ﺑﺎﺷﺪ[‪ .‬ﺑﺎﻻﺧﺮﻩ ‪ d‬ﺑﻌﻨﻮﺍﻥ ﻣﻌﻜﻮﺱ ﺿﺮﺑﻲ ‪ n‬ﻭ‬
‫ﺑﺼﻮﺭﺕ )‪ modulo φ (n‬ﻣﺤﺎﺳﺒﻪ ﻣﻲﺷﻮﺩ‪ .‬ﻣﻲﺗﻮﺍﻥ ﻧﺸﺎﻥ ﺩﺍﺩ ﻛﻪ ‪ d‬ﻭ ‪ e‬ﺩﺍﺭﺍﻱ ﺧﻮﺍﺹ ﻣﻄﻠﻮﺏ ﻫﺴﺘﻨﺪ‪.‬‬
‫ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﻛﺎﺭﺑﺮ ‪ A‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺧﻮﺩ ﺭﺍ ﻣﻌـﺮﻓﻲ ﻛﺮﺩﻩ ﻭ ﻛﺎﺭﺑﺮ ‪ B‬ﻣﻲﺧﻮﺍﻫﺪ ﭘﻴــﺎﻡ ‪ M‬ﺭﺍ ﺑﺮﺍﻱ ‪ A‬ﺑﻔﺮﺳﺘﺪ‪ B .‬ﻣﻘﺪﺍﺭ‬
‫)‪ C = M e (mod n‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻛﺮﺩﻩ ﻭ ‪ C‬ﺭﺍ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪ .‬ﻛﺎﺭﺑﺮ ‪ A‬ﭘﺲ ﺍﺯ ﺩﺭﻳﺎﻓﺖ ﻣـﺘﻦ ﺭﻣﺰﺷـﺪﻩ‪ M = C d mod n ،‬ﺭﺍ‬
‫ﻣﺤﺎﺳﺒﻪ ﻭ ﺁﻥ ﺭﺍ ﺍﺯ ﺭﻣﺰ ﺩﺭﻣﻲﺁﻭﺭﺩ‪.‬‬
‫ﻣﺜﺎﻟﻲ ﺍﺯ ]‪ [SING99‬ﺩﺭ ﺷﻜﻞ ‪ ۳-۹‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﺜﺎﻝ ﻛﻠﻴﺪﻫﺎ ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﺗﻮﻟﻴﺪ ﺷﺪﻩﺍﻧﺪ‪:‬‬
‫‪ -۱‬ﺩﻭ ﻋﺪﺩ ﺍﻭﻝ ‪ p = 17‬ﻭ ‪ q = 11‬ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﻨﻴﺪ‪.‬‬

‫‪ n = pq = 17×11 = 187 -۲‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻧﻤﺎﺋﻴﺪ‪.‬‬
‫‪ φ (n) = (p-1)(q-1) = 16×10 = 160 -۳‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻧﻤﺎﺋﻴﺪ‪.‬‬
‫‪ e -۴‬ﺭﺍ ﻃﻮﺭﻱ ﺍﻧﺘﺨﺎﺏ ﻛﻨﻴﺪ ﻛﻪ ‪ e‬ﻧﺴﺒﺖ ﺑﻪ ‪ φ (n) = 160‬ﺍﻭﻝ ﺑﻮﺩﻩ ﻭ ﻛﻤﺘﺮ ﺍﺯ ﺁﻥ ﻫﻢ ﺑﺎﺷﺪ ﻣﺜﻼﹰ ‪. e = 7‬‬
‫‪ d -۵‬ﺭﺍ ﻃﻮﺭﻱ ﺍﻧﺘﺨﺎﺏ ﻛﻨﻴﺪ ﻛﻪ ‪ de mod 160 = 1‬ﺑﺎﺷﺪ‪ .‬ﺍﻧﺪﺍﺯﺓ ﺻﺤﻴﺢ ‪ d = 23‬ﺍﺳﺖ ﺯﻳﺮﺍ ‪. 23×7 =1×160+1‬‬
‫‪٩٣‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ‬
‫‪ p‬ﻭ ‪ q‬ﻫﺮﺩﻭ ﺍﻭﻝﺍﻧﺪ ﻭ ‪p ≠ q‬‬ ‫‪ p‬ﻭ ‪ q‬ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﻨﻴﺪ‪.‬‬
‫‪ n = p×q‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻧﻤﺎﺋﻴﺪ‪.‬‬
‫)‪ φ (n) = (p-1)(q-1‬ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﻳﺪ‪.‬‬
‫ﺑﺰﺭﮔﺘﺮﻳﻦ ﻣﻘﺴﻮﻡﻋﻠﻴﻪ ﻣﺸﺘﺮﻙ )‪ φ (n‬ﻭ ‪ e‬ﺑﺮﺍﺑﺮ ‪ ۱‬ﺍﺳﺖ‪.‬‬ ‫ﻋﺪﺩ ﺻﺤﻴﺢ ‪ e‬ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﻨﻴﺪ‪.‬‬
‫‪de mod φ (n) = 1‬‬ ‫‪ d‬ﺭﺍ ﺣﺴﺎﺏ ﻛﻨﻴﺪ‪.‬‬
‫}‪PU = {e , n‬‬ ‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‬
‫}‪PR = {d , n‬‬ ‫ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ‬
‫‪M<n‬‬ ‫ﻣﺘﻦ ﺳﺎﺩﻩ ‪:‬‬
‫‪C = M e mod n‬‬ ‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ‪:‬‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫‪C‬‬ ‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ‪:‬‬
‫‪M = C d mod n‬‬ ‫ﻣﺘﻦ ﺳﺎﺩﻩ ‪:‬‬
‫ﺷﻜﻞ ‪ ۳-۸‬ﺍﻟﮕﻮﺭﻳﺘﻢ ‪RSA‬‬
‫ﻛﻠﻴﺪﻫﺎﻱ ﺑﺪﺳﺖﺁﻣﺪﻩ ﺑﺮﺍﺑﺮ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ }‪ PU = {7,187‬ﻭ }‪ PR = {23,187‬ﻫﺴﺘﻨﺪ‪ .‬ﻣﺜﺎﻝ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻳﻦ ﻛﻠﻴﺪﻫﺎ ﺭﺍ‬
‫ﺑﺮﺍﻱ ﻳﻚ ﻭﺭﻭﺩﻱ ﻣﺘﻦ ﺳﺎﺩﻩ ‪ M = 88‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻻﺯﻡ ﺍﺳﺖ ‪ C = 887 mod 187‬ﺭﺍ ﺣﺴﺎﺏ ﻛﻨﻴﻢ‪ .‬ﺑﺎ‬
‫ﺑﻜﺎﺭﮔﻴﺮﻱ ﺧﻮﺍﺹ ﻣﺤﺎﺳﺒﺎﺕ ﭘﻴﻤﺎﻧﻪﺍﻱ‪ ،‬ﻣﺤﺎﺳﺒﻪ ﭼﻨﻴﻦ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪:‬‬
‫‪887 mod 187 = [(884 mod 187)×(882 mod 187)×(881 mod 187)] mod 187‬‬
‫‪881 mod 187 = 88‬‬
‫‪882 mod 187 = 7744 mod 187 =77‬‬
‫‪884 mod 187 = 59,969,536 mod 187 = 132‬‬
‫‪887 mod 187 = (88×77×132) mod 187 = 894,432 mod 187 = 11‬‬
‫ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ‪ M = 1123 mod 187‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫×)‪1123 mod 187 = [( 111 mod 187)×(112 mod 187)×(114 mod 187‬‬
‫‪(118 mod 187)×(118 mod 187)] mod 187‬‬
‫‪111 mod 187 = 11‬‬
‫‪112 mod 187 = 121‬‬
‫‪114 mod 187 = 14,641 mod 187 = 55‬‬
‫‪118 mod 187 = 214,358,881 mod 187 = 33‬‬
‫‪1123mod 187 = (11×121×55×33×33) mod 187 = 79,720,254 mod 187 = 88‬‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٩٤‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‬
‫ﻣﺘﻦ ﺳﺎﺩﻩ‬ ‫ﻣﺘﻦ ﺳﺎﺩﻩ‬
‫‪11‬‬
‫‪88‬‬ ‫‪88 7 mod 187 = 11‬‬ ‫‪11 23 mod 187 = 88‬‬ ‫‪88‬‬
‫‪PU = 7, 187‬‬ ‫‪PR = 23, 187‬‬
‫ﺷﻜﻞ ‪ ۳-۹‬ﻣﺜﺎﻝ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪RSA‬‬
‫ﺩﻭ ﺭﻭﺵ ﺑﺮﺍﻱ ﺷﻜﺴﺖ ﺩﺍﺩﻥ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ RSA‬ﻣﺘﺼﻮّﺭ ﺍﺳﺖ‪ .‬ﺍﻭﻟﻲ ﺟﺴﺘﺠﻮﻱ ﻛﺎﻣﻞ ﺍﺳﺖ‪ :‬ﺗﻤﺎﻡ ﻛﻠﻴﺪﻫﺎﻱ ﻣﻤﻜﻦ ﺭﺍ ﺍﻣﺘﺤﺎﻥ‬
‫ﻛﻨﻴﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻫﺮﭼﻘﺪﺭ ﺗﻌﺪﺍﺩ ﺑﻴﺖﻫﺎﻱ ‪ e‬ﻭ ‪ d‬ﺯﻳﺎﺩﺗﺮ ﺑﺎﺷﺪ‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻣﻦﺗﺮ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺍﺯ ﻃﺮﻓﻲ ﭼﻮﻥ ﻫﻢ ﺩﺭ ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﻭ ﻫﻢ ﺩﺭ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ‪ /‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﭘﺎﻱ ﻣﺤﺎﺳﺒﺎﺕ ﭘﻴﭽﻴﺪﻩﺍﻱ ﺩﺭ ﻣﻴﺎﻥ ﺍﺳﺖ‪ ،‬ﻫﺮﭼﻘﺪﺭ ﺍﻧﺪﺍﺯﺓ ﻛﻠﻴﺪ ﺑﺰﺭﮔﺘﺮ ﺑﺎﺷﺪ ﺳﻴﺴﺘﻢ ﻛﻨﺪﺗﺮ ﻋﻤﻞ ﺧﻮﺍﻫﺪ‬
‫ﻛﺮﺩ‪.‬‬
‫ﺑﻴﺸﺘﺮ ﺑﺤﺚﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ‪ RSA‬ﺭﻭﻱ ﻓﺎﻛﺘﻮﺭﮔﻴﺮﻱ ‪ n‬ﺑﻪ ﺩﻭ ﻋﺪﺩ ﺍﻭﻝ ﻣﺘﻤﺮﻛﺰ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻳﻚ ‪n‬‬
‫ﺑﺰﺭﮒ ﺑﺎ ﻓﺎﻛﺘﻮﺭﻫﺎﻱ ﺍﻭﻝ ﺑﺰﺭﮒ‪ ،‬ﻓﺎﻛﺘﻮﺭﮔﻴﺮﻱ ﻳﻚ ﻋﻤﻞ ﻣﺸﻜﻞ ﺍﺳﺖ ﻛﻪ ﺍﻟﺒﺘﻪ ﺩﺭ ﺣﺎﻝ ﺣﺎﺿﺮ ﺑﻪ ﺳﺨﺘﻲ ﻗﺒﻞ ﻧﻴﺴﺖ‪ .‬ﺟﻠﻮﺓ ﻭﻳﮋﺓ ﺍﻳﻦ‬
‫ﺍﻣﺮ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۷۷‬ﺍﺗﻔﺎﻕ ﺍﻓﺘﺎﺩ ﻛﻪ ﺳﻪ ﻣﺨﺘﺮﻉ ‪ ،RSA‬ﺧﻮﺍﻧﻨﺪﮔﺎﻥ ﻣﺠﻠﺔ ‪ Scientific American‬ﺭﺍ ﺗﺸﻮﻳﻖ ﻛﺮﺩﻧﺪ ﺗﺎ ﺭﻣﺰﻱ ﺭﺍ‬
‫ﻛﻪ ﺁﻧﻬﺎ ﺩﺭ ﺳﺘﻮﻥ »ﺑﺎﺯﻱﻫﺎﻱ ﺭﻳﺎﺿﻲ« ‪ [GARD77] Martin Gardner‬ﭼﺎﭖ ﻛﺮﺩﻩ ﺑﻮﺩﻧﺪ ﻛﺸﻒ ﻛﻨﻨﺪ‪ .‬ﺁﻧﻬﺎ ﺑﺮﺍﻱ ﻛﺸﻒ ﺭﻣﺰ‬
‫ﻭ ﺍﺳﺘﺨﺮﺍﺝ ﻣﺘﻦ ﺳﺎﺩﺓ ﭘﻴﺎﻡ‪ ،‬ﺟﺎﻳﺰﻩﺍﻱ ﺑﺮﺍﺑﺮ ‪ ۱۰۰‬ﺩﻻﺭ ﺗﻌﻴﻴﻦ ﻛﺮﺩﻩ ﺑﻮﺩﻧﺪ ﻭ ﭘﻴﺶﺑﻴﻨﻲ ﻧﻤﻮﺩﻩ ﺑﻮﺩﻧﺪ ﻛﻪ ﺍﻳﻦ ﻛﺎﺭ ﺯﻭﺩﺗﺮ ﺍﺯ ﻳﻚ ﻣﻴﻠﻴﻮﻥ‬
‫ﻣﻴﻠﻴﻮﻥ ﺳﺎﻝ )‪ ۱۰۱۲‬ﺳﺎﻝ( ﻋﻤﻠﻲ ﻧﻤﻲﺑﺎﺷﺪ‪ .‬ﺩﺭ ﺁﻭﺭﻳﻞ ‪ ۱۹۹۴‬ﻳﻚ ﮔﺮﻭﻩ ﻛﻪ ﺭﻭﻱ ﺍﻳﻨﺘﺮﻧﺖ ﻛﺎﺭ ﻣﻲﻛﺮﺩﻧﺪ ﻭ ‪ ۱,۶۰۰‬ﻛﺎﻣﭙﻴﻮﺗﺮ ﺭﺍ‬
‫ﺑﻜﺎﺭﮔﺮﻓﺘﻪ ﺑﻮﺩﻧﺪ‪ ،‬ﭘﺲ ﺍﺯ ﻫﺸﺖ ﻣﺎﻩ ﻛﺎﺭ ﻣﺪﻋﻲ ﺍﻳﻦ ﺟﺎﻳﺰﻩ ﺷﺪﻧﺪ]‪ .[LEUT94‬ﺍﻳﻦ ﻣﺒﺎﺭﺯﻩ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺑﺎ ﺍﻧﺪﺍﺯﺓ ‪ ۱۲۹‬ﺭﻗﻢ‬
‫ﺩﻫﺪﻫﻲ )ﻃﻮﻝ ‪ (n‬ﻭ ﻳﺎ ﺣﺪﻭﺩﺍﹰ ‪ ۴۲۸‬ﺑﻴﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺑﻮﺩ‪ .‬ﺍﻳﻦ ﻧﺘﻴﺠﻪ ﺑﻬﻴﭻﻭﺟﻪ ‪ RSA‬ﺭﺍ ﺑﻲ ﺍﻋﺘﺒﺎﺭ ﻧﻤﻲﻛﻨﺪ ﺑﻠﻜﻪ ﻣﻌﻨﻲ ﺁﻥ ﺍﻳﻦ‬
‫ﺍﺳﺖ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﻛﻠﻴﺪﻫﺎﻱ ﻃﻮﻻﻧﻲﺗﺮ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ‪ .‬ﺍﻣﺮﻭﺯﻩ ﻳﻚ ﻛﻠﻴﺪ ﺑﺎ ﻃﻮﻝ ‪ ۱,۰۲۴‬ﺑﻴﺖ )ﺗﻘﺮﻳﺒﺎﹰ ‪ ۳۰۰‬ﺭﻗﻢ ﺩﻫﺪﻫﻲ(‪ ،‬ﻳﻚ ﻛﻠﻴﺪ‬
‫ﻣﺴﺘﺤﻜﻢ ﺑﺮﺍﻱ ﺗﻘﺮﻳﺒﺎﹰ ﺗﻤﺎﻡ ﻛﺎﺭﺑﺮﺩﻫﺎ ﺑﺤﺴﺎﺏ ﻣﻲﺁﻳﺪ‪.‬‬
‫ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪Diffie-Hellman‬‬

‫ﻧﻄﻔﺔ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺩﺭ ﻳﻚ ﻣﻘﺎﻟﻪ ﺑﺘﻮﺳﻂ ‪ Diffie‬ﻭ‪ Hellman‬ﺷﻜﻞ ﮔﺮﻓﺖ ﻛﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺍ ﺗﻌﺮﻳﻒ‬
‫ﻛﺮﺩﻩ ﺍﺳﺖ]‪ [DIFF76‬ﻭ ﻣﻌﻤﻮﻻﹰ ﺍﺯ ﺁﻥ ﺑﻌﻨﻮﺍﻥ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪ Diffie- Hellman‬ﻳﺎﺩ ﻣﻲﺷﻮﺩ‪ .‬ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻣﺤﺼﻮﻻﺕ ﺗﺠﺎﺭﻱ ﺍﺯ‬
‫ﺍﻳﻦ ﺗﻜﻨﻴﻚ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫ﻫﺪﻑ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﻭ ﻛﺎﺭﺑﺮ ﺭﺍ ﻗﺎﺩﺭ ﺳﺎﺯﺩ ﻛﻪ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺭﺍ ﺑﺼﻮﺭﺕ ﺍﻣﻦ ﻣﺒﺎﺩﻟﻪ ﻧﻤﺎﻳﻨﺪ ﺗﺎ ﺑﻌﺪﺍﹰ ﺍﺯ ﺍﻳﻦ ﻛﻠﻴﺪ‬
‫ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺁﺗﻲ ﭘﻴﺎﻡﻫﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪ .‬ﺧﻮﺩ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﻨﺤﺼﺮ ﺑﻪ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪﻫﺎﺳﺖ‪.‬‬
‫‪٩٥‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﻣﺆﺛﺮﺑﻮﺩﻥ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ Diffie-Hellman‬ﻣﺘﻜﻲ ﺑﻪ ﭘﻴﭽﻴﺪﮔﻲ ﻣﺤﺎﺳﺒﻪ ﻟﹸﮕﺎﺭﻳﺘﻢﻫﺎﻱ ﮔﺴﺴﺘﻪ ﺍﺳﺖ‪ .‬ﻟﹸﮕﺎﺭﻳﺘﻢ ﮔﺴﺴﺘﻪ ﺭﺍ‬
‫ﻣﻲﺗﻮﺍﻥ ﻣﺨﺘﺼﺮﺍﹰ ﭼﻨﻴﻦ ﺗﻌﺮﻳﻒ ﻛﺮﺩ‪ :‬ﺍﺑﺘﺪﺍ ﻳﻚ ﺭﻳﺸﺔ ﺍﻭﻟﻴﻪ )‪ (primitive‬ﻳﻚ ﻋﺪﺩ ﺍﻭﻝ ‪ p‬ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﻋﺪﺩﻱ ﻛﻪ ﺗﻮﺍﻥﻫﺎﻱ ﺁﻥ ﻫﻤﺔ‬
‫ﺍﻋﺪﺍﺩ ﺻﺤﻴﺢ ‪ 1‬ﺗﺎ ‪ p-1‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﻴﻢ‪ .‬ﻳﻌﻨﻲ ﺍﮔﺮ ‪ α‬ﻳﻚ ﺭﻳﺸﺔ ﺍﻭﻟﻴﺔ ﻋﺪﺩ ﺍﻭﻝ ‪ p‬ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺍﻋﺪﺍﺩ ‪α mod p‬‬
‫‪ ،α 2 mod p‬ﻭ ‪ α p-1 mod p ....‬ﻛﺎﻣﻼﹰ ﻣﺘﻤﺎﻳﺰ ﺑﻮﺩﻩ ﻭ ﺷﺎﻣﻞ ﺍﻋﺪﺍﺩ ﺻﺤﻴﺢ ‪ 1‬ﺗﺎ ‪ p-1‬ﺑﺎ ﺟﺎﻳﮕﺸﺖﻫﺎﺋﻲ ﻣﻲﺑﺎﺷﻨﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﻫﺮ ﻋﺪﺩ ﺻﺤﻴﺢ ‪ b‬ﻛﻮﭼﻚﺗﺮ ﺍﺯ ‪ p‬ﻭ ﻳﻚ ﺭﻳﺸﺔ ﺍﻭﻟﻴﺔ ‪ α‬ﺍﺯ ﻋﺪﺩﺍﻭﻝ ‪ ، p‬ﻣﻲﺗﻮﺍﻥ ﻳﻚ ﻧﻤﺎﻱ ﻳﻜﺘﺎﻱ ‪ i‬ﺭﺍ ﻃﻮﺭﻱ ﭘﻴﺪﺍ‬
‫ﻛﺮﺩ ﻛﻪ‬
‫‪b = α i mod p‬‬ ‫)‪0≤ i ≤ (p-1‬‬
‫ﻧﻤﺎﻱ ‪ i‬ﺭﺍ ﻟﹸﮕﺎﺭﻳﺘﻢ ﮔﺴﺴﺘﺔ ﻳﺎ ﺍﻧﺪﻳﺲ ‪ b‬ﺑﺮﺍﻱ ﭘﺎﻳﺔ ‪ α‬ﺑﻪ ﭘﻴﻤﺎﻧﺔ ‪ p‬ﻧﺎﻣﻨﺪ‪ .‬ﺍﻳﻦ ﻣﻘﺪﺍﺭ ﺭﺍ ﺑﻪ ﺷﻜﻞ )‪ dlogα,p(b‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﻴﻢ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫ﺑﺎ ﺍﻳﻦ ﺯﻣﻴﻨﻪ ﻣﻲﺗﻮﺍﻧﻴﻢ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪ ،Diffie-Hellman‬ﻛﻪ ﺩﺭ ﺷﻜﻞ ‪ ۳-۱۰‬ﺧﻼﺻﻪ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻛﻨﻴﻢ‪ .‬ﺩﺭ ﺍﻳـﻦ‬
‫ﺭﻭﺵ ﺩﻭ ﻋﺪﺩ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ :‬ﻳﻚ ﻋﺪﺩ ﺍﻭﻝ ‪ q‬ﻭ ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ‪ α‬ﻛﻪ ﺭﻳﺸﺔ ﺍﻭﻟﻴﺔ ‪ q‬ﺍﺳﺖ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛـﻪ ﻛـﺎﺭﺑﺮﺍﻥ‬
‫‪ A‬ﻭ ‪ B‬ﺑﺨﻮﺍﻫﻨﺪ ﺗﺎ ﻛﻠﻴـﺪﻱ ﺭﺍ ﻣﺒﺎﺩﻟـﻪ ﻧﻤﺎﻳﻨـﺪ‪ .‬ﻛـﺎﺭﺑﺮ ‪ A‬ﻳـﻚ ﻋـﺪﺩ ﺻـﺤﻴﺢ ‪ XA < q‬ﺭﺍ ﺑـﺼﻮﺭﺕ ﺗـﺼﺎﺩﻓﻲ ﺍﻧﺘﺨـﺎﺏ ﻛـﺮﺩﻩ ﻭ‬
‫‪ YA = α XA mod q‬ﺭﺍ ﺣﺴﺎﺏ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻄﺮﻳﻖ ﻣﺸﺎﺑﻪ‪ ،‬ﻛﺎﺭﺑﺮ ‪ B‬ﺑﺼﻮﺭﺕ ﻣﺴﺘﻘﻞ ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ﺗﺼﺎﺩﻓﻲ ‪ XB < q‬ﺭﺍ ﺍﻧﺘﺨﺎﺏ‬
‫ﻛﺮﺩﻩ ﻭ ‪ YB = α XB mod q‬ﺭﺍ ﺣﺴﺎﺏ ﻣﻲﻛﻨﺪ‪ .‬ﻫﺮﻃﺮﻑ ﻣﻘﺪﺍﺭ ‪ X‬ﺭﺍ ﺳﺮّﻱ ﻧﮕﺎﻩ ﺩﺍﺷﺘﻪ ﻭ ﻣﻘـﺪﺍﺭ ‪ Y‬ﺭﺍ ﺑﻄـﻮﺭ ﺁﺷـﻜﺎﺭ ﺩﺭ ﺍﺧﺘﻴـﺎﺭ‬
‫ﻃﺮﻑ ﻣﻘﺎﺑﻞ ﻣﻲﮔﺬﺍﺭﺩ‪ .‬ﻛﺎﺭﺑﺮ ‪ A‬ﻛﻠﻴﺪ ﺭﺍ ﺑـﺼﻮﺭﺕ ‪ K = (YB)XA mod q‬ﻣﺤﺎﺳـﺒﻪ ﻧﻤـﻮﺩﻩ ﻭ ﻛـﺎﺭﺑﺮ ‪ B‬ﻧﻴـﺰ ﻛﻠﻴـﺪ ﺭﺍ ﺑـﺼﻮﺭﺕ‬
‫‪ K = (YA)XB mod q‬ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺩﻭ ﻣﺤﺎﺳﺒﻪ ﻧﺘﺎﻳﺞ ﻳﻜﺴﺎﻧﻲ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫‪K = (YB)XA mod q‬‬
‫‪= (αXB mod q)XA mod q‬‬

‫‪= (αXB)XA mod q‬‬
‫‪= αXBXA mod q‬‬
‫‪= (αXA)XB mod q‬‬
‫‪= (αXA mod q)XB mod q‬‬
‫‪= (YA)XB mod q‬‬
‫ﻧﺘﻴﺠﻪ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﻭ ﻃﺮﻑ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺭﺍ ﻣﺒﺎﺩﻟﻪ ﻛﺮﺩﻩﺍﻧﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ ﭼﻮﻥ ‪ XA‬ﻭ ‪ XB‬ﺳﺮّﻱ ﻫﺴﺘﻨﺪ‪ ،‬ﻳﻚ ﺩﺷﻤﻦ‬
‫ﻓﻘﻂ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎ ‪ YA ،a ،q‬ﻭ ‪ YB‬ﻛﺎﺭﻛﻨﺪ ﻭ ﻣﺠﺒﻮﺭ ﺍﺳﺖ ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ ﻛﻠﻴﺪ‪ ،‬ﻳﻚ ﻟﹸﮕﺎﺭﻳﺘﻢ ﮔﺴﺴﺘﻪ ﺭﺍ ﺣﺴﺎﺏ ﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ ﺑﺮﺍﻱ‬
‫ﺣﻤﻠﻪ ﺑﻪ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻛﺎﺭﺑﺮ ‪ ،B‬ﺩﺷﻤﻦ ﺑﺎﻳﺴﺘﻲ )‪ XB = dlogα,q(YB‬ﺭﺍ ﺣﺴﺎﺏ ﻛﻨﺪ‪ .‬ﺩﺷﻤﻦ ﺁﻧﮕﺎﻩ ﺧﻮﺍﻫﺪ ﺗﻮﺍﻧﺴﺖ ﻛﻠﻴﺪ ‪ K‬ﺭﺍ‬
‫ﺑﻬﻤﺎﻥ ﻧﺤﻮﻱ ﻛﻪ ﻛﺎﺭﺑﺮ ‪ B‬ﺁﻥ ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪.‬‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٩٦‬‬
‫ﻣﻘﺎﺩﻳﺮ ﻗﺎﺑﻞ ﺩﺳﺘﺮﺱ ﻋﻤﻮﻣﻲ‬

‫ﻋﺪﺩ ﺍﻭﻝ ‪q‬‬
‫‪ α < q‬ﺑﻮﺩﻩ ﻭ ‪ α‬ﺭﻳﺸﺔ ﺳﺎﺩﺓ ‪ q‬ﺍﺳﺖ‪.‬‬ ‫‪α‬‬ ‫ﻋﺪﺩ‬
‫ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﻛﺎﺭﺑﺮ ‪A‬‬

‫‪XA < q‬‬ ‫ﻣﻘﺪﺍﺭ ﺧﺼﻮﺻﻲ ‪ XA‬ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﻨﻴﺪ‪.‬‬
‫‪YA = αXA mod q‬‬ ‫ﻣﻘﺪﺍﺭ ﻋﻤﻮﻣﻲ ‪ YA‬ﺭﺍ ﺣﺴﺎﺏ ﻛﻨﻴﺪ‪.‬‬
‫ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﻛﺎﺭﺑﺮ ‪B‬‬

‫‪XB < q.‬‬ ‫ﻣﻘﺪﺍﺭ ﺧﺼﻮﺻﻲ ‪ XB‬ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﻨﻴﺪ‪.‬‬
‫‪YB = αXB mod q‬‬ ‫ﻣﻘﺪﺍﺭ ﻋﻤﻮﻣﻲ ‪ YB‬ﺭﺍ ﺣﺴﺎﺏ ﻛﻨﻴﺪ‪.‬‬
‫ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺑﻪ ﺗﻮﺳﻂ ﻛﺎﺭﺑﺮ ‪A‬‬

‫‪K = (YB)XA mod q‬‬
‫ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺑﻪ ﺗﻮﺳﻂ ﻛﺎﺭﺑﺮ ‪B‬‬

‫‪K = (YA)XB mod q‬‬
‫ﺷﻜﻞ ‪ ۳-۱۰‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪Diffie-Hellman‬‬
‫ﺍﻣﻨﻴﺖ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪ Diffie- Hellman‬ﺩﺭ ﺍﻳﻦ ﺣﻘﻴﻘﺖ ﻧﻬﻔﺘﻪ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺣﺎﻟﻲﻛﻪ ﻣﺤﺎﺳﺒﺔ ﻧﻤﺎﻫﺎﺋﻲ ﺑﺎ ﻣﺪﻭﻝ ﻳﻚ ﻋﺪﺩ‬
‫ﺍﻭﻝ ﻧﺴﺒﺘﺎﹰ ﺳﺎﺩﻩ ﺍﺳﺖ‪ ،‬ﻣﺤﺎﺳﺒﺔ ﻟﹸﮕﺎﺭﻳﺘﻢ ﮔﺴﺴﺘﻪ ﻛﺎﺭﻱ ﺑﺲ ﻣﺸﻜﻞ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺍﻋﺪﺍﺩ ﺍﻭﻝ ﺑﺰﺭﮒ‪ ،‬ﺍﻳﻦ ﻛﺎﺭ ﻏﻴﺮﻋﻤﻠﻲ ﺍﺳﺖ‪.‬‬
‫ﺑﺮﺍﻱ ﻣﺜﺎﻝ‪ ،‬ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺑﺮ ﺍﺳﺎﺱ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻋﺪﺩ ﺍﻭﻝ ‪ q = 353‬ﻭ ﻳﻚ ﺭﻳﺸﺔ ﺍﻭﻟﻴﺔ ‪ 353‬ﻛﻪ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ‪ α = 3‬ﺍﺳﺖ‬
‫ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ A .‬ﻭ ‪ B‬ﻛﻠﻴﺪﻫﺎﻱ ﺳﺮّﻱ ‪ XA = 97‬ﻭ ‪ XB = 233‬ﺭﺍ ﺑﻪﺗﺮﺗﻴﺐ ﺍﻧﺘﺨﺎﺏ ﻧﻤﻮﺩﻩ ﻭ ﻫﺮﻛﺪﺍﻡ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺧﻮﺩ ﺭﺍ ﻣﺤﺎﺳﺒﻪ‬
‫ﻣﻲﻛﻨﻨﺪ‪:‬‬
‫‪YA = 397 mod 353 = 40‬‬ ‫‪ A‬ﭼﻨﻴﻦ ﺣﺴﺎﺏ ﻣﻲﻛﻨﺪ‬

‫‪YB = 3233 mod 353 = 248‬‬ ‫‪ B‬ﭼﻨﻴﻦ ﺣﺴﺎﺏ ﻣﻲﻛﻨﺪ‬
‫ﭘﺲ ﺍﺯ ﺍﻳﻦ ﻛﻪ ﺁﻧﻬﺎ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺧﻮﺩ ﺭﺍ ﻣﺒﺎﺩﻟﻪ ﻛﺮﺩﻧﺪ‪ ،‬ﻫﺮﻳﻚ ﺧﻮﺍﻫﺪ ﺗﻮﺍﻧﺴﺖ ﺗﺎ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﺸﺘﺮﻙ ﺭﺍ ﺣﺴﺎﺏ ﻛﻨﺪ‪:‬‬
‫‪K = (YB)XA mod 353 = 24897 mod 353 = 160‬‬ ‫‪ A‬ﭼﻨﻴﻦ ﺣﺴﺎﺏ ﻣﻲﻛﻨﺪ‬
‫‪K = (YA)XB mod 353 = 40233 mod 353 = 160‬‬ ‫‪ B‬ﭼﻨﻴﻦ ﺣﺴﺎﺏ ﻣﻲﻛﻨﺪ‬
‫‪٩٧‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﻓﺮﺽ ﻣﻲﻛﻨﻴﻢ ﻛﻪ ﻳﻚ ﺣﻤﻠﻪ ﻛﻨﻨﺪﻩ ﺍﻃﻼﻋﺎﺕ ﺯﻳﺮ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪:‬‬

‫‪q = 353 ; α = 3 ; YA = 40 ; YB = 248‬‬
‫ﺩﺭ ﺍﻳﻦ ﻣﺜﺎﻝ ﺳﺎﺩﻩ‪ ،‬ﺑﺎ ﻳﻚ ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻛﻪ ﻛﻠﻴﺪ ﺳﺮّﻱ ‪ 160‬ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪ .‬ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﺣﻤﻠﻪﻛﻨﻨﺪﺓ ‪E‬‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﻛﻠﻴﺪ ﻣﺸﺘﺮﻙ ﺭﺍ ﺑﺎ ﺣﻞ ﻣﻌﺎﺩﻟﺔ ‪ 3a mod 353 = 40‬ﻭ ﻳﺎ ﻣﻌﺎﺩﻟﺔ ‪ 3b mod 353 = 248‬ﭘﻴﺪﺍ ﻛﻨﺪ‪ .‬ﺭﻭﺵ‬
‫ﺟﺴﺘﺠﻮﻱ ﻫﻤﻪ ﺟﺎﻧﺒﻪ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺗﻤﺎﻡ ﺗﻮﺍﻥﻫﺎﻱ ‪ 3‬ﺑﻪ ﭘﻴﻤﺎﻧﺔ ‪ (modulo 353) 353‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻛﻨﻴﻢ ﺗﺎ ﻧﺘﻴﺠﻪ ‪ 40‬ﻭ ﻳﺎ ‪248‬‬
‫ﺷﻮﺩ‪ .‬ﻧﺘﻴﺠﺔ ﻣﻄﻠﻮﺏ ﻭﻗﺘﻲ ﺍﺳﺖ ﻛﻪ ﺑﻪ ‪ 97‬ﺑﺮﺳﻴﻢ ﺯﻳﺮﺍ ‪ 397 mod 353 = 40‬ﺍﺳﺖ‪.‬‬
‫ﺑﺎ ﺍﻋﺪﺍﺩ ﺑﺰﺭﮒﺗﺮ‪ ،‬ﺣﻞ ﻣﺴﺄﻟﻪ ﻣﻘﺪﻭﺭ ﻧﺨﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‬

‫ﺷﻜﻞ ‪ ۳-۱۱‬ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺳﺎﺩﻩ ﻛﻪ ﺍﺯ ﻣﺤﺎﺳﺒﺎﺕ ‪ Diffie-Hellman‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ‬
‫ﻛﺎﺭﺑﺮ ‪ A‬ﻣﻲﺧﻮﺍﻫﺪ ﺍﺭﺗﺒﺎﻃﻲ ﺭﺍ ﺑﺎ ﻛﺎﺭﺑﺮ ‪ B‬ﺑﺮﻗﺮﺍﺭ ﻛﺮﺩﻩ ﻭ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡﻫﺎ ﺩﺭ ﺍﻳﻦ ﺍﺭﺗﺒﺎﻁ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻧﻤﺎﻳﺪ‪.‬ﻛﺎﺭﺑﺮ ‪ A‬ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻳﻜﺒﺎﺭﻣﺼﺮﻑ ‪ XA‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ‪ YA ،‬ﺭﺍ ﺣﺴﺎﺏ ﻧﻤﻮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮ ‪ B‬ﺑﻔﺮﺳﺘﺪ‪.‬‬
‫ﻛﺎﺭﺑﺮ ‪ B‬ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﭘﺎﺳﺦ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ‪ XB‬ﺗﻮﻟﻴﺪ ﻧﻤﻮﺩﻩ‪ YB ،‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻛﺮﺩﻩ ﻭ ‪ YB‬ﺭﺍ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮ ‪ A‬ﺑﻔﺮﺳﺘﺪ‪ .‬ﻫﺮ ﺩﻭ ﻛﺎﺭﺑﺮ‬
‫ﺣﺎﻻ ﻣﻲﺗﻮﺍﻧﻨﺪ ﻛﻠﻴﺪ ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻧﻤﺎﻳﻨﺪ‪ .‬ﻣﻘﺎﺩﻳﺮ‪ q‬ﻭ ‪ α‬ﺑﺎﻳﺴﺘﻲ ﻗﺒﻼﹰ ﻣﻌﻠﻮﻡ ﺑﺎﺷﻨﺪ‪ .‬ﺩﺭ ﺣﺎﻟﺖ ﺩﻳﮕﺮ ﻛﺎﺭﺑﺮ ‪ A‬ﻣﻲﺗﻮﺍﻧﺪ ﻣﻘﺎﺩﻳﺮ ‪ q‬ﻭ ‪α‬‬
‫ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﺮﺩﻩ ﻭ ﺁﻧﻬﺎ ﺭﺍ ﺩﺭ ﭘﻴﺎﻡ ﺍﻭﻝ ﺑﮕﻨﺠﺎﻧﺪ‪.‬‬
‫ﺑﻌﻨﻮﺍﻥ ﺍﺳﺘﻔﺎﺩﺓ ﺩﻳﮕﺮﻱ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ Diffie-Hellman‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﮔﺮﻭﻫﻲ ﺍﺯ ﻛﺎﺭﺑﺮﺍﻥ )ﻣﺜﻼﹰ ﺗﻤﺎﻡ ﻛﺎﺭﺑﺮﺍﻥ ﻳﻚ ﺷﺒﻜﺔ‬
‫‪ (LAN‬ﻫﺮﻛﺪﺍﻡ ﻳﻚ ﻣﻘﺪﺍﺭ ﺳﺮّﻱ ﺑﺎﺩﻭﺍﻡ ‪ XA‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﻭ ﺍﻧﺪﺍﺯﺓ ﻋﻤﻮﻣﻲ ‪ YA‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻧﻤﺎﻳﻨﺪ‪ .‬ﺍﻳﻦ ﻣﻘﺎﺩﻳﺮ ﻋﻤﻮﻣﻲ ﺑﻪ ﻫﻤﺮﺍﻩ‬
‫ﻣﻘﺎﺩﻳﺮ ﻋﻤﻮﻣﻲ ‪ q‬ﻭ ‪ α‬ﺩﺭ ﻳﻚ ﻓﻬﺮﺳﺖ ﻣﺮﻛﺰﻱ ﻧﮕﻬﺪﺍﺭﻱ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺩﺭ ﻫﺮ ﺯﻣﺎﻥ ﻛﺎﺭﺑﺮ ‪ B‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﻣﻘﺪﺍﺭ ﺁﺷﻜﺎﺭ ﻛﺎﺭﺑﺮ ‪A‬‬
‫ﺩﺳﺘﺮﺳﻲ ﻳﺎﻓﺘﻪ‪ ،‬ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺭﺍ ﺣﺴﺎﺏ ﻛﺮﺩﻩ ﻭ ﺍﺯ ﺁﻥ ﺑﺮﺍﻱ ﺍﺭﺳﺎﻝ ﻳﻚ ﭘﻴﺎﻡ ﺭﻣﺰﻱ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮ ‪ A‬ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﺪ‪ .‬ﺍﮔﺮ ﻓﻬﺮﺳﺖ‬
‫ﻣﺮﻛﺰﻱ ﻗﺎﺑﻞ ﺍﻃﻤﻴﻨﺎﻥ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺍﻳﻦ ﻧﻮﻉ ﺍﺭﺗﺒﺎﻁ ﻫﻢ ﻣﺤﺮﻣﺎﻧﮕﻲ ﻭ ﻫﻢ ﺗﺎ ﺣﺪﻭﺩﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﻛﻨﺪ‪ .‬ﭼﻮﻥ ﻓﻘﻂ ‪ A‬ﻭ‬
‫‪ B‬ﻣﻲﺗﻮﺍﻧﻨﺪ ﻛﻠﻴﺪ ﺭﺍ ﺗﻌﻴﻴﻦ ﻧﻤﺎﻳﻨﺪ‪ ،‬ﻫﻴﭻ ﻛﺎﺭﺑﺮ ﺩﻳﮕﺮﻱ ﻧﻤﻲﺗﻮﺍﻧﺪ ﭘﻴﺎﻡ ﺭﺍ ﺑﺨﻮﺍﻧﺪ )ﻣﺤﺮﻣﺎﻧﮕﻲ(‪ .‬ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﺓ ‪ A‬ﻣﻲﺩﺍﻧﺪ ﻛﻪ ﺗﻨﻬﺎ‬
‫ﻛﺎﺭﺑﺮ‪ B‬ﻣﻲﺗﻮﺍﻧﺴﺘﻪ ﺍﺳﺖ ﭘﻴﺎﻣﻲ ﺑﺎ ﺍﻳﻦ ﻛﻠﻴﺪ ﺭﺍ ﺧﻠﻖ ﻛﺮﺩﻩ ﺑﺎﺷﺪ )ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ(‪ .‬ﺍﻣﺎ ﺍﻳﻦ ﺗﻜﻨﻴﻚ ﺩﺭ ﺑﺮﺍﺑﺮ ﺣﻤﻼﺕ ﺑﺎﺯﺧﻮﺍﻧﻲ‬
‫)‪ (replay‬ﺍﻣﻦ ﻧﻴﺴﺖ‪.‬‬
‫ﻛﺎﺭﺑﺮ ‪A‬‬ ‫ﻛﺎﺭﺑﺮ ‪B‬‬
‫ﻣﻘﺪﺍﺭ ﺗﺼﺎﺩﻓﻲ‬ ‫ﻣﻘﺪﺍﺭ ﺗﺼﺎﺩﻓﻲ‬

‫‪ XA< q‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ ﻭ‬ ‫‪YA‬‬ ‫‪ XB< q‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ ﻭ‬
‫‪ YA = αXA mod q‬ﺭﺍ‬ ‫‪ YB = αXB mod q‬ﺭﺍ‬
‫ﻣﺤﺎﺳﺒﻪ ﻣﻲﻧﻤﺎﻳﺪ‬ ‫ﻣﺤﺎﺳﺒﻪ ﻣﻲﻧﻤﺎﻳﺪ‬
‫‪YB‬‬
‫‪K = (YB)XA mod q‬‬ ‫‪K = (YA)XB mod q‬‬
‫ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ‬ ‫ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ‬
‫ﺷﻜﻞ ‪ ۳-۱۱‬ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪Diffie-Hellman‬‬

‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٩٨‬‬
‫ﺣﻤﻠﺔ ‪Man-in-the-Middle‬‬
‫ﭘﺮﻭﺗﻜﻞ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺩﺭ ﺷﻜﻞ ‪ ۳-۱۱‬ﺩﺭ ﺑﺮﺍﺑﺮ ﺣﻤﻠﺔ ‪ man-in-the-middle‬ﻧﺎﺍﻣﻦ ﺍﺳﺖ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ‪ Alice‬ﻭ‬
‫‪ Bob‬ﻣﻲﺧﻮﺍﻫﻨﺪ ﻛﻠﻴﺪﻫﺎﺋﻲ ﺭﺍ ﻣﺒﺎﺩﻟﻪ ﻛﻨﻨﺪ ﻭ ‪ Darth‬ﺩﺷﻤﻦ ﻓﺮﺿﻲ ﺍﺳﺖ‪ .‬ﺣﻤﻠﻪ ﭼﻨﻴﻦ ﺟﻠﻮ ﻣﻲﺭﻭﺩ‪:‬‬
‫‪ Darth -۱‬ﺑﺎ ﺗﻮﻟﻴﺪ ﺩﻭ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ XD1‬ﻭ ‪ XD2‬ﻭ ﺳﭙﺲ ﻣﺤﺎﺳﺒﺔ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ‪ YD1‬ﻭ ‪ YD2‬ﺧﻮﺩ ﺭﺍ ﺑﺮﺍﻱ‬
‫ﺣﻤﻠﻪ ﺁﻣﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ Alice -۲‬ﺍﻧﺪﺍﺯﺓ ‪ YA‬ﺭﺍ ﺑﺮﺍﻱ ‪ Bob‬ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ Darth -۳‬ﺍﻧﺪﺍﺯﺓ ‪ YA‬ﺭﺍ ﺩﺯﺩﻳﺪﻩ ﻭ ‪ YD1‬ﺭﺍ ﺑﺮﺍﻱ ‪ Bob‬ﻣﻲﻓﺮﺳﺘﺪ‪ Darth .‬ﻫﻤﭽﻨﻴﻦ ‪ K2 = (YA)XD2 mod q‬ﺭﺍ‬
‫ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ Bob -۴‬ﺍﻧﺪﺍﺯﺓ ‪ YD1‬ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩﻩ ﻭ ‪ K1 = (YD1)XB mod q‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ Bob -۵‬ﺍﻧﺪﺍﺯﺓ ‪ YB‬ﺭﺍ ﺑﺮﺍﻱ ‪ Alice‬ﻣﻲﻓﺮﺳﺘﺪ‪.‬‬
‫‪ Darth -۶‬ﺍﻧﺪﺍﺯﺓ ‪ YB‬ﺭﺍ ﺩﺯﺩﻳﺪﻩ ﻭ ‪ YD2‬ﺭﺍ ﺑﺮﺍﻱ ‪ Alice‬ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪ Darth .‬ﻫﻤﭽﻨﻴﻦ ‪K1 = (YB)XD1 mod q‬‬
‫ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ Alice -۷‬ﺍﻧﺪﺍﺯﺓ ‪ YD2‬ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩﻩ ﻭ ‪ K2 = (YD2)XA mod q‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺩﺭ ﺍﻳﻦ ﻧﻘﻄﻪ‪ Bob ،‬ﻭ ‪ Alice‬ﺗﺼﻮﺭ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺭﺍ ﺩﺭ ﺍﺷﺘﺮﺍﻙ ﺩﺍﺭﻧﺪ ﺩﺭﺣﺎﻟﻲ ﻛﻪ ﻭﺍﻗﻌﻴﺖ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ‬
‫‪ Bob‬ﻭ ‪ Darth‬ﻛﻠﻴﺪ ‪ K1‬ﺭﺍ ﺩﺭ ﺍﺷﺘﺮﺍﻙ ﺩﺍﺷﺘﻪ ﻭ ‪ Alice‬ﻭ ‪ Darth‬ﻧﻴﺰ ﻛﻠﻴﺪ ‪ K2‬ﺭﺍ ﺩﺭ ﺍﺷﺘﺮﺍﻙ ﺩﺍﺭﻧﺪ‪ .‬ﺗﻤﺎﻡ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺁﺗﻲ‬
‫ﺑﻴﻦ ‪ Bob‬ﻭ ‪ Alice‬ﺑﻪ ﻃﺮﻳﻖ ﺯﻳﺮ ﻟﻮ ﺧﻮﺍﻫﻨﺪ ﺭﻓﺖ‪:‬‬
‫‪ Alice -۱‬ﻳﻚ ﭘﻴﺎﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﺓ )‪ M: E (K2, M‬ﺭﺍ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪.‬‬

‫‪ Darth -۲‬ﭘﻴﺎﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺭﺍ ﺩﺯﺩﻳﺪﻩ ﻭ ﺁﻥ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﺗﺎ ‪ M‬ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪.‬‬
‫‪ Darth -۳‬ﻣﻘﺪﺍﺭ )‪ E (K1, M‬ﻳﺎ )'‪ E (M‬ﺭﺍ ﺑﺮﺍﻱ ‪ Bob‬ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ ﻛﻪ ﺩﺭﺁﻥ '‪ M‬ﻫﺮ ﭘﻴﺎﻡ ﺩﻟﺨﻮﺍﻫﻲ ﺍﺳﺖ‪.‬‬
‫ﺩﺭ ﺑﻨﺪ ‪ Darth ،۲‬ﺗﻨﻬﺎ ﺑﺴﺎﺩﮔﻲ ﻣﻲﺧﻮﺍﻫﺪ ﺭﻭﻱ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺷﻨﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺩﺭ ﺑﻨﺪ ‪ Darth ،۳‬ﻣﻲﺧﻮﺍﻫﺪ ﻛﻪ ﭘﻴﺎﻡﻫﺎﻱ‬
‫ﺍﺭﺳﺎﻟﻲ ﺑﺮﺍﻱ ‪ Bob‬ﺭﺍ ﺗﻐﻴﻴﺮ ﺩﻫﺪ‪.‬‬
‫ﭘﺮﻭﺗﻜﻞ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺑﻪ ﭼﻨﻴﻦ ﺣﻤﻠﻪﺍﻱ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺍﺳﺖ ﺯﻳﺮﺍ ﻫﻮﻳﺖ ﻃﺮﻓﻴﻦ ﺍﺭﺗﺒﺎﻁ ﺩﺭ ﺁﻥ ﺍﺣﺮﺍﺯ ﻧﻤﻲﮔﺮﺩﺩ‪ .‬ﺍﻳﻦ‬
‫ﺁﺳﻴﺐﭘﺬﻳﺮﻱ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﻭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻛﻪ ﺑﻌﺪﺍﹰ ﺩﺭ ﺍﻳﻦ ﻓﺼﻞ ﻭ ﻓﺼﻞ ‪ ۴‬ﺩﺭ ﻣﻮﺭﺩ‬
‫ﺁﻧﻬﺎ ﺑﺤﺚ ﺧﻮﺍﻫﺪ ﺷﺪ‪،‬ﺍﺯ ﺑﻴﻦ ﺑﺮﺩ‪.‬‬
‫ﺳﺎﻳﺮ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬

‫ﺩﻭ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺩﻳﮕﺮ ﻧﻴﺰ ﭘﺬﻳﺮﺵ ﺗﺠﺎﺭﻱ ﻳﺎﻓﺘﻪﺍﻧﺪ‪ DSS :‬ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺧﹶﻢ ﺑﻴﻀﻮﻱ‪.‬‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ )‪Digital Signiture Standard (DSS‬‬

‫ﺍﻧﺴﺘﻴﺘﻮﻱ ﻣﻠﻲ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎ ﻭ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺍﻣﺮﻳﻜﺎ )‪ ،(NIST‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻓﺪﺭﺍﻝ ﭘﺮﺩﺍﺯﺵ ﺍﻃﻼﻋﺎﺕ ‪ FIP PUB 186‬ﺭﺍ ﺑﺎ ﻧﺎﻡ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ )‪ (DSS‬ﻣﻨﺘﺸﺮ ﻛﺮﺩﻩ ﺍﺳﺖ‪ DSS .‬ﺍﺯ ‪ SHA-1‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﻳﻚ ﺗﻜﻨﻴﻚ ﺟﺪﻳﺪ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﺑﻨﺎﻡ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ )‪ (DSA‬ﺭﺍ ﻣﻌﺮﻓﻲ ﻣﻲﻛﻨﺪ‪ DSS .‬ﺍﺑﺘﺪﺍ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۱‬ﭘﻴﺸﻨﻬﺎﺩ ﮔﺮﺩﻳﺪ ﻭ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۳‬ﺩﺭ ﭘﺎﺳﺦ ﺑﻪ‬
‫‪٩٩‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﻧﻈﺮﺍﺗﻲ ﻛﻪ ﺩﺭ ﻣﻮﺭﺩ ﺍﻣﻨﻴﺖ ﺭﻭﺵ ﻣﻄﺮﺡ ﮔﺮﺩﻳﺪﻩ ﺑﻮﺩ ﻣﻮﺭﺩ ﺑﺎﺯﻧﮕﺮﻱ ﻗﺮﺍﺭ ﮔﺮﻓﺖ‪ .‬ﺗﻐﻴﻴﺮ ﻛﻮﭼﻜﻲ ﻫﻢ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۶‬ﺩﺭ ﺁﻥ ﺑﻮﺟﻮﺩ‬
‫ﺁﻣﺪ‪ DSS .‬ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻤﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﻛﻪ ﺗﻨﻬﺎ ﺑﺮﺍﻱ ﻓﺮﺍﻫﻢﺁﻭﺭﺩﻥ ﺗﺎﺑﻊ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﻧﻤﻲﺗﻮﺍﻧﺪ‬
‫ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻳﺎ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺑﻜﺎﺭ ﺭﻭﺩ‪.‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺧﹶﻢ ﺑﻴﻀﻮﻱ )‪Elliptic-Curve Cryptography (ECC‬‬

‫ﺍﻛﺜﺮ ﻣﺤﺼﻮﻻﺕ ﻭ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻣﻀﺎﺀﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ﺍﺳﺘﻔﺎﺩﻩ ﻣـﻲﻛﻨﻨـﺪ‪ RSA ،‬ﺭﺍ ﺑﻜـﺎﺭ‬
‫ﻣﻲﺑﺮﻧﺪ‪ .‬ﺍﻧﺪﺍﺯﺓ ﻃﻮﻝ ﺑﻴﺖ ﺑﺮﺍﻱ ‪ RSA‬ﺍﻣﻦ ﺩﺭ ﻃﻮﻝ ﺳﺎﻝﻫﺎﻱ ﺍﺧﻴﺮ ﺍﻓﺰﺍﻳﺶ ﻳﺎﻓﺘﻪ ﻭ ﺍﻳﻦ ﺍﻣـﺮ ﺑـﺎﺭ ﭘـﺮﺩﺍﺯﺵ ﺳـﻨﮕﻴﻦﺗـﺮﻱ ﺭﺍ ﺭﻭﻱ‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ‪ RSA‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ ﺍﻋﻤﺎﻝ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﻌﻀﻞ ﺩﺍﺭﺍﻱ ﺟﻠﻮﻩﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺍﺳﺖ ﻛـﻪ ﻋﻠـﻲﺍﻟﺨـﺼﻮﺹ ﺩﺭ‬
‫ﺳﺎﻳﺖﻫﺎﻱ ﺗﺠﺎﺭﺕ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻛﻪ ﺍﺳﻨﺎﺩ ﻣﺎﻟﻲ ﺯﻳﺎﺩﻱ ﺑﺎﻳﺪ ﺑﺼﻮﺭﺕ ﺍﻣﻦ ﻣﺒﺎﺩﻟﻪ ﺷﻮﻧﺪ‪ ،‬ﻧﻤـﻮﺩ ﺑﻴـﺸﺘﺮﻱ ﺩﺍﺭﺩ‪ .‬ﺍﺧﻴـﺮﺍﹰ ﻳـﻚ ﺳﻴـﺴﺘﻢ‬
‫ﺭﻗﻴﺐ‪ RSA ،‬ﺭﺍ ﺑﻪ ﻣﺒﺎﺭﺯﻩ ﻃﻠﺒﻴﺪﻩ ﺍﺳﺖ‪ :‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺧﹶﻢ ﺑﻴﻀﻮﻱ )‪ .(ECC‬ﻫﻢﺍﻛﻨﻮﻥ ‪ ECC‬ﺩﺭ ﺗـﻼﺵﻫـﺎﻱ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﺳـﺎﺯﻱ ﻛـﻪ‬
‫ﺷﺎﻣﻞ ‪ IEEE P1363‬ﺍﺳﺖ ﻭﻳﮋﮔﻲﻫﺎﻱ ﺧﻮﺩ ﺭﺍ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﺟﺎﺫﺑﺔ ﺍﺻﻠﻲ ‪ ECC‬ﺩﺭ ﻣﻘﺎﻳﺴﻪ ﺑﺎ ‪ RSA‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﻨﻈﺮ ﻣﻲﺭﺳﺪ ﺗﻜﻨﻴﻚ ﺟﺪﻳﺪ ﻫﻤﺎﻥ ﺍﻣﻨﻴﺖ ﺭﺍ ﺑﺮﺍﻱ ﺍﻧﺪﺍﺯﺓ ﺑﻴﺖ‬
‫ﺑﺴﻴﺎﺭ ﻛﻤﺘﺮﻱ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ ﻭ ﺩﺭ ﻧﺘﻴﺠﻪ ﺳﺮﺑﺎﺭﺓ ﭘﺮﺩﺍﺯﺵ ﻛﻢ ﻣﻲﺷﻮﺩ‪ .‬ﺍﺯ ﻃﺮﻑ ﺩﻳﮕﺮ ﺍﮔﺮﭼﻪ ﺗﺌﻮﺭﻱ ‪ ECC‬ﻣﺪﺗﻬﺎﺳﺖ ﻛﻪ ﻣﻄﺮﺡ‬
‫ﺑﻮﺩﻩ ﺍﺳﺖ‪ ،‬ﺗﻨﻬﺎ ﺩﺭ ﺳﺎﻝﻫﺎﻱ ﺍﺧﻴﺮ ﺍﺳﺖ ﻛﻪ ﻣﺤﺼﻮﻻﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﺑﻪ ﺑﺎﺯﺍﺭ ﺁﻣﺪﻩ ﻭ ﻋﻼﻗﺔ ﺯﻳﺎﺩﻱ ﺑﺮﺍﻱ ﻧﻔﻮﺫ ﺩﺭ ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻭ‬
‫ﻛﺸﻒ ﻧﻘﺎﻁ ﺿﻌﻒ ﺁﻥ ﻇﺎﻫﺮ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺳﻄﺢ ﺍﻃﻤﻴﻨﺎﻥ ﺑﻪ ‪ ECC‬ﻫﻨﻮﺯ ﺑﻪ ﺍﻧﺪﺍﺯﺓ ‪ RSA‬ﺑﺎﻻ ﻧﻴﺴﺖ‪.‬‬
‫ﺗﻮﺿﻴﺢ ﻣﺒﺎﻧﻲ ‪ ECC‬ﻣﺸﻜﻞﺗﺮ ﺍﺯ ‪ RSA‬ﻭ ‪ Diffie-Hellman‬ﺑﻮﺩﻩ ﻭ ﺗﻮﺻﻴﻒ ﻛﺎﻣﻞ ﺭﻳﺎﺿﻲ ﺁﻥ ﻓﺮﺍﺗﺮ ﺍﺯ ﺣﻴﻄﺔ ﺍﻳﻦ‬
‫ﻛﺘﺎﺏ ﺍﺳﺖ‪ .‬ﻣﺒﻨﺎﻱ ﺭﻭﺵ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺳﺎﺧﺘﺎﺭ ﺭﻳﺎﺿﻲ‪ ،‬ﺑﻨﺎﻡ ﺧﹶﻢ ﺑﻴﻀﻮﻱ ﺍﺳﺖ‪.‬‬
‫ﺍﻣﻀﺎﺀﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ‬ ‫‪۳-۵‬‬
‫ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻣﻲﺗﻮﺍﻥ ﺑﺼﻮﺭﺕ ﺩﻳﮕﺮﻱ ﻫﻤﺎﻧﻨﺪ ﺷﻜﻞ ‪۳-۷‬ﺏ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ‪ Bob‬ﺑﺨﻮﺍﻫﺪ ﺗﺎ ﭘﻴﺎﻣﻲ ﺭﺍ‬
‫ﺑﺮﺍﻱ ‪ Alice‬ﺑﻔﺮﺳﺘﺪ ﻭ ﺍﮔﺮﭼﻪ ﻣﻬﻢ ﻧﻴﺴﺖ ﻛﻪ ﭘﻴﺎﻡ ﺳﺮّﻱ ﺑﻤﺎﻧﺪ ﻭﻟﻲ ﺍﺻﺮﺍﺭ ﺩﺍﺭﺩ ﻛﻪ ‪ Alice‬ﻣﻄﻤﺌﻦ ﺷﻮﺩ ﻛﻪ ﭘﻴﺎﻡ ﻭﺍﻗﻌﺎﹰ ﺍﺯ ﻃﺮﻑ‬
‫ﺍﻭﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ‪ Bob‬ﺍﺯ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺧﻮﺩ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﻭﻗﺘﻲ ‪ Alice‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺭﺍ ﺩﺭﻳﺎﻓﺖ‬
‫ﻣﻲﺩﺍﺭﺩ‪ ،‬ﺍﻭ ﻣﺘﻮﺟﻪ ﻣﻲﺷﻮﺩ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﭘﻴﺎﻡ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ Bob‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﻨﺪ ﻭ ﺑﺪﻳﻦ ﺗﺮﺗﻴﺐ ﺍﺛﺒﺎﺕ ﻣﻲﺷﻮﺩ ﻛﻪ ﭘﻴﺎﻡ‬
‫ﺑﺘﻮﺳﻂ ‪ Bob‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻫﻴﭻ ﺷﺨﺺ ﺩﻳﮕﺮﻱ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ Bob‬ﺭﺍ ﻧﺪﺍﺭﺩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺷﺨﺺ ﺩﻳﮕﺮﻱ ﻧﻤﻲﺗﻮﺍﻧﺴﺘﻪ‬
‫ﺍﺳﺖ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩﺍﻱ ﺭﺍ ﺧﻠﻖ ﻛﻨﺪ ﻛﻪ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ Bob‬ﺑﺎﺯ ﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻛﻞ ﭘﻴﺎﻡ ﺭﻣﺰﺷﺪﻩ ﺑﺼﻮﺭﺕ ﻳﻚ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ‬
‫ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﻏﻴﺮﻣﻤﻜﻦ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺍﻥ ﭘﻴﺎﻡ ﺭﺍ ﺑﺪﻭﻥ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ Bob‬ﺗﻐﻴﻴﺮ ﺩﺍﺩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﻋﺘﺒﺎﺭ‬
‫ﭘﻴﺎﻡ ﭼﻪ ﺍﺯﻧﻈﺮ ﻣﻨﺒﻊ ﺍﺭﺳﺎﻝ ﻭ ﭼﻪ ﺍﺯ ﻧﻈﺮ ﺍﺻﺎﻟﺖ ﺗﺄﺋﻴﺪ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﺩﺭ ﺭﻭﺵ ﻗﺒﻞ‪ ،‬ﺗﻤﺎﻡ ﭘﻴﺎﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩﻛﻪ ﺍﮔﺮﭼﻪ ﻫﻢ ﻧﻮﻳﺴﻨﺪﻩ ﻭ ﻫﻢ ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﺗﺄﺋﻴﺪ ﻣﻲﮔﺮﺩﺩ ﻭﻟﻲ ﺑﻪ ﺣﺠﻢ ﺣﺎﻓﻈﺔ‬
‫ﺯﻳﺎﺩﻱ ﻧﻴﺎﺯ ﺩﺍﺭﺩ‪ .‬ﻫﺮ ﺳﻨﺪ ﺭﺍ ﺑﺎﻳﺴﺘﻲ ﺑﺼﻮﺭﺕ ﻣﺘﻦ ﺳﺎﺩﻩ ﻧﮕﻬﺪﺍﺭﻱ ﻧﻤﻮﺩ ﺗﺎ ﺩﺭ ﺻﻮﺭﺕ ﻧﻴﺎﺯ ﺑﻪ ﺁﻥ ﻣﺮﺍﺟﻌﻪ ﻛﺮﺩ‪ .‬ﻳﻚ ﻛﭙﻲ ﺍﺯ ﻣﺘﻦ‬
‫ﺭﻣﺰﺷﺪﻩ ﺭﺍ ﻧﻴﺰ ﺑﺎﻳﺴﺘﻲ ﺣﻔﻆ ﻛﺮﺩ ﺗﺎ ﺩﺭ ﺻﻮﺭﺕ ﻭﺟﻮﺩ ﺗﻨﺎﻗﺾ ﺑﺘﻮﺍﻥ‪ ،‬ﻣﺒﺪﺃ ﻭ ﻣﺤﺘﻮﺍ ﺭﺍ ﺑﺎ ﺍﺻﻞ ﺗﻄﺒﻴﻖ ﺩﺍﺩ‪ .‬ﺭﺍﻩ ﺑﻬﺮﻩﻭﺭﺗﺮﻱ ﺑﺮﺍﻱ‬
‫ﻛﺴﺐ ﻫﻤﻴﻦ ﻧﺘﺎﻳﺞ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﻠﻮﻙ ﻛﻮﭼﻜﻲ ﺍﺯ ﺑﻴﺖﻫﺎ ﻛﻪ ﺗﺎﺑﻌﻲ ﺍﺯ ﭘﻴﺎﻡ ﺍﺳﺖ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﺮﺩ‪ .‬ﭼﻨﻴﻦ ﺑﻠﻮﻛﻲ ﻛﻪ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ‬
‫ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ ﺑﺎﻳﺴﺘﻲ ﺩﺍﺭﺍﻱ ﺍﻳﻦ ﺧﺎﺻﻴﺖ ﺑﺎﺷﺪ ﻛﻪ ﺍﻣﻜﺎﻥ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ ﻛﻪ ﺑﺘﻮﺍﻧﺎ ﺳﻨﺪ ﺭﺍ ﺗﻐﻴﻴﺮ ﺩﺍﺩ ﻭﻟﻲ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺗﻐﻴﻴﺮ ﻧﻜﻨﺪ‪.‬‬
‫ﺍﮔﺮ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻓﺮﺳﺘﻨﺪﻩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺑﺎﺷﺪ‪ ،‬ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺍﻣﻀﺎﺀ ﻛﻪ ﻣﺒﺪﺃ‪ ،‬ﻣﺤﺘﻮﺍ‪ ،‬ﻭ ﻧﻈﻢ ﺭﺍ ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ ﻋﻤﻞ‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪١٠٠‬‬
‫ﺧﻮﺍﻫﺪ ﻛﺮﺩ‪ .‬ﻳﻚ ﻛﹸﺪ ‪ hash‬ﺍﻣﻦ ﻫﻤﺎﻧﻨﺪ ‪ SHA-1‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻘﺼﻮﺩ ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﺷﻜﻞ ‪۳-۲‬ﺏ ﺍﻳﻦ ﺳﻨﺎﺭﻳﻮ ﺭﺍ ﻧﺸﺎﻥ‬
‫ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻣﻬﻢ ﺍﺳﺖ ﺗﺄﻛﻴﺪ ﻛﻨﻴﻢ ﻛﻪ ﻋﻤﻞ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻪ ﻫﻢﺍﻛﻨﻮﻥ ﺗﺸﺮﻳﺢ ﮔﺮﺩﻳﺪ‪ ،‬ﻣﺤﺮﻣﺎﻧﮕﻲ ﺭﺍ ﻓﺮﺍﻫﻢ ﻧﻤﻲﺁﻭﺭﺩ‪ .‬ﻳﻌﻨﻲ ﭘﻴﺎﻣﻲ ﻛﻪ‬
‫ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ ﺭﺍ ﻧﻤﻲﺗﻮﺍﻥ ﺗﻐﻴﻴﺮ ﺩﺍﺩ ﻭﻟﻲ ﻣﻲﺗﻮﺍﻥ ﺁﻥ ﺭﺍ ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ ﻛﺮﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺩﺭ ﻣﻮﺭﺩ ﺍﻣﻀﺎﺋﻲ ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ ﺑﺨﺸﻲ ﺍﺯ ﭘﻴﺎﻡ‬
‫ﺍﺳﺖ ﺭﻭﺷﻦ ﺍﺳﺖ‪ ،‬ﺯﻳﺮﺍ ﺑﻘﻴﺔ ﭘﻴﺎﻡ ﺑﺼﻮﺭﺕ ﻣﺘﻦ ﺳﺎﺩﻩ ﺍﺭﺳﺎﻝ ﻣﻲﮔﺮﺩﺩ‪ .‬ﻭﻟﻲ ﺣﺘﻲ ﺩﺭ ﺻﻮﺭﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﺎﻣﻞ ﭘﻴﺎﻡ‪ ،‬ﺑﺎﺯﻫﻢ ﻫﻴﭻ‬
‫ﺣﻔﺎﻇﺘﻲ ﺩﺭ ﺑﺮﺍﺑﺮ ﻣﺤﺮﻣﺎﻧﮕﻲ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ ﺯﻳﺮﺍ ﻫﺮ ﻧﺎﻇﺮﻱ ﻣﻲﺗﻮﺍﻧﺪ ﭘﻴﺎﻡ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻓﺮﺳﺘﻨﺪﻩ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﻨﺪ‪.‬‬
‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‬ ‫‪۳-۶‬‬
‫ﻳﻜﻲ ﺍﺯ ﻧﻘﺶﻫﺎﻱ ﻋﻤﺪﺓ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‪ ،‬ﻣﻮﺿﻮﻉ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﺍﺳﺖ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﺮﺍﻱ‬
‫ﺍﻳﻦ ﻣﻘﺼﻮﺩ ﺩﺍﺭﺍﻱ ﺩﻭ ﺟﻨﺒﻪ ﺍﺳﺖ‪:‬‬
‫ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ‬ ‫•‬

‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﺮﺍﻱ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪﻫﺎﻱ ﺳﺮّﻱ‬ ‫•‬
‫ﻫﺮﻳﻚ ﺍﺯ ﺍﻳﻦ ﺩﻭ ﻣﻘﻮﻟﻪ ﺭﺍ ﺑﺘﺮﺗﻴﺐ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬

‫ﻫﻤﺎﻥﻃﻮﺭ ﻛﻪ ﺍﺯ ﺍﺳﻢ ﺁﻥ ﺑﺮﻣﻲﺁﻳﺪ‪ ،‬ﻧﻜﺘﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‪ ،‬ﻋﻤﻮﻣﻲ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﺎ ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫ﭘﺬﻳﺮﻓﺘﻪﺷﺪﻩﺍﻱ ﻫﻤﺎﻧﻨﺪ ‪ ،RSA‬ﻫﺮ ﺷﺮﻛﺖﻛﻨﻨﺪﻩ ﻣﻲﺗﻮﺍﻧﺪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺧﻮﺩ ﺭﺍ ﺑﺮﺍﻱ ﻫﺮ ﺷﺮﻛﺖﻛﻨﻨﺪﺓ ﺩﻳﮕﺮﻱ ﻓﺮﺳﺘﺎﺩﻩ ﻭ ﻳﺎ ﺁﻥ ﺭﺍ‬
‫ﺑﺮﺍﻱ ﺍﻃﻼﻉ ﺟﻤﻌﻲ ﺍﺭﺳﺎﻝ ﻧﻤﺎﻳﺪ‪ .‬ﺍﮔﺮﭼﻪ ﺍﻳﻦ ﺭﻭﺵ ﻣﻨﺎﺳﺐ ﺍﺳﺖ ﻭﻟﻲ ﺩﺍﺭﺍﻱ ﻳﻚ ﺿﻌﻒ ﻋﻤﺪﻩ ﺍﺳﺖ‪ .‬ﻫﺮ ﺷﺨﺺ ﺩﻳﮕﺮﻱ ﻧﻴﺰ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﭼﻨﻴﻦ ﻛﺎﺭﻱ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﻫﺪ‪ .‬ﻳﻌﻨﻲ ﻛﺎﺭﺑﺮ ﺩﻳﮕﺮﻱ ﻣﻲﺗﻮﺍﻧﺪ ﺗﻈﺎﻫﺮ ﻧﻤﺎﻳﺪ ﻛﻪ ﻛﺎﺭﺑﺮ ‪ A‬ﺑﻮﺩﻩ ﻭ ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺭﺍ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮ‬
‫ﺩﻳﮕﺮ ﻭ ﻳﺎ ﺟﻤﻊ ﻛﺎﺭﺑﺮﺍﻥ ﺍﺭﺳﺎﻝ ﻧﻤﺎﻳﺪ‪ .‬ﺗﺎ ﺯﻣﺎﻧﻲ ﻛﻪ ﻛﺎﺭﺑﺮ ‪ A‬ﺍﻳﻦ ﺗﻘﻠﺐ ﺭﺍ ﻛﺸﻒ ﻛﺮﺩﻩ ﻭ ﺑﻪ ﺳﺎﻳﺮ ﺷﺮﻛﺖﻛﻨﻨﺪﮔﺎﻥ ﺍﻃﻼﻉ ﺩﻫﺪ‪ ،‬ﻓﺮﺩ‬
‫ﻣﺘﻘﻠﺐ ﻗﺎﺩﺭ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﺗﺎ ﺗﻤﺎﻡ ﭘﻴﺎﻡﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺑﻪ ﻣﻘﺼﺪ ‪ A‬ﺭﺍ ﺧﻮﺍﻧﺪﻩ ﻭ ﺍﺯ ﻛﻠﻴﺪﻫﺎﻱ ﺗﻘﻠﺒﻲ ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻛﻨﺪ‪.‬‬
‫ﺭﺍﻩ ﺣﻞ ﺍﻳﻦ ﻣﺸﻜﻞ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﺳﺖ‪ .‬ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺷﺎﻣﻞ ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺑﻌﻼﻭﻩ ﺷﻨﺎﺳﺔ‬
‫ﻛﺎﺭﺑﺮ)‪ (User ID‬ﺻﺎﺣﺐ ﻛﻠﻴﺪ ﺍﺳﺖ ﻛﻪ ﻣﺠﻤﻮﻋﺔ ﺁﻥ ﺑﺘﻮﺳﻂ ﻳﻚ ﻃﺮﻑ ﺛﺎﻟﺚ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺑﺎﺷﺪ‪ .‬ﻣﻌﻤﻮﻻﹰ ﻃﺮﻑ‬
‫ﺛﺎﻟﺚ ﻳﻚ ﻣﺴﺌﻮﻝ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ)‪ Certificate Authority (CA‬ﺍﺳﺖ ﻛﻪ ﻫﻤﺎﻧﻨﺪ ﻳﻚ ﻭﺍﺣﺪ ﺩﻭﻟﺘﻲ ﻭ ﻳﺎ ﻳﻚ ﻣﺆﺳﺴﺔ‬
‫ﺗﺠﺎﺭﻱ‪ ،‬ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺟﻤﻌﻴﺖ ﻛﺎﺭﺑﺮﺍﻥ ﺍﺳﺖ‪ .‬ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻲﺗﻮﺍﻧﺪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺧﻮﺩ ﺭﺍ ﺑﺎ ﺭﻭﺵ ﺍﻣﻨﻲ ﺑﻪ ‪ CA‬ﺍﺭﺍﺋﻪ ﻧﻤﻮﺩﻩ ﻭ ﻳﻚ‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺩﺭﻳﺎﻓﺖ ﺩﺍﺭﺩ‪ .‬ﻛﺎﺭﺑﺮ ﺁﻧﮕﺎﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺭﺍ ﺍﻧﺘﺸﺎﺭ ﺩﻫﺪ‪ .‬ﻫﺮ ﻛﺴﻲ ﻛﻪ ﺑــﻪ ﻛﻠﻴﺪ ﻋﻤــﻮﻣﻲ ﻛﺎﺭﺑــﺮ ﻧﻴﺎﺯ ﺩﺍﺭﺩ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﺍﻋﺘﺒﺎﺭ ﺁﻥ ﺭﺍ ﺗﺄﺋﻴﺪ ﻛﻨﺪ‪ .‬ﺷﻜﻞ ‪ ۳-۱۲‬ﺍﻳﻦ ﺷﻴﻮﻩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺭﻭﺷﻲ ﻛﻪ ﺑﺮﺍﻱ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﭘﺬﻳﺮﺵ ﺟﻬﺎﻧﻲ ﻳﺎﻓﺘﻪ ﺍﺳﺖ‪ ،‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ‪ X.509‬ﻧﺎﻡ ﺩﺍﺭﺩ‪ .‬ﺍﺯ‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ‪ X.509‬ﺩﺭ ﺑﻴﺸﺘﺮ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﻣﺜﻞ ﺍﻣﻨﻴﺖ ‪ ،IP‬ﻻﻳﺔ ﺳﻮﻛﺖ ﺍﻣﻦ )‪ ،(SSL‬ﺍﺳﻨﺎﺩ ﺍﻣﻦ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‬
‫)‪ ،(SET‬ﻭ ‪ S/MIME‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ ﻛﻪ ﻫﻤﺔ ﺍﻳﻨﻬﺎ ﺩﺭ ﻓﺼﻮﻝ ﺑﻌﺪﻱ ﻛﺘﺎﺏ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺍﺳﺖ‪ X.509 .‬ﺑﺼﻮﺭﺕ‬
‫ﻛﺎﻣﻞ ﺩﺭ ﻓﺼﻞ ‪ ۴‬ﺑﺮﺭﺳﻲ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪١٠١‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﻛﹸﺪ ‪ hash‬ﮔﻮﺍﻫﻲ ﺍﻣﻀﺎﺀ ﻧﺸﺪﻩ‬

‫ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺍﻣﻀﺎﺀﻧﺸﺪﻩ‪:‬‬
‫ﺷﺎﻣﻞ ‪ ID‬ﻛﺎﺭﺑﺮ ﻭ‬
‫‪H‬‬
‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻛﺎﺭﺑﺮ‬
‫ﻛﹸﺪ ‪ hash‬ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬

‫ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺍﻣﻀﺎﺀ ﺷﺪﻩ‪:‬‬
‫‪E‬‬
‫ﮔﻴﺮﻧﺪﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺍﻣﻀﺎﺀ‬
‫ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ‬
‫ﻋﻤﻮﻣﻲ‪ CA‬ﺗﺄﺋﻴﺪ ﻛﻨﺪ‪.‬‬
‫=‬ ‫ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ CA‬ﺭﻣﺰﻛﺮﺩﻩ‬
‫ﺗﺎ ﺍﻣﻀﺎﺀ ﺗﻮﻟﻴﺪ ﺷﻮﺩ‬
‫ﺷﻜﻞ ‪ ۳-۱۲‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪﻫﺎﻱ ﺳﺮّﻱ ﺍﺯ ﻃﺮﻳﻖ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‬

‫ﺩﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ‪ ،‬ﻧﻴﺎﺯ ﺍﺻﻠﻲ ﻃﺮﻓﻴﻦ ﺑﺮﺍﻱ ﺍﺭﺗﺒﺎﻁ ﺍﻣﻦ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺭﺍ ﺩﺭ ﺍﺷﺘﺮﺍﻙ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ‬
‫ﻛﻪ ‪ Bob‬ﺑﺨﻮﺍﻫﺪ ﻋﻤﻠﻲ ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﺍﺭﺳﺎﻝ ﭘﻴﺎﻡ ﺍﻧﺠﺎﻡ ﺩﻫﺪﻛﻪ ﺍﻭ ﺭﺍ ﻗﺎﺩﺭ ﺳﺎﺯﺩ ﺗﺎ ﺑﺎ ﻫﺮﺷﺨﺺ ﺩﻳﮕﺮﻱ ﻛﻪ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ‪ ،‬ﻭ‬
‫ﻳﺎ ﺷﺒﻜﺔ ﺩﻳﮕﺮﻱ ﻛﻪ ﺩﺭ ﺍﺷﺘﺮﺍﻙ ﺁﻥ ﺩﻭ ﺍﺳﺖ‪ ،‬ﺩﺍﺭﺩ ‪ e-mail‬ﺍﻣﻦ ﺭﺩﻭﺑﺪﻝ ﻧﻤﺎﻳﺪ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ‪ Bob‬ﺑﺨﻮﺍﻫﺪ ﺗﺎ ﺍﻳﻦ ﻋﻤﻞ ﺭﺍ ﺑﺎ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ ﺍﻧﺠﺎﻡ ﺩﻫﺪ‪ .‬ﺩﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ‪ Bob ،‬ﻭ ﻃﺮﻑ ﻣﻘﺎﺑﻠﺶ ﻣﺜﻼﹰ ‪ Alice‬ﺑﺎﻳﺴﺘﻲ ﺭﻭﺷﻲ ﺭﺍ ﭘﻴﺪﺍ ﻛﻨﻨﺪﻛﻪ‬
‫ﺑﺘﻮﺍﻧﻨﺪ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺭﺍ ﺑﺪﻭﻥ ﺍﻳﻦﻛﻪ ﻛﺴﻲ ﻣﺘﻮﺟﻪ ﺷﻮﺩ ﺭﺩﻭﺑﺪﻝ ﻧﻤﺎﻳﻨﺪ‪ .‬ﺁﻧﻬﺎ ﭼﮕﻮﻧﻪ ﺑﺎﻳﺪ ﺍﻳﻦ ﻛﺎﺭ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﻫﻨﺪ؟ ﺍﮔﺮ ‪Alice‬‬
‫ﺩﺭ ﺍﻃﺎﻕ ﻣﺠﺎﻭﺭ ‪ Bob‬ﺑﺎﺷﺪ‪ Bob ،‬ﻣﻲﺗﻮﺍﻧﺪ ﻛﻠﻴﺪ ﺭﺍ ﺗﻬﻴﻪ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺭﻭﻱ ﻳﻚ ﺗﻜﻪ ﻛﺎﻏﺬ ﻧﻮﺷﺘﻪ ﻭ ﻳﺎ ﺭﻭﻱ ﻳﻚ ﺩﻳﺴﻜﺖ ﺫﺧﻴﺮﻩ‬
‫ﻧﻤﻮﺩﻩ ﻭ ﺷﺨﺼﺎﹰ ﺑﻪ ‪ Alice‬ﺑﺪﻫﺪ‪ .‬ﺍﻣﺎ ﺍﮔﺮ ‪ Alice‬ﺩﺭ ﺳﻮﻱ ﺩﻳﮕﺮ ﺩﻧﻴﺎ ﺑﺎﺷﺪ‪ ،‬ﭼﻪ ﺑﺎﻳﺪ ﻛﺮﺩ؟ ﺍﻭ ﻣﻲﺗﻮﺍﻧﺪ ﺍﻳﻦ ﻛﻠﻴﺪ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺑﻪ ﺭﻣﺰ ﺩﺭﺁﻭﺭﺩ ﻭ ﺁﻥ ﺭﺍ ﺍﺯ ﻃﺮﻳﻖ ‪ e-mail‬ﺑﺮﺍﻱ ‪ Alice‬ﺑﻔﺮﺳﺘﺪ‪ ،‬ﺍﻣﺎ ﺍﻳﻦ ﺑﺪﻳﻦ ﻣﻌﻨﻲ ﺍﺳﺖ ﻛﻪ ‪ Bob‬ﻭ ‪Alice‬‬
‫ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﻳﻦ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺟﺪﻳﺪ‪ ،‬ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﺸﺘﺮﻙ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ‪ Bob‬ﻭ ﻫﺮ ﻛﺲ ﺩﻳﮕﺮﻱ ﻛﻪ‬
‫ﺍﺯ ﺍﻳﻦ ﺑﺴﺘﺔ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ‪ e-mail‬ﺟﺪﻳﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﺑﺮﺍﻱ ﺍﺭﺗﺒﺎﻁ ﺑﺎ ﻫﺮ ﺷﺨﺺ ﺩﻳﮕﺮ ﺩﭼﺎﺭ ﻫﻤﻴﻦ ﻣﺸﻜﻞﺍﻧﺪ‪ .‬ﻫﺮﺟﻔﺖ ﻣﺮﺗﺒﻂ‪،‬‬
‫ﺑﺎﻳﺴﺘﻲ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻳﻜﺘﺎ ﺩﺭ ﺍﺷﺘﺮﺍﻙ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﻳﻚ ﺭﺍﻩ ﺣﻞ‪ ،‬ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪ Diffie-Hellman‬ﺍﺳﺖ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﺍﺯ ﺍﻳﻦ ﺭﻭﺵ ﺍﺳﺘﻔﺎﺩﺓ ﺯﻳﺎﺩﻱ ﻣﻲﺷﻮﺩ‪ .‬ﻭﻟﻲ ﺩﺭ ﺍﻳﻦ ﺭﻭﺵ ﻳﻚ‬
‫ﻧﻘﻄﺔ ﺿﻌﻒ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻭ ﺁﻥ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺳﺎﺩﻩﺗﺮﻳﻦ ﺣﺎﻟﺖ ﺧﻮﺩ ‪ Diffie-Hellman‬ﻫﻴﭻ ﻧﻮﻉ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺮﺍﻱ ﺩﻭ ﻃﺮﻑ‬
‫ﺍﺭﺗﺒﺎﻁ ﺍﻳﺠﺎﺩ ﻧﻤﻲﻛﻨﺪ‪.‬‬
‫ﺭﺍﻩ ﺣﻞ ﻗﻮﻱ ﺩﻳﮕﺮ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﺳﺖ‪ .‬ﻭﻗﺘﻲ ‪ Bob‬ﻣﻲﺧﻮﺍﻫﺪ ﺗﺎ ﺑﺎ ‪ Alice‬ﺍﺭﺗﺒﺎﻁ ﺑﺮﻗﺮﺍﺭ ﻛﻨﺪ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﭼﻨﻴﻦ ﻛﻨﺪ‪:‬‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪١٠٢‬‬
‫‪ -۱‬ﭘﻴﺎﻣﻲ ﺭﺍ ﺁﻣﺎﺩﻩ ﻧﻤﺎﻳﺪ‪.‬‬

‫‪ -۲‬ﺁﻥ ﭘﻴﺎﻡ ﺭﺍ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻳﻜﺒﺎﺭﻣﺼﺮﻑ ﺑﺼﻮﺭﺕ ﻣﺘﻘﺎﺭﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۳‬ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ Alice‬ﻭ ﺍﺯ ﻃﺮﻳﻖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﻪ ﺭﻣﺰ ﺩﺭﺁﻭﺭﺩ‪.‬‬
‫‪ -۴‬ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﻣﺰﺷﺪﻩ ﺭﺍ ﺑﻪ ﭘﻴﺎﻡ ﻭﺻﻞ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺮﺍﻱ ‪ Alice‬ﺑﻔﺮﺳﺘﺪ‪.‬‬
‫ﺗﻨﻬﺎ ‪ Alice‬ﻗﺎﺩﺭ ﺑﻪ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﺳﺘﺨﺮﺍﺝ ﭘﻴﺎﻡ ﺍﻭﻟﻴﻪ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ‪ Bob‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ Alice‬ﺭﺍ ﺍﺯ‬
‫ﻃﺮﻳﻖ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ‪ Alice‬ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪ ،‬ﺁﻧﮕﺎﻩ ‪ Bob‬ﻣﻄﻤﺌﻦ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ ﺁﻥ ﻛﻠﻴﺪ‪ ،‬ﻳﻚ ﻛﻠﻴﺪ ﻣﻌﺘﺒﺮ ﺍﺳﺖ‪.‬‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۳-۷‬‬
‫ﺑﺮﺭﺳﻲ ﻛﺎﻣﻞ ﺗﻮﺍﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﻭ ﻛﹸﺪﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺩﺭ ]‪ [STIN06‬ﻭ ]‪ [MENE97‬ﭘﻴﺪﺍ ﻛﺮﺩ‪.‬‬
‫ﺁﻧﭽﻪ ﻛﻪ ﺑﻌﻨﻮﺍﻥ ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ ﺩﺭ ﻓﺼﻞ ‪ ۲‬ﻣﻌﺮﻓﻲ ﮔﺮﺩﻳﺪ‪ ،‬ﻫﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ ﻭ ﻫﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺍ ﭘﻮﺷﺶ‬
‫ﻣﻲﺩﻫﻨﺪ‪ [DIFF88] .‬ﺑﺼﻮﺭﺕ ﻣﻔﺼﹼﻞ ﭼﻨﺪﻳﻦ ﺗﻼﺵ ﺍﻧﺠﺎﻡ ﺷﺪﻩ ﺑﺮﺍﻱ ﺑﻜﺎﺭﮔﻴﺮﻱ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻭ‪ -‬ﻛﻠﻴﺪﻱ ﻭ ﺗﻜﺎﻣﻞ ﺗﺪﺭﻳﺠﻲ‬
‫ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﺁﻧﻬﺎ ﺭﺍ ﺑﺮﺭﺳﻲ ﻛﺮﺩﻩ ﺍﺳﺖ‪ [CORM01] .‬ﺧﻼﺻﺔ ﺧﻮﺍﻧﺪﻧﻲ ﻭ ﻣﻔﻴﺪﻱ ﺍﺯ ﺗﻤﺎﻡ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺗﺄﺋﻴﺪ‪،‬‬
‫ﻣﺤﺎﺳﺒﻪ ﻭ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ‪ RSA‬ﺭﺍ ﻓﺮﺍﻫﻢ ﻧﻤﻮﺩﻩ ﺍﺳﺖ‪.‬‬
‫‪CORM01 Cormen, T.;Leiserson, C.; Rivest, R.; and Stein, C. Introduction to Algorithms.‬‬
‫‪Cambridge, MA: MIT Press, 2001.‬‬
‫‪DIFF88‬‬ ‫‪Diffie, W. “The First Ten Years of Public- Key Cryptography.” Proceedings of the‬‬
‫‪IEEE, May 1988. Reprinted in [SIMM92].‬‬
‫‪MENE97 Menezes, A.; Oorshcot, P.; and Vanstone, S. Handbook of Applied Cryptography. Boca‬‬
‫‪Raton, FL: CRC Press, 1997.‬‬
‫‪SIMM92 Simmons, G., ed. Contemporary Cryptology: The Science of Information Integrity.‬‬
‫‪Piscataway, NJ: IEEE Press, 1992.‬‬
‫‪STIN06‬‬ ‫‪Stinson, D. Cryptography: Theory and Practice. Boca Raton, FL: CRC Press, 2006.‬‬
‫‪ :NIST Secure Hashing Page‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ‪ SHA FIPS‬ﻭ ﺍﺳﻨﺎﺩ ﻣﺮﺗﺒﻂ‪.‬‬ ‫•‬

‫‪ :Whirlpool‬ﺍﻃﻼﻋﺎﺕ ﺯﻳﺎﺩﻱ ﺩﺭ ﻣﻮﺭﺩ ‪.Whirlpool‬‬ ‫•‬
‫‪ :RSA Laboratories‬ﻣﺠﻤﻮﻋﺔ ﻣﻔﺼﻠﻲ ﺍﺯ ﻣﻄﺎﻟﺐ ﻓﻨﻲ ﺩﺭ ﻣﻮﺭﺩ ‪ RSA‬ﻭ ﺳﺎﻳﺮ ﻋﻨﺎﻭﻳﻦ ﺭﻣﺰﻧﮕﺎﺭﻱ‪.‬‬ ‫•‬
‫‪١٠٣‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۳-۸‬‬
‫‪Diffie-Hellman key exchange‬‬ ‫ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪DH‬‬ ‫‪private key‬‬ ‫ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ‬
‫‪digital signature‬‬ ‫ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ‬ ‫‪public key‬‬ ‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ )‪Digital Signature Standard(DSS‬‬ ‫‪public-key certificate‬‬ ‫ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫)‪elliptic-curve cryptography(ECC‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺧﹶﻢ ﺑﻴﻀﻮﻱ‬ ‫‪public-key encryption‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫‪HMAC‬‬ ‫ﻧﻮﻋﻲ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺭﻫﻢﺳﺎﺯﻱ‬ ‫‪RIPEMD-160‬‬ ‫ﻧﻮﻋﻲ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺭﻫﻢﺳﺎﺯﻱ‬
‫‪key exchange‬‬ ‫ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‬ ‫‪RSA‬‬ ‫ﻣﺸﻬﻮﺭﺗﺮﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫‪MD5‬‬ ‫ﻧﻮﻋﻲ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺭﻫﻢﺳﺎﺯﻱ‬ ‫‪secret key‬‬ ‫ﻛﻠﻴﺪ ﺳﺮّﻱ‬
‫‪message authentication‬‬ ‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬ ‫‪secure hash function‬‬ ‫ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﹶﻣﻦ‬
‫ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ )‪message authentication code (MAC‬‬ ‫‪SHA-1‬‬ ‫ﻧﻮﻋﻲ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺭﻫﻢﺳﺎﺯﻱ‬
‫‪message digest‬‬ ‫ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ‬ ‫ﻣﻘﺎﻭﻣﺖ ﻗﻮﻱ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﺼﺎﺩﻡ ‪strong collision resistance‬‬
‫‪one-way hash function‬‬ ‫ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﻳﻚ‪ -‬ﻃﺮﻓﻪ‬ ‫ﻣﻘﺎﻭﻣﺖ ﺿﻌﻴﻒ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﺼﺎﺩﻡ ‪weak collision resistance‬‬

‫ﺳﻪ ﺭﻭﺵ ﺑﺮﺧﻮﺭﺩ ﺑﺎ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺭﺍ ﻧﺎﻡ ﺑﺒﺮﻳﺪ‪.‬‬ ‫‪۳-۱‬‬
‫ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﭼﻴﺴﺖ؟‬ ‫‪۳-۲‬‬
‫ﺳﻪ ﺭﻭﺷﻲ ﻛﻪ ﺩﺭ ﺷﻜﻞ ‪ ۳-۲‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ﺭﺍ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﺗﺸﺮﻳﺢ ﻛﻨﻴﺪ‪.‬‬ ‫‪۳-۳‬‬
‫ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﭼﻪ ﺧﻮﺍﺻﻲ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﻣﻔﻴﺪ ﺑﺎﺷﺪ؟‬ ‫‪۳-۴‬‬
‫ﺩﺭ ﻣﻘﻮﻟﺔ ﻳﻚ ﺗﺎﺑﻊ ‪ ،hash‬ﻳﻚ ﺗﺎﺑﻊ ﻓﺸﺮﺩﻩﺳﺎﺯ ﭼﻴﺴﺖ؟‬ ‫‪۳-۵‬‬
‫ﺍﺟﺰﺍﺀ ﺍﺻﻠﻲ ﻳﻚ ﺳﻴﺴﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻛﺪﺍﻣﻨﺪ؟‬ ‫‪۳-۶‬‬
‫ﺳﻪ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺳﻴﺴﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺍ ﻧﺎﻡ ﺑﺮﺩﻩ ﻭ ﺗﻮﺿﻴﺢ ﺩﻫﻴﺪ‪.‬‬ ‫‪۳-۷‬‬
‫ﺍﺧﺘﻼﻑ ﺑﻴﻦ ﻳﻚ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺩﺭ ﭼﻴﺴﺖ؟‬ ‫‪۳-۸‬‬
‫ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﭼﻴﺴﺖ؟‬ ‫‪۳-۹‬‬
‫ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﭼﻴﺴﺖ؟‬ ‫‪۳-۱۰‬‬
‫ﭼﮕﻮﻧﻪ ﻣﻲﺗﻮﺍﻥ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﺮﺍﻱ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ؟‬ ‫‪۳-۱۱‬‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪١٠٤‬‬
‫ﻳﻜﻲ ﺍﺯ ﭘﺮﺍﺳﺘﻔﺎﺩﻩﺗﺮﻳﻦ ‪MAC‬ﻫﺎ ﻛﻪ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﻳﺘﺎ )‪ (Data Authentication Algorithm‬ﺧﻮﺍﻧـﺪﻩ ﻣـﻲﺷـﻮﺩ‬ ‫‪۳-۱‬‬
‫ﻣﺒﺘﻨﻲ ﺑﺮ ‪ DES‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻫـﻢ ﺍﺯ ﺍﻧﺘـﺸﺎﺭﺍﺕ ‪ FIPS‬ﺑـﻮﺩﻩ )‪ ،(FIPS PUB 113‬ﻭ ﻫـﻢ ﺍﺳـﺘﺎﻧﺪﺍﺭﺩ ‪ ANSI‬ﺍﺳـﺖ‬
‫)‪ .(X9.17‬ﻣﻲﺗﻮﺍﻥ ﭼﻨﻴﻦ ﺗﻌﺮﻳﻒ ﻛﺮﺩ ﻛﻪ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﺯ ﻣُﻮﺩ ﻋﻤﻠﻴﺎﺗﻲ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺭﻣﺰ ﻗﺎﻟﺒﻲ)‪ (CBC‬ﺑﺎ ﺑﺮﺩﺍﺭ ﺍﻭﻟﻴﺔ ﺻﻔﺮ ﺍﺳـﺘﻔﺎﺩﻩ‬
‫ﻣﻲﻛﻨﺪ )ﺷﻜﻞ ‪ .(۲-۹‬ﺩﻳﺘﺎﺋﻲ ﻛﻪ ﻗﺮﺍﺭ ﺍﺳﺖ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﮔﺮﺩﺩ )ﻣﺜﻞ ﭘﻴﺎﻡ‪ ،‬ﺭﻛﻮﺭﺩ‪ ،‬ﻓﺎﻳﻞ ﻳﺎ ﺑﺮﻧﺎﻣﻪ( ﺑـﻪ ﺑﻠـﻮﻙﻫـﺎﻱ ‪ -۶۴‬ﺑﻴﺘـﻲ‬
‫ﻣﺠﺎﻭﺭ ﻫﻢ ‪ ،P2 ،P1‬ﻭ‪ PN۰۰۰‬ﺗﻘﺴﻴﻢ ﻣﻲﺷﻮﺩ‪ .‬ﺍﮔﺮ ﻻﺯﻡ ﺑﺎﺷﺪ ﺑﻠﻮﻙ ﻧﻬﺎﺋﻲ ﺑﺎ ﺻﻔﺮﻫﺎﺋﻲ ﺩﺭ ﺳﻤﺖ ﺭﺍﺳﺖ ﭘﺮ ﺷﺪﻩ ﺗﺎ ‪ ۶۴‬ﺑﻴـﺖ‬
‫ﺁﻥ ﻛﺎﻣﻞ ﺷﻮﺩ‪ MAC .‬ﻳﺎ ﺷﺎﻣﻞ ﺑﻠﻮﻙ ﺭﻣﺰﺷﺪﺓ ﻛﺎﻣﻞ ‪ CN‬ﻭ ﻳﺎ ‪ M‬ﺑﻴﺖ ﺳﻤﺖ ﭼﭙـﻲ ﺑﻠـﻮﻙ ﺍﺳـﺖ )‪ .(۱۶≤ M ≤۶۴‬ﻧـﺸﺎﻥ‬
‫ﺩﻫﻴﺪ ﻛﻪ ﻫﻤﻴﻦ ﻧﺘﻴﺠﻪ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣُﻮﺩ ﻓﻴﺪﺑﻚ ﺭﻣﺰ )‪ (CFB‬ﻧﻴﺰ ﺑﻪ ﺩﺳﺖ ﺁﻭﺭﺩ‪.‬‬
‫ﻳﻚ ﺗﺎﺑﻊ ‪ -۳۲‬ﺑﻴﺘﻲ ‪ hash‬ﺭﺍ ﺑﺼﻮﺭﺕ ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ ﺩﻭ ﺗﺎﺑﻊ ‪ -۱۶‬ﺑﻴﺘﻲ ‪ XOR‬ﻭ ‪ RXOR‬ﻛﻪ ﺩﺭ ﺑﺨﺶ ‪ ۳-۲‬ﺑﻌﻨﻮﺍﻥ » ﺩﻭ‬ ‫‪۳-۲‬‬
‫ﺗﺎﺑﻊ ﺳﺎﺩﺓ ‪ « hash‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﺁﻳﺎ ﺍﻳﻦ ﺟﻤﻊ ﻛﻨﺘﺮﻟﻲ)‪ ،(checksum‬ﺗﻤﺎﻡ ﺧﻄﺎﻫﺎﺋﻲ ﻛﻪ ﺑﻌﻠﺖ ﺗﻐﻴﻴﺮ ﺗﻌﺪﺍﺩ ﻓﺮﺩﻱ ﺍﺯ ﺑﻴﺖﻫﺎ ﺣﺎﺻﻞ ﻣﻲﺷﻮﺩ ﺭﺍ ﺗﺸﺨﻴﺺ‬
‫ﻣﻲﺩﻫﺪ؟ ﺗﻮﺿﻴﺢ ﺩﻫﻴﺪ‪.‬‬
‫ﺏ‪ -‬ﺁﻳﺎ ﺍﻳﻦ ﺟﻤﻊ ﻛﻨﺘﺮﻟﻲ‪ ،‬ﺗﻤﺎﻡ ﺧﻄﺎﻫﺎﺋﻲ ﻛﻪ ﺑﻌﻠﺖ ﺗﻐﻴﻴﺮ ﺗﻌﺪﺍﺩ ﺯﻭﺟﻲ ﺍﺯ ﺑﻴﺖﻫﺎ ﺣﺎﺻﻞ ﻣﻲﺷﻮﺩ ﺭﺍ ﺗﺸﺨﻴﺺ ﻣﻲﺩﻫﺪ؟ ﺍﮔﺮ‬
‫ﺍﻳﻨﻄﻮﺭ ﻧﻴﺴﺖ‪ ،‬ﺍﻟﮕﻮﻱ ﺧﻄﺎﻫﺎﺋﻲ ﻛﻪ ﺑﺎﻋﺚ ﺷﻜﺴﺖ ﺍﻳﻦ ﺟﻤﻊ ﻛﻨﺘﺮﻟﻲ ﻣﻲﺷﻮﺩ ﺭﺍ ﻣﺸﺨﺺ ﻛﻨﻴﺪ‪.‬‬
‫ﺝ‪ -‬ﻧﺴﺒﺖ ﺑﻪ ﻣﺆﺛﺮﺑﻮﺩﻥ ﺍﻳﻦ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺗﺎﺑﻊ ‪ hash‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻧﻈﺮ ﺩﻫﻴﺪ‪.‬‬
‫ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ )‪ H(m‬ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﻣﻘﺎﻭﻡ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﺼﺎﺩﻡ ﺑﻮﺩﻩ ﻛﻪ ﻳﻚ ﭘﻴﺎﻡ ﺑﺎ ﻃﻮﻝ ﻫﺮﭼﻨﺪ ﺑﻴﺖ ﺭﺍ ﺑﻪ ﺑﻪ ﻳﻚ ﺍﻧﺪﺍﺯﺓ‬ ‫‪۳-۳‬‬
‫‪ hash‬ﺑﺎ ﻃﻮﻝ ‪ -n‬ﺑﻴﺖ ﻧﮕﺎﺷﺖ ﻣﻲﻛﻨﺪ‪.‬ﺁﻳﺎ ﺍﻳﻦ ﺩﺭﺳﺖ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﺗﻤﺎﻡ ﭘﻴﺎﻡﻫﺎﻱ ‪ x‬ﻭ '‪ x‬ﻛﻪ '‪ x ≠ x‬ﺍﺳﺖ‪،‬‬
‫)'‪ H(x) ≠ H(x‬ﺍﺳﺖ؟ ﭘﺎﺳﺦ ﺧﻮﺩ ﺭﺍ ﺗﺸﺮﻳﺢ ﻛﻨﻴﺪ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺯﻳﺮ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪ .‬ﭘﻴﺎﻡﻫﺎ ﺑﺼﻮﺭﺕ ﺭﺩﻳﻔﻲ ﺍﺯ ﺍﻋﺪﺍﺩ ﺩﻫﺪﻫﻲ ﻫﺴﺘﻨﺪ‪ .M = (a1,a2,…,at) ،‬ﺍﻧﺪﺍﺯﺓ‬ ‫‪۳-۴‬‬
‫⎛‬ ‫‪t‬‬
‫⎞‬
‫⎜ ﺑﺮﺍﻱ ﻳﻚ ﻣﻘﺪﺍﺭ ‪ n‬ﻛﻪ ﺍﺯ ﻗﺒﻞ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ ﻣﺤﺎﺳﺒﻪ ﻣﻲﺷﻮﺩ‪ .‬ﺁﻳﺎ ﺍﻳﻦ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ‬
‫⎝‬
‫‪ hash‬ﺑﺼﻮﺭﺕ ‪∑ a ⎟⎠ mod n‬‬
‫‪i =1‬‬
‫‪i‬‬
‫ﻫﻴﭽﻴﻚ ﺍﺯ ﻻﺯﻣﻪﻫﺎﻱ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﻛﻪ ﺩﺭ ﺑﺨﺶ ‪ ۳-۲‬ﻟﻴﺴﺖ ﺷﺪﻩ ﺍﺳﺖ ﺭﺍ ﺍﺭﺿﺎﺀ ﻣﻲﻛﻨﺪ؟ ﭘﺎﺳﺦ ﺧﻮﺩ ﺭﺍ ﺗﻮﺿﻴﺢ ﺩﻫﻴﺪ‪.‬‬
‫⎛‬ ‫‪t‬‬
‫⎞‬
‫⎜ = ‪ h‬ﺗﻜﺮﺍﺭ ﻛﻨﻴﺪ‪.‬‬
‫⎝‬
‫) ‪∑ (a‬‬
‫‪i =1‬‬
‫‪i‬‬
‫‪2‬‬
‫ﺏ‪ -‬ﻗﺴﻤﺖ )ﺍﻟﻒ( ﺭﺍ ﺑﺮﺍﻱ ﺗﺎﺑﻊ ‪⎟ mod n‬‬
‫⎠‬
‫ﺝ‪ -‬ﺗﺎﺑﻊ ‪ hash‬ﻗﺴﻤﺖ )ﺏ( ﺭﺍ ﺑﺮﺍﻱ )‪ M = (189,632,900,722,349‬ﻭ ‪ n = 989‬ﻣﺤﺎﺳﺒﻪ ﻛﻨﻴﺪ‪.‬‬
‫ﺍﻳﻦ ﻣﺴﺄﻟﻪ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺷﺒﻴﻪ ﺑﻪ ‪ SHA‬ﺭﺍ ﻣﻌﺮﻓﻲ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﺠﺎﻱ ﻋﻤﻞ ﺭﻭﻱ ﺩﻳﺘﺎﻱ ﺑﺎﻳﻨﺮﻱ ﺑﺮ ﺭﻭﻱ ﺣﺮﻭﻑ ﻋﻤﻞ‬ ‫‪۳-۵‬‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺗﺎﺑﻊ ﺑﻨﺎﻡ )‪ toy tetragraph hash (tth‬ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺍﮔﺮ ﭘﻴﺎﻣﻲ ﻛﻪ ﺷﺎﻣﻞ ﺭﺩﻳﻔﻲ ﺍﺯ ﺣﺮﻭﻑ ﺍﺳﺖ ﺭﺍ ﺩﺍﺷﺘﻪ‬
‫ﺑﺎﺷﻴﻢ‪ tth ،‬ﻳﻚ ﺍﻧﺪﺍﺯﺓ ‪ hash‬ﻛﻪ ﺷﺎﻣﻞ ‪ ۴‬ﺣﺮﻑ ﺍﺳﺖ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﺍﺑﺘﺪﺍ ‪ tth‬ﭘﻴﺎﻡ ﺭﺍ ﺑﺎ ﺻﺮﻓﻨﻈﺮﻛﺮﺩﻥ ﺟﺎﻫﺎﻱ ﺧﺎﻟﻲ‬
‫ﺑﻴﻦ ﻛﻠﻤﺎﺕ‪ ،‬ﻋﻼﺋﻢ ﻭ ﺣﺮﻭﻑ ﺑﺰﺭﮒ‪ ،‬ﺑﺼﻮﺭﺕ ﺑﻠﻮﻙﻫﺎﻱ ‪ -۱۶‬ﺣﺮﻓﻲ ﺩﺭﻣﻲﺁﻭﺭﺩ‪ .‬ﺍﮔﺮ ﻃﻮﻝ ﭘﻴﺎﻡ ﺑﺮ ‪ ۱۶‬ﻗﺎﺑﻞ ﻗﺴﻤﺖ ﻧﺒﺎﺷﺪ‪ ،‬ﻻﺋﻲ‬
‫‪ null‬ﺑﻪ ﺍﻧﺪﺍﺯﺓ ﻻﺯﻡ ﺑﻪ ﺍﻧﺘﻬﺎﻱ ﺁﻥ ﺍﺿﺎﻓﻪ ﻣﻲﺷﻮﺩ‪ .‬ﻳﻚ ﺩﻧﺒﺎﻟﻪ ﭼﻬﺎﺭﺗﺎﺋﻲ ﻋﺪﺩﻱ ﻛﻪ ﺑﺎ ﺍﻧﺪﺍﺯﺓ )‪ (0,0,0,0‬ﺁﻏﺎﺯ ﻣﻲﺷﻮﺩ ﭘﻴﻮﺳﺘﻪ‬
‫ﻧﮕﻬﺪﺍﺭﻱ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﻳﻦ ﺩﻧﺒﺎﻟﻪ ﺑﺮﺍﻱ ﭘﺮﺩﺍﺯﺵ ﺍﻭﻟﻴﻦ ﺑﻠﻮﻙ‪ ،‬ﺩﺭ ﻭﺭﻭﺩﻱ ﻳﻚ ﺗﺎﺑﻊ ﻓﺸﺮﺩﻩﺳﺎﺯ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺗﺎﺑﻊ ﻓﺸﺮﺩﻩﺳﺎﺯ ﺷﺎﻣﻞ‬
‫ﺩﻭ ﻣﺮﺣﻠﻪ ﺍﺳﺖ‪ .‬ﻣﺮﺣﻠﺔ ‪ : ۱‬ﺑﻠﻮﻙ ﺑﻌﺪﻱ ﻣﺘﻦ ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﺁﻥ ﺭﺍ ﺑﺼﻮﺭﺕ ﻳﻚ ﺑﻠﻮﻙ ‪ ۴ * ۴‬ﺭﺩﻳﻔﻲ ﺩﺭﺁﻭﺭﺩﻩ ﻭ ﺑﻪ ﻋﺪﺩ ﺗﺒﺪﻳﻞ‬
‫ﻛﻨﻴﺪ ) ‪ B = 1, A = 0‬ﻭ ﻏﻴﺮﻩ (‪ .‬ﻣﺜﻼﹰ ﺑﺮﺍﻱ ﺑﻠﻮﻙ ‪ ABCDEFGHIJKLMNOP‬ﺧﻮﺍﻫﻴﻢ ﺩﺍﺷﺖ‪:‬‬
‫‪١٠٥‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫‪A‬‬ ‫‪B‬‬ ‫‪C‬‬ ‫‪D‬‬ ‫‪0‬‬ ‫‪1‬‬ ‫‪2‬‬ ‫‪3‬‬

‫‪E‬‬ ‫‪F‬‬ ‫‪G‬‬ ‫‪H‬‬ ‫‪4‬‬ ‫‪5‬‬ ‫‪6‬‬ ‫‪7‬‬
‫‪I‬‬ ‫‪J‬‬ ‫‪K‬‬ ‫‪L‬‬ ‫‪8‬‬ ‫‪9‬‬ ‫‪10‬‬ ‫‪11‬‬
‫‪M‬‬ ‫‪N‬‬ ‫‪O‬‬ ‫‪P‬‬ ‫‪12‬‬ ‫‪13‬‬ ‫‪14‬‬ ‫‪15‬‬
‫ﺁﻧﮕﺎﻩ ﻫﺮ ﺳﺘﻮﻥ ﺭﺍ ﺑﺼﻮﺭﺕ ‪ mod 26‬ﺟﻤﻊ ﻛﺮﺩﻩ ﻭ ﻧﺘﻴﺠﻪ ﺭﺍ ﺑﺎ ﺩﻧﺒﺎﻟﺔ ﻋﺪﺩﻱ ﭼﻬﺎﺭﺗﺎﺋﻲ ﺑﺎﺯ ﻫﻢ ﺑﺼﻮﺭﺕ ‪ mod 26‬ﺟﻤﻊ ﻛﻨﻴﺪ‪.‬‬
‫ﺩﺭ ﺍﻳﻦ ﻣﺜﺎﻝ ﺩﻧﺒﺎﻟﺔ ﭼﻬﺎﺭﺗﺎﺋﻲ ﺟﺪﻳﺪ ﺑﺪﺳﺖ ﺁﻣﺪﻩ ﺑﺮﺍﺑﺮ )‪ (24,2,6,10‬ﻣﻲﺷﻮﺩ‪ .‬ﻣﺮﺣﻠﺔ ‪ : ۲‬ﺍﺯ ﻣﺎﺗﺮﻳﺲ ﻣﺮﺣﻠﺔ ‪ ۱‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ‬
‫ﻭ ﺍﻭﻟﻴﻦ ﺭﺩﻳﻒ ﺭﺍ ‪ ۱‬ﺧﺎﻧﻪ ﺑﻪ ﭼﭗ‪ ،‬ﺩﻭﻣﻴﻦ ﺭﺩﻳﻒ ﺭﺍ ‪ ۲‬ﺧﺎﻧﻪ ﺑﻪ ﭼﭗ ‪ ،‬ﺳﻮﻣﻴﻦ ﺭﺩﻳﻒ ﺭﺍ ‪ ۳‬ﺧﺎﻧﻪ ﺑﻪ ﭼﭗ ﭼﺮﺧﺎﻧﺪﻩ ﻭ ﺗﺮﺗﻴﺐ‬
‫ﺭﺩﻳﻒ ﺁﺧﺮ ﺭﺍ ﻣﻌﻜﻮﺱ ﻛﻨﻴﺪ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ﻣﺜﺎﻝ ﻣﺎ‪:‬‬
‫‪B‬‬ ‫‪C‬‬ ‫‪D‬‬ ‫‪A‬‬ ‫‪1‬‬ ‫‪2‬‬ ‫‪3‬‬ ‫‪0‬‬

‫‪G‬‬ ‫‪H‬‬ ‫‪E‬‬ ‫‪F‬‬ ‫‪6‬‬ ‫‪7‬‬ ‫‪4‬‬ ‫‪5‬‬
‫‪L‬‬ ‫‪I‬‬ ‫‪J‬‬ ‫‪K‬‬ ‫‪11‬‬ ‫‪8‬‬ ‫‪9‬‬ ‫‪10‬‬
‫‪P‬‬ ‫‪O‬‬ ‫‪N‬‬ ‫‪M‬‬ ‫‪15‬‬ ‫‪14‬‬ ‫‪13‬‬ ‫‪12‬‬
‫ﺣﺎﻝ‪ ،‬ﻫﺮ ﺳﺘﻮﻥ ﺭﺍ ﺑﺼﻮﺭﺕ ‪ mod 26‬ﺟﻤﻊ ﻛﺮﺩﻩ ﻭ ﻧﺘﻴﺠﻪ ﺭﺍ ﻧﻴﺰ ﺑﻬﻤﻴﻦ ﺻﻮﺭﺕ ﺑﻪ ﺩﻧﺒﺎﻟﺔ ﭼﻬﺎﺭﺗﺎﺋﻲ ﻣﺮﺣﻠﺔ ﻗﺒﻞ ﺍﺿﺎﻓﻪ ﻛﻨﻴﺪ‪.‬‬
‫ﺩﻧﺒﺎﻟﺔ ﭼﻬﺎﺭﺗﺎﺋﻲ ﺟﺪﻳﺪ )‪ (5,7,9,11‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺩﻧﺒﺎﻟﻪ ﺣﺎﻻ ﺑﺮﺍﻱ ﭘﺮﺩﺍﺯﺵ ﺑﻠﻮﻙ ﺑﻌﺪﻱ ﻣﺘﻦ ﺩﺭ ﻭﺭﻭﺩﻱ ﺗﺎﺑﻊ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ‬
‫ﻣﺮﺣﻠﺔ ‪ ۱‬ﻗﺮﺍﺭ ﺧﻮﺍﻫﺪ ﮔﺮﻓﺖ‪ .‬ﭘﺲ ﺍﺯ ﺍﻳﻨﻜﻪ ﺁﺧﺮﻳﻦ ﺑﻠﻮﻙ ﭘﻴﺎﻡ ﭘﺮﺩﺍﺯﺵ ﮔﺮﺩﻳﺪ‪ ،‬ﺩﻧﺒﺎﻟﺔ ﭼﻬﺎﺭﺗﺎﺋﻲ ﻧﻬﺎﺋﻲ ﺭﺍ ﺑﻪ ﺣﺮﻭﻑ ﺗﺒﺪﻳﻞ‬
‫ﻛﻨﻴﺪ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ ﺍﮔﺮ ﭘﻴﺎﻡ ‪ ABCDEFGHIJKLMNOP‬ﺑﻮﺩﻩ ﺍﺳﺖ‪ ،‬ﺍﻧﺪﺍﺯﺓ ‪ hash‬ﻣﻘﺪﺍﺭ ‪ FHJL‬ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﺷﻜﻞﻫﺎﺋﻲ ﻗﺎﺑﻞ ﻣﻘﺎﻳﺴﻪ ﺑﺎ ﺷﻜﻞﻫﺎﻱ ‪ ۳-۴‬ﻭ ‪ ۳-۵‬ﺭﺳﻢ ﻛﻨﻴﺪ ﺗﺎ ﻣﻨﻄﻖ ﻛﻠﻲ ‪ tth‬ﻭ ﻣﻨﻄﻖ ﺗﺎﺑﻊ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺭﺍ ﻧﺸﺎﻥ‬
‫ﺩﻫﺪ‪.‬‬
‫ﺏ‪ -‬ﺗﺎﺑﻊ ‪ hash‬ﭘﻴﺎﻡ ‪ -۴۸‬ﺣﺮﻓﻲ "‪ "I leave twenty million dollars to my friendly cousin Bill‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ‬
‫ﻛﻨﻴﺪ‪.‬‬
‫ﺝ‪ -‬ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﺿﻌﻒ ‪ tth‬ﺁﺷﻜﺎﺭ ﺷﻮﺩ‪ ،‬ﻳﻚ ﺑﻠﻮﻙ ‪ -۴۸‬ﺣﺮﻓﻲ ﺩﻳﮕﺮ ﻛﻪ ﻫﻤﺎﻥ ﺍﻧﺪﺍﺯﺓ ‪ hash‬ﻗﺴﻤﺖ )ﺏ( ﺭﺍ ﺍﻳﺠﺎﺩ ﻛﻨﺪ ﭘﻴﺪﺍ‬
‫ﻛﻨﻴﺪ‪ .‬ﺭﺍﻫﻨﻤﺎﺋﻲ‪ :‬ﺍﺯ ﺣﺮﻑ ‪ A‬ﺯﻳﺎﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﻴﺪ‪.‬‬
‫ﺍﻳﻦ ﺍﻣﻜﺎﻥ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﺍﺯ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺑﺮﺍﻱ ﺳﺎﺧﺖ ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺑﺎ ﺳﺎﺧﺘﺎﺭﻱ ﻣﺸﺎﺑﻪ ‪ DES‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ‪ .‬ﺑﺎ ﺗﻮﺟﻪ‬ ‫‪۳-۶‬‬
‫ﺑﻪ ﺍﻳﻦﻛﻪ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ‪ ،‬ﻳﻚ‪ -‬ﻃﺮﻓﻪ ﺑﻮﺩﻩ ﻭﻟﻲ ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺑﺎﻳﺴﺘﻲ ﺑﺮﮔﺸﺖﭘﺬﻳﺮ ﺑﺎﺷﺪ )ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ(‪ ،‬ﭼﮕﻮﻧﻪ ﺍﻳﻦ‬
‫ﺍﻣﺮ ﻣﻤﻜﻦ ﺍﺳﺖ؟‬
‫ﻗﺒﻞ ﺍﺯ ﻛﺸﻒ ﺭﻭﺵﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‪ ،‬ﻣﺜﻞ ‪ ،RSA‬ﺍﺛﺒﺎﺕ ﺷﺪﻩ ﺑﻮﺩ ﻛﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺩﺭ ﺗﺌﻮﺭﻱ‬ ‫‪۳-۷‬‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺗﻮﺍﺑﻊ ‪ f2(x2,y2) = z2 ،f1(x1) = z1‬ﻭ ‪ f3(x3,y3) = z3‬ﻛﻪ ﺩﺭ ﺁﻧﻬﺎ ﺗﻤﺎﻡ ﻣﻘﺎﺩﻳﺮ ﺍﻋﺪﺍﺩ‬
‫ﺻﺤﻴﺢ ﻭ ‪ 1 ≤ xi, yi, zi ≤ N‬ﻣﻲﺑﺎﺷﻨﺪ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪ .‬ﺗﺎﺑﻊ ‪ f1‬ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﺑﺮﺩﺍﺭ ‪ M1‬ﺑﺎ ﻃﻮﻝ ‪ N‬ﻛﻪ ﺩﺭﺁﻥ ‪ k‬ﺍﻣﻴﻦ‬
‫ﻋﻨﺼﺮ ﺍﻧﺪﺍﺯﺓ )‪ f1(k‬ﺍﺳﺖ‪ ،‬ﻧﺸﺎﻥ ﺩﺍﺩ‪ .‬ﺑﻄﺮﻳﻖ ﻣﺸﺎﺑﻪ‪ f2 ،‬ﻭ ‪ f3‬ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﻣﺎﺗﺮﻳﺲﻫﺎﻱ ‪ M2‬ﻭ ‪ M3‬ﻛﻪ ﻣﺎﺗﺮﻳﺲﻫﺎﻱ ‪N×N‬‬
‫ﻫﺴﺘﻨﺪ‪ ،‬ﻧﻤﺎﻳﺶ ﺩﺍﺩ‪ .‬ﻫﺪﻑ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻋﻤﻞ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ /‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺭﺍ ﺑﺎ ﻣﺮﺍﺟﻌﻪ ﺑﻪ ﺟﺪﺍﻭﻟﻲ ﻛﻪ ﺍﻳﻦ ﺟﺪﺍﻭﻝ ﺩﺍﺭﺍﻱ ﺍﻧﺪﺍﺯﺓ‬
‫ﺑﺴﻴﺎﺭ ﺑﺰﺭﮒ ‪ N‬ﻫﺴﺘﻨﺪ ﻧﺸﺎﻥ ﺩﺍﺩ‪ .‬ﺍﻳﻦ ﺟﺪﺍﻭﻝ ﺑﻄﻮﺭ ﻏﻴﺮﻋﻤﻠﻲ ﺑﺴﻴﺎﺭ ﺑﺰﺭﮒ ﺑﻮﺩﻩ ﻭﻟﻲ ﺍﺯ ﻧﻈﺮ ﺗﺌﻮﺭﻱ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺳﺎﺧﺘﻪ ﺷﻮﻧﺪ‪.‬‬
‫ﺭﻭﺵ ﭼﻨﻴﻦ ﺍﺳﺖ‪ M1 :‬ﺭﺍ ﺑﺎ ﺟﺎﻳﮕﺸﺖ ﺗﺼﺎﺩﻓﻲ ﺗﻤﺎﻡ ﺍﻋﺪﺍﺩ ﺻﺤﻴﺢ ﺑﻴﻦ ‪ 1‬ﻭ ‪ N‬ﺑﺴﺎﺯﻳﺪ‪ .‬ﻳﻌﻨﻲ ﻫﺮ ﻋﺪﺩ ﺻﺤﻴﺢ ﻓﻘﻂ ﺗﻨﻬﺎ ﻳﻜﺒﺎﺭ‬
‫ﺩﺭ ‪ M1‬ﻭﺍﺭﺩ ﺷﻮﺩ‪ M2 .‬ﺭﺍ ﭼﻨﺎﻥ ﺑﺴﺎﺯﻳﺪ ﻛﻪ ﻫﺮ ﺭﺩﻳﻒ ﺷﺎﻣﻞ ﺟﺎﻳﮕﺸﺖ ﺗﺼﺎﺩﻓﻲ ‪ N‬ﻋﺪﺩ ﺻﺤﻴﺢ ﻗﺒﻠﻲ ﺑﺎﺷﺪ‪ .‬ﺑﺎﻻﺧﺮﻩ ‪ M3‬ﺭﺍ‬
‫ﭼﻨﺎﻥ ﺑﺴﺎﺯﻳﺪ ﻛﻪ ﺷﺮﻁ ﺯﻳﺮ ﺭﺍ ﺍﺭﺿﺎﺀ ﻛﻨﺪ‪:‬‬
‫ﻓﺼﻞ ﺳﻮﻡ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪١٠٦‬‬
‫‪f3(f2(f1(k),p),k) = p‬‬ ‫ﺑﺮﺍﻱ ﺗﻤﺎﻡ ﻣﻘﺎﺩﻳﺮ ‪ k‬ﻭ ‪ p‬ﺑﺎ ‪ 1 ≤ k , p ≤ N‬ﺩﺍﺷﺘﻪ ﺑﺎﺷﻴﻢ‪:‬‬

‫ﻋﺒﺎﺭﺕ ﺑﺎﻻ ﺑﺎ ﻛﻠﻤﺎﺕ ﭼﻨﻴﻦ ﺑﻴﺎﻥ ﻣﻲﺷﻮﺩ‪:‬‬
‫‪ M1 -۱‬ﻳﻚ ﻭﺭﻭﺩﻱ ‪ k‬ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﺧﺮﻭﺟﻲ ‪ x‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ M2 -۲‬ﻭﺭﻭﺩﻱﻫﺎﻱ ‪ x‬ﻭ ‪ p‬ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﺧﺮﻭﺟﻲ ‪ z‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ M3 -۳‬ﻭﺭﻭﺩﻱﻫﺎﻱ ‪ z‬ﻭ ‪ k‬ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﺧﺮﻭﺟﻲ ‪ p‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻭﻗﺘﻲ ﺳﻪ ﺟﺪﻭﻝ ﺳﺎﺧﺘﻪ ﺷﺪﻧﺪ‪ ،‬ﺍﻧﺘﺸﺎﺭ ﻣﻲﻳﺎﺑﻨﺪ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﺑﺎﻳﺴﺘﻲ ﺭﻭﺷﻦ ﺑﺎﺷﺪ ﻛﻪ ﻣﻲﺗﻮﺍﻥ ‪ ،M3‬ﺑﻄﻮﺭﻱ ﻛﻪ ﺷﺮﺍﻳﻂ ﻗﺒﻞ ﺭﺍ ﺍﺭﺿﺎﺀ ﻛﻨﺪ‪ ،‬ﺗﺸﻜﻴﻞ ﺩﺍﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ‪ M3‬ﺭﺍ ﺩﺭ ﺣﺎﻟﺖ‬
‫ﺳﺎﺩﺓ ﺯﻳﺮ ﺑﺴﺎﺯﻳﺪ‪:‬‬
‫‪5‬‬ ‫‪5‬‬ ‫‪2‬‬ ‫‪3‬‬ ‫‪4‬‬ ‫‪1‬‬

‫‪4‬‬ ‫‪4‬‬ ‫‪2‬‬ ‫‪5‬‬ ‫‪1‬‬ ‫‪3‬‬
‫‪M1 = 2‬‬ ‫= ‪M2‬‬ ‫‪1‬‬ ‫‪3‬‬ ‫‪2‬‬ ‫‪4‬‬ ‫‪5‬‬ ‫= ‪M3‬‬
‫‪3‬‬ ‫‪3‬‬ ‫‪1‬‬ ‫‪4‬‬ ‫‪2‬‬ ‫‪5‬‬
‫‪1‬‬ ‫‪2‬‬ ‫‪5‬‬ ‫‪3‬‬ ‫‪4‬‬ ‫‪1‬‬
‫ﻗﺮﺍﺭﺩﺍﺩ‪ :‬ﻋﻨﺼﺮ ‪ i‬ﺍﻡ ‪ M1‬ﻣﺘﻨﺎﻇﺮ ﺑﺎ ‪ k = i‬ﺍﺳﺖ‪ .‬ﺭﺩﻳﻒ ‪ i‬ﺍﻡ ‪ M2‬ﻣﺘﻨﺎﻇﺮ ﺑﺎ ‪ x = i‬ﺍﺳﺖ ﻭ ﺳﺘﻮﻥ ‪ j‬ﺍﻡ ‪ M2‬ﻣﺘﻨﺎﻇﺮ ﺑﺎ‬
‫‪ p = j‬ﺍﺳﺖ‪ .‬ﺭﺩﻳﻒ ‪ i‬ﺍﻡ ‪ M3‬ﻣﺘﻨﺎﻇﺮ ﺑﺎ‪ z = i ,‬ﻭ ﺳﺘﻮﻥ ‪ j‬ﺍﻡ ‪ M3‬ﻣﺘﻨﺎﻇﺮ ﺑﺎ ‪ k = j‬ﺍﺳﺖ‪.‬‬
‫ﺏ‪ -‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻳﻦ ﻣﺠﻤﻮﻋﺔ ﺟﺪﺍﻭﻝ ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﻋﻤﻞ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﻴﻦ ﺩﻭ ﻛﺎﺭﺑﺮ ﺭﺍ ﺗﻮﺿﻴﺢ ﺩﻫﻴﺪ‪.‬‬
‫ﺝ‪ -‬ﺍﺳﺘﺪﻻﻝ ﻧﻤﺎﺋﻴﺪ ﻛﻪ ﺍﻳﻦ ﻳﻚ ﺭﻭﺵ ﺍﻣﻦ ﺍﺳﺖ‪.‬‬
‫ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ ،RSA‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺭﻣﺰﮔﺸﺎﺋﻲ‪ ،‬ﻫﻤﺎﻧﻨﺪ ﺷﻜﻞ ‪ ،۳-۹‬ﺑﺮﺍﻱ ﻣﻘﺎﺩﻳﺮ ﺯﻳﺮ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﻫﻴﺪ‪:‬‬ ‫‪۳-۸‬‬
‫;‪p = 3‬‬ ‫‪q = 11 , e = 7 ; M = 5‬‬ ‫ﺍﻟﻒ‪-‬‬
‫;‪p = 5‬‬ ‫‪q = 11 , e = 3 ; M = 9‬‬ ‫ﺏ‪-‬‬
‫;‪p = 7‬‬ ‫‪q = 11 , e = 17 ; M = 8‬‬ ‫ﺝ‪-‬‬
‫;‪p = 11‬‬ ‫‪q = 13 , e = 11 ; M = 7‬‬ ‫ﺩ‪-‬‬
‫;‪p = 17‬‬ ‫‪q = 31 , e = 7 ; M = 2‬‬ ‫ﻫـ‪-‬‬
‫ﺭﺍﻫﻨﻤﺎﺋﻲ‪ :‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺁﻧﭽﻨﺎﻥ ﻛﻪ ﺗﺼﻮﺭ ﻣﻲﺷﻮﺩ ﺳﺨﺖ ﻧﻴﺴﺖ‪.‬ﻛﻤﻲ ﺯﻳﺮﻛﻲ ﺑﻜﺎﺭ ﺑﺮﻳﺪ‪.‬‬
‫ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻛﻪ ﺍﺯ ‪ RSA‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ ،‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ‪ C = 10‬ﺭﺍ ﻛﻪ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﻱ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‬ ‫‪۳-۹‬‬
‫‪ n = 35‬ﻭ ‪ e = 5‬ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺍﺳﺖ ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ ﻣﻲﻛﻨﻴﺪ‪ .‬ﻣﺘﻦ ﺳﺎﺩﺓ ‪ M‬ﭼﻴﺴﺖ؟‬
‫ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ‪ ،RSA‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻳﻚ ﻛﺎﺭﺑﺮ ‪ n = 3599‬ﻭ ‪ e = 31‬ﺍﺳﺖ‪ .‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﻳﻦ ﻛﺎﺭﺑﺮ ﭼﻴﺴﺖ؟‬ ‫‪۳-۱۰‬‬
‫ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﻳﻚ ﺳﺮﻱ ﺑﻠﻮﻙﻫﺎﺋﻲ ﺩﺭ ﺩﺳﺘﺮﺱﺍﻧﺪ ﻛﻪ ﺑﺎ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ RSA‬ﻛﹸﺪ ﺷﺪﻩﺍﻧﺪ ﻭﻟﻲ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ‬ ‫‪۳-۱۱‬‬
‫ﻧﺪﺍﺭﻳﻢ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ‪ n = pq‬ﻭ ‪ e‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﺳﺖ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﺷﺨﺼﻲ ﺑﻤﺎ ﺍﻃﻼﻉ ﻣﻲﺩﻫﺪ ﻛﻪ ﻳﻜﻲ ﺍﺯ‬
‫ﺑﻠﻮﻙﻫﺎﻱ ﻣﺘﻦ ﺳﺎﺩﻩ ﺩﺍﺭﺍﻱ ﻓﺎﻛﺘﻮﺭ ﻣﺸﺘﺮﻛﻲ ﺑﺎ ‪ n‬ﺍﺳﺖ‪ .‬ﺁﻳﺎ ﺍﻳﻦ ﺍﻣﺮ ﺑﻬﺮﺗﺮﺗﻴﺐ ﻛﻤﻜﻲ ﺑﻪ ﻣﺎ ﻣﻲﻛﻨﺪ؟‬
‫ﻧﺸﺎﻥ ﺩﻫﻴﺪ ﻛﻪ ﭼﮕﻮﻧﻪ ‪ RSA‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎ ﻣﺎﺗﺮﻳﺲﻫﺎﻱ ‪ ،M2،M1‬ﻭ ‪ M3‬ﻣﺴﺄﻟﺔ ‪ ۳-۷‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﻮﺩ‪.‬‬ ‫‪۳-۱۲‬‬
‫ﺭﻭﺵ ﺯﻳﺮ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪:‬‬ ‫‪۳-۱۳‬‬
‫‪ -۱‬ﻋﺪﺩ ﻓﺮﺩ ‪ E‬ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﻨﻴﺪ‪.‬‬
‫‪١٠٧‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫‪ -۲‬ﺩﻭ ﻋﺪﺩ ﺍﻭﻝ ‪ P‬ﻭ ‪ Q‬ﺭﺍ ﻃﻮﺭﻱ ﺍﻧﺘﺨﺎﺏ ﻛﻨﻴﺪ ﻛﻪ ‪ (P-1)(Q-1)-1‬ﺑﻄﻮﺭ ﻣﺴﺎﻭﻱ ﻗﺎﺑﻞ ﺗﻘﺴﻴﻢ ﺑﻪ ‪ E‬ﺑﺎﺷﺪ‪.‬‬
‫‪ P -۳‬ﻭ ‪ Q‬ﺭﺍ ﺿﺮﺏ ﻛﻨﻴﺪ ﺗﺎ ‪ N‬ﺑﺪﺳﺖ ﺁﻳﺪ‪.‬‬
‫‪ D = [(P-1)(Q-1)(E-1) + 1] /E -۴‬ﺭﺍ ﺣﺴﺎﺏ ﻛﻨﻴﺪ‪.‬‬
‫ﺁﻳﺎ ﺍﻳﻦ ﺭﻭﺵ ﻣﻌﺎﺩﻝ ‪ RSA‬ﺍﺳﺖ؟ ﭘﺎﺳﺦ ﺧﻮﺩ ﺭﺍ ﺗﻮﺟﻴﻪ ﻛﻨﻴﺪ‪.‬‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ RSA‬ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺭﺍ ﺑﺮﺍﻱ ﺳﺎﺧﺖ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﻳﻚ‪ -‬ﻃﺮﻓﻪ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪ .‬ﺁﻧﮕﺎﻩ ﻳﻚ ﭘﻴﺎﻡ‬ ‫‪۳-۱۴‬‬
‫ﻛﻪ ﺷﺎﻣﻞ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ ﺑﻠﻮﻙﻫﺎﺳﺖ ﺭﺍ ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﭘﺮﺩﺍﺯﺵ ﻛﻨﻴﺪ‪ :‬ﺑﻠﻮﻙ ﺍﻭﻝ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﻤﺎﺋﻴﺪ‪ .‬ﻧﺘﻴﺠﻪ ﺭﺍ ﺑﺎ ﺑﻠﻮﻙ ﺩﻭﻡ‬
‫‪ XOR‬ﻧﻤﻮﺩﻩ ﻭ ﻣﺠﺪﺩﺃ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻨﻴﺪ ﻭ ﺑﻬﻤﻴﻦ ﺗﺮﺗﻴﺐ ﺍﺩﺍﻣﻪ ﺩﻫﻴﺪ‪ .‬ﺑﺎ ﺣﻞ ﻣﺴﺄﻟﺔ ﺯﻳﺮ ﻧﺸﺎﻥ ﺩﻫﻴﺪ ﻛﻪ ﺍﻳﻦ ﺭﻭﺵ ﺍﻣﻦ‬
‫ﻧﻴﺴﺖ‪ :‬ﺍﮔﺮ ﻳﻚ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﺩﻭ ﺑﻠﻮﻙ ‪ B1‬ﻭ ‪ B2‬ﺑﻮﺩﻩ ﻭ ﻛﹸﺪ ‪ hash‬ﺁﻥ ﭼﻨﻴﻦ ﺑﺎﺷﺪ‬
‫)‪RSAH (B1,B2) = RSA (RSA (B1) ⊕ B2‬‬
‫ﺍﮔﺮ ﺑﻠﻮﻙ ﺍﺧﺘﻴﺎﺭﻱ ‪ C1‬ﺩﺍﺩﻩ ﺷﺪﻩ ﺑﺎﺷﺪ‪ C2 ،‬ﺭﺍ ﭼﻨﺎﻥ ﺍﺧﺘﻴﺎﺭ ﻛﻨﻴﺪ ﻛﻪ )‪ .RSAH(C1, C2) = RSAH(B1, B2‬ﺑﻨﺎﺑﺮﺍﻳﻦ‬
‫ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺷﺮﻁ ﻣﻘﺎﻭﻣﺖ ﺿﻌﻴﻒ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﺼﺎﺩﻡ ﺭﺍ ﺍﺭﺿﺎﺀ ﻧﻤﻲﻛﻨﺪ‪.‬‬
‫ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ‪ Bob‬ﺍﺯ ﺳﻴﺴﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪ RSA‬ﺑﺎ ﻳﻚ ﻣﺪﻭﻝ ﺑﺴﻴﺎﺭ ﺑﺰﺭﮒ ‪ n‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﻛﻪ ﻓﺎﻛﺘﻮﺭ ﻛﺮﺩﻥ ﺁﻥ ﺩﺭ‬ ‫‪۳-۱۵‬‬
‫ﺯﻣﺎﻥ ﻣﻌﻘﻮﻝ ﻗﺎﺑﻞ ﺗﺼﻮﺭ ﻧﻴﺴﺖ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ‪ Alice‬ﭘﻴﺎﻣﻲ ﺭﺍ ﺑﺮﺍﻱ ‪ Bob‬ﻣﻲﻓﺮﺳﺘﺪ ﻛﻪ ﺩﺭ ﺁﻥ ﻫﺮ ﻳﻚ ﺍﺯ ﺣﺮﻭﻑ ﺍﻟﻔﺒﺎﺀ ﺑﺎ‬
‫ﻳﻚ ﻋﺪﺩ ﺑﻴﻦ ﺻﻔﺮ ﻭ ‪ ۲۵‬ﻧﻤﺎﻳﺶ ﺩﺍﺩﻩ ﺷﺪﻩ ﻭ ﺳﭙﺲ ﻫﺮ ﻋﺪﺩ ﺑﻄﻮﺭ ﻣﺠﺰﺍ ﺑﺎ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ RSA‬ﺑﺎ ‪ e‬ﺑﺰﺭﮒ ﻭ ‪ n‬ﺑﺰﺭﮒ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺁﻳﺎ ﺍﻳﻦ ﺭﻭﺵ ﺍﻣﻦ ﺍﺳﺖ؟ ﺍﮔﺮ ﺟﻮﺍﺏ ﻣﻨﻔﻲ ﺍﺳﺖ‪ ،‬ﺑﻬﺮﻩﻭﺭﺗﺮﻳﻦ ﺭﻭﺵ ﺣﻤﻠﻪ ﺑﺮ ﺿﺪ ﺍﻳﻦ ﻧﻮﻉ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭼﻴﺴﺖ؟‬
‫ﻳﻚ ﺭﻭﺵ ‪ Diffie-Hellman‬ﺑﺎ ﻳﻚ ﻋﺪﺩ ﺍﻭﻝ ‪ q = 11‬ﻭ ﺭﻳﺸﺔ ﺍﻭﻟﻴﺔ ﺁﻥ ‪ α = 2‬ﺭﺍ ﺩﺭﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪.‬‬ ‫‪۳-۱۶‬‬
‫ﺍﻟﻒ‪ -‬ﺍﮔﺮ ﻛﺎﺭﺑﺮ ‪ A‬ﺩﺍﺭﺍﻱ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ YA = 9‬ﺑﺎﺷﺪ‪ ،‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ XA‬ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻳﻦ ﻛﺎﺭﺑﺮ ﭼﻴﺴﺖ؟‬
‫ﺏ‪ -‬ﺍﮔﺮ ﻛﺎﺭﺑﺮ ‪ B‬ﺩﺍﺭﺍﻱ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ YB = 3‬ﺑﺎﺷﺪ‪ ،‬ﻛﻠﻴﺪ ﻣﺸﺘﺮﻙ ﺳﺮّﻱ ‪ K‬ﭼﻴﺴﺖ؟‬
‫ﻗﺴﻤﺖ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ‬
‫ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬ ‫ﺩﻭﻡ‬
‫ﺩﺭ ﻗﺴﻤﺖ ﺍﻭﻝ‪ ،‬ﺭﻣﺰﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺭﺍ ﺑﺮﺭﺳﻲ ﻛﺮﺩﻩ ﻭ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺁﻧﻬﺎ ﺑﺮﺍﻱ ﻣﺤﺮﻣﺎﻧﮕﻲ‪ ،‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﻭ‬
‫ﻭﻇﺎﻳﻒ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻳﻦ ﻛﺎﺭﺑﺮﺩﻫﺎ ﺍﺷﺎﺭﻩ ﻧﻤﻮﺩﻳﻢ‪ .‬ﻗﺴﻤﺖ ﺩﻭﻡ ﺍﺑﺰﺍﺭﻫﺎﻱ ﻣﻬﻢ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﻭ ﻛﺎﺭﺑﺮﺩﻫـﺎﺋﻲ ﻛـﻪ ﺍﺯ ﺍﻳـﻦ‬
‫ﺍﺑﺰﺍﺭﻫﺎ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ ﺭﺍ ﻣﻮﺭﺩ ﺑﺮﺭﺳﻲ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﺍﺑﺰﺍﺭﻫﺎ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺩﺭ ﻳﻚ ﺷﺒﻜﺔ ﻣﻨﻔـﺮﺩ‪ ،‬ﺍﻳﻨﺘﺮﺍﻧـﺖ ﻳـﻚ‬
‫ﺳﺎﺯﻣﺎﻥ‪ ،‬ﻭ ﻳﺎ ﺍﻳﻨﺘﺮﻧﺖ ﺑﻜﺎﺭﺑﺮﺩ‪.‬‬
‫ﻓﺼﻞ ‪ ۴‬ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﻓﺼﻞ‪ ۴‬ﺑﻪ ﺑﺮﺭﺳﻲ ﺩﻭ ﻋﻨﻮﺍﻥ ﺍﺯ ﻣﻬﻢﺗﺮﻳﻦ ﻣﺸﺨﺼﻪﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺯﻣﺎﻥ ﺣﺎﺿﺮﺍﺧﺘـﺼﺎﺹ ﺩﺍﺭﺩ‪ Kerberos .‬ﻳـﻚ‬
‫ﭘﺮﻭﺗﻜﻞ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺑﻮﺩﻩ ﻛﻪ ﺣﻤﺎﻳﺖ ﻭ ﻛﺎﺭﺑﺮﺩ ﮔﺴﺘﺮﺩﻩﺍﻱ ﺩﺭ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﺘﻨﻮﻉ ﺩﺍﺭﺩ‪.‬‬
‫‪ X.509‬ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﺗﻌﻴﻴﻦ ﻛﺮﺩﻩ ﻭ ﻳﻚ ﺗﺴﻬﻴﻼﺕ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﺍﻱ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺍﻳﻦ ﺗـﺴﻬﻴﻼﺕ‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺍ ﻃﻮﺭﻱ ﺑﻪ ﺩﺳﺖ ﺁﻭﺭﺩﻧﺪﻛﻪ ﻳﻚ ﺟﻤﻌﻴﺖ ﺍﺯ ﻛﺎﺭﺑﺮﺍﻥ ﺑﻪ‬
‫ﺍﻋﺘﺒﺎﺭ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺍﻋﺘﻤﺎﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ .‬ﺍﻳﻦ ﺗﺴﻬﻴﻼﺕ ﺯﻳﺮﺑﻨﺎﻱ ﺑﺮﺧﻲ ﺍﺯ ﻛﺎﺭﺑﺮﺩﻫﺎﺳﺖ‪.‬‬
‫ﻓﺼﻞ ‪ ۵‬ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‬
‫ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﭘﺮﺍﺳﺘﻔﺎﺩﻩﺗﺮﻳﻦ ﻛﺎﺭﺑﺮﺩ ﺗﻮﺯﻳﻊ ﺷﺪﻩ ﺑﻮﺩﻩ ﻭ ﺗﻤﺎﻳﻞ ﻓﺰﺍﻳﻨﺪﻩﺍﻱ ﺩﺭ ﻣﻮﺭﺩ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻥ ﺳﺮﻭﻳﺲﻫـﺎﻱ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺑﻌﻨﻮﺍﻥ ﺑﺨﺸﻲ ﺍﺯ ﺗﺴﻬﻴﻼﺕ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺑﻮﺟﻮﺩ ﺁﻣﺪﻩ ﺍﺳـﺖ‪ .‬ﻓـﺼﻞ ‪ ۵‬ﺑـﻪ ﺩﻭ ﺭﻭﺵ‬
‫ﻛـﻪ ﺍﺣﺘﻤـﺎﻻﹰ ﺩﺭ ﺑﺨـﺶ ﺍﻣﻨﻴـﺖ ﭘـﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴـﻚ ﺣﺎﻛﻤﻴـﺖ ﺧﻮﺍﻫﻨـﺪ ﻳﺎﻓـﺖ ﻧﮕـﺎﻩ ﻣـﻲﻛﻨـﺪ‪Pretty Good .‬‬
‫)‪ Privacy(PGP‬ﻳﻚ ﺭﻭﺵ ﭘﺮﺍﺳﺘﻔﺎﺩﻩ ﺍﺳﺖ ﻛﻪ ﻣﺘﻜﻲ ﺑﺮ ﻫﻴﭻ ﻣﻘﺎﻡ ﻣﺴﺌﻮﻝ ﻭ ﻳﺎ ﺳﺎﺯﻣﺎﻧﻲ ﻧﻴﺴﺖ‪ .‬ﺩﺭ ﻧﺘﻴﺠـﻪ ﺍﻳـﻦ‬
‫ﺭﻭﺵ ﻫﻤﺎﻥ ﻗﺪﺭ ﻛﻪ ﺑﺮﺍﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺷﺒﻜﻪﻫﺎﺋﻲ ﻛﻪ ﺑﺘﻮﺳـﻂ ﺳـﺎﺯﻣﺎﻥﻫـﺎ ﺍﺩﺍﺭﻩ ﻣـﻲﺷـﻮﻧﺪ ﻛـﺎﺭﺁﺋﻲ ﺩﺍﺭﺩ‪ ،‬ﺩﺭ ﻣـﻮﺭﺩ‬
‫ﻣــﺼﺎﺭﻑ ﻓــﺮﺩﻱ ﻧﻴــﺰ ﺩﺍﺭﺍﻱ ﺍﺳــﺘﻔﺎﺩﻩ ﺍﺳــﺖ‪(Secure/Mutipurpose Internet Mail Extensions) .‬‬
‫‪ S/MIME‬ﺻﺮﻓﺎﹰ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻳﻨﺘﺮﻧﺖ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ﻗﺴﻤﺖ ﺩﻭﻡ ‪ /‬ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬ ‫‪١١٠‬‬
‫ﻓﺼﻞ ‪ ۶‬ﺍﻣﻨﻴﺖ ‪IP‬‬
‫ﭘﺮﻭﺗﻜﻞ ﺍﻳﻨﺘﺮﻧﺖ )‪ (IP‬ﻋﻨﺼﺮ ﻣﺮﻛﺰﻱ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺍﻳﻨﺘﺮﺍﻧﺖﻫﺎﻱ ﺧﺼﻮﺻﻲ ﺍﺳﺖ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﺍﻣﻨﻴﺖ ﺳﻄﺢ ‪ IP‬ﺑﺮﺍﻱ ﻃﺮﺍﺣـﻲ ﻫـﺮ ﺭﻭﺵ‬
‫ﺍﻣﻨﻴﺘﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻋﻤﻠﻴﺎﺕ ﺑﻴﻦﺷﺒﻜﻪﺍﻱ ﻣﻬﻢ ﺍﺳﺖ‪ .‬ﻓﺼﻞ ‪ ۶‬ﻧﮕﺎﻫﻲ ﺑﻪ ﺭﻭﺵ ﺍﻣﻨﻴﺖ ‪ IP‬ﺍﻧﺪﺍﺧﺘﻪ ﻛﻪ ﺑﻪ ﻣﻨﻈﻮﺭ ﻛﺎﺭ ﺑﺎ ‪ IP‬ﺟـﺎﺭﻱ ﻭ ‪IP‬‬
‫ﻧﺴﻞ ﺑﻌﺪ ﻛﻪ ‪ IPv6‬ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ‪ ۷‬ﺍﻣﻨﻴﺖ ‪WEB‬‬
‫ﺭﺷﺪ ﺍﻧﻔﺠﺎﺭﮔﻮﻧﺔ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺗﺎﺭﺟﻬﺎﻥﮔﺴﺘﺮ ﺑﺮﺍﻱ ﺗﺠﺎﺭﺕ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻭ ﺍﻧﺘﺸﺎﺭ ﻫﻤﻪ ﺟﺎﻧﺒﺔ ﺍﻃﻼﻋﺎﺕ ﺑﺎﻋﺚ ﺷﺪﻩ ﺍﺳﺖ ﺗـﺎ ﻧﻴـﺎﺯ ﻣﺒﺮﻣـﻲ‬
‫ﺑﺮﺍﻱ ﺍﺳﺘﻘﺮﺍﺭ ﻳﻚ ﺍﻣﻨﻴﺖ ﻗﻮﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﻭِﺏ ﺑﻮﺟﻮﺩ ﺁﻳﺪ‪ .‬ﻓﺼﻞ ‪ ۷‬ﺍﻳﻦ ﻣﻮﺭﺩ ﺟﺪﻳﺪ ﺍﻣﻨﻴﺘﻲ ﻭ ﻣﻬﻢ ﺭﺍ ﻣﻮﺭﺩ ﺑﺮﺭﺳﻲ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﻭ ﺑﻪ ﺩﻭ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻛﻠﻴﺪﻱ ﻳﻌﻨﻲ ﻻﻳﺔ ﺳﻮﻛﺖ ﺍﻣﻦ )‪ (SSL‬ﻭ ﺍﺳﻨﺎﺩ ﺍﻟﻜﺘﺮﻭﻧﻴﻜﻲ ﺍﻣﻦ )‪ (SET‬ﻧﻈﺮ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻓﺼﻞ ‪ ۸‬ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﺑﺎ ﺍﺳﺘﻔﺎﺩﺓ ﺭﻭﺯﺍﻓﺰﻭﻥ ﺍﺯ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺑﺮﺍﻱ ﻛﻨﺘﺮﻝ ﺷﺒﻜﻪﻫﺎﻱ ﻣﺘﻨﻮﻉ‪ ،‬ﻧﻴﺎﺯ ﻓﺰﺍﻳﻨﺪﻩﺍﻱ ﺑﻪ ﺍﺳﺘﻘﺮﺍﺭ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺍﻣﻨﻴـﺖ ﺩﺭ‬
‫ﺍﻳﻦ ﺳﻴﺴﺘﻢﻫﺎ ﺑﻮﺟﻮﺩ ﺁﻣﺪﻩ ﺍﺳﺖ‪ .‬ﻓﺼﻞ ‪ ۸‬ﺑﺮ ﭘﺮﺍﺳﺘﻔﺎﺩﻩﺗﺮﻳﻦ ﺭﻭﺵ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‪ ،‬ﻳﻌﻨﻲ ﭘﺮﻭﺗﻜﻞ ﺳﺎﺩﺓ ﻣﺪﻳﺮﻳﺖ ﺷـﺒﻜﻪ )‪(SNMP‬‬
‫ﻣﺘﻤﺮﻛﺰ ﺍﺳﺖ‪ .‬ﻧﺴﺨﺔ ﺍﻭﻝ ‪ SNMP‬ﺗﻨﻬﺎ ﻳﻚ ﺗﺴﻬﻴﻼﺕ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺑﺘﺪﺍﺋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﻠﻤـﺔ ﻋﺒـﻮﺭ ﺩﺍﺭﺩ‪ SNMPv2 .‬ﻗﺎﺑﻠﻴـﺖﻫـﺎﻱ‬
‫ﻓﺮﺍﻭﺍﻥﺗﺮﻱ ﺭﺍ ﺑﻮﺟﻮﺩ ﺁﻭﺭﺩﻩ ﻭ ‪ SNMPv3‬ﻳﻚ ﺗﺴﻬﻴﻼﺕ ﺍﻣﻨﻴﺘﻲ ﻓﺮﺍﮔﻴﺮ ﺑﺮﺍﻱ ﻣﺤﺮﻣﺎﻧﮕﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ﻣﻲﺗﻮﺍﻧـﺪ‬
‫ﺑﻪ ﻫﻤﺮﺍﻩ ﺑﺎ ‪ SNMPv1‬ﻭ ‪ SNMPv2‬ﺑﻜﺎﺭ ﺭﻭﺩ‪.‬‬
‫ﻓﺼـﻞ ‪۴‬‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ‬
‫‪Kerberos‬‬ ‫‪۴-۱‬‬
‫ﺍﻧﮕﻴﺰﺵ‬
‫ﻧﺴﺨﺔ ﭼﻬﺎﺭﻡ ‪Kerberos‬‬
‫‪Kerberos‬‬ ‫ﻧﺴﺨﺔ ﭘﻨﺠﻢ‬
‫ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪X.509‬‬ ‫‪۴-۲‬‬

‫ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ‬
‫ﺭَﻭﻳﻪﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﻧﺴﺨﺔ ﺳﻮﻡ ‪X.509‬‬
‫ﺯﻳﺮﺳﺎﺧﺖ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ )‪(PKI‬‬ ‫‪۴-۳‬‬

‫ﻭﻇﺎﻳﻒ ﻣﺪﻳﺮﻳﺘﻲ ‪PKIX‬‬
‫ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻣﺪﻳﺮﻳﺘﻲ ‪PKIX‬‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۴-۴‬‬

‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۴-۵‬‬
‫ﺿﻤﻴﻤﺔ ‪ -۴‬ﺍﻟﻒ ﺗﻜﻨﻴﻚﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪Kerberos‬‬
‫ﺗﺒﺪﻳﻞ ﻛﻠﻤﻪﻋﺒﻮﺭ‪ -‬ﺑﻪ‪ -‬ﻛﻠﻴﺪ‬
‫ﻣُﻮﺩ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺍﻧﺘﺸﺎﺭﻳﺎﺑﻨﺪﻩ )‪(PCBC‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١١٢‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻳﻦ ﻓﺼﻞ ﺑﺮﺧﻲ ﺍﺯ ﻋﻤﻠﻴﺎﺕ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﻪ ﺑﺮﺍﻱ ﭘﺸﺘﻴﺒﺎﻧﻲ ﺍﺯ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ ﻭ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﻃﺮﺍﺣﻲ ﺷﺪﻩ‬
‫ﺍﺳﺖ ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺍ‬
‫ﺑﺤﺚ ﺭﺍ ﺑﺎ ﻧﮕﺎﻫﻲ ﺑﻪ ﻳﻜﻲ ﺍﺯ ﺍﺑﺘﺪﺍﺋﻲﺗﺮﻳﻦ ﺳﺮﻭﻳﺲﻫﺎ‪ ،‬ﻛﻪ ﭘﺮﺍﺳﺘﻔﺎﺩﻩﺗﺮﻳﻦ ﺁﻧﻬﺎ ﻧﻴﺰ ﺑﻮﺩﻩ ﺍﺳﺖ ﻭ ‪ Kerberos‬ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪،‬‬
‫ﺁﻏﺎﺯ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺳﭙﺲ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎﻱ ‪ X.509‬ﺭﺍ ﻣﻮﺭﺩ ﻣﻄﺎﻟﻌﻪ ﻗﺮﺍﺭ ﻣﻲﺩﻫﻴﻢ‪ .‬ﺍﻳﻦ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺑﻌﻨﻮﺍﻥ ﺑﺨﺸﻲ‬
‫ﺍﺯ ﺳﺮﻭﻳﺲ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ ﻛﻪ ﺍﻳﻦ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺣﺎﻣﻲ ﺁﻥ ﺍﺳﺖ ﺩﺍﺭﺍﻱ ﺍﻫﻤﻴﺖ ﺑﻮﺩﻩ ﻭﻟﻲ ﻣﻬﻢﺗﺮ ﺍﻳﻦﻛﻪ ﺑﻌﻨﻮﺍﻥ ﺧﺸﺖ ﺍﺻﻠﻲ ﻣﻮﺭﺩ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺩﺭ ﺳﺎﻳﺮ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎ‪ ،‬ﻫﻤﺎﻧﻨﺪ ‪ ،S/MIME‬ﻛﻪ ﺩﺭ ﻓﺼﻞ ‪ ۵‬ﺍﺯ ﺁﻥ ﻳﺎﺩ ﺧﻮﺍﻫﺪ ﺷﺪ ﻧﻴﺰ ﺩﺍﺭﺍﻱ ﻛﺎﺭﺑﺮﺩ ﺍﺳﺖ‪ .‬ﺩﺭ ﭘﺎﻳﺎﻥ ﻣﻔﻬﻮﻡ‬
‫ﺯﻳﺮﺳﺎﺧﺖ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ )‪ (PKI‬ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫‪KERBEROS‬‬ ‫‪۴-۱‬‬
‫‪ Kerberos‬ﻳﻚ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺳﺖ ﻛﻪ ﺑﻌﻨﻮﺍﻥ ﺑﺨﺸﻲ ﺍﺯ ﭘﺮﻭﮊﺓ ﺁﺗِﻨﻪ )‪ (Athena‬ﺩﺭ ﺩﺍﻧﺸﮕﺎﻩ ‪ MIT‬ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻣﺸﻜﻠﻲ ﺭﺍ ﻛﻪ ‪ Kerberos‬ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ ﭼﻨﻴﻦ ﺍﺳﺖ‪ :‬ﻳﻚ ﻣﺤﻴﻂ ﮔﺴﺘﺮﺩﺓ ﺑﺎﺯ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ ﻛﻪ ﺩﺭ ﺁﻥ ﻛﺎﺭﺑﺮﺍﻧﻲ‬
‫ﻛﻪ ﺩﺭ ﺍﻳﺴﺘﮕﺎﻩﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻛﺎﺭﻱ ﺣﻀﻮﺭ ﺩﺍﺭﻧﺪ‪ ،‬ﻋﻼﻗﻪﻣﻨﺪ ﺑﻪ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺳﺮﻭﻳﺲﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﻛﻪ ﺭﻭﻱ ﺳِﺮﻭﺭﻫﺎﻱ ﻣﺘﻌﺪﺩ ﻛﻞ‬
‫ﺷﺒﻜﻪ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﻣﺎ ﺗﻤﺎﻳﻞ ﺩﺍﺭﻳﻢ ﻛﻪ ﺳِﺮﻭﺭﻫﺎ ﺑﺘﻮﺍﻧﻨﺪ ﺩﺳﺖﻳﺎﺑﻲﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ ﻣﻌﺘﺒﺮ ﺭﺍ ﺑﻤﻴﺰﺍﻥ ﺩﻟﺨﻮﺍﻩ ﻣﺤﺪﻭﺩ‬
‫ﻧﻤﻮﺩﻩ‪ ،‬ﻭ ﻫﻤﭽﻨﻴﻦ ﻗﺎﺩﺭ ﺑﺎﺷﻨﺪ ﺍﻋﺘﺒﺎﺭ ﻛﺎﺭﺑﺮ ﻣﺘﻘﺎﺿﻲ ﺳﺮﻭﻳﺲ ﺭﺍ ﺑﺴﻨﺠﻨﺪ‪ .‬ﺩﺭ ﭼﻨﻴﻦ ﻣﺤﻴﻄﻲ‪ ،‬ﻧﻤﻲﺗﻮﺍﻥ ﺑﻪ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﺍﺯ ﻧﻈﺮ‬
‫ﺷﻨﺎﺳﺎﻳﻲ ﺻﺤﻴﺢ ﻛﺎﺭﺑﺮﺍﻥ ﺧﻮﺩﺵ ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺷﺒﻜﻪ ﺍﻋﺘﻤﺎﺩ ﻛﺮﺩ‪ .‬ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﺳﻪ ﺗﻬﺪﻳﺪ ﺯﻳﺮ ﻫﻤﻴﺸﻪ ﻭﺟﻮﺩ‬
‫ﺩﺍﺭﻧﺪ‪:‬‬
‫ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﺑﺨﺼﻮﺹ ﺩﺳﺘﺮﺳﻲ ﻳﺎﻓﺘﻪ ﻭ ﭼﻨﻴﻦ ﻭﺍﻧﻤﻮﺩ ﻛﻨﺪ ﻛﻪ ﻛﺎﺭﺑﺮ ﺩﻳﮕﺮﻱ ﺍﺳﺖ ﻛـﻪ‬ ‫•‬
‫ﺍﺯ ﺁﻥ ﺍﻳﺴﺘﮕﺎﻩ ﺗﻤﺎﺱ ﮔﺮﻓﺘﻪ ﺍﺳﺖ‪.‬‬
‫ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺁﺩﺭﺱ ﺷﺒﻜﺔ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﺭﺍ ﻃﻮﺭﻱ ﺗﻐﻴﻴﺮ ﺩﻫﺪ ﻛﻪ ﺑﺎﻋﺚ ﺷﻮﺩ ﺗﻘﺎﺿﺎﻫﺎﻳﻲ ﻛﻪ ﺍﺯ ﺍﻳﻦ‬ ‫•‬
‫ﺍﻳﺴﺘﮕﺎﻩ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺑﺮ ﺣﺴﺐ ﻇﺎﻫﺮ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻳﺴﺘﮕﺎﻩ ﺩﻳﮕﺮﻱ ﺗﻠﻘﻲ ﮔﺮﺩﻧﺪ‪.‬‬
‫ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺎ ﻋﻤﻞ ﺷﻨﻮﺩ ﺭﻭﻱ ﻳﻚ ﺧﻂ‪ ،‬ﺣﻤﻠﻪﺍﻱ ﺍﺯ ﻧﻮﻉ ﺑﺎﺯﺧﻮﺍﻧﻲ )‪ (replay‬ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ‪ ،‬ﻭﺍﺭﺩ ﺳِﺮﻭﺭ ﺷﺪﻩ ﻭ‬ ‫•‬
‫ﻳﺎ ﻋﻤﻠﻴﺎﺕ ﺭﺍ ﻣﺨﺘﻞ ﺳﺎﺯﺩ‪.‬‬
‫ﺩﺭ ﻫﺮﻳﻚ ﺍﺯ ﺍﻳﻦ ﻣﻮﺍﺭﺩ‪ ،‬ﻳﻚ ﻛﺎﺭﺑﺮ ﻏﻴﺮﻣﻌﺘﺒﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﺳﺮﻭﻳﺲﻫﺎ ﻭ ﺩﺍﺩﻩﻫﺎﻳﻲ ﺩﺳﺖ ﻳﺎﺑﺪ ﻛﻪ ﻣﺠﺎﺯ ﺑﻪ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺁﻧﻬﺎ‬
‫ﻧﻴﺴﺖ‪ .‬ﺑﺠﺎﻱ ﻗﺮﺍﺭﺩﺍﺩﻥ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﺷﻮﺍﺭ ﺩﺭ ﻫﺮ ﺳِﺮﻭﺭ‪ Kerberos ،‬ﻳﻚ ﺳِﺮﻭﺭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺘﻤﺮﻛﺰ ﻛﻪ ﻭﻇﻴﻔﺔ ﺁﻥ‬
‫ﻣﻌﺮﻓﻲ ﻛﺎﺭﺑﺮﺍﻥ ﺑﻪ ﺳِﺮﻭﺭﻫﺎ‪ ،‬ﻭ ﺳِﺮﻭﺭﻫﺎ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ ﺍﺳﺖ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺑﺮﺧﻼﻑ ﺍﻏﻠﺐ ﺭﻭﺵﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻌﺮﻓﻲ ﺷﺪﻩ ﺩﺭ‬
‫ﺍﻳﻦ ﻛﺘﺎﺏ‪ Kerberos ،‬ﻣﻨﺤﺼﺮﺍﹰ ﺑﺮ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻣﺘﻜﻲ ﺑﻮﺩﻩ ﻭ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﻲﻛﻨﺪ‪.‬‬
‫‪١١٣‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺩﻭ ﻧﺴﺨﻪ ﺍﺯ ‪ Kerberos‬ﺩﺍﺭﺍﻱ ﺍﺳﺘﻔﺎﺩﺓ ﻭﺳﻴﻊﺍﻧﺪ‪ .‬ﻧﺴﺨﺔ ‪ [MILL88,STEI88] ۴‬ﻫﻨﻮﺯ ﺑﻄﻮﺭ ﮔﺴﺘﺮﺩﻩﺍﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﺍﺳﺖ‪ .‬ﻧﺴﺨﺔ ‪ [KOHL94] ۵‬ﺑﻌﻀﻲ ﺍﺯ ﻛﻤﺒﻮﺩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻧﺴﺨﺔ ‪ ۴‬ﺭﺍ ﺟﺒﺮﺍﻥ ﻛﺮﺩﻩ ﻭ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻳﻨﺘﺮﻧﺖ‬
‫)‪ (RFC 1510‬ﭘﻴﺸﻨﻬﺎﺩ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺍﻳﻦ ﺑﺨﺶ ﺭﺍ ﺑﺎ ﺑﺤﺚ ﻣﺨﺘﺼﺮﻱ ﺩﺭ ﺯﻣﻴﻨﺔ ﺍﻧﮕﻴﺰﺵﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺭﻭﺵ ‪ Kerberos‬ﺁﻏﺎﺯ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺁﻧﮕﺎﻩ ﻧﻈﺮ ﺑﻪ ﭘﻴﭽﻴﺪﮔﻲ‬
‫‪ ،Kerberos‬ﻣﻮﺿﻮﻉ ﺭﺍ ﺑﺎ ﺑﺮﺭﺳﻲ ﭘﺮﻭﺗﻜﻞ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺩﺭﻧﺴﺨﺔ ‪ ۴‬ﺷﺮﻭﻉ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺍﻳﻦ ﻣﻮﺿﻮﻉ ﻣﺎ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ‬
‫ﺟﻮﻫﺮ ﺍﺳﺘﺮﺍﺗﮋﻱ ‪ ،Kerberos‬ﺑﺪﻭﻥ ﻧﻴﺎﺯ ﺑﻪ ﺩﺍﻧﺴﺘﻦ ﺟﺰﺋﻴﺎﺕ ﻻﺯﻡ ﻣﺮﺑﻮﻁ ﺑﻪ ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ ﻫﻮﺷﻤﻨﺪﺍﻧﻪ ﺭﺍ ﻣﻼﺣﻈﻪ ﻧﻤﺎﺋﻴﻢ‪ .‬ﺩﺭ‬
‫ﻧﻬﺎﻳﺖ‪ ،‬ﻧﺴﺨﺔ ‪ ۵‬ﺭﺍ ﺑﺮﺭﺳﻲ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ‪.‬‬
‫ﺍﮔﺮ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻛﺎﺭﺑﺮﺍﻥ ﺩﺍﺭﺍﻱ ﺭﺍﻳﺎﻧﻪﻫﺎﻱ ﺷﺨﺼﻲ ﻣﺨﺼﻮﺹ ﺑﻪ ﺧﻮﺩ ﻛﻪ ﺑﻪ ﻫﻴﭻ ﺷﺒﻜﻪﺍﻱ ﻣﺘﺼﻞ ﻧﻴﺴﺘﻨﺪ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪،‬‬
‫ﺁﻧﮕﺎﻩ ﻣﻨﺎﺑﻊ ﻭ ﻓﺎﻳﻞﻫﺎﻱ ﻳﻚ ﻛﺎﺭﺑﺮ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺍﺯ ﻃﺮﻳﻖ ﺣﻔﺎﻇﺖ ﻓﻴﺰﻳﻜﻲ ﺭﺍﻳﺎﻧﺔ ﺍﻭ ﺣﻔﺎﻇﺖ ﻛﺮﺩ‪ .‬ﺍﻣﺎ ﻭﻗﺘﻲ ﺍﻳﻦ ﻛﺎﺭﺑﺮﺍﻥ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ‬
‫ﺳﻴﺴﺘﻢ ﻣﺮﻛﺰﻱ ﺑﺎ ﺍﺷﺘﺮﺍﻙ ﺯﻣﺎﻧﻲ ﺑﻬﻢ ﻣﺘﺼﻞ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺍﺷﺘﺮﺍﻙ ﺯﻣﺎﻧﻲ ﻣﺴﺌﻮﻝ ﺣﻔﺎﻇﺖ ﻣﺠﻤﻮﻋﻪ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺳﻴﺴﺘﻢ‬
‫ﻋﺎﻣﻞ ﻣﻲﺗﻮﺍﻧﺪ ﺧﻂﻣﺸﻲﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺭﺍ‪ ،‬ﺑﺮ ﻣﺒﻨﺎﻱ ﻫﻮﻳﺖ ﻛﺎﺭﺑﺮ‪ ،‬ﺍﻋﻤﺎﻝ ﻛﺮﺩﻩ ﻭ ﺭﻭﺵﻫﺎﺋﻲ ﺭﺍ ﺑﺮﺍﻱ ﺷﻨﺎﺳﺎﺋﻲ‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﻭ ﺍﺣﺮﺍﺯ ﻫﻮﻳﺖ ﺁﻧﻬﺎ ﺩﺭ ﺯﻣﺎﻥ ﺍﺗﺼﺎﻝ ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﻪ ﺍﺟﺮﺍ ﺑﮕﺬﺍﺭﺩ‪.‬‬
‫ﺍﻣﺮﻭﺯﻩ ﻫﻴﭽﻜﺪﺍﻡ ﺍﺯ ﺍﻳﻦ ﺳﻨﺎﺭﻳﻮﻫﺎ ﻣﻌﻤﻮﻝ ﻧﻤﻲﺑﺎﺷﻨﺪ‪ .‬ﻣﻌﻤﻮﻝﺗﺮ ﺍﻳﻦﺍﺳﺖ ﻛﻪ ﻳﻚ ﻣﻌﻤﺎﺭﻱ ﺗﻮﺯﻳﻊ ﺷﺪﻩ ﻛﻪ ﺷﺎﻣﻞ ﺍﻳﺴﺘﮕﺎﻩﻫﺎﻱ‬
‫ﻛﺎﺭﻱ ﺗﺨﺼﻴﺺﻳﺎﻓﺘﻪ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻥ )ﻛﻼﻳﻨﺖﻫﺎ( ﻭ ﺳِﺮﻭﺭﻫﺎﻱ ﺗﻮﺯﻳﻊﺷﺪﻩ ﻭ ﻳﺎ ﻣﺘﻤﺮﻛﺰ ﺍﺳﺖ‪ ،‬ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺩﺭ ﭼﻨﻴﻦ ﻣﺤﻴﻄﻲ‪،‬‬
‫ﺳﻪ ﺑﺮﺧﻮﺭﺩ ﻣﺘﻔﺎﻭﺕ ﺑﺎ ﻣﺴﺄﻟﺔ ﺍﻣﻨﻴﺖ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺗﺼﻮﺭ ﻛﺮﺩ‪:‬‬
‫‪ -۱‬ﺍﺗﻜﺎﺀ ﺑﻪ ﺍﻳﺴﺘﮕﺎﻩﻫﺎﻱ ﻛﺎﺭﻱ ﻛﻼﻳﻨﺖ ﺑﺮﺍﻱ ﺷﻨﺎﺳﺎﺋﻲ ﻛﺎﺭﺑﺮ ﻳﺎ ﻛﺎﺭﺑﺮﺍﻧﻲ ﻛﻪ ﻣﻴﺨﻮﺍﻫﻨﺪ ﺑﻪ ﺁﻥ ﻭﺻﻞ ﺷﻮﻧﺪ ﻭ ﺍﺗﻜﺎﺀ ﺑﻪ ﻫﺮ‬
‫ﺳِﺮﻭﺭ ﺑﺮﺍﻱ ﺍﺟﺮﺍﻱ ﺧﻂﻣﺸﻲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺑﺮ ﻣﺒﻨﺎﻱ ﺷﻨﺎﺳﺎﺋﻲ ﻛﺎﺭﺑﺮ)‪.(ID‬‬
‫‪ -۲‬ﺍﻟﺰﺍﻡ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻛﻼﻳﻨﺖ ﺑﻪ ﻣﻌﺮﻓﻲ ﺧﻮﺩ ﺩﺭ ﻫﻨﮕﺎﻡ ﺍﺗﺼﺎﻝ ﺑﻪ ﺳِﺮﻭﺭ ﻭ ﺍﺗﻜﺎﺀ ﺑﻪ ﺳﻴﺴﺘﻢ ﻛﻼﻳﻨﺖ ﺑﺮﺍﻱ ﺷﻨﺎﺳﺎﺋﻲ ﻛﺎﺭﺑﺮﻱ‬
‫ﻛﻪ ﻣﻲﺧﻮﺍﻫﺪ ﺑﻪ ﺁﻥ ﻭﺻﻞ ﺷﻮﺩ‪.‬‬
‫‪ -۳‬ﺍﻟﺰﺍﻡ ﻛﺎﺭﺑﺮ ﺑﻪ ﺍﺛﺒﺎﺕ ﻫﻮﻳﺖ ﺧﻮﺩ ﺑﺮﺍﻱ ﻫﺮ ﺳﺮﻭﻳﺲ ﺩﺭﺧﻮﺍﺳﺘﻲ ﻭ ﻫﻤﭽﻨﻴﻦ ﺍﻟﺰﺍﻡ ﺳِﺮﻭﺭﻫﺎ ﺑﻪ ﺍﺛﺒﺎﺕ ﻫﻮﻳﺖ ﺧﻮﺩ ﺑﺮﺍﻱ‬
‫ﻛﻼﻳﻨﺖﻫﺎ‪.‬‬
‫ﺩﺭ ﻳﻚ ﻣﺤﻴﻂ ﻛﻮﭼﻚ ﺑﺴﺘﻪ ﻛﻪ ﺩﺭ ﺁﻥ ﺗﻤﺎﻡ ﺳﻴﺴﺘﻢﻫﺎ ﻣﺘﻌﻠﻖ ﺑﻪ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﻣﻨﻔﺮﺩ ﺑﻮﺩﻩ ﻭ ﺑﺘﻮﺳﻂ ﻫﻤﺎﻥ ﺳﺎﺯﻣﺎﻥ ﺍﺩﺍﺭﻩ‬
‫ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺍﺳﺘﺮﺍﺗﮋﻱﻫﺎﻱ ﺍﻭﻝ ﻭ ﻳﺎ ﺷﺎﻳﺪ ﺩﻭﻡ ﻛﻔﺎﻳﺖ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻭﻟﻲ ﺩﺭ ﻳﻚ ﻣﺤﻴﻂ ﺑﺎﺯﺗﺮ ﻛﻪ ﺩﺭ ﺁﻥ ﺍﺯ ﺍﺗﺼﺎﻻﺕ ﺷﺒﻜﻪﺍﻱ ﺑﺮﺍﻱ ﺍﺭﺗﺒﺎﻁ‬
‫ﻣﺎﺷﻴﻦﻫﺎ ﺑﺎ ﻳﻜﺪﻳﮕﺮ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﺭﻭﺵ ﺳﻮﻡ ﺑﺮﺍﻱ ﺣﻔﺎﻇﺖ ﺍﻃﻼﻋﺎﺕ ﻛﺎﺭﺑﺮ ﻭ ﻣﻨﺎﺑﻊ ﻣﺴﺘﻘﺮ ﺩﺭ ﺳِﺮﻭﺭﻫﺎ ﻣﻨﺎﺳﺐﺗﺮ ﺍﺳﺖ‪ .‬ﺭﻭﺵ‬
‫ﺳﻮﻡ ﻫﻤﺎﻧﺴﺖ ﻛﻪ ‪ Kerberos‬ﺍﺯ ﺁﻥ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﻛﻨﺪ‪ Kerberos .‬ﺑﺮ ﻣﺒﻨﺎﻱ ﻳﻚ ﻣﻌﻤﺎﺭﻱ ﻛﻼﻳﻨﺖ‪ /‬ﺳِﺮﻭﺭ ﻋﻤﻞ ﻛﺮﺩﻩ ﻭ ﺍﺯ ﻳﻚ‬
‫ﻳﺎ ﭼﻨﺪ ﺳِﺮﻭﺭ ‪ Kerberos‬ﺑﺮﺍﻱ ﻓﺮﺍﻫﻢﺁﻭﺭﺩﻥ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻳﺎ ﺗﺸﺨﻴﺺ ﻫﻮﻳﺖ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﺍﻭﻟﻴﻦ ﮔﺰﺍﺭﺵ ﻣﻨﺘﺸﺮﺷﺪﻩ ﺩﺭ ﻣﻮﺭﺩ‪ ،[STEI88] Kerberos‬ﺍﻟﺰﺍﻣﺎﺕ ﺯﻳﺮ ﺭﺍ ﺑﺮﺍﻱ ‪ Kerberos‬ﺑﻴﺎﻥ ﻧﻤﻮﺩﻩ ﺍﺳﺖ‪:‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١١٤‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺍﻣﻦ‪ :‬ﻳﻚ ﻋﺎﻣﻞ ﺷﻨﻮﺩ ﺩﺭ ﺷﺒﻜﻪ ﻧﺒﺎﻳﺴﺘﻲ ﺑﺘﻮﺍﻧﺪ ﺍﻃﻼﻋﺎﺕ ﻻﺯﻡ ﺑﺮﺍﻱ ﺟﻌﻞ ﻫﻮﻳﺖ ﻳﻚ ﻛﺎﺭﺑﺮ ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪ .‬ﺑﻪ ﻋﺒﺎﺭﺕ‬ ‫•‬
‫ﻛﻠﻲﺗﺮ‪ Kerberos ،‬ﺑﺎﻳﺴﺘﻲ ﺁﻧﻘﺪﺭ ﻣﺴﺘﺤﻜﻢ ﺑﺎﺷﺪ ﻛﻪ ﻳﻚ ﺩﺷﻤﻦ ﻗﻮﻱ ﺍﻭ ﺭﺍ ﺿﻌﻴﻒ ﻧﺸﻤﺎﺭﺩ‪.‬‬
‫ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ‪ :‬ﺑﺮﺍﻱ ﺗﻤﺎﻡ ﺳﺮﻭﻳﺲﻫﺎﺋﻲ ﻛﻪ ﺑﺮﺍﻱ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ‪ Kerberos‬ﻣﺘﻜﻲ ﻫﺴﺘﻨﺪ‪ ،‬ﻋﺪﻡ ﺩﺳﺘﺮﺳﻲ ﺑﻪ‬ ‫•‬
‫ﺳﺮﻭﻳﺲ ‪ Kerberos‬ﺑﻪ ﻣﻔﻬﻮﻡ ﻋﺪﻡ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻫﻤﻪ ﺁﻧﻬﺎﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ‪ Kerberos‬ﺑﺎﻳﺪ ﺩﺍﺭﺍﻱ ﻗﺎﺑﻠﻴﺖ ﺍﻋﺘﻤﺎﺩ ﺑﺎﻻ‬
‫ﺑﻮﺩﻩ ﻭ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﻳﻚ ﻣﻌﻤﺎﺭﻱ ﺗﻮﺯﻳﻊﺷﺪﻩ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ ﺗﺎ ﺩﺭ ﺻﻮﺭﺕ ﻭﺟﻮﺩ ﻣﺸﻜﻞ‪ ،‬ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﺘﻮﺍﻧﺪ ﭘﺸﺘﻴﺒﺎﻥ ﺳﻴﺴﺘﻢ‬
‫ﺩﻳﮕﺮ ﮔﺮﺩﺩ‪.‬‬
‫• ﺷﻔﺎﻑ‪ :‬ﺩﺭ ﺣﺎﻟﺖ ﺍﻳﺪﻩﺍﻝ‪ ،‬ﻛﺎﺭﺑﺮ ﻧﺒﺎﻳﺴﺘﻲ ﺑﺠﺰ ﻭﺍﺭﺩ ﻛﺮﺩﻥ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻣﺘﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﻋﻤﻠﻴﺎﺕ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺻﻮﺭﺕ‬
‫ﻣﻲﭘﺬﻳﺮﺩ‪.‬‬
‫• ﻣﻘﻴﺎﺱﭘﺬﻳﺮ‪ :‬ﺳﻴﺴﺘﻢ ﺑﺎﻳﺴﺘﻲ ﻗﺎﺩﺭ ﺑﻪ ﺣﻤﺎﻳﺖ ﺍﺯ ﺗﻌﺪﺍﺩ ﺯﻳﺎﺩﻱ ﻛﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ ﺑﺎﺷﺪ‪ .‬ﺍﻳﻦ ﻧﻴﺎﺯ‪ ،‬ﻳﻚ ﻣﻌﻤﺎﺭﻱ ﺗﻮﺯﻳﻊﺷﺪﻩ ﻭ‬
‫ﭘﻮﺩﻣﺎﻧﻲ ﺭﺍ ﭘﻴﺸﻨﻬﺎﺩ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﺑﺮﺁﻭﺭﺩﻩ ﻧﻤﻮﺩﻥ ﺍﻳﻦ ﻧﻴﺎﺯﻫﺎ‪ ،‬ﺷِﮕﺮﺩ ‪ Kerberos‬ﻫﻤﺎﻥ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ ﺷﺨﺺ ﺛﺎﻟﺚ‬
‫ﺍﺳﺖ ﻛﻪ ﺑﺮ ﻣﺒﻨﺎﻱ ﭘﺮﻭﺗﻜﻠﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ Needham‬ﻭ ‪ [NEED78] Schroeder‬ﭘﻴﺸﻨﻬﺎﺩ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺍﻳﻦ ﺳﺮﻭﻳﺲ‬
‫ﺍﺯ ﺁﻥﺟﻬﺖ ﺑﺎﻳﺴﺘﻲ ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ ﺑﺎﺷﺪ ﻛﻪ ﻛﻼﻳﻨﺖﻫﺎ ﻭ ﺳِﺮﻭﺭﻫﺎ ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﺗﺸﺨﻴﺺ ﻫﻮﻳﺖ ﻳﻜﺪﻳﮕﺮ ﺑﻪ ﻣﻴﺎﻧﺪﺍﺭﻱ‬
‫‪ Kerberos‬ﺗﻜﻴﻪ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﺎ ﻓﺮﺽ ﺍﻳﻨﻜﻪ ﭘﺮﻭﺗﻜﻞ ‪ Kerberos‬ﺧﻮﺏ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﺭ ﺻﻮﺭﺗﻲ‬
‫ﺍﻣﻦ ﺍﺳﺖ ﻛﻪ ﺧﻮﺩ ﺳِﺮﻭﺭ ‪ Kerberos‬ﺍﻣﻦ ﺑﺎﺷﺪ‪.‬‬
‫ﻧﺴﺨﺔ ﭼﻬﺎﺭﻡ ‪Kerberos‬‬
‫ﻧﺴﺨﺔ ﭼﻬﺎﺭﻡ ‪ Kerberos‬ﺍﺯ ‪ DES‬ﻛﻪ ﭘﺮﻭﺗﻜﻞ ﻧﺴﺒﺘﺎﹰ ﭘﻴﭽﻴﺪﻩﺍﻱ ﺍﺳﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺗﺎ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﻓﺮﺍﻫﻢ ﻧﻤﺎﻳﺪ‪ .‬ﺑﺎ‬
‫ﻧﮕﺎﻫﻲ ﻛﻠﻲ ﺑﻪ ﭘﺮﻭﺗﻜﻞ‪ ،‬ﻓﻬﻢ ﻧﻴﺎﺯ ﺑﻪ ﺁﻥ ﻫﻤﻪ ﺟﺰﺋﻴﺎﺗﻲ ﻛﻪ ﺩﺭ ﺁﻥ ﻣﻨﻈﻮﺭ ﺷﺪﻩ ﺍﺳﺖ ﻛﺎﺭ ﺁﺳﺎﻧﻲ ﻧﻴﺴﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﺎ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﺍﺳﺘﺮﺍﺗﮋﻱ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪ Bill Bryant‬ﺩﺭ ﭘﺮﻭﮊﻩ ﺁﺗِﻨﻪ]‪ ،[BRYA88‬ﺳﻌﻲ ﻣﻲﻛﻨﻴﻢ ﺗﺎ ﺍﺑﺘﺪﺍ ﺑﺎ ﻧﮕﺎﻫﻲ ﺑﻪ ﭼﻨﺪ ﺩﻳﺎﻟﻮﮒ‬
‫ﻓﺮﺿﻲ‪ ،‬ﭘﺮﻭﺗﻜﻞ ﻛﺎﻣﻞ ﺭﺍ ﺑﻨﺎ ﻧﻤﺎﺋﻴﻢ‪ .‬ﻫﺮ ﺩﻳﺎﻟﻮﮒ ﺟﺪﻳﺪ‪ ،‬ﺑﺮﺍﻱ ﻏﻠﺒﻪ ﻛﺮﺩﻥ ﺑﺮ ﻧﻘﺎﻁ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺍﻣﻨﻴﺘﻲ ﺩﻳﺎﻟﻮﮒ ﻗﺒﻠﻲ‪ ،‬ﭘﻴﭽﻴﺪﮔﻲﻫﺎﻱ‬
‫ﺟﺪﻳﺪﻱ ﺭﺍ ﺩﺭ ﭘﺮﻭﺗﻜﻞ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﭘﺲ ﺍﺯ ﺑﺮﺭﺳﻲ ﭘﺮﻭﺗﻜﻞ‪ ،‬ﺑﻪ ﺳﺎﻳﺮ ﺟﻨﺒﻪﻫﺎﻱ ﻧﺴﺨﺔ ‪ ۴‬ﻧﻴﺰ ﻧﮕﺎﻫﻲ ﻣﻲﺍﻧﺪﺍﺯﻳﻢ‪.‬‬
‫ﻳﻚ ﺩﻳﺎﻟﻮﮒ ﺳﺎﺩﺓ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬

‫ﺩﺭ ﻣﺤﻴﻂ ﺣﻔﺎﻇﺖﻧﺸﺪﺓ ﻳﻚ ﺷﺒﻜﻪ‪ ،‬ﻫﺮ ﻛﻼﻳﻨﺖ ﻣﻴﺘﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺩﺭﻳﺎﻓﺖ ﺳﺮﻭﻳﺲ ﺑﻪ ﻫﺮ ﺳِﺮﻭﺭﻱ ﻣﺮﺍﺟﻌﻪ ﻧﻤﺎﻳﺪ‪ .‬ﺩﺭ ﺍﻳﻦ‬
‫ﺣﺎﻟﺖ ﺭﻳﺴﻚ ﺍﻣﻨﻴﺘﻲ ﺁﺷﻜﺎﺭ‪ ،‬ﺟﻌﻞ ﻫﻮﻳﺖ ﺍﺳﺖ‪ .‬ﻳﻚ ﺩﺷﻤﻦ ﻣﻲﺗﻮﺍﻧﺪ ﺧﻮﺩ ﺭﺍ ﺑﺠﺎﻱ ﻛﻼﻳﻨﺖ ﺩﻳﮕﺮﻱ ﺟﺎﺯﺩﻩ ﻭ ﺍﻣﺘﻴﺎﺯﺍﺕ ﻏﻴﺮﻗﺎﻧﻮﻧﻲ‬
‫ﺍﺯ ﺳِﺮﻭﺭﻫﺎ ﻛﺴﺐ ﻧﻤﺎﻳﺪ‪ .‬ﺑﺮﺍﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺍﻳﻦ ﺗﻬﺪﻳﺪ‪ ،‬ﺳِﺮﻭﺭﻫﺎ ﺑﺎﻳﺴﺘﻲ ﺑﺘﻮﺍﻧﻨﺪ ﻫﻮﻳﺖ ﻛﻼﻳﻨﺖﻫﺎﺋﻲ ﻛﻪ ﺩﺭﺧﻮﺍﺳﺖ ﺳﺮﻭﻳﺲ ﺩﺍﺭﻧﺪ ﺭﺍ‬
‫ﺗﺄﻳﻴﺪ ﻧﻤﺎﻳﻨﺪ‪ .‬ﻫﺮ ﺳِﺮﻭﺭ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﻣﺠﺒﻮﺭ ﻛﺮﺩ ﺗﺎ ﺍﻳﻦ ﻭﻇﻴﻔﻪ ﺭﺍ ﺑﺮﺍﻱ ﻫﺮﺑﺎﺭ ﻣﺒﺎﺩﻟﺔ ﻛﻼﻳﻨﺖ‪ /‬ﺳِﺮﻭﺭ ﺍﻧﺠﺎﻡ ﺩﻫﺪ ﻭﻟﻲ ﺩﺭ ﻳﻚ ﻣﺤﻴﻂ‬
‫ﺑﺎﺯ‪ ،‬ﺍﻳﻦ ﺩﺭﺧﻮﺍﺳﺖ ﺑﺎﺭ ﺳﻨﮕﻴﻨﻲ ﺭﺍ ﺑﻪ ﺩﻭﺵ ﻫﺮ ﺳِﺮﻭﺭ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪١١٥‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺭﺍﻩ ﺩﻳﮕﺮ ﺍﻳﻦﺍﺳﺖ ﻛﻪ ﺍﺯ ﻳﻚ ﺳِﺮﻭﺭ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ )‪ Authentication Server (AS‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ ﻛﻪ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺗﻤﺎﻡ‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ ﺩﺍﻧﺴﺘﻪ ﻭ ﺁﻧﻬﺎ ﺭﺍ ﺩﺭ ﻳﻚ ﭘﺎﻳﮕﺎﻩ ﻣﺘﻤﺮﻛﺰ ﺩﺍﺩﻩ ﺫﺧﻴﺮﻩ ﻧﻤﺎﻳﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ‪ AS ،‬ﺑﺎ ﻫﺮ ﺳِﺮﻭﺭ ﺩﻳﮕﺮ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻳﻜﺘﺎ ﺭﺍ‬
‫ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﻣﻲﮔﺬﺍﺭﺩ‪ .‬ﺍﻳﻦ ﻛﻠﻴﺪﻫﺎ ﺑﺼﻮﺭﺕ ﻓﻴﺰﻳﻜﻲ ﻭ ﻳﺎ ﺑﺼﻮﺭﺕ ﺍﻣﻦ ﺩﻳﮕﺮﻱ ﺗﻮﺯﻳﻊ ﺷﺪﻩﺍﻧﺪ‪ .‬ﺑﻪ ﺩﻳﺎﻟﻮﮒ ﻓﺮﺿﻲ ﺯﻳﺮ ﺗﻮﺟﻪ ﻛﻨﻴﺪ‪:‬‬
‫‪(۱) CAS:‬‬ ‫‪IDc || Pc || IDv‬‬

‫‪(۲) ASC:‬‬ ‫‪Ticket‬‬
‫‪(۳) CV:‬‬ ‫‪IDc || Ticket‬‬
‫) ] ‪Ticket = E (Kv , [ IDc || ADc || IDv‬‬
‫‪C‬‬ ‫=‬ ‫ﻛﻼﻳﻨﺖ‬
‫‪AS‬‬ ‫=‬ ‫ﺳِﺮﻭﺭ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ‬
‫‪V‬‬ ‫=‬ ‫ﺳِﺮﻭﺭ‬
‫= ‪IDc‬‬ ‫ﺷﻨﺎﺳﺔﻛﺎﺭﺑﺮ ﺭﻭﻱ ‪C‬‬
‫‪IDv‬‬ ‫=‬ ‫ﺷﻨﺎﺳﺔ ‪V‬‬
‫‪Pc‬‬ ‫=‬ ‫ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ ﺭﻭﻱ ‪C‬‬
‫= ‪ADc‬‬ ‫ﺁﺩﺭﺱ ﺷﺒﻜﻪ ‪C‬‬
‫‪Kv‬‬ ‫ﻛﻠﻴﺪ ﺳﺮّﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺸﺘﺮﻙ ﺑﻴﻦ ‪ AS‬ﻭ ‪= V‬‬
‫||‬ ‫=‬ ‫ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ‬
‫ﺩﺭ ﺍﻳﻦ ﺳﻨﺎﺭﻳﻮ‪،‬ﻛﺎﺭﺑﺮ ﺑﻪ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﻣﺘﺼﻞ ﺷﺪﻩ ﻭ ﺩﺭﺧﻮﺍﺳﺖ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺳِﺮﻭﺭ ‪ V‬ﺭﺍ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﻣﺪﻭﻝ ﻛﻼﻳﻨﺖ ﺩﺭ ﺍﻳﺴﺘﮕﺎﻩ‬
‫ﻛﺎﺭﻱ‪ ،‬ﺍﺯ ﻛﺎﺭﺑﺮ ﺩﺭﺧﻮﺍﺳﺖ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻧﻤﻮﺩﻩ ﻭ ﺳﭙﺲ ﭘﻴﺎﻣﻲ ﺭﺍ ﺑﻪ ‪ AS‬ﻣﻴﻔﺮﺳﺘﺪﻛﻪ ﺷﺎﻣﻞ ‪ ID‬ﻛﺎﺭﺑﺮ‪ ID ،‬ﺳِﺮﻭﺭ ﻭ ﻛﻠﻤﺔﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ‬
‫ﺍﺳﺖ‪ AS .‬ﺩﺭ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﺓ ﺧﻮﺩ ﺟﺴﺘﺠﻮ ﻛﺮﺩﻩ ﺗﺎ ﺑﺒﻴﻨﺪ ﺁﻳﺎ ﻛﺎﺭﺑﺮ ﻛﻠﻤﺔﻋﺒﻮﺭ ﺻﺤﻴﺢ ﺑﺮﺍﻱ ‪ ID‬ﺧﻮﺩ ﺭﺍ ﻋﺮﺿﻪ ﻛﺮﺩﻩ ﺍﺳﺖ ﻭ ﺁﻳﺎ‬
‫ﺩﺳﺖﻳﺎﺑﻲ ﺍﻳﻦ ﻛﺎﺭﺑﺮ ﺑﻪ ﺳِﺮﻭﺭ ‪ V‬ﻣﺠﺎﺯ ﻣﻲﺑﺎﺷﺪ‪ .‬ﺍﮔﺮ ﻫﺮ ﺩﻭ ﺟﻮﺍﺏ ﻣﺜﺒﺖ ﺑﺎﺷﺪ‪ AS ،‬ﻛﺎﺭﺑﺮ ﺭﺍ ﺑﻪ ﻋﻨﻮﺍﻥ ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻌﺘﺒﺮ ﺷﻨﺎﺧﺘﻪ ﻭ‬
‫ﺣﺎﻝ ﺑﺎﻳﺴﺘﻲ ﺳِﺮﻭﺭ ﺭﺍ ﻣﺘﻘﺎﻋﺪ ﺳﺎﺯﺩ ﻛﻪ ﺍﻳﻦ ﻛﺎﺭﺑﺮ ﻣﻌﺘﺒﺮ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻛﺎﺭ‪ AS ،‬ﺑﻠﻴﺘﻲ )‪ (ticket‬ﺭﺍ ﺁﻣﺎﺩﻩ ﻣﻲﺳﺎﺯﺩ ﻛﻪ ﺷﺎﻣﻞ‪ID‬‬
‫ﻛﺎﺭﺑﺮ‪ ،‬ﺁﺩﺭﺱ ﺷﺒﻜﻪ ﻭ ‪ ID‬ﺳِﺮﻭﺭ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺑﻠﻴﺖ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺭﻣﺰﻱ ﻛﻪ ﺑﻴﻦ ‪ AS‬ﻭ ﺳِﺮﻭﺭ ﻣﺸﺘﺮﻙ ﺍﺳﺖ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺳﭙﺲ ﺍﻳﻦ ﺑﻠﻴﺖ ﺑﺮﺍﻱ ‪ C‬ﺑﺎﺯﮔﺮﺩﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪ .‬ﭼﻮﻥ ﺑﻠﻴﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻧﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺘﻮﺳﻂ ‪ C‬ﻭ ﻧﻪ ﺑﺘﻮﺳﻂ ﻳﻚ ﺩﺷﻤﻦ‬
‫ﺗﻐﻴﻴﺮ ﻳﺎﺑﺪ‪.‬‬
‫ﺑﺎ ﺍﻳﻦ ﺑﻠﻴﺖ‪ ،‬ﺣﺎﻻ ‪ C‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺳﺮﻭﻳﺲ ﺑﻪ ‪ V‬ﻣﺮﺍﺟﻌﻪ ﻛﻨﺪ‪ C .‬ﭘﻴﺎﻣﻲ ﺭﺍ ﺑﺮﺍﻱ ‪ V‬ﻣﻲﻓﺮﺳﺘﺪ ﻛﻪ ﺷﺎﻣﻞ ‪ ID‬ﺧﻮﺩ ‪ C‬ﻭ‬
‫ﺑﻠﻴﺖ ﺍﺳﺖ‪ V.‬ﺑﻠﻴﺖ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﻭ ﺗﺄﺋﻴﺪ ﻣﻲﻧﻤﺎﻳﺪ ﻛﻪ ‪ ID‬ﻛﺎﺭﺑﺮ ﻛﻪ ﺩﺭ ﺑﻠﻴﺖ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻣﺸﺎﺑﻪ ‪ ID‬ﺭﻣﺰﻧﺸﺪﻩ ﻣﻮﺟﻮﺩ ﺩﺭ‬
‫ﭘﻴﺎﻡ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﺍﻳﻦ ﺩﻭ ﺑﺎ ﻫﻢ ﺗﻄﺒﻴﻖ ﻧﻤﺎﻳﻨﺪ‪ ،‬ﺳِﺮﻭﺭ ﻓﺮﺽ ﺭﺍ ﺑﺮ ﺍﻳﻦ ﻣﻲﮔﺬﺍﺭﺩ ﻛﻪ ﻛﺎﺭﺑﺮ ﺩﺍﺭﺍﻱ ﻫﻮﻳﺖ ﻣﻌﺘﺒﺮ ﺑﻮﺩﻩ ﻭ ﺳﺮﻭﻳﺲ‬
‫ﺩﺭﺧﻮﺍﺳﺘﻲ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺍﻭ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻫﺮﻳﻚ ﺍﺯ ﻣﺆﻟﻔﻪﻫﺎﻱ ﭘﻴﺎﻡ ﺷﻤﺎﺭﺓ )‪ (۳‬ﺩﺍﺭﺍﻱ ﺍﻫﻤﻴﺖ ﻭﻳﮋﻩﺍﻱ ﺍﺳﺖ‪ .‬ﺑﻠﻴﺖ ﺑﺮﺍﻱ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺗﻐﻴﻴﺮ ﻭ ﻳﺎ ﺟﻌﻞ‪ ،‬ﺑﻪ ﺭﻣﺰ ﺩﺭ‬
‫ﻣﻲﺁﻳﺪ‪ ID .‬ﺳِﺮﻭﺭ )‪ (IDv‬ﺩﺭ ﺑﻠﻴﺖ ﺟﺎﻱ ﻣﻴﮕﻴﺮﺩ ﺗﺎ ﺳِﺮﻭﺭ ﺑﺘﻮﺍﻧﺪ ﺗﺄﺋﻴﺪ ﻛﻨﺪ ﻛﻪ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﻠﻴﺖ ﺻﺤﻴﺢ ﺍﻧﺠﺎﻡ ﺷﺪﻩ ﺍﺳﺖ‪IDc .‬‬
‫ﺩﺭ ﺑﻠﻴﺖ ﺟﺎﻱ ﺩﺍﺭﺩ ﺗﺎ ﻧﺸﺎﻥ ﺩﻫﺪ ﻛﻪ ﺍﻳﻦ ﺑﻠﻴﺖ ﺑﺨﺎﻃﺮ ‪ C‬ﺻﺎﺩﺭ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﺎﻻﺧﺮﻩ ‪ ADc‬ﺑﻤﻨﻈﻮﺭ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﻬﺪﻳﺪ ﺯﻳﺮ ﻣﻮﺭﺩ‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١١٦‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺍﺳﺖ‪ .‬ﻳﻚ ﺩﺷﻤﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻠﻴﺖ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺑﻬﻤﺮﺍﻩ ﭘﻴﺎﻡ )‪ (۲‬ﺭﺍ ﺗﺼﺮﻑ ﻛﺮﺩﻩ‪ ،‬ﺍﺯ ﻧﺎﻡ ‪ IDc‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ‬
‫ﻭ ﻳﻚ ﭘﻴﺎﻡ ﺑﺸﻜﻞ )‪ (۳‬ﺭﺍ ﺍﺯ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﺩﻳﮕﺮﻱ ﺍﺭﺳﺎﻝ ﻛﻨﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﺻﻮﺭﺕ ﺳِﺮﻭﺭ ﻳﻚ ﺑﻠﻴﺖ ﻣﻌﺘﺒﺮ ﻛﻪ ﺑﺎ ‪ ID‬ﻛﺎﺭﺑﺮ ﺗﻄﺒﻴﻖ ﺩﺍﺭﺩ‬
‫ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩﻩ ﻭ ﺩﺳﺖﻳﺎﺑﻲ ﺭﺍ ﺑﻪ ﻛﺎﺭﺑﺮ‪ ،‬ﻭﻟﻲ ﺭﻭﻱ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﺩﻳﮕﺮ‪ ،‬ﺍِﻋﻄﺎ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺍﻳﻦ ﺣﻤﻠﻪ‪ AS ،‬ﺁﺩﺭﺱ‬
‫ﺷﺒﻜﻪﺍﻱ ﺭﺍ ﻛﻪ ﺗﻘﺎﺿﺎﻱ ﺍﻭﻟﻴﻪ ﺍﺯ ﺁﻥ ﺻﺎﺩﺭ ﺷﺪﻩ ﺑﻮﺩ ﺩﺭ ﺑﻠﻴﺖ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪ .‬ﺣﺎﻝ ﺑﻠﻴﺖ ﺗﻨﻬﺎ ﻭﻗﺘﻲ ﻣﻌﺘﺒﺮ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﻫﻤﺎﻥ ﺍﻳﺴﺘﮕﺎﻩ‬
‫ﻛﺎﺭﻱ ﺍﺭﺳﺎﻝ ﺷﻮﺩ ﻛﻪ ﺩﺭ ﺑﺪﻭ ﺍﻣﺮ ﺗﻘﺎﺿﺎﻱ ﺑﻠﻴﺖ ﻛﺮﺩﻩ ﺑﻮﺩ‪.‬‬
‫ﻳﻚ ﺩﻳﺎﻟﻮﮒ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﻣﻦﺗﺮ‬

‫ﺍﮔﺮﭼﻪ ﺳﻨﺎﺭﻳﻮﻱ ﻗﺒﻞ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻣﺸﻜﻼﺕ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﺭ ﻳﻚ ﻣﺤﻴﻂ ﺷﺒﻜﻪﺍﻱ ﺑﺎﺯ ﺭﺍ ﺣﻞ ﻣﻲﻛﻨﺪ ﻭﻟﻲ ﺑﺎﺯﻫﻢ ﻣﺸﻜﻼﺗﻲ‬
‫ﺑﺎﻗﻲﺍﺳﺖ ﻛﻪ ﺩﻭﺗﺎﻱ ﺁﻧﻬﺎ ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﻗﺎﺑﻞ ﺗﻮﺟﻪ ﺍﺳﺖ‪ .‬ﺍﻭﻻﹰ ﻋﻼﻗﻪﻣﻨﺪﻳﻢ ﻛﻪ ﺗﻌﺪﺍﺩ ﺩﻓﻌﺎﺗﻲ ﻛﻪ ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﺠﺒﻮﺭ ﺑﻪ ﻭﺍﺭﺩ ﻧﻤﻮﺩﻥ‬
‫ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺧﻮﺩ ﺍﺳﺖ ﺭﺍ ﺑﻪ ﺣﺪﺍﻗﻞ ﺑﺮﺳﺎﻧﻴﻢ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﺍﺯ ﻫﺮ ﺑﻠﻴﺖ ﺻﺎﺩﺭ ﺷﺪﻩ ﺗﻨﻬﺎ ﻳﻜﺒﺎﺭ ﺑﺘﻮﺍﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ‪ .‬ﺍﮔﺮ ﻛﺎﺭﺑﺮ‪ C‬ﺩﺭ‬
‫ﺻﺒﺢ ﻳﻚ ﺭﻭﺯ ﻛﺎﺭﻱ ﺑﻪ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺘﺼﻞ ﺷﺪﻩ ﻭ ﺑﺨﻮﺍﻫﺪ ﻧﺎﻣﻪﻫﺎﻱ ﺧﻮﺩ ﺭﺍ ﺩﺭ ﻳﻚ ﺳِﺮﻭﺭ ﭘﺴﺘﻲ ﻣﺸﺎﻫﺪﻩ ﻧﻤﺎﻳﺪ‪ C ،‬ﺑﺎﻳﺴﺘﻲ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
‫ﺧﻮﺩ ﺭﺍ ﻋﺮﺿﻪ ﻛﺮﺩﻩ ﺗﺎ ﻳﻚ ﺑﻠﻴﺖ ﺑﺮﺍﻱ ﺳِﺮﻭﺭ ﭘﺴﺘﻲ ﺑﻪ ﺍﻭ ﺩﺍﺩﻩ ﺷﻮﺩ‪ .‬ﺍﮔﺮ ‪ C‬ﺑﺨﻮﺍﻫﺪ ﺩﺭ ﻃﻮﻝ ﺭﻭﺯ ﭼﻨﺪﻳﻦ ﻣﺮﺗﺒﻪ ﻧﺎﻣﻪﻫﺎﻱ ﺧﻮﺩ ﺭﺍ‬
‫ﻛﻨﺘﺮﻝ ﻛﻨﺪ‪ ،‬ﺑﺮﺍﻱ ﻫﺮﺑﺎﺭ ﺗﻼﺵ ﻧﻴﺎﺯ ﺑﻪ ﻋﺮﺿﻪ ﻧﻤﻮﺩﻥ ﻣﺠﺪﺩ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺩﺍﺭﺩ‪ .‬ﻣﻲﺗﻮﺍﻥ ﻭﺿﻌﻴﺖ ﺭﺍ ﺑﻬﺒﻮﺩ ﺑﺨﺸﻴﺪ ﺍﮔﺮ ﺑﺘﻮﺍﻥ ﻛﺎﺭﻱ‬
‫ﻛﺮﺩ ﻛﻪ ﻳﻚ ﺑﻠﻴﺖ ﺑﺮﺍﻱ ﺩﻓﻌﺎﺕ ﺩﻳﮕﺮ ﻧﻴﺰ ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺑﺎﺷﺪ‪ .‬ﺑﺮﺍﻱ ﻳﻚ ﺑﺎﺭ ﺍﺗﺼﺎﻝ ﻭ ﮔﻔﺘﮕﻮ‪ ،‬ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻠﻴﺖ ﺳِﺮﻭﺭ‬
‫ﭘﺴﺘﻲ ﺭﺍ ﭘﺲ ﺍﺯ ﺩﺭﻳﺎﻓﺖ ﺫﺧﻴﺮﻩ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺮﺍﻱ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺳِﺮﻭﺭ ﭘﺴﺘﻲ ﺑﻪ ﺩﻓﻌﺎﺕ ﺍﺯ ﺳﻮﻱ ﻛﺎﺭﺑﺮ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﺩﻫﺪ‪.‬‬
‫ﻭﻟﻲ ﺩﺭ ﺗﺤﺖ ﺍﻳﻦ ﺷﺮﺍﻳﻂ‪ ،‬ﺑﺎﺯﻫﻢ ﻛﺎﺭﺑﺮ ﺑﺮﺍﻱ ﺩﺭﺧﻮﺍﺳﺖ ﻫﺮ ﺳﺮﻭﻳﺲ ﺟﺪﻳﺪ ﻧﻴﺎﺯ ﺑﻪ ﻳﻚ ﺑﻠﻴﺖ ﺟﺪﻳﺪ ﺧﻮﺍﻫﺪ ﺩﺍﺷﺖ‪ .‬ﺍﮔﺮ‬
‫ﻛﺎﺭﺑﺮ ﺑﺨﻮﺍﻫﺪ ﺑﻪ ﻳﻚ ﺳِﺮﻭﺭ ﭼﺎﭘﮕﺮ‪ ،‬ﻳﻚ ﺳِﺮﻭﺭ ﭘﺴﺘﻲ ﻭ ﻳﻚ ﺳِﺮﻭﺭ ﻓﺎﻳﻞ ﺩﺳﺘﺮﺳﻲ ﻳﺎﺑﺪ‪ ،‬ﺑﺮﺍﻱ ﺍﻭﻟﻴﻦ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻫﺮﻳﻚ ﺍﺯ ﺍﻳﻨﻬﺎ ﻧﻴﺎﺯ‬
‫ﺑﻪ ﻳﻚ ﺑﻠﻴﺖ ﺟﺪﻳﺪ ﺩﺍﺷﺘﻪ ﻛﻪ ﺩﺭ ﻧﺘﻴﺠﻪ ﺑﺮﺍﻱ ﻛﺴﺐ ﻫﺮ ﺑﻠﻴﺖ ﺑﺎﻳﺴﺘﻲ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺧﻮﺩ ﺭﺍ ﺍﺭﺍﺋﻪ ﺩﻫﺪ‪.‬‬
‫ﻣﺸﻜﻞ ﺩﻭﻡ ﺍﻳﻦﺍﺳﺖ ﻛﻪ ﺩﺭ ﺳﻨﺎﺭﻳﻮﻱ ﻗﺒﻞ‪ ،‬ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﻪ ﺻﻮﺭﺕ ﻳﻚ ﻣﺘﻦ ﺳﺎﺩﻩ ﻭ ﺭﻣﺰﻧﺸﺪﻩ ﺍﻧﺘﻘﺎﻝ ﻣﻲﻳﺎﻓﺖ ]ﭘﻴﺎﻡ)‪.[(۱‬‬
‫ﻳﻚ ﺍﺳﺘﺮﺍﻕﺳﻤﻊﻛﻨﻨﺪﻩ ﻣﻲﺗﻮﺍﻧﺪ ﻛﻠﻤﻪ ﻋﺒﻮﺭ ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﺍﺯ ﻫﺮ ﺳﺮﻭﻳﺴﻲ ﻛﻪ ﻗﺮﺑﺎﻧﻲ‪ ،‬ﻣﺠﺎﺯ ﺑﻪ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺁﻥ ﺑﻮﺩﻩ ﺍﺳﺖ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﺑﺮﺍﻱ ﺣﻞ ﺍﻳﻦ ﻣﺸﻜﻼﺕ ﺍﺿﺎﻓﻲ‪ ،‬ﺭﻭﺷﻲ ﺑﺮﺍﻱ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺍﻧﺘﻘﺎﻝ ﻛﻠﻤﻪ ﻋﺒﻮﺭ ﺑﺼﻮﺭﺕ ﻣﺘﻦ ﺳﺎﺩﻩ‪ ،‬ﻭ ﻫﻤﭽﻨﻴﻦ ﻳﻚ ﺳِﺮﻭﺭ‬
‫ﺟﺪﻳﺪ ﺑﻨﺎﻡ ﺳِﺮﻭﺭ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ )‪ Ticket-Granting Server (TGS‬ﺭﺍ ﻣﻌﺮﻓﻲ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺳﻨﺎﺭﻳﻮﻱ ﺟﺪﻳﺪ ﻛﻪ ﺑﺎﺯﻫﻢ ﻓﺮﺿﻲ‬
‫ﺍﺳﺖ ﺑﻘﺮﺍﺭ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﻳﻚﺑﺎﺭ ﺑﺮﺍﻱ ﻫﺮ ﺍﺗﺼﺎﻝ ﻛﺎﺭﺑﺮ ﺑﻪ ﺳﻴﺴﺘﻢ‬

‫‪(۱) CAS:‬‬ ‫‪IDc || IDtgs‬‬
‫)‪(۲) SC: E(Kc, Ticket tgs‬‬
‫ﻳﻚﺑﺎﺭﺑﺮﺍﻱ ﺗﻘﺎﺿﺎﻱ ﻫﺮﻳﻚ ﺍﺯ ﺍﻧﻮﺍﻉ ﺳﺮﻭﻳﺲ‬
‫‪(۳) CTGS:‬‬ ‫‪IDc || IDv || Tickettgs‬‬

‫‪(۴) TGSC:‬‬ ‫‪Ticketv‬‬
‫‪١١٧‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻳﻚﺑﺎﺭ ﺑﺮﺍﻱ ﻫﺮ ﺍﺟﻼﺱ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺳﺮﻭﻳﺲ‬
‫‪(۵) C V:‬‬ ‫‪IDc || Ticketv‬‬
‫)] ‪Tickettgs = E (Ktgs , [ IDc || ADc || IDtgs || TS1 || Lifetime1‬‬
‫)] ‪Ticketv = E (Kv , [ IDc || ADc || IDv || TS2 || Lifetime2‬‬
‫ﺳﺮﻭﻳﺲ ﺟﺪﻳﺪ‪ ،TGS ،‬ﺑﻠﻴﺖﻫﺎﺋﻲ ﺭﺍ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻧﻲ ﻛﻪ ﺍﻋﺘﺒﺎﺭ ﺁﻧﻬﺎ ﺑﺘﻮﺳﻂ ‪ AS‬ﺗﺄﺋﻴﺪ ﺷﺪﻩ ﺍﺳﺖ ﺻﺎﺩﺭ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ‬
‫ﻛﺎﺭﺑﺮ ﺍﺑﺘﺪﺍ ﺍﺯ ‪ AS‬ﺗﻘﺎﺿﺎﻱ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ )‪ (Tickettgs‬ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﺑﻠﻴﺖ ﺑﺘﻮﺳﻂ ﻣﺪﻭﻝ ﻛﻼﻳﻨﺖ ﺩﺭ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ‬
‫ﻛﺎﺭﺑﺮ ﺫﺧﻴﺮﻩ ﻣﻲﺷﻮﺩ‪ .‬ﻫﺮﺑﺎﺭ ﻛﻪ ﻛﺎﺭﺑﺮ ﻧﻴﺎﺯﻣﻨﺪ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺳﺮﻭﻳﺲ ﺟﺪﻳﺪﻱ ﺍﺳﺖ‪ ،‬ﻛﻼﻳﻨﺖ ﺁﻥ ﺭﺍ ﺑﻪ ‪ TGS‬ﺍﺭﺍﺋﻪ ﺩﺍﺩﻩ ﻭ ﺑﺎ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺑﻠﻴﺖ ﺫﺧﻴﺮﻩ ﺷﺪﻩ ﻫﻮﻳﺖ ﺧﻮﺩ ﺭﺍ ﺑﻪ ﺍﺛﺒﺎﺕ ﻣﻲﺭﺳﺎﻧﺪ‪ .‬ﺁﻧﮕﺎﻩ ‪ TGS‬ﻳﻚ ﺑﻠﻴﺖ ﺑﺮﺍﻱ ﺁﻥ ﺳﺮﻭﻳﺲ ﺧﺎﺹ ﺻﺎﺩﺭ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻛﻼﻳﻨﺖ ﻫﺮ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ ﺭﺍ ﺫﺧﻴﺮﻩ ﻛﺮﺩﻩ ﻭ ﺍﺯ ﺁﻥ ﺑﺮﺍﻱ ﺍﺭﺍﺋﺔ ﺍﻋﺘﺒﺎﺭ ﻛﺎﺭﺑﺮ ﺧﻮﺩ ﺑﻪ ﺳِﺮﻭﺭ‪ ،‬ﺩﺭ ﻫﺮ ﺑﺎﺭ ﺗﻘﺎﺿﺎ ﺑﺮﺍﻱ‬
‫ﺳﺮﻭﻳﺲ ﺧﺎﺻﻲ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺍﺟﺎﺯﻩ ﺩﻫﻴﺪ ﺑﻪ ﺟﺰﺋﻴﺎﺕ ﺍﻣﺮ ﻧﮕﺎﻫﻲ ﺑﻴﻨﺪﺍﺯﻳﻢ‪:‬‬
‫‪ -۱‬ﻛﻼﻳﻨﺖ ﺑﻪ ﻧﻤﺎﻳﻨﺪﮔﻲ ﻛﺎﺭﺑﺮ‪ ،‬ﺩﺭﺧﻮﺍﺳﺖ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺭﺍ ﻛﺮﺩﻩ ﻭ ﺑﺮﺍﻱ ﺍﻳﻦ ﺍﻣﺮ‪ ID‬ﺧﻮﺩ ﻭ ‪ TGS ID‬ﺭﺍ‬
‫ﺑﺮﺍﻱ ‪ AS‬ﻣﻲﻓﺮﺳﺘﺪ ﻛﻪ ﺑﻴﺎﻧﮕﺮ ﺩﺭﺧﻮﺍﺳﺖ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺳﺮﻭﻳﺲ ‪ TGS‬ﺍﺳﺖ‪.‬‬
‫‪ AS -۲‬ﺑﺎ ﺍﺭﺳﺎﻝ ﻳﻚ ﺑﻠﻴﺖ‪،‬ﻛﻪ ﺑﺎ ﻛﻠﻴﺪ ‪ Kc‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺳﺖ ﭘﺎﺳﺦ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﻛﻠﻴﺪ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ ﻛﻪ ﻗﺒﻼﹰ ﺩﺭ‬
‫‪ AS‬ﺫﺧﻴﺮﻩ ﺷﺪﻩ ﺍﺳﺖ ﺗﻬﻴﻪ ﻣﻲﺷﻮﺩ‪ .‬ﻭﻗﺘﻲ ﺍﻳﻦ ﭘﺎﺳﺦ ﻭﺍﺭﺩ ﻛﻼﻳﻨﺖ ﻣﻲﺷﻮﺩ‪ ،‬ﻛﻼﻳﻨﺖ ﺑﺎ ﺍﺭﺳﺎﻝ ﭘﻴﺎﻣﻲ ﺍﺯ ﻛﺎﺭﺑﺮ ﺗﻘﺎﺿﺎﻱ‬
‫ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺮﺩﻩ ﻭ ﺳﭙﺲ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺁﻥ ﻛﻠﻴﺪ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﻭ ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﺗﻼﺵ ﻣﻲﻛﻨﺪ‪ .‬ﺍﮔﺮ ﻛﻠﻤﺔ‬
‫ﻋﺒﻮﺭ ﺻﺤﻴﺢ ﺑﺎﺷﺪ‪ ،‬ﺑﻠﻴﺖ ﺑﻄﻮﺭ ﻣﻮﻓﻘﻴﺖﺁﻣﻴﺰﻱ ﺑﺎﺯﮔﺸﺎﺋﻲ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻧﻈﺮ ﺑﺎﻳﻨﻜﻪ ﻗﺎﻋﺪﺗﺎﹰ ﻓﻘﻂ ﻛﺎﺭﺑﺮ ﺍﺻﻠﻲ ﺑﺎﻳﺴﺘﻲ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺑﺪﺍﻧﺪ‪ ،‬ﺗﻨﻬﺎ ﻛﺎﺭﺑﺮ ﺍﺻﻠﻲ ﻣﻴﺘﻮﺍﻧﺪ ﺑﻠﻴﺖ ﺭﺍ ﺑﺎﺯﻳﺎﺑﻲ ﻛﻨﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﺎ‬
‫ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﺮﺍﻱ ﻛﺴﺐ ﺍﻣﺘﻴﺎﺯﺍﺕ ﺍﺯ ‪ Kerberos‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ ﻧﻴﺎﺯ ﺑﺎﺷﺪ ﺗﺎ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺑﺼﻮﺭﺕ ﻣﺘﻦ ﺳﺎﺩﻩ ﻭ ﺭﻣﺰ‬
‫ﻧﺸﺪﻩ ﺍﺭﺳﺎﻝ ﻛﻨﻴﻢ‪ .‬ﺑﻠﻴﺖ‪ ،‬ﺧﻮﺩ ﺷﺎﻣﻞ ‪ ID‬ﻭ ﺁﺩﺭﺱ ﺷﺒﻜﺔ ﻛﺎﺭﺑﺮ ﻭ ﻫﻤﭽﻨﻴﻦ ‪ ID‬ﺳِﺮﻭﺭ ‪ TGS‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺑﺨﺶ ﻧﻈﻴﺮ ﺳﻨﺎﺭﻳﻮﻱ ﺍﻭﻝ‬
‫ﺍﺳﺖ ﻭ ﻫﺪﻑ ﺍﻳﻦﺍﺳﺖ ﻛﻪ ﻛﺎﺭﺑﺮ ﺑﺘﻮﺍﻧﺪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻳﻦ ﺑﻠﻴﺖ‪ ،‬ﺑﻠﻴﺖﻫﺎﻱ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ ﻣﺘﻌﺪﺩﻱ ﺭﺍ ﺩﺭﺧﻮﺍﺳﺖ ﻛﻨﺪ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺑﺎﻳﺴﺘﻲ ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﺓ ﻣﻜﺮﺭ ﺑﺎﺷﺪ‪ .‬ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ ﻣﺎﻳﻞ ﻧﻴﺴﺘﻴﻢ ﻛﻪ ﻳﻚ ﺩﺷﻤﻦ ﺑﺘﻮﺍﻧﺪ ﺑﻠﻴﺖ ﺭﺍ‬
‫ﺩﺯﺩﻳﺪﻩ ﻭ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪ .‬ﺳﻨﺎﺭﻳﻮﻱ ﺯﻳﺮ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪ :‬ﻳﻚ ﺩﺷﻤﻦ ﺑﻠﻴﺖ ﺭﺍ ﺩﺯﺩﻳﺪﻩ ﻭ ﻣﻨﺘﻈﺮ ﻣﻲﻣﺎﻧﺪ ﺗﺎ ﻛﺎﺭﺑﺮ ﺍﺯ ﺍﻳﺴﺘﮕﺎﻩ‬
‫ﻛﺎﺭﻱ ﺧﻮﺩ ﺟﺪﺍ ﺷﻮﺩ‪ .‬ﺳﭙﺲ ﺍﻳﻦ ﺩﺷﻤﻦ ﻳﺎ ﺑﻪ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﻛﺎﺭﺑﺮ ﺩﺳﺘﺮﺳﻲ ﻓﻴﺰﻳﻜﻲ ﻳﺎﻓﺘﻪ ﻭ ﻳﺎ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﺧﻮﺩ ﺭﺍ ﺑﺎ ﻫﻤﺎﻥ‬
‫ﺁﺩﺭﺱ ﺷﺒﻜﺔ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﻗﺮﺑﺎﻧﻲ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺷﻤﻦ ﻗﺎﺩﺭ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﺗﺎ ﻣﺠﺪﺩﺍﹰ ﺍﺯ ﺑﻠﻴﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ‪ TGS‬ﺭﺍ ﻓﺮﻳﺐ‬
‫ﺩﻫﺪ‪ .‬ﺑﺮﺍﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺍﻳﻦ ﺍﻣﺮ‪ ،‬ﺑﻠﻴﺖ ﺷﺎﻣﻞ ﻳﻚ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ)‪ (timestamp‬ﺍﺳﺖ ﻛﻪ ﺩﺍﺭﺍﻱ ﺗﺎﺭﻳﺦ ﻭ ﻟﺤﻈﺔ ﺻﺪﻭﺭ ﻭ ﻳﻚ ﻃﻮﻝ‬
‫ﻋﻤﺮ ﻛﻪ ﻣﺸﺨﺺﻛﻨﻨﺪﻩ ﻣﺤﺪﻭﺩﺓ ﺯﻣﺎﻧﻲ ﻣﻌﺘﺒﺮ ﺁﻥ ﺍﺳﺖ‪ ،‬ﻣﻲﺑﺎﺷﺪ )ﻣﺜﻼﹰ ‪ ۸‬ﺳﺎﻋﺖ(‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻛﻼﻳﻨﺖ ﺣﺎﻻ ﻳﻚ ﺑﻠﻴﺖ ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻣﻜﺮﺭ ﺩﺍﺷﺘﻪ ﻭ ﻻﺯﻡ ﻧﻴﺴﺖ ﺗﺎ ﺑﺮﺍﻱ ﻫﺮ ﺳﺮﻭﻳﺲ ﺟﺪﻳﺪ ﺍﺯ ﻛﺎﺭﺑﺮ ﺗﻘﺎﺿﺎﻱ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻧﻤﺎﻳﺪ‪ .‬ﺑﺎﻻﺧﺮﻩ ﺗﻮﺟﻪ ﻛﻨﻴﺪ ﻛﻪ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ‬
‫ﺑﻠﻴﺖ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰ ﺳﺮّﻱ ﻛﻪ ﺗﻨﻬﺎ ﺑﺮﺍﻱ ‪ AS‬ﻭ ‪ TGS‬ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺗﻐﻴﻴﺮ ﺑﻠﻴﺖ ﺭﺍ ﻧﺎﻣﻤﻜﻦ‬
‫ﻣﻲﺳﺎﺯﺩ‪ .‬ﺑﻠﻴﺖ ﻣﺠﺪﺩﺍﹰ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﻛﻪ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ ﻣﺸﺘﻖ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﻣﻮﺿﻮﻉ ﺍﻳﻦ ﺍﻃﻤﻴﻨﺎﻥ ﺭﺍ‬
‫ﺍﻳﺠﺎﺩ ﻣﻴﻜﻨﺪ ﻛﻪ ﺑﻠﻴﺖ ﺗﻨﻬﺎ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮ ﻣﻌﺘﺒﺮﻱ ﻛﻪ ﻫﻮﻳﺖ ﺻﺤﻴﺢ ﺧﻮﺩ ﺭﺍ ﺍﻇﻬﺎﺭ ﻣﻴﻜﻨﺪ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺳﺘﺨﺮﺍﺝ ﺷﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١١٨‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺣﺎﻝ ﻛﻪ ﻛﻼﻳﻨﺖ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺩﺍﺭﺩ‪ ،‬ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻫﺮ ﺳِﺮﻭﺭﻱ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻗﺪﻡﻫﺎﻱ ‪ ۳‬ﻭ ‪ ۴‬ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﺍﺳﺖ‪.‬‬
‫‪ -۳‬ﻛﻼﻳﻨﺖ ﺑﻪ ﻧﻤﺎﻳﻨﺪﮔﻲ ﻛﺎﺭﺑﺮ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ ﺭﺍ ﺗﻘﺎﺿﺎ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻘﺼﻮﺩ‪ ،‬ﻛﻼﻳﻨﺖ ﭘﻴﺎﻣﻲ ﻛﻪ ﺷﺎﻣﻞ‬
‫‪ ID‬ﻛﺎﺭﺑﺮ‪ ID ،‬ﺳﺮﻭﻳﺲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻭ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺍﺳﺖ ﺭﺍ ﺑﺮﺍﻱ ‪ TGS‬ﻣﻲﻓﺮﺳﺘﺪ‪.‬‬
‫‪ TGS -۴‬ﺑﻠﻴﺖ ﻭﺭﻭﺩﻱ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪﻱ)‪ (Ktgs‬ﻛﻪ ﺗﻨﻬﺎ ﺑﻴﻦ ‪ AS‬ﻭ ‪ TGS‬ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﮔﺬﺍﺷﺘﻪ ﺷﺪﻩ ﺍﺳﺖ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﻭ‬
‫ﻣﻮﻓﻘﻴﺖ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺭﺍ ﺑﺎ ﻛﺸﻒ ‪ ID‬ﺧﻮﺩ ﺗﺄﺋﻴﺪ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻛﻨﺘﺮﻝ ﻣﻲﻛﻨﺪ ﻛﻪ ﻃﻮﻝ ﻋﻤﺮ ﺑﻠﻴﺖ ﻣﻨﻘﻀﻲ ﻧﺸﺪﻩ‬
‫ﺑﺎﺷﺪ‪ .‬ﺳﭙﺲ ‪ ID‬ﻛﺎﺭﺑﺮ ﻭ ﺁﺩﺭﺱ ﺷﺒﻜﻪ ﺭﺍ ﺑﺎ ﺍﻃﻼﻋﺎﺕ ﻭﺭﻭﺩﻱ ﺗﻄﺒﻴﻖ ﻛﺮﺩﻩ ﺗﺎ ﺍﻋﺘﺒﺎﺭ ﻛﺎﺭﺑﺮ ﺭﺍ ﺑﺴﻨﺠﺪ‪ .‬ﺍﮔﺮ ﻛﺎﺭﺑﺮ ﻣﺠﺎﺯ‬
‫ﺑﻪ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ‪ V‬ﺑﺎﺷﺪ‪ TGS ،‬ﻳﻚ ﺑﻠﻴﺖ ﺑﺮﺍﻱ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺳﺮﻭﻳﺲ ﺗﻘﺎﺿﺎﺷﺪﻩ ﺻﺎﺩﺭ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ ﺩﺍﺭﺍﻱ ﻫﻤﺎﻥ ﺳﺎﺧﺘﺎﺭ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺍﺳﺖ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﭼﻮﻥ ‪ TGS‬ﻳﻚ ﺳِﺮﻭﺭ ﺍﺳﺖ‪،‬‬
‫ﻃﺒﻴﻌﺘﺎﹰ ﺍﻧﺘﻈﺎﺭ ﻣﻴﺮﻭﺩ ﻛﻪ ﻫﻤﺎﻥ ﻋﻨﺎﺻﺮﻱ ﻛﻪ ﺑﺮﺍﻱ ﻣﻌﺮﻓﻲ ﻳﻚ ﻛﻼﻳﻨﺖ ﺑﻪ ‪ TGS‬ﻻﺯﻡﺍﻧﺪ ﺑﺮﺍﻱ ﻣﻌﺮﻓﻲ ﻛﻼﻳﻨﺖ ﺑﻪ ﺳِﺮﻭﺭ ﻛﺎﺭﺑﺮﺩﻫﺎ‬
‫ﻧﻴﺰ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺑﺎﺷﻨﺪ‪ .‬ﺑﺎﺯﻫﻢ ﺑﻠﻴﺖ ﺷﺎﻣﻞ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﻭ ﻃﻮﻝ ﻋﻤﺮ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﻛﺎﺭﺑﺮ ﺩﺭﺧﻮﺍﺳﺖ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻫﻤﺎﻥ ﺳﺮﻭﻳﺲ ﺩﺭ‬
‫ﺯﻣﺎﻧﻲ ﺩﻳﮕﺮ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻛﻼﻳﻨﺖ ﻣﻴﺘﻮﺍﻧﺪ ﺑﺴﺎﺩﮔﻲ ﺍﺯ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ ﻗﺒﻠﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﻣﺠﺪﺩﺍﹰ ﺑﺮﺍﻱ ﺍﺧﺬ ﻛﻠﻤﺔ‬
‫ﻋﺒﻮﺭ ﻣﺰﺍﺣﻢ ﻛﺎﺭﺑﺮ ﻧﺸﻮﺩ‪ .‬ﺗﻮﺟﻪ ﻛﻨﻴﺪ ﻛﻪ ﺑﻠﻴﺖ ﺑﺎ ﻛﻠﻴﺪ ﺳﺮﻱ ‪ Kv‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﻛﻪ ﺍﻳﻦ ﻛﻠﻴﺪ ﻓﻘﻂ ﺑﺮﺍﻱ ‪ TGS‬ﻭ ﺳِﺮﻭﺭ ﺷﻨﺎﺧﺘﻪ‬
‫ﺷﺪﻩ ﺑﻮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺩﺧﻞ ﺗﺼﺮﻑ ﺩﺭ ﺁﻥ ﻣﻤﻜﻦ ﻧﻴﺴﺖ‪.‬‬
‫ﺑﺎﻻﺧﺮﻩ ﺑﺎ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ‪ ،‬ﻛﻼﻳﻨﺖ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ﻃﺮﻳﻖ ﻗﺪﻡ ‪ ۵‬ﺑﻪ ﺳﺮﻭﻳﺲ ﻣﻮﺭﺩ ﻧﻈﺮ ﺩﺳﺖ ﻳﺎﺑﺪ‪.‬‬
‫‪ -۵‬ﻛﻼﻳﻨﺖ ﺑﻪ ﻧﻤﺎﻳﻨﺪﮔﻲ ﻛﺎﺭﺑﺮ ﺗﻘﺎﺿﺎﻱ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺳﺮﻭﻳﺴﻲ ﺭﺍ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﻛﻼﻳﻨﺖ ﭘﻴﺎﻣﻲ ﺭﺍ ﺑﻪ ﺳﺮﻭﺭ‬
‫ﻣﻨﺘﻘﻞ ﻣﻲﻛﻨﺪ ﻛﻪ ﺷﺎﻣﻞ ‪ ID‬ﻛﺎﺭﺑﺮ ﻭ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ ﺍﺳﺖ‪ .‬ﺳِﺮﻭﺭ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣﺤﺘﻮﻳﺎﺕ ﺑﻠﻴﺖ‪ ،‬ﺍﻋﺘﺒﺎﺭ ﺁﻥ ﺭﺍ‬
‫ﻣﻲﺳﻨﺠﺪ‪.‬‬
‫ﺍﻳﻦ ﺳﻨﺎﺭﻳﻮﻱ ﺟﺪﻳﺪ ﺩﻭ ﻧﻴﺎﺯ ﺫﻛﺮ ﺷﺪﻩ ﻳﻌﻨﻲ ﻓﻘﻂ ﻳﻜﺒﺎﺭ ﺩﺭﺧﻮﺍﺳﺖ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺩﺭ ﻫﺮ ﻣﺮﺗﺒﻪ ﺍﺗﺼﺎﻝ ﻛﺎﺭﺑﺮ ﺑﻪ ﺷﺒﻜﻪ‪ ،‬ﻭ‬
‫ﻫﻤﭽﻨﻴﻦ ﻣﺤﺎﻓﻈﺖ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ ﺭﺍ ﺑﺮﺁﻭﺭﺩﻩ ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫ﺩﻳﺎﻟﻮﮒ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻧﺴﺨﺔ ‪۴‬‬

‫ﺍﮔﺮﭼﻪ ﺳﻨﺎﺭﻳﻮﻱ ﺫﻛﺮﺷﺪﻩ ﺩﺭ ﺑﺎﻻ ﺩﺭ ﻣﻘﺎﻳﺴﻪ ﺑﺎ ﺳﻨﺎﺭﻳﻮﻱ ﺍﻭﻝ‪ ،‬ﺍﻣﻨﻴﺖ ﺭﺍ ﺑﻬﺒﻮﺩ ﻣﻲﺑﺨﺸﺪ ﻭﻟﻲ ﻫﻨﻮﺯ ﺩﻭ ﻣﺸﻜﻞ ﺑﺎﻗﻲ ﺍﺳﺖ‪.‬‬
‫ﺟﻮﻫﺮ ﻣﺸﻜﻞ ﺍﻭﻝ‪ ،‬ﻃﻮﻝ ﻋﻤﺮﻱ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﮔﻨﺠﺎﻧﺪﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﻃﻮﻝ ﻋﻤﺮ ﺧﻴﻠﻲ ﻛﻮﺗﺎﻩ ﺑﺎﺷﺪ )ﻣﺜﻼﹰ ﭼﻨﺪ‬
‫ﺩﻗﻴﻘﻪ(‪ ،‬ﺁﻧﮕﺎﻩ ﺑﻪ ﺩﻓﻌﺎﺕ ﺍﺯ ﻛﺎﺭﺑﺮ ﺗﻘﺎﺿﺎﻱ ﺍﺭﺍﺋﺔ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺍﮔﺮ ﻃﻮﻝ ﻋﻤﺮ ﺯﻳﺎﺩ ﺑﺎﺷﺪ)ﻣﺜﻼﹰ ﺳﺎﻋﺖﻫﺎ(‪ ،‬ﺁﻧﮕﺎﻩ ﻳﻚ ﺩﺷﻤﻦ‬
‫ﻓﺮﺿﻲ ﻓﺮﺻﺖ ﺯﻳﺎﺩﺗﺮﻱ ﺑﺮﺍﻱ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺧﻮﺍﻫﺪ ﺩﺍﺷﺖ‪ .‬ﻳﻚ ﺩﺷﻤﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﺭﻭﻱ ﺷﺒﻜﻪ ﺍﺳﺘﺮﺍﻕﺳﻤﻊ ﻛﺮﺩﻩ ﻭ ﻳﻚ ﻛﭙﻲ ﺍﺯ ﺑﻠﻴﺖ‬
‫ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺭﺍ ﺑﺪﺯﺩﺩ ﻭ ﺳﭙﺲ ﺁﻧﻘﺪﺭ ﺻﺒﺮ ﻛﻨﺪ ﺗﺎ ﻛﺎﺭﺑﺮ ﻗﺎﻧﻮﻧﻲ ﺍﺯ ﺳﻴﺴﺘﻢ ﺧﺎﺭﺝ ﺷﻮﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﺻﻮﺭﺕ ﺩﺷﻤﻦ ﻣﻴﺘﻮﺍﻧﺪ ﺁﺩﺭﺱ‬
‫ﺷﺒﻜﺔ ﻛﺎﺭﺑﺮ ﻗﺎﻧﻮﻧﻲ ﺭﺍ ﺟﻌﻞ ﻛﺮﺩﻩ ﻭ ﭘﻴﺎﻡ ﻣﺮﺣﻠﺔ )‪ (۳‬ﺭﺍ ﺑﺮﺍﻱ ‪ TGS‬ﺍﺭﺳﺎﻝ ﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺑﻪ ﺩﺷﻤﻦ ﺍﺟﺎﺯﻩ ﺧﻮﺍﻫﺪ ﺩﺍﺩ ﺗﺎ ﺩﺳﺘﺮﺳﻲ‬
‫ﻧﺎﻣﺤﺪﻭﺩﻱ ﺑﻪ ﻣﻨﺎﺑﻊ ﻭ ﻓﺎﻳﻞﻫﺎﻱ ﻛﺎﺭﺑﺮ ﻗﺎﻧﻮﻧﻲ ﭘﻴﺪﺍ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺑﻬﻤﻴﻦ ﺗﺮﺗﻴﺐ ﺍﮔﺮ ﺩﺷﻤﻦ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ ﺭﺍ ﺩﺯﺩﻳﺪﻩ ﻭ ﺍﺯ ﺁﻥ ﻗﺒﻞ ﺍﺯ ﭘﺎﻳﺎﻥ ﻣﻬﻠﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪ ،‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ‬
‫ﺳﺮﻭﻳﺲﻫﺎﻱ ﻧﻈﻴﺮ ﺁﻥ ﺩﺳﺖ ﻳﺎﺑﺪ‪.‬‬
‫‪١١٩‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﻧﻴﺎﺯ ﺩﻳﮕﺮﻱ ﭼﻬﺮﻩ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﻳﻚ ﺳﺮﻭﻳﺲ ﺷﺒﻜﻪ )‪ TGS‬ﻳﺎ ﻳﻚ ﺳﺮﻭﻳﺲ ﻛﺎﺭﺑﺮﺩﻱ( ﺑﺎﻳﺴﺘﻲ ﺑﺘﻮﺍﻧﺪ ﺍﺛﺒﺎﺕ ﻛﻨﺪ ﻛﻪ‬
‫ﺷﺨﺼﻲ ﻛﻪ ﺍﺯ ﺑﻠﻴﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﻫﻤﺎﻥ ﺷﺨﺼﻲ ﺍﺳﺖ ﻛﻪ ﺑﻠﻴﺖ ﺑﺮﺍﻱ ﺍﻭ ﺻﺎﺩﺭ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻣﺴﺄﻟﺔ ﺩﻭﻡ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﻴﺎﺯ ﺑﺎﺷﺪ ﺗﺎ ﺳِﺮﻭﺭﻫﺎ ﻧﻴﺰ ﺍﻋﺘﺒﺎﺭ ﺧﻮﺩ ﺭﺍ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻥ ﺑﻪ ﺍﺛﺒﺎﺕ ﺑﺮﺳﺎﻧﻨﺪ‪ .‬ﺑﺪﻭﻥ ﺍﺛﺒﺎﺕ‬
‫ﭼﻨﻴﻦ ﺍﻋﺘﺒﺎﺭﻱ‪ ،‬ﻳﻚ ﺩﺷﻤﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺭﺍ ﻃﻮﺭﻱ ﻣﻮﺭﺩ ﺧﺮﺍﺑﻜﺎﺭﻱ ﻗﺮﺍﺭ ﺩﻫﺪ ﻛﻪ ﭘﻴﺎﻡﻫﺎﻱ ﺑﻤﻘﺼﺪ ﺳِﺮﻭﺭ ﺑﻪ ﻣﺤﻞ ﺩﻳﮕﺮﻱ‬
‫ﺑﺮﻭﻧﺪ‪ .‬ﺩﺭ ﺍﻳﻨﺼﻮﺭﺕ ﺳِﺮﻭﺭ ﻗﻼﺑﻲ ﺑﺠﺎﻱ ﺳِﺮﻭﺭ ﺍﺻﻠﻲ ﻧﺸﺴﺘﻪ‪ ،‬ﺍﻃﻼﻋﺎﺕ ﻛﺎﺭﺑﺮ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻧﻤﻮﺩﻩ ﻭ ﻣﺎﻧﻊ ﺍﺯ ﺩﺍﺩﻥ ﺳﺮﻭﻳﺲ ﺻﺤﻴﺢ ﺑﻪ‬
‫ﺍﻭ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺍﻳﻦ ﻣﺸﻜﻼﺕ ﺭﺍ ﺑﻨﻮﺑﺖ ﺑﺮﺭﺳﻲ ﻛﺮﺩﻩ ﻭ ﺑﻪ ﺟﺪﻭﻝ ‪ ۴-۱‬ﻛﻪ ﭘﺮﻭﺗﻜﻞ ‪ Kerberos‬ﻭﺍﻗﻌﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻴﺪﻫﺪ ﺍﺭﺟﺎﻉ ﻣﻲﺩﻫﻴﻢ‪.‬‬
‫ﺩﺭ ﻭﻫﻠﺔ ﺍﻭﻝ ﺑﻪ ﻣﺴﺄﻟﺔ ﺭﺑﻮﺩﻩ ﺷﺪﻥ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﻭ ﻧﻴﺎﺯ ﺑﻪ ﺍﺛﺒﺎﺕ ﺍﻳﻨﻜﻪ ﻋﺮﺿﻪﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﻫﻤﺎﻥ ﻛﻼﻳﻨﺘﻲ ﺍﺳﺖ ﻛﻪ‬
‫ﺑﻠﻴﺖ ﺑﺮﺍﻱ ﺍﻭ ﺻﺎﺩﺭ ﺷﺪﻩ ﺍﺳﺖ ﻣﻲﭘﺮﺩﺍﺯﻳﻢ‪ .‬ﺗﻬﺪﻳﺪﻱ ﻛﻪ ﺩﺭ ﺍﻳﻨﺠﺎ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﺍﻳﻦﺍﺳﺖ ﻛﻪ ﺩﺷﻤﻦ ﺑﻠﻴﺖ ﺭﺍ ﺩﺯﺩﻳﺪﻩ ﻭ ﻗﺒﻞ ﺍﺯ‬
‫ﺍﻧﻘﻀﺎﻱ ﻣﻬﻠﺖ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﺪ‪ .‬ﺑﺮﺍﻱ ﻏﻠﺒﻪ ﺑﺮ ﺍﻳﻦ ﻣﺸﻜﻞ ﻓﺮﺽ ﻣﻲﻛﻨﻴﻢ ‪ AS‬ﺭﺍ ﻣﺠﺒﻮﺭ ﺳﺎﺯﻳﻢ ﺗﺎ ﻫﻢ ﻛﻼﻳﻨﺖ ﻭ ﻫﻢ ‪ TGS‬ﺭﺍ‬
‫ﺑﺎ ﻧﻮﻋﻲ ﺍﻃﻼﻋﺎﺕ ﺳﺮّﻱ ﺑﻪﻧﺤﻮ ﺍﻣﻨﻲ ﺗﺠﻬﻴﺰ ﻧﻤﺎﻳﺪ‪ .‬ﺁﻧﮕﺎﻩ ﻛﻼﻳﻨﺖ ﻣﻲﺗﻮﺍﻧﺪ ﻫﻮﻳﺖ ﺧﻮﺩ ﺭﺍ ﺑﺎ ﺁﺷﻜﺎﺭﻧﻤﻮﺩﻥ ﻫﻤﺎﻥ ﺍﻃﻼﻋﺎﺕ ﺳﺮّﻱ‪،‬‬
‫ﺑﺎﺯﻫﻢ ﺑﻪﻧﺤﻮ ﺍﻣﻨﻲ‪ ،‬ﺑﻪ ﺍﺛﺒﺎﺕ ﺑﺮﺳﺎﻧﺪ‪ .‬ﻳﻚ ﺭﻭﺵ ﻣﺆﺛﺮ ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﺍﻳﻦ ﺍﻣﺮ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﻣﻦ ﺍﺳﺖ ﻛﻪ ﺩﺭ‬
‫‪ Kerberos‬ﻛﻠﻴﺪ ﺍﺟﻼﺱ)‪ (Session key‬ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺟﺪﻭﻝ ‪۴-۱‬ﺍﻟﻒ ﺭﻭﺵ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻫﻤﺎﻧﻨﺪ ﻗﺒﻞ‪ ،‬ﻛﻼﻳﻨﺖ ﺑﺎ ﺍﺭﺳﺎﻝ ﻳﻚ ﭘﻴﺎﻡ ﺑﻪ ‪ AS‬ﺩﺭﺧﻮﺍﺳﺖ‬
‫ﺩﺳﺘﺮﺳﻲ ﺑﻪ ‪ TGS‬ﺭﺍ ﻣﻲﻧﻤﺎﻳﺪ‪ AS .‬ﺑﺎ ﻳـﻚ ﭘﻴﺎﻡ‪،‬ﻛﻪ ﺑﺘﻮﺳﻂ ﻳﻚ ﻛﻠﻴﺪ ﻛﻪ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ ﻣﺸﺘﻖ ﺷﺪﻩ )‪ (Kc‬ﺭﻣـﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ‬
‫ﺍﺳﺖ ﻭ ﺷﺎﻣﻞ ﺑﻠﻴﺖ ﺍﺳﺖ ﭘﺎﺳﺦ ﻣﻲﺩﻫﺪ‪ .‬ﭘﻴﺎﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﻫﻤﭽﻨﻴﻦ ﺷﺎﻣﻞ ﻳﻚ ﻛﭙﻲ ﺍﺯ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ‪ Kc,tgs‬ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺁﻥ‬
‫ﺍﻧﺪﻳﺲﻫﺎ ﻧﺸﺎﻥ ﻣﻲﺩﻫﻨﺪ ﻛﻪ ﺍﻳﻦ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ‪ C‬ﻭ ‪ TGS‬ﺍﺳﺖ‪ .‬ﭼﻮﻥ ﻛﻠﻴـﺪ ﺍﺟﻼﺱ ﺩﺭ ﺩﺭﻭﻥ ﭘﻴﺎﻣﻲ ﺍﺳﺖ ﻛﻪ ﺑﺎ ‪ Kc‬ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﺧﻼﺻﻪﺍﻱ ﺍﺯ ﻣﺒﺎﺩﻟﺔ ﭘﻴﺎﻡﻫﺎ ﺩﺭ ‪Kerberos Version 4‬‬ ‫ﺟﺪﻭﻝ ‪۴-۱‬‬
‫)ﺍﻟﻒ( ﻣﺒﺎﺩﻟﺔ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ :‬ﺑﺮﺍﻱ ﻛﺴﺐ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ‬

‫)‪(۱‬‬ ‫‪C→ AS:‬‬ ‫‪IDc || IDtgs || TS1‬‬
‫)‪(۲‬‬ ‫‪AS→ C:‬‬ ‫)]‪E (Kc , [Kc,tgs || IDtgs || TS2 || Lifetime2 || Tickettgs‬‬
‫)]‪Tickettgs = E (Ktgs , [Kc,tgs || IDc || ADc || IDtgs || TS2 || Lifetime2‬‬
‫)ﺏ( ﻣﺒﺎﺩﻟﺔ ﺳﺮﻭﻳﺲ ﺍﻋﻄﺎﺀ‪ -‬ﺑﻠﻴﺖ‪ :‬ﺑﺮﺍﻱ ﻛﺴﺐ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ‬
‫)‪(۳‬‬ ‫‪C→ TGS:‬‬ ‫‪IDv || Tickettgs || Authenticatorc‬‬
‫)‪(۴‬‬ ‫‪TGS→ C:‬‬ ‫)]‪E (Kc,tgs , [Kc,v || IDv || TS4 || Ticketv‬‬
‫)]‪Tickettgs = E (Ktgs , [Kc,tgs || IDc || ADc || IDtgs || TS2 || Lifetime2‬‬
‫)]‪Ticketv = E (Kv , [Kc,v || IDc || ADc || IDv || TS4 || Lifetime4‬‬
‫)]‪Authenticatorc = E (Kc,tgs , [IDc || ADc || TS3‬‬
‫)ﺝ( ﻣﺒﺎﺩﻟﺔ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﻼﻳﻨﺖ‪ /‬ﺳِﺮﻭﺭ‪ :‬ﺑﺮﺍﻱ ﻛﺴﺐ ﺳﺮﻭﻳﺲ‬
‫)‪(۵‬‬ ‫‪C→ V:‬‬ ‫‪Ticketv || Authenticatorc‬‬
‫)‪(۶‬‬ ‫‪V→ C:‬‬ ‫)]‪E (Kc,v , [TS5 + 1‬‬ ‫)ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺘﻘﺎﺑﻞ(‬
‫)]‪Ticketv = E (Kv , [Kc,v || IDc || ADc || IDv || TS4 || Lifetime4‬‬
‫)]‪Authenticatorc = E (Kc,v , [IDc || ADc || TS5‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٢٠‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺗﻨﻬﺎ ﻛﻼﻳﻨﺖ ﻛﺎﺭﺑﺮ ﻣﻲﺗﻮﺍﻧﺪ ﺁﻥ ﺭﺍ ﺑﺨﻮﺍﻧﺪ‪ .‬ﻫﻤﻴﻦ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺩﺭ ﺑﻠﻴﺖ ﻧﻴﺰ ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﻛﻪ ﺗﻨﻬﺎ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺘﻮﺳﻂ ‪TGS‬‬
‫ﺧﻮﺍﻧﺪﻩ ﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺑﺼﻮﺭﺕ ﺍﻣﻦ ﻫﻢ ﺑﻪ ‪ C‬ﻭ ﻫﻢ ﺑﻪ ‪ TGS‬ﺗﺤﻮﻳﻞ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺗﻮﺟﻪ ﻛﻨﻴﺪ ﻛﻪ ﭼﻨﺪ ﺑﺨﺶ ﺍﻃﻼﻋﺎﺕ ﺍﺿﺎﻓﻲ ﺑﻪ ﺍﻭﻟﻴﻦ ﻓﺎﺯ ﺩﻳﺎﻟﻮﮒ ﺍﺿﺎﻓﻪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﭘﻴﺎﻡ )‪ (۱‬ﺷﺎﻣﻞ ﻳﻚ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ‬
‫ﺑﻮﺩﻩ ﺗﺎ ‪ AS‬ﺑﺪﺍﻧﺪ ﻛﻪ ﭘﻴﺎﻡ ﺩﺍﺭﺍﻱ ﻣﺤﺪﻭﺩﻳﺖ ﺯﻣﺎﻧﻲ ﺍﺳﺖ‪ .‬ﭘﻴﺎﻡ )‪ (۲‬ﺷﺎﻣﻞ ﭼﻨﺪﻳﻦ ﻋﻨﺼﺮ ﺑﻠﻴﺖ ﺑﻪ ﻓﺮﻣﻲ ﺍﺳﺖ ﻛﻪ ﻗﺎﺑﻞ ﺩﺳﺘﺮﺱ‬
‫ﺑﺮﺍﻱ ‪ C‬ﺑﺎﺷﺪ‪ .‬ﺑﺎﻳﻦ ﺗﺮﺗﻴﺐ ‪ C‬ﻗﺎﺩﺭ ﺍﺳﺖ ﺗﺄﺋﻴﺪ ﻛﻨﺪ ﻛﻪ ﺍﻳﻦ ﺑﻠﻴﺖ ﺑﺮﺍﻱ ‪ TGS‬ﺑﻮﺩﻩ ﻭ ﺍﺯ ﺯﻣﺎﻥ ﺍﻧﻘﻀﺎﻱ ﺁﻥ ﺁﮔﺎﻫﻲ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫ﺑﺎ ﻣﺴﻠﺢ ﺷﺪﻥ ﺑﻪ ﺑﻠﻴﺖ ﻭ ﻛﻠﻴﺪ ﺍﺟﻼﺱ‪ C ،‬ﺁﻣﺎﺩﻩ ﺍﺳﺖ ﻛﻪ ﺑﻪ ‪ TGS‬ﻧﺰﺩﻳﻚ ﺷﻮﺩ‪ .‬ﻫﻤﺎﻧﻨﺪ ﻗﺒﻞ‪ C ،‬ﭘﻴﺎﻣﻲ ﺭﺍ ﻛﻪ ﺷﺎﻣﻞ‬
‫ﺑﻠﻴﺖ ﺑﺎﺿﺎﻓﺔ ‪ ID‬ﺳﺮﻭﻳﺲ ﺩﺭﺧﻮﺍﺳﺘﻲ ]ﭘﻴﺎﻡ )‪ (۳‬ﺩﺭ ﺟﺪﻭﻝ ‪۴-۱‬ﺏ[ ﺍﺳﺖ ﺑﺮﺍﻱ ‪ TGS‬ﻣﻲﻓﺮﺳﺘﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ‪ C ،‬ﻳﻚ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ‬
‫ﻛﻪ ﺷﺎﻣﻞ ‪ ID‬ﻭ ﺁﺩﺭﺱ ﻛﺎﺭﺑﺮ‪ C‬ﻭ ﻳﻚ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﺍﺳﺖ ﺭﺍ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺧﻼﻑ ﺑﻠﻴﺖ‪ ،‬ﻛﻪ ﺩﻭﺑﺎﺭﻩ ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺳﺖ‪،‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﻓﻘﻂ ﻳﻚﺑﺎﺭ ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺑﻮﺩﻩ ﻭ ﻃﻮﻝ ﻋﻤﺮ ﻛﻮﺗﺎﻫﻲ ﺩﺍﺭﺩ‪ TGS .‬ﻣﻴﺘﻮﺍﻧﺪ ﺑﺎ ﻛﻠﻴﺪﻱ ﻛﻪ ﺑﺎ ‪ AS‬ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﺩﺍﺭﺩ‪ ،‬ﺑﻠﻴﺖ ﺭﺍ‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﺑﻠﻴﺖ ﻧﺸﺎﻥ ﻣﻴﺪﻫﺪ ﻛﻪ ﻛﺎﺭﺑﺮ ‪ C‬ﺑﺎ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ‪ Kc,tgs‬ﺗﺠﻬﻴﺰﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﺑﻠﻴﺖ ﻣﻴﮕﻮﻳﺪ‪» ،‬ﻫﺮﻛﻪ ﺍﺯ‬
‫‪ Kc,tgs‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﺑﺎﻳﺴﺘﻲ ‪ C‬ﺑﺎﺷﺪ«‪ TGS .‬ﺍﺯ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺪﻧﺒﺎﻝ ﺁﻥ ‪TGS‬‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺍﺳﻢ ﻭ ﺁﺩﺭﺱ ﺍﺳﺘﺨﺮﺍﺝ ﺷﺪﻩ ﺍﺯ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺭﺍ ﺑﺎ ﻫﻤﻴﻦ ﻣﻮﺍﺭﺩ ﺩﺭ ﺑﻠﻴﺖ ﻭ ﺁﺩﺭﺱ ﺷﺒﻜﻪﺍﻱ ﻛﻪ ﭘﻴﺎﻡ ﺍﺯ ﺁﻥ ﻭﺍﺭﺩ ﺷﺪﻩ ﺍﺳﺖ‬
‫ﻣﻘﺎﻳﺴﻪ ﻧﻤﺎﻳﺪ‪ .‬ﺍﮔﺮ ﻫﻤﺔ ﺍﻳﻨﻬﺎ ﺑﺎ ﻫﻢ ﺗﻄﺒﻴﻖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ ،‬ﺁﻧﮕﺎﻩ ‪ TGS‬ﻣﻄﻤﺌﻦ ﻣﻲﺷﻮﺩ ﻛﻪ ﺍﺭﺳﺎﻝﻛﻨﻨﺪﺓ ﺍﻳﻦ ﺑﻠﻴﺖ ﻭﺍﻗﻌﺎﹰ ﻫﻤﺎﻥ ﺻﺎﺣﺐ‬
‫ﺑﻠﻴﺖ ﺍﺳﺖ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﺗﺄﺋﻴﺪﻛﻨﻨﺪﻩ ﻣﻲﮔﻮﻳﺪ »ﺩﺭ ﺯﻣﺎﻥ ‪ ،TS3‬ﻣﻦ ﺑﺪﻳﻦﻭﺳﻴﻠﻪ ﺍﺯ ‪ Kc,tgs‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻢ‪ «.‬ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﺑﻠﻴﺖ‬
‫ﻫﻮﻳﺖ ﻛﺴﻲ ﺭﺍ ﺍﺛﺒﺎﺕ ﻧﻤﻲﻛﻨﺪ ﺑﻠﻜﻪ ﺭﻭﺵ ﺍﻣﻨﻲ ﺑﺮﺍﻱ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪﻫﺎﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺍﺳﺖ ﻛﻪ ﻫﻮﻳﺖ ﻛﻼﻳﻨﺖ ﺭﺍ ﺑﻪ ﺍﺛﺒﺎﺕ‬
‫ﻣﻲﺭﺳﺎﻧﺪ‪ .‬ﭼﻮﻥ ﺍﺯ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺗﻨﻬﺎ ﻳﻚﺑﺎﺭ ﻣﻲﺗﻮﺍﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ ﻭ ﺩﺍﺭﺍﻱ ﻃﻮﻝ ﻋﻤﺮ ﻛﻮﺗﺎﻫﻲ ﻧﻴﺰ ﻫﺴﺖ‪ ،‬ﺍﻣﻜﺎﻥ ﺍﻳﻨﻜﻪ ﻳﻚ ﺩﺷﻤﻦ ﻫﻢ‬
‫ﺑﻠﻴﺖ ﻭ ﻫﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺭﺍ ﺩﺯﺩﻳﺪﻩ ﻭ ﺩﺭ ﺁﻳﻨﺪﻩ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ ﺍﺯ ﺑﻴﻦ ﻣﻲﺭﻭﺩ‪.‬‬
‫ﭘﺎﺳﺦ ‪ TGS‬ﺩﺭ ﭘﻴﺎﻡ )‪ (۴‬ﺍﺯ ﻓﺮﻡ ﭘﻴﺎﻡ )‪ (۲‬ﺗﺒﻌﻴﺖ ﻣﻲﻛﻨﺪ‪ .‬ﭘﻴﺎﻡ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻛﻪ ﻣﺸﺘﺮﻙ ﺑﻴﻦ ‪ TGS‬ﻭ ‪ C‬ﺍﺳﺖ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﻭ ﺷﺎﻣﻞ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻛﻪ ﺑﻴﻦ ‪ C‬ﻭ ﺳِﺮﻭﺭ‪ V‬ﻣﺸﺘﺮﻙ ﺍﺳﺖ‪ ID ،‬ﺳِﺮﻭﺭ‪ ،V‬ﻭ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﺑﻠﻴﺖ ﻣﻲﺑﺎﺷﺪ‪.‬‬
‫ﺧﻮﺩ ﺑﻠﻴﺖ ﺷﺎﻣﻞ ﻫﻤﺎﻥ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺍﺳﺖ‪.‬‬
‫‪ C‬ﺍﻛﻨﻮﻥ ﺩﺍﺭﺍﻱ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺑﺮﺍﻱ‪ V‬ﺍﺳﺖ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎﺭﻫﺎ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪ .‬ﻭﻗﺘﻲ ‪ C‬ﺍﻳﻦ ﺑﻠﻴﺖ ﺭﺍ‪،‬‬
‫ﻫﻤﺎﻧﻨﺪ ﺁﻧﭽﻪ ﺩﺭ ﭘﻴﺎﻡ )‪ (۵‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ﻋﺮﺿﻪ ﻣﻲﺩﺍﺭﺩ‪ ،‬ﻳﻚ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺭﺍ ﻧﻴﺰ ﺑﺎ ﺁﻥ ﻣﻲﻓﺮﺳﺘﺪ‪ .‬ﺳِﺮﻭﺭ ﻣﻴﺘﻮﺍﻧﺪ ﺑﻠﻴﺖ ﺭﺍ‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ‪ ،‬ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﺍ ﺍﺳﺘﺨﺮﺍﺝ ﻧﻤﻮﺩﻩ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺭﺍ ﻧﻴﺰ ﺍﺯ ﺭﻣﺰ ﺩﺭﺁﻭﺭﺩ‪.‬‬
‫ﺍﮔﺮ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺘﻘﺎﺑﻞ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺑﺎﺷﺪ‪ ،‬ﺳِﺮﻭﺭ ﻣﻴﺘﻮﺍﻧﺪ ﻫﻤﺎﻧﻨﺪ ﭘﻴﺎﻡ )‪ (۶‬ﺩﺭ ﺟﺪﻭﻝ ‪ ۴-۱‬ﭘﺎﺳﺦ ﺩﻫﺪ‪ .‬ﺳِﺮﻭﺭ ﺍﻧﺪﺍﺯﺓ‬
‫ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﺩﺭ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺭﺍ ﺑﻪ ﺍﻧﺪﺍﺯﺓ ﻳﻚ ﻭﺍﺣﺪ ﺍﺿﺎﻓﻪ ﻛﺮﺩﻩ ﻭ ﭘﺲ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺁﻥ ﺭﺍ ﺑﺮﻣﻲﮔﺮﺩﺍﻧﺪ‪.‬‬
‫‪ C‬ﻣﻲﺗﻮﺍﻧﺪ ﺍﻳﻦ ﭘﻴﺎﻡ ﺭﺍ ﺍﺯ ﺭﻣﺰ ﺩﺭﺁﻭﺭﺩﻩ ﻭ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﺍﻓﺰﺍﻳﺶ ﻳﺎﻓﺘﻪ ﺭﺍ ﺍﺳﺘﺨﺮﺍﺝ ﻧﻤﺎﻳﺪ‪ .‬ﻧﻈﺮ ﺑﻪ ﺍﻳﻨﻜﻪ ﭘﻴﺎﻡ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺍﺟﻼﺱ‬
‫ﺭﻣﺰ ﺷﺪﻩ ﺑﻮﺩ‪ C ،‬ﻣﻄﻤﺌﻦ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﺗﻨﻬﺎ ﻣﻲﺗﻮﺍﻧﺴﺘﻪ ﺑﺘﻮﺳﻂ ‪ V‬ﺧﻠﻖ ﺷﻮﺩ‪ .‬ﻣﺤﺘﻮﻳﺎﺕ ﭘﻴﺎﻡ ﺑﻪ ‪ C‬ﺍﻃﻤﻴﻨﺎﻥ ﻣﻲﺩﻫﺪﻛﻪ ﺍﻳﻦ ﺑﺎﺯﺧﻮﺍﻧﻲ‬
‫ﻳﻚ ﭘﺎﺳﺦ ﻗﺪﻳﻤﻲ ﻧﻴﺴﺖ‪.‬‬
‫ﺑﺎﻻﺧﺮﻩ ﺩﺭ ﭘﺎﻳﺎﻥ ﺍﻳﻦ ﻣﺮﺣﻠﻪ‪ ،‬ﻛﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺭﺍ ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﻣﻲﮔﺬﺍﺭﻧﺪ‪ .‬ﺍﺯ ﺍﻳﻦ ﻛﻠﻴﺪ ﻣﻲﺗﻮﺍﻥ ﺑﺮﺍﻱ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻣﻬﺎﻱ ﺁﺗﻲ ﺑﻴﻦ ﺍﻳﻦ ﺩﻭ‪ ،‬ﻭ ﻳﺎ ﺑﺮﺍﻱ ﻣﺒﺎﺩﻟﺔ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺗﺼﺎﺩﻓﻲ ﺟﺪﻳﺪ ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻘﺼﻮﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ‪.‬‬
‫ﺟﺪﻭﻝ ‪ ۴-۲‬ﻭﺟﻮﺩ ﻫﺮﻳﻚ ﺍﺯ ﻋﻨﺎﺻﺮ ﭘﺮﻭﺗﻜﻞ ‪ Kerberos‬ﺭﺍ ﺗﻮﺟﻴﻪ ﻛﺮﺩﻩ ﻭ ﺷﻜﻞ ‪ ۴-۱‬ﻳﻚ ﻧﻤﺎﻱ ﺳﺎﺩﻩ ﺍﺯ ﻋﻤﻠﻴﺎﺕ ﺭﺍ‬
‫ﻧﺸﺎﻥ ﻣﻴﺪﻫﺪ‪.‬‬
‫‪١٢١‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺩﻻﻳﻞ ﻣﻨﻄﻘﻲ ﻭﺟﻮﺩ ﻣﻮﻟﻔﻪﻫﺎﻱ ‪Kerberos Version 4‬‬ ‫ﺟﺪﻭﻝ ‪۴-۲‬‬
‫)ﺍﻟﻒ( ﻣﺒﺎﺩﻟﺔ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﻛﻼﻳﻨﺖ‪ ،‬ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺩﺭﺧﻮﺍﺳﺖ ﻣﻲﻛﻨﺪ‬ ‫ﭘﻴﺎﻡ )‪(۱‬‬

‫ﺑﻪ ‪ AS‬ﻣﻲﮔﻮﻳﺪ ﻛﻪ ﻫﻮﻳﺖ ﻛﺎﺭﺑﺮﻱ ﻛﻪ ﺍﺯ ﺍﻳﻦ ﻛﻼﻳﻨﺖ ﺗﻤﺎﺱ ﻣﻲﮔﻴﺮﺩ ﭼﻴﺴﺖ‬ ‫‪IDc‬‬
‫ﺑﻪ ‪ AS‬ﻣﻲﮔﻮﻳﺪ ﻛﻪ ﻛﺎﺭﺑﺮ ﺗﻘﺎﺿﺎﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ‪ TGS‬ﺭﺍ ﺩﺍﺭﺩ‬ ‫‪IDtgs‬‬
‫‪ AS‬ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺗﺄﺋﻴﺪ ﻛﻨﺪ ﻛﻪ ﺳﺎﻋﺖ ﻛﻼﻳﻨﺖ ﺑﺎ ﺳﺎﻋﺖ ‪ AS‬ﻫﻢﺁﻫﻨﮓ ﺍﺳﺖ‬ ‫‪TS1‬‬
‫‪ AS‬ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺭﺍ ﺗﻬﻴﻪ ﻛﺮﺩﻩ ﻭ ﺑﺮﺍﻱ ﻛﻼﻳﻨﺖ ﺑﺮﻣﻲﮔﺮﺩﺍﻧﺪ‬ ‫ﭘﻴﺎﻡ )‪(۲‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ ﺍﺳﺖ‪ AS ،‬ﻭ ﻛﻼﻳﻨﺖ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺗﺄﺋﻴﺪ ﻧﻤﺎﻳﻨﺪ ﻭ‬ ‫‪Kc‬‬
‫ﻫﻤﭽﻨﻴﻦ ﻣﺤﺘﻮﻳﺎﺕ ﭘﻴﺎﻡ )‪ (۲‬ﺭﺍ ﻣﺤﺎﻓﻈﺖ ﻣﻲﻧﻤﺎﻳﺪ‬
‫ﻛﭙﻲ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻛﻪ ﺑﻪ ﺗﻮﺳﻂ ﻛﻼﻳﻨﺖ ﻗﺎﺑﻞ ﺩﺳﺘﺮﺳﻲ ﺍﺳﺖ‪ .‬ﺑﻪ ﺗﻮﺳﻂ ‪ AS‬ﺧﻠﻖ ﺷﺪﻩ ﺍﺳﺖ ﺗﺎ ﺑﺪﻭﻥ ﺍﻳﻦﻛﻪ ﻧﻴﺎﺯ ﺑﻪ‬ ‫‪Kc,tgs‬‬
‫ﻳﻚ ﻛﻠﻴﺪ ﺩﺍﺋﻤﻲ ﺑﺎﺷﺪ ﻣﺒﺎﺩﻟﺔ ﺍﻣﻦ ﺑﻴﻦ ﻛﻼﻳﻨﺖ ﻭ ‪ TGS‬ﺭﺍ ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﻧﻤﺎﻳﺪ‬
‫ﺗﺎﺋﻴﺪ ﻣﻲﻛﻨﺪ ﻛﻪ ﺍﻳﻦ ﺑﻠﻴﺖ ﺑﺮﺍﻱ ‪ TGS‬ﺍﺳﺖ‬ ‫‪IDtgs‬‬
‫ﻛﻼﻳﻨﺖ ﺭﺍ ﺍﺯ ﺯﻣﺎﻥ ﺻﺪﻭﺭ ﺍﻳﻦ ﺑﻠﻴﺖ ﺁﮔﺎﻩ ﻣﻲﺳﺎﺯﺩ‬ ‫‪TS2‬‬
‫ﻛﻼﻳﻨﺖ ﺭﺍ ﺍﺯ ﻃﻮﻝ ﻋﻤﺮ ﺍﻳﻦ ﺑﻠﻴﺖ ﺁﮔﺎﻩ ﻣﻲﺳﺎﺯﺩ‬ ‫‪Lifetime2‬‬
‫ﺑﻠﻴﺘﻲ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﺳﻮﻱ ﻛﻼﻳﻨﺖ ﺑﺮﺍﻱ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ‪ TGS‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‬ ‫‪Tickettgs‬‬
‫)ﺏ( ﻣﺒﺎﺩﻟﺔ ﺳﺮﻭﻳﺲ ﺍﻋﻄﺎﺀ ﺑﻠﻴﺖ‬
‫ﻛﻼﻳﻨﺖ‪ ،‬ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ ﺩﺭﺧﻮﺍﺳﺖ ﻣﻲﻛﻨﺪ‬ ‫ﭘﻴﺎﻡ )‪(۳‬‬

‫ﺑﻪ ‪ TGS‬ﻣﻲﮔﻮﻳﺪ ﻛﻪ ﻛﺎﺭﺑﺮ ﺗﻘﺎﺿﺎﻱ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺳِﺮﻭﺭ ‪ V‬ﺭﺍ ﺩﺍﺭﺩ‬ ‫‪IDv‬‬
‫ﺑﻪ ‪ TGS‬ﺍﻃﻤﻴﻨﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺍﻳﻦ ﻛﺎﺭﺑﺮ ﺑﻪ ﺗﻮﺳﻂ ‪ AS‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺪﻩ ﺍﺳﺖ‬ ‫‪Tickettgs‬‬
‫ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﺗﺎ ﺑﻠﻴﺖ ﺭﺍ ﻣﻌﺘﺒﺮ ﻧﻤﺎﻳﺪ‬ ‫‪Authenticatorc‬‬
‫‪ TGS‬ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ ﺭﺍ ﺗﻬﻴﻪ ﻛﺮﺩﻩ ﻭ ﺑﺮﺍﻱ ﻛﻼﻳﻨﺖ ﺑﺮﻣﻲﮔﺮﺩﺍﻧﺪ‬ ‫ﭘﻴﺎﻡ )‪(۴‬‬
‫ﻛﻠﻴﺪﻱ ﻛﻪ ﻓﻘﻂ ﺑﻴﻦ ‪ C‬ﻭ ‪ TGS‬ﻣﺸﺘﺮﻙ ﺍﺳﺖ ﻭ ﻣﺤﺘﻮﻳﺎﺕ ﭘﻴﺎﻡ )‪ (۴‬ﺭﺍ ﻣﺤﺎﻓﻈﺖ ﻣﻲﻛﻨﺪ‬ ‫‪Kc,tgs‬‬
‫ﻛﭙﻲ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻗﺎﺑﻞ ﺩﺳﺘﺮﺳﻲ ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ‪ .‬ﺑﺘﻮﺳﻂ ‪ TGS‬ﺧﻠﻖ ﻣﻲﮔﺮﺩﺩ ﺗﺎ ﺑﺪﻭﻥ ﻧﻴﺎﺯ ﺑﻪ ﻳﻚ ﻛﻠﻴﺪ ﺩﺍﺋﻢ‬ ‫‪Kc,v‬‬
‫ﻣﺸﺘﺮﻙ ﺑﻴﻦ ﻛﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ‪ ،‬ﻣﺒﺎﺩﻟﺔ ﺍﻣﻦ ﺑﻴﻦ ﺁﻧﻬﺎ ﺭﺍ ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﻧﻤﺎﻳﺪ‬
‫ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ ﻛﻪ ﺍﻳﻦ ﺑﻠﻴﺖ ﺑﺮﺍﻱ ﺳِﺮﻭﺭ ‪ V‬ﺍﺳﺖ‬ ‫‪IDv‬‬
‫ﻛﻼﻳﻨﺖ ﺭﺍ ﺍﺯ ﺯﻣﺎﻥ ﺻﺪﻭﺭ ﺍﻳﻦ ﺑﻠﻴﺖ ﺁﮔﺎﻩ ﻣﻲﺳﺎﺯﺩ‬ ‫‪TS4‬‬
‫ﺑﻠﻴﺘﻲ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﺳﻮﻱ ﻛﻼﻳﻨﺖ ﺑﺮﺍﻱ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺳِﺮﻭﺭ ‪ V‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‬ ‫‪Ticketv‬‬
‫ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﺓ ﻣﻜﺮﺭ ﺍﺳﺖ ﺗﺎ ﻛﺎﺭﺑﺮ ﻣﺠﺒﻮﺭ ﻧﺒﺎﺷﺪ ﺗﺎ ﻫﺮﺑﺎﺭ ﻛﻠﻤﺔﻋﺒﻮﺭ ﺧﻮﺩ ﺭﺍ ﻭﺍﺭﺩ ﻛﻨﺪ‬ ‫‪Tickettgs‬‬
‫ﺑﻠﻴﺖ ﺑﺎ ﻛﻠﻴﺪﻱ ﻛﻪ ﻓﻘﻂ ﺑﺮﺍﻱ ‪ AS‬ﻭ ‪ TGS‬ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ ﺗﺎ ﺍﺯ ﺗﺤﺮﻳﻒ ﺁﻥ ﺟﻠﻮﮔﻴﺮﻱ ﺷﻮﺩ‬ ‫‪Ktgs‬‬
‫ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻗﺎﺑﻞ ﺩﺳﺘﺮﺳﻲ ﺑﺘﻮﺳﻂ ‪ .TGS‬ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻠﻴﺖ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‬ ‫‪Kc,tgs‬‬
‫ﻧﻤﺎﻳﺶﮔﺮ ﺻﺎﺣﺐ ﻭﺍﻗﻌﻲ ﺍﻳﻦ ﺑﻠﻴﺖ ﺍﺳﺖ‬ ‫‪IDc‬‬
‫ﺍﺯ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺑﻠﻴﺖ ﺑﺘﻮﺳﻂ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ‪ ،‬ﺑﺠﺰ ﺍﻳﺴﺘﮕﺎﻫﻲ ﻛﻪ ﺑﺪﻭﺍﹰ ﺗﻘﺎﺿﺎﻱ ﺑﻠﻴﺖ ﻛﺮﺩﻩ ﺑﻮﺩ ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﻛﻨﺪ‬ ‫‪ADc‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٢٢‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺑﻪ ﺳِﺮﻭﺭ ﺍﻃﻤﻴﻨﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺑﻠﻴﺖ ﺭﺍ ﺑﻄﻮﺭ ﺻﺤﻴﺢ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﺍﺳﺖ‬ ‫‪IDtgs‬‬
‫‪ TGS‬ﺭﺍ ﺍﺯ ﺯﻣﺎﻥ ﺻﺪﻭﺭ ﺍﻳﻦ ﺑﻠﻴﺖ ﺁﮔﺎﻩ ﻣﻲﺳﺎﺯﺩ‬ ‫‪TS2‬‬

‫ﺍﺯ ﺑﺎﺯﺧﻮﺍﻧﻲ ﭘﺲ ﺍﺯ ﺍﻧﻘﻀﺎﻱ ﺑﻠﻴﺖ ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﻛﻨﺪ‬ ‫‪Lifetime2‬‬
‫ﺑﻪ ‪ TGS‬ﺍﻃﻤﻴﻨﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﻋﺮﺿﻪﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﻫﻤﺎﻥ ﻛﻼﻳﻨﺘﻲ ﺍﺳﺖ ﻛﻪ ﺑﻠﻴﺖ ﺑﺮﺍﻱ ﺍﻭ ﺻﺎﺩﺭ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺍﺭﺍﻱ‬ ‫‪Authenticatorc‬‬
‫ﻃﻮﻝ ﻋﻤﺮ ﻛﻮﺗﺎﻫﻲ ﺍﺳﺖ ﺗﺎ ﺍﺯ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺟﻠﻮﮔﻴﺮﻱ ﺷﻮﺩ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺑﺎ ﻛﻠﻴﺪﻱ ﻛﻪ ﺗﻨﻬﺎ ﺑﺮﺍﻱ ﻛﻼﻳﻨﺖ ﻭ ‪ TGS‬ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ ﺗﺎ ﺍﺯ ﺗﺤﺮﻳﻒ ﺟﻠﻮﮔﻴﺮﻱ‬ ‫‪Kc,tgs‬‬
‫ﺷﻮﺩ‬
‫ﺑﺎﻳﺴﺘﻲ ﺑﺎ ‪ ID‬ﺑﻠﻴﺖ ﺗﻄﺒﻴﻖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﺑﻠﻴﺖ ﻣﻌﺘﺒﺮ ﺷﻨﺎﺧﺘﻪ ﺷﻮﺩ‬ ‫‪IDc‬‬
‫ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﺁﺩﺭﺱ ﺑﻠﻴﺖ ﺗﻄﺒﻴﻖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﺑﻠﻴﺖ ﻣﻌﺘﺒﺮ ﺷﻨﺎﺧﺘﻪ ﺷﻮﺩ‬ ‫‪ADc‬‬
‫‪ TGS‬ﺭﺍ ﺍﺯ ﺯﻣﺎﻥ ﺗﻮﻟﻴﺪ ﺍﻳﻦ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺁﮔﺎﻩ ﻣﻲﺳﺎﺯﺩ‬ ‫‪TS3‬‬
‫)ﺝ( ﻣﺒﺎﺩﻟﺔ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﻼﻳﻨﺖ‪ /‬ﺳِﺮﻭﺭ‬
‫ﻛﻼﻳﻨﺖ ﺩﺭﺧﻮﺍﺳﺖ ﺳﺮﻭﻳﺲ ﻣﻲﻛﻨﺪ‬ ‫ﭘﻴﺎﻡ )‪(۵‬‬

‫ﺑﻪ ﺳِﺮﻭﺭ ﺍﻃﻤﻴﻨﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺍﻳﻦ ﻛﺎﺭﺑﺮ ﺑﺘﻮﺳﻂ ‪ AS‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺪﻩ ﺍﺳﺖ‬ ‫‪Ticketv‬‬
‫ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ ﺧﻠﻖ ﺷﺪﻩ ﺗﺎ ﺑﻠﻴﺖ ﺭﺍ ﻣﻌﺘﺒﺮ ﺳﺎﺯﺩ‬ ‫‪Authenticatorc‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺧﺘﻴﺎﺭﻱ ﺳِﺮﻭﺭ ﺑﺮﺍﻱ ﻛﻼﻳﻨﺖ‬ ‫ﭘﻴﺎﻡ )‪(۶‬‬

‫ﺑﻪ ‪ C‬ﺍﻃﻤﻴﻨﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺍﻳﻦ ﭘﻴﺎﻡ ﺍﺯ ﺳﻮﻱ ‪ V‬ﺍﺳﺖ‬ ‫‪Kc,v‬‬
‫ﺑﻪ ‪ C‬ﺍﻃﻤﻴﻨﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺍﻳﻦ ﺑﺎﺯﺧﻮﺍﻧﻲ ﻳﻚ ﭘﺎﺳﺦ ﻗﺪﻳﻤﻲ ﻧﻴﺴﺖ‬ ‫‪TS5 + 1‬‬
‫ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﺓ ﻣﺠﺪﺩ ﺑﻮﺩﻩ ﺗﺎ ﻻﺯﻡ ﻧﺒﺎﺷﺪ ﻛﻪ ﻛﺎﺭﺑﺮ ﺑﺮﺍﻱ ﻫﺮﺑﺎﺭ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻳﻚ ﺳِﺮﻭﺭ ﻣﻌﻴﻦ ﺗﻘﺎﺿﺎﻱ ﻳﻚ ﺑﻠﻴﺖ‬ ‫‪Ticketv‬‬
‫ﺟﺪﻳﺪ ﻛﻨﺪ‬
‫ﺑﻠﻴﺖ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪﻱ ﻛﻪ ﻓﻘﻂ ﺑﺮﺍﻱ ‪ TGS‬ﻭ ﺳِﺮﻭﺭ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺗﺎ ﺍﺯ ﺗﺤﺮﻳﻒ ﺟﻠﻮﮔﻴﺮﻱ ﺷﻮﺩ‬ ‫‪Kv‬‬
‫ﻛﭙﻲ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻗﺎﺑﻞ ﺩﺳﺖﻳﺎﺑﻲ ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ‪ .‬ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺗﺄﺋﻴﺪ ﺍﻋﺘﺒﺎﺭ ﺑﻠﻴﺖ ﺍﺳﺘﻔﺎﺩﻩ‬ ‫‪Kc,v‬‬
‫ﻣﻲﺷﻮﺩ‬
‫ﺻﺎﺣﺐ ﺍﺻﻠﻲ ﺍﻳﻦ ﺑﻠﻴﺖ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‬ ‫‪IDc‬‬
‫ﺍﺯ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺑﻠﻴﺖ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﺑﺠﺰ ﺁﻥ ﻛﻪ ﺑﺪﻭﺍﹰ ﺗﻘﺎﺿﺎﻱ ﺑﻠﻴﺖ ﻛﺮﺩﻩ ﺑﻮﺩ ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﻛﻨﺪ‬ ‫‪ADc‬‬
‫ﺑﻪ ﺳِﺮﻭﺭ ﺍﻃﻤﻴﻨﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﻛﻪ ﺑﻠﻴﺖ ﺭﺍ ﺑﻄﺮﺯ ﺻﺤﻴﺢ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﺍﺳﺖ‬ ‫‪IDv‬‬
‫ﺳِﺮﻭﺭ ﺭﺍ ﺍﺯ ﺯﻣﺎﻥ ﺻﺪﻭﺭ ﺍﻳﻦ ﺑﻠﻴﺖ ﺁﮔﺎﻩ ﻣﻲﺳﺎﺯﺩ‬ ‫‪TS4‬‬
‫ﺍﺯ ﺑﺎﺯﺧﻮﺍﻧﻲ ﭘﺲ ﺍﺯ ﺍﻧﻘﻀﺎﻱ ﺑﻠﻴﺖ ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﻛﻨﺪ‬ ‫‪Lifetime4‬‬
‫ﺑﻪ ﺳِﺮﻭﺭ ﺍﻃﻤﻴﻨﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﻋﺮﺿﻪﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﻫﻤﺎﻥ ﻛﻼﻳﻨﺘﻲ ﺍﺳﺖ ﻛﻪ ﺑﻠﻴﺖ ﺑﺮﺍﻱ ﺍﻭ ﺻﺎﺩﺭ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺍﺭﺍﻱ‬ ‫‪Authenticatorc‬‬
‫ﻃﻮﻝ ﻋﻤﺮ ﻛﻮﺗﺎﻫﻲ ﺍﺳﺖ ﺗﺎ ﺍﺯ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺟﻠﻮﮔﻴﺮﻱ ﺷﻮﺩ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺑﺎ ﻛﻠﻴﺪﻱ ﻛﻪ ﺗﻨﻬﺎ ﺑﺮﺍﻱ ﻛﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ ﺗﺎ ﺍﺯ ﺗﺤﺮﻳـﻒ ﺟﻠـﻮﮔﻴﺮﻱ‬ ‫‪Kc,v‬‬
‫ﺷﻮﺩ‬
‫ﺑﺎﻳﺴﺘﻲ ﺑﺎ ‪ ID‬ﺑﻠﻴﺖ ﺗﻄﺒﻴﻖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﺑﻠﻴﺖ ﻣﻌﺘﺒﺮ ﺷﻨﺎﺧﺘﻪ ﺷﻮﺩ‬ ‫‪IDc‬‬
‫ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﺁﺩﺭﺱ ﺑﻠﻴﺖ ﺗﻄﺒﻴﻖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﺑﻠﻴﺖ ﻣﻌﺘﺒﺮ ﺷﻨﺎﺧﺘﻪ ﺷﻮﺩ‬ ‫‪ADc‬‬
‫ﺳِﺮﻭﺭ ﺭﺍ ﺍﺯ ﺯﻣﺎﻥ ﺗﻮﻟﻴﺪ ﺍﻳﻦ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺁﮔﺎﻩ ﻣﻲﺳﺎﺯﺩ‬ ‫‪TS5‬‬
‫‪١٢٣‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ AS -۲‬ﺣﻖ ﺩﺳﺘﺮﺳﻲ ﻛﺎﺭﺑﺮ ﺭﺍ ﺍﺯ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﺓ ﺧﻮﺩ ﺗﺄﺋﻴﺪ‬ ‫ﻳﻚﻣﺮﺗﺒﻪ‬

‫ﻛﺮﺩﻩ ﻭ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﻭ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﺍ ﺧﻠﻖ‬ ‫ﺑﺮﺍﻱ ﻫﺮﺑﺎﺭ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﻧﺘﺎﻳﺞ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬ ‫ﻭﺭﻭﺩ ﻛﺎﺭﺑﺮ‬
‫ﻛﺎﺭﺑﺮ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ -۱‬ﻛﺎﺭﺑﺮ ﺑﻪ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﻣﺘﺼﻞ ﺷﺪﻩ ﻭ‬

‫ﺳﺮﻭﺭ‬ ‫ﺩﺭﺧﻮﺍﺳﺖ ﺳﺮﻭﻳﺲ ﻣﻲﻛﻨﺪ‬
‫)‪(AS‬‬
‫ﺳﺮﻭﺭ‬
‫ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ‬
‫‪Kerberos‬‬ ‫)‪(TGS‬‬ ‫ﻳﻚﻣﺮﺗﺒﻪ‬
‫‪ -۳‬ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﺍﺯ ﻛﺎﺭﺑﺮ ﺗﻘﺎﺿﺎﻱ ﻛﻠﻤﺔ‬
‫ﺑﺮﺍﻱ ﻫﺮ ﻧﻮﻉ‬
‫‪ TGS -۴‬ﺑﻠﻴﺖ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻧﻤﻮﺩﻩ‪،‬‬ ‫ﻋﺒﻮﺭ ﻛﺮﺩﻩ ﻭ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
‫ﺳﺮﻭﻳﺲ‬
‫ﺩﺭﺧﻮﺍﺳﺖ ﺭﺍ ﺗﺄﺋﻴﺪ ﻛﺮﺩﻩ ﻭ ﺑﻠﻴﺘﻲ ﺭﺍ ﺑﺮﺍﻱ ﺳِﺮﻭﺭ‬ ‫ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺩﺭﺧﻮﺍﺳﺖﺷﺪﻩ ﺧﻠﻖ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺳﭙﺲ ﺑﻠﻴﺖ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﻛﻪ ﺷﺎﻣﻞ‬
‫ﻧﺎﻡ ﻛﺎﺭﺑﺮ‪ ،‬ﺁﺩﺭﺱ ﺷﺒﻜﻪ‪ ،‬ﻭ ﺯﻣﺎﻥ ﺍﺳﺖ‬
‫ﺑﺮﺍﻱ ‪ TGS‬ﻣﻲﻓﺮﺳﺘﺪ‪.‬‬
‫‪ -۵‬ﺳِﺮﻭﺭ ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﻠﻴﺖ ﻭ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺑﺎﻫﻢ ﺗﻄﺒﻴﻖ ﺩﺍﺷﺘﻪ‬ ‫‪ -۶‬ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ‪ ،‬ﺑﻠﻴﺖ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ‬
‫ﻭ ﺁﻧﮕﺎﻩ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺳﺮﻭﻳﺲ‬ ‫ﻳﻚﻣﺮﺗﺒﻪ‬ ‫ﺭﺍ ﺑﺮﺍﻱ ﺳِﺮﻭﺭ ﻣﻲﻓﺮﺳﺘﺪ‪.‬‬
‫ﺭﺍ ﺍﻋﻄﺎ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺑﺮﺍﻱ ﻫﺮ ﺍﺟﻼﺱ‬

‫ﺍﮔﺮﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺘﻘﺎﺑﻞ ﻣﻮﺭﺩ‬
‫ﻧﻴﺎﺯ ﺑﺎﺷﺪ‪ ،‬ﺳِﺮﻭﺭ ﻳﻚ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺭﺍ ﺑﺮﻣﻲﮔﺮﺩﺍﻧﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۴-۱‬ﻣﺮﻭﺭﻱ ﺑﺮ ‪Kerberos‬‬
‫ﻗﻠﻤﺮﻭ ‪ Kerberos‬ﻭ ‪Kerberos‬ﻫﺎﻱ ﻣﺘﻌﺪﺩ‬

‫ﻣﺤﻴﻂ ﺧﺪﻣﺎﺗﻲ ﻛﺎﻣﻞ ﻳﻚ ﺳِﺮﻭﺭ ‪ Kerberos‬ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ﺳِﺮﻭﺭ ‪ ،Kerberos‬ﺗﻌﺪﺍﺩﻱ ﻛﻼﻳﻨﺖ ﻭ ﺗﻌﺪﺍﺩﻱ ﺳِﺮﻭﺭﻫﺎﻱ‬
‫ﻛﺎﺭﺑﺮﺩﻱ ﺍﺳﺖ ﺑﻪ ﻣﻮﺍﺭﺩ ﺯﻳﺮ ﻧﻴﺎﺯ ﺩﺍﺭﺩ‪:‬‬
‫‪ -۱‬ﺳِﺮﻭﺭ ‪ Kerberos‬ﺑﺎﻳﺴﺘﻲ‪ ID‬ﻛﺎﺭﺑﺮﺍﻥ)‪ (UID‬ﻭ ﻛﻠﻤﺔﻋﺒﻮﺭ ﺩﺭﻫﻢﺳﺎﺯﻱﺷﺪﺓ ﻫﻤﺔ ﻛﺎﺭﺑﺮﺍﻥ ﺣﻮﺯﻩ ﺭﺍ ﺩﺭ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﺓ‬
‫ﺧﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺗﻤﺎﻡ ﻛﺎﺭﺑﺮﺍﻥ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻧﺰﺩ ‪ Kerberos‬ﺛﺒﺖﻧﺎﻡ ﺷﺪﻩ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪ -۲‬ﺳِﺮﻭﺭ ‪ Kerberos‬ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﻫﺮ ﺳِﺮﻭﺭ ﺩﻳﮕﺮ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﺸﺘﺮﻙ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺗﻤﺎﻡ ﺳِﺮﻭﺭﻫﺎ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻧﺰﺩ‬
‫ﺳِﺮﻭﺭ ‪ Kerberos‬ﺛﺒﺖﻧﺎﻡ ﺷﺪﻩ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٢٤‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﭼﻨﻴﻦ ﻣﺤﻴﻄﻲ ﺭﺍ ﻳﻚ ﻗﻠﻤﺮﻭ)‪ (Kerberos realm‬ﺧﻮﺍﻧﻨﺪ‪ .‬ﻣﻔﻬﻮﻡ ﻳﻚ ﻗﻠﻤﺮﻭ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﭼﻨﻴﻦ ﺗﺸﺮﻳﺢ ﻛﺮﺩ‪ :‬ﻳﻚ ﻗﻠﻤﺮﻭ‬
‫‪ Kerberos‬ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﺍﺯ ﮔﺮﻩﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﻫﻤﮕﻲ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﺓ ‪ Kerberos‬ﺭﺍ ﺩﺭ ﺍﺷﺘﺮﺍﻙ ﺩﺍﺭﻧﺪ‪ .‬ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﺓ‬
‫‪ Kerberos‬ﺩﺭ ﺳﻴﺴﺘﻢ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﺍﺻﻠﻲ ‪ Kerberos‬ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﻛﻪ ﻧﻮﻋﺎﹰ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻳﻚ ﺍﻃﺎﻕ ﺑﺎ ﺍﻣﻨﻴﺖ ﻓﻴﺰﻳﻜﻲ ﺧﻮﺏ ﻗﺮﺍﺭ‬
‫ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻳﻚ ﻧﺴﺨﺔ ﻓﻘﻂ ﻗﺎﺑﻞ ﺧﻮﺍﻧﺪﻥ ﺍﺯ ﺍﻳﻦ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﻧﻴﺰ ﻗﺎﻋﺪﺗﺎﹰ ﻣﻲﺗﻮﺍﻧﺪ ﺭﻭﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﻱ ﺩﻳﮕﺮ ﺳﻴﺴﺘﻢ ﻧﺼﺐ ﺷﻮﺩ‪.‬‬
‫ﺩﺳﺖﻳﺎﺑﻲ ﻭ ﻳﺎ ﺗﻐﻴﻴﺮ ﻣﺤﺘﻮﺍﻱ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﺓ ‪ Kerberos‬ﻧﻴﺎﺯ ﺑﻪ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﺻﻠﻲ ‪ Kerberos‬ﺩﺍﺭﺩ‪ .‬ﻣﻔﻬﻮﻡ ﺩﻳﮕﺮﻱ ﻛﻪ ﺑﺎ ﺍﻳﻦ‬
‫ﻣﺴﺄﻟﻪ ﻣﺮﺗﺒﻂ ﺍﺳﺖ‪ ،‬ﻭﺟﻮﺩ ﻳﻚ ﺭﺋﻴﺲ )‪ (Kerberos principal‬ﺍﺳﺖ ﻛﻪ ﺳﺮﻭﻳﺲ ﻭ ﻳﺎ ﻛﺎﺭﺑﺮﻱ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﺳﻴﺴﺘﻢ‬
‫‪ Kerberos‬ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻫﺮ ﺭﺋﻴﺲ ‪ Kerberos‬ﺑﺎ ﻧﺎﻡ ﺭﻳﺎﺳﺖ ﺧﻮﺩ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮﺩ‪ .‬ﻧﺎﻡﻫﺎﻱ ﺭﻳﺎﺳﺖ ﺩﺍﺭﺍﻱ ﺳﻪ ﺟﺰﺀ ﻧﺎﻡ‬
‫ﻳﻚ ﺳﺮﻭﻳﺲ ﻭ ﻳﺎ ﻳﻚ ﻛﺎﺭﺑﺮ‪ ،‬ﻧﺎﻡ ﻳﻚ ﻣﻮﺭﺩ‪ ،‬ﻭ ﻧﺎﻡ ﻳﻚ ﻗﻠﻤﺮﻭ ﻣﻲﺑﺎﺷﻨﺪ‪.‬‬
‫ﺷﺒﻜﻪﻫﺎﻱ ﻣﺘﺸﻜﻞ ﺍﺯ ﻛﻼﻳﻨﺖﻫﺎ ﻭ ﺳِﺮﻭﺭﻫﺎ ﺩﺭ ﺳﺎﺯﻣﺎﻥﻫﺎﻱ ﻣﺪﻳﺮﻳﺘﻲ ﻣﺨﺘﻠﻒ‪ ،‬ﻣﻌﻤﻮﻻﹰ ﻗﻠﻤﺮﻭﻫﺎﻱ ﻣﺘﻔﺎﻭﺗﻲ ﺭﺍ ﺗﺸﻜﻴﻞ‬
‫ﻣﻲﺩﻫﻨﺪ‪ .‬ﺍﻳﻦ ﻛﻪ ﻛﺎﺭﺑﺮﺍﻥ ﻭ ﺳِﺮﻭﺭﻫﺎﻱ ﻳﻚ ﺣﻮﺯﺓ ﻣﺪﻳﺮﻳﺘﻲ‪ ،‬ﺩﺭ ﺳِﺮﻭﺭ ‪ Kerberos‬ﺣﻮﺯﺓ ﻣﺪﻳﺮﻳﺘﻲ ﺩﻳﮕﺮﻱ ﺛﺒﺖﻧﺎﻡ ﺷﺪﻩ ﺑﺎﺷﻨﺪ ﻧﻪ‬
‫ﻋﻤﻠﻲ ﺍﺳﺖ ﻭ ﻧﻪ ﻣﻌﻤﻮﻻﹰ ﺑﺎ ﺧﻂﻣﺸﻲﻫﺎﻱ ﺍﺩﺍﺭﻱ ﻣﻨﻄﺒﻖ ﺍﺳﺖ‪ .‬ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﻛﺎﺭﺑﺮﺍﻥ ﻳﻚ ﻗﻠﻤﺮﻭ ﻧﻴﺎﺯ ﺑﻪ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ‬
‫ﺳِﺮﻭﺭﻫﺎﻱ ﻗﻠﻤﺮﻭ ﺩﻳﮕﺮﻱ ﺩﺍﺷﺘﻪ ﻭ ﻳﺎ ﺍﻳﻨﻜﻪ ﺑﻌﻀﻲ ﺳِﺮﻭﺭﻫﺎﻱ ﻳﻚ ﻗﻠﻤﺮﻭ ﺗﻤﺎﻳﻞ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ ﺗﺎ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ ﻣﻌﺘﺒﺮ ﻗﻠﻤﺮﻭ ﺩﻳﮕﺮ ﺍﺭﺍﺋﺔ‬
‫ﺳﺮﻭﻳﺲ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫‪ Kerberos‬ﻣﻜﺎﻧﻴﺴﻤﻲ ﺭﺍ ﺑﺮﺍﻱ ﺣﻤﺎﻳﺖ ﺍﺯ ﺍﻳﻦ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻴﻦ ﻗﻠﻤﺮﻭﻫﺎ ﺍﻳﺠﺎﺩ ﻧﻤﻮﺩﻩ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﺩﻭ ﻗﻠﻤﺮﻭ ﺍﺯ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻴﻦ ﻗﻠﻤﺮﻭﻫﺎ ﺣﻤﺎﻳﺖ ﻛﻨﻨﺪ‪ ،‬ﻧﻴﺎﺯ ﺳﻮﻣﻲ ﺑﻪ ﭘﺮﻭﺗﻜﻞ ﺍﺿﺎﻓﻪ ﻣﻲﺷﻮﺩ‪:‬‬
‫‪ -۳‬ﺳِﺮﻭﺭ ‪ Kerberos‬ﻫﺮ ﻗﻠﻤﺮﻭ ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﺳِﺮﻭﺭ ‪ Kerberos‬ﻗﻠﻤﺮﻭ ﺩﻳﮕﺮ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺭﺍ ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﺑﮕﺬﺍﺭﺩ‪ .‬ﺩﻭ‬
‫ﺳِﺮﻭﺭ ‪ Kerberos‬ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻳﻜﺪﻳﮕﺮ ﺛﺒﺖﻧﺎﻡ ﺷﺪﻩ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﺍﻳﻦ ﺭﻭﺵ ﻧﻴﺎﺯﻣﻨﺪ ﺍﻳﻦﺍﺳﺖ ﻛﻪ ﺳِﺮﻭﺭ ‪ Kerberos‬ﻳﻚ ﻗﻠﻤﺮﻭ ﺑﻪ ﺳِﺮﻭﺭ ‪ Kerberos‬ﻗﻠﻤﺮﻭ ﺩﻳﮕﺮ‪ ،‬ﻧﺴﺒﺖ ﺑﻪ ﺳﻨﺠﺶ ﺍﻋﺘﺒﺎﺭ‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﺧﻮﺩ ﺍﻋﺘﻤﺎﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺁﻥ ﺳِﺮﻭﺭﻫﺎﻱ ﻗﻠﻤﺮﻭ ﺩﻭﻡ ﻧﻴﺰ ﺑﺎﻳﺴﺘﻲ ﺗﻤﺎﻳﻞ ﺑﻪ ﺍﻋﺘﻤﺎﺩ ﺑﻪ ﺳِﺮﻭﺭ ‪ Kerberos‬ﻗﻠﻤﺮﻭ ﺍﻭﻝ‬
‫ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﺑﺎ ﺍﺳﺘﻘﺮﺍﺭ ﺍﻳﻦ ﻗﻮﺍﻋﺪ ﺩﺭ ﺟﺎﻱ ﺧﻮﺩ‪ ،‬ﻣﻜﺎﻧﻴﺴﻢ ﻋﻤﻞ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﺗﺸﺮﻳﺢ ﻛﺮﺩ )ﺷﻜﻞ ‪ :(۴-۲‬ﻛﺎﺭﺑﺮﻱ ﻛﻪ ﻣﺎﻳﻞ ﺑﻪ‬
‫ﺍﺧﺬ ﺳﺮﻭﻳﺲ ﺍﺯ ﺳِﺮﻭﺭﻱ ﺩﺭ ﻗﻠﻤﺮﻭ ﺩﻳﮕﺮ ﺍﺳﺖ‪ ،‬ﻧﻴﺎﺯ ﺑﻪ ﻳﻚ ﺑﻠﻴﺖ ﺑﺮﺍﻱ ﺁﻥ ﺳِﺮﻭﺭ ﺩﺍﺭﺩ‪ .‬ﻛﻼﻳﻨﺖ ﻛﺎﺭﺑﺮ‪ ،‬ﻫﻤﺎﻥ ﺭﻭﺵﻫﺎﻱ ﺫﻛﺮﺷﺪﻩ‬
‫ﺑﺮﺍﻱ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ‪ TGS‬ﻣﺤﻠﻲ ﺭﺍ ﺩﻧﺒﺎﻝ ﻛﺮﺩﻩ ﻭ ﺳﭙﺲ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺑﺮﺍﻱ ‪ TGS‬ﺩﻭﺭ )‪ TGS‬ﻗﻠﻤﺮﻭ ﺩﻳﮕﺮ( ﺗﻘﺎﺿﺎ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺑﺪﻧﺒﺎﻝ ﺁﻥ ﻛﻼﻳﻨﺖ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ‪ TGS‬ﺩﻭﺭ ﺩﺭﺧﻮﺍﺳﺖ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ ﺟﻬﺖ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺳِﺮﻭﺭ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺩﺭ‬
‫ﻗﻠﻤﺮﻭ ﺍﻭ ﺭﺍ ﺑﻨﻤﺎﻳﺪ‪.‬‬
‫ﺟﺰﺋﻴﺎﺕ ﻣﺒﺎﺩﻻﺗﻲ ﻛﻪ ﺩﺭ ﺷﻜﻞ ‪ ۴-۲‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ﺑﺸﺮﺡ ﺯﻳﺮ ﺍﺳﺖ )ﺑﺎ ﺟﺪﻭﻝ ‪ ۴-۱‬ﻣﻘﺎﻳﺴﻪ ﻛﻨﻴﺪ(‪:‬‬
‫‪(۱) CAS:‬‬ ‫‪IDc || TS1 || IDtgs‬‬
‫)‪(۲‬‬ ‫‪SC:‬‬ ‫)]‪E (Kc , [ Kc,tgs || IDtgs || TS2 || Lifetime2|| Ticket tgs‬‬
‫‪(۳) CTGS:‬‬ ‫‪IDtgsrem || Tickettgs || Authenticatorc‬‬
‫‪(۴) TGS C:‬‬ ‫)] ‪E (Kc,tgs , [ Kc,tgsrem || IDtgsrem || TS4 || Tickettgsrem‬‬
‫)‪(۵‬‬ ‫‪C TGSrem : IDvrem || Tickettgsrem || Authenticatorc‬‬
‫)] ‪(۶) TGSrem C: E (Kc,tgsrem , [Kc,vrem || IDvrem || TS6|| Ticketvrem‬‬
‫)‪(۷‬‬ ‫‪C Vrem : Ticketvrem || Authenticatorc‬‬
‫‪١٢٥‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺑﻠﻴﺖ ﺍﺭﺍﺋﻪ ﺷﺪﻩ ﺑﻪ ﺳِﺮﻭﺭ ﺩﻭﺭ )‪ (Vrem‬ﻧﺸﺎﻥﺩﻫﻨﺪﺓ ﻗﻠﻤﺮﻭﻱ ﺍﺳﺖ ﻛﻪ ﺩﺭﺁﻥ ﺍﺑﺘﺪﺍﺀً ﻛﺎﺭﺑﺮ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺪﻩ ﺑﻮﺩ‪ .‬ﺳِﺮﻭﺭ ﺩﺭ ﭘﺎﺳﺦ‬
‫ﺩﺍﺩﻥ ﺑﻪ ﺍﻳﻦ ﺩﺭﺧﻮﺍﺳﺖ ﻣﺨﻴّﺮ ﺍﺳﺖ‪.‬‬
‫ﻳﻜﻲ ﺍﺯ ﻣﺸﻜﻼﺗﻲ ﻛﻪ ﺩﺭ ﺭﻭﺵ ﺑﺎﻻ ﺧﻮﺩﻧﻤﺎﺋﻲ ﻣﻴﻜﻨﺪ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺻﻮﺭﺕ ﺍﻓﺰﺍﻳﺶ ﺯﻳﺎﺩ ﻗﻠﻤﺮﻭﻫﺎ‪ ،‬ﺍﻳﻦ ﺭﻭﺵ ﺑﻪﻧﺤﻮ‬
‫ﻣﻨﺎﺳﺒﻲ ﻣﻘﻴﺎﺱﭘﺬﻳﺮ ﻧﻴﺴﺖ‪ .‬ﺍﮔﺮ ‪ N‬ﻗﻠﻤﺮﻭ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺑﺎﻳﺴﺘﻲ ‪ N(N-1)/2‬ﻣﺒﺎﺩﻟﺔ ﺍﻣﻦ ﻛﻠﻴﺪﻫﺎ ﺻﻮﺭﺕ ﭘﺬﻳﺮﺩ ﺗﺎ‬
‫ﻗﻠﻤﺮﻭ ﻫﺮ‪ Kerberos‬ﺑﺘﻮﺍﻧﺪ ﺑﺎ ﻗﻠﻤﺮﻭﻫﺎﻱ ﺑﻘﻴﺔ ‪Kerberos‬ﻫﺎ ﺗﻌﺎﻣﻞ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻧﺴﺨﺔ ﭘﻨﺠﻢ ‪Kerberos‬‬
‫ﻧﺴﺨﺔ ﭘﻨﺠﻢ ‪ Kerberos‬ﺩﺭ ‪ RFC 1510‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﻭ ﻣﺰﻳﺖﻫﺎﺋﻲ ﻧﺴﺒﺖ ﺑﻪ ﻧﺴﺨﺔ ﭼﻬﺎﺭﻡ ﺁﻥ ﺩﺍﺭﺩ]‪ .[KOHL94‬ﺑﺮﺍﻱ‬
‫ﺷﺮﻭﻉ‪ ،‬ﻧﮕﺎﻫﻲ ﺑﻪ ﺗﻔﺎﻭﺕﻫﺎﻱ ﻧﺴﺨﺔ ﭘﻨﺠﻢ ﻧﺴﺒﺖ ﺑﻪ ﻧﺴﺨﺔ ﭼﻬﺎﺭﻡ ﻧﻤﻮﺩﻩ ﻭ ﺳﭙﺲ ﭘﺮﻭﺗﻜﻞ ﻧﺴﺨﺔ ‪ ۵‬ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﻗﻠﻤﺮﻭ ‪A‬‬
‫ﻛﻼﻳﻨﺖ‬ ‫‪Kerberos‬‬
‫‪AS‬‬
‫‪TGS‬‬
‫‪Kerberos‬‬
‫‪AS‬‬
‫‪TGS‬‬
‫ﺳِﺮﻭﺭ‬ ‫ﻗﻠﻤﺮﻭ ‪B‬‬
‫ﺷﻜﻞ ‪ ۴-۲‬ﺩﺭﺧﻮﺍﺳﺖ ﺳﺮﻭﻳﺲ ﺍﺯ ﻗﻠﻤﺮﻭ ﺩﻳﮕﺮ‬

‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٢٦‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺗﻔﺎﻭﺕﻫﺎﻱ ﺑﻴﻦ ﻧﺴﺨﺔ ‪ ۴‬ﻭ ﻧﺴﺨﺔ ‪۵‬‬

‫ﻧﺴﺨﺔ ﭘﻨﺠﻢ ﺑﺮﺍﻱ ﺭﻓﻊ ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﻧﺴﺨﺔ ﭼﻬﺎﺭﻡ ﺩﺭ ﺩﻭ ﺯﻣﻴﻨﻪ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪ :‬ﻧﻮﺍﻗﺺ ﻣﺤﻴﻄﻲ ﻭ ﻛﻤﺒﻮﺩﻫﺎﻱ‬
‫ﺗﻜﻨﻴﻜﻲ‪ .‬ﺍﺟﺎﺯﻩ ﺩﻫﻴﺪ ﺗﺎ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﺑﻬﺒﻮﺩﻫﺎﻱ ﺍﻳﺠﺎﺩﺷﺪﻩ ﺩﺭ ﻫﺮ ﺯﻣﻴﻨﻪ ﺭﺍ ﺧﻼﺻﻪ ﻛﻨﻴﻢ‪.‬‬
‫ﻧﺴﺨﺔ ﭼﻬﺎﺭﻡ ‪ Kerberos‬ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺩﺭ ﻣﺤﻴﻂ ﭘﺮﻭﮊﺓ ‪ Athena‬ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺑﻮﺩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻧﻴﺎﺯ ﺩﺭ ﺯﻣﻴﻨﺔ ﺍﻫﺪﺍﻑ ﻛﻠﻲ‬
‫ﺭﺍ ﻧﺎﺩﻳﺪﻩ ﮔﺮﻓﺘﻪ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺑﺎﻋﺚ ﺍﻳﺠﺎﺩ ﻧﻘﺎﺋﺺ ﻣﺤﻴﻄﻲ ﺯﻳﺮ ﺷﺪﻩ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﻭﺍﺑﺴﺘﮕﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ :‬ﻧﺴﺨﺔ ‪ ۴‬ﻧﻴﺎﺯ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ DES‬ﺩﺍﺭﺩ‪ .‬ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﺻﺎﺩﺭﺍﺗﻲ ‪ DES‬ﻭ ﻫﻤﭽﻨﻴﻦ‬
‫ﺗﺮﺩﻳﺪ ﺩﺭ ﻣﻮﺭﺩ ﺗﻮﺍﻧﺎﺋﻲﻫﺎﻱ ﺁﻥ‪ ،‬ﺍﺯ ﻣﻮﺍﺭﺩ ﻧﮕﺮﺍﻥﻛﻨﻨﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﻧﺴﺨﺔ ‪ ،۵‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﺎ ﻳﻚ ﺷﻨﺎﺳﺔ ﻧﻮﻉ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﻣﺠﻬﺰﺷﺪﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﻲﺗﻮﺍﻥ ﺍﺯ ﻫﺮ ﻧﻮﻉ ﺗﻜﻨﻴﻚ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ‪ .‬ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺍﺭﺍﻱ ﻳﻚ ﺩﻧﺒﺎﻟﺔ‬
‫ﻣﺸﺨﺺﻛﻨﻨﺪﺓ ﻧﻮﻉ ﻭ ﺍﻧﺪﺍﺯﻩ ﺑﻮﺩﻩ ﻭ ﺍﻳﻦ ﺍﻣﺮ ﺍﺟﺎﺯﻩ ﻣﻴﺪﻫﺪ ﺗﺎ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﺩﺭ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ‬
‫ﻫﻤﭽﻨﻴﻦ ﺗﻐﻴﻴﺮﺍﺕ ﻣﺘﻔﺎﻭﺗﻲ ﺭﺍ ﺭﻭﻱ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﻧﺠﺎﻡ ﺩﺍﺩ‪.‬‬
‫‪ -۲‬ﻭﺍﺑﺴﺘﮕﻲ ﺑﻪ ﭘﺮﻭﺗﻜﻞ ﺍﻳﻨﺘﺮﻧﺖ‪ :‬ﻧﺴﺨﺔ ‪ ۴‬ﻧﻴﺎﺯ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺁﺩﺭﺱﻫﺎﻱ ﭘﺮﻭﺗﻜﻞ ﺍﻳﻨﺘﺮﻧﺖ)‪ (IP‬ﺩﺍﺭﺩ‪ .‬ﺳﺎﻳﺮ ﺍﻧﻮﺍﻉ‬
‫ﺁﺩﺭﺱ‪ ،‬ﻣﺜﻞ ﺁﺩﺭﺱ ﺷﺒﻜﺔ ‪ ،ISO‬ﺭﺍ ﻧﻤﻲﺗﻮﺍﻥ ﺑﻜﺎﺭ ﮔﺮﻓﺖ‪ .‬ﺩﺭ ﻧﺴﺨﺔ ‪ ،۵‬ﺁﺩﺭﺱﻫﺎﻱ ﺷﺒﻜﻪ ﺑﺎ ﺩﻧﺒﺎﻟﺔ ﻧﻮﻉ ﻭ ﻃﻮﻝ ﻣﺠﻬﺰ‬
‫ﺑﻮﺩﻩ ﻭ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺍﺯ ﻫﺮ ﻧﻮﻉ ﺁﺩﺭﺳﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ‪.‬‬
‫‪ -۳‬ﻧﻈﻢ ﺑﺎﻳﺖﻫﺎﻱ ﭘﻴﺎﻡ‪ :‬ﺩﺭ ﻧﺴﺨﺔ ‪ ،۴‬ﺍﺭﺳﺎﻝﻛﻨﻨﺪﺓ ﻳﻚ ﭘﻴﺎﻡ ﻧﻈﻢ ﺑﺎﻳﺖﻫﺎ ﺭﺍ ﺍﺯ ﺟﺎﻧﺐ ﺧﻮﺩ ﺍﻧﺘﺨﺎﺏ ﻛﺮﺩﻩ ﻭ ﺑﺎ ﺍﻟﺼﺎﻕ ﻳﻚ‬
‫ﺩﻧﺒﺎﻟﻪ ﺑﻪ ﭘﻴﺎﻡ ﻣﺸﺨﺺ ﻣﻲﺳﺎﺯﺩ ﻛﻪ ﺁﻳﺎ ﺑﺎﻳﺖ ﺩﺍﺭﺍﻱ ﻛﻤﺘﺮﻳﻦ ﺍﻫﻤﻴﺖ ﺩﺭ ﭘﺎﺋﻴﻦﺗﺮﻳﻦ ﺁﺩﺭﺱ ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﻭ ﻳﺎ ﺑﺎﻳﺖ ﺩﺍﺭﺍﻱ‬
‫ﺑﻴﺸﺘﺮﻳﻦ ﺍﻫﻤﻴﺖ ﭘﺎﺋﻴﻦﺗﺮﻳﻦ ﺁﺩﺭﺱ ﺭﺍ ﺍﺷﻐﺎﻝ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﻋﻤﻠﻲ ﺍﺳﺖ ﻭﻟﻲ ﺍﺯ ﻗﺮﺍﺭﺩﺍﺩﻫﺎﻱ ﺟﺎﺍﻓﺘﺎﺩﻩ ﺗﺒﻌﻴﺖ‬
‫ﻧﻤﻲﻛﻨﺪ‪ .‬ﺩﺭ ﻧﺴﺨﺔ ‪ ۵‬ﺗﻤﺎﻡ ﺳﺎﺧﺘﺎﺭﻫﺎﻱ ﭘﻴﺎﻡ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ )‪ Abstract Syntax Notation One (ASN.1‬ﻭ‬
‫)‪ Basic Encoding Rule(BER‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻧﻈﻢ ﺑﺎﻳﺖﻫﺎ ﺑﻄﻮﺭ ﻏﻴﺮﻗﺎﺑﻞ ﺍﺑﻬﺎﻣﻲ ﻣﺸﺨﺺ ﻣﻲﮔﺮﺩﻧﺪ‪.‬‬
‫‪ -۴‬ﻃﻮﻝ ﻋﻤﺮ ﺑﻠﻴﺖ‪ :‬ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﻃﻮﻝ ﻋﻤﺮ ﺩﺭ ﻧﺴﺨﺔ ‪ ۴‬ﺑﺼﻮﺭﺕ ﻳﻚ ﻛﻤﻴﺖ ‪ -۸‬ﺑﻴﺘﻲ ﺩﺭ ﻭﺍﺣﺪﻫﺎﻱ ‪ ۵‬ﺩﻗﻴﻘﻪﺍﻱ ﻛﹸﺪ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﺎﻛﺰﻳﻤﻢ ﻃﻮﻝ ﻋﻤﺮﻱ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺗﻌﺮﻳﻒ ﺷﻮﺩ ﺑﺮﺍﺑﺮ ‪ ۲۸× ۵ =۱,۲۸۰‬ﺩﻗﻴﻘﻪ ﻭ ﻳﺎ ﭼﻴﺰﻱ ﺑﺎﻻﺗﺮ ﺍﺯ ‪ ۲۱‬ﺳﺎﻋﺖ‬
‫ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﻘﺪﺍﺭ ﺑﺮﺍﻱ ﺑﺮﺧﻲ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﻛﺎﻓﻲ ﻧﺒﺎﺷﺪ )ﻣﺜﻞ ﻳﻚ ﺷﺒﻴﻪﺳﺎﺯﻱ ﻃﻮﻻﻧﻲ ﻛﻪ ﺩﺭ ﻃﻮﻝ ﺍﺟﺮﺍ ﻧﻴﺎﺯ‬
‫ﺑﻪ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﺴﺘﻤﺮ ‪ Kerberos‬ﺩﺍﺭﺩ(‪ .‬ﺩﺭ ﻧﺴﺨﺔ ‪ ،۵‬ﺑﻠﻴﺖﻫﺎ ﺩﺍﺭﺍﻱ ﻳﻚ ﺯﻣﺎﻥ ﺷﺮﻭﻉ ﻭ ﻳﻚ ﺯﻣﺎﻥ ﺧﺎﺗﻤﻪ ﺻﺮﻳﺢ ﺑﻮﺩﻩ‬
‫ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻳﻚ ﺑﻠﻴﺖ ﻣﻲﺗﻮﺍﻧﺪ ﻫﺮ ﻃﻮﻝ ﻋﻤﺮﻱ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫‪ -۵‬ﺟﻠﻮﺭﺍﻧﺪﻥ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ :‬ﻧﺴﺨﺔ ‪ ۴‬ﺍﺟﺎﺯﻩ ﻧﻤﻲﺩﻫﺪ ﻛﻪ ﺍﻋﺘﺒﺎﺭ ﺻﺎﺩﺭ ﺷﺪﻩ ﺑﺮﺍﻱ ﻳﻚ ﻛﻼﻳﻨﺖ ﺑﻪ ﻣﻴﺰﺑﺎﻥ ﺩﻳﮕﺮﻱ ﺍﻫﺪﺍ‬
‫ﺷﺪﻩ ﻭ ﻛﻼﻳﻨﺖ ﺩﻳﮕﺮﻱ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﻗﺎﺑﻠﻴﺖ ﺑﻪ ﻳﻚ ﻛﻼﻳﻨﺖ ﺍﺟﺎﺯﻩ ﺧﻮﺍﻫﺪ ﺩﺍﺩ ﺗﺎ ﺑﻪ ﻳﻚ ﺳِﺮﻭﺭ ﺩﺳﺖ‬
‫ﻳﺎﻓﺘﻪ ﻭ ﺍﺯ ﺁﻥ ﺳِﺮﻭﺭ ﺑﺨﻮﺍﻫﺪ ﻛﻪ ﺍﺯ ﻃﺮﻑ ﺁﻥ ﻛﻼﻳﻨﺖ ﺑﻪ ﺳِﺮﻭﺭ ﺩﻳﮕﺮﻱ ﺩﺳﺖ ﻳﺎﺑﺪ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ‪ ،‬ﻳﻚ ﻛﻼﻳﻨﺖ ﺗﻘﺎﺿﺎﺋﻲ‬
‫ﺭﺍ ﺑﺮﺍﻱ ﻳﻚ ﺳِﺮﻭﺭ ﭼﺎﭘﮕﺮ ﻣﻲﻓﺮﺳﺘﺪ ﻛﻪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻋﺘﺒﺎﺭ ﻛﻼﻳﻨﺖ ﺑﻪ ﻓﺎﻳﻞ ﻛﻼﻳﻨﺖ ﺩﺭ ﻳﻚ ﺳِﺮﻭﺭ ﻓﺎﻳﻞ ﺩﺳﺘﺮﺳﻲ‬
‫ﻳﺎﺑﺪ‪ .‬ﻧﺴﺨﺔ ‪ ۵‬ﺍﻳﻦ ﻗﺎﺑﻠﻴﺖ ﺭﺍ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻩ ﺍﺳﺖ‪.‬‬
‫‪ -۶‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻴﻦ ﻗﻠﻤﺮﻭﻫﺎ‪ :‬ﺩﺭ ﻧﺴﺨﺔ ‪ ،۴‬ﻋﻤﻠﻴﺎﺕ ﺑﻴﻦ ‪ N‬ﻗﻠﻤﺮﻭ ﻧﻴﺎﺯ ﺑﻪ ﺣﺪﻭﺩ ‪ N2‬ﺍﺭﺗﺒﺎﻁ ‪ Kerberos‬ﺑﻪ‬
‫‪ Kerberos‬ﺩﺍﺷﺘﻪ ﻛﻪ ﻗﺒﻼﹰ ﺩﺭ ﻣﻮﺭﺩ ﺁﻥ ﺑﺤﺚ ﺷﺪ‪ .‬ﻧﺴﺨﺔ ‪ ۵‬ﺑﺮﺍﺑﺮ ﺁﻧﭽﻪ ﺑﺰﻭﺩﻱ ﺗﺸﺮﻳﺢ ﺧﻮﺍﻫﺪ ﺷﺪ ﻧﻴﺎﺯ ﺑﻪ ﺭﻭﺍﺑﻂ‬
‫ﻛﻤﺘﺮﻱ ﺩﺍﺭﺩ‪.‬‬
‫‪١٢٧‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺟﺪﺍ ﺍﺯ ﺍﻳﻦ ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﻣﺤﻴﻄﻲ‪ ،‬ﺩﺭ ﺧﻮﺩ ﭘﺮﻭﺗﻜﻞ ﻧﺴﺨﺔ ‪ ۴‬ﻳﻚ ﺳﺮﻱ ﻧﻮﺍﻗﺺ ﺗﻜﻨﻴﻜﻲ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺑﻴﺸﺘﺮ ﺍﻳﻦ ﻧﻮﺍﻗﺺ‬
‫ﺩﺭ]‪ [BELL90‬ﺫﻛﺮ ﺷﺪﻩ ﻭ ﻧﺴﺨﺔ ‪ ۵‬ﺑﺮﺍﻱ ﺭﻓﻊ ﺁﻧﻬﺎ ﺗﻼﺵ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﻧﻮﺍﻗﺺ ﺑﻪ ﻗﺮﺍﺭ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫‪ -۱‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻭﺑﻞ‪ :‬ﺩﺭ ﺟﺪﻭﻝ‪ ۴-۱‬ﺗﻮﺟﻪ ﻛﻨﻴﺪ ]ﭘﻴﺎﻡﻫﺎﻱ)‪(۲‬ﻭ)‪ [(۴‬ﻛﻪ ﺑﻠﻴﺖﻫﺎﻱ ﺻﺎﺩﺭﺷﺪﻩ ﺑﺮﺍﻱ ﻛﻼﻳﻨﺖﻫﺎ ﺩﻭﺑﺎﺭ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﻧﺪ ﻛﻪ ﺑﺎﺭ ﺍﻭﻝ ﺑﺎ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺳِﺮﻭﺭ ﻫﺪﻑ ﻭ ﺑﺎﺭ ﺩﻭﻡ ﺑﺎ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺁﺷﻨﺎ ﺑﺮﺍﻱ ﻛﻼﻳﻨﺖ ﺍﻳﻦﻛﺎﺭ ﺻﻮﺭﺕ‬
‫ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎﺭ ﺩﻭﻡ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻧﺒﻮﺩﻩ ﻭ ﺍﺯ ﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﻭﻗﺖﮔﻴﺮ ﺍﺳﺖ‪.‬‬
‫‪ -۲‬ﺭﻣﺰﻧﮕﺎﺭﻱ‪ :PCBC‬ﺭﻣـﺰﻧﮕﺎﺭﻱ ﺩﺭ ﻧﺴﺨﺔ ‪ ۴‬ﺍﺯ ﻳﻚ ﻣُـﻮﺩ ﻏﻴﺮﺍﺳﺘﺎﻧــﺪﺍﺭﺩ ‪ DES‬ﺑﻪ ﻧﺎﻡ )‪(PCBC‬‬
‫‪ propagating cipher block chaining‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﻣُﻮﺩ ﻧﺴﺒﺖ ﺑﻪ ﻳﻚ‬
‫ﺣﻤﻠﻪ ﻛﻪ ﺷﺎﻣﻞ ﺗﻌﻮﻳﺾ ﺑﻠﻮﻙﻫﺎﻱ ﺭﻣﺰﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺁﺳﻴﺐﭘﺬﻳﺮﺍﺳﺖ]‪ PCBC .[KOHL89‬ﻗﺮﺍﺭ ﺑﻮﺩ ﺗﺎ ﺑﻌﻨﻮﺍﻥ‬
‫ﺑﺨﺸﻲ ﺍﺯ ﻋﻤﻠﻴﺎﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺻﺤﺖ ﺩﺍﺩﻩﻫﺎ ﺭﺍ ﻧﻴﺰ ﻛﻨﺘﺮﻝ ﻧﻤﺎﻳﺪ‪ .‬ﻧﺴﺨﺔ ‪ ۵‬ﻳﻚ ﻣﻜﺎﻧﻴﺴﻢ ﻛﻨﺘﺮﻝ ﺻﺤﺖ ﺻﺮﻳﺢ ﺍﻳﺠﺎﺩ‬
‫ﻛﺮﺩﻩ ﻛﻪ ﺍﺟﺎﺯﻩ ﻣﻴﺪﻫﺪ ﺗﺎ ﺍﺯ ﻣُﻮﺩ ‪ CBC‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪ .‬ﻋﻠﻲﺍﻟﺨﺼﻮﺹ‪ ،‬ﻳﻚ ﺟﻤﻊ ﻛﻨﺘﺮﻟﻲ ﻳﺎ‬
‫ﻛﹸﺪ ‪ hash‬ﻗﺒﻞ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ CBC‬ﺑﻪ ﭘﻴﺎﻡ ﻭﺻﻞ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫‪ -۳‬ﻛﻠﻴﺪﻫﺎﻱ ﺍﺟﻼﺱ‪ :‬ﻫﺮ ﺑﻠﻴﺖ ﺷﺎﻣﻞ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﻃﺮﻑ ﻛﺎﺭﺑﺮ ﺑﺮﺍﻱ ﺭﻣﺰﻛﺮﺩﻥ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺍﺭﺳﺎﻝﺷﺪﺓ‬
‫ﻣﺘﻨﺎﻇﺮ ﺑﺎ ﺁﻥ ﺑﻠﻴﺖ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ‪ ،‬ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻣﻲﺗﻮﺍﻧﺪ ﻣﺘﻌﺎﻗﺒﺎﹰ ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ ﺑﺮﺍﻱ ﻣﺤﺎﻓﻈﺖ‬
‫ﭘﻴﺎﻡﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ﺧﻼﻝ ﺍﺟﻼﺱ ﺭﺩﻭﺑﺪﻝ ﻣﻲﺷﻮﻧﺪ ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﻭﻟﻲ ﭼﻮﻥ ﻳﻚ ﺑﻠﻴﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﻣﻜﺮﺭﺍﹰ ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ‬
‫ﺑﻪ ﺳﺮﻭﻳﺲ ﻳﻚ ﺳِﺮﻭﺭ ﺧﺎﺹ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪ ،‬ﺍﻳﻦ ﺧﻄﺮ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﻳﻚ ﺩﺷﻤﻦ ﭘﻴﺎﻡﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﻳﻚ‬
‫ﺍﺟﻼﺱ ﻛﻬﻨﻪ ﺭﺍ ﺑﺮﺍﻱ ﻛﻼﻳﻨﺖ ﻳﺎ ﺳِﺮﻭﺭ ﺑﺎﺯﺧﻮﺍﻧﻲ ﻛﻨﺪ‪ .‬ﺩﺭ ﻧﺴﺨﺔ ‪ ۵‬ﺍﻳﻦ ﺍﻣﻜﺎﻥ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﻳﻚ ﻛﻼﻳﻨﺖ ﺑﺎ ﺳِﺮﻭﺭ‬
‫ﺩﺭ ﻣﻮﺭﺩ ﻳﻚ ﻛﻠﻴﺪ ﺯﻳﺮﺍﺟﻼﺱ ﺑﻪ ﺍﻳﻦ ﺗﻮﺍﻓﻖ ﺑﺮﺳﻨﺪ ﻛﻪ ﺍﺯ ﺍﻳﻦ ﻛﻠﻴﺪ ﻓﻘﻂ ﺑﺮﺍﻱ ﻳﻚ ﺑﺎﺭ ﺍﺗﺼﺎﻝ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪ .‬ﺩﺳﺘﺮﺳﻲ‬
‫ﺟﺪﻳﺪ ﺍﺯ ﺳﻮﻱ ﻛﻼﻳﻨﺖ‪ ،‬ﻧﻴﺎﺯ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﺯﻳﺮﺍﺟﻼﺱ ﺟﺪﻳﺪ ﺩﺍﺭﺩ‪.‬‬
‫‪ -۴‬ﺣﻤﻼﺕ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‪ :‬ﻫﺮ ﺩﻭ ﻧﺴﺨﻪ ﺩﺭ ﻣﻘﺎﺑﻞ ﺣﻤﻠﺔ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺁﺳﻴﺐﭘﺬﻳﺮﻧﺪ‪ .‬ﭘﻴﺎﻡ ‪ AS‬ﺑﻪ ﻛﻼﻳﻨﺖ ﺷﺎﻣﻞ ﻣﻄﺎﻟﺒﻲ‬
‫ﺍﺳﺖ ﻛﻪ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﻛﻪ ﻣﺸﺘﻖ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﻼﻳﻨﺖ ﺍﺳﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻳﻚ ﺩﺷﻤﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﻳﻦ ﭘﻴﺎﻡ‬
‫ﺭﺍ ﺩﺯﺩﻳﺪﻩ ﻭ ﺑﺎ ﺑﻜﺎﺭﮔﻴﺮﻱ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﺨﺘﻠﻒ‪ ،‬ﺁﻥ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻧﻤﺎﻳﺪ‪ .‬ﺍﮔﺮ ﻧﺘﻴﺠﺔ ﻳﻜﻲ ﺍﺯ ﺍﻳﻦ ﺭﻣﺰﮔﺸﺎﺋﻲﻫﺎ‬
‫ﻣﻮﻓﻘﻴﺖﺁﻣﻴﺰ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺩﺷﻤﻦ ﻛﻠﻤﺔﻋﺒﻮﺭ ﻛﻼﻳﻨﺖ ﺭﺍ ﻛﺸﻒ ﻛﺮﺩﻩ ﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻌﺪﺍﹰ ﺁﻥ ﺭﺍ ﺑﺮﺍﻱ ﻛﺴﺐ ﺍﻣﺘﻴﺎﺯﺍﺕ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺯ ‪ Kerberos‬ﺑﻜﺎﺭ ﺑﺮﺩ‪ .‬ﺍﻳﻦ ﻫﻤﺎﻥ ﻧﻮﻉ ﺣﻤﻠﺔ ﻛﻠﻤﺔ ﻋﺒﻮﺭﻱ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻓﺼﻞ ‪ ۹‬ﺩﺭ ﻣﻮﺭﺩ ﺁﻥ ﺑﺤﺚ‬
‫ﺷﺪﻩ ﻭ ﻫﻤﺎﻥ ﭘﺎﺗﻚﻫﺎﻱ ﺫﻛﺮﺷﺪﻩ ﺩﺭ ﻣﻮﺭﺩ ﺁﻥ ﻗﺎﺑﻞ ﺍﺟﺮﺍﺳﺖ‪ .‬ﻧﺴﺨﺔ ‪ ،۵‬ﻣﻜﺎﻧﻴﺴﻢ ﺟﺪﻳﺪﻱ ﺑﻨﺎﻡ ﭘﻴﺶﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﺑﻜﺎﺭﺑﺮﺩﻩ ﻛﻪ ﺣﻤﻼﺕ ﻛﻠﻤﺔﻋﺒﻮﺭ ﺭﺍ ﺩﺷﻮﺍﺭﺗﺮ ﻧﻤﻮﺩﻩ ﻭﻟﻲ ﻛﺎﻣﻼﹰ ﺍﺯ ﺁﻧﻬﺎ ﺟﻠﻮﮔﻴﺮﻱ ﻧﻤﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﺩﻳﺎﻟﻮﮒ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻧﺴﺨﺔ ‪۵‬‬

‫ﺟﺪﻭﻝ ‪ ۴-۳‬ﺩﻳﺎﻟﻮﮒ ﺍﺻﻠﻲ ﻧﺴﺨﺔ ‪ ۵‬ﺭﺍ ﺧﻼﺻﻪ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺩﻳﺎﻟﻮﮒ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﺑﻬﺘﺮﻳﻦ ﻧﺤﻮ ﺑﺎ ﻣﻘﺎﻳﺴﻪ ﺑﺎ ﻧﺴﺨﺔ ‪۴‬‬
‫ﺗﺸﺮﻳﺢ ﮔﺮﺩﺩ )ﺟﺪﻭﻝ ‪.(۴-۱‬‬
‫ﺩﺭ ﺍﺑﺘﺪﺍ ﻣﺒﺎﺩﻟﺔ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﺩﺭﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪ .‬ﭘﻴﺎﻡ)‪ (۱‬ﺩﺭﺧﻮﺍﺳﺖ ﻛﻼﻳﻨﺖ ﺑﺮﺍﻱ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ‬
‫ﺍﺳﺖ‪ .‬ﻫﻤﺎﻧﻨﺪ ﻗﺒﻞ ﺍﻳﻦ ﺩﺭﺧﻮﺍﺳﺖ ﺷﺎﻣﻞ ‪ ID‬ﻛﺎﺭﺑﺮ ﻭ ‪ TGS‬ﺍﺳﺖ‪ .‬ﺍﻗﻼﻡ ﺟﺪﻳﺪ ﺯﻳﺮ ﺑﻪ ﺁﻥ ﺍﺿﺎﻓﻪ ﺷﺪﻩﺍﻧﺪ‪:‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٢٨‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺧﻼﺻﺔ ﻣﺒﺎﺩﻟﺔ ﭘﻴﺎﻡﻫﺎ ﺩﺭ ‪Kerberos Version 5‬‬ ‫ﺟﺪﻭﻝ ‪۴-۳‬‬
‫)ﺍﻟﻒ( ﻣﺒﺎﺩﻟﺔ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ :‬ﺑﺮﺍﻱ ﻛﺴﺐ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ‬

‫)‪(۱‬‬ ‫‪C→ AS: Options || IDC || Realmc || IDtgs || Times || Nonce1‬‬
‫)‪(۲‬‬ ‫‪AS→ C:‬‬ ‫)]‪Realmc || IDC || Tickettgs || E (Kc, [Kc,tgs || Times || Nonce1 || Realmtgs || IDtgs‬‬
‫)] ‪Tickettgs = E (Ktgs , [Flags || Kc,tgs || Realmc || IDC || ADC || Times‬‬
‫)ﺏ( ﻣﺒﺎﺩﻟﺔ ﺳﺮﻭﻳﺲ ﺍﻋﻄﺎﺀ ﺑﻠﻴﺖ‪ :‬ﺑﺮﺍﻱ ﻛﺴﺐ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ‬
‫) ‪(۳‬‬ ‫‪C→ TGS: Options || IDv || Times || Nonce2|| Tickettgs || Authenticatorc‬‬
‫)‪(۴‬‬ ‫‪TGS→ C:‬‬ ‫)]‪Realmc || IDC || Ticketv || E(Kc,tgs , [Kc,v || Times || Nonce2 || Realmv || IDv‬‬
‫)] ‪Tickettgs = E (Ktgs , [Flags || Kc,tgs|| Realmc || IDC || ADC || Times‬‬
‫)] ‪Ticketv = E (Kv , [Flags || Kc,v || Realmc || IDC || ADC || Times‬‬
‫)]‪Authenticatorc = E (Kc,tgs , [IDC || Realmc || TS1‬‬
‫)ﺝ( ﻣﺒﺎﺩﻟﺔ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﻼﻳﻨﺖ‪ /‬ﺳِﺮﻭﺭ‪ :‬ﺑﺮﺍﻱ ﻛﺴﺐ ﺳﺮﻭﻳﺲ‬
‫)‪(۵‬‬ ‫‪C→ V: Options || Ticketv || Authenticatorc‬‬
‫)‪(۶‬‬ ‫‪V→ C:‬‬ ‫)] ‪E (Kc,v , [ TS2 || Subkey || Seq#‬‬
‫)] ‪Ticketv = E (Kv , [Flags || Kc,v || Realmc || IDC || ADC || Times‬‬
‫)] ‪Authenticatorc = E (Kc,v , [IDC || Realmc || TS2 || Subkey || Seq#‬‬
‫ﻗﻠﻤﺮﻭ)‪ :(Realm‬ﻗﻠﻤﺮﻭ ﻛﺎﺭﺑﺮ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬ ‫•‬

‫ﻣﻮﺍﺭﺩ ﺍﺧﺘﻴﺎﺭﻱ)‪ :(Options‬ﺍﻓﺮﺍﺷﺘﻦ ﭘﺮﭼﻢﻫﺎﻱ ﻣﻌﻴﻨﻲ ﺩﺭ ﺑﻠﻴﺖ ﺑﺎﺯﮔﺸﺘﻲ ﺭﺍ ﺩﺭﺧﻮﺍﺳﺖ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬ ‫•‬
‫ﺯﻣﺎﻥﻫﺎ)‪ :(Times‬ﺗﻨﻈﻴﻢ ﺯﻣﺎﻥﻫﺎﻱ ﺯﻳﺮ ﺩﺭ ﺑﻠﻴﺖ‪ ،‬ﺑﺎ ﺗﻘﺎﺿﺎﻱ ﻛﻼﻳﻨﺖ‪ ،‬ﺭﺍ ﻣﻤﻜﻦ ﻣﻲﺳﺎﺯﺩ‪:‬‬ ‫•‬
‫‪ o‬ﺍﺯ‪ :‬ﺯﻣﺎﻥ ﺁﻏﺎﺯ ﺑﺮﺍﻱ ﺑﻠﻴﺖ ﺗﻘﺎﺿﺎﺷﺪﻩ‬
‫‪ o‬ﺗﺎ‪ :‬ﺯﻣﺎﻥ ﺍﻧﻘﻀﺎﺀ ﺑﺮﺍﻱ ﺑﻠﻴﺖ ﺗﻘﺎﺿﺎﺷﺪﻩ‬
‫‪ o‬ﺗﻤﺪﻳﺪ‪ :‬ﺯﻣﺎﻥ ﺗﻤﺪﻳﺪ ﺑﺮﺍﻱ ﺑﻠﻴﺖ ﺗﻘﺎﺿﺎﺷﺪﻩ‬
‫ﺣﺎﻝ ﻓﻌﻠﻲ)‪ :(nonce‬ﻳﻚ ﻣﻘﺪﺍﺭ ﺗﺼﺎﺩﻓﻲ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﭘﻴﺎﻡ)‪ (۲‬ﺗﻜﺮﺍﺭ ﮔﺮﺩﺩ ﺗﺎ ﻣﻄﻤﺌﻦ ﺷﻮﻳﻢ ﻛﻪ ﭘﺎﺳﺦ ﺗﺎﺯﻩ ﺑﻮﺩﻩ ﻭ‬ ‫•‬
‫ﻓﺮﻡ ﻗﺪﻳﻤﻲ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺩﺷﻤﻦ ﻧﻤﻲﺑﺎﺷﺪ‪.‬‬
‫ﭘﻴﺎﻡ )‪ (۲‬ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺭﺍ ﺑﺮﮔﺮﺩﺍﻧﺪﻩ‪ ،‬ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﻼﻳﻨﺖ ﺭﺍ ﺑﻴﺎﻥ ﻧﻤﻮﺩﻩ ﻭ ﻳﻚ ﺑﻠﻮﻙ ﺭﻣﺰﻧﮕﺎﺭﻱﺷﺪﻩ‬
‫ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﺭﻣﺰﻱ ﻛﻪ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ ﻣﺸﺘﻖ ﺷﺪﻩ ﺍﺳﺖ ﺭﺍ ﺗﻬﻴﻪ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺑﻠﻮﻙ ﺷﺎﻣﻞ ﻛﻠﻴﺪ ﺍﺟﻼﺳﻲ ﺑﻮﺩﻩ ﻛﻪ‬
‫ﺑﺎﻳﺴﺘﻲ ﺑﻴﻦ ﻛﻼﻳﻨﺖ ﻭ ‪ TGS‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪ ،‬ﺯﻣﺎﻥﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ﭘﻴﺎﻡ )‪ (۱‬ﻣﺸﺨﺺ ﺷﺪﻩ‪ nonce ،‬ﺍﺯ ﭘﻴﺎﻡ )‪ (۱‬ﻭ ﺍﻃﻼﻋﺎﺕ‬
‫ﺷﻨﺎﺳﺎﺋﻲ ‪ TGS‬ﺍﺳﺖ‪ .‬ﺧﻮﺩ ﺑﻠﻴﺖ ﺷﺎﻣﻞ ﻛﻠﻴﺪ ﺍﺟﻼﺱ‪ ،‬ﺍﻃﻼﻋﺎﺕ ﺷﻨﺎﺳﺎﺋﻲ ﻛﻼﻳﻨﺖ‪ ،‬ﻣﻘﺎﺩﻳﺮ ﺯﻣﺎﻧﻲ ﺗﻘﺎﺿﺎﺷﺪﻩ ﻭ ﭘﺮﭼﻢﻫﺎﺋﻲ ﺍﺳﺖ ﻛﻪ‬
‫ﻭﺿﻌﻴﺖ ﺍﻳﻦ ﺑﻠﻴﺖ ﻭ ﺍﺧﺘﻴﺎﺭﺍﺕ ﺗﻘﺎﺿﺎﺷﺪﻩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﻨﺪ‪ .‬ﺍﻳﻦ ﭘﺮﭼﻢﻫﺎ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺟﺪﻳﺪ ﻗﺎﺑﻞ ﻣﻼﺣﻈﻪﺍﻱ ﺭﺍ ﺑﻪ ﻧﺴﺨﺔ ‪ ۵‬ﺍﺿﺎﻓﻪ‬
‫ﻣﻲﻛﻨﻨﺪ‪ .‬ﻓﻌﻼﹰ ﺑﺤﺚ ﺩﺭ ﻣﻮﺭﺩ ﺍﻳﻦ ﭘﺮﭼﻢﻫﺎ ﺭﺍ ﺑﻪ ﺗﻌﻮﻳﻖ ﺍﻧﺪﺍﺧﺘﻪ ﻭ ﺭﻭﻱ ﺳﺎﺧﺘﺎﺭ ﻛﻠﻲ ﭘﺮﻭﺗﻜﻞ ﻧﺴﺨﺔ ‪ ۵‬ﺗﻤﺮﻛﺰ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫‪١٢٩‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺣﺎﻝ ﺍﺟﺎﺯﻩ ﺩﻫﻴﺪ ﺗﺎ ﻣﺒﺎﺩﻟﺔ ﺳﺮﻭﻳﺲ ﺍﻋﻄﺎﻛﺮﺩﻥ ﺑﻠﻴﺖ ﺩﺭ ﻧﺴﺨﻪﻫﺎﻱ ‪ ۴‬ﻭ ‪ ۵‬ﺭﺍ ﺑﺎ ﻫﻢ ﻣﻘﺎﻳﺴﻪ ﻛﻨﻴﻢ‪ .‬ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺩﻳﺪﻩ‬
‫ﻣﻲﺷﻮﺩ‪ ،‬ﭘﻴﺎﻡ )‪ (۳‬ﺑﺮﺍﻱ ﻫﺮ ﺩﻭ ﻧﺴﺨﻪ ﺷﺎﻣﻞ ﻳﻚ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ‪ ،‬ﻳﻚ ﺑﻠﻴﺖ ﻭ ﻧﺎﻡ ﺳﺮﻭﻳﺲ ﺩﺭﺧﻮﺍﺳﺘﻲ ﻣﻲﺑﺎﺷﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺁﻥ ﻧﺴﺨﺔ ‪۵‬‬
‫ﺷﺎﻣﻞ ﺯﻣﺎﻥﻫﺎﻱ ﺗﻘﺎﺿﺎﺷﺪﻩ ﻭ ﻣﻮﺍﺭﺩ ﺍﺧﺘﻴﺎﺭﻱ ﺑﻠﻴﺖ ﻭ ﻳﻚ ‪ nonce‬ﺍﺳﺖ ﻛﻪ ﻫﻤﺔ ﺁﻧﻬﺎ ﺷﺒﻴﻪ ﻣﻮﺍﺭﺩ ﭘﻴﺎﻡ )‪ (۱‬ﺍﻧﺪ‪ .‬ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺧﻮﺩ‬
‫ﺿﺮﻭﺭﺗﺎﹰ ﻫﻤﺎﻧﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻧﺴﺨﺔ )‪ (۴‬ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺍﺳﺖ‪.‬‬
‫ﭘﻴﺎﻡ )‪ (۴‬ﺩﺍﺭﺍﻱ ﻫﻤﺎﻥ ﺳﺎﺧﺘﺎﺭ ﭘﻴﺎﻡ )‪ (۲‬ﺑﻮﺩﻩ ﻭ ﻳﻚ ﺑﻠﻴﺖ ﺭﺍ ﺑﻬﻤﺮﺍﻩ ﺍﻃﻼﻋﺎﺗﻲ ﻛﻪ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻛﻼﻳﻨﺖ ﺍﺳﺖ ﺑﺮﻣﻲﮔﺮﺩﺍﻧﺪ‪.‬‬
‫ﺍﻃﻼﻋﺎﺕ ﺑﺎ ﻫﻤﺎﻥ ﻛﻠﻴﺪ ﺍﺟﻼﺳﻲ ﻛﻪ ﺣﺎﻻ ﺑﻴﻦ ﻛﻼﻳﻨﺖ ﻭ ‪ TGS‬ﻣﺸﺘﺮﻙ ﺍﺳﺖ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﺑﺎﻻﺧﺮﻩ‪ ،‬ﺑﺮﺍﻱ ﻣﺒﺎﺩﻟﺔ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﻼﻳﻨﺖ‪/‬ﺳِﺮﻭﺭ‪ ،‬ﭼﻨﺪ ﻣﺸﺨﺼﺔ ﺟﺪﻳﺪ ﺩﺭ ﻧﺴﺨﺔ ‪ ۵‬ﮔﻨﺠﺎﻧﺪﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﭘﻴﺎﻡ )‪،(۵‬‬
‫ﻛﻼﻳﻨﺖ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺩﺭﺧﻮﺍﺳﺖ ﺍﺧﺘﻴﺎﺭﻱ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﻘﺎﺿﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺘﻘﺎﺑﻞ ﻧﻤﺎﻳﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ‪ ،‬ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺩﺍﺭﺍﻱ ﭼﻨﺪ‬
‫ﻣﻴﺪﺍﻥ ﺟﺪﻳﺪ ﺍﺳﺖ‪:‬‬
‫ﺯﻳﺮﻛﻠﻴﺪ )‪:(subkey‬ﻛﻼﻳﻨﺖ ﺣﻖ ﺩﺍﺭﺩ ﺗﺎ ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺮﺍﻱ ﺣﻔﺎﻇﺖ ﺍﻳﻦ ﺍﺟﻼﺱ ﻛﺎﺭﺑﺮﺩﻱ ﺧﺎﺹ‬ ‫•‬
‫ﺩﺭﺧﻮﺍﺳﺖ ﻛﻨﺪ‪ .‬ﺍﮔﺮ ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﺣﺬﻑ ﺷﻮﺩ‪ ،‬ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺑﻠﻴﺖ)‪ (Kc,v‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﺧﻮﺍﻫﺪ ﮔﺮﻓﺖ‪.‬‬
‫ﺷﻤﺎﺭﺓ ﺭﺩﻳﻒ )‪ :(Sequence number‬ﻳﻚ ﻣﻴﺪﺍﻥ ﺍﺧﺘﻴﺎﺭﻱ ﺗﻌﻴﻴﻦﻛﻨﻨﺪﺓ ﺷﻤﺎﺭﺓ ﺭﺩﻳﻒ ﺁﻏﺎﺯﻳﻦ ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﺓ‬ ‫•‬
‫ﺳِﺮﻭﺭ ﺩﺭ ﺷﻤﺎﺭﻩﮔﺬﺍﺭﻱ ﭘﻴﺎﻡﻫﺎﻳﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﺍﺟﻼﺱ ﺑﺮﺍﻱ ﻛﻼﻳﻨﺖ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﭘﻴﺎﻡﻫﺎ ﺍﺯ ﺍﻳﻦﺟﻬﺖ ﻣﻤﻜﻦ‬
‫ﺍﺳﺖ ﺷﻤﺎﺭﻩﮔﺬﺍﺭﻱ ﺷﻮﻧﺪ ﺗﺎ ﺣﻤﻠﻪﺍﻱ ﺍﺯ ﻧﻮﻉ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺭﺍ ﻛﺸﻒ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫ﺍﮔﺮ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺘﻘﺎﺑﻞ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺑﺎﺷﺪ‪ ،‬ﺳِﺮﻭﺭ ﺑﺎ ﭘﻴﺎﻡ )‪ (۶‬ﭘﺎﺳﺦ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺍﺳﺖ‪.‬‬
‫ﺗﻮﺟﻪ ﻛﻨﻴﺪ ﻛﻪ ﺩﺭ ﻧﺴﺨﺔ ‪ ،۴‬ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﻳﻚ ﻭﺍﺣﺪ ﺍﻓﺰﺍﻳﺶ ﻣﻲﻳﺎﻓﺖ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺩﺭ ﻧﺴﺨﺔ ‪ ۵‬ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻧﺒﻮﺩﻩ ﺯﻳﺮﺍ ﻓﺮﻣﺖ ﭘﻴﺎﻡ‬
‫ﺑﻨﺤﻮﻱ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﻳﻚ ﺩﺷﻤﻦ ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﻧﺨﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ ﭘﻴﺎﻡ )‪ (۶‬ﺭﺍ ﺑﺪﻭﻥ ﺍﻃﻼﻉ ﺍﺯ ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻨﺎﺳﺐ‪ ،‬ﺧﻠﻖ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻣﻴﺪﺍﻥ ﺯﻳﺮﻛﻠﻴﺪ‪ ،‬ﺍﮔﺮ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻣﻴﺪﺍﻥ ﺯﻳﺮﻛﻠﻴﺪ ﺩﺭ ﭘﻴﺎﻡ ‪ ۵‬ﺍﮔﺮ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺭﺍ ﻣﻠﻐﻲ ﻣﻲﺳﺎﺯﺩ‪ .‬ﻣﻴﺪﺍﻥ ﺍﺧﺘﻴﺎﺭﻱ ﺷﻤﺎﺭﻩ‬
‫ﺭﺩﻳﻒ‪ ،‬ﺍﻭﻟﻴﻦ ﺷﻤﺎﺭﻩﺍﻱ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﺩ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﭘﺮﭼﻢﻫﺎﻱ ﺑﻠﻴﺖ )‪(Ticket Flags‬‬

‫ﻣﻴﺪﺍﻥﻫﺎﻱ ﭘﺮﭼﻢ ﻗﺮﺍﺭﺩﺍﺩﻩ ﺷﺪﻩ ﺩﺭ ﻧﺴﺨﺔ ‪ ،۵‬ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﻋﻤﻠﻜﺮﺩ ﺭﺍ ﻧﺴﺒﺖ ﺑﻪ ﺁﻧﭽﻪ ﻛﻪ ﺩﺭ ﻧﺴﺨﺔ ‪ ۴‬ﺍﺳﺖ ﺗﻮﺳﻌﻪ ﺑﺨﺸﻴﺪﻩ‬
‫ﺍﺳﺖ‪ .‬ﺟﺪﻭﻝ ‪ ۴-۴‬ﭘﺮﭼﻢﻫﺎﺋﻲ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﻳﻚ ﺑﻠﻴﺖ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ ﺭﺍ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﭘﺮﭼﻢ ‪ INITIAL‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺍﻳﻦ ﺑﻠﻴﺖ ﺑﺘﻮﺳﻂ ‪ AS‬ﻭ ﻧﻪ ‪ TGS‬ﺻﺎﺩﺭ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﻛﻼﻳﻨﺖ ﺍﺯ ‪TGS‬‬
‫ﺩﺭﺧﻮﺍﺳﺖ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ‪ -‬ﺳﺮﻭﻳﺲ ﻣﻲﻧﻤﺎﻳﺪ‪ ،‬ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺭﺍ ﻛﻪ ﺍﺯ ‪ AS‬ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩﻩ ﺍﺳﺖ ﻋﺮﺿﻪ‬
‫ﻣﻲﺩﺍﺭﺩ‪ .‬ﺩﺭ ﻧﺴﺨﺔ ‪ ،۴‬ﺍﻳﻦ ﺗﻨﻬﺎ ﺭﺍﻩ ﺍﺧﺬ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ‪ -‬ﺳﺮﻭﻳﺲ ﺑﻮﺩ‪ .‬ﻧﺴﺨﺔ ‪ ۵‬ﺍﻳﻦ ﻗﺎﺑﻠﻴﺖ ﺟﺪﻳﺪ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﺩ ﻛﻪ‬
‫ﻛﻼﻳﻨﺖ ﺑﺘﻮﺍﻧﺪ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ‪ -‬ﺳﺮﻭﻳﺲ ﺭﺍ ﻣﺴﺘﻘﻴﻤﺎﹰ ﺍﺯ ‪ AS‬ﺩﺭﻳﺎﻓﺖ ﻧﻤﺎﻳﺪ‪ .‬ﻓﺎﻳﺪﺓ ﺍﻳﻦ ﺍﻣﺮ ﭼﻨﻴﻦ ﺍﺳﺖ‪ :‬ﻳﻚ ﺳِﺮﻭﺭ‪ ،‬ﻣﺜﻞ ﻳﻚ‬
‫ﺳِﺮﻭﺭ ﺗﻌﻮﻳﺾﻛﻨﻨﺪﺓ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﻋﻼﻗﻪﻣﻨﺪ ﺑﺎﺷﺪ ﺗﺎ ﺑﺪﺍﻧﺪ ﻛﻪ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﻼﻳﻨﺖ ﺟﺪﻳﺪﺍﹰ ﺗﺴﺖ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﭘﺮﭼﻢ ‪ ،PRE-AUTHENT‬ﺍﮔﺮ ﺍﻓﺮﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻧﻤﺎﻳﺸﮕﺮ ﺍﻳﻦ ﻣﻄﻠﺐ ﺍﺳﺖ ﻛﻪ ﻭﻗﺘﻲ ‪ AS‬ﺗﻘﺎﺿﺎﻱ ﺍﻭﻟﻴﻪ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩﻩ‬
‫ﺍﺳﺖ )ﭘﻴﺎﻡ )‪ ،((۱‬ﺍﻋﺘﺒﺎﺭ ﻛﻼﻳﻨﺖ ﺭﺍ ﻗﺒﻞ ﺍﺯ ﺻﺪﻭﺭ ﻳﻚ ﺑﻠﻴﺖ ﺳﻨﺠﻴﺪﻩ ﺍﺳﺖ‪ .‬ﺷﻜﻞ ﺩﻗﻴﻖ ﺍﻳﻦ ﭘﻴﺶﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﺗﻌﻴﻴﻦﻧﺸﺪﻩ ﺑﺎﻗﻲ‬
‫ﻣﺎﻧﺪﻩ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ‪ ،‬ﺩﺭ ﻧﺴﺨﺔ ‪ ۵‬ﺳﺎﺧﺖ ‪ ،MIT‬ﭘﻴﺶﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﺮﺩﻩ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺣﺎﻟﺖ‬
‫ﭘﻴﺶﻓﺮﺽ ﻓﻌﺎﻝ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﻭﻗﺘﻲ ﻛﺎﺭﺑﺮﻱ ﻣﻲﺧﻮﺍﻫﺪ ﺗﺎ ﻳﻚ ﺑﻠﻴﺖ ﺩﺭﻳﺎﻓﺖ ﻧﻤﺎﻳﺪ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ‪ AS‬ﻳـﻚ ﺑﻠﻮﻙ ﭘﻴﺶ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٣٠‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﭘﺮﭼﻢﻫﺎﻱ ‪Kerberos Version 5‬‬ ‫ﺟﺪﻭﻝ ‪۴-۴‬‬
‫ﺍﻳﻦ ﺑﻠﻴﺖ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﭘﺮﻭﺗﻜﻞ ‪ AS‬ﺻﺎﺩﺭ ﺷﺪﻩ ﺍﺳﺖ ﻭ ﺑﺮ ﺍﺳﺎﺱ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺻﺎﺩﺭ ﻧﺸﺪﻩ ﺍﺳﺖ‪.‬‬ ‫‪INITIAL‬‬
‫ﺩﺭ ﻫﻨﮕﺎﻡ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﻭﻟﻴﻪ‪ ،‬ﻛﻼﻳﻨﺖ ﻗﺒﻞ ﺍﺯ ﺻﺪﻭﺭ ﺑﻠﻴﺖ ﺑﺘﻮﺳﻂ ‪ KDC‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬ ‫‪PRE-AUTHENT‬‬
‫ﭘﺮﻭﺗﻜﻠﻲ ﻛﻪ ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﻭﻟﻴﻪ ﺑﻜﺎﺭﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ ﻧﻴﺎﺯ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺳﺨﺖﺍﻓﺰﺍﺭﻱ ﺩﺍﺷﺘﻪ ﺍﺳﺖ ﻛﻪ ﺍﻧﺘﻈﺎﺭ‬ ‫‪HW-AUTHENT‬‬
‫ﻣﻲﺭﻭﺩ ﻣﻨﺤﺼﺮﺍﹰ ﺩﺭ ﻣﺎﻟﻜﻴﺖ ﻛﻼﻳﻨﺖ ﻧﺎﻡ ﺑﺮﺩﻩ ﺷﺪﻩ‪ ،‬ﺑﻮﺩﻩ ﺑﺎﺷﺪ‪.‬‬
‫ﺑﻪ ‪ TGS‬ﻣﻲﮔﻮﻳﺪ ﻛﻪ ﺍﻳﻦ ﺑﻠﻴﺖ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﻛﺴﺐ ﻳﻚ ﺑﻠﻴﺖ ﺟﺎﻳﮕﺰﻳﻦ ﻛﻪ ﺩﺭ ﺗﺎﺭﻳﺦ ﺩﻳﺮﺗﺮﻱ ﻣﻨﻘﻀﻲ ﻣﻲﮔﺮﺩﺩ ﺑﻜﺎﺭ‬ ‫‪RENEWABLE‬‬
‫ﺭﻭﺩ‪.‬‬
‫ﺑﻪ ‪ TGS‬ﻣﻲﮔﻮﻳﺪ ﻛﻪ ﻳﻚ ﺑﻠﻴﺖ ﺁﺗﻲ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮ ﺍﺳﺎﺱ ﺍﻳﻦ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺻﺎﺩﺭ ﺷﻮﺩ‪.‬‬ ‫‪MAY-POSTDATE‬‬
‫ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺍﻳﻦ ﺑﻠﻴﺖ ﺗﻤﺪﻳﺪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺳِﺮﻭﺭ ﺍﻧﺘﻬﺎﺋﻲ ﻣﻲﺗﻮﺍﻧﺪ ﻣﻴﺪﺍﻥ ﺯﻣﺎﻥ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﻛﻨﺘﺮﻝ ﻛﺮﺩﻩ ﺗﺎ ﺍﺯ‬ ‫‪POSTDATED‬‬
‫ﺯﻣﺎﻥ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﻭﻟﻴﻪ ﺧﺒﺮﺩﺍﺭ ﮔﺮﺩﺩ‪.‬‬
‫ﺍﻳﻦ ﻛﻠﻴﺪ ﺩﺍﺭﺍﻱ ﺍﻋﺘﺒﺎﺭ ﻧﺒﻮﺩﻩ ﻭ ﺑﺎﻳﺴﺘﻲ ﻗﺒﻞ ﺍﺯ ﺍﺳﺘﻔﺎﺩﻩ ﺑﺘﻮﺳﻂ ‪ KDC‬ﺍﻋﺘﺒﺎﺭ ﺁﻥ ﺗﺄﺋﻴﺪ ﺷﻮﺩ‪.‬‬ ‫‪INVALID‬‬
‫ﺑﻪ ‪ TGS‬ﻣﻲﮔﻮﻳﺪ ﻛﻪ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ ﺟﺪﻳﺪ ﺑﺎ ﻳﻚ ﺁﺩﺭﺱ ﺷﺒﻜﺔ ﻣﺘﻔﺎﻭﺕ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮ ﺍﺳﺎﺱ ﺑﻠﻴﺖ‬ ‫‪PROXIABLE‬‬
‫ﻋﺮﺿﻪﺷﺪﻩ ﺻﺎﺩﺭ ﺷﻮﺩ‪.‬‬
‫ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺍﻳﻦ ﺑﻠﻴﺖ ﻳﻚ ﭘﺮﻭﻛﺴﻲ ﺍﺳﺖ‪.‬‬ ‫‪PROXY‬‬
‫ﺑﻪ ‪ TGS‬ﻣﻲﮔﻮﻳﺪ ﻛﻪ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺟﺪﻳﺪ ﺑﺎ ﻳﻚ ﺁﺩﺭﺱ ﺷﺒﻜﺔ ﻣﺘﻔﺎﻭﺕ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮ ﺍﺳﺎﺱ ﺍﻳﻦ ﺑﻠﻴﺖ‬ ‫‪FORWARDABLE‬‬
‫ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺻﺎﺩﺭ ﺷﻮﺩ‪.‬‬
‫ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺍﻳﻦ ﺑﻠﻴﺖ ﻳﺎ ﺑﻪ ﺟﻠﻮﺭﺍﻧﺪﻩ ﺷﺪﻩ ﺍﺳﺖ ﻭ ﻳﺎ ﺑﺮ ﺍﺳﺎﺱ ﻳﻚ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ﺑﻠﻴﺖ‬ ‫‪FORWARDED‬‬
‫ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺑﻪ ﺟﻠﻮﺭﺍﻧﺪﻩ ﺑﻮﺩﻩ ﺍﺳﺖ ﺻﺎﺩﺭ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺍﺭﺳﺎﻝ ﻛﻨﺪ ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ﻣﻐﺸﻮﺵﻛﻨﻨﺪﺓ ﺗﺼﺎﺩﻓﻲ‪ ،‬ﺷﻤﺎﺭﺓ ﻧﺴﺨﻪ ﻭ ﻳﻚ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﺑﻮﺩﻩ ﻛﻪ ﺑﺎ ﻛﻠﻴﺪ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺑﺎﺷﺪ‪ AS .‬ﺑﻠﻮﻙ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﻭ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺭﺍ ﭘﺲ ﻧﻤﻲﻓﺮﺳﺘﺪ ﻣﮕﺮ ﺍﻳﻨﻜﻪ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ‬
‫ﻣﻮﺟﻮﺩ ﺩﺭ ﺑﻠﻮﻙ ﭘﻴﺶﺍﻋﺘﺒﺎﺭﺳﻨﺞ‪ ،‬ﺩﺭ ﻣﺤﺪﻭﺩﺓ ﻣﺠﺎﺯ ﺯﻣﺎﻧﻲ ﺑﺎﺷﺪ )ﻣﺤﺪﻭﺩﻩﺍﻱ ﻛﻪ ﺍﻧﺤﺮﺍﻑ ﭘﺎﻟﺲ ﺳﺎﻋﺖ ﻭ ﺗﺄﺧﻴﺮﻫﺎﻱ ﺷﺒﻜﻪ ﺭﺍ‬
‫ﭘﻴﺶ‪-‬‬ ‫ﻣﻨﻈﻮﺭﻛﺮﺩﻩ ﺑﺎﺷﺪ(‪ .‬ﺍﻣﻜﺎﻥ ﺩﻳﮕﺮ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﺎﺭﺕ ﻫﻮﺷﻤﻨﺪﻱ ﺍﺳﺖ ﻛﻪ ﻣﺮﺗﺒﺎﹰ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﺘﻐﻴﺮﻱ ﺭﺍ ﻛﻪ ﺩﺭ ﭘﻴﺎﻡﻫﺎﻱ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺪﻩ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺗﻮﻟﻴﺪﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺕ ﻣﻲﺗﻮﺍﻧﻨﺪ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ ﺑﺎﺷﻨﺪ ﻭﻟﻲ‬
‫ﺑﺘﻮﺳﻂ ﻛﺎﺭﺕ ﻃﻮﺭﻱ ﺗﻐﻴﻴﺮ ﻳﺎﺑﻨﺪ ﻛﻪ ﺩﺭ ﻋﻤﻞ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﺘﻔﺎﻭﺗﻲ ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺍﺯ ﺣﻤﻠﻪﺍﻱ ﻛﻪ ﺑﺨﻮﺍﻫﺪ ﺑﺮ ﺍﺳﺎﺱ ﺣﺪﺱﺯﺩﻥ‬
‫ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺳﺎﺩﻩ ﺻﻮﺭﺕ ﭘﺬﻳﺮﺩ ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺍﮔﺮ ﻳﻚ ﻛﺎﺭﺕ ﻫﻮﺷﻤﻨﺪ ﻭ ﻳﺎ ﺩﺳﺘﮕﺎﻩ ﻣﺸﺎﺑﻬﻲ ﺑﻜﺎﺭﮔﺮﻓﺘﻪ ﺷﻮﺩ‪ ،‬ﺍﻳﻦ ﻣﻮﺿﻮﻉ‬
‫ﺑﺘﻮﺳﻂ ﭘﺮﭼﻢ ‪ PRE-AUTHENT‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﻭﻗﺘﻲ ﻳﻚ ﺑﻠﻴﺖ ﺩﺍﺭﺍﻱ ﻃﻮﻝ ﻋﻤﺮﺯﻳﺎﺩﻱ ﺍﺳﺖ‪ ،‬ﺧﻄﺮ ﺳﺮﻗﺖ ﻭ ﺍﺳﺘﻔﺎﺩﺓ ﻏﻴﺮﻣﺠﺎﺯ ﻭ ﻃﻮﻻﻧﻲ ﺍﺯ ﺁﻥ ﺑﺘﻮﺳﻂ ﺩﺷﻤﻦ ﺯﻳﺎﺩ ﺍﺳﺖ‪.‬‬
‫ﺍﮔﺮ ﺍﺯ ﻃﻮﻝ ﻋﻤﺮ ﻛﻤﺘﺮﻱ ﺑﺮﺍﻱ ﻛﺎﻫﺶ ﺍﻳﻦ ﺗﻬﺪﻳﺪ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﺍﻓﺰﺍﻳﺶ ﺳﺮﺑﺎﺭﻩ ﺑﺪﻟﻴﻞ ﺩﺭﺧﻮﺍﺳﺖ ﻣﻜﺮﺭ ﺑﻠﻴﺖﻫﺎﻱ ﺟﺪﻳﺪ‬
‫ﺍﺟﺘﻨﺎﺏﻧﺎﭘﺬﻳﺮ ﺍﺳﺖ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ‪ ،‬ﻛﻼﻳﻨﺖ ﻳﺎ ﺑﺎﻳﺴﺘﻲ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻛﺎﺭﺑﺮ ﺭﺍ ﺫﺧﻴﺮﻩ ﻧﻤﻮﺩﻩ‪ ،‬ﻛﻪ ﺍﻳﻦ ﻛﺎﺭ ﺩﺍﺭﺍﻱ‬
‫ﺭﻳﺴﻚ ﺑﺎﻻﻳﻲ ﺍﺳﺖ‪ ،‬ﻭ ﻳﺎ ﺑﺎﻳﺴﺘﻲ ﻣﻜﺮﺭﺍﹰ ﺍﺯ ﻛﺎﺭﺑﺮ ﺩﺭﺧﻮﺍﺳﺖ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻧﻤﺎﻳﺪ‪ .‬ﻳﻚ ﺭﻭﺵ ﺑﻴﻨﺎﺑﻴﻨﻲ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﺑﻠﻴﺖﻫﺎﻱ ﻗﺎﺑﻞ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﺍﺳﺖ‪ .‬ﻳﻚ ﺑﻠﻴﺖ ﺩﺍﺭﺍﻱ ﻳﻚ ﭘﺮﭼﻢ ﺍﻓﺮﺍﺷﺘﺔ ‪ RENEWABLE‬ﺷﺎﻣﻞ ﺩﻭ ﺯﻣﺎﻥ ﺍﻧﻘﻀﺎﺀ ﺍﺳﺖ‪ :‬ﻳﻜﻲ‬
‫ﺑﺮﺍﻱ ﺍﻳﻦ ﺑﻠﻴﺖ ﺧﺎﺹ ﻭ ﺩﻳﮕﺮﻱ ﻛﻪ ﺁﺧﺮﻳﻦ ﺯﻣﺎﻥ ﻣﺠﺎﺯ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻧﻘﻀﺎﺀ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻳﻚ ﻛﻼﻳﻨﺖ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻠﻴﺖ ﺭﺍ ﺑﻪ ‪TGS‬‬
‫‪١٣١‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻋﺮﺿﻪ ﻛﺮﺩﻩ ﻭ ﻳﻚ ﺯﻣﺎﻥ ﺍﻧﻘﻀﺎﻱ ﺟﺪﻳﺪ ﺩﺭﺧﻮﺍﺳﺖ ﻛﻨﺪ‪ .‬ﺍﮔﺮ ﺯﻣﺎﻥ ﺟﺪﻳﺪ ﺩﺭ ﻣﺤﺪﻭﺩﺓ ﺁﺧﺮﻳﻦ ﺍﻧﺪﺍﺯﺓ ﻣﺠﺎﺯ ﻗﺮﺍﺭ ﺩﺍﺷﺘﻪ‬
‫ﺑﺎﺷﺪ‪ TGS ،‬ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﺑﻠﻴﺖ ﺟﺪﻳﺪ ﺑﺎ ﻳﻚ ﺯﻣﺎﻥ ﺍﺟﻼﺱ ﺟﺪﻳﺪ ﻭ ﻳﻚ ﺯﻣﺎﻥ ﺍﻧﻘﻀﺎﻱ ﻣﺸﺨﺺ ﺻﺎﺩﺭ ﻧﻤﺎﻳﺪ‪ .‬ﻣﺰﻳﺖ ﺍﻳﻦ ﻣﻜﺎﻧﻴﺴﻢ‬
‫ﺍﻳﻦﺍﺳﺖ ﻛﻪ ‪ TGS‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻪ ﮔﺰﺍﺭﺷﻲ ﺍﺯ ﺳﺮﻗﺖ ﺑﻠﻴﺖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺍﺯ ﺻﺪﻭﺭ ﺑﻠﻴﺖ ﺟﺪﻳﺪ ﺍﻣﺘﻨﺎﻉ ﻭﺭﺯﺩ‪.‬‬
‫ﻳﻚ ﻛﻼﻳﻨﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﻘﺎﺿﺎ ﻛﻨﺪ ﻛﻪ ‪ AS‬ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺑﺎ ﭘﺮﭼﻢ ﺍﻓﺮﺍﺷﺘﺔ ‪ MAY-POSTDATE‬ﺑﺮﺍﻱ‬
‫ﺍﻭ ﺻﺎﺩﺭ ﻧﻤﺎﻳﺪ‪ .‬ﻛﻼﻳﻨﺖ ﺁﻧﮕﺎﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺍﻳﻦ ﺑﻠﻴﺖ ﺭﺍ ﺑﺮﺍﻱ ﺩﺭﺧﻮﺍﺳﺖ ﻳﻚ ﺑﻠﻴﺖ ﻛﻪ ﺩﺍﺭﺍﻱ ﭘﺮﭼﻢﻫﺎﻱ ﺍﻓﺮﺍﺷﺘﺔ ‪ POSTDATED‬ﻭ‬
‫‪ INVALID‬ﻫﺴﺘﻨﺪ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﺩﻫﺪ‪ .‬ﻣﺘﻌﺎﻗﺐ ﺁﻥ‪ ،‬ﻛﻼﻳﻨﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻠﻴﺖ ﻣﻨﻘﻀﻲﺷﺪﻩ ﺭﺍ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﺍﺭﺍﺋﻪ ﻛﻨﺪ‪ .‬ﺍﻳﻦ‬
‫ﺭﻭﺵ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﺍﺟﺮﺍﻱ ﻋﻤﻠﻴﺎﺕ ﮔﺮﻭﻫﻲ‪ ،‬ﺭﻭﻱ ﻳﻚ ﺳِﺮﻭﺭ ﻛﻪ ﻣﺘﻨﺎﻭﺑﺎﹰ ﻧﻴﺎﺯ ﺑﻪ ﺑﻠﻴﺖ ﺩﺍﺭﺩ ﻣﻔﻴﺪ ﺑﺎﺷﺪ‪ .‬ﻛﻼﻳﻨﺖ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ‬
‫ﺍﻳﻦ ﺍﺟﻼﺱ ﺗﻌﺪﺍﺩﻱ ﺑﻠﻴﺖ ﺑﺎ ﺯﻣﺎﻥﻫﺎﻱ ﻣﺘﻨﻮﻉ ﺭﺍ ﻳﻜﺒﺎﺭﻩ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪ .‬ﺗﻤﺎﻡ ﺍﻳﻦ ﺑﻠﻴﺖﻫﺎ ﺑﺠﺰ ﺍﻭﻟﻲ ﺩﺭ ﺍﺑﺘﺪﺍ ﻓﺎﻗﺪ ﺍﻋﺘﺒﺎﺭﻧﺪ‪ .‬ﻭﻗﺘﻲ‬
‫ﻋﻤﻠﻴﺎﺕ ﺩﺭ ﺯﻣﺎﻥ ﺑﺠﺎﺋﻲ ﻣﻲﺭﺳﺪ ﻛﻪ ﺑﻪ ﺑﻠﻴﺖ ﺟﺪﻳﺪﻱ ﻧﻴﺎﺯ ﺍﺳﺖ‪ ،‬ﻛﻼﻳﻨﺖ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻠﻴﺖ ﻣﻨﺎﺳﺐ ﺍﻣﺮ ﺭﺍ ﺩﺍﺭﺍﻱ ﺍﻋﺘﺒﺎﺭ ﻧﻤﺎﻳﺪ‪ .‬ﺑﺎ‬
‫ﺑﻜﺎﺭﮔﺮﻓﺘﻦ ﺍﻳﻦ ﺭﻭﺵ‪ ،‬ﻛﻼﻳﻨﺖ ﻣﺠﺒﻮﺭ ﻧﻴﺴﺖ ﺗﺎ ﻣﻜﺮﺭﺍﹰ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺧﻮﺩ ﺭﺍ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺗﺎ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺳﺮﻭﻳﺲ‬
‫ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪.‬‬
‫ﺩﺭ ﻧﺴﺨﺔ ‪ ،۵‬ﺍﻳﻦ ﺍﻣﻜﺎﻥ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﻳﻚ ﺳِﺮﻭﺭ ﺍﺯ ﺟﺎﻧﺐ ﻛﻼﻳﻨﺖ ﺑﺼﻮﺭﺕ ﻳﻚ ﭘﺮﻭﻛﺴﻲ ﻋﻤﻞ ﻧﻤﺎﻳﺪ ﻛﻪ ﺍﺛﺮ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﺍﺯ ﺍﻋﺘﺒﺎﺭ ﻭ ﺍﻣﺘﻴﺎﺯﺍﺕ ﻛﻼﻳﻨﺖ ﺑﺮﺍﻱ ﺩﺭﺧﻮﺍﺳﺖ ﺳﺮﻭﻳﺲ ﺍﺯ ﺳِﺮﻭﺭ ﺩﻳﮕﺮ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﻳﻚ ﻛﻼﻳﻨﺖ ﺑﺨﻮﺍﻫﺪ ﺍﺯ ﺍﻳﻦ ﻣﻜﺎﻧﻴﺴﻢ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻧﻤﺎﻳﺪ‪ ،‬ﺩﺭﺧﻮﺍﺳﺖ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺑﺎ ﭘﺮﭼﻢ ﺍﻓﺮﺍﺷﺘﺔ ‪ PROXIABLE‬ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﻭﻗﺘﻲ ﺍﻳﻦ ﺑﻠﻴﺖ ﺑﻪ ‪ TGS‬ﻋﺮﺿﻪ‬
‫ﻣﻲﺷﻮﺩ‪ TGS ،‬ﻣﺠﺎﺯ ﺑﻪ ﺻﺪﻭﺭ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺑﺎ ﺁﺩﺭﺱ ﺷﺒﻜﺔ ﺩﻳﮕﺮﻱ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺍﻳﻦ ﺑﻠﻴﺖ ﺁﺧﺮ‪ ،‬ﺩﺍﺭﺍﻱ ﭘﺮﭼﻢ‬
‫‪ PROXY‬ﺍﻓﺮﺍﺷﺘﻪ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﻛﺎﺭﺑﺮﻱ ﻛﻪ ﭼﻨﻴﻦ ﺑﻠﻴﺘﻲ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻣﻴﻜﻨﺪ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺁﻥ ﺭﺍ ﭘﺬﻳﺮﻓﺘﻪ ﻭ ﻳﺎ ﻧﻴﺎﺯ ﺑﻪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﺍﺿﺎﻓﻲ ﺑﺮﺍﻱ ﻓﺮﺍﻫﻢﺁﻭﺭﺩﻥ ﻳﻚ ﺭﺩّﭘﺎﻱ ﻣﻤﻴﺰﻱ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﻣﻘﻮﻟﺔ ﭘﺮﻭﻛﺴﻲ ﻳﻚ ﻣﻮﺭﺩ ﻣﺤﺪﻭﺩ ﺍﺯ ﺭﻭﺵ ﻋﺎﻡﺗﺮ ﻭ ﻗﻮﻱﺗﺮ ﺑﻪﺟﻠﻮﺭﺍﻧﺪﻥ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﭘﺮﭼﻢ ‪ FORWARDABLE‬ﺩﺭ ﻳﻚ‬
‫ﺑﻠﻴﺖ ﺍﻓﺮﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﻳﻚ ‪ TGS‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﻣﺘﻘﺎﺿﻲ‪ ،‬ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺑﺎ ﻳﻚ ﺁﺩﺭﺱ ﺷﺒﻜﺔ ﻣﺘﻔﺎﻭﺕ ﺻﺎﺩﺭ ﻛﻨﺪ‬
‫ﻛﻪ ﭘﺮﭼﻢ ‪ FORWARDED‬ﺁﻥ ﺍﻓﺮﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺍﻳﻦ ﺑﻠﻴﺖ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﻳﻚ ‪ TGS‬ﺩﻭﺭ ﻋﺮﺿﻪ ﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺗﻮﺍﻧﺎﺋﻲ ﺑﻪ ﻛﻼﻳﻨﺖ ﺍﺟﺎﺯﻩ‬
‫ﻣﻲﺩﻫﺪ ﺗﺎ ﺑﻪ ﻳﻚ ﺳِﺮﻭﺭ ﺩﺭ ﻗﻠﻤﺮﻭ ﺩﻳﮕﺮ ﺩﺳﺖ ﻳﺎﺑﺪ‪ ،‬ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ ﻧﻴﺎﺯ ﺑﺎﺷﺪ ﻛﻪ ﻫﺮ ‪ Kerberos‬ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺑﺎ ﻫﺮ ‪Kerberos‬‬
‫ﺩﻳﮕﺮ ﺩﺭ ﺳﺎﻳﺮ ﻗﻠﻤﺮﻭﻫﺎ ﺭﺍ ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﺑﮕﺬﺍﺭﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﻗﻠﻤﺮﻭﻫﺎ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺩﺍﺭﺍﻱ ﺳﺎﺧﺘﺎﺭ ﺩﺭﺧﺘﻲ ﺑﺎﺷﻨﺪ‪ .‬ﺩﺭ ﺍﻳﻨﺼﻮﺭﺕ ﻳﻚ‬
‫ﻛﻼﻳﻨﺖ ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﺷﺎﺧﻪ ﺩﺭﺧﺖ ﺭﺍ ﺗﺎ ﻳﻚ ﮔﺮﺓ ﻣﺸﺘﺮﻙ ﺑﺎﻻ ﺭﻓﺘﻪ ﻭ ﺳﭙﺲ ﺑﺮﺍﻱ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻗﻠﻤﺮﻭ ﻫﺪﻑ ﺍﺯ ﺷﺎﺧﺔ ﺩﻳﮕﺮ ﭘﺎﺋﻴﻦ‬
‫ﺁﻳﺪ‪ .‬ﻫﺮﻗﺪﻡ ﺍﻳﻦ ﺭﺍﻩﭘﻴﻤﺎﺋﻲ ﺷﺎﻣﻞ ﺑﻪﺟﻠﻮﺭﺍﻧﺪﻥ ﻳﻚ ﺑﻠﻴﺖ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ ﺑﻪ ‪ TGS‬ﺑﻌﺪﻱ ﻣﺴﻴﺮ ﺍﺳﺖ‪.‬‬
‫ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪X.509‬‬ ‫‪۴-۲‬‬
‫ﺗﻮﺻﻴﻪﻧﺎﻣﺔ ‪ X.509‬ﻛﻪ ﻣﺮﺑﻮﻁ ﺑﻪ ‪ ITU-T‬ﺍﺳﺖ‪ ،‬ﺑﺨﺸﻲ ﺍﺯ ﺳﺮﻱ ﺗﻮﺻﻴﻪﻧﺎﻣﻪﻫﺎﻱ ‪ X.500‬ﺍﺳﺖ ﻛﻪ ﻳﻚ ﺳﺮﻭﻳﺲ ﻓﻬﺮﺳﺖ‬
‫ﺭﺍﻫﻨﻤﺎ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ ﺩﺭ ﻭﺍﻗﻊ ﻳﻚ ﺳِﺮﻭﺭ ﻭ ﻳﺎ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺗﻮﺯﻳﻊﺷﺪﻩ ﺍﺯ ﺳِﺮﻭﺭﻫﺎﺳﺖ ﻛﻪ ﻳﻚ ﭘﺎﻳﮕﺎﻩ ﺍﻃﻼﻋﺎﺗﻲ‬
‫ﺩﺍﺩﻩ ﺩﺭ ﻣﻮﺭﺩﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ ﻧﮕﻬﺪﺍﺭﻱ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻃﻼﻋﺎﺕ ﺷﺎﻣﻞ ﻳﻚ ﻧﮕﺎﺷﺖ ﺍﺯ ﻧﺎﻡ ﻛﺎﺭﺑﺮ ﺑﻪ ﺁﺩﺭﺱ ﺷﺒﻜﻪ ﻭ ﻫﻤﭽﻨﻴﻦ ﺳﺎﻳﺮ ﺻﻔﺎﺕ ﻭ‬
‫ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﺎﺭﺑﺮ ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٣٢‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ X.509‬ﻳﻚ ﻣﺤﺪﻭﺩﺓ ﻛﺎﺭﻱ ﺑﺮﺍﻱ ﻓﺮﺍﻫﻢﺁﻭﺭﺩﻥ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺘﻮﺳﻂ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎﻱ ‪ X.500‬ﺑﺮﺍﻱ‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﺧﻮﺩ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﺩ‪ .‬ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﻫﻤﺎﻧﻨﺪ ﻳﻚ ﺻﻨﺪﻭﻗﭽﻪ ﻧﮕﻬﺪﺍﺭﻱ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻋﻤﻞ‬
‫ﻧﻤﺎﻳﺪ‪ .‬ﻫﺮ ﮔﻮﺍﻫﻲ ﺷﺎﻣﻞ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻳﻚ ﻛﺎﺭﺑﺮ ﺑﻮﺩﻩ ﻭ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻳﻚ ﻣﺴﺌﻮﻝ ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺍﻣﻀﺎﺀ‬
‫ﻣﻲﮔﺮﺩﺩ‪ .‬ﻋﻼﻭﻩﺑﺮﺍﻳﻦ‪ X.509 ،‬ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﻳﮕﺮﻱ ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻫﺴﺘﻨﺪ ﺭﺍ‬
‫ﺗﻌﺮﻳﻒ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫‪ X.509‬ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻣﻬﻢ ﺍﺳﺖ ﺯﻳﺮﺍ ﺳﺎﺧﺘﺎﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺗﻌﺮﻳﻒﺷﺪﻩ ﺩﺭ ‪ X.509‬ﺩﺭ‬
‫ﻣﻘﻮﻟﻪﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﻣﺜﻼﹰ ﻓﺮﻣﺖ ﮔﻮﺍﻫﻲ ‪ X.509‬ﺩﺭ ‪) S/MIME‬ﻓﺼﻞ ﭘﻨﺠﻢ(‪ ،‬ﺍﻣﻨﻴﺖ‪) IP‬ﻓﺼﻞ‬
‫ﺷﺸﻢ(‪ ،‬ﻭ ‪ SSL/TLS‬ﻭ ‪) SET‬ﻓﺼﻞ ﻫﻔﺘﻢ( ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪.‬‬
‫‪ X.509‬ﺑﺪﻭﺍﹰ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۸۸‬ﻣﻨﺘﺸﺮ ﮔﺮﺩﻳﺪ‪ .‬ﻣﺘﻌﺎﻗﺒﺎﹰ ﺗﻐﻴﻴﺮﺍﺗﻲ ﺩﺭ ﺍﻳﻦ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺩﺍﺩﻩ ﺷﺪ ﺗﺎ ﺑﺮﺧﻲ ﻧﮕﺮﺍﻧﻲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬
‫ﺫﻛﺮﺷﺪﻩ ﺩﺭ ]‪ [IANS90‬ﻭ ]‪ [MITC90‬ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ‪ .‬ﺗﻮﺻﻴﻪﻧﺎﻣﺔ ﺍﺻﻼﺡﺷﺪﻩ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۳‬ﻣﺴﺘﻨﺪ ﮔﺮﺩﻳﺪ‪ .‬ﻧﺴﺨﺔ‬
‫ﺳﻮﻡ ﺁﻥ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۵‬ﺍﻧﺘﺸﺎﺭ ﻳﺎﻓﺖ ﻭ ﺩﺭ ﺳﺎﻝ ‪ ۲۰۰۰‬ﻣﻮﺭﺩ ﺑﺎﺯﻧﮕﺮﻱ ﻗﺮﺍﺭ ﮔﺮﻓﺖ‪.‬‬
‫‪ X.509‬ﺑﺮ ﻣﺒﻨﺎﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺍﻣﻀﺎﺀﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺍﺳﺖ‪ .‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺧﺎﺹ ﺭﺍ ﺍﺟﺒﺎﺭﻱ ﻧﻤﻲﺳﺎﺯﺩ ﻭﻟﻲ ‪ RSA‬ﺭﺍ ﺗﻮﺻﻴﻪ ﻣﻲﻛﻨﺪ‪ .‬ﻓﺮﺽ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺗﻜﻨﻴﻚ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﻧﻴﺎﺯ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺩﺍﺭﺩ‪ .‬ﺑﺎﺯﻫﻢ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺭﻫﻢﺳﺎﺯﻱ ﺧﺎﺻﻲ ﺭﺍ ﭘﻴﺸﻨﻬﺎﺩ ﻧﻤﻲﻛﻨﺪ‪ .‬ﺗﻮﺻﻴﻪﻧﺎﻣﺔ ‪ ۱۹۸۸‬ﺷﺎﻣﻞ ﺗﻮﺻﻴﻒ ﻳﻚ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺭﻫﻢﺳﺎﺯﻱ ﺗﻮﺻﻴﻪﺷﺪﻩ ﺑﻮﺩ ﻛﻪ ﺑﻌﺪﺍﹰ ﻣﺸﺨﺺ ﮔﺮﺩﻳﺪ ﻛﻪ ﻧﺎﺍﻣﻦ ﺑﻮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﺯ ﺗﻮﺻﻴﻪﻧﺎﻣﺔ ﺳﺎﻝ ‪ ۱۹۹۳‬ﺣﺬﻑ ﮔﺮﺩﻳﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۴-۳‬ﻧﺤﻮﺓ ﺗﻮﻟﻴﺪ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻛﹸﺪ ‪ hash‬ﮔﻮﺍﻫﻲ ﺍﻣﻀﺎﺀ ﻧﺸﺪﻩ‬

‫ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺍﻣﻀﺎﺀﻧﺸﺪﻩ‪:‬‬
‫ﺷﺎﻣﻞ ‪ ID‬ﻛﺎﺭﺑﺮ ﻭ‬
‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻛﺎﺭﺑﺮ‬ ‫‪H‬‬
‫ﻛﹸﺪ ‪ hash‬ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫‪E‬‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺍﻣﻀﺎﺀ ﺷﺪﻩ‪:‬‬
‫ﮔﻴﺮﻧﺪﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺍﻣﻀﺎﺀ‬
‫ﺭﺍﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ‬
‫ﻋﻤﻮﻣﻲ‪ CA‬ﺗﺄﺋﻴﺪ ﻛﻨﺪ‪.‬‬
‫=‬ ‫ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ CA‬ﺭﻣﺰﻛﺮﺩﻩ‬
‫ﺗﺎ ﺍﻣﻀﺎﺀ ﺗﻮﻟﻴﺪ ﺷﻮﺩ‬
‫ﺷﻜﻞ ‪ ۴-۳‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬

‫‪١٣٣‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ )‪(Certificates‬‬
‫ﻗﻠﺐ ﺭﻭﺵ ‪ ،X.509‬ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻣﺮﺗﺒﻂ ﺑﺎ ﻫﺮ ﻛﺎﺭﺑﺮ ﺍﺳﺖ‪ .‬ﻓﺮﺽ ﺑﺮﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺍﻥ ﺑﺘﻮﺳﻂ‬
‫ﻳﻚ ﻣﺴﺌﻮﻝ ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ )‪ Certification Authority (CA‬ﺻﺎﺩﺭ ﺷﺪﻩ ﻭ ﺑﺘﻮﺳﻂ ‪ CA‬ﻳﺎ ﻛﺎﺭﺑﺮ ﺩﺭ ﻓﻬﺮﺳﺖ‬
‫ﺭﺍﻫﻨﻤﺎ ﺩﺭﺝ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺳِﺮﻭﺭ ﻣﺨﺼﻮﺹ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ‪ ،‬ﺧﻮﺩ ﻣﺴﺌﻮﻝ ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﻭ ﻳﺎ ﻋﻤﻠﻴﺎﺕ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲ ﻧﺒﻮﺩﻩ ﻭ‬
‫ﺻﺮﻓﺎﹰ ﻣﺤﻞ ﻗﺎﺑﻞ ﺩﺳﺘﺮﺳﻲ ﺳﺎﺩﻩﺍﻱ ﺍﺳﺖ ﻛﻪ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﺩﺭﺧﻮﺍﺳﺘﻲ ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺁﻧﻬﺎ ﻣﻲﮔﺬﺍﺭﺩ‪.‬‬
‫ﺷﻜﻞ ‪۴-۴‬ﺍﻟﻒ ﻓﺮﻣﺖ ﻋﻤﻮﻣﻲ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺭﺍ ﻧﺸﺎﻥ ﻣﻴﺪﻫﺪ ﻛﻪ ﺷﺎﻣﻞ ﻋﻨﺎﺻﺮ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﺷﻤﺎﺭﺓ ﻧﺴﺨﻪ‪ :‬ﺑﻴﻦ ﻧﺴﺨﻪﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺍﻧﺘﺸﺎﺭﻳﺎﻓﺘﺔ ﻓﺮﻣﺖ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻓﺮﻕ ﻣﻲﮔﺬﺍﺭﺩ‪ .‬ﭘﻴﺶﻓﺮﺽ ﺁﻥ ‪ Version 1‬ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺍﮔﺮ ﺷﻨﺎﺳﺔ ﻳﻜﺘﺎﻱ ﺻﺎﺩﺭﻛﻨﻨﺪﻩ ﻭ ﻳﺎ ﺷﻨﺎﺳﺔ ﻳﻜﺘﺎﻱ ﺳﻮﮊﻩ ﺩﺭ ﻓﺮﻣﺖ ﺣـﻀﻮﺭ ﺩﺍﺷـﺘﻪ ﺑﺎﺷـﻨﺪ‪ ،‬ﺍﻧـﺪﺍﺯﺓ ﺍﻳـﻦ ﻣﻴـﺪﺍﻥ ﺑﺎﻳـﺴﺘﻲ‬
‫‪ Version 2‬ﺑﺎﺷﺪ‪ .‬ﺍﮔﺮ ﻳﻜﻲ ﻳﺎ ﺑﻴﺸﺘﺮ ﺍﺯ ﺍﻟﺤﺎﻗﻴﻪﻫﺎ ﻣﻮﺟﻮﺩ ﺑﺎﺷﻨﺪ‪ ،‬ﻧﺴﺨﻪ ﺑﺎﻳﺴﺘﻲ ‪ Version 3‬ﺑﺎﺷﺪ‪.‬‬
‫ﺷﻤﺎﺭﺓ ﺳﺮﻳﺎﻝ‪ :‬ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ﻭ ﻳﻜﺘﺎ ﺩﺭ ﻧﺰﺩ ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ‪ CA‬ﺍﺳﺖ ﻛﻪ ﺑﺪﻭﻥ ﻫﻴﭽﮕﻮﻧﻪ ﺍﺑﻬﺎﻣﻲ ﻓﻘﻂ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻳﻦ‬ ‫•‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺍﺳﺖ‪.‬‬
‫• ﺷﻨﺎﺳﺔ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻣﻀﺎﺀ‪ :‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﻭ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻣﺮﺑﻮﻃﻲ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺑﻜﺎﺭﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﭼﻮﻥ ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﺩﺭ ﻣﻴﺪﺍﻥ ﺍﻣﻀﺎﺀ ﻭﺍﻗﻊ ﺩﺭ ﺍﻧﺘﻬﺎﻱ ﺍﻳﻦ ﮔﻮﺍﻫﻲ ﺩﻭﺑﺎﺭﻩ ﺗﻜﺮﺍﺭ ﻣﻲﺷﻮﺩ‪ ،‬ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﺍﺳﺘﻔﺎﺩﺓ ﻛﻤﻲ ﺩﺍﺭﺩ‪.‬‬
‫ﻧﺎﻡ ﺻﺎﺩﺭﻛﻨﻨﺪﻩ‪ :‬ﻧﺎﻡ ‪ CA‬ﺻﺎﺩﺭﻛﻨﻨﺪﻩ ﻭ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﺓ ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺩﺭ ﻓﺮﻣﺖ ‪. X.500‬‬ ‫•‬
‫ﺩﻭﺭﺓ ﺍﻋﺘﺒﺎﺭ‪ :‬ﺷﺎﻣﻞ ﺩﻭ ﺗﺎﺭﻳﺦ ﺍﺳﺖ‪ :‬ﺗﺎﺭﻳﺦ ﺍﻭﻝ ﻭ ﺗﺎﺭﻳﺦ ﺁﺧﺮﻱ ﻛﻪ ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺑﻴﻦ ﺍﻳﻦ ﺩﻭ ﺗﺎﺭﻳﺦ ﺍﻋﺘﺒﺎﺭ ﺩﺍﺭﺩ‪.‬‬ ‫•‬
‫ﻧﺎﻡ ﺳﻮﮊﻩ‪ :‬ﻧﺎﻡ ﻛﺎﺭﺑﺮﻱ ﻛﻪ ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻭﺳﺖ‪ .‬ﻳﻌﻨﻲ ﺍﻳﻦ ﮔﻮﺍﻫﻲ‪ ،‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺳﻮﮊﻩﺍﻱ ﺭﺍ ﻛﻪ ﻛﻠﻴﺪ‬ ‫•‬
‫ﺧﺼﻮﺻﻲ ﻣﺮﺗﺒﻂ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺭﺩ ﺗﺄﺋﻴﺪ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﺍﻃﻼﻋﺎﺕ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺳﻮﮊﻩ‪ :‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺳﻮﮊﻩ ﺑﻌﻼﻭﺓ ﻳﻚ ﺷﻨﺎﺳﺔ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻟﮕﻮﺭﻳﺘﻤﻲ ﻛﻪ ﺍﻳﻦ ﻛﻠﻴﺪ ﺑﺮﺍﻱ ﺁﻥ ﺑﻜﺎﺭ‬ ‫•‬
‫ﺧﻮﺍﻫﺪ ﺭﻓﺖ‪ ،‬ﺑﻪ ﻫﻤﺮﺍﻩ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻣﺮﺑﻮﻃﻪ‪.‬‬
‫ﺷﻨﺎﺳﺔ ﻳﻜﺘﺎﻱ ﺻﺎﺩﺭﻛﻨﻨﺪﻩ‪ :‬ﻳﻚ ﻣﻴﺪﺍﻥ ﺍﺯ ﺩﻧﺒﺎﻟﺔ ﺑﻴﺖﻫﺎ ﻛﻪ ﺑﺮﺍﻱ ﺷﻨﺎﺳﺎﺋﻲ ﻳﻜﺘﺎﻱ ‪ CA‬ﺻﺎﺩﺭﻛﻨﻨﺪﻩ ﺑﻜﺎﺭ ﻣﻴﺮﻭﺩ‪ ،‬ﺩﺭ‬ ‫•‬
‫ﺻﻮﺭﺗﻲﻛﻪ ﻧﺎﻡ ‪ X.500‬ﺑﺮﺍﻱ ﻭﺍﺣﺪﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻣﻜﺮﺭﺍﹰ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺑﺎﺷﺪ‪.‬‬
‫ﺷﻨﺎﺳﺔ ﻳﻜﺘﺎﻱ ﺳﻮﮊﻩ‪ :‬ﻳﻚ ﻣﻴﺪﺍﻥ ﺍﺯ ﺩﻧﺒﺎﻟﺔ ﺑﻴﺖﻫﺎ ﻛﻪ ﺑﺮﺍﻱ ﺷﻨﺎﺳﺎﺋﻲ ﻳﻜﺘﺎﻱ ﺳﻮﮊﻩ ﺑﻜﺎﺭ ﻣﻴﺮﻭﺩ‪ ،‬ﺩﺭ ﺻﻮﺭﺗﻲﻛﻪ ﻧﺎﻡ‬ ‫•‬
‫‪ X.500‬ﺑﺮﺍﻱ ﻭﺍﺣﺪﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻣﻜﺮﺭﺍﹰ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺑﺎﺷﺪ‪.‬‬
‫ﺍﻟﺤﺎﻗﻴﻪﻫﺎ‪ :‬ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻣﻴﺪﺍﻥ ﺍﻟﺤﺎﻕ ﺷﺪﻩ‪ .‬ﺍﻟﺤﺎﻗﻴﺔﻫﺎ ﺩﺭ ﻧﺴﺨﺔ ‪ ۳‬ﺑﻪ ﺗﻮﺻﻴﻪﻧﺎﻣﻪ ﺍﺿﺎﻓﻪ ﺷﺪﻩ ﻭ ﺑﻌﺪﺍﹰ ﺩﺭ‬ ‫•‬
‫ﻫﻤﻴﻦ ﺑﺨﺶ ﺗﻮﺻﻴﻒ ﺧﻮﺍﻫﻨﺪ ﺷﺪ‪.‬‬
‫ﺍﻣﻀﺎﺀ‪ :‬ﻫﻤﺔ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺩﻳﮕﺮ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺭﺍ ﭘﻮﺷﺶ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﺷﺎﻣﻞ ﻛﹸﺪ ‪ hash‬ﺳﺎﻳﺮ ﻣﻴﺪﺍﻥﻫﺎ ﺑﻮﺩﻩ ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ‬ ‫•‬
‫ﺧﺼﻮﺻﻲ ‪ CA‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﺷﺎﻣﻞ ﺷﻨﺎﺳﺔ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻣﻀﺎﺀ ﺍﺳﺖ‪.‬‬
‫ﻣﻴﺪﺍﻥﻫﺎﻱ ﻳﻜﺘﺎﻱ ﺷﻨﺎﺳﻪﻫﺎ ﺩﺭ ﻧﺴﺨﺔ ‪ ۲‬ﺍﺿﺎﻓﻪ ﺷﺪ ﺗﺎ ﻣﺸﻜﻼﺕ ﺍﺣﺘﻤﺎﻟﻲ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﺳﺘﻔﺎﺩﺓ ﻣﺠﺪﺩ ﺍﺯ ﺳﻮﮊﻩ ﻭ ﻳﺎ ﻧﺎﻡﻫﺎﻱ‬
‫ﺻﺎﺩﺭﻛﻨﻨﺪﮔﺎﻥ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺩﺭ ﻃﻮﻝ ﺯﻣﺎﻥ ﺭﺍ ﺣﻞ ﻛﻨﺪ‪ .‬ﺍﻳﻦ ﻣﻴﺪﺍﻥﻫﺎ ﺑﻨﺪﺭﺕ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪.‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٣٤‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ‬ ‫ﺷﻨﺎﺳﺔ‬
‫ﺷﻤﺎﺭﺓ ﻧﺴﺨﻪ‬
‫ﭘﺎﺭﺍﻣﺘﺮﻫﺎ‬ ‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻣﻀﺎﺀ‬
‫ﻧﺎﻡ ﺻﺎﺩﺭﻛﻨﻨﺪﻩ‬ ‫ﺷﻤﺎﺭﺓ ﺳﺮﻳﺎﻝ‬
‫ﺗﺎﺭﻳﺦ ﺑﻪ ﺭﻭﺯﺭﺳﺎﻧﻲ ﺟﺎﺭﻱ‬ ‫ﮔﻮﺍﻫﻲﻧﺎﻣﻪ‬

‫ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫ﺷﻨﺎﺳﺔ‬
‫ﭘﺎﺭﺍﻣﺘﺮﻫﺎ‬
‫ﺗﺎﺭﻳﺦ ﺑﻪ ﺭﻭﺯﺭﺳﺎﻧﻲ ﺑﻌﺪﻱ‬ ‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻣﻀﺎﺀ‬
‫ﻧﺎﻡ‬
‫‪Version 1‬‬
‫ﺻﺎﺩﺭﻛﻨﻨﺪﻩ‬
‫ﺷﻤﺎﺭﻩ ﺳﺮﻳﺎﻝ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﺎﺭﺑﺮ‬ ‫ﮔﻮﺍﻫﻲﻧﺎﻣﺔ‬
‫ﻧﻪ ﻗﺒﻞ ﺍﺯ‬
‫ﺗﺎﺭﻳﺦ ﺍﺑﻄﺎﻝ‬ ‫ﺑﺎﻃﻞ ﺷﺪﻩ‬ ‫ﺩﻭﺭﺓ‬
‫ﻧﻪ ﺑﻌﺪ ﺍﺯ‬
‫ﺍﻋﺘﺒﺎﺭ‬
‫‪.‬‬ ‫ﻧﺎﻡ‬
‫ﺳﻮﮊﻩ‬
‫‪.‬‬ ‫ﺍﻃﻼﻋﺎﺕ‬ ‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﻫﺎ‬

‫ﭘﺎﺭﺍﻣﺘﺮﻫﺎ‬
‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‬
‫ﻛﻠﻴﺪ‬
‫ﺳﻮﮊﻩ‬
‫‪.‬‬ ‫ﺷﻨﺎﺳﺔ ﻳﻜﺘﺎﻱ‬
‫ﺻﺎﺩﺭﻛﻨﻨﺪﻩ‬
‫ﺷﻤﺎﺭﻩ ﺳﺮﻳﺎﻝ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﺎﺭﺑﺮ‬ ‫ﮔﻮﺍﻫﻲ_ﻧﺎﻣﺔ‬
‫ﺗﺎﺭﻳﺦ ﺍﺑﻄﺎﻝ‬ ‫ﺷﻨﺎﺳﺔ ﻳﻜﺘﺎﻱ‬
‫ﺑﺎﻃﻞ ﺷﺪﻩ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎ‬ ‫ﺳﻮﮊﻩ‬
‫ﭘﺎﺭﺍﻣﺘﺮﻫﺎ‬ ‫ﺍﻣﻀﺎﺀ‬ ‫ﺍﻟﺤﺎﻗﻴﻪﻫﺎ‬
‫ﻛﹸﺪ ‪ hash‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ‬
‫)ﺏ( ﻟﻴﺴﺖ ﺍﺑﻄﺎﻝ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ‬ ‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎ‬

‫ﺗﻤﺎﻡ‬
‫ﺍﻣﻀﺎﺀ‬ ‫ﭘﺎﺭﺍﻣﺘﺮﻫﺎ‬
‫ﻛﹸﺪ ‪ hash‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ‬ ‫‪Version‬ﻫﺎ‬
‫)ﺍﻟﻒ(ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ‪X.509‬‬
‫ﺷﻜﻞ ‪ ۴-۴‬ﻓﺮﻣﺖﻫﺎﻱ ‪X.509‬‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﺯ ﻓﺮﻡ ﺯﻳﺮ ﺑﺮﺍﻱ ﺗﻌﺮﻳﻒ ﻳﻚ ﮔﻮﺍﻫﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪:‬‬
‫}‪CA<<A>> = CA{V, SN, AI, CA, TA, A, Ap‬‬

‫ﻛﻪ ﺩﺭﺁﻥ‬
‫>>‪ = Y <<X‬ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﺎﺭﺑﺮ‪ X‬ﻛﻪ ﺑﺘﻮﺳﻂ ﻣﺴﺌﻮﻝ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲ‪ Y‬ﺻﺎﺩﺭ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫}‪ = Y{I‬ﺍﻣﻀﺎﺀ ‪ I‬ﺑﺘﻮﺳﻂ ‪ .Y‬ﺍﻳﻦ ﺷﺎﻣﻞ ‪ I‬ﻭ ﻛﹸﺪ ‪ hash‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﺓ ﺁﻥ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﺁﻥ ﻭﺻﻞ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ CA‬ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺧﻮﺩ ﺍﻣﻀﺎﺀ ﻣﻲﻛﻨﺪ‪ .‬ﺍﮔﺮ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﺑﺮﺍﻱ ﻳﻚ ﻛﺎﺭﺑﺮ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ‬
‫ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﻛﺎﺭﺑﺮ ﻣﻴﺘﻮﺍﻧﺪ ﺗﺄﺋﻴﺪ ﻛﻨﺪ ﻛﻪ ﮔﻮﺍﻫﻲ ﺍﻣﻀﺎﺀﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪ CA‬ﻣﻌﺘﺒﺮ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻳﻚ ﺭﻭﺵ ﻣﺮﺳﻮﻡ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ‬
‫ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺷﻜﻞ ‪۳-۲‬ﺏ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪١٣٥‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺍﺧﺬ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻳﻚ ﻛﺎﺭﺑﺮ‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﺋﻴﻜﻪ ﺑﺘﻮﺳﻂ ‪ CA‬ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻥ ﺻﺎﺩﺭ ﻣﻲﺷﻮﺩ‪ ،‬ﺩﺍﺭﺍﻱ ﻣﺸﺨﺼﺎﺕ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﻫﺮﻛﺎﺭﺑﺮﻱ ﻛﻪ ﺑﻪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ CA‬ﺩﺳﺘﺮﺳﻲ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﻣﻲﺗﻮﺍﻧﺪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﮔﻮﺍﻫﻲﺷﺪﺓ ﻛﺎﺭﺑﺮ ﺭﺍ ﺗﺄﺋﻴﺪ ﻧﻤﺎﻳﺪ‪.‬‬ ‫•‬
‫ﻫﻴﭽﻜﺲ ﺑﻐﻴﺮ ﺍﺯ ﻣﺴﺌﻮﻝ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲ ﻧﻤﻲﺗﻮﺍﻧﺪ ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ ﻣﭽﺶ ﮔﻴﺮﺍﻓﺘﺪ‪ ،‬ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺭﺍ ﺩﺳﺘﻜﺎﺭﻱ ﻧﻤﺎﻳﺪ‪.‬‬ ‫•‬
‫ﻧﻈﺮ ﺑﻪ ﺍﻳﻨﻜﻪ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﻏﻴﺮﻗﺎﺑﻞ ﺟﻌﻞﺍﻧﺪ‪ ،‬ﻣﻲﺗﻮﺍﻥ ﺁﻧﻬﺎ ﺭﺍ ﺩﺭ ﻳﻚ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ ﻗﺮﺍﺭ ﺩﺍﺩ ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ ﻧﻴﺎﺯﻱ ﺑﻪ‬
‫ﺣﻔﺎﻇﺖ ﺍﺯ ﺁﻧﻬﺎ ﺑﺎﺷﺪ‪.‬‬
‫ﺍﮔﺮ ﻫﻤﺔ ﻛﺎﺭﺑﺮﺍﻥ‪ ،‬ﻣﺸﺘﺮﻛﻴﻦ ﻓﻘﻂ ﻳﻚ ‪ CA‬ﺑﺎﺷﻨﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺍﻋﺘﻤﺎﺩ ﻣﺸﺘﺮﻛﻲ ﻧﺴﺒﺖ ﺑﻪ ﺁﻥ ‪ CA‬ﺩﺭ ﻫﻤﺔ ﺁﻧﻬﺎ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪.‬‬
‫ﺗﻤﺎﻡ ﮔﻮﺍﻫﻲﻫﺎﻱ ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺩﺭ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎﺋﻲ ﻗﺮﺍﺭ ﺩﺍﺩ ﻛﻪ ﺑﺘﻮﺳﻂ ﻫﻤﺔ ﺁﻧﻬﺎ ﻗﺎﺑﻞ ﺩﺳﺘﺮﺱ ﺑﺎﺷﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺁﻥ ﻳﻚ‬
‫ﻛﺎﺭﺑﺮ ﻣﻲﺗﻮﺍﻧﺪﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺧﻮﺩ ﺭﺍ ﻣﺴﺘﻘﻴﻤﺎﹰ ﺑﻪ ﻛﺎﺭﺑﺮ ﺩﻳﮕﺮﻱ ﻣﻨﺘﻘﻞ ﻧﻤﺎﻳﺪ‪ .‬ﺩﺭ ﻫﺮﻳﻚ ﺍﺯ ﺩﻭ ﻣﻮﺭﺩ‪ ،‬ﻫﻤﻴﻦﻛﻪ ‪ B‬ﮔﻮﺍﻫﻲ ‪ A‬ﺭﺍ ﺩﺭ‬
‫ﺍﺧﺘﻴﺎﺭ ﺧﻮﺩ ﮔﺮﻓﺖ‪ B ،‬ﺍﻃﻤﻴﻨﺎﻥ ﺩﺍﺭﺩ ﻛﻪ ﭘﻴﺎﻡﻫﺎﺋﻲ ﻛﻪ ﺍﻭ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ A‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻛﻨﺪ ﻧﺴﺒﺖ ﺑﻪ ﺷﻨﻮﺩ ﺍﻣﻦ ﺑﻮﺩﻩ ﻭ‬
‫ﭘﻴﺎﻡﻫﺎﺋﻲ ﻛﻪ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ A‬ﺍﻣﻀﺎﺀﺷﺪﻩ ﺑﺎﺷﻨﺪ ﻏﻴﺮﻗﺎﺑﻞ ﺟﻌﻞﺍﻧﺪ‪.‬‬
‫ﺍﮔﺮ ﺗﻌﺪﺍﺩ ﻛﺎﺭﺑﺮﺍﻥ ﺧﻴﻠﻲ ﺯﻳﺎﺩ ﺑﺎﺷﺪ‪ ،‬ﻋﻤﻠﻲ ﻧﺨﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ ﺗﻤﺎﻡ ﺁﻧﻬﺎ ﻣﺸﺘﺮﻙ ﻳﻚ ‪ CA‬ﺧﺎﺹ ﺑﺎﺷﻨﺪ‪ .‬ﭼﻮﻥ ﺍﻳﻦ ‪ CA‬ﺍﺳﺖ‬
‫ﻛﻪ ﮔﻮﺍﻫﻲﻫﺎ ﺭﺍ ﺍﻣﻀﺎﺀ ﻣﻲﻛﻨﺪ‪ ،‬ﻫﺮﻛﺎﺭﺑﺮ ﻣﺸﺘﺮﻙ ‪ CA‬ﺑﺎﻳﺴﺘﻲ ﻳﻚ ﻛﭙﻲ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ CA‬ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﺑﺘﻮﺳﻂ‬
‫ﺁﻥ ﺑﺘﻮﺍﻧﺪ ﮔﻮﺍﻫﻲﻫﺎ ﺭﺍ ﺗﺄﺋﻴﺪ ﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺑﺎﻳﺴﺘﻲ ﺑﺼﻮﺭﺕ ﻛﺎﻣﻼﹰ ﺍﻣﻨﻲ) ﺍﺯ ﻧﻈﺮ ﺍﺻﺎﻟﺖ ﻭ ﺍﻋﺘﺒﺎﺭ( ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﻫﺮ ﻛﺎﺭﺑﺮ ﻗﺮﺍﺭ‬
‫ﮔﻴﺮﺩ ﺗﺎ ﻛﺎﺭﺑﺮ ﻧﺴﺒﺖ ﺑﻪ ﮔﻮﺍﻫﻲﻫﺎﻱ ﺻﺎﺩﺭﻩ ﺍﻃﻤﻴﻨﺎﻥ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﺎ ﺗﻌﺪﺍﺩ ﻛﺎﺭﺑﺮﺍﻥ ﺯﻳﺎﺩ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺭﺍﻩ ﺣﻞ ﻋﻤﻠﻲﺗﺮ ﺍﻳﻦ‬
‫ﺑﺎﺷﺪ ﻛﻪ ﺗﻌﺪﺍﺩﻱ ‪ CA‬ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ ﻛﻪ ﻫﺮﻳﻚ ﺍﺯ ﺁﻧﻬﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺧﻮﺩ ﺭﺍ ﺑﻄﻮﺭ ﺍﻣﻨﻲ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺑﺨﺸﻲ ﺍﺯ ﻛﺎﺭﺑﺮﺍﻥ ﻗﺮﺍﺭ‬
‫ﺩﻫﻨﺪ‪.‬‬
‫ﺣﺎﻝ ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ‪ A‬ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺍﺯ ﻣﺴﺌﻮﻝ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲ ‪ X1‬ﺍﺧﺬ ﻧﻤﻮﺩﻩ ﻭ ‪ B‬ﻧﻴﺰ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺍﺯ ‪ CA‬ﺧﻮﺩ‬
‫ﻳﻌﻨﻲ ‪ X2‬ﺍﺧﺬ ﻛﺮﺩﻩ ﺑﺎﺷﺪ‪ .‬ﺍﮔﺮ‪ A‬ﺑﻄﻮﺭ ﺍﻣﻨﻲ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ X2‬ﺧﺒﺮ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ‪ B‬ﻛﻪ ﺑﺘﻮﺳﻂ ‪X2‬‬
‫ﺻﺎﺩﺭﺷﺪﻩ ﺍﺳﺖ ﺑﺮﺍﻱ ‪ A‬ﺑﻲﺍﺭﺯﺵ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﻭﻟﻲ ﺍﮔﺮ ﺩﻭ ‪ CA‬ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺧﻮﺩ ﺭﺍ ﺑﻄﻮﺭ ﺍﻣﻨﻲ ﻣﺒﺎﺩﻟﻪ ﻛﺮﺩﻩ ﺑﺎﺷﻨﺪ‪ ،‬ﺁﻧﮕﺎﻩ‬
‫ﺭﻭﺵ ﺯﻳﺮ ‪ A‬ﺭﺍ ﻗﺎﺩﺭ ﺧﻮﺍﻫﺪ ﺳﺎﺧﺖ ﺗﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ B‬ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪.‬‬
‫‪ A -۱‬ﺍﺯ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ‪ ،‬ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ‪ X2‬ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪ X1‬ﺭﺍ ﻣﻲﮔﻴﺮﺩ‪ .‬ﭼﻮﻥ ‪ A‬ﺑﻄﻮﺭ ﺍﻣﻨﻲ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪X1‬‬
‫ﺑﺎﺧﺒﺮ ﺍﺳﺖ‪ A ،‬ﻣﻴﺘﻮﺍﻧﺪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ X2‬ﺭﺍ ﺍﺯ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺍﻭ ﺑﺪﺳﺖ ﺁﻭﺭﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺘﻮﺳﻂ ﺍﻣﻀﺎﺀ ‪ X1‬ﻛﻪ ﺭﻭﻱ‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺍﺳﺖ ﺗﺄﺋﻴﺪ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ A -۲‬ﺳﭙﺲ ﺑﻪ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ ﺑﺮﮔﺸﺘﻪ ﻭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ‪ B‬ﺭﺍ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ X2‬ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ ﺩﺭﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ‪ .‬ﺣـﺎﻝ ﭼـﻮﻥ‬
‫‪ A‬ﻳﻚ ﻛﭙﻲ ﻣﻄﻤﺌﻦ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ X2‬ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺭﺩ‪ A ،‬ﻣﻴﺘﻮﺍﻧﺪ ﺍﻣﻀﺎﺀ ﺭﺍ ﺗﺄﺋﻴﺪ ﻛﺮﺩﻩ ﻭ ﺑﻄﻮﺭ ﺍﻣﻨﻲ ﻛﻠﻴﺪﻋﻤﻮﻣﻲ‪B‬‬
‫ﺭﺍ ﺍﺳﺘﺨﺮﺍﺝ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ A‬ﺑﺮﺍﻱ ﺑﺪﺳﺖ ﺁﻭﺭﺩﻥ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ B‬ﺍﺯ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺍﺯ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺑﺮﺣﺴﺐ ﻋﻼﺋﻢ ‪ X.509‬ﺍﻳﻦ‬
‫ﺯﻧﺠﻴﺮﻩ ﭼﻨﻴﻦ ﺑﻴﺎﻥ ﻣﻲﺷﻮﺩ‪:‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٣٦‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫>>‪X1<<X2>>X2<<B‬‬
‫ﺑﻬﻤﻴﻦ ﺭﻭﺵ ‪ B‬ﻣﻴﺘﻮﺍﻧﺪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ A‬ﺭﺍ ﺑﺎ ﺯﻧﺠﻴﺮﺓ ﻣﻌﻜﻮﺱ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪.‬‬
‫>>‪X2<<X1>>X1<<A‬‬
‫ﺍﻳﻦ ﺭﻭﺵ ﻻﺯﻡ ﻧﻴﺴﺖ ﻛﻪ ﻓﻘﻂ ﻣﺤﺪﻭﺩ ﺑﻪ ﺩﻭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺑﺎﺷﺪ‪ .‬ﻳﻚ ﻣﺴﻴﺮ ﻃﻮﻻﻧﻲ ﺍﺯ ‪CA‬ﻫﺎ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﻳﻚ‬
‫ﺯﻧﺠﻴﺮ ﺩﺭ ﻧﻈﺮ ﮔﺮﻓﺖ‪ .‬ﻳﻚ ﺯﻧﺠﻴﺮ ﺑﺎ ‪ N‬ﻋﻨﺼﺮ ﭼﻨﻴﻦ ﺑﻴﺎﻥ ﻣﻲﮔﺮﺩﺩ‪:‬‬
‫>>‪X1<<X2>>X2<<X3>> ۰۰۰ XN<<B‬‬
‫ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ‪ ،‬ﻫﺮﺯﻭﺝ ﺍﺯ ‪CA‬ﻫﺎ ﺩﺭ ﺯﻧﺠﻴﺮﺓ )‪ ( Xi , Xi+1‬ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ﻳﻜﺪﻳﮕﺮ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺻﺎﺩﺭ ﻛﺮﺩﻩ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﺗﻤﺎﻡ ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ‪CA‬ﻫﺎ ﺑﺘﻮﺳﻂ ‪CA‬ﻫﺎﻱ ﺩﻳﮕﺮ ﻻﺯﻡ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ ﻭ ﻛﺎﺭﺑﺮ ﻻﺯﻡ‬
‫ﺍﺳﺖ ﺑﺪﺍﻧﺪﻛﻪ ﺍﻳﻨﻬﺎ ﭼﮕﻮﻧﻪ ﺑﺎ ﻫﻢ ﻣﺮﺗﺒﻂﺍﻧﺪ ﺗﺎ ﺑﺘﻮﺍﻧﺪ ﻣﺴﻴﺮ ﺭﺍ ﺗﺎ ﻳﺎﻓﺘﻦ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ B‬ﺩﻧﺒﺎﻝ ﻧﻤﺎﻳﺪ‪ X.509 .‬ﭘﻴﺸﻨﻬﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ‬
‫‪CA‬ﻫﺎ ﺩﺭ ﻳﻚ ﺳﺎﺧﺘﺎﺭ ﺳﻠﺴﻠﻪﻣﺮﺍﺗﺒﻲ ﻃﻮﺭﻱ ﺳﺎﺯﻣﺎﻥﺩﻫﻲ ﺷﻮﻧﺪ ﻛﻪ ﻧﺎﻭﺑﺮﻱ ﺑﻴﻦ ﺁﻧﻬﺎ ﺳﺎﺩﻩ ﺑﺎﺷﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۴-۵‬ﻛﻪ ﺍﺯ ‪ X.509‬ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻣﺜﺎﻟﻲ ﺍﺯ ﭼﻨﻴﻦ ﺳﺎﺧﺘﺎﺭﻱ ﺍﺳﺖ‪ .‬ﺩﺍﻳﺮﻩﻫﺎﻱ ﺑﻬﻢ ﻭﺻﻞ ﺷﺪﻩ‪ ،‬ﺍﺭﺗﺒﺎﻁ‬
‫ﺳﻠﺴﻠﻪﻣﺮﺍﺗﺒﻲ ‪CA‬ﻫﺎ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻭ ﻣﺮﺑﻊﻫﺎﻱ ﻣﺮﺑﻮﻃﻪ ﻧﻤﺎﻳﺸﮕﺮ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻧﮕﻬﺪﺍﺭﻱ ﺷﺪﻩ ﺩﺭ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎﻱ ﻫﺮ‬
‫‪CA‬ﺍﻧﺪ‪ .‬ﺍﻗﻼﻡ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ ﺩﺭ ﻫﺮ ‪ CA‬ﺷﺎﻣﻞ ﺩﻭ ﻧﻮﻉ ﮔﻮﺍﻫﻲﺍﻧﺪ‪:‬‬
‫• ﮔﻮﺍﻫﻲﻫﺎﻱ ﻣﺴﺘﻘﻴﻢ‪ :‬ﮔﻮﺍﻫﻲﻫﺎﻱ ‪ X‬ﻛﻪ ﺑﺘﻮﺳﻂ ﺳﺎﻳﺮ ‪CA‬ﻫﺎ ﺻﺎﺩﺭ ﺷﺪﻩﺍﻧﺪ‪.‬‬

‫• ﮔﻮﺍﻫﻲﻫﺎﻱ ﻣﻌﻜﻮﺱ‪ :‬ﮔﻮﺍﻫﻲﻫﺎﻱ ﺗﻮﻟﻴﺪﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪ X‬ﻛﻪ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺳﺎﻳﺮ ‪CA‬ﻫﺎ ﻫﺴﺘﻨﺪ‪.‬‬
‫ﺩﺭ ﺍﻳﻦ ﻣﺜﺎﻝ‪ ،‬ﻛﺎﺭﺑﺮ‪ A‬ﻣﻴﺘﻮﺍﻧﺪ ﮔﻮﺍﻫﻲﻫﺎﻱ ﺯﻳﺮ ﺭﺍ ﺍﺯ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ ﺑﺪﺳﺖ ﺁﻭﺭﺩﻩ ﻭ ﻣﺴﻴﺮ ﺭﺍ ﺗﺎ ‪ B‬ﺩﻧﺒﺎﻝ ﻛﻨﺪ‪:‬‬
‫>>‪X<<W>>W<<V>>V<<Y>>Y<<Z>>Z<<B‬‬
‫ﻭﻗﺘﻲ ‪ A‬ﺍﻳﻦ ﮔﻮﺍﻫﻲﻫﺎ ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪ ،‬ﻣﻲﺗﻮﺍﻧﺪ ﻣﺴﻴﺮ ﺭﺍ ﺑﺘﺮﺗﻴﺐ ﺩﻧﺒﺎﻝ ﻛﺮﺩﻩ ﺗﺎ ﻳﻚ ﻛﭙﻲ ﻣﻮﺭﺩ ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﻛﻠﻴـﺪ ﻋﻤـﻮﻣﻲ‬
‫‪ B‬ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪ .‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻳﻦ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‪ A ،‬ﻣﻲﺗﻮﺍﻧﺪ ﭘﻴﺎﻡﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱﺷﺪﺓ ﺧﻮﺩ ﺭﺍ ﺑـﺮﺍﻱ ‪ B‬ﺑﻔﺮﺳـﺘﺪ‪ .‬ﺍﮔـﺮ ‪ A‬ﺗﻤﺎﻳـﻞ‬
‫ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﭘﻴﺎﻡﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱﺷﺪﻩﺍﻱ ﺭﺍ ﺍﺯ ﻃﺮﻑ ‪ B‬ﺩﺭﻳﺎﻓﺖ ﻛﻨﺪ ﻭ ﻳﺎ ﭘﻴﺎﻡﻫﺎﺋﻲ ﺭﺍ ﻛﻪ ﺑﺮﺍﻱ ‪ B‬ﺍﺭﺳﺎﻝ ﻣﻴـﺸﻮﺩ ﺍﻣـﻀﺎﺀ ﻧﻤﺎﻳـﺪ‪،‬‬
‫ﺁﻧﮕﺎﻩ ‪ B‬ﻧﻴﺎﺯ ﺑﻪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ A‬ﺧﻮﺍﻫﺪ ﺩﺍﺷﺖ ﻛﻪ ﻣﻴﺘﻮﺍﻧﺪ ﺁﻥ ﺭﺍ ﺍﺯ ﻣﺴﻴﺮ ﺯﻳﺮ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪:‬‬
‫>>‪Z<<Y>>Y<<V>>V<<W>>W<<X>>X<<A‬‬
‫‪ B‬ﻣﻲﺗﻮﺍﻧﺪ ﺍﻳﻦ ﻣﺠﻤﻮﻋﺔ ﮔﻮﺍﻫﻲﻫﺎ ﺭﺍ ﺍﺯ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ ﺍﺳﺘﺨﺮﺍﺝ ﻛﺮﺩﻩ ﻭ ﻳﺎ ‪ A‬ﻣﻲﺗﻮﺍﻧﺪ ﺁﻧﻬﺎ ﺭﺍ ﺑﺼﻮﺭﺕ ﺑﺨﺸﻲ ﺍﺯ ﭘﻴﺎﻡ‬
‫ﺍﻭﻟﻴﻪ ﺑﺮﺍﻱ ‪ B‬ﺍﺭﺳﺎﻝ ﺩﺍﺭﺩ‪.‬‬
‫‪١٣٧‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫>>‪U<<V‬‬ ‫‪U‬‬
‫>>‪V<<U‬‬
‫‪V‬‬
‫>>‪V<<W‬‬ ‫>>‪V<<Y‬‬
‫>>‪W<<V‬‬ ‫>>‪Y<<V‬‬
‫‪W‬‬ ‫‪Y‬‬
‫>>‪W<<X‬‬ ‫>>‪Y<<Z‬‬
‫>>‪X<<W‬‬ ‫>>‪Z<<Y‬‬
‫‪X‬‬ ‫‪Z‬‬
‫>>‪X<<Z‬‬ ‫>>‪Z<<X‬‬
‫‪C‬‬ ‫‪A‬‬ ‫‪B‬‬
‫>>‪X<<C‬‬ ‫>>‪X<<A‬‬ ‫>>‪Z<<B‬‬
‫ﺳﻠﺴﻠﻪ ﻣﺮﺍﺗﺐ ‪ : X.509‬ﻳﻚ ﻣﺜﺎﻝ ﻓﺮﺿﻲ‬ ‫ﺷﻜﻞ ‪۴-۵‬‬
‫ﺍﺑﻄﺎﻝ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ‬
‫ﺍﺯ ﺷﻜﻞ ‪ ۴-۴‬ﺑﺨﺎﻃﺮ ﺁﻭﺭﻳﺪ ﻛﻪ ﻫﺮ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻫﻤﺎﻧﻨﺪ ﻳﻚ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ ﺩﺍﺭﺍﻱ ﻳﻚ ﺩﻭﺭﺓ ﺍﻋﺘﺒﺎﺭ ﺍﺳﺖ‪ .‬ﻣﻌﻤﻮﻻﹰ ﺑﺎﻳﺴﺘﻲ‬
‫ﻗﺒﻞ ﺍﺯ ﺍﻧﻘﻀﺎﻱ ﺩﻭﺭﺓ ﺍﻋﺘﺒﺎﺭ‪ ،‬ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺟﺪﻳﺪﻱ ﺻﺎﺩﺭ ﺷﻮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﻣﻮﺍﺭﺩﻱ ﻋﻼﻗﻪﻣﻨﺪ ﺑﺎﺷﻴﻢ ﺗﺎ ﺑﻪ ﺩﻻﻳﻞ ﺯﻳﺮ‬
‫ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺭﺍ ﻗﺒﻞ ﺍﺯ ﺍﻧﻘﻀﺎﻱ ﻣﻬﻠﺖ ﺁﻥ ﺑﺎﻃﻞ ﻛﻨﻴﻢ‪:‬‬
‫‪ -۱‬ﺍﺣﺘﻤﺎﻝ ﺩﺍﺩﻩ ﺷﻮﺩ ﻛﻪ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻛﺎﺭﺑﺮ ﻟﻮ ﺭﻓﺘﻪ ﺍﺳﺖ‪.‬‬

‫‪ -۲‬ﻛﺎﺭﺑﺮ‪ ،‬ﺩﻳﮕﺮ ﺑﺘﻮﺳﻂ ﺍﻳﻦ ‪ CA‬ﺗﺄﺋﻴﺪ ﻧﻤﻲﺷﻮﺩ‪.‬‬
‫‪ -۳‬ﺍﺣﺘﻤﺎﻝ ﺩﺍﺩﻩ ﺷﻮﺩ ﻛﻪ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ‪ CA‬ﻟﻮ ﺭﻓﺘﻪ ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٣٨‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻫﺮ ‪ CA‬ﺑﺎﻳﺴﺘﻲ ﻟﻴﺴﺘﻲ ﻛﻪ ﺷﺎﻣﻞ ﺗﻤﺎﻡ ﮔﻮﺍﻫﻲﻫﺎﻱ ﺑﺎﻃﻞ ﺷﺪﻩ ﻭﻟﻲ ﻣﻨﻘﻀﻲ ﻧﺸﺪﻩ ﺻﺎﺩﺭﻩ ﺑﺘﻮﺳﻂ ﺁﻥ ‪ ،CA‬ﺍﻋﻢ ﺍﺯ‬
‫ﮔﻮﺍﻫﻲﻫﺎﻱ ﺻﺎﺩﺭﺷﺪﻩ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻥ‪ ،‬ﻳﺎ ﺳﺎﻳﺮ ‪CA‬ﻫﺎ ﺭﺍ ﻧﮕﻬﺪﺍﺭﻱ ﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﻟﻴﺴﺖﻫﺎ ﻫﻤﭽﻨﻴﻦ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ ﺍﻋﻼﻥ‬
‫ﺷﻮﺩ‪.‬‬
‫ﻫﺮ ﻟﻴﺴﺖ ﮔﻮﺍﻫﻲﻫﺎﻱ ﺑﺎﻃﻞ ﺷﺪﻩ )‪،certificate revocation list (CRL‬ﻛﻪ ﺩﺭ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ ﺍﻋﻼﻥ ﻣﻲﮔﺮﺩﺩ ﺑﺘﻮﺳﻂ‬
‫ﺻﺎﺩﺭﻛﻨﻨﺪﻩ ﺍﻣﻀﺎﺀﺷﺪﻩ ﻭ ﺷﺎﻣﻞ )ﺷﻜﻞ ‪۴-۴‬ﺏ( ﻧﺎﻡ ﺻﺎﺩﺭﻛﻨﻨﺪﻩ‪ ،‬ﺗﺎﺭﻳﺨﻲ ﻛﻪ ﻟﻴﺴﺖ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺗﺎﺭﻳﺨﻲ ﻛﻪ ‪ CRL‬ﺑﻌﺪﻱ‬
‫ﻗﺮﺍﺭ ﺍﺳﺖ ﻣﻨﺘﺸﺮ ﺷﻮﺩ ﻭ ﻳﻚ ﻭﺭﻭﺩﻱ ﺑﺮﺍﻱ ﻫﺮ ﮔﻮﺍﻫﻲ ﺑﺎﻃﻞ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻫﺮ ﻭﺭﻭﺩﻱ ﺷﺎﻣﻞ ﺷﻤﺎﺭﺓ ﺳﺮﻳﺎﻝ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻭ ﺗﺎﺭﻳﺦ‬
‫ﺍﺑﻄﺎﻝ ﺁﻥ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺍﺳﺖ‪ .‬ﭼﻮﻥ ﺷﻤﺎﺭﺓ ﺳﺮﻳﺎﻝﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﻳﻚ ‪ CA‬ﻳﻜﺘﺎ ﻫﺴﺘﻨﺪ‪ ،‬ﺷﻤﺎﺭﺓ ﺳﺮﻳﺎﻝ ﺑﺮﺍﻱ ﺷﻨﺎﺳﺎﺋﻲ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ‬
‫ﻛﺎﻓﻲ ﺍﺳﺖ‪.‬‬
‫ﻭﻗﺘﻲ ﻳﻚ ﻛﺎﺭﺑﺮ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺩﺭ ﻳﻚ ﭘﻴﺎﻡ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩ‪ ،‬ﺍﻭ ﺑﺎﻳﺴﺘﻲ ﺗﺤﻘﻴﻖ ﻛﻨﺪ ﻛﻪ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺑﺎﻃﻞ ﻧﺸﺪﻩ ﺑﺎﺷﺪ‪.‬‬
‫ﻛﺎﺭﺑﺮ ﻣﻲﺗﻮﺍﻧﺪ ﻫﺮﺑﺎﺭ ﻛﻪ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺩﺭﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ‪ ،‬ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ ﺭﺍ ﻛﻨﺘﺮﻝ ﻧﻤﺎﻳﺪ‪ .‬ﺑــﺮﺍﻱ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺗﺄﺧﻴﺮ ﺯﻣــﺎﻧﻲ‬
‫)ﻭ ﺍﺣﺘﻤﺎﻻﹰ ﻫﺰﻳﻨﻪ( ﻣﺮﺗﺒﻂ ﺑﺎ ﺟﺴﺘﺠﻮﻱ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ‪ ،‬ﻣﺤﺘﻤﻞ ﺍﺳﺖ ﻛﻪ ﻛﺎﺭﺑﺮ ﻳﻚ ﺣﺎﻓﻈﺔ ﻣﺤﻠﻲ ﺭﺍ ﺑﺮﺍﻱ ﻧﮕﻬﺪﺍﺭﻱ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﻭ‬
‫ﻟﻴﺴﺖ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﺑﺎﻃﻞﺷﺪﻩ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﺭَﻭﻳﻪﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫‪ X.509‬ﻫﻤﭽﻨﻴﻦ ﺷﺎﻣﻞ ﺳﻪ ﺭَﻭﻳﺔ ﻣﺨﺘﻠﻒ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺩﺭ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺘﻨﻮﻋﻲ ﻃﺮﺍﺣﻲ ﺷﺪﻩﺍﻧﺪ‪ .‬ﺗﻤﺎﻡ ﺍﻳﻦ‬
‫ﺭَﻭﻳﻪﻫﺎ ﺍﺯ ﺍﻣﻀﺎﺀﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻓﺮﺽ ﺑﺮﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﻭ ﻃﺮﻑ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻳﻜﺪﻳﮕﺮ ﺭﺍ ﻣﻲﺩﺍﻧﻨﺪ ﻛﻪ ﺍﻳﻦ ﺍﻣﺮ‬
‫ﻳﺎ ﺑﺎ ﻛﺴﺐ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻳﻜﺪﻳﮕﺮ ﺍﺯ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ ﻭ ﻳﺎ ﺑﺪﻟﻴﻞ ﺍﻳﻨﻜﻪ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺩﺭ ﭘﻴﺎﻡ ﺍﻭﻟﻴﻪ ﻫﺮﻃﺮﻑ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺍﺳﺖ‬
‫ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﺷﻜﻞ ‪ ۴-۶‬ﺍﻳﻦ ﺳﻪ ﺭَﻭﻳﻪ ﺭﺍ ﻧﺸﺎﻥ ﻣﻴﺪﻫﺪ‪.‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻳﻚ‪ -‬ﺳﻮﻳﻪ‬

‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻳﻚ‪ -‬ﺳﻮﻳﻪ ﺷﺎﻣﻞ ﻳﻚ ﺑﺎﺭ ﺍﻧﺘﻘﺎﻝ ﺍﻃﻼﻋﺎﺕ ﺍﺯ ﺳﻮﻱ ﻛﺎﺭﺑﺮ)‪ (A‬ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮ)‪ (B‬ﺍﺳﺖ ﻭ ﻣﻮﺍﺭﺩ ﺯﻳﺮ ﺭﺍ ﺭﻭﺷﻦ‬
‫ﻣﻲﺳﺎﺯﺩ‪:‬‬
‫‪ -۱‬ﻫﻮﻳﺖ ‪ A‬ﻭ ﭘﻴﺎﻣﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ A‬ﺗﻮﻟﻴﺪﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ -۲‬ﺍﻳﻨﻜﻪ ﭘﻴﺎﻡ ﺑﻪ ﻣﻘﺼﺪ‪ B‬ﺍﺳﺖ‪.‬‬
‫‪ -۳‬ﺻﺤﺖ ﻭ ﺩﺳﺖ ﺍﻭﻝ ﺑﻮﺩﻥ ﭘﻴﺎﻡ ) ﺍﻳﻨﻜﻪ ﭼﻨﺪﺑﺎﺭ ﺍﺭﺳﺎﻝ ﻧﺸﺪﻩ ﺑﺎﺷﺪ(‪.‬‬
‫ﺗﻮﺟﻪ ﻛﻨﻴﺪ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﺭﻭﺵ ﺗﻨﻬﺎ ﻫﻮﻳﺖ ﻭﺍﺣﺪ ﺷﺮﻭﻉﻛﻨﻨﺪﺓ ﺍﺭﺗﺒﺎﻁ‪ ،‬ﻭ ﻧﻪ ﻭﺍﺣﺪ ﭘﺎﺳﺦﺩﻫﻨﺪﻩ ﺑﻪ ﺍﺭﺗﺒﺎﻁ‪ ،‬ﺗﺄﺋﻴﺪ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﭘﻴﺎﻡ ﺣﺪﺍﻗﻞ ﺩﺍﺭﺍﻱ ﻳﻚ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ‪ ،tA‬ﻳﻚ ‪ (rA) nonce‬ﻭ ﻫﻮﻳﺖ ‪ B‬ﺑﻮﺩﻩ ﻭ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ A‬ﺍﻣﻀﺎﺀ‬
‫ﻣﻲﺷﻮﺩ‪ .‬ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﺷﺎﻣﻞ ﻳﻚ ﺑﺨﺶ ﺍﺧﺘﻴﺎﺭﻱ ﺯﻣﺎﻥ ﺷﺮﻭﻉ ﻭ ﺯﻣﺎﻥ ﺧﺎﺗﻤﻪ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺍﺯ ﺗﺄﺧﻴﺮ ﺩﺭ ﺗﺴﻠﻴﻢ ﭘﻴﺎﻡ ﺟﻠﻮﮔﻴﺮﻱ‬
‫ﻣﻲﻛﻨﺪ‪ nonce .‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﺣﻤﻼﺕ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﺍﻧﺪﺍﺯﺓ ‪ nonce‬ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻃﻮﻝ ﺯﻣﺎﻥ ﺍﻋﺘﺒﺎﺭ ﭘﻴﺎﻡ‪ ،‬ﻳﻜﺘﺎ ﺑﺎﺷﺪ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ‪ B‬ﻣﻲﺗﻮﺍﻧﺪ ‪ nonce‬ﺭﺍ ﺗﺎ ﺯﻣﺎﻥ ﺍﻧﻘﻀﺎﻱ ﺁﻥ ﺫﺧﻴﺮﻩ ﻛﺮﺩﻩ ﻭ ﻫﺮ ﭘﻴﺎﻡ ﺟﺪﻳﺪ ﺑﺎ ﻫﻤﺎﻥ ‪ nonce‬ﺭﺍ ﻧﭙﺬﻳﺮﺩ‪.‬‬
‫‪١٣٩‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫}]‪1-A{tA,rA, IDB, sgnData, E[PUb , Kab‬‬
‫‪A‬‬ ‫‪B‬‬
‫)ﺍﻟﻒ( ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻳﻚ‪ -‬ﺳﻮﻳﻪ‬
‫}]‪1-A{tA,rA, IDB, sgnData, E[PUb ,Kab‬‬
‫‪A‬‬ ‫}]‪2-B{tB,rB, IDA, rA, sgnData, E [PUa , Kba‬‬

‫‪B‬‬
‫)ﺏ( ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﻭ‪ -‬ﺳﻮﻳﻪ‬
‫}]‪1-A{tA,rA, IDB, sgnData, E[PUb , Kab‬‬
‫}]‪2-B{tB,rB, IDA, rA, sgnData, E[PUa , Kba‬‬

‫‪A‬‬ ‫‪B‬‬
‫}‪3-A{rB‬‬
‫)ﺝ( ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺳﻪ‪ -‬ﺳﻮﻳﻪ‬
‫ﺭَﻭﻳﺔ ﻫﺎﻱ ﻗﺪﺭﺗﻤﻨﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪X.509‬‬ ‫ﺷﻜﻞ ‪۴-۶‬‬
‫ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺻِﺮﻑ‪ ،‬ﭘﻴﺎﻡ ﺑﺴﺎﺩﮔﻲ ﺑﺮﺍﻱ ﺍﺭﺍﺋﺔ ﺍﻣﺘﻴﺎﺯﺍﺕ ﺑﻪ ‪ B‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﭘﻴﺎﻡ ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺗﻲ‬
‫ﺑﺎﺷﺪ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﻋﺮﺿﻪ ﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ‪ ،SgnData ،‬ﺩﺭ ﻣﺤﺪﻭﺩﺓ ﺍﻣﻀﺎﺀ ﺑﻮﺩﻩ ﻭ ﺍﻋﺘﺒﺎﺭ ﻭ ﺍﺻﺎﻟﺖ ﺁﻥ ﺭﺍ ﺗﻀﻤﻴﻦ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﭘﻴﺎﻡ‬
‫ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﺭﺳﺎﻧﺪﻥ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺑﻪ ‪ B‬ﺑﻜﺎﺭ ﺭﻭﺩ ﻭ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ B‬ﺭﻣﺰﺷﺪﻩ ﺑﺎﺷﺪ‪.‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﻭ‪ -‬ﺳﻮﻳﻪ‬

‫ﻋﻼﻭﻩ ﺑﺮ ﺳﻪ ﻣﻮﺭﺩﻱ ﻛﻪ ﺩﺭ ﺑﺎﻻ ﺫﻛﺮﺷﺪ‪ ،‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﻭ‪ -‬ﺳﻮﻳﻪ ﻣﻘﻮﻟﻪﻫﺎﻱ ﺍﺿﺎﻓﻲ ﺯﻳﺮ ﺭﺍ ﻧﻴﺰ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪:‬‬
‫‪ -۴‬ﻫﻮﻳﺖ ‪ B‬ﻭ ﺍﻳﻨﻜﻪ ﭘﺎﺳﺦ ﭘﻴﺎﻡ ﺍﺯ ﺳﻮﻱ ‪ ،B‬ﻭﺍﻗﻌﺎﹰ ﺑﺘﻮﺳﻂ ﺧﻮﺩ ‪ B‬ﺗﻮﻟﻴﺪﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ -۵‬ﺍﻳﻨﻜﻪ ﭘﻴﺎﻡ ﺑﻪ ﻣﻘﺼﺪ ‪ A‬ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ -۶‬ﺻﺤﺖ ﻭ ﺩﺳﺖ ﺍﻭﻝ ﺑﻮﺩﻥ ﭘﻴﺎﻡ‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﻭ‪ -‬ﺳﻮﻳﻪ ﺑﻪ ﻫﺮﺩﻭ ﻃﺮﻑ ﺩﺭﮔﻴﺮ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﻫﻮﻳﺖ ﻃﺮﻑ ﻣﻘﺎﺑﻞ ﺭﺍ ﺗﺄﺋﻴﺪ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٤٠‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﭘﻴﺎﻡ ﭘﺎﺳﺦ‪ ،‬ﺷﺎﻣﻞ ‪ nonce‬ﺍﺯ ﻃﺮﻑ ‪ A‬ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺑﺨﺸﻴﺪﻥ ﺑﻪ ﭘﺎﺳﺦ ﺍﺳﺖ‪ .‬ﭘﻴﺎﻡ ﻫﻤﭽﻨﻴﻦ ﺷﺎﻣﻞ ﻳﻚ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﻭ‬
‫‪ nonce‬ﺗﻮﻟﻴﺪﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪ B‬ﺍﺳﺖ‪ .‬ﻫﻤﺎﻧﻨﺪ ﻗﺒﻞ‪ ،‬ﭘﻴﺎﻡ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺕ ﺍﺿﺎﻓﻲ ﺍﻣﻀﺎﺀﺷﺪﻩ ﻭ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺑﺎﺷﺪ ﻛﻪ‬
‫ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ A‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺑﺎﺷﺪ‪.‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺳﻪ‪ -‬ﺳﻮﻳﻪ‬

‫ﺩﺭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺳﻪ‪ -‬ﺳﻮﻳﻪ‪ ،‬ﻳﻚ ﭘﻴﺎﻡ ﻧﻬﺎﺋﻲ ﺍﺯ ‪ A‬ﺑﻪ ‪ B‬ﻧﻴﺰ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ﻛﭙﻲ ﺍﻣﻀﺎﺀﺷﺪﺓ ‪(rB) nonce‬‬
‫ﺍﺳﺖ‪ .‬ﻫﺪﻑ ﺍﻳﻦ ﻃﺮﺍﺣﻲ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﺮﭼﺴﺐﻫﺎﻱ ﺯﻣﺎﻧﻲ ﻧﻴﺎﺯﻱ ﺑﻪ ﻛﻨﺘﺮﻝ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ .‬ﭼﻮﻥ ﻫﺮ ﺩﻭ ‪ nonce‬ﺑﺘﻮﺳﻂ ﻃﺮﻑ‬
‫ﻣﻘﺎﺑﻞ ﺑﺮﮔﺸﺖ ﺩﺍﺩﻩ ﻣﻴﺸﻮﻧﺪ‪ ،‬ﻫﺮﻃﺮﻑ ﻣﻴﺘﻮﺍﻧﺪ ‪ nonce‬ﺑﺮﮔﺸﺘﻲ ﺭﺍ ﻛﻨﺘﺮﻝ ﻛﺮﺩﻩ ﻭ ﺣﻤﻼﺕ ﺍﺣﺘﻤﺎﻟﻲ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺭﺍ ﺗﺸﺨﻴﺺ ﺩﻫﺪ‪.‬‬
‫ﺍﻳﻦ ﺗﻜﻨﻴﻚ ﻭﻗﺘﻲ ﭘﺎﻟﺲﻫﺎﻱ ﺳﺎﻋﺖ ﻫﻤﺰﻣﺎﻥ ﺩﺭ ﺩﺳﺘﺮﺱ ﻧﺒﺎﺷﻨﺪ ﻣﻮﺭﺩ ﻟﺰﻭﻡ ﺍﺳﺖ‪.‬‬
‫ﻧﺴﺨﺔ ﺳﻮﻡ ‪X.509‬‬

‫ﻓﺮﻣﺖ ﻧﺴﺨﺔ ﺩﻭﻡ ‪ X.509‬ﺗﻤﺎﻡ ﺍﻃﻼﻋﺎﺗﻲ ﻛﻪ ﻃﺮﺍﺣﻲﻫﺎ ﻭ ﺗﺠﺎﺭﺏ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺍﺧﻴﺮ ﻧﻴﺎﺯ ﺁﻥ ﺭﺍ ﺛﺎﺑﺖ ﻛﺮﺩﻩ ﺍﺳﺖ‪ ،‬ﻣﻨﺘﻘﻞ ﻧﻤﻲﻛﻨﺪ‪.‬‬
‫]‪ [FORD95‬ﺍﻟﺰﺍﻣﺎﺕ ﺯﻳﺮﻛﻪ ﺩﺭ ﻧﺴﺨﺔ ﺩﻭﻡ ﺑﺮﺁﻭﺭﺩﻩ ﻧﺸﺪﻩ ﺍﺳﺖ‪ ،‬ﺭﺍ ﺑﻴﺎﻥ ﻛﺮﺩﻩ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﻣﻴﺪﺍﻥ ﺳﻮﮊﻩ ﺑﺮﺍﻱ ﻣﻌﺮﻓﻲ ﻫﻮﻳﺖ ﻳﻚ ﺻﺎﺣﺐ ﻛﻠﻴﺪ ﺑﻪ ﻳﻚ ﺍﺳﺘﻔﺎﺩﻩﻛﻨﻨﺪﻩ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻛﺎﻓﻲ ﻧﻴﺴﺖ‪ .‬ﻧﺎﻡﻫﺎﻱ‬
‫‪ X.509‬ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﺴﺒﺘﺎﹰ ﻛﻮﺗﺎﻩ ﺑﻮﺩﻩ ﻭ ﻓﺎﻗﺪ ﺟﺰﺋﻴﺎﺕ ﻫﻮﻳﺘﻲ ﻻﺯﻡ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻛﺎﺭﺑﺮ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪ -۲‬ﻣﻴﺪﺍﻥ ﺳﻮﮊﻩ ﻫﻤﭽﻨﻴﻦ ﺑﺮﺍﻱ ﺑﺮﺧﻲ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻛﻪ ﻣﻌﻤﻮﻻﹰ ﻭﺍﺣﺪﻫﺎ ﺭﺍ ﺑﺎ ﺁﺩﺭﺱ ‪ ،e-mail‬ﻳﻚ ‪ URL‬ﻭ ﻳﺎ ﺑﻄﺮﻳﻖ ﺩﻳﮕﺮﻱ‬
‫ﺩﺭ ﺍﻳﻨﺘﺮﻧﺖ ﺷﻨﺎﺳﺎﺋﻲ ﻣﻲﻛﻨﻨﺪ‪ ،‬ﻧﺎﻛﺎﻓﻲ ﺍﺳﺖ‪.‬‬
‫‪ -۳‬ﺍﻳﻦ ﻧﻴﺎﺯ ﻭﺟﻮﺩ ﺩﺍﺭﺩﻛﻪ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﺧﻂﻣﺸﻲ ﺍﻣﻨﻴﺘﻲ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﺍﻣﻨﻴﺘﻲ ﻳﺎ ﻋﻤﻞ‬
‫ﺍﻣﻨﻴﺘﻲ ﻫﻤﭽﻮﻥ ‪ IPSec‬ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﻳﻚ ﮔﻮﺍﻫﻲ ‪ X.509‬ﺭﺍ ﺑﻪ ﻳﻚ ﺧﻂﻣﺸﻲ ﺧﺎﺹ ﺭﺑﻂ ﺩﻫﺪ‪.‬‬
‫‪ -۴‬ﺍﻳﻦ ﻧﻴﺎﺯ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﺗﺎ ﺻﺪﻣﺎﺗﻲ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﻳﻚ ‪ CA‬ﻣﻌﻴﻮﺏ ﻭ ﻳﺎ ﺑﺪﺍﻧﺪﻳﺶ ﻧﺎﺷﻲ ﺷﻮﺩ ﺭﺍ ﺑﺎ ﺍﻳﺠﺎﺩ‬
‫ﻣﺤﺪﻭﺩﻳﺖﻫﺎﺋﻲ ﺩﺭ ﻛﺎﺭﺑﺮﺩ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺧﺎﺹ ﻛﻢ ﻛﺮﺩ‪.‬‬
‫‪ -۵‬ﺍﻳﻦ ﻛﻪ ﺑﺘﻮﺍﻥ ﻛﻠﻴﺪﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻣﺠﺰﺍ ﻛﻪ ﺑﺘﻮﺳﻂ ﺻﺎﺣﺐ ﺁﻥ ﺩﺭ ﺯﻣﺎﻥﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺍﺳﺖ ﺭﺍ‬
‫ﺷﻨﺎﺳﺎﺋﻲ ﻧﻤﻮﺩ‪ ،‬ﺍﻣﺮﻱ ﻣﻬﻢ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺧﺼﻴﺼﻪ‪ ،‬ﻣﺪﻳﺮﻳﺖ ﻃﻮﻝ ﻋﻤﺮ ﻛﻠﻴﺪ ﺭﺍ ﺣﻤﺎﻳﺖ ﻛﺮﺩﻩ ﻭ ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﺍﻳﻦ ﺗﻮﺍﻧﺎﺋﻲ‬
‫ﻛﻪ ﺑﺘﻮﺍﻥ ﺟﻔﺖ ﻛﻠﻴﺪﻫﺎ ﺭﺍ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻥ ﻭ ‪CA‬ﻫﺎ ﺩﺭ ﻓﻮﺍﺻﻞ ﺯﻣﺎﻧﻲ ﻣﻨﻈﻢ ﻭ ﻳﺎ ﺗﺤﺖ ﺷﺮﺍﻳﻂ ﺍﺳﺘﺜﻨﺎﺋﻲ ﺑﻪ ﺭﻭﺯ ﺩﺭﺁﻭﺭﺩ‬
‫ﺭﺍ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ‪.‬‬
‫ﺑﺠﺎﻱ ﺍﻳﻨﻜﻪ ﻣﺮﺗﺒﺎﹰ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺟﺪﻳﺪﻱ ﺑﻪ ﻓﺮﻣﺖ ﺛﺎﺑﺖ ﺍﺿﺎﻓﻪ ﻧﻤﺎﻳﻨﺪ‪ ،‬ﺗﻮﻟﻴﺪﻛﻨﻨﺪﮔﺎﻥ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎ ﺍﺣﺴﺎﺱ ﻛﺮﺩﻩﺍﻧﺪ ﻛﻪ ﺭﻭﺵ‬
‫ﺍﻧﻌﻄﺎﻑﭘﺬﻳﺮﺗﺮﻱ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻧﺴﺨﺔ ‪ ۳‬ﺷﺎﻣﻞ ﺗﻌﺪﺍﺩﻱ ﺍﻟﺤﺎﻗﻴﺔ ﺍﺧﺘﻴﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﻓﺮﻣﺖ ﻧﺴﺨﺔ ‪۲‬‬
‫ﺍﺿﺎﻓﻪ ﻛﺮﺩ‪ .‬ﻫﺮﻳﻚ ﺍﺯ ﺍﻳﻦ ﺍﻟﺤﺎﻗﻴﻪﻫﺎ ﺷﺎﻣﻞ ﻳﻚ ﺷﻨﺎﺳﺔ ﺍﻟﺤﺎﻗﻴﻪ‪ ،‬ﻳﻚ ﻧﻤﺎﻳﺸﮕﺮ ﺍﻫﻤﻴﺖ ﺍﻟﺤﺎﻗﻴﻪ ﻭ ﻳﻚ ﺍﻧﺪﺍﺯﻩ ﺍﻟﺤﺎﻗﻴﻪ ﺍﺳﺖ‪ .‬ﻧﻤﺎﻳﺸﮕﺮ‬
‫ﺍﻫﻤﻴﺖ ﺍﻟﺤﺎﻗﻴﻪ ﺑﻴﺎﻧﮕﺮ ﺍﻳﻦ ﻣﺴﺄﻟﻪ ﺍﺳﺖ ﻛﻪ ﺁﻳﺎ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﺧﺎﻃﺮﻱ ﺁﺳﻮﺩﻩ ﺍﺯ ﻳﻚ ﺍﻟﺤﺎﻗﻴﻪ ﺻﺮﻓﻨﻈﺮ ﻛﺮﺩ؟ ﺍﮔﺮ ﻧﻤﺎﻳﺸﮕﺮ ﺩﺍﺭﺍﻱ‬
‫ﺍﻧﺪﺍﺯﺓ ‪ true‬ﺑﺎﺷﺪ ﻭ ﻭﺍﺣﺪ ﺍﺟﺮﺍ ﺁﻥ ﺭﺍ ﻧﺸﻨﺎﺳﺪ‪ ،‬ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻏﻴﺮﻗﺎﺑﻞ ﻗﺒﻮﻝ ﺗﻠﻘﻲ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﺍﻟﺤﺎﻗﻴﻪﻫﺎﻱ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﺩﺭ ﺳﻪ ﮔﺮﻭﻩ ﺍﺻﻠﻲ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪ :‬ﺍﻃﻼﻋﺎﺕ ﻛﻠﻴﺪ ﻭ ﺧﻂﻣﺸﻲ‪ ،‬ﻣﺸﺨﺼﺎﺕ ﺳﻮﮊﻩ ﻭ ﺻﺎﺩﺭﻛﻨﻨﺪﺓ‬
‫ﮔﻮﺍﻫﻲ‪ ،‬ﻭ ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﺭﻭﻧﺪ ﮔﻮﺍﻫﻲ ﻛﺮﺩﻥ‪.‬‬
‫‪١٤١‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺍﻃﻼﻋﺎﺕ ﻛﻠﻴﺪ ﻭ ﺧﻂﻣﺸﻲ‬
‫ﺍﻳﻦ ﺍﻟﺤﺎﻗﻴﻪﻫﺎ‪ ،‬ﺍﻃﻼﻋﺎﺕ ﺍﺿﺎﻓﻲ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﻠﻴﺪ ﺳﻮﮊﻩ ﻭ ﻛﻠﻴﺪ ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺭﺍ ﺣﻤﻞ ﻛﺮﺩﻩ ﻭ ﺑﻌﻼﻭﻩ ﻧﻤﺎﻳﺶﺩﻫﻨﺪﺓ‬
‫ﺧﻂﻣﺸﻲ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﺧﻂﻣﺸﻲ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺷﺎﻣﻞ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻗﻮﺍﻧﻴﻦ ﺗﺒﻴﻴﻦ ﺷﺪﻩ ﺑﻮﺩﻩ ﻛﻪ ﻧﻤﺎﻳﺶﺩﻫﻨﺪﺓ ﻗﺎﺑﻠﻴﺖ‬
‫ﻛﺎﺭﺑﺮﺩ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺩﺭ ﻳﻚ ﺟﻤﻌﻴﺖ ﺧﺎﺹ ﻭ ﻳﺎ ﺩﺳﺘﻪﺍﻱ ﺍﺯ ﻛﺎﺭﺑﺮﺩﻫﺎ ﺑﺎ ﻧﻴﺎﺯﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﺸﺘﺮﻙ ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﻳﻚ‬
‫ﻧﻮﻉ ﺧﻂﻣﺸﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﻗﺎﺑﻞ ﺍﻋﻤﺎﻝ ﺑﻪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺳﻨﺎﺩ ﻣﺎﻟﻲ ‪ (Electronic Data Interchange) EDI‬ﺑﺮﺍﻱ ﺗﺠﺎﺭﺕ‬
‫ﺍﻗﻼﻡ ﺩﺭ ﻣﺤﺪﻭﺩﺓ ﻗﻴﻤﺖ ﻣﺸﺨﺼﻲ ﺑﺎﺷﺪ‪.‬‬
‫ﺍﻳﻦ ﻧﺎﺣﻴﻪ ﺷﺎﻣﻞ ﺍﻗﻼﻡ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﺷﻨﺎﺳﺔ ﻛﻠﻴﺪ ‪ :CA‬ﻫﻮﻳﺖ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﺍﻣﻀﺎﺀ ﺩﺭ ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻭ ﻳﺎ ‪ CRL‬ﺑﻜﺎﺭ ﺭﻭﺩ ﺭﺍ ﺗﻌﻴﻴﻦ‬ ‫•‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎﻋﺚ ﻣﻲﺷﻮﺩ ﻛﻪ ﺑﺘﻮﺍﻥ ﺑﻴﻦ ﻛﻠﻴﺪﻫﺎﻱ ﻣﺘﻔﺎﻭﺕ ﻳﻚ ‪ CA‬ﻓﺮﻕ ﮔﺬﺍﺷﺖ‪ .‬ﻳﻜﻲ ﺍﺯ ﻣﻮﺍﺭﺩ ﺍﺳﺘﻌﻤﺎﻝ ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﺑﻪﺭﻭﺯ‬
‫ﺩﺭﺁﻭﺭﺩﻥ ﺯﻭﺝ ﻛﻠﻴﺪ ‪ CA‬ﺍﺳﺖ‪.‬‬
‫ﺷﻨﺎﺳﺔ ﻛﻠﻴﺪ ﺳﻮﮊﻩ‪ :‬ﻫﻮﻳﺖ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻛﻪ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺁﻥ ﺩﺭ ﺷﺮﻑ ﺻﺎﺩﺭﺷﺪﻥ ﺍﺳﺖ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﺑﻪ ﺭﻭﺯ‬ ‫•‬
‫ﺭﺳﺎﻧﺪﻥ ﻛﻠﻴﺪ ﺳﻮﮊﻩ ﻣﻔﻴﺪ ﺍﺳﺖ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻳﻚ ﺳﻮﮊﻩ ﻣﻤﻜﻦ ﺍﺳﺖ ﺟﻔﺖ ﻛﻠﻴﺪﻫﺎﻱ ﻣﺘﻌﺪﺩ ﻭ ﻧﻈﻴﺮﺁﻥ ﮔﻮﺍﻫﻲﻫﺎﻱ ﻣﺨﺘﻠﻒ‬
‫ﺑﺮﺍﻱ ﺍﻫﺪﺍﻑ ﻣﺘﻔﺎﻭﺕ )ﻣﺜﻞ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﻭ ﻣﻮﺍﻓﻘﺖ ﺩﺭ ﻣﻮﺭﺩ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ( ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﻣﻮﺍﺭﺩ ﺍﺳﺘﻌﻤﺎﻝ ﻛﻠﻴﺪ‪ :‬ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﺍﻋﻤﺎﻝ ﺷﺪﻩ‪ ،‬ﻧﻈﻴﺮ ﺍﻫﺪﺍﻓﻲ ﻛﻪ ﺑﺮﺍﻱ ﺁﻥ ﻭ ﺳﻴﺎﺳﺖﻫﺎﺋﻲ ﻛﻪ ﺗﺤﺖ ﺁﻥ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‬ ‫•‬
‫ﮔﻮﺍﻫﻲﺷﺪﻩ ﻣﻲﺗﻮﺍﻧﺪ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﺩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﺸﺎﻥﺩﻫﻨﺪﺓ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻣﻮﺭﺩ ﺯﻳﺮ ﺑﺎﺷﺪ‪:‬‬
‫ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ‪ ،‬ﻋﺪﻡ ﺍﻧﻜﺎﺭ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻳﺘﺎ‪ ،‬ﺗﻮﺍﻓﻖ ﻧﺴﺒﺖ ﺑﻪ ﻛﻠﻴﺪ‪ ،‬ﺗﺄﺋﻴﺪ ﺍﻣﻀﺎﺀ ‪ CA‬ﺩﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ‪ ،‬ﺗﺄﺋﻴﺪ ﺍﻣﻀﺎﺀ ‪CA‬‬
‫ﺩﺭ ‪CRL‬ﻫﺎ‪.‬‬
‫ﺩﻭﺭﺓ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ‪ :‬ﻣﺪﺕ ﺯﻣﺎﻥ ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻧﻈﻴﺮ ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫ﻣﻌﻤﻮﻻﹰ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺩﺭ ﻃﻮﻝ ﺩﻭﺭﻩﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺍﺯ ﺩﻭﺭﺓ ﺍﻋﺘﺒﺎﺭ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﻣﺜﻼﹰ ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﻛﻠﻴﺪﻫﺎﻱ‬
‫ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ‪ ،‬ﺯﻣﺎﻥ ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻣﻌﻤﻮﻻﹰ ﻛﻮﺗﺎﻫﺘﺮ ﺍﺯ ﺩﻭﺭﺓ ﺗﺄﺋﻴﺪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﺳﺖ‪.‬‬
‫ﺧﻂﻣﺸﻲﻫﺎﻱ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ‪ :‬ﺍﺯ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﻣﺤﻴﻂﻫﺎﺋﻲ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ ﻛﻪ ﺧﻂﻣﺸﻲﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺣﺎﻛﻢ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺍﻳﻦ ﺍﻟﺤﺎﻗﻴﻪ‪ ،‬ﺧﻂﻣﺸﻲﻫﺎﺋﻲ ﻛﻪ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺁﻧﻬﺎ ﺭﺍ ﺣﻤﺎﻳﺖ ﻣﻲﻛﻨﺪ ﺭﺍ ﻟﻴﺴﺖ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻧﮕﺎﺷﺖ ﺧﻂﻣﺸﻲﻫﺎ‪ :‬ﻓﻘﻂ ﺩﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﺋﻲ ﻛﻪ ﺑﺮﺍﻱ ﻳﻚ ‪ CA‬ﺍﺯ ﺳﻮﻱ ‪ CA‬ﺩﻳﮕﺮ ﺻﺎﺩﺭ ﻣﻲﺷﻮﺩ ﻛﺎﺭﺑﺮﺩ ﺩﺍﺭﺩ‪ .‬ﺍﻳﻦ‬ ‫•‬
‫ﺍﻟﺤﺎﻗﻴﻪ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﻳﻚ ‪ CA‬ﻧﺸﺎﻥ ﺩﻫﺪ ﻛﻪ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻣﻮﺭﺩ ﺍﺯ ﺧﻂﻣﺸﻲﻫﺎﻱ ﺁﻥ ﻣﻲﺗﻮﺍﻧﺪ ﻣﻌﺎﺩﻝ ﺧﻂﻣﺸﻲ ﺩﻳﮕﺮ‬
‫ﺩﺭ ﺣﻮﺯﺓ ‪ CA‬ﺳﻮﮊﻩ ﺑﺎﺷﺪ‪..‬‬
‫ﻣﺸﺨﺼﺎﺕ ﺳﻮﮊﻩ ﻭ ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ‬
‫ﺍﻳﻦ ﺍﻟﺤﺎﻗﻴﻪﻫﺎ ﺍﺯ ﻧﺎﻡﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺑﺎ ﻓﺮﻣﺖﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺑﺮﺍﻱ ﺳﻮﮊﺓ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻳﺎ ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺣﻤﺎﻳﺖ‬
‫ﻛﺮﺩﻩ ﻭ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺍﻃﻼﻋﺎﺕ ﺑﻴﺸﺘﺮﻱ ﺩﺭ ﻣﻮﺭﺩ ﺳﻮﮊﺓ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺭﺍ ﺍﻧﺘﻘﺎﻝ ﺩﺍﺩﻩ ﺗﺎ ﺍﺳﺘﻔﺎﺩﻩﻛﻨﻨﺪﻩ ﺍﺯ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺍﻋﺘﻤﺎﺩ ﺑﻴﺸﺘﺮﻱ ﻧﺴﺒﺖ‬
‫ﺑﻪ ﻳﻚ ﺷﺨﺺ ﻳﺎ ﻭﺍﺣﺪ ﺧﺎﺹ ﭘﻴﺪﺍ ﻛﻨﺪ‪ .‬ﻧﻤﻮﻧﻪﻫﺎﺋﻲ ﺍﺯ ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ‪ ،‬ﺁﺩﺭﺱ ﭘﺴﺘﻲ‪ ،‬ﻣﺴﺌﻮﻟﻴﺖ ﺳﺎﺯﻣﺎﻧﻲ ﻓﺮﺩ ﻭ ﻳﺎ ﺗﺼﻮﻳﺮ ﺍﻭﺳﺖ‪.‬‬
‫ﻣﻴﺪﺍﻥﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﭼﻨﻴﻦﺍﻧﺪ‪:‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٤٢‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻧﺎﻡﻫﺎﻱ ﺩﻳﮕﺮ ﺳﻮﮊﻩ‪ :‬ﺷﺎﻣﻞ ﻳﻚ ﻳﺎ ﭼﻨﺪﻧﺎﻡ ﺟﺎﻳﮕﺰﻳﻦ ﺍﺳﺖ ﻛﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﻓﺮﻡﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ .‬ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﺑﺮﺍﻱ‬ ‫•‬
‫ﺣﻤﺎﻳﺖ ﺍﺯ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﻣﺜﻞ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪ ،EDI ،‬ﻭ ‪ IPSec‬ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻓﺮﻡ ﻧﺎﻡﻫﺎﻳﺸﺎﻥ ﻣﺘﻔﺎﻭﺕ ﺑﺎﺷﻨﺪ‬
‫ﺍﻫﻤﻴﺖ ﺩﺍﺭﺩ‪.‬‬
‫ﻧﺎﻡﻫﺎﻱ ﺩﻳﮕﺮ ﺻﺎﺩﺭﻛﻨﻨﺪﻩ‪ :‬ﺷﺎﻣﻞ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻧﺎﻡ ﺟﺎﻳﮕﺰﻳﻦ ﺍﺳﺖ ﻛﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﻓﺮﻡﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬ ‫•‬
‫ﻣﺸﺨﺼﺎﺕ ﺳﻮﮊﻩ ﺩﺭ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ‪ :‬ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﻣﻄﻠﻮﺏ ﻣﺸﺨﺼﻪﻫﺎﻱ ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎﻱ ‪ X.500‬ﻛﻪ ﻣﺮﺑﻮﻁ ﺑﻪ ﺳﻮﮊﺓ ﺍﻳﻦ‬ ‫•‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺍﺳﺖ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﺭَﻭَﻧﺪ ﮔﻮﺍﻫﻲ ﻛﺮﺩﻥ‬

‫ﺍﻳﻦ ﺍﻟﺤﺎﻗﻴﻪﻫﺎ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﻨﺪ ﺗﺎ ﺍﻧﻮﺍﻉ ﻗﻴﻮﺩ ﺩﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﺻﺎﺩﺭﺷﺪﻩ ﺍﺯ ﻃﺮﻑ ﻳﻚ ‪ CA‬ﺑﺮﺍﻱ ‪ CA‬ﺩﻳﮕﺮ ﺩﺭﺝ ﮔﺮﺩﺩ‪.‬‬
‫ﺍﻳﻦ ﻣﺤﺪﻭﺩﻳﺖﻫﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﻮﻉ ﮔﻮﺍﻫﻲﻫﺎﺋﻲ ﺭﺍ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ﻃﺮﻑ ‪ CA‬ﺳﻮﮊﻩ ﺻﺎﺩﺭ ﮔﺮﺩﺩ ﻭ ﻳﺎ ﺁﻧﭽﻪ ﺭﺍ ﻛﻪ ﻣﺘﻌﺎﻗﺒﺎﹰ ﺩﺭ ﺯﻧﺠﻴﺮﺓ‬
‫ﮔﻮﺍﻫﻲﻫﺎ ﺭﺥ ﻣﻴﺪﻫﺪ ﻣﻘﻴﺪ ﺳﺎﺯﺩ‪.‬‬
‫ﻣﻴﺪﺍﻥﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﭼﻨﻴﻦﺍﻧﺪ‪:‬‬
‫ﻗﻴﻮﺩ ﺍﺻﻠﻲ‪ :‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺁﻳﺎ ﺳﻮﮊﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺼﻮﺭﺕ ﻳﻚ ‪ CA‬ﻋﻤﻞ ﻛﻨﺪ‪ .‬ﺍﮔﺮ ﭼﻨﻴﻦ ﺍﺳﺖ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﻣﺤﺪﻭﺩﻳﺘﻲ‬ ‫•‬
‫ﻧﺴﺒﺖ ﺑﻪ ﻃﻮﻝ ﻣﺴﻴﺮ ﮔﻮﺍﻫﻲ ﻛﺮﺩﻥ ﺗﻌﻴﻴﻦ ﮔﺮﺩﺩ‪.‬‬
‫ﻗﻴﻮﺩ ﻧﺎﻡﮔﺬﺍﺭﻱ‪ :‬ﻧﺸﺎﻥﺩﻫﻨﺪﺓ ﻓﻀﺎﻱ ﻧﺎﻡ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺁﻥ ﻧﺎﻡ ﺗﻤﺎﻡ ﺳﻮﮊﻩﻫﺎ‪ ،‬ﺩﺭ ﮔﻮﺍﻫﻲﻫﺎﻱ ﺁﺗﻲ ﻳﻚ ﻣﺴﻴﺮ ﮔﻮﺍﻫﻲ ﻛﺮﺩﻥ‬ ‫•‬
‫ﺑﺎﻳﺴﺘﻲ ﺟﺎﻱ ﮔﻴﺮﺩ‪.‬‬
‫ﻗﻴﻮﺩ ﺧﻂﻣﺸﻲﻫﺎ‪ :‬ﻣﺸﺨﺺﻛﻨﻨﺪﺓ ﻗﻴﻮﺩﻱ ﺍﺳﺖ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﻴﺎﺯ ﺑﻪ ﺗﻌﻴﻴﻦ ﺻﺮﻳﺢ ﺧﻂﻣﺸﻲﻫﺎ ﺩﺍﺷﺘﻪ ﻭ ﻳﺎ ﻣﺎﻧﻊ ﻧﮕﺎﺷﺖ‬ ‫•‬
‫ﺧﻂﻣﺸﻲ ﺩﺭ ﻣﺎﺑﻘﻲ ﻣﺴﻴﺮ ﮔﻮﺍﻫﻲ ﻛﺮﺩﻥ ﺷﻮﻧﺪ‪.‬‬
‫ﺯﻳﺮﺳﺎﺧﺖ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ )‪(PKI‬‬ ‫‪۴-۳‬‬

‫‪) RFC 2822‬ﻓﺮﻫﻨﮓ ﻟﻐﺎﺕ ﺍﻣﻨﻴﺘﻲ ﺍﻳﻨﺘﺮﻧﺖ(‪ ،‬ﺯﻳﺮﺳﺎﺧﺖ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ )‪ (Public-Key Infrastructure‬ﺭﺍ ﺑﺼﻮﺭﺕ‬
‫ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺳﺨﺖﺍﻓﺰﺍﺭﻫﺎ‪ ،‬ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎ‪ ،‬ﺁﺩﻡﻫﺎ‪ ،‬ﺳﻴﺎﺳﺖﻫﺎ ﻭ ﺭَﻭﻳﻪﻫﺎﻱ ﻻﺯﻡ ﺑﺮﺍﻱ ﺧﻠﻖ‪ ،‬ﻣﺪﻳﺮﻳﺖ‪ ،‬ﻧﮕﻬﺪﺍﺭﻱ‪ ،‬ﺗﻮﺯﻳﻊ ﻭ ﺍﺑﻄﺎﻝ‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ﺑﺮ ﻣﺒﻨﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻏﻴﺮﻣﺘﻘﺎﺭﻥ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﻫﺪﻑ ﺍﺻﻠﻲ ﺑﺮﭘﺎﺋﻲ ﻳﻚ ‪ PKI‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﺭﻭﺵ‬
‫ﺍﻣﻦ‪ ،‬ﺳﻬﻞ ﻭ ﺑﻬﺮﻩﻭﺭ ﺑﺮﺍﻱ ﺑﺪﺳﺖ ﺁﻭﺭﺩﻥ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺍﻳﺠﺎﺩ ﮔﺮﺩﺩ‪ .‬ﮔﺮﻭﻩ ﻛﺎﺭﻱ ﺯﻳﺮﺳﺎﺧﺖ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ‪ X.509‬ﺩﺭ ‪،IETF‬‬
‫ﻧﻴﺮﻭﻱ ﻣﺤﺮﻙ ﺍﻳﺠﺎﺩ ﻳﻚ ﻣﺪﻝ ﺭﺳﻤﻲ )ﻭ ﻋﻤﻮﻣﻲ( ﻣﺒﺘﻨﻲ ﺑﺮ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ‪ X.509‬ﺑﻮﺩﻩ ﺍﺳﺖ ﺗﺎ ﺳﺎﺧﺘﺎﺭﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺩﺭ‬
‫ﺍﻳﻨﺘﺮﻧﺖ ﺭﺍ ﺍﻳﺠﺎﺩ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۴-۷‬ﺭﺍﺑﻄﺔ ﺩﺭﻭﻧﻲ ﻋﻨﺎﺻﺮ ﻛﻠﻴﺪﻱ ﻣﺪﻝ ‪ PKIX‬ﺭﺍ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻋﻨﺎﺻﺮ ﺑﻪ ﻗﺮﺍﺭ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫ﻭﺍﺣﺪ ﺍﻧﺘﻬﺎﺋﻲ)‪ :(End entity‬ﻳﻚ ﺍﺻﻄﻼﺡ ﺭﺳﻤﻲ ﺑﺮﺍﻱ ﻣﺸﺨﺺ ﻛﺮﺩﻥ ﻛﺎﺭﺑﺮﺍﻥ ﺍﻧﺘﻬﺎﺋﻲ‪ ،‬ﺩﺳﺘﮕﺎﻩﻫﺎ )ﻣﺜﻞ ﺳِﺮﻭﺭ ﻭ‬ ‫•‬
‫ﻣﺴﻴﺮﻳﺎﺏ( ﻭ ﻳﺎ ﻫﺮ ﻣﻮﺟﻮﺩﻳﺖ ﺩﻳﮕﺮﻱ ﻛﻪ ﺑﺘﻮﺍﻧﺪ ﺩﺭ ﻣﻘﻮﻟﺔ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻳﺎﻓﺖ ﺷﻮﺩ‪.‬‬
‫ﻣﺴﺌﻮﻝ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ )‪ :(CA‬ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﻭ )ﻣﻌﻤﻮﻻﹰ( ﻟﻴﺴﺖ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﺍﺑﻄﺎﻝ ﺷﺪﻩ )‪ .(CRL‬ﺍﻳﻦ‬ ‫•‬
‫ﻣﻘﺎﻡ ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﻭﻇﺎﻳﻒ ﻣﺪﻳﺮﻳﺘﻲ ﺩﻳﮕﺮﻱ ﻧﻴﺰ ﺍﻧﺠﺎﻡ ﺩﻫﺪ‪ ،‬ﺍﮔﺮﭼﻪ ﺍﻏﻠﺐ ﺍﻳﻦ ﻭﻇﺎﻳﻒ ﺑﻪ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻣﺴﺌﻮﻝ‬
‫ﺛﺒﺖﻧﺎﻡ )‪ (Registeration Authority‬ﺗﻔﻮﻳﺾ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪١٤٣‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪PKI‬‬
‫‪users‬‬
‫‪Certificate/CRL retrieval‬‬
‫‪End entity‬‬
‫‪registeration,‬‬
‫‪Certificate/CRL Repository‬‬
‫‪initialization,‬‬
‫‪certification‬‬
‫‪Certificate‬‬ ‫‪key pair recovery,‬‬

‫‪publication‬‬ ‫‪key pair update,‬‬
‫‪Registeration‬‬ ‫‪revokation request‬‬
‫‪authority‬‬
‫‪Certificate‬‬
‫‪autority‬‬
‫‪Certificate/CRL‬‬
‫‪publication‬‬
‫‪Cross-certification‬‬
‫‪CRL issuer‬‬ ‫‪Certificate‬‬

‫‪CRL‬‬ ‫‪authority‬‬
‫‪publication‬‬
‫‪PKI‬‬
‫‪management‬‬
‫‪entities‬‬ ‫ﺷﻜﻞ ‪ ۴-۷‬ﻣﺪﻝ ﻣﻌﻤﺎﺭﻱ ‪PKIX‬‬
‫ﻣﺴﺌﻮﻝ ﺛﺒﺖﻧﺎﻡ )‪ :(RA‬ﻳﻚ ﻣﺆﻟﻔﺔ ﺍﺧﺘﻴﺎﺭﻱ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﻣﺴﺌﻮﻟﻴﺖ ﺑﺨﺸﻲ ﺍﺯ ﻭﻇﺎﻳﻒ ﻣﺪﻳﺮﻳﺘﻲ ‪ CA‬ﺭﺍ ﺑﻌﻬﺪﻩ ﮔﻴﺮﺩ‪.‬‬ ‫•‬
‫‪ RA‬ﺍﻏﻠﺐ ﻣﺴﺌﻮﻝ ﭘﺮﺩﺍﺯﺵ ﺛﺒﺖﻧﺎﻡ ﻭﺍﺣﺪﻫﺎﻱ ﺍﻧﺘﻬﺎﺋﻲ ﺑﻮﺩﻩ ﺍﻣﺎ ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﻣﺤﺪﻭﺩﻩﻫﺎﻱ ﺩﻳﮕﺮﻱ ﻧﻴﺰ ﻓﻌﺎﻟﻴﺖ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺻﺎﺩﺭﻛﻨﻨﺪﺓ )‪ :(CRL‬ﻳﻚ ﻣﺆﻟﻔﺔ ﺍﺧﺘﻴﺎﺭﻱ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ﺟﺎﻧﺐ ‪ CA‬ﺑﺮﺍﻱ ﺍﻧﺘﺸﺎﺭ ‪CRL‬ﻫﺎ ﻣﺄﻣﻮﺭ ﺷﻮﺩ‪.‬‬ ‫•‬
‫ﻣﺨﺰﻥ )‪ :(Repository‬ﻳﻚ ﺍﺻﻄﻼﺡ ﻋﺎﻡ ﻛﻪ ﺑﻪ ﻫﺮ ﻧﻮﻉ ﺭﻭﺵ ﻛﺎﺭﻱ ﺑﺮﺍﻱ ﺫﺧﻴﺮﻩ ﻧﻤﻮﺩﻥ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﻭ ‪CRL‬ﻫﺎ‬ ‫•‬
‫ﺍﺷﺎﺭﻩ ﺩﺍﺭﺩ‪ ،‬ﺑﻄﻮﺭﻱ ﻛﻪ ﺁﻧﻬﺎ ﺑﺘﻮﺍﻧﻨﺪ ﺍﺯ ﻃﺮﻳﻖ ﻭﺍﺣﺪﻫﺎﻱ ﺍﻧﺘﻬﺎﺋﻲ ﺩﺭﺧﻮﺍﺳﺖ ﮔﺮﺩﻧﺪ‪.‬‬
‫ﻭﻇﺎﻳﻒ ﻣﺪﻳﺮﻳﺘﻲ ‪PKIX‬‬

‫‪ PKIX‬ﺷﻤﺎﺭﻱ ﺍﺯ ﻭﻇﺎﻳﻒ ﻣﺪﻳﺮﻳﺘﻲ ﻛﻪ ﺣﺘﻤﺎﹰ ﻻﺯﻡ ﺍﺳﺖ ﺗﺎ ﺑﺘﻮﺳﻂ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻣﺪﻳﺮﻳﺘﻲ ﺣﻤﺎﻳﺖ ﺷﻮﻧﺪ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺍﻳﻨﻬﺎ‬
‫ﺩﺭ ﺷﻜﻞ ‪ ۴-۷‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩﺍﻧﺪ ﻭ ﺷﺎﻣﻞ ﺍﻗﻼﻡ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٤٤‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺛﺒﺖﻧﺎﻡ )‪ :(Registeration‬ﺍﻳﻦ ﻋﻤﻠﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺁﻥ ﺍﺑﺘﺪﺍﺀً ﻳﻚ ﻛﺎﺭﺑﺮ ﺧﻮﺩ ﺭﺍ ﺑﻪ ‪ CA‬ﻣﻲﺷﻨﺎﺳـﺎﻧﺪ )ﻣـﺴﺘﻘﻴﻤﺎﹰ ﻭ‬ ‫•‬
‫ﻳﺎ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ‪ .(RA‬ﺍﻳﻦ ﻋﻤﻞ ﺑﺎﻳﺴﺘﻲ ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ‪ CA‬ﻳـﻚ ﮔـﻮﺍﻫﻲﻧﺎﻣـﻪ ﻭ ﻳـﺎ ﮔـﻮﺍﻫﻲﻧﺎﻣـﻪﻫـﺎﺋﻲ ﺭﺍ ﺑـﺮﺍﻱ ﺁﻥ‬
‫ﻛﺎﺭﺑـــﺮ ﺻﺎﺩﺭ ﻛﻨﺪ‪ ،‬ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪ .‬ﺛﺒﺖﻧﺎﻡ ﺁﻏﺎﺯ ﻣﺮﺣﻠﺔ ﻋﻀﻮﺷﺪﻥ ﺩﺭ ﻳﻚ ‪ PKI‬ﺍﺳﺖ‪ .‬ﺛﺒﺖﻧـﺎﻡ ﻣﻌﻤـﻮﻻﹰ ﺷـﺎﻣﻞ ﻳـﻚ‬
‫ﺳﺮﻱ ﺭَﻭﻳﻪﻫﺎﻱ ﺑﺮﺧﻂ )‪ (on-line‬ﻳﺎ ﺑﺮﻭﻥ ﺧﻂ)‪ (off-line‬ﺑﺮﺍﻱ ﺍﺣﺮﺍﺯ ﻫﻮﻳﺖ ﻣﺘﻘﺎﺑﻞ ﺍﺳـﺖ‪ .‬ﻣﻌﻤـﻮﻻﹰ ﺑـﺮﺍﻱ ﻭﺍﺣـﺪ‬
‫ﺍﻧﺘﻬﺎﺋﻲ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﺸﺘﺮﻙ ﻛﻪ ﺩﺭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲﻫﺎﻱ ﺁﺗﻲ ﺑﻜﺎﺭ ﺧﻮﺍﻫﺪ ﺭﻓﺖ ﺻﺎﺩﺭ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺁﻏﺎﺯﻳﺪﻥ)‪ :(Initialization‬ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻛﻼﻳﻨﺖ ﺑﺘﻮﺍﻧﺪ ﺑﺼﻮﺭﺕ ﺍﻣﻦ ﻋﻤﻞ ﻧﻤﺎﻳﺪ‪ ،‬ﻻﺯﻡ ﺍﺳﺖ ﺗﺎ ﺍﻗﻼﻡ‬ ‫•‬
‫ﻛﻠﻴﺪ‪،‬ﻛﻪ ﺭﺍﺑﻄﺔ ﻣﻨﺎﺳﺒﻲ ﺑﺎ ﻛﻠﻴﺪﻫﺎﻱ ﺫﺧﻴﺮﻩ ﺷﺪﻩ ﺩﺭ ﻧﻮﺍﺣﻲ ﺩﻳﮕﺮ ﺯﻳﺮﺳﺎﺧﺖ ﺩﺍﺭﻧﺪ‪ ،‬ﺩﺭ ﺁﻥ ﻧﺼﺐ ﮔﺮﺩﻧﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‬
‫ﻻﺯﻡ ﺍﺳﺖ ﻛﻪ ﻛﻼﻳﻨﺖ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻭ ﺳﺎﻳﺮ ﺍﻃﻼﻋﺎﺕ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ‪ CA‬ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺗﺠﻬﻴﺰ ﻛﺮﺩ ﺗﺎ ﺑﺘﻮﺍﻧﺪ ﺩﺭ‬
‫ﺗﺄﺋﻴﺪ ﻣﺴﻴﺮ ﮔﻮﺍﻫﻲﻫﺎ ﺍﺯ ﺁﻧﻬﺎ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪.‬‬
‫ﺻﺪﻭﺭﮔﻮﺍﻫﻲﻧﺎﻣﻪ )‪ :(Certification‬ﺍﻳﻦ ﻣﺮﺣﻠﻪﺍﻱ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺁﻥ ‪ CA‬ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺑﺮﺍﻱ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻳﻚ‬ ‫•‬
‫ﻛﺎﺭﺑﺮ ﺻﺎﺩﺭ ﻧﻤﻮﺩﻩ ﻭ ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺭﺍ ﺑﻪ ﺳﻴﺴﺘﻢ ﻛﻼﻳﻨﺖ ﻛﺎﺭﺑﺮ ﺑﺮﮔﺮﺩﺍﻧﺪﻩ ﻭ‪ /‬ﻳﺎ ﺁﻥ ﺭﺍ ﺩﺭ ﻳﻚ ﻣﺨﺰﻥ ﻧﮕﺎﻩ ﻣﻲﺩﺍﺭﺩ‪.‬‬
‫ﺑﺎﺯﻳﺎﺑﻲ ﺟﻔﺖ ﻛﻠﻴﺪ )‪ :(Key pair recovery‬ﺟﻔﺖ ﻛﻠﻴﺪﻫﺎ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺮﺍﻱ ﺣﻤﺎﻳﺖ ﺍﺯ ﺧﻠﻖ ﻭ ﻳﺎ ﺗﺄﺋﻴﺪ ﺍﻣﻀﺎﺀ‬ ‫•‬
‫ﺩﻳﺠﻴﺘﺎﻝ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ‪/‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﻜﺎﺭ ﺭﻭﻧﺪ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﺟﻔﺖ ﻛﻠﻴﺪ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ‪/‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ ﻣﻬﻢ‬
‫ﺍﺳﺖ‪ ،‬ﺗﺎ ﺑﺮﺍﻱ ﺯﻣﺎﻧﻲ ﻛﻪ ﺩﻳﮕﺮ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺍﻗﻼﻡ ﻛﻠﻴﺪ ﻣﻴﺴﺮ ﻧﻴﺴﺖ‪ ،‬ﻣﻜﺎﻧﻴﺴﻤﻲ ﺑﺮﺍﻱ ﺑﺎﺯﻳﺎﺑﻲ ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫ﻻﺯﻡ ﺍﻳﺠﺎﺩ ﻛﺮﺩ‪ .‬ﺩﺭ ﻏﻴﺮ ﺍﻳﻨﺼﻮﺭﺕ ﺍﻣﻜﺎﻥ ﻧﺨﻮﺍﻫﺪ ﺩﺍﺷﺖ ﻛﻪ ﺩﺍﺩﻩﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺭﺍ ﺑﺎﺯﻳﺎﺑﻲ ﻧﻤﻮﺩ‪ .‬ﻋﺪﻡ ﺍﻣﻜﺎﻥ‬
‫ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻛﻠﻴﺪ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻌﻠﺖ ﻓﺮﺍﻣﻮﺵ ﻛﺮﺩﻥ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ‪PIN/‬ﻫﺎ‪ ،‬ﺧﺮﺍﺏ ﺷﺪﻥ ﺩﻳﺴﻚﻫﺎ‪ ،‬ﺻﺪﻣﻪ‬
‫ﻳﺎﻓﺘﻦ ﮊﺗﻮﻥﻫﺎﻱ ﺳﺨﺖﺍﻓﺰﺍﺭﻱ ﻭ ﻏﻴﺮﻩ ﺭﺥ ﺩﻫﺪ‪ .‬ﺑﺎﺯﻳﺎﺑﻲ ﺟﻔﺖ ﻛﻠﻴﺪ ﺑﻪ ﻭﺍﺣﺪﻫﺎﻱ ﺍﻧﺘﻬﺎﺋﻲ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﻛﻪ ﺟﻔﺖ‬
‫ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ‪/‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺧﻮﺩ ﺭﺍ ﺍﺯ ﻳﻚ ﺗﺴﻬﻴﻼﺕ ﻣﺴﺌﻮﻝ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻛﻠﻴﺪ ﺑﺎﺯﻳﺎﺑﻲ ﻧﻤﺎﻳﻨﺪ )ﻣﻌﻤﻮﻻﹰ ‪CA‬‬
‫ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻭﺍﺣﺪ ﺍﻧﺘﻬﺎﺋﻲ ﻣﺴﺌﻮﻝ ﺍﻳﻦ ﻛﺎﺭ ﺧﻮﺍﻫﺪ ﺑﻮﺩ(‪.‬‬
‫ﺑﻪﺭﻭﺯﺭﺳﺎﻧﻲ ﺟﻔﺖ ﻛﻠﻴﺪ )‪ :(Key pair update‬ﺗﻤﺎﻡ ﺟﻔﺖ ﻛﻠﻴﺪﻫﺎ ﻻﺯﻡ ﺍﺳﺖ ﺗﺎ ﺑﻄﻮﺭ ﻣﻨﻈﻢ ﺑﻪﺭﻭﺯﺭﺳﺎﻧﻲ ﺷﻮﻧﺪ‬ ‫•‬
‫)ﻳﻌﻨﻲ ﺑﺎ ﻳﻚ ﺟﻔﺖ ﻛﻠﻴﺪ ﺟﺪﻳﺪ ﺗﻌﻮﻳﺾ ﮔﺮﺩﻧﺪ( ﻭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﺟﺪﻳﺪﻱ ﺻﺎﺩﺭ ﮔﺮﺩﺩ‪ .‬ﺑﻪﺭﻭﺯﺭﺳﺎﻧﻲ ﻭﻗﺘﻲ ﻻﺯﻡ ﺍﺳﺖ‬
‫ﻛﻪ ﻃﻮﻝ ﻋﻤﺮ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺗﻤﺎﻡ ﺷﺪﻩ ﻭ ﻳﺎ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺑﺎﻃﻞ ﺷﻮﺩ‪.‬‬
‫ﺩﺭﺧﻮﺍﺳﺖ ﺍﺑﻄﺎﻝ )‪ :(Revokation request‬ﻳﻚ ﻓﺮﺩ ﻣﺴﺌﻮﻝ ﺑﻪ ﻳﻚ ‪ CA‬ﺍﻃﻼﻉ ﻣﻲﺩﻫﺪ ﻛﻪ ﺑﻪ ﺩﻟﻴﻞ ﺷﺮﺍﻳﻂ‬ ‫•‬
‫ﻏﻴﺮﻧﺮﻣﺎﻝ ﺑﻮﺟﻮﺩ ﺁﻣﺪﻩ ﺍﺑﻄﺎﻝ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺿﺮﻭﺭﻱ ﺍﺳﺖ‪ .‬ﺩﻻﻳﻞ ﺍﺑﻄﺎﻝ ﻣﻲﺗﻮﺍﻧﺪ ﻟﻮﺭﻓﺘﻦ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ‪ ،‬ﺗﻐﻴﻴﺮ ﺩﺭ‬
‫ﺭﻭﺵ ﭘﺬﻳﺮﺵ ﻭ ﻳﺎ ﺗﻐﻴﻴﺮ ﻧﺎﻡ ﺑﺎﺷﺪ‪.‬‬
‫ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﺗﻘﺎﻃﻌﻲ )‪ :(Cross certification‬ﺩﻭ ‪ CA‬ﺍﻃﻼﻋﺎﺗﻲ ﺭﺍ ﻣﺒﺎﺩﻟﻪ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﺑﺮﺍﻱ ﺻﺪﻭﺭ‬ ‫•‬
‫ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺗﻘﺎﻃﻌﻲ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺗﻘﺎﻃﻌﻲ‪ ،‬ﮔﻮﺍﻫﻲﻧﺎﻣﻪﺍﻱ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﺳﻮﻱ ﻳﻚ ‪ CA‬ﺑﺮﺍﻱ ‪CA‬‬
‫ﺩﻳﮕﺮ ﺻﺎﺩﺭ ﻣﻲﺷﻮﺩ ﻭ ﺷﺎﻣﻞ ﻳﻚ ﻛﻠﻴﺪ ﺍﻣﻀﺎﺀ ‪ CA‬ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪.‬‬
‫‪١٤٥‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻣﺪﻳﺮﻳﺘﻲ ‪PKIX‬‬
‫ﮔﺮﻭﻩ ﻛﺎﺭﻱ ‪ PKIX‬ﺩﻭ ﭘﺮﻭﺗﻜﻞ ﻣﺪﻳﺮﻳﺘﻲ ﺍﻧﺘﺨﺎﺑﻲ ﻣﺘﻔﺎﻭﺕ ﺑﻴﻦ ﺩﻭ ﻭﺍﺣﺪ ‪ PKIX‬ﺗﻌﺮﻳﻒ ﻛﺮﺩﻩ ﺍﺳﺖ ﻛﻪ ﻭﻇﺎﻳﻒ ﻣﺪﻳﺮﻳﺘﻲ ﻟﻴﺴﺖ‬
‫ﺷﺪﻩ ﺩﺭ ﺑﺨﺶ ﻗﺒﻞ ﺭﺍ ﺑﻌﻬﺪﻩ ﺩﺍﺭﻧﺪ‪ RFC 2510 .‬ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ‪certificate management protocol‬‬
‫)‪ (CMP‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ‪ ،CMP‬ﻫﺮﻳﻚ ﺍﺯ ﻭﻇﺎﻳﻒ ﻣﺪﻳﺮﻳﺘﻲ ﺑﻄﻮﺭ ﺻﺮﻳﺢ ﺑﺘﻮﺳﻂ ﻣﺒﺎﺩﻟﻪﻫﺎﻱ ﭘﺮﻭﺗﻜﻠﻲ ﻣﺸﺨﺺ ﺗﻌﺮﻳﻒ‬
‫ﺷﺪﻩ ﺍﺳﺖ‪ CMP .‬ﻃﻮﺭﻱ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ ﺗﺎ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺍﻧﻌﻄﺎﻑﭘﺬﻳﺮ ﺑﻮﺩﻩ ﻭ ﺑﺘﻮﺍﻧﺪ ﻧﻴﺎﺯﻫﺎﻱ ﻣﺪﻝﻫﺎﻱ ﻣﺘﻨﻮﻉ ﻓﻨﻲ‪ ،‬ﻋﻤﻠﻴﺎﺗﻲ ﻭ‬
‫ﺗﺠﺎﺭﻱ ﺭﺍ ﺑﺮﺁﻭﺭﺩﻩ ﺳﺎﺯﺩ‪ RFC 2797 .‬ﭘﻴﺎﻡﻫﺎﻱ ﻣﺪﻳﺮﻳﺘﻲ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﺭﻭﻱ ‪ (CMC) CMS‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ ﻛﻪ ‪ CMS‬ﺑﻪ‬
‫‪ RFC 2797‬ﻛﻪ ﺳﺎﺧﺘﺎﺭ ﭘﻴﺎﻡﻫﺎﻱ ﺭﻣﺰﻱ ﺍﺳﺖ‪ ،‬ﺍﺷﺎﺭﻩ ﺩﺍﺭﺩ‪ CMC .‬ﺑﺮ ﻣﺒﻨﺎﻱ ﻛﺎﺭﻫﺎﻱ ﺍﺑﺘﺪﺍﺋﻲﺗﺮ ﺳﺎﺧﺘﻪ ﺷﺪﻩ ﻭ ﺑﻤﻨﻈﻮﺭ ﺍﻋﻤﺎﻝ ﺑﻪ‬
‫ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﺩﺭ ‪ CMC‬ﺍﮔﺮﭼﻪ ﺗﻤﺎﻡ ﻋﻤﻠﻴﺎﺕ ‪ PKIX‬ﻣﻮﺭﺩ ﺣﻤﺎﻳﺖﺍﻧﺪ ﻭﻟﻲ ﺗﻤﺎﻡ ﻭﻇﺎﻳﻒ ﺑﻪ ﻣﺒﺎﺩﻻﺕ‬
‫ﭘﺮﻭﺗﻜﻠﻲ ﻣﺸﺨﺺ ﻧﮕﺎﺷﺖ ﻧﻤﻲﺷﻮﻧﺪ‪.‬‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۴-۴‬‬
‫ﻳﻚ ﺭﺍﻩ ﺑﺪﻭﻥ ﺩﺭﺩﺳﺮ ﺑﺮﺍﻱ ﺩﺭﻙ ﻣﻔﺎﻫﻴﻢ ‪ Kerberos‬ﺭﺟﻮﻉ ﺑﻪ ]‪ [BRYA88‬ﺍﺳﺖ‪ .‬ﻳﻜﻲ ﺍﺯ ﺑﻬﺘﺮﻳﻦ ﻣﺮﺍﺟﻊ ‪[KOHL94] Kerberos‬‬
‫ﻣﻲﺑﺎﺷﺪ‪ Kerberos [TUNG99] .‬ﺭﺍ ﺍﺯ ﻧﻘﻄﺔ ﻧﻈﺮ ﻳﻚ ﻛﺎﺭﺑﺮ ﺗﻮﺻﻴﻒ ﻛﺮﺩﻩ ﺍﺳﺖ‪.‬‬
‫]‪ [PERL99‬ﻣﺪﻝﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺍﻋﺘﻤﺎﺩ ﻛﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺩﺭ ‪ PKI‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﺪ‪ [GUTM02] .‬ﻣﺸﻜﻼﺕ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ PKI‬ﺭﺍ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﻭ ﭘﻴﺸﻨﻬﺎﺩﺍﺗﻲ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﻳﻚ ‪ PKI‬ﻣﺆﺛﺮ ﺭﺍ ﺍﺭﺍﺋﻪ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪BRYA88 Bryant,W. Designing an Authentication System: A Dialogue in Four Scenes. Project‬‬

‫‪Athena document,February 1988. Available at‬‬
‫‪http://web.mit.edu/kerberos/www/dialogue.html.‬‬
‫‪GUTM02 Gutmann, P."PKI: It`s Not Dead, Just Resting." Computer, August 2002.‬‬
‫‪KOHL94 Kohl,J.; Neuman, B.; and Ts'o,T.” The Evolution of the Kerberos Authentication‬‬
‫‪Service.” in Brazier, F.,and Johansen,D. Distributed Open Systems. Los Alamitos,CA:IEEE‬‬
‫‪Computer Society Press,1994. Available at http://web.mit.edu/kerberos/www/papers.html.‬‬
‫‪PERL99 Perlman, R. "An Overview of PKI Trust Models." IEEE Network, November/December‬‬
‫‪1999.‬‬
‫‪TUNG99 Tung,B. Kerberos: A network Authentication System. Reading, MA: Addison-‬‬
‫‪Wesley,1999.‬‬
‫‪ :MIT Kerberos Site‬ﺍﻃﻼﻋﺎﺗﻲ ﺩﺭ ﺑﺎﺭﺓ ‪ Kerberos‬ﻛﻪ ﺷﺎﻣﻞ ‪ ،FAQ‬ﻣﻘﺎﻟﻪﻫﺎ ﻭ ﺍﺳﻨﺎﺩ ﻭ ﺍﺷﺎﺭﻩ ﺑﻪ ﺳﺎﻳﺖﻫﺎﻱ ﻣﺤﺼﻮﻻﺕ‬ ‫•‬
‫ﺗﺠﺎﺭﻱ ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٤٦‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ :USC/ISI Kerberos Page‬ﻳﻚ ﻣﻨﺒﻊ ﺧﻮﺏ ﺩﻳﮕﺮ ﺍﺯ ﻣﻮﺍﺭﺩ ﻣﺮﺑﻮﻁ ﺑﻪ ‪..Kerberos‬‬ ‫•‬
‫‪ :Kerberos Working Group‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺩﺭ ﺣﺎﻝ ﺗﻮﺳﻌﻪ ﻣﺒﺘﻨﻲ ﺑﺮ ‪ Kerberos‬ﮔﺮﻭﻩ ‪..IETF‬‬ ‫•‬
‫‪ :Public-Key Infrastructure Working Group‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺩﺭ ﺣﺎﻝ ﺗﻮﺳﻌﺔ ﻣﺒﺘﻨﻲ ﺑﺮ ‪ X.509v3‬ﮔﺮﻭﻩ ‪..IETF‬‬ ‫•‬
‫‪ :Verisign‬ﻳﻚ ﻓﺮﻭﺷﻨﺪﺓ ﺗﺠﺎﺭﻱ ﭘﻴﺸﺘﺎﺯ ﻣﺤﺼﻮﻻﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ‪ . X.509‬ﻣﻘﺎﻻﺕ ﻭ ﺳﺎﻳﺮ ﻣﻄﺎﻟﺐ ﺍﺭﺯﻧﺪﻩ ﺩﺭ ﺍﻳﻦ ﺳﺎﻳﺖ‪.‬‬ ‫•‬
‫‪ :NIST PKI Program‬ﻳﻚ ﻣﻨﺒﻊ ﺍﻃﻼﻋﺎﺗﻲ ﺧﻮﺏ‪.‬‬ ‫•‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۴-۵‬‬
‫‪authentication‬‬ ‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬ ‫‪public – key certificate‬‬ ‫ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬

‫)‪authentication server (AS‬‬ ‫ﺳِﺮﻭﺭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬ ‫‪realm‬‬ ‫ﻗﻠﻤﺮﻭ‬
‫‪Kerberos‬‬ ‫ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻌﺮﻭﻑ‬ ‫‪sequence number‬‬ ‫ﺷﻤﺎﺭﺓ ﺭﺩﻳﻒ‬
‫‪Kerberos realm‬‬ ‫ﻗﻠﻤﺮﻭ ‪Kerberos‬‬ ‫‪subkey‬‬ ‫ﺯﻳﺮﻛﻠﻴﺪ‬
‫‪lifetime‬‬ ‫ﻃﻮﻝ ﻋﻤﺮ‬ ‫‪ticket‬‬ ‫ﺑﻠﻴﺖ‬
‫‪nonce‬‬ ‫ﺣﺎﻝ ﻓﻌﻠﻲ‬ ‫ﺳِﺮﻭﺭ ﺍﻋﻄﺎﻛﻨﻨﺪﺓ ﺑﻠﻴﺖ )‪ticket–granting server (TGS‬‬
‫‪propagating cipher block chaining (PCBC) mode‬‬ ‫‪X.509 certificate.‬‬ ‫ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ‪X.509‬‬
‫ﻣُﻮﺩ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺍﻧﺘﺸﺎﺭﻳﺎﺑﻨﺪﻩ‬
‫‪ Kerberos‬ﺑﺮﺍﻱ ﭘﺎﺳﺦﮔﻮﺋﻲ ﺑﻪ ﭼﻪ ﻣﺸﻜﻠﻲ ﻃﺮﺍﺣﻲ ﮔﺮﺩﻳﺪ؟‬ ‫‪۴-۱‬‬

‫ﺳﻪ ﺗﻬﺪﻳﺪﻱ ﻛﻪ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﺎﺭﺑﺮ ﺭﻭﻱ ﻳﻚ ﺷﺒﻜﻪ ﻭ ﻳﺎ ﺍﻳﻨﺘﺮﻧﺖ ﺍﺳﺖ‪ ،‬ﻛﺪﺍﻣﻨﺪ؟‬ ‫‪۴-۲‬‬
‫ﺳﻪ ﺭﻭﺵ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﺎﺭﺑﺮ ﺩﺭ ﻳﻚ ﻣﺤﻴﻂ ﺗﻮﺯﻳﻊ ﺷﺪﻩ ﺭﺍ ﺍﻣﻨﻴﺖ ﺑﺨﺸﺪ‪ ،‬ﻛﺪﺍﻣﻨﺪ؟‬ ‫‪۴-۳‬‬
‫ﭼﻬﺎﺭ ﻧﻴﺎﺯﻱ ﻛﻪ ﺑﺮﺍﻱ ‪ Kerberos‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻛﺪﺍﻣﻨﺪ؟‬ ‫‪۴-۴‬‬
‫ﻛﺪﺍﻡ ﺍﻗﻼﻡ‪ ،‬ﻳﻚ ﻣﺤﻴﻂ ‪ full- service Kerberos‬ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﻨﺪ؟‬ ‫‪۴-۵‬‬
‫ﺩﺭ ﺑﺴﺘﺮ ‪ ،Kerberos‬ﻳﻚ ﻗﻠﻤﺮﻭ ﭼﻴﺴﺖ؟‬ ‫‪۴-۶‬‬
‫ﺗﻔﺎﻭﺕﻫﺎﻱ ﻋﻤﺪﺓ ﻧﺴﺨﻪﻫﺎﻱ ﭼﻬﺎﺭﻡ ﻭ ﭘﻨﺠﻢ ‪ Kerberos‬ﻛﺪﺍﻣﻨﺪ؟‬ ‫‪۴-۷‬‬
‫ﻫﺪﻑ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ‪ X.509‬ﭼﻴﺴﺖ؟‬ ‫‪۴-۸‬‬
‫ﻳﻚ ﺯﻧﺠﻴﺮﻩ ﮔﻮﺍﻫﻲﻫﺎ ﭼﻴﺴﺖ؟‬ ‫‪۴-۹‬‬
‫ﭼﮕﻮﻧﻪ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ‪ X.509‬ﺑﺎﻃﻞ ﻣﻲﺷﻮﺩ؟‬ ‫‪۴-۱۰‬‬
‫‪١٤٧‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ ۴- ۱‬ﻧﺸﺎﻥ ﺩﻫﻴﺪ ﻛﻪ ﺩﺭ ﻣُﻮﺩ ‪ ،PCBC‬ﻳﻚ ﺧﻄﺎﻱ ﺗﺼﺎﺩﻓﻲ ﺩﺭ ﻳﻚ ﺑﻠﻮﻙ ﻣﺘﻦ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺑﻪ ﺗﻤﺎﻡ ﺑﻠـﻮﻙﻫـﺎﻱ ﺑﻌـﺪﻱ ﻣـﺘﻦ‬
‫ﺳﺎﺩﻩ ﮔﺴﺘﺮﺵ ﻣﻲﻳﺎﺑﺪ)ﺷﻜﻞ ‪.(۴-۹‬‬
‫ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﺩﺭ ﻣُﻮﺩ ‪ ،PCBC‬ﺑﻠﻮﻙﻫﺎﻱ ‪ Ci‬ﻭ ‪ Ci+1‬ﺩﺭ ﻫﻨﮕﺎﻡ ﺍﻧﺘﻘﺎﻝ ﺑﺎﻫﻢ ﻋﻮﺽ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻧﺸﺎﻥ ﺩﻫﻴﺪ ﻛـﻪ ﺍﻳـﻦ ﺍﻣـﺮ‬ ‫‪۴-۲‬‬
‫ﻓﻘﻂ ﺑﻠﻮﻙﻫﺎﻱ ﺭﻣﺰﮔﺸﺎﺋﻲﺷﺪﻩ ‪ Pi‬ﻭ ‪ Pi+1‬ﺭﺍ ﺗﺤﺖ ﺗﺄﺛﻴﺮ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﻭ ﺑﻪ ﺑﻠﻮﻙﻫﺎﻱ ﺩﻳﮕﺮ ﻛﺎﺭﻱ ﻧﺪﺍﺭﺩ‪.‬‬
‫ﺭﻭﺵ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﻭﻟﻴﺔ ‪ X.509‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺩﺭ ﺷﻜﻞ ‪۴-۶‬ﺝ ﺩﺍﺭﺍﻱ ﻳﻚ ﻧﻘﺺ ﺍﻣﻨﻴﺘـﻲ ﺍﺳـﺖ‪ .‬ﺟـﻮﻫﺮ ﭘﺮﻭﺗﻜـﻞ ﭼﻨـﻴﻦ‬ ‫‪۴-۳‬‬
‫ﺍﺳﺖ‪:‬‬
‫‪A → B:‬‬ ‫} ‪A { tA, rA, IDB‬‬
‫‪B → A:‬‬ ‫} ‪B { tB, rB, IDA, rA‬‬
‫‪A → B:‬‬ ‫} ‪A { rB‬‬
‫ﻣﺘﻦ ‪ X.509‬ﭼﻨﻴﻦ ﺑﻴﺎﻥ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﺮﭼﺴﺐﻫﺎﻱ ﺯﻣﺎﻧﻲ ‪ tA‬ﻭ ‪ tB‬ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺳﻪ‪ -‬ﺳﻮﻳﻪ ﺍﺧﺘﻴﺎﺭﻱ ﻫـﺴﺘﻨﺪ‪ .‬ﺍﻣـﺎ‬
‫ﻣﺜﺎﻝ ﺯﻳﺮ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪ :‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ‪ A‬ﻭ ‪ B‬ﭘﺮﻭﺗﻜﻞ ﻗﺒﻞ ﺭﺍ ﺩﺭ ﻣﻮﺭﺩﻱ ﻗﺒﻼﹰ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻭ ﺩﺷﻤﻦ ‪ C‬ﺳﻪ ﭘﻴﺎﻡ ﻗﺒﻠﻲ‬
‫ﺭﺍ ﺷﻨﻮﺩ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﺍﺯ ﺑﺮﭼﺴﺐﻫﺎ ﺍﺳﺘﻔﺎﺩﻩ ﻧﺸﺪﻩ ﻭ ﻫﻤﺔ ﺁﻧﻬﺎ ﻣـﺴﺎﻭﻱ ‪ 0‬ﻗـﺮﺍﺭﺩﺍﺩﻩ ﺷـﺪﻩﺍﻧـﺪ‪.‬‬
‫ﺑﺎﻻﺧﺮﻩ ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ‪ C‬ﻋﻼﻗﻪﻣﻨﺪ ﺍﺳﺖ ﺗﺎ ﻧﺰﺩ ‪ B‬ﺧﻮﺩ ﺭﺍ ﺑﺠﺎﻱ ‪ A‬ﺟﺎ ﺑﺰﻧﺪ‪ C .‬ﺩﺭ ﺍﺑﺘﺪﺍ ﺍﻭﻟـﻴﻦ ﭘﻴـﺎﻡ ﺩﺯﺩﻳـﺪﻩ ﺷـﺪﻩ ﺭﺍ‬
‫ﺑﺮﺍﻱ ‪ B‬ﻣﻲﻓﺮﺳﺘﺪ‪:‬‬
‫‪C → B:‬‬ ‫} ‪A { 0, rA, IDB‬‬
‫‪ B‬ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﻓﻜﺮ ﻣﻲﻛﻨﺪ ﺑﺎ ‪ A‬ﺻﺤﺒﺖ ﻣﻲﻛﻨﺪ‪ ،‬ﺟﻮﺍﺏ ‪ C‬ﺭﺍ ﭼﻨﻴﻦ ﻣﻲﺩﻫﺪ‪:‬‬
‫‪B → C:‬‬ ‫} ‪B{ 0, r'B, IDA, rA‬‬
‫‪ C‬ﺩﺭ ﻫﻤﻴﻦ ﺣﺎﻝ ﺑﻨﺤﻮﻱ ‪ A‬ﺭﺍ ﻭﺍﻣﻴﺪﺍﺭﺩ ﺗﺎ ﺑﻪ ﺍﺣﺮﺍﺯ ﻫﻮﻳﺖ ‪ C‬ﺑﭙﺮﺩﺍﺯﺩ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ‪ A‬ﭘﻴﺎﻡ ﺯﻳﺮ ﺭﺍ ﺑﺮﺍﻱ ‪ C‬ﻣﻲﻓﺮﺳﺘﺪ‪:‬‬
‫‪A → C:‬‬ ‫} ‪A { 0, r'A, IDC‬‬
‫‪ C‬ﺑﻪ ‪ A‬ﭘﺎﺳﺦ ﻣﻲﺩﻫﺪ ﻭ ﺍﺯ ﻫﻤﺎﻥ ‪ nonce‬ﻛﻪ ﺗﻮﺳﻂ ‪ B‬ﺑﺮﺍﻱ ‪ C‬ﺗﻬﻴﻪ ﺷﺪﻩ ﺑﻮﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪C → A:‬‬ ‫} ‪C{0, r'B, A, r'A‬‬
‫‪ A‬ﭼﻨﻴﻦ ﭘﺎﺳﺦ ﻣﻲﺩﻫﺪ‪:‬‬
‫‪A → C:‬‬ ‫} ‪A { r'B‬‬
‫ﺍﻳﻦ ﻫﻤﺎﻥ ﭼﻴﺰﻱ ﺍﺳﺖ ﻛﻪ ‪ C‬ﻻﺯﻡ ﺩﺍﺭﺩ ﺗﺎ ‪ B‬ﺭﺍ ﻣﺘﻘﺎﻋﺪ ﺳﺎﺯﺩ ﻛﻪ ﺩﺍﺭﺩ ﺑﺎ ‪ A‬ﺻﺤﺒﺖ ﻣﻲﻛﻨـﺪ‪ ،‬ﻭ ﺑﻨـﺎﺑﺮﺍﻳﻦ ‪ C‬ﺍﻛﻨـﻮﻥ ﭘﻴـﺎﻡ‬
‫ﻭﺭﻭﺩﻱ ﺭﺍ ﺑﺮﺍﻱ ‪ B‬ﭘﺲ ﻣﻲﻓﺮﺳﺘﺪ‪:‬‬
‫‪C → B:‬‬ ‫} ‪A { r'B‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ‪ B‬ﺑﺎﻭﺭ ﺧﻮﺍﻫﺪ ﻛﺮﺩ ﻛﻪ ﺩﺍﺭﺩ ﺑﺎ ‪ A‬ﺻﺤﺒﺖ ﻣﻲﻛﻨﺪ ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﺩﺭ ﻭﺍﻗﻊ ﺩﺍﺭﺩ ﺑﺎ ‪ C‬ﺻﺤﺒﺖ ﻣﻲﻛﻨـﺪ‪ .‬ﻳـﻚ ﺭﺍﻩ‬
‫ﺣﻞ ﺳﺎﺩﻩ ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﺸﻜﻞ ﭘﻴﺪﺍ ﻛﻨﻴﺪ ﻛﻪ ﻧﻴﺎﺯﻱ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺑﺮﭼﺴﺐﻫﺎﻱ ﺯﻣﺎﻧﻲ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫‪ X.509‬ﺩﺭ ﻧﺴﺨﺔ ﺳﺎﻝ ‪ ،۱۹۹۸‬ﺧﻮﺍﺻﻲ ﻛﻪ ﺑﺎﻳﺪ ﻛﻠﻴﺪﻫﺎﻱ ‪ RSA‬ﺩﺍﺷﺘﻪ ﺗﺎ ﺍﻣﻦ ﺑﺎﺷﻨﺪ‪ ،‬ﺑﺮ ﺍﺳﺎﺱ ﻣﻌﻠﻮﻣﺎﺕ ﻓﻌﻠﻲ ﺩﺭ ﻣﻮﺭﺩ‬ ‫‪۴-۴‬‬
‫ﺳﺨﺖ ﺑﻮﺩﻥ ﺑﻪ ﻓﺎﻛﺘﻮﺭ ﺩﺭﺁﻭﺭﺩﻥ ﺍﻋﺪﺍﺩ ﺑﺰﺭﮒ‪ ،‬ﺭﺍ ﺩﺭﺝ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺑﺤﺚ ﺑﺎ ﻗﺮﺍﺭ ﺩﺍﺩﻥ ﻳﻚ ﻣﺤﺪﻭﺩﻳﺖ ﺩﺭ ﻧﻤﺎﻱ ﻋﻤﻮﻣﻲ ﻭ‬
‫ﻣﺪﻭﻝ ‪ n‬ﭼﻨﻴﻦ ﭘﺎﻳﺎﻥ ﻣﻲﭘﺬﻳﺮﺩ‪:.‬‬
‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٤٨‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺑﺎﻳﺴﺘﻲ ﺍﻃﻤﻴﻨﺎﻥ ﻳﺎﻓﺖ ﻛﻪ )‪ e > log2(n‬ﺍﺳﺖ ﺗﺎ ﺑﺘﻮﺍﻥ ﺍﺯ ﺣﻤﻼﺕ ﺑﺎ‬

‫ﮔﺮﻓﺘﻦ ﺭﻳﺸﺔ ‪ e‬ﺍﻡ ‪ mod n‬ﺑﻪ ﻣﻨﻈﻮﺭ ﺍﻓﺸﺎﻛﺮﺩﻥ ﻣﺘﻦ ﺳﺎﺩﻩ ﺟﻠﻮﮔﻴﺮﻱ ﻛﺮﺩ‪.‬‬
‫ﺍﮔﺮﭼﻪ ﺍﻳﻦ ﻗﻴﺪ ﺻﺤﻴﺢ ﺍﺳﺖ ﻭﻟﻲ ﺩﻟﻴﻞ ﺍﺭﺍﺋﻪ ﺷﺪﻩ ﺑﺮﺍﻱ ﻧﻴﺎﺯ ﺑﻪ ﺁﻥ ﻧﺎﺻﺤﻴﺢ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﺍﺳﺘﺪﻻﻝ ﭼﻪ ﻣﺸﻜﻠﻲ ﻧﻬﻔﺘﻪ ﺍﺳﺖ‬
‫ﻭ ﺍﺳﺘﺪﻻﻝ ﺻﺤﻴﺢ ﭼﻴﺴﺖ؟‬
‫ﺗﻜﻨﻴﻚﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪KERBEROS‬‬ ‫ﺿﻤﻴﻤﺔ ‪ -۴‬ﺍﻟﻒ‬
‫‪ Kerberos‬ﺷﺎﻣﻞ ﻳﻚ ﻛﺘﺎﺑﺨﺎﻧﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﻋﻤﻠﻴﺎﺕ ﻣﺘﻨﻮﻋﻲ ﺭﺍ ﻛﻪ ﺑﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺮﺑﻮﻁ ﻣﻲﺷﻮﺩ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻨﻬﺎ‬
‫ﺩﺭ ﻣﺸﺨﺼﻪﻫﺎﻱ ﻧﺴﺨﺔ ﭘﻨﺠﻢ ‪ Kerberos‬ﮔﻨﺠﺎﻧﺪﻩ ﺷﺪﻩ ﺑﻮﺩﻧﺪ ﻭ ﻣﻌﻤﻮﻻﹰ ﺩﺭ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎﻱ ﺗﺠﺎﺭﻱ ﻳﺎﻓﺖ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺩﺭ ﻓﻮﺭﻳﺔ ﺳﺎﻝ‬
‫‪RFC ،۲۰۰۵‬ﻫﺎﻱ ‪ 3961‬ﻭ ‪ 3962‬ﺍﻧﺘﺸﺎﺭ ﻳﺎﻓﺘﻨﺪ ﻛﻪ ﻣﻮﺍﺭﺩ ﺍﺧﺘﻴﺎﺭﻱ ﺗﻜﻨﻴﻚﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ ﺗﻮﺳﻌﻪ ﻣﻲﺩﻫﻨﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﺿﻤﻴﻤﻪ‪،‬‬
‫ﺗﻜﻨﻴﻚﻫﺎﻱ ‪ RFC 1510‬ﺭﺍ ﺷﺮﺡ ﻣﻲﺩﻫﻴﻢ‪.‬‬
‫ﺗﺒﺪﻳﻞ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‪ -‬ﺑﻪ‪ -‬ﻛﻠﻴﺪ‬

‫ﺩﺭ ‪ ،Kerberos‬ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﺤﺪﻭﺩ ﺑﻪ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﺋﻲ ﻫﺴﺘﻨﺪﻛﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺎ ﻓﺮﻣﺖ ‪ -۷‬ﺑﻴﺘﻲ ‪ ASCII‬ﻧﻤﺎﻳﺶ ﺩﺍﺩﻩ ﺷﻮﻧﺪ‪ .‬ﺍﻳﻦ‬
‫ﻛﻠﻤﻪ ﻋﺒﻮﺭ‪ ،‬ﻛﻪ ﺩﺍﺭﺍﻱ ﻃﻮﻝ ﺩﻟﺨﻮﺍﻫﻲ ﺍﺳﺖ‪ ،‬ﺑﻪ ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺗﺒﺪﻳﻞ ﺷﺪﻩ ﻛﻪ ﺩﺭ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﺓ ‪ Kerberos‬ﺫﺧﻴﺮﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺷﻜﻞ ‪ ۴-۸‬ﺭﻭﺵ ﻛﺎﺭ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺍﺑﺘﺪﺍ ﺩﻧﺒﺎﻟﺔ ﻛﺎﺭﺍﻛﺘﺮﻫﺎ‪ ،s ،‬ﺑﺼﻮﺭﺕ ﻳﻚ ﺩﻧﺒﺎﻟﺔ ﺑﻴﺖﻫﺎ‪ ،b ،‬ﺩﺭ ﻣﻲﺁﻳﺪ ﺑﻄﻮﺭﻱ ﻛﻪ ﺍﻭﻟﻴﻦ ﻛﺎﺭﺍﻛﺘﺮ ﺩﺭ ﺍﻭﻟﻴﻦ ‪ ۷‬ﺑﻴﺖ‪ ،‬ﺩﻭﻣﻴﻦ‬
‫ﻛﺎﺭﺍﻛﺘﺮ ﺩﺭ ﺩﻭﻣﻴﻦ ‪ ۷‬ﺑﻴﺖ ﻭ ‪ . . .‬ﺟﺎﻱ ﺩﺍﺩﻩ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﭼﻨﻴﻦ ﻧﺸﺎﻥ ﺩﺍﺩ‬
‫]‪b[0] = bit 0 of s[0‬‬

‫‪.‬‬ ‫‪.‬‬
‫]‪b[6] = bit 6 of s[0‬‬
‫]‪b[7] = bit 0 of s[1‬‬
‫‪.‬‬ ‫‪.‬‬
‫]‪b[7i + m] = bit m of s[i‬‬ ‫‪0≤m≤6‬‬
‫ﺳﭙﺲ ﺩﻧﺒﺎﻟﺔ ﺑﻴﺖﻫﺎ ﺑﺼﻮﺭﺕ ﺑﺎﺩﺑﺰﻧﻲ ﺑﻪ ﻳﻚ ﺩﻧﺒﺎﻟﺔ ‪ -۵۶‬ﺑﻴﺘﻲ ﺗﺒﺪﻳﻞ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﺍﮔﺮ ﺩﻧﺒﺎﻟﺔ ﺑﻴﺖﻫﺎ ﺩﺍﺭﺍﻱ ﻃﻮﻝ‬
‫‪ ۵۹‬ﺑﺎﺷﺪ ﺁﻧﮕﺎﻩ‬
‫]‪b[55] = b[55] ⊕ b[56‬‬
‫]‪b[54] = b[54] ⊕ b[57‬‬
‫]‪b[53] = b[53] ⊕ b[58‬‬
‫ﺍﻳﻦ ﻳﻚ ﻛﻠﻴﺪ ‪ -۵۶‬ﺑﻴﺘﻲ ‪ DES‬ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﺑﺎ ﻓﺮﻣﺖ ﻣﻮﺭﺩ ﺍﻧﺘﻈﺎﺭ ﻛﻠﻴﺪ ‪ -۶۴‬ﺑﻴﺘﻲ ﻫﻤﺨﻮﺍﻥ ﺑﺎﺷﺪ‪ ،‬ﺑﺎ ﺍﻳﻦ ﺩﻧﺒﺎﻟﻪ‬
‫ﺑﺼﻮﺭﺕ ﻳﻚ ﺭﺩﻳﻒ ﺍﺯ ﺑﻠﻮﻙﻫﺎﻱ ‪ -۷‬ﺑﻴﺘﻲ ﺭﻓﺘﺎﺭ ﺷﺪﻩ ﻛﻪ ﺑﻪ ﺑﻠﻮﻙﻫﺎﻱ ‪ - ۸‬ﺑﻴﺘﻲ ﻧﮕﺎﺷﺖ ﻣﻲﺷﻮﺩ ﺗﺎ ﻛﻠﻴﺪ ﻭﺭﻭﺩﻱ ‪ Kpw‬ﺭﺍ ﺍﻳﺠﺎﺩ‬
‫ﻛﻨﺪ‪.‬‬
‫‪١٤٩‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺑﺎﻻﺧﺮﻩ ﻛﻠﻤﻪ ﻋﺒﻮﺭ ﺍﻭﻟﻴﻪ ﺑﺎ ﻣُﻮﺩ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺭﻣﺰ ﻗﺎﻟﺒﻲ)‪ (CBC‬ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ DES‬ﺑﺎ ﻛﻠﻴﺪ ‪ Kpw‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪ .‬ﺁﺧﺮﻳﻦ‬
‫ﺑﻠﻮﻙ ‪ -۶۴‬ﺑﻴﺘﻲ ﻛﻪ ﺍﺯ ﺍﻳﻦ ﺭﻭﺵ ﺣﺎﺻﻞ ﻣﻲﺷﻮﺩ ﻭ ﺑﻪ ﻧﺎﻡ ﺟﻤﻊ ﻛﻨﺘﺮﻟﻲ ‪ CBC‬ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﻛﻠﻴﺪ ﺧﺮﻭﺟﻲ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻳﻦ ﻛﻠﻤﺔ‬
‫ﻋﺒﻮﺭ ﺍﺳﺖ‪.‬‬
‫ﻛﻞ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯﻱ ﺩﺍﻧﺴﺖ ﻛﻪ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺩﻟﺨﻮﺍﻩ ﺭﺍ ﺑﻪ ﻳﻚ ﻛﹸﺪ ‪ -۶۴ hash‬ﺑﻴﺘﻲ ﺗﺒﺪﻳﻞ‬
‫ﻣﻲﻛﻨﺪ‪.‬‬
‫‪1 character‬‬
‫]‪S[0‬‬ ‫]‪S[1‬‬ ‫]‪S[2‬‬
‫‪Password in‬‬
‫‪7- bit ASCII‬‬
‫)‪(n characters‬‬
‫‪Flattend bit‬‬
‫)‪Stream (7× n bits‬‬
‫)ﺍﻟﻒ( ﺗﺒﺪﻳﻞ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﻪ ﺩﻧﺒﺎﻟﺔ ﺑﻴﺖﻫﺎ‬
‫‪56 bits‬‬
‫‪Fanfold onto‬‬
‫‪56 bits‬‬
‫‪Bitwise XOR‬‬
‫‪64-bit‬‬
‫‪input key Kpw‬‬
‫)ﺏ( ﺗﺒﺪﻳﻞ ﺩﻧﺒﺎﻟﺔ ﺑﻴﺖﻫﺎ ﺑﻪ ﻛﻠﻴﺪ ﻭﺭﻭﺩﻱ‬
‫]‪s[8] through s[15‬‬ ‫]‪s[n-8] through s[n-1‬‬
‫]‪s[0] through s[7‬‬

‫‪+‬‬ ‫‪+‬‬
‫‪Kpw‬‬ ‫‪DES‬‬ ‫‪Kpw‬‬ ‫‪DES‬‬ ‫‪Kpw‬‬ ‫‪DES‬‬
‫‪Output key‬‬
‫‪Kc‬‬
‫ﺗﻮﻟﻴﺪ ﺟﻤﻊ ﻛﻨﺘﺮﻟﻲ ‪ DES CBC‬ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬ ‫)ﺝ (‬
‫ﺷﻜﻞ ‪ ۴-۸‬ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬

‫ﻓﺼﻞ ﭼﻬﺎﺭﻡ‬ ‫‪ ١٥٠‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣُﻮﺩ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺭﻣﺰﻗﺎﻟﺒﻲ ﺍﻧﺘﺸﺎﺭﻳﺎﺑﻨﺪﻩ )‪(Propagating Cipher Block Chaining Mode‬‬
‫ﺍﺯ ﻓﺼﻞ ‪ ۲‬ﺑﺨﺎﻃﺮ ﺁﻭﺭﻳﺪ ﻛﻪ ﺩﺭ ﻣُﻮﺩ ‪ CBC‬ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ ،DES‬ﻭﺭﻭﺩﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺭ ﻫﺮ ﻣﺮﺣﻠﻪ ﺷﺎﻣﻞ ‪ XOR‬ﺑﻠﻮﻙ ﺟﺎﺭﻱ ﻣﺘﻦ‬
‫ﺳﺎﺩﻩ ﺑﺎ ﺑﻠﻮﻙ ﺭﻣﺰﺷﺪﻩ ﻣﺮﺣﻠﺔ ﻗﺒﻞ ﺑﻮﺩ ﻛﻪ ﺑﺮﺍﻱ ﻫﺮ ﺑﻠﻮﻙ ﻧﻴﺰ ﺍﺯ ﻫﻤﺎﻥ ﻳﻚ ﻛﻠﻴﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﺪ )ﺷﻜﻞ ‪ .(۲-۹‬ﻣﺰﻳﺖ ﺍﻳﻦ ﻣُﻮﺩ‬
‫ﻧﺴﺒﺖ ﺑﻪ ﻣُﻮﺩ ﻛﺘﺎﺏ ﻟﻐﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻜﻲ )‪ (ECB‬ﻛﻪ ﺩﺭ ﺁﻥ ﻫﺮ ﺑﻠﻮﻙ ﺑﺼﻮﺭﺕ ﻣﺴﺘﻘﻞ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ ﺍﻳﻦ ﺍﺳﺖ‪ :‬ﺩﺭ ‪ CBC‬ﺍﮔﺮ‬
‫ﻳﻚ ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﻩ ﺩﺭ ﺟﺎﻱ ﺩﻳﮕﺮﻱ ﺗﻜﺮﺍﺭ ﺷﻮﺩ ﺑﻠﻮﻙﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﺓ ﻣﺘﻔﺎﻭﺗﻲ ﺗﻮﻟﻴﺪ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫‪ CBC‬ﺩﺍﺭﺍﻱ ﺍﻳﻦ ﺧﺎﺻﻴﺖ ﺍﺳﺖ ﻛﻪ ﺍﮔﺮ ﺩﺭ ﺍﻧﺘﻘﺎﻝ ﺑﻠﻮﻙ ﺭﻣﺰﺷﺪﺓ ‪ CI‬ﺧﻄﺎﺋﻲ ﺭﺥ ﺩﻫﺪ ﺍﻳﻦ ﺧﻄﺎ ﺑﻪ ﺑﻠﻮﻙﻫﺎﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫ﺷﺪﺓ ‪ PI‬ﻭ ‪ PI+1‬ﮔﺴﺘﺮﺵ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫ﻧﺴﺨﺔ ﭼﻬﺎﺭﻡ ‪ Kerberos‬ﻓﺮﻡ ﭘﻴﭽﻴﺪﻩﺗﺮﻱ ﺍﺯ ‪ CBC‬ﺭﺍ ﻛﻪ ‪ CBC‬ﺍﻧﺘﺸﺎﺭﻳﺎﺑﻨﺪﻩ )‪ (PCBC‬ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷﻮﺩ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﻣُﻮﺩ ﺩﺍﺭﺍﻱ ﺍﻳﻦ ﺧﺎﺻﻴﺖ ﺍﺳﺖ ﻛﻪ ﻫﺮ ﺧﻄﺎ ﺩﺭ ﻳﻜﻲ ﺍﺯ ﺑﻠﻮﻙﻫﺎﻱ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﻪ ﻫﻤﺔ ﺑﻠﻮﻙﻫﺎﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫ﺷﺪﺓ ﺑﻌﺪﻱ ﮔﺴﺘﺮﺵ ﻳﺎﻓﺘﻪ ﻭ ﺁﻧﻬﺎ ﺭﺍ ﺑﻲﺍﺭﺯﺵ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺻﺤﺖ ﺩﺍﺩﻩﻫﺎ ﺩﺭ ﻳﻚ ﻋﻤﻞ ﺣﺎﺻﻞ ﻣﻲﮔﺮﺩﻧﺪ )ﺑﺮﺍﻱ‬
‫ﻳﻚ ﺣﺎﻟﺖ ﺍﺳﺘﺜﻨﺎﺀ ﺑﻪ ﻣﺴﺄﻟﺔ ‪ ۴-۲‬ﻧﮕﺎﻩ ﻛﻨﻴﺪ(‪.‬‬
‫‪ PCBC‬ﺩﺭ ﺷﻜﻞ ‪ ۴-۹‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﺭﻭﺵ ﻭﺭﻭﺩﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ XOR ،‬ﺑﻠﻮﻙ ﺟﺎﺭﻱ ﻣﺘﻦ ﺳﺎﺩﻩ‪،‬‬
‫ﺑﻠﻮﻙ ﻗﺒﻠﻲ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‪ ،‬ﻭ ﺑﻠﻮﻙ ﻗﺒﻠﻲ ﻣﺘﻦ ﺳﺎﺩﻩ ﺍﺳﺖ‪:‬‬
‫)]‪Cn = E (K, [Cn-1 ⊕ Pn-1 ⊕ Pn‬‬
‫‪Time = 1‬‬ ‫‪Time = 2‬‬ ‫‪Time = N‬‬

‫‪IV‬‬ ‫‪P1‬‬ ‫‪P2‬‬ ‫‪PN‬‬
‫‪P‬‬
‫‪N-1‬‬
‫‪+‬‬ ‫‪+‬‬ ‫‪+‬‬ ‫‪+‬‬ ‫‪+‬‬
‫‪K‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪K‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪K‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬

‫‪DES‬‬ ‫‪DES‬‬ ‫‪DES‬‬
‫‪C‬‬
‫‪N -1‬‬
‫‪C1‬‬ ‫‪C2‬‬ ‫‪C‬‬
‫‪N‬‬
‫‪C1‬‬ ‫‪C2‬‬ ‫‪CN‬‬
‫‪C‬‬
‫‪N -1‬‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ‬ ‫ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫‪K‬‬ ‫‪K‬‬ ‫ﺭﻣﺰﮔﺸﺎﺋﻲ‬ ‫‪K‬‬
‫‪DES‬‬ ‫‪DES‬‬ ‫‪DES‬‬
‫‪IV‬‬ ‫‪+‬‬ ‫‪+‬‬ ‫‪+‬‬ ‫‪+‬‬ ‫‪+‬‬

‫‪P‬‬
‫‪N-1‬‬
‫‪P1‬‬ ‫‪P2‬‬ ‫‪PN‬‬
‫ﻣُﻮﺩ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺍﻧﺘﺸﺎﺭﻳﺎﺑﻨﺪﻩ )‪(PCBC‬‬ ‫ﺷﻜﻞ ‪۴-۹‬‬

‫‪١٥١‬‬ ‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺩﺭ ﻣﻮﻗﻊ ﺭﻣﺰﮔﺸﺎﺋﻲ‪ ،‬ﻫﺮ ﺑﻠﻮﻙ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻋﺒﻮﺭ ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ ﺧﺮﻭﺟﻲ ﺑﺎ ﺑﻠﻮﻙ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ‬
‫ﻗﺒﻠﻲ ﻭ ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﺓ ﻗﺒﻠﻲ ‪ XOR‬ﻣﻲﺷﻮﺩ‪ .‬ﺑﺎ ﺭﺍﺑﻄﺔ ﺯﻳﺮ ﻣﻲﺗﻮﺍﻥ ﻧﺸﺎﻥ ﺩﺍﺩ ﻛﻪ ﺍﻳﻦ ﺭﻭﺵ ﺻﺤﻴﺢ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪:‬‬
‫))]‪D (K, Cn) = D (K, E (K, [ Cn-1 ⊕ Pn-1 ⊕ Pn‬‬
‫‪D (K, Cn) = Cn-1 ⊕ Pn-1 ⊕ Pn‬‬
‫‪Cn-1 ⊕ Pn-1 ⊕ D [K, Cn] = Pn‬‬

‫ﻓﺼـﻞ ‪۵‬‬
‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‬
‫‪Pretty Good Privacy‬‬ ‫‪۵-۱‬‬

‫ﻋﻼﺋﻢ ﺍﺧﺘﺼﺎﺭﻱ‬
‫ﺗﻮﺻﻴﻒ ﻋﻤﻠﻴﺎﺗﻲ‬
‫ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺩﺳﺘﻪﻛﻠﻴﺪﻫﺎ‬
‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫‪S/MIME‬‬ ‫‪۵-۲‬‬
‫‪RFC 822‬‬
‫ﺍﻟﺤﺎﻗﻴﻪﻫﺎﻱ ﭼﻨﺪ ﻣﻨﻈﻮﺭﺓ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ )‪(MIME‬‬
‫ﻋﻤﻠﻜﺮﺩ ‪S/MIME‬‬
‫ﭘﻴﺎﻡﻫﺎﻱ ‪S/MIME‬‬
‫ﭘﺮﺩﺍﺯﺵ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ‪S/MIME‬‬
‫ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺍﻓﺰﻭﺩﻩ‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۵-۳‬‬

‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۵-۴‬‬
‫ﺿﻤﻴﻤﺔ ‪ -۵‬ﺍﻟﻒ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺩﻳﺘﺎ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ZIP‬‬

‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﻌﻜﻮﺱ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ‬
‫ﺗﺒﺪﻳﻞ ‪RADIX-64‬‬ ‫ﺿﻤﻴﻤﺔ ‪ -۵‬ﺏ‬
‫ﺗﻮﻟﻴﺪ ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ ﺩﺭ ‪PGP‬‬ ‫ﺿﻤﻴﻤﺔ ‪ -۵‬ﺝ‬
‫ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ ﻭﺍﻗﻌﻲ‬
‫ﺍﻋﺪﺍﺩ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٥٤‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺭ ﺑﻴﻦ ﺗﻤﺎﻡ ﻣﺤﻴﻂﻫﺎﻱ ﺗﻮﺯﻳﻊ ﺷﺪﻩ‪ ،‬ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺗﻘﺮﻳﺒﺎﹰ ﭘﺮﺍﺳﺘﻔﺎﺩﻩﺗﺮﻳﻦ ﻛﺎﺭﺑﺮﺩ ﻣﺒﺘﻨﻲ ﺑﺮ ﺷﺒﻜﻪ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺳﺮﻭﻳﺲ‬
‫ﺩ‬
‫ﻫﻤﭽﻨﻴﻦ ﺗﻨﻬﺎ ﻛﺎﺭﺑﺮﺩ ﺗﻮﺯﻳﻊﺷﺪﻩﺍﻱ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺗﻤﺎﻡ ﻣﻌﻤﺎﺭﻱﻫﺎ ﻭ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻋﺎﻣﻞ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﺑﻄﻮﺭ ﻭﺳﻴﻌﻲ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ‬
‫ﻣﻲﮔﻴﺮﺩ‪ .‬ﻛﺎﺭﺑﺮﺍﻥ ﺍﻳﻨﺘﺮﻧﺖ ﺍﻧﺘﻈﺎﺭ ﺩﺍﺭﻧﺪ ﻛﻪ ﺑﺘﻮﺍﻧﻨﺪ ﺑﻪ ﻫﻤﺔ ﻛﺴﺎﻥ ﺩﻳﮕﺮﻱ ﻛﻪ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞﺍﻧﺪ‪ ،‬ﺻﺮﻑﻧﻈﺮ ﺍﺯ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻭ‬
‫ﻳﺎ ﭘﺮﻭﺗﻜﻞ ﺍﺭﺗﺒﺎﻃﻲ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ‪ ،‬ﻧﺎﻣﻪ ﺍﺭﺳﺎﻝ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫ﺑﺎ ﻭﺍﺑﺴﺘﮕﻲ ﺭﻭﺯﺍﻓﺰﻭﻥ ﺑﻪ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺑﺮﺍﻱ ﻫﺮ ﻣﻘﺼﻮﺩ ﻗﺎﺑﻞ ﺗﺼﻮﺭ‪ ،‬ﻧﻴــﺎﺯ ﺑﻪ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻋﺘﺒــﺎﺭﺳﻨﺠﻲ ﻭ‬
‫ﻣﺤــﺮﻣﺎﻧﮕﻲ ﻣﺮﺗﺒﺎﹰ ﺑﻴﺸﺘﺮ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﺯﻣﻴﻨﻪ ﺩﻭ ﺭﻭﺵ ﺑﻄﻮﺭ ﮔﺴﺘﺮﺩﻩﺍﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻘﺒﺎﻝ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﻭ ﺍﺯ ﺁﻧﻬﺎ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪:‬‬
‫)‪ Pretty Good Privacy (PGP‬ﻭ ‪ .S/MIME‬ﻫﺮ ﺩﻭﻱ ﺁﻧﻬﺎ ﺩﺭ ﺍﻳﻦ ﻓﺼﻞ ﻣﻮﺭﺩ ﺑﺮﺭﺳﻲ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪.‬‬
‫‪PRETTY GOOD PRIVACY‬‬ ‫‪۵-۱‬‬
‫‪ PGP‬ﻳﻚ ﭘﺪﻳﺪﺓ ﻓﻮﻕﺍﻟﻌﺎﺩﻩ ﺍﺳﺖ‪ PGP .‬ﺑﺎ ﺗﻼﺵﻫﺎﻱ ﻧﺴﺒﺘﺎﹰ ﺍﻧﻔﺮﺍﺩﻱ ﻳﻚ ﻧﻔﺮ ﺑﻨﺎﻡ ‪ ،Phil Zimmermann‬ﺳﺮﻭﻳﺴﻲ ﺍﺳﺖ ﻛﻪ‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﺑﺮﺍﻱ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻭ ﻫﻤﭽﻨﻴﻦ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺫﺧﻴﺮﻩﺳﺎﺯﻱ ﻓﺎﻳﻞ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪Zimmermann .‬‬
‫ﻛﺎﺭﻫﺎﻱ ﺯﻳﺮ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﺑﻬﺘﺮﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ ﺑﻪ ﻋﻨﻮﺍﻥ ﭘﺎﻳﻪﻫﺎﻱ ﺍﻳﻦ ﺑﻨﺎ ﺍﻧﺘﺨﺎﺏ ﻧﻤﻮﺩ‪.‬‬
‫‪ -۲‬ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎ ﺭﺍ ﻃﻮﺭﻱ ﺩﺭ ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﻋﺎﻡ ﺗﻠﻔﻴﻖ ﻛﺮﺩ ﻛﻪ ﻣﺴﺘﻘﻞ ﺍﺯ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻭ ﭘﺮﺩﺍﺯﺵﮔﺮ ﺑﻮﺩﻩ ﻭ ﺑﺮ ﻣﺒﻨﺎﻱ‬
‫ﻣﺠﻤﻮﻋﺔ ﻛﻮﭼﻜﻲ ﺍﺯ ﻓﺮﺍﻣﻴﻦ ﺳﻬﻞ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪.‬‬
‫‪ -۳‬ﺑﺴﺘﺔ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﺍﻳﺠﺎﺩ ﺷﺪﻩ ﻭ ﺍﺳﻨﺎﺩ ﻣﺮﺑﻮﻃﻪ ﻛﻪ ﺷﺎﻣﻞ ﻛﹸﺪ ﻣﻨﺒﻊ ﺑﺮﻧﺎﻣﻪ ﻧﻴﺰ ﻣﻲﺑﺎﺷﺪ ﺭﺍ ﺍﺯ ﻃﺮﻳﻖ ﺍﻳﻨﺘﺮﻧﺖ‪ ،‬ﺗﺎﺑﻠﻮﻫﺎﻱ‬
‫ﺍﻋﻼﻧﺎﺕ ﻭ ﺷﺒﻜﻪﻫﺎﻱ ﺗﺠﺎﺭﻱ ﻫﻤﺎﻧﻨﺪ ‪ (American On Line) AOL‬ﺑﻄﻮﺭ ﻣﺠﺎﻧﻲ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﻛﺎﺭﺑﺮﺍﻥ ﻗﺮﺍﺭ ﺩﺍﺩ‪.‬‬
‫‪ -۴‬ﺑﺎ ﻳﻚ ﺷﺮﻛﺖ )‪ Viacrypt‬ﻛﻪ ﺍﻣﺮﻭﺯ ‪ Network Associates‬ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ( ﻗﺮﺍﺭﺩﺍﺩﻱ ﺑﺴﺖ ﻛﻪ ﻳﻚ ﻧﺴﺨﺔ‬
‫ﺗﺠﺎﺭﻱ ﻛﺎﻣﻼﹰ ﺳﺎﺯﮔﺎﺭ ﻭ ﺍﺭﺯﺍﻥ ﻗﻴﻤﺖ ﺍﺯ ‪ PGP‬ﺭﺍ ﺗﻬﻴﻪ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ PGP‬ﺑﻄﻮﺭ ﺍﻧﻔﺠﺎﺭﺁﻣﻴﺰﻱ ﺭﺷﺪﻛﺮﺩﻩ ﻭ ﺍﻣﺮﻭﺯ ﺩﺭ ﺳﻄﺢ ﮔﺴﺘﺮﺩﻩﺍﻱ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺑﺮﺧﻲ ﺍﺯ ﺍﻳﻦ ﺩﻻﻳﻞ ﺍﻳﻦ ﺭﺷﺪ‬
‫ﭼﻨﻴﻦﺍﻧﺪ‪:‬‬
‫‪ -۱‬ﻧﺴﺨﻪﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺍﺯ ﺁﻥ ﻛﻪ ﺭﻭﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺑﺎ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎﻱ ﻣﺘﻨﻮﻉ ﻫﻤﺎﻧﻨﺪ‪،UNIX ،Windows‬‬
‫‪ Macintosh‬ﻭ ﺑﺴﻴﺎﺭﻱ ﺩﻳﮕﺮ ﻛﺎﺭ ﻣﻲﻛﻨﻨﺪ ﺑﺼﻮﺭﺕ ﺟﻬﺎﻧﻲ ﻭ ﻣﺠﺎﻧﻲ ﺩﺭ ﺩﺳﺘﺮﺱ ﺍﺳﺖ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ‪ ،‬ﻧﺴﺨﺔ ﺗﺠﺎﺭﻱ ﺁﻥ‬
‫ﻛﺎﺭﺑﺮﺍﻧﻲ ﺭﺍ ﻛﻪ ﺑﻪ ﺩﻧﺒﺎﻝ ﻣﺤﺼﻮﻟﻲ ﺑﺎ ﺧﺪﻣﺎﺕ ﭘﺸﺘﻴﺒﺎﻧﻲ ﺑﻌﺪﻱ ﻫﺴﺘﻨﺪ ﺭﺍﺿﻲ ﻧﻤﻮﺩﻩ ﺍﺳﺖ‪.‬‬
‫‪ -۲‬ﺑﺮ ﻣﺒﻨﺎﻱ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﺋﻲ ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﻛﻪ ﺑﺎﺭﻫﺎ ﻭ ﺑﺎﺭﻫﺎ ﺩﺭ ﺁﻧﻬﺎ ﺗﺠﺪﻳﺪ ﻧﻈﺮ ﺷﺪﻩ ﻭ ﺑﺴﻴﺎﺭ ﺍﻣﻦ ﺗﻠﻘﻲ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻋﻠﻲﺍﻟﺨﺼﻮﺹ‬
‫ﺑﺴﺘﺔ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﺷﺎﻣﻞ ‪ DSS ،RSA‬ﻭ ‪ Diffie-Hellman‬ﺩﺭ ﺣﻮﺯﺓ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‪،CAST-128 ،‬‬
‫‪ IDEA‬ﻭ ‪ 3DES‬ﺩﺭ ﺣﻮﺯﺓ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ‪ SHA-1‬ﺑﺮﺍﻱ ﺩﺭﻫﻢﺳﺎﺯﻱ ﻣﻲﺑﺎﺷﺪ‪.‬‬
‫‪١٥٥‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ -۳‬ﺩﺍﺭﺍﻱ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺑﺴﻴﺎﺭ ﻣﺘﻨﻮﻋﻲ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﺳﺎﺯﻣﺎﻥﻫﺎﺋﻲ ﻛﻪ ﻋﻼﻗﻪﻣﻨﺪ ﺑﻪ ﺍﻧﺘﺨﺎﺏ ﻭ ﺍﺟﺮﺍﻱ ﻳﻚ ﺭﻭﺵ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺑﺮﺍﻱ‬
‫ﺭﻣﺰﻛﺮﺩﻥ ﻓﺎﻳﻞﻫﺎ ﻭ ﭘﻴﺎﻡﻫﺎ ﻣﻲﺑﺎﺷﻨﺪ ﺷﺮﻭﻉ ﺷﺪﻩ ﻭ ﺑﻪ ﺍﺷﺨﺎﺹ ﺣﻘﻴﻘﻲ ﻛﻪ ﻋﻼﻗﻪﻣﻨﺪ ﺑﻪ ﺍﺭﺗﺒﺎﻁ ﺍﻣﻦ ﺭﻭﻱ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺳﺎﻳﺮ‬
‫ﺷﺒﻜﻪﻫﺎ ﺩﺭ ﺳﻄﺢ ﺟﻬﺎﻥ ﻣﻲﺑﺎﺷﻨﺪ ﺧﺘﻢ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫‪ -۴‬ﻧﻪ ﺑﺘﻮﺳﻂ ﻳﻚ ﺩﻭﻟﺖ ﻭ ﻳﺎ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﺳﺎﺯﻱ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﺍﺳﺖ ﻭ ﻧﻪ ﺑﺘﻮﺳﻂ ﭼﻨﻴﻦ ﻛﺴﺎﻧﻲ ﻛﻨﺘﺮﻝ ﻣﻲﺷﻮﺩ‪ .‬ﺑﺮﺍﻱ‬
‫ﻛﺴﺎﻧﻲ ﻛﻪ ﺫﺍﺗﺎﹰ ﺍﻋﺘﻤﺎﺩﻱ ﺑﻪ »ﺗﺸﻜﻴﻼﺕ« ﻧﺪﺍﺭﻧﺪ‪ ،‬ﺍﻳﻦ ﺧﺎﺻﻴﺖ ‪ PGP‬ﭘﺮﺟﺎﺫﺑﻪ ﺍﺳﺖ‪.‬‬
‫‪ PGP -۵‬ﺍﮔﺮﭼﻪ ﺍﻣﺮﻭﺯ ﺭﻭﻱ ﺧﻂ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺍﺳﺖ)‪ ،(RFC 3156‬ﻭﻟﻲ ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ ﻫﻨﻮﺯ ﺩﺍﺭﺍﻱ‬
‫ﻓﻀﺎﻱ ﻣﻌﻄﺮ ﺿﺪﺗﺸﻜﻴﻼﺗﻲ ﺧﻮﺩ ﺍﺳﺖ‪.‬‬
‫ﺑﺤﺚ ﺭﺍ ﺑﺎ ﻧﮕﺎﻫﻲ ﻛﻠﻲ ﺑﻪ ﻋﻤﻠﻴﺎﺕ ‪ PGP‬ﺁﻏﺎﺯ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺩﺭ ﻗﺴﻤﺖ ﺑﻌﺪ ﭼﮕﻮﻧﮕﻲ ﺧﻠﻖ ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺫﺧﻴﺮﻩ ﻛﺮﺩﻥ‬
‫ﺁﻧﻬﺎ ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻧﻤﺎﺋﻴﻢ‪ .‬ﺳﭙﺲ ﻣﻘﻮﻟﺔ ﺑﺴﻴﺎﺭ ﻣﻬﻢ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺍ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﻣﻲﺩﻫﻴﻢ‪.‬‬
‫ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﻋﻼﺋﻢ ﺍﺧﺘﺼﺎﺭﻱ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺩﺭ ﺍﻳﻦ ﻓﺼﻞ ﺭﺍ ﻗﺒﻼﹰ ﻧﻴﺰ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﺩﺍﺩﻩﺍﻳﻢ ﻭﻟﻲ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﺁﻧﻬﺎ ﺟﺪﻳﺪ ﻣﻲﺑﺎﺷﻨﺪ‪.‬‬
‫ﺷﺎﻳﺪ ﺑﻬﺘﺮ ﺑﺎﺷﺪ ﻛﻪ ﺍﻳﻦ ﻋﻼﺋﻢ ﺍﺧﺘﺼﺎﺭﻱ ﺭﺍ ﺩﺭ ﺍﺑﺘﺪﺍ ﺧﻼﺻﻪ ﻛﻨﻴﻢ‪ .‬ﻧﺸﺎﻧﻪﻫﺎﻱ ﺯﻳﺮ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩﺍﻧﺪ‪:‬‬
‫‪ = Ks‬ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻛﻪ ﺩﺭ ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬

‫‪ = PRa‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻛﺎﺭﺑﺮ ‪ A‬ﻛﻪ ﺩﺭ ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ = PUa‬ﻛﻠﻴﺪ ﻋﻤﻮﻣـﻲ ﻛﺎﺭﺑﺮ ‪ A‬ﻛﻪ ﺩﺭ ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ = EP‬ﺭﻣﺰﻧـﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫‪ = DP‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫‪ = EC‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬
‫‪ = DC‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﺘﻘﺎﺭﻥ‬
‫‪ = H‬ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ )‪(hash‬‬
‫|| = ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ‬
‫‪ = Z‬ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺑﺎ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ZIP‬‬
‫‪ = R64‬ﺗﺒﺪﻳﻞ ﺑﻪ ﻓﺮﻣﺖ ‪radix-64 ASCII‬‬
‫ﺍﺳﻨﺎﺩ ‪ PGP‬ﺍﻏﻠﺐ ﺍﺯ ﺍﺻﻄﻼﺡ ﻛﻠﻴﺪ ﺳﺮّﻱ )‪ (secret key‬ﺑﺮﺍﻱ ﺍﺷﺎﺭﻩ ﺑﻪ ﻛﻠﻴﺪﻱ ﻛﻪ ﺩﺭ ﻳﻚ ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺩﺭ ﻛﻨﺎﺭ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﻗﺒﻼﹰ ﺍﺷﺎﺭﻩ ﻛﺮﺩﻳﻢ‪ ،‬ﺍﻳﻦ ﻋﻤﻞ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺎﻋﺚ ﺍﺷﺘﺒﺎﻩ‬
‫ﺷﺪﻥ ﺍﻳﻦ ﻛﻠﻴﺪ ﺑﺎ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺩﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﺎ ﺑﺠﺎﻱ ﺁﻥ ﺍﺯ ﺍﺻﻄﻼﺡ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ‬
‫)‪ (private key‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺗﻮﺻﻴﻒ ﻋﻤﻠﻴﺎﺗﻲ‬
‫ﻋﻤﻠﻴﺎﺕ ﻭﺍﻗﻌﻲ ‪ ،PGP‬ﺻﺮﻑ ﻧﻈﺮ ﺍﺯ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪﻫﺎ‪ ،‬ﺷﺎﻣﻞ ﭘﻨﺞ ﺳﺮﻭﻳﺲ ﺍﺳﺖ‪ :‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻣﺤﺮﻣﺎﻧﮕﻲ‪ ،‬ﻓﺸﺮﺩﻩﺳﺎﺯﻱ‪ ،‬ﺳﺎﺯﮔﺎﺭﻱ‬
‫‪ e-mail‬ﻭ ﻗﻄﻌﻪ ﻗﻄﻌﻪ ﻛﺮﺩﻥ ﺩﻳﺘﺎ )ﺟﺪﻭﻝ ‪ .(۵-۱‬ﻫﺮ ﻳﻚ ﺍﺯ ﺍﻳﻦ ﭘﻨﺞ ﺳﺮﻭﻳﺲ ﺭﺍ ﺑﻪ ﻧﻮﺑﺖ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٥٦‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺷﻜﻞ ‪۵-۱‬ﺍﻟﻒ ﺳﺮﻭﻳﺲ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ PGP‬ﻓﺮﺍﻫﻢ ﻣﻲﺷﻮﺩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﻫﻤﺎﻥ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﻣﻮﺭﺩ‬
‫ﺑﺤﺚ ﺩﺭ ﻓﺼﻞ ‪ ۳‬ﻭ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺩﺭ ﺷﻜﻞ ‪۳-۲‬ﺏ ﺍﺳﺖ‪ .‬ﺭﻭﻧﺪ ﻛﺎﺭ ﭼﻨﻴﻦ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﻓﺮﺳﺘﻨﺪﻩ ﭘﻴﺎﻣﻲ ﺭﺍ ﺗﻬﻴﻪ ﻣﻲﻛﻨﺪ‪.‬‬

‫‪ -۲‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ SHA-1‬ﻳﻚ ﻛﹸﺪ ‪ -۱۶۰ hash‬ﺑﻴﺘﻲ ﺍﺯ ﭘﻴﺎﻡ ﺍﻳﺠﺎﺩ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ -۳‬ﻛﹸﺪ ‪ hash‬ﺍﺯ ﻃﺮﻳﻖ ‪ RSA‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ ﻛﻪ ﺩﺭ ﺁﻥ ﺍﺯ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻓﺮﺳﺘﻨﺪﻩ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻧﺘﻴﺠﻪ ﺑﻪ ﺍﺑﺘﺪﺍﻱ‬
‫ﭘﻴﺎﻡ ﻭﺻﻞ )ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ( ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ -۴‬ﮔﻴﺮﻧﺪﻩ ﺍﺯ ‪ RSA‬ﻭ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻓﺮﺳﺘﻨﺪﻩ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺗﺎ ﻛﹸﺪ ‪ hash‬ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻧﻤﻮﺩﻩ ﻭ ﺍﺳﺘﺨﺮﺍﺝ ﻛﻨﺪ‪.‬‬
‫‪ -۵‬ﮔﻴﺮﻧﺪﻩ ﻳﻚ ﻛﹸﺪ ‪ hash‬ﺟﺪﻳﺪ ﺑﺮﺍﻱ ﭘﻴﺎﻡ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺎ ﻛﹸﺪ ‪ hash‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺷﺪﻩ ﻣﻘﺎﻳﺴﻪ ﻣﻲﻛﻨﺪ‪ .‬ﺍﮔﺮ ﺩﻭ ﻛﹸﺪ‬
‫ﺑﺎ ﻫﻢ ﻳﻜﺴﺎﻥ ﺑﺎﺷﻨﺪ‪ ،‬ﭘﻴﺎﻡ ﭘﺬﻳﺮﻓﺘﻪ ﺷﺪﻩ ﻭ ﻣﻌﺘﺒﺮ ﺗﻠﻘﻲ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﺗﺮﻛﻴﺐ ‪ SHA-1‬ﻭ ‪ RSA‬ﻳﻚ ﺭﻭﺵ ﻣﺆﺛﺮ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﻧﻈﺮ ﺑﻪ ﻗﺪﺭﺕ ‪ ،RSA‬ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ‬
‫ﻣﻄﻤﺌﻦ ﺍﺳﺖ ﻛﻪ ﺗﻨﻬﺎ ﺻﺎﺣﺐ ﻳﻚ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻣﺘﻨﺎﻇﺮ‪ ،‬ﻗﺎﺩﺭ ﺑﻪ ﺗﻮﻟﻴﺪ ﺍﻣﻀﺎﺀ ﺑﻮﺩﻩ ﺍﺳﺖ‪ .‬ﻧﻈﺮ ﺑﻪ ﻗﺪﺭﺕ ‪،SHA-1‬‬
‫ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ ﻣﻄﻤﺌﻦ ﺍﺳﺖ ﻛﻪ ﻛﺲ ﺩﻳﮕﺮﻱ ﻧﻤﻲﺗﻮﺍﻧﺴﺘﻪ ﺍﺳﺖ ﭘﻴﺎﻡ ﺟﺪﻳﺪﻱ ﻛﻪ ﻛﹸﺪ ‪ hash‬ﺁﻥ ﺑﺎ ﭘﻴﺎﻡ ﺍﺻﻠﻲ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﺎ ﺍﻣﻀﺎﺀ‬
‫ﭘﻴﺎﻡ ﺍﺻﻠﻲ ﻳﻜﺴﺎﻥ ﺑﺎﺷﺪ ﺭﺍ ﺗﻮﻟﻴﺪﻛﻨﺪ‪.‬‬
‫ﺩﺭ ﺍﻧﺘﺨﺎﺏ ﺩﻳﮕﺮ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ DSS/SHA-1‬ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﺍﻣﻀﺎﺀﻫﺎ ﻣﺠﺎﺯ ﻣﻲﺑﺎﺷﺪ‪.‬‬
‫ﺧﻼﺻﺔ ﺳﺮﻭﻳﺲﻫﺎﻱ ‪PGP‬‬ ‫ﺟﺪﻭﻝ ‪۵ -۱‬‬
‫ﺗﻮﺻﻴﻒ ﻋﻤﻠﻴﺎﺗﻲ‬ ‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ‬ ‫ﻋﻤﻞ‬

‫ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ SHA-1‬ﻳﻚ ﻛﹸﺪ ‪ hash‬ﺍﺯ ﭘﻴﺎﻡ ﺳﺎﺧﺘﻪ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ‬ ‫‪DSS/SHA‬‬ ‫ﺍﻣﻀﺎﺀ‬
‫ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ DSS‬ﻳﺎ ‪ RSA‬ﻭ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻓﺮﺳﺘﻨﺪﻩ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫ﻳﺎ‬ ‫ﺩﻳﺠﻴﺘﺎﻝ‬
‫ﺷﺪﻩ ﻭ ﻫﻤﺮﺍﻩ ﭘﻴﺎﻡ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬ ‫‪RSA/SHA‬‬
‫ﻳﻚ ﭘﻴﺎﻡ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ CAST-128‬ﻳﺎ ‪ IDEA‬ﻳﺎ ‪ 3DES‬ﻭ ﺑﺘﻮﺳﻂ ﻳﻚ‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪ CAST‬ﻳﺎ ‪IDEA‬‬
‫ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻳﻜﺒﺎﺭ‪ -‬ﻣﺼﺮﻑ ﺗﻮﻟﻴﺪﺷﺪﻩ ﺩﺭ ﻓﺮﺳﺘﻨﺪﻩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪ .‬ﻛﻠﻴﺪ‬ ‫ﭘﻴﺎﻡ‬
‫ﻳﺎ ‪ DES‬ﺳﻪ ﻛﻠﻴﺪﻱ‬
‫ﺍﺟﻼﺱ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ Diffie-Hellman‬ﻳﺎ ‪ RSA‬ﻭ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‬
‫ﺑﺎ ‪Diffie-Hellman‬‬
‫ﮔﻴﺮﻧﺪﻩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ ﻭ ﻫﻤﺮﺍﻩ ﭘﻴﺎﻡ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫ﻳﺎ ‪RSA‬‬
‫ﻳﻚ ﭘﻴﺎﻡ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ ،ZIP‬ﺑﺮﺍﻱ ﺫﺧﻴﺮﻩﺳﺎﺯﻱ ﻳﺎ ﺍﻧﺘﻘﺎﻝ‪ ،‬ﻓﺸﺮﺩﻩ‬ ‫ﻓﺸﺮﺩﻩ‬
‫‪ZIP‬‬
‫ﮔﺮﺩﺩ‪.‬‬ ‫ﺳﺎﺯﻱ‬
‫ﺑﻪ ﻣﻨﻈﻮﺭ ﺍﻳﺠﺎﺩ ﺷﻔﺎﻓﻴﺖ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ‪ ،e-mail‬ﻳﻚ ﭘﻴﺎﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ‬ ‫ﺳﺎﺯﮔﺎﺭﻱ‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺗﺒﺪﻳﻞ ‪ Radix-64‬ﺑﻪ ﻳﻚ ﺩﻧﺒﺎﻟﺔ ‪ ASCII‬ﺗﺒﺪﻳﻞ‬ ‫ﺗﺒﺪﻳﻞ ‪Radix-64‬‬ ‫‪e-mail‬‬
‫ﺷﻮﺩ‪.‬‬
‫ﺑﺮﺍﻱ ﺣﻔﻆ ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﻃﻮﻝ ﻣﺎﻛﺰﻳﻤﻢ ﭘﻴﺎﻡ‪ PGP ،‬ﻗﻄﻌﻪﻗﻄﻌﻪ ﻛﺮﺩﻥ ﻭ‬ ‫ـــ‬ ‫ﻗﻄﻌﻪ ﻗﻄﻌﻪ‬
‫ﺩﻭﺑﺎﺭﻩ ﺳﺮﻫﻢ ﻛﺮﺩﻥ ﺩﻳﺘﺎ ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪.‬‬ ‫ﻛﺮﺩﻥ‬
‫‪١٥٧‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣﺒﺪﺍﺀ ‪A‬‬ ‫ﻣﻘﺼﺪ ‪B‬‬

‫])‪E [PRa , H(M‬‬ ‫‪PUa‬‬
‫‪PRa‬‬
‫‪M‬‬ ‫‪H‬‬ ‫‪DP‬‬

‫||‬ ‫‪Z‬‬ ‫‪Z-1‬‬
‫‪EP‬‬
‫‪M‬‬
‫ﻣﻘﺎﻳﺴﻪ‬
‫)ﺍﻟﻒ( ﻓﻘﻂ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬ ‫‪H‬‬
‫]‪E [PUb ,Ks‬‬
‫‪PUb‬‬ ‫‪PRb‬‬
‫‪Ks‬‬ ‫‪EP‬‬ ‫‪DP‬‬
‫‪M‬‬ ‫‪DC‬‬ ‫‪M‬‬

‫‪Z‬‬ ‫‪EC‬‬ ‫||‬ ‫‪Z-1‬‬
‫)ﺏ( ﻓﻘﻂ ﻣﺤﺮﻣﺎﻧﮕﻲ‬
‫]‪E [PUb , Ks‬‬

‫‪PUb‬‬
‫‪PRb‬‬ ‫])‪E [PRa , H(M‬‬ ‫‪PUa‬‬
‫‪PRa‬‬ ‫‪Ks‬‬ ‫‪EP‬‬
‫‪DP‬‬ ‫‪DP‬‬
‫‪H‬‬
‫‪M‬‬
‫‪EC‬‬ ‫‪Z‬‬ ‫‪EC‬‬
‫||‬ ‫||‬ ‫‪DC‬‬ ‫‪M‬‬
‫‪Z-1‬‬ ‫ﻣﻘﺎﻳﺴﻪ‬
‫)ﺝ( ﻣﺤﺮﻣﺎﻧﮕﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬ ‫‪H‬‬
‫ﺷﻜﻞ‪ ۵-۱‬ﻋﻤﻠﻴﺎﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪PGP‬‬
‫ﺍﮔﺮﭼﻪ ﺍﻣﻀﺎﺀﻫﺎ ﻣﻌﻤﻮﻻﹰ ﺑﻪ ﭘﻴﺎﻡ ﻭ ﻳﺎ ﻓﺎﻳﻠﻲ ﻛﻪ ﺍﻣﻀﺎﺀ ﺁﻧﻬﺎ ﺭﺍ ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ ﻭﺻﻞﺍﻧﺪ‪ ،‬ﻭﻟﻲ ﺍﻳﻦ ﺍﻣﺮ ﻫﻤﻴﺸﻪ ﺻﺎﺩﻕ ﻧﻴﺴﺖ‪.‬‬
‫ﺍﻣﻀﺎﺀﻫﺎﻱ ﻣﺠﺰﺍ ﺍﺯ ﭘﻴﺎﻡ ﻧﻴﺰ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻳﻚ ﺍﻣﻀﺎﺀ ﻏﻴﺮ ﻣﺘﺼﻞ ﺑﻪ ﭘﻴﺎﻡ ﻧﻴﺰ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻄﻮﺭ ﺟﺪﺍ ﺍﺯ ﭘﻴﺎﻡ ﺧﻮﺩ ﺩﺭ ﺟﺎﺋﻲ ﺫﺧﻴﺮﻩ‬
‫ﺷﺪﻩ ﻭ ﺍﻧﺘﻘﺎﻝ ﻳﺎﺑﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺩﺭ ﺯﻣﻴﻨﻪﻫﺎﺋﻲ ﻣﻔﻴﺪ ﻭﺍﻗﻊ ﻣﻲﺷﻮﺩ‪ .‬ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﻋﻼﻗﻪﻣﻨﺪ ﺑﺎﺷﺪ ﻛﻪ ﺑﺮﺍﻱ ﺗﻤﺎﻡ ﭘﻴﺎﻡﻫﺎﻱ ﺍﺭﺳﺎﻝ‬
‫ﺷﺪﻩ ﻭ ﻳﺎ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﻳﻚ ﻛﺎﺭﻧﺎﻣﺔ ﺍﻣﻀﺎﺀ ﺟﺪﺍﮔﺎﻧﻪ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻳﻚ ﺍﻣﻀﺎﺀ ﻏﻴﺮﻣﺘﺼﻞ ﺑﻪ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﺍﺟﺮﺍﺋﻲ ﻣﻲﺗﻮﺍﻧﺪ ﺁﻟﻮﺩﮔﻲﻫﺎﻱ‬
‫ﻭﻳﺮﻭﺳﻲ ﺑﻌﺪﻱ ﺭﺍ ﻛﺸﻒ ﻛﻨﺪ‪ .‬ﺑﺎﻻﺧﺮﻩ ﺍﻣﻀﺎﺀﻫﺎﻱ ﻏﻴﺮﻣﺘﺼﻞ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺩﺭ ﺟﺎﺋﻲ ﻛﻪ ﺑﻴﺶ ﺍﺯ ﻳﻚ ﻃﺮﻑ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‬
‫)ﻣﺜﻞ ﻳﻚ ﻗﺮﺍﺭﺩﺍﺩ ﻗﺎﻧﻮﻧﻲ(‪ ،‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻭﺍﻗﻊ ﺷﻮﻧﺪ‪ .‬ﺍﻣﻀﺎﺀ ﻫﺮ ﻓﺮﺩ ﻣﺴﺘﻘﻞ ﺑﻮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺗﻨﻬﺎ ﺳﻨﺪ ﺍﺻﻠﻲ ﺭﺍ ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ‬
‫ﻏﻴﺮ ﺍﻳﻦ ﺻﻮﺭﺕ ﺍﻣﻀﺎﺀﻫﺎ ﺑﺎﻳﺴﺘﻲ ﺗﻮﺩﺭﺗﻮ ﺑﺎﺷﻨﺪ ﻭ ﻣﻌﻨﻲ ﺁﻥ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﺓ ﺩﻭﻡ‪ ،‬ﺗﺄﺋﻴﺪﻛﻨﻨﺪﺓ ﻫﻢ ﺳﻨﺪ ﺍﺻﻠﻲ ﻭ ﻫﻢ ﺍﻣﻀﺎﺀ‬
‫ﺍﻣﻀﺎﺀﻛﻨﻨﺪﺓ ﺍﻭﻝ ﺍﺳﺖ ﻭ ﻫﻤﻴﻦ ﺗﺮﺗﻴﺐ ﺍﺩﺍﻣﻪ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬
‫ﺳﺮﻭﻳﺲ ﺍﺻﻠﻲ ﺩﻳﮕﺮﻱ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ PGP‬ﻓﺮﺍﻫﻢ ﻣﻲﺁﻳﺪ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡﻫﺎﺋﻲ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺍﺭﺳﺎﻝ‬
‫ﺷﻮﻧﺪ ﻭ ﻳﺎ ﺑﺎﻳﺴﺘﻲ ﺑﺼﻮﺭﺕ ﻓﺎﻳﻞﻫﺎﻱ ﻣﺤﻠﻲ ﺫﺧﻴﺮﻩ ﮔﺮﺩﻧﺪ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﻫﺮ ﺩﻭ ﻣﻮﺭﺩ‪ ،‬ﻣﻲﺗﻮﺍﻥ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٥٨‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ CAST-128‬ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﻮﺩ‪ .‬ﺭﺍﻩ ﺣﻞ ﺩﻳﮕﺮ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ IDEA‬ﻭ ﻳﺎ ‪ 3DES‬ﺍﺳﺖ‪ .‬ﻣُﻮﺩ ﻓﻴﺪﺑﻚ ﺭﻣﺰ )‪ -۶۴ (CFB‬ﺑﻴﺘﻲ ﺑﻜﺎﺭ‬
‫ﻣﻲﺭﻭﺩ‪.‬‬
‫ﻣﺜﻞ ﻫﻤﻴﺸﻪ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﻣﺸﻜﻞ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﺭﺍ ﺩﺭﻧﻈﺮ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻴﻢ‪ .‬ﺩﺭ ‪ ،PGP‬ﻫﺮ ﻛﻠﻴﺪ ﻣﺘﻘﺎﺭﻥ ﺗﻨﻬﺎ ﻳﻚﺑﺎﺭ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ‬
‫ﻣﻲﮔﻴﺮﺩ‪ .‬ﻳﻌﻨﻲ ﺑﺮﺍﻱ ﻫﺮ ﭘﻴﺎﻡ‪ ،‬ﻳﻚ ﻛﻠﻴﺪ ﺟﺪﻳﺪ ﺑﺼﻮﺭﺕ ﻳﻚ ﻋﺪﺩ ﺗﺼﺎﺩﻓﻲ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﺍﻳﺠﺎﺩ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﮔﺮﭼﻪ ﺩﺭ ﺳﻨﺪﻫﺎ‬
‫ﺍﻳﻦ ﻛﻠﻴﺪ ﺭﺍ ﺑﻨﺎﻡ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻣﻲﺷﻨﺎﺳﻨﺪ‪ ،‬ﻭﻟﻲ ﺩﺭ ﻭﺍﻗﻊ ﺍﻳﻦ ﻳﻚ ﻛﻠﻴﺪ ﻳﻜﺒﺎﺭ ﻣﺼﺮﻑ ﺍﺳﺖ‪ .‬ﭼﻮﻥ ﺍﻳﻦ ﻛﻠﻴﺪ ﺗﻨﻬﺎ ﻳﻚﺑﺎﺭ ﻣﻮﺭﺩ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ ،‬ﺑﻪ ﭘﻴﺎﻡ ﻣﺘﺼﻞ ﺷﺪﻩ ﻭ ﻫﻤﺮﺍﻩ ﺁﻥ ﺍﺭﺳﺎﻝ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺑﺮﺍﻱ ﺣﻔﺎﻇﺖ ﺍﺯ ﺍﻳﻦ ﻛﻠﻴﺪ‪ ،‬ﺁﻥ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﮔﻴﺮﻧﺪﻩ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺷﻜﻞ ‪۵-۱‬ﺏ ﺭَﻭﻧﺪ ﻋﻤﻠﻴﺎﺕ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﻣﻲﺗﻮﺍﻥ ﺁﻥ ﺭﺍ ﭼﻨﻴﻦ ﺗﻮﺻﻴﻒ ﻧﻤﻮﺩ‪:‬‬
‫‪ -۱‬ﻓﺮﺳﺘﻨﺪﻩ‪ ،‬ﭘﻴﺎﻡ ﺧﻮﺩ ﻭ ﻫﻤﭽﻨﻴﻦ ﻳﻚ ﻋﺪﺩ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﺗﺼﺎﺩﻓﻲ ﻛﻪ ﻗﺮﺍﺭ ﺍﺳﺖ ﺑﻌﻨﻮﺍﻥ ﻛﻠﻴﺪ ﺍﺟﻼﺱ‪ ،‬ﺗﻨﻬﺎ ﺑﺮﺍﻱ ﺍﻳﻦ ﭘﻴﺎﻡ‪،‬‬
‫ﺑﻜﺎﺭ ﺭﻭﺩ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ -۲‬ﭘﻴﺎﻡ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪) CAST-128‬ﻳﺎ ‪ IDEA‬ﻳﺎ ‪ (3DES‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ -۳‬ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ ﭘﻴﺎﻡ ﻭ ‪ RSA‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﻭ ﺑﻪ ﭘﻴﺎﻡ ﺍﻟﺼﺎﻕ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫‪ -۴‬ﮔﻴﺮﻧﺪﻩ ﺍﺯ ‪ RSA‬ﻭ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻭ ﺑﺎﺯﻳﺎﺑﻲ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ -۵‬ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪.‬‬
‫ﺑﺠﺎﻱ ‪ RSA‬ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ PGP ،‬ﺣﻖ ﺍﻧﺘﺨﺎﺏ ﺩﻳﮕﺮﻱ ﺑﻨﺎﻡ ‪ Diffie-Hellman‬ﺭﺍ ﻓﺮﺍﻫﻢ ﻧﻤﻮﺩﻩ ﺍﺳﺖ‪ .‬ﻫﻤﺎﻧﻄﻮﺭ‬
‫ﻛﻪ ﺩﺭ ﻓﺼﻞ ‪ ۳‬ﺗﻮﺿﻴﺢ ﺩﺍﺩﻩ ﺷﺪ‪ Diffie-Hellman ،‬ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺍﺳﺖ‪ .‬ﺩﺭ ﺣﻘﻴﻘﺖ ‪ PGP‬ﺍﺯ ﻧﻮﻋﻲ‬
‫‪ Diffie-Hellman‬ﻛﻪ ﻳﻚ ﻧﻮﻉ ﺭﻣﺰﻧﮕﺎﺭﻱ‪/‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﻨﺎﻡ ‪ ElGamal‬ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﭼﻨﺪ ﻧﻜﺘﻪ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﻗﺎﺑﻞ ﺗﻮﺟﻪ ﺍﺳﺖ‪ .‬ﺍﻭﻻﹰ ﺑﺮﺍﻱ ﻛﺎﻫﺶ ﺯﻣﺎﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺗﺮﻛﻴﺒﻲ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫ﺑﺠﺎﻱ ﺍﺳﺘﻔﺎﺩﺓ ﻣﺴﺘﻘﻴﻢ ﺍﺯ ‪ RSA‬ﻳﺎ ‪ ElGamal‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ CAST-128 :‬ﻭ ﺳﺎﻳﺮ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻣﺘﻘﺎﺭﻥ ﺑﻄﻮﺭ ﭼﺸﻤﮕﻴﺮﺗﺮﻱ‬
‫ﺳﺮﻳﻊﺗﺮ ﺍﺯ ‪ RSA‬ﻳﺎ ‪ ElGamal‬ﻫﺴﺘﻨﺪ‪ .‬ﺛﺎﻧﻴﺎﹰ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‪ ،‬ﻣﺸﻜﻞ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﺍ ﺣﻞ ﻣﻲﻛﻨﻨﺪ‬
‫ﺯﻳﺮﺍ ﺗﻨﻬﺎ ﮔﻴﺮﻧﺪﻩ ﻗﺎﺩﺭ ﺑﻪ ﺑﺎﺯﻳﺎﺑﻲ ﻛﻠﻴﺪ ﺍﺟﻼﺳﻲ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﭘﻴﺎﻡ ﻣﺮﺗﺒﻂ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺗﻮﺟﻪ ﻛﻨﻴﺪ ﻛﻪ ﺩﺭ ﺍﻳﻨﺠﺎ ﻧﻴﺎﺯﻱ ﺑﻪ ﻳﻚ ﭘﺮﻭﺗﻜﻞ‬
‫ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺍﺟﻼﺱ‪ ،‬ﺍﺯ ﻧﻮﻋﻲ ﻛﻪ ﺩﺭ ﻓﺼﻞ ‪ ۳‬ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﮔﺮﻓﺖ‪ ،‬ﻧﻴﺴﺖ ﺯﻳﺮﺍ ﻳﻚ ﺍﺟﻼﺱ ﺟﺎﺭﻱ ﺭﺍ ﺩﻭﺑﺎﺭﻩ ﺁﻏﺎﺯ ﻧﻤﻲﻛﻨﻴﻢ‪ .‬ﺩﺭ‬
‫ﺍﻳﻨﺠﺎ ﻫﺮ ﭘﻴﺎﻡ ﺑﺎ ﻛﻠﻴﺪ ﻣﺨﺼﻮﺹ ﺑﻪ ﺧﻮﺩ‪ ،‬ﻳﻚ ﭘﻴﺸﺎﻣﺪ ﻣﺴﺘﻘﻞ ﺍﺳﺖ ﻛﻪ ﻓﻘﻂ ﻳﻜﺒﺎﺭ ﻭﺍﻗﻊ ﻣﻲﺷﻮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ‪ ،‬ﺑﺎ ﻣﺎﻫﻴﺖ‬
‫‪ store-and-forward‬ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺩﺳﺘﺪﺍﺩ)‪ (handshaking‬ﺑﺮﺍﻱ ﺍﻃﻤﻴﻨﺎﻥ ﻳﺎﻓﺘﻦ ﺍﺯ ﺍﻳﻨﻜﻪ ﻫﺮ ﺩﻭ ﺳﻤﺖ ﺩﺍﺭﺍﻱ‬
‫ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻳﻜﺴﺎﻥ ﻫﺴﺘﻨﺪ ﻋﻤﻠﻲ ﻧﻤﻲﺑﺎﺷﺪ‪ .‬ﺑﺎﻻﺧﺮﻩ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪﻫﺎﻱ ﻣﺘﻘﺎﺭﻥ ﻳﻜﺒﺎﺭﻣﺼﺮﻑ ﺭﻭﺵ ﻣﺤﻜﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺭﺍ‬
‫ﻣﺤﻜﻢﺗﺮ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ ﻫﺮ ﻛﻠﻴﺪ‪ ،‬ﺗﻨﻬﺎ ﺑﺨﺶ ﻛﻮﭼﻜﻲ ﺍﺯ ﻣﺘﻦ ﺳﺎﺩﻩ ﺭﻣﺰﺷﺪﻩ ﻭ ﻫﻴﭻ ﺭﺍﺑﻄﻪﺍﻱ ﺑﻴﻦ ﻛﻠﻴﺪﻫﺎ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺗﺎ ﻣﺮﺯﻱ‬
‫ﻛﻪ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﻣﻦ ﺍﺳﺖ‪ ،‬ﻛﻞ ﺭﻭﺵ ﺍﻣﻦ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺗﺎ ﺯﻣﺎﻥ ﺣﺎﺿﺮ‪ PGP ،‬ﻣﺤﺪﻭﺩﻩﺍﻱ ﺍﺯ ﻛﻠﻴﺪﻫﺎ ﺑﻴﻦ ‪ ۷۶۸‬ﺗﺎ ‪۳,۰۷۲‬‬
‫ﺑﻴﺖ ﺭﺍ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮ ﻓﺮﺍﻫﻢ ﻧﻤﻮﺩﻩ ﺍﺳﺖ )ﻛﻠﻴﺪ ‪ DSS‬ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ﻣﺤﺪﻭﺩ ﺑﻪ ‪ ۱,۰۲۴‬ﺑﻴﺖ ﺍﺳﺖ(‪.‬‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺷﻜﻞ ‪۵-۱‬ﺝ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ ،‬ﻫﺮ ﺩﻭ ﺳﺮﻭﻳﺲ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺮﺍﻱ ﻳﻚ ﭘﻴﺎﻡ ﻭﺍﺣﺪ ﺑﻜﺎﺭ ﺑﺮﺩ‪ .‬ﺍﺑﺘﺪﺍ ﻳﻚ ﺍﻣﻀﺎﺀ ﺑﺮﺍﻱ‬
‫ﻣﺘﻦ ﺳﺎﺩﺓ ﭘﻴﺎﻡ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﻭ ﺑﻪ ﭘﻴﺎﻡ ﺍﻟﺼﺎﻕ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺁﻧﮕﺎﻩ ﻣﺘﻦ ﺳﺎﺩﻩ ﭘﻴﺎﻡ ﺑﻌﻼﻭﺓ ﺍﻣﻀﺎﺀ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪) CAST-128‬ﻳﺎ ‪ IDEA‬ﻳﺎ‬
‫‪ (3DES‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﻭ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻧﻴﺰ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪) RSA‬ﻳﺎ ‪ (ElGamal‬ﺭﻣﺰ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﻳﻦ ﺩﻧﺒﺎﻟﺔ ﻭﻗﺎﻳﻊ ﺑﻪ ﻧﻮﻉ ﺑﺮﻋﻜﺲ‬
‫ﺁﻥ ﻳﻌﻨﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡ ﻭ ﺁﻧﮕﺎﻩ ﺗﻮﻟﻴﺪ ﻳﻚ ﺍﻣﻀﺎﺀ ﺑﺮﺍﻱ ﭘﻴﺎﻡ ﺭﻣﺰﺷﺪﻩ ﺍﺭﺟﺤﻴﺖ ﺩﺍﺭﺩ‪ .‬ﻣﻌﻤﻮﻻﹰ ﻣﻨﺎﺳﺐﺗﺮ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﺍﻣﻀﺎﺀ ﺭﺍ ﺑﻪ‬
‫‪١٥٩‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻫﻤﺮﺍﻩ ﻓﺮﻡ ﺳﺎﺩﺓ ﭘﻴﺎﻡ ﺫﺧﻴﺮﻩ ﻛﺮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺍﻳﻦ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﺷﺨﺺ ﺛﺎﻟﺚ‪ ،‬ﺍﮔﺮ ﻋﻤﻞ ﺍﻣﻀﺎﺀ ﺩﺭ ﺍﺑﺘﺪﺍ ﺻﻮﺭﺕ ﭘﺬﻳﺮﺩ‪ ،‬ﺷﺨﺺ ﺛﺎﻟﺚ‬
‫ﻻﺯﻡ ﻧﻴﺴﺖ ﺩﺭ ﻫﻨﮕﺎﻡ ﺗﺄﺋﻴﺪ ﺍﻣﻀﺎﺀ‪ ،‬ﻧﮕﺮﺍﻥ ﻛﻠﻴﺪ ﺭﻣﺰ ﻣﺘﻘﺎﺭﻥ ﺑﺎﺷﺪ‪.‬‬
‫ﺧﻼﺻﻪ ﺍﻳﻨﻜﻪ ﻭﻗﺘﻲ ﻫﺮ ﺩﻭ ﺳﺮﻭﻳﺲ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪ ،‬ﻓﺮﺳﺘﻨﺪﻩ ﺍﺑﺘﺪﺍ ﭘﻴﺎﻡ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺧﻮﺩ ﺍﻣﻀﺎﺀ ﻛﺮﺩﻩ‪،‬‬
‫ﺳﭙﺲ ﺁﻥ ﺭﺍ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﻤﻮﺩﻩ ﻭ ﺳﭙﺲ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﮔﻴﺮﻧﺪﻩ ﺑﻪ ﺭﻣﺰ ﺩﺭﻣﻲﺁﻭﺭﺩ‪.‬‬
‫ﻓﺸﺮﺩﻩﺳﺎﺯﻱ‬
‫ﺑﺼﻮﺭﺕ ﭘﻴﺶﻓﺮﺽ‪ PGP ،‬ﭘﻴﺎﻡ ﺭﺍ ﭘﺲ ﺍﺯ ﺍﻣﻀﺎﺀ ﻭ ﻗﺒﻞ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻓﺸﺮﺩﻩ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺣﺴﻦ ﺍﻳﻦ ﺍﻣﺮ ﺻﺮﻓﻪﺟﻮﺋﻲ ﺩﺭ ﻓﻀﺎ‬
‫ﻫﻢ ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ‪ e-mail‬ﻭ ﻫﻢ ﺑﺮﺍﻱ ﺫﺧﻴﺮﻩﺳﺎﺯﻱ ﻓﺎﻳﻞ ﺍﺳﺖ‪.‬‬
‫ﻧﺤﻮﺓ ﺟﺎﺳﺎﺯﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ‪ ،‬ﻛﻪ ﺩﺭ ﺷﻜﻞ ‪ ۵-۱‬ﺑﺼﻮﺭﺕ ‪ Z‬ﺑﺮﺍﻱ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻭ ﺑﺼﻮﺭﺕ ‪ Z-1‬ﺑﺮﺍﻱ ﻋﻜﺲ ﺁﻥ‬
‫ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺍﻣﺮﻱ ﻣﻬﻢ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﺑﻪ ﺩﻭ ﺩﻟﻴﻞ‪ ،‬ﺍﻣﻀﺎﺀ ﻗﺒﻞ ﺍﺯ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪:‬‬
‫ﺍﻟﻒ‪ -‬ﺍﺻﻠﺢ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﭘﻴﺎﻡ ﺭﺍ ﻗﺒﻞ ﺍﺯ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺍﻣﻀﺎﺀ ﻛﺮﺩ ﺗﺎ ﺑﺘﻮﺍﻥ ﺗﻨﻬﺎ ﭘﻴﺎﻡ ﻓﺸﺮﺩﻩ ﻧﺸﺪﻩ ﺑﻪ ﻫﻤﺮﺍﻩ ﺍﻣﻀﺎﺀ ﺭﺍ‬
‫ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪﻫﺎﻱ ﺁﺗﻲ ﺫﺧﻴﺮﻩ ﻛﺮﺩ‪ .‬ﺍﮔﺮ ﻳﻚ ﭘﻴﺎﻡ ﻓﺸﺮﺩﻩ ﺷﺪﻩ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﻻﺯﻡ ﺍﺳﺖ ﻳﺎ ﻳﻚ ﻧﺴﺨﺔ ﻓﺸﺮﺩﻩ‬
‫ﺷﺪﺓ ﭘﻴﺎﻡ ﺭﺍ ﺫﺧﻴﺮﻩ ﻛﺮﺩ ﻭ ﻳﺎ ﻫﺮﻭﻗﺖ ﻻﺯﻡ ﺑﺎﺷﺪ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ‪ ،‬ﭘﻴﺎﻡ ﺭﺍ ﺍﺯ ﺣﺎﻟﺖ ﻓﺸﺮﺩﻩ ﺧﺎﺭﺝ ﻧﻤﻮﺩ‪.‬‬
‫ﺏ‪ -‬ﺣﺘﻲ ﺍﮔﺮ ﺭﺍﺿﻲ ﺑﺎﺷﻴﻢ ﻛﻪ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﻳﻚ ﭘﻴﺎﻡ ﺁﻥ ﺭﺍ ﺍﺯ ﺣﺎﻟﺖ ﻓﺸﺮﺩﮔﻲ ﺩﺭﺁﻭﺭﻳﻢ‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ‪PGP‬‬
‫ﻣﺸﻜﻠﻲ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻗﻄﻌﻲ ﻧﻴﺴﺖ ﻭ ﺑﻜﺎﺭﮔﻴﺮﻱ ﺁﻥ ﺑﺎ ﻣﺼﺎﻟﺤﻪﺍﻱ ﻛﻪ ﺑﻴﻦ ﺳﺮﻋﺖ ﺍﺟﺮﺍ ﻭ‬
‫ﻧﺴﺒﺖ ﻓﺸﺮﺩﮔﻲ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪ ،‬ﻧﺴﺨﻪﻫﺎﻱ ﻓﺸﺮﺩﻩ ﺷﺪﺓ ﻣﺨﺘﻠﻔﻲ ﺍﺯ ﭘﻴﺎﻡ ﺭﺍ ﺩﺭﺳﺖ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ ﺍﻳﻦ ﻭﺟﻮﺩ‪ ،‬ﺍﻳﻦ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻣﺘﻨﻮﻉ ﺩﺭ ﺑﻴﻦ ﺧﻮﺩ ﺗﺮﺍﻛﻨﺶ ﺩﺍﺷﺘﻪ ﺯﻳﺮﺍ ﻫﺮ ﻧﺴﺨﺔ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻗﺎﺩﺭ ﺍﺳﺖ ﺧﺮﻭﺟﻲ ﻫﺮ‬
‫ﻧﺴﺨﺔ ﺩﻳﮕﺮ ﺭﺍ ﺑﻄﻮﺭ ﺻﺤﻴﺢ ﺑﺎﺯﻛﻨﺪ‪ .‬ﺍِﻋﻤﺎﻝ ﺗﺎﺑﻊ ﺩﺭﻫﻢ ﺳﺎﺯﻱ ﻭ ﺍﻣﻀﺎﺀ ﺑﻌﺪ ﺍﺯ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ‪ ،‬ﺗﻤﺎﻡ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎﻱ‬
‫‪ PGP‬ﺭﺍ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻣﺤﺪﻭﺩ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۲‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡ ﺑﻌﺪ ﺍﺯ ﻓﺸﺮﺩﻩ ﺳﺎﺯﻱ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ ﺗﺎ ﺍﻣﻨﻴﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻗﺪﺭﺗﻤﻨﺪﺗﺮ ﮔﺮﺩﺩ‪ .‬ﻧﻈﺮ ﺑﻪ ﺍﻳﻨﻜﻪ ﭘﻴﺎﻡ ﻓﺸﺮﺩﻩ ﺷﺪﻩ‬
‫ﺩﺍﺭﺍﻱ ﺍﻓﺰﻭﻧﮕﻲ ﻛﻤﺘﺮﻱ ﻧﺴﺒﺖ ﺑﻪ ﻣﺘﻦ ﺳﺎﺩﺓ ﺍﺻﻠﻲ ﺁﻥ ﺍﺳﺖ‪ ،‬ﻛﺸﻒ ﺭﻣﺰﺁﻥ ﻣﺸﻜﻞﺗﺮ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ‪ ZIP‬ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺿﻤﻴﻤﺔ ‪ -۵‬ﺍﻟﻒ ﺗﻮﺻﻴﻒ ﮔﺮﺩﻳﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺳﺎﺯﮔﺎﺭﻱ ‪E-mail‬‬
‫ﻭﻗﺘﻲ ‪ PGP‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ ،‬ﺣﺪﺍﻗﻞ ﺑﺨﺸﻲ ﺍﺯ ﺑﻠﻮﻛﻲ ﻛﻪ ﺑﺎﻳﺪ ﺍﻧﺘﻘﺎﻝ ﻳﺎﺑﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪ .‬ﺍﮔﺮ ﻓﻘﻂ ﺳﺮﻭﻳﺲ‬
‫ﺍﻣﻀﺎﺀ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﻮﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ )‪ (digest‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ )ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻓﺮﺳﺘﻨﺪﻩ(‪ .‬ﺍﮔﺮ ﺳﺮﻭﻳﺲ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺑﻜﺎﺭ‬
‫ﮔﺮﻓﺘﻪ ﺷﻮﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﭘﻴﺎﻡ ﺑﺎﺿﺎﻓﺔ ﺍﻣﻀﺎﺀ )ﺍﮔﺮ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ( ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ )ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﻣﺘﻘﺎﺭﻥ ﻳﻜﺒﺎﺭﻣﺼﺮﻑ(‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ‬
‫ﺑﺨﺸﻲ ﻭ ﻳﺎ ﺗﻤﺎﻡ ﺑﻠﻮﻙ ﻧﺘﻴﺠﻪ ﺷﺪﻩ ﺷﺎﻣﻞ ﺩﻧﺒﺎﻟﻪﻫﺎﺋﻲ ﺍﺯ ﺍﹸﻛﺘﺖﻫﺎﻱ ‪ -۸‬ﺑﻴﺘﻲ ﺍﺧﺘﻴﺎﺭﻱ ﺧﻮﺍﻫﻨﺪ ﺑﻮﺩ‪ .‬ﺍﻣﺎ ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﺳﻴﺴﺘﻢﻫﺎﻱ ﭘﺴﺖ‬
‫ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺗﻨﻬﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺑﻠﻮﻙﻫﺎﺋﻲ ﻛﻪ ﺷﺎﻣﻞ ﻛﹸﺪ ‪ ASCII‬ﺑﺎﺷﻨﺪ ﺭﺍ ﻣﺠﺎﺯ ﻣﻲﺷﻤﺎﺭﻧﺪ‪ .‬ﺑﺮﺍﻱ ﻫﻤﻜﺎﺭﻱ ﺩﺭ ﺭﻓﻊ ﺍﻳﻦ ﻣﺤﺪﻭﺩﻳﺖ‪،‬‬
‫‪ PGP‬ﺳﺮﻭﻳﺴﻲ ﺭﺍ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻩ ﺍﺳﺖ ﻛﻪ ﺩﻧﺒﺎﻟﺔ ﺑﺎﻳﻨﺮﻱ ‪ -۸‬ﺑﻴﺘﻲ ﺧﺎﻡ ﺭﺍ ﺑﻪ ﻳﻚ ﺩﻧﺒﺎﻟﺔ ﻗﺎﺑﻞ ﭼﺎﭖ ﺍﺯ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ‪ ASCII‬ﺗﺒﺪﻳﻞ‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٦٠‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺭﻭﺷﻲ ﻛﻪ ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻘﺼﻮﺩ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ ،‬ﺗﺒﺪﻳﻞ ‪ radix-64‬ﺍﺳﺖ‪ .‬ﻫﺮ ﮔﺮﻭﻩ ﺳﻪ ﺍﹸﻛﺘﺘﻲ ﺍﺯ ﺩﺍﺩﻩﻫﺎﻱ ﺑﺎﻳﻨﺮﻱ ﺑﻪ ﭼﻬﺎﺭ ﻛﺎﺭﺍﻛﺘﺮ‬
‫‪ ASCII‬ﺗﺒﺪﻳﻞ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﻳﻦ ﻓﺮﻣﺖ ﻫﻤﭽﻨﻴﻦ ﻳﻚ ‪ (Cyclic Redundancy Check) CRC‬ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﺧﻄﺎﻫﺎﻱ ﺍﻧﺘﻘﺎﻝ ﺭﺍ‬
‫ﺑﻪ ﺩﻳﺘﺎ ﻭﺻﻞ ﻣﻲﻛﻨﺪ‪ .‬ﺗﻮﺻﻴﻒ ﺍﻳﻦ ﺗﺒﺪﻳﻞ ﺩﺭ ﺿﻤﻴﻤﺔ ‪ -۵‬ﺏ ﺑﻴﺎﻥ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ ،radix-64‬ﻃﻮﻝ ﻳﻚ ﭘﻴﺎﻡ ﺭﺍ ﺑﻤﻴﺰﺍﻥ ‪ %۳۳‬ﺍﻓﺰﺍﻳﺶ ﻣﻲﺩﻫﺪ‪ .‬ﺧﻮﺷﺒﺨﺘﺎﻧﻪ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻭ ﺑﺨﺶ ﺍﻣﻀﺎﺀ ﭘﻴﺎﻡ ﻧﺴﺒﺘﺎﹰ‬
‫ﻛﻮﺗﺎﻩ ﺑﻮﺩﻩ ﻭ ﻣﺘﻦ ﭘﻴﺎﻡ‪ ،‬ﻓﺸﺮﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺍﻳﻦ ﺑﺨﺶ ﺑﺎﻳﺴﺘﻲ ﺁﻧﻘﺪﺭ ﺑﺎﺷﺪ ﻛﻪ ﺑﺘﻮﺍﻧﺪ ﺑﺮ ﮔﺴﺘﺮﺵ ﭘﻴﺎﻡ ﺩﺭ‬
‫ﺗﺒﺪﻳﻞ ﺑﻪ ‪ radix-64‬ﻓﺎﻳﻖ ﺁﻳﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ]‪ [HELD96‬ﺍﺯ ﻧﺴﺒﺖ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻣﺘﻮﺳﻄﻲ ﺑﻪ ﻣﻴﺰﺍﻥ ‪ ۲‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ ZIP‬ﺧﺒﺮ‬
‫ﻣﻲﺩﻫﺪ‪ .‬ﺍﮔﺮ ﺍﺯ ﻃﻮﻝ ﻧﺴﺒﺘﺎﹰ ﻛﻮﺗﺎﻩ ﺍﻣﻀﺎﺀ ﻭ ﻣﺆﻟﻔﻪﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﻠﻴﺪ ﺻﺮﻑﻧﻈﺮ ﺷﻮﺩ‪ ،‬ﻧﺘﻴﺠﺔ ﻣﻌﻤﻮﻝ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻭ ﮔﺴﺘﺮﺵ ﻳﻚ‬
‫ﻓﺎﻳﻞ ﺑﺎ ﻃﻮﻝ ‪ X‬ﺑﺮﺍﺑﺮ ‪ ۱/۳۳ × ۰/۵ × X = ۰/۶۶۵ × X‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺭﻭﻳﻬﻢ ﺭﻓﺘﻪ ﻫﻨﻮﺯ ﻳﻚ ﻓﺸﺮﺩﮔﻲ ﺑﻤﻴﺰﺍﻥ ‪ ۰/۳۳‬ﺩﺭ‬
‫ﭘﻴﺎﻡ ﺍﻳﺠﺎﺩ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﻳﻜﻲ ﺍﺯ ﺟﻨﺒﻪﻫﺎﻱ ﻗﺎﺑﻞ ﺗﻮﺟﻪ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ radix-64‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻛﻮﺭﻛﻮﺭﺍﻧﻪ ﻭ ﺑﺪﻭﻥ ﺗﻮﺟﻪ ﺑﻪ ﻣﺤﺘﻮﺍ‪ ،‬ﺩﻧﺒﺎﻟﺔ ﻭﺭﻭﺩﻱ ﺭﺍ ﺑﻪ‬
‫ﻓﺮﻣﺖ ‪ radix-64‬ﺗﺒﺪﻳﻞ ﻣﻲﻛﻨﺪ‪ ،‬ﺣﺘﻲ ﺍﮔﺮ ﺧﻮﺩ ﺩﻧﺒﺎﻟﺔ ﻭﺭﻭﺩﻱ ﻣﺘﻦ ‪ ASCII‬ﺑﺎﺷﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﮔﺮ ﭘﻴﺎﻣﻲ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﻭﻟﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﻧﺸﺪﻩ ﺑﺎﺷﺪ ﻭ ﺗﺒﺪﻳﻞ ﺑﻪ ﻫﻤﺔ ﺑﻠﻮﻙ ﺍﻋﻤﺎﻝ ﺷﻮﺩ‪ ،‬ﺧﺮﻭﺟﻲ ﺑﺮﺍﻱ ﻳﻚ ﻧﺎﻇﺮ ﺍﺗﻔﺎﻗﻲ ﻗﺎﺑﻞ ﺧﻮﺍﻧﺪﻥ ﻧﺨﻮﺍﻫﺪ ﺑﻮﺩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺧﻮﺩ ﺳﻄﺤﻲ ﺍﺯ‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻄﻮﺭ ﺍﺧﺘﻴﺎﺭﻱ‪ PGP ،‬ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﻃﻮﺭﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻛﺮﺩ ﻛﻪ ﻓﺮﻣﺖ ‪ radix-64‬ﺭﺍ ﺗﻨﻬﺎ ﺑﻪ ﺑﺨﺶ ﺍﻣﻀﺎﺀ‬
‫ﭘﻴﺎﻡﻫﺎﻱ ﻣﺘﻨﻲ ﺳﺎﺩﺓ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﻋﻤﺎﻝ ﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﮔﻴﺮﻧﺪﺓ ﺍﻧﺴﺎﻧﻲ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺑﺪﻭﻥ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ PGP‬ﭘﻴﺎﻡ ﺭﺍ ﺑﺨﻮﺍﻧﺪ‪ .‬ﺩﺭ‬
‫ﺍﻳﻦﺣﺎﻟﺖ ﻧﻴﺰ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ‪ PGP‬ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﺍﻣﻀﺎﺀ ﻛﻤﻚ ﮔﺮﻓﺖ‪.‬‬
‫ﺷﻜﻞ ‪ ۵-۲‬ﺭﺍﺑﻄﺔ ﺑﻴﻦ ﭼﻬﺎﺭ ﺳﺮﻭﻳﺴﻲ ﻛﻪ ﺗﺎ ﻛﻨﻮﻥ ﻣﻮﺭﺩ ﺑﺤﺚ ﻭﺍﻗﻊ ﺷﺪ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺩﺭ ﻫﻨﮕﺎﻡ ﺍﺭﺳﺎﻝ‪ ،‬ﺍﮔﺮ ﻻﺯﻡ ﺑﺎﺷﺪ‪،‬‬
‫ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﹸﺪ ‪ hash‬ﻣﺘﻦ ﺳﺎﺩﻩ ﻭ ﻓﺸﺮﺩﻩ ﻧﺸﺪﻩ ﭘﻴﺎﻡ‪ ،‬ﻳﻚ ﺍﻣﻀﺎﺀ ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﺩ‪ .‬ﺳﭙﺲ ﻣﺘﻦ ﺳﺎﺩﺓ ﭘﻴﺎﻡ ﻭ ﺍﻣﻀﺎﺀ )ﺩﺭﺻﻮﺭﺕ‬
‫ﺣﻀﻮﺭ( ﻓﺸﺮﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺳﭙﺲ ﺍﮔﺮ ﻣﺤﺮﻣﺎﻧﻪﺳﺎﺯﻱ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺑﺎﺷﺪ‪ ،‬ﺑﻠﻮﻙ )ﺻﻮﺭﺕ ﻓﺸﺮﺩﻩ ﺷﺪﺓ ﻣﺘﻦ ﺳﺎﺩﻩ ﻭ ﻳﺎ ﺻﻮﺭﺕ ﻓﺸﺮﺩﻩ ﺷﺪﺓ‬
‫ﺍﻣﻀﺎﺀ ﺑﻌﻼﻭﺓ ﻣﺘﻦ ﺳﺎﺩﻩ( ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﻭ ﺩﺭ ﺍﺑﺘﺪﺍﻱ ﺁﻥ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺭﻣﺰﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‪ ،‬ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫ﺑﺎﻻﺧﺮﻩ ﻛﻞ ﺑﻠﻮﻙ ﺑﻪ ﻓﺮﻣﺖ ‪ radix-64‬ﺩﺭ ﻣﻲﺁﻳﺪ‪.‬‬
‫ﺩﺭ ﺯﻣﺎﻥ ﺩﺭﻳﺎﻓﺖ‪ ،‬ﺑﻠﻮﻙ ﻭﺭﻭﺩﻱ ﺍﺑﺘﺪﺍ ﺍﺯ ﻓﺮﻣﺖ ‪ radix-64‬ﺑﺼﻮﺭﺕ ﺑﺎﻳﻨﺮﻱ ﺩﺭﻣﻲﺁﻳﺪ‪ .‬ﺁﻧﮕﺎﻩ ﺍﮔـﺮ ﭘﻴـﺎﻡ ﺭﻣﺰﻧﮕـﺎﺭﻱ ﺷـﺪﻩ‬
‫ﺑﺎﺷﺪ‪ ،‬ﮔﻴﺮﻧﺪﻩ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﺍ ﺑﺎﺯﻳﺎﺑﻲ ﻧﻤﻮﺩﻩ ﻭ ﭘﻴﺎﻡ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﻲﻛﻨﺪ‪ .‬ﻧﺘﻴﺠﺔ ﺣﺎﺻﻞ ﺭﺍ ﺑﺎﻳﺪ ﺍﺯ ﺣﺎﻟﺖ ﻓﺸﺮﺩﮔﻲ ﺧﺎﺭﺝ ﻛﺮﺩ‪ .‬ﺍﮔـﺮ‬
‫ﭘﻴﺎﻡ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺑﺎﺷﺪ‪ ،‬ﮔﻴﺮﻧﺪﻩ ﻛﹸﺪ ‪ hash‬ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ ﺭﺍ ﺍﺳﺘﺨﺮﺍﺝ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺎ ﻛﹸﺪ ‪ hash‬ﻧﺎﺷﻲ ﺍﺯ ﻣﺤﺎﺳـﺒﺎﺕ ﺧـﻮﺩ ﻣﻘﺎﻳـﺴﻪ‬
‫ﻗﻄﻌﻪﻗﻄﻌﻪ ﻛﺮﺩﻥ ﻭ ﺩﻭﺑﺎﺭﻩ ﺳﺮﻫﻢ ﻛﺮﺩﻥ ﺩﻳﺘﺎ‬

‫ﺗﺴﻬﻴﻼﺕ ‪ e-mail‬ﺍﻏﻠﺐ ﺍﺯ ﻧﻈﺮ ﻣﺎﻛﺰﻳﻤﻢ ﻃﻮﻝ ﭘﻴﺎﻡ ﻗﺎﺑﻞ ﺍﺭﺳﺎﻝ ﺩﺍﺭﺍﻱ ﻣﺤﺪﻭﺩﻳﺖﺍﻧﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﺗﺴﻬﻴﻼﺕ‬
‫ﻗﺎﺑﻞ ﺩﺳﺘﺮﺱ ﺍﺯ ﻃﺮﻳﻖ ﺍﻳﻨﺘﺮﻧﺖ‪ ،‬ﺣﺪﺍﻛﺜﺮ ﻃﻮﻝ ﭘﻴﺎﻡ ﺭﺍ ‪ ۵۰,۰۰۰‬ﺍﹸﻛﺘﺖ ﻣﻨﻈﻮﺭ ﻛﺮﺩﻩﺍﻧﺪ‪ .‬ﻫﺮ ﭘﻴﺎﻣﻲ ﻛﻪ ﻃﻮﻳﻞﺗﺮ ﺍﺯ ﺍﻳﻦ ﻣﻘﺪﺍﺭ ﺑﺎﺷﺪ‬
‫ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﻗﻄﻌﺎﺕ ﻛﻮﭼﻚﺗﺮﻱ ﺗﻘﺴﻴﻢ ﺷﺪﻩ ﻭ ﻫﺮ ﻗﻄﻌﻪ ﺑﻄﻮﺭ ﺟﺪﺍﮔﺎﻧﻪ ﺍﺭﺳﺎﻝ ﺷﻮﺩ‪.‬‬
‫ﺑﺮﺍﻱ ﻏﻠﺒﻪ ﺑﺮ ﺍﻳﻦ ﻣﺤﺪﻭﺩﻳﺖ‪ PGP ،‬ﭘﻴﺎﻣﻲ ﺭﺍ ﻛﻪ ﺑﻴﺶ ﺍﺯ ﺣﺪ ﻃﻮﻳﻞ ﺍﺳﺖ ﺑﻄﻮﺭ ﺧﻮﺩﻛﺎﺭ ﺑﻪ ﻗﻄﻌﺎﺗﻲ ﻛﻪ ﺑﺮﺍﻱ ﺍﺭﺳﺎﻝ ﺍﺯ‬
‫ﻃﺮﻳﻖ ‪ e-mail‬ﺑﺎﻧﺪﺍﺯﺓ ﻛﺎﻓﻲ ﻛﻮﭼﻚ ﺑﺎﺷﺪ ﺗﻘﺴﻴﻢ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﻗﻄﻌﻪﻗﻄﻌﻪ ﻛﺮﺩﻥ ﭘﺲ ﺍﺯ ﻫﻤﺔ ﭘﺮﺩﺍﺯﺵﻫﺎ ﻭ ﺍﺯ ﺟﻤﻠﻪ ﺗﺒﺪﻳﻞ‬
‫‪ radix-64‬ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻋﻨﺼﺮ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻭ ﻋﻨﺼﺮ ﺍﻣﻀﺎﺀ ﺗﻨﻬﺎ ﻳﻜﺒﺎﺭ ﻭ ﺁﻧﻬﻢ ﺩﺭ ﺍﺑﺘﺪﺍﻱ ﺍﻭﻟﻴﻦ ﻗﻄﻌﻪ ﺣﻀﻮﺭ ﺧﻮﺍﻫﻨﺪ‬
‫ﺩﺍﺷﺖ‪ .‬ﺩﺭ ﺳﻤﺖ ﮔﻴﺮﻧﺪﻩ‪ PGP ،‬ﺑﺎﻳﺴﺘﻲ ﺗﻤﺎﻡ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ‪ e-mail‬ﺭﺍ ﺟﺪﺍ ﻧﻤﻮﺩﻩ ﻭ ﻗﺒﻞ ﺍﺯ ﺍﻧﺠﺎﻡ ﻋﻤﻠﻴﺎﺕ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺩﺭ‬
‫ﺷﻜﻞ‪۵-۲‬ﺏ‪ ،‬ﺗﻤﺎﻡ ﺑﻠﻮﻙ ﺍﻭﻟﻴﻪ ﺭﺍ ﺳﺮﻫﻢ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪١٦١‬‬
‫ﻓﺎﻳﻞ ← ‪X‬‬
‫ﺧﺮﻭﺝ ﺍﺯ ﻓﺮﻣﺖ ‪Radix-64‬‬
‫]‪X ←R64-1 [X‬‬
‫ﺑﻠﻲ‬ ‫ﺗﻮﻟﻴﺪ ﺍﻣﻀﺎﺀ‬

‫ﺍﻣﻀﺎﺀ‬
‫ﻻﺯﻡ ﺍﺳﺖ؟‬ ‫‪X ← signature || X‬‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬ ‫ﺑﻠﻲ‬ ‫ﻛﻠﻴﺪ ﻭ ‪ X‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺷﻮﺩ‬
‫ﻻﺯﻡ ﺍﺳﺖ؟‬ ‫)) ‪Ks ←D(PRb ,E (PUb , Ks‬‬ ‫ﺧﻴﺮ‬
‫)) ‪X ←D (Ks ,E( Ks , X‬‬
‫ﺧﻴﺮ‬
‫ﻓﺸﺮﺩﻩﺳﺎﺯﻱ‬
‫)‪X ← Z(X‬‬
‫ﺧﺮﻭﺝ ﺍﺯ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ‬
‫)‪X ←Z-1 (X‬‬
‫ﺑﻠﻲ‬ ‫ﻛﻠﻴﺪ ﻭ ‪ X‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﺩ‬

‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬
‫)‪X ← E (PUb , Ks )|| E (Ks , X‬‬
‫ﺑﻠﻲ‬ ‫ﻻﺯﻡ ﺍﺳﺖ؟‬
‫ﺍﻣﻀﺎﺀ‬ ‫ﺍﻣﻀﺎﺀ ﺍﺯ ‪ X‬ﺟﺪﺍ ﺷﻮﺩ‬
‫ﻻﺯﻡ ﺍﺳﺖ؟‬ ‫ﺍﻣﻀﺎﺀ ﺗﺄﺋﻴﺪ ﺷﻮﺩ‬ ‫ﺧﻴﺮ‬
‫ﺧﻴﺮ‬
‫ﺗﺒﺪﻳﻞ ﺑﻪ ﻓﺮﻣﺖ ‪Radix-64‬‬

‫]‪X ← R64 [X‬‬
‫)ﺏ( ﺩﻳﺎﮔﺮﺍﻡ ﻋﻤﻮﻣﻲ ﺩﺭﻳﺎﻓﺖ ) ﺑﻪ ‪( B‬‬ ‫)ﺍﻟﻒ( ﺩﻳﺎﮔﺮﺍﻡ ﻋﻤﻮﻣﻲ ﺍﺭﺳﺎﻝ ) ﺍﺯ ‪( A‬‬
‫ﺍﺭﺳﺎﻝ ﻭ ﺩﺭﻳﺎﻓﺖ ﭘﻴﺎﻡﻫﺎﻱ ‪PGP‬‬ ‫ﺷﻜﻞ ‪۵ -۲‬‬

‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٦٢‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺩﺳﺘﻪﻛﻠﻴﺪﻫﺎ‬

‫‪ PGP‬ﺍﺯ ﭼﻬﺎﺭ ﻧﻮﻉ ﻛﻠﻴﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ :‬ﻛﻠﻴﺪﻫﺎﻱ ﺍﺟﻼﺱ ﻛﻪ ﻣﺘﻘﺎﺭﻥ ﻭ ﻳﻜﺒﺎﺭ ﻣﺼﺮﻑﺍﻧﺪ‪ ،‬ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ‪ ،‬ﻛﻠﻴﺪﻫﺎﻱ ﺧﺼﻮﺻﻲ ﻭ‬
‫ﻛﻠﻴﺪﻫﺎﻱ ﻣﺘﻘﺎﺭﻥ ﻣﺒﺘﻨﻲ ﺑﺮ ﻋﺒﺎﺭﺕ ﻋﺒﻮﺭ )ﻣﺘﻌﺎﻗﺒﺎﹰ ﺗﻮﺿﻴﺢ ﺩﺍﺩﻩ ﺧﻮﺍﻫﺪ ﺷﺪ(‪ .‬ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﺍﻳﻦ ﻛﻠﻴﺪﻫﺎ‪ ،‬ﺳﻪ ﻧﻴﺎﺯ ﺟﺪﺍﮔﺎﻧﻪ ﺭﺍ ﻣﻲﺗﻮﺍﻥ‬
‫ﺗﺸﺨﻴﺺ ﺩﺍﺩ‪:‬‬
‫‪ -۱‬ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪﻫﺎﻱ ﺍﺟﻼﺱ ﻏﻴﺮﻗﺎﺑﻞ ﭘﻴﺶﺑﻴﻨﻲ‪ ،‬ﺭﻭﺷﻲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪.‬‬
‫‪ -۲‬ﻋﻼﻗﻪﻣﻨﺪﻳﻢ ﺑﻪ ﻳﻚ ﻛﺎﺭﺑﺮ ﺍﺟﺎﺯﻩ ﺩﻫﻴﻢ ﺗﺎ ﭼﻨﺪﻳﻦ ﺯﻭﺝ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‪/‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻳﻚ ﺩﻟﻴﻞ‬
‫ﺁﻥ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺷﺎﻳﺪ ﻛﺎﺭﺑﺮ ﻋﻼﻗﻪﻣﻨﺪ ﺑﺎﺷﺪ ﺗﺎ ﻫﺮﭼﻨﺪﮔﺎﻩ ﻳﻜﺒﺎﺭ ﻛﻠﻴﺪ ﺧﻮﺩ ﺭﺍ ﻋﻮﺽ ﻛﻨﺪ‪ .‬ﻭﻗﺘﻲ ﺍﻳﻦ ﺍﺗﻔﺎﻕ ﻣﻲﺍﻓﺘﺪ‪ ،‬ﻫﺮ‬
‫ﭘﻴﺎﻣﻲ ﻛﻪ ﺩﺭ ﻣﺴﻴﺮ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﺑﺘﻮﺳﻂ ﻳﻚ ﻛﻠﻴﺪ ﺧﺎﺭﺝ ﺍﺯ ﺭﺩﻩ ﺍﻳﺠﺎﺩ ﻣﻲﺷﻮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ ﮔﻴﺮﻧﺪﮔﺎﻥ ﻧﻴﺰ ﺗﺎ ﺯﻣﺎﻧﻲ ﻛﻪ‬
‫ﻛﻠﻴﺪ ﺟﺪﻳﺪ ﺑﻪ ﺁﻧﻬﺎ ﻧﺮﺳﺪ‪ ،‬ﺗﻨﻬﺎ ﻛﻠﻴﺪ ﻗﺪﻳﻢ ﺭﺍ ﻣﻲﺷﻨﺎﺳﻨﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﻧﻴﺎﺯ ﺑﻪ ﺗﻌﻮﻳﺾ ﻛﻠﻴﺪ ﺩﺭ ﻃﻮﻝ ﺯﻣﺎﻥ‪ ،‬ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻤﻜﻦ‬
‫ﺍﺳﺖ ﻋﻼﻗﻪﻣﻨﺪ ﺑﺎﺷﺪ ﺗﺎ ﺩﺭ ﻫﺮ ﻟﺤﻈﻪ ﺯﻭﺝ ﻛﻠﻴﺪﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺗﺎ ﺑﺎ ﮔﺮﻭﻩﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺍﺭﺗﺒﺎﻁ‬
‫ﺩﺍﺷﺘﻪ ﻭ ﻳﺎ ﺑﺨﻮﺍﻫﺪ ﺑﺎ ﺗﻘﺴﻴﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻴﻦ ﻛﻠﻴﺪﻫﺎﻱ ﻣﺨﺘﻠﻒ‪ ،‬ﺍﻣﻨﻴﺖ ﺭﺍ ﺍﺭﺗﻘﺎﺀ ﺑﺨﺸﺪ‪ .‬ﻧﺘﻴﺠﺔ ﻧﻬﺎﺋﻲ ﺑﺤﺚ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ‬
‫ﺑﺎﻻﺧﺮﻩ ﻳﻚ ﺍﺭﺗﺒﺎﻁ ﻳﻚ‪ -‬ﺑﻪ‪ -‬ﻳﻚ ﺑﻴﻦ ﻛﺎﺭﺑﺮﺍﻥ ﻭ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺁﻧﺎﻥ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﺮﺍﻱ ﺷﻨﺎﺳﺎﺋﻲ ﻛﻠﻴﺪﻫﺎﻱ‬
‫ﻣﺨﺘﻠﻒ‪ ،‬ﺭﻭﺷﻲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪.‬‬
‫‪ -۳‬ﻫﺮ ﻭﺍﺣﺪ ‪ PGP‬ﺑﺎﻳﺴﺘﻲ ﻳﻚ ﻓﺎﻳﻞ ﻛﻪ ﻣﺤﺘﻮﻱ ﺯﻭﺝﻫﺎﻱ ﻛﻠﻴﺪﻋﻤﻮﻣﻲ‪/‬ﺧﺼﻮﺻﻲ ﺧﻮﺩ ﺍﻭ ﺍﺳﺖ ﻭ ﻓﺎﻳﻞ ﺩﻳﮕﺮﻱ ﻛﻪ ﻣﺤﺘﻮﻱ‬
‫ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﻃﺮﻑﻫﺎﻱ ﻣﻘﺎﺑﻞ ﺍﺳﺖ ﺭﺍ ﻧﮕﻬﺪﺍﺭﻱ ﻛﻨﺪ‪.‬‬
‫ﻫﺮ ﻳﻚ ﺍﺯ ﺍﻳﻦ ﻧﻴﺎﺯﻫﺎ ﺭﺍ ﺑﻪ ﺗﺮﺗﻴﺐ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﺍﺟﻼﺱ‬

‫ﻫﺮ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻣﺮﺑﻮﻁ ﺑﻪ ﻓﻘﻂ ﻳﻚ ﭘﻴﺎﻡ ﺑﻮﺩﻩ ﻭ ﺗﻨﻬﺎ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺁﻥ ﭘﻴﺎﻡ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﺑﺨﺎﻃﺮ ﺁﻭﺭﻳﺪﻛﻪ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ‪/‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﭘﻴﺎﻡ ﺑﺘﻮﺳﻂ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ CAST-128 .‬ﻭ ‪ IDEA‬ﺍﺯ ﻛﻠﻴﺪﻫﺎﻱ‬
‫‪ -۱۲۸‬ﺑﻴﺘﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ‪ 3DES‬ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ‪ -۱۶۸‬ﺑﻴﺘﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﺑﺤﺚ‪ CAST-128 ،‬ﺭﺍ ﺩﺭ ﻧﻈﺮ‬
‫ﻣﻲﮔﻴﺮﻳﻢ‪:‬‬
‫ﺍﻋﺪﺍﺩ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﺗﺼﺎﺩﻓﻲ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺧﻮﺩ ‪ CAST-128‬ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻭﺭﻭﺩﻱ ﺗﻮﻟﻴﺪﻛﻨﻨﺪﺓ ﻋﺪﺩ ﺗﺼﺎﺩﻓﻲ ﺷﺎﻣﻞ ﻳﻚ‬
‫ﻛﻠﻴﺪ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﻭ ﺩﻭ ﺑﻠﻮﻙ‪ -۶۴‬ﺑﻴﺘﻲ ﺍﺳﺖ ﻛﻪ ﺩﻭ ﺑﻠﻮﻙ ﺍﺧﻴﺮ ﻣﺘﻦ ﺳﺎﺩﻩﺍﻱ ﺗﻠﻘﻲ ﻣﻲﺷﻮﺩ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ ﮔﺮﺩﺩ‪ .‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﺍﺯ ﻣُﻮﺩ ﻓﻴﺪﺑﻚ ﺭﻣﺰ)‪ ،(CFB‬ﺭﻣﺰﻧﮕﺎﺭ ‪ CAST-128‬ﺩﻭ ﺑﻠﻮﻙ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ‪ -۶۴‬ﺑﻴﺘﻲ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﻬﻢ ﻣﺘﺼﻞ ﺷﺪﻩ ﺗﺎ ﻛﻠﻴﺪ‬
‫ﺍﺟﻼﺱ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﺭﺍ ﺩﺭﺳﺖ ﻛﻨﻨﺪ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻤﻲ ﻛﻪ ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ ،‬ﻫﻤﺎﻥ ﺍﺳﺖ ﻛﻪ ﺩﺭ ‪ ANSI X12.17‬ﺫﻛﺮ ﺷﺪﻩ‬
‫ﺍﺳﺖ‪.‬‬
‫»ﻣﺘﻦ ﺳﺎﺩﻩ« ﻭﺭﻭﺩﻱ ﺑﻪ ﺗﻮﻟﻴﺪﻛﻨﻨﺪﺓ ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ ﻛﻪ ﺷﺎﻣﻞ ﺩﻭ ﺑﻠﻮﻙ ‪ -۶۴‬ﺑﻴﺘﻲ ﺍﺳﺖ‪ ،‬ﺧﻮﺩ ﺍﺯ ﻳﻚ ﺩﻧﺒﺎﻟﺔ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﺍﺯ‬
‫ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ ﻣﺸﺘﻖ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺍﻋﺪﺍﺩ ﺑﺮ ﻣﺒﻨﺎﻱ ﺣﺮﻛﺎﺕ ﻛﻠﻴﺪ ﻛﺎﺭﺑﺮ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻳﻨﺪ‪ .‬ﻫﻢ ﺍﺯ ﺯﻣﺎﻥ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪﻫﺎ ﻭ ﻫﻢ ﺍﺯ‬
‫ﺧﻮﺩ ﻛﻠﻴﺪﻫﺎﻱ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ‪ ،‬ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﺩﻧﺒﺎﻟﺔ ﺗﺼﺎﺩﻓﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﮔﺮ ﻛﺎﺭﺑﺮ ﻛﻠﻴﺪﻫﺎﻱ ﺻﻔﺤﺔ ﻛﻠﻴﺪ ﺭﺍ ﺑﻄﻮﺭ‬
‫ﺍﺧﺘﻴﺎﺭﻱ ﻭ ﺑﺎ ﺳﺮﻋﺖ ﻧﺮﻣﺎﻝ ﺧﻮﺩ ﺑﻜﺎﺭ ﺑﻨﺪﺩ‪ ،‬ﻳﻚ ﻭﺭﻭﺩﻱ »ﺗﺼﺎﺩﻓﻲ« ﻣﻌﻘﻮﻝ ﺗﻮﻟﻴﺪ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺍﻳﻦ ﻭﺭﻭﺩﻱ ﺗﺼﺎﺩﻓﻲ ﻫﻤﭽﻨﻴﻦ ﺑﺎ ﻛﻠﻴﺪ‬
‫ﺍﺟﻼﺱ ﻗﺒﻠﻲ ﺗﻮﻟﻴﺪﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪ CAST-128‬ﺗﺮﻛﻴﺐ ﺷﺪﻩ ﺗﺎ ﻛﻠﻴﺪ ﻭﺭﻭﺩﻱ ﺑﻪ ﻣﻮﻟﹼﺪ ﺭﺍ ﺍﻳﺠﺎﺩ ﻧﻤﺎﻳﺪ‪ .‬ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﺧﺎﺻﻴﺖ‬
‫‪١٦٣‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣﺨﻠﻮﻁﻛﻨﻨﺪﮔﻲ ﻣﺆﺛﺮ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ ،CAST-128‬ﺍﻳﻦ ﻋﻤﻞ ﺭﺩﻳﻔﻲ ﺍﺯ ﻛﻠﻴﺪﻫﺎﻱ ﺍﺟﻼﺱ ﻛﻪ ﺑﻄﻮﺭ ﭼﺸﻤﮕﻴﺮﻱ ﻏﻴﺮﻗﺎﺑﻞ ﭘﻴﺶﺑﻴﻨﻲ ﻫﺴﺘﻨﺪ‬
‫ﺭﺍ ﺑﻮﺟﻮﺩ ﺧﻮﺍﻫﺪ ﺁﻭﺭﺩ‪.‬‬
‫ﺿﻤﻴﻤﺔ ‪ -۵‬ﺝ‪ ،‬ﺗﻜﻨﻴﻚ ﺗﻮﻟﻴﺪ ﻣﺘﻐﻴﺮﻫﺎﻱ ﺗﺼﺎﺩﻓﻲ ﺩﺭ ‪ PGP‬ﺭﺍ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﺷﻨﺎﺳﻪﻫﺎﻱ ﻛﻠﻴﺪﻫﺎ‬
‫ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺑﺤﺚ ﺷﺪ‪ ،‬ﻳﻚ ﭘﻴﺎﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺑﺎ ﻳﻚ ﻓﺮﻡ ﺭﻣﺰﺷﺪﻩ ﺍﺯ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻫﻤﺮﺍﻫﻲ ﻣﻲﺷﻮﺩ‪ .‬ﺧﻮﺩ‬
‫ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﮔﻴﺮﻧﺪﻩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺗﻨﻬﺎ ﮔﻴﺮﻧﺪﻩ ﻗﺎﺩﺭ ﺑﻪ ﺍﺳﺘﺨﺮﺍﺝ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻭ ﺩﺭ ﻧﺘﻴﺠﻪ‬
‫ﺍﺳﺘﺨﺮﺍﺝ ﭘﻴﺎﻡ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺍﮔﺮ ﻫﺮ ﻛﺎﺭﺑﺮ ﻓﻘﻂ ﺍﺯ ﻳﻚ ﺯﻭﺝ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‪/‬ﺧﺼﻮﺻﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﺮﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﮔﻴﺮﻧﺪﻩ ﺑﻄﻮﺭ ﺧﻮﺩﻛﺎﺭ‬
‫ﻣﻲﺩﺍﻧﺴﺖ ﻛﻪ ﺑﺎﻳﺪ ﺍﺯ ﭼﻪ ﻛﻠﻴﺪﻱ ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﺪ ﻛﻪ ﻫﻤﺎﻥ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻳﻜﺘﺎﻱ ﺧﻮﺩ ﮔﻴﺮﻧﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻭﻟﻲ ﻗﺒﻼﹰ ﺑﻴﺎﻥ ﻛﺮﺩﻳﻢ ﻛﻪ ﻻﺯﻡ ﺍﺳﺖ ﻫﺮ ﻛﺎﺭﺑﺮ ﺩﺍﺭﺍﻱ ﺯﻭﺝ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ‪/‬ﺧﺼﻮﺻﻲ ﻣﺘﻌﺪﺩﻱ ﺑﺎﺷﺪ‪.‬‬
‫ﺳﺆﺍﻝ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﮔﻴﺮﻧﺪﺓ ﭘﻴﺎﻡ ﭼﮕﻮﻧﻪ ﺑﺪﺍﻧﺪ ﻛﻪ ﺍﺯ ﻛﺪﺍﻡ ﻳﻚ ﺍﺯ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺍﻭ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﺷﺪﻩ ﺍﺳﺖ؟ ﻳﻚ ﺭﺍﻩ ﺣﻞ ﺳﺎﺩﻩ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺭﺍ ﺑﻬﻤﺮﺍﻩ ﭘﻴﺎﻡ ﺍﺭﺳﺎﻝ ﻛﺮﺩ‪ .‬ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ ﺩﺭ ﺍﻳﻦﺻﻮﺭﺕ ﻣﻲﺗﻮﺍﻧﺪ ﺗﺤﻘﻴﻖ‬
‫ﻛﻨﺪ ﻛﻪ ﺍﻳﻦ ﻳﻜﻲ ﺍﺯ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺍﻭ ﺑﻮﺩﻩ ﻭ ﺑﻪ ﻣﺮﺍﺣﻞ ﺑﻌﺪ ﺑﺮﻭﺩ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﻗﺎﺑﻞ ﺍﺟﺮﺍ ﺑﻮﺩﻩ ﻭﻟﻲ ﺑﻲﺟﻬﺖ ﻓﻀﺎﻱ ﺍﻧﺘﻘﺎﻝ ﺭﺍ ﺍﺷﻐﺎﻝ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ RSA‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﺻﺪﻫﺎ ﺭﻗﻢ ﺍﻋﺸﺎﺭﻱ ﺗﺸﻜﻴﻞ ﺷﺪﻩ ﺑﺎﺷﺪ‪ .‬ﺭﺍﻩ ﺣﻞ ﺩﻳﮕﺮ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﺎ ﻫﺮ ﻛﻠﻴﺪ‬
‫ﻋﻤﻮﻣﻲ‪ ،‬ﺷﻨﺎﺳﻪﺍﻱ ﺭﺍ ﻣﺮﺗﺒﻂ ﻛﺮﺩ ﻛﻪ ﺣﺪﺍﻗﻞ ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﻳﻚ ﻛﺎﺭﺑﺮ ﻳﻜﺘﺎ ﺑﺎﺷﺪ‪ .‬ﻳﻌﻨﻲ ﺗﺮﻛﻴﺐ ‪ ID‬ﻛﺎﺭﺑﺮ ﻭ ‪ ID‬ﻛﻠﻴﺪ ﻛﺎﻓﻲ ﺑﺎﺷﺪ ﺗﺎ‬
‫ﻛﻠﻴﺪ ﺭﺍ ﺑﺼﻮﺭﺕ ﻳﻜﺘﺎ ﺍﺳﺘﺨﺮﺍﺝ ﻧﻤﻮﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﺻﻮﺭﺕ ﺗﻨﻬﺎ ﻻﺯﻡ ﺍﺳﺖ ﻛﻪ ‪ ID‬ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﻠﻴﺪ ﻛﻪ ﺧﻴﻠﻲ ﻛﻮﺗﺎﻫﺘﺮ ﺍﺯ ﺧﻮﺩ ﻛﻠﻴﺪ ﺍﺳﺖ‬
‫ﺍﺭﺳﺎﻝ ﺷﻮﺩ‪ .‬ﺍﻣﺎ ﺍﻳﻦ ﺭﺍﻩ ﺣﻞ ﺧﻮﺩ ﻳﻚ ﻣﺸﻜﻞ ﻣﺪﻳﺮﻳﺖ ﻭ ﺍﻳﺠﺎﺩ ﺳﺮﺑﺎﺭﻩ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪ID :‬ﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﻠﻴﺪﻫﺎ ﺑﺎﻳﺴﺘﻲ ﺗﻌﻴﻴﻦ‬
‫ﺷﺪﻩ ﻭ ﺫﺧﻴﺮﻩ ﺷﻮﻧﺪ ﺑﻄﻮﺭﻱ ﻛﻪ ﻫﻢ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﻫﻢ ﮔﻴﺮﻧﺪﻩ ﺑﺘﻮﺍﻧﻨﺪ ﺍﺯ ﺭﻭﻱ ‪ ID‬ﻳﻚ ﻛﻠﻴﺪ ﺑﻪ ﺧﻮﺩ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺩﺳﺖ ﻳﺎﺑﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ‬
‫ﻧﻴﺰ ﭘﺮﺩﺭﺩﺳﺮ ﺑﻨﻈﺮ ﻣﻲﺭﺳﺪ‪.‬‬
‫ﺭﺍﻩ ﺣﻠﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ PGP‬ﺍﺗﺨﺎﺫ ﮔﺮﺩﻳﺪﻩ ﺍﺳﺖ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﻫﺮ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻳﻚ ‪ ID‬ﻛﻠﻴﺪ ﺗﺨﺼﻴﺺ ﺩﺍﺩﻩ ﺷﻮﺩ ﻛﻪ‪،‬‬
‫ﺑﺎ ﺍﺣﺘﻤﺎﻝ ﺑﺴﻴﺎﺭ ﺯﻳﺎﺩ‪ ،‬ﺩﺭ ﻣﺤﺪﻭﺩﺓ ‪ ID‬ﻳﻚ ﻛﺎﺭﺑﺮ ﻳﻜﺘﺎ ﺑﺎﺷﺪ‪ ID .‬ﻛﻠﻴﺪ ﻣﺮﺗﺒﻂ ﺑﺎ ﻫﺮ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻛﻢ ﺍﻫﻤﻴﺖﺗﺮﻳﻦ ‪ -۶۴‬ﺑﻴﺖ ﺁﻥ‬
‫ﻛﻠﻴﺪ ﺍﺳﺖ‪ .‬ﻳﻌﻨﻲ ‪ ID‬ﻳﻚ ﻛﻠﻴﺪﻋﻤﻮﻣﻲ ‪ PUa‬ﺑﺮﺍﺑﺮ ‪ PUa mod 264‬ﻣﻲﺑﺎﺷﺪ‪ .‬ﺍﻳﻦ ﻃﻮﻝ ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﺍﺣﺘﻤﺎﻝ ﺟﻌﻞ ﻳﻚ ‪ ID‬ﻛﻠﻴﺪ‬
‫ﺑﺴﻴﺎﺭ ﻛﻢ ﺑﺎﺷﺪ‪ ،‬ﻃﻮﻟﻲ ﻣﻌﻘﻮﻝ ﺍﺳﺖ‪.‬‬
‫ﻳﻚ ‪ ID‬ﻛﻠﻴﺪ ﻧﻴﺰ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ‪ PGP‬ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪ .‬ﭼﻮﻥ ﻳﻚ ﺍﺭﺳﺎﻝﻛﻨﻨﺪﻩ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻜﻲ ﺍﺯ ﭼﻨﺪ ﻛﻠﻴﺪ‬
‫ﺧﺼﻮﺻﻲ ﺭﺍ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺑﻜﺎﺭ ﺑﺮﺩ‪ ،‬ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ ﺑﺎﻳﺴﺘﻲ ﺑﺪﺍﻧﺪ ﻛﻪ ﺍﺯ ﻛﺪﺍﻡ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﺪ‪ .‬ﺑﻬﻤﻴﻦ‬
‫ﺟﻬﺖ ﻣﺆﻟﻔﺔ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﻳﻚ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﻳﻚ ‪ ID‬ﻛﻠﻴﺪ ‪ -۶۴‬ﺑﻴﺘﻲ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪ .‬ﻭﻗﺘﻲ ﭘﻴﺎﻡ ﺩﺭﻳﺎﻓﺖ‬
‫ﺷﺪ‪ ،‬ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ ﺍﺑﺘﺪﺍ ﺑﻪ ﺩﻧﺒﺎﻝ ﺗﺄﺋﻴﺪ ﺍﻳﻨﻜﻪ ‪ ID‬ﻛﻠﻴﺪ‪ ،‬ﻣﺮﺑﻮﻁ ﺑﻪ ﻳﻜﻲ ﺍﺯ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺷﻨﺎﺧﺘﻪ ﺷﺪﺓ ﺍﺭﺳﺎﻝﻛﻨﻨﺪﻩ ﺑﻮﺩﻩ‬
‫ﭘﺮﺩﺍﺧﺘﻪ‪ ،‬ﻭ ﺳﭙﺲ ﺑﻪ ﺩﻧﺒﺎﻝ ﺗﺄﺋﻴﺪ ﺍﻣﻀﺎﺀ ﻣﻲﺭﻭﺩ‪.‬‬
‫ﺣﺎﻝ ﻛﻪ ﻣﻔﻬﻮﻡ ‪ ID‬ﻛﻠﻴﺪ ﺭﺍ ﻣﻌﺮﻓﻲ ﻛﺮﺩﻳﻢ‪ ،‬ﻣﻲﺗﻮﺍﻧﻴﻢ ﻧﮕﺎﻩ ﺩﻗﻴﻖﺗﺮﻱ ﺑﻪ ﻓﺮﻣﺖ ﻳﻚ ﭘﻴﺎﻡ ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ ﻛﻪ ﺩﺭ ﺷﻜﻞ ‪۵-۳‬‬
‫ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ﺑﻴﻨﺪﺍﺯﻳﻢ‪ .‬ﻳﻚ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﺳﻪ ﻣﺆﻟﻔﻪ ﺍﺳﺖ‪ :‬ﻣﺆﻟﻔﺔ ﭘﻴﺎﻡ‪ ،‬ﻣﺆﻟﻔﺔ ﺍﻣﻀﺎﺀ)ﺍﺧﺘﻴﺎﺭﻱ( ﻭ ﻣﺆﻟﻔﺔ ﻛﻠﻴﺪ ﺍﺟﻼﺱ‬
‫)ﺍﺧﺘﻴﺎﺭﻱ(‪.‬‬
‫ﻣﺆﻟﻔﺔ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﺩﺍﺩﻩﻫﺎﻱ ﺍﺻﻠﻲ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺫﺧﻴﺮﻩ ﻭ ﻳﺎ ﺍﺭﺳﺎﻝ ﺷﻮﺩ ﺑﻮﺩﻩ ﻭ ﻳﻚ ﻧﺎﻡ ﻓﺎﻳﻞ ﻭ ﻳﻚ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﻛﻪ ﺯﻣﺎﻥ‬
‫ﺧﻠﻖ ﭘﻴﺎﻡ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻧﻴﺰ ﺑﺎ ﺁﻥ ﻫﻤﺮﺍﻩ ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٦٤‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣﺤﺘﻮﺍ‬ ‫ﻋﻤﻞ‬
‫‪ID‬‬
‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ)‪(PUb‬ﮔﻴﺮﻧﺪﻩ‬
‫ﻣﺆﻟﻔﺔ‬
‫ﻛﻠﻴﺪ ﺍﺟﻼﺱ‬ ‫ﻛﻠﻴﺪ ﺍﺟﻼﺱ)‪(Ks‬‬ ‫)‪E (PUb , i‬‬
‫ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ‬
‫‪ID‬‬
‫ﺍﻣﻀﺎﺀ‬ ‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ)‪ (PUa‬ﻓﺮﺳﺘﻨﺪﻩ‬
‫ﺩﻭ ﺍﹸﻛﺘﺖ ﺟﻠﻮﺋﻲ‬
‫ﭼﻜﻴﺪﻩ ﭘﻴﺎﻡ‬
‫ﭼﻜﻴﺪﻩ ﭘﻴﺎﻡ‬ ‫)‪E (PRa , i‬‬ ‫‪R64‬‬
‫ﻧﺎﻡ ﻓﺎﻳﻞ‬
‫‪ZIP‬‬ ‫)‪E (Ks , i‬‬
‫ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ‬
‫ﭘﻴﺎﻡ‬
‫ﺩﻳﺘﺎ‬
‫ﻋﻼﺋﻢ ﺍﺧﺘﺼﺎﺭﻱ‪:‬‬
‫)‪ = E (PUb , i‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻛﺎﺭﺑﺮ ‪b‬‬
‫)‪ = E (PRa , i‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻛﺎﺭﺑﺮ ‪a‬‬
‫)‪ = E (Ks , i‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎ ﻛﻠﻴﺪ ﺍﺟﻼﺱ‬
‫= ﺗﺎﺑﻊ ﻓﺸﺮﺩﻩ ﺳﺎﺯﻱ‪ZIP‬‬ ‫‪ZIP‬‬
‫= ﺗﺎﺑﻊ ﺗﺒﺪﻳﻞ ‪Radix-64‬‬ ‫‪R64‬‬
‫ﺷﻜﻞ ‪ ۵ -۳‬ﻓﺮﻡ ﻋﻤﻮﻣﻲ ﭘﻴﺎﻡ ‪) PGP‬ﺍﺯ ‪ A‬ﺑﻪ ‪(B‬‬
‫ﻣﻮﻟﻔﺔ ﺍﻣﻀﺎﺀ ﺷﺎﻣﻞ ﺍﻗﻼﻡ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ‪ :‬ﺯﻣﺎﻧﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﭘﻴﺎﻡ ﺩﺭ ﺁﻥ ﻟﺤﻈﻪ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ‪ :‬ﭼﻜﻴﺪﺓ ‪ -۱۶۰‬ﺑﻴﺘﻲ ‪ SHA-1‬ﭘﻴﺎﻡ‪ ،‬ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﻣﻀﺎﺀ ﺍﺭﺳﺎﻝﻛﻨﻨﺪﻩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺭﺍ‬ ‫•‬
‫ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﭼﻜﻴﺪﻩ ﺭﻭﻱ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﻣﺆﻟﻔﺔ ﺍﻣﻀﺎﺀ ﻛﻪ ﺑﺎ ﺑﺨﺶ ﺩﻳﺘﺎﻱ ﻣﺆﻟﻔﺔ ﭘﻴﺎﻡ ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ ﺷﺪﻩ ﺍﺳﺖ‪،‬‬
‫ﻣﺤﺎﺳﺒﻪ ﻣﻲﺷﻮﺩ‪ .‬ﻗﺮﺍﺭﺩﺍﺩﻥ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﻣﺆﻟﻔﺔ ﺍﻣﻀﺎﺀ ﺩﺭ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ‪ ،‬ﻣﺤﺎﻓﻈﺖ ﺩﺭ ﻣﻘﺎﺑﻞ ﺣﻤﻠﻪﻫﺎﻱ ﺍﺯ ﻧﻮﻉ ﺑﺎﺯﺧﻮﺍﻧﻲ‬
‫ﺭﺍ ﺗﻀﻤﻴﻦ ﻣﻲﻛﻨﺪ‪ .‬ﻗﺮﺍﺭ ﻧﺪﺍﺩﻥ ﻧﺎﻡ ﻓﺎﻳﻞ ﻭ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﻣﺆﻟﻔﺔ ﭘﻴﺎﻡ‪ ،‬ﺍﻳﻦ ﺍﻃﻤﻴﻨﺎﻥ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪﻛﻪ ﺍﻣﻀﺎﺀﻫﺎﻱ‬
‫‪١٦٥‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺟﺪﺍﺷﺪﻩ ﻋﻴﻨﺎﹰ ﺷﺒﻴﻪ ﻫﻤﺎﻥ ﺍﻣﻀﺎﺀﻫﺎﻱ ﺍﺿﺎﻓﻪ ﺷﺪﻩ ﺑﻪ ﺍﻭﻝ ﭘﻴﺎﻡ ﺍﺳﺖ‪ .‬ﺍﻣﻀﺎﺀﻫﺎﻱ ﺟﺪﺍﺷﺪﻩ ﺩﺭ ﻓﺎﻳﻠﻲ ﺟﺪﺍﮔﺎﻧﻪ ﻣﺤﺎﺳﺒﻪ‬
‫ﻣﻲﺷﻮﻧﺪ ﻛﻪ ﻫﻴﭻﻳﻚ ﺍﺯ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺳﺮﺁﻳﻨﺪ ﭘﻴﺎﻡ ﺭﺍ ﺩﺍﺭﺍ ﻧﻴﺴﺘﻨﺪ‪.‬‬
‫ﺩﻭ ﺍﹸﻛﺘﺖ ﺟﻠﻮﺋﻲ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ‪ :‬ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺑﺘﻮﺍﻧﺪ ﺗﻌﻴﻴﻦ ﻛﻨﺪ ﻛﻪ ﺁﻳﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺻﺤﻴﺢ ﺑﺮﺍﻱ‬ ‫•‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻋﻤﻞ ﺑﺎ ﻣﻘﺎﻳﺴﺔ ﻛﭙﻲ ﻣﺘﻦ ﺳﺎﺩﺓ ﺍﻭﻟﻴﻦ ﺩﻭ ﺍﹸﻛﺘﺖ‪ ،‬ﺑﺎ ﺍﻭﻟﻴﻦ‬
‫ﺩﻭ ﺍﹸﻛﺘﺖ ﺭﻣــﺰﮔﺸﺎﺋﻲ ﺷــﺪﺓ ﭼﻜﻴــﺪﺓ ﭘﻴــﺎﻡ ﺍﻧﺠــﺎﻡ ﻣﻲﺷــﻮﺩ‪ .‬ﺍﻳﻦ ﺍﹸﻛﺘﺖﻫﺎ ﻫﻤﭽﻨﻴﻦ ﺑﻌﻨــﻮﺍﻥ ﻳﻚ ‪FCS‬‬
‫)‪ -۱۶ (Frame Check Sequence‬ﺑﻴﺘﻲ ﺑﺮﺍﻱ ﭘﻴﺎﻡ ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪.‬‬
‫‪ ID‬ﻛﻠﻴﺪ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻓﺮﺳﺘﻨﺪﻩ‪ :‬ﺁﻥ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﭘﻴﺎﻡ ﺑﻜﺎﺭ‬ ‫•‬
‫ﺭﻭﺩ‪ ،‬ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡ ﺭﺍ ﻧﻴﺰ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻣﺆﻟﻔﺔ ﭘﻴﺎﻡ ﻭ ﻣﺆﻟﻔﺔ ﺍﺧﺘﻴﺎﺭﻱ ﺍﻣﻀﺎﺀ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ ZIP‬ﻓﺸﺮﺩﻩ ﻧﻤﻮﺩﻩ ﻭ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻧﻴﺰ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﺮﺩ‪.‬‬
‫ﻣﺆﻟﻔﺔ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺷﺎﻣﻞ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻭ ﺷﻨﺎﺳﺔ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻓﺮﺳﺘﻨﺪﻩ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺗﻤﺎﻡ ﺑﻠﻮﻙ ﻣﻌﻤﻮﻻﹰ ﺑﺘﻮﺳﻂ ﻛﹸﺪﻳﻨﮓ ‪ radix-64‬ﻛﹸﺪ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺩﺳﺘﻪﻛﻠﻴﺪﻫﺎ‬
‫ﺩﻳﺪﻳﻢ ﻛﻪ ‪ID‬ﻫﺎﻱ ﻛﻠﻴﺪﻫﺎ ﺩﺭ ﻋﻤﻠﻴﺎﺕ ‪ PGP‬ﻧﻘﺶ ﺍﺳﺎﺳﻲ ﺩﺍﺷﺘﻪ ﻭ ﺩﻭ ‪ ID‬ﻣﺮﺑﻮﻁ ﺑﻪ ﺩﻭ ﻛﻠﻴﺪ ﺩﺭ ﻫﺮ ﭘﻴﺎﻡ ‪ PGP‬ﻗﺮﺍﺭ‬
‫ﻣﻲﮔﻴﺮﻧﺪ ﺗﺎ ﻫﻢ ﻣﺤﺮﻣﺎﻧﮕﻲ ﻭ ﻫﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﻓﺮﺍﻫﻢﺁﻭﺭﻧﺪ‪ .‬ﺍﻳﻦ ﻛﻠﻴﺪﻫﺎ ﻻﺯﻡ ﺍﺳﺖ ﺗﺎ ﺑﺼﻮﺭﺕ ﺳﻴﺴﺘﻤﺎﺗﻴﻚ ﺳﺎﺯﻣﺎﻥﺩﻫﻲ ﻭ ﺫﺧﻴﺮﻩ‬
‫ﮔﺮﺩﻧﺪ ﺗﺎ ﺑﺼﻮﺭﺕ ﺑﻬﺮﻩﻭﺭ ﻭ ﻣﺆﺛﺮ ﺑﺘﻮﺳﻂ ﻃﺮﻑﻫﺎﻱ ﺩﺭﮔﻴﺮ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ‪ .‬ﺭﻭﺷﻲ ﻛﻪ ﺩﺭ ‪ PGP‬ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‬
‫ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﺯﻭﺝ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﺩﺭ ﻫﺮ ﮔﺮﻩ ﺍﻳﺠﺎﺩ ﺷﻮﺩ ﻛﻪ ﻳﻜﻲ ﺍﺯ ﺍﻳﻦ ﭘﺎﻳﮕﺎﻩﻫﺎ ﺟﻔﺖ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‪/‬ﺧﺼﻮﺻﻲ ﻣﺘﻌﻠﻖ ﺑﻪ ﺁﻥ ﮔﺮﻩ‬
‫ﺭﺍ ﺫﺧﻴﺮﻩ ﻛﺮﺩﻩ ﻭ ﭘﺎﻳﮕﺎﻩ ﺩﻳﮕﺮ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺳﺎﻳﺮ ﻛﺎﺭﺑﺮﺍﻥ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺑﺮﺍﻱ ﺍﻳﻦ ﮔﺮﻩ ﺭﺍ ﻧﮕﻬﺪﺍﺭﻱ ﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﺳﺎﺧﺘﺎﺭﻫﺎ ﺭﺍ‬
‫ﺑﺘﺮﺗﻴﺐ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﺧﺼﻮﺻﻲ ﻭ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻧﺎﻣﻨﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۵-۴‬ﺳﺎﺧﺘﺎﺭ ﻋﻤﻮﻣﻲ ﻳﻚ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﺧﺼﻮﺻﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺩﺳﺘﻪﻛﻠﻴﺪ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺼﻮﺭﺕ ﺟﺪﻭﻟﻲ ﺩﺭ ﻧﻈﺮ‬
‫ﮔﺮﻓﺖ ﻛﻪ ﺩﺭ ﺁﻥ ﻫﺮ ﺭﺩﻳﻒ ﻧﻤﺎﻳﺸﮕﺮ ﻳﻜﻲ ﺍﺯ ﺟﻔﺖ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ‪/‬ﺧﺼﻮﺻﻲ ﻣﺘﻌﻠﻖ ﺑﻪ ﺁﻥ ﻛﺎﺭﺑﺮ ﺍﺳﺖ‪ .‬ﻫﺮ ﺭﺩﻳﻒ ﺷﺎﻣﻞ‬
‫ﻣﺆﻟﻔﻪﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ‪ :‬ﺗﺎﺭﻳﺦ ﻭ ﺯﻣﺎﻧﻲ ﻛﻪ ﺍﻳﻦ ﺟﻔﺖ ﻛﻠﻴﺪ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫‪ ID‬ﻛﻠﻴﺪ‪ :‬ﻛﻢ ﺍﺭﺯﺵﺗﺮﻳﻦ ‪ -۶۴‬ﺑﻴﺖ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺁﻥ ﻣﺆﻟﻔﻪ‪.‬‬ ‫•‬
‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‪ :‬ﺑﺨﺶ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﻳﻦ ﺟﻔﺖ‪.‬‬ ‫•‬
‫ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ‪ :‬ﺑﺨﺶ ﻛﻠﻴﺪ‪ -‬ﺧﺼﻮﺻﻲ ﺍﻳﻦ ﺟﻔﺖ‪ .‬ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫‪ ID‬ﻛﺎﺭﺑﺮ‪ :‬ﻣﻌﻤﻮﻻﹰ ﺍﻳﻦ ﺑﺨﺶ ﺁﺩﺭﺱ ‪ e-mail‬ﻛﺎﺭﺑﺮ ﺍﺳﺖ )ﻣﺜﻞ ‪ .(movahed730@yahoo.com‬ﻭﻟﻲ ﻛﺎﺭﺑﺮ‬ ‫•‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﻫﺮ ﺟﻔﺖ ﻛﻠﻴﺪ‪ ،‬ﻧﺎﻡ ﻣﺘﻔﺎﻭﺗﻲ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻧﻤﺎﻳﺪ )ﻣﺜﻞ ‪ Mmovahed ،mov ،MOV‬ﻭ ﻏﻴﺮﻩ( ﻭ ﻳﺎ ﻫﻤﺎﻥ‬
‫‪ ID‬ﻛﺎﺭﺑﺮ ﺭﺍ ﺑﻴﺶ ﺍﺯ ﻳﻜﺒﺎﺭ ﺗﻜﺮﺍﺭ ﻛﻨﺪ‪.‬‬
‫ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﺧﺼﻮﺻﻲ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺮﺣﺴﺐ ‪ ID‬ﻛﺎﺭﺑﺮ ﻭ ﻳﺎ ‪ ID‬ﻛﻠﻴﺪ ﺗﻨﻈﻴﻢ ﻛﺮﺩ‪ .‬ﺑﻌﺪﺍﹰ ﺍﻫﻤﻴﺖ ﺍﻳﻦ ﺩﻭ ﺗﻨﻈﻴﻢ ﺭﺍ ﻣﺸﺎﻫﺪﻩ‬
‫ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٦٦‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﺧﺼﻮﺻﻲ‬
‫‪Timestamp‬‬ ‫‪Key ID‬‬ ‫‪Public Key‬‬ ‫‪Encrypted Private‬‬ ‫‪User‬‬
‫‪Key‬‬ ‫‪ID‬‬
‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬
‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬
‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬
‫‪Ti‬‬ ‫‪PUi mod264‬‬ ‫‪PUi‬‬ ‫)‪E(H(Pi) , PRi‬‬ ‫‪User i‬‬
‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬
‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬
‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬
‫ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫‪Timestamp‬‬ ‫‪Key ID‬‬ ‫‪Public‬‬ ‫‪Owner‬‬ ‫‪User‬‬ ‫‪Key‬‬ ‫)‪Signature(s‬‬ ‫‪Signiture‬‬
‫‪Key‬‬ ‫‪Trust‬‬ ‫‪ID‬‬ ‫‪Legitimacy‬‬ ‫)‪Trust(s‬‬
‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬
‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬
‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬
‫‪Ti‬‬ ‫‪PUi mod264‬‬ ‫‪PUi‬‬ ‫‪trust_flag i‬‬ ‫‪User i‬‬ ‫‪trust_flag i‬‬
‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬
‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬
‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬ ‫•‬
‫ﺷﻜﻞ ‪ ۵-۴‬ﺳﺎﺧﺘﺎﺭ ﻋﻤﻮﻣﻲ ﺩﺳﺘﻪﻛﻠﻴﺪﻫﺎﻱ‪ -‬ﻋﻤﻮﻣﻲ ﻭ ﺧﺼﻮﺻﻲ‬
‫ﺍﮔﺮﭼﻪ ﻫﺪﻑ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﺧﺼﻮﺻﻲ ﺗﻨﻬﺎ ﺭﻭﻱ ﻣﺎﺷﻴﻦ ﻛﺎﺭﺑﺮ ﻛﻪ ﺍﻳﻦ ﺟﻔﺖ ﻛﻠﻴﺪﻫﺎ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﺍﺳﺖ ﻭ‬
‫ﺻﺎﺣﺐ ﺁﻥ ﺍﺳﺖ ﺫﺧﻴﺮﻩ ﺷﻮﺩ ﻭ ﺗﻨﻬﺎ ﺩﺭ ﺩﺳﺘﺮﺱ ﻫﻤﺎﻥ ﻛﺎﺭﺑﺮ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪ ،‬ﻭﻟﻲ ﻣﻨﻄﻘﻲ ﺍﺳﺖ ﻛﻪ ﺍﻧﺪﺍﺯﺓ ﻛﻠﻴﺪﻫﺎﻱ ﺧﺼﻮﺻﻲ ﺭﺍ ﺗﺎ ﺣﺪ‬
‫ﻣﻤﻜﻦ ﻣﺨﻔﻲ ﻧﮕﺎﻩ ﺩﺍﺷﺘﻪ ﻭ ﺣﻔﺎﻇﺖ ﻛﺮﺩ‪ .‬ﺑﻬﻤﻴﻦ ﺟﻬﺖ ﺧﻮﺩ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺩﺭ ﺩﺳﺘﻪﻛﻠﻴﺪ ﺫﺧﻴﺮﻩ ﻧﻤﻲﺷﻮﺩ‪ .‬ﺑﻠﻜﻪ ﺍﻳﻦ ﻛﻠﻴﺪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﺍﺯ ‪) CAST-128‬ﻳﺎ ‪ IDEA‬ﻳﺎ ‪ (3DES‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺭﻭﺵ ﻋﻤﻞ ﭼﻨﻴﻦ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﻛﺎﺭﺑﺮ ﻳﻚ ﻋﺒﺎﺭﺕ ﻋﺒﻮﺭ )‪ (passphrase‬ﻛﻪ ﻗﺮﺍﺭ ﺍﺳﺖ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪﻫﺎﻱ ﺧﺼﻮﺻﻲ ﺑﻜﺎﺭ ﺭﻭﺩ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ -۲‬ﻭﻗﺘﻲ ﺳﻴﺴﺘﻢ ﻳﻚ ﺟﻔﺖ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‪/‬ﺧﺼﻮﺻﻲ ﺟﺪﻳﺪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ RSA‬ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ ،‬ﺍﺯ ﻛﺎﺭﺑﺮ ﻧﺴﺒﺖ ﺑﻪ ﻋﺒﺎﺭﺕ‬
‫ﻋﺒﻮﺭ ﺳﺆﺍﻝ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ SHA-1‬ﻳﻚ ﻛﹸﺪ ‪ -۱۶۰‬ﺑﻴﺘﻲ ﺍﺯ ﺍﻳﻦ ﻋﺒﺎﺭﺕ ﻋﺒﻮﺭ ﺩﺭﺳﺖ ﺷﺪﻩ ﻭ ﺧﻮﺩ ﻋﺒﺎﺭﺕ ﻋﺒﻮﺭ‬
‫ﻣﻌﺪﻭﻡ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ -۳‬ﺳﻴﺴﺘﻢ‪ ،‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ CAST-128‬ﻭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ -۱۲۸‬ﺑﻴﺖ ﻛﹸﺪ ‪ hash‬ﺑﻌﻨﻮﺍﻥ ﻛﻠﻴﺪ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﻛﹸﺪ ‪ hash‬ﻣﺘﻌﺎﻗﺒﺎﹰ ﻣﻌﺪﻭﻡ ﺷﺪﻩ ﻭ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺭﻣﺰﺷﺪﻩ ﺩﺭ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﺧﺼﻮﺻﻲ ﺫﺧﻴﺮﻩ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫‪١٦٧‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣﺘﻌﺎﻗﺒﺎﹰ ﻭﻗﺘﻲ ﻳﻚ ﻛﺎﺭﺑﺮ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﺧﺼﻮﺻﻲ ﺭﺍ ﺑﺮﻣﻲﺩﺍﺭﺩ ﺗﺎ ﻳﻚ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﻨﺪ‪ ،‬ﺍﻭ ﺑﺎﻳﺴﺘﻲ ﻋﺒﺎﺭﺕ‬
‫ﻋﺒﻮﺭ ﺭﺍ ﺍﺭﺍﺋﻪ ﻧﻤﺎﻳﺪ‪ PGP .‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺭﺍ ﺑﺎﺯﻳﺎﺑﻲ ﻧﻤﻮﺩﻩ‪ ،‬ﻛﹸﺪ ‪ hash‬ﻧﻈﻴﺮ ﻋﺒﺎﺭﺕ ﻋﺒﻮﺭ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﻭ ﻛﻠﻴﺪ‬
‫ﺧﺼﻮﺻﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ CAST-128‬ﻭ ﻛﹸﺪ ‪ hash‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﺍﻳﻦ ﻳﻚ ﺭﻭﺵ ﺑﺴﻴﺎﺭ ﺳﺎﺩﻩ ﻭ ﻣﺆﺛﺮ ﺍﺳﺖ‪ .‬ﻫﻤﺎﻧﻨﺪ ﻫﺮ ﺳﻴﺴﺘﻢ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‪ ،‬ﺍﻣﻨﻴﺖ ﺍﻳﻦ ﺳﻴﺴﺘﻢ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﺍﻣﻨﻴﺖ‬
‫ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﻭﺳﻮﺳﺔ ﻧﻮﺷﺘﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﺮ ﺭﻭﻱ ﻛﺎﻏﺬ‪ ،‬ﻛﺎﺭﺑﺮ ﺍﺯ ﻳﻚ ﻋﺒﺎﺭﺕ ﻋﺒﻮﺭ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪﻛﻪ‬
‫ﺑﺴﺎﺩﮔﻲ ﻗﺎﺑﻞ ﺣﺪﺱ ﻧﺒﻮﺩﻩ ﻭﻟﻲ ﺑﺴﺎﺩﮔﻲ ﻗﺎﺑﻞ ﺑﺨﺎﻃﺮ ﺳﭙﺮﺩﻥ ﺍﺳﺖ‪.‬‬
‫ﺷﻜﻞ ‪ ۵-۴‬ﻫﻤﭽﻨﻴﻦ ﺳﺎﺧﺘﺎﺭ ﻛﻠﻲ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﺑﺮﺍﻱ ﺫﺧﻴﺮﻩ ﻛﺮﺩﻥ ﻛﻠﻴﺪﻫﺎﻱ‬
‫ﻋﻤﻮﻣﻲ ﺳﺎﻳﺮ ﻛﺎﺭﺑﺮﺍﻥ ﻛﻪ ﻧﺰﺩ ﺍﻳﻦ ﻛﺎﺭﺑﺮ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﻓﻌﻼﹰ ﺍﺟﺎﺯﻩ ﺩﻫﻴﺪ ﺑﻌﻀﻲ ﺍﺯ ﻣﻴﺪﺍﻥﻫﺎﻱ ﻣﻮﺟﻮﺩ ﻧﺸﺎﻥ ﺩﺍﺩﻩ‬
‫ﺷﺪﻩ ﺩﺭ ﺟﺪﻭﻝ ﺭﺍ ﻓﺮﺍﻣﻮﺵ ﻛﺮﺩﻩ ﻭ ﺑﻪ ﺗﻮﺻﻴﻒ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺯﻳﺮ ﺑﭙﺮﺩﺍﺯﻳﻢ‪:‬‬
‫ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ‪ :‬ﺗﺎﺭﻳﺦ‪ /‬ﺯﻣﺎﻥ ﺧﻠﻖ ﺍﻳﻦ ﻣﻮﺭﺩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬ ‫•‬
‫‪ ID‬ﻛﻠﻴﺪ‪ :‬ﻛﻢ ﺍﻫﻤﻴﺖﺗﺮﻳﻦ ‪ -۶۴‬ﺑﻴﺖ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﻳﻦ ﻣﻮﺭﺩ‪.‬‬ ‫•‬
‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‪ :‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﻳﻦ ﻣﻮﺭﺩ‪.‬‬ ‫•‬
‫‪ ID‬ﻛﺎﺭﺑﺮ‪ :‬ﺻﺎﺣﺐ ﺍﻳﻦ ﻛﻠﻴﺪ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪ .‬ﻣﻤﻜﻦ ﺍﺳﺖ ﭼﻨﺪﻳﻦ ‪ ID‬ﻛﺎﺭﺑﺮ ﻣﺮﺗﺒﻂ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻣﻨﻔﺮﺩ‬ ‫•‬
‫ﺑﺎﺷﻨﺪ‪.‬‬
‫ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﻳﺎ ﺑﺮ ﺣﺴﺐ ‪ ID‬ﻛﺎﺭﺑﺮ ﻭ ﻳﺎ ﺑﺮ ﺣﺴﺐ ‪ ID‬ﻛﻠﻴﺪ ﺭﺩﻩﺑﻨﺪﻱ ﻧﻤﻮﺩ‪ .‬ﻧﻴﺎﺯ ﺑﻪ ﻫﺮﺩﻭ ﺭﻭﺵ ﺭﺍ ﻣﺘﻌﺎﻗﺒﺎﹰ‬
‫ﻣﺸﺎﻫﺪﻩ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ‪.‬‬
‫ﺣﺎﻝ ﺩﺭ ﻣﻮﻗﻌﻴﺘﻲ ﻫﺴﺘﻴﻢ ﻛﻪ ﻧﺸﺎﻥ ﺩﻫﻴﻢ ﭼﮕﻮﻧﻪ ﺍﻳﻦ ﺩﺳﺘﻪﻛﻠﻴﺪﻫﺎ ﺩﺭ ﺍﺭﺳﺎﻝ ﻭ ﺩﺭﻳﺎﻓﺖ ﭘﻴﺎﻡ ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪ .‬ﺑﻤﻨﻈﻮﺭ ﺳﻬﻮﻟﺖ‪،‬‬
‫ﺍﺯ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻭ ﺗﺒﺪﻳﻞ ‪ radix-64‬ﺩﺭ ﺍﻳﻦ ﺑﺤﺚ ﺻﺮﻓﻨﻈﺮ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺍﺑﺘﺪﺍ ﺍﺭﺳﺎﻝ ﭘﻴﺎﻡ )ﺷﻜﻞ ‪ (۵-۵‬ﺭﺍ ﺩﺭ ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﻭ ﻓﺮﺽ ﻛﻨﻴﺪ‬
‫ﻛﻪ ﭘﻴﺎﻡ ﺑﺎﻳﺴﺘﻲ ﻫﻢ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﻭ ﻫﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﺩ‪ PGP .‬ﺍﺭﺳﺎﻝﻛﻨﻨﺪﺓ ﭘﻴﺎﻡ ﻗﺪﻡﻫﺎﻱ ﺯﻳﺮ ﺭﺍ ﺑﺮﻣﻲﺩﺍﺭﺩ‪:‬‬
‫‪ -۱‬ﺍﻣﻀﺎﺀ ﭘﻴﺎﻡ‬
‫ﺍﻟﻒ‪ PGP -‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﺭﺳﺎﻝﻛﻨﻨﺪﺓ ﭘﻴﺎﻡ ﺭﺍ ﺍﺯ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﺧﺼﻮﺻﻲ ﺍﻭ‪ ،‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻧﺪﻳﺲ ‪،your_userid‬‬
‫ﺍﺳﺘﺨﺮﺍﺝ ﻣﻲﻛﻨﺪ‪ .‬ﺍﮔﺮ ‪ your_userid‬ﺩﺭ ﻓﺮﻣﺎﻥ ﻭﺟﻮﺩ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺍﻭﻟﻴﻦ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺩﺳﺘﻪﻛﻠﻴﺪ ﺍﻧﺘﺨﺎﺏ‬
‫ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺏ‪ PGP -‬ﻋﺒﺎﺭﺕ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ ﺭﺍ ﺍﺯ ﺍﻭ ﺳﺆﺍﻝ ﻛﺮﺩﻩ ﺗﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺭﻣﺰﻧﺸﺪﻩ ﺭﺍ ﺑﺎﺯﻳﺎﺑﻲ ﻛﻨﺪ‪.‬‬
‫ﺝ‪ -‬ﻣﺆﻟﻔﺔ ﺍﻣﻀﺎﺀ ﭘﻴﺎﻡ ﺳﺎﺧﺘﻪ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ -۲‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡ‬
‫ﺍﻟﻒ‪ PGP -‬ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﻭ ﭘﻴﺎﻡ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺏ‪ PGP -‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﺓ ﭘﻴﺎﻡ ﺭﺍ‪ ،‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻧﺪﻳﺲ ‪ ،her_userid‬ﺍﺯ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻛﺎﺭﺑﺮ‬
‫ﺍﺳﺘﺨﺮﺍﺝ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺝ‪ -‬ﻣﺆﻟﻔﺔ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﭘﻴﺎﻡ ﺳﺎﺧﺘﻪ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ PGP‬ﻭﺍﺣﺪ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﺓ ﭘﻴﺎﻡ ﻗﺪﻡﻫﺎﻱ ﺯﻳﺮ ﺭﺍ ﺑﺮﻣﻲﺩﺍﺭﺩ )ﺷﻜﻞ ‪:(۵-۶‬‬

www.NetSimulate.net ‫ ﻣﺮﺟﻊ ﺷﺒﯿﻪ ﺳﺎزي ﺷﺒﮑﻪ ﻫﺎي ﮐﺎﻣﭙﯿﻮﺗﺮي و ﻣﺨﺎﺑﺮاﺗﯽ‬- ‫ﺳﺎﯾﺖ ﻧﺖ ﺳﯿﻤﻮﻟﯿﺖ‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬١٦٨
Public- key ring

Passphrase H Select
IDB
Private- key ring Key ID
Select Encrypted
IDA
private key
DC
Key ID
Public key
Private key PUb
PRa
Message RNG
digest
H EP ││ Session key
Ks
Output
Message EP ││
Signature
M Message + message
Encrypted
EC signature
+ message
( Radix-64 ‫ ﺑﺪﻭﻥ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻭ ﺗﺒﺪﻳﻞ‬. B ‫ ﺑﻪ ﻛﺎﺭﺑﺮ‬A ‫ ) ﺍﺯ ﻛﺎﺭﺑﺮ‬PGP ‫ ﺗﻮﻟﻴﺪ ﭘﻴﺎﻡ‬۵-۵ ‫ﺷﻜﻞ‬
Passphrase H
Private- key ring Public- key ring
Select Encrypted Select

private key
DC
Private key
PRb
Receiver's Public key

Key ID DP PUa
Encrypted
session key
Session key Sender's
Ks Key ID
Encrypted
digest DP
Encrypted
message +
signature
DC Compare
Message
( Radix-64 ‫ ﺑﺪﻭﻥ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻭ ﺗﺒﺪﻳﻞ‬. B ‫ ﺑﻪ ﻛﺎﺭﺑﺮ‬A ‫ ) ﺍﺯ ﻛﺎﺭﺑﺮ‬PGP‫ ﺩﺭﻳﺎﻓﺖ ﭘﻴﺎﻡ‬۵-۶ ‫ﺷﻜﻞ‬

‫‪١٦٩‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ -۱‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﭘﻴﺎﻡ‬
‫ﺍﻟﻒ‪ PGP -‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ ﺭﺍ‪ ،‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣﻴﺪﺍﻥ ‪ ID‬ﻛﻠﻴﺪ ﺩﺭ ﻣﺆﻟﻔﺔ ﺍﻣﻀﺎﺀ ﻛﻠﻴﺪ ﺩﺭ ﭘﻴﺎﻡ ﺑﻌﻨﻮﺍﻥ‬
‫ﺍﻧﺪﻳﺲ‪ ،‬ﺍﺯ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﺧﺼﻮﺻﻲ ﺍﺳﺘﺨﺮﺍﺝ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺏ‪ PGP -‬ﺍﺯ ﻛﺎﺭﺑﺮ ﻋﺒﺎﺭﺕ ﻋﺒﻮﺭ ﺭﺍ ﺳﺆﺍﻝ ﻛﺮﺩﻩ ﺗﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﺸﺪﻩ ﺭﺍ ﺍﺳﺘﺨﺮﺍﺝ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺝ‪ PGP -‬ﺁﻧﮕﺎﻩ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﺍ ﺑﺎﺯﻳﺎﺑﻲ ﻧﻤﻮﺩﻩ ﻭ ﭘﻴﺎﻡ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۲‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫ﺍﻟﻒ‪ PGP -‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﺭﺳﺎﻝﻛﻨﻨﺪﻩ ﺭﺍ‪ ،‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣﻴﺪﺍﻥ ‪ ID‬ﻛﻠﻴﺪ ﺩﺭ ﻣﺆﻟﻔﺔ ﺍﻣﻀﺎﺀ ﻛﻠﻴﺪ ﺩﺭ ﭘﻴﺎﻡ ﺑﻌﻨﻮﺍﻥ ﺍﻧﺪﻳﺲ‪،‬‬
‫ﺍﺯ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻛﺎﺭﺑﺮ ﺍﺳﺘﺨﺮﺍﺝ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺏ‪ PGP -‬ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ ﺭﺍ ﺑﺎﺯﻳﺎﺑﻲ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺝ‪ PGP -‬ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺑﺮﺍﻱ ﭘﻴﺎﻡ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺎ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ ﻣﻘﺎﻳﺴﻪ ﻭ ﺍﻋﺘﺒﺎﺭ‬
‫ﺁﻥ ﺭﺍ ﺗﺄﺋﻴﺪ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺍﺯ ﺑﺤﺚﻫﺎﻱ ﺍﻧﺠﺎﻡ ﺷﺪﻩ ﺩﻳﺪﻩ ﻣﻲﺷﻮﺩ‪ PGP ،‬ﺷﺎﻣﻞ ﻳﻚ ﺳﺮﻱ ﻋﻤﻠﻴﺎﺕ ﻭ ﻓﺮﻣﺖﻫﺎﻱ ﻫﻮﺷﻴﺎﺭ‪ ،‬ﺑﻬﺮﻩﻭﺭ ﻭ‬
‫ﺩﺭﻫﻢ ﺑﺎﻓﺘﻪﺍﻳﺴﺖ ﻛﻪ ﻳﻚ ﺳﺮﻭﻳﺲ ﻣﺆﺛﺮ ﻣﺤﺮﻣﺎﻧﮕﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﺍﻳﻦ ﺳﻴﺴﺘﻢ ﻛﺎﻣﻞ ﺑﺎﺷﺪ‪ ،‬ﻳﻚ ﻋﻤﻞ‬
‫ﻧﻬﺎﺋﻲ ﺩﻳﮕﺮ ﻧﻴﺰ ﺑﺎﻳﺴﺘﻲ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﮔﻴﺮﺩ ﻛﻪ ﺁﻥ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﺳﺖ‪ .‬ﺍﺳﻨﺎﺩ ‪ PGP‬ﺍﻫﻤﻴﺖ ﺍﻳﻦ ﻣﻘﻮﻟﻪ ﺭﺍ ﭼﻨﻴﻦ ﺑﻴﺎﻥ‬
‫ﻣﻲﻛﻨﺪ‪:‬‬
‫ﺣﻔﺎﻇﺖ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺍﺯ ﺩﺳﺖ ﻛﺴﺎﻧﻲ ﻛﻪ ﻣﻲﺧﻮﺍﻫﻨﺪ ﺁﻧﻬﺎ ﺭﺍ ﺑﻪ ﭼﻨﮓ ﺁﻭﺭﻧﺪ‪ ،‬ﻣﺸﻜﻞﺗﺮﻳﻦ ﻭﻇﻴﻔﻪ ﺩﺭﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻋﻤﻠﻲ ﻛﻠﻴﺪ‪-‬ﻋﻤﻮﻣﻲ‬
‫ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﻮﺭﺩ » ﭘﺎﺷﻨﺔ ﺁﺷﻴﻞ « ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪-‬ﻋﻤﻮﻣﻲ ﺑﻮﺩﻩ ﻭ ﭘﻴﭽﻴﺪﮔﻲﻫﺎﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﺯﻳﺎﺩﻱ ﺑﺎ ﺣﻞ ﺍﻳﻦ ﻣﻌﻀﻞ ﻋﺠﻴﻦ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ PGP‬ﺳﺎﺧﺘﺎﺭﻱ ﺭﺍ ﺑﺮﺍﻱ ﺣﻞ ﺍﻳﻦ ﻣﺴﺄﻟﻪ ﺍﻳﺠﺎﺩ ﻛﺮﺩﻩ ﺍﺳﺖ ﻛﻪ ﺍﻧﺘﺨﺎﺏﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺭﺍ ﻧﻴﺰ ﺷﺎﻣﻞ ﻣﻲﺷﻮﺩ‪ .‬ﭼﻮﻥ ‪PGP‬‬
‫ﺑﻤﻨﻈﻮﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺩﺭ ﻣﺤﻴﻂﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺭﺳﻤﻲ ﻭ ﻏﻴﺮﺭﺳﻤﻲ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻫﻴﭻ ﺭﻭﺵ ﻣﺪﻳﺮﻳﺘﻲ ﺳﻔﺖ ﻭ ﺳﺨﺘﻲ ﺑﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ‬
‫ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‪ ،‬ﻫﻤﺎﻧﻨﺪ ﺁﻧﭽﻪ ﻛﻪ ﺩﺭ ‪ S/MIME‬ﻛﻪ ﺑﻌﺪﺍﹰ ﺩﺭ ﻫﻤﻴﻦ ﻓﺼﻞ ﺑﻪ ﺁﻥ ﺧﻮﺍﻫﻴﻢ ﭘﺮﺩﺍﺧﺖ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ ،‬ﺩﺭ ﻧﻈﺮ ﻧﮕﺮﻓﺘﻪ‬
‫ﺍﺳﺖ‪.‬‬
‫ﺭﻭﺵﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‬
‫ﺍﺻﻞ ﻣﺸﻜﻞ ﺍﻳﻦ ﺍﺳﺖ‪ :‬ﻛﺎﺭﺑﺮ ‪ A‬ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ ،PGP‬ﻳﻚ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺩﺭﺳﺖ ﻛﻨﺪﻛﻪ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ‬
‫ﺳﺎﻳﺮ ﻛﺎﺭﺑﺮﺍﻥ ﻛﻪ ﺑﺎ ﺍﻭ ﺍﺭﺗﺒﺎﻁ ﺩﺍﺭﻧﺪ ﺩﺭ ﺁﻥ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﺩﺳﺘﻪﻛﻠﻴﺪ ‪ A‬ﺷﺎﻣﻞ ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻣﺮﺑﻮﻁ ﺑﻪ ‪B‬‬
‫ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺣﻘﻴﻘﺖ ﺻﺎﺣﺐ ﺁﻥ ﻛﻠﻴﺪ‪ C ،‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺑﺮﺍﻱ ﻣﺜﺎﻝ ﻭﻗﺘﻲ ﺍﺗﻔﺎﻕ ﻣﻲﺍﻓﺘﺪ ﻛﻪ ‪ A‬ﻛﻠﻴﺪ ﺭﺍ ﺍﺯ ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﺎﺑﻠﻮﻱ‬
‫ﺍﻋﻼﻧﺎﺕ )‪ (BBS‬ﻣﺘﻌﻠﻖ ﺑﻪ ‪ B‬ﻛﻪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺭﺍ ﺩﺭ ﺁﻥ ﺟﺎ ﺩﺍﺩﻩ ﺑﻮﺩﻩ ﺍﺳﺖ ﺑﺮﺩﺍﺭﺩ‪ ،‬ﻭﻟﻲ ﻛﻠﻴﺪ ﺑﺘﻮﺳﻂ ‪ C‬ﺗﻌﻮﻳﺾ ﺷﺪﻩ ﺑﺎﺷﺪ‪.‬‬
‫ﻧﺘﻴﺠﺔ ﺍﻣﺮ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﻛﻨﻮﻥ ﺩﻭ ﺗﻬﺪﻳﺪ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺍﻭﻝ ﺍﻳﻨﻜﻪ ‪ C‬ﻣﻲﺗﻮﺍﻧﺪ ﭘﻴﺎﻡﻫﺎﺋﻲ ﺭﺍ ﺑﺮﺍﻱ ‪ A‬ﺍﺭﺳﺎﻝ ﻛﺮﺩﻩ ﻭ ﺍﻣﻀﺎﺀ ‪ B‬ﺭﺍ ﺟﻌﻞ‬
‫ﻧﻤﺎﻳﺪ‪ ،‬ﺑﻄﻮﺭﻱ ﻛﻪ ‪ A‬ﺗﺼﻮﺭ ﻛﻨﺪ ﻛﻪ ﭘﻴﺎﻡ ﺍﺯ ﻃﺮﻑ ‪ B‬ﺁﻣﺪﻩ ﺍﺳﺖ‪ .‬ﺩﻭﻡ ﺍﻳﻨﻜﻪ ﻫﺮ ﭘﻴﺎﻡ ﺭﻣﺰﺷﺪﻩ ﺍﺯ ‪ A‬ﺑﻪ ‪ B‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﺘﻮﺳﻂ ‪C‬‬
‫ﺧﻮﺍﻧﺪﻩ ﺷﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٧٠‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺑﺮﺍﻱ ﺑﻪ ﺣﺪﺍﻗﻞ ﺭﺳﺎﻧﺪﻥ ﺧﻄﺮ ﻭﺟﻮﺩ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺟﻌﻠﻲ ﺩﺭ ﺩﺳﺘﻪﻛﻠﻴﺪ ﻳﻚ ﻛﺎﺭﺑﺮ‪ ،‬ﺭﻭﺵﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺗﺠﺮﺑﻪ ﺷﺪﻩ‬
‫ﺍﺳﺖ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ‪ A‬ﺑﺨﻮﺍﻫﺪ ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ ﺑﺮﺍﻱ ‪ B‬ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪ .‬ﺑﺮﺧﻲ ﺍﺯ ﺭﻭﺵﻫﺎﻱ ﭘﻴﺸﻨﻬﺎﺩﻱ ﭼﻨﻴﻦﺍﻧﺪ‪:‬‬
‫‪ -۱‬ﻛﻠﻴﺪ ﺭﺍ ﺑﺼﻮﺭﺕ ﻓﻴﺰﻳﻜﻲ ﺍﺯ ‪ B‬ﺑﮕﻴﺮﺩ‪ B .‬ﻣﻲﺗﻮﺍﻧﺪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ )‪ (PUb‬ﺧﻮﺩ ﺭﺍ ﺭﻭﻱ ﻳﻚ ﺩﻳﺴﻜﺖ ﺫﺧﻴﺮﻩ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ‬
‫ﺑﻪ ‪ A‬ﺑﺪﻫﺪ‪ A .‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﻌﺪﺍﹰ ﺍﺯ ﺭﻭﻱ ﺩﻳﺴﻜﺖ ﻛﻠﻴﺪ ﺭﺍ ﻭﺍﺭﺩ ﺳﻴﺴﺘﻢ ﺧﻮﺩ ﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﺑﺴﻴﺎﺭ ﺍﻣﻦ ﺑﻮﺩﻩ ﻭﻟﻲ ﺩﺍﺭﺍﻱ‬
‫ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﻋﻤﻠﻲ ﻭﺍﺿﺤﻲ ﺍﺳﺖ‪.‬‬
‫‪ -۲‬ﺑﺘﻮﺳﻂ ﺗﻠﻔﻦ ﻛﻠﻴﺪ ﺭﺍ ﺗﺄﺋﻴﺪ ﻧﻤﺎﻳﺪ‪ .‬ﺍﮔﺮ ‪ A‬ﺑﺘﻮﺍﻧﺪ ﺍﺯ ﭘﺸﺖ ﺗﻠﻔﻦ ‪ B‬ﺭﺍ ﺑﺸﻨﺎﺳﺪ‪ ،‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ‪ B‬ﺯﻧﮓ ﺯﺩﻩ ﻭ ﺍﺯ ﻭﻱ ﺑﺨﻮﺍﻫﺪ ﺗﺎ‬
‫ﻛﻠﻴﺪ ﺭﺍ ﺩﺭ ﻓﺮﻣﺖ ‪ radix-64‬ﺑﺮﺍﻱ ﺍﻭ ﺩﻳﻜﺘﻪ ﻧﻤﺎﻳﺪ‪ .‬ﺭﺍﻩ ﺣﻞ ﻋﻤﻠﻲﺗﺮ ﺍﻳﻨﻜﻪ ‪ B‬ﻣﻲﺗﻮﺍﻧﺪ ﻛﻠﻴﺪ ﺧﻮﺩ ﺭﺍ ﺑﺘﻮﺳﻂ ‪e-mail‬‬
‫ﺑﺮﺍﻱ ‪ A‬ﺍﺭﺳﺎﻝ ﻛﻨﺪ‪ A .‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ PGP‬ﻳﻚ ﭼﻜﻴﺪﺓ ‪ -۱۶۰‬ﺑﻴﺘﻲ ‪ SHA-1‬ﺍﺯ ﻛﻠﻴﺪ ﺗﻬﻴﻪ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺎ‬
‫ﻓﺮﻣﺖ ﻫﮕﺰﺍﺩﺳﻴﻤﺎﻝ ﻧﺸﺎﻥ ﺩﻫﺪ ﻛﻪ ﺍﻳﻦ ﺭﺍ »ﺍﺛﺮﺍﻧﮕﺸﺖ« ﻛﻠﻴﺪ ﮔﻮﻳﻨﺪ‪ A .‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﻌﺪﺍﹰ ﺑﻪ ‪ B‬ﺯﻧﮓ ﺯﺩﻩ ﻭ ﺍﺯ ﺍﻭ ﺑﺨﻮﺍﻫﺪ ﺗﺎ‬
‫ﺍﺛﺮ ﺍﻧﮕﺸﺖ ﺭﺍ ﺍﺯ ﭘﺸﺖ ﺗﻠﻔﻦ ﺑﺮﺍﻱ ﺍﻭ ﺩﻳﻜﺘﻪ ﻛﻨﺪ‪ .‬ﺍﮔﺮ ﺩﻭ ﺍﺛﺮ ﺍﻧﮕﺸﺖ ﻧﺰﺩ ‪ A‬ﻭ ‪ B‬ﺑﺎ ﻫﻢ ﺗﻄﺒﻴﻖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ ،‬ﻛﻠﻴﺪ ﺗﺄﺋﻴﺪ‬
‫‪ -۳‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ B‬ﺭﺍ ﺍﺯ ﻳﻚ ﻧﻔﺮ ﻛﻪ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﻃﺮﻓﻴﻦ ﺍﺳﺖ‪ ،‬ﻣﺜﻞ ‪ ،D‬ﺩﺭﻳﺎﻓﺖ ﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ‪ ،‬ﻣﻌﺮﻑ ‪ D‬ﻳﻚ‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺷﺎﻣﻞ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ ،B‬ﺯﻣﺎﻥ ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﻭ ﻣﺪﺕ ﺍﻋﺘﺒﺎﺭ ﻛﻠﻴﺪ‬
‫ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ D .‬ﻳﻚ ﭼﻜﻴﺪﻩ ‪ SHA-1‬ﺍﺯ ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺗﻬﻴﻪ ﻛﺮﺩﻩ‪ ،‬ﺁﻥ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺧﻮﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﻤﻮﺩﻩ ﻭ‬
‫ﺍﻣﻀﺎﺀ ﺭﺍ ﺑﻪ ﮔﻮﺍﻫﻲ ﺍﻟﺼﺎﻕ ﻣﻲﻛﻨﺪ‪ .‬ﭼﻮﻥ ﻓﻘﻂ ‪ D‬ﻣﻲﺗﻮﺍﻧﺴﺘﻪ ﺍﺳﺖ ﺍﻣﻀﺎﺀ ﺭﺍ ﺗﻮﻟﻴﺪﻛﻨﺪ‪ ،‬ﻫﻴﭻ ﻛﺲ ﺩﻳﮕﺮ ﻧﻤﻲﺗﻮﺍﻧﺪ ﻳﻚ‬
‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺟﻌﻠﻲ ﺗﻬﻴﻪ ﻛﺮﺩﻩ ﻭ ﻭﺍﻧﻤﻮﺩ ﻛﻨﺪ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ D‬ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺘﻮﺳﻂ ‪B‬‬
‫ﻳﺎ ‪ D‬ﻣﺴﺘﻘﻴﻤﺎﹰ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﻭ ﻳﺎ ﺩﺭ ﻳﻚ ﺗﺎﺑﻠﻮﻱ ﺍﻋﻼﻧﺎﺕ )‪ (BBS‬ﻧﺼﺐ ﮔﺮﺩﺩ‪.‬‬
‫‪ -۴‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ B‬ﺭﺍ ﺍﺯ ﻳﻚ ﻣﻘﺎﻡ ﻣﺴﺌﻮﻝ ﺻﺪﻭﺭ ﻣﺠﻮﺯ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺩﺭﻳﺎﻓﺖ ﻛﻨﺪ‪ .‬ﺑﺎﺯ ﻫﻢ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺑﺮﺍﻱ ﻛﻠﻴﺪ‬
‫ﻋﻤﻮﻣﻲ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﻭ ﺑﺘﻮﺳﻂ ﻣﻘﺎﻡ ﻣﺴﺌﻮﻝ ﺍﻣﻀﺎﺀ ﻣﻲﺷﻮﺩ‪ A .‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﻣﻘﺎﻡ ﻣﺴﺌﻮﻝ ﺩﺳﺘﺮﺳﻲ ﻳﺎﻓﺘﻪ ﻭ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ID‬‬
‫ﺧﻮﺩ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﻣﻮﺍﺭﺩ ‪ ۳‬ﻭ ‪ A ،۴‬ﺑﺎﻳﺴﺘﻲ ﻳﻚ ﻛﭙﻲ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻣﻌﺮﻑ ﺭﺍ ﺩﺍﺷﺘﻪ ﻭ ﺍﻃﻤﻴﻨﺎﻥ ﻳﺎﺑﺪ ﻛﻪ ﺍﻳﻦ ﻛﻠﻴﺪ ﻣﻌﺘﺒﺮ ﺍﺳﺖ‪ .‬ﺑﺎﻻﺧﺮﻩ‬
‫ﺍﻳﻦ ﺑﺮ ﻋﻬﺪﺓ ‪ A‬ﺍﺳﺖ ﺗﺎ ﺳﻄﺤﻲ ﺍﺯ ﺍﻋﺘﻤﺎﺩ ﺭﺍ ﻧﺴﺒﺖ ﺑﻪ ﻛﺴﻲ ﻛﻪ ﺑﻌﻨﻮﺍﻥ ﻣﻌﺮﻑ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪ ،‬ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻋﺘﻤﺎﺩ )‪(Trust‬‬

‫ﺍﮔﺮﭼﻪ ‪ PGP‬ﻫﻴﭻ ﮔﻮﻧﻪ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻠﻲ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﻣﺴﺌﻮﻝ ﺗﺄﺋﻴﺪ ﻭ ﻳﺎ ﺑﺮﻗﺮﺍﺭﻱ ﺍﻋﺘﻤﺎﺩ ﻧﺪﺍﺭﺩ‪ ،‬ﻭﻟﻲ ﺧﻮﺩ ﺭﻭﺵﻫﺎﻱ ﻣﻨﺎﺳﺒﻲ‬
‫ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻋﺘﻤﺎﺩ‪ ،‬ﺍﺭﺗﺒﺎﻁ ﺩﺍﺩﻥ ﺍﻋﺘﻤﺎﺩ ﺑﺎ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﻭ ﺑﻜﺎﺭﮔﻴﺮﻱ ﺍﻋﺘﻤﺎﺩ ﺭﺍ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﺳﺎﺧﺘﺎﺭ ﺍﺻﻠﻲ ﭼﻨﻴﻦ ﺍﺳﺖ‪ :‬ﻫﺮ ﻓﻘﺮﺓ ﻣﻮﺟﻮﺩ ﺩﺭ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‪ ،‬ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺩﺭ ﺑﺨﺶ ﻗﺒﻞ ﺗﻮﺿﻴﺢ ﺩﺍﺩﻩ ﺷﺪ‪ ،‬ﻳﻚ‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴــﺪ‪ -‬ﻋﻤــﻮﻣﻲ ﺍﺳﺖ‪ .‬ﺑﻪ ﻫﻤﺮﺍﻩ ﻫﺮ ﻓﻘﺮﻩ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴــﺪ‪ -‬ﻋﻤــﻮﻣﻲ ﻳﻚ ﻣﻴﺪﺍﻥ ﻣﺸﺮﻭﻋﻴﺖ ﻛﻠﻴﺪ‬
‫)‪ (key legitimacy field‬ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ‪ PGP‬ﺗﺎ ﭼﻪ ﺣﺪّﻱ ﻧﺴﺒﺖ ﺑﻪ ﺗﻌﻠﻖ ﺍﻳﻦ ﻛﻠﻴﺪ ﺑﻪ ﻛﺎﺭﺑﺮ ﻣﺮﺑﻮﻃﻪ ﺍﻋﺘﻤﺎﺩ‬
‫ﺩﺍﺭﺩ‪ .‬ﻫﺮ ﭼﻘﺪﺭ ﺳﻄﺢ ﺍﻋﺘﻤﺎﺩ ﺑﺎﻻﺗﺮ ﺑﺎﺷﺪ‪ ،‬ﺍﺭﺗﺒﺎﻁ ﻛﻠﻴﺪ ﺑﺎ ‪ ID‬ﻛﺎﺭﺑﺮ ﻣﺴﺘﺤﻜﻢﺗﺮ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﺑﺘﻮﺳﻂ ‪ PGP‬ﻣﺤﺎﺳﺒﻪ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﻫﻤﭽﻨﻴﻦ ﺩﺭ ﺍﺭﺗﺒﺎﻁ ﺑﺎ ﻫﺮ ﻓﻘﺮﻩ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‪ ،‬ﻫﻴﭻ ﻭ ﻳﺎ ﭼﻨﺪ ﺍﻣﻀﺎﺀ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﺻﺎﺣﺐ ﺩﺳﺘﻪﻛﻠﻴﺪ ﺁﻧﻬﺎ ﺭﺍ ﺑﻪ ﻣﻨﻈﻮﺭ‬
‫ﺗﺄﺋﻴﺪ ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺟﻤﻊﺁﻭﺭﻱ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺑﻨﻮﺑﺔ ﺧﻮﺩ ﺩﺭ ﺍﺭﺗﺒﺎﻁ ﺑﺎ ﻫﺮ ﺍﻣﻀﺎﺀ ﻳﻚ ﻣﻴﺪﺍﻥ ﺍﻋﺘﻤﺎﺩ ﺑﻪ ﺍﻣﻀﺎﺀ‬
‫)‪ (signature trust field‬ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﺩﺭﺟﺔ ﺍﻋﺘﻤﺎﺩ ﻛﺎﺭﺑﺮ ‪ PGP‬ﻧﺴﺒﺖ ﺑﻪ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ‪ ،‬ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺭﺍ‬
‫‪١٧١‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻣﻴﺪﺍﻥ ﻣﺸﺮﻭﻋﻴﺖ ﻛﻠﻴﺪ ﺍﺯ ﻣﺠﻤﻮﻋﺔ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺍﻋﺘﻤﺎﺩ ﺑﻪ ﺍﻣﻀﺎﺀ ﺑﺮﺍﻱ ﻫﺮ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻣﺸﺘﻖ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﺎﻻﺧﺮﻩ ﻫﺮ‬
‫ﻓﻘﺮﻩ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‪ ،‬ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻣﺮﺗﺒﻂ ﺑﺎ ﻳﻚ ﺩﺍﺭﻧﺪﺓ ﻣﺸﺨﺺ ﻛﻠﻴﺪ ﺭﺍ ﺗﻌﺮﻳﻒ ﻛﺮﺩﻩ ﻭ ﺑﺮﺍﻱ ﺁﻥ ﻳﻚ‬
‫ﻣﻴﺪﺍﻥ ﺍﻋﺘﻤﺎﺩ ﺑﻪ ﺻﺎﺣﺐ ﻛﻠﻴﺪ )‪ (owner trust field‬ﺩﺭ ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﺗﺎ ﭼﻪ ﺣﺪ ﺍﻳﻦ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‬
‫ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﺳﺎﻳﺮ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺳﻄﺢ ﺍﻋﺘﻤﺎﺩ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮ ﺗﺨﺼﻴﺺ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻣﻴﺪﺍﻥﻫﺎﻱ ﺍﻋﺘﻤﺎﺩ ﺑﻪ ﺍﻣﻀﺎﺀ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﻛﭙﻲﻫﺎﻱ ﺫﺧﻴﺮﻩ ﺷﺪﻩ ﻣﻴﺪﺍﻥ ﺍﻋﺘﻤﺎﺩ ﺑﻪ ﺻﺎﺣﺐ ﻛﻠﻴﺪ ﻓﻘﺮﻩﻫﺎﻱ ﺩﻳﮕﺮ ﺩﺳﺘﻪﻛﻠﻴﺪ ﺩﺍﻧﺴﺖ‪.‬‬
‫ﺳﻪ ﻣﻴﺪﺍﻧﻲ ﻛﻪ ﺩﺭ ﺑﺨﺶ ﻗﺒﻞ ﺑﻪ ﺁﻧﻬﺎ ﺍﺷﺎﺭﻩ ﺷﺪ‪ ،‬ﻫﺮﻳﻚ ﺩﺭ ﺳﺎﺧﺘﺎﺭﻱ ﻛﻪ ﺑﻪ ﺁﻥ ﺑﺎﻳﺖ ﭘﺮﭼﻢ ﺍﻋﺘﻤﺎﺩ )‪(trust flag byte‬‬
‫ﮔﻮﻳﻨﺪ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ‪ .‬ﻣﺤﺘﻮﺍﻱ ﭘﺮﭼﻢ ﺍﻋﺘﻤﺎﺩ ﺑﺮﺍﻱ ﻫﺮﻳﻚ ﺍﺯ ﺍﻳﻦ ﺳﻪ ﻣﻮﺭﺩ ﺫﻛﺮﺷﺪﻩ ﺩﺭ ﺟﺪﻭﻝ ‪ ۵-۲‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻓﺮﺽ‬
‫ﻛﻨﻴﺪ ﻛﻪ ﻣﺎ ﺑﺎ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻛﺎﺭﺑﺮ ‪ A‬ﺳﺮﻭﻛﺎﺭ ﺩﺍﺭﻳﻢ‪ .‬ﻋﻤﻠﻴﺎﺕ ﺍﻋﺘﻤﺎﺩﺳﺎﺯﻱ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﭼﻨﻴﻦ ﺗﻮﺻﻴﻒ ﻛﺮﺩ‪:‬‬
‫‪ -۱‬ﻭﻗﺘﻲ ‪ A‬ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺟﺪﻳﺪ ﺭﺍ ﺩﺭ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭﺍﺭﺩ ﻣﻲﻛﻨﺪ‪ PGP ،‬ﺑﺎﻳﺴﺘﻲ ﺍﻧﺪﺍﺯﻩﺍﻱ ﺭﺍ ﺑﻪ ﭘﺮﭼﻢ ﺍﻋﺘﻤﺎﺩ‬
‫ﻣﺮﺑﻮﻁ ﺑﻪ ﺻﺎﺣﺐ ﺍﻳﻦ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺗﺨﺼﻴﺺ ﺩﻫﺪ‪ .‬ﺍﮔﺮ ﺻﺎﺣﺐ ﺍﻳﻦ ﻛﻠﻴﺪ ‪ A‬ﺍﺳﺖ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﻳﻦ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺩﺭ ﺩﺳﺘﻪ‬
‫ﻛﻠﻴﺪ‪ -‬ﺧﺼﻮﺻﻲ ﺍﻭ ﻧﻴﺰ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﻳﻚ ﺍﻧﺪﺍﺯﺓ ﺍﻋﺘﻤﺎﺩ ﻛﺎﻣﻞ ﺑﺼﻮﺭﺕ ﺍﺗﻮﻣﺎﺗﻴﻚ ﺑﻪ ﻣﻴﺪﺍﻥ ﺍﻋﺘﻤﺎﺩ ﺍﺧﺘﺼﺎﺹ‬
‫ﻣﻲﻳﺎﺑﺪ‪ .‬ﺩﺭ ﻏﻴﺮ ﺍﻳﻨﺼﻮﺭﺕ ‪ PGP‬ﺍﺯ ‪ A‬ﻧﺴﺒﺖ ﺑﻪ ﺳﻄﺢ ﺍﻋﺘﻤﺎﺩﻱ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﺍﻳﻦ ﺻﺎﺣﺐ ﻛﻠﻴﺪ ﺗﺨﺼﻴﺺ ﻳﺎﺑﺪ ﺳﺆﺍﻝ‬
‫ﻣﻲﻛﻨﺪ ﻭ ‪ A‬ﺑﺎﻳﺴﺘﻲ ﻣﻘﺪﺍﺭ ﻣﻮﺭﺩ ﻧﻈﺮ ﺧﻮﺩ ﺭﺍ ﻭﺍﺭﺩ ﻛﻨﺪ‪ .‬ﻛﺎﺭﺑﺮ ‪ A‬ﻣﻲﺗﻮﺍﻧﺪ ﻣﺸﺨﺺ ﻧﻤﺎﻳﺪ ﻛﻪ ﺍﻳﻦ ﺻﺎﺣﺐ ﻛﻠﻴﺪ ﻧﺎﺷﻨﺎﺧﺘﻪ‪،‬‬
‫ﻏﻴﺮﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ‪ ،‬ﺗﺎ ﺣﺪﻭﺩﻱ ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ ﻭ ﻳﺎ ﻛﺎﻣﻼﹰ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺍﺳﺖ‪.‬‬
‫‪ -۲‬ﻭﻗﺘﻲ ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺟﺪﻳﺪ ﻭﺍﺭﺩ ﻣﻲﺷﻮﺩ‪ ،‬ﻳﻚ ﻳﺎ ﭼﻨﺪ ﺍﻣﻀﺎﺀ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﺁﻥ ﻣﺘﺼﻞ ﺑﺎﺷﺪ‪ .‬ﺍﻣﻀﺎﺀﻫﺎﻱ ﺩﻳﮕﺮﻱ ﻧﻴﺰ‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﺁﻳﻨﺪﻩ ﺑﻪ ﺁﻥ ﺍﺿﺎﻓﻪ ﺷﻮﻧﺪ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﺍﻣﻀﺎﺀ ﺑﺮﺍﻱ ﻳﻚ ﻓﻘﺮﻩ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭﺍﺭﺩ ﻣﻲﺷﻮﺩ‪،‬‬
‫‪ PGP‬ﺩﺭ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺟﺴﺘﺠﻮ ﻛﺮﺩﻩ ﺗﺎ ﺑﺒﻴﻨﺪ ﻛﻪ ﺁﻳﺎ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ ﺩﺭ ﺑﻴﻦ ﺻﺎﺣﺒﺎﻥ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ‬
‫ﻫﺴﺖ ﻳﺎ ﺧﻴﺮ‪ .‬ﺍﮔﺮ ﺟﻮﺍﺏ ﻣﺜﺒﺖ ﺑﺎﺷﺪ‪ ،‬ﺍﻧﺪﺍﺯﺓ ‪ OWNERTRUST‬ﺑﺮﺍﻱ ﺍﻳﻦ ﺩﺍﺭﻧﺪﺓ ﻛﻠﻴﺪ ﺑﻪ ﻣﻴﺪﺍﻥ ‪SIGTRUST‬‬
‫ﺑﺮﺍﻱ ﺍﻳﻦ ﺍﻣﻀﺎﺀ ﺗﺨﺼﻴﺺ ﻣﻲﻳﺎﺑﺪ‪ .‬ﺍﮔﺮﺟﻮﺍﺏ ﻣﻨﻔﻲ ﺑﺎﺷﺪ‪ ،‬ﻣﻘﺪﺍﺭ ﻛﺎﺭﺑﺮ ﻧﺎﺷﻨﺎﺧﺘﻪ ﺑﻪ ﺁﻥ ﺗﺨﺼﻴﺺ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫‪ -۳‬ﺍﻧﺪﺍﺯﺓ ﻣﻴﺪﺍﻥ ﻣﺸﺮﻭﻋﻴﺖ ﻛﻠﻴﺪ ﺑﺮ ﻣﺒﻨﺎﻱ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺍﻋﺘﻤﺎﺩ ﺑﻪ ﺍﻣﻀﺎﺀ ﻣﻮﺟﻮﺩ ﺩﺭ ﻳﻚ ﻓﻘﺮﻩ ﻣﺤﺎﺳﺒﻪ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﮔﺮ ﺣﺪﺍﻗﻞ‬
‫ﻳﻚ ﺍﻣﻀﺎﺀ ﺩﺍﺭﺍﻱ ﺍﻧﺪﺍﺯﺓ ﺍﻋﺘﻤﺎﺩ ﻛﺎﻣﻞ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﻣﺸﺮﻭﻋﻴﺖ ﻛﻠﻴﺪ ﺍﻧﺪﺍﺯﺓ ﻛﺎﻣﻞ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺩﺭ ﻋﻴﺮ ﺍﻳﻨﺼﻮﺭﺕ‪ PGP‬ﻳﻚ‬
‫ﺟﻤﻊ ﺗﺮﺍﺯ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺯ ﻣﻘﺎﺩﻳﺮ ﺍﻋﺘﻤﺎﺩ ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﺧﻮﺍﻫﺪ ﻛﺮﺩ‪ .‬ﻳﻚ ﻭﺯﻥ ‪ 1/X‬ﺑﻪ ﺍﻣﻀﺎﺀﻫﺎﺋﻲ ﻛﻪ ﻫﻤﻴﺸﻪ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩﻧﺪ ﻭ‬
‫ﻳﻚ ﻭﺯﻥ ‪ 1/Y‬ﺑﻪ ﺍﻣﻀﺎﺀﻫﺎﺋﻲ ﻛﻪ ﻣﻌﻤﻮﻻﹰ ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩﻧﺪ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪ X .‬ﻭ ‪ Y‬ﭘﺎﺭﺍﻣﺘﺮﻫﺎﺋﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮ‬
‫ﭘﻴﻜﺮﺑﻨﺪﻱ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻭﻗﺘﻲ ﺟﻤﻊ ﺗﺮﺍﺯﻫﺎﻱ ﺩﺍﺩﻩ ﺷﺪﻩ ﻣﻌﺮﻑﻫﺎﻱ ﻳﻚ ﺗﺮﻛﻴﺐ ﻛﻠﻴﺪ‪ UserID/‬ﺑﻪ ‪ ۱‬ﺑﺮﺳﺪ‪ ،‬ﺍﻳﻦ ﭘﻴﻮﻧﺪ ﻗﺎﺑﻞ‬
‫ﺍﻋﺘﻤﺎﺩ ﺗﻠﻘﻲ ﺷﺪﻩ ﻭ ﻣﺸﺮﻭﻋﻴﺖ ﻛﻠﻴﺪ ﻛﺎﻣﻞ ﻓﺮﺽ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺩﺭ ﻏﻴﺎﺏ ﺍﻋﺘﻤﺎﺩ ﻛﺎﻣﻞ‪ ،‬ﺣﺪﺍﻗﻞ ‪ X‬ﺍﻣﻀﺎﺀ ﻛﻪ ﻫﻤﻴﺸﻪ‬
‫ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺑﻮﺩﻩ ﻭ ﻳﺎ ‪ Y‬ﺍﻣﻀﺎﺀ ﻛﻪ ﻣﻌﻤﻮﻻﹰ ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩﻧﺪ ﻭ ﻳﺎ ﺗﺮﻛﻴﺒﻲ ﺍﺯ ﺁﻧﻬﺎ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﻫﺮﭼﻨﺪﮔﺎﻩ ﻳﻜﺒﺎﺭ‪ PGP ،‬ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺍ ﻣﻮﺭﺩ ﭘﺮﺩﺍﺯﺵ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﺗﺎ ﺍﻗﻼﻡ ﺁﻥ ﺭﺍ ﺑﺎ ﻫﻢ ﺳﺎﺯﮔﺎﺭ ﻧﻤﺎﻳﺪ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﺍﻳﻦ‬
‫ﻳﻚ ﭘﺮﺩﺍﺯﺵ ﺍﺯ ﺑﺎﻻ ﺑﻪ ﭘﺎﺋﻴﻦ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻫﺮ ﻣﻴﺪﺍﻥ ‪ PGP ،OWNERTRUST‬ﺩﺳﺘﻪﻛﻠﻴﺪ ﺭﺍ ﺑﺮﺍﻱ ﺗﻤﺎﻡ ﺍﻣﻀﺎﺀﻫﺎﻱ ﺗﺄﺋﻴﺪﺷﺪﻩ‬
‫ﺑﺘﻮﺳﻂ ﺻﺎﺣﺐ ﺁﻥ ﺟﺴﺘﺠﻮ ﻛﺮﺩﻩ ﻭ ﻣﻴﺪﺍﻥ ‪ SIGTRUST‬ﺭﺍ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻧﻤﻮﺩﻩ ﺗﺎ ﻣﻌﺎﺩﻝ ﻣﻴﺪﺍﻥ ‪ OWNERTRUST‬ﮔﺮﺩﺩ‪.‬‬
‫ﺍﻳﻦ ﭘﺮﺩﺍﺯﺵ ﺍﺑﺘﺪﺍ ﺍﺯ ﻛﻠﻴﺪﻫﺎﺋﻲ ﺷﺮﻭﻉ ﻣﻲﺷﻮﺩ ﻛﻪ ﺑﺮﺍﻱ ﺁﻧﻬﺎ ﺍﻋﺘﻤﺎﺩ ﻛﺎﻣﻞ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺁﻧﮕﺎﻩ ﺗﻤﺎﻡ ﻣﻴﺪﺍﻥﻫﺎﻱ ‪ KEYLEGIT‬ﺑﺮ‬
‫ﺍﺳﺎﺱ ﺍﻣﻀﺎﺀﻫﺎﻱ ﺟﺪﺍﺷﺪﻩ ﻣﺤﺎﺳﺒﻪ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٧٢‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺟﺪﻭﻝ ‪ ۵-۲‬ﻣﺤﺘﻮﻳﺎﺕ ﺑﺎﻳﺖ ﭘﺮﭼﻢ ﺍﻋﺘﻤﺎﺩ )‪(Trust Flag Byte‬‬

‫)ﺝ( ﺍﻋﺘﻤﺎﺩ ﺗﺨﺼﻴﺺ ﺩﺍﺩﻩﺷﺪﻩ ﺑﻪ ﺍﻣﻀﺎﺀ‬ ‫)ﺏ( ﺍﻋﺘﻤﺎﺩ ﺗﺨﺼﻴﺺ ﺩﺍﺩﻩﺷﺪﻩ ﺑﻪ ﺯﻭﺝ‬ ‫)ﺍﻟﻒ( ﺍﻋﺘﻤﺎﺩ ﺗﺨﺼﻴﺺ ﺩﺍﺩﻩﺷﺪﻩ ﺑﻪ ﺻﺎﺣﺐ‬
‫)ﺑﻌﺪ ﺍﺯ ﻣﻴﺪﺍﻥ ﺍﻣﻀﺎﺀ ﻇﺎﻫﺮﺷﺪﻩ ﻭﻛﭙﻲ ﺫﺧﻴﺮﻩﺷﺪﻩ‬ ‫‪USER ID/ Public Key‬‬ ‫ﻛﻠﻴﺪﻋﻤﻮﻣﻲ‬
‫‪ OWNERTRUST‬ﺑﺮﺍﻱ ﺍﻳﻦ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ‬ ‫)ﺑﻌﺪ ﺍﺯ ﻣﻴﺪﺍﻥ ‪ User ID‬ﻇﺎﻫﺮ ﺷﺪﻩ ﻭ‬ ‫)ﺑﻌﺪ ﺍﺯ ﻣﻴﺪﺍﻥ ﻛﻠﻴﺪ ﻇﺎﻫﺮ ﺷﺪﻩ ﻭ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮ‬
‫ﺍﺳﺖ(‬ ‫ﺑﺘﻮﺳﻂ ‪ PGP‬ﻣﺤﺎﺳﺒﻪ ﻣﻲﺷﻮﺩ(‬ ‫ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ(‬
‫ﻣﻴﺪﺍﻥ ‪SIGTRUST‬‬ ‫ﻣﻴﺪﺍﻥ ‪KEYLEGIT‬‬ ‫ﻣﻴﺪﺍﻥ ‪OWNERTRUST‬‬
‫‪ -‬ﺍﻋﺘﻤﺎﺩ ﺗﻌﻴﻴﻦ ﻧﺸﺪﻩ‬ ‫‪ -‬ﺍﻋﺘﻤﺎﺩ ﻧﺎﻣﺸﺨﺺ ﻭ ﻳﺎ ﺗﻌﻴﻴﻦ ﻧﺸﺪﻩ‬ ‫‪ -‬ﺍﻋﺘﻤﺎﺩ ﺗﻌﻴﻴﻦ ﻧﺸﺪﻩ‬
‫‪ -‬ﻛﺎﺭﺑﺮ ﻧﺎﺷﻨﺎﺧﺘﻪ‬ ‫‪ -‬ﻣﺎﻟﻜﻴﺖ ﻛﻠﻴﺪ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﻧﻴﺴﺖ‬ ‫‪ -‬ﻛﺎﺭﺑﺮ ﻧﺎﺷﻨﺎﺧﺘﻪ‬
‫‪ -‬ﻣﻌﻤﻮﻻﹰ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﻛﻠﻴﺪﻫﺎﻱ ﺩﻳﮕﺮ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ‬ ‫‪ -‬ﺍﻋﺘﻤﺎﺩ ﻧﺴﺒﻲ ﺑﻪ ﻣﺎﻟﻜﻴﺖ ﻛﻠﻴﺪ‬ ‫‪ -‬ﻣﻌﻤﻮﻻﹰ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﻛﻠﻴﺪﻫﺎﻱ ﺩﻳﮕﺮ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ‬
‫ﻧﻴﺴﺖ‬ ‫‪ -‬ﺍﻋﺘﻤﺎﺩ ﻛﺎﻣﻞ ﺑﻪ ﻣﺎﻟﻜﻴﺖ ﻛﻠﻴﺪ‬ ‫ﻧﻴﺴﺖ‬
‫‪ -‬ﻣﻌﻤﻮﻻﹰ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﻛﻠﻴﺪﻫﺎﻱ ﺩﻳﮕﺮ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ‬ ‫‪ -‬ﻣﻌﻤﻮﻻﹰ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﻛﻠﻴﺪﻫﺎﻱ ﺩﻳﮕﺮ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ‬
‫ﺍﺳﺖ‬ ‫ﺑﻴﺖ ‪WARNONLY‬‬ ‫ﺍﺳﺖ‬
‫‪ -‬ﻫﻤﻴﺸﻪ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﻛﻠﻴﺪﻫﺎﻱ ﺩﻳﮕﺮ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ‬ ‫‪ -‬ﺍﻳﻦ ﺑﻴﺖ ﺩﺭ ﺻﻮﺭﺗﻲ ‪ set‬ﺍﺳﺖ ﻛﻪ‬ ‫‪ -‬ﻫﻤﻴﺸﻪ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﻛﻠﻴﺪﻫﺎﻱ ﺩﻳﮕﺮ ﻣﻮﺭﺩﺍﻋﺘﻤﺎﺩ‬
‫ﺍﺳﺖ‬ ‫ﻛﺎﺭﺑﺮ ﺑﺨﻮﺍﻫﺪ ﺩﺭ ﺻﻮﺭﺕ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬ ‫ﺍﺳﺖ‬
‫‪ -‬ﺍﻳﻦ ﻛﻠﻴﺪ ﺩﺭ ﺩﺳﺘﻪ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‬ ‫ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻪ ﻛﺎﻣﻼﹰ ﻣﻌﺘﺒﺮ‬ ‫‪ -‬ﺍﻳﻦ ﻛﻠﻴﺪ ﺩﺭ ﺩﺳﺘﻪ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‬
‫)ﺍﻋﺘﻤﺎﺩ ﻛﺎﻣﻞ(‬ ‫ﻧﻴﺴﺖ ﺗﻨﻬﺎ ﺑﻪ ﺍﻭ ﻫﺸﺪﺍﺭ ﺩﺍﺩﻩ ﺷﻮﺩ‬ ‫)ﺍﻋﺘﻤﺎﺩ ﻛﺎﻣﻞ(‬
‫ﺑﻴﺖ ‪CONTIG‬‬ ‫ﺑﻴﺖ ‪BUCKSTOP‬‬

‫‪ -‬ﺍﻳﻦ ﺑﻴﺖ ﺩﺭ ﺻﻮﺭﺗﻲ ‪ set‬ﺍﺳﺖ ﻛﻪ ﺍﻣﻀﺎﺀ ﺑﻪ ﻳﻚ‬ ‫‪ -‬ﺍﻳﻦ ﺑﻴﺖ ﺩﺭ ﺻﻮﺭﺗﻲ ‪ set‬ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﻛﻠﻴﺪ ﺩﺭ‬
‫ﻣﺴﻴﺮﭘﻴﻮﺳﺘﻪ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ‪ ،‬ﻛﻪ ﻧﻬﺎﻳﺘﺎﹰ ﺑﻪ ﺻﺎﺣﺐ‬ ‫ﺩﺳﺘﻪ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻇﺎﻫﺮ ﺷﺪﻩ ﺑﺎﺷﺪ‬
‫ﺩﺳﺘﻪ ﻛﻠﻴﺪ ﻛﺎﻣﻼﹰ ﻣﻌﺘﻤﺪ ﺑﺎﺯ ﻣﻲﮔﺮﺩﺩ‪ ،‬ﻣﺮﺑﻮﻁ ﺷﻮﺩ‬
‫ﺷﻜﻞ ‪ ۵-۷‬ﻣﺜﺎﻟﻲ ﺍﺯ ﻧﺤﻮﺓ ﺍﺭﺗﺒﺎﻁ ﺍﻋﺘﻤﺎﺩ ﺑﻪ ﺍﻣﻀﺎﺀ‪ ،‬ﺑﻪ ﻣﺸﺮﻭﻋﻴﺖ ﻛﻠﻴﺪ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﺷﻜﻞ ﺳﺎﺧﺘﺎﺭ ﻳﻚ ﺩﺳﺘﻪ‬
‫ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻛﺎﺭﺑﺮ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺭﺍ ﺟﻤﻊ ﻛﺮﺩﻩ ﺍﺳﺖ ﻛﻪ ﺑﺮﺧﻲ ﺍﺯ ﺁﻧﻬﺎ ﻣﺴﺘﻘﻴﻤﺎﹰ ﺍﺯ ﺻﺎﺣﺒﺎﻥ‬
‫ﺁﻧﻬﺎ ﻭ ﺑﻌﻀﻲ ﺩﻳﮕﺮ ﺍﺯ ﺷﺨﺺ ﺛﺎﻟﺜﻲ ﻛﻪ ﺳِﺮﻭﺭ ﻛﻠﻴﺪ ﺍﺳﺖ ﺍﺧﺬ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﮔﺮﻩﺍﻱ ﻛﻪ ﺑﺎ ﻋﻨﻮﺍﻥ "ﺷﻤﺎ" ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ﺑﻪ ﻓﻘﺮﻩﺍﻱ ﺩﺭ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨﺪ ﻛﻪ ﻧﻈﻴﺮ ﺍﻳﻦ ﻛﺎﺭﺑﺮ‬
‫ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻛﻠﻴﺪ ﻣﺸﺮﻭﻉ ﺑﻮﺩﻩ ﻭ ﺍﻧﺪﺍﺯﺓ ‪ OWNERTRUST‬ﺁﻥ ﺍﻋﺘﻤﺎﺩ ﻛﺎﻣﻞ ﺍﺳﺖ‪ .‬ﻫﺮ ﮔﺮﺓ ﺩﻳﮕﺮﻱ ﺩﺭ ﺩﺳﺘﻪﻛﻠﻴﺪ ﺩﺍﺭﺍﻱ ﻳﻚ‬
‫ﺍﻧﺪﺍﺯﺓ ‪ OWNERTRUST‬ﺗﻌﺮﻳﻒ ﻧﺸﺪﻩ ﺑﻮﺩﻩ ﻣﮕﺮ ﺍﻳﻨﻜﻪ ﺍﻧﺪﺍﺯﺓ ﺩﻳﮕﺮﻱ ﺍﺯ ﻃﺮﻑ ﻛﺎﺭﺑﺮ ﺑﺮﺍﻱ ﺁﻥ ﺗﻌﻴﻴﻦ ﺷﺪﻩ ﺑﺎﺷﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﺜﺎﻝ‪،‬‬
‫ﻛﺎﺭﺑﺮ ﻣﺸﺨﺺ ﻛﺮﺩﻩ ﺍﺳﺖ ﻛﻪ ﻫﻤﻴﺸﻪ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ ‪ D‬ﻭ ‪ E‬ﻭ ‪ F‬ﻭ ‪ L‬ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﺳﺎﻳﺮ ﻛﻠﻴﺪﻫﺎ ﺍﻋﺘﻤﺎﺩ ﺩﺍﺭﺩ‪ .‬ﺍﻳﻦ ﻛﺎﺭﺑﺮ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ‬
‫‪ A‬ﻭ ‪ B‬ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﺳﺎﻳﺮ ﻛﻠﻴﺪﻫﺎ‪ ،‬ﺗﺎ ﺣﺪﻭﺩﻱ ﺍﻋﺘﻤﺎﺩ ﺩﺍﺭﺩ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﻴﺰﺍﻥ ﺳﺎﻳﻪﺩﺍﺭ ﺑﻮﺩﻥ ﻫﺮ ﮔﺮﻩ ﺩﺭ ﺷﻜﻞ ‪ ۵-۷‬ﻧﻤﺎﻳﺶ ﺩﻫﻨﺪﺓ ﺳﻄﺢ ﺍﻋﺘﻤﺎﺩ ﺗﺨﺼﻴﺺ ﺩﺍﺩﻩ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺍﻳﻦ ﻛﺎﺭﺑﺮ ﺑﻪ‬
‫ﺁﻥ ﮔﺮﻩ ﺍﺳﺖ‪ .‬ﺳﺎﺧﺘﺎﺭ ﺩﺭﺧﺘﻲ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﻛﺪﺍﻡ ﻛﻠﻴﺪﻫﺎ ﺑﺘﻮﺳﻂ ﻛﺪﺍﻡ ﻛﺎﺭﺑﺮﺍﻥ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﻧﺪ‪ .‬ﺍﮔﺮ ﻳﻚ ﻛﻠﻴﺪ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮﻱ‬
‫ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﻛﻠﻴﺪﺵ ﺩﺭ ﺩﺳﺘﻪﻛﻠﻴﺪ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ ،‬ﻳﻚ ﭘﻴﻜﺎﻥ ﻛﻠﻴﺪ ﺍﻣﻀﺎﺀﺷﺪﻩ ﺭﺍ ﺑﻪ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ ﻣﺘﺼﻞ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺍﮔﺮ‬
‫ﻛﻠﻴﺪ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮﻱ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﻛﻠﻴﺪ ﺧﻮﺩ ﺍﻭ ﺩﺭ ﺩﺳﺘﻪﻛﻠﻴﺪ ﻧﻴﺴﺖ‪ ،‬ﻳﻚ ﭘﻴﻜﺎﻥ ﻛﻠﻴﺪ ﺍﻣﻀﺎﺀﺷﺪﻩ ﺭﺍ ﺑﻪ ﻳﻚ ﻋﻼﻣﺖ ﺳﺆﺍﻝ‬
‫ﻣﺘﺼﻞ ﻛﺮﺩﻩ ﺍﺳﺖ ﻛﻪ ﻣﻔﻬﻮﻡ ﺁﻥ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻫﻮﻳﺖ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮ ﻧﺎﺷﻨﺎﺱ ﺍﺳﺖ‪.‬‬
‫ﻧﻜﺎﺕ ﭼﻨﺪﻱ ﺩﺭ ﺷﻜﻞ ‪ ۵-۷‬ﻧﻤﺎﻳﺶ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ‪:‬‬
‫‪ -۱‬ﺗﻮﺟﻪ ﻛﻨﻴﺪ ﻛﻪ ﺗﻤﺎﻡ ﻛﻠﻴﺪﻫﺎﺋﻲ ﻛﻪ ﺻﺎﺣﺒﺎﻥ ﺁﻧﻬﺎ ﻛﺎﻣﻼﹰ ﻭ ﻳﺎ ﺑﻄﻮﺭ ﻧﺴﺒﻲ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺍﻳﻦ ﻛﺎﺭﺑﺮ ﺑﻮﺩﻩﺍﻧﺪ‪ ،‬ﺑﺠﺰ ﮔﺮﺓ ‪،L‬‬
‫ﺑﺘﻮﺳﻂ ﺍﻳﻦ ﻛﺎﺭﺑﺮ ﺍﻣﻀﺎﺀ ﺷﺪﻩﺍﻧﺪ‪ .‬ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺣﻀﻮﺭ ﮔﺮﺓ ‪ L‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ ،‬ﭼﻨﻴﻦ ﺍﻣﻀﺎﺋﻲ ﺍﺯ ﻃﺮﻑ ﻛﺎﺭﺑﺮ ﻫﻤﻴﺸﻪ‬
‫ﺿﺮﻭﺭﻱ ﻧﻴﺴﺖ‪ ،‬ﺍﻣﺎ ﺩﺭ ﻋﻤﻞ‪ ،‬ﺑﻴﺸﺘﺮ ﻛﺎﺭﺑﺮﺍﻥ ﻣﺤﺘﻤﻞ ﺍﺳﺖ ﻛﻪ ﺍﻛﺜﺮ ﻛﻠﻴﺪﻫﺎﻱ ﻛﺎﺭﺑﺮﺍﻥ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺧﻮﺩ ﺭﺍ ﺍﻣﻀﺎﺀ ﻛﻨﻨﺪ‪.‬‬
‫ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﺍﮔﺮﭼﻪ ﻛﻠﻴﺪ ‪ E‬ﻗﺒﻼﹰ ﺍﺯ ﻃﺮﻑ ﻣﻌﺮﻑ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ‪ F‬ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻛﺎﺭﺑﺮ ﺑﻪ ﺍﻧﺘﺨﺎﺏ ﺧﻮﺩ ﺗﺮﺟﻴﺢ ﺩﺍﺩﻩ‬
‫ﺍﺳﺖ ﻛﻪ ﺧﻮﺩ ﻫﻢ ﻛﻠﻴﺪ ‪ E‬ﺭﺍ ﻣﺴﺘﻘﻴﻤﺎﹰ ﺍﻣﻀﺎﺀ ﻛﻨﺪ‪.‬‬
‫‪١٧٣‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺷﻤﺎ‬
‫‪A‬‬ ‫‪B‬‬ ‫‪C‬‬ ‫‪D‬‬ ‫‪E‬‬ ‫‪F‬‬ ‫?‬
‫?‬
‫?‬
‫‪G‬‬ ‫‪H‬‬ ‫‪I‬‬ ‫‪J‬‬ ‫‪K‬‬ ‫‪L‬‬ ‫‪M‬‬ ‫‪N‬‬ ‫‪O‬‬
‫‪P‬‬ ‫‪Q‬‬ ‫‪R‬‬

‫ﺍﻣﻀﺎﺀﻛﻨﻨﺪﺓ ﻧﺎﺷﻨﺎﺧﺘﻪ = ?‬
‫‪X‬‬ ‫‪ X‬ﺑﻪ ﺗﻮﺳﻂ ‪ Y‬ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ = ‪Y‬‬
‫?‬ ‫‪S‬‬ ‫?‬
‫ﺻﺎﺣﺐ ﻛﻠﻴﺪ ﺍﺯ ﺳﻮﻱ ﺷﻤﺎ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺍﺳﺖ=‬
‫ﺻﺎﺣﺐ ﻛﻠﻴﺪ ﺍﺯ ﺳﻮﻱ ﺷﻤﺎ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﺗﺎ ﺣﺪﻭﺩﻱ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺍﺳﺖ=‬
‫ﻛﻠﻴﺪ ﺍﺯ ﺟﺎﻧﺐ ﺷﻤﺎ ﻣﺸﺮﻭﻉ ﺗﻠﻘﻲ ﻣﻲﺷﻮﺩ =‬
‫ﺷﻜﻞ ‪ ۵-۷‬ﻣﺜﺎﻟﻲ ﺍﺯ ﻣﺪﻝ ﺍﻋﺘﻤﺎﺩ ‪PGP‬‬
‫‪ -۲‬ﻓﺮﺽ ﻣﻲﻛﻨﻴﻢ ﻛﻪ ﺩﻭ ﺍﻣﻀﺎﺀ ﻧﺴﺒﺘﺎﹰ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﻳﻚ ﻛﻠﻴﺪ ﻛﺎﻓﻲ ﺑﺎﺷﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﺻﻮﺭﺕ ﻛﻠﻴﺪ ﻛﺎﺭﺑﺮ ‪ H‬ﺑﺘﻮﺳﻂ‬
‫‪ PGP‬ﻣﺸﺮﻭﻉ ﺗﻠﻘﻲ ﻣﻲﮔﺮﺩﺩ ﺯﻳﺮﺍ ﺑﺘﻮﺳﻂ ‪ A‬ﻭ ‪ B‬ﻛﻪ ﻫﺮﺩﻭﻱ ﺁﻧﻬﺎ ﻧﺴﺒﺘﺎﹰ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﻫﺴﺘﻨﺪ‪ ،‬ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ -۳‬ﻳﻚ ﻛﻠﻴﺪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻣﺸﺮﻭﻉ ﺗﻠﻘﻲ ﮔﺮﺩﺩ ﺯﻳﺮﺍ ﺑﺘﻮﺳﻂ ﻳﻚ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ ﻛﺎﻣﻼﹰ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﻭ ﻳﺎ ﺩﻭ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﺓ ﻧﺴﺒﺘﺎﹰ‬
‫ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ ﻭﻟﻲ ﺻﺎﺣﺐ ﺁﻥ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﺳﺎﻳﺮ ﻛﻠﻴﺪﻫﺎ ﻣﻌﺘﻤﺪ ﻓﺮﺽ ﻧﺸﻮﺩ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ‪،‬‬
‫ﻛﻠﻴﺪ ‪ N‬ﻣﺸﺮﻭﻉ ﺍﺳﺖ ﺯﻳﺮﺍ ﺑﺘﻮﺳﻂ ‪ E‬ﺍﻣﻀﺎﺀﺷﺪﻩ ﻭ ﺍﻳﻦ ﻛﺎﺭﺑﺮ ﺑﻪ ‪ E‬ﺍﻋﺘﻤﺎﺩ ﺩﺍﺭﺩ‪ ،‬ﻭﻟﻲ ‪ N‬ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﻛﻠﻴﺪﻫﺎﻱ ﺩﻳﮕﺮ‬
‫ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﻧﻴﺴﺖ ﺯﻳﺮﺍ ﺍﻳﻦ ﻛﺎﺭﺑﺮ ﺑﻪ ‪ N‬ﺍﻧﺪﺍﺯﺓ ﺍﻋﺘﻤﺎﺩﻱ ﺭﺍ ﺗﺨﺼﻴﺺ ﻧﺪﺍﺩﻩ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﮔﺮﭼﻪ ﻛﻠﻴﺪ ‪ R‬ﺑﺘﻮﺳﻂ ‪N‬‬
‫ﺍﻣﻀﺎﺀﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻭﻟﻲ ‪ PGP‬ﻛﻠﻴﺪ ‪ R‬ﺭﺍ ﻣﺸﺮﻭﻉ ﻧﻤﻲﺩﺍﻧﺪ‪ .‬ﺍﻳﻦ ﻭﺿﻌﻴﺖ ﻛﺎﻣﻼﹰ ﻣﻌﻘﻮﻝ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﺷﻤﺎ ﻣﻲﺧﻮﺍﻫﻴﺪ ﻳﻚ ﭘﻴﺎﻡ‬
‫ﺧﺼﻮﺻﻲ ﺑﺮﺍﻱ ﻓﺮﺩﻱ ﺑﻔﺮﺳﺘﻴﺪ‪ ،‬ﻻﺯﻡ ﻧﻴﺴﺖ ﻛﻪ ﺑﻪ ﺁﻥ ﻓﺮﺩ ﺍﺯ ﻫﻤﻪ ﻧﻈﺮ ﺍﻋﺘﻤﺎﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻴﺪ ﺑﻠﻜﻪ ﺗﻨﻬﺎ ﻛﺎﻓﻲ ﺍﺳﺖ ﻣﻄﻤﺌﻦ‬
‫ﺑﺎﺷﻴﺪ ﻛﻪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺻﺤﻴﺢ ﺁﻥ ﻓﺮﺩ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺷﻤﺎﺳﺖ‪.‬‬
‫‪ -۴‬ﺷﻜﻞ ‪ ۵-۷‬ﻫﻤﭽﻨﻴﻦ ﻣﺜﺎﻟﻲ ﺍﺯ ﻳﻚ ﮔﺮﺓ "ﻳﺘﻴﻢ" ‪ S‬ﺑﺎ ﺩﻭ ﺍﻣﻀﺎﺀ ﻧﺎﺷﻨﺎﺧﺘﻪ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﭼﻨﻴﻦ ﻛﻠﻴﺪﻱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ‬
‫ﻳﻚ ﺳِﺮﻭﺭ ﻛﻠﻴﺪ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺑﺎﺷﺪ‪ PGP .‬ﻧﻤﻲﺗﻮﺍﻧﺪ ﺻﺮﻓﺎﹰ ﺑﻪ ﺩﻟﻴﻞ ﺍﻳﻨﻜﻪ ﺍﻳﻦ ﻛﻠﻴﺪ ﺍﺯ ﻳﻚ ﺳِﺮﻭﺭ ﻣﻌﺮﻭﻑ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ‬
‫ﺍﺳﺖ ﺁﻥ ﺭﺍ ﻣﺸﺮﻭﻉ ﺗﻠﻘﻲ ﻛﻨﺪ‪ .‬ﻛﺎﺭﺑﺮ ﺑﺎﻳﺴﺘﻲ ﻳﺎ ﺑﺎ ﺍﻣﻀﺎﺀﻛﺮﺩﻥ ﺁﻥ ﻭ ﻳﺎ ﺑﺎ ﺍﻇﻬﺎﺭ ﺗﻤﺎﻳﻞ ﺑﻪ ﺍﻳﻨﻜﻪ ﻳﻜﻲ ﺍﺯ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﮔﺎﻥ‬
‫ﻛﻠﻴﺪ ﺭﺍ ﻛﺎﻣﻼﹰ ﻣﻌﺘﻤﺪ ﻣﻲﺩﺍﻧﺪ‪ ،‬ﻣﺸﺮﻭﻋﻴﺖ ﻛﻠﻴﺪ ﺭﺍ ﺑﻪ ‪ PGP‬ﺍﻋﻼﻡ ﺩﺍﺭﺩ‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٧٤‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻳﻚ ﻧﻜﺘﺔ ﻧﻬﺎﺋﻲ‪ :‬ﻗﺒﻼﹰ ﺧﺎﻃﺮﻧﺸﺎﻥ ﮔﺮﺩﻳﺪ ﻛﻪ ‪ID‬ﻫﺎﻱ ﻛﺎﺭﺑﺮﺍﻥ ﻣﺘﻌﺪﺩﻱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻣﻨﻔﺮﺩ ﻭ ﻳﺎ ﺑﺎ‬
‫ﻳﻚ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻣﺮﺗﺒﻂ ﺑﺎﺷﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺑﺪﻳﻦ ﺧﺎﻃﺮ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﻓﺮﺩ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﻧﺎﻡﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻛﺮﺩﻩ ﻭ ﻳﺎ ﺍﺯ ﻃﺮﻳﻖ ﺍﻣﻀﺎﺀ ﺗﺤﺖ ﻧﺎﻡﻫﺎﻱ ﻣﺨﺘﻠﻒ‪ ،‬ﻣﺜﻼﹰ ﺁﺩﺭﺱﻫﺎﻱ ‪ e-mail‬ﻣﺘﻔﺎﻭﺗﻲ ﺭﺍ ﺑﺮﺍﻱ ﺧﻮﺩﺵ ﻣﻌﺮﻓﻲ ﻧﻤﻮﺩﻩ ﺑﺎﺷﺪ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﻲﺗﻮﺍﻧﻴﻢ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺭﺍ ﻫﻤﺎﻧﻨﺪ ﺭﻳﺸﺔ ﻳﻚ ﺩﺭﺧﺖ ﺑﺪﺍﻧﻴﻢ‪ .‬ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺩﺍﺭﺍﻱ ﺗﻌﺪﺍﺩﻱ ‪ID‬ﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ‬
‫ﺁﻥ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺯﻳﺮ ﻫﺮ ‪ ID‬ﻧﻴﺰ ﺗﻌﺪﺍﺩﻱ ﺍﻣﻀﺎﺀ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﭘﻴﻮﻧﺪ ﻳﻚ ‪ ID‬ﻛﺎﺭﺑﺮ ﺑﻪ ﻳﻚ ﻛﻠﻴﺪ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﺍﻣﻀﺎﺀﻫﺎﻱ‬
‫ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ‪ ID‬ﻭ ﻛﻠﻴﺪ ﺍﺳﺖ‪ ،‬ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﺳﻄﺢ ﺍﻋﺘﻤﺎﺩ ﺑﻪ ﺁﻥ ﻛﻠﻴﺪ )ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺩﺭ ﻣﻮﺭﺩ ﺍﻣﻀﺎﺀﻛﺮﺩﻥ ﻛﻠﻴﺪﻫﺎﻱ‬
‫ﺩﻳﮕﺮ( ﺗﺎﺑﻌﻲ ﺍﺯ ﺗﻤﺎﻡ ﺍﻣﻀﺎﺀﻫﺎﻱ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﺁﻥ ﺍﺳﺖ‪.‬‬
‫ﺍﺑﻄﺎﻝ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ‬

‫ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺨﻮﺍﻫﺪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺧﻮﺩ ﺭﺍ ﺑﺎﻃﻞ ﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻳﺎ ﺑﻪ ﺩﻟﻴﻞ ﻟﻮﺭﻓﺘﻦ ﻛﻠﻴﺪ ﻭ ﻳﺎ ﺑﻪ ﺍﻳﻦ ﺩﻟﻴﻞ ﺍﺳﺖ ﻛﻪ‬
‫ﻛﺎﺭﺑﺮ ﻛﻠﻴﺪ ﺭﺍ ﺑﺮﺍﻱ ﻣﺪﺗﻲ ﻃﻮﻻﻧﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﻣﻲﺧﻮﺍﻫﺪ ﺁﻥ ﺭﺍ ﺗﻌﻮﻳﺾ ﻛﻨﺪ‪ .‬ﺗﻮﺟﻪ ﻛﻨﻴﺪ ﻛﻪ ﻻﺯﻣﺔ ﻟﻮﺭﻓﺘﻦ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﺷﻤﻦ‬
‫ﺑﻪ ﻧﺤﻮﻱ ﻳﻚ ﻛﭙﻲ ﺍﺯ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﺸﺪﻩ ﺷﻤﺎ ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩﻩ ﺑﺎﺷﺪ‪ ،‬ﻳﺎ ﺍﻳﻦ ﻛﻪ ﺩﺷﻤﻦ ﻫﻢ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺭﺍ ﺍﺯ‬
‫ﺩﺳﺘﻪ‪ -‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺷﻤﺎ ﺑﺪﺳﺖ ﺁﻭﺭﺩﻩ ﻭ ﻫﻢ ﻋﺒﺎﺭﺕ ﻋﺒﻮﺭ ﺷﻤﺎ ﺭﺍ ﻛﺸﻒ ﻛﺮﺩﻩ ﺑﺎﺷﺪ‪.‬‬
‫ﻗﺎﻧﻮﻥ ﺍﺑﻄﺎﻝ ﻳﻚ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺻﺎﺣﺐ ﺁﻥ ﺑﺎﻳﺴﺘﻲ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺍﺑﻄﺎﻝ ﻛﻪ ﺑﺘﻮﺳﻂ ﺻﺎﺣﺐ ﻛﻠﻴﺪ ﺍﻣﻀﺎﺀ‬
‫ﺷﺪﻩ ﺑﺎﺷﺪ‪ ،‬ﺭﺍ ﺗﻬﻴﻪ ﻛﻨﺪ‪ .‬ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻫﻤﺎﻥ ﻓﺮﻡ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺍﻣﻀﺎﺀ ﻧﺮﻣﺎﻝ ﺭﺍ ﺩﺍﺷﺘﻪ ﺍﻣﺎ ﺷﺎﻣﻞ ﻧﺸﺎﻧﮕﺮﻱ ﺍﺳﺖ ﻛﻪ ﻧﺸﺎﻥ‬
‫ﻣﻲﺩﻫﺪ ﻛﻪ ﻫﺪﻑ ﺍﺯ ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻟﻐﻮ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﺳﺖ‪ .‬ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻧﻈﻴﺮ ﺍﻳﻦ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‬
‫ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﺍﻱ ﻛﻪ ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺭﺍ ﺑﺎﻃﻞ ﻣﻲﻛﻨﺪ ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﺻﺎﺣﺐ ﻛﻠﻴﺪ ﺳﭙﺲ ﺑﺎﻳﺴﺘﻲ ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺭﺍ‬
‫ﻫﺮﭼﻪ ﺳﺮﻳﻊﺗﺮ ﻭ ﺩﺭ ﺳﻄﺢ ﻫﺮﭼﻪ ﻭﺳﻴﻊﺗﺮ ﺍﻧﺘﺸﺎﺭ ﺩﻫﺪ ﺗﺎ ﺍﻓﺮﺍﺩ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻭ ﻣﺘﻌﺎﻗﺒﺎﹰ ﺩﺳﺘﻪﻛﻠﻴﺪﻫﺎﻱ‪ -‬ﻋﻤﻮﻣﻲ ﺧﻮﺩ ﺭﺍ ﺑﻪ ﺭﻭﺯ‬
‫ﺩﺭﺁﻭﺭﻧﺪ‪.‬‬
‫ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﺩﺷﻤﻨﻲ ﻛﻪ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻳﻚ ﻛﺎﺭﺑﺮ ﺭﺍ ﺩﺯﺩﻳﺪﻩ ﺍﺳﺖ‪ ،‬ﻧﻴﺰ ﻣﻲﺗﻮﺍﻧﺪ ﭼﻨﻴﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﺍﻱ ﺭﺍ ﺻﺎﺩﺭ ﻛﻨﺪ‪ .‬ﻭﻟﻲ‬
‫ﭼﻮﻥ ﺍﻳﻦ ﺍﻣﺮ ﻫﻢ ﺩﺷﻤﻦ ﻭ ﻫﻢ ﺻﺎﺣﺐ ﻗﺎﻧﻮﻧﻲ ﻛﻠﻴﺪ ﺭﺍ ﺍﺯ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﻣﺤﺮﻭﻡ ﻣﻲﺳﺎﺯﺩ‪ ،‬ﺗﻬﺪﻳﺪ ﺍﻳﺠﺎﺩﺷﺪﻩ ﺑﺴﻴﺎﺭ ﻛﻤﺘﺮ ﺍﺯ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﺑﺪﺍﻧﺪﻳﺸﺎﻧﻪ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺩﺯﺩﻳﺪﻩ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪S/MIME‬‬ ‫‪۵-۲‬‬
‫‪ (Secure/Multipurpose Internt Mail Extension) S/MIME‬ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺑﺮﺧﺎﺳﺘﻪ ﺍﺯ ﺷﺮﻛﺖ‬

‫‪ RSA Data Security‬ﺍﺳﺖ‪ ،‬ﻳﻚ ﺷﻜﻮﻓﺎﺋﻲ ﺍﻣﻨﻴﺘﻲ ﺩﺭ ‪ MIME‬ﻛﻪ ﻓﺮﻣﺖ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺩﺭ ﺍﻳﻨﺘﺮﻧﺖ ﺍﺳﺖ ﺑﻪ‬
‫ﻭﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ‪ .‬ﺍﮔﺮﭼﻪ ﻫﻢ ‪ PGP‬ﻭ ﻫﻢ ‪ S/MIME‬ﻫﺮ ﺩﻭ ﺩﺭ ﺧﻂ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ‪ IETF‬ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ ﻭﻟﻲ ﺑﻨﻈﺮ ﻣﻲﺭﺳﺪ ﻛﻪ ﻧﻬﺎﻳﺘﺎﹰ‬
‫‪ S/MIME‬ﺑﺼﻮﺭﺕ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺻﻨﻌﺖ ﺑﺮﺍﻱ ﻣﺼﺎﺭﻑ ﺗﺠﺎﺭﻱ ﻭ ﺳﺎﺯﻣﺎﻧﻲ ﺑﺎﻗﻲ ﺧﻮﺍﻫﺪ ﻣﺎﻧﺪ ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ‪ PGP‬ﺍﻧﺘﺨﺎﺏ ﻏﺎﻟﺐ‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﺷﺨﺼﻲ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ S/MIME .‬ﺩﺭ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﺍﺳﻨﺎﺩ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﻣﻬﻢﺗﺮﻳﻦ ﺁﻧﻬﺎ ‪RFC‬ﻫﺎﻱ‬
‫‪ 3370 ،3369‬ﻭ ‪ 3850‬ﻣﻲﺑﺎﺷﻨﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﻓﻬﻢ ‪ S/MIME‬ﺍﺑﺘﺪﺍ ﻻﺯﻡ ﺍﺳﺖ ﺗﺎ ﺍﺯ ﻓﺮﻣﺖ ﺯﻳﺮﺳﺎﺧﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻜﻲ ﻛﻪ ‪ S/MIME‬ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪،‬‬
‫ﻳﻌﻨﻲ ‪ MIME‬ﺍﻃﻼﻋﺎﺗﻲ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻴﻢ‪ .‬ﺍﻣﺎ ﺑﺮﺍﻱ ﺩﺭﻙ ﺍﻫﻤﻴﺖ ‪ MIME‬ﻻﺯﻡ ﺍﺳﺖ ﺗﺎ ﺑﻪ ﻋﻘﺐ ﺑﺮﮔﺸﺘﻪ ﻭ ﺍﺯ ﻓﺮﻡ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺳﻨﹼﺘﻲ‬
‫ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻳﻌﻨﻲ ‪ RFC 822‬ﻛﻪ ﻫﻨﻮﺯ ﺩﺍﺭﺍﻱ ﻛﺎﺭﺑﺮﺩ ﻋﺎﻡ ﺍﺳﺖ ﺍﻃﻼﻉ ﺣﺎﺻﻞ ﻧﻤﺎﺋﻴﻢ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﺍﺑﺘﺪﺍ ﺑﻪ ﻣﻌﺮﻓﻲ‬
‫ﺍﻳﻦ ﺩﻭ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻗﺪﻳﻤﻲﺗﺮ ﭘﺮﺩﺍﺧﺘﻪ ﻭ ﺳﭙﺲ ‪ S/MIME‬ﺭﺍ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﺧﻮﺍﻫﻴﻢ ﺩﺍﺩ‪.‬‬
‫‪١٧٥‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪RFC 822‬‬
‫‪ RFC 822‬ﻓﺮﻣﺘﻲ ﺭﺍ ﺑﺮﺍﻱ ﺍﺭﺳﺎﻝ ﭘﻴﺎﻡﻫﺎﻱ ﻣﺘﻨﻲ ﺍﺯ ﻃﺮﻳﻖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﻓﺮﻣﺖ‪ ،‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﺭﺳﺎﻝ‬
‫ﭘﻴﺎﻡﻫﺎﻱ ﻣﺘﻨﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﺍﻳﻨﺘﺮﻧﺖ ﺑﻮﺩﻩ ﻭ ﺑﺼﻮﺭﺕ ﮔﺴﺘﺮﺩﻩﺍﻱ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﺑﺴﺘﺮ ‪ ،RFC 822‬ﭼﻨﻴﻦ ﺗﺼﻮﺭ ﻣﻲﺷﻮﺩ ﻛﻪ‬
‫ﻫﺮ ﭘﻴﺎﻡ ﺩﺍﺭﺍﻱ ﻳﻚ ﭘﺎﻛﺖ ﻭ ﻳﻚ ﻣﺤﺘﻮﺍ ﺍﺳﺖ‪ .‬ﭘﺎﻛﺖ ﺷﺎﻣﻞ ﻫﻤﺔ ﺁﻥ ﺍﻃﻼﻋﺎﺗﻲ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ﻭ ﺗﺤﻮﻳﻞ ﭘﻴﺎﻡ ﻻﺯﻡ ﺍﺳﺖ‪ .‬ﻣﺤﺘﻮﺍ‬
‫ﻣﻄﻠﺒﻲ ﺍﺳﺖ ﻛﻪ ﺑﺎﻳﺪ ﺑﻪ ﮔﻴﺮﻧﺪﻩ ﺗﺤﻮﻳﻞ ﺷﻮﺩ‪ .‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ‪ RFC 822‬ﻓﻘﻂ ﺑﻪ ﻣﺤﺘﻮﺍ ﻣﺮﺑﻮﻁ ﻣﻲﺷﻮﺩ‪ .‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ‪ ،‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻣﺤﺘﻮﺍ‬
‫ﺷﺎﻣﻞ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺳﺮﺁﻳﻨﺪ ﺍﺳﺖ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺘﻮﺳﻂ ﺳﻴﺴﺘﻢ ﭘﺴﺘﻲ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﭘﺎﻛﺖ ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﻫﺪﻑ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ‬
‫ﺗﺴﻬﻴﻞ ﺷﻨﺎﺧﺖ ﭼﻨﻴﻦ ﺍﻃﻼﻋﺎﺗﻲ ﺑﺘﻮﺳﻂ ﺑﺮﻧﺎﻣﻪﻫﺎﺳﺖ‪.‬‬
‫ﺳﺎﺧﺘﺎﺭ ﻛﻠﻲ ﻳﻚ ﭘﻴﺎﻡ ﻛﻪ ﺑﺎ ‪ RFC 822‬ﻫﻤﺨﻮﺍﻧﻲ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺑﺴﻴﺎﺭ ﺳﺎﺩﻩ ﺍﺳﺖ‪ .‬ﻳﻚ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﭼﻨﺪ ﺧﻂ ﺳﺮﺁﻳﻨﺪ‬
‫)ﻋﻨﻮﺍﻥ( ﺑﻮﺩﻩ ﻛﻪ ﺑﻪ ﺩﻧﺒﺎﻝ ﺁﻥ ﻣﺘﻦ ﻧﺎﻣﺤﺪﻭﺩﻱ )ﺑﺪﻧﻪ( ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺳﺮﺁﻳﻨﺪ ﺑﺘﻮﺳﻂ ﻳﻚ ﺧﻂ ﺧﺎﻟﻲ ﺍﺯ ﺑﺪﻧﻪ ﺟﺪﺍ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻪ ﺑﻴﺎﻥ‬
‫ﺩﻳﮕﺮ‪ ،‬ﻳﻚ ﭘﻴﺎﻡ ﻳﻚ ﻣﺘﻦ ‪ ASCII‬ﺍﺳﺖ ﻭ ﺗﻤﺎﻡ ﺧﻄﻮﻁ ﺁﻥ ﺗﺎ ﺍﻭﻟﻴﻦ ﺧﻂ ﺧﺎﻟﻲ‪ ،‬ﺳﺮﺁﻳﻨﺪﻱ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻋﺎﻣﻞ ﻛﺎﺭﺑﺮ ﺳﻴﺴﺘﻢ‬
‫ﭘﺴﺘﻲ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫ﻳﻚ ﺧﻂ ﺳﺮﺁﻳﻨﺪ ﻣﻌﻤﻮﻻﹰ ﺷﺎﻣﻞ ﻳﻚ ﻛﻠﻤﺔ ﻛﻠﻴﺪﻱ ﺑﻮﺩﻩ ﻛﻪ ﭘﺲ ﺍﺯ ﺁﻥ ﻋﻼﻣﺖ ‪ :‬ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﻭ ﭘﺲ ﺍﺯﺁﻥ‪ ،‬ﺁﺭﮔﻮﻣﺎﻥ ﺁﻥ‬
‫ﻛﻠﻤﺔ ﻛﻠﻴﺪﻱ ﻧﻮﺷﺘﻪ ﻣﻲﺷﻮﺩ‪ .‬ﻓﺮﻣﺖ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﻛﻪ ﻳﻚ ﺧﻂ ﻃﻮﻻﻧﻲ ﺑﻪ ﭼﻨﺪﻳﻦ ﺧﻂ ﻛﻮﺗﺎﻩﺗﺮ ﺷﻜﺴﺘﻪ ﺷﻮﺩ‪ .‬ﭘﺮﻛﺎﺭﺑﺮﺩﺗﺮﻳﻦ ﻛﻠﻤﺎﺕ‬
‫ﻛﻠﻴﺪﻱ ‪ SUBJECT ،TO ،FROM‬ﻭ ‪ DATE‬ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﻣﺜﺎﻟﻲ ﺍﺯ ﻳﻚ ﭘﻴﺎﻡ ﺩﺭ ﺯﻳﺮ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪:‬‬
‫)‪Date: Tue, 16 Jan 1998 10:37:17 (EST‬‬

‫>‪From: "William Stallings" <ws@shore.net‬‬
‫‪Subject: The Syntax in RFC 822‬‬
‫‪To: Smith@Other-host.com‬‬
‫‪Cc: Jones@Yet-Another-host.com‬‬
‫‪Hello. This section begins the actual message body, which is delimited‬‬
‫‪from the message heading by a blank line.‬‬
‫ﻣﻴﺪﺍﻥ ﺩﻳﮕﺮﻱ ﻛﻪ ﻣﻌﻤﻮﻻﹰ ﺩﺭ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ‪ RFC 822‬ﭘﻴﺪﺍ ﻣﻲﺷﻮﺩ‪ Message-ID ،‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﺷﺎﻣﻞ ﻳﻚ ﺷﻨﺎﺳﺔ‬
‫ﻳﻜﺘﺎ ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﭘﻴﺎﻡ ﺍﺳﺖ‪.‬‬
‫ﺍﻟﺤﺎﻗﻴﻪﻫﺎﻱ ﭼﻨﺪ ﻣﻨﻈﻮﺭﺓ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ )‪(MIME‬‬

‫‪ MIME‬ﺗﻮﺳﻌﻪﺍﻱ ﺩﺭ ﭼﻬﺎﺭﭼﻮﺏ ‪ RFC 822‬ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ﻫﺪﻑ ﺁﻥ ﺭﻓﻊ ﺑﻌﻀﻲ ﻣﺸﻜﻼﺕ ﻭ ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫‪ (Simple Mail Transfer Protocol) SMTP‬ﻭ ﻳﺎ ﺑﻌﻀﻲ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻧﺘﻘﺎﻝ ﭘﻴﺎﻡ ﺩﻳﮕﺮ ﻭ ‪ RFC 822‬ﺑﺮﺍﻱ ﭘﺴﺖ‬
‫ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻣﻲﺑﺎﺷﺪ‪ [MURH98] .‬ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﺯﻳﺮ ﺑﺮﺍﻱ ﭘﺮﻭﺗﻜﻞ ‪ SMTP/822‬ﺭﺍ ﺫﻛﺮ ﻛﺮﺩﻩ ﺍﺳﺖ‪:‬‬
‫‪ SMTP -۱‬ﻧﻤﻲﺗﻮﺍﻧﺪ ﻓﺎﻳﻞﻫﺎﻱ ﺍﺟﺮﺍﺋﻲ ﻳﺎ ﺳﺎﻳﺮ ﺍﺷﻴﺎﺀ ﺑﺎﻳﻨﺮﻱ ﺭﺍ ﺍﻧﺘﻘﺎﻝ ﺩﻫﺪ‪ .‬ﺭﻭﺵﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺑﺮﺍﻱ ﺗﺒﺪﻳﻞ ﻓﺎﻳﻞﻫﺎﻱ‬
‫ﺑﺎﻳﻨﺮﻱ ﺑﻪ ﺻﻮﺭﺕ ﻣﺘﻦ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﺓ ﺳﻴﺴﺘﻢﻫﺎﻱ ﭘﺴﺘﻲ‪ SMTP‬ﻗﺮﺍﺭ ﮔﻴﺮﺩ )ﻣﺜﻞ ﺭﻭﺵ ﻣﺮﺳﻮﻡ‬
‫‪ .(UNIX UUencode/UUdecode‬ﻭﻟﻲ ﻫﻴﭻﻳﻚ ﺍﺯ ﺍﻳﻨﻬﺎ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻧﺒﻮﺩﻩ ﻭ ﺣﺘﻲ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻏﺎﻟﺐ ﻫﻢ ﻧﻤﻲﺑﺎﺷﻨﺪ‪.‬‬
‫‪ SMTP -۲‬ﻧﻤﻲﺗﻮﺍﻧﺪ ﺩﺍﺩﻩﻫﺎﻱ ﻣﺘﻨﻲ ﺷﺎﻣﻞ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ﺯﺑﺎﻥﻫﺎﻱ ﻣﻠﹼﻲ ﺭﺍ ﺍﻧﺘﻘﺎﻝ ﺩﻫﺪ ﺯﻳﺮﺍ ﺍﻳﻨﻬﺎ ﺑﺘﻮﺳﻂ ﻛﹸﺪﻫﺎﻱ ‪ -۸‬ﺑﻴﺘﻲ ﺑﺎ‬
‫ﻣﻘﺎﺩﻳﺮ ﺩﻫﺪﻫﻲ ‪ ۱۲۸‬ﺑﻪ ﺑﺎﻻ ﻧﻤﺎﻳﺶ ﺩﺍﺩﻩ ﻣﻲﺷﻮﻧﺪ ﻭ ‪ SMTP‬ﻣﺤﺪﻭﺩ ﺑﻪ ﻛﹸﺪ ‪ -۷‬ﺑﻴﺘﻲ ‪ ASCII‬ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٧٦‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ -۳‬ﺳِﺮﻭﺭﻫﺎﻱ ‪ SMTP‬ﻣﻤﻜﻦ ﺍﺳﺖ ﭘﻴﺎﻡﻫﺎﻱ ﭘﺴﺘﻲ ﻃﻮﻳﻞﺗﺮ ﺍﺯ ﺍﻧﺪﺍﺯﺓ ﻣﻌﻴﻨﻲ ﺭﺍ ﻧﭙﺬﻳﺮﻧﺪ‪.‬‬

‫‪ -۴‬ﺩﺭﻭﺍﺯﻩﻫﺎﻱ ‪ SMTP‬ﻛﻪ ﻣﺘﺮﺟﻢ ﺑﻴﻦ ﻛﹸﺪ ‪ ASCII‬ﻭ ﻛﹸﺪ ‪ EBCDIC‬ﻫﺴﺘﻨﺪ ﺍﺯ ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﻗﻮﺍﻧﻴﻦ ﻧﮕﺎﺷﺖ ﻳﻜﺴﺎﻥ‬
‫ﭘﻴﺮﻭﻱ ﻧﻜﺮﺩﻩ ﻭ ﻣﺸﻜﻼﺕ ﺗﺮﺟﻤﻪ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫‪ -۵‬ﺩﺭﻭﺍﺯﻩﻫﺎﻱ ‪ SMTP‬ﺑﻪ ﺷﺒﻜﻪﻫﺎﻱ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ‪ X.400‬ﻧﻤﻲﺗﻮﺍﻧﻨﺪ ﺍﺯ ﭘﺲ ﺩﺍﺩﻩﻫﺎﻱ ﻏﻴﺮﻣﺘﻨﻲ ﻣﻮﺟﻮﺩ ﺩﺭ ﭘﻴﺎﻡﻫﺎﻱ‬
‫‪ X.400‬ﺑﺮﺁﻳﻨﺪ‪.‬‬
‫‪ -۶‬ﺑﻌﻀﻲ ﺍﺯ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎﻱ ‪ SMTP‬ﻛﺎﻣﻼﹰ ﺑﻪ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ‪ SMTP‬ﻛﻪ ﺩﺭ ‪ RFC 821‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ ﻭﻓﺎﺩﺍﺭ‬
‫ﻧﻴﺴﺘﻨﺪ‪ .‬ﻣﺸﻜﻼﺕ ﻣﻌﻤﻮﻝ ﭼﻨﻴﻦﺍﻧﺪ‪:‬‬
‫ﺣﺬﻑ‪ ،‬ﺍﺿﺎﻓﻪ ﻭ ﻳﺎ ﺑﻨﻈﻢ ﺩﺭﺁﻭﺭﺩﻥ ﺑﺎﺯﮔﺸﺖ ﺑﻪ ﺍﻭﻝ ﺧﻂ ﻭ ﺧﻂ ﺧﺎﻟﻲ‪.‬‬ ‫•‬
‫ﻗﻄﻊ ﻛﺮﺩﻥ ﻭ ﻳﺎ ﺟﻤﻊ ﻛﺮﺩﻥ ﺧﻄﻮﻃﻲ ﻛﻪ ﻃﻮﻳﻞﺗﺮ ﺍﺯ ‪ ۷۶‬ﻛﺎﺭﺍﻛﺘﺮ ﻫﺴﺘﻨﺪ‪.‬‬ ‫•‬
‫ﺣﺬﻑ ﻓﻀﺎﻱ ﺳﻔﻴﺪ ﺩﺭ ﺍﻧﺘﻬﺎﻱ ﭘﻴﺎﻡ )ﻛﺎﺭﻛﺘﺮﻫﺎﻱ ‪ tab‬ﻭ ‪.(space‬‬ ‫•‬
‫ﭘﺮ ﻛﺮﺩﻥ ﺑﻴﻦ ﺧﻄﻮﻁ ﻳﻚ ﭘﻴﺎﻡ ﺑﺼﻮﺭﺗﻲ ﻛﻪ ﻫﻤﻪ ﺩﺍﺭﺍﻱ ﻃﻮﻝ ﻳﻜﺴﺎﻥ ﺑﺎﺷﻨﺪ‪.‬‬ ‫•‬
‫ﺗﺒﺪﻳﻞ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ‪ tab‬ﺑﻪ ﭼﻨﺪﻳﻦ ﻛﺎﺭﺍﻛﺘﺮ ‪.space‬‬ ‫•‬
‫‪ MIME‬ﻗﺼﺪ ﺩﺍﺭﺩ ﺗﺎ ﺍﻳﻦ ﻣﺸﻜﻼﺕ ﺭﺍ ﻃﻮﺭﻱ ﺣﻞ ﻛﻨﺪ ﻛﻪ ﺑﺎ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎﻱ ﻣﻮﺟﻮﺩ ‪ RFC 822‬ﺳﺎﺯﮔﺎﺭ ﺑﺎﺷﺪ‪.‬‬
‫ﻣﺸﺨﺼﻪﻫﺎ ﺩﺭ ‪RFC‬ﻫﺎﻱ ‪ 2045‬ﺗﺎ ‪ 2049‬ﺩﺭﺝ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫ﻣﺮﻭﺭﯼ ﺑﺮ ‪MIME‬‬
‫ﻣﺸﺨﺼﻪﻫﺎﯼ ‪ MIME‬ﺷﺎﻣﻞ ﻋﻨﺎﺻﺮ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﭘﻨﺞ ﻣﻴﺪﺍﻥ ﺟﺪﻳﺪ ﺑﺮﺍﯼ ﭘﻴﺎﻡ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ ﮐﻪ ﻣﯽﺗﻮﺍﻧﻨﺪ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ‪ RFC 822‬ﺟﺎﯼ ﮔﻴﺮﻧﺪ‪ .‬ﺍﻳﻦ ﻣﻴﺪﺍﻥﻫﺎ ﺷﺎﻣﻞ‬
‫ﺍﻃﻼﻋﺎﺗﯽ ﺩﺭ ﻣﻮﺭﺩ ﺑﺪﻧﻪ ﭘﻴﺎﻡ ﺍﺳﺖ‪.‬‬
‫‪ -۲‬ﺗﻌﺪﺍﺩﯼ ﻓﺮﻣﺖ ﺑﺮﺍﯼ ﻣﺤﺘﻮﺍ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ ﮐﻪ ﺻﻮﺭﺕ ﻇﺎﻫﺮ ‪e-mail‬ﻫﺎﺋﯽ ﮐﻪ ﭘﺴﺖ ﺍﻟﮑﺘﺮﻭﻧﻴﮏ ﭼﻨﺪﺭﺳﺎﻧﻪﺍﯼ ﺭﺍ‬
‫ﭘﺸﺘﻴﺒﺎﻧﯽ ﻣﯽﮐﻨﻨﺪ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻣﯽﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۳‬ﮐﹸﺪﻳﻨﮓﻫﺎﺋﯽ ﺑﺮﺍﯼ ﺍﻧﺘﻘﺎﻝ ﺗﻌﺮﻳﻒ ﺷﺪﻩﺍﻧﺪ ﮐﻪ ﺗﺒﺪﻳﻞ ﻫﺮ ﻧﻮﻉ ﻓﺮﻣﺖ ﻣﺤﺘﻮﺍﯼ ﭘﻴﺎﻡ ﺑﻪ ﻓﺮﻣﯽ ﮐﻪ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﻐﻴﻴﺮ ﺑﻪ ﺗﻮﺳﻂ‬
‫ﺳﻴﺴﺘﻢ ﭘﺴﺘﯽ ﻣﺤﺎﻓﻈﺖ ﺷﺪﻩ ﺍﺳﺖ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﯽﺳﺎﺯﺩ‪.‬‬
‫ﺩﺭ ﺍﻳﻦ ﻗﺴﻤﺖ ﭘﻨﺞ ﻣﻴﺪﺍﻥ ﺳﺮﺁﻳﻨﺪ ﭘﻴﺎﻡ ﺭﺍ ﻣﻌﺮﻓﯽ ﻣﯽﮐﻨﻴﻢ‪ .‬ﺳﭙﺲ ﺑﻪ ﻓﺮﻣﺖﻫﺎﯼ ﻣﺤﺘﻮﺍﯼ ﭘﻴﺎﻡ ﻭ ﮐﹸﺪﻳﻨﮓﻫﺎﯼ ﺍﻧﺘﻘﺎﻝ‬
‫ﻣﯽﭘﺮﺩﺍﺯﻳﻢ‪.‬‬
‫ﭘﻨﺞ ﻣﻴﺪﺍﻥ ﺳﺮﺁﻳﻨﺪ ﻛﻪ ﺩﺭ ‪ MIME‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ ﺑﻪ ﻗﺮﺍﺭ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫ﺷﻤﺎﺭﻩ ﻧﺴﺨﺔ ‪ :MIME‬ﺍﻧﺪﺍﺯﺓ ﭘﺎﺭﺍﻣﺘﺮ ﺍﻳﻦ ﻣﻴـــﺪﺍﻥ ﺑﺎﻳﺴﺘﻲ ‪ 1.0‬ﺑﺎﺷﺪ‪ .‬ﺍﻳﻦ ﻣﻴـــﺪﺍﻥ ﻧﺸﺎﻥ ﻣﻲﺩﻫــﺪ ﻛﻪ ﭘﻴــﺎﻡ ﺍﺯ‬ ‫•‬
‫‪ RFC 2045‬ﻭ ‪ RFC 2046‬ﺗﺒﻌﻴﺖ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﻧﻮﻉ ﻣﺤﺘﻮﺍ‪ :‬ﺩﺍﺩﻩﺍﻱ ﻛﻪ ﺩﺭ ﺑﺪﻧﺔ ﭘﻴﺎﻡ ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﺭﺍ ﺑﺎ ﺟﺰﺋﻴﺎﺕ ﻛﺎﻓﻲ ﺗﻮﺻﻴﻒ ﻣﻲﻛﻨﺪ ﺗﺎ ﻛﺎﺭﺑﺮ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ ﺑﺘﻮﺍﻧﺪ ﻋﺎﻣﻞ‬ ‫•‬
‫ﻭ ﻳﺎ ﻣﻜﺎﻧﻴﺴﻢ ﻣﻨﺎﺳﺒﻲ ﺭﺍ ﺑﺮﺍﻱ ﻧﻤﺎﻳﺶ ﺍﻳﻦ ﺩﺍﺩﻩ ﺑﻜﺎﺭ ﮔﻴﺮﺩ ﻭ ﺩﺭ ﻏﻴﺮﺍﻳﻨﺼﻮﺭﺕ ﺑﺎ ﺭﻭﺵ ﻣﻨﺎﺳﺒﻲ ﺑﺎ ﺩﻳﺘﺎ ﺑﺮﺧﻮﺭﺩ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺭﻭﺵ ﻛﹸﺪﻳﻨﮓ ﺍﻧﺘﻘﺎﻝ ﻣﺤﺘﻮﺍ‪ :‬ﻧﻮﻉ ﺗﺒﺪﻳﻞ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺑﺮﺍﻱ ﻧﻤﺎﻳﺶ ﺑﺪﻧﻪ ﭘﻴﺎﻡ ﺑﺼﻮﺭﺗﻲ ﻛﻪ ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ﭘﺴﺘﻲ ﻗﺎﺑﻞ‬ ‫•‬
‫ﻗﺒﻮﻝ ﺑﺎﺷﺪ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻛﹸﺪ ﺷﻨﺎﺳﺎﺋﻲ ﻣﺤﺘﻮﺍ‪ :‬ﺑﺮﺍﻱ ﻣﻌﺮﻓﻲ ﺍﻗﻼﻡ ‪ MIME‬ﺩﺭ ﺯﻣﻴﻨﻪﻫﺎﻱ ﭼﻨﺪﮔﺎﻧﻪ ﺑﺼﻮﺭﺕ ﻳﻜﺘﺎ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬ ‫•‬
‫‪١٧٧‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺗﻮﺻﻴﻒ ﻣﺤﺘﻮﺍ‪ :‬ﻳﻚ ﺗﻮﺻﻴﻒ ﻣﺘﻨﻲ ﺍﺯ ﺷﻴﺌﻲ ﻛﻪ ﻫﻤﺮﺍﻩ ﺑﺪﻧﺔ ﭘﻴﺎﻡ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻭﻗﺘﻲ ﻣﻔﻴﺪ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﺷﻲﺀ ﻗﺎﺑﻞ ﺧﻮﺍﻧﺪﻥ‬ ‫•‬
‫ﻧﺒﺎﺷﺪ )ﻣﺜﻞ ﺩﺍﺩﻩﻫﺎﻱ ﺻﻮﺗﻲ(‪.‬‬
‫ﻳﻚ ﻭ ﻳﺎ ﻫﻤﺔ ﻣﻴﺪﺍﻥﻫﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﻳﻚ ﺳﺮﺁﻳﻨﺪ ﻧﺮﻣﺎﻝ ‪ RFC 822‬ﻇﺎﻫﺮ ﺷﻮﻧﺪ‪ .‬ﻳﻚ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﺍﻳﻦ ﭘﺮﻭﺗﻜﻞ‬
‫ﺑﺎﻳﺴﺘﻲ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺷﻤﺎﺭﻩ ﻧﺴﺨﺔ ‪ ،MIME‬ﻧﻮﻉ ﻣﺤﺘﻮﺍ ﻭ ﺭﻭﺵ ﻛﹸﺪﻳﻨﮓ ﻣﺤﺘﻮﺍ ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻛﺮﺩﻩ ﻭﻟﻲ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺷﻨﺎﺳﺎﺋﻲ ﻣﺤﺘﻮﺍ ﻭ‬
‫ﺗﻮﺻﻴﻒ ﻣﺤﺘﻮﺍ ﺍﺧﺘﻴﺎﺭﻱ ﺑﻮﺩﻩ ﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﺳﻴﺴﺘﻢ ﮔﻴﺮﻧﺪﻩ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﻧﮕﻴﺮﻧﺪ‪.‬‬
‫ﺍﻧﻮﺍﻉ ﻣﺤﺘﻮﻳﺎﺕ ‪MIME‬‬

‫ﺑﺨﺶ ﻗﺎﻟﺐ ﻣﺸﺨﺼﻪﻫﺎﻱ ‪ MIME‬ﻣﺮﺑﻮﻁ ﺑﻪ ﺗﻌﺮﻳﻒ ﺍﻗﻼﻡ ﻣﺘﻨﻮﻋﻲ ﺑﺮﺍﻱ ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻣﻨﻌﻜﺲﻛﻨﻨﺪﺓ ﻧﻴﺎﺯ‬
‫ﻓﺮﺍﻫﻢﺁﻭﺭﺩﻥ ﺭﻭﺵﻫﺎﻱ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻧﻤﺎﻳﺶ ﺍﻃﻼﻋﺎﺕ‪ ،‬ﺩﺭ ﻳﻚ ﻣﺤﻴﻂ ﭼﻨﺪ ﺭﺳﺎﻧﻪﺍﻱ ﺍﺳﺖ‪.‬‬
‫ﺟﺪﻭﻝ ‪ ۵-۳‬ﺍﻧﻮﺍﻉ ﻣﺤﺘﻮﺍ ﺩﺭ ‪ RFC 2046‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ ۷ .‬ﻧﻮﻉ ﻋﻤﺪﻩ ﺑﺮﺍﻱ ﻣﺤﺘﻮﺍ ﻭ ﺟﻤﻌﺎﹰ ‪ ۱۵‬ﺯﻳﺮﻣﺠﻤﻮﻋﺔ ﻣﺤﺘﻮﺍﺋﻲ ﺩﺭ‬
‫ﺍﻳﻦ ﺟﺪﻭﻝ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﻄﻮﺭ ﻛﻠﻲ ﻳﻚ ﻣﺤﺘﻮﺍ ﻣﺒﻴﻦ ﺷﻜﻞ ﻋﻤﻮﻣﻲ ﺩﻳﺘﺎ ﺑﻮﺩﻩ ﻭ ﻳﻚ ﺯﻳﺮﻣﺤﺘﻮﺍ‪ ،‬ﻓﺮﻣﺖ ﺧﺎﺹ ﺁﻥ ﻣﺤﺘﻮﺍ ﺭﺍ‬
‫ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺟﺪﻭﻝ ‪ ۵-۳‬ﺍﻧﻮﺍﻉ ﻣﺤﺘﻮﻳﺎﺕ ‪MIME‬‬
‫ﺗﻮﺻﻴﻒ‬ ‫ﺯﻳﺮﻧﻮﻉ )‪(Subtype‬‬ ‫ﻧﻮﻉ )‪(Type‬‬

‫ﻣﺘﻦ ﻓﺮﻣﺖ ﻧﺸﺪﻩ‪ .‬ﻣﻤﻜﻦ ﺍﺳﺖ ‪ ASCII‬ﻭ ﻳﺎ ‪ ISO 8859‬ﺑﺎﺷﺪ‪.‬‬ ‫‪Plain‬‬ ‫‪Text‬‬
‫ﺍﻧﻌﻄﺎﻑﭘﺬﻳﺮﻱ ﺑﻴﺸﺘﺮﻱ ﺭﺍ ﺩﺭ ﻓﺮﻣﺖ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪.‬‬ ‫‪Enriched‬‬
‫ﺑﺨﺶﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻣﺴﺘﻘﻞ ﺍﺯ ﻫﻢ ﺑﻮﺩﻩ ﻭﻟﻲ ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﻫﻢ ﻣﻨﺘﻘﻞ ﺷﻮﻧﺪ‪ .‬ﺁﻧﻬﺎ ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﻫﻤﺎﻥ‬ ‫‪Mixed‬‬ ‫‪Multipart‬‬
‫ﻧﻈﻤﻲ ﻛﻪ ﺩﺭ ﭘﻴﺎﻡ ﭘﺴﺘﻲ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ ﺑﻪ ﮔﻴﺮﻧﺪﻩ ﻋﺮﺿﻪ ﮔﺮﺩﻧﺪ‬
‫ﻓﺮﻕ ﺁﻥ ﺑﺎ ﺯﻳﺮﻧﻮﻉ ‪ Mixed‬ﺩﺭ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻧﻈﻤﻲ ﺑﺮﺍﻱ ﺗﺤﻮﻳﻞ ﺑﺨﺶﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺑﻪ ﮔﻴﺮﻧﺪﻩ‬ ‫‪Parallel‬‬
‫ﺗﻌﺮﻳﻒ ﻧﺸﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺑﺨﺶﻫﺎﻱ ﻣﺨﺘﻠﻒ‪ ،‬ﻧﺴﺨﻪﻫﺎﻱ ﻣﺘﻔﺎﻭﺕ ﻳﻚ ﻧﻮﻉ ﺍﻃﻼﻋﺎﺕ ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﺁﻧﻬﺎ ﺑﺮ ﺣﺴﺐ ﻧﺰﺩﻳﻜﻲ‬ ‫‪Alternative‬‬
‫ﺑﻴﺸﺘﺮ ﺑﺎ ﻓﺮﻡ ﺍﻭﻟﻴﻪ ﺑﻪ ﻧﻈﻢ ﺩﺭﺁﻣﺪﻩﺍﻧﺪ ﻭ ﺳﻴﺴﺘﻢ ﭘﺴﺘﻲ ﮔﻴﺮﻧﺪﻩ ﺑﺎﻳﺴﺘﻲ »ﺑﻬﺘﺮﻳﻦ« ﻧﺴﺨﻪ ﺭﺍ ﺑﻪ‬
‫ﻛﺎﺭﺑﺮ ﻋﺮﺿﻪ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺷﺒﻴﻪ ‪ Mixed‬ﺍﺳﺖ ﺑﺎ ﺍﻳﻦ ﺗﻔﺎﻭﺕ ﻛﻪ ﭘﻴﺶﻓﺮﺽ ‪ type/subtype‬ﻫﺮ ﺑﺨﺶ‬ ‫‪Digest‬‬
‫‪ message/rfc822‬ﺍﺳﺖ‪.‬‬
‫ﺑﺪﻧﺔ ﭘﻴﺎﻡ ﺧﻮﺩ ﻳﻚ ﭘﻴﺎﻡ ﻛﭙﺴﻮﻟﻲ ﺷﺪﻩ ﺑﺮ ﺍﺳﺎﺱ ‪ RFC 822‬ﺍﺳﺖ‪.‬‬ ‫‪rfc822‬‬ ‫‪Message‬‬
‫ﺑﺮﺍﻱ ﻗﻄﻌﻪ ﻗﻄﻌﻪ ﻛﺮﺩﻥ ﻳﻚ ﻭﺍﺣﺪ ﻃﻮﻻﻧﻲ ﭘﺴﺘﻲ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ ﺑﻄﻮﺭﻱ ﻛﻪ ﺑﺮﺍﻱ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ‬ ‫‪Partial‬‬
‫ﻣﺮﺋﻲ ﻧﺒﺎﺷﺪ‪.‬‬
‫ﺷﺎﻣﻞ ﻳﻚ ﻧﺸﺎﻧﮕﺮﻱ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﻳﻚ ﻋﻨﺼﺮ ﺩﺭ ﺟﺎﻱ ﺩﻳﮕﺮ ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪External-body‬‬
‫ﺗﺼﻮﻳﺮ ﺩﺍﺭﺍﻱ ﻓﺮﻣﺖ ‪ JPEG‬ﻭ ﻛﹸﺪﻳﻨﮓ ‪ JFIF‬ﺍﺳﺖ‪.‬‬ ‫‪jpeg‬‬ ‫‪Image‬‬
‫ﺗﺼﻮﻳﺮ ﺩﺍﺭﺍﻱ ﻓﺮﻣﺖ ‪ GIF‬ﺍﺳﺖ‪.‬‬ ‫‪gif‬‬
‫ﻓﺮﻣﺖ ‪MPEG‬‬ ‫‪mpeg‬‬ ‫‪Video‬‬
‫ﻛﹸﺪﻳﻨﮓ ‪ -۸‬ﺑﻴﺘﻲ ﺗﻚ ﻛﺎﻧﺎﻟﺔ ‪ ISDN‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻗﺎﻧﻮﻥ ‪ μ‬ﻭ ﻧﺮﺥ ‪8 khz‬‬ ‫‪Basic‬‬ ‫‪Audio‬‬
‫‪Adobe Postscript‬‬ ‫‪PostScript‬‬ ‫‪Application‬‬
‫ﺩﺍﺩﻩﻫﺎﻱ ﺑﺎﻳﻨﺮﻱ ﻋﻤﻮﻣﻲ ﺷﺎﻣﻞ ﺑﺎﻳﺖﻫﺎﻱ ‪ -۸‬ﺑﻴﺘﻲ‬ ‫‪Octet-stream‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٧٨‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺍﮔﺮ ﺑﺪﻧﺔ ﭘﻴﺎﻡ ﺍﺯ ﻧﻮﻉ ﻣﺘﻦ )‪ (text type‬ﺑﺎﺷﺪ‪ ،‬ﺑﺠﺰ ﭘﺸﺘﻴﺒﺎﻧﻲ ﺍﺯ ﻣﺠﻤﻮﻋﺔ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ﻣﺸﺨﺺ ﺷﺪﻩ ﻫﻴﭻ ﻧﺮﻡﺍﻓﺰﺍﺭ‬
‫ﻣﺨﺼﻮﺹ ﺩﻳﮕﺮﻱ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻧﻴﺴﺖ‪ .‬ﺯﻳﺮ ﻣﺠﻤﻮﻋﺔ ﻣﺘﻦ‪ ،‬ﻳﻜﻲ ﻣﺘﻦ ﺳﺎﺩﻩ )‪ (plain‬ﺍﺳﺖ‪ ،‬ﻛﻪ ﺻﺮﻓﺎﹰ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ‬
‫‪ ASCII‬ﻭ ﻳﺎ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ﻣﺨﺼﻮﺹ ‪ ISO 8859‬ﺍﺳﺖ‪ .‬ﺯﻳﺮﻣﺠﻤﻮﻋﺔ ﺩﻳﮕﺮ ﻣﺘﻦ ﻏﻨﻲ ﺷﺪﻩ )‪ (enriched‬ﺍﺳﺖ ﻛﻪ ﻗﺎﺑﻠﻴﺖ‬
‫ﺑﻴﺸﺘﺮﻱ ﺭﺍ ﺩﺭ ﻓﺮﻣﺖ ﺩﻳﺘﺎ ﻣﻲﭘﺬﻳﺮﺩ‪.‬‬
‫ﻧﻮﻉ ﭼﻨﺪﺑﺨﺸﻲ )‪ (multipart type‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺑﺪﻧﺔ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﺑﺨﺶﻫﺎﻱ ﻣﺘﻌﺪﺩ ﻭ ﻣﺴﺘﻘﻞ ﺍﺳﺖ‪ .‬ﻣﻴﺪﺍﻥ‬
‫ﺳﺮﺁﻳﻨﺪ ﻧﻮﻉ ﻣﺤﺘﻮﺍ ﺷﺎﻣﻞ ﻳﻚ ﭘﺎﺭﺍﻣﺘﺮ ﺑﻨﺎﻡ ﻣﺮﺯ )‪ (boundry‬ﺍﺳﺖ ﻛﻪ ﻓﺎﺻﻠﺔ ﺑﻴﻦ ﺑﺨﺶﻫﺎﻱ ﺑﺪﻧﻪ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﻫﺮ ﻣﺮﺯ ﺍﺯ‬
‫ﺍﻭﻝ ﻳﻚ ﺧﻂ ﺟﺪﻳﺪ ﺷﺮﻭﻉ ﺷﺪﻩ ﻭ ﺷﺎﻣﻞ ﺩﻭ ﺧﻂ ﻓﺎﺻﻠﻪ )‪ (hyphen‬ﻭ ﺑﻪ ﺩﻧﺒﺎﻝ ﺁﻥ ﻳﻚ ﺍﻧﺪﺍﺯﺓ ﻣﺮﺯ ﺍﺳﺖ‪ .‬ﻣﺮﺯ ﻧﻬﺎﺋﻲ ﻛﻪ ﺷﺎﻣﻞ‬
‫ﺍﻧﺘﻬﺎﻱ ﺁﺧﺮﻳﻦ ﺑﺨﺶ ﺍﺳﺖ ﻧﻴﺰ ﺩﺍﺭﺍﻱ ﻳﻚ ﭘﺴﻮﻧﺪ ﺑﺎ ﺩﻭ ﺧﻂ ﻓﺎﺻﻠﻪ ﺍﺳﺖ‪ .‬ﺩﺭﻭﻥ ﻫﺮ ﺑﺨﺶ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﺳﺮﺁﻳﻨﺪ ﺍﺧﺘﻴﺎﺭﻱ‬
‫ﻣﻌﻤﻮﻟﻲ ‪ MIME‬ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﺩﺭ ﺯﻳﺮ ﻣﺜﺎﻝ ﺳﺎﺩﻩﺍﻱ ﺍﺯ ﻳﻚ ﭘﻴﺎﻡ ﭼﻨﺪﺑﺨﺸﻲ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﺩﻭ ﺑﺨﺶ ﺑﻮﺩﻩ ﻭ ﻫﺮ ﺑﺨﺶ ﻧﻴﺰ ﺷﺎﻣﻞ ﻳﻚ‬
‫ﻣﺘﻦ ﺳﺎﺩﻩ ﺍﺳﺖ )ﺍﻗﺘﺒﺎﺱ ﺍﺯ ‪.(RFC 2046‬‬
‫>‪From: Nathaniel Borenstein <nsb@bellcore.com‬‬

‫>‪To: Ned Freed <ned@innosoft.com‬‬
‫‪Subject: Sample message‬‬
‫‪MIME-Version: 1.0‬‬
‫"‪Content-type: multipart/mixed; boundary ="simple boundary‬‬
‫‪This is the preamble. It is to be ignored, though it is a handy place for‬‬

‫‪mail composers to include an explanatory note to non-MIME conformant‬‬
‫‪readers.--simple boundary‬‬
‫‪This is implicitly typed plain ASCII text. It does NOT end with a‬‬
‫‪linebreak.--simple boundary‬‬
‫‪Content-type: text/plain; charset=us-ascii‬‬
‫‪This is explicitly typed plain ASCII text. It DOES end with a linebreak.‬‬
‫‪--simple boundary--‬‬
‫‪This is the epilogue. It is also to be ignored.‬‬
‫ﻧﻮﻉ ﭼﻨﺪﺑﺨﺸﻲ ﺧﻮﺩ ﺩﺍﺭﺍﻱ ﭼﻬﺎﺭ ﺯﻳــﺮﻧـﻮﻉ )‪ (subtype‬ﺍﺳﺖ ﻛﻪ ﺗﻤـﺎﻡ ﺁﻧﻬـﺎ ﺩﺍﺭﺍﻱ ﻳـﻚ ﺍﻧﺸـﺎﻱ ﻛﻠﻲ ﻫﺴﺘﻨﺪ‪.‬‬
‫‪ multipart/mixed subtype‬ﻭﻗﺘﻲ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﻛﻪ ﭼﻨﺪﻳﻦ ﺑﺨﺶ ﻣﺴﺘﻘﻞ ﺩﺭ ﭘﻴﺎﻡ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﻛﻪ‬
‫ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﺗﺮﺗﻴﺐ ﻣﺸﺨﺼﻲ ﺑﻪ ﻫﻢ ﮔﺮﻩ ﺑﺨﻮﺭﻧﺪ‪ .‬ﺩﺭ ‪ multipart/parallel subtype‬ﻧﻈﻢ ﺑﺨﺶﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺩﺍﺭﺍﻱ ﺍﻫﻤﻴﺖ‬
‫ﻧﻤﻲﺑﺎﺷﻨﺪ‪ .‬ﺍﮔﺮ ﺳﻴﺴﺘﻢ ﺩﺭﻳﺎﻓﺖ ﻣﻨﺎﺳﺐ ﺑﺎﺷﺪ‪ ،‬ﺑﺨﺶﻫﺎﻱ ﻣﺨﺘﻠﻒ ﭘﻴﺎﻡ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﻄﻮﺭ ﻣﻮﺍﺯﻱ ﻧﻤﺎﻳﺶ ﺩﺍﺩﻩ ﺷﻮﻧﺪ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ ﻳﻚ‬
‫ﺑﺨﺶ ﺗﺼﻮﻳﺮﻱ ﻭ ﻳﺎ ﻣﺘﻨﻲ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎ ﺗﻮﺿﻴﺤﺎﺕ ﺻﻮﺗﻲ ﻫﻤﺮﺍﻩ ﺑﺎﺷﺪ ﻛﻪ ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﺗﺼﻮﻳﺮ ﻭ ﻳﺎ ﻣﺘﻦ ﺩﺭ ﺣﺎﻝ ﻧﻤﺎﻳﺶ ﺍﺳﺖ ﺑﺨﺶ‬
‫ﺻﻮﺗﻲ ﻧﻴﺰ ﺑﻪ ﻫﻤﺮﺍﻩ ﺁﻥ ﺍﺟﺮﺍ ﮔﺮﺩﺩ‪.‬‬
‫ﺑﺮﺍﻱ ‪ multipart/alternative subtype‬ﺑﺨﺶﻫﺎﻱ ﻣﺨﺘﻠﻒ ﭘﻴﺎﻡ‪ ،‬ﻧﻤﺎﻳﺶﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺍﺯ ﻳﻚ ﻧﻮﻉ ﺍﻃﻼﻋﺎﺕ ﻫﺴﺘﻨﺪ‪.‬‬
‫ﻣﺜﺎﻝ ﺯﻳﺮ ﻧﻤﻮﻧﻪﺍﻱ ﺍﺯ ﺁﻥ ﺍﺳﺖ‪:‬‬
‫‪١٧٩‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫>‪From: Nathaniel Borenstein <nsb@ bellcore.com‬‬

‫>‪To: Ned Freed <ned@innosoft.com‬‬
‫‪Subject: Formatted text mail‬‬
‫‪MIME-Version: 1.0‬‬
‫‪Content Type: multipart/alternative; boundary=boundary42‬‬
‫‪--boundary42‬‬
‫‪Content-Type: text/plain; charset=us-ascii‬‬
‫… ‪… plain text version of message goes here‬‬
‫‪Content-Type: text/enriched‬‬
‫…‪… RFC 1896 text/enriched version of some message goes here‬‬

‫‪--boundary42--‬‬
‫ﺩﺭ ﺍﻳﻦ ﺯﻳﺮﻧﻮﻉ‪ ،‬ﺑﺨﺶﻫﺎﻱ ﺑﺪﻧﺔ ﭘﻴﺎﻡ ﺑﺮ ﺣﺴﺐ ﺭﺟﺤﺎﻥ ﺑﺮ ﻳﻜﺪﻳﮕﺮ ﻣﺮﺗﺐ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ ﺑﺎﻻ ﺍﮔﺮ ﺳﻴﺴﺘﻢ ﮔﻴﺮﻧﺪﻩ ﻗﺎﺩﺭ‬
‫ﺑﻪ ﻧﻤﺎﻳﺶ ﭘﻴﺎﻡ ﺑﺎ ﻓﺮﻣﺖ ﻣﺘﻦ ﻏﻨﻲ ﺷﺪﻩ ﺑﺎﺷﺪ ﺍﻳﻦ ﻋﻤﻞ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ ﻭ ﺩﺭ ﻏﻴﺮ ﺍﻳﻨﺼﻮﺭﺕ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﻜﺎﺭ ﺧﻮﺍﻫﺪ ﺭﻓﺖ‪.‬‬
‫‪ multipart/digest subtype‬ﻭﻗﺘﻲ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ ﻛﻪ ﻫﺮﻳﻚ ﺍﺯ ﺑﺨﺶﻫﺎﻱ ﺑﺪﻧﻪ‪ ،‬ﺑﺼﻮﺭﺕ ﻳﻚ ﭘﻴﺎﻡ ‪ RFC 822‬ﺑﺎ‬
‫ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﺁﻥ ﺗﻌﺒﻴﺮ ﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺯﻳﺮﻧﻮﻉ ﻣﺎ ﺭﺍ ﻗﺎﺩﺭ ﺑﻪ ﺳﺎﺧﺖ ﭘﻴﺎﻣﻲ ﺧﻮﺍﻫﺪ ﻧﻤﻮﺩ ﻛﻪ ﺑﺨﺶﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺁﻥ ﭘﻴﺎﻡﻫﺎﻱ ﺍﻧﻔﺮﺍﺩﻱ‬
‫ﻫﺴﺘﻨﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﻣﻴﺎﻧﺪﺍﺭ ﻳﻚ ﮔﺮﻭﻩ ﻣﻤﻜﻦ ﺍﺳﺖ ﭘﻴﺎﻡﻫﺎﻱ ‪ e-mail‬ﺍﻓﺮﺍﺩ ﮔﺮﻭﻩ ﺭﺍ ﺟﻤﻊﺁﻭﺭﻱ ﻛﺮﺩﻩ‪ ،‬ﺍﻳﻦ ﭘﻴﺎﻡﻫﺎ ﺭﺍ ﺑﺴﺘﻪﺑﻨﺪﻱ‬
‫ﻧﻤﻮﺩﻩ ﻭ ﺁﻧﻬﺎ ﺭﺍ ﺑﺼﻮﺭﺕ ﻳﻚ ﭘﻴﺎﻡ ﻛﭙﺴﻮﻟﻲ ﺷﺪﺓ ‪ MIME‬ﺑﻔﺮﺳﺘﺪ‪.‬‬
‫ﻧﻮﻉ ﭘﻴﺎﻡ)‪ (message type‬ﺗـﻌﺪﺍﺩﻱ ﻗـﺎﺑﻠﻴﺖﻫﺎﻱ ﻣﻬﻢ ﺩﺭ‪ MIME‬ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﺩ‪message/rfc822 subtype .‬‬
‫ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺧﻮﺩ ﺑﺪﻧﺔ ﭘﻴﺎﻡ ﻳﻚ ﭘﻴﺎﻡ ﻛﺎﻣﻞ‪ ،‬ﺷﺎﻣﻞ ﺳﺮﺁﻳﻨﺪ ﻭ ﺑﺪﻧﻪ‪ ،‬ﺍﺳﺖ‪ .‬ﺻﺮﻓﻨﻈﺮ ﺍﺯ ﻧﺎﻡ ﺍﻳﻦ ﺯﻳﺮﻧﻮﻉ‪ ،‬ﭘﻴﺎﻡ ﻛﭙﺴﻮﻟﻲ ﺷﺪﻩ‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﻪ ﺗﻨﻬﺎ ﻳﻚ ﭘﻴﺎﻡ ﺳﺎﺩﺓ ‪ RFC 822‬ﺑﻠﻜﻪ ﻫﺮ ﻧﻮﻉ ﭘﻴﺎﻡ ﺩﻳﮕﺮ‪ MIME‬ﺑﺎﺷﺪ‪.‬‬
‫‪ message/partial subtype‬ﻗﻄﻌﻪﻗﻄﻌﻪ ﻛﺮﺩﻥ ﻳﻚ ﭘﻴﺎﻡ ﻃﻮﻻﻧﻲ ﺑﻪ ﺑﺨﺶﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺭﺍ ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﻣﻲﻛﻨﺪﻛﻪ‬
‫ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻣﻘﺼﺪ ﺩﻭﺑﺎﺭﻩ ﺑﻬﻢ ﺑﭙﻴﻮﻧﺪﻧﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﺯﻳﺮﻧﻮﻉ‪ ،‬ﺳﻪ ﭘﺎﺭﺍﻣﺘﺮﺩﺭ ﻣﻴﺪﺍﻥ ‪Content-Type:Message/Partial field‬‬
‫ﻣﺸﺨﺺ ﺷﺪﻩ ﺍﺳﺖ‪ :‬ﻳﻚ ‪ id‬ﻛﻪ ﺑﺮﺍﻱ ﺗﻤﺎﻡ ﻗﻄﻌﺎﺕ ﻣﺸﺘﺮﻙ ﺍﺳﺖ‪ ،‬ﻳﻚ ﺷﻤﺎﺭﻩ ﺭﺩﻳﻒ ﻛﻪ ﺑﺮﺍﻱ ﻫﺮ ﻗﻄﻌﻪ ﻣﺘﻔﺎﻭﺕ ﺍﺳﺖ ﻭ ﺗﻌﺪﺍﺩ‬
‫ﻛﻞ ﻗﻄﻌﺎﺕ‪.‬‬
‫‪ message/external-body subtype‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺩﻳﺘﺎﻱ ﻭﺍﻗﻌﻲ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﻃﺮﻳﻖ ﭘﻴﺎﻡ ﺗﺤﻮﻳﻞ ﮔﺮﺩﺩ‪ ،‬ﺩﺭ‬
‫ﺑﺪﻧﺔ ﭘﻴﺎﻡ ﻧﻴﺴﺖ‪ .‬ﺑﺠﺎﻱ ﺁﻥ ﺑﺪﻧﻪ ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺕ ﻻﺯﻡ ﺑﺮﺍﻱ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺩﺍﺩﻩ ﺍﺳﺖ‪ .‬ﻫﻤﺎﻧﻨﺪ ﺩﻳﮕﺮ ﺍﻧﻮﺍﻉ ﭘﻴﺎﻡ‪،‬‬
‫‪ message/external-body subtype‬ﺩﺍﺭﺍﻱ ﻳﻚ ﺳﺮﺁﻳﻨﺪ ﺧﺎﺭﺟﻲ ﻭ ﻳﻚ ﭘﻴﺎﻡ ﻛﭙﺴﻮﻟﻲ ﺷﺪﻩ ﺑﺎ ﺳﺮﺁﻳﻨﺪ ﺧﻮﺩ ﺁﻥ ﺍﺳﺖ‪ .‬ﺗﻨﻬﺎ‬
‫ﻣﻴﺪﺍﻥ ﻻﺯﻡ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ﺧﺎﺭﺟﻲ‪ ،‬ﻣﻴﺪﺍﻥ ﻧﻮﻉ ﻣﺤﺘﻮﺍ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﭘﻴﺎﻡ ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺯﻳﺮﻧﻮﻉ ‪ message/external-body‬ﻣﻌﺮﻓﻲ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺳﺮﺁﻳﻨﺪ ﺩﺍﺧﻠﻲ‪ ،‬ﺳﺮﺁﻳﻨﺪ ﭘﻴﺎﻡ ﺑﺮﺍﻱ ﭘﻴﺎﻡ ﻛﭙﺴﻮﻟﻲ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻣﻴﺪﺍﻥ ﻧﻮﻉ ﻣﺤﺘﻮﺍ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ﺧﺎﺭﺟﻲ ﺑﺎﻳﺴﺘﻲ ﺷﺎﻣﻞ ﻳﻚ‬
‫ﭘﺎﺭﺍﻣﺘﺮ ﻧﻮﻉ ﺩﺳﺘﺮﺳﻲ ﺑﺎﺷﺪ ﻛﻪ ﻧﻤﺎﻳﺸﮕﺮ ﺭﻭﺵ ﺩﺳﺘﺮﺳﻲ ﻣﺜﻞ ‪ (file transfer protocol) FTP‬ﺍﺳﺖ‪.‬‬
‫ﻧﻮﻉ ﻛﺎﺭﺑﺮﺩ)‪ (application type‬ﺑﻪ ﺳﺎﻳﺮ ﺍﻧﻮﺍﻉ ﺩﻳﺘﺎ ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨﺪ ﻛﻪ ﻧﻮﻋﺎﹰ ﻳﺎ ﺩﻳﺘﺎﻱ ﺑﺎﻳﻨﺮﻱ ﺗﺮﺟﻤﻪ ﻧﺸﺪﻩ ﻭ ﻳﺎ ﺍﻃﻼﻋﺎﺗﻲ‬
‫ﺍﺳﺖ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺑﺘﻮﺳﻂ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﻛﺎﺭﺑﺮﺩﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﭘﺮﺩﺍﺯﺵ ﺷﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٨٠‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻛﹸﺪﻳﻨﮓﻫﺎﻱ ﺍﻧﺘﻘﺎﻝ ‪MIME‬‬

‫ﻳﻜﻲ ﺍﺯ ﻣﺆﻟﻔﻪﻫﺎﻱ ﻣﻬﻢ ﺩﻳﮕﺮ ﺩﺭ ﻣﺸﺨﺼﻪﻫﺎﻱ ‪ ،MIME‬ﻋﻼﻭﻩ ﺑﺮ ﺗﻌﻴﻴﻦ ﻧﻮﻉ ﻣﺤﺘﻮﺍ‪ ،‬ﺗﻌﺮﻳﻒ ﻛﹸﺪﻳﻨﮓ ﺍﻧﺘﻘﺎﻝ ﺑﺮﺍﻱ ﺑﺪﻧﺔ ﭘﻴﺎﻡ‬
‫ﺍﺳﺖ‪ .‬ﻫﺪﻑ ﺍﻳﻦ ﺍﻣﺮ ﺗﺤﻮﻳﻞ ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺩﺭ ﻣﺤﺪﻭﺩﺓ ﻭﺳﻴﻌﻲ ﺍﺯ ﻣﺤﻴﻂﻫﺎﻱ ﮔﻮﻧﺎﮔﻮﻥ ﺍﺳﺖ‪.‬‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ‪ MIME‬ﺩﻭ ﺭﻭﺵ ﺑﺮﺍﻱ ﻛﹸﺪﻛﺮﺩﻥ ﺩﻳﺘﺎ ﺭﺍ ﺗﻌﺮﻳﻒ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﻣﻴﺪﺍﻥ ﻛﹸﺪﻳﻨﮓ ﺍﻧﺘﻘﺎﻝ ﻣﺤﺘﻮﺍ ﺩﺭ ﻭﺍﻗﻊ ﻣﻲﺗﻮﺍﻧﺪ‬
‫ﺑﺮﺍﺑﺮ ﺁﻧﭽﻪ ﺩﺭ ﺟﺪﻭﻝ ‪ ۵-۴‬ﻟﻴﺴﺖ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺷﺶ ﻣﻘﺪﺍﺭ ﺭﺍ ﺑﭙﺬﻳﺮﺩ‪ .‬ﺍﻣﺎ ﺳﻪ ﺗﺎ ﺍﺯ ﺍﻳﻦ ﻣﻘﺎﺩﻳﺮ )‪ 8bit ،7bit‬ﻭ ‪ (binary‬ﻧﻤﺎﻳﺸﮕﺮ‬
‫ﺍﻳﻦ ﻭﺍﻗﻌﻴﺖﺍﻧﺪ ﻛﻪ ﻫﻴﭻ ﻛﹸﺪﻳﻨﮕﻲ ﺍﻧﺠﺎﻡ ﻧﺸﺪﻩ ﺍﺳﺖ ﻭ ﻓﻘﻂ ﺍﻃﻼﻋﺎﺗﻲ ﺩﺭ ﻣﻮﺭﺩ ﻧﻮﻉ ﺩﻳﺘﺎ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﻧﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ‪SMTP‬‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ 7bit‬ﺍﻣﻦ ﺍﺳﺖ‪ .‬ﻓﺮﻡﻫﺎﻱ ‪ 8bit‬ﻭ ‪ binary‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﺑﺴﺘﺮﻫﺎﻱ ﺣﻤﻞ ﭘﺴﺘﻲ ﺩﻳﮕﺮ ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺑﺎﺷﻨﺪ‪ .‬ﺍﻧﺪﺍﺯﺓ ﺩﻳﮕﺮ‬
‫ﻛﹸﺪﻳﻨﮓ ﺍﻧﺘﻘﺎﻝ ﻣﺤﺘﻮﺍ‪ ،‬ﻣﻘﺪﺍﺭ ‪ x-token‬ﺍﺳﺖ ﻛﻪ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﺭﻭﺵ ﻛﹸﺪﻳﻨﮓ ﺩﻳﮕﺮﻱ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﻭ ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ﺁﻥ ﻧﺎﻣﻲ‬
‫ﺍﺭﺍﺋﻪ ﮔﺮﺩﺩ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﻣﻤﻜﻦ ﺍﺳﺖ ﻣﺨﺼﻮﺹ ﻳﻚ ﺳﺎﺯﻧﺪﺓ ﺧﺎﺹ ﻭ ﻳﺎ ﻛﺎﺭﺑﺮﺩ ﺧﺎﺹ ﺑﺎﺷﺪ‪ .‬ﺩﻭ ﺭﻭﺷﻲ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﺗﻌﺮﻳﻒ‬
‫ﺷﺪﻩﺍﻧﺪ ﻳﻜﻲ ‪ quoted-printable‬ﻭ ﺩﻳﮕﺮﻱ ‪ base64‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺩﻭ ﺭﻭﺵ ﺑﺮﺍﻱ ﺍﻳﻦ ﺗﻌﺮﻳﻒ ﺷﺪﻩﺍﻧﺪ ﻛﻪ ﻳﻚ ﺣﻖ ﺍﻧﺘﺨﺎﺏ ﺑﻴﻦ‬
‫ﻳﻚ ﺗﻜﻨﻴﻚ ﺍﻧﺘﻘﺎﻝ ﻛﻪ ﺿﺮﻭﺭﺗﺎﹰ ﻗﺎﺑﻞ ﺧﻮﺍﻧﺪﻥ ﺑﺘﻮﺳﻂ ﺍﻧﺴﺎﻥ ﺍﺳﺖ ﻭ ﺩﻳﮕﺮﻱ ﻛﻪ ﺑﺮﺍﻱ ﻫﻤﺔ ﺍﻧﻮﺍﻉ ﺩﻳﺘﺎ ﻣﻄﻤﺌﻦ ﺑﻮﺩﻩ ﻭ ﻧﺴﺒﺘﺎﹰ ﻣﺨﺘﺼﺮ‬
‫ﺍﺳﺖ‪ ،‬ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﻛﹸﺪﻳﻨﮓ ﺍﻧﺘﻘﺎﻝ ‪ quoted-printable‬ﻭﻗﺘﻲ ﻣﻔﻴﺪ ﺍﺳﺖ ﻛﻪ ﺩﻳﺘﺎ ﻋﻤﺪﺗﺎﹰ ﺷﺎﻣﻞ ﺍﹸﻛﺘﺖﻫﺎﺋﻲ ﺑﺎﺷﺪ ﻛﻪ ﻧﻈﻴﺮ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ﻗﺎﺑﻞ‬
‫ﭼﺎﭖ ‪ ASCII‬ﺍﻧﺪ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﺍﻳﻦ ﺭﻭﺵ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ﻧﺎﺍﻣﻦ ﺭﺍ ﺑﺎ ﻓﺮﻡ ﻫﮕﺰﺍﺩﺳﻴﻤﺎﻝ ﻛﹸﺪ ﺁﻧﻬﺎ ﻧﻤﺎﻳﺶ ﺩﺍﺩﻩ ﻭ ﺧﻄﻮﻁ ﺧﺎﻟﻲ ﻗﺎﺑﻞ ﺑﺮﮔﺸﺖ‬
‫)ﻧﹶﺮﻡ( ﺭﺍ ﺑﺮﺍﻱ ﻣﺤﺪﻭﺩﻛﺮﺩﻥ ﺧﻄﻮﻁ ﭘﻴﺎﻡ ﺑﻪ ‪ ۷۶‬ﻛﺎﺭﺍﻛﺘﺮ ﻣﻌﺮﻓﻲ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻛﹸﺪﻳﻨﮓ ﺍﻧﺘﻘﺎﻝ ‪ base64‬ﻛﻪ ﻛﹸﺪﻳﻨﮓ ‪ radix-64‬ﻧﻴﺰ ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﺭﻭﺷﻲ ﻣﻌﻤﻮﻝ ﺑﺮﺍﻱ ﻛﹸﺪﻛﺮﺩﻥ ﻫﺮ ﻧﻮﻉ ﺩﻳﺘﺎﻱ ﺑﺎﻳﻨﺮﻱ‬
‫ﺑﻪ ﻧﺤﻮﻱ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺑﺮﺍﺑﺮ ﭘﺮﺩﺍﺯﺵ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺣﻤﻞ ﭘﺴﺘﻲ ﺁﺳﻴﺐﻧﺎﭘﺬﻳﺮ ﺑﺎﺷﺪ‪ .‬ﺍﺯ ﺍﻳﻦ ﺭﻭﺵ ﺩﺭ ‪ PGP‬ﻫﻢ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ ﻭ ﺩﺭ‬
‫ﺿﻤﻴﻤﺔ ‪ ۵‬ﺏ ﺍﻳﻦ ﻓﺼﻞ ﺗﻮﺻﻴﻒ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻳﻚ ﻣﺜﺎﻝ ﭼﻨﺪﺑﺨﺸﻲ‬

‫ﺷﻜﻞ ‪ ۵-۸‬ﻛﻪ ﺍﺯ ‪ RFC 2045‬ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻃﺮﺡ ﻳﻚ ﭘﻴﺎﻡ ﭼﻨﺪﺑﺨﺸﻲ ﻣﺮﻛﺐ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﭘﻴﺎﻡ ﺩﺍﺭﺍﻱ ﭘﻨﺞ‬
‫ﺑﺨﺶ ﺍﺳﺖ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺑﻄﻮﺭ ﺳﺮﻳﺎﻝ ﻧﻤﺎﻳﺶ ﺩﺍﺩﻩ ﺷﻮﻧﺪ‪ :‬ﺩﻭ ﻣﺘﻦ ﺳﺎﺩﻩ ﺩﺭ ﻣﻘﺪﻣﺔ‪ ،‬ﻳﻚ ﭘﻴﺎﻡ ﭼﻨﺪﺑﺨﺸﻲ ﺟﺎﺳﺎﺯﻱ ﺷﺪﻩ ﺩﺭ ﺩﺍﺧﻞ ﺁﻥ‪،‬‬
‫ﻳﻚ ﺑﺨﺶ ﻣﺘﻦ ﻏﻨﻲﺷﺪﻩ ﻭ ﻳﻚ ﭘﻴﺎﻡ ﻣﺘﻨﻲ ﻛﭙﺴﻮﻟﻲ ﺷﺪﻩ ﻛﻪ ﺑﺎ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ﻏﻴﺮ ‪ ASCII‬ﺑﻴﺎﻥ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﭘﻴﺎﻡ ﭼﻨﺪﺑﺨﺸﻲ ﺟﺎﺳﺎﺯﻱ‬
‫ﺷﺪﻩ ﺩﺍﺭﺍﻱ ﺩﻭ ﻗﺴﻤﺖ ﺍﺳﺖ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﻮﻧﺪ‪ ،‬ﻳﻚ ﺗﺼﻮﻳﺮ ﻭ ﻳﻚ ﻗﻄﻌﺔ ﺻﻮﺗﻲ‪.‬‬
‫ﺟﺪﻭﻝ ‪ ۵-۴‬ﻛﹸﺪﻳﻨﮓﻫﺎﻱ ﺍﻧﺘﻘﺎﻝ ‪MIME‬‬
‫ﺗﻤﺎﻡ ﺩﻳﺘﺎ ﺑﺎ ﺧﻄﻮﻁ ﻛﻮﺗﺎﻫﻲ ﺍﺯ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ‪ ASCII‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬ ‫‪7bit‬‬

‫ﺧﻄﻮﻁ ﻛﻮﺗﺎﻩﺍﻧﺪ ﻭﻟﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﺋﻲ ﻏﻴﺮ ﺍﺯ ‪ ASCII‬ﺑﺎﺷﻨﺪ )ﺍﹸﻛﺘﺖﻫﺎﺋﻲ ﺑﺎ ﻣﺠﻤﻮﻋﺔ ﺑﻴﺖﻫﺎﺋﻲ ﺍﺯ‬ ‫‪8bit‬‬
‫ﺩﺭﺟﺔ ﺑﺎﻻ(‬
‫ﻧﻪ ﺗﻨﻬﺎ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ﻏﻴﺮ ‪ ASCII‬ﻣﻲﺗﻮﺍﻧﻨﺪ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ ﺑﻠﻜﻪ ﺧﻄﻮﻁ ﭘﻴﺎﻡ ﺍﻟﺰﺍﻣﺎﹰ ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ﺍﺯ ﻃﺮﻳﻖ ﭘﺮﻭﺗﻜﻞ‬ ‫‪binary‬‬
‫‪ SMTP‬ﺑﻪ ﺍﻧﺪﺍﺯﺓ ﻛﺎﻓﻲ ﻛﻮﺗﺎﻩ ﻧﻴﺴﺘﻨﺪ‪.‬‬
‫ﺩﺍﺩﻩﻫﺎ ﺭﺍ ﺑﻪ ﺗﺮﺗﻴﺒﻲ ﻛﹸﺪ ﻣﻲﻛﻨﺪ ﻛﻪ ﺍﮔﺮ ﺩﺍﺩﻩﻫﺎﻱ ﻛﹸﺪ ﺷﺪﻩ ﺑﻴﺸﺘﺮ ﺷﺎﻣﻞ ﻣﺘﻮﻥ ‪ ASCII‬ﺑﺎﺷﻨﺪ‪ ،‬ﻓﺮﻡ ﻛﹸﺪﺷﺪﻩ ﺗﺎ ﺣﺪ‬ ‫‪quoted-printable‬‬
‫ﺯﻳﺎﺩﻱ ﻗﺎﺑﻞ ﺷﻨﺎﺳﺎﺋﻲ ﺑﺘﻮﺳﻂ ﺍﻧﺴﺎﻥ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﺩﻳﺘﺎ ﺭﺍ ﺑﺎ ﻧﮕﺎﺷﺘﻲ ﺍﺯ ﺑﻠﻮﻙﻫﺎﻱ ‪ -۶‬ﺑﻴﺘﻲ ﻭﺭﻭﺩﻱ ﺑﻪ ﺑﻠﻮﻙﻫﺎﻱ ‪ -۸‬ﺑﻴﺘﻲ ﺧﺮﻭﺟﻲ ﻃﻮﺭﻱ ﻛﹸﺪ ﻣﻲﻛﻨﺪ ﻛﻪ ﻫﻤﺔ ﺁﻧﻬﺎ‬ ‫‪base64‬‬
‫ﺑﺘﻮﺳﻂ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ‪ ASCII‬ﻗﺎﺑﻞ ﭼﺎﭖﺍﻧﺪ‪.‬‬
‫ﻳﻚ ﻧﻮﻉ ﻛﹸﺪﻳﻨﮓ ﻏﻴﺮﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﺳﺖ‪.‬‬ ‫‪x-token‬‬
١٨١ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
MIME-Version: 1.0
From: Nathaniel Borenstein nsb@bellcore.com
To: Ned Freed ned@innosoft.com
Subject: A multipart example
Content-Type: multipart/mixed;
Boundry=unique-boundry-1
This is the preamble area of a multipart message. Mail readers that understand multipart
format should ignore this preamble. If you are reading this text you might want to consider
changing to a mail reader that understands how to properly display multipart messages.
--unique-boundry-1
…Some text appears here…
[Note that the preceding blank line means no header fields were given and this is text with
charset US ASCII.
It could have been done wiyh explicit typing as in the next part.]
--unique-boundry-1
Content-type: text/plain;charset=US-ASCII
This could have been part of the previous part, but illustrates explicit versus implicit typing
of body parts.
--unique-boundry-1
Content-Type: multipart/parallel: boundry=unique-boundry-2
--unique-boundry-2
Content-Type: audio/basic
Content-Transfer-Encoding: base64
…base64-encoded 8000 Hz single-channel mu-law-format audio data goes here….
--unique-boundry-2
Content-Type: image/jpeg
Content-Transfer-Encoding: base64
…base64-encoded image data goes here…
--unique-boundry-2--
--unique-boundry-1
Content-type: text/enriched
This is <bold><italic>richtext.</italic></bold><smaller>as defined in RFC 1896</smaller>
Isn`t it<bigger><bigger>cool?</bigger></bigger>
--unique-boundry-1
Content-Type:message/rfc822
From: (mailbox in US-ASCII)
To: (address in US-ASCII)
Subject: (subject in US-ASCII)
Content-Type: Text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: Quoted-printable
…Additional text in ISO-8859-1 goes here…
--unique-boundry-1--
MIME ‫ ﻣﺜﺎﻟﻲ ﺍﺯ ﺳﺎﺧﺘﺎﺭ ﭘﻴﺎﻡ‬۵-۸ ‫ﺷﻜﻞ‬

‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٨٢‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺟﺪﻭﻝ ‪ ۵-۵‬ﻓﺮﻡﻫﺎﻱ ﺑﻮﻣﻲ ﻭ ﻗﺎﻧﻮﻧﻲ‬
‫ﺑﺪﻧﻪ ﭘﻴﺎﻣﻲ ﻛﻪ ﺑﺎﻳﺪ ﺍﺭﺳﺎﻝ ﺷﻮﺩ ﺑﺎ ﻓﺮﻣﺖ ﺑﻮﻣﻲ ﺳﻴﺴﺘﻢ ﺍﺭﺳﺎﻝﻛﻨﻨﺪﻩ ﺧﻠﻖ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﺯ ﻣﺠﻤﻮﻋﺔ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ‬ ‫ﻓﺮﻡ ﺑﻮﻣﻲ‬
‫ﺑﻮﻣﻲ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﻭ ﺩﺭ ﺟﺎﻱ ﻣﻨﺎﺳﺐ ﺍﺯ ﻗﻮﺍﻧﻴﻦ ﻣﺤﻠﻲ ﭘﺎﻳﺎﻥ ﺧﻂ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺑﺪﻧﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﻓﺎﻳﻞ‬ ‫)‪(Native Form‬‬
‫ﻣﺘﻨﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ‪ ،UNIX‬ﻳﻚ ﺗﺼﻮﻳﺮ ﻣﺒﺘﻨﻲ ﺑﺮ ‪ ،Sun‬ﻳﻚ ﻓﺎﻳﻞ ﺑﺎ ﺍﻧﺪﻳﺲ ‪ ،VMS‬ﻳﻚ ﺩﻳﺘﺎﻱ ﺻﻮﺗﻲ ﻣﺒﺘﻨﻲ ﺑﺮ‬
‫ﺳﻴﺴﺘﻢ ﻛﻪ ﺩﺭ ﺣﺎﻓﻈﻪ ﺫﺧﻴﺮﻩ ﺷﺪﻩ ﻭ ﻳﺎ ﻫﺮﭼﻴﺰ ﺩﻳﮕﺮﻱ ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﻣﺪﻝ ﻣﺤﻠﻲ ﺑﺮﺍﻱ ﻧﻤﺎﻳﺶ ﻧﻮﻋﻲ ﺍﻃﻼﻋﺎﺕ‬
‫ﺑﺎﺷﺪ‪ .‬ﺍﺻﻮﻻﹰ ﺩﻳﺘﺎ ﺑﻪ ﻓﺮﻡ »ﺑﻮﻣﻲ« ﻛﻪ ﻣﺮﺗﺒﻂ ﺑﺎ ﻧﻮﻉ ﺗﻌﻴﻴﻦ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻧﻮﻉ ﺭﺳﺎﻧﻪ ﺍﺳﺖ ﺧﻠﻖ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﺗﻤﺎﻡ ﺑﺪﻧﻪ ﭘﻴﺎﻡ‪ ،‬ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺕ »ﺧﺎﺭﺝ ﺍﺯ ﺑﺎﻧﺪ« ﻣﺜﻞ ﻃﻮﻝ ﺭﻛﻮﺭﺩﻫﺎ ﻭ ﺍﺣﺘﻤﺎﻻﹰ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﺻﻔﺎﺕ‬ ‫ﻓﺮﻡ ﻗﺎﻧﻮﻧﻲ‬
‫ﻓﺎﻳﻞﻫﺎ‪ ،‬ﺑﻪ ﻓﺮﻡ ﻗﺎﻧﻮﻧﻲ ﺗﺒﺪﻳﻞ ﻣﻲﺷﻮﺩ‪ .‬ﻧﻮﻉ ﺭﺳﺎﻧﺔ ﻣﺨﺼﻮﺹ ﺑﺪﻧﻪ ﻭ ﻣﺸﺨﺼﺎﺕ ﻣﺮﺑﻮﻃﻪ‪ ،‬ﻓﺮﻡ ﻗﺎﻧﻮﻧﻲ ﺑﻜﺎﺭﮔﺮﻓﺘﻪ‬ ‫)‪(Canonical Form‬‬
‫ﺷﺪﻩ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺗﺒﺪﻳﻞ ﺑﻪ ﻓﺮﻡ ﻗﺎﻧﻮﻧﻲ ﻣﻨﺎﺳﺐ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﺗﺒﺪﻳﻞ ﻣﺠﻤﻮﻋﺔ ﻛﺎﺭﺍﻛﺘﺮﻫﺎ‪ ،‬ﺗﺒﺪﻳﻞ‬
‫ﺩﺍﺩﻩﻫﺎﻱ ﺻﻮﺗﻲ‪ ،‬ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻭ ﻳﺎ ﺳﺎﻳﺮ ﻋﻤﻠﻴﺎﺕ ﻣﺨﺘﺺ ﺑﻪ ﺭﺳﺎﻧﻪﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺑﺎﺷﻨﺪ‪ .‬ﺍﮔﺮ ﺗﺒﺪﻳﻞ ﻣﺠﻤﻮﻋﺔ‬
‫ﻛﺎﺭﺍﻛﺘﺮﻫﺎ ﻣﻮﺭﺩ ﻧﻈﺮ ﺑﺎﺷﺪ ﺑﺎﻳﺴﺘﻲ ﺩﻗﺖ ﻛﺮﺩ ﻛﻪ ﺩﻳﻜﺘﺔ ﻟﻐﺎﺕ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﮔﻴﺮﺩ ﺯﻳﺮﺍ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ‬
‫ﺗﺒﺪﻳﻞ ﻣﺠﻤﻮﻋﻪﻫﺎ ﺑﻪ ﻳﻜﺪﻳﮕﺮ ﺗﻨﺎﻗﻀﺎﺗﻲ ﺩﺭ ﻓﺮﻡ ﻧﻤﺎﻳﺶ ﺁﻧﻬﺎ ﺑﻮﺟﻮﺩ ﺁﻳﺪ‪.‬‬
‫ﻓﺮﻡ ﻗﺎﻧﻮﻧﻲ‬
‫ﻳﻜﻲ ﺍﺯ ﻣﻔﺎﻫﻴﻢ ﻣﻬﻢ ‪ MIME‬ﻭ ‪ S/MIME‬ﻓﺮﻡ ﻗﺎﻧﻮﻧﻲ)‪ (canonical‬ﺍﺳﺖ‪ .‬ﻓﺮﻡ ﻗﺎﻧﻮﻧﻲ ﻳﻚ ﻓﺮﻣﺖ ﺍﺳﺖ‪ ،‬ﻛﻪ ﺩﺭ ﺗﻨﺎﺳﺐ‬
‫ﺑﺎ ﻧﻮﻉ ﻣﺤﺘﻮﺍ‪ ،‬ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺑﻴﻦ ﺳﻴﺴﺘﻢﻫﺎ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺩﺭ ﺗﻀﺎﺩ ﺑﺎ ﻳﻚ ﻓﺮﻣﺖ ﺑﻮﻣﻲ ﺍﺳﺖ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﻳﻚ‬
‫ﺳﻴﺴﺘﻢ ﺧﺎﺹ ﺩﻳﮕﺮ ﻋﺠﻴﺐ ﺟﻠﻮﻩ ﻧﻤﺎﻳﺪ‪ .‬ﺟﺪﻭﻝ ‪ ۵-۵‬ﻛﻪ ﺍﺯ ‪ RFC 2049‬ﺍﻗﺘﺒﺎﺱ ﺷﺪﻩ ﺍﺳﺖ ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﺩﺭﻙ ﻣﻄﻠﺐ ﻛﻤﻚ ﻛﻨﺪ‪.‬‬
‫ﻋﻤﻠﻜﺮﺩ ‪S/MIME‬‬
‫ﺍﺯ ﻧﻈﺮ ﻋﻤﻠﻜﺮﺩ ﻛﻠﹼﻲ‪ S/MIME ،‬ﺧﻴﻠﻲ ﺷﺒﻴﻪ ‪ PGP‬ﺍﺳﺖ‪ .‬ﻫﺮﺩﻭﻱ ﺁﻧﻬﺎ ﻗﺎﺑﻠﻴﺖ ﺍﻣﻀﺎﺀ ﻭ‪ /‬ﻳﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡﻫﺎ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﻧﺪ‪.‬‬
‫ﺩﺭ ﺍﻳﻦ ﻗﺴﻤﺖ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﺗﻮﺍﻧﻤﻨﺪﻱ ‪ S/MIME‬ﺭﺍ ﺑﻴﺎﻥ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺳﭙﺲ ﺑﺎ ﺑﺮﺭﺳﻲ ﻓﺮﻣﺖﻫﺎﻱ ﭘﻴﺎﻡ ﻭ ﺁﻣﺎﺩﻩﺳﺎﺯﻱ ﭘﻴﺎﻡ ﺑﻪ‬
‫ﺟﺰﺋﻴﺎﺕ ﺍﻳﻦ ﺗﻮﺍﻧﻤﻨﺪﻱ ﻣﻲﭘﺮﺩﺍﺯﻳﻢ‪.‬‬
‫ﻋﻤﻠﻴﺎﺕ‬
‫‪ S/MIME‬ﻋﻤﻠﻴﺎﺕ ﺯﻳﺮ ﺭﺍ ﻣﻤﻜﻦ ﻣﻲﺳﺎﺯﺩ‪:‬‬
‫‪ :Enveloped data‬ﺍﻳﻦ ﺷﺎﻣﻞ ﻣﺤﺘﻮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺯ ﻫﺮ ﻧﻮﻉ‪ ،‬ﻭ ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰ ﻣﺤﺘﻮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺑﺮﺍﻱ‬ ‫•‬
‫ﻳﻚ ﻳﺎ ﭼﻨﺪ ﮔﻴﺮﻧﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ :Signed data‬ﻳﻚ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﺑﺎ ﻣﺤﺎﺳﺒﺔ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺍﺯ ﻣﺤﺘﻮﺍﺋﻲ ﻛﻪ ﺑﺎﻳﺪ ﺍﻣﻀﺎﺀ ﺷﻮﺩ ﻭ ﺳﭙﺲ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺁﻥ ﺑﺎ‬ ‫•‬
‫ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ ﺍﻳﺠﺎﺩ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺳﭙﺲ ﻣﺤﺘﻮﺍ ﺑﺎﺿﺎﻓﺔ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﺁﻥ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﹸﺪﻳﻨﮓ ‪ base64‬ﻛﹸﺪ‬
‫ﻣﻲﺷﻮﺩ‪ .‬ﻳﻚ ﭘﻴﺎﻡ ‪ signed data‬ﺗﻨﻬﺎ ﺑﺘﻮﺳﻂ ﮔﻴﺮﻧﺪﻩﺍﻱ ﻗﺎﺑﻞ ﺭﺅﻳﺖ ﺍﺳﺖ ﻛﻪ ﻗﺎﺑﻠﻴﺖ ‪ S/MIME‬ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫‪١٨٣‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ :Clear-signed data‬ﻫﻤﺎﻧﻨﺪ ‪ ،signed data‬ﻳﻚ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﺍﺯ ﻣﺤﺘﻮﺍ ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﺩ ﻭﻟﻲ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﻓﻘﻂ‬ ‫•‬
‫ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﹸﺪﻳﻨﮓ ‪ base64‬ﻛﹸﺪ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﮔﻴﺮﻧﺪﻩﻫﺎﺋﻲ ﻛﻪ ﺑﻪ ‪ S/MIME‬ﻣﺠﻬﺰ ﻧﻴﺴﺘﻨﺪ ﻧﻴﺰ‬
‫ﻣﻲﺗﻮﺍﻧﻨﺪ ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﺭﺍ ﻣﺸﺎﻫﺪﻩ ﻧﻤﺎﻳﻨﺪ ﻭﻟﻲ ﻧﻤﻲﺗﻮﺍﻧﻨﺪ ﺍﻣﻀﺎﺀ ﺭﺍ ﺗﺼﺪﻳﻖ ﻛﻨﻨﺪ‪.‬‬
‫‪ :Signed and enveloped data‬ﻭﺍﺣﺪﻫﺎﻱ ‪ signed-only‬ﻭ ‪ encrypted-only‬ﻣﻲﺗﻮﺍﻧﻨﺪ ﺗﻮﺩﺭﺗﻮ ﺑﺎﺷﻨﺪ ﺑﻄﻮﺭﻱ‬ ‫•‬
‫ﻛﻪ ﺩﻳﺘﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺑﺘﻮﺍﻧﺪ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﻭ ﺩﻳﺘﺎﻱ ﺍﻣﻀﺎﺀﺷﺪﻩ ﺑﺘﻮﺍﻧﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﺩ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﺟﺪﻭﻝ ‪ ۵-۶‬ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺩﺭ ‪ S/MIME‬ﺭﺍ ﺧﻼﺻﻪ ﻛﺮﺩﻩ ﺍﺳﺖ‪ S/MIME .‬ﺍﺯ ﻭﺍﮊﻩﻫﺎﻱ ﺯﻳﺮ ﻛﻪ ﺍﺯ‬
‫‪ RFC 2119‬ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺗﺎ ﺳﻄﺢ ﻧﻴﺎﺯ ﺭﺍ ﻣﺸﺨﺺ ﻧﻤﺎﻳﺪ‪:‬‬
‫ﺑﺎﻳﺴﺘﻲ )‪ :(MUST‬ﻳﻚ ﻧﻴﺎﺯ ﻗﻄﻌﻲ ﻣﺸﺨﺼﻪ ﺍﺳﺖ‪ .‬ﻳﻚ ﺍﺟﺮﺍﺀ ﺑﺎﻳﺪ ﺷﺎﻣﻞ ﺍﻳﻦ ﻭﻳﮋﮔﻲ ﻳﺎ ﺍﻳﻦ ﺗﺎﺑﻊ ﺑﺎﺷﺪ ﺗﺎ ﺑﺎ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ‬ ‫•‬
‫ﺗﻄﺒﻴﻖ ﻛﻨﺪ‪.‬‬
‫ﺷﺎﻳﺴﺘﻪ ﺍﺳﺖ )‪ :(SHOULD‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﺷﺮﺍﻳﻂ ﺧﺎﺻﻲ ﺩﻻﻳﻞ ﻣﺘﻘﻨﻲ ﺑﺮﺍﻱ ﻣﻠﺤﻮﻅ ﻧﺪﺍﺷﺘﻦ ﺍﻳﻦ ﻭﻳﮋﮔﻲ ﻳﺎ ﺍﻳﻦ‬ ‫•‬
‫ﺗﺎﺑﻊ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻭﻟﻲ ﺗﻮﺻﻴﻪ ﻣﻲﺷﻮﺩ ﻛﻪ ﻳﻚ ﺍﺟﺮﺍﺀ ﺷﺎﻣﻞ ﺍﻳﻦ ﻭﻳﮋﮔﻲ ﻳﺎ ﺗﺎﺑﻊ ﺑﺎﺷﺪ‪.‬‬
‫‪ S/MIME‬ﺳﻪ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺍ ﺑﻜﺎﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ )‪ (DSS‬ﻛﻪ ﺩﺭ ﻓﺼﻞ ‪ ۳‬ﺍﺯ ﺁﻥ ﻳﺎﺩ ﺷﺪ‪،‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﺍﺳﺖ‪ S/MIME .‬ﺍﺯ ‪ Diffie-Hellman‬ﺑﻌﻨﻮﺍﻥ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﻨﺘﺨﺐ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﻛﻠﻴﺪﻫﺎﻱ ﺍﺟﻼﺱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﺣﻘﻴﻘﺖ‪ S/MIME ،‬ﺍﺯ ﻳﻚ ﻧﻮﻉ ﺗﻐﻴﻴﺮ ﻳﺎﻓﺘﺔ ‪ Diffie-Hellman‬ﺑﻨﺎﻡ ‪ EIGamal‬ﻛﻪ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ‪ /‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﺍﻧﺘﺨﺎﺏ ﺩﻳﮕﺮ‪ RSA ،‬ﻛﻪ ﺍﺯ ﺁﻥ ﻧﻴﺰ ﺩﺭ ﻓﺼﻞ ‪ ۳‬ﻳﺎﺩ ﮔﺮﺩﻳﺪ ﻣﻲﺗﻮﺍﻧﺪ‬
‫ﻫﻢ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀﻫﺎ ﻭ ﻫﻢ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﺍﻳﻦﻫﺎ ﻫﻤﺎﻥ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﺋﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺩﺭ ‪ PGP‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ ﻭ‬
‫ﺳﻄﺢ ﺑﺎﻻﺋﻲ ﺍﺯ ﺍﻣﻨﻴﺖ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﻧﺪ‪ .‬ﺑﺮﺍﻱ ﺗﺎﺑﻊ ‪ hash‬ﻛﻪ ﺑﺮﺍﻱ ﺧﻠﻖ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ‪ ،‬ﻣﺸﺨﺼﻪ‪ ،‬ﺗﺎﺑﻊ‬
‫‪ -۱۶۰‬ﺑﻴﺘﻲ ‪ SHA-1‬ﺭﺍ ﺗﻌﻴﻴﻦ ﻧﻤﻮﺩﻩ ﺍﺳﺖ ﻭﻟﻲ ﺗﻮﺻﻴﻪ ﻣﻲﻛﻨﺪ ﻛﻪ ﮔﻴﺮﻧﺪﻩ ﺗﺎﺑﻊ ‪ -۱۲۸‬ﺑﻴﺘﻲ ‪ MD5‬ﺭﺍ ﻧﻴﺰ ﺑﻪ ﻣﻨﻈﻮﺭ ﺳﺎﺯﮔﺎﺭﻱ ﺑﺎ‬
‫ﻧﺴﺨﻪﻫﺎﻱ ﻗﺪﻳﻤﻲﺗﺮ ‪ S/MIME‬ﭘﺸﺘﻴﺒﺎﻧﻲ ﻧﻤﺎﻳﺪ‪ .‬ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺩﺭ ﻓﺼﻞ ‪ ۳‬ﺧﺎﻃﺮﻧﺸﺎﻥ ﮔﺮﺩﻳﺪ‪ ،‬ﻧﮕﺮﺍﻧﻲﻫﺎﻱ ﻗﺎﺑﻞ ﺑﺤﺜﻲ ﺩﺭ ﻣﻮﺭﺩ‬
‫ﺍﻣﻨﻴﺖ ‪ MD5‬ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ‪ SHA-1‬ﻗﻄﻌﺎﹰ ﺍﻧﺘﺨﺎﺏ ﺑﻬﺘﺮﻱ ﺍﺳﺖ‪.‬‬
‫ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡ‪ DES ،‬ﺳﻪﮔﺎﻧﻪ )‪ (3DES‬ﺳﻪ ﻛﻠﻴﺪﻱ ﺗﻮﺻﻴﻪ ﺷﺪﻩ ﺍﺳﺖ ﻭﻟﻲ ﺍﺟﺮﺍﻫﺎﻱ ﻣﻨﻄﺒﻖ ﺑﺎﻳﺴﺘﻲ ‪RC2‬‬
‫‪ -۴۰‬ﺑﻴﺘﻲ ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻧﻤﺎﻳﻨﺪ‪ .‬ﻣﻮﺭﺩ ﺍﺧﻴﺮ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺿﻌﻴﻒ ﻭﻟﻲ ﻣﻨﻄﺒﻖ ﺑﺎ ﻗﻮﺍﻧﻴﻦ ﻛﻨﺘﺮﻝ ﺻﺎﺩﺭﺍﺕ ﺁﻣﺮﻳﻜﺎ ﺍﺳﺖ‪.‬‬
‫ﻣﺸﺨﺼﻪﻫﺎﻱ ‪ S/MIME‬ﺷﺎﻣﻞ ﺑﺤﺜﻲ ﺩﺭ ﻣﻮﺭﺩ ﻧﺤﻮﺓ ﺗﺼﻤﻴﻢﮔﻴﺮﻱ ﻧﺴﺒﺖ ﺑﻪ ﺍﻧﺘﺨﺎﺏ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ‬
‫ﺍﺳﺖ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﻳﻚ ﻋﺎﻣﻞ ﺍﺭﺳﺎﻝﻛﻨﻨﺪﺓ ﭘﻴﺎﻡ ﺑﺎﻳﺴﺘﻲ ﻧﺴﺒﺖ ﺑﻪ ﺩﻭ ﻣﻮﺭﺩ ﺗﺼﻤﻴﻢﮔﻴﺮﻱ ﻧﻤﺎﻳﺪ‪ .‬ﺍﻭﻝ ﺍﻳﻨﻜﻪ ﺁﻳﺎ ﻋﺎﻣﻞ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ ﻗﺎﺩﺭ‬
‫ﺑﻪ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻫﺴﺖ ﻳﺎ ﻧﻪ‪ .‬ﺩﻭﻡ ﺍﻳﻨﻜﻪ ﺍﮔﺮ ﻋﺎﻣﻞ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ ﺗﻨﻬﺎ ﻗﺎﺩﺭ ﺑﻪ ﭘﺬﻳﺮﺵ ﻣﺤﺘﻮﻳﺎﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﺿﻌﻴﻒ ﺍﺳﺖ‪ ،‬ﺁﻳﺎ ﺍﻳﻦ ﺍﻣﺮ ﺑﺮﺍﻱ ﻋﺎﻣﻞ ﺍﺭﺳﺎﻝ ﻗﺎﺑﻞ ﭘﺬﻳﺮﺵ ﺍﺳﺖ ﻳﺎ ﺧﻴﺮ‪ .‬ﺑﺮﺍﻱ ﺣﻤﺎﻳﺖ ﺍﺯ ﺍﻳﻦ ﺭﻭﻧﺪ ﺗﺼﻤﻴﻢﮔﻴﺮﻱ‪ ،‬ﻳﻚ ﻋﺎﻣﻞ‬
‫ﺍﺭﺳﺎﻝﻛﻨﻨﺪﻩ ﻣﻲﺗﻮﺍﻧﺪ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺧﻮﺩ ﺭﺍ ﺑﺮ ﺣﺴﺐ ﻳﻚ ﻟﻴﺴﺖ ﺗﺮﺟﻴﺤﻲ ﺑﺮﺍﻱ ﻫﺮ ﭘﻴﺎﻣﻲ ﻛﻪ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ ﺍﻋﻼﻡ ﺩﺍﺭﺩ‪.‬‬
‫ﻋﺎﻣﻞ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﻩ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﺭﺍ ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩﻫﺎﻱ ﺁﺗﻲ ﺫﺧﻴﺮﻩ ﻛﻨﺪ‪.‬‬
‫ﻗﻮﺍﻋﺪ ﺯﻳﺮ‪ ،‬ﺑﺮﺣﺴﺐ ﺗﺮﺗﻴﺐ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺑﺘﻮﺳﻂ ﻳﻚ ﻋﺎﻣﻞ ﺍﺭﺳﺎﻝ ﺭﻋﺎﻳﺖ ﺷﻮﻧﺪ‪:‬‬
‫‪ -۱‬ﺍﮔﺮ ﻋﺎﻣﻞ ﻓﺮﺳﺘﻨﺪﻩ ﺩﺍﺭﺍﻱ ﻟﻴﺴﺘﻲ ﺍﺯ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﮔﻴﺮﻧﺪﺓ ﻣﻮﺭﺩ ﻧﻈﺮ ﺑﺼﻮﺭﺕ ﺗﺮﺟﻴﺤﻲ ﺍﺳﺖ‪ ،‬ﺍﻭ ﺷﺎﻳﺴﺘﻪ ﺍﺳﺖ‬
‫ﻛﻪ ﻧﺨﺴﺘﻴﻦ ﻣﻮﺭﺩ )ﺑﺎﻻﺗﺮﻳﻦ ﺍﻭﻟﻮﻳﺖ( ﻟﻴﺴﺖ‪،‬ﻛﻪ ﻗﺎﺩﺭ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺁﻥ ﺍﺳﺖ‪ ،‬ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٨٤‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺩﺭ ‪S/MIME‬‬ ‫ﺟﺪﻭﻝ ‪۵-۶‬‬
‫ﻧﻴﺎﺯﻫﺎ‬ ‫ﻋﻤﻞ‬
‫ﻳﻚ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺧﻠﻖ ﻣﻲﮔﺮﺩﺩ ﺗﺎ ﺑﻌﺪﺍﹰ ﺩﺭ ﺗﻮﻟﻴﺪ ﻳﻚ ﺍﻣﻀﺎﺀ ﺑﺎﻳﺴﺘﻲ ‪ SHA-1‬ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻛﻨﺪ‪.‬‬
‫ﻋﺎﻣﻞﻫﺎﻱ ﮔﻴﺮﻧﺪﻩ ﺷﺎﻳﺴﺘﻪ ﺍﺳﺖ ‪ MD5‬ﺭﺍ ﺑﺮﺍﻱ ﺳﺎﺯﮔﺎﺭﻱ ﺑﺎ‬ ‫ﺩﻳﺠﻴﺘﺎﻝ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪.‬‬
‫ﻧﺴﺨﻪﻫﺎﻱ ﻗﺪﻳﻤﻲﺗﺮ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻛﻨﻨﺪ‪.‬‬
‫ﻋﺎﻣﻞﻫﺎﻱ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﮔﻴﺮﻧﺪﻩ ﺑﺎﻳﺴﺘﻲ ‪ DSS‬ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻛﻨﻨﺪ‪..‬‬ ‫ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ ﺗﺎ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﺗﻮﻟﻴﺪ ﺷﻮﺩ‪.‬‬
‫ﻋﺎﻣﻞﻫﺎﻱ ﻓﺮﺳﺘﻨﺪﻩ ﺷﺎﻳﺴﺘﻪ ﺍﺳﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪ RSA‬ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ‬
‫ﻋﺎﻣﻞﻫﺎﻱ ﮔﻴﺮﻧﺪﻩ ﺷﺎﻳﺴﺘﻪ ﺍﺳﺖ ﺗﺄﺋﻴﺪ ﺍﻣﻀﺎﺀﻫﺎﻱ ‪ RSA‬ﺑﺎ‬
‫ﻛﻠﻴﺪﻫﺎﺋﻲ ﺍﺯ ﻃﻮﻝ ‪ ۵۱۲‬ﺗﺎ ‪ ۱,۰۲۴‬ﺑﻴﺖ ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻛﻨﻨﺪ‪.‬‬
‫ﻋﺎﻣﻞﻫﺎﻱ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﮔﻴﺮﻧﺪﻩ ﺑﺎﻳﺴﺘﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪ RSA‬ﺑﺎ ﻃﻮﻝ‬ ‫ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﮔﺮﺩﺩ ﺗﺎ ﺑﻪ ﻫﻤﺮﺍﻩ ﭘﻴﺎﻡ ﺍﺭﺳﺎﻝ ﺷﻮﺩ‪.‬‬
‫ﻛﻠﻴﺪﻫﺎﺋﻲ ﺍﺯ ‪ ۵۱۲‬ﺗﺎ ‪ ۱,۰۲۴‬ﺑﻴﺖ ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻛﻨﻨﺪ‪.‬‬
‫ﻋﺎﻣﻞﻫﺎﻱ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﮔﻴﺮﻧﺪﻩ ﺷﺎﻳﺴﺘﻪ ﺍﺳﺖ ‪ Diffie-Hellman‬ﺭﺍ‬
‫ﭘﺸﺘﻴﺒﺎﻧﻲ ﻛﻨﻨﺪ‪.‬‬
‫ﻋﺎﻣﻞﻫﺎﻱ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﮔﻴﺮﻧﺪﻩ ﺑﺎﻳﺴﺘﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎ ‪ 3DES‬ﺭﺍ‬ ‫ﭘﻴﺎﻡ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻳﻜﺒﺎﺭ‪ -‬ﻣﺼﺮﻑ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻋﺎﻣﻞﻫﺎﻱ ﻓﺮﺳﺘﻨﺪﻩ ﺷﺎﻳﺴﺘﻪ ﺍﺳﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎ ‪ AES‬ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ‬
‫ﻋﺎﻣﻞﻫﺎﻱ ﻓﺮﺳﺘﻨﺪﻩ ﺷﺎﻳﺴﺘﻪ ﺍﺳﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎ ‪ RC2/40‬ﺭﺍ‬
‫ﻋﺎﻣﻞﻫﺎﻱ ﻓﺮﺳﺘﻨﺪﻩ ﺑﺎﻳﺴﺘﻲ ‪ HMAC‬ﺑﺎ ‪ SHA-1‬ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ‬ ‫ﻳﻚ ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺧﻠﻖ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻋﺎﻣﻞﻫﺎﻱ ﮔﻴﺮﻧﺪﻩ ﺷﺎﻳﺴﺘﻪ ﺍﺳﺖ ‪ HMAC‬ﺑﺎ ‪ SHA-1‬ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ‬
‫‪ -۲‬ﺍﮔﺮ ﻋﺎﻣﻞ ﻓﺮﺳﺘﻨﺪﻩ ﭼﻨﻴﻦ ﻟﻴﺴﺘﻲ ﺍﺯ ﻳﻚ ﮔﻴﺮﻧﺪﺓ ﻣﻮﺭﺩ ﻧﻈﺮ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﻧﺪﺍﺭﺩ ﻭﻟﻲ ﻗﺒﻼﹰ ﻳﻜﻲ ﺩﻭ ﭘﻴﺎﻡ ﺍﺯ ﮔﻴﺮﻧﺪﻩ ﺩﺭﻳﺎﻓﺖ‬
‫ﻛﺮﺩﻩ ﺍﺳﺖ‪ ،‬ﺁﻧﮕﺎﻩ ﺷﺎﻳﺴﺘﻪ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﭘﻴﺎﻡ ﺧﺮﻭﺟﻲ ﺍﺯ ﻫﻤﺎﻥ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪﻛﻪ ﺩﺭ ﺁﺧﺮﻳﻦ ﭘﻴﺎﻡ ﺍﻣﻀﺎﺀ‬
‫ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺯ ﻫﻤﺎﻥ ﮔﻴﺮﻧﺪﻩ‪ ،‬ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩﻩ ﺍﺳﺖ‪.‬‬
‫‪ -۳‬ﺍﮔﺮ ﻋﺎﻣﻞ ﻓﺮﺳﺘﻨﺪﻩ ﻫﻴﭻ ﺍﻃﻼﻋﺎﺗﻲ ﺩﺭ ﻣﻮﺭﺩ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﮔﻴﺮﻧﺪﺓ ﻣﻮﺭﺩ ﻧﻈﺮ ﻧﺪﺍﺷﺘﻪ ﻭﻟﻲ ﺁﻣﺎﺩﮔﻲ ﺍﻳﻦ ﺭﻳﺴﻚ‬
‫ﺭﺍ ﺩﺍﺭﺩ ﻛﻪ ﺣﺘﻲ ﺑﻪ ﻗﻴﻤﺖ ﻏﻴﺮﻗﺎﺑﻞ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺷﺪﻥ ﭘﻴﺎﻡ‪ ،‬ﭘﻴﺎﻡ ﺭﺍ ﺍﺭﺳﺎﻝ ﻛﻨﺪ ﺷﺎﻳﺴﺘﻪ ﺍﺳﺖ ﻛﻪ ﺍﺯ ‪ 3DES‬ﺍﺳﺘﻔﺎﺩﻩ‬
‫‪ -۴‬ﺍﮔﺮ ﻋﺎﻣﻞ ﻓﺮﺳﺘﻨﺪﻩ ﻫﻴﭻ ﺍﻃﻼﻋﺎﺗﻲ ﺩﺭ ﻣﻮﺭﺩ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﮔﻴﺮﻧﺪﺓ ﻣﻮﺭﺩ ﻧﻈﺮ ﻧﺪﺍﺷﺘﻪ ﻭ ﻧﻤﻲﺧﻮﺍﻫﺪ ﺍﻳﻦ ﺭﻳﺴﻚ‬
‫ﺭﺍ ﭘﺬﻳﺮﺍ ﺷﻮﺩ ﻛﻪ ﮔﻴﺮﻧﺪﻩ ﻧﺘﻮﺍﻧﺪ ﭘﻴﺎﻡ ﺍﻭ ﺭﺍ ﺑﺨﻮﺍﻧﺪ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺍﺯ ‪ RC2/40‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪.‬‬
‫ﺍﮔﺮ ﻗﺮﺍﺭ ﺑﺎﺷﺪ ﻛﻪ ﻳﻚ ﭘﻴﺎﻡ ﺑﻪ ﮔﻴﺮﻧﺪﻩﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺍﺭﺳﺎﻝ ﮔﺮﺩﺩ ﻭ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺸﺘﺮﻙ ﻧﺘﻮﺍﻧﺪ ﺑﺮﺍﻱ ﻫﻤﺔ‬
‫ﺁﻧﻬﺎ ﺍﻧﺘﺨﺎﺏ ﺷﻮﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﻋﺎﻣﻞ ﻓﺮﺳﺘﻨﺪﻩ ﻧﻴﺎﺯ ﺑﻪ ﺍﺭﺳﺎﻝ ﺩﻭ ﭘﻴﺎﻡ ﺩﺍﺭﺩ‪ .‬ﺩﺭ ﭼﻨﻴﻦ ﺻﻮﺭﺗﻲ ﺑﻪ ﺍﻳﻦ ﻣﻬﻢ ﺑﺎﻳﺴﺘﻲ ﺗﻮﺟﻪ ﮔﺮﺩﺩ ﻛﻪ ﺍﻣﻨﻴﺖ‬
‫ﭘﻴﺎﻡ ﺑﺘﻮﺳﻂ ﺍﻧﺘﻘﺎﻝ ﻛﭙﻲ ﺑﺎ ﺍﻣﻨﻴﺖ ﭘﺎﺋﻴﻦﺗﺮ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫‪١٨٥‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺍﻧﻮﺍﻉ ﻣﺤﺘﻮﺍﻱ ‪S/MIME‬‬ ‫ﺟﺪﻭﻝ ‪۵-۷‬‬
‫ﺗﻮﺻﻴﻒ‬ ‫ﭘﺎﺭﺍﻣﺘﺮ ‪S/MIME‬‬ ‫ﺯﻳﺮﻧﻮﻉ‬ ‫ﻧﻮﻉ‬
‫ﻳﻚ ﭘﻴﺎﻡ ﺍﻣﻀﺎﺀ ﺷﺪﺓ ﺻﺮﻳﺢ ﺩﺭ ﺩﻭ ﺑﺨﺶ‪ :‬ﻳﻚ‬

‫‪Signed‬‬ ‫‪Multipart‬‬
‫ﺑﺨﺶ ﭘﻴﺎﻡ ﻭ ﻳﻚ ﺑﺨﺶ ﺍﻣﻀﺎﺀ‪.‬‬
‫ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ﺍﻣﻀﺎﺀ ﺷﺪﺓ ‪.S/MIME‬‬ ‫‪signedData‬‬ ‫‪pkcs7-mime‬‬ ‫‪Application‬‬

‫ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﺓ ‪.S/MIME‬‬ ‫‪envelopedData‬‬ ‫‪pkcs7-mime‬‬
‫ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ﻛﻪ ﻓﻘﻂ ﺷﺎﻣﻞ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ‬ ‫‪degenerate signedData‬‬ ‫‪pkcs7-mime‬‬

‫ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﺳﺖ‪.‬‬
‫ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺷﺪﺓ ‪.S/MIME‬‬ ‫‪compressedData‬‬ ‫‪pkcs7-mime‬‬
‫ﻧﻮﻉ ﻣﺤﺘﻮﺍﻱ ﺍﻣﻀﺎﺀ ﺯﻳﺮﻧﻮﻉ ﻳﻚ ﭘﻴﺎﻡ‬ ‫‪signedData‬‬ ‫‪pkcs7-signature‬‬

‫‪ multipart/signed‬ﺍﺳﺖ‪.‬‬
‫ﭘﻴﺎﻡﻫﺎﻱ ‪S/MIME‬‬
‫‪ S/MIME‬ﺍﺯ ﺗﻌﺪﺍﺩﻱ ﻣﺤﺘﻮﺍﻱ ﺟﺪﻳﺪ ‪ MIME‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﻛﻪ ﺩﺭ ﺟﺪﻭﻝ ‪ ۵-۷‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺗﻤﺎﻡ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺟﺪﻳﺪ‬
‫ﺍﺯ ‪ PKCS‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ PKCS .‬ﺑﻪ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻣﺸﺨﺼﻪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﺘﻮﺳﻂ‬
‫ﻻﺑﺮﺍﺗﻮﺍﺭﻫﺎﻱ ‪ RSA‬ﻧﺸﺮ ﺷﺪﻩ ﻭ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﭘﺮﻭﮊﻩ ‪ S/MIME‬ﮔﺬﺍﺷﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺩﺭ ﺍﻳﻨﺠﺎ ﺍﺑﺘﺪﺍ ﻧﮕﺎﻫﻲ ﺑﻪ ﺭَﻭﻧﺪ ﻋﻤﻮﻣﻲ ﺁﻣﺎﺩﻩﺳﺎﺯﻱ ﭘﻴﺎﻡ ‪ S/MIME‬ﺍﻧﺪﺍﺧﺘﻪ ﻭ ﺳﭙﺲ ﻣﺤﺘﻮﻳﺎﺕ ﺟﺪﻳﺪ ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺍﻳﻤﻦﺳﺎﺯﻱ ﻳﻚ ﻭﺍﺣﺪ ‪MIME‬‬
‫‪ S/MIME‬ﻳﻚ ﻭﺍﺣﺪ ‪ MIME‬ﺭﺍ ﺑﺎ ﺍﻣﻀﺎﺀ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﻳﺎ ﻫﺮﺩﻭﻱ ﺁﻧﻬﺎ ﺍﻳﻤﻦ ﻣﻲﺳﺎﺯﺩ‪ .‬ﻳﻚ ﻭﺍﺣﺪ ‪ MIME‬ﻣﻤﻜﻦ‬
‫ﺍﺳﺖ ﺗﻤﺎﻡ ﻳﻚ ﭘﻴﺎﻡ )ﺑﺠﺰ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ‪ (RFC 822‬ﺑﻮﺩﻩ ﻭ ﻳﺎ ﺍﮔﺮ ﻧﻮﻉ ﻣﺤﺘﻮﺍ ﺍﺯ ﻧﻮﻉ ﭼﻨﺪﺑﺨﺸﻲ ﺑﺎﺷﺪ‪ ،‬ﻳﻚ ﻭﺍﺣﺪ ‪ MIME‬ﻳﻚ ﻳﺎ‬
‫ﭼﻨﺪ ﺯﻳﺮﺑﺨﺶ ﺍﺯ ﭘﻴﺎﻡ ﺍﺳﺖ‪ .‬ﻳﻚ ﻭﺍﺣﺪ ‪ MIME‬ﺑﺮ ﺍﺳﺎﺱ ﻗﻮﺍﻋﺪ ﻧﺮﻣﺎﻝ ﺁﻣﺎﺩﻩﺳﺎﺯﻱ ﭘﻴﺎﻡ ‪ MIME‬ﺗﻬﻴﻪ ﻣﻲﺷﻮﺩ‪ .‬ﺳﭙﺲ ﻭﺍﺣﺪ‬
‫‪ MIME‬ﺑﻌﻼﻭﺓ ﺑﻌﻀﻲ ﺩﺍﺩﻩﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ‪ ،‬ﻣﺜﻞ ﺷﻨﺎﺳﻪﻫﺎﻱ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎ ﻭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ‪ ،‬ﺑﺘﻮﺳﻂ ‪ S/MIME‬ﻣﻮﺭﺩ ﭘﺮﺩﺍﺯﺵ‬
‫ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺗﺎ ﺁﻧﭽﻪ ﺑﻨﺎﻡ ﻋﻨﺼﺮ ‪ PKCS‬ﺍﺳﺖ ﺗﻬﻴﻪ ﺷﻮﺩ‪ .‬ﺳﭙﺲ ﻳﻚ ﻋﻨﺼﺮ ‪ PKCS‬ﺑﻌﻨﻮﺍﻥ ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﺩﺭ ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﻭ ﺩﺭ‬
‫‪ MIME‬ﻟﻔﺎﻓﻪﺑﻨﺪﻱ ﻣﻲﺷﻮﺩ )ﺑﺘﻮﺳﻂ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﻣﻨﺎﺳﺐ ‪ .(MIME‬ﺭَﻭﻧﺪ ﻋﻤﻠﻴﺎﺕ ﻭﻗﺘﻲ ﺑﻪ ﻋﻨﺎﺻﺮ ﻣﺸﺨﺺ ﭘﺮﺩﺍﺧﺘﻪ ﻭ ﻣﺜﺎﻝﻫﺎﺋﻲ‬
‫ﺭﺍ ﻋﺮﺿﻪ ﻛﻨﻴﻢ‪ ،‬ﺭﻭﺷﻦ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﺩﺭ ﺗﻤﺎﻡ ﻣﻮﺍﺭﺩ‪ ،‬ﭘﻴﺎﻣﻲ ﻛﻪ ﻗﺮﺍﺭ ﺍﺳﺖ ﺍﺭﺳﺎﻝ ﺷﻮﺩ ﺑﻪ ﻓﺮﻡ ﻗﺎﻧﻮﻧﻲ ﺗﺒﺪﻳﻞ ﻣﻲﺷﻮﺩ‪ .‬ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﺑﺮﺍﻱ ﻳﻚ ﻧﻮﻉ ﻭ ﺯﻳﺮﻧﻮﻉ‬
‫ﺩﺍﺩﻩ ﺷﺪﻩ‪ ،‬ﻓﺮﻡ ﻗﺎﻧﻮﻧﻲ ﻣﻨﺎﺳﺐ ﺑﺮﺍﻱ ﭘﻴﺎﻡ ﺍﻧﺘﺨﺎﺏ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺑﺮﺍﻱ ﻳﻚ ﭘﻴﺎﻡ ﭼﻨﺪﺑﺨﺸﻲ‪ ،‬ﻓﺮﻡ ﻗﺎﻧﻮﻧﻲ ﻣﻨﺎﺳﺐ ﺑﺮﺍﻱ ﻫﺮ ﺯﻳﺮﺑﺨﺶ‬
‫ﺭﻋﺎﻳﺖ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٨٦‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﹸﺪﻳﻨﮓ ﺍﻧﺘﻘﺎﻝ ﻧﻴﺎﺯ ﺑﻪ ﺗﻮﺟﻪ ﻭﻳﮋﻩ ﺩﺍﺭﺩ‪ .‬ﺩﺭ ﺑﻴﺸﺘﺮ ﻣﻮﺍﺭﺩ‪ ،‬ﻧﺘﻴﺠﺔ ﺍﻋﻤﺎﻝ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﺗﻬﻴﺔ ﻳﻚ ﻋﻨﺼﺮ‬
‫ﺍﺳﺖ ﻛﻪ ﺑﺨﺸﻲ ﻭ ﻳﺎ ﻫﻤﺔ ﺁﻥ ﺑﺼﻮﺭﺕ ﺩﻳﺘﺎﻱ ﺑﺎﻳﻨﺮﻱ ﻧﻤﺎﻳﺶ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻋﻨﺼﺮ ﺳﭙﺲ ﺩﺭ ﻳﻚ ﭘﻴﺎﻡ ‪ MIME‬ﺑﻴﺮﻭﻧﻲ‬
‫ﻟﻔﺎﻓﻪﺑﻨﺪﻱ ﺷﺪﻩ ﻭ ﺳﭙﺲ ﻛﹸﺪﻳﻨﮓ ﺍﻧﺘﻘﺎﻝ ﻛﻪ ﻣﻌﻤﻮﻻﹰ ‪ base64‬ﺍﺳﺖ ﺑﻪ ﺁﻥ ﺍﻋﻤﺎﻝ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﻣﺎ ﺩﺭ ﻣﻮﺭﺩ ﻳﻚ ﭘﻴﺎﻡ ﭼﻨﺪﺑﺨﺸﻲ‬
‫ﺍﻣﻀﺎﺀﺷﺪﻩ ﻛﻪ ﺟﺰﺋﻴﺎﺕ ﺁﻥ ﺑﻪ ﺯﻭﺩﻱ ﺗﻮﺻﻴﻒ ﺧﻮﺍﻫﺪ ﺷﺪ‪ ،‬ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﺩﺭ ﻳﻜﻲ ﺍﺯ ﺯﻳﺮﺑﺨﺶﻫﺎ ﺑﺘﻮﺳﻂ ﭘﺮﻭﺳﺔ ﺍﻣﻨﻴﺘﻲ ﺩﺳﺖ‬
‫ﻧﺨﻮﺭﺩﻩ ﺑﺎﻗﻲ ﺧﻮﺍﻫﺪ ﻣﺎﻧﺪ‪ .‬ﺑﻐﻴﺮ ﺍﺯ ﻭﻗﺘﻲ ﻛﻪ ﻣﺤﺘﻮﺍ ‪ base64‬ﺍﺳﺖ‪ ،‬ﻛﹸﺪﻳﻨﮓ ﺍﻧﺘﻘﺎﻝ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ‪ base64‬ﻭ ﻳﺎ ‪quoted-printable‬‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ ﺗﺎ ﺧﻄﺮ ﺗﻐﻴﻴﺮ ﻣﺤﺘﻮﺍ ﻛﻪ ﺍﻣﻀﺎﺀ ﺑﻪ ﺁﻥ ﺍﻋﻤﺎﻝ ﺷﺪﻩ ﺍﺳﺖ ﻭﺟﻮﺩ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﺣﺎﻝ ﺑﻪ ﻫﺮﻳﻚ ﺍﺯ ﺍﻧﻮﺍﻉ ﻣﺤﺘﻮﺍﻱ ‪ S/MIME‬ﻧﮕﺎﻫﻲ ﻣﻲﺍﻧﺪﺍﺯﻳﻢ‪.‬‬
‫‪EnvelopedData‬‬
‫ﻳﻚ ﺯﻳﺮﻧﻮﻉ ‪ application/pkcs7- mime‬ﺑﺮﺍﻱ ﭘﺮﺩﺍﺯﺵ ﻳﻜﻲ ﺍﺯ ﭼﻬﺎﺭ ﺩﺳﺘﻪ ‪ S/MIME‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‬
‫ﻛﻪ ﻫﺮﻳﻚ ﺁﻧﻬﺎ ﺩﺍﺭﺍﻱ ﻳﻚ ﭘﺎﺭﺍﻣﺘﺮ ‪ smime-type‬ﻳﻜﺘﺎﺳﺖ‪ .‬ﺩﺭ ﺗﻤﺎﻡ ﻣﻮﺍﺭﺩ‪ ،‬ﻋﻨﺼﺮ ﻧﺘﻴﺠﻪ ﺷﺪﻩ ﻛﻪ ﻳﻚ ‪ object‬ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‬
‫ﺑﺼﻮﺭﺕ ﻓﺮﻣﻲ ﻛﻪ ﺑﻨﺎﻡ )‪ Basic Encoding Rules (BER‬ﺧﻮﺍﻧﺪﻩ ﺷﺪﻩ ﻭ ﺩﺭ ﺗﻮﺻﻴﻪ ﻧﺎﻣﺔ ‪ ITU-T X.209‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ‬
‫ﺩﺭﻣﻲﺁﻳﺪ‪ .‬ﻓﺮﻣﺖ ‪ BER‬ﺷﺎﻣﻞ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ ﺍﹸﻛﺘﺖﻫﺎﺳﺖ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺩﻳﺘﺎﻱ ﺑﺎﻳﻨﺮﻱ ﺍﺳﺖ‪ .‬ﭼﻨﻴﻦ ﻋﻨﺼﺮﻱ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﻃﺮﻳﻖ ‪base64‬‬
‫ﺩﺭ ﭘﻴﺎﻡ ﺑﻴﺮﻭﻧﻲ ‪ MIME‬ﻛﹸﺪﺑﻨﺪﻱ ﺷﻮﺩ‪ .‬ﺍﺑﺘﺪﺍ ﺑﻪ ‪ envelopedData‬ﻧﮕﺎﻩ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﻣﺮﺍﺣﻞ ﺁﻣﺎﺩﻩﺳﺎﺯﻱ ﻳﻚ ﻭﺍﺣﺪ ‪ envelopedData‬ﺩﺭ ‪ MIME‬ﭼﻨﻴﻦ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺷﺒﻪ ﺗﺼﺎﺩﻓﻲ ﺑﺮﺍﻱ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ )‪ RC2/40‬ﻳﺎ ‪ (3DES‬ﺗﻮﻟﻴﺪ ﺷﻮﺩ‪.‬‬
‫‪ -۲‬ﺑﺮﺍﻱ ﻫﺮ ﮔﻴﺮﻧﺪﻩ‪ ،‬ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ RSA‬ﮔﻴﺮﻧﺪﻩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﺩ‪.‬‬
‫‪ -۳‬ﺑﺮﺍﻱ ﻫﺮ ﮔﻴﺮﻧﺪﻩ ﺑﻠﻮﻛﻲ ﺑﺎ ﻧﺎﻡ ‪ RecipientInfo‬ﻛﻪ ﺷﺎﻣﻞ ﺷﻨﺎﺳﺔ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﮔﻴﺮﻧﺪﻩ )ﺍﻳﻦ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ‬
‫‪ X.509‬ﺍﺳﺖ ﻛﻪ ﺑﻌﺪﺍﹰ ﺁﻥ ﺭﺍ ﺩﺭ ﻫﻤﻴﻦ ﺑﺨﺶ ﺗﻌﺮﻳﻒ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ(‪ ،‬ﻳﻚ ﺷﻨﺎﺳﻪ ﺑﺮﺍﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ‬
‫ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻭ ﺧﻮﺩ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺍﺳﺖ ﺗﻬﻴﻪ ﺷﻮﺩ‪.‬‬
‫‪ -۴‬ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﺑﺎ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﺩ‪.‬‬
‫ﺑﻠﻮﻙﻫﺎﻱ ‪ RecipientInfo‬ﻛﻪ ﺑﻪ ﺩﻧﺒﺎﻝ ﺁﻥ ﻣﺤﺘﻮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ envelopedData ،‬ﺭﺍ‬
‫ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﺳﭙﺲ ﺑﺘﻮﺳﻂ ‪ base64‬ﻛﹸﺪ ﻣﻲﺷﻮﺩ‪ .‬ﻧﻤﻮﻧﻪﺍﻱ ﺍﺯ ﺍﻳﻦ ﭘﻴﺎﻡ ﭼﻨﻴﻦ ﺍﺳﺖ )ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ‪RFC 822‬‬
‫ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﻧﺸﺪﻩﺍﻧﺪ(‪:‬‬
‫;‪Content-Type: application/pkcs7-mime; smime-type=enveloped-data‬‬

‫‪Name=smime.p7m‬‬
‫‪Content-Transfer-Encoding: base64‬‬
‫‪Content-Disposition: attachment; filename=smime.p7m‬‬
‫‪Rfvbnj756tbBghyHhHUujhJhjH77n8HHGT9HG4VqpfyF467GhIGfHfYT6‬‬
‫‪7n8HHGghyHhHUujhJh4VqpfyF467GhIGfHfYGTrfvbnjT6jH7756tbB9H‬‬
‫‪F8HHGTrfvhjhjH776tbB9HG4VQbnj567GhIGfHfYT6ghyHhHUujpfyF4‬‬
‫‪0GhIGfHfQbnj756YT64V‬‬
‫ﺑﺮﺍﻱ ﺑﺎﺯﻳﺎﺑﻲ ﭘﻴﺎﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ‪ ،‬ﮔﻴﺮﻧﺪﻩ ﺍﺑﺘﺪﺍ ﻛﹸﺪ ‪ base64‬ﺭﺍ ﺑﺎﺯ ﻣﻲﻛﻨﺪ‪ .‬ﺳﭙﺲ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﮔﻴﺮﻧﺪﻩ ﺑﺮﺍﻱ ﺍﺳﺘﺨﺮﺍﺝ‬
‫ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﺑﺎﻻﺧﺮﻩ ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫‪١٨٧‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪SignedData‬‬
‫‪ signedData smime-type‬ﺩﺭ ﻭﺍﻗﻊ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺘﻮﺳﻂ ﻳﻚ ﻭ ﻳﺎ ﭼﻨﺪ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﺑﻪ ﻣﻨﻈﻮﺭ ﺳﻬﻮﻟﺖ‪ ،‬ﺗﻮﺻﻴﻒ‬
‫ﺧﻮﺩ ﺭﺍ ﺑﻪ ﻣﻮﺭﺩ ﻳﻚ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﻣﻨﻔﺮﺩ ﻣﺤﺪﻭﺩ ﻣﻲﻛﻨﻴﻢ‪ .‬ﻣﺮﺍﺣﻞ ﺁﻣﺎﺩﻩﺳﺎﺯﻱ ﻳﻚ ﻭﺍﺣﺪ ‪ signedData‬ﺩﺭ ‪ MIME‬ﭼﻨﻴﻦ‬
‫ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﺮﺍﻱ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺍﻧﺘﺨﺎﺏ ﺷﻮﺩ )‪ SHA‬ﻳﺎ ‪.(MD5‬‬

‫‪ -۲‬ﺍﻧﺪﺍﺯﺓ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﻭ ﻳﺎ ﺗﺎﺑﻊ ‪ hash‬ﻣﺤﺘﻮﺍ ﻛﻪ ﺑﺎﻳﺪ ﺍﻣﻀﺎﺀ ﺷﻮﺩ ﺗﻬﻴﻪ ﮔﺮﺩﺩ‪.‬‬
‫‪ -۳‬ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﺩ‪.‬‬
‫‪ -۴‬ﻳﻚ ﺑﻠﻮﻙ ﺑﻌﻨﻮﺍﻥ ‪ SignerInfo‬ﻛﻪ ﺷﺎﻣﻞ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ‪ ،‬ﺷﻨﺎﺳﻪﺍﻱ ﺑﺮﺍﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ‪،‬‬
‫ﺷﻨﺎﺳﻪﺍﻱ ﺑﺮﺍﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﻭ ﻧﻬﺎﻳﺘﺎﹰ ﭼﻜﻴﺪﺓ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﺓ ﭘﻴﺎﻡ ﺍﺳﺖ‪ ،‬ﺗﻬﻴﻪ‬
‫ﮔﺮﺩﺩ‪.‬‬
‫ﻭﺍﺣﺪ ‪ signedData‬ﺷﺎﻣﻞ ﻳﻚ ﺳﺮﻱ ﺑﻠﻮﻙﻫﺎﺋﻲ ﺍﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﺷﻨﺎﺳﺔ ﺍﻟﮕﻮﺭﻳﺘﻢ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ‪ ،‬ﭘﻴﺎﻣﻲ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺍﻣﻀﺎﺀ‬
‫ﺷﻮﺩ ﻭ ‪ SignerInfo‬ﺍﺳﺖ‪ .‬ﻭﺍﺣﺪ ‪ signedData‬ﻫﻤﭽﻨﻴﻦ ﻣﻲﺗﻮﺍﻧﺪ ﺷﺎﻣﻞ ﻳﻚ ﺳﺮﻱ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﺎﺷﺪ ﻛﻪ ﺑﺘﻮﺍﻧﺪ‬
‫ﺳﻠﺴﻠﻪ ﻣﺮﺍﺗﺐ ﻣﺴﺌﻮﻝ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ )‪ (CA‬ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ ﺭﺍ ﻧﺸﺎﻥ ﺩﻫﺪ‪ .‬ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﺳﭙﺲ ﺑﺎ ﻛﹸﺪ ‪ base64‬ﻛﹸﺪﺑﻨﺪﻱ‬
‫ﻣﻲﺷﻮﺩ‪ .‬ﻳﻚ ﻧﻤﻮﻧﻪ ﭘﻴﺎﻡ )ﺑﺠﺰ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ‪ (RFC 822‬ﭼﻨﻴﻦ ﺍﺳﺖ‪:‬‬
‫;‪Content-Type: application/pkcs7-mime; smime-type=signed-data‬‬

‫‪Name=smime.p7m‬‬
‫‪Content-Disposition: attachment; filename=smime.p7m‬‬
‫‪567GhIGfHfYT6ghyHhHUujpfyF4f8HHGTrfvhJhjH776tbB9HG4VQbnj7‬‬
‫‪77n8HHGT9HG4VqpfyF467GhIGfHfYT6rfvbnj756tbBghyHhHUujhJhjH‬‬
‫‪HuujhJh4VqpfyF467GhIGfHfYGTrfvbnjT6jH7756tbB9H7n8HHGghyHh‬‬
‫‪6YT64V0GhIGfHfQbnj75‬‬
‫ﺑﺮﺍﻱ ﺑﺎﺯﻳﺎﺑﻲ ﭘﻴﺎﻡ ﺍﻣﻀﺎﺀﺷﺪﻩ ﻭ ﺗﺄﺋﻴﺪ ﺍﻣﻀﺎﺀ‪ ،‬ﮔﻴﺮﻧﺪﻩ ﺍﺑﺘﺪﺍ ﻛﹸﺪﻳﻨﮓ ‪ base64‬ﺭﺍ ﺑﺎﺯ ﻣﻲﻛﻨﺪ‪ .‬ﺁﻧﮕﺎﻩ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ‬
‫ﺑﺮﺍﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﮔﻴﺮﻧﺪﻩ ﺑﻄﻮﺭ ﻣﺴﺘﻘﻞ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻛﺮﺩﻩ ﻭ ﺑﻪ ﻣﻨﻈﻮﺭ ﺗﺄﺋﻴﺪ‬
‫ﺍﻣﻀﺎﺀ ﺁﻥ ﺭﺍ ﺑﺎ ﭼﻜﻴﺪﺓ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺷﺪﺓ ﭘﻴﺎﻡ ﻣﻘﺎﻳﺴﻪ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪Clear Signing‬‬
‫‪ Clear signing‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻧﻮﻉ ﻣﺤﺘﻮﺍﻱ ﭼﻨﺪﺑﺨﺸﻲ ﺑﺎ ﻳﻚ ﺯﻳﺮﻧﻮﻉ ﺍﻣﻀﺎﺀﺷﺪﻩ ﺑﺪﺳﺖ ﻣﻲﺁﻳﺪ‪ .‬ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺫﻛﺮ ﺷﺪ‪،‬‬
‫ﻋﻤﻞ ﺍﻣﻀﺎﺀ ﺷﺎﻣﻞ ﺭﻣﺰﻛﺮﺩﻥ ﭘﻴﺎﻣﻲ ﻛﻪ ﺑﺎﻳﺪ ﺍﻣﻀﺎﺀ ﺷﻮﺩ ﻧﻴﺴﺖ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﭘﻴﺎﻡ ﺑﺼﻮﺭﺕ "‪ "clear‬ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ‬
‫ﮔﻴﺮﻧﺪﻩﻫﺎﺋﻲ ﻛﻪ ﻗﺎﺑﻠﻴﺖ ‪ MIME‬ﺭﺍ ﺩﺍﺷﺘﻪ ﻭﻟﻲ ﻓﺎﻗﺪ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ‪ S/MIME‬ﻫﺴﺘﻨﺪ ﻗﺎﺩﺭ ﺑﻪ ﺧﻮﺍﻧﺪﻥ ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﺧﻮﺍﻫﻨﺪ ﺑﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٨٨‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻳﻚ ﭘﻴﺎﻡ ‪ multipart/signed‬ﺩﺍﺭﺍﻱ ﺩﻭ ﻗﺴﻤﺖ ﺍﺳﺖ‪ .‬ﻗﺴﻤﺖ ﺍﻭﻝ ﻣﻲﺗﻮﺍﻧﺪ ﻫﺮﻳﻚ ﺍﺯ ﺍﻧﻮﺍﻉ ‪ MIME‬ﺑﻮﺩﻩ ﺑﺎﺷﺪ ﻭﻟﻲ‬
‫ﺑﺎﻳﺴﺘﻲ ﻃﻮﺭﻱ ﺗﻨﻈﻴﻢ ﺷﻮﺩ ﻛﻪ ﺩﺭ ﺧﻼﻝ ﺍﻧﺘﻘﺎﻝ ﺑﻴﻦ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﮔﻴﺮﻧﺪﻩ ﺗﻐﻴﻴﺮ ﻧﻜﻨﺪ‪ .‬ﺍﻳﻦ ﺑﺪﻳﻦ ﻣﻌﻨﻲ ﺍﺳﺖ ﻛﻪ ﺍﮔﺮ ﻗﺴﻤﺖ ﺍﻭﻝ‬
‫ﺑﺼﻮﺭﺕ ‪ 7bit‬ﻧﻴﺴﺖ‪ ،‬ﻻﺯﻡ ﺍﺳﺖ ﻛﻪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ base64‬ﻭ ‪ quoted-printable‬ﻛﹸﺪﺑﻨﺪﻱ ﺷﻮﺩ‪ .‬ﺁﻧﮕﺎﻩ ﺍﻳﻦ ﻗﺴﻤﺖ ﺑﻪ ﻫﻤﺎﻥ‬
‫ﺻﻮﺭﺕ ‪ signedData‬ﭘﺮﺩﺍﺯﺵ ﻣﻲﺷﻮﺩ‪ ،‬ﺍﻣﺎ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﻋﻨﺼﺮﻱ ﺑﺎ ﻓﺮﻣﺖ ‪ signedData‬ﺧﻠﻖ ﻣﻲﺷﻮﺩ ﻛﻪ ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﺁﻥ‬
‫ﺧﺎﻟﻲ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻋﻨﺼﺮ ﻳﻚ ﺍﻣﻀﺎﺀ ﺟﺪﺍ ﺍﺯ ﭘﻴﺎﻡ ﺍﺳﺖ‪ .‬ﺳﭙﺲ ﻛﹸﺪﻳﻨﮓ ﺍﻧﺘﻘﺎﻝ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ base64‬ﺭﻭﻱ ﺁﻥ ﺍﻋﻤﺎﻝ ﺷﺪﻩ ﺗﺎ ﻗﺴﻤﺖ‬
‫ﺩﻭﻡ ﭘﻴﺎﻡ ‪ multipart/signed‬ﺭﺍ ﺩﺭﺳﺖ ﻛﻨﺪ‪ .‬ﻗﺴﻤﺖ ﺩﻭﻡ ﺩﺍﺭﺍﻱ ﻧﻮﻉ ‪ MIME‬ﺍﺯ ﻧﻮﻉ ‪ application‬ﻭ ﺯﻳﺮﻧﻮﻉ‬
‫‪ pkcs7-signature‬ﺍﺳﺖ‪ .‬ﻧﻤﻮﻧﻪﺍﻱ ﺍﺯ ﺍﻳﻦ ﭘﻴﺎﻡ ﭼﻨﻴﻦ ﺍﺳﺖ‪:‬‬
‫;‪Content- Type: multipart/signed‬‬

‫;"‪Protocol="application/pkcs7-signature‬‬
‫‪Micalg=shal; boundary=boundary42‬‬
‫‪Content-Type: text/plain‬‬
‫‪This is a clear-signed message.‬‬
‫‪Content-Type: application/pkcs-signature; name=smime.p7s‬‬
‫‪Content-Disposition: attachment; filename=smime.p7s‬‬
‫‪ghyHhHUujhJhjH77n8HHGTrfvbnj756tbB0HG4VqpfyF467GhIGfhfYT6‬‬
‫‪4VqpfyF467GhIGfHfYT6jH77n8HHGghyHhHUujhJh756tbB9HGTrfvbnj‬‬
‫‪N8HHGTrfvhJhjH776tbB9HG4VQbnj7567GhIGfHfYT6ghyHhHUujpfyF4‬‬
‫‪7GhIGfHfYT64VQbnj756‬‬
‫‪--boundary42--‬‬
‫ﭘﺎﺭﺍﻣﺘﺮ ﭘﺮﻭﺗﻜﻞ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺍﻳﻦ ﻳﻚ ﻭﺍﺣﺪ ‪ two-part clear-signed‬ﺍﺳﺖ‪ .‬ﭘﺎﺭﺍﻣﺘﺮ ‪ micalg‬ﻧﺸﺎﻥﺩﻫﻨﺪﺓ ﻧﻮﻉ‬
‫ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺍﺳﺖ‪ .‬ﮔﻴﺮﻧﺪﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎ ﭼﻜﻴﺪﻩ ﮔﺮﻓﺘﻦ ﺍﺯ ﻗﺴﻤﺖ ﺍﻭﻝ ﻭ ﻣﻘﺎﻳﺴﺔ ﺁﻥ ﺑﺎ ﭼﻜﻴﺪﺓ ﺍﺳﺘﺨﺮﺍﺝ ﺷﺪﻩ ﺍﺯ ﺍﻣﻀﺎﺀ ﺩﺭ ﻗﺴﻤﺖ ﺩﻭﻡ‪،‬‬
‫ﺍﻣﻀﺎﺀ ﺭﺍ ﺗﺄﺋﻴﺪ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺗﻘﺎﺿﺎﻱ ﺛﺒﺖﻧﺎﻡ‬
‫ﻧﻮﻋﺎﹰ ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﻭ ﻳﺎ ﻳﻚ ﻛﺎﺭﺑﺮ ﺑﺮﺍﻱ ﺗﻬﻴﺔ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﻪ ﻳﻚ ﻣﺴﺌﻮﻝ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ )‪ (CA‬ﻣﺘﻮﺳﻞ‬
‫ﻣﻲﺷﻮﺩ‪ application/pkcs10 .‬ﻭﺍﺣﺪ ‪ S/MIME‬ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ﺩﺭﺧﻮﺍﺳﺖ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﺩﺭﺧﻮﺍﺳﺖ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺷﺎﻣﻞ‬
‫ﺑﻠﻮﻙ ‪ certificationRequestInfo‬ﺑﻌــﻼﻭﺓ ﻳـﻚ ﺷﻨﺎﺳﻪ ﺍﻟﮕــﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴـﺪ‪ -‬ﻋﻤـﻮﻣﻲ ﺑﻌﻼﻭﺓ ﺍﻣﻀـﺎﺀ ﺑﻠـﻮﻙ‬
‫‪ certificationRequestInfo‬ﺍﺳﺖ ﻛــﻪ ﺑــﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴــﺪ ﺧﺼﻮﺻﻲ ﻓﺮﺳﺘﻨــﺪﻩ ﺍﻣﻀــﺎﺀ ﺷــﺪﻩ ﺍﺳﺖ‪ .‬ﺑﻠﻮﻙ‬
‫‪ certificationRequestInfo‬ﺷﺎﻣﻞ ﻳﻚ ﻧﺎﻡ )ﻧﺎﻡ ﻭﺍﺣﺪﻱ ﻛﻪ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﻭ ﺑﺎﻳﺴﺘﻲ ﺗﺄﺋﻴﺪ ﮔﺮﺩﺩ( ﻭ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ ﺑﻴﺖﻫﺎﺳﺖ ﻛﻪ‬
‫ﻧﻤﺎﻳﺸﮕﺮ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻛﺎﺭﺑﺮ ﺍﺳﺖ‪.‬‬
‫‪١٨٩‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﭘﻴﺎﻡ ‪Certificate-Only‬‬
‫ﻳﻚ ﭘﻴﺎﻡ ﻛﻪ ﻓﻘﻂ ﺷﺎﻣﻞ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﻭ ﻳﺎ ﻟﻴﺴﺖ ﺍﺑﻄﺎﻝ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ )‪ (CRL‬ﺍﺳﺖ ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﭘﺎﺳﺦ ﺑﻪ ﻳﻚ ﺗﻘﺎﺿﺎﻱ‬
‫ﺛﺒﺖﻧﺎﻡ ﺍﺭﺳﺎﻝ ﮔﺮﺩﺩ‪ .‬ﭘﻴﺎﻡ ﻳﻚ ‪ application/pkcs7-mime type/subtype‬ﺑﺎ ﻳﻚ ﭘﺎﺭﺍﻣﺘﺮ ‪ smime-type‬ﺍﺑﻄﺎﻝ ﺍﺳﺖ‪.‬‬
‫ﻣﺮﺍﺣﻞ ﺍﻳﻨﺠﺎ ﻫﻤﺎﻧﻨﺪ ﻣﺮﺍﺣﻞ ﺧﻠﻖ ﻳﻚ ﭘﻴﺎﻡ ‪ signedData‬ﺑﻮﺩﻩ ﺑﺠﺰ ﺍﻳﻨﻜﻪ ﺩﺭ ﺍﻳﻨﺠﺎ ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﻭﺟﻮﺩ ﻧﺪﺍﺷﺘﻪ ﻭ ﻣﻴﺪﺍﻥ‬
‫‪ signerInfo‬ﺧﺎﻟﻲ ﺍﺳﺖ‪.‬‬
‫ﭘﺮﺩﺍﺯﺵ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ‪S/MIME‬‬
‫‪ S/MIME‬ﺍﺯ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻛﻪ ﻣﻨﻄﺒﻖ ﺑﺎ ﻧﺴﺨﺔ ﺳﻮﻡ ‪ X.509‬ﻫﺴﺘﻨﺪ )ﺑﻪ ﻓﺼﻞ ‪ ۴‬ﻣﺮﺍﺟﻌﻪ ﺷﻮﺩ( ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺭﻭﺵ ﻣﺪﻳﺮﻳﺖ‪-‬ﻛﻠﻴﺪ ﻛﻪ ‪ S/MIME‬ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﺗﺎ ﺣﺪﻭﺩﻱ ﻣﺨﻠﻮﻃﻲ ﺍﺯ ﺭﻭﺵ ﺳﻠﺴﻠﻪ ﻣﺮﺍﺗﺒﻲ ‪ X.509‬ﻭ‬
‫ﻭِﺏﻫﺎﻱ ﻣﻌﺘﻤﺪ ‪ PGP‬ﺍﺳﺖ‪ .‬ﻫﻤﺎﻧﻨﺪ ﻣﺪﻝ ‪ ،PGP‬ﻣﺪﻳﺮﺍﻥ ﻭ ﻳﺎ ﻛﺎﺭﺑﺮﺍﻥ ‪ S/MIME‬ﺑﺎﻳﺴﺘﻲ ﻫﺮ ﻛﻼﻳﻨﺖ ﺭﺍ ﺑﺎ ﻟﻴﺴﺘﻲ ﺍﺯ ﻛﻠﻴﺪﻫﺎﻱ‬
‫ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﻭ ﺯﻣﺎﻥ ﺍﻧﻘﻀﺎﻱ ﻛﻠﻴﺪﻫﺎ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻧﻤﺎﻳﻨﺪ‪ .‬ﻳﻌﻨﻲ ﻣﺴﺌﻮﻟﻴﺖ ﻧﮕﻬﺪﺍﺭﻱ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻻﺯﻡ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﺍﻣﻀﺎﺀﻫﺎﻱ‬
‫ﻭﺭﻭﺩﻱ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡﻫﺎﻱ ﺧﺮﻭﺟﻲ ﻳﻚ ﻣﺴﺌﻮﻟﻴﺖ ﻣﺤﻠﹼﻲ ﺍﺳﺖ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﺑﺘﻮﺳﻂ ﻣﺴﺌﻮﻟﻴﻦ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲ‪ ،‬ﺍﻣﻀﺎﺀ‬
‫ﻧﻘﺶ ﻋﺎﻣﻞ ﻛﺎﺭﺑﺮ‬

‫ﻳﻚ ﻛﺎﺭﺑﺮ ‪ S/MIME‬ﺑﺎﻳﺴﺘﻲ ﭼﻨﺪﻳﻦ ﻋﻤﻞ ﻣﺪﻳﺮﻳﺘﻲ ﺩﺭ ﺯﻣﻴﻨﺔ ﻣﺪﻳﺮﻳﺖ‪-‬ﻛﻠﻴﺪ ﺍﻧﺠﺎﻡ ﺩﻫﺪ‪:‬‬
‫ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ‪ :‬ﻛﺎﺭﺑﺮ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﻣﺪﻳﺮﻳﺘﻲ ﻣﺮﺗﺒﻂ )ﻣﺜﻞ ﻛﺴﻲ ﻛﻪ ﻣﺪﻳﺮﻳﺖ ﻳﻚ ﺷﺒﻜﺔ ‪ LAN‬ﺭﺍ ﺩﺍﺭﺍﺳﺖ(‪ ،‬ﺑﺎﻳﺴﺘﻲ ﻗﺎﺩﺭ ﺑﻪ‬ ‫•‬
‫ﺗﻮﻟﻴﺪ ﺟﻔﺖ ﻛﻠﻴﺪﻫﺎﻱ ‪ Diffie-Hellman‬ﻭ ‪ DSS‬ﺑﻮﺩﻩ ﻭ ﺷﺎﻳﺴﺘﻪ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺍﻧﺪ ﺟﻔﺖ ﻛﻠﻴﺪﻫﺎﻱ ‪ RSA‬ﺭﺍ ﻧﻴﺰ ﺧﻠﻖ‬
‫ﻛﻨﺪ‪ .‬ﻫﺮ ﺟﻔﺖ ﻛﻠﻴﺪ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﻳﻚ ﻣﻨﺒﻊ ﺧﻮﺏ ﺑﺎ ﻭﺭﻭﺩﻱ ﺗﺼﺎﺩﻓﻲ ﻏﻴﺮﻳﻘﻴﻨﻲ ﺍﺧﺬ ﺷﺪﻩ ﻭ ﺑﻪ ﻃﺮﻳﻖ ﺍﻣﻨﻲ ﺫﺧﻴﺮﻩ ﮔﺮﺩﺩ‪.‬‬
‫ﻳﻚ ﻋﺎﻣﻞ ﻛﺎﺭﺑﺮ ﺷﺎﻳﺴﺘﻪ ﺍﺳﺖ ﺟﻔﺖ ﻛﻠﻴﺪﻫﺎﻱ ‪ RSA‬ﺭﺍ ﺑﺎ ﻃﻮﻟﻲ ﺑﻴﻦ ‪ ۷۶۸‬ﺗﺎ ‪ ۱,۰۲۴‬ﺑﻴﺖ ﺧﻠﻖ ﻛﺮﺩﻩ ﻭ ﻧﺒﺎﻳﺴﺘﻲ ﻛﻠﻴﺪﻱ‬
‫ﺑﺎ ﻃﻮﻝ ﻛﻤﺘﺮ ﺍﺯ ‪ ۵۱۲‬ﺑﻴﺖ ﺧﻠﻖ ﻛﻨﺪ‪.‬‬
‫ﺛﺒﺖ ﻧﺎﻡ‪ :‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻳﻚ ﻛﺎﺭﺑﺮ ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﻣﻨﻈﻮﺭ ﺍﺧﺬ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ‪ X.509‬ﺩﺭ ﻧﺰﺩ ﻳﻚ ﻣﺴﺌﻮﻝ‬ ‫•‬
‫ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ )‪ (CA‬ﺑﻪ ﺛﺒﺖ ﺑﺮﺳﺪ‪.‬‬
‫ﺫﺧﻴﺮﻩﺳﺎﺯﻱ ﻭ ﺑﺎﺯﻳﺎﺑﻲ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ‪ :‬ﻳﻚ ﻛﺎﺭﺑﺮ‪ ،‬ﻧﻴﺎﺯﻣﻨﺪ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻳﻚ ﻟﻴﺴﺖ ﻣﺤﻠﻲ ﺍﺯ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﺳﺖ ﺗﺎ ﺑﺘﻮﺍﻧﺪ‬ ‫•‬
‫ﺍﻣﻀﺎﺀﻫﺎﻱ ﻭﺭﻭﺩﻱ ﺭﺍ ﺗﺄﺋﻴﺪ ﻛﺮﺩﻩ ﻭ ﭘﻴﺎﻡﻫﺎﻱ ﺧﺮﻭﺟﻲ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﻤﺎﻳﺪ‪ .‬ﭼﻨﻴﻦ ﻟﻴﺴﺘﻲ ﺑﺎﻳﺴﺘﻲ ﻳﺎ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮ‪ ،‬ﻭ ﻳﺎ‬
‫ﺑﺘﻮﺳﻂ ﻳﻚ ﻭﺍﺣﺪ ﻣﺪﻳﺮﻳﺖ ﻣﺤﻠﹼﻲ ﺑﻪ ﻧﻴﺎﺑﺖ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻛﺎﺭﺑﺮﺍﻥ‪ ،‬ﻧﮕﻬﺪﺍﺭﻱ ﮔﺮﺩﺩ‪.‬‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ‪VeriSign‬‬
‫ﺳﺎﺯﻣﺎﻥﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﻭﺟﻮﺩ ﺩﺍﺭﻧﺪ ﻛﻪ ﻣﺴﺌﻮﻟﻴﺖ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ )‪ (CA‬ﺭﺍ ﺗﻘﺒﻞ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪،‬‬
‫‪ Nortel‬ﻳﻚ ﺑﻨﮕﺎﻩ ﺗﺠﺎﺭﻱ ‪ CA‬ﺭﺍ ﻓﺮﺍﻫﻢ ﻧﻤﻮﺩﻩ ﻭ ﻣﻲﺗﻮﺍﻧﺪ ﺣﻤﺎﻳﺖ ﺍﺯ ‪ S/MIME‬ﺩﺭ ﺩﺭﻭﻥ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﺭﺍ ﻋﻬـﺪﻩﺩﺍﺭ ﮔﺮﺩﺩ‪.‬‬
‫‪CA‬ﻫﺎﺋﻲ ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ ﺍﻳﻨﺘﺮﻧﺖ ﻫﺴﺘﻨﺪ ﻧﻴﺰ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﻛﻪ ‪ GTE ،VeriSign‬ﻭ ‪ U.S.Portal Service‬ﺍﺯ ﺁﻥ ﺟﻤﻠﻪﺍﻧﺪ‪ .‬ﺩﺭ‬
‫ﺑﻴﻦ ﺍﻳﻨﻬﺎ ﺳﺮﻭﻳﺲ ‪ VeriSign CA‬ﺑﻴﺸﺘﺮﻳﻦ ﻛﺎﺭﺑﺮﺩ ﺭﺍ ﺩﺍﺷﺘﻪ ﻛﻪ ﺗﻮﺻﻴﻒ ﻣﺨﺘﺼﺮﻱ ﺍﺯ ﺁﻥ ﺭﺍ ﺩﺭ ﺍﻳﻨﺠﺎ ﻣﻲﺁﻭﺭﻳﻢ‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٩٠‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ VeriSign‬ﻳﻚ ﺳﻴﺴﺘﻢ ‪ CA‬ﺭﺍ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻩ ﺍﺳﺖ ﻛﻪ ﻫﺪﻑ ﺁﻥ ﺳﺎﺯﮔﺎﺭﻱ ﺑﺎ ‪ S/MIME‬ﻭ ﺗﻌﺪﺍﺩ ﻣﺘﻨﻮﻉ ﺩﻳﮕﺮﻱ ﺍﺯ‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﺳﺖ‪ VeriSign .‬ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ‪ X.509‬ﺭﺍ ﺑﺎ ﻧﺎﻡ ﺗﺠﺎﺭﻱ ‪ VeriSign Digital ID‬ﺻﺎﺩﺭ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﺍﻭﺍﻳﻞ ﺳﺎﻝ‬
‫‪ ۱۹۹۸‬ﻣﻴﻼﺩﻱ ﺑﻴﺶ ﺍﺯ ‪ ۳۵,۰۰۰‬ﻭِﺏ ﺳﺎﻳﺖ ﺗﺠﺎﺭﻱ ﺍﺯ ‪ VeriSign Digital ID‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﺑﻴﺶ ﺍﺯ ﻳﻚ ﻣﻴﻠﻴﻮﻥ‬
‫‪ Digital ID‬ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻥ ﻣﺮﻭﺭﮔﺮﻫﺎﻱ ‪ Netscape‬ﻭ ‪ Microsoft‬ﺻﺎﺩﺭ ﺷﺪﻩ ﺑﻮﺩ‪.‬‬
‫ﺍﻃﻼﻋﺎﺗﻲ ﻛﻪ ﺩﺭ ﻳﻚ ‪ Digital ID‬ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﻧﻮﻉ ‪ Digital ID‬ﻭ ﻣﻮﺍﺭﺩ ﺍﺳﺘﻔﺎﺩﺓ ﺁﻥ ﺩﺍﺭﺩ‪ .‬ﻳﻚ ‪Digital ID‬‬
‫ﺣﺪﺍﻗﻞ ﺷﺎﻣﻞ ﺍﻗﻼﻡ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺻﺎﺣﺐ ﺍﻳﻦ ‪Digital ID‬‬ ‫•‬
‫ﻧﺎﻡ ﺻﺎﺣﺐ ‪ Digital ID‬ﻭ ﻳﺎ ﻧﺎﻡ ﻣﺴﺘﻌﺎﺭ ﺍﻭ‬ ‫•‬
‫ﺗﺎﺭﻳﺦ ﺍﻧﻘﻀﺎﺀ ‪Digital ID‬‬ ‫•‬
‫ﺷﻤﺎﺭﺓ ﺳﺮﻳﺎﻝ ‪Digital ID‬‬ ‫•‬
‫ﻧﺎﻡ ﻣﺴﺌﻮﻝ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲ ﻛﻪ ﺍﻳﻦ ‪ Digital ID‬ﺭﺍ ﺻﺎﺩﺭ ﻛﺮﺩﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﻣﺴﺌﻮﻝ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻛﻪ ‪ Digital ID‬ﺭﺍ ﺻﺎﺩﺭ ﻛﺮﺩﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫‪Digital ID‬ﻫﺎ ﻫﻤﭽﻨﻴﻦ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺕ ﺩﻳﮕﺮﻱ ﺑﺎﺷﻨﺪ ﻛﻪ ﻛﺎﺭﺑﺮ ﺁﻧﻬﺎ ﺭﺍ ﻋﺮﺿﻪ ﻛﺮﺩﻩ ﺍﺳﺖ ﻣﺜﻞ‪:‬‬
‫ﺁﺩﺭﺱ‬ ‫•‬
‫ﺁﺩﺭﺱ ‪e-mail‬‬ ‫•‬
‫ﺍﻃﻼﻋﺎﺕ ﻋﻤﻮﻣﻲ ﺛﺒﺖ ‪) ID‬ﻣﺜﻞ ﻛﺸﻮﺭ‪ ،‬ﻛﹸﺪ ﻣﺤﻠﹼﻲ‪ ،‬ﺳﻦ ﻭ ﺟﻨﺴﻴﺖ(‬ ‫•‬
‫‪ VeriSign‬ﺑﺮﺍﺑﺮ ﺟﺪﻭﻝ ‪ ۵-۸‬ﺳﻪ ﺳﻄﺢ ﻭ ﻳﺎ ﻛﻼﺱ ﺍﻣﻨﻴﺘﻲ ﺑﺮﺍﻱ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﻳﻚ ﻛﺎﺭﺑﺮ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺑﺼﻮﺭﺕ ﺑﺮﺧﻂ ﺍﺯ ﺳﺎﻳﺖ ‪ VeriSign‬ﻭ ﻳﺎ ﺳﺎﻳﺖﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺩﺭﺧﻮﺍﺳﺖ ﻛﻨﺪ‪ .‬ﮔﻮﺍﻫﻲﻫﺎﻱ‬
‫‪ Class 1‬ﻭ ‪ Class 2‬ﺑﺼﻮﺭﺕ ﺑﺮﺧﻂ ﭘﺮﺩﺍﺯﺵ ﺷﺪﻩ ﻭ ﻣﻌﻤﻮﻻﹰ ﻇﺮﻑ ﭼﻨﺪﺛﺎﻧﻴﻪ ﺑﻪ ﺗﺄﺋﻴﺪ ﻣﻲﺭﺳﻨﺪ‪ .‬ﺑﻄﻮﺭ ﺧﻼﺻﻪ ﺭَﻭﻳﻪﻫﺎﻱ‬
‫ﺯﻳﺮ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ‪:‬‬
‫ﺑﺮﺍﻱ ‪ VeriSign ،Class 1 Digital ID‬ﺁﺩﺭﺱ ‪ e-mail‬ﻛﺎﺭﺑﺮ ﺭﺍ ﺑﺎ ﺍﺭﺳﺎﻝ ﻳﻚ ‪ PIN‬ﻭ ﻳﻚ ﻓﺮﻡ ﺑﺮﺩﺍﺷﺖ ﺍﻃﻼﻋﺎﺕ‬ ‫•‬
‫‪ Digital ID‬ﺑﻪ ﺁﺩﺭﺱ ‪ e-mail‬ﺍﻭ ﻛﻪ ﺩﺭ ﺩﺭﺧﻮﺍﺳﺖ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ ،‬ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺑﺮﺍﻱ ‪ ،Class 2 Digital ID‬ﻋﻼﻭﻩ ﺑﺮ ﺍﻧﺠﺎﻡ ﻋﻤﻠﻴﺎﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ‪ ،Class 1‬ﻳﻚ ﻣﻘﺎﻳﺴﺔ ﺍﺗﻮﻣﺎﺗﻴﻚ ﺑﻴﻦ ﺍﻃﻼﻋﺎﺕ‬ ‫•‬
‫ﺍﺭﺍﺋﻪﺷﺪﻩ ﺩﺭ ﻓﺮﻡ ﺩﺭﺧﻮﺍﺳﺖ‪ ،‬ﺑﺎ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﻣﺸﺘﺮﻳﺎﻥ ﻧﻴﺰ ﺑﻌﻤﻞ ﻣﻲﺁﻭﺭﺩ‪ .‬ﺩﺭ ﻧﻬﺎﻳﺖ‪ ،‬ﺗﺄﺋﻴﺪﻳﻪ ﺑﻪ ﺁﺩﺭﺱ ﭘﺴﺘﻲ ﻣﺸﺨﺺ‬
‫ﺷﺪﻩ ﺍﺭﺳﺎﻝ ﮔﺮﺩﻳﺪﻩ ﻭ ﺑﻪ ﻛﺎﺭﺑﺮ ﺍﻃﻼﻉ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ ﻛﻪ ﻳﻚ ‪ Digital ID‬ﺑﻨﺎﻡ ﺍﻭ ﺻﺎﺩﺭ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺑﺮﺍﻱ ‪ VeriSign ،Class 3 Digital ID‬ﻧﻴﺎﺯ ﺑﻪ ﺍﻃﻤﻴﻨﺎﻥ ﺳﻄﺢ ﺑﺎﻻﺗﺮﻱ ﺍﺯ ﻫﻮﻳﺖ ﺩﺭﺧﻮﺍﺳﺖﻛﻨﻨﺪﻩ ﺩﺍﺭﺩ‪ .‬ﻳﻚ ﻓﺮﺩ‬ ‫•‬
‫ﻣﺘﻘﺎﺿﻲ ﺑﺎﻳﺴﺘﻲ ﻫﻮﻳﺖ ﺧﻮﺩ ﺭﺍ ﺍﺯ ﻃﺮﻳﻖ ﺍﺭﺍﺋﺔ ﻣﺪﺍﺭﻙ ﺛﺒﺖ ﺷﺪﻩﺍﻱ ﺩﺭ ﺟﺎﻱ ﺩﻳﮕﺮ ﻭ ﻳﺎ ﺑﺎ ﻣﺮﺍﺟﻌﺔ ﺣﻀﻮﺭﻱ ﺑﻪ ﺍﺛﺒﺎﺕ‬
‫ﺑﺮﺳﺎﻧﺪ‪.‬‬
‫ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺍﻓﺰﻭﺩﻩ‬

‫ﺗﺎ ﺯﻣﺎﻥ ﻛﺘﺎﺑﺖ ﺍﻳﻦ ﻛﺘﺎﺏ‪ ،‬ﺳﻪ ﺳﺮﻭﻳﺲ ﺍﻣﻨﻴﺘﻲ ﺍﻓﺰﻭﺩﻩ ﺩﺭ ﭘﻴﺶﻧﻮﻳﺲﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﭘﻴﺸﻨﻬﺎﺩ ﺷﺪﻩﺍﻧﺪ‪ .‬ﺟﺰﺋﻴﺎﺕ ﺍﻳﻦ ﺳﺮﻭﻳﺲﻫﺎ ﻣﻤﻜﻦ‬
‫ﺍﺳﺖ ﺗﻐﻴﻴﺮ ﻛﺮﺩﻩ ﻭ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺩﻳﮕﺮﻱ ﻧﻴﺰ ﺑﻪ ﺁﻧﻬﺎ ﺍﺿﺎﻓﻪ ﺷﻮﻧﺪ‪ .‬ﺍﻳﻦ ﺳﻪ ﺳﺮﻭﻳﺲ ﺑﻘﺮﺍﺭ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫‪١٩١‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺍﻧﻮﺍﻉ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ‪VeriSign‬‬ ‫ﺟﺪﻭﻝ ‪۵-۸‬‬
‫ﻣﺤﺎﻓﻈﺖ ﺍﺯ ﻛﻠﻴﺪ‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻗﺎﺑﻞ ﺍﻧﺠﺎﻡ‬ ‫ﻧﺤﻮﺓﺣﻔﺎﻇﺖ ﺍﺯ‬
‫ﺧﺼﻮﺻﻲ ﻣﺘﻘﺎﺿﻲ ﮔﻮﺍﻫﻲ‬ ‫ﻧﺤﻮﺓ ﺍﺣﺮﺍﺯ ﻫﻮﻳﺖ‬
‫ﻭ ﻣﻮﺭﺩﻧﻈﺮ ﻛﺎﺭﺑﺮ‬ ‫ﻛﻠﻴﺪ‪ -‬ﺧﺼﻮﺻﻲ ‪IA‬‬
‫ﻭ ﻣﺸﺘﺮﻙ‬
‫ﻣﺮﻭﺭ ﺻﻔﺤﺎﺕ ﻭِﺏ ﻭ ﺑﺮﺧﻲ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪ : PCA‬ﺳﺨﺖﺍﻓﺰﺍﺭ ﻗﺎﺑﻞ‬ ‫ﺟﺴﺘﺠﻮﻱ ﺑﺪﻭﻥ ﺍﺑﻬﺎﻡ ﻭ‬
‫ﺍﺳﺘﻔﺎﺩﻩﻫﺎ ﺍﺯ ‪e-mail‬‬ ‫)ﻣﺤﺎﻓﻈﺖ ﺷﺪﻩ ﺑﺎ ‪(PIN‬‬ ‫ﺍﻋﺘﻤﺎﺩ‪.‬‬ ‫ﺧﻮﺩﻛﺎﺭ ﻧﺎﻡ ﻭ ﺁﺩﺭﺱ‬ ‫‪Class1‬‬
‫ﺗﻮﺻﻴﻪ ﻣﻴﺸﻮﺩ ﻭﻟﻲ ﻻﺯﻡ‬ ‫‪ : CA‬ﻧﺮﻡﺍﻓﺰﺍﺭ ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ‬ ‫‪e-mail‬‬
‫ﻧﻴﺴﺖ‪.‬‬ ‫ﻳﺎ ﺳﺨﺖ ﺍﻓﺰﺍﺭ ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ‪.‬‬
‫‪ e-mail‬ﺷﺨﺼﻲ ﻭ ﻣﺘﻌﻠﻖ ﺑﻪ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪ PCA‬ﻭ ‪ : CA‬ﺳﺨﺖ ﺍﻓﺰﺍﺭ‬ ‫ﻫﻤﺎﻧﻨﺪ‪ Class1‬ﺑﺎﺿﺎﻓﺔ‬
‫)ﻣﺤﺎﻓﻈﺖ ﺷﺪﻩ ﺑﺎ ‪ (PIN‬ﺳﺎﺯﻣﺎﻥ‪ ،‬ﺍﺷﺘﺮﺍﻙ ﺑﺮﺧﻂ‪ ،‬ﺗﻌﻮﻳﺾ‬ ‫ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ‪.‬‬ ‫ﻛﻨﺘﺮﻝ ﺍﺗﻮﻣﺎﺗﻴﻚ‬ ‫‪Class2‬‬
‫ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻭ ﺗﺄﺋﻴﺪ ﻧﺮﻡﺍﻓﺰﺍﺭ‬ ‫ﻻﺯﻡ ﺍﺳﺖ‪.‬‬ ‫ﺍﻃﻼﻋﺎﺕ ﻋﻀﻮﻳﺖ ﻭ‬
‫ﻛﻨﺘﺮﻝ ﺍﺗﻮﻣﺎﺗﻴﻚ ﺁﺩﺭﺱ‬
‫ﺑﺎﻧﻜﺪﺍﺭﻱ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪ ،‬ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫‪ PCA‬ﻭ ‪ : CA‬ﺳﺨﺖ ﺍﻓﺰﺍﺭ‬ ‫ﻫﻤﺎﻧﻨﺪ ‪Class1‬‬
‫ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ‪ ،‬ﻋﻤﻠﻴﺎﺕ ﺑﺎﻧﻜﻲ‬ ‫)ﻣﺤﺎﻓﻈﺖ ﺷﺪﻩ ﺑﺎ ‪(PIN‬‬ ‫ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ‪.‬‬ ‫ﺑﺎﺿﺎﻓﺔ ﺣﻀﻮﺭ ﻓﺮﺩﻱ‬ ‫‪Class3‬‬
‫ﺷﺨﺼﻲ‪ ،‬ﺳﺮﻭﻳﺲﻫﺎﻱ ﺑﺮﺧﻂ ‪،‬‬ ‫ﻻﺯﻡ ﺍﺳﺖ‪ .‬ﮊﺗﻮﻥ‬ ‫ﺑﺎ ﻣﺪﺍﺭﻙ ﻣﻌﺘﺒﺮ ﺍﺣﺮﺍﺯ‬
‫ﭘﺬﻳﺮﺵ ﻋﻀﻮﻳﺖ‪ ،‬ﺳِﺮﻭﺭ ﺗﺠﺎﺭﺕ‬ ‫ﺳﺨﺖﺍﻓﺰﺍﺭﻱ ﺗـﻮﺻﻴﻪ‬ ‫ﻫﻮﻳﺖ ﺑﻌﻼﻭﺓ ﻛﻨﺘﺮﻝ‬
‫ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪ ،‬ﺗﺄﺋﻴﺪ ﻧﺮﻡ ﺍﻓﺰﺍﺭ‪،‬‬ ‫ﻣﻲﺷﻮﺩ ﻭﻟﻲ ﻻﺯﻡ ﻧﻴﺴﺖ‪.‬‬ ‫ﺧﻮﺩﻛﺎﺭ ‪Class2 ID‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪LRAA‬ﻫﺎ ﻭ‬ ‫ﺑﺮﺍﻱ ﺍﻓﺮﺍﺩ‪ ،‬ﻭ ﺳﻮﺍﺑﻖ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺴﺘﺤﻜﻢ ﺑﺮﺍﻱ‬ ‫ﺍﺩﺍﺭﻱ ﺑﺮﺍﻱ ﺳﺎﺯﻣﺎﻥﻫﺎ‬
‫ﺳِﺮﻭﺭﻫﺎﻱ ﺧﺎﺹ‬
‫‪IA‬‬ ‫‪= Issuing Authority‬‬

‫‪CA‬‬ ‫‪= Certification Authority‬‬
‫‪PCA = VeriSign Public Primary Certification Authority‬‬
‫‪PIN = Personal Identification Number‬‬
‫‪LRAA = Local Registeration Authority Administrator‬‬
‫ﺭﺳﻴﺪﻫﺎﻱ ﺍﻣﻀﺎﺀﺷﺪﻩ‪ :‬ﻳﻚ ﺭﺳﻴﺪ ﺍﻣﻀﺎﺀﺷﺪﻩ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﻳﻚ ﻋﻨﺼﺮ ‪ VeriSign‬ﻣﻮﺭﺩ ﺩﺭﺧﻮﺍﺳﺖ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪.‬‬ ‫•‬
‫ﺑﺮﮔﺮﺩﺍﻧﺪﻥ ﻳﻚ ﺭﺳﻴﺪ ﺍﻣﻀﺎﺀﺷﺪﻩ ﺑﺮﺍﻱ ﻓﺮﺳﺘﻨﺪﺓ ﭘﻴﺎﻡ‪ ،‬ﺗﺤﻮﻳﻞ ﭘﻴﺎﻡ ﺭﺍ ﺑﻪ ﺍﺛﺒﺎﺕ ﺭﺳﺎﻧﺪﻩ ﻭ ﺑﻪ ﺍﺭﺳﺎﻝﻛﻨﻨﺪﻩ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ‬
‫ﺗﺎ ﺑﻪ ﺷﺨﺺ ﺛﺎﻟﺜﻲ ﺍﺛﺒﺎﺕ ﻛﻨﺪ ﻛﻪ ﮔﻴﺮﻧﺪﻩ‪ ،‬ﭘﻴﺎﻡ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﮔﻴﺮﻧﺪﻩ ﺗﻤﺎﻡ ﭘﻴﺎﻡ ﺍﻭﻟﻴﻪ ﺑﻌﻼﻭﺓ ﺍﻣﻀﺎﺀ‬
‫ﺍﻭﻟﻴﻪ )ﺍﻣﻀﺎﺀﻓﺮﺳﺘﻨﺪﻩ( ﺭﺍ ﺍﻣﻀﺎﺀ ﻛﺮﺩﻩ ﻭ ﺍﻣﻀﺎﺀ ﺟﺪﻳﺪ ﺭﺍ ﺑﻪ ﭘﻴﺎﻡ ﻭﺻﻞ ﻣﻲﻧﻤﺎﻳﺪ ﺗﺎ ﻳﻚ ﭘﻴﺎﻡ ‪ S/MIME‬ﺟﺪﻳﺪ ﺗﻮﻟﻴﺪ‬
‫ﺷﻮﺩ‪.‬‬
‫ﺑﺮﭼﺴﺐﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‪ :‬ﻳﻚ ﺑﺮﭼﺴﺐ ﺍﻣﻨﻴﺘﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻬﻤﺮﺍﻩ ﻣﺸﺨﺼﺎﺕ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺪﺓ ﻳﻚ ﻋﻨﺼﺮ‬ ‫•‬
‫‪ SignedData‬ﺍﺭﺳﺎﻝ ﮔﺮﺩﺩ‪ .‬ﻳﻚ ﺑﺮﭼﺴﺐ ﺍﻣﻨﻴﺘﻲ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺍﻃﻼﻋﺎﺕ ﺍﻣﻨﻴﺘﻲ ﻣﺮﺑﻮﻁ ﺑﻪ ﺣﺴﺎﺳﻴﺖ ﻣﺤﺘﻮﺍ ﺍﺳﺖ‬
‫ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﭙﺴﻮﻟﻲ ﻛﺮﺩﻥ ‪ S/MIME‬ﻓﺮﺍﻫﻢ ﺁﻣﺪﻩ ﺍﺳﺖ‪ .‬ﺑﺮﭼﺴﺐﻫﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻜﺎﺭ ﺭﻓﺘﻪ‪ ،‬ﻭ‬
‫ﻧﺸﺎﻥ ﺩﻫﻨﺪ ﻛﻪ ﭼﻪ ﻛﺎﺭﺑﺮﺍﻧﻲ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﻪ ﻳﻚ ﻋﻨﺼﺮ ﺩﺳﺖ ﻳﺎﺑﻨﺪ‪ .‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﺓ ﺩﻳﮕﺮ ﺁﻧﻬﺎ ﺗﻌﻴﻴﻦ ﺍﻭﻟﻮﻳﺖﻫﺎ )ﺳﺮّﻱ‪،‬‬
‫ﻣﺤﺮﻣﺎﻧﻪ‪ ،‬ﻣﺤﺪﻭﺩ ﻭ ﻏﻴﺮﻩ( ﻭ ﻳﺎ ﺗﻌﻴﻴﻦ ﻧﻘﺶ ﻓﺮﺩ ﻣﻲﺑﺎﺷﻨﺪ ﻛﻪ ﺑﻴﺎﻧﮕﺮ ﻧﻮﻉ ﺁﺩﻡﻫﺎﺋﻲ ﺍﺳﺖ ﻛﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺍﻃﻼﻋﺎﺕ ﺭﺍ‬
‫ﺭﺅﻳﺖ ﻛﻨﻨﺪ )ﻣﺜﻞ ﺗﻴﻢ ﭘﺰﺷﻜﻲ ﻳﻚ ﺑﻴﻤﺎﺭ‪ ،‬ﺑﺨﺶ ﺗﻌﺮﻓﻪﻫﺎﻱ ﭘﺰﺷﻜﻲ ﻭ ﻏﻴﺮﻩ(‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٩٢‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻟﻴﺴﺖﻫﺎﻱ ﭘﺴﺘﻲ ﺍﻣﻦ‪ :‬ﻭﻗﺘﻲ ﻳﻚ ﻛﺎﺭﺑﺮ ﭘﻴﺎﻣﻲ ﺭﺍ ﺑﺮﺍﻱ ﮔﻴﺮﻧﺪﮔﺎﻥ ﻣﺘﻌﺪﺩﻱ ﻣﻲﻓﺮﺳﺘﺪ‪ ،‬ﺑﺮﺍﻱ ﻫﺮ ﮔﻴﺮﻧﺪﻩ ﻣﻴﺰﺍﻧﻲ‬ ‫•‬
‫ﭘﺮﺩﺍﺯﺵ ﺑﺎﻳﺴﺘﻲ ﺭﻭﻱ ﭘﻴﺎﻡ ﺍﻧﺠﺎﻡ ﺷﻮﺩﻛﻪ ﺷﺎﻣﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻫﺮ ﻳﻚ ﺍﺯ ﮔﻴﺮﻧﺪﮔﺎﻥ ﺍﺳﺖ‪ .‬ﻛﺎﺭﺑﺮ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺳﺮﻭﻳﺲﻫﺎﻱ )‪ S/MIME Mail List Agent (MLA‬ﺍﺯ ﺍﻳﻦ ﻭﻇﻴﻔﻪ ﺭﻫﺎ ﺷﻮﺩ‪ .‬ﻳﻚ ‪ MLA‬ﻣﻲﺗﻮﺍﻧﺪ‬
‫ﻳﻚ ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﺗﻨﻬﺎ ﺭﺍ ﮔﺮﻓﺘﻪ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺨﺘﺺ ﮔﻴﺮﻧﺪﻩ ﺑﺮﺍﻱ ﻫﺮ ﮔﻴﺮﻧﺪﻩ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﻭ ﺳﭙﺲ ﭘﻴﺎﻡ ﺭﺍ ﺑﻪ ﺟﻠﻮ ﺭﺍﻧﺪ‪.‬‬
‫ﺍﺭﺳﺎﻝﻛﻨﻨﺪﺓ ﺍﻭﻟﻴﺔ ﭘﻴﺎﻡ ﺗﻨﻬﺎ ﻻﺯﻡ ﺍﺳﺖ ﭘﻴﺎﻡ ﺭﺍ ﺑﻪ ‪ MLA‬ﺑﻔﺮﺳﺘﺪ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﺻﻮﺭﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪MLA‬‬
‫ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۵-۳‬‬
‫‪ :PGP Home Page‬ﻭِﺏ ﺳﺎﻳﺖ ‪ PGP‬ﻣﺮﺑﻮﻁ ﺑﻪ ‪ PGP Corp.‬ﻓﺮﻭﺷﻨﺪﺓ ﭘﻴﺸﺘﺎﺯ ﻣﺤﺼﻮﻻﺕ ‪.PGP‬‬ ‫•‬
‫‪ :International PGP Home Page‬ﺑﺮﺍﻱ ﺍﺭﺗﻘﺎﺀ ﺟﻬﺎﻧﻲ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ PGP‬ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺷـﺎﻣﻞ ﺍﺳـﻨﺎﺩ ﻭ ﻟﻴﻨـﻚﻫـﺎﻱ‬ ‫•‬
‫ﻣﺮﺗﺒﻂ ﺍﺳﺖ‪.‬‬
‫‪ :MIT Distribution Site for PGP‬ﺗﻮﺯﻳﻊﻛﻨﻨﺪﺓ ﭘﻴﺸﺘﺎﺯ ‪ PGP‬ﺭﺍﻳﮕﺎﻥ‪ .‬ﺷﺎﻣﻞ ‪ FAQ‬ﻭ ﺳﺎﻳﺮ ﺍﻃﻼﻋﺎﺕ ﺑﻮﺩﻩ ﻭ ﻟﻴﻨﻚﻫﺎﺋﻲ‬ ‫•‬
‫ﻧﻴﺰ ﺑﻪ ﺳﺎﻳﺖﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺩﺍﺭﺩ‪.‬‬
‫‪ :PGP Charter‬ﺁﺧﺮﻳﻦ ‪RFC‬ﻫﺎ ﻭ ﭘﻴﺶﻧﻮﻳﺲﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺑﺮﺍﻱ ‪.Open Specification PGP‬‬ ‫•‬
‫‪ :S/MIME Charter‬ﺁﺧﺮﻳﻦ ‪RFC‬ﻫﺎ ﻭ ﭘﻴﺶﻧﻮﻳﺲﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺩﺭ ﻣﻮﺭﺩ ‪.S/MIME‬‬ ‫•‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۵-۴‬‬
‫‪detached signature‬‬ ‫ﺍﻣﻀﺎﺀ ﺟﺪﺍﺷﺪﻩ‬ ‫‪radix-64‬‬ ‫ﻧﻮﻋﻲ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﺮﺍﻱ ﺗﺒﺪﻳﻞ ﺩﺍﺩﻩﻫﺎﻱ ﺑﺎﻳﻨﺮﻱ‬
‫‪electronic mail‬‬ ‫ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‬ ‫‪session key‬‬ ‫ﻛﻠﻴﺪ ﺍﺟﻼﺱ‬
‫)‪Multipurpose Internet Mail Extensions (MIME‬‬ ‫‪S/MIME‬‬ ‫ﻳﻚ ﺳﺎﺧﺘﺎﺭ ﺍﻣﻨﻴﺘﻲ ﺑﺮﺍﻱ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‬
‫ﺍﻟﺤﺎﻗﻴﻪﻫﺎﻱ ﭼﻨﺪﻣﻨﻈﻮﺭﺓ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‬
‫‪trust‬‬ ‫ﺍﻋﺘﻤﺎﺩ‬
‫)‪Pretty Good Privacy (PGP‬‬
‫‪ZIP‬‬ ‫ﻳﻚ ﻧﻮﻉ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ‬
‫ﻳﻚ ﺳﺎﺧﺘﺎﺭ ﺍﻣﻨﻴﺘﻲ ﺑﺮﺍﻱ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‬
‫‪١٩٣‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﻩ ﺑﺤﺚ‬
‫ﭘﻨﺞ ﺳﺮﻭﻳﺲ ﻋﻤﺪﻩﺍﻱ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ PGP‬ﻓﺮﺍﻫﻢ ﻣﻲﺁﻳﻨﺪ ﻛﺪﺍﻣﻨﺪ؟‬ ‫‪۵-۱‬‬

‫ﻓﺎﻳﺪﺓ ﻳﻚ ﺍﻣﻀﺎﺀ ﺟﺪﺍ ﺷﺪﻩ ﭼﻴﺴﺖ؟‬ ‫‪۵-۲‬‬
‫ﭼﺮﺍ ‪ PGP‬ﻳﻚ ﺍﻣﻀﺎﺀ ﺭﺍ ﻗﺒﻞ ﺍﺯ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ؟‬ ‫‪۵-۳‬‬
‫ﺗﺒﺪﻳﻞ ‪ R64‬ﭼﻴﺴﺖ؟‬ ‫‪۵-۴‬‬
‫ﭼﺮﺍ ﺗﺒﺪﻳﻞ ‪ R64‬ﺑﺮﺍﻱ ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻣﻔﻴﺪ ﺍﺳﺖ؟‬ ‫‪۵-۵‬‬
‫ﭼﺮﺍ ﻋﻤﻞ ﻗﻄﻌﻪﻗﻄﻌﻪ ﻛﺮﺩﻥ ﻭ ﺩﻭﺑﺎﺭﻩ ﺳﺮﻫﻢ ﻛﺮﺩﻥ ﺩﻳﺘﺎ ﺩﺭ ‪ PGP‬ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ؟‬ ‫‪۵-۶‬‬
‫ﭼﮕﻮﻧﻪ ‪ PGP‬ﺍﺯ ﻣﻔﻬﻮﻡ ‪ trust‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ؟‬ ‫‪۵-۷‬‬
‫‪ RFC 822‬ﭼﻴﺴﺖ؟‬ ‫‪۵-۸‬‬
‫‪ MIME‬ﭼﻴﺴﺖ؟‬ ‫‪۵-۹‬‬
‫‪ S/MIME‬ﭼﻴﺴﺖ؟‬ ‫‪۵-۱۰‬‬
‫‪ PGP‬ﺍﺯ ﻣُﻮﺩ ﻓﻴﺪﺑﻚ ﺭﻣﺰ )‪ (CFB‬ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ CAST-128‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﺍﻏﻠﺐ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬ ‫‪۵-۱‬‬
‫)ﺑﻐﻴﺮ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ( ﺍﺯ ﻣُﻮﺩ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺭﻣﺰ ﻗﺎﻟﺒﻲ )‪ (CBC‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺩﺍﺭﻳﻢ‬
‫‪CBC:‬‬ ‫;)]‪Ci = E (K, [Ci-1 ⊕ Pi‬‬ ‫) ‪Pi = Ci-1 ⊕ D (K, Ci‬‬

‫‪CFB:‬‬ ‫;)‪Ci = Pi ⊕ E (K, Ci-1‬‬ ‫)‪Pi = Ci ⊕ E (K, Ci-1‬‬
‫ﺑﻨﻈﺮ ﻣﻲﺭﺳﺪ ﻛﻪ ﻫــﺮ ﺩﻭ ﺭﻭﺵ ﺍﻣﻨﻴﺖ ﻳﻜﺴﺎﻧﻲ ﺭﺍ ﻓﺮﺍﻫـﻢ ﻣﻲﺳﺎﺯﻧﺪ‪ .‬ﺩﻟﻴﻠﻲ ﺍﺭﺍﺋﻪ ﻛﻨﻴﺪ ﻛﻪ ﭼﺮﺍ ‪ PGP‬ﺍﺯ ﻣُﻮﺩ ‪ CFB‬ﺍﺳـﺘﻔﺎﺩﻩ‬
‫ﺩﺭ ﺭﻭﺵ ‪ ،PGP‬ﺗﻌﺪﺍﺩ ﻣﻮﺭﺩ ﺍﻧﺘﻈﺎﺭ ﻛﻠﻴﺪﻫﺎﻱ ﺍﺟﻼﺱ ﺗﻮﻟﻴﺪ ﺷﺪﻩ‪ ،‬ﻗﺒﻞ ﺍﺯ ﺗﻜﺮﺍﺭ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻗﺒﻼﹰ ﺧﻠﻖ ﺷﺪﻩ‪ ،‬ﭼﻘﺪﺭ ﺍﺳﺖ؟‬ ‫‪۵-۲‬‬
‫ﺩﺭ ‪ ،PGP‬ﺍﺣﺘﻤﺎﻝ ﺍﻳﻨﻜﻪ ﻛﺎﺭﺑﺮﻱ ﺑﺎ ‪ N‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‪ ،‬ﺣﺪﺍﻗﻞ ﻳﻚ ‪ ID‬ﻛﻠﻴﺪ ﺗﻜﺮﺍﺭﻱ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﭼﻘﺪﺭ ﺍﺳﺖ؟‬ ‫‪۵-۳‬‬
‫ﺍﻭﻟﻴﻦ ‪ ۱۶‬ﺑﻴﺖ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺩﺭ ﻳﻚ ﺍﻣﻀﺎﺀ ‪ PGP‬ﺑﺼﻮﺭﺕ ‪ clear‬ﺗﻔﺴﻴﺮ ﻣﻲﮔﺮﺩﺩ‪.‬‬ ‫‪۵-۴‬‬
‫ﺍﻟﻒ‪ -‬ﺍﻳﻦ ﺍﻣﺮ ﺗﺎ ﭼﻪ ﺣﺪ ﺍﻣﻨﻴﺖ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ hash‬ﺭﺍ ﺯﻳﺮ ﺳﺆﺍﻝ ﻣﻲﺑﺮﺩ؟‬
‫ﺏ‪ -‬ﺍﻳﻦ ﺍﻣﺮ ﻭﺍﻗﻌﺎﹰ ﺗﺎ ﭼﻪ ﺣﺪ ﻣﻘﺼﻮﺩ ﺭﺍ ﻛﻪ ﻫﻤﺎﻧﺎ ﻛﻤﻚ ﺑﻪ ﺩﺭﻙ ﺍﻳﻦ ﻣﻄﻠﺐ ﺍﺳﺖ ﻛﻪ ﺁﻳﺎ ﻛﻠﻴﺪ ﺻﺤﻴﺢ ‪ RSA‬ﺑﺮﺍﻱ‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﭼﻜﻴﺪﻩ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺍﺳﺖ‪ ،‬ﺑﺮﺁﻭﺭﺩﻩ ﻣﻲﻧﻤﺎﻳﺪ؟‬
‫ﺩﺭ ﺷﻜﻞ ‪ ۵-۴‬ﻫﺮ ﻗﻠﻢ ﺩﺭ ﺩﺳﺘﻪﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺷﺎﻣﻞ ﻳﻚ ﻣﻴﺪﺍﻥ ‪ trust‬ﺍﺳﺖ ﻛﻪ ﻣﻴﺰﺍﻥ ﺍﻋﺘﻤﺎﺩ ﻣﺮﺗﺒﻂ ﺑﺎ ﺻﺎﺣﺐ ﺍﻳﻦ‬ ‫‪۵-۵‬‬
‫ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﭼﺮﺍ ﺍﻳﻦ ﻛﺎﻓﻲ ﻧﻴﺴﺖ؟ ﻳﻌﻨﻲ ﺍﮔﺮ ﺍﻳﻦ ﺻﺎﺣﺐ ﻛﻠﻴﺪ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺍﺳﺖ ﻭ ﺍﻳﻦ ﻫﻤﺎﻥ ﻛﻠﻴﺪ‬
‫ﻋﻤﻮﻣﻲ ﺍﻭﺳﺖ‪ ،‬ﭼﺮﺍ ﺍﻳﻦ ﺍﻋﺘﻤﺎﺩ ﺑﺮﺍﻱ ‪ PGP‬ﻛﺎﻓﻲ ﻧﻴﺴﺖ ﺗﺎ ﺍﻳﻦ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺭﺍ ﺑﻜﺎﺭ ﺑﺮﺩ‪.‬‬
‫ﺗﺒﺪﻳﻞ ‪ radix-64‬ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﻧﻮﻋﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﺻﻮﺭﺕ ﻛﻠﻴﺪﻱ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ‪ .‬ﺍﻣﺎ ﻓﺮﺽ ﻛﻨﻴﺪ‬ ‫‪۵-۶‬‬
‫ﻛﻪ ﻳﻚ ﺩﺷﻤﻦ ﺗﻨﻬﺎ ﻣﻲﺩﺍﻧﺪ ﻛﻪ ﻧﻮﻋﻲ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺟﺎﻳﮕﺬﺍﺭﻱ ﺑﺮﺍﻱ ﺭﻣﺰﻛﺮﺩﻥ ﻣﺘﻦ ﺍﻧﮕﻠﻴﺴﻲ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺍﺳﺖ‪ .‬ﺍﻳﻦ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺭ ﺑﺮﺍﺑﺮ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﺗﺎ ﭼﻪ ﺣﺪ ﺍﻣﻦ ﺍﺳﺖ؟‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٩٤‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ 3DES ،IDEA ،Phil Zimmermann ۵-۷‬ﺳﻪ ﻛﻠﻴﺪﻱ ﻭ ‪ CAST-128‬ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬
‫ﺑﺮﺍﻱ ‪ PGP‬ﺑﺮﮔﺰﻳﺪ‪ .‬ﺩﻻﻳﻠﻲ ﺫﻛﺮ ﻛﻨﻴﺪ ﻛﻪ ﭼﺮﺍ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺯﻳﺮ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﻛﺘﺎﺏ ﻣﻮﺭﺩ ﺑﺤﺚ‬
‫ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪﺍﻧﺪ ﺑﺮﺍﻱ ‪ PGP‬ﻣﻨﺎﺳﺐ ﻭ ﻳﺎ ﻧﺎﻣﻨﺎﺳﺐﺍﻧﺪ‪ 3DES ،DES :‬ﺩﻭ ﻛﻠﻴﺪﻱ ﻭ ‪.AES‬‬
‫ﺿﻤﻴﻤﺔ ‪ -۵‬ﺍﻟﻒ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺩﻳﺘﺎ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ZIP‬‬
‫‪ PGP‬ﺍﺯ ﻳﻚ ﺑﺴﺘﺔ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻣﺨﺼﻮﺹ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺑﻨﺎﻡ ‪ ZIP‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪﻛﻪ ﺑﺘﻮﺳﻂ ‪Mark Adler ،Jean-lup Gailly‬‬
‫ﻭ ‪ Richard Wales‬ﻧﻮﺷﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪ ZIP .‬ﻳﻚ ﻧﺮﻡﺍﻓﺰﺍﺭ ﺭﺍﻳﮕﺎﻥ ﺑﻮﺩﻩ ﻛﻪ ﺑﻪ ﺯﺑﺎﻥ ‪ C‬ﻧﻮﺷﺘﻪ ﺷﺪﻩ ﺍﺳﺖ ﻭ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺑﺮﻧﺎﻣﺔ‬
‫ﺳﻮﺩﻣﻨﺪ ﺭﻭﻱ ‪ UNIX‬ﻭ ﺑﻌﻀﻲ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺩﻳﮕﺮ ﺍﺟﺮﺍ ﻣﻲﺷﻮﺩ‪ ZIP .‬ﺍﺯ ﻧﻈﺮ ﻋﻤﻠﻴﺎﺗﻲ ﻣﻌﺎﺩﻝ ‪ PKZIP‬ﺍﺳﺖ ﻛﻪ ﻳﻚ ﺍﺷﺘﺮﺍﻙﺍﻓﺰﺍﺭ‬
‫ﭘﺮﺍﺳﺘﻔﺎﺩﻩ ﺩﺭ ﺳﻴﺴﺘﻢﻫﺎﻱ ‪ Windows‬ﺑﻮﺩﻩ ﻭ ﺑﻪ ﺗﻮﺳﻂ ‪ PKWARE,Inc.‬ﺗﻬﻴﻪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ zip‬ﺷﺎﻳﺪ ﻣﻌﻤﻮﻝﺗﺮﻳﻦ‬
‫ﺗﻜﻨﻴﻚ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺩﺭ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎﻱ ﻣﺘﻔﺎﻭﺕ ﺑﻮﺩﻩ ﻭ ﻧﺴﺨﻪﻫﺎﻱ ﺭﺍﻳﮕﺎﻥ ﻭ ﺍﺷﺘﺮﺍﻛﻲ ﺁﻥ ﺑﺮﺍﻱ ‪ Macintosh‬ﻭ ﺳﺎﻳﺮ ﺳﻴﺴﺘﻢﻫﺎ‬
‫ﺍﺯﺟﻤﻠﻪ ‪ Windows‬ﻭ ‪ UNIX‬ﻣﻮﺟﻮﺩ ﺍﺳﺖ‪.‬‬
‫‪ Zip‬ﻭ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻣﺸﺎﺑﻪ ﺁﻥ ﺍﺯ ﺗﺤﻘﻴﻘﺎﺕ ‪ Jacob Ziv‬ﻭ ‪ Abraham Lempel‬ﺳﺮﭼﺸﻤﻪ ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﺩﺭ ﺳﺎﻝ ‪۱۹۷۷‬‬
‫ﻣﻴﻼﺩﻱ‪ ،‬ﺁﻧﻬﺎ ﺭﻭﺷﻲ ﺭﺍ ﻛﻪ ﺑﺮ ﭘﺎﻳﺔ ﻳﻚ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ﺍﺯ ﻧﻮﻉ ﭘﻨﺠﺮﺓ ﻟﻐﺰﺍﻥ ﻗﺮﺍﺭ ﺩﺍﺷﺘﻪ ﻭ ﺁﺧﺮﻳﻦ ﻣﺘﻦ ﭘﺮﺩﺍﺯﺵ ﺷﺪﻩ ﺭﺍ ﻧﮕﺎﻩ‬
‫ﻣﻲﺩﺍﺷﺖ‪ ،‬ﺗﻮﺻﻴﻒ ﻧﻤﻮﺩﻧﺪ]‪ .[ZIV77‬ﺍﺯ ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﻌﻤﻮﻻﹰ ﺑﺎ ﻧﺎﻡ ‪ LZ77‬ﻳﺎﺩ ﻣﻲﺷﻮﺩ‪ .‬ﻧﺴﺨﻪﺍﻱ ﺍﺯ ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺩﺭ ﺭﻭﺵ‬
‫ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ‪ zip‬ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ )‪ zipit ،gzip ،PKZIP‬ﻭ ﻏﻴﺮﻩ(‪.‬‬
‫‪ LZ77‬ﻭ ﺍﻧﻮﺍﻉ ﺩﻳﮕﺮ ﺁﻥ ﺍﺯ ﺍﻳﻦ ﻭﺍﻗﻌﻴﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﻛﻠﻤﺎﺕ ﻭ ﺟﻤﻼﺕ ﻳﻚ ﻣﺘﻦ )ﺻﻮﺭ ﺗﺼﻮﻳﺮﻱ ﺩﺭ ﻣﻮﺭﺩ ‪(GIF‬‬
‫ﺩﺍﺭﺍﻱ ﺗﻜﺮﺍﺭﻫﺎﻱ ﺍﺣﺘﻤﺎﻟﻲ ﻫﺴﺘﻨﺪ‪ .‬ﻭﻗﺘﻲ ﺗﻜﺮﺍﺭ ﻭﺍﻗﻊ ﻣﻲﺷﻮﺩ‪ ،‬ﺭﺩﻳﻒ ﺗﻜﺮﺍﺭﺷﺪﻩ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﻳﻚ ﻛﹸﺪ ﻛﻮﺗﺎﻩ ﺟﺎﻳﮕﺰﻳﻦ ﻧﻤﻮﺩ‪ .‬ﺑﺮﻧﺎﻣﺔ‬
‫ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺑﻪ ﺩﻧﺒﺎﻝ ﭼﻨﻴﻦ ﺗﻜﺮﺍﺭﻫﺎﺋﻲ ﮔﺸﺘﻪ ﻭ ﻛﹸﺪﻫﺎﺋﻲ ﺭﺍ ﺑﺮﺍﻱ ﺟﺎﻳﮕﺰﻳﻨﻲ ﺩﻧﺒﺎﻟﻪﻫﺎﻱ ﺗﻜﺮﺍﺭﺷﺪﻩ ﺗﻮﻟﻴﺪ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺩﺭ ﻃﻮﻝ ﺯﻣﺎﻥ ﺍﺯ‬
‫ﻛﹸﺪﻫﺎ ﺑﺮﺍﻱ ﭘﻴﺪﺍﻛﺮﺩﻥ ﺩﻧﺒﺎﻟﻪﻫﺎﻱ ﺟﺪﻳﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﺎﻳﺴﺘﻲ ﺑﻨﺤﻮﻱ ﺗﻌﺮﻳﻒ ﺷﻮﺩ ﻛﻪ ﺑﺮﻧﺎﻣﺔ ﺑﺎﺯﻛﻨﻨﺪﻩ ﻗﺎﺩﺭ ﺑﻪ‬
‫ﻛﹸﺪﮔﺸﺎﺋﻲ ﻭ ﺑﺎﺯﻳﺎﺑﻲ ﻣﺘﻦ ﺍﺻﻠﻲ ﺩﺍﺩﻩﻫﺎ ﺑﺎﺷﺪ‪.‬‬
‫ﻗﺒﻞ ﺍﺯ ﻣﻄﺎﻟﻌﺔ ﺟﺰﺋﻴﺎﺕ ‪ LZ77‬ﺍﺟﺎﺯﻩ ﺩﻫﻴﺪ ﺗﺎ ﺑﻪ ﻳﻚ ﻣﺜﺎﻝ ﺳﺎﺩﻩ ﺑﭙﺮﺩﺍﺯﻳﻢ‪ .‬ﺟﻤﻠﺔ ﺑﻲﻣﻌﻨﻲ ﺯﻳﺮ ﺭﺍ‬
‫‪the brown fox jumped over the brown foxy jumping frog‬‬
‫ﻛﻪ ﺩﺍﺭﺍﻱ ﻃﻮﻝ ‪ ۵۳‬ﺍﹸﻛﺘﺖ = ‪ ۴۲۴‬ﺑﻴﺖ ﺍﺳﺖ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ )ﺍﻳﻦ ﻣﺜﺎﻝ ﺍﺯ]‪ [WEIS93‬ﺍﻗﺘﺒﺎﺱ ﺷـﺪﻩ ﺍﺳـﺖ(‪ .‬ﺍﻟﮕـﻮﺭﻳﺘﻢ‬
‫ﺍﻳﻦ ﻣﺘﻦ ﺭﺍ‪ ،‬ﺍﺯ ﭼﭗ ﺑﻪ ﺭﺍﺳﺖ ﭘﺮﺩﺍﺯﺵ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﺍﺑﺘﺪﺍ ﻫﺮ ﻛﺎﺭﺍﻛﺘﺮ ﺑﺼﻮﺭﺕ ﻳﻚ ﭘﺘﺮﻥ ‪ -۹‬ﺑﻴﺘﻲ ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ﺑﻴﺖ ‪ 1‬ﻭ ﺑﻪ ﺩﻧﺒﺎﻝ‬
‫ﺁﻥ ﻧﻤﺎﻳﺶ ‪ -۸‬ﺑﻴﺘﻲ ﻛﹸﺪ ‪ ASCII‬ﺁﻥ ﻛﺎﺭﺍﻛﺘﺮ ﺍﺳﺖ ﺩﺭ ﻣﻲﺁﻳﺪ‪ .‬ﻫﻤﻴﻦﻃﻮﺭ ﻛﻪ ﭘﺮﺩﺍﺯﺵ ﺍﺩﺍﻣﻪ ﻣﻲﻳﺎﺑﺪ‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﻪ ﺩﻧﺒﺎﻝ ﺩﻧﺒﺎﻟﻪﻫﺎﻱ‬
‫ﺗﻜﺮﺍﺭﻱ ﻣﻲﮔﺮﺩﺩ‪ .‬ﻭﻗﺘﻲ ﺑﻪ ﻳﻚ ﺗﻜﺮﺍﺭ ﺑﺮﺧﻮﺭﺩ ﻣﻲﻛﻨﺪ‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﻪ ﺍﺳﻜﻦ ﺧﻮﺩ ﺍﺩﺍﻣﻪ ﺩﺍﺩﻩ ﺗﺎ ﺗﻜﺮﺍﺭ ﺧﺎﺗﻤﻪ ﻳﺎﺑﺪ‪ .‬ﺑﻌﺒﺎﺭﺕ ﺩﻳﮕﺮ ﻫﺮﺑﺎﺭ‬
‫ﺗﻜﺮﺍﺭﻱ ﻭﺍﻗﻊ ﻣﻲﺷﻮﺩ‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﻫﺮ ﺗﻌﺪﺍﺩ ﻛﺎﺭﺍﻛﺘﺮ ﺭﺍ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺟـﺎﻳﮕﺰﻳﻦ ﻣـﻲﻛﻨـﺪ‪ .‬ﺍﻭﻟـﻴﻦ ﺩﻧﺒﺎﻟـﺔ ﺗﻜـﺮﺍﺭﻱ ﺩﺭ ﺟﻤﻠـﺔ ﺑـﺎﻻ‪،‬‬
‫‪ the brown fox‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺩﻧﺒﺎﻟﻪ ﺑﺘﻮﺳﻂ ﻳﻚ ﻧﺸﺎﻧﮕﺮ ﺑﻪ ﺩﻧﺒﺎﻟﺔ ﻗﺒﻠﻲ ﻭ ﻫﻤﭽﻨﻴﻦ ﻃﻮﻝ ﺩﻧﺒﺎﻟﻪ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﺍﻳـﻦ ﻣـﻮﺭﺩ‪،‬‬
‫ﺩﻧﺒﺎﻟﺔ ﻗﺒﻠﻲ ‪ the brown fox‬ﺩﺭ ‪ ۲۶‬ﻛﺎﺭﺍﻛﺘﺮ ﻗﺒﻞ ﻭﺍﻗﻊ ﺷﺪﻩ ﻭ ﻃﻮﻝ ﺩﻧﺒﺎﻟﺔ ﺗﻜﺮﺍﺭﺷﺪﻩ ‪ ۱۳‬ﻛﺎﺭﺍﻛﺘﺮ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﺜـﺎﻝ‪ ،‬ﺩﻭ ﺭﺍﻩ‬
‫ﺣﻞ ﺑﺮﺍﻱ ﻛﹸﺪﻳﻨﮓ ﺗﺼﻮﺭ ﻛﻨﻴﺪ‪ :‬ﻳﻚ ﻧﺸﺎﻧﮕﺮ ‪ -۸‬ﺑﻴﺘﻲ ﻭ ﻳﻚ ﻃﻮﻝ ‪ -۴‬ﺑﻴﺘﻲ‪ ،‬ﻳﺎ ﻳﻚ ﻧﺸﺎﻧﮕﺮ ‪ -۱۲‬ﺑﻴﺘﻲ ﻭ ﻳـﻚ ﻃـﻮﻝ ‪ -۶‬ﺑﻴﺘـﻲ‪ .‬ﻳـﻚ‬
‫ﺳﺮﺁﻳﻨﺪ‪ -۲‬ﺑﻴﺘﻲ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﻛﺪﺍﻡ ﺭﻭﺵ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺍﺳﺖ‪ 00 ،‬ﻧﻤـﺎﻳﺶﺩﻫﻨـﺪﺓ ﺭﻭﺵ ﺍﻭﻝ ﻭ ‪ 01‬ﻧﻤـﺎﻳﺶﺩﻫﻨـﺪﺓ ﺭﻭﺵ ﺩﻭﻡ‬
‫ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺩﻭﻣﻴﻦ ﻭﻗﻮﻉ ‪ the brown fox‬ﺑﺼﻮﺭﺕ >‪ <00b><26d><13d‬ﻭ ﻳﺎ ‪ 00 00011010 1101‬ﻛﹸﺪ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪١٩٥‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺑﺨﺶﻫﺎﻱ ﺑﺎﻗﻴﻤﺎﻧﺪﺓ ﭘﻴﺎﻡ ﻓﺸﺮﺩﻩ ﺷﺪﻩ‪ ،‬ﺣﺮﻑ ‪ ،y‬ﺩﻧﺒﺎﻟﺔ >‪ <00b><27d><5d‬ﻛﻪ ﺟﺎﻳﮕﺰﻳﻦ ﺩﻧﺒﺎﻟﺔ ﺷﺎﻣﻞ ﻛﺎﺭﺍﻛﺘﺮ ‪space‬‬
‫ﻭ ﺑﻪ ﺩﻧﺒﺎﻝ ﺁﻥ ‪ jump‬ﻣﻲﺷﻮﺩ ﻭ ﺩﻧﺒﺎﻟﺔ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ‪ ing frog‬ﺍﺳﺖ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﺷﻜﻞ ‪ ۵-۹‬ﻧﮕﺎﺷﺖ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﭘﻴﺎﻡ ﻓﺸﺮﺩﻩ ﺷﺪﻩ ﺷﺎﻣﻞ ‪ ۳۵‬ﻛﺎﺭﺍﻛﺘﺮ ‪ -۹‬ﺑﻴﺘﻲ ﻭ ﺩﻭ ﻛﹸﺪ ﺍﺳـﺖ ﻛـﻪ ﻋﻤـﻼﹰ‬
‫‪ ۳۵ × ۹ + ۲ × ۱۴ =۳۴۳‬ﺑﻴﺖ ﻣﻲﺷﻮﺩ‪ .‬ﺍﮔﺮ ﺍﻳﻦ ﭘﻴﺎﻡ ﻓﺸﺮﺩﻩ ﺷﺪﻩ ﺭﺍ ﺑﺎ ﭘﻴﺎﻡ ﻓﺸﺮﺩﻩ ﻧـﺸﺪﺓ ﺍﺻـﻠﻲ ﻛـﻪ ﺷـﺎﻣﻞ ‪ ۴۲۴‬ﺑﻴـﺖ ﺍﺳـﺖ‬
‫ﻣﻘﺎﻳﺴﻪ ﻛﻨﻴﻢ‪ ،‬ﻧﺴﺒﺖ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺑﺮﺍﺑﺮ ‪ ۱/۲۴‬ﺑﺪﺳﺖ ﻣﻲﺁﻳﺪ‪.‬‬
‫‪the brown fox jumped over the brown foxy jumping frog‬‬
‫‪13‬‬ ‫‪5‬‬
‫‪26‬‬
‫‪27‬‬
‫‪the brown fox jumped over‬‬ ‫‪0b26d13d‬‬ ‫‪y‬‬ ‫‪0b27d5d‬‬ ‫‪ing frog‬‬
‫ﻣﺜﺎﻟﻲ ﺍﺯ ﺭﻭﺵ ‪LZ77‬‬ ‫ﺷﻜﻞ‪۵-۹‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ‬
‫ﺍﻟﮕــﻮﺭﻳﺘﻢ ﻓــﺸﺮﺩﻩﺳــﺎﺯﻱ ‪ LZ77‬ﻭ ﺍﻧــﻮﺍﻉ ﻣﺘﻨــﻮﻉ ﺩﻳﮕــﺮ ﺁﻥ ﺍﺯ ﺩﻭ ﺣﺎﻓﻈــﺔ ﻣﻮﻗــﺖ ﺍﺳــﺘﻔﺎﺩﻩ ﻣــﻲﻛﻨﻨ ـﺪ‪ .‬ﻳــﻚ ﺣﺎﻓﻈــﺔ ﻣﻮﻗ ـﺖ‬
‫‪ sliding history‬ﺷﺎﻣﻞ ﺁﺧﺮﻳﻦ ‪ N‬ﻛﺎﺭﺍﻛﺘﺮ ﻣﻨﺒﻊ ﻛﻪ ﻣﻮﺭﺩ ﭘﺮﺩﺍﺯﺵ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪﺍﻧﺪ ﺑﻮﺩﻩ ﻭ ﻳﻚ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ‪look-ahead‬‬
‫ﻛﻪ ﺷﺎﻣﻞ ‪ L‬ﻛﺎﺭﺍﻛﺘﺮ ﺑﻌﺪﻱ ﺍﺳﺖ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﭘﺮﺩﺍﺯﺵ ﺷﻮﻧﺪ )ﺷﻜﻞ‪۵-۱۰‬ﺍﻟﻒ(‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺗﻼﺵ ﻣﻲﻛﻨﺪ ﺗﺎ ﺩﻭ ﻳـﺎ ﭼﻨـﺪ ﻛـﺎﺭﺍﻛﺘﺮ ﺍﺯ‬
‫ﺷﺮﻭﻉ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ‪ look-ahead‬ﺭﺍ ﺑﺎ ﻳﻚ ﺩﻧﺒﺎﻟﻪ ﺩﺭ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ‪ sliding history‬ﺗﻄﺒﻴﻖ ﺩﻫﺪ‪ .‬ﺍﮔﺮ ﭼﻨـﻴﻦ ﺗﻄﺒﻴﻘـﻲ ﻳﺎﻓـﺖ‬
‫ﻧﺸﻮﺩ‪ ،‬ﺍﻭﻟﻴﻦ ﻛﺎﺭﺍﻛﺘﺮ ﺩﺭ ﺣﺎﻓﻈﺔ ‪ look-ahead‬ﺑﺼﻮﺭﺕ ﻳﻚ ﻛﺎﺭﺍﻛﺘﺮ ‪ -۹‬ﺑﻴﺘﻲ ﺧﺎﺭﺝ ﺷﺪﻩ ﻭ ﺑـﻪ ﺩﺭﻭﻥ ﭘﻨﺠـﺮﺓ ﻟﻐـﺰﺍﻥ ﺷـﻴﻔﺖ ﺩﺍﺩﻩ‬
‫ﻣﻲﺷﻮﺩ ﻭ ﺍﺯﺁﻥ ﻃﺮﻑ ﻗﺪﻳﻤﻲﺗﺮﻳﻦ ﻛﺎﺭﺍﻛﺘﺮ ﺩﺭﻭﻥ ﭘﻨﺠﺮﺓ ﻟﻐﺰﺍﻥ ﻧﻴﺰ ﺑﻴﺮﻭﻥ ﺭﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺍﮔﺮ ﺗﻄﺒﻴﻘﻲ ﻳﺎﻓﺖ ﺷﻮﺩ‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﻪ ﺍﺳﻜﻦ‬
‫ﻛﺮﺩﻥ ﺍﺩﺍﻣﻪ ﺩﺍﺩﻩ ﺗﺎ ﻃﻮﻳﻞﺗﺮﻳﻦ ﺗﻄﺒﻴﻖ ﺭﺍ ﭘﻴﺪﺍ ﻛﻨﺪ‪ .‬ﺁﻧﮕﺎﻩ ﺩﻧﺒﺎﻟﺔ ﺗﻄﺒﻴﻖ ﻳﺎﻓﺘﻪ ﺑﺼﻮﺭﺕ ﻳﻚ ﻣﻴﺪﺍﻥ ﺳﻪﺗﺎﺋﻲ )ﻧﻤﺎﻳﺸﮕﺮ‪ ،‬ﻧﺸﺎﻧﮕﺮ‪ ،‬ﻃـﻮﻝ(‬
‫ﺧﺎﺭﺝ ﻣﻲﺷﻮﺩ‪ .‬ﺑﺮﺍﻱ ﻳﻚ ﺩﻧﺒﺎﻟﺔ ‪ K‬ﺗﺎﺋﻲ‪ ،‬ﻗﺪﻳﻤﻲﺗﺮﻳﻦ ‪ K‬ﻛﺎﺭﺍﻛﺘﺮ ﻣﻮﺟﻮﺩ ﺩﺭ ﭘﻨﺠﺮﺓ ﻟﻐﺰﺍﻥ ﺑﻴﺮﻭﻥ ﺭﺍﻧـﺪﻩ ﺷـﺪﻩ ﻭ ‪ K‬ﻛـﺎﺭﺍﻛﺘﺮ ﺩﻧﺒﺎﻟـﺔ‬
‫ﻛﹸﺪﺷﺪﻩ ﺑﻪ ﺩﺍﺧﻞ ﭘﻨﺠﺮﻩ ﺭﺍﻧﺪﻩ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫ﺷﻜﻞ ‪۵-۱۰‬ﺏ ﺍﻳﻦ ﻋﻤﻠﻴﺎﺕ ﺭﺍ ﺑﺮ ﺭﻭﻱ ﺩﻧﺒﺎﻟﺔ ﻣﺜﺎﻝ ﻣﺎ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻧﻤﺎﻳﺶ ﻳﻚ ﭘﻨﺠـﺮﺓ ﻟﻐـﺰﺍﻥ ‪-۳۹‬ﻛـﺎﺭﺍﻛﺘﺮﻱ ﻭ‬
‫ﻳﻚ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ‪ look-ahead‬ﺑﺎ ‪ ۱۳‬ﻛﺎﺭﺍﻛﺘﺮ ﺩﺭ ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﺪﻩﺍﻧﺪ‪ .‬ﺑﺨﺶ ﺑﺎﻻﻱ ﺷﻜﻞ‪ ،‬ﺍﻭﻟـﻴﻦ ‪ ۴۰‬ﻛـﺎﺭﺍﻛﺘﺮ ﭘـﺮﺩﺍﺯﺵ ﺷـﺪﻩ ﻭ‬
‫ﻧﺴﺨﺔ ﻓﺸﺮﺩﻩ ﻧﺸﺪﺓ ﺍﺧﻴﺮﺗﺮﻳﻦ ‪ ۳۹‬ﻛﺎﺭﺍﻛﺘﺮ ﺩﺭ ﺩﺍﺧﻞ ﭘﻨﺠﺮﺓ ﻟﻐﺰﺍﻥ ﺍﺳﺖ‪ .‬ﺑﻘﻴﺔ ﻛﺎﺭﺍﻛﺘﺮﻫـﺎﻱ ﻣﻨﺒـﻊ ﺩﺭ ﭘﻨﺠـﺮﺓ ‪ look-ahead‬ﻗـﺮﺍﺭ‬
‫ﺩﺍﺭﻧﺪ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺗﻄﺒﻴﻖ ﺑﻌﺪﻱ ﺭﺍ ﺗﻌﻴﻴﻦ ﻧﻤﻮﺩﻩ‪ ۵ ،‬ﻛﺎﺭﺍﻛﺘﺮ ﺭﺍ ﺍﺯ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ‪ look-ahead‬ﺑﻪ ﺩﺍﺧـﻞ ﭘﻨﺠـﺮﺓ ﻟﻐـﺰﺍﻥ‬
‫ﺭﺍﻧﺪﻩ ﻭ ﻛﹸﺪ ﺧﺮﻭﺟﻲ ﺍﻳﻦ ﺩﻧﺒﺎﻟﻪ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪ .‬ﻭﺿﻌﻴﺖ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ﭘﺲ ﺍﺯ ﺍﻳﻦ ﻋﻤﻠﻴﺎﺕ ﺩﺭ ﻗـﺴﻤﺖ ﭘـﺎﺋﻴﻦ ﺷـﻜﻞ ﻧـﺸﺎﻥ ﺩﺍﺩﻩ‬
‫ﺩﺭ ﺣﺎﻟﻴﻜﻪ ‪ LZ77‬ﻣﻔﻴﺪ ﺑﻮﺩﻩ ﻭ ﺳﻌﻲ ﺩﺭ ﺗﻄﺒﻴﻖ ﺧﻮﺩ ﺑﺎ ﻣﺎﻫﻴﺖ ﺩﺍﺩﻩﻫﺎﻱ ﻭﺭﻭﺩﻱ ﺩﺍﺭﺩ‪ ،‬ﻭﻟﻲ ﺩﺍﺭﺍﻱ ﻧﻘﺎﻁ ﺿﻌﻔﻲ ﻧﻴـﺰ ﻫـﺴﺖ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﺮﺍﻱ ﺟﺴﺘﺠﻮ ﻭ ﺗﻄﺒﻴﻖ ﺩﺭ ﻣﺘﻦ ﻗﺒﻠﻲ ﺍﺯ ﻳﻚ ﭘﻨﺠﺮﺓ ﻣﺤﺪﻭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﻳﻚ ﺑﻠﻮﻙ ﺧﻴﻠـﻲ ﻃـﻮﻻﻧﻲ ﺍﺯ ﻣـﺘﻦ‪ ،‬ﻛـﻪ‬
‫ﻗﺎﺑﻞ ﻣﻘﺎﻳﺴﻪ ﺑﺎ ﺍﻧﺪﺍﺯﺓ ﭘﻨﺠﺮﻩ ﺑﺎﺷﺪ‪ ،‬ﺧﻴﻠﻲ ﺍﺯ ﺗﻄﺒﻴﻖﻫﺎﻱ ﻣﺆﺛﺮ ﺣﺬﻑ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﻧﺪﺍﺯﺓ ﭘﻨﺠﺮﻩ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺍﻓـﺰﺍﻳﺶ ﺩﺍﺩ ﻭﻟـﻲ ﺍﻳـﻦ ﺍﻣـﺮ‬
‫ﺷﺎﻣﻞ ﺩﻭ ﭘﻨﺎﻟﺘﻲ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ (۱) :‬ﺯﻣﺎﻥ ﭘﺮﺩﺍﺯﺵ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻓﺰﺍﻳﺶ ﻣﻲﻳﺎﺑﺪ ﺯﻳﺮﺍ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ﻫﺮ ﻣﻜﺎﻥ ﭘﻨﺠﺮﺓ ﻟﻐـﺰﺍﻥ ﻳـﻚ‬
‫ﻣﻘﺎﻳﺴﺔ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺑﺎ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ‪ look-ahead‬ﺍﻧﺠﺎﻡ ﺩﻫﺪ ﻭ )‪ ( ۲‬ﻣﻴﺪﺍﻥ> ﻧﺸﺎﻧﮕﺮ < ﺑﺎﻳﺴﺘﻲ ﻭﺳﻴﻊﺗﺮ ﺑﻮﺩﻩ ﺗﺎ ﭘﺮﺵﻫﺎﻱ ﺑﺰﺭﮔﺘﺮﻱ‬
‫ﺭﺍ ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﺳﺎﺯﺩ‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٩٦‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪Shift‬‬
‫‪source text‬‬
‫‪Discard‬‬ ‫‪Sliding history buffer‬‬ ‫‪Look-ahead‬‬
‫‪buffer‬‬ ‫‪Source‬‬
‫‪Output‬‬
‫‪compressed text‬‬
‫)ﺍﻟﻒ( ﺳﺎﺧﺘﺎﺭ ﻋﻤﻮﻣﻲ‬
‫‪he brown fox jumped over the brown foxy‬‬ ‫‪jumping frog‬‬
‫‪own fox jumped over the brown foxy jump‬‬ ‫‪ing frog‬‬
‫)ﺏ( ﻣﺜﺎﻝ‬
‫ﺭﻭﺵ ‪LZ77‬‬ ‫ﺷﻜﻞ ‪۵-۱۰‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﻌﻜﻮﺱ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ‬
‫ﺍﺯ ﻓﺸﺮﺩﮔﻲ ﺧﺎﺭﺝ ﻛﺮﺩﻥ ﻳﻚ ﻣﺘﻦ ﻓﺸﺮﺩﻩ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪ LZ77‬ﻛﺎﺭ ﺳﺎﺩﻩﺍﻱﺍﺳﺖ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻳﻦ ﻋﻤﻞ ﺑﺎﻳـﺴﺘﻲ ﺁﺧـﺮﻳﻦ ‪ N‬ﻛـﺎﺭﺍﻛﺘﺮ‬
‫ﺧﺮﻭﺟﻲ ﺑﺎﺯﺷﺪﻩ ﺭﺍ ﺫﺧﻴﺮﻩ ﻧﻤﺎﻳﺪ‪ .‬ﻭﻗﺘﻲ ﺑﻪ ﻳﻚ ﺩﻧﺒﺎﻟﺔ ﻛﹸﺪﺷﺪﻩ ﺑﺮﺧﻮﺭﺩ ﻣﻲﺷﻮﺩ‪ ،‬ﺍﻟﮕـﻮﺭﻳﺘﻢ ﺑﺎﺯﻛﻨﻨـﺪﻩ ﺍﺯ ﻣﻴـﺪﺍﻥﻫـﺎﻱ> ﻧـﺸﺎﻧﮕﺮ< ﻭ‬
‫> ﻃﻮﻝ< ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﻛﹸﺪ ﺭﺍ ﺑﺎ ﺩﻧﺒﺎﻟﺔ ﻭﺍﻗﻌﻲ ﻣﺘﻦ ﺟﺎﻳﮕﺰﻳﻦ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﺗﺒﺪﻳﻞ ‪Radix-64‬‬ ‫ﺿﻤﻴﻤﺔ ‪ -۵‬ﺏ‬
‫ﻫﻢ ‪ PGP‬ﻭ ﻫﻢ ‪ S/MIME‬ﺍﺯ ﻳﻚ ﺭﻭﺵ ﻛﹸﺪﻳﻨﮓ ﻛﻪ ﺗﺒﺪﻳﻞ ‪ radix-64‬ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺍﻳﻦ ﺗﻜﻨﻴﻚ ﻫﺮ‬
‫ﻭﺭﻭﺩﻱ ﺑﺎﻳﻨﺮﻱ ﺩﻟﺨﻮﺍﻩ ﺭﺍ ﺑﻪ ﺧﺮﻭﺟﻲﻫﺎﻱ ﻗﺎﺑﻞ ﭼﺎﭖ ﺗﺒﺪﻳﻞ ﻣﻲﻛﻨﺪ‪ .‬ﻓﺮﻡ ﻛﹸﺪﻛﺮﺩﻥ ﺩﺍﺭﺍﻱ ﺧﺼﻮﺻﻴﺎﺕ ﻣﺮﺗﺒﻂ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﺑﺮﺩ ﺗﺎﺑﻊ ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﺍﺯ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﺳﺖ ﻛﻪ ﺑﻄﻮﺭ ﺟﻬﺎﻧﻲ ﺩﺭ ﻫﺮ ﺳﺎﻳﺘﻲ ﻗﺎﺑﻞ ﻧﻤﺎﻳﺶ ﺍﺳﺖ ﻭ ﻧﻪ ﻳﻚ ﻛﹸﺪ ﺑﺎﻳﻨﺮﻱ ﺧﺎﺹ ﺍﺯ‬
‫ﺍﻳﻦ ﻣﺠﻤﻮﻋﺔ ﻛﺎﺭﺍﻛﺘﺮﻱ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺧﻮﺩ ﻛﺎﺭﺍﻛﺘﺮﻫﺎ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺘﻮﺳﻂ ﻳﻚ ﺳﻴﺴﺘﻢ ﺧﺎﺹ ﺑﻪ ﻫﺮ ﻓﺮﻣﻲﻛﻪ ﻻﺯﻡ ﺍﺳﺖ ﻛﹸﺪ‬
‫ﺷﻮﻧﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﻛﺎﺭﺍﻛﺘﺮ "‪ "E‬ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﹸﺪ ‪ ASCII‬ﺑﺼﻮﺭﺕ ‪ 45‬ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ ﻭ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ‬
‫ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﹸﺪ ‪ EBCDIC‬ﺑﺼﻮﺭﺕ ‪ C5‬ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪:‬‬
‫‪ -۲‬ﻣﺠﻤﻮﻋﺔ ﻛﺎﺭﺍﻛﺘﺮﻱ ﺷﺎﻣﻞ ‪ ۶۵‬ﻛﺎﺭﺍﻛﺘﺮ ﻗﺎﺑﻞ ﭼﺎﭖ ﺍﺳﺖ ﻛﻪ ﻳﻜﻲ ﺍﺯ ﺁﻧﻬﺎ ﺑﺮﺍﻱ ﻻﺋﻲ )‪ (padding‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﺑﺎ‬
‫‪ ۲۶=۶۴‬ﻛﺎﺭﺍﻛﺘﺮ ﻣﻮﺟﻮﺩ‪ ،‬ﻫﺮ ﻛﺎﺭﺍﻛﺘﺮ ﻣﻴﺘﻮﺍﻧﺪ ﺑﺮﺍﻱ ﻧﻤﺎﻳﺶ ‪ ۶‬ﺑﻴﺖ ﻭﺭﻭﺩﻱ ﺑﻜﺎﺭ ﺭﻭﺩ‪.‬‬
‫‪ -۳‬ﻫﻴﭻ ﻛﺎﺭﺍﻛﺘﺮ ﻛﻨﺘﺮﻟﻲ ﺩﺭ ﻣﺠﻤﻮﻋﻪ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻳﻚ ﭘﻴﺎﻡ ﻛﹸﺪﺷﺪﻩ ﺑﺼﻮﺭﺕ ‪ radix-64‬ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ‬
‫ﭘﺴﺘﻲ ﻛﻪ ﺩﻧﺒﺎﻟﺔ ﺩﻳﺘﺎ ﺭﺍ ﺑﻤﻨﻈﻮﺭ ﻳﺎﻓﺘﻦ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ﻛﻨﺘﺮﻟﻲ ﺍﺳﻜﻦ ﻣﻲﻛﻨﺪ ﺑﻪ ﺟﻠﻮ ﺭﺍﻧﺪﻩ ﺷﻮﺩ‪.‬‬
‫‪ -۴‬ﻛﺎﺭﺍﻛﺘﺮ ﺧﻂ ﻓﺎﺻﻠﻪ ) "‪ ( "-‬ﺑﻜﺎﺭ ﻧﻤﻲﺭﻭﺩ‪ .‬ﺍﻳﻦ ﻛﺎﺭﺍﻛﺘﺮ ﺩﺭ ‪ RFC 822‬ﺩﺍﺭﺍﻱ ﺍﺳﺘﻔﺎﺩﺓ ﺧﺎﺹ ﺑﻮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﺎﻳﺴﺘﻲ ﺩﺭ‬
‫ﺍﻳﻨﺠﺎ ﺍﺯ ﺁﻥ ﭘﺮﻫﻴﺰ ﺷﻮﺩ‪.‬‬
‫‪١٩٧‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻛﹸﺪﻳﻨﮓ ‪Radix-64‬‬ ‫ﺟﺪﻭﻝ ‪۵-۹‬‬
‫‪6-bit‬‬ ‫‪Character‬‬ ‫‪6-bit‬‬ ‫‪Character‬‬ ‫‪6-bit‬‬ ‫‪Character‬‬ ‫‪6-bit‬‬ ‫‪Character‬‬

‫‪value‬‬ ‫‪encoding‬‬ ‫‪value‬‬ ‫‪encoding‬‬ ‫‪value‬‬ ‫‪encoding‬‬ ‫‪value‬‬ ‫‪encoding‬‬
‫‪0‬‬ ‫‪A‬‬ ‫‪16‬‬ ‫‪Q‬‬ ‫‪32‬‬ ‫‪g‬‬ ‫‪48‬‬ ‫‪w‬‬

‫‪1‬‬ ‫‪B‬‬ ‫‪17‬‬ ‫‪R‬‬ ‫‪33‬‬ ‫‪h‬‬ ‫‪49‬‬ ‫‪x‬‬
‫‪2‬‬ ‫‪C‬‬ ‫‪18‬‬ ‫‪S‬‬ ‫‪34‬‬ ‫‪i‬‬ ‫‪50‬‬ ‫‪y‬‬
‫‪3‬‬ ‫‪D‬‬ ‫‪19‬‬ ‫‪T‬‬ ‫‪35‬‬ ‫‪j‬‬ ‫‪51‬‬ ‫‪z‬‬
‫‪4‬‬ ‫‪E‬‬ ‫‪20‬‬ ‫‪U‬‬ ‫‪36‬‬ ‫‪k‬‬ ‫‪52‬‬ ‫‪0‬‬
‫‪5‬‬ ‫‪F‬‬ ‫‪21‬‬ ‫‪V‬‬ ‫‪37‬‬ ‫‪l‬‬ ‫‪53‬‬ ‫‪1‬‬
‫‪6‬‬ ‫‪G‬‬ ‫‪22‬‬ ‫‪W‬‬ ‫‪38‬‬ ‫‪m‬‬ ‫‪54‬‬ ‫‪2‬‬
‫‪7‬‬ ‫‪H‬‬ ‫‪23‬‬ ‫‪X‬‬ ‫‪39‬‬ ‫‪n‬‬ ‫‪55‬‬ ‫‪3‬‬
‫‪8‬‬ ‫‪I‬‬ ‫‪24‬‬ ‫‪Y‬‬ ‫‪40‬‬ ‫‪o‬‬ ‫‪56‬‬ ‫‪4‬‬
‫‪9‬‬ ‫‪J‬‬ ‫‪25‬‬ ‫‪Z‬‬ ‫‪41‬‬ ‫‪p‬‬ ‫‪57‬‬ ‫‪5‬‬
‫‪10‬‬ ‫‪K‬‬ ‫‪26‬‬ ‫‪a‬‬ ‫‪42‬‬ ‫‪q‬‬ ‫‪58‬‬ ‫‪6‬‬
‫‪11‬‬ ‫‪L‬‬ ‫‪27‬‬ ‫‪b‬‬ ‫‪43‬‬ ‫‪r‬‬ ‫‪59‬‬ ‫‪7‬‬
‫‪12‬‬ ‫‪M‬‬ ‫‪28‬‬ ‫‪c‬‬ ‫‪44‬‬ ‫‪s‬‬ ‫‪60‬‬ ‫‪8‬‬
‫‪13‬‬ ‫‪N‬‬ ‫‪29‬‬ ‫‪d‬‬ ‫‪45‬‬ ‫‪t‬‬ ‫‪61‬‬ ‫‪9‬‬
‫‪14‬‬ ‫‪O‬‬ ‫‪30‬‬ ‫‪e‬‬ ‫‪46‬‬ ‫‪u‬‬ ‫‪62‬‬ ‫‪+‬‬
‫‪15‬‬ ‫‪P‬‬ ‫‪31‬‬ ‫‪f‬‬ ‫‪47‬‬ ‫‪v‬‬ ‫‪63‬‬ ‫‪/‬‬
‫)‪(pad‬‬ ‫=‬
‫ﺟﺪﻭﻝ ‪ ۵-۹‬ﻧﮕﺎﺷﺖ ﻣﻘﺎﺩﻳﺮ‪ -۶‬ﺑﻴﺘﻲ ﻭﺭﻭﺩﻱ ﺑﻪ ﻛﺎﺭﺍﻛﺘﺮﻫﺎ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻣﺠﻤﻮﻋﺔ ﻛﺎﺭﺍﻛﺘﺮﻫﺎ ﺷﺎﻣﻞ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ﺣﺮﻓﻲ ﻭ‬
‫ﻋﺪﺩﻱ ﺑﺎﺿﺎﻓﺔ "‪ "+‬ﻭ "‪ "/‬ﺍﺳﺖ‪ .‬ﻛﺎﺭﺍﻛﺘﺮ "=" ﺑﻌﻨﻮﺍﻥ ﻛﺎﺭﺍﻛﺘﺮ ‪ padding‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫ﺷﻜﻞ ‪ ۵-۱۱‬ﺭﻭﺵ ﺳﺎﺩﺓ ﻧﮕﺎﺷﺖ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻭﺭﻭﺩﻱ ﺑﺎﻳﻨﺮﻱ ﺑﺼﻮﺭﺕ ﺑﻠﻮﻙﻫﺎﻱ ‪ -۳‬ﺍﹸﻛﺘﺘﻲ ﻳﺎ ‪ -۲۴‬ﺑﻴﺘﻲ ﭘﺮﺩﺍﺯﺵ‬
‫ﻣﻲﺷﻮﻧﺪ‪ .‬ﻫﺮ ﮔﺮﻭﻩ ‪ -۶‬ﺑﻴﺘﻲ ﺩﺭ ﺑﻠﻮﻙ ‪ -۲۴‬ﺑﻴﺘﻲ ﺑﻪ ﻳﻚ ﻛﺎﺭﺍﻛﺘﺮ ﻧﮕﺎﺷﺖ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﺷﻜﻞ ﻛﺎﺭﺍﻛﺘﺮﻫﺎ ﺑﺼﻮﺭﺕ ﻣﻘﺎﺩﻳﺮ ‪ - ۸‬ﺑﻴﺘﻲ‬
‫ﻛﹸﺪ ﺷﺪﻩﺍﻧﺪ‪ .‬ﺩﺭ ﻣﻮﺍﺭﺩ ﻣﻌﻤﻮﻝ‪ ،‬ﻳﻚ ﻭﺭﻭﺩﻱ ‪ - ۲۴‬ﺑﻴﺘﻲ ﺑﺼﻮﺭﺕ ﻳﻚ ﺧﺮﻭﺟﻲ ‪ - ۳۲‬ﺑﻴﺘﻲ ﺗﻮﺳﻌﻪ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﻣﺜﺎﻝ‪ ،‬ﺩﻧﺒﺎﻟﺔ ﻣﺘﻦ ﺧﺎﻡ ‪ -۲۴‬ﺑﻴﺘﻲ ‪ 00100011 01011100 10010001‬ﻛﻪ ﺩﺭ ﻓﺮﻡ ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺼﻮﺭﺕ‬
‫‪ 235C91‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﻮﺩ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪ .‬ﺍﻳﻦ ﻭﺭﻭﺩﻱ ﺭﺍ ﺑﺼﻮﺭﺕ ﺑﻠﻮﻙﻫﺎﻱ ‪ -۶‬ﺑﻴﺘﻲ ﻣﺮﺗﺐ ﻣﻲﻛﻨﻴﻢ‪:‬‬
‫‪001000 110101 110010 010001‬‬
‫ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﺩﻫﺪﻫﻲ ﻧﻈﻴﺮ ‪ -۶‬ﺑﻴﺘﻲﻫﺎ ‪ ۵۰ ،۵۳ ،۸‬ﻭ ‪ ۱۷‬ﻫﺴﺘﻨﺪ‪ .‬ﺑﺎ ﻣﺮﺍﺟﻌﻪ ﺑﻪ ﺟﺪﻭﻝ ‪ ۵-۹‬ﻛﹸﺪ ‪ radix-64‬ﺍﻳﻦ ﺩﻧﺒﺎﻟﻪ ‪I1yR‬‬
‫ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺍﮔﺮ ﺍﻳﻦ ﻛﺎﺭﺍﻛﺘﺮﻫﺎ ﺑﻪ ﻓﺮﻣﺖ ‪ ASCII‬ﺑﺎ ﺑﻴﺖ ‪ parity‬ﺻﻔﺮ ﻧﮕﺎﺷﺖ ﺷﻮﻧﺪ‪ ،‬ﺧﻮﺍﻫﻴﻢ ﺩﺍﺷﺖ‬
‫‪01001001 0011001 01111001 01010010‬‬
‫ﺩﺭ ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ ﻧﻤﺎﻳﺶ ﺍﻳﻦ ﺩﻧﺒﺎﻟﻪ ﺑﺼﻮﺭﺕ ‪ 49317952‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺑﻄﻮﺭ ﺧﻼﺻﻪ‪،‬‬
‫ﺩﺍﺩﺓ ﻭﺭﻭﺩﻱ‬
‫‪00100011 01011100 10010001‬‬ ‫ﻧﻤﺎﻳﺶ ﺑﺎﻳﻨﺮﻱ‬
‫‪235C91‬‬ ‫ﻧﻤﺎﻳﺶ ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ‬
‫ﻛﹸﺪﻳﻨﮓ ‪ Radix-64‬ﺩﺍﺩﺓ ﻭﺭﻭﺩﻱ‬
‫‪I1yR‬‬ ‫ﻧﻤﺎﻳﺶ ﻋﻼﺋﻢ‬
‫‪01001001 00110001 01111001 01010010‬‬ ‫ﻛﹸﺪ ‪(8 bit,zero parity)ASCII‬‬
‫‪49317952‬‬ ‫ﻧﻤﺎﻳﺶ ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ١٩٨‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪24 bits‬‬
‫‪R64‬‬ ‫‪R64‬‬ ‫‪R64‬‬ ‫‪R64‬‬
‫‪4 characters = 32 bits‬‬
‫ﻛﹸﺪﻳﻨﮓ ﻗﺎﺑﻞ ﭼﺎﭖ ﺩﺍﺩﻩﻫﺎﻱ ﺑﺎﻳﻨﺮﻱ ﺑﻪ ﻓﺮﻣﻲ ‪Radix-64‬‬ ‫ﺷﻜﻞ ‪۵-۱۱‬‬
‫ﺗﻮﻟﻴﺪ ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ ﺩﺭ ‪PGP‬‬ ‫ﺿﻤﻴﻤﺔ ‪ -۵‬ﺝ‬
‫‪ PGP‬ﺍﺯ ﻳﻚ ﺭﻭﺵ ﭘﻴﭽﻴﺪﻩ ﻭ ﻗﺪﺭﺗﻤﻨﺪ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ ﻭ ﺍﻋﺪﺍﺩ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ‪ ،‬ﺑﺮﺍﻱ ﻣﻨﻈﻮﺭﻫﺎﻱ ﻣﺘﻔﺎﻭﺕ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ PGP‬ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ ﺭﺍ ﺍﺯ ﻧﻮﻉ ﻭ ﺯﻣﺎﻥ ﺣﺮﻛﺖ ﻛﻠﻴﺪﻫﺎ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮ‪ ،‬ﻭ ﺍﻋﺪﺍﺩ ﺷﺒﻪ ﺗﺼﺎﺩﻓﻲ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻛﻪ ﻣﺒﺘﻨﻲ‬
‫ﺑﺮ ﺭﻭﺷﻲ ﺩﺭ ‪ ANSI X9.17‬ﺍﺳﺖ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ PGP .‬ﺍﺯ ﺍﻳﻦ ﺍﻋﺪﺍﺩ ﺑﺮﺍﻱ ﻣﻘﺎﺻﺪ ﺯﻳﺮ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪:‬‬
‫ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ ﻭﺍﻗﻌﻲ‪:‬‬ ‫•‬

‫‪ o‬ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﺟﻔﺖ ﻛﻠﻴﺪﻫﺎﻱ ‪RSA‬‬
‫‪ o‬ﺑﻌﻨﻮﺍﻥ ﺑﺬﺭ ﺍﻭﻟﻴﻪ ﺩﺭ ﺗﻮﻟﻴﺪ ﺍﻋﺪﺍﺩ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ‬
‫‪ o‬ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻭﺭﻭﺩﻱ ﺩﻳﮕﺮﻱ ﺩﺭ ﺧﻼﻝ ﺗﻮﻟﻴﺪ ﺍﻋﺪﺍﺩ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ‬
‫ﺍﻋﺪﺍﺩ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ‪:‬‬ ‫•‬
‫‪ o‬ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪﻛﻠﻴﺪﻫﺎﻱ ﺍﺟﻼﺱ‬
‫‪ o‬ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﺑﺮﺩﺍﺭﻫﺎﻱ ﺷﺮﻭﻉ )‪ (IV‬ﻫﻤﺮﺍﻩ ﺑﺎ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺩﺭ ﻣُﻮﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪CFB‬‬
‫ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ ﻭﺍﻗﻌﻲ‬

‫‪ PGP‬ﻳﻚ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ‪ -۲۵۶‬ﺑﺎﻳﺘﻲ ﺍﺯ ﺑﻴﺖﻫﺎﻱ ﺗﺼﺎﺩﻓﻲ ﺭﺍ ﻧﮕﺎﻩ ﻣﻲﺩﺍﺭﺩ‪ .‬ﻫﺮﺑﺎﺭ ﻛﻪ ‪ PGP‬ﺍﻧﺘﻈﺎﺭﺣﺮﻛﺖ ﻛﻠﻴﺪﻱ ﺭﺍ ﺩﺍﺭﺩ‪ ،‬ﺯﻣﺎﻥ‬
‫ﺷﺮﻭﻉ ﺍﻧﺘﻈﺎﺭ ﺭﺍ ﺑﺼﻮﺭﺕ ﻳﻚ ﻓﺮﻣﺖ ‪ -۳۲‬ﺑﻴﺘﻲ ﺛﺒﺖ ﻣﻲﻛﻨﺪ‪ .‬ﻭﻗﺘﻲ ﺣﺮﻛﺖ ﻛﻠﻴﺪ ﺩﺭﻳﺎﻓﺖ ﻣﻲﺷﻮﺩ‪ ،‬ﺯﻣﺎﻥ ﺣﺮﻛﺖ ﻛﻠﻴﺪ ﻭ ﻧﻮﻉ ﻛﻠﻴﺪ‬
‫ﻓﺸﺮﺩﻩﺷﺪﻩ ﺑﺎ ﻳﻚ ﺍﻧﺪﺍﺯﺓ ‪ -۸‬ﺑﻴﺘﻲ ﺛﺒﺖ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﻃﻼﻋﺎﺕ ﺯﻣﺎﻥ ﻭ ﺣﺮﻛﺖ ﻛﻠﻴﺪ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﻛﻪ‬
‫ﺍﻳﻦ ﻛﻠﻴﺪ ﺑﻨﻮﺑﺔ ﺧﻮﺩ ﺑﺮﺍﻱ ﺭﻣﺰﻛﺮﺩﻥ ﺍﻧﺪﺍﺯﺓ ﺟﺎﺭﻱ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ﺑﻴﺖ‪ -‬ﺗﺼﺎﺩﻓﻲ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪.‬‬
‫‪١٩٩‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺍﻋﺪﺍﺩ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ‬
‫ﺗﻮﻟﻴﺪ ﻋﺪﺩ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ ﺍﺯ ﻳﻚ ﺑﺬﺭ ‪ -۲۴‬ﺍﹸﻛﺘﺘﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ‪ -۱۶‬ﺍﹸﻛﺘﺘﻲ ‪ ،‬ﻳﻚ ﺑﺮﺩﺍﺭ ﺷﺮﻭﻉ ‪ -۸‬ﺍﹸﻛﺘﺘﻲ ﻭ ﻳﻚ‬
‫ﺑﺬﺭ ﺟﺪﻳﺪ ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺩﺭ ﺩﻭﺭ ﺑﻌﺪﻱ ﺗﻮﻟﻴﺪ ﻋﺪﺩ ﺗﺼﺎﺩﻓﻲ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻣﺒﺘﻨﻲ ﺑﺮ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪X9.17‬‬
‫ﺑﻮﺩﻩ ﻛﻪ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺠﺎﻱ ‪ DES‬ﺍﺯ ‪ CAST-128‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﺯ ﺳﺎﺧﺘﻤﺎﻥ ﺩﺍﺩﺓ ﺯﻳﺮ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪:‬‬
‫‪ -۱‬ﻭﺭﻭﺩﻱ‬
‫‪ ۲۴) randseed.bin o‬ﺍﹸﻛﺘﺖ(‪ :‬ﺍﮔﺮ ﺍﻳﻦ ﻓﺎﻳﻞ ﺧﺎﻟﻲ ﺑﺎﺷﺪ‪ ،‬ﺑﺎ ‪ ۲۴‬ﺍﹸﻛﺘﺖ ﺗﺼﺎﺩﻓﻲ ﻭﺍﻗﻌﻲ ﭘﺮ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ :message o‬ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻭ ‪ IV‬ﻛﻪ ﺍﺯ ﺁﻧﻬﺎ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻳﻚ ﭘﻴﺎﻡ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ ﺧﻮﺩ ﺗﺎﺑﻌﻲ ﺍﺯ ﺁﻥ ﭘﻴﺎﻡ ﻫﺴﺘﻨﺪ‪.‬‬
‫ﺍﻳﻦ ﺍﻣﺮ ﺑﻪ ﺗﺼﺎﺩﻓﻲﺗﺮ ﺷﺪﻥ ﻛﻠﻴﺪ ﻭ ‪ IV‬ﻛﻤﻚ ﻣﻲﻛﻨﺪ ﻭ ﺍﮔﺮ ﻳﻚ ﺩﺷﻤﻦ ﻗﺒﻼﹰ ﻣﺘﻦ ﺳﺎﺩﺓ ﭘﻴﺎﻡ ﺭﺍ ﭘﻴﺪﺍ ﻛﺮﺩﻩ ﺑﺎﺷﺪ ﻇﺎﻫﺮﺍﹰ‬
‫ﻧﻴﺎﺯﻱ ﺑﻪ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻳﻜﺒﺎﺭ‪ -‬ﻣﺼﺮﻑ ﻧﻴﺴﺖ‪.‬‬
‫‪ -۲‬ﺧﺮﻭﺟﻲ‬
‫‪ ۲۴) K o‬ﺍﹸﻛﺘﺖ(‪ :‬ﺍﻭﻟﻴﻦ ‪ ۱۶‬ﺍﹸﻛﺘﺖ‪ ،K[0…15]،‬ﺷﺎﻣﻞ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻭ ﺁﺧﺮﻳﻦ ‪ ۸‬ﺍﹸﻛﺘﺖ‪ ،K[16…23]،‬ﺷﺎﻣﻞ‬
‫ﻳﻚ ‪ IV‬ﺍﺳﺖ‪.‬‬
‫‪ ۲۴) randseed.bin o‬ﺍﹸﻛﺘﺖ(‪ :‬ﻳﻚ ﺍﻧﺪﺍﺯﺓ ﺟﺪﻳﺪ ﺑﺬﺭ ﺩﺭ ﺍﻳﻦ ﻓﺎﻳﻞ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫‪ -۳‬ﺳﺎﺧﺘﻤﺎﻥ ﺩﺍﺩﺓ ﺩﺍﺧﻠﻲ‬
‫‪ ۸) dtbuf o‬ﺍﹸﻛﺘﺖ(‪ ۴ :‬ﺍﹸﻛﺘﺖ ﺍﻭﻝ‪ ،dtbuf[0…3] ،‬ﺩﺭ ﺍﺑﺘﺪﺍ ﺑﺎ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﺟﺎﺭﻱ ﺗﺎﺭﻳﺦ‪/‬ﺯﻣﺎﻥ ﭘﺮ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﻳﻦ ﺣﺎﻓﻈﺔ‬
‫ﻣﻮﻗﺖ‪ ،‬ﻣﻌﺎﺩﻝ ﻣﺘﻐﻴﺮ ‪ DT‬ﺩﺭ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ X12.17‬ﺍﺳﺖ‪.‬‬
‫‪ ۱۶) rkey o‬ﺍﹸﻛﺘﺖ(‪ :‬ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪ CAST-128‬ﻛﻪ ﺩﺭ ﺗﻤﺎﻡ ﻣﺮﺍﺣﻞ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ ۸) rseed o‬ﺍﹸﻛﺘﺖ(‪ :‬ﻣﻌﺎﺩﻝ ﻣﺘﻐﻴﺮ ‪ Vi‬ﺩﺭ ‪. X12.17‬‬
‫‪ ۸) rbuf o‬ﺍﹸﻛﺘﺖ(‪ :‬ﻳﻚ ﻋﺪﺩ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ﻣﻌﺎﺩﻝ ﻣﺘﻐﻴﺮ ‪ Ri‬ﺩﺭ‬
‫‪ X12.17‬ﺍﺳﺖ‪.‬‬
‫‪ ۲۴) K' o‬ﺍﹸﻛﺘﺖ(‪ :‬ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ﺑﺮﺍﻱ ﺍﻧﺪﺍﺯﺓ ﺟﺪﻳﺪ ‪.randseed.bin‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺷﺎﻣﻞ ﻧﻪ ﻗﺪﻡ ‪ G1‬ﺗﺎ ‪ G9‬ﺍﺳﺖ‪ .‬ﻗﺪﻡﻫﺎﻱ ﺍﻭﻝ ﻭ ﺁﺧﺮ ﻗﺪﻡﻫﺎﻱ ﺍﺑﻬﺎﻡﺯﺍﺋﻲ ﺑﻪ ﻣﻨﻈﻮﺭ ﻛﺎﻫﺶ ﺍﺭﺯﺵ ﻳﻚ ﻓﺎﻳﻞ‬
‫‪ randseed.bin‬ﺩﺭ ﺻﻮﺭﺕ ﻛﺸﻒ ﺩﺷﻤﻦ ﺍﺳﺖ‪ .‬ﻗﺪﻡﻫﺎﻱ ﺑﺎﻗﻴﻤﺎﻧﺪﻩ ﺿﺮﻭﺭﺗﺎﹰ ﻣﻌﺎﺩﻝ ﺳﻪ ﺑﺎﺭ ﺗﻜﺮﺍﺭ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ X12.17‬ﺑﻮﺩﻩ ﻭ ﺩﺭ‬
‫ﺷﻜﻞ ‪ ۵-۱۲‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﻄﻮﺭ ﺧﻼﺻﻪ‪:‬‬
‫‪[Prewash previous seed] .G1‬‬

‫ﺍﻟﻒ‪ randseed.bin -‬ﺭﺍ ﺩﺭ ]‪ K[0…23‬ﻛﭙﻲ ﻛﻨﻴﺪ‪.‬‬
‫ﺏ‪ hash -‬ﭘﻴﺎﻡ ﺭﺍ ﺣﺴﺎﺏ ﻛﻨﻴﺪ )ﺍﮔﺮ ﭘﻴﺎﻡ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺑﺎﺷﺪ ﺍﻳﻦ ﻣﻘﺪﺍﺭ ﻗﺒﻼﹰ ﻣﺤﺎﺳﺒﻪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﻏﻴﺮ ﺍﻳﻦﺻﻮﺭﺕ‬
‫ﺍﻭﻟﻴﻦ ‪ 4K‬ﺍﹸﻛﺘﺖ ﭘﻴﺎﻡ ﺑﻜﺎﺭ ﺧﻮﺍﻫﺪ ﺭﻓﺖ(‪ .‬ﺍﺯ ﻧﺘﻴﺠﻪ ﺑﻪ ﻋﻨﻮﺍﻥ ﻳﻚ ﻛﻠﻴﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﻴﺪ‪ ،‬ﺍﺯ ﻳﻚ ‪ IV‬ﺻﻔﺮ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻛﺮﺩﻩ ﻭ ‪ K‬ﺭﺍ ﺩﺭ ﻣُﻮﺩ ‪ CFB‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﻤﺎﺋﻴﺪ‪ .‬ﻧﺘﻴﺠﻪ ﺭﺍ ﺩﺭ ‪ K‬ﺫﺧﻴﺮﻩ ﻧﻤﺎﺋﻴﺪ‪.‬‬
‫ﻓﺼﻞ ﭘﻨﺠﻢ‬ ‫‪ ٢٠٠‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪dtbuf‬‬
‫‪E‬‬
‫‪rseed‬‬ ‫‪rseed‬‬
‫‪E‬‬ ‫‪E‬‬ ‫‪E‬‬ ‫‪rseed‬‬
‫‪rseed‬‬
‫‪E‬‬ ‫‪E‬‬ ‫‪E‬‬
‫‪rbuf‬‬ ‫‪rbuf‬‬ ‫‪rbuf‬‬
‫]‪K[16..23‬‬ ‫]‪K[8..15‬‬ ‫]‪K[0..7‬‬
‫ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻭ ‪ IV‬ﺩﺭ ‪) PGP‬ﻗﺪﻡﻫﺎﻱ ‪ G2‬ﺗﺎ ‪(G8‬‬ ‫ﺷﻜﻞ ‪۵-۱۲‬‬
‫‪[Set initial seed] . G2‬‬

‫ﺍﻟﻒ‪ dtbuf[0…3] -‬ﺭﺍ ﺑﺎ ‪ -۳۲‬ﺑﻴﺖ ﺯﻣﺎﻥ ﻣﺤﻠﻲ ﺗﻨﻈﻴﻢ ﻛﻨﻴﺪ‪ dtbuf[4…7] .‬ﺭﺍ ﺗﻤﺎﻣﺎﹰ ﺻﻔﺮ ﺑﮕﺬﺍﺭﻳﺪ‪.‬‬
‫]‪ rkeykK[0…15‬ﻭ ]‪. rseedkK[16…23‬‬
‫ﺏ‪ -۶۴ dtbuf -‬ﺑﻴﺘﻲ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ -۱۲۸ rkey‬ﺑﻴﺘﻲ ﺩﺭ ﻣُﻮﺩ ‪ ECB‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﺮﺩﻩ ﻭ ﻧﺘﻴﺠﻪ ﺭﺍ ﺩﺭ ‪dtbuf‬‬
‫ﺫﺧﻴﺮﻩ ﻛﻨﻴﺪ‪.‬‬
‫‪ rcountk 0 [Prepare to generate random octets] . G3‬ﻭ ‪ .kk 23‬ﻗﺪﻡﻫﺎﻱ ‪ G4-G7‬ﺑﺼﻮﺭﺕ ﻳﻚ‬
‫ﺣﻠﻘﻪ ‪ ۲۴‬ﺑﺎﺭ )‪ (k=23…0‬ﺍﺟﺮﺍ ﻣﻲﺷﻮﻧﺪ ﻛﻪ ﻫﺮ ﺑﺎﺭ ﺑﺮﺍﻱ ﻳﻚ ﺍﹸﻛﺘﺖ ﺗﺼﺎﺩﻓﻲ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﻭ ﻗﺮﺍﺭﺩﺍﺩﻩ ﺷﺪﻩ ﺩﺭ ‪K‬‬
‫ﺍﺳﺖ‪ .‬ﻣﺘﻐﻴﺮ ‪ rcount‬ﺗﻌﺪﺍﺩ ﺍﹸﻛﺘﺖﻫﺎﻱ ﺗﺼﺎﺩﻓﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻧﺸﺪﻩ ﺩﺭ ‪ rbuf‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ‪ ۲۴‬ﺍﹸﻛﺘﺖ ﺳﻪ‬
‫ﺑﺎﺭ ﺍﺯ ‪ 8‬ﺗﺎ ‪ 0‬ﺭﻭ ﺑﻪ ﭘﺎﺋﻴﻦ ﺷﻤﺎﺭﺵ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫‪ [Bytes available?] . G4‬ﺍﮔﺮ ‪ rcount = 0‬ﺑﻪ ‪ G5‬ﻭ ﺩﺭ ﻏﻴﺮ ﺍﻳﻨﺼﻮﺭﺕ ﺑﻪ ‪ G7‬ﺑﺮﻭﻳﺪ‪ .‬ﻗﺪﻡﻫﺎﻱ ‪ G5‬ﻭ ‪ G6‬ﻳﻚ‬
‫ﻣﺮﺗﺒﻪ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ X12.17‬ﺭﺍ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻳﻚ ﮔﺮﻭﻩ ﻫﺸﺖﺗﺎﺋﻲ ﺍﺯ ﺍﹸﻛﺘﺖﻫﺎﻱ ﺗﺼﺎﺩﻓﻲ ﺍﺟﺮﺍ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫‪[Generate new random octets] . G5‬‬
‫ﺍﻟﻒ‪rseed k rseed ⊕ dtbuf -‬‬
‫ﺏ – )‪ rseed k E (rkey , rseed‬ﺩﺭ ﻣُﻮﺩ ‪.ECB‬‬
‫‪[Generate next seed] . G6‬‬
‫ﺍﻟﻒ‪rseed k rbuf ⊕ dtbuf -‬‬
‫ﺏ‪ rseed k E (rkey , rseed) -‬ﺩﺭ ﻣُﻮﺩ ‪ECB‬‬
‫ﺝ‪ rcount k 8 -‬ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﺷﻮﺩ‪.‬‬
‫‪٢٠١‬‬ ‫ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪[Transfer one byte at a time from rbuf to K] . G7‬‬

‫ﺍﻟﻒ‪ rcount k rcount-1 -‬ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﺷﻮﺩ‪.‬‬
‫ﺏ‪ -‬ﻳﻚ ﺑﺎﻳﺖ ﺗﺼﺎﺩﻓﻲ ﻭﺍﻗﻌﻲ ‪ b‬ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﻭ ‪K[k] k rbuf[rcount] ⊕ b‬‬
‫‪[Done?] If k=0 goto G9 else set ks k-1 and goto G4 . G8‬‬
‫‪[Postwash seed and return result] . G9‬‬

‫ﺍﻟﻒ‪ ۲۴ -‬ﺑﺎﻳﺖ ﺩﻳﮕﺮ ﺑﺘﻮﺳﻂ ﺭﻭﺵ ‪ G4-G7‬ﺗﻮﻟﻴﺪ ﻛﻨﻴﺪ ﺑﺎﺳﺘﺜﻨﺎﻱ ﺍﻳﻨﻜﻪ ﺩﺭ ‪ G7‬ﻋﻤﻞ ‪ XOR‬ﺑﺎﻳﺖ ﺗﺼﺎﺩﻓﻲ ﺭﺍ ﺍﻧﺠﺎﻡ‬
‫ﻧﺪﻫﻴﺪ‪.‬‬
‫ﺏ‪ K' -‬ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ]‪ K[0…15‬ﻭ ‪ IV‬ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ]‪ K[16…23‬ﺩﺭ ﻣُﻮﺩ ‪ CFB‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﻤﺎﺋﻴﺪ‪ .‬ﻧﺘﻴﺠﻪ ﺭﺍ ﺩﺭ‬
‫‪ randseed.bin‬ﺫﺧﻴﺮﻩ ﻛﻨﻴﺪ‪.‬‬
‫ﺝ‪ K -‬ﺭﺍ ﺑﺮﮔﺮﺩﺍﻧﻴﺪ‪.‬‬
‫ﻗﺎﻋﺪﺗﺎﹰ ﻧﺒﺎﻳﺴﺘﻲ ﺑﺘﻮﺍﻥ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺭﺍ ﺍﺯ ‪ ۲۴‬ﺍﹸﻛﺘﺖ ﺟﺪﻳﺪ ﺗﻮﻟﻴﺪﺷﺪﻩ ﺩﺭ ﻗﺪﻡ ‪ G9‬ﺍﻟﻒ ﺗﻌﻴﻴﻦ ﻧﻤﻮﺩ‪ .‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ ﺑﺮﺍﻱ‬
‫ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﺍﻳﻨﻜﻪ ﻓﺎﻳﻞ ‪ randseed.bin‬ﺫﺧﻴﺮﻩﺷﺪﻩ ﻫﻴﭽﮕﻮﻧﻪ ﺍﻃﻼﻋﺎﺗﻲ ﺩﺭ ﻣﻮﺭﺩ ﺁﺧﺮﻳﻦ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺑﻪ ﺩﺳﺖ ﻧﻤﻲﺩﻫﺪ‪۲۴ ،‬‬
‫ﺍﹸﻛﺘﺖ ﺟﺪﻳﺪ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﻭ ﻧﺘﻴﺠﺔ ﻋﻤﻞ ﺑﻌﻨﻮﺍﻥ ﺑﺬﺭ ﺟﺪﻳﺪ ﺫﺧﻴﺮﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﭘﻴﭽﻴﺪﻩ ﻗﺎﻋﺪﺗﺎﹰ ﺍﻋﺪﺍﺩ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ ﻗﺪﺭﺗﻤﻨﺪﻱ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪.‬‬
‫ﻓﺼـﻞ ‪۶‬‬
‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫ﻣﺮﻭﺭﻱ ﺑﺮ ﺍﻣﻨﻴﺖ ‪IP‬‬ ‫‪۶-۱‬‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ‪IPSec‬‬
‫ﻣﺰﺍﻳﺎﻱ ‪IPSec‬‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺴﻴﺮﻳﺎﺑﻲ‬
‫ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ ‪IP‬‬ ‫‪۶-۲‬‬
‫ﺍﺳﻨﺎﺩ ‪IPSec‬‬
‫ﺳﺮﻭﻳﺲﻫﺎﻱ ‪IPSec‬‬
‫ﺍﺗﺤﺎﺩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ )‪(SA‬‬
‫ﻣُﻮﺩﻫﺎﻱ ﺣﻤﻞﻭﻧﻘﻞ ﻭ ﺗﻮﻧﻞ‬
‫ﺳﺮﺁﻳﻨﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ )‪(AH‬‬ ‫‪۶-۳‬‬
‫ﺳﺮﻭﻳﺲ ﺿﺪ‪ -‬ﺑﺎﺯﺧﻮﺍﻧﻲ‬
‫ﺍﻧﺪﺍﺯﺓ ﻛﻨﺘﺮﻝ ﺻﺤﺖ )‪(ICV‬‬
‫ﻛﭙﺴﻮﻟﻲﻛﺮﺩﻥ ﻣﺤﻤﻮﻟﺔ ﺍﻣﻨﻴﺘﻲ )‪(ESP‬‬ ‫‪۶-۴‬‬
‫ﻓﺮﻣﺖ ‪ESP‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﻻﺋﻲ )‪(Padding‬‬
‫ﺗﺮﻛﻴﺐ ﺍﺗﺤﺎﺩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬ ‫‪۶-۵‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻌﻼﻭﺓ ﻣﺤﺮﻣﺎﻧﮕﻲ‬
‫ﺗﺮﻛﻴﺐﻫﺎﻱ ﺍﺻﻠﻲ ﺍﺗﺤﺎﺩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬
‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‬ ‫‪۶-۶‬‬
‫ﭘﺮﻭﺗﻜﻞ ﺗﻌﻴﻴﻦ ﻛﻠﻴﺪ ‪Oakley‬‬
‫‪ISAKMP‬‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۶-۷‬‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۶-۸‬‬
‫ﺿﻤﻴﻤﺔ ‪ -۶‬ﺍﻟﻒ ﻋﻤﻠﻴﺎﺕ ﺑﻴﻦﺷﺒﻜﻪﺍﻱ ﻭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٠٤‬‬
‫ﻣﻌﻴﺖ ﺍﻳﻨﺘﺮﻧﺖ‪ ،‬ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﺘﻔﺎﻭﺗﻲ ﺭﺍ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻭ ﻣﺨﺘﺺ ﺑﻪ ﺁﻧﻬﺎ ﻃﺮﺍﺣﻲ ﻧﻤﻮﺩﻩ ﺍﺳﺖ ﻛـﻪ‬
‫ﺝ‬
‫ﺷﺎﻣﻞ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ )‪ ،(PGP ,S/MIME‬ﻛﻼﻳِﻨﺖ‪ /‬ﺳِﺮﻭﺭ )‪ ،(Kerberos‬ﺩﺳﺖﻳﺎﺑﻲ ﺑـﻪ ﻭِﺏ )‪(Secure Sockets Layer‬‬
‫ﻭ ﻏﻴﺮﻩ ﺍﺳﺖ‪ .‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ‪ ،‬ﻛﺎﺭﺑﺮﺍﻥ ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﺍﻣﻨﻴﺖ ﺩﺍﺭﺍﻱ ﻧﮕﺮﺍﻧﻲﻫﺎﻱ ﻫﺴﺘﻨﺪ ﻛﻪ ﻣﺮﺑﻮﻁ ﺑﻪ ﻻﻳﻪﻫـﺎﻱ ﭘﺮﻭﺗﻜﻠـﻲ ﺍﺳـﺖ‪ .‬ﺑﻌﻨـﻮﺍﻥ‬
‫ﻣﺜﺎﻝ ﻳﻚ ﺑﻨﮕﺎﻩ ﺗﺠﺎﺭﻱ ﺑﺰﺭﮒ ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﺷﺒﻜﺔ ‪ TCP/IP‬ﺧﺼﻮﺻﻲ ﺍﻣﻦ ﺭﺍ ﺑﺎ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺍﺭﺗﺒـﺎﻁ ﺑـﺎ ﺳـﺎﻳﺖﻫـﺎﻱ ﻏﻴـﺮﻣﻄﻤﺌﻦ‪،‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺴﺘﻪﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ﺳﺎﺯﻣﺎﻥ ﺧﺎﺭﺝ ﻣﻲﺷﻮﻧﺪ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎﺋﻲ ﻛﻪ ﺑﻪ ﺳﺎﺯﻣﺎﻥ ﻭﺍﺭﺩ ﻣﻲﺷﻮﻧﺪ ﺑﻮﺟـﻮﺩ ﺁﻭﺭﺩ‪ .‬ﺑـﺎ‬
‫ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺍﻣﻨﻴﺖ ﺩﺭ ﺳﻄﺢ ‪ ،IP‬ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﻣﻲﺗﻮﺍﻧﺪ ﺷﺒﻜﻪﺍﻱ ﺍﻣﻦ‪ ،‬ﻧﻪ ﺗﻨﻬﺎ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﻛﻪ ﻣﻜﺎﻧﻴـﺴﻢ ﺍﻣﻨﻴﺘـﻲ ﺩﺍﺭﻧـﺪ‪ ،‬ﺑﻠﻜـﻪ‬
‫ﺑﺮﺍﻱ ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ﺍﻣﻨﻴﺖ ﺑﻲﺑﻬﺮﻩ ﺍﻧﺪ ﺑﻮﺟﻮﺩ ﺁﻭﺭﺩ‪.‬‬
‫ﺍﻣﻨﻴﺖ ﺳﻄﺢ ‪ IP‬ﺳﻪ ﻣﺤﺪﻭﺩﺓ ﻋﻤﻠﻴﺎﺗﻲ ﺭﺍ ﺩﺭ ﺑﺮ ﻣﻲﮔﻴﺮﺩ‪ :‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻣﺤﺮﻣﺎﻧﮕﻲ ﻭ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‪ .‬ﻣﻜﺎﻧﻴﺴﻢ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ‬
‫ﺍﻳﻦ ﺍﻃﻤﻴﻨﺎﻥ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ﻳﻚ ﺑﺴﺘﺔ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺩﺭ ﻭﺍﻗﻊ ﺑﺘﻮﺳﻂ ﻫﻤﺎﻥ ﻭﺍﺣﺪﻱ ﻛﻪ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ﺑﺴﺘﻪ ﻣﺸﺨﺺ ﺷﺪﻩ ﺍﺭﺳﺎﻝ‬
‫ﮔﺮﺩﻳﺪﻩ ﺍﺳﺖ‪ .‬ﺑﻌﻼﻭﻩ ﺍﻳﻦ ﻣﻜﺎﻧﻴﺴﻢ ﺍﻃﻤﻴﻨﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺑﺴﺘﻪ ﺩﺭ ﻣﺴﻴﺮ ﺗﺮﺍﻧﺰﻳـﺖ ﺑـﻴﻦ ﻓﺮﺳـﺘﻨﺪﻩ ﻭ ﮔﻴﺮﻧـﺪﻩ ﺗﻐﻴﻴـﺮ ﻧﻜـﺮﺩﻩ ﺍﺳـﺖ‪.‬‬
‫ﺳﺮﻭﻳﺲ ﻣﺤﺮﻣﺎﻧﮕﻲ‪ ،‬ﮔﺮﻩﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﭘﻴﺎﻡﻫﺎ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﺮﺩﻩ ﺗﺎ ﺍﺯ ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ ﺍﺷﺨﺎﺹ ﺛﺎﻟﺚ ﻣﺤﻔـﻮﻅ ﺑﻤﺎﻧﻨـﺪ‪.‬‬
‫ﺗﺴﻬﻴﻼﺕ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‪ ،‬ﻣﺮﺗﺒﻂ ﺑﺎ ﻣﺒﺎﺩﻟﺔ ﺍﻣﻦ ﻛﻠﻴﺪﻫﺎﺳﺖ‪.‬‬
‫ﺍﻳﻦ ﻓﺼﻞ ﺭﺍ ﺑﺎ ﻣﺮﻭﺭﻱ ﺑﺮ ﺍﻣﻨﻴﺖ ‪ (IPSec) IP‬ﻭ ﻣﻌﺮﻓﻲ ﻣﻌﻤﺎﺭﻱ ‪ IPSec‬ﺁﻏﺎﺯ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺁﻧﮕﺎﻩ ﺑـﻪ ﻫﺮﻳـﻚ ﺍﺯ ﺳـﻪ ﺳـﻄﺢ‬
‫ﻋﻤﻠﻴﺎﺗﻲ ﻧﮕﺎﻫﻲ ﻣﻔﺼﻞ ﻣﻲﺍﻧﺪﺍﺯﻳﻢ‪ .‬ﺿﻤﻴﻤﺔ ﺍﻳﻦ ﻓﺼﻞ‪ ،‬ﻣﺮﻭﺭﻱ ﺑﺮ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺍﺳﺖ‪.‬‬
‫ﻣﺮﻭﺭﻱ ﺑﺮ ﺍﻣﻨﻴﺖ ‪IP‬‬ ‫‪۶-۱‬‬
‫ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۴‬ﻣﻴﻼﺩﻱ‪ ،‬ﮔﺮﻭﻩ ﻣﻌﻤﺎﺭﻱ ﺍﻳﻨﺘﺮﻧﺖ )‪ (IAB‬ﮔﺰﺍﺭﺷـﻲ ﺭﺍ ﺑـﺎ ﻋﻨـﻮﺍﻥ » ﺍﻣﻨﻴـﺖ ﺩﺭ ﻣﻌﻤـﺎﺭﻱ ﺍﻳﻨﺘﺮﻧـﺖ« ﺍﺭﺍﺋـﻪ ﻧﻤﻮﺩﻧـﺪ‬
‫)‪ .(RFC1636‬ﮔﺰﺍﺭﺵ ﺑﻴﺎﻧﮕﺮ ﺍﻳﻦ ﺍﺗﻔﺎﻕ ﻧﻈﺮ ﺑﻮﺩ ﻛﻪ ﺍﻳﻨﺘﺮﻧﺖ ﻧﻴﺎﺯ ﺑﻪ ﺍﻣﻨﻴﺖ ﺑﻴﺸﺘﺮ ﻭ ﺑﻬﺘﺮﻱ ﺩﺍﺭﺩ‪ .‬ﺭﺋﻮﺱ ﻛﻠﻴﺪﻱ ﺍﻳﻦ ﻧﻴﺎﺯﻫـﺎ ﻧﻴـﺰ‬
‫ﺩﺭ ﺍﻳﻦ ﮔﺰﺍﺭﺵ ﺫﻛﺮ ﺷﺪﻩ ﺑﻮﺩ‪ .‬ﺩﺭ ﺑﻴﻦ ﺍﻳﻨﻬﺎ‪ ،‬ﻧﻴﺎﺯ ﺑﻪ ﺍﻣﻦ ﻣﺎﻧﺪﻥ ﺯﻳﺮﺳﺎﺧﺖ ﺷﺒﻜﻪ ﺍﺯ ﭘﺎﻳﺶﻫﺎﻱ ﻏﻴﺮﻣﺠﺎﺯ‪ ،‬ﻧﻴﺎﺯ ﺑـﻪ ﻛﻨﺘـﺮﻝ ﺗﺮﺍﻓﻴـﻚ‬
‫ﺷﺒﻜﻪ ﻭ ﻧﻴﺎﺯ ﺑﻪ ﺍﻣﻦ ﻧﮕﺎﻩ ﺩﺍﺷﺘﻦ ﺗﺮﺍﻓﻴﻚ ﺑﻴﻦ ﻳﻚ ﻛﺎﺭﺑﺮ ﺍﻧﺘﻬﺎﺋﻲ ﻭ ﻛﺎﺭﺑﺮ ﺍﻧﺘﻬﺎﺋﻲ ﺩﻳﮕﺮ ﺑـﺎ ﺍﺳـﺘﻔﺎﺩﻩ ﺍﺯ ﺳـﺎﺯﻭﻛﺎﺭﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ ﻭ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭﺟﻮﺩ ﺩﺍﺷﺖ‪.‬‬
‫ﺍﻳﻦ ﻧﮕﺮﺍﻧﻲﻫﺎ ﻛﺎﻣﻼﹰ ﺑﺠﺎ ﻫﺴﺘﻨﺪ‪ .‬ﺩﺭ ﺗﺄﺋﻴﺪ ﺁﻥ‪ ،‬ﮔﺰﺍﺭﺵ ﺳﺎﻟﻴﺎﻧﺔ ‪ ۲۰۰۱‬ﺗﻴﻢ ﭘﺎﺳﺨﮕﻮﺋﻲ ﺑﻪ ﻓﻮﺭﻳﺖﻫﺎﻱ ﻛـﺎﻣﭙﻴﻮﺗﺮﻱ )‪(CERT‬‬
‫ﻗﺮﻳﺐ ﺑﻪ ‪ ۵۲,۰۰۰‬ﭘﻴﺸﺎﻣﺪ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﻟﻴﺴﺖ ﻧﻤﻮﺩﻩ ﺍﺳﺖ‪ .‬ﺟﺪﻱﺗﺮﻳﻦ ﺣﻤﻼﺕ‪ IP Spoofing ،‬ﺑﻮﺩﻩ ﻛﻪ ﺩﺭ ﺁﻥ ﻣﻬﺎﺟﻤﻴﻦ ﺑﺴﺘﻪﻫﺎﺋﻲ‬
‫ﺭﺍ ﺑﺎ ﺁﺩﺭﺱﻫﺎﻱ ‪ IP‬ﺟﻌﻠﻲ ﺧﻠﻖ ﻛﺮﺩﻩ ﻭ ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ‪ IP‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻧﻤﺎﻳﻨﺪ ﺭﺍ ﻣﻮﺭﺩ ﺳﻮﺀ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ‬
‫ﺩﺍﺩﻩ ﺑﻮﺩﻧﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻓﺮﻡﻫﺎﻱ ﻣﺘﻔﺎﻭﺕ ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ ﻭ ﺑﻮﻛﺸﻴﺪﻥ ﺑﺴﺘﻪﻫﺎ ﻛﻪ ﺩﺭﺁﻥ ﻣﻬﺎﺟﻤﻴﻦ‪ ،‬ﺍﻃﻼﻋﺎﺕ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺕ‬
‫‪ logon‬ﻭ ﻣﺤﺘﻮﻳﺎﺕ ﭘﺎﻳﮕﺎﻩﻫﺎﻱ ﺩﺍﺩﻩ‪ ،‬ﺭﺍ ﺧﻮﺍﻧﺪﻩ ﺑﻮﺩﻧﺪ ﻣﺸﺎﻫﺪﻩ ﻣﻲﺷﺪ‪.‬‬
‫‪٢٠٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫ﺩﺭ ﭘﺎﺳﺦ ﺑﻪ ﺍﻳﻦ ﻣﻘﻮﻟﻪﻫﺎ‪ IAB ،‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﻣﺸﺨﺼﻪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻻﺯﻡ ﺩﺭ ﻧـﺴﻞ ﺑﻌـﺪ ‪ IP‬ﻛـﻪ ﺑﻨـﺎﻡ‬
‫‪ IPv6‬ﻧﺎﻣﻴﺪﻩ ﺷﺪﻩ ﺑﻮﺩ ﺟﺎ ﺩﺍﺩ‪ .‬ﺧﻮﺷﺒﺨﺘﺎﻧﻪ ﺍﻳﻦ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻃﻮﺭﻱ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺑﻮﺩﻧﺪ ﻛﻪ ﺑﺘﻮﺍﻧﻨﺪ ﻫﻢ ﺩﺭ ﻧﺴﺨﺔ ﻓﻌﻠﻲ ‪IPv4‬‬
‫ﻭ ﻫﻢ ﺩﺭ ﻧﺴﺨﺔ ﺁﺗﻲ ‪ IPv6‬ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺑﺎﺷﻨﺪ‪ .‬ﺍﻳﻦ ﺑﺪﻳﻦ ﻣﻌﻨﻲ ﺍﺳﺖ ﻛـﻪ ﻓﺮﻭﺷـﻨﺪﮔﺎﻥ ﻣﺤـﺼﻮﻻﺕ ﻛـﺎﻣﭙﻴﻮﺗﺮﻱ ﻣـﻲﺗﻮﺍﻧﻨـﺪ ﺍﻳـﻦ‬
‫ﻣﺸﺨﺼﻪﻫﺎ ﺭﺍ ﺩﺭ ﻣﺤﺼﻮﻻﺕ ﺧﻮﺩ ﻋﺮﺿﻪ ﻧﻤﺎﻳﻨﺪ ﻛـﻪ ﻫـﻢ ﺍﻛﻨـﻮﻥ ﺑـﺴﻴﺎﺭﻱ ﺍﺯ ﺁﻧﻬـﺎ ﻗﺎﺑﻠﻴـﺖﻫـﺎﻱ ‪ IPSec‬ﺭﺍ ﺩﺭ ﺍﻳـﻦ ﻣﺤـﺼﻮﻻﺕ‬
‫ﮔﻨﺠﺎﻧﺪﻩﺍﻧﺪ‪.‬‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ‪IPSec‬‬
‫‪ IPSec‬ﻗﺎﺑﻠﻴﺖ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺍﻣﻦ ﺩﺭ ﻋﺮﺽ ﻳﻚ ﺷـﺒﻜﺔ ‪ ،LAN‬ﺩﺭ ﻋـﺮﺽ ﺷـﺒﻜﻪﻫـﺎﻱ ﺧـﺼﻮﺻﻲ ﻭ ﻋﻤـﻮﻣﻲ ‪ WAN‬ﻭ ﺩﺭ ﻋـﺮﺽ‬
‫ﺍﻳﻨﺘﺮﻧﺖ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ IPSec‬ﺑﻘﺮﺍﺭ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﺍﺗﺼﺎﻝ ﺍﻣﻦ ﺷﺎﺧﻪﻫﺎﻱ ﺍﺩﺍﺭﻱ ﺍﺯ ﻃﺮﻳﻖ ﺍﻳﻨﺘﺮﻧﺖ‪ :‬ﻳﻚ ﻛﻤﭙﺎﻧﻲ ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﺷﺒﻜﺔ ﺧﺼﻮﺻﻲ ﻣﺠﺎﺯﻱ ﺍﻣﻦ ﺭﺍ ﺭﻭﻱ ﺍﻳﻨﺘﺮﻧﺖ‬ ‫•‬
‫ﻭ ﻳﺎ ﺭﻭﻱ ﻳﻚ ‪ WAN‬ﻋﻤﻮﻣﻲ ﺑﻨﺎ ﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺑﺎﻋﺚ ﻣﻲﺷﻮﺩ ﺗﺎ ﺍﻳﻦ ﻛﺴﺐ ﻭﻛﺎﺭ ﻋﻤﺪﺗﺎﹰ ﻣﺘﻜﻲ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﺑـﻮﺩﻩ ﻭ ﻧﻴـﺎﺯ‬
‫ﺁﻥ ﺑﻪ ﺷﺒﻜﻪﻫﺎﻱ ﺧﺼﻮﺻﻲ ﻛﻤﺘﺮ ﺷﻮﺩ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﻫﻢ ﻫﺰﻳﻨﻪ ﻭ ﻫﻢ ﺳﺮﺑﺎﺭﺓ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﻛﺎﻫﺶ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫ﺩﺳﺖﻳﺎﺑﻲ ﺍﻣﻦ ﺑﻪ ﺩﻭﺭﺩﺳﺖ ﺍﺯ ﻃﺮﻳﻖ ﺍﻳﻨﺘﺮﻧﺖ‪ :‬ﻳﻚ ﻛﺎﺭﺑﺮ ﺍﻧﺘﻬﺎﺋﻲ ﻛﻪ ﺳﻴﺴﺘﻢ ﺍﻭ ﺑﻪ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ‪ IP‬ﻣﺠﻬﺰ ﺍﺳﺖ‬ ‫•‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﻳﻚ ﻓﺮﺍﻫﻢﺁﻭﺭﻧﺪﺓ ﺳﺮﻭﻳﺲ ﺍﻳﻨﺘﺮﻧﺘﻲ)‪ (ISP‬ﺗﻠﻔﻦ ﺯﺩﻩ ﻭ ﺑﻪ ﺷﺒﻜﺔ ﻳﻚ ﻛﻤﭙﺎﻧﻲ ﺩﺳﺘﺮﺳﻲ ﻳﺎﺑﺪ‪ .‬ﺍﻳﻦ ﺍﻣـﺮ ﻫﺰﻳﻨـﺔ‬
‫ﺗﺮﺩﺩ ﺍﺩﺍﺭﻱ ﻛﺎﺭﻣﻨﺪﺍﻥ ﺭﺍ ﻛﺎﻫﺶ ﺧﻮﺍﻫﺪ ﺩﺍﺩ‪.‬‬
‫ﺑﺮﻗﺮﺍﺭﻱ ﺍﺭﺗﺒﺎﻁ ﺍﻳﻨﺘﺮﺍﻧﺘﻲ ﻭ ﺍِﻛﺴﺘﺮﺍﻧﺘﻲ ﺑﺎ ﺷﺮﻛﺎﺀ‪ IPSec :‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺍﻳﻤﻦﺳﺎﺯﻱ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺑﺎ ﺳﺎﻳﺮ ﺳﺎﺯﻣﺎﻥﻫـﺎ ﺑﻜـﺎﺭ‬ ‫•‬
‫ﺭﻭﺩ ﻛﻪ ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺻﺤﻴﺢ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺍﺯ ﺧﻮﺍﺹ ﺁﻥ ﺑﻮﺩﻩ ﻭ ﻣﻜﺎﻧﻴﺴﻢ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﻧﻴﺰ ﺩﺭ ﺁﻥ ﻓﺮﺍﻫﻢ ﺍﺳﺖ‪.‬‬
‫ﺍﺭﺗﻘﺎﺀ ﺍﻣﻨﻴﺖ ﺗﺠﺎﺭﺕ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪ :‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻨﻜـﻪ ﺗﻌـﺪﺍﺩﻱ ﺍﺯ ﻛﺎﺭﺑﺮﺩﻫـﺎﻱ ﻣﺮﺑـﻮﻁ ﺑـﻪ ﺗﺠـﺎﺭﺕ ﺍﻟﻜﺘﺮﻭﻧﻴـﻚ ﻭ ﻭِﺏ‪ ،‬ﺩﺭ‬ ‫•‬
‫ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻓﺮﺍﻫﻢ ﺷﺪﻩ ﺩﺭ ﻣﺤﺼﻮﻻﺕ ﻣﻮﺟﻮﺩ ﻣﻲﺑﺎﺷﻨﺪ‪ ،‬ﻭﻟﻲ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ IPSec‬ﺍﻳﻦ ﺍﻣﻨﻴﺖ ﺭﺍ ﺍﺭﺗﻘﺎﺀ ﻣﻲﺑﺨﺸﺪ‪.‬‬
‫ﻣﺸﺨﺼﺔ ﺍﺻﻠﻲ ‪ IPSec‬ﻛﻪ ﺁﻥ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺍﺯ ﺍﻳﻦ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺘﻨﻮﻉ ﺣﻤﺎﻳﺖ ﻧﻤﺎﻳﺪ ﺍﻳﻦ ﺍﺳـﺖ ﻛـﻪ ﻣـﻲﺗﻮﺍﻧـﺪ ﺗﻤـﺎﻡ‬
‫ﺗﺮﺍﻓﻴﻚ ﺩﺭ ﺳﻄﺢ ‪ IP‬ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ‪ /‬ﻳﺎ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﻨـﺪ‪ .‬ﺑﻨـﺎﺑﺮﺍﻳﻦ ﺗﻤـﺎﻡ ﻛﺎﺭﺑﺮﺩﻫـﺎﻱ ﺗﻮﺯﻳـﻊ ﺷـﺪﻩ ﻛـﻪ ﺷـﺎﻣﻞ ﺍﺗـﺼﺎﻝ ﺍﺯ ﺩﻭﺭ‪،‬‬
‫ﻛﻼﻳﻨﺖ‪ /‬ﺳِﺮﻭﺭ‪ ،e-mail ،‬ﺍﻧﺘﻘﺎﻝ ﻓﺎﻳﻞ‪ ،‬ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻭِﺏ ﻭ ﻏﻴﺮﻩﺍﻧﺪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺍﻣﻦ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۶-۱‬ﻳﻚ ﺳﻨﺎﺭﻳﻮﻱ ﻣﻌﻤﻮﻝ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ IPSec‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﻣﻲﺗﻮﺍﻧـﺪ ‪ LAN‬ﻫـﺎﻱ ﻣﺘﻔـﺎﻭﺗﻲ ﺭﺍ ﺩﺭ‬
‫ﻣﻮﻗﻌﻴﺖﻫﺎﻱ ﺟﻐﺮﺍﻓﻴﺎﺋﻲ ﻣﺨﺘﻠﻒ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺑﺮﺍﻱ ﻫﺮ ‪ ،LAN‬ﺗﺮﺍﻓﻴﻚ ﻏﻴﺮﺍﻣﻦ ‪ IP‬ﺩﺭ ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ ﻭﻟـﻲ ﺑـﺮﺍﻱ ﺗﺮﺍﻓﻴـﻚ‬
‫ﺧﺎﺭﺝ ﺍﺯ ﺷﺒﻜﻪﻫﺎ ﻛﻪ ﺍﺯ ﻃﺮﻳﻖ ﻧﻮﻋﻲ ‪ WAN‬ﺧﺼﻮﺻﻲ ﻳﺎ ﻋﻤﻮﻣﻲ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ ﺍﺯ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ‪ IPSec‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷـﻮﺩ‪ .‬ﺍﻳـﻦ‬
‫ﭘﺮﻭﺗﻜﻞﻫﺎ ﺩﺭ ﺗﺠﻬﻴﺰﺍﺕ ﺷﺒﻜﻪ ﻫﻤﭽﻮﻥ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﻭ ﻳﺎ ﻳﻚ ﺩﻳــﻮﺍﺭ ﺁﺗﺶ‪ ،‬ﻛﻪ ﻳﻚ‪ LAN‬ﺭﺍ ﺑﻪ ﺩﻧﻴﺎﻱ ﺧﺎﺭﺝ ﭘﻴﻮﻧﺪ ﻣﻲﺩﻫﻨﺪ‪،‬ﻛﺎﺭ‬
‫ﻣﻲﻛﻨﻨﺪ‪ .‬ﺗﺠﻬﻴﺰﺍﺕ ﺷﺒﻜﻪﺍﻱ ‪ IPSec‬ﻣﻌﻤﻮﻻﹰ ﺗﻤﺎﻡ ﺗﺮﺍﻓﻴﻚ ﺩﺍﺧﻞﺷﻮﻧﺪﻩ ﺑﻪ ‪ WAN‬ﺭﺍ ﻓﺸﺮﺩﻩ ﺳـﺎﺯﻱ ﻭ ﺭﻣﺰﻧﮕـﺎﺭﻱ ﻧﻤـﻮﺩﻩ ﻭ ﺗﻤـﺎﻡ‬
‫ﺗﺮﺍﻓﻴﻚ ﺧﺮﻭﺟـﻲ ﺍﺯ ‪ WAN‬ﻭ ﻭﺭﻭﺩﻱ ﺑـﻪ ‪ LAN‬ﺭﺍ ﺍﺯ ﻓـﺸﺮﺩﮔﻲ ﺩﺭﺁﻭﺭﺩﻩ ﻭ ﺭﻣﺰﮔـﺸﺎﺋﻲ ﻣـﻲﻧﻤﺎﻳـﺪ‪ .‬ﺗﻤـﺎﻡ ﺍﻳـﻦ ﻋﻤﻠﻴـﺎﺕ ﺑـﺮﺍﻱ‬
‫ﺍﻳﺴﺘﮕﺎﻩﻫﺎﻱ ﻛﺎﺭﻱ ﻭ ﺳِﺮﻭﺭﻫﺎﻱ ‪ LAN‬ﻧﺎﻣﺮﺋﻲ ﻫﺴﺘﻨﺪ‪ .‬ﺍﺭﺳﺎﻝ ﺍﻃﻼﻋﺎﺕ ﺑﺼﻮﺭﺕ ﺍﻣﻦ ﻫﻤﭽﻨﻴﻦ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻥ ﻣﻨﻔﺮﺩﻱ ﻛﻪ ﺍﺯ ﻃﺮﻳـﻖ‬
‫ﺗﻤﺎﺱ ﺗﻠﻔﻨﻲ ﻭﺍﺭﺩ ‪ WAN‬ﻣﻲﺷﻮﻧﺪ ﻧﻴﺰ ﻣﻤﻜﻦ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻳﺴﺘﮕﺎﻩﻫﺎﻱ ﻛﺎﺭﻱ ﺑﺎﻳﺴﺘﻲ ﭘﺮﻭﺗﻜﻞﻫـﺎﻱ ‪ IPSec‬ﺭﺍ ﺑـﺮﺍﻱ ﻓـﺮﺍﻫﻢ ﺁﻭﺭﺩﻥ‬
‫ﺍﻣﻨﻴﺖ ﺩﺭ ﺩﺭﻭﻥ ﺧﻮﺩ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻛﻨﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٠٦‬‬
‫‪User system‬‬
‫‪with IPSec‬‬
‫‪IP‬‬ ‫‪IPSec‬‬
‫‪header header‬‬
‫‪Secure IP‬‬
‫‪payload‬‬ ‫)‪Public (Internet‬‬
‫‪or private‬‬
‫‪network‬‬
‫‪Networking device‬‬ ‫‪Networking device‬‬

‫‪With IPSec‬‬ ‫‪With IPSec‬‬
‫‪IP‬‬ ‫‪IP‬‬ ‫‪IP‬‬ ‫‪IP‬‬

‫‪header‬‬ ‫‪payload‬‬ ‫‪header‬‬ ‫‪payload‬‬
‫ﻳﻚ ﺳﻨﺎﺭﻳﻮ ﺑﺮﺍﻱ ﺍﻣﻨﻴﺖ ‪IP‬‬ ‫ﺷﻜﻞ ‪۶-۱‬‬
‫ﻣﺰﺍﻳﺎﻱ ‪IPSec‬‬
‫]‪ [MARK97‬ﻣﺰﺍﻳﺎﻱ ﺯﻳﺮ ﺭﺍ ﺑﺮﺍﻱ ‪ IPSec‬ﺫﻛﺮ ﻣﻲﻛﻨﺪ‪:‬‬
‫ﻭﻗﺘﻲ ‪ IPSec‬ﺩﺭ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻳﺎ ﻣﺴﻴﺮﻳﺎﺏ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ‪ ،‬ﻳﻚ ﺍﻣﻨﻴﺖ ﻣﺤﻜﻢ ﺑﺮﺍﻱ ﺗﻤﺎﻡ ﺗﺮﺍﻓﻴﻜﻲ ﻛﻪ ﺍﺯ ﻣﺤﺪﻭﺩﺓ‬ ‫•‬
‫ﺍﻳﻦ ﺩﻭ ﺩﺳﺘﮕﺎﻩ ﻋﺒﻮﺭ ﻣﻲﻛﻨﺪ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﺗﺮﺍﻓﻴﻚ ﺩﺍﺧﻞ ﺳﺎﺯﻣﺎﻥ ﻳﺎ ﻳﻚ ﮔﺮﻭﻩ ﻛﺎﺭﻱ‪ ،‬ﺍﺯ ﺑﻜﺎﺭﮔﻴﺮﻱ ﺳﺮﺑﺎﺭﺓ ﻣـﺮﺗﺒﻂ ﺑـﺎ‬
‫ﭘﺮﺩﺍﺯﺵﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺁﺯﺍﺩﻧﺪ‪.‬‬
‫ﺍﮔﺮ ﺗﻤﺎﻡ ﺗﺮﺍﻓﻴﻚ ﺧﺎﺭﺝ ﺍﺯ ﻣﺤﺪﻭﺩﻩ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ‪ IP‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﻨﺪ ﻭ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺗﻨﻬﺎ ﺭﺍﻩ ﻭﺭﻭﺩﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺑﻪ ﺳﺎﺯﻣﺎﻥ ﺑﺎﺷـﺪ‪،‬‬ ‫•‬
‫‪ IPSec‬ﺩﺭ ﺍﻳﻦ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺩﺭ ﺑﺮﺍﺑﺮ ﻧﺎﺩﻳﺪﻩ ﮔﺮﻓﺘﻪ ﺷﺪﻥ ﻭ ﻣﻴﺎﻥ ﺑُﺮ ﺯﺩﻥ ﺩﻳﺘﺎ ﻣﻘﺎﻭﻡ ﺍﺳﺖ‪.‬‬
‫‪ IPSec‬ﺩﺭ ﺯﻳﺮِ ﻻﻳﺔ ﺣﻤﻞﻭﻧﻘﻞ )‪ (UDP,TCP‬ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻧـﺎﻣﺮﺋﻲ ﺍﺳـﺖ‪ .‬ﻭﻗﺘـﻲ ‪ IPSec‬ﺩﺭ‬ ‫•‬
‫ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﻳﺎ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ‪ ،‬ﻧﻴﺎﺯﻱ ﺑﻪ ﺗﻌﻮﻳﺾ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﻛﺎﺭﺑﺮﺍﻥ ﻭ ﻳﺎ ﺳِﺮﻭﺭﻫﺎ ﻧﻴﺴﺖ‪ .‬ﺣﺘﻲ ﺍﮔـﺮ‬
‫‪ IPSec‬ﺩﺭ ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ ﻫﻢ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﻮﺩ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﻻﻳﻪﻫﺎﻱ ﺑﺎﻻﺗﺮ ﻛﻪ ﺷﺎﻣﻞ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻫﻢ ﻫﺴﺘﻨﺪ ﺗﺤﺖ ﺗـﺄﺛﻴﺮ‬
‫ﻭﺍﻗﻊ ﻧﻤﻲﺷﻮﻧﺪ‪.‬‬
‫‪ IPSec‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻥ ﺍﻧﺘﻬﺎﺋﻲ ﻧﺎﻣﺮﺋﻲ ﺑﺎﺷﺪ‪ .‬ﻧﻴﺎﺯﻱ ﻧﻴﺴﺖ ﻛـﻪ ﻛـﺎﺭﺑﺮﺍﻥ ﺭﺍ ﻧـﺴﺒﺖ ﺑـﻪ ﻣﻜﺎﻧﻴـﺴﻢﻫـﺎﻱ ﺍﻣﻨﻴﺘـﻲ‬ ‫•‬
‫ﺁﻣﻮﺯﺵ ﺩﺍﺩ ﻭ ﻣﺜﻼﹰ ﻻﺯﻡ ﻧﻴﺴﺖ ﺧﻠﻖ ﺍﻗﻼﻡ ﻛﻠﻴﺪ ﺑﺮﺍﻱ ﻫﺮ ﻛﺎﺭﺑﺮ ﻭ ﻳﺎ ﺍﺑﻄﺎﻝ ﺍﻗﻼﻡ ﻛﻠﻴﺪ ﺩﺭ ﻫﻨﮕﺎﻡ ﺗﺮﻙ ﺳﺎﺯﻣﺎﻥ ﺭﺍ ﺑﻪ ﺁﻧﻬﺎ‬
‫ﺁﻣﻮﺧﺖ‪.‬‬
‫‪٢٠٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫‪ IPSec‬ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﺻﻮﺭﺕ ﻟﺰﻭﻡ ﺍﻣﻨﻴﺖ ﺭﺍ ﺑﺮﺍﻱ ﺗﻚﺗﻚ ﻛﺎﺭﺑﺮﺍﻥ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩ‪ .‬ﺍﻳﻦ ﻣﻮﺭﺩ ﺑﺮﺍﻱ ﻛـﺎﺭ ﺩﺭ ﺧـﺎﺭﺝ ﺍﺯ ﻣﺤـﻞ‬ ‫•‬
‫ﺳﺎﺯﻣﺎﻥ ﻭ ﻫﻤﭽﻨﻴﻦ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﻳﻚ ﺯﻳﺮﺷﻴﻜﺔ ﻣﺠﺎﺯﻱ ﺩﺭ ﺩﺭﻭﻥ ﺳﺎﺯﻣﺎﻥ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺣﺴﺎﺱ ﻣﻨﺎﺳﺐ ﺍﺳﺖ‪.‬‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺴﻴﺮﻳﺎﺑﻲ‬
‫ﻋﻼﻭﻩ ﺑﺮ ﺣﻤﺎﻳﺖ ﺍﺯ ﻛﺎﺭﺑﺮﺍﻥ ﺍﻧﺘﻬﺎﺋﻲ ﻭ ﻣﺤﺎﻓﻈﺖ ﺍﺯ ﺳﻴﺴﺘﻢﻫﺎ ﻭ ﺷﺒﻜﻪﻫﺎ‪ IPSec ،‬ﻣﻲﺗﻮﺍﻧﺪ ﻧﻘﺸﻲ ﺣﻴﺎﺗﻲ ﺩﺭ ﻣﻌﻤﺎﺭﻱ ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﻮﺭﺩ‬
‫ﻧﻴﺎﺯ ﻋﻤﻠﻴﺎﺕ ﺑﻴﻦﺷﺒﻜﻪﺍﻱ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ [HUIT98] .‬ﻣﺜﺎﻝﻫﺎﻱ ﺯﻳﺮ ﺍﺳـﺘﻔﺎﺩﻩ ﺍﺯ ‪ IPSec‬ﺭﺍ ﻟﻴـﺴﺖ ﻛـﺮﺩﻩ ﺍﺳـﺖ‪ IPSec .‬ﺍﻃﻤﻴﻨـﺎﻥ‬
‫ﻣﻲﺩﻫﺪﻛﻪ‪:‬‬
‫ﺍﻋﻼﻥ ﺣﻀﻮﺭ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ )ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﺣﻀﻮﺭ ﺧﻮﺩ ﺭﺍ ﺍﻋﻼﻥ ﻣﻲﻛﻨﺪ(‪ ،‬ﺍﺯ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﻣﻌﺘﺒﺮ ﺁﻣﺪﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺍﻋﻼﻥ ﺣﻀﻮﺭ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﺑﻪ ﻫﻤﺴﺎﻳﮕﺎﻥ )ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﺑﻪ ﺩﻧﺒﺎﻝ ﺑﺮﻗﺮﺍﺭﻱ ﻭ ﻳﺎ ﻧﮕﻬـﺪﺍﺭﻱ ﻳـﻚ ﺭﺍﺑﻄـﺔ ﻫﻤـﺴﺎﻳﮕﻲ ﺑـﺎ‬ ‫•‬
‫ﻣﺴﻴﺮﻳﺎﺏ ﺩﻳﮕﺮ ﺍﺳﺖ(‪ ،‬ﺍﺯ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﻣﻌﺘﺒﺮ ﺁﻣﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻳﻚ ﭘﻴﺎﻡ ﺗﻐﻴﻴﺮ ﻣﺴﻴﺮ ﺍﺯ ﻫﻤﺎﻥ ﻣﺴﻴﺮﻳﺎﺑﻲ ﺁﻣﺪﻩ ﺍﺳﺖ ﻛﻪ ﺑﺴﺘﺔ ﺍﻭﻟﻴﻪ ﺩﻳﺘﺎ ﺑﺮﺍﻱ ﺍﻭ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺑﻮﺩ‪.‬‬ ‫•‬
‫ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ‪ ،‬ﺟﻌﻠﻲ ﻧﻴﺴﺖ‪.‬‬ ‫•‬
‫ﺑﺪﻭﻥ ﭼﻨﻴﻦ ﻣﻌﻴﺎﺭﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﻳﻚ ﺩﺷﻤﻦ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺭﺍ ﻣﺨﺘﻞ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﻣﺴﻴﺮ ﺗﺮﺍﻓﻴﻚ ﺭﺍ ﻋﻮﺽ ﻛﻨﺪ‪ .‬ﭘﺮﻭﺗﻜﻞﻫﺎﻱ‬
‫ﻣﺴﻴﺮﻳﺎﺑﻲ‪ ،‬ﻣﺎﻧﻨﺪ ‪ ،OSPF‬ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﺑﺎﻻﻱ ﺍﺗﺤﺎﺩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺑﻴﻦ ﻣﺴﻴﺮﻳﺎﺏﻫﺎ ﺑﺘﻮﺳﻂ ‪ IPSec‬ﻛﺎﺭ ﻛﻨﻨﺪ‪.‬‬
‫ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ ‪IP‬‬ ‫‪۶-۲‬‬
‫ﻣﺸﺨﺼﻪﻫﺎﻱ ‪ IPSec‬ﺑﺴﻴﺎﺭ ﭘﻴﭽﻴﺪﻩ ﺷﺪﻩﺍﻧﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﺩﺭﻛﻲ ﺍﺯﻛﻞﹼ ﻣﻌﻤﺎﺭﻱ ‪ IPSec‬ﺣﺎﺻﻞ ﺷﻮﺩ‪ ،‬ﺑـﻪ ﺍﺳـﻨﺎﺩﻱ ﻛـﻪ ‪ IPSec‬ﺭﺍ‬
‫ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﻨﺪ ﻧﮕﺎﻫﻲ ﻣﻲﺍﻧﺪﺍﺯﻳﻢ‪ .‬ﺁﻧﮕﺎﻩ ﺳﺮﻭﻳﺲﻫﺎﻱ ‪ IPSec‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻛﺮﺩﻩ ﻭ ﻣﻔﻬﻮﻡ ﺍﺗﺤﺎﺩ ﺍﻣﻨﻴﺘﻲ )‪ (SA‬ﺭﺍ ﻣﻌﺮﻓﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺍﺳﻨﺎﺩ ‪IPSec‬‬
‫ﻣﺸﺨﺼﻪﻫﺎﻱ ‪ IPSec‬ﺷﺎﻣﻞ ﺍﺳﻨﺎﺩ ﻣﺘﻌﺪﺩﻱ ﺍﺳﺖ‪ .‬ﻣﻬﻢﺗﺮﻳﻦ ﺁﻧﻬﺎ ﻛﻪ ﺩﺭ ﻧﻮﺍﻣﺒﺮ ‪ ۱۹۹۸‬ﻣﻴﻼﺩﻱ ﻣﻨﺘـﺸﺮ ﺷـﺪ‪RFC ،‬ﻫـﺎﻱ ‪،2401‬‬
‫‪ 2406 ،2402‬ﻭ ‪ 2408‬ﺍﺳﺖ‪:‬‬
‫‪ :RFC 2401‬ﻣﺮﻭﺭﻱ ﺑﺮ ﻳﻚ ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺘﻲ‬ ‫•‬
‫‪ :RFC 2402‬ﺗﻮﺻﻴﻒ ﻳﻚ ﺍﻟﺤﺎﻗﻴﺔ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺴﺘﻪ ﺩﻳﺘﺎ ﺑﻪ ‪ IPv4‬ﻭ ‪IPv6‬‬ ‫•‬
‫‪ :RFC 2406‬ﺗﻮﺻﻴﻒ ﻳﻚ ﺍﻟﺤﺎﻗﻴﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺴﺘﺔ ﺩﻳﺘﺎ ﺑﻪ ‪ IPv4‬ﻭ ‪IPv6‬‬ ‫•‬
‫‪ :RFC 2408‬ﺗﻌﻴﻴﻦ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‬ ‫•‬
‫ﺗﺒﻌﻴﺖ ﺍﺯ ﺍﻳﻦ ﻣﺸﺨﺼﻪﻫﺎ ﺑﺮﺍﻱ ‪ IPv6‬ﺍﺟﺒﺎﺭﻱ ﻭ ﺑﺮﺍﻱ ‪ IPv4‬ﺍﺧﺘﻴﺎﺭﻱ ﺍﺳـﺖ‪ .‬ﺩﺭ ﻫـﺮﺩﻭ ﻣـﻮﺭﺩ‪ ،‬ﻣﺸﺨـﺼﻪﻫـﺎﻱ ﺍﻣﻨﻴﺘـﻲ ﺑـﺼﻮﺭﺕ‬
‫ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ ﻛﻪ ﺑﻌﺪ ﺍﺯ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻣﻲﺷـﻮﻧﺪ‪ .‬ﺳـﺮﺁﻳﻨﺪ ﺍﻟﺤـﺎﻗﻲ ﻣﺮﺑـﻮﻁ ﺑـﻪ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ ﺑﻨـﺎﻡ‬
‫ﺳﺮﺁﻳﻨﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ )‪ (AH‬ﻭ ﺳﺮﺁﻳﻨﺪ ﺍﻟﺤﺎﻗﻲ ﻣﺮﺑﻮﻁ ﺑﻪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻨﺎﻡ ﺳﺮﺁﻳﻨﺪﻛﭙﺴﻮﻟﻲﻛـﺮﺩﻥ ﻣﺤﻤﻮﻟـﺔ ﺍﻣﻨﻴﺘـﻲ )‪ (ESP‬ﻧﺎﻣﻴـﺪﻩ‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٠٨‬‬
‫ﻋﻼﻭﻩ ﺑﺮ ﺍﻳﻦ ﭼﻬﺎﺭ ‪ ،RFC‬ﺗﻌﺪﺍﺩ ﺩﻳﮕﺮﻱ ﺍﺯ ﭘﻴﺶﻧﻮﻳﺲﻫـﺎ ﺍﺯ ﺳـﻮﻱ ‪ IP Security Protocol Working Group‬ﻛـﻪ‬
‫ﺑﺘﻮﺳﻂ ‪ IETF‬ﺗﺄﺳﻴﺲ ﺷﺪﻩ ﺍﺳﺖ ﻣﻨﺘﺸﺮ ﮔﺮﺩﻳﺪﻩ ﺍﺳﺖ‪ .‬ﺍﺳﻨﺎﺩ ﺑﻪ ﻫﻔﺖ ﮔﺮﻭﻩ‪ ،‬ﻣﻄﺎﺑﻖ ﺷﻜﻞ ‪ (RFC 2401) ۶-۲‬ﺗﻘﺴﻴﻢ ﺷﺪﻩﺍﻧﺪ‪:‬‬
‫ﻣﻌﻤﺎﺭﻱ‪ :‬ﻣﻔﺎﻫﻴﻢ ﻛﻠﻲ‪ ،‬ﻧﻴﺎﺯﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﺗﻌﺎﺭﻳﻒ ﻭ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﺋﻲ ﻛﻪ ﺗﻜﻨﻮﻟﻮﮊﻱ ‪ IPSec‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﻨﺪ‪ ،‬ﻣﻲﭘﻮﺷﺎﻧﺪ‪.‬‬ ‫•‬
‫ﻛﭙﺴﻮﻟﻲ ﻛﺮﺩﻥ ﻣﺤﻤﻮﻟﺔ ﺍﻣﻨﻴﺘﻲ )‪ :(ESP‬ﻓﺮﻣﺖ ﺑﺴﺘﻪ ﻭ ﻣﻘﻮﻟﻪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ ESP‬ﺑـﺮﺍﻱ ﺭﻣﺰﻧﮕـﺎﺭﻱ‬ ‫•‬
‫ﺑﺴﺘﻪ ﻭ ﺍﺧﺘﻴﺎﺭﺍﹰ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﺗﻮﺻﻴﻒ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺳﺮﺁﻳﻨﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ )‪ :(AH‬ﻓﺮﻣﺖ ﺑﺴﺘﻪ ﻭ ﻣﻘﻮﻟﻪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﺳـﺘﻔﺎﺩﻩ ﺍﺯ ‪ AH‬ﺑـﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ ﺑـﺴﺘﻪ ﺭﺍ‬ ‫•‬
‫ﺗﻮﺻﻴﻒ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ :‬ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺍﺳﻨﺎﺩ ﻛﻪ ﺗﻮﺻﻴﻒ ﻣﻲﻧﻤﺎﻳﻨﺪ ﭼﮕﻮﻧﻪ ﺍﻟﮕﻮﺭﻳﺘﻢﻫـﺎﻱ ﻣﺨﺘﻠـﻒ ﺭﻣﺰﻧﮕـﺎﺭﻱ ﺑـﺮﺍﻱ ‪ESP‬‬ ‫•‬
‫ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ :‬ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺍﺳﻨﺎﺩ ﻛﻪ ﺗﻮﺻﻴﻒ ﻣﻲﻧﻤﺎﻳﻨﺪ ﭼﮕﻮﻧﻪ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑـﺮﺍﻱ ‪AH‬‬ ‫•‬
‫ﻭ ‪ ESP‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪.‬‬
‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‪ :‬ﺍﺳﻨﺎﺩﻱ ﻛﻪ ﺭﻭﺵﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﺭﺍ ﺗﻮﺻﻴﻒ ﻣﻲﻛﻨﻨﺪ‪.‬‬ ‫•‬
‫ﻣﺤﺪﻭﺩﺓ ﺗﻌﺒﻴﺮ )‪ :(DOI‬ﺷﺎﻣﻞ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﻻﺯﻡ ﺑﺮﺍﻱ ﺳﺎﻳﺮ ﺍﺳﻨﺎﺩ ﺟﻬﺖ ﻣﺮﺗﺒﻂ ﻧﻤﻮﺩﻥ ﺁﻧﻬﺎ ﺑﻪ ﻳﻜﺪﻳﮕﺮ ﺍﺳﺖ‪ .‬ﺍﻳـﻦ ﺷـﺎﻣﻞ‬ ‫•‬
‫ﺷﻨﺎﺳﻪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱﻫﺎﻱ ﻣﻌﺘﺒﺮ ﻭ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﻫﻤﭽﻨﻴﻦ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺍﺧﺘﻴﺎﺭﻱ ﻫﻤﭽـﻮﻥ ﻃـﻮﻝ ﻋﻤـﺮ ﻳـﻚ‬
‫ﻛﻠﻴﺪ ﺍﺳﺖ‪.‬‬
‫ﻣﻌﻤﺎﺭﻱ‬
‫ﭘﺮﻭﺗﻜﻞ‬ ‫ﭘﺮﻭﺗﻜﻞ‬
‫‪ESP‬‬ ‫‪AH‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ‬ ‫ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫‪DOI‬‬
‫ﻣﺪﻳﺮﻳﺖ‬
‫ﻛﻠﻴﺪ‬
‫ﺷﻜﻞ ‪ ۶-۲‬ﻣﺮﻭﺭﻱ ﺑﺮ ﺍﺳﻨﺎﺩ ‪IPSec‬‬

‫‪٢٠٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫ﺳﺮﻭﻳﺲﻫﺎﻱ ‪IPSec‬‬
‫‪ IPSec‬ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺩﺭ ﺳﻄﺢ ‪ IP‬ﺭﺍ ﺑﻨﺤﻮﻱ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ ﻛﻪ ﺳﻴﺴﺘﻢ ﻗﺎﺩﺭ ﺍﺳﺖ ﺗﺎ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻻﺯﻡ ﺭﺍ ﺍﻧﺘﺨـﺎﺏ‬
‫ﻛﺮﺩﻩ‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ)ﻫﺎﻱ( ﻻﺯﻡ ﺑﺮﺍﻱ ﺳﺮﻭﻳﺲ)ﻫﺎ( ﺭﺍ ﺗﻌﻴﻴﻦ ﻧﻤﻮﺩﻩ ﻭ ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻻﺯﻡ ﺑﺮﺍﻱ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺩﺭﺧﻮﺍﺳﺖ ﺷﺪﻩ ﺭﺍ ﺩﺭ‬
‫ﻣﺤﻞ ﻣﻨﺎﺳﺐ ﻗﺮﺍﺭ ﺩﻫﺪ‪ .‬ﺩﻭ ﭘﺮﻭﺗﻜﻞ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﺍﻣﻨﻴﺖ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ :‬ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﺳﺮﺁﻳﻨﺪ ﭘﺮﻭﺗﻜـﻞ ﻳﻌﻨـﻲ‬
‫)‪ Authentication Header (AH‬ﺷﻨﺎﺳﺎﺋﻲ ﺷﺪﻩ ﻭ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﻣﺨﻠﻮﻁ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ /‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﻓﺮﻣﺖ ﺑـﺴﺘﺔ ﺁﻥ‬
‫ﭘﺮﻭﺗﻜﻞ )‪ Encapsulating Security Payload (ESP‬ﺷﻨﺎﺳﺎﺋﻲ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺳﺮﻭﻳﺲﻫﺎ ﺑﻘﺮﺍﺭ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‬ ‫•‬

‫ﺻﺤﺖ ﺩﻳﺘﺎ ﺩﺭ ﺣﺎﻟﺖ ﻏﻴﺮﺍﺗﺼﺎﻟﻲ‬ ‫•‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺒﺪﺃ ﺩﻳﺘﺎ‬ ‫•‬
‫ﺭﺩ ﺑﺴﺘﻪﻫﺎﻱ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺷﺪﻩ‬ ‫•‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ )ﺭﻣﺰﻧﮕﺎﺭﻱ(‬ ‫•‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﻣﺤﺪﻭﺩ ﺟﺮﻳﺎﻥ ﺗﺮﺍﻓﻴﻚ‬ ‫•‬
‫ﺟﺪﻭﻝ ‪ ۶-۱‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﻛﺪﺍﻡ ﺳﺮﻭﻳﺲﻫﺎ ﺑﺘﻮﺳﻂ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ‪ AH‬ﻭ ‪ ESP‬ﺍﻳﺠﺎﺩ ﻣﻲﺷـﻮﻧﺪ‪ .‬ﺑـﺮﺍﻱ ‪ ESP‬ﺩﻭ ﺣﺎﻟـﺖ‬
‫ﻭﺟــﻮﺩ ﺩﺍﺭﺩ‪ :‬ﺣــﻀﻮﺭ ﻭ ﻳــﺎ ﻋــﺪﻡ ﺣــﻀﻮﺭ ﺍﻋﺘﺒﺎﺭﺳــﻨﺠﻲ ﺑــﺼﻮﺭﺕ ﺍﺧﺘﻴــﺎﺭﻱ‪ AH .‬ﻭ ‪ ESP‬ﻫــﺮ ﺩﻭ ﻣﺤﻤــﻞﻫــﺎﺋﻲ ﺑــﺮﺍﻱ ﻛﻨﺘــﺮﻝ‬
‫ﺩﺳﺖﻳﺎﺑﻲﺍﻧﺪﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﻣﺪﻳﺮﻳﺖ ﺟﺮﻳﺎﻥﻫﺎﻱ ﺗﺮﺍﻓﻴﻚ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻳﻦ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﻲﺑﺎﺷﻨﺪ‪.‬‬
‫ﺍﺗﺤﺎﺩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ )‪(Security Associations‬‬

‫ﻳﻚ ﻣﻔﻬﻮﻡ ﻛﻠﻴﺪﻱ ﻛﻪ ﺩﺭ ﻫﺮﺩﻭ ﻣﻜﺎﻧﻴﺴﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ‪ IP‬ﻇﺎﻫﺮ ﻣﻲﺷﻮﺩ‪ ،‬ﻳﻚ ﺍﺗﺤﺎﺩ ﺍﻣﻨﻴﺘﻲ )‪ (SA‬ﺍﺳﺖ‪ .‬ﻳـﻚ ﺍﺗﺤـﺎﺩ‬
‫ﻳﻚ ﺭﺍﺑﻄﺔ ﻳﻚ‪ -‬ﻃﺮﻓﻪ ﺑﻴﻦ ﻳﻚ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﻳﻚ ﮔﻴﺮﻧﺪﻩ ﺍﺳﺖ ﻛﻪ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺑﺮﺍﻱ ﺗﺮﺍﻓﻴﻚ ﺣﻤﻞ ﺷﺪﻩ ﺭﻭﻱ ﺁﻥ ﻓـﺮﺍﻫﻢ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺍﮔﺮ ﻳﻚ ﺭﺍﺑﻄﺔ ﻧﻈﻴﺮ ﻧﻴﺰ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺑﺎﺷﺪ ﺁﻧﮕﺎﻩ ﺑﺮﺍﻱ ﻣﺒﺎﺩﻟﺔ ﺍﻣﻦ ﺩﻭﻃﺮﻓﻪ‪ ،‬ﺩﻭ ﺍﺗﺤﺎﺩ ﺍﻣﻨﻴﺘﻲ ﻻﺯﻡ ﺍﺳﺖ‪ .‬ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘـﻲ‬
‫ﻓﻘﻂ ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ AH‬ﻳﺎ ‪ ،ESP‬ﻭ ﻧﻪ ﻫﺮﺩﻭﻱ ﺁﻧﻬﺎ‪ ،‬ﺑﻪ ﻳﻚ ‪ SA‬ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺟﺪﻭﻝ ‪ ۶-۱‬ﺳﺮﻭﻳﺲﻫﺎﻱ ‪IPSec‬‬
‫‪ESP‬‬ ‫‪ESP‬‬
‫)ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻌﻼﻭﻩ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ(‬ ‫)ﻓﻘﻂ ﺭﻣﺰﻧﮕﺎﺭﻱ(‬ ‫‪AH‬‬
‫‪9‬‬ ‫‪9‬‬ ‫‪9‬‬ ‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‬
‫‪9‬‬ ‫‪9‬‬ ‫ﺻﺤﺖ ﺩﻳﺘﺎ ﺩﺭ ﺣﺎﻟﺖ ﻏﻴﺮﺍﺗﺼﺎﻟﻲ‬
‫‪9‬‬ ‫‪9‬‬ ‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻨﺒﻊ ﺩﻳﺘﺎ‬
‫‪9‬‬ ‫‪9‬‬ ‫‪9‬‬ ‫ﺭﺩ ﺑﺴﺘﻪﻫﺎﻱ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺷﺪﻩ‬
‫‪9‬‬ ‫‪9‬‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﺩﻳﺘﺎ‬
‫‪9‬‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﻣﺤﺪﻭﺩ ﺟﺮﻳﺎﻥ ﺗﺮﺍﻓﻴﻚ‬

‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢١٠‬‬
‫ﻳﻚ ﺍﺗﺤﺎﺩ ﺍﻣﻨﻴﺘﻲ ﺑﻄﻮﺭ ﻳﻜﺘﺎ ﺑﺎ ﺳﻪ ﭘﺎﺭﺍﻣﺘﺮ ﺗﻌﻴﻴﻦ ﻣﻲﮔﺮﺩﺩ‪:‬‬
‫ﺷﺎﺧﺺ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ )‪ :(SPI‬ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ ﺑﻴﺖﻫﺎ ﻛﻪ ﺑﻪ ﺍﻳﻦ ‪ SA‬ﺍﺧﺘﺼﺎﺹ ﺩﺍﺩﻩ ﺷـﺪﻩ ﻭ ﻓﻘـﻂ ﺍﻫﻤﻴـﺖ ﻣﺤﻠـﻲ‬ ‫•‬
‫ﺩﺍﺭﺩ‪ SPI .‬ﺩﺭ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ‪ AH‬ﻭ ‪ ESP‬ﺣﻤﻞ ﺷﺪﻩ ﺗﺎ ﺳﻴﺴﺘﻢ ﮔﻴﺮﻧﺪﻩ ﺭﺍ ﻗﺎﺩﺭ ﺳﺎﺯﺩ ﺗﺎ ﻳﻚ ‪ SA‬ﻛـﻪ ﺗﺤـﺖ ﺁﻥ ﻳـﻚ‬
‫ﺑﺴﺘﺔ ﺩﺭﻳﺎﻓﺘﻲ ﻣﻮﺭﺩ ﭘﺮﺩﺍﺯﺵ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﻨﺪ‪.‬‬
‫ﺁﺩﺭﺱ ‪ IP‬ﻣﻘﺼﺪ‪ :‬ﺩﺭ ﺣﺎﻝ ﺣﺎﺿﺮ ﺗﻨﻬﺎ ﺁﺩﺭﺱﻫﺎﻱ ‪ unicast‬ﻣﺠﺎﺯ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺁﺩﺭﺱ ﻧﻘﻄﺔ ﺍﻧﺘﻬﺎﺋﻲ ﻣﻘـﺼﺪ ‪ SA‬ﺍﺳـﺖ‬ ‫•‬
‫ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ ﻭ ﻳﺎ ﻳﻚ ﺳﻴﺴﺘﻢ ﺷﺒﻜﻪ ﻣﺜﻞ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻭ ﻳﺎ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﺑﺎﺷﺪ‪.‬‬
‫ﺷﻨﺎﺳﺔ ﭘﺮﻭﺗﻜﻞ ﺍﻣﻨﻴﺘﻲ‪ :‬ﻧﻤﺎﻳﺸﮕﺮ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺁﻳﺎ ﺍﺗﺤﺎﺩ‪ ،‬ﻳﻚ ﺍﺗﺤﺎﺩ ‪ AH‬ﻭ ﻳﺎ ﻳﻚ ﺍﺗﺤﺎﺩ ‪ ESP‬ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﺩﺭ ﻫﺮ ﺑﺴﺘﺔ ‪ ،IP‬ﺍﺗﺤﺎﺩ ﺍﻣﻨﻴﺘﻲ ﺑﻄﻮﺭ ﻳﻜﺘﺎ ﺑﺘﻮﺳﻂ ‪ Destination Address‬ﺩﺭ ﺳﺮﺁﻳﻨﺪ ‪ IPv4‬ﻳﺎ ‪ IPv6‬ﻭ ‪SPI‬‬
‫ﺩﺭ ﺳﺮﺁﻳﻨﺪ ﺍﻟﺤﺎﻗﻲ )‪ AH‬ﻳﺎ ‪ (ESP‬ﻣﺸﺨﺺ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ‪SA‬‬
‫ﺩﺭ ﻫﺮ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ‪ ،IPSec‬ﻳﻚ ﭘﺎﻳﮕـﺎﻩ ﺩﺍﺩﻩ ﺍﺗﺤـﺎﺩ ﺍﻣﻨﻴﺘـﻲ )‪ (Security Association Database‬ﻭﺟـﻮﺩ ﺩﺍﺭﺩ ﻛـﻪ‬
‫ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﻫﺮ ‪ SA‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﻳﻚ ﺍﺗﺤﺎﺩ ﺍﻣﻨﻴﺘﻲ ﻣﻌﻤﻮﻻﹰ ﺑﺎ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺯﻳﺮ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪:‬‬
‫ﻛﻨﺘﺮ ﺷﻤﺎﺭﺓ ﺭﺩﻳﻒ‪ :‬ﻳﻚ ﺍﻧﺪﺍﺯﺓ ‪ -۳۲‬ﺑﻴﺘﻲ ﻛﻪ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻣﻴﺪﺍﻥ ‪ Sequence Number‬ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ‪ AH‬ﻳـﺎ ‪ESP‬‬ ‫•‬
‫ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ ﻭ ﺩﺭ ﺑﺨﺶ ‪ ۶-۳‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ )ﺑﺮﺍﻱ ﻫﻤﺔ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎ ﻻﺯﻡ ﺍﺳﺖ(‪.‬‬
‫ﺳﺮﺭﻳﺰ ﻛﻨﺘﺮ ﺷﻤﺎﺭﺓ ﺭﺩﻳﻒ‪ :‬ﻳﻚ ﭘﺮﭼﻢ ﻛﻪ ﻧﺸﺎﻥﺩﻫﻨﺪﺓ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺁﻳﺎ ﺳﺮﺭﻳﺰ ﻛﻨﺘﺮ ﺷﻤﺎﺭﺓ ﺭﺩﻳـﻒﻫـﺎ ﺑﺎﻳـﺴﺘﻲ ﻳـﻚ‬ ‫•‬
‫ﭘﻴﺸﺎﻣﺪ ﻗﺎﺑﻞ ﻣﻤﻴﺰﻱ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﻭ ﺍﺯ ﺍﻧﺘﻘﺎﻝ ﺑﻴﺸﺘﺮ ﺑﺴﺘﻪﻫﺎ ﺩﺭ ﺍﻳﻦ ‪ SA‬ﺟﻠﻮﮔﻴﺮﻱ ﻧﻤﺎﻳﺪ )ﺑﺮﺍﻱ ﻫﻤﺔ ﭘﻴـﺎﺩﻩﺳـﺎﺯﻱﻫـﺎ‬
‫ﻻﺯﻡ ﺍﺳﺖ(‪.‬‬
‫ﭘﻨﺠﺮﺓ ﺿﺪ‪ -‬ﺑﺎﺯﺧﻮﺍﻧﻲ‪ :‬ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ ﺍﻳﻨﻜﻪ ﺁﻳﺎ ﻳﻚ ﺑﺴﺘﺔ ‪ AH‬ﻳﺎ ‪ ESP‬ﻳﻚ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺍﺳﺖ ﻳﺎ ﻧـﻪ‪ ،‬ﻛـﻪ ﺩﺭ ﺑﺨـﺶ ‪۶-۳‬‬ ‫•‬
‫ﺗﻮﺿﻴﺢ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ )ﺑﺮﺍﻱ ﻫﻤﺔ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎ ﻻﺯﻡ ﺍﺳﺖ(‪.‬‬
‫ﺍﻃﻼﻋﺎﺕ ‪ :AH‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻛﻠﻴﺪﻫﺎ‪ ،‬ﻃﻮﻝ ﻋﻤﺮ ﻛﻠﻴﺪﻫﺎ ﻭ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻣﺮﺗﺒﻄﻲ ﻛﻪ ﺑﺎ ‪ AH‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ )ﻣﻮﺭﺩ‬ ‫•‬
‫ﻧﻴﺎﺯ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎﻱ ‪.(AH‬‬
‫ﺍﻃﻼﻋﺎﺕ ‪ :ESP‬ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻛﻠﻴﺪﻫﺎ‪ ،‬ﻣﻘﺎﺩﻳﺮ ﺍﻭﻟﻴﻪ‪ ،‬ﻃﻮﻝ ﻋﻤﺮ ﻛﻠﻴﺪﻫﺎ ﻭ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻣﺮﺗﺒﻄﻲ‬ ‫•‬
‫ﻛﻪ ﺑﺎ ‪ ESP‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ )ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎﻱ ‪.(ESP‬‬
‫ﻃﻮﻝ ﻋﻤﺮ ﺍﻳﻦ ﺍﺗﺤﺎﺩ ﺍﻣﻨﻴﺘﻲ‪ :‬ﻳﻚ ﻃﻮﻝ ﺯﻣﺎﻧﻲ ﻳﺎ ﺷﻤﺎﺭﺵ ﺑﺎﻳﺖ ﻛﻪ ﺑﻌﺪ ﺍﺯ ﺁﻥ‪ ،‬ﺍﻳﻦ ‪ SA‬ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﻳـﻚ ‪ SA‬ﺟﺪﻳـﺪ )ﻭ‬ ‫•‬
‫‪ SPI‬ﺟﺪﻳﺪ( ﺗﻌﻮﻳﺾ ﺷﺪﻩ ﻭ ﻳﺎ ﺧﺎﺗﻤﻪ ﻳﺎﺑﺪ ﺑﻌﻼﻭﺓ ﻧﻤﺎﻳﺸﮕﺮﻱ ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﻧﺸﺎﻥ ﺩﻫﺪ ﻛﺪﺍﻣﻴﻚ ﺍﺯ ﺍﻳﻦ ﺩﻭ ﻋﻤـﻞ ﺑﺎﻳـﺴﺘﻲ‬
‫ﻭﺍﻗﻊ ﺷﻮﺩ )ﺑﺮﺍﻱ ﻫﻤﺔ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎ ﻻﺯﻡ ﺍﺳﺖ(‪.‬‬
‫ﻣُﻮﺩ ﭘﺮﻭﺗﻜﻞ ‪ transport ،Tunnel :IPSec‬ﻭ ﻳﺎ ‪) wildcard‬ﺑﺮﺍﻱ ﻫﻤﺔ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎ ﻻﺯﻡ ﺍﺳﺖ(‪ .‬ﺍﻳﻦ ﻣُﻮﺩﻫﺎ ﺑﻌﺪﺍﹰ‬ ‫•‬
‫ﺩﺭ ﻫﻤﻴﻦ ﺑﺨﺶ ﺗﻮﺿﻴﺢ ﺩﺍﺩﻩ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫‪٢١١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫‪ MTU‬ﻣﺴﻴﺮ‪ :‬ﻣﺎﻛﺰﻳﻤﻢ ﻭﺍﺣﺪ ﺍﻧﺘﻘﺎﻝ ﻣﺸﺎﻫﺪﻩ ﺷﺪﻩ ﺩﺭ ﻣﺴﻴﺮ )ﺍﻧﺪﺍﺯﺓ ﻣﺎﻛﺰﻳﻤﻢ ﺑﺴﺘﻪﺍﻱ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺪﻭﻥ ﻗﻄﻌﻪ‪ -‬ﻗﻄﻌـﻪ‬ ‫•‬
‫ﺷﺪﻥ ﺍﻧﺘﻘﺎﻝ ﻳﺎﺑﺪ( ﻭ ﻣﺘﻐﻴﺮﻫﺎﻱ ﻧﻤﺎﻳﺶ ﻃﻮﻝ ﻋﻤﺮ )ﺑﺮﺍﻱ ﻫﻤﺔ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎ ﻻﺯﻡ ﺍﺳﺖ(‪.‬‬
‫ﻣﻜﺎﻧﻴﺴﻢ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﻛﻪ ﺑﺮﺍﻱ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪﻫﺎ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ ﺑﺎ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺗﻨﻬـﺎ ﺍﺯ ﻃﺮﻳـﻖ ‪SPI‬‬
‫ﻣﺮﺗﺒﻂ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﻣﺴﺘﻘﻞ ﺍﺯ ﻫﺮﻧﻮﻉ ﻣﻜﺎﻧﻴﺴﻢ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﺧﺎﺻﻲ ﺗﻌﺮﻳﻒ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫ﺍﻧﺘﺨﺎﺏﻛﻨﻨﺪﻩﻫﺎﻱ ‪SA‬‬
‫‪ IPSec‬ﺍﻧﻌﻄﺎﻑﭘﺬﻳﺮﻱ ﻗﺎﺑﻞ ﻣﻼﺣﻈﻪﺍﻱ ﺭﺍ‪ ،‬ﺩﺭ ﺍﻧﺘﺨﺎﺏ ﺍﻳﻨﻜﻪ ﻛﺪﺍﻡ ﺳﺮﻭﻳﺲﻫﺎﻱ ‪ IPSec‬ﺑﻪ ﺗﺮﺍﻓﻴﻚ ‪ IP‬ﺍﻋﻤﺎﻝ ﺷﻮﻧﺪ‪ ،‬ﺑﺮﺍﻱ‬
‫ﻛﺎﺭﺑﺮ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪ .‬ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺑﻌﺪﺍﹰ ﺧﻮﺍﻫﻴﻢ ﺩﻳﺪ‪SA ،‬ﻫﺎ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﻪ ﺭﻭﺵﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺗﺮﻛﻴﺐ ﺷﺪﻩ ﻭ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻣﻨﺎﺳﺐ ﻛﺎﺭﺑﺮ‬
‫ﺭﺍ ﺍﻳﺠﺎﺩ ﻛﻨﻨﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ‪ IPSec‬ﺩﺭﺟﺔ ﺑﺎﻻﺋﻲ ﺍﺯ ﺗﺸﺨﻴﺺ ﺑﺮﺍﻱ ﺗﻤﺎﻳﺰ ﺑﻴﻦ ﺗﺮﺍﻓﻴﻜﻲ ﻛﻪ ‪ IPSec‬ﺑﻪ ﺁﻥ ﺍﻋﻤﺎﻝ ﺷـﺪﻩ ﺑـﺎ ﺗﺮﺍﻓﻴﻜـﻲ‬
‫ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ‪ IPSec‬ﺭﺍ ﺩﻭﺭ ﺑﺰﻧﺪ ﺍﻳﺠﺎﺩ ﻧﻤﻮﺩﻩ ﻛﻪ ﻣﻮﺭﺩ ﺍﻭﻝ ﺗﺮﺍﻓﻴﻚ ‪ IP‬ﺭﺍ ﺑﻪ ‪SA‬ﻫﺎﻱ ﺑﺨﺼﻮﺹ ﭘﻴﻮﻧﺪ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺍﺑﺰﺍﺭﻱ ﻛﻪ ﺗﺮﺍﻓﻴﻚ ‪ IP‬ﺭﺍ ﺑﻪ ‪SA‬ﻫﺎﻱ ﻣﺸﺨﺺ )ﻳﺎ ﻧﺒﻮﺩ ‪ SA‬ﺩﺭ ﻣﻮﺭﺩ ﺗﺮﺍﻓﻴﻜﻲ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ‪ IPSec‬ﺭﺍ ﺩﻭﺭ ﺑﺰﻧـﺪ( ﻣـﺮﺗﺒﻂ‬
‫ﻣﻲﺳﺎﺯﺩ‪ ،‬ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﺓ ﺧﻂﻣﺸﻲ ﺍﻣﻨﻴﺘﻲ )‪ Security Policy Database (SPD‬ﺍﺳﺖ‪ .‬ﺩﺭ ﺳﺎﺩﻩﺗﺮﻳﻦ ﻓﺮﻡ ﺧﻮﺩ‪ ،‬ﻳﻚ ‪ SPD‬ﺷﺎﻣﻞ‬
‫ﺍﻗﻼﻣﻲ ﺍﺳﺖ ﻛﻪ ﻫﺮﻳﻚ ﺍﺯ ﺁﻧﻬﺎ ﻳﻚ ﺯﻳﺮﻣﺠﻤﻮﻋﻪ ﺍﺯ ﺗﺮﺍﻓﻴﻚ ‪ IP‬ﺭﺍ ﺗﻌﻴﻴﻦ ﻛﺮﺩﻩ ﻭ ﺑﻪ ﻳﻚ ‪ SA‬ﺑﺮﺍﻱ ﺁﻥ ﺗﺮﺍﻓﻴﻚ ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨـﺪ‪ .‬ﺩﺭ‬
‫ﻣﺤﻴﻂﻫﺎﻱ ﭘﻴﭽﻴﺪﻩﺗﺮ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﻗﻼﻡ ﻣﺘﻌﺪﺩﻱ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ ﻛﻪ ﺑﺎﻟﻘﻮﻩ ﻣﺮﺗﺒﻂ ﺑﺎ ﻳﻚ ‪ SA‬ﻣﻨﻔﺮﺩ ﻳﺎ ‪SA‬ﻫﺎﻱ ﻣﺘﻌﺪﺩ ﻧﻈﻴـﺮ‬
‫ﻳﻚ ‪ SPD‬ﻣﻨﻔﺮﺩ ﺑﺎﺷﻨﺪ‪ .‬ﺧﻮﺍﻧﻨﺪﻩ ﺩﺭ ﺻﻮﺭﺕ ﻧﻴﺎﺯ ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﺍﺳﻨﺎﺩ ‪ IPSec‬ﻣﺮﺍﺟﻌﻪ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻫﺮ ‪ SPD‬ﺑﺘﻮﺳﻂ ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﺍﺯ ﺍﻧﺪﺍﺯﺓ ﻣﻴﺪﺍﻥﻫﺎﻱ ﭘﺮﻭﺗﻜﻞ ‪ IP‬ﻭ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﺑﻨﺎﻡ ﺍﻧﺘﺨﺎﺏﻛﻨﻨﺪﻩﻫﺎ)‪ (selectors‬ﺗﻌﺮﻳـﻒ‬
‫ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﺍﻳﻦ ﺍﻧﺘﺨﺎﺏ ﻛﻨﻨﺪﻩﻫﺎ‪ ،‬ﺑﺮﺍﻱ ﻓﻴﻠﺘﺮﻛﺮﺩﻥ ﺗﺮﺍﻓﻴﻚ ﺧﺮﻭﺟﻲ ﺑﻤﻨﻈﻮﺭ ﻧﮕﺎﺷﺖ ﺁﻧﻬـﺎ ﺑـﻪ ﻳـﻚ ‪ SA‬ﺑﺨـﺼﻮﺹ ﺍﺳـﺘﻔﺎﺩﻩ‬
‫ﻣﻲﺷﻮﻧﺪ‪ .‬ﭘﺮﺩﺍﺯﺵ ﺩﺍﺩﻩﻫﺎﻱ ﺧﺎﺭﺝ ﺷﻮﻧﺪﻩ‪ ،‬ﺍﺯ ﻣﺮﺍﺣﻞ ﻋﻤﻮﻣﻲ ﺯﻳﺮ ﺑﺮﺍﻱ ﻫﺮ ﺑﺴﺘﺔ ‪ IP‬ﺗﺒﻌﻴﺖ ﻣﻲﻛﻨﺪ‪:‬‬
‫‪ -۱‬ﺍﻧﺪﺍﺯﺓ ﻣﻴﺪﺍﻥﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺩﺭ ﺑﺴﺘﻪ )ﻣﻴﺪﺍﻥﻫﺎﻱ ‪ (selector‬ﺭﺍ ﺑﺎ ‪ SPD‬ﻣﻘﺎﻳﺴﻪ ﻛﺮﺩﻩ ﺗﺎ ﻳﻚ ﺗﻄﺒﻴﻖ ﭘﻴـﺪﺍ ﺷـﻮﺩ ﻛـﻪ ﺑـﻪ‬
‫ﻫﻴﭻ ﻭ ﻳﺎ ﭼﻨﺪ ‪ SA‬ﺍﺷﺎﺭﻩ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۲‬ﺍﮔﺮ ‪ SA‬ﺑﺮﺍﻱ ﺍﻳﻦ ﺑﺴﺘﻪ ﻣﻮﺟﻮﺩ ﺍﺳﺖ ﺁﻥ ﺭﺍ ﺗﻌﻴﻴﻦ ﻛﺮﺩﻩ ﻭ ‪ SPI‬ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﺭﺍ ﺍﺳﺘﺨﺮﺍﺝ ﻛﻨﺪ‪.‬‬
‫‪ -۳‬ﭘﺮﺩﺍﺯﺵ ﻻﺯﻡ ‪ IPSec‬ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﻫﺪ )ﻳﻌﻨﻲ ﭘﺮﺩﺍﺯﺵ ‪ ESP‬ﻳﺎ ‪.(AH‬‬
‫ﺍﻧﺘﺨﺎﺏﻛﻨﻨﺪﻩﻫﺎﻱ ﺯﻳﺮ ﺗﻌﻴﻴﻦﻛﻨﻨﺪﺓ ﻳﻚ ﻗﻠﻢ ﻣﻮﺟﻮﺩ ﺩﺭ ‪ SPD‬ﻫﺴﺘﻨﺪ‪:‬‬
‫ﺁﺩﺭﺱ ‪ IP‬ﻣﻘﺼﺪ‪ :‬ﺍﻳﻦ ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﺁﺩﺭﺱ ‪ IP‬ﻣﻨﻔﺮﺩ‪ ،‬ﻣﺤﺪﻭﺩﻩﺍﻱ ﺍﺯ ﺁﺩﺭﺱﻫﺎ ﻭ ﻳﺎ ﻳﻚ ﺁﺩﺭﺱ ﻋﺎﻡ )‪ (mask‬ﺑﺎﺷـﺪ‪.‬‬ ‫•‬
‫ﺩﻭﺗﺎﻱ ﺁﺧﺮ ﺍﺯ ﺍﻳﻦ ﺟﻬﺖ ﻣﻮﺭﺩ ﻧﻴﺎﺯﻧﺪ ﻛﻪ ﺑﻴﺶ ﺍﺯ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﻘﺼﺪ ﺑﺎ ‪ SA‬ﻳﻜﺴﺎﻥ ﺭﺍ ﺣﻤﺎﻳﺖ ﻛﻨﻨﺪ )ﻣﺜﻞ ﭘﺸﺖ ﻳـﻚ‬
‫ﺩﻳﻮﺍﺭ ﺁﺗﺶ(‪.‬‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢١٢‬‬
‫ﺁﺩﺭﺱ ‪ IP‬ﻣﻨﺒﻊ‪ :‬ﺍﻳﻦ ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﺁﺩﺭﺱ ‪ IP‬ﻣﻨﻔﺮﺩ‪ ،‬ﻣﺤﺪﻭﺩﻩﺍﻱ ﺍﺯ ﺁﺩﺭﺱﻫﺎ ﻭ ﻳﺎ ﻳﻚ ﺁﺩﺭﺱ ﻋﺎﻡ ﺑﺎﺷﺪ‪ .‬ﺩﻭﺗﺎﻱ ﺁﺧـﺮ‬ ‫•‬
‫ﺍﺯ ﺍﻳﻦ ﺟﻬﺖ ﻣﻮﺭﺩ ﻧﻴﺎﺯﻧﺪ ﻛﻪ ﺑﻴﺶ ﺍﺯ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﻨﺒﻊ ﺑﺎ ‪ SA‬ﻳﻜﺴﺎﻥ ﺭﺍ ﺣﻤﺎﻳﺖ ﻛﻨﻨﺪ )ﻣﺜﻞ ﭘﺸﺖ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ(‪.‬‬
‫ﺷﻤﺎﺭﺓ ﺷﻨﺎﺳﺎﺋﻲ ﻛﺎﺭﺑﺮ‪ :‬ﻳﻚ ﺷﻨﺎﺳـﺔ ﻛـﺎﺭﺑﺮ)‪ (UserID‬ﺩﺭ ﺳﻴـﺴﺘﻢ ﻋﺎﻣـﻞ‪ .‬ﺍﻳـﻦ ﻳـﻚ ﻣﻴـﺪﺍﻥ ﺩﺭ ﺳـﺮﺁﻳﻨﺪ‪ IP‬ﻭ ﻳـﺎ‬ ‫•‬
‫ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﻧﻴﺴﺖ ﺑﻠﻜﻪ ﻓﻘﻂ ﺩﺭ ﺻﻮﺭﺗﻲ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ‪ IPSec‬ﺭﻭﻱ ﻫﻤﺎﻥ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻛـﻪ ﻛـﺎﺭﺑﺮ ﺑـﻪ‬
‫ﺁﻥ ﻭﺻﻞ ﺍﺳﺖ ﻛﺎﺭ ﻛﻨﺪ‪.‬‬
‫ﺳﻄﺢ ﺍﻣﻨﻴﺘﻲ ﺩﻳﺘﺎ‪ :‬ﺑﺮﺍﻱ ﺳﻴﺴﺘﻢﻫﺎﺋﻲ ﻛﻪ ﺍﻣﻨﻴﺖ ﺟﺮﻳﺎﻥ ﺍﻃﻼﻋﺎﺕ ﺭﺍ ﻓـﺮﺍﻫﻢ ﻣـﻲﻛﻨﻨـﺪ ﺑﻜـﺎﺭ ﻣـﻲﺭﻭﺩ )ﻣـﺜﻼﹰ ﺳـﺮّﻱ ﻳـﺎ‬ ‫•‬
‫ﻃﺒﻘﻪﺑﻨﺪﻱ ﻧﺸﺪﻩ(‪.‬‬
‫ﭘﺮﻭﺗﻜﻞ ﻻﻳﺔ ﺣﻤﻞﻭﻧﻘﻞ‪ :‬ﺍﺯ ﭘﺮﻭﺗﻜﻞ ‪ IPv4‬ﻭ ﻳﺎ ﻣﻴﺪﺍﻥ ‪ IPv6 Next Header‬ﺑﺪﺳﺖ ﻣﻲﺁﻳﺪ‪ .‬ﺍﻳﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﻤﺎﺭﺓ‬ ‫•‬
‫ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﻣﻨﻔﺮﺩ‪ ،‬ﻟﻴﺴﺘﻲ ﺍﺯ ﺷﻤﺎﺭﺓ ﭘﺮﻭﺗﻜﻞﻫﺎ ﻭ ﻳﺎ ﻣﺤﺪﻭﺩﻩﺍﻱ ﺍﺯ ﺷﻤﺎﺭﺓ ﭘﺮﻭﺗﻜﻞﻫﺎ ﺑﺎﺷﺪ‪.‬‬
‫ﭘﻮﺭﺕﻫﺎﻱ ﻣﻨﺒﻊ ﻭ ﻣﻘﺼﺪ‪ :‬ﺍﻳﻨﻬﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﻧﺪﺍﺯﺓ ﻳﻚ ﭘﻮﺭﺕ ﻣﻨﻔﺮﺩ ‪ TCP‬ﻳﺎ ‪ ،UDP‬ﻟﻴﺴﺘﻲ ﺍﺯ ﭘﻮﺭﺕﻫـﺎﻱ ﻣﺨﺘﻠـﻒ ﻭ‬ ‫•‬
‫ﻳﺎ ﻳﻚ ﭘﻮﺭﺕ ﻋﺎﻡ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﻫﻢ ‪ AH‬ﻭ ﻫﻢ ‪ ESP‬ﺩﻭ ﻣُﻮﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺩﺍﺭﻧﺪ‪ :‬ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ )‪ (transport‬ﻭ ﻣُﻮﺩ ﺗﻮﻧﻞ)‪ .(tunnel‬ﻋﻤﻠﻜﺮﺩ ﺍﻳﻦ ﺩﻭ ﻣُﻮﺩ ﺑﻪ ﺑﻬﺘـﺮﻳﻦ‬
‫ﻧﺤﻮ ﭘﺲ ﺍﺯ ﺗﻮﺻﻴﻒ ‪ AH‬ﻭ ‪ ESP‬ﺭﻭﺷﻦ ﺧﻮﺍﻫﺪ ﺷﺪ ﻛﻪ ﺩﺭ ﺑﺨﺶﻫﺎﻱ ‪ ۶-۳‬ﻭ ‪ ۶-۴‬ﺑﻪ ﺁﻥ ﺧﻮﺍﻫﻴﻢ ﭘﺮﺩﺍﺧﺖ‪ .‬ﻓﻌﻼﹰ ﻣـﺮﻭﺭﻱ ﻛﻮﺗـﺎﻩ‬
‫ﺑﺮ ﺁﻧﻬﺎ ﺍﺭﺍﺋﻪ ﻣﻲﺩﻫﻴﻢ‪.‬‬
‫ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ‬
‫ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ ﺣﻔﺎﻇﺖ ﺭﺍ ﻋﻤﺪﺗﺎﹰ ﺑﺮﺍﻱ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﻳﻌﻨﻲ ﺣﻔﺎﻇﺖ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘـﻞ ﺑـﻪ ﻣﺤﻤﻮﻟـﺔ‬
‫ﺑﺴﺘﺔ ‪ IP‬ﺍﻋﻤﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﺍﻳﻦ ﺩﺳﺖ ﻳﻚ ﺳِﮕﻤﻨﺖ ‪ TCP‬ﻳﺎ ‪ UDP‬ﻭ ﻳﺎ ﻳﻚ ﺑﺴﺘﺔ ‪ ICMP‬ﺍﺳﺖ ﻛﻪ ﻫﻤﺔ ﺁﻧﻬﺎ ﻣﺴﺘﻘﻴﻤﺎﹰ‬
‫ﺩﺭ ﺑﺎﻻﻱ ‪ IP‬ﻛﺎﺭ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻣﻌﻤﻮﻻﹰ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ ﺑﺮﺍﻱ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﺑﻴﻦ ﺩﻭ ﻣﻴﺰﺑﺎﻥ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ )ﻣﺜﻼﹰ ﻳـﻚ ﻛﻼﻳﻨـﺖ ﻭ‬
‫ﻳﻚ ﺳِﺮﻭﺭ ﻭ ﻳﺎ ﺩﻭ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ(‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﻣﻴﺰﺑﺎﻥ‪ AH ،‬ﻳﺎ ‪ ESP‬ﺭﺍ ﺭﻭﻱ ‪ IPv4‬ﺍﺟﺮﺍ ﻣﻲﻛﻨﺪ‪ ،‬ﻣﺤﻤﻮﻟﻪ ﻫﻤﺎﻥ ﺩﻳﺘـﺎﺋﻲ ﺍﺳـﺖ ﻛـﻪ‬
‫ﺑﻄﻮﺭ ﻧﺮﻣﺎﻝ ﺑﻌﺪ ﺍﺯ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺑﺮﺍﻱ ‪ ،IPv6‬ﻣﺤﻤﻮﻟﻪ ﺩﻳﺘﺎﺋﻲ ﺍﺳﺖ ﻛﻪ ﻣﻌﻤـﻮﻻﹰ ﺑﻌـﺪ ﺍﺯ ﺳـﺮﺁﻳﻨﺪ ‪ IP‬ﻭ ﻫـﺮ ﺳـﺮﺁﻳﻨﺪ‬
‫ﺍﻟﺤﺎﻗﻲ ﻣﻮﺟﻮﺩ ﺩﻳﮕﺮ ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﺑﺠﺰ ﺣﺎﻟﺖ ﺍﺳﺘﺜﻨﺎﺋﻲ ﺳﺮﺁﻳﻨﺪ ‪ option‬ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﺑﺨﺶ ﺣﻔﺎﻇﺖ ﺷﺪﻩ ﻗﺮﺍﺭﮔﻴﺮﺩ‪.‬‬
‫‪ ESP‬ﺩﺭ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ‪ ،‬ﻣﺤﻤﻮﻟﺔ ‪ IP‬ﻭ ﻧﻪ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺭﺍ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺑﻄﻮﺭ ﺍﺧﺘﻴﺎﺭﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻲﻧﻤﺎﻳﺪ‪ AH .‬ﺩﺭ ﻣُـﻮﺩ‬
‫ﺣﻤﻞﻭﻧﻘﻞ ﻣﺤﻤﻮﻟﺔ ‪ IP‬ﻭ ﺑﺨﺶﻫﺎﻱ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩﺍﻱ ﺍﺯ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻣُﻮﺩ ﺗﻮﻧﻞ‬
‫ﻣُﻮﺩ ﺗﻮﻧﻞ ﺣﻔﺎﻇﺖ ﺭﺍ ﺑﺮﺍﻱ ﺗﻤﺎﻡ ﺑﺴﺘﺔ ‪ IP‬ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﭘﺲ ﺍﺯ ﺍﻳﻨﻜﻪ ﻣﻴﺪﺍﻥﻫﺎﻱ ‪ AH‬ﻳﺎ ‪ ESP‬ﺑـﻪ ﺑـﺴﺘﺔ‬
‫‪ IP‬ﺍﺿﺎﻓﻪ ﺷﺪﻧﺪ‪ ،‬ﺗﻤﺎﻡ ﺑﺴﺘﻪ ﺑﺎﺿﺎﻓﺔ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺑﺼﻮﺭﺕ ﻣﺤﻤﻮﻟﺔ ﻳﻚ ﺑﺴﺘﺔ ‪ IP‬ﺟﺪﻳﺪ »ﺑﻴﺮﻭﻧﻲﺗـﺮ« ﺑـﺎ ﺳـﺮﺁﻳﻨﺪ ‪ IP‬ﺟﺪﻳـﺪ‬
‫‪٢١٣‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫ﺩﺭﺧﻮﺍﻫﻨﺪ ﺁﻣﺪ‪ .‬ﺗﻤﺎﻡ ﺑﺴﺘﺔ ﺍﻭﻟﻴﻪ ﻳﺎ ﺩﺭﻭﻧﻲ ﺍﺯ ﺩﺭﻭﻥ ﻳﻚ »ﺗﻮﻧﻞ« ﺍﺯ ﻳﻚ ﻧﻘﻄـﻪ ﺷـﺒﻜﺔ ‪ IP‬ﺑـﻪ ﻧﻘﻄـﺔ ﺩﻳﮕـﺮ ﺣﺮﻛـﺖ ﻛـﺮﺩﻩ ﻭ ﻫـﻴﭻ‬
‫ﻣﺴﻴﺮﻳﺎﺑﻲ ﺩﺭ ﻣﺴﻴﺮ ﺁﻥ ﻗﺎﺩﺭ ﻧﻴﺴﺖ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺩﺭﻭﻧﻲ ﺭﺍ ﺑﺮﺭﺳﻲ ﻛﻨﺪ‪ .‬ﭼﻮﻥ ﺑﺴﺘﺔ ﺍﻭﻟﻴﻪ ﻛﭙـﺴﻮﻟﻲ ﺷـﺪﻩ ﺍﺳـﺖ‪ ،‬ﺑـﺴﺘﺔ ﺟﺪﻳـﺪﺗﺮ ﻭ‬
‫ﺑﺰﺭﮔﺘﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺍﺭﺍﻱ ﺁﺩﺭﺱﻫﺎﻱ ﻣﺒﺪﺃ ﻭ ﻣﻘﺼﺪ ﻛﺎﻣﻼﹰ ﻣﺘﻔﺎﻭﺕ ﺑﺎﺷﻨﺪ ﻛﻪ ﺍﻳﻦ ﺧﻮﺩ ﺑﻪ ﺍﻣﻨﻴـﺖ ﻣـﻲﺍﻓﺰﺍﻳـﺪ‪ .‬ﻣُـﻮﺩ ﺗﻮﻧـﻞ ﻭﻗﺘـﻲ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ ﻛﻪ ﻳﻚ ﻳﺎ ﻫﺮﺩﻭ ﺍﻧﺘﻬﺎﻱ ‪ SA‬ﻳﻚ ﺩﺭﻭﺍﺯﺓ ﺍﻣﻨﻴﺘﻲ ﻫﻤﭽﻮﻥ ﺩﻳـﻮﺍﺭ ﺁﺗـﺶ ﻳـﺎ ﻣـﺴﻴﺮﻳﺎﺑﻲ ﺑﺎﺷـﺪ ﻛـﻪ ‪ IPSec‬ﺭﺍ ﺑﻜـﺎﺭ‬
‫ﻣﻲﮔﻴﺮﺩ‪ .‬ﺩﺭ ﻣُﻮﺩ ﺗﻮﻧﻞ‪ ،‬ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻣﻴﺰﺑﺎﻧﺎﻥ ﺭﻭﻱ ﺷﺒﻜﻪ ﻭ ﭘﺸﺖ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺪﻭﻥ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ‪ ، IPSec‬ﺍﺭﺗﺒﺎﻃـﺎﺕ ﺍﻣـﻦ‬
‫ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ .‬ﺑﺴﺘﻪﻫﺎﻱ ﺣﻔﺎﻇﺖ ﻧﺸﺪﻩ ﻛﻪ ﺍﺯ ﻃﺮﻑ ﭼﻨﻴﻦ ﻣﻴﺰﺑـﺎﻥﻫـﺎﺋﻲ ﺗﻮﻟﻴـﺪ ﻣـﻲﺷـﻮﻧﺪ ﺍﺯ ﺩﺭﻭﻥ ﺷـﺒﻜﻪﻫـﺎﻱ ﺧـﺎﺭﺟﻲ ﺑﺘﻮﺳـﻂ‬
‫‪SA‬ﻫﺎﻱ ﻣُﻮﺩ ﺗﻮﻧﻞ ﻛﻪ ﺑﺘﻮﺳﻂ ﻧﺮﻡﺍﻓﺰﺍﺭ ‪ IPSec‬ﺩﺭ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻭ ﻳﺎ ﻣﺴﻴﺮﻳﺎﺏﻫﺎﻱ ﺍﻣﻦ ﺩﺭ ﻣﺮﺯﻫﺎﻱ ﺷﺒﻜﻪ ﻓﺮﺍﻫﻢ ﮔﺸﺘﻪﺍﻧـﺪ‪ ،‬ﺗﻮﻧـﻞ‬
‫ﺩﺭ ﺍﻳﻨﺠﺎ ﻣﺜﺎﻟﻲ ﺍﺯ ﺍﻳﻨﻜﻪ ﻣُﻮﺩ ﺗﻮﻧﻞ ‪ IPSec‬ﭼﻄﻮﺭ ﻛﺎﺭ ﻣﻲﻛﻨﺪ‪ ،‬ﺍﺭﺍﺋﻪ ﻣﻲﺩﻫﻴﻢ‪ .‬ﻣﻴﺰﺑﺎﻥ ‪ A‬ﺭﻭﻱ ﻳﻚ ﺷﺒﻜﻪ‪ ،‬ﻳﻚ ﺑـﺴﺘﺔ ‪ IP‬ﺑـﺎ‬
‫ﺁﺩﺭﺱ ﻣﻘﺼﺪ ﻣﻴﺰﺑﺎﻥ ‪ B‬ﺭﻭﻱ ﺷﺒﻜﺔ ﺩﻳﮕﺮﻱ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺑﺴﺘﻪ ﺍﺯ ﻣﻴﺰﺑﺎﻥ ﻣﺒﺪﺃ ﺑﻪ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻳﺎ ﻣـﺴﻴﺮﻳﺎﺏ ﺍﻣـﻦ ﺩﺭ‬
‫ﻣﺮﺯ ﺷﺒﻜﺔ ‪ A‬ﻣﻲﺭﻭﺩ‪ .‬ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺗﻤﺎﻡ ﺑﺴﺘﻪﻫﺎﻱ ﺧﺮﻭﺟﻲ ﺭﺍ ﻓﻴﻠﺘﺮ ﻛﺮﺩﻩ ﺗﺎ ﻧﻴﺎﺯ ﺑﻪ ﭘﺮﺩﺍﺯﺵ ‪ IPSec‬ﺭﺍ ﺗﻌﻴﻴﻦ ﻛﻨﺪ‪ .‬ﺍﮔﺮ ﺍﻳـﻦ ﺑـﺴﺘﻪ‬
‫ﺍﺯ ‪ A‬ﺑﻪ ‪ B‬ﻧﻴﺎﺯ ﺑﻪ ‪ IPSec‬ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﭘﺮﺩﺍﺯﺵ ‪ IPSec‬ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﻭ ﺑﺴﺘﻪ ﺭﺍ ﺑﺎ ﻳﻚ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺑﻴﺮﻭﻧﻲ ﻛﭙﺴﻮﻟﻲ‬
‫ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺁﺩﺭﺱ ‪ IP‬ﻣﻨﺒﻊ ﺍﻳﻦ ﺑﺴﺘﻪ ‪ IP‬ﺑﻴﺮﻭﻧﻲ‪ ،‬ﺍﻳﻦ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺑﻮﺩﻩ ﻭ ﺁﺩﺭﺱ ﻣﻘﺼﺪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﻳـﻮﺍﺭ ﺁﺗـﺸﻲ ﺑﺎﺷـﺪ ﻛـﻪ ﻣـﺮﺯ‬
‫ﺷﺒﻜﺔ ﻣﺤﻠﻲ ‪ B‬ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﺪ‪ .‬ﺣﺎﻻ ﺍﻳﻦ ﺑﺴﺘﻪ ﺑﻪ ﺳﻤﺖ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ‪ B‬ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﻲﺷـﻮﺩ ﻭ ﻣـﺴﻴﺮﻳﺎﺏﻫـﺎﻱ ﻭﺳـﻂ ﺭﺍﻩ ﻓﻘـﻂ‬
‫ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺑﻴﺮﻭﻧﻲ ﺭﺍ ﻭﺍﺭﺳﻲ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺩﺭ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ‪ ،B‬ﺳـﺮﺁﻳﻨﺪ ‪ IP‬ﺑﻴﺮﻭﻧـﻲ ﻛﻨـﺪﻩ ﻣـﻲﺷـﻮﺩ ﻭ ﺑـﺴﺘﻪ ﺩﺭﻭﻧـﻲ ﺑـﻪ ‪ B‬ﺗﺤﻮﻳـﻞ‬
‫ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫‪ ESP‬ﺩﺭ ﻣُﻮﺩ ﺗﻮﻧﻞ‪ ،‬ﺗﻤﺎﻡ ﺑﺴﺘﺔ ‪ IP‬ﺩﺭﻭﻧﻲ ﻛﻪ ﺷﺎﻣﻞ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺩﺭﻭﻧـﻲ ﻧﻴـﺰ ﻣـﻲﺷـﻮﺩ ﺭﺍ ﺭﻣﺰﻧﮕـﺎﺭﻱ ﻭ ﺑﻄـﻮﺭ ﺍﺧﺘﻴـﺎﺭﻱ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻲﻧﻤﺎﻳﺪ‪ AH .‬ﺩﺭ ﻣُﻮﺩ ﺗﻮﻧﻞ ﺗﻤﺎﻡ ﺑﺴﺘﺔ ‪ IP‬ﺩﺭﻭﻧﻲ ﻭ ﺑﺨﺶﻫﺎﻱ ﺍﻧﺘﺨﺎﺏﺷﺪﻩﺍﻱ ﺍﺯ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺑﻴﺮﻭﻧﻲ ﺭﺍ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ‬
‫ﺟﺪﻭﻝ ‪ ۶-۲‬ﻋﻤﻠﻜﺮﺩ ﻣُﻮﺩﻫﺎﻱ ﺣﻤﻞﻭﻧﻘﻞ ﻭ ﺗﻮﻧﻞ ﺭﺍ ﺧﻼﺻﻪ ﻛﺮﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﺳﺮﺁﻳﻨﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ )‪(Authentication Header‬‬ ‫‪۶-۳‬‬
‫ﺳﺮﺁﻳﻨﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭﻇﻴﻔﺔ ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﺻﺤﺖ ﺩﻳﺘﺎ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺴﺘﻪﻫﺎﻱ ‪ IP‬ﺭﺍ ﺑﻌﻬﺪﻩ ﺩﺍﺭﺩ‪ .‬ﺧﺎﺻﻴﺖ ﻣﺮﺑﻮﻁ ﺑـﻪ ﺻـﺤﺖ ﺩﻳﺘـﺎ‬
‫ﺍﻳﻦ ﺍﻃﻤﻴﻨﺎﻥ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ﺩﺧﻞ ﺗﺼﺮﻑ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﻧﺸﺪﻩ ﺩﺭ ﻣﺤﺘﻮﻳﺎﺕ ﺑﺴﺘﻪﻫﺎﻱ ﺩﺭ ﺣـﺎﻝ ﺗﺮﺍﻧﺰﻳـﺖ ﻏﻴـﺮﻣﻤﻜﻦ ﺍﺳـﺖ‪.‬‬
‫ﺧﺎﺻﻴﺖ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻳﻚ ﺳﻴﺴﺘﻢ ﻳﺎ ﻳﻚ ﺩﺳﺘﮕﺎﻩ ﻣﺘﺼﻞ ﺑﻪ ﺷﺒﻜﻪ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﻫﻮﻳﺖ ﻳﻚ ﻛﺎﺭﺑﺮ ﻭ ﻳﺎ ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﺭﺍ ﺑﺮﺭﺳﻲ‬
‫ﻛﺮﺩﻩ ﻭ ﺗﺮﺍﻓﻴﻚ ﺭﺍ ﺑﺮ ﺍﺳﺎﺱ ﺁﻥ ﻓﻴﻠﺘﺮ ﻛﻨﺪ‪ .‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻫﻤﭽﻨﻴﻦ ﺍﺯ ﺣﻤﻼﺕ ﺗﻘﻠﻴـﺪﺁﺩﺭﺱ)‪ (spoofing‬ﻛـﻪ ﺍﻣـﺮﻭﺯﻩ ﺩﺭ ﺍﻳﻨﺘﺮﻧـﺖ‬
‫ﻣﺸﺎﻫﺪﻩ ﻣﻲﺷﻮﺩ ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﻛﻨﺪ‪ AH .‬ﻫﻤﭽﻨﻴﻦ ﺩﺭ ﺑﺮﺍﺑﺮ ﺣﻤﻼﺕ ﺑﺎﺯﺧﻮﺍﻧﻲ )‪ (replay‬ﺍﻳﺠﺎﺩ ﻣﺼﻮﻧﻴﺖ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ )‪ (MAC‬ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ ﻛﻪ ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﻗﺒﻼﹰ ﺩﺭ ﻣﻮﺭﺩ ﺁﻥ ﺑﺤـﺚ ﺷـﺪﻩ‬
‫ﺍﺳﺖ ﻧﻴﺎﺯ ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﮔﺬﺍﺭﺩﻥ ﻳﻚ ﻛﻠﻴﺪ ﺳّﺮﻱ ﺑﻴﻦ ﻃﺮﻓﻴﻦ ﺍﺭﺗﺒﺎﻁ ﺩﺍﺭﺩ‪.‬‬
‫ﺳﺮﺁﻳﻨﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺎﻣﻞ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ )ﺷﻜﻞ ‪: (۶-۳‬‬
‫)‪ :Next Header (8 bits‬ﻧﻮﻉ ﺳﺮﺁﻳﻨﺪﻱ ﻛﻪ ﺑﻼﻓﺎﺻﻠﻪ ﭘﺲ ﺍﺯ ﺍﻳﻦ ﺳﺮﺁﻳﻨﺪ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢١٤‬‬
‫ﺟﺪﻭﻝ ‪ ۶-۲‬ﻋﻤﻠﻜﺮﺩ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ ﻭ ﻣُﻮﺩ ﺗﻮﻧﻞ‬
‫‪Tunnel Mode SA‬‬ ‫‪Transport Mode SA‬‬
‫ﻣﺤﻤﻮﻟﺔ ‪ IP‬ﻭ ﺑﺨﺶﻫﺎﻱ ﺍﻧﺘﺨﺎﺏ ﺷـﺪﻩﺍﻱ ﺍﺯ ﺳـﺮﺁﻳﻨﺪ ﺗﻤﺎﻡ ﺑﺴﺘﺔ ‪ IP‬ﺩﺭﻭﻧﻲ )ﺳـﺮﺁﻳﻨﺪ ﺩﺭﻭﻧـﻲ ﺑﻌـﻼﻭﺓ‬ ‫‪AH‬‬
‫ﻣﺤﻤﻮﻟﺔ ‪ (IP‬ﺑﺎﺿﺎﻓﺔ ﻗﺴﻤﺖﻫﺎﻱ ﺍﻧﺘﺨﺎﺏﺷـﺪﻩﺍﻱ‬ ‫‪ IP‬ﻭ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ ‪ IPv6‬ﺭﺍ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﺍﺯ ﺳــﺮﺁﻳﻨﺪ ‪ IP‬ﺑﻴﺮﻭﻧــﻲ ﻭ ﺳــﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤــﺎﻗﻲ‬ ‫ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫‪ IPv6‬ﺑﻴﺮﻭﻧﻲ ﺭﺍ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﻣﺤﻤﻮﻟﺔ ‪ IP‬ﻭ ﻫﺮ ﺳﺮﺁﻳﻨﺪ ﺍﻟﺤـﺎﻗﻲ ‪ IPv6‬ﻛـﻪ ﺑﻌـﺪ ﺍﺯ ﺑﺴﺘﺔ ‪ IP‬ﺩﺭﻭﻧﻲ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ESP‬‬
‫ﺳﺮﺁﻳﻨﺪ ‪ ESP‬ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻣﺤﻤﻮﻟﺔ ‪ IP‬ﻭ ﻫﺮ ﺳﺮﺁﻳﻨﺪ ﺍﻟﺤـﺎﻗﻲ ‪ IPv6‬ﻛـﻪ ﺑﻌـﺪ ﺍﺯ ﺑﺴﺘﺔ ‪ IP‬ﺩﺭﻭﻧﻲ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪ESP‬‬
‫ﺳــﺮﺁﻳﻨﺪ ‪ ESP‬ﻗــﺮﺍﺭ ﺩﺍﺭﺩ ﺭﺍ ﺭﻣﺰﻧﮕــﺎﺭﻱ ﻣــﻲﻛﻨــﺪ‪ .‬ﺑﺴﺘﺔ ‪ IP‬ﺩﺭﻭﻧﻲ ﺭﺍ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺑﺎ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﻣﺤﻤﻮﻟﺔ ‪ IP‬ﻭ ﻧﻪ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺭﺍ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻲﻛﻨﺪ‪.‬‬
‫)‪ :Payload Length (8 bits‬ﻃﻮﻝ ﺳﺮﺁﻳﻨﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺮﺣﺴﺐ ﻛﻠﻤﺎﺕ ‪ -۳۲‬ﺑﻴﺘﻲ ﻣﻨﻬﺎﻱ ‪ .۲‬ﺑﻌﻨﻮﺍﻥ ﻣﺜـﺎﻝ‪ ،‬ﻃـﻮﻝ‬ ‫•‬
‫ﭘﻴﺶ ﻓﺮﺽ ﻣﻴﺪﺍﻥ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﻳﺘﺎ ‪ ۹۶‬ﺑﻴﺖ ﻭ ﻳﺎ ‪ ۳‬ﻛﻠﻤﺔ ‪ -۳۲‬ﺑﻴﺘﻲ ﺍﺳﺖ‪ .‬ﺑﺎ ﻳﻚ ﺳﺮﺁﻳﻨﺪ ﺛﺎﺑﺖ ﺳـﻪ ﻛﻠﻤـﻪﺍﻱ‪ ،‬ﺷـﺶ‬
‫ﻛﻠﻤﻪ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ﻭﺟﻮﺩ ﺧﻮﺍﻫﺪ ﺩﺍﺷﺖ ﻭ ﺍﻧﺪﺍﺯﺓ ﻣﻴﺪﺍﻥ ‪ Payload Length‬ﺑﺮﺍﺑﺮ ‪ ۴‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫)‪ :Reserved (16 bits‬ﺑﺮﺍﻱ ﻣﺼﺎﺭﻑ ﺁﻳﻨﺪﻩ ﺭﺯﺭﻭ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫)‪ :Security Parameters Index (32 bits‬ﻳﻚ ﺍﺗﺤﺎﺩ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫)‪ :Sequence Number (32 bits‬ﻳﻚ ﺷﻤﺎﺭﻧﺪﻩ ﻛﻪ ﺍﻧﺪﺍﺯﺓ ﺁﻥ ﺑﻄﻮﺭ ﻳﻜﻨﻮﺍﺧﺖ ﺯﻳﺎﺩ ﻣﻲﺷﻮﺩ ﻭ ﺑﻌﺪﺍﹰ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ‬ ‫•‬
‫ﺧﻮﺍﻫﺪ ﮔﺮﻓﺖ‪.‬‬
‫)‪ :Authentication Data (variable‬ﻳﻚ ﻣﻴﺪﺍﻥ ﺑـﺎ ﻃـﻮﻝ ﻣﺘﻐﻴـﺮ )ﻛـﻪ ﺑﺎﻳـﺴﺘﻲ ﻣـﻀﺮﺏ ﺻـﺤﻴﺤﻲ ﺍﺯ ﻛﻠﻤـﺎﺕ‬ ‫•‬
‫‪ -۳۲‬ﺑﻴﺘﻲ ﺑﺎﺷﺪ( ﻛﻪ ﺷﺎﻣﻞ )‪، Integrity Check Value (ICV‬ﻳﺎ ‪ ،MAC‬ﺑﺮﺍﻱ ﺍﻳﻦ ﺑﺴﺘﻪ ﺍﺳﺖ ﻭ ﺑﻌﺪﺍﹰ ﺩﺭ ﻣﻮﺭﺩ ﺁﻥ‬
‫ﺻﺤﺒﺖ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ‪.‬‬
‫ﺳﺮﻭﻳﺲ ﺿﺪ‪ -‬ﺑﺎﺯﺧﻮﺍﻧﻲ )‪(Anti-Replay Sevice‬‬

‫ﻳﻚ ﺣﻤﻠﺔ ﺑﺎﺯﺧﻮﺍﻧﻲ ﭼﻨﻴﻦ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺁﻥ ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﻳﻚ ﻧﺴﺨﻪ ﺍﺯ ﺑﺴﺘﺔ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷـﺪﻩ ﺭﺍ ﺑـﻪ ﺩﺳـﺖ ﺁﻭﺭﺩﻩ ﻭ ﺑﻌـﺪﺍﹰ ﺁﻥ ﺭﺍ‬
‫ﺑﺮﺍﻱ ﻣﻘﺼﺪ ﻣﻮﺭﺩ ﻧﻈﺮ ﺍﺭﺳﺎﻝ ﻣﻲﺩﺍﺭﺩ‪ .‬ﺩﺭﻳﺎﻓﺖ ﻣﺠﺪﺩ ﺑﺴﺘﻪﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺪﻩ ﺩﺭ ﻣﻘـﺼﺪ‪ ،‬ﻣﻤﻜـﻦ ﺍﺳـﺖ ﺳـﺮﻭﻳﺲ ﺭﺍ ﺑﻨﺤـﻮﻱ‬
‫ﻣﺨﺘﻞ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﻧﺘﺎﻳﺞ ﻧﺎﻣﻄﻠﻮﺏ ﺩﻳﮕﺮﻱ ﺑﻪ ﺩﻧﺒﺎﻝ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻣﻴـﺪﺍﻥ ‪ Sequence Number‬ﺑـﺮﺍﻱ ﻣﻘﺎﺑﻠـﻪ ﺑـﺎ ﭼﻨـﻴﻦ ﺣﻤﻼﺗـﻲ‬
‫ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﺑﺘﺪﺍ ﻧﺤﻮﺓ ﺗﻮﻟﻴﺪ ﺷﻤﺎﺭﻩ ﺭﺩﻳﻒ ﺑﺘﻮﺳﻂ ﻓﺮﺳﺘﻨﺪﻩ ﺭﺍ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﻭ ﺳﭙﺲ ﺧﻮﺍﻫﻴﻢ ﺩﻳﺪ ﻛـﻪ ﺍﻳـﻦ ﻣﻴـﺪﺍﻥ‬
‫ﭼﮕﻮﻧﻪ ﺑﺘﻮﺳﻂ ﮔﻴﺮﻧﺪﻩ ﻣﻮﺭﺩ ﭘﺮﺩﺍﺯﺵ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫‪٢١٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫‪Bit :‬‬ ‫‪0‬‬ ‫‪8‬‬ ‫‪16‬‬ ‫‪31‬‬
‫‪Next header‬‬ ‫‪Payload length‬‬ ‫‪RESERVED‬‬
‫)‪Security Parameters Index (SPI‬‬
‫‪Sequence Number‬‬
‫)‪Authentication Data (variable‬‬
‫ﺳﺮﺁﻳﻨﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ )‪ (AH‬ﺩﺭ ‪IPSec‬‬ ‫ﺷﻜﻞ ‪۶-۳‬‬
‫ﺯﻣﺎﻧﻲ ﻛﻪ ﻳﻚ ‪ SA‬ﺟﺪﻳﺪ ﺑﺮﭘﺎ ﻣﻲﺷﻮﺩ‪ ،‬ﻓﺮﺳﺘﻨﺪﻩ ﻛﻨﺘﺮ ﺷﻤﺎﺭﺓ ﺭﺩﻳﻒ ﺭﺍ ﺭﻭﻱ ‪ 0‬ﺗﻨﻈﻴﻢ ﻣﻲﻛﻨﺪ‪ .‬ﻫﺮﺑﺎﺭ ﻛـﻪ ﻳـﻚ ﺑـﺴﺘﻪ ﺭﻭﻱ‬
‫ﺍﻳﻦ ‪ SA‬ﺍﺭﺳﺎﻝ ﻣﻲﮔﺮﺩﺩ‪ ،‬ﻓﺮﺳﺘﻨﺪﻩ ﻛﻨﺘﺮ ﺭﺍ ﻳـﻚ ﻭﺍﺣـﺪ ﺍﻓـﺰﺍﻳﺶ ﺩﺍﺩﻩ ﻭ ﺍﻧـﺪﺍﺯﺓ ﺁﻥ ﺭﺍ ﺩﺭ ﻣﻴـﺪﺍﻥ ‪ Sequence Number‬ﻗـﺮﺍﺭ‬
‫ﻣﻲﺩﻫﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﻭﻟﻴﻦ ﺍﻧﺪﺍﺯﻩﺍﻱ ﻛﻪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ ‪ 1‬ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﺳﺮﻭﻳﺲ ﺿﺪ‪ -‬ﺑﺎﺯﺧﻮﺍﻧﻲ ﻓﻌﺎﻝ ﺑﺎﺷـﺪ )ﭘـﻴﺶ ﻓـﺮﺽ(‪ ،‬ﻓﺮﺳـﺘﻨﺪﻩ‬
‫ﻧﺒﺎﻳﺴﺘﻲ ﺍﺟﺎﺯﻩ ﺩﻫﺪ ﺗﺎ ﺷﻤﺎﺭﺓ ﺭﺩﻳﻒ ﭘﺲ ﺍﺯ ﻋﺒﻮﺭ ﺍﺯ ‪ ۲۳۲-۱‬ﺑﻪ ﺻﻔﺮ ﺑﺮﮔﺮﺩﺩ‪ ،‬ﺩﺭ ﻏﻴﺮ ﺍﻳﻨﺼﻮﺭﺕ ﺑـﺴﺘﻪﻫـﺎﻱ ﻣﺘﻌـﺪﺩﻱ ﺑـﺎ ﺷـﻤﺎﺭﻩ‬
‫ﺭﺩﻳﻒ ﻳﻜﺴﺎﻥ ﻭﺟﻮﺩ ﺧﻮﺍﻫﻨﺪ ﺩﺍﺷﺖ‪ .‬ﺍﮔﺮ ﻣﺮﺯ ‪ ۲۳۲-۱‬ﻓﺮﺍ ﺭﺳﺪ‪ ،‬ﻓﺮﺳﺘﻨﺪﻩ ﺑﺎﻳﺴﺘﻲ ﺍﻳﻦ ‪ SA‬ﺭﺍ ﺧﺎﺗﻤﻪ ﺩﺍﺩﻩ ﻭ ‪ SA‬ﺟﺪﻳـﺪﻱ ﺑـﺎ ﻳـﻚ‬
‫ﻛﻠﻴﺪ ﺟﺪﻳﺪ ﺭﺍ ﺑﺎ ﮔﻴﺮﻧﺪﻩ ﺗﺸﻜﻴﻞ ﺩﻫﺪ‪.‬‬
‫ﭼﻮﻥ ‪ IP‬ﻳﻚ ﺳﺮﻭﻳﺲ ﻏﻴﺮﺍﺗﺼﺎﻟﻲ ﻭ ﻏﻴﺮﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ ﺍﺳﺖ‪ ،‬ﭘﺮﻭﺗﻜﻞ ﺗﻀﻤﻴﻨﻲ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﺤﻮﻳـﻞ ﻣـﻨﻈﻢ ﺑـﺴﺘﻪﻫـﺎ ﻭ ﻫﻤﭽﻨـﻴﻦ‬
‫ﺗﺤﻮﻳﻞ ﺗﻤﺎﻡ ﺑﺴﺘﻪﻫﺎ ﻧﺪﺍﺭﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﺳﻨﺎﺩ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪ IPSec‬ﭼﻨﻴﻦ ﺩﻳﻜﺘﻪ ﻣﻲﻛﻨﺪ ﻛﻪ ﮔﻴﺮﻧﺪﻩ ﺑﺎﻳﺴﺘﻲ ﭘﻨﺠﺮﻩﺍﻱ ﺑـﺎ ﺍﻧـﺪﺍﺯﺓ ‪ W‬ﺭﺍ‬
‫ﺍﻳﺠﺎﺩ ﻧﻤﺎﻳﺪ ﻛﻪ ﭘﻴﺶ ﻓﺮﺽ ﺁﻥ ‪ W = ۶۴‬ﺍﺳﺖ‪ .‬ﻟﺒﺔ ﺳﻤﺖ ﺭﺍﺳﺖ ﭘﻨﺠﺮﻩ‪ ،‬ﺑﺎﻻﺗﺮﻳﻦ ﺷﻤﺎﺭﻩ ﺭﺩﻳـﻒ ‪ ،N‬ﻣﺮﺑـﻮﻁ ﺑـﻪ ﺁﺧـﺮﻳﻦ ﺑـﺴﺘﺔ‬
‫ﻣﻌﺘﺒﺮ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ‪ ،‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺑﺮﺍﻱ ﻫﺮ ﺑﺴﺘﻪﺍﻱ ﺑﺎ ﺷﻤﺎﺭﺓ ﺭﺩﻳﻔﻲ ﺩﺭ ﻣﺤﺪﻭﺩﺓ ‪ N-W+1‬ﺗﺎ ‪ N‬ﻛـﻪ ﺑﻄـﻮﺭ ﺻـﺤﻴﺢ ﺩﺭﻳﺎﻓـﺖ‬
‫ﺷﺪﻩ ﺍﺳﺖ )ﻳﻌﻨﻲ ﺍﻋﺘﺒﺎﺭ ﺁﻥ ﺳﻨﺠﻴﺪﻩ ﺷﺪﻩ ﺍﺳﺖ(‪ ،‬ﺷﻴﺎﺭ ﻧﻈﻴﺮ ﺁﻥ ﺩﺭ ﭘﻨﺠﺮﻩ ﻋﻼﻣﺖ ﻣﻲﺧﻮﺭﺩ )ﺷـﻜﻞ ‪ .(۶-۴‬ﭘـﺲ ﺍﺯ ﺩﺭﻳﺎﻓـﺖ ﻳـﻚ‬
‫ﺑﺴﺘﻪ‪ ،‬ﻳﻚ ﭘﺮﺩﺍﺯﺵ ﺑﺸﻜﻞ ﺯﻳﺮ ﺭﻭﻱ ﺁﻥ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪:‬‬
‫‪ -۱‬ﺍﮔﺮ ﺑﺴﺘﺔ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺩﺭ ﺩﺍﺧﻞ ﭘﻨﺠﺮﻩ ﻗﺮﺍﺭ ﺩﺍﺷﺘﻪ ﻭ ﺟﺪﻳﺪ ﺑﺎﺷﺪ‪ ،‬ﺍﻧﺪﺍﺯﺓ ‪ MAC‬ﻛﻨﺘﺮﻝ ﻣﻲﺷﻮﺩ‪ .‬ﺍﮔﺮ ﺑـﺴﺘﻪ ﻣﻌﺘﺒـﺮ‬
‫ﺑﺎﺷﺪ‪ ،‬ﺷﻴﺎﺭ ﻧﻈﻴﺮ ﺁﻥ ﺩﺭ ﭘﻨﺠﺮﻩ ﻋﻼﻣﺖﮔﺬﺍﺭﻱ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ -۲‬ﺍﮔﺮ ﺑﺴﺘﺔ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺩﺭ ﺳﻤﺖ ﺭﺍﺳﺖ ﭘﻨﺠﺮﻩ ﻗﺮﺍﺭ ﺩﺍﺷﺘﻪ ﻭ ﺟﺪﻳﺪ ﺑﺎﺷﺪ‪ ،‬ﺍﻧﺪﺍﺯﺓ ‪ MAC‬ﻛﻨﺘﺮﻝ ﻣﻲﺷﻮﺩ‪ .‬ﺍﮔـﺮ ﺑـﺴﺘﻪ‬
‫ﻣﻌﺘﺒﺮ ﺑﺎﺷﺪ‪ ،‬ﭘﻨﺠﺮﻩ ﺟﻠﻮ ﻣﻲﺭﻭﺩ ﺑﻨﺤﻮﻱ ﻛﻪ ﺍﻳﻦ ﺷﻤﺎﺭﻩ ﺭﺩﻳﻒ ﻟﺒـﺔ ﺳـﻤﺖ ﺭﺍﺳـﺖ ﭘﻨﺠـﺮﻩ ﺭﺍ ﺗـﺸﻜﻴﻞ ﺩﻫـﺪ ﻭ ﺷـﻴﺎﺭ‬
‫ﻧﻈﻴﺮﺁﻥ ﺩﺭ ﭘﻨﺠﺮﻩ ﻋﻼﻣﺖﮔﺬﺍﺭﻱ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ -۳‬ﺍﮔﺮ ﺑﺴﺘﺔ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺩﺭ ﺳﻤﺖ ﭼﭗ ﭘﻨﺠﺮﻩ ﻭﺍﻗﻊ ﺑﺎﺷﺪ ﻭ ﻳﺎ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺎ ﺷﻜﺴﺖ ﻣﻮﺍﺟﻪ ﺷﻮﺩ‪ ،‬ﺑﺴﺘﻪ ﻧﺎﺑﻮﺩ ﺷﺪﻩ ﻭ‬
‫ﺍﻳﻦ ﻳﻚ ﭘﻴﺸﺎﻣﺪ ﻗﺎﺑﻞ ﺛﺒﺖ ﻭ ﻣﻤﻴﺰﻱ ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢١٦‬‬
‫ﺍﮔﺮ ﺑﺴﺘﺔ ﻣﻌﺘﺒﺮ ﺩﺭ ﺳﻤﺖ‬

‫ﺭﺍﺳﺖ ﺩﺭﻳﺎﻓﺖ ﺷﻮﺩ‪ ،‬ﭘﻨﺠﺮﻩ‬
‫ﺟﻠﻮ ﻣﻲﺭﻭﺩ‬
‫‪ = W‬ﺍﻧﺪﺍﺯﺓ ﺛﺎﺑﺖ ﭘﻨﺠﺮﻩ‬
‫‪...‬‬ ‫‪N‬‬
‫‪N-W‬‬ ‫‪N+1‬‬
‫ﺍﮔﺮ ﺑﺴﺘﺔ ﻣﻌﺘﺒﺮ ﺩﺭﻳﺎﻓﺖ‬ ‫ﺍﮔﺮ ﻫﻨﻮﺯ ﺑﺴﺘﺔ ﻣﻌﺘﺒﺮ‬

‫ﺷﻮﺩ ﻋﻼﻣﺖ ﻣﻲﺧﻮﺭﺩ‬ ‫ﺩﺭﻳﺎﻓﺖ ﻧﺸﺪﻩ ﺍﺳﺖ‪ ،‬ﺑﺪﻭﻥ‬
‫ﻋﻼﻣﺖ ﺍﺳﺖ‬
‫ﻣﻜﺎﻧﻴﺴﻢ ﺿﺪ‪ -‬ﺑﺎﺯﺧﻮﺍﻧﻲ‬ ‫ﺷﻜﻞ ‪۶-۴‬‬
‫ﺍﻧﺪﺍﺯﺓ ﻛﻨﺘﺮﻝ ﺻﺤﺖ )‪(Integrity Check Value‬‬
‫ﻣﻴﺪﺍﻥ ‪ Authentication Data‬ﺍﻧﺪﺍﺯﻩﺍﻱ ﺭﺍ ﻧﮕﺎﻩ ﻣﻲﺩﺍﺭﺩ ﻛﻪ ﺑﻪ ﺁﻥ ﺍﻧﺪﺍﺯﺓ ﻛﻨﺘﺮﻝ ﺻﺤﺖ )‪Integrity Check Value (ICV‬‬
‫ﮔﻮﻳﻨﺪ‪ ICV .‬ﻳﻚ ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﻭ ﻳﺎ ﻓﺮﻡ ﻣﻘﻄﹼﻌﻲ ﺍﺯ ﺍﻳﻦ ﻛﹸﺪ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ MAC‬ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﺩ‪ .‬ﻣﺸﺨﺼﻪﻫﺎﻱ‬
‫ﻓﻌﻠﻲ‪ ،‬ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻭ ﺣﻤﺎﻳﺖ ﺍﺯ ﺩﻭ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺯﻳﺮ ﺭﺍ ﺩﻳﻜﺘﻪ ﻣﻲﻛﻨﻨﺪ‪:‬‬
‫• ‪HMAC-MD5-96‬‬
‫‪HMAC-SHA-1-96‬‬ ‫•‬
‫ﻫﺮﺩﻭﻱ ﺍﻳﻨﻬﺎ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ HMAC‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﺍﻭﻟﻲ ﻛﹸﺪ ﺩﺭﻫﻢﺳﺎﺯ ‪ MD5‬ﻭ ﺩﻭﻣﻲ ﻛﹸﺪ ﺩﺭﻫﻢﺳﺎﺯ ‪ SHA-1‬ﺭﺍ ﺑﻜﺎﺭ ﻣﻲﺑﺮﺩ‬
‫)ﺗﻤﺎﻡ ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎ ﺩﺭ ﻓﺼﻞ ‪ ۳‬ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪﺍﻧﺪ(‪ .‬ﺩﺭ ﻫﺮﺩﻭ ﺣﺎﻟﺖ‪ ،‬ﺍﻧﺪﺍﺯﺓ ﻛﺎﻣـﻞ ‪ HMAC‬ﻣﺤﺎﺳـﺒﻪ ﺷـﺪﻩ ﻭﻟـﻲ ﺑﻌـﺪﺍﹰ‬
‫ﺑﺮﻳﺪﻩ ﺷﺪﻩ ﻭ ﺗﻨﻬﺎ ‪ ۹۶‬ﺑﻴﺖ ﺍﻭﻝ ﺁﻥ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﻛﻪ ﻃﻮﻝ ﭘﻴﺶ ﻓﺮﺽ ﻣﻴﺪﺍﻥ ‪ Authentication Data‬ﺍﺳﺖ‪.‬‬
‫‪ MAC‬ﺭﻭﻱ ﺍﻗﻼﻡ ﺯﻳﺮ ﻣﺤﺎﺳﺒﻪ ﻣﻲﺷﻮﺩ‪:‬‬
‫ﻣﻴﺪﺍﻥﻫﺎﻱ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﻛﻪ ﻳﺎ ﺩﺭ ﻫﻨﮕﺎﻡ ﺗﺮﺍﻧﺰﻳﺖ ﺗﻐﻴﻴﺮ ﻧﻜﺮﺩﻩﺍﻧﺪ)‪ (immutable‬ﻭ ﻳﺎ ﺍﻧﺪﺍﺯﺓ ﺁﻧﻬﺎ ﺩﺭ ﻫﻨﮕﺎﻡ ﻭﺭﻭﺩ ﺑﻪ ﻧﻘﻄﺔ‬ ‫•‬
‫ﺍﻧﺘﻬﺎﺋﻲ ﺑﺮﺍﻱ ‪ AH SA‬ﻗﺎﺑﻞ ﭘﻴﺶﺑﻴﻨﻲ ﺍﺳﺖ‪ .‬ﻣﻴﺪﺍﻥﻫﺎﺋﻲ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﺣﺎﻝ ﺗﺮﺍﻧﺰﻳﺖ ﺗﻐﻴﻴﺮ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﺍﻧـﺪﺍﺯﺓ ﺁﻧﻬـﺎ‬
‫ﺩﺭ ﻫﻨﮕﺎﻡ ﻭﺭﻭﺩ ﻏﻴﺮﻗﺎﺑﻞ ﭘﻴﺶﺑﻴﻨﻲ ﺍﺳﺖ ﺑﻤﻨﻈﻮﺭ ﻣﺤﺎﺳﺒﻪ ﺩﺭ ﻣﺒﺪﺃ ﻭ ﻣﻘﺼﺪ ﺻﻔﺮ ﻣﻨﻈﻮﺭ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫ﺳﺮﺁﻳﻨﺪ ‪ AH‬ﺑﻪ ﻏﻴﺮ ﺍﺯ ﻣﻴﺪﺍﻥ ‪ .Authentication Data‬ﻣﻴﺪﺍﻥ ‪ Authentication Data‬ﺑﺮﺍﻱ ﻣﺤﺎﺳﺒﻪ ﺩﺭ ﻣﺒـﺪﺃ ﻭ‬ ‫•‬
‫ﻣﻘﺼﺪ ﺻﻔﺮ ﻣﻨﻈﻮﺭ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺗﻤﺎﻡ ﺩﻳﺘﺎﻱ ﭘﺮﻭﺗﻜﻞ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﻛﻪ ﺩﺭ ﻫﻨﮕﺎﻡ ﺗﺮﺍﻧﺰﻳﺖ ﺗﻐﻴﻴﺮﻧﺎﭘﺬﻳﺮ ﻓﺮﺽ ﺷﺪﻩﺍﻧﺪ)ﻣـﺜﻼﹰ ﻳـﻚ ﺳِـﮕﻤﻨﺖ ‪ TCP‬ﻭ ﻳـﺎ ﻳـﻚ‬ ‫•‬
‫ﺑﺴﺘﺔ ‪ IP‬ﺩﺭﻭﻧﻲ ﺩﺭ ﻣُﻮﺩ ﺗﻮﻧﻞ(‪.‬‬
‫‪٢١٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫‪Server‬‬
‫‪End-to-end‬‬
‫‪authentication‬‬
‫‪Internal Network‬‬
‫‪End-to-end‬‬ ‫‪External‬‬
‫‪authentication‬‬ ‫‪network‬‬
‫‪Router/Firewall‬‬
‫‪End-to-intermediate‬‬
‫‪authentication‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪ End-to-End‬ﺩﺭ ﺑﺮﺍﺑﺮ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪End-to-Intermediate‬‬ ‫ﺷﻜﻞ ‪۶-۵‬‬
‫ﺑﺮﺍﻱ ‪ ،IPv4‬ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺗﻐﻴﻴﺮﻧﺎﭘﺬﻳﺮ ‪ Internet Header Length‬ﻭ ‪ Source Address‬ﻫﺴﺘﻨﺪ‪ .‬ﻣﺜـﺎﻟﻲ ﺍﺯ‬
‫ﻳﻚ ﻣﻴﺪﺍﻥ ﺗﻐﻴﻴﺮﭘﺬﻳﺮ ﻭﻟﻲ ﻗﺎﺑﻞ ﭘﻴﺶﺑﻴﻨﻲ ‪ Destination Address‬ﺍﺳﺖ )ﺑﺎ ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﻨﺒﻊ(‪ .‬ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺗﻐﻴﻴﺮﭘﺬﻳﺮ‬
‫ﻛﻪ ﻗﺒﻞ ﺍﺯ ﻣﺤﺎﺳﺒﺎﺕ ‪ ICV‬ﺻﻔﺮ ﻫﺴﺘﻨﺪ‪ ،‬ﻣﻴﺪﺍﻥﻫﺎﻱ ‪ Time to Live‬ﻭ ‪ Header Checksum‬ﻫﺴﺘﻨﺪ‪ .‬ﺗﻮﺟﻪ ﻛﻨﻴﺪ ﻛﻪ ﻫـﺮ ﺩﻭ‬
‫ﻣﻴﺪﺍﻥ ﺁﺩﺭﺱ ﻣﻨﺒﻊ ﻭ ﻣﻘﺼﺪ ﺣﻔﺎﻇﺖ ﺷﺪﻩﺍﻧﺪ ﺑﻄﻮﺭﻱ ﻛﻪ ﺍﺯ ﺟﻌﻞ ﺁﺩﺭﺱ ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺑﺮﺍﻱ ‪ ،IPv6‬ﻣﺜﺎﻝﻫﺎﺋﻲ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ﺍﺻـﻠﻲ‪) Version ،‬ﺗﻐﻴﻴﺮﻧﺎﭘـﺬﻳﺮ(‪) Destination Address ،‬ﺗﻐﻴﻴﺮﭘـﺬﻳﺮ ﻭﻟـﻲ ﻗﺎﺑـﻞ‬
‫ﭘﻴﺶﺑﻴﻨﻲ( ﻭ ‪) Flow Label‬ﺗﻐﻴﻴﺮﭘﺬﻳﺮ ﻭ ﺑﺮﺍﻱ ﻣﺤﺎﺳﺒﺎﺕ ﺑﺮﺍﺑﺮ ﺻﻔﺮ( ﻣﻲﺑﺎﺷﻨﺪ‪.‬‬

‫ﺷﻜﻞ ‪ ۶-۵‬ﺩﻭ ﺣﺎﻟﺖ ﻛﻪ ﺩﺭ ﺁﻧﻬﺎ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪ IPSec‬ﻣﻲﺗﻮﺍﻧﺪ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴـﺮﺩ ﺭﺍ ﻧـﺸﺎﻥ ﻣـﻲﺩﻫـﺪ‪ .‬ﺩﺭ ﻳـﻚ‬
‫ﺣﺎﻟﺖ‪ ،‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺴﺘﻘﻴﻤﺎﹰ ﺑﻴﻦ ﻳﻚ ﺳِﺮﻭﺭ ﻭ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﻛﻼﻳﻨﺖ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ ﻛﻪ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﻣﻲﺗﻮﺍﻧﺪ ﺭﻭﻱ ﻫﻤـﺎﻥ ﺷـﺒﻜﺔ‬
‫ﺳِﺮﻭﺭ ﻳﺎ ﺭﻭﻱ ﻳﻚ ﺷﺒﻜﺔ ﺧﺎﺭﺟﻲ ﺑﺎﺷﺪ‪ .‬ﺗﺎ ﺯﻣﺎﻧﻲ ﻛﻪ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﻭ ﺳِﺮﻭﺭ ﻳﻚ ﻛﻠﻴﺪ ﺳّﺮﻱ ﺣﻔﺎﻇـﺖ ﺷـﺪﻩ ﺭﺍ ﺩﺭ ﺍﺷـﺘﺮﺍﻙ ﺩﺍﺭﻧـﺪ‪،‬‬
‫ﻋﻤﻞ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﻣﻦ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﻮﺭﺩ ﺍﺯ ﻳﻚ ‪ SA‬ﺩﺭ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﺣﺎﻟﺖ ﺩﻳﮕﺮ‪ ،‬ﻳـﻚ ﺍﻳـﺴﺘﮕﺎﻩ ﻛـﺎﺭﻱ ﺩﻭﺭ‬
‫ﻫﻮﻳﺖ ﺧﻮﺩ ﺭﺍ ﺑﺮﺍﻱ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻫﻤﺎﻥ ﺳﻴﺴﺘﻢ ﻣﺸﺨﺺ ﻣﻲﻧﻤﺎﻳﺪ‪ ،‬ﻳﺎ ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﺑﻪ ﺗﻤﺎﻡ ﺷﺒﻜﺔ ﺩﺍﺧﻠﻲ ﺩﺳﺘﺮﺳـﻲ ﻳﺎﺑـﺪ ﻭ ﻳـﺎ ﺑـﺪﻟﻴﻞ‬
‫ﺍﻳﻨﻜﻪ ﺳِﺮﻭﺭ ﺩﺭﺧﻮﺍﺳﺖ ﺷﺪﻩ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﺣﻤﺎﻳﺖ ﻧﻤﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﻣﻮﺭﺩ ﺍﺯ ﻳﻚ ‪ SA‬ﺩﺭ ﻣُﻮﺩ ﺗﻮﻧﻞ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺩﺭ ﺍﻳﻦ ﻗﺴﻤﺖ ﺑﻪ ﻗﻠﻤﺮﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﻳﺠﺎﺩﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪ AH‬ﻭ ﻣﺤﻞ ﻗﺮﺍﺭﮔﺮﻓﺘﻦ ﺳﺮﺁﻳﻨﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑـﺮﺍﻱ ﺍﻳـﻦ ﺩﻭ ﻣُـﻮﺩ‬
‫ﻧﮕﺎﻫﻲ ﻣﻲﺍﻧﺪﺍﺯﻳﻢ‪ .‬ﻣﻼﺣﻈﺎﺕ ﺑﺮﺍﻱ ‪ IPv4‬ﻭ ‪ IPv6‬ﻗﺪﺭﻱ ﻣﺘﻔﺎﻭﺕﺍﻧﺪ‪ .‬ﺷﻜﻞ ‪۶-۶‬ﺍﻟﻒ ﺑﺴﺘﻪﻫﺎﻱ ﻣﻌﻤـﻮﻝ ‪ IPv4‬ﻭ ‪ IPv6‬ﺭﺍ ﻧـﺸﺎﻥ‬
‫ﻣﻲﺩﻫﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﺷﻜﻞ ﻣﺤﻤﻮﻟﺔ ‪ IP‬ﻳﻚ ﺳِﮕﻤﻨﺖ ‪ TCP‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﺤﻤﻮﻟﻪ ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﻭﺍﺣﺪ ﺩﻳﺘﺎ ﺑﺮﺍﻱ ﻫﺮ ﭘﺮﻭﺗﻜﻞ ﺩﻳﮕﺮﻱ ﻣﺎﻧﻨﺪ‬
‫‪ UDP‬ﻭ ﻳﺎ ‪ ICMP‬ﺑﺎﺷﺪ ﻛﻪ ﻣﺴﺘﻘﻴﻤﺎﹰ ﺍﺯ ‪ IP‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢١٨‬‬
‫‪orig IP‬‬
‫‪IPv4‬‬ ‫‪hdr‬‬ ‫‪TCP‬‬ ‫‪Data‬‬
‫‪orig IP‬‬ ‫‪extension headers‬‬

‫‪IPv6‬‬ ‫‪hdr‬‬ ‫)‪(if present‬‬ ‫‪TCP‬‬ ‫‪Data‬‬
‫)ﺍﻟﻒ( ﻗﺒﻞ ﺍﺯ ﺍﻋﻤﺎﻝ ‪AH‬‬
‫‪Authenticated except for mutable fields‬‬
‫‪orig IP‬‬
‫‪IPv4‬‬ ‫‪hdr‬‬ ‫‪AH‬‬ ‫‪TCP‬‬ ‫‪Data‬‬
‫‪Authenticated except for mutable fields‬‬
‫‪orig IP‬‬ ‫‪hop-by-hop, dest,‬‬

‫‪IPv6‬‬ ‫‪hdr‬‬ ‫‪routing, fragment‬‬ ‫‪AH‬‬ ‫‪dest‬‬ ‫‪TCP‬‬ ‫‪Data‬‬
‫)ﺏ( ﻣُﻮﺩ ‪Transport‬‬
‫‪Authenticated except for mutable‬‬

‫‪fields in the new IP header‬‬
‫‪New IP‬‬ ‫‪orig IP‬‬
‫‪IPv4‬‬ ‫‪hdr‬‬ ‫‪AH‬‬ ‫‪hdr‬‬ ‫‪TCP‬‬ ‫‪Data‬‬
‫‪Authenticated except for mutable fields in‬‬

‫‪new IP header and its extension headers‬‬
‫‪new IP‬‬ ‫‪ext‬‬ ‫‪orig IP‬‬ ‫‪ext‬‬
‫‪IPv6‬‬ ‫‪hdr‬‬ ‫‪headers‬‬ ‫‪AH‬‬ ‫‪hdr‬‬ ‫‪headers‬‬ ‫‪TCP‬‬ ‫‪Data‬‬
‫)ﺝ( ﻣُﻮﺩ ‪Tunnel‬‬
‫ﺷﻜﻞ ‪ ۶-۶‬ﺍﻓﻖ ﺩﻳﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪AH‬‬
‫ﺑﺮﺍﻱ ‪ AH‬ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ ﻛﻪ ﺍﺯ ‪ IPv4‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ AH ،‬ﺑﻌﺪ ﺍﺯ ﺳﺮﺁﻳﻨﺪ ﻣﻌﻤﻮﻝ ‪ IP‬ﻭ ﻗﺒﻞ ﺍﺯ ﻣﺤﻤﻮﻟﺔ ‪) IP‬ﻣﺜﻼﹰ ﻳـﻚ‬
‫ﺳِﮕﻤﻨﺖ‪ ،(TCP‬ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﻛﻪ ﺍﻳﻦ ﺍﻣﺮ ﺩﺭ ﺑﺨﺶ ﺑﺎﻻﺋﻲ ﺷﻜﻞ ‪۶-۶‬ﺏ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳـﺖ‪ .‬ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ‪ ،‬ﺗﻤـﺎﻡ ﺑـﺴﺘﻪ ﺑﺠـﺰ‬
‫ﻣﻴﺪﺍﻥﻫﺎﻱ ﺗﻐﻴﻴﺮﭘﺬﻳﺮ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ‪ IPv4‬ﻛﻪ ﺑﺮﺍﻱ ﻣﺤﺎﺳﺒﺎﺕ ‪ MAC‬ﻣﺴﺎﻭﻱ ﺻﻔﺮ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺭﺍ ﺩﺭ ﺑﺮ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫ﺩﺭ ﻣﻘﻮﻟﺔ ‪ AH ،IPv6‬ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﻣﺤﻤﻮﻟﺔ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﺗﻠﻘﻲ ﻣﻲﮔﺮﺩﺩ‪ ،‬ﻳﻌﻨﻲ ﻧﻪ ﺑﺘﻮﺳﻂ ﻣﺴﻴﺮﻳﺎﺏﻫﺎﻱ ﻣﻴﺎﻧﻲ ﻣﻮﺭﺩ ﺑﺎﺯﺑﻴﻨﻲ‬
‫ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﻭ ﻧﻪ ﭘﺮﺩﺍﺯﺷـﻲ ﺭﻭﻱ ﺁﻥ ﺻـﻮﺭﺕ ﻣـﻲﭘـﺬﻳﺮﺩ‪ .‬ﺑﻨـﺎﺑﺮﺍﻳﻦ ‪ AH‬ﺑﻌـﺪ ﺍﺯ ﺳـﺮﺁﻳﻨﺪ ﺍﺻـﻠﻲ ‪ IPv6‬ﻭ ﺳـﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤـﺎﻗﻲ‬
‫‪ routing ، hop-by-hop‬ﻭ ‪ fragment‬ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ ﺍﺧﺘﻴﺎﺭﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﻣﻘﺼﺪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﻗﺒﻞ ﻭ ﻳﺎ ﺑﻌـﺪ ﺍﺯ‬
‫ﺳﺮﺁﻳﻨﺪ ‪ AH‬ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ ﻛﻪ ﺑﺴﺘﮕﻲ ﺑﻪ ﻣﻨﻄﻖ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺩﺍﺭﺩ‪ .‬ﺑﺎﺯﻫﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺗﻤﺎﻡ ﺑﺴﺘﻪ‪ ،‬ﺑﺠﺰ ﻣﻴﺪﺍﻥﻫـﺎﻱ ﺗﻐﻴﻴﺮﭘـﺬﻳﺮ ﻛـﻪ‬
‫ﺑﺮﺍﻱ ﻣﺤﺎﺳﺒﺎﺕ ‪ MAC‬ﺑﺮﺍﺑﺮ ﺻﻔﺮ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪ ،‬ﺭﺍ ﭘﻮﺷﺶ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪٢١٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫ﺑﺮﺍﻱ ‪ AH‬ﻣُﻮﺩ ﺗﻮﻧﻞ‪ ،‬ﺗﻤﺎﻡ ﺑﺴﺘﺔ ‪ IP‬ﺍﻭﻟﻴﻪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻲﺷﻮﺩ ﻭ ‪ AH‬ﺑﻴﻦ ﺳﺮﺁﻳﻨﺪ ﺍﻭﻟﻴﺔ ‪ IP‬ﻭ ﺳﺮﺁﻳﻨﺪ ﺟﺪﻳﺪ ﺑﻴﺮﻭﻧـﻲ ‪IP‬‬
‫)ﺷﻜﻞ ‪۶-۶‬ﺝ( ﻭﺍﺭﺩ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺩﺭﻭﻧﻲ‪ ،‬ﺁﺩﺭﺱﻫﺎﻱ ﻣﺒﺪﺃ ﻭ ﻣﻘﺼﺪ ﻧﻬﺎﺋﻲ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﻳـﻚ ﺳـﺮﺁﻳﻨﺪ‬
‫‪ IP‬ﺑﻴﺮﻭﻧﻲ ﻣﻲﺗﻮﺍﻧﺪ ﺷﺎﻣﻞ ﺁﺩﺭﺱﻫﺎﻱ ‪ IP‬ﻣﺘﻔﺎﻭﺕ ﺑﺎﺷﺪ) ﻣﺜﻼﹰ ﺁﺩﺭﺱ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻭ ﻳﺎ ﺩﺭﻭﺍﺯﻩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺩﻳﮕﺮ(‪.‬‬
‫ﺩﺭ ﻣُﻮﺩ ﺗﻮﻧﻞ ﺗﻤﺎﻡ ﺑﺴﺘﺔ ‪ IP‬ﺩﺭﻭﻧﻲ‪ ،‬ﻛﻪ ﺷﺎﻣﻞ ﻛﻞ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺩﺭﻭﻧﻲ ﻧﻴﺰ ﻫﺴﺖ‪ ،‬ﺑﺘﻮﺳﻂ ‪ AH‬ﻣﺤﺎﻓﻈﺖ ﻣﻲﺷﻮﺩ‪ .‬ﺳـﺮﺁﻳﻨﺪ‬
‫‪ IP‬ﺑﻴﺮﻭﻧﻲ )ﻭ ﺩﺭ ﻣﻮﺭﺩ ‪ IPv6‬ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ ‪ IP‬ﺑﻴﺮﻭﻧﻲ(‪ ،‬ﺑﺠﺰ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺗﻐﻴﻴﺮﭘﺬﻳﺮ ﻭ ﻏﻴﺮﻗﺎﺑﻞ ﭘﻴﺶﺑﻴﻨﻲ‪ ،‬ﻧﻴـﺰ ﺩﺭ ﻣﺤـﺪﻭﺩﺓ‬
‫ﺣﻔﺎﻇﺘﻲ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ‪.‬‬
‫ﻛﭙﺴﻮﻟﻲﻛﺮﺩﻥ ﻣﺤﻤﻮﻟﺔ ﺍﻣﻨﻴﺘﻲ )‪(Encapsulating Security Payload‬‬ ‫‪۶-۴‬‬
‫ﻛﭙﺴﻮﻟﻲﻛﺮﺩﻥ ﻣﺤﻤﻮﻟﺔ ﺍﻣﻨﻴﺘﻲ )‪ ،(ESP‬ﻳﻚ ﺳـﺮﻭﻳﺲ ﻣﺤﺮﻣـﺎﻧﮕﻲ ﺭﺍ ﻓـﺮﺍﻫﻢ ﻣـﻲﺁﻭﺭﺩ ﻛـﻪ ﺷـﺎﻣﻞ ﻣﺤﺮﻣـﺎﻧﮕﻲ ﻣﺤﺘﻮﻳـﺎﺕ ﭘﻴـﺎﻡ ﻭ‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﻣﺤﺪﻭﺩ ﺟﺮﻳﺎﻥ ﺗﺮﺍﻓﻴﻚ ﺍﺳﺖ‪ .‬ﺑﺼﻮﺭﺕ ﺍﺧﺘﻴﺎﺭﻱ‪ ESP ،‬ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﻧﻴﺰ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩ‪.‬‬
‫ﻓﺮﻣﺖ ‪ESP‬‬
‫ﺷﻜﻞ ‪ ۶-۷‬ﻓﺮﻣﺖ ﺑﺴﺘﺔ ‪ ESP‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﺑﺴﺘﻪ ﺷﺎﻣﻞ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫)‪ :Security Parameters Index (32 bits‬ﻳﻚ ﺍﺗﺤﺎﺩ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫)‪ :Sequence Number (32 bits‬ﺍﻧﺪﺍﺯﺓ ﻳﻚ ﺷﻤﺎﺭﻧﺪﻩ ﺍﺳﺖ ﻛﻪ ﺑﻄﻮﺭ ﻳﻜﻨﻮﺍﺧﺖ ﺍﺿﺎﻓﻪ ﻣـﻲﺷـﻮﺩ‪ .‬ﺍﻳـﻦ ﺍﻣـﺮ ﺑـﺮﺍﻱ‬ ‫•‬
‫ﻣﺤﺎﻓﻈﺖ ﺩﺭ ﺑﺮﺍﺑﺮ ﺣﻤﻼﺕ ﺑﺎﺯﺧﻮﺍﻧﻲ‪ ،‬ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺩﺭ ‪ AH‬ﺑﺤﺚ ﺷﺪ‪ ،‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫)‪ :Payload Data (variable‬ﺍﻳﻦ ﻳﻚ ﺳِﮕﻤﻨﺖ ﺳﻄﺢ ﺣﻤﻞﻭﻧﻘﻞ ﻭ ﻳـﺎ ﻳـﻚ ﺑـﺴﺘﺔ ‪ IP‬ﻣُـﻮﺩ ﺗﻮﻧـﻞ ﺍﺳـﺖ ﻛـﻪ ﺑـﺎ‬ ‫•‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺤﺎﻓﻈﺖ ﮔﺮﺩﻳﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪Bit:‬‬ ‫‪0‬‬ ‫‪16‬‬ ‫‪24‬‬ ‫‪31‬‬
‫)‪Security parameters index (SPI‬‬
‫‪Sequence number‬‬
‫‪Authentication coverage‬‬
‫‪Confidentiality coverage‬‬
‫)‪Payload data (variable‬‬
‫)‪Padding (0-255 bytes‬‬

‫‪Pad length‬‬ ‫‪Next header‬‬
‫)‪Authentication data (variable‬‬
‫ﻓﺮﻣﺖ ‪ ESP‬ﺩﺭ ‪IPSec‬‬ ‫ﺷﻜﻞ ‪۶-۷‬‬

‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٢٠‬‬
‫)‪ :Padding (0-255 bytes‬ﻫﺪﻑ ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﺑﻌﺪﺍﹰ ﺗﻌﺮﻳﻒ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬ ‫•‬
‫)‪ :Pad Length (8 bits‬ﻧﻤﺎﻳﺶﺩﻫﻨﺪﺓ ﺗﻌﺪﺍﺩ ﺑﺎﻳﺖﻫﺎﻱ ﻻﻳﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭﺳﺖ ﻗﺒﻞ ﺍﺯ ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ‪.‬‬ ‫•‬
‫)‪ :Next Header (8 bits‬ﻣﺸﺨﺺﻛﻨﻨﺪﺓ ﻧﻮﻉ ﺩﺍﺩﻩﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺩﺭ ﻣﻴﺪﺍﻥ ‪ Payload Data‬ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﺍﻭﻟـﻴﻦ‬ ‫•‬
‫ﺳﺮﺁﻳﻨﺪﺁﻥ ﻣﺤﻤﻮﻟﻪ ﺗﻌﻴﻴﻦ ﻣﻲﮔﺮﺩﺩ )ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﻳﻚ ﺳﺮﺁﻳﻨﺪ ﺍﻟﺤﺎﻗﻲ ﺩﺭ ‪ IPv6‬ﻭ ﻳﺎ ﻳـﻚ ﭘﺮﻭﺗﻜـﻞ ﻻﻳـﺔ ﺑـﺎﻻﺗﺮ ﺷـﺒﻴﻪ‬
‫‪.(TCP‬‬
‫)‪ :Authentication Data (variable‬ﻳﻚ ﻣﻴﺪﺍﻥ ﺑﺎ ﻃﻮﻝ ﻣﺘﻐﻴﺮ )ﺑﺎﻳﺴﺘﻲ ﻣﻀﺮﺑﻲ ﺍﺯ ﻛﻠﻤﺎﺕ ‪ -۳۲‬ﺑﻴﺘﻲ ﺑﺎﺷﺪ( ﻛـﻪ‬ ‫•‬
‫ﺷﺎﻣﻞ ‪ Integrity Check Value‬ﺍﺳﺖ ﻛﻪ ﺭﻭﻱ ﺑـﺴﺘﺔ ‪ ESP‬ﻣﻨﻬـﺎﻱ ﻣﻴـﺪﺍﻥ ‪ Authentication Data‬ﻣﺤﺎﺳـﺒﻪ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﻣﻴﺪﺍﻥﻫﺎﻱ ‪ Pad Length ،Padding ،Payload Data‬ﻭ ‪ Next Header‬ﺑﺘﻮﺳﻂ ﺳﺮﻭﻳﺲ ‪ ESP‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣـﻲﺷـﻮﻧﺪ‪ .‬ﺍﮔـﺮ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺤﻤﻮﻟﻪ ﻧﻴﺎﺯ ﺑﻪ ﺩﺍﺩﻩﻫﺎﺋﻲ ﺑﺮﺍﻱ ﻫﻤﺰﻣﺎﻧﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﻧﻈﻴـﺮ ﺑـﺮﺩﺍﺭ ﺷـﺮﻭﻉ )‪ (IV‬ﺩﺍﺷـﺘﻪ‬
‫ﺑﺎﺷﺪ ﺁﻧﮕﺎﻩ ﺍﻳﻦ ﺩﺍﺩﻩﻫﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻄﻮﺭ ﺻﺮﻳﺢ ﺩﺭ ﺷﺮﻭﻉ ﻣﻴﺪﺍﻥ ‪ Payload Data‬ﺣﻤﻞ ﺷﻮﻧﺪ‪ .‬ﺍﮔـﺮ ‪ IV‬ﺩﺍﺷـﺘﻪ ﺑﺎﺷـﻴﻢ‪ ،‬ﻣﻌﻤـﻮﻻﹰ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﻤﻲﺷﻮﺩ‪ ،‬ﺍﮔﺮﭼﻪ ﺍﻏﻠﺐ ﺑﻪ ﺁﻥ ﺑﻌﻨﻮﺍﻥ ﺑﺨﺸﻲ ﺍﺯ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﻧﮕﺎﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻣﺸﺨﺼﻪﻫﺎﻱ ﺟﺎﺭﻱ ﭼﻨﻴﻦ ﺩﻳﻜﺘﻪ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﻳﻚ ﭘﻴﺎﺩﻩﺳـﺎﺯﻱ ﺳـﺎﺯﮔﺎﺭ ﺑﺎﻳـﺴﺘﻲ ‪ DES‬ﺩﺭ ﻣُـﻮﺩ ‪ CBC‬ﺭﺍ ﺣﻤﺎﻳـﺖ ﻛﻨـﺪ‪.‬‬
‫ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺩﻳﮕﺮ ﻧﻴﺰ ﺩﺭ ﺍﺳﻨﺎﺩ ‪ DOI‬ﺩﺍﺭﺍﻱ ﺷﻨﺎﺳﻪﻫﺎﻱ ﻣﻌﻴﻦ ﺑﻮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ‪ .‬ﺍﻳﻨﻬﺎ ﺷﺎﻣﻞ ﺍﻗﻼﻡ ﺯﻳﺮﺍﻧﺪ‬
‫‪Three-key triple DES‬‬ ‫•‬

‫‪RC5‬‬ ‫•‬
‫‪IDEA‬‬ ‫•‬
‫‪Three-key triple IDEA‬‬ ‫•‬
‫‪CAST‬‬ ‫•‬
‫‪Blowfish‬‬ ‫•‬
‫ﻫﻤﺎﻧﻨﺪ ‪ ESP ،AH‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ‪ MAC‬ﺑﺎ ﻃﻮﻝ ﭘﻴﺶ ﻓﺮﺽ ‪ ۹۶‬ﺑﻴـﺖ ﺭﺍ ﺣﻤﺎﻳـﺖ ﻣـﻲﻧﻤﺎﻳـﺪ‪ .‬ﻫﻤﭽﻨـﻴﻦ ﻫﻤﺎﻧﻨـﺪ ‪،AH‬‬
‫ﻣﺸﺨﺼﺔ ﺟﺎﺭﻱ ﺩﻳﻜﺘﻪ ﻣﻲﻛﻨﺪ ﻛﻪ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺳﺎﺯﮔﺎﺭ ﺑﺎﻳﺴﺘﻲ ‪ HMAC-MD5-96‬ﻭ ‪ HMAC-SHA-1-96‬ﺭﺍ ﺣﻤﺎﻳﺖ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻻﺋﻲ )‪(Padding‬‬
‫ﻣﻴﺪﺍﻥ ‪ Padding‬ﺩﺍﺭﺍﻱ ﭼﻨﺪ ﻫﺪﻑ ﺍﺳﺖ‪:‬‬
‫‪٢٢١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫ﺍﮔﺮ ﺩﺭ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻻﺯﻡ ﺑﺎﺷﺪ ﻛﻪ ﻣﺘﻦ ﺳﺎﺩﻩ ﻣﻀﺮﺏ ﺻﺤﻴﺤﻲ ﺍﺯ ﺗﻌﺪﺍﺩﻱ ﺑﺎﻳﺖ ﺑﺎﺷﺪ )ﻣﺜﻼﹰ ﻣﻀﺮﺑﻲ ﺍﺯ ﻃـﻮﻝ‬ ‫•‬
‫ﻳﻚ ﺑﻠﻮﻙ ﺩﺭ ﺭﻣـﺰ ﻗـﺎﻟﺒﻲ(‪ ،‬ﺍﺯ ﻣﻴـﺪﺍﻥ ‪ Padding‬ﺑـﺮﺍﻱ ﺗﻮﺳـﻌﺔ ﻣـﺘﻦ ﺳـﺎﺩﻩ )ﺷـﺎﻣﻞ ﻣﻴـﺪﺍﻥﻫـﺎﻱ ‪،Payload Data‬‬
‫‪ Pad Length ،Padding‬ﻭ ‪ (Next Header‬ﺑﻪ ﻃﻮﻝ ﻣﻄﻠﻮﺏ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻓﺮﻣﺖ ‪ ESP‬ﻧﻴﺎﺯ ﺩﺍﺭﺩ ﺗﺎ ﻣﻴﺪﺍﻥﻫﺎﻱ ‪ Pad Length‬ﻭ ‪ Next Header‬ﺩﺭ ﺳﻤﺖ ﺭﺍﺳﺖ ﻳـﻚ ﻛﻠﻤـﺔ ‪ -۳۲‬ﺑﻴﺘـﻲ ﻗـﺮﺍﺭ‬ ‫•‬
‫ﮔﻴﺮﻧﺪ‪ .‬ﺑﻬﻤﻴﻦ ﺗﺮﺗﻴﺐ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﺎﻳﺴﺘﻲ ﻣﻀﺮﺑﻲ ﺍﺯ ‪ ۳۲‬ﺑﻴﺖ ﺑﺎﺷﺪ‪ .‬ﻣﻴﺪﺍﻥ ‪ Padding‬ﺑﺮﺍﻱ ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﺍﻳﻦ ﺍﻣـﺮ ﺑﻜـﺎﺭ‬
‫ﻣﻲﺭﻭﺩ‪.‬‬
‫‪ Padding‬ﺍﺿﺎﻓﻪﺗﺮﻱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺟﺮﻳﺎﻥ ﺗﺮﺍﻓﻴﻚ ﺑﻜﺎﺭ ﺭﻭﺩ ﺗـﺎ ﻃـﻮﻝ ﻭﺍﻗﻌـﻲ ﻣﺤﻤﻮﻟـﻪ ﺭﺍ ﭘﻨﻬـﺎﻥ‬ ‫•‬
‫ﺳﺎﺯﺩ‪.‬‬
‫ﺷﻜﻞ ‪ ۶-۸‬ﺩﻭ ﺭﻭﺵ ﻛﻪ ﺩﺭ ﺁﻧﻬﺎ ﺳﺮﻭﻳﺲ ‪ IPSec ESP‬ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﻜﺎﺭ ﺑﺮﺩ‪ ،‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺩﺭ ﻗﺴﻤﺖ ﺑـﺎﻻﻱ ﺷـﻜﻞ‪ ،‬ﺭﻣﺰﻧﮕـﺎﺭﻱ‬
‫)ﻭ ﺑﻄﻮﺭ ﺍﺧﺘﻴﺎﺭﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ( ﺑﻴﻦ ﺩﻭ ﻣﻴﺰﺑﺎﻥ ﻛﻪ ﻣﺴﺘﻘﻴﻤﺎﹰ ﺑﻬﻢ ﻭﺻﻞﺍﻧﺪ ﻓﺮﺍﻫﻢ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺷﻜﻞ ‪ ۶-۸‬ﺏ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﭼﮕﻮﻧﻪ‬
‫‪Encrypted‬‬
‫‪TCP session‬‬
‫‪External‬‬
‫‪Internal‬‬ ‫‪network‬‬
‫‪network‬‬
‫)ﺍﻟﻒ( ﺍﻣﻨﻴﺖ ﺳﻄﺢ ﺣﻤﻞﻭﻧﻘﻞ‬
‫‪Corporate‬‬ ‫‪Corporate‬‬
‫‪network‬‬ ‫‪network‬‬
‫‪Encrypted tunnels‬‬
‫‪carrying IP traffic‬‬ ‫‪Internet‬‬
‫‪Corporate‬‬
‫‪Corporate‬‬
‫‪network‬‬
‫‪network‬‬
‫)ﺏ( ﻳﻚ ﺷﺒﻜﺔ ﺧﺼﻮﺻﻲ ﻣﺠﺎﺯﻱ )‪ (VPN‬ﺍﺯ ﻃﺮﻳﻖ ﻣُﻮﺩ ﺗﻮﻧﻞ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ ﺩﺭ ﺑﺮﺍﺑﺮ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣُﻮﺩ ﺗﻮﻧﻞ‬ ‫ﺷﻜﻞ ‪۶-۸‬‬

‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٢٢‬‬
‫ﻋﻤﻠﻴﺎﺕ ﻣُﻮﺩ ﺗﻮﻧﻞ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺑﺮﻗﺮﺍﺭﻱ ﻳﻚ ﺷﺒﻜﺔ ﺧﺼﻮﺻﻲ ﻣﺠﺎﺯﻱ )‪ (VPN‬ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﺜﺎﻝ‪ ،‬ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﺩﺍﺭﺍﻱ ﭼﻬـﺎﺭ‬
‫ﺷﺒﻜﺔ ﺧﺼﻮﺻﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻋﺮﺽ ﺍﻳﻨﺘﺮﻧﺖ ﺑﻬﻢ ﻣﺘﺼﻞﺍﻧﺪ‪ .‬ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﺭﻭﻱ ﺷﺒﻜﻪﻫﺎﻱ ﺩﺍﺧﻠـﻲ ﺍﺯ ﺍﻳﻨﺘﺮﻧـﺖ ﺑـﺮﺍﻱ ﺍﻧﺘﻘـﺎﻝ ﺩﺍﺩﻩﻫـﺎ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭﻟﻲ ﺑﺎ ﺳﺎﻳﺮ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﺭﻭﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺗﻌﺎﻣﻠﻲ ﻧﺪﺍﺭﻧﺪ‪ .‬ﺑﺎ ﺧﺎﺗﻤﻪ ﺩﺍﺩﻥ ﺑﻪ ﺗﻮﻧﻞﻫـﺎ ﺩﺭ ﺩﺭﻭﺍﺯﻩﻫـﺎﻱ ﺍﻣﻨﻴﺘـﻲ ﻫـﺮ ﺷـﺒﻜﺔ‬
‫ﺩﺍﺧﻠﻲ‪ ،‬ﭘﻴﻜﺮﺑﻨﺪﻱ ﺑﻪ ﻣﻴﺰﺑﺎﻧﺎﻥ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﻛﻪ ﺍﺯ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺍﺟﺘﻨﺎﺏ ﻧﻤﺎﻳﻨﺪ‪ .‬ﺗﻜﻨﻴﻚ ﻗﺒﻠﻲ ﺍﺯ ﻣُﻮﺩ ﺣﻤـﻞﻭﻧﻘـﻞ‬
‫‪ SA‬ﻭ ﺗﻜﻨﻴﻚ ﺍﺧﻴﺮ ﺍﺯ ﻣُﻮﺩ ﺗﻮﻧﻞ ‪ SA‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺩﺭ ﺍﻳﻦ ﻗﺴﻤﺖ ﺑﻪ ﺍﻓﻖ ﺩﻳﺪ ‪ ESP‬ﺑﺮﺍﻱ ﺩﻭ ﻣُﻮﺩ ﺗﻮﺟﻪ ﻣﻲﻛﻨﻴﻢ‪ .‬ﻣﻼﺣﻈﺎﺕ ﺑﺮﺍﻱ ‪ IPv4‬ﻭ ‪ IPv6‬ﻗﺪﺭﻱ ﻣﺘﻔﺎﻭﺕﺍﻧﺪ‪ .‬ﻫﻤﺎﻧﻨـﺪ‬
‫ﺑﺤﺚ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻓﻖ ﺩﻳﺪ ‪ ،AH‬ﻓﺮﻣﺖ ﺑﺴﺘﻪﻫﺎ ﺩﺭ ﺷﻜﻞ ‪۶-۶‬ﺍﻟﻒ ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﻧﻘﻄﺔ ﺷﺮﻭﻉ ﺑﻜﺎﺭ ﻣﻲﺑﺮﻳﻢ‪.‬‬
‫‪ ESP‬ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ‬
‫‪ ESP‬ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﺧﺘﻴﺎﺭﺍﹰ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﺍﺩﻩﻫﺎﺋﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ IP‬ﺣﻤﻞ ﻣﻲﺷﻮﻧﺪ )ﻣـﺜﻼﹰ ﻳـﻚ ﺳِـﮕﻤﻨﺖ‬
‫‪ ،(TCP‬ﻫﻤﺎﻧﻨﺪ ﺷﻜﻞ ‪۶-۹‬ﺍﻟﻒ‪ ،‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣُﻮﺩ ﻭ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ ،IPv4‬ﺳﺮﺁﻳﻨﺪ ‪ ESP‬ﺩﺭ ﺩﺍﺧﻞ ﺑﺴﺘﺔ ‪ IP‬ﺩﺭﺳﺖ ﻗﺒـﻞ‬
‫ﺍﺯ ﺳﺮﺁﻳﻨﺪ ﻻﻳﺔ ﺣﻤﻞﻭﻧﻘﻞ )ﻣﺜﻞ ‪ (ICMP ،UDP ،TCP‬ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﻭ ﺗﻪﺁﻳﻨﺪ ‪) ESP‬ﻣﻴـﺪﺍﻥﻫـﺎﻱ ‪ Pad Length ،Padding‬ﻭ‬
‫‪ (Next Header‬ﺑﻌــﺪ ﺍﺯ ﺑــﺴﺘﺔ ‪ IP‬ﻗــﺮﺍﺭ ﻣــﻲﮔﻴﺮﻧــﺪ‪ .‬ﺍﮔــﺮ ﺍﻋﺘﺒﺎﺭﺳــﻨﺠﻲ ﻧﻴــﺰ ﻣــﻮﺭﺩ ﺍﻧﺘﺨــﺎﺏ ﻗــﺮﺍﺭ ﮔﻴﺮﺩ‪،‬ﻣﻴــﺪﺍﻥ‬
‫‪ ESP Authentication Data‬ﻧﻴﺰ ﭘﺲ ﺍﺯ ﺗﻪﺁﻳﻨﺪ ‪ ESP‬ﺧﻮﺍﻫﺪ ﺁﻣﺪ‪ .‬ﺗﻤﺎﻡ ﺳِﮕﻤﻨﺖ ﺳﻄﺢ ﺣﻤـﻞﻭﻧﻘـﻞ ﺑﻌـﻼﻭﺓ ﺗـﻪﺁﻳﻨـﺪ ‪ESP‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﺗﻤﺎﻡ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﻌﻼﻭﺓ ﺳﺮﺁﻳﻨﺪ ‪ ESP‬ﺭﺍ ﺷﺎﻣﻞ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺩﺭ ﻣﻘﻮﻟﺔ ‪ IPv6‬ﺑﻪ ‪ ESP‬ﺑﺼﻮﺭﺕ ﻳﻚ ﻣﺤﻤﻮﻟﺔ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﻧﮕﺎﻩ ﻣﻲﺷـﻮﺩ‪ ،‬ﻳﻌﻨـﻲ ﺑﺘﻮﺳـﻂ ﻣـﺴﻴﺮﻳﺎﺏﻫـﺎﻱ ﻣﻴـﺎﻧﻲ ﻣـﻮﺭﺩ‬
‫ﭘﺮﺩﺍﺯﺵ ﻗﺮﺍﺭ ﻧﻤﻲﮔﻴﺮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺳـﺮﺁﻳﻨﺪ ‪ ESP‬ﺑﻌـﺪ ﺍﺯ ﺳـﺮﺁﻳﻨﺪ ﺍﺻـﻠﻲ ‪ IPv6 base header‬ﻭ ﺳـﺮﺁﻳﻨﺪﻫﺎﻱ ‪،hop-to-hop‬‬
‫‪ routing‬ﻭ ‪ fragment extension‬ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺳﺮﺁﻳﻨﺪ ﺍﻟﺤﺎﻗﻲ ‪ destination options‬ﻣﻲﺗﻮﺍﻧﺪ ﻗﺒﻞ ﻭ ﻳـﺎ ﺑﻌـﺪﺍﺯ ﺳـﺮﺁﻳﻨﺪ‬
‫‪ ESP‬ﻗﺮﺍﺭ ﮔﻴﺮﺩ ﻛﻪ ﺑﺴﺘﮕﻲ ﺑﻪ ﻣﻨﻄﻖ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺧﻮﺍﻫﺪ ﺩﺍﺷﺖ‪ .‬ﺑﺮﺍﻱ ‪ ،IPv6‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺗﻤﺎﻡ ﺳِﮕﻤﻨﺖ ﻻﻳﺔ ﺣﻤـﻞﻭﻧﻘـﻞ ﺑﻌـﻼﻭﺓ‬
‫ﺗﻪﺁﻳﻨﺪ ‪ ESP‬ﻭ ﺳﺮﺁﻳﻨﺪ ﺍﻟﺤﺎﻗﻲ ﻣﻘﺼﺪ‪ ،‬ﺍﮔﺮ ﭘﺲ ﺍﺯ ﺳﺮﺁﻳﻨﺪ ‪ ESP‬ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪ ،‬ﺭﺍ ﻣﻲﭘﻮﺷـﺎﻧﺪ‪ .‬ﺑـﺎﺯﻫﻢ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ‪ ،‬ﻣـﺘﻦ ﺭﻣﺰﺷـﺪﻩ‬
‫ﺑﻌﻼﻭﺓ ﺳﺮﺁﻳﻨﺪ ‪ ESP‬ﺭﺍ ﭘﻮﺷﺶ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻋﻤﻠﻴﺎﺕ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﺧﻼﺻﻪ ﻧﻤﻮﺩ‪:‬‬
‫‪ -۱‬ﺩﺭ ﻣﺒﺪﺃ‪ ،‬ﺑﻠﻮﻙ ﺩﻳﺘﺎ ﻛﻪ ﺷﺎﻣﻞ ﺗﻪﺁﻳﻨﺪ ‪ ESP‬ﺑﻌﻼﻭﺓ ﺗﻤﺎﻡ ﺳِﮕﻤﻨﺖ ﻻﻳﺔ ﺣﻤﻞﻭﻧﻘﻞ ﺍﺳـﺖ ﺭﻣﺰﻧﮕـﺎﺭﻱ ﺷـﺪﻩ ﻭ ﻣـﺘﻦ‬
‫ﺳﺎﺩﺓ ﺍﻳﻦ ﺑﻠﻮﻙ ﺑﺎ ﻣﺘﻦ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺁﻥ ﺗﻌﻮﻳﺾ ﺷﺪﻩ ﺗﺎ ﺍﻧﺘﻘﺎﻝ ﻳﺎﺑﺪ‪ .‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﺭ ﺻﻮﺭﺕ ﺍﻧﺘﺨـﺎﺏ ﺑـﻪ ﺁﻥ ﺍﺿـﺎﻓﻪ‬
‫‪ -۲‬ﺑﺴﺘﺔ ﺩﻳﺘﺎ ﺁﻧﮕﺎﻩ ﺑﻪ ﺳﻤﺖ ﻣﻘﺼﺪ ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﻲﮔـﺮﺩﺩ‪ .‬ﻫـﺮ ﻣـﺴﻴﺮﻳﺎﺏ ﻣﻴـﺎﻧﻲ ﻻﺯﻡ ﺍﺳـﺖ ﺗـﺎ ﺳـﺮﺁﻳﻨﺪ ‪ IP‬ﺑﻌـﻼﻭﺓ‬
‫ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ ‪ IP‬ﺑﺼﻮﺭﺕ ﻣﺘﻦ ﺳﺎﺩﻩ ﺭﺍ ﺑﺮﺭﺳﻲ ﻭ ﭘﺮﺩﺍﺯﺵ ﻧﻤﺎﻳﺪ‪ ،‬ﻭﻟﻲ ﻧﻴـﺎﺯﻱ ﻧﻴـﺴﺖ ﺗـﺎ ﻣـﺘﻦ ﺭﻣﺰﺷـﺪﻩ ﺭﺍ‬
‫ﻭﺍﺭﺳﻲ ﻛﻨﺪ‪.‬‬
‫‪ -۳‬ﮔﺮﺓ ﻣﻘﺼﺪ‪ ،‬ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺑﺎﺿﺎﻓﺔ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ ‪ IP‬ﺭﺍ ﺑﺼﻮﺭﺕ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺁﻧﮕﺎﻩ ﺑﺮ ﺍﺳﺎﺱ ‪SPI‬‬
‫ﺩﺭ ﺳﺮﺁﻳﻨﺪ ‪ ،ESP‬ﺑﻘﻴﺔ ﺑﺴﺘﻪ ﺭﺍ ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺳِﮕﻤﻨﺖ ﻻﻳﺔ ﺣﻤﻞﻭﻧﻘﻞ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫‪٢٢٣‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫‪Authenticated‬‬
‫‪orig IP‬‬ ‫‪ESP‬‬ ‫‪ESP‬‬ ‫‪ESP‬‬

‫‪IPv4‬‬ ‫‪hdr‬‬ ‫‪TCP‬‬ ‫‪Data‬‬ ‫‪auth‬‬
‫‪hdr‬‬ ‫‪trlr‬‬
‫‪orig IP‬‬ ‫‪hop-by-hop, dest,‬‬ ‫‪ESP‬‬ ‫‪ESP‬‬

‫‪Data‬‬ ‫‪ESP‬‬
‫‪IPv6‬‬ ‫‪hdr‬‬ ‫‪routing, fragment‬‬ ‫‪hdr‬‬ ‫‪dest‬‬ ‫‪TCP‬‬ ‫‪trlr‬‬ ‫‪auth‬‬
‫)ﺍﻟﻒ( ﻣُﻮﺩ ‪Transport‬‬
‫‪new IP‬‬ ‫‪ESP‬‬ ‫‪orig IP‬‬ ‫‪ESP‬‬ ‫‪ESP‬‬

‫‪IPv4‬‬ ‫‪hdr‬‬ ‫‪hdr‬‬ ‫‪hdr‬‬
‫‪TCP‬‬ ‫‪Data‬‬
‫‪trlr‬‬ ‫‪auth‬‬
‫‪new IP‬‬ ‫‪ext‬‬ ‫‪ESP‬‬ ‫‪orig IP‬‬ ‫‪ext‬‬ ‫‪ESP‬‬ ‫‪ESP‬‬

‫‪IPv6‬‬ ‫‪hdr‬‬ ‫‪headers‬‬ ‫‪ESP‬‬
‫‪hdr‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ‪hdr‬‬ ‫ﺍﻓﻖ ﺩﻳﺪ‬
‫‪headers‬‬ ‫‪TCP‬‬
‫‪۶‬‬‫ﺷﻜﻞ ‪-۹‬‬ ‫‪Data‬‬
‫‪trlr‬‬ ‫‪auth‬‬
‫)ﺏ( ﻣُﻮﺩ ‪Tunnel‬‬

‫ﺷﻜﻞ ‪ ۶-۹‬ﺍﻓﻖ ﺩﻳﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪ESP‬‬
‫ﻋﻤﻠﻴﺎﺕ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ‪ ،‬ﺑﺮﺍﻱ ﻫﺮ ﻛﺎﺭﺑﺮﺩﻱ ﻛﻪ ﺁﻥ ﺭﺍ ﺑﻜﺎﺭ ﻣـﻲﺑـﺮﺩ ﻣﺤﺮﻣـﺎﻧﮕﻲ ﺭﺍ ﻓـﺮﺍﻫﻢ ﻣـﻲﺳـﺎﺯﺩ ﻭ ﺑﻨـﺎﺑﺮﺍﻳﻦ ﺍﺯ ﺍﻳﺠـﺎﺩ‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﺩﺭ ﺗﻚﺗﻚ ﻛﺎﺭﺑﺮﺩﻫﺎ ﺍﺟﺘﻨﺎﺏ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺍﻳﻦ ﻣُﻮﺩ ﻋﻤﻠﻴﺎﺕ ﺑﺼﻮﺭﺕ ﻣﻌﻘﻮﻟﻲ ﺑﻬﺮﻩﻭﺭ ﺑﻮﺩﻩ ﺯﻳﺮﺍ ﻣﻘﺪﺍﺭ ﻧﺴﺒﺘﺎﹰ ﻛﻤﻲ ﺑﻪ ﻃﻮﻝ‬
‫ﺑﺴﺘﻪ ‪ IP‬ﺍﺿﺎﻓﻪ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﻳﻜﻲ ﺍﺯ ﻧﻘﺎﻁ ﺿﻌﻒ ﺍﻳﻦ ﻣُﻮﺩ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻣﻲﺗﻮﺍﻥ ﺭﻭﻱ ﺑﺴﺘﻪﻫﺎﻱ ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ‪ ،‬ﺗﺤﻠﻴﻞ ﺗﺮﺍﻓﻴﻚ ﺍﻧﺠﺎﻡ ﺩﺍﺩ‪.‬‬
‫‪ ESP‬ﻣُﻮﺩ ﺗﻮﻧﻞ‬
‫ﺍﺯ ‪ ESP‬ﺩﺭ ﻣُﻮﺩ ﺗﻮﻧﻞ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻞ ﺑﺴﺘﺔ ‪ IP‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ )ﺷﻜﻞ ‪۶-۹‬ﺏ(‪ .‬ﺑﺮﺍﻱ ﺍﻳـﻦ ﻣُـﻮﺩ‪ ،‬ﺳـﺮﺁﻳﻨﺪ ‪ ESP‬ﺩﺭ‬
‫ﺍﺑﺘﺪﺍﻱ ﺑﺴﺘﻪ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﻭ ﺁﻧﮕﺎﻩ ﺑﺴﺘﻪ ﺑﻌﻼﻭﺓ ﺗﻪﺁﻳﻨﺪ ‪ ESP‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﻳﻦ ﻣﺘﺪ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﻣﻘﺎﺑﻠﻪ ﺑـﺎ ﺗﺤﻠﻴـﻞ ﺗﺮﺍﻓﻴـﻚ‬
‫ﺑﻜﺎﺭ ﺭﻭﺩ‪.‬‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٢٤‬‬
‫ﭼﻮﻥ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺷﺎﻣﻞ ﺁﺩﺭﺱ ﻣﻘﺼﺪ ﻭ ﺍﺣﺘﻤﺎﻻﹰ ﺩﺳﺘﻮﺭﺍﺕ ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﻨﺒـﻊ ﻭ ﺍﻃﻼﻋـﺎﺕ ﺍﺧﺘﻴـﺎﺭﻱ ‪ hop-to-hop‬ﺍﺳـﺖ‪،‬‬
‫ﻣﻤﻜﻦ ﻧﻴﺴﺖ ﻛﻪ ﺑﺘﻮﺍﻥ ﺑﺼﻮﺭﺕ ﺁﺳﺎﻥ ﺑﺴﺘﺔ ‪ IP‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷـﺪﻩ ﻛـﻪ ﺩﺭ ﺍﺑﺘـﺪﺍﻱ ﺁﻥ ﺳـﺮﺁﻳﻨﺪ ‪ ESP‬ﻗـﺮﺍﺭ ﺩﺍﺭﺩ ﺭﺍ ﻣﻨﺘﻘـﻞ ﻛـﺮﺩ‪.‬‬
‫ﻣﺴﻴﺮﻳﺎﺏﻫﺎﻱ ﺑﻴﻦ ﺭﺍﻩ ﻗﺎﺩﺭ ﻧﺨﻮﺍﻫﻨﺪ ﺑﻮﺩ ﺗﺎ ﭼﻨﻴﻦ ﺑﺴﺘﻪﺍﻱ ﺭﺍ ﭘﺮﺩﺍﺯﺵ ﻧﻤﺎﻳﻨﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻻﺯﻡ ﺍﺳﺖ ﻛﻪ ﺗﻤﺎﻡ ﺑﻠـﻮﻙ )ﺳـﺮﺁﻳﻨﺪ ‪ESP‬‬
‫ﺑﻌﻼﻭﺓ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﻌﻼﻭﺓ ‪ ،Authentication Data‬ﺍﮔﺮ ﻣﻮﺟﻮﺩ ﺑﺎﺷﺪ( ﺭﺍ ﺑﺎ ﻳﻚ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺟﺪﻳﺪ ﻛﻪ ﺣﺎﻭﻱ ﺍﻃﻼﻋـﺎﺕ ﻛـﺎﻓﻲ‬
‫ﺑﺮﺍﻱ ﻣﺴﻴﺮﻳﺎﺑﻲ‪ ،‬ﻭﻟﻲ ﻧﻪ ﺑﺮﺍﻱ ﺗﺤﻠﻴﻞ ﺗﺮﺍﻗﻴﻚ‪ ،‬ﺑﺎﺷﺪ ﻛﭙﺴﻮﻟﻲ ﻛﺮﺩ‪.‬‬
‫ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ ﺑﺮﺍﻱ ﻣﺤﺎﻓﻈﺖ ﺍﺗﺼﺎﻻﺕ ﺑﻴﻦ ﻣﻴﺰﺑﺎﻥﻫﺎﺋﻲ ﻛﻪ ‪ ESP‬ﺭﺍ ﺣﻤﺎﻳﺖ ﻣﻲﻛﻨﻨـﺪ ﻣﻨﺎﺳـﺐ ﺍﺳـﺖ‪ ،‬ﻣُـﻮﺩ‬
‫ﺗﻮﻧﻞ ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺩﺭ ﭘﻴﻜﺮﺑﻨﺪﻱﻫﺎﺋﻲ ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻭ ﻳﺎ ﻧﻮﻋﻲ ﺩﺭﻭﺍﺯﺓ ﺍﻣﻨﻴﺘﻲ ﺩﻳﮕﺮ ﻛﻪ ﻳﻚ ﺷﺒﻜﺔ ﻣﻮﺭﺩ ﺍﻋﺘﻤـﺎﺩ ﺭﺍ ﺍﺯ‬
‫ﺷﺒﻜﻪﻫﺎﻱ ﺧﺎﺭﺟﻲ ﻣﺤﺎﻓﻈﺖ ﻣﻲﻛﻨﺪ‪ ،‬ﻣﻨﺎﺳﺐ ﻣﻲﺑﺎﺷﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﺁﺧﺮ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺗﻨﻬﺎ ﺑﻴﻦ ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﺧﺎﺭﺟﻲ ﺑﺎ ﺩﺭﻭﺍﺯﺓ ﺍﻣﻨﻴﺘـﻲ‬
‫ﻭ ﻳﺎ ﺑﻴﻦ ﺩﻭ ﺩﺭﻭﺍﺯﺓ ﺍﻣﻨﻴﺘﻲ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﺭﻭﻱ ﺷﺒﻜﺔ ﺩﺍﺧﻠﻲ ﺭﺍ ﺍﺯ ﺭَﻧﺞ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﻫﺎ ﺳﺎﺧﺘﻪ ﻭ ﻛـﺎﺭ ﺗﻮﺯﻳـﻊ‬
‫ﻛﻠﻴﺪ ﺭﺍ ﺑﺎ ﻛﺎﻫﺶ ﺗﻌﺪﺍﺩ ﻛﻠﻴﺪﻫﺎﻱ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺁﺳﺎﻥ ﻣﻲﻛﻨﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﺑﺎ ﺗﺤﻠﻴﻞ ﺗﺮﺍﻓﻴﻚ ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻘﺼﺪ ﻧﻬﺎﺋﻲ ﻣﻘﺎﺑﻠﻪ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻣﻮﺭﺩﻱ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ ﻛﻪ ﺩﺭﺁﻥ ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﺧﺎﺭﺟﻲ ﻣﻲﺧﻮﺍﻫﺪ ﺑﺎ ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﺭﻭﻱ ﻳﻚ ﺷﺒﻜﺔ ﺩﺍﺧﻠﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﺩﻳـﻮﺍﺭ‬
‫ﺁﺗﺶ ﺍﺯ ﺁﻥ ﻣﺤﺎﻓﻈﺖ ﻣﻲﺷﻮﺩ ﻭ ﺩﺭ ﺁﻥ ‪ ESP‬ﺑﻴﻦ ﻣﻴﺰﺑﺎﻥ ﺧﺎﺭﺟﻲ ﻭ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺑﺮﻗﺮﺍﺭ ﺍﺳﺖ‪ ،‬ﺍﺭﺗﺒﺎﻁ ﭘﻴﺪﺍ ﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻧﺘﻘـﺎﻝ ﻳـﻚ‬
‫ﺳِﮕﻤﻨﺖ ﻻﻳﺔ ﺣﻤﻞﻭﻧﻘﻞ ﺍﺯ ﻣﻴﺰﺑﺎﻥ ﺧﺎﺭﺟﻲ ﺑﻪ ﻣﻴﺰﺑﺎﻥ ﺩﺍﺧﻠﻲ ﻗﺪﻡﻫﺎﻱ ﺯﻳﺮ ﺑﺎﻳﺴﺘﻲ ﺑﺮﺩﺍﺷﺘﻪ ﺷﻮﺩ‪:‬‬
‫‪ -۱‬ﻣﺒﺪﺃ ﻳﻚ ﺑﺴﺘﺔ ‪ IP‬ﺩﺭﻭﻧﻲ ﺑﺎ ﺁﺩﺭﺱ ﻣﻘﺼﺪ ﻣﻴﺰﺑﺎﻥ ﺷﺒﻜﺔ ﺩﺍﺧﻠﻲ ﺭﺍ ﺩﺭﺳﺖ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺑﺴﺘﺔ ﺑﺎ ﺳﺮﺁﻳﻨﺪ ‪ ESP‬ﺗﺠﻬﻴـﺰ‬
‫ﺷﺪﻩ ﻭ ﺁﻧﮕﺎﻩ ﺑﺴﺘﻪ ﻭ ﺗﻪﺁﻳﻨﺪ ‪ ESP‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﻭ ‪ Authentication Data‬ﻣﻤﻜﻦ ﺍﺳـﺖ ﺑـﻪ ﺁﻥ ﺍﺿـﺎﻓﻪ ﮔـﺮﺩﺩ‪.‬‬
‫ﺑﻠﻮﻙ ﻣﻨﺘﺠﻪ ﺑﺎ ﻳﻚ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺟﺪﻳﺪ )ﺑﺮﺍﻱ ‪ IPv6‬ﺳﺮﺁﻳﻨﺪ ﺍﺻـﻠﻲ ﺑﻌـﻼﻭﺓ ﺳـﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤـﺎﻗﻲ ﻧﻈﻴـﺮ ‪ routing‬ﻭ‬
‫‪ ( hop-to-hop‬ﻛﻪ ﺁﺩﺭﺱ ﻣﻘﺼﺪ ﺁﻥ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺍﺳﺖ ﻛﭙﺴﻮﻟﻲ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﻳﻦ ﺑﺴﺘﺔ ‪ IP‬ﺑﻴﺮﻭﻧﻲ ﺭﺍ ﺷﻜﻞ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪ -۲‬ﺑﺴﺘﺔ ﺑﻴﺮﻭﻧﻲ ﺑﻪ ﺳﻤﺖ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻣﻘﺼﺪ ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﻲﮔﺮﺩﺩ‪ .‬ﻫﺮ ﻣﺴﻴﺮﻳﺎﺏ ﺑﻴﻦ ﺭﺍﻩ ﻻﺯﻡ ﺍﺳﺖ ﻛﻪ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺑﻴﺮﻭﻧﻲ‬
‫ﺑﻌﻼﻭﺓ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ ﺩﻳﮕﺮ ﺭﺍ ﻭﺍﺭﺳﻲ ﻭ ﭘﺮﺩﺍﺯﺵ ﻧﻤﻮﺩﻩ ﻭﻟﻲ ﻧﻴﺎﺯﻱ ﻧﻴﺴﺖ ﻛﻪ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺭﺍ ﺑﺎﺯﺩﻳﺪ ﻛﻨﺪ‪.‬‬
‫‪ -۳‬ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻣﻘﺼﺪ‪ ،‬ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺑﻴﺮﻭﻧﻲ ﺑﺎﺿﺎﻓﺔ ﻫﺮ ﺳﺮﺁﻳﻨﺪ ﺍﻟﺤﺎﻗﻲ ﺩﻳﮕﺮ ﺭﺍ ﺑﺮﺭﺳﻲ ﻭ ﭘﺮﺩﺍﺯﺵ ﻣﻲﻛﻨﺪ‪ .‬ﺁﻧﮕﺎﻩ ﺑﺮ ﺍﺳـﺎﺱ‬
‫‪ SPI‬ﻣﻮﺟﻮﺩ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ‪ ،ESP‬ﮔﺮﺓ ﻣﻘﺼﺪ ﺑﻘﻴﺔ ﺑﺴﺘﻪ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﺗﺎ ﺑﻪ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﺴﺘﺔ ‪ IP‬ﺩﺭﻭﻧﻲ ﺩﺳﺖﻳﺎﺑـﺪ‪.‬‬
‫ﺍﻳﻦ ﺑﺴﺘﻪ ﺁﻧﮕﺎﻩ ﺩﺭ ﺷﺒﻜﺔ ﺩﺍﺧﻠﻲ ﺍﻧﺘﻘﺎﻝ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫‪ -۴‬ﺑﺴﺘﺔ ﺩﺭﻭﻧﻲ ﺍﺯ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻣﺴﻴﺮﻳﺎﺏ ﺩﺭ ﺷﺒﻜﺔ ﺩﺍﺧﻠﻲ ﻋﺒﻮﺭ ﻛﺮﺩﻩ ﺗﺎ ﺑﻪ ﻣﻴﺰﺑﺎﻥ ﻣﻘﺼﺪ ﺑﺮﺳﺪ‪.‬‬
‫ﺗﺮﻛﻴﺐ ﺍﺗﺤﺎﺩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬ ‫‪۶-۵‬‬
‫ﻳﻚ ‪ SA‬ﻣﻨﻔﺮﺩ ﻣﻲﺗﻮﺍﻧﺪ ﻳﻜﻲ ﺍﺯ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ‪ AH‬ﻭ ﻳﺎ ‪ ESP‬ﻭ ﻧﻪ ﻫﺮﺩﻭ ﺭﺍ ﺍﺟﺮﺍ ﻛﻨﺪ‪ .‬ﮔﺎﻫﻲ ﺍﻭﻗﺎﺕ ﻳﻚ ﺟﺮﻳﺎﻥ ﺗﺮﺍﻓﻴﻚ ﺑﺨـﺼﻮﺹ‪،‬‬
‫ﻧﻴﺎﺯﻣﻨﺪ ﻫﺮ ﺩﻭ ﺳﺮﻭﻳﺲ ‪ AH‬ﻭ ‪ ESP‬ﺍﺳﺖ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺁﻥ ﻳﻚ ﺟﺮﻳﺎﻥ ﺗﺮﺍﻓﻴـﻚ ﺑﺨـﺼﻮﺹ ﻣﻤﻜـﻦ ﺍﺳـﺖ ﻧﻴﺎﺯﻣﻨـﺪ ﺳـﺮﻭﻳﺲﻫـﺎﻱ‬
‫‪ IPSec‬ﺑﻴﻦ ﻣﻴﺰﺑﺎﻥﻫﺎ ﻭ ﺑﺮﺍﻱ ﻫﻤﺎﻥ ﺟﺮﻳﺎﻥ‪ ،‬ﺳﺮﻭﻳﺲﻫﺎﻱ ﻣﺠﺰﺍ ﺑﻴﻦ ﺩﺭﻭﺍﺯﻩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﺜﻞ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﺑﺎﺷـﺪ‪ .‬ﺩﺭ ﺗﻤـﺎﻡ ﺍﻳـﻦ‬
‫ﻣﻮﺍﺭﺩ‪SA ،‬ﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ﻫﻤﺎﻥ ﺟﺮﻳﺎﻥ ﺗﺮﺍﻓﻴﻚ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﻮﺩ ﺗﺎ ﺳﺮﻭﻳﺲﻫـﺎﻱ ‪ IPSec‬ﻣﻄﻠـﻮﺏ ﺭﺍ ﺍﻳﺠـﺎﺩ ﻧﻤﺎﻳـﺪ‪.‬‬
‫ﺍﺻﻄﻼﺡ ‪ security association bundle‬ﺑﻪ ﺭﺩﻳﻔﻲ ﺍﺯ ‪SA‬ﻫﺎ ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨﺪ ﻛﻪ ﺗﺮﺍﻓﻴﻚ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﺩﺭﻭﻥ ﺁﻧﻬﺎ ﻋﺒـﻮﺭ ﻛـﺮﺩﻩ ﺗـﺎ‬
‫‪٢٢٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫ﻣﺠﻤﻮﻋﺔ ﻣﻄﻠﻮﺑﻲ ﺍﺯ ﺳﺮﻭﻳﺲﻫﺎﻱ ‪ IPSec‬ﺑﺮﺍﻱ ﺁﻥ ﻓﺮﺍﻫﻢ ﺷﻮﺩ‪SA .‬ﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺩﺭ ﻳﻚ ﺩﺳﺘﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺩﺭ ﻧﻘﺎﻁ ﺍﻧﺘﻬﺎﺋﻲ ﻣﺨﺘﻠـﻒ‬
‫ﻭ ﻳﺎ ﻫﻤﻪ ﺩﺭ ﻳﻚ ﻧﻘﻄﻪ ﺧﺎﺗﻤﻪ ﻳﺎﺑﻨﺪ‪.‬‬
‫ﺍﺗﺤﺎﺩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﻪ ﺩﻭ ﺻﻮﺭﺕ ﺑﺎ ﻫﻢ ﺩﺳﺘﻪﺑﻨﺪﻱ ﺷﻮﻧﺪ‪:‬‬
‫ﻣﺠﺎﻭﺭﺕ ﻣُﻮﺩﻫﺎﻱ ﺣﻤﻞﻭﻧﻘﻞ‪ :‬ﺑﻪ ﺍﻋﻤﺎﻝ ﺑﻴﺶ ﺍﺯ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺍﻣﻨﻴﺘﻲ ﺑﻪ ﻳﻚ ﺑـﺴﺘﺔ ‪ ،IP‬ﺑـﺪﻭﻥ ﺍﺳـﺘﻔﺎﺩﻩ ﺍﺯ ﺗﻮﻧـﻞ ﺍﺷـﺎﺭﻩ‬ ‫•‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﺗﺮﻛﻴﺐ ‪ AH‬ﻭ ‪ ،ESP‬ﻓﻘﻂ ﺗﺮﻛﻴﺐ ﺩﺭ ﻳﻚ ﺳﻄﺢ ﺭﺍ ﻣﺠﺎﺯ ﻣﻲﺷﻤﺎﺭﺩ‪ .‬ﻻﻧـﻪﺳـﺎﺯﻱ ﻛـﺮﺩﻥ)‪(nesting‬‬
‫ﺑﻴﺸﺘﺮ ﺳﻮﺩﻱ ﻧﺪﺍﺭﺩ ﺯﻳﺮﺍ ﭘﺮﺩﺍﺯﺵ ﺩﺭ ﻳﻚ ﻣﻮﺭﺩ ‪ IPSec‬ﻭ ﺁﻧﻬﻢ ﺩﺭ ﻣﻘﺼﺪ ﺍﻧﺘﻬﺎﺋﻲ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪.‬‬
‫ﺗﻮﻧﻞﻫﺎﻱ ﺗﻮﺩﺭﺗﻮ‪ :‬ﺑﻪ ﺍﻋﻤﺎﻝ ﻻﻳﻪﻫﺎﻱ ﻣﺘﻌﺪﺩ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻛﻪ ﺍﺯ ﻃﺮﻳﻖ ‪ IPSec‬ﺍﻋﻤﺎﻝ ﻣﻲﺷﻮﻧﺪ ﺍﺷـﺎﺭﻩ ﺩﺍﺭﺩ‪ .‬ﺍﻳـﻦ‬ ‫•‬
‫ﺭﻭﺵ ﺳﻄﻮﺡ ﻣﺘﻌﺪﺩ ﻻﻧﻪﺳﺎﺯﻱ ﺭﺍ ﻣﺠﺎﺯ ﺩﺍﻧﺴﺘﻪ ﺯﻳﺮﺍ ﻫﺮ ﺗﻮﻧﻞ ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﺳﺎﻳﺖﻫﺎﻱ ﻣﺘﻔـﺎﻭﺕ ‪ IPSec‬ﺩﺭ ﻃـﻮﻝ ﻣـﺴﻴﺮ‪،‬‬
‫ﺍﻳﺠﺎﺩ ﺷﺪﻩ ﻭ ﻳﺎ ﺧﺎﺗﻤﻪ ﻳﺎﺑﺪ‪.‬‬
‫ﺍﻳﻦ ﺩﻭ ﺭﻭﺵ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺎ ﻫﻢ ﺗﺮﻛﻴﺐ ﺷﻮﻧﺪ‪ .‬ﻣﺜﺎﻟﻲ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﻋﺒﻮﺭ ﻳﻚ ‪ SA‬ﺣﻤﻞﻭﻧﻘـﻞ ﺑـﻴﻦ ﺩﻭ ﻣﻴﺰﺑـﺎﻥ ﺍﺯ ﺩﺭﻭﻥ ‪SA‬‬
‫ﺗﻮﻧﻞ ﺑﻴﻦ ﺩﺭﻭﺍﺯﻩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﺩﺭ ﺑﺨﺸﻲ ﺍﺯ ﻣﺴﻴﺮ ﺍﺳﺖ‪.‬‬
‫ﻳﻚ ﻣﻄﻠﺐ ﺟﺎﻟﺐ ﺗﻮﺟﻪ ﺩﺭ ﻫﻨﮕﺎﻡ ﻣﻼﺣﻈﺔ ﺩﺳﺘﻪﻫﺎﻱ ‪ ،SA‬ﺗﺮﺗﻴﺐ ﻗﺮﺍﺭﮔﺮﻓﺘﻦ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻴﻦ ﻳﻚ ﺯﻭﺝ ﮔﺮﺓ‬
‫ﺍﻧﺘﻬﺎﺋﻲ ﻭ ﺭﻭﺵﻫﺎﻱ ﺍﻧﺠﺎﻡ ﺁﻥ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﻄﻠﺐ ﺭﺍ ﺩﺭ ﺩﻧﺒﺎﻟﺔ ﺍﻳﻦ ﺑﺤﺚ ﻣﻄﺎﻟﻌﻪ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺁﻧﮕﺎﻩ ﺑﻪ ﺗﺮﻛﻴﺐﻫـﺎﺋﻲ ﺍﺯ ‪ SA‬ﻛـﻪ ﺷـﺎﻣﻞ‬
‫ﺣﺪﺍﻗﻞ ﻳﻚ ﺗﻮﻧﻞ ﻫﺴﺘﻨﺪ ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻌﻼﻭﺓ ﻣﺤﺮﻣﺎﻧﮕﻲ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﻫﻢ ﺗﺮﻛﻴﺐ ﻛﺮﺩ ﺗﺎ ﻳﻚ ﺑﺴﺘﺔ ‪ IP‬ﺭﺍ ﺑﺎ ﻣﺤﺮﻣﺎﻧﮕﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻴﻦ ﻣﻴﺰﺑﺎﻥﻫـﺎ ﺍﻧﺘﻘـﺎﻝ ﺩﺍﺩ‪.‬‬
‫ﺑﻪ ﭼﻨﺪﺭﻭﺵ ﻣﻤﻜﻦ ﻧﮕﺎﻫﻲ ﻣﻲﺍﻧﺪﺍﺯﻳﻢ‪.‬‬
‫‪ ESP‬ﺑﺎ ﻗﺎﺑﻠﻴﺖ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﺍﻳﻦ ﺭﻭﺵ ﺩﺭ ﺷﻜﻞ ‪ ۶-۹‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﺭﻭﺵ‪ ،‬ﻛﺎﺭﺑﺮ ﺍﺑﺘﺪﺍ ‪ ESP‬ﺭﺍ ﺑﻪ ﺩﻳﺘﺎﺋﻲ ﻛﻪ ﺑﺎﻳﺪ ﻣﺤﺎﻓﻈﺖ ﺷﻮﺩ ﺍﻋﻤﺎﻝ‬
‫ﻛﺮﺩﻩ ﻭ ﺁﻧﮕﺎﻩ ﻣﻴﺪﺍﻥ ‪ Authentication Data‬ﺭﺍ ﺑﻪ ﺁﻥ ﺍﺿﺎﻓﻪ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﺩﻭ ﺣﺎﻟﺖ ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﺍﺳﺖ‪:‬‬
‫‪ ESP‬ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ‪ :‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻪ ﻣﺤﻤﻮﻟﺔ ‪ IP‬ﻛﻪ ﺑﻪ ﻣﻴﺰﺑﺎﻥ ﺗﺤﻮﻳﻞ ﺩﺍﺩﻩ ﻣﻲﺷـﻮﺩ ﺍﻋﻤـﺎﻝ ﺷـﺪﻩ ﻭﻟـﻲ‬ ‫•‬
‫ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﻣﺤﺎﻓﻈﺖ ﻧﻤﻲﺷﻮﺩ‪.‬‬
‫‪ ESP‬ﻣُﻮﺩ ﺗﻮﻧﻞ‪ :‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻪ ﺗﻤﺎﻡ ﺑﺴﺘﺔ ‪ IP‬ﻛﻪ ﺑﻪ ﻳـﻚ ﺁﺩﺭﺱ ﻣﻘـﺼﺪ ‪ IP‬ﺑﻴﺮﻭﻧـﻲ )ﻣـﺜﻼﹰ ﺩﻳـﻮﺍﺭ ﺁﺗـﺶ( ﺗﺤﻮﻳـﻞ‬ ‫•‬
‫ﻣﻲﮔﺮﺩﺩ ﺍﻋﻤﺎﻝ ﺷﺪﻩ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﺭ ﻣﻘﺼﺪ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﺗﻤﺎﻡ ﺑﺴﺘﺔ ‪ IP‬ﺩﺭﻭﻧﻲ ﺑﺘﻮﺳﻂ ﻣﻜﺎﻧﻴـﺴﻢ ﺳـﺮّﻱ ﻛـﺮﺩﻥ‬
‫ﺑﺮﺍﻱ ﺗﺤﻮﻳﻞ ﺑﻪ ﻣﻘﺼﺪ ‪ IP‬ﺩﺭﻭﻧﻲ ﻣﺤﺎﻓﻈﺖ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺑﺮﺍﻱ ﻫﺮ ﺩﻭ ﻣﻮﺭﺩ‪ ،‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺠﺎﻱ ﺍﻳﻨﻜﻪ ﺑﻪ ﻣﺘﻦ ﺳﺎﺩﻩ ﺍﻋﻤﺎﻝ ﺷﻮﺩ ﺑﻪ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺍﻋﻤﺎﻝ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٢٦‬‬
‫ﻣﺠﺎﻭﺭﺕ ﺩﻭ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ‬
‫ﺭﻭﺵ ﺩﻳﮕﺮﻱ ﺑﺮﺍﻱ ﺍﻋﻤﺎﻝ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﺲ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺩﻭ ‪ SA‬ﺣﻤﻞﻭﻧﻘﻞ ﺍﺳﺖ ﻛﻪ ﺩﺭﻭﻧـﻲ ﺁﻥ ‪ ESP SA‬ﻭ‬
‫ﺑﻴﺮﻭﻧﻲ ﺁﻥ ‪ AH SA‬ﺑﺎﺷﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ‪ ESP‬ﺑﺪﻭﻥ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﭼـﻮﻥ ‪ SA‬ﺩﺭﻭﻧـﻲ ﻳـﻚ ‪ SA‬ﺣﻤـﻞﻭﻧﻘـﻞ ﺍﺳـﺖ‪،‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻪ ﻣﺤﻤﻮﻟﺔ ‪ IP‬ﺍﻋﻤﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﺑﺴﺘﺔ ﻣﻨﺘﺠﻪ ﺷﺎﻣﻞ ﻳﻚ ﺳﺮﺁﻳﻨﺪ ‪) IP‬ﻭ ﺍﺣﺘﻤﺎﻻﹰ ﻣﻠﺤﻘﺎﺕ ﺳـﺮﺁﻳﻨﺪ ‪ ( IPv6‬ﻭ ﺑـﺪﻧﺒﺎﻝ ﺁﻥ‬
‫ﻳﻚ ‪ ESP‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ AH .‬ﺳﭙﺲ ﺩﺭ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ ﺑﻜﺎﺭﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺑﻄﻮﺭﻱ ﻛﻪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪ ESP‬ﺑﻌﻼﻭﺓ ﺳـﺮﺁﻳﻨﺪ ‪ IP‬ﺍﻭﻟﻴـﻪ )ﻭ‬
‫ﻣﻠﺤﻘﺎﺕ( ﺑﻐﻴﺮ ﺍﺯ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺗﻐﻴﻴﺮﭘﺬﻳﺮ ﺭﺍ ﻣﻲﭘﻮﺷﺎﻧﺪ‪ .‬ﻣﺰﻳﺖ ﺍﻳﻦ ﺭﻭﺵ ﻧـﺴﺒﺖ ﺑـﻪ ﺍﺳـﺘﻔﺎﺩﻩ ﺳـﺎﺩﻩ ﺍﺯ ﻳـﻚ ‪ ESP SA‬ﻣﻨﻔـﺮﺩ ﺑـﺎ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺧﺘﻴﺎﺭﻱ ‪ ESP‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻣﻴﺪﺍﻥﻫﺎﻱ ﺑﻴﺸﺘﺮﻱ ﻛﻪ ﺷـﺎﻣﻞ ﺁﺩﺭﺱﻫـﺎﻱ ‪ IP‬ﻣﺒـﺪﺃ ﻭ ﻣﻘـﺼﺪ ﺍﺳـﺖ ﺭﺍ‬
‫ﻣﻲﭘﻮﺷﺎﻧﺪ‪ .‬ﻋﻴﺐ ﺁﻥ ﻭﺟﻮﺩ ﺳﺮﺑﺎﺭﺓ ﺩﻭ ‪ SA‬ﺩﺭ ﻣﻘﺎﻳﺴﻪ ﺑﺎ ﻳﻚ ‪ SA‬ﺍﺳﺖ‪.‬‬
‫ﻣﺠﺎﻭﺭﺕ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ ﺑﺎ ﻣُﻮﺩ ﺗﻮﻧﻞ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻗﺒﻞ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﺩﻻﻳﻞ ﻣﺘﻌﺪﺩﻱ ﺍﺭﺟﺢ ﺑﺎﺷـﺪ‪ .‬ﺍﻭﻝ ﺍﻳﻨﻜـﻪ ﭼـﻮﻥ ﺩﻳﺘـﺎﻱ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ‬
‫ﺑﺘﻮﺳﻂ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺤﺎﻓﻈﺖ ﻣﻲﺷﻮﺩ‪ ،‬ﻏﻴﺮﻣﻤﻜﻦ ﺍﺳﺖ ﻛﻪ ﻛﺴﻲ ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ ﻟﻮ ﺭﻭﺩ ﺑﺘﻮﺍﻧﺪ ﭘﻴﺎﻡ ﺭﺍ ﮔﺮﻓﺘـﻪ ﻭ ﺍﻃﻼﻋـﺎﺕ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ‬
‫ﺁﻥ ﺭﺍ ﺗﻐﻴﻴﺮ ﺩﻫﺪ‪ .‬ﺛﺎﻧﻴﺎﹰ ﻣﻤﻜﻦ ﺍﺳﺖ ﻻﺯﻡ ﺑﺎﺷﺪ ﻛﻪ ﺍﻃﻼﻋﺎﺕ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻫﻤﺮﺍﻩ ﭘﻴﺎﻡ ﺭﺍ ﺑﺮﺍﻱ ﻣﺼﺎﺭﻑ ﺁﺗﻲ ﺩﺭ ﻣﻘﺼﺪ ﺫﺧﻴـﺮﻩ ﻛـﺮﺩ‪.‬‬
‫ﺍﻳﻦ ﺍﻣﺮ ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻪ ﺍﻃﻼﻋﺎﺕ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻪ ﭘﻴﺎﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﺸﺪﻩ ﺍﻋﻤﺎﻝ ﮔﺮﺩﺩ ﺳﺎﺩﻩﺗـﺮ ﺧﻮﺍﻫـﺪ ﺑـﻮﺩ‪ ،‬ﺩﺭ ﻏﻴﺮﺍﻳﻨـﺼﻮﺭﺕ ﭘﻴـﺎﻡ‬
‫ﺑﺎﻳﺴﺘﻲ ﺩﻭﺑﺎﺭﻩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﺩ ﺗﺎ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﺑﺘﻮﺍﻥ ﺗﺄﺋﻴﺪ ﻧﻤﻮﺩ‪.‬‬
‫ﻳﻜﻲ ﺍﺯ ﺭﻭﺵﻫﺎﻱ ﺍﻋﻤﺎﻝ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻗﺒﻞ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻴﻦ ﺩﻭ ﻣﻴﺰﺑـﺎﻥ ﺍﻳـﻦ ﺍﺳـﺖ ﻛـﻪ ﺍﺯ ﻳـﻚ ﺩﺳـﺘﻪ ﻛـﻪ ﺷـﺎﻣﻞ ﻳـﻚ‬
‫‪ AH transport SA‬ﺩﺭﻭﻧﻲ ﻭ ﻳﻚ ‪ ESP tunnel SA‬ﺑﻴﺮﻭﻧﻲ ﺍﺳﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣـﻮﺭﺩ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ ﺑـﻪ ﻣﺤﻤﻮﻟـﺔ ‪IP‬‬
‫ﺑﺎﺿﺎﻓﺔ ﺳﺮﺁﻳﻨﺪ ‪) IP‬ﻭﻣﻠﺤﻘﺎﺕ(‪ ،‬ﺑﺠﺰ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺗﻐﻴﻴﺮﭘﺬﻳﺮ‪ ،‬ﺍﻋﻤﺎﻝ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺑﺴﺘﺔ ‪ IP‬ﻧﺘﻴﺠﻪ ﺷﺪﻩ ﺁﻧﮕـﺎﻩ ﺩﺭ ﻣُـﻮﺩ ﺗﻮﻧـﻞ ﺑﺘﻮﺳـﻂ‬
‫‪ ESP‬ﭘﺮﺩﺍﺯﺵ ﺧﻮﺍﻫﺪ ﺷﺪ ﻛﻪ ﻧﺘﻴﺠﺔ ﺁﻥ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺗﻤﺎﻡ ﺑﺴﺘﺔ ﺩﺭﻭﻧﻲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺪﻩ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷـﺪﻩ ﻭ ﻳـﻚ ﺳـﺮﺁﻳﻨﺪ ‪IP‬‬
‫ﺑﻴﺮﻭﻧﻲ ﺟﺪﻳﺪ )ﻭﻣﻠﺤﻘﺎﺕ( ﺑﻪ ﺁﻥ ﺍﺿﺎﻓﻪ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﺗﺮﻛﻴﺐﻫﺎﻱ ﺍﺻﻠﻲ ﺍﺗﺤﺎﺩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬
‫ﺍﺳﻨﺎﺩ ﻣﻌﻤﺎﺭﻱ ‪ IPSec‬ﭼﻬﺎﺭ ﻣﺜﺎﻝ ﺍﺯ ﺗﺮﻛﻴﺐ ‪SA‬ﻫﺎ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺑﺘﻮﺳﻂ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﻣﻨﻄﺒﻖ ﺑﺎ ‪) IPSec‬ﻣﺜﻞ ﺍﻳـﺴﺘﮕﺎﻩﻫـﺎﻱ ﻛـﺎﺭﻱ‪،‬‬
‫ﺳِﺮﻭﺭﻫﺎ( ﻭ ﻳﺎ ﺩﺭﻭﺍﺯﻩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ )ﻣﺜﻞ ﺩﻳﻮﺍﺭ ﺁﺗﺶ‪ ،‬ﻣﺴﻴﺮﻳﺎﺏ( ﻣﻮﺭﺩ ﺣﻤﺎﻳﺖ ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ ﺭﺍ ﺫﻛﺮ ﻛﺮﺩﻩ ﺍﺳـﺖ‪ .‬ﺍﻳـﻦ ﺗﺮﻛﻴـﺐﻫـﺎ ﺩﺭ‬
‫ﺷﻜﻞ ‪ ۶-۱۰‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩﺍﻧﺪ‪ .‬ﻗﺴﻤﺖ ﭘﺎﺋﻴﻦ ﻫﺮ ﻣﻮﺭﺩ ﺩﺭ ﺷﻜﻞ ﻧﻤﺎﻳﺶ ﺩﻫﻨﺪﺓ ﺍﺗـﺼﺎﻝ ﻓﻴﺰﻳﻜـﻲ ﻋﻨﺎﺻـﺮ ﺍﺳـﺖ‪ .‬ﻗـﺴﻤﺖ ﻓﻮﻗـﺎﻧﻲ‬
‫ﻧﻤﺎﻳﺸﮕﺮ ﺍﺗﺼﺎﻝ ﻣﻨﻄﻘﻲ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﻳﺎ ﭼﻨﺪ ‪ SA‬ﺗﻮﺩﺭﺗﻮ ﺍﺳﺖ‪ .‬ﻫـﺮ ‪ SA‬ﻣـﻲﺗﻮﺍﻧـﺪ ﻳـﺎ ‪ AH‬ﻭ ﻳـﺎ ‪ ESP‬ﺑﺎﺷـﺪ‪ .‬ﺑـﺮﺍﻱ ‪SA‬ﻫـﺎﻱ‬
‫ﻣﻴﺰﺑﺎﻥ‪ -‬ﺑﻪ‪ -‬ﻣﻴﺰﺑﺎﻥ‪ ،‬ﻣُﻮﺩ ﻣﻲﺗﻮﺍﻧﺪ ﺣﻤﻞﻭﻧﻘﻞ ﻭ ﻳﺎ ﺗﻮﻧﻞ ﺑﺎﺷﺪ‪ .‬ﺩﺭ ﻏﻴﺮ ﺍﻳﻨﺼﻮﺭﺕ ﻣُﻮﺩ ﺣﺘﻤﺎﹰ ﺗﻮﻧﻞ ﺍﺳﺖ‪.‬‬
‫ﺩﺭ ﻣﻮﺭﺩ ﺍﻭﻝ‪ ،‬ﻛﻞ ﺍﻣﻨﻴﺖ ﺑﺘﻮﺳﻂ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺍﻧﺘﻬﺎﺋﻲ ﻛﻪ ﺍﺯ ‪ IPSec‬ﺍﺳﺘﻔﺎﺩﻩ ﻣـﻲﻛﻨﻨـﺪ ﻓـﺮﺍﻫﻢ ﺷـﺪﻩ ﺍﺳـﺖ‪ .‬ﺑـﺮﺍﻱ ﻫـﺮ ﺩﻭ‬
‫ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ ﻛﻪ ﺍﺯ ﻃﺮﻳﻖ ‪ SA‬ﺑﺎﻫﻢ ﺍﺭﺗﺒﺎﻁ ﺑﺮﻗﺮﺍﺭ ﻣﻲﻛﻨﻨﺪ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﻛﻠﻴﺪﻫﺎﻱ ﺳﺮّﻱ ﻣﻨﺎﺳﺐ ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﮔﺬﺍﺷـﺘﻪ ﺷـﻮﻧﺪ‪ .‬ﻣـﻮﺍﺭﺩ‬
‫ﺯﻳﺮ ﺗﺮﻛﻴﺐﻫﺎﻱ ﻣﻤﻜﻦ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪:‬‬
‫‪٢٢٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫ﺍﻟﻒ‪ AH -‬ﺩﺭ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ‬

‫ﺏ ‪ ESP -‬ﺩﺭ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ‬
‫ﺝ‪ AH -‬ﺑﻪ ﺩﻧﺒﺎﻝ ‪ ESP‬ﺩﺭ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ )ﻳﻚ ‪ ESP SA‬ﺩﺭ ﺩﺭﻭﻥ ﻳﻚ ‪.(AH SA‬‬
‫ﺩ‪ -‬ﻫﺮﻳﻚ ﺍﺯ ﻣﻮﺍﺭﺩ ﺍﻟﻒ‪ ،‬ﺏ‪ ،‬ﻳﺎ ﺝ ﺩﺭ ﺩﺍﺧﻞ ﻳﻚ ‪ AH‬ﻳﺎ ‪ ESP‬ﺩﺭ ﻣُﻮﺩ ﺗﻮﻧﻞ‪.‬‬
‫ﻗﺒﻼﹰ ﺩﺭ ﻣﻮﺭﺩ ﺍﻧﻮﺍﻉ ﺗﺮﻛﻴﺐﻫﺎﻱ ﺫﻛﺮﺷﺪﻩ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ‪ ،‬ﺭﻣﺰﻧﮕـﺎﺭﻱ‪ ،‬ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ ﻗﺒـﻞ ﺍﺯ ﺭﻣﺰﻧﮕـﺎﺭﻱ ﻭ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻌﺪ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﻮﺩ ﺻﺤﺒﺖ ﻛﺮﺩﻩﺍﻳﻢ‪.‬‬
‫ﺑﺮﺍﻱ ﻣﻮﺭﺩ ﺩﻭﻡ‪ ،‬ﺍﻣﻨﻴﺖ ﻓﻘﻂ ﺑﻴﻦ ﺩﺭﻭﺍﺯﻩﻫﺎ )ﻣﺴﻴﺮﻳﺎﺏﻫﺎ‪ ،‬ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻭ ﻏﻴﺮﻩ( ﻓﺮﺍﻫﻢ ﺷـﺪﻩ ﻭ ﻫـﻴﭻ ﻣﻴﺰﺑـﺎﻧﻲ ‪ IPSec‬ﺭﺍ‬
‫ﺑﻜﺎﺭ ﻧﻤﻲﮔﻴﺮﺩ‪ .‬ﺍﻳﻦ ﻣﺜﺎﻝ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺷﺒﻜﺔ ﺧﺼﻮﺻﻲ ﻣﺠﺎﺯﻱ ﺭﺍ ﺭﻭﺷﻦ ﻣﻲﻛﻨﺪ‪ .‬ﺳﻨﺪ ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺘﻲ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﺗﻨﻬﺎ ﻳﻚ‬
‫ﺗﻮﻧﻞ ﻣﻨﻔﺮﺩ ‪ SA‬ﺑﺮﺍﻱ ﺍﻳﻦ ﺣﺎﻟﺖ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪ .‬ﺗﻮﻧﻞ ﻣﻲﺗﻮﺍﻧﺪ ‪ ESP ،AH‬ﻭ ﻳﺎ ‪ ESP‬ﺑﺎ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ ﺭﺍ ﺣﻤﺎﻳـﺖ ﻧﻤﺎﻳـﺪ‪ .‬ﭼـﻮﻥ‬
‫ﺳﺮﻭﻳﺲﻫﺎﻱ ‪ IPSec‬ﺑﻪ ﺗﻤﺎﻡ ﺑﺴﺘﺔ ﺩﺭﻭﻧﻲ ﺍﻋﻤﺎﻝ ﻣﻲﺷﻮﺩ‪ ،‬ﺗﻮﻧﻞﻫﺎﻱ ﺗﻮﺩﺭﺗﻮ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻧﻴﺴﺘﻨﺪ‪.‬‬
‫ﻣﻮﺭﺩ ﺳﻮﻡ‪ ،‬ﺭﻭﻱ ﻣﻮﺭﺩ ﺩﻭﻡ ﻭ ﺑﺎ ﺍﺿﺎﻓﻪ ﻛﺮﺩﻥ ﺍﻣﻨﻴﺖ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﺳﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻫﻤﺎﻥ ﺗﺮﻛﻴـﺐﻫـﺎﻱ ﺑﺤـﺚ ﺷـﺪﻩ ﺩﺭ‬
‫ﻣﻮﺍﺭﺩ ‪ ۱‬ﻭ ‪ ۲‬ﺩﺭ ﺍﻳﻨﺠﺎ ﻧﻴﺰ ﻣﺠﺎﺯ ﻫﺴﺘﻨﺪ‪ .‬ﺗﻮﻧﻞ ﺩﺭﻭﺍﺯﻩ‪ -‬ﺑﻪ‪ -‬ﺩﺭﻭﺍﺯﻩ‪ ،‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻣﺤﺮﻣﺎﻧﮕﻲ ﻭ ﻳﺎ ﻫﺮﺩﻭﻱ ﺁﻧﻬﺎ ﺭﺍ ﺑﻴﻦ ﺳﻴـﺴﺘﻢﻫـﺎﻱ‬
‫ﺍﻧﺘﻬﺎﺋﻲ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪ .‬ﻭﻗﺘﻲ ﺗﻮﻧﻞ ﺩﺭﻭﺍﺯﻩ‪ -‬ﺑﻪ‪ -‬ﺩﺭﻭﺍﺯﻩ‪ ESP ،‬ﺍﺳﺖ ﺗﺎ ﺣﺪﻱ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺗﺮﺍﻓﻴﻚ ﺭﺍ ﻧﻴﺰ ﺍﻳﺠﺎﺩ ﻣـﻲﻛﻨـﺪ‪ .‬ﻫـﺮ ﻳـﻚ ﺍﺯ‬
‫ﻣﻴﺰﺑﺎﻥﻫﺎ ﺧﻮﺩ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺳﺮﻭﻳﺲﻫﺎﻱ ‪ IPSec‬ﺍﺿﺎﻓﻲ ﺭﺍ ﻧﻴﺰ ﺑﻮﺳﻴﻠﺔ ‪SA‬ﻫـﺎﻱ ﺳـﺮ‪ -‬ﺑـﻪ‪ -‬ﺳـﺮ ﺑـﺮﺍﻱ ﻛﺎﺭﺑﺮﺩﻫـﺎﻱ ﻣﺨﺘﻠـﻒ ﻭ ﻳـﺎ‬
‫ﻛﺎﺭﺑﺮﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺑﻜﺎﺭ ﮔﻴﺮﻧﺪ‪.‬‬
‫‪One or More SAs‬‬ ‫‪Tunnel SA‬‬

‫‪One or Two SAs‬‬
‫‪Security‬‬ ‫‪Security‬‬
‫‪Router‬‬ ‫‪Router‬‬ ‫*‪Gateway‬‬ ‫*‪Gateway‬‬
‫*‪Host‬‬ ‫*‪Host‬‬
‫*‪Host‬‬ ‫*‪Host‬‬
‫‪Local‬‬ ‫‪Internet‬‬ ‫‪Local‬‬ ‫‪Local‬‬ ‫‪Local‬‬

‫‪Internet‬‬
‫‪Intranet‬‬ ‫‪Intranet‬‬ ‫‪Intranet‬‬ ‫‪Intranet‬‬
‫)ﺍﻟﻒ( ﻣﻮﺭﺩ ﺍﻭﻝ‬ ‫)ﺝ( ﻣﻮﺭﺩﺳﻮﻡ‬
‫ﺍﺟﺮﺍﻱ ‪* = IPSec‬‬ ‫‪Tunnel SA‬‬

‫‪Tunnel SA‬‬ ‫‪One or Two SAs‬‬
‫*‪Host‬‬
‫‪Security‬‬ ‫‪Security‬‬ ‫‪Security‬‬

‫*‪Gateway‬‬ ‫*‪Gateway‬‬ ‫*‪Gateway‬‬
‫‪Host‬‬ ‫‪Host‬‬ ‫*‪Host‬‬

‫‪Local‬‬ ‫‪Internet‬‬ ‫‪Local‬‬ ‫‪Internet‬‬ ‫‪Local‬‬
‫‪Intranet‬‬ ‫‪Intranet‬‬ ‫‪Intranet‬‬
‫)ﺏ( ﻣﻮﺭﺩ ﺩﻭﻡ‬ ‫)ﺩ( ﻣﻮﺭﺩﭼﻬﺎﺭﻡ‬

‫ﺗﺮﻛﻴﺐﻫﺎﻱ ﺍﺻﻠﻲ ﺍﺗﺤﺎﺩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬ ‫ﺷﻜﻞ ‪۶-۱۰‬‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٢٨‬‬
‫ﻣﻮﺭﺩ ﭼﻬﺎﺭﻡ‪ ،‬ﺍﺯ ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﺭﺍﻩ ﺩﻭﺭﻛﻪ ﺍﺯ ﺍﻳﻨﺘﺮﻧﺖ ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﻭ ﺳﭙﺲ ﺑﻪ ﻳﻚ ﺳِﺮﻭﺭ‬
‫ﻭ ﻳﺎ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﭘﺸﺖ ﺁﻥ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﺣﻤﺎﻳﺖ ﻣﻲﻛﻨﺪ‪ .‬ﺗﻨﻬﺎ ﻣُﻮﺩ ﺗﻮﻧﻞ ﺑﻴﻦ ﻣﻴﺰﺑﺎﻥ ﺩﻭﺭ ﻭ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻣﻮﺭﺩ ﻧﻴـﺎﺯ‬
‫ﺍﺳﺖ‪ .‬ﻫﻤﺎﻧﻨﺪ ﻣﻮﺭﺩ ﺍﻭﻝ ﻳﻚ ﻳﺎ ﭼﻨﺪ ‪ SA‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﻴﻦ ﻣﻴﺰﺑﺎﻥ ﺩﻭﺭ ﻭ ﻣﻴﺰﺑﺎﻥ ﻣﺤﻠﻲ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭﮔﻴﺮﺩ‪.‬‬
‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‬ ‫‪۶-۶‬‬
‫ﺑﺨﺶ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ‪ ،IPSec‬ﺗﻌﻴﻴﻦ ﻭ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪﻫﺎﻱ ﺳﺮّﻱ ﺭﺍ ﺑﻌﻬﺪﻩ ﺩﺍﺭﺩ‪ .‬ﻳﻚ ﻣﻮﺭﺩ ﻣﻌﻤﻮﻝ ﺍﺭﺗﺒﺎﻁ ﺑـﻴﻦ ﺩﻭ ﻛـﺎﺭﺑﺮﺩ‪ ،‬ﻧﻴـﺎﺯ ﺑـﻪ‬
‫ﭼﻬﺎﺭ ﻛﻠﻴﺪ ﺩﺍﺭﺩ‪ .‬ﻳﻚ ﺟﻔﺖ ﻛﻠﻴﺪ ﺍﺭﺳﺎﻝ ﻭ ﺩﺭﻳﺎﻓﺖ ﺑﺮﺍﻱ ‪ AH‬ﻭ ﻳﻚ ﺟﻔﺖ ﻛﻠﻴﺪ ﺍﺭﺳﺎﻝ ﻭ ﺩﺭﻳﺎﻓـﺖ ﺑـﺮﺍﻱ ‪ .ESP‬ﻣﻌﻤـﺎﺭﻱ ﺍﺳـﻨﺎﺩ‬
‫‪ IPSec‬ﺑﻪ ﺣﻤﺎﻳﺖ ﺍﺯ ﺩﻭ ﻧﻮﻉ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﺣﻜﻢ ﻣﻲﺩﻫﺪ‪:‬‬
‫ﺩﺳﺘﻲ‪ :‬ﻣﺪﻳﺮ ﺳﻴﺴﺘﻢ‪ ،‬ﻫﺮ ﺳﻴﺴﺘﻢ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪﻫﺎﻱ ﺧﻮﺩﺵ ﻭ ﻛﻠﻴـﺪﻫﺎﻱ ﺳﻴـﺴﺘﻢﻫـﺎﻱ ﺍﺭﺗﺒـﺎﻃﻲ ﺩﻳﮕـﺮ ﺑـﺼﻮﺭﺕ ﺩﺳـﺘﻲ‬ ‫•‬
‫ﭘﻴﻜﺮﺑﻨﺪﻱ ﻣﻲﻧﻤﺎﻳﺪ‪.‬ﺍﻳﻦ ﻣﻮﺭﺩ ﺑﺮﺍﻱ ﻣﺤﻴﻂﻫﺎﻱ ﻛﻮﭼﻚ ﻭ ﻧﺴﺒﺘﺎﹰ ﺍﺳﺘﺎﺗﻴﻚ ﻛﺎﺭﺁﺋﻲ ﺩﺍﺭﺩ‪.‬‬
‫ﺧﻮﺩﻛﺎﺭ‪ :‬ﻳﻚ ﺳﻴﺴﺘﻢ ﺧﻮﺩﻛﺎﺭ‪ ،‬ﺧﻠﻖ ﻛﻠﻴﺪ ﺑﺮﺍﻱ ‪SA‬ﻫﺎ ﺑﺮ ﺍﺳﺎﺱ ﺗﻘﺎﺿﺎ ﺭﺍ ﺑﺮﻋﻬﺪﻩ ﺩﺍﺷﺘﻪ ﻭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴـﺪﻫﺎ ﺩﺭ ﻳـﻚ‬ ‫•‬
‫ﺳﻴﺴﺘﻢ ﺗﻮﺯﻳﻊ ﺷﺪﻩ ﮔﺴﺘﺮﺩﻩ ﺑﺎ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺩﺭ ﺣﺎﻝ ﺗﻜﺎﻣﻞ ﺭﺍ ﺗﺴﻬﻴﻞ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﭘﺮﻭﺗﻜﻞ ﻣﺪﻳﺮﻳﺖ ﺧﻮﺩﻛﺎﺭ ﻛﻠﻴﺪ ‪ IPSec‬ﺭﺍ ‪ ISAKMP/Oakley‬ﻣﻲﻧﺎﻣﻨﺪ ﻭ ﺷﺎﻣﻞ ﻋﻨﺎﺻﺮ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﭘﺮﻭﺗﻜﻞ ﺗﻌﻴﻴﻦ ﻛﻠﻴﺪ ‪ Oakley :Oakley‬ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺍﺳﺖ ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪Diffie-Hellman‬‬ ‫•‬
‫ﺑﻮﺩﻩ ﺍﻣﺎ ﺍﻣﻨﻴﺖ ﺑﻴﺸﺘﺮﻱ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ Oakley .‬ﺍﺯ ﺍﻳﻨﺠﻬﺖ ﻋﺎﻡ ﺍﺳﺖ ﻛﻪ ﻓﺮﻣﺖ ﺧﺎﺻﻲ ﺭﺍ ﺩﻳﻜﺘﻪ ﻧﻤﻲﻛﻨﺪ‪.‬‬
‫ﭘﺮﻭﺗﻜﻞ ﺍﺗﺤﺎﺩ ﺍﻣﻨﻴﺘﻲ ﻭ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﺍﻳﻨﺘﺮﻧﺖ )‪ ISAKMP :(ISAKMP‬ﭼﻬﺎﺭﭼﻮﺑﻲ ﺭﺍ ﺑﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴـﺪ ﺩﺭ‬ ‫•‬
‫ﺍﻳﻨﺘﺮﻧﺖ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻩ ﻭ ﺣﻤﺎﻳﺖﻫﺎﻱ ﺟﺎﻧﺒﻲ ﻫﻤﺎﻧﻨﺪ ﻧﻮﻉ ﻓﺮﻣﺖﻫﺎ ﺑﻤﻨﻈﻮﺭ ﺗﻮﺍﻓﻖ ﺑـﺮ ﺭﻭﻱ ﺟﻨﺒـﻪﻫـﺎﻱ ﺍﻣﻨﻴﺘـﻲ ﺭﺍ ﺍﻳﺠـﺎﺩ‬
‫‪ ISAKMP‬ﻓﻲﺫﺍﺗﻪ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺧﺎﺻﻲ ﺭﺍ ﺗﻌﻴﻴﻦ ﻧﻤـﻲﻛﻨـﺪ ﺑﻠﻜـﻪ ‪ ISAKMP‬ﺷـﺎﻣﻞ ﻳـﻚ ﻣﺠﻤﻮﻋـﻪ ﺍﺯ ﺍﻧـﻮﺍﻉ‬
‫ﭘﻴﺎﻡﻫﺎﺳﺖ ﻛﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﻣﺘﻨﻮﻋﻲ ﺭﺍ ﻣﻤﻜﻦ ﻣﻲﺳﺎﺯﺩ‪ Oakley .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺧﺎﺻـﻲ ﺍﺳـﺖ ﻛـﻪ‬
‫ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻧﺴﺨﺔ ﺍﻭﻟﻴﺔ ‪ ISAKMP‬ﺍﺟﺒﺎﺭﻱ ﺑﻮﺩ‪.‬‬
‫ﺍﺑﺘﺪﺍ ﻣﺮﻭﺭﻱ ﺑﺮ ‪ Oakley‬ﺩﺍﺷﺘﻪ ﻭ ﺁﻧﮕﺎﻩ ﺑﻪ ‪ ISAKMP‬ﻧﮕﺎﻫﻲ ﻣﻲﺍﻧﺪﺍﺯﻳﻢ‪.‬‬
‫ﭘﺮﻭﺗﻜﻞ ﺗﻌﻴﻴﻦ ﻛﻠﻴﺪ ‪Oakley‬‬

‫‪ Oakley‬ﻳﻚ ﻓﺮﻡ ﭘﺎﻻﻳﺶ ﺷﺪﻩ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪ Diffie-Hellman‬ﺍﺳﺖ‪ .‬ﺑﻴﺎﺩ ﺁﻭﺭﻳﺪ ﻛـﻪ ‪ Diffie-Hellman‬ﺷـﺎﻣﻞ‬
‫ﺗﻌﺎﻣﻞﻫﺎﻱ ﺯﻳﺮ ﺑﻴﻦ ﻛﺎﺭﺑﺮ ‪ A‬ﻭ ‪ B‬ﺑﻮﺩ‪ .‬ﺍﺯ ﻗﺒﻞ ﺭﻭﻱ ﺩﻭ ﭘﺎﺭﺍﻣﺘﺮ ‪ q‬ﻛﻪ ﻳﻚ ﻋﺪﺩ ﺍﻭﻝ ﺑﺰﺭﮒ ﻭ ‪ α‬ﻛﻪ ﻳﻚ ﺭﻳﺸﺔ ﺍﻭﻟﻴﺔ ‪ q‬ﺍﺳﺖ ﺗﻮﺍﻓـﻖ‬
‫ﻣﻲﺷﻮﺩ‪ A .‬ﻳﻚ ﻋـﺪﺩ ﺻـﺤﻴﺢ ﺗـﺼﺎﺩﻓﻲ ‪ XA‬ﺭﺍ ﺑﻌﻨـﻮﺍﻥ ﻛﻠﻴـﺪ ﺧـﺼﻮﺻﻲ ﺧـﻮﺩ ﺍﻧﺘﺨـﺎﺏ ﻣـﻲﻛﻨـﺪ ﻭ ﻛﻠﻴـﺪ ﻋﻤـﻮﻣﻲ ﺧـﻮﺩ ﻳﻌﻨـﻲ‬
‫‪ YA = α XA mod q‬ﺭﺍ ﺑﺮﺍﻱ ‪ B‬ﻣﻲﻓﺮﺳﺘﺪ‪ .‬ﺑﻬﻤﻴﻦ ﺗﺮﺗﻴﺐ ‪ B‬ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ﺗـﺼﺎﺩﻓﻲ ‪ XB‬ﺭﺍ ﺑﻌﻨـﻮﺍﻥ ﻛﻠﻴـﺪ ﺧـﺼﻮﺻﻲ ﺧـﻮﺩ‬
‫‪٢٢٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫ﺍﻧﺘﺨﺎﺏ ﻛﺮﺩﻩ ﻭ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺧﻮﺩ ﻳﻌﻨﻲ ‪ YB = α XB mod q‬ﺭﺍ ﺑﺮﺍﻱ ‪ A‬ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪ .‬ﻫﺮﻳﻚ ﺍﺯ ﺩﻭ ﻃﺮﻑ ﺍﻛﻨـﻮﻥ ﻣـﻲﺗﻮﺍﻧﻨـﺪ‬
‫ﻛﻠﻴﺪ ﺳﺮّﻱ ﺍﺟﻼﺱ ﺭﺍ ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﻣﺤﺎﺳﺒﻪ ﻧﻤﺎﻳﻨﺪ‪:‬‬
‫‪K = (YB)XA mod q = (YA)XB mod q = α XAXB mod q‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ Diffie-Hellman‬ﺩﻭ ﻣﺸﺨﺼﺔ ﺟﺎﻟﺐ ﺩﺍﺭﺩ‪:‬‬
‫ﻛﻠﻴﺪﻫﺎﻱ ﺳﺮّﻱ ﻓﻘﻂ ﻭﻗﺘﻲ ﻣﻮﺭﺩ ﻧﻴﺎﺯﺍﻧﺪ ﺧﻠﻖ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻫﻴﭻ ﻧﻴﺎﺯﻱ ﻧﻴﺴﺖ ﺗﺎ ﻛﻠﻴﺪﻫﺎﻱ ﺳـﺮّﻱ ﺭﺍ ﺑـﺮﺍﻱ ﻣـﺪﺗﻲ ﻃـﻮﻻﻧﻲ‬ ‫•‬
‫ﺫﺧﻴﺮﻩ ﻛﺮﺩ ﻭ ﺑﺪﻳﻦ ﺗﺮﺗﻴﺐ ﺁﻧﻬﺎ ﺭﺍ ﺩﺭ ﻣﻘﺎﺑﻞ ﺁﺳﻴﺐﭘﺬﻳﺮﻱﻫﺎﻱ ﺍﺿﺎﻓﻲ ﻗﺮﺍﺭ ﺩﺍﺩ‪.‬‬
‫ﻣﺒﺎﺩﻟﻪ ﻛﻠﻴﺪ ﻧﻴﺎﺯ ﺑﻪ ﻫﻴﭻ ﺯﻳﺮﺳﺎﺧﺖ ﺍﺯ ﻗﺒﻞ ﻣﻮﺟﻮﺩﻱ‪ ،‬ﺑﺠﺰ ﺗﻮﺍﻓﻖ ﺭﻭﻱ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ‪ q‬ﻭ ‪ α‬ﻧﺪﺍﺭﺩ‪.‬‬ ‫•‬
‫ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ ﺿﻌﻒﻫﺎﺋﻲ ﺩﺭ ﺭﻭﺵ ‪ Diffie-Hellman‬ﻣﻮﺟﻮﺩ ﺍﺳﺖ ﻛﻪ ﺩﺭ ]‪ [HUIT98‬ﺑﻪ ﺁﻧﻬﺎ ﺍﺷﺎﺭﻩ ﺷﺪﻩ ﺍﺳﺖ‪:‬‬
‫• ﻫﻴﭻ ﺍﻃﻼﻋﺎﺗﻲ ﺩﺭ ﻣﻮﺭﺩ ﻫﻮﻳﺖ ﻃﺮﻓﻴﻦ ﺑﻪ ﺩﺳﺖ ﻧﻤﻲﺩﻫﺪ‪.‬‬

‫ﺩﺭ ﻣﻌﺮﺽ ﺣﻤﻠﺔ ‪ man-in-the-middle‬ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﻛﻪ ﺩﺭ ﺁﻥ ﻃﺮﻑ ﺳﻮﻡ ‪ C‬ﺧﻮﺩ ﺭﺍ ﺩﺭ ﻫﻨﮕﺎﻡ ﻣﻜﺎﻟﻤﻪ ﺑـﺎ ‪ A‬ﺑﺠـﺎﻱ‬ ‫•‬
‫‪ ،B‬ﻭ ﺩﺭ ﻫﻨﮕﺎﻡ ﻣﻜﺎﻟﻤﻪ ﺑﺎ ‪ B‬ﺑﺠﺎﻱ ‪ ،A‬ﺟﺎ ﻣﻲﺯﻧﺪ‪ .‬ﻫﺮﺩﻭ ﻃﺮﻑ ‪ A‬ﻭ ‪ B‬ﺑﺮﺍﻱ ﺧﻠﻖ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺑﺎ ‪ C‬ﺑﻪ ﺗﻮﺍﻓﻖ ﻣﻲﺭﺳﻨﺪ‬
‫ﻛﻪ ﺩﺭ ﺍﻳﻦ ﺻﻮﺭﺕ ‪ C‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﺗﺮﺍﻓﻴﻚ ﮔﻮﺵ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﻋﺒﻮﺭ ﺩﻫﺪ‪ .‬ﺣﻤﻠﺔ ‪ man-in-the-middle‬ﭼﻨﻴﻦ ﺟﻠـﻮ‬
‫ﻣﻲﺭﻭﺩ‪:‬‬
‫‪ B -۱‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺧﻮﺩ ‪ YB‬ﺭﺍ ﺩﺭ ﭘﻴﺎﻣﻲ ﺑﻪ ﻣﻘﺼﺪ ‪ A‬ﻣﻲﻓﺮﺳﺘﺪ‪.‬‬
‫‪ -۲‬ﺩﺷﻤﻦ )‪ (E‬ﺍﻳﻦ ﭘﻴﺎﻡ ﺭﺍ ﻣﻲﮔﻴﺮﺩ‪ E .‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ B‬ﺭﺍ ﻧﮕﺎﻩ ﺩﺍﺷﺘﻪ ﻭ ﻳﻚ ﭘﻴﺎﻡ ﺑﻪ ﻣﻘﺼﺪ ‪ A‬ﺍﺭﺳـﺎﻝ ﻛـﺮﺩﻩ ﻛـﻪ ‪ID‬‬
‫ﻛﺎﺭﺑﺮ ‪ B‬ﺭﺍ ﺩﺍﺷﺘﻪ ﻭﻟﻲ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ YE‬ﺭﺍ ﺣﻤﻞ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﭘﻴﺎﻡ ﺑﻨﺤﻮﻱ ﺍﺭﺳﺎﻝ ﻣﻲﺷـﻮﺩ ﻛـﻪ ﺑﻨﻈـﺮ ﻣـﻲﺭﺳـﺪ ﺍﺯ‬
‫ﻃﺮﻑ ﺳﻴﺴﺘﻢ ﻣﻴﺰﺑﺎﻥ ‪ B‬ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺍﺳﺖ‪ A .‬ﭘﻴﺎﻡ ‪ E‬ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ E‬ﻛـﻪ ‪ ID‬ﻛـﺎﺭﺑﺮ ‪ B‬ﺭﺍ ﺩﺍﺭﺩ ﻧﮕـﺎﻩ‬
‫ﻣﻲﺩﺍﺭﺩ‪ .‬ﺑﻬﻤﻴﻦ ﺗﺮﺗﻴﺐ‪ E ،‬ﻳﻚ ﭘﻴﺎﻡ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ E‬ﺑﺮﺍﻱ ‪ B‬ﻓﺮﺳﺘﺎﺩﻩ ﻭ ﭼﻨﻴﻦ ﻭﺍﻧﻤﻮﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ﺍﺯ ‪ A‬ﺁﻣـﺪﻩ‬
‫ﺍﺳﺖ‪.‬‬
‫‪ B -۳‬ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ‪ K1‬ﺑﺮ ﺍﺳﺎﺱ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ B‬ﻭ ‪ YE‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ‪ A .‬ﻳـﻚ ﻛﻠﻴـﺪ ﺳـﺮّﻱ ‪ K2‬ﻛـﻪ ﺑـﺮ‬
‫ﺍﺳﺎﺱ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ A‬ﻭ ‪ YB‬ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ‪ E .‬ﻛﻠﻴﺪ ‪ K1‬ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴـﺪ ﺧـﺼﻮﺻﻲ ‪ XE‬ﻭ‬
‫‪ ،YB‬ﻭ ﻛﻠﻴﺪ ‪ K2‬ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ XE‬ﻭ ‪ YA‬ﻣﺤﺎﺳﺒﻪ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۴‬ﺍﺯ ﺍﻳﻦ ﺑﻪ ﺑﻌﺪ ‪ E‬ﻗﺎﺩﺭ ﺍﺳﺖ ﺗﺎ ﭘﻴﺎﻡﻫﺎﻱ ‪ A‬ﺑﻪ ‪ B‬ﻭ ﭘﻴﺎﻡﻫﺎﻱ ‪ B‬ﺑﻪ ‪ A‬ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺁﻧﻬﺎ ﺭﺍ ﺩﺭﻃـﻮﻝ ﻣـﺴﻴﺮ‬
‫ﺗﻐﻴﻴﺮﺩﻫﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﺻﻮﺭﺕ ﻧﻪ ‪ A‬ﻭ ﻧﻪ ‪ B‬ﻣﺘﻮﺟﻪ ﻧﻤﻲﺷﻮﻧﺪﻛﻪ ﺁﻧﻬﺎ ﺑﺎ ‪ E‬ﺍﺭﺗﺒﺎﻁ ﺩﺍﺭﻧﺪ ﻭ ﻧﻪ ﺑﺎ ﻳﻜﺪﻳﮕﺮ‪.‬‬
‫ﺍﺯ ﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﺣﺠﻴﻢ ﺍﺳﺖ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﺩﺭ ﺑﺮﺍﺑﺮ ﻳﻚ ﺣﻤﻠﺔ ‪ clogging‬ﻛﻪ ﺩﺭ ﺁﻥ ﺩﺷﻤﻦ ﺗﻘﺎﺿﺎﻱ ﻛﻠﻴﺪﻫﺎﻱ ﺑـﺴﻴﺎﺭﻱ‬ ‫•‬
‫ﺭﺍ ﺍﺭﺳﺎﻝ ﻣﻲﻧﻤﺎﻳﺪ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺍﺳﺖ‪ .‬ﻣﻨﺎﺑﻊ ﻗﺮﺑﺎﻧﻲ ﺑﺠﺎﻱ ﺍﻧﺠﺎﻡ ﻛﺎﺭ ﻭﺍﻗﻌﻲ ﺩﺭﮔﻴﺮ ﺍﻧﺠﺎﻡ ﻣﺤﺎﺳﺒﺎﺕ ﺑـﻲﺣﺎﺻـﻞ ﻧﻤـﺎﺋﻲ ﻭ‬
‫ﭘﻴﻤﺎﻧﻪﺍﻱ ﻣﻲﮔﺮﺩﻧﺪ‪.‬‬
‫‪ Oakley‬ﺑﺮﺍﻱ ﺑﻜﺎﺭﮔﻴﺮﻱ ﻣﺰﺍﻳﺎﻱ ‪ Diffie-Hellman‬ﻭ ﺩﺭ ﻋﻴﻦ ﺣﺎﻝ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺿﻌﻒﻫﺎﻱ ﺁﻥ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٣٠‬‬
‫ﺧﺼﻮﺻﻴﺎﺕ ‪Oakley‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ Oakley‬ﺑﺎ ﭘﻨﺞ ﺧﺎﺻﻴﺖ ﻣﻬﻢ ﻣﺸﺨﺺ ﻣﻲﮔﺮﺩﺩ‪:‬‬
‫‪ -۱‬ﺍﺯ ﻣﻜﺎﻧﻴﺴﻤﻲ ﺑﻨﺎﻡ ‪ cookies‬ﺑﺮﺍﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼﺕ ‪ clogging‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬

‫‪ -۲‬ﺩﻭ ﻃﺮﻑ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﻳﻚ ‪ group‬ﺑﻪ ﺗﻮﺍﻓﻖ ﺑﺮﺳﻨﺪ ﻛﻪ ﺍﻳﻦ ﺩﺭ ﺍﺻﻞ ﺗﻌﻴﻴﻦ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺍﺻﻠﻲ ﻣﺒﺎﺩﻟﺔ‬
‫ﻛﻠﻴﺪ ‪ Diffie-Hellman‬ﺍﺳﺖ‪.‬‬
‫‪ -۳‬ﺑﺮﺍﻱ ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼﺕ ﺑﺎﺯﺧﻮﺍﻧﻲ‪ ،‬ﺍﺯ ‪ nonce‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ -۴‬ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ‪ Diffie-Hellman‬ﺭﺍ ﻣﻤﻜﻦ ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫‪ -۵‬ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪ Diffie-Hellman‬ﺭﺍ ﺑﺮﺍﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼﺕ ‪ man-in-the-middle‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫‪ Diffie-Hellman‬ﺭﺍ ﻗﺒﻼﹰ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﺩﺍﺩﻩﺍﻳﻢ‪ .‬ﺍﺟﺎﺯﻩ ﺩﻫﻴﺪ ﺗﺎ ﺑﻘﻴﺔ ﺍﻳﻦ ﻋﻨﺎﺻﺮ ﺭﺍ ﺑﻪ ﻧﻮﺑﺖ ﺑﺮﺭﺳﻲ ﻛﻨﻴﻢ‪ .‬ﺍﻭﻝ‪ ،‬ﻣـﺴﺄﻟﺔ‬
‫ﺣﻤﻼﺕ ‪ clogging‬ﺭﺍ ﺩﺭ ﻧﻈﺮ ﻣﻲﮔﻴﺮﻳﻢ‪ .‬ﺩﺭ ﺍﻳﻦ ﺣﻤﻠﻪ ﻳﻚ ﺩﺷﻤﻦ ﺁﺩﺭﺱ ﻣﻨﺒﻊ ﻳـﻚ ﻛـﺎﺭﺑﺮ ﻗـﺎﻧﻮﻧﻲ ﺭﺍ ﺗﻘﻠﻴـﺪﻛﺮﺩﻩ ﻭ ﻳـﻚ ﻛﻠﻴـﺪ‬
‫ﻋﻤﻮﻣﻲ ‪ Diffie-Hellman‬ﺭﺍ ﺑﺮﺍﻱ ﻗﺮﺑﺎﻧﻲ ﻣﻲﻓﺮﺳﺘﺪ‪ .‬ﻗﺮﺑﺎﻧﻲ ﻋﻤﻠﻴﺎﺕ ﻧﻤﺎﺋﻲ ﻭ ﭘﻴﻤﺎﻧﻪﺍﻱ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﺗﺎ ﻛﻠﻴﺪ ﺳـﺮّﻱ ﺭﺍ ﻣﺤﺎﺳـﺒﻪ‬
‫ﻛﻨﺪ‪ .‬ﭘﻴﺎﻡﻫﺎﻱ ﭘﺸﺖ ﺳﺮﻫﻢ ﻭ ﺗﻜﺮﺍﺭﻱ ﺍﺯ ﺍﻳﻦ ﺩﺳﺖ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺳﻴﺴﺘﻢ ﻗﺮﺑﺎﻧﻲ ﺭﺍ ﺑﺎ ﻛﺎﺭﻫﺎﻱ ﺑﻲﺣﺎﺻﻞ ﻛﹸﻨـﺪ ﻛﻨﻨـﺪ‪ .‬ﻣﺒﺎﺩﻟـﺔ ‪cookie‬‬
‫ﻫﺮﻳﻚ ﺍﺯ ﺩﻭ ﺳﻤﺖ ﺭﺍ ﻣﻠﺰﻡ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﻳﻚ ﻋﺪﺩ ﺗﺼﺎﺩﻓﻲ‪ ،‬ﻳﺎ ﻫﻤﺎﻥ ‪ ،cookie‬ﺭﺍ ﺩﺭ ﭘﻴﺎﻡ ﺍﻭﻟﻴﻪ ﺍﺭﺳﺎﻝ ﻧﻤﺎﻳﻨﺪ ﻛﻪ ﻃﺮﻑ ﺩﻳﮕـﺮ ﺁﻥ ﺭﺍ‬
‫ﺗﺄﺋﻴﺪ ﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺗﺄﺋﻴﺪ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﺍﻭﻟﻴﻦ ﭘﻴﺎﻡ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪ Diffie-Hellman‬ﺗﻜﺮﺍﺭ ﺷﻮﺩ‪ .‬ﺍﮔﺮ ﺁﺩﺭﺱ ﻣﻨﺒﻊ ﺟﻌﻞ ﮔﺮﺩﺩ‪ ،‬ﺩﺷﻤﻦ ﻫﻴﭻ‬
‫ﺟﻮﺍﺑﻲ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻧﻤﻲﺩﺍﺭﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻳﻚ ﺩﺷﻤﻦ ﺗﻨﻬﺎ ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﻛﺎﺭﺑﺮ ﺭﺍ ﺑﻪ ﺗﻮﻟﻴﺪ ﺗﺄﺋﻴﺪﻳﻪ ﻣـﺸﻐﻮﻝ ﺳـﺎﺯﺩ ﻭ ﻧـﻪ ﺍﻳﻨﻜـﻪ ﺍﻭ ﺭﺍ ﺑـﻪ‬
‫ﻣﺤﺎﺳﺒﺎﺕ ‪ Diffie-Hellman‬ﻣﺸﻐﻮﻝ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ ISAKMP‬ﺑﻪ ﻣﻼﺣﻈﺔ ﺳﻪ ﻣﻄﻠﺐ ﺩﺭ ﺗﻮﻟﻴﺪ ‪ cookie‬ﺣﻜﻢ ﻣﻲﺩﻫﺪ‪:‬‬
‫‪ cookie -۱‬ﺑﺎﻳﺴﺘﻲ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﻃﺮﻑﻫﺎﻱ ﻣﺸﺨﺺ ﺑﺎﺷﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻳﻚ ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﺭﺍ ﺍﺯ ﺩﺭﻳﺎﻓﺖ ﻳﻚ ‪ cookie‬ﺑﺎ ﺍﺳـﺘﻔﺎﺩﻩ‬
‫ﺍﺯ ﻳﻚ ﺁﺩﺭﺱ ‪ IP‬ﺣﻘﻴﻘﻲ ﻭ ﭘﻮﺭﺕ ‪ ،UDP‬ﻭ ﺳﭙﺲ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺁﻥ ﺑﻪ ﻣﻨﻈﻮﺭ ﻓﺮﻭﺑـﺮﺩﻥ ﻗﺮﺑـﺎﻧﻲ ﺩﺭ ﺑـﺎﻃﻼﻕ ﺗﻘﺎﺿـﺎﻫﺎﻱ‬
‫ﻣﻜﺮﺭ ﺍﺯ ﺁﺩﺭﺱﻫﺎﻱ ‪ IP‬ﻭ ﻳﺎ ﭘﻮﺭﺕﻫﺎﻱ ﺑﺼﻮﺭﺕ ﺗﺼﺎﺩﻓﻲ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺑﺎﺯ ﻣﻲﺩﺍﺭﺩ‪.‬‬
‫‪ -۲‬ﻧﺒﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ﻫﻴﭽﻜﺲ ﺑﺠﺰ ﻭﺍﺣﺪ ﺻﺎﺩﺭﻛﻨﻨﺪﻩ ‪ cookie‬ﺍﻣﻜﺎﻥ ﺩﺍﺷﺘﻪ ﺑﺎﺷـﺪ ﻛـﻪ ﺑﺘﻮﺍﻧـﺪ ‪cookie‬ﺍﻱ ﺩﺭﺳـﺖ ﻛﻨﺪﻛـﻪ‬
‫ﺑﺘﻮﺳﻂ ﻫﻤﺎﻥ ﻭﺍﺣﺪ ﭘﺬﻳﺮﻓﺘﻪ ﺷﻮﺩ‪ .‬ﺑﺮﺍﻱ ﺗﺤﻘﻖ ﺍﻳﻦ ﺍﻣﺮ‪ ،‬ﻭﺍﺣﺪ ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ‪ cookie‬ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﺍﻃﻼﻋﺎﺕ ﺳﺮّﻱ ﻣﺤﻠﻲ ﺩﺭ‬
‫ﺗﻮﻟﻴﺪ ﻭ ﺗﺄﺋﻴﺪ ﺁﺗﻲ ﻳﻚ ‪ cookie‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪ .‬ﺑﺎﻳﺴﺘﻲ ﻣﻤﻜﻦ ﻧﺒﺎﺷﺪ ﻛﻪ ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﺳﺮّﻱ ﺭﺍ ﺍﺯ ﻫﻴﭻ ‪ cookie‬ﺧـﺎﺹ‬
‫ﺍﺳﺘﺨﺮﺍﺝ ﻛﺮﺩ‪ .‬ﻧﻜﺘﻪ ﻧﻬﻔﺘﻪ ﺩﺭ ﺍﻳﻦ ﺍﻟﺰﺍﻡ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻭﺍﺣﺪ ﺻﺎﺩﺭﻛﻨﻨﺪﻩ ﻻﺯﻡ ﻧﻴﺴﺖ ﺗﺎ ﻛﭙﻲ ‪cookie‬ﻫـﺎﻳﺶ ﺭﺍ ﺫﺧﻴـﺮﻩ‬
‫ﻛﻨﺪ‪ ،‬ﻛﻪ ﺩﺭ ﺍﻳﻦ ﺻﻮﺭﺕ ﺩﺭ ﺑﺮﺍﺑﺮ ﻛﺸﻒ ﺁﺳﻴﺐﭘﺬﻳﺮﺗﺮ ﺧﻮﺍﻫﻨﺪ ﺑﻮﺩ‪ ،‬ﺑﻠﻜﻪ ﺑﺎﻳـﺪ ﺑﺘﻮﺍﻧـﺪ ﺩﺭ ﻫـﺮ ﺯﻣـﺎﻥ ﻛـﻪ ﻻﺯﻡ ﺍﺳـﺖ‬
‫‪ cookie‬ﻭﺭﻭﺩﻱ ﺭﺍ ﺗﺄﺋﻴﺪ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۳‬ﺭﻭﺵﻫﺎﻱ ﺗﻮﻟﻴﺪ ﻭ ﺗﺄﺋﻴﺪ ‪ cookie‬ﺑﺎﻳﺴﺘﻲ ﺳﺮﻳﻊ ﺑﺎﺷﻨﺪ ﺗﺎ ﺑﺎ ﺣﻤﻼﺗﻲ ﻛﻪ ﻫﺪﻑ ﺁﻧﻬﺎ ﺗﺨﺮﻳﺐ ﻣﻨﺎﺑﻊ ﭘﺮﺩﺍﺯﺷﻲ ﻭ ﺳـﺮﮔﺮﻡ‬
‫ﻛﺮﺩﻥ ﺑﻲﺣﺎﺻﻞ ﺁﻧﻬﺎﺳﺖ ﻣﻘﺎﺑﻠﻪ ﺷﻮﺩ‪.‬‬
‫ﺭﻭﺵ ﺗﻮﺻﻴﻪ ﺷﺪﻩ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ‪ cookie‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺳﺮﻳﻊ )ﻣﺜﻞ ‪ (MD5‬ﺭﻭﻱ ﺁﺩﺭﺱﻫﺎﻱ ‪ IP‬ﻣﻨﺒﻊ‬
‫ﻭ ﻣﻘﺼﺪ‪ ،‬ﭘﻮﺭﺕﻫﺎﻱ ‪ UDP‬ﻣﻨﺒﻊ ﻭ ﻣﻘﺼﺪ‪ ،‬ﻭ ﻳﻚ ﺍﻧﺪﺍﺯﺓ ﺳﺮّﻱ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﺩﺭ ﻣﺤﻞ ﺍﺳﺘﻔﺎﺩﻩ ﮔﺮﺩﺩ‪.‬‬
‫‪٢٣١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫‪ Oakley‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﮔﺮﻭﻩﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺑﺮﺍﻱ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪ Diffie-Hellman‬ﺭﺍ ﺣﻤﺎﻳﺖ ﻣﻲﻛﻨﺪ‪ .‬ﻫﺮ ﮔﺮﻭﻩ ﺷﺎﻣﻞ ﺗﻌﺮﻳـﻒ‬
‫ﺩﻭ ﭘﺎﺭﺍﻣﺘﺮ ﻋﻤﻮﻣﻲ ﻭ ﻫﻮﻳﺖ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺳﺖ‪ .‬ﻣﺸﺨﺼﻪﻫﺎﻱ ﻓﻌﻠﻲ ﺷﺎﻣﻞ ﮔﺮﻭﻩﻫﺎﻱ ﺯﻳﺮ ﻣﻲﺑﺎﺷﻨﺪ‪:‬‬
‫ﺑﻪ ﺗﻮﺍﻥ ﺭﺳﺎﻧﺪﻥ ﭘﻴﻤﺎﻧﻪﺍﻱ ﺑﺎ ﻳﻚ ﭘﻴﻤﺎﻧﺔ ‪ -۷۶۸‬ﺑﻴﺘﻲ‬ ‫•‬
‫)‪q = 2768 – 2704 – 1 + 264 × ( ⎣2638 × π ⎦ + 149686‬‬

‫‪α =2‬‬
‫ﺑﻪ ﺗﻮﺍﻥ ﺭﺳﺎﻧﺪﻥ ﭘﻴﻤﺎﻧﻪﺍﻱ ﺑﺎ ﻳﻚ ﭘﻴﻤﺎﻧﺔ ‪ -۱۰۲۴‬ﺑﻴﺘﻲ‬ ‫•‬
‫)‪q = 21024 – 2960 – 1 + 264 × ( ⎣ 2894 × π⎦ + 129093‬‬

‫‪α = 2‬‬
‫ﺑﻪ ﺗﻮﺍﻥ ﺭﺳﺎﻧﺪﻥ ﭘﻴﻤﺎﻧﻪﺍﻱ ﺑﺎ ﻳﻚ ﭘﻴﻤﺎﻧﺔ ‪ -۱۵۳۶‬ﺑﻴﺘﻲ‬ ‫•‬
‫‪ o‬ﭘﺎﺭﺍﻣﺘﺮﻫﺎ ﺑﺎﻳﺴﺘﻲ ﺗﻌﻴﻴﻦ ﺷﻮﻧﺪ‬
‫ﮔﺮﻭﻩ ﺧﹶﻢ ﺑﻴﻀﻮﻱ ﺭﻭﻱ ‪2155‬‬ ‫•‬
‫‪ o‬ﻣﻮّ ﻟﺪ )ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ(‪ X = 7B :‬ﻭ ‪Y = 1C8‬‬
‫‪ o‬ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺧﻢ ﺑﻴﻀﻮﻱ )ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ(‪ A = 0 :‬ﻭ ‪Y = 7338F‬‬
‫ﮔﺮﻭﻩ ﺧﻢ ﺑﻴﻀﻮﻱ ﺭﻭﻱ ‪2185‬‬ ‫•‬
‫‪ o‬ﻣﻮّ ﻟﺪ )ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ(‪ X = 18 :‬ﻭ ‪Y = D‬‬
‫‪ o‬ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺧﻢ ﺑﻴﻀﻮﻱ )ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ(‪ A = 0 :‬ﻭ ‪Y = 1EE9‬‬
‫ﺳﻪ ﮔﺮﻭﻩ ﺍﻭﻝ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻛﻼﺳﻴﻚ ‪ Diffie-Hellman‬ﻫﺴﺘﻨﺪ ﻛﻪ ﺍﺯ ﺑﺘﻮﺍﻥ ﺭﺳﺎﻧﺪﻥ ﭘﻴﻤﺎﻧﻪﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺩﻭ ﮔﺮﻭﻩ‬
‫ﺁﺧﺮ ﺍﺯ ﺧﻢ ﺑﻴﻀﻮﻱ ﻣﺸﺎﺑﻪ ﺑﺎ ‪ Diffie-Hellman‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﻗﺒﻼﹰ ﺩﺭ ﻣﻮﺭﺩ ﺍﻳﻦ ﺭﻭﺵ ﺻﺤﺒﺖ ﺷـﺪﻩ ﺍﺳـﺖ‪ Oakley .‬ﺍﺯ‬
‫‪nonce‬ﻫﺎ ﺑﺮﺍﻱ ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﻣﻘﺎﺑﻠﻪ ﺩﺭ ﺑﺮﺍﺑﺮ ﺣﻤﻼﺕ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﻫﺮ ‪ nonce‬ﻳﻚ ﻋﺪﺩ ﺷـﺒﻪ ﺗـﺼﺎﺩﻓﻲ ﺗﻮﻟﻴﺪﺷـﺪﻩ ﺩﺭ‬
‫ﻣﺤﻞ ﺍﺳﺖ‪nonce .‬ﻫﺎ ﺩﺭ ﭘﺎﺳﺦﻫﺎ ﻇﺎﻫﺮ ﺷﺪﻩ ﻭ ﺩﺭ ﺧﻼﻝ ﺑﺨﺶﻫـﺎﻱ ﻣﻌﻴﻨـﻲ ﺍﺯ ﻋﻤﻠﻴـﺎﺕ ﻣﺒﺎﺩﻟـﻪ ﺑـﺮﺍﻱ ﺍﻣـﻦ ﻣﺎﻧـﺪﻥ ﺭﻣﺰﻧﮕـﺎﺭﻱ‬
‫ﺳﻪ ﺭﻭﺵ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺘﻔﺎﻭﺕ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﻫﻤﺮﺍﻩ ‪ Oakley‬ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﻮﺩ‪:‬‬
‫ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ‪ :‬ﻣﺒﺎﺩﻟﻪ ﺑﺎ ﺍﻣﻀﺎﺀ ﻳﻚ ‪ hash‬ﻛﻪ ﺩﺭ ﻫﺮ ﺩﻭ ﺳﻤﺖ ﻗﺎﺑﻞ ﺣﺼﻮﻝ ﺑﺎﺷﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻲﮔـﺮﺩﺩ‪ .‬ﻫـﺮ ﻃـﺮﻑ‬ ‫•‬
‫‪ hash‬ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺧﻮﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻧﺪﺍﺯﺓ ‪ hash‬ﺭﻭﻱ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻣﻬﻢ ﻫﻤﺎﻧﻨﺪ ‪ ID‬ﻛـﺎﺭﺑﺮ ﻭ ‪nonce‬ﻫـﺎ‬
‫ﻣﺤﺎﺳﺒﻪ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‪ :‬ﻣﺒﺎﺩﻟﻪ ﺑﺘﻮﺳﻂ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻫﻤﭽﻮﻥ ‪ ID‬ﻫـﺎ ﻭ ‪ nonce‬ﻫـﺎ ﻭ ﺑـﺎ ﺍﺳـﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴـﺪ‬ ‫•‬
‫ﺧﺼﻮﺻﻲ ﻓﺮﺳﺘﻨﺪﻩ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻣﺘﻘﺎﺭﻥ‪ :‬ﻳﻚ ﻛﻠﻴﺪ ﻛﻪ ﺑﺘﻮﺳﻂ ﻳﻚ ﻣﻜﺎﻧﻴﺴﻢ ﺧﺎﺭﺝ ﺍﺯ ﻣﺤﺪﻭﺩﻩ ﺗﻬﻴﻪ ﺷـﺪﻩ ﺍﺳـﺖ ﻣـﻲﺗﻮﺍﻧـﺪ ﺍﺯ ﻃﺮﻳـﻖ‬ ‫•‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﭘﺎﺭﺍﻣﺘﺮﻫﺎ‪ ،‬ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﺒﺎﺩﻟﻪ ﺑﻜﺎﺭ ﺭﻭﺩ‪.‬‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٣٢‬‬
‫‪x‬‬ ‫‪x‬‬
‫]‪I → R: CKYI, OK_KEYX, GRP, g , EHAO, NIDP, IDI, IDR, NI, SKI[IDI || IDR || NI || GRP || g || EHAO‬‬
‫‪y‬‬ ‫‪y‬‬ ‫‪x‬‬
‫‪R → I: CKYR, CKYI, OK_KEYX, GRP, g , EHAS, NIDP, IDR, IDI, NR, NI, SKR[IDR || IDI || NR || NI || GRP || g || g || EHAS]‬‬
‫‪x‬‬ ‫‪x‬‬ ‫‪y‬‬
‫]‪I → R: CKYI, CKYR, OK_KEYX, GRP, g , EHAS, NIDP, IDI, IDR, NI, NR, SKI[IDI || IDR || NI || NR || GRP || g || g || EHAS‬‬
‫‪Notation:‬‬
‫‪I‬‬ ‫=‬ ‫‪Initiator‬‬
‫‪R‬‬ ‫=‬ ‫‪Responder‬‬
‫‪CKYI, CKYR‬‬ ‫=‬ ‫‪Initiator, responder cookies‬‬
‫‪OK_KEYX‬‬ ‫=‬ ‫‪Key exchange message type‬‬
‫‪GRP‬‬ ‫=‬ ‫‪Name of Diffie-Hellman group for this exchange‬‬
‫‪g , gy‬‬
‫‪x‬‬ ‫‪= Public key of initiator, responder; gxy = session key from this exchange‬‬
‫‪EHAO, EHAS‬‬ ‫‪= Encryption, hash, authentication functions, offered and selected‬‬
‫‪NIDP‬‬ ‫‪= Indicates encryption is not used for remainder of this message‬‬
‫‪IDI, IDR‬‬ ‫‪= Identifier for initiator, responder‬‬
‫‪NI, NR‬‬ ‫‪= Random nonce supplied by initiator, responder for this exchange‬‬
‫]‪SKI[X], SKR[X‬‬ ‫‪= Indicates the signature over X using the private key (signing key) of initiator, responder‬‬
‫ﻣﺜﺎﻝ ﻣﺒﺎﺩﻟﻪ ﻛﻠﻴﺪ ‪Aggressive Oakley‬‬ ‫ﺷﻜﻞ ‪۶-۱۱‬‬
‫ﻣﺜﺎﻟﻲ ﺍﺯ ﻣﺒﺎﺩﻟﺔ ‪Oakley‬‬

‫ﻣﺸﺨﺼﻪﻫﺎﻱ ‪ Oakley‬ﺷﺎﻣﻞ ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﻣﺒﺎﺩﻻﺗﻲ ﺍﺳﺖ ﻛﻪ ﺗﺤﺖ ﺍﻳﻦ ﭘﺮﻭﺗﻜﻞ ﻗﺎﺑـﻞ ﺍﺟـﺮﺍ ﻫـﺴﺘﻨﺪ‪ .‬ﺑـﺮﺍﻱ ﺍﻳﻨﻜـﻪ ﺩﺭﻙ‬
‫ﺑﻬﺘﺮﻱ ﺍﺯ ‪ Oakley‬ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻳﻜﻲ ﺍﺯ ﺍﻳﻦ ﻣﺜﺎﻝﻫﺎ ﻛﻪ ﺩﺭ ﻣﺸﺨﺼﺎﺕ‪ aggressive key exchange ،‬ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷـﻮﺩ ﺭﺍ‬
‫ﺍﺭﺍﺋﻪ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺩﻟﻴﻞ ﺍﻳﻦ ﻧﺎﻡ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺗﻨﻬﺎ ﺳﻪ ﭘﻴﺎﻡ ﺭﺩﻭﺑﺪﻝ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺷﻜﻞ ‪ ۶-۱۱‬ﭘﺮﻭﺗﻜﻞ ‪ aggressive key exchange‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺩﺭ ﻗﺪﻡ ﺍﻭﻝ ﺁﻏﺎﺯﮔﺮ )‪ (I‬ﻳـﻚ ‪ ،cookie‬ﮔﺮﻭﻫـﻲ‬
‫ﻛﻪ ﺑﻜﺎﺭ ﺧﻮﺍﻫﺪ ﺭﻓﺖ‪ ،‬ﻭ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ Diffie-Hellman‬ﺁﻏـﺎﺯﮔﺮ ‪ I‬ﺑـﺮﺍﻱ ﺍﻳـﻦ ﺗﺒـﺎﺩﻝ ﺭﺍ ﺍﺭﺳـﺎﻝ ﻣـﻲﻛﻨـﺪ‪ I .‬ﻫﻤﭽﻨـﻴﻦ ﺭﻭﺵ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ‪ ،‬ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﻭ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺸﻨﻬﺎﺩ ﺷﺪﻩ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﻣﺒﺎﺩﻟﻪ ﺑﻜﺎﺭ ﺧﻮﺍﻫـﺪ ﺭﻓـﺖ ﺭﺍ ﻣـﺸﺨﺺ‬
‫ﻣﻲﺳﺎﺯﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﭘﻴﺎﻡ ﻫﻤﭽﻨﻴﻦ ﺷﻨﺎﺳﻪﻫﺎﻱ ‪ I‬ﻭ ‪) R‬ﭘﺎﺳﺦ ﺩﻫﻨﺪﻩ( ﻭ ‪ nonce‬ﻣﺮﺑﻮﻁ ﺑﻪ ‪ I‬ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺑﺎﻻﺧﺮﻩ ‪ I‬ﻳﻚ ﺍﻣـﻀﺎﺀ ﻛـﻪ ﺑـﺎ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ I‬ﺭﻭﻱ ﺩﻭ ﺷﻨﺎﺳﻪ‪ ،nonce ،‬ﮔﺮﻭﻩ‪ ،‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ Diffie-Hellman‬ﻭ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﭘﻴـﺸﻨﻬﺎﺩﻱ ﺍﻧﺠـﺎﻡ‬
‫ﺷﺪﻩ ﺍﺳﺖ ﺭﺍ ﺑﻪ ﺍﻧﺘﻬﺎﻱ ﭘﻴﺎﻡ ﻭﺻﻞ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻭﻗﺘﻲ ‪ R‬ﭘﻴﺎﻡ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ‪ R ،‬ﺍﻣﻀﺎﺀ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ I‬ﺗﺄﺋﻴـﺪ ﻣـﻲﻧﻤﺎﻳـﺪ‪ R .‬ﺗﺄﺋﻴـﺪ ﺧـﻮﺩ ﺭﺍ ﺑـﺎ ﭘـﺲ‬
‫ﻓﺮﺳﺘﺎﺩﻥ ‪ cookie‬ﻣﺘﻌﻠﻖ ﺑﻪ ‪ ،I‬ﺷﻨﺎﺳﻪ‪ nonce ،‬ﻭ ﻫﻤﭽﻨﻴﻦ ﮔﺮﻭﻩ ﺑﻪ ‪ I‬ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪ R .‬ﻫﻤﭽﻨﻴﻦ ﺩﺭ ﭘﻴﺎﻡ ﺧـﻮﺩ ﻳـﻚ ‪،cookie‬‬
‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ Diffie-Hellman‬ﺧﻮﺩ‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ )ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﻣﻴﺎﻥ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺍﺭﺳﺎﻟﻲ ﺍﻧﺘﺨﺎﺏ ﺷـﺪﻩ ﺑﺎﺷـﺪ(‪،‬‬
‫ﺷﻨﺎﺳــﺔ ‪ R‬ﻭ ‪ nonce‬ﺧــﻮﺩ ﺭﺍ ﻣــﻲﮔﻨﺠﺎﻧــﺪ‪ .‬ﺑــﺎﻻﺧﺮﻩ ‪ R‬ﻳــﻚ ﺍﻣــﻀﺎﺀ ﻛــﻪ ﺩﻭ ﺷﻨﺎﺳــﻪ‪ ،‬ﺩﻭ ‪ ،nonce‬ﮔــﺮﻭﻩ‪ ،‬ﺩﻭ ﻛﻠﻴــﺪ ﻋﻤــﻮﻣﻲ‬
‫‪ Diffie-Hellman‬ﻭ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ‪ R‬ﺍﻣﻀﺎﺀ ﻛﺮﺩﻩ ﺍﺳﺖ ﺑﻪ ﭘﻴﺎﻡ ﻭﺻﻞ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪٢٣٣‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫ﻭﻗﺘﻲ ‪ I‬ﭘﻴﺎﻡ ﺩﻭﻡ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ‪ I ،‬ﺍﻣﻀﺎﺀ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ R‬ﺑﺎﺯ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻧـﺪﺍﺯﻩﻫـﺎﻱ ‪ nonce‬ﺩﺭ ﭘﻴـﺎﻡ‬
‫ﺍﻃﻤﻴﻨﺎﻥ ﻣﻲﺩﻫﻨﺪ ﻛﻪ ﺍﻳﻦ ﺑﺎﺯﺧﻮﺍﻧﻲ ﻳﻚ ﭘﻴﺎﻡ ﻛﻬﻨﻪ ﻧﻴﺴﺖ‪ .‬ﺑﺮﺍﻱ ﻛﺎﻣﻞ ﻛﺮﺩﻥ ﺍﻳﻦ ﻣﺒﺎﺩﻟﻪ‪ I ،‬ﺑﺎﻳﺴﺘﻲ ﭘﻴﺎﻡ ﺩﻳﮕﺮﻱ ﺭﺍ ﺑﺮﺍﻱ ‪ R‬ﻓﺮﺳﺘﺎﺩﻩ‬
‫ﻭ ﺩﺭﻳﺎﻓﺖ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ R‬ﺭﺍ ﺍﻋﻼﻡ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ISAKMP‬‬
‫ﻳـﻚ ﭘﻴـﺎﻡ ‪ ،(Internet Security Association and Key Management Protocol) ISAKMP‬ﺭﻭﻳـﻪﻫـﺎ ﻭ ﻓﺮﻣـﺖ‬
‫ﺑﺴﺘﻪﻫﺎ ﺭﺍ ﺑﺮﺍﻱ ﺑﺮﻗﺮﺍﺭﻱ‪ ،‬ﺗﻮﺍﻓﻖ‪ ،‬ﺟﺮﺡ ﻭ ﺗﻌﺪﻳﻞ ﻭ ﺣﺬﻑ ﺍﺗﺤﺎﺩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺗﻌﺮﻳﻒ ﻣـﻲﻛﻨـﺪ‪ .‬ﺑﻌﻨـﻮﺍﻥ ﻣﺮﺣﻠـﻪﺍﻱ ﺍﺯ ﺑﺮﻗـﺮﺍﺭﻱ ‪،SA‬‬
‫‪ ISAKMP‬ﻣﺤﻤﻮﻟﻪﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﻣﺒﺎﺩﻟﺔ ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﻭ ﺩﺍﺩﻩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳـﻦ ﻓﺮﻣـﺖ ﻣﺤﻤﻮﻟـﻪﻫـﺎ ﻳـﻚ‬
‫ﭼﻬﺎﺭﭼﻮﺏ ﻣﺴﺘﻘﻞ ﺍﺯ ﭘﺮﻭﺗﻜﻞ ﺧﺎﺹ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﻣﻜﺎﻧﻴﺴﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪.‬‬
‫ﻓﺮﻣﺖ ﺳﺮﺁﻳﻨﺪ ‪ISAKMP‬‬
‫ﻳﻚ ﭘﻴﺎﻡ ‪ ISAKMP‬ﺷﺎﻣﻞ ﻳﻚ ﺳﺮﺁﻳﻨﺪ ‪ ISAKMP‬ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻣﺤﻤﻮﻟﻪ ﺩﻧﺒﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﺗﻤـﺎﻡ ﺍﻳﻨﻬـﺎ‬
‫ﺩﺭ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺣﻤﻞﻭﻧﻘﻞ‪ ،‬ﺣﻤﻞ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻣﺸﺨﺼﻪ‪ ،‬ﺣﻤﺎﻳﺖ ﺍﺯ ‪ UDP‬ﺑﻌﻨﻮﺍﻥ ﭘﺮﻭﺗﻜﻞ ﺣﻤﻞﻭﻧﻘـﻞ ﺩﺭ ﭘﻴـﺎﺩﻩﺳـﺎﺯﻱﻫـﺎ ﺭﺍ ﺍﺟﺒـﺎﺭﻱ‬
‫ﻣﻲﺩﺍﻧﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۶-۱۲‬ﻓﺮﻣﺖ ﺳﺮﺁﻳﻨﺪ ﻳﻚ ﭘﻴﺎﻡ ‪ ISAKMP‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﺳﺮﺁﻳﻨﺪ ﺷﺎﻣﻞ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫)‪ cookie :Initiator Cookie (64 bits‬ﻭﺍﺣﺪﻱ ﻛﻪ ﺑﺮﺍﻱ ﺑﺮﻗﺮﺍﺭﻱ ‪ ،SA‬ﺗﻌﻴﻴﻦ ‪ SA‬ﻭ ﻳﺎ ﺣﺬﻑ ‪ SA‬ﺍﻗﺪﺍﻡ ﻛﺮﺩﻩ‬ ‫•‬
‫ﺍﺳﺖ‪.‬‬
‫)‪ cookie :Responder Cookie (64 bits‬ﻭﺍﺣﺪ ﭘﺎﺳﺦﺩﻫﻨﺪﻩ ﻛﻪ ﺩﺭ ﺍﻭﻟﻴﻦ ﭘﻴﺎﻡ ﺍﺯ ﻃﺮﻑ ﺁﻏﺎﺯﮔﺮ‪ ،‬ﺧـﺎﻟﻲ ﺧﻮﺍﻫـﺪ‬ ‫•‬
‫ﺑﻮﺩ‪.‬‬
‫)‪ :Next Payload (8 bits‬ﻧﺸﺎﻥﺩﻫﻨﺪﺓ ﻧﻮﻉ ﺍﻭﻟﻴﻦ ﻣﺤﻤﻮﻟﻪ ﺩﺭ ﭘﻴﺎﻡ ﺍﺳﺖ‪ .‬ﻣﺤﻤﻮﻟﻪﻫﺎ ﺩﺭ ﺑﺨﺶ ﺑﻌﺪ ﺗﻌﺮﻳﻒ ﺧﻮﺍﻫﻨـﺪ‬ ‫•‬
‫ﺷﺪ‪.‬‬
‫)‪ :Major Version (4 bits‬ﻧﺴﺨﺔ ﺍﺻﻠﻲ ‪ ISAKMP‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬ ‫•‬
‫)‪ :Minor Version (4 bits‬ﻧﺴﺨﺔ ﻓﺮﻋﻲ ‪ ISAKMP‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬ ‫•‬
‫)‪ :Exchange Type (8 bits‬ﻧﻮﻉ ﻣﺒﺎﺩﻟﻪ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺑﻌﺪﺍﹰ ﺩﺭ ﻫﻤﻴﻦ ﺑﺨﺶ ﺑﻪ ﺁﻥ ﺍﺷﺎﺭﻩ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬ ‫•‬
‫)‪ :Flags (8 bits‬ﻣﻮﺍﺭﺩ ﻣﺨﺘﺺ ﺑﻪ ﺍﻳﻦ ﻣﺒﺎﺩﻟﺔ ‪ ISAKMP‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺗﺎ ﻛﻨﻮﻥ ﺩﻭ ﺑﻴﺖ ﺍﺯ ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﺗﻌﺮﻳﻒ‬ ‫•‬
‫ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﻴﺖ ‪ Encryption‬ﻛﻪ ﺩﺭ ﺻﻮﺭﺗﻲ ‪ 1‬ﺍﺳﺖ ﻛﻪ ﺗﻤﺎﻡ ﻣﺤﻤﻮﻟﻪﻫﺎﻱ ﺑﻌﺪ ﺍﺯ ﺳﺮﺁﻳﻨﺪ ﺑﺎ ﺍﻟﮕـﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕـﺎﺭﻱ‬
‫ﻣﺮﺗﺒﻂ ﺑﻪ ﺍﻳﻦ ‪ SA‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺑﺎﺷﻨﺪ‪ .‬ﺑﻴﺖ ‪ Commit‬ﺑﺮﺍﻱ ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻣﻮﺍﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷـﺪﻩ‪ ،‬ﻗﺒـﻞ‬
‫ﺍﺯ ﻛﺎﻣﻞ ﺷﺪﻥ ﺑﺮﻗﺮﺍﺭﻱ ‪ SA‬ﺩﺭﻳﺎﻓﺖ ﻧﺸﺪﻩ ﺑﺎﺷﻨﺪ‪.‬‬
‫)‪ ID :Message ID (32 bits‬ﻳﻜﺘﺎﻱ ﻣﺨﺘﺺ ﺍﻳﻦ ﭘﻴﺎﻡ‪.‬‬ ‫•‬
‫)‪ :Length (32 bits‬ﻃﻮﻝ ﻛﻞ ﭘﻴﺎﻡ )ﺳﺮﺁﻳﻨﺪ ﺑﻌﻼﻭﺓ ﺗﻤﺎﻡ ﻣﺤﻤﻮﻟﻪﻫﺎ( ﺑﺮ ﺣﺴﺐ ﺍﹸﻛﺘﺖ‪.‬‬ ‫•‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٣٤‬‬
‫‪Bit:‬‬ ‫‪0‬‬ ‫‪8‬‬ ‫‪16‬‬ ‫‪24‬‬ ‫‪31‬‬
‫‪Initiator cookie‬‬
‫‪Responder cookie‬‬
‫‪Next payload‬‬ ‫‪MjVer MnVer‬‬ ‫‪Exchange type‬‬ ‫‪Flags‬‬
‫‪Message ID‬‬
‫‪Length‬‬
‫)ﺍﻟﻒ( ﺳﺮﺁﻳﻨﺪ ‪ISAKMP‬‬
‫‪Bit:‬‬ ‫‪0‬‬ ‫‪8‬‬ ‫‪16‬‬ ‫‪31‬‬
‫‪Next payload‬‬ ‫‪RESERVED‬‬ ‫‪Payload length‬‬
‫)ﺏ( ﺳﺮﺁﻳﻨﺪ ﻋﻤﻮﻣﻲ ﻣﺤﻤﻮﻟﻪﻫﺎ )‪(payload‬‬
‫ﻓﺮﻣﺖ ‪ISAKMP‬‬ ‫ﺷﻜﻞ ‪۶-۱۲‬‬
‫ﺍﻧﻮﺍﻉ ﻣﺤﻤﻮﻟﻪﻫﺎﻱ ‪ISAKMP‬‬

‫ﺗﻤﺎﻡ ﻣﺤﻤﻮﻟﻪﻫﺎﻱ ‪ ISAKMP‬ﺑﺎ ﻳﻚ ﺳﺮﺁﻳﻨﺪ ﻋﻤﻮﻣﻲ ﻛﻪ ﺩﺭ ﺷﻜﻞ ‪۶-۱۲‬ﺏ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷـﺪﻩ ﺍﺳـﺖ‪ ،‬ﺷـﺮﻭﻉ ﻣـﻲﺷـﻮﻧﺪ‪.‬‬
‫ﻣﻴﺪﺍﻥ ‪ ،Next Payload‬ﺍﮔﺮ ﺍﻳﻦ ﺁﺧﺮﻳﻦ ﻣﺤﻤﻮﻟﺔ ﭘﻴﺎﻡ ﺑﺎﺷﺪ ﺩﺍﺭﺍﻱ ﺍﻧﺪﺍﺯﺓ ‪ 0‬ﻭ ﺩﺭ ﻏﻴﺮ ﺍﻳﻨﺼﻮﺭﺕ ﺍﻧﺪﺍﺯﺓ ﻧﻮﻉ ﻣﺤﻤﻮﻟﺔ ﺑﻌﺪ ﺭﺍ ﻧـﺸﺎﻥ‬
‫ﻣﻲﺩﻫﺪ‪ .‬ﻣﻴﺪﺍﻥ ‪ Payload Length‬ﻧﺸﺎﻥﺩﻫﻨﺪﺓ ﻃﻮﻝ ﺍﻳﻦ ﻣﺤﻤﻮﻟﻪ ﺑﺮ ﺣﺴﺐ ﺍﹸﻛﺘﺖ ﺑﻮﺩﻩ ﻛﻪ ﺷﺎﻣﻞ ﺳﺮﺁﻳﻨﺪ ﻋﻤﻮﻣﻲ ﻣﺤﻤﻮﻟـﻪ ﻧﻴـﺰ‬
‫ﺟﺪﻭﻝ ‪ ۶-۳‬ﺍﻧﻮﺍﻉ ﻣﺤﻤﻮﻟﻪﻫﺎﻱ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺑﺮﺍﻱ ‪ ISAKMP‬ﺭﺍ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﻭ ﻣﻴﺪﺍﻥﻫﺎ ﻳﺎ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﺋﻲ ﻛﻪ ﺑﺨـﺸﻲ ﺍﺯ ﻫـﺮ‬
‫ﻣﺤﻤﻮﻟﻪ ﻫﺴﺘﻨﺪ ﺭﺍ ﻧﻴﺰ ﻣﺸﺨﺺ ﻣﻲﻧﻤﺎﻳﺪ‪ SA payload .‬ﺑﺮﺍﻱ ﺷـﺮﻭﻉ ﺍﺳـﺘﻘﺮﺍﺭ ‪ SA‬ﺑﻜـﺎﺭ ﻣـﻲﺭﻭﺩ‪ .‬ﺩﺭ ﺍﻳـﻦ ﻣﺤﻤﻮﻟـﻪ‪ ،‬ﭘـﺎﺭﺍﻣﺘﺮ‬
‫‪ Domain of Interpretation‬ﻧﻤﺎﻳﺶﺩﻫﻨﺪﺓ ‪ DOI‬ﺍﺳﺖ ﻛﻪ ﺗﻮﺍﻓﻖ ﺗﺤﺖ ﻧﻈﺮ ﺁﻥ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪ IPSec DOI .‬ﻳﻚ ﻣﺜـﺎﻝ‬
‫ﺁﻥ ﺍﺳﺖ ﻭﻟﻲ ‪ ISAKMP‬ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﻣﻘﻮﻟﻪﻫﺎﻱ ﺩﻳﮕﺮ ﻧﻴﺰ ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﭘﺎﺭﺍﻣﺘﺮ ‪ ،Situation‬ﺧﻂﻣﺸﻲ ﺍﻣﻨﻴﺘﻲ ﺍﻳﻦ ﺗﻮﺍﻓﻖ ﺭﺍ ﺗﻌﺮﻳﻒ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﺳﻄﻮﺡ ﺍﻣﻨﻴﺘﻲ ﻻﺯﻡ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﻣﺸﺨﺺ ﻣﻲﺷﻮﻧﺪ )ﻣﺜﻼﹰ ﺳﻄﺢ ﺣﺴﺎﺳﻴﺖ‪ ،‬ﺑﺨﺶ ﺍﻣﻨﻴﺘﻲ(‪.‬‬
‫‪٢٣٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫‪ Proposal payload‬ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺗﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺧﻼﻝ ﺗﻮﺍﻓﻖ ‪ SA‬ﺑﻜﺎﺭ ﮔﺮﻓﺘـﻪ ﻣـﻲﺷـﻮﺩ‪ .‬ﻣﺤﻤﻮﻟـﻪ‪ ،‬ﻧﻤـﺎﻳﺶﺩﻫﻨـﺪﺓ‬
‫ﭘﺮﻭﺗﻜﻞ ﺍﻳﻦ ‪ ESP) SA‬ﻳﺎ ‪ (AH‬ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﺁﻥ ﺳﺮﻭﻳﺲﻫﺎ ﻭ ﻣﻜﺎﻧﻴﺴﻢﻫﺎ ﻣﻮﺭﺩ ﺗﻮﺍﻓﻖ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﻣﺤﻤﻮﻟﻪ ﻫﻤﭽﻨﻴﻦ ﺷـﺎﻣﻞ‬
‫‪ SPI‬ﻭﺍﺣﺪ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﺗﻌﺪﺍﺩ ﺗﺒﺪﻳﻞﻫﺎﺳﺖ‪ .‬ﻫﺮ ﺗﺒﺪﻳﻞ ﺩﺭ ﻳﻚ ﻣﺤﻤﻮﻟﺔ ﺗﺒﺪﻳﻞ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣﺤﻤﻮﻟﻪﻫـﺎﻱ ﺑـﺎ ﭼﻨـﺪ ﺗﺒـﺪﻳﻞ‪،‬‬
‫ﺁﻏﺎﺯﮔﺮ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺣﺎﻻﺕ ﻣﻤﻜﻦ ﻣﺘﻌﺪﺩﻱ ﺭﺍ ﭘﻴﺸﻨﻬﺎﺩ ﻧﻤﺎﻳﺪ ﻛﻪ ﺍﺯ ﺑﻴﻦ ﺁﻧﻬﺎ ﭘﺎﺳﺦﺩﻫﻨﺪﻩ ﺑﺎﻳﺴﺘﻲ ﻳﻜﻲ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﺮﺩﻩ ﻭ ﻳـﺎ‬
‫ﭘﺎﺳﺦ ﻣﻨﻔﻲ ﺩﻫﺪ‪.‬‬
‫‪ Transform payload‬ﻳﻚ ﺗﺒﺪﻳﻞ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ ﻛﻪ ﺍﺯ ﺁﻥ ﺑﺮﺍﻱ ﺍﻣﻦ ﻛﺮﺩﻥ ﻛﺎﻧﺎﻝ ﺍﺭﺗﺒﺎﻃﻲ ﺑﺮﺍﻱ ﭘﺮﻭﺗﻜـﻞ‬
‫ﻣﺸﺨﺺ ﺷﺪﻩ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﭘﺎﺭﺍﻣﺘﺮ ‪ Transform #‬ﺑﻤﻨﻈﻮﺭ ﺷﻨﺎﺳﺎﺋﻲ ﺍﻳﻦ ﻣﺤﻤﻮﻟﺔ ﻣﺨﺼﻮﺹ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ ﺗﺎ ﭘﺎﺳﺦﺩﻫﻨﺪﻩ ﺑﺘﻮﺍﻧﺪ‬
‫ﺍﺯ ﺁﻥ ﺑﺮﺍﻱ ﻣﻮﺍﻓﻘﺖ ﺑﺎ ﺍﻳﻦ ﺗﺒﺪﻳﻞ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ )ﻣـﺜﻼﹰ ‪ 3DES‬ﺑـﺮﺍﻱ ‪ HMAC-SHA-1-96 ،ESP‬ﺑـﺮﺍﻱ ‪ (AH‬ﻛـﻪ ﻣﻠﺤﻘـﺎﺕ‬
‫ﻣﺮﺑﻮﻃﻪ ﻧﻴﺰ ﺩﺭ ﺁﻥ ﻭﺟﻮﺩ ﺩﺍﺭﺩ )ﻣﺜﻼﹰ ﻃﻮﻝ ‪.( hash‬‬
‫‪ Key Exchange payload‬ﻣـﻲﺗﻮﺍﻧـﺪ ﺑـﺮﺍﻱ ﺗﻜﻨﻴـﻚﻫـﺎﻱ ﻣﺘﻨـﻮﻉ ﻣﺒﺎﺩﻟـﺔ ﻛﻠﻴـﺪ ﺑﻜـﺎﺭ ﺭﻭﺩ ﻛـﻪ ﺷـﺎﻣﻞ ‪،Oakley‬‬
‫‪ Diffie-Hellman‬ﻭ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪ RSA-based‬ﺑﺮﺍﻱ ‪ PGP‬ﺍﺳﺖ‪ .‬ﻣﻴﺪﺍﻥ ﺩﻳﺘﺎﻱ ‪ Key Exchange‬ﺷﺎﻣﻞ ﺩﻳﺘﺎﻱ ﻣﻮﺭﺩ ﻧﻴﺎﺯ‬
‫ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻳﻚ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺑﻮﺩﻩ ﻭ ﻣﺴﺘﻘﻞ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺍﺳﺖ‪.‬‬
‫‪ Identification payload‬ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ ﻫﻮﻳﺖ ﻃﺮﻓﻴﻦ ﺍﺭﺗﺒﺎﻁ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﺗﻌﻴـﻴﻦ ﺍﻋﺘﺒـﺎﺭ ﺍﻃﻼﻋـﺎﺕ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪ .‬ﻣﻌﻤﻮﻻﹰ ﻣﻴﺪﺍﻥ ‪ ID Data‬ﺷﺎﻣﻞ ﺁﺩﺭﺱﻫﺎﻱ ‪ IPv4‬ﻳﺎ ‪ IPv6‬ﺍﺳﺖ‪.‬‬
‫‪ Certificate payload‬ﻳـﻚ ﮔـﻮﺍﻫﻲﻧﺎﻣـﺔ ﻛﻠﻴـﺪ‪ -‬ﻋﻤـﻮﻣﻲ ﺭﺍ ﻣﻨﺘﻘـﻞ ﻣـﻲﻛﻨـﺪ‪ .‬ﻣﻴـﺪﺍﻥ ‪Certificate Encoding‬‬
‫ﻧﻤﺎﻳﺶﺩﻫﻨﺪﺓ ﻧﻮﻉ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻭ ﻳﺎ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺍﺳﺖ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﻣﻮﺍﺭﺩ ﺯﻳﺮ ﺑﺎﺷﺪ‪:‬‬
‫‪PKCS#7 wrapped X.509 certificate‬‬ ‫•‬

‫‪PGP certificate‬‬ ‫•‬
‫‪DNS signed key‬‬ ‫•‬
‫‪X.509 certificate-signature‬‬ ‫•‬
‫‪X.509 certificate-key exchange‬‬ ‫•‬
‫‪Kerberos tokens‬‬ ‫•‬
‫)‪Certificate Revocation List (CRL‬‬ ‫•‬
‫)‪Authority Revocation List (ARL‬‬ ‫•‬
‫‪SPKI certificate‬‬ ‫•‬
‫ﺩﺭ ﻫﺮ ﻧﻘﻄﻪ ﺍﺯ ﻣﺒﺎﺩﻟﺔ ‪ ،ISAKMP‬ﻓﺮﺳﺘﻨﺪﻩ ﻣﻤﻜـﻦ ﺍﺳـﺖ ﻳـﻚ ﻣﺤﻤﻮﻟـﺔ ‪ Certificate Request‬ﺑـﺮﺍﻱ ﺩﺭﺧﻮﺍﺳـﺖ‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻭﺍﺣﺪ ﻣﺮﺗﺒﻂ ﺍﺭﺳﺎﻝ ﻛﻨﺪ‪ .‬ﻣﺤﻤﻮﻟﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻴﺶ ﺍﺯ ﻳﻚ ﻧﻮﻉ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻗﺎﺑﻞ ﻗﺒﻮﻝ ﻭ ﻳﺎ ﺑﻴﺶ ﺍﺯ ﻳﻚ ﻣﺴﺌﻮﻝ ﺻـﺪﻭﺭ‬
‫ﮔﻮﺍﻫﻲ ﻗﺎﺑﻞ ﻗﺒﻮﻝ ﺭﺍ ﺗﻌﻴﻴﻦ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ Hash Payload‬ﺷﺎﻣﻞ ﺩﻳﺘﺎﻱ ﺗﻮﻟﻴﺪﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺩﺭ ﺑﺨﺸﻲ ﺍﺯ ﭘﻴﺎﻡ ﻭ‪ /‬ﻳﺎ ﺣﺎﻟﺖ ‪ ISAKMP‬ﺍﺳـﺖ‪ .‬ﺍﻳـﻦ‬
‫ﻣﺤﻤﻮﻟﻪ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﺻﺤﺖ ﺩﺍﺩﻩﻫﺎ ﺩﺭ ﻳﻚ ﭘﻴﺎﻡ ﻭ ﻳﺎ ﺑﺮﺍﻱ ﺍﺣﺮﺍﺯ ﻫﻮﻳﺖ ﻭﺍﺣﺪﻫﺎﻱ ﻧﻈﻴﺮ ﺑﻜﺎﺭ ﺭﻭﺩ‪.‬‬
www.NetSimulate.net
‫ﻓﺼﻞ ﺷﺸﻢ‬
Type Parameters Description
Security Association Domain of Interpretation, Situation Used to negotiate security attributes and indicate the DOI
(SA) and Situation under which negotiation is
taking place.
Proposal (P) Proposal #, Protocol-ID, SPI Size, # of Used during SA negotiation; indicates protocol to
Transforms, SPI be used and number of transforms.
Transform (T) Transform #, Transform-ID, SA Attributes Used during SA negotiation; indicates transform
and related SA attributes.
Key Exchange (KE) Key Exchange Data Supports a variety of key exchange techniques.
Identification (ID) ID Type, ID Data Used to exchange identification information.
Certificate (CERT) Cert Encoding, Certificate Data Used to transport certificates and other certificate- related
information.
Certificate Request (CR) # Cert Types, Certificate Types, # Cert Auths, Used to request certificates; indicates the types of
Certificate Authorities certificates requested and the acceptable certificate
authorities.
Hash (HASH) Hash Data Contains data generated by a hash function.
Signature (SIG) Signature Data Contains data generated by a digital signa ture
function.
Nonce (NONCE) Nonce Data Contains a nonce.
Notification (N) DOI, Protocol-ID, SPI Size, Notify Message Used to transmit notification data, such as an error
ISAKMP ‫ﺍﻧﻮﺍﻉ ﻣﺤﻤﻮﻟﻪﻫﺎﻱ‬
Type, SPI, Notification Data condition.

‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
Delete (D) DOI, Protocol-ID, SPI Size, # of SPIs, SPI Indicates an SA that is no longer valid.
(one or more)
۶-۳ ‫ﺟﺪﻭﻝ‬
٢٣٦
‫‪٢٣٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫‪ Signature payload‬ﺷﺎﻣﻞ ﺩﻳﺘﺎﻱ ﺗﻮﻟﻴﺪﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻳﻚ ﺗﺎﺑﻊ ﺍﻣـﻀﺎﺀ ﺩﻳﺠﻴﺘـﺎﻝ ﺭﻭﻱ ﺑﺨـﺸﻲ ﺍﺯ ﭘﻴـﺎﻡ ﻭ‪ /‬ﻳـﺎ ﺣﺎﻟـﺖ‬
‫‪ ISAKMP‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﺤﻤﻮﻟﻪ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﺻﺤﺖ ﺩﻳﺘﺎ ﺩﺭ ﻳﻚ ﭘﻴﺎﻡ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﺳﺮﻭﻳﺲﻫﺎﻱ ﻋـﺪﻡ ﺍﻧﻜـﺎﺭ ﻧﻴـﺰ‬
‫ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪.‬‬
‫‪ Nonce payload‬ﺷﺎﻣﻞ ﻳﻚ ﺳﺮﻱ ﺩﺍﺩﻩﻫﺎﻱ ﺗﺼﺎﺩﻓﻲ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﺁﻧﻬﺎ ﺑـﺮﺍﻱ ﺑﻬﻨﮕـﺎﻡ ﺑـﻮﺩﻥ ﻭ ﺟﻠـﻮﮔﻴﺮﻱ ﺍﺯ ﺣﻤـﻼﺕ‬
‫ﺑﺎﺯﺧﻮﺍﻧﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ Notification payload‬ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺕ ﺧﻂ ﻭ ﻳﺎ ﺣﺎﻟﺖ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻳﻦ ‪ SA‬ﻭ ﻳﺎ ﺗﻮﺍﻓﻘﺎﺕ ﺍﻳـﻦ ‪ SA‬ﺍﺳـﺖ‪ .‬ﭘﻴـﺎﻡﻫـﺎﻱ‬
‫ﺧﻄﺎ ﺩﺭ ‪ ISKAMP‬ﺷﺎﻣﻞ ﻣﻮﺍﺭﺩ ﺗﻌﺮﻳﻒ ﺷﺪﺓ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫‪Invalid Payload Type‬‬ ‫‪Invalid Protocol ID‬‬ ‫‪Invalid Cert Encoding‬‬
‫‪DOI Not Supported‬‬ ‫‪Invalid SPI‬‬ ‫‪Invalid Certificate‬‬
‫‪Situation Not Supported‬‬ ‫‪Invalid Transform ID‬‬ ‫‪Bad Cert Request Syntax‬‬
‫‪Invalid Cookie‬‬ ‫‪Attributes Not Supported‬‬ ‫‪Invalid Cert Authority‬‬
‫‪Invalid Major Version‬‬ ‫‪No Proposal Chosen‬‬ ‫‪Invalid Hash Information‬‬
‫‪Invalid Minor Version‬‬ ‫‪Bad Proposal Syntax‬‬ ‫‪Authentication Failed‬‬
‫‪Invalid Exchange Type‬‬ ‫‪Payload Malformed‬‬ ‫‪Invalid Signature‬‬
‫‪Invalid Flags‬‬ ‫‪Invalid Key Information‬‬ ‫‪Address Notification‬‬
‫‪Invalid Message ID‬‬
‫ﺗﻨﻬﺎ ﭘﻴﺎﻡ ﺣﺎﻟﺖ ﻛﻪ ﺗﺎﻛﻨﻮﻥ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ‪ Connected ،‬ﺍﺳﺖ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ ﻳﺎﺩﺁﻭﺭﻱﻫﺎﻱ ‪ ،ISAKMP‬ﻳﺎﺩﺁﻭﺭﻱﻫـﺎﻱ‬
‫ﻣﺨﺘﺺ ﺑﻪ ‪ DOI‬ﻧﻴﺰ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﺑﺮﺍﻱ ‪ IPSec‬ﭘﻴﺎﻡﻫﺎﻱ ﺣﺎﻟﺖ ﺍﺿﺎﻓﻲ ﺯﻳﺮ ﺗﻌﺮﻳﻒ ﺷﺪﻩﺍﻧﺪ‪:‬‬
‫• ‪ :Responder-Lifetime‬ﺯﻣﺎﻥ ﺣﻴﺎﺕ ‪ SA‬ﻛﻪ ﺑﺘﻮﺳﻂ ﭘﺎﺳﺦﺩﻫﻨﺪﻩ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺍﺳﺖ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪ :Replay-Status‬ﺑﺮﺍﻱ ﭘﺎﺳﺦ ﻣﺜﺒﺖ ﭘﺎﺳﺦﺩﻫﻨﺪﻩ ﺑﻪ ﺍﻳﻦ ﺳﺆﺍﻝ ﻛﻪ ﺁﻳﺎ ﺍﻭ ﻋﻤﻠﻴﺎﺕ ﺗﺸﺨﻴﺺ ‪ anti-replay‬ﺭﺍ ﺍﻧﺠـﺎﻡ‬ ‫•‬
‫ﺧﻮﺍﻫﺪ ﺩﺍﺩ ﻳﺎ ﻧﻪ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺳﺖ‪.‬‬
‫‪ :Initial-Contact‬ﻃﺮﻑ ﺩﻳﮕﺮ ﺭﺍ ﺍﺯ ﺍﻳﻨﻜﻪ ﺁﻳﺎ ﺍﻳﻦ ﺍﻭﻟﻴﻦ ‪ SA‬ﺑﺮﻗﺮﺍﺭ ﺷﺪﻩ ﺑﺎ ﺳﻴـﺴﺘﻢ ﺩﻭﺭ ﺍﺳـﺖ ﻣﻄﻠـﻊ ﻣـﻲﺳـﺎﺯﺩ‪.‬‬ ‫•‬
‫ﮔﻴﺮﻧﺪﺓ ﺍﻳﻦ ﻳﺎﺩﺁﻭﺭﻱ ﺁﻧﮕﺎﻩ ﺑﺎﻳﺴﺘﻲ ﻫﺮ ‪ SA‬ﺍﻱ ﻛﻪ ﺑﺮﺍﻱ ﺳﻴﺴﺘﻢ ﻓﺮﺳﺘﻨﺪﻩ ﺩﺍﺭﺩ ﺭﺍ‪ ،‬ﺑﺎ ﻓـﺮﺽ ﺍﻳﻨﻜـﻪ ﺳﻴـﺴﺘﻢ ﻓﺮﺳـﺘﻨﺪﻩ‬
‫‪ reboot‬ﻛﺮﺩﻩ ﻭ ﺩﻳﮕﺮ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺍﻳﻦ ‪SA‬ﻫﺎ ﻧﺪﺍﺭﺩ‪ ،‬ﺣﺬﻑ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ Delete payload‬ﻳﻚ ﻳﺎ ﭼﻨﺪ ‪ SA‬ﻛﻪ ﻓﺮﺳﺘﻨﺪﻩ ﺍﺯ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﺓ ﺧـﻮﺩ ﺣـﺬﻑ ﻛـﺮﺩﻩ ﻭ ﺩﻳﮕـﺮ ﻣﻌﺘﺒـﺮ ﻧﻴـﺴﺘﻨﺪ ﺭﺍ ﻧـﺸﺎﻥ‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ٢٣٨
ISAKMP ‫ﺍﻧﻮﺍﻉ ﻣﺒﺎﺩﻟﻪﻫﺎﻱ‬ ۶-۴ ‫ﺟﺪﻭﻝ‬
‫ﻣﺒﺎﺩﻟﻪ‬ ‫ﺗﻮﺿﻴﺢ‬
(a) Base Exchange
(1) I → R: SA; NONCE Begin ISAKMP-SA negotiation
(2) R → I: SA; NONCE Basic SA agreed upon
(3) I → R: KE; IDI; AUTH Key generated; Initiator identity verified by
responder
(4) R → I: KE; IDR; AUTH Responder identity verified by initiator; Key
generated; SA established
(b) Identity Protection Exchange
(1) I → R: SA Begin ISAKMP-SA negotiation
(2) R → I: SA Basic SA agreed upon
(3) I → R: KE; NONCE Key generated
(4) R → I: KE; NONCE Key generated
(5)* I → R: IDI; AUTH Initiator identity verified by responder
(6)* R → I: IDR; AUTH Responder identity verified by initiator; SA
established
(c) Authentication Only Exchange
(1) I → R: SA; NONCE Begin ISAKMP-SA negotiation
(2) R → I: SA; NONCE; IDR; AUTH Basic SA agreed upon; Responder identity
verified by initiator
(3) I → R: IDI; AUTH Initiator identity verified by responder; SA
established
(d) Aggressive Exchange
(1) I → R: SA; KE; NONCE; IDI Begin ISAKMP-SA negotiation and key
Exchange
(2) R → I: SA; KE; NONCE; IDR; AUTH Initiator identity verified by responder; Key
generated; Basic SA agreed upon
(3)* I → R: AUTH Responder identity verified by initiator; SA

established
(e) Informational Exchange
(1)* I → R: N/D Error or status notification, or deletion
(Responder) ‫ = ﭘﺎﺳﺦﺩﻫﻨﺪﻩ‬R (Initiator)‫ = ﺁﻏﺎﺯﮔﺮ‬I : ‫ﻋﻼﺋﻢ ﺍﺧﺘﺼﺎﺭﻱ‬

‫ ﻭﺍﻗﻊ ﻣﻲﺷﻮﺩ‬ISAKMP ‫* = ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺤﻤﻮﻟﻪ ﺑﻌﺪ ﺍﺯ ﺳﺮﺁﻳﻨﺪ‬
.‫ = ﺍﺯ ﻣﻜﺎﻧﻴﺴﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‬AUTH
ISAKMP ‫ﻣﺒﺎﺩﻟﻪﻫﺎﻱ‬
.‫ ﻋﻮﺍﻣﻞ ﺗﺸﻜﻴﻞﺩﻫﻨـﺪﺓ ﺁﻧﻬـﺎ ﻫـﺴﺘﻨﺪ‬،‫ ﻳﻚ ﭼﻬﺎﺭﭼﻮﺏ ﺑﺮﺍﻱ ﻣﺒﺎﺩﻟﺔ ﭘﻴﺎﻡ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﺩ ﻛﻪ ﺍﻧﻮﺍﻉ ﻣﺤﻤﻮﻟﻪﻫﺎ‬ISAKMP
‫ ﺩﺭ ﺍﻳـﻦ‬.‫ ﺧﻼﺻﻪ ﺷﺪﻩﺍﻧـﺪ‬۶-۴ ‫ﻣﺸﺨﺼﻪ ﭘﻨﺞ ﻧﻮﻉ ﻣﺒﺎﺩﻟﺔ ﭘﻴﺶﻓﺮﺽ ﺭﺍ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺣﻤﺎﻳﺖ ﮔﺮﺩﻧﺪ ﺗﻌﻴﻴﻦ ﻛﺮﺩﻩ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺟﺪﻭﻝ‬
.‫ ﺍﺷﺎﺭﻩ ﻣﻲﻧﻤﺎﻳﺪ‬Transform ‫ ﻭ‬Protocol ‫ ﺑﺎ ﻣﺤﻤﻮﻟﻪﻫﺎﻱ ﻧﻈﻴﺮ‬SA ‫ ﺑﻪ ﻳﻚ ﻣﺤﻤﻮﻟﺔ‬SA ،‫ﺟﺪﻭﻝ‬
‫‪٢٣٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫‪ Base Exchange‬ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﻭ ﻣﻮﺍﺩ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺎ ﻫﻢ ﺍﻧﺘﻘﺎﻝ ﻳﺎﺑﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺗﻌـﺪﺍﺩ ﺗﺒـﺎﺩﻝﻫـﺎ ﺭﺍ ﺑـﻪ‬
‫ﺣﺪﺍﻗﻞ ﻣﻲﺭﺳﺎﻧﺪ ﻭﻟﻲ ﺍﻟﺒﺘﻪ ﻫﻮﻳﺖﻫﺎ ﻣﻮﺭﺩ ﺣﻔﺎﻇﺖ ﻗﺮﺍﺭ ﻧﻤﻲﮔﻴﺮﻧﺪ‪ .‬ﺍﻭﻟﻴﻦ ﺩﻭ ﭘﻴﺎﻡ‪cookie ،‬ﻫﺎ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﻭ ﻳﻚ ‪ SA‬ﺑﺎ ﭘﺮﻭﺗﻜـﻞ‬
‫ﻭ ﺗﺒﺪﻳﻞﻫﺎﻱ ﺗﻮﺍﻓﻖ ﺷﺪﻩ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﻫﺮ ﺩﻭ ﻃﺮﻑ ﺍﺯ ﻳﻚ ‪ nonce‬ﺑﺮﺍﻱ ﺍﻃﻤﻴﻨﺎﻥﺑﺨﺸﻲ ﺩﺭ ﺑﺮﺍﺑﺮ ﺣﻤﻼﺕ ﺑـﺎﺯﺧﻮﺍﻧﻲ ﺍﺳـﺘﻔﺎﺩﻩ‬
‫ﻣﻲﻛﻨﻨﺪ‪ .‬ﺁﺧﺮﻳﻦ ﺩﻭ ﭘﻴﺎﻡ‪ ،‬ﻣﻮﺍﺩ ﻛﻠﻴﺪ ﻭ ‪ ID‬ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ ﻣﺒﺎﺩﻟﻪ ﻛﺮﺩﻩ ﻭ ﺍﺯ ﻳﻚ ﻣﻜﺎﻧﻴﺴﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪﻛﻠﻴﺪﻫﺎ‪ ،‬ﻫﻮﻳـﺖﻫـﺎ ﻭ‬
‫‪nonce‬ﻫﺎﻱ ﺩﻭ ﭘﻴﺎﻡ ﺍﻭﻝ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ Identity Protection Exchange‬ﺑﺮﺍﻱ ﻣﺤﺎﻓﻈﺖ ﺍﺯ ﻫﻮﻳﺖ ﻛﺎﺭﺑﺮﺍﻥ‪ Base Exchange ،‬ﺭﺍ ﺑﺴﻂ ﻣﻲﺩﻫﺪ‪ .‬ﺩﻭ ﭘﻴﺎﻡ‬
‫ﺍﻭﻝ‪ SA ،‬ﺭﺍ ﻣﺴﺘﻘﺮ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺩﻭ ﭘﻴﺎﻡ ﺑﻌﺪﻱ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﻨﺪ ﻭ ﺍﺯ ‪nonce‬ﻫﺎ ﺑﺮﺍﻱ ﻣﺤﺎﻓﻈﺖ ﺟﻮﺍﺏ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷـﻮﺩ‪.‬‬
‫ﺑﻤﺤﺾ ﺍﻳﻨﻜﻪ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﻣﺤﺎﺳﺒﻪ ﮔﺮﺩﻳﺪ‪ ،‬ﺩﻭ ﻃﺮﻑ ﺍﺭﺗﺒﺎﻁ ﺑﻪ ﻣﺒﺎﺩﻟﺔ ﭘﻴﺎﻡﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﻛﻪ ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺕ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ‪،‬‬
‫ﻫﻤﺎﻧﻨﺪ ﺍﻣﻀﺎﺀﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ﻭ ﺍﺣﻴﺎﻧﺎﹰ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﺗﺄﺋﻴﺪﻛﻨﻨﺪﺓ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ‪ ،‬ﺍﺳﺖ ﺍﻗﺪﺍﻡ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫‪ Authentication Only Exchange‬ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺩﻭﻃﺮﻓﻪ‪ ،‬ﺑﺪﻭﻥ ﻳﻚ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴـﺪ ﺑﻜـﺎﺭ ﻣـﻲﺭﻭﺩ‪ .‬ﺩﻭ‬
‫ﭘﻴﺎﻡ ﺍﻭﻝ‪ SA ،‬ﺭﺍ ﻣﺴﺘﻘﺮ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ ﭘﺎﺳﺦﺩﻫﻨﺪﻩ ﺍﺯ ﭘﻴﺎﻡ ﺩﻭﻡ ﺑﺮﺍﻱ ﺭﺳﺎﻧﺪﻥ ‪ ID‬ﺧـﻮﺩ ﺍﺳـﺘﻔﺎﺩﻩ ﻛـﺮﺩﻩ ﻭ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ ﺭﺍ‬
‫ﺑﺮﺍﻱ ﺣﻔﺎﻇﺖ ﭘﻴﺎﻡ ﺑﻜﺎﺭ ﻣﻲﺑﺮﺩ‪ .‬ﺁﻏﺎﺯﻛﻨﻨﺪﻩ‪ ،‬ﭘﻴﺎﻡ ﺳﻮﻡ ﺭﺍ ﺍﺭﺳﺎﻝ ﻧﻤﻮﺩﻩ ﺗﺎ ‪ ID‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺪﻩ ﺭﺍ ﻣﻨﺘﻘﻞ ﻛﻨﺪ‪.‬‬
‫‪ Aggressive Exchange‬ﺗﻌﺪﺍﺩ ﻣﺒﺎﺩﻻﺕ ﺭﺍ ﺑﻪ ﻗﻴﻤﺖ ﻋﺪﻡ ﺣﻔﺎﻇﺖ ﺍﺯ ﻫﻮﻳﺖﻫﺎ ﻣـﻲﻧـﻴﻤﻢ ﻣـﻲﻛﻨـﺪ‪ .‬ﺩﺭ ﺍﻭﻟـﻴﻦ ﭘﻴـﺎﻡ‪،‬‬
‫ﺁﻏﺎﺯﮔﺮ‪ ،‬ﻳﻚ ‪ SA‬ﺑﺎ ﭘﺮﻭﺗﻜﻞ ﭘﻴﺸﻨﻬﺎﺩﻱ ﻭ ﺗﺒﺪﻳﻞﻫﺎﻱ ﻣﻤﻜﻦ ﺭﺍ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪ .‬ﺷﺮﻭﻉﻛﻨﻨﺪﻩ ﻫﻤﭽﻨﻴﻦ ﻳﻚ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺭﺍ ﺁﻏﺎﺯ ﻛﺮﺩﻩ‬
‫ﻭ ‪ ID‬ﺁﻥ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺩﺭ ﭘﻴﺎﻡ ﺩﻭﻡ‪ ،‬ﭘﺎﺳﺦﺩﻫﻨﺪﻩ‪ ،‬ﭘﺬﻳﺮﺵ ﺍﻳﻦ ‪ SA‬ﺭﺍ ﺑﺎ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﻭ ﺗﺒﺪﻳﻞ ﺑﺨﺼﻮﺹ ﻧﺸﺎﻥﺩﺍﺩﻩ‪ ،‬ﻣﺒﺎﺩﻟـﺔ‬
‫ﻛﻠﻴﺪ ﺭﺍ ﻛﺎﻣﻞ ﺳﺎﺧﺘﻪ ﻭ ﺍﻃﻼﻋﺎﺕ ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ ﺭﺍ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺩﺭ ﭘﻴـﺎﻡ ﺳـﻮﻡ‪ ،‬ﺁﻏﺎﺯﻛﻨﻨـﺪﻩ ﻧﺘﻴﺠـﺔ ﺍﻋﺘﺒﺎﺭﺳـﻨﺠﻲ ﺑـﺮ ﺭﻭﻱ‬
‫ﺍﻃﻼﻋﺎﺕ ﻗﺒﻠﻲ‪ ،‬ﻛﻪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﺳّﺮﻱ ﺑﺎﺷﺘﺮﺍﻙ ﮔﺬﺍﺷﺘﻪ ﺷﺪﻩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺳﺖ ﺭﺍ ﻣﻲﻓﺮﺳﺘﺪ‪.‬‬
‫ﺍﺯ ‪ Information Exchange‬ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ﻳﻜﻄﺮﻓﺔ ﺍﻃﻼﻋﺎﺕ ﺑﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ ‪ SA‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۶-۷‬‬
‫‪ IPv6‬ﻭ ‪ IPv4‬ﺑﻄﻮﺭ ﻣﻔﺼﻞﺗﺮﻱ ﺩﺭ ]‪ [STAL04‬ﭘﻮﺷﺶ ﺩﺍﺩﻩ ﺷﺪﻩﺍﻧﺪ‪ [CHEN98] .‬ﺑﺤﺚ ﻣﻔﻴﺪﻱ ﺩﺭ ﻣﻮﺭﺩ ﻃﺮﺍﺣﻲ ‪ IPSec‬ﺩﺍﺭﺩ‪.‬‬
‫]‪ [FRAN01‬ﻭ ]‪ [DORA03‬ﭘﻮﺷﺶ ﺗﻔﺼﻴﻠﻲﺗﺮﻱ ﺍﺯ ‪ IPSec‬ﺩﺍﺭﻧﺪ‪.‬‬
‫‪CHEN98 Cheng, P., et al. "A Security Architecture for the Internet Protocol." IBM Systems‬‬
‫‪Journal, Number 1, 1998.‬‬
‫‪DORA03 Doraswamy, N., and Harkins, D.IPSec.Upper Saddle River, NJ: Prentice Hall, 2003.‬‬
‫‪FRAN01‬‬ ‫‪Frankel, S. Demystifying the IPSec Puzzle. Boston: Artech House, 2001.‬‬
‫‪STAL04‬‬ ‫‪Stallings, W. Computer Networking with Internet Protocols and Technology. Upper‬‬
‫‪Saddle River, NJ: Prentice Hall, 2004.‬‬
‫ﻭﺏ ﺳﺎﻳﺖﻫﺎﻱ ﻣﻔﻴﺪ‬
‫‪ :NIST IPSEC Project‬ﺷﺎﻣﻞ ﻣﻘﺎﻻﺕ‪ ،‬ﺍﺭﺍﺋﺔ ﻣﻄﺎﻟﺐ ﻭ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎﻱ ﻣﺮﺟﻊ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٤٠‬‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۶-۸‬‬
‫‪IPv4‬‬ ‫ﻧﺴﺨﺔ ﭼﻬﺎﺭﻡ ‪IP‬‬

‫‪anti-replay service‬‬ ‫ﺳﺮﻭﻳﺲ ﺿﺪ‪ -‬ﺑﺎﺯﺧﻮﺍﻧﻲ‬
‫‪IPv6‬‬ ‫ﻧﺴﺨﺔ ﺷﺸﻢ ‪IP‬‬
‫)‪authentication header (AH‬‬ ‫ﺳﺮﺁﻳﻨﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫‪Oakley key determination protocol‬‬
‫)‪encapsulating security payload (ESP‬‬
‫ﭘﺮﻭﺗﻜﻞ ﺗﻌﻴﻴﻦ ﻛﻠﻴﺪ ﺍﹸﻛﻠﻲ‬
‫ﻛﭙﺴﻮﻟﻲ ﻛﺮﺩﻥ ﻣﺤﻤﻮﻟﺔ ﺍﻣﻨﻴﺘﻲ‬
‫‪Internet Security Association and Key‬‬ ‫‪replay attack‬‬ ‫ﺣﻤﻠﺔ ﺑﺎﺯﺧﻮﺍﻧﻲ‬
‫)‪Management Protocol (ISAKMP‬‬ ‫)‪security association (SA‬‬ ‫ﺍﺗﺤﺎﺩ ﺍﻣﻨﻴﺘﻲ‬
‫ﭘﺮﻭﺗﻜﻞ ﺍﺗﺤﺎﺩ ﺍﻣﻨﻴﺘﻲ ﻭ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﺍﻳﻨﺘﺮﻧﺖ‬
‫‪transport mode‬‬ ‫ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ‬
‫)‪IP Security (IPSec‬‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫‪tunnel mode‬‬ ‫ﻣُﻮﺩ ﺗﻮﻧﻞ‬
‫ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﻛﺎﺭﺑﺮﺩ ‪ IPSec‬ﺭﺍ ﺑﻴﺎﻥ ﻛﻨﻴﺪ‪.‬‬ ‫‪۶-۱‬‬

‫ﭼﻪ ﺳﺮﻭﻳﺲﻫﺎﺋﻲ ﺑﺘﻮﺳﻂ ‪ IPSec‬ﻓﺮﺍﻫﻢ ﻣﻲﮔﺮﺩﻧﺪ؟‬ ‫‪۶-۲‬‬
‫ﭼﻪ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﺋﻲ ﻳﻚ ‪ SA‬ﺭﺍ ﻣﻌﺮﻓﻲ ﻭ ﭼﻪ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﺋﻲ ﻣﺎﻫﻴﺖ ﻳﻚ ‪ SA‬ﺑﺨﺼﻮﺹ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﻨﺪ؟‬ ‫‪۶-۳‬‬
‫ﺗﻔﺎﻭﺕ ﺑﻴﻦ ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ ﻭ ﻣُﻮﺩ ﺗﻮﻧﻞ ﭼﻴﺴﺖ؟‬ ‫‪۶-۴‬‬
‫ﺣﻤﻠﺔ ﺑﺎﺯﺧﻮﺍﻧﻲ ﻛﺪﺍﻡ ﺍﺳﺖ؟‬ ‫‪۶-۵‬‬
‫ﭼﺮﺍ ‪ ESP‬ﺩﺍﺭﺍﻱ ﻳﻚ ﻣﻴﺪﺍﻥ ‪ padding‬ﺍﺳﺖ؟‬ ‫‪۶-۶‬‬
‫ﺭﻭﺵﻫﺎﻱ ﺍﺻﻠﻲ ﺗﺮﻛﻴﺐ ‪SA‬ﻫﺎ ﻛﺪﺍﻣﻨﺪ؟‬ ‫‪۶-۷‬‬
‫ﻧﻘﺶ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺗﻌﻴﻴﻦ ﻛﻠﻴﺪ ‪ Oakley‬ﻭ ‪ ISAKMP‬ﺩﺭ ‪ IPSec‬ﭼﻴﺴﺖ؟‬ ‫‪۶-۸‬‬
‫‪ ۶-۱‬ﺩﺭ ﺑﺤﺚ ﭘﺮﺩﺍﺯﺵ ‪ ،AH‬ﺧﺎﻃﺮﻧﺸﺎﻥ ﺷﺪﻩ ﺑﻮﺩ ﻛﻪ ﺗﻤﺎﻡ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺩﺭ ﻣﺤﺎﺳﺒﺎﺕ ‪ MAC‬ﻭﺍﺭﺩ ﻧﻤﻲﺷﻮﻧﺪ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﺑﺮﺍﻱ ﻫﺮﻳﻚ ﺍﺯ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺳﺮﺁﻳﻨﺪ ‪ ،IPv4‬ﻧﺸﺎﻥ ﺩﻫﻴﺪ ﻛﻪ ﺁﻳﺎ ﺁﻥ ﻣﻴﺪﺍﻥ ﺗﻐﻴﻴﺮﻧﺎﭘﺬﻳﺮ‪ ،‬ﺗﻐﻴﻴﺮﭘﺬﻳﺮ ﻭﻟﻲ ﻗﺎﺑﻞ ﭘﻴﺶﺑﻴﻨﻲ ﻭ‬
‫ﻳﺎ ﺗﻐﻴﻴﺮﭘﺬﻳﺮ )ﻛﻪ ﻗﺒﻞ ﺍﺯ ﻣﺤﺎﺳﺒﺎﺕ ‪ ICV‬ﺑﺎﻳﺪ ﺻﻔﺮ ﺷﻮﻧﺪ( ﺍﺳﺖ‪.‬‬
‫ﺏ‪ -‬ﻫﻤﻴﻦ ﻛﺎﺭ ﺭﺍ ﺑﺮﺍﻱ ‪ IPv6‬ﺍﻧﺠﺎﻡ ﺩﻫﻴﺪ‪.‬‬
‫ﺝ ‪ -‬ﻫﻤﻴﻦ ﻛﺎﺭ ﺭﺍ ﺑﺮﺍﻱ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ ‪ IPv6‬ﺍﻧﺠﺎﻡ ﺩﻫﻴﺪ‪.‬‬
‫ﺩﺭ ﻫﺮ ﻣﻮﺭﺩ ﺩﻟﻴﻞ ﺧﻮﺩ ﺑﺮﺍﻱ ﻫﺮ ﻣﻴﺪﺍﻥ ﺭﺍ ﺗﻮﺟﻴﻪ ﻛﻨﻴﺪ‪.‬‬
‫‪٢٤١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫‪ ۶-۲‬ﻭﻗﺘﻲ ﺍﺯ ﻣُﻮﺩ ﺗﻮﻧﻞ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﻳﻚ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺑﻴﺮﻭﻧﻲ ﺳﺎﺧﺘﻪ ﻣﻲﺷﻮﺩ‪ .‬ﺑﺮﺍﻱ ﻫﺮ ﺩﻭ ﻧﺴﺨﺔ ‪ IPv4‬ﻭ ‪ IPv6‬ﺭﺍﺑﻄﺔ ﺑﻴﻦ‬
‫ﻣﻴﺪﺍﻥﻫﺎﻱ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺑﻴﺮﻭﻧﻲ ﻭ ﻫﺮ ﺳﺮﺁﻳﻨﺪ ﺍﻟﺤﺎﻗﻲ ﺩﺭ ﺑﺴﺘﺔ ﺑﻴﺮﻭﻧﻲ ﺭﺍ ﺑﺎ ﻣﻴﺪﺍﻥ ﻭ ﻳﺎ ﺳﺮﺁﻳﻨﺪ ﺍﻟﺤﺎﻗﻲ ﺑﺴﺘﺔ ﺩﺭﻭﻧﻲ ﻧﺸﺎﻥ‬
‫ﺩﻫﻴﺪ‪ .‬ﻳﻌﻨﻲ ﻧﺸﺎﻥ ﺩﻫﻴﺪ ﻛﻪ ﻛﺪﺍﻡ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﺑﻴﺮﻭﻧﻲ ﺍﺯ ﻣﻘﺎﺩﻳﺮ ﺩﺭﻭﻧﻲ ﻣﺸﺘﻖ ﺷﺪﻩ ﻭ ﻛﺪﺍﻡ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﺑﻴﺮﻭﻧﻲ ﻣﺴﺘﻘﻞ ﺍﺯ ﻣﻘﺎﺩﻳﺮ‬
‫ﺩﺭﻭﻧﻲ ﺳﺎﺧﺘﻪ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫‪ ۶-۳‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﺑﻴﻦ ﺩﻭ ﻣﻴﺰﺑﺎﻥ ﻛﺎﺭﻱ ﻣﻄﻠﻮﺏ ﺍﺳﺖ‪ .‬ﺷﻜﻞﻫﺎﺋﻲ ﺷﺒﻴﻪ ﺑﻪ ﺷﻜﻞﻫﺎﻱ ‪ ۶-۶‬ﻭ ‪ ۶-۹‬ﻛﺸﻴﺪﻩ‬
‫ﻛﻪ ﻧﺸﺎﻥ ﺩﻫﺪ‪:‬‬
‫ﺍﻟﻒ‪ -‬ﻣﺠﺎﻭﺭﺕ ﻣُﻮﺩﻫﺎﻱ ﺣﻤﻞﻭﻧﻘﻞ ﺑﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻗﺒﻞ ﺍﺯ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪.‬‬
‫ﺏ‪ -‬ﻳﻚ ‪ SA‬ﺣﻤﻞﻭﻧﻘﻞ ﺩﺭ ﺩﺍﺧﻞ ﻳﻚ ‪ SA‬ﺗﻮﻧﻞ ﻛﻪ ﺩﺭ ﺁﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻗﺒﻞ ﺍﺯ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪.‬‬
‫ﺝ ‪ -‬ﻳﻚ ‪ SA‬ﺣﻤﻞﻭﻧﻘﻞ ﺩﺭ ﺩﺍﺧﻞ ﻳﻚ ‪ SA‬ﺗﻮﻧﻞ ﻛﻪ ﺩﺭ ﺁﻥ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻗﺒﻞ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪.‬‬
‫‪ ۶-۴‬ﺍﺳﻨﺎﺩ ﻣﻌﻤﺎﺭﻱ ‪ IPSec‬ﺑﻴﺎﻥ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﻭﻗﺘﻲ ﺩﻭ ‪ SA‬ﻣُﻮﺩ ﺣﻤﻞﻭﻧﻘﻞ ﺑﺎ ﻫﻢ ﺗﺮﻛﻴﺐ ﺷﺪﻩ ﺗﺎ ﻫﻢ ﭘﺮﻭﺗﻜﻞ ‪ AH‬ﻭ ﻫﻢ ﭘﺮﻭﺗﻜﻞ‬
‫‪ ESP‬ﺭﺍ ﺭﻭﻱ ﻳﻚ ﺟﺮﻳﺎﻥ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﺍﻳﺠﺎﺩ ﻛﻨﻨﺪ ﺗﻨﻬﺎ ﻳﻚ ﺭﻭﺵ ﻣﻨﺎﺳﺐ ﺑﻨﻈﺮ ﻣﻲﺭﺳﺪ ﻛﻪ ﺁﻧﻬﻢ ﺍﺟﺮﺍﻱ ﭘﺮﻭﺗﻜﻞ ‪ ESP‬ﻗﺒﻞ‬
‫ﺍﺯ ﺍﺟﺮﺍﻱ ‪ AH‬ﺍﺳﺖ‪ .‬ﭼﺮﺍ ﺍﻳﻦ ﺭﻭﺵ ﭘﻴﺸﻨﻬﺎﺩ ﺷﺪﻩ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻗﺒﻞ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺸﻨﻬﺎﺩ ﻧﮕﺮﺩﻳﺪﻩ ﺍﺳﺖ؟‬
‫‪ ۶-۵‬ﺍﻟﻒ‪ -‬ﻛﺪﺍﻣﻴﻚ ﺍﺯ ﺍﻧﻮﺍﻉ ﻣﺒﺎﺩﻻﺕ ‪) ISAKMP‬ﺟﺪﻭﻝ ‪ (۶-۴‬ﻧﻈﻴﺮ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪ aggressive Oakley‬ﺍﺳﺖ)ﺷﻜﻞ ‪(۶-۱۱‬؟‬
‫ﺏ‪ -‬ﺑﺮﺍﻱ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪ aggressive Oakley‬ﻧﺸﺎﻥ ﺩﻫﻴﺪ ﻛﻪ ﻛﺪﺍﻡ ﭘﺎﺭﺍﻣﺘﺮﻫﺎ ﺩﺭ ﻫﺮ ﭘﻴﺎﻡ‪ ،‬ﺩﺭ ﻛﺪﺍﻡ ﻧﻮﻉ ﻣﺤﻤﻮﻟﺔ‬
‫‪ ISAKMP‬ﺣﻤﻞ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫ﺿﻤﻴﻤﺔ ‪ -۶‬ﺍﻟﻒ ﻋﻤﻠﻴﺎﺕ ﺑﻴﻦﺷﺒﻜﻪﺍﻱ ﻭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ‬
‫ﺍﻳﻦ ﺿﻤﻴﻤﻪ‪ ،‬ﻣﺮﻭﺭﻱ ﺑﺮ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺑﻴﻦﺷﺒﻜﻪﺍﻱ ﺩﺍﺭﺩ‪ .‬ﺑﺤﺚ ﺭﺍ ﺑﺎ ﺑﻴﺎﻥ ﺧﻼﺻﺔ ﻧﻘﺶ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺑـﻴﻦﺷـﺒﻜﻪﺍﻱ ﺩﺭ ﻓـﺮﺍﻫﻢﺁﻭﺭﺩﻥ‬
‫ﻋﻤﻠﻴﺎﺕ ﺑﻴﻦﺷﺒﻜﻪﺍﻱ ﺁﻏﺎﺯ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺁﻧﮕﺎﻩ ﺩﻭ ﭘﺮﻭﺗﻜﻞ ﺑﻴﻦﺷﺒﻜﻪﺍﻱ ﺍﺻﻠﻲ ﻳﻌﻨﻲ ‪ IPv4‬ﻭ ‪ IPv6‬ﺭﺍ ﻣﻌﺮﻓﻲ ﻣﻲﻧﻤﺎﺋﻴﻢ‪.‬‬
‫ﻧﻘﺶ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺑﻴﻦﺷﺒﻜﻪﺍﻱ‬
‫ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺑﻴﻦﺷﺒﻜﻪﺍﻱ )‪ ،(IP‬ﻧﻴﺎﺯﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﺗﺼﺎﻝ ﺩﻭ ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ ﺩﺭ ﻋﺮﺽ ﺷﺒﻜﻪﻫﺎﻱ ﻣﺘﻌـﺪﺩ ﺭﺍ ﺑـﺮﺁﻭﺭﺩﻩ ﻣـﻲﺳـﺎﺯﺩ‪.‬‬
‫ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ‪ IP ،‬ﺩﺭ ﻫﺮ ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ ﻭ ﻫﻤﭽﻨﻴﻦ ﺩﺭ ﻣﺴﻴﺮﻳﺎﺏﻫﺎ ﻛﻪ ﺩﺳﺘﮕﺎﻩﻫﺎﺋﻲ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﺍﺗﺼﺎﻝ ﺑـﻴﻦ ﺷـﺒﻜﻪﻫـﺎ ﻫـﺴﺘﻨﺪ‬
‫ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺍﺩﻩﻫﺎﻱ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ‪ ،‬ﺑـﺮﺍﻱ ﺍﻧﺘﻘـﺎﻝ‪ ،‬ﺩﺭ ﻳـﻚ ﻭﺍﺣـﺪ ﭘﺮﻭﺗﻜﻠـﻲ ﺩﻳﺘـﺎﻱ ‪(IP PDU) IP‬‬
‫ﻛﭙﺴﻮﻟﻲ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ‪ PDU‬ﺁﻧﮕﺎﻩ ﺍﺯ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﺷﺒﻜﻪ ﻭ ﻫﻤﭽﻨﻴﻦ ﻣﺴﻴﺮﻳﺎﺏﻫﺎﻱ ﺍﺭﺗﺒﺎﻁﺩﻫﻨﺪﻩ ﻋﺒﻮﺭ ﻛﺮﺩﻩ ﺗﺎ ﺑـﻪ ﺳﻴـﺴﺘﻢ ﺍﻧﺘﻬـﺎﺋﻲ‬
‫ﻣﻘﺼﺪ ﺑﺮﺳﺪ‪.‬‬
‫ﻣﺴﻴﺮﻳﺎﺏ ﺑﺎﻳﺴﺘﻲ ﺑﺘﻮﺍﻧﺪ ﺧﻮﺩ ﺭﺍ ﺑﺎ ﺗﻨﻮﻋﻲ ﻛﻪ ﺑـﻴﻦ ﺷـﺒﻜﻪﻫـﺎﻱ ﻣﺨﺘﻠـﻒ ﻭﺟـﻮﺩ ﺩﺍﺭﺩ ﻭﻓـﻖ ﺩﻫـﺪ‪ .‬ﺑﺮﺧـﻲ ﺍﺯ ﺗﻔـﺎﻭﺕﻫـﺎﻱ‬
‫ﺑﻴﻦ ﺷﺒﻜﻪﻫﺎ ﺑﻘﺮﺍﺭ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٤٢‬‬
‫ﺭﻭﺵﻫﺎﻱ ﺁﺩﺭﺱﺩﻫﻲ‪ :‬ﺷﺒﻜﻪﻫﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﺭﻭﺵﻫﺎﻱ ﻣﺘﻔﺎﻭﺗﻲ ﺭﺍ ﺑﺮﺍﻱ ﺗﺨﺼﻴﺺ ﺁﺩﺭﺱﻫﺎ ﺑﻪ ﺩﺳﺘﮕﺎﻩﻫﺎ ﺑﻜﺎﺭ ﮔﻴﺮﻧـﺪ‪.‬‬ ‫•‬
‫ﻣﺜﻼﹰ ﻳﻚ ‪ IEEE802 LAN‬ﺑﺮﺍﻱ ﻫﺮ ﺩﺳﺘﮕﺎﻩ ﺷﺒﻜﻪ ﻳﻚ ﺁﺩﺭﺱ ‪ -۱۶‬ﺑﻴﺘﻲ ﻭ ﻳﺎ ‪ -۴۸‬ﺑﻴﺘﻲ ﺭﺍ ﺑﻜﺎﺭ ﻣﻲﺑﺮﺩ‪ .‬ﻳﻚ ﺷـﺒﻜﺔ‬
‫ﺳﻮﺋﻴﭽﻴﻨﮓ ﺑﺴﺘﻪﺍﻱ ‪ X.25‬ﺍﺯ ﺁﺩﺭﺱﻫﺎﻱ ‪ ۱۲‬ﺭﻗﻤﻲ ﺍﻋﺸﺎﺭﻱ )‪ ۴‬ﺑﻴﺖ ﺑﺮﺍﻱ ﻫﺮ ﺭﻗـﻢ ﻭ ﺩﺭ ﺟﻤـﻊ ‪ ۴۸‬ﺑﻴـﺖ( ﺍﺳـﺘﻔﺎﺩﻩ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﻧﻮﻋﻲ ﺁﺩﺭﺱﺩﻫﻲ ﻋﻤﻮﻣﻲ ﺑﻌﻼﻭﺓ ﻓﻬﺮﺳﺘﻲ ﺍﺯ ﺁﺩﺭﺱﻫﺎ ﺑﺎﻳﺴﺘﻲ ﻓﺮﺍﻫﻢ ﺷﻮﺩ‪.‬‬
‫ﺍﻧﺪﺍﺯﺓ ﻣﺎﻛﺰﻳﻤﻢ ﺑﺴﺘﻪﻫﺎ‪ :‬ﺑﺴﺘﻪﻫﺎﻱ ﻳﻚ ﺷﺒﻜﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﻋﺒﻮﺭ ﺍﺯ ﺷﺒﻜﻪ ﺩﻳﮕﺮ ﻧﻴﺎﺯ ﺑﻪ ﻗﻄﻌﻪﻗﻄﻌﻪ ﺷـﺪﻥ ﺩﺍﺷـﺘﻪ‬ ‫•‬
‫ﺑﺎﺷﻨﺪ ﻛﻪ ﺍﻳﻦ ﻋﻤﻞ ﺭﺍ ‪ fragmentation‬ﮔﻮﻳﻨﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ‪ Ethernet‬ﺍﻧﺪﺍﺯﺓ ﻣﺎﻛﺰﻳﻤﻢ ﺑﺴﺘﻪﻫﺎ ﺭﺍ ‪ ۱,۵۰۰‬ﺑﺎﻳﺖ ﻗﺮﺍﺭ‬
‫ﺩﺍﺩﻩ ﺍﺳﺖ ﺩﺭ ﺣﺎﻟﻲﻛﻪ ﺍﻧﺪﺍﺯﺓ ﻣﺎﻛﺰﻳﻤﻢ ﺑﺴﺘﻪﻫﺎ ﺩﺭ ﺷﺒﻜﻪﻫﺎﻱ ‪ X.25‬ﺑﺮﺍﺑﺮ ‪ ۱,۰۰۰‬ﺑﺎﻳﺖ ﺍﺳـﺖ‪ .‬ﻳـﻚ ﺑـﺴﺘﻪ ﻛـﻪ ﺭﻭﻱ‬
‫ﺳﻴﺴﺘﻢ ‪ Ethernet‬ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ ﻭ ﺑﻤﻨﻈﻮﺭ ﻋﺒﻮﺭ ﺑﻪ ﻳﻚ ﺷﺒﻜﺔ ‪ X.25‬ﺍﺯ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﻋﺒﻮﺭ ﻣﻲﻛﻨﺪ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﻴـﺎﺯ‬
‫ﺑﻪ ﺗﺒﺪﻳﻞ ﺑﻪ ﺩﻭ ﺑﺴﺘﺔ ﻛﻮﭼﻚﺗﺮ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﻭﺍﺳﻂﻫﺎ‪ :‬ﻭﺍﺳﻂﻫﺎﻱ )‪ (interfaces‬ﺳﺨﺖﺍﻓﺰﺍﺭﻱ ﻭ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﺩﺭ ﺷـﺒﻜﻪﻫـﺎﻱ ﻣﺨﺘﻠـﻒ ﻣﺘﻔـﺎﻭﺕﺍﻧـﺪ‪ .‬ﻣﺎﻫﻴـﺖ ﻋﻤـﻞ‬ ‫•‬
‫ﻣﺴﻴﺮﻳﺎﺏ ﺑﺎﻳﺴﺘﻲ ﻣﺴﺘﻘﻞ ﺍﺯ ﭼﻨﻴﻦ ﺗﻔﺎﻭﺕﻫﺎﺋﻲ ﺑﺎﺷﺪ‪.‬‬
‫ﻗﺎﺑﻠﻴﺖ ﺍﻋﺘﻤﺎﺩ‪ :‬ﺳﺮﻭﻳﺲﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺷﺒﻜﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺍﺯ ﻳﻚ ﻣﺪﺍﺭ ﻣﺠﺎﺯﻱ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳـﺮ ﺗـﺎ ﻳـﻚ ﺳـﺮﻭﻳﺲ ﻏﻴﺮﻗﺎﺑـﻞ‬ ‫•‬
‫ﺍﻋﺘﻤﺎﺩ ﻣﺘﻐﻴﺮ ﺑﺎﺷﻨﺪ‪ .‬ﻋﻤﻞ ﻣﺴﻴﺮﻳﺎﺏﻫﺎ ﺑﺎﻳﺴﺘﻲ ﻣﺴﺘﻘﻞ ﺍﺯ ﻓﺮﺽ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺑﻮﺩﻥ ﺷﺒﻜﻪ ﻭ ﻳﺎ ﺧﻼﻑ ﺁﻥ ﺑﺎﺷﺪ‪.‬‬
‫‪End System X‬‬ ‫‪End System Y‬‬

‫‪LAN, WAN,‬‬
‫‪or‬‬
‫‪Router 1‬‬ ‫‪point-to-point‬‬ ‫‪Router 2‬‬
‫‪link‬‬
‫‪LAN‬‬ ‫‪LAN‬‬
‫‪Appli-‬‬ ‫‪Appli-‬‬
‫‪cation‬‬ ‫‪cation‬‬
‫‪TCP‬‬ ‫‪TCP‬‬
‫‪IP‬‬
‫‪IP‬‬ ‫‪IP‬‬ ‫‪IP‬‬ ‫‪IP‬‬
‫‪IP‬‬
‫‪LLC‬‬ ‫‪LLC‬‬ ‫‪LLC‬‬ ‫‪LLC‬‬
‫‪MAC‬‬ ‫‪MAC‬‬ ‫‪MAC‬‬ ‫‪MAC‬‬
‫‪Physical‬‬ ‫‪Physical Physical‬‬ ‫‪Physical Physical‬‬ ‫‪Physical‬‬
‫ﭘﻴﻜﺮﺑﻨﺪﻱ ﺑﺮﺍﻱ ﻣﺜﺎﻝ ‪TCP/IP‬‬ ‫ﺷﻜﻞ ‪۶-۱۳‬‬

‫‪٢٤٣‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫ﻋﻤﻞ ﻣﺴﻴﺮﻳﺎﺏ ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺩﺭ ﺷﻜﻞ ‪ ۶-۱۳‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺑـﻴﻦ ﺷـﺒﻜﻪﺍﻱ ﺍﺳـﺖ‪ .‬ﺩﺭ ﺍﻳـﻦ‬
‫ﻣﺜﺎﻝ‪ ،‬ﭘﺮﻭﺗﻜﻞ ﺍﻳﻨﺘﺮﻧﺖ )‪ (IP‬ﺍﺯ ﻣﺠﻤﻮﻋﺔ ﭘﺮﻭﺗﻜﻠﻲ ‪ TCP/IP‬ﺍﻳﻦ ﻋﻤﻞ ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪ IP .‬ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﺗﻤﺎﻡ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺍﻧﺘﻬـﺎﺋﻲ‪،‬‬
‫ﺭﻭﻱ ﺗﻤﺎﻡ ﺷﺒﻜﻪﻫﺎ ﻭ ﻫﻤﭽﻨﻴﻦ ﺩﺭ ﻣﺴﻴﺮﻳﺎﺏﻫﺎ‪ ،‬ﺗﻌﺒﻴﻪ ﺷﻮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ‪ ،‬ﻫﺮ ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ ﺑﺎﻳﺴﺘﻲ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺳﺎﺯﮔﺎﺭﻱ ﺩﺭ ﺑﺎﻻﻱ‬
‫‪ IP‬ﺩﺍﺷﺘﻪ ﺗﺎ ﺍﺭﺗﺒﺎﻁ ﺑﺼﻮﺭﺕ ﻣﻮﻓﻖ ﺍﻧﺠﺎﻡ ﭘﺬﻳﺮﺩ‪ .‬ﻣﺴﻴﺮﻳﺎﺏﻫﺎﻱ ﺑﻴﻦ ﺭﺍﻩ ﺗﻨﻬﺎ ﻛﺎﻓﻲ ﺍﺳﺖ ﻛﻪ ﺗﺎ ﺳﻄﺢ ‪ IP‬ﺭﺍ ﺣﻤﺎﻳﺖ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫ﺍﻧﺘﻘﺎﻝ ﻳﻚ ﺑﻠﻮﻙ ﺩﻳﺘﺎ ﺍﺯ ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ ‪ X‬ﺑﻪ ﺳﻴـﺴﺘﻢ ﺍﻧﺘﻬـﺎﺋﻲ ‪ Y‬ﺩﺭ ﺷـﻜﻞ ‪ ۶-۱۳‬ﺭﺍ ﺩﺭ ﻧﻈـﺮ ﺑﮕﻴﺮﻳـﺪ‪ .‬ﻻﻳـﺔ ‪ IP‬ﺩﺭ ‪X‬‬
‫ﺑﻠﻮﻙﻫﺎﻱ ﺩﻳﺘﺎ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ‪ Y‬ﺍﺭﺳﺎﻝ ﺷﻮﻧﺪ ﺭﺍ ﺍﺯ ﻻﻳﺔ ‪ TCP‬ﺳﻴﺴﺘﻢ ‪ X‬ﺗﺤﻮﻳﻞ ﻣﻲﮔﻴﺮﺩ‪ .‬ﻻﻳﺔ ‪ ،IP‬ﻳـﻚ ﺳـﺮﺁﻳﻨﺪ ﻛـﻪ ﺁﺩﺭﺱ‬
‫ﺟﻬﺎﻧﻲ ‪ Y‬ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ ﺑﻪ ﺩﻳﺘﺎ ﺍﺿﺎﻓﻪ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﺁﺩﺭﺱ ﺩﺍﺭﺍﻱ ﺩﻭ ﻗﺴﻤﺖ ﺷﻨﺎﺳﺔ ﺷﺒﻜﻪ ﻭ ﺷﻨﺎﺳﺔ ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬـﺎﺋﻲ ﺍﺳـﺖ‪.‬‬
‫ﺍﺟﺎﺯﻩ ﺩﻫﻴﺪ ﻛﻪ ﺍﻳﻦ ﺑﻠﻮﻙ ﺭﺍ ﻳﻚ ﺑﺴﺘﺔ ‪ IP‬ﺑﻨﺎﻣﻴﻢ‪ .‬ﺩﺭ ﻣﺮﺣﻠﺔ ﺑﻌﺪ ‪ IP‬ﺩﺭﻣﻲﻳﺎﺑﺪ ﻛـﻪ ﻣﻘـﺼﺪ )‪ (Y‬ﺭﻭﻱ ﺯﻳﺮﺷـﺒﻜﺔ ﺩﻳﮕـﺮﻱ ﺍﺳـﺖ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﻭﻟﻴﻦ ﻗﺪﻡ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﺴﺘﻪ ﺭﺍ ﺑﻪ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ‪ ،‬ﻛﻪ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﻣﺴﻴﺮﻳﺎﺏ ‪ 1‬ﺍﺳﺖ‪ ،‬ﺍﺭﺳﺎﻝ ﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﺍﻳﻦ ﺍﻣـﺮ‪،‬‬
‫‪ IP‬ﻭﺍﺣﺪ ﺩﻳﺘﺎﻱ ﺧﻮﺩ ﺭﺍ ﺑﺎ ﺍﻃﻼﻋـﺎﺕ ﻛﺎﻣـﻞ ﺁﺩﺭﺱﺩﻫـﻲ ﺑـﻪ ﻻﻳـﺔ ‪ LLC‬ﺩﺭ ﻗـﺴﻤﺖ ﭘـﺎﺋﻴﻦﺗـﺮ ﻣـﻲﺩﻫـﺪ‪ LLC .‬ﻭﺍﺣـﺪ ﺩﻳﺘـﺎﻱ‬
‫‪ LLC PDU‬ﺭﺍ ﺧﻠﻖ ﻛﺮﺩﻩ ﻛﻪ ﺩﺭ ﻣﺮﺣﻠﺔ ﺑﻌﺪ ﺑﻪ ﻻﻳﺔ ‪ MAC‬ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﻻﻳـﺔ ‪ MAC‬ﻳـﻚ ﺑـﺴﺘﺔ ‪ MAC‬ﻛـﻪ ﺳـﺮﺁﻳﻨﺪ ﺁﻥ‬
‫ﺷﺎﻣﻞ ﺁﺩﺭﺱ ﻣﺴﻴﺮﻳﺎﺏ ‪ 1‬ﺍﺳﺖ ﺭﺍ ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫ﺳﭙﺲ ﺑﺴﺘﻪ ﺍﺯ ﺩﺭﻭﻥ ﺷﺒﻜﺔ ‪ LAN‬ﺑﻪ ﻣﺴﻴﺮﻳﺎﺏ ‪ 1‬ﻣﻲﺭﻭﺩ‪ .‬ﻣﺴﻴﺮﻳﺎﺏ‪ ،‬ﺳﺮﺁﻳﻨﺪﻫﺎ ﻭ ﺗﻪﺁﻳﻨﺪﻫﺎﻱ ﺑﺴﺘﻪ ﻭ ‪ LLC‬ﺭﺍ ﻛﻨـﺪﻩ ﻭ‬
‫ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﺪ ﺗﺎ ﻣﻘﺼﺪ ﻧﻬﺎﺋﻲ ﺩﻳﺘﺎ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ‪ Y‬ﺍﺳﺖ ﺭﺍ ﺗﻌﻴﻴﻦ ﻛﻨﺪ‪ .‬ﻣﺴﻴﺮﻳﺎﺏ ﺩﺭ ﺍﻳﻨﺠﺎ ﺑﺎﻳﺴﺘﻲ ﻧـﺴﺒﺖ ﺑـﻪ‬
‫ﻣﺴﻴﺮﻳﺎﺑﻲ ﺗﺼﻤﻴﻢﮔﻴﺮﻱ ﻧﻤﺎﻳﺪ‪ .‬ﺩﻭ ﺍﻣﻜﺎﻥ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪:‬‬
‫‪ -۱‬ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ ﻣﻘﺼﺪ )‪ (Y‬ﻣﺴﺘﻘﻴﻤﺎﹰ ﺑﻪ ﻳﻜﻲ ﺍﺯ ﺯﻳﺮﺷﺒﻜﻪﻫﺎﺋﻲ ﻣﺘﺼﻞ ﺍﺳﺖ ﻛﻪ ﻣﺴﻴﺮﻳﺎﺏ ﻧﻴﺰ ﺩﺭ ﺁﻧﻬﺎ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪.‬‬
‫‪ -۲‬ﺑﺮﺍﻱ ﺭﺳﻴﺪﻥ ﺑﻪ ﻣﻘﺼﺪ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻣﺴﻴﺮﻳﺎﺏ ﺩﻳﮕﺮ ﻧﻴﺰ ﻋﺒﻮﺭ ﻛﺮﺩ‪.‬‬
‫ﺩﺭ ﺍﻳﻦ ﻣﺜﺎﻝ‪ ،‬ﺑﺴﺘﻪ ﺑﺎﻳﺴﺘﻲ ﻗﺒﻞ ﺍﺯ ﺭﺳﻴﺪﻥ ﺑﻪ ﻣﻘﺼﺪ ﺍﺯ ﻣﺴﻴﺮﻳﺎﺏ ‪ 2‬ﻋﺒﻮﺭ ﻛﻨﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﺴﻴﺮﻳﺎﺏ ‪ 1‬ﺑﺴﺘﺔ ‪ IP‬ﺭﺍ ﺍﺯ ﻃﺮﻳـﻖ‬
‫ﺷﺒﻜﺔ ﻣﻴﺎﻧﻲ ﺑﻪ ﻣﺴﻴﺮﻳﺎﺏ ‪ 2‬ﻣﻲﻓﺮﺳﺘﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻘﺼﻮﺩ‪ ،‬ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺁﻥ ﺷﺒﻜﻪ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻣﺜﻼﹰ ﺍﮔﺮ ﺷﺒﻜﺔ ﻣﻴـﺎﻧﻲ ﻳـﻚ‬
‫ﺷﺒﻜﺔ ‪ X.25‬ﺍﺳﺖ‪ ،‬ﻭﺍﺣﺪ ﺩﻳﺘﺎﻱ ‪ ،IP‬ﺑﻪ ﻫﻤﺮﺍﻩ ﺍﻃﻼﻋﺎﺕ ﺁﺩﺭﺱﺩﻫﻲ ﻣﺮﺗﺒﻂ ﺑﺮﺍﻱ ﺭﺳﻴﺪﻥ ﺑﻪ ﻣـﺴﻴﺮﻳﺎﺏ ‪ ،2‬ﺩﺭ ﻳـﻚ ﺑـﺴﺘﺔ ‪X.25‬‬
‫ﭘﻴﭽﻴﺪﻩ ﻣﻲﺷﻮﺩ‪ .‬ﻭﻗﺘﻲ ﺍﻳﻦ ﺑﺴﺘﻪ ﺑﻪ ﻣﺴﻴﺮﻳﺎﺏ ‪ 2‬ﻭﺍﺭﺩ ﻣﻲﺷﻮﺩ‪ ،‬ﺳﺮﺁﻳﻨﺪ ﺑﺴﺘﻪ ﻛﻨﺪﻩ ﻣﻲﺷﻮﺩ‪ .‬ﻣﺴﻴﺮﻳﺎﺏ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﺍﻳﻦ ﺑـﺴﺘﻪ‬
‫‪ IP‬ﺑﻪ ﻣﻘﺼﺪ‪ Y‬ﺍﺳﺖ ﻛﻪ ﻣﺴﺘﻘﻴﻤﺎﹰ ﺭﻭﻱ ﺯﻳﺮﺷﺒﻜﻪﺍﻱ ﻛﻪ ﻣﺴﻴﺮﻳﺎﺏ ﺑﻪ ﺁﻥ ﻣﺘﺼﻞ ﺍﺳﺖ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﻣﺴﻴﺮﻳﺎﺏ ﻳﻚ ﺑﺴﺘﻪ ﺑﺎ‬
‫ﺁﺩﺭﺱ ﻣﻘﺼﺪ‪ Y‬ﺭﺍ ﺧﻠﻖ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺭﻭﻱ ﺷﺒﻜﺔ ‪ LAN‬ﻣـﻲﻓﺮﺳـﺘﺪ‪ .‬ﻧﻬﺎﻳﺘـﺎﹰ ﺩﻳﺘـﺎ ﻭﺍﺭﺩ ‪ Y‬ﻣﻴﮕـﺮﺩﺩ ﻛـﻪ ﺩﺭ ﺁﻧﺠـﺎ ﺳـﺮﺁﻳﻨﺪﻫﺎ ﻭ‬
‫ﺗﻪﺁﻳﻨﺪﻫﺎﻱ ﺑﺴﺘﻪ‪ LLC ،‬ﻭ ﺍﻳﻨﺘﺮﻧﺖ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺍﺯ ﺁﻥ ﺟﺪﺍ ﺷﻮﻧﺪ‪.‬‬
‫ﺳﺮﻭﻳﺴﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ IP‬ﻓﺮﺍﻫﻢ ﻣﻲﺷﻮﺩ ﻳﻚ ﺳﺮﻭﻳﺲ ﻏﻴﺮﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ ﺍﺳﺖ‪ .‬ﻳﻌﻨﻲ ‪ IP‬ﺗﻀﻤﻴﻦ ﻧﻤﻲﻛﻨﺪ ﻛـﻪ ﺗﻤـﺎﻡ ﺩﻳﺘـﺎ ﺑـﻪ‬
‫ﻣﻘﺼﺪ ﺗﺤﻮﻳﻞ ﺷﺪﻩ ﻭ ﻳﺎ ﺍﻳﻨﻜﻪ ﺩﻳﺘﺎ ﺑﺎ ﻧﻈﻢ ﺍﻭﻟﻴﻪ ﻭﺍﺭﺩ ﻣﻘﺼﺪ ﮔﺮﺩﺩ‪ .‬ﺍﻳﻦ ﻭﻇﻴﻔﺔ ﻳﻚ ﻻﻳﺔ ﺑﺎﻻﺗﺮ‪ ،‬ﺩﺭ ﺍﻳﻦ ﻣـﻮﺭﺩ ‪ ،TCP‬ﺍﺳـﺖ ﻛـﻪ ﻫـﺮ‬
‫ﺧﻄﺎﺋﻲ ﺭﺍ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻭﺍﻗﻊ ﺷﻮﺩ ﺗﺼﺤﻴﺢ ﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﺍﻧﻌﻄﺎﻑﭘﺬﻳﺮﻱ ﺯﻳﺎﺩﻱ ﺭﺍ ﺑﻪ ﺍﺭﻣﻐﺎﻥ ﻣﻲﺁﻭﺭﺩ‪ .‬ﭼﻮﻥ ﺗﺤﻮﻳﻞ ﺑـﺴﺘﻪﻫـﺎ‬
‫ﺗﻀﻤﻴﻦ ﺷﺪﻩ ﻧﻴﺴﺖ‪ ،‬ﻧﻴﺎﺯﻱ ﺑﻪ ﺍﻋﺘﻤﺎﺩ ﺑﻪ ﺯﻳﺮﺷﺒﻜﻪﻫﺎ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﭘﺮﻭﺗﻜﻞ ﺑﺎ ﻫﺮ ﺗﺮﻛﻴﺒﻲ ﺍﺯ ﺍﻧﻮﺍﻉ ﺯﻳﺮﺷﺒﻜﻪﻫﺎ ﻛﺎﺭ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﭼﻮﻥ ﺗﻀﻤﻴﻨﻲ ﺑﺮﺍﻱ ﺗﺤﻮﻳﻞ ﻣﻨﻈﻢ ﺑﺴﺘﻪﻫﺎ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ‪ ،‬ﺑﺴﺘﻪﻫﺎﻱ ﭘﺸﺖ ﺳﺮﻫﻢ ﻣﻲﺗﻮﺍﻧﻨﺪ ﻣـﺴﻴﺮﻫﺎﻱ ﻣﺘﻔـﺎﻭﺗﻲ ﺭﺍ ﺍﺯ ﺩﺭﻭﻥ ﺍﻳﻨﺘﺮﻧـﺖ‬
‫ﻃﻲ ﻛﻨﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺑﻪ ﭘﺮﻭﺗﻜﻞ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺩﺭ ﺻﻮﺭﺕ ﻣﻮﺍﺟﻬﻪ ﺑﺎ ﺗﺮﺍﻛﻢ ﻭ ﻳﺎ ﺧﺮﺍﺑﻲ ﺩﺭ ﺷﺒﻜﻪ‪ ،‬ﻣﺴﻴﺮ ﺑﺴﺘﺔ ﺩﻳﺘﺎ ﺭﺍ ﻋﻮﺽ ﻛﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٤٤‬‬
‫‪IPv4‬‬
‫ﺑﺮﺍﻱ ﺩﻫﻪﻫﺎﻱ ﻣﺘﻮﺍﻟﻲ ﺳﻨﮓﺑﻨﺎﻱ ﻣﻌﻤﺎﺭﻱ ﭘﺮﻭﺗﻜﻞ ‪ ،TCP/IP‬ﭘﺮﻭﺗﻜﻞ ﺍﻳﻨﺘﺮﻧـﺖ )‪ (IP‬ﻧـﺴﺨﺔ ‪ ۴‬ﺑـﻮﺩﻩ ﺍﺳـﺖ‪ .‬ﺷـﻜﻞ ‪۶ -۱۴‬ﺍﻟـﻒ‬
‫ﻓﺮﻣﺖ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺣﺪﺍﻗﻞ ﺩﺍﺭﺍﻱ ‪ ۲۰‬ﺍﹸﻛﺘﺖ ﻭ ﻳﺎ ‪ ۱۶۰‬ﺑﻴﺖ ﺍﺳﺖ‪ .‬ﻣﻴﺪﺍﻥﻫﺎ ﺑﻘﺮﺍﺭ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫)‪ :Version (4 bits‬ﻧﺸﺎﻥﺩﻫﻨﺪﺓ ﺷﻤﺎﺭﺓ ﻧﺴﺨﺔ ﭘﺮﻭﺗﻜﻞ ﺍﺳﺖ ﺗﺎ ﺑﻌﺪﺍﹰ ﺑﺘﻮﺍﻥ ﻧﺴﺦ ﺗﻜﺎﻣﻞﻳﺎﻓﺘﻪﺗﺮ ﺭﺍ ﺑـﺎ ﺷـﻤﺎﺭﺓ ﺟﺪﻳـﺪﻱ‬ ‫•‬
‫ﻧﺸﺎﻥ ﺩﺍﺩ‪ .‬ﺩﺭ ﺍﻳﻨﺠﺎ ﺍﻧﺪﺍﺯﺓ ﺁﻥ ‪ ۴‬ﺍﺳﺖ‪.‬‬
‫)‪ :Internet Header Length (IHL) (4 bits‬ﻃﻮﻝ ﺳﺮﺁﻳﻨﺪ ﺑﺮ ﺣﺴﺐ ﻛﻠﻤﺎﺕ ‪ -۳۲‬ﺑﻴﺘﻲ ﺍﺳـﺖ‪ .‬ﺣـﺪﺍﻗﻞ ﺁﻥ ‪۵‬‬ ‫•‬
‫ﺍﺳﺖ ﻛﻪ ﻃﻮﻝ ﻣﻲﻧﻴﻤﻢ ﺳﺮﺁﻳﻨﺪ ﻳﻌﻨﻲ ‪ ۲۰‬ﺍﹸﻛﺘﺖ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪Bit:‬‬ ‫‪0‬‬ ‫‪4‬‬ ‫‪8‬‬ ‫‪14‬‬ ‫‪16‬‬ ‫‪19‬‬ ‫‪31‬‬

‫‪Version‬‬ ‫‪IHL‬‬ ‫‪DS‬‬ ‫‪ECN‬‬ ‫‪Total Length‬‬
‫‪Identification‬‬ ‫‪Flags‬‬ ‫‪Fragment Offset‬‬

‫‪20 octes‬‬
‫‪Time to Live‬‬ ‫‪Protocol‬‬ ‫‪Header Checksum‬‬
‫‪Source Address‬‬
‫‪Destination Address‬‬
‫‪Options + padding‬‬
‫)ﺍﻟﻒ( ﺳﺮﺁﻳﻨﺪ ‪IPv4‬‬
‫‪Bit:‬‬ ‫‪0‬‬ ‫‪4‬‬ ‫‪10‬‬ ‫‪12‬‬ ‫‪16‬‬ ‫‪24‬‬ ‫‪31‬‬

‫‪Version‬‬ ‫‪DS‬‬ ‫‪ECN‬‬ ‫‪Flow Label‬‬
‫‪Payload Length‬‬ ‫‪Next Header‬‬ ‫‪Hop Limit‬‬
‫‪Source Address‬‬
‫‪40 octes‬‬
‫‪Destination Address‬‬
‫‪DS = Differentiated services field‬‬ ‫)ﺏ( ﺳﺮﺁﻳﻨﺪ ‪IPv6‬‬ ‫ﺗﻮﺟﻪ ‪ :‬ﻣﻴﺪﺍﻥ ﻫﺸﺖ ﺑﻴﺘـﻲ ‪ DS/ECN‬ﻗـﺒﻼﹰ ﺩﺭ ﺳـﺮﺁﻳﻨﺪ‬
‫‪ECN = Explicit congestion‬‬
‫‪ IPv4‬ﺑﻪ ﻧـﺎﻡ ﻣﻴـﺪﺍﻥ ‪ Type of Service‬ﻭ ﺩﺭﺳـﺮﺁﻳﻨﺪ‬
‫‪notification field‬‬
‫‪ IPv6‬ﺑﻪ ﻧﺎﻡ ‪ Traffic Class‬ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﺪ‬
‫ﺷﻜﻞ ‪ ۶-۱۴‬ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ‪IP‬‬
‫‪٢٤٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫)‪ :DS/ECN (8 bits‬ﻗﺒﻞ ﺍﺯ ﻣﻌﺮﻓﻲ ﺳﺮﻭﻳﺲﻫﺎﻱ ﻣﺸﺘﻖ ﺷﺪﻩ‪ ،‬ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﺑﻨﺎﻡ ﻣﻴﺪﺍﻥ ‪ Type of Service‬ﺧﻮﺍﻧـﺪﻩ‬ ‫•‬
‫ﻣﻲﺷﺪ ﻭ ﻗﺎﺑﻠﻴﺖ ﺍﻋﺘﻤﺎﺩ‪ ،‬ﺍﻭﻟﻮﻳﺖ‪ ،‬ﺗﺄﺧﻴﺮ ﻭ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺗﻮﺍﻥ ﻋﻤﻠﻴﺎﺗﻲ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﻧﻤـﻮﺩ‪ .‬ﺍﻳـﻦ ﺗﻌﺒﻴـﺮ ﺍﻛﻨـﻮﻥ‬
‫ﻛﻨﺎﺭ ﮔﺬﺍﺷﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻭﻟﻴﻦ ‪ ۶‬ﺑﻴﺖ ﻣﻴﺪﺍﻥ ‪ TOS‬ﺍﻛﻨﻮﻥ ﺑﺎ ﻧﺎﻡ ﻣﻴﺪﺍﻥ ‪ (Differentiated Services) DS‬ﺧﻮﺍﻧـﺪﻩ‬
‫ﻣﻲﺷﻮﺩ‪ ۲ .‬ﺑﻴﺖ ﺑﺎﻗﻴﻤﺎﻧﺪﻩ ﺑﺮﺍﻱ ﻣﻴﺪﺍﻥ ‪ (Explicit Congestion Notification) ECN‬ﺭﺯﺭﻭ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫)‪ :Total Length (16 bits‬ﻃﻮﻝ ﻛﻞﹼ ﺑﺴﺘﺔ ‪ IP‬ﺑﺮ ﺣﺴﺐ ﺍﹸﻛﺘﺖ‪.‬‬ ‫•‬
‫)‪ :Identification (16 bits‬ﻳﻚ ﺷﻤﺎﺭﺓ ﺭﺩﻳﻒ ﻛﻪ ﺑﻪ ﻫﻤﺮﺍﻩ ﺁﺩﺭﺱ ﻣﻨﺒﻊ‪ ،‬ﺁﺩﺭﺱ ﻣﻘﺼﺪ ﻭ ﭘﺮﻭﺗﻜﻞ ﻛﺎﺭﺑﺮ ﻳﻚ ﺑﺴﺘﻪ‬ ‫•‬
‫ﺭﺍ ﺑﻄﻮﺭ ﻳﻜﺘﺎ ﻣﺸﺨﺺ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﻳﻦ ﻋﺪﺩ ﺑﺮﺍﻱ ﺁﺩﺭﺱ ﻣﻨﺒﻊ ﺑـﺴﺘﻪ‪ ،‬ﺁﺩﺭﺱ ﻣﻘـﺼﺪ ﺑـﺴﺘﻪ ﻭ ﭘﺮﻭﺗﻜـﻞ ﻛـﺎﺭﺑﺮ ﺩﺭ‬
‫ﺧﻼﻝ ﻣﺪﺗﻲ ﻛﻪ ﺑﺴﺘﻪ ﺩﺭ ﺍﻳﻨﺘﺮﻧﺖ ﻣﻲﻣﺎﻧﺪ ﺑﺎﻳﺴﺘﻲ ﻳﻜﺘﺎ ﺑﺎﺷﺪ‪.‬‬
‫)‪ :Flags (3 bits‬ﺩﺭ ﺣـﺎﻝ ﺣﺎﺿـﺮ ﺗﻨﻬـﺎ ﺩﻭ ﺑﻴـﺖ ﺁﻥ ﺗﻌﺮﻳـﻒ ﺷـﺪﻩ ﺍﺳـﺖ‪ .‬ﻭﻗﺘـﻲ ﺑـﺴﺘﻪﺍﻱ ﻗﻄﻌـﻪﻗﻄﻌـﻪ ﻣـﻲﮔـﺮﺩﺩ‬ ‫•‬
‫)‪ ،(fragmentation‬ﺑﻴــﺖ ‪ More‬ﻧــﺸﺎﻥ ﻣــﻲﺩﻫــﺪ ﻛــﻪ ﺁﻳــﺎ ﺍﻳــﻦ ﺑــﺴﺘﻪ ﺁﺧــﺮﻳﻦ ﻗﻄﻌــﺔ ﺑــﺴﺘﺔ ﺍﻭﻟﻴــﻪ ﺍﺳــﺖ‪ .‬ﺑﻴــﺖ‬
‫‪ Don't Fragment‬ﺍﮔﺮ ‪ set‬ﺑﺎﺷﺪ ﺑﻪ ﻣﻔﻬﻮﻡ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﺑﺴﺘﻪ ﻧﺒﺎﻳﺴﺘﻲ ﻗﻄﻌﻪﻗﻄﻌﻪ ﮔﺮﺩﺩ‪ .‬ﺍﻳﻦ ﺑﻴﺖ ﺯﻣﺎﻧﻲ ﻣﻤﻜـﻦ‬
‫ﺍﺳﺖ ﻣﻔﻴﺪ ﻭﺍﻗﻊ ﺷﻮﺩ ﻛﻪ ﺑﺪﺍﻧﻴﻢ ﻣﻘﺼﺪ ﻗﺎﺑﻠﻴﺖ ﺩﻭﺑﺎﺭﻩ ﺳﺮﻫﻢﻛﺮﺩﻥ )‪ (reassembly‬ﻗﻄﻌﻪﻫﺎ ﺭﺍ ﻧﺨﻮﺍﻫﺪ ﺩﺍﺷﺖ‪ .‬ﺍﺯ ﻃﺮﻓﻲ‬
‫ﻭﻗﺘﻲ ﺍﻳﻦ ﺑﻴﺖ ‪ set‬ﺑﺎﺷﺪ‪ ،‬ﺍﮔﺮ ﺍﻧﺪﺍﺯﺓ ﺑﺴﺘﻪ ﺍﺯ ﺍﻧﺪﺍﺯﺓ ﻣﺎﻛﺰﻳﻤﻢ ﻣﺠﺎﺯ ﺩﺭ ﺯﻳﺮﺷﺒﻜﻪﻫﺎﻱ ﻣﺴﻴﺮ ﺑﻴـﺸﺘﺮ ﺷـﻮﺩ‪ ،‬ﺑـﺴﺘﻪ ﻣﻌـﺪﻭﻡ‬
‫ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﮔﺮ ﺍﻳﻦ ﺑﻴﺖ ‪ set‬ﺍﺳﺖ‪ ،‬ﻋﺎﻗﻼﻧﻪﺗﺮ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﻨﺒﻊ ﺍﺳـﺘﻔﺎﺩﻩ ﺷـﻮﺩ ﺗـﺎ ﺍﺯ ﻋﺒـﻮﺭ ﺑـﺴﺘﻪ ﺍﺯ‬
‫ﺯﻳﺮﺷﺒﻜﻪﻫﺎﺋﻲ ﻛﻪ ﺍﻧﺪﺍﺯﺓ ﻣﺎﻛﺰﻳﻤﻢ ﺑﺴﺘﻪ ﺩﺭ ﺁﻧﻬﺎ ﻛﻮﭼﻚ ﺍﺳﺖ ﺍﺟﺘﻨﺎﺏ ﮔﺮﺩﺩ‪.‬‬
‫)‪ :Fragment Offset (13 bits‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺍﻳﻦ ﻗﻄﻌﻪ ﺑﻪ ﻛﺠﺎﻱ ﺑﺴﺘﺔ ﺍﺻﻠﻲ ﺗﻌﻠﻖ ﺩﺍﺭﺩ ﻭ ﺍﻧﺪﺍﺯﺓ ﺁﻥ ﺑﺮ ﺣﺴﺐ‬ ‫•‬
‫ﻭﺍﺣﺪﻫﺎﻱ ‪ -۶۴‬ﺑﻴﺘﻲ ﻣﺸﺨﺺ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻻﺯﻡ ﻣﻲﺩﺍﺭﺩ ﻛﻪ ﻗﻄﻌﻪﻫﺎ ﺑﺠﺰ ﻗﻄﻌﺔ ﺁﺧﺮ ﺑﺎﻳﺴﺘﻲ ﺩﺍﺭﺍﻱ ﻣﻴـﺪﺍﻥ ﺩﻳﺘـﺎﺋﻲ‬
‫ﺑﺎﺷﻨﺪ ﻛﻪ ﻃﻮﻝ ﺁﻥ ﻣﻀﺮﺑﻲ ﺍﺯ ‪ ۶۴‬ﺑﻴﺖ ﺑﺎﺷﺪ‪.‬‬
‫)‪ :Time to Live (8 bits‬ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﺍﻳﻦ ﺑﺴﺘﻪ ﺑﺮﺍﻱ ﭼﻪ ﻣﺪﺗﻲ‪ ،‬ﺑﺮ ﺣﺴﺐ ﺛﺎﻧﻴﻪ‪ ،‬ﻣﺠﺎﺯ ﺑﻪ ﻣﺎﻧـﺪﻥ ﺩﺭ ﺍﻳﻨﺘﺮﻧـﺖ‬ ‫•‬
‫ﺍﺳﺖ‪ .‬ﻫﺮ ﻣﺴﻴﺮﻳﺎﺑﻲ ﻛﻪ ﻳﻚ ﺑﺴﺘﻪ ﺭﺍ ﭘﺮﺩﺍﺯﺵ ﻣﻲﻛﻨﺪ ﺑﺎﻳﺴﺘﻲ ‪ TTL‬ﺭﺍ ﺣﺪﺍﻗﻞ ‪ 1‬ﻭﺍﺣﺪ ﻛﺎﻫﺶ ﺩﻫﺪ‪ .‬ﺑﻨـﺎﺑﺮﺍﻳﻦ ‪ TTL‬ﺗـﺎ‬
‫ﺣﺪﻭﺩﻱ ﺷﺒﻴﻪ ﺷﻤﺎﺭﺵﮔﺮ ﭘﺮﺵﻫﺎ )‪ (hops‬ﺩﺭ ﻣﺴﻴﺮ ﺍﺳﺖ‪.‬‬
‫)‪ :Protocol (8 bits‬ﭘﺮﻭﺗﻜﻞ ﻻﻳﺔ ﺑﺎﻻﺗﺮﻛﻪ ﺑﺎﻳﺴﺘﻲ ﻣﻴﺪﺍﻥ ﺩﻳﺘﺎ ﺩﺭ ﻣﻘﺼﺪ ﺭﺍ ﺗﺤﻮﻳﻞ ﺑﮕﻴﺮﺩ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﻳـﻦ‬ ‫•‬
‫ﻣﻴﺪﺍﻥ ﻧﻮﻉ ﺳﺮﺁﻳﻨﺪ ﺑﻌﺪﻱ ﺩﺭ ﺑﺴﺘﻪ‪ ،‬ﺑﻌﺪ ﺍﺯ ﺳﺮﺁﻳﻨﺪ ‪ ،IP‬ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪.‬‬
‫)‪ :Header Checksum (16 bits‬ﻳﻚ ﻛﹸﺪ ﺗﺸﺨﻴﺺ ﺧﻄﺎﺳﺖ ﻛﻪ ﺗﻨﻬﺎ ﺑﻪ ﺳﺮﺁﻳﻨﺪ ﺍﻋﻤﺎﻝ ﻣﻲﮔﺮﺩﺩ‪ .‬ﭼـﻮﻥ ﺑﺮﺧـﻲ ﺍﺯ‬ ‫•‬
‫ﻣﻴﺪﺍﻥﻫﺎﻱ ﺳﺮﺁﻳﻨﺪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﺯﻣﺎﻥ ﺗﺮﺍﻧﺰﻳﺖ ﺗﻐﻴﻴﺮ ﻛﻨﻨﺪ )ﻣﺜﻼﹰ ‪ Time to Live‬ﻳﺎ ﻣﻴﺪﺍﻥﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺳِﮕﻤﻨﺖ(‪،‬‬
‫ﺍﻳﻦ ﻛﹸﺪ ﺩﺭ ﻫﺮ ﻣﺴﻴﺮﻳﺎﺏ ﻛﻨﺘﺮﻝ ﻭ ﻣﺠﺪﺩﺍﹰ ﻣﺤﺎﺳﺒﻪ ﻣﻲﮔﺮﺩﺩ‪ .‬ﻣﻴﺪﺍﻥ ‪ checksum‬ﻳﻚ ﺟﻤـﻊ ﻣـﺘﻤﻢ ﻳـﻚ ‪ -۱۶‬ﺑﻴﺘـﻲ ﺍﺯ‬
‫ﺗﻤﺎﻡ ﻛﻠﻤﺎﺕ ‪ -۱۶‬ﺑﻴﺘﻲ ﺳﺮﺁﻳﻨﺪ ﺍﺳﺖ‪ .‬ﺩﺭ ﻣﺤﺎﺳﺒﺎﺕ‪ ،‬ﻣﻴﺪﺍﻥ ‪ checksum‬ﺩﺭ ﺍﺑﺘﺪﺍ ﺑﺮﺍﺑﺮ ﺻﻔﺮ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫)‪ :Source Address (32 bits‬ﺑﻴﺖﻫﺎﻱ ﻛﹸﺪ ﺷﺪﻩﺍﻱ ﺍﺳﺖ ﻛﻪ ﺑﻤﻨﻈﻮﺭ ﺗﻌﻴﻴﻦ ﻳﻚ ﺷﺒﻜﻪ ﻭ ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ ﻣﺘﺼﻞ ﺑـﻪ‬ ‫•‬
‫ﺁﻥ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ )‪ ۷‬ﻭ ‪ ۲۴‬ﺑﻴﺖ‪ ۱۴ ،‬ﻭ ‪ ۱۶‬ﺑﻴﺖ ﻳﺎ ‪ ۲۱‬ﻭ ‪ ۸‬ﺑﻴﺖ(‪.‬‬
‫)‪ :Destination Address (32 bits‬ﻫﻤﺎﻥ ﻣﺸﺨﺼﻪﻫﺎﻱ ﺁﺩﺭﺱ ﻣﻨﺒﻊ ﺭﺍ ﺩﺍﺭﺍﺳﺖ‪.‬‬ ‫•‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٤٦‬‬
‫)‪ :Options (variable‬ﻣﻘﻮﻟﻪﻫﺎﻱ ﺍﺧﺘﻴﺎﺭﻱ ﺗﻘﺎﺿﺎﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮ ﺍﺭﺳﺎﻝﻛﻨﻨﺪﻩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫـﺪ‪ .‬ﺍﻳﻨﻬـﺎ ﻣـﻲﺗﻮﺍﻧﻨـﺪ‬ ‫•‬
‫ﺷﺎﻣﻞ ﺑﺮﭼﺴﺐ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﻨﺒﻊ‪ ،‬ﺛﺒﺖ ﻣﺴﻴﺮﻳﺎﺑﻲ ﻭ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﺑﺎﺷﻨﺪ‪.‬‬
‫)‪ :Padding (variable‬ﺑﺮﺍﻱ ﺗﻜﻤﻴﻞ ﻃﻮﻝ ﺳﺮﺁﻳﻨﺪ ﺑﺴﺘﻪ ﺑﻪ ﻣﻀﺮﺑﻲ ﺍﺯ ‪ ۳۲‬ﺑﻴﺖ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪.‬‬ ‫•‬
‫‪IPv6‬‬
‫ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۵‬ﻣـﻴﻼﺩﻱ‪ (Internet Engineering Task Force) IETF ،‬ﻛـﻪ ﺍﺳـﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﭘﺮﻭﺗﻜﻠـﻲ ﺍﻳﻨﺘﺮﻧـﺖ ﺭﺍ ﻓـﺮﺍﻫﻢ‬
‫ﻣﻲﺁﻭﺭﺩ‪ ،‬ﻣﺸﺨﺼﻪﺍﻱ ﺑﺮﺍﻱ ‪ IP‬ﻧﺴﻞ ﺑﻌﺪ ﺭﺍ ﺍﻧﺘﺸﺎﺭ ﺩﺍﺩ ﻛﻪ ﺩﺭ ﺁﻥ ﺯﻣﺎﻥ ﺑـﻪ ‪ IPng‬ﻣﻌـﺮﻭﻑ ﺷـﺪ‪ .‬ﺍﻳـﻦ ﻣﺸﺨـﺼﻪ ﺩﺭ ﺳـﺎﻝ ‪۱۹۹۶‬‬
‫ﺑﺼﻮﺭﺕ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺩﺭﺁﻣﺪﻩ ﻭ ‪ IPv6‬ﻧﺎﻡ ﮔﺮﻓﺖ‪ IPv6 .‬ﻧﺴﺒﺖ ﺑﻪ ‪ IP‬ﻓﻌﻠﻲ )‪ ،(IPv4‬ﺗﻌـﺪﺍﺩﻱ ﻋﻤﻠﻴـﺎﺕ ﺍﺿـﺎﻓﻲ ﺩﺭ ﺑـﺮ ﺩﺍﺭﺩ ﻛـﻪ‬
‫ﺑﻤﻨﻈﻮﺭ ﻛﺎﺭﺁﺋﻲ ﺑﻴﺸﺘﺮ ﺩﺭ ﺷﺒﻜﻪﻫﺎﻱ ﭘﺮﺳﺮﻋﺖ ﺍﻣﺮﻭﺯﻱ ﻭ ﺍﺧﺘﻼﻁ ﺟﺮﻳﺎﻥﻫﺎﻱ ﺩﻳﺘﺎ ﻛـﻪ ﺷـﺎﻣﻞ ﮔﺮﺍﻓﻴـﻚ ﻭ ﻭﻳـﺪﺋﻮ ﺑـﻮﺩﻩ ﻭ ﭘﻴﻮﺳـﺘﻪ‬
‫ﺧﻮﺍﺳﺘﺎﺭﺍﻥ ﺑﻴﺸﺘﺮﻱ ﺩﺍﺭﺩ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻭﻟﻲ ﺍﻧﮕﻴﺰﺓ ﺍﺻﻠﻲ ﺩﺭ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻥ ﭘﺮﻭﺗﻜﻞ ﺟﺪﻳﺪ‪ ،‬ﻧﻴﺎﺯ ﺑـﻪ ﺁﺩﺭﺱﻫـﺎﻱ ﺑﻴـﺸﺘﺮ ﺑـﻮﺩ‪.‬‬
‫‪ IPv4‬ﺍﺯ ﻳﻚ ﺁﺩﺭﺱ ‪ -۳۲‬ﺑﻴﺘﻲ ﺑﺮﺍﻱ ﻣﺸﺨﺺ ﻛﺮﺩﻥ ﻣﻨﺒﻊ ﻭ ﻣﻘﺼﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺑـﺎ ﺭﺷـﺪ ﺍﻧﻔﺠـﺎﺭﻱ ﺍﻳﻨﺘﺮﻧـﺖ ﻭ ﺷـﺒﻜﻪﻫـﺎﻱ‬
‫ﺧﺼﻮﺻﻲ ﻣﺘﺼﻞ ﺑﻪ ﺁﻥ‪ ،‬ﺍﻳﻦ ﻃﻮﻝ ﺁﺩﺭﺱ ﺑﺮﺍﻱ ﺑﺮﺁﻭﺭﺩﻥ ﻧﻴﺎﺯﻫﺎﻱ ﺗﻤﺎﻡ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻧﻴﺎﺯﻣﻨﺪ ﺑﻪ ﺁﺩﺭﺱ ﻛﺎﻓﻲ ﻧﻴﺴﺖ‪ .‬ﻫﻤـﺎﻧﻄﻮﺭ ﻛـﻪ‬
‫ﺷﻜﻞ ‪۶-۱۴‬ﺏ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ IPv6 ،‬ﺷﺎﻣﻞ ﺁﺩﺭﺱﻫﺎﻱ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﻣﻨﺒﻊ ﻭ ﻣﻘﺼﺪ ﺩﺭ ﻣﻴﺪﺍﻥ ﺁﺩﺭﺱ ﺧﻮﺩ ﺍﺳﺖ‪ .‬ﺩﺭ ﻧﻬﺎﻳـﺖ ﺗﻤـﺎﻡ‬
‫ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎﻱ ‪ TCP/IP‬ﺍﺯ ‪ IP‬ﻛﻨﻮﻧﻲ ﺑﻪ ﺳﻤﺖ ‪ IPv6‬ﺳﻮﻕ ﺩﺍﺩﻩ ﺧﻮﺍﻫﻨﺪ ﺷﺪ ﻛﻪ ﺍﻟﺒﺘﻪ ﺍﻳﻦ ﺍﻣﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺳﺎﻝﻫﺎ ﻭ ﺑﻠﻜـﻪ ﺩﻩﻫـﺎ‬
‫ﺳﺎﻝ ﺑﻄﻮﻝ ﺍﻧﺠﺎﻣﺪ‪.‬‬
‫ﺳﺮﺁﻳﻨﺪ ‪IPv6‬‬
‫ﺳﺮﺁﻳﻨﺪ ‪ IPv6‬ﺩﺍﺭﺍﻱ ﻃﻮﻝ ﺛﺎﺑﺖ ‪ ۴۰‬ﺍﹸﻛﺘﺖ ﺍﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ )ﺷﻜﻞ ‪۶-۱۴‬ﺏ(‪:‬‬
‫)‪ :Version (4 bits‬ﺷﻤﺎﺭﺓ ﻧﺴﺨﺔ ﭘﺮﻭﺗﻜﻞ ﺍﻳﻨﺘﺮﻧﺖ‪ .‬ﺍﻳﻦ ﺍﻧﺪﺍﺯﻩ ﺑﺮﺍﺑﺮ ‪ ۶‬ﺍﺳﺖ‪.‬‬ ‫•‬
‫)‪ :DS/ECN (8 bits‬ﻗﺒﻞ ﺍﺯ ﻣﻌﺮﻓﻲ ﺳﺮﻭﻳﺲﻫﺎﻱ ﻣﺸﺘﻖ ﺷﺪﻩ‪ ،‬ﺍﻳـﻦ ﻣﻴـﺪﺍﻥ ﺑﻨـﺎﻡ ﻣﻴـﺪﺍﻥ ‪ Traffic Class‬ﺧﻮﺍﻧـﺪﻩ‬ ‫•‬
‫ﻣﻲﺷﺪ ﻭ ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﺓ ﮔﺮﻩﻫﺎﻱ ﺁﻏﺎﺯﮔﺮ ﻭ‪ /‬ﻳﺎ ﻣﺴﻴﺮﻳﺎﺏﻫﺎﻱ ﺟﻠﻮﺑﺮﻧﺪﻩ ﺑﻤﻨﻈﻮﺭ ﺗﺸﺨﻴﺺ ﻭ ﺗﻤﺎﻳﺰ ﺑﻴﻦ ﻛﻼﺱﻫﺎﻱ ﻣﺨﺘﻠـﻒ‬
‫ﻭ ﻳﺎ ﺍﻭﻟﻮﻳﺖﻫـﺎﻱ ﻣﺨﺘﻠـﻒ ﺑـﺴﺘﻪﻫـﺎﻱ ‪ IPv6‬ﺭﺯﺭﻭ ﺷـﺪﻩ ﺑـﻮﺩ‪ .‬ﺍﻭﻟـﻴﻦ ‪ ۶‬ﺑﻴـﺖ ﻣﻴـﺪﺍﻥ ‪ Traffic Class‬ﺍﻛﻨـﻮﻥ ﺑﻨـﺎﻡ‬
‫ﻣﻴـــﺪﺍﻥ ‪ (Differentiated Services) DS‬ﺧﻮﺍﻧـــﺪﻩ ﻣـــﻲﺷـــﻮﺩ‪ .‬ﺩﻭ ﺑﻴـــﺖ ﺑﺎﻗﻴﻤﺎﻧـــﺪﻩ ﺑـــﺮﺍﻱ ﻣﻴـــﺪﺍﻥ‬
‫‪ (Explicit Congestion Notification) ECN‬ﺭﺯﺭﻭ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫)‪ :Flow Label (20 bits‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﺘﻮﺳﻂ ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ ﺁﻥ ﺑﺴﺘﻪﻫﺎﺋﻲ ﺑﻜﺎﺭ ﺭﻭﺩﻛﻪ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺧﺎﺻﻲ ﺭﺍ‬ ‫•‬
‫ﺍﺯ ﻣﺴﻴﺮﻳﺎﺏﻫﺎﻱ ﺑﻴﻦ ﺭﺍﻩ ﻃﻠﺐ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺗﻌﻴﻴﻦ ﺑﺮﭼﺴﺐ ﺑﺮﺍﻱ ﺟﺮﻳﺎﻥ ﺗﺮﺍﻓﻴﻚ ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﺭﺯﺭﻭ ﻛﺮﺩﻥ ﻣﻨﺒﻊ ﻭ ﭘـﺮﺩﺍﺯﺵ‬
‫ﺑﻼﺩﺭﻧﮓ ﺗﺮﺍﻓﻴﻚ ﻣﺆﺛﺮ ﺑﺎﺷﺪ‪.‬‬
‫)‪ :Payload Length (16 bits‬ﺍﻧﺪﺍﺯﺓ ﺑﻘﻴﺔ ﺑﺴﺘﻪ ‪ IPv6‬ﺑﺮ ﺣﺴﺐ ﺍﹸﻛﺘﺖ ﻛﻪ ﭘﺲ ﺍﺯ ﺳﺮﺁﻳﻨﺪ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺑﻌﺒـﺎﺭﺕ‬ ‫•‬
‫ﺩﻳﮕﺮ‪ ،‬ﺍﻳﻦ ﻃﻮﻝ ﻛﻞ ﺗﻤﺎﻡ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ ﺑﺎﺿﺎﻓﺔ ﻃﻮﻝ ‪ PDU‬ﺳﻄﺢ ﺣﻤﻞﻭﻧﻘﻞ ﺍﺳﺖ‪.‬‬
‫)‪ :Next Header (8 bits‬ﻧﻮﻉ ﺳﺮﺁﻳﻨﺪﻱ ﻛﻪ ﺑﻼﻓﺎﺻﻠﻪ ﺑﻌﺪ ﺍﺯ ﺳﺮﺁﻳﻨﺪ ‪ IPv6‬ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﻳـﺎ‬ ‫•‬
‫ﻳﻚ ﺳﺮﺁﻳﻨﺪ ﺍﻟﺤﺎﻗﻲ ‪ IPv6‬ﻭ ﻳﺎ ﻳﻚ ﺳﺮﺁﻳﻨﺪ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﻣﺎﻧﻨﺪ ‪ TCP‬ﻭ ﻳﺎ ‪ UDP‬ﺍﺳﺖ‪.‬‬
‫‪٢٤٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫)‪ :Hop Limit (8 bits‬ﺗﻌﺪﺍﺩ ﺑﺎﻗﻴﻤﺎﻧﺪﺓ ﭘﺮﺵﻫﺎﻱ ﻣﺠﺎﺯ )‪ (hops‬ﺍﻳﻦ ﺑﺴﺘﻪ ﺍﺳﺖ‪ .‬ﺣﺪ ﭘﺮﺵ ﺑﺘﻮﺳﻂ ﻣﻨﺒـﻊ ﺑـﻪ ﻳـﻚ‬ ‫•‬
‫ﻣﻘﺪﺍﺭ ﻣﺎﻛﺰﻳﻤﻢ ﺩﻟﺨﻮﺍﻩ ﺗﻨﻈﻴﻢ ﺷﺪﻩ ﻭ ﭘﺲ ﺍﺯ ﻋﺒﻮﺭ ﺍﺯ ﻫﺮ ﮔﺮﻩ ﻛﻪ ﺑﺴﺘﻪ ﺭﺍ ﺟﻠﻮ ﻣﻲﺭﺍﻧﺪ‪ ،‬ﻳﻚ ﻭﺍﺣﺪ ﻛﻢ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﺻﻮﺭﺗﻲ‬
‫ﻛﻪ ‪ Hop Limit‬ﺑﻪ ﺻﻔﺮ ﺗﻘﻠﻴﻞ ﻳﺎﺑﺪ‪ ،‬ﺍﻳﻦ ﺑﺴﺘﻪ ﻣﻌﺪﻭﻡ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫)‪ :Source Address (128 bits‬ﺁﺩﺭﺱ ﻣﻨﺒﻊ ﺁﻏﺎﺯﮔﺮ ﺍﻳﻦ ﺑﺴﺘﻪ ﺍﺳﺖ‪.‬‬ ‫•‬
‫)‪ :Destination Address (128 bits‬ﺁﺩﺭﺱ ﮔﻴﺮﻧﺪﺓ ﺑﺴﺘﺔ ﻣﻮﺭﺩ ﻧﻈﺮ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﻳﻚ ﺳـﺮﺁﻳﻨﺪ ﺍﻟﺤـﺎﻗﻲ ‪Routing‬‬ ‫•‬
‫ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺍﻳﻦ ﺁﺩﺭﺱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺁﺩﺭﺱ ﻣﻘﺼﺪ ﻧﻬﺎﺋﻲ ﻧﺒﺎﺷﺪ‪.‬‬
‫ﺍﮔﺮﭼﻪ ﺳﺮﺁﻳﻨﺪ ‪ IPv6‬ﻃﻮﻻﻧﻲﺗﺮ ﺍﺯ ﺑﺨﺶ ﺍﺟﺒﺎﺭﻱ ﺳـﺮﺁﻳﻨﺪ ‪ IPv4‬ﺍﺳـﺖ )‪ ۴۰‬ﺍﹸﻛﺘـﺖ ﺩﺭ ﺑﺮﺍﺑـﺮ‪ ۲۰‬ﺍﹸﻛﺘـﺖ(‪ ،‬ﻭﻟـﻲ ﺩﺍﺭﺍﻱ‬
‫ﻣﻴﺪﺍﻥﻫﺎﻱ ﻛﻤﺘﺮﻱ ﺍﺳﺖ )‪ ۸‬ﺩﺭ ﺑﺮﺍﺑﺮ ‪ .(۱۲‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﺴﻴﺮﻳﺎﺏﻫﺎ ﺑﺮﺍﻱ ﻫﺮ ﺳﺮﺁﻳﻨﺪ ﭘﺮﺩﺍﺯﺵ ﻛﻤﺘﺮﻱ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﻨـﺪ ﻛـﻪ ﺍﻳـﻦ ﺍﻣـﺮ‬
‫ﻣﺴﻴﺮﻳﺎﺑﻲ ﺭﺍ ﺳﺮﻋﺖ ﻣﻲﺑﺨﺸﺪ‪.‬‬
‫ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ ‪IPv6‬‬

‫ﻳﻚ ﺑﺴﺘﺔ ‪ ،IPv6‬ﺷﺎﻣﻞ ﺳﺮﺁﻳﻨﺪ ‪ IPv6‬ﻛﻪ ﻫﻢ ﺍﻛﻨﻮﻥ ﺗﺸﺮﻳﺢ ﮔﺮﺩﻳﺪ‪ ،‬ﺑﻌﻼﻭﺓ ﻫﻴﭻ ﻳﺎ ﭼﻨـﺪ ﺳـﺮﺁﻳﻨﺪ ﺍﻟﺤـﺎﻗﻲ ﺩﻳﮕـﺮ ﺍﺳـﺖ‪.‬‬
‫ﺧﺎﺭﺝ ﺍﺯ ‪ ،IPSec‬ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ ﺯﻳﺮ ﺗﻌﺮﻳﻒ ﺷﺪﻩﺍﻧﺪ‪:‬‬
‫‪ :Hop-by-Hop Options Header‬ﻣـﻮﺍﺭﺩ ﺍﺧﺘﻴـﺎﺭﻱ ﺑﺨـﺼﻮﺻﻲ ﺭﺍ ﺗﻌﺮﻳـﻒ ﻣـﻲﻛﻨـﺪ ﻛـﻪ ﺑﺘﻮﺳـﻂ ﭘـﺮﺩﺍﺯﺵ‬ ‫•‬
‫‪ hop-by-hop‬ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪.‬‬
‫‪ :Routing Header‬ﻣﺴﻴﺮﻳﺎﺑﻲ ﮔﺴﺘﺮﺩﻩﺗﺮﻱ ﻫﻤﺎﻧﻨﺪ ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﻨﺒﻊ ﺩﺭ ‪ IPv4‬ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪.‬‬ ‫•‬
‫‪ :Fragment Header‬ﺍﻃﻼﻋﺎﺕ ‪ fragmentation‬ﻭ ‪ reassembly‬ﺭﺍ ﺷﺎﻣﻞ ﻣﻲﺷﻮﺩ‪.‬‬ ‫•‬
‫‪ :Authentication Header‬ﻣﻜﺎﻧﻴﺴﻢ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﺳﻨﺠﺶ ﺻﺤﺖ ﺑﺴﺘﻪ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫‪ :Encapsulating Security Payload Header‬ﺧﺼﻮﺻﻲ ﻣﺎﻧﺪﻥ ﺑﺴﺘﻪ ﺭﺍ ﺗﺄﻣﻴﻦ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫‪ :Destination Options Header‬ﺍﻃﻼﻋﺎﺕ ﺍﺧﺘﻴﺎﺭﻱ ﻛﻪ ﺑﺘﻮﺳﻂ ﮔﺮﺓ ﻣﻘﺼﺪ ﻣﻮﺭﺩ ﻣﺪﺍﻗﹼﻪ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﺭﺍ ﻓﺮﺍﻫﻢ‬ ‫•‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ‪ IPv6‬ﺗﻮﺻﻴﻪ ﻣﻲﻛﻨﺪ ﻛﻪ ﻭﻗﺘﻲ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ ﻣﺘﻌﺪﺩﻱ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣـﻲﺷـﻮﻧﺪ‪ ،‬ﺳـﺮﺁﻳﻨﺪﻫﺎﻱ ‪ IPv6‬ﺩﺍﺭﺍﻱ‬
‫ﻧﻈﻢ ﺯﻳﺮ ﺑﺎﺷﻨﺪ‪:‬‬
‫‪ -۱‬ﺳﺮﺁﻳﻨﺪ ‪ :IPv6‬ﺍﺟﺒﺎﺭﻱ ﻭ ﻫﻤﻴﺸﻪ ﺩﺭ ﺍﺑﺘﺪﺍ‬

‫‪ -۲‬ﺳﺮﺁﻳﻨﺪ ‪Hop-by-Hop Options‬‬
‫‪ -۳‬ﺳــﺮﺁﻳﻨﺪ ‪ :Destination Options‬ﺑــﺮﺍﻱ ﻣــﻮﺍﺭﺩ ﺍﺧﺘﻴــﺎﺭﻱ ﻛـﻪ ﺑﺎﻳــﺴﺘﻲ ﺑﺘﻮﺳــﻂ ﺍﻭﻟــﻴﻦ ﻣﻘــﺼﺪﻱ ﻛــﻪ ﺩﺭ ﻣﻴــﺪﺍﻥ‬
‫‪ IPv6 Destination Address‬ﻣﺸﺨﺺ ﺷﺪﻩ ﻭ ﻣﻘﺼﺪﻫﺎﺋﻲ ﻛﻪ ﺑﻌـﺪ ﺍﺯ ﺁﻥ ﺩﺭ ﺳـﺮﺁﻳﻨﺪ ‪ Routing‬ﺁﻣـﺪﻩ ﺍﺳـﺖ‪،‬‬
‫ﭘﺮﺩﺍﺯﺵ ﺷﻮﺩ‬
‫‪ -۴‬ﺳﺮﺁﻳﻨﺪ ‪Routing‬‬
‫‪ -۵‬ﺳﺮﺁﻳﻨﺪ ‪Fragment‬‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٤٨‬‬
‫‪ -۶‬ﺳﺮﺁﻳﻨﺪ ‪Authentication‬‬
‫‪ -۷‬ﺳﺮﺁﻳﻨﺪ ‪Encapsulating Security Payload‬‬
‫‪ -۸‬ﺳﺮﺁﻳﻨﺪ ‪ :Destination Options‬ﺑﺮﺍﻱ ﻣﻮﺍﺭﺩ ﺍﺧﺘﻴﺎﺭﻱ ﻛﻪ ﺗﻨﻬﺎ ﺑﺘﻮﺳﻂ ﻣﻘﺼﺪ ﺍﻧﺘﻬﺎﺋﻲ ﺑﺴﺘﻪ ﭘﺮﺩﺍﺯﺵ ﻣﻲﺷﻮﺩ‬
‫ﺷﻜﻞ ‪ ۶-۱۵‬ﻣﺜﺎﻟﻲ ﺍﺯ ﻳﻚ ﺑﺴﺘﺔ ‪ IP‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺷﺎﻣﻞ ﻣﻮﺭﺩﻱ ﺍﺯ ﻫﺮ ﺳﺮﺁﻳﻨﺪ ﻏﻴﺮﺍﻣﻨﻴﺘﻲ ﺍﺳـﺖ‪ .‬ﺗﻮﺟـﻪ ﻛﻨﻴـﺪ ﻛـﻪ‬
‫ﺳﺮﺁﻳﻨﺪ ‪ IPv6‬ﻭ ﻫﺮ ﺳﺮﺁﻳﻨﺪ ﺍﻟﺤﺎﻗﻲ‪ ،‬ﺩﺍﺭﺍﻱ ﻳﻚ ﻣﻴﺪﺍﻥ ‪ Next Header‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﻧﻮﻉ ﺳﺮﺁﻳﻨﺪﻱ ﺭﺍ ﻛﻪ ﺑﻼﻓﺎﺻﻠﻪ ﺑﻌـﺪ ﺍﺯ‬
‫ﺁﻥ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ ،‬ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﻏﻴﺮ ﺍﻳﻨﺼﻮﺭﺕ ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﺷﺎﻣﻞ ﺷﻨﺎﺳﺔ ﭘﺮﻭﺗﻜﻞ ﻻﻳﺔ ﺑﺎﻻﺗﺮﻱ ﺍﺳﺖ ﻛﻪ ﺍﺯ ‪ IPv6‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨـﺪ‪.‬‬
‫ﺩﺭ ﺷﻜﻞ‪ ،‬ﭘﺮﻭﺗﻜﻞ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ‪ TCP‬ﺑﻮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺩﻳﺘﺎﻱ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﻛﻪ ﺑﺘﻮﺳﻂ ﺑﺴﺘﺔ ‪ IPv6‬ﺣﻤﻞ ﻣﻲﮔﺮﺩﺩ ﺷﺎﻣﻞ ﻳـﻚ ﺳـﺮﺁﻳﻨﺪ‬
‫‪ TCP‬ﺍﺳﺖ ﻛﻪ ﺑﻪ ﺩﻧﺒﺎﻝ ﺁﻥ ﻳﻚ ﺑﻠﻮﻙ ﺍﺯ ﺩﻳﺘﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪.‬‬
‫‪Octets:‬‬
‫‪IPv6 header‬‬ ‫‪40‬‬
‫‪Hop-by-hop‬‬ ‫‪Variable‬‬
‫‪options header‬‬
‫‪Routing header‬‬ ‫‪Variable‬‬
‫‪Fragment header‬‬ ‫‪8‬‬
‫‪Destination options‬‬
‫‪Variable‬‬
‫‪header‬‬
‫‪TCP header‬‬ ‫)‪20 (optional variable part‬‬
‫‪Application data‬‬ ‫‪Variable‬‬
‫‪= Next Header field‬‬
‫ﺑﺴﺘﺔ ‪ IPv6‬ﺑﺎ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﺍﻟﺤﺎﻗﻲ )ﺷﺎﻣﻞ ﻳﻚ ﺳِﮕﻤﻨﺖ ‪(TCP‬‬ ‫ﺷﻜﻞ ‪۶-۱۵‬‬

‫‪٢٤٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ‪IP‬‬
‫ﺳﺮﺁﻳﻨﺪ ‪ :Hop-by-Hop Options‬ﺍﻃﻼﻋﺎﺕ ﺍﺧﺘﻴﺎﺭﻱ ﺭﺍ ﺣﻤﻞ ﻣﻲﻛﻨﺪ ﻛﻪ ﺍﮔﺮ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺑﺎﻳـﺴﺘﻲ ﺑﺘﻮﺳـﻂ ﻫـﺮ‬
‫ﻣﺴﻴﺮﻳﺎﺏ ﺩﺭ ﻃﻮﻝ ﻣﺴﻴﺮ ﻣﻮﺭﺩ ﺑﺎﺯﺑﻴﻨﻲ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪ .‬ﺍﻳﻦ ﺳﺮﺁﻳﻨﺪ ﺷﺎﻣﻞ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫)‪ :Header Extension Length (8 bits‬ﻃﻮﻝ ﺍﻳﻦ ﺳﺮﺁﻳﻨﺪ ﺑﺮ ﺣﺴﺐ ﻭﺍﺣﺪﻫﺎﻱ ‪ -۶۴‬ﺑﻴﺘﻲ ﺭﺍ ﻣﺸﺨﺺ ﻣـﻲﻛﻨـﺪ‬ ‫•‬
‫ﻛﻪ ﺷﺎﻣﻞ ﺍﻭﻟﻴﻦ ‪ ۶۴‬ﺑﻴﺖ ﻧﻴﺴﺖ‪.‬‬
‫‪ :Options‬ﺷﺎﻣﻞ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻣﻮﺭﺩ ﺍﺧﺘﻴﺎﺭﻱ ﺍﺳﺖ‪ .‬ﻫﺮ ﻣﻮﺭﺩ ﺍﺧﺘﻴﺎﺭﻱ ﺍﺯ ﺳﻪ ﺯﻳﺮﻣﻴﺪﺍﻥ ﺗﺸﻜﻴﻞ ﻣﻲﺷﻮﺩ‪ :‬ﻳـﻚ ‪ tag‬ﻛـﻪ‬ ‫•‬
‫ﻧﻤﺎﻳﺶﺩﻫﻨﺪﺓ ﻧﻮﻉ ﻣﻮﺭﺩ ﺍﺧﺘﻴﺎﺭﻱ‪ ،‬ﻳﻚ ﻃﻮﻝ ﻭ ﻳﻚ ﺍﻧﺪﺍﺯﻩ ﺍﺳﺖ‪.‬‬
‫ﺗﺎ ﻛﻨﻮﻥ ﺗﻨﻬﺎ ﻳﻚ ﻣﻮﺭﺩ ﺍﺧﺘﻴﺎﺭﻱ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ‪ :‬ﻣـﻮﺭﺩ ‪ Jumbo Payload‬ﻛـﻪ ﺑـﺮﺍﻱ ﺍﺭﺳـﺎﻝ ﺑـﺴﺘﻪﻫـﺎﻱ ‪ IPv6‬ﺑـﺎ‬
‫ﻣﺤﻤﻮﻟﻪﻫﺎﺋﻲ ﻃﻮﻻﻧﻲﺗﺮ ﺍﺯ ‪ ۲۶۱-۱ = ۶۵,۵۳۵‬ﺍﹸﻛﺘﺖ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﻣﻴـﺪﺍﻥ ‪ Option Data‬ﺩﺭ ﺍﻳﻨﺠـﺎ ‪ ۳۲‬ﺑﻴـﺖ ﻃـﻮﻝ ﺩﺍﺷـﺘﻪ ﻭ‬
‫ﺍﻧﺪﺍﺯﺓ ﻃﻮﻝ ﺑﺴﺘﻪ ﺭﺍ‪ ،‬ﺑﺠﺰ ﺳﺮﺁﻳﻨﺪ ‪ ،IPv6‬ﺑﺮ ﺣﺴﺐ ﺍﹸﻛﺘﺖ ﻣﺸﺨﺺ ﻣﻲﻛﻨـﺪ‪ .‬ﺑـﺮﺍﻱ ﻫـﺮ ﺑـﺴﺘﻪ‪ ،‬ﻣﻴـﺪﺍﻥ ‪ Payload Length‬ﺩﺭ‬
‫ﺳﺮﺁﻳﻨﺪ ‪ IPv6‬ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﺑﺮ ﺻﻔﺮ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﺷﻮﺩ ﻭ ﺑﺎﻳﺴﺘﻲ ﻫﻴﭻ ﺳﺮﺁﻳﻨﺪ ‪ Fragment‬ﻭﺟﻮﺩ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺑـﺎ ﺍﻳـﻦ ﺍﺧﺘﻴـﺎﺭ‪IPv6 ،‬‬
‫ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎﺋﻲ ﺗﺎ ﻃﻮﻝ ﭼﻬﺎﺭ ﻣﻴﻠﻴﺎﺭﺩ ﺍﹸﻛﺘﺖ ﺭﺍ ﺣﻤﺎﻳﺖ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺍﻧﺘﻘﺎﻝ ﺑﺴﺘﻪﻫﺎﻱ ﺑﺰﺭﮒ ﻭﻳﺪﺋﻮ ﺭﺍ ﺗﺴﻬﻴﻞ ﻧﻤﻮﺩﻩ ﻭ ‪ IPv6‬ﺭﺍ‬
‫ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺍﺯ ﻇﺮﻓﻴﺖ ﻣﻮﺟﻮﺩ ﻣﺤﻴﻂ ﺍﻧﺘﻘﺎﻝ ﺣﺪﺍﻛﺜﺮ ﺍﺳﺘﻔﺎﺩﻩ ﺭﺍ ﺑﻨﻤﺎﻳﺪ‪.‬‬
‫ﺳﺮﺁﻳﻨﺪ ‪ Routing‬ﺷﺎﻣﻞ ﻟﻴﺴﺘﻲ ﺍﺯ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﮔﺮﺓ ﻣﻴﺎﻧﻲ ﺍﺳﺖ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻣﺴﻴﺮ ﺑﺴﺘﻪ ﺗﺎ ﻣﻘﺼﺪ ﻣﻼﻗﺎﺕ ﺷﻮﻧﺪ‪ .‬ﺗﻤـﺎﻡ‬
‫ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﻣﺴﻴﺮﻳﺎﺑﻲ ﺑﺎ ﻳﻚ ﺑﻠﻮﻙ ‪ -۳۲‬ﺑﻴﺘﻲ ﻛﻪ ﺷﺎﻣﻞ ﭼﻬﺎﺭ ﻣﻴﺪﺍﻥ ‪ -۸‬ﺑﻴﺘﻲ ﺍﺳﺖ ﺁﻏـﺎﺯ ﻣـﻲﺷـﻮﻧﺪ ﻭ ﺑـﻪ ﺩﻧﺒـﺎﻝ ﺁﻥ ﺩﺍﺩﻩﻫـﺎﻱ‬
‫ﻣــﺴﻴﺮﻳﺎﺑﻲ ﻣﺘﻌﻠــﻖ ﺑــﻪ ﺭﻭﺵ ﻣــﺴﻴﺮﻳﺎﺑﻲ ﺧﺎﺻــﻲ ﻗــﺮﺍﺭ ﻣــﻲﮔﻴــﺮﺩ‪ .‬ﭼﻬــﺎﺭ ﻣﻴــﺪﺍﻥ ‪ - ۸‬ﺑﻴﺘــﻲ ﻋﺒــﺎﺭﺕ ﺍﺯ ‪،Next Header‬‬
‫‪ Extension Length Header‬ﻭ ﺩﻭ ﻣﻴﺪﺍﻥ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫‪ :Routing Type‬ﻳﻚ ﺳﺮﺁﻳﻨﺪ ‪ Routing‬ﺧﺎﺹ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺍﮔـﺮ ﻣـﺴﻴﺮﻳﺎﺑﻲ ﺍﻧـﺪﺍﺯﺓ ‪ Routing Type‬ﺭﺍ‬ ‫•‬
‫ﺷﻨﺎﺳﺎﺋﻲ ﻧﻜﻨﺪ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺑﺴﺘﻪ ﺭﺍ ﻣﻌﺪﻭﻡ ﺳﺎﺯﺩ‪.‬‬
‫‪ :Segments Left‬ﺗﻌﺪﺍﺩ ﺻﺮﻳﺢ ﮔﺮﻩﻫﺎﻱ ﻣﻴﺎﻧﻲ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﻗﺒﻞ ﺍﺯ ﺭﺳﻴﺪﻥ ﺑﻪ ﻣﻘﺼﺪ ﻧﻬﺎﺋﻲ ﻣﻼﻗﺎﺕ ﺷﻮﻧﺪ‪.‬‬ ‫•‬
‫ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ ﺗﻌﺮﻳﻒ ﺳﺮﺁﻳﻨﺪ ﻋﻤﻮﻣﻲ‪ ،‬ﻣﺸﺨـﺼﻪﻫـﺎﻱ ‪ IPv6‬ﺳـﺮﺁﻳﻨﺪ ‪ Type 0 Routing‬ﺭﺍ ﺗﻌﺮﻳـﻒ ﻣـﻲﻛﻨـﺪ‪ .‬ﻭﻗﺘـﻲ ﺍﺯ‬
‫ﺳﺮﺁﻳﻨﺪ ‪ Type 0 Routing‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﮔﺮﺓ ﻣﻨﺒﻊ‪ ،‬ﻧﻬﺎﺋﻲﺗﺮﻳﻦ ﺁﺩﺭﺱ ﻣﻘﺼﺪ ﺭﺍ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ‪ IPv6‬ﻗﺮﺍﺭ ﻧﻤﻲﺩﻫﺪ‪ .‬ﺩﺭ ﻋﻮﺽ‬
‫ﺁﻥ ﺁﺩﺭﺱ‪ ،‬ﺁﺧﺮﻳﻦ ﺁﺩﺭﺱ ﻟﻴﺴﺖ ﺷﺪﻩ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ‪ Routing‬ﺑﻮﺩﻩ ﻭ ﺳـﺮﺁﻳﻨﺪ ‪ IPv6‬ﺷـﺎﻣﻞ ﺁﺩﺭﺱ ﻣﻘـﺼﺪ ﺍﻭﻟـﻴﻦ ﻣـﺴﻴﺮﻳﺎﺏ‬
‫ﻣﻮﺟﻮﺩ ﺩﺭ ﻣﺴﻴﺮ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺳﺮﺁﻳﻨﺪ ‪ Routing‬ﺗﺎ ﺯﻣﺎﻧﻲ ﻛﻪ ﺑﺴﺘﻪ ﺑﻪ ﮔﺮﺓ ﻣﻘﺼﺪ ﺳﺮﺁﻳﻨﺪ ‪ IPv6‬ﻧﺮﺳﺪ‪ ،‬ﺑﺮﺭﺳﻲ ﻧﺨﻮﺍﻫﺪ ﺷـﺪ‪ .‬ﺩﺭ‬
‫ﺁﻥ ﻧﻘﻄﻪ‪ ،‬ﻣﺤﺘﻮﻳﺎﺕ ﺳﺮﺁﻳﻨﺪ ‪ IPv6‬ﻭ ‪ Routing‬ﺑﻪ ﺭﻭﺯﺭﺳﺎﻧﻲ ﺷﺪﻩ ﻭ ﺑﺴﺘﻪ ﻣﺠﺪﺩﺍﹰ ﺑﻪ ﺟﻠﻮ ﺭﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻪ ﺭﻭﺯﺭﺳﺎﻧﻲ ﺷﺎﻣﻞ ﻗﺮﺍﺭ‬
‫ﺩﺍﺩﻥ ﺁﺩﺭﺱ ﺑﻌﺪﻱ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ‪ IPv6‬ﻭ ﻛﺎﻫﺶ ﺩﺍﺩﻥ ﻣﻴﺪﺍﻥ ‪ Segments Left‬ﺩﺭ ﺳﺮﺁﻳﻨﺪ ‪ Routing‬ﺍﺳﺖ‪.‬‬
‫ﺩﺭ ‪ IPv6‬ﻻﺯﻡ ﺍﺳﺖ ﺗﺎ ﻳﻚ ﮔﺮﻩ ‪ ،IPv6‬ﻣﺴﻴﺮﻫﺎ ﺭﺍ ﺩﺭ ﻳﻚ ﺑﺴﺘﺔ ﺩﺭﻳﺎﻓﺖ ﺷﺪﺓ ﺷﺎﻣﻞ ﺳﺮﺁﻳﻨﺪ ‪ Routing‬ﻣﻌﻜﻮﺱ ﻛـﺮﺩﻩ‬
‫ﺗﺎ ﺑﺴﺘﻪ ﺑﺘﻮﺍﻧﺪ ﺑﻪ ﻓﺮﺳﺘﻨﺪﻩ ﺑﺮﮔﺮﺩﺩ‪.‬‬
‫ﺳﺮﺁﻳﻨﺪ ‪ Fragment‬ﻭﻗﺘﻲ ﺑﺘﻮﺳﻂ ﻳﻚ ﻣﻨﺒﻊ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ ﻛـﻪ ﻗﻄﻌـﻪ ﻗﻄﻌـﻪ ﻛـﺮﺩﻥ ﺩﻳﺘـﺎ ﻣـﻮﺭﺩ ﻧﻴـﺎﺯ ﺑﺎﺷـﺪ‪ .‬ﺩﺭ ‪IPv6‬‬
‫ﻗﻄﻌﻪﻗﻄﻌﻪ ﻛﺮﺩﻥ ﺩﻳﺘﺎ ﺗﻨﻬﺎ ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﮔﺮﻩﻫﺎﻱ ﻣﺒﺪﺃ ﺍﻧﺠﺎﻡ ﺷﻮﺩ ﻭ ﻧﻪ ﺑﺘﻮﺳﻂ ﻣﺴﻴﺮﻳﺎﺏﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ﻣﺴﻴﺮ ﺗﺤﻮﻳﻞ ﺑﺴﺘﻪ ﻭﺍﻗـﻊﺍﻧـﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﺓ ﻛﺎﻣﻞ ﺍﺯ ﺍﻣﺘﻴﺎﺯﺍﺕ ﻣﺤﻴﻂ ﺑﻴﻦ ﺷﺒﻜﻪﻫﺎ‪ ،‬ﻳﻚ ﮔﺮﻩ ﺑﺎﻳﺴﺘﻲ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻛﺸﻒ ﻣﺴﻴﺮ ﺭﺍ ﺑﻪ ﺍﺟﺮﺍ ﮔﺬﺍﺷﺘﻪ ﻛـﻪ ﺍﻭ ﺭﺍ ﻗـﺎﺩﺭ‬
‫ﻓﺼﻞ ﺷﺸﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٥٠‬‬
‫ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﻛﻮﭼﻚﺗﺮﻳﻦ ﻭﺍﺣﺪ ﺍﻧﺘﻘﺎﻝ ﻣﺎﻛﺰﻳﻤﻢ )‪ (MTU‬ﻛﻪ ﺑﺘﻮﺳﻂ ﻫﺮ ﺯﻳﺮﺷﺒﻜﻪ ﻣﺴﻴﺮ ﺣﻤﺎﻳﺖ ﻣﻲﺷﻮﺩ ﺭﺍ ﭘﻴﺪﺍ ﻛﻨﺪ‪ .‬ﺑﻌﺒﺎﺭﺕ ﺩﻳﮕﺮ‪،‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﻛﺸﻒ ﻣﺴﻴﺮ‪ ،‬ﻳﻚ ﮔﺮﻩ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ‪ MTU‬ﺯﻳﺮﺷﺒﻜﺔ »ﮔﻠﻮﮔﺎﻩ« ﺩﺭ ﺭﻭﻱ ﻣﺴﻴﺮ ﺭﺍ ﻛﺸﻒ ﻧﻤﺎﻳﺪ‪ .‬ﺑـﺎ ﺍﻳـﻦ ﻣﻌﻠﻮﻣـﺎﺕ‪،‬‬
‫ﮔﺮﺓ ﻣﻨﺒﻊ‪ ،‬ﺩﺭ ﺻﻮﺭﺕ ﻧﻴﺎﺯ‪ ،‬ﺑﺮﺍﻱ ﻫﺮ ﺁﺩﺭﺱ ﻣﻘﺼﺪ ﺩﺍﺩﻩ ﺷﺪﻩ ﺩﻳﺘﺎ ﺭﺍ ﻗﻄﻌﻪﻗﻄﻌﻪ ﺧﻮﺍﻫﺪ ﻛﺮﺩ‪ .‬ﺩﺭ ﻏﻴﺮﺍﻳﻨﺼﻮﺭﺕ ﻣﻨﺒﻊ ﺑﺎﻳـﺴﺘﻲ ﺗﻤـﺎﻡ‬
‫ﺑﺴﺘﻪﻫﺎ ﺭﺍ ﺑﻪ ‪ ۱,۲۸۰‬ﺍﹸﻛﺘﺖ ﻣﺤﺪﻭﺩ ﺳﺎﺯﺩ ﻛﻪ ﺣﺪﺍﻗﻞ ‪ MTU‬ﺍﻱ ﺍﺳﺖ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺑﺘﻮﺳﻂ ﻫﺮ ﺯﻳﺮﺷﺒﻜﻪ ﺣﻤﺎﻳﺖ ﮔﺮﺩﺩ‪.‬‬
‫ﻋﻼﻭﻩ ﺑﺮ ﻣﻴﺪﺍﻥ ‪ ،Next Header‬ﺳﺮﺁﻳﻨﺪ ‪ Fragment‬ﺷﺎﻣﻞ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫)‪ :Fragment Offset (13 bits‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﻣﺤﻤﻮﻟﺔ ﺍﻳﻦ ‪ fragment‬ﺑﻪ ﻛﺠﺎﻱ ﺑﺴﺘﺔ ﺍﺻﻠﻲ ﺗﻌﻠﻖ ﺩﺍﺭﺩ‪ .‬ﺍﻳـﻦ‬ ‫•‬
‫ﺑﺮﺣﺴﺐ ﻭﺍﺣﺪﻫﺎﻱ ‪ -۶۴‬ﺑﻴﺘﻲ ﻣﺤﺎﺳﺒﻪ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺑﻄﻮﺭ ﺿﻤﻨﻲ ﺷﺎﻣﻞ ﺍﻳﻦ ﻣﻄﻠـﺐ ﺍﺳـﺖ ﻛـﻪ ﻗﻄﻌـﻪﻫـﺎ )ﺑﻐﻴـﺮ ﺍﺯ‬
‫ﺁﺧﺮﻳﻦ ﻗﻄﻌﻪ( ﺑﺎﻳﺴﺘﻲ ﺩﺍﺭﺍﻱ ﻣﻴﺪﺍﻥ ﺩﻳﺘﺎﺋﻲ ﺑﺎﺷﻨﺪ ﻛﻪ ﻣﻀﺮﺑﻲ ﺍﺯ ‪ ۶۴‬ﺑﻴﺖ ﺍﺳﺖ‪.‬‬
‫)‪ :Res (2 bits‬ﺑﺮﺍﻱ ﻣﺼﺎﺭﻑ ﺁﺗﻲ ﺭﺯﺭﻭ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫)‪ :M Flag (1 bit‬ﺍﮔﺮ ﻣﺴﺎﻭﻱ ‪ 1‬ﺑﺎﺷﺪ ﻳﻌﻨﻲ ﻗﻄﻌﻪﻫﺎﻱ ﺩﻳﮕﺮﻱ ﻭﺟﻮﺩ ﺩﺍﺭﻧﺪ ﻭ ﺍﮔﺮ ﻣـﺴﺎﻭﻱ ‪ 0‬ﺑﺎﺷـﺪ ﻳﻌﻨـﻲ ﺁﺧـﺮﻳﻦ‬ ‫•‬
‫ﻗﻄﻌﻪ ﺍﺳﺖ‪.‬‬
‫)‪ :Identification (32 bits‬ﻫﺪﻑ ﺁﻥ ﺷﻨﺎﺳﺎﺋﻲ ﺑﺴﺘﺔ ﺍﻭﻟﻴﻪ ﺑﻄﻮﺭ ﻳﻜﺘﺎﺳﺖ‪ .‬ﺍﻳﻦ ﺷﻨﺎﺳﺔ ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ﺁﺩﺭﺱ ﻣﻨﺒـﻊ‬ ‫•‬
‫ﻭ ﺁﺩﺭﺱ ﻣﻘﺼﺪ ﺑﺴﺘﻪ‪ ،‬ﺑﺮﺍﻱ ﻣﺪﺕ ﺯﻣﺎﻧﻲ ﻛﻪ ﺑﺴﺘﻪ ﺩﺭ ﺍﻳﻨﺘﺮﻧﺖ ﺧﻮﺍﻫﺪ ﻣﺎﻧﺪ‪ ،‬ﻳﻜﺘﺎ ﺑﺎﺷـﺪ‪ .‬ﺗﻤـﺎﻡ ﻗﻄﻌـﻪﻫـﺎﺋﻲ ﻛـﻪ ﺩﺍﺭﺍﻱ‬
‫ﺷﻨﺎﺳﺔ ﻳﻜﺴﺎﻥ‪ ،‬ﺁﺩﺭﺱ ﻣﻨﺒﻊ ﻳﻜﺴﺎﻥ ﻭ ﺁﺩﺭﺱ ﻣﻘﺼﺪ ﻳﻜﺴﺎﻥ ﻣﻲﺑﺎﺷﻨﺪ ﺩﻭﺑﺎﺭﻩ ﺑﻬـﻢ ﭘﻴﻮﺳـﺘﻪ ﻭ ﺑـﺴﺘﺔ ﺍﻭﻟﻴـﻪ ﺭﺍ ﺩﺭﺳـﺖ‬
‫ﺧﻮﺍﻫﻨﺪ ﻛﺮﺩ‪.‬‬
‫ﺳﺮﺁﻳﻨﺪ ‪ Destination Options‬ﺍﻃﻼﻋﺎﺕ ﺍﺧﺘﻴﺎﺭﻱ ﺭﺍ ﺣﻤﻞ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﺍﮔﺮ ﻭﺟﻮﺩ ﺩﺍﺷـﺘﻪ ﺑﺎﺷـﺪ ﺗﻨﻬـﺎ ﺑﺘﻮﺳـﻂ ﮔـﺮﺓ‬
‫ﻣﻘﺼﺪ ﻣﻮﺭﺩ ﺑﺮﺭﺳﻲ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﻓﺮﻣﺖ ﺍﻳﻦ ﺑﺴﺘﺔ ﺳﺮﺁﻳﻨﺪ ﻫﻤﺎﻧﻨﺪ ﻓﺮﻣﺖ ﺳﺮﺁﻳﻨﺪ ‪ Hop-by-Hop Options‬ﺍﺳﺖ‪.‬‬
‫ﻓﺼـﻞ ‪۷‬‬
‫ﺍﻣﻨﻴﺖ ‪WEB‬‬
‫ﻣﻼﺣﻈﺎﺕ ﺍﻣﻨﻴﺖ ﻭِﺏ‬ ‫‪۷-۱‬‬

‫ﺗﻬﺪﻳﺪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭِﺏ‬
‫ﺭﻭﺵﻫﺎﻱ ﺑﺮﺧﻮﺭﺩ ﺑﺎ ﺍﻣﻨﻴﺖ ﺗﺮﺍﻓﻴﻚ ﻭِﺏ‬
‫ﻻﻳﺔ ﺳﻮﻛﺖ ﺍﹶﻣﻦ ﻭ ﺍﻣﻨﻴﺖ ﻻﻳﺔ ﺣﻤﻞ ﻭ ﻧﻘﻞ )‪(SSL/TLS‬‬ ‫‪۷-۲‬‬

‫ﻣﻌﻤﺎﺭﻱ ‪SSL‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪SSL Record‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪Change Cipher Spec‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪Alert‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪Handshake‬‬
‫ﻣﺤﺎﺳﺒﺎﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﺍﻣﻨﻴﺖ ﻻﻳﺔ ﺣﻤﻞ ﻭ ﻧﻘﻞ‬
‫ﻣﻌﺎﻣﻠﺔ ﺍﻟﻜﺘﺮﻭﻧﻴﻜﻲ ﺍﹶﻣﻦ )‪(SET‬‬ ‫‪۷-۳‬‬

‫ﻣﺮﻭﺭﻱ ﺑﺮ ‪SET‬‬
‫ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ‬
‫ﻋﻤﻠﻴﺎﺕ ﭘﺮﺩﺍﺧﺖ‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۷-۴‬‬

‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۷-۵‬‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٥٢‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻗﺮﻳﺒﺎﹰ ﺗﻤﺎﻡ ﻛﺴﺐ ﻭ ﻛﺎﺭﻫﺎ‪ ،‬ﺑﻴﺸﺘﺮ ﺳﺎﺯﻣﺎﻥﻫﺎﻱ ﺩﻭﻟﺘﻲ ﻭ ﺷﻤﺎﺭ ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﺍﻓﺮﺍﺩ‪ ،‬ﺍﻣﺮﻭﺯﻩ ﺻﺎﺣﺐ ﻭِﺏ ﺳـﺎﻳﺖ ﻫـﺴﺘﻨﺪ‪.‬‬
‫ﺗﻌﺪﺍﺩ ﺍﻓﺮﺍﺩ ﻭ ﺷﺮﻛﺖﻫﺎﺋﻲ ﻛﻪ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﺩﺍﺭﻧﺪ ﺑﺴﺮﻋﺖ ﺍﻓـﺰﺍﻳﺶ ﻳﺎﻓﺘـﻪ ﻭ ﺗﻤـﺎﻡ ﺁﻧﻬـﺎ ﺑـﻪ ﻣﺮﻭﺭﮔﺮﻫـﺎﻱ ﮔﺮﺍﻓﻴﻜـﻲ ﻭِﺏ‬
‫ﻣﺠﻬﺰﺍﻧﺪ‪ .‬ﺩﺭ ﻫﻤﻴﻦ ﺭﺍﺑﻄﻪ ﺑﺎﺯﺭﮔﺎﻧﺎﻥ ﻋﻼﻗﻪﻣﻨﺪﻧﺪ ﺗﺎ ﺑﻤﻨﻈﻮﺭ ﺗﺠﺎﺭﺕ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪ ،‬ﺗﺴﻬﻴﻼﺗﻲ ﺭﺍ ﺭﻭﻱ ﻭِﺏ ﻓﺮﺍﻫﻢ ﻧﻤﺎﻳﻨﺪ‪ .‬ﺍﻣـﺎ ﻭﺍﻗﻌﻴـﺖ‬
‫ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﻭِﺏ ﺷﺪﻳﺪﺍﹰ ﺩﺭ ﻣﻘﺎﺑﻞ ﺩﺳﺖﻳﺎﺑﻲﻫﺎﻱ ﻏﻴﺮﻣﺠﺎﺯ ﺍﺯ ﺍﻧﻮﺍﻉ ﻣﺨﺘﻠﻒ ﺁﺳﻴﺐﭘﺬﻳﺮﻧﺪ‪ .‬ﻫﻤﻴﻦﻃﻮﺭ ﻛﻪ ﻛـﺎﺭ ﻭ ﭘﻴـﺸﻪ‬
‫ﺑﻪ ﺍﻳﻦ ﺍﻣﺮ ﻭﻗﻮﻑ ﺑﻴﺸﺘﺮﻱ ﭘﻴﺪﺍ ﻣﻲﻛﻨﺪ‪ ،‬ﺗﻘﺎﺿﺎ ﺑﺮﺍﻱ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻦ ﻭِﺏ ﺑﻴﺸﺘﺮ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻣﻘﻮﻟﺔ ﺍﻣﻨﻴﺖ ﻭِﺏ ﺑﺴﻴﺎﺭ ﻭﺳﻴﻊ ﺑﻮﺩﻩ ﻭ ﺧﻮﺩ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪﺗﻨﻬﺎﺋﻲ ﻣﻮﺿﻮﻉ ﻳﻚ ﻛﺘﺎﺏ ﺑﺎﺷﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻓﺼﻞ ﺍﺑﺘﺪﺍ ﻧﻴﺎﺯﻫﺎﻱ ﻋﻤـﻮﻣﻲ‬
‫ﺍﻣﻨﻴﺖ ﻭِﺏ ﺭﺍ ﺑﺮﺭﺳﻲ ﻛﺮﺩﻩ ﻭ ﺁﻧﮕﺎﻩ ﺭﻭﻱ ﺩﻭ ﺭﻭﺵ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ‪ SSL/TLS‬ﻭ ‪ SET‬ﻛﻪ ﺩﺭ ﺑﺤﺚ ﺗﺠﺎﺭﺕ ﻭِﺏ ﺍﻫﻤﻴـﺖ ﻓﺰﺍﻳﻨـﺪﻩﺍﻱ‬
‫ﭘﻴﺪﺍ ﻛﺮﺩﻩﺍﻧﺪ‪ ،‬ﻣﺘﻤﺮﻛﺰ ﻣﻲﺷﻮﻳﻢ‪.‬‬
‫ﻣﻼﺣﻈﺎﺕ ﺍﻣﻨﻴﺖ ﻭِﺏ‬ ‫‪۷-۱‬‬
‫‪ World Wide Web‬ﻳﺎ ﺗﺎﺭ ﺟﻬﺎﻥﮔﺴﺘﺮ ﺍﺻﻮﻻﹰ ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﻛﻼﻳﻨﺖ‪/‬ﺳِﺮﻭﺭ ﺑﻮﺩﻩ ﻛﻪ ﺭﻭﻱ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺍﻳﻨﺘﺮﺍﻧﺖﻫﺎﻱ ‪ TCP/IP‬ﻛﺎﺭ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ ﭼﻨﻴﻦ ﻧﮕﺮﺷﻲ‪ ،‬ﺍﺑﺰﺍﺭﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﺭﻭﺵﻫﺎﺋﻲ ﻛﻪ ﺗﺎ ﻛﻨﻮﻥ ﺩﺭ ﺍﻳﻦ ﻛﺘﺎﺏ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪﺍﻧﺪ ﺑﻪ ﻣﺴﺄﻟﺔ ﺍﻣﻨﻴﺖ ﻭِﺏ‬
‫ﻫﻢ ﻣﺮﺑﻮﻁ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﻣﺎ ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺩﺭ ]‪ [GARF97‬ﺧﺎﻃﺮﻧﺸﺎﻥ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻭِﺏ ﭼﺎﻟﺶﻫﺎﻱ ﺟﺪﻳﺪﻱ ﺭﺍ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ ﻛﻪ‬
‫ﻣﻌﻤﻮﻻﹰ ﺩﺭ ﻣﻘﻮﻟﺔ ﺍﻣﻨﻴﺖ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻭ ﺍﻣﻨﻴﺖ ﺷﺒﻜﺔ ﻧﻤﻲﮔﻨﺠﻨﺪ‪:‬‬
‫ﺍﻳﻨﺘﺮﻧﺖ ﺩﻭﻃﺮﻓﻪ ﺍﺳﺖ‪ .‬ﺑﺮﺧﻼﻑ ﻣﺤﻴﻂﻫﺎﻱ ﺍﻧﺘﺸﺎﺭﺍﺗﻲ ﺳﻨﹼﺘﻲ ﻭ ﺣﺘﻲ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺍﻧﺘﺸﺎﺭﺍﺗﻲ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻛﻪ ﺷﺎﻣﻞ‬ ‫•‬
‫ﺗﻠﻪﺗﻜﺴﺖ‪ ،‬ﭘﺎﺳﺦ ﺻﻮﺗﻲ ﻭ ﻳﺎ ﻓﺎﻛﺲﺑﺮﮔﺮﺩﺍﻥ ﻣﻲﺑﺎﺷﻨﺪ‪ ،‬ﻭِﺏ ﻧﺴﺒﺖ ﺑﻪ ﺣﻤﻼﺗﻲ ﻛﻪ ﺍﺯ ﻃﺮﻳﻖ ﺍﻳﻨﺘﺮﻧﺖ ﺭﻭﻱ ﺳِﺮﻭﺭﻫﺎﻱ‬
‫ﻭِﺏ ﻣﻲﺷﻮﺩ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺍﺳﺖ‪.‬‬
‫ﻭِﺏ ﺑﺼﻮﺭﺕ ﻓﺰﺍﻳﻨﺪﻩﺍﻱ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺧﺮﻭﺟﻲ ﺑﺴﻴﺎﺭ ﻣﺮﺋﻲ ﺑﺮﺍﻱ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﺳﺎﺯﻣﺎﻥﻫﺎ ﻭ ﻣﺤﺼﻮﻻﺕ ﻣﺨﺘﻠﻒ‬ ‫•‬
‫ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﻭ ﭘﺎﻳﮕﺎﻫﻲ ﺑﺮﺍﻱ ﺍﺳﻨﺎﺩ ﺗﺠﺎﺭﻱ ﻣﺤﺴﻮﺏ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﮔﺮ ﺳِﺮﻭﺭﻫﺎﻱ ﻭِﺏ ﻣﻮﺭﺩ ﺗﻬﺎﺟﻢ ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ‪ ،‬ﺷﻬﺮﺕ‬
‫ﻭ ﺍﻋﺘﺒﺎﺭ ﻭ ﺳﺮﻣﺎﻳﺔ ﺷﺮﻛﺖﻫﺎ ﻣﻮﺭﺩ ﺗﻬﺪﻳﺪ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪.‬‬
‫ﺍﮔﺮﭼﻪ ﻣﺮﻭﺭﮔﺮﻫﺎﻱ ﻭِﺏ ﺑﻪ ﺁﺳﺎﻧﻲ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪ ،‬ﻣﺪﻳﺮﻳﺖ ﻭ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺳِﺮﻭﺭﻫﺎﻱ ﻭِﺏ ﻧﺴﺒﺘﺎﹰ ﺁﺳﺎﻥ ﺍﺳﺖ‬ ‫•‬
‫ﻭ ﺗﻬﻴﺔ ﻣﺤﺘﻮﻳﺎﺕ ﻭِﺏ ﺭﻭﺯ ﺑﻪ ﺭﻭﺯ ﺳﻬﻞﺗﺮ ﻣﻲﺷﻮﺩ‪ ،‬ﻭﻟﻲ ﻧﺮﻡﺍﻓﺰﺍﺭ ﺯﻳﺮﺑﻨﺎﻱ ﻭِﺏ ﺑﻄﻮﺭ ﻓﻮﻕﺍﻟﻌﺎﺩﻩﺍﻱ ﭘﻴﭽﻴﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ‬
‫ﻧﺮﻡﺍﻓﺰﺍﺭ ﭘﻴﭽﻴﺪﻩ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﻧﻘﺼﺎﻥﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭِﺏ ﺭﺍ ﭘﻨﻬﺎﻥ ﺳﺎﺯﺩ‪ .‬ﺗﺎﺭﻳﺨﭽﺔ ﻛﻮﺗﺎﻩ ﻭِﺏ ﭘﺮ ﺍﺯ ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ‬
‫ﺳﻴﺴﺘﻢﻫﺎﻱ ﺟﺪﻳﺪ‪ ،‬ﺑﻪ ﺭﻭﺯﺭﺳﺎﻧﻲ ﺷﺪﻩ ﻭ ﺻﺤﻴﺢ ﻧﺼﺐ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻣﻘﺎﺑﻞ ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ ﻣﺘﻌﺪﺩﻱ ﺁﺳﻴﺐﭘﺬﻳﺮ‬
‫ﺑﻮﺩﻩﺍﻧﺪ‪.‬‬
‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٥٣‬‬
‫ﻳﻚ ﺳِﺮﻭﺭ ﻭِﺏ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﭘﺎﻳﮕﺎﻩ ﻋﻤﻠﻴﺎﺗﻲ ﻣﻮﺭﺩ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﺓ ﻣﻬﺎﺟﻤﻴﻦ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺗﺎ ﺑﻪ ﺗﻤﺎﻡ ﺳﻴﺴﺘﻢ‬ ‫•‬
‫ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﺣﻤﻠﻪ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﻣﺘﻨﻮﻉ ﻭ ﺑﻲﺍﻃﻼﻉ )ﺍﺯ ﺩﻳﺪ ﻣﺴﺎﺋﻞ ﺍﻣﻨﻴﺘﻲ(‪ ،‬ﻣﻌﻤﻮﻻﹰ ﻛﻼﻳﻨﺖﻫﺎﻱ ﺳِﺮﻭﺭﻫﺎﻱ ﻭِﺏ ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﻨﺪ‪ .‬ﺍﻳﻦ ﻛﺎﺭﺑﺮﺍﻥ‬ ‫•‬
‫ﺍﻟﺰﺍﻣﺎﹰ ﺍﺯ ﺭﻳﺴﻚﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺍﻃﻼﻉ ﻧﺪﺍﺷﺘﻪ ﻭ ﺍﺑﺰﺍﺭ ﻳﺎ ﻣﻌﻠﻮﻣﺎﺕ ﻻﺯﻡ ﺑﺮﺍﻱ ﻣﻘﺎﺑﻠﺔ ﻣﺆﺛﺮ ﺑﺎ ﺍﻳﻦ ﺗﻬﺪﻳﺪﻫﺎ ﺭﺍ ﻧﺪﺍﺭﻧﺪ‪.‬‬
‫ﺗﻬﺪﻳﺪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭِﺏ‬
‫ﺟﺪﻭﻝ ‪ ۷-۱‬ﺧﻼﺻﻪﺍﻱ ﺍﺯ ﺍﻧﻮﺍﻉ ﺗﻬﺪﻳﺪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻛﻪ ﺩﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻭِﺏ ﺑﺎ ﺁﻧﻬﺎ ﻣﻮﺍﺟﻬﻴﻢ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻳﻚ ﺭﻭﺵ ﺑﺮﺍﻱ‬
‫ﺩﺳﺘﻪﺑﻨﺪﻱ ﺍﻳﻦ ﺗﻬﺪﻳﺪﻫﺎ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺁﻧﻬﺎ ﺭﺍ ﺑﺮ ﺍﺳﺎﺱ ﺣﻤﻼﺕ ﻏﻴﺮﻓﻌﺎﻝ ﻭ ﻓﻌﺎﻝ ﺩﺳﺘﻪﺑﻨﺪﻱ ﻛﻨﻴﻢ‪ .‬ﺣﻤﻼﺕ ﻏﻴﺮﻓﻌﺎﻝ ﺷﺎﻣﻞ‬
‫ﺍﺳﺘﺮﺍﻕﺳﻤﻊ ﺗﺮﺍﻓﻴﻚ ﺷﺒﻜﻪ ﺑﻴﻦ ﻣﺮﻭﺭﮔﺮ ﻭ ﺳِﺮﻭﺭ ﻭ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺍﻃﻼﻋﺎﺕ ﻳﻚ ﺳﺎﻳﺖ ﻭِﺏ ﺍﺳﺖ ﻛﻪ ﻗﺮﺍﺭ ﺑﻮﺩﻩ ﺍﺳﺖ ﻣﺤﺮﻣﺎﻧﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﺣﻤﻼﺕ ﻓﻌﺎﻝ ﺷﺎﻣﻞ ﺟﺎ ﺯﺩﻥ ﺧﻮﺩ ﺑﺠﺎﻱ ﺷﺨﺺ ﺩﻳﮕﺮ‪ ،‬ﺗﻐﻴﻴﺮ ﭘﻴﺎﻡﻫﺎﻱ ﺩﺭ ﺣﺎﻝ ﺗﺮﺍﻧﺰﻳﺖ ﺑﻴﻦ ﻛﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ ﻭ ﻫﻤﭽﻨﻴﻦ ﺗﻐﻴﻴﺮﺩﺍﺩﻥ‬
‫ﺍﻃﻼﻋﺎﺕ ﻳﻚ ﻭِﺏ ﺳﺎﻳﺖ ﻫﺴﺘﻨﺪ‪.‬‬
‫ﺭﺍﻩ ﺩﻳﮕﺮﻱ ﺑﺮﺍﻱ ﻃﺒﻘﻪﺑﻨﺪﻱ ﺗﻬﺪﻳﺪﻫﺎﻱ ﻭِﺏ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺁﻧﻬﺎ ﺭﺍ ﺑﺮ ﺣﺴﺐ ﻣﺤﻞ ﺗﻬﺪﻳﺪ ﻃﺒﻘﻪﺑﻨﺪﻱ ﻧﻤﺎﺋﻴﻢ‪ :‬ﺳِﺮﻭﺭ ﻭِﺏ‪،‬‬
‫ﻣﺮﻭﺭﮔﺮ ﻭِﺏ ﻭ ﺗﺮﺍﻓﻴﻚ ﺷﺒﻜﻪﺍﻱ ﺑﻴﻦ ﻣﺮﻭﺭﮔﺮ ﻭ ﺳِﺮﻭﺭ‪.‬‬
‫ﻣﻘﻮﻟﻪﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺳِﺮﻭﺭ ﻭ ﺍﻣﻨﻴﺖ ﻣﺮﻭﺭﮔﺮ ﺩﺭ ﺷﺎﺧﺔ ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﺟﺎﻱ ﺩﺍﺭﻧﺪ‪ .‬ﺩﺭ ﻗﺴﻤﺖﻫﺎﻱ ﺑﻌﺪﻱ ﺍﻳﻦ‬
‫ﻛﺘﺎﺏ‪ ،‬ﻣﻘﻮﻟﺔ ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ ﺑﻄﻮﺭ ﻛﻠﻲ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﻛﻪ ﺍﻟﺒﺘﻪ ﻗﺎﺑﻞ ﺍﻋﻤﺎﻝ ﺑﻪ ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻭِﺏ ﻧﻴﺰ ﻫﺴﺖ‪ .‬ﻣﻘﻮﻟﺔ‬
‫ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻣﻨﻴﺖ ﺗﺮﺍﻓﻴﻚ ﺩﺭ ﻃﺒﻘﻪﺑﻨﺪﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺑﻮﺩﻩ ﻭ ﺩﺭ ﺍﻳﻦ ﻓﺼﻞ ﺑﻪ ﺁﻥ ﺍﺷﺎﺭﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻳﻚ ﻣﻘﺎﻳﺴﻪ ﺍﺯ ﺗﻬﺪﻳﺪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭِﺏ ]‪[RUBI97‬‬ ‫ﺟﺪﻭﻝ ‪۷-۱‬‬
‫ﺭﻭﺵﻫﺎﻱ ﻣﻘﺎﺑﻠﻪ‬ ‫ﭘﻴﺎﻣﺪ ﺗﻬﺪﻳﺪﻫﺎ‬ ‫ﺗﻬﺪﻳﺪﻫﺎ‬

‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺟﻤــﻊﻫﺎﻱ ﻛﻨﺘـﺮﻟﻲ‬ ‫• ﺍﺯ ﺑﻴﻦ ﺭﻓﺘﻦ ﺍﻃﻼﻋﺎﺕ‬ ‫• ﺩﺳﺘﻜﺎﺭﻱ ﺩﺭ ﺩﺍﺩﻩﻫﺎﻱ ﻛﺎﺭﺑﺮ‬ ‫ﺻﺤﺖ‬
‫ﻣﺮﺗﺒﻂ ﺑﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫• ﻟﻮﺭﻓﺘﻦ ﻣﺎﺷﻴﻦ‬ ‫• ﻣﺮﻭﺭﮔﺮ ﺍﺳﺐ ﺗﺮﻭﺍ‬
‫• ﺁﺳﻴﺐﭘﺬﻳﺮﻱ ﺑﻪ ﺍﻧﻮﺍﻉ‬ ‫• ﺩﺳﺘﻜﺎﺭﻱ ﺣﺎﻓﻈﻪ‬
‫ﺗﻬﺪﻳﺪﻫﺎﻱ ﺩﻳﮕﺮ‬ ‫• ﺩﺳﺘﻜﺎﺭﻱ ﺗﺮﺍﻓﻴﻚ ﭘﻴﺎﻡ ﺩﺭ ﺣﺎﻝ ﺗﺮﺍﻧﺰﻳﺖ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ‪،‬‬ ‫• ﺍﺯ ﺑﻴﻦ ﺭﻓﺘﻦ ﺍﻃﻼﻋﺎﺕ‬ ‫• ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ ﺭﻭﻱ ﺍﻳﻨﺘﺮﻧﺖ‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﭘﺮﻭﻛﺴﻲﻫﺎﻱ ﻭِﺏ‬ ‫• ﺍﺯ ﺑﻴﻦ ﺭﻓﺘﻦ ﻣﺤﺮﻣﺎﻧﮕﻲ‬ ‫• ﺩﺯﺩﻱ ﺍﻃﻼﻋﺎﺕ ﺍﺯ ﺳِﺮﻭﺭ‬
‫• ﻛﺴﺐ ﺍﻃﻼﻋﺎﺕ ﺩﺭ ﻣﻮﺭﺩ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺷﺒﻜﻪ‬
‫• ﻛﺴﺐ ﺍﻃﻼﻋﺎﺕ ﺩﺭ ﻣﻮﺭﺩ ﺍﻳﻦﻛﻪ ﻛﺪﺍﻡ ﻛﻼﻳﻨﺖ‬
‫ﺑﺎ ﺳِﺮﻭﺭ ﺩﺭ ﺗﻤﺎﺱ ﺍﺳﺖ‪.‬‬
‫ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺍﻳﻦ ﺗﻬﺪﻳﺪﻫﺎ‬ ‫• ﺍﻳﺠﺎﺩ ﻭﻗﻔﻪ‬ ‫• ﻗﻄﻊ ﺭﺷﺘﻪﻫﺎﻱ ﺍﺭﺗﺒﺎﻃﻲ ﻛﺎﺭﺑﺮ‬ ‫ﺍﻧﻜﺎﺭ‬
‫ﻣﺸﻜﻞ ﺍﺳﺖ‬ ‫• ﺍﻳﺠﺎﺩ ﺍﺫﻳﺖ ﻭ ﺁﺯﺍﺭ‬ ‫• ﺍﻳﺠﺎﺩ ﺳﻴﻼﺑﻲ ﺍﺯ ﺗﻬﺪﻳﺪﻫﺎﻱ ﺳﺎﺧﺘﮕﻲ‬ ‫ﺳﺮﻭﻳﺲ‬
‫• ﺑﺎﺯﻣﺎﻧﺪﻥ ﻛﺎﺭﺑﺮ ﺍﺯ ﺍﻧﺠﺎﻡ‬ ‫• ﭘﺮﻛﺮﺩﻥ ﺣﺎﻓﻈﻪﻫﺎﻱ ﻛﺎﻣﭙﻴﻮﺗﺮ‬
‫ﻛﺎﺭﻫﺎﻱ ﻋﺎﺩﻱ‬ ‫• ﺍﻳﺰﻭﻟﻪ ﻛﺮﺩﻥ ﻣﺎﺷﻴﻦ ﺑﺎ ﺣﻤﻼﺕ ‪DNS‬‬
‫ﺗﻜﻨﻴﻚﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫• ﻣﻌﺮﻓﻲ ﻏﻠﻂ ﻛﺎﺭﺑﺮ‬ ‫• ﺟﻌﻞ ﻫﻮﻳﺖ ﻛﺎﺭﺑﺮﺍﻥ ﻗﺎﻧﻮﻧﻲ‬ ‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫• ﺍﻳﺠﺎﺩ ﺑﺎﻭﺭ ﻧﺴﺒﺖ ﺑﻪ‬ ‫• ﺗﻘﻠﺐ ﺩﺭ ﺩﺍﺩﻩﻫﺎ‬
‫ﺻﺤﺖ ﺍﻃﻼﻋﺎﺕ ﻏﻠﻂ‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٥٤‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺭﻭﺵﻫﺎﻱ ﺑﺮﺧﻮﺭﺩ ﺑﺎ ﺍﻣﻨﻴﺖ ﺗﺮﺍﻓﻴﻚ ﻭِﺏ‬
‫ﺭﻭﺵﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺑﺮﺍﻱ ﺗﺄﻣﻴﻦ ﺍﻣﻨﻴﺖ ﻭِﺏ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺭﻭﺵﻫﺎﻱ ﻣﺘﻔﺎﻭﺗﻲ ﻛﻪ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪﺍﻧﺪ ﺍﺯ ﻧﻈﺮ ﺳﺮﻭﻳﺲﻫﺎﺋﻲ ﻛﻪ‬
‫ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﻧﺪ ﻣﺸﺎﺑﻬﺖ ﺩﺍﺷﺘﻪ ﻭ ﺣﺘﻲ ﺗﺎ ﺣﺪ ﺯﻳﺎﺩﻱ ﺍﺯ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﻳﻜﺴﺎﻧﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺗﻔﺎﻭﺕ ﻋﻤﺪﺓ ﺁﻧﻬﺎ ﺩﺭ ﻣﺤﺪﻭﺩﺓ‬
‫ﻋﻤﻠﻴﺎﺗﻲ ﺭﻭﺵﻫﺎ ﻭ ﻫﻤﭽﻨﻴﻦ ﻣﻜﺎﻥ ﺁﻧﻬﺎ ﺩﺭ ﭘﺸﺘﺔ ﭘﺮﻭﺗﻜﻠﻲ ‪ TCP/IP‬ﺍﺳﺖ‪.‬‬
‫ﺷﻜﻞ ‪ ۷-۱‬ﺗﻔﺎﻭﺕ ﺍﺧﻴﺮ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻳﻜﻲ ﺍﺯ ﺭﻭﺵﻫﺎﻱ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻥ ﺍﻣﻨﻴﺖ ﻭِﺏ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻣﻨﻴﺖ ‪ IP‬ﺍﺳﺖ‬
‫)ﺷﻜﻞ ‪۷-۱‬ﺍﻟﻒ(‪ .‬ﻣﺰﻳﺖ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ IPSec‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻥ ﻭ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻧﺘﻬﺎﺋﻲ ﻧﺎﻣﺮﺋﻲ ﺑﻮﺩﻩ ﻭ ﻳﻚ ﺭﺍﻩ ﺣﻞ ﻫﻤﻪ‬
‫ﻣﻨﻈﻮﺭﻩ ﺑﺸﻤﺎﺭ ﻣﻲﺁﻳﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ ‪ IPSec‬ﺷﺎﻣﻞ ﻳﻚ ﻗﺎﺑﻠﻴﺖ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﻮﺩﻩ ﺑﻄﻮﺭﻱ ﻛﻪ ﺗﻨﻬﺎ ﺗﺮﺍﻓﻴﻚ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ‪ ،‬ﻻﺯﻡ ﺍﺳﺖ ﺍﺯ‬
‫ﺳﺮﺑﺎﺭﺓ ﭘﺮﺩﺍﺯﺵ ‪ IPSec‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﻨﺪ‪.‬‬
‫ﻳﻚ ﺭﻭﺵ ﻫﻤﻪ ﻣﻨﻈﻮﺭﺓ ﺩﻳﮕﺮ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﻣﻨﻴﺖ ﺭﺍ ﺩﺭﺳﺖ ﺩﺭ ﺑﺎﻻﻱ ﻻﻳﺔ ‪ TCP/IP‬ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻧﻤﺎﺋﻴﻢ )ﺷﻜﻞ ‪۷-۱‬ﺏ(‪.‬‬
‫ﺩﺭ ﺭﺃﺱ ﺍﻳﻦ ﺭﻭﺵ ﻻﻳﺔ ﺳﻮﻛﺖ ﺍﻣﻦ)‪ Secure Socket Layer (SSL‬ﻭ ﭘﺲ ﺍﺯ ﺁﻥ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺑﻌﺪﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺑﻨﺎﻡ ﺍﻣﻨﻴﺖ ﻻﻳﺔ‬
‫ﺣﻤﻞﻭﻧﻘﻞ )‪ Transport Layer Security (TLS‬ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﺳﻄﺢ ﺩﻭ ﺭﻭﺵ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻣﺨﺘﻠﻒ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺑﺮﺍﻱ‬
‫ﻋﻤﻮﻣﻴﺖ ﻛﺎﻣﻞ‪) SSL ،‬ﻳﺎ ‪ (TLS‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﻌﻨﻮﺍﻥ ﺑﺨﺸﻲ ﺍﺯ ﭘﺸﺘﺔ ﭘﺮﻭﺗﻜﻠﻲ ﻗﻠﻤﺪﺍﺩ ﺷﺪﻩ ﻭ ﺩﺭ ﻧﺘﻴﺠﻪ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻧﺎﻣﺮﺋﻲ ﺟﻠﻮﻩ‬
‫ﻛﻨﺪ‪ .‬ﺭﻭﺵ ﺩﻳﮕﺮ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ‪ SSL‬ﺩﺭ ﺑﺴﺘﻪﻫﺎﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻣﺸﺨﺺ ﺟﺎﻱ ﺩﺍﺩﻩ ﺷﻮﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﻣﺮﻭﺭﮔﺮﻫﺎﻱ ‪ Netscape‬ﻭ‬
‫‪ Microsoft Explorer‬ﻣﺠﻬﺰ ﺑﻪ‪ SSL‬ﺑﻪ ﺑﺎﺯﺍﺭ ﻣﻲﺁﻳﻨﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺑﻴﺸﺘﺮ ﺳِﺮﻭﺭﻫﺎﻱ ﻭِﺏ ﺍﻳﻦ ﭘﺮﻭﺗﻜﻞ ﺭﺍ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪﺍﻧﺪ‪.‬‬
‫ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﺨﺘﺺ ﺑﻪ ﻛﺎﺭﺑﺮﺩ‪ ،‬ﺩﺭ ﺷﻜﻢ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺟﺎﻱ ﺩﺍﺭﻧﺪ‪ .‬ﺷﻜﻞ ‪۷-۱‬ﺝ ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﺍﻳﻦ ﻣﻌﻤﺎﺭﻱ‬
‫ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺣﺴﻦ ﺍﻳﻦ ﺭﻭﺵ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺳﺮﻭﻳﺲ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺮ ﺣﺴﺐ ﻧﻴﺎﺯﻫﺎﻱ ﻣﺸﺨﺺ ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﺧﺎﺹ ﺩﺳﺘﻜﺎﺭﻱ‬
‫ﻧﻤﻮﺩ‪ .‬ﺩﺭ ﻣﺤﺪﻭﺩﺓ ﺍﻣﻨﻴﺖ ﻭِﺏ‪ ،‬ﻳﻚ ﻣﺜﺎﻝ ﻣﻬﻢ ﺍﺯ ﺍﻳﻦ ﻧﻮﻉ ﺑﺮﺧﻮﺭﺩ‪ Secure Electronic Transaction (SET) ،‬ﺍﺳﺖ‪.‬‬
‫ﺑﻘﻴﺔ ﺍﻳﻦ ﻓﺼﻞ ﺑﻪ ﺗﻮﺻﻴﻒ ‪ SSL/TLS‬ﻭ ‪ SET‬ﻣﻲﭘﺮﺩﺍﺯﺩ‪.‬‬
‫ﻻﻳﺔ ﺳﻮﻛﺖ ﺍﹶﻣﻦ ﻭ ﺍﻣﻨﻴﺖ ﻻﻳﺔ ﺣﻤﻞ ﻭ ﻧﻘﻞ )‪(SSL/TLS‬‬ ‫‪۷-۲‬‬
‫‪ SSL‬ﺭﺍ ‪ Netscape‬ﭘﺎﻳﻪﮔﺬﺍﺭﻱ ﻛﺮﺩ‪ .‬ﻧﺴﺨﺔ ﺳﻮﻡ ﺍﻳﻦ ﭘﺮﻭﺗﻜﻞ ﺑﺎ ﻧﻈﺮﺳﻨﺠﻲ ﻋﻤﻮﻣﻲ ﻭ ﺑﺎﺯﺧﻮﺭﺩ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺯ ﺻﻨﻌﺖ‪ ،‬ﻃﺮﺍﺣﻲ‬
‫ﺷﺪ ﻭ ﺑﻪ ﻋﻨﻮﺍﻥ ﭘﻴﺶﻧﻮﻳﺲ ﻳﻚ ﺳﻨﺪ ﺍﻳﻨﺘﺮﻧﺖ ﻣﻨﺘﺸﺮ ﮔﺮﺩﻳﺪ‪ .‬ﺑﻌﺪ ﺍﺯ ﺁﻥ ﻭﻗﺘﻲ ﻳﻚ ﺗﻮﺍﻓﻖ ﻛﻠﻲ ﺑﺮﺍﻱ ﺗﺴﻠﻴﻢ ﭘﺮﻭﺗﻜﻞ ﺑﻌﻨﻮﺍﻥ ﻳﻚ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻳﻨﺘﺮﻧﺖ ﺣﺎﺻﻞ ﺷﺪ‪ ،‬ﮔﺮﻭﻩ ﻛﺎﺭﻱ ‪ TLS‬ﺩﺭ ﺩﺭﻭﻥ ‪ IETF‬ﺗﺸﻜﻴﻞ ﮔﺮﺩﻳﺪ ﺗﺎ ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻣﺸﺘﺮﻙ ﺭﺍ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩ‪ .‬ﺍﻭﻟﻴﻦ‬
‫ﻧﺴﺨﺔ ﻣﻨﺘﺸﺮﺷﺪﻩ ‪ TLS‬ﺭﺍ ﻣﻲﺗﻮﺍﻥ ‪ SSLv3.1‬ﺩﺍﻧﺴﺖ ﻛﻪ ﺗﺎ ﺣﺪ ﺯﻳﺎﺩﻱ ﺑﺎ ﻧﺴﺨﺔ ﻗﺪﻳﻤﻲ ‪ SSLv3‬ﺳﺎﺯﮔﺎﺭ ﺍﺳﺖ‪.‬‬
‫‪S/MIME‬‬ ‫‪PGP‬‬ ‫‪SET‬‬ ‫‪HTTP‬‬ ‫‪FTP‬‬ ‫‪SMTP‬‬

‫‪Kerberos‬‬ ‫‪SMTP‬‬ ‫‪HTTP‬‬ ‫‪SSL or TLS‬‬ ‫‪HTTP‬‬ ‫‪FTP‬‬ ‫‪SMTP‬‬
‫‪UDP‬‬ ‫‪TCP‬‬ ‫‪TCP‬‬ ‫‪TCP‬‬
‫‪IP‬‬ ‫‪IP‬‬ ‫‪IP/IPSec‬‬
‫)ﺝ( ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ‬ ‫)ﺏ( ﺳﻄﺢ ﺣﻤﻞ ﻭ ﻧﻘﻞ‬ ‫)ﺍﻟﻒ( ﺳﻄﺢ ﺷﺒﻜﻪ‬
‫ﻣﻮﻗﻌﻴﺖ ﻧﺴﺒﻲ ﺗﺴﻬﻴﻼﺕ ﺍﻣﻨﻴﺘﻲ ﺩﺭ ﭘﺸﺘﺔ ﭘﺮﻭﺗﻜﻠﻲ ‪TCP/IP‬‬ ‫ﺷﻜﻞ ‪۷-۱‬‬

‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٥٥‬‬
‫ﻋﻤﺪﻩ ﻣﻄﺎﻟﺐ ﺍﻳﻦ ﺑﺨﺶ ﺑﻪ ﺑﺤﺚ ﺩﺭ ﻣﻮﺭﺩ ‪ SSLv3‬ﺍﺧﺘﺼﺎﺹ ﺩﺍﺭﺩ‪ .‬ﺩﺭ ﺍﻧﺘﻬﺎﻱ ﺑﺨﺶ‪ ،‬ﺗﻔﺎﻭﺕﻫﺎﻱ ﺑﻴﻦ ‪ SSLv3‬ﻭ ‪TLS‬‬
‫ﺗﻮﺿﻴﺢ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻣﻌﻤﺎﺭﻱ ‪SSL‬‬
‫‪ SSL‬ﺑﺮﺍﻱ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻥ ﻳﻚ ﺳﺮﻭﻳﺲ ﺍﻣﻦ ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ TCP/IP‬ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪ SSL .‬ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺗﻨﻬﺎ‬
‫ﻧﺒﻮﺩﻩ ﺑﻠﻜﻪ ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺩﺭ ﺷﻜﻞ ‪ ۷-۲‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺩﻭ ﻻﻳﻪ ﺍﺯ ﭘﺮﻭﺗﻜﻞﻫﺎ ﺁﻥ ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﻨﺪ‪.‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪ SSL Record‬ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﭘﺎﻳﻪ ﺭﺍ ﺑﺮﺍﻱ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﻋﻠﻲﺍﻟﺨﺼﻮﺹ‬
‫ﭘﺮﻭﺗﻜﻞ ‪ (hypertext transfer protocol) http‬ﻛﻪ ﺳﺮﻭﻳﺲ ﺍﻧﺘﻘﺎﻝ ﺑﺮﺍﻱ ﺗﻌﺎﻣﻞ ﻛﻼﻳﻨﺖ‪/‬ﺳِﺮﻭﺭ ﺭﻭﻱ ﻭِﺏ ﺭﺍ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﺑﺎﻻﻱ ‪ SSL‬ﻛﺎﺭ ﻛﻨﺪ‪ .‬ﺳﻪ ﭘﺮﻭﺗﻜﻞ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﺑﻪ ﻋﻨﻮﺍﻥ ﺑﺨﺸﻲ ﺍﺯ ‪ SSL‬ﺗﻌﺮﻳﻒ ﺷﺪﻩﺍﻧﺪ‪ :‬ﭘﺮﻭﺗﻜﻞ ‪،Handshake‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪ ،Change Cipher Spec‬ﻭ ﭘﺮﻭﺗﻜﻞ ‪ .Alert‬ﺍﻳﻦ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻣﺨﺘﺺ ﺑﻪ ‪ ،SSL‬ﺩﺭ ﻣﺪﻳﺮﻳﺖ ﺍﺭﺗﺒﺎﻃﺎﺕ ‪ SSL‬ﻣﻮﺭﺩ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﻭ ﺑﻌﺪﺍﹰ ﺩﺭ ﻣﻮﺭﺩ ﺁﻧﻬﺎ ﺻﺤﺒﺖ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﺩﻭ ﻣﻔﻬﻮﻡ ﻣﻬﻢ ‪ ،SSL‬ﻳﻜﻲ ﺍﺗﺼﺎﻝ ‪ SSL‬ﻭ ﺩﻳﮕﺮﻱ ﺍﺟﻼﺱ ‪ SSL‬ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻣﺸﺨﺼﺎﺕ ﺑﻪ ﺻﻮﺭﺕ ﺯﻳﺮ ﺗﻌﺮﻳﻒ ﺷﺪﻩﺍﻧﺪ‪:‬‬
‫ﺍﺗﺼﺎﻝ )‪ :(Connection‬ﻳﻚ ﺍﺗﺼﺎﻝ‪ ،‬ﻳﻚ ﺑﺴﺘﺮ ﺣﻤﻞﻭﻧﻘﻞ ﺍﻃﻼﻋﺎﺕ )ﺩﺭ ﺗﻌﺮﻳﻒ ﻻﻳﻪﻫﺎﻱ ‪ (OSI‬ﺍﺳﺖ ﻛﻪ ﻧﻮﻉ ﻣﻨﺎﺳﺒﻲ‬ ‫•‬
‫ﺍﺯ ﺳﺮﻭﻳﺲ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﺑﺮﺍﻱ ‪ SSL‬ﭼﻨﻴﻦ ﺍﺗﺼﺎﻻﺗﻲ ﺩﺍﺭﺍﻱ ﺭﺍﺑﻄﺔ ﻧﻈﻴﺮ‪ -‬ﺑﻪ‪ -‬ﻧﻈﻴﺮﺍﻧﺪ‪ .‬ﺍﺗﺼﺎﻻﺕ ﻣﻮﻗﺘﻲ ﻫﺴﺘﻨﺪ‪ .‬ﻫﺮ‬
‫ﺍﺗﺼﺎﻝ ﻣﺮﺗﺒﻂ ﺑﺎ ﻳﻚ ﺍﺟﻼﺱ ﺍﺳﺖ‪.‬‬
‫ﺍﺟﻼﺱ )‪ :(Session‬ﻳﻚ ﺍﺟﻼﺱ ‪ ،SSL‬ﻳﻚ ﺍﺗﺤﺎﺩ ﺑﻴﻦ ﻳﻚ ﻛﻼﻳﻨﺖ ﻭ ﻳﻚ ﺳِﺮﻭﺭ ﺍﺳﺖ‪ .‬ﺍﺟﻼﺱﻫﺎ ﺑﺘﻮﺳﻂ ﭘﺮﻭﺗﻜﻞ‬ ‫•‬
‫‪ Handshake‬ﺷﻜﻞ ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﺍﺟﻼﺱﻫﺎ‪ ،‬ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﺮﺗﺒﻂ ﺑﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﻨﺪ ﻛﻪ‬
‫ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﻴﻦ ﺍﺗﺼﺎﻻﺕ ﻣﺨﺘﻠﻒ ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﮔﺬﺍﺷﺘﻪ ﺷﻮﻧﺪ‪ .‬ﺍﺯ ﺍﺟﻼﺱﻫﺎ ﺑﻤﻨﻈﻮﺭ ﺍﺟﺘﻨﺎﺏ ﺍﺯ ﺗﻮﺍﻓﻘﺎﺕ ﮔﺮﺍﻥ ﻗﻴﻤﺖ ﺩﺭ‬
‫ﻣﻮﺭﺩ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺟﺪﻳﺪ ﺑﺮﺍﻱ ﻫﺮ ﺍﺗﺼﺎﻝ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺑﻴﻦ ﺩﻭ ﺯﻭﺝ ﻣﺮﺗﺒﻂ )ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﻫﻤﺎﻧﻨﺪ ‪ HTTP‬ﺭﻭﻱ ﻛﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ(‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺗﺼﺎﻻﺕ ﺍﻣﻦ ﻣﺘﻌﺪﺩﻱ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ‬
‫ﺑﺎﺷﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺍﺯ ﻧﻈﺮ ﺗﺌﻮﺭﻱ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺟﻼﺱﻫﺎﻱ ﻫﻢﺯﻣﺎﻥ ﻣﺘﻌﺪﺩﻱ ﻧﻴﺰ ﺑﻴﻦ ﻃﺮﻓﻴﻦ ﻣﻮﺟﻮﺩ ﺑﺎﺷﺪ ﺍﻣﺎ ﺍﺯ ﺍﻳﻦ ﺧﺼﻮﺻﻴﺖ ﺩﺭ‬
‫ﻋﻤﻞ ﺍﺳﺘﻔﺎﺩﻩﺍﻱ ﻧﻤﻲﺷﻮﺩ‪.‬‬
‫‪SSL‬‬ ‫‪SSL Change‬‬ ‫‪SSL‬‬

‫‪Handshake‬‬ ‫‪Cipher Spec‬‬ ‫‪Alert‬‬ ‫‪HTTP‬‬
‫‪Protocol‬‬ ‫‪Protocol‬‬ ‫‪Protocol‬‬
‫‪SSL Record Protocol‬‬
‫‪TCP‬‬
‫‪IP‬‬
‫ﭘﺸﺘﺔ ﭘﺮﻭﺗﻜﻠﻲ ‪SSL‬‬ ‫ﺷﻜﻞ ‪۷-۲‬‬

‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٥٦‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺩﺭ ﺣﻘﻴﻘﺖ ﺑﺎ ﻫﺮ ﺍﺟﻼﺱ ﺣﺎﻻﺕ ﻣﺘﻌﺪﺩﻱ ﻣﺮﺗﺒﻂ ﺍﺳﺖ‪ .‬ﻫﻤﻴﻦ ﻛﻪ ﺍﺟﻼﺳﻲ ﺑﺮﻗﺮﺍﺭ ﺷﺪ‪ ،‬ﻳﻚ ﺣﺎﻟﺖ ﻋﻤﻠﻴﺎﺗﻲ ﺟﺎﺭﻱ ﻫﻢ ﺑﺮﺍﻱ‬
‫ﺧﻮﺍﻧﺪﻥ ﻭ ﻫﻢ ﺑﺮﺍﻱ ﻧﻮﺷﺘﻦ )ﻳﻌﻨﻲ ﺩﺭﻳﺎﻓﺖ ﻭ ﺍﺭﺳﺎﻝ( ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺁﻥ ﺩﺭ ﺧﻼﻝ ﺍﺟﺮﺍﻱ ﭘﺮﻭﺗﻜﻞ ‪ Handshake‬ﺣﺎﻻﺕ‬
‫ﻣﻮﻗﺖ ﺧﻮﺍﻧﺪﻥ ﻭ ﻧﻮﺷﺘﻦ ﺍﻳﺠﺎﺩ ﻣﻲﺷﻮﺩ‪ .‬ﭘﺲ ﺍﺯ ﭘﺎﻳﺎﻥ ﻣﻮﻓﻘﻴﺖﺁﻣﻴﺰ ﭘﺮﻭﺗﻜﻞ ‪ ،Handshake‬ﺣﺎﻻﺕ ﻣﻮﻗﺖ ﺑﻪ ﺣﺎﻻﺕ ﺟﺎﺭﻱ ﺗﺒﺪﻳﻞ‬
‫ﺣﺎﻟﺖ ﻳﻚ ﺍﺟﻼﺱ ﺑﺘﻮﺳﻂ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺯﻳﺮ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ )ﺗﻌﺎﺭﻳﻒ ﺍﺯ ﻣﺸﺨﺼﻪﻫﺎﻱ ‪ SSL‬ﺍﻗﺘﺒﺎﺱ ﺷﺪﻩﺍﻧﺪ(‪:‬‬
‫‪ :Session identifier‬ﻳﻚ ﺩﻧﺒﺎﻟﺔ ﺍﺧﺘﻴﺎﺭﻱ ﺍﺯ ﺑﺎﻳﺖﻫﺎ ﻛﻪ ﺑﺘﻮﺳﻂ ﺳِﺮﻭﺭ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺗﺎ ﻧﺸﺎﻥ ﺩﻫﺪ ﻛﻪ ﺣﺎﻟﺖ ﺍﺟﻼﺱ‬ ‫•‬
‫ﻓﻌﺎﻝ ﻭ ﻳﺎ ﻗﺎﺑﻞ ﺗﺪﺍﻭﻡ ﺍﺳﺖ‪.‬‬
‫‪ :Peer certificate‬ﻳﻚ ﮔﻮﺍﻫﻲ ‪ X509.v3‬ﻭﺍﺣﺪ ﻧﻈﻴﺮﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻋﻨﺼﺮ ﺣﺎﻟﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﺧﺎﻟﻲ ﺑﺎﺷﺪ‪.‬‬ ‫•‬
‫‪ :Compression method‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺑﺮﺍﻱ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺩﻳﺘﺎ ﻗﺒﻞ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ‪.‬‬ ‫•‬
‫‪ :Cipher spec‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻳﺘﺎﻱ ﺍﺻﻠﻲ )ﻣﺎﻧﻨﺪ ‪ DES ،null‬ﻭ ﻏﻴﺮﻩ(‪ ،‬ﺍﻟﮕﻮﺭﻳﺘﻢ ‪) hash‬ﻣﺎﻧﻨﺪ ‪ SHA-1‬ﻳﺎ‬ ‫•‬
‫‪ (MD5‬ﻛﻪ ﺑﺮﺍﻱ ﻣﺤﺎﺳﺒﻪ ‪ MAC‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ ﻭ ﻫﻤﭽﻨﻴﻦ ﺳﺎﻳﺮ ﻣﺸﺨﺼﺎﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺜﻞ ﺍﻧﺪﺍﺯﺓ ‪ hash‬ﺭﺍ ﻣﺸﺨﺺ‬
‫‪ ۴۸ :Master secret‬ﺑﺎﻳﺖ ﺳﺮّﻱ ﻛﻪ ﺑﻴﻦ ﻛﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﮔﺬﺍﺷﺘﻪ ﻣﻲﺷﻮﺩ‪.‬‬ ‫•‬
‫‪ :Is resumable‬ﻳﻚ ﭘﺮﭼﻢ ﻛﻪ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ ﺁﻳﺎ ﺍﺟﻼﺱ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﺍﺗﺼﺎﻻﺕ ﺟﺪﻳﺪ ﺑﻜﺎﺭ ﺭﻭﺩ‪.‬‬ ‫•‬
‫ﺣﺎﻟﺖ ﻳﻚ ﺍﺗﺼﺎﻝ ﺑﺎ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺯﻳﺮ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪:‬‬
‫‪ :Server and client random‬ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ ﺑﺎﻳﺖﻫﺎ ﻛﻪ ﺑﺘﻮﺳﻂ ﺳِﺮﻭﺭ ﻭ ﻛﻼﻳﻨﺖ ﺑﺮﺍﻱ ﻫﺮ ﺍﺗﺼﺎﻝ ﺍﻧﺘﺨﺎﺏ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫•‬
‫‪ :Server write MAC secret‬ﻛﻠﻴﺪ ﺳﺮّﻱ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺩﺭ ﻋﻤﻠﻴﺎﺕ ﺗﻮﻟﻴﺪ ‪ MAC‬ﺑﺮ ﺭﻭﻱ ﺩﻳﺘﺎﺋﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﺳِﺮﻭﺭ‬ ‫•‬
‫ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ :Client write MAC secret‬ﻛﻠﻴﺪ ﺳﺮّﻱ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺩﺭ ﻋﻤﻠﻴﺎﺕ ﺗﻮﻟﻴﺪ ‪ MAC‬ﺑﺮ ﺭﻭﻱ ﺩﻳﺘﺎﺋﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ‬ ‫•‬
‫ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ :Server write key‬ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ ﺑﺮﺍﻱ ﺩﻳﺘﺎﺋﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﺳِﺮﻭﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﻭ ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ‬ ‫•‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ :Client write key‬ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ ﺑﺮﺍﻱ ﺩﻳﺘﺎﺋﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﻭ ﺑﺘﻮﺳﻂ ﺳِﺮﻭﺭ‬ ‫•‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ :Initialization vectors‬ﻭﻗﺘﻲ ﺍﺯ ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺩﺭ ﻣُﻮﺩ ‪ CBC‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﻳﻚ ﺑﺮﺩﺍﺭ ﺍﺑﺘﺪﺍﺋﻲ )‪ (IV‬ﺑﺮﺍﻱ‬ ‫•‬
‫ﻫﺮ ﻛﻠﻴﺪ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺍﻳﻦ ﻣﻴﺪﺍﻥ ﺍﺑﺘﺪﺍ ﺑﺘﻮﺳﻂ ﭘﺮﻭﺗﻜﻞ ‪ SSL Handshake‬ﺍﻧﺘﺨﺎﺏ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻌﺪ ﺍﺯ ﺁﻥ‪ ،‬ﺍﺯ ﺁﺧﺮﻳﻦ ﻗﺎﻟﺐ‬
‫ﺭﻣﺰﺷﺪﻩ ﻫﺮ ﺭﻛﻮﺭﺩ‪ ،‬ﺑﺮﺍﻱ ‪ IV‬ﺭﻛﻮﺭﺩ ﺑﻌﺪﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ :Sequence numbers‬ﻫﺮ ﻳﻚ ﺍﺯ ﻃﺮﻓﻴﻦ ﺍﺭﺗﺒﺎﻁ‪ ،‬ﺷﻤﺎﺭﻩ ﺭﺩﻳﻒﻫﺎﻱ ﻣﺘﻔﺎﻭﺗﻲ ﺭﺍ ﺑﺮﺍﻱ ﭘﻴﺎﻡﻫﺎﻱ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﻭ‬ ‫•‬
‫ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺑﺮﺍﻱ ﻫﺮ ﺍﺗﺼﺎﻝ ﻧﮕﻬﺪﺍﺭﻱ ﻣﻲﻛﻨﺪ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﻃﺮﻑ ﺍﺭﺗﺒﺎﻁ‪ ،‬ﻳﻚ ﭘﻴﺎﻡ ﺗﻐﻴﻴﺮ ‪ Cipher spec‬ﺭﺍ ﺍﺭﺳﺎﻝ‬
‫ﻣﻲﻛﻨﺪ‪ ،‬ﺷﻤﺎﺭﺓ ﺭﺩﻳﻒ ﻣﺮﺗﺒﻂ ﺻﻔﺮ ﻣﻲﺷﻮﺩ‪ .‬ﺷﻤﺎﺭﻩ ﺭﺩﻳﻒﻫﺎ ﻧﻤﻲﺗﻮﺍﻧﻨﺪ ﺍﺯ ‪ ۲۶۴-۱‬ﺗﺠﺎﻭﺯ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٥٧‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪SSL RECORD‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪ SSL Record‬ﺩﻭ ﺳﺮﻭﻳﺲ ﺭﺍ ﺑﺮﺍﻱ ﺍﺗﺼﺎﻻﺕ ‪ SSL‬ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪:‬‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ‪ :‬ﭘﺮﻭﺗﻜﻞ ‪ ،Handshake‬ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﺸﺘﺮﻙ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ ﻣﺤﻤﻮﻟﺔ‬ ‫•‬
‫ﺩﻳﺘﺎﻱ ‪ SSL‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪.‬‬
‫ﺻﺤﺖ ﭘﻴﺎﻡ‪ :‬ﭘﺮﻭﺗﻜﻞ ‪ ،Handshake‬ﻫﻤﭽﻨﻴﻦ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﺸﺘﺮﻙ ﺩﻳﮕﺮ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﺮﺍﻱ ﺗﺸﻜﻴﻞ ﻛﹸﺪ‬ ‫•‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ )‪ (MAC‬ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪.‬‬
‫ﺷﻜﻞ ‪ ۷-۳‬ﻋﻤﻠﻴﺎﺕ ﻛﻠﻲ ﭘﺮﻭﺗﻜﻞ ‪ SSL Record‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﭘﺮﻭﺗﻜﻞ ﻳﻚ ﭘﻴﺎﻡ ﻛﺎﺭﺑﺮﺩﻱ ﺭﺍ ﻛﻪ ﻗﺮﺍﺭ ﺍﺳﺖ‬
‫ﺍﺭﺳﺎﻝ ﺷﻮﺩ ﺍﺧﺬ ﻛﺮﺩﻩ‪ ،‬ﺩﻳﺘﺎ ﺭﺍ ﺑﺼﻮﺭﺕ ﻗﺎﻟﺐﻫﺎﻱ ﻛﻮﭼﻜﺘﺮ ﻗﺎﺑﻞ ﭘﺮﺩﺍﺯﺵ ﺩﺭﺁﻭﺭﺩﻩ‪ ،‬ﺩﻳﺘﺎ ﺭﺍ ﺑﺼﻮﺭﺕ ﺍﺧﺘﻴﺎﺭﻱ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻧﻤﻮﺩﻩ‪،‬‬
‫ﻳﻚ ﺳﺮﺁﻳﻨﺪ )‪ (header‬ﺑﻪ ﺁﻥ ﺍﺿﺎﻓﻪ ﻛﺮﺩﻩ ﻭ ﻭﺍﺣﺪ ﻧﺘﻴﺠﻪ ﺷﺪﻩ ﺭﺍ ﺩﺭ ﻳﻚ ﺳِﮕﻤﻨﺖ ‪ TCP‬ﺍﻧﺘﻘﺎﻝ ﻣﻲﺩﻫﺪ‪ .‬ﺩﻳﺘﺎﻱ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﺷﺪﻩ‪ ،‬ﺗﺄﺋﻴﺪ ﺷﺪﻩ‪ ،‬ﺍﺯ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺩﺭﺁﻣﺪﻩ ﻭ ﺩﻭﺑﺎﺭﻩ ﺑﻬﻢ ﻣﻲﭘﻴﻮﻧﺪﺩ ﻭ ﺳﭙﺲ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ ﻻﻳﺔﻫﺎﻱ ﺑﺎﻻﺗﺮ ﺗﺤﻮﻳﻞ ﺩﺍﺩﻩ‬
‫ﺍﻭﻟﻴﻦ ﻗﺪﻡ‪ ،‬ﻗﻄﻌﻪ ﻗﻄﻌﻪ ﻛﺮﺩﻥ ﺩﻳﺘﺎ )‪ (fragmentation‬ﺍﺳﺖ‪ .‬ﻫﺮ ﭘﻴﺎﻡ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﺑﺼﻮﺭﺕ ﺑﻠﻮﻙﻫﺎﺋﻲ ﺑﺎ ﺍﻧﺪﺍﺯﺓ‬
‫‪ ۲۱۴=۱۶,۳۸۴‬ﺑﺎﻳﺖ ﻳﺎ ﻛﻤﺘﺮ ﺩﺭ ﻣﻲﺁﻳﺪ‪ .‬ﺳﭙﺲ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ )‪ (compression‬ﺑﺼﻮﺭﺕ ﺍﺧﺘﻴﺎﺭﻱ ﻭ ﺩﺭ ﺻﻮﺭﺕ ﻧﻴﺎﺯ ﺭﻭﻱ ﺁﻥ‬
‫ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺑﺎﻳﺴﺘﻲ ﺑﺪﻭﻥ ﺗﻠﻔﺎﺕ ﺑﻮﺩﻩ ﻭ ﻧﺒﺎﻳﺴﺘﻲ ﻃﻮﻝ ﻣﺤﺘﻮﻳﺎﺕ ﺭﺍ ﺑﻴﺶ ﺍﺯ ‪ ۱,۰۲۴‬ﺑﺎﻳﺖ ﺍﻓﺰﺍﻳﺶ ﺩﻫﺪ‪ .‬ﺩﺭ‬
‫‪) SSLv3‬ﻭ ﻫﻤﭽﻨﻴﻦ ﺩﺭ ﻧﺴﺨﺔ ﻓﻌﻠﻲ ‪ (TLS‬ﻧﻮﻉ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻣﺸﺨﺺ ﻧﺸﺪﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﭘﻴﺶ ﻓﺮﺽ‪ ،‬ﻋﺪﻡ ﺣﻀﻮﺭ ﺁﻥ‬
‫ﺍﺳﺖ‪.‬‬
‫‪Application Data‬‬
‫‪Fragment‬‬
‫‪Compress‬‬
‫‪Add MAC‬‬
‫‪Encrypt‬‬
‫‪Append SSL‬‬
‫‪Record Header‬‬
‫ﻋﻤﻠﻴﺎﺕ ‪SSL Record Protocol‬‬ ‫ﺷﻜﻞ ‪۷-۳‬‬

‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٥٨‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻗﺪﻡ ﺑﻌﺪﻱ ﭘﺮﺩﺍﺯﺵ‪ ،‬ﻣﺤﺎﺳﺒﺔ ﻳﻚ ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ )‪ (MAC‬ﺍﺯ ﺩﻳﺘﺎﻱ ﻓﺸﺮﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻛﺎﺭ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ‬
‫ﺳﺮّﻱ ﻣﺸﺘﺮﻙ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﻣﺤﺎﺳﺒﺎﺕ ﭼﻨﻴﻦ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﻧﺪ‪:‬‬
‫|| ‪hash(MAC_write_secret || pad_2‬‬
‫|| ‪hash(MAC_write_secret || pad_1 || seq_num || SSLCompressed.type‬‬
‫))‪SSLCompressed.length || SSLCompressed.fragment‬‬
‫ﻛﻪ ﺩﺭﺁﻥ‬
‫||‬ ‫ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ )‪= (concatenation‬‬
‫‪MAC_write_secret‬‬ ‫ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﺸﺘﺮﻙ =‬
‫‪hash‬‬ ‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻱ ‪ hash‬ﻛﻪ ﻳﺎ ‪ MD5‬ﻭ ﻳﺎ ‪ SHA-1‬ﺍﺳﺖ =‬
‫‪pad_1‬‬ ‫ﺑﺎﻳﺖ ‪ 36) 0011 0110‬ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ( ﻛﻪ ‪ ۴۸‬ﺑﺎﺭ ﺑﺮﺍﻱ ‪= MD5‬‬
‫)‪ ۳۸۴‬ﺑﻴﺖ( ﻭ ‪ ۴۰‬ﺑﺎﺭ ﺑﺮﺍﻱ ‪ ۳۲۰) SHA-1‬ﺑﻴﺖ( ﺗﻜﺮﺍﺭ ﻣﻲﺷﻮﺩ‬
‫‪pad_2‬‬ ‫ﺑﺎﻳﺖ ‪ 5C) 0101 1100‬ﻫﻜﺰﺍﺩﺳﻴﻤﺎﻝ(ﻛﻪ ‪ ۴۸‬ﺑﺎﺭ ﺑﺮﺍﻱ ‪= MD5‬‬
‫ﻭ ‪ ۴۰‬ﺑﺎﺭ ﺑﺮﺍﻱ ‪ SHA-1‬ﺗﻜﺮﺍﺭ ﻣﻲﺷﻮﺩ‬
‫‪seq _num‬‬ ‫ﺷﻤﺎﺭﻩ ﺭﺩﻳﻒ ﺍﻳﻦ ﭘﻴﺎﻡ =‬
‫‪SSLCompressed.type‬‬ ‫ﭘﺮﻭﺗﻜﻞ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﻛﻪ ﺑﺮﺍﻱ ﭘﺮﺩﺍﺯﺵ ﺍﻳﻦ ﻓِﺮﮔﻤﻨﺖ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ =‬
‫‪SSLCompressed.length‬‬ ‫ﻃﻮﻝ ﻓِﺮﮔﻤﻨﺖ ﻓﺸﺮﺩﻩ ﺷﺪﻩ =‬
‫‪SSLCompressed.fragment‬‬ ‫ﻓِﺮﮔﻤﻨﺖ ﻓﺸﺮﺩﻩ ﺷﺪﻩ )ﺍﮔﺮ ﺍﺯ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻧﺸﺪﻩ ﺍﺳﺖ‪ ،‬ﻣﺘﻦ ﺳﺎﺩﻩ( =‬
‫ﺗﻮﺟﻪ ﻛﻨﻴﺪ ﻛﻪ ﺍﻳﻦ ﺧﻴﻠﻲ ﺷﺒﻴﻪ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ HMAC‬ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻓﺼﻮﻝ ﻗﺒﻞ ﺍﺯ ﺁﻥ ﻳﺎﺩ ﺷﺪ‪ .‬ﺗﻔﺎﻭﺕ ﺩﺭ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﻭ‬
‫ﻣﻘﺪﺍﺭ ‪ pad‬ﺩﺭ ‪ SSLv3‬ﺑﺎﻫﻢ ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ ﺷﺪﻩ ﺩﺭﺣﺎﻟﻲ ﻛﻪ ﺩﺭ ‪ HMAC‬ﺑﺎﻫﻢ ‪ XOR‬ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ MAC‬ﺩﺭ ‪SSLv3‬‬
‫ﻣﺒﺘﻨﻲ ﺑﺮ ﭘﻴﺶ ﻧﻮﻳﺲ ﺍﻳﻨﺘﺮﻧﺘﻲ ﺍﻭﻟﻴﻪ ﺑﺮﺍﻱ ‪ HMAC‬ﺑﻮﺩﻩ ﻛﻪ ﺍﺯ ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺁﺧﺮﻳﻦ ﻧﺴﺨﺔ ‪ HMAC‬ﻛﻪ ﺩﺭ‬
‫‪ RFC 2104‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ ﺍﺯ ‪ XOR‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺳﭙﺲ ﭘﻴﺎﻡ ﻓﺸﺮﺩﻩﺷﺪﻩ ﺑﻌﻼﻭﺓ ‪ MAC‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪ .‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﻤﻲﺗﻮﺍﻧﺪ ﻃﻮﻝ‬
‫ﻣﺤﺘﻮﻱ ﺭﺍ ﺑﻴﺶ ﺍﺯ‪ ۱,۰۲۴‬ﺑﺎﻳﺖ ﺍﻓﺰﺍﻳﺶ ﺩﻫﺪ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻃﻮﻝ ﻧﻬﺎﺋﻲ ﻧﺒﺎﻳﺴﺘﻲ ﺍﺯ ‪ ۲۱۴ + ۲,۰۴۸‬ﺗﺠﺎﻭﺯ ﻛﻨﺪ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺯﻳﺮ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻣﺠﺎﺯﻧﺪ‪:‬‬
‫ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ‬ ‫ﺭﻣﺰ ﻗﺎﻟﺒﻲ‬
‫ﻃﻮﻝ ﻛﻠﻴﺪ‬ ‫ﺍﻟﮕﻮﺭﻳﺘﻢ‬ ‫ﻃﻮﻝ ﻛﻠﻴﺪ‬ ‫ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫‪40‬‬ ‫‪RC4-40‬‬ ‫‪128,256‬‬ ‫‪AES‬‬

‫‪128‬‬ ‫‪RC4-128‬‬ ‫‪128‬‬ ‫‪IDEA‬‬
‫‪40‬‬ ‫‪RC2-40‬‬
‫‪40‬‬ ‫‪DES-40‬‬
‫‪56‬‬ ‫‪DES‬‬
‫‪168‬‬ ‫‪3DES‬‬
‫‪80‬‬ ‫‪Fortezza‬‬
‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٥٩‬‬
‫‪ Fortezza‬ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻳﻚ ﻛﺎﺭﺕ ﻫﻮﺷﻤﻨﺪ ﺑﻜﺎﺭ ﺭﻭﺩ‪.‬‬
‫ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻧﺒﺎﻟﻪﺍﻱ‪ ،‬ﭘﻴﺎﻡ ﻓﺸﺮﺩﻩ ﺷﺪﻩ ﺑﺎﺿﺎﻓﺔ ‪ MAC‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺗﻮﺟﻪ ﻛﻨﻴﺪ ﻛﻪ ‪ MAC‬ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺻﻮﺭﺕ ﭘﺬﻳﺮﺩ ﻣﺤﺎﺳﺒﻪ ﻣﻲﺷﻮﺩ ﻭ ﺁﻧﮕﺎﻩ ‪ MAC‬ﺑﺎﺿﺎﻓﺔ ﻣﺘﻦ ﺳﺎﺩﻩ ﻳﺎ ﻣﺘﻦ ﺳﺎﺩﺓ ﻓﺸﺮﺩﻩ ﺷﺪﻩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻗﺎﻟﺒﻲ‪ padding ،‬ﻣﻲﺗﻮﺍﻧﺪ ﭘﺲ ﺍﺯ ﻣﺤﺎﺳﺒﺔ ‪ MAC‬ﻭ ﻗﺒﻞ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪ padding .‬ﻋﺒﺎﺭﺕ ﺍﺯ‬
‫ﺗﻌﺪﺍﺩﻱ ﺑﺎﻳﺖ ﻻﺋﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺍﻧﺘﻬﺎﻱ ﺁﻥ ﻳﻚ ﺑﺎﻳﺖ ﻛﻪ ﺍﻧﺪﺍﺯﺓ ﻻﺋﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺍﻧﺪﺍﺯﺓ ﻛﻞ ﻻﺋﻲ ﻛﻮﭼﻜﺘﺮﻳﻦ‬
‫ﻣﻘﺪﺍﺭﻱ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺍﻧﺪ ﺍﻧﺪﺍﺯﺓ ﻛﻞ ﺩﻳﺘﺎﺋﻲ ﻛﻪ ﺑﺎﻳﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﺩ )ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﺎﺿﺎﻓﺔ ‪ MAC‬ﺑﺎﺿﺎﻓﺔ ‪ (padding‬ﺭﺍ ﺑﻪ ﺍﻧﺪﺍﺯﺓ‬
‫ﻣﻀﺮﺑﻲ ﺍﺯ ﻃﻮﻝ ﺑﻠﻮﻙ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺩﺭﺁﻭﺭﺩ‪ .‬ﻣﺜﺎﻝ ﺍﻳﻦ ﻣﻮﺭﺩ ﻳﻚ ﻣﺘﻦ ﺳﺎﺩﺓ ‪ -۵۸‬ﺑﺎﻳﺘﻲ )ﻳﺎ ﺍﮔﺮ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺻﻮﺭﺕ ﭘﺬﻳﺮﻓﺘﻪ ﺍﺳﺖ‬
‫ﻣﺘﻦ ﻓﺸﺮﺩﻩ( ﺑﺎ ﻳﻚ ‪ MAC‬ﺑﺎ ﺍﻧﺪﺍﺯﺓ ‪ ۲۰‬ﺑﺎﻳﺖ )ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ (SHA-1‬ﺍﺳﺖ ﻛﻪ ﺑﺎ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻛﻪ ﻃﻮﻝ ﻗﺎﻟﺐ ﺁﻥ ‪ ۸‬ﺑﺎﻳﺖ‬
‫ﺍﺳﺖ )ﻣﺜﻞ ‪ (DES‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﺩ‪ .‬ﺑﺎ ﻣﺤﺎﺳﺒﺔ ﺑﺎﻳﺖ ﻣﺮﺑﻮﻁ ﺑﻪ ﻃﻮﻝ ﻻﺋﻲ ﺍﻳﻦ ﻣﺠﻤﻮﻋﻪ ‪ ۷۹‬ﺑﺎﻳﺖ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﺍﻳﻦ‬
‫ﻣﻘﺪﺍﺭ ﻣﻀﺮﺏ ‪ ۸‬ﺷﻮﺩ‪ ۱ ،‬ﺑﺎﻳﺖ ﻻﺋﻲ ﺑﻪ ﺁﻥ ﺍﺿﺎﻓﻪ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻗﺪﻡ ﻧﻬﺎﺋﻲ ﺩﺭ ﭘﺮﺩﺍﺯﺵ ﭘﺮﻭﺗﻜﻞ ‪ SSL Record‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﺳﺮﺁﻳﻨﺪ)‪ (header‬ﻛﻪ ﺷﺎﻣﻞ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ ﺑﻪ‬
‫ﺍﺑﺘﺪﺍﻱ ﺁﻥ ﺍﺿﺎﻓﻪ ﺷﻮﺩ‪:‬‬
‫ﻧﻮﻉ ﻣﺤﺘﻮﺍ )‪ ۸‬ﺑﻴﺖ(‪ :‬ﭘﺮﻭﺗﻜﻞ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﻛﻪ ﺑﺮﺍﻱ ﭘﺮﺩﺍﺯﺵ ﺍﻳﻦ ﻓِﺮﮔﻤﻨﺖ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪.‬‬ ‫•‬
‫ﻧﺴﺨﺔ ﺍﺻﻠﻲ )‪ ۸‬ﺑﻴﺖ(‪ :‬ﻧﺴﺨﺔ ﺍﺻﻠﻲ ‪ SSL‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺑﺮﺍﻱ ‪ SSLv3‬ﺍﻳﻦ ﺍﻧﺪﺍﺯﻩ ‪ 3‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬ ‫•‬
‫ﻧﺴﺨﺔ ﻓﺮﻋﻲ )‪ ۸‬ﺑﻴﺖ(‪ :‬ﻧﺴﺨﺔ ﻓﺮﻋﻲ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺑﺮﺍﻱ ‪ SSLv3‬ﺍﻳﻦ ﻣﻘﺪﺍﺭ ‪ 0‬ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﻃﻮﻝ ﻓﺸﺮﺩﻩﺷﺪﻩ )‪ ۱۶‬ﺑﻴﺖ(‪ :‬ﻃﻮﻝ ﻓِﺮﮔﻤﻨﺖ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﺮ ﺣﺴﺐ ﺑﺎﻳﺖ )ﺩﺭ ﺻﻮﺭﺕ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ‪ ،‬ﻃﻮﻝ ﻓِﺮﮔﻤﻨﺖ‬ ‫•‬
‫ﻓﺸﺮﺩﻩ ﺷﺪﻩ(‪ .‬ﺍﻧﺪﺍﺯﺓ ﻣﺎﻛﺰﻳﻤﻢ ‪ ۲۱۴ + ۲,۰۴۸‬ﺍﺳﺖ‪.‬‬
‫ﻣﺤﺘﻮﺍﻫﺎﻱ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﻋﺒﺎﺭﺕ ﺍﺯ ‪ handshake ،alert ،change_cipher_spec‬ﻭ ‪ application_data‬ﻫﺴﺘﻨﺪ‪.‬‬

‫ﺳﻪﺗﺎﻱ ﺍﻭﻝ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻣﺨﺘﺺ ‪ SSL‬ﺑﻮﺩﻩ ﻛﻪ ﻣﻮﺿﻮﻉ ﺑﺤﺚ ﺑﻌﺪﻱ ﺍﺳﺖ‪ .‬ﺗﻮﺟﻪ ﻛﻨﻴﺪﻛﻪ ﻫﻴﭻ ﺗﻔﺎﻭﺗﻲ ﺑﻴﻦ ﺍﻧﻮﺍﻉ ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ )ﻣﺜﻼﹰ‬
‫‪ (http‬ﻛﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺍﺯ ‪ SSL‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﻨﺪ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ‪ .‬ﻣﺤﺘﻮﺍﻱ ﺩﺍﺩﻩﻫﺎﻱ ﺧﻠﻖ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﭼﻨﻴﻦ ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﺍﺯ ﺩﻳﺪ ‪SSL‬‬
‫ﻏﻴﺮﻗﺎﺑﻞ ﺭﺅﻳﺖﺍﻧﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۷-۴‬ﻓﺮﻣﺖ ‪ SSL Record‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪Change Cipher Spec‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪ Change Cipher Spec‬ﻳﻜﻲ ﺍﺯ ﺳﻪ ﭘﺮﻭﺗﻜﻞ ﻣﺨﺘﺺ ‪ SSL‬ﺍﺳﺖ ﻛﻪ ﺍﺯ ﭘﺮﻭﺗﻜﻞ ‪ SSL Record‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ‬
‫ﺳﺎﺩﻩﺗﺮﻳﻦ ﺁﻧﻬﺎﺳﺖ‪ .‬ﺍﻳﻦ ﭘﺮﻭﺗﻜﻞ ﺍﺯ ﻳﻚ ﭘﻴﺎﻡ ﺗﻨﻬﺎ ﺗﺸﻜﻴﻞ ﺷﺪﻩ )ﺷﻜﻞ ‪۷-۵‬ﺍﻟﻒ( ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ﺑﺎﻳﺖ ﻣﻨﻔﺮﺩ ﺑﺎ ﻣﻘﺪﺍﺭ ‪ 1‬ﺍﺳﺖ‪ .‬ﺗﻨﻬﺎ‬
‫ﻫﺪﻑ ﺍﻳﻦ ﭘﻴﺎﻡ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﺎﻋﺚ ﺷﻮﺩ ﺗﺎ ﻭﺿﻌﻴﺖ ﻣﻮﻗﺖ ﺩﺭ ﻭﺿﻌﻴﺖ ﺟﺎﺭﻱ ﻛﭙﻲ ﺷﺪﻩ ﻭ ﻣﺠﻤﻮﻋﺔ ﺭﻣﺰﻫﺎﺋﻲ ﻛﻪ ﺑﺎﻳﺪ ﺩﺭ ﺍﻳﻦ‬
‫ﺍﺗﺼﺎﻝ ﺑﻜﺎﺭ ﺭﻭﻧﺪ ﺑﺮﻭﺯ ﮔﺮﺩﺩ‪.‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪Alert‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪ Alert‬ﺑﺮﺍﻱ ﺭﺳﺎﻧﺪﻥ ﻫﺸﺪﺍﺭﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ‪ SSL‬ﺑﻪ ﻭﺍﺣﺪ ﻧﻈﻴﺮ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﻫﻤﺎﻧﻨﺪ ﺳﺎﻳﺮ ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ‪SSL‬‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ ،‬ﭘﻴﺎﻡﻫﺎﻱ ﻫﺸﺪﺍﺭ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٦٠‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪Content‬‬ ‫‪Major‬‬ ‫‪Minor‬‬ ‫‪Compressed‬‬

‫‪Version‬‬ ‫‪Version‬‬ ‫‪Length‬‬
‫‪Type‬‬
‫‪Plaintext‬‬
‫‪(optionally‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱﺷﺪﻩ‬
‫)‪Compressed‬‬
‫)‪MAC (0, 16, or 20 bytes‬‬
‫ﻓﺮﻣﺖ ‪SSL Record‬‬ ‫ﺷﻜﻞ ‪۷-۴‬‬
‫ﻫﺮ ﭘﻴﺎﻡ ﺩﺭ ﺍﻳﻦ ﭘﺮﻭﺗﻜﻞ ﺍﺯ ﺩﻭ ﺑﺎﻳﺖ ﺗﺸﻜﻴﻞ ﻣﻲﺷﻮﺩ)ﺷﻜﻞ ‪۷-۵‬ﺏ(‪ .‬ﺑﺎﻳﺖ ﺍﻭﻝ ﻳﺎ ﺍﻧﺪﺍﺯﺓ ‪ (warning) 1‬ﻭ ﻳﺎ ﺍﻧﺪﺍﺯﺓ ‪ (fatal) 2‬ﺭﺍ‬
‫ﺩﺍﺭﺍﺳﺖ ﻛﻪ ﺍﻫﻤﻴﺖ ﭘﻴﺎﻡ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺍﮔﺮ ﺍﻧﺪﺍﺯﻩ ﺑﺮﺍﺑﺮ ‪ fatal‬ﺑﺎﺷﺪ‪ SSL ،‬ﺑﻼﻓﺎﺻﻠﻪ ﺍﺗﺼﺎﻝ ﺭﺍ ﺧﺎﺗﻤﻪ ﻣﻲﺩﻫﺪ‪ .‬ﺳﺎﻳﺮ ﺍﺗﺼﺎﻻﺕ‬
‫ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻳﻦ ﺍﺟﻼﺱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺩﺍﻣﻪ ﻳﺎﺑﻨﺪ ﺍﻣﺎ ﻫﻴﭻ ﺍﺗﺼﺎﻝ ﺟﺪﻳﺪﻱ ﺩﺭ ﺍﻳﻦ ﺍﺟﻼﺱ ﻧﻤﻲﺗﻮﺍﻧﺪ ﺑﺮﻗﺮﺍﺭ ﮔﺮﺩﺩ‪ .‬ﺑﺎﻳﺖ ﺩﻭﻡ ﺷﺎﻣﻞ‬
‫ﻳﻚ ﻛﹸﺪ ﺍﺳﺖ ﻛﻪ ﻫﺸﺪﺍﺭ ﺧﺎﺻﻲ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺩﺭ ﺍﺑﺘﺪﺍ ﻫﺸﺪﺍﺭﻫﺎﺋﻲ ﻛﻪ ﻫﻤﻴﺸﻪ ‪ fatal‬ﻫﺴﺘﻨﺪ ﺭﺍ ﺑﻴﺎﻥ ﻣﻲﻛﻨﻴﻢ )ﺗﻌﺎﺭﻳﻒ ﺍﺯ‬
‫ﻣﺸﺨﺼﻪﻫﺎﻱ ‪ SSL‬ﺍﻗﺘﺒﺎﺱ ﺷﺪﻩﺍﻧﺪ(‪:‬‬
‫‪ :unexpected_message‬ﻳﻚ ﭘﻴﺎﻡ ﻧﺎﻣﺮﺑﻮﻁ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬ ‫•‬

‫‪ :bad_record_mac‬ﻳﻚ ‪ MAC‬ﻧﺎﺻﺤﻴﺢ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫‪ :decompression_failure‬ﺗﺎﺑﻊ ﻣﻌﻜﻮﺱ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻳﻚ ﻭﺭﻭﺩﻱ ﻏﻴﺮﺻﺤﻴﺢ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩﻩ ﺍﺳﺖ )ﻣﺜﻼﹰ ﻗﺎﺩﺭ‬ ‫•‬
‫ﻧﻴﺴﺖ ﺗﺎ ﺁﻧﭽﻪ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩﻩ ﺍﺯ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺧﺎﺭﺝ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﺩﺭ ﺻﻮﺭﺕ ﺍﻳﻦ ﻛﺎﺭ ﭘﻴﺎﻡ ﺍﺯ ﻃﻮﻝ ﻣﺎﻛﺰﻳﻤﻢ ﻣﺠﺎﺯ ﺑﻴﺸﺘﺮ‬
‫ﺧﻮﺍﻫﺪ ﺷﺪ(‪.‬‬
‫‪ :handshake_failure‬ﻓﺮﺳﺘﻨﺪﻩ ﻗﺎﺩﺭ ﻧﺒﻮﺩﻩ ﺍﺳﺖ ﺗﺎ ﺭﻭﻱ ﻳﻚ ﻣﺠﻤﻮﻋﺔ ﻗﺎﺑﻞ ﻗﺒﻮﻝ ﺍﺯ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ‬ ‫•‬
‫ﺍﻣﻜﺎﻧﺎﺕ ﻣﻮﺟﻮﺩ ﺗﻮﺍﻓﻖ ﺣﺎﺻﻞ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ :illegal_parameter‬ﻳﻚ ﻣﻴﺪﺍﻥ ﺩﺭ ﻳﻚ ﭘﻴﺎﻡ ‪ handshake‬ﺧﺎﺭﺝ ﺍﺯ ﻣﺤﺪﻭﺩﻩ ﺑﻮﺩﻩ ﻭ ﻳﺎ ﺑﺎ ﺳﺎﻳﺮ ﻣﻴﺪﺍﻥﻫﺎﻱ ﻣﻮﺟﻮﺩ‬ ‫•‬
‫ﻫﻤﺨﻮﺍﻧﻲ ﻧﺪﺍﺷﺘﻪ ﺍﺳﺖ‪.‬‬
‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٦١‬‬
‫‪1 byte‬‬ ‫‪3 bytes‬‬ ‫‪≥ 0 bytes‬‬ ‫‪1 byte‬‬

‫‪Type‬‬ ‫‪Length‬‬ ‫‪Content‬‬ ‫‪1‬‬
‫)ﺝ( ﭘﺮﻭﺗﻜﻞ ‪Handshake‬‬ ‫)ﺍﻟﻒ( ﭘﺮﻭﺗﻜﻞ ‪Change Cipher Spec‬‬
‫‪≥ 1 bytes‬‬ ‫‪1 byte 1 byte‬‬

‫‪OpaqueContent‬‬ ‫‪Level Alert‬‬
‫)ﺩ( ﺳﺎﻳﺮ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻻﻳﺔ‪ -‬ﺑﺎﻻﺗﺮ )ﻣﺜﻞ ‪(HTTP‬‬ ‫)ﺏ( ﭘﺮﻭﺗﻜﻞ ‪Alert‬‬
‫ﻣﺤﻤﻮﻟﺔ ‪SSL Record Protocol‬‬ ‫ﺷﻜﻞ ‪۷-۵‬‬
‫ﺑﻘﻴﺔ ﻫﺸﺪﺍﺭﻫﺎ ﭼﻨﻴﻦﺍﻧﺪ‪:‬‬
‫‪ :close_notify‬ﺑﻪ ﮔﻴﺮﻧﺪﻩ ﺍﻃﻼﻉ ﻣﻲﺩﻫﺪ ﻛﻪ ﻓﺮﺳﺘﻨﺪﻩ ﭘﻴﺎﻡﻫﺎﻱ ﺩﻳﮕﺮﻱ ﺭﺍ ﺭﻭﻱ ﺍﻳﻦ ﺍﺗﺼﺎﻝ ﻧﺨﻮﺍﻫﺪ ﻓﺮﺳﺘﺎﺩ‪ .‬ﻫﺮ ﻳﻚ‬ ‫•‬
‫ﺍﺯ ﻃﺮﻓﻴﻦ ﺍﺭﺗﺒﺎﻁ ﻣﻮﻇﻒﺍﻧﺪ ﺗﺎ ﻳﻚ ﻫﺸﺪﺍﺭ ‪ close_notify‬ﺭﺍ ﻗﺒﻞ ﺍﺯ ﺑﺴﺘﻦ ﻣﺮﺣﻠﺔ ﻧﻮﺷﺘﻦ ﭘﻴﺎﻡ ﺩﺭ ﻳﻚ ﺍﺗﺼﺎﻝ ﺍﺭﺳﺎﻝ‬
‫ﺩﺍﺭﻧﺪ‪.‬‬
‫‪ :no_certificate‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﭘﺎﺳﺦ ﺑﻪ ﺩﺭﺧﻮﺍﺳﺖ ﻳﻚ ﮔﻮﺍﻫﻲ‪ ،‬ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻪ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻣﻄﻠﻮﺏ ﺩﺭ ﺩﺳﺘﺮﺱ‬ ‫•‬
‫ﻧﺒﺎﺷﺪ‪ ،‬ﺍﺭﺳﺎﻝ ﺷﻮﺩ‪.‬‬
‫‪ :bad_certificate‬ﮔﻮﺍﻫﻲ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﻣﺸﻜﻞ ﺩﺍﺷﺘﻪ ﺍﺳﺖ )ﻣﺜﻼﹰ ﺷﺎﻣﻞ ﺍﻣﻀﺎﺋﻲ ﺑﻮﺩﻩ ﺍﺳﺖ ﻛﻪ ﻣﻮﺭﺩ ﺗﺄﺋﻴﺪ‬ ‫•‬
‫ﻧﻴﺴﺖ(‪.‬‬
‫‪ :unsupported_certificate‬ﻧﻮﻉ ﮔﻮﺍﻫﻲ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﻗﺎﺑﻞ ﻗﺒﻮﻝ ﻧﻴﺴﺖ‪.‬‬ ‫•‬
‫‪ :certificate_revoked‬ﻳﻚ ﮔﻮﺍﻫﻲ ﺑﺘﻮﺳﻂ ﺍﻣﻀﺎﺀﻛﻨﻨﺪﺓ ﺁﻥ ﺑﺎﻃﻞ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫‪ :certificate_expired‬ﺍﻋﺘﺒﺎﺭ ﻳﻚ ﮔﻮﺍﻫﻲ ﺗﻤﺎﻡ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫‪ :certificate_unknown‬ﻳﻚ ﻣﺴﺄﻟﺔ ﻏﻴﺮﻣﺸﺨﺺ ﺩﺭ ﻣﺮﺣﻠﺔ ﭘﺬﻳﺮﺵ ﮔﻮﺍﻫﻲ ﭘﻴﺶ ﺁﻣﺪﻩ ﺍﺳﺖ ﻛﻪ ﺁﻥ ﺭﺍ ﻏﻴﺮﻗﺎﺑﻞ‬ ‫•‬
‫ﭘﺬﻳﺮﺵ ﻧﻤﻮﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪Handshake‬‬
‫ﭘﻴﭽﻴﺪﻩﺗﺮﻳﻦ ﺑﺨﺶ ‪ SSL‬ﻣﺮﺑﻮﻁ ﺑﻪ ﭘﺮﻭﺗﻜﻞ ‪ Handshake‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﭘﺮﻭﺗﻜﻞ ﺑﻪ ﺳِﺮﻭﺭ ﻭ ﻛﻼﻳﻨﺖ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﻫﻮﻳﺖ‬
‫ﻳﻜﺪﻳﮕﺮ ﺭﺍ ﺗﺄﺋﻴﺪ ﻧﻤﻮﺩﻩ ﻭ ﺭﺍﺟﻊ ﺑﻪ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ‪ MAC‬ﻭ ﻫﻤﭽﻨﻴﻦ ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻪ ﻗﺮﺍﺭ ﺍﺳﺖ ﺩﻳﺘﺎﻱ ﺍﺭﺳﺎﻝ‬
‫ﺷﺪﻩ ﺩﺭ ﻳﻚ ﺭﻛﻮﺭﺩ ‪ SSL‬ﺭﺍ ﻣﺤﺎﻓﻈﺖ ﻛﻨﻨﺪ‪ ،‬ﺗﻮﺍﻓﻖ ﻧﻤﺎﻳﻨﺪ‪ .‬ﭘﺮﻭﺗﻜﻞ ‪ Handshake‬ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﻫﻴﭽﮕﻮﻧﻪ ﺩﻳﺘﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﺍﻧﺘﻘﺎﻝ‬
‫ﻳﺎﺑﺪ‪ ،‬ﺍﺟﺮﺍ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪ Handshake‬ﺷﺎﻣﻞ ﻳﻚ ﺳﺮﻱ ﭘﻴﺎﻡﻫﺎﻱ ﺭﺩﻭﺑﺪﻝ ﺷﺪﻩ ﺑﻴﻦ ﻛﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ ﺍﺳﺖ‪ .‬ﺗﻤﺎﻡ ﺍﻳﻦ ﭘﻴﺎﻡﻫﺎ ﻓﺮﻣﺖ ﻧﺸﺎﻥ‬
‫ﺩﺍﺩﻩ ﺷﺪﻩ ﺩﺭ ﺷﻜﻞ ‪۷-۵‬ﺝ ﺭﺍ ﺩﺍﺭﻧﺪ‪ .‬ﻫﺮ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﺳﻪ ﻣﻴﺪﺍﻥ ﺍﺳﺖ‪:‬‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٦٢‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻧﻮﻉ )‪ ۱‬ﺑﺎﻳﺖ(‪ :‬ﻧﻤﺎﻳﺸﮕﺮ ﻳﻜﻲ ﺍﺯ ‪ ۱۰‬ﻧﻮﻉ ﭘﻴﺎﻡ ﻣﺘﻔﺎﻭﺕ ﺍﺳﺖ‪ .‬ﺟﺪﻭﻝ ‪ ۷-۲‬ﺍﻧﻮﺍﻉ ﭘﻴﺎﻡﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺭﺍ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﻃﻮﻝ )‪ ۳‬ﺑﺎﻳﺖ(‪ :‬ﻃﻮﻝ ﭘﻴﺎﻡ ﺑﺮ ﺣﺴﺐ ﺑﺎﻳﺖ‪.‬‬ ‫•‬
‫ﻣﺤﺘﻮﺍ )‪ 0‬ﺑﺎﻳﺖ ≥( ‪ :‬ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻳﻦ ﭘﻴﺎﻡ‪ .‬ﺍﻳﻦ ﭘﺎﺭﺍﻣﺘﺮﻫﺎ ﺩﺭ ﺟﺪﻭﻝ ‪ ۷-۲‬ﻟﻴﺴﺖ ﺷﺪﻩﺍﻧﺪ‪.‬‬ ‫•‬
‫ﺷﻜﻞ ‪ ۷-۶‬ﻣﺒﺎﺩﻻﺕ ﺍﻭﻟﻴﻪ ﺑﺮﺍﻱ ﺑﺮﻗﺮﺍﺭﻱ ﻳﻚ ﺍﺗﺼﺎﻝ ﻣﻨﻄﻘﻲ ﺑﻴﻦ ﻛﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﻣﺒﺎﺩﻻﺕ ﺭﺍ‬
‫ﻣﻲﺗﻮﺍﻥ ﺷﺎﻣﻞ ﭼﻬﺎﺭ ﻓﺎﺯ ﺩﺍﻧﺴﺖ‪.‬‬
‫ﻓﺎﺯ ﺍﻭﻝ‪ -‬ﺍﺳﺘﻘﺮﺍﺭ ﺗﻮﺍﻧﺎﺋﻲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬
‫ﺍﻳﻦ ﻓﺎﺯ ﺑﺮﺍﻱ ﺷﺮﻭﻉ ﻳﻚ ﺍﺗﺼﺎﻝ ﻣﻨﻄﻘﻲ ﻭ ﺍﺳﺘﻘﺮﺍﺭ ﺗﻮﺍﻧﺎﺋﻲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﻣﺒﺎﺩﻟﺔ ﭘﻴﺎﻡﻫﺎ ﺍﺯ ﻃﺮﻑ‬
‫ﻛﻼﻳﻨﺖ ﺷﺮﻭﻉ ﻣﻲﺷﻮﺩ ﻛﻪ ﻳﻚ ﭘﻴﺎﻡ ‪ client_hello‬ﻛﻪ ﺷﺎﻣﻞ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ ﺭﺍ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪:‬‬
‫‪ :Version‬ﺑﺎﻻﺗﺮﻳﻦ ﻧﺴﺨﺔ ‪ SSL‬ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ ﻗﺎﺑﻞ ﻓﻬﻢ ﺍﺳﺖ‪.‬‬ ‫•‬

‫‪ :Random‬ﻳﻚ ﺳﺎﺧﺘﺎﺭ ﺗﺼﺎﺩﻓﻲ ﺗﻮﻟﻴﺪﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ‪ -۳۲‬ﺑﻴﺘﻲ ﻭ ﻫﻤﭽﻨﻴﻦ ‪۲۸‬‬ ‫•‬
‫ﺑﺎﻳﺖ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻳﻚ ﺗﻮﻟﻴﺪﻛﻨﻨﺪﺓ ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ ﺍﻣﻦ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﻘﺎﺩﻳﺮ ﺑﻌﻨﻮﺍﻥ ‪nonce‬ﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻋﻤﻞ ﻧﻤﻮﺩﻩ‬
‫ﻭ ﺩﺭ ﺧﻼﻝ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺑﺮﺍﻱ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺣﻤﻼﺕ ﺑﺎﺯﺧﻮﺍﻧﻲ)‪ (replay‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪.‬‬
‫‪ :Session ID‬ﻳﻚ ﺷﻨﺎﺳﺔ ﺍﺟﻼﺱ ﺑﺎ ﻃﻮﻝ ﻣﺘﻐﻴﺮ‪ .‬ﻳﻚ ﻣﻘﺪﺍﺭ ﻏﻴﺮ ﺻﻔﺮ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪﻛﻪ ﻛﻼﻳﻨﺖ ﻣﻲﺧﻮﺍﻫﺪ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ‬ ‫•‬
‫ﻣﻮﺟﻮﺩ ﺭﺍ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﻳﻚ ﺍﺗﺼﺎﻝ ﺟﺪﻳﺪ ﺩﺭ ﺍﻳﻦ ﺍﺟﻼﺱ ﺭﺍ ﺑﺮﻗﺮﺍﺭ ﻧﻤﺎﻳﺪ‪ .‬ﻳﻚ ﻣﻘﺪﺍﺭ ﺻﻔﺮ ﻧﻤﺎﻳﺶ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ‬
‫ﻛﻼﻳﻨﺖ ﺗﻤﺎﻳﻞ ﺩﺍﺭﺩ ﺗﺎ ﻳﻚ ﺍﺗﺼﺎﻝ ﺟﺪﻳﺪ ﻭ ﻳﺎ ﻳﻚ ﺍﺟﻼﺱ ﺟﺪﻳﺪ ﺭﺍ ﺍﻳﺠﺎﺩ ﻛﻨﺪ‪.‬‬
‫‪ :CipherSuite‬ﺍﻳﻦ ﻟﻴﺴﺘﻲ ﺷﺎﻣﻞ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﻣﻮﺭﺩ ﺣﻤﺎﻳﺖ ﻛﻼﻳﻨﺖ ﺑﻮﺩﻩ ﻭ ﺑﺮ‬ ‫•‬
‫ﺣﺴﺐ ﺗﺮﺟﻴﺢ ﻧﺰﻭﻟﻲ ﻣﺮﺗﺐ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻫﺮ ﻋﻨﺼﺮ ﻟﻴﺴﺖ )ﻫﺮﻣﺠﻤﻮﻋﺔ ﺭﻣﺰ( ﻫﻢ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺗﺒﺎﺩﻝ ﻛﻠﻴﺪ ﻭ ﻫﻢ ﻳﻚ‬
‫‪ CipherSpec‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ ﻛﻪ ﻫﺮﺩﻭﻱ ﺍﻳﻨﻬﺎ ﺑﻌﺪﺍﹰ ﺗﻮﺿﻴﺢ ﺩﺍﺩﻩ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫‪ :Compression Method‬ﻟﻴﺴﺘﻲ ﺍﺯ ﺭﻭﺵﻫﺎﻱ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻣﻮﺭﺩ ﺣﻤﺎﻳﺖ ﻛﻼﻳﻨﺖ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺟﺪﻭﻝ ‪ ۷-۲‬ﺍﻧﻮﺍﻉ ﭘﻴﺎﻡﻫﺎﻱ ﭘﺮﻭﺗﻜﻞ ‪SSL Handshake‬‬
‫ﻧﻮﻉ ﭘﻴﺎﻡ‬ ‫ﭘﺎﺭﺍﻣﺘﺮﻫﺎ‬

‫‪hello_request‬‬ ‫‪null‬‬
‫‪client_hello‬‬ ‫‪version, random, session id, cipher suite, compression method‬‬
‫‪server_hello‬‬ ‫‪version, random, session id, cipher suite, compression method‬‬
‫‪certificate‬‬ ‫‪chain of X.509v3 certificates‬‬
‫‪server_key_exchange‬‬ ‫‪parameters, signature‬‬
‫‪certificate_request‬‬ ‫‪type, authorities‬‬
‫‪server_done‬‬ ‫‪null‬‬
‫‪certificate_verify‬‬ ‫‪signature‬‬
‫‪client_key_exchange‬‬ ‫‪parameters, signature‬‬
‫‪finished‬‬ ‫‪hash value‬‬
‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٦٣‬‬
‫‪Client‬‬ ‫‪Server‬‬
‫ﻓﺎﺯ ﺍﻭﻝ‬
‫ﺗﻮﺍﻧﺎﺋﻲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻛﻪ ﺷﺎﻣﻞ ﻧﺴﺨﺔ ﭘﺮﻭﺗﻜﻞ‪ ID ،‬ﺍﺟﻼﺱ‪،‬‬
‫ﻣﺠﻤﻮﻋﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺭﻭﺵ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﻭ ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ‬
‫ﺍﻭﻟﻴﻪ ﺍﺳﺖ ﺍﺳﺘﻘﺮﺍﺭ ﻣﻲﻳﺎﺑﻨﺪ‪.‬‬
‫ﻓﺎﺯ ﺩﻭﻡ‬
‫ﺳِﺮﻭﺭ ﻣﻤﻜﻦ ﺍﺳﺖ ﮔﻮﺍﻫﻲ ﺧﻮﺩ ﺭﺍ ﺍﺭﺳﺎﻝ ﻛﺮﺩﻩ‪ ،‬ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‬
‫ﻧﻤﻮﺩﻩ ﻭ ﮔﻮﺍﻫﻲ ﺩﺭﺧﻮﺍﺳﺖ ﻧﻤﺎﻳﺪ‪ .‬ﺳِﺮﻭﺭ ﭘﺎﻳﺎﻥ ﭘﻴﺎﻡ ‪hello‬‬
‫ﺭﺍ ﺍﻋﻼﻡ ﻣﻲﺩﺍﺭﺩ‪.‬‬
‫‪Time‬‬
‫ﻓﺎﺯ ﺳﻮﻡ‬
‫ﻛﻼﻳﻨﺖ ﮔﻮﺍﻫﻲ ﺧﻮﺩ ﺭﺍ ﺩﺭ ﺻﻮﺭﺕ ﺩﺭﺧﻮﺍﺳﺖ ﺳِﺮﻭﺭ ﺍﺭﺳﺎﻝ‬
‫ﻣﻲﺩﺍﺭﺩ‪ .‬ﻛﻼﻳﻨﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﺄﺋﻴﺪ ﺩﺭﻳﺎﻓﺖ ﮔﻮﺍﻫﻲ ﺳِﺮﻭﺭ‬
‫ﺭﺍ ﻧﻴﺰ ﺍﺭﺳﺎﻝ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻓﺎﺯ ﭼﻬﺎﺭﻡ‬
‫ﻣﺠﻤﻮﻋﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺗﻌﻮﻳﺾ ﺷﺪﻩ ﻭ ﭘﺮﻭﺗﻜﻞ‬
‫‪ handshake‬ﺧﺎﺗﻤﻪ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫ﺗﻮﺟﻪ‪:‬‬
‫ﻣﺒﺎﺩﻻﺗﻲ ﻛﻪ ﺑﺎ ﺳﺎﻳﻪ ﻋﻼﻣﺖﮔﺬﺍﺭﻱ ﺷﺪﻩﺍﻧﺪ‬
‫ﺍﺧﺘﻴﺎﺭﻱ ﻭ ﻳﺎ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﺣﺎﻻﺕ ﺧﺎﺹ ﺑﻮﺩﻩ ﻭ‬
‫ﻋﻤﻠﻴﺎﺕ ﭘﺮﻭﺗﻜﻞ ‪Handshake‬‬ ‫ﺷﻜﻞ ‪۷-۶‬‬ ‫ﻫﻤﻴﺸﻪ ﺍﺭﺳﺎﻝ ﻧﻤﻲﺷﻮﻧﺪ‪.‬‬
‫ﭘﺲ ﺍﺯ ﺍﺭﺳﺎﻝ ﭘﻴﺎﻡ ‪ ،client_hello‬ﻛﻼﻳﻨﺖ ﻣﻨﺘﻈﺮ ﭘﻴﺎﻡ ‪ server_hello‬ﻣﻲﻣﺎﻧﺪ ﻛﻪ ﺷﺎﻣﻞ ﻫﻤﺎﻥ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﭘﻴﺎﻡ‬
‫‪ client_hello‬ﺍﺳﺖ‪ .‬ﻣﻴﺪﺍﻥ ‪ Version‬ﺷﺎﻣﻞ ﭘﺎﺋﻴﻦﺗﺮﻳﻦ ﻧﺴﺨﺔ ﭘﻴﺸﻨﻬﺎﺩﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ ﻭ ﺑﺎﻻﺗﺮﻳﻦ ﻧﺴﺨﺔ ﺣﻤﺎﻳﺖ ﺷﺪﻩ‬
‫ﺑﺘﻮﺳﻂ ﺳِﺮﻭﺭ ﺍﺳﺖ‪ .‬ﻣﻴﺪﺍﻥ ‪ Random‬ﺑﺘﻮﺳﻂ ﺳِﺮﻭﺭ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﻭ ﻣﺴﺘﻘﻞ ﺍﺯ ﻣﻴﺪﺍﻥ ‪ Random‬ﻛﻼﻳﻨﺖ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﻣﻴﺪﺍﻥ‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٦٤‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ SessionID‬ﻛﻼﻳﻨﺖ ﺻﻔﺮ ﻧﺒﻮﺩﻩ ﺍﺳﺖ ﻫﻤﺎﻥ ﻣﻘﺪﺍﺭ ﺑﺘﻮﺳﻂ ﺳِﺮﻭﺭ ﻧﻴﺰ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺩﺭ ﻏﻴﺮ ﺍﻳﻨﺼﻮﺭﺕ ﻣﻴﺪﺍﻥ‬
‫‪ SessionID‬ﺳِﺮﻭﺭ ﺷﺎﻣﻞ ﻣﻘﺪﺍﺭ ﺗﺎﺯﻩﺍﻱ ﺑﺮﺍﻱ ﻳﻚ ﺍﺟﻼﺱ ﺟﺪﻳﺪ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﻣﻴﺪﺍﻥ ‪ CipherSuite‬ﺷﺎﻣﻞ ﻳﻚ ﻣﺠﻤﻮﻋﺔ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺳِﺮﻭﺭ ﺍﺯ ﺑﻴﻦ ﺁﻧﻬﺎﺋﻲ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ ﭘﻴﺸﻨﻬﺎﺩ ﺷﺪﻩﺍﻧﺪ‪ .‬ﻣﻴﺪﺍﻥ ‪ Compression‬ﺷﺎﻣﻞ‬
‫ﻣﺘﺪ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺳِﺮﻭﺭ ﺍﺯ ﺑﻴﻦ ﺁﻧﻬﺎﺋﻲ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ ﭘﻴﺸﻨﻬﺎﺩ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫ﺍﻭﻟﻴﻦ ﻋﻨﺼﺮ ﺍﺯ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ‪ CipherSuite‬ﻣﺘﺪ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺍﺳﺖ )ﻳﻌﻨﻲ ﺭﻭﺷﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﺁﻥ ﻛﻠﻴﺪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺳﻨﹼﺘﻲ‬
‫ﻭ ‪ MAC‬ﻣﺒﺎﺩﻟﻪ ﻣﻲﺷﻮﻧﺪ(‪ .‬ﺭﻭﺵﻫﺎﻱ ﺯﻳﺮ ﺑﺮﺍﻱ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﻣﻮﺭﺩ ﺣﻤﺎﻳﺖﺍﻧﺪ‪:‬‬
‫‪ :RSA‬ﻛﻠﻴﺪ ﺳﺮّﻱ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ RSA‬ﮔﻴﺮﻧﺪﻩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﮔﺮﺩﺩ‪ .‬ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺑﺮﺍﻱ ﻛﻠﻴﺪ‬ ‫•‬
‫ﮔﻴﺮﻧﺪﻩ ﺑﺎﻳﺴﺘﻲ ﺍﺧﺬ ﺷﻮﺩ‪.‬‬
‫‪ :Fixed Diffie-Hellman‬ﺍﻳﻦ ﻳﻚ ﺭﻭﺵ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪ Diffie-Hellman‬ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺁﻥ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺳِﺮﻭﺭ‬ ‫•‬
‫ﺷﺎﻣﻞ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻋﻤﻮﻣﻲ ‪ Diffie-Hellman‬ﺑﻮﺩﻩ ﻛﻪ ﺑﺘﻮﺳﻂ ﻣﺴﺌﻮﻝ ﮔﻮﺍﻫﻲ )‪ (CA‬ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻳﻌﻨﻲ‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺷﺎﻣﻞ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ Diffie-Hellman‬ﺍﺳﺖ‪ .‬ﻛﻼﻳﻨــﺖ ﭘﺎﺭﺍﻣﺘــﺮﻫﺎﻱ ﻛﻠﻴــﺪ‬
‫ﻋﻤــﻮﻣﻲ ‪ Diffie-Hellman‬ﺧﻮﺩ ﺭﺍ ﻳﺎ ﺩﺭ ﻳﻚ ﮔﻮﺍﻫﻲ ﻋﺮﺿﻪ ﻣﻲﻧﻤﺎﻳﺪ )ﺍﮔﺮ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﻼﻳﻨﺖ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺑﺎﺷﺪ(‪ ،‬ﻭ‬
‫ﻳﺎ ﺍﻳﻨﻜﻪ ﺁﻧﻬﺎ ﺭﺍ ﺩﺭ ﻳﻚ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﻋﺮﺿﻪ ﻣﻲﺩﺍﺭﺩ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﺑﻪ ﺍﻳﺠﺎﺩ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﺸﺘﺮﻙ‪ ،‬ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﺤﺎﺳﺒﺎﺕ‬
‫‪ Diffie-Hellman‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ‪ ،‬ﺑﻴﻦ ﺩﻭ ﻭﺍﺣﺪ ﻧﻈﻴﺮ ﻣﻨﺠﺮ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫• ‪ :Ephemeral Diffie-Hellman‬ﺍﻳﻦ ﺗﻜﻨﻴﻚ ﺑﺮﺍﻱ ﺧﻠﻖ ﻛﻠﻴﺪﻫﺎﻱ ﺳﺮّﻱ ‪) ephemeral‬ﻣﻮﻗﺖ‪ -‬ﻳﻜﺒﺎﺭﻣﺼﺮﻑ( ﺑﻜﺎﺭ‬
‫ﻣﻲﺭﻭﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ‪ Diffie-Hellman‬ﻣﺒﺎﺩﻟﻪ ﻣﻲﺷﻮﻧﺪ ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪﻫﺎﻱ ﺧﺼﻮﺻﻲ ‪RSA‬‬
‫ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﻳﺎ ﻛﻠﻴﺪ ‪ DSS‬ﺍﻣﻀﺎﺀ ﺷﺪﻩﺍﻧﺪ‪ .‬ﮔﻴﺮﻧﺪﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻣﺘﻨﺎﻇﺮ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﺍﻣﻀﺎﺀ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﺪ‪ .‬ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﻠﻴﺪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪ .‬ﺑﻨﻈﺮ ﻣﻲﺭﺳﺪﻛﻪ ﺍﻳﻦ ﺭﻭﺵ ﺍﻣﻦﺗﺮﻳﻦ‬
‫ﺭﻭﺵ ﺍﺯ ﺑﻴﻦ ﺳﻪ ﺭﻭﺵ ‪ Diffie-Hellman‬ﺑﺎﺷﺪ ﺯﻳﺮﺍ ﺑﻮﺍﺳﻄﺔ ﺁﻥ ﻛﻠﻴﺪ ﻣﻮﻗﺖ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺪﻩ ﺍﻳﺠﺎﺩ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫‪ :Anonymous Diffie-Hellman‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﭘﺎﻳﺔ ‪ Diffie-Hellman‬ﺑﺪﻭﻥ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ‬ ‫•‬
‫ﻣﻲﮔﻴﺮﺩ‪ .‬ﻳﻌﻨﻲ ﻫﺮ ﻃﺮﻑ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ Diffie-Hellman‬ﺧﻮﺩ ﺭﺍ ﺑﺮﺍﻱ ﺩﻳﮕﺮﻱ ﺍﺭﺳﺎﻝ ﻛﺮﺩﻩ ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ‬
‫ﻫﻴﭽﮕﻮﻧﻪ ﺍﺣﺮﺍﺯ ﻫﻮﻳﺘﻲ ﺻﻮﺭﺕ ﭘﺬﻳﺮﺩ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﺑﻪ ﺣﻤﻼﺕ ‪ ،man-in-the-middle‬ﻛﻪ ﺩﺭﺁﻥ ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﺑﺼﻮﺭﺕ‬
‫ﻧﺎﺷﻨﺎﺱ ﺩﺭ ﻭﺳﻂ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﻭ ﺑﺎ ﻃﺮﻓﻴﻦ ﺍﺭﺗﺒﺎﻁ ﺑﺮﻗﺮﺍﺭ ﻣﻲﻛﻨﺪ‪ ،‬ﺁﺳﻴﺐﭘﺬﻳﺮ ﺍﺳﺖ‪.‬‬
‫‪ :Fortezza‬ﺗﻜﻨﻴﻚ ﺗﻌﻴﻴﻦ ﺷﺪﻩ ﺩﺭ ﺭﻭﺵ ‪.Fortezza‬‬ ‫•‬
‫ﺑﺪﻧﺒﺎﻝ ﺗﻌﺮﻳﻒ ﻳﻚ ﺭﻭﺵ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‪ CipherSpec ،‬ﺍﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫‪ :CipherAlgorithm‬ﻫﺮ ﻳﻚ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﺋﻲ ﻛﻪ ﻗﺒﻼﹰ ﺍﺯ ﺁﻧﻬﺎ ﻳﺎﺩ ﺷﺪ ﻣﺎﻧﻨﺪ‪Foretzza ,IDEA ,DES40 :‬‬ ‫•‬
‫‪3DES ,DES ,RC2 ,RC4‬‬
‫‪ MD5 :MACAlgorithm‬ﻳﺎ ‪SHA-1‬‬ ‫•‬
‫‪ :CipherType‬ﻗﺎﻟﺒﻲ ﻳﺎ ﺩﻧﺒﺎﻟﻪﺍﻱ‬ ‫•‬
‫‪ :IsExportable‬ﺻﺤﻴﺢ ﻳﺎ ﻏﻠﻂ‬ ‫•‬
‫‪ :HashSize‬ﺻﻔﺮ ﻳﺎ ‪ ۱۶‬ﺑﺎﻳﺖ )ﺑﺮﺍﻱ ‪ (MD5‬ﻭ ﻳﺎ ‪ ۲۰‬ﺑﺎﻳﺖ )ﺑﺮﺍﻱ ‪.(SHA-1‬‬ ‫•‬
‫‪ :Key Material‬ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ ﺑﺎﻳﺖﻫﺎ ﻛﻪ ﺷﺎﻣﻞ ﺩﺍﺩﻩﻫﺎﻱ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺩﺭ ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪﻫﺎﻱ ﻧﻮﺷﺘﻦ ﺍﺳﺖ‪.‬‬ ‫•‬
‫‪ :IV Size‬ﺍﻧﺪﺍﺯﺓ ‪ Initialization Value‬ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪(Cipher Block Chaining) CBC‬‬ ‫•‬
‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٦٥‬‬
‫ﻓﺎﺯ ﺩﻭﻡ – ﺗﺼﺪﻳﻖ ﻫﻮﻳﺖ ﺳِﺮﻭﺭ ﻭ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‬
‫ﺳِﺮﻭﺭ ﺍﻳﻦ ﻓﺎﺯ ﺭﺍ‪ ،‬ﺍﮔﺮ ﻻﺯﻡ ﺍﺳﺖ ﻛﻪ ﻫﻮﻳﺘﺶ ﺗﺼﺪﻳﻖ ﺷﻮﺩ‪ ،‬ﺑﺎ ﺍﺭﺳﺎﻝ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺧﻮﺩ ﺁﻏﺎﺯ ﻣﻲﻛﻨﺪ‪ .‬ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﻳﻚ ﻳﺎ‬
‫ﺯﻧﺠﻴﺮﻩﺍﻱ ﺍﺯ ﮔﻮﺍﻫﻲﻫﺎﻱ ‪ X.509‬ﺍﺳﺖ‪ .‬ﭘﻴﺎﻡ ‪ certificate‬ﺑﺮﺍﻱ ﻫﺮﻳﻚ ﺍﺯ ﺍﻧﻮﺍﻉ ﺭﻭﺵﻫﺎﻱ ﺗﻮﺍﻓﻖ ﺷﺪﻩ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺑﺠﺰ‬
‫‪ anonymous Diffie-Hellman‬ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪ .‬ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﺍﮔﺮ ﺍﺯ ‪ fixed Diffie-Hellman‬ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ ﺍﻳﻦ ﭘﻴﺎﻡ‬
‫ﮔﻮﺍﻫﻲ ﺑﻌﻨﻮﺍﻥ ﭘﻴﺎﻡ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺳِﺮﻭﺭ ﻋﻤﻞ ﻣﻲﻛﻨﺪ ﺯﻳﺮﺍ ﺷﺎﻣﻞ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻋﻤﻮﻣﻲ ‪ Diffie-Hellman‬ﺳِﺮﻭﺭ ﺍﺳﺖ‪.‬‬
‫ﺳﭙﺲ ﻳﻚ ﭘﻴﺎﻡ ‪ server_key_exchange‬ﺩﺭ ﺻﻮﺭﺕ ﻟﺰﻭﻡ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﺩﻭ ﺣﺎﻟﺖ ﺍﻳﻦ ﭘﻴﺎﻡ ﻣﻮﺭﺩ ﻟﺰﻭﻡ ﻧﻴﺴﺖ‪:‬‬
‫)‪ (۱‬ﺳِﺮﻭﺭ ﻳﻚ ﮔﻮﺍﻫﻲ ﺑﺎ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ‪ fixed Diffie-Hellman‬ﻓﺮﺳﺘﺎﺩﻩ ﺍﺳﺖ‪ (۲) .‬ﺍﺯ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪ RSA‬ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪ .‬ﭘﻴﺎﻡ‬
‫‪ server_key_exchange‬ﺑﺮﺍﻱ ﻣﻮﺍﺭﺩ ﺯﻳﺮ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪:‬‬
‫‪ :Anonymous Diffie-Hellman‬ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﺩﻭ ﻣﻘﺪﺍﺭ ﻋﻤﻮﻣﻲ ‪) Diffie-Hellman‬ﻳﻚ ﻋﺪﺩ ﺍﻭﻝ ﻭ‬ ‫•‬
‫ﺭﻳﺸﺔ ﺍﻭﻟﻴﺔ ﺁﻥ ﻋﺪﺩ( ﻭ ﻋﻼﻭﻩ ﺑﺮ ﺁﻥ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ Diffie-Hellman‬ﺳِﺮﻭﺭ ﻣﻲﺑﺎﺷﺪ )ﺑﻪ ﻣﺒﺤﺚ ﻣﺮﺑﻮﻁ ﻣﺮﺍﺟﻌﻪ ﺷﻮﺩ(‪.‬‬
‫‪ :Ephemeral Diffie-Hellman‬ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﺳﻪ ﭘﺎﺭﺍﻣﺘﺮ ‪ Diffie-Hellman‬ﻓﺮﺍﻫﻢ ﺷﺪﻩ ﺑﺮﺍﻱ‬ ‫•‬

‫‪ anonymous Diffie-Hellman‬ﺑﻌﻼﻭﺓ ﻳﻚ ﺍﻣﻀﺎﺀ ﺑﺮﺍﻱ ﺁﻥ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﺳﺖ‪.‬‬
‫‪ RSA Key exchange‬ﻛﻪ ﺩﺭ ﺁﻥ ﺳِﺮﻭﺭ ﺍﺯ ‪ RSA‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﺍﻣﺎ ﺗﻨﻬﺎ ﻳﻚ ﻛﻠﻴﺪ ‪ RSA‬ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﺩﺍﺭﺩ‪:‬‬ ‫•‬
‫ﺩﺭ ﺍﻳﻨﺠﺎ ﻛﻼﻳﻨﺖ ﻧﻤﻲﺗﻮﺍﻧﺪ ﺑﻪ ﺗﻨﻬﺎﺋﻲ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻛﻪ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺳِﺮﻭﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺳﺖ ﺭﺍ ﺍﺭﺳﺎﻝ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺩﺭ ﻋــﻮﺽ ﺳِــﺮﻭﺭ ﺑﺎﻳﺴﺘﻲ ﻳﻚ ﺟﻔﺖ ﻛﻠﻴــﺪ ‪ RSA‬ﻋﻤﻮﻣﻲ‪/‬ﺧﺼﻮﺻﻲ ﻣﻮﻗﺘﻲ ﺧﻠﻖ ﻛﺮﺩﻩ ﻭ ﺍﺯ ﭘﻴــﺎﻡ‬
‫‪ server_key_exchange‬ﺑﺮﺍﻱ ﺍﺭﺳﺎﻝ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﺪ‪ .‬ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﺩﻭ ﭘﺎﺭﺍﻣﺘﺮ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‬
‫ﻣﻮﻗﺖ ‪) RSA‬ﻣﺪﻭﻝ ﻭ ﺁﺭﮔﻮﻣﺎﻥ( ﺑﻌﻼﻭﺓ ﺍﻣﻀﺎﺀ ﺁﻥ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﺳﺖ‪.‬‬
‫‪Foretzza‬‬ ‫•‬
‫ﺟﺰﺋﻴﺎﺕ ﺍﺿﺎﻓﻲ ﺑﻴﺸﺘﺮﻱ ﺩﺭ ﻣﻮﺭﺩ ﺍﻣﻀﺎﺀﻫﺎ ﻣﻮﺭﺩ ﺗﻌﻬﺪ ﺍﺳﺖ‪ .‬ﻫﻤﺎﻧﻨﺪ ﻗﺒﻞ ﻳﻚ ﺍﻣﻀﺎﺀ ﺑﺘﻮﺳﻂ ﻣﺤﺎﺳﺒﺔ ﺍﻧﺪﺍﺯﺓ ‪ hash‬ﻳﻚ‬
‫ﭘﻴﺎﻡ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺁﻥ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻓﺮﺳﺘﻨﺪﻩ ﺧﻠﻖ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ‪ hash‬ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‬
‫) ‪hash( ClientHello.random || ServerHello.random || ServerParams‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ‪ hash‬ﻧﻪ ﺗﻨﻬﺎ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ‪ Diffie-Hellman‬ﻳﺎ ‪ RSA‬ﺭﺍ ﻣﻲﭘﻮﺷﺎﻧﺪ ﺑﻠﻜﻪ ﺩﻭ ‪ nonce‬ﺍﺯ ﭘﻴﺎﻡﻫﺎﻱ ﺍﻭﻟﻴﺔ ‪ hello‬ﺭﺍ ﻫﻢ‬
‫ﭘﻮﺷﺶ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺍﺯ ﺣﻤﻼﺕ ﺑﺎﺯﺧﻮﺍﻧﻲ ﻭ ﻳﺎ ﻧﻤﺎﻳﺶ ﻏﻠﻂ ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ﻳﻚ ﺍﻣﻀﺎﺀ ‪ hash ،DSS‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ SHA-1‬ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ﻳﻚ ﺍﻣﻀﺎﺀ ‪ ،RSA‬ﻫﻢ ‪ hash‬ﻣﺮﺑﻮﻁ ﺑﻪ ‪ MD5‬ﻭ ﻫﻢ ‪ hash‬ﻣﺮﺑﻮﻁ ﺑﻪ ‪SHA-1‬‬
‫ﻣﺤﺎﺳﺒﻪ ﻣﻲﺷﻮﺩ ﻭ ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ ﺍﻳﻦ ﺩﻭ ‪ ۳۶) hash‬ﺑﺎﻳﺖ( ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺳِﺮﻭﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺩﺭ ﻣﺮﺣﻠﺔ ﺑﻌﺪ ﻳﻚ ﺳِﺮﻭﺭ ﻏﻴﺮﻧﺎﺷﻨﺎﺱ )ﺳِﺮﻭﺭﻱ ﻛﻪ ﺍﺯ ‪ anonymous Diffie-Hellman‬ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﻲﻛﻨﺪ(‪ ،‬ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ‬
‫ﻛﻼﻳﻨﺖ ﺩﺭﺧﻮﺍﺳﺖ ﻳﻚ ﮔﻮﺍﻫــﻲﻧﺎﻣــﻪ ﻧﻤﺎﻳــﺪ‪ .‬ﭘﻴﺎﻡ ‪ certificate_request_message‬ﺷﺎﻣﻞ ﺩﻭ ﭘﺎﺭﺍﻣﺘﺮ ﺍﺳﺖ‪:‬‬
‫‪ certificate_type‬ﻭ ‪ certificate_type .certificate_authorities‬ﻧﺸﺎﻥﺩﻫﻨﺪﺓ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻭ‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺁﻥ ﺍﺳﺖ‪:‬‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٦٦‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ ،RSA‬ﻓﻘﻂ ﺍﻣﻀﺎﺀ‬ ‫•‬
‫‪ ،DSS‬ﻓﻘﻂ ﺍﻣﻀﺎﺀ‬ ‫•‬
‫‪ RSA‬ﺑﺮﺍﻱ ‪ .fixed Diffie-Hellman‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﺍﻣﻀﺎﺀ ﻓﻘﻂ ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﺑﺎ ﺍﺭﺳﺎﻝ ﻳﻚ ﮔﻮﺍﻫـﻲ ﻛﻪ ﺑﺘﻮﺳﻂ‬ ‫•‬
‫‪ RSA‬ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‬
‫‪ DSS‬ﺑﺮﺍﻱ ‪ fixed Diffie-Hellman‬ﻛﻪ ﺑﺎﺯ ﻫﻢ ﻓﻘﻂ ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‬ ‫•‬
‫‪ RSA‬ﺑﺮﺍﻱ ‪ephemeral Diffie-Hellman‬‬ ‫•‬
‫‪ DSS‬ﺑﺮﺍﻱ ‪ephemeral Diffie-Hellman‬‬ ‫•‬

‫‪Fortezza‬‬ ‫•‬
‫ﭘﺎﺭﺍﻣﺘﺮ ﺩﻭﻡ ﺩﺭ ﭘﻴﺎﻡ ‪ certificate_request‬ﻳﻚ ﻟﻴﺴﺖ ﺍﺯ ﻧﺎﻡﻫﺎﻱ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺯ ‪CA‬ﻫﺎﻱ ﻣﻮﺭﺩ ﭘﺬﻳﺮﺵ ﺍﺳﺖ‪.‬‬
‫ﭘﻴﺎﻡ ﺁﺧﺮ ﻓﺎﺯ ﺩﻭﻡ ﻛﻪ ﻫﻤﻴﺸﻪ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪ ،‬ﭘﻴﺎﻡ ‪ server_done‬ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﺳِﺮﻭﺭ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ ﺗﺎ ﻧﺸﺎﻥ ﺩﻫﺪ‬
‫ﻛﻪ ﭘﺎﻳﺎﻥ ‪ hello‬ﺳِﺮﻭﺭ ﻭ ﭘﻴﺎﻡﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﺍﺳﺖ‪ .‬ﭘﺲ ﺍﺯ ﺍﺭﺳﺎﻝ ﺍﻳﻦ ﭘﻴﺎﻡ‪ ،‬ﺳِﺮﻭﺭ ﻣﻨﺘﻈﺮ ﭘﺎﺳﺦ ﻛﻼﻳﻨﺖ ﻣﻲﺷﻮﺩ‪ .‬ﭘﻴﺎﻡ‬
‫‪ server_done‬ﺷﺎﻣﻞ ﻫﻴﭻ ﭘﺎﺭﺍﻣﺘﺮﻱ ﻧﻴﺴﺖ‪.‬‬
‫ﻓﺎﺯ ﺳﻮﻡ – ﺗﺼﺪﻳﻖ ﻫﻮﻳﺖ ﻛﻼﻳﻨﺖ ﻭ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‬
‫ﭘﺲ ﺍﺯ ﺩﺭﻳﺎﻓﺖ ﭘﻴﺎﻡ ‪ ،server_done‬ﻛﻼﻳﻨﺖ ﺑﺎﻳﺴﺘﻲ ﺍﮔﺮ ﻻﺯﻡ ﺍﺳﺖ ﺗﺤﻘﻴﻖ ﻛﻨﺪ ﻛﻪ ﺳِﺮﻭﺭ ﻳﻚ ﮔﻮﺍﻫﻲ ﻣﻌﺘﺒﺮ ﺭﺍ ﺍﺭﺳﺎﻝ‬
‫ﻧﻤﻮﺩﻩ ﻭ ﻫﻤﭽﻨﻴﻦ ﻛﻨﺘﺮﻝ ﻧﻤﺎﻳﺪ ﻛﻪ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ‪ server_hello‬ﻗﺎﺑﻞ ﻗﺒﻮﻝﺍﻧﺪ‪ .‬ﺍﮔﺮ ﻫﻤﻪ ﭼﻴﺰ ﺑﺮ ﻭﻓﻖ ﻣﺮﺍﺩ ﺑﺎﺷﺪ‪ ،‬ﻛﻼﻳﻨﺖ ﻳﻚ ﻳﺎ‬
‫ﭼﻨﺪ ﭘﻴﺎﻡ ﺭﺍ ﺑﺴﻤﺖ ﺳِﺮﻭﺭ ﺧﻮﺍﻫﺪ ﻓﺮﺳﺘﺎﺩ‪.‬‬
‫ﺍﮔﺮ ﺳِﺮﻭﺭ ﺩﺭﺧﻮﺍﺳﺖ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﻧﻤﻮﺩﻩ ﺑﺎﺷﺪ‪ ،‬ﻛﻼﻳﻨﺖ ﺍﻳﻦ ﻓﺎﺯ ﺭﺍ ﺑﺎ ﺍﺭﺳﺎﻝ ﻳﻚ ﭘﻴﺎﻡ ‪ certificate‬ﺁﻏﺎﺯ ﻣﻲﻛﻨﺪ‪ .‬ﺍﮔﺮ‬
‫ﻫﻴﭻ ﮔﻮﺍﻫﻲ ﻣﻨﺎﺳﺒﻲ ﻭﺟﻮﺩ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻛﻼﻳﻨﺖ ﺑﺠﺎﻱ ﺁﻥ ﻳﻚ ﻫﺸﺪﺍﺭ ‪ no_certificate‬ﺭﺍ ﺍﺭﺳﺎﻝ ﺧﻮﺍﻫﺪ ﻛﺮﺩ‪.‬‬
‫ﺳﭙﺲ ﺩﺭ ﺍﻳﻦ ﻓﺎﺯ ﭘﻴﺎﻡ ‪ client_key_exchange‬ﺑﺎﻳﺴﺘﻲ ﺍﺭﺳﺎﻝ ﮔﺮﺩﺩ‪ .‬ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﻧﻮﻉ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‬
‫ﺑﺸﺮﺡ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫‪ :RSA‬ﻛﻼﻳﻨﺖ ﻳﻚ ﺩﻳﺘﺎﻱ ‪ -۴۸‬ﺑﺎﻳﺘﻲ ‪ pre-master sercert‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ‬ ‫•‬
‫ﺳِﺮﻭﺭ ﻭ ﻳﺎ ﻛﻠﻴﺪ ﻣﻮﻗﺖ ‪ RSA‬ﺍﺯ ﭘﻴﺎﻡ ‪ server_key_exchange‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻛﻨﺪ‪ .‬ﻛﺎﺭﺑﺮﺩ ﺁﻥ ﺑﺮﺍﻱ ﻣﺤﺎﺳﺒﺔ ﻳﻚ‬
‫‪ master secret‬ﺑﻌﺪﺍﹰ ﺗﻮﺿﻴﺢ ﺩﺍﺩﻩ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫‪ :Ephemeral or Anonymous Diffie-Hellman‬ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻋﻤﻮﻣﻲ ‪ Diffie-Hellman‬ﻛﻼﻳﻨﺖ ﺍﺭﺳﺎﻝ‬ ‫•‬

‫‪ :Fixed Diffie-Hellman‬ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻋﻤﻮﻣﻲ ‪ Diffie-Hellman‬ﻛﻼﻳﻨﺖ ﺩﺭ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺑﻮﺩ ﻭ‬ ‫•‬

‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﺤﺘﻮﻳﺎﺕ ﺍﻳﻦ ﭘﻴﺎﻡ ﺧﺎﻟﻲ ﺍﺳﺖ‪.‬‬
‫‪ :Fortezza‬ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ‪ Fortezza‬ﻛﻼﻳﻨﺖ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫•‬

‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٦٧‬‬
‫ﺑﺎﻻﺧﺮﻩ ﺩﺭ ﺍﻳﻦ ﻓﺎﺯ‪ ،‬ﻛﻼﻳﻨﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﭘﻴﺎﻡ ‪ certificate_verify‬ﺍﺭﺳﺎﻝ ﻧﻤﺎﻳﺪ ﺗﺎ ﺗﺄﺋﻴﺪ ﺻﺮﻳﺢ ﻳﻚ ﮔﻮﺍﻫﻲ ﻛﻼﻳﻨﺖ ﺭﺍ‬
‫ﻓﺮﺍﻫﻢ ﻛﻨﺪ‪ .‬ﺍﻳﻦ ﭘﻴﺎﻡ ﺗﻨﻬﺎ ﺑﺪﻧﺒﺎﻝ ﻫﺮ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻼﻳﻨﺖ ﻛﻪ ﺩﺍﺭﺍﻱ ﻗﺎﺑﻠﻴﺖ ﺍﻣﻀﺎﺀ ﺑﺎﺷﺪ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ )ﻳﻌﻨﻲ ﺗﻤﺎﻡ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﺑﺠﺰ‬
‫ﺁﻧﻬﺎﺋﻲ ﻛﻪ ﺩﺍﺭﺍﻱ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ‪ fixed Diffie-Hellman‬ﻫﺴﺘﻨﺪ(‪ .‬ﺍﻳﻦ ﭘﻴﺎﻡ ﻳﻚ ﻛﹸﺪ ‪ hash‬ﺭﺍ ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ ﭘﻴﺎﻡﻫﺎﻱ ﻗﺒﻞ ﺍﺳﺖ‬
‫ﺍﻣﻀﺎﺀ ﻣﻲﻛﻨﺪ ﻭ ﭼﻨﻴﻦ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪:‬‬
‫‪CertificateVerify.signature.md5_hash‬‬
‫;))‪MD5(master_secret || pad_2 || MD5(handshake_messages || master_secret || pad_1‬‬
‫‪Certificate.signature.sha_hash‬‬
‫;))‪SHA(master_secret || pad_2 || SHA(handshake_messages || master_secret || pad_1‬‬
‫ﻛﻪ ﺩﺭ ﺁﻥ ‪ pad_1‬ﻭ ‪ pad_2‬ﻣﻘﺎﺩﻳﺮﻱ ﻫﺴﺘﻨﺪ ﻛﻪ ﻗﺒﻼﹰ ﺑﺮﺍﻱ ‪ MAC‬ﺗﻌﺮﻳﻒ ﺷﺪﻩﺍﻧﺪ‪ handshake_messages ،‬ﺑﻪ ﺗﻤﺎﻡ‬
‫ﭘﻴﺎﻡﻫﺎﻱ ﭘﺮﻭﺗﻜﻞ ‪ Handshake‬ﻛﻪ ﺩﺭ ﺷﺮﻭﻉ ‪ client_hello‬ﺍﺭﺳﺎﻝ ﻭ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩﺍﻧﺪ )ﻭﻟﻲ ﺷﺎﻣﻞ ﺍﻳﻦ ﭘﻴﺎﻡ ﻧﻴﺴﺘﻨﺪ( ﺍﺷﺎﺭﻩ‬
‫ﻣﻲﻛﻨﺪ‪ ،‬ﻭ ‪ master_secret‬ﻳﻚ ﻣﻘﺪﺍﺭ ﺳﺮّﻱ ﻣﺤﺎﺳﺒﻪ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﻧﺤﻮﺓ ﺳﺎﺧﺖ ﺁﻥ ﺭﺍ ﺑﻌﺪﺍﹰ ﺩﺭ ﻫﻤﻴﻦ ﺑﺨﺶ ﺧﻮﺍﻫﻴﻢ ﺩﻳﺪ‪ .‬ﺍﮔﺮ‬
‫ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻛﺎﺭﺑﺮ ‪ DSS‬ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺍﺯ ﺁﻥ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪ hash‬ﻣﺮﺑﻮﻁ ﺑﻪ ‪ SHA-1‬ﺍﺳﺘﻔﺎﺩﻩ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺍﮔﺮ ﻛﻠﻴﺪ‬
‫ﺧﺼﻮﺻﻲ ﻛﺎﺭﺑﺮ ‪ RSA‬ﺑﺎﺷﺪ‪ ،‬ﺍﺯ ﺁﻥ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ ‪hash‬ﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ‪ MD5‬ﻭ ‪ SHA-1‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ‬
‫ﻫﺮﻳﻚ ﺍﺯ ﺩﻭ ﻣﻮﺭﺩ‪ ،‬ﻣﻘﺼﻮﺩ ﺗﺄﺋﻴﺪ ﻣﺎﻟﻜﻴﺖ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻛﻼﻳﻨﺖ ﺩﺭ ﮔﻮﺍﻫﻲ ﻛﻼﻳﻨﺖ ﺍﺳﺖ‪ .‬ﺣﺘﻲ ﺍﮔﺮ ﻛﺴﻲ ﺍﺯ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻼﻳﻨﺖ‬
‫ﺳﻮﺀ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﺪ‪ ،‬ﺍﻭ ﻗﺎﺩﺭ ﻧﺨﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ ﺍﻳﻦ ﭘﻴﺎﻡ ﺭﺍ ﺍﺭﺳﺎﻝ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻓﺎﺯ ﭼﻬﺎﺭﻡ ‪ -‬ﺧﺎﺗﻤﻪ‬
‫ﺍﻳﻦ ﻓﺎﺯ ﺑﺮﻗﺮﺍﺭﻱ ﻳﻚ ﺍﺗﺼﺎﻝ ﺍﻣﻦ ﺭﺍ ﻛﺎﻣﻞ ﻣﻲﻛﻨﺪ‪ .‬ﻛﻼﻳﻨﺖ ﻳﻚ ﭘﻴﺎﻡ ‪ change_cipher_spec‬ﺭﺍ ﺍﺭﺳﺎﻝ ﻛﺮﺩﻩ ﻭ‬
‫‪ CipherSpec‬ﻣﻮﻗﺖ ﺭﺍ ﺩﺭ ﻭﺿﻊ ﻓﻌﻠﻲ ‪ CipherSpec‬ﻛﭙﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﺍﻳﻦ ﭘﻴﺎﻡ ﺑﻌﻨﻮﺍﻥ ﺑﺨﺸﻲ ﺍﺯ ﭘﺮﻭﺗﻜﻞ‬
‫‪ Handshake‬ﺗﻠﻘﻲ ﻧﺸﺪﻩ ﺑﻠﻜﻪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﭘﺮﻭﺗﻜﻞ ‪ Change Cipher Spec‬ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻌﺪ ﺍﺯ ﺁﻥ ﻛﻼﻳﻨﺖ ﺑﺪﻭﻥ ﻓﻮﺕ‬
‫ﻭﻗﺖ ﭘﻴﺎﻡ ‪ finished‬ﺭﺍ ﺗﺤﺖ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺟﺪﻳﺪ‪ ،‬ﻛﻠﻴﺪﻫﺎ ﻭ ﻣﻘﺎﺩﻳﺮ ﺳﺮّﻱ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪ .‬ﭘﻴﺎﻡ ‪ finished‬ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ ﻛﻪ‬
‫ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﻭ ﻣﺮﺍﺣﻞ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻮﻓﻘﻴﺖﺁﻣﻴﺰ ﺑﻮﺩﻩ ﺍﺳﺖ‪ .‬ﻣﺤﺘﻮﻳﺎﺕ ﭘﻴﺎﻡ ‪ finished‬ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ ﺩﻭ ﻣﻘﺪﺍﺭ ‪ hash‬ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫))‪MD5(master_secret || pad2 || MD5(handshake_messages|| Sender || master_secret || pad1‬‬
‫))‪SHA(master_secret || pad2 || SHA(handshake_messages || Sender || master_secret || pad1‬‬
‫ﻛﻪ ﺩﺭ ﺁﻥ ‪ Sender‬ﻛﹸﺪﻱ ﺍﺳﺖ ﻛﻪ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ ﺍﺭﺳﺎﻝﻛﻨﻨﺪﻩ ﻛﻼﻳﻨﺖ ﻣﻲﺑﺎﺷﺪ ﻭ ‪ handshake_messages‬ﻛﻠﻴﺔ ﺩﺍﺩﻩﻫﺎﻱ‬
‫ﻣﺮﺑﻮﻁ ﺑﻪ ﭘﻴﺎﻡﻫﺎﻱ ‪ handshake‬ﺗﺎ ﺍﻳﻦ ﭘﻴﺎﻡ‪ ،‬ﻭﻟﻲ ﻧﻪ ﺷﺎﻣﻞ ﺍﻳﻦ ﭘﻴﺎﻡ‪ ،‬ﺍﺳﺖ‪.‬‬
‫ﺩﺭ ﭘﺎﺳﺦ ﺑﻪ ﺍﻳﻦ ﺩﻭ ﭘﻴﺎﻡ‪ ،‬ﺳِﺮﻭﺭ ﭘﻴﺎﻡ ‪ change_cipher_spec‬ﺧﻮﺩ ﺭﺍ ﺍﺭﺳﺎﻝ ﻛﺮﺩﻩ ﻭ ﻣﻘﺎﺩﻳﺮ ﻣﻮﻗﺖ ﺭﺍ ﺑﻪ ‪CipherSpec‬‬
‫ﺍﻧﺘﻘﺎﻝ ﻣﻲﺩﻫﺪ‪ .‬ﺳِﺮﻭﺭ ﺳﭙﺲ ﭘﻴﺎﻡ ‪ finished‬ﺭﺍ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻫﻨﮕﺎﻡ‪ ،‬ﺩﺳﺘﺪﺍﺩ ﻛﺎﻣﻞ ﺷﺪﻩ ﻭ ﻛﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﻪ‬
‫ﻣﺒﺎﺩﻟﺔ ﺩﺍﺩﻩﻫﺎﻱ ﻻﻳﺔ ﻛﺎﺭﺑﺮﺩ ﺍﻗﺪﺍﻡ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٦٨‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺩﻭ ﻣﻘﻮﻟﺔ ﺟﺎﻟﺐ ﺗﻮﺟﻪ ﺩﻳﮕﺮ ﻭﺟﻮﺩ ﺩﺍﺭﻧﺪ‪ :‬ﺧﻠﻖ ﻳﻚ ‪ master secret‬ﻣﺸﺘﺮﻙ ﺑﺘﻮﺳﻂ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﻭ ﺗﻮﻟﻴﺪ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﺍﺯ ﺭﻭﻱ ‪.master secret‬‬
‫ﺧﻠﻖ ‪Master Secret‬‬
‫‪ master secret‬ﻣﺸﺘﺮﻙ‪ ،‬ﻳﻚ ﻣﻘﺪﺍﺭ ‪ -۴۸‬ﺑﺎﻳﺘﻲ )‪ ۳۸۴‬ﺑﻴﺖ( ﻳﻜﺒﺎﺭ ﻣﺼﺮﻑ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﺍﻳﻦ ﺍﺟﻼﺱ ﺑﺘﻮﺳﻂ ﻣﺒﺎﺩﻟﺔ‬
‫ﺍﻣﻦ ﻛﻠﻴﺪ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺧﻠﻖ ﺍﻳﻦ ﻣﻘﺪﺍﺭ ﺩﺭ ﺩﻭ ﻣﺮﺣﻠﻪ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﺍﺑﺘﺪﺍ ﻳﻚ ‪ pre_master_secret‬ﻣﺒﺎﺩﻟﻪ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺳﭙﺲ ﻳﻚ ‪ master_secret‬ﺑﺘﻮﺳﻂ ﻫﺮ ﺩﻭ ﻃﺮﻑ ﻣﺤﺎﺳﺒﻪ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺑﺮﺍﻱ ﻣﺒﺎﺩﻟﺔ ‪ pre_master_secret‬ﺩﻭ ﺍﻣﻜﺎﻥ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‬
‫‪ :RSA‬ﻳﻚ ‪ -۴۸ pre_master_secret‬ﺑﺎﻳﺘﻲ ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ ﺗﻮﻟﻴﺪ ﺷﺪﻩ‪ ،‬ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ‪ RSA‬ﺳِﺮﻭﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ‬ ‫•‬
‫ﺷﺪﻩ ﻭ ﺑﺮﺍﻱ ﺳِﺮﻭﺭ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﺳِﺮﻭﺭ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺧﻮﺩ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﺗﺎ‬
‫‪ pre_master_secret‬ﺭﺍ ﺑﺎﺯﻳﺎﺑﻲ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ :Diffie_Hellman‬ﻫﺮ ﺩﻭﻱ ﻛﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ Diffie-Hellman‬ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﻨﺪ‪ .‬ﭘﺲ ﺍﺯ ﺍﻳﻨﻜﻪ‬ ‫•‬
‫ﺍﻳﻦ ﻛﻠﻴــﺪﻫﺎﻱ ﻋﻤــﻮﻣﻲ ﺭﺩ ﻭ ﺑــﺪﻝ ﺷﺪﻧﺪ‪ ،‬ﻫﺮﻳﻚ ﺍﺯ ﺩﻭ ﻃــﺮﻑ ﻣﺤﺎﺳﺒﺎﺕ ‪ Diffie-Hellman‬ﺭﺍ ﺑﺮﺍﻱ ﺧﻠﻖ‬
‫‪ pre_master_secret‬ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﻨﺪ‪.‬‬
‫ﺩﻭ ﻃﺮﻑ ‪ master_secret‬ﺭﺍ ﭼﻨﻴﻦ ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﻨﺪ‪:‬‬
‫|| ‪master_secret = MD5(pre_master_secret || SHA('A' || pre_master_secret‬‬

‫|| ))‪ClientHello.random || ServerHello.random‬‬
‫|| ‪MD5(pre_master_secret || SHA('BB' || pre_master_secret‬‬
‫|| ))‪ClientHello.random || ServerHello.random‬‬
‫|| ‪MD5(pre_master_secret || SHA('CCC' || pre_master_secret‬‬
‫))‪ClientHello.random || ServerHello.random‬‬
‫ﻛﻪ ﺩﺭ ﺁﻥ ‪ ClientHello.random‬ﻭ ‪ ServerHello.random‬ﺩﻭ ﻣﻘﺪﺍﺭ ‪ nonce‬ﻫﺴﺘﻨﺪ ﻛﻪ ﺩﺭ ﭘﻴﺎﻡﻫﺎﻱ ‪ hello‬ﺍﻭﻟﻴﺔ ﻣﺒﺎﺩﻟﻪ‬

‫ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫ﺗﻮﻟﻴﺪ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪ CipherSpec‬ﻧﻴﺎﺯ ﺑﻪ ﻳﻚ ‪ ،client write MAC secret‬ﻳﻚ ‪ ،server write MAC secret‬ﻳﻚ‬

‫‪ ،client write key‬ﻳﻚ ‪ ،server write key‬ﻳﻚ ‪ client write IV‬ﻭ ﻳﻚ ‪ server write IV‬ﺩﺍﺭﺩ ﻛﻪ ﺍﺯ ﺭﻭﻱ‬
‫‪ master secret‬ﺑﻬﻤﺎﻥ ﺗﺮﺗﻴﺐ ﻣﺤﺎﺳﺒﻪ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﻳﻦ ﭘﺎﺭﺍﻣﺘﺮﻫﺎ ﺍﺯ ﺭﻭﻱ ‪ master secret‬ﻭ ﺑﺎ ﻣﺤﺎﺳﺒﺔ ‪ hash‬ﺁﻥ ﺩﺭ ﺩﻧﺒﺎﻟﻪﺍﻱ‬
‫ﺍﺯ ﺑﺎﻳﺖﻫﺎﻱ ﺍﻣﻦ ﺑﺎ ﻃﻮﻝ ﻣﻨﺎﺳﺐ ﺑﺮﺍﻱ ﻫﻤﺔ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻻﺯﻡ ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫ﺗﻮﻟﻴﺪ ﺍﻗﻼﻡ ﻛﻠﻴﺪ ﺍﺯ ‪ master secret‬ﺍﺯ ﻫﻤﺎﻥ ﻓﺮﻣﺖ ﺗﻮﻟﻴﺪ ‪ master secret‬ﺍﺯ ‪ pre-master secret‬ﺗﺒﻌﻴﺖ‬
‫ﻣﻲﻛﻨﺪ‪:‬‬
‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٦٩‬‬
‫|| ‪Key_block = MD5(master_secret || SHA('A' || master_secret‬‬

‫|| ))‪ServerHello.random || ClientHello.random‬‬
‫|| ‪MD5(master_secret || SHA('BB' || master_secret‬‬
‫|| ))‪ServerHello.random || ClientHello.random‬‬
‫|| ‪MD5(master_secret || SHA('CCC' || master_secret‬‬
‫… || ))‪ServerHello.random || ClientHello.random‬‬
‫ﺗﺎ ﺍﻳﻨﻜﻪ ﺧﺮﻭﺟﻲ ﻛﺎﻓﻲ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﺑﺎﺷﺪ‪ .‬ﻧﺘﻴﺠﺔ ﺍﻳﻦ ﺳﺎﺧﺘﺎﺭ ﺍﻟﮕﻮﺭﻳﺘﻤﻲ‪ ،‬ﻳﻚ ﺗﺎﺑﻊ ﺷﺒﻪ ﺗﺼﺎﺩﻓﻲ ﺍﺳﺖ‪ master_secret .‬ﺭﺍ ﻣﻲﺗﻮﺍﻥ‬
‫ﺑﺬﺭ)‪ (seed‬ﺍﻳﻦ ﺗﺎﺑﻊ ﺗﻮﻟﻴﺪ ﺍﻋﺪﺍﺩ ﺷﺒﻪ ﺗﺼﺎﺩﻓﻲ ﺩﺍﻧﺴﺖ‪ .‬ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ ﻛﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﻌﻨﻮﺍﻥ ﻣﻘﺎﺩﻳﺮ ‪ salt‬ﺑﺮﺍﻱ‬
‫ﭘﻴﭽﻴﺪﻩﺳﺎﺯﻱ ﺣﻤﻼﺕ ﻣﻤﻜﻦ ﺑﻪ ﺭﻣﺰ ﺩﺭ ﻧﻈﺮ ﮔﺮﻓﺖ )ﺑﺮﺍﻱ ﺑﺤﺚ ﺩﺭ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ salt‬ﺑﻪ ﻓﺼﻞ ‪ ۹‬ﻣﺮﺍﺟﻌﻪ ﺷﻮﺩ(‪.‬‬
‫ﺍﻣﻨﻴﺖ ﻻﻳﺔ ﺣﻤﻞ ﻭ ﻧﻘﻞ )‪(TLS‬‬
‫‪ TLS‬ﺑﺮﮔﺮﻓﺘﻪ ﺍﺯ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﺳﺎﺯﻱ ‪ IETF‬ﺍﺳﺖ ﻛﻪ ﻫﺪﻑ ﺍﻭﻟﻴﺔ ﺁﻥ ﺗﻮﻟﻴﺪ ﻧﺴﺨﺔ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻳﻨﺘﺮﻧﺘﻲ ‪ SSL‬ﺑﻮﺩﻩ ﺍﺳﺖ‪TLS .‬‬
‫ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﭘﻴﺸﻨﻬﺎﺩﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺩﺭ ‪ RFC 2246‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ‪ RFC 2246 .‬ﺷﺒﺎﻫﺖ ﺯﻳﺎﺩﻱ ﺑﻪ ‪ SSLv3‬ﺩﺍﺭﺩ‪.‬‬
‫ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﺍﻳﻦ ﺍﺧﺘﻼﻓﺎﺕ ﺭﺍ ﻣﻮﺭﺩ ﺑﺮﺭﺳﻲ ﻗﺮﺍﺭ ﻣﻲﺩﻫﻴﻢ‪.‬‬
‫‪Version Number‬‬
‫‪ TLS Record Format‬ﻫﻤﺎﻧﻨﺪ ‪) SSL Record Format‬ﺷﻜﻞ‪ (۷-۴‬ﺑﻮﺩﻩ ﻭ ﻣﻴﺪﺍﻥﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ﻫﻤﺎﻥ‬
‫ﻣﻔﺎﻫﻴﻢ ﺭﺍ ﺩﺍﺭﻧﺪ‪ .‬ﺗﻨﻬﺎ ﺍﺧﺘﻼﻑ ﺩﺭ ﺍﻧﺪﺍﺯﺓ ‪ version‬ﻣﻲﺑﺎﺷﺪ‪ .‬ﺑﺮﺍﻱ ﻧﺴﺨﺔ ﺟﺎﺭﻱ ‪ MajorVersion ،TLS‬ﺑﺮﺍﺑﺮ ‪ 3‬ﻭ‬
‫‪ MinorVersion‬ﺑﺮﺍﺑﺮ ‪ 1‬ﺍﺳﺖ‪.‬‬
‫ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ )‪(MAC‬‬

‫ﺩﻭ ﺍﺧﺘﻼﻑ ﺑﻴﻦ ﺭﻭﺵﻫﺎﻱ ‪ SSLv3‬ﻭ ‪ TLS MAC‬ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ :‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﻭﺍﻗﻌﻲ ﻭ ﻣﻨﻈﺮ ﻣﺤﺎﺳﺒﺎﺕ ‪ TLS .MAC‬ﺍﺯ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ HMAC‬ﻛﻪ ﺩﺭ ‪ RFC 2104‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺍﺯ ﺁﻧﭽﻪ ﺩﺭ ﻓﺼﻮﻝ ﻗﺒﻞ ﮔﻔﺘﻪ ﺷﺪ ﺑﺨﺎﻃﺮ ﺁﻭﺭﻳﺪ ﻛﻪ‬
‫‪ HMAC‬ﭼﻨﻴﻦ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪:‬‬
‫]]‪HMACK(M) = H[(K+ ⊕ opad) || H[(K+ ⊕ ipad ) || M‬‬
‫‪H‬‬ ‫=‬ ‫ﺗﺎﺑﻊ ‪ hash‬ﺩﺭﻭﻧﻲ )ﺑﺮﺍﻱ ‪ TLS‬ﻳﺎ ‪ MD5‬ﻭ ﻳﺎ ‪ SHA-1‬ﺍﺳﺖ(‬
‫‪M‬‬ ‫=‬ ‫ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﺑﻪ ‪HAMC‬‬
‫‪K+‬‬ ‫ﻛﻠﻴﺪ ﺳﺮّﻱ ﺑﺎ ‪ 0‬ﻫﺎﻱ ﺍﺿﺎﻓﻪ ﺷﺪﻩ ﺑﻪ ﺳﻤﺖ ﭼﭗ ﺁﻥ ﺑﻄﻮﺭﻱ ﻛﻪ ﻧﺘﻴﺠﻪ ﺑﺮﺍﺑﺮ ﻃﻮﻝ =‬
‫ﺑﻠﻮﻙ ﻛﹸﺪ ‪ hash‬ﺑﺎﺷﺪ )ﺑﺮﺍﻱ ‪ MD5‬ﻭ ‪ SHA-1‬ﻃﻮﻝ ﺑﻠﻮﻙ = ‪ ۵۱۲‬ﺑﻴﺖ(‬
‫ﺑﺎﻳﺖ ‪ 36) 0011 0110‬ﻫﮕﺰﺍﺩﺳﻴﻤﺎﻝ( ﻛﻪ ‪ ۶۴‬ﺑﺎﺭ ﺗﻜﺮﺍﺭ ﺷﻮﺩ )‪ ۵۱۲‬ﺑﻴﺖ( = ‪ipad‬‬
‫ﺑﺎﻳﺖ ‪ 5C) 0101 1100‬ﻫﮕﺰﺍﺩﺳﻴﻤﺎﻝ( ﻛﻪ ‪ ۶۴‬ﺑﺎﺭ ﺗﻜﺮﺍﺭ ﺷﻮﺩ )‪ ۵۱۲‬ﺑﻴﺖ( = ‪opad‬‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٧٠‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ SSLv3‬ﺍﺯ ﻫﻤﻴﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﺑﺠﺰ ﺍﻳﻨﻜﻪ ﺑﺎﻳﺖﻫﺎﻱ ﻻﺋﻲ )‪ (padding‬ﺑﺎ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ ﻣﻲﺷﻮﺩ‬
‫ﻧﻪ ﺍﻳﻨﻜﻪ ﺑﺎ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻛﻪ ﺑﻪ ﺍﻧﺪﺍﺯﺓ ﻃﻮﻝ ﺑﻠﻮﻙ ﻃﻮﻳﻞ ﺷﺪﻩ ﺍﺳﺖ‪ XOR ،‬ﮔﺮﺩﺩ‪ .‬ﺳﻄﺢ ﺍﻣﻨﻴﺖ ﻫﺮ ﺩﻭ ﺭﻭﺵ ﺗﻘﺮﻳﺒﺎﹰ ﻳﻜﺴﺎﻥ ﺍﺳﺖ‪.‬‬
‫ﺑﺮﺍﻱ ‪ ،TLS‬ﻣﺤﺎﺳﺒﺎﺕ ‪ MAC‬ﻣﻴﺪﺍﻥﻫﺎﻱ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺩﺭ ﻋﺒﺎﺭﺕ ﺯﻳﺮ ﺭﺍ ﺷﺎﻣﻞ ﻣﻲﺷﻮﻧﺪ‪:‬‬
‫|| ‪HMAC_hash(MAC_write_secret,seq_num || TLSCompressed.type‬‬

‫))‪TLSCompressed.version || TLSCompressed.length || TLSCompressed.fragment‬‬
‫ﻣﺤﺎﺳﺒﺔ ‪ MAC‬ﺗﻤــﺎﻡ ﻣﻴــﺪﺍﻥﻫﺎﻱ ﭘﻮﺷﺎﻧﻴﺪﻩ ﺷــﺪﻩ ﺑﺘﻮﺳﻂ ‪ SSLv3‬ﺭﺍ ﭘﻮﺷﺶ ﺩﺍﺩﻩ ﻭ ﻋﻼﻭﻩ ﺑــﺮ ﺁﻥ ﻣﻴــﺪﺍﻥ‬
‫‪ ،TLSCompressed.version‬ﻛﻪ ﻧﺴﺨﺔ ﭘﺮﻭﺗﻜﻞ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺭﺍ ﻧﻴﺰ ﻣﻲﭘﻮﺷﺎﻧﺪ‪.‬‬
‫ﺗﺎﺑﻊ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ‬
‫‪ TLS‬ﺍﺯ ﻳﻚ ﺗﺎﺑﻊ ﺷﺒﻪﺗﺼﺎﺩﻓﻲ ﻛﻪ ‪ PRF‬ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷﻮﺩ ﺑﺮﺍﻱ ﺑﺴﻂ ﻣﻘﺎﺩﻳﺮ ﺳﺮّﻱ ﺑﻪ ﺑﻠﻮﻙﻫﺎﻱ ﺩﻳﺘﺎ‪ ،‬ﺑﺮﺍﻱ ﻣﻘﺎﺻﺪ ﺗﻮﻟﻴﺪ‬
‫ﻛﻠﻴﺪ ﻳﺎ ﺗﺄﺋﻴﺪ ﻛﻠﻴﺪ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﻫﺪﻑ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﻳﻚ ﻣﻘﺪﺍﺭ ﺳﺮّﻱ ﻧﺴﺒﺘﺎﹰ ﻛﻮﭼﻚ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﺑﻠﻮﻙﻫﺎﻱ ﺑﺰﺭﮔﺘﺮ ﺩﻳﺘﺎ‬
‫ﺑﻨﺤﻮﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ ﻛﻪ ﺍﺯ ﺍﻧﻮﺍﻉ ﺣﻤﻼﺗﻲ ﻛﻪ ﺭﻭﻱ ﺗﻮﺍﺑﻊ ‪ hash‬ﻭ ‪ MAC‬ﻣﻲﺷﻮﻧﺪ ﺩﺭ ﺍﻣﺎﻥ ﺑﺎﺷﺪ‪ PRF .‬ﻣﺒﺘﻨﻲ ﺑﺮ ﺗﺎﺑﻊ ﺑﺴﻂﺩﻫﻨﺪﺓ‬
‫ﺩﻳﺘﺎ ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﺍﺳﺖ )ﺷﻜﻞ ‪:(۷ -۷‬‬
‫|| )‪P_hash(secret,seed) = HMAC_hash(secret,A(1) || seed‬‬

‫|| )‪HMAC_hash(secret,A(2) || seed‬‬
‫… || )‪HMAC_hash(secret,A(3) || seed‬‬
‫ﻛﻪ ﺩﺭ ﺁﻥ ) (‪ A‬ﭼﻨﻴﻦ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‬

‫‪A(0) = seed‬‬
‫))‪A(i) = HMAC_hash(secret,A(i-1‬‬
‫ﺗﺎﺑﻊ ﺑﺴﻂﺩﻫﻨﺪﺓ ﺩﻳﺘﺎ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ HMAC‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﻛﻪ ‪ MD5‬ﻳﺎ ‪ SHA-1‬ﺗﺎﺑﻊ ‪ hash‬ﺩﺭﻭﻧﻲ ﺁﻥ ﻫﺴﺘﻨﺪ‪ .‬ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ‬
‫ﻣﻲﺗﻮﺍﻥ ﻣﺸﺎﻫﺪﻩ ﻛﺮﺩ ‪ P_hash‬ﻣﻲﺗﻮﺍﻧﺪ ﻫﺮﭼﻨﺪ ﺑﺎﺭ ﻛﻪ ﻻﺯﻡ ﺍﺳﺖ ﺗﻜﺮﺍﺭ ﮔﺮﺩﺩ ﺗﺎ ﻣﻘﺪﺍﺭ ﻻﺯﻡ ﺩﻳﺘﺎ ﺗﻮﻟﻴﺪ ﺷﻮﺩ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ ﺍﮔﺮ ﺍﺯ‬
‫‪ P_SHA-1‬ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ‪ ۶۴‬ﺑﺎﻳﺖ ﺩﻳﺘﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪ ،‬ﻻﺯﻡ ﺍﺳﺖ ﺗﺎ ﭼﻬﺎﺭﺑﺎﺭ ﺗﻜﺮﺍﺭ ﺷﺪﻩ ﺗﺎ ‪ ۸۰‬ﺑﺎﻳﺖ ﺩﻳﺘﺎ ﺭﺍ ﺩﺭﺳﺖ ﻛﺮﺩﻩ ﻛﻪ‬
‫‪ ۱۶‬ﺑﺎﻳﺖ ﺁﺧﺮ ﺁﻥ ﻣﻌﺪﻭﻡ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺩﺭ ﻫﻤﻴﻦ ﻣﺜﺎﻝ ‪ P_MD5‬ﺑﺎﻳﺴﺘﻲ ﭼﻬﺎﺭ ﺑﺎﺭ ﺗﻜﺮﺍﺭ ﮔﺮﺩﺩ ﻛﻪ ﺩﻗﻴﻘﺎﹰ ‪ ۶۴‬ﺑﺎﻳﺖ ﺭﺍ ﺗﻮﻟﻴﺪ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﻫﺮ ﺗﻜﺮﺍﺭ ﺷﺎﻣﻞ ﺩﻭﺑﺎﺭ ﺍﺟﺮﺍﻱ ‪ HMAC‬ﺍﺳﺖ ﻛﻪ ﻫﺮﻛﺪﺍﻡ ﺑﻨﻮﺑﺔ ﺧﻮﺩ ﺷﺎﻣﻞ ﺩﻭﺑﺎﺭ ﺍﺟﺮﺍﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ hash‬ﻣﻮﺭﺩ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ‪ PRF‬ﺗﺎ ﺣﺪ ﺍﻣﻜﺎﻥ ﺍﻣﻦ ﺑﺎﺷﺪ ﺍﺯ ﺩﻭ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ hash‬ﺑﻨﺤﻮﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﻛﻪ ﺩﺭ ﺻﻮﺭﺕ ﺍﻣﻦ ﻣﺎﻧﺪﻥ ﻫﺮ ﻳﻚ‬
‫ﺍﺯ ﺩﻭ ﺍﻟﮕﻮﺭﻳﺘﻢ‪ ،‬ﺍﻣﻨﻴﺖ ﺁﻥ ﺗﻀﻤﻴﻦ ﺷﺪﻩ ﺑﺎﺷﺪ‪ PRF .‬ﭼﻨﻴﻦ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‬
‫)‪PRF(secret, label, seed) = P_MD5(S1, label || seed) ⊕ P_SHA-1(S2, label || seed‬‬

‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٧١‬‬
‫‪seed‬‬
‫‪secret‬‬ ‫‪HMAC‬‬
‫)‪A(1‬‬
‫‪seed‬‬
‫=‬
‫‪secret‬‬ ‫‪HMAC‬‬ ‫‪secret‬‬ ‫‪HMAC‬‬

‫)‪A(2‬‬
‫‪seed‬‬
‫=‬
‫‪secret‬‬ ‫‪HMAC‬‬ ‫‪secret‬‬ ‫‪HMAC‬‬

‫)‪A(3‬‬ ‫‪...‬‬
‫‪seed‬‬
‫‪secret‬‬ ‫=‬
‫‪HMAC‬‬
‫‪...‬‬
‫‪length=hash size‬‬
‫ﺗﺎﺑﻊ )‪ P_hash (secret,seed‬ﭘﺮﻭﺗﻜﻞ ‪TLS‬‬ ‫ﺷﻜﻞ ‪۷-۷‬‬
‫‪ PRF‬ﺑﻌﻨﻮﺍﻥ ﻭﺭﻭﺩﻱ ﻳﻚ ﻣﻘﺪﺍﺭ ﺳﺮّﻱ‪ ،‬ﻳﻚ ﺑﺮﭼﺴﺐ ﺷﻨﺎﺳﺎﺋﻲ ﻭ ﻳﻚ ﻣﻘﺪﺍﺭ ‪ seed‬ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﻳﻚ ﺧﺮﻭﺟﻲ ﺑﺎ ﻃﻮﻝ‬
‫ﺩﻟﺨﻮﺍﻩ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﺧﺮﻭﺟﻲ ﺑﺘﻮﺳﻂ ﻧﺼﻒ ﻛﺮﺩﻥ ﻣﻘﺪﺍﺭ ﺳﺮّﻱ ﺑﻪ ﺩﻭ ﻧﻴﻤﺔ )‪ S1‬ﻭ ‪ (S2‬ﻭ ﻣﺤﺎﺳﺒﺔ ‪ P_hash‬ﺭﻭﻱ ﻫﺮ ﻧﻴﻤﻪ ﺑﺎ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ MD5‬ﺭﻭﻱ ﻳﻚ ﻧﻴﻤﻪ ﻭ ‪ SHA-1‬ﺭﻭﻱ ﻧﻴﻤﺔ ﺩﻳﮕﺮ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ .‬ﺩﻭ ﻧﺘﻴﺠﻪ ﺑﺎﻫﻢ ‪ XOR‬ﺷﺪﻩ ﺗﺎ ﺧﺮﻭﺟﻲ ﺭﺍ ﺩﺭﺳﺖ‬
‫ﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ‪ P_MD5‬ﻣﻌﻤﻮﻻﹰ ﺑﺎﻳﺪ ﺑﻴﺸﺘﺮ ﺍﺯ ‪ P_SHA-1‬ﺗﻜﺮﺍﺭ ﺷﻮﺩ ﺗﺎ ﻣﻘﺪﺍﺭ ﺑﺮﺍﺑﺮﻱ ﺍﺯ ﺩﻳﺘﺎ ﺑﺮﺍﻱ ﻭﺭﻭﺩﻱ ﺗﺎﺑﻊ ‪XOR‬‬
‫ﺭﺍ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩ‪.‬‬
‫ﻛﹸﺪﻫﺎﻱ ‪Alert‬‬
‫‪ TLS‬ﺗﻤﺎﻡ ﻫﺸﺪﺍﺭﻫﺎﻱ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺩﺭ ‪ SSLv3‬ﺑﺠﺰ ‪ no_certificate‬ﺭﺍ ﺣﻤﺎﻳﺖ ﻣﻲﻛﻨﺪ‪ .‬ﺗﻌﺪﺍﺩﻱ ﻫﺸﺪﺍﺭﻫﺎﻱ ﺍﺿﺎﻓﻲ‬
‫ﻧﻴﺰ ﺩﺭ ‪ TLS‬ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ ﻛﻪ ﺍﺯ ﻣﻴﺎﻥ ﺁﻧﻬﺎ ﻛﹸﺪﻫﺎﻱ ﺯﻳﺮ ﻫﻤﻴﺸﻪ ‪ fatal‬ﻫﺴﺘﻨﺪ‪:‬‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٧٢‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ :decryption_failed‬ﻳﻚ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﻛﻪ ﺑﻪ ﺭﻭﺵ ﻏﻴﺮﻣﻌﺘﺒﺮﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺷﻮﺩ‪ .‬ﻳﺎ ﻃﻮﻝ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﻣﻀﺮﺏ‬ ‫•‬
‫ﺯﻭﺟﻲ ﺍﺯ ﻃﻮﻝ ﺑﻠﻮﻙ ﻧﺒﻮﺩﻩ ﻭ ﻳﺎ ﺍﻧﺪﺍﺯﺓ ﻻﺋﻲ ﺁﻥ ﻭﻗﺘﻲ ﻛﻨﺘﺮﻝ ﺷﺪﻩ ﺍﺳﺖ ﺻﺤﻴﺢ ﻧﺒﻮﺩﻩ ﺍﺳﺖ‪.‬‬
‫‪ :record_overflow‬ﻳﻚ ﺭﻛﻮﺭﺩ ‪ TLS‬ﺑﺎ ﺑﺎﺭ ﺁﻥ )ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ(‪ ،‬ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﻛﻪ ﻃﻮﻝ ﺁﻥ ﺍﺯ ‪۲۱۴ + ۲,۰۴۸‬‬ ‫•‬
‫ﺑﺎﻳﺖ ﺗﺠﺎﻭﺯ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﻳﻚ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﻪ ﻃﻮﻟﻲ ﺑﻴﺶ ﺍﺯ ‪ ۲۱۴ + ۲,۰۴۸‬ﺑﺎﻳﺖ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ :unknown_ca‬ﻳﻚ ﺯﻧﺠﻴﺮﻩ ﻭ ﻳﺎ ﺑﺨﺸﻲ ﺍﺯ ﺯﻧﺠﻴﺮﺓ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﻭﻟﻲ ﭘﺬﻳﺮﻓﺘﻪ ﻧﺸﺪﻩ ﺍﺳﺖ‪ ،‬ﺯﻳﺮﺍ ﻳﺎ ‪CA‬‬ ‫•‬
‫ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ﮔﻮﺍﻫﻲ ﺷﻨﺎﺳﺎﺋﻲ ﻧﺸﺪﻩ ﻭ ﻳﺎ ﮔﻮﺍﻫﻲ ﺑﺎ ﻳﻚ ‪ CA‬ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﻣﺮﺗﺒﻂ ﻧﺒﻮﺩﻩ ﺍﺳﺖ‪.‬‬
‫‪ :access_denied‬ﻳﻚ ﮔﻮﺍﻫﻲ ﻣﻌﺘﺒﺮ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺍﺳﺖ ﻭﻟﻲ ﻭﻗﺘﻲ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺁﻥ ﺍﻋﻤﺎﻝ ﺷﺪﻩ ﺍﺳﺖ‬ ‫•‬
‫ﻓﺮﺳﺘﻨﺪﻩ ﺗﺼﻤﻴﻢ ﮔﺮﻓﺘﻪ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﻣﺬﺍﻛﺮﺍﺕ ﺗﻮﺍﻓﻘﻲ ﺍﺩﺍﻣﻪ ﻧﺪﻫﺪ‪.‬‬
‫‪ :decode_error‬ﻳﻚ ﭘﻴﺎﻡ ﻧﺘﻮﺍﻧﺴﺘﻪ ﺍﺳﺖ ﺍﺯ ﻛﹸﺪ ﺧﺎﺭﺝ ﺷﻮﺩ ﺯﻳﺮﺍ ﻳﻚ ﻣﻴﺪﺍﻥ‪ ،‬ﺍﺯ ﻣﺤﺪﻭﺩﺓ ﺗﻌﻴﻴﻦ ﺷﺪﻩ ﺧﺎﺭﺝ ﮔﺸﺘﻪ ﻭ ﻳﺎ‬ ‫•‬
‫ﻃﻮﻝ ﭘﻴﺎﻡ ﻧﺎﺻﺤﻴﺢ ﺑﻮﺩﻩ ﺍﺳﺖ‪.‬‬
‫‪ :export_restriction‬ﻳﻚ ﺗﻮﺍﻓﻖ ﻛﻪ ﻣﺘﻨﺎﻗﺾ ﺑﺎ ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﻃﻮﻝ ﻛﻠﻴﺪ ﺍﺳﺖ‪ ،‬ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫‪ :protocol_version‬ﻧﺴﺨﺔ ﭘﺮﻭﺗﻜﻠﻲ ﻛﻪ ﻛﻼﻳﻨﺖ ﺑﺮﺍﻱ ﺗﻮﺍﻓﻖ ﺭﻭﻱ ﺁﻥ ﺗﻼﺵ ﻣﻲﻛﻨﺪ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﻭﻟﻲ ﻣﻮﺭﺩ‬ ‫•‬
‫ﺣﻤﺎﻳﺖ ﻧﻴﺴﺖ‪.‬‬
‫‪ :insufficient_security‬ﺍﻳﻦ ﻫﺸﺪﺍﺭ ﺑﺠﺎﻱ ‪ handshake_failure‬ﻭﻗﺘﻲ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ ﻛﻪ ﺳِﺮﻭﺭ ﺑﻪ ﺭﻣﺰﻫﺎﺋﻲ‬ ‫•‬
‫ﺍﻣﻦﺗﺮ ﺍﺯ ﺁﻧﭽﻪ ﺑﺘﻮﺳﻂ ﻛﻼﻳﻨﺖ ﺣﻤﺎﻳﺖ ﻣﻲﺷﻮﺩ ﻧﻴﺎﺯ ﺩﺍﺭﺩ‪.‬‬
‫‪ :internal_error‬ﻳﻚ ﺧﻄﺎﻱ ﺩﺍﺧﻠﻲ‪ ،‬ﻏﻴﺮﻣﺮﺗﺒﻂ ﺑﺎ ﻭﺍﺣﺪ ﻧﻈﻴﺮ ﻭ ﻳﺎ ﻏﻴﺮﻣﺮﺗﺒﻂ ﺑﺎ ﺻﺤﺖ ﭘﺮﻭﺗﻜﻞ‪ ،‬ﺍﻣﻜﺎﻥ ﺍﺩﺍﻣﺔ ﻛﺎﺭ ﺭﺍ‬ ‫•‬
‫ﻧﻤﻲﺩﻫﺪ‪.‬‬
‫ﺑﻘﻴﺔ ﻫﺸﺪﺍﺭﻫﺎﻱ ﺟﺪﻳﺪ ﭼﻨﻴﻦﺍﻧﺪ‪:‬‬
‫‪ :decrypt_error‬ﻳﻜﻲ ﺍﺯ ﻋﻤﻠﻴﺎﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺳﺘﺪﺍﺩ ﻣﻮﻓﻖ ﻧﺒﻮﺩﻩ ﺍﺳﺖ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﻧﺎﺗﻮﺍﻧﻲ ﺩﺭ ﺗﺄﺋﻴﺪ ﻳﻚ ﺍﻣﻀﺎﺀ‪،‬‬ ‫•‬
‫ﻧﺎﺗﻮﺍﻧﻲ ﺩﺭ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻳﻚ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﻭ ﻳﺎ ﻧﺎﺗﻮﺍﻧﻲ ﺩﺭ ﺗﺄﺋﻴﺪ ﺍﺧﺘﺘﺎﻡ ﻣﻮﻓﻘﻴﺖﺁﻣﻴﺰ ﻳﻚ ﭘﻴﺎﻡ ﺑﺎﺷﺪ‪.‬‬
‫‪ :user_canceled‬ﺍﻳﻦ ﺩﺳﺘﺪﺍﺩ ﺑﻪ ﺩﻟﻴﻠﻲ ﻏﻴﺮﻣﺮﺗﺒﻂ ﺑﺎ ﻣﺸﻜﻼﺕ ﭘﺮﻭﺗﻜﻠﻲ‪ ،‬ﻣﻠﻐﻲ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫‪ :no_renegotiation‬ﺑﺘﻮﺳﻂ ﻳﻚ ﻛﻼﻳﻨﺖ ﺩﺭ ﭘﺎﺳﺦ ﺑﻪ ﻳﻚ ‪ hello_request‬ﻭ ﻳﺎ ﺑﺘﻮﺳﻂ ﻳﻚ ﺳِﺮﻭﺭ ﺩﺭ ﭘﺎﺳﺦ ﺑﻪ‬ ‫•‬
‫‪ client_hello‬ﭘﺲ ﺍﺯ ﺩﺳﺘﺪﺍﺩ ﺍﻭﻟﻴﻪ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﻫﺮﻳﻚ ﺍﺯ ﺍﻳﻦ ﺩﻭ ﭘﻴﺎﻡ ﻗﺎﻋﺪﺗﺎﹰ ﻣﻨﺠﺮ ﺑﻪ ﺗﻮﺍﻓﻖ ﻣﺠﺪﺩ ﺧﻮﺍﻫﺪ ﺷﺪ ﺍﻣﺎ‬
‫ﺍﻳﻦ ﻫﺸﺪﺍﺭ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﻓﺮﺳﺘﻨﺪﻩ ﻗﺎﺩﺭ ﺑﻪ ﺗﻮﺍﻓﻖ ﻣﺠﺪﺩ ﻧﻴﺴﺖ‪ .‬ﺍﻳﻦ ﭘﻴﺎﻡ ﻫﻤﻴﺸﻪ ﻳﻚ ﺍﺧﻄﺎﺭ ﺍﺳﺖ‪.‬‬
‫ﻣﺠﻤﻮﻋﻪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﭼﻨﺪ ﺍﺧﺘﻼﻑ ﻛﻮﭼﻚ ﺑﻴﻦ ﻣﺠﻤﻮﻋﻪﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻮﺟﻮﺩ ﺗﺤﺖ ‪ SSLv3‬ﻭ ‪ TLS‬ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪:‬‬
‫ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‪ TLS :‬ﺗﻤﺎﻡ ﺗﻜﻨﻴﻚﻫﺎﻱ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ‪ SSLv3‬ﺑﺠﺰ ‪ Fortezza‬ﺭﺍ ﻣﻲﭘﺬﻳﺮﺩ‪.‬‬ ‫•‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‪ TLS :‬ﺷﺎﻣﻞ ﺗﻤــﺎﻡ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣــﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻣﻮﺟــﻮﺩ ﺩﺭ ‪ SSLv3‬ﺑﺠﺰ‬ ‫•‬
‫‪ Fortezza‬ﺍﺳﺖ‪.‬‬
‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٧٣‬‬
‫ﺍﻧﻮﺍﻉ ﮔﻮﺍﻫﻲﻫﺎﻱ ﻛﻼﻳﻨﺖ‬

‫‪ TLS‬ﺍﻧﻮﺍﻉ ﮔﻮﺍﻫﻲﻫﺎﻱ ﺯﻳﺮ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﻳﻚ ﭘﻴﺎﻡ ‪ certificate_request‬ﺗﻘﺎﺿﺎ ﺷﻮﺩ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪:‬‬
‫‪ .dss_fixed_dh ,rsa_fixed_dh ,dss_sign ,rsa_sign‬ﻫﻤﻪ ﺍﻳﻨﻬﺎ ﺩﺭ ‪ SSLv3‬ﺗﻌﺮﻳﻒ ﺷﺪﻩﺍﻧﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺁﻥ ‪SSLv3‬‬
‫ﺷﺎﻣﻞ ‪ dss_ephemeral_dh ،rsa_ephemeral_dh‬ﻭ ‪ fortezza_kea‬ﻣﻲﺑﺎﺷﺪ‪ Ephemeral Diffie-Hellman .‬ﺷﺎﻣﻞ‬
‫ﺍﻣﻀﺎﺀ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ‪ Diffie-Hellman‬ﺑﺎ ‪ RSA‬ﻳﺎ ‪ DSS‬ﺍﺳﺖ‪ .‬ﺩﺭ ‪ TLS‬ﺍﺯ ‪ rsa_sign‬ﻭ ‪ dss_sign‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻣﻲﺷﻮﺩ ﻭ ﻳﻚ ﻧﻮﻉ ﺍﻣﻀﺎﺀ ﻣﺠﺰﺍ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ‪ Diffie-Hellman‬ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻧﻴﺴﺖ‪ TLS .‬ﺭﻭﺵ ‪ Fortezza‬ﺭﺍ ﺷﺎﻣﻞ‬
‫ﻧﻤﻲﺷﻮﺩ‪.‬‬
‫ﭘﻴﺎﻡﻫﺎﻱ ‪ Certificate_Verify‬ﻭ ‪Finished‬‬
‫ﺩﺭ ﭘﻴـﺎﻡ ‪ certificate_verify‬ﻣــﺮﺑـﻮﻁ ﺑـﻪ ‪hash ،TLS‬ﻫـﺎﻱ‪ MD5‬ﻭ ‪ SHA-1‬ﺗﻨـﻬـﺎ ﺭﻭﻱ ﭘﻴــﺎﻡﻫــﺎﻱ‬
‫‪ handshake_messages‬ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻴﺎﺩ ﺁﻭﺭﻳﺪ ﻛﻪ ﺑﺮﺍﻱ ‪ SSLv3‬ﻣﺤﺎﺳﺒﺎﺕ ‪ hash‬ﻫﻤﭽﻨﻴﻦ ﺷﺎﻣﻞ ‪ master secret‬ﻭ‬
‫‪pad‬ﻫﺎ ﻫﻢ ﺑﻮﺩﻧﺪ‪ .‬ﺍﺣﺴﺎﺱ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺍﺿﺎﻓﻲ ﭼﻴﺰﻱ ﺑﻪ ﺍﻣﻨﻴﺖ ﺍﺿﺎﻓﻪ ﻧﻤﻲﻛﻨﻨﺪ‪.‬‬
‫ﻫﻤﺎﻧﻨﺪ ﭘﻴﺎﻡ ‪ finished‬ﺩﺭ ‪ ،SSLv3‬ﭘﻴﺎﻡ ‪ finished‬ﺩﺭ ‪ TLS‬ﻳﻚ ﻣﻘﺪﺍﺭ ‪ hash‬ﻣﺒﺘﻨﻲ ﺑﺮ ‪ master secret‬ﻣﺸﺘﺮﻙ‪،‬‬
‫ﭘﻴﺎﻡﻫﺎﻱ ﻗﺒﻠﻲ ‪ handshake‬ﻭ ﻳﻚ ﺑﺮﭼﺴﺐ ﺍﺳﺖ ﻛﻪ ﻛﻼﻳﻨﺖ ﻳﺎ ﺳِﺮﻭﺭ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﻧﻤﺎﻳﻨﺪ‪ .‬ﻣﺤﺎﺳﺒﺎﺕ ﻗﺪﺭﻱ ﻣﺘﻔﺎﻭﺕﺍﻧﺪ‪ .‬ﺑﺮﺍﻱ‬
‫‪ TLS‬ﺩﺍﺭﻳﻢ‪:‬‬
‫))‪PRF(master_secret,finished_label,MD5(handshake_messages) || SHA-1(handshake_messages‬‬
‫ﻛﻪ ﺩﺭ ﺁﻥ ‪ finished_label‬ﺩﻧﺒﺎﻟﺔ "‪ "client finished‬ﺑﺮﺍﻱ ﻛﻼﻳﻨﺖ ﻭ "‪ "server finished‬ﺑﺮﺍﻱ ﺳِﺮﻭﺭ ﺍﺳﺖ‪.‬‬
‫‪ pre_master_secret‬ﺑﺮﺍﻱ ‪ TLS‬ﺑﻬﻤﺎﻥ ﺻﻮﺭﺕ ‪ SSLv3‬ﻣﺤﺎﺳﺒﻪ ﻣﻲﺷﻮﺩ‪ .‬ﻫﻤﺎﻧﻨﺪ ‪ master_secret ،SSLv3‬ﺩﺭ‬
‫‪ TLS‬ﺑﺼﻮﺭﺕ ﻳﻚ ﺗﺎﺑﻊ ‪ hash‬ﺑﺎ ﻭﺭﻭﺩﻱﻫﺎﻱ ‪ pre_master_secret‬ﻭ ﺩﻭ ﻋﺪﺩ ﺗﺼﺎﺩﻓﻲ ‪ hello‬ﻣﺤﺎﺳﺒﻪ ﻣﻲﮔﺮﺩﺩ‪ .‬ﻓﺮﻡ‬
‫ﻣﺤﺎﺳﺒﺎﺕ ‪ TLS‬ﻧﺴﺒﺖ ﺑﻪ ‪ SSLv3‬ﻣﺘﻔﺎﻭﺕ ﺑﻮﺩﻩ ﻭ ﭼﻨﻴﻦ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪:‬‬
‫= ‪master_secret‬‬
‫)‪PRF(pre_master_secret, "master secret ", ClientHello.random || ServerHello.random‬‬
‫ﺍﻟﮕــﻮﺭﻳﺘﻢ ﺁﻧﻘـﺪﺭ ﺍﺟﺮﺍ ﻣـﻲﺷـﻮﺩ ﺗـﺎ ‪ ۴۸‬ﺑـﺎﻳﺖ ﺷﺒــﻪﺗﺼـﺎﺩﻓـﻲ ﺧﺮﻭﺟــﻲ ﺗﻮﻟﻴـﺪ ﺷــﻮﺩ‪ .‬ﻣﺤــﺎﺳﺒﺎﺕ ﺍﻗـﻼﻡ ﻛﻠﻴـﺪ‬
‫)‪ ،session encryption keys ،MAC secret keys‬ﻭ ‪IV‬ﻫﺎ( ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﻧﺪ‪:‬‬
‫= ‪key_block‬‬
‫‪PRF(master_secret, "key expansion",‬‬
‫)‪SecurityParameters.server_random || SecurityParameters.client_random‬‬
‫ﺗﺎ ﺧﺮﻭﺟﻲ ﻛﺎﻓﻲ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﺑﺎﺷﺪ‪ .‬ﻫﻤﺎﻧﻨﺪ ‪ key_block ، SSLv3‬ﺗﺎﺑﻌﻲ ﺍﺯ ‪ master_secret‬ﻭ ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ ﻛﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ‬
‫ﺍﺳﺖ ﻭﻟﻲ ﺑﺮﺍﻱ ‪ TLS‬ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎ ﻣﺘﻔﺎﻭﺕﺍﻧﺪ‪.‬‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٧٤‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻻﺋﻲ )‪(padding‬‬
‫ﺩﺭ ‪ ،SSL‬ﻻﺋﻲ ﺍﺿﺎﻓﻪ ﺷﺪﻩ ﻗﺒﻞ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻳﺘﺎﻱ ﻛﺎﺭﺑﺮ‪ ،‬ﺣﺪﺍﻗﻞ ﻣﻘﺪﺍﺭ ﻻﺯﻡ ﺑﺮﺍﻱ ﻛﺎﻣﻞ ﻛﺮﺩﻥ ﺍﻧﺪﺍﺯﺓ ﻛﻞ ﺩﻳﺘﺎﺋﻲ ﻛﻪ‬
‫ﺑﺎﻳﺪ ﺭﻣﺰ ﺷﻮﺩ‪ ،‬ﺑﻪ ﻣﻀﺮﺑﻲ ﺍﺯ ﻃﻮﻝ ﺑﻠﻮﻙ ﺭﻣﺰ ﺍﺳﺖ‪ .‬ﺩﺭ ‪ ،TLS‬ﻻﺋﻲ ﻣﻲﺗﻮﺍﻧﺪ ﻫﺮ ﻣﻘﺪﺍﺭ ﺣﺪﺍﻛﺜﺮ ﺗﺎ ‪ ۲۵۵‬ﺑﺎﻳﺖ ﺑﺎﺷﺪ ﻛﻪ ﻛﻞ ﺩﻳﺘﺎ ﺭﺍ‬
‫ﻣﻀﺮﺑﻲ ﺍﺯ ﻃﻮﻝ ﺑﻠﻮﻙ ﺭﻣﺰ ﻧﻤﺎﻳﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﺍﮔﺮ ﻣﺘﻦ ﺳﺎﺩﻩ )ﻳﺎ ﻣﺘﻦ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺷﺪﻩ ﺩﺭ ﺻﻮﺭﺕ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ(‬
‫ﺑﻌﻼﻭﻩ ‪ MAC‬ﺑﻌﻼﻭﺓ ﺑﺎﻳﺖ ﻣﺮﺑﻮﻁ ﺑﻪ ﻃﻮﻝ ﻻﺋﻲ‪ ۷۹ ،‬ﺑﺎﻳﺖ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﻃﻮﻝ ﻻﺋﻲ ﻣﻲﺗﻮﺍﻧﺪ ‪ ۱‬ﻭ ‪ ۹‬ﻭ ‪ ۱۷‬ﻭ ﻏﻴﺮﻩ ﺗﺎ ‪ ۲۴۹‬ﺑﺎﻳﺖ‬
‫ﺑﺎﺷﺪ‪ .‬ﺍﺯ ﻳﻚ ﻃﻮﻝ ﻣﺘﻐﻴﺮ ﻻﺋﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﭘﻴﭽﻴﺪﻩ ﻧﻤﻮﺩﻥ ﺣﻤﻼﺗﻲ ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ ﺗﺠﺰﻳﻪ ﻭ ﺗﺤﻠﻴﻞ ﻃﻮﻝﻫﺎﻱ ﭘﻴﺎﻡﻫﺎﻱ ﻣﺒﺎﺩﻟﻪ‬
‫ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪.‬‬
‫ﻣﻌﺎﻣﻠﺔ ﺍﻟﻜﺘﺮﻭﻧﻴﻜﻲ ﺍﹶﻣﻦ )‪(Secure Electronic Transaction‬‬ ‫‪۷-۳‬‬
‫‪ SET‬ﻳﻚ ﻣﺪﻝ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻣﻨﻴﺘﻲ ﺑﺮﺍﻱ ﺣﻔﺎﻇﺖ ﻣﻌﺎﻣﻼﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﻛﺎﺭﺕﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﻱ ﺭﻭﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺍﺳﺖ‪ .‬ﻧﺴﺨﺔ ﻓﻌﻠﻲ ﺁﻥ‬
‫ﻳﻌﻨﻲ ‪ SETv1‬ﺑﻪ ﺩﺭﺧﻮﺍﺳﺖ ‪ MasterCard‬ﻭ ‪ Visa‬ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﺩﺭ ﻓﻮﺭﻳﺔ ‪ ۱۹۹۶‬ﻣﻴﻼﺩﻱ‪ ،‬ﺑﻮﺟﻮﺩ ﺁﻣﺪ‪.‬‬
‫ﺷﺮﻛﺖﻫﺎﻱ ﺯﻳﺎﺩﻱ ﺩﺭ ﺗﻌﻴﻴﻦ ﻣﺸﺨﺼﻪﻫﺎﻱ ﺍﻭﻟﻴﺔ ‪ SET‬ﺩﺧﺎﻟﺖ ﺩﺍﺷﺘﻨﺪﻛﻪ ﺍﺯ ﺁﻥ ﺟﻤﻠﻪ ‪،RSA ،Netscape ،Microsoft ،IBM‬‬
‫‪ Terisa‬ﻭ ‪ Verisign‬ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﻧﺎﻡ ﺑﺮﺩ‪ .‬ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﻣﺮﺑﻮﻁ ﻛﻪ ﺍﺯ ﺳﺎﻝ ‪ ۱۹۹۶‬ﺁﻏﺎﺯ ﺷﺪﻩ ﺑﻮﺩ ﭘﺲ ﺍﺯ ﺗﺴﺖﻫﺎﻱ ﻓﺮﺍﻭﺍﻥ ﺑﺎﻋﺚ‬
‫ﮔﺮﺩﻳﺪ ﺗﺎ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۸‬ﺍﻭﻟﻴﻦ ﻣﻮﺝ ﻣﺤﺼﻮﻻﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ‪ SET‬ﺑﻪ ﺑﺎﺯﺍﺭ ﻋﺮﺿﻪ ﮔﺮﺩﺩ‪.‬‬
‫‪ SET‬ﺑﻪ ﺧﻮﺩﻱﺧﻮﺩ ﻳﻚ ﺳﻴﺴﺘﻢ ﭘﺮﺩﺍﺧﺖ ﻧﻴﺴﺖ‪ .‬ﺑﻠﻜﻪ ‪ SET‬ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﻓﺮﻣﺖﻫﺎﺋﻲ ﺍﺳﺖ ﻛﻪ‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺯﻳﺮﺳﺎﺧﺖ ﻣﻮﺟﻮﺩ ﭘﺮﺩﺍﺧﺖ ﺍﺯ ﻃﺮﻳﻖ ﻛﺎﺭﺕﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﻱ ﺭﺍ‪ ،‬ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﺷﺒﻜﺔ ﺑﺎﺯ ﻣﺜﻞ ﺍﻳﻨﺘﺮﻧﺖ‬
‫ﺑﺼﻮﺭﺕ ﺍﻣﻦ ﺍﻧﺠﺎﻡ ﺩﻫﻨﺪ‪ .‬ﻓﻲﺍﻟﺠﻤﻠﻪ ‪ SET‬ﺳﻪ ﺳﺮﻭﻳﺲ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪:‬‬
‫ﻳﻚ ﻛﺎﻧﺎﻝ ﺍﺭﺗﺒﺎﻃﻲ ﺍﻣﻦ ﺑﻴﻦ ﺗﻤﺎﻡ ﻃﺮﻓﻴﻦ ﺩﺭﮔﻴﺮ ﺩﺭ ﻳﻚ ﻣﻌﺎﻣﻠﻪ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ‪ ،X.509v3‬ﺍﻋﺘﻤﺎﺩ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﺩ‪.‬‬ ‫•‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﺭﺍ ﺗﻀﻤﻴﻦ ﻣﻲﻧﻤﺎﻳﺪ‪ ،‬ﺯﻳﺮﺍ ﺍﻃﻼﻋﺎﺕ ﺗﻨﻬﺎ ﺩﺭ ﺯﻣﺎﻥ ﻭ ﻣﻜﺎﻥ ﻻﺯﻡ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﻃﺮﻓﻴﻦ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬ ‫•‬
‫‪ SET‬ﺩﺍﺭﺍﻱ ﻣﺸﺨﺼﻪﻫﺎﻱ ﭘﻴﭽﻴﺪﻩﺍﻱ ﺍﺳﺖ ﻛﻪ ﺗﻌﺎﺭﻳﻒ ﺁﻧﻬﺎ ﺩﺭ ﻣﺎﻩ ﻣﻲ ‪ ۱۹۹۷‬ﺩﺭ ﺳﻪ ﻛﺘﺎﺏ ﻣﻨﺘﺸﺮ ﮔﺮﺩﻳﺪ‪:‬‬
‫ﻛﺘﺎﺏ ﺍﻭﻝ ‪ :‬ﺗﻮﺻﻴﻒ ﻛﺴﺐ ﻭ ﻛﺎﺭ )‪ ۸۰‬ﺻﻔﺤﻪ(‬ ‫•‬

‫ﻛﺘﺎﺏ ﺩﻭﻡ ‪ :‬ﺭﺍﻫﻨﻤﺎﻱ ﺑﺮﻧﺎﻣﻪﻧﻮﻳﺴﺎﻥ )‪ ۶۲۹‬ﺻﻔﺤﻪ(‬ ‫•‬
‫ﻛﺘﺎﺏ ﺳﻮﻡ ‪ :‬ﺗﻌﺮﻳﻒ ﺭﺳﻤﻲ ﭘﺮﻭﺗﻜﻞ ‪ ۲۶۲) :‬ﺻﻔﺤﻪ(‬ ‫•‬
‫ﺗﻤﺎﻡ ﺍﻳﻨﻬﺎ ‪ ۹۷۱‬ﺻﻔﺤﻪ ﻣﺸﺨﺼﺎﺕ ﺭﺍ ﺷﺎﻣﻞ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﻣﻘﺎﻳﺴﻪ‪ ،‬ﻣﺸﺨﺼﻪﻫﺎﻱ ‪ SSLv3‬ﺩﺭ ‪ ۶۳‬ﺻﻔﺤﻪ ﻭ ﻣﺸﺨﺼﻪﻫﺎﻱ‬
‫‪ TLS‬ﺩﺭ ‪ ۸۰‬ﺻﻔﺤﻪ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ‪ .‬ﺑﻬﻤﻴﻦ ﻣﻨﺎﺳﺒﺖ ﺗﻨﻬﺎ ﺧﻼﺻﻪﺍﻱ ﺍﺯ ﺍﻳﻦ ﻣﺸﺨﺼﺎﺕ ﻫﻤﻪ ﺟﺎﻧﺒﻪ ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﺁﻭﺭﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻣﺮﻭﺭﻱ ﺑﺮ ‪SET‬‬
‫ﺭﻭﺵ ﻣﻨﺎﺳﺒﻲ ﺑﺮﺍﻱ ﺷﺮﻭﻉ ﺑﺤﺚ ﺩﺭ ﻣﻮﺭﺩ ‪ SET‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﺍﻧﺘﻈﺎﺭﺍﺕ ﻛﺴﺐ ﻭ ﻛﺎﺭ ﺍﺯ ‪ ،SET‬ﻣﺸﺨﺼﻪﻫﺎﻱ ﻛﻠﻴﺪﻱ ﺁﻥ ﻭ‬
‫ﺍﻓﺮﺍﺩ ﺩﺭﮔﻴﺮ ﺩﺭ ﻳﻚ ﮔﺮﺩﺵ ﻛﺎﺭﻱ ‪ SET‬ﻧﮕﺎﻫﻲ ﺑﻴﻨﺪﺍﺯﻳﻢ‪.‬‬
‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٧٥‬‬
‫ﺍﻧﺘﻈﺎﺭﺍﺕ‬
‫ﻛﺘﺎﺏ ﺍﻭﻝ ﺍﺯ ﻣﺸﺨﺼﻪﻫﺎﻱ ‪ ،SET‬ﻧﻴﺎﺯﻫﺎﻱ ﺗﺠﺎﺭﻱ ﻣﻌﺎﻣﻼﺕ ﺍﻣﻦ ﺑﺎ ﻛﺎﺭﺕﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﻱ ﺭﻭﻱ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺳﺎﻳﺮ ﺷﺒﻜﻪﻫﺎ ﺭﺍ‬
‫ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﺑﻪ ﻟﻴﺴﺖ ﺩﺭﺁﻭﺭﺩﻩ ﺍﺳﺖ‪:‬‬
‫ﺍﻳﺠﺎﺩ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺩﺭ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﺳﻔﺎﺭﺵ ﻛﺎﻻ ﻭ ﭘﺮﺩﺍﺧﺖ ﭘﻮﻝ‪ :‬ﻻﺯﻡ ﺍﺳﺖ ﺩﺍﺭﻧﺪﮔﺎﻥ ﻛﺎﺭﺕﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﻱ ﺭﺍ‬ ‫•‬
‫ﻣﻄﻤﺌﻦ ﻧﻤﻮﺩ ﻛﻪ ﺍﻳﻦ ﻧﻮﻉ ﺍﻃﻼﻋﺎﺕ ﺁﻧﺎﻥ ﻣﺤﺮﻣﺎﻧﻪ ﻣﺎﻧﺪﻩ ﻭ ﺗﻨﻬﺎ ﺩﺭ ﺩﺳﺘﺮﺱ ﮔﻴﺮﻧﺪﻩ ﻣﻌﻴﻦ ﺧﺎﺹ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫ﻣﺤﺮﻣﺎﻧﻪﺳﺎﺯﻱ ﺍﻃﻼﻋﺎﺕ ﻫﻤﭽﻨﻴﻦ ﺧﻄﺮ ﺗﻘﻠﺐ ﺍﺯ ﺳﻮﻱ ﻫﺮ ﻳﻚ ﺍﺯ ﻃﺮﻓﻴﻦ ﻣﻌﺎﻣﻠﻪ ﻭ ﻳﺎ ﺷﺨﺺ ﺛﺎﻟﺚ ﺑﺪﺍﻧﺪﻳﺶ ﺭﺍ ﻛﺎﻫﺶ‬
‫ﻣﻲﺩﻫﺪ‪ .‬ﺑﺮﺍﻱ ﻣﺤﺮﻣﺎﻧﻪﻛﺮﺩﻥ ﺍﻃﻼﻋﺎﺕ‪ SET ،‬ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﺻﺤﺖ ﺩﺍﺩﻩﻫﺎﻱ ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ‪ :‬ﻳﻌﻨﻲ ﺑﺎﻳﺴﺘﻲ ﺍﻃﻤﻴﻨﺎﻥ ﺩﺍﺩﻩ ﺷﻮﺩ ﻛﻪ ﺩﺭ ﺧﻼﻝ ﺍﻧﺘﻘﺎﻝ ﭘﻴﺎﻡﻫﺎﻱ ‪ SET‬ﻫﻴﭽﮕﻮﻧﻪ‬ ‫•‬
‫ﺗﻐﻴﻴﺮﻱ ﺩﺭ ﻣﺤﺘﻮﺍﻱ ﺩﺍﺩﻩﻫﺎ ﺑﻮﺟﻮﺩ ﻧﻤﻲﺁﻳﺪ‪ .‬ﺑﺮﺍﻱ ﺣﻔﻆ ﺻﺤﺖ ﺍﻃﻼﻋﺎﺕ ﺍﺯ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺍﺣﺮﺍﺯ ﻫﻮﻳﺖ ﺑﻤﻨﻈﻮﺭ ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﺍﻳﻨﻜﻪ ﻳﻚ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ‪ ،‬ﺻﺎﺣﺐ ﻗﺎﻧﻮﻧﻲ ﺁﻥ ﺍﺳﺖ‪ :‬ﻣﻜﺎﻧﻴﺴﻤﻲ ﻛﻪ ﺩﺍﺭﻧﺪﺓ‬ ‫•‬
‫ﻛﺎﺭﺕ ﺭﺍ ﺑﻪ ﻳﻚ ﺷﻤﺎﺭﻩ ﺣﺴﺎﺏ ﻣﺸﺨﺺ ﻣﺮﺗﺒﻂ ﻣﻲﺳﺎﺯﺩ‪ ،‬ﺍﺯ ﻣﻮﺍﺭﺩ ﺗﻘﻠﺐ ﻭ ﻫﺰﻳﻨﺔ ﺗﻤﺎﻡ ﺷﺪﺓ ﭘﺮﺩﺍﺯﺵ ﭘﺮﺩﺍﺧﺖﻫﺎ‬
‫ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﻛﻨﺪ‪ .‬ﺍﺯ ﺍﻣﻀﺎﺀﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ﻭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﺍﻳﻦ ﻣﻄﻠﺐ ﻛﻪ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﻫﻤﺎﻥ ﺻﺎﺣﺐ ﻗﺎﻧﻮﻧﻲ‬
‫ﻳﻚ ﺣﺴﺎﺏ ﻣﻌﺘﺒﺮ ﺍﺳﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻳﻚ ﻓﺮﻭﺷﻨﺪﻩ ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﻣﺸﺨﺺ ﺷﻮﺩ ﻛﻪ ﺍﻭ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﻣﺆﺳﺴﺔ ﻣﺎﻟﻲ ﻭ ﺍﻋﺘﺒﺎﺭﻱ ﻗﺎﺩﺭ ﺑﻪ ﭘﺬﻳﺮﺵ‬ ‫•‬
‫ﻣﻌﺎﻣﻼﺕ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ ﺍﺳﺖ‪ :‬ﺍﻳﻦ ﻣﻮﺭﺩ ﻣﻜﻤﻞ ﻣﻮﺭﺩ ﻗﺒﻞ ﺍﺳﺖ‪ .‬ﺩﺍﺭﻧﺪﮔﺎﻥ ﻛﺎﺭﺕ ﻻﺯﻡ ﺍﺳﺖ ﺑﺘﻮﺍﻧﻨﺪ ﺑﺎﺯﺭﮔﺎﻧﺎﻧﻲ ﺭﺍ ﻛﻪ‬
‫ﻣﻲﺧﻮﺍﻫﻨﺪ ﺑﺎ ﺁﻧﻬﺎ ﻣﻌﺎﻣﻼﺕ ﺍﻣﻦ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ ﺷﻨﺎﺳﺎﺋﻲ ﻧﻤﺎﻳﻨﺪ‪ .‬ﺑﺎﺯﻫﻢ ﺩﺭ ﺍﻳﻨﺠﺎ ﺍﺯ ﺍﻣﻀﺎﺀ ﺩﻳﺠﻴﺘﺎﻝ ﻭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﺍﻃﻤﻴﻨﺎﻥ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺑﻬﺘﺮﻳﻦ ﻋﻤﻠﻴﺎﺕ ﺍﻣﻨﻴﺘﻲ ﻭ ﺗﻜﻨﻴﻚﻫﺎﻱ ﻃﺮﺍﺣﻲ ﺳﻴﺴﺘﻢ ﺑﺮﺍﻱ ﺣﻔﺎﻇﺖ ﻫﻤﺔ ﻃﺮﻑﻫﺎﻱ ﻗﺎﻧﻮﻧﻲ‬ ‫•‬
‫ﺩﺭﮔﻴﺮ ﺩﺭ ﻳﻚ ﻣﻌﺎﻣﻠﺔ ﺗﺠﺎﺭﻱ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪ SET :‬ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺳﺖ ﻛﻪ ﺑﺮ ﻣﺒﻨﺎﻱ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎ ﻭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﺑﺴﻴﺎﺭ ﺍﻣﻦ ﺑﻨﺎ ﺷﺪﻩ ﻭ ﺍﻣﺘﺤﺎﻥ ﺧﻮﺩ ﺭﺍ ﺩﺭ ﺍﻳﻦ ﺯﻣﻴﻨﻪ ﭘﺲ ﺩﺍﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﺧﻠﻖ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﻛﻪ ﻧﻪ ﺑﻪ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺣﻤﻞ ﻭ ﻧﻘﻞ ﻭﺍﺑﺴﺘﻪ ﺑﻮﺩﻩ ﻭ ﻧﻪ ﺍﺯ ﺍﺳﺘﻔﺎﺩﻩ ﭼﻨﻴﻦ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﺋﻲ‬ ‫•‬
‫ﺟﻠﻮﮔﻴﺮﻱ ﻧﻤﺎﻳﺪ‪ SET :‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﺼﻮﺭﺕ ﺍﻣﻦ ﺭﻭﻱ ﻳﻚ ﭘﺸﺘﻪ ‪» TCP/IP‬ﺧﺎﻡ« ﺳﻮﺍﺭ ﺷﻮﺩ‪ .‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ ‪ SET‬ﺩﺭ‬
‫ﺻﻮﺭﺕ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺩﻳﮕﺮ ﻣﺜﻞ ‪ IPSec‬ﻭ ‪ SSL/TLS‬ﺩﺧﺎﻟﺘﻲ ﺩﺭ ﻛﺎﺭ ﺁﻧﻬﺎ ﻧﻤﻲﻛﻨﺪ‪.‬‬
‫ﺗﻌﺎﻣﻞ ﺑﻴﻦ ﻧﺮﻡﺍﻓﺰﺍﺭ ﻭ ﺷﺒﻜﻪ ﺭﺍ ﺗﺴﻬﻴﻞ ﻭ ﺗﺸﻮﻳﻖ ﻧﻤﺎﻳﺪ‪ :‬ﻓﺮﻣﺖﻫﺎ ﻭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ‪ SET‬ﻣﺴﺘﻘﻞ ﺍﺯ ﻧﻮﻉ ﺳﺨﺖﺍﻓﺰﺍﺭ‪،‬‬ ‫•‬
‫ﻧﻮﻉ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‪ ،‬ﻭ ﻧﺮﻡﺍﻓﺰﺍﺭ ﻭِﺏ ﻣﻲﺑﺎﺷﻨﺪ‪.‬‬
‫ﻣﺸﺨﺼﻪﻫﺎﻱ ﻛﻠﻴﺪﻱ ‪SET‬‬
‫ﺑﺮﺍﻱ ﺭﻓﻊ ﺍﻧﺘﻈﺎﺭﺍﺗﻲ ﻛﻪ ﺩﺭ ﺑﺎﻻ ﺑﻴﺎﻥ ﮔﺮﺩﻳﺪ‪ SET ،‬ﺗﺴﻬﻴﻼﺕ ﺯﻳﺮ ﺭﺍ ﻓﺮﺍﻫﻢ ﻛﺮﺩﻩ ﺍﺳﺖ‪:‬‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﺍﻃﻼﻋﺎﺕ‪ :‬ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﺣﺴﺎﺏ ﻭ ﭘﺮﺩﺍﺧﺖﻫﺎﻱ ﺻﺎﺣﺐ ﻛﺎﺭﺕ ﺩﺭ ﻋﺒﻮﺭ ﺍﺯ ﻋﺮﺽ ﺷﺒﻜﻪ ﺍﻣﻦ ﻣﻲﻣﺎﻧﻨﺪ‪.‬‬ ‫•‬
‫ﻳﻚ ﺟﻨﺒﺔ ﻗﺎﺑﻞ ﺗﻮﺟﻪ ﻭ ﻣﻬﻢ ‪ SET‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﺟﺎﺯﻩ ﻧﻤﻲﺩﻫﺪ ﻓﺮﻭﺷﻨﺪﻩ ﺍﺯ ﺷﻤﺎﺭﺓ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ ﺧﺮﻳﺪﺍﺭ ﻣﻄﻠﻊ ﮔﺮﺩﺩ‬
‫ﻭ ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﻓﻘﻂ ﺑﻪ ﺑﺎﻧﻚ ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ﻛﺎﺭﺕ ﻋﺮﺿﻪ ﻣﻲﺷﻮﺩ‪ .‬ﺑﺮﺍﻱ ﻣﺤﺮﻣﺎﻧﻪﺳﺎﺯﻱ ﺍﻃﻼﻋﺎﺕ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺮﺳﻮﻡ‬
‫‪ DES‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٧٦‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺻﺤﺖ ﺩﺍﺩﻩﻫﺎ‪ :‬ﺍﻃﻼﻋﺎﺕ ﭘﺮﺩﺍﺧﺖ ﻛﻪ ﺍﺯ ﺳﻮﻱ ﺧﺮﻳﺪﺍﺭ ﺑﺮﺍﻱ ﻓﺮﻭﺷﻨﺪﻩ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺕ ﺩﺭﺧﻮﺍﺳﺖ ﻛﺎﻻ‪،‬‬ ‫•‬
‫ﺩﺍﺩﻩﻫﺎﻱ ﺷﺨﺼﻲ ﻭ ﺩﺳﺘﻮﺭﺍﺕ ﭘﺮﺩﺍﺧﺖ ﺍﺳﺖ‪ SET .‬ﺗﻀﻤﻴﻦ ﻣﻲﻧﻤﺎﻳﺪ ﻛﻪ ﻣﺤﺘﻮﻳﺎﺕ ﺍﻳﻦ ﭘﻴﺎﻡﻫﺎ ﺩﺭ ﻋﺒﻮﺭ ﺍﺯ ﺷﺒﻜﻪ ﻋﻮﺽ‬
‫ﻧﺸﻮﻧﺪ‪ .‬ﺍﻣﻀﺎﺀﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ‪ RSA‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﹸﺪﻫﺎﻱ ‪ hash‬ﻧﻈﻴﺮ ‪ ،SHA-1‬ﺻﺤﺖ ﭘﻴﺎﻡ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﻋﻼﻭﻩ‬
‫ﺑﺮ ﺁﻥ ﺑﺮﺧﻲ ﭘﻴﺎﻡﻫﺎ ﺑﺘﻮﺳﻂ ‪ HMAC‬ﻭ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ SHA-1‬ﻧﻴﺰ ﺣﻔﺎﻇﺖ ﻣﻲﮔﺮﺩﻧﺪ‪.‬‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺣﺴﺎﺏ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ‪ SET :‬ﻓﺮﻭﺷﻨﺪﮔﺎﻥ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺗﺤﻘﻴﻖ ﻧﻤﺎﻳﻨﺪ ﻛﻪ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ‪ ،‬ﻳﻚ ﻛﺎﺭﺑﺮ‬ ‫•‬
‫ﻗﺎﻧﻮﻧﻲ ﻭ ﺻﺎﺣﺐ ﻳﻚ ﺣﺴﺎﺏ ﻛﺎﺭﺗﻲ ﻣﻌﺘﺒﺮ ﺍﺳﺖ‪ SET .‬ﺍﺯ ﮔﻮﺍﻫﻲﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ‪ X.509v3‬ﻛﻪ ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﺩﺍﺭﺍﻱ‬
‫ﺍﻣﻀﺎﺀﻫﺎﻱ ‪ RSA‬ﻫﺴﺘﻨﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺗﺄﺋﻴﺪ ﻫﻮﻳﺖ ﻓﺮﻭﺷﻨﺪﻩ‪ SET :‬ﺩﺍﺭﻧﺪﮔﺎﻥ ﻛﺎﺭﺕﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﻱ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﻫﻮﻳﺖ ﻓﺮﻭﺷﻨﺪﻩ ﺭﺍ ﺍﺯ ﺍﻳﻦ ﻧﻈﺮ ﻛﻪ ﺑﺎ‬ ‫•‬
‫ﻳﻚ ﻣﺆﺳﺴﺔ ﻣﺎﻟﻲ ﻣﺠﺎﺯ ﺑﻪ ﭘﺬﻳﺮﺵ ﭘﺮﺩﺍﺧﺖﻫﺎﻱ ﻛﺎﺭﺗﻲ ﺩﺭ ﺭﺍﺑﻄﻪ ﺍﺳﺖ‪ ،‬ﺗﻌﻴﻴﻦ ﻧﻤﺎﻳﻨﺪ‪ SET .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻛﺎﺭ ﺍﺯ‬
‫ﮔﻮﺍﻫﻲﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ‪ X.509v3‬ﻛﻪ ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﺩﺍﺭﺍﻱ ﺍﻣﻀﺎﺀﻫﺎﻱ ‪ RSA‬ﻫﺴﺘﻨﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺗﻮﺟﻪ ﻛﻨﻴﺪ ﻛﻪ ﺑﺮﺧﻼﻑ ‪ IPSec‬ﻭ ‪ SET ،SSL/TLS‬ﺑﺮﺍﻱ ﻫﺮ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻓﻘﻂ ﻳﻚ ﺍﻧﺘﺨﺎﺏ ﺩﺍﺭﺩ‪ .‬ﺍﻳﻦ ﻳﻚ ﺍﻣﺮ‬
‫ﻣﻨﻄﻘﻲ ﺑﻮﺩﻩ ﺯﻳﺮﺍ ‪ SET‬ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﻣﻨﻔﺮﺩ ﺑﺎ ﻣﺠﻤﻮﻋﺔ ﺧﺎﺻﻲ ﺍﺯ ﻧﻴﺎﺯﻫﺎﺳﺖ ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ‪ IPSec‬ﻭ ‪ SSL/TLS‬ﺑﺮﺍﻱ ﺣﻤﺎﻳﺖ ﺍﺯ‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﻃﺮﺍﺣﻲ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫ﻃﺮﻑﻫﺎﻱ ﺩﺭﮔﻴﺮ ﺩﺭ ‪SET‬‬
‫ﺷﻜﻞ ‪ ۷-۸‬ﻃﺮﻑﻫﺎﻱ ﺩﺭﮔﻴﺮ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ‪ SET‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺷﺎﻣﻞ ﻋﻨﺎﺻﺮ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ‪ :‬ﺩﺭ ﻳﻚ ﻣﺤﻴﻂ ﺍﻟﻜﺘﺮﻭﻧﻴﻜﻲ‪ ،‬ﻣﺼﺮﻑﻛﻨﻨﺪﮔﺎﻥ ﻭ ﺧﺮﻳﺪﺍﺭﺍﻥ ﺑﺎ ﻓﺮﻭﺷﻨﺪﮔﺎﻥ ﻭ ﺗﺎﺟﺮﺍﻥ ﺍﺯ ﻃﺮﻳﻖ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﻱ‬ ‫•‬
‫ﺷﺨﺼﻲ ﻣﺘﺼﻞ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﻣﺮﺗﺒﻂﺍﻧﺪ‪ .‬ﻳﻚ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﻗﺎﻋﺪﺗﺎﹰ ﺻﺎﺣﺐ ﻗﺎﻧﻮﻧﻲ ﻳﻚ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ )ﻣﺜﻞ ‪ Visa‬ﻳﺎ‬
‫‪ (MasterCard‬ﺍﺳﺖ ﻛﻪ ﺍﺯ ﻃﺮﻑ ﻳﻚ ﻣﺆﺳﺴﺔ ﻣﺎﻟﻲ ﺻﺎﺩﺭ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻓﺮﻭﺷﻨﺪﻩ ﻳﺎ ﺗﺎﺟﺮ‪ :‬ﻓﺮﻭﺷﻨﺪﻩ ﻳﻚ ﺷﺨﺺ ﻭ ﻳﺎ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﺍﺳﺖ ﻛﻪ ﻛﺎﻻ ﻭ ﺧﺪﻣﺎﺕ ﺭﺍ ﺑﺮﺍﻱ ﻓﺮﻭﺵ ﺑﻪ ﺩﺍﺭﻧﺪﮔﺎﻥ ﻛﺎﺭﺕ‬ ‫•‬
‫ﻋﺮﺿﻪ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﻣﻌﻤﻮﻻﹰ ﺍﻳﻦ ﻛﺎﻻﻫﺎ ﻭ ﺳﺮﻭﻳﺲﻫﺎ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﻭِﺏ ﺳﺎﻳﺖ ﻭ ﻳﺎ ﺍﺯ ﻃﺮﻳﻖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻋﺮﺿﻪ‬
‫ﻣﻲﺷﻮﻧﺪ‪ .‬ﻓﺮﻭﺷﻨﺪﻩﺍﻱ ﻛﻪ ﭘﺮﺩﺍﺧﺖﻫﺎﻱ ﻛﺎﺭﺗﻲ ﺭﺍ ﻗﺒﻮﻝ ﻣﻲﻛﻨﺪ ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﻳﻚ ﻣﺒﺎﺷﺮ ﺍﺭﺗﺒﺎﻁ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ﻛﺎﺭﺕ‪ :‬ﺍﻳﻦ ﻳﻚ ﻣﺆﺳﺴﺔ ﻣﺎﻟﻲ‪ ،‬ﻣﺜﻞ ﺑﺎﻧﻚ‪ ،‬ﺍﺳﺖ ﻛﻪ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ ﺭﺍ ﺑﺮﺍﻱ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﺻﺎﺩﺭ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫ﻣﻌﻤﻮﻻﹰ ﺗﻘﺎﺿﺎﻱ ﺑﺎﺯﻛﺮﺩﻥ ﭼﻨﻴﻦ ﺣﺴﺎﺏﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﻱ ﻳﺎ ﺣﻀﻮﺭﺍﹰ ﻭ ﻳﺎ ﺍﺯ ﻃﺮﻳﻖ ﭘﺴﺖ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﺩﺭ ﻧﻬﺎﻳﺖ ﺍﻳﻦ‬
‫ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ﻛﺎﺭﺕ ﺍﺳﺖ ﻛﻪ ﻣﺴﺌﻮﻝ ﺑﺎﺯﭘﺮﺩﺍﺧﺖ ﺩﻳﻮﻥ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﻣﺒﺎﺷﺮ )‪ :(Acquirer‬ﺍﻳﻦ ﻳﻚ ﻣﺆﺳﺴﺔ ﻣﺎﻟﻲ ﺍﺳﺖ ﻛﻪ ﺣﺴﺎﺑﻲ ﺭﺍ ﺑﺎ ﻳﻚ ﻓﺮﻭﺷﻨﺪﻩ ﺑﺮﻗﺮﺍﺭ ﻛﺮﺩﻩ ﻭ ﻣﺴﺌﻮﻟﻴﺖ ﭘﺮﺩﺍﺧﺖﻫﺎ‬ ‫•‬
‫ﻭ ﺗﺄﺋﻴﺪ ﺣﺴﺎﺏﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﻱ ﺭﺍ ﺑﻌﻬﺪﻩ ﺩﺍﺭﺩ‪ .‬ﺗﺠﺎﺭ ﻣﻌﻤﻮﻻﹰ ﺑﻴﺶ ﺍﺯ ﻳﻚ ﻧﻮﻉ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ ﺭﺍ ﻣﻲﭘﺬﻳﺮﻧﺪ ﻭﻟﻲ ﻧﻤﻲﺧﻮﺍﻫﻨﺪ‬
‫ﺗﺎ ﺑﺎ ﺳﺎﺯﻣﺎﻥﻫﺎﻱ ﻣﺘﻌﺪﺩ ﺑﺎﻧﻜﻲ ﻭ ﻳﺎ ﺻﺎﺩﺭﻛﻨﻨﺪﮔﺎﻥ ﻛﺎﺭﺕﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺩﺭ ﺗﻤﺎﺱ ﺑﺎﺷﻨﺪ‪ .‬ﻣﺒﺎﺷﺮ ﺍﻳﻦ ﺍﻃﻤﻴﻨﺎﻥ ﺭﺍ ﺑﺮﺍﻱ‬
‫ﻓﺮﻭﺷﻨﺪﻩ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ ﻛﻪ ﺣﺴﺎﺏ ﻳﻚ ﻛﺎﺭﺕ ﻋﺮﺿﻪ ﺷﺪﻩ ﻣﻌﺘﺒﺮ ﻭ ﻓﻌﺎﻝ ﺑﻮﺩﻩ ﻭ ﻣﻴﺰﺍﻥ ﺧﺮﻳﺪ ﺻﺎﺣﺐ ﻛﺎﺭﺕ ﺍﺯ ﺍﻋﺘﺒﺎﺭ‬
‫ﺍﻭ ﺗﺠﺎﻭﺯ ﻧﻤﻲﻧﻤﺎﻳﺪ‪ .‬ﻣﺒﺎﺷﺮ ﻫﻤﭽﻨﻴﻦ ﻣﻮﺟﺒﺎﺕ ﺍﻧﺘﻘﺎﻝ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻭﺟﻮﻩ ﭘﺮﺩﺍﺧﺖ ﺷﺪﻩ ﺑﻪ ﺣﺴﺎﺏ ﻓﺮﻭﺷﻨﺪﻩ ﺭﺍ ﻓﺮﺍﻫﻢ‬
‫ﻣﻲﺁﻭﺭﺩ‪ .‬ﺑﻪ ﺩﻧﺒﺎﻝ ﺁﻥ ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ﻛﺎﺭﺕ ﻣﺒﻠﻎ ﻫﺰﻳﻨﻪ ﺷﺪﻩ ﺭﺍ ﺑﻨﺤﻮﻱ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﺷﺒﻜﺔ ﭘﺮﺩﺍﺧﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‬
‫ﻣﻲﭘﺮﺩﺍﺯﺩ‪.‬‬
‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٧٧‬‬
‫ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ‪ :‬ﺍﻳﻦ ﻭﻇﻴﻔﻪﺍﻱ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻣﺒﺎﺷﺮ ﻭ ﻳﺎ ﺷﺨﺺ ﺛﺎﻟﺚ ﺩﻳﮕﺮﻱ ﻛﻪ ﭘﻴﺎﻡﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺩﺭﻳﺎﻓﺖ ﻭ‬ ‫•‬
‫ﭘﺮﺩﺍﺧﺖ ﻓﺮﻭﺷﻨﺪﻩ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ ،‬ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﺑﻴﻦ ‪ SET‬ﻭ ﺷﺒﻜﺔ ﭘﺮﺩﺍﺧﺖ ﻛﺎﺭﺗﻲ ﻣﻮﺟﻮﺩ‬
‫ﻭﺍﺳﻄﻪﺍﻱ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ﻋﻤﻠﻴﺎﺕ ﻣﺠﺎﺯ ﭘﺮﺩﺍﺧﺖﻫﺎ ﺭﺍ ﺣﻤﺎﻳﺖ ﻧﻤﺎﻳﺪ‪ .‬ﻓﺮﻭﺷﻨﺪﻩ ﭘﻴﺎﻡﻫﺎﻱ ‪ SET‬ﺭﺍ ﺑﺎ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ‬
‫ﺭﺩ ﻭ ﺑﺪﻝ ﻛﺮﺩﻩ ﻭ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﻟﻴﻨﻚ ﻣﺴﺘﻘﻴﻢ ﻭ ﻳﺎ ﺷﺒﻜﻪﺍﻱ ﺑﻪ ﺳﻴﺴﺘﻢ ﭘﺮﺩﺍﺯﺵ ﻣﺎﻟﻲ ﻣﺒﺎﺷﺮ ﻣﺘﺼﻞ‬
‫ﺍﺳﺖ‪.‬‬
‫ﻣﻘﺎﻡ ﻣﺴﺌﻮﻝ ﮔﻮﺍﻫﻲﻛﻨﻨﺪﻩ )‪ :(CA‬ﻭﺍﺣﺪﻱ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﺻﺪﻭﺭ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ‪ X.509v3‬ﺑﺮﺍﻱ‬ ‫•‬
‫ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ‪ ،‬ﻓﺮﻭﺷﻨﺪﻩ ﻭ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺍﺳﺖ‪ .‬ﻣﻮﻓﻘﻴﺖ ‪ SET‬ﻣﻨﻮﻁ ﺑﻪ ﺣﻀﻮﺭ ﻳﻚ‬
‫ﺯﻳﺮﺳﺎﺧﺖ ‪ CA‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﺍﺳﺖ‪ .‬ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺩﺭ ﻓﺼﻮﻝ ﻗﺒﻞ ﺑﻴﺎﻥ ﺷﺪ‪ ،‬ﻳﻚ ﺳﺎﺧﺘﺎﺭ ﺳﻠﺴﻠﻪ ﻣﺮﺍﺗﺒﻲ ‪ CA‬ﻣﻮﺭﺩ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺗﺎ ﻃﺮﻑﻫﺎﻱ ﺩﺭﮔﻴﺮ ﻟﺰﻭﻣﻲ ﺑﻪ ﺗﺄﺋﻴﺪ ﺍﺯ ﻃﺮﻑ ﺑﺎﻻﺗﺮﻳﻦ ﻣﻘﺎﻡ ‪ CA‬ﺭﺍ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﺣﺎﻝ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﮔﺮﺩﺵ ﻛﺎﺭ ﻳﻚ ﻣﻌﺎﻣﻠﺔ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺳﭙﺲ ﺑﻪ ﺑﺮﺧﻲ ﺍﺯ ﺟﺰﺋﻴﺎﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪SET‬‬
‫ﻧﮕﺎﻫﻲ ﺧﻮﺍﻫﻴﻢ ﺍﻧﺪﺍﺧﺖ‪.‬‬
‫‪Merchant‬‬
‫‪Cardholder‬‬
‫‪Authority‬‬
‫‪Issuer‬‬
‫‪Payment‬‬
‫‪Network‬‬
‫‪Acquirer‬‬ ‫‪Payment‬‬
‫‪Gateway‬‬
‫ﻋﻮﺍﻣﻞ ﻣﻌﺎﻣﻠﺔ ﺍﻟﻜﺘﺮﻭﻧﻴﻜﻲ ﺍﻣﻦ‬ ‫ﺷﻜﻞ ‪۷-۸‬‬

‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٧٨‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪ -۱‬ﻣﺸﺘﺮﻱ ﻳﻚ ﺣﺴﺎﺏ ﺑﺎﺯ ﻣﻲﻛﻨﺪ‪ .‬ﻣﺸﺘﺮﻱ ﻳﻚ ﺣﺴﺎﺏ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ‪ ،‬ﻫﻤﺎﻧﻨﺪ ‪ Visa‬ﻭ ﻳﺎ ‪ ،MasterCard‬ﺩﺭ ﻳﻚ‬
‫ﺑﺎﻧﻚ ﻛﻪ ﭘﺮﺩﺍﺧﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻭ ‪ SET‬ﺭﺍ ﺣﻤﺎﻳﺖ ﻣﻲﻛﻨﺪ ﺑﺎﺯ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ -۲‬ﻣﺸﺘﺮﻱ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺩﺭﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ‪ .‬ﭘﺲ ﺍﺯ ﺗﺼﺪﻳﻖ ﻫﻮﻳﺖ ﻣﺸﺘﺮﻱ ﺑﻪ ﺭﻭﺵ ﻣﻨﺎﺳﺐ‪ ،‬ﻭﻱ ﻳﻚ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ‬
‫ﺩﻳﺠﻴﺘﺎﻝ ‪ X.509v3‬ﻛﻪ ﺑﺘﻮﺳﻂ ﺑﺎﻧﻚ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻣﻲﺩﺍﺭﺩ‪ .‬ﮔﻮﺍﻫﻲ‪ ،‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ‪ RSA‬ﻣﺸﺘﺮﻱ ﻭ‬
‫ﺗﺎﺭﻳﺦ ﺍﻧﻘﻀﺎﻱ ﺁﻥ ﺭﺍ ﺗﻌﻴﻴﻦ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﮔﻮﺍﻫﻲ ﻫﻤﭽﻨﻴﻦ ﻳﻚ ﺍﺭﺗﺒﺎﻁ ﺗﻀﻤﻴﻦ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺑﺎﻧﻚ ﺑﻴﻦ ﺟﻔﺖ ﻛﻠﻴﺪ‬
‫ﻣﺸﺘﺮﻱ ﻭ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ ﺍﻭ ﺑﺮﻗﺮﺍﺭ ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫‪ -۳‬ﻓﺮﻭﺷﻨﺪﮔﺎﻥ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﺧﻮﺩ ﺭﺍ ﺩﺍﺭﻧﺪ‪ .‬ﻓﺮﻭﺷﻨﺪﻩﺍﻱ ﻛﻪ ﻧﻮﻉ ﻣﺨﺼﻮﺻﻲ ﺍﺯ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ ﺭﺍ ﻣﻲﭘﺬﻳﺮﺩ ﺑﺎﻳﺴﺘﻲ ﺩﻭ‬
‫ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻣﺨﺘﻠﻒ ﺑﺮﺍﻱ ﺩﻭ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻛﻪ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺍﻭﺳﺖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﻛﻪ ﻳﻜﻲ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﭘﻴﺎﻡﻫﺎ ﻭ ﺩﻳﮕﺮﻱ ﺑﺮﺍﻱ‬
‫ﺗﺒﺎﺩﻝ ﻛﻠﻴﺪ ﺍﺳﺖ‪ .‬ﻓﺮﻭﺷﻨﺪﻩ ﻫﻤﭽﻨﻴﻦ ﻧﻴﺎﺯ ﺑﻪ ﻳﻚ ﻧﺴﺨﻪ ﺍﺯ ﮔﻮﺍﻫﻲ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﺭﺍ ﺩﺍﺭﺩ‪.‬‬
‫‪ -۴‬ﻣﺸﺘﺮﻱ ﺳﻔﺎﺭﺵ ﻣﻲﺩﻫﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﺮﺣﻠﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻻﺯﻡ ﺑﺎﺷﺪ ﻛﻪ ﺩﺭ ﺍﺑﺘﺪﺍ ﻣﺸﺘﺮﻱ ﻭِﺏ ﺳﺎﻳﺖ ﻓﺮﻭﺷﻨﺪﻩ ﺭﺍ ﻣﺮﻭﺭ‬
‫ﻧﻤﻮﺩﻩ ﻭ ﻗﻴﻤﺖ ﻛﺎﻻ ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪ .‬ﺳﭙﺲ ﺍﻭ ﻳﻚ ﻟﻴﺴﺖ ﺍﺯ ﺍﻗﻼﻣﻲ ﻛﻪ ﺗﻤﺎﻳﻞ ﺑﻪ ﺧﺮﻳﺪ ﺁﻧﻬﺎ ﺭﺍ ﺩﺍﺭﺩ ﺑﺮﺍﻱ ﻓﺮﻭﺷﻨﺪﻩ‬
‫ﺍﺭﺳﺎﻝ ﻛﺮﺩﻩ ﻭ ﻓﺮﻭﺷﻨﺪﻩ ﺩﺭ ﻣﻘﺎﺑﻞ ﻓﺮﻡ ﺳﻔﺎﺭﺵ ﻛﺎﻻ ﻛﻪ ﺷﺎﻣﻞ ﻟﻴﺴﺖ ﺍﻗﻼﻡ‪ ،‬ﻗﻴﻤﺖ ﺁﻧﻬﺎ‪ ،‬ﻗﻴﻤﺖ ﻛﻞ ﻭ ﺷﻤﺎﺭﺓ ﺳﻔﺎﺭﺵ‬
‫ﺍﺳﺖ ﺭﺍ ﺑﺮﺍﻱ ﺍﻭ ﺑﺮﻣﻲﮔﺮﺩﺍﻧﺪ‪.‬‬
‫‪ -۵‬ﻓﺮﻭﺷﻨﺪﻩ ﺗﺄﺋﻴﺪ ﻣﻲﺷﻮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﻓﺮﻡ ﺳﻔﺎﺭﺵ‪ ،‬ﻓﺮﻭﺷﻨﺪﻩ ﻳﻚ ﻧﺴﺨﻪ ﺍﺯ ﮔﻮﺍﻫﻲ ﻧﺎﻣﺔ ﺧﻮﺩ ﺭﺍ ﺑﺮﺍﻱ ﺧﺮﻳﺪﺍﺭ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‬
‫ﺗﺎ ﺧﺮﻳﺪﺍﺭ ﺑﺘﻮﺍﻧﺪ ﺗﺄﺋﻴﺪ ﻛﻨﺪ ﻛﻪ ﺑﺎ ﻳﻚ ﻓﺮﻭﺷﻨﺪﺓ ﻣﺠﺎﺯ ﻭ ﻣﻌﺘﺒﺮ ﺭﻭﺑﺮﻭﺳﺖ‪.‬‬
‫‪ -۶‬ﺳﻔﺎﺭﺵ ﻭ ﭘﺮﺩﺍﺧﺖ ﺁﻥ ﺗﻮﺍﻣﺎﹰ ﺍﺭﺳﺎﻝ ﻣﻲﮔﺮﺩﻧﺪ‪ .‬ﻣﺸﺘﺮﻱ ﺳﻔﺎﺭﺵ ﺧﻮﺩ ﻭ ﭘﺮﺩﺍﺧﺖ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﺭﺍ ﺑﺮﺍﻱ ﻓﺮﻭﺷﻨﺪﻩ‬
‫ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ ﻭ ﺑﻬﻤﺮﺍﻩ ﺁﻥ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻣﺸﺘﺮﻱ ﻧﻴﺰ ﻓﺮﺳﺘﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺳﻔﺎﺭﺵ‪ ،‬ﺧﺮﻳﺪ ﺍﻗﻼﻣﻲ ﺭﺍ ﻛﻪ ﺩﺭ ﻓﺮﻡ ﺍﺭﺳﺎﻟﻲ‬
‫ﻓﺮﻭﺷﻨﺪﻩ ﺁﻣﺪﻩ ﺑﻮﺩ ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﭘﺮﺩﺍﺧﺖ ﺷﺎﻣﻞ ﺟﺰﺋﻴﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ ﺍﺳﺖ‪ .‬ﺍﻃﻼﻋﺎﺕ ﭘﺮﺩﺍﺧﺖ ﻃﻮﺭﻱ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩﻛﻪ ﻓﺮﻭﺷﻨﺪﻩ ﻗﺎﺩﺭ ﺑﻪ ﺧﻮﺍﻧﺪﻥ ﺁﻧﻬﺎ ﻧﺒﺎﺷﺪ‪ .‬ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻣﺸﺘﺮﻱ‪ ،‬ﻓﺮﻭﺷﻨﺪﻩ ﺭﺍ ﻗــﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗـﺎ ﺍﻋﺘﺒﺎﺭ‬
‫ﻣﺸﺘﺮﻱ ﺭﺍ ﺗﺤﻘﻴﻖ ﻛﻨﺪ‪.‬‬
‫‪ -۷‬ﻓﺮﻭﺷﻨﺪﻩ ﺗﺄﺋﻴﺪ ﭘﺮﺩﺍﺧﺖ ﺭﺍ ﺩﺭﺧﻮﺍﺳﺖ ﻣﻲﻛﻨﺪ‪ .‬ﻓﺮﻭﺷﻨﺪﻩ ﺍﻃﻼﻋﺎﺕ ﭘﺮﺩﺍﺧﺖ ﺭﺍ ﺑﻪ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﻣﻲﻓﺮﺳﺘﺪ ﻭ ﺍﺯ ﺍﻭ‬
‫ﺗﺄﺋﻴﺪ ﻣﻲﮔﻴﺮﺩ ﻛﻪ ﺍﻋﺘﺒﺎﺭ ﻣﺸﺘﺮﻱ ﺑﺮﺍﻱ ﺧﺮﻳﺪ ﻓﻌﻠﻲ ﻛﺎﻓﻲ ﺍﺳﺖ‪.‬‬
‫‪ -۸‬ﻓﺮﻭﺷﻨﺪﻩ ﺳﻔﺎﺭﺵ ﺭﺍ ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﻓﺮﻭﺷﻨﺪﻩ ﺗﺄﺋﻴﺪ ﺳﻔﺎﺭﺵ ﺭﺍ ﺑﺮﺍﻱ ﻣﺸﺘﺮﻱ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ -۹‬ﻓﺮﻭﺷﻨﺪﻩ ﻣﺤﺼﻮﻝ ﻭ ﻳﺎ ﺳﺮﻭﻳﺲ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﻓﺮﻭﺷﻨﺪﻩ‪،‬ﻛــﺎﻻ ﺭﺍ ﺑــﺮﺍﻱ ﻣﺸﺘﺮﻱ ﺍﺭﺳﺎﻝ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﺳﺮﻭﻳﺲ‬
‫ﺩﺭﺧﻮﺍﺳﺘﻲ ﺍﻭ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫‪ -۱۰‬ﻓﺮﻭﺷﻨﺪﻩ ﺩﺭﺧﻮﺍﺳﺖ ﭘﺮﺩﺍﺧﺖ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﺩﺭﺧﻮﺍﺳﺖ ﺑﺮﺍﻱ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﻭ ﺗﻤﺎﻡ ﭘﺮﺩﺍﺯﺵﻫﺎﻱ ﻣﺮﺗﺒﻂ‬
‫ﺑﺎ ﭘﺮﺩﺍﺧﺖ ﺩﺭ ﺁﻧﺠﺎ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ )‪(Dual Signature‬‬

‫ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﺑﻪ ﺟﺰﺋﻴﺎﺕ ﭘﺮﻭﺗﻜﻞ ‪ SET‬ﺑﭙﺮﺩﺍﺯﻳﻢ‪ ،‬ﺍﺟﺎﺯﻩ ﺩﻫﻴﺪ ﺗﺎ ﺑﻪ ﻳﻚ ﻧﻮﺁﻭﺭﻱ ﻣﻬﻢ ﻛﻪ ﺩﺭ ‪ SET‬ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻩ ﺷﺪﻩ ﻭ ﺑﻪ ﺍﻣﻀﺎﺀ‬
‫ﺩﻭﮔﺎﻧﻪ ﻣﻌﺮﻭﻑ ﺍﺳﺖ ﺍﺷﺎﺭﻩ ﻧﻤﺎﺋﻴﻢ‪ .‬ﻫﺪﻑ ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﻭ ﭘﻴﺎﻡ ﻛﻪ ﺑﻪ ﻣﻘﺼﺪ ﺩﻭ ﺩﺭﻳﺎﻓﺖ ﻛﻨﻨﺪﺓ ﻣﺘﻔﺎﻭﺕ ﺍﺭﺳﺎﻝ‬
‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٧٩‬‬
‫ﻣﻲﺷﻮﻧﺪ ﺭﺍ ﺑﻬﻢ ﭘﻴﻮﻧﺪ ﺩﻫﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ‪ ،‬ﻣﺸﺘﺮﻱ ﻣﻲﺧﻮﺍﻫﺪ ﻛﻪ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﺳﻔﺎﺭﺵ ﻛﺎﻻ ‪(Order Information) OI‬‬
‫ﺭﺍ ﺑﺮﺍﻱ ﻓﺮﻭﺷﻨﺪﻩ‪ ،‬ﻭ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﻗﻴﻤﺖ ﺁﻥ ﻛﺎﻻ ‪ (Payment Information) PI‬ﺭﺍ ﺑﺮﺍﻱ ﺑﺎﻧﻚ ﺍﺭﺳﺎﻝ ﻧﻤﺎﻳﺪ‪ .‬ﻓﺮﻭﺷﻨﺪﻩ‬
‫ﻻﺯﻡ ﻧﻴﺴﺖ ﻛﻪ ﺷﻤﺎﺭﺓ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ ﺧﺮﻳﺪﺍﺭ ﺭﺍ ﺑﺪﺍﻧﺪ‪ ،‬ﻭ ﺑﺎﻧﻚ ﻫﻢ ﻧﻴﺎﺯﻱ ﺑﻪ ﺩﺍﻧﺴﺘﻦ ﺟﺰﺋﻴﺎﺕ ﺳﻔﺎﺭﺵ ﻛﺎﻻﻱ ﺧﺮﻳﺪﺍﺭ ﻧﺪﺍﺭﺩ‪ .‬ﺍﺯ‬
‫ﻧﻈﺮ ﺧﺼﻮﺻﻲ ﻣﺎﻧﺪﻥ ﻭ ﺣﻔﺎﻇﺖ ﺍﻃﻼﻋﺎﺕ‪ ،‬ﺑﻬﺘﺮ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﺩﻭ ﻗﻠﻢ ﺍﺯ ﻫﻢ ﺟﺪﺍ ﺑﺎﺷﻨﺪ‪ .‬ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ ﺍﻳﻦ ﺩﻭ ﻗﻠﻢ ﺍﻃﻼﻋﺎﺕ ﺑﺎﻳﺴﺘﻲ‬
‫ﻃﻮﺭﻱ ﺑﺎﻫﻢ ﻣﺮﺗﺒﻂ ﺷﻮﻧﺪ ﻛﻪ ﺍﮔﺮ ﻻﺯﻡ ﺷﺪ ﺑﺘﻮﺍﻥ ﺩﻋﺎﻭﻱ ﺁﻳﻨﺪﻩ ﺭﺍ ﭘﺎﺳﺦ ﺩﺍﺩ‪ .‬ﺍﻳﻦ ﭘﻴﻮﻧﺪ ﺑﺎﻳﺴﺘﻲ ﻃﻮﺭﻱ ﺑﺎﺷﺪ ﻛﻪ ﻣﺸﺘﺮﻱ ﺑﺘﻮﺍﻧﺪ‬
‫ﺍﺛﺒﺎﺕ ﻛﻨﺪ ﻛﻪ ﺍﻳﻦ ﭘﺮﺩﺍﺧﺖ ﺑﺮﺍﻱ ﺍﻳﻦ ﺳﻔﺎﺭﺵ‪ ،‬ﻭ ﻧﻪ ﺳﻔﺎﺭﺵ ﻳﺎ ﺳﺮﻭﻳﺲ ﺩﻳﮕﺮﻱ ﺑﻮﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﺑﺮﺍﻱ ﻣﻼﺣﻈﺔ ﻧﻴﺎﺯ ﺑﻪ ﺍﻳﻦ ﭘﻴﻮﻧﺪ‪ ،‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﻣﺸﺘﺮﻳﺎﻥ ﺩﻭ ﭘﻴﺎﻡ ﺑﺮﺍﻱ ﻓﺮﻭﺷﻨﺪﻩ ﺍﺭﺳﺎﻝ ﻧﻤﺎﻳﻨﺪ‪ -‬ﻳﻚ ‪ OI‬ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﻭ‬
‫ﻳﻚ ‪ PI‬ﺍﻣﻀﺎﺀ ﺷﺪﻩ ‪ -‬ﻭ ﻓﺮﻭﺷﻨﺪﻩ ‪ PI‬ﺭﺍ ﺑﺮﺍﻱ ﺑﺎﻧﻚ ﺑﻔﺮﺳﺘﺪ‪ .‬ﺍﮔﺮ ﻓﺮﻭﺷﻨﺪﻩ ﺑﺘﻮﺍﻧﺪ ‪ OI‬ﺩﻳﮕﺮﻱ ﺍﺯ ﺧﺮﻳﺪﺍﺭ ﺩﺭﻳﺎﻓﺖ ﻛﻨﺪ‪ ،‬ﻣﻤﻜﻦ‬
‫ﺍﺳﺖ ﺍﺩﻋﺎ ﻧﻤﺎﻳﺪ ﻛﻪ ﺍﻳﻦ ‪ OI‬ﺟﺪﻳﺪ ﺑﻪ ﻫﻤﺮﺍﻩ ‪ PI‬ﺑﻮﺩﻩ ﺍﺳﺖ ﻭ ‪ OI‬ﻗﺪﻳﻢ ﺭﺍ ﻧﺎﺩﻳﺪﻩ ﺍﻧﮕﺎﺭﺩ‪ .‬ﭘﻴﻮﻧﺪ ﺫﻛﺮﺷﺪﻩ ﺍﺯ ﺍﻳﻦ ﺍﻣﺮ ﺟﻠﻮﮔﻴﺮﻱ‬
‫ﺷﻜﻞ ‪ ۷-۹‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ )‪ (DS‬ﺑﺮﺍﻱ ﺭﻓﻊ ﻧﻴﺎﺯ ﻓﻮﻕﺍﻟﺬﻛﺮ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻣﺸﺘﺮﻱ ‪ hash‬ﻣﺮﺗﺒﻂ ﺑﺎ ‪) PI‬ﺑﺎ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ (SHA-1‬ﻭ ‪ hash‬ﻣﺮﺗﺒﻂ ﺑﺎ ‪ OI‬ﺭﺍ ﺍﺳﺘﺨﺮﺍﺝ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺩﻭ ‪ hash‬ﺳﭙﺲ ﺑﺎ ﻫﻢ ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ ﺷﺪﻩ ﻭ ‪ hash‬ﻧﺘﻴﺠﺔ‬
‫ﺁﻧﻬﺎ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﺍﻧﺘﻬﺎ ﻣﺸﺘﺮﻱ ‪ hash‬ﻧﻬﺎﺋﻲ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﻣﻀﺎﺀ ﺧﻮﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﺮﺩﻩ ﻭ ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ ﺭﺍ ﺗﻮﻟﻴﺪ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﻋﻤﻠﻴﺎﺕ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﭼﻨﻴﻦ ﺧﻼﺻﻪ ﻧﻤﻮﺩ‬
‫)])‪DS = E(PRc, [H(H(PI) || H(OI‬‬
‫ﻛﻪ ﺩﺭﺁﻥ ‪ PRc‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﻣﻀﺎﺀ ﻣﺸﺘﺮﻱ ﺍﺳﺖ‪ .‬ﺣﺎﻝ ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﻓﺮﻭﺷﻨﺪﻩ ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ )‪ OI ،(DS‬ﻭ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺑﺮﺍﻱ‬
‫‪ (PIMD) PI‬ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺩﺍﺭﺩ‪ .‬ﻓﺮﻭﺷﻨﺪﻩ ﻫﻤﭽﻨﻴﻦ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻣﺸﺘﺮﻱ ﺭﺍ ﻛﻪ ﺩﺭ ﮔﻮﺍﻫﻲ ﻧﺎﻣﺔ ﺍﻭ ﺫﻛﺮ ﺷﺪﻩ ﺍﺳﺖ ﻣﻲﺩﺍﻧﺪ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﻓﺮﻭﺷﻨﺪﻩ ﻗﺎﺩﺭ ﺍﺳﺖ ﺗﺎ ﺩﻭ ﻛﻤﻴﺖ ﺯﻳﺮ ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻧﻤﺎﻳﺪ‪:‬‬
‫‪PI‬‬
‫‪PIMD‬‬ ‫‪PRC‬‬
‫‪H‬‬ ‫‪PR‬‬‫‪c‬‬
‫‪Dual‬‬
‫‪POMD‬‬ ‫‪Signature‬‬
‫‪H‬‬ ‫‪E‬‬
‫=‬
‫‪OI‬‬
‫‪OIMD‬‬
‫‪H‬‬
‫‪PI = Payment Information‬‬ ‫= ‪PIMD‬‬ ‫‪PI message digest‬‬

‫‪OI = Order Information‬‬ ‫= ‪OIMD‬‬ ‫‪OI message digest‬‬
‫)‪H = Hash function (SHA-1‬‬ ‫= ‪POMD‬‬ ‫‪Payment Order message digest‬‬
‫‪= Concatenation‬‬ ‫‪E‬‬ ‫=‬ ‫)‪Encryption (RSA‬‬
‫=‬
‫= ‪PRc‬‬ ‫‪Customer's private signature key‬‬
‫ﻧﺤﻮﺓ ﺳﺎﺧﺖ ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ‬ ‫ﺷﻜﻞ ‪۷-۹‬‬

‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٨٠‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫)]‪ H(PIMD || H[OI‬ﻭ )‪D (PUc ,DS‬‬
‫ﻛﻪ ﺩﺭ ﺁﻥ ‪ PUc‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﻣﻀﺎﺀ ﻣﺸﺘﺮﻱ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﺍﻳﻦ ﺩﻭ ﻛﻤﻴﺖ ﺑﺎ ﻫﻢ ﺑﺮﺍﺑﺮ ﺑﺎﺷﻨﺪ‪ ،‬ﻓﺮﻭﺷﻨﺪﻩ ﺍﻣﻀﺎﺀ ﻣﺸﺘﺮﻱ ﺭﺍ ﺗﺄﺋﻴﺪ ﻛﺮﺩﻩ‬
‫ﺍﺳﺖ‪ .‬ﺑﻬﻤﻴﻦ ﺗﺮﺗﻴﺐ ﺍﮔﺮ ﺑﺎﻧﻚ ‪ ،PI ،DS‬ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺑﺮﺍﻱ ‪ (OIMD) OI‬ﻭ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻣﺸﺘﺮﻱ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‬
‫ﺁﻧﮕﺎﻩ ﺑﺎﻧﻚ ﻣﻲﺗﻮﺍﻧﺪ ﺩﻭ ﻛﻤﻴﺖ ﺯﻳﺮ ﺭﺍ ﺣﺴﺎﺏ ﻛﻨﺪ‪:‬‬
‫)‪ H(H[PI] || OIMD‬ﻭ )‪D (PUc , DS‬‬
‫ﺑﺎﺯﻫﻢ ﺍﮔﺮ ﺍﻳﻦ ﺩﻭ ﻛﻤﻴﺖ ﺑﺮﺍﺑﺮ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺑﺎﻧﻚ ﺍﻣﻀﺎﺀ ﻣﺸﺘﺮﻱ ﺭﺍ ﺗﺄﺋﻴﺪ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺑﻄﻮﺭ ﺧﻼﺻﻪ‪،‬‬
‫‪ -۱‬ﻓﺮﻭﺷﻨﺪﻩ ‪ OI‬ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩﻩ ﻭ ﺍﻣﻀﺎﺀ ﺭﺍ ﮔﻮﺍﻫﻲ ﻧﻤﻮﺩﻩ ﺍﺳﺖ‪.‬‬

‫‪ -۲‬ﺑﺎﻧﻚ ‪ PI‬ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩﻩ ﻭ ﺍﻣﻀﺎﺀ ﺭﺍ ﮔﻮﺍﻫﻲ ﻧﻤﻮﺩﻩ ﺍﺳﺖ‪.‬‬
‫‪ -۳‬ﻣﺸﺘﺮﻱ ‪ PI‬ﻭ ‪ OI‬ﺭﺍ ﺑﻬﻢ ﭘﻴﻮﻧﺪ ﺩﺍﺩﻩ ﻭ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺭﺗﺒﺎﻁ ﺍﻳﻦ ﺩﻭ ﺑﺎ ﻫﻢ ﺭﺍ ﺍﺛﺒﺎﺕ ﻛﻨﺪ‪.‬‬
‫ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﻓﺮﻭﺷﻨﺪﻩ ﻣﻲﺧﻮﺍﻫﺪ ﺑﻪ ﻧﻔﻊ ﺧﻮﺩ ‪ OI‬ﺩﻳﮕﺮﻱ ﺭﺍ ﺑﺮﺍﻱ ﺍﻳﻦ ﭘﺮﺩﺍﺧﺖ ﺟﺎ ﺑﺰﻧﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﺻﻮﺭﺕ ﺍﻭ‬
‫ﻣﺠﺒﻮﺭ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﺗﺎ ‪ OI‬ﺩﻳﮕﺮﻱ ﻛﻪ ﺗﺎﺑﻊ ‪ hash‬ﺁﻥ ﺑﺎ ‪ OIMD‬ﻣﻮﺟﻮﺩ ﻳﻜﺴﺎﻥ ﺑﺎﺷﺪ ﺭﺍ ﭘﻴﺪﺍ ﻛﻨﺪ‪ .‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ SHA-1‬ﺍﻳﻦ ﻛﺎﺭ‬
‫ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﻧﺨﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻓﺮﻭﺷﻨﺪﻩ ﻧﻤﻲﺗﻮﺍﻧﺪ ‪ OI‬ﺩﻳﮕﺮﻱ ﺭﺍ ﺑﻪ ﺍﻳﻦ ‪ PI‬ﻣﺮﺗﺒﻂ ﺳﺎﺯﺩ‪.‬‬
‫ﻋﻤﻠﻴﺎﺕ ﭘﺮﺩﺍﺧﺖ‬
‫ﺟﺪﻭﻝ ‪ ۷-۳‬ﺍﻧﻮﺍﻉ ﮔﺮﺩﺵ ﺍﺳﻨﺎﺩ ﻣﺮﺗﺒﻂ ﺑﺎ ‪ SET‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺩﺭ ﺁﻧﭽﻪ ﺫﻳﻼﹰ ﺧﻮﺍﻫﺪ ﺁﻣﺪ‪ ،‬ﺑﻪ ﺟﺰﺋﻴﺎﺕ ﺳﻪ ﮔﺮﺩﺵ ﻣﺎﻟﻲ ﺯﻳﺮ‬
‫ﺧﻮﺍﻫﻴﻢ ﭘﺮﺩﺍﺧﺖ‪:‬‬
‫ﺩﺭﺧﻮﺍﺳﺖ ﺧﺮﻳﺪ‬ ‫•‬

‫ﺗﺄﺋﻴﺪ ﭘﺮﺩﺍﺧﺖ‬ ‫•‬
‫ﺑﺮﺩﺍﺷﺖ ﭘﻮﻝ‬ ‫•‬
‫ﺩﺭﺧﻮﺍﺳﺖ ﺧﺮﻳﺪ‬
‫ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﺩﺭﺧﻮﺍﺳﺖ ﺧﺮﻳﺪ ﺍﺭﺳﺎﻝ ﺷﻮﺩ‪ ،‬ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ ﺩﺭ ﻭِﺏ ﺟﺴﺘﺠﻮ ﻛﺮﺩﻩ‪ ،‬ﻛﺎﻻﻱ ﻣﻮﺭﺩ ﻧﻈﺮ ﺧﻮﺩ ﺭﺍ ﺍﻧﺘﺨﺎﺏ‬
‫ﻧﻤﻮﺩﻩ ﻭ ﺳﻔﺎﺭﺵ ﺭﺍ ﺁﻣﺎﺩﻩ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻓﺎﺯ ﺍﺑﺘﺪﺍﺋﻲ ﻭﻗﺘﻲ ﭘﺎﻳﺎﻥ ﻣﻲﻳﺎﺑﺪ ﻛﻪ ﻓﺮﻭﺷﻨﺪﻩ ﻳﻚ ﻓﺮﻡ ﺳﻔﺎﺭﺵ ﻛﺎﻻ )ﭘﻴﺶ ﻓﺎﻛﺘﻮﺭ( ﺭﺍ‬
‫ﺑﺮﺍﻱ ﺧﺮﻳﺪﺍﺭ ﺍﺭﺳﺎﻝ ﻛﺮﺩﻩ ﺑﺎﺷﺪ‪ .‬ﺗﻤﺎﻡ ﺍﻳﻦ ﻣﺮﺍﺣﻞ ﺑﺪﻭﻥ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ SET‬ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪.‬‬
‫ﺩﺭﺧﻮﺍﺳﺖ ﺧﺮﻳﺪ ﺷﺎﻣﻞ ﭼﻬﺎﺭ ﭘﻴﺎﻡ ﺍﺳﺖ‪ Purchase Request ،Initiate Response ،Initiate Request :‬ﻭ‬
‫‪.Purchase Response‬‬
‫ﺑﺮﺍﻱ ﺍﺭﺳﺎﻝ ﭘﻴﺎﻡﻫﺎﻱ ‪ SET‬ﺑﻪ ﻓﺮﻭﺷﻨﺪﻩ‪ ،‬ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﺑﺎﻳﺴﺘﻲ ﻳﻚ ﻧﺴﺨﻪ ﺍﺯ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻓﺮﻭﺷﻨﺪﻩ ﻭ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ‬
‫ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺧﺮﻳﺪﺍﺭ ﺩﺭ ﭘﻴﺎﻡ ‪ Initiate Request‬ﻛﻪ ﺑﺮﺍﻱ ﻓﺮﻭﺷﻨﺪﻩ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﺭﺍ ﺩﺭﺧﻮﺍﺳﺖ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺩﺭ‬
‫ﺍﻳﻦ ﭘﻴﺎﻡ ﻧﻮﻉ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ ﻛﻪ ﺧﺮﻳﺪﺍﺭ ﻣﺎﻳﻞ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺁﻥ ﺍﺳﺖ ﺫﻛﺮ ﻣﻲﺷﻮﺩ‪ .‬ﭘﻴﺎﻡ ﻫﻤﭽﻨﻴﻦ ﺷﺎﻣﻞ ﻳﻚ ‪ ID‬ﺗﺨﺼﻴﺺ ﺩﺍﺩﻩ‬
‫ﺷﺪﻩ ﺑﺮﺍﻱ ﺍﻳﻦ ﺯﻭﺝ ﺩﺭﺧﻮﺍﺳﺖ‪ /‬ﭘﺎﺳﺦ ﻭ ﻳﻚ ‪ nonce‬ﺑﺮﺍﻱ ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﺑﻬﻨﮕﺎﻡ ﺑﻮﺩﻥ ﺁﻥ ﺍﺳﺖ‪.‬‬
‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٨١‬‬
‫ﺍﻧﻮﺍﻉ ﮔﺮﺩﺵ ﺍﺳﻨﺎﺩ ‪SET‬‬ ‫ﺟﺪﻭﻝ ‪۷-۳‬‬
‫ﺩﺍﺭﻧﺪﮔﺎﻥ ﻛﺎﺭﺕ ﻗﺒﻞ ﺍﺯ ﺍﻳﻦ ﻛﻪ ﺑﺘﻮﺍﻧﻨﺪ ﭘﻴﺎﻡﻫﺎﻱ ‪ SET‬ﺭﺍ ﺑﺮﺍﻱ ﻓﺮﻭﺷﻨﺪﮔﺎﻥ ﺑﻔﺮﺳﺘﻨﺪ‪ ،‬ﺑﺎﻳﺴﺘﻲ‬ ‫‪Cardholder registeration‬‬
‫ﺩﺭ ﻳﻚ ‪ CA‬ﺛﺒﺖ ﻧﺎﻡ ﺷﺪﻩ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﻓﺮﻭﺷﻨﺪﮔﺎﻥ ﻗﺒﻞ ﺍﺯ ﺍﻳﻦ ﻛﻪ ﺑﺘﻮﺍﻧﻨﺪ ﭘﻴﺎﻡﻫﺎﻱ ‪ SET‬ﺭﺍ ﺑﺎ ﻣﺸﺘﺮﻳﺎﻥ ﻭ ﺩﺭﻭﺍﺯﻩﻫﺎﻱ ﭘﺮﺩﺍﺧﺖ‬
‫‪Merchant registeration‬‬
‫ﻣﺒﺎﺩﻟﻪ ﻧﻤﺎﻳﻨﺪ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻳﻚ ‪ CA‬ﺛﺒﺖ ﻧﺎﻡ ﺷﺪﻩ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﭘﻴﺎﻣﻲ ﻛﻪ ﺍﺯ ﺟﺎﻧﺐ ﻣﺸﺘﺮﻱ ﺑﺮﺍﻱ ﻓﺮﻭﺷﻨﺪﻩ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﻭ ﺷﺎﻣﻞ ‪ OI‬ﺑﺮﺍﻱ ﻓﺮﻭﺷﻨﺪﻩ ﻭ ‪ PI‬ﺑﺮﺍﻱ‬ ‫‪Purchase Request‬‬
‫ﺑﺎﻧﻚ ﺍﺳﺖ‪.‬‬
‫ﻣﺒﺎﺩﻟﺔ ﺑﻴﻦ ﻓﺮﻭﺷﻨﺪﻩ ﻭ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﺗﺎ ﻣﻘﺪﺍﺭ ﻣﺸﺨﺼﻲ ﭘﻮﻝ ﺑﺮﺍﻱ ﻳﻚ ﺧﺮﻳﺪ ﺭﺍ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ‬ ‫‪Payment authorization‬‬
‫ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭ ﺑﺨﺸﺪ‪.‬‬
‫ﺑﻪ ﻓﺮﻭﺷﻨﺪﻩ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺍﺯ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﺗﻘﺎﺿﺎﻱ ﭘﻮﻝ ﻧﻤﺎﻳﺪ‪.‬‬ ‫‪Payment capture‬‬
‫ﺍﮔﺮ ‪ CA‬ﻧﺘﻮﺍﻧﺪ ﻳﻚ ﺩﺭﺧﻮﺍﺳﺖ ﮔﻮﺍﻫﻲ ﺭﺍ ﺳﺮﻳﻌﺎﹰ ﭘﺮﺩﺍﺯﺵ ﻧﻤﻮﺩﻩ ﻭ ﭘﺎﺳﺦ ﺩﻫﺪ‪ ،‬ﺑﺎ ﺍﺭﺳﺎﻝ ﻳﻚ‬
‫ﭘﻴﺎﻡ ﺑﻪ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ ﻭ ﻳﺎ ﻓﺮﻭﺷﻨﺪﻩ ﺧﺒﺮ ﻣﻲﺩﻫﺪ ﻛﻪ ﺑﻌﺪﺍﹰ ﺗﻤﺎﺱ ﺑﮕﻴﺮﻧﺪ‪ .‬ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ‬ ‫‪Certificate inquiry and status‬‬
‫ﻳﺎ ﻓﺮﻭﺷﻨﺪﻩ ﺑﺎ ﺍﺭﺳﺎﻝ ﭘﻴﺎﻡ ‪ Certificate Inquiry‬ﺍﺯ ﻭﺿﻌﻴﺖ ﺗﻘﺎﺿﺎﻱ ﺧﻮﺩ ﺑﺎ ﺧﺒﺮ ﺷﺪﻩ ﻭ ﺍﮔﺮ‬
‫ﺩﺭﺧﻮﺍﺳﺖ ﺁﻧﺎﻥ ﺗﺄﺋﻴﺪ ﺷﺪﻩ ﺑﺎﺷﺪ ﮔﻮﺍﻫﻲ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﺧﻮﺍﻫﻨﺪ ﻛﺮﺩ‪.‬‬
‫ﺑﻪ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﭘﺲ ﺍﺯ ﺩﺭﻳﺎﻓﺖ ﭘﺎﺳﺦ ﺧﺮﻳﺪ‪ ،‬ﺍﺯ ﻭﺿﻌﻴﺖ ﺳﻔﺎﺭﺵ ﺧﻮﺩ ﻣﻄﻠﻊ‬
‫ﮔﺮﺩﺩ‪ .‬ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﺍﻳﻦ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺗﻲ ﻫﻤﺎﻧﻨﺪ ﻛﺎﻻﻱ ﻓﺮﺍﻫﻢ ﺷﺪﻩ ﻧﻴﺴﺖ ﺑﻠﻜﻪ‬ ‫‪Purchase inquiry‬‬
‫ﻧﺸﺎﻥﺩﻫﻨﺪﺓ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﺑﺮﺩﺍﺷﺖ ﭘﻮﻝ ﻭ ﭘﺮﺩﺍﺯﺵﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﻱ ﺍﺳﺖ‪.‬‬
‫ﺑﻪ ﻳﻚ ﻓﺮﻭﺷﻨﺪﻩ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺩﺭﺧﻮﺍﺳﺖﻫﺎﻱ ﻗﺒﻠﻲ ﺧﻮﺩ ﺭﺍ ﺗﺼﺤﻴﺢ ﻛﻨﺪ‪ .‬ﺍﮔﺮ ﺳﻔﺎﺭﺵ ﻛﺎﻣﻞ‬
‫ﻧﺸﻮﺩ‪ ،‬ﻓﺮﻭﺷﻨﺪﻩ ﺗﻤﺎﻡ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﺍﺯ ﺳﺮ ﺧﻮﺍﻫﺪ ﮔﺮﻓﺖ‪ .‬ﺍﮔﺮ ﺑﺨﺸﻲ ﺍﺯ ﺳﻔﺎﺭﺵ ﻛﺎﻣﻞ ﻧﮕﺮﺩﺩ‪،‬‬ ‫‪Authorization reversal‬‬
‫ﻓﺮﻭﺷﻨﺪﻩ ﺁﻥ ﺑﺨﺶ ﺭﺍ ﺍﺯ ﺳﺮ ﺧﻮﺍﻫﺪ ﮔﺮﻓﺖ‪.‬‬
‫ﺑﻪ ﻳﻚ ﻓﺮﻭﺷﻨﺪﻩ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺍﺷﺘﺒﺎﻫﺎﺕ ﺍﺣﺘﻤﺎﻟﻲ ﺩﺭ ﻳﻚ ﺩﺭﺧﻮﺍﺳﺖ ﭘﺮﺩﺍﺧﺖ ﭘﻮﻝ ﺭﺍ ﻛﻪ‬ ‫‪Capture reversal‬‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﺎﺷﻲ ﺍﺯ ﺧﻄﺎﻱ ﻳﻚ ﻣﻨﺸﻲ ﺑﺎﺷﺪ ﺗﺼﺤﻴﺢ ﻛﻨﺪ‪.‬‬
‫ﺑﻪ ﻳﻚ ﻓﺮﻭﺷﻨﺪﻩ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺩﺭ ﺻﻮﺭﺕ ﺑﺮﮔﺸﺖ ﻛﺎﻻ ﻭ ﻳﺎ ﻣﺜﻼﹰ ﻓﺎﺳﺪ ﺷﺪﻥ ﺁﻥ ﭘﻮﻟﻲ ﺭﺍ ﺑﻪ‬
‫ﺣﺴﺎﺏ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﻭﺍﺭﻳﺰ ﻧﻤﺎﻳﺪ‪ .‬ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﭘﻴﺎﻡ ‪ Credit‬ﺩﺭ ‪ SET‬ﻫﻤﻴﺸﻪ ﺍﺯ ﺳﻮﻱ‬ ‫‪Credit‬‬
‫ﻓﺮﻭﺷﻨﺪﻩ ﻭ ﻧﻪ ﺍﺯ ﺳﻮﻱ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﺗﻤﺎﻡ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺑﻴﻦ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﻭ‬
‫ﻓﺮﻭﺷﻨﺪﻩ ﻛﻪ ﻣﻨﺠﺮ ﺑﻪ ﭘﺮﺩﺍﺯﺵ ﺍﻋﺘﺒﺎﺭ ﻣﻲﮔﺮﺩﺩ ﺧﺎﺭﺝ ﺍﺯ ‪ SET‬ﻭﺍﻗﻊ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺑﻪ ﻳﻚ ﻓﺮﻭﺷﻨﺪﻩ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﻳﻚ ﺍﻋﺘﺒﺎﺭ ﺩﺭﺧﻮﺍﺳﺖ ﺷﺪﺓ ﻗﺒﻠﻲ ﺭﺍ ﺗﺼﺤﻴﺢ ﻧﻤﺎﻳﺪ‪.‬‬ ‫‪Credit reversal‬‬
‫ﺑﻪ ﻳﻚ ﻓﺮﻭﺷﻨﺪﻩ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺍﺯ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﺍﺳﺘﻌﻼﻡ ﻛﺮﺩﻩ ﻭ ﻳﻚ ﻛﭙﻲ ﺍﺯ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‬ ‫‪Payment gateway certificate request‬‬
‫ﺟﺎﺭﻱ ﺩﺭﻭﺍﺯﻩ ﻭ ﮔﻮﺍﻫﻲ ﺍﻣﻀﺎﺀﻫﺎ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﻨﺪ‪.‬‬
‫ﺑﻪ ﻳﻚ ﻓﺮﻭﺷﻨﺪﻩ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﻣﻌﺎﻣﻼﺕ ﺍﻭ ﺭﺍ ﺑﻪ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ‬ ‫‪Batch administration‬‬
‫ﺑﻔﺮﺳﺘﺪ‪.‬‬
‫ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﻳﻚ ﭘﺎﺳﺦﺩﻫﻨﺪﻩ ﺑﻌﻠﺖ ﺍﺷﺘﺒﺎﻩ ﺩﺭ ﻓﺮﻣﺖ ﻭ ﻳﺎ ﺍﻋﺘﺒﺎﺭ ﻳﻚ ﭘﻴﺎﻡ ﺍﺯ ﭘﺎﺳﺦ ﺑﻪ ﺁﻥ‬ ‫‪Error message‬‬
‫ﺧﻮﺩﺩﺍﺭﻱ ﻧﻤﻮﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﻓﺮﻭﺷﻨﺪﻩ ﻳﻚ ﭘﺎﺳﺦ ﺭﺍ ﺗﻬﻴﻪ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﻣﻀﺎﺀ ﺧﻮﺩ ﺍﻣﻀﺎﺀ ﻣﻲﻛﻨﺪ‪ .‬ﭘﺎﺳﺦ ﺷﺎﻣﻞ ‪ nonce‬ﻣﺸﺘﺮﻱ‪،‬‬
‫‪ nonce‬ﺩﻳﮕﺮﻱ ﺑﺮﺍﻱ ﻣﺸﺘﺮﻱ ﺩﺭ ﺍﺭﺳﺎﻝ ﭘﻴﺎﻡ ﺑﻌﺪﻱ ﻭ ﻳﻚ ‪ ID‬ﻣﻌﺎﻣﻼﺗﻲ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻳﻦ ﺧﺮﻳﺪ ﺍﺳﺖ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﭘﺎﺳﺦ ﺍﻣﻀﺎﺀ ﺷﺪﻩ‪،‬‬
‫ﭘﻴﺎﻡ ‪ Initiate Response‬ﺷﺎﻣﻞ ﮔﻮﺍﻫﻲﻧﺎﻣﻪ ﺍﻣﻀﺎﺀ ﻓﺮﻭﺷﻨﺪﻩ ﻭ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٨٢‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ‪ ،‬ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﻓﺮﻭﺷﻨﺪﻩ ﻭ ﺩﺭﻭﺍﺯﻩ ﺭﺍ ﺑﺘﻮﺳﻂ ﺍﻣﻀﺎﺀﻫﺎﻱ ‪ CA‬ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻧﻬﺎ ﺗﺄﺋﻴﺪ ﻛﺮﺩﻩ ﻭ ﺁﻧﮕﺎﻩ ‪ OI‬ﻭ ‪ PI‬ﺭﺍ‬
‫ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ ID .‬ﻣﻌﺎﻣﻠﻪ ﻛﻪ ﺑﺘﻮﺳﻂ ﻓﺮﻭﺷﻨﺪﻩ ﺑﻪ ﺍﻳﻦ ﻣﻌﺎﻣﻠﻪ ﺗﺨﺼﻴﺺ ﻳﺎﻓﺘﻪ ﺍﺳﺖ‪ ،‬ﻫﻢ ﺩﺭ ‪ OI‬ﻭ ﻫﻢ ﺩﺭ ‪ PI‬ﻣﻨﻈﻮﺭ ﺧﻮﺍﻫﻨﺪ ﺷﺪ‪.‬‬
‫‪ OI‬ﺑﻄﻮﺭ ﺻﺮﻳﺢ ﺩﺍﺩﻩﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺳﻔﺎﺭﺵ ﻣﺎﻧﻨﺪ ﺗﻌﺪﺍﺩ ﺍﻗﻼﻡ ﻭ ﻗﻴﻤﺖ ﻫﺮﻗﻠﻢ ﺭﺍ ﺫﻛﺮ ﻧﻤﻲﻛﻨﺪ‪ ،‬ﺑﻠﻜﻪ ﺑﻪ ﻳﻚ ﺷﻤﺎﺭﺓ ﺳﻔﺎﺭﺵ ﺍﺷﺎﺭﻩ‬
‫ﻣﻲﻧﻤﺎﻳﺪ ﻛﻪ ﻗﺒﻼﹰ ﺩﺭ ﻣﺒﺎﺩﻻﺕ ﺑﻴﻦ ﺧﺮﻳﺪﺍﺭ ﻭ ﻓﺮﻭﺷﻨﺪﻩ )ﭘﻴﺶ ﻓﺎﻛﺘﻮﺭ( ﺫﻛﺮ ﺷﺪﻩ ﺍﺳﺖ )ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﻭﺍﺭﺩ ﺍﻭﻟﻴﻦ ﭘﻴﺎﻡ ‪ SET‬ﺷﻮﻳﻢ(‪.‬‬
‫ﺩﺭ ﻣﺮﺣﻠﺔ ﺑﻌﺪ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﭘﻴﺎﻡ ‪) Purchase Request‬ﺷﻜﻞ‪ (۷-۱۰‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻭ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ‬
‫ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻳﻜﺒﺎﺭﻣﺼﺮﻑ ‪ Ks‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﺍﻃﻼﻋﺎﺕ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﺍﻃﻼﻋﺎﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﺧﺮﻳﺪ‪ .‬ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﺍﺯ ﻃﺮﻑ ﻓﺮﻭﺷﻨﺪﻩ ﺑﻪ ﺳﻤﺖ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﻭ ﺷﺎﻣﻞ ﺍﻗﻼﻡ ﺯﻳﺮ‬
‫ﺍﺳﺖ‬
‫‪PI o‬‬
‫‪ o‬ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ ﻛﻪ ﺍﺯ ‪ OI‬ﻭ ‪ PI‬ﻣﺤﺎﺳﺒﻪ ﺷﺪﻩ ﻭ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﻣﻀﺎﺀ ﻣﺸﺘﺮﻱ‪ ،‬ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ o‬ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ‪(OIMD) OI‬‬
‫‪ OIMD‬ﺑﺘﻮﺳﻂ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺑﻮﺩﻩ ﺗﺎ ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﻗﺒﻼﹰ ﺑﻴﺎﻥ ﺷﺪ ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ ﺭﺍ ﺗﺄﺋﻴﺪ ﻧﻤﺎﻳﺪ‪ .‬ﺗﻤﺎﻡ ﺍﻳﻦ ﺍﻗﻼﻡ ﺑﺎ ‪Ks‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺁﺧﺮﻳﻦ ﻗﻠﻢ ﻋﺒﺎﺭﺕ ﺍﺳﺖ ﺍﺯ‬
‫‪ o‬ﭘﺎﻛﺖ ﺩﻳﺠﻴﺘﺎﻝ‪ .‬ﺍﻳﻦ ﻗﻠﻢ ﺑﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪ Ks‬ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ .‬ﺁﻥ ﺭﺍ‬
‫ﭘﺎﻛﺖ ﺩﻳﺠﻴﺘﺎﻝ ﮔﻮﻳﻨﺪ ﺯﻳﺮﺍ ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﺳﺎﻳﺮ ﺍﻗﻼﻣﻲ ﻛﻪ ﻗﺒﻼﹰ ﺑﻪ ﺁﻧﻬﺎ ﺍﺷﺎﺭﻩ ﺷﺪ ﺧﻮﺍﻧﺪﻩ ﺷﻮﻧﺪ ﺑﺎﻳﺴﺘﻲ ﺍﻳﻦ ﭘﺎﻛﺖ ﺑﺎﺯ‬
‫ﺷﻮﺩ )ﺭﻣﺰﮔﺸﺎﺋﻲ ﺷﻮﺩ(‪.‬‬
‫ﺍﻧﺪﺍﺯﺓ ‪ Ks‬ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﻓﺮﻭﺷﻨﺪﻩ ﻗﺮﺍﺭ ﻧﻤﻲﮔﻴﺮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻓﺮﻭﺷﻨﺪﻩ ﻧﻤﻲﺗﻮﺍﻧﺪ ﻫﻴﭻ ﻳﻚ ﺍﺯ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﭘﺮﺩﺍﺧﺖ ﺭﺍ ﺑﺨﻮﺍﻧﺪ‪.‬‬
‫‪Request Message‬‬
‫‪PI‬‬
‫‪E‬‬ ‫ﺑﺘﻮﺳﻂ ﻓﺮﻭﺷﻨﺪﻩ ﺑﺮﺍﻱ‬

‫‪+‬‬ ‫ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﻓﺮﺳﺘﺎﺩﻩ‬
‫‪Dual Signature‬‬
‫‪+‬‬ ‫ﻣﻲﺷﻮﺩ‬
‫‪Ks‬‬ ‫‪Digital Envelope‬‬
‫‪+‬‬
‫‪OIMD‬‬
‫‪+‬‬
‫‪E‬‬ ‫‪PIMD‬‬
‫ﺑﺘﻮﺳﻂ ﻓﺮﻭﺷﻨﺪﻩ‬
‫‪+‬‬ ‫ﺩﺭﻳﺎﻓﺖ ﻣﻲﺷﻮﺩ‬
‫‪OI‬‬
‫‪PUb‬‬ ‫‪PI‬‬ ‫=‬ ‫‪Payment Information‬‬

‫‪OI‬‬ ‫=‬ ‫‪Order Information‬‬
‫‪+‬‬ ‫‪PIMD‬‬ ‫=‬ ‫‪PI message digest‬‬
‫‪Dual Signature‬‬ ‫‪OIMD‬‬ ‫=‬ ‫‪OI message digest‬‬
‫‪E‬‬ ‫=‬ ‫;‪Encryption (RSA for asymmetric‬‬
‫‪+‬‬ ‫)‪DES for symmetric‬‬
‫‪Cardholder‬‬ ‫‪Ks‬‬ ‫‪= Temporary symmetric key‬‬
‫‪PUb‬‬ ‫‪= Bank's public key-exchange key‬‬
‫ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ ﺩﺭﺧﻮﺍﺳﺖ ﺧﺮﻳﺪ ﻣﻲﻛﻨﺪ‬ ‫ﺷﻜﻞ ‪۷-۱۰‬‬

‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٨٣‬‬
‫‪ -۲‬ﺍﻃﻼﻋﺎﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﺳﻔﺎﺭﺵ‪ .‬ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻓﺮﻭﺷﻨﺪﻩ ﺑﻮﺩﻩ ﻭ ﺷﺎﻣﻞ ﺍﻗﻼﻡ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫‪OI o‬‬
‫‪ o‬ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ ﻛﻪ ﺍﺯ ‪ OI‬ﻭ ‪ PI‬ﻣﺤﺎﺳﺒﻪ ﺷﺪﻩ ﻭ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﻣﻀﺎﺀ ﻣﺸﺘﺮﻱ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ o‬ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ‪(PIMD) PI‬‬
‫‪ PIMD‬ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻓﺮﻭﺷﻨﺪﻩ ﺍﺳﺖ ﺗﺎ ﺑﺘﻮﺍﻧﺪ ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ ﺭﺍ ﺗﺄﺋﻴﺪ ﻧﻤﺎﻳﺪ‪ .‬ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ‪ OI‬ﺑﺼﻮﺭﺕ ﺭﻣﺰﻧﺸﺪﻩ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ -۳‬ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ‪ .‬ﺍﻳﻦ ﺷﺎﻣﻞ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﻣﻀﺎﺀ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﺍﺳﺖ ﻛﻪ ﻫﻢ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻓﺮﻭﺷﻨﺪﻩ ﻭ ﻫﻢ‬
‫ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﺍﺳﺖ‪.‬‬
‫ﻭﻗﺘﻲ ﻓﺮﻭﺷﻨﺪﻩ ﭘﻴﺎﻡ ‪ Purchase Request‬ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩ ﻋﻤﻠﻴﺎﺕ ﺯﻳﺮ ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ )ﺷﻜﻞ ‪:(۷-۱۱‬‬
‫‪ -۱‬ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﺭﺍ ﺑﺘﻮﺳﻂ ﺍﻣﻀﺎﺀﻫﺎﻱ ‪ CA‬ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬

‫‪ -۲‬ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺍﻣﻀﺎﺀ ﻣﺸﺘﺮﻱ ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﻣﺴﺄﻟﻪ ﺍﻳﻦ ﺍﻃﻤﻴﻨﺎﻥ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ‬
‫ﺳﻔﺎﺭﺵ ﺩﺭ ﺯﻣﺎﻥ ﺗﺮﺍﻧﺰﻳﺖ ﺩﺳﺘﻜﺎﺭﻱ ﻧﺸﺪﻩ ﻭ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﻣﻀﺎﺀ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ -۳‬ﭘﺮﺩﺍﺯﺵ ﻣﺮﺑﻮﻁ ﺑﻪ ﺳﻔﺎﺭﺵ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﻭ ﺍﻃﻼﻋﺎﺕ ﭘﺮﺩﺍﺧﺖ ﺭﺍ ﺟﻬﺖ ﺗﺄﺋﻴﺪ ﺑﻪ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﻣﻲﻓﺮﺳﺘﺪ)ﺑﻌﺪﺍﹰ‬
‫ﺗﻮﺿﻴﺢ ﺩﺍﺩﻩ ﺧﻮﺍﻫﺪ ﺷﺪ(‪.‬‬
‫‪ -۴‬ﻳﻚ ‪ Purchase Response‬ﺑﺮﺍﻱ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﻣﻲﻓﺮﺳﺘﺪ‪.‬‬
‫ﭘﻴﺎﻡ ‪ Purchase Response‬ﺷﺎﻣﻞ ﻳﻚ ﺑﻠﻮﻙ ﭘﺎﺳﺦ ﺍﺳﺖ ﻛﻪ ﺳﻔﺎﺭﺵ ﺭﺍ ﺗﺄﺋﻴﺪ ﻧﻤﻮﺩﻩ ﻭ ﺑﻪ ﺷﻤﺎﺭﺓ ﻣﺄﺧﺬ ﻣﻌﺎﻣﻠﻪ ﺍﺷﺎﺭﻩ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺑﻠﻮﻙ ﺑﺘﻮﺳﻂ ﻓﺮﻭﺷﻨﺪﻩ ﻭ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﻭ ﺍﻣﻀﺎﺀ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻠﻮﻙ ﻭ ﺍﻣﻀﺎﺀ ﺁﻥ ﺑﻪ ﻫﻤﺮﺍﻩ ﮔﻮﺍﻫﻲ ﺍﻣﻀﺎﺀ‬
‫ﻓﺮﻭﺷﻨﺪﻩ ﺑﺮﺍﻱ ﺧﺮﻳﺪﺍﺭ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻭﻗﺘﻲ ﻧﺮﻡﺍﻓﺰﺍﺭ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ‪ ،‬ﭘﻴﺎﻡ ﭘﺎﺳﺦ ﺧﺮﻳﺪ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩ‪ ،‬ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻓﺮﻭﺷﻨﺪﻩ ﺭﺍ ﺗﺄﺋﻴﺪﻛﺮﺩﻩ ﻭ ﺳﭙﺲ ﺍﻣﻀﺎﺀ ﺑﻠﻮﻙ‬
‫ﭘﺎﺳﺦ ﺭﺍ ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎﻻﺧﺮﻩ ﺑﺮ ﺍﺳﺎﺱ ﭘﺎﺳﺦ‪ ،‬ﻋﻤﻠﻴﺎﺗﻲ ﻫﻤﺎﻧﻨﺪ ﻧﻤﺎﻳﺶ ﻳﻚ ﭘﻴﺎﻡ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮ ﻭ ﻳﺎ ﺑﺮﻭﺯﺭﺳﺎﻧﺪﻥ ﻳﻚ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﺑﺎ‬
‫ﻭﺿﻌﻴﺖ ﺳﻔﺎﺭﺵ ﺍﻧﺠﺎﻡ ﻣﻲﭘﺬﻳﺮﺩ‪.‬‬
‫ﺗﺄﺋﻴﺪ ﭘﺮﺩﺍﺧﺖ‬
‫ﺩﺭ ﺧﻼﻝ ﺍﻧﺠﺎﻡ ﻋﻤﻠﻴﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﺳﻔﺎﺭﺵ ﻛﺎﻻﻱ ﻳﻚ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ‪ ،‬ﻓﺮﻭﺷﻨﺪﻩ ﺿﻤﻦ ﺗﻤﺎﺱ ﺑﺎ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ‪ ،‬ﻣﻌﺎﻣﻠﻪ ﺭﺍ‬
‫ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﺗﺄﺋﻴﺪ ﭘﺮﺩﺍﺧﺖ ﺍﻳﻦ ﺍﻃﻤﻴﻨﺎﻥ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ﭘﺮﺩﺍﺧﺖ ﺑﺘﻮﺳﻂ ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ﻛﺎﺭﺕ ﻣﻮﺭﺩ ﭘﺬﻳﺮﺵ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺗﺄﺋﻴﺪ‬
‫ﺗﻀﻤﻴﻦ ﻣﻲﻧﻤﺎﻳﺪ ﻛﻪ ﻓﺮﻭﺷﻨﺪﻩ ﭘﻮﻝ ﺧﻮﺩ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﺧﻮﺍﻫﺪ ﻛﺮﺩ ﻭ ﺑﺮ ﺍﻳﻦ ﺍﺳﺎﺱ ﺳﺮﻭﻳﺲ ﻭ ﻳﺎ ﻛﺎﻻﻱ ﻻﺯﻡ ﺑﺮﺍﻱ ﻣﺸﺘﺮﻱ ﺭﺍ ﻓﺮﺍﻫﻢ‬
‫ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﻋﻤﻠﻴﺎﺕ ﺗﺄﺋﻴﺪ ﭘﺮﺩﺍﺧﺖ ﺷﺎﻣﻞ ﺩﻭ ﭘﻴﺎﻡ ﺍﺳﺖ‪ .‬ﺩﺭﺧﻮﺍﺳﺖ ﺗﺄﺋﻴﺪ ﻭ ﭘﺎﺳﺦ ﺗﺄﺋﻴﺪ‪.‬‬
‫ﻓﺮﻭﺷﻨﺪﻩ ﻳﻚ ﭘﻴﺎﻡ ﺩﺭﺧﻮﺍﺳﺖ ﺗﺄﺋﻴﺪ)‪ (Authorization Request‬ﺭﺍ ﺑﻪ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﻣﻲﻓﺮﺳﺘﺪﻛﻪ ﺷﺎﻣﻞ ﺍﻗﻼﻡ‬
‫ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﺍﻃﻼﻋﺎﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﺧﺮﻳﺪ‪ .‬ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﺍﺯ ﻣﺸﺘﺮﻱ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﻭ ﺷﺎﻣﻞ ﺍﻗﻼﻡ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫‪PI o‬‬
‫‪ o‬ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ ﻛﻪ ﺍﺯ ‪ OI‬ﻭ ‪ PI‬ﻣﺤﺎﺳﺒﻪ ﺷﺪﻩ ﻭ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﻣﻀﺎﺀ ﻣﺸﺘﺮﻱ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ‪(OIMD) OI‬‬ ‫‪o‬‬
‫‪ o‬ﭘﺎﻛﺖ ﺩﻳﺠﻴﺘﺎﻝ‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٨٤‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪Request message‬‬
‫‪OI‬‬ ‫=‬ ‫‪Order Information‬‬

‫‪OIMD‬‬ ‫=‬ ‫‪OI message digest‬‬
‫ﺑﺘﻮﺳﻂ ﻓﺮﻭﺷﻨﺪﻩ ﺑﺮﺍﻱ‬ ‫‪POMD‬‬ ‫=‬ ‫‪Payment Order message digest‬‬
‫ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﻓﺮﺳﺘﺎﺩﻩ‬ ‫‪D‬‬ ‫=‬ ‫)‪Decryption (RSA‬‬
‫ﻣﻲﺷﻮﺩ‬ ‫‪H‬‬ ‫=‬ ‫)‪Hash function (SHA-1‬‬
‫‪+‬‬ ‫‪PUc‬‬ ‫=‬ ‫‪Customer's public signature key‬‬
‫‪Digital envelope‬‬
‫‪+‬‬
‫‪PIMD‬‬ ‫‪POMD‬‬
‫=‬ ‫‪H‬‬
‫‪+‬‬
‫‪OI‬‬
‫‪H‬‬ ‫ﻣﻘﺎﻳﺴﻪ‬
‫‪OIMD‬‬
‫‪+‬‬
‫‪Dual signature‬‬
‫‪D‬‬
‫‪+‬‬ ‫‪POMD‬‬
‫‪Cardholder‬‬
‫‪certificate‬‬
‫‪PUc‬‬
‫ﻓﺮﻭﺷﻨﺪﻩ ﺩﺭﺧﻮﺍﺳﺖ ﺧﺮﻳﺪ ﻣﺸﺘﺮﻱ ﺭﺍ ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ‬ ‫ﺷﻜﻞ ‪۷-۱۱‬‬
‫‪ -۲‬ﺍﻃﻼﻋﺎﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﺗﺄﺋﻴﺪ‪ .‬ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﺑﺘﻮﺳﻂ ﻓﺮﻭﺷﻨﺪﻩ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﻭ ﺷﺎﻣﻞ‪:‬‬
‫‪ o‬ﻳﻚ ﺑﻠﻮﻙ ﺗﺄﺋﻴﺪ ﻛﻪ ﺷﺎﻣﻞ ‪ ID‬ﻣﻌﺎﻣﻠﻪ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺍﻣﻀﺎﺀ ﻓﺮﻭﺷﻨﺪﻩ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﻭ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ‬
‫ﻣﺘﻘﺎﺭﻥ ﻳﻜﺒﺎﺭﻣﺼﺮﻑ ﻛﻪ ﺑﺘﻮﺳﻂ ﻓﺮﻭﺷﻨﺪﻩ ﺗﻮﻟﻴﺪ ﺷﺪﻩ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ o‬ﻳﻚ ﭘﺎﻛﺖ ﺩﻳﺠﻴﺘﺎﻝ‪ .‬ﺍﻳﻦ ﻗﻠﻢ ﺑﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ ﻳﻜﺒﺎﺭﻣﺼﺮﻑ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ‬
‫ﺗﻬﻴﻪ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ -۳‬ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ‪ .‬ﻓﺮﻭﺷﻨﺪﻩ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ ﺍﻣﻀﺎﺀ ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ )ﻛﻪ ﺑﺮﺍﻱ ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ(‪ ،‬ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‬
‫ﺍﻣﻀﺎﺀ ﻓﺮﻭﺷﻨﺪﻩ )ﻛﻪ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﺍﻣﻀﺎﺀ ﻓﺮﻭﺷﻨﺪﻩ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ( ﻭ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﻓﺮﻭﺷﻨﺪﻩ )ﻛﻪ ﺩﺭ ﭘﺎﺳﺦ ﺩﺭﻭﺍﺯﺓ‬
‫ﭘﺮﺩﺍﺧﺖ ﻻﺯﻡ ﺍﺳﺖ( ﺭﺍ ﺑﻬﻤﺮﺍﻩ ﺍﻗﻼﻡ ﻓﻮﻕ ﺍﻟﺬﻛﺮ ﺍﺭﺳﺎﻝ ﻣﻲﺩﺍﺭﺩ‪.‬‬
‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٨٥‬‬
‫ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﻭﻇﺎﻳﻒ ﺯﻳﺮ ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪:‬‬
‫‪ -۱‬ﻫﻤﺔ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎ ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬

‫‪ -۲‬ﭘﺎﻛﺖ ﺩﻳﺠﻴﺘﺎﻝ ﺑﻠﻮﻙ ﺗﺄﺋﻴﺪ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﺗﺎ ﻛﻠﻴﺪ ﻣﺘﻘﺎﺭﻥ ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩﻩ ﻭ ﺁﻧﮕﺎﻩ ﺑﻠﻮﻙ ﺗﺄﺋﻴﺪ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫‪ -۳‬ﺍﻣﻀﺎﺀ ﻓﺮﻭﺷﻨﺪﻩ ﺩﺭ ﺑﻠﻮﻙ ﺗﺄﺋﻴﺪ ﺭﺍ‪ ،‬ﺗﺄﺋﻴﺪ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۴‬ﭘﺎﻛﺖ ﺩﻳﺠﻴﺘﺎﻝ ﺑﻠﻮﻙ ﭘﺮﺩﺍﺧﺖ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻧﻤﻮﺩﻩ ﺗﺎ ﻛﻠﻴﺪ ﻣﺘﻘﺎﺭﻥ ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩﻩ ﻭ ﺁﻧﮕﺎﻩ ﺑﻠﻮﻙ ﭘﺮﺩﺍﺧﺖ ﺭﺍ‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۵‬ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﺔ ﺑﻠﻮﻙ ﭘﺮﺩﺍﺧﺖ ﺭﺍ ﺗﺄﺋﻴﺪ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫‪ ID -۶‬ﻣﻌﺎﻣﻠﺔ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺍﺯ ﻓﺮﻭﺷﻨﺪﻩ ﺭﺍ ﺑﺎ ﺁﻧﭽﻪ ﻛﻪ ﺍﺯ ﻃﺮﻑ ﻣﺸﺘﺮﻱ )ﺑﻄﻮﺭ ﻏﻴﺮﻣﺴﺘﻘﻴﻢ( ﺩﺭ ‪ PI‬ﺍﺳﺖ ﻣﻘﺎﻳﺴﻪ ﻭ ﺩﺭ‬
‫ﺻﻮﺭﺕ ﺗﻄﺒﻴﻖ ﺗﺄﺋﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ -۷‬ﺍﺯ ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ﻛﺎﺭﺕ ﺗﻘﺎﺿﺎﻱ ﺗﺄﺋﻴﺪ ﺍﻋﺘﺒﺎﺭ ﻧﻤﻮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻣﻲﺩﺍﺭﺩ‪.‬‬
‫ﭘﺲ ﺍﺯ ﺩﺭﻳــﺎﻓﺖ ﺗﺄﺋﻴـﺪ ﺍﺯ ﻃــﺮﻑ ﺻــﺎﺩﺭﻛﻨﻨﺪﺓ ﻛﺎﺭﺕ‪ ،‬ﺩﺭﻭﺍﺯﺓ ﭘــﺮﺩﺍﺧﺖ ﻳﻚ ﭘﻴــﺎﻡ ﭘﺎﺳـﺦ ﺗﺄﺋﻴـﺪ‬
‫)‪ (Authorization Response‬ﺭﺍ ﺑﺮﺍﻱ ﻓﺮﻭﺷﻨﺪﻩ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﻋﻨﺎﺻﺮ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﺍﻃﻼﻋﺎﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﺗﺄﺋﻴﺪ‪ .‬ﺷﺎﻣﻞ ﻳﻚ ﺑﻠﻮﻙ ﺗﺄﺋﻴﺪ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﻠﻴﺪﺧﺼﻮﺻﻲ ﺍﻣﻀﺎﺀ ﺩﺭﻭﺍﺯﻩ‪ ،‬ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﻭ ﺑﺘﻮﺳﻂ‬
‫ﻳﻚ ﻛﻠﻴﺪ ﻣﺘﻘﺎﺭﻥ ﻳﻜﺒﺎﺭﻣﺼﺮﻑ ﻛﻪ ﺑﺘﻮﺳﻂ ﺩﺭﻭﺍﺯﻩ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻛﻠﻴﺪ ﻫﻤﭽﻨﻴﻦ ﺷﺎﻣﻞ ﻳﻚ‬
‫ﭘﺎﻛﺖ ﺩﻳﺠﻴﺘﺎﻝ ﺍﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﻛﻠﻴﺪ ﻳﻜﺒﺎﺭﻣﺼﺮﻑ ﺑﻮﺩﻩ ﻭ ﺑﺎ ﻛﻠﻴﺪ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻓﺮﻭﺷﻨﺪﻩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ -۲‬ﺍﻃﻼﻋﺎﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﻗﺒﺾ ﭘﺮﺩﺍﺧﺖ‪ .‬ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﺩﺭ ﺁﻳﻨﺪﻩ ﺑﺮﺍﻱ ﺍﻣﺮ ﭘﺮﺩﺍﺧﺖ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﺧﻮﺍﻫﺪ ﮔﺮﻓﺖ‪ .‬ﺍﻳﻦ‬
‫ﺑﻠﻮﻙ ﺑﻪ ﻫﻤﺎﻥ ﻓﺮﻡ ﺑﻨﺪ )‪ (۱‬ﺑﻮﺩﻩ ﻳﻌﻨﻲ ﻳﻚ ﻗﺒﺾ ﭘﺮﺩﺍﺧﺖ ﺷﺪﻩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﺓ ﺍﻣﻀﺎﺀﺷﺪﻩ ﺑﻬﻤﺮﺍﻩ ﻳﻚ ﭘﺎﻛﺖ ﺩﻳﺠﻴﺘﺎﻝ‬
‫ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻗﺒﺾ ﺑﺘﻮﺳﻂ ﻓﺮﻭﺷﻨﺪﻩ ﻣﻮﺭﺩ ﭘﺮﺩﺍﺯﺵ ﻗﺮﺍﺭ ﻧﻤﻲﮔﻴﺮﺩ‪ ،‬ﺑﻠﻜﻪ ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﺩﺭﺧﻮﺍﺳﺖ ﭘﺮﺩﺍﺧﺖ ﺑﺮﮔﺮﺩﺍﻧﺪﻩ ﺷﻮﺩ‪.‬‬
‫‪ -۳‬ﮔﻮﺍﻫﻲﻧﺎﻣﻪ‪ .‬ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ ﺍﻣﻀﺎﺀ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ‪.‬‬
‫ﺑﺎ ﺗﺄﺋﻴﺪ ﻣﻮﺍﺭﺩ ﺑﺘﻮﺳﻂ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ‪ ،‬ﻓﺮﻭﺷﻨﺪﻩ ﻣﻲﺗﻮﺍﻧﺪ ﻛﺎﻻ ﺭﺍ ﺑﺮﺍﻱ ﺧﺮﻳﺪﺍﺭ ﻓﺮﺍﻫﻢ ﻧﻤﻮﺩﻩ ﻭ ﻳﺎ ﺳﺮﻭﻳﺲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﻭ ﺭﺍ‬
‫ﺗﺄﻣﻴﻦ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺑﺮﺩﺍﺷﺖ ﭘﻮﻝ‬
‫ﺑﺮﺍﻱ ﺩﺭﻳﺎﻓﺖ ﭘﻮﻝ‪ ،‬ﻓﺮﻭﺷﻨﺪﻩ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ ﺭﺍ ﺩﺭ ﻳﻚ ﮔﺮﺩﺵ ﺑﺮﺩﺍﺷﺖ ﭘﻮﻝ ﺩﺭﮔﻴﺮ ﻛﺮﺩﻩ ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ﺩﺭﺧﻮﺍﺳﺖ‬
‫ﺑﺮﺩﺍﺷﺖ ﻭ ﻳﻚ ﭘﻴﺎﻡ ﭘﺎﺳﺦ ﺑﺮﺩﺍﺷﺖ ﺍﺳﺖ‪.‬‬
‫ﺑﺮﺍﻱ ﭘﻴﺎﻡ ﺩﺭﺧﻮﺍﺳﺖ ﺑﺮﺩﺍﺷﺖ)‪ ،(Capture Request‬ﻓﺮﻭﺷﻨﺪﻩ ﻳﻚ ﺑﻠﻮﻙ ﺩﺭﺧﻮﺍﺳﺖ ﺑﺮﺩﺍﺷﺖ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ‪ ،‬ﺍﻣﻀﺎﺀ‬
‫ﻧﻤﻮﺩﻩ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺑﻠﻮﻙ ﺷﺎﻣﻞ ﻣﺒﻠﻎ ﺑﺮﺩﺍﺷﺖ ﻭ ‪ ID‬ﻣﻌﺎﻣﻠﻪ ﺍﺳﺖ‪ .‬ﭘﻴﺎﻡ ﻫﻤﭽﻨﻴﻦ ﺷﺎﻣﻞ ﻗﺒﺾ ﺑﺮﺩﺍﺷﺖ ﺭﻣﺰﺷﺪﻩ ﻛﻪ‬
‫ﻗﺒﻼﹰ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺑﻮﺩ )ﺩﺭ ﭘﺎﺳﺦ ﺗﺄﺋﻴﺪ( ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻌﺎﻣﻠﻪ ﻭ ﻫﻤﭽﻨﻴﻦ ﻛﻠﻴﺪ ﺍﻣﻀﺎﺀ ﻓﺮﻭﺷﻨﺪﻩ ﻭ ﮔﻮﺍﻫﻲﻫﺎﻱ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٨٦‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻭﻗﺘﻲ ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ‪ ،‬ﭘﻴﺎﻡ ﺩﺭﺧﻮﺍﺳﺖ ﺑﺮﺩﺍﺷﺖ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ‪ ،‬ﺁﻥ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﻭ ﺑﻠﻮﻙ ﺩﺭﺧﻮﺍﺳﺖ ﺑﺮﺩﺍﺷﺖ‬
‫ﺭﺍ ﺗﺄﺋﻴﺪ ﻧﻤﻮﺩﻩ ﻭ ﺑﻠﻮﻙ ﻗﺒﺾ ﺑﺮﺩﺍﺷﺖ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻭ ﺗﺄﺋﻴﺪ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺁﻧﮕﺎﻩ ﺗﻄﺎﺑﻖ ﺑﻴﻦ ﺩﺭﺧﻮﺍﺳﺖ ﺑﺮﺩﺍﺷﺖ ﺑﺎ ﻗﺒﺾ ﺑﺮﺩﺍﺷﺖ ﺭﺍ‬
‫ﻭﺍﺭﺳﻲ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺳﭙﺲ ﻳﻚ ﺩﺭﺧﻮﺍﺳﺖ ﻛِﻠﺮ )ﺍﺻﻄﻼﺡ ﺑﺎﻧﻜﻲ ﻣﻌﻤﻮﻝ( ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﻛﻪ ﺍﺯ ﻃﺮﻳﻖ ﺷﺒﻜﺔ ﺧﺼﻮﺻﻲ ﭘﺮﺩﺍﺧﺖ‪ ،‬ﺑﺮﺍﻱ‬
‫ﺻﺎﺩﺭﻛﻨﻨﺪﺓ ﻛﺎﺭﺕ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺗﻘﺎﺿﺎ ﺑﺎﻋﺚ ﻣﻲﺷﻮﺩ ﻛﻪ ﭘﻮﻝ ﺑﻪ ﺣﺴﺎﺏ ﻓﺮﻭﺷﻨﺪﻩ ﻭﺍﺭﻳﺰ ﺷﻮﺩ‪.‬‬
‫ﺩﺭﻭﺍﺯﻩ ﭘﺮﺩﺍﺧﺖ ﺁﻧﮕﺎﻩ ﻓﺮﻭﺷﻨﺪﻩ ﺭﺍ ﺍﺯ ﭘﺮﺩﺍﺧﺖ ﭘﻮﻝ ﺑﺘﻮﺳﻂ ﻳﻚ ﭘﻴﺎﻡ ﭘﺎﺳﺦ ﺑﺮﺩﺍﺷﺖ)‪ (Capture Response‬ﺁﮔﺎﻩ‬
‫ﻣﻲﺳﺎﺯﺩ‪ .‬ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﻳﻚ ﺑﻠﻮﻙ ﭘﺎﺳﺦ ﺑﻮﺩﻩ ﻛﻪ ﺩﺭﻭﺍﺯﻩ ﺁﻥ ﺭﺍ ﺍﻣﻀﺎﺀ ﻧﻤﻮﺩﻩ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﻛﻨﺪ‪ .‬ﭘﻴﺎﻡ ﻫﻤﭽﻨﻴﻦ ﺷﺎﻣﻞ ﮔﻮﺍﻫﻲﻧﺎﻣﺔ‬
‫ﻛﻠﻴﺪ ﺍﻣﻀﺎﺀ ﺩﺭﻭﺍﺯﻩ ﻣﻲﺑﺎﺷﺪ‪ .‬ﻧﺮﻡﺍﻓﺰﺍﺭ ﻓﺮﻭﺷﻨﺪﻩ‪ ،‬ﭘﺎﺳﺦ ﺑﺮﺩﺍﺷﺖ ﺭﺍ ﺫﺧﻴﺮﻩ ﻛﺮﺩﻩ ﺗﺎ ﺩﺭ ﺭﻓﻊ ﺍﺧﺘﻼﻑ ﺑﺎ ﻣﺒﺎﺷﺮ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ‬
‫ﮔﻴﺮﺩ‪.‬‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۷-۴‬‬
‫]‪ [RESC01‬ﻣﺮﻭﺭ ﻛﺎﻣﻠﻲ ﺑﺮ ‪ SSL‬ﻭ ‪ TLS‬ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪.‬‬

‫ﺑﻬﺘﺮﻳﻦ ﻣﺄﺧﺬ ﻣﻄﺎﻟﻌﺔ ﺟﺰﺋﻴﺎﺕ ‪ SET‬ﻛﺘﺎﺏ ﺍﻭﻝ ﻣﺸﺨﺼﻪﻫﺎ ﺍﺳﺖ ﻛﻪ ﺩﺭ ‪ MasterCard SET Web site‬ﺩﺭ ﺩﺳﺘﺮﺱ ﺍﺳﺖ‪.‬‬
‫]‪ [MACG97‬ﻧﻴﺰ ﻣﻄﻠﺐ ﺭﺍ ﺑﺼﻮﺭﺕ ﻋﺎﻟﻲ ﺑﺮﺭﺳﻲ ﻛﺮﺩﻩ ﺍﺳﺖ‪ [DREW99] .‬ﻧﻴﺰ ﻳﻚ ﻣﻨﺒﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ ﺧﻮﺏ ﺍﺳﺖ‪.‬‬
‫‪DREW99 Drew, G. Using SET for Secure Electronic Commerce. Upper Saddle River, NJ:‬‬
‫‪Prentice Hall, 1999.‬‬
‫‪MACG97 Macgregor, R.; Ezvan, C.; Liguori, L.; and Han, J. Secure Electronic Transactions:‬‬
‫‪Credit Card Payment on the Web inTheory and Practice. IBM RedBook SG244978-00, 1997.‬‬
‫‪Available at www.redbooks.ibm.com.‬‬
‫‪RESC01‬‬ ‫‪Rescorla, E. SSL and TLS: Designing and Building Secure Systems. Reading, MA:‬‬
‫‪Addison-Wesely, 2001.‬‬
‫‪ :Netscape's SSL Page‬ﺷﺎﻣﻞ ﻣﺸﺨﺼﻪﻫﺎﻱ ‪ SSL‬ﺍﺳﺖ‪.‬‬ ‫•‬

‫‪ :Transport Layer Security Charter‬ﺁﺧﺮﻳﻦ ‪ RFC‬ﻫﺎ ﻭ ﭘﻴﺶ ﻧﻮﻳﺲﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺩﺭ ﻣﻮﺭﺩ ‪.TLS‬‬ ‫•‬
‫‪ :OpenSSL Project‬ﭘﺮﻭﮊﺓ ﺗﻮﻟﻴﺪ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ‪ SSL‬ﻭ ‪ .TLS‬ﺳﺎﻳﺖ ﺷﺎﻣﻞ ﺍﺳﻨﺎﺩ ﻭ ﻟﻴﻨﻚﻫﺎﺋﻲ ﺩﺭ ﺍﻳﻦ ﻣﻘﻮﻟﻪ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺍﻣﻨﻴﺖ ‪ WEB‬ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ ‪٢٨٧‬‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۷-۵‬‬
‫‪acquirer‬‬ ‫ﻣﺒﺎﺷﺮ‬ ‫‪payment gateway‬‬ ‫ﺩﺭﻭﺍﺯﺓ ﭘﺮﺩﺍﺧﺖ‬

‫‪cardholder‬‬ ‫)‪ Secure Electronic Transaction (SET‬ﺩﺍﺭﻧﺪﺓ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ‬
‫ﻣﻌﺎﻣﻠﺔ ﺍﻟﻜﺘﺮﻭﻧﻴﻜﻲ ﺍﻣﻦ‬
‫)‪certification authority (CA‬‬ ‫ﻣﻘﺎﻡ ﻣﺴﺌﻮﻝ ﺻﺪﻭﺭﮔﻮﺍﻫﻲﻧﺎﻣﻪ‬
‫)‪Secure Socket Layer (SSL‬‬ ‫ﻻﻳﺔ ﺳﻮﻛﺖ ﺍﻣﻦ‬
‫‪dual signature‬‬ ‫ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ‬
‫ﺍﻣﻨﻴﺖ ﻻﻳﺔ ﺣﻤﻞ ﻭ ﻧﻘﻞ )‪Transport Layer Security (TLS‬‬
‫‪issuer‬‬ ‫ﺻﺎﺩﺭﻛﻨﻨﺪﻩ ﻛﺎﺭﺕ ﺍﻋﺘﺒﺎﺭﻱ‬
‫‪merchant‬‬ ‫ﺗﺎﺟﺮ ﻳﺎ ﻓﺮﻭﺷﻨﺪﺓ ﻛﺎﻻ‬

‫ﻣﺰﺍﻳﺎﻱ ﻫﺮﻳﻚ ﺍﺯ ﺳﻪ ﺭﻭﺵ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺩﺭ ﺷﻜﻞ ‪ ۷-۱‬ﻛﺪﺍﻣﻨﺪ؟‬ ‫‪۷-۱‬‬
‫ﻛﺪﺍﻡ ﭘﺮﻭﺗﻜﻞﻫﺎ‪ SSL ،‬ﺭﺍ ﻣﻲﺳﺎﺯﻧﺪ؟‬ ‫‪۷-۲‬‬
‫ﺍﺧﺘﻼﻑ ﺑﻴﻦ ﻳﻚ ﺍﺗﺼﺎﻝ ‪ SSL‬ﺑﺎ ﻳﻚ ﺍﺟﻼﺱ ‪ SSL‬ﭼﻴﺴﺖ؟‬ ‫‪۷-۳‬‬
‫ﭘﺎﺭﺍﻣﺘﺮﻫﺎﺋﻲ ﻛﻪ ﺣﺎﻟﺖ ﺍﺟﻼﺱ ‪ SSL‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﻨﺪ ﻟﻴﺴﺖ ﻛﺮﺩﻩ ﻭ ﻣﺨﺘﺼﺮﺍﹰ ﺗﻮﺿﻴﺢ ﺩﻫﻴﺪ‪.‬‬ ‫‪۷-۴‬‬
‫ﭘﺎﺭﺍﻣﺘﺮﻫﺎﺋﻲ ﻛﻪ ﺣﺎﻟﺖ ﺍﺗﺼﺎﻝ ‪ SSL‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﻨﺪ ﻟﻴﺴﺖ ﻛﺮﺩﻩ ﻭ ﻣﺨﺘﺼﺮﺍﹰ ﺗﻮﺿﻴﺢ ﺩﻫﻴﺪ‪.‬‬ ‫‪۷-۵‬‬
‫ﭘﺮﻭﺗﻜﻞ ‪ SSL Record‬ﭼﻪ ﺳﺮﻭﻳﺲﻫﺎﺋﻲ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ؟‬ ‫‪۷-۶‬‬
‫ﺍﻧﺘﻘﺎﻝ ﭘﺮﻭﺗﻜﻞ ‪ SSL Record‬ﺷﺎﻣﻞ ﭼﻪ ﻗﺪﻡﻫﺎﺋﻲ ﺍﺳﺖ؟‬ ‫‪۷-۷‬‬
‫ﮔﺮﻭﻩﻫﺎﻱ ﺍﺻﻠﻲ ﺷﺮﻛﺖﻛﻨﻨﺪﻩ ﺩﺭ ‪ SET‬ﺭﺍ ﻟﻴﺴﺖ ﻧﻤﻮﺩﻩ ﻭ ﻣﺨﺘﺼﺮﺍﹰ ﺗﻌﺮﻳﻒ ﻛﻨﻴﺪ‪.‬‬ ‫‪۷-۸‬‬
‫ﺍﻣﻀﺎﺀ ﺩﻭﮔﺎﻧﻪ ﭼﻴﺴﺖ ﻭ ﺍﻫﺪﺍﻑ ﺁﻥ ﻛﺪﺍﻡ ﺍﺳﺖ؟‬ ‫‪۷-۹‬‬
‫ﺩﺭ ‪ SSL‬ﻭ ‪ TLS‬ﭼﺮﺍ ﺑﺠﺎﻱ ﺍﻳﻨﻜﻪ ﺗﻨﻬﺎ ﻳﻚ ﭘﻴﺎﻡ ‪ change_cipher_spec‬ﺩﺭ ﭘﺮﻭﺗﻜﻞ ‪ Handshake‬ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪،‬‬ ‫‪۷-۱‬‬
‫ﻳﻚ ﭘﺮﻭﺗﻜﻞ ‪ Change Cipher Spec‬ﺟﺪﺍﮔﺎﻧﻪ ﻓﺮﺍﻫﻢ ﺷﺪﻩ ﺍﺳﺖ؟‬
‫ﺗﻬﺪﻳﺪﻫﺎﻱ ﺯﻳﺮ ﺩﺭ ﻣﻮﺭﺩ ﺍﻣﻨﻴﺖ ‪ web‬ﺭﺍ ﺩﺭ ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﻭ ﺗﻮﺻﻴﻒ ﻛﻨﻴﺪ ﻛﻪ ﭼﮕﻮﻧﻪ ﺑﺎ ﻫﺮ ﻳﻚ ﺍﺯ ﺁﻧﻬﺎ ﺑﺘﻮﺳﻂ ﻳﻜﻲ ﺍﺯ‬ ‫‪۷-۲‬‬
‫ﻣﺸﺨﺼﻪﻫﺎﻱ ‪ SSL‬ﻣﻘﺎﺑﻠﻪ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﻫﻔﺘﻢ‬ ‫‪ ٢٨٨‬ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺍﻟﻒ‪ -‬ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﺔ ﺷﻜﺴﺘﻦ ﺭﻣﺰ‪ :‬ﻳﻚ ﺟﺴﺘﺠﻮﻱ ﻛﺎﻣﻞ ﻓﻀﺎﻱ ﻛﻠﻴﺪ ﺑﺮﺍﻱ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬
‫ﺏ‪ -‬ﺣﻤﻠﺔ ﻟﻐﺖ ﻧﺎﻣﻪﺍﻱ ﺑﺎ ﺩﺍﻧﺴﺘﻦ ﻣﺘﻦ ﺳﺎﺩﻩ‪ :‬ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﭘﻴﺎﻡﻫﺎ ﺷﺎﻣﻞ ﻣﺘﻮﻥ ﺳﺎﺩﺓ ﻗﺎﺑﻞ ﭘﻴﺶﺑﻴﻨﻲ ﻫﺴﺘﻨﺪ )ﻫﻤﺎﻧﻨﺪ ﻓﺮﻣﺎﻥ‬
‫‪ .(HTTP GET‬ﻳﻚ ﻣﻬﺎﺟﻢ ﻳﻚ ﻟﻐﺖﻧﺎﻣﻪ ﻛﻪ ﺷﺎﻣﻞ ﻣﺘﻮﻥ ﺭﻣﺰﺷﺪﺓ ﻫﻤﻪ ﻣﺘﻦﻫﺎﻱ ﺳﺎﺩﺓ ﻣﻤﻜﻦ ﺍﺳﺖ ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪ .‬ﻭﻗﺘﻲ‬
‫ﻛﻪ ﻳﻚ ﭘﻴﺎﻡ ﺭﻣﺰﺷﺪﻩ ﻣﻮﺭﺩ ﺷﻨﻮﺩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ ،‬ﻣﻬﺎﺟﻢ ﺑﺨﺸﻲ ﺭﺍ ﻛﻪ ﺷﺎﻣﻞ ﻣﺘﻦ ﺳﺎﺩﺓ ﻣﻌﻠﻮﻡ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺳﺖ ﮔﺮﻓﺘﻪ ﻭ‬
‫ﺩﺭ ﻟﻐﺖ ﻧﺎﻣﻪ ﺑﻪ ﺩﻧﺒﺎﻝ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﻣﻲﮔﺮﺩﺩ‪ .‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﻳﻜﻲ ﺍﺯ ﺍﻗﻼﻡ ﻣﻮﺟﻮﺩ ﺩﺭ ﻟﻐﺖﻧﺎﻣﻪ ﻛﻪ ﺑﺎ ﻫﻤﺎﻥ ﻛﻠﻴﺪ‬
‫ﺳّﺮﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﺍﺳﺖ ﺗﻄﺒﻴﻖ ﻛﻨﺪ‪ .‬ﺍﮔﺮ ﺗﻄﺒﻴﻖ ﺩﺭ ﭼﻨﺪ ﻣﻮﺭﺩ ﺻﻮﺭﺕ ﭘﺬﻳﺮﺩ‪ ،‬ﻫﺮ ﻣﻮﺭﺩ ﺑﺎ ﻛﻞ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﻣﻘﺎﻳﺴﻪ ﺷﺪﻩ‬
‫ﺗﺎ ﻧﺘﻴﺠﺔ ﺻﺤﻴﺢ ﺑﻪ ﺩﺳﺖ ﺁﻳﺪ‪ .‬ﺍﻳﻦ ﺣﻤﻠﻪ ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﺩﺭ ﻣﻮﺭﺩ ﺍﻧﺪﺍﺯﺓ ﻛﻮﭼﻚ ﻛﻠﻴﺪﻫﺎ )ﻣﺜﻼﹰ ﻛﻠﻴﺪ ‪ -۴۰‬ﺑﻴﺘﻲ( ﻣﺆﺛﺮ ﺍﺳﺖ‪.‬‬
‫ﺝ‪ -‬ﺣﻤﻠﺔ ﺑﺎﺯﺧﻮﺍﻧﻲ‪ :‬ﭘﻴﺎﻡﻫﺎﻱ ‪ handshake‬ﻗﺪﻳﻤﻲ ﺩﻭﺑﺎﺭﻩ ﺍﺟﺮﺍ ﺷﻮﻧﺪ‪.‬‬
‫ﺩ ‪ -‬ﺣﻤﻠﺔ ‪ :Man-in-the-Middle‬ﻳﻚ ﻣﻬﺎﺟﻢ ﺩﺭ ﻫﻨﮕﺎﻡ ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‪ ،‬ﺧﻮﺩ ﺭﺍ ﺩﺭ ﻣﺴﻴﺮ ﺍﺭﺗﺒﺎﻃﺎﺕ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﻭ ﺑﺮﺍﻱ ﺳِﺮﻭﺭ‬
‫ﺑﺼﻮﺭﺕ ﻛﻼﻳﻨﺖ ﻭ ﺑﺮﺍﻱ ﻛﻼﻳﻨﺖ ﺑﺼﻮﺭﺕ ﺳِﺮﻭﺭ ﻇﺎﻫﺮ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻫـ‪ :password sniffing -‬ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺩﺭ ‪ HTTP‬ﻭ ﻳﺎ ﺳﺎﻳﺮ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻣﻮﺭﺩ ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫ﻭ‪ :IP Spoofing -‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺁﺩﺭﺱﻫﺎﻱ ‪ IP‬ﺗﻘﻠﻴﺪﻱ ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﺭﺍ ﮔﻮﻝ ﺯﺩﻩ ﺗﺎ ﺩﻳﺘﺎﻱ ﻋﻮﺿﻲ ﺭﺍ ﺑﭙﺬﻳﺮﺩ‪.‬‬
‫ﺯ‪ :IP Hijacking -‬ﻳﻚ ﺍﺗﺼﺎﻝ ﻓﻌﺎﻝ ﻣﻌﺘﺒﺮ ﺑﻴﻦ ﺩﻭ ﻣﻴﺰﺑﺎﻥ‪ ،‬ﮔﺴﺴﺘﻪ ﺷﺪﻩ ﻭ ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﺟﺎﻱ ﻳﻜﻲ ﺍﺯ ﻃﺮﻓﻴﻦ ﺭﺍ ﺍﺷﻐﺎﻝ‬
‫ﺡ‪ :SYN Flooding -‬ﻳﻚ ﻣﻬﺎﺟﻢ ﭘﻴﺎﻡﻫﺎﻱ ‪ TCP SYN‬ﺭﺍ ﺍﺭﺳﺎﻝ ﻛﺮﺩﻩ ﺗﺎ ﻳﻚ ﺍﺗﺼﺎﻝ ﺭﺍ ﺩﺭﺧﻮﺍﺳﺖ ﻧﻤﺎﻳﺪ ﻭﻟﻲ ﺑﻪ ﭘﻴﺎﻡ‬
‫ﺍﻧﺘﻬﺎﺋﻲ ﺟﻮﺍﺏ ﻧﻤﻲﺩﻫﺪ ﺗﺎ ﺍﺗﺼﺎﻝ ﺑﻄﻮﺭ ﻛﺎﻣﻞ ﺑﺮﻗﺮﺍﺭ ﺷﻮﺩ‪ .‬ﻣﺪﻭﻝ ‪ TCP‬ﻣﻮﺭﺩ ﺗﻬﺎﺟﻢ ﻣﻌﻤﻮﻻﹰ ﺣﺪﻭﺩ ﭼﻨﺪ ﺩﻗﻴﻘﻪ »ﺍﺗﺼﺎﻝ‬
‫ﻧﻴﻤﻪ ﺑﺎﺯ« ﺭﺍ ﻧﮕﺎﻩ ﻣﻲﺩﺍﺭﺩ‪ .‬ﭘﻴﺎﻡﻫﺎﻱ ﺗﻜﺮﺍﺭﻱ ‪ SYN‬ﻣﻲﺗﻮﺍﻧﺪ ﻣﺪﻭﻝ ‪ TCP‬ﺭﺍ ﻣﺴﺪﻭﺩ ﻛﻨﺪ‪.‬‬
‫ﺑﺮ ﺍﺳﺎﺱ ﺁﻧﭽﻪ ﺩﺭ ﺍﻳﻦ ﻓﺼﻞ ﺁﻣﻮﺧﺘﻪﺍﻳﺪ‪ ،‬ﺁﻳﺎ ﺩﺭ ‪ SSL‬ﻣﻤﻜﻦ ﺍﺳﺖ ﻛﻪ ﮔﻴﺮﻧﺪﻩ‪ ،‬ﺑﻠﻮﻙﻫﺎﻱ ‪ SSL record‬ﺭﺍ ﻛﻪ ﺧﺎﺭﺝ ﺍﺯ ﻧﻈﻢ‬ ‫‪۷-۳‬‬
‫ﻭﺍﺭﺩ ﻣﻲﺷﻮﻧﺪ ﺑﻪ ﻧﻈﻢ ﺩﺭﺁﻭﺭﺩ‪ .‬ﺍﮔﺮ ﭼﻨﻴﻦ ﺍﺳﺖ ﺗﻮﺿﻴﺢ ﺩﻫﻴﺪ ﻛﻪ ﭼﮕﻮﻧﻪ ﭼﻨﻴﻦ ﭼﻴﺰﻱ ﻣﻤﻜﻦ ﺍﺳﺖ؟ ﺍﮔﺮ ﻧﻪ ﭼﺮﺍ ﻧﻪ؟‬
‫ﻓﺼـﻞ ‪۸‬‬
‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﻣﻔﺎﻫﻴﻢ ﺍﺳﺎﺳﻲ ‪SNMP‬‬ ‫‪۸-۱‬‬
‫ﻣﻌﻤﺎﺭﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﻣﻌﻤﺎﺭﻱ ﭘﺮﻭﺗﻜﻞ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﭘﺮﻭﻛﺴﻲﻫﺎ‬
‫‪SNMPv2‬‬
‫ﺗﺴﻬﻴﻼﺕ ﺟﺎﻣﻌﻪﺍﻱ ‪SNMPv1‬‬ ‫‪۸-۲‬‬

‫ﺟﻮﺍﻣﻊ ﻭ ﻧﺎﻡﻫﺎﻱ ﺟﻮﺍﻣﻊ‬
‫ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﺧﻂﻣﺸﻲ ﺩﺳﺖﻳﺎﺑﻲ‬
‫ﺳﺮﻭﻳﺲ ﭘﺮﻭﻛﺴﻲ‬
‫‪SNMPv3‬‬ ‫‪۸-۳‬‬
‫ﻣﻌﻤﺎﺭﻱ ‪SNMP‬‬
‫ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﻭ ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﻛﺎﺭﺑﺮ‬
‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻨﻈﺮ‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۸-۴‬‬

‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۸-۵‬‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٩٠‬‬
‫ﺑﻜﻪﻫﺎ ﻭ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺗﻮﺯﻳﻊ ﺷﺪﻩ ﺍﺯ ﺍﻫﻤﻴﺖ ﺣﻴﺎﺗﻲ ﻭ ﻓﺰﺍﻳﻨﺪﻩﺍﻱ ﺩﺭ ﻛﺴﺐ ﻭ ﻛﺎﺭ‪ ،‬ﺩﻭﻟﺖ ﻭ ﺳﺎﻳﺮ‬
‫ﺵ‬
‫ﺳﺎﺯﻣﺎﻥﻫﺎ ﺑﺮﺧﻮﺭﺩﺍﺭﻧﺪ‪ .‬ﺩﺭ ﺩﺍﺧﻞ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﺑﺨﺼﻮﺹ‪ ،‬ﺭَﻭَﻧﺪ ﻛﺎﺭ ﺑﻪ ﺳﻤﺖ ﺷﺒﻜﻪﻫﺎﻱ ﭘﻴﭽﻴﺪﻩﺗﺮ ﻛﻪ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻭ ﻛﺎﺭﺑﺮﺍﻥ ﺑﻴﺸﺘﺮﻱ‬
‫ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﻛﻨﻨﺪ ﺩﺭ ﺣﺮﻛﺖ ﺍﺳﺖ‪ .‬ﻫﻤﻴﻦﻃﻮﺭ ﻛﻪ ﺍﻳﻦ ﺷﺒﻜﻪﻫﺎ ﺭﺷﺪ ﺑﻴﺸﺘﺮﻱ ﻣﻲﻳﺎﺑﻨﺪ‪ ،‬ﺩﻭ ﻭﺍﻗﻌﻴﺖ ﻣﻠﻤﻮﺱﺗﺮ ﻣﻴﺸﻮﺩ‪:‬‬
‫ﺷﺒﻜﻪ ﻭ ﻣﻨﺎﺑﻊ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﻭ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺗﻮﺯﻳﻊ ﺷﺪﻩ ﺍﺯ ﺿﺮﻭﺭﻳﺎﺕ ﻻﻳﻨﻔﻚ ﺳﺎﺯﻣﺎﻥ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫•‬
‫ﺭﻭﻳﺪﺍﺩﻫﺎﻱ ﺑﻴﺸﺘﺮﻱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺎﻋﺚ ﺧﻄﺎ ﺷﺪﻩ ﻭ ﺷﺒﻜﻪ ﻳﺎ ﺑﺨﺸﻲ ﺍﺯ ﺷﺒﻜﻪ ﺭﺍ ﺍﺯ ﻛﺎﺭ ﺍﻧﺪﺍﺧﺘﻪ ﻭ ﻳﺎ ﻋﻤﻠﻜﺮﺩ ﺁﻥ ﺭﺍ ﺑﻪ‬ ‫•‬
‫ﺳﻄﺢ ﻏﻴﺮﻗﺎﺑﻞ ﻗﺒﻮﻟﻲ ﺗﻨﺰﻝ ﺩﻫﺪ‪.‬‬
‫ﻳﻚ ﺷﺒﻜﺔ ﺑﺰﺭﮒ ﻧﻤﻲﺗﻮﺍﻧﺪ ﺗﻨﻬﺎ ﺑﺘﻮﺳﻂ ﺗﻼﺵﻫﺎﻱ ﺍﻧﺴﺎﻧﻲ‪ ،‬ﺟﻤﻊ ﻭ ﺟﻮﺭ ﻭ ﻣﺪﻳﺮﻳﺖ ﺷﻮﺩ‪ .‬ﭘﻴﭽﻴﺪﮔﻲ ﭼﻨﻴﻦ ﺳﻴﺴﺘﻤﻲ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﺍﺯ ﺍﺑﺰﺍﺭﻫﺎﻱ ﺧﻮﺩﻛﺎﺭ ﻣﺪﻳﺮﻳﺘﻲ ﺭﺍ ﺍﻳﺠﺎﺏ ﻣﻲﻛﻨﺪ‪ .‬ﺍﮔﺮ ﺷﺒﻜﻪ ﺷﺎﻣﻞ ﺗﺠﻬﻴﺰﺍﺗﻲ ﺍﺯ ﺳﺎﺯﻧﺪﮔﺎﻥ ﻣﺨﺘﻠﻒ ﺑﺎﺷﺪ‪ ،‬ﻧﻴﺎﺯ ﺑﻪ ﭼﻨﻴﻦ ﺍﺑﺰﺍﺭﻫﺎﺋﻲ‬
‫ﺍﻓﺰﺍﻳﺶ ﻳﺎﻓﺘﻪ ﻭ ﺗﻬﻴﺔ ﺍﻳﻦ ﺍﺑﺰﺍﺭﻫﺎ ﻧﻴﺰ ﻣﺸﻜﻞ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﭘﺎﺳﺦ ﺑﻪ ﺍﻳﻦ ﻧﻴﺎﺯﻫﺎ‪ ،‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﺋﻲ ﻛﻪ ﻣﺮﺗﺒﻂ ﺑﺎ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﻫﺴﺘﻨﺪ‬
‫ﺗﻬﻴﻪ ﺷﺪﻩ ﻛﻪ ﺳﺮﻭﻳﺲﻫﺎ‪ ،‬ﭘﺮﻭﺗﻜﻞﻫﺎ ﻭ ﭘﺎﻳﮕﺎﻩﻫﺎﻱ ﺍﻃﻼﻋﺎﺕ ﻣﺪﻳﺮﻳﺘﻲ ﺭﺍ ﭘﻮﺷﺶ ﻣﻲﺩﻫﻨﺪ‪ .‬ﺗﺎ ﺯﻣﺎﻥ ﺣﺎﺿﺮ ﭘﺮﺍﺳﺘﻔﺎﺩﻩﺗﺮﻳﻦ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻱ‬
‫ﺍﺯ ﺍﻳﻦ ﻧﻮﻉ‪ ،‬ﭘﺮﻭﺗﻜﻞ ﺳﺎﺩﺓ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ‪ (Simple Network Management Protocol) SNMP‬ﺑﻮﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﺍﺯ ﺯﻣﺎﻥ ﺍﻧﺘﺸﺎﺭ ﺁﻥ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۸۸‬ﻣﻴﻼﺩﻱ‪ SNMP ،‬ﺩﺭ ﺗﻌﺪﺍﺩ ﺭﻭﺯﺍﻓﺰﻭﻧﻲ ﺍﺯ ﺷﺒﻜﻪﻫﺎ ﻭ ﻣﺤﻴﻂﻫﺎﻱ ﭘﻴﭽﻴﺪﻩ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻭﺍﻗﻊ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻫﻤﻴﻦﻃﻮﺭ ﻛﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ SNMP‬ﮔﺴﺘﺮﺵ ﻳﺎﻓﺖ‪ ،‬ﻧﻴﺎﺯ ﺑﻪ ﻛﺎﺭﺁﺋﻲﻫﺎﻱ ﺟﺪﻳﺪ ﺑﺮﺍﻱ ﭘﻮﺷﺶ ﻧﻴﺎﺯﻫﺎﻱ ﺟﺪﻳﺪ ﻧﻴﺰ‬
‫ﻫﻮﻳﺪﺍ ﮔﺸﺖ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺍﻫﻤﻴﺖ ﺍﻳﺠﺎﺩ ﻳﻚ ﻗﺎﺑﻠﻴﺖ ﺍﻣﻨﻴﺘﻲ ﺑﻌﻨﻮﺍﻥ ﺑﺨﺸﻲ ﺍﺯ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺁﺷﻜﺎﺭﺗﺮ ﮔﺮﺩﻳﺪ‪ .‬ﺩﺭ ﺟﻬﺖ ﺍﻳﺠﺎﺩ ﻛﺎﺭﺁﺋﻲ‬
‫ﺑﻴﺸﺘﺮ‪ ،‬ﻧﺴﺨﺔ ﺩﻭﻡ ‪ SNMP‬ﺗﻌﺮﻳﻒ ﺷﺪ‪ .‬ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻓﺮﺍﮔﻴﺮﺗﺮ ﺩﺭ ‪ SNMPv3‬ﻓﺮﺍﻫﻢ ﺁﻣﺪ‪.‬‬
‫ﺍﻳﻦ ﻓﺼﻞ ﺗﺴﻬﻴﻼﺕ ﺍﻣﻨﻴﺘﻲ ﻣﻘﺪﻣﺎﺗﻲ ﺩﺭ ‪ SNMPv1‬ﺭﺍ ﺗﻮﺻﻴﻒ ﻛﺮﺩﻩ ﻭ ﺳﭙﺲ ﺑﻪ ﺧﺼﻮﺻﻴﺎﺕ ﺍﻣﻨﻴﺘﻲ ﺑﺴﻴﺎﺭ ﮔﺴﺘﺮﺩﻩﺗﺮﻱ‬
‫ﻛﻪ ﺩﺭ ‪ SNMPv3‬ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻣﻲﭘﺮﺩﺍﺯﺩ‪.‬‬
‫ﻣﻔﺎﻫﻴﻢ ﺍﺳﺎﺳﻲ ‪SNMP‬‬ ‫‪۸-۱‬‬
‫ﺍﻳﻦ ﺑﺨﺶ ﻣﺮﻭﺭﻱ ﺑﺮ ﭼﻬﺎﺭﭼﻮﺏ ﺍﺻﻠﻲ ‪ SNMP‬ﺩﺍﺭﺩ‪.‬‬
‫ﻣﻌﻤﺎﺭﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬

‫ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‪ ،‬ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺍﺑﺰﺍﺭﻫﺎ ﺑﺮﺍﻱ ﭘﺎﺋﻴﺪﻥ ﻭ ﻛﻨﺘﺮﻝ ﺷﺒﻜﻪ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﺟﻨﺒﻪﻫﺎﻱ ﺯﻳﺮ ﻳﻜﭙﺎﺭﭼﻪﺍﻧﺪ‪:‬‬
‫ﻳﻚ ﻭﺍﺳﻂ ﺍﭘﺮﺍﺗﻮﺭﻱ ﻣﻨﻔﺮﺩ‪ ،‬ﺑﺎ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻓﺮﺍﻣﻴﻦ ﻗﻮﻱ ﻭﻟﻲ ﺁﺷﻨﺎ ﺑﺎ ﻛﺎﺭﺑﺮ‪ ،‬ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﺍﻛﺜﺮ ﻭﻇﺎﻳﻒ ﻣﺪﻳﺮﻳﺘﻲ ﺷﺒﻜﻪ‪.‬‬ ‫•‬
‫ﻣﻴﺰﺍﻥ ﺣﺪﺍﻗﻠﻲ ﺍﺯ ﺗﺠﻬﻴﺰﺍﺕ ﻣﺠﺰﺍ‪ .‬ﻳﻌﻨﻲ ﺑﻴﺸﺘﺮ ﺳﺨﺖﺍﻓﺰﺍﺭﻫﺎ ﻭ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﻻﺯﻡ ﺑﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺩﺭ ﺩﺍﺧﻞ‬ ‫•‬
‫ﺗﺠﻬﻴﺰﺍﺕ ﻣﻮﺟﻮﺩ ﻛﺎﺭﺑﺮ ﺟﺎﻱ ﺩﺍﺩﻩ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫‪٢٩١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‪ ،‬ﺷﺎﻣﻞ ﺑﺮﺧﻲ ﺳﺨﺖﺍﻓﺰﺍﺭﻫﺎ ﻭ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺍﺿﺎﻓﻲ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﻣﺆﻟﻔﻪﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺷﺒﻜﻪ ﺍﺿﺎﻓﻪ‬
‫ﺷﺪﻩﺍﻧﺪ‪ .‬ﻧﺮﻡﺍﻓﺰﺍﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﻭﻇﺎﻳﻒ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‪ ،‬ﺩﺭ ﺩﻝ ﻛﺎﻣﭙﻴﻮﺗــﺮﻫﺎﻱ ﻣﻴﺰﺑــﺎﻥ ﻭ ﻋﻮﺍﻣــﻞ ﺍﺭﺗﺒﺎﻃﻲ )ﻣﺜﻞ‬
‫ﭘﺮﺩﺍﺯﺷﮕﺮﻫﺎﻱ ﺧﻂ ﺍﻭﻝ‪ ،‬ﻛﻨﺘﺮﻝﻛﻨﻨﺪﺓ ﺗﺮﻣﻴﻨﺎﻝﻫﺎ( ﺟﺎﻱ ﺩﺍﺭﺩ‪ .‬ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﻃﻮﺭﻱ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺗﻤﺎﻡ ﺷﺒﻜﻪ‬
‫ﺭﺍ ﺑﺼﻮﺭﺕ ﻳﻜﭙﺎﺭﭼﻪ ﻧﮕﺮﻳﺴﺘﻪ‪ ،‬ﻫﺮ ﻧﻘﻄﺔ ﺍﺯ ﺁﻥ ﺭﺍ ﺑﺎ ﺁﺩﺭﺱﻫﺎ ﻭ ﺑﺮﭼﺴﺐﻫﺎﻳﺶ ﺷﻨﺎﺧﺘﻪ ﻭ ﺻﻔﺎﺕ ﺁﻥ ﻧﻘﻄﻪ ﻭ ﺍﺭﺗﺒﺎﻃﺶ ﺑﺎ ﻛﻞ ﺷﺒﻜﻪ‬
‫ﺭﺍ ﺩﺭﻙ ﻛﻨﺪ‪ .‬ﻋﻨﺎﺻﺮ ﻓﻌﺎﻝ ﺷﺒﻜﻪ‪ ،‬ﻳﻚ ﺑﺎﺯﺧﻮﺭﺩ ﻣﻨﻈﻢ ﺍﺯ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﻭﺿﻌﻴﺖ ﺷﺒﻜﻪ ﺭﺍ ﺑﺮﺍﻱ ﻣﺮﻛﺰ ﻛﻨﺘﺮﻝ ﺷﺒﻜﻪ ﻓﺮﺍﻫﻢ‬
‫ﻣﻲﺁﻭﺭﻧﺪ‪.‬‬
‫ﻣﺪﻝ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﻛﻪ ﺩﺭ ‪ SNMP‬ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ ﺷﺎﻣﻞ ﻋﻨﺎﺻﺮ ﻛﻠﻴﺪﻱ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ‬ ‫•‬

‫ﻋﺎﻣﻞ ﻣﺪﻳﺮﻳﺖ‬ ‫•‬
‫ﭘﺎﻳﮕﺎﻩ ﺍﻃﻼﻋﺎﺕ ﻣﺪﻳﺮﻳﺖ‬ ‫•‬
‫ﭘﺮﻭﺗﻜﻞ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬ ‫•‬
‫ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ )‪ (management station‬ﻣﻌﻤﻮﻻﹰ ﻳﻚ ﺩﺳﺘﮕﺎﻩ ﻣﺘﻜﻲ ﺑﻪ ﺧﻮﺩ ﺍﺳﺖ‪ ،‬ﻭﻟﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﻗﺎﺑﻠﻴﺖ‬
‫ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺷﺪﻩ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﺍﺷﺘﺮﺍﻛﻲ ﺑﺎﺷﺪ‪ .‬ﺩﺭ ﻫﺮ ﺻﻮﺭﺕ‪ ،‬ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﻭﺍﺳﻂ ﺑﻴﻦ ﻣﺪﻳﺮﻳﺖ ﺍﻧﺴﺎﻧﻲ ﺷﺒﻜﻪ ﺑﺎ ﺳﻴﺴﺘﻢ‬
‫ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺍﺳﺖ‪ .‬ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺣﺪﺍﻗﻞ ﺩﺍﺭﺍﻱ ﻣﺆﻟﻔﻪﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﺍﺯ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﻣﺪﻳﺮﻳﺘﻲ ﺑﺮﺍﻱ ﺗﺤﻠﻴﻞ ﺩﺍﺩﻩﻫﺎ‪ ،‬ﺑﺎﺯﻳﺎﺑﻲ ﺍﺯ ﺧﻄﺎ ﻭ ﻏﻴﺮﻩ‬ ‫•‬
‫ﻳﻚ ﻭﺍﺳﻂ ﻛﻪ ﺑﺘﻮﺳﻂ ﺁﻥ ﻣﺪﻳﺮ ﺷﺒﻜﻪ ﺑﺘﻮﺍﻧﺪ ﺷﺒﻜﻪ ﺭﺍ ﻛﻨﺘﺮﻝ ﻛﺮﺩﻩ ﻭ ﺑﭙﺎﻳﺪ‬ ‫•‬
‫ﻗﺎﺑﻠﻴﺖ ﺗﺮﺟﻤﻪ ﻧﻴﺎﺯﻫﺎﻱ ﻣﺪﻳﺮ ﺷﺒﻜﻪ ﺑﻪ ﭘﺎﻳﺶ ﻭﺍﻗﻌﻲ ﻭ ﻛﻨﺘﺮﻝ ﻋﻨﺎﺻﺮ ﺩﻭﺭ ﺩﺭ ﺷﺒﻜﻪ‬ ‫•‬
‫ﻳﻚ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﺍﺯ ﺍﻃﻼﻋﺎﺕ ﺍﺳﺘﺨﺮﺍﺝ ﺷﺪﻩ ﺗﻤﺎﻡ ﻭﺍﺣﺪﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ ﺩﺭ ﺷﺒﻜﻪ‬ ‫•‬
‫ﺗﻨﻬﺎ ﺩﻭ ﻣﺆﻟﻔﺔ ﺁﺧﺮ‪ ،‬ﻣﻮﺿﻮﻉ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﺳﺎﺯﻱ ‪ SNMP‬ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﻨﺪ‪.‬‬

‫ﻋﻨﺼﺮ ﻓﻌﺎﻝ ﺩﻳﮕﺮ ﺩﺭ ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‪ ،‬ﻋﺎﻣﻞ ﻣﺪﻳﺮﻳﺖ )‪ (management agent‬ﺍﺳﺖ‪ .‬ﺗﺠﻬﻴﺰﺍﺕ ﻛﻠﻴﺪﻱ ﻣﺎﻧﻨﺪ‬
‫ﻣﻴﺰﺑﺎﻥﻫﺎ‪ ،‬ﭘﻞﻫﺎ‪ ،‬ﻣﺴﻴﺮﻳﺎﺏﻫﺎ ﻭ ﻫﺎﺏﻫﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺎ ‪ SNMP‬ﻃﻮﺭﻱ ﺗﺠﻬﻴﺰ ﺷﻮﻧﺪ ﻛﻪ ﺑﺘﻮﺍﻥ ﺍﺯ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺁﻧﻬﺎ ﺭﺍ‬
‫ﺍﺩﺍﺭﻩ ﻧﻤﻮﺩ‪ .‬ﻋﺎﻣﻞ ﻣﺪﻳﺮﻳﺖ ﺑﻪ ﺳﺆﺍﻻﺕ ﺍﻃﻼﻋﺎﺗﻲ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺟﻮﺍﺏ ﺩﺍﺩﻩ‪ ،‬ﺑﻪ ﺩﺭﺧﻮﺍﺳﺖﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ‬
‫ﻭﺍﻛﻨﺶ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻄﻮﺭ ﻏﻴﺮﻫﻤﺰﻣﺎﻥ ﺍﻃﻼﻋﺎﺕ ﺩﺭﺧﻮﺍﺳﺖ ﻧﺸﺪﻩ ﻭﻟﻲ ﻣﻬﻢ ﺭﺍ ﺑﺮﺍﻱ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺍﺭﺳﺎﻝ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ ﻣﻨﺎﺑﻊ ﺩﺭ ﺷﺒﻜﻪ‪ ،‬ﻫﺮ ﻣﻨﺒﻊ ﺑﺼﻮﺭﺕ ﻳﻚ ﻣﻮﺿﻮﻉ )‪ (object‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﻳﻚ ﻣﻮﺿﻮﻉ ﻧﻮﻋﺎﹰ ﻳﻚ ﻣﺘﻐﻴﺮ‬
‫ﺍﻃﻼﻋﺎﺗﻲ ﺍﺳﺖ ﻛﻪ ﻭﺟﻬﻲ ﺍﺯ ﻋﺎﻣﻞ ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺑﻪ ﻣﺠﻤﻮﻋﺔ ﻣﻮﺿﻮﻋﺎﺕ‪ ،‬ﭘﺎﻳﮕﺎﻩ ﺍﻃﻼﻋﺎﺕ ﻣﺪﻳﺮﻳﺖ‬
‫)‪ management information base (MIB‬ﻣﻲﮔﻮﻳﻨﺪ‪ MIB .‬ﺑﺼﻮﺭﺕ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻧﻘﺎﻁ ﺩﺳﺖﻳﺎﺑﻲ ﺩﺭ ﻋﺎﻣﻞ ﻣﺪﻳﺮﻳﺖ‪،‬‬
‫ﺑﺮﺍﻱ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪ .‬ﻣﻮﺿﻮﻋﺎﺕ ﺩﺭ ﻋﺮﺽ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻳﻚ ﻛﻼﺱ ﺑﺨﺼﻮﺹ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺷﺪﻩﺍﻧﺪ )ﻣﺜﻼﹰ ﻫﻤﺔ ﭘﻞﻫﺎ‬
‫ﻳﻚ ﻧﻮﻉ ﻣﻮﺿﻮﻋﺎﺕ ﻣﺪﻳﺮﻳﺘﻲ ﺭﺍ ﺣﻤﺎﻳﺖ ﻣﻲﻛﻨﻨﺪ(‪ .‬ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ‪ ،‬ﻋﻤﻞ ﭘﺎﺋﻴﺪﻥ ﺷﺒﻜﻪ ﺭﺍ ﺑﺎ ﺍﺧﺬ ﻣﻮﺿﻮﻋﺎﺕ ‪ MIB‬ﺍﻧﺠﺎﻡ‬
‫ﻣﻲﺩﻫﺪ‪ .‬ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎﻋﺚ ﺷﻮﺩ ﻛﻪ ﻋﻤﻠﻲ ﺩﺭ ﻳﻚ ﻋﺎﻣﻞ ﻣﺪﻳﺮﻳﺖ ﺻﻮﺭﺕ ﭘﺬﻳﺮﻓﺘﻪ ﻭ ﻳﺎ ﻣﻲﺗﻮﺍﻧﺪ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻳﻚ‬
‫ﻋﺎﻣﻞ ﺭﺍ‪ ،‬ﺑﺎ ﺗﻐﻴﻴﺮ ﺍﻧﺪﺍﺯﺓ ﻣﻮﺿﻮﻋﺎﺕ ﻣﺸﺨﺺ‪ ،‬ﺗﻐﻴﻴﺮ ﺩﻫﺪ‪.‬‬
‫ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﻭ ﻋﻮﺍﻣﻞ ﻣﺪﻳﺮﻳﺖ ﺑﺘﻮﺳﻂ ﭘﺮﻭﺗﻜﻞ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ )‪ (network management protocol‬ﺑﻬﻢ‬
‫ﭘﻴﻮﻧﺪ ﻣﻲﺧﻮﺭﻧﺪ‪ .‬ﭘﺮﻭﺗﻜﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺑﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪﻫﺎﻱ ‪ ،TCP/IP‬ﭘﺮﻭﺗﻜﻞ ﺳﺎﺩﺓ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ‪ SNMP‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ‬
‫ﭘﺮﻭﺗﻜﻞ ﺷﺎﻣﻞ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﻛﻠﻴﺪﻱ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٩٢‬‬
‫‪ :Get‬ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﻣﻮﺿﻮﻋﺎﺕ ﺩﺭ ﻋﺎﻣﻞ ﻣﺪﻳﺮﻳﺖ ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪.‬‬ ‫•‬
‫‪ :Set‬ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﻣﻮﺿﻮﻋﺎﺕ ﺩﺭ ﻋﺎﻣﻞ ﻣﺪﻳﺮﻳﺖ ﺭﺍ ﺗﻨﻈﻴﻢ ﻛﻨﺪ‪.‬‬ ‫•‬
‫• ‪ :Notify‬ﻳﻚ ﻋﺎﻣﻞ ﻣﺪﻳﺮﻳﺖ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺭﺍ ﺍﺯ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﻗﺎﺑﻞ ﺗﻮﺟﻪ ﺧﺒﺮﺩﺍﺭ ﺳﺎﺯﺩ‪.‬‬
‫ﻣﻌﻤﺎﺭﻱ ﭘﺮﻭﺗﻜﻞ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﺩﺭ ﺳﺎﻝ ‪ ۱۹۸۸‬ﻣﻴﻼﺩﻱ‪ ،‬ﻣﺸﺨﺼﻪﻫﺎﻱ‪ SNMP‬ﻣﻨﺘﺸﺮ ﮔﺮﺩﻳﺪ ﻭ ﺑﺴﺮﻋﺖ ﺑﺼﻮﺭﺕ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻏﺎﻟﺐ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺩﺭﺁﻣﺪ‪ .‬ﺗﻌﺪﺍﺩﻱ‬
‫ﺍﺯ ﻓﺮﻭﺷﻨﺪﮔﺎﻥ‪ ،‬ﺍﻳﺴﺘﮕﺎﻩﻫﺎﻱ ﻛﺎﺭﻱ ﻣﻨﻔﺮﺩ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﻣﺒﺘﻨﻲ ﺑﺮ ‪ SNMP‬ﺭﺍ ﻋﺮﺿﻪ ﻧﻤﻮﺩﻩ ﻭ ﺑﻴﺸﺘﺮ ﻓﺮﻭﺷﻨﺪﮔﺎﻥ ﭘﻞﻫﺎ‪،‬‬
‫ﻣﺴﻴﺮﻳﺎﺏﻫﺎ‪ ،‬ﺍﻳﺴﺘﮕﺎﻩﻫﺎﻱ ﻛﺎﺭﻱ ﻭ ‪PC‬ﻫﺎ‪ ،‬ﺑﺴﺘﻪﻫﺎﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻋﺎﻣﻞ ‪ SNMP‬ﻛﻪ ﻣﺤﺼﻮﻻﺕ ﺁﻧﺎﻥ ﺭﺍ ﻗﺎﺩﺭ ﺑﻪ ﺍﻋﻤﺎﻝ ﻣﺪﻳﺮﻳﺖ ﺍﺯ‬
‫ﺳﻮﻱ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﻣﻲﻛﻨﺪ‪ ،‬ﺑﻪ ﻣﺸﺘﺮﻳﺎﻥ ﻋﺮﺿﻪ ﻣﻲﺩﺍﺭﻧﺪ‪.‬‬
‫ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺍﺯ ﻧﺎﻡ ﺁﻥ ﭘﻴﺪﺍﺳﺖ‪ SNMP ،‬ﻳﻚ ﺍﺑﺰﺍﺭ ﺳﺎﺩﻩ ﺑﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﺑﺰﺍﺭ ﻳﻚ ﭘﺎﻳﮕﺎﻩ ﺍﻃﻼﻋﺎﺗﻲ‬
‫ﻣﺪﻳﺮﻳﺖ)‪ (MIB‬ﺍﺯ ﻣﺘﻐﻴﺮﻫﺎﻱ ﻋﺪﺩﻱ ﻭ ﺟﺪﺍﻭﻝ ﺩﻭﺑﻌﺪﻱ ﻛﻪ ﻣﺤﺪﻭﺩ ﻭ ﺑﺴﻬﻮﻟﺖ ﻗﺎﺑﻞ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺍﺳﺖ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ ﻭ‬
‫ﻫﻤﭽﻨﻴﻦ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺭﻭﺍﻥ ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﻳﻚ ﻣﺪﻳﺮ ﺑﺘﻮﺍﻧﺪ ﻣﺘﻐﻴﺮﻫﺎﻱ ‪ MIB‬ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩﻩ ﻭ ﺗﻨﻈﻴﻢ ﻛﻨﺪ‪ ،‬ﻭ ﻫﻤﭽﻨﻴﻦ ﻳﻚ ﻋﺎﻣﻞ‬
‫ﺑﺘﻮﺍﻧﺪ ﻳﺎﺩﺁﻭﺭﻱﻫﺎﻱ ﺩﺭﺧﻮﺍﺳﺖ ﻧﺸﺪﻩ ﺑﻨﺎﻡ ‪ traps‬ﺻﺎﺩﺭ ﻛﻨﺪ ﺭﺍ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ‪ .‬ﻗﺪﺭﺕ ‪ SNMP‬ﺩﺭ ﺍﻳﻦ ﺳﻬﻮﻟﺖ ﻧﻬﻔﺘﻪ ﺍﺳﺖ‪.‬‬
‫‪ SNMP‬ﺑﺴﻬﻮﻟﺖ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺷﺪﻩ ﻭ ﺍﺯ ﻣﻨﺎﺑﻊ ﺷﺒﻜﻪ ﻭ ﭘﺮﺩﺍﺯﺵﮔﺮ ﺩﺭ ﺣﺪ ﻣﺘﻮﺳﻂ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺳﺎﺧﺘﺎﺭ ﭘﺮﻭﺗﻜﻞ ﻭ‬
‫‪ MIB‬ﺑﺤﺪ ﻛﺎﻓﻲ ﺳﺮﺭﺍﺳﺖ ﺑﻮﺩﻩ ﻭ ﺑﺎﻋﺚ ﻣﻲﺷﻮﺩ ﻛﻪ ﺑﻴﻦ ﺍﻳﺴﺘﮕﺎﻩﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﻭ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﻋﺎﻣﻞ ﺳﺎﺯﻧﺪﮔﺎﻥ ﻣﺨﺘﻠﻒ‪ ،‬ﺗﻌﺎﻣﻞ‬
‫ﺧﻮﺑﻲ ﺑﺮﻗﺮﺍﺭ ﺑﺎﺷﺪ‪.‬‬
‫ﺳﻪ ﻣﺸﺨﺼﺔ ﺯﻳﺮﺑﻨﺎﺋﻲ ﻋﺒﺎﺭﺗﻨﺪ ﺍﺯ‪:‬‬
‫ﺳﺎﺧﺘﺎﺭ ﻭ ﺷﻨﺎﺳﺎﺋﻲ ﺍﻃﻼﻋﺎﺕ ﻣﺪﻳﺮﻳﺖ ﺑﺮﺍﻱ ﺷﺒﻜﻪﻫﺎﻱ ﻣﺒﺘﻨﻲ ﺑﺮ‪ :(RFC 1155) TCP/IP‬ﻧﺤﻮﺓ ﺗﻌﺮﻳﻒ ﻣﻮﺿﻮﻋﺎﺕ‬ ‫•‬
‫ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ ﺩﺭ ‪ MIB‬ﺭﺍ ﺗﻮﺻﻴﻒ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﭘﺎﻳﮕﺎﻩ ﺍﻃﻼﻋﺎﺕ ﻣﺪﻳﺮﻳﺖ ﺑﺮﺍﻱ ﺍﻳﻨﺘﺮﻧﺖﻫﺎﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ‪ :MIB-II (RFC 1213) :TCP/IP‬ﻣﻮﺿﻮﻋﺎﺕ ﻣﺪﻳﺮﻳﺖ‬ ‫•‬
‫ﺷﺪﻩ ﺩﺭ ‪ MIB‬ﺭﺍ ﺗﻮﺻﻴﻒ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﭘﺮﻭﺗﻜﻞ ﺳﺎﺩﺓ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ )‪ :(RFC 1157‬ﭘﺮﻭﺗﻜﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺑﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ ﺍﻳﻦ ﻣﻮﺿﻮﻋﺎﺕ ﺭﺍ ﺗﻌﺮﻳﻒ‬ ‫•‬
‫‪ SNMP‬ﺑﺼﻮﺭﺕ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ ﻃﺮﺍﺣﻲ ﮔﺮﺩﻳﺪﻩ ﻛﻪ ﺑﺨﺸﻲ ﺍﺯ ﻣﺠﻤﻮﻋﺔ ﭘﺮﻭﺗﻜﻠﻲ ‪ TCP/IP‬ﺍﺳﺖ‪ .‬ﻫﺪﻑ ﺍﺯ‬
‫ﻃﺮﺍﺣﻲ‪ ،‬ﻋﻤﻠﻜﺮﺩ ‪ SNMP‬ﺩﺭ ﺑﺎﻻﻱ ﭘﺮﻭﺗﻜﻞ ‪ (User Datagram Protocol) UDP‬ﺑﻮﺩﻩ ﺍﺳﺖ ﻛﻪ ﺩﺭ ‪ RFC 768‬ﺗﻌﺮﻳﻒ‬
‫ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺘﻲ ﻣﻨﻔﺮﺩ‪ ،‬ﻳﻚ ﭘﺮﻭﺳﺔ ﻣﺪﻳﺮﻳﺘﻲ‪ ،‬ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ‪ MIB‬ﻣﺮﻛﺰﻱ ﺩﺭ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺭﺍ ﻛﻨﺘﺮﻝ‬
‫ﻛﺮﺩﻩ ﻭ ﻳﻚ ﻭﺍﺳﻂ ﺑﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﭘﺮﻭﺳﺔ ﻣﺪﻳﺮﻳﺘﻲ‪ ،‬ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ SNMP‬ﻛﻪ ﺩﺭ ﺑﺎﻻﻱ‬
‫‪ IP ،UDP‬ﻭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻧﻈﻴﺮ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﺷﺒﻜﻪ )ﻣﺜﻞ ‪ (X.25 ,FDDI ,Ethernet‬ﻫﺴﺘﻨﺪ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻫﺮ ﻋﺎﻣﻞ ﻧﻴﺰ ﺑﺎﻳﺴﺘﻲ ‪ UDP ،SNMP‬ﻭ ‪ IP‬ﺭﺍ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻧﻤﺎﻳﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﻳﻚ ﭘﺮﻭﺳﺔ ﻋﺎﻣﻞ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﭘﻴﺎﻡﻫﺎﻱ‬
‫‪ SNMP‬ﺭﺍ ﺗﻌﺒﻴﺮ ﻧﻤﻮﺩﻩ ﻭ ‪ MIB‬ﻋﺎﻣﻞ ﺭﺍ ﻛﻨﺘﺮﻝ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺑﺮﺍﻱ ﻫﺮ ﺩﺳﺘﮕﺎﻩ ﻋﺎﻣﻞ ﻛﻪ ﺳﺎﻳﺮ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻫﻤﺎﻧﻨﺪ ‪ FTP‬ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ‬
‫ﻣﻲﻛﻨﺪ‪ ،‬ﻫﻢ ‪ TCP‬ﻭ ﻫﻢ ‪ UDP‬ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪.‬‬
‫‪٢٩٣‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﺷﻜﻞ ‪ ۸-۱‬ﺑﺴﺘﺮ ﭘﺮﻭﺗﻜﻞ ‪ SNMP‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺍﺯ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ‪ ،‬ﺳﻪ ﻧﻮﻉ ﭘﻴﺎﻡ ‪ SNMP‬ﺍﺯ ﺟﺎﻧﺐ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ‬
‫ﻣﺪﻳﺮﻳﺘﻲ ﺻﺎﺩﺭ ﻣﻲﺷﻮﺩ‪ GetNextRequest ،GetRequest :‬ﻭ ‪ .SetRequest‬ﺩﻭ ﭘﻴﺎﻡ ﺍﻭﻝ ﻧﻮﻋﻲ ﺍﺯ ﺗﺎﺑﻊ ‪ get‬ﻫﺴﺘﻨﺪ‪ .‬ﻫﺮﺳﻪ‬
‫ﻧﻮﻉ ﭘﻴﺎﻡ ﺑﺘﻮﺳﻂ ﻋﺎﻣﻞ ﻭ ﺑﺎ ﭘﻴﺎﻡ ‪ GetResponse‬ﺗﺄﺋﻴﺪ ﻣﻲﮔﺮﺩﻧﺪ ﻛﻪ ﺑﻪ ﻛﺎﺭﺑﺮﺩ ﻣﺪﻳﺮﻳﺘﻲ ﺑﺎﻻﺗﺮ ﺍﺭﺟﺎﻉ ﻣﻲﺷﻮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ‪ ،‬ﻳﻚ‬
‫ﻋﺎﻣﻞ ﻣﻤﻜﻦ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﭘﻴﺎﻡ ‪ trap‬ﺩﺭ ﭘﺎﺳﺦ ﺑﻪ ﭘﻴﺸﺎﻣﺪﻱ ﻛﻪ ‪ MIB‬ﻭ ﻣﻨﺎﺑﻊ ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ ﺯﻳﺮﻣﺠﻤﻮﻋﻪ ﺭﺍ ﺗﺤﺖ ﺗﺄﺛﻴﺮ ﻗﺮﺍﺭ‬
‫ﻣﻲﺩﻫﺪ ﺻﺎﺩﺭ ﻛﻨﺪ‪.‬‬
‫ﭼﻮﻥ ‪ SNMP‬ﺑﻪ ‪ UDP‬ﻛﻪ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﻏﻴﺮﺍﺗﺼﺎﻟﻲ ﺍﺳﺖ ﻣﺘﻜﻲ ﺍﺳﺖ‪ ،‬ﺧﻮﺩ ‪ SNMP‬ﻧﻴﺰ ﻏﻴﺮﺍﺗﺼﺎﻟﻲ ﺍﺳﺖ‪ .‬ﻫﻴﭻ ﺍﺗﺼﺎﻟﻲ‬
‫ﺑﻴﻦ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﻭ ﻋﺎﻣﻞﻫﺎﻱ ﺁﻥ ﺑﺮﻗﺮﺍﺭ ﻧﻤﻲﺷﻮﺩ‪ ،‬ﺑﻠﻜﻪ ﻫﺮ ﻣﺒﺎﺩﻟﻪ ﻳﻚ ﺍﺭﺗﺒﺎﻁ ﻣﺠﺰﺍ ﺑﻴﻦ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﻭ ﻋﺎﻣﻞ‬
‫ﺁﻥ ﺍﺳﺖ‪.‬‬
‫ﭘﺮﻭﻛﺴﻲﻫﺎ‬
‫ﺩﺭ ‪ SNMPv1‬ﺗﻤﺎﻡ ﻋﺎﻣﻞﻫﺎ ﻭ ﻫﻤﭽﻨﻴﻦ ﺧﻮﺩ ﺍﻳﺴﺘﮕﺎﻩﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﺑﺎﻳﺴﺘﻲ ‪ UDP‬ﻭ ‪ IP‬ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻧﻤﺎﻳﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻣﺪﻳﺮﻳﺖ‬
‫ﻣﺴﺘﻘﻴﻢ ﺑﺮ ﺑﻌﻀﻲ ﺩﺳﺘﮕﺎﻩﻫﺎ ﺭﺍ ﻣﺤﺪﻭﺩ ﻧﻤﻮﺩﻩ ﻭ ﺩﺳﺘﮕﺎﻩﻫﺎﻱ ﺩﻳﮕﺮﻱ ﻫﻤﭽﻮﻥ ﺑﻌﻀﻲ ﭘﻞﻫﺎ ﻭ ﻣُﻮﺩﻡﻫﺎ ﻛﻪ ﻫﻴﭽﻜﺪﺍﻡ ﺍﺯ ﺑﺨﺶﻫﺎﻱ‬
‫‪ TCP/IP‬ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻧﻤﻲﻧﻤﺎﻳﻨﺪ ﺍﺯ ﺩُﻭﺭ ﺧﺎﺭﺝ ﻣﻲﺳﺎﺯﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﻣﻤﻜﻦ ﺍﺳﺖ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻛﻮﭼﻚ ﺑﺴﻴﺎﺭﻱ )ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﻱ‬
‫ﺷﺨﺼﻲ‪ ،‬ﺍﻳﺴﺘﮕﺎﻩﻫﺎﻱ ﻛﺎﺭﻱ‪ ،‬ﻛﻨﺘﺮﻝﻛﻨﻨﺪﻩﻫﺎﻱ ﻗﺎﺑﻞ ﺑﺮﻧﺎﻣﻪﺭﻳﺰﻱ( ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ ﻛﻪ ﺑﺮﺍﻱ ﻛﺎﺭﻫﺎﻱ ﺧﻮﺩ‪ TCP/IP ،‬ﺭﺍ‬
‫ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻛﺮﺩﻩ ﻭﻟﻲ ﺗﻤﺎﻳﻠﻲ ﻧﺪﺍﺭﻧﺪ ﻛﻪ ﺑﺎﺭ ﺍﺿﺎﻓﻲ ‪ ،SNMP‬ﻣﻨﻄﻖ ﻋﺎﻣﻞ ﻭ ﻧﮕﻬﺪﺍﺭﻱ ‪ MIB‬ﺭﺍ ﺑﻌﻬﺪﻩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﭘﺸﺘﻴﺒﺎﻧﻲ ﺩﺳﺘﮕﺎﻩﻫﺎﺋﻲ ﻛﻪ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ‪ SNMP‬ﺭﺍ ﺩﺭ ﺧﻮﺩ ﻧﺪﺍﺭﻧﺪ‪ ،‬ﻣﻘﻮﻟﺔ ﭘﺮﻭﻛﺴﻲ)‪ (proxy‬ﺧﻠﻖ ﮔﺮﺩﻳﺪ‪ .‬ﺩﺭ ﺍﻳﻦ‬
‫ﺭﻭﺵ ﻳﻚ ﻋﺎﻣﻞ ‪ SNMP‬ﺑﺼﻮﺭﺕ ﭘﺮﻭﻛﺴﻲ )ﻭﻛﻴﻞ( ﺑﺮﺍﻱ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﺩﺳﺘﮕﺎﻩ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪ .‬ﻳﻌﻨﻲ ﻋﺎﻣﻞ ‪ SNMP‬ﺑﻪ ﻭﻛﺎﻟﺖ ﺍﺯ‬
‫ﻃﺮﻑ ﺩﺳﺘﮕﺎﻩﻫﺎﻱ ﭘﺮﻭﻛﺴﻲ ﺷﺪﻩ‪ ،‬ﺭﻓﺘﺎﺭ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ‪SNMP‬‬ ‫ﻋﺎﻣﻞ ‪SNMP‬‬
‫ﻣﻨﺎﺑﻊ ﻣﺪﻳﺮﻳﺖﺷﺪﻩ‬
‫ﺑﺮﻧﺎﻣﺔ ﻛﺎﺭﺑﺮﺩﻱ ﻣﺪﻳﺮﻳﺖ‬
‫ﻣﻮﺿﻮﻋﺎﺕ ﻣﺪﻳﺮﻳﺖﺷﺪﻩ ‪SNMP‬‬
‫ﻛﺎﺭﺑﺮﺩ‪ ،‬ﻣﻮﺿﻮﻋﺎﺕ ﺭﺍ‬
‫‪GetNextRequest‬‬
‫‪GetNextRequest‬‬
‫‪GetRequest‬‬
‫‪GetRequest‬‬
‫‪SetRequest‬‬
‫‪GetResponse‬‬
‫‪SetRequest‬‬
‫‪GetResponse‬‬
‫ﻣﺪﻳﺮﻳﺖ ﻣﻲﻛﻨﺪ‬
‫‪Trap‬‬
‫‪Trap‬‬
‫‪SNMP manager‬‬ ‫‪SNMP agent‬‬

‫ﭘﻴﺎﻡﻫﺎﻱ ‪SNMP‬‬
‫‪UDP‬‬ ‫‪UDP‬‬
‫‪IP‬‬ ‫‪IP‬‬
‫‪Network-dependent protocols‬‬ ‫‪Network-dependent protocols‬‬
‫‪Network or‬‬
‫‪internet‬‬
‫ﻧﻘﺶ ‪SNMP‬‬ ‫ﺷﻜﻞ ‪۸ -۱‬‬

‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٩٤‬‬
‫ﺷﻜﻞ ‪ ۸-۲‬ﻧﻮﻉ ﻣﻌﻤﺎﺭﻱ ﭘﺮﻭﺗﻜﻞ ﺩﺭﮔﻴﺮ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺳﺆﺍﻻﺗﻲ ﻛﻪ ﺩﺭ ﻣﻮﺭﺩ ﺩﺳﺘﮕﺎﻩ ﺧﺎﺻﻲ ﺩﺍﺭﺩ ﺭﺍ ﺑﻪ‬
‫ﻋﺎﻣﻞ ﭘﺮﻭﻛﺴﻲ ﺧﻮﺩ ﻣﻲﻓﺮﺳﺘﺪ‪ .‬ﻋﺎﻣﻞ ﭘﺮﻭﻛﺴﻲ‪ ،‬ﻫﺮ ﺳﺆﺍﻝ ﺭﺍ ﺑﻪ ﭘﺮﻭﺗﻜﻞ ﻣﺪﻳﺮﻳﺘﻲ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺑﺘﻮﺳﻂ ﺁﻥ ﺩﺳﺘﮕﺎﻩ ﺗﺒﺪﻳﻞ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻭﻗﺘﻲ ﻋﺎﻣﻞ ﭘﺮﻭﻛﺴﻲ ﭘﺎﺳﺦ ﺳﺆﺍﻝ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩ‪ ،‬ﺁﻥ ﺭﺍ ﺑﺮﺍﻱ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺍﺭﺳﺎﻝ ﻣﻲﺩﺍﺭﺩ‪ .‬ﺑﻄﺮﻳﻖ ﻣﺸﺎﺑﻪ ﺍﮔﺮ ﻳﻚ ﻳﺎﺩﺁﻭﺭﻱ ﻳﺎ‬
‫ﺍﺧﻄﺎﺭ ﺍﺯ ﻫﺮ ﻧﻮﻉ ﺍﺯ ﺳﻮﻱ ﺩﺳﺘﮕﺎﻩ ﺑﻪ ﭘﺮﻭﻛﺴﻲ ﺍﻧﺘﻘﺎﻝ ﻳﺎﺑﺪ‪ ،‬ﭘﺮﻭﻛﺴﻲ ﺁﻥ ﺭﺍ ﺑﺼﻮﺭﺕ ﻳﻚ ﭘﻴﺎﻡ ‪ trap‬ﺑﺮﺍﻱ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺧﻮﺍﻫﺪ‬
‫ﻓﺮﺳﺘﺎﺩ‪.‬‬
‫‪ SNMPv2‬ﻧﻪ ﺗﻨﻬﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣﺠﻤﻮﻋﺔ ﭘﺮﻭﺗﻜﻠﻲ ‪ TCP/IP‬ﺑﻠﻜﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺳﺎﻳﺮ ﺍﻧﻮﺍﻉ ﭘﺮﻭﺗﻜﻞﻫﺎ ﺭﺍ ﻧﻴﺰ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪ SNMPv2‬ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﺑﺮﺍﻱ ﺍﺟﺮﺍ ﺭﻭﻱ ﺑﺴﺘﺔ ﭘﺮﻭﺗﻜﻠﻲ ‪ OSI‬ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ‪ SNMPv2‬ﻣﻲﺗﻮﺍﻧﺪ ﺗﻌﺪﺍﺩ‬
‫ﻣﺘﻨﻮﻉﺗﺮﻱ ﺍﺯ ﭘﻴﻜﺮﺑﻨﺪﻱﻫﺎﻱ ﺷﺒﻜﻪ ﺭﺍ ﻣﺪﻳﺮﻳﺖ ﻧﻤﺎﻳﺪ‪ .‬ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﭘﺮﻭﻛﺴﻲﻫﺎ‪ ،‬ﻫﺮ ﺩﺳﺘﮕﺎﻫﻲ ﻛﻪ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ‪ SNMPv2‬ﺭﺍ ﻧﺪﺍﺭﺩ‬
‫ﺗﻨﻬﺎ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﭘﺮﻭﻛﺴﻲ ﻣﻲﺗﻮﺍﻧﺪ ﻣﺪﻳﺮﻳﺖ ﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺣﺘﻲ ﺷﺎﻣﻞ ﺩﺳﺘﮕﺎﻩﻫﺎﻱ ‪ SNMPv1‬ﻫﻢ ﻣﻲﺷﻮﺩ‪ .‬ﻳﻌﻨﻲ ﺍﮔﺮ ﻳﻚ‬
‫ﺩﺳﺘﮕﺎﻩ‪ ،‬ﻧﺮﻡﺍﻓﺰﺍﺭ ﻋﺎﻣﻞ ‪ SNMPv1‬ﺭﺍ ﺩﺭ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺧﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺗﻨﻬﺎ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﺩﺳﺘﮕﺎﻩ ﭘﺮﻭﻛﺴﻲ ﻛﻪ ﻋﺎﻣﻞ‬
‫‪ SNMPv2‬ﻭ ﻧﺮﻡﺍﻓﺰﺍﺭ ﻣﺪﻳﺮﻳﺖ ‪ SNMPv1‬ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﻣﺪﻳﺮ ‪ SNMPv2‬ﺩﺳﺘﺮﺳﻲ ﻳﺎﺑﺪ‪.‬‬
‫ﻣﻮﺍﺭﺩﻱ ﻛﻪ ﺩﺭ ﺑﺎﻻ ﺑﻪ ﺁﻧﻬﺎ ﺍﺷﺎﺭﻩ ﺷﺪ ﺭﺍ ﺭﻭﺍﺑﻂ ﭘﺮﻭﻛﺴﻲ ﺧﺎﺭﺟﻲ ﺩﺭ ‪ SNMPv2‬ﮔﻮﻳﻨﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ‪ SNMPv2‬ﺍﺯ ﻳﻚ‬
‫ﺍﺭﺗﺒﺎﻁ ﭘﺮﻭﻛﺴﻲ ﺑﻮﻣﻲ ﻛﻪ ﺩﺭ ﺁﻥ ﺩﺳﺘﮕﺎﻩﻫﺎﻱ ﭘﺮﻭﻛﺴﻲ ﺷﺪﻩ‪ SNMPv2 ،‬ﺭﺍ ﺣﻤﺎﻳﺖ ﻣﻲﻛﻨﻨﺪ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ﺍﺧﻴﺮ‪ ،‬ﻳﻚ‬
‫ﻣﺪﻳﺮ ‪ SNMPv2‬ﺑﺎ ﻳﻚ ﮔﺮﻩ ‪ SNMPv2‬ﻛﻪ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﻋﺎﻣﻞ ﻛﺎﺭ ﻣﻲﻛﻨﺪ ﺍﺭﺗﺒﺎﻁ ﺑﺮﻗﺮﺍﺭ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﮔﺮﻩ ﺁﻧﮕﺎﻩ ﺑﺼﻮﺭﺕ ﻳﻚ‬
‫ﻣﺪﻳﺮ ﺑﺮﺍﻱ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺩﺳﺘﮕﺎﻩ ﭘﺮﻭﻛﺴﻲ ﺷﺪﻩ ﻋﻤﻞ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﻌﻨﻮﺍﻥ ﻋﺎﻣﻞ ‪ SNMPv2‬ﻛﺎﺭ ﺧﻮﺍﻫﺪﻛﺮﺩ‪ .‬ﻋﻠﺖ ﭘﺸﺘﻴﺒﺎﻧﻲ ﺍﺯ ﭼﻨﻴﻦ‬
‫ﺍﺭﺗﺒﺎﻁ ﻏﻴﺮﻣﺴﺘﻘﻴﻤﻲ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ ﻗﺎﺩﺭ ﺳﺎﺯﺩ ﺗﺎ ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪﻫﺎﻱ ﺳﻠﺴﻠﻪ ﻣﺮﺍﺗﺒﻲ ﻭ ﻏﻴﺮﻣﺘﻤﺮﻛﺰ ﺭﺍ‪ ،‬ﭼﻨﺎﻥ ﻛﻪ‬
‫ﺑﻌﺪﺍﹰ ﺗﻮﺿﻴﺢ ﺩﺍﺩﻩ ﺧﻮﺍﻫﺪ ﺷﺪ‪ ،‬ﭘﻴﻜﺮﺑﻨﺪﻱ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫‪SNMPv2‬‬
‫ﻗﺪﺭﺕ ‪ SNMP‬ﺩﺭ ﺳﺎﺩﮔﻲ ﺁﻥ ﺍﺳﺖ‪ SNMP .‬ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﭘﺎﻳﻪ ﺍﺯ ﺍﺑﺰﺍﺭﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺩﺭ ﻳﻚ ﺑﺴﺘﺔ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻛﻪ‬
‫ﺑﺴﻬﻮﻟﺖ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻭ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻣﻲﺷﻮﺩ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ ﭼﻮﻥ ﻛﺎﺭﺑﺮﺍﻥ ﺑﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪﻫﺎﺋﻲ ﻛﻪ ﺭﻭﺯ ﺑﻪ ﺭﻭﺯ‬
‫ﺗﻮﺳﻌﻪ ﻳﺎﻓﺘﻪ ﻭ ﺑﺎﺭ ﻛﺎﺭﻱ ﺁﻧﻬﺎ ﺍﻓﺰﺍﻳﺶ ﻣﻲﻳﺎﺑﺪ ﻫﺮ ﺭﻭﺯ ﺑﻴﺸﺘﺮ ﺍﺯ ﺩﻳﺮﻭﺯ ﺑﻪ ‪ SNMP‬ﺭﻭﺁﻭﺭﺩﻩﺍﻧﺪ‪ ،‬ﻛﻤﺒﻮﺩﻫﺎﻱ ﺁﻥ ﻛﺎﻣﻼﹰ ﺁﺷﻜﺎﺭ ﺷﺪﻩ‬
‫ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻛﻤﺒﻮﺩﻫﺎ ﺩﺭ ﺳﻪ ﮔﺮﻭﻩ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ‪:‬‬
‫ﻋﺪﻡ ﭘﺸﺘﻴﺒﺎﻧﻲ ﺍﺯ ﻣﺪﻳﺮﻳﺖ ﺗﻮﺯﻳﻊﺷﺪﺓ ﺷﺒﻜﻪ‬ ‫•‬

‫ﻧﻮﺍﻗﺺ ﻋﻤﻠﻴﺎﺗﻲ‬ ‫•‬
‫ﻧﻮﺍﻗﺺ ﺍﻣﻨﻴﺘﻲ‬ ‫•‬
‫ﻛﻤﺒﻮﺩﻫﺎﻱ ﺍﻭﻝ ﻭ ﺩﻭﻡ ﺩﺭ ‪ SNMPv2‬ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻨﺪ ﻛﻪ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۳‬ﻣﻨﺘﺸﺮ ﺷﺪ ﻭ ﻧﺴﺨﺔ ﺗﺠﺪﻳﺪﻧﻈﺮﺷﺪﺓ‬
‫ﺁﻧﻬﻢ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۶‬ﺗﻬﻴﻪ ﮔﺮﺩﻳﺪ )ﺩﺭ ﺣﺎﻝ ﺣﺎﺿﺮ ‪RFC‬ﻫﺎﻱ ‪ 1904 ,1901‬ﺗﺎ ‪ 2578 ،1908‬ﻭ ‪ SNMPv2 .(2579‬ﺑﺴﺮﻋﺖ‬
‫ﻣﻮﺭﺩ ﺍﺳﺘﻘﺒﺎﻝ ﻗﺮﺍﺭ ﮔﺮﻓﺖ ﻭ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻓﺮﻭﺷﻨﮕﺎﻥ ﺗﻨﻬﺎ ﭼﻨﺪﻣﺎﻩ ﭘﺲ ﺍﺯ ﺍﻧﺘﺸﺎﺭ ﺁﻥ‪ ،‬ﻣﺤﺼﻮﻻﺕ ﻣﻨﻄﺒﻖ ﺑﺎ ﺍﻳﻦ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﺍ ﺑﻪ ﺑﺎﺯﺍﺭ‬
‫ﻓﺮﺳﺘﺎﺩﻧﺪ‪ .‬ﻧﻮﺍﻗﺺ ﺍﻣﻨﻴﺘﻲ ﺩﺭ ‪ SNMPv3‬ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺍﺳﺖ‪.‬‬
‫ﺩﺭ ﺑﻘﻴﺔ ﺍﻳﻦ ﺑﺨﺶ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﻣﺸﺨﺼﻪﻫﺎﻱ ﺟﺪﻳﺪ ﻓﺮﺍﻫﻢ ﺁﻣﺪﻩ ﺑﺘﻮﺳﻂ ‪ SNMPv2‬ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺧﺼﻮﺻﻴﺎﺕ‬
‫ﺍﻣﻨﻴﺘﻲ ‪ SNMPv1‬ﻭ ‪ SNMPv3‬ﺩﺭ ﺑﺨﺶﻫﺎﻱ ﺑﻌﺪﻱ ﺗﻮﺻﻴﻒ ﺧﻮﺍﻫﻨﺪ ﺷﺪ‪.‬‬
٢٩٥
www.NetSimulate.net
Proxy agent
Management Proxied
Mapping function
station device
Management Process
Management
Agent process
process
SNMP SNMP Protocol

architecture used
by proxied device
Protocol
UDP UDP architecture used
by proxied device
IP IP
Network-dependent Network-dependent Network-dependent Network-dependent

protocols protocols protocols protocols
‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﭘﻴﻜﺮﺑﻨﺪﻱ ﭘﺮﻭﻛﺴﻲ‬ ۸-۲ ‫ﺷﻜﻞ‬

‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٩٦‬‬
‫ﻣﺪﻳﺮﻳﺖ ﺗﻮﺯﻳﻊﺷﺪﺓ ﺷﺒﻜﻪ‬

‫ﺩﺭ ﺭﻭﺵ ﺳﻨﹼﺘﻲ ﻣﺪﻳﺮﻳﺖ ﻣﺘﻤﺮﻛﺰ ﺷﺒﻜﻪ‪ ،‬ﻳﻜﻲ ﺍﺯ ﻣﻴﺰﺑﺎﻥﻫﺎ ﺩﺭ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺷﺒﻜﻪ ﻧﻘﺶ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺭﺍ ﺩﺍﺭﺩ‪ .‬ﻣﻤﻜﻦ ﺍﺳﺖ‬
‫ﻳﻚ ﻳﺎ ﺩﻭ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺩﻳﮕﺮ ﻧﻴﺰ ﺑﻌﻨﻮﺍﻥ ﭘﺸﺘﻴﺒﺎﻥ ﺍﻳﺴﺘﮕﺎﻩ ﺍﺻﻠﻲ ﻋﻤﻞ ﻧﻤﺎﻳﻨﺪ‪ .‬ﻣﺎﺑﻘﻲ ﺗﺠﻬﻴﺰﺍﺕ ﺷﺒﻜﻪ ﺩﺍﺭﺍﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﻋﺎﻣﻞ‬
‫ﻭ ﻳﻚ ‪ MIB‬ﻫﺴﺘﻨﺪ ﻛﻪ ﭘﺎﻳﺶ ﻭ ﻛﻨﺘﺮﻝ ﺍﺯ ﺟﺎﻧﺐ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺭﺍ ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﻣﻲﻧﻤﺎﻳﻨﺪ‪ .‬ﻭﻗﺘﻲ ﺍﻧﺪﺍﺯﺓ ﺷﺒﻜﻪﻫﺎ ﺑﺰﺭﮒ ﺷﺪﻩ ﻭ ﺑﺎﺭ‬
‫ﺗﺮﺍﻓﻴﻜﻲ ﺁﻧﻬﺎ ﺍﻓﺰﺍﻳﺶ ﻣﻲﻳﺎﺑﺪ‪ ،‬ﭼﻨﻴﻦ ﺳﻴﺴﺘﻢ ﻣﺘﻤﺮﻛﺰﻱ ﻛﺎﺭﺁﺋﻲ ﻧﺨﻮﺍﻫﺪ ﺩﺍﺷﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﺣﺎﻟﺖ ﻓﺸﺎﺭ ﺯﻳﺎﺩﻱ ﺭﻭﻱ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ‬
‫ﻭﺍﺭﺩ ﺁﻣﺪﻩ ﻭ ﺗﺮﺍﻓﻴﻚ ﭘﺮﺣﺠﻤﻲ ﺍﻳﺠﺎﺩ ﻣﻲﺷﻮﺩ ﻛﻪ ﻧﺎﺷﻲ ﺍﺯ ﮔﺰﺍﺭﺷﺎﺕ ﻋﻮﺍﻣﻞ ﻣﺪﻳﺮﻳﺖ ﺑﻮﺩﻩ ﻛﻪ ﺗﻼﺵ ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﺳﺮﺍﺳﺮ ﺷﺒﻜﻪ ﺭﺍ‬
‫ﻃﻲ ﻛﺮﺩﻩ ﻭ ﺧﻮﺩ ﺭﺍ ﺑﻪ ﻣﺤﻞ ﺍﺳﺘﻘﺮﺍﺭ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺑﺮﺳﺎﻧﻨﺪ‪ .‬ﺩﺭ ﭼﻨﻴﻦ ﻭﺿﻌﻴﺘﻲ ﻳﻚ ﺭﻭﺵ ﻏﻴﺮﻣﺘﻤﺮﻛﺰ ﺗﻮﺯﻳﻊ ﺷﺪﻩ‪ ،‬ﻋﻤﻠﻜﺮﺩ‬
‫ﺑﻬﺘﺮﻱ ﺩﺍﺭﺩ )ﺷﻜﻞ ‪ .(۸-۳‬ﺩﺭ ﻳﻚ ﺭﻭﺵ ﻏﻴﺮﻣﺘﻤﺮﻛﺰ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﻳﺴﺘﮕﺎﻩﻫﺎﻱ ﻣﺪﻳﺮﻳﺘﻲ ﺳﻄﺢ ﺑﺎﻻﻱ ﻣﺘﻌﺪﺩﻱ‬
‫ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ ﻛﻪ ﺑﻪ ﺁﻧﻬﺎ ﺳِﺮﻭﺭﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﮔﻮﻳﻨﺪ‪ .‬ﻫﺮ ﻳﻚ ﺍﺯ ﭼﻨﻴﻦ ﺳِﺮﻭﺭﻫﺎﺋﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻄﻮﺭ ﻣﺴﺘﻘﻴﻢ ﺑﺨﺸﻲ ﺍﺯ ﻋﻮﺍﻣﻞ‬
‫ﺭﺍ ﺍﺩﺍﺭﻩ ﻧﻤﺎﻳﻨﺪ ﻭﻟﻲ ﺑﺮﺍﻱ ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﻋﺎﻣﻞﻫﺎ‪ ،‬ﺳِﺮﻭﺭ ﻣﺪﻳﺮﻳﺖ ﻣﺴﺌﻮﻟﻴﺖ ﺧﻮﺩ ﺭﺍ ﺑﻪ ﻳﻚ ﻣﺪﻳﺮ ﻣﻴﺎﻧﻲ ﻣﻲﺳﭙﺎﺭﺩ‪ .‬ﻣﺪﻳﺮ ﻣﻴﺎﻧﻲ‪ ،‬ﻭﻇﻴﻔﺔ‬
‫ﻣﺪﻳﺮﻳﺖ ﺑﺮﺍﻱ ﭘﺎﻳﺶ ﻭ ﻛﻨﺘﺮﻝ ﻋﻮﺍﻣﻞ ﺗﺤﺖ ﻣﺴﺌﻮﻟﻴﺖ ﺧﻮﺩ ﺭﺍ ﺩﺍﺭﺩ‪ .‬ﻣﺪﻳﺮ ﻣﻴﺎﻧﻲ ﺑﺮﺍﻱ ﻣﺪﻳﺮ ﺑﺎﻻﺩﺳﺖ ﻧﻘﺶ ﻳﻚ ﻋﺎﻣﻞ ﺭﺍ ﺑﺎﺯﻱ‬
‫ﻛﺮﺩﻩ‪ ،‬ﺍﻃﻼﻋﺎﺕ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﻭ ﺭﺍ ﻓﺮﺍﻫﻢ ﻧﻤﻮﺩﻩ ﻭ ﺩﺳﺘﻮﺭﺍﺕ ﺍﻭ ﺭﺍ ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﺍﻳﻦ ﻧﻮﻉ ﻣﻌﻤﺎﺭﻱ ﻣﺸﻜﻼﺕ ﭘﺮﺩﺍﺯﺵﻫﺎﻱ ﻣﺪﻳﺮﻳﺘﻲ ﺭﺍ ﻛﻢ‬
‫ﻛﺮﺩﻩ ﻭ ﺗﺮﺍﻓﻴﻚ ﻛﻞ ﺷﺒﻜﻪ ﺭﺍ ﻛﺎﻫﺶ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪ ،SNMPv2‬ﻫﻢ ﺍﺯ ﻳﻚ ﺍﺳﺘﺮﺍﺗﮋﻱ ﻛﺎﻣﻼﹰ ﻣﺘﻤﺮﻛﺰ ﻭ ﻫﻢ ﺍﺯ ﻳﻚ ﺍﺳﺘﺮﺍﺗﮋﻱ ﺗﻮﺯﻳﻊﺷﺪﻩ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ﺍﺧﻴﺮ‬
‫ﺑﻌﻀﻲ ﺳﻴﺴﺘﻢﻫﺎ ﻫﻢ ﻧﻘﺶ ﻣﺪﻳﺮ ﻭ ﻫﻢ ﻧﻘﺶ ﻋﺎﻣﻞ ﺭﺍ ﺩﺍﺭﻧﺪ‪ .‬ﺩﺭ ﻧﻘﺶ ﻋﺎﻣﻞ‪ ،‬ﭼﻨﻴﻦ ﺳﻴﺴﺘﻤﻲ ﻓﺮﺍﻣﻴﻦ ﺭﺍ ﺍﺯ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ‬
‫ﻣﺎﻓﻮﻕ ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﺑﺮﺧﻲ ﺍﺯ ﺍﻳﻦ ﻓﺮﺍﻣﻴﻦ ﻣﺮﺑﻮﻁ ﺑﻪ ‪ MIB‬ﻣﺤﻠﻲ ﺩﺭ ﻋﺎﻣﻞ ﻫﺴﺘﻨﺪ‪ .‬ﺳﺎﻳﺮ ﻓﺮﺍﻣﻴﻦ ﺑﻪ ﺍﻳﻦ ﺍﻣﺮ ﻧﻴﺎﺯ ﺩﺍﺭﻧﺪ ﻛﻪ ﻋﺎﻣﻞ‬
‫ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﭘﺮﻭﻛﺴﻲ ﺩﺳﺘﮕﺎﻩﻫﺎﻱ ﺩﻭﺭ ﻋﻤﻞ ﻛﻨﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ‪ ،‬ﻋﺎﻣﻞ ﭘﺮﻭﻛﺴﻲ ﻧﻘﺶ ﻣﺪﻳﺮ ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺍﻃﻼﻋﺎﺕ ﻳﻚ ﻋﺎﻣﻞ‬
‫ﺩﻭﺭ ﺭﺍ ﺩﺍﺷﺘﻪ ﻭ ﺁﻧﮕﺎﻩ ﻧﻘﺶ ﻳﻚ ﻋﺎﻣﻞ ﺭﺍ ﺍﺯ ﺟﻬﺖ ﺭﺩﻛﺮﺩﻥ ﺍﻃﻼﻋﺎﺕ ﺑﻪ ﻣﺪﻳﺮ ﻣﺎﻓﻮﻕ ﺧﻮﺍﻫﺪ ﺩﺍﺷﺖ‪.‬‬
‫ﺍﺭﺗﻘﺎﺀ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ‬

‫ﺟﺪﻭﻝ ‪ ۸-۱‬ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺍﺭﺗﻘﺎﺀ ﻳﺎﻓﺘﺔ ﺩﺭ ‪ SNMPv2‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻫﺮ ﺩﻭ ﭘﺮﻭﺗﻜﻞ ‪ SNMP‬ﺑﺮﺣﺴﺐ ﻳﻚ ﺳﺮﻱ‬
‫ﻓﺮﺍﻣﻴﻦ ﺗﻌﺮﻳﻒ ﺷﺪﻩﺍﻧﺪ ﻛﻪ ﺑﺼﻮﺭﺕ ﻭﺍﺣﺪﻫﺎﻱ ﺩﻳﺘﺎﻱ ﭘﺮﻭﺗﻜﻠﻲ )‪ (PDU‬ﻣﻨﺘﻘﻞ ﻣﻲﮔﺮﺩﻧﺪ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ‪ SNMPv1‬ﭘﻨﺞ ﻓﺮﻣﺎﻥ ﻭﺟﻮﺩ‬
‫ﺩﺍﺭﺩ‪ .‬ﻳﻚ ﻣﺪﻳﺮ‪ ،‬ﻓﺮﻣﺎﻥ ‪ Get‬ﺭﺍ ﺑﺮﺍﻱ ﻳﻚ ﻋﺎﻣﻞ ﻣﻲﻓﺮﺳﺘﺪ ﺗﺎ ﺍﻧﺪﺍﺯﻩ ﻣﻮﺿﻮﻋﺎﺕ ﺩﺭ ‪ MIB‬ﺭﺍ ﺑﺮﺍﻱ ﺍﻭ ﺑﻔﺮﺳﺘﺪ‪ .‬ﻓﺮﻣﺎﻥ ‪GetNext‬‬
‫ﺍﺯ ﺍﻳﻦ ﺣﻘﻴﻘﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﻛﻪ ﻣﻮﺿﻮﻋﺎﺕ ﺩﺭ ﻳﻚ ‪ MIB‬ﺑﺼﻮﺭﺕ ﺩﺭﺧﺘﻲ ﺳﺎﺯﻣﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩﺍﻧﺪ‪ .‬ﻭﻗﺘﻲ ﺩﺭ ﻳﻚ ﻓﺮﻣﺎﻥ‬
‫‪ GetNext‬ﺍﺯ ﻳﻚ ﻣﻮﺿﻮﻉ ﻧﺎﻡ ﺑﺮﺩﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﻋﺎﻣﻞ‪ ،‬ﻣﻮﺿﻮﻉ ﺑﻌﺪﻱ ﺩﺭ ﺩﺭﺧﺖ ﺭﺍ ﭘﻴﺪﺍ ﻛﺮﺩﻩ ﻭ ﺍﻧﺪﺍﺯﺓ ﺁﻥ ﺭﺍ ﺑﺮﺍﻱ ﻣﺪﻳﺮ‬
‫ﺑﺮﻣﻲﮔﺮﺩﺍﻧﺪ‪ GetNext .‬ﺍﺯ ﺍﻳﻦ ﺟﻬﺖ ﻣﻔﻴﺪ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﻳﻚ ﻣﺪﻳﺮ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﻳﻚ ﺩﺭﺧﺖ‪ ،‬ﺩﺭ ﻣﺤﻞ ﻋﺎﻣﻞ ﺭﺍ‪ ،‬ﺟﻬﺖ ﻳﺎﻓﺘﻦ‬
‫ﻣﻮﺿﻮﻋﺎﺕ »ﺑﻪ ﭘﻴﻤﺎﻳﺪ«‪ .‬ﻓﺮﻣﺎﻥ ‪ Set‬ﺑﻪ ﻣﺪﻳﺮ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺩﺭ ﻋﺎﻣﻞ ﺭﺍ ﺑﻪ ﺭﻭﺯﺭﺳﺎﻧﻲ ﻛﺮﺩﻩ ﻭ ﺑﺮﺍﻱ ﺧﻠﻖ ﻭ‬
‫ﺣﺬﻑ ﺭﺩﻳﻒﻫﺎﻱ ﺟﺪﺍﻭﻝ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﺪ‪ .‬ﻳﻚ ﻋﺎﻣﻞ ﺍﺯ ﻓﺮﻣﺎﻥ ‪ GetResponse‬ﺑﺮﺍﻱ ﭘﺎﺳﺦ ﺩﺍﺩﻥ ﺑﻪ ﻓﺮﻣﺎﻥ ﻳﻚ ﻣﺪﻳﺮ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎﻻﺧﺮﻩ ﻓﺮﻣﺎﻥ ‪ Trap‬ﻳﻚ ﻋﺎﻣﻞ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ ﻣﻨﺘﻈﺮ ﺩﺭﺧﻮﺍﺳﺖ ﻣﺪﻳﺮﻳﺖ ﺷﻮﺩ‪ ،‬ﺍﻃﻼﻋﺎﺕ ﺭﺍ‬
‫ﺑﺮﺍﻱ ﻣﺪﻳﺮ ﺑﻔﺮﺳﺘﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﻳﻚ ﻋﺎﻣﻞ ﻣﻲﺗﻮﺍﻧﺪ ﻃﻮﺭﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺷﻮﺩ ﺗﺎ ﺩﺭ ﺻﻮﺭﺕ ﭘﺎﺭﻩ ﺷﺪﻥ ﻳﻚ ﻟﻴﻨﻚ ﻭ ﻳﺎ ﺍﻓﺰﺍﻳﺶ‬
‫ﺗﺮﺍﻓﻴﻚ ﺍﺯ ﺁﺳﺘﺎﻧﺔ ﻣﺸﺨﺼﻲ‪ ،‬ﻳﻚ ﻓﺮﻣﺎﻥ ‪ trap‬ﺍﺭﺳﺎﻝ ﻛﻨﺪ‪.‬‬
‫‪ SNMPv2‬ﺗﻤﺎﻡ ﻓﺮﺍﻣﻴﻦ ﻣﻮﺟﻮﺩ ﺩﺭ ‪ SNMPv1‬ﺭﺍ ﺩﺍﺷﺘﻪ ﻭ ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﺩﺍﺭﺍﻱ ﺩﻭ ﻓﺮﻣﺎﻥ ﺍﺿﺎﻓﻲ ﺍﺳﺖ‪ .‬ﻓﺮﻣﺎﻥ ﻣﻬﻢﺗﺮ‪،‬‬
‫ﻓﺮﻣﺎﻥ ‪ Inform‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻓﺮﻣﺎﻥ ﺑﺘﻮﺳﻂ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺑﺮﺍﻱ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﺩﻳﮕﺮ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﻭ ﻫﻤﺎﻧﻨﺪ ‪ ،trap‬ﺍﻃﻼﻋﺎﺕ‬
‫ﻣﺮﺑﻮﻁ ﺑﻪ ﺣﺎﻟﺖﻫﺎ ﻳﺎ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﺍﻳﺠﺎﺩﺷﺪﻩ ﺩﺭ ﻳﻚ ﻓﺮﺳﺘﻨﺪﻩ ﺍﺳﺖ‪ .‬ﺣﺴﻦ ﻓﺮﻣﺎﻥ ‪ Inform‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﺁﻥ ﻣﻲﺗﻮﺍﻥ ﺩﺭ ﺳﺎﺧﺖ‬
‫ﻳﻚ ﭘﻴﻜﺮﺑﻨﺪﻱ‪ ،‬ﺑﺮﺍﻱ ﺗﻘﺴﻴﻢ ﻭﻇﺎﻳﻒ ﻣﺪﻳﺮﻳﺘﻲ ﺑﻴﻦ ﭼﻨﺪ ﻣﺪﻳﺮ‪ ،‬ﺩﺭ ﻳﻚ ﺷﺒﻜﺔ ﺑﺰﺭﮒ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ‪.‬‬
‫‪٢٩٧‬‬
‫ﺳِﺮﻭﺭ ﻣﺪﻳﺮﻳﺖ‬
‫)ﻣﺪﻳﺮ(‬
‫ﺳﺎﻳﺖ ﻣﺮﻛﺰﻱ‬
‫‪Ethernet‬‬
‫ﻣﺴﻴﺮﻳﺎﺏ‬
‫)ﻋﺎﻣﻞ(‬
‫ﻣﺪﻳﺮ ﻣﻴﺎﻧﻲ‬ ‫)ﻋﺎﻣﻞ(‬
‫)ﻣﺪﻳﺮ‪ /‬ﻋﺎﻣﻞ(‬
‫ﻋﺎﻣﻞ‬ ‫ﻋﺎﻣﻞ‬
‫ﻋﺎﻣﻞ‬
‫ﻣﺴﻴﺮﻳﺎﺏ‬ ‫ﻋﺎﻣﻞ‬ ‫ﻋﺎﻣﻞ‬
‫)ﻋﺎﻣﻞ(‬ ‫ﻋﺎﻣﻞ‬ ‫ﻋﺎﻣﻞ‬
‫‪switch‬‬ ‫‪Ethernet‬‬
‫ﻋﺎﻣﻞ‬
‫ﻋﺎﻣﻞ‬ ‫ﻋﺎﻣﻞ‬ ‫ﻋﺎﻣﻞ‬

‫ﻋﺎﻣﻞ‬
‫ﺷﻜﻞ ‪ ۸-۳‬ﻣﺜﺎﻟﻲ ﺍﺯ ﻣﺪﻳﺮﻳﺖ ﺗﻮﺯﻳﻊ ﺷﺪﻩ ﺷﺒﻜﻪ‬

‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٩٨‬‬
‫ﺟﺪﻭﻝ ‪ ۸-۱‬ﻣﻘﺎﻳﺴﺔ ‪PDU‬ﻫﺎﻱ ‪ SNMPv1‬ﻭ ‪SNMPv2‬‬
‫ﺗﻮﺻﻴﻒ‬ ‫ﺟﻬﺖ ﺍﺭﺳﺎﻝ‬ ‫‪SNMPv2 PDU‬‬ ‫‪SNMPv1 PDU‬‬

‫ﺩﺭﺧﻮﺍﺳﺖ ﺍﻧﺪﺍﺯﻩ ﺑﺮﺍﻱ ﻫﺮ ﻣﻮﺿﻮﻉ ﻟﻴﺴﺖ ﺷﺪﻩ‬ ‫ﻣﺪﻳﺮ ﺑﻪ ﻋﺎﻣﻞ‬ ‫‪GetRequest‬‬ ‫‪GetRequest‬‬
‫ﺩﺭﺧﻮﺍﺳﺖ ﺍﻧﺪﺍﺯﺓ ﺑﻌﺪﻱ ﺑﺮﺍﻱ ﻫﺮ ﻣﻮﺿﻮﻉ ﻟﻴﺴﺖ ﺷﺪﻩ‬ ‫ﻣﺪﻳﺮ ﺑﻪ ﻋﺎﻣﻞ‬ ‫‪GetNextRequest‬‬ ‫‪GetNextRequest‬‬
‫ﺩﺭﺧﻮﺍﺳﺖ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﻣﺘﻌﺪﺩ‬ ‫ﻣﺪﻳﺮ ﺑﻪ ﻋﺎﻣﻞ‬ ‫‪GetBulkRequest‬‬ ‫ــــــ‬
‫ﺗﻨﻈﻴﻢ ﺍﻧﺪﺍﺯﻩ ﺑﺮﺍﻱ ﻫﺮ ﻣﻮﺿﻮﻉ ﻟﻴﺴﺖ ﺷﺪﻩ‬ ‫ﻣﺪﻳﺮ ﺑﻪ ﻋﺎﻣﻞ‬ ‫‪SetRequest‬‬ ‫‪SetRequest‬‬
‫ﺍﻧﺘﻘﺎﻝ ﺍﻃﻼﻋﺎﺕ ﺩﺭﺧﻮﺍﺳﺖ ﻧﺸﺪﻩ‬ ‫ﻣﺪﻳﺮ ﺑﻪ ﻣﺪﻳﺮ‬ ‫‪InformRequest‬‬ ‫ــــــ‬
‫ﭘﺎﺳﺦ ﺑﻪ ﺩﺭﺧﻮﺍﺳﺖ ﻣﺪﻳﺮ‬ ‫ﻋﺎﻣﻞ ﺑﻪ ﻣﺪﻳﺮ ﻳﺎ‬ ‫‪Response‬‬ ‫‪GetResponse‬‬
‫ﻣﺪﻳﺮﺑﻪ ﻣﺪﻳﺮ‬
‫)‪(SNMPv2‬‬
‫ﺍﻧﺘﻘﺎﻝ ﺍﻃﻼﻋﺎﺕ ﺩﺭﺧﻮﺍﺳﺖ ﻧﺸﺪﻩ‬ ‫ﻋﺎﻣﻞ ﺑﻪ ﻣﺪﻳﺮ‬ ‫‪SNMPv2-Trap‬‬ ‫‪Trap‬‬
‫ﻓﺮﻣﺎﻥ ﺟﺪﻳﺪ ﺩﻳﮕﺮ‪ GetBulk ،‬ﺍﺳﺖ ﻛﻪ ﺑﻪ ﻳﻚ ﻣﺪﻳﺮ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺑﻠﻮﻙ ﺑﺰﺭﮔﻲ ﺍﺯ ﺩﺍﺩﻩﻫﺎ ﺭﺍ ﺩﺭﺧﻮﺍﺳﺖ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻓﺮﻣﺎﻥ‪ GetBulk‬ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ﺗﻤﺎﻡ ﺟﺪﺍﻭﻝ‪ ،‬ﺑﺘﻮﺳﻂ ﻳﻚ ﻓﺮﻣﺎﻥ ﻣﻨﻔﺮﺩ‪ ،‬ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻳﻚ ﺍﺧﺘﻼﻑ ﻧﻬﺎﺋﻲ‪ :‬ﻓﺮﻣﺎﻥ ‪ Get‬ﺩﺭ ﻣﻮﺭﺩ ‪ SNMPv1‬ﻳﻜﭙﺎﺭﭼﻪ ﺑﻮﺩﻩ ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﺩﺭ ﻣﻮﺭﺩ ‪ SNMPv2‬ﻳﻜﭙﺎﺭﭼﻪ ﻧﻴﺴﺖ‪.‬‬
‫ﺍﮔﺮ ﻓﺮﻣﺎﻥ ‪ Get‬ﺩﺭ ‪ SNMPv1‬ﺷﺎﻣﻞ ﻟﻴﺴﺘﻲ ﺍﺯ ﻣﻮﺿﻮﻋﺎﺕ ﺑﺎﺷﺪ ﻛﻪ ﺍﻧﺪﺍﺯﺓ ﺁﻧﻬﺎ ﺩﺭﺧﻮﺍﺳﺖ ﺷﺪﻩ ﺍﺳﺖ ﻭ ﺣﺪﺍﻗﻞ ﻳﻜﻲ ﺍﺯ ﺍﻳﻦ‬
‫ﻣﻮﺿﻮﻋﺎﺕ ﺩﺭ ﻣﺤﻞ ﻋﺎﻣﻞ ﻣﻮﺟﻮﺩ ﻧﺒﺎﺷﺪ‪ ،‬ﺗﻤﺎﻡ ﻓﺮﻣﺎﻥ ﭘﺬﻳﺮﻓﺘﻪ ﻧﺨﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺑﺮﺍﻱ ‪ SNMPv2‬ﭼﻨﻴﻦ ﻧﺒﻮﺩﻩ ﻭ ﺑﺨﺸﻲ ﺍﺯ ﻧﺘﺎﻳﺞ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎﺯﮔﺸﺖ ﺩﺍﺩﻩ ﺷﻮﺩ‪ .‬ﻓﺮﻣﺎﻥ ‪ Get‬ﻏﻴﺮﻳﻜﭙﺎﺭﭼﻪ‪ ،‬ﺍﺳﺘﻔﺎﺩﺓ ﺑﻬﺮﻩﻭﺭﺗﺮﻱ ﺍﺯ ﻇﺮﻓﻴﺖ ﺷﺒﻜﻪ ﺑﺘﻮﺳﻂ ﻣﺪﻳﺮ ﺭﺍ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺗﺴﻬﻴﻼﺕ ﺟﺎﻣﻌﻪﺍﻱ ‪SNMPv1‬‬ ‫‪۸-۲‬‬
‫‪ SNMPv1‬ﺑﺮﺍﺑﺮ ﺁﻧﭽﻪ ﻛﻪ ﺩﺭ‪ RFC 1157‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺗﻨﻬﺎ ﺷﺎﻣﻞ ﻳﻚ ﺍﻣﻜﺎﻥ ﺍﻣﻨﻴﺘﻲ ﺍﺑﺘﺪﺍﺋﻲ ﻣﺒﺘﻨﻲ ﺑﺮﻣﻔﻬﻮﻡ ﺟﺎﻣﻌﻪ‬
‫)‪ (community‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻣﻜﺎﻥ‪ ،‬ﺳﻄﺢ ﻣﻌﻴﻨﻲ ﺍﺯ ﺍﻣﻨﻴﺖ ﺭﺍ ﺍﻳﺠـﺎﺩ ﻛﺮﺩﻩ ﻭﻟــﻲ ﺑﻪ ﺣﻤﻼﺕ ﻣﺨﺘﻠﻒ ﺁﺳﻴﺐﭘــﺬﻳﺮ ﺍﺳﺖ‬
‫]‪.[CERT02,JIAN02‬‬
‫ﺟﻮﺍﻣﻊ ﻭ ﻧﺎﻡﻫﺎﻱ ﺟﻮﺍﻣﻊ‬

‫ﻫﻤﺎﻧﻨﺪ ﺳﺎﻳﺮ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺗﻮﺯﻳﻊ ﺷﺪﻩ‪ ،‬ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺍﺯ ﺗﻌﺎﻣﻞ ﺗﻌﺪﺍﺩﻱ ﻣﻮﺟﻮﺩﻳﺖﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﻛﻪ ﺍﺯ ﺳﻮﻱ ﻳﻚ ﭘﺮﻭﺗﻜﻞ‬
‫ﻛﺎﺭﺑﺮﺩﻱ ﺣﻤﺎﻳﺖ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺗﺸﻜﻴﻞ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ‪ ،SNMP‬ﻣﻮﺟﻮﺩﻳﺖﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﻣﺪﻳﺮﻫﺎ ﻭ ﻋﺎﻣﻞﻫﺎﺋﻲ ﻫﺴﺘﻨﺪﻛﻪ ﺍﺯ‬
‫‪ SNMP‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ‪ SNMP‬ﺩﺍﺭﺍﻱ ﭼﻨﺪﻳﻦ ﻣﺸﺨﺼﻪ ﺍﺳﺖ ﻛﻪ ﺷﺒﻴﻪ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺗﻮﺯﻳﻊ ﺷﺪﺓ ﺩﻳﮕﺮ ﻧﻴﺴﺘﻨﺪ‪ SNMP .‬ﺷﺎﻣﻞ‬
‫ﻳﻚ ﺭﺍﺑﻄﺔ ﻳﻚ‪ -‬ﺑﻪ‪ -‬ﭼﻨﺪ ﺑﻴﻦ ﻳﻚ ﻣﺪﻳﺮ ﻭ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻋﻮﺍﻣﻞ ﺍﺳﺖ‪ :‬ﻣﺪﻳﺮ ﻗﺎﺩﺭ ﺍﺳﺖ ﻛﻪ ﻣﻮﺿﻮﻋﺎﺕ ﻣﻮﺟﻮﺩ ﺩﺭ ﻋﻮﺍﻣﻞ ﺭﺍ‬
‫ﺑﺪﺳﺖ ﺁﻭﺭﺩﻩ ﻭ ﺗﻨﻈﻴﻢ ﻛﻨﺪ‪ .‬ﺍﻭ ﻫﻤﭽﻨﻴﻦ ﻗﺎﺩﺭ ﺍﺳﺖ ﻛﻪ ‪trap‬ﻫﺎ ﺭﺍ ﺍﺯ ﻋﻮﺍﻣﻞ ﺩﺭﻳﺎﻓﺖ ﺩﺍﺭﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﺯ ﻧﻈﺮ ﻋﻤﻠﻴﺎﺗﻲ ﻳﺎ ﻛﻨﺘﺮﻟﻲ‪،‬‬
‫ﻣﺪﻳﺮ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻋﻮﺍﻣﻞ ﺭﺍ »ﻣﺪﻳﺮﻳﺖ ﻣﻲﻛﻨﺪ«‪ .‬ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﻌﺪﺍﺩﻱ ﻣﺪﻳﺮ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪﻛﻪ ﻫﺮﻳﻚ ﺍﺯ ﺁﻧﻬﺎ ﺗﻤﺎﻡ ﻭ ﻳﺎ‬
‫ﺯﻳﺮﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻋﻮﺍﻣﻞ ﺭﺍ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻭ ﻣﺪﻳﺮﻳﺖ ﻧﻤﺎﻳﻨﺪ‪ .‬ﺍﻳﻦ ﺯﻳﺮﻣﺠﻤﻮﻋﻪﻫﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﻫﻢﭘﻮﺷﺎﻧﻲ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪٢٩٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﺑﻬﻤﻴﻦ ﺗﺮﺗﻴﺐ ﺑﺎﻳﺴﺘﻲ ﻗﺎﺩﺭ ﺑﺎﺷﻴﻢ ﺗﺎ ﺷﺒﻜﺔ ﻣﺪﻳﺮﻳﺖ ‪ SNMP‬ﺭﺍ ﺑﺼﻮﺭﺕ ﻳﻚ ﺭﺍﺑﻄﺔ ﻳﻚ‪ -‬ﺑﻪ‪ -‬ﭼﻨﺪ ﺍﺯ ﻃﺮﻑ ﻳﻚ ﻋﺎﻣﻞ ﺑﺎ‬
‫ﭼﻨﺪ ﻣﺪﻳﺮ ﻧﮕﺎﻩ ﻛﻨﻴﻢ‪ .‬ﻫﺮ ﻋﺎﻣﻞ‪ MIB ،‬ﻣﺤﻠﻲ ﺧﻮﺩ ﺭﺍ ﻛﻨﺘﺮﻝ ﻛﺮﺩﻩ ﻭ ﺑﺎﻳﺴﺘﻲ ﻗﺎﺩﺭ ﺑﺎﺷﺪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺁﻥ ‪ MIB‬ﺑﺘﻮﺳﻂ ﺗﻌﺪﺍﺩﻱ‬
‫ﻣﺪﻳﺮ ﺭﺍ ﻛﻨﺘﺮﻝ ﻛﻨﺪ‪ .‬ﺍﻳﻦ ﻛﻨﺘﺮﻝ ﺩﺍﺭﺍﻱ ﺳﻪ ﺟﻨﺒﻪ ﺍﺳﺖ‪:‬‬
‫ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ :‬ﻋﺎﻣﻞ ﻣﻤﻜﻦ ﺍﺳﺖ ﻋﻼﻗﻪﻣﻨﺪ ﺑﺎﺷﺪ ﺗﺎ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ‪ MIB‬ﺭﺍ ﺗﻨﻬﺎ ﺑﻪ ﻣﺪﻳﺮﻳﺖﻫﺎﻱ ﻣﻌﺘﺒﺮ ﺍﺟﺎﺯﻩ‬ ‫•‬
‫ﺩﻫﺪ‪.‬‬
‫ﺧﻂﻣﺸﻲ ﺩﺳﺖﻳﺎﺑﻲ‪ :‬ﻋﺎﻣﻞ ﻣﻤﻜﻦ ﺍﺳﺖ ﻋﻼﻗﻪﻣﻨﺪ ﺑﺎﺷﺪ ﺗﺎ ﺍﻣﺘﻴﺎﺯﺍﺕ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺘﻔﺎﻭﺗﻲ ﺑﻪ ﻣﺪﻳﺮﺍﻥ ﻣﺨﺘﻠﻒ ﺗﺨﺼﻴﺺ‬ ‫•‬
‫ﺩﻫﺪ‪.‬‬
‫ﺳﺮﻭﻳﺲ ﭘﺮﻭﻛﺴﻲ‪ :‬ﻳﻚ ﻋﺎﻣﻞ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻌﻨﻮﺍﻥ ﻭﻛﻴﻞ )ﭘﺮﻭﻛﺴﻲ( ﺳﺎﻳﺮ ﻋﻮﺍﻣﻞ ﻋﻤﻞ ﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ‬ ‫•‬
‫ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ‪ /‬ﻳﺎ ﺧﻂﻣﺸﻲ ﺩﺳﺖﻳﺎﺑﻲ ﺑﺮﺍﻱ ﺳﺎﻳﺮ ﻋﻮﺍﻣﻞ‪ ،‬ﺩﺭ ﺳﻴﺴﺘﻢ ﭘﺮﻭﻛﺴﻲ ﺑﺎﺷﺪ‪.‬‬
‫ﺗﻤﺎﻡ ﺍﻳﻦ ﺟﻨﺒﻪﻫﺎ ﻣﺮﺗﺒﻂ ﺑﺎ ﻣﺴﺎﺋﻞ ﺍﻣﻨﻴﺘﻲ ﻫﺴﺘﻨﺪ‪ .‬ﺩﺭ ﻣﺤﻴﻄﻲ ﻛﻪ ﻣﺴﺌﻮﻟﻴﺖ ﻣﺆﻟﻔﻪﻫﺎﻱ ﺷﺒﻜﻪ ﺗﻘﺴﻴﻢﺑﻨﺪﻱ ﺷﺪﻩﺍﻧﺪ )ﻣﺜﻼﹰ ﺑﻴﻦ‬
‫ﺗﻌﺪﺍﺩﻱ ﻭﺍﺣﺪﻫﺎﻱ ﻣﺪﻳﺮﻳﺘﻲ(‪ ،‬ﻋﺎﻣﻞﻫﺎ ﻧﻴﺎﺯﻣﻨﺪ ﺣﻔﺎﻇﺖ ﺧﻮﺩ ﻭ ‪MIB‬ﻫﺎﻱ ﺧﻮﺩ ﺍﺯ ﺩﺳﺖﻳﺎﺑﻲﻫﺎﻱ ﻧﺎﺧﻮﺍﺳﺘﻪ‪ /‬ﻏﻴﺮﻣﻌﺘﺒﺮ ﻣﻲﺑﺎﺷﻨﺪ‪.‬‬
‫‪ SNMP‬ﺑﺮﺍﺑﺮ ﺁﻧﭽﻪ ﺩﺭ ‪ RFC 1157‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺗﻨﻬﺎ ﻳﻚ ﺍﻣﻜﺎﻥ ﺍﺑﺘﺪﺍﺋﻲ ﻭ ﻣﺤﺪﻭﺩ ﺍﺯ ﭼﻨﻴﻦ ﺍﻣﻨﻴﺘﻲ ﺑﺎ ﻧﺎﻡ ﺟﺎﻣﻌﻪ ﺭﺍ ﻓﺮﺍﻫﻢ‬
‫ﻣﻲﺁﻭﺭﺩ‪.‬‬
‫ﻳﻚ ﺟﺎﻣﻌﺔ )‪ ،SNMP (community‬ﻳﻚ ﺭﺍﺑﻄﺔ ﺑﻴﻦ ﻳﻚ ﻋﺎﻣﻞ ‪ SNMP‬ﺑﺎ ﺟﻤﻌﻲ ﺍﺯ ﻣﺪﻳﺮﺍﻥ ‪ SNMP‬ﺍﺳﺖ ﻛﻪ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻭ ﻣﺸﺨﺼﻪﻫﺎﻱ ﭘﺮﻭﻛﺴﻲ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﺟﺎﻣﻌﻪ ﻳﻚ ﻣﻔﻬﻮﻡ ﻣﺤﻠﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻣﺤﻞ ﻳﻚ ﻋﺎﻣﻞ‬
‫ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪ .‬ﻋﺎﻣﻞ ﺑﺮﺍﻱ ﻫﺮ ﺗﺮﻛﻴﺐ ﻣﻄﻠﻮﺏ ﺍﺯ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻭ ﻣﺸﺨﺼﻪﻫﺎﻱ ﭘﺮﻭﻛﺴﻲ‪ ،‬ﻳﻚ ﺟﺎﻣﻌﻪ ﺭﺍ ﺗﻌﺮﻳﻒ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺑﻪ ﻫﺮ ﺟﺎﻣﻌﻪ‪ ،‬ﻳﻚ ﻧﺎﻡ ﻳﻜﺘﺎ )ﺩﺭ ﺩﺭﻭﻥ ﺍﻳﻦ ﻋﺎﻣﻞ( ﺩﺍﺩﻩ ﺷﺪﻩ ﻭ ﻣﺪﻳﺮﺍﻥ ﻣﺘﻌﻠﻖ ﺑﻪ ﺍﻳﻦ ﺟﺎﻣﻌﻪ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﻧﺎﻡ ﺍﻳﻦ ﺟﺎﻣﻌﻪ ﺩﺭ‬
‫ﺗﻤﺎﻡ ﻓﺮﺍﻣﻴﻦ ‪ get‬ﻭ ‪ set‬ﺧﻮﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﻨﺪ‪ .‬ﻳﻚ ﻋﺎﻣﻞ ﻣﻲﺗﻮﺍﻧﺪ ﭼﻨﺪﻳﻦ ﺟﺎﻣﻌﻪ ﺭﺍ ﺗﺸﻜﻴﻞ ﺩﻫﺪ ﺑﻄﻮﺭﻱ ﻛﻪ ﻋﻀﻮﻳﺖ ﻣﺪﻳﺮﺍﻥ ﺩﺭ‬
‫ﺍﻳﻦ ﺟﻮﺍﻣﻊ ﻫﻢﭘﻮﺷﺎﻧﻲ ﻫﻢ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﭼﻮﻥ ﺟﻮﺍﻣﻊ ﺑﻄﻮﺭ ﻣﺤﻠﻲ ﺩﺭ ﻳﻚ ﻋﺎﻣﻞ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﻋﻮﺍﻣﻞ ﻣﺨﺘﻠﻒ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﻧﺎﻡ ﻭﺍﺣﺪﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﻨﺪ‪ .‬ﻳﻜﺴﺎﻥ‬
‫ﺑﻮﺩﻥ ﺍﻳﻦ ﻧﺎﻡﻫﺎ ﻣﻬﻢ ﻧﺒﻮﺩﻩ ﻭ ﻧﺸﺎﻥﺩﻫﻨﺪﺓ ﻫﻴﭻ ﺷﺒﺎﻫﺘﻲ ﺑﻴﻦ ﺟﻮﺍﻣﻊ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﻧﻴﺴﺘﻨﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻳﻚ ﻣﺪﻳﺮ ﺑﺎﻳﺴﺘﻲ ﺳﺎﺑﻘﺔ ﻧﺎﻡ ﻭ ﻳﺎ‬
‫ﻧﺎﻡﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﻫﺮ ﻋﺎﻣﻠﻲ ﻛﻪ ﻣﺎﻳﻞ ﺑﻪ ﺗﻤﺎﺱ ﺑﺎ ﺁﻥ ﺍﺳﺖ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﻫﺪﻑ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪ SNMPv1‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﮔﻴﺮﻧﺪﻩ ﺍﻃﻤﻴﻨﺎﻥ ﺩﻫﺪ ﻛﻪ ﻳﻚ ﭘﻴﺎﻡ ‪ SNMPv1‬ﺍﺯ ﻫﻤﺎﻥ ﻣﻨﺒﻌﻲ ﺻﺎﺩﺭ‬
‫ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺍﺩﻋﺎ ﻣﻲﻛﻨﺪ‪ SNMPv1 .‬ﺗﻨﻬﺎ ﻳﻚ ﺭﻭﺵ ﺍﺑﺘﺪﺍﺋﻲ ﺑﺮﺍﻱ ﺍﺣﺮﺍﺯ ﻫﻮﻳﺖ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﻫﺮ ﭘﻴﺎﻡ )ﺗﻘﺎﺿﺎﻱ ‪get‬‬
‫ﻳﺎ ‪ (put‬ﺍﺯ ﻳﻚ ﻣﺪﻳﺮ ﺑﻪ ﻳﻚ ﻋﺎﻣﻞ‪ ،‬ﺷﺎﻣﻞ ﻧﺎﻡ ﻳﻚ ﺟﺎﻣﻌﻪ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻧﺎﻡ ﺑﺼﻮﺭﺕ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻋﻤﻞ ﻛﺮﺩﻩ ﻭ ﺍﮔﺮ ﻓﺮﺳﺘﻨﺪﻩ ﻛﻠﻤﺔ‬
‫ﻋﺒﻮﺭ ﺭﺍ ﺑﺪﺍﻧﺪ‪ ،‬ﻣﻌﺘﺒﺮ ﺗﻠﻘﻲ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﺑﺎ ﭼﻨﻴﻦ ﻓﺮﻡ ﻣﺤﺪﻭﺩﻱ ﺍﺯ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﻣﺪﻳﺮﺍﻥ ﺷﺒﻜﻪ ﺣﺎﺿﺮ ﻧﻴﺴﺘﻨﺪ ﻛﻪ ﭼﻴﺰﻱ ﺑﺠﺰ ﭘﺎﻳﺶ ﺷﺒﻜﻪ‪ ،‬ﻳﻌﻨﻲ ﻋﻤﻠﻴﺎﺕ‬
‫‪ get‬ﻭ ‪ trap‬ﺭﺍ ﺍﺟﺎﺯﻩ ﺩﻫﻨﺪ‪ .‬ﻛﻨﺘﺮﻝ ﺷﺒﻜﻪ ﺍﺯ ﻃﺮﻳﻖ ﻋﻤﻞ ‪ ،set‬ﻃﺒﻴﻌﺘﺎﹰ ﺍﻣﺮ ﺣﺴﺎﺱﺗﺮﻱ ﺍﺳﺖ‪ .‬ﻧﺎﻡ ﺟﺎﻣﻌﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺁﻏﺎﺯﻛﻨﻨﺪﺓ ﻳﻚ‬
‫ﺭَﻭﻳﺔ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺎﺷﺪ ﺑﺸﺮﻁ ﺍﻳﻨﻜﻪ ﺍﺯ ﻧﺎﻡ ﻓﻘﻂ ﺑﺼﻮﺭﺕ ﺍﺑﺰﺍﺭ ﺍﻭﻟﻴﻪ ﺟﺴﺘﺠﻮﻱ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪ .‬ﺭَﻭﻳﺔ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻲﺗﻮﺍﻧﺪ‬
‫ﺷﺎﻣﻞ ﻣﺮﺍﺣﻞ ﭘﻴﭽﻴﺪﻩﺗﺮﻱ ﻣﺜﻞ ﺭﻣﺰﻧﮕﺎﺭﻱ‪/‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﺮﺍﻱ ﺗﺄﻣﻴﻦ ﺍﻣﻨﻴﺖ ﺑﻴﺸﺘﺮ ﺑﺎﺷﺪ‪ .‬ﺍﻳﻦ ﻣﺴﺎﺋﻞ ﻭﺭﺍﻱ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ‪RFC 1157‬‬
‫ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪.‬‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٠٠‬‬
‫ﺧﻂﻣﺸﻲ ﺩﺳﺖﻳﺎﺑﻲ‬
‫ﺑﺎ ﺗﻌﺮﻳﻒ ﻳﻚ ﺟﺎﻣﻌﻪ‪ ،‬ﻳﻚ ﻋﺎﻣﻞ‪ ،‬ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ‪ MIB‬ﺧﻮﺩ ﺑﺮﺍﻱ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻣﺪﻳﺮﺍﻥ ﺭﺍ ﻣﺤﺪﻭﺩ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺑﻴﺶ ﺍﺯ ﻳﻚ‬
‫ﺟﺎﻣﻌﻪ‪ ،‬ﻋﺎﻣﻞ ﻣﻲﺗﻮﺍﻧﺪ ﮔﺮﻭﻩﻫﺎﻱ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺨﺘﻠﻒ ﺑﺮﺍﻱ ﻣﺪﻳﺮﺍﻥ ﻣﺨﺘﻠﻒ ﺗﻌﺮﻳﻒ ﻛﻨﺪ‪ .‬ﺍﻳﻦ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺩﻭ ﺟﻨﺒﻪ ﺩﺍﺭﺩ‪:‬‬
‫• ﻣﻨﻈﺮ ‪ MIB‬ﺩﺭ ‪ :SNMP‬ﻣﻨﻈﺮ)‪ (view‬ﺯﻳﺮﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻣﻮﺿﻮﻋﺎﺕ‪ ،‬ﺩﺭ ﺩﺭﻭﻥ ﻳﻚ ‪ MIB‬ﺍﺳﺖ‪ .‬ﻣﻨﻈﺮﻫﺎﻱ ‪MIB‬‬
‫ﻣﺨﺘﻠﻒ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﻫﺮ ﺟﺎﻣﻌﻪ ﺗﻌﺮﻳﻒ ﺷﻮﺩ‪ .‬ﻣﺠﻤﻮﻋﺔ ﻣﻮﺿﻮﻋﺎﺕ ﺩﺭ ﻳﻚ ﻣﻨﻈﺮ ﻧﻴﺎﺯﻱ ﻧﻴﺴﺖ ﻛﻪ ﺑﻪ ﻳﻚ ﺯﻳﺮﺷﺎﺧﺔ‬
‫ﻣﻨﻔﺮﺩ ‪ MIB‬ﺗﻌﻠﻖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫• ﻣُﻮﺩ ﺩﺳﺖﻳﺎﺑﻲ ‪ :SNMP‬ﻳﻚ ﻋﻨﺼﺮ ﺍﺯ ﻣﺠﻤﻮﻋﻪ}‪{READ-ONLY,READ-WRITE‬ﺍﺳﺖ‪ .‬ﻳﻚ ﻣُﻮﺩ ﺩﺳﺖﻳﺎﺑﻲ‬
‫ﺑﺮﺍﻱ ﻫﺮ ﺟﺎﻣﻌﻪ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺗﺮﻛﻴﺐ ﻳﻚ ﻣﻨﻈﺮ‪ MIB‬ﻭ ﻣُﻮﺩ ﺩﺳﺖﻳﺎﺑﻲ ﺭﺍ ﻳﻚ ﭘﺮﻭﻓﺎﻳﻞ ﺟﺎﻣﻌﺔ ‪ SNMP‬ﮔﻮﻳﻨﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﭘﺮﻭﻓﺎﻳﻞ ﻳﻚ ﺟﺎﻣﻌﻪ ﺷﺎﻣﻞ‬
‫ﻳﻚ ﺯﻳﺮﻣﺠﻤﻮﻋﺔ ﺗﻌﺮﻳﻒﺷﺪﻩ ﺍﺯ ‪ MIB‬ﺩﺭ ﻳﻚ ﻋﺎﻣﻞ‪ ،‬ﺑﺎﺿﺎﻓﺔ ﻳﻚ ﻣُﻮﺩ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺁﻥ ﻣﻮﺿﻮﻋﺎﺕ ﺍﺳﺖ‪ .‬ﻣُﻮﺩ ﺩﺳﺖﻳﺎﺑﻲ‬
‫‪ SNMP‬ﺑﻄﻮﺭ ﻳﻜﻨﻮﺍﺧﺖ ﺑﻪ ﺗﻤﺎﻡ ﻣﻮﺿﻮﻋﺎﺕ ﺩﺭ ‪ MIB view‬ﺍﻋﻤﺎﻝ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﮔﺮ ﻣُﻮﺩ ﺩﺳﺖﻳﺎﺑﻲ ‪READ-ONLY‬‬
‫ﺍﻧﺘﺨﺎﺏ ﺷﻮﺩ‪ ،‬ﺑﻪ ﺗﻤﺎﻡ ﻣﻮﺿﻮﻋﺎﺕ ﻣﻨﻈﺮ ﺍﻋﻤﺎﻝ ﺷﺪﻩ ﻭ ﻣﺪﻳﺮﺍﻥ ﺭﺍ ﻣﺤﺪﻭﺩ ﻣﻲﺳﺎﺯﺩ‪ :‬ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺍﻳﻦ ﻣﻨﻈﺮ ﻓﻘﻂ ‪READ-ONLY‬‬
‫ﺍﺳﺖ‪.‬‬
‫ﺑﺎ ﻫﺮ ﺟﺎﻣﻌﺔ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻳﻚ ﻋﺎﻣﻞ‪ ،‬ﻳﻚ ﭘﺮﻭﻓﺎﻳﻞ ﺟﺎﻣﻌﻪ ﻣﺮﺗﺒﻂ ﺍﺳﺖ‪ .‬ﺗﺮﻛﻴﺐ ﻳﻚ ﺟﺎﻣﻌﺔ ‪ SNMP‬ﻭ ﻳﻚ‬
‫ﭘﺮﻭﻓﺎﻳﻞ ﺟﺎﻣﻌﺔ ‪ SNMP‬ﺭﺍ ﺧﻂﻣﺸﻲ ﺩﺳﺖﻳﺎﺑﻲ ‪ SNMP‬ﺧﻮﺍﻧﻨﺪ‪ .‬ﺷﻜﻞ‪ ۸-۴‬ﻣﻔﺎﻫﻴﻤﻲ ﺭﺍ ﻛﻪ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﮔﺮﻓﺖ ﻧﺸﺎﻥ‬
‫‪SNMP‬‬ ‫‪Set of SNMP‬‬ ‫‪SNMP‬‬ ‫‪SNMP‬‬

‫‪agent‬‬ ‫‪managers‬‬ ‫‪MIB view‬‬ ‫‪access mode‬‬
‫‪SNMP community‬‬ ‫‪SNMP community‬‬

‫)‪(community name‬‬ ‫‪profile‬‬
‫‪SNMP‬‬
‫‪access policy‬‬
‫ﺷﻜﻞ ‪ ۸-۴‬ﻣﻔﺎﻫﻴﻢ ﻣﺪﻳﺮﻳﺘﻲ ‪SNMPv1‬‬

‫‪٣٠١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﺳﺮﻭﻳﺲ ﭘﺮﻭﻛﺴﻲ‬
‫ﻣﻔﻬﻮﻡ ﺟﺎﻣﻌﻪ ﺩﺭ ﭘﺸﺘﻴﺒﺎﻧﻲ ﺳﺮﻭﻳﺲ ﭘﺮﻭﻛﺴﻲ ﻧﻴﺰ ﻣﻔﻴﺪ ﺍﺳﺖ‪ .‬ﺑﺨﺎﻃﺮ ﺁﻭﺭﻳﺪ ﻛﻪ ﻳﻚ ﭘﺮﻭﻛﺴﻲ ﻳﻚ ﻋﺎﻣﻞ ‪ SNMP‬ﺍﺳﺖ ﻛﻪ ﺑﻪ‬
‫ﻭﻛﺎﻟﺖ ﺍﺯ ﻃﺮﻑ ﺳﺎﻳﺮ ﺩﺳﺘﮕﺎﻩﻫﺎ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪ .‬ﻣﻌﻤﻮﻻﹰ ﺳﺎﻳﺮ ﺩﺳﺘﮕﺎﻩﻫﺎ ﺑﻴﮕﺎﻧﻪ ﻫﺴﺘﻨﺪ‪ ،‬ﻳﻌﻨﻲ ‪ TCP/IP‬ﻭ ‪ SNMP‬ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ‬
‫ﻧﻤﻲﻛﻨﻨﺪ‪ .‬ﺩﺭ ﺑﺮﺧﻲ ﻣﻮﺍﺭﺩ ﺳﻴﺴﺘﻢﻫﺎﻱ ﭘﺮﻭﻛﺴﻲ ﺷﺪﻩ ﻣﻤﻜﻦ ﺍﺳﺖ ‪ SNMP‬ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻛﻨﻨﺪ ﻭﻟﻲ ﭘﺮﻭﻛﺴﻲ ﺑﺮﺍﻱ ﺑﺤﺪﺍﻗﻞ ﺭﺳﺎﻧﺪﻥ‬
‫ﺗﻌﺎﻣﻞ ﺑﻴﻦ ﺩﺳﺘﮕﺎﻩ ﭘﺮﻭﻛﺴﻲ ﺷﺪﻩ ﻭ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‬
‫ﺑﺮﺍﻱ ﻫﺮ ﺩﺳﺘﮕﺎﻫﻲ ﻛﻪ ﭘﺮﻭﻛﺴﻲ ﻭﻛﻴﻞ ﺁﻥ ﺍﺳﺖ‪ ،‬ﻳﻚ ﺧﻂﻣﺸﻲ ﺩﺳﺖﻳﺎﺑﻲ ‪ SNMP‬ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﭘﺮﻭﻛﺴﻲ ﻣﻲﺩﺍﻧﺪ‬
‫ﻛﻪ ﻛﺪﺍﻡ ﻣﻮﺿﻮﻋﺎﺕ ‪ MIB‬ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ ﺳﻴﺴﺘﻢﻫﺎﻱ ﭘﺮﻭﻛﺴﻲ ﺷﺪﻩ )‪ (MIB view‬ﻭ ﻣُﻮﺩﻫﺎﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺁﻥ ﺑﻜﺎﺭ‬
‫ﺭﻭﻧﺪ‪.‬‬
‫‪SNMPv3‬‬ ‫‪۸-۳‬‬
‫ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۸‬ﻣﻴﻼﺩﻱ‪ ،‬ﮔﺮﻭﻩ ﻛﺎﺭﻱ ‪ IETF SNMPv3‬ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﺍﺯ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﭘﻴﺸﻨﻬﺎﺩﺷﺪﻩ ﺑﺮﺍﻱ ﺍﻳﻨﺘﺮﻧﺖ ﻛﻪ ﺩﺭ ﺣﺎﻝ‬
‫ﺣﺎﺿﺮ ‪ RFC 2570‬ﺗﺎ ‪ RFC 2576‬ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﻨﺪ ﻓﺮﺍﻫﻢ ﻧﻤﻮﺩ‪ .‬ﺍﻳﻦ ﻣﺠﻤﻮﻋﺔ ﺍﺳﻨﺎﺩ‪ ،‬ﻳﻚ ﭼﻬﺎﺭﭼﻮﺏ ﺑﺮﺍﻱ ﺑﻜﺎﺭﮔﻴﺮﻱ‬
‫ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺩﺭ ﻣﺸﺨﺼﻪﻫﺎﻱ ﻛﻠﻲ ﻋﻤﻠﻴﺎﺕ ‪ SNMPv1‬ﻳﺎ ‪ SNMPv2‬ﺭﺍ ﺷﺎﻣﻞ ﻣﻲﺷﻮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ‪ ،‬ﺍﺳﻨﺎﺩ ﻳﻚ ﻣﺠﻤﻮﻋﻪ‬
‫ﺍﺯ ﻗﺎﺑﻠﻴﺖﻫﺎ ﺑﺮﺍﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﻭ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﻧﺪ‪.‬‬
‫ﺗﻮﺟﻪ ﺑﻪ ﺍﻳﻦ ﻧﻜﺘﻪ ﻣﻬﻢ ﺍﺳﺖ ﻛﻪ ‪ SNMPv3‬ﻳﻚ ﺟﺎﻧﺸﻴﻦ ﺑﺮﺍﻱ‪ SNMPv1‬ﻭ‪/‬ﻳﺎ ‪ SNMPv2‬ﻧﻴﺴﺖ‪ SNMPv3 .‬ﻳﻚ‬
‫ﻗﺎﺑﻠﻴﺖ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻬﻤﺮﺍﻩ ‪) SNMPv2‬ﺗﺮﺟﻴﺤﺎﹰ( ﻭ ﻳﺎ ‪ SNMPv1‬ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ‪RFC 2571،‬‬
‫ﻳﻚ ﻣﻌﻤﺎﺭﻱ ﻛﻪ ﺩﺭ ﺁﻥ ﺗﻤﺎﻡ ﻧﺴﺨﻪﻫﺎﻱ ﺟﺎﺭﻱ ﻭ ﺁﺗﻲ ‪ SNMP‬ﻣﻲﮔﻨﺠﻨﺪ ﺭﺍ ﺗﻮﺻﻴﻒ ﻣﻲﻛﻨﺪ‪ RFC 2575 .‬ﻧﻴﺰ ﻳﻚ ﺍﻣﻜﺎﻥ‬
‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ ﻛﻪ ﻫﺪﻑ ﺁﻥ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﻄﻮﺭ ﻣﺴﺘﻘﻞ ﺍﺯ ﻗﺎﺑﻠﻴﺖ ﻫﺴﺘﺔ ‪ SNMPv3‬ﻋﻤﻞ ﻛﻨﺪ‪ .‬ﺩﺭ ﺍﻳﻦ‬
‫ﺑﺨﺶ ﻳﻚ ﻧﮕﺎﻩ ﻛﻠﻲ ﺑﻪ ‪ RFC‬ﻫﺎﻱ ‪ 2570‬ﺗﺎ ‪ 2576‬ﻧﻤﻮﺩﻩ ﻭ ﺗﻮﺍﻧﺎﺋﻲﻫﺎﻱ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺩﺭ ﺁﻧﻬﺎ ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺷﻜﻞ ‪ ۸-۵‬ﺭﺍﺑﻄﺔ ﻣﻴﺎﻥ ﻧﺴﺨﻪﻫﺎﻱ ﻣﺨﺘﻠﻒ ‪ SNMP‬ﺍﺯ ﻧﻈﺮ ﻓﺮﻣﺖ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻃﻼﻋﺎﺕ ﺑﻴﻦ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ‬
‫ﻣﺪﻳﺮﻳﺖ ﻭ ﻳﻚ ﻋﺎﻣﻞ ﻣﺪﻳﺮﻳﺖ ﺑﻪ ﺷﻜﻞ ﻳﻚ ﭘﻴﺎﻡ ‪ SNMP‬ﻣﺒﺎﺩﻟﻪ ﻣﻲﺷﻮﺩ‪ .‬ﭘﺮﺩﺍﺯﺵﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ ﺩﺭ ﺳﻄﺢ ﭘﻴﺎﻡ ﺍﻧﺠﺎﻡ‬
‫ﻣﻲﺷﻮﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ‪ SNMPv3‬ﻳﻚ ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﻛﺎﺭﺑﺮ)‪ User Security Model (USM‬ﻛﻪ ﺍﺯ ﻣﻴﺪﺍﻥﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺩﺭ‬
‫ﺳﺮﺁﻳﻨﺪ ﭘﻴﺎﻡ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﻣﺤﻤﻮﻟﺔ ﻳﻚ ﭘﻴﺎﻡ ‪ ،SNMP‬ﻳﻚ ‪ PDU‬ﺍﺯ ‪ SNMPv1‬ﻳﺎ ‪ SNMPv2‬ﺍﺳﺖ‪.‬‬
‫ﻳﻚ ‪ PDU‬ﻧﻤﺎﻳﺶﺩﻫﻨﺪﺓ ﻳﻚ ﻋﻤﻞ ﻣﺪﻳﺮﻳﺘﻲ )ﻣﺎﻧﻨﺪ ‪ get‬ﻳﺎ ‪ set‬ﺩﺭ ﻣﻮﺭﺩ ﻳﻚ ﻣﻮﺿﻮﻉ ﺗﺤﺖ ﻣﺪﻳﺮﻳﺖ( ﺍﺳﺖ ﻛﻪ ﺑﺎ ﺁﻥ ﻟﻴﺴﺘﻲ ﺍﺯ‬
‫ﻧﺎﻡ ﻣﺘﻐﻴﺮﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺁﻥ ﻋﻤﻞ ﻫﻤﺮﺍﻩ ﺍﺳﺖ‪.‬‬
‫‪RFC‬ﻫﺎﻱ ‪ 2570‬ﺗﺎ ‪ 2576‬ﻣﻌﻤﺎﺭﻱ ﻛﻠﻲ ﺑﻌﻼﻭﺓ ﺳﺎﺧﺘﺎﺭ ﭘﻴﺎﻡﻫﺎﻱ ﺧﺎﺹ ﻭ ﺧﺼﻮﺻﻴﺎﺕ ﺍﻣﻨﻴﺘﻲ ﺁﻧﻬﺎ ﺭﺍ ﺗﻮﺻﻴﻒ ﻛﺮﺩﻩ ﻭﻟﻲ‬
‫ﻓﺮﻣﺖ ﺟﺪﻳﺪ‪ SNMP PDU‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻧﻤﻲﻛﻨﺪ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﺩﺭ ﺩﺍﺧﻞ ﻣﻌﻤﺎﺭﻱ ﺟﺪﻳﺪ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﻓﺮﻣﺖﻫﺎﻱ ‪ PDU‬ﻧﺴﺨﻪﻫﺎﻱ‬
‫‪ SNMPv1‬ﻳﺎ ‪ SNMPv2‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ‪ .‬ﻳﻚ ﻧﻮﻉ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻛﻪ ﺍﺯ ﺁﻥ ﺑﺎ ﻋﻨﻮﺍﻥ ‪ SNMPv3‬ﻳﺎﺩ ﻣﻲﺷﻮﺩ‪ ،‬ﺷﺎﻣﻞ ﺧﺼﻮﺻﻴﺎﺕ‬
‫ﺍﻣﻨﻴﺘﻲ ﻭ ﻣﻌﻤﺎﺭﻱ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺩﺭ ‪RFC‬ﻫﺎﻱ ‪ 2570‬ﺗﺎ ‪ 2576‬ﺑﻌﻼﻭﺓ ﻓﺮﻣﺖ ‪ PDU‬ﻭ ﻛﺎﺭﺁﺋﻲﻫﺎﻱ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺩﺭ ﺍﺳﻨﺎﺩ‬
‫‪ SNMPv2‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﻮﺿﻮﻉ ﺩﺭ ‪ RFC 2570‬ﭼﻨﻴﻦ ﺫﻛﺮ ﺷﺪﻩ ﺍﺳﺖ‪ SNMPv3» :‬ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﻳﻚ ‪ SNMPv2‬ﺑﺎﺿﺎﻓﺔ‬
‫ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﻣﺪﻳﺮﻳﺘﻲ ﺍﺿﺎﻓﻲ ﺩﺍﻧﺴﺖ‪«.‬‬
‫ﺑﻘﻴﺔ ﺍﻳﻦ ﺑﺨﺶ ﭼﻨﻴﻦ ﺳﺎﺯﻣﺎﻥﺩﻫﻲ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﺑﺘﺪﺍ ﻣﻌﻤﺎﺭﻱ ‪ SNMP‬ﻛﻪ ﺩﺭ ‪ RFC 2571‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ ﺭﺍ ﺑﻄﻮﺭ‬
‫ﻣﺨﺘﺼﺮ ﻣﻌﺮﻓﻲ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺳﭙﺲ ﺍﻣﻜﺎﻧﺎﺕ ﻣﺤﺮﻣﺎﻧﮕﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻓﺮﺍﻫﻢ ﺁﻣﺪﻩ ﺑﺘﻮﺳﻂ ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﻛﺎﺭﺑﺮ)‪ (USM‬ﺩﺭ‬
‫‪ SNMPv3‬ﺗﻮﺻﻴﻒ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺑﺎﻻﺧﺮﻩ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻭ ﻣﺪﻝ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ )‪ (VACM‬ﺭﺍ ﻣﻌﺮﻓﻲ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ‪.‬‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٠٢‬‬
‫‪PDU processing‬‬
‫‪SNMP PDU‬‬
‫)‪(SNMPv1 or SNMPv2‬‬
‫‪Message processing‬‬
‫‪V3-MH‬‬ ‫‪SNMP PDU‬‬
‫)‪(SNMPv3 USM‬‬
‫‪UDP‬‬ ‫‪UDP-H V3-MH‬‬ ‫‪SNMP PDU‬‬
‫‪IP‬‬ ‫‪IP-H UDP-H V3-MH‬‬ ‫‪SNMP PDU‬‬
‫‪IP-H‬‬ ‫‪= IP header‬‬

‫‪UDP-H = UDP header‬‬
‫‪V3-MH = SNMPv3 message header‬‬
‫‪PDU‬‬ ‫‪= Protocol data unit‬‬
‫ﻣﻌﻤﺎﺭﻱ ﭘﺮﻭﺗﻜﻞ ‪SNMP‬‬ ‫ﺷﻜﻞ ‪۸-۵‬‬
‫ﻣﻌﻤﺎﺭﻱ ‪SNMP‬‬
‫ﻣﻌﻤﺎﺭﻱ ‪ ،SNMP‬ﺑﺮﺍﺑﺮ ﺁﻧﭽﻪ ﺩﺭ ‪ RFC 2571‬ﺗﻮﺻﻴﻒ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺷﺎﻣﻞ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻣﻮﺟﻮﺩﻳﺖﻫﺎﻱ ﺗﻮﺯﻳﻊﺷﺪﻩ ﻭ ﻣﺘﻌﺎﻣﻞ‬
‫‪ SNMP‬ﺍﺳﺖ‪ .‬ﻫﺮ ﻣﻮﺟﻮﺩﻳﺖ‪ ،‬ﺑﺨﺸﻲ ﺍﺯ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ‪ SNMP‬ﺭﺍ ﺍﻳﺠﺎﺩ ﻛﺮﺩﻩ ﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺼﻮﺭﺕ ﻳﻚ ﮔﺮﺓ ﻋﺎﻣﻞ‪ ،‬ﻳﻚ ﮔﺮﺓ‬
‫ﻣﺪﻳﺮﻳﺖ ﻭ ﻳﺎ ﺗﺮﻛﻴﺒﻲ ﺍﺯ ﺍﻳﻦ ﺩﻭ ﻋﻤﻞ ﻧﻤﺎﻳﺪ‪ .‬ﻫﺮ ﻣﻮﺟﻮﺩﻳﺖ ‪ ،SNMP‬ﺷﺎﻣﻞ ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﺍﺯ ﻣﺪﻭﻝﻫﺎﺋﻲ ﺍﺳﺖ ﻛﻪ ﺑﺎ ﻫﻢ ﺗﻌﺎﻣﻞ‬
‫ﻛﺮﺩﻩ ﺗﺎ ﺳﺮﻭﻳﺲﻫﺎ ﺭﺍ ﻓﺮﺍﻫﻢ ﺁﻭﺭﻧﺪ‪ .‬ﺍﻳﻦ ﺗﻌﺎﻣﻞﻫﺎ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺼﻮﺭﺕ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻣﺘﻐﻴﺮﻫﺎﻱ ﺍﺑﺘﺪﺍﺋﻲ ﻭ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺍﻧﺘﺰﺍﻋﻲ ﻣﺪﻝ‬
‫ﻧﻤﻮﺩ‪.‬‬
‫‪ RFC 2571‬ﻳﻚ ﻧﻴﺎﺯ ﻛﻠﻴﺪﻱ ﻃﺮﺍﺣﻲ ﺑﺮﺍﻱ ‪ SNMPv3‬ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪ :‬ﻳﻚ ﻣﻌﻤﺎﺭﻱ ﭘﻮﺩﻣﺎﻧﻲ ﻃﻮﺭﻱ ﻃﺮﺍﺣﻲ ﻛﻨﻴﺪ‬
‫ﻛﻪ )‪ (۱‬ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺭﻭﻱ ﻣﺤﺪﻭﺩﺓ ﻭﺳﻴﻌﻲ ﺍﺯ ﻣﺤﻴﻂﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺭﺍ ﺍﺟﺎﺯﻩ ﺩﻫﺪ ﻛﻪ ﺑﺮﺧﻲ ﺍﺯ ﺁﻧﻬﺎ ﻧﻴﺎﺯ ﺑﻪ ﻋﻤﻠﻜﺮﺩ ﺣﺪﺍﻗﻞ ﻭ ﺍﺭﺯﺍﻥ‬
‫ﻗﻴﻤﺖ ﺩﺍﺷﺘﻪ ﻭ ﺑﺮﺧــﻲ ﺩﻳــﮕﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺍﺭﺍﻱ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺑﻴﺸﺘﺮ ﺑــﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪﻫﺎﻱ ﺑﺰﺭﮒ ﺑﺎﺷﻨﺪ‪ (۲) ،‬ﺩﺭ ﻣﺴﻴﺮ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩﺳﺎﺯﻱ ﺍﻣﻜﺎﻥ ﺍﻧﺘﻘﺎﻝ ﺑﺨﺶﻫﺎﺋﻲ ﺍﺯ ﻣﻌﻤﺎﺭﻱ ﺑﻪ ﺟﻠﻮ‪ ،‬ﺩﺭ ﺻﻮﺭﺕ ﻋﺪﻡ ﺗﻄﺒﻴﻖ ﻫﻤﺔ ﺑﺨﺶﻫﺎ ﺑﺎ ﻫﻢ‪ ،‬ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﻭ )‪(۳‬‬
‫ﻗﺎﺑﻞ ﺳﺎﺯﮔﺎﺭﻱ ﺑﺎ ﻣﺪﻝﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺩﻳﮕﺮ ﺑﺎﺷﺪ‪.‬‬
‫ﻣﻮﺟﻮﺩﻳﺖ ‪SNMP‬‬
‫ﻫﺮ ﻣﻮﺟﻮﺩﻳﺖ)‪ SNMP (entity‬ﺷﺎﻣﻞ ﻳﻚ ﻣﻮﺗﻮﺭ )‪ SNMP (engine‬ﺍﺳﺖ‪ .‬ﻳﻚ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻋﻤﻠﻴﺎﺕ ﺍﺭﺳﺎﻝ ﻭ‬
‫ﺩﺭﻳﺎﻓﺖ ﭘﻴﺎﻡﻫﺎ‪ ،‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ /‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﭘﻴﺎﻡﻫﺎ ﻭ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻣﻮﺿﻮﻋﺎﺕ ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ ﺭﺍ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ‬
‫ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﻋﻤﻠﻴﺎﺕ ﺑﺮﺍﻱ ﺳﺮﻭﻳﺲ ﺩﺍﺩﻥ ﺑﻪ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻛﺎﺭﺑﺮﺩ‪ ،‬ﺑﺘﻮﺳﻂ ﻣﻮﺗﻮﺭ ‪ ،SNMP‬ﭘﻴﻜﺮﺑﻨﺪﻱ ﺷﺪﻩ ﻭ ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ‬
‫‪ SNMP‬ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﻨﺪ‪.‬‬
‫‪٣٠٣‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﻫﻢ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻭ ﻫﻢ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﭘﺸﺘﻴﺒﺎﻧﻲ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺍﻳﻦ ﻣﻮﺗﻮﺭ‪ ،‬ﺑﺼﻮﺭﺕ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻣﺪﻭﻝﻫﺎﻱ ﮔﺴﺴﺘﻪ ﺗﻌﺮﻳﻒ‬
‫ﺷﺪﻩﺍﻧﺪ‪ .‬ﺍﻳﻦ ﻧﻮﻉ ﻣﻌﻤﺎﺭﻱ ﻣﺰﺍﻳﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺩﺍﺭﺩ‪ .‬ﺍﻭﻝ ﺍﻳﻦ ﻛﻪ ﻧﻘﺶ ﻣﻮﺟﻮﺩﻳﺖ ‪ SNMP‬ﺑﺘﻮﺳﻂ ﻣﺪﻭﻝﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ﺁﻥ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ‬
‫ﺷﺪﻩﺍﻧﺪ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪ .‬ﺗﻌﺪﺍﺩ ﻣﺸﺨﺼﻲ ﺍﺯ ﻣﺪﻭﻝﻫﺎ‪ ،‬ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻳﻚ ﻋﺎﻣﻞ ‪ SNMP‬ﺑﻮﺩﻩ ﺩﺭ ﺣﺎﻟﻴﻜﻪ ﺗﻌﺪﺍﺩ ﻣﺸﺨﺺ ﺩﻳﮕﺮﻱ‬
‫)ﻣﻤﻜﻦ ﺍﺳﺖ ﻫﻢﭘﻮﺷﺎﻧﻲ ﻫﻢ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ( ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻳﻚ ﻣﺪﻳﺮ ‪ SNMP‬ﻫﺴﺘﻨﺪ‪ .‬ﺛﺎﻧﻴﺎﹰ ﺳﺎﺧﺘﺎﺭ ﭘﻮﺩﻣﺎﻧﻲ )ﻣﺪﻭﻻﺭ( ﻣﺸﺨﺼﻪﻫﺎ‬
‫ﺑﺎﻋﺚ ﻣﻲﺷﻮﺩ ﻛﻪ ﺑﺘﻮﺍﻥ ﻧﺴﺨﻪﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺍﺯ ﻫﺮ ﻣﺪﻭﻝ ﺭﺍ ﺗﻌﺮﻳﻒ ﻛﺮﺩ‪ .‬ﺍﻳﻦ ﺑﻨﻮﺑﺔ ﺧﻮﺩ ﺑﺎﻋﺚ ﻣﻲﺷﻮﺩ ﻛﻪ )‪ (۱‬ﻗﺎﺑﻠﻴﺖ ﺟﺎﻳﮕﺰﻳﻦ‬
‫ﻛﺮﺩﻥ ﻭ ﻳﺎ ﺍﺭﺗﻘﺎﺀ ﺗﻮﺍﻧﺎﺋﻲﻫﺎ ﺑﺮﺍﻱ ﺟﻨﺒﻪﻫﺎﻱ ﻣﻌﻴﻨﻲ ﺍﺯ ‪ ،SNMP‬ﺑﺪﻭﻥ ﻧﻴﺎﺯ ﺑﻪ ﻋﺒﻮﺭ ﺑﻪ ﻧﺴﺨﺔ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺷﺪﺓ ﺑﺎﻻﺗﺮ )ﻣﺜﻼﹰ‬
‫‪ ،(SNMPv4‬ﺍﻳﺠﺎﺩ ﮔﺮﺩﺩ ﻭ )‪ (۲‬ﺑﻄﻮﺭ ﺭﻭﺷﻨﻲ ﺭﻭﺵﻫﺎﻱ ﻫﻢﺯﻳﺴﺘﻲ‪ ،‬ﻭ ﺍﺳﺘﺮﺍﺗﮋﻱﻫﺎﻱ ﻋﺒﻮﺭ ﺗﻌﻴﻴﻦ ﺷﻮﺩ)‪.(RFC 2576‬‬
‫ﺑﺮﺍﻱ ﺩﺭﻙ ﺑﻬﺘﺮ ﻧﻘﺶ ﻫﺮ ﻣﺪﻭﻝ ﻭ ﺭﺍﺑﻄﺔ ﺁﻥ ﺑﺎ ﻣﺪﻭﻝﻫﺎﻱ ﺩﻳﮕﺮ‪ ،‬ﺑﻬﺘﺮﻳﻦ ﺭﻭﺵ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﻧﺤﻮﺓ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺁﻧﻬﺎ ﺩﺭ‬
‫ﻣﺪﻳﺮﻫﺎ ﻭ ﻋﺎﻣﻞﻫﺎ ﺩﺭ ‪ SNMP‬ﺳﻨﹼﺘﻲ ﺗﻮﺟﻪ ﻛﻨﻴﻢ‪ .‬ﺍﺻﻄﻼﺡ ﺳﻨﹼﺘﻲ)‪ (traditional‬ﻛﻪ ﻣﻌﺎﺩﻝ ﺧﺎﻟﺺ)‪ (pure‬ﺍﺳﺖ ﺍﺯ ﺍﻳﻦ ﺟﻬﺖ‬
‫ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺗﺎ ﺑﻪ ﺍﻳﻦ ﻭﺍﻗﻌﻴﺖ ﺍﺷﺎﺭﻩ ﻛﻨﺪ ﻛﻪ ﻳﻚ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻟﺰﻭﻣﻲ ﻧﺪﺍﺭﺩ ﺣﺘﻤﺎﹰ ﻛﺎﺭ ﻳﻚ ﻣﺪﻳﺮ ﺧﺎﻟﺺ ﻭ ﻳﺎ ﻳﻚ ﻋﺎﻣﻞ ﺧﺎﻟﺺ ﺭﺍ ﺍﻧﺠﺎﻡ‬
‫ﺩﻫﺪ ﺑﻠﻜﻪ ﻣﻲﺗﻮﺍﻥ ﻣﺪﻭﻝﻫﺎﺋﻲ ﺭﺍ ﺩﺭ ﻛﻨﺎﺭ ﻫﻢ ﺟﻤﻊ ﻛﺮﺩ ﻛﻪ ﻫﻢ ﻭﻇﺎﻳﻒ ﻣﺪﻳﺮ ﻭ ﻫﻢ ﻭﻇﺎﻳﻒ ﻋﺎﻣﻞ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﻫﻨﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۸-۶‬ﻛﻪ ﺑﺮﭘﺎﻳﺔ ﺗﺼﻮﻳﺮ ﺍﺭﺍﺋﻪ ﺷﺪﻩ ﺩﺭ ‪ RFC 2571‬ﺑﻨﺎﺷﺪﻩ ﺍﺳﺖ ﺑﻠﻮﻙ ﺩﻳﺎﮔﺮﺍﻡ ﻳﻚ ﻣﺪﻳﺮ ﺳﻨﹼﺘﻲ ﻳﺎ ﺧﺎﻟﺺ‬
‫‪ SNMP‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻳﻚ ﻣﺪﻳﺮ ﺧﺎﻟﺺ ‪ SNMP‬ﺑﺎ ﺻﺪﻭﺭ ﻓﺮﻣﺎﻥﻫﺎﺋﻲ)‪ get‬ﻭ ‪ (set‬ﺑﺎ ﻋﻮﺍﻣﻞ ‪ SNMP‬ﺗﻌﺎﻣﻞ ﻧﻤﻮﺩﻩ ﻭ‬
‫ﭘﻴﺎﻡﻫﺎﻱ ‪ trap‬ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻣﻲﺩﺍﺭﺩ‪ .‬ﻣﺪﻳﺮ ﻫﻤﭽﻨﻴﻦ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎ ﺳﺎﻳﺮ ﻣﺪﻳﺮﺍﻥ ﺑﺎ ﺻﺪﻭﺭ ‪ Inform Request PDU‬ﺗﻌﺎﻣﻞ ﻧﻤﻮﺩﻩ‪،‬‬
‫ﻫﺸﺪﺍﺭﻫﺎ )‪ (alerts‬ﺭﺍ ﻓﺮﺍﻫﻢ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﻓﺮﺍﻣﻴﻦ ‪ Inform Response PDU‬ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﻨﺪ ﻛﻪ ﺩﺭ ﺣﻘﻴﻘﺖ ﺗﺄﺋﻴﺪ ﺩﺭﻳﺎﻓﺖ‬
‫ﻓﺮﺍﻣﻴﻦ ‪ Inform Request‬ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﺩﺭ ﻓﺮﻫﻨﮓ ﺍﺻﻄﻼﺣﺎﺕ ‪ ،SNMPv3‬ﻳﻚ ﻣﺪﻳﺮﺧﺎﻟﺺ ‪ SNMP‬ﺷﺎﻣﻞ ﺳﻪ ﮔﺮﻭﻩ ﺍﺯ‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﺳﺖ‪.‬ﻛﺎﺭﺑﺮﺩ ﻣﻮﻟﺪ ﻓﺮﻣﺎﻥ‪ ،‬ﺩﺍﺩﻩﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﺩﺭ ﻋﺎﻣﻞﻫﺎﻱ ﺩﻭﺭ ﺭﺍ ﭘﺎﺋﻴﺪﻩ ﻭ ﺗﻐﻴﻴﺮﺍﺕ ﻻﺯﻡ ﺩﺭ ﺁﻧﻬﺎ ﺭﺍ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ‪ .‬ﺁﻧﻬﺎ‬
‫ﺍﺯ ‪PDU‬ﻫﺎﻱ ‪ SNMPv1‬ﻭ‪/‬ﻳﺎ ‪ SNMPv2‬ﻛﻪ ﺷﺎﻣﻞ ‪ GetBulk ،GetNext ،Get‬ﻭ ‪ Set‬ﺍﺳﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻳﻚ ﻛﺎﺭﺑﺮﺩ‬
‫ﻣﻮﻟﺪ ﺍﺧﻄﺎﺭ‪ ،‬ﺁﻏﺎﺯﮔﺮ ﭘﻴﺎﻡﻫﺎﻱ ﺁﺳﻨﻜﺮﻭﻥ ﺍﺳﺖ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ﻳﻚ ﻣﺪﻳﺮ ﺧﺎﻟﺺ‪ Inform Request PDU ،‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﺑﻜﺎﺭ‬
‫ﻣﻲﺭﻭﺩ‪ .‬ﻳﻚ ﻛﺎﺭﺑــﺮﺩ ﮔﻴﺮﻧــﺪﺓ ﺍﺧﻄﺎﺭ‪ ،‬ﭘﻴــﺎﻡﻫﺎﻱ ﺁﺳﻨﻜﺮﻭﻥ ﻭﺭﻭﺩﻱ ﺭﺍ ﭘــﺮﺩﺍﺯﺵ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻨﻬﺎ ﺷﺎﻣﻞ‪PDU‬ﻫﺎﻱ‬
‫‪ SNMPv2-Trap ،Inform Request‬ﻭ ‪ SNMPv1-Trap‬ﻫﺴﺘﻨﺪ‪.‬‬
‫ﺗﻤﺎﻡ ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ﺑﺎﻻ ﺗﻮﺻﻴﻒ ﺷﺪﻧﺪ ﺍﺯ ﺳﺮﻭﻳﺲﻫﺎﻱ ﻓﺮﺍﻫﻢ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻮﺟﻮﺩﻳﺖ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻣﻮﺗﻮﺭ ‪ SNMP‬ﺩﻭ ﻭﻇﻴﻔﺔ ﺟﻤﻌﻲ ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪:‬‬
‫‪PDU‬ﻫﺎﻱ ﺧﺎﺭﺝﺷﻮﻧﺪﻩ ﺍﺯ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ‪ SNMP‬ﺭﺍ ﻣﻲﭘﺬﻳﺮﺩ‪ ،‬ﭘﺮﺩﺍﺯﺵﻫﺎﻱ ﻻﺯﻡ ﺭﺍ ﻛﻪ ﺷﺎﻣﻞ ﻭﺍﺭﺩﻛﺮﺩﻥ ﻛﹸﺪﻫﺎﻱ‬ ‫•‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﻭ ﺳﭙﺲ ‪PDU‬ﻫﺎ ﺭﺍ ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ﺑﺼﻮﺭﺕ ﻳﻚ ﭘﻴﺎﻡ‪ ،‬ﻛﭙﺴﻮﻟﻲ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﭘﻴﺎﻡﻫﺎﻱ ‪ SNMP‬ﻭﺍﺭﺩﺷﻮﻧﺪﻩ ﺭﺍ ﺍﺯ ﻻﻳﺔ ﺣﻤﻞﻭﻧﻘﻞ ﺗﺤﻮﻳﻞ ﻣﻲﮔﻴﺮﺩ‪ ،‬ﭘﺮﺩﺍﺯﺵﻫﺎﻱ ﻻﺯﻡ ﺷﺎﻣﻞ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﺭﻣﺰﮔﺸﺎﺋﻲ‬ ‫•‬
‫ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﻭ ﺳﭙﺲ ‪PDU‬ﻫﺎ ﺭﺍ ﺍﺯ ﭘﻴﺎﻡ ﺍﺳﺘﺨﺮﺍﺝ ﻛﺮﺩﻩ ﻭ ﺁﻧﻬﺎ ﺭﺍ ﺑﻪ ﻭﺍﺣﺪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﺍﺳﺘﻔﺎﺩﻩﻛﻨﻨﺪﻩ ﺍﺯ ‪SNMP‬‬
‫ﺗﺤﻮﻳﻞ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺩﺭ ﻳﻚ ﻣﺪﻳﺮ ﺧﺎﻟﺺ‪ ،‬ﻣﻮﺗﻮﺭ ‪ SNMP‬ﺷﺎﻣﻞ ﻳﻚ ﺣﻤﻞﻛﻨﻨﺪﻩ )‪ ،(Dispatcher‬ﻳﻚ ﺯﻳﺮﺳﻴﺴﺘﻢ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ‬
‫)‪ (Processing Subsystem‬ﻭ ﻳﻚ ﺯﻳﺮﺳﻴﺴﺘﻢ ﺍﻣﻨﻴﺖ )‪ (Security Subsystem‬ﺍﺳﺖ‪ .‬ﺣﻤﻞﻛﻨﻨﺪﻩ ﺑﺴﺎﺩﮔﻲ ﻳﻚ ﻣﺪﻳﺮ‬
‫ﺗﺮﺍﻓﻴﻚ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ‪PDU‬ﻫﺎﻱ ﺧﺎﺭﺝﺷﻮﻧﺪﻩ‪ ،‬ﺣﻤﻞﻛﻨﻨﺪﻩ ‪PDU‬ﻫﺎ ﺭﺍ ﺍﺯ ﻛﺎﺭﺑﺮﺩﻫﺎ ﺗﺤﻮﻳﻞ ﮔﺮﻓﺘﻪ ﻭ ﻛﺎﺭﻫﺎﻱ ﺯﻳﺮ ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﻫﺮ‪ ،PDU‬ﺣﻤﻞﻛﻨﻨﺪﻩ ﻧﻮﻉ ﭘﺮﺩﺍﺯﺵ ﻻﺯﻡ ﺑﺮﺍﻱ ﭘﻴﺎﻡ ﺭﺍ ﺗﻌﻴﻴﻦ ﻛﺮﺩﻩ )ﻳﻌﻨﻲ‪ SNMPv2c ،SNMPv1‬ﻭ ‪ (SNMPv3‬ﻭ‬
‫‪ PDU‬ﺭﺍ ﺑﻪ ﻣﺪﻭﻝ ﻣﻨﺎﺳﺐ ﺩﺭ ﺯﻳﺮﺳﻴﺴﺘﻢ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﻋﺒﻮﺭ ﻣﻲﺩﻫﺪ‪ .‬ﺑﻪ ﺩﻧﺒﺎﻝ ﺁﻥ ﺯﻳﺮﺳﻴﺴﺘﻢ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ‪ ،‬ﻳﻚ ﭘﻴﺎﻡ ﻛﻪ ﺷﺎﻣﻞ‬
‫ﺁﻥ ‪ PDU‬ﻭ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﻣﻨﺎﺳﺐ ﻫﺴﺘﻨﺪ ﺭﺍ ﺑﺎﺯ ﻣﻲﮔﺮﺩﺍﻧﺪ‪ .‬ﺣﻤﻞﻛﻨﻨﺪﻩ ﺁﻧﮕﺎﻩ ﺍﻳﻦ ﭘﻴﺎﻡ ﺭﺍ ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ﺑﻪ ﻻﻳﺔ ﺣﻤﻞﻭﻧﻘﻞ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٠٤‬‬
‫‪Command‬‬ ‫‪Notification‬‬ ‫‪Notification‬‬

‫‪generator‬‬ ‫‪originator‬‬ ‫‪receiver‬‬
‫‪applications‬‬ ‫‪applications‬‬ ‫‪applications‬‬
‫‪SNMP‬‬
‫‪Applications‬‬
‫‪Message processing‬‬ ‫‪Security‬‬

‫‪PDU‬‬
‫‪subsystem‬‬ ‫‪subsystem‬‬
‫‪dispatcher‬‬
‫‪Dis-‬‬ ‫‪v1MP‬‬ ‫‪User-based‬‬
‫‪patcher‬‬
‫‪security‬‬
‫‪Message‬‬ ‫‪v2cMP‬‬ ‫‪model‬‬
‫‪v3MP‬‬ ‫‪Other‬‬
‫‪security‬‬
‫‪Transport Mapping‬‬ ‫‪otherMP‬‬ ‫‪model‬‬
‫)‪(e.g., RFC1906‬‬
‫‪SNMP Engine‬‬
‫‪UDP‬‬ ‫‪IPX‬‬ ‫‪...‬‬ ‫‪Other‬‬
‫‪Network‬‬
‫ﻣﺪﻳﺮ ﺳﻨﹼﺘﻲ ‪SNMP‬‬ ‫ﺷﻜﻞ ‪۸-۶‬‬
‫ﺑﺮﺍﻱ ﭘﻴﺎﻡﻫﺎﻱ ﻭﺍﺭﺩﺷﻮﻧﺪﻩ‪ ،‬ﺣﻤﻞﻛﻨﻨﺪﻩ ﭘﻴﺎﻡﻫﺎ ﺭﺍ ﺍﺯ ﻻﻳﺔ ﺣﻤﻞﻭﻧﻘﻞ ﺗﺤﻮﻳﻞ ﮔﺮﻓﺘﻪ ﻭ ﻋﻤﻠﻴﺎﺕ ﺯﻳﺮ ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺣﻤﻞﻛﻨﻨﺪﻩ‪ ،‬ﻫﺮ ﭘﻴﺎﻡ ﺭﺍ ﺑﻪ ﻣﺴﻴﺮ ﻣﻨﺎﺳﺐ ﻛﻪ ﻣﻨﺘﻬﻲ ﺑﻪ ﻣﺪﻭﻝ ﻣﻨﺎﺳﺐ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﺍﺳﺖ ﺭﺍﻫﻨﻤﺎﺋﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻪ ﺩﻧﺒﺎﻝ ﺁﻥ ﺯﻳﺮﺳﻴﺴﺘﻢ‬
‫ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ‪ PDU ،‬ﻣﻮﺟﻮﺩ ﺩﺭ ﭘﻴﺎﻡ ﺭﺍ ﺑﺎﺯﭘﺲ ﻣﻲﺩﻫﺪ‪ .‬ﺣﻤﻞﻛﻨﻨﺪﻩ ﺍﻳﻦ ‪ PDU‬ﺭﺍ ﺑﻪ ﻛﺎﺭﺑﺮﺩ ﻣﻨﺎﺳﺐ ﻋﺒﻮﺭ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺯﻳﺮﺳﻴﺴﺘﻢ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ‪PDU ،‬ﻫﺎﻱ ﺧﺎﺭﺝ ﺷﻮﻧﺪﻩ ﺍﺯ ﺣﻤﻞﻛﻨﻨﺪﻩ ﺭﺍ ﭘﺬﻳﺮﻓﺘﻪ‪ ،‬ﺁﻧﻬﺎ ﺭﺍ ﺑﺎ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﻣﻨﺎﺳﺐ ﺗﺠﻬﻴﺰ ﻛﺮﺩﻩ ﻭ‬
‫ﺳﭙﺲ ﺑﻪ ﺣﻤﻞﻛﻨﻨﺪﻩ ﺑﺎﺯﭘﺲ ﻣﻲﺩﻫﺪ‪ .‬ﺯﻳﺮﺳﻴﺴﺘﻢ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﻫﻤﭽﻨﻴﻦ ﭘﻴﺎﻡﻫﺎﻱ ﻭﺭﻭﺩﻱ ﺭﺍ ﺍﺯ ﺣﻤﻞﻛﻨﻨﺪﻩ ﻗﺒﻮﻝ ﻛﺮﺩﻩ‪ ،‬ﺳﺮﺁﻳﻨﺪ ﻫﺮ‬
‫ﭘﻴﺎﻡ ﺭﺍ ﭘﺮﺩﺍﺯﺵ ﻧﻤﻮﺩﻩ ﻭ ‪ PDU‬ﺣﻤﻞﺷﺪﻩ ﺩﺭ ﭘﻴﺎﻡ ﺭﺍ ﺑﻪ ﺣﻤﻞﻛﻨﻨﺪﻩ ﺑﺮﻣﻲﮔﺮﺩﺍﻧﺪ‪ .‬ﻳﻚ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺯﻳﺮﺳﻴﺴﺘﻢ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﻣﻤﻜﻦ‬
‫ﺍﺳﺖ ﺗﻨﻬﺎ ﻳﻚ ﻓﺮﻣﺖ ﺧﺎﺹ ﭘﻴﺎﻡ ﻛﻪ ﻣﺮﺗﺒﻂ ﺑﺎ ﻳﻚ ﻧﺴﺨﺔ ﺧﺎﺹ ‪ SNMPv2c ، SNMPv1) SNMP‬ﻭ ﻳﺎ ‪ ( SNMPv3‬ﺍﺳﺖ‬
‫ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﺗﻌﺪﺍﺩﻱ ﻣﺪﻭﻝ ﺑﺎﺷﺪ ﻛﻪ ﻫﺮﻛﺪﺍﻡ ﻧﺴﺨﺔ ﺧﺎﺻﻲ ﺍﺯ ‪ SNMP‬ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫‪٣٠٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﺯﻳﺮﺳﻴﺴﺘﻢ ﺍﻣﻨﻴﺖ‪ ،‬ﻭﻇﺎﻳﻒ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪ .‬ﻫﺮ ﭘﻴﺎﻡ ﺧﺎﺭﺝﺷﻮﻧﺪﻩ ﺍﺯ ﺯﻳﺮﺳﻴﺴﺘﻢ‬
‫ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ‪ ،‬ﺑﻪ ﺯﻳﺮﺳﻴﺴﺘﻢ ﺍﻣﻨﻴﺖ ﻭﺍﺭﺩ ﻣﻲﺷﻮﺩ‪ .‬ﺑﺴﺘﻪ ﺑﻪ ﺳﺮﻭﻳﺲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ‪ ،‬ﺯﻳﺮﺳﻴﺴﺘﻢ ﺍﻣﻨﻴﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ‪ PDU‬ﻣﻮﺟﻮﺩ ﺩﺭ‬
‫ﭘﻴﺎﻡ ﻭ ﺍﺣﺘﻤﺎﻻﹰ ﺑﺨﺸﻲ ﺍﺯ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺳﺮﺁﻳﻨﺪ ﭘﻴﺎﻡ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﺮﺩﻩ ﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ﺗﻮﻟﻴﺪ ﻧﻤﻮﺩﻩ ﻭ ﺁﻥ ﺭﺍ‬
‫ﺩﺭ ﺳﺮﺁﻳﻨﺪ ﭘﻴﺎﻡ ﻭﺍﺭﺩ ﻛﻨﺪ‪ .‬ﭘﻴﺎﻡ ﭘﺮﺩﺍﺯﺵﺷﺪﻩ ﺁﻧﮕﺎﻩ ﺑﺮﺍﻱ ﺯﻳﺮﺳﻴﺴﺘﻢ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﺑﺮﮔﺮﺩﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻪ ﻃﺮﻳﻖ ﻣﺸﺎﺑﻪ‪ ،‬ﻫﺮ ﭘﻴﺎﻡ‬
‫ﻭﺍﺭﺩﺷﻮﻧﺪﻩ ﺍﺯ ﺯﻳﺮﺳﻴﺴﺘﻢ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﺑﻪ ﺯﻳﺮﺳﻴﺴﺘﻢ ﺍﻣﻨﻴﺖ ﻋﺒﻮﺭ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺍﮔﺮ ﻻﺯﻡ ﺑﺎﺷﺪ‪ ،‬ﺯﻳﺮﺳﻴﺴﺘﻢ ﺍﻣﻨﻴﺖ ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫ﺭﺍ ﻛﻨﺘﺮﻝ ﻛﺮﺩﻩ‪ ،‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﻭ ﺳﭙﺲ ﭘﻴﺎﻡ ﭘﺮﺩﺍﺯﺵ ﺷﺪﻩ ﺭﺍ ﺑﻪ ﺯﻳﺮﺳﻴﺴﺘﻢ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﺑﺮﻣﻲﮔﺮﺩﺍﻧﺪ‪ .‬ﭘﻴﺎﺩﻩﺳﺎﺯﻱ‬
‫ﺯﻳﺮﺳﻴﺴﺘﻢ ﺍﻣﻨﻴﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﺧﺎﺹ ﺭﺍ ﭘﻮﺷﺶ ﺩﻫﺪ‪ .‬ﺗﺎ ﻛﻨﻮﻥ ﺗﻨﻬﺎ ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﺗﻌﺮﻳﻒ ﺷﺪﻩ‬
‫)‪ User-Based Security Model (USM‬ﺑﺮﺍﻱ ‪ SNMPv3‬ﺍﺳﺖ ﻛﻪ ﺩﺭ ‪ RFC 2574‬ﺗﻮﺻﻴﻒ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺷﻜﻞ ‪ ۸-۷‬ﻛﻪ ﺑﺮ ﭘﺎﻳﺔ ﺗﺼﻮﻳﺮ ﺍﺭﺍﺋﻪ ﺷﺪﻩ ﺩﺭ ‪ RFC 2571‬ﺑﻨﺎ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺑﻠﻮﻙ ﺩﻳﺎﮔﺮﺍﻡ ﻳﻚ ﻋﺎﻣﻞ ﺳﻨﹼﺘﻲ ﻳﺎ ﺧﺎﻟﺺ‬
‫‪ SNMP‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻋﺎﻣﻞ ﺳﻨﹼﺘﻲ ﻳﺎ ﺧﺎﻟﺺ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﺳﻪ ﻧﻮﻉ ﻛﺎﺭﺑﺮﺩ ﺑﺎﺷﺪ‪ .‬ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﭘﺎﺳﺦﺩﻫﻨﺪﻩ ﺑﻪ ﻓﺮﺍﻣﻴﻦ‪ ،‬ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺩﺍﺩﻩﻫﺎﻱ‬
‫ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﻧﺪ‪ .‬ﺍﻳﻦ ﻛﺎﺭﺑﺮﺩﻫﺎ ﺑﻪ ﺩﺭﺧﻮﺍﺳﺖﻫﺎﻱ ﻭﺭﻭﺩﻱ ﺑﺎ ﮔﺮﺩﺁﻭﺭﻱ ﻭ‪/‬ﻳﺎ ﺗﻨﻈﻴﻢ ﻣﻮﺿﻮﻋـــﺎﺕ ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ ﻭ‬
‫ﺳﭙﺲ ﺻـــﺪﻭﺭ ﻳــﻚ ‪ Response PDU‬ﭘﺎﺳــﺦ ﻣﻲﺩﻫﻨــﺪ‪ .‬ﻳــﻚ ﻛﺎﺭﺑـــﺮﺩ ﻣﻮﻟﺪ ﺍﺧﻄﺎﺭ‪ ،‬ﺁﻏﺎﺯﮔﺮ ﭘﻴــﺎﻡﻫﺎﻱ ﺁﺳﻨﻜﺮﻭﻥ‬
‫ﻣﻲﺑﺎﺷﺪ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ﻳﻚ ﻋﺎﻣﻞ ﺧﺎﻟﺺ‪PDU ،‬ﻫﺎﻱ ‪ SNMPv2-Trap‬ﻭ ‪ SNMPv1-Trap‬ﺑﺮﺍﻱ ﺍﻳـــﻦ ﻣﻨﻈــﻮﺭ ﻣـــﻮﺭﺩ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻗـــﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﻳـــﻚ ﻛﺎﺭﺑـــﺮﺩ ﺟﻠﻮﺑﺮﻧﺪﺓ ﭘﺮﻭﻛﺴﻲ‪ ،‬ﭘﻴﺎﻡﻫﺎ ﺭﺍ ﺑﻴﻦ ﻣﻮﺟﻮﺩﻳﺖﻫﺎ‪ ،‬ﺑﻪ ﺟﻠﻮ ﻣﻲﺭﺍﻧﺪ‪.‬‬
‫‪UDP IPX‬‬ ‫‪...‬‬ ‫‪Other‬‬

‫‪Transport mapping‬‬
‫‪Message processing‬‬ ‫‪Security‬‬ ‫‪Access control‬‬
‫)‪(e.g., RFC1906‬‬ ‫‪subsystem‬‬ ‫‪subsystem‬‬ ‫‪subsystem‬‬
‫‪Dis-‬‬ ‫‪v1MP‬‬ ‫‪User-based‬‬ ‫‪View-based‬‬
‫‪patcher‬‬ ‫‪Security‬‬ ‫‪access control‬‬
‫‪Message‬‬ ‫‪model‬‬ ‫‪model‬‬
‫‪v2cMP‬‬
‫‪v3MP‬‬ ‫‪Other‬‬ ‫‪Other‬‬

‫‪Security‬‬ ‫‪Access control‬‬
‫‪PDU‬‬ ‫‪model‬‬ ‫‪model‬‬
‫‪otherMP‬‬
‫‪SNMP‬‬
‫‪Engine‬‬
‫‪Proxy‬‬ ‫‪Command‬‬ ‫‪Notification‬‬

‫‪forwarder‬‬ ‫‪responder‬‬ ‫‪originator‬‬
‫‪applications‬‬ ‫‪applications‬‬ ‫‪applications‬‬
‫‪SNMP Applications‬‬
‫‪MIB instrumentation‬‬
‫ﻋﺎﻣﻞ ﺳﻨﹼﺘﻲ ‪SNMP‬‬ ‫ﺷﻜﻞ ‪۸-۷‬‬

‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٠٦‬‬
‫ﻣﻮﺗﻮﺭ ‪ SNMP‬ﺑﺮﺍﻱ ﻳﻚ ﻋﺎﻣﻞ ﺧﺎﻟﺺ‪ ،‬ﺩﺍﺭﺍﻱ ﺗﻤﺎﻡ ﻣﺆﻟﻔﻪﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺩﺭ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﺑﺮﺍﻱ ﻳﻚ ﻣﺪﻳﺮ ﺧﺎﻟﺺ ﺑﺎﺿﺎﻓﺔ‬
‫ﻳﻚ ﺯﻳﺮﺳﻴﺴﺘﻢ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ)‪ (Access Control Subsystem‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺯﻳﺮﺳﻴﺴﺘﻢ ﻭﻇﻴﻔﺔ ﺷﻨﺎﺳﺎﺋﻲ ﺩﺳﺖﻳﺎﺑﻲﻫﺎﻱ ﻣﺠﺎﺯ‬
‫ﺑﻪ ‪ MIB‬ﺟﻬﺖ ﺧﻮﺍﻧﺪﻥ ﻭ ﺗﻨﻈﻴﻢ ﻣﻮﺿﻮﻋﺎﺕ ﻣﺪﻳﺮﻳﺘﻲ ﺭﺍ ﺩﺍﺭﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺳﺮﻭﻳﺲﻫﺎ ﺑﺮ ﻣﺒﻨﺎﻱ ﻣﺤﺘﻮﻳﺎﺕ‪PDU‬ﻫﺎ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫ﻳﻚ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺯﻳﺮﺳﻴﺴﺘﻢ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻣﺪﻭﻝ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻧﻤﺎﻳﺪ‪ .‬ﺗﺎ ﻛﻨﻮﻥ ﺗﻨﻬﺎ ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ‬
‫ﺗﻌﺮﻳﻒ ﺷﺪﻩ )‪ View-Based Access Control Model (VACM‬ﺍﺳﺖ ﻛﻪ ﺩﺭ ‪ RFC 2575‬ﺗﻮﺻﻴﻒ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺗﻮﺟﻪ ﻛﻨﻴﺪ ﻛﻪ ﻋﻤﻠﻴﺎﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ ﺩﺭ ﺩﻭ ﺯﻳﺮﺳﻴﺴﺘﻢ ﻣﺠﺰﺍ ﺳﺎﺯﻣﺎﻥﺩﻫﻲ ﺷﺪﻩﺍﻧﺪ‪ :‬ﺍﻣﻨﻴﺖ ﻭ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‪ .‬ﺍﻳﻦ ﻳﻚ‬
‫ﻣﺜﺎﻝ ﻋﺎﻟﻲ ﺍﺯ ﻃﺮﺍﺣﻲ ﭘﻮﺩﻣﺎﻧﻲ ﺍﺳﺖ‪ ،‬ﺯﻳﺮﺍ ﺩﻭ ﺯﻳﺮﺳﻴﺴﺘﻢ ﻭﻇﺎﻳﻒ ﻛﺎﻣﻼﹰ ﻣﺸﺨﺼﻲ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﻨﻄﻘﻲ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩﺳﺎﺯﻱ ﺍﻳﻦ ﺩﻭ ﻣﻘﻮﻟﻪ ﺑﻄﻮﺭ ﻣﺴﺘﻘﻞ ﺍﺯ ﻫﻢ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪ .‬ﺯﻳﺮﺳﻴﺴﺘﻢ ﺍﻣﻨﻴﺖ‪ ،‬ﻭﻇﻴﻔﺔ ﻛﻨﺘﺮﻝ ﺳﺮّﻱ ﺑﻮﺩﻥ ﻭ ﻣﻌﺘﺒﺮ ﺑﻮﺩﻥ ﺭﺍ ﺑﻌﻬﺪﻩ‬
‫ﺩﺍﺷﺘﻪ ﻭ ﺭﻭﻱ ﭘﻴﺎﻡﻫﺎﻱ ‪ SNMP‬ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪ .‬ﺯﻳﺮﺳﻴﺴﺘﻢ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‪ ،‬ﻭﻇﻴﻔﺔ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺠﺎﺯ ﺑﻪ ﺍﻃﻼﻋﺎﺕ ﻣﺪﻳﺮﻳﺘﻲ‬
‫ﺭﺍ ﺩﺍﺷﺘﻪ ﻭ ﺭﻭﻱ ‪PDU‬ﻫﺎﻱ ‪ SNMP‬ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻓﺮﻫﻨﮓ ﻭﺍﮊﻩﻫﺎ‬
‫ﺟﺪﻭﻝ ‪ ۸-۲‬ﺑﻄﻮﺭ ﺧﻼﺻﻪ ﺑﻌﻀﻲ ﺍﺯ ﻭﺍﮊﻩﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ‪ RFC 2571‬ﻣﻌﺮﻓﻲ ﺷﺪﻩﺍﻧﺪ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ ﻫﺮ ﻣﻮﺟﻮﺩﻳﺖ‬
‫‪ SNMP‬ﻳﻚ ‪ snmpEngineID‬ﻳﻜﺘﺎ ﻣﺮﺗﺒﻂ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺍﻫﺪﺍﻑ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‪ ،‬ﻓﺮﺽ ﻣﻲﺷﻮﺩ ﻛﻪ ﻫﺮ ﻣﻮﺟﻮﺩﻳﺖ ‪،SNMP‬‬
‫ﻣﺪﻳﺮﻳﺖ ﺗﻌــﺪﺍﺩﻱ ﺍﺯ ﻣﻘــﻮﻟﻪﻫﺎﻱ)‪ (context‬ﺍﻃﻼﻋﺎﺕ ﻣﺪﻳﺮﻳﺖﺷﺪﻩ ﺭﺍ ﺑﻌﻬﺪﻩ ﺩﺍﺭﺩ ﻛﻪ ﻫﺮﻛﺪﺍﻡ ﺍﺯ ﺁﻧﻬﺎ ﺩﺍﺭﺍﻱ ﻳﻚ‬
‫‪ contextName‬ﻫﺴﺘﻨﺪ ﻛﻪ ﺩﺭ ﺁﻥ ﻣﻮﺟﻮﺩﻳﺖ‪ ،‬ﻳﻜﺘﺎﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺗﺄﻛﻴﺪ ﺑﺮ ﺍﻳﻨﻜﻪ ﺩﺭ ﻫﺮ ﻣﻮﺟﻮﺩﻳﺖ ﻳﻚ ﻣﺪﻳﺮ ﻭﺍﺣﺪ ﻣﻘﻮﻟﻪﻫﺎ ﻭﺟﻮﺩ‬
‫ﺩﺍﺭﺩ‪ ،‬ﻫﺮ ﻣﻮﺟﻮﺩﻳﺖ ﺩﺍﺭﺍﻱ ﻳﻚ ‪ contextEngineID‬ﻳﻜﺘﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﺍﺳﺖ‪ .‬ﭼﻮﻥ ﻳﻚ ﺍﺭﺗﺒﺎﻁ ﻳﻚ‪ -‬ﺑﻪ‪ -‬ﻳﻚ ﺑﻴﻦ ﻣﻮﺗﻮﺭ‬
‫‪ context‬ﻭ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺟﻮﺩﻳﺖ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ contextEngineID ،‬ﺍﺯ ﻧﻈﺮ ﺍﻧﺪﺍﺯﻩ ﺑﺮﺍﺑﺮ ‪ snmpEngineID‬ﺍﺳﺖ‪.‬‬
‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﺘﻮﺳﻂ ﻣﻘﻮﻟﻪﻫﺎﻱ ﻣﺸﺨﺼﻲ ﻛﻪ ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺁﻧﻬﺎ ﺗﻼﺵ ﺷﺪﻩ ﺍﺳﺖ ﻭ ﻫﻮﻳﺖ ﻛﺎﺭﺑﺮ ﻣﺘﻘﺎﺿﻲ‪ ،‬ﻣﺪﻳﺮﻳﺖ‬
‫ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﻳﻦ ﻛﺎﺭﺑﺮ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﻓﺮﺩ‪ ،‬ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﻭ ﻳﺎ ﮔﺮﻭﻫﻲ ﺍﺯ ﺍﻓﺮﺍﺩ ﻳﺎ ﻛﺎﺭﺑﺮﺩﻫﺎ ﺑﺎﺷﻨﺪ‪ ،‬ﺭﺍ ﺭﺋﻴﺲ)‪ (principal‬ﺧﻮﺍﻧﻨﺪ‪.‬‬
‫ﺳﺎﻳﺮ ﻭﺍﮊﻩﻫﺎﻱ ﺩﺍﺭﺍﻱ ﺍﻫﻤﻴﺖ‪ ،‬ﻣﺮﺑﻮﻁ ﺑﻪ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡﻫﺎ ﻣﻲﺑﺎﺷﻨﺪ‪ snmpMessageProcessingModel .‬ﻓﺮﻣﺖ ﭘﻴﺎﻡ ﻭ‬
‫ﻧﺴﺨﺔ ‪ SNMP‬ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪ snmpSecurityModel .‬ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﺍﺯ ﻛﺪﺍﻡ ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﺑﺎﻳﺪ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﺷﻮﺩ‪ snmpSecurityLevel .‬ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﻛﺪﺍﻡ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺑﺮﺍﻱ ﺍﻳﻦ ﻛﺎﺭ ﻣﺸﺨﺺ ﺩﺭﺧﻮﺍﺳﺖ ﺷﺪﻩﺍﻧﺪ‪ .‬ﻛﺎﺭﺑﺮ‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ ﻓﻘﻂ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‪ ،‬ﻳﺎ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﻌﻼﻭﺓ ﻣﺤﺮﻣﺎﻧﮕﻲ)ﺭﻣﺰﻧﮕﺎﺭﻱ( ﻭ ﻳﺎ ﻫﻴﭽﻜﺪﺍﻡ ﺭﺍ ﺩﺭﺧﻮﺍﺳﺖ ﻛﻨﺪ‪.‬‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ‪SNMPv3‬‬
‫ﺳﺮﻭﻳﺲﻫﺎﻱ ﺑﻴﻦ ﻣﺪﻭﻝﻫﺎ ﺩﺭ ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ‪ ،SNMP‬ﺩﺭ ‪RFC‬ﻫﺎ‪ ،‬ﺑﺮﺣﺴﺐ ﻓﺮﺍﻣﻴﻦ ﺍﺑﺘﺪﺍﺋﻲ)‪ (primitives‬ﻭ ﭘﺎﺭﺍﻣﺘﺮﻫﺎ‬
‫)‪ (parameters‬ﺗﻌﺮﻳﻒ ﺷﺪﻩﺍﻧﺪ‪ .‬ﻳﻚ ﻓﺮﻣﺎﻥ ﺍﺑﺘﺪﺍﺋﻲ‪ ،‬ﻋﻤﻠﻲ ﻛﻪ ﺑﺎﻳﺪ ﺍﻧﺠﺎﻡ ﺷﻮﺩ ﺭﺍ ﻣﺸﺨﺺ ﻛﺮﺩﻩ ﻭ ﺍﺯ ﭘﺎﺭﺍﻣﺘﺮﻫﺎ ﺑﺮﺍﻱ ﻋﺒﻮﺭ ﺩﺍﺩﻥ‬
‫ﺩﻳﺘﺎ ﻭ ﺍﻃﻼﻋﺎﺕ ﻛﻨﺘﺮﻟﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﻓﺮﺍﻣﻴﻦ ﺍﻭﻟﻴﻪ ﻭ ﭘﺎﺭﺍﻣﺘﺮﻫﺎ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﻳﻚ ﺭﻭﺵ ﻓﺮﻣﻮﻟﻪ ﺷﺪﻩ ﺑﺮﺍﻱ ﺗﻌﺮﻳﻒ‬
‫ﺳﺮﻭﻳﺲﻫﺎﻱ ‪ SNMP‬ﺩﺍﻧﺴﺖ‪ .‬ﻓﺮﻡ ﻭﺍﻗﻌﻲ ﻳﻚ ﻓﺮﻣﺎﻥ ﺍﺑﺘﺪﺍﺋﻲ ﻣﺴﺘﻘﻞ ﺍﺯ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺍﺳﺖ ﻭ ﻣﺜﺎﻟﻲ ﺍﺯ ﺁﻥ ﺍﺣﻀﺎﺭ ﻳﻚ‬
‫‪ procedure‬ﺍﺳﺖ‪ .‬ﺩﺭ ﺑﺤﺜﻲ ﻛﻪ ﺑﻪ ﺩﻧﺒﺎﻝ ﺧﻮﺍﻫﺪ ﺁﻣﺪ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺷﻜﻞ ‪ ۸-۸‬ﻛﻪ ﺑﺮ ﺍﺳﺎﺱ ﺗﺼﻮﻳﺮﻱ ﺩﺭ ‪ RFC 2571‬ﺑﻨﺎ ﺷﺪﻩ‬
‫ﺍﺳﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﻣﻔﻴﺪ ﻭﺍﻗﻊ ﮔﺮﺩﺩ ﺗﺎ ﺑﺒﻴﻨﻴﻢ ﭼﮕﻮﻧﻪ ﺗﻤﺎﻡ ﺍﻳﻦ ﻓﺮﺍﻣﻴﻦ ﺍﻭﻟﻴﻪ ﺑﺎ ﻫﻢ ﺟﻔﺖ ﻭ ﺟﻮﺭ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺷﻜﻞ ‪۸-۸‬ﺍﻟﻒ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ‬
‫ﻭﻗﺎﻳﻌﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺩﺭﺁﻥ ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﻣﻮﻟﺪ ﻓﺮﻣﺎﻥ ﻳﺎ ﻣﻮﻟﺪ ﺍﺧﻄﺎﺭ‪ ،‬ﺩﺭﺧﻮﺍﺳﺖ ﺍﺭﺳﺎﻝ ﻳﻚ ‪ PDU‬ﺭﺍ ﻣﻲﻧﻤﺎﻳﺪ ﻭ ﺑﻪ ﺩﻧﺒﺎﻝ‬
‫ﺁﻥ ﻳﻚ ﭘﺎﺳﺦ ﻣﻨﻄﺒﻖ ﺑﺎ ﺍﻳﻦ ﺩﺭﺧﻮﺍﺳﺖ ﺑﺮﺍﻱ ﺁﻥ ﻛﺎﺭﺑﺮﺩ ﭘﺲ ﻓﺮﺳﺘﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﭘﻴﺸﺎﻣﺪﻫﺎ ﺩﺭ ﻳﻚ ﻣﺪﻳﺮ ‪ SNMP‬ﻭﺍﻗﻊ‬
‫‪٣٠٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﻣﻲﺷﻮﺩ‪ .‬ﺷﻜﻞ ‪۸-۸‬ﺏ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﻧﻈﻴﺮ ﺩﺭ ﻳﻚ ﻋﺎﻣﻞ ‪ SNMP‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺩﺭ ﺷﻜﻞ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﭼﮕﻮﻧﻪ ﻳﻚ‬
‫ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﻣﻨﺠﺮ ﺑﻪ ﺗﺤﻮﻳﻞ‪ PDU‬ﻣﻮﺟﻮﺩ ﺩﺭ ﺁﻥ ﺑﻪ ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﮔﺸﺘﻪ ﻭ ﭼﮕﻮﻧﻪ ﭘﺎﺳﺦ ﻛﺎﺭﺑﺮﺩ‪ ،‬ﻣﻨﺘﺞ ﺑﻪ ﻳﻚ ﭘﻴﺎﻡ ﺧﺮﻭﺟﻲ‬
‫ﻣﻲﮔﺮﺩﺩ‪ .‬ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﺑﻌﻀﻲ ﭘﻴﻜﺎﻥﻫﺎ ﺩﺭ ﺩﻳﺎﮔﺮﺍﻡ ﺑﺎ ﻧﺎﻡ ﻳﻚ ‪ primitive‬ﻣﺸﺨﺺ ﮔﺮﺩﻳﺪﻩ ﻛﻪ ﻧﻤﺎﻳﺸﮕﺮ ﻳﻚ ﺩﺭﺧﻮﺍﺳﺖ ﺍﺳﺖ‪.‬‬
‫ﭘﻴﻜﺎﻥﻫﺎﻱ ﺑﺪﻭﻥ ﻧﺎﻡ‪ ،‬ﻧﻤﺎﻳﺸﮕﺮ ﭘﺎﺳﺦ ﺑﻪ ﻳﻚ ﺩﺭﺧﻮﺍﺳﺖ ﺑﻮﺩﻩ ﻭ ﺳﺎﻳﻪﻫﺎ ﻧﻤﺎﻳﺶ ﺍﻧﻄﺒﺎﻕ ﺑﻴﻦ ﺩﺭﺧﻮﺍﺳﺖ ﻭ ﭘﺎﺳﺦ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﺍﺳﺖ‪.‬‬
‫‪ RFC 2573‬ﺑﺼﻮﺭﺕ ﻛﻠﻲ‪ ،‬ﺭَﻭﻳﻪﻫﺎﺋﻲ ﻛﻪ ﻫﻨﮕﺎﻡ ﺗﻮﻟﻴﺪ ﻳﻚ ‪ PDU‬ﺑﺮﺍﻱ ﺍﺭﺳﺎﻝ ﻭ ﻳﺎ ﭘﺮﺩﺍﺯﺵ ﻳﻚ ‪ PDU‬ﻭﺭﻭﺩﻱ‪ ،‬ﺑﺮﺍﻱ‬
‫ﻫﺮ ﻳﻚ ﺍﺯ ﻛﺎﺭﺑﺮﺩﻫﺎ ﺩﻧﺒﺎﻝ ﻣﻲﺷﻮﺩ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﻫﻤﺔ ﻣﻮﺍﺭﺩ‪ ،‬ﺭَﻭﻳﻪﻫﺎ ﺑﺮ ﺍﺳﺎﺱ ﺗﻌﺎﻣﻞ ﺑﺎ ﺣﻤﻞﻛﻨﻨﺪﻩ ﻭ ﺑﺮﺣﺴﺐ‬
‫‪ Dispatcher Primitives‬ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫ﻓﺮﻫﻨﮓ ﻭﺍﮊﻩﻫﺎﻱ ‪SNMPv3‬‬ ‫ﺟﺪﻭﻝ ‪۸-۲‬‬
‫‪snmpEngineID‬‬
‫ﺷﻨﺎﺳﺔ ﻳﻜﺘﺎ ﻭ ﺑﺪﻭﻥ ﺍﺑﻬﺎﻡ ﻳﻚ ﻣﻮﺗﻮﺭ ‪ ،SNMP‬ﻭ ﻫﻤﭽﻨﻴﻦ ﻣﻮﺟﻮﺩﻳﺖ ‪ SNMP‬ﻛﻪ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﻣﻮﺗﻮﺭ ﺍﺳﺖ‪ .‬ﺍﻳـﻦ ﺷﻨﺎﺳـﻪ ﺑﺮﺣـﺴﺐ‬
‫ﻗﺮﺍﺭﺩﺍﺩ ﺑﺼﻮﺭﺕ ‪ Octet String‬ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪contextEngineID‬‬
‫ﺑﻄﻮﺭ ﻳﻜﺘﺎ ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ‪ SNMP‬ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﻤﻮﻧﻪﺍﻱ ﺍﺯ ﻳﻚ ﻣﻘﻮﻟﻪ ﻳﺎ ﻳـﻚ ‪ contextName‬ﺧـﺎﺹ ﺭﺍ ﺷـﻜﻞ ﺩﻫـﺪ ﺗﻌﺮﻳـﻒ‬
‫‪contextName‬‬
‫ﻳﻚ ﻣﻘﻮﻟﺔ ﺑﺨﺼﻮﺹ ﺩﺭ ﻳﻚ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﺭﺍ ﻣﻌﺮﻓﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﻣﻘﺪﺍﺭ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﭘـﺎﺭﺍﻣﺘﺮ ﺑـﻪ ‪ Dispatcher‬ﻭ ﺯﻳﺮﺳﻴـﺴﺘﻢ ﻛﻨﺘـﺮﻝ‬
‫ﺩﺳﺖﻳﺎﺑﻲ ﺭﺩ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪scopedPDU‬‬
‫ﻳﻚ ﺑﻠﻮﻙ ﺩﻳﺘﺎ ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ‪ ،contextEngineID‬ﻳﻚ ‪ contextName‬ﻭ ﻳﻚ ‪ SNMP PDU‬ﺍﺳﺖ‪ .‬ﺑـﺼﻮﺭﺕ ﻳـﻚ ﭘـﺎﺭﺍﻣﺘﺮ ﺑـﻪ‬
‫ﺯﻳﺮﺳﻴﺴﺘﻢ ﺍﻣﻨﻴﺖ ﻋﺒﻮﺭ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﺍﺯ ﺁﻥ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪snmpMessageProcessingModel‬‬
‫ﺷﻨﺎﺳﺔ ﻳﻜﺘﺎﻱ ﻳـﻚ ﻣـﺪﻝ ﭘـﺮﺩﺍﺯﺵ ﭘﻴـﺎﻡ ﺩﺭ ﺯﻳﺮﺳﻴـﺴﺘﻢ ﭘـﺮﺩﺍﺯﺵ ﭘﻴـﺎﻡ ﺍﺳـﺖ‪ .‬ﻣﻘـﺎﺩﻳﺮ ﻣﻤﻜـﻦ ﺷـﺎﻣﻞ ‪ SNMPv2c ،SNMPv1‬ﻭ‬
‫‪ SNMPv3‬ﺍﺳﺖ‪ .‬ﺑﺮ ﺣﺴﺐ ﻗﺮﺍﺭﺩﺍﺩ ﺑﺼﻮﺭﺕ ‪ Integer‬ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪snmpSecurityModel‬‬
‫ﺷﻨﺎﺳﺔ ﻳﻜﺘﺎﻱ ﻳﻚ ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﺩﺭ ﺯﻳﺮﺳﻴﺴﺘﻢ ﺍﻣﻨﻴﺖ ﺍﺳﺖ‪ .‬ﻣﻘﺎﺩﻳﺮ ﻣﻤﻜﻦ ﺷﺎﻣﻞ ‪ SNMPv2c ،SNMPv1‬ﻭ ‪ USM‬ﺍﺳﺖ‪ .‬ﺑـﺮ ﺣـﺴﺐ‬
‫ﻗﺮﺍﺭﺩﺍﺩ ﺑﺼﻮﺭﺕ ‪ Integer‬ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪snmpSecurityLevel‬‬
‫ﻳﻚ ﺳﻄﺢ ﺍﻣﻨﻴﺘﻲ ﻛﻪ ﺩﺭ ﺁﻥ ﺳﻄﺢ‪ ،‬ﭘﻴﺎﻡﻫﺎﻱ ‪ SNMP‬ﻣﻲﺗﻮﺍﻧﻨﺪ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﻭ ﻳﺎ ﻋﻤﻠﻴﺎﺕ ﭘﺮﺩﺍﺯﺵ ﺻﻮﺭﺕ ﭘﺬﻳﺮﺩ ﻭ ﺑﺪﻳﻦ ﺻـﻮﺭﺕ ﺑﻴـﺎﻥ‬
‫ﻣﻲﮔﺮﺩﺩ ﻛﻪ ﺁﻳﺎ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ‪ /‬ﻳﺎ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ ﻳﺎ ﻧﻪ‪ .‬ﻣﻘﺎﺩﻳﺮ ﻣﻤﻜـﻦ ‪ authNoPriv ،noAuthnoPriv‬ﻭ ‪authPriv‬‬
‫ﺍﺳﺖ ﻭ ﺑﺮﺣﺴﺐ ﻗﺮﺍﺭﺩﺍﺩ ﺑﺼﻮﺭﺕ ‪ Integer‬ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪principal‬‬
‫ﻣﻮﺟﻮﺩﻳﺘﻲ ﻛﻪ ﺍﺯ ﺟﺎﻧﺐ ﺍﻭ ﺳﺮﻭﻳﺲﻫﺎ ﻓﺮﺍﻫﻢ ﺷﺪﻩ ﻭ ﻳﺎ ﭘﺮﺩﺍﺯﺵﻫﺎ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻳﻚ ‪ principal‬ﻣﻲﺗﻮﺍﻧﺪ ﻓﺮﺩﻱ ﺩﺭ ﻳﻚ ﻧﻘﺶ ﻣﺸﺨﺺ‪،‬‬
‫ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺍﻓﺮﺍﺩ ﻛﻪ ﻫﺮ ﻛﺪﺍﻡ ﺩﺍﺭﺍﻱ ﻧﻘﺶ ﻣﻌﻴﻦ ﻫﺴﺘﻨﺪ‪ ،‬ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﻭ ﻳﺎ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻭ ﻳﺎ ﺗﺮﻛﻴﺒﻲ ﺍﺯ ﻫﻤﻪ ﺍﻳﻦ ﺍﻧﻮﺍﻉ ﺑﺎﺷﺪ‪.‬‬
‫‪securityName‬‬
‫ﻳﻚ ﺭﺷﺘﻪ ﻗﺎﺑﻞ ﺧﻮﺍﻧﺪﻥ ﺑﺘﻮﺳﻂ ﺍﻧﺴﺎﻥ ﻛﻪ ﻧﻤﺎﻳﺶﺩﻫﻨﺪﺓ ﻳﻚ ‪ principal‬ﺍﺳﺖ‪ .‬ﺑﺼﻮﺭﺕ ﻳﻚ ﭘـﺎﺭﺍﻣﺘﺮ ﺩﺭ ﺗﻤـﺎﻡ ﻓـﺮﺍﻣﻴﻦ ﺍﻭﻟﻴـﻪ ‪SNMP‬‬
‫ﺭﺩﻭﺑﺪﻝ ﻣﻲﺷﻮﺩ )‪.(Access Control ، Security ، Message Processing ، Dispatcher‬‬
‫ﻣﺪﻝ‬ ‫ﭘﺎﺳﺦﺩﻫﻨﺪﺓ ﻣﺪﻝ‬ ‫ﻣﺪﻝ‬ ‫ﻣﺪﻝ‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬
‫ﻣﻮﻟﺪ ﻓﺮﻣﺎﻥ‬ ‫ﺣﻤﻞﻛﻨﻨﺪﻩ‬ ‫ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ‬ ‫ﺍﻣﻨﻴﺖ‬ ‫ﻓﺮﻣﺎﻥ‬ ‫ﺣﻤﻞﻛﻨﻨﺪﻩ‬ ‫ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ‬ ‫ﺍﻣﻨﻴﺖ‬
‫‪sendPdu‬‬ ‫‪registerContexEngineID‬‬
‫‪prepareOutgoingMsg‬‬
‫ﭘﻴﺎﻡﻫﺎﻱ ﭘﺎﺳﺦ‬
‫‪generateRequestMsg‬‬
‫‪ SNMP‬ﺭﺍ ﺍﺯ‬
‫ﺷﺒﻜﻪ ﺩﺭﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ‬
‫‪prepareDataElements‬‬
‫ﭘﻴﺎﻡﻫﺎﻱ ﺩﺭﺧﻮﺍﺳﺖ‬ ‫‪processIncomingMsg‬‬
‫‪ SNMP‬ﺭﺍ ﺑﻪ‬
‫ﺷﺒﻜﻪ ﻣﻲﻓﺮﺳﺘﺪ‬
‫‪.‬‬ ‫‪processPdu‬‬
‫‪.‬‬
‫‪ .‬ﭘﻴﺎﻡﻫﺎﻱ ﭘﺎﺳﺦ‬
‫‪ SNMP‬ﺭﺍ ﺍﺯ‬
‫‪returnResponsePdu‬‬
‫ﺷﺒﻜﻪ ﺩﺭﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ‬
‫‪prepareResponseMsg‬‬
‫‪generateResponseMsg‬‬
‫‪prepareDataElements‬‬
‫‪processIncomingMsg‬‬
‫‪processResponsePdu‬‬ ‫ﭘﻴﺎﻡﻫﺎﻱ ﺩﺭﺧﻮﺍﺳﺖ‬

‫‪ SNMP‬ﺭﺍ ﺑﻪ‬
‫ﺷﺒﻜﻪ ﻣﻲﻓﺮﺳﺘﺪ‬
‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫)ﺍﻟﻒ( ﻣﻮﻟﺪ ﻓﺮﻣﺎﻥ ﻳﺎ ﻣﻮﻟﺪ ﺍﺧﻄﺎﺭ‬ ‫)ﺏ( ﭘﺎﺳﺦﺩﻫﻨﺪﺓ ﻓﺮﻣﺎﻥ‬

‫‪٣٠٨‬‬
‫ﺷﻜﻞ ‪ ۸-۸‬ﺟﺮﻳﺎﻥ ﻋﻤﻠﻴﺎﺕ ‪SNMP‬‬

‫‪٣٠٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﻣﻮﻟﺪ ﻓﺮﻣﺎﻥ )‪ (command generator application‬ﺍﺯ ﻓﺮﺍﻣﻴﻦ ﺍﺑﺘﺪﺍﺋﻲ ﺣﻤﻞﻛﻨﻨﺪﺓ ‪ sendPdu‬ﻭ‬
‫‪ processResponsePdu‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ ،sendPdu .‬ﺣﻤﻞﻛﻨﻨﺪﻩ ﺭﺍ ﺑﺎ ﺍﻃﻼﻋﺎﺗﻲ ﺩﺭ ﻣﻮﺭﺩ ﻣﻘﺼﺪ ﻣﻮﺭﺩ ﻧﻈﺮ‪ ،‬ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬
‫ﻭ ‪ PDU‬ﻭﺍﻗﻌﻲ ﻛﻪ ﺑﺎﻳﺪ ﺍﺭﺳﺎﻝ ﺷﻮﺩ ﺗﺠﻬﻴﺰ ﻣﻲﻛﻨﺪ‪ .‬ﺣﻤﻞﻛﻨﻨﺪﻩ ﺁﻧﮕﺎﻩ ﻣﺪﻝ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ )‪ (Message Processing Model‬ﺭﺍ‬
‫ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻛﻪ ﺁﻧﻬﻢ ﺑﻨﻮﺑﺔ ﺧﻮﺩ ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ )‪ (Security Model‬ﺭﺍ ﺑﺨﺪﻣﺖ ﻃﻠﺒﻴﺪﻩ ﺗﺎ ﭘﻴﺎﻡ ﺭﺍ ﺁﻣﺎﺩﻩ ﻧﻤﺎﻳﻨﺪ‪ .‬ﺣﻤﻞﻛﻨﻨﺪﻩ‪ ،‬ﭘﻴﺎﻡ‬
‫ﺁﻣﺎﺩﻩ ﺷﺪﻩ ﺭﺍ ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ﺑﻪ ﻻﻳﺔ ﺣﻤﻞﻭﻧﻘﻞ )ﻣﺜﻼﹰ ‪ (UDP‬ﻣﻲﻓﺮﺳﺘﺪ‪ .‬ﺍﮔﺮ ﺁﻣﺎﺩﻩﺳﺎﺯﻱ ﭘﻴﺎﻡ ﺩﭼﺎﺭ ﻣﺸﻜﻞ ﺷﻮﺩ‪ ،‬ﺍﻧﺪﺍﺯﺓ ﺑﺮﮔﺸﺘﻲ‬
‫‪ sendPdu primitive‬ﻛﻪ ﺑﺘﻮﺳﻂ ﺣﻤﻞﻛﻨﻨﺪﻩ ﺗﻨﻈﻴﻢ ﻣﻲﺷﻮﺩ ﻧﻤﺎﻳﺸﮕﺮ ﻳﻚ ﺧﻄﺎ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺍﮔﺮ ﺁﻣﺎﺩﻩﺳﺎﺯﻱ ﭘﻴﺎﻡ ﻣﻮﻓﻘﻴﺖﺁﻣﻴﺰ‬
‫ﺑﺎﺷﺪ‪ ،‬ﺣﻤﻞﻛﻨﻨﺪﻩ ﻳﻚ ﺷﻨﺎﺳﻪ ‪ sendPduHandle‬ﺑﻪ ﺍﻳﻦ ‪ PDU‬ﺍﺧﺘﺼﺎﺹ ﺩﺍﺩﻩ ﻭ ﺍﻧﺪﺍﺯﺓ ﺁﻥ ﺭﺍ ﺑﻪ ﻣﻮﻟﺪ ﻓﺮﻣﺎﻥ ﺑﺮﻣﻲﮔﺮﺩﺍﻧﺪ‪.‬‬
‫ﻣﻮﻟﺪ ﻓﺮﻣﺎﻥ ﺍﻳﻦ ‪ sendPduHandle‬ﺭﺍ ﺫﺧﻴﺮﻩ ﻧﻤﻮﺩﻩ ﺗﺎ ﺑﺘﻮﺍﻧﺪ ‪ PDU‬ﭘﺎﺳﺦ ﻣﺘﻌﺎﻗﺐ ﺭﺍ‪ ،‬ﺑﺎ ﺍﻳﻦ ﺩﺭﺧﻮﺍﺳﺖ ﺍﻭﻟﻴﻪ ﺗﻄﺒﻴﻖ ﺩﻫﺪ‪.‬‬
‫ﺣﻤﻞﻛﻨﻨﺪﻩ ﻫﺮ ‪ ،PDU‬ﭘﺎﺳﺦ ﻭﺭﻭﺩﻱ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻓﺮﻣﺎﻥ ﺍﺑﺘﺪﺍﺋﻲ ‪ processResponsePdu‬ﺑﻪ ﻛﺎﺭﺑﺮﺩ ﻣﻮﻟﺪ ﻓﺮﻣﺎﻥ‬
‫ﺗﺤﻮﻳﻞ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﭘﺎﺳﺦﺩﻫﻨﺪﺓ ﻓﺮﻣﺎﻥ )‪ (command responder application‬ﺍﺯ ﭼﻬﺎﺭ ﻓﺮﻣﺎﻥ ﺍﺑﺘﺪﺍﺋﻲ ﺣﻤﻞﻛﻨﻨﺪﻩ‬
‫)‪ processPdu ،unregisterContextEngineID ،registerContextEngineID‬ﻭ ‪ (returnResponsePdu‬ﻭ ﻳﻚ‬
‫ﻓﺮﻣﺎﻥ ﺍﺑﺘﺪﺍﺋﻲ ‪ Access Control Subsystem‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ registerContextEngineID primitive‬ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﭘﺎﺳﺦﺩﻫﻨﺪﺓ ﻓﺮﻣﺎﻥ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺧﻮﺩ ﺭﺍ ﺑﺎ ﻳﻚ ﻣﻮﺗﻮﺭ‬
‫‪ SNMP‬ﺑﺮﺍﻱ ﭘﺮﺩﺍﺯﺵ ﺍﻧﻮﺍﻉ ‪ PDU‬ﻣﻌﻴﻦ ﺑﺮﺍﻱ ﻳﻚ ﻣﻮﺗﻮﺭ ‪ context‬ﻣﺮﺗﺒﻂ ﻧﻤﺎﻳﺪ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﭘﺎﺳﺦﺩﻫﻨﺪﺓ ﻓﺮﻣﺎﻥ‪ ،‬ﺛﺒﺖﻧﺎﻡ‬
‫ﮔﺮﺩﻳﺪ‪ ،‬ﺗﻤﺎﻡ ﭘﻴﺎﻡﻫﺎﻱ ﺁﺳﻨﻜﺮﻭﻥ ﺩﺭﻳﺎﻓﺖﺷﺪﻩ ﻛﻪ ﺷﺎﻣﻞ ﺗﺮﻛﻴﺐﻫﺎﻱ ﺛﺒﺖﻧﺎﻡﺷﺪﺓ ‪ contextEngineID‬ﻭ ‪ pduType‬ﻣﻮﺭﺩ‬
‫ﭘﺸﺘﻴﺒﺎﻧﻲ ﻫﺴﺘﻨﺪ ﺑﻪ ﭘﺎﺳﺦﺩﻫﻨﺪﺓ ﻓﺮﻣﺎﻧﻲ ﻛﻪ ﺑﺮﺍﻱ ﭘﺸﺘﻴﺒﺎﻧﻲ ﺍﺯ ﺍﻳﻦ ﺗﺮﻛﻴﺐ ﺛﺒﺖﻧﺎﻡ ﺷﺪﻩ ﺍﺳﺖ ﺍﺭﺟﺎﻉ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻳﻚ ﭘﺎﺳﺦﺩﻫﻨﺪﺓ‬
‫ﻓﺮﻣﺎﻥ ﻣﻲﺗﻮﺍﻧﺪ ﺧﻮﺩ ﺭﺍ ﺍﺯ ﻳﻚ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻛﻪ ﺍﺯ ‪ unregisterContextEnginID primitive‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﺟﺪﺍ ﺳﺎﺯﺩ‪.‬‬
‫ﺣﻤﻞﻛﻨﻨﺪﻩ ﻫﺮ ‪ PDU‬ﺩﺭﺧﻮﺍﺳﺖ ﻭﺭﻭﺩﻱ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ processPdu primitive‬ﺑﻪ ﻛﺎﺭﺑﺮﺩ ﭘﺎﺳﺦﺩﻫﻨﺪﺓ ﻓﺮﻣﺎﻥ‬
‫ﺻﺤﻴﺢ ﺗﺤﻮﻳﻞ ﻣﻲﺩﻫﺪ‪ .‬ﺑﻪ ﺩﻧﺒﺎﻝ ﺁﻥ ﭘﺎﺳﺦﺩﻫﻨﺪﺓ ﻓﺮﻣﺎﻥ ﻗﺪﻡﻫﺎﻱ ﺯﻳﺮ ﺭﺍ ﺑﺮﻣﻲﺩﺍﺭﺩ‪:‬‬
‫ﭘﺎﺳﺦﺩﻫﻨﺪﺓ ﻓﺮﻣﺎﻥ‪ ،‬ﻣﺤﺘﻮﺍﻱ ‪ PDU‬ﺩﺭﺧﻮﺍﺳﺖ ﺭﺍ ﻭﺍﺭﺳﻲ ﻣﻲﻛﻨﺪ‪ .‬ﻧﻮﻉ ﻋﻤﻠﻴﺎﺕ ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﻳﻜﻲ ﺍﺯ ﺍﻧﻮﺍﻋﻲ ﻛﻪ ﻗﺒﻼﹰ ﺑﺘﻮﺳﻂ‬ ‫•‬
‫ﺍﻳﻦ ﻛﺎﺭﺑﺮﺩ ﺛﺒﺖ ﻧﺎﻡ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺗﻄﺒﻴﻖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﭘﺎﺳﺦﺩﻫﻨﺪﺓ ﻓﺮﻣﺎﻥ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﺁﻳﺎ ﺩﺳﺖﻳﺎﺑﻲ ﺑﺮﺍﻱ ﻋﻤﻠﻴﺎﺕ ﻣﺪﻳﺮﻳﺘﻲ ﺗﻘﺎﺿﺎ ﺷﺪﻩ ﺩﺭ ﺍﻳﻦ ‪ PDU‬ﻣﺠﺎﺯ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ‬ ‫•‬
‫ﺍﻳﻦ ﻣﻨﻈﻮﺭ ‪ AccessAllowed primitive‬ﺍﺣﻀﺎﺭ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﭘﺎﺭﺍﻣﺘﺮ ‪ securityModel‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺯﻳﺮﺳﻴﺴﺘﻢ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﺮﺍﻱ ﭘﺎﺳﺦ ﺑﻪ ﺍﻳﻦ ﺩﺭﺧﻮﺍﺳﺖ ﺍﺯ ﻛﺪﺍﻡ ﻣﺪﻝ‬ ‫•‬
‫ﺍﻣﻨﻴﺘﻲ ﺑﺎﻳﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪ .‬ﺯﻳﺮﺳﻴﺴﺘﻢ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﺁﻳﺎ ﺍﻳﻦ ﺭﺋﻴﺲ ﻣﺘﻘﺎﺿﻲ )‪(securityName‬‬
‫ﺩﺭ ﺍﻳﻦ ﺳﻄﺢ ﺍﻣﻨﻴﺘﻲ)‪ (securityLevel‬ﺣﻖ ﺩﺭﺧﻮﺍﺳﺖ ﺍﻳﻦ ﻋﻤﻞ ﻣﺪﻳﺮﻳﺘﻲ )‪ (viewType‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺿﻮﻉ ﻣﺪﻳﺮﻳﺘﻲ‬
‫)‪ (variableName‬ﺩﺭ ﺍﻳﻦ ﻣﻘﻮﻟﻪ )‪ (contextName‬ﺭﺍ ﺩﺍﺭﺍﺳﺖ‪.‬‬
‫ﺍﮔﺮ ﺍﺟﺎﺯﺓ ﺩﺳﺖﻳﺎﺑﻲ ﺩﺍﺩﻩ ﺷﺪ‪ ،‬ﭘﺎﺳﺦﺩﻫﻨﺪﺓ ﻓﺮﻣﺎﻥ ﻋﻤﻞ ﻣﺪﻳﺮﻳﺘﻲ ﺩﺭﺧﻮﺍﺳﺖ ﺷﺪﻩ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﻭ ﻳﻚ ‪ PDU‬ﭘﺎﺳﺦ ﺭﺍ‬ ‫•‬
‫ﺗﻬﻴﻪ ﻣﻲﻛﻨﺪ‪ .‬ﺍﮔﺮ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺠﺎﺯ ﺷﻨﺎﺧﺘﻪ ﻧﺸﻮﺩ‪ ،‬ﭘﺎﺳﺦﺩﻫﻨﺪﻩ ﻓﺮﻣﺎﻥ‪ PDU ،‬ﭘﺎﺳﺦ ﻣﻨﺎﺳﺐ ﺑﺮﺍﻱ ﺷﻜﺴﺖ ﻋﻤﻠﻴﺎﺕ ﺭﺍ‬
‫ﺗﻬﻴﻪ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﭘﺎﺳﺦﺩﻫﻨﺪﺓ ﻓﺮﻣﺎﻥ‪ ،‬ﺣﻤﻞﻛﻨﻨﺪﻩ ﺭﺍ ﺑﺎ ﻳﻚ ‪ returnResponsePdu‬ﻓﺮﺍﺧﻮﺍﻧﺪﻩ ﺗﺎ ‪ PDU‬ﭘﺎﺳﺦ ﺭﺍ ﺍﺭﺳﺎﻝ ﻛﻨﺪ‪.‬‬ ‫•‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣١٠‬‬
‫ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﻣﻮﻟﺪ ﺍﺧﻄﺎﺭ )‪ (notification generator application‬ﻫﻤﺎﻥ ﺭَﻭﻳﻪﻫﺎﻱ ﻋﻤﻮﻣﻲ ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﻣﻮﻟﺪ‬
‫ﻓﺮﻣﺎﻥ ﺭﺍ ﺩﻧﺒﺎﻝ ﻣﻲﻛﻨﺪ‪ .‬ﺍﮔﺮ ﻗﺮﺍﺭ ﺍﺳﺖ ﻛﻪ ﻳﻚ ‪ Inform Request PDU‬ﺍﺭﺳﺎﻝ ﺷﻮﺩ‪ ،‬ﻫﻢ ﺍﺯ ‪ sendPdu primitive‬ﻭ ﻫﻢ ﺍﺯ‬
‫‪ ،processResponse primitive‬ﺑﻬﻤﺎﻥ ﺭﻭﺵ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﻮﻟﺪ ﻓﺮﻣﺎﻥ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺍﮔﺮ ﻗﺮﺍﺭ ﺍﺳﺖ ﻳﻚ ‪trap PDU‬‬
‫ﺍﺭﺳﺎﻝ ﺷﻮﺩ ﺗﻨﻬﺎ ﺍﺯ ‪ sendPdu primitive‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﮔﻴﺮﻧﺪﺓ ﺍﺧﻄﺎﺭ )‪ (notification receiver application‬ﺍﺯ ﻳﻚ ﺯﻳﺮﻣﺠﻤﻮﻋﻪ ﺍﺯ ﺭَﻭﻳﻪﻫﺎﻱ ﻋﻤﻮﻣﻲ‬
‫ﻫﻤﺎﻧﻨﺪ ﻛﺎﺭﺑﺮﺩ ﭘﺎﺳﺦﺩﻫﻨﺪﺓ ﻓﺮﻣﺎﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﮔﻴﺮﻧﺪﺓ ﺍﺧﻄﺎﺭ ﺍﺑﺘﺪﺍ ﺑﺎﻳﺴﺘﻲ ﺛﺒﺖﻧﺎﻡ ﺷﺪﻩ ﺗﺎ ‪ PDU‬ﻫﺎﻱ ‪ Inform‬ﻭ‪/‬ﻳﺎ ‪ trap‬ﺭﺍ‬
‫ﺩﺭﻳﺎﻓﺖ ﻛﻨﺪ‪ .‬ﻫﺮ ﺩﻭ ﻧﻮﻉ ‪ PDU‬ﺑﺘﻮﺳﻂ ﻳﻚ ‪ processPdu primitive‬ﺩﺭﻳﺎﻓﺖ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺑﺮﺍﻱ ﭘﺎﺳﺨﮕﻮﺋﻲ ﺑﻪ ﻳﻚ‬
‫‪ Inform PDU‬ﺍﺯ ﻳﻚ ‪ returnResponsePdu primitive‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﺟﻠﻮﺑﺮﻧﺪﺓ ﭘﺮﻭﻛﺴﻲ )‪ (proxy forwarder application‬ﺍﺯ ‪ Dispatch primitives‬ﺑﺮﺍﻱ ﺑﻪ ﺟﻠﻮ‬
‫ﺭﺍﻧﺪﻥ ﭘﻴﺎﻡﻫﺎﻱ ‪ SNMP‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺟﻠﻮﺑﺮﻧﺪﺓ ﭘﺮﻭﻛﺴﻲ ﭼﻬﺎﺭ ﻧﻮﻉ ﭘﻴﺎﻡ ﺍﺻﻠﻲ ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﻛﻨﺪ‪:‬‬
‫ﭘﻴﺎﻡﻫﺎﺋﻲ ﻛﻪ ﺷﺎﻣﻞ ﺍﻧﻮﺍﻉ ‪ PDU‬ﺍﺯ ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﻣﻮﻟﺪ ﭘﻴﺎﻡ ﻫﺴﺘﻨﺪ‪ .‬ﺟﻠﻮﺑﺮﻧﺪﺓ ﭘﺮﻭﻛﺴﻲ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻣﻘﺼﺪ‪ ،‬ﻭ ﻳﺎ‬ ‫•‬
‫ﻧﺰﺩﻳﻚﺗﺮﻳﻦ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﭘﺎﺋﻴﻦ ﺩﺳﺖ ﺭﺍ‪ ،‬ﺗﻌﻴﻴﻦ ﻛﺮﺩﻩ ﻭ ‪ PDU‬ﺩﺭﺧﻮﺍﺳﺖ ﻣﻨﺎﺳﺐ ﺭﺍ ﺍﺭﺳﺎﻝ ﻣﻲﺩﺍﺭﺩ‪.‬‬
‫ﭘﻴﺎﻡﻫﺎﺋﻲ ﻛﻪ ﺷﺎﻣﻞ ﺍﻧﻮﺍﻉ ‪ PDU‬ﺍﺯ ﻳﻚ ﻛﺎﺭﺑﺮﺩ ﻣﻮﻟﺪ ﺍﺧﻄﺎﺭ ﻫﺴﺘﻨﺪ‪ .‬ﺟﻠﻮﺑﺮﻧﺪﺓ ﭘﺮﻭﻛﺴﻲ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﻛﺪﺍﻡ ﻣﻮﺗﻮﺭ‬ ‫•‬
‫‪ SNMP‬ﺑﺎﻳﺴﺘﻲ ﺍﺧﻄﺎﺭ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩﻩ ﻭ ‪ PDU‬ﻳﺎ ‪PDU‬ﻫﺎﻱ ﻣﻨﺎﺳﺐ ﺭﺍ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﭘﻴﺎﻡﻫﺎﺋﻲ ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ﻧﻮﻉ ‪ Response PDU‬ﻫﺴﺘﻨﺪ‪ .‬ﺟﻠﻮﺑﺮﻧﺪﺓ ﭘﺮﻭﻛﺴﻲ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﻛﺪﺍﻡ ﺩﺭﺧﻮﺍﺳﺖ ﻳﺎ‬ ‫•‬
‫ﺍﺧﻄﺎﺭ ﺍﺭﺳﺎﻝ ﺷﺪﺓ ﻗﺒﻞ ﺑﺎ ﺍﻳﻦ ﭘﺎﺳﺦ ﺗﻄﺒﻴﻖ ﺩﺍﺷﺘﻪ ﻭ ‪ PDU‬ﻣﻨﺎﺳﺐ ﺭﺍ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﭘﻴﺎﻡﻫﺎﺋﻲ ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ﮔﺰﺍﺭﺵﺍﻧﺪ‪Report PDU .‬ﻫﺎ ﺍﺭﺗﺒﺎﻃﺎﺕ ﻣﻮﺗﻮﺭ‪ -‬ﺑﻪ‪ -‬ﻣﻮﺗﻮﺭ ‪ SNMPv3‬ﻫﺴﺘﻨﺪ‪ .‬ﺟﻠﻮﺑﺮﻧﺪﺓ‬ ‫•‬
‫ﭘﺮﻭﻛﺴﻲ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﻛﺪﺍﻡ ﺩﺭﺧﻮﺍﺳﺖ ﻭ ﻳﺎ ﺍﺧﻄﺎﺭ ﺑﺠﻠﻮ ﺭﺍﻧﺪﻩ ﺷﺪﺓ ﻗﺒﻠﻲ ﺑﺎ ﺍﻳﻦ ﮔﺰﺍﺭﺵ ﺗﻄﺒﻴﻖ ﺩﺍﺷﺘﻪ ﻭ ﮔﺰﺍﺭﺵ ﺭﺍ‬
‫ﺑﻪ ﺁﻏﺎﺯﮔﺮ ﺩﺭﺧﻮﺍﺳﺖ ﻳﺎ ﺍﺧﻄﺎﺭ ﺑﺎﺯﭘﺲ ﻣﻲﻓﺮﺳﺘﺪ‪.‬‬
‫ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﻭ ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﻛﺎﺭﺑﺮ‬
‫ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﺷﺎﻣﻞ ﻳﻚ ﻣﺪﻝ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﻫﻤﻪ‪ -‬ﻣﻨﻈﻮﺭﻩ ﻭ ﻳﻚ ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﺧﺎﺹ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﺭﺗﺒﺎﻁ ﺩﺭ ﺷﻜﻞ ‪ ۸-۸‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ‬
‫ﻣﺪﻝ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ‬
‫‪ RFC 2572‬ﻳﻚ ﻣﺪﻝ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﻫﻤﻪ‪ -‬ﻣﻨﻈﻮﺭﻩ ﺭﺍ ﺗﻌﺮﻳﻒ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﺪﻝ ﻣﺴﺌﻮﻝ ﭘﺬﻳﺮﺵ ‪PDU‬ﻫﺎ ﺍﺯ‬
‫ﺣﻤﻞﻛﻨﻨﺪﻩ ﺑﻮﺩﻩ‪ ،‬ﺁﻧﻬﺎ ﺭﺍ ﺑﻪ ﻓﺮﻡ ﭘﻴﺎﻡ ﻛﭙﺴﻮﻟﻲ ﻧﻤﻮﺩﻩ ﻭ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ USM‬ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ ﺭﺍ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ﭘﻴﺎﻡﻫﺎ ﻭﺍﺭﺩ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﻣﺪﻝ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﻫﻤﭽﻨﻴﻦ ﭘﻴﺎﻡﻫﺎﻱ ﻭﺭﻭﺩﻱ ﺭﺍ ﭘﺬﻳﺮﻓﺘﻪ‪ USM ،‬ﺭﺍ ﺑﺮﺍﻱ ﭘﺮﺩﺍﺯﺵ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ ﺩﺭ‬
‫ﺳﺮﺁﻳﻨﺪ ﭘﻴﺎﻡ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻭ ‪PDU‬ﻫﺎﻱ ﻛﭙﺴﻮﻟﻲ ﺷﺪﻩ ﺭﺍ ﺑﻪ ﺣﻤﻞﻛﻨﻨﺪﻩ ﺗﺤﻮﻳﻞ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۸-۹‬ﺳﺎﺧﺘﺎﺭ ﭘﻴﺎﻡ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﭘﻨﺞ ﻣﻴﺪﺍﻥ ﺍﻭﻟﻴﻪ ﺑﺘﻮﺳﻂ ﻣﺪﻝ ﭘﺮﺩﺍﺯﺵﮔﺮ ﭘﻴﺎﻡ ﺑﺮﺍﻱ ﭘﻴﺎﻡﻫﺎﻱ ﺧﺎﺭﺝﺷﻮﻧﺪﻩ ﺗﻮﻟﻴﺪ‪،‬‬
‫ﻭ ﺑﺘﻮﺳﻂ ﻣﺪﻝ ﭘﺮﺩﺍﺯﺵﮔﺮ ﭘﻴﺎﻡ ﺑﺮﺍﻱ ﭘﻴﺎﻡﻫﺎﻱ ﻭﺍﺭﺩﺷﻮﻧﺪﻩ ﭘﺮﺩﺍﺯﺵ ﻣﻲﮔﺮﺩﻧﺪ‪ .‬ﺷﺶ ﻣﻴﺪﺍﻥ ﺑﻌﺪﻱ ﻧﺸﺎﻥﺩﻫﻨﺪﺓ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪ USM‬ﻫﺴﺘﻨﺪ‪ .‬ﺑﺎﻻﺧﺮﻩ‪ PDU ،‬ﺑﻪ ﻫﻤﺮﺍﻩ ‪ contextEngineID‬ﻭ ‪ contextName‬ﻳﻚ ‪scoped PDU‬‬
‫ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﻨﺪ ﻛﻪ ﺑﺮﺍﻱ ﭘﺮﺩﺍﺯﺵ ‪ PDU‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪.‬‬
‫‪٣١١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫‪msgVersion‬‬
‫‪msgID‬‬
‫‪Generated/processed‬‬
‫‪msgMaxSize‬‬ ‫‪by message processing‬‬
‫‪msgFlags‬‬ ‫‪model‬‬
‫‪msgSecurityModel‬‬
‫‪msgAuthoritativeEngineID‬‬
‫‪msgAuthoritativeEngineBoots‬‬
‫‪Generated/processed‬‬
‫‪msgAuthoritativeEngineTime‬‬
‫‪by user security‬‬
‫‪msgUserName‬‬ ‫)‪model (USM‬‬
‫‪msgAuthenticationParameters‬‬
‫‪msgPrivacyParameters‬‬
‫ﺣﻮﺯﺓ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫‪contextEngineID‬‬
‫‪contextName‬‬
‫ﺣﻮﺯﺓ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪Scoped PDU‬‬
‫‪PDU‬‬ ‫)‪(plaintext or encrypted‬‬
‫ﻓﺮﻣﺖ ﭘﻴﺎﻡ ‪ SNMPv3‬ﺑﺎ ‪USM‬‬ ‫ﺷﻜﻞ ‪۸-۹‬‬
‫ﭘﻨﺞ ﻣﻴﺪﺍﻥ ﺍﻭﻝ ﺑﺸﺮﺡ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫• ‪ :msgVersion‬ﺑﺮﺍﺑﺮ ‪ (snmpv3) 3‬ﺍﺳﺖ‪.‬‬

‫• ‪ :msgID‬ﻳﻚ ﺷﻨﺎﺳﺔ ﻳﻜﺘﺎ ﻛﻪ ﺑﻴﻦ ﺩﻭ ﻣﻮﺟﻮﺩﻳﺖ ‪ SNMP‬ﺑﺮﺍﻱ ﻫﻢﺁﻫﻨﮓ ﻛﺮﺩﻥ ﭘﻴﺎﻡﻫﺎﻱ ﺩﺭﺧﻮﺍﺳﺖ ﻭ ﭘﺎﺳﺦ ﺑﻜﺎﺭ‬
‫ﺭﻓﺘﻪ ﻭ ﭘﺮﺩﺍﺯﺵﮔﺮ ﭘﻴﺎﻡ ﻧﻴﺰ ﺍﺯ ﺁﻥ ﺑﺮﺍﻱ ﻫﻢﺁﻫﻨﮓ ﻛﺮﺩﻥ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﺑﺘﻮﺳﻂ ﻣﺪﻝﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺯﻳﺮﺳﻴﺴﺘﻢﻫﺎ ﺩﺭ‬
‫ﻣﻌﻤﺎﺭﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﻣﺤﺪﻭﺩﺓ ﺍﻳﻦ ‪ ، ID‬ﺻﻔﺮ ﺗﺎ ‪ ۲۳۱-۱‬ﺍﺳﺖ‪.‬‬
‫• ‪ :msgMaxSize‬ﺑﻴﺎﻧﮕﺮ ﺍﻧﺪﺍﺯﺓ ﻣﺎﻛﺰﻳﻤﻢ ﻳﻚ ﭘﻴﺎﻡ ﺑﺮ ﺣﺴﺐ ﺍﹸﻛﺘﺖ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﺳﻮﻱ ﻓﺮﺳﺘﻨﺪﻩ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﺷﻮﺩ ﻭ‬
‫ﻣﺤﺪﻭﺩﺓ ﺁﻥ ‪ ۴۸۴‬ﺗﺎ ‪ ۲۳۱-۱‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻧﺪﺍﺯﺓ ﻣﺎﻛﺰﻳﻤﻢ ﺳِﮕﻤﻨﺘﻲ ﺍﺳﺖ ﻛﻪ ﻓﺮﺳﺘﻨﺪﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ﻳﻚ ﻣﻮﺗﻮﺭ ‪SNMP‬‬
‫ﺩﻳﮕﺮ ﺑﭙﺬﻳﺮﺩ )ﭼﻪ ﻳﻚ ﭘﺎﺳﺦ ﻭ ﭼﻪ ﺍﻧﻮﺍﻉ ﺩﻳﮕﺮ ﭘﻴﺎﻡﻫﺎ(‪.‬‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣١٢‬‬
‫• ‪ :msgFlags‬ﻳﻚ ﺍﹸﻛﺘﺖ ﻛﻪ ﻛﻢ ﺍﻫﻤﻴﺖﺗﺮﻳﻦ ﺳﻪ ﺑﻴﺖ ﺁﻥ ﺷﺎﻣﻞ ﺳﻪ ﭘﺮﭼﻢ ﺍﺳﺖ‪ privFlag ،reportableFlag :‬ﻭ‬
‫‪ .authFlag‬ﺍﮔﺮ ‪ reportableFlag = 1‬ﺑﺎﺷﺪﺁﻧﮕﺎﻩ ﻳﻚ ‪ Report PDU‬ﺑﺎﻳﺴﺘﻲ‪ ،‬ﺩﺭ ﺗﺤﺖ ﺷﺮﺍﻳﻄﻲ ﻛﻪ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎﻋﺚ ﺗﻮﻟﻴﺪ ﻳﻚ ‪ Report PDU‬ﮔﺮﺩﺩ‪ ،‬ﺑﻪ ﻓﺮﺳﺘﻨﺪﻩ ﺑﺎﺯﮔﺮﺩﺍﻧﺪﻩ ﺷﻮﺩ‪ .‬ﻭﻗﺘﻲ ﺍﻳﻦ ﭘﺮﭼﻢ ﺻﻔﺮ ﺍﺳﺖ‪ ،‬ﺍﻣﻜﺎﻥ‬
‫ﺍﺭﺳﺎﻝ ﻳﻚ ‪ Report PDU‬ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ‪ .‬ﭘﺮﭼﻢ ‪ reportableFlag‬ﺩﺭ ﺗﻤﺎﻡ ﭘﻴﺎﻡﻫﺎﺋﻲ ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ﺩﺭﺧﻮﺍﺳﺖ‬
‫)‪ GET‬ﻭ ‪ (SET‬ﻭ ﻳﺎ ﻳﻚ ‪ Inform‬ﺍﺳﺖ ﺑﺮﺍﺑﺮ ‪ 1‬ﻭ ﺑﺮﺍﻱ ﭘﻴﺎﻡﻫﺎﺋﻲ ﻛﻪ ﺷﺎﻣﻞ ﻳﻚ ‪ ،Response‬ﻳﻚ ‪ Trap‬ﻭ ﻳﺎ‬
‫ﻳﻚ ‪ Report PDU‬ﺍﺳﺖ ﺑﺮﺍﺑﺮ ‪ 0‬ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪ ReportableFlag .‬ﺑﻪ ﺍﻳﻦ ﺍﻣﺮ ﻛﻤﻚ ﻣﻲﻛﻨﺪ ﻛﻪ ﭼﻪ‬
‫ﺯﻣﺎﻧﻲ ﻳﻚ ‪ Report‬ﺍﺭﺳﺎﻝ ﺷﻮﺩ‪ .‬ﺍﺯ ﺍﻳﻦ ﺍﻣﺮ ﺗﻨﻬﺎ ﺩﺭ ﻣﻮﺍﺭﺩﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ ﻛﻪ ﺩﺭ ﺁﻥ‪ ،‬ﺑﺨﺶ ‪ PDU‬ﭘﻴﺎﻡ ﻧﺘﻮﺍﻧﺪ‬
‫ﻛﹸﺪﮔﺸﺎﺋﻲ ﺷﻮﺩ )ﻣﺜﻼﹰ ﻭﻗﺘﻲ ﻛﻪ ﺑﻌﻠﺖ ﻛﻠﻴﺪ ﻧﺎﺻﺤﻴﺢ‪ ،‬ﻋﻤﻞ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﺎ ﺷﻜﺴﺖ ﻣﻮﺍﺟﻪ ﺷﻮﺩ(‪ privFlag .‬ﻭ‬
‫‪ authFlag‬ﺑﺘﻮﺳﻂ ﻓﺮﺳﺘﻨﺪﻩ ﺍﻓﺮﺍﺷﺘﻪ ﺷﺪﻩ ﻭ ﺑﺮﺍﻱ ﻧﺸﺎﻥ ﺩﺍﺩﻥ ﺳﻄﺢ ﺍﻣﻨﻴﺘﻲ ﺗﺨﺼﻴﺺ ﺩﺍﺩﻩ ﺷﺪﻩ ﺑﻪ ﭘﻴﺎﻡ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪.‬‬
‫‪ privFlag = 1‬ﺑﻪ ﻣﻔﻬﻮﻡ ﺍﻋﻤﺎﻝ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ‪ privFlag = 0‬ﺑﻪ ﻣﻔﻬﻮﻡ ﺍﻋﻤﺎﻝ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺳﺖ‪ .‬ﺗﻤﺎﻡ‬
‫ﺗﺮﻛﻴﺐﻫﺎﻱ ﻣﻤﻜﻦ ﺑﺠﺰ ‪ authFlag = 0 AND privFlag = 1‬ﻗﺎﺑﻞ ﺍﻋﻤﺎﻝ ﺍﺳﺖ‪ ،‬ﻳﻌﻨﻲ ﻓﻘﻂ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺪﻭﻥ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻤﻜﻦ ﻧﻴﺴﺖ‪.‬‬
‫• ‪ :msgSecurityModel‬ﻳﻚ ﺷﻨﺎﺳﻪ ﺩﺭ ﻣﺤﺪﻭﺩﺓ ﺻﻔﺮ ﺗﺎ ‪ ۲۳۱-۱‬ﺍﺳﺖ ﻛﻪ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﺪﺍﻡ ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﺍﺯ‬
‫ﻃﺮﻑ ﻓﺮﺳﺘﻨﺪﻩ ﺑﺮﺍﻱ ﺁﻣﺎﺩﻩﺳﺎﺯﻱ ﭘﻴﺎﻡ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﮔﻴﺮﻧﺪﻩ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﻛﺪﺍﻡ‬
‫ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﺑﺮﺍﻱ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪ .‬ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﺭﺯﺭﻭ ﺷﺪﻩ ﺷﺎﻣﻞ ‪ 1‬ﺑﺮﺍﻱ ‪ 2 ،SNMPv1‬ﺑﺮﺍﻱ‬
‫‪ SNMPv2) SNMPv2c‬ﺑﺎ ﺗﺴﻬﻴﻼﺕ ﺟﺎﻣﻌﻪﺍﻱ ‪ ( SNMPv1‬ﻭ ‪ 3‬ﺑﺮﺍﻱ ‪ SNMPv3‬ﺍﺳﺖ‪.‬‬
‫ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﻛﺎﺭﺑﺮ‬

‫‪ RFC 2574‬ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﻛﺎﺭﺑﺮ )‪ User Security Model (USM‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ USM .‬ﺳﺮﻭﻳﺲﻫﺎﻱ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺭﺍ ﺑﺮﺍﻱ ‪ SNMP‬ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ USM .‬ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﺑﺮﺍﻱ ﺣﻔﻆ ﺍﻣﻨﻴﺖ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﻬﺪﻳﺪﻫﺎﻱ ﺯﻳﺮ‬
‫ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪:‬‬
‫ﺩﺳﺘﻜﺎﺭﻱ ﺍﻃﻼﻋﺎﺕ‪ :‬ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﭘﻴﺎﻡ ﺩﺭ ﺣﺎﻝ ﺗﺮﺍﻧﺰﻳﺖ‪ ،‬ﻛﻪ ﺑﺘﻮﺳﻂ ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ﻣﻌﺘﺒﺮ ﺗﻮﻟﻴﺪ‬ ‫•‬
‫ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺭﺍ ﻃﻮﺭﻱ ﺗﻐﻴﻴﺮ ﺩﻫﺪ ﻛﻪ ﺑﺎﻋﺚ ﺍﻧﺠﺎﻡ ﻋﻤﻠﻴﺎﺕ ﻣﺪﻳﺮﻳﺘﻲ ﻏﻴﺮﻣﺠﺎﺯ ﮔﺮﺩﺩ‪ .‬ﻧﺘﻴﺠﺔ ﺍﻳﻦ ﺗﻬﺪﻳﺪ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ‬
‫ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ﻏﻴﺮﻣﺠﺎﺯ ﺑﺘﻮﺍﻧﺪ ﻫﺮ ﭘﺎﺭﺍﻣﺘﺮ ﻣﺪﻳﺮﻳﺘﻲ ﻛﻪ ﺍﺯ ﺟﻤﻠﻪ ﺷﺎﻣﻞ ﭘﻴﻜﺮﺑﻨﺪﻱ‪ ،‬ﻋﻤﻠﻴﺎﺕ ﻭ ﺣﺴﺎﺑﺮﺳﻲ ﺍﺳﺖ ﺭﺍ‬
‫ﻋﻮﺽ ﻛﻨﺪ‪.‬‬
‫ﻧﻘﺎﺏﮔﺬﺍﺭﻱ‪ :‬ﻋﻤﻠﻴﺎﺕ ﻣﺪﻳﺮﻳﺘﻲ ﻏﻴﺮﻣﺠﺎﺯ ﺑﺮﺍﻱ ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺘﻮﺳﻂ ﺁﻥ ﻣﻮﺟﻮﺩﻳﺖ‪،‬ﻛﻪ ﻧﻘﺎﺏ ﻳﻚ‬ ‫•‬
‫ﻣﻮﺟﻮﺩﻳﺖ ﻣﺠﺎﺯ ﺭﺍ ﺑﻪ ﭼﻬﺮﻩ ﮔﺬﺍﺷﺘﻪ ﺍﺳﺖ‪ ،‬ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪.‬‬
‫ﺩﺳﺘﻜﺎﺭﻱ ﺟﺮﻳﺎﻥ ﭘﻴﺎﻡ‪ SNMP :‬ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺩ ﺭﻭﻱ ﻳﻚ ﭘﺮﻭﺗﻜﻞ ﺣﻤﻞﻭﻧﻘﻞ ﺑﺪﻭﻥ ﺍﺗﺼﺎﻝ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ‬ ‫•‬
‫ﺗﻬﺪﻳﺪ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﭘﻴﺎﻡﻫﺎﻱ ‪ SNMP‬ﺟﺎﺑﺠﺎﺷﺪﻩ‪ ،‬ﺑﻪ ﺗﺄﺧﻴﺮﺍﻓﺘﺎﺩﻩ ﻭ ﻳﺎ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺷﺪﻩ ﻭ ﺑﻪ ﻋﻤﻠﻴﺎﺕ ﻏﻴﺮﻣﺠﺎﺯ‬
‫ﻣﺪﻳﺮﻳﺘﻲ ﻣﻨﺠﺮ ﮔﺮﺩﻧﺪ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ ﭘﻴﺎﻣﻲ ﺑﺮﺍﻱ ‪ reboot‬ﻛﺮﺩﻥ ﻳﻚ ﺩﺳﺘﮕﺎﻩ ﻣﻤﻜﻦ ﺍﺳﺖ ﻛﭙﻲ ﺷﺪﻩ ﻭ ﺩﺭ ﺁﻳﻨﺪﻩ ﻣﺠﺪﺩﺍﹰ‬
‫ﺍﺭﺳﺎﻝ ﮔﺮﺩﺩ‪.‬‬
‫ﺍﻓﺸﺎ‪ :‬ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﻣﺒﺎﺩﻻﺕ ﺑﻴﻦ ﻳﻚ ﻣﺪﻳﺮ ﻭ ﻳﻚ ﻋﺎﻣﻞ ﺭﺍ ﻣﺸﺎﻫﺪﻩ ﻛﺮﺩﻩ ﻭ ﺍﺯ ﺍﻳﻦ ﻃﺮﻳﻖ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ‬ ‫•‬
‫ﻣﻮﺿﻮﻋﺎﺕ ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ ﻭ ﻫﻤﭽﻨﻴﻦ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﻗﺎﺑﻞ ﺍﺧﻄﺎﺭ ﺭﺍ ﻛﺸﻒ ﻛﻨﺪ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ‪ ،‬ﻣﺸﺎﻫﺪﺓ ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﺍﺯ‬
‫ﻓﺮﺍﻣﻴﻦ ﻛﻪ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺭﺍ ﺗﻐﻴﻴﺮ ﻣﻲﺩﻫﺪ‪ ،‬ﻳﻚ ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﺭﺍ ﻗﺎﺩﺭ ﺧﻮﺍﻫﺪ ﺳﺎﺧﺖ ﺗﺎ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺟﺪﻳﺪ ﺭﺍ ﺑﺪﺳﺖ‬
‫ﺁﻭﺭﺩ‪.‬‬
‫‪٣١٣‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫‪ USM‬ﺑﺮﺍﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺩﻭ ﺗﻬﺪﻳﺪ ﺯﻳﺮ ﻃﺮﺍﺣﻲ ﻧﺸﺪﻩ ﺍﺳﺖ‪:‬‬
‫ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ‪ :‬ﻳﻚ ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﻣﻤﻜﻦ ﺍﺳﺖ ﻣﺎﻧﻊ ﻣﺒﺎﺩﻻﺕ ﺑﻴﻦ ﻳﻚ ﻣﺪﻳﺮ ﻭ ﻳﻚ ﻋﺎﻣﻞ ﺷﻮﺩ‪.‬‬ ‫•‬
‫ﺗﺤﻠﻴﻞ ﺗﺮﺍﻓﻴﻚ‪ :‬ﻳﻚ ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﻟﮕﻮﻱ ﻋﻤﻮﻣﻲ ﺗﺮﺍﻓﻴﻚ ﺑﻴﻦ ﻣﺪﻳﺮﺍﻥ ﻭ ﻋﻮﺍﻣﻞ ﺭﺍ ﻣﺸﺎﻫﺪﻩ ﻧﻤﺎﻳﺪ‪.‬‬ ‫•‬
‫ﻋﺪﻡ ﻭﺟﻮﺩ ﻳﻚ ﻣﻜﺎﻧﻴﺴﻢ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﻬﺪﻳﺪ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ ﺭﺍ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﺩﻭ ﺩﻟﻴﻞ ﺯﻳﺮ ﻣﻨﻄﻘﻲ ﺩﺍﻧﺴﺖ‪ :‬ﺍﻭﻝ ﺍﻳﻨﻜﻪ ﺣﻤﻼﺕ‬
‫ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ ﺩﺭ ﺑﺴﻴﺎﺭﻱ ﻣﻮﺍﺭﺩ ﺍﺯ ﺧﺮﺍﺑﻲﻫﺎﻱ ﺷﺒﻜﻪ‪ ،‬ﻛﻪ ﺧﻮﺩﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺑﺎﻳﺪ ﺁﻥ ﺭﺍ ﻣﺪﻳﺮﻳﺖ ﻧﻤﺎﻳﻨﺪ‪ ،‬ﻗﺎﺑﻞ ﺗﻔﻜﻴﻚ‬
‫ﻧﻴﺴﺘﻨﺪ‪ .‬ﺩﺭ ﺛﺎﻧﻲ ﻳﻚ ﺣﻤﻠﺔ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ ﺍﺣﺘﻤﺎﻻﹰ ﺑﺎﻋﺚ ﺍﺯ ﻫﻢ ﮔﺴﻴﺨﺘﻦ ﺗﻤﺎﻡ ﻣﺒﺎﺩﻻﺕ ﺷﺪﻩ ﻭ ﺩﺭ ﻧﺘﻴﺠﻪ ﺩﺭ ﻣﻘﻮﻟﺔ ﺗﺴﻬﻴﻼﺕ ﺍﻣﻨﻴﺘﻲ‬
‫ﻛﻞ ﺷﺒﻜﻪ‪ ،‬ﻧﻪ ﺗﻨﻬﺎ ﺁﻧﭽﻪ ﺩﺭ ﭘﺮﻭﺗﻜﻞ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ ،‬ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺩﺭ ﻣﻮﺭﺩ ﺗﺤﻠﻴﻞ ﺗﺮﺍﻓﻴﻚ‪ ،‬ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﭘﺘﺮﻥﻫﺎﻱ‬
‫ﺗﺮﺍﻓﻴﻜﻲ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﻗﺎﺑﻞ ﭘﻴﺶﺑﻴﻨﻲ ﺑﻮﺩﻩ )ﻣﺜﻼﹰ ﻣﻮﺟﻮﺩﻳﺖﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﻃﺮﻳﻖ ﻓﺮﺍﻣﻴﻦ ‪ ،SNMP‬ﺍﺯ ﺳﻮﻱ ﻳﻚ ﻳﺎ‬
‫ﭼﻨﺪ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺘﻲ‪ ،‬ﺑﺎ ﺿﺮﺏﺁﻫﻨﮓ ﻣﻨﻈﻢ ﻣﺪﻳﺮﻳﺖ ﺷﻮﻧﺪ( ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﺤﺎﻓﻈﺖ ﺍﺯ ﺁﻧﻬﺎ ﺩﺭ ﺑﺮﺍﺑﺮ ﺷﻨﻮﺩ ﺑﻴﮕﺎﻧﻪ ﺍﻣﺘﻴﺎﺯ ﻗﺎﺑﻞ‬
‫ﺗﻮﺟﻪﺍﻱ ﺩﺭﺑﺮ ﻧﺪﺍﺭﺩ‪.‬‬
‫ﺗﻮﺍﺑﻊ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﺩﻭ ﺗﺎﺑﻊ ﺭﻣﺰﻱ ﺑﺮﺍﻱ ‪ USM‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ‪ :‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ .‬ﺑﺮﺍﻱ ﺣﻤﺎﻳﺖ ﺍﺯ ﺍﻳﻦ ﺩﻭ ﺗﺎﺑﻊ‪ ،‬ﻳﻚ ﻣﻮﺗﻮﺭ‬
‫‪ SNMP‬ﻧﻴﺎﺯ ﺑﻪ ﺩﻭ ﻣﻘﺪﺍﺭ ﺩﺍﺭﺩ‪ :‬ﻳﻚ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲﺳﺎﺯﻱ )‪ (privKey‬ﻭ ﻳﻚ ﻛﻠﻴﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ )‪ .(authKey‬ﺍﻧﺪﺍﺯﻩﻫﺎﻱ‬
‫ﻣﺘﻔﺎﻭﺕ ﺍﻳﻦ ﺩﻭ ﻛﻠﻴﺪ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻥ ﺯﻳﺮ ﻧﮕﻬﺪﺍﺭﻱ ﻣﻲﺷﻮﻧﺪ‪:‬‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﻣﺤﻠﻲ‪ :‬ﻫﺮ ﺭﺋﻴﺴﻲ )‪ (principal‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﺍﻭ ﻋﻤﻠﻴﺎﺕ ﻣﺪﻳﺮﻳﺖ ﻣﺠﺎﺯ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﺩﻭﺭ‪ :‬ﻫﺮ ﺭﺋﻴﺴﻲ ﺩﺭ ﻳﻚ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﺩﻭﺭ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﺍﻭ ﺍﺭﺗﺒﺎﻃﺎﺕ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺍﻳﻦ ﻣﻘﺎﺩﻳﺮ ﺍﺯ ﺟﻤﻠﻪ ﺻﻔﺎﺕ ﻣﻨﺘﺴﺐ ﺑﻪ ﻛﺎﺭﺑﺮ ﺑﺮﺍﻱ ﻫﺮ ﻛﺎﺭﺑﺮ ﻣﺮﺗﺒﻂ ﺍﺳﺖ‪ .‬ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ‪ privKey‬ﻭ ‪ authKey‬ﺍﺯ ﻃﺮﻳﻖ‬
‫‪ SNMP‬ﻗﺎﺑﻞ ﺩﺳﺘﺮﺱ ﻧﻴﺴﺘﻨﺪ‪.‬‬
‫‪ USM‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻭ ﻳﺎ ﻫﺮ ﺩﻭ ﭘﺮﻭﺗﻜﻞ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪ HMAC-MD5-96‬ﻭ‪ HMAC-SHA-96‬ﺭﺍ ﻣﺠﺎﺯ ﻣﻲﺷﻤﺎﺭﺩ‪.‬‬
‫‪ HMAC‬ﻛﻪ ﺩﺭ ﻓﺼﻞ ‪ ۳‬ﺗﺸﺮﻳﺢ ﮔﺮﺩﻳﺪ‪ ،‬ﺍﺯ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺍﻣﻦ ﺑﻌﻼﻭﺓ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ‪ ،‬ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻳﻚ ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‪،‬‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ HMAC-MD5-96 .‬ﺍﺯ ‪ MD5‬ﺑﻌﻨﻮﺍﻥ ﺗﺎﺑﻊ ‪ hash‬ﺩﺭﻭﻧﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﻳﻚ ‪ authKey‬ﺑﺎ ﻃﻮﻝ ‪ ۱۶‬ﺍﹸﻛﺘﺖ‬
‫)‪ ۱۲۸‬ﺑﻴﺖ( ﺑﺮﺍﻱ ﻭﺭﻭﺩﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ HMAC‬ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﻳﻚ ﺧﺮﻭﺟﻲ ‪ -۱۲۸‬ﺑﻴﺘﻲ ﺭﺍ ﺍﻳﺠﺎﺩ ﻛﺮﺩﻩ ﻛﻪ ﺗﻨﻬﺎ ‪ ۱۲‬ﺍﹸﻛﺘﺖ‬
‫)‪ ۹۶‬ﺑﻴﺖ( ﺁﻥ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺑﺮﺍﻱ ‪ HMAC-SHA-96‬ﺗﺎﺑﻊ ‪ hash‬ﺩﺭﻭﻧﻲ ‪ SHA-1‬ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻨﺠﺎ ‪authKey‬‬
‫ﺩﺍﺭﺍﻱ ﻃﻮﻝ ‪ ۲۰‬ﺍﹸﻛﺘﺖ )‪ ۱۶۰‬ﺑﻴﺖ( ﺍﺳﺖ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﻳﻚ ﺧﺮﻭﺟﻲ ‪ -۲۰‬ﺍﹸﻛﺘﺘﻲ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ﺩﺭ ﺍﻳﻨﺠﺎ ﻧﻴﺰ ﻓﻘﻂ ﺍﺯ ‪ ۱۲‬ﺍﹸﻛﺘﺖ ﺁﻥ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ USM‬ﺍﺯ ﻣُﻮﺩ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺭﻣــﺰ ﻗﺎﻟﺒــﻲ)‪ (CBC‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﻳﺘﺎ )‪ (DES‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﻳﻚ ‪ privKey‬ﺑﺎ‬
‫‪ ۱۶‬ﺍﹸﻛﺘﺖ ﻃﻮﻝ ﺑﺮﺍﻱ ﻭﺭﻭﺩﻱ ﭘﺮﻭﺗﻜﻞ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻭﻟﻴﻦ ‪ ۸‬ﺍﹸﻛﺘﺖ )‪ ۶۴‬ﺑﻴﺖ( ﺍﻳﻦ ‪ privKey‬ﺑﻌﻨﻮﺍﻥ ﻛﻠﻴﺪ ‪DES‬‬
‫ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﭼﻮﻥ ‪ DES‬ﺗﻨﻬﺎ ﺑﻪ ﻳﻚ ﻛﻠﻴﺪ ‪ -۵۶‬ﺑﻴﺘﻲ ﻧﻴﺎﺯ ﺩﺍﺭﺩ‪ ،‬ﻛﻢ ﺍﻫﻤﻴﺖﺗﺮﻳﻦ ﺑﻴﺖﻫﺎﻱ ﻫﺮ ﺍﹸﻛﺘﺖ ﻧﺎﺩﻳﺪﻩ ﮔﺮﻓﺘﻪ‬
‫ﻣﻲﺷﻮﺩ‪ .‬ﺑﺮﺍﻱ ﻣُﻮﺩ ‪ CBC‬ﻳﻚ ﺑﺮﺩﺍﺭ ﺍﻭﻟﻴﺔ)‪ -۶۴ (IV‬ﺑﻴﺘﻲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪ .‬ﺁﺧﺮﻳﻦ ‪ ۸‬ﺍﹸﻛﺘﺖ ‪ privKey‬ﺷﺎﻣﻞ ﺍﻧﺪﺍﺯﻩﺍﻱ ﺍﺳﺖ ﻛﻪ‬
‫ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ‪ IV‬ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣١٤‬‬
‫ﻣﻮﺗﻮﺭﻫﺎﻱ ﻣﺴﺌﻮﻝ ﻭ ﻏﻴﺮﻣﺴﺌﻮﻝ‬
‫ﺩﺭ ﻫﺮ ﺍﻧﺘﻘﺎﻝ ﭘﻴﺎﻡ‪ ،‬ﻳﻜﻲ ﺍﺯ ﺩﻭ ﻭﺍﺣﺪ ﻓﺮﺳﺘﻨﺪﻩ ﻳﺎ ﮔﻴﺮﻧﺪﻩ‪ ،‬ﺑﺮ ﻃﺒﻖ ﻗﻮﺍﻋﺪ ﺯﻳﺮ ﺑﻌﻨﻮﺍﻥ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻣﺴﺌﻮﻝ ﺍﻧﺘﺨﺎﺏ ﻣﻲﺷﻮﺩ‪:‬‬
‫ﻭﻗﺘﻲ ﻳﻚ ﭘﻴﺎﻡ ‪ SNMP‬ﺷﺎﻣﻞ ﻣﺤﻤﻮﻟﻪﺍﻱ ﺍﺳﺖ ﻛﻪ ﺍﻧﺘﻈﺎﺭ ﻳﻚ ﭘﺎﺳﺦ ﺭﺍ ﺩﺍﺭﺩ )ﻣﺜﻞ ‪Get,GetNext,GetBulk,Set‬‬ ‫•‬
‫ﻳﺎ ‪ ،(Inform PDU‬ﺁﻧﮕﺎﻩ ﮔﻴﺮﻧﺪﺓ ﭼﻨﻴﻦ ﭘﻴﺎﻣﻲ ﻣﺴﺌﻮﻝ ﺗﻠﻘﻲ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﻭﻗﺘﻲ ﻳﻚ ﭘﻴﺎﻡ ‪ SNMP‬ﺷﺎﻣﻞ ﻣﺤﻤﻮﻟﻪﺍﻱ ﺍﺳﺖ ﻛﻪ ﺍﻧﺘﻈﺎﺭ ﻳﻚ ﭘﺎﺳﺦ ﺭﺍ ﻧﺪﺍﺭﺩ )ﻣﺜﻞ ﻳﻚ ‪،snmpv2-Trap‬‬ ‫•‬
‫‪ Response‬ﻳﺎ ‪ ،(Report PDU‬ﺁﻧﮕﺎﻩ ﻓﺮﺳﺘﻨﺪﺓ ﭼﻨﻴﻦ ﭘﻴﺎﻣﻲ‪ ،‬ﻣﺴﺌﻮﻝ ﺗﻠﻘﻲ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ‪ ،‬ﺑﺮﺍﻱ ﭘﻴﺎﻡﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ﺳﻮﻱ ﻳﻚ ﻣﻮﻟﺪ ﻓﺮﻣﺎﻥ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ ﻭ ﺑﺮﺍﻱ ﭘﻴﺎﻡﻫﺎﻱ ‪ Inform‬ﻛﻪ ﺍﺯ ﺟﺎﻧﺐ ﻳﻚ ﻣﻮﻟﺪ‬
‫ﺍﺧﻄﺎﺭ ﺍﺭﺳﺎﻝ ﻣﻲﮔﺮﺩﺩ‪ ،‬ﮔﻴﺮﻧﺪﻩ ﻣﺴﺌﻮﻝ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﭘﻴﺎﻡﻫﺎﻱ ﻳﻚ ﭘﺎﺳﺦﺩﻫﻨﺪﺓ ﻓﺮﻣﺎﻥ ﻭ ﭘﻴﺎﻡﻫﺎﻱ ‪ trap‬ﻛﻪ ﺍﺯ ﺳﻮﻱ ﻳﻚ ﻣﻮﻟﺪ ﺍﺧﻄﺎﺭ‬
‫ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪ ،‬ﻓﺮﺳﺘﻨﺪﻩ ﻣﺴﺌﻮﻝ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻧﻮﻉ ﺗﺨﺼﻴﺺ ﻣﺴﺌﻮﻟﻴﺖ ﺩﻭ ﻫﺪﻑ ﺭﺍ ﺩﻧﺒﺎﻝ ﻣﻲﻛﻨﺪ‪:‬‬
‫ﺑﻬﻨﮕﺎﻡ ﺑﻮﺩﻥ ﻳﻚ ﭘﻴﺎﻡ ﺑﺎ ﺳﺎﻋﺖ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﺍﺭﺯﻳﺎﺑﻲ ﻣﻲﺷﻮﺩ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ‪ ،‬ﻳﻚ ﭘﻴﺎﻡ ﺭﺍ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‬ ‫•‬
‫)‪ ،(Trap,Response,Report‬ﺍﻧﺪﺍﺯﺓ ﺟﺎﺭﻱ ﺳﺎﻋﺖ ﺧﻮﺩ ﺭﺍ ﺩﺭ ﺁﻥ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ ﺗﺎ ﮔﻴﺮﻧﺪﺓ ﻏﻴﺮﻣﺴﺌﻮﻝ ﺑﺘﻮﺍﻧﺪ ﺧﻮﺩ ﺭﺍ‬
‫ﺑـﺎ ﺁﻥ ﺳـﺎﻋﺖ ﻫﻤﺎﻫﻨﮓ ﺳــﺎﺯﺩ‪ .‬ﻭﻗﺘـﻲ ﻳﻚ ﻣــﻮﺗﻮﺭ ﻏﻴــﺮﻣـﺴﺌــﻮﻝ ﻳــﻚ ﭘﻴــﺎﻡ ﺭﺍ ﺍﺭﺳـــﺎﻝ ﻣﻲﻛﻨـﺪ‬
‫)‪ ،(Get,GetNext,GetBulk,Set,Inform‬ﺍﻧﺪﺍﺯﺓ ﺗﺨﻤﻴﻨﻲ ﺳﺎﻋﺖ ﺟﺎﺭﻱ ﻣﻘﺼﺪ ﺭﺍ ﺩﺭ ﭘﻴﺎﻡ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ ﺗﺎ ﻣﻘﺼﺪ‬
‫ﺑﺘﻮﺍﻧﺪ ﺑﻬﻨﮕﺎﻡ ﺑﻮﺩﻥ ﭘﻴﺎﻡ ﺭﺍ ﺍﺭﺯﻳﺎﺑﻲ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻋﻤﻞ ﻣﺤﻠﻲﻛﺮﺩﻥ ﻛﻠﻴﺪﻫﺎ ﻛﻪ ﺑﻌﺪﺍﹰ ﺗﺸﺮﻳﺢ ﺧﻮﺍﻫﺪ ﺷﺪ‪ ،‬ﻳﻚ ﺭﺋﻴﺲ ﻣﻨﻔﺮﺩ ﺭﺍ ﻗﺎﺩﺭ ﺧﻮﺍﻫﺪ ﺳﺎﺧﺖ ﺗﺎ ﻛﻠﻴﺪﻫﺎﻱ ﺫﺧﻴﺮﻩ‬ ‫•‬
‫ﺷﺪﻩ ﺩﺭ ﻣﻮﺗﻮﺭﻫﺎﻱ ﻣﺘﻌﺪﺩ ﺭﺍ ﺻﺎﺣﺐ ﺷﻮﺩ‪ .‬ﺍﻳﻦ ﻛﻠﻴﺪﻫﺎ ﺩﺭ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﺑﻨﺤﻮﻱ ﻣﺤﻠﻲ ﺧﻮﺍﻫﻨﺪ ﺷﺪ ﻛﻪ ﺭﺋﻴﺲ ﻣﻨﻔﺮﺩ‪،‬‬
‫ﺗﻨﻬﺎ ﻣﺴﺌﻮﻝ ﻳﻚ ﻛﻠﻴﺪ ﺑﻮﺩﻩ ﻭ ﺍﺯ ﺭﻳﺴﻚ ﺍﻣﻨﻴﺘﻲ ﺫﺧﻴﺮﻩﺳﺎﺯﻱ ﻛﭙﻲﻫﺎﻱ ﻣﺘﻌﺪﺩ ﻛﻠﻴﺪ ﺩﺭ ﻳﻚ ﺷﺒﻜﺔ ﺗﻮﺯﻳﻊﺷﺪﻩ ﺟﻠﻮﮔﻴﺮﻱ‬
‫ﺷﻮﺩ‪.‬‬
‫ﻣﻨﻄﻘﻲ ﺍﺳﺖ ﻛﻪ ﮔﻴﺮﻧﺪﺓ ‪PDU‬ﻫﺎﻱ ‪ Command Generator‬ﻭ ‪ Inform‬ﺭﺍ‪ ،‬ﺑﻌﻨﻮﺍﻥ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ‪ ،‬ﻭ ﺩﺭ ﻧﺘﻴﺠﻪ‬
‫ﻛﻨﺘﺮﻝﻛﻨﻨﺪﺓ ﺑﻬﻨﮕﺎﻡ ﺑﻮﺩﻥ ﭘﻴﺎﻡ ﺩﺍﻧﺴﺖ‪ .‬ﺍﮔﺮ ﻳﻚ ‪ response‬ﻳﺎ ‪ trap‬ﺑﺘﺄﺧﻴﺮ ﺍﻓﺘﺎﺩﻩ ﻭ ﻳﺎ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺷﻮﺩ‪ ،‬ﺧﻄﺮﺁﻥ ﺧﻴﻠﻲ ﺟﺪﻱ ﻧﻴﺴﺖ‪،‬‬
‫ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻪ ‪ ،Command Generator PDU‬ﻭ ﺗﺎ ﺣﺪﻭﺩﻱ ‪ ،Inform PDU‬ﻣﻨﺠﺮ ﺑﻪ ﻋﻤﻠﻴﺎﺕ ﻣﺪﻳﺮﻳﺘﻲ ﻫﻤﭽﻮﻥ ﺧﻮﺍﻧﺪﻥ ﻭ‬
‫ﻳﺎ ﺗﻐﻴﻴﺮ ﻣﻮﺿﻮﻋﺎﺕ ‪ MIB‬ﻣﻲﮔﺮﺩﻧﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺗﻀﻤﻴﻦ ﺍﻳﻦ ﺍﻣﺮ ﻛﻪ ﭼﻨﻴﻦ ‪PDU‬ﻫﺎﺋﻲ ﺑﻪ ﺗﺄﺧﻴﺮ ﻧﻴﻔﺘﺎﺩﻩ ﻭ ﻳﺎ ﺑﺎﺯﺧﻮﺍﻧﻲ ﻧﺸﺪﻩ ﺍﺳﺖ‬
‫ﻣﻬﻢ ﺑﻮﺩﻩ ﺯﻳﺮﺍ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺍﺛﺮﺍﺕ ﻧﺎﻣﻄﻠﻮﺑﻲ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﭘﻴﺎﻡ ‪USM‬‬
‫ﻭﻗﺘﻲ ﻳﻚ ﭘﻴﺎﻡ ﺧﺎﺭﺝﺷﻮﻧﺪﻩ‪ ،‬ﺍﺯ ﺳﻮﻱ ﭘﺮﺩﺍﺯﺵﮔﺮ ﭘﻴﺎﻡ ﺑﻪ ‪ USM‬ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪ USM ،‬ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ ﺭﺍ ﺩﺭ‬
‫ﺳﺮﺁﻳﻨﺪ ﭘﻴﺎﻡ ﻭﺍﺭﺩ ﻣﻲﻛﻨﺪ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﭘﻴﺎﻡ ﻭﺍﺭﺩﺷﻮﻧﺪﻩ ﺍﺯ ﺳﻮﻱ ﭘﺮﺩﺍﺯﺵﮔﺮ ﭘﻴﺎﻡ ﺑﻪ ‪ USM‬ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪ USM ،‬ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‬
‫ﻣﻮﺟﻮﺩ ﺩﺭ ﺳﺮﺁﻳﻨﺪ ﭘﻴﺎﻡ ﺭﺍ ﺑﺮﺭﺳﻲ ﻭ ﭘﺮﺩﺍﺯﺵ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ ﺑﻪ ﻗﺮﺍﺭ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫‪٣١٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫‪ :msgAuthoritativeEngineID‬ﺷﻨﺎﺳﺔ ‪ snmpEngineID‬ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻣﺴﺌﻮﻝ ﺩﺭ ﺍﻳﻦ ﻣﺒﺎﺩﻟﻪ ﺍﺳﺖ‪.‬‬ ‫•‬

‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﻳﻦ ﻣﻘﺪﺍﺭ ﺩﺭ ﻣﻮﺭﺩ ﻳﻚ ‪ ،Trap‬ﻳﻚ ‪ Response‬ﻭ ﻳﻚ ‪ Report‬ﺑﻪ ﻣﺒﺪﺃ‪ ،‬ﻭ ﺩﺭ ﻣﻮﺭﺩ ‪،GetNext ،Get‬‬
‫‪ Set ،GetBulk‬ﻭ ‪ Inform‬ﺑﻪ ﻣﻘﺼﺪ ﺍﺷﺎﺭﻩ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫‪ :msgAuthoritativeEngineBoots‬ﺍﻧﺪﺍﺯﺓ ‪ snmpEngineBoots‬ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻣﺴﺌﻮﻝ ﺩﺭ ﻣﺒﺎﺩﻟﺔ ﺍﻳﻦ‬ ‫•‬
‫ﭘﻴﺎﻡ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻣﻮﺿﻮﻉ ‪ snmpEngineBoots‬ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ﺩﺭ ﺑﺎﺯﺓ ﺻﻔﺮ ﺗﺎ ‪ ۲۳۱-۱‬ﺍﺳﺖ ﻛﻪ ﺗﻌﺪﺍﺩ‬
‫ﺩﻓﻌﺎﺗﻲ ﻛﻪ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﺍﺯ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺍﻭﻟﻴﺔ ﺧﻮﺩ ﻣﺠﺪﺩﺍﹰً ﺁﻏﺎﺯﻳﺪﻥ ﮔﺮﻓﺘﻪ ﺍﺳﺖ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪ :msgAutoritativeEngineTime‬ﺍﻧﺪﺍﺯﺓ ‪ snmpEngineTime‬ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻣﺴﺌﻮﻝ ﺩﺭ ﻣﺒﺎﺩﻟﺔ ﺍﻳﻦ ﭘﻴﺎﻡ‬ ‫•‬
‫ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻣﻮﺿﻮﻉ ‪ snmpEngineTime‬ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ﺩﺭ ﺑﺎﺯﺓ ﺻﻔﺮ ﺗﺎ ‪ ۲۳۱-۱‬ﺍﺳﺖ ﻛﻪ ﺗﻌﺪﺍﺩ ﺛﺎﻧﻴﻪﻫﺎﺋﻲ‬
‫ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺍﺯ ﺁﺧﺮﻳﻦ ﺑﺎﺭﻱ ﻛﻪ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻣﺴﺌﻮﻝ‪ ،‬ﻣﻮﺿﻮﻉ ‪ snmpEngineBoots‬ﺭﺍ ﻳﻚ ﻭﺍﺣﺪ ﺍﺿﺎﻓﻪ‬
‫ﻛﺮﺩﻩ ﺍﺳﺖ‪ ،‬ﮔﺬﺷﺘﻪ ﺍﺳﺖ‪ .‬ﻫﺮ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻣﺴﺌﻮﻝ‪ ،‬ﻣﺴﺌﻮﻟﻴﺖ ﺑﺎﻻ ﺑﺮﺩﻥ ﺍﻧﺪﺍﺯﺓ ‪ snmpEngineTime‬ﺧﻮﺩ ﺑﻪ‬
‫ﻣﻴﺰﺍﻥ ﻳﻚ ﻭﺍﺣﺪ ﺩﺭ ﻫﺮ ﺛﺎﻧﻴﻪ ﺭﺍ ﺩﺍﺭﺍﺳﺖ‪ .‬ﻳﻚ ﻣﻮﺗﻮﺭ ﻏﻴﺮﻣﺴﺌﻮﻝ‪ ،‬ﻣﺴﺌﻮﻟﻴﺖ ﺍﺿﺎﻓﻪ ﻛﺮﺩﻥ ‪ snmpEngineTime‬ﺧﻮﺩ‪،‬‬
‫ﺑﻪ ﺍﻧﺪﺍﺯﺓ ﻳﻚ ﻭﺍﺣﺪ ﺑﺮﺍﻱ ﻫﺮﺑﺎﺭ ﺍﺭﺗﺒﺎﻁ ﺑﺎ ﻳﻚ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ‪ ،‬ﺭﺍ ﺑﻌﻬﺪﻩ ﺩﺍﺭﺩ‪.‬‬
‫‪ :msgUserName‬ﻛﺎﺭﺑﺮﻱ )ﺭﺋﻴﺲ( ﻛﻪ ﭘﻴﺎﻡ ﺍﺯ ﺳﻮﻱ ﺍﻭ ﻣﺒﺎﺩﻟﻪ ﻣﻲﮔﺮﺩﺩ‪.‬‬ ‫•‬
‫‪ :msgAuthenticationParameters‬ﺍﮔﺮ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﺒﺎﺩﻟﻪ ﺑﻜﺎﺭ ﻧﺮﻭﺩ‪ ،‬ﺧﺎﻟﻲ ﺍﺳﺖ‪ .‬ﺩﺭ ﻏﻴﺮ ﺍﻳﻦ‬ ‫•‬
‫ﺻﻮﺭﺕ ﻳﻚ ﭘﺎﺭﺍﻣﺘﺮ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺗﻌﺎﺭﻳﻒ ﻓﻌﻠﻲ ‪ ،USM‬ﭘﺎﺭﺍﻣﺘﺮ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻳﻚ ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬
‫‪ HMAC‬ﺍﺳﺖ‪.‬‬
‫‪ :msgPrivacyParameters‬ﺍﮔﺮ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺑﺮﺍﻱ ﺍﻳﻦ ﭘﻴﺎﻡ ﺑﻜﺎﺭ ﻧﺮﻭﺩ‪ ،‬ﺧﺎﻟﻲ ﺍﺳﺖ‪ .‬ﺩﺭ ﻏﻴﺮ ﺍﻳﻦ ﺻﻮﺭﺕ ﻳﻚ‬ ‫•‬
‫ﭘﺎﺭﺍﻣﺘﺮ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺗﻌﺎﺭﻳﻒ ﻓﻌﻠﻲ ‪ ،USM‬ﭘﺎﺭﺍﻣﺘﺮ ﻣﺤﺮﻣﺎﻧﮕﻲ ﻣﻘﺪﺍﺭﻱ ﺍﺳﺖ ﻛﻪ ﺑﺮﺩﺍﺭ ﺍﻭﻟﻴﻪ)‪ (IV‬ﺩﺭ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ CBC DES‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۸-۱۰‬ﻋﻤﻠﻴﺎﺕ ‪ USM‬ﺭﺍ ﺧﻼﺻﻪ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ﭘﻴﺎﻡ‪ ،‬ﺍﮔﺮ ﻻﺯﻡ ﺑﺎﺷﺪ‪ ،‬ﺍﺑﺘﺪﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ Scoped PDU‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ ﻭ ﺩﺭ ﻣﺤﻤﻮﻟﺔ ﭘﻴﺎﻡ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﻭ ﺍﻧﺪﺍﺯﺓ ‪ msgPrivacyParameters‬ﺑﺎ ﻣﻘﺪﺍﺭﻱ ﭘﺮ ﻣﻲﺷﻮﺩ‬
‫ﻛﻪ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ‪ IV‬ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪ .‬ﺁﻧﮕﺎﻩ‪ ،‬ﺍﮔﺮ ﻻﺯﻡ ﺑﺎﺷﺪ‪ ،‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ .‬ﺗﻤﺎﻡ ﭘﻴﺎﻡ ﻛﻪ ﺷﺎﻣﻞ ‪ scoped PDU‬ﺍﺳﺖ‬
‫ﺩﺭ ﻭﺭﻭﺩﻱ ‪ HMAC‬ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﻭ ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺪﺳﺖ ﺁﻣﺪﻩ ﺩﺭ ‪ msgAuthenticationParameters‬ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺑﺮﺍﻱ ﭘﻴﺎﻡﻫﺎﻱ ﻭﺭﻭﺩﻱ‪ ،‬ﺍﮔﺮ ﻻﺯﻡ ﺑﺎﺷﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ USM .‬ﺍﺑﺘﺪﺍ ‪ MAC‬ﻭﺭﻭﺩﻱ ﺭﺍ ﺑﺎ ‪ MAC‬ﻣﺤﺎﺳﺒﻪ ﺷﺪﺓ ﺧﻮﺩ‬
‫ﻣﻘﺎﻳﺴﻪ ﻛﺮﺩﻩ ﻭ ﺍﮔﺮ ﺍﻳﻦ ﺩﻭ ﺑﺎ ﻫﻢ ﺑﺮﺍﺑﺮ ﺑﺎﺷﻨﺪ‪ ،‬ﭘﻴﺎﻡ ﻣﻌﺘﺒﺮ ﻓﺮﺽ ﻣﻲﺷﻮﺩ )ﺍﺯ ﻳﻚ ﻣﻨﺒﻊ ﻣﺠﺎﺯ ﺻﺎﺩﺭ ﺷﺪﻩ ﻭ ﺩﺭ ﻫﻨﮕﺎﻡ ﺍﻧﺘﻘﺎﻝ ﺗﻐﻴﻴﺮ‬
‫ﻧﻜﺮﺩﻩ ﺍﺳﺖ(‪ .‬ﺳﭙﺲ ‪ USM‬ﻛﻨﺘﺮﻝ ﻣﻲﻛﻨﺪ ﻛﻪ ﺁﻳﺎ ﭘﻴﺎﻡ‪ ،‬ﺑﺮﺍﺑﺮ ﺁﻧﭽﻪ ﺑﻌﺪﺍﹰ ﺗﺸﺮﻳﺢ ﺧﻮﺍﻫﺪ ﺷﺪ‪ ،‬ﺩﺭ ﺩﺭﻭﻥ ﻳﻚ ﺑﺎﺯﺓ ﺯﻣﺎﻧﻲ ﻣﺠﺎﺯ‬
‫ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺑﺎﺷﺪ‪ .‬ﺍﮔﺮ ﭘﻴﺎﻡ ﺑﻬﻨﮕﺎﻡ ﻧﺒﺎﺷﺪ‪ ،‬ﻏﻴﺮ ﻣﻌﺘﺒﺮ ﺗﻠﻘﻲ ﺷﺪﻩ ﻭ ﻣﻌﺪﻭﻡ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺑﺎﻻﺧﺮﻩ ﺍﮔﺮ‪ scoped PDU‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﺪﻩ‬
‫ﺑﺎﺷﺪ‪ USM ،‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﻭ ﻣﺘﻦ ﺳﺎﺩﻩ ﺭﺍ ﺍﺳﺘﺨﺮﺍﺝ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻣﻜﺎﻧﻴﺴﻢ ‪ USM‬ﺑﺮﺍﻱ ﻛﻨﺘﺮﻝ ﺑﻬﻨﮕﺎﻡ ﺑﻮﺩﻥ‬

‫‪ USM‬ﺷﺎﻣﻞ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﻛﻨﺘﺮﻝ ﺑﻬﻨﮕﺎﻡ ﺑﻮﺩﻥ ﺑﺮﺍﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﺄﺧﻴﺮ ﻭ ﻳﺎ ﺑﺎﺯﺧﻮﺍﻧﻲ ﭘﻴﺎﻡ ﺍﺳﺖ‪ .‬ﻫﺮ ﻣﻮﺗﻮﺭ‬
‫‪ SNMP‬ﻛﻪ ﺑﺘﻮﺍﻧﺪ ﺑﺎ ﻇﺮﻓﻴﺖ ﻳﻚ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﻛﺎﺭﻛﻨﺪ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺩﺭﺑﺮﮔﻴﺮﻧﺪﺓ ﺩﻭ ﻣﻮﺿﻮﻉ ‪ snmpEngineBoots‬ﻭ‬
‫‪ snmpEngineTime‬ﺑﺎﺷﺪ ﻛﻪ ﻣﻮﺿﻮﻉ ﺍﺧﻴﺮ ﺑﻪ ﺯﻣﺎﻥ ﻣﺤﻠﻲ ﺩﺭ ﻣﻮﺗﻮﺭ ﺍﺷﺎﺭﻩ ﺩﺍﺭﺩ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﺩﺭ ﺍﺑﺘﺪﺍ ﻧﺼﺐ‬
‫ﻣﻲﮔﺮﺩﺩ ﺍﻧﺪﺍﺯﺓ ﺍﻳﻦ ﺩﻭ ﻣﻮﺿﻮﻉ ﺑﺮﺍﺑﺮ ‪ 0‬ﺗﻨﻈﻴﻢ ﻣﻲﮔﺮﺩﺩ‪ .‬ﭘﺲ ﺍﺯ ﺁﻥ‪ snmpEngineTime ،‬ﺩﺭ ﻫﺮ ﺛﺎﻧﻴﻪ ﻳﻚ ﻭﺍﺣﺪ ﺯﻳﺎﺩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺍﻃﻼﻋﺎﺕ ﻛﺎﺭﺑﺮ‬ ‫ﺍﻃﻼﻋﺎﺕ ﻛﺎﺭﺑﺮ‬

‫ﻓﺼﻞ ﻫﺸﺘﻢ‬
‫ﺍﺳﺘﺨﺮﺍﺝ ﺷﻮﺩ‬ ‫ﺍﺳﺘﺨﺮﺍﺝ ﺷﻮﺩ‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬ ‫ﺑﻠﻲ‬ ‫‪ scopedPdu‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﺩ‬ ‫ﺑﻠﻲ‬ ‫‪ MAC‬ﻣﺤﺎﺳﺒﻪ ﺷﻮﺩ ﻭ ﻣﻘﺎﻳﺴﻪ ﺷﻮﺩ ﺑﺎ‬
‫ﻻﺯﻡ ﺍﺳﺖ؟‬ ‫‪ msgPrivacyParameters‬ﺗﻨﻈﻴﻢ ﺷﻮﺩ‬ ‫ﻻﺯﻡ ﺍﺳﺖ؟‬ ‫‪msgAuthenticationParameters‬‬
‫ﺧﻴﺮ‬ ‫ﺧﻴﺮ‬
‫‪msgPrivacyParameters‬‬ ‫ﺗﻌﻴﻴﻦ ﺷﻮﺩ ﻛﻪ ﺁﻳﺎ ﭘﻴﺎﻡ‬

‫ﺩﻧﺒﺎﻟﺔ ﺧﺎﻟﻲ ←‬
‫ﺑﻬﻨﮕﺎﻡ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺍﺳﺖ‬
‫ﺑﻠﻲ‬ ‫‪ MAC‬ﻣﺤﺎﺳﺒﻪ ﺷﻮﺩ‬ ‫ﺑﻠﻲ‬

‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬
‫‪ scopedPdu‬ﺭﻣﺰﮔﺸﺎﺋﻲ ﺷﻮﺩ‬
‫ﻻﺯﻡ ﺍﺳﺖ؟‬ ‫‪ msgAuthenticationParameters‬ﺗﻨﻈﻴﻢ ﺷﻮﺩ‬ ‫ﻻﺯﻡ ﺍﺳﺖ؟‬
‫ﺧﻴﺮ‬ ‫ﺧﻴﺮ‬
‫‪msgAuthenticationParameters‬‬
‫ﺩﻧﺒﺎﻟﺔ ﺧﺎﻟﻲ ←‬
‫)ﺏ( ﺩﺭﻳﺎﻓﺖ ﭘﻴﺎﻡ‬
‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫)ﺍﻟﻒ( ﺍﺭﺳﺎﻝ ﭘﻴﺎﻡ‬

‫‪٣١٦‬‬
‫ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ‪USM‬‬ ‫ﺷﻜﻞ ‪۸-۱۰‬‬

‫‪٣١٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﺍﮔﺮ ‪ snmpEngineTime‬ﺑﻪ ﻣﻘﺪﺍﺭ ﻣﺎﻛﺰﻳﻤﻢ ﺧﻮﺩ ‪ ۲۳۱-۱‬ﺑﺮﺳﺪ‪ snmpEngineBoots ،‬ﻳﻚ ﻭﺍﺣﺪ ﺍﺿﺎﻓﻪ ﻣﻲﺷﻮﺩ)ﻣﺜﻞ ﺍﻳﻨﻜﻪ‬
‫ﺳﻴﺴﺘﻢ ‪ reboot‬ﺷﺪﻩ ﺑﺎﺷﺪ( ﻭ ‪ snmpEngineTime‬ﺑﻪ ﺻﻔﺮ ﺑﺮﮔﺸﺘﻪ ﻭ ﻣﺠﺪﺩﺍﹰ ﺯﻳﺎﺩ ﺷﺪﻥ ﺭﺍ ﺍﺩﺍﻣﻪ ﻣﻲﺩﻫﺪ‪ .‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ‬
‫ﻣﻜﺎﻧﻴﺴﻢ ﺳﻨﻜﺮﻭﻧﻴﺰﺍﺳﻴﻮﻥ‪ ،‬ﻳﻚ ﻣﻮﺗﻮﺭ ﻏﻴﺮﻣﺴﺌﻮﻝ ﻣﻲﺗﻮﺍﻧﺪ ﺗﺨﻤﻴﻨﻲ ﺍﺯ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﺯﻣﺎﻧﻲ ﻫﺮ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻟﻲ ﻛﻪ ﺑﺎ ﺍﻭ ﺍﺭﺗﺒﺎﻁ ﺩﺍﺭﺩ ﺭﺍ‬
‫ﻧﮕﻬﺪﺍﺭﻱ ﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﺗﺨﻤﻴﻨﻲ ﺩﺭ ﻫﺮ ﭘﻴﺎﻡ ﺧﺎﺭﺝﺷﻮﻧﺪﻩ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﺷﺪﻩ ﻭ ﺑﻪ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﺓ ﭘﻴﺎﻡ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ‬
‫ﺗﺎ ﺗﻌﻴﻴﻦ ﻛﻨﺪ ﻛﻪ ﺁﻳﺎ ﭘﻴﺎﻡ ﻭﺍﺭﺩﺷﻮﻧﺪﻩ ﺑﻬﻨﮕﺎﻡ ﺍﺳﺖ ﻳﺎ ﺧﻴﺮ‪.‬‬
‫ﻣﻜﺎﻧﻴﺴﻢ ﺳﻨﻜﺮﻭﻧﻴﺰﺍﺳﻴﻮﻥ ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﻛﺎﺭ ﻣﻲﻛﻨﺪ‪ .‬ﻳﻚ ﻣﻮﺗﻮﺭ ﻏﻴﺮﻣﺴﺌﻮﻝ ﺑﺮﺍﻱ ﻫﺮ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻣﺴﺌﻮﻝ ﻛﻪ ﺑﺎ ﺍﻭ‬
‫ﺳﺮﻭﻛﺎﺭ ﺩﺍﺭﺩ‪ ،‬ﻛﭙﻲ ﺳﻪ ﻣﻘﺪﺍﺭ ﺭﺍ ﻧﮕﻬﺪﺍﺭﻱ ﻣﻲﻛﻨﺪ‪:‬‬
‫‪ :snmpEngineBoots‬ﺁﺧﺮﻳﻦ ﺍﻧﺪﺍﺯﺓ ‪ snmpEngineBoots‬ﺑﺮﺍﻱ ﻫﺮ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ‪.‬‬ ‫•‬

‫‪ :snmpEngineTime‬ﺗﺨﻤﻴﻦ ﻣﻮﺗﻮﺭ ﻏﻴﺮﻣﺴﺌﻮﻝ ﺍﺯ ‪ snmpEngineTime‬ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﺩﻭﺭ‪ .‬ﺍﻳﻦ ﺍﻧﺪﺍﺯﻩ ﺑﺎ ﻣﻮﺗﻮﺭ‬ ‫•‬
‫ﻣﺴﺌﻮﻝ ﺩﻭﺭ ﺑﺼﻮﺭﺗﻲ ﻛﻪ ﺑﻌﺪﺍﹰ ﺗﺸﺮﻳﺢ ﺧﻮﺍﻫﺪ ﺷﺪ ﻫﻢﺁﻫﻨﮓ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺑﻴﻦ ﻫﻢﺁﻫﻨﮓﺳﺎﺯﻱﻫﺎ‪ ،‬ﺍﻳﻦ ﻣﻘﺪﺍﺭ ﺑﻪ ﻣﻴﺰﺍﻥ ﻳﻚ‬
‫ﻭﺍﺣﺪ ﺩﺭ ﺛﺎﻧﻴﻪ ﺍﻓﺰﺍﻳﺶ ﻳﺎﻓﺘﻪ ﺗﺎ ﻳﻚ ﻫﻢﺁﻫﻨﮕﻲ ﻧﺴﺒﻲ ﺑﺎ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﺩﻭﺭ ﺑﻮﺟﻮﺩ ﺁﻳﺪ‪.‬‬
‫‪ :latestReceivedEngineTime‬ﺑﺰﺭﮔﺘﺮﻳﻦ ﺍﻧﺪﺍﺯﺓ ‪ msgAuthoritativeEngineTime‬ﻛﻪ ﺑﺘﻮﺳﻂ ﺍﻳﻦ ﻣﻮﺗﻮﺭ‬ ‫•‬
‫ﺍﺯ ﻣﻮﺗــﻮﺭ ﻣﺴﺌـــﻮﻝ ﺩﻭﺭ ﺩﺭﻳــﺎﻓﺖ ﮔﺮﺩﻳــﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳــﻦ ﻣﻘــﺪﺍﺭ ﻫﺮﺑـــﺎﺭ ﻛﻪ ﺍﻧــﺪﺍﺯﺓ ﺑﺰﺭﮔﺘــﺮﻱ ﺍﺯ‬
‫‪ msgAuthoritativeEngineTime‬ﺩﺭﻳﺎﻓﺖ ﻣﻲﮔﺮﺩﺩ‪ ،‬ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻣﻲﺷﻮﺩ‪ .‬ﻫﺪﻑ ﺍﻳﻦ ﻣﺘﻐﻴﺮ‪ ،‬ﺣﻔﺎﻇﺖ ﺩﺭ ﺑﺮﺍﺑﺮ‬
‫ﺣﻤﻠﺔ ﺑﺎﺯﺧﻮﺍﻧﻲ ﭘﻴﺎﻣﻲ ﺍﺳﺖ ﻛﻪ ﺗﺨﻤﻴﻦ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻏﻴﺮﻣﺴﺌﻮﻝ ﺍﺯ ‪ snmpEngineTime‬ﺭﺍ ﺍﺯ ﺟﻠﻮﺭﻓﺘﻦ ﺑﺎﺯﺩﺍﺭﺩ‪.‬‬
‫ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﺍﺯ ﺍﻳﻦ ﺳﻪ ﻣﺘﻐﻴﺮ‪ ،‬ﺑﺮﺍﻱ ﻫﺮ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﺩﻭﺭ ﻛﻪ ﺑﺎ ﺍﻳﻦ ﻣﻮﺗﻮﺭ ﺍﺭﺗﺒﺎﻁ ﺩﺍﺭﺩ‪ ،‬ﻧﮕﻬﺪﺍﺭﻱ ﻣﻲﺷﻮﺩ‪ .‬ﺍﺯ ﻧﻈﺮ‬
‫ﻣﻨﻄﻘﻲ‪ ،‬ﺍﻧﺪﺍﺯﻩﻫﺎ ﺩﺭ ﻧﻮﻋﻲ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ﻧﮕﻬﺪﺍﺭﻱ ﻣﻲﺷﻮﻧﺪﻛﻪ ﻓﻬﺮﺳﺘﻲ ﺍﺯ ‪ snmpEngineID‬ﻫﺮ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﻭ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﺍﺧﻴﺮ‬
‫ﺩﺭ ﺁﻥ ﺿﺒﻂ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﻣﻮﺗﻮﺭﻫﺎﻱ ﻏﻴﺮﻣﺴﺌﻮﻝ ﺑﺘﻮﺍﻧﻨﺪ ﻫﻢﺁﻫﻨﮕﻲ ﺯﻣﺎﻧﻲ ﺭﺍ ﺣﻔﻆ ﻛﻨﻨﺪ‪ ،‬ﻫﺮ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﺍﻧﺪﺍﺯﺓ ‪ boot‬ﻭ ‪ time‬ﺭﺍ ﺩﺭ‬
‫ﻛﻨــﺎﺭ ﺍﻧـــﺪﺍﺯﺓ ‪ snmpEngineID‬ﺩﺭ ﻫـــﺮ ﭘﻴــﺎﻡ ﺧﺮﻭﺟــﻲ ‪ Report ،Response‬ﻭ ‪ Trap‬ﺧــﻮﺩ ﺩﺭ ﻣﻴﺪﺍﻥﻫــﺎﻱ‬
‫‪ msgAuthoritativeEngineTime ،msgAuthoritativeEngineBoots‬ﻭ ‪ msgAuthoritativeEngineID‬ﻗﺮﺍﺭ‬
‫ﻣﻲﺩﻫﺪ‪ .‬ﺍﮔﺮ ﭘﻴﺎﻡ ﻣﻌﺘﺒﺮ ﺑﻮﺩﻩ ﻭ ﺩﺭ ﭘﻨﺠﺮﺓ ﺯﻣﺎﻧﻲ ﻣﻌﻘﻮﻝ ﺩﺭﻳﺎﻓﺖ ﺷﻮﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﻣﻮﺗﻮﺭ ﻏﻴﺮﻣﺴﺌﻮﻝ ﮔﻴﺮﻧﺪﻩ‪ ،‬ﻣﺘﻐﻴﺮﻫﺎﻱ ﻣﺤﻠﻲ ﺧﻮﺩ‬
‫)‪ snmpEngineTime ،snmpEngineBoots‬ﻭ ‪ (latestReceivedEngineTime‬ﺑﺮﺍﻱ ﺁﻥ ﻣﻮﺗﻮﺭ ﺩﻭﺭ ﺭﺍ ﺑﺮ ﻃﺒﻖ ﺿﻮﺍﺑﻂ‬
‫ﺯﻳﺮ ﺑﺮﻭﺯ ﻣﻲﺭﺳﺎﻧﺪ‪:‬‬
‫‪ -۱‬ﻳﻚ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻭﻗﺘﻲ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ ﻛﻪ ﺣﺪﺍﻗﻞ ﻳﻜﻲ ﺍﺯ ﺩﻭ ﺷﺮﻁ ﺯﻳﺮ ﺻﺤﻴﺢ ﺑﺎﺷﺪ‪:‬‬
‫‪ (msgAuthoritativeEngineBoots > snmpEngineBoots) o‬ﻳﺎ‬

‫‪ (msgAuthoritativeEngineBoots = snmpEngineBoots)] o‬ﻭ‬
‫)‪[( msgAuthoritativeEngineTime > latestReceivedEngineTime‬‬
‫ﺍﻭﻟﻴﻦ ﺷﺮﻁ ﻣﻲﮔﻮﻳﺪﻛﻪ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﺩﺭ ﺻﻮﺭﺗﻲ ﺑﺎﻳﺪ ﻭﺍﻗﻊ ﺷﻮﺩ ﻛﻪ ﺍﻧﺪﺍﺯﺓ ‪ boot‬ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﺍﺯ ﺁﺧﺮﻳﻦ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ‬
‫ﺍﻓﺰﺍﻳﺶ ﻳﺎﻓﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺷﺮﻁ ﺩﻭﻡ ﻣﻲﮔﻮﻳﺪﻛﻪ ﺍﮔﺮ ﺍﻧﺪﺍﺯﺓ ‪ boot‬ﺍﻓﺰﺍﻳﺶ ﻧﻴﺎﻓﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻓﻘﻂ ﺩﺭ ﺻﻮﺭﺗﻲ ﺑﺎﻳﺪ ﺍﻧﺠﺎﻡ ﺷﻮﺩ ﻛﻪ‬
‫ﺯﻣﺎﻥ ﻣﻮﺗﻮﺭ ﻭﺭﻭﺩﻱ ﺑﻴﺸﺘﺮ ﺍﺯ ﺯﻣﺎﻥ ﻗﺒﻠﻲ ﻭﺍﺭﺩﺷﺪﺓ ﻫﻤﻴﻦ ﻣﻮﺗﻮﺭ ﺑﺎﺷﺪ‪ .‬ﺯﻣﺎﻥ ﻣﻮﺗﻮﺭ ﻭﺭﻭﺩﻱ ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻤﺘﺮ ﺍﺯ ﺁﺧﺮﻳﻦ ﺯﻣﺎﻥ‬
‫ﺩﺭﻳﺎﻓﺖﺷﺪﺓ ﻫﻤﻴﻦ ﻣﻮﺗﻮﺭ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ ﺩﻭ ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﺧﺎﺭﺝ ﺍﺯ ﻧﻈﻢ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺑﺎﺷﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻫﻢ ﺑﺼﻮﺭﺕ ﻋﺎﺩﻱ ﻣﻤﻜﻦ‬
‫ﺍﺳﺖ ﻭﺍﻗﻊ ﺷﻮﺩ ﻭ ﻫﻢ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﺩﻟﻴﻞ ﻳﻚ ﺣﻤﻠﺔ ﺑﺎﺯﺧﻮﺍﻧﻲ ﺻﻮﺭﺕ ﭘﺬﻳﺮﺩ ﻭ ﺩﺭﻫﺮﺣﺎﻝ ﻣﻮﺗﻮﺭ ﮔﻴﺮﻧﺪﻩ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻧﺨﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣١٨‬‬
‫‪ -۲‬ﺍﮔﺮ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻣﺠﺎﺯ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﺷﻮﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﺗﻐﻴﻴﺮﺍﺕ ﺯﻳﺮ ﺍﻧﺠﺎﻡ ﺧﻮﺍﻫﺪ ﺷﺪ‪:‬‬
‫‪ o‬ﺍﻧﺪﺍﺯﺓ ‪ snmpEngineBoots‬ﺑﻪ ﺍﻧﺪﺍﺯﺓ ‪ msgAuthoritativeEngineBoots‬ﺗﻐﻴﻴﺮ ﻣﻲﻳﺎﺑﺪ‪.‬‬

‫‪ o‬ﺍﻧﺪﺍﺯﺓ ‪ snmpEngineTime‬ﺑﻪ ﺍﻧﺪﺍﺯﺓ ‪ msgAuthoritativeEngineTime‬ﺗﻐﻴﻴﺮ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫‪ o‬ﺍﻧﺪﺍﺯﺓ ‪ latestReceivedEngineTime‬ﺑﻪ ﺍﻧﺪﺍﺯﺓ ‪ msgAuthoritativeEngineTime‬ﺗﻐﻴﻴﺮ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫ﺍﮔﺮ ﻣﻨﻄﻖ ﺭﺍ ﺑﭽﺮﺧﺎﻧﻴﻢ ﻣﻲﺑﻴﻨﻴﻢ ﻛﻪ ﺍﮔﺮ ‪ msgAuthoritativeEngineBoots < snmpEngineBoots‬ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ‬

‫ﻫﻴﭻ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﺍﻧﺠﺎﻡ ﻧﺨﻮﺍﻫﺪ ﺷﺪ‪ .‬ﭼﻨﻴﻦ ﭘﻴﺎﻣﻲ ﻧﺎﻣﻌﺘﺒﺮ ﺗﻠﻘﻲ ﺷﺪﻩ ﻭ ﺑﺎﻳﺴﺘﻲ ﻧﺎﺩﻳﺪﻩ ﮔﺮﻓﺘﻪ ﺷﻮﺩ‪ .‬ﺍﮔﺮ ‪= snmpEngineBoots‬‬
‫‪ msgAuthoritativeEngineBoots‬ﺑﻮﺩﻩ ﻭﻟﻲ ‪msgAuthoritativeEngineTime < latestReceivedEngineTime‬‬
‫ﺑﺎﺷﺪ‪ ،‬ﺑﺎﺯﻫﻢ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﺍﻧﺠﺎﻡ ﻧﺨﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﻣﻤﻜﻦ ﺍﺳﺖ ﭘﻴﺎﻡ ﻣﻌﺘﺒﺮ ﺑﻮﺩﻩ ﻭﻟﻲ ﻧﻈﻢ ﺁﻥ ﺑﻬﻢ ﺧﻮﺭﺩﻩ ﺑﺎﺷﺪ ﻛﻪ ﺩﺭ ﺍﻳﻦ‬
‫ﺻﻮﺭﺕ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ‪ snmpEngineTime‬ﻣﻨﻄﻘﻲ ﻧﻴﺴﺖ‪.‬‬
‫ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﺳﻨﻜﺮﻭﻧﻴﺰﺍﺳﻴﻮﻥ ﺗﻨﻬﺎ ﻭﻗﺘﻲ ﺍﻧﺠﺎﻡ ﺧﻮﺍﻫﺪ ﺷﺪ ﻛﻪ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺮﺍﻱ ﺍﻳﻦ ﭘﻴﺎﻡ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺑﺎﺷﺪ‬
‫ﻭ ﭘﻴﺎﻡ ﺑﺘﻮﺳﻂ ‪ HMAC‬ﻣﻌﺘﺒﺮ ﺗﻠﻘﻲ ﮔﺮﺩﺩ‪ .‬ﺍﻳﻦ ﻣﺤﺪﻭﺩﻳﺖ ﺿﺮﻭﺭﻱ ﺑﻮﺩﻩ ﺯﻳﺮﺍ ﻓﻀﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺎﻣﻞ‬
‫‪ msgAuthoritativeEngineBoots ،msgAuthoritativeEngineID‬ﻭ ‪ msgAuthoritativeEngineTime‬ﺑﻮﺩﻩ ﻭ‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﺯ ﺍﻋﺘﺒﺎﺭ ﺍﻳﻦ ﺳﻪ ﻣﻘﺪﺍﺭ ﺍﻃﻤﻴﻨﺎﻥ ﺣﺎﺻﻞ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫‪ SNMPv3‬ﺍﻳﻦ ﻗﻴﺪ ﺭﺍ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ ﻛﻪ ﺑﺮﺍﻱ ﺍﺟﺘﻨﺎﺏ ﺍﺯ ﺣﻤﻼﺕ ﺗﺄﺧﻴﺮ ﻭ ﺑﺎﺯﺧﻮﺍﻧﻲ‪ ،‬ﭘﻴﺎﻡ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻳﻚ ﭘﻨﺠﺮﺓ ﺯﻣﺎﻧﻲ‬
‫ﻣﻌﻘﻮﻝ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺑﺎﺷﺪ‪ .‬ﭘﻨﺠﺮﺓ ﺯﻣﺎﻧﻲ ﺑﺎﻳﺴﺘﻲ ﺗﺎ ﺣﺪ ﻣﻤﻜﻦ ﻛﻮﭼﻚ ﺍﻧﺘﺨﺎﺏ ﮔﺮﺩﺩ ﻭ ﺩﺭﺁﻥ ﺩﻗﺖ ﺳﺎﻋﺖﻫﺎﻱ ﻓﺮﺳﺘﻨﺪﻩ ﻭ ﮔﻴﺮﻧﺪﻩ‪،‬‬
‫ﺗﺄﺧﻴﺮﻫﺎﻱ ﺭﻓﺖ ﻭ ﺑﺮﮔﺸﺖ ﭘﻴﺎﻡ ﻭ ﺩﻭﺭﺓ ﺗﻨﺎﻭﺏ ﻫﻤﺎﻫﻨﮕﻲ ﺳﺎﻋﺖﻫﺎ ﻣﻠﺤﻮﻅ ﺷﺪﻩ ﺑﺎﺷﺪ‪ .‬ﺍﮔﺮ ﭘﻨﺠﺮﺓ ﺯﻣﺎﻧﻲ ﺧﻴﻠﻲ ﻛﻮﭼﻚ ﺍﻧﺘﺨﺎﺏ ﺷﻮﺩ‪،‬‬
‫ﭘﻴﺎﻡﻫﺎﻱ ﻣﻌﺘﺒﺮ‪ ،‬ﺑﺼﻮﺭﺕ ﭘﻴﺎﻡﻫﺎﻱ ﻧﺎﻣﻌﺘﺒﺮ ﺟﻠﻮﻩ ﺧﻮﺍﻫﻨﺪ ﻛﺮﺩ‪ .‬ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ ﺑﺰﺭﮒ ﺑﻮﺩﻥ ﭘﻨﺠﺮﺓ ﺯﻣﺎﻧﻲ‪ ،‬ﺁﺳﻴﺐﭘﺬﻳﺮﻱ ﺑﻪ ﺗﺄﺧﻴﺮﻫﺎﻱ‬
‫ﺑﺪﺍﻧﺪﻳﺸﺎﻧﺔ ﭘﻴﺎﻡ ﺭﺍ ﺍﻓﺰﺍﻳﺶ ﺧﻮﺍﻫﺪ ﺩﺍﺩ‪.‬‬
‫ﻣﻮﺭﺩ ﻣﻬﻢﺗﺮ ﻳﻚ ﮔﻴﺮﻧﺪﺓ ﻣﺴﺌﻮﻝ ﺭﺍ ﺑﻴﺸﺘﺮ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺁﺯﻣﺎﻳﺶ ﺑﻬﻨﮕﺎﻡ ﺑﻮﺩﻥ ﺩﺭ ﻣﻮﺭﺩ ﻳﻚ ﮔﻴﺮﻧﺪﺓ ﻏﻴﺮﻣﺴﺌﻮﻝ ﻛﻤﻲ‬
‫ﻣﺘﻔﺎﻭﺕ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺑﺎ ﻫﺮ ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﻛﻪ ﻣﻌﺘﺒﺮ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﺷﻮﺩ ﻭ ‪ msgAuthoritativeEngineID‬ﺁﻥ ﺑــﺎ‬
‫‪ snmpEngineID‬ﺍﻳــﻦ ﻣﻮﺗــﻮﺭ ﺑــﺮﺍﺑــﺮ ﺑﺎﺷــﺪ‪ ،‬ﻣﻮﺗــﻮﺭ ﺍﻧــﺪﺍﺯﺓ ‪ msgAuthoritativeEngineBoots‬ﻭ‬
‫‪ msgAuthoritativeEngineTime‬ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﺭﺍ ﺑﺎ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ‪ snmpEngineBoots‬ﻭ ‪ snmpEngineTime‬ﻧﮕﻬﺪﺍﺭﻱ‬
‫ﺷﺪﻩ ﺩﺭ ﺍﻳﻦ ﻣﻮﺗﻮﺭ ﻣﻄﺎﺑﻘﺖ ﺧﻮﺍﻫﺪ ﺩﺍﺩ‪ .‬ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﺩﺭ ﺻﻮﺭﺗﻲ ﺧﺎﺭﺝ ﺍﺯ ﭘﻨﺠﺮﺓ ﺯﻣﺎﻧﻲ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ ﻛﻪ ﻳﻜﻲ ﺍﺯ ﺷﺮﺍﻳﻂ‬
‫ﺯﻳﺮ ﺻﺤﻴﺢ ﺑﺎﺷﺪ‪:‬‬
‫• ‪ snmpEngineBoots = 231-1‬ﻳﺎ‬
‫• ‪ msgAuthoritativeEngineBoots≠snmpEngineBoots‬ﻳﺎ‬
‫ﺍﻧﺪﺍﺯﺓ ‪ msgAuthoritativeEngineTime‬ﺍﺯ ﺍﻧﺪﺍﺯﺓ ‪ snmpEngineTime‬ﺑﻤﻴﺰﺍﻥ ‪ ±۱۵۰‬ﺛﺎﻧﻴﻪ ﺗﻔﺎﻭﺕ ﺩﺍﺷﺘﻪ‬ ‫•‬
‫ﺑﺎﺷﺪ‪.‬‬
‫ﺷﺮﻁ ﺍﻭﻝ ﻣﻲﮔﻮﻳﺪ ﻛﻪ ﺍﮔﺮ ‪ snmpEngineBoots‬ﺩﺍﺭﺍﻱ ﺍﻧﺪﺍﺯﺓ ﻣﺎﻛﺰﻳﻤﻢ ﺧﻮﺩ ﺑﺎﺷﺪ‪ ،‬ﻫﻴﭻ ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﻣﻌﺘﺒﺮ ﺗﻠﻘﻲ‬
‫ﻧﺨﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺷﺮﻁ ﺩﻭﻡ ﻣﻲﮔﻮﻳﺪ ﻛﻪ ﻳﻚ ﭘﻴﺎﻡ ﺑﺎﻳﺴﺘﻲ ﺩﺍﺭﺍﻱ ﺯﻣﺎﻥ ‪ boot‬ﻣﺴﺎﻭﻱ ﺑﺎ ﺯﻣﺎﻥ ‪ boot‬ﻣﻮﺗﻮﺭ ﻣﺤﻠﻲ ﺑﺎﺷﺪ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ ﺍﮔﺮ‬
‫ﻣﻮﺗﻮﺭ ﻣﺤﻠﻲ ‪ reboot‬ﺷﺪﻩ ﻭ ﻣﻮﺗﻮﺭ ﺩﻭﺭ ﺍﺯ ﺯﻣﺎﻥ ‪ reboot‬ﺑﺎ ﻣﻮﺗﻮﺭ ﻣﺤﻠﻲ ﻫﻢﺁﻫﻨﮓ ﻧﺸﺪﻩ ﺑﺎﺷﺪ‪ ،‬ﭘﻴﺎﻡﻫﺎﻱ ﻭﺍﺭﺩﺷﺪﻩ ﺍﺯ ﺁﻥ ﻣﻮﺗﻮﺭ‬
‫ﺩﻭﺭ ﻣﻌﺘﺒﺮ ﺗﻠﻘﻲ ﻧﺨﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺷﺮﻁ ﺁﺧﺮ ﻣﻲﮔﻮﻳﺪ ﻛﻪ ﺯﻣﺎﻥ ﭘﻴﺎﻡﻫﺎﻱ ﻭﺍﺭﺩﺷﺪﻩ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﺯﻣﺎﻥ ﻣﺤﻠﻲ ﻣﻨﻬﺎﻱ ‪ ۱۵۰‬ﺛﺎﻧﻴﻪ ﺑﻴﺸﺘﺮ‪ ،‬ﻭ ﺍﺯ‬
‫ﺯﻣﺎﻥ ﻣﺤﻠﻲ ﺑﺎﺿﺎﻓﺔ ‪ ۱۵۰‬ﺛﺎﻧﻴﻪ ﻛﻤﺘﺮ ﺑﺎﺷﺪ‪.‬‬
‫‪٣١٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﺍﮔﺮ ﻳﻚ ﭘﻴﺎﻡ ﺧﺎﺭﺝ ﺍﺯ ﭘﻨﺠﺮﺓ ﺯﻣﺎﻧﻲ ﻗﺮﺍﺭ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺁﻥ ﭘﻴﺎﻡ ﻧﺎﻣﻌﺘﺒﺮ ﺗﻠﻘﻲ ﺷﺪﻩ ﻭ ﻳﻚ ﻧﻤﺎﻳﺶ ﺧﻄﺎ‬
‫)‪ (notInTimeWindow‬ﺑﻪ ﻣﺪﻭﻝ ﻓﺮﺳﺘﻨﺪﺓ ﭘﻴﺎﻡ ﺑﺮﮔﺮﺩﺍﻧﺪﻩ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﺩﺭ ﺍﻳﻨﺠﺎ ﻧﻴﺰ ﻫﻤﺎﻧﻨﺪﻛﻨﺘﺮﻝ ﺳﻨﻜﺮﻭﻧﻴﺰﺍﺳﻴﻮﻥ‪ ،‬ﻛﻨﺘﺮﻝ ﺑﻬﻨﮕﺎﻡ ﺑﻮﺩﻥ ﺗﻨﻬﺎ ﻭﻗﺘﻲ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ ﻛﻪ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻓﻌﺎﻝ‬
‫ﺑﻮﺩﻩ ﻭ ﭘﻴﺎﻡ ﻣﻌﺘﺒﺮ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﺷﻮﺩ ﺗﺎ ﺍﺯ ﺻﺤﺖ ﺳﺮﺁﻳﻨﺪﻫﺎﻱ ﭘﻴﺎﻡ ﺍﻃﻤﻴﻨﺎﻥ ﺣﺎﺻﻞ ﺷﺪﻩ ﺑﺎﺷﺪ‪.‬‬
‫ﻣﺤﻠﻲ ﻛﺮﺩﻥ ﻛﻠﻴﺪ‬
‫ﻳﻜﻲ ﺍﺯ ﻻﺯﻣﻪﻫﺎﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ‪ SNMPv3‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﻫﺮ ﺍﺭﺗﺒﺎﻁ ﺑﻴﻦ ﻳﻚ‬
‫ﺭﺋﻴﺲ ﻣﺴﺘﻘﺮ ﺩﺭ ﻳﻚ ﻣﻮﺗﻮﺭ ﻏﻴﺮﻣﺴﺌﻮﻝ ﻭ ﻳﻚ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﺩﻭﺭ‪ ،‬ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻴﻦ‬
‫ﺍﻳﻦ ﺩﻭ ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﮔﺬﺍﺷﺘﻪ ﺷﻮﺩ‪ .‬ﺍﻳﻦ ﻛﻠﻴﺪﻫﺎ‪ ،‬ﻳﻚ ﻛﺎﺭﺑﺮ ﺩﺭ ﻳﻚ ﻣﻮﺗﻮﺭ ﻏﻴﺮﻣﺴﺌﻮﻝ )ﻣﻌﻤﻮﻻﹰ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ( ﺭﺍ ﻗﺎﺩﺭ‬
‫ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺭﺍ ﺑﺎ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﺴﺌﻮﻝ ﺩﻭﺭ )ﻣﻌﻤﻮﻻﹰ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻋﺎﻣﻞ( ﻛﻪ ﻛﺎﺭﺑﺮ ﺁﻧﻬﺎ ﺭﺍ ﻣﺪﻳﺮﻳﺖ ﻣﻲﻛﻨﺪ‪،‬‬
‫ﻋﻤﻠﻴﺎﺗﻲ ﻧﻤﺎﻳﺪ‪ RFC 2574 .‬ﺭﻭﺵ ﺧﻠﻖ‪ ،‬ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻭ ﻣﺪﻳﺮﻳﺖ ﺍﻳﻦ ﻛﻠﻴﺪﻫﺎ ﺭﺍ ﺑﻴﺎﻥ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﻭﻇﻴﻔﺔ ﺭﺅﺳﺎ ﺍﺯ ﻧﻈﺮ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﺳﻬﻞﺗﺮ ﺷﻮﺩ‪ ،‬ﻫﺮ ﺭﺋﻴﺲ ﻻﺯﻡ ﺍﺳﺖ ﻛﻪ ﺗﻨﻬﺎ ﻳﻚ ﻛﻠﻴﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﺗﻨﻬﺎ‬
‫ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ ﻧﮕﻬﺪﺍﺭﻱ ﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﻛﻠﻴﺪﻫﺎ ﺩﺭ ﻳﻚ ‪ MIB‬ﺫﺧﻴﺮﻩ ﻧﺸﺪﻩﺍﻧﺪ ﻭ ﺍﺯ ﻃﺮﻳﻖ ‪ SNMP‬ﻗﺎﺑﻞ ﺩﺳﺖﻳﺎﺑﻲ ﻧﻴﺴﺘﻨﺪ‪.‬‬
‫ﺩﺭ ﺍﻳﻦ ﻗﺴﻤﺖ ﺍﺑﺘﺪﺍ ﺑﻪ ﻧﺤﻮﺓ ﺗﻮﻟﻴﺪ ﺍﻳﻦ ﻛﻠﻴﺪﻫﺎ ﺍﺯ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻧﮕﺎﻩ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺳﭙﺲ ﺑﻪ ﻣﻔﻬﻮﻡ ﻣﺤﻠﻲ ﻛﺮﺩﻥ ﻛﻠﻴﺪ ﻣﻲﭘﺮﺩﺍﺯﻳﻢ ﻛﻪ‬
‫ﻳﻚ ﺭﺋﻴﺲ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﺑﻄﻮﺭ ﻣﺤﻠﻲ ﺗﻨﻬﺎ ﺻﺎﺣﺐ ﻳﻚ ﻛﻠﻴﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ‪ ،‬ﺍﻣﺎ ﺑﺎ ﻫﺮ‬
‫ﻣﻮﺗﻮﺭ ﺩﻭﺭ‪ ،‬ﻳﻚ ﻛﻠﻴﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻳﻜﺘﺎ ﻭ ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻳﻜﺘﺎ ﺭﺍ ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﺑﮕﺬﺍﺭﺩ‪ .‬ﺍﻳﻦ ﺩﻭ ﺗﻜﻨﻴﻚ ﺍﺑﺘﺪﺍ ﺩﺭ‬
‫]‪ [BLUM97a‬ﭘﻴﺸﻨﻬﺎﺩ ﺷﺪﻧﺪ‪.‬‬
‫ﻳﻚ ﻛﺎﺭﺑﺮ ﻧﻴﺎﺯ ﺑﻪ ﻳﻚ ﻛﻠﻴﺪ ﻣﺤﺮﻣﺎﻧﮕﻲ ‪ -۱۶‬ﺍﹸﻛﺘﺘﻲ ﻭ ﻳﻚ ﻛﻠﻴﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪ ۱۶‬ﻳﺎ ‪ -۲۰‬ﺍﹸﻛﺘﺘﻲ ﺩﺍﺭﺩ‪ .‬ﺑﺮﺍﻱ ﻛﻠﻴﺪﻫﺎﺋﻲ ﻛﻪ‬
‫ﺻﺎﺣﺒﺎﻥ ﺁﻧﻬﺎ ﺍﻧﺴﺎﻥ ﻫﺴﺘﻨﺪ‪ ،‬ﻣﻄﻠﻮﺏ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻛﺎﺭﺑﺮ ﺑﺘﻮﺍﻧﺪ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭﻱ ﻛﻪ ﻗﺎﺑﻞ ﺧﻮﺍﻧﺪﻥ ﺑﺘﻮﺳﻂ ﺍﻧﺴﺎﻥ ﺑﺎﺷﺪ‪ ،‬ﻭ ﻧﻪ ﺍﺯ‬
‫ﻛﻠﻴﺪﻱ ﻛﻪ ﺍﺯ ﻳﻚ ﺭﺷﺘﻪ ﺑﻴﺖ ﺩﺭﺳﺖ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪ .‬ﺑﻬﻤﻴﻦ ﺟﻬﺖ ‪ RFC 2574‬ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﺮﺍﻱ ﻧﮕﺎﺷﺖ ﻳﻚ ﻛﻠﻤﺔ‬
‫ﻋﺒﻮﺭ ﺑﻪ ﻳﻚ ﻛﻠﻴﺪ ‪ ۱۶‬ﻳﺎ ‪ -۲۰‬ﺍﹸﻛﺘﺘﻲ ﺭﺍ ﺗﻌﺮﻳﻒ ﻛﺮﺩﻩ ﺍﺳﺖ‪ USM .‬ﻫﻴﭻ ﻣﺤﺪﻭﺩﻳﺘﻲ ﺑﺮﺍﻱ ﺧﻮﺩ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻗﺎﺋﻞ ﻧﺸﺪﻩ ﺍﺳﺖ ﺍﻣﺎ‬
‫ﺳﻴﺎﺳﺖﻫﺎﻱ ﻣﺪﻳﺮﻳﺘﻲ ﻣﺤﻠﻲ ﺑﺎﻳﺴﺘﻲ ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭﻱ ﻛﻪ ﺑﺴﻬﻮﻟﺖ ﻗﺎﺑﻞ ﺣﺪﺱ ﺯﺩﻥ ﻧﺒﺎﺷﻨﺪ ﻣﻘﻴﺪ ﺳﺎﺯﺩ‪.‬‬
‫ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪:‬‬
‫ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﺑﺎ ﺗﻜﺮﺍﺭ ﺍﻧﺪﺍﺯﺓ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﻪ ﻫﺮ ﻣﻘﺪﺍﺭ ﻛﻪ ﻻﺯﻡ ﺍﺳﺖ ﻭ ﻗﻄﻊ ﻛﺮﺩﻥ ﺁﺧﺮﻳﻦ ﺍﻧﺪﺍﺯﺓ‬ ‫•‬
‫ﺗﻜﺮﺍﺭﺷﺪﻩ ﺩﺭ ﺻﻮﺭﺕ ﻟﺰﻭﻡ‪ ،‬ﻳﻚ ﺭﺷﺘﻪ ﺑﻴﺖ ﺑﺎ ﻃﻮﻝ ‪ ۲۲۰‬ﺍﹸﻛﺘﺖ )‪ ۱,۰۴۸,۵۷۶‬ﺍﹸﻛﺘﺖ( ﺑﻨﺎﻡ ‪ digest0‬ﺍﻳﺠﺎﺩ ﻛﻨﻴﺪ‪ .‬ﻣﺜﻼﹰ‬
‫ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ‪ -۸‬ﻛﺎﺭﺍﻛﺘﺮﻱ )‪ ۲۳‬ﺍﹸﻛﺘﺖ(‪ ،‬ﺑﺎﻳﺴﺘﻲ ‪ ۲۱۷‬ﺑﺎﺭ ﺑﺎ ﺧﻮﺩﺵ ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ ﺷﻮﺩ ﺗﺎ ‪ digest0‬ﺭﺍ ﺑﻮﺟﻮﺩ ﺁﻭﺭﺩ‪.‬‬
‫ﺍﮔﺮ ﻳﻚ ﻛﻠﻴﺪ ‪ -۱۶‬ﺍﹸﻛﺘﺘﻲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪ ،‬ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ‪ MD5‬ﻣﺮﺗﺒﻂ ﺑﺎ ‪ ،digest0‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻛﺮﺩﻩ ﺗﺎ ‪digest1‬‬ ‫•‬
‫ﺣﺎﺻﻞ ﺷﻮﺩ‪ .‬ﺍﮔﺮ ﻳﻚ ﻛﻠﻴﺪ ‪ -۲۰‬ﺍﹸﻛﺘﺘﻲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪ ،‬ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ‪ SHA-1‬ﻣﺮﺗﺒﻂ ﺑﺎ ‪ ،digest0‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻛﺮﺩﻩ‬
‫ﺗﺎ ‪ digest1‬ﺑﺪﺳﺖ ﺁﻳﺪ‪ digest1 .‬ﻫﻤﺎﻥ ﻛﻠﻴﺪ ﻛﺎﺭﺑﺮ ﺍﺳﺖ‪.‬‬
‫ﻳﻚ ﺣﺴﻦ ﺍﻳﻦ ﺭﻭﺵ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﺔ ﻟﻐﺖﻧﺎﻣﻪﺍﻱ ﻛﻪ ﺩﺭ ﺁﻥ ﻳﻚ ﺩﺷﻤﻦ ﺗﻼﺵ ﻣﻲﻛﻨﺪ ﺗﺎ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ‬
‫ﻣﺨﺘﻠﻒ ﺭﺍ ﺍﻣﺘﺤﺎﻥ ﻛﺮﺩﻩ‪ ،‬ﻛﻠﻴﺪ ﻣﺮﺗﺒﻂ ﺑﺎ ﻫﺮ ﻛﺪﺍﻡ ﺭﺍ ﺳﺎﺧﺘﻪ ﻭ ﺁﻧﮕﺎﻩ ﺍﻳﻦ ﻛﻠﻴﺪ ﺭﺍ ﺭﻭﻱ ﺩﻳﺘﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻳﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻮﺟﻮﺩ‬
‫ﺍﻣﺘﺤﺎﻥ ﻛﻨﺪ ﺭﺍ ﺑﺸﺪﺕ ﻛﻨﺪ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ ﺍﮔﺮ ﻳﻚ ﺩﺷﻤﻦ ﻳﻚ ﭘﻴﺎﻡ ﻣﻌﺘﺒﺮ ﺭﺍ ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ ﻛﻨﺪ‪ ،‬ﺍﻭ ﻣﻲﺗﻮﺍﻧﺪﺑﺎ ﻛﻠﻴﺪﻫﺎﻱ‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٢٠‬‬
‫ﻣﺨﺘﻠﻒ ﺍﻧﺪﺍﺯﺓ ‪ HMAC‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻧﻤﺎﻳﺪ‪ .‬ﺍﮔﺮ ﺑﻴﻦ ﺍﻳﻦ ﻣﻘﺪﺍﺭ ﻭ ﺩﻳﺘﺎﻱ ﻣﻮﺟﻮﺩ ﺗﻄﺒﻴﻘﻲ ﻳﺎﻓﺖ ﺷﻮﺩ‪ ،‬ﺩﺷﻤﻦ ﻣﻲﺗﻮﺍﻧﺪ ﺗﺼﻮﺭ ﻛﻨﺪ ﻛﻪ‬
‫ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺸﻒ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻋﻤﻠﻴﺎﺗﻲ ﻛﻪ ﺩﺭ ﺑﺎﻻ ﺗﺸﺮﻳﺢ ﺷﺪ‪ ،‬ﺯﻣﺎﻥ ﻻﺯﻡ ﺑﺮﺍﻱ ﭼﻨﻴﻦ ﺣﻤﻠﻪﺍﻱ ﺭﺍ ﺑﻄﻮﺭ ﭼﺸﻤﮕﻴﺮﻱ ﺍﻓﺰﺍﻳﺶ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻣﺰﻳﺖ ﺩﻳﮕﺮ ﺍﻳﻦ ﺗﻜﻨﻴﻚ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻛﻠﻴﺪﻫﺎﻱ ﻛﺎﺭﺑﺮ ﺭﺍ ﺍﺯ ﻧﻮﻉ ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ )‪ (NMS‬ﻣﺠﺰﺍ ﻣﻲﻛﻨﺪ‪ .‬ﻫﻴﭻ‬
‫‪ NMS‬ﺍﻱ ﻣﺠﺒﻮﺭ ﻧﻴﺴﺖ ﻛﻪ ﺍﻧﺪﺍﺯﺓ ﻛﻠﻴﺪﻫﺎﻱ ﻛﺎﺭﺑﺮ ﺭﺍ ﻧﮕﻬﺪﺍﺭﻱ ﻛﻨﺪ‪ .‬ﺩﺭ ﻋﻮﺽ ﻫﺮﻭﻗﺖ ﻻﺯﻡ ﺍﺳﺖ‪ ،‬ﻛﻠﻴﺪ ﻛﺎﺭﺑﺮ ﺍﺯ ﺭﻭﻱ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
‫ﺍﻭ ﺳﺎﺧﺘﻪ ﻣﻲﺷﻮﺩ‪ [BLUM97b] .‬ﻣﻼﺣﻈﺎﺕ ﺯﻳﺮﻛﻪ ﺍﻧﮕﻴﺰﺓ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻣﺴﺘﻘﻞ ﺍﺯ ‪ NSM‬ﺍﺳﺖ ﺭﺍ ﻟﻴﺴﺖ ﻛﺮﺩﻩ ﺍﺳﺖ‪:‬‬
‫ﺍﮔﺮ ﻗﺮﺍﺭ ﺑﺎﺷﺪ ﺑﺠﺎﻱ ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﺍﺯ ﺭﻭﻱ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‪ ،‬ﺧﻮﺩ ﻛﻠﻴﺪ ﺩﺭ ﺟﺎﺋﻲ ﺫﺧﻴﺮﻩ ﮔﺮﺩﺩ‪ ،‬ﻳﻚ ﺭﻭﺵ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻛﻠﻴﺔ‬ ‫•‬
‫ﻛﻠﻴﺪﻫﺎﻱ ﺳﺮّﻱ ﺩﺭ ﻳﻚ ﻣﺨﺰﻥ ﻧﮕﻬﺪﺍﺭﻱ ﺷﻮﺩ‪ .‬ﭼﻨﻴﻦ ﺭﻭﺷﻲ ﺭﻭﻱ ﻗﺎﺑﻠﻴﺖ ﺍﻋﺘﻤﺎﺩ ﻛﻞ ﺳﻴﺴﺘﻢ ﺗﺄﺛﻴﺮ ﺳﻮﺀ ﺩﺍﺷﺘﻪ ﺯﻳﺮﺍ‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ ﻛﻪ ﺧﻮﺩ ﻣﺨﺰﻥ ﺩﺭ ﺯﻣﺎﻥ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺩﺭ ﺩﺳﺘﺮﺱ ﻧﺒﻮﺩﻩ ﻭ ﻋﻴﺐﻳﺎﺑﻲ ﺳﻴﺴﺘﻢ ﺭﺍ ﻏﻴﺮﻣﻤﻜﻦ ﺳﺎﺯﺩ‪.‬‬
‫ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ ﺍﮔﺮ ﺑﺮﺍﻱ ﺭﻓﻊ ﻣﺸﻜﻞ ﺑﺎﻻ‪ ،‬ﻣﺨﺎﺯﻥ ﻣﺘﻌﺪﺩﻱ ﺍﻳﺠﺎﺩ ﺷﻮﻧﺪ‪ ،‬ﺍﻳﻦ ﺍﻣﺮ ﺑﺎ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻥ ﺍﻫﺪﺍﻑ ﻣﺘﻌﺪﺩ ﺣﻤﻠﻪ‬ ‫•‬
‫ﺑﺮﺍﻱ ﺩﺷﻤﻨﺎﻥ‪ ،‬ﺍﻣﻨﻴﺖ ﺭﺍ ﺷﻜﻨﻨﺪﻩﺗﺮ ﺧﻮﺍﻫﺪ ﻛﺮﺩ‪.‬‬
‫ﺍﮔﺮ ﻳﻚ ﻣﺨﺰﻥ ﻣﺘﻤﺮﻛﺰ ﻭ ﻳﺎ ﭼﻨﺪﻳﻦ ﻣﺨﺰﻥ ﭘﺮﺍﻛﻨﺪﻩ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪ ،‬ﺁﻧﻬﺎ ﺭﺍ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻣﺤﻞﻫﺎﻱ ﺍﻣﻦ ﻧﮕﻬﺪﺍﺭﻱ‬ ‫•‬
‫ﻛﺮﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻣﻲﺗﻮﺍﻧﺪ ﻓﺮﺻﺖ ﺍﻳﺠﺎﺩ ﻳﻚ "‪ "forward camp‬ﺩﺭ ﺧﻼﻝ ﻋﻤﻠﻴﺎﺕ ﺍﻃﻔﺎﺀ ﺣﺮﻳﻖ )ﻳﻌﻨﻲ ﻋﻴﺐﻳﺎﺑﻲ ﺳﻴﺴﺘﻢ‬
‫ﺩﺭ ﻫﻨﮕﺎﻣﻲ ﻛﻪ ﺑﺨﺶﻫﺎﻱ ﻏﻴﺮﻗﺎﺑﻞ ﭘﻴﺶﺑﻴﻨﻲ ﺍﺯ ﺷﺒﻜﻪ ﻏﻴﺮﻋﻤﻠﻴﺎﺗﻲ ﺷﺪﻩ ﻭ‪ /‬ﻳﺎ ﺑﺮﺍﻱ ﻣﺪﺕ ﺯﻣﺎﻥ ﻏﻴﺮﻗﺎﺑﻞ ﭘﻴﺶﺑﻴﻨﻲ ﺩﺭ‬
‫ﺩﺳﺘﺮﺱ ﻧﻴﺴﺘﻨﺪ( ﺭﺍ ﻛﺎﻫﺶ ﺩﻫﺪ‪.‬‬
‫ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻣﻨﻔﺮﺩ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻳﻚ ﻛﻠﻴﺪ ﻣﻨﻔﺮﺩ‪ ،‬ﻫﻢ ﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﻫﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﺭﻭﺵ ﺍﻣﻦﺗﺮ‬
‫ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﺩﻭ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ ﻛﻪ ﻳﻜﻲ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﺩﻳﮕﺮﻱ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻜﺎﺭ ﺭﻭﺩ‪.‬‬
‫ﻳﻚ ﻛﻠﻴﺪ ﻣﺤﻠﻲ ﺷﺪﻩ‪ ،‬ﺩﺭ ‪ ،RFC 2574‬ﺑﺼﻮﺭﺕ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﺸﺘﺮﻙ ﺑﻴﻦ ﻳﻚ ﻛﺎﺭﺑﺮ ﻭ ﻳﻚ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻣﺴﺌﻮﻝ‬
‫ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻫﺪﻑ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻛﺎﺭﺑﺮ ﻻﺯﻡ ﺑﺎﺷﺪ ﺗﻨﻬﺎ ﻳﻚ ﻛﻠﻴﺪ )ﻳﺎ ﺩﻭ ﻛﻠﻴﺪ‪ ،‬ﺍﮔﺮ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭﻣﺤﺮﻣﺎﻧﮕﻲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ(‬
‫ﺭﺍ ﻧﮕﻬﺪﺍﺭﻱ ﻛﺮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺗﻨﻬﺎ ﻻﺯﻡ ﺑﺎﺷﺪ ﻓﻘﻂ ﻳﻚ )ﻳﺎ ﺩﻭ( ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺑﺨﺎﻃﺮ ﺑﺴﭙﺎﺭﺩ‪ .‬ﺍﻣﺎ ﺩﺭ ﻭﺍﻗﻊ ﺍﹶﺳﺮﺍﺭ ﺑﻪﺍﺷﺘﺮﺍﻙ ﮔﺬﺍﺷﺘﻪ‬
‫ﺷﺪﻩ ﺑﻴﻦ ﻳﻚ ﻛﺎﺭﺑﺮ ﺑﺨﺼﻮﺹ ﺑﺎ ﻫﺮ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻣﺴﺌﻮﻝ ﻣﺘﻔﺎﻭﺕ ﺍﺳﺖ‪ .‬ﻋﻤﻠﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﺁﻥ ﻳﻚ ﻛﻠﻴﺪ ﻣﻨﻔﺮﺩ ﻛﺎﺭﺑﺮ ﺑﻪ ﭼﻨﺪﻳﻦ‬
‫ﻛﻠﻴﺪ ﻣﺘﻔﺎﻭﺕ ﻳﻜﺘﺎ ﻛﻪ ﻫﺮﻛﺪﺍﻡ ﻣﺮﺑﻮﻁ ﺑﻪ ﻳﻚ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﺩﻭﺭ ﻫﺴﺘﻨﺪ ﺗﺒﺪﻳﻞ ﻣﻲﺷــﻮﺩ ﺭﺍ ﻣﺤﻠﻲ ﻛﺮﺩﻥ ﻛﻠﻴــﺪ‬
‫)‪ (key localization‬ﮔﻮﻳﻨﺪ‪ [BLUM97a].‬ﺍﻧﮕﻴﺰﻩﻫﺎﻱ ﺍﻳﻦ ﺍﺳﺘﺮﺍﺗﮋﻱ ﺭﺍ ﺫﻛﺮ ﻛﺮﺩﻩ ﻛﻪ ﺩﺭ ﺍﻳﻨﺠﺎ ﺁﻧﻬﺎ ﺭﺍ ﺑﺼﻮﺭﺕ ﺧﻼﺻﻪ ﺑﻴﺎﻥ‬
‫ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺑﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﺍﻫﺪﺍﻑ ﺯﻳﺮ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺗﻌﺮﻳﻒ ﻧﻤﻮﺩ‪:‬‬
‫ﻫﺮ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ‪ SNMP‬ﺩﺭ ﻳﻚ ﺷﺒﻜﺔ ﮔﺴﺘﺮﺩﻩ‪ ،‬ﺩﺍﺭﺍﻱ ﻳﻚ ﻛﻠﻴﺪ ﻳﻜﺘﺎ ﺑﺮﺍﻱ ﻫﺮ ﻛﺎﺭﺑﺮ ﻣﻌﺘﺒﺮﻱ ﺍﺳﺖ ﻛﻪ ﻣﻲﺧﻮﺍﻫﺪ‬ ‫•‬
‫ﺁﻥ ﺭﺍ ﻣﺪﻳﺮﻳﺖ ﻧﻤﺎﻳﺪ‪ .‬ﺍﮔﺮ ﻛﺎﺭﺑﺮﺍﻥ ﻣﺘﻌﺪﺩﻱ ﺑﻌﻨﻮﺍﻥ ﻣﺪﻳﺮﺍﻥ ﻣﻌﺘﺒﺮ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﻋﺎﻣﻞ ﺩﺍﺭﺍﻱ ﻳﻚ ﻛﻠﻴﺪ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻳﻜﺘﺎ ﻭ ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻳﻜﺘﺎ ﺑﺮﺍﻱ ﻫﺮ ﻛﺎﺭﺑﺮ ﺍﺳﺖ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﺍﮔﺮ ﻛﻠﻴﺪ ﻳﻚ ﻛﺎﺭﺑﺮ ﻟﻮ ﺑﺮﻭﺩ‪ ،‬ﻛﻠﻴﺪﻫﺎﻱ‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﺩﻳﮕﺮ ﻟﻮﺭﻓﺘﻪ ﻧﺨﻮﺍﻫﻨﺪ ﺑﻮﺩ‪.‬‬
‫ﻛﻠﻴﺪﻫﺎﻱ ﻳﻚ ﻛﺎﺭﺑﺮ ﺑﺮﺍﻱ ﻋﺎﻣﻞﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻣﺘﻔﺎﻭﺕﺍﻧﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﮔﺮ ﻳﻚ ﻋﺎﻣﻞ ﻟﻮ ﺑﺮﻭﺩ‪ ،‬ﺗﻨﻬﺎ ﻛﻠﻴﺪﻫﺎﻱ ﻛﺎﺭﺑﺮ ﺑﺮﺍﻱ‬ ‫•‬
‫ﺁﻥ ﻋﺎﻣﻞ ﻟﻮﺭﻓﺘﻪ ﻭ ﻛﻠﻴﺪﻫﺎﻱ ﻣﺘﻌﻠﻖ ﺑﻪ ﻋﺎﻣﻼﻥ ﺩﻳﮕﺮ ﻟﻮﺭﻓﺘﻪ ﻧﺨﻮﺍﻫﻨﺪ ﺑﻮﺩ‪.‬‬
‫ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺍﺯ ﻫﺮ ﻧﻘﻄﺔ ﺷﺒﻜﻪ‪ ،‬ﺻﺮﻑ ﻧﻈﺮ ﺍﺯ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ )‪ ،(NMS‬ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﺍﺳﺖ‪ .‬ﺍﻳﻦ‬ ‫•‬
‫ﺍﻣﺮ ﺑﻪ ﻛﺎﺭﺑﺮ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﻋﻤﻠﻴﺎﺕ ﻣﺪﻳﺮﻳﺘﻲ ﺭﺍ ﺍﺯ ﻫﺮ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺍﻧﺠﺎﻡ ﺩﻫﺪ‪ .‬ﺍﻳﻦ ﻗﺎﺑﻠﻴﺖ ﺑﺘﻮﺳﻂ ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫ﺗﺒﺪﻳﻞ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‪ -‬ﺑﻪ‪ -‬ﻛﻠﻴﺪ ﻛﻪ ﻗﺒﻼﹰ ﺗﺸﺮﻳﺢ ﮔﺮﺩﻳﺪ ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﺍﺳﺖ‪.‬‬
‫‪٣٢١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﻫﻤﭽﻨﻴﻦ ﻣﻲﺗﻮﺍﻥ ﺑﻪ ﻣﻮﺍﺭﺩ ﺯﻳﺮ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﺁﻧﻬﺎ ﺍﺟﺘﻨﺎﺏ ﺷﻮﺩ ﺍﺷﺎﺭﻩ ﻛﺮﺩ‪:‬‬
‫ﻳﻚ ﻛﺎﺭﺑﺮ ﻻﺯﻡ ﺍﺳﺖ ﺗﻌﺪﺍﺩ ﺯﻳﺎﺩﻱ ﻛﻠﻴﺪ ﺭﺍ ﺑﺨﺎﻃﺮ ﺳﭙﺎﺭﺩ )ﻳﺎ ﻣﺪﻳﺮﻳﺖ ﻛﻨﺪ( ﻛﻪ ﺍﻳﻦ ﺗﻌﺪﺍﺩ ﺑﺎ ﺍﺿﺎﻓﻪ ﺷﺪﻥ ﻋﻮﺍﻣﻞ‬ ‫•‬
‫ﺟﺪﻳﺪ ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ‪ ،‬ﺑﺴﺮﻋﺖ ﺭﺷﺪ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻳﻚ ﺩﺷﻤﻦ ﻛﻪ ﻛﻠﻴﺪ ﻣﺮﺗﺒﻂ ﺑﺎ ﻳﻚ ﻋﺎﻣﻞ ﺭﺍ ﻛﺸﻒ ﻛﻨﺪ‪ ،‬ﻗﺎﺩﺭ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﺗﺎ ﺧﻮﺩ ﺭﺍ ﺟﺎﻱ ﻫﺮ ﻋﺎﻣﻞ ﺩﻳﮕﺮ ﺑﺮﺍﻱ ﻫﺮ‬ ‫•‬
‫ﻛﺎﺭﺑﺮ‪ ،‬ﻭ ﺟﺎﻱ ﻫﺮ ﻛﺎﺭﺑﺮ ﺑﺮﺍﻱ ﻫﺮ ﻋﺎﻣﻞ ﺩﻳﮕﺮ ﺟﺎ ﺑﺰﻧﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﺭﺳﻴﺪﻥ ﺑﻪ ﺍﻫﺪﺍﻑ ﻭ ﻣﻼﺣﻈﺎﺕ ﺫﻛﺮﺷﺪﻩ‪ ،‬ﻳﻚ ﻛﻠﻴﺪ ﻣﻨﻔﺮﺩ ﻛﺎﺭﺑﺮ ﺑﺘﻮﺳﻂ ﻳﻚ ﺗﺎﺑﻊ ﻳﻚ‪ -‬ﻃﺮﻓﺔ ﺑﺮﮔﺸﺖﻧﺎﭘﺬﻳﺮ )ﻳﻌﻨﻲ‬
‫ﻳﻚ ﺗﺎﺑﻊ ‪ (hash‬ﺑﻪ ﻓﺮﻡ ﻛﻠﻴﺪﻫﺎﻱ ﻣﺤﻠﻲ ﺷﺪﺓ ﻣﺘﻔﺎﻭﺕ ﺑﺮﺍﻱ ﻣﻮﺗﻮﺭﻫﺎﻱ ﻣﺴﺌﻮﻝ ﻣﺘﻔﺎﻭﺕ )ﻋﻮﺍﻣﻞ ﻣﺘﻔﺎﻭﺕ( ﺩﺭﻣﻲﺁﻳﺪ‪ .‬ﺭﻭﺵ ﻛﺎﺭ‬
‫ﭼﻨﻴﻦ ﺍﺳﺖ‪:‬‬
‫ﺭﺷﺘﻪ ﺑﻴﺖ ‪ digest2‬ﺭﺍ ﺍﺯ ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ ‪) digest1‬ﻗﺒﻼﹰ ﺗﺸﺮﻳﺢ ﮔﺮﺩﻳﺪ(‪ ،‬ﺍﻧﺪﺍﺯﺓ ‪ snmpEngineID‬ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ‪،‬‬ ‫•‬
‫ﻭ ‪ digest1‬ﺗﻮﻟﻴﺪ ﻛﻨﻴﺪ‪.‬‬
‫ﺍﮔﺮ ﻳﻚ ﻛﻠﻴﺪ ‪ -۱۶‬ﺍﹸﻛﺘﺘﻲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪ ،‬ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ‪ MD5‬ﺭﺷﺘﺔ ‪ digest2‬ﺭﺍ ﺑﺴﺎﺯﻳﺪ‪ .‬ﺍﮔﺮ ﻳﻚ ﻛﻠﻴﺪ‬ ‫•‬
‫‪ -۲۰‬ﺍﹸﻛﺘﺘﻲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ‪ SHA-1‬ﺁﻥ ﺭﺍ ﺣﺴﺎﺏ ﻛﻨﻴﺪ‪ .‬ﺧﺮﻭﺟﻲ ﺑﺪﺳﺖﺁﻣﺪﻩ‪ ،‬ﻛﻠﻴﺪ ﻣﺤﻠﻲ ﺷﺪﺓ‬
‫ﻛﺎﺭﺑﺮ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﻛﻠﻴﺪ ﻣﺤﻠﻲ ﺷﺪﻩ ﺁﻧﮕﺎﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺑﻪ ﻓﺮﻡ ﺍﻣﻨﻲ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺷﻮﺩ‪ .‬ﻧﻈﺮ ﺑﻪ ﻳﻚ‪ -‬ﻃﺮﻓﻪ ﺑﻮﺩﻥ ‪ MD5‬ﻭ‬
‫‪ SHA-1‬ﺑﺮﺍﻱ ﻳﻚ ﺩﺷﻤﻦ ﺍﻣﻜﺎﻥ ﻧﺨﻮﺍﻫﺪ ﺩﺍﺷﺖ ﻛﻪ ﺣﺘﻲ ﺩﺭ ﺻﻮﺭﺕ ﻛﺸﻒ ﻳﻚ ﻛﻠﻴﺪ ﻣﺤﻠﻲ ﺷﺪﻩ‪ ،‬ﻛﻠﻴﺪ ﻣﻨﻔﺮﺩ ﻛﺎﺭﺑﺮ ﺭﺍ ﭘﻴﺪﺍ ﻛﻨﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۸-۱۱‬ﻣﺤﻠﻲ ﻛﺮﺩﻥ ﻛﻠﻴﺪ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪Take hash‬‬
‫‪of user key and‬‬
‫‪remote EngineID‬‬
‫ﻛﻠﻴﺪ‬
‫ﻣﺤﻠﻲ ﺷﺪﻩ‬
‫‪Take hash‬‬ ‫ﻛﻠﻴﺪ‬
‫‪.‬‬
‫ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ‬ ‫‪of expanded‬‬ ‫ﻣﺤﻠﻲ ﺷﺪﻩ‬
‫‪password string‬‬
‫ﻛﻠﻴﺪ ﻛﺎﺭﺑﺮ‬
‫‪.‬‬
‫‪.‬‬
‫ﻛﻠﻴﺪ‬
‫ﻣﺤﻠﻲ ﺷﺪﻩ‬
‫ﻣﺤﻠﻲ ﻛﺮﺩﻥ ﻛﻠﻴﺪ‬ ‫ﺷﻜﻞ ‪۸-۱۱‬‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٢٢‬‬
‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻨﻈﺮ )‪(View-Based‬‬

‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻳﻚ ﻋﻤﻞ ﺍﻣﻨﻴﺘﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺳﻄﺢ ‪ PDU‬ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ .‬ﻳﻚ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻞ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‪ ،‬ﻣﻜﺎﻧﻴﺴﻢﻫﺎﺋﻲ ﺭﺍ‬
‫ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ ﺍﻳﻨﻜﻪ ﺁﻳﺎ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻳﻚ ﻣﻮﺿﻮﻉ ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ ﺩﺭ ﻳﻚ ‪ MIB‬ﻣﺤﻠﻲ ﺑﺘﻮﺳﻂ ﻳﻚ ﺭﺋﻴﺲ ﺩﻭﺭ ﻣﺠﺎﺯ ﺍﺳﺖ ﻳﺎ ﺧﻴﺮ‬
‫ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﻣﺘﻌﺪﺩ ﻭ ﻣﺘﺼﻮﺭﻱ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺮﺍﻱ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺗﻌﺮﻳﻒ ﻛﺮﺩ‪ .‬ﺍﺳﻨﺎﺩ ‪ SNMPv3‬ﻣﺪﻝ ﻛﻨﺘﺮﻝ‬
‫ﺩﺳﺖﻳﺎﺑﻲ )‪ view-based access control model (VACM‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ VACM .‬ﺧﻮﺩ ﺍﺯ ﻳﻚ ‪ MIB‬ﻛﻪ‬
‫ﺧﻂﻣﺸﻲ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﺮﺍﻱ ﺍﻳﻦ ﻋﺎﻣﻞ ﺭﺍ ﺗﻌﺮﻳﻒ ﻛﺮﺩﻩ ﺍﺳﺖ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺩﻭﺭ ﺭﺍ ﻣﻤﻜﻦ ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫‪ VACM‬ﺩﺍﺭﺍﻱ ﺩﻭ ﻣﺸﺨﺼﺔ ﻣﻬﻢ ﺍﺳﺖ‪:‬‬
‫‪ VACM‬ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﺁﻳﺎ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻳﻚ ﻣﻮﺿﻮﻉ ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ ﺩﺭ ﻳﻚ ‪ MIB‬ﻣﺤﻠﻲ ﺑﺘﻮﺳﻂ ﻳﻚ ﺭﺋﻴﺲ ﺩﻭﺭ‬ ‫•‬
‫ﻣﺠﺎﺯ ﺍﺳﺖ‪.‬‬
‫‪ VACM‬ﺍﺯ ﻳﻚ ‪ MIB‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﻛﻪ‬ ‫•‬
‫‪ o‬ﺧﻂﻣﺸﻲ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﺮﺍﻱ ﺍﻳﻦ ﻋﺎﻣﻞ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ o‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺩﻭﺭ ﺭﺍ ﻣﻤﻜﻦ ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫ﻋﻨﺎﺻﺮ ﻳﻚ ﻣﺪﻝ ‪VACM‬‬

‫ﭘﻨﺞ ﻋﻨﺼﺮ ﻛﻪ ‪ VACM‬ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﻨﺪﺩﺭ ‪ RFC 2575‬ﺗﻌﺮﻳﻒ ﺷﺪﻩﺍﻧﺪ‪ :‬ﮔﺮﻭﻩﻫﺎ‪ ،‬ﺳﻄﺢ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﻣﻘﻮﻟﻪﻫﺎ‪ ،‬ﻣﻨﻈﺮ‪MIB‬‬
‫ﻭ ﺧﻂ ﻣﺸﻲ ﺩﺳﺖﻳﺎﺑﻲ‪.‬‬
‫ﻳﻚ ﮔﺮﻭﻩ )‪ (group‬ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻫﻴﭻ ﻳﺎ ﭼﻨﺪ ﺟﻔﺖ>‪ <securityModel,securityName‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ ﻛــﻪ‬
‫ﻣﻮﺿﻮﻋﺎﺕ ﻣﺪﻳﺮﻳﺘﻲ ‪ SNMP‬ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ﺳﻮﻱ ﺁﻧﻬﺎ ﻣﻮﺭﺩ ﺩﺳﺖﻳﺎﺑﻲ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪ .‬ﻳﻚ ‪ securityName‬ﺑﻪ ﻳﻚ ﺭﺋﻴﺲ ﺍﺷﺎﺭﻩ ﺩﺍﺭﺩ‬
‫ﻭ ﺣﻘﻮﻕ ﺩﺳﺖﻳﺎﺑﻲ ﺗﻤﺎﻡ ﺭﺅﺳﺎ ﺩﺭ ﻳﻚ ﮔﺮﻭﻩ ﻳﻜﺴﺎﻥ ﺍﺳﺖ‪ .‬ﻫﺮ ﮔﺮﻭﻩ ﻳﻚ ﻧﺎﻡ ‪ groupName‬ﻳﻜﺘﺎ ﺩﺍﺭﺩ‪ .‬ﻣﻘﻮﻟﺔ ﮔﺮﻭﻩ ﻳﻚ ﺍﺑﺰﺍﺭ‬
‫ﺳﻮﺩﻣﻨﺪ ﺑﺮﺍﻱ ﻃﺒﻘﻪﺑﻨﺪﻱ ﻣﺪﻳﺮﺍﻥ ﺑﺮﺣﺴﺐ ﺣﻘﻮﻕ ﺩﺳﺖﻳﺎﺑﻲ ﺁﻧﻬﺎﺳﺖ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﺗﻤﺎﻡ ﻣﺪﻳﺮﺍﻥ ﺭﺩﺓ ﺑﺎﻻ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺍﺭﺍﻱ‬
‫ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺣﻘﻮﻕ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻮﺩﻩ ﻛﻪ ﺑﺎ ﻣﺠﻤﻮﻋﺔ ﺣﻘﻮﻕ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺪﻳﺮﺍﻥ ﻣﻴﺎﻧﻲ ﻣﺘﻔﺎﻭﺕ ﺑﺎﺷﺪ‪.‬‬
‫ﻫﺮ ﺗﺮﻛﻴﺒﻲ ﺍﺯ ‪ securityModel‬ﻭ ‪ securityName‬ﺣﺪﺍﻛﺜﺮ ﻣﻲﺗﻮﺍﻧﺪ ﻣﺘﻌﻠﻖ ﺑﻪ ﻳﻚ ﮔﺮﻭﻩ ﺑﺎﺷﺪ‪ .‬ﻳﻌﻨﻲ ﺑﺮﺍﻱ ﺍﻳﻦ ﻋﺎﻣﻞ‪،‬‬
‫ﺭﺋﻴﺴﻲ ﻛﻪ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺍﻭ ﺑﺘﻮﺳﻂ ﻳﻚ ‪ securityModel‬ﺧﺎﺹ ﺣﻔﺎﻇﺖ ﻣﻲﺷﻮﺩ ﺗﻨﻬﺎ ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﻳﻚ ﮔﺮﻭﻩ ﺟﺎﻱ ﮔﻴﺮﺩ‪.‬‬
‫ﺣﻘﻮﻕ ﺩﺳﺖﻳﺎﺑﻲ ﻳﻚ ﮔﺮﻭﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺣﺴﺐ ﺳﻄﺢ ﺍﻣﻨﻴﺘﻲ )‪ (security level‬ﭘﻴﺎﻡ ﺩﺭﺧﻮﺍﺳﺖ‪ ،‬ﻣﺘﻔﺎﻭﺕ ﺑﺎﺷﺪ‪ .‬ﺑﺮﺍﻱ‬
‫ﻣﺜﺎﻝ‪ ،‬ﻳﻚ ﻋﺎﻣﻞ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺳﺖﻳﺎﺑﻲ ‪ read-only‬ﺍﺯ ﻳﻚ ﭘﻴﺎﻡ ﺩﺭﺧﻮﺍﺳﺖ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻧﺸﺪﻩ ﺭﺍ ﺑﭙﺬﻳﺮﺩ ﻭﻟﻲ ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ‬
‫‪ ،write‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﻃﻠﺐ ﻧﻤﺎﻳﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﺑﺮﺍﻱ ﻣﻮﺿﻮﻋﺎﺕ ﺣﺴﺎﺱ ﻣﻌﻴﻨﻲ‪ ،‬ﻋﺎﻣﻞ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺳﺮﻭﻳﺲ‬
‫ﻣﺤﺮﻣﺎﻧﮕﻲ ﺑﺮﺍﻱ ﺩﺭﺧﻮﺍﺳﺖ ﻭ ﭘﺎﺳﺦ ﺁﻥ ﺭﺍ ﻃﻠﺐ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻳﻚ ﻣﻘﻮﻟﻪ ‪ (MIB context) MIB‬ﻳﻚ ﺯﻳﺮﻣﺠﻤﻮﻋﻪ ﺑﺎ ﻳﻚ ﻧﺎﻡ ﻣﺸﺨﺺ ﺩﺭ ﻳﻚ ‪ MIB‬ﻣﺤﻠﻲ ﺍﺳﺖ‪ .‬ﺍﻳﺠﺎﺩ ﻣﻘﻮﻟﻪﻫﺎ ﻳﻚ‬
‫ﺭﻭﺵ ﻣﻔﻴﺪ ﺑﺮﺍﻱ ﮔﺮﺩﺁﻭﺭﺩﻥ ﻣﻮﺿﻮﻋﺎﺗﻲ ﺑﺎ ﺳﻴﺎﺳﺖﻫﺎﻱ ﺩﺳﺖﻳﺎﺑﻲ ﻳﻜﺴﺎﻥ ﺗﺤﺖ ﻋﻨﻮﺍﻥ ﻳﻚ ﻧﺎﻡ ﺍﺳﺖ‪.‬‬
‫ﻣﻘﻮﻟﻪ‪ ،‬ﻣﻔﻬﻮﻣﻲ ﻣﺮﺗﺒﻂ ﺑﺎ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺍﺳﺖ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ ﺑﺎ ﻳﻚ ﻋﺎﻣﻞ ﺍﺭﺗﺒﺎﻁ ﺑﺮﻗﺮﺍﺭﻛﺮﺩﻩ ﺗﺎ ﺑﻪ‬
‫ﺍﻃﻼﻋﺎﺕ ﻣﺪﻳﺮﻳﺘﻲ ﻣﻮﺟﻮﺩ ﺩﺭ ﺁﻥ ﻋﺎﻣﻞ ﺩﺳﺖ ﻳﺎﻳﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺗﻌﺎﻣﻞ ﺑﻴﻦ ﻳﻚ ﻣﺴﺌﻮﻝ ﻣﺪﻳﺮﻳﺖ ﺑﺎ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻋﺎﻣﻞ ﺍﻳﺠﺎﺩ‬
‫ﻣﻲﮔﺮﺩﺩ ﻭ ﺍﻣﺘﻴﺎﺯﺍﺕ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺘﻌﻠﻖ ﺑﻪ ﺍﻳﻦ ﺭﺋﻴﺲ ﺩﺭ ﺍﻳﻦ ﻣﻘﻮﻟﻪ ﺩﺭ ﻳﻚ ﻣﻨﻈﺮ ‪ MIB‬ﮔﻨﺠﺎﻧﺪﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻣﻘﻮﻟﻪﻫﺎ‬
‫ﺩﺍﺭﺍﻱ ﻣﺸﺨﺼﻪﻫﺎﻱ ﻛﻠﻴﺪﻱ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫‪٣٢٣‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ‪ SNMP‬ﻛﻪ ﺑﻄﻮﺭ ﻳﻜﺘﺎ ﺑﺘﻮﺳﻂ ﻳﻚ ‪ contextEngineID‬ﻣﺸﺨﺺ ﻣﻲﺷﻮﺩ ﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻴﺶ ﺍﺯ‬ ‫•‬
‫ﻳﻚ ﻣﻘﻮﻟﻪ ﺭﺍ ﻧﮕﻬﺪﺍﺭﻱ ﻛﻨﺪ‪.‬‬
‫ﻳﻚ ﻣﻮﺿﻮﻉ ﻭ ﻳﺎ ﻣﻮﺭﺩﻱ ﺍﺯ ﻳﻚ ﻣﻮﺿﻮﻉ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﺑﻴﺶ ﺍﺯ ﻳﻚ ﻣﻘﻮﻟﻪ ﻇﺎﻫﺮ ﺷﻮﺩ‪.‬‬ ‫•‬
‫ﻭﻗﺘﻲ ﻣﻘﻮﻟــﻪﻫﺎﻱ ﻣﺘﻌــﺪﺩﻱ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ ،‬ﺑﺮﺍﻱ ﺷﻨــﺎﺳــﺎﺋﻲ ﻣــﻮﺭﺩﻱ ﺍﺯ ﻳـﻚ ﻣﻮﺿﻮﻉ‪ contextName ،‬ﻭ‬ ‫•‬
‫‪ contextEngineID‬ﺁﻥ ﻋﻼﻭﻩ ﺑﺮ ﻧﻮﻉ ﻣﻮﺿﻮﻉ ﻭ ﻣﻮﺭﺩ ﺁﻥ ﺑﺎﻳﺴﺘﻲ ﺷﻨﺎﺳﺎﺋﻲ ﮔﺮﺩﻧﺪ‪.‬‬
‫ﺍﻏﻠﺐ ﻋﻼﻗﻪﻣﻨﺪﻳﻢ ﺗﺎ ﺩﺳﺖﻳﺎﺑﻲ ﻳﻚ ﮔﺮﻭﻩ ﺧﺎﺹ ﺑﻪ ﺯﻳﺮﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻣﻮﺿﻮﻋﺎﺕ ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ ﺩﺭ ﻳﻚ ﻋﺎﻣﻞ ﺭﺍ ﻣﺤﺪﻭﺩ‬
‫ﺳﺎﺯﻳﻢ‪ .‬ﺑﺮﺍﻱ ﺭﺳﻴﺪﻥ ﺑﻪ ﺍﻳﻦ ﻫﺪﻑ‪ ،‬ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻳﻚ ﻣﻘﻮﻟﻪ ﺑﺘﻮﺳﻂ ﻣﻨﻈﺮ ‪ (view) MIB‬ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ ﻛﻪ ﻣﺠﻤﻮﻋﺔ ﺧﺎﺻﻲ‬
‫ﺍﺯ ﻣﻮﺿﻮﻋﺎﺕ ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ )ﻭ ﺑﻄﻮﺭ ﺍﺧﺘﻴﺎﺭﻱ ﻣﻮﺍﺭﺩ ﻳﻚ ﻣﻮﺿﻮﻉ( ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ VACM .‬ﺍﺯ ﻳﻚ ﺗﻜﻨﻴﻚ ﻗﺪﺭﺗﻤﻨﺪ ﻭ ﻗﺎﺑﻞ‬
‫ﺍﻧﻌﻄﺎﻑ ﺑﺮﺍﻱ ﺗﻌﺮﻳﻒ ﻣﻨﻈﺮ ‪ MIB‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻛﻪ ﺑﺮ ﻣﻔﺎﻫﻴﻢ ﺯﻳﺮﺷﺎﺧﻪﻫﺎﻱ ﻣﻨﻈﺮ ﻭ ﺧﺎﻧﻮﺍﺩﻩﻫﺎﻱ ﻣﻨﻈﺮ ﺍﺳﺘﻮﺍﺭ ﺍﺳﺖ‪ .‬ﻣﻨﻈﺮ ‪MIB‬‬
‫ﺑﺼﻮﺭﺕ ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﺍﺯ ﺯﻳﺮﺷﺎﺧﻪﻫﺎ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ ﻛﻪ ﻫﺮ ﺯﻳﺮﺷﺎﺧﻪ ﻳﺎ ﺩﺭ ﻣﻨﻈﺮ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﻭ ﻳﺎ ﺩﺭ ﺁﻥ ﻣﻮﺟﻮﺩ ﻧﻴﺴﺖ‪.‬‬
‫ﻣﻮﺿﻮﻋﺎﺕ ﻣﺪﻳﺮﻳﺖ ﺷﺪﻩ ﺩﺭ ﻳﻚ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﻣﺤﻠﻲ ﺑﺼﻮﺭﺕ ﺳﻠﺴﻠﻪ ﻣﺮﺍﺗﺒﻲ ﻭ ﻳﺎ ﺩﺭﺧﺘﻲ ﻭ ﺑﺮ ﺍﺳﺎﺱ ﺷﻨﺎﺳﻪﻫﺎﻱ‬
‫ﻣﻮﺿﻮﻋﺎﺕ ﺳﺎﺯﻣﺎﻥ ﻣﻲﻳﺎﺑﻨﺪ‪ .‬ﺍﻳﻦ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﺓ ﻣﺤﻠﻲ ﺷﺎﻣﻞ ﻳﻚ ﺯﻳﺮﻣﺠﻤﻮﻋﻪ ﺍﺯ ﺍﻧﻮﺍﻉ ﻣﻮﺿﻮﻋﺎﺕ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺑﺮ ﺍﺳﺎﺱ‬
‫)‪ Internet-standard Structure of Management Information (SMI‬ﺑﻮﺩﻩ ﻭ ﺷﺎﻣﻞ ﻣﻮﺍﺭﺩ ﻣﻮﺿﻮﻋﺎﺗﻲ ﺍﺳﺖ ﻛﻪ‬
‫ﺷﻨﺎﺳﻪﻫﺎﻱ ﺁﻥ ﻣﻨﻄﺒﻖ ﺑﺎ ﻗﺮﺍﺭﺩﺍﺩﻫﺎﻱ ‪ SMI‬ﺍﺳﺖ‪.‬‬
‫‪ SNMPv3‬ﺷﺎﻣﻞ ﻣﻔﻬﻮﻣﻲ ﺑﻪ ﻧﺎﻡ ﺯﻳﺮﺷﺎﺧﻪ ﺍﺳﺖ‪ .‬ﻳﻚ ﺯﻳﺮﺷﺎﺧﻪ‪ ،‬ﺑﻄﻮﺭ ﺳﺎﺩﻩ ﻳﻚ ﮔﺮﻩ ﺩﺭ ﻳﻚ ﺳﻠﺴﻠﻪ ﻣﺮﺍﺗﺐ ﻧﺎﻡﻫﺎﻱ‬
‫‪ MIB‬ﺑﺎﺿﺎﻓﺔ ﺗﻤﺎﻡ ﻋﻨﺎﺻﺮ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﺍﺳﺖ‪ .‬ﺑﻄﻮﺭ ﺭﺳﻤﻲﺗﺮ‪ ،‬ﻳﻚ ﺯﻳﺮﺷﺎﺧﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺼﻮﺭﺕ ﻣﺠﻤﻮﻋﺔ ﺗﻤﺎﻡ ﻣﻮﺿﻮﻋﺎﺕ ﻭ‬
‫ﻣﻮﺍﺭﺩ ﻣﺨﺘﻠﻒ ﺁﻧﻬﺎ ﺑﻮﺩﻩ ﻛﻪ ﭘﻴﺸﻮﻧﺪ ﻣﺸﺘﺮﻙ ‪ ASN.1 OBJECT IDENTIFIER‬ﺩﺭ ﻧﺎﻡﻫﺎﻱ ﺁﻧﺎﻥ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﻃﻮﻳﻞﺗﺮﻳﻦ‬
‫ﭘﻴﺸﻮﻧﺪ ﻣﺸﺘﺮﻙ ﺗﻤﺎﻡ ﻣﻮﺍﺭﺩ ﺩﺭ ﻳﻚ ﺯﻳﺮﺷﺎﺧﻪ‪ ،‬ﺷﻨﺎﺳﺔ ﻣﻮﺿﻮﻉ ﮔﺮﺓ ﻣﺎﺩﺭ ﺩﺭ ﺁﻥ ﺯﻳﺮﺷﺎﺧﻪ ﺍﺳﺖ‪.‬‬
‫ﺑﻪ ﻫﺮ ﻣﻮﺭﺩ ﻣﻮﺟﻮﺩ ﺩﺭ ‪ vacmAccessTable‬ﺳﻪ ﻣﻨﻈﺮ ‪ MIB‬ﻣﺮﺗﺒﻂ ﺍﺳﺖ ﻛﻪ ﻳﻜﻲ ﻣﺮﺑﻮﻁ ﺑﻪ ﺩﺳﺖﻳﺎﺑﻲ ﺧﻮﺍﻧﺪﻥ‪ ،‬ﻳﻜﻲ‬
‫ﻣﺮﺑﻮﻁ ﺑﻪ ﺩﺳﺖﻳﺎﺑﻲ ﻧﻮﺷﺘﻦ ﻭ ﺳﻮﻣﻲ ﻣﺮﺑﻮﻁ ﺑﻪ ﺩﺳﺖﻳﺎﺑﻲ ﺍﺧﻄﺎﺭ ﺍﺳﺖ‪ .‬ﻫﺮ ﻣﻨﻈﺮ ‪ MIB‬ﺷﺎﻣﻞ ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﺍﺯ ﺯﻳﺮﺷﺎﺧﻪﻫﺎﻱ‬
‫ﻣﻨﻈﺮ ﺍﺳﺖ‪ .‬ﻫﺮ ﺯﻳﺮﺷﺎﺧﺔ ﻣﻨﻈﺮ ﺩﺭ ﻣﻨﻈﺮ ‪ MIB‬ﻳﺎ ﺣﻀﻮﺭ ﺩﺍﺭﺩ ﻭ ﻳﺎ ﺣﻀﻮﺭ ﻧﺪﺍﺭﺩ‪ .‬ﻳﻌﻨﻲ ﻣﻨﻈﺮ ‪ MIB‬ﻳﺎ ﺷﺎﻣﻞ ﺗﻤﺎﻡ ﻣﻮﺍﺭﺩ‬
‫ﻣﻮﺿﻮﻋﻲ ﺩﺭ ﺯﻳﺮﺷﺎﺧﻪ ﻫﺴﺖ ﻳﺎ ﻧﻴﺴﺖ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺁﻥ ﻳﻚ ‪ view mask‬ﺑﺮﺍﻱ ﺍﻳﻦ ﺍﻣﺮ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺗﺎ ﻣﻴﺰﺍﻥ ﺍﻃﻼﻋﺎﺕ ﭘﻴﻜﺮﺑﻨﺪﻱ‬
‫ﻻﺯﻡ ﺑﺮﺍﻱ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻣﻮﺍﺭﺩ ﻛﻢﺍﺭﺯﺵ )ﻣﺜﻼﹰ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺩﺭ ﺳﻄﺢ ﻣﻮﺭﺩﻱ ﻳﻚ ﻣﻮﺿﻮﻉ( ﺭﺍ ﻛﺎﻫﺶ ﺩﻫﺪ‪.‬‬
‫‪ VACM‬ﻳﻚ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﻃﻮﺭﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺷﻮﺩ ﻛﻪ ﻳﻚ ﻣﺠﻤﻮﻋﺔ ﺧﺎﺹ ﺍﺯ ﺣﻘﻮﻕ ﺩﺳﺖﻳﺎﺑﻲ ﻛﻪ‬
‫ﻳﻚ ﺧﻂﻣﺸﻲ ﺩﺳﺖﻳﺎﺑﻲ ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﺪ ﮔﺮﺩﻫﻢ ﺁﻭﺭﺩ‪ .‬ﺗﻌﻴﻴﻦ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻓﺎﻛﺘﻮﺭﻫﺎﻱ ﺯﻳﺮ ﻭﺍﺑﺴﺘﻪ ﺍﺳﺖ‪:‬‬
‫ﻳﻚ ﺭﺋﻴﺲ ﻛﻪ ﺩﺭﺧﻮﺍﺳﺖ ﺩﺳﺖﻳﺎﺑﻲ ﻣﻲﻛﻨﺪ‪ VACM .‬ﻳﻚ ﻋﺎﻣﻞ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺍﻣﺘﻴﺎﺯﺍﺕ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺘﻔﺎﻭﺕ‬ ‫•‬
‫ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻥ ﻣﺨﺘﻠﻒ ﻗﺎﺋﻞ ﺷﻮﺩ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ‪ ،‬ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ ﻣﺴﺌﻮﻝ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻛﻞ ﺷﺒﻜﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﻣﺘﻴﺎﺯ‬
‫ﺩﺳﺖﻳﺎﺑﻲ ﻭﺳﻴﻊ ﺗﻐﻴﻴﺮ ﺍﻗﻼﻡ ﺩﺭ ﻳﻚ ‪ MIB‬ﻣﺤﻠﻲ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺩﺭﺣﺎﻟﻲﻛﻪ ﻳﻚ ﻣﺪﻳﺮ ﻣﻴﺎﻧﻲ ﺑﺎ ﻣﺴﺌﻮﻟﻴﺖ ﭘﺎﻳﺶ‪ ،‬ﺗﻨﻬﺎ‬
‫ﺣﻖ ‪ read-only‬ﺩﺍﺷﺘﻪ ﻭ ﺷﺎﻳﺪ ﺗﻨﻬﺎ ﺣﻖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﻛﻪ ﺑﻪ ﺑﺨﺸﻲ ﺍﺯ ‪ MIB‬ﻣﺤﻠﻲ ﺩﺳﺖ ﻳﺎﺑﺪ‪ .‬ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﻗﺒﻼﹰ ﺑﺤﺚ‬
‫ﺷﺪ‪ ،‬ﺭﺅﺳﺎ ﺩﺭ ﮔﺮﻭﻩﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺩﺳﺘﻪﺑﻨﺪﻱ ﺷﺪﻩ ﻭ ﺧﻂﻣﺸﻲ ﺩﺳﺖﻳﺎﺑﻲ ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﻳﻚ ﮔﺮﻭﻩ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺳﻄﺢ ﺍﻣﻨﻴﺘﻲ ﻛﻪ ﭘﻴﺎﻡ ﺩﺭﺧﻮﺍﺳﺖ ‪ SNMP‬ﺩﺭ ﺁﻥ ﺳﻄﺢ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﻣﻌﻤﻮﻻﹰ ﻳﻚ ﻋﺎﻣﻞ ﻧﻴﺎﺯﻣﻨﺪ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬ ‫•‬
‫ﺑﺮﺍﻱ ﭘﻴﺎﻡﻫﺎﺋﻲ ﻛﻪ ﺷﺎﻣﻞ ﺩﺭﺧﻮﺍﺳﺖ ‪) set‬ﻋﻤﻞ ﻧﻮﺷﺘﻦ( ﻫﺴﺘﻨﺪ ﻣﻲﺑﺎﺷﺪ‪.‬‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٢٤‬‬
‫ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺑﺮﺍﻱ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ ﺩﺭﺧﻮﺍﺳﺖ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﻣﺪﻝﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﺘﻌﺪﺩﻱ ﺩﺭ ﻳﻚ ﻋﺎﻣﻞ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ‬ ‫•‬
‫ﺷﺪﻩ ﺑﺎﺷﺪ‪ ،‬ﻋﺎﻣﻞ ﻣﻤﻜﻦ ﺍﺳﺖ ﻃﻮﺭﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺷﻮﺩ ﻛﻪ ﺑﻪ ﭘﻴﺎﻡﻫﺎﺋﻲ ﻛﻪ ﺑﺎ ﻣﺪﻝﻫﺎﻱ ﻣﺨﺘﻠﻒ ﭘﺮﺩﺍﺯﺵ ﺷﺪﻩﺍﻧﺪ‪ ،‬ﺳﻄﻮﺡ‬
‫ﺩﺳﺖﻳﺎﺑﻲ ﻣﺘﻔﺎﻭﺕ ﺗﺨﺼﻴﺺ ﺩﻫﺪ‪ .‬ﻣﺜﻼﹰ ﺍﮔﺮ ﺩﺭﺧﻮﺍﺳﺖ ﺍﺯ ﻃﺮﻳﻖ ‪ USM‬ﺭﺳﻴﺪﻩ ﺑﺎﺷﺪ ﺍﻗﻼﻡ ﻣﻌﻴﻨﻲ ﻗﺎﺑﻞ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻮﺩﻩ‬
‫ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﺍﮔﺮ ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ‪ SNMPv1‬ﺑﺎﺷﺪ ﺍﻳﻦ ﺍﻗﻼﻡ ﻗﺎﺑﻞ ﺩﺳﺖﻳﺎﺑﻲ ﻧﺒﺎﺷﻨﺪ‪.‬‬
‫ﻣﻘﻮﻟﺔ ‪ MIB‬ﺑﺮﺍﻱ ﺍﻳﻦ ﺩﺭﺧﻮﺍﺳﺖ‪.‬‬ ‫•‬
‫ﻧﻮﻉ ﻣﻮﺿﻮﻉ ﻛﻪ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺁﻥ ﺩﺭﺧﻮﺍﺳﺖ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﺮﺧﻲ ﻣﻮﺿﻮﻋﺎﺕ‪ ،‬ﺍﻃﻼﻋﺎﺕ ﺣﻴﺎﺗﻲﺗﺮ ﻭ ﻳﺎ ﺣﺴﺎﺱﺗﺮﻱ ﺭﺍ‬ ‫•‬
‫ﻧﺴﺒﺖ ﺑﻪ ﺑﻘﻴﻪ ﻧﮕﺎﻩ ﻣﻲﺩﺍﺭﻧﺪ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺧﻂﻣﺸﻲ ﺩﺳﺖﻳﺎﺑﻲ ﺑﺎﻳﺴﺘﻲ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﻧﻮﻉ ﻣﻮﺿﻮﻉ ﻣﻮﺭﺩ ﺗﻘﺎﺿﺎ ﺑﺎﺷﺪ‪.‬‬
‫ﻧﻮﻉ ﺩﺳﺖﻳﺎﺑﻲ ﺗﻘﺎﺿﺎ ﺷﺪﻩ )ﺧﻮﺍﻧﺪﻥ‪ ،‬ﻧﻮﺷﺘﻦ‪ ،‬ﻫﺸﺪﺍﺭ(‪ .‬ﺧﻮﺍﻧﺪﻥ‪ ،‬ﻧﻮﺷﺘﻦ ﻭ ﻫﺸﺪﺍﺭ ﻋﻤﻠﻴﺎﺕ ﻣﺪﻳﺮﻳﺘﻲ ﻣﺘﻤﺎﻳﺰ ﺑﻮﺩﻩ ﻭ‬ ‫•‬
‫ﺧﻂﻣﺸﻲﻫﺎﻱ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺨﺘﻠﻒ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﻫﺮﻳﻚ ﺍﺯ ﺁﻧﻬﺎ ﺍﻋﻤﺎﻝ ﺷﻮﺩ‪.‬‬
‫ﺭَﻭَﻧﺪ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‬

‫ﻳﻚ ﻛﺎﺭﺑﺮﺩ ‪ VACM ،SNMP‬ﺭﺍ ﺍﺯ ﻃﺮﻳﻖ ‪ isAccessAllowed primitive‬ﺑﺎ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﻭﺭﻭﺩﻱ‬
‫‪ contextName ،viewType ،securityLevel ،securityName ،securityModel‬ﻭ ‪ variableName‬ﺑﻜﺎﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫ﺗﻤﺎﻡ ﺍﻳﻦ ﭘﺎﺭﺍﻣﺘﺮﻫﺎ ﺑﺮﺍﻱ ﺗﺼﻤﻴﻢﮔﻴﺮﻱ ﻧﺴﺒﺖ ﺑﻪ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻻﺯﻡﺍﻧﺪ‪ .‬ﺑﻌﺒﺎﺭﺕ ﺩﻳﮕﺮ ﺯﻳﺮﺳﻴﺴﺘﻢ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻨﺤﻮﻱ‬
‫ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ ﺗﺎ ﻳﻚ ﺍﺑﺰﺍﺭ ﺑﺴﻴﺎﺭ ﺍﻧﻌﻄﺎﻑﭘﺬﻳﺮ ﺑﺮﺍﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺩﺭ ﻋﺎﻣﻞ ﺍﺯ ﻃﺮﻳﻖ ﺷﻜﺴﺘﻦ ﺗﺼﻤﻴﻤﺎﺕ ﻛﻨﺘﺮﻝ‬
‫ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺷﺶ ﻣﺘﻐﻴﺮ ﻣﺠﺰﺍ ﺑﻮﺟﻮﺩ ﺁﻭﺭﺩ‪.‬‬
‫ﺷﻜﻞ ‪ ۸-۱۲‬ﻛﻪ ﺍﺯ ﺷﻜﻠﻲ ﺩﺭ ‪ RFC 2575‬ﺍﻗﺘﺒﺎﺱ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻳﻚ ﺭﻭﺵ ﻣﻔﻴﺪ ﺑﺮﺍﻱ ﻣﺸﺎﻫﺪﺓ ﻣﺘﻐﻴﺮﻫﺎﻱ ﻭﺭﻭﺩﻱ ﺑﻮﺩﻩ ﻭ‬
‫ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﭼﮕﻮﻧﻪ ﺟﺪﺍﻭﻝ ﻣﺨﺘﻠﻒ ﺩﺭ ﻳﻚ ‪ VACM MIB‬ﺩﺭ ﺍﺧﺬ ﺗﺼﻤﻴﻤﺎﺕ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺩﺧﺎﻟﺖ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫‪ :who‬ﺗﺮﻛﻴﺐ ‪ securityModel‬ﻭ ‪ ،securityName‬ﻣﻌﺮﻓﻲﻛﻨﻨﺪﺓ ﭼﻪ ﻛﺴﻲ ﺩﺭ ﺍﻳﻦ ﻋﻤﻠﻴﺎﺕ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﻘﻮﻟﻪ ﺩﺭ‬ ‫•‬
‫ﻭﺍﻗﻊ ﻳﻚ ﺭﺋﻴﺲ ﺭﺍ ﺗﻌﺮﻳﻒ ﻛﺮﺩﻩ ﻛﻪ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺍﻭ ﺑﺘﻮﺳﻂ ﻳﻚ ‪ securityModel‬ﺣﻔﺎﻇﺖ ﻣﻲﺷﻮﺩ‪ .‬ﺗﺮﻛﻴﺐ ﺑﺎﻻ ﺩﺭ ﺍﻳﻦ‬
‫ﻣﻮﺗﻮﺭ ‪ SNMP‬ﺣﺪﺍﻛﺜﺮ ﺑﻪ ﻳﻚ ﮔﺮﻭﻩ ﺗﻌﻠﻖ ﺩﺍﺭﺩ‪ vacmSecurityToGroupTable .‬ﺑﺎ ﺩﺍﺷﺘﻦ ‪ securityModel‬ﻭ‬
‫‪ groupName ،securityName‬ﺭﺍ ﺍﺳﺘﺨﺮﺍﺝ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ contextName :where‬ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﻣﻮﺿﻮﻉ ﻣﺪﻳﺮﻳﺘﻲ ﻣﻄﻠﻮﺏ ﺩﺭ ﻛﺠﺎ ﺑﺎﻳﺴﺘﻲ ﻳﺎﻓﺖ ﺷﻮﺩ‪.‬‬ ‫•‬
‫‪ vacmContextTable‬ﺷﺎﻣﻞ ﻳﻚ ﻟﻴﺴﺖ ﺍﺯ ‪contextName‬ﻫﺎﻱ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ :how‬ﺗﺮﻛﻴـﺐ ‪ securityModel‬ﻭ ‪ securityLevel‬ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨــﺪ ﻛﻪ ﭼﮕﻮﻧﻪ ﺩﺭﺧــﻮﺍﺳﺖ ﻭﺭﻭﺩﻱ ﻭ‬ ‫•‬
‫‪ Inform PDU‬ﺣﻔﺎﻇﺖ ﺷﺪﻩﺍﻧﺪ‪ .‬ﺗﺮﻛﻴﺐ ‪ where ،who‬ﻭ ‪ how‬ﻫﻴﭻ ﻭ ﻳﺎ ﻳﻚ ﻗﻠﻢ ﺍﺯ ‪ vacmAccessTable‬ﺭﺍ‬
‫ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ viewType :why‬ﻣﺸﺨﺺ ﻣﻲﺳﺎﺯﺩ ﻛﻪ ﭼﺮﺍ ﺩﺳﺖﻳﺎﺑﻲ ﺩﺭﺧﻮﺍﺳﺖ ﺷﺪﻩ ﺍﺳﺖ‪ :‬ﺑﺮﺍﻱ ﺧﻮﺍﻧﺪﻥ‪ ،‬ﻧﻮﺷﺘﻦ ﻭ ﻳﺎ ﻫﺸﺪﺍﺭ‪.‬‬ ‫•‬
‫ﻣﻮﺭﺩ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺩﺭ ‪ vacmAccessTable‬ﺷﺎﻣﻞ ﻳﻚ ‪ MIB viewName‬ﺑﺮﺍﻱ ﻫﺮﻳﻚ ﺍﺯ ﺳﻪ ﻧﻮﻉ ﻋﻤﻞ ﺑﺎﻻﺳﺖ‬
‫ﻭ ‪ viewType‬ﺑﺮﺍﻱ ﺍﻧﺘﺨﺎﺏ ﻳﻚ ‪ viewName‬ﻣﺸﺨﺺ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ‪ ،viewName‬ﻣﻨﻈﺮ‪ MIB‬ﻣﻨﺎﺳﺐ ﺍﺯ‬
‫‪ vacmViewTreeFamilyTable‬ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ variableName :what‬ﻳﻚ ﺷﻨﺎﺳﺔ ﻣﻮﺿﻮﻋﺎﺕ ﺍﺳﺖ ﻛﻪ ﭘﻴﺸﻮﻧﺪ ﺁﻥ ﻳﻚ ﻧﻮﻉ ﻣﻮﺿﻮﻉ ﻣﺸﺨﺺ ﻭ ﭘﺴﻮﻧﺪ ﺁﻥ ﻳﻚ‬ ‫•‬
‫ﻣﻮﺭﺩ ﺍﺯ ﻣﻮﺿﻮﻉ ﻣﺸﺨﺺ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﻧﻮﻉ ﻣﻮﺿﻮﻉ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﭼﻪ ﻧﻮﻉ ﺍﻃﻼﻋﺎﺕ ﻣﺪﻳﺮﻳﺘﻲ ﺩﺭﺧﻮﺍﺳﺖ ﺷﺪﻩ‬
‫ﺍﺳﺖ‪.‬‬
Who Where Which
٣٢٥
How Why What

www.NetSimulate.net
contextName
securityModel securityName securityModel securityLevel object-type object-instance
vacmContextTable
viewType(read/write/notify)
vacmSecurityGroupTable
groupName
variableName(OID)
vacmAccessTable
vacmViewTreeFamilyTable
yes/no decision
VACM ‫ﻣﻨﻄﻖ‬ ۸-۱۲ ‫ﺷﻜﻞ‬

‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٢٦‬‬
‫‪ :which‬ﻣﻮﺭﺩ ﻣﻮﺿﻮﻉ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﻛﺪﺍﻡ ﻗﻠﻢ ﺧﺎﺹ ﺍﻃﻼﻋﺎﺕ ﺩﺭﺧﻮﺍﺳﺖ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺑﺎﻻﺧﺮﻩ ‪ variableName‬ﺑﺎ ﻣﻨﻈﺮ ‪ MIB‬ﺍﺳﺘﺨﺮﺍﺝ ﺷﺪﻩ ﻣﻘﺎﻳﺴﻪ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﮔﺮ‪ variableName‬ﺑﺎ ﻳﻚ ﻋﻨﺼﺮ ﻣﻮﺟﻮﺩ‬
‫ﺩﺭ ﻣﻨﻈﺮ ‪ MIB‬ﺗﻄﺒﻴﻖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺩﺳﺖﻳﺎﺑﻲ ﺍﻋﻄﺎ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﻣﻔﺎﻫﻴﻤﻲ ﻛﻪ ‪ VACM‬ﺭﺍ ﻣﻲﺳﺎﺯﻧﺪ ﺑﻨﻈﺮ ﻣﻲﺭﺳﺪ ﻛﻪ ﻣﻨﺠﺮ ﺑﻪ ﺗﻌﺮﻳﻒ ﭘﻴﭽﻴﺪﻩﺍﻱ ﺍﺯ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻣﻲﮔﺮﺩﻧﺪ‪ .‬ﺍﻧﮕﻴﺰﺓ‬
‫ﻣﻌﺮﻓﻲ ﭼﻨﻴﻦ ﻣﻔﺎﻫﻴﻤﻲ‪ ،‬ﺭﻭﺷﻦ ﺳﺎﺧﺘﻦ ﺍﺭﺗﺒﺎﻃﺎﺕ ﻣﻮﺟﻮﺩ ﺩﺭ ﻛﺴﺐ ﺍﻃﻼﻋﺎﺕ ﻣﺪﻳﺮﻳﺖ ﻭ ﺑﻪ ﺣﺪﺍﻗﻞ ﺭﺳﺎﻧﺪﻥ ﻧﻴﺎﺯﻫﺎﻱ ﺫﺧﻴﺮﻩﺳﺎﺯﻱ ﻭ‬
‫ﭘﺮﺩﺍﺯﺵ ﺩﺭ ﻳﻚ ﻋﺎﻣﻞ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻓﻬﻢ ﭼﻨﻴﻦ ﺍﻧﮕﻴﺰﻩﻫﺎﺋﻲ ﺑﻪ ﻣﻮﺭﺩ ﺯﻳﺮ ﺗﻮﺟﻪ ﻛﻨﻴﺪ‪ .‬ﺩﺭ ‪ SNMPv1‬ﻣﻔﻬﻮﻡ ﺟﺎﻣﻌﻪ ﺑﺮﺍﻱ ﻣﻌﺮﻓﻲ‬
‫ﺍﻃﻼﻋﺎﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪:‬‬
‫ﻫﻮﻳﺖ ﻣﻮﺟﻮﺩﻳﺖ ﺩﺭﺧﻮﺍﺳﺖﻛﻨﻨﺪﻩ )ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ(‬ ‫•‬

‫ﻫﻮﻳﺖ ﻣﻮﺟﻮﺩﻳﺖ ﺍﻧﺠﺎﻡﺩﻫﻨﺪﺓ ﺩﺭﺧﻮﺍﺳﺖ )ﻋﺎﻣﻠﻲ ﻛﻪ ﺑﺮﺍﻱ ﺧﻮﺩ ﻭ ﻳﺎ ﺑﺮﺍﻱ ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ﭘﺮﻭﻛﺴﻲ ﺷﺪﻩ ﻋﻤﻞ ﻣﻲﻛﻨﺪ(‬ ‫•‬
‫ﻫﻮﻳﺖ ﻣﺤﻠﻲ ﻛﻪ ﺍﻃﻼﻋﺎﺕ ﻣﺪﻳﺮﻳﺘﻲ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﺁﻧﺠﺎ ﺩﺭﻳﺎﻓﺖ ﺷﻮﺩ )ﻋﺎﻣﻞ ﻳﺎ ﻭﺍﺣﺪ ﭘﺮﻭﻛﺴﻲ ﺷﺪﻩ(‬ ‫•‬
‫ﺍﻃﻼﻋﺎﺕ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬ ‫•‬
‫ﺍﻃﻼﻋﺎﺕ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ )ﻣﺠﺎﺯ ﺑﻮﺩﻥ ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﻋﻤﻠﻴﺎﺕ ﺩﺭﺧﻮﺍﺳﺖ ﺷﺪﻩ(‬ ‫•‬
‫ﺍﻃﻼﻋﺎﺕ ﻣﻨﻈﺮ ‪MIB‬‬ ‫•‬
‫ﺑﺎ ﺟﻤﻊ ﻛﺮﺩﻥ ﺗﻤﺎﻡ ﺍﻳﻦ ﻣﻔﺎﻫﻴﻢ ﺩﺭ ﻳﻚ ﻣﺘﻐﻴﺮ ﻣﻨﻔﺮﺩ‪ ،‬ﺍﻧﻌﻄﺎﻑﭘﺬﻳﺮﻱ ﻭ ﻛﺎﺭﺁﺋﻲ ﺍﺯ ﺩﺳﺖ ﺭﻓﺘﻪﺍﻧﺪ‪ VACM .‬ﻫﻤﻴﻦ ﻣﺠﻤﻮﻋﻪ‬
‫ﺍﻃﻼﻋﺎﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ ﺭﺍ‪ ،‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣﺘﻐﻴﺮﻫﺎﻱ ﻣﺸﺨﺺ ﺑﺮﺍﻱ ﻫﺮ ﻣﻮﺭﺩ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻳﻚ ﻣﺰﻳﺖ ﻗﺎﺑﻞ ﺗﻮﺟﻪ‬
‫ﻧﺴﺒﺖ ﺑﻪ ‪ SNMPv1‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﻣﻔﺎﻫﻴﻢ ﻣﺨﺘﻠﻒ ﺭﺍ ﺍﺯ ﻳﻜﺪﻳﮕﺮ ﻣﺠﺰﺍ ﻧﻤﻮﺩﻩ ﺗﺎ ﺍﻧﺪﺍﺯﺓ ﻣﺘﻐﻴﺮﻫﺎ ﺑﺘﻮﺍﻧﻨﺪ ﺑﻄﻮﺭ ﺟﺪﺍﮔﺎﻧﻪ ﺑﻪ ﻫﺮ‬
‫ﻣﻮﺭﺩ ﺗﺨﺼﻴﺺ ﻳﺎﺑﻨﺪ‪.‬‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۸-۴‬‬
‫]‪ [STAL99‬ﻳﻚ ﺑﺮﺭﺳﻲ ﻛﺎﻣﻞ ﻭ ﺗﺤﻠﻴﻠﻲ ﺍﺯ ‪ SNMPv2 ،SNMP‬ﻭ ‪ SNMPv3‬ﺍﺭﺍﺋﻪ ﺩﺍﺩﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻛﺘﺎﺏ ﻫﻤﭽﻨﻴﻦ ﻣﺮﻭﺭﻱ ﺑﺮ ﺗﻜﻨﻮﻟﻮﮊﻱ‬
‫ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺩﺍﺭﺩ‪.‬‬
‫‪STAL99 Stallings, W. SNMP, SNMPv2, SNMPv3, and RMON 1 and 2. Reading, MA: Addison-‬‬
‫‪Wesley, 1999.‬‬
‫‪٣٢٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫‪ :SNMPv3 Web site‬ﺍﻳﻦ ﺳﺎﻳﺖ ﺑﺘﻮﺳﻂ ‪ Technical University of Braunschweig‬ﻧﮕﻬﺪﺍﺭﻱ ﻣﻲﺷﻮﺩ‪.‬‬ ‫•‬
‫ﺍﻳﻦ ﺳﺎﻳﺖ ﻟﻴﻨﻚﻫﺎﺋﻲ ﺑﻪ ‪RFC‬ﻫﺎ ﻭ ﭘﻴﺶﻧﻮﻳﺲﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺖ‪ ،‬ﻛﭙﻲ ﭘﻴﺸﻨﻬﺎﺩﻫﺎﻱ ﺩﺍﺩﻩ ﺷﺪﻩ ﺑﺮﺍﻱ ﺗﻐﻴﻴﺮﺍﺕ ﺑﻪ ﮔﺮﻭﻩﻫﺎﻱ‬
‫ﻛﺎﺭﻱ‪ ،‬ﻭ ﻫﻤﭽﻨﻴﻦ ﻟﻴﻨﻚﻫﺎﺋﻲ ﺑﻪ ﻓﺮﻭﺷﻨﺪﮔﺎﻥ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎﻱ ‪ SNMPv3‬ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻩ ﺍﺳﺖ‪.‬‬
‫‪ :The Simple Web site‬ﺍﻳﻦ ﺳﺎﻳﺖ ﺑﺘﻮﺳﻂ ‪ University of Twente‬ﻧﮕﻬﺪﺍﺭﻱ ﻣﻲﺷﻮﺩ‪ .‬ﻣﻨﺒﻊ ﺧﻮﺑﻲ ﺑﺮﺍﻱ‬ ‫•‬
‫ﺍﻃﻼﻋﺎﺕ ﺭﺍﺟﻊ ﺑﻪ ‪ SNMP‬ﺍﺳﺖ ﻛﻪ ﺍﺷﺎﺭﻩ ﺑﻪ ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎﻱ ﻋﻤﻮﻣﻲ ﺍﻳﻦ ﭘﺮﻭﺗﻜﻞ ﺩﺍﺷﺘﻪ ﻭ ﻫﻤﭽﻨﻴﻦ ﺷﺎﻣﻞ ﻟﻴﺴﺘﻲ ﺍﺯ‬
‫ﻛﺘﺎﺏﻫﺎ ﻭ ﻣﻘﺎﻻﺕ ﻣﺮﺗﺒﻂ ﺍﺳﺖ‪.‬‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۸-۵‬‬
‫‪access policy‬‬ ‫ﺧﻂﻣﺸﻲ ﺩﺳﺖﻳﺎﺑﻲ‬ ‫‪message processing model‬‬ ‫ﻣﺪﻝ ﭘﺮﺩﺍﺯﺵ ﭘﻴﺎﻡ‬
‫‪agent‬‬ ‫ﻋﺎﻣﻞ‬ ‫‪network management‬‬ ‫ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫‪community‬‬ ‫ﺟﺎﻣﻌﻪ‬ ‫‪proxy‬‬ ‫ﭘﺮﻭﻛﺴﻲ‬
‫‪community name‬‬ ‫ﻧﺎﻡ ﺟﺎﻣﻌﻪ‬ ‫)‪Simple Network Management Protocol (SNMP‬‬
‫ﭘﺮﻭﺗﻜﻞ ﺳﺎﺩﺓ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫‪key localization‬‬ ‫ﻣﺤﻠﻲ ﻛﺮﺩﻥ ﻛﻠﻴﺪ‬
‫)‪management information base (MIB‬‬ ‫)‪User security model (USM‬‬ ‫ﻣﺪﻝ ﺍﻣﻨﻴﺘﻲ ﻛﺎﺭﺑﺮ‬
‫ﭘﺎﻳﮕﺎﻩ ﺍﻃﻼﻋﺎﺕ ﻣﺪﻳﺮﻳﺖ‬ ‫)‪view-based access control model (VACM‬‬
‫ﻣﺪﻝ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻨﻈﺮ‬
‫‪management station‬‬ ‫ﺍﻳﺴﺘﮕﺎﻩ ﻣﺪﻳﺮﻳﺖ‬

‫‪ ۸-۱‬ﻳﻚ ﻣﻌﻤﺎﺭﻱ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺑﺎ ﭼﻪ ﻣﻔﻬﻮﻣﻲ ﻳﻜﭙﺎﺭﭼﻪ ﺗﻠﻘﻲ ﻣﻲﺷﻮﺩ؟‬
‫‪ ۸-۲‬ﻋﻨﺎﺻﺮ ﻛﻠﻴﺪﻱ ﻣﺪﻝ ‪ SNMP‬ﻛﺪﺍﻣﻨﺪ؟‬
‫ﻳﻚ ‪ MIB‬ﭼﻴﺴﺖ؟‬ ‫‪۸-۳‬‬
‫‪ ۸-۴‬ﭼﻪ ﻗﺎﺑﻠﻴﺖﻫﺎ ﻳﺎ ﻓﺮﺍﻣﻴﻦ ﺍﺻﻠﻲ ﺩﺭ ‪ SNMPv1‬ﻓﺮﺍﻫﻢ ﺁﻣﺪﻩﺍﻧﺪ؟‬
‫‪ ۸-۵‬ﻭﻇﻴﻔﺔ ﻳﻚ ﭘﺮﻭﻛﺴﻲ ‪ SNMP‬ﭼﻴﺴﺖ؟‬
‫‪ ۸-۶‬ﻣﻔﻬﻮﻡ ﺟﺎﻣﻌﺔ ‪ SNMPv1‬ﺭﺍ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﺑﻴﺎﻥ ﻛﻨﻴﺪ‪.‬‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٢٨‬‬
‫‪ ۸-۷‬ﺭﺍﺑﻄﺔ ﺑﻴﻦ ‪ SNMPv2 ،SNMPv1‬ﻭ ‪ SNMPv3‬ﭼﻴﺴﺖ؟‬

‫‪ USM ۸-۸‬ﺑﺮﺍﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﭼﻪ ﺗﻬﺪﻳﺪﻫﺎﺋﻲ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ؟‬
‫‪ ۸-۹‬ﺗﻔﺎﻭﺕ ﺑﻴﻦ ﻳﻚ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﺑﺎ ﻳﻚ ﻣﻮﺗﻮﺭ ﻏﻴﺮﻣﺴﺌﻮﻝ ﻛﺪﺍﻡ ﺍﺳﺖ؟‬
‫‪ ۸ -۱۰‬ﻣﺤﻠﻲ ﻛﺮﺩﻥ ﻛﻠﻴﺪ ﭼﻴﺴﺖ؟‬
‫‪ ۸-۱۱‬ﻋﻨﺎﺻﺮﻱ ﻛﻪ ‪ VACM‬ﺭﺍ ﻣﻲﺳﺎﺯﻧﺪ ﻟﻴﺴﺖ ﻛﺮﺩﻩ ﻭ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﺗﻌﺮﻳﻒ ﻧﻤﺎﺋﻴﺪ‪.‬‬
‫‪ SNMPv1 ۸-۱‬ﻳﻚ ﻧﻮﻉ ﺩﻳﺘﺎ ﻛﻪ ‪ Gauge‬ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷﻮﺩ ﺭﺍ ﺗﻌﺮﻳﻒ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﺗﺸﺮﻳﺢ ﻛﺮﺩﻩ ﺍﺳﺖ‪:‬‬
‫ﺍﻳﻦ ﻧﻮﻉ ﺩﻳﺘﺎ ﺑﺎ ﻛﺎﺭﺑﺮﺩ ﻭﺳﻴﻊ‪ ،‬ﻧﻤﺎﻳﺸﮕﺮ ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ﻏﻴﺮﻣﻨﻔﻲ ﺍﺳﺖ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺯﻳﺎﺩ ﻳﺎ ﻛﻢ ﺷﺪﻩ ﻭﻟﻲ ﺑﻪ‬
‫ﻳﻚ ﻣﻘﺪﺍﺭ ﻣﺎﻛﺰﻳﻤﻢ ‪ latch‬ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻣﻘﺪﺍﺭ ﻣﺎﻛﺰﻳﻤﻢ ‪ ۴,۲۹۴,۹۶۷,۲۹۵) ۲۳۱-۱‬ﺩﻫﺪﻫﻲ( ﺑﺮﺍﻱ‬
‫‪ Gauge‬ﺭﺍ ﺗﻌﻴﻴﻦ ﻛﺮﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﻣﺘﺄﺳﻔﺎﻧﻪ ﻛﻠﻤﺔ ‪ latch‬ﺗﻌﺮﻳﻒ ﻧﺸﺪﻩ ﺍﺳﺖ ﻭ ﺍﻳﻦ ﺍﻣﺮ ﺩﻭ ﺗﻌﺒﻴﺮ ﻣﺨﺘﻠﻒ ﺭﺍ ﺑﻮﺟﻮﺩ ﺁﻭﺭﺩﻩ ﺍﺳﺖ‪ .‬ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ‪ SNMPv2‬ﺍﻳﻦ ﺍﺑﻬﺎﻡ‬
‫ﺭﺍ ﺑﺎ ﺗﻌﺮﻳﻒ ﺯﻳﺮ ﺭﻓﻊ ﻛﺮﺩﻩ ﺍﺳﺖ‪:‬‬
‫ﺍﻧﺪﺍﺯﺓ ﻳﻚ ‪ Gauge‬ﻭﻗﺘﻲ ﺩﺍﺭﺍﻱ ﻣﺎﻛﺰﻳﻤﻢ ﻣﻘﺪﺍﺭ ﺧﻮﺩ ﺍﺳﺖ ﻛﻪ ﺍﻃﻼﻋﺎﺗﻲ ﻛﻪ ﻣﺪﻝ ﻣﻲﺷﻮﺩ ﺑﺰﺭﮔﺘﺮ ﻳﺎ ﻣﺴﺎﻭﻱ‬
‫ﺁﻥ ﻣﻘﺪﺍﺭ ﻣﺎﻛﺰﻳﻤﻢ ﺑﺎﺷﺪ‪ .‬ﺍﮔﺮ ﺍﻃﻼﻋﺎﺕ ﻣﺪﻝ ﺷﺪﻩ ﭘﺲ ﺍﺯ ﺁﻥ ﺍﺯ ﻣﻘﺪﺍﺭ ﻣﺎﻛﺰﻳﻤﻢ ﻛﻤﺘﺮ ﺷﻮﺩ‪ Gauge ،‬ﻫﻢ‬
‫ﻛﺎﻫﺶ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﺗﻌﺒﻴﺮ ﺩﻳﮕﺮ ﭼﻴﺴﺖ؟‬
‫ﺏ‪ -‬ﺩﺭ ﻧﻘﺎﻁ ﻗﻮﺕ ﻭ ﺿﻌﻒ ﺍﻳﻦ ﺩﻭ ﺗﻌﺒﻴﺮ ﺑﺤﺚ ﻛﻨﻴﺪ‪.‬‬
‫‪ ۸-۲‬ﺩﺭ ‪ ،SNMPv1‬ﺑﺮﺍﻱ ﻫﺮ ﻣﻮﺿﻮﻉ ﺩﺭ ﻳﻚ ‪ MIB‬ﻳﻚ ‪ MIB access Category‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﻫﺮﻳﻚ ﺍﺯ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ‬
‫‪ write-only ،read-only‬ﻭ ‪ not-accessible‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﺁﻥ ﺍﺧﺘﺼﺎﺹ ﻳﺎﺑﺪ‪ .‬ﻳﻚ ‪ read‬ﺑﺎ ﻳﻚ ﻋﻤﻞ ‪ get‬ﻳﺎ ‪ trap‬ﺍﻧﺠﺎﻡ‬
‫ﺷﺪﻩ ﻭ ﻳﻚ ‪ write‬ﺑﺎ ﻋﻤﻞ ‪ set‬ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﺑﺮﺍﻱ ‪ ،write-only‬ﻣﻮﺿﻮﻉ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﻋﻤﻠﻴﺎﺕ ‪ get‬ﻭ ‪ trap‬ﺩﺭ‬
‫ﺩﺳﺘﺮﺱ ﺑﺎﺷﺪ ﻭﻟﻲ ﺍﻳﻦ ﺍﻣﺮ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺍﺳﺖ‪ MIB Access Category .‬ﻣﺎﻛﺰﻳﻤﻢ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺠﺎﺯ ﺑﻪ ﻳﻚ ﻣﻮﺿﻮﻉ‬
‫ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻭﻟﻲ ﺩﺭ ﺗﺴﻬﻴﻼﺕ ﺟﺎﻣﻌﻪﺍﻱ ‪ Access Mode ،SNMPv1‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﻳﻚ ﭘﺮﻭﻓﺎﻳﻞ ﺟﺎﻣﻌﺔ ﺑﺨﺼﻮﺹ‬
‫ﺍﻳﻦ ﺩﺳﺖﻳﺎﺑﻲ ﺭﺍ ﺑﺎﺯﻫﻢ ﻣﺤﺪﻭﺩﺗﺮ ﻛﻨﺪ‪ .‬ﺩﺭ ﺟﺪﻭﻝ ﺯﻳﺮ ﻧﻮﻉ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺠﺎﺯ ﺑﺮﺍﻱ ﻫﺮ ﻣﻮﺭﺩ ﺭﺍ ﺗﻌﻴﻴﻦ ﻛﻨﻴﺪ‪.‬‬
‫‪SNMP Access Mode‬‬

‫‪MIB Access‬‬
‫‪Category‬‬ ‫‪READ-ONLY‬‬ ‫‪READ-WRITE‬‬
‫‪read-only‬‬
‫‪Read-write‬‬
‫‪Write-only‬‬
‫‪Not-accessible‬‬
‫‪ ۸-۳‬ﺍﻟﻒ‪ RFC 2574 -‬ﭼﻨﻴﻦ ﺑﻴﺎﻥ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﺮﺍﻱ ﻳﻚ ﻣﻮﺗﻮﺭ ﻏﻴﺮﻣﺴﺌﻮﻝ‪ ،‬ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ‪ msgAuthoritativeEngineBoots‬ﻭ‬
‫‪ msgAuthoritativeEngineTime‬ﺩﺭ ﻳﻚ ﺳﺮﺁﻳﻨﺪ ﭘﻴﺎﻡ ﺧﺮﻭﺟﻲ ﺗﻨﻬﺎ ﺩﺭ ﺻﻮﺭﺗﻲ ﺗﻨﻈﻴﻢ ﻣﻲﺷﻮﻧﺪ ﻛﻪ ﭘﻴﺎﻡ ﺑﺨﻮﺍﻫﺪ ﺑﺘﻮﺳﻂ‬
‫ﮔﻴﺮﻧﺪﺓ ﻣﺴﺌﻮﻝ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﮔﺮﺩﺩ‪ .‬ﭼﺮﺍ ﺍﻳﻦ ﻣﺤﺪﻭﺩﻳﺖ ﺩﺍﺭﺍﻱ ﻣﻌﻨﻲ ﺍﺳﺖ؟‬
‫‪٣٢٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ‬
‫ﺏ‪ -‬ﺍﺯ ﻃــﺮﻑ ﺩﻳــﮕﺮ‪ ،‬ﺑــﺮﺍﻱ ﻳــﻚ ﭘﻴــﺎﻡ ‪ Response‬ﺍﺯ ﺳــﻮﻱ ﻳــﻚ ﻣﻮﺗــﻮﺭ ﻣﺴﺌﻮﻝ‪ ،‬ﺍﻧــﺪﺍﺯﻩﻫﺎﻱ‬
‫‪ msgAuthoritativeEngineBoots‬ﻭ ‪ msgAuthoritativeEngineTime‬ﺩﺭ ﺳﺮﺁﻳﻨﺪ ﭘﻴﺎﻡﻫﺎﻱ ﺧﺎﺭﺝﺷﻮﻧﺪﻩ ﻫﻤﻴﺸﻪ‬
‫ﺗﻨﻈﻴﻢ ﻣﻴﺸﻮﻧﺪ‪ .‬ﭼﺮﺍ ﺑﺎﻳﺴﺘﻲ ﭼﻨﻴﻦ ﺑﺎﺷﺪ؟‬
‫‪ RFC 2574 ۸-۴‬ﭼﻨﻴﻦ ﺗﻌﻴﻴﻦ ﻣﻴﻜﻨﺪﻛﻪ ﺳﻨﻜﺮﻭﻧﻴﺰﺍﺳﻴﻮﻥ ﺳﺎﻋﺖ )ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﺳﺎﻋﺖ ﻣﺤﻠﻲ ﺑﺮ ﺣﺴﺐ ﻣﻘﺎﺩﻳﺮ ﻭﺭﻭﺩﻱ( ﻗﺒﻞ ﺍﺯ ﺗﺄﺋﻴﺪ‬
‫ﭘﻨﺠﺮﺓ ﺯﻣﺎﻧﻲ )ﻛﻨﺘﺮﻝ ﺍﻳﻨﻜﻪ ﭘﻴﺎﻡ ﻭﺭﻭﺩﻱ ﺑﻪ ﻫﻨﮕﺎﻡ ﺍﺳﺖ( ﺻﻮﺭﺕ ﭘﺬﻳﺮﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺑﺪﻳﻦ ﻣﻌﻨﻲ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﻣﻮﺗﻮﺭ ﻏﻴﺮ ﻣﺴﺌﻮﻝ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺗﺨﻤﻴﻦ ﺧﻮﺩ ﺍﺯ ﺳﺎﻋﺖ ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﺭﺍ ﺣﺘﻲ ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻪ ﭘﻴﺎﻡ ﺩﺭ ﺧﺎﺭﺝ ﺍﺯ ﭘﻨﺠﺮﺓ ﺯﻣﺎﻧﻲ ﻣﺠﺎﺯ ﻗﺮﺍﺭ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪،‬‬
‫ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻧﻤﺎﻳﺪ‪ .‬ﺍﺯ ﺯﻣﺎﻥ ﺍﻧﺘﺸﺎﺭ ‪ ،RFC‬ﻧﻈﺮﺍﺕ ﻣﺨﺎﻟﻒ ﻣﺴﺘﻤﺮﻱ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﺩﺭ ﻟﻴﺴﺖ ﭘﺴﺘﻲ ‪ SNMPv3‬ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ‬
‫ﺍﺳﺖ ﻭﻟﻲ ﺗﺎ ﺯﻣﺎﻥ ﻛﺘﺎﺑﺖ ﺍﻳﻦ ﻛﺘﺎﺏ ﺑﻨﻈﺮ ﻧﻤﻲﺭﺳﺪ ﻛﻪ ﺗﻐﻴﻴﺮﻱ ﺩﺭ ﺑﻴﺎﻥ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﺥ ﺩﻫﺪ‪ .‬ﺁﻣﻮﺯﻧﺪﻩ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﺍﻳﻦ ﻣﻮﺭﺩ‬
‫ﻧﮕﺎﻫﻲ ﺑﻴﻨﺪﺍﺯﻳﻢ‪ .‬ﺑﺎ ﺗﻌﺎﺭﻳﻒ ﺯﻳﺮ‪:‬‬
‫‪MAEB = msgAuthoritativeEngineBoots‬‬
‫‪MAET = msgAuthoritativeEngineTime‬‬
‫ﺗﺨﻤﻴﻦ ﻣﺤﻠﻲ ﺍﺯ ‪ snmpEngineBoots‬ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﺩﻭﺭ = ‪SEB‬‬
‫ﺗﺨﻤﻴﻦ ﻣﺤﻠﻲ ﺍﺯ ‪ snmpEngineTime‬ﻣﻮﺗﻮﺭ ﻣﺴﺌﻮﻝ ﺩﻭﺭ = ‪SET‬‬
‫ﺍﺧﻴﺮﺗﺮﻳﻦ ‪LRET = snmpEngineTime‬‬
‫ﺁﻧﮕﺎﻩ ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﻳﻚ ﻣﻮﺗﻮﺭ ﻏﻴﺮﻣﺴﺌﻮﻝ ﭘﻴﺎﻣﻲ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻣﻲﻛﻨﺪ ﻛﻪ ﺑﺮﺣﺴﺐ ﺁﻥ‬
‫])‪(MAEB = SEB) AND [LRET < MAET < (SET – 150‬‬

‫ﺁﻧﮕﺎﻩ ﺷﺮﺍﻳﻂ ﺑﺮﺍﻱ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﺳﺎﻋﺖ ﻣﻬﻴﺎ ﺑﻮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﻳﻦ ﻛﺎﺭ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪:‬‬
‫;‪SET := MAET‬‬ ‫‪LRET := MAET‬‬

‫ﺣﺎﻝ ﻭﻗﺘﻲ ﺑﻪ ﻛﻨﺘﺮﻝ ﭘﻨﺠﺮﺓ ﺯﻣﺎﻧﻲ ﻣﻲﺭﺳﻴﻢ‪ ،‬ﺩﺍﺭﻳﻢ‬
‫)‪(MAEB = SEB) AND (MAET = SET‬‬

‫ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﭘﻴﺎﻡ ﺭﺍ ﺑﻬﻨﮕﺎﻡ ﺍﻋﻼﻡ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺣﺎﻝ ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﺍﺑﺘﺪﺍ ﭘﻨﺠﺮﺓ ﺯﻣﺎﻧﻲ ﻛﻨﺘﺮﻝ ﺷﻮﺩ‪ ،‬ﺁﻳﺎ ﭘﻴﺎﻡ ﺭﺍ ﺑﻬﻨﮕﺎﻡ ﻭ ﻳﺎ ﻧﺎﺑﻬﻨﮕﺎﻡ‬
‫ﺍﻋﻼﻡ ﻣﻲﻛﺮﺩﻳﻢ؟‬
‫‪ ٨ -۵‬ﺩﺭ ﻧﺴﺨﺔ ﺍﻭﻟﻴﺔ ﺍﻧﺘﺸﺎﺭﻳﺎﻓﺘﺔ ﻣﺸﺨﺼﻪﻫﺎﻱ ‪ ،(RFC 2274) USM‬ﺩﺭ ﺑﺤﺚ ﭘﻴﺮﺍﻣﻮﻥ ﺭﻭﺵﻫﺎﻱ ﺳﻨﻜﺮﻭﻧﻴﺰﺍﺳﻴﻮﻥ ﺳﺎﻋﺖ ﻭ ﺗﺄﺋﻴﺪ‬
‫ﭘﻨﺠﺮﺓ ﺯﻣﺎﻧﻲ‪ ،‬ﭼﻨﻴﻦ ﺁﻣﺪﻩ ﺍﺳﺖ‪» :‬ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﺍﻳﻦ ﺭَﻭﻳﻪ‪ ،‬ﺍﺟﺎﺯﺓ ﺳﻨﻜﺮﻭﻧﻴﺰﺍﺳﻴﻮﻥ ﺍﺗﻮﻣﺎﺗﻴﻚ ﺳﺎﻋﺖ ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻪ ﻣﻮﺗﻮﺭ‬
‫‪ SNMP‬ﻏﻴﺮﻣﺴﺌﻮﻝ ﺧﺎﺭﺝ ﺍﺯ ﻫﻤﺎﻫﻨﮕﻲ ﺑﻮﺩﻩ ﻭ ﻣﻮﺗﻮﺭ ‪ SNMP‬ﻣﺴﺌﻮﻝ ﺑﻴﺶ ﺍﺯ ‪ ۱۵۰‬ﺛﺎﻧﻴﻪ ﻋﻘﺐﺗﺮ ﺍﺯ ﻣﻮﺗﻮﺭ ‪SNMP‬‬
‫ﻏﻴﺮﻣﺴﺌﻮﻝ ﺑﺎﺷﺪ‪ ،‬ﺭﺍ ﻧﻤﻲﺩﻫﺪ‪ «.‬ﺍﻳﻦ ﺟﻤﻠﻪ ﭘﺲ ﺍﺯ ﺁﻧﻜﻪ ﻧﻮﻳﺴﻨﺪﺓ ﺍﻳﻦ ﻛﺘﺎﺏ ﺑﻪ ﮔﺮﻭﻩ ﻛﺎﺭﻱ ﻣﺮﺑﻮﻃﻪ ﺧﺎﻃﺮﻧﺸﺎﻥ ﻛﺮﺩ ﻛﻪ ﺍﻳﻦ ﺍﻣﺮ‬
‫ﻫﻤﻴﺸﻪ ﺻﺤﻴﺢ ﻧﻤﻲﺑﺎﺷﺪ ﺍﺯ ﻧﺴﺨﺔ ﺑﺎﺯﻧﮕﺮﻱ ﺷﺪﻩ )‪ (RFC 2574‬ﺣﺬﻑ ﮔﺮﺩﻳﺪ‪ .‬ﺍﺯ ﻣﺜﺎﻝ ﻣﺴﺄﻟﺔ ‪ ۸-۴‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﻧﺸﺎﻥ ﺩﻫﻴﺪ‬
‫ﻛﻪ ﻭﺍﻗﻌﺎﹰ ﺑﻴﺎﻥ ﻗﺒﻞ ﻫﻤﻴﺸﻪ ﺻﺤﻴﺢ ﻧﻴﺴﺖ‪.‬‬
‫‪ SNMPv3 ۸-۶‬ﻓﺮﺽ ﻣﻲﻛﻨﺪ ﻛﻪ ﺭﻭﺵ ﺍﻣﻨﻲ ﺑﺮﺍﻱ ﺗﺤﻮﻳﻞ ﻛﻠﻴﺪﻫﺎﻱ ﻣﺤﻠﻲ ﺷﺪﻩ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎﻱ )ﻋﺎﻣﻞ( ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺷﺪﻩ ﻭﺟﻮﺩ‬
‫ﺩﺍﺭﺩ‪ .‬ﺍﻳﻦ ﺗﺤﻮﻳﻞ ﺍﻣﻦ ﻓﺮﺍﺗﺮ ﺍﺯ ﺣﻮﺯﺓ ‪ SNMPv3‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻛﺎﺭ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺼﻮﺭﺕ ﺩﺳﺘﻲ ﻭ ﻳﺎ ﺑﺘﻮﺳﻂ ﭘﺮﻭﺗﻜﻞ ﺍﻣﻦ ﺩﻳﮕﺮﻱ‬
‫ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﻛﻠﻴﺪ ﺍﻭﻟﻴﻪ )ﻳﺎ ﻳﻚ ﺟﻔﺖ ﻛﻠﻴﺪﺑﺮﺍﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ( ﺑﻪ ﻳﻚ ﻋﺎﻣﻞ ﺗﺤﻮﻳﻞ ﺷﺪ‪SNMPv3 ،‬‬
‫ﻣﻜﺎﻧﻴﺴﻤﻲ ﺭﺍ ﺑﺮﺍﻱ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻛﻠﻴﺪﻫﺎ ﺑﺼﻮﺭﺕ ﺍﻣﻦ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﻣﻄﻠﻮﺏ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﺍﺭﺗﻘﺎﺀ ﺍﻣﻨﻴﺖ‪ ،‬ﻛﻠﻴﺪﻫﺎ‬
‫ﻫﺮﭼﻨﺪﻭﻗﺖ ﻳﻜﺒﺎﺭ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﺷﻮﻧﺪ‪ .‬ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ﺟﺎﻧﺐ ﺧﻮﺩﺵ ﺩﺍﻭﻃﻠﺐ ﺗﻐﻴﻴﺮ ﻛﻠﻴﺪ ﺷﺪﻩ ﻭ ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﻛﻠﻤﺔ‬
‫ﻋﺒﻮﺭ ﺟﺪﻳﺪﻱ ﺭﺍ ﺍﺭﺍﺋﻪ ﺩﻫﺪ‪ .‬ﺑﺼﻮﺭﺕ ﻣﺸﺎﺑﻪ‪ ،‬ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ )‪ (NMS‬ﻣﻲﺗﻮﺍﻧﺪ ﺍﻳﻦ ﻛﺎﺭ ﺭﺍ ﺁﻏﺎﺯ ﻛﺮﺩﻩ ﻭ ﺩﺭﺧﻮﺍﺳﺖ ﻛﻠﻤﺔ‬
‫ﻓﺼﻞ ﻫﺸﺘﻢ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٣٠‬‬
‫ﻋﺒﻮﺭ ﺟﺪﻳﺪ ﻧﻤﺎﻳﺪ‪ .‬ﺩﺭ ﻫﺮ ﺻﻮﺭﺕ‪ ،‬ﻛﻠﻴﺪ ﻛﺎﺭﺑﺮ ﺩﺭ ‪ NMS‬ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻣﻲﺷﻮﺩ‪ .‬ﺳﭙﺲ ‪ NMS‬ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﻛﻠﻴﺪ ﻣﺤﻠﻲ ﺑﺮﺍﻱ‬
‫ﻫﺮﻳﻚ ﺍﺯ ﻋﻮﺍﻣﻞ ﺍﺭﺗﺒﺎﻃﻲ ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻧﻤﺎﻳﺪ‪ .‬ﭘﺲ ﺍﺯ ﺁﻥ‪ NMS ،‬ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﻫﺮ ﻋﺎﻣﻞ ﺑﻄﻮﺭ ﺍﻣﻦ ﺍﺭﺗﺒﺎﻁ ﻳﺎﺑﺪ ﺗﺎ ﻋﺎﻣﻞ ﺭﺍ ﻭﺍﺩﺍﺭ ﻛﻨﺪ‬
‫ﻛﻪ ﻛﻠﻴﺪ ﻣﺤﻠﻲ ﺷﺪﻩ ﺧﻮﺩ ﺭﺍ ﺑﺮﻭﺯ ﺑﺮﺳﺎﻧﺪ‪ .‬ﺩﻭ ﺣﺎﻟﺖ ﺍﺧﺘﻴﺎﺭﻱ ﺯﻳﺮ ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﻛﻠﻴﺪ ﺟﺪﻳﺪ ﺭﺍ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻴﺪ ﻗﺪﻳﻢ ﺑﻌﻨﻮﺍﻥ ﻛﻠﻴﺪ ﺭﻣﺰ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﻤﺎﻳﺪ‪.‬‬ ‫•‬
‫ﻧﻮﻋﻲ ﺗﺎﺑﻊ ﻳﻚ‪ -‬ﻃﺮﻓﻪ ﺭﺍ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺗﺎ ﻳﻚ ﺍﻧﺪﺍﺯﻩ ﺍﺯ ﻛﻠﻴﺪ ﻗﺪﻳﻤﻲ ﺩﺭﺳﺖ ﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺍﻧﺪﺍﺯﻩ ﺭﺍ ﺑﺎ ﻛﻠﻴﺪ ﺟﺪﻳﺪ ‪XOR‬‬ ‫•‬
‫ﻛﺮﺩﻩ ﻭ ﻧﺘﻴﺠﻪ ﺭﺍ ﺑﺮﺍﻱ ﻋﺎﻣﻞ ﺑﻔﺮﺳﺘﺪ‪ .‬ﻋﺎﻣﻞ ﺁﻧﮕﺎﻩ ﻣﻲﺗﻮﺍﻧﺪ ﻧﺘﻴﺠﺔ ﻭﺭﻭﺩﻱ ﺭﺍ ﺑﺎ ﻫﻤﺎﻥ ﺗﺎﺑﻊ ﻛﻪ ﺑﻪ ﻛﻠﻴﺪ ﻗﺪﻳﻢ ﺍﻋﻤﺎﻝ ﺷﺪﻩ‬
‫ﺍﺳﺖ ‪ XOR‬ﻛﺮﺩﻩ ﺗﺎ ﻛﻠﻴﺪ ﺟﺪﻳﺪ ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪.‬‬
‫‪ SNMPv3‬ﺍﺯ ﻓﺮﻣﻲ ﺑﻪ ﺭﻭﺵ ﺩﻭﻡ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﻣﺰﻳﺖ ﺍﻳﻦ ﺭﻭﺵ ﻧﺴﺒﺖ ﺑﻪ ﺭﻭﺵ ﺍﻭﻝ ﭼﻴﺴﺖ؟‬
‫‪ ۸-۷‬ﺭﻭﺵ ﺑﺮﺧﻮﺭﺩ ‪ ،SNMPv3‬ﺷﺎﻣﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻣﻮﺿﻮﻉ ‪ KeyChange‬ﺩﺭ ‪ MIB‬ﺳﻴﺴﺘﻢ ﻫﺪﻑ ﺍﺳﺖ‪ .‬ﻳﻚ ﺭﺋﻴﺲ ﺩﻭﺭ ﻳﺎ‬
‫‪ NMS‬ﺍﻳﻦ ﻣﻮﺿﻮﻉ ﺭﺍ ﺗﻨﻈﻴﻢ ﻛﺮﺩﻩ ﻛﻪ ﭘﺲ ﺍﺯ ﺁﻥ ﺑﺘﻮﺳﻂ ﻋﺎﻣﻞ ﺑﺼﻮﺭﺕ ﺧﻮﺩﻛﺎﺭ ﺑﺮﺍﻱ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻛﻠﻴﺪ ﻣﺮﺗﺒﻂ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺷﺎﻣﻞ ﺩﻭ ﻓﺎﺯ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﻓﺎﺯ ﺁﻥ ﺩﺭ ﻣﻮﺗﻮﺭ ﻣﺘﻘﺎﺿﻲ ﻭ ﻓﺎﺯ ﺩﻳﮕﺮ ﺁﻥ ﺩﺭ ﻣﻮﺗﻮﺭ ﻋﺎﻣﻞ ﺩﻭﺭ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪.‬‬
‫ﻋﻤﻞ ﻭﻗﺘﻲ ﺷﺮﻭﻉ ﻣﻲﺷﻮﺩ ﻛﻪ ﻳﻚ ﻣﺘﻘﺎﺿﻲ ﻋﻼﻗﻪﻣﻨﺪ ﺍﺳﺖ ﺗﺎ ﻳﻚ ﻛﻠﻴﺪ ﻣﻮﺟﻮﺩ ‪ keyOld‬ﺭﺍ ﺑﺎ ﻳﻚ ﻛﻠﻴﺪ ﺟﺪﻳﺪ ‪keyNew‬‬
‫ﺗﻌﻮﻳﺾ ﻛﻨﺪ‪ .‬ﻣﺘﻘﺎﺿﻲ ﻗﺪﻡﻫﺎﻱ ﺯﻳﺮ ﺭﺍ ﺑﺮﻣﻲﺩﺍﺭﺩ‪:‬‬
‫ﻳﻚ ﺍﻧﺪﺍﺯﺓ ‪ random‬ﺍﺯ ﻳﻚ ﺗﻮﻟﻴﺪﻛﻨﻨﺪﺓ ﺍﻋﺪﺍﺩ ﺷﺒﻪ ﺗﺼﺎﺩﻓﻲ ﻭ ﻳﺎ ﺗﻮﻟﻴﺪﻛﻨﻨﺪﺓ ﺍﻋﺪﺍﺩ ﻭﺍﻗﻌﻲ ﺗﺼﺎﺩﻓﻲ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬ ‫‪-۱‬‬
‫ﻣﻘﺪﺍﺭ ﺯﻳﺮ ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ‬ ‫‪-۲‬‬
‫)‪digest = Hash(keyOld || random‬‬
‫ﻛﻪ ﺩﺭ ﺁﻥ ‪ Hash‬ﻳﺎ ‪ MD5‬ﻭ ﻳﺎ ‪ SHA-1‬ﺍﺳﺖ ﻛﻪ ﺑﺴﺘﮕﻲ ﺑﻪ ﺍﻳﻦ ﺩﺍﺭﺩ ﻛﻪ ﺁﻳﺎ ﻳﻚ ﻛﻠﻴﺪ ‪ -۱۶‬ﺍﹸﻛﺘﺘﻲ ﻭ ﻳﺎ ‪ -۲۰‬ﺍﹸﻛﺘﺘﻲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ‬
‫ﺑﻮﺩﻩ ﻭ || ﻋﻼﻣﺖ ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ ﺍﺳﺖ‪.‬‬
‫ﻣﺤﺎﺳﺒﻪ ﻣﻲﻛﻨﺪ‬ ‫‪-۳‬‬
‫‪delta = digest ⊕ keyNew‬‬
‫)‪protocolKeyChange = (random || delta‬‬
‫ﻛﻪ ﺩﺭ ﺁﻥ ⊕ ﻋﻤﻞ ‪ XOR‬ﺍﺳﺖ‪.‬‬

‫ﺍﻧﺪﺍﺯﺓ ‪ protocolKeyChange‬ﺁﻧﮕﺎﻩ ﺩﺭ ﻳﻚ ﻓﺮﻣﺎﻥ ‪ Set‬ﺑﻪ ﻳﻚ ﻋﺎﻣﻞ ﻓﺮﺳﺘﺎﺩﻩ ﺷﺪﻩ ﺗﺎ ﻣﻮﺿﻮﻉ ‪ KeyChange‬ﺩﺭ‬ ‫‪-۴‬‬
‫‪ MIB‬ﻋﺎﻣﻞ ﺭﺍ ﺑﺮﻭﺯ ﺑﺮﺳﺎﻧﺪ‪.‬‬
‫ﻋﺎﻣﻞ ﺑﺮﺍﻱ ﺑﺮﻭﺯ ﺭﺳﺎﻧﺪﻥ ﻛﻠﻴﺪ‪ ،‬ﺑﺎ ﺍﻧﺪﺍﺯﺓ ﻭﺭﻭﺩﻱ ﭼﻪ ﺑﺎﻳﺪ ﺑﻜﻨﺪ؟‬
‫‪ ۸-۸‬ﻳﻚ ﺭﻭﺵ ﺳﺎﺩﻩﺗﺮ ﺍﺯ ﺁﻧﭽﻪ ﺩﺭ ﻣﺴﺄﻟﺔ ﻗﺒﻞ ﻋﻨﻮﺍﻥ ﺷﺪ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ‪ keyOld‬ﺭﺍ ﺑﺎ ‪ keyNew‬ﺑﺼﻮﺭﺕ ‪ XOR‬ﺩﺭﺁﻭﺭﺩﻩ ﻭ ﻧﺘﻴﺠﻪ‬
‫ﺭﺍ ﺍﺭﺳﺎﻝ ﻛﻨﺪ‪ .‬ﮔﻴﺮﻧﺪﻩ ﺁﻧﮕﺎﻩ ﺍﻧﺪﺍﺯﺓ ‪ XOR‬ﻣﻘﺪﺍﺭ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺑﺎ ‪ keyOld‬ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻛﺮﺩﻩ ﺗﺎ ‪ keyNew‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﻨﺪ‪ .‬ﭼﻮﻥ‬
‫ﻳﻚ ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ‪ keyOld‬ﺭﺍ ﻧﻤﻲﺩﺍﻧﺪ‪ ،‬ﺍﻭ ﻧﻤﻲﺗﻮﺍﻧﺪ ﻛﻪ ‪ keyNew‬ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪ .‬ﻣﺰﺍﻳﺎﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻋﺪﺩ ﺗﺼﺎﺩﻓﻲ ﻭ ﺗﺎﺑﻊ ﺍﻣﻦ‬
‫ﻳﻚ‪ -‬ﻃﺮﻓﻪ ﺩﺭ ﻣﺴﺄﻟﺔ ‪ ۸-۷‬ﺩﺭ ﻣﻘﺎﻳﺴﻪ ﺑﺎ ﺍﻳﻦ ﺭﻭﺵ ﭼﻴﺴﺖ؟‬
‫ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ‬ ‫ﻗﺴﻤﺖ‬

‫ﺳﻮﻡ‬
‫ﻗﺴﻤﺖ ﺳﻮﻡ ﻛﺘﺎﺏ ﺑﻪ ﻣﻘﻮﻟﻪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺩﺭ ﺳﻄﺢ ﺳﻴﺴﺘﻢ ﻣﻲﭘﺮﺩﺍﺯﺩ ﻛﻪ ﺷﺎﻣﻞ ﺗﻬﺪﻳﺪﻫﺎ ﻭ ﺭﻭﺵﻫﺎﻱ ﻣﻘﺎﺑﻠﻪ ﺑـﺎ‬
‫ﺁﻧﻬﺎ ﺍﺯ ﺳﻮﻱ ﻣﻬﺎﺟﻤﻴﻦ ﻭ ﻭﻳﺮﻭﺱﻫﺎ ﻣﻲﺑﺎﺷﺪ‪ .‬ﺍﻳﻦ ﻗﺴﻤﺖ ﻫﻤﭽﻨﻴﻦ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻭ ﺳﻴـﺴﺘﻢﻫـﺎﻱ‬
‫ﻣﻌﺘﻤﺪ ﺭﺍ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻓﺼﻞ ‪ ۹‬ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﻓﺼﻞ ‪ ۹‬ﻣﺠﻤﻮﻋﺔ ﻣﺘﻨﻮﻋﻲ ﺍﺯ ﺗﻬﺪﻳﺪﻫﺎﺋﻲ ﻛﻪ ﺑﻪ ﺩﻟﻴﻞ ﻭﺟﻮﺩ ﻧﻘﺎﻁ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺩﺭ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﻣﺒﺘﻨﻲ‬
‫ﺑﺮ ﺷﺒﻜﻪ‪ ،‬ﺍﺯ ﺳﻮﻱ ﻧﻔﻮﺫﮔﺮﺍﻥ ﻣﺘﻮﺟﻪ ﺳﺮﻭﻳﺲﻫﺎ ﻭ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺁﻧﻬﺎ ﻣﻲﺑﺎﺷﺪ‪ ،‬ﺭﺍ ﻣﻮﺭﺩ ﺑﺮﺭﺳﻲ ﻗﺮﺍﺭ ﻣـﻲﺩﻫـﺪ‪.‬‬
‫ﺍﻳﻦ ﻓﺼﻞ ﺑﺎ ﺑﺤﺜﻲ ﺩﺭ ﻣﻮﺭﺩ ﺍﻧﻮﺍﻉ ﺣﻤﻼﺗﻲ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮﺍﻥ ﻏﻴﺮ ﻣﺠﺎﺯ‪ ،‬ﻳﺎ ﻣﻬـﺎﺟﻤﻴﻦ‪ ،‬ﺭﻭﻱ ﺳﻴـﺴﺘﻢ‬
‫ﺍﻧﺠﺎﻡ ﺷﻮﺩ ﺷﺮﻭﻉ ﺷﺪﻩ ﻭ ﺭﻭﺵﻫﺎﻱ ﺟﻠﻮﮔﻴﺮﻱ ﻭ ﺗﺸﺨﻴﺺ ﺁﻧﻬﺎ ﺭﺍ ﺗﺤﻠﻴﻞ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﻓﺼﻞ ﻫﻤﭽﻨـﻴﻦ ﻣﻘﻮﻟـﺔ‬
‫ﻣﺮﺗﺒﻂ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﭘﻮﺷﺶ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻓﺼﻞ ‪ ۱۰‬ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬
‫ﻓﺼﻞ ‪ ۱۰‬ﺗﻬﺪﻳﺪﻫﺎﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﺑﺎ ﺗﺄﻛﻴﺪ ﺧﺎﺻﻲ ﺑﺮ ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﻛِﺮﻡﻫﺎ‪ ،‬ﺭﺍ ﻣـﻮﺭﺩ ﺑﺮﺭﺳـﻲ ﻗـﺮﺍﺭ‬
‫ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﻓﺼﻞ ﺑﺎ ﺑﺮﺭﺳﻲ ﺍﻧﻮﺍﻉ ﻣﺨﺘﻠﻒ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﻣﻮﺫﻱ ﺷﺮﻭﻉ ﺷـﺪﻩ ﻭ ﻧﮕـﺎﻩ ﻣﻔـﺼﻞﺗـﺮﻱ ﺑـﻪ ﻣﺎﻫﻴـﺖ‬
‫ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﻛِﺮﻡﻫﺎ ﻣﻲﺍﻧﺪﺍﺯﺩ‪ .‬ﺑﻘﻴﺔ ﻓﺼﻞ ﻧﮕﺎﻫﻲ ﺑﻪ ﺭﻭﺵﻫﺎﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺍﻳﻦ ﺗﻬﺪﻳـﺪﻫﺎ ﺩﺍﺭﺩ‪ .‬ﺩﺭ ﺍﻧﺘﻬـﺎ ﺣﻤـﻼﺕ‬
‫ﺗﻮﺯﻳﻊ ﺷﺪﺓ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫ﻓﺼﻞ ‪ ۱۱‬ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ‬
‫ﻳﻚ ﺭﻭﺵ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺑﺮﺍﻱ ﻣﺤﺎﻓﻈﺖ ﻣﻨﺎﺑﻊ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﻣﺤﻠﻲ ﺍﺯ ﺗﻬﺪﻳﺪﻫﺎﻱ ﺧـﺎﺭﺟﻲ‪ ،‬ﺍﺳـﺘﻔﺎﺩﻩ ﺍﺯ ﺩﻳـﻮﺍﺭ ﺁﺗـﺶ‬
‫ﺍﺳﺖ‪ .‬ﻓﺼﻞ ‪ ۱۱‬ﺍﺻﻮﻝ ﻃﺮﺍﺣﻲ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺭﺍ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﺩﺍﺩﻩ ﻭ ﺑﻪ ﺗﻜﻨﻴﻚﻫﺎﻱ ﻣﻌﻴﻨﻲ ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ‬
‫ﻓﺼﻞ ﻫﻤﭽﻨﻴﻦ ﻣﻘﻮﻟﺔ ﻣﺮﺗﺒﻂ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﻌﺘﻤﺪ ﺭﺍ ﭘﻮﺷﺶ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪333‬‬
‫‪۹‬‬ ‫ﻓﺼـﻞ‬
‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﻣﻬﺎﺟﻤﻴﻦ‬ ‫‪۹-۱‬‬
‫ﺗﻜﻨﻴﻚﻫﺎﻱ ﺗﻬﺎﺟﻢ‬
‫ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ‬ ‫‪۹-۲‬‬

‫ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ‬
‫ﺗﺸﺨﻴﺺ ﺁﻣﺎﺭﻱ ﻧﺎﻫﻨﺠﺎﺭﻱ‬
‫ﺗﺸﺨﻴﺺ ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﻩ ﺗﻬﺎﺟﻢ‬
‫ﺧﻄﺎﻱ ﻧﺮﺥ ﭘﺎﻳﻪ‬
‫ﺗﺸﺨﻴﺺ ﺗﻮﺯﻳﻊ ﺷﺪﺓ ﺗﻬﺎﺟﻢ‬
‫ﻃﻌﻤﻪﻫﺎ )‪(Honeypots‬‬
‫ﻓﺮﻣﺖ ﻣﺒﺎﺩﻟﺔ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ‬
‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬ ‫‪۹-۳‬‬

‫ﺣﻔﺎﻇﺖ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
‫ﺍﺳﺘﺮﺍﺗﮋﻱﻫﺎﻱ ﺍﻧﺘﺨﺎﺏ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۹-۴‬‬

‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۹-۵‬‬
‫ﺿﻤﻴﻤﺔ ‪ -۹‬ﺍﻟﻒ ﺧﻄﺎﻱ ﻧﺮﺥ ﭘﺎﻳﻪ‬

‫ﺍﺣﺘﻤﺎﻝ ﺷﺮﻃﻲ ﻭ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﻣﺴﺘﻘﻞ‬
‫ﻗﻀﻴﻴﺔ ‪Bayes‬‬
‫ﻧﻤﺎﻳﺶ ﺧﻄﺎﻱ ﻧﺮﺥ ﭘﺎﻳﻪ‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٣٤‬‬
‫ﻛﻲ ﺍﺯ ﻣﺴﺎﺋﻞ ﺍﻣﻨﻴﺘﻲ ﻣﻬﻢ ﺩﺭ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺷﺒﻜﻪﺍﻱ‪ ،‬ﺗﻌﺮﺽ ﺧﺼﻤﺎﻧﻪ ﻭ ﻳﺎ ﺣﺪﺍﻗﻞ ﻧﺎﺧﻮﺍﺳﺘﺔ ﻛﺎﺭﺑﺮﺍﻥ ﻭ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﺳﺖ‪.‬‬
‫ﻱ‬
‫ﺗﻌﺮﺽ ﻛﺎﺭﺑﺮ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺼﻮﺭﺕ ﺍﺗﺼﺎﻝ ﻏﻴﺮﻣﺠﺎﺯ ﺑﻪ ﻣﺎﺷﻴﻦ‪ ،‬ﻭ ﻳﺎ ﺩﺭ ﻣﻮﺭﺩ ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻌﺘﺒﺮﻛﺴﺐ ﺍﻣﺘﻴﺎﺯﺍﺕ ﻳﺎ ﺍﻧﺠﺎﻡ ﻋﻤﻠﻴﺎﺗﻲ ﻓﺮﺍﺗﺮ‬
‫ﺍﺯ ﺁﻧﭽﻪ ﺑﺮﺍﻱ ﺍﻭ ﻣﺠﺎﺯ ﺍﺳﺖ‪ ،‬ﺑﺎﺷﺪ‪ .‬ﺗﻌﺮﺽ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺸﻜﻞ ﻳﻚ ﻭﻳﺮﻭﺱ‪ ،‬ﻛِﺮﻡ ﻭ ﻳﺎ ﺍﺳﺐ ﺗﺮﻭﺍ ﻇﺎﻫﺮ ﺷﻮﺩ‪.‬‬
‫ﺗﻤﺎﻡ ﺍﻳﻦ ﺣﻤﻼﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪﺍﻧﺪ ﺯﻳﺮﺍ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ﻃﺮﻳﻖ ﺷﺒﻜﻪ ﺻﻮﺭﺕ ﭘﺬﻳﺮﺩ‪ .‬ﻭﻟﻲ ﺩﺭ ﻋﻴﻦ ﺣﺎﻝ‬
‫ﺍﻳﻦ ﺣﻤﻼﺕ ﻣﻨﺤﺼﺮﺍﹰ ﻣﺒﺘﻨﻲ ﺑﺮ ﺷﺒﻜﻪ ﻧﻤﻲﺑﺎﺷﻨﺪ‪ .‬ﻳﻚ ﻛﺎﺭﺑﺮ ﺑﺎ ﺍﻣﻜﺎﻥ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻳﻚ ﺗﺮﻣﻴﻨﺎﻝ ﻣﺤﻠﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺪﻭﻥ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﺷﺒﻜﺔ ﻣﻴﺎﻧﻲ ﻣﺒﺎﺩﺭﺕ ﺑﻪ ﺗﻌﺮﺽ ﻧﻤﺎﻳﺪ‪ .‬ﻳﻚ ﻭﻳﺮﻭﺱ ﻳﺎ ﻳﻚ ﺍﺳﺐ ﺗﺮﻭﺍ ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﻪ ﺍﺯ ﻃﺮﻳﻖ ﺷﺒﻜﻪ ﺑﻠﻜﻪ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﺩﻳﺴﻜﺖ‬
‫ﻭﺍﺭﺩ ﺳﻴﺴﺘﻢ ﺷﻮﺩ‪ .‬ﺗﻨﻬﺎ ﻛِﺮﻡ ﻳﻚ ﭘﺪﻳﺪﺓ ﻛﺎﻣﻼﹰ ﺷﺒﻜﻪﺍﻱ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺗﻌﺮﺽ ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺤﺜﻲ ﺍﺳﺖ ﻛﻪ ﻫﻢ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﺍﻣﻨﻴﺖ‬
‫ﺷﺒﻜﻪ ﻭ ﻫﻢ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﺍﻣﻨﻴﺖ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺍﺳﺖ‪.‬‬
‫ﻧﻈﺮ ﺑﻪ ﺍﻳﻨﻜﻪ ﺍﻳﻦ ﻛﺘﺎﺏ ﺑﺮ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﻣﺘﻤﺮﻛﺰ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻣﺎ ﻧﺴﺒﺖ ﺑﻪ ﺗﺠﺰﻳﻪ ﻭ ﺗﺤﻠﻴﻞ ﻣﻔﺼﹼﻞ ﺗﻚﻫﺎ ﻭ ﭘﺎﺗﻚﻫﺎﻱ ﻣﺮﺗﺒﻂ‬
‫ﺑﺎ ﻭﺭﻭﺩ ﻏﻴﺮﻣﺠﺎﺯ ﺑﻪ ﺳﻴﺴﺘﻢ ﺗﻼﺵ ﻧﺨﻮﺍﻫﻴﻢ ﻛﺮﺩ‪ .‬ﺩﺭ ﻋﻮﺽ ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﻣﺮﻭﺭﻱ ﻛﻠﻲ ﺑﺮ ﺍﻳﻦ ﻣﺸﻜﻼﺕ ﺧﻮﺍﻫﻴﻢ ﺩﺍﺷﺖ‪.‬‬
‫ﺍﻳﻦ ﻓﺼﻞ ﺑﻪ ﻣﻮﺿﻮﻉ ﺗﻌﺮﺽﻛﻨﻨﺪﮔﺎﻥ ﻭ ﻳﺎ ﻣﻬﺎﺟﻤﻴﻦ ﻣﻲﭘﺮﺩﺍﺯﺩ‪ .‬ﺩﺭ ﺍﺑﺘﺪﺍ ﻣﺎﻫﻴﺖ ﺣﻤﻠﻪ ﺭﺍ ﺑﺮﺭﺳﻲ ﻧﻤﻮﺩﻩ ﻭ ﺳﭙﺲ ﻧﮕﺎﻫﻲ ﺑﻪ‬
‫ﺍﺳﺘﺮﺍﺗﮋﻱﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺣﻤﻠﻪ ﻭ ﺩﺭ ﺻﻮﺭﺕ ﺷﻜﺴﺖ ﺩﺭ ﺟﻠﻮﮔﻴﺮﻱ‪ ،‬ﺍﺳﺘﺮﺍﺗﮋﻱﻫﺎﻱ ﺗﺸﺨﻴﺺ ﺣﻤﻠﻪ ﻣﻲﭘﺮﺩﺍﺯﻳﻢ‪ .‬ﺩﺭ‬
‫ﻗﺴﻤﺖ ﺑﻌﺪ ﻣﻘﻮﻟﻪﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﺎ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﻣﻬﺎﺟﻤﻴﻦ )‪(INTRUDERS‬‬ ‫‪۹-۱‬‬
‫ﻳﻜﻲ ﺍﺯ ﺩﻭ ﺗﻬﺪﻳﺪ ﻋﻤﺪﺓ ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ‪ ،‬ﻣﻬﺎﺟﻤﻴﻦ ﻫﺴﺘﻨﺪ )ﺩﻳﮕﺮﻱ ﻭﻳﺮﻭﺱﻫﺎ ﻣﻲﺑﺎﺷﻨﺪ(‪ ،‬ﻛﻪ ﻣﻌﻤﻮﻻﹰ ﺍﺯ ﺁﻧﻬﺎ ﺑﺎ ﻧﺎﻡ ﻫَﻜﺮ )‪(hacker‬‬
‫ﻭ ﻳﺎ ِﻛﺮَﻛِﺮ )‪ (cracker‬ﻳﺎﺩ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﻳﻜﻲ ﺍﺯ ﻣﻄﺎﻟﻌﺎﺕ ﻣﻬﻢ ﻣﺮﺑﻮﻁ ﺑﻪ ﻣﻬﺎﺟﻤﻴﻦ‪ ،‬ﺁﻧﺪﺭﺳﻦ ]‪ [ANDE80‬ﺳﻪ ﺩﺳﺘﻪ ﺍﺯ ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﺭﺍ ﺷﻨﺎﺳﺎﺋﻲ ﻧﻤﻮﺩﻩ ﺍﺳﺖ‪:‬‬
‫ﻧﻘﺎﺏﺩﺍﺭ)‪ : (Masquerader‬ﻓﺮﺩﻱ ﺍﺳﺖ ﻛﻪ ﻣﺠﺎﺯ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻧﻴﺴﺖ ﻭﻟﻲ ﺍﺯ ﻛﻨﺘﺮﻝﻫﺎﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ‬ ‫•‬
‫ﺳﻴﺴﺘﻢ ﻋﺒﻮﺭ ﻛﺮﺩﻩ ﻭ ﺍﺷﺘﺮﺍﻙ ﻳﻚ ﻛﺎﺭﺑﺮ ﻗﺎﻧﻮﻧﻲ ﺭﺍ ﻣﻮﺭﺩ ﺳﻮﺀ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩﻛﻨﻨﺪﻩ )‪ :(Misfeasor‬ﻳﻚ ﻛﺎﺭﺑﺮ ﻗﺎﻧﻮﻧﻲ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﺩﻳﺘﺎ‪ ،‬ﺑﺮﻧﺎﻣﻪﻫﺎ ﻭ ﻳﺎ ﻣﻨﺎﺑﻌﻲ ﺩﺳﺖ ﻣﻲﻳﺎﺯﺩ ﻛﻪ ﻗﺎﻧﻮﻧﺎﹰ‬ ‫•‬
‫ﺍﺟﺎﺯﺓ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺁﻧﻬﺎ ﺭﺍ ﻧﺪﺍﺭﺩ‪ .‬ﺍﻳﻦ ﻓﺮﺩ ﻣﻤﻜﻦ ﺍﺳﺖ ﻣﺠﺎﺯ ﺑﻪ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺁﻧﻬﺎ ﺑﺎﺷﺪ ﻭﻟﻲ ﺍﺯ ﺁﻧﻬﺎ ﺑﻄﻮﺭ ﻏﻴﺮﻗﺎﻧﻮﻧﻲ ﺩﺭ‬
‫ﺟﻬﺖ ﺧﻮﺍﺳﺘﻪﻫﺎﻱ ﺧﻮﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﻛﺎﺭﺑﺮ ﺧﹸﻔﻴﻪ )‪ :(Clandestine User‬ﻓﺮﺩﻱ ﺍﺳﺖ ﻛﻪ ﻛﻨﺘﺮﻝ ﺳﻮﭘﺮﻭﺍﻳﺰﺭﻱ ﺳﻴﺴﺘﻢ ﺭﺍ ﺑﺪﺳﺖ ﮔﺮﻓﺘﻪ ﻭ ﺍﺯ ﺍﻳﻦ ﻛﻨﺘﺮﻝ‬ ‫•‬
‫ﺑﺮﺍﻱ ﻓﺮﺍﺭ ﺍﺯ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻥ ﻭ ﻳﺎ ﺧﻨﺜﻲ ﻛﺮﺩﻥ ﻋﻤﻠﻴﺎﺕ ﺷﻨﺎﺳﺎﺋﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪٣٣٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﻣﻬﺎﺟﻢ ﻧﻘﺎﺏﺩﺍﺭ ﺑﻪ ﺍﺣﺘﻤﺎﻝ ﺯﻳﺎﺩ ﻳﻚ ﻓﺮﺩ ﻏﻴﺮﺧﻮﺩﻱ ﺍﺳﺖ‪ .‬ﻣﻬﺎﺟﻢ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩﻛﻨﻨﺪﻩ ﻣﻌﻤﻮﻻﹰ ﻳﻚ ﻓــﺮﺩ ﺧﻮﺩﻱ ﺍﺳﺖ ﻭ‬
‫ﻣﻬﺎﺟﻢ ﺧﻔﻴﻪ ﻣﻲﺗﻮﺍﻧﺪ ﻓﺮﺩﻱ ﺧﻮﺩﻱ ﻭ ﻳﺎ ﻏﻴﺮﺧﻮﺩﻱ ﺑﺎﺷﺪ‪.‬‬
‫ﺣﻤﻼﺕ ﻣﻬﺎﺟﻤﻴﻦ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ﻣﺮﺯ ﺑﻲﺧﻄﺮ ﺗﺎ ﻣﺮﺯ ﺧﻄﺮﻧﺎﻙ ﻣﺘﻔﺎﻭﺕ ﺑﺎﺷﺪ‪ .‬ﺩﺭ ﻣﺮﺯ ﺑﻲﺧﻄﺮ‪ ،‬ﺍﻓﺮﺍﺩ ﺑﺴﻴﺎﺭﻱ ﻭﺟﻮﺩ ﺩﺍﺭﻧﺪ ﻛﻪ‬
‫ﺑﺪﻭﻥ ﻗﺼﺪ ﺳﻮﺀ ﺑﻪ ﻛﺎﻭﺵ ﺩﺭ ﺍﻳﻨﺘﺮﻧﺖ ﻛﻨﺠﻜﺎﻭ ﺑﻮﺩﻩ ﻭ ﻣﻲﺧﻮﺍﻫﻨﺪ ﺑﺪﺍﻧﻨﺪ ﭼﻪ ﭼﻴﺰ ﺗﺎﺯﻩﺍﻱ ﺩﺭ ﺍﻳﻨﺘﺮﻧﺖ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺩﺭ ﻣﺮﺯ ﺧﻄﺮﻧﺎﻙ‬
‫ﺍﻓﺮﺍﺩ ﻣﻌﺪﻭﺩﻱ ﻫﺴﺘﻨﺪ ﻛﻪ ﺗﻼﺵ ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﺑﻪ ﺩﺍﺩﻩﻫﺎﻱ ﻣﻬﻢ ﺩﺳﺖ ﻳﺎﺑﻨﺪ‪ ،‬ﺩﺍﺩﻩﻫﺎ ﺭﺍ ﺑﺼﻮﺭﺕ ﻏﻴﺮﻣﺠﺎﺯ ﺗﻐﻴﻴﺮ ﺩﺍﺩﻩ ﻭ ﻳﺎ ﺳﻴﺴﺘﻢ ﺭﺍ ﺍﺯ‬
‫ﻛﺎﺭ ﺑﻴﻨﺪﺍﺯﻧﺪ‪.‬‬
‫ﺧﻄﺮ ﻣﻬﺎﺟﻤﻴﻦ ﺑﻨﺤﻮ ﻗﺎﺑﻞ ﺗﻮﺟﻬﻲ ﺑﺮﺍﻱ ﻋﻤﻮﻡ ﺭﻭﺷﻦ ﺷﺪﻩ ﻭ ﺷﺎﻳﺪ ﻭﺍﻗﻌﺔ "‪ "Wily Hacker‬ﺩﺭ ﺳﺎﻟﻬﺎﻱ ‪۱۹۸۶-۱۹۸۷‬‬
‫ﻣﻴﻼﺩﻱ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ [STOL88,89] Cliff Stoll‬ﺛﺒﺖ ﺷﺪﻩ ﺍﺳﺖ ﻋﻠﺖ ﻋﻤﺪﺓ ﺁﻥ ﺑﺎﺷﺪ‪ .‬ﺩﺭ ﺳﺎﻝ ‪ ۱۹۹۰‬ﻣﻴﻼﺩﻱ‪ ،‬ﺩﺭ ﺁﻣﺮﻳﻜﺎ‬
‫ﻳﻚ ﻧﻤﺎﻳﺶ ﻗﺪﺭﺕ ﺑﺮ ﻋﻠﻴﻪ ﻫَﻜِﺮﻫﺎﻱ ﻏﻴﺮﻣﺠﺎﺯ ﺻﻮﺭﺕ ﭘﺬﻳﺮﻓﺖ ﻛﻪ ﻃﻲ ﺁﻥ ﻋﺪﻩﺍﻱ ﺩﺳﺘﮕﻴﺮ ﻭ ﻋﺪﻩﺍﻱ ﻣﺘﻬﻢ ﺷﺪﻧﺪ‪ .‬ﻳﻚ ﻣﺤﺎﻛﻤﺔ‬
‫ﺟﻨﺠﺎﻟﻲ ﺑﺮﭘﺎ ﮔﺮﺩﻳﺪ‪ ،‬ﺗﻌﺪﺍﺩﻱ ﻣﺤﻜﻮﻡ ﺷﺪﻩ ﻭ ﻣﻘﺎﺩﻳﺮ ﺯﻳﺎﺩﻱ ﺍﺯ ﺗﺠﻬﻴﺰﺍﺕ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﻭ ﺩﻳﺘﺎ ﺿﺒﻂ ﮔﺮﺩﻳﺪ ]‪ .[STER92‬ﺑﺴﻴﺎﺭﻱ ﺍﺯ‬
‫ﻣﺮﺩﻡ ﺗﺼﻮﺭ ﻛﺮﺩﻧﺪ ﻛﻪ ﻣﺴﺎﻟﻪ ﺣﻞ ﺷﺪﻩ ﻭ ﻣﺸﻜﻞ ﻣﻬﺎﺭ ﮔﺮﺩﻳﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺍﻣﺎ ﺩﺭ ﺣﻘﻴﻘﺖ‪ ،‬ﻣﺴﺎﻟﻪ ﺗﺤﺖ ﻛﻨﺘﺮﻝ ﻗﺮﺍﺭ ﻧﮕﺮﻓﺘﻪ ﺍﺳﺖ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﮔﺮﻭﻫﻲ ﺩﺭ ﻻﺑﺮﺍﺗﻮﺍﺭﻫﺎﻱ ‪ Bell‬ﮔﺰﺍﺭﺵ ﺩﺍﺩﻩﺍﻧﺪ ﻛﻪ‬
‫ﺣﻤﻼﺕ ﺩﺍﺋﻢ ﻭ ﻣﻜﺮﺭﻱ ﺍﺯ ﻃﺮﻳﻖ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺑﺘﻮﺳﻂ ﻣﻨﺎﺑﻊ ﻣﺨﺘﻠﻒ ﺩﺭ ﻃﻮﻝ ﺯﻣﺎﻥ ﺭﻭﻱ ﺳﺎﻳﺖﻫﺎﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﺁﻧﻬﺎ ﺻﻮﺭﺕ ﭘﺬﻳﺮﻓﺘﻪ‬
‫ﺍﺳﺖ ]‪ .[BELL92, BELL93‬ﺩﺭ ﺯﻣﺎﻥ ﺍﺭﺍﺋﺔ ﺍﻳﻦ ﮔﺰﺍﺭﺵ‪ ،‬ﮔﺮﻭﻩ ﻓﻮﻕ ﺷﺎﻫﺪ ﻣﻮﺍﺭﺩ ﺯﻳﺮ ﺑﻮﺩﻧﺪ‪:‬‬
‫ﺗﻼﺵ ﺑﺮﺍﻱ ﻛﭙﻲ ﻛﺮﺩﻥ ﻓﺎﻳﻞ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ )ﺑﻌﺪﺍﹰ ﺩﺭﺑﺎﺭﺓ ﺁﻥ ﺑﺤﺚ ﺧﻮﺍﻫﺪ ﺷﺪ(‪ ،‬ﺑﻴﺸﺘﺮ ﺍﺯ ﻫﺮ ﺩﻭ ﺭﻭﺯ ﻳﻜﺒﺎﺭ‪.‬‬ ‫•‬
‫ﺗﻘﺎﺿﺎﻫﺎﻱ ﻣﺸﻜﻮﻙ ﺑﺮﺍﻱ ﻓﺮﺍﺧﻮﺍﻧﻲ ﺍﺯ ﺩﻭﺭ )‪ (RPC = Remote Procedure Call‬ﺑﻪ ﻣﻴﺰﺍﻥ ﺑﻴﺶ ﺍﺯ ﻫﺮ ﻫﻔﺘﻪ‬ ‫•‬
‫ﻳﻜﺒﺎﺭ‪.‬‬
‫ﺗﻼﺵ ﺑﺮﺍﻱ ﺍﺗﺼﺎﻝ ﺑﻪ ﻣﺎﺷﻴﻦﻫﺎﻱ »ﻃﻌﻤﻪ« ﻛﻪ ﻭﺟﻮﺩ ﺧﺎﺭﺟﻲ ﻧﺪﺍﺭﻧﺪ ﺣﺪﺍﻗﻞ ﻫﺮ ﺩﻭ ﻫﻔﺘﻪ ﻳﻜﺒﺎﺭ‪.‬‬ ‫•‬
‫ﻣﻬﺎﺟﻤﻴﻦ ﺑﻲﺧﻄﺮ ﺭﺍ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﺤﻤﻞ ﻧﻤﻮﺩ ﻭﻟﻲ ﺑﺎﻳﺪ ﺗﻮﺟﻪ ﺩﺍﺷﺖ ﻛﻪ ﭼﻮﻥ ﺁﻧﻬﺎ ﻣﻨﺎﺑﻊ ﺭﺍ ﺑﻜﺎﺭ ﻣﻲﮔﻴﺮﻧﺪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﻋﻤﻠﻴﺎﺕ‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﻗﺎﻧﻮﻧﻲ ﺭﺍ ﺑﺎ ﻛﻨﺪﻱ ﻣﻮﺍﺟﻪ ﺳﺎﺯﻧﺪ‪ .‬ﺍﻟﺒﺘﻪ ﺭﺍﻫﻲ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ ﻛﻪ ﺑﺘﻮﺍﻥ ﭘﻴﺶﺑﻴﻨﻲ ﻛﺮﺩ ﺁﻳﺎ ﻳﻚ ﻣﻬﺎﺟﻢ ﺑﻲﺧﻄﺮ ﻭ ﻳﺎ ﺧﻄﺮﻧﺎﻙ‬
‫ﺍﺳﺖ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﺣﺘﻲ ﺑﺮﺍﻱ ﺳﻴﺴﺘﻢﻫﺎﺋﻲ ﻛﻪ ﻣﺪﺍﺭﻙ ﺣﺴﺎﺱ ﺑﺨﺼﻮﺻﻲ ﺭﺍ ﻧﮕﺎﻩ ﻧﻤﻲﺩﺍﺭﻧﺪ‪ ،‬ﺍﻧﮕﻴﺰﻩﺍﻱ ﺑﺮﺍﻱ ﻛﻨﺘﺮﻝ ﺍﻳﻦ ﻣﺴﺎﻟﻪ ﻭﺟﻮﺩ‬
‫ﺩﺍﺭﺩ‪.‬‬
‫ﻣﺜﺎﻟﻲ ﻛﻪ ﺑﻄﻮﺭ ﺁﺷﻜﺎﺭ ﺧﻄﺮ ﭼﻨﻴﻦ ﺗﻬﺎﺟﻤﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﺩﺭ ﺩﺍﻧﺸﮕﺎﻩ ‪ A&M‬ﺗﻜﺰﺍﺱ ﺭﺥ ﺩﺍﺩ ]‪ .[SAFF93‬ﺩﺭ ﻣﺎﻩ ﺍﻭﺕ‬
‫‪ ۱۹۹۲‬ﻣﻴﻼﺩﻱ‪ ،‬ﻣﺮﻛﺰ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺁﻥ ﺩﺍﻧﺸﮕﺎﻩ ﻣﺘﻮﺟﻪ ﺷﺪ ﻛﻪ ﻳﻜﻲ ﺍﺯ ﺩﺳﺘﮕﺎﻩﻫﺎﻱ ﺁﻥ ﺑﺮﺍﻱ ﺣﻤﻠﻪ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ ﺩﺭ ﻧﻘﻄﻪﺍﻱ ﺩﻳﮕﺮ ﺍﺯ‬
‫ﻃﺮﻳﻖ ﺍﻳﻨﺘﺮﻧﺖ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﺎ ﻛﻨﺘﺮﻝ ﻋﻤﻠﻴﺎﺕ‪ ،‬ﭘﺮﺳﻨﻞ ﻣﺮﻛﺰ ﻛﺎﻣﭙﻴﻴﻮﺗﺮ ﺩﺭﻳﺎﻓﺘﻨﺪ ﻛﻪ ﭘﺎﻱ ﭼﻨﺪﻳﻦ ﻣﻬﺎﺟﻢ ﻏﻴﺮﺧﻮﺩﻱ ﺩﺭ‬
‫ﻛﺎﺭ ﺍﺳﺖ ﻛﻪ ﺑﺮﻧﺎﻣﻪﻫﺎﺋﻲ ﺑﺎ ﻫﺪﻑ ﻛﺸﻒ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺭﺍ ﺭﻭﻱ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎ ﺍﺟﺮﺍ ﻣﻲﻛﻨﻨﺪ )ﺳﺎﻳﺖ ﺷﺎﻣﻞ ‪۱۲,۰۰۰‬‬
‫ﺩﺳﺘﮕﺎﻩ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﻣﺘﺼﻞ ﺑﻬﻢ ﺑﻮﺩ(‪ .‬ﻣﺮﻛﺰ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﺎﺷﻴﻦﻫﺎﻱ ﺁﻟﻮﺩﻩ ﺭﺍ ﺟﺪﺍ ﻛﺮﺩﻩ‪ ،‬ﺣﻔﺮﻩﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺑﺴﺘﻪ ﻭ ﻋﻤﻠﻴﺎﺕ ﻧﺮﻣﺎﻝ ﺭﺍ‬
‫ﺍﺯ ﺳﺮﮔﺮﻓﺖ‪ .‬ﭼﻨﺪ ﺭﻭﺯ ﺑﻌﺪ‪ ،‬ﻳﻜﻲ ﺍﺯ ﻣﺪﻳﺮﺍﻥ ﺳﻴﺴﺘﻢ ﻣﺤﻠﻲ ﺩﺭﻳﺎﻓﺖ ﻛﻪ ﺗﻬﺎﺟﻢ ﺍﺯ ﺳﺮ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﻌﺪﺍﹰ ﺭﻭﺷﻦ ﺷﺪ ﻛﻪ ﺣﻤﻠﻪ‬
‫ﺑﺴﻴﺎﺭ ﭘﻴﭽﻴﺪﻩﺗﺮ ﺍﺯ ﺁﻧﺴﺖ ﻛﻪ ﺩﺭ ﺍﺑﺘﺪﺍ ﺗﺼﻮﺭ ﻣﻲﺷﺪ‪ .‬ﻓﺎﻳﻞﻫﺎﺋﻲ ﺑﺪﺳﺖ ﺁﻣﺪﻛﻪ ﺣﺎﻭﻱ ﺻﺪﻫﺎ ﻛﻠﻤﺔ ﻋﺒﻮﺭﻛﺸﻒ ﺷﺪﻩ ﺑﻮﺩﻧﺪ ﻛﻪ‬
‫ﺑﻌﻀﻲ ﺍﺯ ﺁﻧﻬﺎ ﻣﺘﻌﻠﻖ ﺑﻪ ﺳِﺮﻭﺭﻫﺎﻱ ﺍﺻﻠﻲ ﻭ ﻣﺜﻼﹰ ﺍﻣﻦ ﺑﻮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺁﻥ‪ ،‬ﻳﻜﻲ ﺍﺯ ﻣﺎﺷﻴﻦﻫﺎﻱ ﻣﺤﻠﻲ ﺑﻌﻨﻮﺍﻥ ﺗﺎﺑﻠﻮﻱ ﺍﻋﻼﻧﺎﺕ ﻳﻚ َﻫﻜِﺮ‬
‫ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺑﻮﺩ ﻛﻪ ﺍﺯ ﺁﻥ َﻫﻜِﺮﻫﺎ ﺑﺮﺍﻱ ﺍﺭﺗﺒﺎﻁ ﺑﺎ ﻫﻢ ﻭ ﺑﺤﺚ ﺩﺭ ﻣﻮﺭﺩ ﺗﻜﻨﻴﻚﻫﺎ ﻭ ﭘﻴﺸﺮﻓﺖ ﻛﺎﺭ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﺮﺩﻧﺪ‪.‬‬
‫ﺗﺤﻠﻴﻞ ﺍﻳﻦ ﺣﻤﻠﻪ ﻧﺸﺎﻥ ﺩﺍﺩ ﻛﻪ ﺩﺭ ﻭﺍﻗﻊ ﺩﻭ ﺳﻄﺢ ﺍﺯ ﻫَﻜﺮﻫﺎ ﺩﺭ ﺍﻳﻦ ﺍﻣﺮ ﺩﺧﺎﻟﺖ ﺩﺍﺷﺘﻨﺪ‪ .‬ﻫَﻜﺮﻫﺎﻱ ﺳﻄﺢ ﺑﺎﻻ‪ ،‬ﻛﺎﺭﺑﺮﺍﻥ‬
‫ﭘﻴﭽﻴﺪﻩﺍﻱ ﺑﻮﺩﻧﺪ ﻛﻪ ﺍﻃﻼﻋﺎﺕ ﻛﺎﻓﻲ ﺍﺯ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺩﺍﺷﺘﻨﺪ ﻭ ﻫَﻜﺮﻫﺎﻱ ﺳﻄﺢ ﭘﺎﺋﻴﻦ »ﺳﺮﺑﺎﺯﺍﻥ ﭘﻴﺎﺩﻩﺍﻱ« ﺑﻮﺩﻧﺪ ﻛﻪ ﺻﺮﻓﺎﹰ ﺍﺯ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٣٦‬‬
‫ﻋﺒﻮﺭ ﺍﺯ ﺳﻴﺴﺘﻢ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﻧﺴﺒﺖ ﺑﻪ ﻧﺤﻮﺓ ﻋﻤﻠﻜﺮﺩ ﺍﻳﻦ ﺑﺮﻧﺎﻣﻪﻫﺎ ﺍﻃﻼﻋﺎﺗﻲ ﻧﺪﺍﺷﺘﻨﺪ‪ .‬ﺍﻳﻦ ﻛﺎﺭ ﮔﺮﻭﻫﻲ‪ ،‬ﺩﻭ ﺳﻼﺡ ﻋﻤﺪﻩ ﺩﺭ‬
‫ﺯﺭﺍﺩﺧﺎﻧﺔ ﻣﻬﺎﺟﻤﻴﻦ ﺭﺍ ﺑﺎ ﻫﻢ ﺗﺮﻛﻴﺐ ﻛﺮﺩﻩ ﺑﻮﺩ‪ :‬ﺍﻃﻼﻋﺎﺕ ﭘﻴﭽﻴﺪﻩﺍﻱ ﺍﺯ ﺍﻳﻨﻜﻪ ﭼﻄﻮﺭ ﻣﻲﺗﻮﺍﻥ ﻣﺒﺎﺩﺭﺕ ﺑﻪ ﻫﺠﻮﻡ ﻛﺮﺩ‪ ،‬ﻭ ﺗﻤﺎﻳﻞ ﺑﻪ‬
‫ﺻﺮﻑ ﺳﺎﻋﺎﺕ ﻓﺮﺍﻭﺍﻥ ﺑﺮﺍﻱ ﭘﻴﺪﺍﻛﺮﺩﻥ ﻧﻘﺎﻁ ﺿﻌﻒ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ‪.‬‬
‫ﻳﻜﻲ ﺍﺯ ﻧﺘﺎﻳﺞ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﺷﻨﺎﺋﻲ ﻓـــﺰﺍﻳﻨﺪﻩ ﺑـﺎ ﻣـﺸﻜﻞ ﺗﻬـﺎﺟﻢ‪ ،‬ﺍﻳﺠـــﺎﺩ ﺗﻌـــﺪﺍﺩﻱ ﺍﺯ ﺗـــﻴﻢ ﻫـﺎﻱ ﺍﻭﺭﮊﺍﻧـﺲ ﻛـﺎﻣﭙﻴﻮﺗﺮﻱ‬
‫‪ (Computer Emergency Response Team) CERT‬ﺑﻮﺩﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺗﻴﻢﻫﺎ‪ ،‬ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑـﻪ ﻧﻘـﺎﻁ ﺁﺳـﻴﺐﭘـﺬﻳﺮ‬
‫ﺳﻴﺴﺘﻢﻫﺎ ﺭﺍ ﺟﻤﻊ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺮﺍﻱ ﻣﺪﻳﺮﺍﻥ ﺳﻴﺴﺘﻢﻫﺎ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻣﺘﺎﺳﻔﺎﻧﻪ ﻫَﻜﺮﻫﺎ ﻫﻢ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﻪ ﺍﻳﻦ ﮔﺰﺍﺭﺷـﺎﺕ ‪CERT‬‬
‫ﺩﺳﺘﺮﺳﻲ ﻳﺎﺑﻨﺪ‪ .‬ﺩﺭ ﻭﺍﻗﻌﺔ ‪ A&M‬ﺗﻜﺰﺍﺱ‪ ،‬ﺗﺤﻠﻴﻞﻫﺎﻱ ﺑﻌﺪﻱ ﻧﺸﺎﻥ ﺩﺍﺩ ﻛﻪ ﻫَﻜﺮﻫﺎ ﺑﺮﻧﺎﻣﻪﻫﺎﺋﻲ ﺭﺍ ﺳﺎﺧﺘﻪ ﺑﻮﺩﻧﺪ ﻛﻪ ﺑـﺎ ﻛﻤـﻚ ﺁﻧﻬـﺎ‬
‫ﻫﺮ ﻧﻘﻄﺔ ﺿﻌﻔﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ CERT‬ﮔﺰﺍﺭﺵ ﺷﺪﻩ ﺑﻮﺩ ﻣﻮﺭﺩ ﺗﺠﺎﻭﺯ ﻗﺮﺍﺭ ﻣﻲﮔﺮﻓﺖ‪ .‬ﺍﮔﺮ ﺣﺘﻲ ﻳﻚ ﻣﺎﺷـﻴﻦ ﺑـﻪ ﺗﻮﺻـﻴﻪﻫـﺎﻱ ﻓـﻮﺭﻱ‬
‫‪ CERT‬ﻋﻤﻞ ﻧﻨﻤﻮﺩﻩ ﺑﻮﺩ‪ ،‬ﺩﺭ ﻣﻘﺎﺑﻞ ﺍﻳﻦ ﺣﻤﻼﺕ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺑﺎﻗﻲ ﻣﺎﻧﺪﻩ ﺑﻮﺩ‪.‬‬
‫ﻋﻼﻭﻩ ﺑﺮ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ‪ ،‬ﻣﻬﺎﺟﻤﻴﻦ ﺳﻌﻲ ﻛﺮﺩﻧﺪ ﺗﺎ ﻧﺮﻡﺍﻓﺰﺍﺭ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ ﺭﺍ ﻃﻮﺭﻱ‬
‫ﺩﺳﺘﻜﺎﺭﻱ ﻧﻤﺎﻳﻨﺪ ﻛﻪ ﺑﺘﻮﺍﻧﻨﺪ ﻛﻠﻤﻪﻫﺎﻱ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮﺍﻧﻲ ﺭﺍ ﻛﻪ ﺑﻪ ﺁﻥ ﺳﻴﺴﺘﻢ ﻣﺘﺼﻞﺍﻧﺪ ﻛﺸﻒ ﻛﻨﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺁﻧﺎﻥ ﺭﺍ ﻗﺎﺩﺭ ﺳﺎﺧﺖ ﺗﺎ‬
‫ﻣﺠﻤﻮﻋﺔ ﻋﻈﻴﻤﻲ ﺍﺯ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻫَﻚ ﺷﺪﻩ ﺭﺍ ﺗﻬﻴﻪ ﻧﻤﻮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺩﺭ ﺗﺎﺑﻠﻮﻱ ﺍﻋﻼﻧﺎﺗﻲ ﻛﻪ ﺧﻮﺩ ﺩﺭ ﻳﻜﻲ ﺍﺯ ﻣﺎﺷﻴﻦﻫﺎﻱ ﻗﺮﺑﺎﻧﻲ ﺍﻳﺠﺎﺩ‬
‫ﻛﺮﺩﻩ ﺑﻮﺩﻧﺪ ﻧﺼﺐ ﻛﻨﻨﺪ‪.‬‬
‫ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﺑﻪ ﺗﻜﻨﻴﻚﻫﺎﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺑﺮﺍﻱ ﺗﻬﺎﺟﻢ ﻧﻈﺮ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ‪ .‬ﺁﻧﮕﺎﻩ ﺭﻭﺵﻫﺎﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺭﺍ ﻋﻨﻮﺍﻥ‬
‫ﻣﻲﻛﻨﻴﻢ‪ .‬ﺑﺎﻻﺧﺮﻩ ﺑﻪ ﺭﻭﺵﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺩﺭ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺗﻬﺎﺟﻢ ﺗﻮﺟﻪ ﺧﻮﺍﻫﻴﻢ ﻧﻤﻮﺩ‪.‬‬
‫ﺗﻜﻨﻴﻚﻫﺎﻱ ﺗﻬﺎﺟﻢ‬
‫ﻫﺪﻑ ﻣﻬﺎﺟﻢ‪ ،‬ﻛﺴﺐ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﻭ ﻳﺎ ﺍﻓﺰﺍﻳﺶ ﻣﺤﺪﻭﺩﺓ ﺍﺧﺘﻴﺎﺭﺍﺕ ﻭﻱ ﺩﺭ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻧﻴﺎﺯ ﺑﻪ‬
‫ﻛﺴﺐ ﺍﻃﻼﻋﺎﺗﻲ ﺍﺯ ﻃﺮﻑ ﻣﻬﺎﺟﻢ ﺩﺍﺭﺩ ﻛﻪ ﻣﻌﻤﻮﻻﹰ ﺣﻔﺎﻇﺖ ﺷﺪﻩﺍﻧﺪ‪ .‬ﺩﺭ ﺑﻴﺸﺘﺮ ﻣﻮﺍﺭﺩ‪ ،‬ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﺩﺭ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ ﺧﻼﺻﻪ‬
‫ﻣﻲﺷﻮﻧﺪ‪ .‬ﺑﺎ ﺍﻃﻼﻉ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻳﻚ ﻛﺎﺭﺑﺮ ﻗﺎﻧﻮﻧﻲ‪ ،‬ﻳﻚ ﻣﻬﺎﺟﻢ ﻣﻲﺗﻮﺍﻧﺪ ﻭﺍﺭﺩ ﺳﻴﺴﺘﻢ ﺷﺪﻩ ﻭ ﺍﺯ ﺗﻤﺎﻡ ﺍﻣﺘﻴﺎﺯﺍﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﺎﺭﺑﺮ‬
‫ﻗﺎﻧﻮﻧﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻣﻌﻤﻮﻻﹰ‪ ،‬ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﺎﻳﺴﺘﻲ ﻓﺎﻳﻠﻲ ﺭﺍ ﻛﻪ ﺷﺎﻣﻞ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺗﻤﺎﻡ ﻛﺎﺭﺑﺮﺍﻥ ﻣﺠﺎﺯ ﺍﺳﺖ ﺩﺭ ﺩﺍﺧﻞ ﺧﻮﺩ ﻧﮕﻬﺪﺍﺭﻱ ﻛﻨﺪ‪ .‬ﺍﮔﺮ‬
‫ﭼﻨﻴﻦ ﻓﺎﻳﻠﻲ ﺑﺪﻭﻥ ﺣﻔﺎﻇﺖ ﺩﺭ ﺳﻴﺴﺘﻢ ﺫﺧﻴﺮﻩ ﺷﺪﻩ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺁﻥ ﻭ ﭘﻴﺪﺍ ﻛﺮﺩﻥ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺑﺮﺍﻱ ﻫَﻜﺮﻫﺎ ﺁﺳﺎﻥ‬
‫ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﻓﺎﻳﻞ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﺩﻭ ﻃﺮﻳﻖ ﻣﺤﺎﻓﻈﺖ ﺷﻮﺩ‪:‬‬
‫ﺗﺎﺑﻊ ﻳﻚ‪ -‬ﻃﺮﻓﻪ‪ :‬ﺳﻴﺴﺘﻢ ﺗﻨﻬﺎ ﻳﻚ ﻓﺮﻡ ﺭﻣﺰﺷﺪﻩ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺎﺭﺑﺮ ﺭﺍ ﻧﮕﻬﺪﺍﺭﻱ ﻣﻲﻛﻨﺪ‪ .‬ﻭﻗﺘﻲ ﻛﺎﺭﺑﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭﻱ ﺭﺍ‬ ‫•‬
‫ﺑﻪ ﺳﻴﺴﺘﻢ ﻋﺮﺿﻪ ﻣﻲﻛﻨﺪ‪ ،‬ﺳﻴﺴﺘﻢ ﺍﻳﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺑﻪ ﺭﻣﺰ ﺩﺭﺁﻭﺭﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺎ ﻓﺮﻡ ﺫﺧﻴﺮﻩ ﺷﺪﺓ ﺁﻥ ﻣﻘﺎﻳﺴﻪ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺩﺭ ﻋﻤﻞ‪ ،‬ﺳﻴﺴﺘﻢ ﻣﻌﻤﻮﻻﹰ ﻳﻚ ﺗﺒﺪﻳﻞ ﻳﻚ ﻃﺮﻓﻪ )ﺑﺮﮔﺸﺖﻧﺎﭘﺬﻳﺮ( ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﻛﻪ ﺩﺭﺁﻥ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻳﻚ‬
‫ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﻭ ﻳﻚ ﺧﺮﻭﺟﻲ ﺑﺎ ﻃﻮﻝ ﺛﺎﺑﺖ ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‪ :‬ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻓﺎﻳﻞ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ‪ ،‬ﻣﺤﺪﻭﺩ ﺑﻪ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻣﺸﺘﺮﻙ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺍﮔﺮ ﻳﻜﻲ ﺍﺯ ﺍﻳﻦ ﺩﻭ ﺭﻭﺵ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﻬﺎﺟﻢ ﻭ ﻳﺎ ﻫﺮﺩﻭﻱ ﺁﻧﻬﺎ ﺩﺭ ﺳﻴﺴﺘﻢ ﻣﺴﺘﻘﺮ ﺑﺎﺷﻨﺪ‪ ،‬ﺗﻼﺵ ﻗﺎﺑﻞ ﺗﻮﺟﻬﻲ ﻻﺯﻡ ﺍﺳﺖ ﺗﺎ ﻳﻚ‬
‫ﻣﻬﺎﺟﻢ‪ ،‬ﻫﺮﭼﻨﺪ ﻗﻮﻱ‪ ،‬ﺑﺘﻮﺍﻧﺪ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺭﺍ ﭘﻴﺪﺍ ﻛﻨﺪ‪ .‬ﺑﺮ ﺍﺳﺎﺱ ﻳﻚ ﺑﺮﺭﺳﻲ ﺍﻧﺠﺎﻡ ﺷﺪﻩ ﻛﻪ ﺷﺎﻣﻞ ﮔﻔﺘﮕﻮ ﺑﺎ ﺗﻌﺪﺍﺩﻱ ﻫَﻜﺮ ﻛﻠﻤﺎﺕ‬
‫ﻋﺒﻮﺭ ﻧﻴﺰ ﺑﻮﺩﻩ ﺍﺳﺖ ]‪ ،[ALVA90‬ﺗﻜﻨﻴﻚﻫﺎﻱ ﭘﻴﺪﺍﻛﺮﺩﻥ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﭼﻨﻴﻦﺍﻧﺪ‪:‬‬
‫‪٣٣٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫‪ -۱‬ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﭘﻴﺶ ﻓﺮﺽ ﻣﺮﺑﻮﻁ ﺑﻪ ﻣﺸﺘﺮﻛﻴﻦ ﻛﻪ ﻣﻌﻤﻮﻻﹰ ﺑﻪ ﻫﻤﺮﺍﻩ ﺳﻴﺴﺘﻢ ﻋﺮﺿﻪ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺍﻣﺘﺤﺎﻥ ﺷﻮﺩ‪ .‬ﺑﺴﻴﺎﺭﻱ ﺍﺯ‬
‫ﻣﺪﻳﺮﺍﻥ ﺳﻴﺴﺘﻢ‪ ،‬ﺯﺣﻤﺖ ﺗﻐﻴﻴﺮ ﺍﻳﻦ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺭﺍ ﺑﺨﻮﺩ ﻧﻤﻲﺩﻫﻨﺪ‪.‬‬
‫‪ -۲‬ﺗﻤﺎﻡ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻛﻮﺗﺎﻩ ﻣﻤﻜﻦ )ﺑﻴﻦ ‪ ۱‬ﺗﺎ ‪ ۳‬ﺣﺮﻑ( ﺍﻣﺘﺤﺎﻥ ﺷﻮﺩ‪.‬‬
‫‪ -۳‬ﻛﻠﻤﺎﺕ ﻣﻮﺟﻮﺩ ﺩﺭ ﻛﺘﺎﺏ ﻟﻐﺖ ﺣﺎﻟﺖ ﻓﻌﺎﻝ ﺳﻴﺴﺘﻢ ﻭ ﻳﺎ ﻟﻴﺴﺘﻲ ﺍﺯ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﺤﺘﻤﻞ ﺍﻣﺘﺤﺎﻥ ﺷﻮﺩ‪ .‬ﻧﻤﻮﻧﻪﻫﺎﺋﻲ ﺍﺯ‬
‫ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﺤﺘﻤﻞ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺩﺭ ﺗﺎﺑﻠﻮﻱ ﺍﻋﻼﻧﺎﺕ َﻫﻜِﺮﻫﺎ ﭘﻴﺪﺍ ﻛﺮﺩ‪.‬‬
‫‪ -۴‬ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ ﺟﻤﻊﺁﻭﺭﻱ ﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﺷﺎﻣﻞ ﻧﺎﻡ ﻛﺎﻣﻞ ﺁﻧﻬﺎ‪ ،‬ﻧﺎﻡ ﻫﻤﺴﺮ ﻭ ﻓﺮﺯﻧﺪﺍﻥ ﺁﻧﻬﺎ‪ ،‬ﻧﺎﻡ‬
‫ﻋﻜﺲﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺩﺭ ﺩﻓﺘﺮ ﺁﻧﻬﺎ ﻭ ﻧﺎﻡ ﻛﺘﺎﺏﻫﺎﻱ ﻣﻮﺭﺩ ﻋﻼﻗﻪ ﻭ ﻳﺎ ﻣﻮﺟﻮﺩ ﺩﺭ ﻣﺤﻞ ﻛﺎﺭ ﺁﻧﻬﺎ ﻛﻪ ﺳﺮﮔﺮﻣﻲ ﻓﺮﺩ ﻣﺤﺴﻮﺏ‬
‫ﻣﻲﺷﻮﻧﺪ‪ ،‬ﻣﻲﺑﺎﺷﺪ‪.‬‬
‫‪ -۵‬ﺷﻤﺎﺭﺓ ﺗﻠﻔﻦ ﻛﺎﺭﺑﺮ‪ ،‬ﺷﻤﺎﺭﺓ ﺷﻨﺎﺳﻨﺎﻣﻪ‪ ،‬ﻛﹸﺪ ﻣﻠﻲ‪ ،‬ﺷﻤﺎﺭﺓ ﺍﻃﺎﻕ ﻭﻱ ﻭ ﺍﻃﺎﻕﻫﺎﺋﻲ ﻛﻪ ﺑﻴﺸﺘﺮ ﺑﺎ ﺁﻧﻬﺎ ﻣﺮﺗﺒﻂ ﺍﺳﺖ ﺍﻣﺘﺤﺎﻥ‬
‫ﺷﻮﺩ‪.‬‬
‫‪ -۶‬ﺗﻤﺎﻡ ﺷﻤﺎﺭﻩﻫﺎﻱ ﻗﺎﻧﻮﻧﻲ ﺍﺗﻮﻣﺒﻴﻞﻫﺎ ﺩﺭ ﺷﻬﺮ ﻣﺤﻞ ﺳﻜﻮﻧﺖ ﻛﺎﺭﺑﺮ ﺍﻣﺘﺤﺎﻥ ﺷﻮﺩ‪.‬‬
‫‪ -۷‬ﺍﺯ ﻳﻚ ﺍﺳﺐ ﺗﺮﻭﺍ ﺑﺮﺍﻱ ﺩﻭﺭ ﺯﺩﻥ ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪.‬‬
‫‪ -۸‬ﺭﻭﻱ ﺧﻂ ﺍﺭﺗﺒﺎﻃﻲ ﺳﻴﺴﺘﻢ ﻣﻮﺭﺩ ﻧﻈﺮ ﺑﺎ ﻛﺎﺭﺑﺮﺍﻥ ﺩﻭﺭ‪ ،‬ﺷﻨﻮﺩ ﮔﺬﺍﺷﺘﻪ ﺷﻮﺩ‪.‬‬
‫ﺷﺶ ﺭﻭﺵ ﺍﻭﻝ‪ ،‬ﺭﺍﻩﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺣﺪﺱﺯﺩﻥ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﻳﻚ ﻣﻬﺎﺟﻢ ﻗﺮﺍﺭ ﺑﺎﺷﺪ ﺗﺎ ﺑﺎ ﺗﻼﺵﻫﺎﻱ ﻣﺪﺍﻭﻡ ﻭ‬
‫ﺣﺪﺱﺯﺩﻥﻫﺎﻱ ﻣﻜﺮﺭ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﺭﺍﻩ ﻳﺎﺑﺪ‪ ،‬ﺗﻼﺵ ﺍﻭ ﺗﻼﺵ ﺧﺴﺘﻪﻛﻨﻨﺪﻩﺍﻱ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ ﺑﺴﻬﻮﻟﺖ ﻣﻲﺗﻮﺍﻧﺪ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ‬
‫ﺷﻮﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺴﺎﺩﮔﻲ ﭘﺲ ﺍﺯ ﻫﺮ ﺳﻪ ﺑﺎﺭ ﺗﻼﺵ ﻧﺎﻣﻮﻓﻖ ﺩﺭ ﻭﺻﻞ ﺷﺪﻥ ﺑﻪ ﺳﻴﺴﺘﻢ‪ ،‬ﺗﻼﺵ ﺑﻌﺪﻱ ﺭﺍ ﺍﻧﻜﺎﺭ‬
‫ﻧﻤﺎﻳﺪ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﻬﺎﺟﻢ ﻣﺠﺒﻮﺭ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ ﭘﺲ ﺍﺯ ﺍﻳﻦ ﻣﺪﺕ ﺩﻭﺑﺎﺭﻩ ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﺘﺼﻞ ﮔﺮﺩﺩ ﺗﺎ ﺗﻼﺵ ﺧﻮﺩ ﺭﺍ ﺍﺯ ﺳﺮ ﺑﮕﻴﺮﺩ‪.‬‬
‫ﺗﺤﺖ ﭼﻨﻴﻦ ﺷﺮﺍﻳﻄﻲ‪ ،‬ﺍﻣﺘﺤﺎﻥ ﻛﺮﺩﻥ ﺑﻴﺶ ﺍﺯ ﻳﻚ ﻣﺸﺖ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻋﻤﻠﻲ ﻧﺨﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﻭﻟﻲ ﺍﺣﺘﻤﺎﻝ ﺍﻳﻨﻜﻪ ﻳﻚ ﻣﻬﺎﺟﻢ ﺯﻳﺮﻙ ﭼﻨﻴﻦ‬
‫ﺭﻭﺵ ﺧﺎﻣﻲ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﻨﺪ ﻛﻢ ﺍﺳﺖ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﺍﮔﺮ ﻣﻬﺎﺟﻢ ﺑﺘﻮﺍﻧﺪ ﺑﺎ ﺳﻄﺢ ﭘﺎﺋﻴﻨﻲ ﺍﺯ ﺍﻣﺘﻴﺎﺯﺍﺕ ﺑﻪ ﻳﻚ ﻓﺎﻳﻞ ﺭﻣﺰ ﺷﺪﺓ ﻛﻠﻤﺎﺕ‬
‫ﻋﺒﻮﺭ ﺩﺳﺖ ﻳﺎﺑﺪ‪ ،‬ﺍﺳﺘﺮﺍﺗﮋﻱ ﺍﻭ ﺍﻳﻦ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ ﻓﺎﻳﻞ ﺭﺍ ﮔﺮﻓﺘﻪ ﻭ ﺩﺭ ﻓﺮﺻﺖ ﻛﺎﻓﻲ ﺑﻪ ﻛﺸﻒ ﺭﻣﺰ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺑﭙﺮﺩﺍﺯﺩ ﺗﺎ ﻛﻠﻤﺔ‬
‫ﻋﺒﻮﺭﻱ ﺑﺎ ﺍﻣﺘﻴﺎﺯﺍﺕ ﺑﻴﺸﺘﺮ ﺩﺳﺖﻳﺎﺑﻲ ﺭﺍ ﻛﺸﻒ ﻛﻨﺪ‪.‬‬
‫ﺣﻤﻼﺕ ﺣﺪﺳﻲ ﺩﺭ ﺟﺎﺋﻲ ﻣﻤﻜﻦ ﻭ ﺣﺘﻲ ﺧﻴﻠﻲ ﻣﺆﺛﺮ ﺧﻮﺍﻫﺪ ﺑﻮﺩﻛﻪ ﺑﺘﻮﺍﻥ ﺣﺪﺱﻫﺎﻱ ﺯﻳﺎﺩﻱ ﺭﺍ ﺑﺼﻮﺭﺕ ﺍﺗﻮﻣﺎﺗﻴﻚ ﺑﻪ ﻣﺮﺣﻠﺔ‬
‫ﺍﺟﺮﺍ ﮔﺬﺍﺷﺖ ﻭ ﻫﺮ ﺣﺪﺱ ﺭﺍ ﺍﻣﺘﺤﺎﻥ ﻛﺮﺩ ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ ﻋﻤﻠﻴﺎﺕ ﺣﺪﺱ ﺯﺩﻥ ﺑﺘﻮﺳﻂ ﻣﺴﺌﻮﻟﻴﻦ ﺷﺒﻜﻪ ﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ ﺑﺎﺷﺪ‪ .‬ﺩﺭ‬
‫ﺑﺨﺶﻫﺎﻱ ﺑﻌﺪﻱ ﺍﻳﻦ ﻓﺼﻞ ﺩﺭ ﻣﻮﺭﺩ ﺧﻨﺜﻲﺳﺎﺯﻱ ﺣﻤﻼﺕ ﺣﺪﺳﻲ ﺻﺤﺒﺖ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ‪.‬‬
‫ﺭﻭﺵ ﻫﻔﺘﻢ ﺩﺭ ﻟﻴﺴﺖ ﺑﺎﻻ‪ ،‬ﻳﻌﻨﻲ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﺳﺐ ﺗﺮﻭﺍ‪ ،‬ﻛﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺁﻥ ﺑﺴﻴﺎﺭ ﻣﺸﻜﻞ ﺍﺳﺖ‪ .‬ﻣﺜﺎﻟﻲ ﺍﺯ ﻳﻚ‬
‫ﺑﺮﻧﺎﻣﻪ ﻛﻪ ﻣﺮﺣﻠﺔ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺭﺍ ﺩﻭﺭ ﻣﻲﺯﻧﺪ ﺩﺭ ]‪ [ALVA90‬ﺫﻛﺮ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﺜﺎﻝ‪ ،‬ﻳﻚ ﻛﺎﺭﺑﺮ ﺩﺍﺭﺍﻱ ﺳﻄﺢ ﭘﺎﺋﻴﻦ‬
‫ﺩﺳﺖﻳﺎﺑﻲ ﻳﻚ ﺑﺎﺯﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﺗﻬﻴﻪ ﻛﺮﺩﻩ ﻭ ﺍﭘﺮﺍﺗﻮﺭ ﺳﻴﺴﺘﻢ ﺭﺍ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺁﻥ ﺩﺭ ﺍﻭﻗﺎﺕ ﻓﺮﺍﻏﺖ ﻭﺳﻮﺳﻪ ﻧﻤﻮﺩ‪ .‬ﺑﺮﻧﺎﻣﻪ ﻇﺎﻫﺮﺍﹰ‬
‫ﻳﻚ ﺑﺎﺯﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﺑﻮﺩ ﻭﻟﻲ ﺩﺭ ﺧﻔﺎ ﺷﺎﻣﻞ ﻛﹸﺪﻱ ﺑﻮﺩ ﻛﻪ ﻓﺎﻳﻞ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻛﻪ ﺭﻣﺰﺷﺪﻩ ﻧﺒﻮﺩﻩ ﻭﻟﻲ ﺍﺯ ﻧﻈﺮ ﺩﺳﺖﻳﺎﺑﻲ ﺣﻔﺎﻇﺖ‬
‫ﺷﺪﻩ ﺑﻮﺩ ﺭﺍ ﺑﻪ ﺩﺍﺧﻞ ﻓﺎﻳﻞ ﻛﺎﺭﺑﺮ ﻛﭙﻲ ﻣﻲﻧﻤﻮﺩ‪ .‬ﭼﻮﻥ ﺑﺎﺯﻱ ﺩﺭ ﺳﻄﺢ ﺑﺎﻻﻱ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﭘﺮﺍﺗﻮﺭ ﺍﺟﺮﺍ ﻣﻲﮔﺮﺩﻳﺪ‪ ،‬ﻗﺎﺩﺭ ﺑﻮﺩ ﺗﺎ‬
‫ﺑﻪ ﻓﺎﻳﻞ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺩﺳﺖ ﻳﺎﺑﺪ‪.‬‬
‫ﺣﻤﻠﺔ ﻫﺸﺘﻢ ﺫﻛﺮﺷﺪﻩ ﺩﺭ ﻟﻴﺴﺖ ﺑﺎﻻ‪ ،‬ﻳﻌﻨﻲ ﺷﻨﻮﺩ ﺧﻂ‪ ،‬ﺩﺭ ﻣﻘﻮﻟﺔ ﺣﻔﺎﻇﺖ ﻓﻴﺰﻳﻜﻲ ﺍﺳﺖ‪ .‬ﺑﺎ ﺍﻳﻦ ﺣﻤﻠﻪ ﻣﻲﺗﻮﺍﻥ ﺍﺯ ﻃﺮﻳﻖ‬
‫ﺗﻜﻨﻴﻚﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﻮﻧﺪ‪ ،‬ﻛﻪ ﺩﺭ ﺑﺨﺶ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻪ ﺁﻥ ﺍﺷﺎﺭﻩ ﺷﺪ‪ ،‬ﻣﻘﺎﺑﻠﻪ ﻛﺮﺩ‪.‬‬
‫ﺳﺎﻳﺮ ﺗﻜﻨﻴﻚﻫﺎﻱ ﺗﻬﺎﺟﻢ ﻧﻴﺎﺯﻱ ﺑﻪ ﻓﺮﺍﮔﻴﺮﻱ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻧﺪﺍﺭﻧﺪ‪ .‬ﻣﻬﺎﺟﻤﻴﻦ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺎ ﺳﻮﺀ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺣﻤﻼﺗﻲ ﻧﻈﻴﺮ‬
‫ﺳﺮﺭﻳﺰﻛﺮﺩﻥ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ﺭﻭﻱ ﺑﺮﻧﺎﻣﻪﺍﻱ ﻛﻪ ﺑﺎ ﺍﻣﺘﻴﺎﺯﺍﺕ ﺧﺎﺻﻲ ﺩﺭ ﺣﺎﻝ ﺍﺟﺮﺍﺳﺖ‪ ،‬ﺑﻪ ﺳﻴﺴﺘﻢ ﺩﺳﺖ ﻳﺎﺑﻨﺪ‪ .‬ﺍﺭﺗﻘﺎﺀ ﺍﻣﺘﻴﺎﺯﺍﺕ ﻧﻴﺰ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺑﻬﻤﻴﻦ ﺭﻭﺵ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٣٨‬‬
‫ﺣﺎﻝ ﺑﻪ ﺑﺮﺭﺳﻲ ﺩﻭ ﺭﻭﺵ ﻣﻬﻢ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺍﻳﻦ ﺗﻬﺎﺟﻤﺎﺕ‪ ،‬ﻳﻌﻨﻲ ﺗﺸﺨﻴﺺ ﻭ ﺟﻠﻮﮔﻴﺮﻱ‪ ،‬ﻣﻲﭘﺮﺩﺍﺯﻳﻢ‪ .‬ﺗﺸﺨﻴﺺ‪ ،‬ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﮔﺎﻩ‬
‫ﺷﺪﻥ ﺍﺯ ﺣﻤﻠﻪ ﭼﻪ ﻗﺒﻞ ﻭ ﭼﻪ ﺑﻌﺪ ﺍﺯ ﺁﻥ ﺍﺳﺖ‪ .‬ﺟﻠﻮﮔﻴﺮﻱ‪ ،‬ﻳﻚ ﭼﺎﻟﺶ ﺍﻣﻨﻴﺘﻲ ﻭ ﻳﻚ ﺟﻨﮓ ﺩﺍﺋﻤﻲ ﺩﺭ ﻫﻤﺔ ﺯﻣﺎﻥﻫﺎﺳﺖ‪ .‬ﻣﺸﻜﻞ ﺍﺯ‬
‫ﺍﻳﻦ ﺣﻘﻴﻘﺖ ﺳﺮﭼﺸﻤﻪ ﻣﻲﮔﻴﺮﺩ ﻛﻪ ﻣﺪﺍﻓﻊ ﺑﺎﻳﺴﺘﻲ ﻫﻤﺔ ﺣﻤﻼﺕ ﻣﻤﻜﻦ ﺭﺍ ﺩﻓﻊ ﻛﻨﺪ‪ ،‬ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﻣﻬﺎﺟﻢ ﺁﺯﺍﺩ ﺍﺳﺖ ﺗﺎ ﺿﻌﻴﻒﺗﺮﻳﻦ‬
‫ﺣﻠﻘﻪ ﺩﺭ ﺯﻧﺠﻴﺮﺓ ﺩﻓﺎﻋﻲ ﺭﺍ ﭘﻴﺪﺍ ﻛﺮﺩﻩ ﻭ ﺍﺯ ﺁﻧﺠﺎ ﺣﻤﻠﻪ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ )‪(INTRUSION DETECTION‬‬ ‫‪۹-۲‬‬
‫ﺑﻬﺘﺮﻳﻦ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺗﻬﺎﺟﻢ‪ ،‬ﻧﺎﭼﺎﺭﺍﹰ ﺭﻭﺯﻱ ﺷﻜﺴﺖ ﺧﻮﺍﻫﻨﺪ ﺧﻮﺭﺩ‪ .‬ﺧﻂ ﺩﻓﺎﻋﻲ ﺩﻭﻡ ﺳﻴﺴﺘﻢ ﺩﺭ ﻣﻘﺎﺑﻞ ﺗﻬﺎﺟﻢ‪ ،‬ﺗﺸﺨﻴﺺ‬
‫ﺗﻬﺎﺟﻢ ﺍﺳﺖ ﻭ ﺍﻳﻦ ﻣﺴﺎﻟﻪ ﺩﺭ ﺳﺎﻝﻫﺎﻱ ﺍﺧﻴﺮ ﻣﺤﻮﺭ ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﺗﺤﻘﻴﻘﺎﺕ ﺑﻮﺩﻩ ﺍﺳﺖ‪ .‬ﻣﻼﺣﻈﺎﺕ ﻣﺘﻌﺪﺩﻱ ﻣﺤﺮﻙ ﺍﻳﻨﮕﻮﻧﻪ ﺑﺮﺭﺳﻲﻫﺎ‬
‫ﺑﻮﺩﻩﺍﻧﺪ ﻛﻪ ﺍﺯ ﺁﻥ ﺟﻤﻠﻪﺍﻧﺪ‪:‬‬
‫‪ -۱‬ﺍﮔﺮ ﺗﻬﺎﺟﻢ ﺑﺎﻧﺪﺍﺯﺓ ﻛﺎﻓﻲ ﺳﺮﻳﻊ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﺷﻮﺩ‪ ،‬ﻣﻬﺎﺟﻢ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺷﻨﺎﺳﺎﺋﻲ ﻭ ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﺻﺪﻣﻪﺍﻱ ﺑﻪ ﺳﻴﺴﺘﻢ‬
‫ﻭﺍﺭﺩ ﺷﺪﻩ ﻭ ﻳﺎ ﺩﺍﺩﻩﻫﺎﺋﻲ ﻣﻮﺭﺩ ﺗﻌﺮﺽ ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ ﺍﻭ ﺭﺍ ﺍﺯ ﺳﻴﺴﺘﻢ ﺑﻴﺮﻭﻥ ﺭﺍﻧﺪ‪ .‬ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺣﺘﻲ ﺍﮔﺮ ﺑﺎﻧﺪﺍﺯﻩ ﻛﺎﻓﻲ‬
‫ﺳﺮﻭﻗﺖ ﺍﻧﺠﺎﻡ ﻧﺸﻮﺩ ﺗﺎ ﺑﺘﻮﺍﻥ ﻣﻬﺎﺟﻢ ﺭﺍ ﻗﺒﻞ ﺍﺯ ﻫﺮﮔﻮﻧﻪ ﻋﻤﻠﻲ ﺍﺯ ﺳﻴﺴﺘﻢ ﺧﺎﺭﺝ ﻛﺮﺩ‪ ،‬ﺑﺎﺯﻫﻢ ﻫﺮ ﭼﻘﺪﺭ ﺯﻭﺩﺗﺮ ﺻﻮﺭﺕ‬
‫ﭘﺬﻳﺮﺩ ﻣﻴﺰﺍﻥ ﺻﺪﻣﺎﺕ ﻭﺍﺭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ ﻛﻤﺘﺮ ﺑﻮﺩﻩ ﻭ ﺑﺎﺯﻳﺎﺑﻲ ﺳﻴﺴﺘﻢ ﺳﺮﻳﻌﺘﺮ ﺍﻧﺠﺎﻡ ﺧﻮﺍﻫﺪ ﭘﺬﻳﺮﻓﺖ‪.‬‬
‫‪ -۲‬ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﻛﺎﺭﺁﻣﺪ‪ ،‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﻋﻨﻮﺍﻥ ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﺎﺯﺩﺍﺭﻧﺪﻩ ﻋﻤﻞ ﻛﺮﺩﻩ ﻭ ﺍﺯ ﻫﺠﻤﻪﻫﺎ ﺟﻠﻮﮔﻴﺮﻱ ﻛﻨﺪ‪.‬‬
‫‪ -۳‬ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺑﺎﻋﺚ ﻣﻲﺷﻮﺩ ﻛﻪ ﺑﺘﻮﺍﻥ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﺗﻜﻨﻴﻚﻫﺎﻱ ﺗﻬﺎﺟﻢ ﺭﺍ ﺟﻤﻊﺁﻭﺭﻱ ﻛﺮﺩ ﻛﻪ‬
‫ﺧﻮﺩ ﻣﻲﺗﻮﺍﻧﺪ ﺗﺴﻬﻴﻼﺕ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺗﻬﺎﺟﻢ ﺭﺍ ﺗﻮﺳﻌﻪ ﺑﺨﺸﺪ‪.‬‬
‫ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺑﺮ ﺍﻳﻦ ﻓﺮﺽ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺍﺳﺖ ﻛﻪ ﺭﻓﺘﺎﺭ ﻳﻚ ﻣﻬﺎﺟﻢ ﺑﺎ ﺭﻓﺘﺎﺭ ﻳﻚ ﻛﺎﺭﺑﺮ ﻗﺎﻧﻮﻧﻲ ﺑﻨﺤﻮﻱ ﻣﺘﻔﺎﻭﺕ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‬
‫ﻛﻪ ﻣﻲﺗﻮﺍﻥ ﺁﻥ ﺭﺍ ﺍﻧﺪﺍﺯﻩﮔﻴﺮﻱ ﻛﺮﺩ‪ .‬ﺍﻟﺒﺘﻪ ﻧﻤﻲﺗﻮﺍﻥ ﺍﻧﺘﻈﺎﺭ ﺩﺍﺷﺖ ﻛﻪ ﻳﻚ ﻭﺟﻪ ﺗﻤﺎﻳﺰ ﻛﺎﻣﻼﹰ ﻣﺸﺨﺺ ﻭ ﻣﺮﺯﺑﻨﺪﻱ ﺷﺪﻩ ﺑﻴﻦ ﺣﻤﻠﺔ‬
‫ﻳﻚ ﻣﻬﺎﺟﻢ ﻭ ﺍﺳﺘﻔﺎﺩﺓ ﻣﻌﻤﻮﻝ ﻳﻚ ﻛﺎﺭﺑﺮ ﻗﺎﻧﻮﻧﻲ ﺍﺯ ﻣﻨﺎﺑﻊ ﻣﺠﺎﺯ‪ ،‬ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺑﻠﻜﻪ ﺑﺎﻳﺪ ﺍﻧﺘﻈﺎﺭ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻴﻢ ﻛﻪ ﺑﺨﺸﻲ ﺍﺯ‬
‫ﻋﻤﻠﻴﺎﺕ ﺍﻳﻦ ﺩﻭ ﻳﻜﺴﺎﻥ ﻭ ﻏﻴﺮﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﺷﻜﻞ ‪ ۹-۱‬ﺑﻄﻮﺭ ﺧﻴﻠﻲ ﻛﻠﻲ ﻣﺎﻫﻴﺖ ﻭﻇﻴﻔﻪﺍﻱ ﻛﻪ ﺑﻌﻬﺪﺓ ﻳﻚ ﻃﺮﺍﺡ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺍﺳﺖ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺍﮔﺮﭼﻪ‬
‫ﺭﻓﺘﺎﺭ ﻧﻮﻋﻲ ﻳﻚ ﻣﻬﺎﺟﻢ ﺑﺎ ﺭﻓﺘﺎﺭ ﻣﻌﻤﻮﻝ ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻌﺘﺒﺮ ﻣﺘﻔﺎﻭﺕ ﺍﺳﺖ ﻭﻟﻲ ﺍﻳﻦ ﺭﻓﺘﺎﺭﻫﺎ ﻧﻘﺎﻁ ﻣﺸﺘﺮﻛﻲ ﻫﻢ ﺩﺍﺭﻧﺪ‪ .‬ﺑﻪ ﻫﻤﻴﻦ ﺩﻟﻴﻞ‬
‫ﻳﻚ ﺗﻌﺒﻴﺮ ﻧﺴﺒﺘﺎﹰ ﻭﺳﻴﻊ ﺍﺯ ﺭﻓﺘﺎﺭ ﺗﻬﺎﺟﻤﻲ ﻛﻪ ﺑﺎﻋﺚ ﺑﺪﺍﻡ ﺍﻧﺪﺍﺧﺘﻦ ﻣﻬﺎﺟﻤﻴﻦ ﺯﻳﺎﺩﺗﺮﻱ ﮔﺮﺩﺩ‪ ،‬ﺧﻮﺍﻩ ﻧﺎﺧﻮﺍﻩ ﻣﻨﺠﺮ ﺑﻪ ﻣﺘﻬﻢ ﻧﻤﻮﺩﻥ‬
‫ﻋﺪﻩﺍﻱ ﺍﺯ ﻛﺎﺭﺑﺮﺍﻥ ﻣﺠﺎﺯ‪ ،‬ﺑﻌﻨﻮﺍﻥ ﻣﻬﺎﺟﻢ ﻧﻴﺰ ﺧﻮﺍﻫﺪ ﮔﺮﺩﻳﺪ‪ .‬ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ ﻛﻮﺷﺶ ﺑﺮﺍﻱ ﻣﺒﺮﺍ ﻧﻤﻮﺩﻥ ﻫﻤﺔ ﻛﺎﺭﺑﺮﺍﻥ ﻣﺠﺎﺯ ﺍﺯ ﺍﻳﻨﻜﻪ‬
‫ﺑﻌﻨﻮﺍﻥ ﻣﻬﺎﺟﻢ ﺷﻨﺎﺧﺘﻪ ﺷﻮﻧﺪ‪ ،‬ﻧﻴﺎﺯ ﺑﻪ ﺗﻌﺎﺭﻳﻒ ﺳﻔﺖ ﻭ ﺳﺨﺘﻲ ﺍﺯ ﺭﻓﺘﺎﺭ ﺗﻬﺎﺟﻤﻲ ﺩﺍﺷﺘﻪ ﻛﻪ ﺩﺭ ﻧﺘﻴﺠﻪ ﺁﻥ ﺑﺮﺧﻲ ﻣﻬﺎﺟﻤﻴﻦ ﻧﻴﺰ ﺍﺯ‬
‫ﺷﻨﺎﺧﺘﻪ ﺷﺪﻥ ﻣﺼﻮﻥ ﺧﻮﺍﻫﻨﺪ ﻣﺎﻧﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻋﻤﻞ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﻳﻚ ﻣﺼﺎﻟﺤﺔ ﻫﻨﺮﻱ ﺑﻴﻦ ﺩﻭ ﻣﻘﻮﻟﺔ ﻓﻮﻕﺍﻟﺬﻛﺮ ﺍﺳﺖ‪.‬‬
‫ﺩﺭ ﺑﺮﺭﺳﻲ ﺁﻧﺪﺭﺳﻦ ]‪ ،[ANDE80‬ﭼﻨﻴﻦ ﻓﺮﺽ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﺍﻃﻤﻴﻨﺎﻥ ﻣﻌﻘﻮﻝ‪ ،‬ﺑﻴﻦ ﻳﻚ ﻣﻬﺎﺟﻢ ﻧﻘﺎﺏﺩﺍﺭ ﻭ‬
‫ﻳﻚ ﻛﺎﺭﺑﺮ ﻗﺎﻧﻮﻧﻲ ﺗﻔﺎﻭﺕ ﻗﺎﻳﻞ ﺷﺪ‪ .‬ﺭﻓﺘﺎﺭ ﻳﻚ ﻛﺎﺭﺑﺮ ﻗﺎﻧﻮﻧﻲ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﻣﺸﺎﻫﺪﺓ ﺗﺎﺭﻳﺨﭽﺔ ﺭﻓﺘﺎﺭﻱ ﺍﻭ ﺩﺭ ﮔﺬﺷﺘﻪ ﺟﻤﻊﺁﻭﺭﻱ ﻛﺮﺩ ﻭ‬
‫ﻫﺮ ﺗﻐﻴﻴﺮ ﻗﺎﺑﻞ ﻣﻼﺣﻈﻪ ﺩﺭ ﻧﺤﻮﺓ ﺭﻓﺘﺎﺭ ﺍﻭ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺗﺸﺨﻴﺺ ﺩﺍﺩ‪ .‬ﺁﻧﺪﺭﺳﻦ ﺑﻴﺎﻥ ﻣﻲﻛﻨﺪ ﻛﻪ ﻋﻤﻞ ﺗﺸﺨﻴﺺ ﻳﻚ ﺭﻓﺘﺎﺭ ﻣﺸﻜﻮﻙ‬
‫)ﻛﺎﺭﺑﺮ ﻗﺎﻧﻮﻧﻲ ﻛﻪ ﺭﻓﺘﺎﺭﻱ ﻏﻴﺮ ﻗﺎﻧﻮﻧﻲ ﺩﺍﺭﺩ(‪ ،‬ﺳﺨﺖﺗﺮ ﺍﺯ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺍﺳﺖ ﺯﻳﺮﺍ ﻓﺎﺻﻠﺔ ﺑﻴﻦ ﺭﻓﺘﺎﺭ ﻧﺮﻣﺎﻝ ﻭ ﺭﻓﺘﺎﺭ ﻏﻴﺮﻧﺮﻣﺎﻝ ﻳﻚ‬
‫ﻛﺎﺭﺑﺮ ﻗﺎﻧﻮﻧﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺴﻴﺎﺭ ﻛﻢ ﺑﺎﺷﺪ‪ .‬ﺁﻧﺪﺭﺳﻦ ﻧﺘﻴﺠﻪ ﮔﺮﻓﺖ ﻛﻪ ﺍﻳﻦ ﻧﻮﻉ ﺗﺨﻄﹼﻲ ﺻﺮﻓﺎﹰ ﺍﺯ ﻃﺮﻳﻖ ﺟﺴﺘﺠﻮﻱ ﺭﻓﺘﺎﺭﻫﺎﻱ ﻧﺎﻣﻌﻘﻮﻝ‪،‬‬
‫‪٣٣٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﻏﻴﺮ ﻗﺎﺑﻞ ﺗﺸﺨﻴﺺ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ‪ ،‬ﺭﻓﺘﺎﺭﻫﺎﻱ ﻣﺸﻜﻮﻙ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﺗﻌﺮﻳﻒ ﻫﻮﺷﻤﻨﺪﺍﻧﺔ ﺩﺳﺘﻪﺍﻱ ﺍﺯ ﻋﻤﻠﻴﺎﺕ ﻛﻪ ﺍﺳﺘﻔﺎﺩﺓ‬
‫ﻏﻴﺮﻣﻌﺘﺒﺮ ﺍﺯ ﺳﻴﺴﺘﻢ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﻛﻨﻨﺪ ﺗﺸﺨﻴﺺ ﺩﺍﺩ‪ .‬ﺑﺎﻻﺧﺮﻩ‪ ،‬ﺗﺸﺨﻴﺺ ﻛﺎﺭﺑﺮ ﺧﻔﻴﻪ ﻛﺎﺭﻱ ﻓﺮﺍﺗﺮ ﺍﺯ ﺣﻮﺯﺓ ﺭﻭﺵﻫﺎﻱ ﺻﺮﻓﺎﹰ‬
‫ﺍﺗﻮﻣﺎﺗﻴﻚ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﺸﺎﻫﺪﺍﺕ ﻛﻪ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۸۰‬ﻣﻴﻼﺩﻱ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﺑﻮﺩﻧﺪ‪ ،‬ﺍﻣﺮﻭﺯ ﻧﻴﺰ ﻫﻤﭽﻨﺎﻥ ﻣﻌﺘﺒﺮﻧﺪ‪.‬‬
‫]‪ [PORR92‬ﺭﻭﺵﻫﺎﻱ ﺯﻳﺮ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪:‬‬
‫‪ -۱‬ﺗﺸﺨﻴﺺ ﺁﻣﺎﺭﻱ ﻧﺎﻫﻨﺠﺎﺭﻱ‪ :‬ﺷﺎﻣﻞ ﺟﻤﻊﺁﻭﺭﻱ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ ﻗﺎﻧﻮﻧﻲ ﺩﺭ ﻃﻮﻝ ﺯﻣﺎﻥ ﺍﺳﺖ‪.‬ﺁﻧﮕﺎﻩ ﺗﺴﺖﻫﺎﻱ‬
‫ﺁﻣﺎﺭﻱ ﺑﻪ ﺭﻓﺘﺎﺭ ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﺸﻜﻮﻙ ﺍﻋﻤﺎﻝ ﺷﺪﻩ ﺗﺎ ﺑﺎ ﺍﻃﻤﻴﻨﺎﻥ ﻧﺴﺒﺘﺎﹰ ﺑﺎﻻ ﺗﻌﻴﻴﻦ ﺷﻮﺩ ﻛﻪ ﺍﻳﻦ ﺭﻓﺘﺎﺭ‪ ،‬ﺭﻓﺘﺎﺭ ﻳﻚ ﻛﺎﺭﺑﺮ‬
‫ﻗﺎﻧﻮﻧﻲ ﻧﻴﺴﺖ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﺗﺸﺨﻴﺺ ﺁﺳﺘﺎﻧﻪﺍﻱ‪ :‬ﺍﻳﻦ ﺭﻭﺵ ﺷﺎﻣﻞ ﺗﻌﺮﻳﻒ ﺁﺳﺘﺎﻧﻪﻫﺎﺋﻲ‪ ،‬ﻣﺴﺘﻘﻞ ﺍﺯ ﻛﺎﺭﺑﺮ‪ ،‬ﺑﺮﺍﻱ ﺗﻮﺍﺗﺮ ﻭﻗﻮﻉ ﺍﺗﻔﺎﻗﺎﺕ ﻣﺨﺘﻠﻒ‬
‫ﺍﺳﺖ‪.‬‬
‫ﺏ‪ -‬ﺗﺸﺨﻴﺺ ﻣﺒﺘﻨﻲ ﺑﺮ ﭘﺮﻭﻓﺎﻳﻞ‪ :‬ﻳﻚ ﭘﺮﻭﻓﺎﻳﻞ ﺍﺯ ﻓﻌﺎﻟﻴﺖ ﻫﺮﻛﺎﺭﺑﺮ ﺗﻬﻴﻪ ﺷﺪﻩ ﻭ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﺗﻐﻴﻴﺮﺍﺕ ﺭﻓﺘﺎﺭﻱ ﻫﺮ‬
‫ﻣﺸﺘﺮﻙ ﻣﺠﺎﺯ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫‪ -۲‬ﺗﺸﺨﻴﺺ ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﻩ‪ :‬ﺷﺎﻣﻞ ﺗﻼﺵ ﺑﺮﺍﻱ ﺗﻌﺮﻳﻒ ﻳﻚ ﺳﺮﻱ ﻗﻮﺍﻋﺪ ﺍﺳﺖ ﻛﻪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺁﻥ ﻗﻮﺍﻋﺪ ﺑﺘﻮﺍﻥ ﺗﺼﻤﻴﻢ‬
‫ﮔﺮﻓﺖ ﻛﻪ ﺭﻓﺘﺎﺭ ﻣﺸﺎﻫﺪﻩ ﺷﺪﻩ‪ ،‬ﻣﺮﺑﻮﻁ ﺑﻪ ﻳﻚ ﻣﻬﺎﺟﻢ ﺍﺳﺖ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﺗﺸﺨﻴﺺ ﻣﻮﺍﺭﺩ ﺧﻼﻑ ﻗﺎﻋﺪﻩ‪ :‬ﻗﻮﺍﻋﺪﻱ ﺗﻬﻴﻪ ﻣﻲﺷﻮﺩ ﻛﻪ ﺍﻧﺤﺮﺍﻑ ﺍﺯ ﺭﻓﺘﺎﺭﻫﺎﻱ ﻧﺮﻣﺎﻝ ﺭﺍ ﺗﺸﺨﻴﺺ ﺩﻫﺪ‪.‬‬
‫ﺏ‪ -‬ﺗﺸﺨﻴﺺ ﻧﻔﻮﺫ‪ :‬ﻳﻚ ﺳﻴﺴﺘﻢ ﺧﺒﺮﻩ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﺩﻧﺒﺎﻝ ﺭﻓﺘﺎﺭﻫﺎﻱ ﻣﺸﻜﻮﻙ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﺗﺎﺑﻊ‬
‫ﭼﮕﺎﻟﻲ ﺍﺣﺘﻤﺎﻝ‬ ‫ﭘﺮﻭﻓﺎﻳﻞ ﺭﻓﺘﺎﺭﻱ‬ ‫ﭘﺮﻭﻓﺎﻳﻞ ﺭﻓﺘﺎﺭﻱ‬
‫ﻣﻬﺎﺟﻢ‬ ‫ﻛﺎﺭﺑﺮ ﻣﻌﺘﺒﺮ‬
‫ﻫﻢﭘﻮﺷﺎﻧﻲ ﺩﺭ ﺭﻓﺘﺎﺭ ﻣﻼﺣﻈﻪ‬

‫ﺷﺪﻩ ﻳﺎ ﺭﻓﺘﺎﺭ ﻣﻮﺭﺩ ﺍﻧﺘﻈﺎﺭ‬
‫ﺭﻓﺘﺎﺭﻣﺘﻮﺳﻂ‬ ‫ﺭﻓﺘﺎﺭ ﻣﺘﻮﺳﻂ‬ ‫ﭘﺎﺭﺍﻣﺘﺮ ﻗﺎﺑﻞ ﺍﻧﺪﺍﺯﻩﮔﻴﺮﻱ‬

‫ﻣﻬﺎﺟﻢ‬ ‫ﻛﺎﺭﺑﺮ ﻣﻌﺘﺒﺮ‬ ‫ﺭﻓﺘﺎﺭ‬
‫ﭘﺮﻭﻓﺎﻳﻞ ﺭﻓﺘﺎﺭﻱ ﻣﻬﺎﺟﻤﻴﻦ ﻭ ﻛﺎﺭﺑﺮﺍﻥ ﻣﻌﺘﺒﺮ‬ ‫ﺷﻜﻞ ‪۹-۱‬‬

‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٤٠‬‬
‫ﺩﺭ ﻳﻚ ﺟﻤﻠﻪ‪ ،‬ﺭﻭﺵﻫﺎﻱ ﺁﻣﺎﺭﻱ ﺑﻪ ﺩﻧﺒﺎﻝ ﺗﻌﺮﻳﻒ ﺭﻓﺘﺎﺭﻫﺎﻱ ﻫﻨﺠﺎﺭ ﻭ ﻳﺎ ﻗﺎﺑﻞ ﺍﻧﺘﻈﺎﺭ ﻫﺴﺘﻨﺪ ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﺭﻭﺵﻫﺎﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﻩ‪،‬‬
‫ﻛﻮﺷﺶ ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﺭﻓﺘﺎﺭﻫﺎﻱ ﻣﻨﻈﻢ ﺭﺍ ﺗﻌﺮﻳﻒ ﻛﻨﻨﺪ‪.‬‬
‫ﺑﺮ ﺍﺳﺎﺱ ﺗﻌﺎﺭﻳﻔﻲ ﻛﻪ ﻗﺒﻼﹰ ﺑﺮﺍﻱ ﺍﻧﻮﺍﻉ ﻣﻬﺎﺟﻤﻴﻦ ﺩﺍﺩﻩ ﺷﺪ‪ ،‬ﺗﺸﺨﻴﺺ ﺁﻣﺎﺭﻱ ﻧﺎﻫﻨﺠﺎﺭﻱ ﺩﺭ ﻣﻮﺭﺩ ﻣﻬﺎﺟﻤﻴﻦ ﻧﻘﺎﺏﺩﺍﺭ‪ ،‬ﻛﻪ ﺑﻪ‬
‫ﺍﺣﺘﻤﺎﻝ ﻛﻢ ﺍﻟﮕﻮﻱ ﺭﻓﺘﺎﺭﻱ ﻛﺎﺭﺑﺮﺍﻥ ﻣﺠﺎﺯ ﺭﺍ ﺗﻘﻠﻴﺪ ﻣﻲﻛﻨﻨﺪ‪ ،‬ﻣﺆﺛﺮ ﺍﺳﺖ‪ .‬ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ‪ ،‬ﺍﻳﻦ ﺗﻜﻨﻴﻚﻫﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﻣﻘﺎﺑﻠﻪ ﺑﺎ‬
‫ﺭﻓﺘﺎﺭﻫﺎﻱ ﻏﻴﺮﻣﺠﺎﺯ ﻣﺆﺛﺮ ﻧﺒﺎﺷﻨﺪ‪ .‬ﺑﺮﺍﻱ ﭼﻨﻴﻦ ﺣﻤﻼﺗﻲ‪ ،‬ﺭﻭﺵﻫﺎﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﻩ ﻣﻤﻜﻦ ﺍﺳﺖ ﻗﺎﺩﺭ ﺑﻪ ﺷﻨﺎﺳﺎﺋﻲ ﻭﻗﺎﻳﻊ ﻭ ﺗﻮﺍﺗﺮ ﻭﻗﻮﻉ‬
‫ﺁﻧﻬﺎ ﺑﻮﺩﻩ ﻭ ﻧﻔﻮﺫ ﺑﻴﮕﺎﻧﻪ ﺭﺍ ﻣﺸﺨﺺ ﺳﺎﺯﻧﺪ‪ .‬ﺩﺭ ﻋﻤﻞ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﺮﻛﻴﺒﻲ ﺍﺯ ﻫﺮ ﺩﻭ ﺭﻭﺵ ﺭﺍ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺗﺎ ﺑﺘﻮﺍﻧﺪ ﺩﺭ‬
‫ﻣﻘﺎﺑﻞ ﻣﺤﺪﻭﺩﺓ ﻭﺳﻴﻌﻲ ﺍﺯ ﺣﻤﻼﺕ ﺍﻳﺴﺘﺎﺩﮔﻲ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ )‪(Audit Records‬‬
‫ﻳﻜﻲ ﺍﺯ ﺍﺑﺰﺍﺭﻫﺎﻱ ﺍﺻﻠﻲ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ‪ ،‬ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﺍﺳﺖ‪ .‬ﺑﻌﻀﻲ ﺍﺯ ﺳﻮﺍﺑﻖ ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﺟﺎﺭﻱ ﻛﺎﺭﺑﺮﺍﻥ ﺑﺎﻳﺴﺘﻲ ﺑﻌﻨﻮﺍﻥ‬
‫ﻭﺭﻭﺩﻱ ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﻧﮕﻬﺪﺍﺭﻱ ﺷﻮﻧﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﺍﺯ ﺩﻭ ﻃﺮﺡ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪:‬‬
‫ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﺑﻮﻣﻲ‪ :‬ﺗﻘﺮﻳﺒﺎﹰ ﺗﻤﺎﻡ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎﻱ ﭼﻨﺪﻛﺎﺭﺑﺮﻩ‪ ،‬ﺩﺍﺭﺍﻱ ﻧﺮﻡﺍﻓﺰﺍﺭ ﻣﺤﺎﺳﺒﻲ ﻣﻲﺑﺎﺷﻨﺪ ﻛﻪ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ‬ ‫•‬
‫ﺑﻪ ﻓﻌﺎﻟﻴﺖ ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ ﺟﻤﻊﺁﻭﺭﻱ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﻣﺰﻳﺖ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻫﻴﭻ ﻧﺮﻡﺍﻓﺰﺍﺭ ﺟﻤﻊﺁﻭﺭﻱ‬
‫ﺩﻳﮕﺮﻱ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻧﻴﺴﺖ‪ .‬ﻋﻴﺐ ﺁﻥ ﻧﻴﺰ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺳﻮﺍﺑﻖ ﺑﻮﻣﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﻃﻼﻋﺎﺕ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺭﺍ ﻧﺪﺍﺷﺘﻪ ﻭ ﻳﺎ ﺁﻥ‬
‫ﺭﺍ ﺑﻪ ﻓﺮﻡ ﻣﻄﻠﻮﺏ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﻣﺨﺼﻮﺹ ﺗﺸﺨﻴﺺ‪ :‬ﻣﻲﺗﻮﺍﻥ ﻳﻚ ﺗﺴﻬﻴﻼﺕ ﺟﻤﻊﺁﻭﺭﻱ ﺍﻃﻼﻋﺎﺕ ﺭﺍ ﻃﻮﺭﻱ ﺑﺮﭘﺎ ﻧﻤﻮﺩ ﻛﻪ ﺗﻨﻬﺎ ﺳﻮﺍﺑﻖ‬ ‫•‬
‫ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺭﺍ ﺟﻤﻊﺁﻭﺭﻱ ﻧﻤﺎﻳﺪ‪ .‬ﻳﻜﻲ ﺍﺯ ﻣﺰﺍﻳﺎﻱ ﭼﻨﻴﻦ ﺭﻭﺷﻲ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻣﻲﺗﻮﺍﻥ ﺁﻥ ﺭﺍ‬
‫ﻣﺴﺘﻘﻞ ﺍﺯ ﺳﻴﺴﺘﻢ ﺗﻌﺮﻳﻒ ﻛﺮﺩ ﻭ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺍﻋﻤﺎﻝ ﻧﻤﻮﺩ‪ .‬ﻋﻴﺐ ﺁﻥ ﻣﻴﺰﺍﻥ ﺳﺮﺑﺎﺭﺓ ﺍﺿﺎﻓﻲ‪ ،‬ﻧﺎﺷﻲ ﺍﺯ ﺩﺍﺷﺘﻦ‬
‫ﺩﻭ ﺑﺴﺘﺔ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻣﺤﺎﺳﺒﺎﺗﻲ ﺭﻭﻱ ﻳﻚ ﻣﺎﺷﻴﻦ‪ ،‬ﺍﺳﺖ‪.‬‬
‫ﻣﺜﺎﻝ ﺧﻮﺑﻲ ﺍﺯ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﻣﺨﺼﻮﺹ ﺗﺸﺨﻴﺺ‪ ،‬ﺁﻥ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ [DENN87] Dorothy Denning‬ﺧﻠﻖ‬
‫ﮔﺮﺩﻳﺪ‪ .‬ﻫﺮ ﺳﺎﺑﻘﺔ ﻣﻤﻴﺰﻱ ﺷﺎﻣﻞ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﻋﺎﻣﻞ‪ :‬ﺷﺮﻭﻉﻛﻨﻨﺪﮔﺎﻥ ﻋﻤﻠﻴﺎﺕ‪ .‬ﻳﻚ ﻋﺎﻣﻞ ﻧﻮﻋﺎﹰ ﻛﺎﺭﺑﺮﻱ ﺩﺭ ﻳﻚ ﺗﺮﻣﻴﻨﺎﻝ ﺍﺳﺖ‪ ،‬ﻭﻟﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﭘﺮﺩﺍﺯﺷﻲ ﺑﺎﺷﺪ ﻛﻪ‬ ‫•‬
‫ﺑﺠﺎﻱ ﻳﻚ ﻛﺎﺭﺑﺮ ﻭ ﻳﺎ ﮔﺮﻭﻫﻲ ﺍﺯ ﻛﺎﺭﺑﺮﺍﻥ ﻋﻤﻞ ﻛﻨﺪ‪ .‬ﺗﻤﺎﻡ ﻓﻌﺎﻟﻴﺖﻫﺎ ﺍﺯ ﻃﺮﻳﻖ ﻓﺮﻣﺎﻥﻫﺎﺋﻲ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ ﻛﻪ ﺍﺯ ﺳﻮﻱ‬
‫ﻋﺎﻣﻞ ﺻﺎﺩﺭ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻋﺎﻣﻞﻫﺎ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺩﺭ ﮔﺮﻭﻩﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺑﺎ ﺍﻣﺘﻴﺎﺯﺍﺕ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺘﻔﺎﻭﺕ ﻃﺒﻘﻪﺑﻨﺪﻱ ﺷﺪﻩ ﻭ ﺍﻳﻦ‬
‫ﻃﺒﻘﺎﺕ ﻣﻤﻜﻦ ﺍﺳﺖ ﻫﻢﭘﻮﺷﺎﻧﻲ ﻫﻢ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﻋﻤﻞ‪ :‬ﻋﻤﻠﻴﺎﺗﻲ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻋﺎﻣﻞ ﺭﻭﻱ ﻣﻮﺿﻮﻉ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ .‬ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﺍﻳﻦ ﺩﺳﺖ‪ ،‬ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ‪ ،‬ﺧﻮﺍﻧﺪﻥ‪،‬‬ ‫•‬
‫ﻋﻤﻠﻴﺎﺕ ‪ I /O‬ﻭ ﻏﻴﺮﻩ ﺍﺳﺖ‪.‬‬
‫ﻣﻮﺿﻮﻉ‪ :‬ﭼﻴﺰﻫﺎﺋﻲ ﻛﻪ ﻋﻤﻞ ﺭﻭﻱ ﺁﻧﻬﺎ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﻣﺜﺎﻝﻫﺎﻱ ﺍﻳﻦ ﻣﻮﺭﺩ ﻣﺎﻧﻨﺪ ﻓﺎﻳﻞﻫﺎ‪ ،‬ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﭘﻴﺎﻡﻫﺎ‪ ،‬ﺭﻛﻮﺭﺩﻫﺎ‪،‬‬ ‫•‬
‫ﺗﺮﻣﻴﻨﺎﻝﻫﺎ‪ ،‬ﭼﺎﭘﮕﺮﻫﺎ ﻭ ﻳﺎ ﺳﺎﺧﺘﺎﺭﻫﺎﻱ ﺍﻳﺠﺎﺩ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮ ﻳﺎ ﺑﺮﻧﺎﻣﻪ ﺍﺳﺖ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﻋﺎﻣﻞ ﺩﺭ ﻣﻌﺮﺽ ﺩﺭﻳﺎﻓﺖ‬
‫ﻋﻤﻠﻲ‪ ،‬ﻣﺎﻧﻨﺪ ﺩﺭﻳﺎﻓﺖ ‪ ،e-mail‬ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﺁﻧﮕﺎﻩ ﻫﻤﺎﻥ ﻋﺎﻣﻞ ﻣﺒﺪﻝ ﺑﻪ ﻳﻚ ﻣﻮﺿﻮﻉ ﻣﻲﮔﺮﺩﺩ‪ .‬ﻣﻮﺿﻮﻉﻫﺎ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺮ‬
‫ﺣﺴﺐ ﻧﻮﻋﺸﺎﻥ ﺩﺳﺘﻪﺑﻨﺪﻱ ﺷﻮﻧﺪ‪ .‬ﺩﺳﺘﻪﺑﻨﺪﻱ ﻣﻮﺿﻮﻋﺎﺕ ﻣﻤﻜﻦ ﺍﺳﺖ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﺷﻜﻞ ﻭ ﻳﺎ ﻣﺤﻴﻂ ﺑﺎﺷﺪ‪ .‬ﻣﺜﻼﹰ ﻋﻤﻠﻴﺎﺕ‬
‫ﺭﻭﻱ ﻳﻚ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﺳﺎﺱ ﺗﺄﺛﻴﺮ ﺭﻭﻱ ﻛﻞ ﭘﺎﻳﮕﺎﻩ ﻭ ﻳﺎ ﺍﺯ ﺩﻳﺪ ﻳﻚ ﻓﺎﻳﻞ ﺁﻥ ﭘﺎﻳﮕﺎﻩ ﻣﻤﻴﺰﻱ ﮔﺮﺩﺩ‪.‬‬
‫‪٣٤١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﺷﺮﺍﻳﻂ ﺍﺳﺘﺜﻨﺎﺋﻲ‪ :‬ﺩﺭ ﺻﻮﺭﺕ ﻭﺟﻮﺩ ﺍﺳﺘﺜﻨﺎﺀ‪ ،‬ﺁﻥ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﺳﺎﺯﺩ‪.‬‬ ‫•‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣﻨﺎﺑﻊ‪ :‬ﻳﻚ ﻟﻴﺴﺖ ﻛﻤّﻲ ﺍﺳﺖ ﻛﻪ ﻣﺸﺨﺺ ﻣﻲﻛﻨﺪ ﻫﺮ ﻋﻨﺼﺮ ﺑﻪ ﭼﻪ ﻣﻴﺰﺍﻥ ﺍﺯ ﻣﻨﺎﺑﻊ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺍﺳﺖ‬ ‫•‬
‫)ﻣﺜﻼﹰ ﺗﻌﺪﺍﺩ ﺧﻄﻮﻃﻲ ﻛﻪ ﭼﺎﭖ ﺷﺪﻩ ﻭ ﻳﺎ ﻧﻤﺎﻳﺶ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺗﻌﺪﺍﺩ ﺭﻛﻮﺭﺩﻫﺎﺋﻲ ﻛﻪ ﺧﻮﺍﻧﺪﻩ ﻭ ﻳﺎ ﻧﻮﺷﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪،‬‬
‫ﺯﻣﺎﻥ ﭘﺮﺩﺍﺯﺵ‪ ،‬ﻭﺍﺣﺪﻫﺎﻱ ‪ I /O‬ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ‪ ،‬ﺯﻣﺎﻥ ﻳﻚ ﺍﺟﻼﺱ(‪.‬‬
‫ﺯﻣﺎﻥﺳﻨﺞ‪ :‬ﻳﻚ ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ ﻳﻜﺘﺎ ﻛﻪ ﺗﺎﺭﻳﺦ ﻭ ﺯﻣﺎﻥ ﻭﻗﻮﻉ ﻋﻤﻞ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬ ‫•‬
‫ﺍﻛﺜﺮ ﻋﻤﻠﻴﺎﺕ ﻳﻚ ﻛﺎﺭﺑﺮ ﺍﺯ ﺗﻌﺪﺍﺩﻱ ﻋﻤﻞ ﺍﺑﺘﺪﺍﺋﻲ ﺗﺸﻜﻴﻞ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ‪ ،‬ﻛﭙﻲ ﻛﺮﺩﻥ ﻳﻚ ﻓﺎﻳﻞ ﺷﺎﻣﻞ ﺍﻧﺠﺎﻡ ﻓﺮﻣﺎﻥ‬
‫ﻛﭙﻲ ﻛﺎﺭﺑﺮ ﺍﺳﺖ ﻛﻪ ﺧﻮﺩ ﺷﺎﻣﻞ ﺍﻋﻤﺎﻟﻲ ﻣﺎﻧﻨﺪ ﻛﻨﺘﺮﻝ ﺍﻋﺘﺒﺎﺭ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻓﺎﻳﻞ‪ ،‬ﺗﻨﻈﻴﻢ ﻛﭙﻲ‪ ،‬ﺧﻮﺍﻧﺪﻥ ﺍﺯ ﻳﻚ ﻓﺎﻳﻞ ﻭ ﻧﻮﺷﺘﻦ ﻓﺎﻳﻞ ﺩﺭ‬
‫ﺟﺎﻱ ﺩﻳﮕﺮ ﺍﺳﺖ‪ .‬ﻓﺮﻣﺎﻥ ﺯﻳﺮ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‬
‫‪COPY GAME.EXE TO <Library>GAME.EXE‬‬
‫ﻛﻪ ﺑﺘﻮﺳﻂ ﺁﻗﺎﻱ ‪ Smith‬ﺑﺮﺍﻱ ﻛﭙﻲ ﻛﺮﺩﻥ ﻳﻚ ﻓﺎﻳﻞ ﺍﺟﺮﺍﺋﻲ ‪ GAME‬ﺍﺯ ﻓﻬﺮﺳﺖ ﺟﺎﺭﻱ ﺑﻪ ﻓﻬﺮﺳﺖ ﺩﻳﮕﺮﻱ ﺑﻨﺎﻡ >‪<Library‬‬
‫ﺻﺎﺩﺭ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﺯﻳﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﻮﻟﻴﺪ ﺷﻮﻧﺪ‪:‬‬
‫‪Smith‬‬ ‫‪execute‬‬ ‫‪<Library>COPY.EXE‬‬ ‫‪0‬‬ ‫‪CPU = 00002‬‬ ‫‪11058721678‬‬
‫‪Smith‬‬ ‫‪read‬‬ ‫‪<Smith>GAME.EXE‬‬ ‫‪0‬‬ ‫‪RECORDS = 0‬‬ ‫‪11058721679‬‬
‫‪Smith‬‬ ‫‪execute‬‬ ‫‪<Library>COPY.EXE‬‬ ‫‪write-viol‬‬ ‫‪RECORDS = 0‬‬ ‫‪11058721680‬‬
‫ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ‪ ،‬ﻋﻤﻞ ﻛﭙﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﺎﺩﻳﺪﻩ ﮔﺮﻓﺘﻪ ﺷﻮﺩ )‪ ،(abort‬ﺯﻳﺮﺍ ‪ Smith‬ﺍﺟﺎﺯﻩ ﻧﻮﺷﺘﻦ ﻓﺎﻳﻠﻲ ﺩﺭ ﻓﻬﺮﺳﺖ >‪ <Library‬ﺭﺍ‬
‫ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﺗﺠﺰﻳﻪ ﻋﻤﻞ ﻛﺎﺭﺑﺮ ﺑﻪ ﻋﻤﻠﻴﺎﺕ ﺍﺑﺘﺪﺍﺋﻲﺗﺮ ﺩﺍﺭﺍﻱ ﺳﻪ ﻣﺰﻳﺖ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﭼﻮﻥ ﻣﻮﺿﻮﻋﺎﺕ‪ ،‬ﻭﺍﺣﺪﻫﺎﻱ ﻗﺎﺑﻞ ﺣﻔﺎﻇﺖ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢﺍﻧﺪ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻋﻤﻠﻴﺎﺕ ﺍﺑﺘﺪﺍﺋﻲ ﺑﺎﻋﺚ ﻣﻲﮔﺮﺩﺩ ﺗﺎ ﻣﻤﻴﺰ ﺑﺘﻮﺍﻧﺪ‬
‫ﺗﻤﺎﻡ ﺭﻓﺘﺎﺭﻫﺎﺋﻲ ﻛﻪ ﺭﻭﻱ ﻣﻮﺿﻮﻉ ﺗﺄﺛﻴﺮ ﻣﻲﮔﺬﺍﺭﻧﺪ ﺭﺍ ﺛﺒﺖ ﻛﻨﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺳﻴﺴﺘﻢ ﻣﻲﺗﻮﺍﻧﺪ ﺗﻤﺎﻡ ﺗﻼﺵﻫﺎﻱ ﻧﺎﻣﻮﻓﻖ ﺑﺮﺍﻱ‬
‫ﺩﺳﺖﻳﺎﺑﻲ ﺭﺍ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ )ﺑﺎ ﻣﻼﺣﻈﺔ ﻭﺿﻊ ﻏﻴﺮﻋﺎﺩﻱ ﻣﻮﺍﺭﺩ ﺑﺮﮔﺸﺘﻲ( ﻭ ﻫﻤﭽﻨﻴﻦ ﺗﻼﺵﻫﺎﻱ ﻣﻮﻓﻖ ﺭﺍ‪ ،‬ﺑﺎ ﻣﻼﺣﻈﺔ‬
‫ﻭﺿﻊ ﻏﻴﺮﻋﺎﺩﻱ ﺩﺭ ﻣﺠﻤﻮﻋﺔ ﻣﻮﺿﻮﻋﺎﺗﻲ ﻛﻪ ﻋﺎﻣﻞ ﺑﻪ ﺁﻧﻬﺎ ﺩﺳﺘﺮﺳﻲ ﺩﺍﺭﺩ‪ ،‬ﭘﻴﺪﺍ ﻛﻨﺪ‪.‬‬
‫‪ -۲‬ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﻳﻚ ﻣﻮﺿﻮﻉ ﻣﻨﻔﺮﺩ ﻭ ﻳﻚ ﻋﻤﻞ ﻣﻨﻔﺮﺩ‪ ،‬ﻣﺪﻝ ﺭﺍ ﺳﺎﺩﻩ ﻧﻤﻮﺩﻩ ﻭ ﺳﺎﺧﺖ ﺁﻥ ﺭﺍ ﺁﺳﺎﻥ ﻣﻲﺳﺎﺯﻧﺪ‪.‬‬
‫‪ -۳‬ﺑﻌﻠﺖ ﺳﺎﺧﺘﺎﺭ ﺳﺎﺩﻩ ﻭ ﻳﻜﻨﻮﺍﺧﺖ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﻣﺨﺼﻮﺹ ﺗﺸﺨﻴﺺ‪ ،‬ﻛﺴﺐ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﺁﻥ ﻭ ﻳﺎ ﺣﺪﺍﻗﻞ ﺑﺨﺸﻲ‬
‫ﺍﺯ ﺍﻳﻦ ﺍﻃﻼﻋﺎﺕ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﺳﻬﻮﻟﺖ‪ ،‬ﺑﺎ ﺍﻧﺘﻘﺎﻝ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﺑﻮﻣﻲ ﺑﻪ ﺁﻥ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٤٢‬‬
‫ﺗﺸﺨﻴﺺ ﺁﻣﺎﺭﻱ ﻧﺎﻫﻨﺠﺎﺭﻱ )‪(Statistical Anomaly Detection‬‬
‫ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﻗﺒﻼﹰ ﺑﻴﺎﻥ ﮔﺮﺩﻳﺪ‪ ،‬ﺗﻜﻨﻴﻚﻫﺎﻱ ﺗﺸﺨﻴﺺ ﺁﻣﺎﺭﻱ ﻧﺎﻫﻨﺠﺎﺭﻱ ﺩﺭ ﺩﻭ ﻃﺒﻘﺔ ﻭﺳﻴﻊ ﺟﺎﻱ ﻣﻲﮔﻴﺮﻧﺪ‪ :‬ﺳﻴﺴﺘﻢﻫﺎﻱ ﺗﺸﺨﻴﺺ‬
‫ﺁﺳﺘﺎﻧﻪﺍﻱ ﻭ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﭘﺮﻭﻓﺎﻳﻞ‪ .‬ﺗﺸﺨﻴﺺ ﺁﺳﺘﺎﻧﻪﺍﻱ ﺷﺎﻣﻞ ﺷﻤﺎﺭﺵ ﺗﻌﺪﺍﺩ ﻭﻗﻮﻉ ﻳﻚ ﭘﻴﺸﺎﻣﺪ ﺑﺨﺼﻮﺹ ﺩﺭ ﻣﺤﺪﻭﺩﺓ‬
‫ﻣﺸﺨﺼﻲ ﺍﺯ ﺯﻣﺎﻥ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﺷﻤﺎﺭﺵ ﺍﺯ ﺗﻌﺪﺍﺩ ﻣﻌﻘﻮﻟﻲ ﻛﻪ ﻣﻮﺭﺩ ﺍﻧﺘﻈﺎﺭ ﺍﺳﺖ ﻓﺮﺍﺗﺮ ﺭﻭﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﻣﻲﺗﻮﺍﻥ ﻓﺮﺽ ﻛﺮﺩ ﻛﻪ ﺗﻬﺎﺟﻤﻲ ﺭﺥ‬
‫ﺩﺍﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﺗﺤﻠﻴﻞ ﺁﺳﺘﺎﻧﻪﺍﻱ ﺑﻪ ﺗﻨﻬﺎﺋﻲ ﻳﻚ ﺗﺸﺨﻴﺺﺩﻫﻨﺪﺓ ﻣﺒﺘﺪﻱ ﻭ ﻏﻴﺮﻣﺆﺛﺮ‪ ،‬ﺣﺘﻲ ﺩﺭ ﻣﻮﺭﺩ ﺣﻤﻼﺕ ﺑﺎ ﭘﻴﭽﻴﺪﮔﻲ ﻛﻢ‪ ،‬ﺍﺳﺖ‪ .‬ﻫﻢ‬
‫ﺍﻧﺪﺍﺯﺓ ﺁﺳﺘﺎﻧﻪ ﻭ ﻫﻢ ﻓﺎﺻﻠﺔ ﺯﻣﺎﻧﻲ ﺑﺎﻳﺴﺘﻲ ﺗﻌﻴﻴﻦ ﺷﻮﻧﺪ‪ .‬ﺑﻌﻠﺖ ﺗﻨﻮﻉ ﺭﻓﺘﺎﺭ ﻛﺎﺭﺑﺮﺍﻥ‪ ،‬ﺍﺣﺘﻤﺎﻝ ﺩﺍﺭﺩ ﻛﻪ ﺍﻳﻦ ﺁﺳﺘﺎﻧﻪﻫﺎ ﻧﺘﺎﻳﺞ ﻣﺜﺒﺖ‬
‫ﺍﺷﺘﺒﺎﻩ ﻭ ﻳﺎ ﻧﺘﺎﻳﺞ ﻣﻨﻔﻲ ﺍﺷﺘﺒﺎﻩ ﻗﺎﺑﻞ ﻣﻼﺣﻈﻪﺍﻱ ﺭﺍ ﺍﻳﺠﺎﺩ ﻛﻨﻨﺪ‪ .‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ‪ ،‬ﺗﺸﺨﻴﺺﺩﻫﻨﺪﻩﻫﺎﻱ ﺳﺎﺩﺓ ﺁﺳﺘﺎﻧﻪﺍﻱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ‬
‫ﻣﻌﻴﺖ ﺗﻜﻨﻴﻚﻫﺎﻱ ﭘﻴﭽﻴﺪﺓ ﺩﻳﮕﺮ ﻣﻔﻴﺪ ﻭﺍﻗﻊ ﺷﻮﻧﺪ‪.‬‬
‫ﺗﺸﺨﻴﺺ ﻧﺎﻫﻨﺠﺎﺭﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﭘﺮﻭﻓﺎﻳﻞ‪ ،‬ﺑﺮ ﺗﻌﻴﻴﻦ ﺭﻓﺘﺎﺭﻫﺎﻱ ﺳﺎﺑﻖ ﺗﻚﺗﻚ ﻛﺎﺭﺑﺮﺍﻥ ﻭ ﻳﺎ ﮔﺮﻭﻩ ﻛﺎﺭﺑﺮﺍﻥ ﺗﻜﻴﻪ ﻛﺮﺩﻩ ﻭ ﺳﻌﻲ‬
‫ﻣﻲﻛﻨﺪ ﺍﻧﺤﺮﺍﻑ ﺍﺯ ﺍﻳﻦ ﻧﻮﻉ ﺭﻓﺘﺎﺭ ﺭﺍ ﻧﺸﺎﻥ ﺩﻫﺪ‪ .‬ﻳﻚ ﭘﺮﻭﻓﺎﻳﻞ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﭘﺎﺭﺍﻣﺘﺮﻫﺎ ﺑﺎﺷﺪ ﺗﺎ ﺗﻨﻬﺎ ﺍﻧﺤﺮﺍﻑ ﻳﻚ‬
‫ﭘﺎﺭﺍﻣﺘﺮ ﺍﺯ ﺣﺎﻟﺖ ﻧﺮﻣﺎﻝ ﺁﻥ‪ ،‬ﻣﻨﺠﺮ ﺑﻪ ﺍﻋﻼﻡ ﻳﻚ ﺗﻬﺎﺟﻢ ﻧﮕﺮﺩﺩ‪.‬‬
‫ﺗﺸﺨﻴﺺ ﻧﺎﻫﻨﺠﺎﺭﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﭘﺮﻭﻓﺎﻳﻞ ﺑﺮ ﺍﺳﺎﺱ ﺗﺤﻠﻴﻞ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﺑﻪ ﺩﻭ ﻃﺮﻳﻖ‪ ،‬ﻭﺭﻭﺩﻱ ﺗﺎﺑﻊ‬
‫ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﻨﺪ‪ .‬ﺍﻭﻻﹰ‪ ،‬ﻃﺮﺍﺡ ﺑﺎﻳﺴﺘﻲ ﻧﺴﺒﺖ ﺑﻪ ﺗﻌﻴﻴﻦ ﻳﻚ ﺳﺮﻱ ﺍﺯ ﻣﻌﻴﺎﺭﻫﺎﻱ ﻛﻤّﻲ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺭﻓﺘﺎﺭ ﻛﺎﺭﺑﺮ ﺭﺍ‬
‫ﺍﺭﺯﻳﺎﺑﻲ ﻛﻨﺪ ﺗﺼﻤﻴﻢ ﺑﮕﻴﺮﺩ‪ .‬ﺗﺤﻠﻴﻞ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﺩﺭ ﻳﻚ ﺩﻭﺭﻩ ﺍﺯ ﺯﻣﺎﻥ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ ﭘﺮﻭﻓﺎﻳﻞ ﻓﻌﺎﻟﻴﺖ ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻌﻤﻮﻟﻲ‬
‫ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻭﺍﻗﻊ ﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﺑﺮﺍﻱ ﺗﻌﺮﻳﻒ ﺭﻓﺘﺎﺭ ﻧﻮﻋﻲ ﻳﻚ ﻛﺎﺭﺑﺮ ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪ .‬ﺛﺎﻧﻴﺎﹰ‪ ،‬ﺳﺎﺑﻘﺔ ﻣﻤﻴﺰﻱ ﻋﻤﻠﻴﺎﺕ‬
‫ﺟﺎﺭﻱ‪ ،‬ﻭﺭﻭﺩﻱ ﺳﻴﺴﺘﻢ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﻨﺪ‪ .‬ﻳﻌﻨﻲ ﻣﺪﻝ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ‪ ،‬ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﻋﻤﻠﻴﺎﺕ ﺟﺎﺭﻱ ﺭﺍ‬
‫ﺗﺤﻠﻴﻞ ﻛﺮﺩﻩ ﺗﺎ ﺍﻧﺤﺮﺍﻑ ﺁﻥ ﺍﺯ ﺭﻓﺘﺎﺭ ﻣﺘﻮﺳﻂ ﻛﺎﺭﺑﺮ ﺭﺍ ﺗﺸﺨﻴﺺ ﺩﻫﺪ‪.‬‬
‫ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﻣﻌﻴﺎﺭﻫﺎﻱ ﺗﺸﺨﻴﺺ‪ ،‬ﻛﻪ ﺩﺭ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﻣﺒﺘﻨﻲ ﺑﺮ ﭘﺮﻭﻓﺎﻳﻞ ﻣﻔﻴﺪ ﻫﺴﺘﻨﺪ‪ ،‬ﺑﻘﺮﺍﺭ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫ﺷﻤﺎﺭﻧﺪﻩ‪ :‬ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ﻏﻴﺮﻣﻨﻔﻲ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺯﻳﺎﺩ ﺷﺪﻩ ﻭﻟﻲ ﻧﻤﻲﺗﻮﺍﻧﺪ ﻛﻢ ﺷﻮﺩ ﻣﮕﺮ ﺍﻳﻨﻜﻪ ﺑﺎ ﻳﻚ ﻓﺮﻣﺎﻥ ﻣﺪﻳﺮﻳﺘﻲ‬ ‫•‬
‫ﺻﻔﺮ ﮔﺮﺩﺩ‪ .‬ﻣﻌﻤﻮﻻﹰ ﺷﻤﺎﺭﺵ ﻳﻚ ﭘﻴﺸﺎﻣﺪ ﺩﺭ ﻃﻮﻝ ﺩﻭﺭﺓ ﺯﻣﺎﻧﻲ ﻣﺸﺨﺼﻲ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﺍﺳﺖ‪ .‬ﻧﻤﻮﻧﻪﻫﺎﺋﻲ ﺍﺯ ﺍﻳﻦ ﺩﺳﺖ‬
‫ﺷﺎﻣﻞ ﺗﻌﺪﺍﺩ ﺗﻼﺵﻫﺎ ﺑﺮﺍﻱ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ ﺍﺯ ﻃﺮﻑ ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﺸﺨﺺ ﺩﺭ ﻃﻮﻝ ﻳﻚ ﺳﺎﻋﺖ‪ ،‬ﺗﻌﺪﺍﺩ ﺩﻓﻌﺎﺕ ﺍﺟﺮﺍﻱ‬
‫ﻳﻚ ﻓﺮﻣﺎﻥ ﺩﺭ ﺯﻣﺎﻥ ﻳﻚ ﺍﺟﻼﺱ‪ ،‬ﻭ ﻳﺎ ﺗﻌﺪﺍﺩ ﺗﻼﺵﻫﺎﻱ ﻧﺎﻣﻮﻓﻖ ﺑﺮﺍﻱ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ ﺍﺯ ﻃﺮﻳﻖ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻏﻠﻂ ﻇﺮﻑ‬
‫ﻳﻚ ﺩﻗﻴﻘﻪ ﺍﺳﺖ‪.‬‬
‫ﭘﻴﻤﺎﻧﻪ‪ :‬ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ﻏﻴﺮﻣﻨﻔﻲ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﻫﻢ ﺯﻳﺎﺩ ﻭ ﻫﻢ ﻛﻢ ﺷﻮﺩ‪ .‬ﻳﻚ ﭘﻴﻤﺎﻧﻪ ﻣﻌﻤﻮﻻﹰ ﺑﺮﺍﻱ ﺍﻧﺪﺍﺯﻩ ﮔﻴﺮﻱ ﻣﻘﺪﺍﺭ ﻳﻚ‬ ‫•‬
‫ﭼﻴﺰ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﻣﺜﺎﻝﻫﺎﻱ ﺍﻳﻦ ﻣﻮﺭﺩ ﻧﻈﻴﺮ ﺗﻌﺪﺍﺩ ﺍﺗﺼﺎﻻﺕ ﻣﻨﻄﻘﻲ ﺑﻪ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﻛﺎﺭﺑﺮﺩﻱ ﻭ ﻳﺎ ﺗﻌﺪﺍﺩ ﭘﻴﺎﻡﻫﺎﻱ ﺧﺮﻭﺟﻲ‬
‫ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﭘﺮﺩﺍﺯﺵ ﺩﺭ ﺻﻒ ﺍﻧﺘﻈﺎﺭ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪﺍﻧﺪ‪.‬‬
‫ﺯﻣﺎﻥ ﺳﻨﺞ‪ :‬ﺯﻣﺎﻥ ﺑﻴﻦ ﻭﻗﻮﻉ ﺩﻭ ﭘﻴﺸﺎﻣﺪ ﻳﻜﺴﺎﻥ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻣﺜﺎﻝ ﺍﻣﺮ‪ ،‬ﻓﺎﺻﻠﻪ ﺯﻣﺎﻧﻲ ﺑﻴﻦ ﺩﻭ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ ﺍﺯ‬ ‫•‬
‫ﺳﻮﻱ ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﺸﺨﺺ ﺍﺳﺖ‪.‬‬
‫ﺑﻜﺎﺭﮔﻴﺮﻱ ﻣﻨﺎﺑﻊ‪ :‬ﺍﻧﺪﺍﺯﺓ ﻛﻤّﻲ ﻣﻨﺎﺑﻌﻲ ﻛﻪ ﺩﺭ ﻃﻮﻝ ﺯﻣﺎﻥ ﻣﺸﺨﺼﻲ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩﺍﻧﺪ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻧﻤﻮﻧﺔ ﺍﻳﻦ ﻣﻮﺍﺭﺩ‬ ‫•‬
‫ﻋﺒﺎﺭﺕ ﺍﺯ ﺗﻌﺪﺍﺩ ﺻﻔﺤﺎﺕ ﭼﺎﭖ ﺷﺪﻩ ﺩﺭ ﺧﻼﻝ ﻳﻜﺒﺎﺭ ﺍﺗﺼﺎﻝ ﺑﻪ ﺳﻴﺴﺘﻢ ﻭ ﻳﺎ ﺯﻣﺎﻥ ﺻﺮﻑ ﺷﺪﻩ ﺑﺮﺍﻱ ﺍﺟﺮﺍﻱ ﻳﻚ ﺑﺮﻧﺎﻣﻪ‬
‫ﺍﺳﺖ‪.‬‬
‫‪٣٤٣‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﺑﺎ ﺩﺭ ﺩﺳﺖ ﺩﺍﺷﺘﻦ ﺍﻳﻦ ﻣﻌﻴﺎﺭﻫﺎ‪ ،‬ﺗﺴﺖﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ ﺍﻳﻨﻜﻪ ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﺟﺎﺭﻱ ﺩﺭ ﻣﺤﺪﻭﺩﺓ ﻗﺎﺑﻞ ﻗﺒﻮﻝ‬
‫ﻫﺴﺘﻨﺪ ﻭ ﻳﺎ ﺧﻴﺮ‪ ،‬ﺍﻧﺠﺎﻡ ﺩﺍﺩ‪ [DENN87] .‬ﺑﻪ ﻋﻮﺍﻣﻞ ﺯﻳﺮ ﻛﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﻣﺆﺛﺮ ﻭﺍﻗﻊ ﺷﻮﻧﺪ ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨﺪ‪:‬‬
‫ﻣﻴﺎﻧﮕﻴﻦ ﻭ ﺍﻧﺤﺮﺍﻑ ﻣﻌﻴﺎﺭ‬ ‫•‬

‫ﭼﻨﺪﻣﺘﻐﻴﺮﻱ‬ ‫•‬
‫ﻓﺮﺁﻳﻨﺪ ﻣﺎﺭﻛﻮﻑ‬ ‫•‬
‫ﺳﺮﻱﻫﺎﻱ ﺯﻣﺎﻧﻲ‬ ‫•‬
‫ﻋﻤﻠﻴﺎﺗﻲ‬ ‫•‬
‫ﺳﺎﺩﻩﺗﺮﻳﻦ ﺗﺴﺖ ﺁﻣﺎﺭﻱ‪ ،‬ﺍﻧﺪﺍﺯﻩﮔﻴﺮﻱ ﻣﻴﺎﻧﮕﻴﻦ ﻭ ﺍﻧﺤﺮﺍﻑ ﻣﻌﻴﺎﺭ ﻳﻚ ﭘﺎﺭﺍﻣﺘﺮ ﺩﺭ ﻃﻮﻝ ﻳﻚ ﺩﻭﺭﺓ ﺯﻣﺎﻧﻲ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻧﺪﺍﺯﻩﻫﺎ‬
‫ﻣﻨﻌﻜﺲﻛﻨﻨﺪﺓ ﺭﻓﺘﺎﺭ ﻣﺘﻮﺳﻂ ﻭ ﺗﻐﻴﻴﺮﺍﺕ ﺣﻮﻝ ﻭ ﺣﻮﺵ ﺁﻥ ﺍﺳﺖ‪ .‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣﻴﺎﻧﮕﻴﻦ ﻭ ﺍﻧﺤﺮﺍﻑ ﻣﻌﻴﺎﺭ ﻗﺎﺑﻞ ﺍﻋﻤﺎﻝ ﺑﻪ ﺷﻤﺎﺭﻧﺪﻩﻫﺎ‪،‬‬
‫ﺯﻣﺎﻥﺳﻨﺞﻫﺎ ﻭ ﻣﻨﺎﺑﻊ ﺩﻳﮕﺮ ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﺍﻣﺎ ﺍﻳﻦ ﻣﻌﻴﺎﺭﻫﺎ ﻣﻌﻤﻮﻻﹰ ﺑﻪ ﺗﻨﻬﺎﺋﻲ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﻛﺎﻓﻲ ﻧﻴﺴﺘﻨﺪ‪.‬‬
‫ﻳﻚ ﻣﺪﻝ ﭼﻨﺪﻣﺘﻐﻴﺮﻱ ﺑﺮﻣﺒﻨﺎﻱ ﻫﻤﺒﺴﺘﮕﻲ ﺑﻴﻦ ﺩﻭ ﻳﺎ ﭼﻨﺪ ﻣﺘﻐﻴﺮ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺭﻓﺘﺎﺭ ﻣﻬﺎﺟﻢ ﺭﺍ ﺑﺎ ﻣﻼﺣﻈﺔ ﻫﻤﺒﺴﺘﮕﻲ ﺑﻴﻦ‬
‫ﻭﻗﺎﻳﻊ )ﻣﺜﻞ ﻫﻤﺒﺴﺘﮕﻲ ﺯﻣﺎﻥ ﭘﺮﺩﺍﺯﺵ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻣﻨﺒﻊ‪ ،‬ﻭ ﻳﺎ ﻫﻤﺒﺴﺘﮕﻲ ﺗﻌﺪﺍﺩ ﺩﻓﻌﺎﺕ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺎ ﺯﻣﺎﻥ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﺳﻴﺴﺘﻢ ﺩﺭ ﻫﺮ ﺑﺎﺭ(‪ ،‬ﺑﺎ ﺍﻃﻤﻴﻨﺎﻥ ﺑﻴﺸﺘﺮﻱ ﻣﻲﺗﻮﺍﻥ ﺗﺤﻠﻴﻞ ﻧﻤﻮﺩ ‪.‬‬
‫ﻳﻚ ﻣﺪﻝ ﻓﺮﺁﻳﻨﺪ ﻣﺎﺭﻛﻮﻑ ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ ﺍﺣﺘﻤﺎﻝ ﻋﺒﻮﺭ ﺑﻴﻦ ﺣﺎﻻﺕ ﻣﺨﺘﻠﻒ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﺍﻳﻦ ﻣﺪﻝ ﻣﻤﻜﻦ ﺍﺳﺖ‬
‫ﻋﺒﻮﺭ ﺍﺯ ﻳﻚ ﻓﺮﻣﺎﻥ ﺑﻪ ﻓﺮﻣﺎﻥ ﻣﺸﺨﺺ ﺩﻳﮕﺮ ﺭﺍ ﺟﺴﺘﺠﻮ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻳﻚ ﻣﺪﻝ ﺳﺮﻱ ﺯﻣﺎﻧﻲ ﺭﻭﻱ ﻓﻮﺍﺻﻞ ﺯﻣﺎﻧﻲ ﺗﻜﻴﻪ ﻛﺮﺩﻩ ﻭ ﺑﻪ ﺩﻧﺒﺎﻝ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺍﺯ ﻭﻗﺎﻳﻊ ﻣﻲﮔﺮﺩﺩ ﻛﻪ ﻓﺎﺻﻠﺔ ﺑﻴﻦ ﺁﻧﻬﺎ ﻳﺎ ﺧﻴﻠﻲ‬
‫ﺯﻳﺎﺩﺗﺮ ﻭ ﻳﺎ ﺧﻴﻠﻲ ﻛﻤﺘﺮ ﺍﺯ ﺣﺪ ﻣﻌﻤﻮﻝ ﻣﻲﺑﺎﺷﺪ‪ .‬ﺗﺴﺖﻫﺎﻱ ﺁﻣﺎﺭﻱ ﻣﺨﺘﻠﻔﻲ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ ﺯﻣﺎﻥﺑﻨﺪﻱ ﻏﻴﺮﻧﺮﻣﺎﻝ ﻣﻮﺭﺩ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ‪.‬‬
‫ﺑﺎﻻﺧﺮﻩ ﻳﻚ ﻣﺪﻝ ﻋﻤﻠﻴﺎﺗﻲ‪ ،‬ﺑﺠﺎﻱ ﺗﺤﻠﻴﻞ ﺍﺗﻮﻣﺎﺗﻴﻚ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ‪ ،‬ﺑﺮ ﻣﺒﻨﺎﻱ ﻗﻀﺎﻭﺕ ﺩﺭ ﻣﻮﺭﺩ ﺁﻧﭽﻪ ﻏﻴﺮﻋﺎﺩﻱ ﺗﻠﻘﻲ‬
‫ﻣﻲﺷﻮﺩ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﺭﻭﺵ ﻧﻮﻋﺎﹰ ﻣﺤﺪﻭﺩﻩﻫﺎﻱ ﺛﺎﺑﺘﻲ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﻭ ﺍﮔﺮ ﻋﻤﻠﻴﺎﺗﻲ ﺧﺎﺭﺝ ﺍﺯ ﺍﻳﻦ ﻣﺤﺪﻭﺩﻩﻫﺎ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪ ،‬ﺷﻚ‬
‫ﻧﺴﺒﺖ ﺑﻪ ﺗﻬﺎﺟﻢ ﻗﻮﺕ ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﭼﻨﻴﻦ ﺭﻭﺷﻲ ﻭﻗﺘﻲ ﺧﻮﺏ ﻛﺎﺭ ﻣﻲﻛﻨﺪ ﻛﻪ ﺭﻓﺘﺎﺭ ﺗﻬﺎﺟﻤﻲ ﺭﺍ ﺑﺘﻮﺍﻥ ﺍﺯ ﺭﻭﻱ ﻳﻚ ﺳﺮﻱ ﺭﻓﺘﺎﺭﻫﺎﻱ‬
‫ﻣﺸﺎﻫﺪﻩ ﺷﺪﻩ ﻧﺘﻴﺠﻪﮔﻴﺮﻱ ﻛﺮﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﺍﮔﺮ ﺩﺭ ﻃﻮﻝ ﺯﻣﺎﻥ ﻛﻮﺗﺎﻫﻲ ﺗﻼﺵ ﺯﻳﺎﺩﻱ ﺑﺮﺍﻱ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪ ،‬ﻣﻲﺗﻮﺍﻥ‬
‫ﺁﻥ ﺭﺍ ﻧﻮﻋﻲ ﺗﻬﺎﺟﻢ ﺗﻠﻘﻲ ﻛﺮﺩ‪.‬‬
‫ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻟﻲ ﺍﺯ ﺑﻜﺎﺭﮔﻴﺮﻱ ﺍﻳﻦ ﻣﻌﻴﺎﺭﻫﺎ ﻭ ﻣﺪﻝﻫﺎﻱ ﻣﺨﺘﻠﻒ‪ ،‬ﺟﺪﻭﻝ ‪ ۹-۱‬ﻣﻌﻴﺎﺭﻫﺎﻱ ﻣﺘﻨﻮﻋﻲ ﻛﻪ ﺩﺭ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ‬
‫ﺑﻜﺎﺭ ﮔﺮﻓﺘــﻪ ﻭ ﺁﺯﻣﺎﻳﺶ ﺷــﺪﻩ ﺍﺳﺖ ﺭﺍ ﻧﺸﺎﻥ ﻣـﻲﺩﻫـﺪ‬ ‫ﺗﻬﺎﺟﻢ )‪ (IDES‬ﺍﻧﺴﺘﻴﺘﻮﻱ ﺗﺤﻘﻴﻘــﺎﺗﻲ ﺍﺳﺘﺎﻧﻔﻮﺭﺩ )‪(SRI‬‬
‫]‪.[DENN87,JAVI91,LUNT88‬‬
‫ﻣﺰﻳﺖ ﻋﻤﺪﺓ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﭘﺮﻭﻓﺎﻳﻞﻫﺎﻱ ﺁﻣﺎﺭﻱ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻧﻴﺎﺯﻱ ﺑﻪ ﺩﺍﺷﺘﻦ ﻣﻌﻠﻮﻣﺎﺕ ﻗﺒﻠﻲ ﺍﺯ ﺧﻄﺎﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻧﻴﺴﺖ‪.‬‬
‫ﺑﺮﻧﺎﻣﺔ ﺗﺸﺨﻴﺺ ﺩﻫﻨﺪﺓ ﺗﻬﺎﺟﻢ ﻣﻲﺁﻣﻮﺯﺩ ﻛﻪ ﭼﻪ ﺭﻓﺘﺎﺭﻱ ﻧﺮﻣﺎﻝ ﺍﺳﺖ ﻭ ﺁﻧﮕﺎﻩ ﺑﺪﻧﺒﺎﻝ ﺍﻧﺤﺮﺍﻑ ﺍﺯ ﺍﻳﻦ ﺭﻓﺘﺎﺭ ﻧﺮﻣﺎﻝ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﻳﻦ‬
‫ﺭﻭﺵ ﻣﺘﻜﻲ ﺑﺮ ﻣﺸﺨﺼﻪﻫﺎﻱ ﺳﻴﺴﺘﻢ ﻭ ﻧﻘﺎﻁ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺁﻥ ﻧﻴﺴﺖ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﺍﻳﻦ ﺗﻜﻨﻴﻚ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺴﻬﻮﻟﺖ ﺩﺭ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺩﻳﮕﺮ‬
‫ﻧﻴﺰ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٤٤‬‬
‫ﻣﻌﻴﺎﺭﻫﺎﺋﻲ ﻛﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﻮﻧﺪ‬ ‫ﺟﺪﻭﻝ ‪۹-۱‬‬
‫ﻧﻮﻉ ﺗﻬﺎﺟﻢ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﺷﺪﻩ‬ ‫ﻣﺪﻝ‬ ‫ﻣﻌﻴﺎﺭ‬

‫ﻓﻌﺎﻟﻴﺖ ﻣﺮﺑﻮﻁ ﺑﻪ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ ﻭ ﺍﺟﻼﺱﻫﺎ‬
‫ﻣﻬﺎﺟﻤﻴﻦ ﺍﺣﺘﻤﺎﻝ ﺩﺍﺭﺩ ﻛﻪ ﺩﺭ ﺳﺎﻋﺎﺕ ﻏﻴﺮ ﺍﺩﺍﺭﻱ‬ ‫ﻣﻴﺎﻧﮕﻴﻦ ﻭ ﺍﻧﺤﺮﺍﻑ ﻣﻌﻴﺎﺭ‬ ‫ﺩﻓﻌﺎﺕ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ‬
‫ﻭﺍﺭﺩ ﺳﻴﺴﺘﻢ ﺷﻮﻧﺪ‪.‬‬ ‫ﺩﺭ ﺭﻭﺯ ﻭ ﺯﻣﺎﻥ‬
‫ﻣﻬﺎﺟﻤﻴﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﻣﻜﺎﻧﻲ ﻭﺍﺭﺩ ﺳﻴﺴﺘﻢ ﺷﻮﻧﺪ‬ ‫ﻣﻴﺎﻧﮕﻴﻦ ﻭ ﺍﻧﺤﺮﺍﻑ ﻣﻌﻴﺎﺭ‬ ‫ﺩﻓﻌﺎﺕ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ‬
‫ﻛﻪ ﻳﻚ ﻛﺎﺭﺑﺮ ﺧﺎﺹ ﺑﻨﺪﺭﺕ ﻭ ﻳﺎ ﻫﻴﭽﮕﺎﻩ ﺍﺯ ﺁﻧﺠﺎ‬ ‫ﺍﺯ ﻣﻜﺎﻥ ﻫﺎﻱ ﻣﺨﺘﻠﻒ‬
‫ﻭﺍﺭﺩ ﻧﻤﻴﺸﻮﺩ‪.‬‬
‫ﻭﺍﺭﺩ ﺷﺪﻥ ﺍﺯ ﻳﻚ ﺣﺴﺎﺏ ﻣﺴﺪﻭﺩ‪.‬‬ ‫ﻋﻤﻠﻴﺎﺗﻲ‬ ‫ﺯﻣﺎﻥ ﮔﺬﺷﺘﻪ ﺍﺯ ﺁﺧﺮﻳﻦ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ‬
‫ﺍﻧﺤﺮﺍﻑ ﻗﺎﺑﻞ ﻣﻼﺣﻈﻪ ﺍﺯ ﺯﻣﺎﻥ ﻣﻌﻤﻮﻝ ﻣﻤﻜﻦ ﺍﺳﺖ‬ ‫ﻣﻴﺎﻧﮕﻴﻦ ﻭ ﺍﻧﺤﺮﺍﻑ ﻣﻌﻴﺎﺭ‬ ‫ﺯﻣﺎﻥ ﻫﺮ ﺍﺟﻼﺱ‬
‫ﻧﺸﺎﻥ ﻳﻚ ﻣﻬﺎﺟﻢ ﻧﻘﺎﺏﺩﺍﺭ ﺑﺎﺷﺪ‪.‬‬
‫ﺍﻧﺘﻘﺎﻝ ﻣﻘﺪﺍﺭ ﺯﻳﺎﺩﻱ ﺍﺯ ﺩﻳﺘﺎ ﺑﻪ ﻧﻘﻄﻪﺍﻱ ﺩﻭﺭ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ‬ ‫ﻣﻴﺎﻧﮕﻴﻦ ﻭ ﺍﻧﺤﺮﺍﻑ ﻣﻌﻴﺎﺭ‬ ‫ﻣﻴﺰﺍﻥ ﺩﻳﺘﺎﻱ ﺍﻧﺘﻘﺎﻝﻳﺎﻓﺘﻪ‬
‫ﻧﺸﺎﻥ ﻧﺸﺖ ﺍﻃﻼﻋﺎﺕ ﺣﻴﺎﺗﻲ ﺑﺎﺷﺪ‪.‬‬ ‫ﺑﻪ ﻣﻜﺎﻧﻲ ﺩﻭﺭﺩﺳﺖ‬
‫ﺑﻜﺎﺭﮔﻴﺮﻱ ﺯﻳﺎﺩ ﭘﺮﺩﺍﺯﺷﮕﺮ ﻭ ‪ I/O‬ﻣﻴﺘﻮﺍﻧﺪ ﺑﻌﻠﺖ ﺣﻀﻮﺭ‬ ‫ﻣﻴﺎﻧﮕﻴﻦ ﻭ ﺍﻧﺤﺮﺍﻑ ﻣﻌﻴﺎﺭ‬ ‫ﺑﻜﺎﺭﮔﻴﺮﻱ ﻣﻨﺎﺑﻊ ﺩﺭ ﻫﺮ ﺍﺟﻼﺱ‬
‫ﻣﻬﺎﺟﻢ ﺑﺎﺷﺪ‪.‬‬
‫ﺗﻼﺵ ﺑﺮﺍﻱ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ ﺑﺎ ﺣﺪﺱ ﺯﺩﻥ ﻛﻠﻤﺔ‬ ‫ﻋﻤﻠﻴﺎﺗﻲ‬ ‫ﺩﺍﺩﻥ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﺷﺘﺒﺎﻩ ﺩﺭ‬
‫ﻛﻠﻤﺔ ﻋﺒﻮﺭ‪.‬‬ ‫ﻫﻨﮕﺎﻡ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ‬
‫ﺗﻼﺵ ﺑﺮﺍﻱ ﻭﺭﻭﺩ ﻏﻴﺮﻣﺠﺎﺯ ﺑﻪ ﺳﻴﺴﺘﻢ‪.‬‬ ‫ﻋﻤﻠﻴﺎﺗﻲ‬ ‫ﺷﻜﺴﺖ ﺩﺭ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ‬
‫ﺍﺯ ﺗﺮﻣﻴﻨﺎﻝ ﻫﺎﻱ ﺑﺨﺼﻮﺹ‬
‫ﻓﻌﺎﻟﻴﺖ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﺟﺮﺍﻱ ﺑﺮﻧﺎﻣﻪﻫﺎ ﻭ ﻓﺮﻣﺎﻥﻫﺎ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ﻃﺮﻑ ﻳﻚ ﻣﻬﺎﺟﻢ ﺑﺎﺷﺪ ﻛﻪ ﺍﺯ ﻓﺮﻣﺎﻥﻫﺎﻱ‬ ‫ﻣﻴﺎﻧﮕﻴﻦ ﻭ ﺍﻧﺤﺮﺍﻑ ﻣﻌﻴﺎﺭ‬ ‫ﺩﻓﻌﺎﺕ ﺍﺟﺮﺍﻱ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻳﺎ ﻓﺮﻣﺎﻥ‬
‫ﻣﺨﺘﻠﻒ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﻭ ﻳﺎ ﻧﺎﺷﻲ ﺍﺯ ﻧﻔﻮﺫ ﻣﻮﻓﻖ ﻳﻚ‬
‫ﻛﺎﺭﺑﺮ ﻗﺎﻧﻮﻧﻲ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﻓﺮﻣﺎﻥﻫﺎﻱ ﺳﻄﺢ ﺑﺎﻻ‬
‫ﺩﺳﺘﺮﺳﻲ ﻳﺎﻓﺘﻪ ﺍﺳﺖ‪.‬‬
‫ﻳﻚ ﺍﻧﺪﺍﺯﺓ ﻏﻴﺮ ﻣﻌﻘﻮﻝ ﻣﻴﺘﻮﺍﻧﺪ ﻧﻤﺎﻳﻨﺪﻩ ﻭﺭﻭﺩ ﻳﻚ‬ ‫ﻣﻴﺎﻧﮕﻴﻦ ﻭ ﺍﻧﺤﺮﺍﻑ ﻣﻌﻴﺎﺭ‬ ‫ﺑﻜﺎﺭﮔﻴﺮﻱ ﻣﻨﺎﺑﻊ ﺑﺮﻧﺎﻣﻪ‬
‫ﻭﻳﺮﻭﺱ ﻳﺎ ﺍﺳﺐ ﺗﺮﻭﺍ ﺑﺎﺷﺪ ﻛﻪ ﺁﺛﺎﺭ ﺟﻨﺒﻲ ﺁﻥ‬
‫ﺑﻜﺎﺭﮔﻴﺮﻱ ﭘﺮﺩﺍﺯﺷﮕﺮ ﻳﺎ ﺑﺨﺶ ‪ I/O‬ﺍﺳﺖ‪.‬‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻤﻲ ﺍﺯ ﺳﻮﻱ ﻳﻚ ﻓﺮﺩ ﺑﺮﺍﻱ‬ ‫ﻋﻤﻠﻴﺎﺗﻲ‬ ‫ﺍﺟﺮﺍ ﻧﺸﺪﻥ ﺑﺮﻧﺎﻣﻪ‬
‫ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺍﻣﺘﻴﺎﺯﺍﺕ ﺑﺎﻻﺗﺮ ﻣﻨﺠﺮ ﮔﺮﺩﺩ‪.‬‬
‫ﻓﻌﺎﻟﻴﺖ ﻣﺮﺑﻮﻁ ﺑﻪ ﺩﺳﺖ ﻳﺎﺑﻲ ﺑﻪ ﻓﺎﻳﻞﻫﺎ‬
‫ﻣﻘﺎﺩﻳﺮ ﻏﻴﺮﻣﻌﻘﻮﻝ ﺗﻼﺵ ﺑﺮﺍﻱ ﺧﻮﺍﻧﺪﻥ ﻭ ﻧﻮﺷﺘﻦ ﺍﺯ‬ ‫ﻣﻴﺎﻧﮕﻴﻦ ﻭ ﺍﻧﺤﺮﺍﻑ ﻣﻌﻴﺎﺭ‬ ‫ﺩﻓﻌﺎﺕ ﺧﻮﺍﻧﺪﻥ‪ ،‬ﻧﻮﺷﺘﻦ‪ ،‬ﺍﻳﺠﺎﺩ ﻭ ﺣﺬﻑ‬
‫ﻃﺮﻑ ﻛﺎﺭﺑﺮﺍﻥ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻴﺎﻧﮕﺮ ﺣﻤﻠﺔ ﺑﺎﻟﻤﺎﺳﻜﻪﺍﻱ ﻳﺎ‬
‫ﻣﺮﻭﺭﮔﺮﻱ ﺑﺎﺷﺪ‪.‬‬
‫ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﻏﻴﺮﻣﻌﻘﻮﻝ ﻣﻲﺗﻮﺍﻧﺪ ﻧﻤﺎﻳﺶ ﺗﻼﺵ ﺑﺮﺍﻱ‬ ‫ﻣﻴﺎﻧﮕﻴﻦ ﻭ ﺍﻧﺤﺮﺍﻑ ﻣﻌﻴﺎﺭ‬ ‫ﺭﻛﻮﺭﺩﻫﺎﻱ ﺧﻮﺍﻧﺪﻩ ﺷﺪﻩ ﻭ ﻳﺎ ﻧﻮﺷﺘﻪ ﺷﺪﻩ‬
‫ﺑﺪﺳﺖ ﺁﻭﺭﺩﻥ ﺍﻃﻼﻋﺎﺕ ﺣﺴﺎﺱ ﺑﺎﺷﺪ‪.‬‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﻣﻨﺠﺮ ﺑﻪ ﻛﺸﻒ ﻛﺎﺭﺑﺮﺍﻧﻲ ﺷﻮﺩ ﻛﻪ ﻣﺼﺮﺍﻧﻪ‬ ‫ﻋﻤﻠﻴﺎﺗﻲ‬ ‫ﺷﻤﺎﺭﺵ ﺩﻓﻌﺎﺕ ﺗﻼﺵ ﻧﺎﻣﻮﻓﻖ ﺑﺮﺍﻱ‬
‫ﻗﺼﺪ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻓﺎﻳﻞﻫﺎﻱ ﻏﻴﺮﻣﺠﺎﺯ ﺭﺍ ﺩﺍﺭﻧﺪ‪.‬‬ ‫ﺧﻮﺍﻧﺪﻥ‪ ،‬ﻧﻮﺷﺘﻦ‪ ،‬ﺍﻳﺠﺎﺩ ﻭ ﻳﺎ ﺣﺬﻑ‬
‫‪٣٤٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﺗﺸﺨﻴﺺ ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﻩ ﺗﻬﺎﺟﻢ )‪(Rule-Based Intrusion Detection‬‬

‫ﺭﻭﺵﻫﺎﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﻩ‪ ،‬ﺗﻬﺎﺟﻢ ﺭﺍ ﺑﺎ ﻣﺸﺎﻫﺪﺓ ﭘﻴﺸﺎﻣﺪﻫﺎ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﻭ ﺍﻋﻤﺎﻝ ﻳﻚ ﺳﺮﻱ ﻗﻮﺍﻋﺪ ﺑﻪ ﺁﻧﻬﺎ ﺭﺩﻳﺎﺑﻲ ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﺑﻪ‬
‫ﺍﻳﻦ ﺗﺼﻤﻴﻢ ﺩﺳﺖ ﻳﺎﺑﻨﺪ ﻛﻪ ﺍﻳﻦ ﻣﺠﻤﻮﻋﺔ ﻓﻌﺎﻟﻴﺖﻫﺎ ﻣﺸﻜﻮﻙ ﻭ ﻳﺎ ﻏﻴﺮﻣﺸﻜﻮﻙ ﺍﺳﺖ‪ .‬ﺩﺭ ﺑﻴﺎﻥ ﺧﻴﻠﻲ ﻛﻠﻲ‪ ،‬ﺗﻤﺎﻡ ﺭﻭﺵﻫﺎ ﺭﺍ ﻣﻲﺗﻮﺍﻥ‬
‫ﺑﻪ ﺗﺸﺨﻴﺺ ﻧﺎﻫﻨﺠﺎﺭﻱ ﻭ ﻳﺎ ﺷﻨﺎﺳﺎﺋﻲ ﻧﻔﻮﺫ ﺩﺳﺘﻪﺑﻨﺪﻱ ﻛﺮﺩ‪ ،‬ﺍﮔﺮﭼﻪ ﺍﻳﻦ ﺩﻭ ﮔﺮﻭﻩ ﺩﺍﺭﺍﻱ ﻧﻘﺎﻁ ﻣﺸﺘﺮﻛﻲ ﻧﻴﺰ ﻫﺴﺘﻨﺪ‪.‬‬
‫ﺗﺸﺨﻴﺺ ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﺓ ﻧﺎﻫﻨﺠﺎﺭﻱ )‪ ،(Rule-based anomaly detection‬ﺍﺯ ﻧﻈﺮ ﺭﻭﺵ ﺑﺮﺧﻮﺭﺩ ﻭ ﻗﺪﺭﺕ ﺷﺒﻴﻪ‬
‫ﺗﺸﺨﻴﺺ ﺁﻣﺎﺭﻱ ﻧﺎﻫﻨﺠﺎﺭﻱ ﺍﺳﺖ‪ .‬ﺩﺭ ﺭﻭﺵ ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﻩ‪ ،‬ﺳﻮﺍﺑﻖ ﺗﺎﺭﻳﺨﻲ ﻓﺎﻳﻞﻫﺎ ﺗﺤﻠﻴﻞ ﺷﺪﻩ ﺗﺎ ﺭﻓﺘﺎﺭﻫﺎﻱ ﻛﺎﺭﺑﺮ ﺷﻨﺎﺳﺎﺋﻲ ﮔﺸﺘﻪ‬
‫ﻭ ﺑﺼﻮﺭﺕ ﺧﻮﺩﻛﺎﺭ ﻗﻮﺍﻋﺪﻱ ﻛﻪ ﻧﻤﺎﻳﺶﺩﻫﻨﺪﺓ ﺍﻳﻦ ﺭﻓﺘﺎﺭﻫﺎﺳﺖ ﺗﻮﻟﻴﺪﮔﺮﺩﻧﺪ‪ .‬ﻗﻮﺍﻋﺪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﺸﺎﻥﺩﻫﻨﺪﺓ ﺭﻓﺘﺎﺭﻫﺎﻱ ﮔﺬﺷﺘﻪ‬
‫ﻛﺎﺭﺑﺮﺍﻥ‪ ،‬ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﺍﻭﻟﻮﻳﺖﻫﺎ‪ ،‬ﺷﻴﺎﺭﻫﺎﻱ ﺯﻣﺎﻧﻲ‪ ،‬ﺗﺮﻣﻴﻨﺎﻝﻫﺎ ﻭ ﻏﻴﺮﻩ ﺑﺎﺷﻨﺪ‪ .‬ﺁﻧﮕﺎﻩ ﺭﻓﺘﺎﺭﻫﺎﻱ ﺯﻣﺎﻥ ﺣﺎﻝ ﻣﺸﺎﻫﺪﻩ ﺷﺪﻩ ﻭ ﻫﺮ ﻋﻤﻞ ﺑﺎ ﻳﻚ‬
‫ﺳﺮﻱ ﻗﻮﺍﻋﺪ ﺗﻬﻴﻪ ﺷﺪﻩ ﻣﻘﺎﻳﺴﻪ ﮔﺸﺘﻪ ﺗﺎ ﻣﻌﻠﻮﻡ ﺷﻮﺩ ﺁﻳﺎ ﺍﻳﻦ ﻋﻤﻞ ﺟﺎﺭﻱ ﺑﺎ ﺗﺎﺭﻳﺨﭽﺔ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻋﻤﺎﻝ ﮔﺬﺷﺘﻪ ﻫﻤﺨﻮﺍﻧﻲ ﺩﺍﺭﺩ ﻳﺎ‬
‫ﺧﻴﺮ‪.‬‬
‫ﻫﻤﺎﻧﻨﺪ ﺗﺸﺨﻴﺺ ﺁﻣﺎﺭﻱ ﻧﺎﻫﻨﺠﺎﺭﻱ‪ ،‬ﺗﺸﺨﻴﺺ ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﺓ ﻧﺎﻫﻨﺠﺎﺭﻱ ﻧﻴﺎﺯ ﺑﻪ ﺷﻨﺎﺧﺖ ﻧﻘﺎﻁ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺍﻣﻨﻴﺘﻲ ﻳﻚ‬
‫ﺳﻴﺴﺘﻢ ﻧﺪﺍﺭﺩ‪ .‬ﺑﻠﻜﻪ ﺭﻭﺵ‪ ،‬ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﺸﺎﻫﺪﺓ ﺭﻓﺘﺎﺭ ﮔﺬﺷﺘﻪ ﺑﻮﺩﻩ ﻭ ﺩﺭ ﻭﺍﻗﻊ ﻓﺮﺽ ﻣﻲﻛﻨﺪ ﻛﻪ ﺁﻳﻨﺪﻩ ﻫﻢ ﻣﺜﻞ ﮔﺬﺷﺘﻪ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﺍﻳﻦ ﺭﻭﺵ ﺍﺛﺮﺑﺨﺶ ﺑﺎﺷﺪ‪ ،‬ﺑﻪ ﻳﻚ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﻧﺴﺒﺘﺎﹰ ﺣﺠﻴﻢ ﺍﺯ ﻗﻮﺍﻋﺪ ﻧﻴﺎﺯﻣﻨﺪﻳﻢ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ‪ ،‬ﺭﻭﺷﻲ ﻛﻪ ﺩﺭ‬
‫]‪ [VACC89‬ﺗﻮﺻﻴﻒ ﺷﺪﻩ ﺍﺳﺖ ﺑﻴﻦ ‪ ۱۰۴‬ﺗﺎ ‪ ۱۰۶‬ﻗﺎﻋﺪﻩ ﺩﺍﺭﺩ‪.‬‬
‫ﺷﻨﺎﺳﺎﺋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﻩ ﻧﻔﻮﺫ )‪ ،(Rule-based penetration identification‬ﺭﻭﺵ ﺑﺴﻴﺎﺭ ﻣﺘﻔﺎﻭﺗﻲ ﺭﺍ ﺑﺮﺍﻱ‬
‫ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺑﻜﺎﺭ ﻣﻲﺑﺮﺩ ﻛﻪ ﺑﺮ ﻣﺒﻨﺎﻱ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺧﺒﺮﻩ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﻣﺸﺨﺼﺔ ﻛﻠﻴﺪﻱ ﭼﻨﻴﻦ ﺳﻴﺴﺘﻢﻫﺎﺋﻲ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﻗﻮﺍﻋﺪ ﺑﺮﺍﻱ ﺷﻨﺎﺳﺎﺋﻲ ﻧﻔﻮﺫﻫﺎﻱ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﻭ ﻳﺎ ﻧﻔﻮﺫﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ﻧﻘﺎﻁ ﺿﻌﻒ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ ﻣﻲﺑﺎﺷﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ‬
‫ﻣﻲﺗﻮﺍﻥ ﻗﻮﺍﻋﺪﻱ ﺭﺍ ﺗﻌﺮﻳﻒ ﻛﺮﺩ ﻛﻪ ﺭﻓﺘﺎﺭﻫﺎﻱ ﻣﺸﻜﻮﻙ ﺭﺍ‪ ،‬ﺣﺘﻲ ﻭﻗﺘﻲ ﻛﻪ ﺩﺭ ﻣﺤﺪﻭﺩﺓ ﻗﺎﻧﻮﻧﻲ ﺭﻓﺘﺎﺭﻫﺎﻱ ﺗﻌﻴﻴﻦ ﺷﺪﻩ ﻛﺎﺭﺑﺮﺩﻫﺎ‬
‫ﻫﺴﺘﻨﺪ‪ ،‬ﺷﻨﺎﺳﺎﺋﻲ ﻧﻤﺎﻳﺪ‪ .‬ﻗﻮﺍﻋﺪﻱ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﺳﻴﺴﺘﻢﻫﺎ ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ‪ ،‬ﻧﻮﻋﺎﹰ ﻣﻨﺤﺼﺮ ﺑﻪ ﻣﺎﺷﻴﻦ ﻭ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺑﺨﺼﻮﺻﻲ ﻣﻲﺑﺎﺷﻨﺪ‪.‬‬
‫ﻫﻤﭽﻨﻴﻦ‪ ،‬ﭼﻨﻴﻦ ﻗﻮﺍﻋﺪﻱ ﺑﺠﺎﻱ ﺍﻳﻦﻛﻪ ﺑﺮ ﺍﺳﺎﺱ ﺗﺤﻠﻴﻞ ﺧﻮﺩﻛﺎﺭ ﺳﻮﺍﺑﻖ ﺗﻮﻟﻴﺪ ﺷﻮﻧﺪ ﺑﺘﻮﺳﻂ »ﺧﺒﺮﮔﺎﻥ« ﺗﺪﻭﻳﻦ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺭﻭﺵ‬
‫ﻣﻌﻤﻮﻝ ﻛﺎﺭ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﺎ ﻣﺪﻳﺮﺍﻥ ﺳﻴﺴﺘﻢ ﻭ ﺗﺤﻠﻴﻞﮔﺮﺍﻥ ﺍﻣﻨﻴﺘﻲ ﻣﺬﺍﻛﺮﻩ ﺷﺪﻩ ﺗﺎ ﺑﺮ ﺍﺳﺎﺱ ﺗﺠﺮﺑﻴﺎﺕ ﺁﻧﺎﻥ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ‬
‫ﺳﻨﺎﺭﻳﻮﻫﺎﻱ ﻧﻔﻮﺫ ﻭ ﻭﻗﺎﻳﻊ ﻛﻠﻴﺪﻱ ﻛﻪ ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ ﻫﺪﻑ ﺭﺍ ﺑﻪ ﻣﺨﺎﻃﺮﻩ ﻣﻲﺍﻧﺪﺍﺯﻧﺪ ﺟﻤﻊﺁﻭﺭﻱ ﮔﺮﺩﺩ‪ .‬ﺭﻭﺷﻦ ﺍﺳﺖ ﻛﻪ ﻛﺎﺭﺁﺋﻲ ﺍﻳﻦ‬
‫ﺭﻭﺵ‪ ،‬ﺑﺴﺘﮕﻲ ﺑﻪ ﻣﻬﺎﺭﺕ ﺍﻓﺮﺍﺩ ﻣﺮﺗﺒﻂ ﺩﺭ ﺟﻤﻊﺁﻭﺭﻱ ﻗﻮﺍﻋﺪ ﺧﻮﺍﻫﺪ ﺩﺍﺷﺖ‪.‬‬
‫ﻣﺜﺎﻝ ﺳﺎﺩﻩﺍﻱ ﺍﺯ ﻧﻮﻉ ﻗﻮﺍﻋﺪﻱ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﺩ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺩﺭ ‪ ،NIDX‬ﻳﻜﻲ ﺍﺯ ﺍﻭﻟﻴﻦ ﺳﻴﺴﺘﻢﻫﺎﺋﻲ ﻛﻪ‬
‫ﺍﺯ ﺷﻮﺍﻫﺪ ﺗﺎﺭﻳﺨﻲ ﺑﺮﺍﻱ ﻧﺴﺒﺖ ﺩﺍﺩﻥ ﺩﺭﺟﺎﺗﻲ ﺍﺯ ﺷﻚ ﻭ ﺷﺒﻬﻪ ﺑﻪ ﻓﻌﺎﻟﻴﺖﻫﺎ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺍﺳﺖ‪ ،‬ﭘﻴﺪﺍ ﻛﺮﺩ ]‪.[BAUE88‬‬
‫ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﺍﻳﻦ ﺷﻮﺍﻫﺪ ﺗﺎﺭﻳﺨﻲ ﭼﻨﻴﻦﺍﻧﺪ‪:‬‬
‫‪ -۱‬ﻛﺎﺭﺑﺮﺍﻥ ﻧﺒﺎﻳﺴﺘﻲ ﻓﺎﻳﻞﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ﭘﻮﺷﻪﻫﺎﻱ ﺷﺨﺼﻲ ﻛﺎﺭﺑﺮﺍﻥ ﺩﻳﮕﺮ ﺍﺳﺖ ﺭﺍ ﺑﺨﻮﺍﻧﻨﺪ‪.‬‬

‫‪ -۲‬ﻛﺎﺭﺑﺮﺍﻥ ﻧﺒﺎﻳﺴﺘﻲ ﺩﺭ ﻓﺎﻳﻞﻫﺎﻱ ﻛﺎﺭﺑﺮﺍﻥ ﺩﻳﮕﺮ ﺑﻨﻮﻳﺴﻨﺪ‪.‬‬
‫‪ -۳‬ﻛﺎﺭﺑﺮﺍﻧﻲ ﻛﻪ ﭘﺲ ﺍﺯ ﮔﺬﺷﺖ ﭼﻨﺪﺳﺎﻋﺖ ﻣﺠﺪﺩﺍﹰ ﻭﺍﺭﺩ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﻲﺷﻮﻧﺪ ﻣﻌﻤﻮﻻﹰ ﺑﻪ ﻫﻤﺎﻥ ﻓﺎﻳﻞﻫﺎﺋﻲ ﺭﺟﻮﻉ ﻣﻲﻛﻨﻨﺪﻛﻪ‬
‫ﻗﺒﻼﹰ ﺑﻪ ﺁﻧﻬﺎ ﻣﺮﺍﺟﻌﻪ ﻛﺮﺩﻩﺍﻧﺪ‪.‬‬
‫‪ -۴‬ﻛﺎﺭﺑﺮﺍﻥ ﻣﻌﻤﻮﻻﹰ ﺗﺠﻬﻴﺰﺍﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﺩﻳﺴﻚﻫﺎ ﺭﺍ ﻣﺴﺘﻘﻴﻤﺎﹰ ﺑﺎﺯ ﻧﻤﻲﻛﻨﻨﺪ ﺑﻠﻜﻪ ﻣﺘﻜﻲ ﺑﻪ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺳﻄﻮﺡ ﺑﺎﻻﺗﺮ ﺳﻴﺴﺘﻢ‬
‫ﻋﺎﻣﻞ ﻫﺴﺘﻨﺪ‪.‬‬
‫‪ -۵‬ﻛﺎﺭﺑﺮﺍﻥ ﻧﺒﺎﻳﺴﺘﻲ ﺑﻴﺶ ﺍﺯ ﻳﻜﺒﺎﺭ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻭﺍﺭﺩ ﺷﻮﻧﺪ‪.‬‬
‫‪ -۶‬ﻛﺎﺭﺑﺮﺍﻥ ﺍﺯ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺳﻴﺴﺘﻤﻲ ﻛﭙﻲ ﺗﻬﻴﻪ ﻧﻤﻲﻛﻨﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٤٦‬‬
‫ﺭﻭﺵ ﺷﻨﺎﺳﺎﺋﻲ ﻧﻔﻮﺫ ﺩﺭ ‪ IDES‬ﺑﻴﺎﻧﮕﺮ ﺍﺳﺘﺮﺍﺗﮋﻱ ﺩﻧﺒﺎﻝ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﺩﺭ ﺯﻣﺎﻥ ﺟﻤﻊﺁﻭﺭﻱ ﺑﺮﺭﺳﻲ ﺷﺪﻩ ﻭ ﺑﺎ‬
‫ﻗﻮﺍﻋﺪ ﻣﺒﻨﺎ ﻣﻘﺎﻳﺴﻪ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﮔﺮ ﺑﻴﻦ ﺍﻳﻦ ﺩﻭ ﺷﺒﺎﻫﺘﻲ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﻧﺮﺥ ﺷﻚ ﻛﺎﺭﺑﺮ ﺍﻓﺰﺍﻳﺶ ﻣﻲﻳﺎﺑﺪ‪ .‬ﺍﮔﺮ ﺗﻌﺪﺍﺩ ﺗﻄﺒﻴﻖ‬
‫ﻣﺸﺎﻫﺪﺍﺕ ﺑﺎ ﻗﻮﺍﻋﺪ ﻣﺒﻨﺎ ﺍﺯ ﻳﻚ ﺁﺳﺘﺎﻧﻪ ﻓﺮﺍﺗﺮ ﺭﻭﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﺷﻨﺎﺳﺎﺋﻲ ﻳﻚ ﺑﻴﮕﺎﻧﻪ ﮔﺰﺍﺭﺵ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺭﻭﺵ ‪ IDES‬ﻣﺒﺘﻨﻲ ﺑﺮ ﺑﺮﺭﺳﻲ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﺍﺳﺖ‪ .‬ﻳﻚ ﻧﻘﻄﺔ ﺿﻌﻒ ﺍﻳﻦ ﻃﺮﺡ‪ ،‬ﻧﺪﺍﺷﺘﻦ ﻗﺎﺑﻠﻴﺖ ﺍﻧﻌﻄﺎﻑ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻳﻚ‬
‫ﺳﻨﺎﺭﻳﻮﻱ ﻧﻔﻮﺫ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺘﻮﺍﻥ ﺳﻮﺍﺑﻖ ﻣﺘﻨﻮﻋﻲ ﺭﺍ ﻛﻪ ﻫﺮ ﻳﻚ ﺍﺯ ﺁﻧﻬﺎ ﺑﺎ ﺩﻳﮕﺮﻱ ﺍﺧﺘﻼﻑ ﺟﺰﺋﻲ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﻣﻌﻴﺎﺭ ﻗﻀﺎﻭﺕ ﻗﺮﺍﺭ‬
‫ﺩﺍﺩ‪ .‬ﻣﺸﻜﻞ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺷﺎﻳﺪ ﻧﺘﻮﺍﻥ ﺍﻳﻦ ﻣﻘﺪﺍﺭ ﺗﻨﻮﻉ ﺯﻳﺎﺩ ﺭﺍ ﺩﺭ ﻗﻮﺍﻋﺪ ﺻﺮﻳﺤﻲ ﺟﻤﻊﺁﻭﺭﻱ ﻧﻤﻮﺩ‪ .‬ﺭﻭﺵ ﺩﻳﮕﺮ ﺗﻬﻴﺔ ﻳﻚ ﻣﺪﻝ‬
‫ﺳﻄﺢ ﺑﺎﻻﺗﺮﻱ ﺍﺳﺖ ﻛﻪ ﻣﺴﺘﻘﻞ ﺍﺯ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﻋﻤﻞ ﻛﻨﺪ‪ .‬ﻣﺜﺎﻟﻲ ﺍﺯ ﺍﻳﻦ ﺩﺳﺖ‪ ،‬ﻣﺪﻝ ﮔﺬﺭ ﺍﺯ ﺣﺎﻻﺕ ‪ USTAT‬ﺍﺳﺖ‬
‫]‪ USTAT .[ILGU93‬ﺑﺠﺎﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻓﺘﺎﺭﻫﺎﻱ ﻣﺸﺨﺺ ﺑﺎ ﺟﺰﺋﻴﺎﺕ ﻛﺎﻣﻞ ﻛﻪ ﺩﺭ ﻣﻜﺎﻧﻴﺴﻢ ﺛﺒﺖ ﺳﻮﺍﺑﻖ ‪ UNIX‬ﺩﻳﺪﻩ ﺷﺪﻩ‬
‫ﺍﺳﺖ ﺍﺯ ﺭﻓﺘﺎﺭﻫﺎﻱ ﻛﻠﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ USTAT .‬ﺭﻭﻱ ﻳﻚ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ‪ SunOS‬ﺳﺎﺧﺘﻪ ﺷﺪﻩ ﻛﻪ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ‪۲۳۹‬‬
‫ﭘﻴﺸﺎﻣﺪ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺍﺯ ﺍﻳﻦ ﺗﻌﺪﺍﺩ ﺗﻨﻬﺎ ‪ ۲۸‬ﺗﺎ ﺑﺮﺍﻱ ﭘﺮﺩﺍﺯﺵ ﺍﻭﻟﻴﻪ ﺑﻜﺎﺭ ﻣﻲﺭﻭﻧﺪ ﻛﻪ ﻣﻨﺠﺮ ﺑﻪ ‪ ۱۰‬ﻋﻤﻞ ﻣﺨﺘﻠﻒ ﻣﻲﺷﻮﻧﺪ‬
‫)ﺟﺪﻭﻝ ‪ .(۹-۲‬ﺗﻨﻬﺎ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻳﻦ ﺍﻋﻤﺎﻝ ﻭ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﺋﻲ ﻛﻪ ﺑﺎ ﻫﺮ ﻋﻤﻞ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ‪ ،‬ﻳﻚ ﺩﻳﺎﮔﺮﺍﻡ ﺣﺎﻟﺖ ﻛﻪ ﻓﻌﺎﻟﻴﺖ‬
‫ﻣﺸﻜﻮﻙ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﺳﺎﺧﺘﻪ ﻣﻲﺷﻮﺩ‪ .‬ﭼﻮﻥ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﻗﺎﺑﻞ ﻣﻤﻴﺰﻱ ﻣﺨﺘﻠﻒ ﺑﻪ ﺗﻌﺪﺍﺩ ﻛﻤﺘﺮﻱ ﻋﻤﻞ ﻧﮕﺎﺷﺖ‬
‫ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺭﻭﺵ ﺧﻠﻖ ﻗﻮﺍﻋﺪ ﺳﺎﺩﻩﺗﺮ ﺍﺳﺖ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ‪ ،‬ﻣﺪﻝ ﺩﻳﺎﮔﺮﺍﻡ ﺣﺎﻟﺖ ﭘﺲ ﺍﺯ ﻣﺸﺎﻫﺪﺓ ﺭﻓﺘﺎﺭﻫﺎﻱ ﺗﻬﺎﺟﻤﻲ ﺟﺪﻳﺪ‪ ،‬ﺑﻪ ﻓﺮﻡ‬
‫ﺳﺎﺩﻩﺗﺮﻱ ﻗﺎﺑﻞ ﺟﺮﺡ ﻭ ﺗﻌﺪﻳﻞ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﻋﻤﻠﻴﺎﺕ ‪ USTAT‬ﺩﺭ ﺑﺮﺍﺑﺮ ﺍﻧﻮﺍﻉ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ‪SunOS‬‬ ‫ﺟﺪﻭﻝ ‪۹-۲‬‬
‫‪USTAT Action‬‬ ‫‪SunOS Event Type‬‬
‫‪Read‬‬ ‫‪open_r, open_rc, open_rtc, open_rwc‬‬

‫‪open_rwtc, open_rt, open_rw,‬‬
‫‪open_rwt‬‬
‫‪Write‬‬ ‫‪truncate, ftruncate, creat, open_rtc,‬‬
‫‪open_rwc, open_rwtc, open_rt,‬‬
‫‪open_rw, open_rwt, open_w, open_wt‬‬
‫‪open_wc, open_wct‬‬
‫‪Create‬‬ ‫‪mkdir, creat, open_rc, open_rtc,‬‬
‫‪open_rwc, open_rwtc, open_wc,‬‬
‫‪open_wtc, mknod‬‬
‫‪Delete‬‬ ‫‪rmdir, unlink‬‬
‫‪Execute‬‬ ‫‪exec, execve‬‬
‫‪Exit‬‬ ‫‪exit‬‬
‫‪Modify_Owner‬‬ ‫‪chown, fchown‬‬
‫‪Modify_Perm‬‬ ‫‪chmod, fchmod‬‬
‫‪Rename‬‬ ‫‪rename‬‬
‫‪Hardlink‬‬ ‫‪link‬‬
‫‪٣٤٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﺧﻄﺎﻱ ﻧﺮﺥ ﭘﺎﻳﺔ )‪(Base-Rate Fallacy‬‬
‫ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﻛﺎﺭﺑﺮﺩ ﻋﻤﻠﻲ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺑﺘﻮﺍﻧﺪ ﺩﺭﺻﺪ ﻗﺎﺑﻞ ﺗﻮﺟﻬﻲ ﺍﺯ ﺗﻬﺎﺟﻢﻫﺎ ﺭﺍ ﺗﺸﺨﻴﺺ‬
‫ﺩﺍﺩﻩ ﻭ ﺩﺭ ﻋﻴﻦ ﺣﺎﻝ ﻧﺮﺥ ﺁﻻﺭﻡﻫﺎﻱ ﻛﺎﺫﺏ ﺭﺍ ﺩﺭ ﺣﺪ ﻗﺎﺑﻞ ﻗﺒﻮﻟﻲ ﭘﺎﺋﻴﻦ ﻧﮕﺎﻩ ﺩﺍﺭﺩ‪ .‬ﺍﮔﺮ ﺗﻨﻬﺎ ﺩﺭﺻﺪ ﻣﺘﻮﺳﻄﻲ ﺍﺯ ﺗﻬﺎﺟﻢﻫﺎﻱ ﻭﺍﻗﻌﻲ‬
‫ﺷﻨﺎﺳﺎﺋﻲ ﺷﻮﻧﺪ‪ ،‬ﺳﻴﺴﺘﻢ ﺣﺲ ﺍﻣﻨﻴﺘﻲ ﻛﺎﺫﺑﻲ ﺭﺍ ﺍﻳﺠﺎﺩ ﺧﻮﺍﻫﺪ ﻛﺮﺩ‪ .‬ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ ﺍﮔﺮ ﺳﻴﺴﺘﻢ ﺩﺭ ﻣﻮﺍﻗﻌﻲ ﻛﻪ ﺗﻬﺎﺟﻤﻲ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ‬
‫ﻫﺸﺪﺍﺭ ﺩﻫﺪ )ﺁﻻﺭﻡ ﻛﺎﺫﺏ(‪ ،‬ﺁﻧﮕﺎﻩ ﻳﺎ ﻣﺪﻳﺮﺍﻥ ﺳﻴﺴﺘﻢ ﺁﻻﺭﻡﻫﺎ ﺭﺍ ﺟﺪﻱ ﻧﺨﻮﺍﻫﻨﺪ ﮔﺮﻓﺖ ﻭ ﻳﺎ ﺯﻣﺎﻥ ﺯﻳﺎﺩﻱ ﺩﺭ ﺭﺍﻩ ﺗﺤﻠﻴﻞ ﺁﻻﺭﻡﻫﺎﻱ‬
‫ﻛﺎﺫﺏ ﺗﻠﻒ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﻣﺘﺎﺳﻔﺎﻧﻪ‪ ،‬ﺑﻌﻠﺖ ﺍﺣﺘﻤﺎﻟﻲ ﺑﻮﺩﻥ ﻭﻗﺎﻳﻊ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻳﻦ ﻣﺴﺎﻟﻪ‪ ،‬ﺑﺴﻴﺎﺭ ﻣﺸﻜﻞ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺍﻥ ﻧﺮﺥ ﺑﺎﻻﻱ ﻛﺸﻒ ﺗﻬﺎﺟﻤﺎﺕ ﺭﺍ ﺑﺎ‬
‫ﻧﺮﺥ ﻛﻢ ﺁﻻﺭﻡﻫﺎﻱ ﻛﺎﺫﺏ ﻫﻤﺮﺍﻩ ﻛﺮﺩ‪ .‬ﺑﻄﻮﺭ ﻛﻠﻲ ﺍﮔﺮ ﺗﻌﺪﺍﺩ ﻭﺍﻗﻌﻲ ﺗﻬﺎﺟﻤﺎﺕ ﺩﺭ ﻣﻘﺎﻳﺴﻪ ﺑﺎ ﺗﻌﺪﺍﺩ ﺩﻓﻌﺎﺕ ﺍﺳﺘﻔﺎﺩﺓ ﻗﺎﻧﻮﻧﻲ ﺍﺯ ﺳﻴﺴﺘﻢ‬
‫ﻛﻢ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﻧﺮﺥ ﺁﻻﺭﻡﻫﺎﻱ ﻛﺎﺫﺏ ﺑﺎﻻ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﻣﮕﺮ ﺍﻳﻨﻜﻪ ﺗﺴﺖﻫﺎ ﺑﺘﻮﺍﻧﻨﺪ ﺑﺼﻮﺭﺕ ﻓﻮﻕﺍﻟﻌﺎﺩﻩﺍﻱ ﺑﻴﻦ ﺻﺤﺖ ﻭ ﺳﻘﻢ ﻭﻗﺎﻳﻊ‬
‫ﺗﻔﺎﻭﺕ ﻗﺎﺋﻞ ﺷﻮﻧﺪ‪ .‬ﻳﻚ ﺑﺮﺭﺳﻲ ﺍﺯ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﻛﻪ ﺩﺭ ]‪ [AXEL00‬ﮔﺰﺍﺭﺵ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ‬
‫ﺳﻴﺴﺘﻢﻫﺎﻱ ﺟﺎﺭﻱ ﺑﺮ ﻣﺸﻜﻞ ﺧﻄﺎﻱ ﻧﺮﺥ ﭘﺎﻳﺔ ﻓﺎﻳﻖ ﻧﺸﺪﻩﺍﻧﺪ‪ .‬ﺑﺮﺍﻱ ﺁﮔﺎﻫﻲ ﻣﺨﺘﺼﺮﻱ ﺍﺯ ﺭﻳﺎﺿﻲ ﺍﻳﻦ ﺑﺤﺚ ﺑﻪ ﺿﻤﻴﻤﺔ ‪ -۹‬ﺍﻟﻒ‬
‫ﻣﺮﺍﺟﻌﻪ ﺷﻮﺩ‪.‬‬
‫ﺗﺸﺨﻴﺺ ﺗﻮﺯﻳﻊ ﺷﺪﺓ ﺗﻬﺎﺟﻢ‬
‫ﺗﺎ ﺯﻣﺎﻥﻫﺎﻱ ﺍﺧﻴﺮ‪ ،‬ﻛﺎﺭ ﺑﺮ ﺭﻭﻱ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﻣﻨﺤﺼﺮ ﺑﻪ ﺗﺠﻬﻴﺰﺍﺕ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﻨﻔﺮﺩ ﻭ ﻣﺘﻜﻲ ﺑﻪ ﺧﻮﺩ ﺑﻮﺩ‪.‬‬
‫ﺳﺎﺯﻣﺎﻥﻫﺎﻱ ﻛﻨﻮﻧﻲ ﻧﻮﻋﺎﹰ ﻧﻴﺎﺯ ﺑﻪ ﻳﻚ ﺩﻓﺎﻉ ﻛﺎﺭﺁﻣﺪ ﺍﺯ ﻣﺠﻤﻮﻋﺔ ﺗﻮﺯﻳﻊ ﺷﺪﺓ ﻣﻴﺰﺑﺎﻥﻫﺎﺋﻲ ﺭﺍ ﺩﺍﺭﻧﺪ ﻛﻪ ﺑﺘﻮﺳﻂ ﺷﺒﻜﻪﻫﺎﻱ ‪ LAN‬ﻭ ﻳﺎ‬
‫ﺍﻳﻨﺘﺮﻧﺖ ﺑﻬﻢ ﻣﺘﺼﻞﺍﻧﺪ‪ .‬ﺍﮔﺮﭼﻪ ﻣﻲﺗﻮﺍﻥ ﺑﺮﺍﻱ ﻫﺮ ﻣﻴﺰﺑﺎﻥ‪ ،‬ﻳﻚ ﻋﻤﻠﻴﺎﺕ ﺩﻓﺎﻋﻲ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺭﺍ ﺑﻄﻮﺭ ﺟﺪﺍﮔﺎﻧﻪ ﺑﻮﺟﻮﺩ ﺁﻭﺭﺩ ﻭﻟﻲ ﺑﺎ‬
‫ﻫﻤﺎﻫﻨﮕﻲ ﻭ ﻫﻤﻜﺎﺭﻱ ﺑﻴﻦ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﻣﻨﺼﻮﺑﻪ ﺑﺮ ﺭﻭﻱ ﺷﺒﻜﻪ‪ ،‬ﻣﻲﺗﻮﺍﻥ ﺩﻓﺎﻉ ﻣﺆﺛﺮﺗﺮﻱ ﺭﺍ ﺍﻳﺠﺎﺩ ﻛﺮﺩ‪.‬‬
‫‪ Porras‬ﻣﻘﻮﻟﻪﻫﺎﻱ ﻋﻤﺪﻩ ﺯﻳﺮ ﺭﺍ ﺩﺭ ﻃﺮﺍﺣﻲ ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﻮﺯﻳﻊﺷﺪﺓ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﻳﺎﺩﺁﻭﺭﻱ ﻣﻲﻛﻨﺪ]‪:[PORR92‬‬
‫ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﻮﺯﻳﻊﺷﺪﺓ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻓﺮﻣﺖﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﻧﻴﺎﺯ ﺩﺍﺷﺘﻪ‬ ‫•‬
‫ﺑﺎﺷﺪ‪ .‬ﺩﺭ ﻳﻚ ﻣﺤﻴﻂ ﻧﺎﻣﺘﺠﺎﻧﺲ‪ ،‬ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺍﺯ ﺭﻭﺵﻫﺎﻱ ﺟﻤﻊﺁﻭﺭﻱ ﺳﻮﺍﺑﻖ ﺑﻮﻣﻲ ﻣﺨﺘﻠﻔﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ‬
‫ﺍﮔﺮﺍﺯ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﻨﺪ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﻓﺮﻣﺖﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺍﺯ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺑﻜﺎﺭ ﮔﻴﺮﻧﺪ‪.‬‬
‫ﻳﻚ ﻭ ﻳﺎ ﭼﻨﺪ ﮔﺮﻩ ﺍﺯ ﺷﺒﻜﻪ ﺑﻌﻨﻮﺍﻥ ﻧﻘﺎﻁ ﺟﻤﻊﺁﻭﺭﻱ ﻭ ﺗﺤﻠﻴﻞ ﺩﺍﺩﻩﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺷﺒﻜﻪ ﺑﻜﺎﺭ ﺧﻮﺍﻫﻨﺪ ﺭﻓﺖ‪.‬‬ ‫•‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﺩﻳﺘﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﻳﺎ ﺑﺼﻮﺭﺕ ﺧﺎﻡ ﻭ ﻳﺎ ﺑﺼﻮﺭﺕ ﺧﻼﺻﻪ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻋﺮﺽ ﺷﺒﻜﻪ ﻣﻨﺘﻘﻞ ﮔﺮﺩﺩ‬
‫ﻭ ﻻﺯﻡ ﺍﺳﺖ ﻛﻪ ﺍﺻﺎﻟﺖ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﺍﻳﻦ ﺩﺍﺩﻩﻫﺎ ﺗﻀﻤﻴﻦ ﺷﻮﺩ‪ .‬ﺍﺻﺎﻟﺖ ﺩﺍﺩﻩﻫﺎ ﺍﺯ ﺍﻳﻨﺠﻬﺖ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ ﻛﻪ ﻳﻚ‬
‫ﻣﻬﺎﺟﻢ ﻧﺘﻮﺍﻧﺪ ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﺧﻮﺩ ﺭﺍ ﺑﺎ ﺗﻐﻴﻴﺮ ﺩﺍﺩﻥ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﺍﻧﺘﻘﺎﻝ ﻳﺎﻓﺘﻪ‪ ،‬ﺩﺭ ﭘﺸﺖ ﻧﻘﺎﺑﻲ ﭘﻨﻬﺎﻥ ﻧﻤﺎﻳﺪ‪ .‬ﻣﺤﺮﻣﺎﻧﮕﻲ‬
‫ﺩﺍﺩﻩﻫﺎ ﻧﻴﺰ ﺍﺯ ﺍﻳﻨﺠﻬﺖ ﻣﻬﻢ ﺍﺳﺖ ﻛﻪ ﺍﻃﻼﻋﺎﺕ ﻣﻤﻴﺰﻱ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺍﻃﻼﻋﺎﺕ ﮔﺮﺍﻧﻘﻴﻤﺘﻲ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﻫﻢ ﻳﻚ ﻣﻌﻤﺎﺭﻱ ﻣﺘﻤﺮﻛﺰ ﻭ ﻫﻢ ﻳﻚ ﻣﻌﻤﺎﺭﻱ ﻏﻴﺮﻣﺘﻤﺮﻛﺰ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﺑﻜﺎﺭ ﺭﻭﺩ‪ .‬ﺩﺭ ﻳﻚ ﻣﻌﻤﺎﺭﻱ‬ ‫•‬
‫ﻣﺘﻤﺮﻛﺰ‪ ،‬ﺗﻨﻬﺎ ﻳﻚ ﻧﻘﻄﺔ ﻣﺮﻛﺰﻱ ﺟﻤﻊﺁﻭﺭﻱ ﻭ ﺗﺤﻠﻴﻞ ﺩﺍﺩﻩﻫﺎﻱ ﻣﻤﻴﺰﻱ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻭﻇﻴﻔﺔ ﺍﺭﺗﺒﺎﻁ ﺩﺍﺩﻥ‬
‫ﮔﺰﺍﺭﺷﺎﺕ ﻭﺭﻭﺩﻱ ﺑﻪ ﻳﻜﺪﻳﮕﺮ ﺭﺍ ﺗﺴﻬﻴﻞ ﻧﻤﻮﺩﻩ ﻭﻟﻲ ﺑﺎﻋﺚ ﺍﻳﺠﺎﺩ ﻳﻚ ﮔﻠﻮﮔﺎﻩ ﻭ ﻳﺎ ﻳﻚ ﻧﻘﻄﺔ ﺧﺮﺍﺑﻲ ﻣﻨﻔﺮﺩ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ‬
‫ﻳﻚ ﻣﻌﻤﺎﺭﻱ ﻏﻴﺮﻣﺘﻤﺮﻛﺰ ﺑﻴﺶ ﺍﺯ ﻳﻚ ﻣﺮﻛﺰ ﺟﻤﻊﺁﻭﺭﻱ ﻭ ﺗﺤﻠﻴﻞ ﺩﺍﺩﻩﻫﺎ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﻛﻪ ﺍﻟﺒﺘﻪ ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﻫﻢ‬
‫ﻫﻤﺎﻫﻨﮕﻲ ﻧﻤﻮﺩﻩ ﻭ ﺍﻃﻼﻋﺎﺕ ﺭﺍ ﻣﺒﺎﺩﻟﻪ ﻛﻨﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٤٨‬‬
‫ﻣﺜﺎﻝ ﺧﻮﺑﻲ ﺍﺯ ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﻮﺯﻳﻊﺷﺪﺓ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ‪ ،‬ﺩﺭ ﺩﺍﻧﺸﮕﺎﻩ ﻛﺎﻟﻴﻔﺮﻧﻴﺎ ﺩﺭ ‪ Davis‬ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‬
‫]‪ .[HEBE92,SNAP91‬ﺷﻜﻞ ‪ ۹-۲‬ﻣﻌﻤﺎﺭﻱ ﻛﻠﻲ ﺍﻳﻦ ﻃﺮﺡ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪﻛﻪ ﺍﺯ ﺳﻪ ﻣﺆﻟﻔﺔ ﺍﺻﻠﻲ ﺗﺸﻜﻴﻞ ﻣﻲﮔﺮﺩﺩ‪:‬‬
‫ﻣﺪﻭﻝ ﻋﺎﻣﻞ ﻣﻴﺰﺑﺎﻥ‪ :‬ﻳﻚ ﻣﺪﻭﻝ ﺟﻤﻊﺁﻭﺭﻱ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﻛﻪ ﺑﺼﻮﺭﺕ ﻳﻚ ﭘﺮﺩﺍﺯﺵ ﭘﺸﺖ ﭘﺮﺩﻩ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﭘﺎﻳﺶ‬ ‫•‬
‫ﺷﺪﻩ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪ .‬ﻫﺪﻑ ﺁﻥ ﺟﻤﻊﺁﻭﺭﻱ ﺩﺍﺩﻩﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ ﺩﺭ ﺳﻴﺴﺘﻢ ﻣﻴﺰﺑﺎﻥ ﻭ ﺍﻧﺘﻘﺎﻝ‬
‫ﺁﻥ ﺑﻪ ﻳﻚ ﻣﺪﻳﺮ ﻣﺮﻛﺰﻱ ﺍﺳﺖ‪.‬‬
‫ﻣﺪﻭﻝ ﻋﺎﻣﻞ ﭘﺎﻳﺸﮕﺮ ‪ :LAN‬ﺑﻬﻤﺎﻥ ﺭﻭﺵ ﻣﺪﻭﻝ ﻋﺎﻣﻞ ﻣﻴﺰﺑﺎﻥ ﻛﺎﺭ ﻛﺮﺩﻩ ﺑﺠﺰ ﺍﻳﻨﻜﻪ ﺗﺮﺍﻓﻴﻚ ‪ LAN‬ﺭﺍ ﺗﺠﺰﻳﻪ ﻭ ﺗﺤﻠﻴﻞ‬ ‫•‬
‫ﻛﺮﺩﻩ ﻭ ﻧﺘﺎﻳﺞ ﺭﺍ ﺑﻪ ﻣﺪﻳﺮ ﻣﺮﻛﺰﻱ ﮔﺰﺍﺭﺵ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻣﺪﻭﻝ ﻣﺪﻳﺮﻳﺖ ﻣﺮﻛﺰﻱ‪ :‬ﮔﺰﺍﺭﺷﺎﺕ ﺭﺍ ﺍﺯ ﻣﻴﺰﺑﺎﻥﻫﺎ ﻭ ﭘﺎﻳﺸﮕﺮ ‪ LAN‬ﮔﺮﻓﺘﻪ‪ ،‬ﺁﻧﻬﺎ ﺭﺍ ﭘﺮﺩﺍﺯﺵ ﻧﻤﻮﺩﻩ‪ ،‬ﻫﻤﺒﺴﺘﮕﻲ ﺁﻧﻬﺎ ﺭﺍ‬ ‫•‬
‫ﺟﺴﺘﺠﻮ ﻛﺮﺩﻩ ﻭ ﺗﻬﺎﺟﻢ ﺭﺍ ﺗﺸﺨﻴﺺ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺭﻭﺵ ﻃﻮﺭﻱ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﻣﺴﺘﻘﻞ ﺍﺯ ﻧﻮﻉ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻭ ﻳﺎ ﺭﻭﺵ ﺟﻤﻊﺁﻭﺭﻱ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﺳﻴﺴﺘﻢ ﺍﺳﺖ‪.‬‬
‫ﺷﻜﻞ ‪ [SNAP91] ۹-۳‬ﺭﻭﺵ ﻛﻠﻲ ﺑﺮﺧﻮﺭﺩ ﺑﺎ ﻣﺴﺄﻟﻪ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻭﺍﺣﺪ ﻋﻤﻞﻛﻨﻨﺪﻩ ﻫﺮ ﺳﺎﺑﻘﻪﺍﻱ ﺭﺍ ﻛﻪ ﺑﺘﻮﺳﻂ ﺳﻴﺴﺘﻢﻫﺎﻱ‬
‫ﺛﺒﺖ ﺳﻮﺍﺑﻖ ﺑﻮﻣﻲ ﺟﻤﻊﺁﻭﺭﻱ ﻣﻲﺷﻮﺩ ﻣﻲﮔﻴﺮﺩ‪ .‬ﻓﻴﻠﺘﺮ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﻃﻮﺭﻱ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺗﻨﻬﺎ ﺳﻮﺍﺑﻘﻲ ﺭﺍ ﻛﻪ ﺍﺯ ﻧﻈﺮ‬
‫ﺍﻣﻨﻴﺘﻲ ﺩﺍﺭﺍﻱ ﺍﻫﻤﻴﺖ ﻫﺴﺘﻨﺪ ﻧﮕﺎﻩ ﺩﺍﺭﺩ‪ .‬ﺳﻮﺍﺑﻖ ﻧﮕﺎﻫﺪﺍﺭﻱ ﺷﺪﻩ ﺁﻧﮕﺎﻩ ﻃﻮﺭﻱ ﻓﺮﻣﺘﺸﺎﻥ ﻋﻮﺽ ﻣﻲﺷﻮﺩ ﺗﺎ ﺑﻪ ﻓﺮﻡ ﻳﻚ ﻓﺮﻣﺖ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻛﻪ ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ ﻣﻴﺰﺑﺎﻥ )‪ (HAR‬ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ ﺩﺭﺁﻳﻨﺪ‪ .‬ﺁﻧﮕﺎﻩ ﻳﻚ ﻣﺪﻭﻝ ﻣﻨﻄﻘﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﺍﻟﮕﻮ‪ ،‬ﺳﻮﺍﺑﻖ ﺭﺍ ﺑﻤﻨﻈﻮﺭ‬
‫ﻛﺸﻒ ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﻣﺸﻜﻮﻙ ﺗﺠﺰﻳﻪ ﻭ ﺗﺤﻠﻴﻞ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﭘﺎﺋﻴﻦﺗﺮﻳﻦ ﺳﻄﺢ‪ ،‬ﻭﺍﺣﺪ ﻋﻤﻞﻛﻨﻨﺪﻩ ﺑﻪ ﺩﻧﺒﺎﻝ ﭘﻴﺸﺎﻣﺪﻫﺎﺋﻲ ﻣﻲﮔﺮﺩﺩ ﻛﻪ‬
‫ﻣﺴﺘﻘﻞ ﺍﺯ ﻫﺮ ﭘﻴﺸﺎﻣﺪ ﻗﺒﻠﻲ ﻣﻮﺭﺩ ﺗﻮﺟﻪﺍﻧﺪ‪ .‬ﺷﻜﺴﺖ ﺩﺭ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻳﻚ ﻓﺎﻳﻞ‪ ،‬ﺗﻼﺵ ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻓﺎﻳﻞﻫﺎﻱ ﺳﻴﺴﺘﻢ‪ ،‬ﻭ ﺗﻐﻴﻴﺮ‬
‫‪LAN Monitor‬‬
‫‪Host‬‬ ‫‪Host‬‬
‫‪Agent‬‬
‫‪module‬‬
‫‪Router‬‬
‫‪WAN‬‬
‫‪Central Manager‬‬
‫‪Manager‬‬
‫‪module‬‬
‫ﻣﻌﻤﺎﺭﻱ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﺗﻮﺯﻳﻊ ﺷﺪﺓ ﺗﻬﺎﺟﻢ‬ ‫ﺷﻜﻞ ‪۹-۲‬‬

‫‪٣٤٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﺩﺭ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻳﻚ ﻓﺎﻳﻞ‪ ،‬ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﺍﻳﻦ ﻧﻮﻉﺍﻧﺪ‪ .‬ﺩﺭ ﻳﻚ ﺳﻄﺢ ﺑﺎﻻﺗﺮ‪ ،‬ﻭﺍﺣﺪ ﻋﻤﻞﻛﻨﻨﺪﻩ ﺑﻪ ﺩﻧﺒﺎﻝ ﺯﻧﺠﻴﺮﻩﺍﻱ ﺍﺯ ﭘﻴﺸﺎﻣﺪﻫﺎ‬
‫ﻣﺎﻧﻨﺪ ﭘﺘﺮﻥ ﺣﻤﻠﻪﻫﺎﻱ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ )ﺍﻣﻀﺎﺀﻫﺎ( ﻣﻲﮔﺮﺩﺩ‪ .‬ﺑﺎﻻﺧﺮﻩ ﺑﺮ ﺍﺳﺎﺱ ﭘﺮﻭﻓﺎﻳﻞ ﺗﺎﺭﻳﺨﭽﺔ ﺭﻓﺘﺎﺭﻱ ﻳﻚ ﻛﺎﺭﺑﺮ‪ ،‬ﺭﻓﺘﺎﺭ ﻣﺸﻜﻮﻙ‬
‫ﺁﻥ ﻛﺎﺭﺑﺮ ﺭﺍ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻘﻮﻟﻪ‪ ،‬ﺗﻌﺪﺍﺩ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺍﺟﺮﺍﺷﺪﻩ‪ ،‬ﺗﻌﺪﺍﺩ ﻓﺎﻳﻞﻫﺎﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﻭ ﺍﻣﺜﺎﻝ‬
‫ﺁﻥ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﺧﻮﺍﻫﻨﺪ ﺑﻮﺩ‪.‬‬
‫ﻭﻗﺘﻲ ﻓﻌﺎﻟﻴﺖ ﻣﺸﻜﻮﻛﻲ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﻳﻚ ﻫﺸﺪﺍﺭ ﺑﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ ﻣﺮﻛﺰﻱ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﻣﺪﻳﺮﻳﺖ ﻣﺮﻛﺰﻱ‬
‫ﺷﺎﻣﻞ ﻳﻚ ﺳﻴﺴﺘﻢ ﺧﺒﺮﻩ ﺑﻮﺩﻩ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ﺩﺍﺩﻩﻫﺎﻱ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ‪ ،‬ﮔﻤﺎﻧﻲ ﺭﺍ ﺍﺳﺘﺨﺮﺍﺝ ﻧﻤﺎﻳﺪ‪ .‬ﻣﺪﻳﺮﻳﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﻫﺮ‬
‫ﻣﻴﺰﺑﺎﻥ‪ ،‬ﻧﺴﺨﺔ ‪ HAR‬ﺍﻭ ﺭﺍ ﺩﺭﺧﻮﺍﺳﺖ ﻧﻤﺎﻳﺪ ﺗﺎ ﺁﻧﻬﺎ ﺭﺍ ﺑﺎ ﻳﻜﺪﻳﮕﺮ ﻣﻘﺎﻳﺴﻪ ﻛﻨﺪ‪.‬‬
‫ﭘﺎﻳﺸﮕﺮ ‪ LAN‬ﻧﻴﺰ ﺍﻃﻼﻋﺎﺗﻲ ﺭﺍ ﺑﺮﺍﻱ ﻣﺪﻳﺮﻳﺖ ﻣﺮﻛﺰﻱ ﻓﺮﺍﻫﻢ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺍﻳﻦ ﻋﺎﻣﻞ‪ ،‬ﺍﺗﺼﺎﻻﺕ ﻣﻴﺰﺑﺎﻥﻫﺎ ﺑﻪ ﻳﻜﺪﻳﮕﺮ ﻭ‬
‫ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﻭ ﺣﺠﻢ ﺗﺮﺍﻓﻴﻚ ﺭﺍ ﺛﺒﺖ ﻣﻲﻛﻨﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﻗﺎﺑﻞ ﺗﻮﺟﻪ ﺍﺯ ﻗﺒﻴﻞ ﺗﻐﻴﻴﺮ ﻧﺎﮔﻬﺎﻧﻲ ﺑﺎﺭ ﺷﺒﻜﻪ‪،‬‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺳﺮﻭﻳﺲﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ‪ ،‬ﻭ ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﺷﺒﻜﻪ ﻣﺎﻧﻨﺪ ‪ rlogin‬ﺑﺘﻮﺳﻂ ﻫﻤﻴﻦ ﻋﺎﻣﻞ ﺟﺴﺘﺠﻮ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻣﻌﻤﺎﺭﻱ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺩﺭ ﺷﻜﻞﻫﺎﻱ ‪ ۹-۲‬ﻭ ‪ ۹-۳‬ﻛﺎﻣﻼﹰ ﻋﺎﻡ ﻭ ﻗﺎﺑﻞ ﺍﻧﻌﻄﺎﻑ ﺍﺳﺖ‪ .‬ﺍﻳـﻦ ﻣﻌﻤـﺎﺭﻱ ﺯﻳﺮﺑﻨـﺎﻱ ﻻﺯﻡ ﺑـﺮﺍﻱ‬
‫ﺑﺮﺧﻮﺭﺩﻱ ﻣﺴﺘﻘﻞ ﺍﺯ ﺳﻴﺴﺘﻢ‪ ،‬ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺍﺯ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﻣﺮﺑﻮﻁ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﻨﻔﺮﺩ ﺗﺎ ﺍﺭﺗﺒﺎﻁ ﺩﺍﺩﻥ ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﺳﺎﻳﺖﻫﺎﻱ‬
‫ﻣﺨﺘﻠﻒ ﺷﺒﻜﻪ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﻳﻚ ﻓﻌﺎﻟﻴﺖ ﻣﺸﻜﻮﻙ ﺭﺍ ﺑﭙﻮﺷﺎﻧﺪ‪ ،‬ﺗﺄﻣﻴﻦ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪OS audit‬‬
‫‪information‬‬
‫‪Central‬‬
‫‪Filter‬‬ ‫‪manager‬‬
‫‪Host audit‬‬
‫‪record‬‬
‫‪Logic‬‬ ‫‪Alerts‬‬ ‫‪Query/‬‬

‫‪response‬‬
‫‪Notable activity‬‬ ‫‪Agent‬‬

‫‪Signatures‬‬
‫‪Templates‬‬ ‫‪protocol‬‬
‫‪Noteworthy sessions‬‬
‫‪machine‬‬
‫‪Modifications‬‬
‫ﻣﻌﻤﺎﺭﻱ ﻋﺎﻣﻞ‬ ‫ﺷﻜﻞ ‪۹-۳‬‬

‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٥٠‬‬
‫ﻃﻌﻤﻪﻫﺎ )‪(Honeypots‬‬
‫ﻳﻚ ﻧﻮﺁﻭﺭﻱ ﻧﺴﺒﺘﺎﹰ ﺟﺪﻳﺪ ﺩﺭ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ‪ honeypot ،‬ﺍﺳﺖ‪honeypot .‬ﻫﺎ ﻃﻌﻤﻪﻫﺎﺋﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺎ ﺍﻏﻔﺎﻝ ﻣﻬﺎﺟﻢ‬
‫ﺍﻭ ﺭﺍ ﺍﺯ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺣﻴﺎﺗﻲ ﺩﻭﺭ ﻧﮕﺎﻩ ﻣﻲﺩﺍﺭﻧﺪ‪honeypot .‬ﻫﺎ ﺑﺮﺍﻱ ﻣﻘﺎﺻﺪ ﺯﻳﺮ ﻃﺮﺍﺣﻲ ﻣﻲﺷﻮﻧﺪ‪:‬‬
‫ﻣﻨﺤﺮﻑ ﻛﺮﺩﻥ ﻣﻬﺎﺟﻢ ﺍﺯ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺣﻴﺎﺗﻲ‬ ‫•‬

‫ﺟﻤﻊﺁﻭﺭﻱ ﺍﻃﻼﻋﺎﺕ ﺩﺭ ﻣﻮﺭﺩ ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﻣﻬﺎﺟﻢ‬ ‫•‬
‫ﺗﺸﻮﻳﻖ ﻣﻬﺎﺟﻢ ﺑﻪ ﺑﺎﻗﻲ ﻣﺎﻧﺪﻥ ﺩﺭ ﺳﻴﺴﺘﻢ ﺗﺎ ﺯﻣﺎﻧﻲ ﻛﻪ ﻣﺪﻳﺮﺍﻥ ﺳﻴﺴﺘﻢ ﺑﺘﻮﺍﻧﻨﺪ ﻋﻜﺲﺍﻟﻌﻤﻞ ﻧﺸﺎﻥ ﺩﻫﻨﺪ‬ ‫•‬
‫ﺍﻳﻦ ﺳﻴﺴﺘﻢﻫﺎ ﺑﺎ ﺍﻃﻼﻋﺎﺕ ﺳﺎﺧﺘﮕﻲ ﻛﻪ ﺑﻈﺎﻫﺮ ﺍﺭﺯﺷﻤﻨﺪ ﺟﻠﻮﻩ ﻣﻲﻛﻨﻨﺪ ﻃﻮﺭﻱ ﭘﺮ ﻣﻲﺷﻮﻧﺪ ﻛﻪ ﻛﺎﺭﺑﺮﺍﻥ ﻗﺎﻧﻮﻧﻲ ﻣﻌﻤﻮﻻﹰ ﺑﻪ ﺁﻧﻬﺎ‬
‫ﺩﺳﺘﺮﺳﻲ ﭘﻴﺪﺍ ﻧﻤﻲﻛﻨﻨﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻫﺮﮔﻮﻧﻪ ﺗﻼﺵ ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ‪ honeypot‬ﻣﺸﻜﻮﻙ ﺗﻠﻘﻲ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺳﻴﺴﺘﻢ ﺑﺎ‬
‫ﭘﺎﻳﺸﮕﺮﻫﺎﻱ ﺣﺴﺎﺱ ﻭ ﺛﺒﺖﻛﻨﻨﺪﻩﻫﺎﻱ ﻭﻗﺎﻳﻊ ﻃﻮﺭﻱ ﺗﺠﻬﻴﺰ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﻧﻮﻉ ﺩﺳﺖﻳﺎﺑﻲﻫﺎﻱ ﻣﺸﻜﻮﻙ ﺭﺍ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﻭ‬
‫ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﺗﻬﺎﺟﻤﻲ ﺭﺍ ﺟﻤﻊﺁﻭﺭﻱ ﻧﻤﺎﻳﺪ‪ .‬ﭼﻮﻥ ﻫﺮ ﺣﻤﻠﻪﺍﻱ ﺑﺮ ﻋﻠﻴﻪ ‪ honeypot‬ﻣﻮﻓﻘﻴﺖﺁﻣﻴﺰ ﺑﻨﻈﺮ ﺧﻮﺍﻫﺪ‬
‫ﺭﺳﻴﺪ‪ ،‬ﻣﺪﻳﺮﺍﻥ ﺷﺒﻜﻪ ﻓﺮﺻﺖ ﻛﺎﻓﻲ ﺑﺮﺍﻱ ﺗﺠﻬﻴﺰ ﺷﺪﻥ ﻭ ﺩﻧﺒﺎﻝ ﻛﺮﺩﻥ ﻣﻬﺎﺟﻢ‪ ،‬ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺍﺻﻠﻲ ﺩﺭ ﻣﻌﺮﺽ ﺧﻄﺮ‬
‫ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ‪ ،‬ﺭﺍ ﺧﻮﺍﻫﻨﺪ ﺩﺍﺷﺖ‪.‬‬
‫ﺗﻼﺵﻫﺎﻱ ﺍﻭﻟﻴﻪ‪ ،‬ﺩﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ‪ honeypot‬ﻭ ﺁﺩﺭﺱﻫﺎﻱ ‪ IP‬ﻣﺨﺼﻮﺻﻲ ﻛﻪ ﺑﺮﺍﻱ ﺟﻠﺐ ﻣﻬﺎﺟﻤﻴﻦ ﺍﻧﺘﺨﺎﺏ‬
‫ﺷﺪﻩ ﺑﻮﺩ‪ ،‬ﺧﻼﺻﻪ ﻣﻲﺷﺪ‪ .‬ﺗﺤﻘﻴﻘﺎﺕ ﺟﺪﻳﺪﺗﺮ ﺑﺮ ﺳﺎﺧﺖ ﺷﺒﻜﻪﻫﺎﻱ ‪ honeynet‬ﻛﻪ ﺗﻤﺎﻡ ﺳﺎﺯﻣﺎﻥ ﺭﺍ ﺗﻘﻠﻴﺪ ﻛﺮﺩﻩ ﻭ ﺍﺣﺘﻤﺎﻻﹰ ﺍﺯ ﺩﻳﺘﺎﻱ‬
‫ﻭﺍﻗﻌﻲ ﻳﺎ ﺷﺒﻴﻪﺳﺎﺯﻱ ﺷﺪﻩ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﻨﺪ ﻣﺘﻤﺮﻛﺰ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﻤﺤﺾ ﺍﻳﻨﻜﻪ ﻫَﻜﺮﻫﺎ ﺩﺭ ﻣﺤﺪﻭﺩﺓ ﺷﺒﻜﻪ ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ‪ ،‬ﻣﺴﺌﻮﻟﻴﻦ‬
‫ﻣﻲﺗﻮﺍﻧﻨﺪ ﺭﻓﺘﺎﺭ ﺁﻧﻬﺎ ﺭﺍ ﺑﺎ ﺟﺰﺋﻴﺎﺕ ﻛﺎﻣﻞ ﻣﺸﺎﻫﺪﻩ ﻛﺮﺩﻩ ﻭ ﺳﻴﺎﺳﺖﻫﺎﻱ ﺩﻓﺎﻋﻲ ﻣﻨﺎﺳﺐ ﺭﺍ ﺑﻴﺎﺑﻨﺪ‪.‬‬
‫ﻓﺮﻣﺖ ﻣﺒﺎﺩﻟﺔ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ )‪(Intrusion Detection Exchange Format‬‬

‫ﺑﺮﺍﻱ ﺗﺴﻬﻴﻞ ﺳﺎﺧﺖ ﺳﻴﺴﺘﻢﻫﺎﻱ ﮔﺴﺘﺮﺩﺓ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﻛﻪ ﺑﺘﻮﺍﻧﻨﺪ ﺩﺭ ﻋﺮﺽ ﻣﺤﺪﻭﺩﺓ ﻭﺳﻴﻌﻲ ﺍﺯ ﺭﺍﻳﺎﻧﻪﻫﺎ ﻭ ﻣﺤﻴﻂﻫﺎ ﻋﻤﻞ‬
‫ﻧﻤﺎﻳﻨﺪ‪ ،‬ﻧﻴﺎﺯ ﺑﻪ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﺋﻲ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺍﻧﻨﺪ ﻋﻤﻠﻴﺎﺕ ﻣﺨﺘﻠﻒ ﺑﻴﻦﺷﺒﻜﻪﺍﻱ ﺭﺍ ﺣﻤﺎﻳﺖ ﻛﻨﻨﺪ‪ .‬ﭼﻨﻴﻦ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﺋﻲ‪ ،‬ﻛﺎﻧﻮﻥ ﻓﻌﺎﻟﻴﺖ‬
‫ﮔﺮﻭﻩ ﻛﺎﺭﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ‪ IETF‬ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﺪ‪ .‬ﻫﺪﻑ ﺍﻳﻦ ﮔﺮﻭﻩ ﻛﺎﺭﻱ ﺗﻌﺮﻳﻒ ﻓﺮﻣﺖﻫﺎﻱ ﺩﻳﺘﺎ ﻭ ﻣﺒﺎﺩﻟﺔ ﺭﻭﺵﻫﺎﺋﻲ ﺑﺮﺍﻱ‬
‫ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﮔﺬﺍﺷﺘﻦ ﺍﻃﻼﻋﺎﺕ ﺟﺎﻟﺐ ﺩﺭ ﺯﻣﻴﻨﺔ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﻭ ﺳﻴﺴﺘﻢﻫﺎﻱ ﭘﺎﺳﺨﮕﻮ ﺑﻪ ﻣﺴﺎﻟﻪ ﻭ ﻫﻤﭽﻨﻴﻦ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﺪﻳﺮﻳﺘﻲ‬
‫ﺍﺳﺖ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﻴﺎﺯ ﺑﻪ ﺗﻌﺎﻣﻞ ﺑﺎ ﺁﻧﻬﺎ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ .‬ﺧﺮﻭﺟﻲﻫﺎﻱ ﺍﻳﻦ ﺳﻴﺴﺘﻢ ﻛﺎﺭﻱ‪ ،‬ﺷﺎﻣﻞ ﻣﻮﺍﺭﺩ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫‪ -۱‬ﻳﻚ ﺳﻨﺪ ﻧﻴﺎﺯﻣﻨﺪﻱﻫﺎ ﻛﻪ ﺗﻮﺻﻴﻒﻛﻨﻨﺪﺓ ﻧﻴﺎﺯﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺳﻄﺢ ﺑﺎﻻ ﺑﺮﺍﻱ ﺍﺭﺗﺒﺎﻁ ﺑﻴﻦ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ‪ ،‬ﻭ‬
‫ﻫﻤﭽﻨﻴﻦ ﻧﻴﺎﺯﻫﺎﻱ ﺍﺭﺗﺒﺎﻃﻲ ﺑﻴﻦ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺑﺎ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ‪ ،‬ﺑﻬﻤﺮﺍﻩ ﺩﻻﻳﻞ ﻣﺴﺘﺪﻝ ﻭ ﻣﻨﻄﻘﻲ‬
‫ﺑﺮﺍﻱ ﺍﻳﻦ ﻧﻴﺎﺯﻫﺎﺳﺖ‪ .‬ﺑﺮﺍﻱ ﺗﻮﺟﻴﻪ ﺍﻳﻦ ﻧﻴﺎﺯﻫﺎ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﺳﻨﺎﺭﻳﻮﻫﺎﻱ ﻣﻨﺎﺳﺐ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪.‬‬
‫‪ -۲‬ﺗﻌﻴﻴﻦ ﻣﺸﺨﺼﻪﻫﺎﻱ ﻳﻚ ﺯﺑﺎﻥ ﻣﺤﺎﻭﺭﺓ ﻣﺸﺘﺮﻙ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ‪،‬ﻛﻪ ﻓﺮﻣﺖ ﺩﺍﺩﻩﻫﺎﺋﻲ ﻛﻪ ﺍﻳﻦ ﻧﻴﺎﺯﻫﺎ ﺭﺍ ﺍﺭﺿﺎﺀ ﻣﻲﻛﻨﻨﺪ ﺭﺍ‬
‫ﻫﻢ ﺗﻌﻴﻴﻦ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۳‬ﻳﻚ ﺳﻨﺪ ﺳﺎﺧﺘﺎﺭﻱ ﻛﻪ ﺑﻬﺘﺮﻳﻦ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺑﺮﺍﻱ ﺍﺭﺗﺒﺎﻁ ﺑﻴﻦ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺭﺍ ﺷﻨﺎﺳﺎﺋﻲ ﻧﻤﻮﺩﻩ ﻭ‬
‫ﻣﺸﺨﺺ ﻣﻲﺳﺎﺯﺩ ﻛﻪ ﻓﺮﻣﺖﻫﺎﻱ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺩﻳﺘﺎ ﭼﮕﻮﻧﻪ ﺑﺎ ﺁﻧﻬﺎ ﻣﺮﺗﺒﻂﺍﻧﺪ‪.‬‬
‫ﺩﺭ ﺯﻣﺎﻥ ﻧﮕﺎﺭﺵ ﺍﻳﻦ ﻣﻄﻠﺐ‪ ،‬ﺗﻤﺎﻡ ﺍﻳﻦ ﺍﺳﻨﺎﺩ ﺩﺭ ﻣﺮﺣﻠﺔ ﭘﻴﺶﻧﻮﻳﺲ ﺍﺳﻨﺎﺩ ﺍﻳﻨﺘﺮﻧﺘﻲ ﻫﺴﺘﻨﺪ‪.‬‬
‫‪٣٥١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬ ‫‪۹-۳‬‬
‫ﺣﻔﺎﻇﺖ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬

‫ﺧﻂ ﻣﻘﺪﻡ ﺩﻓﺎﻉ ﺩﺭ ﻣﻘﺎﺑﻞ ﻣﻬﺎﺟﻤﻴﻦ ﺳﻴﺴﺘﻢ‪ ،‬ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﺳﺖ‪ .‬ﺗﻘﺮﻳﺒﺎﹰ ﺗﻤﺎﻡ ﺳﻴﺴﺘﻢﻫﺎﻱ ﭼﻨﺪﻛﺎﺭﺑﺮﻩ ﺍﺯ ﻛﺎﺭﺑﺮﺍﻥ ﻣﻲﺧﻮﺍﻫﻨﺪﻛﻪ ﻧﻪ ﺗﻨﻬﺎ‬
‫ﻳﻚ ﻧﺎﻡ ﻳﺎ ﺷﻨﺎﺳﻪ )‪ (ID‬ﺭﺍ ﻭﺍﺭﺩ ﺳﻴﺴﺘﻢ ﻛﻨﻨﺪ ﺑﻠﻜﻪ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ )‪ (password‬ﺭﺍ ﻧﻴﺰ ﻋﺮﺿﻪ ﻧﻤﺎﻳﻨﺪ‪ .‬ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﺮﺍﻱ ﺳﻨﺠﺶ‬
‫ﺍﻋﺘﺒﺎﺭ ‪ ID‬ﻓﺮﺩﻱ ﻛﻪ ﻣﻲﺧﻮﺍﻫﺪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻭﺍﺭﺩ ﺷﻮﺩ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ ID .‬ﻧﻴﺰ ﺑﻨﻮﺑﺔ ﺧﻮﺩ‪ ،‬ﺍﻣﻨﻴﺖ ﺭﺍ ﺑﻪ ﺭﺍﻩﻫﺎﻱ ﺯﻳﺮ‬
‫ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪:‬‬
‫‪ ID‬ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ ﻛﻪ ﺁﻳﺎ ﻛﺎﺭﺑﺮ ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﺩﺍﺭﺍﻱ ﺍﻋﺘﺒﺎﺭ ﺍﺳﺖ‪ .‬ﺩﺭ ﺑﻌﻀﻲ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﺗﻨﻬﺎ ﻛﺴﺎﻧﻲ ﻛﻪ ﻗﺒﻼﹰ‬ ‫•‬
‫‪ ID‬ﺁﻧﻬﺎ ﺩﺭ ﺳﻴﺴﺘﻢ ﺫﺧﻴﺮﻩ ﺷﺪﻩ ﺍﺳﺖ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﻪ ﺳﻴﺴﺘﻢ ﺩﺳﺖ ﻳﺎﺑﻨﺪ‪.‬‬
‫‪ ID‬ﺍﻣﺘﻴﺎﺯﺍﺗﻲ ﺭﺍ ﻛﻪ ﺑﻪ ﻛﺎﺭﺑﺮ ﺍﺧﺘﺼﺎﺹ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪ .‬ﻛﺎﺭﺑﺮﺍﻥ ﻣﺤﺪﻭﺩﻱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺍﺭﺍﻱ ﻭﻇﺎﻳﻒ‬ ‫•‬
‫ﺳﻮﭘﺮﻭﺍﻳﺰﺭﻱ ﺳﻴﺴﺘﻢ ﺑﺎﺷﻨﺪ ﻛﻪ ﻃﺒﻴﻌﺘﺎﹰ ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﺁﻧﻬﺎ ﺍﻳﻦ ﺍﺟﺎﺯﻩ ﺩﺍﺩﻩ ﺷﻮﺩ ﻛﻪ ﻓﺎﻳﻞﻫﺎ ﺭﺍ ﺧﻮﺍﻧﺪﻩ ﻭ ﻳﺎ ﻋﻤﻠﻴﺎﺗﻲ ﺭﺍ ﺍﻧﺠﺎﻡ‬
‫ﺩﻫﻨﺪ ﻛﻪ ﻣﻌﻤﻮﻻﹰ ﺍﺯ ﻧﻈﺮ ﭘﻨﻬﺎﻥ ﺍﺳﺖ‪ .‬ﺑﻌﻀﻲ ﺳﻴﺴﺘﻢﻫﺎ ﺩﺍﺭﺍﻱ ﺍﻣﻜﺎﻧﺎﺕ ﭘﺬﻳﺮﺵ ﻣﻴﻬﻤﺎﻥ ﻭ ﻳﺎ ﺍﻓﺮﺍﺩ ﻧﺎﺷﻨﺎﺱ ﺑﻮﺩﻩ ﻭ ﻃﺒﻴﻌﺘﺎﹰ‬
‫ﺍﻳﻦ ﺍﻓﺮﺍﺩ ﺑﺎﻳﺴﺘﻲ ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﺯﻳﺎﺩﺗﺮ ﻭ ﻳﺎ ﺍﻣﺘﻴﺎﺯﺍﺕ ﻛﻤﺘﺮﻱ ﻧﺴﺒﺖ ﺑﻪ ﺳﺎﻳﺮﻳﻦ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫‪ ID‬ﺑﺼﻮﺭﺗﻲ ﻛﻪ ﻣﻌﻤﻮﻻﹰ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻣﻨﺼﻔﺎﻧﻪ ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷﻮﺩ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﻳﻚ ﻛﺎﺭﺑﺮ‬ ‫•‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺎ ﻟﻴﺴﺖ ﻧﻤﻮﺩﻥ ‪ID‬ﻫﺎﻱ ﻛﺎﺭﺑﺮﺍﻥ ﺩﻳﮕﺮ ﺑﻪ ﺁﻧﻬﺎ ﺍﺟﺎﺯﻩ ﺩﻫﺪ ﺗﺎ ﻓﺎﻳﻞﻫﺎﺋﻲ ﻛﻪ ﻣﺘﻌﻠﻖ ﺑﻪ ﺍﻭﺳﺖ ﺭﺍ ﺑﺨﻮﺍﻧﻨﺪ‪.‬‬
‫ﺁﺳﻴﺐﭘﺬﻳﺮﻱ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ‬
‫ﺑﺮﺍﻱ ﻓﻬﻢ ﻣﺎﻫﻴﺖ ﺧﻄﺮﺍﺗﻲ ﻛﻪ ﻣﺘﻮﺟﻪ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﺳﺖ‪ ،‬ﺍﺟﺎﺯﻩ ﺩﻫﻴﺪ ﺭﻭﺷﻲ ﻛﻪ ﺑﺼﻮﺭﺕ ﮔﺴﺘﺮﺩﻩ ﺩﺭ‬
‫‪ UNIX‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ ﻭ ﺩﺭ ﺁﻥ ﻫﻴﭽﮕﺎﻩ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺑﻪ ﻓﺮﻡ ﺑﺎﺯ ﺫﺧﻴﺮﻩ ﻧﻤﻲﺷﻮﻧﺪ ﺭﺍ ﻣﻄﺎﻟﻌﻪ ﻛﻨﻴﻢ‪ .‬ﺭﻭﺵ ﭼﻨﻴﻦ ﺍﺳﺖ‬
‫)ﺷﻜﻞ ‪۹-۴‬ﺍﻟﻒ(‪ .‬ﻫﺮ ﻛﺎﺭﺑﺮ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﻪ ﺣﺪﺍﻛﺜﺮ ﺩﺍﺭﺍﻱ ﻫﺸﺖ ﻛﺎﺭﺍﻛﺘﺮ ﻗﺎﺑﻞ ﭼﺎﭖ ﺍﺳﺖ ﺭﺍ ﺍﻣﺘﺤﺎﻥ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
‫ﺑﻪ ﻳﻚ ﻣﻘﺪﺍﺭ ‪ -۵۶‬ﺑﻴﺘﻲ ) ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﹸﺪ ‪ -۷‬ﺑﻴﺘﻲ ‪ ( ASCII‬ﺗﺒﺪﻳﻞ ﻣﻲﺷﻮﺩ ﻛﻪ ﺑﻌﻨﻮﺍﻥ ﻛﻠﻴﺪ ﻭﺭﻭﺩﻱ ﻳﻚ ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻜﺎﺭ‬
‫ﻣﻲﺭﻭﺩ‪ .‬ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻪ )‪ crypt (3‬ﻧﺎﻡ ﺩﺍﺭﺩ ﻣﺒﺘﻨﻲ ﺑﺮ ‪ DES‬ﺍﺳﺖ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ DES‬ﺑﻨﺤﻮﻱ ﺩﺳﺘﻜﺎﺭﻱ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﻳﻚ‬
‫"‪ -۱۲ "salt‬ﺑﻴﺘﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﻧﻮﻋﺎﹰ ﺍﻳﻦ ﻣﻘﺪﺍﺭ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﺯﻣﺎﻧﻲ ﺍﺳﺖ ﻛﻪ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﻪ ﻛﺎﺭﺑﺮ ﺍﺧﺘﺼﺎﺹ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ‪ DES‬ﺩﺳﺘﻜﺎﺭﻱ ﺷﺪﻩ‪ ،‬ﺭﻭﻱ ﻳﻚ ﺩﻳﺘﺎﻱ ﻭﺭﻭﺩﻱ ﻛﻪ ﻳﻚ ﺑﻠﻮﻙ ‪ -۶۴‬ﺑﻴﺘﻲ ﺍﺯ ‪ 0‬ﻫﺎﻱ ﺑﺎﻳﻨﺮﻱ ﺍﺳﺖ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪ .‬ﺧﺮﻭﺟﻲ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢ ﺳﭙﺲ ﺑﻌﻨﻮﺍﻥ ﻭﺭﻭﺩﻱ ﻳﻚ ﺭﻣﺰﻧﮕﺎﺭ ﺩﻭﻡ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺍﻳﻦ ﭘﺮﺩﺍﺯﺵ ﻣﺠﻤﻮﻋﺎﹰ ﺑﺮﺍﻱ ‪ ۲۵‬ﺑﺎﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺗﻜﺮﺍﺭ‬
‫ﻣﻲﺷﻮﺩ‪ .‬ﺧﺮﻭﺟﻲ ‪ -۶۴‬ﺑﻴﺘﻲ ﺍﻳﻦ ﭘﺮﺩﺍﺯﺵ ﺁﻧﮕﺎﻩ ﺑﻪ ﻳﻚ ﺩﻧﺒﺎﻟﺔ ‪-۱۱‬ﻛﺎﺭﻛﺘﺮﻱ ﺗﺒﺪﻳﻞ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺁﻧﮕﺎﻩ ‪ hash‬ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﻬﻤﺮﺍﻩ ﻛﭙﻲ‬
‫ﻣﺘﻦ ﺳﺎﺩﻩ "‪ "salt‬ﺩﺭ ﻓﺎﻳﻞ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻣﺘﻨﺎﻇﺮ ﺑﺎ ‪ ID‬ﻛﺎﺭﺑﺮ ﺫﺧﻴﺮﻩ ﻣﻲﮔﺮﺩﺩ‪ .‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﻣﺘﺪ ﺩﺭ ﺑﺮﺍﺑﺮ ﺍﻧﻮﺍﻉ‬
‫ﻣﺨﺘﻠﻔﻲ ﺍﺯ ﺣﻤﻼﺕ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﺍﻣﻦ ﺍﺳﺖ ]‪.[WAGN00‬‬
‫"‪ "salt‬ﺳﻪ ﻣﻨﻈﻮﺭ ﺭﺍ ﺑﺮﺁﻭﺭﺩﻩ ﻣﻲﺳﺎﺯﺩ‪:‬‬
‫ﻧﻤﻲﮔﺬﺍﺭﺩ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﺸﺎﺑﻪ ﺩﺭ ﻓﺎﻳﻞ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﺸﺎﻫﺪﻩ ﺷﻮﻧﺪ‪ .‬ﺣﺘﻲ ﺍﮔﺮ ﺩﻭ ﻛﺎﺭﺑﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻳﻜﺴﺎﻧﻲ ﺭﺍ ﺍﻧﺘﺨﺎﺏ‬ ‫•‬
‫ﻛﻨﻨﺪ‪ ،‬ﭼﻮﻥ ﺍﻳﻦ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺩﺭ ﺯﻣﺎﻥﻫﺎﻱ ﻣﺘﻔﺎﻭﺗﻲ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ ﺍﺧﺘﺼﺎﺹ ﻳﺎﻓﺘﻪﺍﻧﺪ‪ ،‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﭘﺮﺩﺍﺯﺵ ﺷﺪﺓ‬
‫ﺍﻧﺘﻬﺎﺋﻲ ﺩﻭ ﻛﺎﺭﺑﺮ ﻣﺘﻔﺎﻭﺕ ﺧﻮﺍﻫﻨﺪ ﺑﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٥٢‬‬
‫ﺑﻄﻮﺭ ﻣﺆﺛﺮﻱ ﻃﻮﻝ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺭﺍ ﺯﻳﺎﺩ ﻣﻲﻛﻨﺪ ﺑﻨﺤﻮﻱ ﻛﻪ ﻛﺎﺭﺑﺮ ﻻﺯﻡ ﻧﻴﺴﺖ ﺩﻭ ﻛﺎﺭﺍﻛﺘﺮ ﺍﺿﺎﻓﻲ ﺭﺍ ﺑﺨﺎﻃﺮ ﺑﺴﭙﺎﺭﺩ‪ .‬ﺩﺭ‬ ‫•‬
‫ﻧﺘﻴﺠﺔ ﺍﻳﻦ ﻋﻤﻞ‪ ،‬ﺗﻌﺪﺍﺩ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺑﻤﻴﺰﺍﻥ ‪ ۴,۰۹۶‬ﺑﺮﺍﺑﺮ ﺯﻳﺎﺩ ﺷﺪﻩ ﻭ ﺣﺪﺱ ﺯﺩﻥ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺳﺨﺖﺗﺮ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺳﺨﺖﺍﻓﺰﺍﺭ ﺁﻣﺎﺩﻩ ‪ ،DES‬ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ ﺑﻪ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺗﺴﻬﻴﻞ ﻛﻨﺪ‪ ،‬ﺭﺍ ﻏﻴﺮﻣﻤﻜﻦ ﻣﻲﺳﺎﺯﺩ‪.‬‬ ‫•‬
‫‪Salt‬‬ ‫‪Password‬‬
‫‪Password File‬‬
‫‪12 bits‬‬ ‫‪56 bits‬‬ ‫‪User id‬‬ ‫)]‪salt E(pwd, [salt,0‬‬
‫‪.‬‬
‫)‪Crypt (3‬‬ ‫‪Load‬‬ ‫‪.‬‬
‫‪11 characters‬‬
‫‪.‬‬
‫)ﺍﻟﻒ( ﺑﺎﺭﮔﺬﺍﺭﻱ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺟﺪﻳﺪ‬
‫‪Password File‬‬
‫‪User id‬‬ ‫‪User id‬‬ ‫)]‪salt E(pwd, [salt,0‬‬
‫‪Salt‬‬
‫‪Select‬‬ ‫‪Password‬‬
‫)‪Crypt (3‬‬
‫‪hashed password‬‬
‫‪compare‬‬
‫)ﺏ( ﺗﺄﺋﻴﺪ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
‫ﺭﻭﺵ ﺑﺮﺧﻮﺭﺩ ﺑﺎ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺩﺭ ‪UNIX‬‬ ‫ﺷﻜﻞ ‪۹-۴‬‬

‫‪٣٥٣‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﻭﻗﺘﻲ ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻲﺧﻮﺍﻫﺪ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ‪ UNIX‬ﻭﺍﺭﺩ ﺷﻮﺩ‪ ،‬ﺍﻭ ﻳﻚ ‪ ID‬ﻭ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺑﻪ ﺳﻴﺴﺘﻢ ﻋﺮﺿﻪ ﻣﻲﺩﺍﺭﺩ‪.‬‬
‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ ID‬ﻭﺍﺭﺩ ﻓﺎﻳﻞ ﻟﻴﺴﺖ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺷﺪﻩ ﻭ "‪ "salt‬ﻭ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﻣﺰﺷﺪﻩ ﺭﺍ ﺑﺎﺯﺧﻮﺍﻧﻲ ﻣﻲﻛﻨﺪ‪ "salt" .‬ﻭ‬
‫ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﺭﺍﺋﻪ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮ‪ ،‬ﺑﻌﻨﻮﺍﻥ ﻭﺭﻭﺩﻱﻫﺎﻱ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﺍﮔﺮ ﻧﺘﻴﺠﻪ ﺍﻣﺮ ﺑﺮﺍﺑﺮ‬
‫ﺍﻧﺪﺍﺯﺓ ﺫﺧﻴﺮﻩ ﺷﺪﺓ ﻗﺒﻠﻲ ﺑﻮﺩ‪ ،‬ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﭘﺬﻳﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻋﻤﻞ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﺮﺍﻱ ﺧﻨﺜﻲ ﻛﺮﺩﻥ ﺣﻤﻼﺗﻲ ﻛﻪ ﺍﺳﺘﺮﺍﺗﮋﻱ ﺁﻧﻬﺎ ﺣﺪﺱ ﺯﺩﻥ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﺳﺖ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﺍﺟﺮﺍﻱ‬
‫ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ‪ DES‬ﺩﺭ ﻣﻘﺎﻳﺴﻪ ﺑﺎ ﻧﻤﻮﻧﺔ ﺳﺨﺖﺍﻓﺰﺍﺭﻱ ﺁﻥ ﻛﻨﺪ ﺑﻮﺩﻩ ﻭ ﺗﻜﺮﺍﺭ ‪ ۲۵‬ﻣﺮﺗﺒﺔ ﺁﻥ‪ ،‬ﺯﻣﺎﻥ ﻻﺯﻡ ﺭﺍ ‪ ۲۵‬ﺑﺮﺍﺑﺮ ﺑﻴﺸﺘﺮ ﻣﻲﻛﻨﺪ‪ .‬ﺍﺯ‬
‫ﺯﻣﺎﻥ ﻃﺮﺍﺣﻲ ﺍﻭﻟﻴﺔ ﺍﻳﻦ ﺭﻭﺵ ﺗﺎ ﻛﻨﻮﻥ‪ ،‬ﺩﻭ ﺗﻐﻴﻴﺮ ﺩﺭ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺁﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻭﻻﹰ ﻧﺴﺨﻪﻫﺎﻱ ﺟﺪﻳﺪﺗﺮ ﺍﻟﮕﻮﺭﻳﺘﻢ‪ ،‬ﺳﺮﻋﺖ ﺁﻥ ﺭﺍ‬
‫ﺍﻓﺰﺍﻳﺶ ﺩﺍﺩﻩﺍﻧﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﻛِﺮﻡ ﺍﻳﻨﺘﺮﻧﺘﻲ ﺗﻮﺻﻴﻒ ﺷﺪﻩ ﺩﺭ ﻓﺼﻞ ‪ ۱۰‬ﻗﺎﺩﺭ ﺷﺪ ﺗﺎ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻬﺮﻩﻭﺭﺗﺮ‬
‫ﺍﺯ ﺁﻧﭽﻪ ﻛﻪ ﺩﺭ ﺍﺑﺘﺪﺍ ﺑﺼﻮﺭﺕ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺩﺭ ﺳﻴﺴﺘﻢﻫﺎﻱ ‪ UNIX‬ﻧﺼﺐ ﺷﺪﻩ ﺑﻮﺩ‪ ،‬ﺻﺪﻫﺎ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺩﺭ ﻃﻮﻝ ﻣﺪﺕ ﻧﺴﺒﺘﺎﹰ‬
‫ﻛﻮﺗﺎﻫﻲ‪ ،‬ﺩﺭ ﺳﻴﺴﺘﻢ ﻣﻮﺭﺩ ﺗﻬﺎﺟﻢ‪ ،‬ﺣﺪﺱ ﺑﺰﻧﺪ‪ .‬ﺛﺎﻧﻴﺎﹰ‪ ،‬ﻋﻤﻠﻜﺮﺩ ﺳﺨﺖﺍﻓﺰﺍﺭﻫﺎ ﺭﻭﺯ ﺑﻪ ﺭﻭﺯ ﺑﻬﺘﺮ ﺷﺪﻩ ﺑﻄﻮﺭﻱ ﻛﻪ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ‬
‫ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻧﻴﺰ ﺳﺮﻳﻊﺗﺮ ﻋﻤﻞ ﻛﻨﻨﺪ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺩﺭ ﺳﻴﺴﺘﻢ ‪ UNIX‬ﺑﺎ ﺩﻭ ﺗﻬﺪﻳﺪ ﻣﻮﺍﺟﻪ ﺍﺳﺖ‪ .‬ﺍﻭﻝ ﺍﻳﻨﻜﻪ ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﺗﺴﻬﻴﻼﺕ ﭘﺬﻳﺮﺵ ﻣﻴﻬﻤﺎﻥ ﻭ ﻳﺎ ﺭﻭﺵ ﺩﻳﮕﺮﻱ ﺑﻪ ﻣﺎﺷﻴﻦ ﺩﺳﺘﺮﺳﻲ ﭘﻴﺪﺍ ﻛﺮﺩﻩ ﻭ ﺁﻧﮕﺎﻩ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﺣﺪﺱﺯﻧﻨﺪﺓ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‪ ،‬ﻛﻪ‬
‫ﺷﻜﻨﻨﺪﺓ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﺭﺍ ﺭﻭﻱ ﻣﺎﺷﻴﻦ ﺍﺟﺮﺍ ﻛﻨﺪ‪ .‬ﻣﻬﺎﺟﻢ ﺑﺎﻳﺴﺘﻲ ﻗﺎﺩﺭ ﺑﺎﺷﺪ ﺗﺎ ﺻﺪﻫﺎ ﻭ ﺷﺎﻳﺪ ﻫﺰﺍﺭﻫﺎ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ‬
‫ﻣﻤﻜﻦ ﺭﺍ ﺑﺎ ﺑﻜﺎﺭﮔﻴﺮﻱ ﺣﺪﺍﻗﻞ ﻣﻨﺎﺑﻊ ﺍﻣﺘﺤﺎﻥ ﻛﻨﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ‪ ،‬ﺍﮔﺮ ﻳﻚ ﺩﺷﻤﻦ ﻗﺎﺩﺭ ﺑﺎﺷﺪ ﺗﺎ ﻳﻚ ﻧﺴﺨﻪ ﺍﺯ ﻓﺎﻳﻞ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺭﺍ‬
‫ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ‪) cracker‬ﺷﻜﻨﻨﺪﻩ( ﺧﻮﺍﻫﺪ ﺗﻮﺍﻧﺴﺖ ﺗﺎ ﺳﺮ ﻓﺮﺻﺖ ﻭ ﺭﻭﻱ ﻣﺎﺷﻴﻦ ﺩﻳﮕﺮﻱ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺭﺍ ﻛﺸﻒ‬
‫ﻛﻨﺪ‪.‬‬
‫ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﺩﺭ ﻣﺎﻩ ﺍﻭﺕ ﺳﺎﻝ ‪ ۱۹۹۳‬ﻣﻴﻼﺩﻱ‪ ،‬ﺣﻀﻮﺭ ﻳﻚ ﺷﻜﻨﻨﺪﺓ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺭﻭﻱ ﺍﻳﻨﺘﺮﻧﺖ ﮔﺰﺍﺭﺵ‬
‫ﮔﺮﺩﻳﺪ]‪ .[MADS93‬ﺍﻳﻦ ﻋﻤﻞ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﻮﺍﺯﻱ ‪ Thinking Machines Corporation‬ﻭ ﺑﻪ ﻣﻴﺰﺍﻥ ‪۱,۵۶۰‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ ﺛﺎﻧﻴﻪ ﺑﺮﺍﻱ ﻫﺮ ﻭﺍﺣﺪ ﺣﺎﺻﻞ ﮔﺮﺩﻳﺪ‪ .‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﭼﻬﺎﺭ ﻭﺍﺣﺪ ﭘﺮﺩﺍﺯﺵ ﺩﺭ ﻫﺮ ﮔﺮﻩ ﭘﺮﺩﺍﺯﺷﮕﺮ )ﻳﻚ ﭘﻴﻜﺮﺑﻨﺪﻱ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ(‪ ،‬ﺍﻳﻦ ﻋﻤﻞ ﺑﻪ ‪ ۸۰۰,۰۰۰‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ ﺛﺎﻧﻴﻪ ﺭﻭﻱ ﻳﻚ ﻣﺎﺷﻴﻦ ﺑﺎ ‪ ۱۲۸‬ﮔﺮﻩ )ﻛﻪ ﺍﻧﺪﺍﺯﺓ ﻣﺘﻮﺳﻄﻲ ﺍﺳﺖ(‪ ،‬ﻭ ‪ ۶/۴‬ﻣﻴﻠﻴﻮﻥ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ ﺛﺎﻧﻴﻪ ﺭﻭﻱ ﻳﻚ ﻣﺎﺷﻴﻦ ﺑﺎ ‪ ۱,۰۲۴‬ﮔﺮﻩ ﺍﻓﺰﺍﻳﺶ ﻳﺎﻓﺖ‪.‬‬
‫ﺣﺘﻲ ﺍﻳﻦ ﻧﺮﺥ ﺣﺪﺳﻴﺎﺕ‪ ،‬ﻳﻚ ﻣﻬﺎﺟﻢ ﺻﺎﺣﺐ ﻋﻘﻞ ﺭﺍ ﻗﺎﻧﻊ ﻧﻤﻲﺳﺎﺯﺩ ﺗﺎ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺣﻤﻠﺔ ﻫﻤﻪﺟﺎﻧﺒﻪ ﺑﺨﻮﺍﻫﺪ ﺗﻤﺎﻡ‬
‫ﺗﺮﻛﻴﺒﺎﺕ ﻣﻤﻜﻦ ﻛﺎﺭﺍﻛﺘﺮﻫﺎ ﺑﺮﺍﻱ ﻛﺸﻒ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺍﻣﺘﺤﺎﻥ ﻛﻨﺪ‪ .‬ﺑﺠﺎﻱ ﺁﻥ ﺷﻜﻨﻨﺪﻩﻫﺎﻱ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺍﻏﻠﺐ ﺍﺯ ﺍﻳﻦ ﻭﺍﻗﻌﻴﺖ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﺑﻌﻀﻲ ﻛﺎﺭﺑﺮﺍﻥ ﺍﺯ ﻛﻠﻤﻪﻫﺎﻱ ﻋﺒﻮﺭﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﺑﻪ ﺳﻬﻮﻟﺖ ﻗﺎﺑﻞ ﺣﺪﺱ ﺯﺩﻥ ﻫﺴﺘﻨﺪ‪.‬‬
‫ﺑﺮﺧﻲ ﻛﺎﺭﺑﺮﺍﻥ ﻭﻗﺘﻲ ﺍﺟﺎﺯﻩ ﺩﺍﺭﻧﺪ ﻛﻪ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺧﻮﺩ ﺍﻧﺘﺨﺎﺏ ﻛﻨﻨﺪ‪ ،‬ﻛﻠﻤﻪﺍﻱ ﺭﺍ ﺑﺮﻣﻲﮔﺰﻳﻨﻨﺪ ﻛﻪ ﺑﻄﻮﺭ ﺳﺎﺩﻩﻟﻮﺣﺎﻧﻪﺍﻱ‬
‫ﻛﻮﺗﺎﻩ ﺍﺳﺖ‪ .‬ﻧﺘﺎﻳﺞ ﻳﻚ ﺑﺮﺭﺳﻲ ﺩﺭ ﺩﺍﻧﺸﮕﺎﻩ ‪ Purdue‬ﺩﺭ ﺟﺪﻭﻝ ‪ ۹-۳‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﺑﺮﺭﺳﻲ‪ ،‬ﺗﻐﻴﻴﺮ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ‬
‫ﺭﻭﻱ ‪ ۵۴‬ﻣﺎﺷﻴﻦ ﻣﻮﺭﺩ ﻣﻄﺎﻟﻌﻪ ﻗﺮﺍﺭ ﮔﺮﻓﺖ ﻛﻪ ﺗﻘﺮﻳﺒﺎﹰ ‪ ۷,۰۰۰‬ﺷﻤﺎﺭﺓ ﻛﺎﺭﺑﺮﻱ ﺭﺍ ﺩﺭ ﺑﺮ ﻣﻲﮔﺮﻓﺖ‪ .‬ﺗﻘﺮﻳﺒﺎﹰ ‪ %۳‬ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺍﺯ‬
‫‪ ۳‬ﻛﺎﺭﺍﻛﺘﺮ ﻭ ﻳﺎ ﻛﻤﺘﺮ ﺗﺸﻜﻴﻞ ﺷﺪﻩ ﺑﻮﺩﻧﺪ‪ .‬ﻳﻚ ﻣﻬﺎﺟﻢ ﻣﻲﺗﻮﺍﻧﺴﺖ ﺣﻤﻠﺔ ﺧﻮﺩ ﺭﺍ ﺑﺎ ﺁﺯﻣﺎﻳﺶ ﻛﺮﺩﻥ ﺗﻤﺎﻡ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﻤﻜﻦ ﺑﺎ ﻃﻮﻝ‬
‫‪ ۳‬ﻭ ﻛﻤﺘﺮ ﺁﻏﺎﺯ ﻛﻨﺪ‪ .‬ﻳﻚ ﻋﻼﺝ ﺳﺎﺩﻩ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺳﻴﺴﺘﻢ ﻫﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﻤﺘﺮ ﺍﺯ ﻣﺜﻼﹰ ‪ ۶‬ﻛﺎﺭﺍﻛﺘﺮ ﺭﺍ ﻧﭙﺬﻳﺮﺩ ﻭ ﻳﺎ ﻣﺜﻼﹰ ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ‬
‫ﻣﺠﺒﻮﺭ ﻛﻨﺪ ﺗﺎ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭﻱ ﻛﻪ ﺣﺘﻤﺎﹰ ‪ ۸‬ﻛﺎﺭﺍﻛﺘﺮ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻧﻤﺎﻳﻨﺪ‪ .‬ﺍﻛﺜﺮ ﻛﺎﺭﺑﺮﺍﻥ ﺩﺭ ﻣﻮﺭﺩ ﺍﻋﻤﺎﻝ ﭼﻨﻴﻦ ﻣﺤﺪﻭﺩﻳﺘﻲ‬
‫ﺷﻜﺎﻳﺖ ﻧﺨﻮﺍﻫﻨﺪ ﻛﺮﺩ‪.‬‬
‫ﻃﻮﻝ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺗﻨﻬﺎ ﺑﺨﺸﻲ ﺍﺯ ﻣﺸﻜﻞ ﺍﺳﺖ‪ .‬ﺑﺴﻴﺎﺭﻱ ﺍﻓﺮﺍﺩ ﻭﻗﺘﻲ ﺍﺟﺎﺯﻩ ﺩﺍﺭﻧﺪ ﺗﺎ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺧﻮﺩ ﺍﻧﺘﺨﺎﺏ ﻧﻤﺎﻳﻨﺪ‪ ،‬ﻛﻠﻤﻪﺍﻱ‬
‫ﺭﺍ ﺑﺮﻣﻲﮔﺰﻳﻨﻨﺪ ﻛﻪ ﻗﺎﺑﻞ ﺣﺪﺱ ﺍﺳﺖ‪ .‬ﺁﻧﻬﺎ ﻣﺜﻼﹰ ﻧﺎﻡ ﺧﻮﺩ ﻭ ﻳﺎ ﻧﺎﻡ ﺧﻴﺎﺑﺎﻥ ﻣﻨﺰﻝ ﺧﻮﺩ ﻭ ﻳﺎ ﻳﻚ ﻛﻠﻤﺔ ﻣﻮﺟﻮﺩ ﺩﺭ ﻛﺘﺎﺏ ﻟﻐﺖ ﻭ ﻏﻴﺮﻩ‬
‫ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻛﺎﺭ ﺷﻜﺴﺘﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺗﺴﻬﻴﻞ ﻣﻲﻛﻨﺪ ﻭ ﺷﻜﻨﻨﺪﺓ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻓﻘﻂ ﻛﺎﻓﻲ ﺍﺳﺖ ﻓﺎﻳﻞ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺭﺍ‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٥٤‬‬
‫ﻃﻮﻝﻫﺎﻱ ﻣﺸﺎﻫﺪﻩ ﺷﺪﻩ ﺑﺮﺍﻱ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ]‪[SPAF92a‬‬ ‫ﺟﺪﻭﻝ ‪۹-۳‬‬
‫‪Length‬‬ ‫‪Number‬‬ ‫‪Fraction of Total‬‬
‫‪1‬‬ ‫‪55‬‬ ‫‪.004‬‬

‫‪2‬‬ ‫‪87‬‬ ‫‪.006‬‬
‫‪3‬‬ ‫‪212‬‬ ‫‪.02‬‬
‫‪4‬‬ ‫‪449‬‬ ‫‪.03‬‬
‫‪5‬‬ ‫‪1260‬‬ ‫‪.09‬‬
‫‪6‬‬ ‫‪3035‬‬ ‫‪.22‬‬
‫‪7‬‬ ‫‪2917‬‬ ‫‪.21‬‬
‫‪8‬‬ ‫‪5772‬‬ ‫‪.42‬‬
‫‪Total‬‬ ‫‪13787‬‬ ‫‪1.0‬‬
‫ﺑﺎ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﺤﺘﻤﻞ ﻣﻘﺎﻳﺴﻪ ﻧﻤﺎﻳﺪ‪ .‬ﭼﻮﻥ ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﻣﺮﺩﻡ ﺍﺯ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻗﺎﺑﻞ ﺣﺪﺱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ ،‬ﺍﻳﻦ ﻧﻮﻉ ﺍﺳﺘﺮﺍﺗﮋﻱ‬
‫ﺗﻘﺮﻳﺒﺎﹰ ﺩﺭ ﺗﻤﺎﻡ ﺳﻴﺴﺘﻢﻫﺎ ﻣﻮﻓﻖ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﻳﻚ ﮔﺰﺍﺭﺵ ﺍﺯ ﻣﻮﻓﻘﻴﺖﺁﻣﻴﺰﺑﻮﺩﻥ ﺣﺪﺱ ﺯﺩﻥ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺩﺭ ]‪ ،[KLEI90‬ﻧﻤﺎﻳﺶ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻧﻮﻳﺴﻨﺪﺓ ﮔﺰﺍﺭﺵ‪،‬‬
‫ﻓﺎﻳﻞﻫﺎﻱ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ‪ UNIX‬ﺭﺍ ﺍﺯ ﻣﻨﺎﺑﻊ ﻣﺘﻨﻮﻋﻲ ﺟﻤﻊﺁﻭﺭﻱ ﻧﻤﻮﺩﻩ ﻛﻪ ﺷﺎﻣﻞ ﺗﻘﺮﻳﺒﺎﹰ ‪ ۱۴,۰۰۰‬ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﻣﺰﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻧﺘﻴﺠﺔ‪،‬‬
‫ﻛﻪ ﻧﻮﻳﺴﻨﺪﻩ ﺑﺤﻖ ﺁﻥ ﺭﺍ ﺭﻋﺐﺁﻭﺭ ﺗﻮﺻﻴﻒ ﻛﺮﺩﻩ ﺍﺳﺖ‪ ،‬ﺩﺭ ﺟﺪﻭﻝ ‪ ۹-۴‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺭﻭﻳﻬﻢﺭﻓﺘﻪ ﺗﻘﺮﻳﺒﺎﹰ ﻳﻚ ﭼﻬﺎﺭﻡ‬
‫ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ‪ ،‬ﻟﻮ ﺭﻓﺘﻪ ﺑﻮﺩﻧﺪ‪ .‬ﺍﺳﺘﺮﺍﺗﮋﻱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﭼﻨﻴﻦ ﺑﻮﺩ‪:‬‬
‫‪ -۱‬ﻧﺎﻡ ﻛﺎﺭﺑﺮ‪ ،‬ﺣﺮﻑ ﺍﻭﻝ ﻧﺎﻡ ﺍﻭ‪ ،‬ﻧﺎﻡ ﻓﺎﻣﻴﻞ ﺍﻭ‪ ،‬ﺷﻤﺎﺭﺓ ﺣﺴﺎﺏ ﻭ ﺳﺎﻳﺮ ﺍﻃﻼﻋﺎﺕ ﺷﺨﺼﻲ ﺍﻭ ﺭﺍ ﺍﻣﺘﺤﺎﻥ ﻛﻨﻴﺪ‪ .‬ﺩﺭ ﻣﺠﻤﻮﻉ ‪۱۳۰‬‬
‫ﺗﺒﺪﻳﻞ ﻣﺨﺘﻠﻒ ﺑﺮﺍﻱ ﻫﺮ ﻛﺎﺭﺑﺮ ﻣﻮﺭﺩ ﺁﺯﻣﺎﻳﺶ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺑﻮﺩ‪.‬‬
‫‪ -۲‬ﻛﻠﻤﺎﺕ ﻣﻮﺟﻮﺩ ﺩﺭ ﻛﺘﺎﺏ ﻟﻐﺖﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺭﺍ ﺍﻣﺘﺤﺎﻥ ﻛﻨﻴﺪ‪ .‬ﻧﻮﻳﺴﻨﺪﻩ‪ ،‬ﻳﻚ ﻛﺘﺎﺏ ﻟﻐﺖ ﺑﺎ ﺑﻴﺶ ﺍﺯ ‪ ۶۰,۰۰۰‬ﻟﻐﺖ ﺭﺍ‬
‫ﺟﻤﻊﺁﻭﺭﻱ ﻛﺮﺩﻩ ﺍﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﻛﺘﺎﺏ ﻟﻐﺖ ﺑﺮﺧﻂ ﺭﻭﻱ ﺳﻴﺴﺘﻢ‪ ،‬ﻭ ﻟﻴﺴﺖﻫﺎﻱ ﻣﺨﺘﻠﻔﻲ ﺑﺮﺍﺑﺮ ﺁﻧﭽﻪ ﺩﺭ ﺟﺪﻭﻝ ﺁﻣﺪﻩ‬
‫ﺍﺳﺖ ﻣﻲﺑﺎﺷﺪ‪.‬‬
‫‪ -۳‬ﺗﺒﺪﻳﻞﻫﺎﻱ ﻣﺘﻔﺎﻭﺗﻲ ﺭﻭﻱ ﻟﻐﺎﺕ ﺟﻤﻊﺁﻭﺭﻱ ﺷﺪﻩ ﺩﺭ ﺑﻨﺪ ‪ ۲‬ﺍﻧﺠﺎﻡ ﺩﻫﻴﺪ‪ .‬ﺍﻳﻦ ﺷﺎﻣﻞ ﺗﺒﺪﻳﻞ ﺣﺮﻑ ﺍﻭﻝ ﻟﻐﺖ ﺑﻪ ﺣﺮﻑ‬
‫ﺑﺰﺭﮒ ﻭ ﻳﺎ ﻳﻚ ﻛﺎﺭﺍﻛﺘﺮ ﻛﻨﺘﺮﻟﻲ‪ ،‬ﺗﺒﺪﻳﻞ ﺗﻤﺎﻡ ﻟﻐﺖ ﺑﻪ ﺣﺮﻭﻑ ﺑﺰﺭﮒ‪ ،‬ﻣﻌﻜﻮﺱ ﻛﺮﺩﻥ ﻛﻠﻤﻪ ﻭ ﺗﺒﺪﻳﻞ ﺣﺮﻑ "‪ "O‬ﺑﻪ ﺭﻗﻢ‬
‫"‪ "0‬ﻭ ﻏﻴﺮﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺗﺒﺪﻳﻞﻫﺎ ﺗﻘﺮﻳﺒﺎﹰ ﻳﻚ ﻣﻴﻠﻴﻮﻥ ﻛﻠﻤﻪ ﺑﻪ ﻟﻴﺴﺖ ﺍﺿﺎﻓﻪ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫‪ -۴‬ﺗﺒﺪﻳﻞﻫﺎﻱ ﺑﺰﺭﮒ ﻛﺮﺩﻥ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﺣﺮﻑ ﻛﻪ ﺩﺭ ﺑﻨﺪ ‪ ۳‬ﺍﻧﺠﺎﻡ ﻧﺸﺪﻩ ﺍﺳﺖ ﺭﺍ ﺑﻪ ﻟﻐﺎﺕ ﺑﻨﺪ ‪ ۲‬ﺍﻋﻤﺎﻝ ﻛﻨﻴﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ‬
‫ﺗﻘﺮﻳﺒﺎﹰ ﺩﻭ ﻣﻴﻠﻴﻮﻥ ﻛﻠﻤﺔ ﺍﺿﺎﻓﻲ ﺭﺍ ﺑﻪ ﻟﻴﺴﺖ ﺍﺿﺎﻓﻪ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ‪ ،‬ﺗﺴﺖ ﻳﺎﺩﺷﺪﻩ ﺗﻘﺮﻳﺒﺎﹰ ‪ ۳‬ﻣﻴﻠﻴﻮﻥ ﻛﻠﻤﻪ ﺭﺍ ﺩﺭ ﺑﺮ ﻣﻲﮔﺮﻓﺖ‪ .‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺳﺮﻳﻊﺗﺮﻳﻦ ‪ Thinking Machine‬ﻛﻪ ﻗﺒﻼﹰ ﺍﺯ ﺁﻥ‬
‫ﻳﺎﺩ ﺷﺪ‪ ،‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺗﻤﺎﻡ ﺍﻳﻦ ﻛﻠﻤﺎﺕ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺗﻤﺎﻡ ﻣﻘﺎﺩﻳﺮ "‪ "salt‬ﺑﻪ ﺯﻣﺎﻧﻲ ﻛﻤﺘﺮ ﺍﺯ ﻳﻚ ﺳﺎﻋﺖ ﻧﻴﺎﺯ ﺩﺍﺷﺖ‪ .‬ﺑﺨﺎﻃﺮ ﺩﺍﺷﺘﻪ‬
‫ﺑﺎﺷﻴﺪ ﻛﻪ ﭼﻨﻴﻦ ﺟﺴﺘﺠﻮﻱ ﺟﺎﻣﻌﻲ ﺗﻘﺮﻳﺒﺎﹰ ‪ %۲۵‬ﺍﺣﺘﻤﺎﻝ ﻣﻮﻓﻘﻴﺖ ﺩﺍﺷﺘﻪ ﺍﺳﺖ ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﺣﺘﻲ ﻳﻚ ﻣﻮﺭﺩ ﻣﻮﻓﻘﻴﺖ ﻫﻢ ﻣﻤﻜﻦ ﺍﺳﺖ‬
‫ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺍﻣﺘﻴﺎﺯﺍﺕ ﻭﺳﻴﻌﻲ ﺩﺭ ﺳﻴﺴﺘﻢ ﻛﺎﻓﻲ ﺑﺎﺷﺪ‪.‬‬
‫‪٣٥٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻟﻮ ﺭﻓﺘﻪ ﺍﺯ ﻳﻚ ﻣﺠﻤﻮﻋﺔ ﻧﻤﻮﻧﺔ ﺑﺎ ‪ ۱۳,۷۹۷‬ﺣﺴﺎﺏ ]‪[KLEI90‬‬ ‫ﺟﺪﻭﻝ ‪۹-۴‬‬
‫‪Type of Password‬‬ ‫‪Search Size‬‬ ‫‪Number of‬‬ ‫‪Percentage of‬‬ ‫‪Cost/Benefit‬‬

‫‪Matches‬‬ ‫‪Password‬‬ ‫* ‪Ratio‬‬
‫‪Matched‬‬
‫‪User/account name‬‬ ‫‪130‬‬ ‫‪368‬‬ ‫‪2.7%‬‬ ‫‪2.830‬‬
‫‪Character sequences‬‬ ‫‪866‬‬ ‫‪22‬‬ ‫‪0.2%‬‬ ‫‪0.025‬‬
‫‪Numbers‬‬ ‫‪427‬‬ ‫‪9‬‬ ‫‪0.1%‬‬ ‫‪0.021‬‬
‫‪Chinese‬‬ ‫‪392‬‬ ‫‪56‬‬ ‫‪0.4%‬‬ ‫‪0.143‬‬
‫‪Place names‬‬ ‫‪628‬‬ ‫‪82‬‬ ‫‪0.6%‬‬ ‫‪0.131‬‬
‫‪Common names‬‬ ‫‪2239‬‬ ‫‪548‬‬ ‫‪4.0%‬‬ ‫‪0.245‬‬
‫‪Female names‬‬ ‫‪4280‬‬ ‫‪161‬‬ ‫‪1.2%‬‬ ‫‪0.038‬‬
‫‪Male names‬‬ ‫‪2866‬‬ ‫‪140‬‬ ‫‪1.0%‬‬ ‫‪0.049‬‬
‫‪Uncommon names‬‬ ‫‪4955‬‬ ‫‪130‬‬ ‫‪0.9%‬‬ ‫‪0.026‬‬
‫‪Myths&legends‬‬ ‫‪1246‬‬ ‫‪66‬‬ ‫‪0.5%‬‬ ‫‪0.053‬‬
‫‪Shakespearean‬‬ ‫‪473‬‬ ‫‪11‬‬ ‫‪0.1%‬‬ ‫‪0.023‬‬
‫‪Sport terms‬‬ ‫‪238‬‬ ‫‪32‬‬ ‫‪0.2%‬‬ ‫‪0.134‬‬
‫‪Science fiction‬‬ ‫‪691‬‬ ‫‪59‬‬ ‫‪0.4%‬‬ ‫‪0.085‬‬
‫‪Movies and actors‬‬ ‫‪99‬‬ ‫‪12‬‬ ‫‪0.1%‬‬ ‫‪0.121‬‬
‫‪Cartoons‬‬ ‫‪92‬‬ ‫‪9‬‬ ‫‪0.1%‬‬ ‫‪0.098‬‬
‫‪Famous people‬‬ ‫‪290‬‬ ‫‪55‬‬ ‫‪0.4%‬‬ ‫‪0.190‬‬
‫‪Phrases and patterns‬‬ ‫‪933‬‬ ‫‪253‬‬ ‫‪1.8%‬‬ ‫‪0.271‬‬
‫‪Surnames‬‬ ‫‪33‬‬ ‫‪9‬‬ ‫‪0.1%‬‬ ‫‪0.273‬‬
‫‪Biology‬‬ ‫‪58‬‬ ‫‪1‬‬ ‫‪0.0%‬‬ ‫‪0.017‬‬
‫‪System dictionary‬‬ ‫‪9683‬‬ ‫‪1027‬‬ ‫‪7.4%‬‬ ‫‪0.052‬‬
‫‪Machine names‬‬ ‫‪9018‬‬ ‫‪132‬‬ ‫‪1.0%‬‬ ‫‪0.015‬‬
‫‪Mnemonics‬‬ ‫‪14‬‬ ‫‪2‬‬ ‫‪0.0%‬‬ ‫‪0.143‬‬
‫‪King James Bible‬‬ ‫‪7525‬‬ ‫‪83‬‬ ‫‪0.6%‬‬ ‫‪0.011‬‬
‫‪Miscellaneous words‬‬ ‫‪3212‬‬ ‫‪54‬‬ ‫‪0.4%‬‬ ‫‪0.017‬‬
‫‪Yiddish words‬‬ ‫‪56‬‬ ‫‪0‬‬ ‫‪0.0%‬‬ ‫‪0.000‬‬
‫‪Asteroids‬‬ ‫‪2407‬‬ ‫‪19‬‬ ‫‪0.1%‬‬ ‫‪0.007‬‬
‫‪Total‬‬ ‫‪62727‬‬ ‫‪3340‬‬ ‫‪24.2%‬‬ ‫‪0.053‬‬
‫‪* Cost /Benefit Ratio = Number of Matches / Search Size‬‬
‫ﻳﻜﻲ ﺍﺯ ﺭﺍﻩﻫﺎﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﻬﺎﺟﻢ ﺑﻪ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ‪ ،‬ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺩﺳﺖﻳﺎﺑﻲ ﺩﺷﻤﻦ ﺑﻪ ﻓﺎﻳﻞ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﻗﺴﻤﺘﻲ ﺍﺯ‬
‫ﻓﺎﻳﻞ ﻛﻪ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺭﻣﺰﺷﺪﻩ ﺩﺭ ﺁﻥ ﻧﮕﻬﺪﺍﺭﻱ ﻣﻲﺷﻮﺩ ﺗﻨﻬﺎ ﺑﺘﻮﺳﻂ ﻳﻚ ﻛﺎﺭﺑﺮ ﺩﺍﺭﺍﻱ ﺍﻣﺘﻴﺎﺯﺍﺕ ﻭﻳﮋﻩ ﻗﺎﺑﻞ ﺩﺳﺖﻳﺎﺑﻲ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ‬
‫ﺩﺷﻤﻦ ﺑﺪﻭﻥ ﺩﺍﻧﺴﺘﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺁﻥ ﻛﺎﺭﺑﺮ ﻭﻳﮋﻩ‪ ،‬ﺍﻣﻜﺎﻥ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻓﺎﻳﻞ ﺭﺍ ﻧﺨﻮﺍﻫﺪ ﺩﺍﺷﺖ‪ [SPAF92a] .‬ﭼﻨﺪ ﺍﺷﻜﺎﻝ ﺩﺭ ﺍﻳﻦ‬
‫ﺍﺳﺘﺮﺍﺗﮋﻱ ﺭﺍ ﻳﺎﺩﺁﻭﺭﻱ ﻣﻲﻛﻨﺪ‪:‬‬
‫ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﺷﺎﻣﻞ ﺑﻴﺸﺘﺮ ﺳﻴﺴﺘﻢﻫﺎﻱ ‪ ،UNIX‬ﺩﺭ ﻣﻌﺮﺽ ﺗﻌﺮﺽﻫﺎﻱ ﭘﻴﺶﺑﻴﻨﻲ ﻧﺸﺪﻩ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ‪ .‬ﻫﻤﻴﻨﻜﻪ‬ ‫•‬
‫ﻣﻬﺎﺟﻤﻲ ﺗﻮﺍﻧﺴﺖ ﺑﻪ ﻧﺤﻮﻱ ﺑﻪ ﺳﻴﺴﺘﻢ ﺭﺍﻩ ﻳﺎﺑﺪ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺨﻮﺍﻫﺪ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ ﺗﺎ ﺍﺯ‬
‫ﻃﺮﻳﻖ ﺣﺴﺎﺏﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺑﺮﺍﻱ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ ﺍﻗﺪﺍﻡ ﻧﻤﻮﺩﻩ ﻭ ﺑﺪﻳﻦ ﻧﺤﻮ ﺧﻄﺮ ﺗﺸﺨﻴﺺ ﺧﻮﺩ ﺭﺍ ﻛﻢ ﻛﻨﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻳﻚ‬
‫ﻛﺎﺭﺑﺮ ﺩﺍﺭﺍﻱ ﺍﺷﺘﺮﺍﻙ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺨﻮﺍﻫﺪ ﺍﺯ ﺣﺴﺎﺏ ﻣﺸﺘﺮﻙ ﺩﻳﮕﺮﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺗﺎ ﺩﺍﺩﻩﻫﺎﻱ ﮔﺮﺍﻥﻗﻴﻤﺖ ﺭﺍ ﺧﻮﺍﻧﺪﻩ ﻭ‬
‫ﻳﺎ ﺩﺭ ﺳﻴﺴﺘﻢ ﺧﺮﺍﺑﻜﺎﺭﻱ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٥٦‬‬
‫ﻳﻚ ﺭﻭﻳﺪﺍﺩ ﺣﻔﺎﻇﺘﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﻓﺎﻳﻞ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺭﺍ ﻧﺎﺧﻮﺍﻧﺎ ﺳﺎﺧﺘﻪ ﻭ ﺩﺭ ﻧﺘﻴﺠﻪ ﺗﻤﺎﻡ ﺍﺷﺘﺮﺍﻙﻫﺎ ﺭﺍ ﺑﻪ ﻣﺨﺎﻃﺮﻩ ﺍﻧﺪﺍﺯﺩ‪.‬‬ ‫•‬
‫ﺑﺮﺧﻲ ﻛﺎﺭﺑﺮﺍﻥ‪ ،‬ﺩﺍﺭﺍﻱ ﺍﺷﺘﺮﺍﻙ ﺭﻭﻱ ﻣﺎﺷﻴﻦﻫﺎﻱ ﺩﻳﮕﺮ ﺩﺭ ﻧﻮﺍﺣﻲ ﺣﻔﺎﻇﺘﻲ ﺩﻳﮕﺮﻱ ﻫﺴﺘﻨﺪ ﻭﻟﻲ ﺍﺯ ﻫﻤﻴﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺩﺭ‬ ‫•‬
‫ﺁﻧﺠﺎ ﻫﻢ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﮔﺮ ﻓﺮﺩﻱ ﺑﺘﻮﺍﻧﺪ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺁﻧﻬﺎ ﺭﻭﻱ ﻳﻚ ﻣﺎﺷﻴﻦ ﺭﺍ ﻛﺸﻒ ﻛﻨﺪ‪ ،‬ﻣﺎﺷﻴﻦ ﺩﻳﮕﺮﻱ ﺩﺭ‬
‫ﻣﺤﻞ ﺩﻳﮕﺮﻱ ﻧﻴﺰ ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﻣﻌﺮﺽ ﺧﻄﺮ ﻭﺍﻗﻊ ﺷﻮﺩ‪.‬‬
‫ﺑﻬﻤﻴﻦ ﺩﻟﻴﻞ‪ ،‬ﻳﻚ ﺍﺳﺘﺮﺍﺗﮋﻱ ﻣﺆﺛﺮﺗﺮ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ ﻣﺠﺒﻮﺭ ﻛﺮﺩ ﺗﺎ ﻛﻠﻤﺔ ﻋﺒﻮﺭﻱ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﻨﻨﺪ ﻛﻪ ﺣﺪﺱ ﺯﺩﻥ ﺁﻥ‬
‫ﻣﺸﻜﻞ ﺑﺎﺷﺪ‪.‬‬
‫ﺍﺳﺘﺮﺍﺗﮋﻱﻫﺎﻱ ﺍﻧﺘﺨﺎﺏ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
‫ﺩﺭﺳﻲ ﻛﻪ ﺍﺯ ﺩﻭ ﺁﺯﻣﺎﻳﺶ ﺑﺎﻻ )ﺟﺪﺍﻭﻝ ‪ ۹-۳‬ﻭ ‪ (۹-۴‬ﺁﻣﻮﺧﺘﻪ ﻣﻲﺷﻮﺩ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ‪ ،‬ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻪ ﺍﻣﺮ ﺑﻪ ﺧﻮﺩ ﺁﻧﻬﺎ ﻭﺍﮔﺬﺍﺭ ﺷﻮﺩ‪،‬‬
‫ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﻛﺎﺭﺑﺮﺍﻥ ﻛﻠﻤﺔ ﻋﺒﻮﺭﻱ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﻳﺎ ﺧﻴﻠﻲ ﻛﻮﺗﺎﻩ ﺑﻮﺩﻩ ﻭ ﻳﺎ ﺣﺪﺱ ﺯﺩﻥ ﺁﻥ ﺧﻴﻠﻲ ﺁﺳﺎﻥ ﺍﺳﺖ‪ .‬ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ‬
‫ﺍﮔﺮ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭﻱ ﺍﺧﺘﺼﺎﺹ ﻳﺎﺑﺪ ﻛﻪ ﺍﺯ ﻫﺸﺖ ﻛﺎﺭﺍﻛﺘﺮ ﻗﺎﺑﻞ ﭼﺎﭖ ﺗﺼﺎﺩﻓﻲ ﺗﺸﻜﻴﻞ ﺷﺪﻩ ﺑﺎﺷﺪ‪ ،‬ﺷﻜﺴﺘﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
‫ﺗﻘﺮﻳﺒﺎﹰ ﻏﻴﺮﻣﻤﻜﻦ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺍﻣﺎ ﺩﺭ ﺍﻳﻦ ﺻﻮﺭﺕ ﺑﺨﺎﻃﺮ ﺳﭙﺮﺩﻥ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﺮﺍﻱ ﺑﻴﺸﺘﺮ ﻛﺎﺭﺑﺮﺍﻥ ﺍﻣﺮﻱ ﻏﻴﺮﻣﻤﻜﻦ ﺍﺳﺖ‪ .‬ﺧﻮﺷﺒﺨﺘﺎﻧﻪ‬
‫ﺣﺘﻲ ﺍﮔﺮ ﻓﻀﺎﻱ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺭﺍ ﺑﻪ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ ﻛﺎﺭﺍﻛﺘﺮﻫﺎ ﻛﻪ ﺑﻄﻮﺭ ﻣﻌﻘﻮﻝ ﻗﺎﺑﻞ ﺑﺨﺎﻃﺮ ﺳﭙﺮﺩﻥ ﻫﺴﺘﻨﺪ ﻣﺤﺪﻭﺩ ﻛﻨﻴﻢ‪ ،‬ﺑﺎﺯ ﻫﻢ ﺍﻧﺪﺍﺯﺓ‬
‫ﻓﻀﺎ ﺑﺤﺪﻱ ﺑﺰﺭﮒ ﺧﻮﺍﻫﺪ ﻣﺎﻧﺪ ﻛﻪ ﺷﻜﺴﺘﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻋﻤﻠﻲ ﻧﺨﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻫﺪﻑ ﻣﺎ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻗﺎﺑﻞ‬
‫ﺣﺪﺱ ﺭﺍ ﺑﻨﺤﻮﻱ ﺣﺬﻑ ﻛﻨﻴﻢ ﻛﻪ ﺑﺎﺯ ﻫﻢ ﻛﺎﺭﺑﺮ ﻗﺎﺩﺭ ﺑﺎﺷﺪ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺧﻮﺩ ﺭﺍ ﺑﺨﺎﻃﺮ ﺑﺴﭙﺎﺭﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻘﻮﻟﻪ ﺍﺯ ﭼﻬﺎﺭ ﺗﻜﻨﻴﻚ ﻋﻤﺪﻩ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪:‬‬
‫ﺗﻌﻠﻴﻢ ﻛﺎﺭﺑﺮ‬ ‫•‬

‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭﻱ ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﺩ‬ ‫•‬
‫ﻛﻨﺘﺮﻝ ﻏﻴﺮﻓﻌﺎﻝ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬ ‫•‬
‫ﻛﻨﺘﺮﻝ ﻓﻌﺎﻝ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬ ‫•‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﺍﻫﻤﻴﺖ ﺑﻜﺎﺭﺑﺮﺩﻥ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭﻱ ﻛﻪ ﺑﺴﺨﺘﻲ ﻗﺎﺑﻞ ﺣﺪﺱ ﺯﺩﻥ ﻫﺴﺘﻨﺪ ﺁﮔﺎﻩ ﻛﺮﺩ ﻭ ﺑﺮﺍﻱ ﺁﻧﻬﺎ‬
‫ﺧﻂﻣﺸﻲ ﻣﻨﺎﺳﺒﻲ ﺑﺮﺍﻱ ﺍﻧﺘﺨﺎﺏ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻗﻮﻱ ﺍﺭﺍﺋﻪ ﺩﺍﺩ‪ .‬ﺍﻳﻦ ﺍﺳﺘﺮﺍﺗﮋﻱ ﺗﻌﻠﻴﻢ ﻛﺎﺭﺑﺮ ﺩﺭ ﺍﻛﺜﺮ ﺳﺎﺯﻣﺎﻥﻫﺎ‪ ،‬ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﺩﺭ‬
‫ﺟﺎﻫﺎﺋﻲ ﻛﻪ ﺟﻤﻌﻴﺖ ﺯﻳﺎﺩ ﺑﻮﺩﻩ ﻭ ﺗﻐﻴﻴﺮ ﻭ ﺗﺤﻮﻝ ﺯﻳﺎﺩﻱ ﺩﺭ ﺟﺮﻳﺎﻥ ﺍﺳﺖ‪ ،‬ﺍﺣﺘﻤﺎﻝ ﻣﻮﻓﻘﻴﺖ ﻛﻤﻲ ﺩﺍﺭﺩ‪ .‬ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﻛﺎﺭﺑﺮﺍﻥ‬
‫ﺧﻂﻣﺸﻲﻫﺎ ﺭﺍ ﺑﺴﻬﻮﻟﺖ ﺯﻳﺮﭘﺎ ﻣﻲﮔﺬﺍﺭﻧﺪ‪ .‬ﺑﺮﺧﻲ ﺩﻳﮕﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﻗﻀﺎﻭﺕ ﺻﺤﻴﺤﻲ ﻧﺴﺒﺖ ﺑﻪ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻣﺤﻜﻢ ﻧﺪﺍﺷﺘﻪ‬
‫ﺑﺎﺷﻨﺪ‪ .‬ﻣﺜﻼﹰ ﻛﺎﺭﺑﺮﺍﻥ ﺯﻳﺎﺩﻱ )ﺍﺷﺘﺒﺎﻫﺎﹰ( ﻣﻌﺘﻘﺪﻧﺪ ﻛﻪ ﻣﻌﻜﻮﺱ ﻛﺮﺩﻥ ﺣﺮﻭﻑ ﻳﻚ ﻛﻠﻤﻪ‪ ،‬ﻭ ﻳﺎ ﺑﺰﺭﮒ ﻧﻮﺷﺘﻦ ﺣﺮﻑ ﺁﺧﺮ ﻳﻚ ﻛﻠﻤﻪ‪ ،‬ﺁﻥ‬
‫ﺭﺍ ﻏﻴﺮﻗﺎﺑﻞ ﺣﺪﺱ ﺧﻮﺍﻫﺪ ﺳﺎﺧﺖ‪.‬‬
‫ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻧﻴﺰ ﺩﺍﺭﺍﻱ ﻣﺸﻜﻞﺍﻧﺪ‪ .‬ﺍﮔﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻃﺒﻴﻌﺖ ﻛﺎﻣﻼﹰ ﺗﺼﺎﺩﻓﻲ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻛﺎﺭﺑﺮ‬
‫ﻗﺎﺩﺭ ﺑﻪ ﺑﺨﺎﻃﺮ ﺳﭙﺮﺩﻥ ﺁﻥ ﻧﺨﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺣﺘﻲ ﺍﮔﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻗﺎﺑﻞ ﺗﻠﻔﻆ ﻫﻢ ﺑﺎﺷﺪ‪ ،‬ﻛﺎﺭﺑﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﺑﺨﺎﻃﺮ ﺳﭙﺮﺩﻥ ﺁﻥ ﻣﺸﻜﻞ‬
‫ﺩﺍﺷﺘﻪ ﻭ ﻭﺳﻮﺳﻪ ﺷﻮﺩ ﻛﻪ ﺁﻥ ﺭﺍ ﻳﺎﺩﺩﺍﺷﺖ ﻧﻤﺎﻳﺪ‪ .‬ﺑﻄﻮﺭ ﻛﻠﻲ‪ ،‬ﺭﻭﺵ ﺳﺎﺧﺖ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﺘﻮﺳﻂ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺩﺍﺭﺍﻱ ﺗﺎﺭﻳﺨﭽﻪﺍﻱ ﺍﺳﺖ‬
‫ﻛﻪ ﻋﺪﻡ ﺗﻤﺎﻳﻞ ﺑﻪ ﭘﺬﻳﺮﺵ ﺁﻥ ﺍﺯ ﺳﻮﻱ ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ FIPS PUB 181 .‬ﻳﻜﻲ ﺍﺯ ﺑﻬﺘﺮﻳﻦ ﻃﺮﺍﺣﻲﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ‬
‫ﺗﻮﻟﻴﺪ ﺍﺗﻮﻣﺎﺗﻴﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺍﺭﺍﺋﻪ ﺩﺍﺩﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻧﻪ ﺗﻨﻬﺎ ﺭﻭﺵ ﻋﻤﻞ ﺭﺍ ﺗﻮﺻﻴﻒ ﻣﻲﻛﻨﺪ ﺑﻠﻜﻪ ﻛﹸﺪ ﺑﺮﻧﺎﻣﻪ ﻧﻮﺷﺘﻪ ﺷﺪﻩ ﺑﻪ‬
‫‪٣٥٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﺯﺑﺎﻥ ‪ C‬ﺭﺍ ﻧﻴﺰ ﺍﺭﺍﺋﻪ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﺎ ﺍﻳﺠﺎﺩ ﺑﺨﺶﻫﺎﻱ ﻗﺎﺑﻞ ﺗﻠﻔﻆ‪ ،‬ﺁﻧﻬﺎ ﺭﺍ ﺑﻪﻫﻢ ﭼﺴﺒﺎﻧﺪﻩ ﺗﺎ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺍﻳﺠﺎﺩ ﻧﻤﺎﻳﺪ‪ .‬ﻳﻚ‬
‫ﻣﻮﻟﺪ ﺍﻋﺪﺍﺩ ﺗﺼﺎﺩﻓﻲ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﺩﻧﺒﺎﻟﺔ ﻛﺎﺭﺍﻛﺘﺮﻫﺎ ﺟﻬﺖ ﺳﺎﺧﺖ ﺑﺨﺶﻫﺎﻱ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪.‬‬
‫ﻳﻚ ﺍﺳﺘﺮﺍﺗﮋﻱ ﻛﻨﺘﺮﻝ ﻏﻴﺮﻓﻌﺎﻝ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺧﻮﺩ ﺳﻴﺴﺘﻢ ﻫﺮﭼﻨﺪﻭﻗﺖ ﻳﻜﺒﺎﺭ ﺑﺮﻧﺎﻣﺔ ﺷﻜﺴﺘﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺩﺍﺧﻠﻲ‬
‫ﺧﻮﺩ ﺭﺍ ﺍﺟﺮﺍ ﻛﺮﺩﻩ ﺗﺎ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻗﺎﺑﻞ ﺣﺪﺱ ﺭﺍ ﭘﻴﺪﺍ ﻛﻨﺪ‪ .‬ﺳﻴﺴﺘﻢ ﺍﮔﺮ ﺑﺘﻮﺍﻧﺪ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺑﺎ ﺣﺪﺱ ﺑﺪﺳﺖ ﺁﻭﺭﺩ ﺁﻥ ﺭﺍ‬
‫ﺣﺬﻑ ﻛﺮﺩﻩ ﻭ ﻛﺎﺭﺑﺮ ﺭﺍ ﺍﺯ ﺍﻳﻦ ﻣﻮﺿﻮﻉ ﻣﻄﻠﻊ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺗﺎﻛﺘﻴﻚ ﭼﻨﺪﻳﻦ ﻧﻘﻄﺔ ﺿﻌﻒ ﺩﺍﺭﺩ‪ .‬ﺍﻭﻝ ﺍﻳﻨﻜﻪ ﺍﮔﺮ ﻗﺮﺍﺭ ﺑﺎﺷﺪ ﺗﺎ ﻋﻤﻞ‬
‫ﺩﺭﺳﺖ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪ ،‬ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ ﺭﺍ ﺑﺸﺪﺕ ﺑﻜﺎﺭ ﺧﻮﺍﻫﺪ ﮔﺮﻓﺖ‪ .‬ﺩﻭﻡ ﺍﻳﻨﻜﻪ ﻳﻚ ﺩﺷﻤﻦ ﻣﺼﻤﻢ ﻛﻪ ﻗﺎﺩﺭ ﺑﻪ ﺭﺑﻮﺩﻥ ﻳﻚ ﻓﺎﻳﻞ ﻛﻠﻤﺎﺕ‬
‫ﻋﺒﻮﺭ ﺑﺎﺷﺪ ﻣﻲﺗﻮﺍﻧﺪ ﺳﺎﻋﺘﻬﺎ ﻭ ﻳﺎ ﺣﺘﻲ ﺭﻭﺯﻫﺎ ﺗﻤﺎﻡ ﺯﻣﺎﻥ ‪ CPU‬ﺭﺍ ﺑﺮﺍﻱ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﻫﺪﻑ ﺧﻮﺩ ﺑﻜﺎﺭ ﮔﻴﺮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺍﻳﻦ ﻫﺮ ﻛﻠﻤﺔ‬
‫ﻋﺒﻮﺭ ﻣﻮﺟﻮﺩ ﺗﺎ ﺯﻣﺎﻧﻲ ﻛﻪ ﻛﻨﺘﺮﻝ ﻏﻴﺮﻓﻌﺎﻝ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‪ ،‬ﺁﻥ ﺭﺍ ﻛﺸﻒ ﻛﻨﺪ ﻗﺎﺑﻞ ﺗﻌﺮﺽ ﺧﻮﺍﻫﺪ ﻣﺎﻧﺪ‪.‬‬
‫ﺍﻣﻴﺪﻭﺍﺭﻛﻨﻨﺪﻩﺗﺮﻳﻦ ﺭﻭﺵ ﺑﺮﺍﻱ ﺍﻣﻨﻴﺖ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‪ ،‬ﻳﻚ ﻛﻨﺘﺮﻝﻛﻨﻨﺪﺓ ﻓﻌﺎﻝ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﺭﻭﺵ ﺑﻪ ﻳﻚ ﻛﺎﺭﺑﺮ‬
‫ﺍﺟﺎﺯﻩ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ ﺗﺎ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺧﻮﺩ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﻨﺪ‪ .‬ﻭﻟﻲ ﺩﺭ ﻫﻨﮕﺎﻡ ﺍﻧﺘﺨﺎﺏ‪ ،‬ﺳﻴﺴﺘﻢ ﺑﻪ ﺩﻧﺒﺎﻝ ﺍﻳﻦ ﻣﻲﮔﺮﺩﺩ ﻛﻪ ﺁﻳﺎ ﺍﻳﻦ ﺍﻧﺘﺨﺎﺏ‬
‫ﻣﺠﺎﺯ ﺍﺳﺖ ﻭ ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻪ ﺍﻳﻦ ﺷﺮﻁ ﺑﺮﻗﺮﺍﺭ ﻧﺒﺎﺷﺪ ﺁﻥ ﺭﺍ ﻧﻤﻲﭘﺬﻳﺮﺩ‪ .‬ﭼﻨﻴﻦ ﻛﻨﺘﺮﻝﻛﻨﻨﺪﻩﻫﺎﺋﻲ ﺑﺮ ﺍﺳﺎﺱ ﺍﻳﻦ ﻓﻠﺴﻔﻪ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ ﻛﻪ‬
‫ﺑﺎ ﻫﺪﺍﻳﺖ ﻛﺎﻓﻲ ﺍﺯ ﻃﺮﻑ ﺳﻴﺴﺘﻢ‪ ،‬ﻛﺎﺭﺑﺮﺍﻥ ﻣﻲﺗﻮﺍﻧﻨﺪ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻗﺎﺑﻞ ﺑﺨﺎﻃﺮﺳﭙﺮﺩﻥ ﺭﺍ ﺍﺯ ﺑﻴﻦ ﻣﺠﻤﻮﻋﺔ ﺑﺰﺭﮔﻲ ﺍﺯ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻛﻪ‬
‫ﺍﺣﺘﻤﺎﻝ ﺣﺪﺱ ﺯﺩﻥ ﺁﻧﻬﺎ ﺩﺭ ﻳﻚ ﺣﻤﻠﺔ ﻟﻐﺖﻧﺎﻣﻪﺍﻱ ﻣﺤﺘﻤﻞ ﺍﺳﺖ‪ ،‬ﺍﻧﺘﺨﺎﺏ ﻛﻨﻨﺪ‪.‬‬
‫ﺣﻴﻠﺔ ﻛﻨﺘﺮﻝﻛﻨﻨﺪﺓ ﻓﻌﺎﻝ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻣﻴﺨﻮﺍﻫﺪ ﺗﻮﺍﺯﻧﻲ ﺑﻴﻦ ﺧﻮﺍﺳﺖ ﻛﺎﺭﺑﺮ ﺑﺎ ﺍﺳﺘﺤﻜﺎﻡ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﻳﺠﺎﺩ ﻛﻨﺪ‪.‬‬
‫ﺍﮔﺮ ﺳﻴﺴﺘﻢ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺯﻳﺎﺩﻱ ﺭﺍ ﺩﻓﻊ ﻛﺮﺩﻩ ﻭ ﻗﺒﻮﻝ ﻧﻜﻨﺪ‪ ،‬ﻛﺎﺭﺑﺮﺍﻥ ﺍﺯ ﺍﻳﻦ ﺷﻜﺎﻳﺖ ﺧﻮﺍﻫﻨﺪ ﻛﺮﺩ ﻛﻪ ﺍﻧﺘﺨﺎﺏ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺎﺭﻱ‬
‫ﻣﺸﻜﻞ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﺳﻴﺴﺘﻢ ﺍﺯ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺳﺎﺩﻩ ﺑﺮﺍﻱ ﺗﻌﺮﻳﻒ ﺁﻧﭽﻪ ﻗﺎﺑﻞ ﻗﺒﻮﻝ ﺍﺳﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪ ،‬ﺍﻳﻦ ﺧﻮﺩ ﻫﺪﺍﻳﺖﻛﻨﻨﺪﺓ‬
‫ﺷﻜﻨﻨﺪﮔﺎﻥ ﺭﻣﺰ ﻋﺒﻮﺭ ﺑﺮﺍﻱ ﺑﻬﺒﻮﺩ ﺑﺨﺸﻴﺪﻥ ﺑﻪ ﺭﻭﺵﻫﺎﻱ ﮔﻤﺎﻧﻪﺯﻧﻲ ﺧﻮﺩ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺩﺭ ﺑﻘﻴﺔ ﺍﻳﻦ ﻗﺴﻤﺖ‪ ،‬ﻧﮕﺎﻫﻲ ﺑﻪ ﺑﺮﺧﻮﺭﺩﻫﺎﻱ‬
‫ﻣﺨﺘﻠﻒ ﺩﺭ ﺯﻣﻴﻨﺔ ﻛﻨﺘﺮﻝ ﻓﻌﺎﻝ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺧﻮﺍﻫﻴﻢ ﺍﻧﺪﺍﺧﺖ‪.‬‬
‫ﺍﻭﻟﻴﻦ ﺭﻭﺵ‪ ،‬ﻳﻚ ﺳﻴﺴﺘﻢ ﺳﺎﺩﻩ ﺍﻋﻤﺎﻝ ﻗﺎﻧﻮﻥ ﺍﺳﺖ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﻗﻮﺍﻧﻴﻦ ﺯﻳﺮ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺍﻋﻤﺎﻝ ﻛﺮﺩ‪:‬‬
‫ﺗﻤﺎﻡ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺑﺎﻳﺴﺘﻲ ﺣﺪﺍﻗﻞ ‪ ۸‬ﻛﺎﺭﺍﻛﺘﺮ ﻃﻮﻝ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬ ‫•‬
‫ﺩﺭ ‪ ۸‬ﻛﺎﺭﺍﻛﺘﺮ ﺍﻭﻝ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﺎﻳﺴﺘﻲ ﺣﺪﺍﻗﻞ ﻳﻚ ﺣﺮﻑ ﺑﺰﺭﮒ‪ ،‬ﻳﻚ ﺣﺮﻑ ﻛﻮﭼﻚ‪ ،‬ﻳﻚ ﻋﺪﺩ ﻭ ﻳﻚ ﻋﻼﻣﺖ ﻭﺟﻮﺩ‬ ‫•‬
‫ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﺍﻳﻦ ﻗﻮﺍﻧﻴﻦ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﻬﻤﺮﺍﻩ ﻧﺼﺎﻳﺢ ﺩﻳﮕﺮ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮ ﺑﻴﺎﻥ ﻧﻤﻮﺩ‪ .‬ﺍﮔﺮﭼﻪ ﺍﻳﻦ ﻧﻮﻉ ﺑﺮﺧﻮﺭﺩ ﻧﺴﺒﺖ ﺑﻪ ﺗﻌﻠﻴﻢ ﺳﺎﺩﺓ ﻛﺎﺭﺑﺮﺍﻥ ﺍﺭﺟﺤﻴﺖ‬
‫ﺩﺍﺭﺩ‪ ،‬ﻭﻟﻲ ﺑﺮﺍﻱ ﻧﺎﺍﻣﻴﺪ ﻛﺮﺩﻥ ﺷﻜﻨﻨﺪﮔﺎﻥ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻣﻤﻜﻦ ﺍﺳﺖ ﻛﺎﻓﻲ ﻧﺒﺎﺷﺪ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﺑﻪ ﻗﻔﻞﺷﻜﻨﻨﺎﻥ ﻫﺸﺪﺍﺭ ﻣﻲﺩﻫﺪ ﻛﻪ ﻛﺪﺍﻡ‬
‫ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺭﺍ ﺍﻣﺘﺤﺎﻥ ﻧﻜﻨﻨﺪ ﻭﻟﻲ ﺑﺎﺯﻫﻢ ﻣﻤﻜﻦ ﺍﺳﺖ ﻣﻨﺠﺮ ﺑﻪ ﺷﻜﺴﺘﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺷﻮﺩ‪.‬‬
‫ﺭﻭﺵ ﻣﻤﻜﻦ ﺩﻳﮕﺮ‪ ،‬ﺟﻤﻊﺁﻭﺭﻱ ﻳﻚ ﻟﻴﺴﺖ ﺍﺯ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ »ﺑﺪ« ﺍﺳﺖ‪ .‬ﻭﻗﺘﻲ ﻛﺎﺭﺑﺮﻱ ﻛﻠﻤﺔ ﻋﺒﻮﺭﻱ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻣﻲﻛﻨﺪ‪ ،‬ﺳﻴﺴﺘﻢ‬
‫ﺁﻥ ﺭﺍ ﺁﺯﻣﺎﻳﺶ ﻛﺮﺩﻩ ﺗﺎ ﺍﻃﻤﻴﻨﺎﻥ ﻳﺎﺑﺪ ﻛﻪ ﺩﺭ ﻟﻴﺴﺖ ﻏﻴﺮﻗﺎﺑﻞ ﻗﺒﻮﻝ ﻗﺮﺍﺭ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﺩﺍﺭﺍﻱ ﺩﻭ ﻣﺸﻜﻞ ﺍﺳﺖ‪:‬‬
‫ﻓﻀﺎ‪ :‬ﺑﺮﺍﻱ ﻣﺆﺛﺮ ﺑﻮﺩﻥ ﺭﻭﺵ‪ ،‬ﻟﻴﺴﺖ ﺑﺎﻳﺴﺘﻲ ﺧﻴﻠﻲ ﺑﺰﺭﮒ ﺑﺎﺷﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﻟﻴﺴﺘﻲ ﻛﻪ ﺩﺭ ﭘﺮﻭﮊﺓ ‪Purdue‬‬ ‫•‬
‫]‪ [SPAF92a‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﺮﻓﺖ ﺑﻴﺶ ﺍﺯ ‪ ۳۰‬ﻣﮕﺎﺑﺎﻳﺖ ﺣﺎﻓﻈﻪ ﺭﺍ ﺍﺷﻐﺎﻝ ﻣﻲﻛﺮﺩ‪.‬‬
‫ﺯﻣﺎﻥ‪ :‬ﺯﻣﺎﻥ ﻻﺯﻡ ﺑﺮﺍﻱ ﺟﺴﺘﺠﻮ ﺩﺭ ﭼﻨﻴﻦ ﻟﻴﺴﺖ ﺑﺰﺭﮔﻲ‪ ،‬ﺧﻮﺩ ﻣﻤﻜﻦ ﺍﺳﺖ ﺧﻴﻠﻲ ﺯﻳﺎﺩ ﺑﺎﺷﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺁﻥ ﺑﺮﺍﻱ ﻛﻨﺘﺮﻝ‬ ‫•‬
‫ﻛﺮﺩﻥ ﺗﻤﺎﻡ ﺗﺒﺪﻳﻼﺕ ﻣﻤﻜﻦ ﺭﻭﻱ ﻟﻐﺎﺕ ﻟﻴﺴﺖ‪ ،‬ﻳﺎ ﺁﻥ ﻛﻠﻤﺎﺕ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻟﻴﺴﺖ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ ،‬ﻛﻪ ﺣﺠﻢ ﻟﻴﺴﺖ ﺭﺍ‬
‫ﻋﻈﻴﻢ ﺧﻮﺍﻫﺪ ﻛﺮﺩ‪ ،‬ﻭ ﻳﺎ ﺑﺮﺍﻱ ﻫﺮ ﻛﻠﻤﻪ ﭘﺮﺩﺍﺯﺵ ﺩﻳﮕﺮﻱ ﻧﻴﺰ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٥٨‬‬
‫ﺩﻭ ﺗﻜﻨﻴﻚ ﺍﻣﻴﺪﻭﺍﺭﻛﻨﻨﺪﻩ ﺑﺮﺍﻱ ﺳﺎﺧﺖ ﻳﻚ ﻛﻨﺘﺮﻝﻛﻨﻨﺪﺓ ﻓﻌﺎﻝ ﻣﺆﺛﺮ ﻭ ﺑﻬﺮﻩﻭﺭ‪ ،‬ﻛﻪ ﺑﺮ ﻣﺒﻨﺎﻱ ﻧﭙﺬﻳﺮﻓﺘﻦ ﻟﻐﺎﺕ ﻳﻚ ﻟﻴﺴﺖ ﻗﺮﺍﺭ‬
‫ﺩﺍﺭﺩ‪ ،‬ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﻳﻜﻲ ﺍﺯ ﺍﻳﻦ ﺩﻭ ﺭﻭﺵ ﺍﺯ ﻳﻚ ﻣﺪﻝ ﻣﺎﺭﻛﻮﻑ )‪ (Markov‬ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻗﺎﺑﻞ ﺣﺪﺱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‬
‫]‪ .[DAVI93‬ﺷﻜﻞ ‪ ۹-۵‬ﻳﻚ ﻧﺴﺨﺔ ﺳﺎﺩﻩ ﺷﺪﻩ ﺍﺯ ﭼﻨﻴﻦ ﻣﺪﻟﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﻣﺪﻝ ﺯﺑﺎﻧﻲ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺍﻟﻔﺒﺎﻱ ﺁﻥ‬
‫ﺩﺍﺭﺍﻱ ﺳﻪ ﺣﺮﻑ ﺍﺳﺖ‪ .‬ﺣﺎﻟﺖ ﺳﻴﺴﺘﻢ ﺩﺭ ﻫﺮ ﻟﺤﻈﻪ ﺑﺮﺍﺑﺮ ﺁﺧﺮﻳﻦ ﺣﺮﻓﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺳﻴﺴﺘﻢ ﭘﺮﺩﺍﺯﺵ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻣﻘﺪﺍﺭ ﻧﺸﺎﻥ‬
‫ﺩﺍﺩﻩ ﺷﺪﻩ ﺭﻭﻱ ﻫﺮ ﻓﻠﺶ ﺍﻳﻦ ﺍﺣﺘﻤﺎﻝ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺣﺮﻓﻲ ﺑﻪ ﺩﻧﺒﺎﻝ ﺣﺮﻑ ﺩﻳﮕﺮ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﮔﺮ ﻣﺜﻼﹰ ﺣﺮﻑ ﻓﻌﻠﻲ ‪a‬‬
‫ﺑﺎﺷﺪ‪ ،‬ﺍﺣﺘﻤﺎﻝ ﺍﻳﻦ ﻛﻪ ﺣﺮﻑ ﺑﻌﺪﻱ ‪ b‬ﺑﺎﺷﺪ ‪ 0.5‬ﺍﺳﺖ‪.‬‬
‫‪0.0‬‬
‫‪a‬‬
‫‪0.5‬‬
‫‪0.2‬‬
‫‪0.5‬‬ ‫‪1.0‬‬ ‫‪b‬‬
‫‪0.0‬‬
‫‪0.4‬‬
‫‪0.4‬‬
‫‪c‬‬
‫‪0.0‬‬ ‫‪0.0‬‬ ‫‪0.5‬‬ ‫‪0.5‬‬
‫‪M = {3, {a, b, c} , T, 1 } where‬‬ ‫=‪T‬‬ ‫‪0.2‬‬ ‫‪0.4‬‬ ‫‪0.4‬‬
‫‪1.0‬‬ ‫‪0.0‬‬ ‫‪0.0‬‬
‫ﻣﺜﺎﻟﻲ ﺍﺯ ﺩﻧﺒﺎﻟﻪﺍﻱ ﻛﻪ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻳﻦ ﺯﺑﺎﻥ ﺍﺳﺖ ‪abbcacaba :‬‬
‫ﻣﺜﺎﻟﻲ ﺍﺯ ﺩﻧﺒﺎﻟﻪﺍﻱ ﻛﻪ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻳﻦ ﺯﺑﺎﻥ ﻧﻴﺴﺖ ‪aacccbaaa :‬‬
‫ﻣﺜﺎﻟﻲ ﺍﺯ ﻣﺪﻝ ﻣﺎﺭﻛﻮﻑ‬ ‫ﺷﻜﻞ ‪۹-۵‬‬

‫‪٣٥٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﻳﻚ ﻣﺪﻝ ﻣﺎﺭﻛﻮﻑ ﺩﺭ ﺣﺎﻟﺖ ﻛﻠﻲ ﺩﺍﺭﺍﻱ ﭼﻬﺎﺭ ﻋﻨﺼﺮ ] ‪ [ m, A,T, k‬ﺍﺳﺖ ﻛﻪ ﺩﺭﺁﻥ ‪ m‬ﺗﻌﺪﺍﺩ ﺣﺎﻻﺕ‪ A ،‬ﻓﻀﺎﻱ ﺣﺎﻻﺕ‪،‬‬
‫‪ T‬ﻣﺎﺗﺮﻳﺲ ﺍﺣﺘﻤﺎﻻﺕ ﻋﺒﻮﺭ ﺍﺯ ﻳﻚ ﺣﺎﻟﺖ ﺑﻪ ﺣﺎﻟﺖ ﺩﻳﮕﺮ ﻭ ‪ k‬ﻣﺮﺗﺒﺔ ﻣﺪﻝ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻳﻚ ﻣﺪﻝ ﻣﺮﺗﺒﺔ ‪ k‬ﺍﻡ ﺍﺣﺘﻤﺎﻝ ﻋﺒﻮﺭ ﺑﻪ ﻳﻚ‬
‫ﺣﺮﻑ ﺑﺨﺼﻮﺹ ﺑﺴﺘﮕﻲ ﺑﻪ ﻧﻈﻢ ‪ k‬ﺣﺮﻑ ﺗﻮﻟﻴﺪﺷﺪﺓ ﻗﺒﻠﻲ ﺩﺍﺭﺩ‪ .‬ﺷﻜﻞ ‪ ۹-۵‬ﻳﻚ ﻣﺪﻝ ﺳﺎﺩﺓ ﻣﺮﺗﺒﺔ ﺍﻭﻝ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺩﺳﺖ ﺍﻧﺪﺭﻛﺎﺭﺍﻥ ﺍﺯ ﺗﻮﻟﻴﺪ ﻭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻣﺪﻝ ﻣﺮﺗﺒﺔ ﺩﻭﻡ ﻧﻴﺰ ﺧﺒﺮ ﻣﻲﺩﻫﻨﺪ‪ .‬ﺑﺮﺍﻱ ﺷﺮﻭﻉ‪ ،‬ﺍﺯ ﺗﻤﺎﻡ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻗﺎﺑﻞ‬
‫ﺣﺪﺱ ﻳﻚ ﻟﻐﺖﻧﺎﻣﻪ ﺳﺎﺧﺘﻪ ﻣﻲﺷﻮﺩ‪ .‬ﺁﻧﮕﺎﻩ ﻣﺎﺗﺮﻳﺲ ﻋﺒﻮﺭ ﺑﻪ ﻃﺮﻳﻖ ﺯﻳﺮ ﺳﺎﺧﺘﻪ ﻣﻲﺷﻮﺩ‪:‬‬
‫‪ -۱‬ﻣﺎﺗﺮﻳﺲ ﻓﺮﻛﺎﻧﺲ ‪ f‬ﺭﺍ ﺑﺴﺎﺯﻳﺪ‪ ،‬ﻛﻪ ﺩﺭ ﺁﻥ )‪ f(i,j,k‬ﺗﻌﺪﺍﺩ ﻭﻗﻮﻉ ﺳﻪ ﺣﺮﻓﻲﻫﺎﻱ ﺷﺎﻣﻞ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ‪ i‬ﺍﻡ‪ j ،‬ﺍﻡ ﻭ ‪ k‬ﺍﻡ‬
‫ﺍﺳﺖ‪ .‬ﻣﺜﻼﹰ ﻛﻠﻤﻪ ﻋﺒﻮﺭ ‪ parsnips‬ﺳﻪ ﺣﺮﻓﻲﻫﺎﻱ ‪ ips , nip , sni , rsn , ars , par‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ -۲‬ﺑﺮﺍﻱ ﻫﺮ ﺩﻭﺣﺮﻓﻲ ‪ f(i,j,∞)،ij‬ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﺗﻌﺪﺍﺩ ﻛﻞ ﺳﻪ ﺣﺮﻓﻲﻫﺎﺋﻲ ﻛﻪ ﺑﺎ ‪ ij‬ﺷﺮﻭﻉ ﻣﻲﺷﻮﺩ ﺣﺴﺎﺏ ﻛﻨﻴﺪ‪ .‬ﻣﺜﻼﹰ‬
‫)∞‪ f(a,b,‬ﺷﺎﻣﻞ ﺗﻌﺪﺍﺩ ﻛﻞ ﺳﻪ ﺣﺮﻓﻲﻫﺎﻱ ﺑﺼﻮﺭﺕ ‪ abc ،abb ،aba‬ﻭ ﻏﻴﺮﻩ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫‪ -۳‬ﻣﺆﻟﻔﻪﻫﺎﻱ ﻣﺎﺗﺮﻳﺲ ‪ T‬ﺭﺍ ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﻣﺤﺎﺳﺒﻪ ﻛﻨﻴﺪ‪:‬‬
‫) ‪T (i , j , k ) = f (i , j , k‬‬
‫) ∞ ‪f (i , j ,‬‬
‫ﻧﺘﻴﺠﺔ ﺍﻣﺮ ﻣﺪﻟﻲ ﺍﺳﺖ ﻛﻪ ﺳﺎﺧﺘﺎﺭ ﻛﻠﻤﺎﺕ ﻟﻐﺖﻧﺎﻣﺔ ﺳﺎﺧﺘﻪ ﺷﺪﻩ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺑﺎ ﺍﻳﻦ ﻣﺪﻝ‪ ،‬ﺳﺆﺍﻝ »ﺁﻳﺎ ﺍﻳﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
‫ﺑﺪ ﺍﺳﺖ؟« ﺑﻪ ﺳﺆﺍﻝ »ﺁﻳﺎ ﺍﻳﻦ ﺩﻧﺒﺎﻟﻪ )ﻛﻠﻤﺔ ﻋﺒﻮﺭ( ﺍﺯ ﺍﻳﻦ ﻣﺪﻝ ﻣﺎﺭﻛﻮﻑ ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﺩ؟« ﺗﺒﺪﻳﻞ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺑﺮﺍﻱ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
‫ﺩﺍﺩﻩ ﺷﺪﻩ‪ ،‬ﺍﺣﺘﻤﺎﻻﺕ ﺗﻤﺎﻡ ﺳﻪ ﺣﺮﻓﻲﻫﺎﻱ ﺁﻥ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺟﺴﺘﺠﻮ ﻛﺮﺩ‪ .‬ﺁﻧﮕﺎﻩ ﻣﻲﺗﻮﺍﻥ ﻧﻮﻋﻲ ﺗﺴﺖ ﺁﻣﺎﺭﻱ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ‬
‫ﺍﻳﻨﻜﻪ ﺁﻳﺎ ﺍﻳﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﺘﻮﺳﻂ ﺍﻳﻦ ﻣﺪﻝ ﻗﺎﺑﻞ ﺗﻮﻟﻴﺪ ﻫﺴﺖ ﻳﺎ ﻧﻴﺴﺖ ﺭﺍ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﺩﺍﺩ‪ .‬ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭﻱ ﻛﻪ ﺗﻮﻟﻴﺪ ﺁﻧﻬﺎ‬
‫ﺑﺘﻮﺳﻂ ﺍﻳﻦ ﻣﺪﻝ ﻣﺤﺘﻤﻞ ﺍﺳﺖ‪ ،‬ﭘﺬﻳﺮﻓﺘﻪ ﻧﻤﻲﮔﺮﺩﻧﺪ‪ .‬ﻧﻮﻳﺴﻨﺪﮔﺎﻥ ﻣﻘﺎﻟﻪ ﻧﺘﺎﻳﺞ ﺧﻮﺑﻲ ﺑﺮﺍﻱ ﻣﺪﻝ ﻣﺮﺗﺒﺔ ﺩﻭﻡ ﺭﺍ ﮔﺰﺍﺭﺵ ﺩﺍﺩﻩﺍﻧﺪ‪.‬‬
‫ﺳﻴﺴﺘﻢ ﺁﻧﻬﺎ ﺗﻘﺮﻳﺒﺎﹰ ﺗﻤﺎﻡ ﻛﻠﻤﺎﺕ ﻣﻮﺟﻮﺩ ﺩﺭ ﻟﻐﺖ ﻧﺎﻣﺔ ﺁﻧﻬﺎ ﺭﺍ ﺑﺪﺍﻡ ﺍﻧﺪﺍﺧﺘﻪ ﻭ ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﻨﺎﺳﺒﻲ ﻛﻪ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮ‬
‫ﺭﺍﺣﺖ ﻫﺴﺘﻨﺪ ﺭﺍ ﻣﻲﭘﺬﻳﺮﺩ‪.‬‬
‫ﻳﻚ ﺭﻭﺵ ﻛﺎﻣﻼﹰ ﻣﺘﻔﺎﻭﺕ ﺑﺘﻮﺳﻂ ‪ [SPAF92a,SPAF92b] Spafford‬ﮔﺰﺍﺭﺵ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﺑﺮ ﺍﺳﺎﺱ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻓﻴﻠﺘﺮ ‪ [BLOO70] Bloom‬ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺑﺮﺍﻱ ﺷﺮﻭﻉ‪ ،‬ﻋﻤﻞ ﻓﻴﻠﺘﺮ ‪ Bloom‬ﺭﺍ ﺗﻮﺿﻴﺢ ﻣﻲﺩﻫﻴﻢ‪ .‬ﻳﻚ ﻓﻴﻠﺘﺮ‬
‫‪ Bloom‬ﺍﺯ ﻣﺮﺗﺒﺔ ‪ ،k‬ﺍﺯ ﻳﻚ ﻣﺠﻤﻮﻋﺔ ‪ k‬ﺗﺎﺋﻲ ﺍﺯ ﺗﻮﺍﺑﻊ ‪ hash‬ﻣﺎﻧﻨﺪ )‪ H1(x),H2(x),...,Hk(x‬ﺗﺸﻜﻴﻞ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺁﻥ‬
‫ﻫﺮ ﺗﺎﺑﻊ‪ ،‬ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺑﻪ ﺍﻧﺪﺍﺯﺓ ‪ hash‬ﺁﻥ ﺩﺭ ﻣﺤﺪﻭﺩﺓ ‪ 0‬ﺗﺎ ‪ N-1‬ﺗﺒﺪﻳﻞ ﻣﻲﻛﻨﺪ‪ .‬ﻳﻌﻨﻲ‬
‫‪Hi(Xj) = y‬‬ ‫;‪1≤i≤k‬‬ ‫‪1≤ j ≤ D‬‬ ‫‪0 ≤ y ≤ N-1‬‬
‫‪ = Xj‬ﻛﻠﻤﺔ ‪ j‬ﺍﻡ ﺩﺭ ﻟﻐﺖ ﻧﺎﻣﺔ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ‬
‫‪ = D‬ﺗﻌﺪﺍﺩ ﻛﻠﻤﺎﺕ ﺩﺭ ﻟﻐﺖ ﻧﺎﻣﺔ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ‬
‫ﺁﻧﮕﺎﻩ ﺭﻭﺵ ﺯﻳﺮ ﺑﻪ ﻟﻐﺖﻧﺎﻣﻪ ﺍﻋﻤﺎﻝ ﻣﻲﺷﻮﺩ‪:‬‬

‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٦٠‬‬
‫‪ -۱‬ﻳﻚ ﺟﺪﻭﻝ ‪ hash‬ﺍﺯ ‪ N‬ﺑﻴﺖ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ ﻛﻪ ﺗﻤﺎﻡ ﺑﻴﺖﻫﺎ ﺩﺭ ﺍﺑﺘﺪﺍ ‪ 0‬ﺍﻧﺪ‪.‬‬
‫‪ -۲‬ﺑﺮﺍﻱ ﻫﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‪ ،‬ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ‪ k‬ﻣﻘﺪﺍﺭ ‪ hash‬ﺁﻥ ﻣﺤﺎﺳﺒﻪ ﺷﺪﻩ ﻭ ﺑﻴﺖﻫﺎﻱ ﻧﻈﻴﺮ ﺁﻥ ﺩﺭ ﺟﺪﻭﻝ ‪ hash‬ﺑﻪ ‪ 1‬ﺗﻌﻮﻳﺾ‬
‫ﻣﻲﺷﻮﻧﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﮔﺮ ﺑﺮﺍﻱ ﻣﻘﺪﺍﺭﻱ ﺍﺯ ‪ i‬ﻭ ‪ Hi(Xj) = 67 ، j‬ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺑﻴﺖ ﺷﺼﺖ ﻭ ﻫﻔﺘﻢ ﺟﺪﻭﻝ ‪ hash‬ﻣﺴﺎﻭﻱ ‪1‬‬
‫ﻣﻲﺷﻮﺩ ﻭ ﺍﮔﺮ ﺑﻴﺖ ﻗﺒﻼﹰ ‪ 1‬ﺑﻮﺩﻩ ﺍﺳﺖ ‪ 1‬ﺑﺎﻗﻲ ﻣﻲﻣﺎﻧﺪ‪.‬‬
‫ﻭﻗﺘﻲ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺟﺪﻳﺪﻱ ﺑﻪ ﻛﻨﺘﺮﻝﻛﻨﻨﺪﺓ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻋﺮﺿﻪ ﻣﻲﺷﻮﺩ‪ ،‬ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ‪ k‬ﻣﻘﺪﺍﺭ ‪ hash‬ﺁﻥ ﻣﺤﺎﺳﺒﻪ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﺍﮔﺮ ﺗﻤﺎﻡ ﺑﻴﺖﻫﺎﻱ ﻧﻈﻴﺮ ﺟﺪﻭﻝ ‪ hash‬ﻣﺴﺎﻭﻱ ‪ 1‬ﺑﺎﺷﻨﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﭘﺬﻳﺮﻓﺘﻪ ﻧﺨﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺗﻤﺎﻡ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭﻱ ﻛﻪ ﺩﺭ‬
‫ﻟﻐﺖﻧﺎﻣﻪ ﻭﺟﻮﺩ ﺩﺍﺭﻧﺪ ﺭﺩ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﻣﺎ ﺑﺎﺯﻫﻢ ﺗﻌﺪﺍﺩﻱ ﺟﻮﺍﺏ ﻣﺜﺒﺖ ﺍﺷﺘﺒﺎﻩ ﺧﻮﺍﻫﻴﻢ ﺩﺍﺷﺖ )ﻳﻌﻨﻲ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭﻱ ﻛﻪ ﺩﺭ ﻟﻐﺖﻧﺎﻣﻪ‬
‫ﻗﺮﺍﺭ ﻧﺪﺍﺭﻧﺪ ﻭﻟﻲ ﺟﺪﻭﻝ ‪ hash‬ﺁﻧﻬﺎ ﺗﻄﺒﻴﻖ ﺩﺍﺭﺩ(‪ .‬ﺑﺮﺍﻱ ﺭﻭﺷﻦ ﺷﺪﻥ ﻣﻄﻠﺐ‪ ،‬ﺭﻭﺷﻲ ﺑﺎ ﺩﻭ ﺗﺎﺑﻊ ‪ hash‬ﺭﺍ ﺩﺭﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ‬
‫ﻛﻪ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ‪ undertaker‬ﻭ ‪ halkhogan‬ﺩﺭ ﻟﻐﺖﻧﺎﻣﻪ ﻫﺴﺘﻨﺪ ﺍﻣﺎ ‪ xG%#jj98‬ﺩﺭ ﺁﻥ ﻧﻴﺴﺖ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺁﻥ ﻓﺮﺽ ﻛﻨﻴﺪ‬
‫‪H1(undertaker) = 25‬‬ ‫‪H1(hulkhogan) = 83‬‬ ‫‪H1(xG%#jj98) = 665‬‬
‫‪H2(undertaker) = 998‬‬ ‫‪H2(hulkhogan) = 665‬‬ ‫‪H2(xG%#jj98) = 998‬‬
‫ﺍﮔﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ‪ xG%#jj98‬ﺑﻪ ﺳﻴﺴﺘﻢ ﻋﺮﺿﻪ ﺷﻮﺩ‪ ،‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ ﻛﻪ ﺩﺭ ﻟﻐﺖﻧﺎﻣﺔ ﺳﻴﺴﺘﻢ ﻗﺮﺍﺭ ﻧﺪﺍﺭﺩ ﺭﺩ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺍﮔﺮ‬
‫ﺗﻌﺪﺍﺩ ﺯﻳﺎﺩﻱ ﺍﺯ ﺍﻳﻦ ﺟﻮﺍﺏﻫﺎﻱ ﻣﺜﺒﺖ ﻏﻠﻂ ﺍﺯ ﺳﻴﺴﺘﻢ ﺑﻴﺮﻭﻥ ﺩﺍﺩﻩ ﺷﻮﺩ‪ ،‬ﺍﻧﺘﺨﺎﺏ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻥ ﺳﺨﺖ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﻋﻼﻗﻪﻣﻨﺪﻳﻢ ﺭﻭﺷﻲ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﻨﻴﻢ ﻛﻪ ﺍﻳﻦ ﺟﻮﺍﺏﻫﺎﻱ ﻣﺜﺒﺖ ﻏﻠﻂ ﺭﺍ ﺑﻪ ﺣﺪﺍﻗﻞ ﺑﺮﺳﺎﻧﺪ‪ .‬ﻣﻲﺗﻮﺍﻥ ﻧﺸﺎﻥ ﺩﺍﺩ ﻛﻪ ﺍﺣﺘﻤﺎﻝ‬
‫ﻳﻚ ﺟﻮﺍﺏ ﻣﺜﺒﺖ ﻏﻠﻂ ﺑﺮﺍﺑﺮ ﻣﻘﺪﺍﺭ ﺗﻘﺮﻳﺒﻲ ﺯﻳﺮ ﺍﺳﺖ‬
‫‪P ≈ ( 1- e kD/N )k = ( 1- e k/R )k‬‬
‫ﻭ ﻳﺎ ﺑﺼﻮﺭﺕ ﻣﻌﺎﺩﻝ ﺁﻥ‬
‫‪-k‬‬
‫≈ ‪R‬‬
‫)‪ln(1- P1/k‬‬
‫‪ = k‬ﺗﻌﺪﺍﺩ ﺗﻮﺍﺑﻊ ‪hash‬‬

‫‪ = N‬ﺗﻌﺪﺍﺩ ﺑﻴﺖﻫﺎﻱ ﺟﺪﻭﻝ ‪hash‬‬
‫‪ = D‬ﺗﻌﺪﺍﺩ ﻛﻠﻤﺎﺕ ﻣﻮﺟﻮﺩ ﺩﺭ ﻟﻐﺖﻧﺎﻣﻪ‬
‫‪ R = N/D‬ﻧﺴﺒﺖ ﺍﻧﺪﺍﺯﺓ ﺟﺪﻭﻝ ‪ (bits) hash‬ﺑﻪ ﺍﻧﺪﺍﺯﺓ ﻟﻐﺖﻧﺎﻣﻪ )‪(words‬‬
‫‪٣٦١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﺷﻜﻞ ‪ P ،۹-۶‬ﺭﺍ ﺑﺮ ﺣﺴﺐ ﺗﺎﺑﻌﻲ ﺍﺯ ‪ R‬ﺑﺮﺍﻱ ﻣﻘﺎﺩﻳﺮ ﻣﺨﺘﻠﻒ ‪ k‬ﺭﺳﻢ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﻳﻚ ﻟﻐﺖﻧﺎﻣﻪ ﻳﻚ ﻣﻴﻠﻴﻮﻥ‬
‫ﻟﻐﺖ ﺩﺍﺷﺘﻪ ﻭ ﻣﻲﺧﻮﺍﻫﻴﻢ ﺍﺣﺘﻤﺎﻝ ﻧﭙﺬﻳﺮﻓﺘﻦ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﻟﻐﺖﻧﺎﻣﻪ ﻗﺮﺍﺭ ﻧﺪﺍﺭﺩ ﺑﺮﺍﺑﺮ ‪ ۰/۰۱‬ﺑﺎﺷﺪ‪ .‬ﺍﮔﺮ ﺷﺶ ﺗﺎﺑﻊ‬
‫‪ hash‬ﺍﻧﺘﺨﺎﺏ ﻛﻨﻴﻢ‪ ،‬ﻧﺴﺒﺖ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ‪ R = ۹/۶‬ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻳﻚ ﺟﺪﻭﻝ ‪ hash‬ﺑﺎ ‪ ۹/۶ × ۱۰۶‬ﺑﻴﺖ ﻭ ﻳﺎ ﺗﻘﺮﻳﺒﺎﹰ‬
‫‪ ۱/۲‬ﻣﮕﺎﺑﺎﻳﺖ ﺣﺎﻓﻈﻪ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺍﺳﺖ‪ .‬ﺩﺭ ﻣﻘﺎﻳﺴﻪ‪ ،‬ﺫﺧﻴﺮﻩ ﻛﺮﺩﻥ ﺗﻤﺎﻡ ﻟﻐﺖﻧﺎﻣﻪ ﺑﻪ ﺣﺪﻭﺩ ‪ ۸‬ﻣﮕﺎﺑﺎﻳﺖ ﺣﺎﻓﻈﻪ ﻧﻴﺎﺯﻣﻨﺪ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ‬
‫ﻓﺸﺮﺩﮔﻲ ﺣﺎﺻﻞ ﺗﻘﺮﻳﺒﺎﹰ ﺑﺎ ﻓﺎﻛﺘﻮﺭ ‪ ۷‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺍﻳﻦ‪ ،‬ﻛﻨﺘﺮﻝ ﻛﺮﺩﻥ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺷﺎﻣﻞ ﻣﺤﺎﺳﺒﺔ ﺁﺳﺎﻥ ﺷﺶ ﺗﺎﺑﻊ ‪hash‬‬
‫ﺑﻮﺩﻩ ﻭ ﻣﺴﺘﻘﻞ ﺍﺯ ﺣﺠﻢ ﻟﻐﺖﻧﺎﻣﻪ ﺍﺳﺖ ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﺩﺭ ﺻﻮﺭﺕ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻞ ﻟﻐﺖﻧﺎﻣﻪ‪ ،‬ﺣﺠﻢ ﺟﺴﺘﺠﻮ ﺑﺴﻴﺎﺭ ﻭﺳﻴﻊﺗﺮ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫‪1‬‬
‫‪0.1‬‬
‫‪2 hash functions‬‬
‫]‪Pr[false positive‬‬
‫‪0.01‬‬ ‫‪4 hash functions‬‬
‫‪6 hash functions‬‬
‫‪0.001‬‬
‫‪0‬‬ ‫‪5‬‬ ‫‪10‬‬ ‫‪15‬‬ ‫‪20‬‬

‫)‪Ratio of hash table size (bits) to dictionary size (words‬‬
‫ﺷﻜﻞ ‪ ۹-۶‬ﻋﻤﻠﻜﺮﺩ ﻓﻴﻠﺘﺮ ‪Bloom‬‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۹-۴‬‬
‫ﺩﻭ ﻣﻨﺒﻊ ﺑﺮﺭﺳﻲ ﻛﺎﻣﻞ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ]‪ [BACE00‬ﻭ ]‪ [PROC01‬ﻫﺴﺘﻨﺪ‪ .‬ﻳﻚ ﺑﺮﺭﺳﻲ ﻣﺨﺘﺼﺮﺗﺮ ﻭﻟﻲ ﻛﺎﻣﻼﹰ ﺍﺭﺯﺷﻤﻨﺪ ﺩﺭ ]‪[BACE01‬‬
‫ﺍﺭﺍﺋﻪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﻭ ﻣﻘﺎﻟﺔ ﺗﺤﻘﻴﻘﻲ ﻛﻮﺗﺎﻩ ﻭﻟﻲ ﺳﻮﺩﻣﻨﺪ ]‪ [KENT00‬ﻭ ]‪ [MCHU00‬ﻣﻲﺑﺎﺷﻨﺪ‪ [NING04] .‬ﺁﺧﺮﻳﻦ ﺩﺳﺘﺎﻭﺭﺩﻫﺎﻱ‬
‫ﺗﻜﻨﻴﻚﻫﺎﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺭﺍ ﺑﺮﺭﺳﻲ ﻛﺮﺩﻩ ﺍﺳﺖ‪ [HONE01] .‬ﺗﻮﺻﻴﻒ ﻣﺤﻜﻤﻲ ﺍﺯ ‪ honeypots‬ﻧﻤﻮﺩﻩ ﻭ ﺗﺤﻠﻴﻠﻲ ﺍﺯ ﺍﺑﺰﺍﺭﻫﺎ ﻭ ﺭﻭﺵﻫﺎﻱ‬
‫ﻫَﻜﺮﻫﺎ ﺭﺍ ﺍﺭﺍﺋﻪ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ٣٦٢
BACE00 Bace, R. Intrusion Detection. Indianapolis, IN: Macmillan Technical Publishing, 2000.
BACE01 Bace, R., and Mell, P. Intrusion Detection System. NIST Special Publication SP 800-31,
November 2000.
HONE01 The Honeynet Project. Know Your Enemy: Revealing the Security Tools, Tactics, and
Motives of the Blackhat Community. Reading, MA: Addison-Wesely, 2001.
KENT00 Kent, S. "On the Trail of Intrusions into Information Systems." IEEE Spectrum, December
2000.
MCHU00 McHugh, J.; Christie, A.; and Allen, j."The Role of Intrusion Detection Systems." IEEE
Software, September/October 2000.
NING04 Ning, P., et al. "Techniques and tools for analyzing Intrusion Alerts." ACM Transactions
on Information and system Security, May 2004.
PROC01 Proctor, P. The Practical Intrusion Detection Handbook. Upper Saddle River, NJ: Prentice
Hall, 2001.
‫ ﺑﺘﻮﺳﻂ ﺁﮊﺍﻧﺲ ﭘﺮﻭﮊﻩﻫﺎﻱ‬،‫ ﺳﺎﺯﻣﺎﻧﻲ ﻛﻪ ﺍﺯ ﺩﻝ ﺗﻴﻢ ﭘﺎﺳﺨﮕﻮﺋﻲ ﺑﻪ ﻓﻮﺭﻳﺖﻫﺎﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ‬:CERT Coordination Center •
،‫ ﺍﻳﻦ ﺳﺎﻳﺖ ﺍﻃﻼﻋﺎﺕ ﻣﻔﻴﺪﻱ ﺩﺭ ﻣﻮﺭﺩ ﺗﻬﺪﻳﺪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺍﻳﻨﺘﺮﻧﺖ‬.‫ﭘﻴﺸﺮﻓﺘﺔ ﺗﺤﻘﻴﻘﺎﺗﻲ ﻭﺯﺍﺭﺕ ﺩﻓﺎﻉ ﺁﻣﺮﻳﻜﺎ ﺑﻴﺮﻭﻥ ﺁﻣﺪ‬
.‫ﺁﺳﻴﺐﭘﺬﻳﺮﻱﻫﺎ ﻭ ﺁﻣﺎﺭ ﺣﻤﻼﺕ ﺩﺍﺭﺩ‬
.‫ ﺭﺍ ﺑﻌﻬﺪﻩ ﺩﺍﺭﺩ‬honeypot ‫ ﻭ ﺳﺎﺧﺖ ﻣﺤﺼﻮﻻﺕ‬،‫ ﻳﻚ ﭘﺮﻭﮊﺓ ﺗﺤﻘﻴﻘﺎﺗﻲ ﻛﻪ ﻣﻄﺎﻟﻌﺔ ﺗﻜﻨﻴﻚﻫﺎﻱ ﻫَﻜﺮﻫﺎ‬:Honeynet Project •
.‫ ﻣﺠﻤﻮﻋﺔ ﺧﻮﺑﻲ ﺍﺯ ﻣﻘﺎﻻﺕ ﺗﺤﻘﻴﻘﺎﺗﻲ ﻭ ﮔﺰﺍﺭﺷﺎﺕ ﺗﻜﻨﻴﻜﻲ‬:Honeypots •
.‫ ﺷﺎﻣﻞ ﻛﻠﻴﺔ ﺍﺳﻨﺎﺩﻱ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﮔﺮﻭﻩ ﺗﻮﻟﻴﺪ ﺷﺪﻩ ﺍﺳﺖ‬:Intrusion Detection Working Group •
‫ ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬،‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‬ ۹-۵
audit record ‫ ﮔﺰﺍﺭﺷﺎﺕ ﻣﻤﻴﺰﻱ‬-‫ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ‬ intrusion detection exchange format

‫ﻓﺮﻣﺖ ﻣﺒﺎﺩﻟﺔ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ‬
Bayes' theorem Bayes ‫ﻗﻀﻴﺔ‬
password ‫ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
base-rate fallacy ‫ﺧﻄﺎﻱ ﻧﺮﺥ ﭘﺎﻳﻪ‬
rule-based intrusion detection
honeypot ‫ﻃﻌﻤﻪ‬
‫ﺗﺸﺨﻴﺺ ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﺓ ﺗﻬﺎﺟﻢ‬
intruder ‫ﻣﻬﺎﺟﻢ‬
salt
intrusion detection ‫ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ‬ statistical anomaly detection ‫ﺗﺸﺨﻴﺺ ﺁﻣﺎﺭﻱ ﻧﺎﻫﻨﺠﺎﺭﻱ‬
‫‪٣٦٣‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬

‫ﺳﻪ ﺩﺳﺘﻪ ﺍﺯ ﻣﻬﺎﺟﻤﻴﻦ ﺭﺍ ﻧﺎﻡ ﺑﺮﺩﻩ ﻭ ﻋﻤﻠﻜﺮﺩ ﺁﻧﻬﺎ ﺭﺍ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﺗﻌﺮﻳﻒ ﻛﻨﻴﺪ‪.‬‬ ‫‪۹-۱‬‬
‫ﺩﻭ ﺗﻜﻨﻴﻚ ﻣﻌﻤﻮﻝ ﺑﺮﺍﻱ ﺣﻔﺎﻇﺖ ﺍﺯ ﻓﺎﻳﻞ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻛﺪﺍﻣﻨﺪ؟‬ ‫‪۹-۲‬‬
‫ﺳﻪ ﻧﺘﻴﺠﺔ ﻣﻔﻴﺪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﻛﺪﺍﻣﻨﺪ؟‬ ‫‪۹-۳‬‬
‫ﺗﻔﺎﻭﺕ ﺑﻴﻦ ﺗﺸﺨﻴﺺ ﺁﻣﺎﺭﻱ ﻧﺎﻫﻨﺠﺎﺭﻱ ﻭ ﺗﺸﺨﻴﺺ ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﻩ ﺗﻬﺎﺟﻢ ﭼﻴﺴﺖ؟‬ ‫‪۹-۴‬‬
‫ﭼﻪ ﻣﻘﺎﺩﻳﺮﻱ ﺩﺭ ﺗﺸﺨﻴﺺ ﻣﺒﺘﻨﻲ ﺑﺮ ﭘﺮﻭﻓﺎﻳﻞ ﺗﻬﺎﺟﻢ ﻣﻔﻴﺪ ﻣﻲﺑﺎﺷﻨﺪ ؟‬ ‫‪۹-۵‬‬
‫ﻓﺮﻕ ﺑﻴﻦ ﺗﺸﺨﻴﺺ ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﺓ ﻧﺎﻫﻨﺠﺎﺭﻱ ﻭ ﺷﻨﺎﺳﺎﺋﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﺓ ﻧﻔﻮﺫ ﭼﻴﺴﺖ؟‬ ‫‪۹-۶‬‬
‫ﻳﻚ ‪ honeypot‬ﭼﻴﺴﺖ ؟‬ ‫‪۹-۷‬‬
‫ﺩﺭ ﻣﻘﻮﻟﺔ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺩﺭ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ‪ ،UNIX‬ﻳﻚ "‪ "salt‬ﭼﻴﺴﺖ؟‬ ‫‪۹-۸‬‬
‫ﭼﻬﺎﺭ ﺗﻜﻨﻴﻚ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺣﺪﺱ ﺯﺩﻥ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﻧﺎﻡ ﺑﺮﺩﻩ ﻭ ﻋﻤﻠﻜﺮﺩ ﺁﻧﻬﺎ ﺭﺍ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﺗﻌﺮﻳﻒ ﻛﻨﻴﺪ‪.‬‬ ‫‪۹-۹‬‬
‫ﻳﻚ ﺭﺍﻧﻨﺪﺓ ﺗﺎﻛﺴﻲ ﺩﺭ ﻳﻚ ﺗﺼﺎﺩﻑ ﻣﻨﺠﺮ ﺑﻪ ﻓﻮﺕ ﺷﺒﺎﻧﻪ‪ ،‬ﻓﺮﺩﻱ ﺭﺍ ﻣﺼﺪﻭﻡ ﻧﻤﻮﺩﻩ ﻭ ﻓﺮﺍﺭ ﻣﻲﻛﻨﺪ‪ .‬ﺩﻭ ﺷﺮﻛﺖ ﺗﺎﻛﺴﻴﺮﺍﻧﻲ ﺳﺒﺰ‬ ‫‪۹-۱‬‬
‫ﻭ ﺁﺑﻲ ﺩﺭ ﺷﻬﺮ ﻓﻌﺎﻟﻴﺖ ﺩﺍﺭﻧﺪ‪ .‬ﺑﻪ ﺷﻤﺎ ﮔﻔﺘﻪ ﻣﻲﺷﻮﺩ‪:‬‬
‫• ‪ %۸۵‬ﺗﺎﻛﺴﻲﻫﺎﻱ ﺷﻬﺮ ﺳﺒﺰ ﻭ ‪ %۱۵‬ﺁﻧﻬﺎ ﺁﺑﻲ ﻫﺴﺘﻨﺪ‪.‬‬
‫ﻳﻚ ﺷﺎﻫﺪ‪ ،‬ﺭﻧﮓ ﺗﺎﻛﺴﻲ ﺑﺎﻋﺚ ﺗﺼﺎﺩﻡ ﺭﺍ ﺁﺑﻲ ﮔﺰﺍﺭﺵ ﻛﺮﺩﻩ ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺩﺍﺩﮔﺎﻩ ﻣﻴﺰﺍﻥ ﺍﻋﺘﻤﺎﺩ ﺑﻪ ﺷﺎﻫﺪ ﺩﺭ ﺗﺤﺖ ﺷﺮﺍﻳﻂ ﺷﺐ ﺣﺎﺩﺛﻪ ﺭﺍ ﺳﻨﺠﻴﺪﻩ ﻭ ﻧﺘﻴﺠﻪ ﮔﺮﻓﺘﻪ ﺍﺳﺖ ﻛﻪ ﺷﺎﻫﺪ ﺍﺣﺘﻤﺎﻻﹰ ‪ %۸۰‬ﺩﺭ‬
‫ﺷﻨﺎﺳﺎﺋﻲ ﺭﻧﮓ ﺗﺎﻛﺴﻲ ﻣﻮﻓﻖ ﺑﻮﺩﻩ ﺍﺳﺖ‪ .‬ﺍﺣﺘﻤﺎﻝ ﺍﻳﻨﻜﻪ ﺗﺎﻛﺴﻲ ﻣﻮﺭﺩ ﻧﻈﺮ ﺁﺑﻲ ﺑﻮﺩﻩ ﻭ ﺳﺒﺰ ﻧﺒﺎﺷﺪ‪ ،‬ﭼﻘﺪﺭ ﺍﺳﺖ؟‬
‫ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺍﺯ ﻳﻚ ﺗﺮﻛﻴﺐ ﭼﻬﺎﺭﺗﺎﺋﻲ ﻛﺎﺭﺍﻛﺘﺮﻫﺎ ﺍﺯ ﻳﻚ ﺍﻟﻔﺒﺎﻱ ﺩﺍﺭﺍﻱ ‪ ۲۶‬ﻛﺎﺭﺍﻛﺘﺮ ﺍﻧﺘﺨﺎﺏ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻓﺮﺽ‬ ‫‪۹-۲‬‬
‫ﻛﻨﻴﺪ ﻛﻪ ﻳﻚ ﻣﻬﺎﺟﻢ ﺑﺘﻮﺍﻧﺪ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺑﺎ ﻧﺮﺥ ﻳﻚ ﻛﻠﻤﻪ ﺩﺭ ﺛﺎﻧﻴﻪ ﺭﺍ ﺍﻣﺘﺤﺎﻥ ﻛﻨﺪ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﺑﺎ ﻓﺮﺽ ﺍﻳﻨﻜﻪ ﺗﺎ ﭘﺎﻳﺎﻥ ﻫﺮ ﺗﻼﺵ ﻣﻬﺎﺟﻢ ﻫﻴﭻ ﻓﻴﺪﺑﻜﻲ ﺑﻪ ﺍﻭ ﺩﺍﺩﻩ ﻧﺸﻮﺩ‪ ،‬ﺯﻣﺎﻥ ﻣﻮﺭﺩ ﺍﻧﺘﻈﺎﺭ ﺑﺮﺍﻱ ﻛﺸﻒ ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
‫ﺻﺤﻴﺢ ﭼﻘﺪﺭ ﺍﺳﺖ؟‬
‫ﺏ‪ -‬ﺑﺎ ﻓﺮﺽ ﺍﻳﻨﻜﻪ ﺑﻤﺤﺾ ﻭﺍﺭﺩ ﻧﻤﻮﺩﻥ ﻳﻚ ﻛﺎﺭﺍﻛﺘﺮ ﺍﺷﺘﺒﺎﻩ‪ ،‬ﻣﻬﺎﺟﻢ ﭘﻴﺎﻡ ﺧﻄﺎ ﺩﺭﻳﺎﻓﺖ ﻧﻤﺎﻳﺪ‪ ،‬ﺯﻣﺎﻥ ﻣﻮﺭﺩ ﺍﻧﺘﻈﺎﺭ ﺑﺮﺍﻱ ﻛﺸﻒ‬
‫ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺻﺤﻴﺢ ﭼﻘﺪﺭ ﺍﺳﺖ؟‬
‫ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﻋﻨﺎﺻﺮ ﻳﻚ ﻣﻨﺒﻊ ‪ k‬ﺗﺎﺋﻲ ﺑﺼﻮﺭﺕ ﻳﻜﻨﻮﺍﺧﺖ ﺭﻭﻱ ﻋﻨﺎﺻﺮ ﻳﻚ ﻫﺪﻑ ‪ p‬ﺗﺎﺋﻲ ﻧﮕﺎﺷﺖ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﮔﺮ ﻫﺮ ﺭﻗﻢ‬ ‫‪۹-۳‬‬
‫ﺑﺘﻮﺍﻧﺪ ﻳﻜﻲ ﺍﺯ ‪ r‬ﻣﻘﺪﺍﺭ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺗﻌﺪﺍﺩ ﻋﻨﺎﺻﺮ ﻣﻨﺒﻊ ‪ rk‬ﻭ ﺗﻌﺪﺍﺩ ﻋﻨﺎﺻﺮ ﻫﺪﻑ ﻣﻘﺪﺍﺭ ﻛﻤﺘﺮ ‪ rp‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﻳﻚ‬
‫ﻋﻨﺼﺮ ﻣﺸﺨﺺ ﻣﻨﺒﻊ ﻣﺜﻞ ‪ xi‬ﺑﻪ ﻳﻚ ﻋﻨﺼﺮ ﻣﺸﺨﺺ ﻫﺪﻑ ﻣﺜﻞ ‪ yj‬ﻧﮕﺎﺷﺖ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﺍﺣﺘﻤﺎﻝ ﺍﻳﻨﻜﻪ ﺑﺎ ﻳﻜﺒﺎﺭ ﺗﻼﺵ‪ ،‬ﻋﻨﺼﺮ ﺻﺤﻴﺢ ﻣﻨﺒﻊ ﺑﺘﻮﺳﻂ ﻣﻬﺎﺟﻢ ﺍﻧﺘﺨﺎﺏ ﺷﻮﺩ ﭼﻘﺪﺭ ﺍﺳﺖ؟‬
‫ﺏ‪ -‬ﺍﺣﺘﻤﺎﻝ ﺍﻳﻨﻜﻪ ﻳﻚ ﻋﻨﺼﺮ ﻣﺘﻔﺎﻭﺕ ﻣﻨﺒﻊ ‪ (xi ≠ xk) xk‬ﻛﻪ ﺑﻪ ﻫﻤﺎﻥ ﻋﻨﺼﺮ ﻫﺪﻑ ‪ yj‬ﻧﮕﺎﺷﺖ ﻣﻲﺷﻮﺩ ﺍﻧﺘﺨﺎﺏ ﺷﻮﺩ‬
‫ﭼﻘﺪﺭ ﺍﺳﺖ؟‬
‫ﺝ‪ -‬ﺍﺣﺘﻤﺎﻝ ﺍﻳﻨﻜﻪ ﺑﺎ ﻳﻜﺒﺎﺭ ﺗﻼﺵ‪ ،‬ﻋﻨﺼﺮ ﺻﺤﻴﺢ ﻫﺪﻑ ﺑﺘﻮﺳﻂ ﻣﻬﺎﺟﻢ ﺍﻧﺘﺨﺎﺏ ﺷﻮﺩ ﭼﻘﺪﺭ ﺍﺳﺖ؟‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٦٤‬‬
‫ﻳﻚ ﺗﻮﻟﻴﺪﻛﻨﻨﺪﺓ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻗﺎﺑﻞ ﺗﻠﻔﻆ‪ ،‬ﺑﺮﺍﻱ ﻫﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺷﺶ ﺣﺮﻓﻲ ﺑﻄﻮﺭ ﺗﺼﺎﺩﻓﻲ ﺩﻭ ﺑﺨﺶ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻣﻲﻛﻨﺪ‪ .‬ﻓﺮﻡ ﻫﺮ‬ ‫‪۹-۴‬‬
‫ﺑﺨﺶ ‪ (consonant,vowel,consonant) CVC‬ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺁﻥ > ‪ V = < a,e,i,o,u‬ﻭ ‪ C = V‬ﺍﺳﺖ‬
‫ﺍﻟﻒ‪ -‬ﺗﻌﺪﺍﺩ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﻤﻜﻦ ﭼﻨﺪﺗﺎﺳﺖ؟‬

‫ﺏ‪ -‬ﺍﺣﺘﻤﺎﻝ ﺍﻳﻨﻜﻪ ﻳﻚ ﻣﻬﺎﺟﻢ ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺩﺭﺳﺖ ﺣﺪﺱ ﺑﺰﻧﺪ ﭼﻘﺪﺭ ﺍﺳﺖ؟‬
‫ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﻨﺤﺼﺮ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ ۹۵‬ﻛﺎﺭﺍﻛﺘﺮ ﻗﺎﺑﻞ ﭼﺎﭖ ﻛﹸﺪ ‪ ASCII‬ﺑﻮﺩﻩ ﻭ ﻫﺮ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺍﺯ ‪ ۱۰‬ﻛﺎﺭﺍﻛﺘﺮ‬ ‫‪۹-۵‬‬
‫ﺗﺸﻜﻴﻞ ﺷﺪﻩ ﺑﺎﺷﺪ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﻳﻚ ﺷﻜﻨﻨﺪﺓ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﺑﺎ ﻧﺮﺥ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪ ۶/۴‬ﻣﻴﻠﻴﻮﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ ﻫﺮ ﺛﺎﻧﻴﻪ ﺑﺮﺍﻱ‬
‫ﻛﺸﻒ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻣﺸﻐﻮﻝ ﺑﻜﺎﺭ ﺷﻮﺩ‪ .‬ﺭﻭﻱ ﻳﻚ ﺳﻴﺴﺘﻢ ‪ UNIX‬ﭼﻘﺪﺭ ﻃﻮﻝ ﺧﻮﺍﻫﺪ ﻛﺸﻴﺪ ﺗﺎ ﺍﻳﻦ ﺭﻣﺰﺷﻜﻦ ﺑﺘﻮﺍﻧﺪ ﻫﻤﺔ ﻛﻠﻤﺎﺕ‬
‫ﻋﺒﻮﺭ ﻣﻤﻜﻦ ﺭﺍ ﺍﻣﺘﺤﺎﻥ ﻛﻨﺪ؟‬
‫ﻧﻈﺮ ﺑﻪ ﺭﻳﺴﻚﻫﺎﻱ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺳﻴﺴﺘﻢ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ‪ ،UNIX‬ﺍﺳﻨﺎﺩ ‪ SunOS-4.0‬ﭘﻴﺸﻨﻬﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ﻓﺎﻳﻞ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ‬ ‫‪۹-۶‬‬
‫ﺭﺍ ﺑﺮﺩﺍﺷﺘﻪ ﻭ ﺑﺠﺎﻱ ﺁﻥ ﻳﻚ ﻓﺎﻳﻞ ﻗﺎﺑﻞ ﺧﻮﺍﻧﺪﻥ ﺑﺘﻮﺳﻂ ﻋﻤﻮﻡ ﻛﻪ ‪ /etc/publickey‬ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷﻮﺩ ﺭﺍ ﺟﺎﻳﮕﺰﻳﻦ ﻧﻤﺎﺋﻴﻢ‪ .‬ﺑﺮﺍﻱ‬
‫ﻛﺎﺭﺑﺮ ‪ ،A‬ﺍﻃﻼﻋﺎﺕ ﻭﺭﻭﺩﻱ ﻓﺎﻳﻞ ﺷﺎﻣﻞ ﻳﻚ ﺷﻨﺎﺳﺔ ﻛﺎﺭﺑﺮ ‪ ،IDA‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻛﺎﺭﺑﺮ ‪ PUa‬ﻭ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﻧﻈﻴﺮ ﺁﻥ ‪PRa‬‬
‫ﺍﺳﺖ‪ .‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ‪ DES‬ﻭ ﺑﺎ ﻛﻠﻴﺪﻱ ﻛﻪ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ‪ login‬ﻛﺎﺭﺑﺮ )‪ (Pa‬ﺍﺳﺘﺨﺮﺍﺝ ﻣﻲﺷﻮﺩ ﺭﻣﺰ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻭﻗﺘﻲ ﻛﺎﺭﺑﺮ ‪ A‬ﺑﻪ ﺳﻴﺴﺘﻢ ﻭﺻﻞ ﻣﻲﺷﻮﺩ‪ ،‬ﺳﻴﺴﺘﻢ ]‪ E [Pa ,PRa‬ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﺗﺎ ‪ PRa‬ﺭﺍ ﺑﺪﺳﺖ ﺁﻭﺭﺩ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﺳﻴﺴﺘﻢ ﺁﻧﮕﺎﻩ ﺗﺎﺋﻴﺪ ﻣﻲﻛﻨﺪ ﻛﻪ ‪ Pa‬ﺑﻄﻮﺭ ﺻﺤﻴﺢ ﻋﺮﺿﻪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﭼﮕﻮﻧﻪ؟‬
‫ﺏ‪ -‬ﻳﻚ ﺩﺷﻤﻦ ﭼﮕﻮﻧﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﺍﻳﻦ ﺳﻴﺴﺘﻢ ﺣﻤﻠﻪ ﻛﻨﺪ؟‬
‫ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺩﺭ ﺳﻴﺴﺘﻢ ‪ UNIX‬ﻳﻚ ﻃﺮﻓﻪ ﺍﺳﺖ ﻭ ﻣﻤﻜﻦ ﻧﻴﺴﺖ ﻛﻪ ﺁﻥ ﺭﺍ ﺑﺼﻮﺭﺕ ﻣﻌﻜﻮﺱ‬ ‫‪۹-۷‬‬
‫ﺑﻜﺎﺭ ﺑﺮﺩ‪ .‬ﺩﺭ ﺍﻳﻨﺼﻮﺭﺕ ﺁﻳﺎ ﺻﺤﻴﺢ ﺍﺳﺖ ﻛﻪ ﺑﮕﻮﺋﻴﻢ ﺍﻳﻦ ﺭﻭﺵ ﺩﺭ ﺣﻘﻴﻘﺖ ﻳﻚ ﻛﹸﺪ ‪ hash‬ﺑﻮﺩﻩ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻧﻴﺴﺖ‪.‬‬
‫ﺑﻴﺎﻥ ﻛﺮﺩﻳﻢ ﻛﻪ ﻣﻨﻈﻮﺭ ﻛﺮﺩﻥ "‪ "salt‬ﺩﺭ ﺭﻭﺵ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ‪ UNIX‬ﻣﺸﻜﻞ ﺣﺪﺱ ﺯﺩﻥ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺑﻤﻴﺰﺍﻥ ‪ ۴,۰۹۶‬ﺑﺮﺍﺑﺮ‬ ‫‪۹-۸‬‬
‫ﺑﺎﻻ ﻣﻲﺑﺮﺩ‪ .‬ﺍﻣﺎ "‪ "salt‬ﺑﺼﻮﺭﺕ ﻣﺘﻦ ﺳﺎﺩﻩ ﺩﺭ ﻫﻤﺎﻥ ﺟﺎﺋﻲ ﺫﺧﻴﺮﻩ ﻣﻲﺷﻮﺩ ﻛﻪ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﻣﺰﺷﺪﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺁﻥ‬
‫ﺩﻭ ﻛﺎﺭﺍﻛﺘﺮ ﺑﺮﺍﻱ ﻣﻬﺎﺟﻢ ﻣﻌﻠﻮﻡ ﺑﻮﺩﻩ ﻭ ﻧﻴﺎﺯﻱ ﺑﻪ ﺣﺪﺱ ﺯﺩﻥ ﻧﺪﺍﺭﺩ‪ .‬ﺩﺭ ﺍﻳﻨﺼﻮﺭﺕ ﭼﺮﺍ ﺑﻴﺎﻥ ﻣﻲﺷﻮﺩ ﻛﻪ "‪ "salt‬ﺍﻣﻨﻴﺖ ﺭﺍ‬
‫ﺍﻓﺰﺍﻳﺶ ﻣﻲﺩﻫﺪ؟‬
‫ﺑﺎ ﻓﺮﺽ ﺍﻳﻨﻜﻪ ﺷﻤﺎ ﻣﺴﺎﻟﺔ ﻗﺒﻞ ﺭﺍ ﺑﻄﻮﺭ ﺻﺤﻴﺢ ﭘﺎﺳﺦ ﺩﺍﺩﻩ ﻭ ﺍﻫﻤﻴﺖ "‪ "salt‬ﺭﺍ ﺩﺭﻙ ﻛﺮﺩﻩﺍﻳﺪ‪ ،‬ﺑﻪ ﺍﻳﻦ ﺳﺆﺍﻝ ﭘﺎﺳﺦ ﺩﻫﻴﺪ‪ .‬ﺁﻳﺎ‬ ‫‪۹-۹‬‬
‫ﺍﻳﻦ ﺍﻣﻜﺎﻥ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ ﻛﻪ ﺑﺎ ﺍﻓﺰﺍﻳﺶ ﺑﺴﻴﺎﺭ ﺯﻳﺎﺩ "‪ ، "salt‬ﻣﺜﻼﹰ ﺑﻪ ‪ ۲۴‬ﻳﺎ ‪ ۴۸‬ﺑﻴﺖ ﺑﺘﻮﺍﻥ ﻫﻤﺔ ‪ cracker‬ﻫﺎ ﺭﺍ ﻣﺄﻳﻮﺱ ﻛﺮﺩ؟‬
‫ﻓﻴﻠﺘﺮ ‪ Bloom‬ﻣﻮﺭﺩ ﺑﺤﺚ ﺩﺭ ﺑﺨﺶ ‪ ۹-۳‬ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪ k .‬ﺭﺍ ﺑﺮﺍﺑﺮ ﺗﻌﺪﺍﺩ ﺗﻮﺍﺑﻊ ‪ N ،hash‬ﺭﺍ ﺑﺮﺍﺑﺮ ﺗﻌﺪﺍﺩ ﺑﻴﺖﻫﺎﻱ‬ ‫‪۹-۱۰‬‬
‫ﺟﺪﻭﻝ ‪ hash‬ﻭ ‪ D‬ﺭﺍ ﺑﺮﺍﺑﺮ ﺗﻌﺪﺍﺩ ﻛﻠﻤﺎﺕ ﻟﻐﺖﻧﺎﻣﻪ ﻓﺮﺽ ﻛﻨﻴﺪ‪.‬‬
‫ﺍﻟﻒ‪ -‬ﻧﺸﺎﻥ ﺩﻫﻴﺪ ﻛﻪ ﺗﻌﺪﺍﺩ ﺑﻴﺖﻫﺎﻱ ‪ 0‬ﻣﻮﺭﺩ ﺍﻧﺘﻈﺎﺭ ﺩﺭ ﺟﺪﻭﻝ ‪ hash‬ﺍﺯ ﺭﺍﺑﻄﺔ ﺯﻳﺮ ﺑﺪﺳﺖ ﻣﻲﺁﻳﺪ‬
‫‪ф = ( 1- k / N ) D‬‬
‫ﺏ‪ -‬ﻧﺸﺎﻥ ﺩﻫﻴﺪ ﻛﻪ ﺍﺣﺘﻤﺎﻝ ﺍﻳﻨﻜﻪ ﻳﻚ ﻛﻠﻤﺔ ﻭﺭﻭﺩﻱ ﻛﻪ ﺩﺭ ﻟﻐﺖﻧﺎﻣﻪ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ ﺑﻄﻮﺭ ﺍﺷﺘﺒﺎﻩ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﻛﻠﻤﺔ ﻣﻮﺟﻮﺩ ﺩﺭ‬
‫ﻟﻐﺖﻧﺎﻣﻪ ﭘﺬﻳﺮﻓﺘﻪ ﺷﻮﺩ ﻣﺴﺎﻭﻱ ﺍﺳﺖ ﺑﺎ‬
‫‪P = ( 1- ф ) k‬‬
‫‪٣٦٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﻧﺸﺎﻥ ﺩﺍﺩ‪.‬‬ ‫‪P ≈ ( 1- e-kD/N )k‬‬ ‫ﺝ‪ -‬ﻧﺸﺎﻥ ﺩﻫﻴﺪ ﻛﻪ ﺭﺍﺑﻄﺔ ﻗﺒﻞ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺼﻮﺭﺕ ﺗﻘﺮﻳﺒﻲ‬
‫ﻳﻚ ﺳﻴﺴﺘﻢ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻓﺎﻳﻞ ﻃﺮﺡ ﻛﻨﻴﺪ ﻛﻪ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ ﻣﻌﻴﻨﻲ ﺣﻖ ﺩﺳﺖﻳﺎﺑﻲ ﺧﻮﺍﻧﺪﻥ ﻭ ﻧﻮﺷﺘﻦ ﺑﻪ ﻳﻚ ﻓﺎﻳﻞ ﺭﺍ ﺑﺮ ﻣﺒﻨﺎﻱ‬ ‫‪۹-۱۱‬‬
‫ﺍﺟﺎﺯﻩﺍﻱ ﻛﻪ ﺑﺘﻮﺳﻂ ﺳﻴﺴﺘﻢ ﺗﻌﻴﻴﻦ ﻣﻲﮔﺮﺩﺩ‪ ،‬ﺑﺪﻫﺪ‪ .‬ﺩﺳﺘﻮﺭﺍﺕ ﺑﺮﻧﺎﻣﻪ ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﻓﺮﻣﺖ ﺯﻳﺮ ﺑﺎﺷﻨﺪ‪:‬‬
‫ﺗﻼﺵ ﻛﺎﺭﺑﺮ ‪ A‬ﺑﺮﺍﻱ ﺧﻮﺍﻧﺪﻥ ﻓﺎﻳﻞ ‪READ (F, User A) :F‬‬

‫ﺗﻼﺵ ﻛﺎﺭﺑﺮ ‪ A‬ﺑﺮﺍﻱ ﺫﺧﻴﺮﻩ ﻛﺮﺩﻥ ﻓﺎﻳﻞ ‪ F‬ﻛﻪ ﺍﺣﺘﻤﺎﻻﹰ ﺩﺳﺘﻜﺎﺭﻱ ﻫﻢ ﺷﺪﻩ ﺍﺳﺖ‪WRITE (F, USER A) :‬‬
‫ﻫﺮ ﻓﺎﻳﻞ ﺩﺍﺭﺍﻱ ﻳﻚ ‪ header record‬ﺍﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﺍﻣﺘﻴﺎﺯﺍﺕ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺳﺖ‪ .‬ﻳﻌﻨﻲ ﺍﻳﻦ ﺳﺮﺁﻳﻨﺪ ﺷﺎﻣﻞ ﻟﻴﺴﺘﻲ ﺍﺯ‬
‫ﺍﻓﺮﺍﺩﻱ ﺍﺳﺖ ﻛﻪ ﻣﺠﺎﺯ ﺑﻪ ﺧﻮﺍﻧﺪﻥ ﻭ‪ /‬ﻳﺎ ﻧﻮﺷﺘﻦ ﻫﺴﺘﻨﺪ‪ .‬ﺍﻳﻦ ﻓﺎﻳﻞ ﻗﺮﺍﺭ ﺍﺳﺖ ﺑﺎ ﻛﻠﻴﺪﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺷﻮﺩ ﻛﻪ ﺩﺭ ﺍﺷﺘﺮﺍﻙ‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﻧﺒﻮﺩﻩ ﻭ ﻓﻘﻂ ﺑﺮﺍﻱ ﺳﻴﺴﺘﻢ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺧﻄﺎﻱ ﻧﺮﺥ ﭘﺎﻳﻪ )‪(The Base-Rate Fallacy‬‬ ‫ﺿﻤﻴﻤﺔ ‪ -۹‬ﺍﻟﻒ‬
‫ﺍﺑﺘﺪﺍ ﻧﺘﺎﻳﺞ ﻣﻬﻤﻲ ﺍﺯ ﺗﺌﻮﺭﻱ ﺍﺣﺘﻤﺎﻻﺕ ﺭﺍ ﻳﺎﺩﺁﻭﺭﻱ ﻧﻤﻮﺩﻩ ﻭ ﺳﭙﺲ ﺧﻄﺎﻱ ﻧﺮﺥ ﭘﺎﻳﺔ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﻴﻢ‪.‬‬
‫ﺍﺣﺘﻤﺎﻝ ﺷﺮﻃﻲ ﻭ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﻣﺴﺘﻘﻞ‬
‫ﺍﻏﻠﺐ ﻻﺯﻡ ﺍﺳﺖ ﺗﺎ ﺍﺣﺘﻤﺎﻝ ﭘﻴﺸﺎﻣﺪﻱ ﺭﺍ ﻛﻪ ﻣﺸﺮﻭﻁ ﺑﻪ ﭘﻴﺸﺎﻣﺪ ﺩﻳﮕﺮ ﺍﺳﺖ ﺑﺪﺍﻧﻴﻢ‪ .‬ﺍﺛﺮ ﺍﻳﻦ ﺷﺮﻁ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﻌـﻀﻲ ﺍﺯ ﻭﻗـﺎﻳﻊ ﺍﺯ‬
‫ﻓﻀﺎﻱ ﻧﻤﻮﻧﻪ ﺣﺬﻑ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻣﺜﻼﹰ ﺍﺣﺘﻤﺎﻝ ﺍﻳﻨﻜﻪ ﺩﺭ ﺍﻧﺪﺍﺧﺘﻦ ﺩﻭ ﻃﺎﺱ ﺟﻤﻊ ﺧﺎﻝﻫﺎ ‪ ۸‬ﺑﺎﺷﺪ ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻪ ﺑﺪﺍﻧﻴﻢ ﻳﻜـﻲ ﺍﺯ ﺧـﺎﻝﻫـﺎ‬
‫ﺣﺘﻤﺎﹰ ﺯﻭﺝ ﺍﺳﺖ ﭼﻴﺴﺖ؟ ﻣﻲﺗﻮﺍﻥ ﭼﻨﻴﻦ ﺍﺳﺘﺪﻻﻝ ﻛﺮﺩ‪ :‬ﭼﻮﻥ ﻳﻚ ﻃﺎﺱ ﺯﻭﺝ ﺍﺳﺖ ﻭ ﺟﻤﻊ ﺧﺎﻝﻫﺎ ﻧﻴـﺰ ﺯﻭﺝ ﺍﺳـﺖ ﺑﻨـﺎﺑﺮﺍﻳﻦ ﺣﺘﻤـﺎ‬
‫ﻃﺎﺱ ﺩﻭﻡ ﻫﻢ ﺑﺎﻳﺴﺘﻲ ﺯﻭﺝ ﺑﺎﺷﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ‪ ،‬ﺳﻪ ﻧﺘﻴﺠﻪ ﻣﻮﻓﻖ ﻣﺘﺴﺎﻭﻱﺍﻻﺣﺘﻤﺎﻝ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪۶) :‬ﻭ‪۴) ، (۲‬ﻭ‪ (۴‬ﻭ )‪۲‬ﻭ‪ (۶‬ﻛﻪ ﺍﺯﺑـﻴﻦ ﻛـﻞ‬
‫ﺗﻌﺪﺍﺩ ﺣﺎﻻﺕ ﻣﻤﻜﻦ ‪) = ۳۶ - ۳*۳ = ۲۷‬ﺗﻌﺪﺍﺩ ﭘﻴﺸﺎﻣﺪﻫﺎﺋﻲ ﻛﻪ ﻫﺮ ﺩﻭ ﺗﺎﺱ ﻓﺮﺩﺍﻧﺪ ( ‪ ۳۶ -‬ﻣﺤﺎﺳﺒﻪ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﺣﺘﻤـﺎﻝ ﻧﺘﻴﺠـﻪ‬
‫ﺷﺪﻩ ﺑﺮﺍﺑﺮ ‪ ۳:۲۷ = ۱:۹‬ﺍﺳﺖ‪.‬‬
‫ﺩﺭ ﺣﺎﻟﺖ ﻛﻠﻲ‪ ،‬ﺍﺣﺘﻤﺎﻝ ﺷﺮﻃﻲ ﭘﻴﺸﺎﻣﺪ ‪ A‬ﺑﺎ ﻓﺮﺽ ﺍﻳﻨﻜﻪ ﭘﻴﺸﺎﻣﺪ ‪ B‬ﻭﺍﻗﻊ ﺷﺪﻩ ﺑﺎﺷـﺪ ﺑـﺎ ]‪ Pr[A|B‬ﻧﻤـﺎﻳﺶ ﺩﺍﺩﻩ ﺷـﺪﻩ ﻭ‬
‫ﺑﺼﻮﺭﺕ ﻋﺒﺎﺭﺕ ﺯﻳﺮ ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﺩ‬
‫] ‪Pr [ AB‬‬
‫‪Pr‬‬ ‫‪[A‬‬ ‫‪| B‬‬ ‫=]‬
‫] ‪Pr [B‬‬
‫ﻛﻪ ﺩﺭ ﺁﻥ ﻓﺮﺽ ﻣﻲﺷﻮﺩ ]‪ Pr[B‬ﻏﻴﺮﺻﻔﺮ ﺍﺳﺖ‪.‬‬

‫ﺩﺭ ﻣﺜﺎﻝ ﻣﺎ‪} ،‬ﺟﻤﻊ ‪ ۸‬ﺑﺎﺷﺪ{ = ‪ A‬ﻭ }ﺣﺪﺍﻗﻞ ﻳﻜﻲ ﺍﺯ ﺧﺎﻟﻬﺎ ﺯﻭﺝ ﺑﺎﺷﺪ{ = ‪ B‬ﺍﺳﺖ‪ Pr[AB] .‬ﺗﻤﺎﻡ ﭘﻴﺸﺎﻣﺪﻫﺎﺋﻲ ﻛﻪ ﺩﺭ‬
‫ﺁﻧﻬﺎ ﺟﻤﻊ ﺑﺮﺍﺑﺮ ‪ ۸‬ﻭ ﺣﺪﺍﻗﻞ ﻳﻜﻲ ﺍﺯ ﺧﺎﻟﻬﺎ ﺯﻭﺝ ﺍﺳﺖ ﺭﺍ ﻣﻲﭘﻮﺷﺎﻧﺪ‪ .‬ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺩﻳﺪﻳﻢ ﺳﻪ ﭘﻴﺸﺎﻣﺪ ﺍﻳﻦﭼﻨﻴﻨﻲ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺑﻨـﺎﺑﺮﺍﻳﻦ‬
‫‪ . Pr[AB]=3/36=1/12‬ﺣﺎﻝ ﻣﻲﺗﻮﺍﻧﻴﻢ ]‪ Pr[A|B‬ﺭﺍ ﺣﺴﺎﺏ ﻛﻨﻴﻢ‪:‬‬
‫‪Pr[A|B]=(1/12)/(3/4)=1/9‬‬
‫ﺍﻳﻦ ﻧﺘﻴﺠﻪ ﺑﺎ ﺍﺳﺘﺪﻻﻝ ﻗﺒﻠﻲ ﻫﻤﺨﻮﺍﻥ ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٦٦‬‬
‫ﺩﻭ ﭘﻴﺸﺎﻣﺪ ‪ A‬ﻭ ‪ B‬ﺭﺍ ﻣﺴﺘﻘﻞ ﺍﺯﻫﻢ ﮔﻮﺋﻴﻢ ﺍﮔﺮ ]‪ Pr[AB]= Pr[A]Pr[B‬ﺑﺎﺷﺪ‪ .‬ﺑﺴﻮﻟﺖ ﻣﻲﺗﻮﺍﻥ ﻣﺸﺎﻫﺪﻩ ﻧﻤﻮﺩ ﻛﻪ ﺍﮔﺮ ‪A‬‬
‫ﻭ ‪ B‬ﻣﺴﺘﻘﻞ ﺑﺎﺷﻨﺪ‪ Pr[A|B]=Pr[A] ،‬ﻭ ]‪ Pr[B|A]=Pr[B‬ﺍﺳﺖ‪.‬‬
‫ﻗﻀﻴﺔ ‪Bayes‬‬
‫ﻳﻜﻲ ﺍﺯ ﻣﻬﻢﺗﺮﻳﻦ ﻧﺘﺎﻳﺞ ﺗﺌﻮﺭﻱ ﺍﺣﺘﻤﺎﻻﺕ‪ ،‬ﻗﻀﻴﺔ ‪ Bayes‬ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﺑﺘﺪﺍ ﺑﺎﻳﺪ ﻓﺮﻣﻮﻝ ﺍﺣﺘﻤﺎﻝ ﻛﻞﹼ ﺭﺍ ﺑﻴﺎﻥ ﻛﻨﻴﻢ‪ .‬ﻫﺮﮔﺎﻩ ﻣﺠﻤﻮﻋـﻪﺍﻱ‬
‫ﺍﺯ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﺩﻭ ﺑﻪ ﺩﻭ ﻧﺎﺳﺎﺯﮔﺎﺭ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻴﻢ ﻛﻪ ﺍﺟﺘﻤﺎﻉ ﺁﻧﻬﺎ ﻫﻤﺔ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﻣﻤﻜﻦ ﺭﺍ ﺩﺭ ﺑﺮ ﺑﮕﻴـﺮﺩ‪ ،‬ﻭ ﻫﻤﭽﻨـﻴﻦ ﺍﮔـﺮ ﻳـﻚ‬
‫ﭘﻴﺸﺎﻣﺪ ﻓﺮﺿﻲ ‪ A‬ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﻢ‪ ،‬ﺁﻧﮕﺎﻩ ﻣﻴﺘﻮﺍﻥ ﻧﺸﺎﻥ ﺩﺍﺩ ﻛﻪ‬
‫‪n‬‬
‫= ] ‪Pr[ A‬‬ ‫∑‬
‫‪i =1‬‬
‫] ‪Pr[ A | E i ] Pr[ E i‬‬ ‫)‪(۹-۱‬‬
‫ﻗﻀﻴﺔ ‪ Bayes‬ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺼﻮﺭﺕ ﺯﻳﺮ ﺑﻴﺎﻥ ﻛﺮﺩ‪:‬‬
‫] ‪Pr[ A | E i ] Pr[ E i‬‬ ‫] ‪Pr[ A | E i ] Pr[ E i‬‬

‫= ]‪Pr[ E i A‬‬ ‫=‬ ‫‪n‬‬ ‫)‪(۹-۲‬‬
‫]‪Pr[ A‬‬
‫‪∑ Pr[ A | E‬‬
‫‪j =1‬‬
‫‪j‬‬ ‫] ‪] Pr[ E j‬‬
‫ﺷﻜﻞ ‪ ۹-۷‬ﺍﻟﻒ ﻣﻔﻬﻮﻡ ﺍﺣﺘﻤﺎﻝ ﻛﻞﹼ ﻭ ﻗﻀﻴﺔ ‪ Bayes‬ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻗﻀﻴﺔ ‪ Bayes‬ﺑﺮﺍﻱ ﻣﺤﺎﺳﺒﺔ »ﻋﻮﺍﻗﺐ ﺁﻳﻨﺪﻩ«‪ ،‬ﻳﻌﻨﻲ ﺍﺣﺘﻤﺎﻝ ﻭﻗﻮﻉ ﭘﻴﺸﺎﻣﺪﻱ ﺑـﺎ ﺩﺭ ﺩﺳـﺖ ﺩﺍﺷـﺘﻦ ﺷـﻮﺍﻫﺪ ﻣﺜﺒـﺖ ﺩﺭ ﺁﻥ‬
‫ﺭﺍﺑﻄﻪ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ ﺻﻔﺮﻫﺎ ﻭ ﻳﻚﻫﺎ ﺍﺯ ﻳﻚ ﻛﺎﻧﺎﻝ ﻧﻮﻳﺰﻱ ﻣﻨﺘﻘﻞ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ‪ S0‬ﻭ‬
‫‪ S1‬ﺑﻪ ﺗﺮﺗﻴﺐ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﺭﺳﺎﻝ ﻳﻚ ‪ 0‬ﻭ ﻳﻚ ‪ 1‬ﺩﺭ ﺯﻣﺎﻥ ﻣﻌﻴﻨﻲ ﺑﻮﺩﻩ ﻭ ‪ R0‬ﻭ ‪ R1‬ﻧﻴﺰ ﺑﺘﺮﺗﻴﺐ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﺩﺭﻳﺎﻓـﺖ‬
‫ﺍﻳﻦ ‪ 0‬ﻭ ‪ 1‬ﺑﺎﺷـﻨﺪ‪ .‬ﺑـﺎﺯﻫﻢ ﻓـﺮﺽ ﻛﻨﻴـﺪ ﻛـﻪ ﻣـﺎ ﺍﺣﺘﻤـﺎﻻﺕ ﺧـﺮﻭﺝ ﺍﻳـﻦ ﻋﻼﺋـﻢ ﺍﺯ ﻣﻨﺒـﻊ ﺭﺍ ﻣـﻲﺩﺍﻧـﻴﻢ ﻭ ﻣـﺜﻼﹰ ‪ Pr[S1] = P‬ﻭ‬
‫‪ Pr[S0] = 1-P‬ﺍﺳﺖ‪ .‬ﺣﺎﻝ ﺧﻂ ﺭﺍ ﻣﻲﭘﺎﺋﻴﻢ ﺗﺎ ﺑﺒﻴﻨﻴﻢ ﺍﮔﺮ ‪ 0‬ﺍﺭﺳﺎﻝ ﺷﻮﺩ ﻭ ﻳﺎ ‪ 1‬ﺍﺭﺳﺎﻝ ﺷﻮﺩ‪ ،‬ﻫﺮﭼﻨﺪﻭﻗﺖ ﻳﻜﺒﺎﺭ ﺩﺭ ﺩﺭﻳﺎﻓﺖ ﺁﻧﻬﺎ‬
‫ﺧﻄﺎ ﺧﻮﺍﻫﻴﻢ ﺩﺍﺷﺖ ﻭ ﺩﺭ ﺍﻳﻦ ﺭﺍﺑﻄﻪ ﺍﺣﺘﻤﺎﻻﺕ ‪ Pr[R0⏐S1] = Pa‬ﻭ ‪ Pr[R1⏐S0] = Pb‬ﺭﺍ ﺣـﺴﺎﺏ ﻣـﻲﻛﻨـﻴﻢ‪ .‬ﺍﮔـﺮ ﻳـﻚ ‪0‬‬
‫ﺩﺭﻳﺎﻓﺖ ﺷﻮﺩ‪ ،‬ﻣﺎ ﻣﻲﺗﻮﺍﻧﻴﻢ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻗﻀﻴﺔ ‪ Bayes‬ﺍﺣﺘﻤﺎﻝ ﺷﺮﻃﻲ ﻳﻚ ﺧﻄﺎ ﺭﺍ ﻣﺤﺎﺳﺒﻪ ﻛﻨﻴﻢ‪ ،‬ﻳﻌﻨﻲ ﺍﺣﺘﻤـﺎﻝ ﺷـﺮﻃﻲ ﺍﻳـﻦ ﻛـﻪ‬
‫ﻳﻚ ‪ 1‬ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺑﺎﺷﺪ ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻪ ﻳﻚ ‪ 0‬ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺍﺳﺖ‪:‬‬
‫]‪Pr[ R 0 | S 1] Pr[ S 1‬‬ ‫‪PaP‬‬

‫= ] ‪Pr[ S 1 R 0‬‬ ‫=‬
‫) ‪Pr[ R 0 S 1] Pr[ S 1] + Pr[ R 0 S 0 ] Pr[ S 0 ] PaP + (1 − Pa )(1 − P‬‬
‫ﺷﻜﻞ ‪۹-۷‬ﺏ ﻣﻌﺎﺩﻟﺔ ﺑﺎﻻ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺩﺭ ﺷﻜﻞ‪ ،‬ﻓﻀﺎﻱ ﻧﻤﻮﻧﻪ ﺑﺎ ﻳﻚ ﻣﺮﺑﻊ ﻭﺍﺣﺪ ﻧﻤﺎﻳﺶ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻧﺼﻒ ﻣﺮﺑـﻊ‬
‫ﻣﺘﻨﺎﻇﺮ ﺑﺎ ‪ S0‬ﻭ ﻧﺼﻒ ﺩﻳﮕﺮ ﺁﻥ ﻣﺘﻨﺎﻇﺮ ﺑﺎ ‪ S1‬ﺑﻮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ‪ Pr[S0] = Pr[S1] = 0.5‬ﺍﺳـﺖ‪ .‬ﺑﻬﻤـﻴﻦ ﺗﺮﺗﻴـﺐ ﻧـﺼﻒ ﻣﺮﺑـﻊ‬
‫ﻣﺘﻨﺎﻇﺮ ﺑﺎ ‪ R0‬ﻭ ﻧﺼﻒ ﺁﻥ ﻣﺘﻨﺎﻇﺮ ﺑﺎ ‪ R1‬ﺑﻮﺩﻩ ﻭ ﺩﺭ ﻧﺘﻴﺠـﻪ ‪ Pr[R0] = Pr[R1] = 0.5‬ﺍﺳـﺖ‪ .‬ﺩﺭ ﻧﺎﺣﻴـﻪﺍﻱ ﻛـﻪ ﻧﻤﺎﻳـﺸﮕﺮ ‪S0‬‬
‫ﺍﺳﺖ‪ 1/4 ،‬ﺁﻥ ﻧﺎﺣﻴﻪ ﻣﺘﻨﺎﻇﺮ ﺑﺎ ‪ R1‬ﺑﻮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ‪.Pr[R1⏐S0] = 0.25‬ﺍﺳﺖ‪ .‬ﺳﺎﻳﺮ ﺍﺣﺘﻤﺎﻻﺕ ﺷﺮﻃﻲ ﺑﻬﻤﻴﻦ ﺗﺮﺗﻴﺐ ﺭﻭﺷﻦﺍﻧﺪ‪.‬‬
‫‪٣٦٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻬﺎﺟﻤﻴﻦ‬
‫‪E1‬‬ ‫‪E2‬‬
‫‪A‬‬
‫‪E3‬‬ ‫‪E4‬‬
‫)ﺏ( ﻣﺜﺎﻝ‬ ‫)ﺍﻟﻒ( ﻧﻤﻮﺩﺍﺭ ﻧﺸﺎﻥ ﺩﻫﻨﺪﺓ ﻣﻔﺎﻫﻴﻢ‬
‫‪=S0; 0 sent‬‬ ‫‪= R0; 0 received‬‬

‫‪=S1; 1 sent‬‬ ‫‪= R1; 1 received‬‬
‫ﻧﻤﺎﻳﺶ ﺍﺣﺘﻤﺎﻝ ﻛﻞﹼ ﻭ ﻗﻀﻴﺔ ‪Bayes‬‬ ‫ﺷﻜﻞ ‪۹-۷‬‬
‫ﻧﻤﺎﻳﺶ ﺧﻄﺎﻱ ﻧﺮﺥ ﭘﺎﻳﻪ‬
‫ﺣﺎﻟﺖ ﺯﻳﺮ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪ .‬ﺍﺯ ﻓﺮﺩ ﺑﻴﻤﺎﺭﻱ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﻳﻚ ﻧﻮﻉ ﻣﺮﺽ‪ ،‬ﺁﺯﻣﺎﻳﺸﻲ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳـﺖ ﻛـﻪ ﻧﺘﻴﺠـﺔ ﺁﻥ ﻣﺜﺒـﺖ‬
‫ﺍﺳﺖ )ﻳﻌﻨﻲ ﺍﻳﻦ ﻣﺮﺽ ﺭﺍ ﺩﺍﺭﺩ(‪ .‬ﺑﻪ ﺷﻤﺎ ﮔﻔﺘﻪ ﻣﻲﺷﻮﺩ‪:‬‬
‫ﺻﺤﺖ ﺁﺯﻣﺎﻳﺶ ‪ %۸۷‬ﺍﺳﺖ )ﻳﻌﻨﻲ ﺍﮔﺮ ﺑﻴﻤﺎﺭ ﺍﻳﻦ ﻣﺮﺽ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺩﺭ ‪ %۸۷‬ﻣﻮﺍﺭﺩ ﻧﺘﻴﺠﺔ ﺁﺯﻣـﺎﻳﺶ ﻣﺜﺒـﺖ ﺍﺳـﺖ‪ ،‬ﻭ‬ ‫•‬
‫ﺍﮔﺮ ﺑﻴﻤﺎﺭ ﺍﻳﻦ ﻣﺮﺽ ﺭﺍ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺑﺎﺯﻫﻢ ﺩﺭ ‪ %۸۷‬ﻣﻮﺍﺭﺩ ﻧﺘﻴﺠﺔﺁﺯﻣﺎﻳﺶ ﺻﺤﻴﺢ ﺍﺳﺖ(‪.‬‬
‫ﺍﺣﺘﻤﺎﻝ ﺑﺮﻭﺯ ﺍﻳﻦ ﻣﺮﺽ ﺩﺭ ﻳﻚ ﺟﻤﻌﻴﺖ ﺑﺮﺍﺑﺮ ‪ %۱‬ﺍﺳﺖ‪.‬‬ ‫•‬
‫ﺑﺎ ﻓﺮﺽ ﺍﻳﻦ ﻛﻪ ﻧﺘﻴﺠﺔ ﺁﺯﻣﺎﻳﺶ ﻣﺜﺒﺖ ﺍﺳﺖ‪ ،‬ﺍﺣﺘﻤﺎﻝ ﺍﻳﻦﻛﻪ ﺑﻴﻤﺎﺭ ﺍﻳﻦ ﻣﺮﺽ ﺭﺍ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ ﭼﻘـﺪﺭ ﺍﺳـﺖ؟ ﺑﻌﺒـﺎﺭﺕ ﺩﻳﮕـﺮ‬
‫ﺍﺣﺘﻤﺎﻝ ﺍﻳﻨﻜﻪ ﺍﻳﻦ ﻳﻚ ﺍﻋﻼﻡ ﺧﻄﺮ ﻛﺎﺫﺏ ﺑﺎﺷﺪ ﭼﻘﺪﺭ ﺍﺳﺖ؟ ﺑﺮﺍﻱ ﻳﺎﻓﺘﻦ ﺟﻮﺍﺏ ﺻﺤﻴﺢ‪ ،‬ﻧﻴﺎﺯ ﺑﻪ ﻗﻀﻴﺔ ‪ Bayes‬ﺩﺍﺭﻳﻢ‪:‬‬
‫] ‪Pr[ positive / well ] Pr[ well‬‬

‫= ] ‪Pr[ well / positive‬‬
‫] ‪Pr[ positive / disease ] Pr[ disease ] + [Pr[ positive / well ] Pr[ well‬‬
‫) ‪( 0 . 13 )( 0 . 99‬‬
‫=‬ ‫‪= 0 . 937‬‬
‫) ‪( 0 . 87 )( 0 . 01 ) + ( 0 . 13 )( 0 . 99‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﺩﺭ ﺍﻛﺜﺮﻳﺖ ﻭﺳﻴﻌﻲ ﺍﺯ ﻣﻮﺍﺭﺩ‪ ،‬ﻭﻗﺘﻲ ﺷﺮﺍﻳﻂ ﻣﺮﺽ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﺍﻳـﻦ ﺗـﺸﺨﻴﺺ ﻳـﻚ ﺗـﺸﺨﻴﺺ ﻛـﺎﺫﺏ‬
‫ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﻧﻬﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٦٨‬‬
‫ﺍﻳﻦ ﻣﺴﺄﻟﻪ‪ ،‬ﺩﺭ ﻳﻚ ﺗﺤﻘﻴﻖ ]‪ ،[PIAT91‬ﺑﻪ ﺗﻌﺪﺍﺩﻱ ﺍﻓﺮﺍﺩ ﻋﺮﺿﻪ ﺷﺪ‪ .‬ﺑﻴﺸﺘﺮ ﺳﻮﮊﻩﻫﺎ ﺟﻮﺍﺑﺸﺎﻥ ‪ %۱۳‬ﺑﻮﺩ‪ .‬ﺍﻛﺜﺮﻳـﺖ ﺑﺰﺭﮔـﻲ‬
‫ﻛﻪ ﺷﺎﻣﻞ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﭘﺰﺷﻜﺎﻥ ﻧﻴﺰ ﻣﻲﺷﺪﻧﺪ‪ ،‬ﻋﺪﺩﻱ ﺯﻳﺮ ‪ %۵۰‬ﺭﺍ ﺗﺨﻤﻴﻦ ﻣﻲﺯﺩﻧﺪ‪ .‬ﺧﻴﻠﻲ ﺍﺯ ﭘﺰﺷﻜﺎﻧﻲ ﻛﻪ ﺣﺪﺳﺸﺎﻥ ﺍﺷـﺘﺒﺎﻩ ﺑـﻮﺩ ﺑـﺎ‬
‫ﺗﺄﺳﻒ ﺑﻴﺎﻥ ﻣﻲﻛﺮﺩﻧﺪﻛﻪ »ﺍﮔﺮ ﺷﻤﺎ ﺻﺤﻴﺢ ﻣﻲﮔﻮﺋﻴﺪ ﭘﺲ ﺩﻟﻴﻠﻲ ﺑﺮﺍﻱ ﺁﺯﻣﺎﻳﺸﺎﺕ ﻛﻠﻴﻨﻴﻜﻲ ﻭﺟﻮﺩ ﻧﺪﺍﺭﺩ!« ﻋﻠﺖ ﺍﻳﻨﻜﻪ ﺑﻴـﺸﺘﺮ ﺍﻓـﺮﺍﺩ‬
‫ﺩﺭ ﭘﺎﺳﺦ ﺑﻪ ﺍﻳﻦ ﺳﺆﺍﻝ ﺩﭼﺎﺭ ﺍﺷﺘﺒﺎﻩ ﺷﺪﻩ ﺑﻮﺩﻧﺪ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻣﺤﺎﺳﺒﺔ ﺫﻫﻨﻲ ﺧﻮﺩ ﻧﺮﺥ ﺍﺻﻠﻲ ﭘﻴﺸﺎﻣﺪ)ﻧﺮﺥ ﭘﺎﻳﻪ( ﺭﺍ ﻣﻨﻈﻮﺭ ﻧﻜﺮﺩﻩ‬
‫ﺑﻮﺩﻧﺪ‪ .‬ﺍﻳﻦ ﺧﻄﺎ ﺑﻪ ﻧﺎﻡ ﺧﻄﺎﻱ ﻧﺮﺥ ﭘﺎﻳﻪ )‪ (base-rate fallacy‬ﻣﺸﻬﻮﺭ ﺍﺳﺖ‪.‬‬
‫ﭼﮕﻮﻧﻪ ﺍﻳﻦ ﻣﻌﻀﻞ ﺭﺍ ﻣﻴﺘﻮﺍﻥ ﺣﻞ ﻛﺮﺩ؟ ﻓﺮﺽ ﻛﻨﻴﺪ ﺑﺘﻮﺍﻧﻴﻢ ﻫﺮ ﺩﻭ ﻧﺘﻴﺠﻪ ﺻﺤﻴﺢ ﺭﺍ ﺑﻪ ‪ %۹۹/۹‬ﺑﺮﺳﺎﻧﻴﻢ‪ .‬ﻳﻌﻨﻲ ﻓﺮﺽ ﻛﻨﻴـﺪ‬
‫ﺑﺨﻮﺍﻫﻴﻢ ﻛﻪ ‪ Pr[positive/disease] = 0.999‬ﻭ ‪ Pr[negative/well] = 0.999‬ﺑﺎﺷﺪ‪ .‬ﺑﺎ ﻗﺮﺍﺭﺩﺍﺩﻥ ﺍﻳﻦ ﺩﻭ ﻋﺪﺩ ﺩﺭ ﻓﺮﻣﻮﻝ‬
‫)‪ Pr[well/positive] = 0.09 ،(۹-۲‬ﺑﺪﺳﺖ ﻣﻲﺁﻳﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﮔﺮ ﺑﺘﻮﺍﻧﻴﻢ ﺗﺸﺨﻴﺺ ﻣﺮﻳﺾ ﺑـﻮﺩﻥ ﻭ ﻳـﺎ ﻣـﺮﻳﺾ ﻧﺒـﻮﺩﻥ ﺭﺍ ﺑـﺎ‬
‫ﺍﺣﺘﻤﺎﻝ ‪ %۹۹/۹‬ﺩﺭﺳﺖ ﭘﻴﺶﺑﻴﻨﻲ ﻧﻤﺎﺋﻴﻢ‪ ،‬ﺁﻧﮕﺎﻩ ﻧﺮﺥ ﺳﻴﮕﻨﺎﻝ ﻛﺎﺫﺏ ﺗﻨﻬﺎ ‪ %۹‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺍﻳﻦ ﻧﺘﻴﺠﺔ ﺧﻴﻠﻲ ﺑﻬﺘﺮﻱ ﺍﺳﺖ ﻭﻟـﻲ ﻫﻨـﻮﺯ‬
‫ﺍﻳﺪﻩﺁﻝ ﻧﻴﺴﺖ‪ .‬ﺑﺎﺭ ﺩﻳﮕﺮ ﺩﻗﺖ ‪ %۹۹/۹‬ﺭﺍ ﺩﺭ ﻧﻈﺮ ﮔﺮﻓﺘـﻪ ﻭﻟـﻲ ﻓـﺮﺽ ﻛﻨﻴـﺪ ﻛـﻪ ﺍﺣﺘﻤـﺎﻝ ﺑـﺮﻭﺯ ﻣـﺮﺽ ﺩﺭ ﻳـﻚ ﺟﻤﻌﻴـﺖ ﺗﻨﻬـﺎ‬
‫‪ ۱ : ۱۰,۰۰۰ = ۰/۰۰۰۱‬ﺑﺎﺷﺪ‪ .‬ﺩﺭ ﺍﻳﻨﺼﻮﺭﺕ ﻧـﺮﺥ ﺁﻻﺭﻡ ﻛـﺎﺫﺏ ‪ %۹۱‬ﺧﻮﺍﻫـﺪ ﺷـﺪ‪ .‬ﺩﺭ ﺣـﺎﻻﺕ ﻭﺍﻗﻌـﻲ‪ [AXWL00] ،‬ﭼﻨـﻴﻦ‬
‫ﻧﺘﻴﺠﻪﮔﻴﺮﻱ ﻛﺮﺩﻛﻪ ﺍﺣﺘﻤﺎﻻﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺁﻧﭽﻨﺎﻥﺍﻧﺪ ﻛﻪ ﻧﺮﺥ ﺁﻻﺭﻡ ﻛﺎﺫﺏ ﺭﺿﺎﻳﺖﺑﺨﺶ ﻧﻤﻲﺑﺎﺷﺪ‪.‬‬
‫ﻓﺼـﻞ ‪۱۰‬‬
‫ﻧﺮﻡ ﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬
‫ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﺗﻬﺪﻳﺪﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻧﻬﺎ‬ ‫‪۱۰-۱‬‬

‫ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻣﻮﺫﻱ‬
‫ﻣﺎﻫﻴﺖ ﻭﻳﺮﻭﺱﻫﺎ‬
‫ﺍﻧﻮﺍﻉ ﻭﻳﺮﻭﺱﻫﺎ‬
‫ﻭﻳﺮﻭﺱﻫﺎﻱ ﻣﺎﻛﺮﻭ‬
‫ﻭﻳﺮﻭﺱﻫﺎﻱ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‬
‫ﻛِﺮﻡﻫﺎ‬
‫ﻭﺿﻌﻴﺖ ﺗﻜﻨﻮﻟﻮﮊﻱ ﻛِﺮﻡﻫﺎ‬
‫ﺭﻭﺵﻫﺎﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﻭﻳﺮﻭﺱﻫﺎ‬ ‫‪۱۰-۲‬‬

‫ﺑﻜﺎﺭﮔﻴﺮﻱ ﺁﻧﺘﻲ ﻭﻳﺮﻭﺱﻫﺎ‬
‫ﺗﻜﻨﻴﻚﻫﺎﻱ ﭘﻴﺸﺮﻓﺘﻪ ﺁﻧﺘﻲ ﻭﻳﺮﻭﺱﻫﺎ‬
‫ﻧﺮﻡ ﺍﻓﺰﺍﺭ ﺳﺪﻛﻨﻨﺪﺓ ﺭﻓﺘﺎﺭ‬
‫ﺣﻤﻼﺕ ﺗﻮﺯﻳﻊ ﺷﺪﺓ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ‬ ‫‪۱۰-۳‬‬

‫ﺗﻮﺻﻴﻒ ﺣﻤﻠﺔ ‪DDoS‬‬
‫ﺍﻳﺠﺎﺩ ﺷﺒﻜﺔ ﺣﻤﻠﻪ ﻛﻨﻨﺪﻩ‬
‫ﺭﻭﺵﻫﺎﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪DDoS‬‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۱۰-۴‬‬

‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۱۰-۵‬‬
‫ﻓﺼﻞ ﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٧٠‬‬
‫ﻳﻦ ﻓﺼﻞ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ)‪ ،(malware‬ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﻛِﺮﻡﻫﺎ ﺭﺍ ﻣﻮﺭﺩ ﺑﺮﺭﺳﻲ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪.‬‬ ‫ﺍ‬
‫ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﺗﻬﺪﻳﺪﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻧﻬﺎ‬ ‫‪۱۰-۱‬‬
‫ﺷﺎﻳﺪ ﭘﻴﭽﻴﺪﻩﺗﺮﻳﻦ ﺗﻬﺪﻳﺪﻫﺎ ﺑﺮﺍﻱ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ‪ ،‬ﺑﺘﻮﺳﻂ ﺑﺮﻧﺎﻣﻪﻫﺎﺋﻲ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ ﻛﻪ ﺍﺯ ﻧﻘﺎﻁ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺍﻳﻦ‬
‫ﺳﻴﺴﺘﻢﻫﺎ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﺯﻣﻴﻨﻪ ﻫﻢ ﺑﺎ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﻭ ﻫﻢ ﺑﺎ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﻤﻜﻲ ﻫﻤﺎﻧﻨﺪ ﻭﻳﺮﺍﻳﺶﮔﺮﻫﺎ‬
‫)‪ (editors‬ﻭ ﻛﺎﻣﭙﺎﻳﻠﺮﻫﺎ )‪ (compilers‬ﺳﺮﻭﻛﺎﺭ ﺩﺍﺭﻳﻢ‪.‬‬
‫ﺍﻳﻦ ﺑﺨﺶ ﺭﺍ ﺑﺎ ﻣﺮﻭﺭﻱ ﺑﺮ ﻃﻴﻒ ﺍﻳﻦ ﺗﻬﺪﻳﺪﻫﺎﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﺷﺮﻭﻉ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺑﻘﻴﺔ ﺑﺨﺶ ﺑﻪ ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﻛِﺮﻡﻫﺎ ﺍﺧﺘﺼﺎﺹ‬
‫ﺩﺍﺷﺘﻪ ﻭ ﭘﺲ ﺍﺯ ﻧﮕﺎﻫﻲ ﺑﻪ ﻣﺎﻫﻴﺖ ﺁﻧﻬﺎ‪ ،‬ﺭﺍﻩﻫﺎﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺁﻧﻬﺎ ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻣﻮﺫﻱ‬
‫ﺑﻌﻠﺖ ﻋﺪﻡ ﻭﺟﻮﺩ ﻳﻚ ﺍﺟﻤﺎﻉ ﺟﻬﺎﻧﻲ ﺭﻭﻱ ﻭﺍﮊﻩﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻳﻦ ﺑﺨﺶ ﻭ ﺍﺧﺘﻼﻁ ﺑﻌﻀﻲ ﺍﺯ ﮔﺮﻭﻩﻫﺎ ﺑﺎ ﻳﻜﺪﻳﮕﺮ‪ ،‬ﺗﻌﺮﻳﻒ ﺍﺻﻄﻼﺣﺎﺕ‬
‫ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻳﻦ ﻣﻘﻮﻟﻪ ﺩﺷﻮﺍﺭﻱﻫﺎﺋﻲ ﺭﺍ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ‪ .‬ﺟﺪﻭﻝ ‪ ۱۰-۱‬ﻛﻪ ﻋﻤﺪﺗﺎﹰ ﺍﺯ ]‪ [SZOR05‬ﺍﻗﺘﺒﺎﺱ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺭﺍﻫﻨﻤﺎﻱ ﺧﻮﺑﻲ‬
‫ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﺍﺳﺖ‪.‬‬
‫ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﻪ ﺩﻭ ﺩﺳﺘﻪ ﺗﻘﺴﻴﻢ ﻛﺮﺩ‪ :‬ﺁﻧﻬﺎﺋﻲ ﻛﻪ ﺑﻪ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﻣﻴﺰﺑﺎﻥ ﻧﻴﺎﺯ ﺩﺍﺭﻧﺪ ﻭ ﺁﻧﻬﺎﺋﻲ ﻛﻪ ﺑﻄﻮﺭ‬
‫ﻣﺴﺘﻘﻞ ﻋﻤﻞ ﻛﺮﺩﻩ ﻭ ﻧﻴﺎﺯ ﺑﻪ ﻣﺤﻤﻠﻲ ﻧﺪﺍﺭﻧﺪ‪ .‬ﺩﺳﺘﺔ ﺍﻭﻝ ﺿﺮﻭﺭﺗﺎﹰ ﺑﺨﺶﻫﺎﺋﻲ ﺍﺯ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺑﻮﺩﻩ ﻭ ﻧﻤﻲﺗﻮﺍﻧﻨﺪ ﻣﺴﺘﻘﻞ ﺍﺯ ﻳﻚ ﺑﺮﻧﺎﻣﺔ‬
‫ﻛﺎﺭﺑﺮﺩﻱ‪ ،‬ﺑﺮﻧﺎﻣﺔ ﻛﻤﻜﻲ ﻭ ﻳﺎ ﺑﺮﻧﺎﻣﺔ ﺳﻴﺴﺘﻤﻲ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ .‬ﻭﻳﺮﻭﺱﻫﺎ‪ ،‬ﺑﻤﺐﻫﺎﻱ ﻻﺟﻴﻚ ﻭ ﺩﺭﺏﻫﺎﻱ ﻣﺨﻔﻲ ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﺍﻳﻦ‬
‫ﺩﺳﺖﺍﻧﺪ‪ .‬ﺩﺳﺘﺔ ﺩﻭﻡ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﻣﻠﻲ ﻫﺴﺘﻨﺪﻛﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﻣﺴﺘﻘﻼﹰ ﺑﺘﻮﺳﻂ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺮﻧﺎﻣﻪﺭﻳﺰﻱ ﻭ ﺍﺟﺮﺍ ﺷﻮﻧﺪ‪.‬‬
‫ﻛِﺮﻡﻫﺎ ﻭ ﺯﺍﻣﺒﻲﻫﺎ ﺍﺯ ﺍﻳﻦ ﻣﻘﻮﻟﻪﺍﻧﺪ‪.‬‬
‫ﻫﻤﭽﻨﻴﻦ ﻣﻲﺗﻮﺍﻥ ﺑﻴﻦ ﺁﻥ ﺩﺳﺘﻪ ﺍﺯ ﺗﻬﺪﻳﺪﻫﺎﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻛﻪ ﺗﻜﺜﻴﺮ ﻧﻤﻲﺷﻮﻧﺪ ﺩﺭ ﻣﻘﺎﺑﻞ ﺁﻧﻬﺎﺋﻲ ﻛﻪ ﺗﻜﺜﻴﺮ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺗﻔﺎﻭﺕ‬
‫ﻗﺎﺋﻞ ﺷﺪ‪ .‬ﺍﻭﻟﻲ ﺑﺮﻧﺎﻣﻪﻫﺎ ﻭ ﻳﺎ ﺗﻜﻪﻫﺎﺋﻲ ﺍﺯ ﺑﺮﻧﺎﻣﻪ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺎ ﻳﻚ ﭼﺎﺷﻨﻲ ﻓﻌﺎﻝ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻣﺜﺎﻝﻫﺎﻱ ﺍﻳﻦ ﻣﻮﺭﺩ‪ ،‬ﺑﻤﺐﻫﺎﻱ ﻻﺟﻴﻚ‪،‬‬
‫ﺩﺭﺏﻫﺎﻱ ﻣﺨﻔﻲ ﻭ ﺯﺍﻣﺒﻲﻫﺎ ﻫﺴﺘﻨﺪ‪ .‬ﺩﺳﺘﺔ ﺑﻌﺪ ﺗﻜﻪﺍﻱ ﺍﺯ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻭ ﻳﺎ ﺑﺮﻧﺎﻣﺔ ﻣﺴﺘﻘﻠﻲ ﺍﺳﺖ ﻛﻪ ﻭﻗﺘﻲ ﺍﺟﺮﺍ ﺷﻮﺩ ﻣﻤﻜﻦ ﺍﺳﺖ‬
‫ﻛﭙﻲﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺍﺯ ﺧﻮﺩ ﺭﺍ ﺗﻮﻟﻴﺪ ﻧﻤﻮﺩﻩ ﻭ ﺩﺭ ﺁﻳﻨﺪﻩ ﺑﺘﻮﺳﻂ ﻫﻤﺎﻥ ﺳﻴﺴﺘﻢ ﻭ ﻳﺎ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺩﻳﮕﺮ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﺳﻴﺴﺘﻢ ﻓﻌﺎﻝ ﺷﻮﻧﺪ‪.‬‬
‫ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﻛِﺮﻡﻫﺎ ﺍﺯ ﺍﻳﻦ ﻣﻘﻮﻟﻪﺍﻧﺪ‪.‬‬
‫ﺩﺭ ﺑﻘﻴﺔ ﺍﻳﻦ ﺑﺨﺶ ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﺑﻪ ﺗﺸﺮﻳﺢ ﻫﺮﻳﻚ ﺍﺯ ﺍﻳﻦ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‪ ،‬ﺑﺠﺰ ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﻛِﺮﻡﻫﺎ ﻛﻪ ﺑﻄﻮﺭ ﻣﺴﺘﻘﻞ‬
‫ﺗﺸﺮﻳﺢ ﺧﻮﺍﻫﻨﺪ ﺷﺪ‪ ،‬ﻣﻲﭘﺮﺩﺍﺯﻳﻢ‪.‬‬
‫‪٣٧١‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬ ‫ﺟﺪﻭﻝ ‪۱۰-۱‬‬
‫ﺗﻮﺻﻴﻒ‬ ‫ﻧﺎﻡ‬
‫ﺧﻮﺩ ﺭﺍ ﺑﻪ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻣﺘﺼﻞ ﻛﺮﺩﻩ ﻭ ﻛﭙﻲﻫﺎﺋﻲ ﺍﺯ ﺧﻮﺩ ﺭﺍ ﺑﻪ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺩﻳﮕﺮ ﻣﻨﺘﻘﻞ ﻣﻲﻛﻨﺪ‬ ‫‪Virus‬‬
‫ﺑﺮﻧﺎﻣﻪﺍﻱ ﻛﻪ ﻛﭙﻲﻫﺎﻱ ﺧﻮﺩ ﺭﺍ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﻱ ﺩﻳﮕﺮ ﻣﻨﺘﻘﻞ ﻣﻲﻛﻨﺪ‬ ‫‪Worm‬‬
‫ﻭﻗﺘﻲ ﻓﻌﺎﻝ ﻣﻲﺷﻮﺩ ﻛﻪ ﭘﻴﺸﺎﻣﺪ ﺧﺎﺻﻲ ﺭﻭﻱ ﺩﻫﺪ‬ ‫‪Logic Bomb‬‬
‫ﺑﺮﻧﺎﻣﻪﺍﻱ ﻛﻪ ﺷﺎﻣﻞ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺍﺿﺎﻓﻲ ﻏﻴﺮﻣﻨﺘﻈﺮﻩ ﺍﺳﺖ‬ ‫‪Trojan Horse‬‬
‫ﺩﺳﺘﻜﺎﺭﻱ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺑﻄﻮﺭﻱ ﻛﻪ ﺩﺳﺖﻳﺎﺑﻲ ﻏﻴﺮﻣﺠﺎﺯ ﺑﻪ ﻋﻤﻠﻴﺎﺗﻲ ﺭﺍ ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﻧﻤﺎﻳﺪ‬ ‫)‪Backdoor (trapdoor‬‬
‫ﻛﹸﺪ ﻣﺨﺘﺺ ﺑﻪ ﻳﻚ ﺁﺳﻴﺐﭘﺬﻳﺮﻱ ﻣﻨﻔﺮﺩ ﻭ ﻳﺎ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺁﺳﻴﺐﭘﺬﻳﺮﻱﻫﺎ‬ ‫‪Exploits‬‬
‫ﺑﺮﻧﺎﻣﻪﺍﻱ ﻛﻪ ﺍﻗﻼﻡ ﺟﺪﻳﺪﻱ ﺭﺍ ﺭﻭﻱ ﻣﺎﺷﻴﻦ ﻣﻮﺭﺩ ﺗﻬﺎﺟﻢ ﻧﺼﺐ ﻣﻲﻛﻨﺪ‪ .‬ﻳﻚ ‪ downloader‬ﻣﻌﻤﻮﻻﹰ‬
‫‪Downloaders‬‬
‫ﺑﺎ ﻳﻚ ﻧﺎﻣﺔ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﺩ‬
‫ﺍﺑﺰﺍﺭﻫﺎﻱ ﻳﻚ ﻧﻔﻮﺫﮔﺮ ﺑﺪﺍﻧﺪﻳﺶ ﻛﻪ ﺍﺯ ﺁﻧﻬﺎ ﺑﺮﺍﻱ ﻭﺭﻭﺩ ﺑﻪ ﻣﺎﺷﻴﻦﻫﺎﻱ ﺟﺪﻳﺪ ﺍﺯ ﺭﺍﻩ ﺩﻭﺭ ﺍﺳﺘﻔﺎﺩﻩ‬
‫‪Auto-rooter‬‬
‫ﻣﻲﻛﻨﺪ‬
‫ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺍﺑﺰﺍﺭﻫﺎ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻭﻳﺮﻭﺱﻫﺎﻱ ﺟﺪﻳﺪ ﺑﺼﻮﺭﺕ ﺧﻮﺩﻛﺎﺭ‬ ‫)‪Kit (virus generator‬‬
‫ﺑﺮﺍﻱ ﺍﺭﺳﺎﻝ ﺣﺠﻢ ﺯﻳﺎﺩﻱ ﺍﺯ ﻫَﺮﺯﻧﺎﻣﻪﻫﺎﻱ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‬ ‫‪Spammer programs‬‬
‫ﺑﺮﺍﻱ ﺣﻤﻠﻪ ﺑﻪ ﺷﺒﻜﻪﻫﺎﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﺍﺯ ﻃﺮﻳﻖ ﺍﻳﺠﺎﺩ ﺣﺠﻢ ﺑﺎﻻﺋﻲ ﺍﺯ ﺗﺮﺍﻓﻴﻚ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ ﺗﺎ ﻳﻚ‬
‫‪Flooders‬‬
‫ﺣﻤﻠﺔ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ )‪ (DoS‬ﺭﺍ ﺳﺎﺯﻣﺎﻥ ﺩﻫﺪ‬
‫ﺣﺮﻛﺎﺕ ﺻﻔﺤﻪ ﻛﻠﻴﺪ ﺩﺭ ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﻮﺭﺩ ﺣﻤﻠﻪ ﺭﺍ ﻣﻲﭘﺎﻳﺪ‬ ‫‪Keyloggers‬‬
‫ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺍﺑﺰﺍﺭﻫﺎﻱ ﻧﻔﻮﺫﮔﺮﻱ ﻛﻪ ﭘﺲ ﺍﺯ ﺍﻳﻨﻜﻪ ﻧﻔﻮﺫﮔﺮ ﺑﻪ ﺳﻴﺴﺘﻢ ﺭﺍﻩ ﻳﺎﻓﺖ ﺍﺯ ﺁﻧﻬﺎ ﺑﺮﺍﻱ‬
‫‪Rootkit‬‬
‫ﺩﺳﺘﺮﺳﻲ ﺑﻪ ‪ root-level‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‬
‫ﺑﺮﻧﺎﻣﻪﺍﻱ ﻛﻪ ﺭﻭﻱ ﻳﻚ ﻣﺎﺷﻴﻦ ﺁﻟﻮﺩﻩ ﺷﺪﻩ ﻓﻌﺎﻝ ﻣﻲﺷﻮﺩ ﺗﺎ ﺣﻤﻼﺕ ﺑﺮ ﺭﻭﻱ ﻣﺎﺷﻴﻦﻫﺎﻱ ﺩﻳﮕﺮ ﺭﺍ‬
‫‪Zombie‬‬
‫ﺳﺎﻣﺎﻥ ﺩﻫﺪ‬
‫ﺩﺭﺏ ﻣﺨﻔﻲ )‪(Backdoor‬‬

‫ﻳﻚ ﺩﺭﺏ ﻣﺨﻔﻲ‪ ،‬ﻣﻨﻔﺬﻱ ﺳﺮّﻱ ﺑﺮﺍﻱ ﻭﺭﻭﺩ ﺑﻪ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﻓﺮﺩﻱ ﻛﻪ ﺍﺯ ﻭﺟﻮﺩ ﺍﻳﻦ ﺩﺭﺏ ﻣﻄﻠﻊ ﺍﺳﺖ ﺍﺟﺎﺯﻩ‬
‫ﻣﻲﺩﻫﺪ ﻛﻪ ﺑﺪﻭﻥ ﻋﺒﻮﺭ ﺍﺯ ﻣﻮﺍﻧﻊ ﺍﻣﻨﻴﺘﻲ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺑﻪ ﺑﺮﻧﺎﻣﻪ ﺭﺍﻩ ﻳﺎﺑﺪ‪ .‬ﺩﺭﺏﻫﺎﻱ ﻣﺨﻔﻲ ﺑﺮﺍﻱ ﺳﺎﻟﻴﺎﻥ ﻣﺘﻤﺎﺩﻱ ﺑﺘﻮﺳﻂ‬
‫ﺑﺮﻧﺎﻣﻪﻧﻮﻳﺴﺎﻥ ﺑﺮﺍﻱ ﺗﺪﺍﺑﻴﺮ ﺗِﺴﺖ ﻭ ﺍِﺷﻜﺎﻝﺯﺩﺍﺋﻲ ﺑﺮﻧﺎﻣﻪﻫﺎ ﺑﻄﻮﺭ ﻗﺎﻧﻮﻧﻲ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪﺍﻧﺪ‪ .‬ﺗﻌﺒﻴﺔ ﺍﻳﻦ ﺩﺭﺏﻫﺎ ﻣﻌﻤﻮﻻﹰ ﺑﻪ‬
‫ﺍﻳﻦ ﺩﻟﻴﻞ ﺍﺳﺖ ﻛﻪ ﺍﺟﺮﺍﻱ ﻋﺎﺩﻱ ﺑﺮﻧﺎﻣﻪ ﻧﻴﺎﺯ ﺑﻪ ﻣﺮﺍﺣﻞ ﺗﺄﻳﻴﺪ ﻫﻮﻳﺖ ﻭ ﻳﺎ ﻋﺒﻮﺭ ﺍﺯ ﻣﺮﺍﺣﻞ ﻭﻗﺖﮔﻴﺮ ﺍﺟﺮﺍﺋﻲ ﻭ ﻭﺍﺭﺩ ﻧﻤﻮﺩﻥ ﻣﻘﺎﺩﻳﺮ‬
‫ﻣﺘﻌﺪﺩ ﺩﺍﺭﺩ‪ .‬ﺑﺮﺍﻱ ﺍِﺷﻜﺎﻝﺯﺩﺍﺋﻲ ﺍﺯ ﺑﺮﻧﺎﻣﻪ‪ ،‬ﺗﻮﻟﻴﺪﻛﻨﻨﺪﺓ ﺑﺮﻧﺎﻣﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻋﻼﻗﻪﻣﻨﺪ ﺑﻪ ﻛﺴﺐ ﺍﻣﺘﻴﺎﺯﺍﺗﻲ ﺑﺮﺍﻱ ﻭﺭﻭﺩ ﺑﻪ ﺑﺮﻧﺎﻣﻪ ﻭ‬
‫ﺍﺟﺘﻨﺎﺏ ﺍﺯ ﻃﻲ ﻫﻤﺔ ﻣﺮﺍﺣﻞ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻻﺯﻡ ﺑﺎﺷﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺑﺮﻧﺎﻣﻪ ﻧﻮﻳﺲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺨﻮﺍﻫﺪ ﻣﻄﻤﺌﻦ ﺷﻮﺩ ﻛﻪ ﺩﺭ ﺻﻮﺭﺕ ﺍﻳﺠﺎﺩ‬
‫ﺍﺧﺘﻼﻝ ﺩﺭ ﻣﺮﺍﺣﻞ ﺗﺄﺋﻴﺪ ﻫﻮﻳﺖ‪ ،‬ﺧﻮﺩ ﺧﻮﺍﻫﺪ ﺗﻮﺍﻧﺴﺖ ﺍﺯ ﻃﺮﻳﻖ ﺩﻳﮕﺮﻱ ﻭﺍﺭﺩ ﺑﺮﻧﺎﻣﻪ ﺷﺪﻩ ﻭ ﺁﻥ ﺭﺍ ﺍﺻﻼﺡ ﻧﻤﺎﻳﺪ‪ .‬ﺩﺭﺏ ﻣﺨﻔﻲ ﺩﺭ‬
‫ﺣﻘﻴﻘﺖ ﻛﹸﺪﻱ ﺑﺮﺍﻱ ﺷﻨﺎﺧﺖ ﺩﻧﺒﺎﻟﺔ ﻣﺨﺼﻮﺻﻲ ﺍﺯ ﻭﺭﻭﺩﻱﻫﺎ ﺑﻮﺩﻩ ﻭ ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﺷﻤﺎﺭﺓ ﻛﺎﺭﺑﺮﻱ ﺧﺎﺹ ﻭ ﻳﺎ ﺩﻧﺒﺎﻟﺔ ﻏﻴﺮﻣﺤﺘﻤﻠﻲ ﺍﺯ‬
‫ﻭﻗﺎﻳﻊ ﺭﺍ ﺷﺎﻣﻞ ﮔﺮﺩﺩ‪.‬‬
‫ﻓﺼﻞ ﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٧٢‬‬
‫ﺩﺭﺏﻫﺎﻱ ﻣﺨﻔﻲ‪ ،‬ﻭﻗﺘﻲﻛﻪ ﺑﺮﺍﻱ ﺩﺳﺘﺮﺳﻲ ﻏﻴﺮﻗﺎﻧﻮﻧﻲ ﺑﺘﻮﺳﻂ ﺑﺮﻧﺎﻣﻪﻧﻮﻳﺲﻫﺎﻱ ﻏﻴﺮﻣﺴﺌﻮﻝ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ‪،‬‬
‫ﺗﻬﺪﻳﺪﻱ ﺟﺪﻱ ﺑﺤﺴﺎﺏ ﻣﻲﺁﻳﻨﺪ‪ .‬ﺩﺭﺏ ﻣﺨﻔﻲ‪ ،‬ﺍﻳﺪﺓ ﺍﺻﻠﻲ ﻧﻤﺎﻳﺶ ﺁﺳﻴﺐﭘﺬﻳﺮﻱ ﺩﺭ ﻓﻴﻠﻢ ‪ War Games‬ﺑﻮﺩﻩ ﺍﺳﺖ‪ .‬ﻣﺜﺎﻝ ﺩﻳﮕﺮﻱ‬
‫ﺍﺯ ﺍﻳﻦ ﺗﻬﺪﻳﺪ ﺁﻥ ﺑﻮﺩ ﻛﻪ ﺩﺭ ﺟﺮﻳﺎﻥ ﺗﻮﺳﻌﺔ ‪ ،Multics‬ﺗﺴﺖﻫﺎﻱ ﻧﻔﻮﺫ ﺩﺭ ﺑﺮﻧﺎﻣﻪ ﺑﺘﻮﺳﻂ »ﺗﻴﻢ ﺑﺒﺮ« ﻧﻴﺮﻭﻱ ﻫﻮﺍﺋﻲ ﺍﻣﺮﻳﻜﺎ ﺍﻧﺠﺎﻡ ﺷﺪ‬
‫)ﻧﻮﻋﻲ ﺷﺒﻴﻪﺳﺎﺯﻱ ﺩﺷﻤﻦ(‪ .‬ﻳﻜﻲ ﺍﺯ ﺗﻜﻨﻴﻚﻫﺎﻱ ﺑﻜﺎﺭ ﺭﻓﺘﻪ ﺍﻳﻦ ﺑﻮﺩ ﻛﻪ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺟﻌﻠﻲ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‪ ،‬ﺑﺮﺍﻱ ﻳﻜﻲ ﺍﺯ‬
‫ﺳﺎﻳﺖﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ‪ Multics‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﺮﺩ ﺍﺭﺳﺎﻝ ﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺣﺎﻭﻱ ﻳﻚ ﺍﺳﺐ ﺗﺮﻭﺍ )ﺑﻌﺪﺍﹰ ﺗﺸﺮﻳﺢ ﺧﻮﺍﻫﺪ ﺷﺪ( ﺑﻮﺩ ﻛﻪ‬
‫ﻣﻲﺗﻮﺍﻧﺴﺖ ﺍﺯ ﻃﺮﻳﻖ ﻳﻜﻲ ﺍﺯ ﺩﺭﺏﻫﺎﻱ ﻣﺨﻔﻲ ﻭﺍﺭﺩ ﺷﺪﻩ ﻭ ﺍﻣﻜﺎﻥ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺳﻴﺴﺘﻢ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﺗﻴﻢ ﻋﻤﻞﻛﻨﻨﺪﻩ ﻗﺮﺍﺭ ﺩﻫﺪ‪ .‬ﺍﻳﻦ‬
‫ﺗﻬﺪﻳﺪ ﺁﻧﻘﺪﺭ ﺯﻳﺮﻛﺎﻧﻪ ﺑﺮﻧﺎﻣﻪﺭﻳﺰﻱ ﺷﺪﻩ ﺑﻮﺩ ﻛﻪ ﻃﺮﺍﺣﺎﻥ ‪ Multics‬ﺣﺘﻲ ﺑﻌﺪ ﺍﺯ ﺍﻳﻨﻜﻪ ﺍﺯ ﻭﺟﻮﺩ ﺁﻥ ﻣﻄﻠﻊ ﺷﺪﻧﺪ ﻧﺘﻮﺍﻧﺴﺘﻨﺪ ﺁﻥ ﺭﺍ‬
‫ﭘﻴﺪﺍ ﻧﻤﺎﻳﻨﺪ]‪.[ENGE80‬‬
‫ﺳﺎﺧﺖ ﻛﻨﺘﺮﻝﻫﺎﺋﻲ ﺩﺭ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺑﺮﺍﻱ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺩﺭﺏﻫﺎﻱ ﻣﺨﻔﻲ ﻛﺎﺭﻱ ﻣﺸﻜﻞ ﺍﺳﺖ‪ .‬ﻣﻌﻴﺎﺭﻫﺎﻱ‬
‫ﺍﻣﻨﻴﺖ ﺑﺎﻳﺴﺘﻲ ﺑﺮ ﺗﻮﺳﻌﺔ ﺑﺮﻧﺎﻣﻪ ﻭ ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻧﺮﻡﺍﻓﺰﺍﺭ‪ ،‬ﻧﻈﺎﺭﺕ ﺩﻗﻴﻖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﺑﻤﺐ ﻻﺟﻴﻚ )‪(Logic Bomb‬‬

‫ﻳﻜﻲ ﺍﺯ ﻗﺪﻳﻤﻲﺗﺮﻳﻦ ﺍﻧﻮﺍﻉ ﺗﻬﺪﻳﺪﻫﺎﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻛﻪ ﻗﺒﻞ ﺍﺯ ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﻛِﺮﻡﻫﺎ ﻭﺟﻮﺩ ﺩﺍﺷﺖ ﻭ ﻫﻢ ﺍﻛﻨﻮﻥ ﻧﻴﺰ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ‬
‫ﻣﻲﺷﻮﺩ‪ ،‬ﺑﻤﺐ ﻻﺟﻴﻚ ﺍﺳﺖ‪ .‬ﺑﻤﺐ ﻻﺟﻴﻚ ﺑﺼﻮﺭﺕ ﻳﻚ ﻛﹸﺪ ﺩﺭ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻛﺎﻣﻼﹰ ﻗﺎﻧﻮﻧﻲ ﺗﻌﺒﻴﻪ ﺷﺪﻩ ﻭ ﻃﻮﺭﻱ ﺗﻨﻈﻴﻢ ﻣﻲﮔﺮﺩﺩ ﻛﻪ‬
‫ﺩﺭ ﺻﻮﺭﺕ ﺣﺼﻮﻝ ﺷﺮﺍﻳﻂ ﺧﺎﺻﻲ »ﻣﻨﻔﺠﺮ ﮔﺮﺩﺩ«‪ .‬ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﺷﺮﺍﻳﻂ ﺧﺎﺹ ﻛﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﻤﺐ ﺭﺍ ﻣﻨﻔﺠﺮ ﺳﺎﺯﻧﺪ‪ ،‬ﺣﻀﻮﺭ ﻭ ﻳﺎ ﻋﺪﻡ‬
‫ﺣﻀﻮﺭ ﻓﺎﻳﻞﻫﺎﻱ ﻣﺸﺨﺺ‪ ،‬ﺭﻭﺯ ﺧﺎﺻﻲ ﺍﺯ ﻫﻔﺘﻪ ﻭ ﻳﺎ ﺗﺎﺭﻳﺦ ﻣﺸﺨﺼﻲ ﺍﺯ ﺳﺎﻝ ﻭ ﻳﺎ ﺣﺘﻲ ﻫﻨﮕﺎﻡ ﺍﺳﺘﻔﺎﺩﺓ ﻓﺮﺩ ﻣﺸﺨﺼﻲ ﺍﺯ ﺑﺮﻧﺎﻣﻪ ﺍﺳﺖ‪.‬‬
‫ﻭﻗﺘﻲ ﭼﺎﺷﻨﻲ ﺑﻤﺐ ﺭﻭﺷﻦ ﺷﻮﺩ‪ ،‬ﺑﻤﺐ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺨﺸﻲ ﺍﺯ ﺩﻳﺘﺎ ﻭ ﻳﺎ ﺗﻤﺎﻡ ﻓﺎﻳﻞﻫﺎ ﺭﺍ ﺗﻐﻴﻴﺮ ﺩﺍﺩﻩ ﻭ ﻳﺎ ﭘﺎﻙ ﻛﻨﺪ‪ ،‬ﺑﺎﻋﺚ ﺗﻮﻗﻒ ﺳﻴﺴﺘﻢ‬
‫ﺷﺪﻩ ﻭ ﻳﺎ ﺻﺪﻣﺎﺕ ﺩﻳﮕﺮﻱ ﺭﺍ ﺑﺠﺎ ﮔﺬﺍﺭﺩ‪ .‬ﻣﺜﺎﻝ ﺧﻴﺮﻩﻛﻨﻨﺪﻩﺍﻱ ﺍﺯ ﺍﻳﻨﻜﻪ ﭼﮕﻮﻧﻪ ﺑﻤﺐﻫﺎﻱ ﻻﺟﻴﻚ ﻣﻲﺗﻮﺍﻧﻨﺪ ﻋﻤﻞ ﻛﻨﻨﺪ ﻣﺮﺑﻮﻁ ﺑﻪ‬
‫ﻣﻮﺭﺩ ‪ Tim Lloyd‬ﺍﺳﺖ ﻛﻪ ﺑﺎ ﺍﺭﺳﺎﻝ ﻳﻚ ﺑﻤﺐ ﻻﺟﻴﻚ‪ ،‬ﻛﺎﺭﻓﺮﻣﺎﻱ ﺧﻮﺩ ﻳﻌﻨﻲ ﺷﺮﻛﺖ ‪ Omega Engineering‬ﺭﺍ ﺑﺎ ﺑﻴﺶ ﺍﺯ‬
‫ﺩﻩ ﻣﻴﻠﻴﻮﻥ ﺩﻻﺭ ﺧﺴﺎﺭﺕ ﻣﻮﺍﺟﻪ ﻛﺮﺩ‪ .‬ﻋﻤﻞ ﺍﻭ ﺍﺳﺘﺮﺍﺗﮋﻱ ﺭﺷﺪ ﺳﺎﺯﻣﺎﻥ ﺭﺍ ﻣﺨﺘﻞ ﻧﻤﻮﺩﻩ ﻭ ﻧﻬﺎﻳﺘﺎﹰ ﺑﻪ ﺑﻴﻜﺎﺭ ﺷﺪﻥ ‪ ۸۰‬ﻛﺎﺭﮔﺮ‬
‫ﺍﻧﺠﺎﻣﻴﺪ]‪ Lloyd .[GAUD00‬ﻧﻬﺎﻳﺘﺎﹰ ﺑﻪ ‪ ۴۱‬ﻣﺎﻩ ﺯﻧﺪﺍﻥ ﻭ ﭘﺮﺩﺍﺧﺖ ﺩﻭ ﻣﻴﻠﻴﻮﻥ ﺩﻻﺭ ﻏﺮﺍﻣﺖ ﻣﺤﻜﻮﻡ ﮔﺮﺩﻳﺪ‪.‬‬
‫ﺍﺳﺐﻫﺎﻱ ﺗﺮﻭﺍ )‪(Trojan Horses‬‬

‫ﻳﻚ ﺍﺳﺐ ﺗﺮﻭﺍ‪ ،‬ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻳﺎ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻓﺮﻣﺎﻥﻫﺎﻱ ﻣﻔﻴﺪ ﻭ ﻳﺎ ﻇﺎﻫﺮﺍﹰ ﻣﻔﻴﺪ ﺍﺳﺖ ﻛﻪ ﺷﺎﻣﻞ ﻛﹸﺪﻫﺎﻱ ﭘﻨﻬﺎﻧﻲ ﺑﻮﺩﻩ ﻭ ﻭﻗﺘﻲ‬
‫ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﻮﺩ ﻋﻤﻞ ﻧﺎﺧﻮﺍﺳﺘﻪ ﻭ ﻳﺎ ﻣﻀﺮﻱ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﻫﺪ‪.‬‬
‫ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺍﺳﺐ ﺗﺮﻭﺍ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﻤﻨﻈﻮﺭ ﺍﻧﺠﺎﻡ ﻏﻴﺮﻣﺴﺘﻘﻴﻢ ﻋﻤﻠﻲ ﺑﻜﺎﺭ ﺭﻭﻧﺪ ﻛﻪ ﻛﺎﺭﺑﺮ ﻏﻴﺮﻣﺠﺎﺯ ﻧﻤﻲﺗﻮﺍﻧﺪ ﺁﻥ ﺭﺍ ﺑﺼﻮﺭﺕ‬
‫ﻣﺴﺘﻘﻴﻢ ﺍﻧﺠﺎﻡ ﺩﻫﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻓﺎﻳﻞﻫﺎﻱ ﻛﺎﺭﺑﺮ ﺩﻳﮕﺮﻱ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﺍﺷﺘﺮﺍﻛﻲ‪ ،‬ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ‬
‫ﺑﺮﻧﺎﻣﺔ ﺍﺳﺐ ﺗﺮﻭﺍ ﺭﺍ ﻃﻮﺭﻱ ﻃﺮﺍﺣﻲ ﻧﻤﺎﻳﺪ ﻛﻪ ﻭﻗﺘﻲ ﺍﺟﺮﺍ ﺷﻮﺩ ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﺧﻮﺍﻧﺪﻥ ﻓﺎﻳﻞﻫﺎﻱ ﻛﺎﺭﺑﺮ ﺩﻳﮕﺮ ﺭﺍ ﺍﺯ ﺑﻴﻦ ﺑﺮﺩﻩ ﻭ ﻓﺎﻳﻞﻫﺎ‬
‫ﺑﺘﻮﺳﻂ ﻫﻤﺔ ﻛﺎﺭﺑﺮﺍﻥ ﺩﻳﮕﺮ ﻗﺎﺑﻞ ﺩﺳﺖﻳﺎﺑﻲ ﺷﻮﻧﺪ‪ .‬ﻧﻮﻳﺴﻨﺪﺓ ﺑﺮﻧﺎﻣﻪ ﺁﻧﮕﺎﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎ ﻗﺮﺍﺭﺩﺍﺩﻥ ﺑﺮﻧﺎﻣﺔ ﺧﻮﺩ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﻣﻔﻴﺪ‬
‫ﺩﺭ ﻳﻚ ﻓﻬﺮﺳﺖ ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﮔﺬﺍﺷﺘﻪ ﺷﺪﻩ ﻭ ﺩﺍﺩﻥ ﻧﺎﻡ ﺍﻏﻮﺍﻛﻨﻨﺪﻩﺍﻱ ﺑﻪ ﺁﻥ‪ ،‬ﻛﺎﺭﺑﺮﺍﻥ ﺩﻳﮕﺮ ﺭﺍ ﺑﻪ ﺍﺟﺮﺍﻱ ﺑﺮﻧﺎﻣﻪ ﺗﺮﻏﻴﺐ ﻧﻤﺎﻳﺪ‪ .‬ﻣﺜﺎﻟﻲ‬
‫ﺍﺯ ﺍﻳﻦ ﻣﻮﺭﺩ ﺑﺮﻧﺎﻣﻪﺍﻱ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺍﻧﺪ ﺑﻄﻮﺭ ﻭﺍﺿﺢ ﻟﻴﺴﺘﻲ ﺍﺯ ﻓﺎﻳﻞﻫﺎﻱ ﻛﺎﺭﺑﺮ ﺭﺍ ﺑﺎ ﻓﺮﻣﺖ ﺩﻟﺨﻮﺍﻫﻲ ﺗﻬﻴﻪ ﻧﻤﺎﻳﺪ‪ .‬ﭘﺲ ﺍﺯ ﺍﻳﻨﻜﻪ ﻛﺎﺭﺑﺮ‬
‫ﺩﻳﮕﺮﻱ ﺍﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺭﺍ ﺍﺟﺮﺍ ﻧﻤﻮﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﻧﻮﻳﺴﻨﺪﺓ ﺑﺮﻧﺎﻣﻪ ﺧﻮﺍﻫﺪ ﺗﻮﺍﻧﺴﺖ ﺑﻪ ﺍﻃﻼﻋﺎﺕ ﻣﻮﺟﻮﺩ ﺩﺭ ﻓﺎﻳﻞ ﺍﻭ ﺩﺳﺖ ﻳﺎﺑﺪ‪ .‬ﻣﺜﺎﻟﻲ ﺍﺯ ﻳﻚ‬
‫ﺑﺮﻧﺎﻣﺔ ﺍﺳﺐ ﺗﺮﻭﺍ ﻛﻪ ﺗﺸﺨﻴﺺ ﺁﻥ ﻣﺸﻜﻞ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ ،‬ﺑﺮﻧﺎﻣﺔ ﻛﺎﻣﭙﺎﻳﻠﺮﻱ ﺍﺳﺖ ﻛﻪ ﻃﻮﺭﻱ ﺩﺳﺘﻜﺎﺭﻱ ﺷﺪﻩ ﺑﺎﺷﺪ ﻛﻪ ﺩﺭ ﻫﻨﮕﺎﻡ‬
‫ﻛﺎﻣﭙﺎﻳﻞ ﻛﺮﺩﻥ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺧﺎﺻﻲ ﻫﻤﺎﻧﻨﺪ ﺑﺮﻧﺎﻣﺔ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ‪ ،‬ﻳﻚ ﻛﹸﺪ ﺭﺍ ﻭﺍﺭﺩ ﺁﻥ ﻧﻤﺎﻳﺪ]‪ .[THOM84‬ﺍﻳﻦ ﻛﹸﺪ ﻳﻚ ﺩﺭﺏ‬
‫‪٣٧٣‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬
‫ﻣﺨﻔﻲ ﺩﺭ ﺑﺮﻧﺎﻣﺔ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ)‪ (login‬ﺍﻳﺠﺎﺩ ﻛﺮﺩﻩ ﻛﻪ ﺑﻪ ﻧﻮﻳﺴﻨﺪﺓ ﺑﺮﻧﺎﻣﻪ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﻛﻪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺑﺨﺼﻮﺻﻲ‬
‫ﻭﺍﺭﺩ ﺳﻴﺴﺘﻢ ﺷﻮﺩ‪ .‬ﺑﺎ ﺧﻮﺍﻧﺪﻥ ﻣﺘﻦ ﺍﺻﻠﻲ ﺑﺮﻧﺎﻣﺔ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ‪ ،‬ﻫﺮﮔﺰ ﻧﻤﻲﺗﻮﺍﻥ ﺑﻪ ﻭﺟﻮﺩ ﺍﻳﻦ ﺍﺳﺐ ﺗﺮﻭﺍ ﭘﻲﺑﺮﺩ‪.‬‬
‫ﻣﺤﺮﻙ ﺑﺴﻴﺎﺭ ﻣﻌﻤﻮﻝ ﺩﻳﮕﺮ ﺩﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﺳﺐ ﺗﺮﻭﺍ‪ ،‬ﺗﺨﺮﻳﺐ ﺩﺍﺩﻩﻫﺎﺳﺖ‪ .‬ﻇﺎﻫﺮﺍﹰ ﺑﻨﻈﺮ ﺧﻮﺍﻫﺪ ﺭﺳﻴﺪ ﻛﻪ ﺑﺮﻧﺎﻣﻪ ﻛﺎﺭ ﻣﻔﻴﺪﻱ‬
‫ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ)ﻣﺜﻼﹰ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﻣﺎﺷﻴﻦ ﺣﺴﺎﺏ(‪ ،‬ﻭﻟﻲ ﺑﺮﻧﺎﻣﻪ ﺩﺭ ﺧﻔﺎ ﻓﺎﻳﻞﻫﺎﻱ ﻛﺎﺭﺑﺮ ﺭﺍ ﭘﺎﻙ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﻳﻜﻲ ﺍﺯ ﻣﺪﻳﺮﺍﻥ‬
‫ﺷﺒﻜﺔ ‪ CBS‬ﺑﺎ ﺍﺳﺐ ﺗﺮﻭﺍﺋﻲ ﻣﻮﺭﺩ ﺣﻤﻠﻪ ﻗﺮﺍﺭ ﮔﺮﻓﺖ ﻛﻪ ﺗﻤﺎﻡ ﺣﺎﻓﻈﺔ ﻛﺎﻣﭙﻴﻮﺗﺮﺵ ﺭﺍ ﭘﺎﻙ ﻧﻤﻮﺩ ]‪ .[TIME90‬ﺍﺳﺐ ﺗﺮﻭﺍ ﺩﺭ ﻳﻚ‬
‫ﺑﺮﻧﺎﻣﺔ ﮔﺮﺍﻓﻴﻜﻲ ﻛﻪ ﺩﺭ ﻳﻚ ‪ BBS‬ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺁﮔﻬﻲ ﺷﺪﻩ ﺑﻮﺩ ﻗﺮﺍﺭ ﺩﺍﺷﺖ‪.‬‬
‫ﺯﺍﻣﺒﻲ )‪(Zombie‬‬
‫ﻳﻚ ﺯﺍﻣﺒﻲ ﺑﺮﻧﺎﻣﻪﺍﻱ ﺍﺳﺖ ﻛﻪ ﺑﻄﻮﺭ ﻣﺨﻔﻴﺎﻧﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺩﻳﮕﺮﻱ ﺭﺍ ﻛﻪ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﻭﺻﻞ ﺍﺳﺖ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﮔﺮﻓﺘﻪ ﻭ ﺍﺯ ﻃﺮﻳﻖ‬
‫ﺁﻥ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺣﻤﻼﺗﻲ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﻫﺪ ﻛﻪ ﺣﺘﻲ ﺑﺮﺍﻱ ﺧﻮﺩ ﺧﻠﻖﻛﻨﻨﺪﺓ ﺯﺍﻣﺒﻲ ﻧﻴﺰ ﺩﻧﺒﺎﻝ ﻛﺮﺩﻥ ﺁﻥ ﺩﺷﻮﺍﺭ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺍﺯ ﺯﺍﻣﺒﻲﻫﺎ ﺩﺭ‬
‫ﺣﻤﻼﺕ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ ﻭ ﻣﻌﻤﻮﻻﹰ ﻋﻠﻴﻪ ﻭِﺏ ﺳﺎﻳﺖﻫﺎ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺯﺍﻣﺒﻲ ﺭﻭﻱ ﺻﺪﻫﺎ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﺘﻌﻠﻖ ﺑﻪ ﺍﻓﺮﺍﺩ ﻏﻴﺮﻣﺸﻜﻮﻙ ﻻﻧﻪ‬
‫ﻛﺮﺩﻩ ﻭ ﺁﻧﮕﺎﻩ ﺑﺎ ﺍﻳﺠﺎﺩ ﻳﻚ ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ ﺍﺯ ﺗﺮﺍﻓﻴﻚ ﺍﻳﻨﺘﺮﻧﺘﻲ ﺭﻭﻱ ﻭِﺏ ﺳﺎﻳﺖ ﻫﺪﻑ‪ ،‬ﻛﺎﺭ ﺁﻥ ﺭﺍ ﻣﺨﺘﻞ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺑﺨﺶ ‪۱۰-۳‬‬
‫ﺯﺍﻣﺒﻲﻫﺎ ﺭﺍ ﺩﺭ ﺣﻮﺯﺓ ﺣﻤﻼﺕ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻣﺎﻫﻴﺖ ﻭﻳﺮﻭﺱﻫﺎ‬
‫ﻳﻚ ﻭﻳﺮﻭﺱ‪ ،‬ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺍﺳﺖ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺳﺎﻳﺮ ﺑﺮﻧﺎﻣﻪﻫﺎ ﺭﺍ ﺍﺯ ﻃﺮﻳﻖ ﺩﺳﺘﻜﺎﺭﻱ ﺁﻧﻬﺎ »ﺁﻟﻮﺩﻩ« ﺳﺎﺯﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﺟﺮﺡ ﻭ ﺗﻌﺪﻳﻞ ﻛﭙﻲ‬
‫ﺩﻳﮕﺮﻱ ﺍﺯ ﻭﻳﺮﻭﺱ ﺍﻳﺠﺎﺩ ﻣﻲﺷﻮﺩ ﻛﻪ ﺑﻌﺪﺍﹰ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺩﻳﮕﺮ ﺭﺍ ﺁﻟﻮﺩﻩ ﻛﻨﺪ‪.‬‬
‫ﻭﻳﺮﻭﺱﻫﺎﻱ ﺑﻴﻮﻟﻮﮊﻳﻚ‪ ،‬ﺗﻜﻪﻫﺎﻱ ﻛﻮﭼﻜﻲ ﺍﺯ ﻛﹸﺪﻫﺎﻱ ﮊﻧﺘﻴﻚ ﻫﺴﺘﻨﺪ‪ DNA -‬ﻳﺎ ‪ - RNA‬ﻛﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺳﺎﺯﻭﻛﺎﺭ ﻳﻚ ﺳﻠﻮﻝ‬
‫ﺯﻧﺪﻩ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﮔﺮﻓﺘﻪ ﻭ ﺑﺎ ﺩﻭﺯ ﻭ ﻛﻠﻚ ﺁﻥ ﺭﺍ ﻭﺍﺩﺍﺭ ﺳﺎﺯﻧﺪ ﺗﺎ ﻫﺰﺍﺭﺍﻥ ﻧﻤﻮﻧﻪ ﻣﻌﻴﻮﺏ ﺍﺯ ﻭﻳﺮﻭﺱ ﺍﻭﻟﻴﻪ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﻨﺪ‪ .‬ﻫﻤﺎﻧﻨﺪ ﻫﻤﺰﺍﺩ‬
‫ﺑﻴﻮﻟﻮﮊﻳﻜﻲ ﺧﻮﺩ‪ ،‬ﻳﻚ ﻭﻳﺮﻭﺱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﺩﺭ ﻛﹸﺪ ﺧﻮﺩ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻞ ﺳﺎﺧﺖ ﻧﻤﻮﻧﻪﻫﺎﻱ ﻳﻜﺴﺎﻧﻲ ﺍﺯ ﺧﻮﺩ ﺭﺍ ﺣﻤﻞ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ ﺍﺳﺘﻘﺮﺍﺭ‬
‫ﺩﺭ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﻴﺰﺑﺎﻥ‪ ،‬ﻭﻳﺮﻭﺱ ﻛﻨﺘﺮﻝ ﻣﻮﻗﺖ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺩﻳﺴﻚ)‪ (DOS‬ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺳﭙﺲ ﻫﺮﮔﺎﻩ ﺍﻳﻦ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺁﻟﻮﺩﻩ‬
‫ﺑﺎ ﻧﺮﻡﺍﻓﺰﺍﺭ ﻏﻴﺮﺁﻟﻮﺩﻩﺍﻱ ﺗﻤﺎﺱ ﻳﺎﺑﺪ‪ ،‬ﻳﻚ ﻛﭙﻲ ﺟﺪﻳﺪ ﺍﺯ ﻭﻳﺮﻭﺱ ﺑﻪ ﺑﺮﻧﺎﻣﺔ ﺟﺪﻳﺪ ﻣﻨﺘﻘﻞ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﺁﻟﻮﺩﮔﻲ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺘﻮﺳﻂ‬
‫ﻛﺎﺭﺑﺮﺍﻥ ﻏﻴﺮﻣﺸﻜﻮﻙ ﻛﻪ ﻣﺸﻐﻮﻝ ﺗﺒﺎﺩﻝ ﺑﺮﻧﺎﻣﻪ ﺭﻭﻱ ﻳﻚ ﺷﺒﻜﻪ ﻫﺴﺘﻨﺪ ﺍﺯ ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺩﻳﮕﺮ ﮔﺴﺘﺮﺵ ﻳﺎﺑﺪ‪ .‬ﺩﺭ ﻣﺤﻴﻂ‬
‫ﻳﻚ ﺷﺒﻜﻪ‪ ،‬ﻗﺎﺑﻠﻴﺖ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻭ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺳﻴﺴﺘﻢ ﻛﻪ ﺭﻭﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ‪ ،‬ﺍﺳﺘﻌﺪﺍﺩ ﺑﺎﻻﺋﻲ ﺭﺍ‬
‫ﺑﺮﺍﻱ ﮔﺴﺘﺮﺵ ﻳﻚ ﻭﻳﺮﻭﺱ ﺑﻪ ﻭﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ‪.‬‬
‫ﻳﻚ ﻭﻳﺮﻭﺱ ﻣﻲﺗﻮﺍﻧﺪ ﻫﺮ ﻛﺎﺭﻱ ﺭﺍ ﻛﻪ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺩﻳﮕﺮ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﻨﺪ‪ ،‬ﺍﻧﺠﺎﻡ ﺩﻫﺪ‪ .‬ﺗﻨﻬﺎ ﻓﺮﻕ ﺁﻥ ﺑﺎ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺩﻳﮕﺮ ﺍﻳﻦ‬
‫ﺍﺳﺖ ﻛﻪ ﺧﻮﺩ ﺭﺍ ﺑﻪ ﺑﺮﻧﺎﻣﺔ ﺩﻳﮕﺮﻱ ﭼﺴﺒﺎﻧﺪﻩ ﻭ ﻭﻗﺘﻲ ﺁﻥ ﺑﺮﻧﺎﻣﻪ ﺍﺟﺮﺍ ﻣﻲﺷﻮﺩ ﻭﻳﺮﻭﺱ ﻧﻴﺰ ﻣﺨﻔﻴﺎﻧﻪ ﻛﺎﺭ ﺧﻮﺩ ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪ .‬ﻭﻗﺘﻲ‬
‫ﻭﻳﺮﻭﺱ ﻓﻌﺎﻝ ﺷﻮﺩ‪ ،‬ﻣﻲﺗﻮﺍﻧﺪ ﻫﺮ ﻋﻤﻠﻲ ﻣﺜﻞ ﭘﺎﻙ ﻛﺮﺩﻥ ﻓﺎﻳﻞﻫﺎ ﻭ ﺑﺮﻧﺎﻣﻪﻫﺎ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﻫﺪ‪.‬‬
‫ﺩﺭ ﻃﻮﻝ ﺯﻣﺎﻥ ﺣﻴﺎﺕ ﺧﻮﺩ‪ ،‬ﻳﻚ ﻭﻳﺮﻭﺱ ﺍﺯ ﭼﻬﺎﺭ ﻓﺎﺯ ﻣﺨﺘﻠﻒ ﻋﺒﻮﺭ ﻣﻲﻛﻨﺪ‪:‬‬
‫ﻓﺎﺯ ﺧﻔﺘﻦ‪ :‬ﺩﺭ ﺍﻳﻦ ﻓﺎﺯ ﻭﻳﺮﻭﺱ ﺧﻔﺘﻪ ﺍﺳﺖ ﻭﻟﻲ ﺑﺎﻻﺧﺮﻩ ﺑﺘﻮﺳﻂ ﻭﺍﻗﻌﻪﺍﻱ ﻣﺎﻧﻨﺪ ﺭﺳﻴﺪﻥ ﺗﺎﺭﻳﺦ ﻣﺸﺨﺼﻲ‪ ،‬ﺣﻀﻮﺭ ﺑﺮﻧﺎﻣﻪ‬ ‫•‬
‫ﻭ ﻳﺎ ﻓﺎﻳﻞ ﺩﻳﮕﺮﻱ‪ ،‬ﻭ ﻳﺎ ﻋﺒﻮﺭ ﻇﺮﻓﻴﺖ ﺩﻳﺴﻚ ﺳﺨﺖ ﺍﺯ ﺣﺪ ﻣﻌﻴﻨﻲ ﺑﻴﺪﺍﺭ ﻭ ﻓﻌﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﻫﻤﻪ ﻭﻳﺮﻭﺱﻫﺎ ﺍﺯ ﺍﻳﻦ ﻣﺮﺣﻠﻪ‬
‫ﻋﺒﻮﺭ ﻧﻤﻲﻛﻨﻨﺪ‪.‬‬
‫ﻓﺎﺯ ﺍﻧﺘﺸﺎﺭ‪ :‬ﻭﻳﺮﻭﺱ ﻳﻚ ﻛﭙﻲ ﻛﺎﻣﻼﹰ ﻣﺸﺎﺑﻪ ﺑﺎ ﺧﻮﺩ ﺭﺍ ﺩﺭ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺩﻳﮕﺮ ﻭ ﻳﺎ ﺑﺨﺶﻫﺎﻱ ﻣﻌﻴﻨﻲ ﺍﺯ ﺩﻳﺴﻚ ﺑﻮﺟﻮﺩ‬ ‫•‬
‫ﻣﻲﺁﻭﺭﺩ‪ .‬ﻫﺮ ﺑﺮﻧﺎﻣﻪ ﺁﻟﻮﺩﻩ ﺷﺪﻩ ﺧﻮﺩ ﺷﺎﻣﻞ ﻭﻳﺮﻭﺱ ﻣﺸﺎﺑﻪﺍﻱ ﺑﻮﺩﻩ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﻭﺍﺭﺩ ﻓﺎﺯ ﺍﻧﺘﺸﺎﺭ ﺷﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٧٤‬‬
‫ﻓﺎﺯ ﺷﺮﻭﻉ ﺑﻪ ﻓﻌﺎﻟﻴﺖ‪ :‬ﻭﻳﺮﻭﺱ ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﻋﻤﻠﻲ ﻛﻪ ﺑﺮﺍﻱ ﺁﻥ ﺧﻠﻖ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻓﻌﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﻫﻤﺎﻧﻨﺪ ﻓﺎﺯ ﺧﻔﺘﻦ‪ ،‬ﺍﻳﻦ‬ ‫•‬
‫ﻓﺎﺯ ﻧﻴﺰ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺘﻮﺳﻂ ﻭﻗﺎﻳﻊ ﻣﺘﻨﻮﻋﻲ ﺍﺯ ﻗﺒﻴﻞ ﺷﻤﺎﺭﺵ ﺗﻌﺪﺍﺩ ﺩﻓﻌﺎﺗﻲ ﻛﻪ ﺍﻳﻦ ﻭﻳﺮﻭﺱ ﺷﺒﻴﻪ ﺧﻮﺩ ﺭﺍ ﺍﻳﺠﺎﺩ ﻛﺮﺩﻩ ﺍﺳﺖ‪،‬‬
‫ﻓﻌﺎﻝ ﺷﻮﺩ‪.‬‬
‫ﻓﺎﺯ ﺍﺟﺮﺍ‪ :‬ﻭﻳﺮﻭﺱ ﻛﺎﺭ ﺧﻮﺩ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﺍﺳﺖ‪ .‬ﻧﺘﻴﺠﺔ ﺍﻳﻦ ﻋﻤﻞ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺪﻭﻥ ﺧﻄﺮ‪ ،‬ﻫﻤﺎﻧﻨﺪ ﻇﺎﻫﺮﺷﺪﻥ ﻳﻚ ﭘﻴﺎﻡ‬ ‫•‬
‫ﺭﻭﻱ ﻣﻮﻧﻴﺘﻮﺭ‪ ،‬ﻭ ﻳﺎ ﺧﻄﺮﻧﺎﻙ ﻣﺎﻧﻨﺪ ﺁﺳﻴﺐ ﺯﺩﻥ ﻭ ﻳﺎ ﺗﺨﺮﻳﺐ ﺑﺮﻧﺎﻣﻪﻫﺎ ﻭ ﻳﺎ ﻓﺎﻳﻞﻫﺎ ﺑﺎﺷﺪ‪ .‬ﻣﺜﺎﻝﻫﺎﻱ ﺩﻳﮕﺮ ﺍﺯ ﺗﺨﺮﻳﺐ‪،‬‬
‫ﺍﺷﻐﺎﻝ ﻓﻀﺎﻱ ﺣﺎﻓﻈﻪ‪ ،‬ﺍﻳﺠﺎﺩ ﺗﻨﺎﻗﻀﺎﺕ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻭ ﺳﺨﺖﺍﻓﺰﺍﺭﻱ‪ ،‬ﻭ ﻳﺎ ﺭﻓﺘﺎﺭ ﻏﻴﺮﻧﺮﻣﺎﻝ ﺳﻴﺴﺘﻢ ﺍﺳﺖ‪.‬‬
‫ﺑﻴﺸﺘﺮ ﻭﻳﺮﻭﺱﻫﺎ ﻛﺎﺭ ﺧﻮﺩ ﺭﺍ ﻃﻮﺭﻱ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﻨﺪﻛﻪ ﻣﺨﺘﺺ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺧﺎﺹ ﻭ ﻳﺎ ﺩﺭ ﺑﻌﻀﻲ ﻣﻮﺍﺭﺩ ﭘﺎﻳﺔ ﺳﺨﺖﺍﻓﺰﺍﺭﻱ‬
‫ﻣﺸﺨﺼﻲ ﺍﺳﺖ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺁﻧﻬﺎ ﻃﻮﺭﻱ ﻃﺮﺍﺣﻲ ﻣﻲﺷﻮﻧﺪ ﻛﻪ ﺍﺯ ﺟﺰﺋﻴﺎﺕ ﻭ ﻧﻘﺎﻁ ﺿﻌﻒ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺑﺨﺼﻮﺹ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﻨﺪ‪.‬‬
‫ﺳﺎﺧﺘﺎﺭ ﻭﻳﺮﻭﺱ‬
‫ﻳﻚ ﻭﻳﺮﻭﺱ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﺍﺑﺘﺪﺍﻱ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﺍﺟﺮﺍﺋﻲ ﻭ ﻳﺎ ﺍﻧﺘﻬﺎﻱ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﺍﺟﺮﺍﺋﻲ ﻭﺻﻞ ﮔﺮﺩﺩ ﻭ ﻳﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻄﺮﻳﻖ‬
‫ﺩﻳﮕﺮﻱ ﺩﺭ ﺩﺭﻭﻥ ﺑﺮﻧﺎﻣﻪ ﺟﺎﻱ ﺩﺍﺩﻩ ﺷﻮﺩ‪ .‬ﻧﻜﺘﺔ ﺍﺻﻠﻲ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻭﻗﺘﻲ ﺑﺮﻧﺎﻣﺔ ﺁﻟﻮﺩﻩ ﺑﻪ ﻭﻳﺮﻭﺱ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ‪،‬‬
‫ﺍﻭﻝ ﻛﹸﺪﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﻭﻳﺮﻭﺱ ﺍﺟﺮﺍ ﺷﺪﻩ ﻭ ﺳﭙﺲ ﻛﹸﺪﻫﺎﻱ ﺑﺮﻧﺎﻣﻪ ﺍﺟﺮﺍ ﻣﻲﮔﺮﺩﻧﺪ‪.‬‬
‫ﻳﻚ ﻓﺮﻡ ﺑﺴﻴﺎﺭ ﻋﻤﻮﻣﻲ ﺍﺯ ﺳﺎﺧﺘﺎﺭ ﻭﻳﺮﻭﺱ ﺩﺭ ﺷﻜﻞ ‪ ۱۰-۱‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ )ﺑﺮ ﻣﺒﻨﺎﻱ ]‪ .([COHE94‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ‬
‫ﻛﹸﺪ ﻭﻳﺮﻭﺱ ‪ V‬ﺩﺭ ﺍﺑﺘﺪﺍﻱ ﺑﺮﻧﺎﻣﻪ ﺍﺟﺮﺍﺋﻲ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺍﺳﺖ ﻭ ﻓﺮﺽ ﺑﺮ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻧﻘﻄﺔ ﻭﺭﻭﺩ ﺑﻪ ﺑﺮﻧﺎﻣﻪ‪ ،‬ﺧﻂ ﺍﻭﻝ ﺁﻥ ﺍﺳﺖ‪.‬‬
‫=‪program V :‬‬
‫;‪{goto main‬‬
‫;‪1234567‬‬
‫=‪subroutine infect-executable :‬‬

‫‪{loop:‬‬
‫;‪file := get-random-executable-file‬‬
‫)‪if (first-line-of-file = 1234567‬‬
‫‪then goto loop‬‬
‫} ;‪else prepend V to file‬‬
‫=‪subroutine do-damage :‬‬

‫}‪{whatever damage is to be done‬‬
‫=‪subroutine trigger-pulled :‬‬

‫}‪{return true if some condition holds‬‬
‫‪main:‬‬ ‫=‪main-program :‬‬

‫;‪{infect-executable‬‬
‫;‪if trigger-pulled then do-damage‬‬
‫};‪goto next‬‬
‫‪next:‬‬
‫}‬
‫ﻳﻚ ﻭﻳﺮﻭﺱ ﺳﺎﺩﻩ‬ ‫ﺷﻜﻞ ‪۱۰-۱‬‬

‫‪٣٧٥‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬
‫ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﺁﻟﻮﺩﻩ ﺑﺎ ﻛﹸﺪ ﻣﺮﺑﻮﻁ ﺑﻪ ﻭﻳﺮﻭﺱ ﺷﺮﻭﻉ ﺷﺪﻩ ﻭ ﭼﻨﻴﻦ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻭﻟﻴﻦ ﺧﻂ‪ ،‬ﻛﹸﺪ ﭘﺮﺵ ﺑﻪ ﺑﺮﻧﺎﻣﺔ ﺍﺻﻠﻲ ﻭﻳﺮﻭﺱ‬
‫ﺍﺳﺖ‪ .‬ﺧﻂ ﺩﻭﻡ ﻧﺸﺎﻧﮕﺮ ﺧﺎﺻﻲ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻭﻳﺮﻭﺱ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺗﺎ ﻣﺸﺨﺺ ﺷﻮﺩ ﻛﻪ ﺁﻳﺎ ﻗﺮﺑﺎﻧﻲ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺒﻼﹰ‬
‫ﺑﺎ ﺍﻳﻦ ﻭﻳﺮﻭﺱ ﺁﻟﻮﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ﻳﺎ ﺧﻴﺮ‪ .‬ﻭﻗﺘﻲ ﺑﺮﻧﺎﻣﻪ ﺍﺣﻀﺎﺭ ﻣﻲﺷﻮﺩ‪،‬ﻛﻨﺘﺮﻝ ﺑﻼﻓﺎﺻﻠﻪ ﺑﻪ ﺑﺮﻧﺎﻣﺔ ﻭﻳﺮﻭﺱ ﻣﻨﺘﻘﻞ ﻣﻲﺷﻮﺩ‪ .‬ﺑﺮﻧﺎﻣﺔ‬
‫ﻭﻳﺮﻭﺱ ﺑﻪ ﺩﻧﺒﺎﻝ ﻓﺎﻳﻞﻫﺎﻱ ﺍﺟﺮﺍﺋﻲ ﺁﻟﻮﺩﻩ ﻧﺸﺪﻩ ﻣﻲﮔﺮﺩﺩ ﻭ ﺁﻧﻬﺎ ﺭﺍ ﺁﻟﻮﺩﻩ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺳﭙﺲ ﻭﻳﺮﻭﺱ ﻣﻤﻜﻦ ﺍﺳﺖ ﻋﻤﻠﻲ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﻫﺪ‬
‫ﻛﻪ ﻣﻌﻤﻮﻻﹰ ﺑﺮﺍﻱ ﺳﻴﺴﺘﻢ ﺯﻳﺎﻥﺁﻭﺭ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻋﻤﻞ ﻣﻲﺗﻮﺍﻧﺪ ﻫﺮﺑﺎﺭ ﻛﻪ ﺑﺮﻧﺎﻣﻪ ﺍﺣﻀﺎﺭ ﻣﻲﺷﻮﺩ ﺻﻮﺭﺕ ﭘﺬﻳﺮﻓﺘﻪ ﻭ ﻳﺎ ﻳﻚ ﺑﻤﺐ ﻻﺟﻴﻚ‬
‫ﺑﺎﺷﺪ ﻛﻪ ﺗﻨﻬﺎ ﺗﺤﺖ ﺷﺮﺍﻳﻂ ﺧﺎﺻﻲ ﻋﻤﻞ ﻛﻨﺪ‪ .‬ﺑﺎﻻﺧﺮﻩ ﻭﻳﺮﻭﺱ ﻛﻨﺘﺮﻝ ﺭﺍ ﺑﻪ ﺑﺮﻧﺎﻣﺔ ﺍﻭﻟﻴﻪ ﻣﻨﺘﻘﻞ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺍﮔﺮ ﻓﺎﺯ ﺁﻟﻮﺩﻩﺳﺎﺯﻱ ﺑﺮﻧﺎﻣﻪ‬
‫ﺑﻄﻮﺭ ﻣﻌﻘﻮﻟﻲ ﺳﺮﻳﻊ ﺍﻧﺠﺎﻡ ﭘﺬﻳﺮﺩ‪ ،‬ﺍﺣﺘﻤﺎﻝ ﺍﻳﻨﻜﻪ ﻛﺎﺭﺑﺮ ﻣﺘﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﺑﺮﻧﺎﻣﻪ ﺁﻟﻮﺩﻩ ﻭ ﻳﺎ ﻏﻴﺮﺁﻟﻮﺩﻩ ﺍﺳﺖ ﻛﻢ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﻭﻳﺮﻭﺳﻲ ﻫﻤﺎﻧﻨﺪ ﺁﻧﭽﻪ ﺗﺸﺮﻳﺢ ﮔﺮﺩﻳﺪ ﺑﺴﻬﻮﻟﺖ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ ﺯﻳﺮﺍ ﻳﻚ ﻧﺴﺨﺔ ﺁﻟﻮﺩﻩ ﺍﺯ ﻳﻚ ﺑﺮﻧﺎﻣﻪ‪ ،‬ﺍﺯ ﻳﻚ ﻧﺴﺨﺔ‬
‫ﺁﻟﻮﺩﻩ ﻧﺸﺪﻩ ﻃﻮﻻﻧﻲﺗﺮ ﺍﺳﺖ‪ .‬ﻳﻚ ﺭﻭﺵ ﺑﺮﺍﻱ ﺍﻳﻨﻜﻪ ﺍﺯ ﺍﻳﻦ ﺳﻬﻮﻟﺖ ﺗﺸﺨﻴﺺ ﺍﺟﺘﻨﺎﺏ ﺷﻮﺩ ﺍﻳﻦ ﺧﻮﺍﻫﺪ ﺑﻮﺩ ﻛﻪ ﻓﺎﻳﻞ ﺍﺟﺮﺍﺋﻲ ﺭﺍ‬
‫ﻃﻮﺭﻱ ﻓﺸﺮﺩﻩ ﻧﻤﻮﺩ ﻛﻪ ﻧﺴﺨﻪﻫﺎﻱ ﺁﻟﻮﺩﻩ ﻭ ﻏﻴﺮﺁﻟﻮﺩﻩ ﺩﺍﺭﺍﻱ ﻃﻮﻝ ﻣﺴﺎﻭﻱ ﺑﺎﺷﻨﺪ‪ .‬ﺷﻜﻞ ‪ [COHE94] ۱۰-۲‬ﻣﻨﻄﻖ ﻻﺯﻡ ﺭﺍ ﺑﻄﻮﺭ‬
‫ﻛﻠﻲ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺧﻄﻮﻁ ﻛﻠﻴﺪﻱ ﺑﺮﻧﺎﻣﺔ ﻭﻳﺮﻭﺱ ﺷﻤﺎﺭﻩﮔﺬﺍﺭﻱ ﺷﺪﻩ ﻭ ﺷﻜﻞ ‪ [COHE94] ۱۰-۳‬ﻋﻤﻠﻴﺎﺕ ﻣﺮﺑﻮﻁ ﺭﺍ ﻧﺸﺎﻥ‬
‫ﻣﻲﺩﻫﺪ‪ .‬ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﺑﺮﻧﺎﻣﺔ ‪ P1‬ﺑﺎ ﻭﻳﺮﻭﺱ ‪ CV‬ﺁﻟﻮﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻭﻗﺘﻲ ﺍﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ‪ ،‬ﻛﻨﺘﺮﻝ ﺑﻪ ﻭﻳﺮﻭﺱ‬
‫ﻣﻨﺘﻘﻞ ﺷﺪﻩ ﻭ ﻣﺮﺍﺣﻞ ﺯﻳﺮ ﻃﻲ ﻣﻲﺷﻮﺩ‪:‬‬
‫‪ -۱‬ﺑﺮﺍﻱ ﻫﺮ ﻓﺎﻳﻞ ﺁﻟﻮﺩﻩ ﻧﺸﺪﻩ ‪ P2‬ﻛﻪ ﭘﻴﺪﺍ ﺷﻮﺩ‪ ،‬ﻭﻳﺮﻭﺱ ﺍﺑﺘﺪﺍ ﺍﻳﻦ ﻓﺎﻳﻞ ﺭﺍ ﻓﺸﺮﺩﻩ ﻛﺮﺩﻩ ﻭ ‪ P'2‬ﺭﺍ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ ﻛﻪ ﺍﺯ‬
‫ﺑﺮﻧﺎﻣﺔ ﺍﻭﻟﻴﻪ ﺑﺎﻧﺪﺍﺯﺓ ﺑﺮﻧﺎﻣﺔ ﻭﻳﺮﻭﺱ ﻛﻮﺗﺎﻩﺗﺮ ﺍﺳﺖ‪.‬‬
‫‪ -۲‬ﻳﻚ ﻛﭙﻲ ﺍﺯ ﻭﻳﺮﻭﺱ ﺍﻭﻝ ﺑﻪ ﺑﺮﻧﺎﻣﺔ ﻓﺸﺮﺩﻩ ﺷﺪﻩ ﺍﺿﺎﻓﻪ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ -۳‬ﻧﺴﺨﺔ ﻓﺸﺮﺩﻩ ﺷﺪﺓ ﺑﺮﻧﺎﻣﺔ ﺁﻟﻮﺩﻩ ﺷﺪﻩ ﺍﻭﻟﻴﻪ ‪ P'1‬ﺍﺯ ﻓﺸﺮﺩﮔﻲ ﺧﺎﺭﺝ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫‪ -۴‬ﺑﺮﻧﺎﻣﺔ ﺍﻭﻟﻴﺔ ﻏﻴﺮﻓﺸﺮﺩﻩ ﺍﺟﺮﺍ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺩﺭ ﺍﻳﻦ ﻣﺜﺎﻝ‪ ،‬ﻭﻳﺮﻭﺱ ﻛﺎﺭﻱ ﺑﺠﺰ ﺍﻧﺘﺸﺎﺭ ﺍﻧﺠﺎﻡ ﻧﻤﻲﺩﻫﺪ‪ .‬ﻫﻤﺎﻧﻨﺪ ﻣﺜﺎﻝ ﻗﺒﻞ‪ ،‬ﻭﻳﺮﻭﺱ ﻣﻲﺗﻮﺍﻧﺪ ﺣﺎﻭﻱ ﻳﻚ ﺑﻤﺐ ﻻﺟﻴﻚ ﺑﺎﺷﺪ‪.‬‬
‫= ‪program CV :‬‬
‫;‪{goto main‬‬
‫;‪01234567‬‬
‫=‪subroutine infect-executable :‬‬

‫‪{loop:‬‬
‫;‪file := get-random-executable-file‬‬
‫;‪if (first-line-of-file = 01234567) then goto loop‬‬
‫;‪(1) compress file‬‬
‫;‪(2) prepend CV to file‬‬
‫}‬
‫=‪main: main-program :‬‬

‫;‪{if ask-permission then infect-executable‬‬
‫;‪(3) uncompress rest-of-file‬‬
‫};‪(4) run uncompressed file‬‬
‫}‬
‫ﻣﻨﻄﻖ ﻳﻚ ﻭﻳﺮﻭﺱ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺷﺪﻩ‬ ‫ﺷﻜﻞ ‪۱۰-۲‬‬

‫ﻓﺼﻞ ﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٧٦‬‬
‫‪2‬‬
‫‪CV‬‬ ‫‪CV‬‬ ‫‪CV‬‬

‫‪4‬‬
‫‪3‬‬ ‫‪1‬‬
‫‪P1′‬‬ ‫‪P2‬‬ ‫‪P1′‬‬ ‫‪P1‬‬ ‫‪P2‬‬ ‫‪P2′‬‬
‫‪t0‬‬ ‫‪t1‬‬
‫ﻳﻚ ﻭﻳﺮﻭﺱ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺷﺪﻩ‬ ‫ﺷﻜﻞ ‪۱۰-۳‬‬
‫ﺁﻟﻮﺩﮔﻲ ﺍﻭﻟﻴﻪ‬
‫ﻫﻤﻴﻨﻜﻪ ﻳﻚ ﻭﻳﺮﻭﺱ ﺑﺎ ﺁﻟﻮﺩﻩ ﻛﺮﺩﻥ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻭﺍﺭﺩ ﺳﻴﺴﺘﻢ ﺷﺪ‪ ،‬ﺩﺭ ﻣﻮﻗﻌﻴﺘﻲ ﺍﺳﺖ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻌﻀﻲ ﻭ ﮔﺎﻫﻲ ﺗﻤﺎﻡ‬
‫ﻓﺎﻳﻞﻫﺎﻱ ﺩﻳﮕﺮ ﺁﻥ ﺳﻴﺴﺘﻢ ﺭﺍ ﺁﻟﻮﺩﻩ ﻧﻤﺎﻳﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﺮﺍﻱ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺁﻟﻮﺩﮔﻲﻫﺎﻱ ﻭﻳﺮﻭﺳﻲ ﺑﺎﻳﺪ ﺍﺯ ﺍﻭﻝ ﺍﺯ ﻭﺭﻭﺩ ﻭﻳﺮﻭﺱ ﺟﻠﻮﮔﻴﺮﻱ‬
‫ﻛﺮﺩ‪ .‬ﻣﺘﺎﺳﻔﺎﻧﻪ ﭘﻴﺸﮕﻴﺮﻱ ﻛﺎﺭﻱ ﺑﺲ ﺩﺷﻮﺍﺭ ﺍﺳﺖ ﺯﻳﺮﺍ ﻭﻳﺮﻭﺱﻫﺎ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺨﺸﻲ ﺍﺯ ﻫﺮﻳﻚ ﺍﺯ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺧﺎﺭﺟﻲ ﺑﺎﺷﻨﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ‬
‫ﻣﮕﺮ ﺍﻳﻨﻜﻪ ﻛﺴﻲ ﺍﺯ ﺻﻔﺮ ﺷﺮﻭﻉ ﻛﺮﺩﻩ ﻭ ﺗﻤﺎﻡ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺳﻴﺴﺘﻤﻲ ﻭ ﻛﺎﺭﺑﺮﺩﻱ ﺭﺍ ﺧﻮﺩ ﺑﻨﻮﻳﺴﺪ ﻭﺍﻻ ﻫﻤﻴﺸﻪ ﺧﻄﺮ ﻭﻳﺮﻭﺱ ﻭﺟﻮﺩ‬
‫ﺩﺍﺭﺩ‪.‬‬
‫ﺍﻧﻮﺍﻉ ﻭﻳﺮﻭﺱ ﻫﺎ‬
‫ﺍﺯ ﺯﻣﺎﻧﻴﻜﻪ ﻭﻳﺮﻭﺱﻫﺎ ﺑﺮﺍﻱ ﺍﻭﻟﻴﻦ ﺑﺎﺭ ﻫﻮﻳﺪﺍ ﺷﺪﻧﺪ‪ ،‬ﺟﻨﮓ ﺗﺴﻠﻴﺤﺎﺗﻲ ﺑﻴﻦ ﻧﻮﻳﺴﻨﺪﮔﺎﻥ ﻭﻳﺮﻭﺱ ﻭ ﻧﻮﻳﺴﻨﺪﮔﺎﻥ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺿﺪ‬
‫ﻭﻳﺮﻭﺱ ﺩﺍﺋﻤﻲ ﺷﺪ‪ .‬ﺗﺎ ﺑﺮﻧﺎﻣﺔ ﺿﺪ ﻭﻳﺮﻭﺱ ﻣﺆﺛﺮﻱ ﺑﺮﺍﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﻭﻳﺮﻭﺱﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺁﻣﺎﺩﻩ ﻣﻲﮔﺮﺩﻳﺪ‪ ،‬ﻭﻳﺮﻭﺳﻲ ﺍﺯ ﻧﻮﻉ ﺩﻳﮕﺮ ﺧﻠﻖ‬
‫ﻣﻲﺷﺪ]‪ .[STEP93‬ﻣﻮﺍﺭﺩ ﺫﻳﻞ ﺭﺍ ﺑﻌﻨﻮﺍﻥ ﭼﺸﻤﮕﻴﺮﺗﺮﻳﻦ ﺍﻧﻮﺍﻉ ﻭﻳﺮﻭﺱ ﻣﻌﺮﻓﻲ ﻣﻲﻧﻤﺎﻳﺪ‪:‬‬
‫ﻭﻳﺮﻭﺱ ﺍﻧﮕﻠﻲ)‪ :(parasitic‬ﺍﻳﻦ ﻭﻳﺮﻭﺱ ﻗﺪﻳﻤﻲﺗﺮﻳﻦ ﻭ ﻫﻨﻮﺯ ﻣﻌﻤﻮﻝﺗﺮﻳﻦ ﻧﻮﻉ ﻭﻳﺮﻭﺱ ﺍﺳﺖ‪ .‬ﻳﻚ ﻭﻳﺮﻭﺱ ﺍﻧﮕﻠﻲ‬ ‫•‬
‫ﺧﻮﺩ ﺭﺍ ﺑﻪ ﻓﺎﻳﻞﻫﺎﻱ ﺍﺟﺮﺍﺋﻲ ﭼﺴﺒﺎﻧﺪﻩ ﻭ ﻭﻗﺘﻲ ﺁﻥ ﻓﺎﻳﻞﻫﺎ ﺍﺟﺮﺍ ﻣﻲﮔﺮﺩﻧﺪ‪ ،‬ﻓﺎﻳﻞﻫﺎﻱ ﺍﺟﺮﺍﺋﻲ ﺩﻳﮕﺮ ﺭﺍ ﭘﻴﺪﺍ ﻛﺮﺩﻩ ﻭ ﺁﻧﻬﺎ‬
‫ﺭﺍ ﺁﻟﻮﺩﻩ ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫ﻭﻳﺮﻭﺱ ﺳﺎﻛﻦ ﺩﺭﺣﺎﻓﻈﻪ)‪ :(memory-resident‬ﺑﻌﻨﻮﺍﻥ ﺑﺨﺸﻲ ﺍﺯ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﺳﻴﺴﺘﻢ‪ ،‬ﺩﺭ ﺣﺎﻓﻈﺔ ﺍﺻﻠﻲ ﻛﺎﻣﭙﻴﻮﺗﺮ‬ ‫•‬
‫ﻻﻧﻪ ﻣﻲﻛﻨﺪ‪ .‬ﻭﻳﺮﻭﺱ ﺍﺯ ﺍﻳﻦ ﻧﻘﻄﻪ ﻫﺮ ﺑﺮﻧﺎﻣﻪﺍﻱ ﺭﺍ ﻛﻪ ﺍﺟﺮﺍ ﻣﻲﺷﻮﺩ ﺁﻟﻮﺩﻩ ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫‪٣٧٧‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬
‫ﻭﻳﺮﻭﺱ ﺑﺨﺶ ﺭﺍﻩﺍﻧﺪﺍﺯﻱ)‪ :(boot sector‬ﻳﻚ ﺭﻛﻮﺭﺩ ﻭ ﻳﺎ ﺑﺨﺶ ﺍﺻﻠﻲ ﺭﺍﻩﺍﻧﺪﺍﺯﻱ ﺭﺍ ﺁﻟﻮﺩﻩ ﻛﺮﺩﻩ ﻭ ﻭﻗﺘﻲ ﺳﻴﺴﺘﻢ‬ ‫•‬
‫ﺍﺯ ﺭﻭﻱ ﺩﻳﺴﻚ ﻣﺨﺼﻮﺹ ﺭﺍﻩﺍﻧﺪﺍﺯ ﻛﻪ ﺣﺎﻭﻱ ﻭﻳﺮﻭﺱ ﺍﺳﺖ ﺑﺎﻻ ﻣﻲﺁﻳﺪ‪ ،‬ﮔﺴﺘﺮﺵ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫ﻭﻳﺮﻭﺱ ﭘﻨﻬﺎﻥﺷﻮﻧﺪﻩ)‪ :(stealth‬ﻧﻮﻋﻲ ﺍﺯ ﻭﻳﺮﻭﺱ ﺍﺳﺖ ﻛﻪ ﻣﺨﺼﻮﺻﺎﹰ ﺑﺮﺍﻱ ﻣﺨﻔﻲ ﻣﺎﻧﺪﻥ ﺍﺯ ﺩﻳﺪ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺿﺪ‬ ‫•‬
‫ﻭﻳﺮﻭﺱ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﻭﻳﺮﻭﺱ ﭼﻨﺪﭼﻬﺮﻩ)‪ :(polymorphic‬ﻭﻳﺮﻭﺳﻲ ﺍﺳﺖ ﻛﻪ ﺑﺎ ﻫﺮﺑﺎﺭ ﺁﻟﻮﺩﻩ ﺳﺎﺯﻱ ﻓﺎﻳﻞﻫﺎ ﻇﺎﻫﺮ ﺧﻮﺩ ﺭﺍ ﻋﻮﺽ ﻛﺮﺩﻩ ﻭ‬ ‫•‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﺗﺸﺨﻴﺺ ﺁﻥ ﺑﺎ ﻣﻘﺎﻳﺴﻪ ﺑﺎ ﻳﻚ ﻧﻤﻮﻧﺔ ﻗﺒﻞ‪ ،‬ﻏﻴﺮﻣﻤﻜﻦ ﺍﺳﺖ‪.‬‬
‫ﻭﻳﺮﻭﺱ ﺩﮔﺮﺩﻳﺲ)‪ :(Metamorphic‬ﺍﻳﻦ ﻭﻳﺮﻭﺱ ﻧﻴﺰ ﻫﻤﺎﻧﻨﺪ ﻭﻳﺮﻭﺱ ﭼﻨﺪﭼﻬﺮﻩ ﺩﺭ ﻫﺮ ﺑﺎﺭ ﺁﻟﻮﺩﻩﺳﺎﺯﻱ ﻇﺎﻫﺮ‬ ‫•‬
‫ﺧﻮﺩ ﺭﺍ ﻋﻮﺽ ﻣﻲﻛﻨﺪ‪ .‬ﺗﻔﺎﻭﺕ ﺩﺭ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﻭﻳﺮﻭﺱ ﺩﺭ ﻫﺮ ﺑﺎﺭ ﺁﻟﻮﺩﻩﺳﺎﺯﻱ ﻛﺎﻣﻼﹰ ﺧﻮﺩ ﺭﺍ ﺑﺎﺯﻧﻮﻳﺴﻲ ﻛﺮﺩﻩ ﻭ‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﻛﺎﺭ ﺗﺸﺨﻴﺺ ﺭﺍ ﺩﺷﻮﺍﺭﺗﺮ ﻣﻲﻛﻨﺪ‪ .‬ﻭﻳﺮﻭﺱﻫﺎﻱ ﺩﮔﺮﺩﻳﺲ ﻣﻤﻜﻦ ﺍﺳﺖ ﻋﻼﻭﻩ ﺑﺮ ﺗﻐﻴﻴﺮ ﺩﺍﺩﻥ ﭼﻬﺮﺓ ﺧﻮﺩ‪ ،‬ﺭﻓﺘﺎﺭ‬
‫ﺧﻮﺩ ﺭﺍ ﻧﻴﺰ ﻋﻮﺽ ﻛﻨﻨﺪ‪.‬‬
‫ﻗﺒﻼﹰ ﺑﻪ ﻧﻤﻮﻧﻪﺍﻱ ﺍﺯ ﻭﻳﺮﻭﺱ ﭘﻨﻬﺎﻥﺷﻮﻧﺪﻩ ﺍﺷﺎﺭﻩ ﮔﺮﺩﻳﺪ‪ :‬ﻭﻳﺮﻭﺳﻲ ﻛﻪ ﺍﺯ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﺣﺠﻢ ﺑﺮﻧﺎﻣﻪ ﺁﻟﻮﺩﻩ ﺭﺍ‬
‫ﺩﻗﻴﻘﺎﹰ ﺑﻪ ﻫﻤﺎﻥ ﺍﻧﺪﺍﺯﺓ ﺣﺠﻢ ﺑﺮﻧﺎﻣﺔ ﺍﻭﻟﻴﻪ ﻧﮕﺎﻩ ﻣﻲﺩﺍﺭﺩ‪ .‬ﺗﻜﻨﻴﻚﻫﺎﻱ ﺑﺴﻴﺎﺭ ﭘﻴﭽﻴﺪﻩﺗﺮﻱ ﻧﻴﺰ ﺩﺭ ﻣﻮﺭﺩ ﺳﺎﺧﺖ ﺍﻳﻦ ﻭﻳﺮﻭﺱ ﻣﻤﻜﻦ ﺍﺳﺖ‪.‬‬
‫ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﻳﻚ ﻭﻳﺮﻭﺱ ﻣﻲﺗﻮﺍﻧﺪ ﻣﻨﻄﻖ ﺣﺎﻳﻞ ﺷﺪﻥ ﺩﺭ ﺭﻭﺍﻝ ‪ I/O‬ﺩﻳﺴﻚ ﺭﺍ ﻃﻮﺭﻱ ﺗﻐﻴﻴﺮ ﺩﻫﺪ ﻛﻪ ﻭﻗﺘﻲ ﻛﻮﺷﺸﻲ ﺑﺮﺍﻱ ﺧﻮﺍﻧﺪﻥ‬
‫ﺑﺨﺶﻫﺎﻱ ﻣﺸﻜﻮﻙ ﺩﻳﺴﻚ ﻛﻪ ﺷﺎﻣﻞ ﺍﻳﻦ ﺭﻭﺍﻝﻫﺎﺳﺖ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪ ،‬ﻭﻳﺮﻭﺱ ﺑﺮﻧﺎﻣﺔ ﺍﻭﻟﻴﺔ ﻏﻴﺮﺁﻟﻮﺩﻩ ﺭﺍ ﻋﺮﺿﻪ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻳﻚ ﻭﻳﺮﻭﺱ ﭼﻨﺪﭼﻬﺮﻩ ﻭﻳﺮﻭﺳﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻫﻨﮕﺎﻡ ﺗﻜﺜﻴﺮ ﻛﭙﻲﻫﺎﺋﻲ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ﺍﺯ ﻧﻈﺮ ﻋﻤﻞ ﻫﻤﺎﻧﻨﺪ ﻧﻮﻉ ﺍﻭﻟﻴﺔ‬
‫ﺁﻥ ﺑﻮﺩﻩ ﻭﻟﻲ ﺍﺯ ﻧﻈﺮ ﻇﺎﻫﺮ‪ ،‬ﺍﻟﮕﻮﻱ ﺑﻴﺖﻫﺎﻱ ﺁﻥ ﺗﻐﻴﻴﺮ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﻫﻤﺎﻧﻨﺪ ﻳﻚ ﻭﻳﺮﻭﺱ ﭘﻨﻬﺎﻥ ﺷﻮﻧﺪﻩ‪ ،‬ﻫﺪﻑ ﺍﻳﻦ ﻭﻳﺮﻭﺱ ﻋﻼﻭﻩ ﺑﺮ‬
‫ﺗﺨﺮﻳﺐ‪ ،‬ﺷﻜﺴﺖ ﺩﺍﺩﻥ ﺑﺮﻧﺎﻣﻪﻫﺎﺋﻲ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﺩﻧﺒﺎﻝ ﻭﻳﺮﻭﺱ ﻣﻲﮔﺮﺩﻧﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ »ﺍﻣﻀﺎﺀ« ﻭﻳﺮﻭﺱ ﺩﺭ ﻫﺮ ﻛﭙﻲ ﻣﺘﻔﺎﻭﺕ‬
‫ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺑﺮﺍﻱ ﻛﺴﺐ ﭼﻨﻴﻦ ﻗﺎﺑﻠﻴﺘﻲ ﻭﻳﺮﻭﺱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻄﻮﺭ ﺗﺼﺎﺩﻓﻲ ﺩﺳﺘﻮﺭﺍﺗﻲ ﺭﺍ ﻭﺍﺭﺩ ﺑﺮﻧﺎﻣﻪ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﻧﻈﻢ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻠﻬﺎﻱ‬
‫ﻣﺴﺘﻘﻞ ﺭﺍ ﺑﻬﻢ ﺑﺰﻧﺪ‪ .‬ﺭﻭﺵ ﻣﺆﺛﺮ ﺩﻳﮕﺮﻱ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﭘﻴﺶﮔﺮﻓﺘﻪ ﺷﻮﺩ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ‪ .‬ﻗﺴﻤﺘﻲ ﺍﺯ ﻭﻳﺮﻭﺱ ﻛﻪ‬
‫ﻣﻌﻤﻮﻻﹰ ﻣﻮﺗﻮﺭ ﺗﻐﻴﻴﺮ )‪ (mutation engine‬ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷﻮﺩ ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰ ﺗﺼﺎﺩﻓﻲ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﻭ ﺑﺘﻮﺳﻂ ﺁﻥ ﺑﻘﻴﺔ ﻭﻳﺮﻭﺱ ﺑﻪ‬
‫ﺭﻣﺰ ﺩﺭ ﻣﻲﺁﻳﺪ‪ .‬ﻛﻠﻴﺪ ﺑﻬﻤﺮﺍﻩ ﻭﻳﺮﻭﺱ ﺫﺧﻴﺮﻩ ﺷﺪﻩ‪ ،‬ﻭ ﺧﻮﺩ ﻣﻮﺗﻮﺭ ﺟﺴﺘﺠﻮ ﻧﻴﺰ ﺗﻐﻴﻴﺮ ﻣﻲﻛﻨﺪ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﺁﻟﻮﺩﻩ ﺍﺣﻀﺎﺭ ﻣﻲﺷﻮﺩ‪،‬‬
‫ﻭﻳﺮﻭﺱ ﺍﺯ ﻛﻠﻴﺪ ﭘﻨﻬﺎﻥ ﺷﺪﻩ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﻭﻳﺮﻭﺱ ﺭﺍ ﺍﺯ ﺭﻣﺰ ﺩﺭﻣﻲﺁﻭﺭﺩ‪ .‬ﻭﻗﺘﻲ ﻭﻳﺮﻭﺱ ﺗﻜﺜﻴﺮ ﺷﺪ‪ ،‬ﻳﻚ ﻛﻠﻴﺪ ﺗﺼﺎﺩﻓﻲ ﺩﻳﮕﺮ‬
‫ﺍﻧﺘﺨﺎﺏ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺳﻼﺡ ﺩﻳﮕﺮﻱ ﻛﻪ ﺩﺭ ﺯﺭﺍﺩﺧﺎﻧﺔ ﻧﻮﻳﺴﻨﺪﮔﺎﻥ ﻭﻳﺮﻭﺱﻫﺎ ﻣﻮﺟﻮﺩ ﺍﺳﺖ‪ ،‬ﺟﻌﺒﻪ ﺍﺑﺰﺍﺭ ﺗﻮﻟﻴﺪ ﻭﻳﺮﻭﺱ ﺍﺳﺖ‪ .‬ﭼﻨﻴﻦ ﺟﻌﺒﻪ ﺍﺑﺰﺍﺭﻱ‬
‫ﻳﻚ ﻓﺮﺩ ﻧﺴﺒﺘﺎﹰ ﺗﺎﺯﻩ ﻛﺎﺭ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺩﺭ ﻣﺪﺕ ﺯﻣﺎﻥ ﻛﻮﺗﺎﻫﻲ‪ ،‬ﺗﻌﺪﺍﺩﻱ ﻭﻳﺮﻭﺱ ﺧﻠﻖ ﻧﻤﺎﻳﺪ‪ .‬ﺍﮔﺮﭼﻪ ﻭﻳﺮﻭﺱﻫﺎﺋﻲ ﻛﻪ ﺑﻪ ﻛﻤﻚ‬
‫ﺍﻳﻦ ﺟﻌﺒﻪ ﺍﺑﺰﺍﺭﻫﺎ ﺧﻠﻖ ﻣﻲﺷﻮﻧﺪ ﭘﻴﭽﻴﺪﮔﻲ ﻛﻤﺘﺮﻱ ﻧﺴﺒﺖ ﺑﻪ ﻭﻳﺮﻭﺱﻫﺎﻱ ﺩﺳﺖﺳﺎﺯ ﺩﺍﺭﻧﺪ‪ ،‬ﻭﻟﻲ ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ ﺗﻌﺪﺍﺩ ﻭﻳﺮﻭﺱﻫﺎﺋﻲ ﻛﻪ‬
‫ﺳﺮﻳﻌﺎﹰ ﺑﺘﻮﺳﻂ ﺁﻥ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻳﻨﺪ ﺧﻮﺩ ﻣﺸﻜﻠﻲ ﺑﺮﺍﻱ ﺭﻭﺵﻫﺎﻱ ﻣﺒﺎﺭﺯﻩ ﺑﺎ ﻭﻳﺮﻭﺱ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﻭﻳﺮﻭﺱﻫﺎﻱ ﻣﺎﻛﺮﻭ )‪(Macro Viruses‬‬

‫ﺩﺭ ﺍﻭﺍﺳﻂ ﺩﻫﺔ ‪ ۱۹۹۰‬ﻣﻴﻼﺩﻱ‪ ،‬ﻭﻳﺮﻭﺱﻫﺎﻱ ﻣﺎﻛﺮﻭ ﻓﺰﺍﻳﻨﺪﻩﺗﺮﻳﻦ ﻧﻮﻉ ﻭﻳﺮﻭﺱﻫﺎ ﺑﻮﺩﻧﺪ‪ .‬ﻭﻳﺮﻭﺱﻫﺎﻱ ﻣﺎﻛﺮﻭ ﺑﻪ ﺩﻻﻳﻞ ﻣﺘﻌﺪﺩﻱ‬
‫ﺗﻬﺪﻳﺪﻛﻨﻨﺪﻩﻫﺎﻱ ﻋﻤﺪﻩ ﺑﺸﻤﺎﺭ ﻣﻲﺁﻳﻨﺪ‪:‬‬
‫‪ -۱‬ﻳﻚ ﻭﻳﺮﻭﺱ ﻣﺎﻛﺮﻭ ﻣﺴﺘﻘﻞ ﺍﺯ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺍﺳﺖ‪ .‬ﺗﻘﺮﻳﺒﺎﹰ ﺗﻤﺎﻡ ﻭﻳﺮﻭﺱﻫﺎﻱ ﻣﺎﻛﺮﻭ ﺍﺳﻨﺎﺩ‬
‫‪ Microsoft Word‬ﺭﺍ ﺁﻟﻮﺩﻩ ﻣﻲﺳﺎﺯﻧﺪ‪ .‬ﻫﺮ ﭘﺎﻳﻪ ﺳﺨﺖﺍﻓﺰﺍﺭﻱ ﻭ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻠﻲ ﻛﻪ ‪ Word‬ﺭﺍ ﺣﻤﺎﻳﺖ ﻧﻤﺎﻳﺪ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺁﻟﻮﺩﻩ ﺷﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٧٨‬‬
‫‪ -۲‬ﻭﻳﺮﻭﺱﻫﺎﻱ ﻣﺎﻛﺮﻭ ﺍﺳﻨﺎﺩ‪ ،‬ﻭ ﻧﻪ ﺑﺨﺶﻫﺎﻱ ﻗﺎﺑﻞ ﺍﺟﺮﺍﻱ ﻛﹸﺪ ﺑﺮﻧﺎﻣﻪ‪ ،‬ﺭﺍ ﺁﻟﻮﺩﻩ ﻣﻲﺳﺎﺯﻧﺪ‪ .‬ﺑﻴﺸﺘﺮ ﺍﻃﻼﻋﺎﺕ ﻭﺭﻭﺩﻱ ﻳﻚ‬
‫ﻛﺎﻣﭙﻴﻮﺗﺮ ﺭﺍ ﺍﺳﻨﺎﺩ‪ ،‬ﻭ ﻧﻪ ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﻨﺪ‪.‬‬
‫‪ -۳‬ﻭﻳﺮﻭﺱﻫﺎﻱ ﻣﺎﻛﺮﻭ ﺑﻪ ﺳﻬﻮﻟﺖ ﮔﺴﺘﺮﺵ ﻣﻲﻳﺎﺑﻨﺪ‪ .‬ﻳﻜﻲ ﺍﺯ ﺭﻭﺵﻫﺎﻱ ﺑﺴﻴﺎﺭ ﻣﻌﻤﻮﻝ ﺍﺯ ﻃﺮﻳﻖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺍﺳﺖ‪.‬‬
‫ﻭﻳﺮﻭﺱﻫﺎﻱ ﻣﺎﻛﺮﻭ ﺍﺯ ﺧﺼﻴﺼﻪﺍﻱ ﻛﻪ ﺩﺭ ﺑﺮﻧﺎﻣﺔ ‪ Word‬ﻭ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺩﻳﮕﺮ ‪ Microsoft Office‬ﻣﺎﻧﻨﺪ‪ Excel‬ﻭﺟﻮﺩ‬
‫ﺩﺍﺷﺘﻪ ﻭ ﻣﺎﻛﺮﻭ ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷﻮﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻳﻚ ﻣﺎﻛﺮﻭ ﺍﺻﺎﻟﺘﺎﹰ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﺍﺟﺮﺍﺋﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻳﻚ ﺳﻨﺪ ﻣﺮﺑﻮﻁ ﺑﻪ ‪ Word‬ﻳﺎ‬
‫ﻓﺎﻳﻞ ﻧﻮﻉ ﺩﻳﮕﺮﻱ ﺟﺎﺳﺎﺯﻱ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻣﻌﻤﻮﻻﹰ ﻛﺎﺭﺑﺮﺍﻥ ﻣﺎﻛﺮﻭﻫﺎ ﺭﺍ ﺑﺮﺍﻱ ﺧﻮﺩﻛﺎﺭ ﻛﺮﺩﻥ ﻋﻤﻠﻴﺎﺕ ﺗﻜﺮﺍﺭﻱ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﺳﺘﻔﺎﺩﺓ ﻛﻤﺘﺮ‬
‫ﺍﺯ ﺻﻔﺤﻪ ﻛﻠﻴﺪ ﺑﻜﺎﺭ ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﺯﺑﺎﻥ ﻣﺎﻛﺮﻭ ﻣﻌﻤﻮﻻﹰ ﻧﻮﻋﻲ ﺍﺯ ﺯﺑﺎﻥ ﺑﺮﻧﺎﻣﻪﻧﻮﻳﺴﻲ ‪ Basic‬ﺍﺳﺖ‪ .‬ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﻧﺒﺎﻟﻪﺍﻱ ﺍﺯ‬
‫ﺣﺮﻛﺎﺕ ﻛﻠﻴﺪﻫﺎ ﺭﺍ ﺩﺭ ﻳﻚ ﻣﺎﻛﺮﻭ ﺗﻌﺮﻳﻒ ﻧﻤﻮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﻃﻮﺭﻱ ﺗﻨﻈﻴﻢ ﻧﻤﺎﻳﺪ ﻛﻪ ﻭﻗﺘﻲ ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻠﻴﺎﺗﻲ ﻭ ﻳﺎ ﺗﺮﻛﻴﺐ ﻛﻮﺗﺎﻫﻲ ﺍﺯ‬
‫ﭼﻨﺪ ﻛﻠﻴﺪ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﺑﺮﻧﺎﻣﺔ ﻣﺎﻛﺮﻭ ﺍﺟﺮﺍ ﮔﺮﺩﺩ‪..‬‬
‫ﻧﺴﺨﻪﻫﺎﻱ ﭘﻲﺩﺭﭘﻲ ‪ Word‬ﻛﻪ ﺑﻌﺪﺍﹰ ﺑﻪ ﺑﺎﺯﺍﺭ ﺁﻣﺪﻩﺍﻧﺪ‪ ،‬ﺣﻔﺎﻇﺖ ﺑﻴﺸﺘﺮﻱ ﺭﺍ ﺩﺭ ﺑﺮﺍﺑﺮ ﻭﻳﺮﻭﺱﻫﺎﻱ ﻣﺎﻛﺮﻭ ﻓﺮﺍﻫﻢ ﻧﻤﻮﺩﻩﺍﻧﺪ‪.‬‬
‫ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﻣﺎﻳﻜﺮﻭﺳﺎﻓﺖ ﻳﻚ ﺍﺑﺰﺍﺭ ﺍﺧﺘﻴﺎﺭﻱ ‪ Macro Virus Protection‬ﻋﺮﺿﻪ ﻧﻤﻮﺩﻩ ﺍﺳﺖ ﻛﻪ ﻓﺎﻳﻞﻫﺎﻱ ﻣﺸﻜﻮﻙ ‪Word‬‬
‫ﺭﺍ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﻭ ﺑﻪ ﻣﺸﺘﺮﻱ ﺧﻄﺮ ﺟﺪﻱ ﺑﺎﺯﻛﺮﺩﻥ ﻳﻚ ﻓﺎﻳﻞ ﺷﺎﻣﻞ ﻣﺎﻛﺮﻭ ﺭﺍ ﮔﻮﺷﺰﺩ ﻣﻲﻛﻨﺪ‪ .‬ﺳﺎﺯﻧﺪﮔﺎﻥ ﻣﺤﺼﻮﻻﺕ ﻣﺘﻨﻮﻉ ﺿﺪ‬
‫ﻭﻳﺮﻭﺱ ﻧﻴﺰ ﺍﺑﺰﺍﺭﻫﺎﺋﻲ ﺭﺍ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﻭ ﺗﺼﺤﻴﺢ ﻭﻳﺮﻭﺱﻫﺎﻱ ﻣﺎﻛﺮﻭ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩﺍﻧﺪ‪ .‬ﻫﻤﺎﻧﻨﺪ ﺳﺎﻳﺮ ﺍﻧﻮﺍﻉ ﻭﻳﺮﻭﺱﻫﺎ‪ ،‬ﻣﺴﺎﺑﻘﺔ‬
‫ﺗﺴﻠﻴﺤﺎﺗﻲ ﺩﺭ ﺯﻣﻴﻨﺔ ﻭﻳﺮﻭﺱﻫﺎﻱ ﻣﺎﻛﺮﻭ ﻧﻴﺰ ﺟﺮﻳﺎﻥ ﺩﺍﺭﺩ ﻭﻟﻲ ﺁﻧﻬﺎ ﺩﻳﮕﺮ ﺟﺰﻭ ﺗﻬﺪﻳﺪﻛﻨﻨﺪﻩﻫﺎﻱ ﺍﺻﻠﻲ ﺑﻪ ﺷﻤﺎﺭ ﻧﻤﻲﺁﻳﻨﺪ‪.‬‬
‫ﻭﻳﺮﻭﺱﻫﺎﻱ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ )‪(E-mail Viruses‬‬

‫ﻧﻮﺁﻭﺭﻱ ﺟﺪﻳﺪ ﺩﻳﮕﺮ ﺩﺭ ﻣﻘﻮﻟﺔ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‪ ،‬ﺑﺘﻮﺳﻂ ﻭﻳﺮﻭﺱ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺣﺎﺻﻞ ﮔﺮﺩﻳﺪ‪ .‬ﺍﻭﻟﻴﻦ ﻭﻳﺮﻭﺱﻫﺎﻱ ﭘﺴﺖ‬
‫ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻛﻪ ﺑﺴﺮﻋﺖ ﺗﻜﺜﻴﺮ ﻣﻲﺷﺪﻧﺪ‪ ،‬ﻫﻤﺎﻧﻨﺪ ‪ ،Melissa‬ﺍﺯ ﻳﻚ ﻣﺎﻛﺮﻭﻱ ‪ Microsoft Word‬ﭘﻨﻬﺎﻧﻲ ﺩﺭ ﻳﻚ ﻓﺎﻳﻞ ﭘﻴﻮﺳﺖ ﺑﻪ‬
‫ﻳﻚ ﻧﺎﻣﺔ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺑﻬﺮﻩ ﻣﻲﮔﺮﻓﺘﻨﺪ‪ .‬ﺍﮔﺮ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﺓ ﻧﺎﻣﻪ‪ ،‬ﭘﻴﻮﺳﺖ ﻧﺎﻣﻪ ﺭﺍ ﺑﺎﺯ ﻧﻤﺎﻳﺪ ﻣﺎﻛﺮﻭﻱ ‪ Word‬ﻓﻌﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﺁﻧﮕﺎﻩ‪:‬‬
‫‪ -۱‬ﻭﻳﺮﻭﺱ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪ ،‬ﺧﻮﺩ ﺭﺍ ﺑﺮﺍﻱ ﻛﻠﻴﺔ ﻛﺴﺎﻧﻲ ﻛﻪ ﻧﺎﻣﺸﺎﻥ ﺩﺭ ﻟﻴﺴﺖ ﺁﺩﺭﺱ ﻛﺎﺭﺑﺮ ﺑﺎﺯﻛﻨﻨﺪﺓ ﻧﺎﻣﻪ ﻣﻮﺟﻮﺩ ﺑﺎﺷﺪ‬
‫ﻣﻲﻓﺮﺳﺘﺪ‪.‬‬
‫‪ -۲‬ﻭﻳﺮﻭﺱ ﺗﺨﺮﻳﺐ ﻣﺤﻠﻲ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﺩﺭ ﭘﺎﻳﺎﻥ ﺳﺎﻝ ‪۱۹۹۹‬ﻣﻴﻼﺩﻱ‪ ،‬ﻧﺴﺨﺔ ﻗﺪﺭﺗﻤﻨﺪﺗﺮﻱ ﺍﺯ ﻭﻳﺮﻭﺱ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻇﺎﻫﺮﮔﺮﺩﻳﺪ‪ .‬ﺍﻳﻦ ﻧﺴﺨﺔ ﺟﺪﻳﺪﺗﺮﻣﻲﺗﻮﺍﻧﺴﺖ‬
‫ﺻﺮﻓﺎﹰ ﺑﺎ ﺑﺎﺯﻛﺮﺩﻥ ﻳﻚ ﻧﺎﻣﺔ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺣﺎﻭﻱ ﻭﻳﺮﻭﺱ ﻓﻌﺎﻝ ﮔﺮﺩﺩ ﻭ ﻧﻴﺎﺯﻱ ﺑﻪ ﺑﺎﺯﻛﺮﺩﻥ ﭘﻴﻮﺳﺖ ﻧﺎﻣﻪ ﻧﻤﻲﺑﻮﺩ )ﻣﺜﻞ ﻭﻳﺮﻭﺱ‬
‫‪ .(I Love You‬ﺍﻳﻦ ﻭﻳﺮﻭﺱ ﺍﺯ ﺩﺳﺘﻮﺭﺍﻟﻌﻤﻞﻫﺎﻱ ﺯﺑﺎﻥ ﺑﺮﻧﺎﻣﻪﻧﻮﻳﺴﻲ ‪ Visual Basic‬ﻛﻪ ﺗﺴﻬﻴﻼﺕ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺭﺍ ﻓﺮﺍﻫﻢ‬
‫ﻣﻲﺳﺎﺯﻧﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ﻧﺴﻞ ﺟﺪﻳﺪﻱ ﺍﺯ ﺑَﺪﺍﻓﺰﺍﺭﻫﺎ ﺭﺍ ﻣﺸﺎﻫﺪﻩ ﻣﻲﻛﻨﻴﻢ ﻛﻪ ﺍﺯ ﻃﺮﻳﻖ ﻧﺎﻣﺔ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻭﺍﺭﺩ ﺷﺪﻩ ﻭ ﺍﺯ ﺧﺼﻮﺻﻴﺎﺕ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ‬
‫ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺗﺎ ﺧﻮﺩ ﺭﺍ ﺩﺭ ﺳﺮﺍﺳﺮ ﺍﻳﻨﺘﺮﻧﺖ ﮔﺴﺘﺮﺵ ﺩﻫﻨﺪ‪ .‬ﻭﻳﺮﻭﺱ ﺑﻪ ﻣﺤﺾ ﻓﻌﺎﻝ ﺷﺪﻥ ﺑﻪ ﺍﻧﺘﺸﺎﺭ ﺧﻮﺩ‬
‫ﻣﻲﭘﺮﺩﺍﺯﺩ )ﭼﻪ ﺑﺎ ﺑﺎﺯﻛﺮﺩﻥ ‪ e-mail‬ﻭ ﭼﻪ ﺑﺎ ﺑﺎﺯﻛﺮﺩﻥ ﭘﻴﻮﺳﺖ ‪ (e-mail‬ﻭ ﺧﻮﺩ ﺭﺍ ﺑﻪ ﺗﻤﺎﻡ ﺁﺩﺭﺱﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ﺻﻨﺪﻭﻕ ﭘﺴﺘﻲ‬
‫ﻣﻴﺰﺑﺎﻥ ﺁﻟﻮﺩﻩ ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﻗﺒﻼﹰ ﻣﺎﻩﻫﺎ ﻭ ﻳﺎ ﺳﺎﻝﻫﺎ ﻃﻮﻝ ﻣﻲﻛﺸﻴﺪ ﺗﺎ ﻳﻚ ﻭﻳﺮﻭﺱ ﻣﻨﺘﺸﺮ ﮔﺮﺩﺩ‪،‬‬
‫ﺣﺎﻝ ﺩﺭ ﻇﺮﻑ ﻣﺪﺕ ﻛﻮﺗﺎﻫﻲ ﻭﻳﺮﻭﺱ ﺑﻪ ﻫﻤﻪ ﺟﺎ ﺭﺍﻩ ﻣﻲﻳﺎﺑﺪ‪ .‬ﺍﻳﻦ ﻣﻮﺿﻮﻉ ﻛﺎﺭ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺿﺪﻭﻳﺮﻭﺱ ﺭﺍ ﺑﺴﻴﺎﺭ ﻣﺸﻜﻞ ﻣﻲﻛﻨﺪ ﺗﺎ‬
‫ﺑﺘﻮﺍﻧﻨﺪ ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﻭﻳﺮﻭﺱ ﻟﻄﻤﺎﺕ ﺯﻳﺎﺩﻱ ﺑﻪ ﻣﺤﺪﻭﺩﺓ ﺑﺰﺭﮔﻲ ﻭﺍﺭﺩ ﻧﻤﺎﻳﺪ‪ ،‬ﺁﻥ ﺭﺍ ﻛﺸﻒ ﻭ ﻧﺎﺑﻮﺩ ﻛﻨﻨﺪ‪ .‬ﺑﺎﻻﺧﺮﻩ‪ ،‬ﺩﺭﺟﺔ ﺑﺎﻻﺗﺮﻱ ﺍﺯ‬
‫ﺍﻣﻨﻴﺖ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﻛﻤﻜﻲ ﻭ ﻛﺎﺭﺑﺮﺩﻱ ﺍﻳﻨﺘﺮﻧﺘﻲ ﺭﻭﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﻱ ﺷﺨﺼﻲ ﺗﻌﺒﻴﻪ ﺷﻮﺩ ﺗﺎ ﺑﺎ ﺍﻳﻦ ﺗﻬﺪﻳﺪ ﻓﺰﺍﻳﻨﺪﻩ ﻣﺒﺎﺭﺯﻩ‬
‫ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫‪٣٧٩‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬
‫ﻛِﺮﻡﻫﺎ )‪(Worms‬‬
‫ﻳﻚ ﻛِﺮﻡ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺍﺳﺖ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺧﻮﺩ ﺭﺍ ﺗﻜﺜﻴﺮ ﻛﺮﺩﻩ ﻭ ﻛﭙﻲﻫﺎﻱ ﺗﻜﺜﻴﺮﺷﺪﻩ ﺭﺍ ﺩﺭ ﻋﺮﺽ ﻳﻚ ﺷﺒﻜﺔ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﺍﺯ ﺭﺍﻳﺎﻧﻪﺍﻱ‬
‫ﺑﻪ ﺭﺍﻳﺎﻧﺔ ﺩﻳﮕﺮ ﻣﻨﺘﻘﻞ ﻧﻤﺎﻳﺪ‪ .‬ﭘﺲ ﺍﺯ ﻭﺭﻭﺩ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ‪ ،‬ﻛِﺮﻡ ﻣﻤﻜﻦ ﺍﺳﺖ ﻓﻌﺎﻝ ﺷﺪﻩ‪ ،‬ﺷﺮﻭﻉ ﺑﻪ ﺗﻜﺜﻴﺮ ﻧﻤﻮﺩﻩ ﻭ ﻣﺠﺪﺩﺍﹰ ﺍﻧﺘﺸﺎﺭ‬
‫ﻳﺎﺑﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺍﻧﺘﺸﺎﺭ‪ ،‬ﻛِﺮﻡ ﻣﻌﻤﻮﻻﹰ ﻛﺎﺭﻫﺎﻱ ﻧﺎﺧﻮﺍﺳﺘﻪﺍﻱ ﺭﺍ ﻧﻴﺰ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪ .‬ﻳﻚ ﻭﻳﺮﻭﺱ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺑﻌﻀﻲ ﺍﺯ ﻣﺸﺨﺼﺎﺕ‬
‫ﻳﻚ ﻛِﺮﻡ ﺭﺍ ﺩﺍﺭﺍﺳﺖ ﺯﻳﺮﺍ ﺧﻮﺩ ﺭﺍ ﺍﺯ ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﻪ ﺳﻴﺴﺘﻢ ﺩﻳﮕﺮ ﻣﻨﺘﻘﻞ ﻣﻲﺳﺎﺯﺩ‪ .‬ﻭﻟﻲ ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ ﻣﺎ ﺁﻥ ﺭﺍ ﻳﻚ ﻭﻳﺮﻭﺱ‬
‫ﻣﻲﮔﻮﺋﻴﻢ ﺯﻳﺮﺍ ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ﺁﻥ ﻭﺍﺳﻄﺔ ﺍﻧﺴﺎﻧﻲ ﻻﺯﻡ ﺍﺳﺖ‪ .‬ﻳﻚ ﻛِﺮﻡ ﺑﻄﻮﺭ ﻓﻌﺎﻝ ﺑﻪ ﺩﻧﺒﺎﻝ ﺁﻟﻮﺩﻩ ﻛﺮﺩﻥ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺩﻳﮕﺮ ﺍﺳﺖ ﻭ ﻫﺮ‬
‫ﻣﺎﺷﻴﻨﻲ ﻛﻪ ﺁﻟﻮﺩﻩ ﻣﻲﺷﻮﺩ ﺧﻮﺩ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﭘﺎﻳﮕﺎﻩ ﺧﻮﺩﻛﺎﺭ ﺑﺮﺍﻱ ﺣﻤﻠﻪ ﺑﻪ ﻣﺎﺷﻴﻦﻫﺎﻱ ﺩﻳﮕﺮ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪.‬‬
‫ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﻛِﺮﻡﻫﺎ‪ ،‬ﺍﺯ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺷﺒﻜﻪﺍﻱ ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ﺍﺯ ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﻪ ﺳﻴﺴﺘﻢ ﺩﻳﮕﺮ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻫﻤﻴﻨﻜﻪ‬
‫ﻳﻚ ﻛِﺮﻡ ﺷﺒﻜﻪ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﻓﻌﺎﻝ ﮔﺮﺩﻳﺪ‪ ،‬ﻣﻲﺗﻮﺍﻧﺪ ﺑﺼﻮﺭﺕ ﻳﻚ ﻭﻳﺮﻭﺱ ﻳﺎ ﺑﺎﻛﺘﺮﻱ ﻋﻤﻞ ﻧﻤﻮﺩﻩ‪ ،‬ﻳﺎ ﻳﻚ ﺍﺳﺐ ﺗﺮﻭﺍ ﺭﺍ ﺩﺭ‬
‫ﺳﻴﺴﺘﻢ ﻭﺍﺭﺩ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﺑﻪ ﻫﺮ ﻣﻴﺰﺍﻥ ﻋﻤﻠﻴﺎﺕ ﺗﺨﺮﻳﺒﻲ ﻭ ﻳﺎ ﻗﻄﻊ ﺳﺮﻭﻳﺲ ﺍﻧﺠﺎﻡ ﺩﻫﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﺗﻜﺜﻴﺮ ﺧﻮﺩ‪ ،‬ﻳﻚ ﻛِﺮﻡ ﺷﺒﻜﻪ ﺍﺯ ﺑﺮﺧﻲ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺷﺒﻜﻪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﺍﻳﻦ ﻣﻮﺭﺩ ﭼﻨﻴﻦﺍﻧﺪ‪:‬‬
‫ﺗﺴﻬﻴﻼﺕ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪ :‬ﻳﻚ ﻛِﺮﻡ ﻛﭙﻲ ﺧﻮﺩ ﺭﺍ ﺑﻪ ﺳﺎﻳﺮ ﺳﻴﺴﺘﻢﻫﺎ ﭘﺴﺖ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫ﻗﺎﺑﻠﻴﺖ ﺍﺟﺮﺍ ﺩﺭ ﺩﻭﺭﺩﺳﺖ‪ :‬ﻳﻚ ﻛِﺮﻡ ﻳﻚ ﻛﭙﻲ ﺧﻮﺩ ﺭﺍ ﺩﺭ ﺳﻴﺴﺘﻢ ﺩﻳﮕﺮ ﺍﺟﺮﺍ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫ﻗﺎﺑﻠﻴﺖ ﻭﺭﻭﺩ ﺑﻪ ﺳﻴﺴﺘﻢ ﺩﺭ ﺩﻭﺭﺩﺳﺖ‪ :‬ﻳﻚ ﻛِﺮﻡ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﻛﺎﺭﺑﺮ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﺩﻭﺭﺩﺳﺖ ﻭﺍﺭﺩ ﺷﺪﻩ ﻭ ﺳﭙﺲ‬ ‫•‬
‫ﻓﺮﺍﻣﻴﻨﻲ ﺭﺍ ﺑﻜﺎﺭ ﻣﻲﮔﻴﺮﺩ ﻛﻪ ﺧﻮﺩ ﺭﺍ ﺍﺯ ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﻪ ﺳﻴﺴﺘﻢ ﺩﻳﮕﺮ ﻛﭙﻲ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻛﭙﻲ ﺟﺪﻳﺪ ﺑﺮﻧﺎﻣﺔ ﻛِﺮﻡ ﺁﻧﮕﺎﻩ ﺭﻭﻱ ﺳﻴﺴﺘﻢ ﺩﻭﺭﺩﺳﺖ ﺍﺟﺮﺍ ﺷﺪﻩ ﻛﻪ ﻋﻼﻭﻩ ﺑﺮ ﻋﻤﻠﻴﺎﺗﻲ ﻛﻪ ﺩﺭﺁﻥ ﺳﻴﺴﺘﻢ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪ ،‬ﺑﻬﻤﺎﻥ‬
‫ﺗﺮﺗﻴﺐ ﻗﺒﻞ ﺧﻮﺩ ﺭﺍ ﮔﺴﺘﺮﺵ ﻫﻢ ﻣﻲﺩﻫﺪ‪.‬‬
‫ﻳﻚ ﻛِﺮﻡ ﺷﺒﻜﻪ ﻫﻤﺎﻥ ﺧﺼﻮﺻﻴﺎﺕ ﻳﻚ ﻭﻳﺮﻭﺱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﺭﺍ ﺍﺯ ﺧﻮﺩ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ :‬ﻳﻚ ﻓﺎﺯ ﺧﻔﺘﻪ‪ ،‬ﻳﻚ ﻓﺎﺯ ﺍﻧﺘﺸﺎﺭ‪ ،‬ﻳﻚ‬
‫ﻓﺎﺯ ﺷﺮﻭﻉ ﺑﻪ ﻓﻌﺎﻟﻴﺖ ﻭ ﻳﻚ ﻓﺎﺯ ﺍﺟﺮﺍ‪ .‬ﻓﺎﺯ ﺍﻧﺘﺸﺎﺭ ﻣﻌﻤﻮﻻﹰ ﻋﻤﻠﻴﺎﺕ ﺯﻳﺮ ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪:‬‬
‫‪ -۱‬ﺑﺎ ﺑﺮﺭﺳﻲ ﺟﺪﺍﻭﻝ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﻴﺰﺑﺎﻥ ﻭ ﻳﺎ ﺳﺎﻳﺮ ﺁﺩﺭﺱﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺩﺭ ﻓﺎﻳﻞﻫﺎﻱ ﺳﻴﺴﺘﻢ ﺩﻭﺭﺩﺳﺖ‪ ،‬ﺑﻪ ﺩﻧﺒﺎﻝ ﺳﻴﺴﺘﻢﻫﺎﺋﻲ‬
‫ﻣﻲﮔﺮﺩﺩ ﻛﻪ ﺁﻧﻬﺎ ﺭﺍ ﺁﻟﻮﺩﻩ ﺳﺎﺯﺩ‪.‬‬
‫‪ -۲‬ﻳﻚ ﺍﺗﺼﺎﻝ ﺑﺎ ﺳﻴﺴﺘﻢ ﺩﻭﺭﺩﺳﺖ ﺑﺮﻗﺮﺍﺭ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ -۳‬ﺧﻮﺩ ﺭﺍ ﺩﺭ ﺳﻴﺴﺘﻢ ﺩﻭﺭﺩﺳﺖ ﻛﭙﻲ ﻛﺮﺩﻩ ﻭ ﺗﺮﺗﻴﺒﻲ ﺍﺗﺨﺎﺫ ﻣﻲﻛﻨﺪ ﻛﻪ ﻛﭙﻲ ﺍﺟﺮﺍ ﺷﻮﺩ‪.‬‬
‫ﻛِﺮﻡ ﺷﺒﻜﻪ ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﻗﺒﻞ ﺍﺯ ﺁﻟﻮﺩﻩﻛﺮﺩﻥ ﺳﻴﺴﺘﻢ ﺗﻼﺵ ﻛﻨﺪ ﺗﺎ ﺑﻔﻬﻤﺪ ﻛﻪ ﺁﻳﺎ ﺳﻴﺴﺘﻢ ﻗﺒﻼﹰ ﺁﻟﻮﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ﻳﺎ‬
‫ﺧﻴﺮ؟ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﺎ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻣﺘﻌﺪﺩ‪ ،‬ﻛِﺮﻡ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺎ ﭘﻮﺷﻴﺪﻥ ﻟﺒﺎﺱ ﻣﺒﺪّﻝ ﺧﻮﺩ ﺭﺍ ﺑﺠﺎﻱ ﻳﻚ ﭘﺮﺩﺍﺯﺵ ﻭ ﻳﺎ ﻧﺎﻡ ﺩﻳﮕﺮﻱ‬
‫ﻛﻪ ﺑﺮﺍﻱ ﺍﭘﺮﺍﺗﻮﺭ ﺳﻴﺴﺘﻢ ﺁﺷﻨﺎ ﺑﺎﺷﺪ ﺟﺎ ﺑﺰﻧﺪ‪.‬‬
‫ﻫﻤﺎﻧﻨﺪ ﻭﻳﺮﻭﺱﻫﺎ‪ ،‬ﻣﺒﺎﺭﺯﻩ ﺑﺎ ﻛِﺮﻡﻫﺎﻱ ﺷﺒﻜﻪ ﻛﺎﺭﻱ ﺩﺷﻮﺍﺭ ﺍﺳﺖ‪.‬‬
‫ﻛِﺮﻡ ﻣﻮﺭﻳﺲ )‪(Morris‬‬

‫ﺗﺎ ﺗﻮﻟﻴﺪ ﻧﺴﻞ ﺟﺪﻳﺪ ﻛِﺮﻡﻫﺎ‪ ،‬ﻣﺸﻬﻮﺭﺗﺮﻳﻦ ﻛِﺮﻡ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﻛِﺮﻣﻲ ﺑﻮﺩ ﻛﻪ ﺩﺭ ﺳﺎﻝ ‪ ۱۹۸۸‬ﻣﻴﻼﺩﻱ ﺑﺘﻮﺳﻂ‬
‫‪ Robert Morris‬ﺩﺭ ﺍﻳﻨﺘﺮﻧﺖ ﺭﻫﺎ ﮔﺮﺩﻳﺪ‪ .‬ﻛِﺮﻡ ‪ Morris‬ﺑﺮﺍﻱ ﮔﺴﺘﺮﺵ ﺩﺭ ﺳﻴﺴﺘﻢﻫﺎﻱ ‪ UNIX‬ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺑﻮﺩ ﻭ ﺗﻜﻨﻴﻚﻫﺎﻱ‬
‫ﻣﺘﻔﺎﻭﺗﻲ ﺑﺮﺍﻱ ﺍﻧﺘﺸﺎﺭ ﺭﺍ ﺑﻜﺎﺭ ﻣﻲﺑﺴﺖ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﻧﺴﺨﺔ ﺁﻥ ﺍﺟﺮﺍ ﻣﻲﮔﺮﺩﻳﺪ‪ ،‬ﺍﻭﻟﻴﻦ ﻭﻇﻴﻔﺔ ﺁﻥ ﺷﻨﺎﺳﺎﺋﻲ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﻣﻴﺰﺑﺎﻥ‬
‫ﻓﺼﻞ ﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٨٠‬‬
‫ﺟﺎﺭﻱ ﺑﻮﺩ ﻛﻪ ﻭﺭﻭﺩ ﺑﻪ ﺧﻮﺩ ﺍﺯ ﻃﺮﻑ ﻣﻴﺰﺑﺎﻥ ﺟﺎﺭﻱ ﺭﺍ ﺍﺟﺎﺯﻩ ﻣﻲﺩﺍﺩﻧﺪ‪ .‬ﻛِﺮﻡ ﺍﻳﻦ ﻋﻤﻞ ﺭﺍ ﺑﺎ ﺁﺯﻣﺎﻳﺶ ﻟﻴﺴﺖﻫﺎ ﻭ ﺟﺪﺍﻭﻝ ﻣﺘﻌﺪﺩﻱ‬
‫ﻛﻪ ﺷﺎﻣﻞ ﺟﺪﺍﻭﻝ ﺳﻴﺴﺘﻢﻫﺎ ﻛﻪ ﻣﺸﺨﺺ ﻣﻲﻧﻤﺎﻳﺪ ﻛﺪﺍﻡ ﻣﺎﺷﻴﻦﻫﺎ ﻃﺮﻑ ﺍﻋﺘﻤﺎﺩ ﺳﻴﺴﺘﻢ ﺟﺎﺭﻱ ﺑﻮﺩﻩ‪ ،‬ﻓﺎﻳﻞﻫﺎﻱ ﭘﺴﺘﻲ ﻛﺎﺭﺑﺮ ﺑﺮﺍﻱ‬
‫ﺍﻧﺘﻘﺎﻝ ﻧﺎﻣﻪﻫﺎﻱ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪ ،‬ﺟﺪﺍﻭﻟﻲ ﻛﻪ ﻛﺎﺭﺑﺮﺍﻥ ﺑﺮﺍﻱ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺣﺴﺎﺏﻫﺎﻱ ﺩﻭﺭﺩﺳﺖ ﺑﻜﺎﺭ ﻣﻲﺑﺮﻧﺪ‪ ،‬ﻭ ﻫﻤﭽﻨﻴﻦ ﺑﺮﻧﺎﻣﻪﺍﻱ ﻛﻪ‬
‫ﺍﺗﺼﺎﻻﺕ ﺷﺒﻜﻪ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ ،‬ﺷﺮﻭﻉ ﻣﻲﻛﺮﺩ‪ .‬ﺑﺮﺍﻱ ﻫﺮ ﻣﻴﺰﺑﺎﻥ ﺟﺪﻳﺪ ﻛﺸﻒ ﺷﺪﻩ‪ ،‬ﻛِﺮﻡ ﺭﻭﺵﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺑﺮﺍﻱ ﻛﺴﺐ‬
‫ﺩﺳﺖﻳﺎﺑﻲ ﺭﺍ ﺍﻣﺘﺤﺎﻥ ﻣﻲﻧﻤﻮﺩ‪:‬‬
‫‪ -۱‬ﺳﻌﻲ ﻣﻴﻜﺮﺩ ﺗﺎ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﻛﺎﺭﺑﺮ ﻗﺎﻧﻮﻧﻲ ﺑﻪ ﻣﻴﺰﺑﺎﻥ ﺩﻭﺭ ﻭﺍﺭﺩ ﺷﻮﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﺭﻭﺵ‪ ،‬ﻛِﺮﻡ ﺍﻭﻝ ﺗﻼﺵ ﻣﻲﻧﻤﻮﺩ ﺗﺎ ﻓﺎﻳﻞ‬
‫ﻛﻠﻤﻪ ﻋﺒﻮﺭ ﻣﺤﻠﻲ ﺭﺍ ﺷﻜﺴﺘﻪ )‪ (cracking‬ﻭ ﺳﭙﺲ ﺍﺯ ‪ ID‬ﻭ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻛﺸﻒ ﺷﺪﻩ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪ .‬ﻓﺮﺽ ﺑﺮﺍﻳﻦ ﺑﻮﺩ‬
‫ﻛﻪ ﻛﺎﺭﺑﺮﺍﻥ ﻣﺘﻌﺪﺩﻱ ﻫﻤﻴﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺩﺭ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺑﻜﺎﺭ ﻣﻲﺑﺮﻧﺪ‪ .‬ﺑﺮﺍﻱ ﺑﺪﺳﺖ ﺁﻭﺭﺩﻥ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ‪،‬‬
‫ﻛِﺮﻡ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﺷﻜﺴﺘﻦ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﺭﺍ ﺍﺟﺮﺍ ﻣﻲﻧﻤﻮﺩ ﻛﻪ ﺷﺎﻣﻞ ﻣﺮﺍﺣﻞ ﺯﻳﺮ ﺑﻮﺩ‪:‬‬
‫)ﺍﻟﻒ( ﻧﺎﻡ ﺣﺴﺎﺏ ﺷﺨﺺ ﻭ ﻫﻤﺔ ﺟﺎﻳﮕﺸﺖﻫﺎﻱ ﺁﻥ ﺭﺍ ﺍﻣﺘﺤﺎﻥ ﻣﻲﻛﺮﺩ‪.‬‬
‫)ﺏ( ﻳﻚ ﻟﻴﺴﺖ ﺩﺍﺧﻠﻲ ‪ -۴۳۲‬ﺗﺎﺋﻲ ﺍﺯ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻛﻪ ‪ Morris‬ﺁﻧﻬﺎ ﺭﺍ ﻣﺤﺘﻤﻞ ﻣﻲﺩﺍﻧﺴﺖ ﺁﺯﻣﺎﻳﺶ ﻣﻲﺷﺪ‪.‬‬
‫)ﺝ( ﺗﻤﺎﻡ ﻛﻠﻤﺎﺕ ﻣﻮﺟﻮﺩ ﺩﺭ ﻟﻐﺖﻧﺎﻣﺔ ﻣﺤﻠﻲ ﺳﻴﺴﺘﻢ ﺍﻣﺘﺤﺎﻥ ﻣﻲﺷﺪ‪.‬‬
‫‪ -۲‬ﺍﺯ ﻳﻚ ﺍِﺷﻜﺎﻝ ﺩﺭ ﭘﺮﻭﺗﻜﻞ ‪ finger‬ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺗﺎ ﻣﺤﻞ ﻳﻚ ﻛﺎﺭﺑﺮ ﺩﻭﺭ ﺭﺍ ﺣﺪﺱ ﺑﺰﻧﺪ‪.‬‬
‫‪ -۳‬ﺍﺯ ﻳﻚ ﺩﺭﺏ ﻣﺨﻔﻲ ﺩﺭ ﮔﺰﻳﻨﺔ ﺍﺷﻜﺎﻝﺯﺩﺍﺋﻲ ﭘﺮﺩﺍﺯﺵ ﺩﻭﺭ‪ ،‬ﻛﻪ ﻧﺎﻣﻪﻫﺎ ﺭﺍ ﺍﺭﺳﺎﻝ ﻭ ﺩﺭﻳﺎﻓﺖ ﻣﻲﻧﻤﺎﻳﺪ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻣﻲﻛﺮﺩ‪.‬‬
‫ﺍﮔﺮ ﻫﺮﻳﻚ ﺍﺯ ﻋﻤﻠﻴﺎﺕ ﻓﻮﻕ ﺑﻪ ﻣﻮﻓﻘﻴﺖ ﻣﻲﺍﻧﺠﺎﻣﻴﺪ‪ ،‬ﻛِﺮﻡ ﺍﺭﺗﺒﺎﻁ ﺑﺎ ﻣﺘﺮﺟﻢ ﻓﺮﺍﻣﻴﻦ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺭﺍ ﺣﺎﺻﻞ ﻣﻲﻧﻤﻮﺩ‪ .‬ﺳﭙﺲ‬
‫ﻛِﺮﻡ ﺑﻪ ﺍﻳﻦ ﻣﺘﺮﺟﻢ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ‪ bootstap‬ﺍﺭﺳﺎﻝ ﻛﺮﺩﻩ‪ ،‬ﻓﺮﻣﺎﻧﻲ ﺑﺮﺍﻱ ﺍﺟﺮﺍﻱ ﺍﻳﻦ ﺑﺮﻧﺎﻣﻪ ﺻﺎﺩﺭ ﻛﺮﺩﻩ ﻭ ﺍﺯ ﺳﻴﺴﺘﻢ ﺧﺎﺭﺝ ﻣﻲﺷﺪ‪.‬‬
‫ﺑﺮﻧﺎﻣﺔ ‪ bootstrap‬ﺩﺭ ﺣﻴﻦ ﺍﺟﺮﺍ‪ ،‬ﺑﺮﻧﺎﻣﺔ ﻣﺎﺩﺭ ﺭﺍ ﺻﺪﺍ ﺯﺩﻩ ﻭ ﺑﻘﻴﻪ ﻛِﺮﻡ ﺭﺍ ﭘﻴﺎﺩﻩ ﻣﻲﻛﺮﺩ‪ .‬ﻛِﺮﻡ ﺟﺪﻳﺪ ﺳﭙﺲ ﺍﺟﺮﺍ ﻣﻲﮔﺮﺩﻳﺪ‪.‬‬
‫ﺣﻤﻼﺕ ﺟﺪﻳﺪ ﻛِﺮﻡﻫﺎ‬
‫ﺩﻭﺭﺓ ﻣﺪﺭﻥ ﺗﻬﺪﻳﺪ ﻛِﺮﻡﻫﺎ ﺑﺎ ﺭﻫﺎ ﺷﺪﻥ ﻛِﺮﻡ ‪ Code Red‬ﺩﺭ ﻣﺎﻩ ﮊﻭﺋﻴﺔ ﺳﺎﻝ ‪ ۲۰۰۱‬ﻣﻴﻼﺩﻱ ﺁﻏﺎﺯ ﺷﺪ‪ Code Red .‬ﺍﺯ‬
‫ﻳﻚ ﺣﻔﺮﺓ ﺍﻣﻨﻴﺘﻲ ﺩﺭ ‪ (Microsoft Internet Information Server) IIS‬ﺑﺮﺍﻱ ﻧﻔﻮﺫ ﻭ ﮔﺴﺘﺮﺵ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ‬
‫ﻛِﺮﻡ ﻫﻤﭽﻨﻴﻦ ﻛﻨﺘﺮﻝﻛﻨﻨﺪﺓ ﻓﺎﻳﻞﻫﺎﻱ ﺳﻴﺴﺘﻤﻲ ﺩﺭ ‪ Windows‬ﺭﺍ ﻏﻴﺮﻓﻌﺎﻝ ﻣﻲﻛﻨﺪ‪ .‬ﻛِﺮﻡ ﺑﺼﻮﺭﺕ ﺗﺼﺎﺩﻓﻲ ﺍﺯ ﺁﺩﺭﺱﻫﺎﻱ ‪IP‬‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺗﺎ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﺩﻳﮕﺮ ﺭﺍ ﺁﻟﻮﺩﻩ ﺳﺎﺯﺩ‪ .‬ﺩﺭ ﺧﻼﻝ ﺩﻭﺭﺓ ﺯﻣﺎﻧﻲ ﻣﺸﺨﺼﻲ‪ ،‬ﻛِﺮﻡ ﻓﻘﻂ ﺍﻧﺘﺸﺎﺭ ﻣﻲﻳﺎﺑﺪ‪ .‬ﺳﭙﺲ ﺑﺎ ﺑﻤﺒﺎﺭﺍﻥ‬
‫ﻛﺮﺩﻥ ﻳﻚ ﻭِﺏﺳﺎﻳﺖ ﺑﺎ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ ﺍﺯ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﻣﺨﺘﻠﻒ‪ ،‬ﻳﻚ ﺣﻤﻠﺔ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ )‪ (Denial of Service‬ﺭﺍ ﺁﻏﺎﺯ‬
‫ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﻛِﺮﻡ ﺁﻧﮕﺎﻩ ﻓﻌﺎﻟﻴﺖ ﺧﻮﺩ ﺭﺍ ﺑﻪ ﺣﺎﻝ ﺗﻌﻠﻴﻖ ﺩﺭﺁﻭﺭﺩﻩ ﻭﻟﻲ ﺑﻄﻮﺭ ﺗﻨﺎﻭﺑﻲ ﻓﻌﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﻣﻮﺝ ﺩﻭﻡ ﺣﻤﻼﺕ‪Code Red ،‬‬
‫ﺗﻘﺮﻳﺒﺎﹰ ‪ ۳۶۰,۰۰۰‬ﺳِﺮﻭﺭ ﺭﺍ ﺩﺭ ﻇﺮﻑ ‪ ۲۴‬ﺳﺎﻋﺖ ﺁﻟﻮﺩﻩ ﻧﻤﻮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﻓﺎﺟﻌﻪﺍﻱ ﻛﻪ ﺑﺮﺍﻱ ﺳِﺮﻭﺭ ﻫﺪﻑ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪Code Red ،‬‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﻣﻘﺎﺩﻳﺮ ﺣﺠﻴﻤﻲ ﺍﺯ ﻇﺮﻓﻴﺖ ﺍﻳﻨﺘﺮﻧﺖ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﮔﺮﻓﺘﻪ ﻭ ﺳﺮﻭﻳﺲ ﺭﺍ ﻣﺨﺘﻞ ﺳﺎﺯﺩ‪.‬‬
‫‪ Code Red II‬ﻧﻮﻉ ﺩﻳﮕﺮﻱ ﺍﺯ ﺍﻳﻦ ﻛِﺮﻡ ﺍﺳﺖ ﻛﻪ ‪ Microsoft IIS‬ﻫﺪﻑ ﺁﻥ ﺍﺳﺖ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ‪ ،‬ﻛِﺮﻡ ﺟﺪﻳﺪ ﻳﻚ ﺩﺭﺏ‬
‫ﻣﺨﻔﻲ ﺩﺭ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻗﺮﺑﺎﻧﻲ ﺍﻳﺠﺎﺩ ﻛﺮﺩﻩ ﻛﻪ ﺑﻪ ﻳﻚ ﻫَﻜﺮ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﺍﻳﻦ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺭﺍ ﻫﺪﺍﻳﺖ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺩﺭ ﺍﻭﺍﺧﺮ ﺳﺎﻝ ‪ ،۲۰۰۱‬ﻛِﺮﻡ ﺩﻳﮕﺮﻱ ﺑﺎ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﻣﺘﻨﻮﻉ ﺑﻨﺎﻡ ‪ Nimda‬ﻫﻮﻳﺪﺍ ﮔﺮﺩﻳﺪ‪ Nimda .‬ﺑﺮﺍﻱ ﮔﺴﺘﺮﺵ ﺍﺯ‬
‫ﺳﺎﺯﻭﻛﺎﺭﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪:‬‬
‫‪٣٨١‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬
‫ﺍﺯ ﻳﻚ ﻛﻼﻳﻨﺖ ﺑﻪ ﻛﻼﻳﻨﺖ ﺩﻳﮕﺮ‪ ،‬ﺍﺯ ﻃﺮﻳﻖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪.‬‬ ‫•‬

‫ﺍﺯ ﻳﻚ ﻛﻼﻳﻨﺖ ﺑﻪ ﻛﻼﻳﻨﺖ ﺩﻳﮕﺮ‪ ،‬ﺍﺯ ﻃﺮﻳﻖ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺍﺷﺘﺮﺍﻛﻲ ﻳﻚ ﺷﺒﻜﺔ ﺑﺎﺯ‪.‬‬ ‫•‬
‫ﺍﺯ ﻳﻚ ﺳِﺮﻭﺭ ﻭِﺏ ﺑﻪ ﻛﻼﻳﻨﺖ‪ ،‬ﺍﺯ ﻃﺮﻳﻖ ﻣﺮﻭﺭﻛﺮﺩﻥ ﺳﺎﻳﺖﻫﺎﻱ ﻣﻮﺭﺩ ﺣﻤﻠﻪ ﻗﺮﺍﺭﮔﺮﻓﺘﻪ‪.‬‬ ‫•‬
‫ﺍﺯ ﻳﻚ ﻛﻼﻳﻨﺖ ﺑﻪ ﺳِﺮﻭﺭ ﻭِﺏ‪ ،‬ﺍﺯ ﻃﺮﻳﻖ ﺍِﺳﻜﻦ ﻛﺮﺩﻥ ﻓﻌﺎﻝ ﻭ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻧﻘﺎﻁ ﺁﺳﻴﺐﭘﺬﻳﺮ ﻓﻬﺮﺳﺖﻫﺎﻱ‬ ‫•‬
‫‪.Microsoft IIS 4.0/5.0‬‬
‫ﺍﺯ ﻳﻚ ﻛﻼﻳﻨﺖ ﺑﻪ ﺳِﺮﻭﺭ ﻭِﺏ‪ ،‬ﺍﺯﻃﺮﻳﻖ ﺟﺴﺘﺠﻮ ﺑﺮﺍﻱ ﺩﺭﺏﻫﺎﻱ ﻣﺨﻔﻲ ﺑﺠﺎﻣﺎﻧﺪﻩ ﺑﺘﻮﺳﻂ ﻛِﺮﻡﻫﺎﻱ "‪."Code Red II‬‬ ‫•‬
‫ﺍﻳﻦ ﻛِﺮﻡ‪ ،‬ﺍﺳﻨﺎﺩ ﻭِﺏ )ﻣﺜﻞ ﻓﺎﻳﻞﻫﺎﻱ ﺑﺎ ﭘﺴﻮﻧﺪ ‪ .html ،.htm‬ﻭ ‪ (.asp‬ﻭ ﻓﺎﻳﻞﻫﺎﻱ ﺍﺟﺮﺍﺋﻲ ﺩﻳﮕﺮ ﺩﺭ ﺳﻴﺴﺘﻢ ﺁﻟﻮﺩﻩ ﺷﺪﻩ ﺭﺍ ﺗﻐﻴﻴﺮ‬
‫ﺩﺍﺩﻩ ﻭ ﻧﺴﺨﻪﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺍﺯ ﺧﻮﺩ ﺗﺤﺖ ﻧﺎﻡﻫﺎﻱ ﻣﺘﻔﺎﻭﺕ ﺭﺍ ﺧﻠﻖ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺩﺭ ﺍﻭﺍﺋﻞ ﺳﺎﻝ ‪ ،۲۰۰۳‬ﻛِﺮﻡ ‪ SQL Slammer‬ﻇﺎﻫﺮ ﮔﺮﺩﻳﺪ‪ .‬ﺍﻳﻦ ﻛِﺮﻡ ﺍﺯ ﻧﻘﻄﺔ ﺿﻌﻒ ﺳﺮﺭﻳﺰﺷﺪﻥ ﺣﺎﻓﻈﺔ ﻣﻮﻗﺖ ﺳِﺮﻭﺭ‬
‫‪ Microsoft SQL‬ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﺮﺩ‪ Slammer .‬ﺑﻄﻮﺭ ﻓﻮﻕﺍﻟﻌﺎﺩﻩﺍﻱ ﻣﺘﺮﺍﻛﻢ ﺑﻮﺩ ﻭ ﺑﺴﺮﻋﺖ ﮔﺴﺘﺮﺵ ﻣﻲﻳﺎﻓﺖ ﺑﻄﻮﺭﻱ ﻛﻪ‬
‫ﺩﺭ ﻇﺮﻑ ﺩﻩ ﺩﻗﻴﻘﻪ ‪ %۹۰‬ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺭﺍ ﺁﻟﻮﺩﻩ ﻣﻲﻛﺮﺩ‪ .‬ﭘﺎﻳﺎﻥ ﺳﺎﻝ ‪ ۲۰۰۳‬ﺷﺎﻫﺪ ﻇﻬﻮﺭ ﻛِﺮﻡ ‪ Sobig.f‬ﺑﻮﺩ ﻛﻪ ﺍﺯ‬
‫ﺳِﺮﻭﺭﻫﺎﻱ ﺑﺎﺯ ﭘﺮﻭﻛﺴﻲ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﺁﻧﻬﺎ ﺭﺍ ﺑﻪ ﭘﺎﻳﮕﺎﻫﻲ ﺑﺮﺍﻱ ﺍﺭﺳﺎﻝ ﻫَﺮﺯﻧﺎﻣﻪ ﺗﺒﺪﻳﻞ ﻣﻲﻛﺮﺩ‪ .‬ﺩﺭ ﺍﻭﺝ ﻓﻌﺎﻟﻴﺖ ﺧﻮﺩ‪،‬‬
‫‪ Sobig.f‬ﺑﺮﺍﺑﺮ ﮔﺰﺍﺭﺵﻫﺎﻱ ﺍﻋﻼﻡ ﺷﺪﻩ‪ ،‬ﻋﺎﻣﻞ ﺍﺭﺳﺎﻝ ﻳﻚ ﭘﻴﺎﻡ ﺩﺭ ﻫﺮ ‪ ۱۷‬ﭘﻴﺎﻡ ﺑﻮﺩ ﻭ ﺩﺭ ﺍﻭﻟﻴﻦ ‪ ۲۴‬ﺳﺎﻋﺖ ﺣﻀﻮﺭ‪ ،‬ﻳﻚ ﻣﻴﻠﻴﻮﻥ‬
‫ﻛﭙﻲ ﺍﺯ ﺧﻮﺩ ﺑﺮﺟﺎﻱ ﮔﺬﺍﺷﺖ‪.‬‬
‫‪ Mydoom‬ﻳﻚ ﻛِﺮﻡ ﭘﺮﺣﺠﻢ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺑﻮﺩ ﻛﻪ ﺩﺭ ﺳﺎﻝ ‪ ۲۰۰۴‬ﻇﺎﻫﺮ ﮔﺮﺩﻳﺪ‪ .‬ﺍﻳﻦ ﻛﺮﻡ ﺍﺯ ﺷﮕﺮﺩ ﻓﺰﺍﻳﻨﺪﺓ ﺍﻳﺠﺎﺩ‬
‫ﻳﻚ ﺩﺭﺏ ﻣﺨﻔﻲ ﺩﺭ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﻱ ﺁﻟﻮﺩﻩ ﺷﺪﻩ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﺮﺩ ﻛﻪ ﺑﻪ ﻫَﻜﺮﻫﺎ ﺍﺟﺎﺯﻩ ﻣﻲﺩﺍﺩ ﺗﺎ ﺍﺯ ﺍﻳﻦ ﻃﺮﻳﻖ ﺑﻪ ﺩﺍﺩﻩﻫﺎﻱ ﻣﻬﻤﻲ‬
‫ﻫﻤﭽﻮﻥ ﻛﻠﻤﺎﺕ ﻋﺒﻮﺭ ﻭ ﺷﻤﺎﺭﺓ ﻛﺎﺭﺕﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﻱ ﺩﺳﺖ ﻳﺎﺑﻨﺪ‪ Mydoom .‬ﺗﺎ ﻫﺰﺍﺭﺑﺎﺭ ﺩﺭ ﻫﺮ ﺩﻗﻴﻘﻪ ﺗﻜﺜﻴﺮ ﻣﻲﺷﺪ ﻭ ﺑﺮﺍﺑﺮ‬
‫ﮔﺰﺍﺭﺷﺎﺕ‪ ،‬ﺍﻳﻨﺘﺮﻧﺖ ﺭﺍ ﺑﺎ ﺍﺭﺳﺎﻝ ‪ ۱۰۰‬ﻣﻴﻠﻴﻮﻥ ﭘﻴﺎﻡ ﺩﺭ ﻋﺮﺽ ‪ ۳۶‬ﺳﺎﻋﺖ ﺁﻟﻮﺩﻩ ﻛﺮﺩ‪.‬‬
‫ﻭﺿﻌﻴﺖ ﺗﻜﻨﻮﻟﻮﮊﻱ ﻛِﺮﻡﻫﺎ‬

‫ﻭﺿﻌﻴﺖ ﻓﻌﻠﻲ ﺗﻜﻨﻮﻟﻮﮊﻱ ﻛِﺮﻡﻫﺎ ﺷﺎﻣﻞ ﻣﻮﺍﺭﺩ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﺣﻤﻠﻪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎﻱ ﻣﺨﺘﻠﻒ‪ :‬ﻛِﺮﻡﻫﺎﻱ ﺟﺪﻳﺪﺗﺮ ﻣﻨﺤﺼﺮ ﺑﻪ ﺭﺍﻳﺎﻧﻪﻫﺎﺋﻲ ﺑﺎ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ‪ Windows‬ﻧﺒﻮﺩﻩ‬ ‫•‬
‫ﺑﻠﻜﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞﻫﺎﻱ ﻣﺘﻌﺪﺩﻱ ﺣﻤﻠﻪ ﻧﻤﺎﻳﻨﺪ ﻛﻪ ﺍﺯ ﺁﻥ ﺟﻤﻠﻪ ﺍﻧﻮﺍﻉ ‪ UNIX‬ﻣﻲﺑﺎﺷﺪ‪.‬‬
‫ﺍﺳﺘﺜﻤﺎﺭ ﭼﻨﺪﮔﺎﻧﻪ‪ :‬ﻛِﺮﻡﻫﺎﻱ ﺟﺪﻳﺪ ﺑﻪ ﻃﺮﻕ ﻣﺨﺘﻠﻒ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎ ﻧﻔﻮﺫ ﻛﺮﺩﻩ ﻭ ﺍﺯ ﺳِﺮﻭﺭﻫﺎﻱ ﻭِﺏ‪ ،‬ﻣﺮﻭﺭﮔﺮﻫﺎ‪ ،‬ﭘﺴﺖ‬ ‫•‬
‫ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‪ ،‬ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﮔﺬﺍﺷﺘﻦ ﻓﺎﻳﻞﻫﺎ ﻭ ﺳﺎﻳﺮ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﺷﺒﻜﻪ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫ﮔﺴﺘﺮﺵ ﻓﻮﻕ ﺳﺮﻳﻊ‪ :‬ﻳﻜﻲ ﺍﺯ ﺭﻭﺵﻫﺎﺋﻲ ﻛﻪ ﺑﺮﺍﻱ ﺳﺮﻋﺖ ﺑﺨﺸﻴﺪﻥ ﺑﻪ ﮔﺴﺘﺮﺵ ﻛِﺮﻡ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ ﻳﻚ‬ ‫•‬
‫ﭘﻴﺶ ﺍِﺳﻜﻦ ﺍﻳﻨﺘﺮﻧﺖ ﺑﺮﺍﻱ ﺟﻤﻊﺁﻭﺭﻱ ﺁﺩﺭﺱ ﻣﺎﺷﻴﻦﻫﺎﻱ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺍﺳﺖ‪.‬‬
‫ﭼﻨﺪﭼﻬﺮﮔﻲ‪ :‬ﺑﺮﺍﻱ ﻓﺮﺍﺭ ﺍﺯ ﻛﺸﻒ ﺷﺪﻥ‪ ،‬ﻋﺒﻮﺭ ﺍﺯ ﻓﻴﻠﺘﺮﻫﺎ ﻭ ﺧﻨﺜﻲ ﻛﺮﺩﻥ ﺗﺤﻠﻴﻞﻫﺎﻱ ﺑﺮﺧﻂ‪ ،‬ﻛِﺮﻡﻫﺎ ﺍﺯ ﺗﻜﻨﻴﻚ‬ ‫•‬
‫ﻭﻳﺮﻭﺱﻫﺎﻱ ﭼﻨﺪﭼﻬﺮﻩ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻫﺮ ﻛﭙﻲ ﻛِﺮﻡ ﻳﻚ ﻛﹸﺪ ﺟﺪﻳﺪ ﺍﻳﺠﺎﺩ ﻛﺮﺩﻩ ﻛﻪ ﺍﺯ ﻧﻈﺮ ﻋﻤﻠﻜﺮﺩ ﺩﺍﺭﺍﻱ ﻓﺮﺍﻣﻴﻦ‬
‫ﻣﺸﺎﺑﻪ ﻭ ﺗﻜﻨﻴﻚﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻳﻜﺴﺎﻥ ﻫﺴﺘﻨﺪ‪.‬‬
‫ﺩﮔﺮﺩﻳﺴﻲ‪ :‬ﻋﻼﻭﻩ ﺑﺮ ﻋﻮﺽ ﻛﺮﺩﻥ ﻇﺎﻫﺮ ﺧﻮﺩ‪ ،‬ﻛِﺮﻡﻫﺎﻱ ﺩﮔﺮﺩﻳﺲ ﺩﺍﺭﺍﻱ ﻳﻚ ﻓﻬﺮﺳﺖ ﺍﺯ ﺍﻟﮕﻮﻫﺎﻱ ﺭﻓﺘﺎﺭﻱ ﻣﺘﻔﺎﻭﺕﺍﻧﺪ‬ ‫•‬
‫ﻛﻪ ﺩﺭ ﻣﺮﺍﺣﻞ ﻣﺨﺘﻠﻒ ﺍﻧﺘﺸﺎﺭ ﺍﺯ ﺁﻧﻬﺎ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٨٢‬‬
‫ﻭﺳﻴﻠﺔ ﺣﻤﻞ ﻭ ﻧﻘﻞ‪ :‬ﭼﻮﻥ ﻛِﺮﻡﻫﺎ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﻪ ﺳﺮﻋﺖ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺯﻳﺎﺩﻱ ﺭﺍ ﺁﻟﻮﺩﻩ ﻧﻤﺎﻳﻨﺪ‪ ،‬ﺍﻏﻠﺐ ﻣﺤﻤﻞ ﺧﻄﺮﻧﺎﻛﻲ‬ ‫•‬
‫ﺑﺮﺍﻱ ﺣﻤﻞ ﺳﺎﻳﺮ ﺍﺑﺰﺍﺭﻫﺎﻱ ﺣﻤﻼﺕ ﮔﺴﺘﺮﺩﻩ ﺍﺯ ﻗﺒﻴﻞ ﺯﺍﻣﺒﻲﻫﺎ ﺩﺭ ﺣﻤﻼﺕ ﮔﺴﺘﺮﺩﺓ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ ﻫﺴﺘﻨﺪ‪.‬‬
‫ﺍﺳﺘﺜﻤﺎﺭ ﻏﺎﻓﻠﮕﻴﺮﺍﻧﻪ‪ :‬ﺑﺮﺍﻱ ﮔﺴﺘﺮﺵ ﻣﺎﻛﺰﻳﻤﻢ ﻭ ﺍﻳﺠﺎﺩ ﺣﺪﺍﻛﺜﺮ ﻏﺎﻓﻞﮔﻴﺮﻱ‪ ،‬ﻳﻚ ﻛِﺮﻡ ﺑﺎﻳﺪ ﺍﺯ ﻳﻚ ﺁﺳﻴﺐﭘﺬﻳﺮﻱ‬ ‫•‬
‫ﻧﺎﺷﻨﺎﺧﺘﻪ ﻛﻪ ﺗﻨﻬﺎ ﺍﻣﻜﺎﻥ ﻛﺸﻒ ﺁﻥ ﺩﺭ ﻳﻚ ﻣﺤﻴﻂ ﻋﻤﻮﻣﻲ ﺷﺒﻜﻪ ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﺍﺳﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪.‬‬
‫ﺭﻭﺵﻫﺎﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﻭﻳﺮﻭﺱﻫﺎ‬ ‫‪۱۰-۲‬‬
‫ﺑﻜﺎﺭﮔﻴﺮﻱ ﺁﻧﺘﻲﻭﻳﺮﻭﺱﻫﺎ‬
‫ﺭﺍﻩ ﺣﻞ ﺍﻳﺪﻩﺁﻝ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﻬﺪﻳﺪ ﻭﻳﺮﻭﺱﻫﺎ‪ ،‬ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﻭﺭﻭﺩ ﺁﻧﻬﺎﺳﺖ‪ :‬ﺩﺭ ﻭﻫﻠﺔ ﺍﻭﻝ ﺑﻪ ﻭﻳﺮﻭﺱ ﺍﺟﺎﺯﻩ ﻧﺪﻫﻴﺪ ﻛﻪ ﻭﺍﺭﺩ ﺳﻴﺴﺘﻢ‬
‫ﺷﻮﺩ‪ .‬ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺍﻳﻦ ﻫﺪﻑ ﻣﻌﻤﻮﻻﹰ ﻏﻴﺮﻣﻤﻜﻦ ﺍﺳﺖ ﻭﻟﻲ ﭘﻴﺶﮔﻴﺮﻱ‪ ،‬ﺣﻤﻼﺕ ﻣﻮﻓﻖ ﻭﻳﺮﻭﺱﻫﺎ ﺭﺍ ﻛﺎﻫﺶ ﺧﻮﺍﻫﺪ ﺩﺍﺩ‪ .‬ﺑﻬﺘﺮﻳﻦ‬
‫ﻋﻤﻞ ﺑﻌﺪﻱ ﺍﻧﺠﺎﻡ ﻛﺎﺭﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﺗﺸﺨﻴﺺ‪ :‬ﻭﻗﺘﻲ ﻭﻳﺮﻭﺱ ﺳﻴﺴﺘﻤﻲ ﺭﺍ ﺁﻟﻮﺩﻩ ﻛﺮﺩ‪ ،‬ﺍﺯ ﺍﻳﻦ ﺍﺗﻔﺎﻕ ﺁﮔﺎﻩ ﺷﻮﻳﺪ ﻭ ﻣﺤﻞ ﻭﻳﺮﻭﺱ ﺭﺍ ﻛﺸﻒ ﻛﻨﻴﺪ‪.‬‬ ‫•‬
‫ﺷﻨﺎﺳﺎﺋﻲ‪ :‬ﻭﻗﺘﻲ ﻣﺸﺨﺺ ﺷﺪ ﻛﻪ ﻭﻳﺮﻭﺳﻲ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ ،‬ﻧﻮﻉ ﻭﻳﺮﻭﺱ ﺭﺍ ﺗﻌﻴﻴﻦ ﻛﻨﻴﺪ‪.‬‬ ‫•‬
‫• ﭘﺎﻙﺳﺎﺯﻱ‪ :‬ﻭﻗﺘﻲ ﻭﻳﺮﻭﺱ ﺷﻨﺎﺳﺎﺋﻲ ﮔﺮﺩﻳﺪ‪ ،‬ﻫﻤﺔ ﺁﺛﺎﺭ ﻭﻳﺮﻭﺱ ﺭﺍ ﺍﺯ ﺑﺮﻧﺎﻣﺔ ﺁﻟﻮﺩﻩ ﺷﺪﻩ ﭘﺎﻙ ﻛﺮﺩﻩ ﻭ ﺑﺮﻧﺎﻣﻪ ﺭﺍ ﺑﺤﺎﻟﺖ‬
‫ﺍﻭﻟﻴﻪ ﺑﺮﮔﺮﺩﺍﻧﻴﺪ‪ .‬ﻭﻳﺮﻭﺱ ﺭﺍ ﺍﺯ ﺗﻤﺎﻡ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺁﻟﻮﺩﻩ ﺷﺪﻩ ﻃﻮﺭﻱ ﺑﺮﺍﻧﻴﺪ ﻛﻪ ﺁﻟﻮﺩﮔﻲ ﺑﻪ ﺟﺎﻫﺎﻱ ﺩﻳﮕﺮ ﺳﺮﺍﻳﺖ ﻧﻜﻨﺪ‪.‬‬
‫ﺍﮔﺮ ﺣﻀﻮﺭ ﻭﻳﺮﻭﺱ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﺷﺪ ﻭﻟﻲ ﺷﻨﺎﺳﺎﺋﻲ ﻭ ﻳﺎ ﭘﺎﻙﺳﺎﺯﻱ ﺁﻥ ﻣﻴﺴﺮ ﻧﮕﺮﺩﻳﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﭼﺎﺭﺓ ﺍﻣﺮ ﺁﻥ ﺍﺳﺖ ﻛﻪ ﺑﺮﻧﺎﻣﺔ‬
‫ﺁﻟﻮﺩﻩ ﺭﺍ ﻧﺎﺑﻮﺩ ﻛﺮﺩﻩ ﻭ ﻳﻚ ﻧﺴﺨﺔ ﺟﺪﻳﺪ ﻭ ﭘﺎﻙ ﺭﺍ ﺟﺎﻧﺸﻴﻦ ﺁﻥ ﻧﻤﺎﺋﻴﻢ‪.‬‬
‫ﺗﻜﻨﻮﻟﻮﮊﻱ ﺳﺎﺧﺖ ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﺁﻧﺘﻲﻭﻳﺮﻭﺱﻫﺎ ﺩﺳﺖ ﺩﺭ ﺩﺳﺖ ﻫﻢ ﺑﺠﻠﻮ ﻣﻲﺭﻭﻧﺪ‪ .‬ﻭﻳﺮﻭﺱﻫﺎﻱ ﺍﻭﻟﻴﻪ‪ ،‬ﻛﹸﺪﻫﺎﻱ ﻧﺴﺒﺘﺎﹰ‬
‫ﺳﺎﺩﻩﺍﻱ ﺑﻮﺩﻧﺪ ﻭ ﻣﻲﺗﻮﺍﻧﺴﺘﻨﺪ ﺑﺎ ﺑﺴﺘﻪﻫﺎﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﺿﺪﻭﻳﺮﻭﺱ ﻧﺴﺒﺘﺎﹰ ﺳﺎﺩﻩ ﺷﻨﺎﺳﺎﺋﻲ ﻭ ﺩﻓﻊ ﺷﻮﻧﺪ‪ .‬ﻫﻤﻴﻨﻄﻮﺭ ﻛﻪ ﺟﻨﮓ ﺗﺴﻠﻴﺤﺎﺗﻲ‬
‫ﻭﻳﺮﻭﺱﻫﺎ ﺗﻜﺎﻣﻞ ﻳﺎﻓﺖ‪ ،‬ﻫﻢ ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﻫﻢ ﺍﻟﺰﺍﻣﺎﹰ ﺁﻧﺘﻲ ﻭﻳﺮﻭﺱﻫﺎ ﺗﻜﺎﻣﻞﻳﺎﻓﺘﻪﺗﺮ ﻭ ﭘﻴﭽﻴﺪﻩﺗﺮ ﺷﺪﻧﺪ‪.‬‬
‫]‪ [STEP93‬ﭼﻬﺎﺭ ﻧﺴﻞ ﺍﺯ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺿﺪﻭﻳﺮﻭﺱ ﺭﺍ ﺷﻨﺎﺳﺎﺋﻲ ﻧﻤﻮﺩﻩ ﺍﺳﺖ‪:‬‬
‫ﻧﺴﻞ ﺍﻭﻝ‪ :‬ﺍِﺳﻜﻨﺮﻫﺎﻱ ﺳﺎﺩﻩ‬ ‫•‬

‫ﻧﺴﻞ ﺩﻭﻡ‪ :‬ﺍِﺳﻜﻨﺮﻫﺎﻱ ﻛﺸﻒﻛﻨﻨﺪﻩ‬ ‫•‬
‫ﻧﺴﻞ ﺳﻮﻡ‪ :‬ﺩﺍﻡﻫﺎﻱ ﺷﻜﺎﺭﻛﻨﻨﺪﺓ ﻓﻌﺎﻟﻴﺖ‬ ‫•‬
‫ﻧﺴﻞ ﭼﻬﺎﺭﻡ‪ :‬ﻣﺤﺎﻓﻈﺖ ﺗﻤﺎﻡ ﻋﻴﺎﺭ‬ ‫•‬
‫ﻳﻚ ﺍِﺳﻜﻨﺮ ﻧﺴﻞ ﺍﻭﻝ ﺑﺮﺍﻱ ﺷﻨﺎﺳﺎﺋﻲ ﻳﻚ ﻭﻳﺮﻭﺱ‪ ،‬ﻧﻴﺎﺯ ﺑﻪ ﺍﻣﻀﺎﺀ ﺁﻥ ﻭﻳﺮﻭﺱ ﺩﺍﺭﺩ‪ .‬ﻭﻳﺮﻭﺱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ‬
‫"‪ "wildcard‬ﺑﻮﺩﻩ ﻭﻟﻲ ﺍﻟﺰﺍﻣﺎﹰ ﺩﺍﺭﺍﻱ ﻫﻤﺎﻥ ﺳﺎﺧﺘﺎﺭ ﻭ ﻫﻤﺎﻥ ﭘﺘﺮﻥ ﺑﻴﺖﻫﺎ ﺩﺭ ﻫﻤﺔ ﻧﺴﺦ ﺧﻮﺩ ﺍﺳﺖ‪ .‬ﭼﻨﻴﻦ ﺍِﺳﻜﻨﺮﻫﺎﻱ ﻣﺨﺼﻮﺹ‬
‫ﺍﻣﻀﺎﺀ‪ ،‬ﻓﻘﻂ ﻗﺎﺑﻠﻴﺖ ﺗﺸﺨﻴﺺ ﻭﻳﺮﻭﺱﻫﺎﻱ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺭﺍ ﺩﺍﺷﺘﻨﺪ‪ .‬ﻧﻮﻉ ﺩﻳﮕﺮﻱ ﺍﺯ ﺍِﺳﻜﻨﺮﻫﺎﻱ ﻧﺴﻞ ﺍﻭﻝ ﺳﺎﺑﻘﻪﺍﻱ ﺍﺯ ﺍﻧﺪﺍﺯﺓ ﺑﺮﻧﺎﻣﻪ ﺭﺍ‬
‫ﻧﮕﺎﻩ ﺩﺍﺷﺘﻪ ﻭ ﺑﻪ ﺩﻧﺒﺎﻝ ﺗﻐﻴﻴﺮ ﺍﻧﺪﺍﺯﻩ ﺑﺮﻧﺎﻣﻪ ﻣﻲﮔﺮﺩﻧﺪ‪.‬‬
‫ﻳﻚ ﺍِﺳﻜﻨﺮ ﻧﺴﻞ ﺩﻭﻡ ﻣﺘﻜﻲ ﺑﺮ ﺍﻣﻀﺎﺀ ﺧﺎﺻﻲ ﻧﻴﺴﺖ‪ .‬ﺩﺭ ﻋﻮﺽ ﺍِﺳﻜﻨﺮ ﺍﺯ ﻗﻮﺍﻧﻴﻦ ﺫﻫﻨﻲ ﻛﺸﻒﻛﻨﻨﺪﻩ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﺑﺪﻧﺒﺎﻝ‬
‫ﺁﻟﻮﺩﮔﻲﻫﺎﻱ ﻣﺤﺘﻤﻞ ﻭﻳﺮﻭﺱ ﻣﻲﮔﺮﺩﺩ‪ .‬ﻳﻚ ﻧﻮﻉ ﺍﺯ ﺍﻳﻦ ﺍِﺳﻜﻨﺮﻫﺎ ﺑﻪ ﺟﺴﺘﺠﻮﻱ ﻛﹸﺪﻫﺎﺋﻲ ﻣﻲﭘﺮﺩﺍﺯﺩ ﻛﻪ ﻣﻌﻤﻮﻻﹰ ﺑﺎ ﻭﻳﺮﻭﺱﻫﺎ ﻣﺮﺗﺒﻂ‬
‫ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﻳﻚ ﺍِﺳﻜﻨﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﺟﺴﺘﺠﻮﻱ ﺍﺑﺘﺪﺍﻱ ﻳﻚ ﺣﻠﻘﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻪ ﺩﺭ ﻭﻳﺮﻭﺱ ﭼﻨﺪﭼﻬﺮﻩ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ‬
‫‪٣٨٣‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬
‫ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﭘﺮﺩﺍﺧﺘﻪ ﻭ ﻛﻠﻴﺪ ﺭﻣﺰ ﺭﺍ ﭘﻴﺪﺍ ﻛﻨﺪ‪ .‬ﻫﻤﻴﻨﻜﻪ ﻛﻠﻴﺪ ﻛﺸﻒ ﺷﺪ‪ ،‬ﺍِﺳﻜﻨﺮ ﺑﺮﺍﻱ ﺷﻨﺎﺳﺎﺋﻲ ﻭﻳﺮﻭﺱ ﺁﻥ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻧﻤﻮﺩﻩ ﻭ‬
‫ﺳﭙﺲ ﺁﻟﻮﺩﮔﻲ ﺭﺍ ﺑﺮﻃﺮﻑ ﻛﺮﺩﻩ ﻭ ﺑﺮﻧﺎﻣﻪ ﺭﺍ ﺍﺻﻼﺡ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺭﻭﺵ ﺩﻳﮕﺮﻱ ﺩﺭ ﻧﺴﻞ ﺩﻭﻡ ﺁﻧﺘﻲﻭﻳﺮﻭﺱﻫﺎ‪ ،‬ﻛﻨﺘﺮﻝ ﺻﺤﺖ ﺑﺮﻧﺎﻣﻪ ﺍﺳﺖ‪ .‬ﻳﻚ ﺟﻤﻊ ﻛﻨﺘﺮﻟﻲ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﻫﺮ ﺑﺮﻧﺎﻣﻪ ﺍﻟﺼﺎﻕ‬
‫ﺷﻮﺩ‪ .‬ﺍﮔﺮ ﻭﻳﺮﻭﺳﻲ ﺑﺮﻧﺎﻣﻪ ﺭﺍ ﺑﺪﻭﻥ ﺗﻐﻴﻴﺮﺩﺍﺩﻥ ﺟﻤﻊ ﻛﻨﺘﺮﻟﻲ ﺁﻟﻮﺩﻩ ﻧﻤﺎﻳﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﻳﻚ ﺁﺯﻣﺎﻳﺶ ﻛﻨﺘﺮﻝ ﺻﺤﺖ‪ ،‬ﺗﻐﻴﻴﺮ ﺭﺍ ﺁﺷﻜﺎﺭ‬
‫ﻣﻲﺳﺎﺯﺩ‪ .‬ﺑﺮﺍﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﻭﻳﺮﻭﺳﻲ ﻛﻪ ﺁﻧﻘﺪﺭ ﭘﻴﭽﻴﺪﻩ ﺑﺎﺷﺪ ﻛﻪ ﺑﺘﻮﺍﻧﺪ ﺩﺭ ﻫﻨﮕﺎﻡ ﺁﻟﻮﺩﻩﺳﺎﺯﻱ ﺑﺮﻧﺎﻣﻪ‪ ،‬ﺟﻤﻊ ﻛﻨﺘﺮﻟﻲ ﺁﻥ ﺭﺍ ﺗﻐﻴﻴﺮ ﺩﻫﺪ‬
‫ﻣﻲﺗﻮﺍﻥ ﺍﺯ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺭﻣﺰﺷﺪﻩ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ‪ .‬ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ ﺟﺎﺋﻲ ﺟﺪﺍ ﺍﺯ ﺑﺮﻧﺎﻣﻪ ﺫﺧﻴﺮﻩ ﺷﺪﻩ ﺗﺎ ﻭﻳﺮﻭﺱ ﻧﺘﻮﺍﻧﺪ ﻳﻚ‬
‫ﻛﹸﺪ ﺟﺪﻳﺪ ‪ hash‬ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﻪ ﺭﻣﺰ ﺩﺭﺁﻭﺭﺩ‪ .‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ ﺑﺠﺎﻱ ﻳﻚ ﺟﻤﻊ ﻛﻨﺘﺮﻟﻲ ﺳﺎﺩﻩ‪ ،‬ﻭﻳﺮﻭﺱ ﺍﺯ‬
‫ﺟﺮﺡ ﻭ ﺗﻌﺪﻳﻞ ﺑﺮﻧﺎﻣﻪ ﺑﻨﺤﻮﻱ ﻛﻪ ﺑﺘﻮﺍﻧﺪ ﻫﻤﺎﻥ ﻛﹸﺪ ‪ hash‬ﺳﺎﺑﻖ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﻨﺪ‪ ،‬ﻋﺎﺟﺰ ﻣﻲﻣﺎﻧﺪ‪.‬‬
‫ﻧﺴﻞ ﺳﻮﻡ ﺁﻧﺘﻲﻭﻳﺮﻭﺱﻫﺎ‪ ،‬ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺳﺎﻛﻦ ﺩﺭ ﺣﺎﻓﻈﻪ ﻫﺴﺘﻨﺪ ﻛﻪ ﻭﻳﺮﻭﺱ ﺭﺍ ﺑﺎ ﻓﻌﺎﻟﻴﺖ ﺁﻥ‪ ،‬ﻭ ﻧﻪ ﺑﺎ ﺳﺎﺧﺘﺎﺭ ﺁﻥ‪ ،‬ﺩﺭ ﻳﻚ‬
‫ﺑﺮﻧﺎﻣﺔ ﺁﻟﻮﺩﻩ ﺷﺪﻩ ﺷﻨﺎﺳﺎﺋﻲ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺣﺴﻦ ﭼﻨﻴﻦ ﺑﺮﻧﺎﻣﻪﻫﺎﺋﻲ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻻﺯﻡ ﻧﻴﺴﺖ ﺗﺎ ﺍﻣﻀﺎﺀﻫﺎ ﻭ ﻗﻮﺍﻋﺪ ﺫﻫﻨﻲ ﺑﺮﺍﻱ ﺭﺩﻳﻒ‬
‫ﻭﺳﻴﻌﻲ ﺍﺯ ﻭﻳﺮﻭﺱﻫﺎ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩ‪ ،‬ﺑﻠﻜﻪ ﺗﻨﻬﺎ ﻛﺎﻓﻲ ﺍﺳﺖ ﻛﻪ ﻣﺠﻤﻮﻋﺔ ﻛﻮﭼﻜﻲ ﺍﺯ ﻓﻌﺎﻟﻴﺖﻫﺎ ﻛﻪ ﻧﻤﺎﻳﺸﮕﺮ ﺗﻼﺵ ﺑﺮﺍﻱ ﺁﻟﻮﺩﻩﺳﺎﺯﻱ‬
‫ﺳﻴﺴﺘﻢ ﺍﺳﺖ ﺭﺍ ﺷﻨﺎﺳﺎﺋﻲ ﻧﻤﻮﺩﻩ ﻭ ﺳﭙﺲ ﺑﺮﺍﻱ ﭘﺎﻙﺳﺎﺯﻱ ﻣﺪﺍﺧﻠﻪ ﻛﺮﺩ‪.‬‬
‫ﻣﺤﺼﻮﻻﺕ ﻧﺴﻞ ﭼﻬﺎﺭﻡ‪ ،‬ﺑﺴﺘﻪﻫﺎﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﺷﺎﻣﻞ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺁﻧﺘﻲﻭﻳﺮﻭﺱﻫﺎ ﺑﻮﺩﻩ ﻛﻪ ﺑﻪ ﻫﻤﺮﺍﻩ ﻫﻢ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﺍﻳﻨﻬﺎ ﺷﺎﻣﻞ ﺍِﺳﻜﻨﺮﻫﺎ ﻭ ﺩﺍﻡﻫﺎﻱ ﺷﻜﺎﺭﻛﻨﻨﺪﻩ ﻓﻌﺎﻟﻴﺖ ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﺑﻌﻼﻭﻩ ﭼﻨﻴﻦ ﺑﺴﺘﻪﺍﻱ ﺷﺎﻣﻞ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﻛﻨﺘﺮﻝ‬
‫ﺩﺳﺖﻳﺎﺑﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺗﻮﺍﻥ ﻭﻳﺮﻭﺱﻫﺎ ﺩﺭ ﻭﺭﻭﺩ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﺭﺍ ﻛﻢ ﻛﺮﺩﻩ ﻭ ﺁﻧﮕﺎﻩ ﻗﺎﺑﻠﻴﺖ ﻳﻚ ﻭﻳﺮﻭﺱ ﺑﺮﺍﻱ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﻓﺎﻳﻞﻫﺎ‬
‫ﺑﺮﺍﻱ ﮔﺴﺘﺮﺵ ﺁﻟﻮﺩﮔﻲ ﺭﺍ ﻣﺤﺪﻭﺩ ﻣﻲﺳﺎﺯﻧﺪ‪.‬‬
‫ﺟﻨﮓ ﺗﺴﻠﻴﺤﺎﺗﻲ ﺍﺩﺍﻣﻪ ﺩﺍﺭﺩ‪ .‬ﺑﺎ ﺑﺴﺘﻪﻫﺎﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﺁﻧﺘﻲﻭﻳﺮﻭﺱﻫﺎﻱ ﻧﺴﻞ ﭼﻬﺎﺭﻡ‪ ،‬ﺍﺳﺘﺮﺍﺗﮋﻱ ﺩﻓﺎﻋﻲ ﺳﺎﺯﻣﺎﻥ ﻳﺎﻓﺘﻪﺗﺮﻱ ﺑﻜﺎﺭ‬
‫ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ ﻭ ﺣﻮﺯﺓ ﺩﻓﺎﻉ ﺑﻪ ﻣﻌﻴﺎﺭﻫﺎﻱ ﻋﺎﻡﺗﺮﻱ ﺍﺯ ﺍﻣﻨﻴﺖ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺍﻋﻤﺎﻝ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﺗﻜﻨﻴﻚﻫﺎﻱ ﭘﻴﺸﺮﻓﺘﺔ ﺁﻧﺘﻲﻭﻳﺮﻭﺱﻫﺎ‬
‫ﺩﺭ ﺯﻣﻴﻨﺔ ﺁﻧﺘﻲﻭﻳﺮﻭﺱﻫﺎ‪ ،‬ﻣﺮﺗﺒﺎﹰ ﺭﻭﺵﻫﺎﻱ ﭘﻴﭽﻴﺪﻩﺗﺮ ﻭ ﻣﺤﺼﻮﻻﺕ ﭘﻴﺸﺮﻓﺘﻪﺗﺮﻱ ﭘﺪﻳﺪﺍﺭ ﻣﻲﮔﺮﺩﻧﺪ‪ .‬ﺩﺭ ﺍﻳﻨﺠﺎ ﺑﻪ ﺩﻭ ﻧﻤﻮﻧﻪ ﺍﺯ‬
‫ﻣﻬﻢﺗﺮﻳﻦ ﺁﻧﻬﺎ ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﮊﻧﺮﻳﻚ‬
‫ﺗﻜﻨﻮﻟﻮﮊﻱ ﺭﻣﺰﮔﺸﺎﺋﻲ ﮊﻧﺮﻳﻚ ‪ ،(Generic Decryption) GD‬ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺁﻧﺘﻲﻭﻳﺮﻭﺱ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﻛﻪ ﺣﺘﻲ‬
‫ﭘﻴﭽﻴﺪﻩﺗﺮﻳﻦ ﻭﻳﺮﻭﺱﻫﺎﻱ ﭼﻨﺪﭼﻬﺮﻩ ﺭﺍ ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ ﻭ ﺩﺭ ﻋﻴﻦ ﺣﺎﻝ ﺳﺮﻋﺖ ﺍِﺳﻜﻦ ﻧﻤﻮﺩﻥ ﺑﺮﺍﻱ ﻳﺎﻓﺘﻦ ﻭﻳﺮﻭﺱﻫﺎ ﺭﺍ ﺑﺎﻻ ﻧﮕﺎﻩ‬
‫ﺩﺍﺭﻧﺪ]‪ .[NOCH97‬ﺑﻴﺎﺩ ﺁﻭﺭﻳﺪﻛﻪ ﻭﻗﺘﻲ ﻓﺎﻳﻠﻲ ﻛﻪ ﺣﺎﻭﻱ ﻳﻚ ﻭﻳﺮﻭﺱ ﭼﻨﺪﭼﻬﺮﻩ ﺍﺳﺖ ﺍﺟﺮﺍ ﻣﻲﺷﻮﺩ‪ ،‬ﻭﻳﺮﻭﺱ ﺑﺎﻳﺴﺘﻲ ﺧﻮﺩ ﺭﺍ‬
‫ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﺮﺩﻩ ﻭ ﻓﻌﺎﻝ ﺷﻮﺩ‪ .‬ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ ﭼﻨﻴﻦ ﺳﺎﺧﺘﺎﺭﻱ‪ ،‬ﻓﺎﻳﻞﻫﺎﻱ ﺍﺟﺮﺍﺋﻲ ﺍﺯ ﻳﻚ ﺍﺳﻜﻨﺮ ‪ GD‬ﻛﻪ ﺷﺎﻣﻞ ﻋﻨﺎﺻﺮ ﺯﻳﺮ ﺍﺳﺖ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪:‬‬
‫ﻣﻘﻠﹼﺪ ﭘﺮﺩﺍﺯﺷﮕﺮ ﻣﺮﻛﺰﻱ )‪ :(CPU Emulator‬ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﺠﺎﺯﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﻧﺮﻡﺍﻓﺰﺍﺭ ﺍﺳﺖ‪ .‬ﻓﺮﺍﻣﻴﻦ ﻣﺮﺑﻮﻁ ﺑﻪ‬ ‫•‬
‫ﻳﻚ ﻓﺎﻳﻞ ﺍﺟﺮﺍﺋﻲ ﺑﺠﺎﻱ ﺍﺟﺮﺍ ﺭﻭﻱ ﭘﺮﺩﺍﺯﺷﮕﺮ ﺍﺻﻠﻲ ﺑﺘﻮﺳﻂ ﺍﻳﻦ ﻣﻘﻠﹼﺪ ﺗﺮﺟﻤﻪ ﻣﻲﮔﺮﺩﻧﺪ‪ .‬ﻣﻘﻠﹼﺪ ﺷﺎﻣﻞ ﻧﺴﺨﻪﻫﺎﻱ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ‬
‫ﻫﻤﺔ ﺭﺟﻴﺴﺘﺮﻫﺎ ﻭ ﺳﺎﻳﺮ ﺑﺨﺶﻫﺎﻱ ﺳﺨﺖﺍﻓﺰﺍﺭﻱ ﭘﺮﺩﺍﺯﺷﮕﺮ ﻣﻲﺑﺎﺷﺪ ﺑﻄﻮﺭﻱ ﻛﻪ ﭘﺮﺩﺍﺯﺷﮕﺮ ﺍﺻﻠﻲ ﺗﺤﺖ ﺗﺎﺛﻴﺮ ﺑﺮﻧﺎﻣﻪﻫﺎﺋﻲ‬
‫ﻛﻪ ﺑﺘﻮﺳﻂ ﻣﻘﻠﹼﺪ ﻣﻮﺭﺩ ﺗﻌﺒﻴﺮ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ ﻭﺍﻗﻊ ﻧﻤﻲﺷﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٨٤‬‬
‫• ﺍِﺳﻜﻨﺮ ﺍﻣﻀﺎﺀ ﻭﻳﺮﻭﺱ )‪ :(Virus signature scanner‬ﻣﺪﻭﻟﻲ ﻛﻪ ﻛﹸﺪ ﺑﺮﻧﺎﻣﺔ ﻫﺪﻑ‪ ،‬ﺑﻤﻨﻈﻮﺭ ﻳﺎﻓﺘﻦ ﺍﻣﻀﺎﺀ‬
‫ﻭﻳﺮﻭﺱﻫﺎﻱ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ‪ ،‬ﺭﺍ ﺍِﺳﻜﻦ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻣﺪﻭﻝ ﻛﻨﺘﺮﻝ ﻣﻘﻠﹼﺪ )‪ :(Emulation control module‬ﺍﺟﺮﺍﻱ ﻛﹸﺪ ﺑﺮﻧﺎﻣﺔ ﻫﺪﻑ ﺭﺍ ﻛﻨﺘﺮﻝ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫ﺩﺭ ﺍﺑﺘﺪﺍﻱ ﻫﺮ ﺷﺒﻴﻪﺳﺎﺯﻱ‪ ،‬ﻣﻘﻠﹼﺪ ﺷﺮﻭﻉ ﺑﻪ ﺗﺮﺟﻤﺔ ﺧﻂ ﺑﻪ ﺧﻂ ﻓﺮﺍﻣﻴﻦ ﺑﺮﻧﺎﻣﺔ ﻫﺪﻑ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﻧﺘﻴﺠﻪ ﺍﮔﺮ ﻛﹸﺪ ﺑﺮﻧﺎﻣﻪ ﺷﺎﻣﻞ‬
‫ﻳﻚ ﺑﺨﺶ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻛﻪ ﻭﻳﺮﻭﺱ ﺭﺍ ﺭﻣﺰﮔﺸﺎﺋﻲ ﻭ ﺁﺷﻜﺎﺭ ﻣﻲﻛﻨﺪ ﺑﺎﺷﺪ‪ ،‬ﺍﻳﻦ ﻛﹸﺪ ﺗﺮﺟﻤﻪ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﻭﻳﺮﻭﺱ ﻛﺎﺭ ﺑﺮﻧﺎﻣﺔ‬
‫ﺁﻧﺘﻲﻭﻳﺮﻭﺱ ﺭﺍ ﺑﺎ ﻇﺎﻫﺮ ﻛﺮﺩﻥ ﻭﻳﺮﻭﺱ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪ .‬ﻫﺮﭼﻨﺪ ﻭﻗﺖ ﻳﻜﺒﺎﺭ ﻧﻴﺰ‪ ،‬ﻣﺪﻭﻝ ﻛﻨﺘﺮﻝ ﻋﻤﻞ ﺗﺮﺟﻤﻪ ﺭﺍ ﻣﺘﻮﻗﻒ ﻧﻤﻮﺩﻩ ﻭ ﺑﺮﻧﺎﻡ‬
‫ﺭﺍ ﺑﻤﻨﻈﻮﺭ ﻳﺎﻓﺘﻦ ﺍﻣﻀﺎﺀ ﻭﻳﺮﻭﺱﻫﺎ ﺍِﺳﻜﻦ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﺩﺭ ﻫﻨﮕﺎﻡ ﺗﺮﺟﻤﻪ‪ ،‬ﻛﹸﺪ ﺑﺮﻧﺎﻣﺔ ﻫﺪﻑ ﻧﻤﻲﺗﻮﺍﻧﺪ ﻫﻴﭻ ﺁﺳﻴﺒﻲ ﺑﻪ ﻣﺤﻴﻂ ﺣﻘﻴﻘﻲ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺷﺨﺼﻲ ﻭﺍﺭﺩ ﻛﻨﺪ ﺯﻳﺮﺍ ﺑﺮﻧﺎﻣﻪ ﺩﺭ ﻳﻚ‬
‫ﻣﺤﻴﻂ ﻛﺎﻣﻼﹰ ﻛﻨﺘﺮﻝ ﺷﺪﻩ ﺗﺮﺟﻤﻪ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻣﺸﻜﻞﺗﺮﻳﻦ ﻣﻘﻮﻟﺔ ﻃﺮﺍﺣﻲ ﺩﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺍِﺳﻜﻨﺮ ‪ ،GD‬ﺗﻌﻴﻴﻦ ﺯﻣﺎﻥ ﻻﺯﻡ ﺑﺮﺍﻱ ﺗﺮﺟﻤﻪ ﺍﺳﺖ‪ .‬ﻣﻌﻤﻮﻻﹰ ﻋﻨﺎﺻﺮ ﻳﻚ‬
‫ﻭﻳﺮﻭﺱ ﺩﺭ ﻓﺎﺻﻠﺔ ﻛﻮﺗﺎﻫﻲ ﭘﺲ ﺍﺯ ﺷﺮﻭﻉ ﺍﺟﺮﺍﻱ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻓﻌﺎﻝ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﻭﻟﻲ ﺍﻟﺰﺍﻣﺎﹰ ﺍﻳﻨﻄﻮﺭ ﻧﻴﺴﺖ‪ .‬ﻫﺮﭼﻘﺪﺭ ﺯﻣﺎﻥ ﺗﻘﻠﻴﺪ ﻳﻚ‬
‫ﺑﺮﻧﺎﻣﺔ ﺑﺨﺼﻮﺹ ﺑﺘﻮﺳﻂ ﺍِﺳﻜﻨﺮ ﺯﻳﺎﺩﺗﺮ ﺑﺎﺷﺪ‪ ،‬ﺍﺣﺘﻤﺎﻝ ﺷﻜﺎﺭ ﻳﻚ ﻭﻳﺮﻭﺱ ﻣﺨﻔﻲ ﺯﻳﺎﺩﺗﺮ ﺍﺳﺖ‪ .‬ﻭﻟﻲ ﺑﺮﻧﺎﻣﺔ ﺁﻧﺘﻲﻭﻳﺮﻭﺱ ﻧﻤﻲﺗﻮﺍﻧﺪ‬
‫ﺯﻣﺎﻥ ﻭ ﻣﻨﺎﺑﻊ ﺯﻳﺎﺩﻱ ﺭﺍ ﺑﺮﺍﻱ ﻣﺪﺕ ﻃﻮﻻﻧﻲ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﮔﻴﺮﺩ ﺯﻳﺮﺍ ﺩﺭ ﺍﻳﻨﺼﻮﺭﺕ ﻛﺎﺭﺑﺮ ﺍﺯ ﺗﺄﺧﻴﺮ ﻃﻮﻻﻧﻲ ﺷﺎﻛﻲ ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﺳﻴﺴﺘﻢ ﻣﺼﻮﻥ ﺩﻳﺠﻴﺘﺎﻝ )‪(Digital Immune System‬‬

‫ﺳﻴﺴﺘﻢ ﻣﺼﻮﻥ ﺩﻳﺠﻴﺘﺎﻝ‪ ،‬ﻳﻚ ﺳﻴﺴﺘﻢ ﺣﻔﺎﻇﺘﻲ ﻣﻔﺼﹼﻞ ﺿﺪ ﻭﻳﺮﻭﺱ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ‪ IBM‬ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‬
‫]‪ .[KEPH97a ,KEPH97b‬ﻣﺤﺮﻙ ﺗﻮﻟﻴﺪ ﺍﻳﻦ ﺳﻴﺴﺘﻢ‪ ،‬ﺗﻬﺪﻳﺪ ﻓﺰﺍﻳﻨﺪﺓ ﺍﻧﺘﺸﺎﺭ ﻭﻳﺮﻭﺱﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺘﻲ ﺑﻮﺩﻩ ﺍﺳﺖ‪ .‬ﺍﺑﺘﺪﺍ ﻣﺨﺘﺼﺮﻱ‬
‫ﺭﺍﺟﻊ ﺑﻪ ﺍﻳﻦ ﻧﻮﻉ ﺗﻬﺪﻳﺪ ﺻﺤﺒﺖ ﻛﺮﺩﻩ ﻭ ﺁﻧﮕﺎﻩ ﺭﻭﺵ ‪ IBM‬ﺭﺍ ﺗﺸﺮﻳﺢ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺩﺭ ﻗﺪﻳﻢ‪ ،‬ﺗﻬﺪﻳﺪ ﻭﻳﺮﻭﺱﻫﺎ ﺩﺍﺭﺍﻱ ﺍﻳﻦ ﻣﺸﺨﺼﺔ ﺑﻮﺩ ﻛﻪ ﮔﺴﺘﺮﺵ ﻭﻳﺮﻭﺱﻫﺎﻱ ﺟﺪﻳﺪ ﻭ ﺗﻐﻴﻴﺮ ﺷﻜﻞ ﺁﻧﻬﺎ ﻛﻨﺪ ﺑﻮﺩ‪.‬‬
‫ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺁﻧﺘﻲﻭﻳﺮﻭﺱ ﻣﻌﻤﻮﻻﹰ ﺑﺼﻮﺭﺕ ﻣﺎﻫﻴﺎﻧﻪ ﺑﻪ ﺭﻭﺯ ﺩﺭﺁﻣﺪﻩ ﻭ ﺍﻳﻦ ﺍﻣﺮ ﺑﺮﺍﻱ ﻛﻨﺘﺮﻝ ﻣﺴﺎﻟﻪ ﻛﺎﻓﻲ ﺑﻮﺩ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺩﺭ ﻓﺮﻡ ﺳﻨﹼﺘﻲ‪،‬‬
‫ﺍﻳﻨﺘﺮﻧﺖ ﻧﻘﺶ ﻧﺴﺒﺘﺎﹰ ﻛﻮﭼﻜﻲ ﺩﺭ ﮔﺴﺘﺮﺵ ﻭﻳﺮﻭﺱﻫﺎ ﺭﺍ ﺍﻳﻔﺎﺩ ﻣﻲﻧﻤﻮﺩ‪ .‬ﺍﻣﺎ ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ]‪ [CHES97‬ﺧﺎﻃﺮﻧﺸﺎﻥ ﻣﻲﺳﺎﺯﺩ‪ ،‬ﺩﻭ ﺭﻭﻧﺪ‬
‫ﻋﻤﺪﻩ ﺩﺭ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺍﺛﺮ ﻓﺰﺍﻳﻨﺪﻩﺍﻱ ﺩﺭ ﺳﺮﻋﺖ ﮔﺴﺘﺮﺵ ﻭﻳﺮﻭﺱ ﺩﺭ ﺳﺎﻝﻫﺎﻱ ﺍﺧﻴﺮ ﺩﺍﺷﺘﻪ ﺍﺳﺖ‪:‬‬
‫ﺳﻴﺴﺘﻢﻫﺎﻱ ﻳﻜﭙﺎﺭﭼﺔ ﭘﺴﺘﻲ‪ :‬ﺳﻴﺴﺘﻢﻫﺎﺋﻲ ﻫﻤﺎﻧﻨﺪ ‪ Lotus Notes‬ﻭ ‪ Microsoft Outlook‬ﺍﻣﺮ ﺍﺭﺳﺎﻝ ﻫﺮ ﭼﻴﺰﻱ‬ ‫•‬
‫ﺑﻪ ﻫﺮﻛﺴﻲ‪ ،‬ﻭ ﻛﺎﺭ ﺑﺎ ﺍﻗﻼﻡ ﺩﺭﻳﺎﻓﺖ ﺷﺪﻩ ﺭﺍ ﺑﺴﻴﺎﺭ ﺁﺳﺎﻥ ﻛﺮﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﺳﻴﺴﺘﻢﻫﺎﻱ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺳﻴﺎﺭ‪ :‬ﻗﺎﺑﻠﻴﺖﻫﺎﺋﻲ ﻫﻤﭽﻮﻥ ‪ Java‬ﻭ ‪ Active X‬ﺑﻪ ﺑﺮﻧﺎﻣﻪﻫﺎ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺑﺨﻮﺩﻱﺧﻮﺩ ﺍﺯ‬ ‫•‬
‫ﻳﻚ ﺳﻴﺴﺘﻢ ﺑﻪ ﺳﻴﺴﺘﻢ ﺩﻳﮕﺮ ﻋﺒﻮﺭ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫ﺩﺭ ﭘﺎﺳﺦ ﺑﻪ ﺗﻬﺪﻳﺪﻫﺎﺋﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺟﺪﻳﺪ ﺍﻳﻨﺘﺮﻧﺖ ﺣﺎﺻﻞ ﺷﺪﻩﺍﻧﺪ‪ IBM ،‬ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﺼﻮﻥ ﺩﻳﺠﻴﺘﺎﻝ ﻣﺮﺑﻮﻁ‬
‫ﺑﻪ ﺧﻮﺩ ﺭﺍ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺳﻴﺴﺘﻢ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻣﻘﻠﹼﺪ ﺑﺮﻧﺎﻣﻪ ﻛﻪ ﺩﺭ ﻗﺴﻤﺖ ﻗﺒﻞ ﺍﺯ ﺁﻥ ﻳﺎﺩ ﺷﺪ ﺭﺍ ﺗﻮﺳﻌﻪ ﺩﺍﺩﻩ ﻭ ﻳﻚ ﺳﻴﺴﺘﻢ‬
‫ﻣﻘﻠﹼﺪ ﻭ ﺗﺸﺨﻴﺺ ﻭﻳﺮﻭﺱ ﺭﺍ ﺳﺎﺧﺘﻪ ﺍﺳﺖ‪ .‬ﻫﺪﻑ ﺍﻳﻦ ﺳﻴﺴﺘﻢ‪ ،‬ﻋﻜﺲﺍﻟﻌﻤﻞ ﺳﺮﻳﻊ ﻭ ﺍﻳﺰﻭﻟﻪ ﻛﺮﺩﻥ ﻭﻳﺮﻭﺱﻫﺎ ﺑﻤﺤﺾ ﻭﺭﻭﺩ ﺑﻪ‬
‫ﺳﻴﺴﺘﻢ ﺍﺳﺖ‪ .‬ﻫﻤﻴﻨﻜﻪ ﻳﻚ ﻭﻳﺮﻭﺱ ﺟﺪﻳﺪ ﻭﺍﺭﺩ ﺳﺎﺯﻣﺎﻧﻲ ﺷﻮﺩ‪ ،‬ﺳﻴﺴﺘﻢ ﻣﺼﻮﻥ ﺑﻄﻮﺭ ﺧﻮﺩﻛﺎﺭ ﺁﻥ ﺭﺍ ﻣﺤﺎﺻﺮﻩ ﻛﺮﺩﻩ‪ ،‬ﺗﺠﺰﻳﻪ ﻭ ﺗﺤﻠﻴﻞ‬
‫ﻧﻤﻮﺩﻩ‪ ،‬ﺗﺸﺨﻴﺺ ﺩﺍﺩﻩ‪ ،‬ﻣﺤﺎﺻﺮﻩ ﻛﺮﺩﻩ‪ ،‬ﺁﻥ ﺭﺍ ﺍﺯ ﺑﻴﻦ ﺑﺮﺩﻩ ﻭ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﻭﻳﺮﻭﺱ ﺭﺍ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ﺁﻧﺘﻲﻭﻳﺮﻭﺱ‬
‫‪ IBM‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ ﺍﺭﺳﺎﻝ ﻛﺮﺩﻩ ﺗﺎ ﻭﻳﺮﻭﺱ ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﺑﺘﻮﺍﻧﺪ ﺩﺭ ﺟﺎﻱ ﺩﻳﮕﺮﻱ ﺍﺟﺮﺍ ﺷﻮﺩ‪ ،‬ﻛﺸﻒ ﻭ ﺧﻨﺜﻲ ﮔﺮﺩﺩ‪.‬‬
‫ﺷﻜﻞ ‪ ۱۰-۴‬ﻣﺮﺍﺣﻞ ﺍﺻﻠﻲ ﻋﻤﻠﻴﺎﺕ ﺩﺭ ﺳﻴﺴﺘﻢ ﻣﺼﻮﻥ ﺩﻳﺠﻴﺘﺎﻝ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪:‬‬
‫‪٣٨٥‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬
‫‪ -۱‬ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﭘﺎﻳﺸﮕﺮ ﺭﻭﻱ ﻫﺮ ‪ ،PC‬ﺍﺯ ﻳﻚ ﺳﺮﻱ ﺫﻫﻨﻴﺎﺕ ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﺭﻓﺘﺎﺭ ﺳﻴﺴﺘﻢ‪ ،‬ﺗﻐﻴﻴﺮﺍﺕ ﻣﺸﻜﻮﻙ ﺑﺮﻧﺎﻣﻪﻫﺎ‪ ،‬ﻭ ﻳﺎ‬
‫ﺍﻣﻀﺎﺀ ﻣﺤﻠﻲ ﺩﺭ ﻣﻮﺭﺩ ﺍﻳﻨﻜﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﻭﻳﺮﻭﺳﻲ ﻭﺟﻮﺩ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺮﻧﺎﻣﺔ ﭘﺎﻳﺸﮕﺮ ﻳﻚ ﻧﺴﺨﻪ ﺍﺯ ﻫﺮ‬
‫ﺑﺮﻧﺎﻣﻪﺍﻱ ﺭﺍ ﻛﻪ ﻓﻜﺮ ﻣﻲﻛﻨﺪ ﺁﻟﻮﺩﻩ ﺍﺳﺖ ﺑﻪ ﻳﻚ ﻣﺎﺷﻴﻦ ﻣﺪﻳﺮﻳﺖ ﺩﺭ ﺳﺎﺯﻣﺎﻥ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ -۲‬ﻣﺎﺷﻴﻦ ﻣﺪﻳﺮﻳﺖ‪ ،‬ﻧﺴﺨﺔ ﺑﺮﻧﺎﻣﻪ ﺭﺍ ﺑﺼﻮﺭﺕ ﺭﻣﺰ ﺩﺭﺁﻭﺭﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺑﺮﺍﻱ ﻳﻚ ﻣﺎﺷﻴﻦ ﻣﺮﻛﺰﻱ ﺗﺠﺰﻳﻪ ﻭ ﺗﺤﻠﻴﻞ ﻭﻳﺮﻭﺱ‬
‫ﺍﺭﺳﺎﻝ ﻣﻲﺩﺍﺭﺩ‪.‬‬
‫‪ -۳‬ﺍﻳﻦ ﻣﺎﺷﻴﻦ ﻣﺤﻴﻄﻲ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ﺩﺭ ﺁﻥ ﺑﺮﻧﺎﻣﺔ ﺁﻟﻮﺩﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎ ﺍﻣﻨﻴﺖ ﻛﺎﻣﻞ ﺍﺟﺮﺍ ﺷﻮﺩ‪ .‬ﺭﻭﺵﻫﺎﻱ ﺍﺟﺮﺍﺋﻲ ﺩﺭ‬
‫ﺍﻳﻦ ﻣﻮﺭﺩ ﺷﺎﻣﻞ ﺗﻘﻠﻴﺪ ﻭ ﻳﺎ ﺧﻠﻖ ﻣﺤﻴﻂ ﺣﻔﺎﻇﺖ ﺷﺪﻩﺍﻱ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺁﻥ ﻣﺤﻴﻂ‪ ،‬ﺑﺮﻧﺎﻣﺔ ﻣﺸﻜﻮﻙ ﺑﺘﻮﺍﻧﺪ ﺍﺟﺮﺍ ﻭ ﭘﺎﻳﺶ‬
‫ﮔﺮﺩﺩ‪ .‬ﻣﺎﺷﻴﻦ ﺗﺠﺰﻳﻪ ﻭ ﺗﺤﻠﻴﻞ ﻭﻳﺮﻭﺱ ﺁﻧﮕﺎﻩ ﺩﺍﺭﻭﺋﻲ ﺑﺮﺍﻱ ﺷﻨﺎﺳﺎﺋﻲ ﻭ ﺣﺬﻑ ﻭﻳﺮﻭﺱ ﺗﺠﻮﻳﺰ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ -۴‬ﺩﺍﺭﻭﻱ ﺗﺠﻮﻳﺰ ﺷﺪﻩ ﺑﻪ ﻣﺎﺷﻴﻦ ﻣﺪﻳﺮﻳﺖ ﺑﺮﮔﺸﺖ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ -۵‬ﻣﺎﺷﻴﻦ ﻣﺪﻳﺮﻳﺖ‪ ،‬ﺩﺍﺭﻭﻱ ﺗﺠﻮﻳﺰ ﺷﺪﻩ ﺭﺍ ﺑﻪ ﻛﻼﻳﻨﺖ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪ -۶‬ﺩﺍﺭﻭﻱ ﺗﺠﻮﻳﺰ ﺷﺪﻩ ﻫﻤﭽﻨﻴﻦ ﺑﺮﺍﻱ ﺳﺎﻳﺮ ﻛﻼﻳﻨﺖﻫﺎﻱ ﺳﺎﺯﻣﺎﻥ ﺍﺭﺳﺎﻝ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫‪ -۷‬ﻣﺸﺘﺮﻛﻴﻦ ﺳﺮﺍﺳﺮ ﺩﻧﻴﺎ ﺑﻄﻮﺭ ﻣﻨﻈﻢ ﺁﻧﺘﻲﻭﻳﺮﻭﺱﻫﺎﻱ ﺟﺪﻳﺪ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﺁﻧﻬﺎ ﺭﺍ ﺍﺯ ﻭﻳﺮﻭﺱﻫﺎﻱ ﺟﺪﻳﺪ ﺣﻔﻆ‬
‫ﻣﻮﻓﻘﻴﺖ ﺳﻴﺴﺘﻢ ﻣﺼﻮﻥ ﺩﻳﺠﻴﺘﺎﻝ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﺗﻮﺍﻧﺎﺋﻲ ﻣﺎﺷﻴﻦ ﺗﺠﺰﻳﻪ ﻭ ﺗﺤﻠﻴﻞ ﻭﻳﺮﻭﺱ ﺩﺭ ﺗﺸﺨﻴﺺ ﻭﻳﺮﻭﺱﻫﺎﻱ ﺟﺪﻳﺪ ﻭ‬
‫ﺍﺑﺘﻜﺎﺭﻱ ﻣﻲﺑﺎﺷﺪ‪ .‬ﺑﺎ ﺗﺤﻠﻴﻞ ﻣﺪﺍﻭﻡ ﻭ ﭘﺎﺋﻴﺪﻥ ﻭﻳﺮﻭﺱﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ﻣﺤﻴﻂ ﭘﻴﺪﺍ ﻣﻲﺷﻮﻧﺪ ﺑﺎﻳﺴﺘﻲ ﺑﺘﻮﺍﻥ ﻧﺮﻡﺍﻓﺰﺍﺭ ﻣﺼﻮﻥ ﺩﻳﺠﻴﺘﺎﻝ ﺭﺍ‬
‫ﺑﺼﻮﺭﺕ ﺩﺍﺋﻢ ﺑﺮﺍﻱ ﻣﺒﺎﺭﺯﻩ ﺑﺎ ﺗﻬﺪﻳﺪﻫﺎ ﺑﻪ ﺭﻭﺯ ﻧﮕﺎﻩ ﺩﺍﺷﺖ‪.‬‬
‫‪1‬‬ ‫ﻣﺎﺷﻴﻦ ﻛﻼﻳﻨﺖ‬
‫‪3‬‬ ‫ﺁﻟﻮﺩﻩ ﺑﻪ‬

‫ﻣﺎﺷﻴﻦ‬ ‫‪2‬‬ ‫‪5‬‬ ‫ﻭﻳﺮﻭﺱ‬
‫ﻣﺎﺷﻴﻦ‬
‫ﺗﺠﺰﻳﻪ ﻭ ﺗﺤﻠﻴﻞ‬ ‫ﻣﺎﺷﻴﻦ‬
‫ﺗﺤﻠﻴـﻞ‬ ‫ﻛﻼﻳﻨﺖ‬
‫ﺭﻓﺘﺎﺭ ﻭ ﺳﺎﺧﺘﺎﺭ‬ ‫ﻣﺪﻳﺮﻳﺖ‬
‫ﻭﻳﺮﻭﺱ‬ ‫‪6‬‬
‫ﻭﻳﺮﻭﺱ‬
‫ﺷﺒﻜﺔ‬ ‫ﻣﺎﺷﻴﻦ‬
‫ﺍﺳﺘﺨﺮﺍﺝ‬ ‫ﻛﻼﻳﻨﺖ‬
‫ﺍﻣﻀﺎﺀ‬
‫ﺍﺧﺘﺼﺎﺻﻲ‬
‫‪4‬‬ ‫ﻛﻼﻳﻨﺖ‬
‫ﺗﺠﻮﻳﺰ‬
‫ﺭﺍﻩ ﺣﻞ‬
‫‪7‬‬ ‫ﻛﻼﻳﻨﺖ‬
‫ﻣﺪﻳﺮﻳﺖ‬
‫ﺷﺒﻜﺔ‬
‫ﺍﺧﺘﺼﺎﺻﻲ‬ ‫ﻛﻼﻳﻨﺖ‬
‫ﻛﻼﻳﻨﺖ‬
‫ﻛﺎﺭﺑﺮ‬
‫ﺩﻳﮕﺮ‬
‫ﻣﻨﻔﺮﺩ‬
‫ﺷﻜﻞ ‪ ۱۰-۴‬ﺳﻴﺴﺘﻢ ﻣﺼﻮﻥ ﺩﻳﺠﻴﺘﺎﻝ‬

‫ﻓﺼﻞ ﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٨٦‬‬
‫ﻧﺮﻡ ﺍﻓﺰﺍﺭ ﺳﺪﻛﻨﻨﺪﺓ ﺭﻓﺘﺎﺭ )‪(Behavior-Blocking Software‬‬
‫ﺑﺮ ﺧﻼﻑ ﺍِﺳﻜﻨﺮﻫﺎﺋﻲ ﻛﻪ ﺑﻪ ﺗﺎﺭﻳﺨﭽﺔ ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﻳﺎ ﺑﻌﺒﺎﺭﺗﻲ ﺑﻪ ﺟﺴﺘﺠﻮﻱ ﺍﺛﺮ ﺍﻧﮕﺸﺖ ﻭﻳﺮﻭﺱﻫﺎ ﻣﻲﭘﺮﺩﺍﺯﻧﺪ‪ ،‬ﻧﺮﻡﺍﻓﺰﺍﺭ ﺳﺪﻛﻨﻨﺪﺓ‬
‫ﺭﻓﺘﺎﺭ ﺑﺎ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﻴﺰﺑﺎﻥ ﺟﻔﺖ ﺷﺪﻩ ﻭ ﺭﻓﺘﺎﺭ ﺑﺮﻧﺎﻣﻪ ﺭﺍ ﺑﻤﻨﻈﻮﺭ ﻛﺸﻒ ﺭﻓﺘﺎﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺸﺎﻧﻪ ﺑﺼﻮﺭﺕ ﺑﻼﺩﺭﻧﮓ‬
‫ﻣﻲﭘﺎﻳﺪ‪ .‬ﻧﺮﻡﺍﻓﺰﺍﺭ ﺳﺪﻛﻨﻨﺪﺓ ﺭﻓﺘﺎﺭ ﺁﻧﮕﺎﻩ ﺟﻠﻮﻱ ﺭﻓﺘﺎﺭﻫﺎﻱ ﻣﻮﺫﻳﺎﻧﻪ ﺭﺍ ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﺑﺘﻮﺍﻧﻨﺪ ﺭﻭﻱ ﺳﻴﺴﺘﻢ ﺗﺄﺛﻴﺮ ﻣﻨﻔﻲ ﮔﺬﺍﺭﻧﺪ‪ ،‬ﺳﺪ‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺭﻓﺘﺎﺭﻫﺎﻱ ﭘﺎﻳﺶ ﺷﺪﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺷﺎﻣﻞ ﻣﻮﺍﺭﺩ ﺯﻳﺮ ﺑﺎﺷﺪ‪:‬‬
‫ﺗﻼﺵ ﺑﺮﺍﻱ ﺑﺎﺯﻛﺮﺩﻥ‪ ،‬ﻣﺸﺎﻫﺪﻩ‪ ،‬ﺣﺬﻑ ﻭ ﻳﺎ ﺗﻌﻮﻳﺾ ﻓﺎﻳﻞﻫﺎ‪.‬‬ ‫•‬

‫ﺗﻼﺵ ﺑﺮﺍﻱ ﻓﺮﻣﺖ ﻛﺮﺩﻥ ﺩﺭﺍﻳﻮﻫﺎ ﻭ ﺳﺎﻳﺮ ﻋﻤﻠﻴﺎﺕ ﻏﻴﺮﻗﺎﺑﻞ ﺑﺮﮔﺸﺖ‪.‬‬ ‫•‬
‫ﺍﻳﺠﺎﺩ ﺗﻐﻴﻴﺮﺍﺕ ﺩﺭ ﻣﻨﻄﻖ ﻓﺎﻳﻞﻫﺎﻱ ﺍﺟﺮﺍﺋﻲ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻣﺎﻛﺮﻭ‪.‬‬ ‫•‬
‫ﺗﻐﻴﻴﺮﺍﺕ ﺩﺭ ﺗﻨﻈﻴﻤﺎﺕ ﺣﻴﺎﺗﻲ ﺳﻴﺴﺘﻢ ﻣﺎﻧﻨﺪ ﺗﻐﻴﻴﺮ ﺩﺭ ﺗﻨﻈﻴﻤﺎﺕ ﺑﺎﻻﺁﻣﺪﻥ ﻛﺎﻣﭙﻴﻮﺗﺮ‪.‬‬ ‫•‬
‫ﺗﻐﻴﻴﺮﺍﺕ ﺩﺭ ﻧﺎﻣﺔ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻭ ﭘﻴﺎﻡﻫﺎﻱ ﻓﻮﺭﻱ ﻛﻼﻳﻨﺖ‪.‬‬ ‫•‬
‫ﺗﺤﺮﻳﻚ ﺑﻪ ﺷﺮﻭﻉ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺷﺒﻜﻪﺍﻱ‪.‬‬ ‫•‬
‫ﺍﮔﺮ ﺳﺪﻛﻨﻨﺪﺓ ﺭﻓﺘﺎﺭ ﺗﺸﺨﻴﺺ ﺩﻫﺪ ﻛﻪ ﺍﺟﺮﺍﻱ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺑﺎﻋﺚ ﺑﺮﻭﺯ ﺭﻓﺘﺎﺭﻫﺎﻱ ﻣﻮﺫﻳﺎﻧﻪ ﺧﻮﺍﻫﺪ ﺷﺪ‪ ،‬ﻣﻲﺗﻮﺍﻧﺪ ﺍﻳﻦ ﺭﻓﺘﺎﺭﻫﺎ ﺭﺍ‬
‫ﺩﺭ ﻫﻨﮕﺎﻡ ﺍﺟﺮﺍ ﻣﺴﺪﻭﺩ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﻧﺮﻡﺍﻓﺰﺍﺭ ﺑﺪﺍﻧﺪﻳﺶ ﺭﺍ ﺧﺎﺗﻤﻪ ﺩﻫﺪ‪ .‬ﺍﻳﻦ ﻋﻤﻞ ﺭﺟﺤﺎﻥ ﻋﻤﺪﻩﺍﻱ ﻧﺴﺒﺖ ﺑﻪ ﺭﻭﺵﻫﺎﻱ ﺗﺸﺨﻴﺺ‬
‫ﺁﻧﺘﻲﻭﻳﺮﻭﺱﻫﺎﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ﺍﺛﺮ ﺍﻧﮕﺸﺖ ﻭ ﻳﺎ ﺳﻮﺍﺑﻖ ﻭﻳﺮﻭﺱﻫﺎ ﺩﺍﺭﺩ‪ .‬ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﻋﻤﻼﹰ ﻣﻴﻠﻴﺎﺭﺩﻫﺎ ﺭﻭﺵ ﻣﺨﺘﻠﻒ ﺑﺮﺍﻱ ﺳﺮﺩﺭﮔﻢﻛﺮﺩﻥ‬
‫ﻭ ﺗﻐﻴﻴﺮ ﺩﺳﺘﻮﺭﺍﺕ ﺩﺭ ﻳﻚ ﻭﻳﺮﻭﺱ ﻳﺎ ﻛِﺮﻡ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ ،‬ﻛﻪ ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﺁﻧﻬﺎ ﻧﻤﻲﺗﻮﺍﻧﻨﺪ ﺍﺯ ﻃﺮﻑ ﻳﻚ ﺍِﺳﻜﻨﺮ ﻋﻤﻞﻛﻨﻨﺪﻩ ﺑﺮ ﺍﺳﺎﺱ‬
‫ﺳﻮﺍﺑﻖ ﻣﻮﺭﺩ ﺗﺸﺨﻴﺺ ﻭﺍﻗﻊ ﺷﻮﻧﺪ‪ ،‬ﻭﻟﻲ ﺑﺎﻻﺧﺮﻩ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﺑﺪﺍﻧﺪﻳﺶ ﺑﺎﻳﺪ ﻣﻮﺿﻮﻉ ﻛﺎﻣﻼﹰ ﺗﻌﺮﻳﻒﺷﺪﻩﺍﻱ ﺭﺍ ﺍﺯ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ‬
‫ﺩﺭﺧﻮﺍﺳﺖ ﻛﻨﺪ‪ .‬ﺑﺎ ﻓﺮﺽ ﺍﻳﻨﻜﻪ ﺳﺪﻛﻨﻨﺪﺓ ﺭﻓﺘﺎﺭ ﺑﺘﻮﺍﻧﺪ ﭼﻨﻴﻦ ﺩﺭﺧﻮﺍﺳﺘﻲ ﺭﺍ ﺗﺸﺨﻴﺺ ﺩﻫﺪ‪ ،‬ﺧﻮﺍﻫﺪ ﺗﻮﺍﻧﺴﺖ ﻋﻤﻠﻴﺎﺕ ﺑﺪﺍﻧﺪﻳﺸﺎﻧﻪ ﺭﺍ‬
‫ﺻﺮﻑ ﻧﻈﺮ ﺍﺯ ﺍﻳﻨﻜﻪ ﻣﻨﻄﻖ ﺑﺮﻧﺎﻣﻪ ﭼﻘﺪﺭ ﭘﻴﭽﻴﺪﻩ ﻭ ﺳﺮﺩﺭﮔﻢﻛﻨﻨﺪﻩ ﺑﺎﺷﺪ‪ ،‬ﺗﺸﺨﻴﺺ ﻭ ﺟﻠﻮﻱ ﺁﻥ ﺭﺍ ﺳﺪ ﻛﻨﺪ‪.‬‬
‫ﺭﻭﺷﻦ ﺍﺳﺖ ﻛﻪ ﺗﻮﺍﻧﺎﺋﻲ ﭘﺎﻳﺶ ﻧﺮﻡﺍﻓﺰﺍﺭ ﺩﺭ ﺣﺎﻝ ﺍﺟﺮﺍ ﺩﺭ ﺯﻣﺎﻥ ﺣﺎﻝ‪ ،‬ﻣﺰﻳﺖ ﺑﺰﺭﮔﻲ ﺭﺍ ﺑﺮﺍﻱ ﺳﺪﻛﻨﻨﺪﺓ ﺭﻓﺘﺎﺭ ﺑﻪ ﺍﺭﻣﻐﺎﻥ‬
‫ﻣﻲﺁﻭﺭﺩ ﻭﻟﻲ ﺍﻳﻦ ﺍﻣﺮ ﺩﺍﺭﺍﻱ ﻧﻘﺎﻁ ﺿﻌﻔﻲ ﻧﻴﺰ ﻫﺴﺖ‪ .‬ﭼﻮﻥ ﺑﺮﻧﺎﻣﺔ ﺑﺪﺍﻧﺪﻳﺶ ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﻫﻤﺔ ﺭﻓﺘﺎﺭﻫﺎﻱ ﺁﻥ ﻣﺸﺎﻫﺪﻩ ﺷﻮﺩ ﺑﺎﻳﺴﺘﻲ‬
‫ﺭﻭﻱ ﺳﻴﺴﺘﻢ ﻫﺪﻑ ﺍﺟﺮﺍ ﮔﺮﺩﺩ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﺑﻪ ﺗﻮﺳﻂ ﺳﻴﺴﺘﻢ ﺳﺪﻛﻨﻨﺪﺓ ﺭﻓﺘﺎﺭ ﺷﻨﺎﺳﺎﺋﻲ ﻭ ﻣﺴﺪﻭﺩ ﮔﺮﺩﺩ‪ ،‬ﺻﺪﻣﺎﺕ‬
‫ﺯﻳﺎﺩﻱ ﺭﺍ ﺑﻪ ﺳﻴﺴﺘﻢ ﻭﺍﺭﺩ ﻧﻤﺎﻳﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﻳﻚ ﻭﻳﺮﻭﺱ ﺟﺪﻳﺪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻓﺎﻳﻞﻫﺎﻱ ﻇﺎﻫﺮﺍﹰ ﻏﻴﺮﻣﻬﻢ ﺭﺍ ﺩﺭ ﺩﻳﺴﻚ‬
‫ﺳﺨﺖ ﺟﺎﺑﺠﺎ ﻧﻤﻮﺩﻩ ﻭ ﺳﭙﺲ ﺑﻪ ﻳﻚ ﻓﺎﻳﻞ ﺗﻨﻬﺎ ﺣﻤﻠﻪ ﻛﺮﺩﻩ ﻭ ﺁﻥ ﺭﺍ ﺁﻟﻮﺩﻩ ﺳﺎﺯﺩ ﻛﻪ ﻫﻤﻴﻦ ﺁﻟﻮﺩﮔﻲ ﺍﺧﻴﺮ ﺑﺎﻋﺚ ﺗﺸﺨﻴﺺ ﻭ ﺳﺪﺷﺪﻥ‬
‫ﺭﺍﻩ ﺁﻥ ﮔﺮﺩﺩ‪ .‬ﺍﮔﺮﭼﻪ ﺁﻟﻮﺩﮔﻲ ﺍﺻﻠﻲ ﻣﺴﺪﻭﺩ ﺷﺪﻩ ﺍﺳﺖ ﻭﻟﻲ ﻛﺎﺭﺑﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺭ ﭘﻴﺪﺍﻛﺮﺩﻥ ﻓﺎﻳﻞﻫﺎﻱ ﺧﻮﺩ ﺩﭼﺎﺭ ﻣﺸﻜﻞ ﺷﻮﺩ ﻛﻪ‬
‫ﺧﻮﺩ ﺑﺎﻋﺚ ﺍﺯ ﺩﺳﺖ ﺭﻓﺘﻦ ﻛﺎﺭﺁﺋﻲ ﻭ ﻳﺎ ﺑﺪﺗﺮ ﺍﺯ ﺁﻥ ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﺣﻤﻼﺕ ﺗﻮﺯﻳﻊ ﺷﺪﺓ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ‬ ‫‪۱۰-۳‬‬
‫ﺣﻤﻼﺕ ﺗﻮﺯﻳﻊﺷﺪﺓ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ ‪ (Distributed Denial of Service) DDoS‬ﻳﻚ ﺗﻬﺪﻳﺪ ﻣﻬﻢ ﺍﻣﻨﻴﺘﻲ ﺑﺮﺍﻱ ﺳﺎﺯﻣﺎﻥﻫﺎ‬
‫ﻣﺤﺴﻮﺏ ﮔﺮﺩﻳﺪﻩ ﻭ ﺑﻨﻈﺮ ﻣﻲﺭﺳﺪ ﻛﻪ ﺍﻳﻨﮕﻮﻧﻪ ﺣﻤﻼﺕ ﺩﺭ ﺣﺎﻝ ﺍﻓﺰﺍﻳﺶﺍﻧﺪ]‪ .[VIJA02‬ﺩﺭ ﻳﻚ ﺑﺮﺭﺳﻲ ﺳﻪ ﻫﻔﺘﻪﺍﻱ ﺩﺭ ﺳﺎﻝ‬
‫‪ ،۲۰۰۱‬ﻣﺤﻘﻘﻴﻦ ﺑﻴﺶ ﺍﺯ ‪ ۱۲,۰۰۰‬ﺣﻤﻠﻪ ﺑﻪ ﺑﻴﺶ ﺍﺯ ‪ ۵,۰۰۰‬ﻫﺪﻑ ﻣﺸﺨﺺ ﺭﺍ ﺷﻨﺎﺳﺎﺋﻲ ﻛﺮﺩﻧﺪ‪ .‬ﻫﺪﻑﻫﺎ ﺍﻧﻮﺍﻉ ﻣﺘﻔﺎﻭﺗﻲ ﺩﺍﺷﺘﻪ ﻭ‬
‫ﻛﻤﭙﺎﻧﻲﻫﺎﻱ ﺷﻨﺎﺧﺘﻪ ﺷﺪﺓ ﺑﺰﺭﮔﻲ ﻣﺎﻧﻨﺪ ‪ Amazon‬ﻭ ‪ Hotmail‬ﺗﺎ ‪ISP‬ﻫﺎﻱ ﻛﻮﭼﻚ ﺧﺎﺭﺟﻲ ﻭ ﺍﺗﺼﺎﻻﺕ ﺗﻠﻔﻨﻲ ﺭﺍ ﻣﻲﭘﻮﺷﺎﻧﺪﻧﺪ‬
‫‪٣٨٧‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬
‫]‪ .[MOOR01‬ﺣﻤﻼﺕ ‪ DDoS‬ﺑﺎ ﺑﻤﺒﺎﺭﺍﻥ ﻛﺮﺩﻥ ﺳِﺮﻭﺭﻫﺎ‪ ،‬ﺷﺒﻜﻪﻫﺎ ﻭ ﻳﺎ ﺣﺘﻲ ﻛﺎﺭﺑﺮﺍﻥ ﺍﻧﺘﻬﺎﺋﻲ ﺑﺎ ﺗﺮﺍﻓﻴﻚ ﺑﻲﺧﺎﺻﻴﺖ ﺑﺎﻋﺚ‬
‫ﻣﻲﺷﻮﻧﺪ ﻛﻪ ﻛﺎﺭﺑﺮﺍﻥ ﻗﺎﻧﻮﻧﻲ ﻧﺘﻮﺍﻧﻨﺪ ﺑﻪ ﺁﻥ ﻣﻨﺎﺑﻊ ﺩﺳﺘﺮﺳﻲ ﻳﺎﺑﻨﺪ‪ .‬ﺩﺭ ﻳﻚ ﺣﻤﻠﺔ ‪ DDos‬ﻣﻌﻤﻮﻝ‪ ،‬ﺗﻌﺪﺍﺩ ﺯﻳﺎﺩﻱ ﺍﺯ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﻣﻮﺭﺩ‬
‫ﺗﻬﺎﺟﻢ ﻗﺮﺍﺭﮔﺮﻓﺘﻪ ﮔﺮﺩﻫﻢ ﻣﻲﺁﻳﻨﺪ ﺗﺎ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎﻱ ﺑﻲﺣﺎﺻﻞ ﺭﺍ ﺍﺭﺳﺎﻝ ﻧﻤﺎﻳﻨﺪ‪ .‬ﺩﺭ ﺳﺎﻝﻫﺎﻱ ﺍﺧﻴﺮ‪ ،‬ﺭﻭﺵﻫﺎﻱ ﺣﻤﻠﻪ ﻭ ﺍﺑﺰﺍﺭﻫﺎﻱ‬
‫ﺑﻜﺎﺭﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﭘﻴﭽﻴﺪﻩﺗﺮ‪ ،‬ﻣﺆﺛﺮﺗﺮ ﻭ ﺩﻧﺒﺎﻝ ﻛﺮﺩﻥ ﺁﻥ ﺗﺎ ﻫﺪﻑ ﻧﻬﺎﺋﻲ ﺳﺨﺖﺗﺮ ﺷﺪﻩﺍﻧﺪ ﺑﻄﻮﺭﻱ ﻛﻪ ﺗﻜﻨﻮﻟﻮﮊﻱﻫﺎﻱ‬
‫ﺩﻓﺎﻉ‪ ،‬ﺩﺭ ﺑﺮﺍﺑﺮ ﺣﻤﻼﺕ ﺑﺴﻴﺎﺭ ﮔﺴﺘﺮﺩﻩ ﻗﺎﺩﺭ ﺑﻪ ﻣﻘﺎﻭﻣﺖ ﻧﻴﺴﺘﻨﺪ]‪.[CHAN02‬‬
‫ﻳﻚ ﺣﻤﻠﺔ ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ )‪ (DoS‬ﺗﻼﺷﻲ ﺑﺮﺍﻱ ﻧﺎﻛﺎﻡ ﮔﺬﺍﺷﺘﻦ ﻛﺎﺭﺑﺮﺍﻥ ﻗﺎﻧﻮﻧﻲ ﺩﺭ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺁﻥ ﺳﺮﻭﻳﺲ ﺍﺳﺖ‪ .‬ﻭﻗﺘﻲ ﺍﻳﻦ‬
‫ﺣﻤﻠﻪ ﺍﺯ ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﻣﻨﻔﺮﺩ ﻭ ﻳﺎ ﻳﻚ ﮔﺮﺓ ﺷﺒﻜﻪ ﺷﺮﻭﻉ ﻣﻲﺷﻮﺩ ﺁﻥ ﺭﺍ ﺑﻪ ﺳﺎﺩﮔﻲ ﻳﻚ ﺣﻤﻠﺔ ‪ DoS‬ﻣﻲﺧﻮﺍﻧﻨﺪ‪ .‬ﻳﻚ ﺗﻬﺪﻳﺪ ﺟﺪﻱﺗﺮ‬
‫ﺣﻤﻠﺔ ‪ DDoS‬ﺍﺳﺖ‪ .‬ﺩﺭ ﻳﻚ ﺣﻤﻠﺔ ‪ ،DDoS‬ﻳﻚ ﻣﻬﺎﺟﻢ ﻗﺎﺩﺭ ﺍﺳﺖ ﺗﺎ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﺭﻭﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺭﺍ ﺑﻪ ﻧﺤﻮﻱ‬
‫ﺳﺎﺯﻣﺎﻥﺩﻫﻲ ﻧﻤﺎﻳﺪ ﻛﻪ ﻫﻤﻪ ﺑﺎ ﻫﻢ ﻭ ﻳﺎ ﺑﺼﻮﺭﺕ ﻣﺘﻮﺍﻟﻲ ﺑﻪ ﻳﻚ ﻫﺪﻑ ﺣﻤﻠﻪ ﻛﻨﻨﺪ‪ .‬ﺍﻳﻦ ﺑﺨﺶ ﺑﻪ ﺣﻤﻼﺕ ‪ DDoS‬ﻣﻲﭘﺮﺩﺍﺯﺩ‪ .‬ﺩﺭ‬
‫ﺍﺑﺘﺪﺍ ﺑﻪ ﻣﺎﻫﻴﺖ ﻭ ﺍﻧﻮﺍﻉ ﺣﻤﻠﻪ ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺳﭙﺲ ﺑﻪ ﻧﺤﻮﺓ ﺁﻣﺎﺩﻩﺳﺎﺯﻱ ﺷﺒﻜﻪﺍﻱ ﺍﺯ ﻣﻴﺰﺑﺎﻥﻫﺎ ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﺣﻤﻠﻪ ﻣﻲﭘﺮﺩﺍﺯﻳﻢ‪ .‬ﺩﺭ‬
‫ﺍﻧﺘﻬﺎ‪ ،‬ﺭﻭﺵﻫﺎﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺍﻳﻦ ﺣﻤﻼﺕ ﺭﺍ ﺑﺮﺭﺳﻲ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ‪.‬‬
‫ﺗﻮﺻﻴﻒ ﺣﻤﻠﺔ ‪DDoS‬‬
‫ﻳﻚ ﺣﻤﻠﺔ ‪ DDoS‬ﺗﻼﺵ ﻣﻲﻛﻨﺪ ﺗﺎ ﻣﻨﺎﺑﻊ ﻫﺪﻑ ﺣﻤﻠﻪ ﺭﺍ ﻃﻮﺭﻱ ﺑﻜﺎﺭ ﮔﻴﺮﺩ ﺗﺎ ﺍﺯ ﺩﺍﺩﻥ ﺳﺮﻭﻳﺲ ﺑﺎﺯ ﻣﺎﻧﻨﺪ‪ .‬ﻳﻚ ﺭﻭﺵ ﺑﺮﺍﻱ‬
‫ﻃﺒﻘﻪﺑﻨﺪﻱ ﺣﻤﻼﺕ ‪ DDoS‬ﺩﺳﺘﻪﺑﻨﺪﻱ ﺁﻧﻬﺎ ﺑﺮ ﺍﺳﺎﺱ ﻣﻨﺒﻊ ﺑﻜﺎﺭﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﺣﺎﻟﺖ ﻛﻠﻲ‪ ،‬ﻣﻨﺒﻊ ﺑﻜﺎﺭﮔﺮﻓﺘﻪ ﺷﺪﻩ ﻣﻨﺎﺑﻊ‬
‫ﺩﺍﺧﻠﻲ ﺳﻴﺴﺘﻢ ﻫﺪﻑ ﻭ ﻳﺎ ﻇﺮﻓﻴﺖ ﺍﻧﺘﻘﺎﻝ ﺩﻳﺘﺎﻱ ﺷﺒﻜﺔ ﻣﺤﻠﻲ ﺳﻴﺴﺘﻢ ﻫﺪﻑ ﺍﺳﺖ‪.‬‬
‫ﻳﻚ ﻣﺜﺎﻝ ﺳﺎﺩﻩ ﺍﺯ ﺣﻤﻠﻪ ﺑﻪ ﻣﻨﺎﺑﻊ ﺩﺍﺧﻠﻲ‪ ،‬ﺣﻤﻠﺔ ‪ SYN flood‬ﺍﺳﺖ‪ .‬ﺷﻜﻞ ‪۱۰-۵‬ﺍﻟﻒ ﻣﺮﺍﺣﻞ ﺍﻳﻦ ﺣﻤﻠﻪ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪:‬‬
‫‪ -۱‬ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﻛﻨﺘﺮﻝ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﺭﻭﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺭﺍ ﺑﻪ ﺩﺳﺖ ﮔﺮﻓﺘﻪ ﻭ ﺁﻧﻬﺎ ﺭﺍ ﺑﺮﺍﻱ ﺣﻤﻠﻪ ﺑﻪ ﺳِﺮﻭﺭ ﻭِﺏ ﺗﻌﻠﻴﻢ‬
‫‪ -۲‬ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﺑﺨﺪﻣﺖ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺷﺮﻭﻉ ﺑﻪ ﺍﺭﺳﺎﻝ ﺑﺴﺘﻪﻫﺎﻱ )‪TCP/IP SYN (synchronize/initialization‬‬
‫ﺑﺮﺍﻱ ﻫﺪﻑ‪ ،‬ﺑﺎ ﺍﻃﻼﻋﺎﺕ ﻏﻠﻂ ﺩﺭ ﻣﻮﺭﺩﺁﺩﺭﺱﻫﺎﻱ ﺑﺮﮔﺸﺘﻲ ‪ ،IP‬ﻣﻲﻧﻤﺎﻳﻨﺪ‪.‬‬
‫‪ -۳‬ﻫﺮ ﺑﺴﺘﺔ ‪ ،SYN‬ﻳﻚ ﺩﺭﺧﻮﺍﺳﺖ ﺑﺮﺍﻱ ﮔﺸﻮﺩﻥ ﻳﻚ ﺍﺗﺼﺎﻝ ‪ TCP‬ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻫﺮﻳﻚ ﺍﺯ ﭼﻨﻴﻦ ﺑﺴﺘﻪﻫﺎﺋﻲ‪ ،‬ﺳِﺮﻭﺭ ﻭِﺏ‬
‫ﺑﺎ ﻳﻚ ﺑﺴﺘﺔ )‪ SYN/ACK (synchronize/acknowledge‬ﺟﻮﺍﺏ ﺩﺍﺩﻩ ﻭ ﺗﻼﺵ ﻣﻲﻛﻨﺪ ﺗﺎ ﻳﻚ ﺍﺗﺼﺎﻝ ‪ TCP‬ﺭﺍ‬
‫ﺑﺎ ﻭﺍﺣﺪ ‪ TCP‬ﺩﺭ ﺁﺩﺭﺱ ‪ IP‬ﺳﺎﺧﺘﮕﻲ ﺍﻳﺠﺎﺩ ﻛﻨﺪ‪ .‬ﺳِﺮﻭﺭ ﻭِﺏ ﺑﺮﺍﻱ ﻫﺮ ﺩﺭﺧﻮﺍﺳﺖ ‪ SYN‬ﻛﻪ ﻣﻨﺘﻈﺮ ﭘﺎﺳﺦ ﺍﺳﺖ ﻳﻚ‬
‫ﺳﺎﺧﺘﺎﺭ ﺩﺍﺩﻩ ﺭﺍ ﻧﮕﺎﻩ ﺩﺍﺷﺘﻪ ﻭ ﻫﻤﻴﻨﻄﻮﺭ ﻛﻪ ﺩﺭﺧﻮﺍﺳﺖﻫﺎﻱ ﺑﻴﺸﺘﺮﻱ ﻭﺍﺭﺩ ﻣﻲﺷﻮﺩ ﻛﻢﻛﻢ ﺩﺭ ﺑﺎﻃﻼﻕ ﻓﺮﻭ ﻣﻲﺭﻭﺩ‪ .‬ﻧﺘﻴﺠﺔ‬
‫ﺍﻣﺮ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﻣﺎﺷﻴﻦ ﻗﺮﺑﺎﻧﻲ ﺷﺪﻩ‪ ،‬ﻣﻨﺘﻈﺮ ﻛﺎﻣﻞ ﺷﺪﻥ ﺍﺗﺼﺎﻻﺕ »ﻧﻴﻤﻪ ﺑﺎﺯ« ﻗﻼﺑﻲ ﺍﺳﺖ ﺍﺯ ﭘﺎﺳﺦ ﺩﺍﺩﻥ‬
‫ﺑﻪ ﺍﺗﺼﺎﻻﺕ ﻗﺎﻧﻮﻧﻲ ﺑﺎﺯ ﻣﻲﻣﺎﻧﺪ‪.‬‬
‫ﺣﺎﻟﺖ ﺳﺎﺧﺘﺎﺭ ﺩﺍﺩﻩ ‪ ،TCP‬ﻳﻚ ﻫﺪﻑ ﻣﻌﻤﻮﻝ ﺍﺯ ﻧﻮﻉ ﻣﻨﺎﺑﻊ ﺩﺍﺧﻠﻲ ﺑﻮﺩﻩ ﻭﻟﻲ ﺑﻪ ﻫﻴﭽﻮﺟﻪ ﺗﻨﻬﺎ ﻣﻨﺒﻊ ﺩﺍﺧﻠﻲ ﻧﻴﺴﺖ‪.‬‬
‫]‪ [CERT01‬ﻣﺜﺎﻝﻫﺎﻱ ﺩﻳﮕﺮﻱ ﺭﺍ ﺍﺭﺍﺋﻪ ﻣﻲﺩﻫﺪ‪:‬‬
‫‪ -۱‬ﺩﺭ ﺑﺴﻴﺎﺭﻱ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﺗﻌﺪﺍﺩ ﻣﻌﺪﻭﺩﻱ ﺳﺎﺧﺘﺎﺭ ﺩﺍﺩﻩ ﻭﺟﻮﺩ ﺩﺍﺭﻧﺪ ﻛﻪ ﺍﻃﻼﻋﺎﺕ ﭘﺮﺩﺍﺯﺷﻲ ﺭﺍ ﻧﮕﺎﻩ ﻣﻲﺩﺍﺭﻧﺪ )ﺷﻨﺎﺳﻪﻫﺎﻱ‬
‫ﭘﺮﺩﺍﺯﺵ‪ ،‬ﺟﺪﺍﻭﻝ ﭘﺮﺩﺍﺯﺵ ﻭ ﻏﻴﺮﻩ(‪ .‬ﻳﻚ ﻣﻬﺎﺟﻢ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺘﻮﺍﻧﺪ ﺑﺎ ﻧﻮﺷﺘﻦ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﺳﺎﺩﻩ ﻭ ﻳﺎ ﭼﻨﺪ ﻓﺮﻣﺎﻥ ﻛﻪ‬
‫ﻛﺎﺭﻱ ﺟﺰ ﺧﻠﻖ ﻛﭙﻲﻫﺎﻱ ﻣﻜﺮﺭ ﺍﺯ ﺧﻮﺩ ﻛﺎﺭﻱ ﺍﻧﺠﺎﻡ ﻧﻤﻲﺩﻫﻨﺪ‪ ،‬ﺍﻳﻦ ﺳﺎﺧﺘﺎﺭﻫﺎ ﺭﺍ ﺍﺷﻐﺎﻝ ﻛﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٨٨‬‬
‫‪Attack‬‬ ‫‪2‬‬
‫‪machine‬‬ ‫‪SYN‬‬ ‫‪SYN‬‬
‫‪packets‬‬ ‫‪packets‬‬
‫‪1‬‬
‫‪SYN/ACK‬‬
‫‪packets‬‬
‫‪Target Web‬‬
‫‪3‬‬
‫‪server‬‬
‫‪Slave‬‬
‫‪servers‬‬ ‫)ﺍﻟﻒ( ﺣﻤﻠﺔ ﺗﻮﺯﻳﻊﺷﺪﺓ ‪SYN flood‬‬
‫‪Attack‬‬
‫‪machine‬‬
‫‪Target‬‬
‫‪3‬‬
‫‪1‬‬ ‫‪router‬‬
‫‪2‬‬
‫‪Reflector‬‬
‫‪machines‬‬
‫)ﺏ( ﺣﻤﻠﺔ ﺗﻮﺯﻳﻊﺷﺪﺓ ‪ICMP‬‬
‫ﺷﻜﻞ ‪ ۱۰-۵‬ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﺣﻤﻼﺕ ﺳﺎﺩﺓ ‪DDoS‬‬
‫‪ -۲‬ﻳﻚ ﻣﻬﺎﺟﻢ ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﻼﺵ ﻛﻨﺪ ﺗﺎ ﻇﺮﻓﻴﺖ ﺩﻳﺴﻚ ﺭﺍ ﺑﻪ ﻃﺮﻕ ﺩﻳﮕﺮ ﭘﺮﻛﻨﺪ ﻛﻪ ﺍﺯ ﺁﻥ ﺟﻤﻠﻪﺍﻧﺪ‪:‬‬
‫ﺧﻠﻖ ﺗﻌﺪﺍﺩ ﺑﻴﺸﻤﺎﺭﻱ ﺍﺯ ﭘﻴﺎﻡﻫﺎﻱ ﭘﺴﺘﻲ‬ ‫•‬

‫ﺧﻠﻖ ﺧﻄﺎﻫﺎﻱ ﻋﻤﺪﻱ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺛﺒﺖ ﺷﻮﻧﺪ‬ ‫•‬
‫ﻗﺮﺍﺭﺩﺍﺩﻥ ﻓﺎﻳﻞﻫﺎ ﺩﺭ ﻧﻮﺍﺣﻲ ﻧﺎﺷﻨﺎﺱ ‪ ftp‬ﻳﺎ ﻧﻮﺍﺣﻲ ﻧﺎﺷﻨﺎﺱ ﻣﺤﻴﻂﻫﺎﻱ ﺍﺷﺘﺮﺍﻛﻲ ﺷﺒﻜﻪ‬ ‫•‬
‫ﺷﻜﻞ ‪۱۰-۵‬ﺏ ﻣﺜﺎﻟﻲ ﺍﺯ ﻳﻚ ﺣﻤﻠﻪ ﺑﻪ ﻣﻨﺎﺑﻊ ﺍﻧﺘﻘﺎﻝ ﺩﻳﺘﺎ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻗﺪﻡﻫﺎﻱ ﺯﻳﺮ ﺑﺮﺩﺍﺷﺘﻪ ﻣﻲﺷﻮﻧﺪ‪:‬‬
‫‪٣٨٩‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬
‫‪ -۱‬ﺣﻤﻠﻪﻛﻨﻨﺪﻩ‪ ،‬ﻛﻨﺘﺮﻝ ﭼﻨﺪﻳﻦ ﻣﻴﺰﺑﺎﻥ ﺭﻭﻱ ﺍﻳﻨﺘﺮﻧﺖ ﺭﺍ ﺑﻪ ﺩﺳﺖ ﻣﻲﮔﻴﺮﺩ ﻭ ﺁﻧﻬﺎ ﺭﺍ ﺗﻌﻠﻴﻢ ﻣﻲﺩﻫﺪ ﺗﺎ ﺑﺴﺘﻪﻫﺎﻱ‬
‫‪ ICMP ECHO‬ﺑﺎ ﺁﺩﺭﺱ ﺟﻌﻞ ﺷﺪﺓ ‪ IP‬ﻫﺪﻑ ﺭﺍ ﺑﻪ ﺩﺳﺘﻪﺍﻱ ﺍﺯ ﻣﻴﺰﺑﺎﻥﻫﺎ ﻛﻪ ﺑﻌﻨﻮﺍﻥ ﻣﻨﻌﻜﺲﻛﻨﻨﺪﻩ ﻋﻤﻞ ﻣﻲﻛﻨﻨﺪ‬
‫ﺍﺭﺳﺎﻝ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫‪ -۲‬ﮔﺮﻩﻫﺎﻱ ﻭﺍﻗﻊ ﺩﺭ ﺳﺎﻳﺖ ﻣﻨﻌﻜﺲﻛﻨﻨﺪﻩ‪ ،‬ﺩﺭﺧﻮﺍﺳﺖﻫﺎﻱ ﺟﻌﻠﻲ ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻛﺮﺩﻩ ﻭ ﺩﺭ ﺟﻮﺍﺏ ﺑﺴﺘﻪﻫﺎﻱ ﭘﺎﺳﺦ ‪ echo‬ﺭﺍ‬
‫ﺑﺮﺍﻱ ﺳﺎﻳﺖ ﻫﺪﻑ ﺍﺭﺳﺎﻝ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫‪ -۳‬ﻣﺴﻴﺮﻳﺎﺏ ﻫﺪﻑ ﺗﻬﺎﺟﻢ‪ ،‬ﺑﺎ ﺑﺴﺘﻪﻫﺎﻱ ﺍﺭﺳﺎﻟﻲ ﺍﺯ ﺳﺎﻳﺖ ﻣﻨﻌﻜﺲﻛﻨﻨﺪﻩ ﺑﻤﺒﺎﺭﺍﻥ ﺷﺪﻩ ﻭ ﺩﻳﮕﺮ ﻇﺮﻓﻴﺘﻲ ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ‬
‫ﺗﺮﺍﻓﻴﻚ ﻗﺎﻧﻮﻧﻲ ﺑﺎﻗﻲ ﻧﻤﻲﻣﺎﻧﺪ‪.‬‬
‫ﺭﻭﺵ ﺩﻳﮕﺮﻱ ﺑﺮﺍﻱ ﻃﺒﻘﻪﺑﻨﺪﻱ ﺣﻤﻼﺕ ‪ ،DDoS‬ﺗﻘﺴﻴﻢ ﺁﻧﻬﺎ ﺑﻪ ﺣﻤﻼﺕ ﻣﺴﺘﻘﻴﻢ ﻭ ﺣﻤﻼﺕ ﺍﻧﻌﻜﺎﺳﻲ ﺍﺳﺖ‪ .‬ﺩﺭ ﻳﻚ ﺣﻤﻠﺔ‬
‫ﻣﺴﺘﻘﻴﻢ )‪ (direct DDoS‬ﻛﻪ ﺩﺭ ﺷﻜﻞ ‪۱۰-۶‬ﺍﻟﻒ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﻗﺎﺩﺭ ﺍﺳﺖ ﺗﺎ ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺯﺍﻣﺒﻲ ﺭﺍ ﺩﺭ‬
‫ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﺳﺎﻳﺖﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ﺍﻳﻨﺘﺮﻧﺖ ﭘﺮﺍﻛﻨﺪﻩﺍﻧﺪ ﺑﻨﺸﺎﻧﺪ‪ .‬ﺍﻏﻠﺐ ﺣﻤﻠﺔ ‪ DDoS‬ﺷﺎﻣﻞ ﺩﻭ ﺳﻄﺢ ﺍﺯ ﻣﺎﺷﻴﻦﻫﺎﻱ ﺯﺍﻣﺒﻲ ﺍﺳﺖ‪:‬‬
‫ﺯﺍﻣﺒﻲ ﻫﺎﻱ ﺍﺭﺑﺎﺏ ﻭ ﺯﺍﻣﺒﻲﻫﺎﻱ ﺑَﺮﺩﻩ‪ .‬ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﻫﺮﺩﻭ ﻧﻮﻉ ﺯﺍﻣﺒﻲ ﺑﺎ ﺑﺮﻧﺎﻣﺔ ﺑﺪﺍﻧﺪﻳﺶ ﺁﻟﻮﺩﻩ ﺷﺪﻩﺍﻧﺪ‪ .‬ﺣﻤﻠﻪﻛﻨﻨﺪﻩ‪ ،‬ﺯﺍﻣﺒﻲﻫﺎﻱ ﺍﺭﺑﺎﺏ‬
‫ﺭﺍ ﻫﻤﺎﻫﻨﮓ ﻭ ﺑﻪ ﺣﻤﻠﻪ ﻭﺍﻣﻲﺩﺍﺭﺩ ﻛﻪ ﺁﻧﻬﺎ ﻫﻢ ﺑﻪ ﻧﻮﺑﺔ ﺧﻮﺩ ﺯﺍﻣﺒﻲﻫﺎﻱ ﺑَﺮﺩﻩ ﺭﺍ ﻫﻤﺎﻫﻨﮓ ﻭ ﺑﻪ ﺣﻤﻠﻪ ﻭﺍﻣﻲﺩﺍﺭﻧﺪ‪ .‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺩﻭ ﺳﻄﺢ‬
‫ﺯﺍﻣﺒﻲ‪ ،‬ﺩﻧﺒﺎﻝ ﻛﺮﺩﻥ ﺣﻤﻠﻪ ﻭ ﻳﺎﻓﺘﻦ ﻣﻨﺸﺎﺀ ﺁﻥ ﺭﺍ ﺩﺷﻮﺍﺭﺗﺮ ﻧﻤﻮﺩﻩ ﻭ ﺷﺒﻜﺔ ﺣﻤﻠﻪﻛﻨﻨﺪﺓ ﻣﻘﺎﻭﻡﺗﺮﻱ ﺭﺍ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ‪.‬‬
‫ﻳﻚ ﺣﻤﻠﺔ ﺍﻧﻌﻜﺎﺳﻲ )‪ ،(reflector DDoS‬ﻻﻳﺔ ﺩﻳﮕﺮﻱ ﺍﺯ ﻣﺎﺷﻴﻦﻫﺎ ﺭﺍ ﺩﺭ ﺣﻤﻠﻪ ﻭﺍﺭﺩ ﻣﻲﻛﻨﺪ )ﺷﻜﻞ ‪۱۰-۶‬ﺏ(‪ .‬ﺩﺭ ﺍﻳﻦ‬
‫ﻧﻮﻉ ﺣﻤﻠﻪ‪ ،‬ﺯﺍﻣﺒﻲﻫﺎﻱ ﺑَﺮﺩﻩ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎﺋﻲ ﺭﺍ ﻣﻲﺳﺎﺯﻧﺪ ﻛﻪ ﻧﻴﺎﺯ ﺑﻪ ﭘﺎﺳﺨﻲ ﺩﺍﺭﺩ ﻛﻪ ﺷﺎﻣﻞ ﺁﺩﺭﺱ ‪ IP‬ﻫﺪﻑ ﺑﻌﻨﻮﺍﻥ ﺁﺩﺭﺱ ﻣﻨﺒﻊ‬
‫ﺩﺭ ﺳﺮﺁﻳﻨﺪ ﺑﺴﺘﺔ ‪ IP‬ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺑﺴﺘﻪﻫﺎ ﺑﻪ ﻣﺎﺷﻴﻦﻫﺎﻱ ﻏﻴﺮﺁﻟﻮﺩﻩﺍﻱ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﻧﺪ ﻛﻪ ﻣﻨﻌﻜﺲﻛﻨﻨﺪﻩ ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻣﺎﺷﻴﻦﻫﺎﻱ‬
‫ﻏﻴﺮﺁﻟﻮﺩﻩ ﺑﺎ ﺑﺴﺘﻪﻫﺎﺋﻲ ﺑﻪ ﻣﻘﺼﺪ ﻣﺎﺷﻴﻦ ﻫﺪﻑ ﺑﻪ ﺍﻳﻦ ﺩﺭﺧﻮﺍﺳﺖﻫﺎ ﭘﺎﺳﺦ ﻣﻲﺩﻫﻨﺪ‪ .‬ﻳﻚ ﺣﻤﻠﺔ ‪ DDoS‬ﺍﻧﻌﻜﺎﺳﻲ ﺑﺂﺳﺎﻧﻲ ﻣﻲﺗﻮﺍﻧﺪ‬
‫ﻣﺎﺷﻴﻦﻫﺎﻱ ﺑﻴﺸﺘﺮ ﻭ ﺗﺮﺍﻓﻴﻚ ﺑﻴﺸﺘﺮﻱ ﺭﺍ ﻧﺴﺒﺖ ﺑﻪ ﺣﻤﻠﺔ ‪ DDoS‬ﻣﺴﺘﻘﻴﻢ ﺩﺭﮔﻴﺮ ﻛﺮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺁﺳﻴﺐ ﺁﻥ ﺑﻴﺸﺘﺮ ﺍﺳﺖ‪ .‬ﻋﻼﻭﻩ‬
‫ﺑﺮﺁﻥ‪ ،‬ﻳﺎﻓﺘﻦ ﻣﻨﺸﺎﺀ ﺣﻤﻠﻪ ﻭ ﻓﻴﻠﺘﺮ ﻛﺮﺩﻥ ﺑﺴﺘﻪﻫﺎﻱ ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﺳﺨﺖﺗﺮ ﺑﻮﺩﻩ ﺯﻳﺮﺍ ﺣﻤﻠﻪ ﺍﺯ ﺗﻌﺪﺍﺩﻱ ﻣﺎﺷﻴﻦ ﻏﻴﺮﺁﻟﻮﺩﻩ ﻛﻪ ﺩﺭ ﺳﻄﺢ‬
‫ﻭﺳﻴﻊ ﮔﺴﺘﺮﺩﻩﺍﻧﺪ ﺳﺮﭼﺸﻤﻪ ﻣﻲﮔﻴﺮﺩ‪.‬‬
‫ﺍﻳﺠﺎﺩ ﺷﺒﻜﺔ ﺣﻤﻠﻪﻛﻨﻨﺪﻩ‬
‫ﺍﻭﻟﻴﻦ ﻗﺪﻡ ﺩﺭ ﻳﻚ ﺣﻤﻠﺔ ‪ DDoS‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﺗﻌﺪﺍﺩﻱ ﻧﺮﻡﺍﻓﺰﺍﺭ ﺯﺍﻣﺒﻲ ﺭﺍ ﺩﺭ ﺗﻌﺪﺍﺩﻱ ﻣﺎﺷﻴﻦ ﺑﻜﺎﺭﺩ ﺗﺎ ﺁﻧﻬﺎ ﺑﻌﺪﺍﹰ‬
‫ﺑﺘﻮﺍﻧﻨﺪ ﺣﻤﻠﻪ ﺭﺍ ﺁﻏﺎﺯ ﻛﻨﻨﺪ‪ .‬ﺍﺟﺰﺍﺀ ﺿﺮﻭﺭﻱ ﺍﻳﻦ ﻣﺮﺣﻠﻪ ﺍﺯ ﺣﻤﻠﻪ ﻋﺒﺎﺭﺗﻨﺪ ﺍﺯ‪:‬‬
‫‪ -۱‬ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻛﻪ ﺑﺘﻮﺍﻧﺪ ﺣﻤﻠﺔ ‪ DDoS‬ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﻫﺪ‪ .‬ﻧﺮﻡﺍﻓﺰﺍﺭ ﺑﺎﻳﺪ ﺑﺘﻮﺍﻧﺪ ﺭﻭﻱ ﺗﻌﺪﺍﺩ ﺯﻳﺎﺩﻱ ﻣﺎﺷﻴﻦ ﺍﺟﺮﺍ ﺷﺪﻩ‪ ،‬ﺑﺎﻳﺴﺘﻲ‬
‫ﺑﺘﻮﺍﻧﺪ ﺣﻀﻮﺭ ﺧﻮﺩ ﺭﺍ ﭘﻨﻬﺎﻥ ﻛﺮﺩﻩ‪ ،‬ﺑﺎﻳﺪ ﺑﺘﻮﺍﻧﺪ ﺍﺭﺗﺒﺎﻁ ﺧﻮﺩ ﺭﺍ ﺑﺎ ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﺣﻔﻆ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﺍﺯ ﻳﻚ ﻣﻜﺎﻧﻴﺴﻢ ﺧﻮﺩ‬
‫ﺍﻧﻔﺠﺎﺭﻱ ﺑﻬﺮﻩﻣﻨﺪ ﺑﻮﺩﻩ‪ ،‬ﻭ ﺑﺎﻻﺧﺮﻩ ﺑﺎﻳﺴﺘﻲ ﻗﺎﺩﺭ ﺑﺎﺷﺪ ﺗﺎ ﺣﻤﻠﺔ ﺑﺮﻧﺎﻣﻪﺭﻳﺰﻱ ﺷﺪﻩ ﺭﺍ ﺭﻭﻱ ﻫﺪﻑ ﺍﺟﺮﺍ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۲‬ﻭﺟﻮﺩ ﻳﻚ ﺁﺳﻴﺐﭘﺬﻳﺮﻱ ﺩﺭ ﺗﻌﺪﺍﺩ ﺯﻳﺎﺩﻱ ﺍﺯ ﺳﻴﺴﺘﻢﻫﺎ‪ .‬ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﻭﺟﻮﺩ ﻳﻚ ﻧﻘﻄﺔ ﺁﺳﻴﺐﭘﺬﻳﺮ ﻳﺎ ﺣﻔﺮﺓ‬
‫ﺍﻣﻨﻴﺘﻲ ﻛﻪ ﺗﻌﺪﺍﺩ ﺯﻳﺎﺩﻱ ﺍﺯ ﻣﺪﻳﺮﺍﻥ ﺳﻴﺴﺘﻢﻫﺎ ﻭ ﻛﺎﺭﺑﺮﺍﻥ ﻣﻨﻔﺮﺩ ﺍﺯ ﺁﻥ ﻏﺎﻓﻞﺍﻧﺪ ﺑﺎﺧﺒﺮ ﺑﻮﺩﻩ ﺗﺎ ﺑﺘﻮﺍﻧﺪ ﻧﺮﻡﺍﻓﺰﺍﺭ ﺯﺍﻣﺒﻲ ﺭﺍ‬
‫ﺩﺭ ﺁﻥ ﻧﻘﺎﻁ ﻧﺼﺐ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۳‬ﻳﻚ ﺍﺳﺘﺮﺍﺗﮋﻱ ﺑﺮﺍﻱ ﻳﺎﻓﺘﻦ ﻣﺎﺷﻴﻦﻫﺎﻱ ﺁﺳﻴﺐﭘﺬﻳﺮ‪ ،‬ﻓﺮﺍﻳﻨﺪﻱ ﻛﻪ ﺍِﺳﻜﻦ ﻛﺮﺩﻥ ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻓﺼﻞ ﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٩٠‬‬
‫‪Attacker‬‬
‫‪Master‬‬
‫‪zombies‬‬
‫‪Slave‬‬
‫‪zombies‬‬
‫‪Victim‬‬
‫)ﺍﻟﻒ( ﺣﻤﻠﺔ ‪ DDoS‬ﻣﺴﺘﻘﻴﻢ‬
‫‪Attacker‬‬
‫‪Master‬‬
‫‪zombies‬‬
‫‪Slave‬‬
‫‪zombies‬‬
‫‪Reflectors‬‬
‫‪Victim‬‬
‫)ﺏ( ﺣﻤﻠﺔ ‪ DDoS‬ﺍﻧﻌﻜﺎﺳﻲ‬
‫ﺍﻧﻮﺍﻉ ﺣﻤﻼﺕ ﺑﻤﺒﺎﺭﺍﻧﻲ ‪DDoS‬‬ ‫ﺷﻜﻞ ‪۱۰-۶‬‬

‫‪٣٩١‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬
‫ﺩﺭ ﻋﻤﻞ ﺍِﺳﻜﻦ ﻛﺮﺩﻥ‪ ،‬ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﺍﺑﺘﺪﺍ ﺑﻪ ﺟﺴﺘﺠﻮﻱ ﺗﻌﺪﺍﺩﻱ ﻣﺎﺷﻴﻦ ﺁﺳﻴﺐﭘﺬﻳﺮ ﭘﺮﺩﺍﺧﺘﻪ ﻭ ﺁﻧﻬﺎ ﺭﺍ ﺁﻟﻮﺩﻩ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺁﻧﮕﺎﻩ‬
‫ﺑﻄﻮﺭ ﻣﻌﻤﻮﻝ‪ ،‬ﻧﺮﻡﺍﻓﺰﺍﺭ ﺯﺍﻣﺒﻲ ﻛﻪ ﺩﺭ ﻣﺎﺷﻴﻦ ﺁﻟﻮﺩﻩ ﻧﺼﺐ ﺷﺪﻩ ﺍﺳﺖ ﻫﻤﺎﻥ ﻋﻤﻞ ﺍِﺳﻜﻦ ﻛﺮﺩﻥ ﺭﺍ ﺗﻜﺮﺍﺭ ﻛﺮﺩﻩ ﺗﺎ ﻳﻚ ﺷﺒﻜﺔ ﺑﺰﺭﮒ‬
‫ﮔﺴﺘﺮﺩﻩ ﺍﺯ ﻣﺎﺷﻴﻦﻫﺎﻱ ﺁﻟﻮﺩﻩ ﺍﻳﺠﺎﺩ ﺷﻮﺩ‪ [MIRK04] .‬ﺍﺯ ﺍﺳﺘﺮﺍﺗﮋﻱﻫﺎﻱ ﺯﻳﺮ ﺑﺮﺍﻱ ﻋﻤﻞ ﺍِﺳﻜﻦ ﻧﺎﻡ ﻣﻲﺑﺮﺩ‪:‬‬
‫• ‪ :Random‬ﻫﺮ ﻣﻴﺰﺑﺎﻥ ﺑﻪ ﺩﺍﻡ ﺍﻓﺘﺎﺩﻩ‪ ،‬ﺑﻪ ﺁﺩﺭﺱﻫﺎﻱ ﺗﺼﺎﺩﻓﻲ ﺩﺭ ﻓﻀﺎﻱ ﺁﺩﺭﺱﻫﺎﻱ ‪ IP‬ﻧﻔﻮﺫ ﻛﺮﺩﻩ ﻭ ﺑﺮﺍﻱ ﻫﺮﻛﺪﺍﻡ ﺍﺯ‬
‫ﻳﻚ ‪ seed‬ﻣﺨﺘﻠﻒ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺗﻜﻨﻴﻚ ﺣﺠﻢ ﺑﺎﻻﺋﻲ ﺍﺯ ﺗﺮﺍﻓﻴﻚ ﺍﻳﻨﺘﺮﻧﺖ ﺭﺍ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ‬
‫ﺣﺘﻲ ﻗﺒﻞ ﺍﺯ ﺁﻏﺎﺯ ﺣﻤﻠﺔ ﺍﺻﻠﻲ ﺳﺮﻭﻳﺲ ﺭﺍ ﻣﺨﺘﻞ ﺳﺎﺯﺩ‪.‬‬
‫• ‪ :Hit-list‬ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﺍﺑﺘﺪﺍ ﻳﻚ ﻟﻴﺴﺖ ﻃﻮﻻﻧﻲ ﺍﺯ ﻣﺎﺷﻴﻦﻫﺎﺋﻲ ﻛﻪ ﭘﺘﺎﻧﺴﻴﻞ ﺁﺳﻴﺐﭘﺬﻳﺮﻱ ﺩﺍﺭﻧﺪ ﺭﺍ ﺗﻬﻴﻪ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ‬
‫ﺍﻣﺮ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﻛﻨﺪﻱ ﻭ ﺩﺭ ﻃﻮﻝ ﺯﻣﺎﻥ ﺍﻧﺠﺎﻡ ﺷﻮﺩ ﺗﺎ ﺍﺯ ﺗﺸﺨﻴﺺ ﺍﻳﻦ ﻛﻪ ﺣﻤﻠﻪﺍﻱ ﺩﺭ ﺷﺮﻑ ﻭﻗﻮﻉ ﺍﺳﺖ ﺍﺟﺘﻨﺎﺏ‬
‫ﺷﻮﺩ‪ .‬ﻭﻗﺘﻲ ﻛﻪ ﻟﻴﺴﺖ ﺗﻬﻴﻪ ﻭ ﺟﻤﻊﺁﻭﺭﻱ ﮔﺮﺩﻳﺪ‪ ،‬ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﺷﺮﻭﻉ ﺑﻪ ﺁﻟﻮﺩﻩ ﻛﺮﺩﻥ ﻣﺎﺷﻴﻦﻫﺎﻱ ﻣﻮﺟﻮﺩ ﺩﺭ ﻟﻴﺴﺖ‬
‫ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺑﻪ ﻫﺮ ﻣﺎﺷﻴﻦ ﺁﻟﻮﺩﻩ ﺷﺪﻩ‪ ،‬ﺑﺨﺸﻲ ﺍﺯ ﻟﻴﺴﺖ ﺑﺮﺍﻱ ﺍِﺳﻜﻦ ﻛﺮﺩﻥ ﻭﺍﮔﺬﺍﺭ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺍﺳﺘﺮﺍﺗﮋﻱ ﺑﻪ ﺍِﺳﻜﻦ ﺳﺮﻳﻊ‬
‫ﺗﻌﺪﺍﺩ ﺯﻳﺎﺩﻱ ﻣﺎﺷﻴﻦ ﺩﺭ ﻣﺪﺕ ﻛﻮﺗﺎﻫﻲ ﻣﻨﺠﺮ ﺷﺪﻩ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺗﺸﺨﻴﺺ ﻭﻗﻮﻉ ﺁﻟﻮﺩﮔﻲ ﺭﺍ ﺑﺎ ﺩﺷﻮﺍﺭﻱ ﻣﻮﺍﺟﻪ ﺳﺎﺯﺩ‪.‬‬
‫‪ :Topological‬ﺍﻳﻦ ﺭﻭﺵ ﺍﺯ ﺍﻃﻼﻋﺎﺕ ﻣﻮﺟﻮﺩ ﺩﺭ ﻣﺎﺷﻴﻦ ﻗﺮﺑﺎﻧﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺗﺎ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﺟﺪﻳﺪﻱ ﺭﺍ ﺑﺮﺍﻱ‬ ‫•‬
‫ﺍِﺳﻜﻦ ﻛﺮﺩﻥ ﺑﻴﺎﺑﺪ‪.‬‬
‫‪ :Local subnet‬ﺍﮔﺮ ﻣﻴﺰﺑﺎﻧﻲ ﻛﻪ ﭘﺸﺖ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﺑﺘﻮﺍﻧﺪ ﺁﻟﻮﺩﻩ ﺷﻮﺩ‪ ،‬ﺁﻧﮕﺎﻩ ﺍﻳﻦ ﻣﻴﺰﺑﺎﻥ ﺩﺭ ﺷﺒﻜﺔ‬ ‫•‬
‫ﻣﺤﻠﻲ ﺧﻮﺩ ﺑﻪ ﺩﻧﺒﺎﻝ ﺁﻟﻮﺩﻩ ﻛﺮﺩﻥ ﺍﻫﺪﺍﻑ ﺩﻳﮕﺮ ﺧﻮﺍﻫﺪ ﺭﻓﺖ‪ .‬ﺍﻳﻦ ﻣﻴﺰﺑﺎﻥ ﺍﺯ ﺳﺎﺧﺘﺎﺭ ﺁﺩﺭﺳﻲ ﺯﻳﺮﺷﺒﻜﻪ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺗﺎ‬
‫ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﺩﻳﮕﺮﻱ ﺭﺍ ﻛﻪ ﺩﺭ ﻏﻴﺮ ﺍﻳﻨﺼﻮﺭﺕ ﺗﺤﺖ ﺣﻔﺎﻇﺖ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻣﻲﺑﻮﺩﻧﺪ ﭘﻴﺪﺍ ﻛﻨﺪ‪.‬‬
‫ﺭﻭﺵﻫﺎﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪DDoS‬‬

‫ﺩﺭ ﺣﺎﻟﺖ ﻛﻠﻲ ﺳﻪ ﺧﻂ ﺩﻓﺎﻋﻲ ﺩﺭ ﺑﺮﺍﺑﺮ ﺣﻤﻼﺕ ‪ DDoS‬ﻭﺟﻮﺩ ﺩﺍﺭﺩ ]‪:[CHAN02‬‬
‫ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺣﻤﻠﻪ ﻭ ﺑﺎﺯﺩﺍﺭﻧﺪﮔﻲ )ﻗﺒﻞ ﺍﺯ ﺣﻤﻠﻪ(‪ :‬ﺍﻳﻦ ﻣﻜﺎﻧﻴﺴﻢﻫﺎ ﻗﺮﺑﺎﻧﻲ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ ﺑﺮﺍﻱ‬ ‫•‬
‫ﻛﻼﻳﻨﺖﻫﺎﻱ ﻗﺎﻧﻮﻧﻲ ﺍﺯ ﺳﺮﻭﻳﺲ ﺩﺍﺩﻥ ﺑﺎﺯ ﻣﺎﻧﺪ‪ ،‬ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﻼﺵ ﺑﺮﺍﻱ ﺣﻤﻠﻪ ﻣﻘﺎﻭﻣﺖ ﻧﻤﺎﻳﺪ‪ .‬ﺗﻜﻨﻴﻚﻫﺎﻱ ﺍﻳﻦ ﻣﻮﺭﺩ ﺷﺎﻣﻞ‬
‫ﺍﻋﻤﺎﻝ ﺳﻴﺎﺳﺖﻫﺎﻱ ﻣﻨﺎﺳﺐ ﺑﺮﺍﻱ ﺑﻜﺎﺭﮔﻴﺮﻱ ﻣﻨﺎﺑﻊ ﻭ ﺗﺪﺍﺭﻙ ﺩﻳﺪﻥ ﻣﻨﺎﺑﻊ ﺭﺯﺭﻭ ﺩﺭ ﺻﻮﺭﺕ ﺗﻘﺎﺿﺎﺳﺖ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ‪،‬‬
‫ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺑﺎﺯﺩﺍﺭﻧﺪﻩ‪ ،‬ﺳﻴﺴﺘﻢﻫﺎ ﻭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺘﻲ ﺭﺍ ﻃﻮﺭﻱ ﺟﺮﺡ ﻭ ﺗﻌﺪﻳﻞ ﻣﻲﻧﻤﺎﻳﺪ ﻛﻪ ﺍﺣﺘﻤﺎﻝ ﺣﻤﻠﺔ ‪DDoS‬‬
‫ﻛﻢ ﺷﻮﺩ‪.‬‬
‫ﺗﺸﺨﻴﺺ ﺣﻤﻠﻪ ﻭ ﻓﻴﻠﺘﺮ ﻛﺮﺩﻥ )ﺩﺭ ﻃﻮﻝ ﺣﻤﻠﻪ(‪ :‬ﺍﻳﻦ ﻣﻜﺎﻧﻴﺴﻢﻫﺎ ﺗﻼﺵ ﻣﻲﻛﻨﻨﺪ ﺗﺎ ﺣﻤﻠﻪ ﺭﺍ ﻫﺮﭼﻪ ﺳﺮﻳﻊﺗﺮ ﺗﺸﺨﻴﺺ‬ ‫•‬
‫ﺩﺍﺩﻩ ﻭ ﻋﻜﺲﺍﻟﻌﻤﻞ ﺑﻼﺩﺭﻧﮓ ﻧﺸﺎﻥ ﺩﻫﻨﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺍﺛﺮﺍﺕ ﺣﻤﻠﻪ ﺑﺮ ﻫﺪﻑ ﺭﺍ ﺑﻪ ﺣﺪﺍﻗﻞ ﻣﻲﺭﺳﺎﻧﺪ‪ .‬ﺗﺸﺨﻴﺺ ﺷﺎﻣﻞ‬
‫ﺟﺴﺘﺠﻮﻱ ﺭﻓﺘﺎﺭﻫﺎﻱ ﻣﺸﻜﻮﻙ ﺍﺳﺖ‪ .‬ﭘﺎﺳﺦ ﺷﺎﻣﻞ ﻓﻴﻠﺘﺮﻛﺮﺩﻥ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎﺋﻲ ﺍﺳﺖ ﻛﻪ ﺍﺣﺘﻤﺎﻻﹰ ﺑﺨﺸﻲ ﺍﺯ ﺣﻤﻠﻪ ﻫﺴﺘﻨﺪ‪.‬‬
‫ﺟﺴﺘﺠﻮﻱ ﻣﻨﺸﺎﺀ ﺣﻤﻠﻪ ﻭ ﺷﻨﺎﺳﺎﺋﻲ )ﺩﺭ ﻃﻮﻝ ﺣﻤﻠﻪ ﻭ ﺑﻌﺪ ﺍﺯ ﺁﻥ(‪ :‬ﺍﻳﻦ ﺗﻼﺷﻲ ﺑﺮﺍﻱ ﭘﻴﺪﺍ ﻛﺮﺩﻥ ﻣﻨﺒﻊ ﺣﻤﻠﻪ ﺑﻌﻨﻮﺍﻥ ﻗﺪﻣﻲ‬ ‫•‬
‫ﺩﺭ ﺟﻬﺖ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﺣﻤﻼﺕ ﺁﺗﻲ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺭﻭﺵ‪ ،‬ﺣﺘﻲ ﺍﮔﺮ ﻣﻮﻓﻘﻴﺖﺁﻣﻴﺰ ﺑﺎﺷﺪ‪ ،‬ﻣﻌﻤﻮﻻﹰ ﻧﺘﺎﻳﺞ ﺳﺮﻳﻌﻲ ﺭﺍ ﺩﺭ ﺟﻬﺖ‬
‫ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻠﺔ ﺩﺭﺣﺎﻝ ﺍﻧﺠﺎﻡ ﺑﺪﺳﺖ ﻧﻤﻲﺩﻫﺪ‪.‬‬
‫ﭼﺎﻟﺶ ﻋﻤﺪﻩ ﺩﺭ ﻣﺒﺎﺭﺯﻩ ﺑﺎ ﺣﻤﻼﺕ ‪ DDoS‬ﺭﻭﺵﻫﺎﻱ ﻣﺘﻨﻮﻉ ﻋﻤﻠﻴﺎﺗﻲ ﺁﻧﻬﺎﺳﺖ‪ .‬ﭘﺎﺗﻚﻫﺎﻱ ‪ DDoS‬ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﻫﻤﺮﺍﻩ ﺗﻬﺪﻳﺪﻫﺎ‬
‫ﺗﻜﺎﻣﻞ ﻳﺎﺑﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ٣٩٢
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ۱۰-۴
‫ ﻣﻘﺎﻻﺕ ﺧﻮﺏ ﺩﺭ ﻣﻮﺭﺩ‬.‫[ ﺍﺳﺖ‬HARL01] ‫ ﻣﻨﺒﻊ ﺑﺴﻴﺎﺭ ﺧﻮﺏ ﺩﻳﮕﺮ‬.‫[ ﺭﺍ ﺧﻮﺍﻧﺪ‬SZOR05] ‫ ﺑﺎﻳﺪ ﻛﺘﺎﺏ‬،‫ﺑﺮﺍﻱ ﻳﻚ ﻓﻬﻢ ﻛﺎﻣﻞ ﺍﺯ ﻭﻳﺮﻭﺱﻫﺎ‬
‫[ ﺍﻃﻼﻋﺎﺕ ﻣﻔﻴﺪﻱ ﺩﺭ ﻣﻮﺭﺩ ﻛِـﺮﻡ‬MEIN01] .‫[ ﻣﻲﺑﺎﺷﻨﺪ‬NACH97] ‫[ ﻭ‬KEPH97] ،[FORR97] ،[CASS01] ‫ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﻛِﺮﻡﻫﺎ‬
.‫ ﺭﺍ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﻣﻲﮔﺬﺍﺭﺩ‬Code Red
‫ ﻭ ﭘﺎﺗﻚﻫﺎﻱ ﺁﻧﻬﺎ‬DDoS ‫[ ﻳﻚ ﺗﻮﺻﻴﻒ ﻛﺎﻣﻞ ﺍﺯ ﺣﻤﻼﺕ‬MIRK04] .‫ ﺍﺳﺖ‬DDoS ‫[ ﻳﻚ ﺑﺮﺭﺳﻲ ﺍﺭﺯﻧﺪﻩ ﺍﺯ ﺣﻤﻼﺕ‬PATR04]
.‫ ﺍﺳﺖ‬DDoS ‫[ ﻳﻚ ﺑﺮﺭﺳﻲ ﺧﻮﺏ ﺍﺯ ﺍﺳﺘﺮﺍﺗﮋﻱﻫﺎﻱ ﺩﻓﺎﻋﻲ‬CHAN02] .‫ﺭﺍ ﺍﺭﺍﺋﻪ ﻣﻲﻛﻨﺪ‬
CASS01 Cass, S. "Anatomy of Malice." IEEE Spectrum, November 2001.

CHAN02 Chang, R. "Defending Against Flooding-Based Distributed Denial-of-Servise Attacks: A
Tutorial." IEEE Communications Magazine, October 2002.
FORR97 Forrest, S.; Hofmeyr, S.; and Sommayaji, A. "Computer Immunology." Communications of
the ACM, October 1997.
HARL01 Harley, D.; Slade, R.; and Gattiker, U. Viruses Revealed. New York: Osborne/McGraw-
Hill, 2001.
KEPH97 Kephart, J.; Sorkin, G.; Chess,D.; and White, S."Fighting Computer Viruses." Scientific
American, November 1997.
MEIN01 Meinel, C. "Code Red for the Web." Scientific American, October 2001.
MIRK04 Mirkovic, J., and Relher,P."A Taxonomy of DDoS Attack and DDoS Defence Mechnisms."
ACM SIGCOMM Computer Communications Review, April 2004.
NACH97 Nachenberg, C. "Computer Virus-Antivirus Coevolution." Communications of the ACM,

January 1997.
PATR04 Patrikakis, C.; Masikos, M.; and Zouraraki, O."Distributed Denial of Service Attacks." The
Internet Protocol Journal, December 2004.
SZOR05 Szor, p., The Art of Computer Virus Research and Defence.Reading,MA:Addison-
Wesley,2005.
.‫ ﺩﺭﺑﺎﺭﺓ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﻭﻳﺮﻭﺱﻫﺎ‬IBM ‫ ﺳﺎﻳﺖ‬:AntiVirus Online •

.‫ ﻣﺨﺘﺺ ﺑﺮﻣﻼﻛﺮﺩﻥ ﺧﻄﺮﺍﺕ ﻭﻳﺮﻭﺱﻫﺎ ﻭ ﺭﻓﻊ ﺷﺒﻬﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﻭﻳﺮﻭﺱﻫﺎﻱ ﻭﺍﻗﻌﻲ‬:Vmyths •
.‫ ﻟﻴﺴﺖ ﮔﺴﺘﺮﺩﻩﺍﻱ ﺍﺯ ﻟﻴﻨﻚﻫﺎ ﻭ ﺍﺳﻨﺎﺩ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻳﻦ ﺑﺤﺚ‬:DDoS Attacks/Tools •
‫‪٣٩٣‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‬
‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۱۰-۵‬‬
‫‪auto-rooter‬‬ ‫ﻧﻮﻋﻲ ﺍﺑﺰﺍﺭ ﻧﻔﻮﺫﮔﺮﻱ‬ ‫‪macro virus‬‬ ‫ﻭﻳﺮﻭﺱ ﻣﺎﻛﺮﻭ‬

‫‪backdoor‬‬ ‫ﺩﺭﺏ ﻣﺨﻔﻲ‬ ‫)‪malicious software (malware‬‬ ‫ﻧﺮﻡﺍﻓﺰﺍﺭ ﺑﺪﺍﻧﺪﻳﺶ‬
‫‪digital immune system‬‬ ‫ﺳﻴﺴﺘﻢ ﻣﺼﻮﻥ ﺩﻳﺠﻴﺘﺎﻝ‬ ‫‪polymorphic virus‬‬ ‫ﻭﻳﺮﻭﺱ ﭼﻨﺪﭼﻬﺮﻩ‬
‫‪direct DDoS attack‬‬ ‫ﺣﻤﻠﺔ ‪ DDoS‬ﻣﺴﺘﻘﻴﻢ‬ ‫‪reflector DDoS attack‬‬ ‫ﺣﻤﻠﺔ ‪ DDoS‬ﺍﻧﻌﻜﺎﺳﻲ‬
‫‪distributed denial of service‬‬ ‫ﺍﻧﻜﺎﺭ ﺳﺮﻭﻳﺲ ﺗﻮﺯﻳﻊ ﺷﺪﻩ‬ ‫‪rootkit‬‬ ‫ﺍﺑﺰﺍﺭ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺭﻳﺸﺔ ﺑﺮﻧﺎﻣﻪ‬
‫‪downloaders‬‬ ‫ﺑﺎﺭﮔﺬﺍﺭﻱ ﻛﻨﻨﺪﻩ‬ ‫‪spammer program‬‬ ‫ﺑﺮﻧﺎﻣﺔ ﺍﺭﺳﺎﻝ ﻫَﺮﺯﻧﺎﻣﻪﻫﺎ‬
‫‪e-mail virus‬‬ ‫ﻭﻳﺮﻭﺱ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‬ ‫‪stealth virus‬‬ ‫ﻭﻳﺮﻭﺱ ﭘﻨﻬﺎﻥ ﺷﻮﻧﺪﻩ‬
‫‪exploits‬‬ ‫ﺍﺳﺘﺜﻤﺎﺭﮔﺮﻫﺎ‬ ‫‪trapdoor‬‬ ‫ﺩﺭﺏ ﻣﺨﻔﻲ‬
‫‪flooder‬‬ ‫ﺣﻤﻠﺔ ﺳﻴﻼﺑﻲ‬ ‫‪trojan horse‬‬ ‫ﺍﺳﺐ ﺗﺮﻭﺍ‬
‫‪keylogger‬‬ ‫ﺛﺒﺖ ﻛﻨﻨﺪﺓ ﺣﺮﻛﺎﺕ ﺻﻔﺤﻪ ﻛﻠﻴﺪ‬ ‫‪virus‬‬ ‫ﻭﻳﺮﻭﺱ‬
‫‪kit‬‬ ‫ﺟﻌﺒﻪ ﺍﺑﺰﺍﺭ‬ ‫‪worm‬‬ ‫ﻛِﺮﻡ‬
‫‪logic bomb‬‬ ‫ﺑﻤﺐ ﻻﺟﻴﻚ‬ ‫‪zombie‬‬ ‫ﺯﺍﻣﺒﻲ‬
‫ﻧﻘﺶ ﻓﺸﺮﺩﻩﺳﺎﺯﻱ ﺩﺭ ﻋﻤﻠﻜﺮﺩ ﻳﻚ ﻭﻳﺮﻭﺱ ﭼﻴﺴﺖ؟‬ ‫‪۱۰-۱‬‬

‫ﻧﻘﺶ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺩﺭ ﻋﻤﻠﻜﺮﺩ ﻳﻚ ﻭﻳﺮﻭﺱ ﭼﻴﺴﺖ؟‬ ‫‪۱۰-۲‬‬
‫ﻓﺎﺯﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻋﻤﻠﻜﺮﺩ ﻳﻚ ﻭﻳﺮﻭﺱ ﻳﺎ ﻛِﺮﻡ ﻛﺪﺍﻡﺍﻧﺪ؟‬ ‫‪۱۰-۳‬‬
‫ﻳﻚ ﻛِﺮﻡ ﺩﺭ ﺣﺎﻟﺖ ﻛﻠﻲ ﭼﮕﻮﻧﻪ ﺍﻧﺘﺸﺎﺭ ﻣﻲﻳﺎﺑﺪ؟‬ ‫‪۱۰-۴‬‬
‫ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﺼﻮﻥ ﺩﻳﺠﻴﺘﺎﻝ ﭼﻴﺴﺖ؟‬ ‫‪۱۰-۵‬‬
‫ﻧﺮﻡﺍﻓﺰﺍﺭ ﺳﺪﻛﻨﻨﺪﺓ ﺭﻓﺘﺎﺭ ﭼﮕﻮﻧﻪ ﻛﺎﺭ ﻣﻲﻛﻨﺪ؟‬ ‫‪۱۰-۶‬‬
‫ﻳﻚ ‪ DDoS‬ﭼﻴﺴﺖ؟‬ ‫‪۱۰-۷‬‬
‫ﺩﺭ ﺑﺮﻧﺎﻣﺔ ﻭﻳﺮﻭﺱ ﺷﻜﻞ ‪ ۱۰-۱‬ﻳﻚ ﺍﺷﺘﺒﺎﻩ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ .‬ﺁﻥ ﭼﻴﺴﺖ؟‬ ‫‪۱۰-۱‬‬
‫ﻓﺼﻞ ﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٩٤‬‬
‫ﺍﻳﻦ ﺳﺆﺍﻝ ﻣﻄﺮﺡ ﺍﺳﺖ ﻛﻪ ﺁﻳﺎ ﻣﻲﺗﻮﺍﻥ ﺑﺮﻧﺎﻣﻪﺍﻱ ﻧﻮﺷﺖ ﻛﻪ ﺑﺘﻮﺍﻧﺪ ﻳﻚ ﻧﺮﻡﺍﻓﺰﺍﺭ ﺭﺍ ﺗﺠﺰﻳﻪ ﻭ ﺗﺤﻠﻴﻞ ﻛﺮﺩﻩ ﻭ ﻣﺸﺨﺺ ﻧﻤﺎﻳﺪ ﻛﻪ‬ ‫‪۱۰-۲‬‬
‫ﺁﻳﺎ ﺍﻳﻦ ﻧﺮﻡﺍﻓﺰﺍﺭ ﻭﻳﺮﻭﺱ ﺍﺳﺖ ﻳﺎ ﻧﻪ؟ ﻓﺮﺽ ﻛﻨﻴﺪ ﻛﻪ ﺑﺮﻧﺎﻣﻪﺍﻱ ﻣﺎﻧﻨﺪ ‪ D‬ﺩﺍﺭﻳﻢ ﻛﻪ ﻗﺎﺩﺭ ﺑﻪ ﺍﻳﻦ ﻛﺎﺭ ﺍﺳﺖ‪ .‬ﻳﻌﻨﻲ‪ ،‬ﺑﺮﺍﻱ ﻫﺮ‬
‫ﺑﺮﻧﺎﻣﺔ ‪ P‬ﺍﮔﺮ ﺑﺮﻧﺎﻣﺔ )‪ D(P‬ﺭﺍ ﺍﺟﺮﺍ ﻛﻨﻴﻢ ﻧﺘﻴﺠﻪ ﻳﺎ ﻣﺜﺒﺖ )‪ P‬ﻭﻳﺮﻭﺱ ﺍﺳﺖ( ﻭ ﻳﺎ ﻣﻨﻔﻲ )‪ P‬ﻭﻳﺮﻭﺱ ﻧﻴﺴﺖ( ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺣﺎﻝ‬
‫ﺑﺮﻧﺎﻣﺔ ﺯﻳﺮ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ‪:‬‬
‫=‪program CV :‬‬
‫…{‬
‫=‪main-program :‬‬
‫‪{if D(CV) then goto next :‬‬
‫; ‪else infect-executable‬‬
‫}‬
‫‪next :‬‬
‫}‬
‫ﺩﺭ ﺑﺮﻧﺎﻣﺔ ﺑﺎﻻ ‪ infect-executable‬ﻳﻚ ﻣﺪﻭﻝ ﺍﺳﺖ ﻛﻪ ﺣﺎﻓﻈﻪ ﺭﺍ ﺑﻤﻨﻈﻮﺭ ﻳﺎﻓﺘﻦ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺍﺟﺮﺍﺋﻲ ﺍﺳﻜﻦ ﻛﺮﺩﻩ ﻭ ﺧﻮﺩ ﺭﺍ‬
‫ﺩﺭ ﺁﻥ ﺑﺮﻧﺎﻣﻪﻫﺎ ﻛﭙﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺗﻌﻴﻴﻦ ﻛﻨﻴﺪ ﻛﻪ ﺁﻳﺎ ‪ D‬ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﻣﻮﺭﺩ ﺍﻳﻨﻜﻪ ‪ CV‬ﻳﻚ ﻭﻳﺮﻭﺱ ﺍﺳﺖ ﺗﺼﻤﻴﻢ ﺻﺤﻴﺢ ﺑﮕﻴﺮﺩ؟‬
‫ﻓﺼـﻞ ‪۱۱‬‬
‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ‬
‫ﺍﺻﻮﻝ ﻃﺮﺍﺣﻲ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ‬ ‫‪۱۱-۱‬‬

‫ﻣﺸﺨﺼﻪﻫﺎﻱ ﺩﻳﻮﺍﺭ ﺁﺗﺶ‬
‫ﺍﻧﻮﺍﻉ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ‬
‫ﭘﻴﻜﺮﺑﻨﺪﻱﻫﺎﻱ ﺩﻳﻮﺍﺭ ﺁﺗﺶ‬
‫ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﻌﺘﻤﺪ‬ ‫‪۱۱-۲‬‬

‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺩﺍﺩﻩﻫﺎ‬
‫ﻣﻔﻬﻮﻡ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﻌﺘﻤﺪ‬
‫ﺩﻓﺎﻉ ﺍﺳﺐ ﺗﺮﻭﺍ‬
‫ﻣﻌﻴﺎﺭﻫﺎﻱ ﻣﺸﺘﺮﻙ ﺑﺮﺍﻱ ﺍﺭﺯﻳﺎﺑﻲ ﺍﻣﻨﻴﺖ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺍﻃﻼﻋﺎﺕ‬ ‫‪۱۱-۳‬‬

‫ﻻﺯﻣﻪﻫﺎ‬
‫ﭘﺮﻭﻓﺎﻳﻞﻫﺎ ﻭ ﻫﺪﻑﻫﺎ‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ‫‪۱۱-۴‬‬

‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‪ ،‬ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬ ‫‪۱۱-۵‬‬
‫ﻓﺼﻞ ﻳﺎﺯﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٩٦‬‬
‫ﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻣﻲﺗﻮﺍﻧﻨﺪ ﻳﻚ ﻭﺳﻴﻠﺔ ﻣﺆﺛﺮ ﺑﺮﺍﻱ ﺣﻔﺎﻇﺖ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﺤﻠﻲ‪ ،‬ﻭ ﻳﺎ ﺷﺒﻜﻪﺍﻱ ﺍﺯ ﺳﻴﺴﺘﻢﻫﺎ‪ ،‬ﺩﺭ ﻣﻘﺎﺑﻞ‬
‫ﺗﻬﺪﻳﺪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﺒﺘﻨﻲ ﺑﺮ ﺷﺒﻜﻪ ﺑﻮﺩﻩ ﻭ ﺩﺭ ﻋﻴﻦ ﺣﺎﻝ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺩﻧﻴﺎﻱ ﺧﺎﺭﺝ‪ ،‬ﺍﺯ ﻃﺮﻳﻖ ﺷﺒﻜﻪﻫﺎﻱ ‪ WAN‬ﻭ ﺍﻳﻨﺘﺮﻧﺖ ﺭﺍ ﺣﻔﻆ‬
‫ﺩ‬
‫ﺍﻳﻦ ﻓﺼﻞ ﺭﺍ ﺑﺎ ﻣﺮﻭﺭﻱ ﺑﺮ ﺍﺻﻮﻝ ﻋﻤﻠﻜﺮﺩ ﻭ ﻧﺤﻮﺓ ﻃﺮﺍﺣﻲ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﺁﻏﺎﺯ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺳﭙﺲ ﺑﻪ ﻣﻘﻮﻟﺔ ﺍﻣﻨﻴﺖ ﺧﻮﺩ‬
‫ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﭘﺮﺩﺍﺧﺘﻪ ﻭ ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﻓﺮﺿﻴﺔ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﻌﺘﻤﺪ ﻳﺎ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺍﻣﻦ ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻧﻤﺎﺋﻴﻢ‪.‬‬
‫ﺍﺻﻮﻝ ﻃﺮﺍﺣﻲ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ‬ ‫‪۱۱-۱‬‬
‫ﺳﻴﺴﺘﻢﻫﺎﻱ ﺍﻃﻼﻋﺎﺕ ﺩﺭ ﺷﺮﻛﺖﻫﺎ‪ ،‬ﺩﻭﺍﻳﺮ ﺩﻭﻟﺘﻲ ﻭ ﺳﺎﻳﺮ ﺳﺎﺯﻣﺎﻥﻫﺎ ﺑﻄﻮﺭ ﭘﻴﻮﺳﺘﻪ ﺩﺭ ﺣﺎﻝ ﺗﻜﺎﻣﻞ ﺑﻮﺩﻩﺍﻧﺪ‪:‬‬
‫ﺳﻴﺴﺘﻢ ﻣﺘﻤﺮﻛﺰ ﭘﺮﺩﺍﺯﺵ ﺩﺍﺩﻩﻫﺎ‪ ،‬ﺑﺎ ﻳﻚ ﺭﺍﻳﺎﻧﺔ ﺑﺰﺭﮒ ﻣﺮﻛﺰﻱ‪ ،‬ﻛﻪ ﺗﻌﺪﺍﺩﻱ ﭘﺎﻳﺎﻧﻪ ﻛﻪ ﻣﺴﺘﻘﻴﻤﺎﹰ ﺑﻪ ﺁﻥ ﻭﺻﻞﺍﻧﺪ ﺭﺍ‬ ‫•‬
‫ﺣﻤﺎﻳﺖ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫ﺷﺒﻜﻪﻫﺎﻱ ﻣﺤﻠﻲ )‪ (LAN‬ﻛﻪ ‪PC‬ﻫﺎ ﻭ ﭘﺎﻳﺎﻧﻪﻫﺎ ﺭﺍ ﺑﻪ ﻫﻢ ﻭ ﺑﻪ ﺭﺍﻳﺎﻧﺔ ﻣﺮﻛﺰﻱ ﻣﺘﺼﻞ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫ﺷﺒﻜﻪﻫﺎﻱ ﺍﺧﺘﺼﺎﺻﻲ ﻛﻪ ﺷﺎﻣﻞ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ‪LAN‬ﻫﺎ‪PC ،‬ﻫﺎﻱ ﻣﺘﺼﻞ ﺑﻬﻢ‪ ،‬ﺳِﺮﻭﺭﻫﺎ ﻭ ﺷﺎﻳﺪ ﻳﻚ ﻳﺎ ﺩﻭ ﺭﺍﻳﺎﻧﺔ ﺑﺰﺭﮒ‬ ‫•‬
‫ﻣﺮﻛﺰﻱ ﺍﺳﺖ‪.‬‬
‫ﺷﺒﻜﻪﻫﺎﻱ ﻭﺳﻴﻊ ﺗﺠﺎﺭﻱ‪ ،‬ﺷﺎﻣﻞ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﺷﺒﻜﻪﻫﺎﻱ ﺍﺧﺘﺼﺎﺻﻲ ﺩﺭ ﻣﻨﺎﻃﻖ ﺟﻐﺮﺍﻓﻴﺎﺋﻲ ﻣﺨﺘﻠﻒ‪ ،‬ﻛﻪ ﺑﺘﻮﺳﻂ ﻳﻚ ‪WAN‬‬ ‫•‬
‫ﺧﺼﻮﺻﻲ ﺑﺎ ﻫﻢ ﺍﺭﺗﺒﺎﻁ ﺩﺍﺭﻧﺪ‪.‬‬
‫ﺍﺗﺼﺎﻝ ﺍﻳﻨﺘﺮﻧﺘﻲ ﻛﻪ ﺩﺭ ﺁﻥ ﺷﺒﻜﻪﻫﺎﻱ ﺍﺧﺘﺼﺎﺻﻲ ﻣﺨﺘﻠﻒ ﻫﻤﮕﻲ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﻭﺻﻞ ﺑﻮﺩﻩ ﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺘﻮﺳﻂ ﻳﻚ‬ ‫•‬
‫‪ WAN‬ﺧﺼﻮﺻﻲ ﺑﻪ ﻫﻢ ﻣﺘﺼﻞ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﺑﺮﺍﻱ ﺍﻛﺜﺮ ﺳﺎﺯﻣﺎﻥﻫﺎ‪ ،‬ﺍﺗﺼﺎﻝ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﺩﻳﮕﺮ ﺍﻣﺮﻭﺯ ﻳﻚ ﺍﻣﺮ ﺗﺸﺮﻳﻔﺎﺗﻲ ﻧﻴﺴﺖ‪ .‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻃﻼﻋﺎﺕ ﻭ ﺳﺮﻭﻳﺲﻫﺎﻱ ﻣﻮﺟﻮﺩ‬
‫ﺩﺭ ﺍﻳﻨﺘﺮﻧﺖ ﺍﺯ ﺿﺮﻭﺭﻳﺎﺕ ﺳﺎﺯﻣﺎﻧﻲ ﻣﺤﺴﻮﺏ ﻣﻲﺷﻮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﺗﻚﺗﻚ ﻛﺎﺭﺑﺮﺍﻥ ﺩﺭﻭﻥ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﻧﻴﺰ ﺗﻤﺎﻳﻞ ﻭ ﻧﻴﺎﺯ ﺑﻪ‬
‫ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﺩﺍﺭﻧﺪ ﻭ ﺍﮔﺮ ﺍﻳﻦ ﺍﻣﺮ ﺑﺘﻮﺳﻂ ﺷﺒﻜﺔ ‪ LAN‬ﺳﺎﺯﻣﺎﻥ ﺁﻧﻬﺎ ﻓﺮﺍﻫﻢ ﻧﮕﺮﺩﺩ‪ ،‬ﺍﺯ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺧﻂ ﺗﻠﻔﻦ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ‬
‫ﻭ ‪ PC‬ﺧﻮﺩ ﺭﺍ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﻓﺮﺍﻫﻢﺁﻭﺭﻧﺪﺓ ﺳﺮﻭﻳﺲ ﺍﻳﻨﺘﺮﻧﺘﻲ )‪ (ISP‬ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﻣﻲﺳﺎﺯﻧﺪ‪ .‬ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ ﺩﺭ ﺣﺎﻟﻲﻛﻪ‬
‫ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﻣﻨﺎﻓﻌﻲ ﺭﺍ ﺑﺮﺍﻱ ﺳﺎﺯﻣﺎﻥ ﺑﻪ ﺍﺭﻣﻐﺎﻥ ﻣﻲﺁﻭﺭﺩ ﻭﻟﻲ ﺩﻧﻴﺎﻱ ﺧﺎﺭﺝ ﺭﺍ ﻧﻴﺰ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﺑﻪ ﺗﺠﻬﻴﺰﺍﺕ ﺷﺒﻜﻪﻫﺎﻱ‬
‫ﻣﺤﻠﻲ ﺩﺳﺘﺮﺳﻲ ﻳﺎﻓﺘﻪ ﻭ ﺑﺎ ﺁﻧﻬﺎ ﺗﺒﺎﺩﻝ ﺍﻃﻼﻋﺎﺕ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺗﻬﺪﻳﺪﻱ ﺭﺍ ﺑﺮﺍﻱ ﺳﺎﺯﻣﺎﻥ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ‪ .‬ﺍﮔﺮﭼﻪ ﻣﻤﻜﻦ ﺍﺳﺖ‬
‫ﻛﻪ ﻫﺮ ﺍﻳﺴﺘﮕﺎﻩ ﻛﺎﺭﻱ ﻭ ﺳِﺮﻭﺭ ﻳﻚ ﺷﺒﻜﻪ ﺭﺍ ﺑﺎ ﺗﺠﻬﻴﺰﺍﺕ ﺍﻣﻨﻴﺘﻲ ﻗﻮﻱ ﺗﺠﻬﻴﺰ ﻛﺮﺩ ﻭﻟﻲ ﭼﻨﻴﻦ ﺣﻔﺎﻇﺘﻲ‪ ،‬ﻳﻚ ﺭﻭﺵ ﻋﻤﻠﻲ ﻣﻨﺎﺳﺐ‬
‫ﻧﻴﺴﺖ‪ .‬ﺷﺒﻜﻪﺍﻱ ﺑﺎ ﺻﺪﻫﺎ ﻭ ﺷﺎﻳﺪ ﻫﺰﺍﺭﻫﺎ ﺳﻴﺴﺘﻢ ﺭﺍ ﺩﺭ ﻧﻈﺮ ﺑﮕﻴﺮﻳﺪ ﻛﻪ ﺍﺯ ﻣﻌﺠﻮﻧﻲ ﺍﺯ ﻧﺴﺨﻪﻫﺎﻱ ﻣﺘﻔﺎﻭﺕ ‪ UNIX‬ﻭ ‪Windows‬‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﻭﻗﺘﻲ ﻳﻚ ﺷﻜﺎﻑ ﺍﻣﻨﻴﺘﻲ ﻛﺸﻒ ﺷﻮﺩ‪ ،‬ﻫﺮ ﺳﻴﺴﺘﻤﻲ ﻛﻪ ﺗﺤﺖ ﺗﺄﺛﻴﺮ ﺍﻳﻦ ﺍﻣﺮ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺑﺎﻳﺴﺘﻲ ﺑﺮﺍﻱ ﺭﻓﻊ ﻣﺸﻜﻞ‬
‫‪٣٩٧‬‬ ‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺍﺭﺗﻘﺎﺀ ﻳﺎﺑﺪ‪ .‬ﺭﺍﻩ ﺣﻞ ﺩﻳﮕﺮ ﻛﻪ ﺑﻄﻮﺭ ﻓﺰﺍﻳﻨﺪﻩﺍﻱ ﻣﻮﺭﺩ ﭘﺬﻳﺮﺵ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺍﺳﺖ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺍﺳﺖ‪ .‬ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺑﻴﻦ ﺷﺒﻜﺔ‬
‫ﺍﺧﺘﺼﺎﺻﻲ ﻭ ﺍﻳﻨﺘﺮﻧﺖ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﺗﺎ ﻳﻚ ﭘﻴﻮﻧﺪ ﻛﻨﺘﺮﻝ ﺷﺪﻩ ﺭﺍ ﺍﻳﺠﺎﺩ ﻛﺮﺩﻩ ﻭ ﻳﻚ ﺩﻳﻮﺍﺭ ﺍﻣﻨﻴﺘﻲ ﺧﺎﺭﺟﻲ ﺭﺍ ﺩﺭ ﭘﻴﺮﺍﻣﻮﻥ ﺷﺒﻜﻪ ﺍﻳﺠﺎﺩ‬
‫ﻧﻤﺎﻳﺪ‪ .‬ﻫﺪﻑ ﺍﻳﻦ ﺩﻳﻮﺍﺭ ﭘﻴﺮﺍﻣﻮﻧﻲ‪ ،‬ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺷﺒﻜﻪ ﺭﺍ ﺍﺯ ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ ﺍﻳﻨﺘﺮﻧﺘﻲ ﺣﻔﺎﻇﺖ ﻛﺮﺩﻩ ﻭ ﺑﺎ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻥ ﺗﻨﻬﺎ ﻳﻚ‬
‫ﻣﻨﻔﺬ‪ ،‬ﻣﺴﺌﻮﻟﻴﻦ ﺷﺒﻜﻪ ﺭﺍ ﻗﺎﺩﺭ ﺳﺎﺯﺩ ﺗﺎ ﺍﺯ ﺁﻥ ﻣﻨﻔﺬ ﻣﻮﺍﺭﺩ ﺍﻣﻨﻴﺘﻲ ﻭ ﻣﻤﻴﺰﻱ ﺷﺒﻜﻪ ﺭﺍ ﻛﻨﺘﺮﻝ ﻛﻨﻨﺪ‪ .‬ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ‬
‫ﻛﺎﻣﭙﻴﻮﺗﺮ ﺗﻨﻬﺎ ﻭ ﻳﺎ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﭼﻨﺪ ﺳﻴﺴﺘﻢ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﺑﺎﺷﺪ ﻛﻪ ﺑﺎ ﺗﻌﺎﻣﻞ ﺑﺎ ﻳﻜﺪﻳﮕﺮ ﻭﻇﺎﻳﻒ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﻫﻨﺪ‪.‬‬
‫ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﺍﺑﺘﺪﺍ ﻣﺸﺨﺼﺎﺕ ﻛﻠﻲ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﺭﺍ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺳﭙﺲ ﺑﻪ ﺍﻧﻮﺍﻉ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻛﻪ ﺍﻣﺮﻭﺯ ﻣﻮﺭﺩ‬
‫ﺍﺳﺘﻔﺎﺩﻩﺍﻧﺪ ﻧﻈﺮﻱ ﻣﻲﺍﻧﺪﺍﺯﻳﻢ‪ .‬ﺑﺎﻻﺧﺮﻩ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻣﺘﺪﺍﻭﻝﺗﺮﻳﻦ ﭘﻴﻜﺮﺑﻨﺪﻱﻫﺎﻱ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﺭﺍ ﻣﻮﺭﺩ ﺑﺮﺭﺳﻲ ﻗﺮﺍﺭ ﻣﻲﺩﻫﻴﻢ‪.‬‬
‫ﻣﺸﺨﺼﻪﻫﺎﻱ ﺩﻳﻮﺍﺭ ﺁﺗﺶ )‪(Firewall‬‬

‫]‪ [BELL94b‬ﺍﻫﺪﺍﻑ ﻃﺮﺍﺣﻲ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺭﺍ ﭼﻨﻴﻦ ﺑﻴﺎﻥ ﻣﻲﻛﻨﺪ‪:‬‬
‫‪ -۱‬ﺗﻤﺎﻡ ﺗﺮﺍﻓﻴﻚ ﺩﺍﺧﻞ ﺑﻪ ﺧﺎﺭﺝ ﻭ ﺑﺎﻟﻌﻜﺲ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﻣﻴﺎﻥ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻋﺒﻮﺭ ﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺑﺎ ﻣﺴﺪﻭﺩ ﻛﺮﺩﻥ ﻓﻴﺰﻳﻜﻲ ﺗﻤﺎﻡ‬
‫ﺩﺳﺘﺮﺳﻲﻫﺎ ﺑﻪ ﺷﺒﻜﺔ ﻣﺤﻠﻲ‪ ،‬ﺑﺠﺰ ﺍﺯ ﻃﺮﻳﻖ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺣﺎﺻﻞ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﺯ ﭘﻴﻜﺮﺑﻨﺪﻱﻫﺎﻱ ﻣﺘﻨﻮﻋﻲ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﻣﻲﺗﻮﺍﻥ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩ ﻛﻪ ﺑﻌﺪﺍﹰ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﺧﻮﺍﻫﺪ ﮔﺮﻓﺖ‪.‬‬
‫‪ -۲‬ﺗﻨﻬﺎ ﺑﻪ ﺗﺮﺍﻓﻴﻚ ﻣﻌﺘﺒﺮ‪ ،‬ﺑﺮﺍﺑﺮ ﺁﻧﭽﻪ ﺧﻂﻣﺸﻲ ﺍﻣﻨﻴﺘﻲ ﻣﺤﻠﻲ ﺁﻥ ﺭﺍ ﺗﻌﺮﻳﻒ ﻛﺮﺩﻩ ﺍﺳﺖ‪ ،‬ﺍﺟﺎﺯﺓ ﻋﺒﻮﺭ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻧﻮﺍﻉ‬
‫ﻣﺘﻨﻮﻋﻲ ﺍﺯ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪﻛﻪ ﻫﺮﻳﻚ ﺍﻧﻮﺍﻉ ﻣﺨﺘﻠﻔﻲ ﺍﺯ ﺧﻂﻣﺸﻲﻫﺎ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﻌﺪﺍﹰ‬
‫ﺩﺭ ﺍﻳﻦ ﺑﺎﺭﻩ ﺑﺤﺚ ﺧﻮﺍﻫﻴﻢ ﻛﺮﺩ‪.‬‬
‫‪ -۳‬ﺧﻮﺩ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺩﺭ ﻣﻘﺎﺑﻞ ﻧﻔﻮﺫ ﺑﻴﮕﺎﻧﻪ ﺩﺍﺭﺍﻱ ﺍﻣﻨﻴﺖ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﻳﺎ ﻳﻚ ﺳﻴﺴﺘﻢ‬
‫ﻋﺎﻣﻞ ﺍﻣﻦ ﺭﺍ ﺍﻳﺠﺎﺏ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﻣﻮﺿﻮﻉ ﺭﺍ ﻧﻴﺰ ﺑﻌﺪﺍﹰ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﺧﻮﺍﻫﻴﻢ ﺩﺍﺩ‪.‬‬
‫]‪ [SMIT97‬ﭼﻬﺎﺭ ﺗﻜﻨﻴﻚ ﻋﺎﻡ‪ ،‬ﻛﻪ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﺑﺮﺍﻱ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻭ ﻋﻤﻠﻴﺎﺗﻲ ﻛﺮﺩﻥ ﺧﻂﻣﺸﻲ ﺍﻣﻨﻴﺘﻲ ﺳﺎﻳﺖ‬
‫ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﺩﻫﻨﺪ‪ ،‬ﺭﺍ ﺫﻛﺮ ﻛﺮﺩﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﺑﺘﺪﺍ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻋﻤﺪﺗﺎﹰ ﺭﻭﻱ ﻛﻨﺘﺮﻝ ﺳﺮﻭﻳﺲ ﻧﻈﺎﺭﺕ ﺩﺍﺷﺘﻨﺪ ﻭﻟﻲ ﺗﻜﺎﻣﻞ‬
‫ﺁﻧﻬﺎ ﺑﺎﻋﺚ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﻫﺮﭼﻬﺎﺭ ﻣﻨﻈﻮﺭ ﺭﺍ ﻣﻮﺭﺩ ﺗﻮﺟﻪ ﻗﺮﺍﺭ ﺩﻫﻨﺪ‪:‬‬
‫ﻛﻨﺘﺮﻝ ﺳﺮﻭﻳﺲ‪ :‬ﻧﻮﻉ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺘﻲ‪ ،‬ﭼﻪ ﺩﺭ ﻣﺤﺪﻭﺩﺓ ﺷﺒﻜﻪ ﻭ ﭼﻪ ﺩﺭ ﺧﺎﺭﺝ ﺍﺯ ﻣﺤﺪﻭﺩﺓ ﺷﺒﻜﻪ‪ ،‬ﻛﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ‬ ‫•‬
‫ﻗﺎﺑﻞ ﺩﺳﺖﻳﺎﺑﻲ ﺑﺎﺷﻨﺪ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪ .‬ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﺮﺍﻓﻴﻚ ﺭﺍ ﺑﺮ ﺍﺳﺎﺱ ﺁﺩﺭﺱ ‪ IP‬ﻭ ﺷﻤﺎﺭﺓ ﭘﻮﺭﺕ‬
‫‪ TCP‬ﻓﻴﻠﺘﺮ ﻛﻨﺪ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﺮﻡﺍﻓﺰﺍﺭ ﭘﺮﻭﻛﺴﻲ)‪ ،(proxy‬ﻛﻪ ﺩﺭﺧﻮﺍﺳﺖ ﻫﺮﻧﻮﻉ ﺳﺮﻭﻳﺲ ﻗﺒﻞ ﺍﺯ ﻋﺒﻮﺭ ﺁﻥ ﺑﻪ ﻣﻘﺼﺪ‬
‫ﺭﺍ ﺩﺭﻳﺎﻓﺖ ﻭ ﺗﺤﻠﻴﻞ ﻣﻲﻧﻤﺎﻳﺪ‪ ،‬ﻓﺮﺍﻫﻢ ﺳﺎﺯﺩ ﻭ ﻳﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﺧﻮﺩ ﺑﺴﺘﺮ ﻧﺮﻡﺍﻓﺰﺍﺭ ﺳِﺮﻭﺭ ﻫﻤﺎﻧﻨﺪ ﺳﺮﻭﻳﺲ ﻭِﺏ ﻭ ﻳﺎ ﭘﺴﺖ‬
‫ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺑﺎﺷﺪ‪.‬‬
‫ﻛﻨﺘﺮﻝ ﺟﻬﺖ‪ :‬ﺟﻬﺘﻲ ﻛﻪ ﻓﻘﻂ ﺩﺭ ﺁﻥ ﺟﻬﺖ ﺩﺭﺧﻮﺍﺳﺖ ﺳﺮﻭﻳﺲ ﺑﺨﺼﻮﺻﻲ ﭘﺬﻳﺮﻓﺘﻪ ﺷﺪﻩ ﻭ ﺍﺟﺎﺯﺓ ﻋﺒﻮﺭ ﺍﺯ ﺩﻳﻮﺍﺭ ﺁﺗﺶ‬ ‫•‬
‫ﺩﺍﺭﺩ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻛﻨﺘﺮﻝ ﻛﺎﺭﺑﺮ‪ :‬ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻳﻚ ﺳﺮﻭﻳﺲ‪ ،‬ﺑﺮ ﺍﺳﺎﺱ ﺍﻳﻨﻜﻪ ﻛﺪﺍﻡ ﻛﺎﺭﺑﺮ ﻣﻲﺧﻮﺍﻫﺪ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪ ،‬ﺭﺍ ﻛﻨﺘﺮﻝ‬ ‫•‬
‫ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﻛﻨﺘﺮﻝ ﻣﻌﻤﻮﻻﹰ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ ﺩﺍﺧﻞ ﻣﺤﺪﻭﺩﺓ ﺩﻳﻮﺍﺭ ﺁﺗﺶ )ﻛﺎﺭﺑﺮﺍﻥ ﻣﺤﻠﻲ( ﺍﻋﻤﺎﻝ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﺳﺮﻭﻳﺲ‬
‫ﻫﻤﭽﻨﻴﻦ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﺗﺮﺍﻓﻴﻚ ﻭﺭﻭﺩﻱ ﻛﺎﺭﺑﺮﺍﻥ ﺧﺎﺭﺝ ﺍﺯ ﻣﺤﺪﻭﺩﻩ ﻧﻴﺰ ﺍﻋﻤﺎﻝ ﺷﻮﺩ ﻛﻪ ﺩﺭ ﺍﻳﻦ ﺣﺎﻟﺖ ﻧﻴﺎﺯ ﺑﻪ ﻧﻮﻋﻲ‬
‫ﺭﻭﺵ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻫﻤﺎﻧﻨﺪ ‪ IPSec‬ﺍﺳﺖ‪.‬‬
‫ﻓﺼﻞ ﻳﺎﺯﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٣٩٨‬‬
‫• ﻛﻨﺘﺮﻝ ﺭﻓﺘﺎﺭ‪ :‬ﻛﻨﺘﺮﻝ ﭼﮕﻮﻧﮕﻲ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺳﺮﻭﻳﺲ ﺭﺍ ﺑﻌﻬﺪﻩ ﺩﺍﺭﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻣﻤﻜﻦ ﺍﺳﺖ ﻧﺎﻣﻪﻫﺎﻱ‬
‫ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﺭﺍ ﺑﺮﺍﻱ ﺟﻠﻮﮔﻴﺮﻱ ﺍﺯ ﻋﺒﻮﺭ ﻫَﺮﺯﻧﺎﻣﻪ )‪ (spam‬ﻓﻴﻠﺘﺮ ﻛﻨﺪ ﻭ ﻳﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺳﺘﺮﺳﻲ ﺧﺎﺭﺟﻲ ﺭﺍ ﺗﻨﻬﺎ ﺑﻪ‬
‫ﺑﺨﺸﻲ ﺍﺯ ﺍﻃﻼﻋﺎﺕ ﺳِﺮﻭﺭ ﻭِﺏ ﻣﻤﻜﻦ ﺳﺎﺯﺩ‪.‬‬
‫ﻗﺒﻞ ﺍﺯ ﭘﺮﺩﺍﺧﺘﻦ ﺑﻪ ﺟﺰﺋﻴﺎﺕ ﺍﻧﻮﺍﻉ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻭ ﭘﻴﻜﺮﺑﻨﺪﻱﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺁﻥ‪ ،‬ﺑﻬﺘﺮ ﺍﺳﺖ ﺁﻧﭽﻪ ﺭﺍ ﻛﻪ ﻣﻲﺗﻮﺍﻥ ﺍﺯ ﻳﻚ ﺩﻳﻮﺍﺭ‬
‫ﺁﺗﺶ ﺍﻧﺘﻈﺎﺭ ﺩﺍﺷﺖ ﺧﻼﺻﻪ ﻛﻨﻴﻢ‪ .‬ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﺯﻳﺮ ﻣﻌﻤﻮﻻﹰ ﺩﺭ ﺣﻮﺯﺓ ﻋﻤﻠﻜﺮﺩ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪:‬‬
‫‪ -۱‬ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻳﻚ ﮔﻠﻮﮔﺎﻩ ﻣﻨﻔﺮﺩ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ ﺗﺎ ﻛﺎﺭﺑﺮﺍﻥ ﻏﻴﺮﻣﻌﺘﺒﺮ ﺭﺍ ﺍﺯ ﺷﺒﻜﺔ ﻣﺤﺎﻓﻈﺖ ﺷﺪﻩ ﺩﻭﺭ ﻧﮕﺎﻩ ﺩﺍﺷﺘﻪ‪،‬‬
‫ﺳﺮﻭﻳﺲﻫﺎﻱ ﺑﺎﻟﻘﻮﻩ ﺧﻄﺮﺁﻓﺮﻳﻦ ﺭﺍ ﺍﺯ ﻭﺭﻭﺩ ﺑﻪ ﺷﺒﻜﻪ ﻭ ﺧﺮﻭﺝ ﺍﺯ ﺷﺒﻜﻪ ﻣﺎﻧﻊ ﺷﺪﻩ‪ ،‬ﻭ ﺣﻔﺎﻇﺖ ﺍﺯ ﺍﻧﻮﺍﻉ ﻣﺘﻨﻮﻉ ﺣﻤﻼﺕ‬
‫ﺗﻘﻠﻴﺪ‪ IP‬ﻭ ﻣﺴﻴﺮﻳﺎﺑﻲ ﺭﺍ ﺍﻳﺠﺎﺩ ﻛﻨﺪ‪ .‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﮔﻠﻮﮔﺎﻩ ﻣﻨﻔﺮﺩ‪ ،‬ﻣﺪﻳﺮﻳﺖ ﺍﻣﻨﻴﺖ ﺭﺍ ﺗﺴﻬﻴﻞ ﻣﻲﻧﻤﺎﻳﺪ ﺯﻳﺮﺍ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ‬
‫ﺍﻣﻨﻴﺘﻲ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﻨﻬﺎ‪ ،‬ﻭ ﻳﺎ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺳﻴﺴﺘﻢﻫﺎ ﻣﺘﻤﺮﻛﺰ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ -۲‬ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ‪ ،‬ﻣﺤﻠﻲ ﺑﺮﺍﻱ ﭘﺎﺋﻴﺪﻥ ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻣﻨﻴﺖ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪ .‬ﻣﻤﻴﺰﻱﻫﺎ ﻭ ﺁﻻﺭﻡﻫﺎ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺭﻭﻱ‬
‫ﻳﻚ ﺳﻴﺴﺘﻢ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺑﻨﺎ ﻧﻬﺎﺩﻩ ﺷﻮﻧﺪ‪.‬‬
‫‪ -۳‬ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻳﻚ ﺑﺴﺘﺮ ﻣﻨﺎﺳﺐ ﺑﺮﺍﻱ ﭼﻨﺪﻳﻦ ﻋﻤﻞ ﺍﻳﻨﺘﺮﻧﺘﻲ ﺍﺳﺖ ﻛﻪ ﺭﺑﻄﻲ ﺑﻪ ﺍﻣﻨﻴﺖ ﻧﺪﺍﺭﻧﺪ‪ .‬ﺍﻳﻨﻬﺎ ﺷﺎﻣﻞ ﻳﻚ‬
‫ﻣﺘﺮﺟﻢ ﺁﺩﺭﺱ ﺷﺒﻜﻪ ﺍﺳﺖ ﻛﻪ ﺁﺩﺭﺱﻫﺎﻱ ﻣﺤﻠﻲ ﺭﺍ ﺑﻪ ﺁﺩﺭﺱﻫﺎﻱ ﺍﻳﻨﺘﺮﻧﺘﻲ ﻧﮕﺎﺷﺖ ﻧﻤﻮﺩﻩ ﻭ ﻳﺎ ﻭﻇﻴﻔﻪﺍﻱ ﻣﺪﻳﺮﻳﺘﻲ‬
‫ﺍﺳﺖ ﻛﻪ ﺍﺗﺼﺎﻝ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﺭﺍ ﺍﺟﺎﺯﻩ ﺩﺍﺩﻩ ﻭ ﻳﺎ ﻣﻤﻴﺰﻱ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۴‬ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻌﻨﻮﺍﻥ ﺑﺴﺘﺮ ‪ IPSec‬ﻋﻤﻞ ﻧﻤﺎﻳﺪ‪ .‬ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻗﺎﺑﻠﻴﺖ ﻣُﻮﺩ ﺗﻮﻧﻞ )‪ (tunnel mode‬ﺗﻮﺻﻴﻒ‬
‫ﺷﺪﻩ ﺩﺭ ﻓﺼﻞ ‪ ،۶‬ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﺷﺒﻜﻪﻫﺎﻱ ﺧﺼﻮﺻﻲ ﻣﺠﺎﺯﻱ )‪ (VPN‬ﺑﻜﺎﺭ ﺭﻭﺩ‪.‬‬
‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﻣﺨﺼﻮﺹ ﺑﻪ ﺧﻮﺩ ﺭﺍ ﻧﻴﺰ ﺩﺍﺷﺘﻪ ﻛﻪ ﺷﺎﻣﻞ ﻣﻮﺍﺭﺩ ﺫﻳﻞﺍﻧﺪ‪:‬‬
‫‪ -۱‬ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻧﻤﻲﺗﻮﺍﻧﺪ ﺩﺭ ﻣﻘﺎﺑﻞ ﺣﻤﻼﺗﻲ ﻛﻪ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺭﺍ ﺩﻭﺭ ﻣﻲﺯﻧﻨﺪ ﻣﻘﺎﻭﻣﺖ ﻛﻨﺪ‪ .‬ﺳﻴﺴﺘﻢﻫﺎﻱ ﺩﺍﺧﻠﻲ ﺷﺒﻜﻪ ﻣﻤﻜﻦ‬
‫ﺍﺳﺖ ﺍﺯ ﻗﺎﺑﻠﻴﺖ ﺷﻤﺎﺭﻩﮔﻴﺮﻱ ﺗﻠﻔﻨﻲ ﺑﺮﺍﻱ ﺍﺗﺼﺎﻝ ﺑﻪ ﻳﻚ ‪ ISP‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﻨﺪ‪ .‬ﻳﻚ ‪ LAN‬ﺩﺍﺧﻠﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﻳﻚ‬
‫ﻣﺨﺰﻥ ﻣُﻮﺩﻡ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ ﻛﻪ ﻗﺎﺑﻠﻴﺖ ﺍﺗﺼﺎﻝ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﺍﺯ ﻃﺮﻳﻖ ﺧﻂ ﺗﻠﻔﻦ ﺑﺮﺍﻱ ﻛﺎﺭﻣﻨﺪﺍﻧﻲ ﻛﻪ ﺩﺭ ﻣﺎﻣﻮﺭﻳﺖ ﺧﺎﺭﺝ ﺍﺯ‬
‫ﺳﺎﺯﻣﺎﻥ ﻫﺴﺘﻨﺪ ﺭﺍ ﻓﺮﺍﻫﻢ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪ -۲‬ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺩﺭ ﺑﺮﺍﺑﺮ ﺗﻬﺪﻳﺪﻫﺎﻱ ﺩﺍﺧﻠﻲ ﻫﻤﺎﻧﻨﺪ ﻳﻚ ﻛﺎﺭﻣﻨﺪ ﻧﺎﺭﺍﺿﻲ ﻭ ﻳﺎ ﻛﺎﺭﻣﻨﺪﻱ ﻛﻪ ﺳﻬﻮﺍﹰ ﺑﻪ ﻳﻚ ﻧﻔﻮﺫﮔﺮ ﺧﺎﺭﺟﻲ‬
‫ﻛﻤﻚ ﻣﻲﻛﻨﺪ ﺣﻔﺎﻇﺘﻲ ﺍﻳﺠﺎﺩ ﻧﻤﻲﻛﻨﺪ‪.‬‬
‫‪ -۳‬ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻧﻤﻲﺗﻮﺍﻧﺪ ﺩﺭ ﺑﺮﺍﺑﺮ ﺍﻧﺘﻘﺎﻝ ﺑﺮﻧﺎﻣﻪﻫﺎ ﻳﺎ ﻓﺎﻳﻞﻫﺎﻱ ﻭﻳﺮﻭﺳﻲ ﺍﻳﺠﺎﺩ ﺣﻔﺎﻇﺖ ﻧﻤﺎﻳﺪ‪ .‬ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ﺗﻨﻮﻉ ﺳﻴﺴﺘﻢﻫﺎﻱ‬
‫ﻋﺎﻣﻞ ﻭ ﺗﻨﻮﻉ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ ﺩﺭ ﺩﺭﻭﻥ ﻳﻚ ﻣﺤﺪﻭﺩﻩ‪ ،‬ﺑﺮﺍﻱ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻏﻴﺮﻋﻤﻠﻲ ﻭ ﺷﺎﻳﺪ ﻏﻴﺮﻣﻤﻜﻦ ﺍﺳﺖ ﻛﻪ ﺗﻤﺎﻡ‬
‫ﻓﺎﻳﻞﻫﺎﻱ ﻭﺭﻭﺩﻱ‪e-mail ،‬ﻫﺎ ﻭ ﭘﻴﺎﻡﻫﺎ ﺭﺍ ﺑﻤﻨﻈﻮﺭ ﻳﺎﻓﺘﻦ ﻭﻳﺮﻭﺱﻫﺎ ﺍِﺳﻜﻦ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺍﻧﻮﺍﻉ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ‬
‫ﺷﻜﻞ ‪ ۱۱-۱‬ﺳﻪ ﻧﻮﻉ ﻣﻌﻤﻮﻝ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ :‬ﻓﻴﻠﺘﺮﻫﺎﻱ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ )‪ ،(packet filters‬ﺩﺭﻭﺍﺯﻩﻫﺎﻱ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ‬
‫)‪ (application-level gateways‬ﻭ ﺩﺭﻭﺍﺯﻩﻫﺎﻱ ﺳﻄﺢ ﻣﺪﺍﺭ )‪ .(circuit-level gateways‬ﻫﺮﻳﻚ ﺍﺯ ﺍﻳﻦ ﺳﻪ ﻧﻮﻉ ﺭﺍ ﺑﻪ ﻧﻮﺑﺖ‬
‫ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫‪٣٩٩‬‬ ‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣﺴﻴﺮﻳﺎﺏ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ )‪(Packet- Filtering Router‬‬
‫ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ‪ ،‬ﻳﻚ ﺳﺮﻱ ﻗﻮﺍﻋﺪ ﺭﺍ ﺑﻪ ﺑﺴﺘﻪﻫﺎﻱ ‪ IP‬ﻭﺭﻭﺩﻱ ﺍﻋﻤﺎﻝ ﻛﺮﺩﻩ ﻭ ﺁﻧﮕﺎﻩ ﻳﺎ ﺁﻧﻬﺎ ﺭﺍ ﺑﺠﻠﻮ ﺭﺍﻧﺪﻩ ﻭ‬
‫ﻳﺎ ﻣﻌﺪﻭﻡ ﻣﻲﻛﻨﺪ‪ .‬ﻣﺴﻴﺮﻳﺎﺏ ﻧﻮﻋﺎﹰ ﻃﻮﺭﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻣﻲﺷﻮﺩ ﻛﻪ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ ﺭﺍ ﺩﺭ ﻫﺮ ﺩﻭ ﺟﻬﺖ )ﺑﺴﻤﺖ ﺩﺍﺧﻞ ﻭ ﺑﺴﻤﺖ ﺧﺎﺭﺝ‬
‫ﺷﺒﻜﻪ( ﻓﻴﻠﺘﺮ ﻧﻤﺎﻳﺪ‪ .‬ﻗﻮﺍﻋﺪ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺮﺍﺳﺎﺱ ﺍﻃﻼﻋﺎﺗﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﻳﻚ ﺑﺴﺘﺔ ﺍﻃﻼﻋﺎﺗﻲ ﺩﻳﺘﺎ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪:‬‬
‫ﺁﺩﺭﺱ ‪ IP‬ﻣﻨﺒﻊ‪ :‬ﺁﺩﺭﺱ ‪ IP‬ﺳﻴﺴﺘﻤﻲ ﻛﻪ ﺑﺴﺘﺔ ‪ IP‬ﺭﺍ ﺍﺭﺳﺎﻝ ﻛﺮﺩﻩ ﺍﺳﺖ )ﻣﺜﻼﹰ ‪.(192.168.1.1‬‬ ‫•‬
‫ﺁﺩﺭﺱ ‪ IP‬ﻣﻘﺼﺪ‪ :‬ﺁﺩﺭﺱ ‪ IP‬ﻣﻘﺼﺪﻱ ﻛﻪ ﺑﺴﺘﺔ ﺩﻳﺘﺎ ﻗﺼﺪ ﺭﺳﻴﺪﻥ ﺑﻪ ﺁﻥ ﺭﺍ ﺩﺍﺭﺩ )ﻣﺜﻼﹰ ‪.(192.168.1.2‬‬ ‫•‬
‫ﺁﺩﺭﺱ ﺳﻄﺢ ﺣﻤﻞﻭﻧﻘﻞ ﻣﻨﺒﻊ ﻭ ﻣﻘﺼﺪ‪ :‬ﺷﻤﺎﺭﺓ ﭘﻮﺭﺕ ﺳﻄﺢ ﺣﻤﻞﻭﻧﻘﻞ )ﻣﺜﻞ‪ TCP‬ﻳﺎ ‪(UDP‬ﻛﻪ ﻛﺎﺭﺑﺮﺩﻫﺎﺋﻲ ﻣﺜﻞ‬ ‫•‬
‫‪ SNMP‬ﻳﺎ ‪ TELNET‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻣﻴﺪﺍﻥ ﭘﺮﻭﺗﻜﻞ ‪ :IP‬ﻧﻮﻉ ﭘﺮﻭﺗﻜﻞ ﺣﻤﻞﻭﻧﻘﻞ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫ﻣﺪﺍﺭ ﻭﺍﺳﻂ‪ :‬ﺑﺮﺍﻱ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﺑﺎ ‪ ۳‬ﭘﻮﺭﺕ ﻭ ﺑﻴﺸﺘﺮ‪ ،‬ﺍﻳﻨﻜﻪ ﺍﺯ ﻛﺪﺍﻡ ﻣﺪﺍﺭ ﻭﺍﺳﻂ ﻣﺴﻴﺮﻳﺎﺏ‪ ،‬ﺑﺴﺘﻪ ﺧﺎﺭﺝ ﺷﺪﻩ ﻭ ﻳﺎ ﺑﻪ‬ ‫•‬
‫ﻛﺪﺍﻡ ﻣﺪﺍﺭ ﻭﺍﺳﻂ ﻣﺴﻴﺮﻳﺎﺏ‪ ،‬ﺑﺴﺘﻪ ﻭﺍﺭﺩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻓﻴﻠﺘﺮ ﺑﺴﺘﻪﻫﺎ ﻣﻌﻤﻮﻻﹰ ﺑﺼﻮﺭﺕ ﻟﻴﺴﺘﻲ ﺍﺯ ﻗﻮﺍﻋﺪ‪ ،‬ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ ﺗﻄﺒﻴﻖ ﺑﺎ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺳﺮﺁﻳﻨﺪ ‪ IP‬ﻳﺎ ‪ TCP‬ﺍﺳﺖ‪ ،‬ﺗﻨﻈﻴﻢ‬
‫ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍﮔﺮ ﺑﻴﻦ ﻗﻮﺍﻋﺪ ﻭﺿﻊ ﺷﺪﻩ ﺑﺎ ﻣﻴﺪﺍﻥﻫﺎﻱ ﺑﺴﺘﻪ ﺗﻄﺎﺑﻘﻲ ﻳﺎﻓﺖ ﺷﻮﺩ‪ ،‬ﺁﻥ ﻗﺎﻋﺪﻩ ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ ﺍﻳﻨﻜﻪ ﺑﺴﺘﻪ ﻋﺒﻮﺭ ﻛﺮﺩﻩ ﻭ ﻳﺎ ﻧﺎﺑﻮﺩ‬
‫ﺷﻮﺩ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ‪ .‬ﺍﮔﺮ ﺗﻄﺒﻴﻘﻲ ﻳﺎ ﻗﺎﻋﺪﻩﺍﻱ ﻳﺎﻓﺖ ﻧﺸﻮﺩ ﺁﻧﮕﺎﻩ ﺑﺮﺍﺳﺎﺱ ﭘﻴﺶﻓﺮﺽ ﻋﻤﻞ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺑﺮﺍﻱ ﭘﻴﺶﻓﺮﺽ ﺩﻭ‬
‫ﺣﺎﻟﺖ ﻣﻤﻜﻦ ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪:‬‬
‫• ﭘﻴﺶﻓﺮﺽ = ﻧﺎﺑﻮﺩﻱ‪ :‬ﺁﻧﭽﻪ ﻛﻪ ﻣﺠﺎﺯ ﺗﻌﺮﻳﻒ ﻧﺸﺪﻩ ﺍﺳﺖ ﻣﻤﻨﻮﻉ ﺍﺳﺖ‪.‬‬

‫• ﭘﻴﺶﻓﺮﺽ = ﻋﺒﻮﺭ‪ :‬ﺁﻧﭽﻪ ﻛﻪ ﻣﻤﻨﻮﻉ ﺗﻌﺮﻳﻒ ﻧﺸﺪﻩ ﺍﺳﺖ ﻣﺠﺎﺯ ﺍﺳﺖ‪.‬‬
‫ﭘﻴﺶﻓﺮﺿﻲ ﻛﻪ ﻧﺎﺑﻮﺩﻱ ﺭﺍ ﭘﻴﺸﻨﻬﺎﺩ ﻣﻲﺩﻫﺪ‪ ،‬ﻣﺤﺎﻓﻈﻪﻛﺎﺭﺍﻧﻪﺗﺮ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﺑﺘﺪﺍ ﺟﻠﻮﻱ ﻫﻤﻪ ﭼﻴﺰ ﺳﺪ ﻣﻲﺷﻮﺩ ﻭ ﺳﺮﻭﻳﺲﻫﺎ ﺭﺍ‬
‫ﺑﺎﻳﺴﺘﻲ ﻣﻮﺭﺩ ﺑﻪ ﻣﻮﺭﺩ ﺗﻌﺮﻳﻒ ﻭ ﺍﺿﺎﻓﻪ ﻧﻤﻮﺩ‪ .‬ﺍﻳﻦ ﺭﻭﺵ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺍﻥ ﻣﻠﻤﻮﺱﺗﺮ ﺑﻮﺩﻩ ﻭ ﺍﺣﺘﻤﺎﻝ ﺍﻳﻨﻜﻪ ﺁﻧﻬﺎ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺭﺍ ﺑﻌﻨﻮﺍﻥ‬
‫ﻳﻚ ﻣﺎﻧﻊ ﺟﺪّﻱ ﺗﻠﻘﻲ ﻛﻨﻨﺪ ﺑﻴﺸﺘﺮ ﺍﺳﺖ‪ .‬ﭘﻴﺶﻓﺮﺽ ﻋﺒﻮﺭ‪ ،‬ﻋﻤﻠﻴﺎﺕ ﻛﺎﺭﺑﺮﺍﻥ ﺍﻧﺘﻬﺎﺋﻲ ﺭﺍ ﺗﺴﻬﻴﻞ ﻛﺮﺩﻩ ﻭﻟﻲ ﺍﻣﻨﻴﺖ ﻛﻤﺘﺮﻱ ﺭﺍ ﻓﺮﺍﻫﻢ‬
‫ﻣﻲﺳﺎﺯﺩ‪ .‬ﺩﺭ ﺍﻳﻦ ﺣﺎﻟﺖ ﻣﺴﺌﻮﻝ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﺑﺎﻳﺴﺘﻲ ﺑﻮﺍﻗﻊ ﻫﻮﺷﻴﺎﺭ ﺑﻮﺩﻩ ﻭ ﻧﺴﺒﺖ ﺑﻪ ﻫﺮ ﺗﻬﺪﻳﺪ ﺍﻣﻨﻴﺘﻲ ﺟﺪﻳﺪ‪ ،‬ﺑﻤﺤﺾ ﺍﻳﻨﻜﻪ ﻛﺸﻒ‬
‫ﺷﻮﺩ‪ ،‬ﻭﺍﻛﻨﺶ ﻧﺸﺎﻥ ﺩﻫﺪ‪.‬‬
‫ﺟﺪﻭﻝ ‪ ۱۱-۱‬ﺍﺯ ]‪ ،[BELL94‬ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﻣﺠﻤﻮﻋﺔ ﻗﻮﺍﻋﺪ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺩﺭ ﻫﺮ ﻣﺠﻤﻮﻋﻪ‪،‬‬
‫ﻗﻮﺍﻧﻴﻦ ﺍﺯ ﺑﺎﻻ ﺑﻪ ﭘﺎﺋﻴﻦ ﺍﻋﻤﺎﻝ ﻣﻲﺷﻮﻧﺪ‪ .‬ﻋﻼﻣﺖ " * " ﺩﺭ ﻳﻚ ﻣﻴﺪﺍﻥ‪ ،‬ﻳﻚ ﻧﻤﺎﻳﺸﮕﺮ ﻋﺎﻡ ﺑﻮﺩﻩ ﻛﻪ ﺑﺠﺎﻱ ﺁﻥ ﻫﺮﭼﻴﺰﻱ ﻣﻲﺗﻮﺍﻧﺪ‬
‫ﻗﺮﺍﺭ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻓﺮﺽ ﺑﺮ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﭘﻴﺶﻓﺮﺽ = ﻧﺎﺑﻮﺩﻱ ﺑﻪ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ ﺍﻋﻤﺎﻝ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺍﻟﻒ‪ :‬ﻧﺎﻣﻪﻫﺎﻱ ﻭﺍﺭﺩ ﺑﻪ ﻣﺤﺪﻭﺩﻩ )ﭘﻮﺭﺕ ‪ ۲۵‬ﺑﺮﺍﻱ ‪ SMTP‬ﻭﺭﻭﺩﻱ ﺍﺳﺖ( ﻓﻘﻂ ﺑﻪ ﻣﻘﺼﺪ ﻳﻚ ﺩﺭﻭﺍﺯﻩ ﻣﻴﺰﺑﺎﻥ ﻣﺠﺎﺯ ﺍﺳﺖ‪.‬‬
‫ﻭﻟﻲ ﻧﺎﻣﻪﻫﺎﻱ ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﺧﺎﺭﺟﻲ ﺑﺨﺼﻮﺹ‪ ،SPIGOT،‬ﻣﺴﺪﻭﺩ ﺷﺪﻩ ﺯﻳﺮﺍ ﺍﻳﻦ ﻣﻴﺰﺑﺎﻥ ﺗﺎﺭﻳﺨﭽﻪﺍﻱ ﺣﺎﻛﻲ ﺍﺯ ﺍﺭﺳﺎﻝ‬
‫ﻓﺎﻳﻞﻫﺎﻱ ﺣﺠﻴﻢ ﺩﺭ ﭘﻴﺎﻡﻫﺎﻱ ﭘﺴﺘﻲ ﺧﻮﺩ ﺩﺍﺭﺩ‪.‬‬
‫ﺏ‪ :‬ﺍﻳﻦ ﺣﺎﻟﺖ ﺑﻴﺎﻥ ﺻﺮﻳﺢ ﺳﻴﺎﺳﺖ ﻣﺮﺑﻮﻁ ﺑﻪ ﭘﻴﺶ ﻓﺮﺽ ﺍﺳﺖ‪ .‬ﺗﻤﺎﻡ ﻣﺠﻤﻮﻋﻪﻫﺎﻱ ﻗﻮﺍﻋﺪ ﺩﺭ ﺍﻧﺘﻬﺎﻱ ﻛﺎﺭ ﺑﻄﻮﺭ ﺿﻤﻨﻲ ﺍﺯ‬
‫ﺍﻳﻦ ﻗﺎﻧﻮﻥ ﭘﻴﺮﻭﻱ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﻳﺎﺯﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٠٠‬‬
‫ﻣﺤﺪﻭﺩﺓ ﺍﻣﻨﻴﺘﻲ‬
‫‪Private‬‬
‫‪network‬‬
‫‪Packet‬‬
‫‪filtering‬‬
‫‪router‬‬
‫)ﺍﻟﻒ( ﻣﺴﻴﺮﻳﺎﺏ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ‬
‫‪Application-level‬‬
‫‪gateway‬‬
‫‪Outside‬‬ ‫‪Inside‬‬
‫‪connection‬‬ ‫‪connection‬‬
‫‪TELNET‬‬
‫‪FTP‬‬
‫‪Outside host‬‬ ‫‪SMTP‬‬
‫‪Inside host‬‬
‫‪HTTP‬‬
‫)ﺏ( ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ‬
‫‪Cricuit-level‬‬
‫‪gateway‬‬
‫‪Outside‬‬
‫‪connection‬‬
‫‪Out‬‬ ‫‪In‬‬
‫‪Outside host‬‬ ‫‪Out‬‬ ‫‪In‬‬

‫‪Inside‬‬
‫‪connection‬‬
‫‪Out‬‬ ‫‪In‬‬
‫‪Inside host‬‬
‫)ﺝ( ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻣﺪﺍﺭ‬
‫ﺍﻧﻮﺍﻉ ﺩﻳﻮﺍﺭ ﺁﺗﺶ‬ ‫ﺷﻜﻞ ‪۱۱-۱‬‬

‫‪٤٠١‬‬ ‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ‬ ‫ﺟﺪﻭﻝ ‪۱۱-۱‬‬
‫‪action‬‬ ‫‪ourhost‬‬ ‫‪port‬‬ ‫‪theirhost‬‬ ‫‪port‬‬ ‫‪comment‬‬

‫‪block‬‬ ‫*‬ ‫*‬ ‫‪SPIGOT‬‬ ‫*‬ ‫‪we don`t trust these people‬‬
‫‪allow‬‬ ‫‪OUR-GW‬‬ ‫‪25‬‬ ‫*‬ ‫*‬ ‫‪connection to our SMTP port‬‬
‫)ﺍﻟﻒ(‬

‫‪block‬‬ ‫*‬ ‫*‬ ‫*‬ ‫*‬ ‫‪default‬‬
‫)ﺏ(‬

‫‪allow‬‬ ‫*‬ ‫*‬ ‫*‬ ‫‪25‬‬ ‫‪connection to their SMTP port‬‬
‫)ﺝ(‬
‫‪action‬‬ ‫‪src‬‬ ‫‪port‬‬ ‫‪dest‬‬ ‫‪port‬‬ ‫‪flags‬‬ ‫‪comment‬‬

‫‪allow‬‬ ‫}‪{our hosts‬‬ ‫*‬ ‫*‬ ‫‪25‬‬ ‫‪our packets to their SMTP port‬‬
‫‪allow‬‬ ‫*‬ ‫‪25‬‬ ‫*‬ ‫*‬ ‫‪ACK‬‬ ‫‪their replies‬‬
‫)ﺩ(‬
‫‪action‬‬ ‫‪src‬‬ ‫‪port‬‬ ‫‪dest‬‬ ‫‪port‬‬ ‫‪flags‬‬ ‫‪comment‬‬

‫‪allow‬‬ ‫}‪{our hosts‬‬ ‫*‬ ‫*‬ ‫*‬ ‫‪our outgoing calls‬‬
‫‪allow‬‬ ‫*‬ ‫*‬ ‫*‬ ‫*‬ ‫‪ACK‬‬ ‫‪replies to our calls‬‬
‫‪allow‬‬ ‫*‬ ‫*‬ ‫*‬ ‫‪>1024‬‬ ‫‪traffic to nonservers‬‬
‫) ﻫـ (‬
‫ﺝ‪ :‬ﺍﻳﻦ ﻣﺠﻤﻮﻋﺔ ﻗﻮﺍﻋﺪ ﺑﻴﺎﻧﮕﺮ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻫﺮ ﻣﻴﺰﺑﺎﻥ ﺩﺍﺧﻠﻲ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﺧﺎﺭﺝ ‪ e-mail‬ﺑﺰﻧﺪ‪ .‬ﻳﻚ ﺑﺴﺘﺔ ‪ TCP‬ﺑﺎ ﭘﻮﺭﺕ‬
‫ﻣﻘﺼﺪ ﺷﻤﺎﺭﺓ ‪ ۲۵‬ﺑﻪ ﺳِﺮﻭﺭ ‪ SMTP‬ﻣﺎﺷﻴﻦ ﻣﻘﺼﺪ ﺍﺭﺳﺎﻝ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺍِﺷﻜﺎﻝ ﺍﻳﻦ ﻗﺎﻋﺪﻩ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﭘﻮﺭﺕ‬
‫‪ ۲۵‬ﺑﺮﺍﻱ ﺩﺭﻳﺎﻓﺖ ‪ ،SMTP‬ﺗﻨﻬﺎ ﻳﻚ ﭘﻴﺶﻓﺮﺽ ﺍﺳﺖ‪ .‬ﻳﻚ ﺩﺳﺘﮕﺎﻩ ﺧﺎﺭﺟﻲ ﻣﻲﺗﻮﺍﻧﺪ ﻃﻮﺭﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺷﻮﺩ ﻛﻪ‬
‫ﻛﺎﺭﺑﺮﺩ ﺩﻳﮕﺮﻱ ﺑﺮﺍﻱ ﭘﻮﺭﺕ ‪ ۲۵‬ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺑﺎ ﻋﻤﻞ ﺑﻪ ﺍﻳﻦ ﻗﺎﻋﺪﻩ ﻳﻚ ﻣﻬﺎﺟﻢ ﻣﻲﺗﻮﺍﻧﺪ ﺑﺎ ﺍﺭﺳﺎﻝ ﺑﺴﺘﻪﻫﺎﺋﻲ ﺑﺎ ﺷﻤﺎﺭﺓ‬
‫‪ ۲۵‬ﺩﺭ ‪ ،TCP‬ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﻱ ﺩﺍﺧﻞ ﻣﺤﺪﻭﺩﻩ ﺩﺳﺘﺮﺳﻲ ﻳﺎﺑﺪ‪.‬‬
‫ﺩ‪ :‬ﺍﻳﻦ ﻣﺠﻤﻮﻋﺔ ﻗﻮﺍﻋﺪ ﺑﻪ ﻧﺘﺎﻳﺠﻲ ﻣﻨﺠﺮ ﻣﻲﮔﺮﺩﺩ ﻛﻪ ﺩﺭ ﺑﻨﺪ )ﺝ( ﺑﻪ ﺁﻥ ﺩﺳﺖ ﻧﻤﻲﻳﺎﻓﺘﻴﻢ‪ .‬ﻗﻮﺍﻋﺪ ﺍﺯ ﻣﺸﺨﺼﺔ ﺍﺗﺼﺎﻻﺕ‬
‫‪ TCP‬ﺑﻬﺮﻩ ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﻫﺮﻭﻗﺖ ﺍﺗﺼﺎﻟﻲ ﺑﺮﻗﺮﺍﺭ ﺷﻮﺩ‪ ،‬ﭘﺮﭼﻢ ‪ ACK‬ﻳﻚ ﺳِﮕﻤﻨﺖ ‪ TCP‬ﺑﻪ ﺍﻫﺘﺰﺍﺯ ﺩﺭﺁﻣﺪﻩ ﺗﺎ‬
‫ﺳِﮕﻤﻨﺖﻫﺎﻱ ﺍﺭﺳﺎﻝ ﺷﺪﻩ ﺍﺯ ﺳﻤﺖ ﺩﻳﮕﺮ ﺭﺍ ﺗﺎﺋﻴﺪ ﻛﻨﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﺠﻤﻮﻋﺔ ﺍﻳﻦ ﻗﻮﺍﻋﺪ ﺑﻴﺎﻥ ﻣﻲﺩﺍﺭﻧﺪ ﻛﻪ ﺑﺴﺘﻪﻫﺎﻱ ‪ IP‬ﻛﻪ‬
‫ﺁﺩﺭﺱﻫﺎﻱ ‪ IP‬ﻣﺒﺪﺍﺀ ﺁﻧﻬﺎ ﻳﻜﻲ ﺍﺯ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﺩﺍﺧﻠﻲ ﻣﺸﺨﺺ ﺑﻮﺩﻩ ﻭ ﺷﻤﺎﺭﺓ ﭘﻮﺭﺕ ‪ TCP‬ﻣﻘﺼﺪ ﺁﻧﺎﻥ ‪ ۲۵‬ﺍﺳﺖ‬
‫ﭘﺬﻳﺮﻓﺘﻪ ﻣﻲﮔﺮﺩﻧﺪ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺑﺴﺘﻪﻫﺎﻱ ﻭﺭﻭﺩﻱ ﻛﻪ ﺷﻤﺎﺭﺓ ﭘﻮﺭﺕ ﻣﺒﺪﺍﺀ ﺁﻧﻬﺎ ‪ ۲۵‬ﺑﻮﺩﻩ ﻭ ﭘﺮﭼﻢ ‪ ACK‬ﺭﺍ ﺩﺭ ﺳِﮕﻤﻨﺖ‬
‫‪ TCP‬ﺩﺭ ﺍﻫﺘﺰﺍﺯ ﺩﺍﺭﻧﺪ‪ ،‬ﻣﺠﺎﺯ ﺑﻪ ﻋﺒﻮﺭ ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﺗﻮﺟﻪ ﺷﻮﺩ ﻛﻪ ﻣﺎ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﻨﺒﻊ ﻭ ﻣﻘﺼﺪﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺍﻳﻦ ﻗﻮﺍﻋﺪ ﺭﺍ‬
‫ﺑﻄﻮﺭ ﺻﺮﻳﺢ ﺗﻌﺮﻳﻒ ﻛﻨﻨﺪ‪ ،‬ﺑﺎ ﺭﻭﺷﻨﻲ ﻛﺎﻣﻞ ﻣﺸﺨﺺ ﻧﻤﻮﺩﻩﺍﻳﻢ‪.‬‬
‫ﻫـ‪ :‬ﺍﻳﻦ ﻣﺠﻤﻮﻋﺔ ﻗﻮﺍﻋﺪ‪ ،‬ﻳﻜﻲ ﺍﺯ ﺭﻭﺵﻫﺎﻱ ﻣﺪﻳﺮﻳﺖ ﺍﺗﺼﺎﻻﺕ ‪ FTP‬ﺍﺳﺖ‪ .‬ﺩﺭ‪ FTP‬ﺍﺯ ﺩﻭ ﺍﺗﺼﺎﻝ ‪ TCP‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪:‬‬
‫ﻳﻚ ﺍﺗﺼﺎﻝ ﻛﻨﺘﺮﻟﻲ ﺑﺮﺍﻱ ﺑﺮﻗﺮﺍﺭﻱ ﻣﻘﺪﻣﺎﺕ ﺍﻧﺘﻘﺎﻝ ﻓﺎﻳﻞ ﻭ ﻳﻚ ﺍﺗﺼﺎﻝ ﺩﻳﺘﺎ ﺑﺮﺍﻱ ﺍﻧﺘﻘﺎﻝ ﻭﺍﻗﻌﻲ ﺧﻮﺩ ﻓﺎﻳﻞ‪ .‬ﺍﺗﺼﺎﻝ ﺩﻳﺘﺎ ﺍﺯ‬
‫ﻓﺼﻞ ﻳﺎﺯﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٠٢‬‬
‫ﻳﻚ ﺷﻤﺎﺭﺓ ﭘﻮﺭﺕ ﻣﺘﻔﺎﻭﺕ ﻛﻪ ﺑﻄﻮﺭ ﭘﻮﻳﺎ ﺑﺮﺍﻱ ﺍﻳﻦ ﺍﻣﺮ ﺍﺧﺘﺼﺎﺹ ﻣﻲﻳﺎﺑﺪ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪ .‬ﺑﻴﺸﺘﺮ ﺳِﺮﻭﺭﻫﺎ ﺭﻭﻱ ﺷﻤﺎﺭﺓ‬
‫ﭘﻮﺭﺕﻫﺎﻱ ﭘﺎﺋﻴﻦ ﻛﺎﺭﻛﺮﺩﻩ ﻛﻪ ﺩﺭ ﻧﺘﻴﺠﻪ ﺑﻴﺸﺘﺮ ﻧﻴﺰ ﻫﺪﻑ ﺣﻤﻼﺕ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﺑﻴﺸﺘﺮ ﻣﻜﺎﻟﻤﺎﺕ ﺧﺎﺭﺟﻲ ﺗﻤﺎﻳﻞ ﺑﻪ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﭘﻮﺭﺕﻫﺎﻱ ﺑﺎ ﺷﻤﺎﺭﻩ ﻫﺎﻱ ﺑﺎﻻﺗﺮ‪ ،‬ﻧﻮﻋﺎﹰ ﺑﺎﻻﻱ ‪ ،۱,۰۲۳‬ﺩﺍﺭﻧﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﻳﻦ ﻗﺎﻋﺪﻩ ﺑﻪ ﻣﻮﺍﺭﺩ ﺯﻳﺮ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ‪:‬‬
‫ﺑﺴﺘﻪﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ﺩﺍﺧﻞ ﺷﺒﻜﻪ ﺳﺮﭼﺸﻤﻪ ﮔﺮﻓﺘﻪﺍﻧﺪ‬ ‫‪o‬‬

‫ﺑﺴﺘﻪﻫﺎﻱ ﭘﺎﺳﺦ ﺑﺮﺍﻱ ﻳﻚ ﺍﺗﺼﺎﻝ ﻛﻪ ﺍﺯ ﻳﻚ ﻣﺎﺷﻴﻦ ﺩﺍﺧﻠﻲ ﺳﺮﭼﺸﻤﻪ ﮔﺮﻓﺘﻪﺍﻧﺪ‬ ‫‪o‬‬
‫ﺑﺴﺘﻪﻫﺎﺋﻲ ﻛﻪ ﺑﺮﺍﻱ ﻳﻚ ﭘﻮﺭﺕ ﺷﻤﺎﺭﺓ ﺑﺎﻻ ﺩﺭ ﻳﻚ ﻣﺎﺷﻴﻦ ﺩﺍﺧﻠﻲ ﺍﺭﺳﺎﻝ ﻣﻲﺷﻮﻧﺪ‬ ‫‪o‬‬
‫ﺍﻳﻦ ﺭﻭﺵ ﻧﻴﺎﺯﻣﻨﺪ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺳﻴﺴﺘﻢﻫﺎ ﻃﻮﺭﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺷﻮﻧﺪ ﻛﻪ ﺗﻨﻬﺎ ﭘﻮﺭﺕﻫﺎﻱ ﻣﻨﺎﺳﺐ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﻮﻧﺪ‪.‬‬
‫ﻣﺠﻤﻮﻋﺔ ﻗﻮﺍﻋﺪ )ﻫـ( ﻣﺸﻜﻼﺗﻲ ﻛﻪ ﺩﺭ ﺭﺍﻩ ﺑﺮﺧﻮﺭﺩ ﺑﺎ ﻛﺎﺭﺑﺮﻫﺎ ﺩﺭ ﺳﻄﺢ ﻓﻴﻠﺘﺮﻛﺮﺩﻥ ﺑﺴﺘﻪﻫﺎ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﺭﺍ ﺧﺎﻃﺮﻧﺸﺎﻥ‬
‫ﻣﻲﺳﺎﺯﺩ‪ .‬ﺭﻭﺵ ﺩﻳﮕﺮﻱ ﺑﺮﺍﻱ ﺑﺮﺧﻮﺭﺩ ﺑﺎ ‪ FTP‬ﻭ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺸﺎﺑﻪ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺩﺭﻭﺍﺯﻩ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ ﺍﺳﺖ ﻛﻪ ﺑﻌﺪﺍﹰ ﺩﺭ ﺍﻳﻦ‬
‫ﺑﺨﺶ ﺑﻪ ﺁﻥ ﺧﻮﺍﻫﻴﻢ ﭘﺮﺩﺍﺧﺖ‪.‬‬
‫ﻳﻜﻲ ﺍﺯ ﻣﺤﺎﺳﻦ ﻣﺴﻴﺮﻳﺎﺏ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ‪ ،‬ﺳﺎﺩﮔﻲ ﺁﻥ ﺍﺳﺖ‪ .‬ﻫﻤﭽﻨﻴﻦ ﻓﻴﻠﺘﺮﻫﺎﻱ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ ﻧﻮﻋﺎﹰ ﺍﺯ ﻧﻈﺮ ﻛﺎﺭﺑﺮﺍﻥ‬
‫ﺷﻔﺎﻑ ﺑﻮﺩﻩ ﻭ ﺧﻴﻠﻲ ﺳﺮﻳﻊ ﻫﺴﺘﻨﺪ‪ [WACK02].‬ﻧﻘﺎﻁ ﺿﻌﻒ ﺯﻳﺮ ﺭﺍ ﺑﺮﺍﻱ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﺍﺯ ﺍﻳﻦ ﻧﻮﻉ ﺑﺮﻣﻲﺷﻤﺎﺭﺩ‪:‬‬
‫• ﭼﻮﻥ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ‪ ،‬ﺩﺍﺩﻩﻫﺎﻱ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﺭﺍ ﺑﺮﺭﺳﻲ ﻧﻤﻲﻛﻨﻨﺪ‪ ،‬ﺁﻧﻬﺎ ﻧﻤﻲﺗﻮﺍﻧﻨﺪ ﺍﺯ ﺣﻤﻼﺗﻲ ﻛﻪ‬
‫ﻋﻤﻠﻴﺎﺕ ﻭ ﻳﺎ ﻧﻘﺎﻁ ﺁﺳﻴﺐﭘﺬﻳﺮ ﻣﺨﺘﺺ ﺑﻪ ﻛﺎﺭﺑﺮﺩ ﺭﺍ ﻫﺪﻑ ﻗﺮﺍﺭ ﻣﻲﺩﻫﻨﺪ‪ ،‬ﺟﻠﻮﮔﻴﺮﻱ ﻛﻨﻨﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﻳﻚ ﺩﻳﻮﺍﺭ‬
‫ﺁﺗﺶ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ ﻧﻤﻲﺗﻮﺍﻧﺪ ﻓﺮﺍﻣﻴﻦ ﻛﺎﺭﺑﺮﺩﻱ ﻣﺸﺨﺼﻲ ﺭﺍ ﺑﻠﻮﻛﻪ ﻛﻨﺪ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺗﻤﺎﻡ ﻋﻤﻠﻴﺎﺕ ﻣﻮﺟﻮﺩ ﺩﺭ ﺁﻥ‬
‫ﻛﺎﺭﺑﺮﺩ ﻣﺠﺎﺯ ﺷﻨﺎﺧﺘﻪ ﻣﻲﺷﻮﺩ‪.‬‬
‫• ﺑﻌﻠﺖ ﺍﻃﻼﻋﺎﺕ ﻣﺤﺪﻭﺩ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ‪ ،‬ﻋﻤﻠﻴﺎﺕ ﺍﺗﺼﺎﻝ ﺑﻪ ﺷﺒﻜﻪ ﺩﺭ ﺍﻳﻦ ﻓﻴﻠﺘﺮ ﻣﺤﺪﻭﺩ ﺍﺳﺖ‪ .‬ﻋﻤﻠﻴﺎﺕ‬
‫ﺍﺗﺼﺎﻝ ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﻌﻤﻮﻻﹰ ﺷﺎﻣﻞ ﻫﻤﺎﻥ ﺍﻃﻼﻋﺎﺗﻲ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﺁﻧﻬﺎ ﺑﺮﺍﻱ ﺗﺼﻤﻴﻢﮔﻴﺮﻱ ﺩﺭ ﻣﻮﺭﺩ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ )ﺁﺩﺭﺱ ﻣﻨﺒﻊ‪ ،‬ﺁﺩﺭﺱ ﻣﻘﺼﺪ ﻭ ﻧﻮﻉ ﺗﺮﺍﻓﻴﻚ(‪.‬‬
‫• ﺑﻴﺸﺘﺮ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ ﺭﻭﺵﻫﺎﻱ ﭘﻴﺸﺮﻓﺘﺔ ﺗﺼﺪﻳﻖ ﻫﻮﻳﺖ ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ ﺑﻪ ﺧﺪﻣﺖ ﻧﻤﻲﮔﻴﺮﻧﺪ‪ .‬ﺑﺎﺯﻫﻢ‬
‫ﺍﻳﻦ ﻣﺤﺪﻭﺩﻳﺖ ﻋﻤﺪﺗﺎﹰ ﺑﻌﻠﺖ ﻓﻘﺪﺍﻥ ﻛﺎﺭﺁﺋﻲ ﺳﻴﺴﺘﻢ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺩﺭ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﺍﺳﺖ‪.‬‬
‫• ﺁﻧﻬﺎ ﻣﻌﻤﻮﻻﹰ ﺩﺭ ﻣﻘﺎﺑﻞ ﺣﻤﻼﺕ ﻭ ﺍﺳﺘﺜﻤﺎﺭﻱ ﻛﻪ ﺍﺯ ﻣﺸﻜﻼﺕ ﺩﺭﻭﻧﻲ ‪ TCP/IP‬ﻭ ﭘﺸﺘﺔ ﭘﺮﻭﺗﻜﻠﻲ ﺁﻥ ﻧﺎﺷﻲ ﻣﻲﺷﻮﺩ‪،‬‬
‫ﻫﻤﺎﻧﻨﺪ ‪ ،network layer address spoofing‬ﺁﺳﻴﺐﭘﺬﻳﺮﻧﺪ‪ .‬ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ ﻗﺎﺩﺭ‬
‫ﺑﻪ ﺗﺸﺨﻴﺺ ﻳﻚ ﺑﺴﺘﺔ ﻻﻳﺔ ﺷﺒﻜﻪ‪ ،‬ﻛﻪ ﺍﻃﻼﻋﺎﺕ ﺁﺩﺭﺳﻲ ﻻﻳﺔ ﺳﻮﻡ ‪ OSI‬ﺁﻥ ﺗﻐﻴﻴﺮ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻧﻴﺴﺘﻨﺪ‪ .‬ﻣﻬﺎﺟﻤﻴﻦ‬
‫ﻣﻌﻤﻮﻻﹰ ﺍﺯ ﺗﻘﻠﻴﺪ ﺁﺩﺭﺱ ﺑﺮﺍﻱ ﻋﺒﻮﺭ ﺍﺯ ﻛﻨﺘﺮﻝﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫• ﺑﺎﻻﺧﺮﻩ ﺑﻌﻠﺖ ﺗﻌﺪﺍﺩ ﻛﻢ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺩﺧﻴﻞ ﺩﺭ ﺗﺼﻤﻴﻢﮔﻴﺮﻱ ﻧﺴﺒﺖ ﺑﻪ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‪ ،‬ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ‬
‫ﺑﺴﺘﻪﻫﺎ ﺩﺭ ﻣﻌﺮﺽ ﺭﺧﻨﻪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻧﺎﺷﻲ ﺍﺯ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻧﺎﻣﻨﺎﺳﺐ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ‪ .‬ﺑﻌﺒﺎﺭﺕ ﺩﻳﮕﺮ ﺑﺼﻮﺭﺕ ﺧﻴﻠﻲ ﺳﺎﺩﻩ ﻭ‬
‫ﺗﺼﺎﺩﻓﻲ‪ ،‬ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﻃﻮﺭﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺷﻮﺩ ﻛﻪ ﺑﻪ ﺗﺮﺍﻓﻴﻚ‪ ،‬ﻧﻮﻉ ﻣﻨﺎﺑﻊ ﻭ ﻧﻮﻉ‬
‫ﻣﻘﺎﺻﺪﻱ ﻛﻪ ﻗﺎﻋﺪﺗﺎﹰ ﺑﺎﻳﺴﺘﻲ ﺑﺮ ﺍﺳﺎﺱ ﺧﻂﻣﺸﻲ ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ ﺳﺎﺯﻣﺎﻥ ﺍﺯ ﻋﺒﻮﺭ ﺁﻧﻬﺎ ﺟﻠﻮﮔﻴﺮﻱ ﺷﻮﺩ‪ ،‬ﺍﺟﺎﺯﺓ ﻋﺒﻮﺭ‬
‫ﺩﻫﺪ‪.‬‬
‫ﺑﺮﺧﻲ ﺍﺯ ﺍﻧﻮﺍﻉ ﺣﻤﻼﺕ ﻭ ﺭﻭﺵﻫﺎﻱ ﻣﻌﻘﻮﻝ ﺩﻓﺎﻉ ﺩﺭ ﺑﺮﺍﺑﺮ ﺁﻧﻬﺎ‪ ،‬ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮ ﻋﻠﻴﻪ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ‬
‫ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪ ،‬ﺑﻘﺮﺍﺭ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫‪٤٠٣‬‬ ‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫• ﺗﻘﻠﻴﺪﺁﺩﺭﺱ‪ :(IP spoofing) IP‬ﻣﻬﺎﺟﻢ‪ ،‬ﺑﺴﺘﻪﻫﺎﺋﻲ ﺭﺍ ﺍﺯ ﺧﺎﺭﺝ ﺍﺭﺳﺎﻝ ﻣﻲﺩﺍﺭﺩ ﻛﻪ ﺩﺭ ﻣﺤﻞ ﺁﺩﺭﺱ ‪ IP‬ﻣﻨﺒﻊ ﺁﻧﻬﺎ‪،‬‬
‫ﺁﺩﺭﺱ ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﺩﺍﺧﻠﻲ ﺟﺎ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﺍﻣﻴﺪﻭﺍﺭ ﺍﺳﺖ ﻛﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺁﺩﺭﺱ ﺗﻘﻠﻴﺪﻱ ﺑﺎﻋﺚ ﺷﻮﺩ‬
‫ﻛﻪ ﺍﻭ ﺑﺘﻮﺍﻧﺪ ﺩﺭ ﺳﻴﺴﺘﻢﻫﺎﺋﻲ ﻛﻪ ﺑﺴﺎﺩﮔﻲ ﻓﻘﻂ ﺁﺩﺭﺱ ﻣﻨﺒﻊ ﺭﺍ ﻛﻨﺘﺮﻝ ﻧﻤﻮﺩﻩ ﻭ ﺩﺭ ﺁﻥ ﺑﺴﺘﻪﻫﺎﻱ ﻣﺸﺨﺺ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ‬
‫ﺩﺍﺧﻠﻲ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﭘﺬﻳﺮﺵ ﻣﻲﮔﺮﺩﻧﺪ‪ ،‬ﻧﻔﻮﺫ ﻳﺎﺑﺪ‪ .‬ﺿﺪﺣﻤﻠﺔ ﺍﻳﻦ ﺭﻭﺵ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﺴﺘﻪﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ﻳﻚ ﻣﺪﺍﺭ ﻭﺍﺳﻂ‬
‫ﺧﺎﺭﺟﻲ ﻭﺍﺭﺩ ﺷﺪﻩ ﻭﻟﻲ ﺩﺍﺭﺍﻱ ﺁﺩﺭﺱ ﻳﻚ ﻣﻨﺒﻊ ﺩﺍﺧﻠﻲ ﻫﺴﺘﻨﺪ ﺭﺍ ﻧﺎﺑﻮﺩ ﻛﺮﺩ‪.‬‬
‫• ﺣﻤﻼﺕ ﻣﺴﻴﺮﻳﺎﺑﻲ ﻣﻨﺒﻊ‪ :‬ﺍﻳﺴﺘﮕﺎﻩ ﻣﻨﺒﻊ‪ ،‬ﻣﺴﻴﺮ ﻋﺒﻮﺭ ﻳﻚ ﺑﺴﺘﻪ ﺩﺭ ﺍﻳﻨﺘﺮﻧﺖ ﺭﺍ ﺗﻌﻴﻴﻦ ﻛﺮﺩﻩ ﻭ ﺍﻣﻴﺪﻭﺍﺭ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ‬
‫ﺭﻭﺵ‪ ،‬ﻣﻮﺍﻧﻊ ﺍﻣﻨﻴﺘﻲ ﻛﻪ ﺍﻃﻼﻋﺎﺕ ﻣﺴﻴﺮﻳﺎﺑﻲ ﺭﺍ ﻛﻨﺘﺮﻝ ﻧﻤﻲﻛﻨﻨﺪ ﺩﻭﺭ ﺑﺰﻧﺪ‪ .‬ﺿﺪﺣﻤﻠﺔ ﺍﻳﻦ ﺭﻭﺵ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺗﻤﺎﻡ‬
‫ﺑﺴﺘﻪﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ﺍﻳﻦ ﺍﺑﺰﺍﺭ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ ﺭﺍ ﻧﺎﺑﻮﺩ ﻛﺮﺩ‪.‬‬
‫• ﺣﻤﻼﺕ ﻓِﺮَﮔﻤﻨﺖﻫﺎﻱ ﻛﻮﭼﻚ‪ :‬ﻣﻬﺎﺟﻢ ﺍﺯ ﺍﺑﺰﺍﺭ ‪ IP fragmentation‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﺗﺎ ﻓِﺮﮔﻤﻨﺖﻫﺎﻱ ﻓﻮﻕﺍﻟﻌﺎﺩﻩ‬

‫ﻛﻮﭼﻜﻲ ﺭﺍ ﺧﻠﻖ ﻧﻤﻮﺩﻩ ﻭ ﺍﻃﻼﻋﺎﺕ ﺳﺮﺁﻳﻨﺪ ‪ TCP‬ﺭﺍ ﻣﺠﺒﻮﺭ ﺳﺎﺯﺩ ﺗﺎ ﺩﺭ ﻳﻚ ﻓِﺮﮔﻤﻨﺖ ﻣﺠﺰﺍ ﺍﺯ ﺩﻳﺘﺎ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪ .‬ﺍﻳﻦ‬
‫ﺣﻤﻠﻪ ﺑﺮﺍﻱ ﻓﺮﻳﺐ ﺩﺍﺩﻥ ﻗﻮﺍﻋﺪ ﻓﻴﻠﺘﺮﻳﻨﮓ ﻛﻪ ﻣﺒﺘﻨﻲ ﺑﺮ ﺍﻃﻼﻋﺎﺕ ﺳﺮﺁﻳﻨﺪ ‪ TCP‬ﻫﺴﺘﻨﺪ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺣﻤﻠﻪ ﻛﻨﻨﺪﻩ ﺍﻣﻴﺪﻭﺍﺭ ﺍﺳﺖ ﻛﻪ ﺗﻨﻬﺎ ﺍﻭﻟﻴﻦ ﻓِﺮﮔﻤﻨﺖ ﺑﺘﻮﺳﻂ ﻣﺴﻴﺮﻳﺎﺏ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﻩ ﺑﺮﺭﺳﻲ ﺷﺪﻩ ﻭ ﺑﻘﻴﻪ ﻓِﺮﮔﻤﻨﺖﻫﺎ ﻋﺒﻮﺭ‬
‫ﻧﻤﺎﻳﻨﺪ‪ .‬ﺍﻳﻦ ﺣﻤﻠﻪ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﻣﻌﺪﻭﻡ ﻛﺮﺩﻥ ﺗﻤﺎﻡ ﺑﺴﺘﻪﻫﺎﺋﻲ ﻛﻪ ﻧﻮﻉ ﭘﺮﻭﺗﻜﻞ ﺁﻧﻬﺎ ‪ TCP‬ﺑﻮﺩﻩ ﻭ‬
‫‪ IP fragment offset‬ﺁﻧﻬﺎ ﺑﺮﺍﺑﺮ ‪ ۱‬ﺍﺳﺖ‪ ،‬ﺧﻨﺜﻲ ﻛﺮﺩ‪.‬‬
‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﺗﻔﺘﻴﺶﻛﻨﻨﺪﻩ ﺣﺎﻟﺖ )‪(Stateful Inspection Firewall‬‬
‫ﻳﻚ ﻓﻴﻠﺘﺮ ﻣﻌﻤﻮﻟﻲ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ‪ ،‬ﺗﺼﻤﻴﻤﺎﺕ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺭﺍ ﺑﺮ ﻣﺒﻨﺎﻱ ﺗﻚﺗﻚ ﺑﺴﺘﻪﻫﺎ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﻭ ﻣﻀﺎﻣﻴﻦ ﻫﻴﭻ ﻻﻳﻪ ﺑﺎﻻﺗﺮ‬
‫ﺭﺍ ﺑﻜﺎﺭ ﻧﻤﻲﮔﻴﺮﺩ‪ .‬ﺑﺮﺍﻱ ﻓﻬﻢ ﺍﻳﻦ ﻣﻄﻠﺐ ﻛﻪ ﻣﻀﺎﻣﻴﻦ ﻻﻳﺔ ﺑﺎﻻﺗﺮ ﭼﻪ ﺑﻮﺩﻩ ﻭ ﭼﺮﺍ ﻳﻚ ﻓﻴﻠﺘﺮ ﺳﻨﹼﺘﻲ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ ﻧﺴﺒﺖ ﺑﻪ ﺍﻳﻦ ﺍﻣﺮ‬
‫ﺩﺍﺭﺍﻱ ﻣﺤﺪﻭﺩﻳﺖ ﺍﺳﺖ‪ ،‬ﻻﺯﻡ ﺍﺳﺖ ﻛﻪ ﺍﻳﻦ ﻣﻮﺿﻮﻉ ﻛﻤﻲ ﺷﻜﺎﻓﺘﻪ ﺷﻮﺩ‪ .‬ﺍﻛﺜﺮ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻛﻪ ﺭﻭﻱ ﻻﻳﺔ ‪ TCP‬ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ‬
‫ﺍﺯ ﻳﻚ ﻣﺪﻝ ﻛِﻼﻳﻨﺖ‪ /‬ﺳِﺮﻭﺭ ﭘﻴﺮﻭﻱ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﺩﺭ ﭘﺮﻭﺗﻜﻞ ﺳﺎﺩﺓ ﺍﻧﺘﻘﺎﻝ ﻧﺎﻣﻪﻫﺎﻱ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ)‪ ،(SMTP‬ﻧﺎﻣﻪ ﺍﺯ ﻳﻚ‬
‫ﺳﻴﺴﺘﻢ ﻛِﻼﻳﻨﺖ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﺳِﺮﻭﺭ ﻣﻨﺘﻘﻞ ﻣﻲﺷﻮﺩ‪ .‬ﺳﻴﺴﺘﻢ ﻛِﻼﻳﻨﺖ ﭘﻴﺎﻡﻫﺎﻱ ‪ e-mail‬ﺭﺍ ﻣﻌﻤﻮﻻﹰ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮ ﺗﻮﻟﻴﺪ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺳﻴﺴﺘﻢ ﺳِﺮﻭﺭ ﭘﻴﺎﻡﻫﺎﻱ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ﻭﺭﻭﺩﻱ ﺭﺍ ﭘﺬﻳﺮﻓﺘﻪ ﻭ ﺁﻧﻬﺎ ﺭﺍ ﺩﺭ ﺻﻨﺪﻭﻕ ﭘﺴﺘﻲ ﻛﺎﺭﺑﺮ ﻗﺮﺍﺭ ﻣﻲﺩﻫﺪ‪ SMTP .‬ﻳﻚ ﺍﺗﺼﺎﻝ‬
‫‪ TCP‬ﺑﻴﻦ ﻛِﻼﻳﻨﺖ ﻭ ﺳِﺮﻭﺭ ﺑﺮﻗﺮﺍﺭ ﻣﻲﻛﻨﺪ ﻛﻪ ﺩﺭ ﺁﻥ ﺷﻤﺎﺭﺓ ﭘﻮﺭﺕ ‪ TCP‬ﺳِﺮﻭﺭ ﻛﻪ ﺗﻌﻴﻴﻦﻛﻨﻨﺪﺓ ﻛﺎﺭﺑﺮﺩ ‪ SMTP‬ﺳِﺮﻭﺭ ﺍﺳﺖ‪،‬‬
‫‪ ۲۵‬ﻣﻲﺑﺎﺷﺪ‪ .‬ﺷﻤﺎﺭﺓ ﭘﻮﺭﺕ ‪ TCP‬ﺑﺮﺍﻱ ‪ SMTP‬ﻛِﻼﻳﻨﺖ‪ ،‬ﻋﺪﺩﻱ ﺑﻴﻦ ‪ ۱,۰۲۴‬ﻭ ‪ ۱۶,۳۸۳‬ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﭘﺮﻭﺗﻜﻞ ‪SMPT‬‬
‫ﻛِﻼﻳﻨﺖ ﺗﻌﻴﻴﻦ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫ﺩﺭ ﺣﺎﻟﺖ ﻛﻠﻲ ﻭﻗﺘﻲ ﻛﺎﺭﺑﺮﺩﻱ ﻛﻪ ﺍﺯ ‪ TCP‬ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ ﺗﻤﺎﺳﻲ ﺑﺎ ﻣﻴﺰﺑﺎﻥ ﺩﻭﺭﺩﺳﺖ ﻣﻲﮔﻴﺮﺩ‪ ،‬ﻳﻚ ﺍﺗﺼﺎﻝ ‪ TCP‬ﺍﻳﺠﺎﺩ‬
‫ﻧﻤﻮﺩﻩ ﻛﻪ ﺩﺭ ﺁﻥ ﺷﻤﺎﺭﺓ ﭘﻮﺭﺕ ‪ TCP‬ﻛﺎﺭﺑﺮﺩ ﺩﻭﺭﺩﺳﺖ )ﺳِﺮﻭﺭ(‪ ،‬ﻋﺪﺩﻱ ﻛﻤﺘﺮ ﺍﺯ ‪ ۱,۰۲۴‬ﺑﻮﺩﻩ ﻭ ﺷﻤﺎﺭﺓ ﭘﻮﺭﺕ ‪ TCP‬ﻛﺎﺭﺑﺮﺩ‬
‫ﻣﺤﻠﻲ )ﻛِﻼﻳﻨﺖ(‪ ،‬ﻋﺪﺩﻱ ﺑﻴﻦ ‪ ۱,۰۲۴‬ﻭ ‪ ۱۶,۳۸۳‬ﺍﺳﺖ‪ .‬ﺍﻋﺪﺍﺩ ﻛﻤﺘﺮ ﺍﺯ ‪ ۱,۰۲۴‬ﺷﻤﺎﺭﺓ ﭘﻮﺭﺕﻫﺎﻱ »ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ« ﺑﻮﺩﻩ ﻭ ﺑﻄﻮﺭ‬
‫ﺩﺍﺋﻤﻲ ﺑﻪ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺸﺨﺼﻲ ﺗﺨﺼﻴﺺ ﻣﻲﻳﺎﺑﻨﺪ )ﻣﺜﻼﹰ ‪ ۲۵‬ﺑﺮﺍﻱ ‪ .(SMTP‬ﺍﻋﺪﺍﺩ ﺑﻴﻦ ‪ ۱,۰۲۴‬ﻭ ‪ ۱۶,۳۸۳‬ﺑﻄﻮﺭ ﭘﻮﻳﺎ ﺗﻮﻟﻴﺪ ﺷﺪﻩ‬
‫ﻭ ﺗﻨﻬﺎ ﺑﺮﺍﻱ ﺯﻣﺎﻥ ﺣﻴﺎﺕ ﻳﻚ ﺍﺗﺼﺎﻝ ‪ TCP‬ﺩﺍﺭﺍﻱ ﺍﻫﻤﻴﺖﺍﻧﺪ‪.‬‬
‫ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ ﺑﺎﻳﺴﺘﻲ ﺑﻪ ﺗﺮﺍﻓﻴﻚ ﺩﺍﺧﻞ ﻣﺤﺪﻭﺩﻩ ﻛﻪ ﺩﺍﺭﺍﻱ ﺷﻤﺎﺭﺓ ﭘﻮﺭﺕﻫﺎﻱ ﺑﺎﻻ ﺑﻮﺩﻩ ﻭ ﺑﺮ‬
‫ﻣﺒﻨﺎﻱ ‪ TCP‬ﻣﻲﺑﺎﺷﻨﺪ ﺍﺟﺎﺯﺓ ﻋﺒﻮﺭ ﺩﻫﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻳﻚ ﻧﻘﻄﺔ ﺁﺳﻴﺐﭘﺬﻳﺮ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻧﻤﺎﻳﺪ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮﺍﻥ‬
‫ﻏﻴﺮﻣﺠﺎﺯ ﻣﻮﺭﺩ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪.‬‬
‫ﻓﺼﻞ ﻳﺎﺯﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٠٤‬‬
‫ﺟﺪﻭﻝ ‪ ۱۱-۲‬ﻣﺜﺎﻟﻲ ﺍﺯ ﺟﺪﻭﻝ ﻭﺿﻌﻴﺖ ﺍﺗﺼﺎﻻﺕ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺍﺯ ﻧﻮﻉ ﺗﻔﺘﻴﺶﻛﻨﻨﺪﺓ ﺣﺎﻟﺖ ]‪[WACK02‬‬
‫‪Source‬‬ ‫‪Source‬‬ ‫‪Destination‬‬ ‫‪Destination‬‬ ‫‪Connection‬‬

‫‪Address‬‬ ‫‪Port‬‬ ‫‪Address‬‬ ‫‪Port‬‬ ‫‪State‬‬
‫‪192.168.1.100‬‬ ‫‪1030‬‬ ‫‪210.9.88.29‬‬ ‫‪80‬‬ ‫‪Established‬‬
‫‪192.168.1.102‬‬ ‫‪1031‬‬ ‫‪216.32.42.123‬‬ ‫‪80‬‬ ‫‪Established‬‬
‫‪192.168.1.101‬‬ ‫‪1033‬‬ ‫‪173.66.32.122‬‬ ‫‪25‬‬ ‫‪Established‬‬
‫‪192.168.1.106‬‬ ‫‪1035‬‬ ‫‪177.231.32.12‬‬ ‫‪79‬‬ ‫‪Established‬‬
‫‪223.43.21.231‬‬ ‫‪1990‬‬ ‫‪192.168.1.6‬‬ ‫‪80‬‬ ‫‪Established‬‬
‫‪219.22.123.32‬‬ ‫‪2112‬‬ ‫‪192.168.1.6‬‬ ‫‪80‬‬ ‫‪Established‬‬
‫‪210.99.212.18‬‬ ‫‪3321‬‬ ‫‪192.168.1.6‬‬ ‫‪80‬‬ ‫‪Established‬‬
‫‪24.102.32.23‬‬ ‫‪1025‬‬ ‫‪192.168.1.6‬‬ ‫‪80‬‬ ‫‪Established‬‬
‫‪223.212.212‬‬ ‫‪1046‬‬ ‫‪192.168.1.6‬‬ ‫‪80‬‬ ‫‪Established‬‬
‫ﻳﻚ ﻓﻴﻠﺘﺮ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ ﺍﺯ ﻧﻮﻉ ﺗﻔﺘﻴﺶﻛﻨﻨﺪﻩ ﺣﺎﻟﺖ‪ ،‬ﺗﺮﺍﻓﻴﻚ ‪ TCP‬ﺭﺍ ﺑﺎ ﺍﻳﺠﺎﺩ ﻳﻚ ﻓﻬﺮﺳﺖ ﺍﺯ ﺍﺗﺼﺎﻻﺕ ‪ TCP‬ﺧﺎﺭﺝ ﺍﺯ‬
‫ﻣﺤﺪﻭﺩﺓ ﺷﺒﻜﻪ ﻫﻤﺎﻧﻨﺪ ﺟﺪﻭﻝ ‪ ،۱۱-۲‬ﺑﺎ ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﺑﻴﺸﺘﺮﻱ ﻣﻮﺍﺟﻪ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺑﺮﺍﻱ ﻫﺮ ﺍﺗﺼﺎﻝ ﺑﺮﻗﺮﺍﺭ ﺷﺪﻩ‪ ،‬ﻳﻚ ﻗﻠﻢ ﺑﻪ ﺟﺪﻭﻝ‬
‫ﺍﺿﺎﻓﻪ ﻣﻲﮔﺮﺩﺩ‪ .‬ﻓﻴﻠﺘﺮ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ ﺍﻛﻨﻮﻥ ﺑﻪ ﺗﺮﺍﻓﻴﻚ ﻭﺭﻭﺩﻱ ﻛﻪ ﺑﻤﻘﺼﺪ ﭘﻮﺭﺕﻫﺎﻱ ﺷﻤﺎﺭﺓ ﺑﺎﻻ ﺍﺭﺳﺎﻝ ﺷﺪﻩﺍﻧﺪ ﺩﺭ ﺻﻮﺭﺗﻲ ﺍﺟﺎﺯﺓ‬
‫ﻋﺒﻮﺭ ﻣﻲﺩﻫﺪ ﻛﻪ ﺑﺴﺘﻪﻫﺎ ﺩﺍﺭﺍﻱ ﭘﺮﻭﻓﺎﻳﻞ ﻳﻜﻲ ﺍﺯ ﺍﻗﻼﻡ ﻣﻮﺟﻮﺩ ﺩﺭ ﺟﺪﻭﻝ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ )‪(Application - Level Gateway‬‬
‫ﻳﻚ ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ ﻛﻪ ﻳﻚ ﺳِﺮﻭﺭ ﭘﺮﻭﻛﺴﻲ )‪ (proxy‬ﻧﻴﺰ ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ ﺑﺮﺍﻱ ﺗﺮﺍﻓﻴﻚ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ ﺑﺼﻮﺭﺕ ﻳﻚ‬
‫ﺭﻟﻪ ﻋﻤﻞ ﻣﻲﻛﻨﺪ )ﺷﻜﻞ ‪۱۱-۱‬ﺏ(‪ .‬ﻛﺎﺭﺑﺮ ﺑﺎ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﻛﺎﺭﺑﺮﺩﻱ ‪ TCP/IP‬ﻫﻤﺎﻧﻨﺪ ‪ Telnet‬ﻳﺎ ‪ FTP‬ﺑﺎ ﺩﺭﻭﺍﺯﻩ ﺗﻤﺎﺱ ﻣﻲﮔﻴﺮﺩ ﻭ‬
‫ﺩﺭﻭﺍﺯﻩ ﺍﺯ ﻛﺎﺭﺑﺮ ﻧﺎﻡ ﻣﻴﺰﺑﺎﻥ ﺩﻭﺭﻱ ﻛﻪ ﻛﺎﺭﺑﺮ ﺗﻤﺎﻳﻞ ﺑﻪ ﺍﺗﺼﺎﻝ ﺑﺎ ﺍﻭ ﺩﺍﺭﺩ ﺭﺍ ﺳﺆﺍﻝ ﻣﻲﻛﻨﺪ‪ .‬ﻭﻗﺘﻲ ﻛﺎﺭﺑﺮ ﭘﺎﺳﺦ ﺩﺍﺩﻩ ﻭ ﻳﻚ ‪ IP‬ﻣﻌﺘﺒﺮ ﻭ‬
‫ﺍﻃﻼﻋﺎﺕ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻻﺯﻡ ﺭﺍ ﺍﺭﺍﺋﻪ ﻧﻤﻮﺩ‪ ،‬ﺩﺭﻭﺍﺯﻩ ﺑﺎ ﺑﺮﻧﺎﻣﺔ ﻛﺎﺭﺑﺮﺩﻱ ﻣﻴﺰﺑﺎﻥ ﺩﻭﺭ ﺗﻤﺎﺱ ﮔﺮﻓﺘﻪ ﻭ ﺳِﮕﻤﻨﺖﻫﺎﻱ ‪ TCP‬ﺷﺎﻣﻞ‬
‫ﺩﺍﺩﻩﻫﺎﻱ ﻛﺎﺭﺑﺮ ﺭﺍ ﺑﻴﻦ ﺩﻭ ﻧﻘﻄﺔ ﺍﻧﺘﻬﺎﺋﻲ ﺭﻟﻪ ﻣﻲﻛﻨﺪ‪ .‬ﺍﮔﺮ ﺩﺭﻭﺍﺯﻩ ﻛﹸﺪ ﭘﺮﻭﻛﺴﻲ ﺧﺎﺻﻲ ﺭﺍ ﻓﺮﺍﻫﻢ ﻧﻨﻤﺎﻳﺪ‪ ،‬ﺳﺮﻭﻳﺲ ﻋﻤﻠﻴﺎﺗﻲ ﻧﺸﺪﻩ ﻭ‬
‫ﺩﺍﺩﻩﻫﺎ ﻧﻤﻲﺗﻮﺍﻧﻨﺪ ﺍﺯ ﻋﺮﺽ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻋﺒﻮﺭ ﻛﻨﻨﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ ﺩﺭﻭﺍﺯﻩ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﻃﻮﺭﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻛﺮﺩ ﻛﻪ ﺗﻨﻬﺎ ﺍﺯ ﺣﺎﻟﺖ ﺧﺎﺻﻲ‬
‫ﺍﺯ ﻛﺎﺭﺑﺮﺩﻫﺎ ﻛﻪ ﻣﺴﺌﻮﻝ ﺷﺒﻜﻪ ﺁﻧﻬﺎ ﺭﺍ ﻗﺎﺑﻞ ﭘﺬﻳﺮﺵ ﻣﻲﺩﺍﻧﺪ ﺣﻤﺎﻳﺖ ﻛﺮﺩﻩ ﻭ ﺑﺮﺍﻱ ﺣﺎﻻﺕ ﺩﻳﮕﺮ ﺍﺯ ﺩﺍﺩﻥ ﺳﺮﻭﻳﺲ ﺧﻮﺩﺩﺍﺭﻱ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﺩﺭﻭﺍﺯﻩﻫﺎﻱ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ ﻧﺴﺒﺖ ﺑﻪ ﻓﻴﻠﺘﺮﻫﺎﻱ ﺑﺴﺘﻪﻫﺎﻱ ﺩﻳﺘﺎ ﺍﻣﻦﺗﺮﻧﺪ‪ .‬ﺑﺠﺎﻱ ﺗﻼﺵ ﺑﺮﺍﻱ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﺮﻛﻴﺒﺎﺕ ﻓﻮﻕﺍﻟﻌﺎﺩﻩ ﺯﻳﺎﺩ‬
‫ﻣﻤﻜﻦ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﺳﻄﺢ ‪ TCP‬ﻭ ‪ IP‬ﻣﺠﺎﺯ ﻳﺎ ﻣﻤﻨﻮﻉ ﺷﻨﺎﺧﺘﻪ ﺷﻮﻧﺪ‪ ،‬ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ ﺗﻨﻬﺎ ﻛﺎﻓﻲ ﺍﺳﺖ ﻧﺴﺒﺖ ﺑﻪ ﺗﻌﺪﺍﺩ‬
‫ﻣﺤﺪﻭﺩﻱ ﺍﺯ ﻛﺎﺭﺑﺮﺩﻫﺎ ﺩﻗﺖ ﻧﻤﺎﻳﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺍﻳﻦ ﺛﺒﺖ ﻭ ﻣﻤﻴﺰﻱ ﺗﻤﺎﻡ ﺗﺮﺍﻓﻴﻚ ﻭﺭﻭﺩﻱ ﺩﺭ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ‪ ،‬ﻛﺎﺭﻱ ﺁﺳﺎﻥ ﺍﺳﺖ‪.‬‬
‫ﻋﻴﺐ ﺍﺻﻠﻲ ﺍﻳﻦ ﻧﻮﻉ ﺩﺭﻭﺍﺯﻩ‪ ،‬ﺳﺮﺑﺎﺭﺓ ﭘﺮﺩﺍﺯﺵ ﺑﻴﺸﺘﺮ ﺩﺭ ﻫﺮﺑﺎﺭ ﺍﺗﺼﺎﻝ ﺍﺳﺖ‪ .‬ﺩﺭ ﻭﺍﻗﻊ ﺍﺗﺼﺎﻝ ﺑﻴﻦ ﺩﻭ ﻛﺎﺭﺑﺮ ﺍﻧﺘﻬﺎﺋﻲ ﺩﺭ ﺑﻴﻦ‬
‫ﺭﺍﻩ ﺷﻜﺴﺘﻪ ﺷﺪﻩ ﻭ ﺩﺭﻭﺍﺯﻩ ﺑﺎ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻦ ﺩﺭ ﺍﻳﻦ ﻧﻘﻄﺔ ﻣَﻔﺼﻠﻲ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﻫﻤﺔ ﺗﺮﺍﻓﻴﻚ ﺩﻭ ﺟﻬﺖ ﺭﺍ ﻛﻨﺘﺮﻝ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪٤٠٥‬‬ ‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻣﺪﺍﺭ )‪(Circuit - Level Gateway‬‬
‫ﻧﻮﻉ ﺳﻮﻡ ﺩﻳﻮﺍﺭ ﺁﺗﺶ‪ ،‬ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻣﺪﺍﺭ ﺍﺳﺖ )ﺷﻜﻞ ‪۱۱-۱‬ﺝ(‪ .‬ﺍﻳﻦ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﻨﻔﺮﺩ ﺑﻮﺩﻩ ﻭ ﻳﺎ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﻋﻤﻞ ﺧﺎﺻﻲ ﺑﺎﺷﺪ ﻛﻪ ﺑﺘﻮﺳﻂ ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﻌﻴﻨﻲ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪ .‬ﻳﻚ ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ ﺍﺟﺎﺯﺓ‬
‫ﻳﻚ ﺍﺗﺼﺎﻝ‪ TCP‬ﺳﺮ‪ -‬ﺑﻪ‪ -‬ﺳﺮ ﺭﺍ ﻧﻤﻲﺩﻫﺪ ﺑﻠﻜﻪ ﺩﺭﻭﺍﺯﻩﺍﻱ ﺑﻴﻦ ﺩﻭ ﺍﺗﺼﺎﻝ ‪ TCP‬ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪﻛﻪ ﻳﻚ ﺍﺗﺼﺎﻝ ﺑﻴﻦ ﺧﻮﺩﺵ ﻭ‬
‫ﺍﺳﺘﻔﺎﺩﻩﻛﻨﻨﺪﻩ ﺍﺯ ‪ TCP‬ﺩﺭ ﻣﻴﺰﺑﺎﻥ ﺩﺍﺧﻠﻲ‪ ،‬ﻭ ﺍﺗﺼﺎﻝ ﺩﻳﮕﺮ ﺑﻴﻦ ﺧﻮﺩﺵ ﻭ ﺍﺳﺘﻔﺎﺩﻩﻛﻨﻨﺪﻩ ﺍﺯ ‪ TCP‬ﺩﺭ ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﺧﺎﺭﺟﻲ ﻭﺍﻗﻊ ﺷﺪﻩ‬
‫ﺍﺳﺖ‪ .‬ﺯﻣﺎﻧﻲ ﻛﻪ ﺩﻭ ﺍﺗﺼﺎﻝ ﺑﺮﻗﺮﺍﺭ ﮔﺮﺩﻳﺪ ﺩﺭﻭﺍﺯﻩ ﻣﻌﻤﻮﻻﹰ ﺳِﮕﻤﻨﺖﻫﺎﻱ ‪ TCP‬ﺭﺍ‪ ،‬ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ ﻣﺤﺘﻮﻳﺎﺕ ﺁﻧﻬﺎ ﺭﺍ ﺑﺮﺭﺳﻲ ﻛﻨﺪ‪ ،‬ﺍﺯ ﻳﻚ‬
‫ﺍﺗﺼﺎﻝ ﺑﻪ ﺍﺗﺼﺎﻝ ﺩﻳﮕﺮ ﺭﻟﻪ ﻣﻲﻛﻨﺪ‪ .‬ﺗﺪﺑﻴﺮ ﺍﻣﻨﻴﺘﻲ ﺑﻜﺎﺭﮔﺮﻓﺘﻪ ﺷﺪﻩ ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﻓﻘﻂ ﺗﻌﻴﻴﻦ ﺁﻥ ﺍﺳﺖ ﻛﻪ ﺑﺮﻗﺮﺍﺭﻱ ﭼﻪ ﺍﺗﺼﺎﻻﺗﻲ‬
‫ﻣﺠﺎﺯ ﻫﺴﺘﻨﺪ‪.‬‬
‫ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻣﺪﺍﺭ ﻣﻌﻤﻮﻻﹰ ﻭﻗﺘﻲ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﻛﻪ ﻣﺴﺌﻮﻝ ﺳﻴﺴﺘﻢ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻥ ﺩﺍﺧﻞ ﺳﻴﺴﺘﻢ ﺍﻋﺘﻤﺎﺩ ﺩﺍﺷﺘﻪ‬
‫ﺑﺎﺷﺪ‪ .‬ﺩﺭﻭﺍﺯﻩ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﻃﻮﺭﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻛﺮﺩ ﻛﻪ ﺳﺮﻭﻳﺲ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ ﻳﺎ ﺳﺮﻭﻳﺲ ﭘﺮﻭﻛﺴﻲ ﺩﺭ ﺍﺗﺼﺎﻻﺕ ﺩﺍﺧﻞ ﻣﺤﺪﻭﺩﻩ‪ ،‬ﻭ‬
‫ﻋﻤﻠﻴﺎﺕ ﺳﻄﺢ ﻣﺪﺍﺭ ﺩﺭ ﺍﺗﺼﺎﻻﺕ ﺧﺎﺭﺝ ﻣﺤﺪﻭﺩﻩ‪ ،‬ﺭﺍ ﺣﻤﺎﻳﺖ ﻧﻤﺎﻳﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻧﻮﻉ ﭘﻴﻜﺮﺑﻨﺪﻱ‪ ،‬ﺩﺭﻭﺍﺯﻩ ﻣﻲﺗﻮﺍﻧﺪ ﺳﺮﺑﺎﺭﺓ ﺑﺮﺭﺳﻲ ﺩﺍﺩﻩﻫﺎﻱ‬
‫ﻛﺎﺭﺑﺮﺩﻱ ﻭﺭﻭﺩﻱ ﺑﺮﺍﻱ ﻋﻤﻠﻴﺎﺕ ﻣﻤﻨﻮﻉ ﺭﺍ ﺗﺤﻤﻞ ﻛﺮﺩﻩ ﻭﻟﻲ ﺩﺭﻋﻮﺽ ﻧﻴﺎﺯﻱ ﺑﻪ ﺑﺮﺭﺳﻲ ﺳﺮﺑﺎﺭﺓ ﺩﺍﺩﻩﻫﺎﻱ ﺧﺮﻭﺟﻲ ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ‬
‫ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﻣﺜﺎﻟﻲ ﺍﺯ ﺍﺟﺮﺍﻱ ﻳﻚ ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻣﺪﺍﺭ‪ ،‬ﺑﺴﺘﺔ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ‪ [KOBL92] SOCKS‬ﺍﺳﺖ‪ .‬ﻧﺴﺨﺔ ﭘﻨﺠﻢ ‪ SOCKS‬ﺩﺭ‬
‫‪ RFC 1928‬ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺗﻌﺮﻳﻒ ﭼﻨﻴﻦ ﺍﺳﺖ‪:‬‬
‫ﭘﺮﻭﺗﻜﻞ ﺗﻮﺻﻴﻒ ﺷﺪﻩ ﺩﺭ ﺍﻳﻨﺠﺎ ﺑﺪﻳﻦ ﻣﻨﻈﻮﺭ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ ﺗﺎ ﺑﺴﺘﺮﻱ ﺑﺮﺍﻱ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻛﻼﻳﻨﺖ‪ /‬ﺳﺮﻭﺭ ﺩﺭ ﻫﺮﺩﻭ ﺑُﻌﺪ ‪TCP‬‬
‫ﻭ ‪ UDP‬ﻓﺮﺍﻫﻢ ﻛﺮﺩﻩ ﺗﺎ ﺑﻄﻮﺭ ﺳﻬﻞ ﻭ ﺍﻣﻦ ﺍﺯ ﺳﺮﻭﻳﺲﻫﺎﻱ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺷﺒﻜﻪ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﺎﻳﻨﺪ‪ .‬ﭘﺮﻭﺗﻜﻞ ﺍﺻﻮﻻﹰ ﻳﻚ‬
‫"‪ "shim-layer‬ﺑﻴﻦ ﻻﻳﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩ ﻭ ﺣﻤﻞﻭﻧﻘﻞ ﺍﺳﺖ ﻭ ﺩﺭ ﭼﻨﻴﻦ ﺣﺎﻟﺘﻲ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺩﺭﻭﺍﺯﻩﺍﻱ ﺳﻄﺢ ﺷﺒﻜﻪ ﻣﺜﻞ ﺟﻠﻮﺭﺍﻧﺪﻥ‬
‫ﭘﻴﺎﻡﻫﺎﻱ ‪ ICMP‬ﺭﺍ ﻓﺮﺍﻫﻢ ﻧﻤﻲﺳﺎﺯﺩ‪.‬‬
‫‪ SOCKS‬ﺷﺎﻣﻞ ﻣﺆﻟﻔﻪﻫﺎﻱ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﺳِﺮﻭﺭ ‪ SOCKS‬ﻛﻪ ﺭﻭﻱ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺑﺮ ﭘﺎﻳﺔ ‪ UNIX‬ﻛﺎﺭ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬

‫ﻛﺘﺎﺑﺨﺎﻧﺔ ﻛِﻼﻳﻨﺖ ‪ SOCKS‬ﻛﻪ ﺭﻭﻱ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﺩﺍﺧﻠﻲ ﺣﻔﺎﻇﺖ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻛﺎﺭ ﻣﻲﻛﻨﺪ‪.‬‬ ‫•‬
‫ﻧﺴﺨﻪﻫﺎﻱ ‪ SOCKS‬ﺗﻬﻴﻪ ﺷﺪﻩ ﭼﻨﺪﻳﻦ ﺑﺮﻧﺎﻣﺔ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻛِﻼﻳﻨﺖ ﻫﻤﺎﻧﻨﺪ ‪ FTP‬ﻭ ‪ .TELNET‬ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﭘﺮﻭﺗﻜﻞ‬ ‫•‬
‫‪ SOCKS‬ﻣﻌﻤﻮﻻﹰ ﺷﺎﻣﻞ ﺩﻭﺑﺎﺭﻩ ﻛﺎﻣﭙﺎﻳﻞ ﻛﺮﺩﻥ ﻭ ﻳﺎ ﺗﻐﻴﻴﺮ ﻣﺴﻴﺮﺩﺍﺩﻥ ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﻣﺒﺘﻨﻲ ﺑﺮ ‪ TCP‬ﻛِﻼﻳﻨﺖ ﺑﺮﺍﻱ‬
‫ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻛﭙﺴﻮﻟﻲ ﻛﺮﺩﻥ ﻣﻨﺎﺳﺐ ﺭﻭﺗﻴﻦﻫﺎﻱ ﻛﺘﺎﺑﺨﺎﻧﺔ ‪ SOCKS‬ﻣﻲﺑﺎﺷﺪ‪.‬‬
‫ﻭﻗﺘﻲ ﻳﻚ ﻛِﻼﻳﻨﺖ ﻣﺒﺘﻨﻲ ﺑﺮ ‪ TCP‬ﺑﺨﻮﺍﻫﺪ ﺑﺎ ﺷﻴﺌﻲ ﺍﺗﺼﺎﻝ ﺑﺮﻗﺮﺍﺭ ﻛﻨﺪ ﻛﻪ ﺗﻨﻬﺎ ﺍﺯ ﻃﺮﻳﻖ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻗﺎﺑﻞ ﺩﺳﺖﻳﺎﺑﻲ ﺍﺳﺖ‬
‫)ﭼﻨﻴﻦ ﺍﻣﺮﻱ ﺑﻪ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻣﺮﺑﻮﻁ ﻣﻲﺷﻮﺩ(‪ ،‬ﺑﺎﻳﺴﺘﻲ ﻳﻚ ﺍﺗﺼﺎﻝ ‪ TCP‬ﺑﻪ ﭘﻮﺭﺕ ﻣﻨﺎﺳﺐ ‪ SOCKS‬ﺑﺮ ﺭﻭﻱ ﺳِﺮﻭﺭ ‪SOCKS‬‬
‫ﺑﺮﻗﺮﺍﺭ ﻧﻤﺎﻳﺪ‪ .‬ﺳﺮﻭﻳﺲ ‪ SOCKS‬ﺭﻭﻱ ﭘﻮﺭﺕ ‪ TCP ۱,۰۸۰‬ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺍﮔﺮ ﺩﺭﺧﻮﺍﺳﺖ ﺍﺗﺼﺎﻝ ﭘﺬﻳﺮﻓﺘﻪ ﺷﻮﺩ‪ ،‬ﻛِﻼﻳﻨﺖ ﻭﺍﺭﺩ ﻳﻚ‬
‫ﻣﺬﺍﻛﺮﻩ ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ ﺭﻭﺵ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ‪ ،‬ﺍﺯ ﻣﺘﺪ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺍﺳﺘﻔﺎﺩﻩ ﻛﺮﺩﻩ ﻭ ﺁﻧﮕﺎﻩ ﺗﻘﺎﺿﺎﻱ ﺭﻟﺔ ﺩﺍﺩﻩﻫﺎ ﺭﺍ‬
‫ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺳﺮﻭﺭ ‪ SOCKS‬ﺗﻘﺎﺿﺎ ﺭﺍ ﺍﺭﺯﻳﺎﺑﻲ ﻧﻤﻮﺩﻩ ﻭ ﺍﺗﺼﺎﻝ ﻣﻨﺎﺳﺐ ﺭﺍ ﻳﺎ ﺑﺮﻗﺮﺍﺭ ﻭ ﻳﺎ ﺑﻪ ﺁﻥ ﭘﺎﺳﺦ ﺭﺩ ﻣﻲﺩﻫﺪ‪ .‬ﻣﺒﺎﺩﻻﺕ ‪ UDP‬ﺑﻪ‬
‫ﺭﻭﺵ ﻣﺸﺎﺑﻪﺍﻱ ﺑﺮﺭﺳﻲ ﻭ ﺍﺟﺮﺍ ﻣﻲﮔﺮﺩﻧﺪ‪ .‬ﻓﻲﺍﻟﻮﺍﻗﻊ ﻳﻚ ﺍﺗﺼﺎﻝ ‪ TCP‬ﺑﺎﺯ ﻣﻲﺷﻮﺩ ﺗﺎ ﺍﻋﺘﺒﺎﺭ ﻳﻚ ﻛﺎﺭﺑﺮ ﺭﺍ ﭼﻪ ﺑﺮﺍﻱ ﺩﺭﻳﺎﻓﺖ ﻭ ﭼﻪ‬
‫ﺑﺮﺍﻱ ﺍﺭﺳﺎﻝ ﺳِﮕﻤﻨﺖﻫﺎﻱ ‪ UDP‬ﺑﺴﻨﺠﺪ ﻭ ﺍﻳﻦ ﺳِﮕﻤﻨﺖﻫﺎ ﺗﺎ ﺯﻣﺎﻧﻲ ﻛﻪ ﺍﺗﺼﺎﻝ ‪ TCP‬ﺑﺎﺯ ﺍﺳﺖ ﺑﻪ ﺟﻠﻮ ﺭﺍﻧﺪﻩ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫ﻓﺼﻞ ﻳﺎﺯﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٠٦‬‬
‫ﻣﻴﺰﺑﺎﻥ ﺩِﮊﺩﺍﺭ )‪(Bastion Host‬‬
‫ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﺳﻴﺴﺘﻤﻲ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻣﺪﻳﺮﻳﺖ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺍﺳﺘﺤﻜﺎﻣﺎﺕ ﺍﺳﺎﺳﻲ ﺩﺭ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬
‫ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻧﻮﻋﺎﹰ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﺑﻌﻨﻮﺍﻥ ﺑﺴﺘﺮﻱ ﺑﺮﺍﻱ ﺩﺭﻭﺍﺯﻩﻫﺎﻱ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ ﻭ ﻳﺎ ﺩﺭﻭﺍﺯﻩﻫﺎﻱ ﺳﻄﺢ ﻣﺪﺍﺭ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﻣﺸﺨﺼﺎﺕ ﻋﻤﻮﻣﻲ ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﭼﻨﻴﻦ ﺍﺳﺖ‪:‬‬
‫ﺑﺴﺘﺮ ﺳﺨﺖﺍﻓﺰﺍﺭﻱ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﻳﻚ ﻧﺴﺨﺔ ﺍﻣﻦ ﺍﺯ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺧﻮﺩ ﺭﺍ ﺍﺟﺮﺍ ﻛﺮﺩﻩ ﻛﻪ ﺩﺭ ﻧﺘﻴﺠﻪ ﺁﻥ ﺭﺍ ﺑﻪ ﻳﻚ‬ ‫•‬
‫ﺳﻴﺴﺘﻢ ﻣﻌﺘﻤﺪ ﺗﺒﺪﻳﻞ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺗﻨﻬﺎ ﺳﺮﻭﻳﺲﻫﺎﺋﻲ ﺭﻭﻱ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﻧﺼﺐ ﻣﻲﺷﻮﻧﺪ ﻛﻪ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ﺁﻧﻬﺎ ﺭﺍ ﺿﺮﻭﺭﻱ ﻣﻲﺩﺍﻧﺪ‪ .‬ﺍﻳﻨﻬﺎ ﺷﺎﻣﻞ‬ ‫•‬
‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﭘﺮﻭﻛﺴﻲ ﻣﺎﻧﻨﺪ ‪ SMTP, FTP, DNS , Telnet‬ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻛﺎﺭﺑﺮﻧﺪ‪.‬‬
‫ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﻣﻤﻜﻦ ﺍﺳﺖ ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﻳﻚ ﻛﺎﺭﺑﺮ ﺍﺟﺎﺯﺓ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺳﺮﻭﻳﺲﻫﺎﻱ ﭘﺮﻭﻛﺴﻲ ﺭﺍ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ ،‬ﻧﻴﺎﺯﻣﻨﺪ‬ ‫•‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲﻫﺎﻱ ﺑﻴﺸﺘﺮﻱ ﺑﺎﺷﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮﺁﻥ ﻫﺮ ﺳﺮﻭﻳﺲ ﭘﺮﻭﻛﺴﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﺑﻪ ﻛﺎﺭﺑﺮ ﺍﺟﺎﺯﺓ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ‬
‫ﺧﻮﺩ ﺭﺍ ﺑﺪﻫﺪ‪ ،‬ﻧﻮﻋﻲ ﺗﺼﺪﻳﻖ ﻫﻮﻳﺖ ﺧﻮﺩ ﺭﺍ ﻃﻠﺐ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻫﺮ ﭘﺮﻭﻛﺴﻲ ﻃﻮﺭﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻣﻲﺷﻮﺩ ﻛﻪ ﺗﻨﻬﺎ ﺯﻳﺮﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻣﺠﻤﻮﻋﺔ ﻓﺮﺍﻣﻴﻦ ﻛﺎﺭﺑﺮﺩﻱ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺭﺍ ﺣﻤﺎﻳﺖ ﻧﻤﺎﻳﺪ‪.‬‬ ‫•‬
‫ﻫﺮ ﭘﺮﻭﻛﺴﻲ ﻃﻮﺭﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻣﻲﺷﻮﺩ ﻛﻪ ﺍﺟﺎﺯﺓ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﻴﺰﺑﺎﻥ ﺧﺎﺻﻲ ﺭﺍ ﺑﺪﻫﺪ‪ .‬ﺍﻳﻦ ﺑﺪﻳﻦ ﻣﻌﻨﻲ‬ ‫•‬
‫ﺍﺳﺖ ﻛﻪ ﻣﺠﻤﻮﻋﺔ ﻓﺮﺍﻣﻴﻦ‪ /‬ﻗﺎﺑﻠﻴﺖﻫﺎ ﺗﻨﻬﺎ ﺑﻪ ﻳﻚ ﺯﻳﺮﻣﺠﻤﻮﻋﻪ ﺍﺯ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺷﺒﻜﺔ ﺣﻔﺎﻇﺖ ﺷﺪﻩ ﻣﺤﺪﻭﺩ ﮔﺮﺩﺩ‪.‬‬
‫ﻫﺮ ﭘﺮﻭﻛﺴﻲ ﺑﺎ ﺛﺒﺖ ﻛﺮﺩﻥ ﻫﻤﺔ ﺭﺧﺪﺍﺩﻫﺎﻱ ﺗﺮﺍﻓﻴﻜﻲ‪ ،‬ﺍﻃﻼﻋﺎﺕ ﻛﺎﻣﻠﻲ ﺍﺯ ﻫﺮ ﺍﺗﺼﺎﻝ ﻭ ﺯﻣﺎﻥ ﻫﺮ ﺍﺗﺼﺎﻝ ﺭﺍ ﻛﺴﺐ ﻭ‬ ‫•‬
‫ﻧﮕﻬﺪﺍﺭﻱ ﻣﻲﻛﻨﺪ‪ .‬ﻣﻤﻴﺰﻱ ﺍﺗﺼﺎﻻﺕ ﻳﻚ ﺍﺑﺰﺍﺭ ﺿﺮﻭﺭﻱ ﺑﺮﺍﻱ ﻛﺸﻒ ﻭ ﺧﻨﺜﻲ ﻛﺮﺩﻥ ﺣﻤﻼﺕ ﻣﻬﺎﺟﻤﻴﻦ ﺍﺳﺖ‪.‬‬
‫ﻫﺮ ﻣﺪﻭﻝ ﭘﺮﻭﻛﺴﻲ ﻳﻚ ﺑﺴﺘﺔ ﻧﺮﻡﺍﻓﺰﺍﺭﻱ ﻛﻮﭼﻚ ﺍﺳﺖ ﻛﻪ ﻓﻘﻂ ﺑﺮﺍﻱ ﻣﻘﺎﺻﺪ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺑﻌﻠﺖ‬ ‫•‬
‫ﺳﺎﺩﮔﻲ ﻧﺴﺒﻲ ﺁﻥ‪ ،‬ﻛﻨﺘﺮﻝ ﻛﺮﺩﻥ ﭼﻨﻴﻦ ﻣﺪﻭﻝﻫﺎﺋﻲ ﺑﺮﺍﻱ ﻛﺸﻒ ﻣﻮﺍﺭﺩ ﻧﻘﺾ ﺍﻣﻨﻴﺖ ﺳﺎﺩﻩﺗﺮ ﺍﺳﺖ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﻳﻚ‬
‫ﻛﺎﺭﺑﺮﺩ ﻣﻌﻤﻮﻝ ﭘﺴﺘﻲ ﺩﺭ ‪ UNIX‬ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﺑﻴﺶ ﺍﺯ ‪ ۲۰,۰۰۰‬ﺧﻂ ﺑﺮﻧﺎﻣﻪ ﺑﺎﺷﺪ ﺩﺭ ﺣﺎﻟﻲﻛﻪ ﻳﻚ ﭘﺮﻭﻛﺴﻲ‬
‫ﭘﺴﺘﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﻛﻤﺘﺮ ﺍﺯ ‪ ۱,۰۰۰‬ﺧﻂ ﺑﺮﻧﺎﻣﻪ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﻫﺮ ﭘﺮﻭﻛﺴﻲ ﻣﺴﺘﻘﻞ ﺍﺯ ﺳﺎﻳﺮ ﭘﺮﻭﻛﺴﻲﻫﺎﻱ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ﻣﺸﻜﻠﻲ ﺩﺭ ﻋﻤﻠﻜﺮﺩ ﻫﺮ ﭘﺮﻭﻛﺴﻲ ﭘﻴﺶ ﺁﻳﺪ‪ ،‬ﻭ ﻳﺎ‬ ‫•‬
‫ﻧﻘﻄﺔ ﺁﺳﻴﺐﭘﺬﻳﺮﻱ ﺩﺭ ﺁﻥ ﻛﺸﻒ ﮔﺮﺩﺩ‪ ،‬ﻣﻲﺗﻮﺍﻥ ﺑﺪﻭﻥ ﺍﻳﻨﻜﻪ ﻋﻤﻠﻴﺎﺕ ﻛﺎﺭﺑﺮﺩﻱ ﺳﺎﻳﺮ ﭘﺮﻭﻛﺴﻲﻫﺎ ﻣﺨﺘﻞ ﺷﻮﻧﺪ ﺁﻥ ﺭﺍ ﺍﺯ‬
‫ﺭﻭﻱ ﺳﻴﺴﺘﻢ ﺑﺮﺩﺍﺷﺖ‪ .‬ﻫﻤﭽﻨﻴﻦ ﺍﮔﺮ ﺟﻤﻊ ﻛﺎﺭﺑﺮﺍﻥ ﺑﺮﺍﻱ ﺳﺮﻭﻳﺲ ﺟﺪﻳﺪﻱ ﻧﻴﺎﺯ ﺑﻪ ﺣﻤﺎﻳﺖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ ،‬ﻣﺪﻳﺮ ﺷﺒﻜﻪ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺑﺴﻬﻮﻟﺖ ﭘﺮﻭﻛﺴﻲ ﻣﻮﺭﺩ ﻧﻴﺎﺯ ﺭﺍ ﺭﻭﻱ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﻧﺼﺐ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻳﻚ ﭘﺮﻭﻛﺴﻲ ﺑﺠﺰ ﺩﺭ ﺍﺑﺘﺪﺍ‪ ،‬ﻭ ﺑﺮﺍﻱ ﺧﻮﺍﻧﺪﻥ ﻓﺎﻳﻞ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺧﻮﺩ‪ ،‬ﻣﻌﻤﻮﻻﹰ ﻧﻴﺎﺯﻱ ﺑﻪ ﺩﺳﺘﺮﺳﻲ ﺑﻪ ﺩﻳﺴﻚ ﻧﺪﺍﺭﺩ‪ .‬ﺍﻳﻦ ﺍﻣﺮ‬ ‫•‬
‫ﻛﺎﺭ ﺭﺍ ﺑﺮﺍﻱ ﻳﻚ ﻣﻬﺎﺟﻢ ﻛﻪ ﺑﺨﻮﺍﻫﺪ ‪ sniffer‬ﺍﺳﺐ ﺗﺮﻭﺍ ﻭ ﻳﺎ ﺳﺎﻳﺮ ﻓﺎﻳﻞﻫﺎﻱ ﺧﻄﺮﻧﺎﻙ ﺭﺍ ﺭﻭﻱ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﻧﺼﺐ ﻛﻨﺪ‬
‫ﺩﺷﻮﺍﺭ ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫ﻫﺮ ﭘﺮﻭﻛﺴﻲ ﺑﺼﻮﺭﺕ ﻳﻚ ﻛﺎﺭﺑﺮ ﻓﺎﻗﺪ ﺍﻣﺘﻴﺎﺯ‪ ،‬ﺩﺭ ﻳﻚ ﺷﺎﺧﺔ ﺧﺼﻮﺻﻲ ﻭ ﺍﻣﻦ ﺭﻭﻱ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﺍﺟﺮﺍ ﻣﻲﺷﻮﺩ‪.‬‬ ‫•‬
‫‪٤٠٧‬‬ ‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﭘﻴﻜﺮﺑﻨﺪﻱﻫﺎﻱ ﺩﻳﻮﺍﺭ ﺁﺗﺶ‬
‫ﻋﻼﻭﻩ ﺑﺮ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺳﺎﺩﻩ ﺷﺎﻣﻞ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﻨﻔﺮﺩ‪ ،‬ﻫﻤﺎﻧﻨﺪ ﻣﺴﻴﺮﻳﺎﺏ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ ﻭ ﻳﺎ ﻳﻚ ﺩﺭﻭﺍﺯﺓ ﻣﻨﻔﺮﺩ‬
‫)ﺷﻜﻞ ‪ ،(۱۱-۱‬ﭘﻴﻜﺮﺑﻨﺪﻱﻫﺎﻱ ﭘﻴﭽﻴﺪﻩﺗﺮﻱ ﻧﻴﺰ ﻣﻤﻜﻦ ﺑﻮﺩﻩ ﻭ ﺩﺭ ﻭﺍﻗﻊ ﻣﻌﻤﻮﻝﺗﺮﻧﺪ‪ .‬ﺷﻜﻞ ‪ ۱۱-۲‬ﺳﻪ ﻧﻮﻉ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻣﺘﺪﺍﻭﻝ ﺩﻳﻮﺍﺭ‬
‫ﺁﺗﺶ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﻫﺮﻳﻚ ﺍﺯ ﺁﻧﻬﺎ ﺭﺍ ﺑﻨﻮﺑﺖ ﺑﺮﺭﺳﻲ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﺩﺭ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺩﻳﻮﺍﺭﺁﺗﺶ ﺣﻔﺎﻇﺖﻛﻨﻨﺪﺓ ﻣﻴﺰﺑﺎﻥ ﺑﺎ ﻳﻚ ﺩﮊ )‪(screened host firewall, single-homed bastion‬‬
‫)ﺷﻜﻞ ‪۱۱-۲‬ﺍﻟﻒ(‪ ،‬ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺷﺎﻣﻞ ﺩﻭ ﺳﻴﺴﺘﻢ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ ﻭ ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﻣﻲﺑﺎﺷﻨﺪ‪.‬‬
‫ﻣﻌﻤﻮﻻﹰ ﻣﺴﻴﺮﻳﺎﺏ ﻃﻮﺭﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻣﻲﺷﻮﺩﻛﻪ‪:‬‬
‫‪ -۱‬ﺑﺮﺍﻱ ﺗﺮﺍﻓﻴﻜﻲ ﻛﻪ ﺍﺯ ﺳﻤﺖ ﺍﻳﻨﺘﺮﻧﺖ ﻭﺍﺭﺩ ﻣﻲﺷﻮﺩ‪ ،‬ﺗﻨﻬﺎ ﺑﺴﺘﻪﻫﺎﻱ ‪ IP‬ﻛﻪ ﻣﻘﺼﺪ ﺁﻧﻬﺎ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﺍﺳﺖ ﺍﺟﺎﺯﺓ ﻭﺭﻭﺩ‬
‫ﺩﺍﺭﻧﺪ‪.‬‬
‫‪ -۲‬ﺑﺮﺍﻱ ﺗﺮﺍﻓﻴﻚ ﺧﺮﻭﺟﻲ ﺍﺯ ﺷﺒﻜﺔ ﺩﺍﺧﻠﻲ‪ ،‬ﺗﻨﻬﺎ ﺑﺴﺘﻪﻫﺎﻱ ‪ IP‬ﻛﻪ ﺍﺯ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﺻﺎﺩﺭ ﻣﻲﺷﻮﻧﺪ ﺍﺟﺎﺯﺓ ﺧﺮﻭﺝ ﺩﺍﺭﻧﺪ‪.‬‬
‫ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﻋﻤﻠﻴﺎﺕ ﺍﺣﺮﺍﺯ ﻫﻮﻳﺖ ﻭ ﭘﺮﻭﻛﺴﻲ ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺩﺍﺭﺍﻱ ﺍﻣﻨﻴﺖ ﺑﻴﺸﺘﺮﻱ ﺍﺯ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ‬
‫ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ ﻭ ﻳﺎ ﻳﻚ ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ ﺑﻮﺩﻩ ﻭ ﻋﻠﺖ ﺍﻳﻦ ﺍﻣﺮ ﺩﻭ ﭼﻴﺰ ﺍﺳﺖ‪ .‬ﺍﻭﻝ ﺍﻳﻨﻜﻪ ﺍﻳﻦ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻫﻢ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺳﻄﺢ‬
‫ﺑﺴﺘﻪ ﻭ ﻫﻢ ﻓﻴﻠﺘﺮﻳﻨﮓ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﺍﺩﻩ ﻭ ﻗﺎﺑﻠﻴﺖ ﺍﻧﻌﻄﺎﻑ ﻗﺎﺑﻞ ﻣﻼﺣﻈﻪﺍﻱ ﺩﺭ ﺗﻌﺮﻳﻒ ﺧﻂﻣﺸﻲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺑﻮﺟﻮﺩ‬
‫ﻣﻲﺁﻭﺭﺩ‪ .‬ﺩﻭﻡ ﺍﻳﻨﻜﻪ ﻳﻚ ﻣﻬﺎﺟﻢ ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﺑﺘﻮﺍﻧﺪ ﺍﻣﻨﻴﺖ ﺷﺒﻜﺔ ﺩﺍﺧﻠﻲ ﺭﺍ ﺑﻪ ﻣﺨﺎﻃﺮﻩ ﺍﻧﺪﺍﺯﺩ‪ ،‬ﻗﺎﻋﺪﺗﺎﹰ ﺑﺎﻳﺴﺘﻲ ﺍﺯ ﺩﻭ ﺳﻴﺴﺘﻢ ﻣﺠﺰﺍ‬
‫ﻋﺒﻮﺭ ﻛﻨﺪ‪.‬‬
‫ﺍﻳﻦ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻫﻤﭽﻨﻴﻦ ﺍﻧﻌﻄﺎﻓﻲ ﺭﺍ ﺩﺭ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩﻥ ﺩﺳﺘﺮﺳﻲ ﻣﺴﺘﻘﻴﻢ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﺷﺒﻜﺔ‬
‫ﺩﺍﺧﻠﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﻳﻚ ﺳِﺮﻭﺭ ﺍﻃﻼﻋﺎﺗﻲ ﻋﻤﻮﻣﻲ ﻫﻤﺎﻧﻨﺪ ﻳﻚ ﺳِﺮﻭﺭ ﻭِﺏ ﺑﻮﺩﻩ ﺑﺎﺷﺪ ﻛﻪ ﺑﺮﺍﻱ ﺁﻥ ﻧﻴﺎﺯﻱ ﺑﻪ ﺍِﻋﻤﺎﻝ‬
‫ﻣﺤﺪﻭﺩﻳﺖﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺳﻄﺢ ﺑﺎﻻ ﻧﻤﻲﺑﺎﺷﺪ‪ .‬ﺩﺭ ﭼﻨﻴﻦ ﻣﻮﺭﺩﻱ ﻣﺴﻴﺮﻳﺎﺏ ﺭﺍ ﻣﻴﺘﻮﺍﻥ ﻃﻮﺭﻱ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻛﺮﺩ ﻛﻪ ﺗﺮﺍﻓﻴﻚ ﺑﻴﻦ ﺳِﺮﻭﺭ‬
‫ﺍﻃﻼﻋﺎﺗﻲ ﻭ ﺍﻳﻨﺘﺮﻧﺖ ﺭﺍ ﻣﺴﺘﻘﻴﻤﺎﹰ ﻋﺒﻮﺭ ﺩﻫﺪ‪.‬‬
‫ﺩﺭ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺑﺎ ﻳﻚ ﺩﮊ ﻛﻪ ﺩﺭ ﺑﺎﻻ ﺫﻛﺮ ﮔﺮﺩﻳﺪ‪ ،‬ﺍﮔﺮ ﻣﺴﻴﺮﻳﺎﺏ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ ﻛﺎﻣﻼﹰ ﺩﺭ ﺍﺧﺘﻴﺎﺭ ﻣﻬﺎﺟﻢ ﻗﺮﺍﺭ‬
‫ﮔﻴﺮﺩ ﺗﺮﺍﻓﻴﻚ ﺧﻮﺍﻫﺪ ﺗﻮﺍﻧﺴﺖ ﻣﺴﺘﻘﻴﻤﺎﹰ ﺍﺯ ﺩﺭﻭﻥ ﻣﺴﻴﺮﻳﺎﺏ‪ ،‬ﺑﻴﻦ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﺳﺎﻳﺮ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﻣﺘﺼﻞ ﺑﻪ ﺷﺒﻜﺔ ﺧﺼﻮﺻﻲ ﺑﺮﻗﺮﺍﺭ‬
‫ﮔﺮﺩﺩ‪ .‬ﭘﻴﻜﺮﺑﻨﺪﻱ ﺩﻳﻮﺍﺭﺁﺗﺶ ﺣﻔﺎﻇﺖﻛﻨﻨﺪﺓ ﻣﻴﺰﺑﺎﻥ ﺑﺎ ﺩﮊ ﺩﻭﮔﺎﻧﻪ )‪(screened host firewall, dual-homed bastion‬‬
‫ﺑﻄﻮﺭ ﻓﻴﺰﻳﻜﻲ ﺍﺯ ﭼﻨﻴﻦ ﻋﻤﻞ ﺿﺪﺍﻣﻨﻴﺘﻲ ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﻛﻨﺪ )ﺷﻜﻞ ‪۱۱-۲‬ﺏ(‪ .‬ﻣﺤﺎﺳﻦ ﻻﻳﺔ ﺩﻭﮔﺎﻧﺔ ﺍﻣﻨﻴﺘﻲ ﻛﻪ ﺩﺭ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻗﺒﻞ‬
‫ﻭﺟﻮﺩ ﺩﺍﺷﺖ ﺩﺭ ﺍﻳﻨﺠﺎ ﻧﻴﺰ ﺑﺠﺎﻱ ﺧﻮﺩ ﺑﺎﻗﻲ ﺍﺳﺖ‪ .‬ﺑﺎﺯﻫﻢ ﺳِﺮﻭﺭ ﺍﻃﻼﻋﺎﺗﻲ ﻭ ﻳﺎ ﺳﺎﻳﺮ ﻣﻴﺰﺑﺎﻥﻫﺎ ﺭﺍ ﻣﻴﺘﻮﺍﻥ ﻣﺠﺎﺯ ﺑﻪ ﺍﺭﺗﺒﺎﻁ ﻣﺴﺘﻘﻴﻢ ﺑﺎ‬
‫ﻣﺴﻴﺮﻳﺎﺏ ﻧﻤﻮﺩ‪ ،‬ﺍﻟﺒﺘﻪ ﺍﮔﺮ ﺍﻳﻦ ﺍﻣﺮ ﺩﺭ ﺭﺍﺳﺘﺎﻱ ﺧﻂﻣﺸﻲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺳﻴﺴﺘﻢ ﺑﺎﺷﺪ‪.‬‬
‫ﭘﻴﻜﺮﺑﻨﺪﻱ ﺩﻳﻮﺍﺭﺁﺗﺶ ﺣﻔﺎﻇﺖﻛﻨﻨﺪﺓ ﺯﻳﺮﺷﺒﻜﻪ )‪ (screened subnet firewall‬ﺍﻣﻦﺗﺮﻳﻦ ﻧﻮﻉ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺍﺳﺖ‬
‫)ﺷﻜﻞ ‪۱۱-۲‬ﺝ(‪ .‬ﺩﺭ ﺍﻳﻦ ﭘﻴﻜﺮﺑﻨﺪﻱ‪ ،‬ﺍﺯ ﺩﻭ ﻣﺴﻴﺮﻳﺎﺏ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ ﻛﻪ ﻳﻜﻲ ﺑﻴﻦ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﻭ ﺍﻳﻨﺘﺮﻧﺖ ﻭ‬
‫ﺩﻳﮕﺮﻱ ﺑﻴﻦ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﻭ ﺷﺒﻜﺔ ﺩﺍﺧﻠﻲ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺍﻳﻦ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻳﻚ ﺯﻳﺮﺷﺒﻜﺔ ﺍﻳﺰﻭﻟﻪ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ‬
‫ﺳﺎﺩﮔﻲ ﺷﺎﻣﻞ ﻳﻚ ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ ﺑﻮﺩﻩ ﻭﻟﻲ ﻣﻲﺗﻮﺍﻧﺪ ﺷﺎﻣﻞ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﺳِﺮﻭﺭ ﺍﻃﻼﻋﺎﺗﻲ ﻭ ﻣُﻮﺩﻡ ﺑﺮﺍﻱ ﺗﻤﺎﺱ ﺗﻠﻔﻨﻲ ﺑﺎ ﺍﻳﻨﺘﺮﻧﺖ ﻧﻴﺰ‬
‫ﺑﺎﺷﺪ‪ .‬ﻣﻌﻤﻮﻻﹰ ﻫﻢ ﺍﻳﻨﺘﺮﻧﺖ ﻭ ﻫﻢ ﺷﺒﻜﺔ ﺩﺍﺧﻠﻲ ﺑﻪ ﻣﻴﺰﺑﺎﻥﻫﺎﻱ ﺭﻭﻱ ﺯﻳﺮﺷﺒﻜﺔ ﺣﻔﺎﻇﺖﺷﺪﻩ ﺩﺳﺘﺮﺳﻲ ﺩﺍﺷﺘﻪ ﻭﻟﻲ ﺗﺮﺍﻓﻴﻚ ﺩﺭﻋﺮﺽ‬
‫ﺷﺒﻜﺔ ﺣﻔﺎﻇﺖﺷﺪﻩ ﻣﺴﺪﻭﺩ ﻣﻲﺷﻮﺩ‪ .‬ﺍﻳﻦ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻣﺤﺎﺳﻦ ﻣﺘﻌﺪﺩﻱ ﺩﺍﺭﺩ‪:‬‬
‫ﻓﺼﻞ ﻳﺎﺯﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ٤٠٨
Bastion
host
Internet
Packet-
filtering
router
Information Private
server network hosts
(single-homed bastion host) Screened host ‫)ﺍﻟﻒ( ﺳﻴﺴﺘﻢ ﺩﻳﻮﺍﺭ ﺁﺗﺶ‬
Bastion
host
Internet
Packet-
filtering
router
Information Private
server network hosts
(dual-homed bastion host) Screened host ‫)ﺏ( ﺳﻴﺴﺘﻢ ﺩﻳﻮﺍﺭ ﺁﺗﺶ‬
Bastion
host
Internet Private
network
Outside Inside
router router
Information Modem
server
Screened-subnet ‫)ﺝ( ﺳﻴﺴﺘﻢ ﺩﻳﻮﺍﺭ ﺁﺗﺶ‬
‫ﭘﻴﻜﺮﺑﻨﺪﻱﻫﺎﻱ ﺩﻳﻮﺍﺭ ﺁﺗﺶ‬ ۱۱-۲ ‫ﺷﻜﻞ‬

‫‪٤٠٩‬‬ ‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺩﺭ ﺍﻳﻨﺠﺎ ﺍﺯ ﺳﻪ ﺳﺪّ ﺩﻓﺎﻋﻲ ﺩﺭ ﻣﻘﺎﺑﻞ ﻣﻬﺎﺟﻤﻴﻦ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬ ‫•‬

‫• ﻣﺴﻴﺮﻳﺎﺏ ﺧﺎﺭﺟﻲ ﺗﻨﻬﺎ ﺣﻀﻮﺭ ﺯﻳﺮﺷﺒﻜﺔ ﺣﻔﺎﻇﺖﺷﺪﻩ ﺭﺍ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﺍﻋﻼﻡ ﻣﻲﺩﺍﺭﺩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺷﺒﻜﺔ ﺩﺍﺧﻠﻲ ﺑﺮﺍﻱ ﺍﻳﻨﺘﺮﻧﺖ‬
‫ﻣﺮﺋﻲ ﻧﻤﻲﺑﺎﺷﺪ‪.‬‬
‫• ﺑﻄﺮﻳﻖ ﻣﺸﺎﺑﻪ‪ ،‬ﻣﺴﻴﺮﻳﺎﺏ ﺩﺍﺧﻠﻲ ﺗﻨﻬﺎ ﺣﻀﻮﺭ ﺯﻳﺮﺷﺒﻜﺔ ﺣﻔﺎﻇﺖﺷﺪﻩ ﺭﺍ ﺑﻪ ﺷﺒﻜﺔ ﺩﺍﺧﻠﻲ ﺍﻃﻼﻉ ﻣﻲﺩﻫﺪ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ‬
‫ﺳﻴﺴﺘﻢﻫﺎﻱ ﺩﺍﺧﻞ ﺷﺒﻜﻪ ﻧﻤﻲﺗﻮﺍﻧﻨﺪ ﺍﺭﺗﺒﺎﻁ ﻣﺴﺘﻘﻴﻤﻲ ﺑﺎ ﺍﻳﻨﺘﺮﻧﺖ ﺩﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪.‬‬
‫ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﻌﺘﻤﺪ )‪(TRUSTED SYSTEMS‬‬ ‫‪۱۱-۲‬‬
‫ﻳﻚ ﺭﻭﺵ ﺑﺮﺍﻱ ﺑﺎﻻﺑﺮﺩﻥ ﻗﺎﺑﻠﻴﺖ ﺩﻓﺎﻋﻲ ﻳﻚ ﺳﻴﺴﺘﻢ ﺩﺭ ﻣﻘﺎﺑﻞ ﻣﻬﺎﺟﻤﻴﻦ ﻭ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ‪ ،‬ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺳﻴﺴﺘﻢ‬
‫ﻣﻌﺘﻤﺪ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﻧﮕﺎﻩ ﻣﺨﺘﺼﺮﻱ ﺑﻪ ﺍﻳﻦ ﻣﻘﻮﻟﻪ ﻣﻲﺍﻧﺪﺍﺯﻳﻢ‪ .‬ﻣﻄﺎﻟﻌﻪ ﺭﺍ ﺑﺎ ﻧﮕﺎﻫﻲ ﺑﻪ ﺑﺮﺧﻲ ﻣﻔﺎﻫﻴﻢ ﺍﺳﺎﺳﻲ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‬
‫ﺑﻪ ﺩﺍﺩﻩﻫﺎ ﺁﻏﺎﺯ ﻣﻲﻛﻨﻴﻢ‪.‬‬
‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺩﺍﺩﻩﻫﺎ‬

‫ﭘﺲ ﺍﺯ ﻳﻚ ﻭﺭﻭﺩ ﻣﻮﻓﻖ ﺑﻪ ﺳﻴﺴﺘﻢ‪ ،‬ﻋﻤﻼﹰ ﺑﻪ ﻛﺎﺭﺑﺮ ﺍﺟﺎﺯﻩ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ ﺗﺎ ﺑﻪ ﻳﻚ ﻳﺎ ﭼﻨﺪ ﻣﻴﺰﺑﺎﻥ ﻭ ﺗﻌﺪﺍﺩﻱ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﻛﺎﺭﺑﺮﺩﻱ‬
‫ﺩﺳﺖ ﻳﺎﺑﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﻣﻌﻤﻮﻻﹰ ﺑﺮﺍﻱ ﺳﻴﺴﺘﻤﻲ ﻛﻪ ﺷﺎﻣﻞ ﺩﺍﺩﻩﻫﺎﻱ ﮔﺮﺍﻥﻗﻴﻤﺖ ﺩﺭ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﺧﻮﺩ ﻣﻲﺑﺎﺷﺪ‪ ،‬ﻛﺎﻓﻲ ﻧﻴﺴﺖ‪ .‬ﺍﺯ ﻃﺮﻳﻖ‬
‫ﺭﻭﺵﻫﺎﻱ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻛﺎﺭﺑﺮ‪ ،‬ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻲﺗﻮﺍﻧﺪ ﺑﻪ ﺳﻴﺴﺘﻢ ﻣﻌﺮﻓﻲ ﮔﺮﺩﺩ‪ .‬ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﻫﺮ ﻛﺎﺭﺑﺮ‪ ،‬ﻣﻴﺘﻮﺍﻥ ﻳﻚ ﭘﺮﻭﻓﺎﻳﻞ ﺍﺯ‬
‫ﻋﻤﻠﻴﺎﺕ ﻣﺠﺎﺯ ﻭ ﺩﺳﺘﺮﺳﻲﻫﺎﻱ ﻣﻤﻜﻦ ﺑﻪ ﻓﺎﻳﻞﻫﺎ ﺭﺍ ﺗﻌﺮﻳﻒ ﻛﺮﺩ‪ .‬ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺁﻧﮕﺎﻩ ﺧﻮﺍﻫﺪ ﺗﻮﺍﻧﺴﺖ ﺑﺮ ﺍﺳﺎﺱ ﭘﺮﻭﻓﺎﻳﻞ ﻛﺎﺭﺑﺮ‪،‬‬
‫ﻗﻮﺍﻧﻴﻨﻲ ﺭﺍ ﺑﻪ ﻧﺤﻮﺓ ﻋﻤﻠﻴﺎﺕ ﺍﻭ ﺍِﻋﻤﺎﻝ ﻧﻤﺎﻳﺪ‪ .‬ﺑﺎ ﻭﺟﻮﺩ ﺍﻳﻦ‪ ،‬ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﺑﺎﻳﺴﺘﻲ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺭﻛﻮﺭﺩﻫﺎﻱ ﺑﺨﺼﻮﺹ‬
‫ﻭ ﺣﺘﻲ ﺑﺨﺸﻲ ﺍﺯ ﺭﻛﻮﺭﺩﻫﺎ ﺭﺍ ﻛﻨﺘﺮﻝ ﻛﻨﺪ‪ .‬ﻣﺜﻼﹰ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﻫﻤﺔ ﺍﻓﺮﺍﺩ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻓﺎﻳﻠﻲ ﻛﻪ ﻧﺎﻡ ﭘﺮﺳﻨﻞ ﺁﻥ‬
‫ﺳﺎﺯﻣﺎﻥ ﺩﺭ ﺁﻥ ﺿﺒﻂ ﺷﺪﻩ ﺍﺳﺖ ﻣﻤﻜﻦ ﺑﻮﺩﻩ ﻭﻟﻲ ﺗﻨﻬﺎ ﺍﻓﺮﺍﺩ ﺑﺨﺼﻮﺻﻲ ﺑﺘﻮﺍﻧﻨﺪ ﺑﻪ ﺍﻃﻼﻋﺎﺕ ﺣﻘﻮﻕ ﻭ ﺩﺳﺘﻤﺰﺩ ﺁﻧﻬﺎ ﺩﺳﺖ ﻳﺎﺑﻨﺪ‪ .‬ﺍﻳﻦ‬
‫ﻣﻘﺪﺍﺭ‪ ،‬ﺑﻴﺶ ﺍﺯ ﻳﻚ ﺳﻄﺢ ﺍﺯ ﺟﺰﺋﻴﺎﺕ ﺭﺍ ﺩﺭﺑﺮ ﻣﻲﮔﻴﺮﺩ‪ .‬ﺩﺭ ﺣﺎﻟﻲ ﻛﻪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﻳﻚ ﻛﺎﺭﺑﺮ ﺍﺟﺎﺯﺓ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ‬
‫ﻳﻚ ﻓﺎﻳﻞ ﻭ ﻳﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﺭﺍ ﺍﻋﻄﺎ ﻧﻤﺎﻳﺪ‪ ،‬ﻛﻪ ﻗﺎﻋﺪﺗﺎﹰ ﭘﺲ ﺍﺯ ﺁﻥ ﻛﻨﺘﺮﻝﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺩﻳﮕﺮﻱ ﺍﻋﻤﺎﻝ ﻧﺨﻮﺍﻫﺪ ﺷﺪ‪ ،‬ﺳﻴﺴﺘﻢ‬
‫ﻣﺪﻳﺮﻳﺖ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻣﻮﺭﺩ ﻫﺮ ﺑﺎﺭ ﺗﻼﺵ ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ ﻓﺮﺩ ﺗﺼﻤﻴﻤﻲ ﺍﺗﺨﺎﺫ ﻧﻤﺎﻳﺪ‪ .‬ﺗﺼﻤﻴﻢ ﺍﻳﻦ ﻣﺪﻳﺮﻳﺖ ﻧﻪ ﺗﻨﻬﺎ ﺑﻪ‬
‫ﻣﺸﺨﺼﺎﺕ ﻛﺎﺭﺑﺮ ﻭﺍﺑﺴﺘﻪ ﺑﻮﺩﻩ ﺑﻠﻜﻪ ﺑﺴﺘﮕﻲ ﺑﻪ ﺍﻳﻦ ﺩﺍﺭﺩ ﻛﻪ ﺍﻭ ﺑﻪ ﻛﺪﺍﻡ ﺑﺨﺶ ﺩﻳﺘﺎ ﻋﻼﻗﻪ ﺩﺍﺷﺘﻪ ﻭ ﻳﺎ ﺣﺘﻲ ﺍﻳﻨﻜﻪ ﺍﻭ ﻗﺒﻼﹰ ﺑﻪ ﻛﺪﺍﻡ‬
‫ﺑﺨﺶ ﺩﺳﺖ ﻳﺎﻓﺘﻪ ﺍﺳﺖ‪.‬‬
‫ﻳﻚ ﻣﺪﻝ ﻋﻤﻮﻣﻲ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﺳﻴﺴﺘﻢ ﻣﺪﻳﺮﻳﺖ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﻭ ﻳﺎ ﻣﺪﻳﺮﻳﺖ ﻓﺎﻳﻞ ﺑﻪ ﺍﺟﺮﺍ ﮔﺬﺍﺷﺘﻪ ﻣﻲﺷﻮﺩ‪،‬‬
‫ﻣﺎﺗﺮﻳﺲ ﺩﺳﺖﻳﺎﺑﻲ )‪) (access matrix‬ﺷﻜﻞ ‪۱۱-۳‬ﺍﻟﻒ( ﺍﺳﺖ‪ .‬ﻣﺆﻟﻔﻪﻫﺎﻱ ﺍﺳﺎﺳﻲ ﻣﺪﻝ ﺑﻘﺮﺍﺭ ﺯﻳﺮﺍﻧﺪ‪:‬‬
‫ﺳﻮﮊﻩ )‪ :(subject‬ﻭﺍﺣﺪﻱ ﻛﻪ ﻗﺎﺩﺭ ﺑﻪ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻣﻮﺿﻮﻋﺎﺕ ﺍﺳﺖ‪ .‬ﻣﻌﻤﻮﻻﹰ ﻣﻔﻬﻮﻡ ﺳﻮﮊﻩ ﻣﻌﺎﺩﻝ ﻳﻚ ﭘﺮﺩﺍﺯﺵ‬ ‫•‬
‫ﺍﺳﺖ‪ .‬ﻫﺮ ﻛﺎﺭﺑﺮ ﻳﺎ ﺑﺮﻧﺎﻣﺔ ﻛﺎﺭﺑﺮﺩﻱ ﺩﺭ ﻭﺍﻗﻊ ﺑﺎ ﻛﻤﻚ ﻳﻚ ﺳﺮﻱ ﻋﻤﻠﻴﺎﺕ ﻛﻪ ﻧﻤﺎﻳﺸﮕﺮ ﺁﻥ ﻛﺎﺭﺑﺮ ﻳﺎ ﺑﺮﻧﺎﻣﻪ ﻛﺎﺭﺑﺮﺩﻱ‬
‫ﻫﺴﺘﻨﺪ‪ ،‬ﺑﻪ ﻣﻮﺿﻮﻉ ﺩﺳﺖ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫ﻣﻮﺿﻮﻉ )‪ :(object‬ﻫﺮ ﭼﻴﺰﻱ ﻛﻪ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺁﻥ ﺑﺎﻳﺪ ﻛﻨﺘﺮﻝ ﺷﻮﺩ‪ .‬ﻣﺜﺎﻝﻫﺎﻱ ﺍﻳﻦ ﻣﻮﺭﺩ ﺷﺎﻣﻞ ﻓﺎﻳﻞﻫﺎ ﻳﺎ ﺑﺨﺶﻫﺎﺋﻲ‬ ‫•‬
‫ﺍﺯ ﻳﻚ ﻓﺎﻳﻞ‪ ،‬ﺑﺮﻧﺎﻣﻪﻫﺎ ﻭ ﻗﺴﻤﺖﻫﺎﺋﻲ ﺍﺯ ﺣﺎﻓﻈﻪ ﻣﻲﺑﺎﺷﻨﺪ‪.‬‬
‫ﺣﻖ ﺩﺳﺖﻳﺎﺑﻲ‪ :‬ﺭﻭﺷﻲ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﺁﻥ ﻳﻚ ﺳﻮﮊﻩ ﺑﻪ ﻳﻚ ﻣﻮﺿﻮﻉ ﺩﺳﺘﺮﺳﻲ ﭘﻴﺪﺍ ﻣﻲﻛﻨﺪ‪ .‬ﺧﻮﺍﻧﺪﻥ‪ ،‬ﻧﻮﺷﺘﻦ ﻭ‬ ‫•‬
‫ﺍﺟﺮﺍﻛﺮﺩﻥ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻣﺜﺎﻝﻫﺎﺋﻲ ﺍﺯ ﺍﻳﻦ ﺩﺳﺖ ﻣﻲﺑﺎﺷﻨﺪ‪.‬‬
‫ﻓﺼﻞ ﻳﺎﺯﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤١٠‬‬
‫ﻳﻚ ﻣﺤﻮﺭ ﻣﺎﺗﺮﻳﺲ ﺷﺎﻣﻞ ﺳﻮﮊﻩﻫﺎﻱ ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩﺍﻱ ﺍﺳﺖ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻣﻮﺿﻮﻋﻲ ﺗﻼﺵ ﻧﻤﺎﻳﻨﺪ‪.‬‬
‫ﻧﻮﻋﺎﹰ ﺍﻳﻦ ﻟﻴﺴﺖ ﺷﺎﻣﻞ ﻛﺎﺭﺑﺮﺍﻥ ﻣﻨﻔﺮﺩ ﻭ ﻳﺎ ﮔﺮﻭﻩ ﻛﺎﺭﺑﺮﺍﻥ ﺍﺳﺖ ﻭﻟﻲ ﺩﺳﺖﻳﺎﺑﻲ ﺭﺍ ﻣﻴﺘﻮﺍﻥ ﺑﺮﺍﻱ ﺗﺮﻣﻴﻨﺎﻝﻫﺎ‪ ،‬ﻣﻴﺰﺑﺎﻥﻫﺎ ﻭ ﻳﺎ ﺑﺮﻧﺎﻣﻪﻫﺎ‬
‫ﻧﻴﺰ ﺑﺠﺎﻱ ﻛﺎﺭﺑﺮﺍﻥ ﻛﻨﺘﺮﻝ ﻧﻤﻮﺩ‪ .‬ﻣﺤﻮﺭ ﺩﻳﮕﺮ ﻣﻮﺿﻮﻋﺎﺗﻲ ﻛﻪ ﻣﻲﺗﻮﺍﻥ ﺑﻪ ﺁﻧﻬﺎ ﺩﺳﺖ ﻳﺎﻓﺖ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﺳﺎﺯﺩ‪ .‬ﺩﺭ ﺟﺰﺋﻲﺗﺮﻳﻦ ﺳﻄﺢ‬
‫ﺩﺳﺖﻳﺎﺑﻲ‪ ،‬ﻣﻮﺿﻮﻋﺎﺕ ﻣﻲﺗﻮﺍﻧﻨﺪ ﻣﻴﺪﺍﻥﻫﺎﻱ ﻣﻨﻔﺮﺩ ﺩﻳﺘﺎ ﺑﺎﺷﻨﺪ‪ .‬ﮔﺮﻭﻩﻫﺎﻱ ﻣﺘﺸﻜﻞﺗﺮ ﻣﺎﻧﻨﺪ ﺭﻛﻮﺭﺩﻫﺎ‪ ،‬ﻓﺎﻳﻞﻫﺎ ﻭ ﻳﺎ ﺣﺘﻲ ﻛﻞ ﭘﺎﻳﮕﺎﻩ‬
‫ﺩﺍﺩﻩ ﻧﻴﺰ ﻣﻲﺗﻮﺍﻧﺪ ﻣﻮﺿﻮﻉ ﻗﺎﺑﻞ ﺩﺳﺖﻳﺎﺑﻲ ﺭﺍ ﺗﺸﻜﻴﻞ ﺩﻫﻨﺪ‪ .‬ﺩﺭ ﻣﺤﻞ ﺗﻼﻗﻲ ﻫﺮ ﺳﻄﺮ ﻭ ﻫﺮ ﺳﺘﻮﻥ ﻣﺎﺗﺮﻳﺲ ﻳﺎ ﺟﺪﻭﻝ‪ ،‬ﺣﻖ‬
‫ﺩﺳﺖﻳﺎﺑﻲ ﻣﺠﺎﺯ ﺍﺯ ﻃﺮﻑ ﺁﻥ ﻛﺎﺭﺑﺮ ﺑﻪ ﺁﻥ ﻣﻮﺿﻮﻉ ﺗﻌﻴﻴﻦ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫ﺩﺭ ﻋﻤﻞ ﻳﻚ ﻣﺎﺗﺮﻳﺲ ﺩﺳﺖﻳﺎﺑﻲ ﺩﺍﺭﺍﻱ ﺧﺎﻧﻪﻫﺎﻱ ﺧﺎﻟﻲ ﺯﻳﺎﺩﻱ ﺑﻮﺩﻩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﺮﺍﻱ ﺍﺟﺮﺍﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺁﻥ ﺑﻪ ﻳﻜﻲ ﺍﺯ ﺩﻭ‬
‫ﺭﻭﺵ ﺯﻳﺮ ﻋﻤﻞ ﻣﻲﮔﺮﺩﺩ‪ .‬ﻣﺎﺗﺮﻳﺲ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﻪ ﻣﺠﻤﻮﻋﺔ ﺳﺘﻮﻥﻫﺎﻱ ﺁﻥ ﺗﺠﺰﻳﻪ ﻧﻤﻮﺩ ﻛﻪ ﺩﺭ ﻧﺘﻴﺠﻪ ﻟﻴﺴﺖﻫﺎﻱ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‬
‫)‪) (access control lists‬ﺷﻜﻞ ‪۱۱-۳‬ﺏ( ﺍﻳﺠﺎﺩ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻳﻚ ﻟﻴﺴﺖ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‪ ،‬ﺑﺮﺍﻱ ﻫﺮ ﻣﻮﺿﻮﻉ‪ ،‬ﻛﺎﺭﺑﺮﺍﻥ ﺭﺍ‬
‫ﻟﻴﺴﺖ ﻧﻤﻮﺩﻩ ﻭ ﺣﻘﻮﻕ ﺩﺳﺖﻳﺎﺑﻲ ﺁﻧﺎﻥ ﺭﺍ ﻣﺸﺨﺺ ﻣﻲﺳﺎﺯﺩ‪ .‬ﻟﻴﺴﺖ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﻳﻚ ﭘﻴﺶﻓﺮﺽ ﺑﺮﺍﻱ‬
‫ﻋﻤﻮﻡ ﺑﺎﺷﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺑﻪ ﻛﺎﺭﺑﺮﺍﻧﻲ ﻛﻪ ﻧﺎﻡ ﺁﻧﻬﺎ ﺩﺭ ﻟﻴﺴﺖ ﺫﻛﺮ ﻧﺸﺪﻩ ﺍﺳﺖ ﺍﺟﺎﺯﻩ ﻣﻲﺩﻫﺪ ﺗﺎ ﺑﻪ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺣﻘﻮﻕ ﺍﺯ ﭘﻴﺶ ﺗﻌﻴﻴﻦ‬
‫ﺷﺪﻩ ﺑﺮﺳﻨﺪ‪ .‬ﻟﻴﺴﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﺷﺎﻣﻞ ﺍﺳﺎﻣﻲ ﻛﺎﺭﺑﺮﺍﻥ ﻣﻨﻔﺮﺩ ﻭ ﻳﺎ ﮔﺮﻭﻩﻫﺎﻱ ﻛﺎﺭﺑﺮﺍﻥ ﺑﺎﺷﺪ‪.‬‬
‫ﺗﺠﺰﻳﺔ ﻟﻴﺴﺖ ﺑﻪ ﺭﺩﻳﻒﻫﺎ‪ ،‬ﺑﻠﻴﺖﻫﺎﻱ ﺗﻮﺍﻧﺎﺋﻲ )‪ (capability tickets‬ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ )ﺷﻜﻞ‪۱۱-۳‬ﺝ(‪ .‬ﻳﻚ ﺑﻠﻴﺖ ﺍﺯ ﺍﻳﻦ‬
‫ﻧﻮﻉ‪ ،‬ﻣﻮﺿﻮﻋﺎﺕ ﻣﻄﺮﺡ ﻭ ﻋﻤﻠﻴﺎﺕ ﻣﺠﺎﺯ ﻫﺮ ﻛﺎﺭﺑﺮ ﺭﻭﻱ ﺁﻧﻬﺎ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪ .‬ﻫﺮ ﻛﺎﺭﺑﺮ ﺗﻌﺪﺍﺩﻱ ﺑﻠﻴﺖ ﺩﺍﺭﺩ ﻭ ﻣﻤﻜﻦ ﺍﺳﺖ ﻣﺠﺎﺯ‬
‫ﺑﺎﺷﺪ ﺗﺎ ﺁﻧﻬﺎ ﺭﺍ ﺑﻪ ﺩﻳﮕﺮﺍﻥ ﻧﻴﺰ ﻗﺮﺽ ﺩﺍﺩﻩ ﻭ ﻳﺎ ﺍﻫﺪﺍ ﻛﻨﺪ‪ .‬ﭼﻮﻥ ﺍﻳﻦ ﺑﻠﻴﺖﻫﺎ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺩﺭ ﺟﺎﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺳﻴﺴﺘﻢ ﺧﺮﺝ ﻛﺮﺩ‪ ،‬ﺁﻧﻬﺎ‬
‫ﻣﻲﺗﻮﺍﻧﻨﺪ ﻣﺸﻜﻼﺕ ﺍﻣﻨﻴﺘﻲ ﺟﺪﻱﺗﺮﻱ ﺭﺍ ﻧﺴﺒﺖ ﺑﻪ ﻟﻴﺴﺖﻫﺎﻱ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺍﻳﺠﺎﺩ ﻧﻤﺎﻳﻨﺪ‪ .‬ﻋﻠﻲﺍﻟﺨﺼﻮﺹ‪ ،‬ﺑﻠﻴﺖ ﺑﺎﻳﺴﺘﻲ‬
‫ﻏﻴﺮﻗﺎﺑﻞ ﺟﻌﻞ ﺑﺎﺷﺪ‪ .‬ﻳﻜﻲ ﺍﺯ ﺭﺍﻩﻫﺎﻱ ﺍﺟﺮﺍﺋﻲ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻠﻲ ﺍﺳﺘﻔﺎﺩﻩ ﻧﻤﻮﺩ ﻛﻪ ﺗﻤﺎﻡ ﺑﻠﻴﺖﻫﺎ ﺭﺍ‪ ،‬ﺑﺠﺎﻱ ﻧﺰﺩ ﻛﺎﺭﺑﺮ‪ ،‬ﻧﺰﺩ‬
‫ﺧﻮﺩ ﻧﮕﺎﻩ ﺩﺍﺭﺩ‪ .‬ﺍﻳﻦ ﺑﻠﻴﺖﻫﺎ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﻧﺎﺣﻴﻪﺍﻱ ﺍﺯ ﺣﺎﻓﻈﻪ ﻧﮕﻬﺪﺍﺭﻱ ﺷﻮﻧﺪ ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮﺍﻥ ﻗﺎﺑﻞ ﺩﺳﺘﺮﺱ ﻧﺒﺎﺷﺪ‪.‬‬
‫ﻣﻔﻬﻮﻡ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﻌﺘﻤﺪ‬
‫ﺑﻴﺸﺘﺮ ﺁﻧﭽﻪ ﺗﺎ ﺑﺤﺎﻝ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗﺮﺍﺭ ﮔﺮﻓﺘﻪ ﺍﺳﺖ‪ ،‬ﻣﺮﺑﻮﻁ ﺑﻪ ﺣﻔﺎﻇﺖ ﻳﻚ ﭘﻴﺎﻡ ﻭ ﻳﺎ ﻣﻘﻮﻟﻪﺍﻱ ﻧﻈﻴﺮ ﺁﻥ ﺩﺭ ﺑﺮﺍﺑﺮ ﺣﻤﻠﺔ ﻓﻌﺎﻝ ﻭ ﻳﺎ‬
‫ﻏﻴﺮﻓﻌﺎﻝ ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﺸﺨﺺ ﺑﻮﺩﻩ ﺍﺳﺖ‪ .‬ﻧﻴﺎﺯ ﻣﺘﻔﺎﻭﺕ ﺩﻳﮕﺮﻱ ﻛﻪ ﺑﻄﻮﺭ ﮔﺴﺘﺮﺩﻩ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺳﺖ‪ ،‬ﺣﻔﺎﻇﺖ ﺩﺍﺩﻩﻫﺎ ﻳﺎ ﻣﻨﺎﺑﻊ ﺑﺮ‬
‫ﺍﺳﺎﺱ ﺳﻄﻮﺡ ﻣﺘﻔﺎﻭﺕ ﺍﻣﻨﻴﺘﻲ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺭﺍ ﻣﻌﻤﻮﻻﹰ ﺩﺭ ﺍﺭﺗﺶ‪ ،‬ﻛﻪ ﺩﺭ ﺁﻧﺠﺎ ﺍﻃﻼﻋﺎﺕ ﺑﻪ ﺍﻧﻮﺍﻉ ﻃﺒﻘﻪﺑﻨﺪﻱ ﻧﺸﺪﻩ )‪ ،(U‬ﻣﺤﺮﻣﺎﻧﻪ‬
‫)‪ ،(C‬ﺳﺮﻱ )‪ ،(S‬ﻓﻮﻕ ﺳﺮﻱ )‪ (TS‬ﻭ ﺑﺎﻻﺗﺮ ﺍﺯ ﺁﻥ ﺩﺳﺘﻪﺑﻨﺪﻱ ﺷﺪﻩﺍﻧﺪ‪ ،‬ﻣﻲﺗﻮﺍﻥ ﻣﺸﺎﻫﺪﻩ ﻛﺮﺩ‪ .‬ﺍﻳﻦ ﻣﻔﻬﻮﻡ ﺩﺭ ﺳﺎﻳﺮ ﺯﻣﻴﻨﻪﻫﺎ ﻧﻴﺰ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﻭ ﺍﻃﻼﻋﺎﺕ ﺭﺍ ﺑﻪ ﺩﺳﺘﻪﻫﺎﻱ ﻣﺘﻔﺎﻭﺕ ﺗﻘﺴﻴﻢ ﻛﺮﺩ‪ .‬ﺑﺮﺍﻱ ﻫﺮ ﻛﺎﺭﺑﺮ ﻧﻴﺰ ﻣﻲﺗﻮﺍﻥ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺠﺎﺯ ﺑﻪ‬
‫ﺩﺳﺘﻪﺍﻱ ﺍﺯ ﺍﻃﻼﻋﺎﺕ ﻭ ﻣﻤﻨﻮﻋﻴﺖ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺑﺨﺶﻫﺎﻱ ﺩﻳﮕﺮ ﺭﺍ ﺗﻌﻴﻴﻦ ﻧﻤﻮﺩ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ‪ ،‬ﺑﺎﻻﺗﺮﻳﻦ ﺳﻄﺢ ﺍﻣﻨﻴﺖ ﻣﻤﻜﻦ ﺍﺳﺖ‬
‫ﻣﺘﻌﻠﻖ ﺑﻪ ﺍﺳﻨﺎﺩ ﻭ ﺩﺍﺩﻩﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺳﻴﺎﺳﺖﻫﺎﻱ ﺍﺳﺘﺮﺍﺗﮋﻳﻚ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﺑﺎﺷﺪﻛﻪ ﻓﻘﻂ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﺩﺳﺘﺮﺱ ﻫﻴﺌﺖ ﻣﺪﻳﺮﺓ‬
‫ﺳﺎﺯﻣﺎﻥ ﻭ ﻋﻮﺍﻣﻞ ﺍﻭ ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ‪ .‬ﺩﺭ ﺭﺩﺓ ﺑﻌﺪﻱ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺳﻨﺎﺩ ﺣﺴﺎﺱ ﻣﺎﻟﻲ ﻭ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ ﭘﺮﺳﻨﻞ ﻗﺮﺍﺭ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪﻛﻪ‬
‫ﻓﻘﻂ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﺩﺳﺘﺮﺱ ﭘﺮﺳﻨﻞ ﻣﺪﻳﺮﻳﺖ ﺍﻣﻮﺭ ﺍﺩﺍﺭﻱ ﻭ ﻣﺎﻟﻲ ﻭ ﻋﻮﺍﻣﻞ ﺁﻧﻬﺎ ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ‬
‫ﻭﻗﺘﻲ ﺩﺳﺘــﻪﻫﺎ ﻭ ﻳــﺎ ﺳﻄــﻮﺡ ﻣﺘﻔﺎﻭﺕ ﺩﺍﺩﻩﻫﺎ ﻣﻄــﺮﺡ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﻧﻴﺎﺯ ﺍﻣﻨﻴﺘﻲ ﺁﻧﻬــﺎ ﺭﺍ ﺍﻣﻨﻴﺖ ﭼﻨﺪ ﺳﻄﺤﻪ‬
‫)‪ (multilevel security‬ﺧﻮﺍﻧﻨﺪ‪ .‬ﺑﻴﺎﻥ ﻋﻤﻮﻣﻲ ﻣﺴﺎﻟﻪ ﺍﻣﻨﻴﺖ ﭼﻨﺪﺳﻄﺤﻪ ﺑﺪﻳﻦ ﺗﺮﺗﻴﺐ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﻛﺎﺭﺑﺮ ﺳﻄﺢ ﺑﺎﻻﺗﺮ ﻣﻤﻜﻦ‬
‫ﻧﻴﺴﺖ ﺍﻃﻼﻋﺎﺕ ﺭﺍ ﺑﻪ ﻳﻚ ﻛﺎﺭﺑﺮ ﺳﻄﺢ ﭘﺎﺋﻴﻦﺗﺮ ﻭ ﻳﺎ ﺳﻄﺢ ﻏﻴﺮﻗﺎﺑﻞ ﻣﻘﺎﻳﺴﻪ ﺑﺎ ﺧﻮﺩ ﺑﺪﻫﺪ ﻣﮕﺮ ﺍﻳﻨﻜﻪ ﺍﻳﻦ ﺍﻣﺮ ﺑﺎ ﺩﻗﺖ ﻛﺎﻣﻞ ﺍﺯ ﺍﺭﺍﺩﺓ‬
‫ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻌﺘﺒﺮ ﻧﺎﺷﻲ ﺷﺪﻩ ﺑﺎﺷﺪ‪ .‬ﺑﺮﺍﻱ ﺍﺟﺮﺍﻱ ﺍﻳﻦ ﻫﺪﻑ‪ ،‬ﺍﻳﻦ ﻧﻴﺎﺯ ﺑﻪ ﺩﻭ ﺑﺨﺶ ﺗﻘﺴﻴﻢ ﺷﺪﻩ ﻭ ﺑﺴﺎﺩﮔﻲ ﺑﻴﺎﻥ ﮔﺮﺩﻳﺪﻩ ﺍﺳﺖ‪ .‬ﻳﻚ‬
‫ﺳﻴﺴﺘﻢ ﺍﻣﻦ ﭼﻨﺪ ﺳﻄﺤﻪ ﺑﺎﻳﺴﺘﻲ ﺩﻭ ﻗﺎﻧﻮﻥ ﺯﻳﺮ ﺭﺍ ﺭﻋﺎﻳﺖ ﻧﻤﺎﻳﺪ‪:‬‬
‫‪٤١١‬‬ ‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪Program1‬‬ ‫‪...‬‬ ‫‪Segment A‬‬ ‫‪Segment B‬‬

‫‪Process 1‬‬ ‫‪Read‬‬ ‫‪Read‬‬
‫‪Execute‬‬ ‫‪Write‬‬
‫‪Process 2‬‬ ‫‪Read‬‬
‫‪.‬‬
‫‪.‬‬
‫‪.‬‬
‫)ﺍﻟﻒ( ﻣﺎﺗﺮﻳﺲ ﺩﺳﺖﻳﺎﺑﻲ‬
‫‪Access control list for Program 1:‬‬

‫)‪Process1 (Read,Execute‬‬
‫‪Access control list for segment A:‬‬
‫)‪Process1 (Read,Write‬‬
‫‪Access control list for Segment B:‬‬
‫)‪Process2 (Read‬‬
‫)ﺏ( ﻟﻴﺴﺖ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‬
‫‪Capability list for Process1:‬‬

‫)‪Program1 (Read,Execute‬‬
‫)‪Segment A (Read,Write‬‬
‫‪Capability list for Process2:‬‬
‫)‪Segment B (Read‬‬
‫)ﺝ( ﻟﻴﺴﺖ ﺗﻮﺍﻧﺎﺋﻲﻫﺎ‬
‫ﺳﺎﺧﺘﺎﺭ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‬ ‫ﺷﻜﻞ ‪۱۱-۳‬‬

‫‪.‬‬
‫ﻧﺨﻮﺍﻧﺪﻥ ﺳﻄﺢ ﺑﺎﻻﺗﺮ‪ :‬ﻳﻚ ﺳﻮﮊﻩ ﺗﻨﻬﺎ ﻣﻲﺗﻮﺍﻧﺪ ﻣﻮﺿﻮﻋﻲ ﺭﺍ ﺑﺨﻮﺍﻧﺪ ﻛﻪ ﺩﺭ ﺳﻄﺢ ﺍﻭ ﻭ ﻳﺎ ﭘﺎﺋﻴﻦﺗﺮ ﺍﺯ ﺳﻄﺢ ﺍﻭ ﻗﺮﺍﺭ ﺩﺍﺷﺘﻪ‬ ‫•‬
‫ﺑﺎﺷﺪ‪ .‬ﺍﻳﻦ ﺍﻣﺮ ﺭﺍ ﻣﻌﻤﻮﻻﹰ ﺧﺎﺻﻴﺖ ﺍﻣﻨﻴﺘﻲ ﺳﺎﺩﻩ )‪ (Simple Security Property‬ﮔﻮﻳﻨﺪ‪.‬‬
‫ﻧﻨﻮﺷﺘﻦ ﺩﺭ ﺳﻄﺢ ﭘﺎﺋﻴﻦﺗﺮ‪ :‬ﻳﻚ ﺳﻮﮊﻩ ﺗﻨﻬﺎ ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﻣﻮﺿﻮﻋﻲ ﺩﺧﻞ ﺗﺼﺮﻑ ﻧﻤﺎﻳﺪ ﻛﻪ ﺩﺭ ﺳﻄﺢ ﺍﻭ ﻭ ﻳﺎ ﺑﺎﻻﺗﺮ ﺍﺯ ﺳﻄﺢ‬ ‫•‬
‫ﺍﻭ ﻗﺮﺍﺭ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﺩﺭ ﻣﺘﻮﻥ ﺍﻣﻨﻴﺘﻲ ﺍﻳﻦ ﺍﻣﺮ ﺭﺍ ‪ (star property) *-Property‬ﮔﻮﻳﻨﺪ‪.‬‬
‫ﺍﮔﺮ ﺍﻳﻦ ﺩﻭ ﻗﺎﻋﺪﻩ ﺑﻄﻮﺭ ﺻﺤﻴﺢ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﻮﻧﺪ‪ ،‬ﺍﻣﻨﻴﺖ ﭼﻨﺪ ﺳﻄﺤﻪ ﺍﻳﺠﺎﺩ ﺧﻮﺍﻫﺪ ﺷﺪ‪ .‬ﺑﺮﺍﻱ ﻳﻚ ﺳﻴﺴﺘﻢ ﭘﺮﺩﺍﺯﺵ ﺩﺍﺩﻩﻫﺎ‪،‬‬
‫ﺭﻭﺷﻲ ﻛﻪ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﻭ ﻣﻮﺿﻮﻉ ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﺗﺤﻘﻴﻘﺎﺕ ﺑﻮﺩﻩ ﺍﺳﺖ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ )‪ (reference monitor‬ﺍﺳﺖ‪.‬‬
‫ﺍﻳﻦ ﺭﻭﺵ ﺑﺮﺧﻮﺭﺩ ﺑﺎ ﻣﺴﺄﻟﻪ ﺩﺭ ﺷﻜﻞ ‪ ۱۱-۴‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ ﻳﻚ ﻭﺍﺣﺪ ﻛﻨﺘﺮﻝﻛﻨﻨﺪﺓ ﺩﺭ ﺳﺨﺖﺍﻓﺰﺍﺭ ﻭ ﺳﻴﺴﺘﻢ‬
‫ﻋﺎﻣﻞ ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﻮﺩﻩ ﻭ ﻧﺤﻮﺓ ﺩﺳﺖﻳﺎﺑﻲ ﻛﺎﺭﺑﺮﺍﻥ ﺑﻪ ﻣﻮﺿﻮﻋﺎﺕ ﺭﺍ ﺑﺮ ﻣﺒﻨﺎﻱ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺳﻮﮊﻩ ﻭ ﻣﻮﺿﻮﻉ ﻗﺎﻧﻮﻥﻣﻨﺪ‬
‫ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ ﺑﻪ ﻓﺎﻳﻠﻲ ﺑﻪ ﻧﺎﻡ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﻫﺴﺘﺔ ﻣﺮﻛﺰﻱ ﺍﻣﻨﻴﺖ )‪ (security kernel database‬ﺩﺳﺘﺮﺳﻲ ﺩﺍﺷﺘﻪ ﻛﻪ‬
‫ﺩﺭ ﺁﻥ ﺍﻣﺘﻴﺎﺯﺍﺕ ﺩﺳﺖﻳﺎﺑﻲ ﻫﺮ ﺳﻮﮊﻩ ﻭ ﺳﻄﻮﺡ ﺣﻔﺎﻇﺘﻲ ﻫﺮ ﻣﻮﺿﻮﻉ ﻟﻴﺴﺖ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ ﻗﻮﺍﻋﺪ ﺍﻣﻨﻴﺘﻲ )ﻧﺨﻮﺍﻧﺪﻥ ﺳﻄﺢ‬
‫ﺑﺎﻻﺗﺮ ﻭ ﻧﻨﻮﺷﺘﻦ ﺩﺭ ﺳﻄﺢ ﭘﺎﺋﻴﻦﺗﺮ( ﺭﺍ ﺑﻪ ﺍﺟﺮﺍ ﮔﺬﺍﺷﺘﻪ ﻭ ﺩﺍﺭﺍﻱ ﺧﺼﻮﺻﻴﺎﺕ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫ﻓﺼﻞ ﻳﺎﺯﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤١٢‬‬
‫ﻭﺳﺎﻃﺖ ﻛﺎﻣﻞ‪ :‬ﻗﻮﺍﻋﺪ ﺍﻣﻨﻴﺘﻲ ﺩﺭ ﻫﺮﺑﺎﺭ ﺩﺳﺖﻳﺎﺑﻲ‪ ،‬ﻭ ﻧﻪ ﻣﺜﻼﹰ ﻓﻘﻂ ﺯﻣﺎﻥ ﺑﺎﺯﺷﺪﻥ ﻳﻚ ﻓﺎﻳﻞ‪ ،‬ﺑﻪ ﺍﺟﺮﺍ ﮔﺬﺍﺷﺘﻪ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫•‬
‫ﺍﻳﺰﻭﻻﺳﻴﻮﻥ‪ :‬ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ ﻭ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﺩﺭ ﻣﻘﺎﺑﻞ ﺩﺳﺘﻜﺎﺭﻱﻫﺎﻱ ﻏﻴﺮﻣﺴﺌﻮﻻﻧﻪ ﺣﻔﺎﻇﺖ ﻣﻲﺷﻮﻧﺪ‪.‬‬ ‫•‬
‫ﻗﺎﺑﻠﻴﺖ ﺗﺎﺋﻴﺪ‪ :‬ﺻﺤﺖ ﻋﻤﻞ ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ ﺑﺎﻳﺴﺘﻲ ﻗﺎﺑﻞ ﺍﺛﺒﺎﺕ ﺑﺎﺷﺪ‪ .‬ﻳﻌﻨﻲ ﺑﺎﻳﺴﺘﻲ ﺑﺘﻮﺍﻥ ﺍﺯ ﻧﻈﺮ ﺭﻳﺎﺿﻲ ﺛﺎﺑﺖ ﻧﻤﻮﺩ ﻛﻪ‬ ‫•‬
‫ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ ﻗﻮﺍﻋﺪ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺑﻪ ﺍﺟﺮﺍ ﮔﺬﺍﺷﺘﻪ ﻭ ﺩﺧﺎﻟﺖ ﻛﺎﻣﻞ ﻭ ﺍﻳﺰﻭﻻﺳﻴﻮﻥ ﺭﺍ ﺑﻮﺟﻮﺩ ﻣﻲﺁﻭﺭﺩ‪.‬‬
‫ﺷﺮﺍﻳﻂ ﺑﺎﻻ ﺑﺴﻴﺎﺭ ﻣﺤﻜﻢﺍﻧﺪ‪ .‬ﻧﻴﺎﺯ ﺑﻪ ﻭﺳﺎﻃﺖ ﻛﺎﻣﻞ ﺑﺪﻳﻦ ﻣﻌﻨﻲ ﺍﺳﺖ ﻛﻪ ﻫﺮ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺩﻳﺘﺎ ﺩﺭ ﺣﺎﻓﻈﺔ ﺍﺻﻠﻲ ﻭ ﺭﻭﻱ‬
‫ﺩﻳﺴﻚ ﻭ ﻧﻮﺍﺭ‪ ،‬ﺑﺎﻳﺴﺘﻲ ﺑﺎ ﻭﺍﺳﻄﻪ ﺑﺎﺷﺪ‪ .‬ﺍﮔﺮ ﻗﺮﺍﺭ ﺑﺎﺷﺪ ﻛﻪ ﺍﻳﻦ ﺍﻣﺮ ﺻﺮﻓﺎﹰ ﺍﺯ ﻃﺮﻳﻖ ﻧﺮﻡﺍﻓﺰﺍﺭ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪ ،‬ﭘﻨﺎﻟﺘﻲ ﻋﻤﻠﻜﺮﺩ ﻗﺎﺑﻞ ﺗﺤﻤﻞ‬
‫ﻧﺨﻮﺍﻫﺪ ﺑﻮﺩ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺣﺪﺍﻗﻞ ﺑﺨﺸﻲ ﺍﺯ ﺭﺍﻩ ﺣﻞ ﻣﺴﺎﻟﻪ ﺭﺍ ﺑﺎﻳﺴﺘﻲ ﺩﺭ ﺳﺨﺖﺍﻓﺰﺍﺭ ﺍﺟﺮﺍ ﻧﻤﻮﺩ‪ .‬ﻧﻴﺎﺯ ﺑﻪ ﺍﻳﺰﻭﻻﺳﻴﻮﻥ ﺑﺪﻳﻦ ﻣﻌﻨﻲ ﺍﺳﺖ‬
‫ﻛﻪ ﻳﻚ ﻣﻬﺎﺟﻢ ﻫﺮﭼﻘﺪﺭ ﺯﺭﻧﮓ ﺑﺎﺷﺪ ﻧﺒﺎﻳﺴﺘﻲ ﺑﺘﻮﺍﻧﺪ ﻣﻨﻄﻖ ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ ﻭ ﻳﺎ ﻣﺤﺘﻮﻳﺎﺕ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﻫﺴﺘﺔ ﻣﺮﻛﺰﻱ ﺍﻣﻨﻴﺖ ﺭﺍ ﺗﻐﻴﻴﺮ‬
‫ﺩﻫﺪ‪ .‬ﺑﺎﻻﺧﺮﻩ ﻧﻴﺎﺯ ﺑﻪ ﺍﺛﺒﺎﺕ ﺭﻳﺎﺿﻲ ﻣﻄﻠﺐ ﺑﺮﺍﻱ ﺳﻴﺴﺘﻤﻲ ﭘﻴﭽﻴﺪﻩ ﻫﻤﺎﻧﻨﺪ ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﺎ ﻗﺎﺑﻠﻴﺖﻫﺎﻱ ﻋﺎﻡ‪ ،‬ﻛﺎﺭﻱ ﻓﻮﻕ ﺗﺼﻮﺭ ﺍﺳﺖ‪.‬‬
‫ﺳﻴﺴﺘﻤﻲ ﻛﻪ ﺑﺘﻮﺍﻧﺪ ﭼﻨﻴﻦ ﻗﺎﺑﻠﻴﺖﻫﺎﺋﻲ ﺭﺍ ﻓﺮﺍﻫﻢ ﺁﻭﺭﺩ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﻌﺘﻤﺪ )‪ (trusted system‬ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻳﻚ ﻋﻨﺼﺮ ﻧﻬﺎﺋﻲ ﻛﻪ ﺩﺭ ﺷﻜﻞ ‪ ۱۱-۴‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ ،‬ﻳﻚ ﻓﺎﻳﻞ ﻣﻤﻴﺰﻱ )‪ (audit‬ﺍﺳﺖ‪ .‬ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﻣﻬﻢ ﺍﻣﻨﻴﺘﻲ‬
‫ﻫﻤﺎﻧﻨﺪ ﻧﻘﺾ ﻣﻘﺮﺭﺍﺕ ﺍﻣﻨﻴﺘﻲ ﻭ ﻫﻤﭽﻨﻴﻦ ﺗﻐﻴﻴﺮﺍﺕ ﻣﺠﺎﺯ ﺩﺭ ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ ﻫﺴﺘﺔ ﻣﺮﻛﺰﻱ ﺍﻣﻨﻴﺖ‪ ،‬ﺩﺭ ﻓﺎﻳﻞ ﻣﻤﻴﺰﻱ ﺫﺧﻴﺮﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻓﺎﻳﻞ ﻣﻤﻴﺰﻱ‬
‫ﭘﺎﻳﺸﮕـﺮﻣﺮﺟـﻊ‬
‫)ﺧﻂ ﻣﺸﻲ(‬
‫ﺳﻮﮊﻩﻫﺎ‬ ‫ﻣﻮﺿﻮﻋﺎﺕ‬
‫ﭘﺎﻳﮕﺎﻩ ﺩﺍﺩﻩ‬
‫ﻫﺴﺘﺔ ﻣﺮﻛﺰﻱ ﺍﻣﻨﻴﺖ‬
‫ﺳﻮﮊﻩ‪ :‬ﻣﺠﻮﺯ ﺍﻣﻨﻴﺘﻲ‬
‫ﻣﻮﺿﻮﻉ‪ :‬ﻃﺒﻘﻪﺑﻨﺪﻱ ﺍﻣﻨﻴﺘﻲ‬
‫ﻣﻔﻬﻮﻡ ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ‬ ‫ﺷﻜﻞ ‪۱۱-۴‬‬

‫‪٤١٣‬‬ ‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺩﺭ ﺗﻼﺵ ﺑﺮﺍﻱ ﺗﺄﻣﻴﻦ ﻧﻴﺎﺯﻫﺎﻱ ﺧﻮﺩ ﻭ ﻫﻤﭽﻨﻴﻦ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﻳﻚ ﺭﻭﺵ ﻋـﺎﻡ‪ ،‬ﻭﺯﺍﺭﺕ ﺩﻓـﺎﻉ ﺍﻣﺮﻳﻜـﺎ ﺩﺭ ﺳـﺎﻝ ‪ ۱۹۸۱‬ﻣﺮﻛـﺰ‬
‫ﺍﻣﻨﻴﺖ ﻛﺎﻣﭙﻴﻮﺗﺮ)‪ (Computer Security Center‬ﺩﺭ ﺁﮊﺍﻧﺲ ﺍﻣﻨﻴﺖ ﻣﻠـﻲ )‪ (NSA‬ﺭﺍ ﺑـﺎ ﻫـﺪﻑ ﺗـﺸﻮﻳﻖ ﺑـﻪ ﺍﻳﺠـﺎﺩ ﮔـﺴﺘﺮﺩﺓ‬
‫ﺳﻴﺴﺘﻢﻫﺎﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﻣﻌﺘﻤﺪ ﺗﺄﺳﻴﺲ ﻧﻤﻮﺩ‪ .‬ﺍﻳﻦ ﻫﺪﻑ‪ ،‬ﺍﺯ ﻃﺮﻳﻖ ﺧﻠﻖ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﺍﺭﺯﻳﺎﺑﻲ ﻣﺤﺼﻮﻻﺕ ﺗﺠﺎﺭﻱ ﺩﻧﺒﺎﻝ ﮔﺮﺩﻳﺪ‪ .‬ﺑﻄـﻮﺭ‬
‫ﺧﻼﺻﻪ‪ ،‬ﺍﻳﻦ ﻣﺮﻛﺰ ﺗﻼﺵ ﻣﻴﻜﻨﺪ ﺗﺎ ﻣﺤﺼﻮﻻﺕ ﺗﺠﺎﺭﻱ ﻣﻮﺟﻮﺩ ﺭﺍ ﺍﺯ ﻧﻈﺮ ﺑﺮﺁﻭﺭﺩﻥ ﻻﺯﻣﻪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻓﻮﻕﺍﻟﺬﻛﺮ ﺍﺭﺯﻳﺎﺑﻲ ﻧﻤﺎﻳﺪ‪ .‬ﻣﺮﻛﺰ‪،‬‬
‫ﻣﺤﺼﻮﻻﺕ ﺍﺭﺯﻳﺎﺑﻲ ﺷﺪﻩ ﺭﺍ ﺑﺮﺣﺴﺐ ﻧﻮﻉ ﻣﺸﺨﺼﻪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻓﺮﺍﻫﻢ ﺁﻣﺪﻩ ﻃﺒﻘﻪﺑﻨﺪﻱ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﺍﺭﺯﻳﺎﺑﻲﻫﺎ ﺩﺭ ﺭﺍﺳـﺘﺎﻱ ﺍﻫـﺪﺍﻑ‬
‫ﻭﺯﺍﺭﺕ ﺩﻓﺎﻉ ﺍﻣﺮﻳﻜﺎ ﺑﻮﺩﻩ ﻭﻟﻲ ﺑﺮﺍﻱ ﻋﻤﻮﻡ ﻫﻢ ﺍﻧﺘﺸﺎﺭ ﻳﺎﻓﺘﻪ ﻭ ﺩﺭ ﺩﺳﺘﺮﺱ ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﺑﻨـﺎﺑﺮﺍﻳﻦ ﺍﻳـﻦ ﺍﺳـﻨﺎﺩ ﻣـﻲﺗﻮﺍﻧﻨـﺪ ﺑـﺮﺍﻱ ﺧﺮﻳـﺪ‬
‫ﻣﺤﺼﻮﻻﺕ ﺗﺠﺎﺭﻱ ﻣﻮﺟﻮﺩ ﺩﺭ ﺑﺎﺯﺍﺭ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﺓ ﻣﺸﺘﺮﻳﺎﻥ ﺗﺠﺎﺭﻱ ﻧﻴﺰ ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ‪.‬‬
‫ﺩﻓﺎﻉ ﺍﺳﺐ ﺗﺮﻭﺍ )‪(Trojan Horse‬‬
‫ﻳﻜﻲ ﺍﺯ ﺭﺍﻩﻫﺎﻱ ﺍﻳﺠﺎﺩ ﺍﻣﻨﻴﺖ ﺩﺭ ﻣﻘﺎﺑﻞ ﺣﻤﻼﺕ ﺍﺳﺐ ﺗﺮﻭﺍ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺍﻣﻦ ﻭ ﻣﻌﺘﻤﺪ ﺍﺳﺖ‪ .‬ﺷﻜﻞ ‪ ۱۱-۵‬ﻣﺜﺎﻟﻲ ﺍﺯ‬
‫ﺍﻳﻦ ﺩﺳﺖ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻮﺭﺩ ﺍﺯ ﻳﻚ ﺍﺳﺐ ﺗﺮﻭﺍ ﺑﺮﺍﻱ ﺩﻭﺭ ﺯﺩﻥ ﻣﻜﺎﻧﻴﺴﻢ ﺍﻣﻨﻴﺘﻲ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻱ ﻛﻪ ﺑﺘﻮﺳﻂ ﺑﻴﺸﺘﺮ‬
‫ﻣﺪﻳﺮﻳﺖﻫﺎﻱ ﻓﺎﻳﻞ ﻭ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻋﺎﻣﻞ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ‪ ،‬ﻳﻌﻨﻲ ﻟﻴﺴﺖ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‪ ،‬ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﺜﺎﻝ‬
‫ﻛﺎﺭﺑﺮﻱ ﺑﻨﺎﻡ ‪ Bob‬ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﺑﺮﻧﺎﻣﻪ‪ ،‬ﺑﻪ ﻳﻚ ﻓﺎﻳﻞ ﺩﺍﺩﻩ ﻛﻪ ﺷﺎﻣﻞ ﺩﻧﺒﺎﻟﻪﻫﺎﻱ ﺑﺴﻴﺎﺭ ﻣﻬﻢ ﻭ ﺣﺴﺎﺱ "‪ "CPE170KS‬ﺍﺳﺖ‬
‫ﺩﺳﺘﺮﺳﻲ ﺩﺍﺭﺩ‪ Bob .‬ﻓﺎﻳﻞ ﺭﺍ ﭼﻨﺎﻥ ﺧﻠﻖ ﻛﺮﺩﻩ ﺍﺳﺖ ﻛﻪ ﺍﺟﺎﺯﺓ ﻧﻮﺷﺘﻦ‪/‬ﺧﻮﺍﻧﺪﻥ ﺭﺍ ﺗﻨﻬﺎ ﺑﻪ ﺑﺮﻧﺎﻣﻪﻫﺎﺋﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﺧﻮﺩﺵ ﺍﺟﺮﺍ‬
‫ﻣﻲﺷﻮﺩ ﻣﻲﺩﻫﺪ‪ ،‬ﻳﻌﻨﻲ ﺗﻨﻬﺎ ﭘﺮﺩﺍﺯﺵﻫﺎﺋﻲ ﻛﻪ ﻣﺘﻌﻠﻖ ﺑﻪ ‪ Bob‬ﻫﺴﺘﻨﺪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﻪ ﻓﺎﻳﻞ ﺩﺳﺖﻳﺎﺑﻨﺪ‪.‬‬
‫ﺣﻤﻠﺔ ﺍﺳﺐ ﺗﺮﻭﺍ ﺯﻣﺎﻧﻲ ﺁﻏﺎﺯ ﻣﻲﺷﻮﺩ ﻛﻪ ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻬﺎﺟﻢ ﺑﻨﺎﻡ ‪ Alice‬ﺑﺎ ﺩﺳﺖﻳﺎﺑﻲ ﻣﺠﺎﺯ ﺑﻪ ﺳﻴﺴﺘﻢ ﺭﺍﻩ ﻳﺎﻓﺘﻪ ﻭ ﻳﻚ‬
‫ﺑﺮﻧﺎﻣﻪ ﺍﺳﺐ ﺗﺮﻭﺍ ﺑﻪ ﻫﻤﺮﺍﻩ ﻳﻚ ﻓﺎﻳﻞ ﺧﺼﻮﺻﻲ ﻛﻪ ﻗﺮﺍﺭ ﺍﺳﺖ ﺩﺭ ﺣﻤﻠﻪ ﺑﻌﻨﻮﺍﻥ ﺟﻴﺐ ﻣﺨﻔﻲ ﺑﻜﺎﺭ ﺭﻭﺩ ﺭﺍ ﺩﺭ ﺳﻴﺴﺘﻢ ﻧﺼﺐ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ Alice‬ﺑﺮﺍﻱ ﺍﻳﻦ ﻓﺎﻳﻞ ﺑﺨﻮﺩﺵ ﺍﺟــﺎﺯﻩ ﻧﻮﺷﺘﻦ‪/‬ﺧﻮﺍﻧﺪﻥ ﺭﺍ ﺩﺍﺩﻩ‪ ،‬ﺩﺭ ﺣﺎﻟﻴﻜﻪ ﺑﺮﺍﻱ ‪ Bob‬ﺗﻨﻬﺎ ﺍﺟــﺎﺯﺓ ﻧﻮﺷﺘﻦ ﺭﺍ ﻣﻲﺩﻫﺪ‬
‫)ﺷﻜﻞ ‪۱۱-۵‬ﺍﻟﻒ(‪ .‬ﺣﺎﻝ ‪ Bob ،Alice‬ﺭﺍ ﻭﺳﻮﺳﻪ ﻛﺮﺩﻩ ﺗﺎ ﺑﺮﻧﺎﻣﺔ ﺍﺳﺐ ﺗﺮﻭﺍ ﺭﺍ ﺑﻜﺎﺭ ﮔﻴﺮﺩ ﻭ ﺷﺎﻳﺪ ﺍﻳﻦ ﻛﺎﺭ ﺭﺍ ﺑﺎ ﺗﺒﻠﻴﻎ ﺍﻳﻨﻜﻪ ﺍﻳﻦ‬
‫ﺑﺮﻧﺎﻣﻪ ﻳﻚ ﺍﺑﺰﺍﺭ ﻛﺎﺭﺑﺮﺩﻱ ﺧﻮﺏ ﺍﺳﺖ ﺍﻧﺠﺎﻡ ﺩﻫﺪ‪ .‬ﻭﻗﺘﻲ ﺑﺮﻧﺎﻣﻪ ﺗﺸﺨﻴﺺ ﻣﻲﺩﻫﺪ ﻛﻪ ﺩﺍﺭﺩ ﺑﺘﻮﺳﻂ ‪ Bob‬ﺍﺟﺮﺍ ﻣﻲﺷﻮﺩ‪ ،‬ﺩﻧﺒﺎﻟﺔ‬
‫ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ﺳﺮّﻱ ﺭﺍ ﺍﺯ ﻓﺎﻳﻞ ‪ Bob‬ﺧﻮﺍﻧﺪﻩ ﻭ ﺁﻥ ﺭﺍ ﺩﺭ ﻓﺎﻳﻞ ﺟﻴﺐ ﻣﺨﻔﻲ ‪ Alice‬ﻛﭙﻲ ﻣﻲﻛﻨﺪ )ﺷﻜﻞ ‪۱۱-۵‬ﺏ(‪ .‬ﻫﺮﺩﻭ ﻋﻤﻠﻴﺎﺕ‬
‫ﺧﻮﺍﻧﺪﻥ ﻭ ﻧﻮﺷﺘﻦ ﺍﺯ ﻣﺤﺪﻭﺩﻳﺖﻫﺎﺋﻲ ﻛﻪ ﺑﺘﻮﺳﻂ ﻟﻴﺴﺖ ﺩﺳﺖﻳﺎﺑﻲ ﺗﻌﻴﻴﻦ ﺷﺪﻩ ﺍﺳﺖ ﺗﺒﻌﻴﺖ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺗﻨﻬﺎ ﻛﺎﺭﻱ ﻛﻪ ﺑﺮﺍﻱ ‪Alice‬‬
‫ﺑﺎﻗﻲ ﻣﺎﻧﺪﻩ ﺍﺳﺖ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺯﻣﺎﻥ ﺩﻳﮕﺮﻱ ﺑﻪ ﻓﺎﻳﻞ ‪ Bob‬ﺩﺳﺖ ﻳﺎﻓﺘﻪ ﻭ ﺩﻧﺒﺎﻟﻪ ﺭﺍ ﺑﺨﻮﺍﻧﺪ‪.‬‬
‫ﺣﺎﻝ ﺑﻪ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺍﻣﻦ ﺩﺭ ﺍﻳﻦ ﺳﻨﺎﺭﻳﻮ ﺗﻮﺟﻪ ﻛﻨﻴﺪ )ﺷﻜﻞ ‪۱۱-۵‬ﺝ(‪ .‬ﺳﻄﻮﺡ ﺍﻣﻨﻴﺘﻲ ﺩﺭ ﻫﻨﮕـﺎﻡ ﺍﺗـﺼﺎﻝ ﺑـﻪ‬
‫ﺳﻴﺴﺘﻢ ﺑﻪ ﺳﻮﮊﻩﻫﺎ ﺗﺨﺼﻴﺺ ﻣﻲﻳﺎﺑﻨﺪ ﻭ ﻣﺒﻨﺎﻱ ﻋﻤﻞ‪ ،‬ﻣﻮﺍﺭﺩﻱ ﻫﻤﭽﻮﻥ ﻧﻮﻉ ﺗﺮﻣﻴﻨﺎﻟﻲ ﻛﻪ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ ﻭ ﻣﺸﺨﺼﺎﺕ ﻛﺎﺭﺑﺮ ﺑـﺮ‬
‫ﺍﺳﺎﺱ ‪ ID‬ﻭ ﻛﻠﻤﻪ ﻋﺒﻮﺭ ﺍﻭ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﺜﺎﻝ ﺩﻭ ﺳﻄﺢ ﺍﻣﻨﻴﺘﻲ ﺣﺴﺎﺱ ﻭ ﻋﻤﻮﻣﻲ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﺑﻨﺤﻮﻱ ﺳﻄﺢﺑﻨﺪﻱ ﺷـﺪﻩﺍﻧـﺪ ﻛـﻪ‬
‫ﺳﻄﺢ ﺣﺴﺎﺱ ﺑﺎﻻﺗﺮ ﺍﺯ ﺳﻄﺢ ﻋﻤﻮﻣﻲ ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺑﻪ ﭘﺮﺩﺍﺯﺵﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ‪ Bob‬ﻭ ﻓﺎﻳﻞ ﺩﻳﺘﺎﻱ ﺍﻭ ﺳﻄﺢ ﺍﻣﻨﻴﺘﻲ ﺣﺴﺎﺱ ﺗﺨـﺼﻴﺺ‬
‫ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﻓﺎﻳﻞ ‪ Alice‬ﻭ ﭘﺮﺩﺍﺯﺵﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺍﻭ ﺩﺭ ﺳﻄﺢ ﻋﻤﻮﻣﻲ ﻛﻪ ﭘـﺎﺋﻴﻦﺗـﺮ ﺍﺳـﺖ ﻗـﺮﺍﺭ ﺩﺍﺭﻧـﺪ‪ .‬ﺍﮔـﺮ ‪ Bob‬ﺑﺮﻧﺎﻣـﺔ‬
‫ﺑﺪﺍﻧﺪﻳﺶ ﺍﺳﺐ ﺗﺮﻭﺍ ﺭﺍ ﺑﻜﺎﺭ ﮔﻴﺮﺩ )ﺷﻜﻞ ‪۱۱-۵‬ﺩ(‪ ،‬ﺁﻥ ﺑﺮﻧﺎﻣﻪ ﺳﻄﺢ ﺍﻣﻨﻴﺘﻲ ‪ Bob‬ﺭﺍ ﺍﺳﺘﻌﻼﻡ ﻣﻲﻛﻨﺪ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺍﻭ ﻗﺎﺩﺭ ﺧﻮﺍﻫﺪ ﺑـﻮﺩ‬
‫ﺑﺮ ﺍﺳﺎﺱ ﺧﺎﺻﻴﺖ ﺍﻣﻨﻴﺘﻲ ﺳﺎﺩﻩ‪ ،‬ﺩﻧﺒﺎﻟﺔ ﻛﺎﺭﺍﻛﺘﺮﻫﺎﻱ ﻣﻬﻢ ﺭﺍ ﻣﺸﺎﻫﺪﻩ ﻧﻤﺎﻳﺪ‪ .‬ﻭﻗﺘﻲ ﺑﺮﻧﺎﻣﻪ ﺑـﺮﺍﻱ ﺫﺧﻴـﺮﺓ ﺍﻳـﻦ ﺩﻧﺒﺎﻟـﻪ ﺩﺭ ﻳـﻚ ﻓﺎﻳـﻞ‬
‫ﻋﻤﻮﻣﻲ ﺗﻼﺵ ﻛﻨﺪ )ﻓﺎﻳﻞ ﺟﻴﺐ ﻣﺨﻔﻲ(‪ *-Property ،‬ﻧﻘﺾ ﮔﺮﺩﻳﺪﻩ ﻭ ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ ﺟﻠﻮﻱ ﺍﻳﻦ ﻛﺎﺭ ﺭﺍ ﻣﻲﮔﻴـﺮﺩ‪ .‬ﺑﻨـﺎﺑﺮﺍﻳﻦ ﺗـﻼﺵ‬
‫ﺑﺮﺍﻱ ﻧﻮﺷﺘﻦ ﺩﻧﺒﺎﻟﻪ ﺩﺭ ﻓﺎﻳﻞ ﺟﻴﺐ ﻣﺨﻔﻲ‪ ،‬ﺣﺘﻲ ﺍﮔﺮ ﻟﻴﺴﺖ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺁﻥ ﺭﺍ ﻣﺠﺎﺯ ﺑﺸﻤﺎﺭﺩ‪ ،‬ﺑﻲﻧﺘﻴﺠﻪ ﻣـﻲﻣﺎﻧـﺪ‪ .‬ﺣﺎﺻـﻞ ﺍﻳـﻦ‬
‫ﺍﺳﺖ ﻛﻪ ﺧﻂﻣﺸﻲ ﺍﻣﻨﻴﺘﻲ ﺑﺮ ﻣﻜﺎﻧﻴﺴﻢ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‪ ،‬ﺗﻮﻓﻖ ﻣﻲﻳﺎﺑﺪ‪.‬‬
‫ﭘﺎﻳﺸﮕﺮ‬
www.NetSimulate.net
‫ﻓﺼﻞ ﻳﺎﺯﺩﻫﻢ‬
Bob ‫ﻣﺮﺟـﻊ‬ Bob

Bob:RW Bob:RW
"CPE170KS" "CPE170KS"
Data file Program

Program Data file
Program
Alice:RW Alice:RW
Alice Bob: W Alice Bob: W
Back-pocket
Back-pocket Program
Program file
file
(‫)ﺍﻟﻒ‬
(‫)ﺝ‬
‫ﭘﺎﻳﺸﮕﺮ‬
Bob
Bob ‫ﻣﺮﺟﻊ‬ Bob:RW
Bob:RW
"CPE170KS"
"CPE170KS" Data file
Program
Program Data file
Alice:RW
Alice:RW Alice Bob: W
Alice Bob: W
Back-pocket
Back-pocket Program file
Program file
(‫)ﺏ‬
(‫)ﺩ‬
‫ ﺍﺳﺐ ﺗﺮﻭﺍ ﻭ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﺍﻣﻦ‬۱۱-۵ ‫ﺷﻜﻞ‬
‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
٤١٤
‫‪٤١٥‬‬ ‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻣﻌﻴﺎﺭﻫﺎﻱ ﻣﺸﺘﺮﻙ ﺑﺮﺍﻱ ﺍﺭﺯﻳﺎﺑﻲ ﺍﻣﻨﻴﺖ ﺗﻜﻨﻮﻟﻮﮊﻱ ﺍﻃﻼﻋﺎﺕ‬ ‫‪۱۱-۳‬‬
‫ﻛﺎﺭﻫﺎﻱ ﺍﻧﺠﺎﻡ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺁﮊﺍﻧﺲ ﺍﻣﻨﻴﺖ ﻣﻠﹼﻲ ﻭ ﺳﺎﻳﺮ ﺳﺎﺯﻣﺎﻥﻫﺎﻱ ﺩﻭﻟﺘﻲ ﺍﻣﺮﻳﻜﺎ ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ ﻻﺯﻣﻪﻫﺎ ﻭ ﻣﻌﻴﺎﺭﻫﺎﻱ ﺍﺭﺯﻳﺎﺑﻲ‬
‫ﺳﻴﺴﺘﻢﻫﺎﻱ ﻣﻌﺘﻤﺪ‪ ،‬ﻫﻤﮕﺎﻡ ﺑﺎ ﻛﺎﺭﻫﺎﻱ ﻣﺸﺎﺑﻪ ﺩﺭ ﺳﺎﻳﺮ ﻛﺸﻮﺭﻫﺎ ﺑﻮﺩﻩ ﺍﺳﺖ‪ .‬ﻣﻌﻴﺎﺭﻫﺎﻱ ﻣﺸﺘﺮﻙ)‪ Common Criteria(CC‬ﺑﺮﺍﻱ‬
‫ﺗﻜﻨﻮﻟﻮﮊﻱ ﺍﻃﻼﻋﺎﺕ ﻭ ﺍﺭﺯﻳﺎﺑﻲ ﺍﻣﻨﻴﺖ‪ ،‬ﻳﻚ ﺍﺑﺘﻜﺎﺭ ﺑﻴﻦﺍﻟﻤﻠﻠﻲ ﺍﺯ ﺳﻮﻱ ﺑﺨﺶﻫﺎﻱ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻛﺸﻮﺭﻫﺎﻱ ﻣﺨﺘﻠﻒ ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ‬
‫ﻻﺯﻣﻪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﺗﻌﺮﻳﻒ ﻣﻌﻴﺎﺭﻫﺎﻱ ﺍﺭﺯﻳﺎﺑﻲ ﺑﻮﺩﻩ ﺍﺳﺖ‪.‬‬
‫ﻻﺯﻣﻪﻫﺎ‬
‫‪ CC‬ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﻣﺸﺘﺮﻙ ﺍﺯ ﻻﺯﻣﻪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺑﺮﺍﻱ ﺍﺳﺘﻔﺎﺩﻩ ﺩﺭ ﺍﺭﺯﻳﺎﺑﻲﻫﺎ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﺍﺻﻄﻼﺡ ﻫﺪﻑ ﺍﺭﺯﻳﺎﺑﻲ‬
‫)‪ target of evaluation (TOE‬ﺑﻪ ﺑﺨﺸﻲ ﺍﺯ ﻣﺤﺼﻮﻝ ﻭ ﻳﺎ ﺳﻴﺴﺘﻢ ﻛﻪ ﺗﺤﺖ ﺍﺭﺯﻳﺎﺑﻲ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﺍﺷﺎﺭﻩ ﻣﻲﻛﻨﺪ‪ .‬ﻻﺯﻣﻪﻫﺎ ﺩﺭ‬
‫ﺩﻭ ﻃﺒﻘﻪ ﻗﺮﺍﺭ ﺩﺍﺭﻧﺪ‪:‬‬
‫ﻻﺯﻣﻪﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ‪ :‬ﺍﻳﻨﻬﺎ ﺭﻓﺘﺎﺭﻫﺎﻱ ﻣﻄﻠﻮﺏ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﻨﺪ‪ .‬ﺍﺳﻨﺎﺩ ‪ CC‬ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻣﺆﻟﻔﻪﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ‬ ‫•‬
‫ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻧﻤﺎﻳﻨﺪﻛﻪ ﺭﻭﺵ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻱ ﺑﺮﺍﻱ ﺑﻴﺎﻥ ﻻﺯﻣﻪﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺍﻣﻨﻴﺖ ﺩﺭ ﻳﻚ ‪ TOE‬ﺍﺳﺖ‪.‬‬
‫ﻻﺯﻣﻪﻫﺎﻱ ﺍﻃﻤﻴﻨﺎﻥﺑﺨﺸﻲ‪ :‬ﺍﻳﻨﻬﺎ ﻣﺒﺎﻧﻲ ﻛﺴﺐ ﺍﻃﻤﻴﻨﺎﻥ ﺍﺯ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻣﻌﻴﺎﺭﻫﺎﻱ ﺍﻣﻨﻴﺖ ﻣﺆﺛﺮ ﺑﻮﺩﻩ ﻭ ﺑﻄﺮﺯ ﺻﺤﻴﺤﻲ‬ ‫•‬
‫ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺍﺳﻨﺎﺩ ‪ CC‬ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻣﺆﻟﻔﻪﻫﺎﻱ ﺍﻃﻤﻴﻨﺎﻥﺑﺨﺶ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻧﻤﺎﻳﻨﺪ ﻛﻪ ﺭﻭﺵ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻱ‬
‫ﺑﺮﺍﻱ ﺑﻴﺎﻥ ﻻﺯﻣﻪﻫﺎﻱ ﺍﻃﻤﻴﻨﺎﻥﺑﺨﺸﻲ ﺩﺭ ﻳﻚ ‪ TOE‬ﺍﺳﺖ‪.‬‬
‫ﻫﻢ ﻻﺯﻣﻪﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﻭ ﻫﻢ ﻻﺯﻣﻪﻫﺎﻱ ﺍﻃﻤﻴﻨﺎﻥﺑﺨﺸﻲ ﺩﺭ ﻃﺒﻘﺎﺕ ﻣﺨﺘﻠﻒ ﺳﺎﺯﻣﺎﻥﺩﻫﻲ ﻣﻲﺷﻮﻧﺪ‪ :‬ﻳﻚ ﻃﺒﻘﻪ ﻋﺒﺎﺭﺕ ﺍﺯ‬
‫ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻻﺯﻣﻪﻫﺎﺳﺖ ﻛﻪ ﺩﺍﺭﺍﻱ ﺗﻤﺮﻛﺰ ﻭ ﻳﺎ ﻣﻨﻈﻮﺭ ﺧﺎﺻﻲ ﺍﺳﺖ‪ .‬ﺟﺪﺍﻭﻝ ‪ ۱۱-۳‬ﻭ ‪ ۱۱-۴‬ﺑﻄﻮﺭ ﻣﺨﺘﺼﺮ ﻃﺒﻘﺎﺕ ﻣﺮﺑﻮﻁ ﺑﻪ‬
‫ﻻﺯﻣﻪﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﻭ ﻻﺯﻣﻪﻫﺎﻱ ﺍﻃﻤﻴﻨﺎﻥﺑﺨﺸﻲ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﻨﺪ‪ .‬ﻫﺮﻳﻚ ﺍﺯ ﺍﻳﻦ ﻃﺒﻘﺎﺕ ﺷﺎﻣﻞ ﺗﻌﺪﺍﺩﻱ ﺧﺎﻧﻮﺍﺩﻩﺍﻧﺪ‪ .‬ﻻﺯﻣﻪﻫﺎﻱ‬
‫ﺩﺭﻭﻥ ﻫﺮ ﺧﺎﻧﻮﺍﺩﻩ ﺍﻫﺪﺍﻑ ﺍﻣﻨﻴﺘﻲ ﺧﺎﺻﻲ ﺩﺍﺷﺘﻪ ﻭﻟﻲ ﺍﺯ ﺟﻬﺖ ﺗﺄﻛﻴﺪ ﻳﺎ ﻗﻮﺕ ﺑﺎ ﻫﻢ ﻣﺘﻔﺎﻭﺕﺍﻧﺪ‪ .‬ﺑﻌﻨﻮﺍﻥ ﻣﺜﺎﻝ ﻃﺒﻘﻪ ﻣﻤﻴﺰﻱ ﺷﺎﻣﻞ‬
‫ﺷﺶ ﺧﺎﻧﻮﺍﺩﻩ ﺍﺳﺖ ﻛﻪ ﻣﺮﺑﻮﻁ ﺑﻪ ﺟﻨﺒﻪﻫﺎﻱ ﻣﺨﺘﻠﻒ ﻣﻤﻴﺰﻱ ﺍﺳﺖ )ﻣﺜﻞ ﺗﻮﻟﻴﺪ ﺍﻃﻼﻋﺎﺕ ﻣﻤﻴﺰﻱ‪ ،‬ﺗﺤﻠﻴﻞ ﻣﻤﻴﺰﻱ ﻭ ﺫﺧﻴﺮﻩ ﻛﺮﺩﻥ‬
‫ﭘﻴﺸﺎﻣﺪﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﻣﻤﻴﺰﻱ(‪ .‬ﻫﺮ ﺧﺎﻧﻮﺍﺩﻩ ﺑﻨﻮﺑﺔ ﺧﻮﺩ ﺷﺎﻣﻞ ﻳﻚ ﻳﺎ ﺩﻭ ﻣﺆﻟﻔﻪ ﺍﺳﺖ‪ .‬ﻳﻚ ﻣﺆﻟﻔﻪ‪ ،‬ﻣﺠﻤﻮﻋﻪﺍﻱ ﻣﺸﺨﺺ ﺍﺯ ﻻﺯﻣﻪﻫﺎﻱ‬
‫ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺗﻮﺻﻴﻒ ﻛﺮﺩﻩ ﻭ ﻛﻮﭼﻚﺗﺮﻳﻦ ﻣﺠﻤﻮﻋﺔ ﻗﺎﺑﻞ ﺍﻧﺘﺨﺎﺏ ﺍﺯ ﻻﺯﻣﻪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺑﺮﺍﻱ ﺷﻤﻮﻝ ﺩﺭ ﺳﺎﺧﺘﺎﺭ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺩﺭ ‪CC‬‬
‫ﺍﺳﺖ‪.‬‬
‫ﺑﺮﺍﻱ ﻣﺜﺎﻝ‪ ،‬ﻃﺒﻘﺔ ﭘﺸﺘﻴﺒﺎﻧﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺯ ﻻﺯﻣﻪﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ‪ ،‬ﺷﺎﻣﻞ ﺩﻭ ﺧﺎﻧﻮﺍﺩﻩ ﺍﺳﺖ‪ :‬ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺗﺎﺑﻊ‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ‪ .‬ﺩﺭ ﺯﻳﺮ ﺧﺎﻧﻮﺍﺩﺓ ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﭼﻬﺎﺭ ﻣﺆﻟﻔﻪ ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﻛﻪ ﺑﺮﺍﻱ ﺗﻌﻴﻴﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺗﻮﻟﻴﺪ ﻛﻠﻴﺪ ﻭ ﺍﻧﺪﺍﺯﺓ ﻛﻠﻴﺪ‪،‬‬
‫ﺭﻭﺵ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ‪ ،‬ﺭﻭﺵ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻛﻠﻴﺪ ﻭ ﺭﻭﺵ ﻧﺎﺑﻮﺩﻱ ﻛﻠﻴﺪ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﺑﺮﺍﻱ ﻫﺮ ﻣﺆﻟﻔﻪ‪ ،‬ﻣﻤﻜﻦ ﺍﺳﺖ ﻳﻚ ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺗﻌﻴﻴﻦ‬
‫ﻧﻤﻮﺩ‪ .‬ﺩﺭ ﺗﺤﺖ ﺧﺎﻧﻮﺍﺩﺓ ﺗﺎﺑﻊ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺗﻨﻬﺎ ﻳﻚ ﻣﺆﻟﻔﺔ ﻣﻨﻔﺮﺩ ﻗﺮﺍﺭ ﺩﺍﺭﺩ ﻛﻪ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﻭ ﺍﻧﺪﺍﺯﺓ ﻛﻠﻴﺪ ﺁﻥ ﺭﺍ ﺑﺮﺣﺴﺐ ﻳﻚ‬
‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﻣﺸﺨﺺ ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫ﻣﺠﻤﻮﻋﻪﻫﺎﻱ ﻣﺆﻟﻔﻪﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﻭ ﺍﻃﻤﻴﻨﺎﻥﺑﺨﺸﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺎ ﻫﻢ ﮔﺮﺩ ﺁﻣﺪﻩ ﺗﺎ ﺑﺴﺘﻪﻫﺎﻱ ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﻩ ﻣﺠﺪﺩ ﺟﻬﺖ‬
‫ﺑﺮﺁﻭﺭﺩﻩ ﻧﻤﻮﺩﻥ ﺍﻫﺪﺍﻑ ﻣﺸﺨﺼﻲ ﺭﺍ ﺗﺸﻜﻴﻞ ﺩﻫﻨﺪ‪ .‬ﻣﺜﺎﻟﻲ ﺍﺯ ﭼﻨﻴﻦ ﺑﺴﺘﻪﻫﺎﺋﻲ ﻣﻲﺗﻮﺍﻧﺪ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻣﺆﻟﻔﻪﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﻻﺯﻡ ﺑﺮﺍﻱ‬
‫ﻛﻨﺘﺮﻝﻫﺎﻱ ﺩﺳﺖﻳﺎﺑﻲ ﻣﻨﺼﻔﺎﻧﻪ )‪ (Discretionary Access Control‬ﺑﺎﺷﺪ‪.‬‬
‫ﻓﺼﻞ ﻳﺎﺯﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤١٦‬‬
‫ﺟﺪﻭﻝ ‪ ۱۱-۳‬ﻻﺯﻣﻪﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺍﻣﻨﻴﺖ ‪CC‬‬
‫ﺗﻮﺻﻴﻒ‬ ‫ﻃﺒﻘﻪ‬
‫ﺷﺎﻣﻞ ﺷﻨﺎﺳﺎﺋﻲ‪ ،‬ﺛﺒﺖ‪ ،‬ﺫﺧﻴﺮﻩﺳﺎﺯﻱ ﻭ ﺗﺤﻠﻴﻞ ﺍﻃﻼﻋﺎﺕ ﻣﺮﺗﺒﻂ ﺑﺎ ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺍﺳﺖ‪ .‬ﺳﻮﺍﺑﻖ ﻣﻤﻴﺰﻱ‬ ‫ﻣﻤﻴﺰﻱ‬
‫ﺑﺘﻮﺳﻂ ﺍﻳﻦ ﻋﻤﻠﻴﺎﺕ ﺗﻮﻟﻴﺪﺷﺪﻩ ﻭ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺍﺯ ﻧﻈﺮ ﺍﺭﺗﺒﺎﻁ ﺑﺎ ﻣﺴﺎﺋﻞ ﺍﻣﻨﻴﺖ ﻣﻮﺭﺩ ﻣﻄﺎﻟﻌﻪ ﻗﺮﺍﺭ ﮔﻴﺮﻧﺪ‪.‬‬
‫ﺯﻣﺎﻧﻲ ﻛﻪ ‪ TOE‬ﺗﻮﺍﺑﻊ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻣﻲﻛﻨﺪ‪ ،‬ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﻧﺪ‪ .‬ﺍﻳﻨﻬﺎ ﺑﺮﺍﻱ ﻣﺜﺎﻝ‬ ‫ﭘﺸﺘﻴﺒﺎﻧﻲ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺮﺍﻱ ﺣﻤﺎﻳﺖ ﺍﺯ ﺍﺭﺗﺒﺎﻃﺎﺕ‪ ،‬ﺷﻨﺎﺳﺎﺋﻲ ﻭ ﺗﺼﺪﻳﻖ ﻫﻮﻳﺖ‪ ،‬ﻳﺎ ﺟﺪﺍﺳﺎﺯﻱ ﺩﺍﺩﻩﻫﺎ ﺑﻜﺎﺭ ﺭﻭﻧﺪ‪.‬‬
‫ﺩﻭ ﺧﺎﻧﻮﺍﺩﻩ ﻛﻪ ﻣﺮﺗﺒﻂ ﺑﺎ ﻋﺪﻡ ﺍﻧﻜﺎﺭ ﺑﺘﻮﺳﻂ ﺧﻠﻖﻛﻨﻨﺪﺓ ﺩﻳﺘﺎ ﻭ ﺩﺭﻳﺎﻓﺖﻛﻨﻨﺪﺓ ﺩﻳﺘﺎ ﺍﺳﺖ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺍﺭﺗﺒﺎﻃﺎﺕ‬
‫ﻻﺯﻣﻪﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺣﻔﺎﻇﺖ ﺍﺯ ﺩﺍﺩﻩﻫﺎﻱ ﻛﺎﺭﺑﺮ ﺩﺭ ‪ TOE‬ﺩﺭﺧﻼﻝ ﻭﺭﻭﺩ‪ ،‬ﺧﺮﻭﺝ ﻭ ﺫﺧﻴﺮﻩﺳﺎﺯﻱ ﺭﺍ ﺑﺮﺁﻭﺭﺩﻩ‬ ‫ﺣﻔﺎﻇﺖ ﺩﺍﺩﻩﻫﺎﻱ ﻛﺎﺭﺑﺮ‬
‫ﻧﻤﻮﺩﻩ ﻭ ﻋﻼﻭﻩ ﺑﺮ ﺍﻳﻦ ﻣﺸﺨﺼﻪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻣﺮﺗﺒﻂ ﺑﺎ ﺩﻳﺘﺎﻱ ﻛﺎﺭﺑﺮ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﺷﻨﺎﺳﺎﺋﻲ ﺑﺪﻭﻥ ﺍﺑﻬﺎﻡ ﻛﺎﺭﺑﺮﺍﻥ ﻣﻌﺘﺒﺮ ﻭ ﺍﺭﺗﺒﺎﻁ ﺻﺤﻴﺢ ﻣﺸﺨﺼﻪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺑﺎ ﻛﺎﺭﺑﺮﺍﻥ ﻭ ﺳﻮﮊﻩﻫﺎ ﺭﺍ ﺍﻃﻤﻴﻨﺎﻥ‬ ‫ﺷﻨﺎﺳﺎﺋﻲ ﻭ ﺍﺣﺮﺍﺯ ﻫﻮﻳﺖ‬
‫ﻣﺪﻳﺮﻳﺖ ﻣﺸﺨﺼﻪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﺩﺍﺩﻩﻫﺎ ﻭ ﺗﻮﺍﺑﻊ ﺭﺍ ﺗﻌﻴﻴﻦ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻣﺪﻳﺮﻳﺖ ﺍﻣﻨﻴﺖ‬
‫ﻳﻚ ﻛﺎﺭﺑﺮ ﺭﺍ ﺑﺎ ﺣﻔﺎﻇﺖ ﺩﺭ ﺑﺮﺍﺑﺮ ﻛﺸﻒ ﻭ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻫﻮﻳﺖ ﺍﻭ ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ ﻛﺎﺭﺑﺮﺍﻥ ﺗﺠﻬﻴﺰ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﺳﺮّﻱ ﺑﻮﺩﻥ‬
‫ﺣﻔﺎﻇﺖ ﺍﺯ ﻋﻤﻠﻴﺎﺕ ﺍﻣﻨﻴﺘﻲ ﺑﺮ ﺣﻔﺎﻇﺖ ﺍﺯ ﺩﺍﺩﻩﻫﺎﻱ ‪) TSF‬ﻋﻤﻠﻴﺎﺕ ﺍﻣﻨﻴﺘﻲ ‪ ،(TOE‬ﻭ ﻧﻪ ﺩﺍﺩﻩﻫﺎﻱ ﻛﺎﺭﺑﺮ‪ ،‬ﺗﻤﺮﻛﺰ ﺩﺍﺭﺩ‪ .‬ﺍﻳﻦ ﻃﺒﻘﻪ ﻣﺮﺗﺒﻂ‬
‫ﺑﺎ ﺻﺤﺖ ﻭ ﻣﺪﻳﺮﻳﺖ ﻣﻜﺎﻧﻴﺴﻢﻫﺎ ﻭ ﺩﺍﺩﻩﻫﺎﻱ ‪ TOE‬ﺍﺳﺖ‪.‬‬ ‫‪TOE‬‬
‫ﺩﺭ ﺩﺳﺘﺮﺱ ﺑﻮﺩﻥ ﻣﻨﺎﺑﻊ ﻻﺯﻡ ﻫﻤﭽﻮﻥ ﺗﻮﺍﻧﺎﺋﻲ ﭘﺮﺩﺍﺯﺵ ﻭ ﻇﺮﻓﻴﺖ ﺫﺧﻴﺮﻩﺳﺎﺯﻱ ﺭﺍ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﻲﻛﻨﺪ‪ .‬ﺷﺎﻣﻞ‬ ‫ﺑﻬﺮﻩ ﮔﻴﺮﻱ ﺍﺯ ﻣﻨﺎﺑﻊ‬
‫ﻻﺯﻣﻪﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺗﺤﻤﻞ ﺧﻄﺎ‪ ،‬ﺍﻭﻟﻮﻳﺖ ﺳﺮﻭﻳﺲ ﻭ ﺗﺨﺼﻴﺺ ﻣﻨﺎﺑﻊ ﺍﺳﺖ‪.‬‬
‫ﻻﺯﻣﻪﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ‪ ،‬ﻋﻼﻭﻩ ﺑﺮ ﺁﻧﻬﺎﺋﻲ ﻛﻪ ﺑﺮﺍﻱ ﺷﻨﺎﺳﺎﺋﻲ ﻭ ﺍﺣﺮﺍﺯ ﻫﻮﻳﺖ ﺗﻌﻴﻴﻦ ﺷﺪﻩﺍﻧﺪ‪ ،‬ﺑﺮﺍﻱ ﻛﻨﺘﺮﻝ ﻭ‬ ‫ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ‪TOE‬‬
‫ﺑﺮﻗﺮﺍﺭﻱ ﻳﻚ ﺍﺟﻼﺱ ﻛﺎﺭﺑﺮ ﺭﺍ ﺗﺄﻣﻴﻦ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺷﺎﻣﻞ ﻻﺯﻣﻪﻫﺎﻱ ﺩﺳﺖﻳﺎﺑﻲ ‪ TOE‬ﺑﻪ ﺍﻣﻮﺭﻱ ﻫﻤﭽﻮﻥ‬
‫ﻣﺤﺪﻭﺩﻛﺮﺩﻥ ﺗﻌﺪﺍﺩ ﻭ ﻛﻴﻔﻴﺖ ﺍﺟﻼﺱﻫﺎﻱ ﻛﺎﺭﺑﺮ‪ ،‬ﻧﻤﺎﻳﺶ ﺗﺎﺭﻳﺨﭽﺔ ﺩﺳﺖﻳﺎﺑﻲ ﻭ ﺩﺳﺘﻜﺎﺭﻱ ﭘﺎﺭﺍﻣﺘﺮﻫﺎﻱ‬
‫ﺩﺳﺖﻳﺎﻳﻲ ﺍﺳﺖ‪.‬‬
‫ﺩﺭ ﺭﺍﺑﻄﻪ ﺑﺎ ﻣﺴﻴﺮﻫﺎﻱ ﺍﺭﺗﺒﺎﻃﻲ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺑﻴﻦ ﻛﺎﺭﺑﺮﻫﺎ ﻭ ‪TSF‬ﻫﺎ‪ ،‬ﻭ ﺑﻴﻦ ﺧﻮﺩ ‪TSF‬ﻫﺎ ﻋﻤﻞ ﻣﻲﻛﻨﺪ‪.‬‬ ‫ﻣﺴﻴﺮﻫﺎ‪/‬ﻛﺎﻧﺎﻝﻫﺎﻱ ﻣﻌﺘﻤﺪ‬
‫ﭘﺮﻭﻓﺎﻳﻞﻫﺎ ﻭ ﻫﺪﻑﻫﺎ‬
‫‪ CC‬ﻫﻤﭽﻨﻴﻦ ﺩﻭ ﻧﻮﻉ ﺍﺯ ﺍﺳﻨﺎﺩ ﻛﻪ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺑﺮ ﺣﺴﺐ ﻻﺯﻣﻪﻫﺎﻱ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺩﺭ ‪ CC‬ﺗﻮﻟﻴﺪ ﺷﻮﻧﺪ‪ ،‬ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪.‬‬
‫ﭘﺮﻭﻓﺎﻳﻞﻫﺎﻱ ﺣﻔﺎﻇﺘﻲ)‪ :(PP‬ﻳﻚ ﻣﺠﻤﻮﻋﻪ ﺍﺯ ﻻﺯﻣﻪﻫﺎ ﻭ ﺍﻫﺪﺍﻑ ﺍﻣﻨﻴﺘﻲ ﻣﺴﺘﻘﻞ ﺍﺯ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺑﺮﺍﻱ ﻳﻚ ﮔﺮﻭﻩ ﺍﺯ‬ ‫•‬
‫ﻣﺤﺼﻮﻻﺕ ﻭ ﻳﺎ ﺳﻴﺴﺘﻢﻫﺎ ﻛﻪ ﻧﻴﺎﺯﻫﺎﻱ ﻣﺸﺎﺑﻬﻲ ﺩﺭ ﺯﻣﻴﻨﺔ ﺍﻣﻨﻴﺖ ‪ IT‬ﺩﺍﺭﻧﺪ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ .‬ﻫﺪﻑ ﺍﺯ ﻳﻚ ‪ PP‬ﺍﻳﻦ‬
‫ﺍﺳﺖ ﻛﻪ ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﺓ ﻣﺠﺪﺩ ﺑﻮﺩﻩ ﻭ ﻻﺯﻣﻪﻫﺎﺋﻲ ﻛﻪ ﺍﺯ ﻧﻈﺮ ﺑﺮﺁﻭﺭﺩﻥ ﺍﻫﺪﺍﻑ ﻣﺸﺨﺼﻲ ﻣﻔﻴﺪ ﻭ ﻣﺆﺛﺮ ﺑﻨﻈﺮ ﻣﻲﺭﺳﻨﺪ ﺭﺍ‬
‫ﺗﻌﺮﻳﻒ ﻛﻨﺪ‪ .‬ﻫﺪﻑ ﺍﺯ ‪ ،PP‬ﭘﺸﺘﻴﺒﺎﻧﻲ ﺍﺯ ﺗﻌﺮﻳﻒ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﻭ ﻛﻤﻚ ﺑﻪ ﻓﺮﻣﻮﻟﻪ ﻛﺮﺩﻥ ﻣﺸﺨﺼﺎﺕ ﺑﻮﺩﻩ ﺍﺳﺖ‪.‬‬
‫‪ PP‬ﻣﻨﻌﻜﺲﻛﻨﻨﺪﺓ ﻧﻴﺎﺯﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻛﺎﺭﺑﺮ ﺍﺳﺖ‪.‬‬
‫‪٤١٧‬‬ ‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﻻﺯﻣﻪﻫﺎﻱ ﺍﻃﻤﻴﻨﺎﻥ ﺑﺨﺸﻲ ﺍﻣﻨﻴﺖ ‪CC‬‬ ‫ﺟﺪﻭﻝ ‪۱۱-۴‬‬
‫ﺗﻮﺻﻴﻒ‬ ‫ﻃﺒﻘﻪ‬
‫ﻧﻴﺎﺯﻣﻨﺪ ﺑﻪ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺳﻼﻣﺖ ‪ TOE‬ﺑﻄﺮﺯ ﻣﻨﺎﺳﺒﻲ ﺣﻔﻆ ﮔﺮﺩﺩ‪ .‬ﻋﻠﻲﺍﻟﺨﺼﻮﺹ ﻣﺪﻳﺮﻳﺖ ﭘﻴﻜﺮﺑﻨﺪﻱ‬ ‫ﻣﺪﻳﺮﻳﺖ ﭘﻴﻜﺮﺑﻨﺪﻱ‬
‫ﺍﻳﻦ ﺍﻃﻤﻴﻨﺎﻥ ﺭﺍ ﺍﻳﺠﺎﺩ ﻣﻲﻛﻨﺪ ﻛﻪ ‪ TOE‬ﻭ ﺍﺳﻨﺎﺩ ﺍﺳﺘﻔﺎﺩﻩ ﺷﺪﻩ ﺑﺮﺍﻱ ﺍﺭﺯﻳﺎﺑﻲ ﻫﻤﺎﻥﻫﺎﺋﻲ ﻫﺴﺘﻨﺪ ﻛﻪ ﺑﺮﺍﻱ‬
‫ﺗﻮﺯﻳﻊ ﺁﻣﺎﺩﻩ ﺷﺪﻩﺍﻧﺪ‪.‬‬
‫ﻣﺮﺗﺒﻂ ﺑﺎ ﻣﻌﻴﺎﺭﻫﺎ‪ ،‬ﺭَﻭﻳﻪﻫﺎ ﻭ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎ ﺑﺮﺍﻱ ﺗﺤﻮﻳﻞ ﺍﻣﻦ‪ ،‬ﻧﺼﺐ ﻭ ﺍﺳﺘﻔﺎﺩﺓ ﻋﻤﻠﻴﺎﺗﻲ ﺍﺯ ‪ TOE‬ﺑﺮﺍﻱ‬ ‫ﺗﺤﻮﻳﻞ ﻭ ﻋﻤﻠﻴﺎﺕ‬
‫ﺍﻃﻤﻴﻨﺎﻥﺑﺨﺸﻲ ﺍﺯ ﺍﻳﻦ ﻣﻄﻠﺐ ﺍﺳﺖ ﻛﻪ ﺣﻔﺎﻇﺖ ﺍﻣﻨﻴﺘﻲ ﺍﻳﺠﺎﺩﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪ TOE‬ﺩﺭ ﺧﻼﻝ ﺍﻳﻦ‬
‫ﭘﻴﺸﺎﻣﺪﻫﺎ ﻧﻘﺾ ﻧﮕﺮﺩﺩ‪.‬‬
‫ﻣﺮﺗﺒﻂ ﺑﺎ ﭘﺎﻻﻳﺶ ﻓﺮﻡ ‪ TSF‬ﺍﺯ ﻓﺮﻡ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﺩﺭ ‪ ST‬ﺗﺎ ﻣﺮﺣﻠﺔ ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﺑﻮﺩﻩ ﻭ ﻳﻚ ﻧﮕﺎﺷﺖ ﺍﺯ‬ ‫ﺗﻮﺳﻌﻪ‬
‫ﻻﺯﻣﻪﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺑﻪ ﭘﺎﺋﻴﻦﺗﺮﻳﻦ ﺳﻄﺢ ﺍﺭﺍﺋﻪ ﺍﺳﺖ‪.‬‬
‫ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﺳﺘﻔﺎﺩﺓ ﻋﻤﻠﻴﺎﺗﻲ ﺍﻣﻦ ﺍﺯ ‪ TOE‬ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮﺍﻥ ﻭ ﻣﺪﻳﺮﺍﻥ ﺍﺳﺖ‪.‬‬ ‫ﺍﺳﻨﺎﺩ ﺭﺍﻫﺒﺮﺩﻱ‬
‫ﻣﺮﺗﺒﻂ ﺑﺎ ﺩﻭﺭﺓ ﺣﻴﺎﺕ ‪ TOE‬ﺑﻮﺩﻩ ﻭ ﺷﺎﻣﻞ ﺗﻌﺮﻳﻒ ﺩﻭﺭﺓ ﺣﻴﺎﺕ‪ ،‬ﺍﺑﺰﺍﺭﻫﺎ ﻭ ﺗﻜﻨﻴﻚﻫﺎ‪ ،‬ﺍﻣﻨﻴﺖ ﻣﺤﻴﻂ‬ ‫ﭘﺸﺘﻴﺒﺎﻧﻲ ﺍﺯ ﺩﻭﺭﺓ ﺣﻴﺎﺕ‬
‫ﭘﻴﺎﺩﻩﺳﺎﺯﻱ ﻭ ﺭﻓﻊ ﺍﺷﻜﺎﻻﺗﻲ ﺍﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮﺍﻥ ﺩﺭ ‪ TOE‬ﻳﺎﻓﺖ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﻣﺮﺗﺒﻂ ﺑﺎ ﻧﻤﺎﻳﺶ ﺍﻳﻦ ﺍﻣﺮ ﺍﺳﺖ ﻛﻪ ‪ TOE‬ﻻﺯﻣﻪﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺧﻮﺩ ﺭﺍ ﺍﺟﺮﺍ ﻣﻲﻛﻨﺪ‪ .‬ﺧﺎﻧﻮﺍﺩﻩﻫﺎ ﺩﺭ ﺍﻳﻦ‬ ‫ﺁﺯﻣﺎﻳﺸﺎﺕ‬
‫ﻛﻼﺱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺍﻧﺪﺍﺭﻩﮔﻴﺮﻱ ﭘﻮﺷﺶ ﻭ ﻋﻤﻖ ﺗﺴﺖﻫﺎﻱ ﺍﺟﺮﺍﺋﻲ ﻭ ﺗﺴﺖﻫﺎﻱ ﻣﺴﺘﻘﻞ ﺩﻳﮕﺮﻧﺪ‪.‬‬
‫ﻻﺯﻣﻪﻫﺎﺋﻲ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ ﻛﻪ ﻫﺪﻑ ﺁﻥ ﺷﻨﺎﺳﺎﺋﻲ ﺁﺳﻴﺐﭘﺬﻳﺮﻱﻫﺎﻱ ﻗﺎﺑﻞ ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩ ﺍﺳﺖ ﻛﻪ‬ ‫ﺍﺭﺯﻳﺎﺑﻲ ﺁﺳﻴﺐﭘﺬﻳﺮﻱ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﻧﺎﺷﻲ ﺍﺯ ﺳﺎﺧﺖ‪ ،‬ﻋﻤﻠﻜﺮﺩ ﻭ ﻳﺎ ﭘﻴﻜﺮﺑﻨﺪﻱ ﻧﺎﺻﺤﻴﺢ ‪ TOE‬ﺑﺎﺷﺪ‪ .‬ﺧﺎﻧﻮﺍﺩﻩﻫﺎﺋﻲ ﻛﻪ ﺩﺭ ﺍﻳﻨﺠﺎ‬
‫ﺗﻌﺮﻳﻒ ﻣﻲﺷﻮﻧﺪ ﻧﮕﺮﺍﻥ ﺷﻨﺎﺳﺎﺋﻲﻫﺎﻱ ﺁﺳﻴﺐﭘﺬﻳﺮﻱﻫﺎ ﺩﺭ ﺗﺤﻠﻴﻞ ﻳﻚ ﻛﺎﻧﺎﻝ ﭘﻨﻬﺎﻥ‪ ،‬ﺗﺤﻠﻴﻞ ﭘﻴﻜﺮﺑﻨﺪﻱ‬
‫‪ ،TOE‬ﺁﺯﻣﺎﻳﺶ ﺗﻮﺍﻧﺎﺋﻲ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ‪ ،‬ﻭ ﺷﻨﺎﺳﺎﺋﻲ ﺧﻄﺎﻫﺎﺋﻲ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺧﻼﻝ ﺍﻳﺠﺎﺩ ‪TOE‬‬
‫ﺑﻮﺟﻮﺩ ﺁﻣﺪﻩﺍﻧﺪ‪ .‬ﺧﺎﻧﻮﺍﺩﺓ ﺩﻭﻡ‪ ،‬ﻃﺒﻘﻪﺑﻨﺪﻱ ﺍﻣﻨﻴﺘﻲ ﻣﺆﻟﻔﻪﻫﺎﻱ ‪ TOE‬ﺭﺍ ﭘﻮﺷﺶ ﻣﻲﺩﻫﺪ‪ .‬ﺳﻮﻣﻲ ﻭ ﭼﻬﺎﺭﻣﻲ‬
‫ﺗﺤﻠﻴﻞ ﺗﻐﻴﻴﺮﺍﺕ ﺩﺭ ﺍﺛﺮ ﻳﻚ ﺿﺮﺑﺔ ﺍﻣﻨﻴﺘﻲ ﻭ ﺍﻳﺠﺎﺩ ﺷﻮﺍﻫﺪ ﺑﺮﺍﻱ ﺭﻋﺎﻳﺖ ﺭَﻭﻳﻪﻫﺎ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻛﻼﺱ‬
‫ﻓﺮﺍﻫﻢﺁﻭﺭﻧﺪﺓ ﺑﻠﻮﻙﻫﺎﻱ ﺳﺎﺯﻧﺪﺓ ﺍﺳﺘﻘﺮﺍﺭ ﺭﻭﺵﻫﺎﻱ ﺣﻔﻆ ﺍﻃﻤﻴﻨﺎﻥﺑﺨﺸﻲ ﺍﺳﺖ‪.‬‬
‫ﻻﺯﻣﻪﻫﺎﺋﻲ ﻛﻪ ﺑﺎﻳﺴﺘﻲ ﭘﺲ ﺍﺯ ﺗﺄﺋﻴﺪ ﻳﻚ ‪ TOE‬ﺩﺭ ﺑﺮﺍﺑﺮ ﻳﻚ ‪ CC‬ﺍﻋﻤﺎﻝ ﺷﻮﻧﺪ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﺁﻭﺭﺩ‪ .‬ﺍﻳﻦ‬ ‫ﺣﻔﻆ ﺍﻃﻤﻴﻨﺎﻥﺑﺨﺸﻲ‬
‫ﻻﺯﻣﻪﻫﺎ ﺍﻳﻦ ﻫﺪﻑ ﺭﺍ ﺩﻧﺒﺎﻝ ﻣﻲﻛﻨﻨﺪ ﻛﻪ ﺍﻃﻤﻴﻨﺎﻥ ﺩﻫﻨﺪ ﻛﻪ ‪ TOE‬ﺩﺭ ﺻﻮﺭﺕ ﺍﻋﻤﺎﻝ ﺗﻐﻴﻴﺮﺍﺗﻲ ﺑﻪ ﺁﻥ ﻭ‬
‫ﻳﺎ ﻣﺤﻴﻄﺶ‪ ،‬ﻋﻤﻠﻴﺎﺗﻲ ﺑﺎﻗﻲ ﺧﻮﺍﻫﺪ ﻣﺎﻧﺪ‪.‬‬
‫ﺍﻫﺪﺍﻑ ﺍﻣﻨﻴﺘﻲ )‪ :(ST‬ﺷﺎﻣﻞ ﺍﻫﺪﺍﻑ ﺍﻣﻨﻴﺘﻲ ‪ IT‬ﻭ ﻻﺯﻣﻪﻫﺎﻱ ﻳﻚ ‪ TOE‬ﻣﺸﺨﺺ ﺷﻨﺎﺳﺎﺋﻲ ﺷﺪﻩ ﺑﻮﺩﻩ ﻭ ﻣﻌﻴﺎﺭﻫﺎﻱ‬ ‫•‬
‫ﻋﻤﻠﻴﺎﺗﻲ ﻭ ﺍﻃﻤﻴﻨﺎﻥﺑﺨﺶ ﭘﻴﺸﻨﻬﺎﺩﺷﺪﻩ ﺑﺘﻮﺳﻂ ﺁﻥ ‪ TOE‬ﺑﺮﺍﻱ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻻﺯﻣﻪﻫﺎﻱ ﻳﺎﺩﺷﺪﻩ ﺭﺍ ﺗﻌﺮﻳﻒ ﻣﻲﻛﻨﺪ‪ST .‬‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ ﺑﺎ ﻳﻚ ﻳﺎ ﭼﻨﺪ ‪ PP‬ﻣﻄﺎﺑﻘﺖ ﺩﺍﺷﺘﻪ ﻭ ﻣﺒﻨﺎﻱ ﻳﻚ ﺍﺭﺯﻳﺎﺑﻲ ﺭﺍ ﺗﺸﻜﻴﻞ ﺩﻫﺪ‪ ST .‬ﺑﺘﻮﺳﻂ ﻳﻚ ﻓﺮﻭﺷﻨﺪﻩ ﻳﺎ‬
‫ﺗﻮﻟﻴﺪﻛﻨﻨﺪﻩ ﻓﺮﺍﻫﻢ ﻣﻲﺷﻮﺩ‪.‬‬
‫ﺷﻜﻞ ‪ ۱۱-۶‬ﺭﺍﺑﻄﺔ ﺑﻴﻦ ﻻﺯﻣﻪﻫﺎ ﺍﺯ ﻳﻚ ﺳﻮ ﻭ ﭘﺮﻭﻓﺎﻳﻞﻫﺎ ﻭ ﻫﺪﻑﻫﺎ ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‪ .‬ﺑـﺮﺍﻱ ﻳـﻚ ‪ ،PP‬ﻳـﻚ‬
‫ﻛﺎﺭﺑﺮ ﻣﻲﺗﻮﺍﻧﺪ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻣﺆﻟﻔﻪﻫﺎ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﺮﺩﻩ ﺗﺎ ﻻﺯﻣﻪﻫﺎﻱ ﻣﺤﺼﻮﻝ ﻣﻄﻠﻮﺏ ﺧﻮﺩ ﺭﺍ ﺗﻌﺮﻳﻒ ﻧﻤﺎﻳﺪ‪ .‬ﻛﺎﺭﺑﺮ ﻫﻤﭽﻨﻴﻦ ﻣـﻲﺗﻮﺍﻧـﺪ‬
‫ﺑﻪ ﺑﺴﺘﻪﻫـﺎﻱ ﺍﺯ ﻗﺒﻞ ﺗﻌـﺮﻳﻒ ﺷـﺪﻩﺍﻱ ﻣﺮﺍﺟﻌﻪ ﻛﻨﺪﻛﻪ ﺗﻌـﺪﺍﺩﻱ ﺍﺯ ﻻﺯﻣﻪﻫﺎﻱ ﻣﻌﻤﻮﻝ ﻳﺎﺩﺷﺪﻩ ﺩﺭ ﺍﺳﻨﺎﺩ ﻳﻚ ﻣﺤـﺼﻮﻝ ﺭﺍ ﮔـﺮﺩﻫﻢ‬
‫ﺁﻭﺭﺩﻩ ﺍﺳﺖ‪ .‬ﺑﻄﺮﻳﻖ ﻣﺸﺎﺑﻪ‪ ،‬ﻳﻚ ﺗﻮﻟﻴﺪﻛﻨﻨﺪﻩ ﻳﺎ ﻃﺮﺍﺡ ﻣﻲﺗﻮﺍﻧﺪ ﺗﻌﺪﺍﺩﻱ ﺍﺯ ﻣﺆﻟﻔﻪﻫﺎ ﻳﺎ ﺑﺴﺘﻪﻫﺎ ﺭﺍ ﺍﻧﺘﺨﺎﺏ ﻛﺮﺩﻩ ﻭ ﻳﻚ ‪ ST‬ﺭﺍ ﺗﻌﺮﻳﻒ‬
‫ﻛﻨﺪ‪.‬‬
www.NetSimulate.net
‫ﻓﺼﻞ ﻳﺎﺯﺩﻫﻢ‬
Component PAKAGES
CLASSb Familyj
Reusable set of functional
Component or assurance requirements.
Optional input to PP ot ST
...
PROTECTION PROFILE
Component possible input
sources for PP
Familyk Component
CLASSa
Component
Familyj Component
...
SECURITY TARGET
Component possible input
Component
sources for ST
...
Optional exended (non-CC)
Component Security requirements
‫ﺳﺎﺯﻣﺎﻥ ﻭ ﺳﺎﺧﺘﺎﺭ ﻻﺯﻣﻪﻫﺎﻱ ﻣﻌﻴﺎﺭﻫﺎﻱ ﻣﺸﺘﺮﻙ‬ ۱۱-۶ ‫ﺷﻜﻞ‬

‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
٤١٨
٤١٩ ‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ ﺩﺭ ﻭﺍﻗﻊ ﺍﻳﻦ‬.‫ ﺭﺍ ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ‬،‫ ﭘﺎﺭﺍﺩﺍﻳﻢ ﻻﺯﻣﻪﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺍﻣﻨﻴﺖ ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‬،CC ‫ ﺁﻧﭽﻪ ﻛﻪ ﺩﺭ ﺍﺳﻨﺎﺩ‬۱۱-۷ ‫ﺷﻜﻞ‬
.‫ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‬CC ‫ ﺍﻣﺎ ﺍﺯ ﺍﺻﻄﻼﺣﺎﺕ ﻭ ﻓﻠﺴﻔﺔ ﻃﺮﺍﺣﻲ‬،‫ﺷﻜﻞ ﺑﺮ ﺍﺳﺎﺱ ﻣﻔﻬﻮﻡ ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ ﺑﻨﺎ ﺷﺪﻩ‬
Target of evaluation (TOE) TOE security functions interface (TSFI)
Human
user/ TOE security functions
remote IT Security
attributes (TSF)
product
Enforces TOE Security Policy
Subject (TSP)
Subject Object/
Information Subject
Security
attributes Security Security
attributes attributes
User Resource Process

Security
attributes
Subject TSF scope of control (TSC)
‫ﭘﺎﺭﺍﺩﺍﻳﻢ ﻻﺯﻣﻪﻫﺎﻱ ﻋﻤﻠﻴﺎﺗﻲ ﺍﻣﻨﻴﺖ‬ ۱۱-۷ ‫ﺷﻜﻞ‬
‫ﻣﻨﺎﺑﻊ ﻣﻄﺎﻟﻌﺎﺗﻲ‬ ۱۱-۴
[CHES03] ‫ ﻣﻨﺒﻊ ﻛﻼﺳﻴﻚ ﺩﻳﮕﺮﻱ ﻛﻪ ﺍﺧﻴﺮﺍﹰ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﺷﺪﻩ ﺍﺳﺖ‬.‫[ ﺍﺳﺖ‬CHAP00] ‫ﻳﻚ ﻣﻨﺒﻊ ﻛﻼﺳﻴﻚ ﺑﺮﺍﻱ ﻣﻄﺎﻟﻌﺔ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ‬
‫[ ﻳﻚ ﻣﺮﻭﺭ ﻋﺎﻟﻲ ﺑﺮ ﺗﻜﻨﻮﻟﻮﮊﻱ‬WACK02] .‫[ ﻣﻘﺎﻻﺕ ﺧﻮﺑﻲ ﺑﺮﺍﻱ ﻣﺮﻭﺭ ﻣﻄﻠﺐ ﻫﺴﺘﻨﺪ‬BELL94b] ‫[ ﻭ‬LODI98] ،[OPPL97] .‫ﺍﺳﺖ‬
.‫[ ﻣﺒﺎﺣﺚ ﺧﻮﺑﻲ ﺩﺭ ﻣﻮﺭﺩ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﺩﺍﺭﻧﺪ‬WILS05] ‫[ ﻭ‬AUDI04] .‫ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﻭ ﺳﻴﺎﺳﺖﻫﺎﻱ ﻣﺮﺗﺒﻂ ﺑﺎ ﺁﻥ ﺍﺳﺖ‬
‫[ ﻧﻴﺰ ﺍﻳﻦ ﻣﻘﻮﻟﻪ ﺭﺍ‬GOLL99] ‫[ ﻭ‬PFLE03] .‫[ ﻳﻚ ﺑﺮﺭﺳﻲ ﺗﻔﺼﻴﻠﻲ ﺍﺯ ﺳﻴﺴﺘﻢﻫﺎﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﻣﻌﺘﻤﺪ ﺭﺍ ﺍﺭﺍﺋﻪ ﻣﻲﺩﻫﺪ‬GASS88]
.‫[ ﺑﺤﺚﻫﺎﻱ ﻣﻔﻴﺪﻱ ﺩﺭ ﺑﺎﺭﺓ ﻣﺤﺎﺳﺒﺎﺕ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﺩﺍﺭﻧﺪ‬OPPL05] ‫[ ﻭ‬FELT03] .‫ﭘﻮﺷﺶ ﻣﻲﺩﻫﻨﺪ‬
AUDI04 Audin, G. "Next-Gen Firewalls: What to Expect." Business Communications Review, June
2004.
BELL94b Bellovin, S., and Cheswick, W. "Network Firewalls." IEEE Communications Magazine,
September 1994.
CHAP00 Chapman, D., and Zwicky, E. Building Internet Firewalls. Sebastopol, CA:
O'Reilly,2000.
CHES03 Cheswick, W., and Bellovin, S. Firewalls and Internet Security: Repelling the Wily
Hacker. Reading, MA: Addison-Wesley, 2003.
‫ﻓﺼﻞ ﻳﺎﺯﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ٤٢٠
FELT03 Felten, E. "Understanding Trusted Computing: Will Its Benfits Outweigh Its Drawbacks?"
IEEE Society and Privacy, May/June 2003.
GASS88 Gasser, M. Building a Secure Computer System. New York: Van Nostrand Reinhold,
1988.
GOLL99 Gollmann, D. Computer Security. New York: Wiley, 1999.
LODI98 Lodin, S., and Schuba, C. "Firewalls Fend Off Invasions from the Net." IEEE Spectrum,
February 1998.
OPPL97 Oppliger, R. "Internet Security: Firewalls and Beyond." Communications of the ACM,
May 1997.
OPPL05 Oppliger, R., and Rytz, R. "Does Trusted Computing Remedy Computer Security
Problems?" IEEE Security and Privacy, March/April 2005.
PFLE03 Pfleeger, C. Security in Computing. Upper Saddle River, NJ: Prentice Hall, 2003.
WACK02 Wack, J.; Cutler, K.; and Pole, J. Guidelines on Firewalls and Firewall Policy. NIST
Special Publication SP 800-41, January 2002.
WILS05 Wilson, J. "The Future of the Firewall."Business Communications Review, May 2005.
.‫ﻧﺮﻡﺍﻓﺰﺍﺭﻱ‬ ‫ ﻟﻴﻨﻚﻫﺎﻱ ﺑﺴﻴﺎﺭ ﺑﻪ ﻣﺮﺍﺟﻊ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﻭ ﻣﻨﺎﺑﻊ‬:Firewall.com •

‫ ﺳﺎﻳﺖ‬.‫ ﮔﺮﻭﻩ ﺳﺎﺯﻧﺪﮔﺎﻧﻲ ﻛﻪ ﺩﺭﮔﻴﺮ ﺳﺎﺧﺖ ﻭ ﺗﻮﺳﻌﺔ ﺍﺳﺘﺎﻧﺪﺍﺭﺩﻫﺎﻱ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﻫﺴﺘﻨﺪ‬:Trusted Computing Group •
.‫ ﻣﺸﺨﺼﻪﻫﺎﻭ ﻟﻴﻨﻚﻫﺎﺋﻲ ﺑﻪ ﺳﺎﺯﻧﺪﮔﺎﻥ ﺍﺳﺖ‬،‫ﺷﺎﻣﻞ ﻣﻘﺎﻻﺕ‬
.‫ ﻭِﺏﺳﺎﻳﺖ ﺭﺳﻤﻲ ﭘﺮﻭﮊﺓ ﻣﻌﻴﺎﺭﻫﺎﻱ ﻣﺸﺘﺮﻙ‬:Common Criteria Portal •
‫ ﺳﺆﺍﻻﺕ ﻣﺮﻭﺭﻛﻨﻨﺪﺓ ﺑﺤﺚ ﻭ ﻣﺴﺎﺋﻞ‬،‫ﻭﺍﮊﻩﻫﺎﻱ ﻛﻠﻴﺪﻱ‬ ۱۱-۵
access control list (ACL) ‫ﻟﻴﺴﺖ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‬ firewall ‫ﺩﻳﻮﺍﺭ ﺁﺗﺶ‬
access matrix ‫ﻣﺎﺗﺮﻳﺲ ﺩﺳﺖﻳﺎﺑﻲ‬ multilevel security ‫ﺍﻣﻨﻴﺖ ﭼﻨﺪ ﺳﻄﺤﻪ‬
access right ‫ﺣﻖ ﺩﺳﺖﻳﺎﺑﻲ‬ object ‫ﻣﻮﺿﻮﻉ‬
application- level gateway ‫ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ‬ packet- filtering router ‫ﻣﺴﻴﺮﻳﺎﺏ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ‬
bastion host ‫ﻣﻴﺰﺑﺎﻥ ﺩﮊﺩﺍﺭ‬ reference monitor ‫ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ‬
capability ticket ‫ﺑﻠﻴﺖ ﺗﻮﺍﻧﺎﺋﻲ‬ stateful inspection firewall ‫ﺩﻳﻮﺍﺭﺁﺗﺶ ﺗﻔﺘﻴﺶﻛﻨﻨﺪﻩ ﺣﺎﻟﺖ‬
circuit- level gateway ‫ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻣﺪﺍﺭ‬ subject ‫ﺳﻮﮊﻩ‬
common criteria(CC) ‫ﻣﻌﻴﺎﺭﻫﺎﻱ ﻣﺸﺘﺮﻙ‬ trusted system ‫ﺳﻴﺴﺘﻢ ﻣﻌﺘﻤﺪ‬
‫‪٤٢١‬‬ ‫ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫ﺳﻪ ﻫﺪﻑ ﺍﺻﻠﻲ ﻃﺮﺍﺣﻲ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺭﺍ ﻧﺎﻡ ﺑﺒﺮﻳﺪ‪.‬‬ ‫‪۱۱-۱‬‬

‫ﭼﻬﺎﺭ ﺗﻜﻨﻴﻚ ﻣﺨﺘﻠﻒ ﻛﻪ ﺑﺘﻮﺳﻂ ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ﺑﺮﺍﻱ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻭ ﺍﺳﺘﻘﺮﺍﺭ ﻧﻈﺎﻡ ﺍﻣﻨﻴﺘﻲ ﺍﺳـﺘﻔﺎﺩﻩ ﻣـﻲﺷـﻮﺩ‪ ،‬ﺭﺍ ﻧـﺎﻡ‬ ‫‪۱۱-۲‬‬
‫ﺑﺒﺮﻳﺪ‪.‬‬
‫ﭼﻪ ﺍﻃﻼﻋﺎﺗﻲ ﺍﺯ ﺳﻮﻱ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ؟‬ ‫‪۱۱-۳‬‬
‫ﺑﺮﺧﻲ ﺍﺯ ﻧﻘﺎﻁ ﺿﻌﻒ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ ﻛﺪﺍﻡ ﺍﺳﺖ؟‬ ‫‪۱۱-۴‬‬
‫ﻓﺮﻕ ﺑﻴﻦ ﻳﻚ ﻣﺴﻴﺮﻳﺎﺏ ﻓﻴﻠﺘﺮﻛﻨﻨﺪﺓ ﺑﺴﺘﻪﻫﺎ ﻭ ﻳﻚ ﺩﻳﻮﺍﺭ ﺁﺗﺶ ﺗﻔﺘﻴﺶﻛﻨﻨﺪﺓ ﺣﺎﻟﺖ ﭼﻴﺴﺖ؟‬ ‫‪۱۱-۵‬‬
‫ﻳﻚ ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻣﺪﺍﺭ ﭼﻴﺴﺖ؟‬ ‫‪۱۱-۶‬‬
‫ﻳﻚ ﺩﺭﻭﺍﺯﺓ ﺳﻄﺢ ﻛﺎﺭﺑﺮﺩ ﭼﻴﺴﺖ؟‬ ‫‪۱۱-۷‬‬
‫ﺗﻔﺎﻭﺕﻫﺎﻱ ﺳﻪ ﭘﻴﻜﺮﺑﻨﺪﻱ ﺷﻜﻞ ‪ ۱۱-۲‬ﻛﺪﺍﻡ ﺍﺳﺖ؟‬ ‫‪۱۱-۸‬‬
‫ﺩﺭ ﻣﻘﻮﻟﺔ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‪ ،‬ﻓﺮﻕ ﺑﻴﻦ ﻳﻚ ﺳﻮﮊﻩ ﻭ ﻳﻚ ﻣﻮﺿﻮﻉ ﭼﻴﺴﺖ؟‬ ‫‪۱۱-۹‬‬
‫ﻓﺮﻕ ﺑﻴﻦ ﻳﻚ ﻟﻴﺴﺖ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻭ ﻳﻚ ﺑﻠﻴﺖ ﺗﻮﺍﻧﺎﺋﻲ ﭼﻴﺴﺖ؟‬ ‫‪۱۱-۱۰‬‬
‫ﺩﻭ ﻗﺎﻧﻮﻧﻲ ﻛﻪ ﻳﻚ ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ ﺍﻋﻤﺎﻝ ﻣﻲﻛﻨﺪ‪ ،‬ﻛﺪﺍﻡﺍﻧﺪ؟‬ ‫‪۱۱-۱۱‬‬
‫ﻳﻚ ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ ﭼﻪ ﺧﻮﺍﺻﻲ ﺑﺎﻳﺪ ﺩﺍﺷﺘﻪ ﺑﺎﺷﺪ؟‬ ‫‪۱۱-۱۲‬‬
‫ﻣﻌﻴﺎﺭﻫﺎﻱ ﻣﺸﺘﺮﻙ ﭼﻴﺴﺘﻨﺪ؟‬ ‫‪۱۱-۱۳‬‬
‫ﻫﻤﺎﻧﻄﻮﺭ ﻛﻪ ﺩﺭﺑﺨﺶ ‪ ۱۱-۱‬ﺫﻛﺮ ﮔﺮﺩﻳﺪ‪ ،‬ﻳﻜﻲ ﺍﺯ ﺭﻭﺵﻫﺎﻱ ﺷﻜﺴﺖ ﺩﺍﺩﻥ ﺣﻤﻠﺔ ﻓِﺮﮔﻤﻨﺖﻫﺎﻱ ﻛﻮﭼﻚ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﻃﻮﻝ‬ ‫‪۱۱-۱‬‬
‫ﺣﺪﺍﻗﻞ ﺍﺯ ﺳﺮﺁﻳﻨﺪ ﺣﻤﻞﻭﻧﻘﻞ ﺭﺍ ﻣﺠﺒﻮﺭ ﺳﺎﺯﻳﻢ ﺗﺎ ﺩﺭ ﺍﻭﻟﻴﻦ ﻓِﺮﮔﻤﻨﺖ ﺑﺴﺘﺔ ‪ IP‬ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪ .‬ﺍﮔﺮ ﺍﻭﻟﻴﻦ ﻓِﺮﮔﻤﻨـﺖ ﭘﺬﻳﺮﻓﺘـﻪ ﻧـﺸﻮﺩ‪،‬‬
‫ﻫﻤﺔ ﻓِﺮﮔﻤﻨﺖﻫﺎﻱ ﺩﻳﮕﺮ ﻧﻴﺰ ﻣﻲﺗﻮﺍﻧﻨﺪ ﭘﺬﻳﺮﻓﺘﻪ ﻧﺸﻮﻧﺪ‪ .‬ﺍﺯ ﺳﻮﻱ ﺩﻳﮕﺮ‪ ،‬ﻣﺎﻫﻴﺖ ‪ IP‬ﭼﻨﺎﻥ ﺍﺳﺖ ﻛﻪ ﻓِﺮﮔﻤﻨﺖﻫﺎ ﻣﻲﺗﻮﺍﻧﻨﺪ ﺧـﺎﺭﺝ‬
‫ﺍﺯ ﻧﻈﻢ ﺩﺭﻳﺎﻓﺖ ﺷﻮﻧﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻳﻚ ﻓِﺮﮔﻤﻨﺖ ﻣﻴﺎﻧﻲ ﻣﻤﻜﻦ ﺍﺳﺖ ﻗﺒﻞ ﺍﺯ ﺍﻳﻨﻜﻪ ﻓِﺮﮔﻤﻨﺖ ﺍﻭﻟﻴﻪ ﺑﺮﮔﺸﺖ ﺩﺍﺩﻩ ﺷﻮﺩ ﺍﺯ ﻓﻴﻠﺘﺮ ﻋﺒﻮﺭ‬
‫ﻛﻨﺪ‪ .‬ﭼﮕﻮﻧﻪ ﻣﻲﺗﻮﺍﻥ ﺍﻳﻦ ﻣﺸﻜﻞ ﺭﺍ ﺭﻓﻊ ﻛﺮﺩ؟‬
‫ﺩﺭ ﻳﻚ ﺑﺴﺘﺔ ‪ ،IPv4‬ﺍﻧﺪﺍﺯﺓ ﻣﺤﻤﻮﻟﻪ ﺩﺭ ﺍﻭﻟﻴﻦ ﻓِﺮﮔﻤﻨﺖ ﺑﺮﺣﺴﺐ ﺍﹸﻛﺘﺖ ﻣﺴﺎﻭﻱ )‪ Total Length – (4 × IHL‬ﺍﺳﺖ‪ .‬ﺍﮔـﺮ‬ ‫‪۱۱-۲‬‬
‫ﺍﻳﻦ ﺍﻧﺪﺍﺯﻩ ﻛﻤﺘﺮ ﺍﺯ ﺣﺪﺍﻗﻞ ﻻﺯﻡ )‪ ۸‬ﺍﹸﻛﺘﺖ ﺑﺮﺍﻱ ‪ ( TCP‬ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﺍﻳﻦ ﻓِﺮﮔﻤﻨﺖ ﻭ ﺗﻤـﺎﻡ ﺑـﺴﺘﻪ ﭘﺬﻳﺮﻓﺘـﻪ ﻧﻤـﻲﺷـﻮﻧﺪ‪ .‬ﺭﻭﺵ‬
‫ﺩﻳﮕﺮﻱ ﺑﺮﺍﻱ ﺑﺮﺁﻭﺭﺩﻩ ﻧﻤﻮﺩﻥ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﭘﻴﺸﻨﻬﺎﺩ ﻛﻨﻴﺪ ﻛﻪ ﻓﻘﻂ ﺍﺯ ﻣﻴﺪﺍﻥ ‪ Fragment Offset‬ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪.‬‬
‫‪ RFC 791‬ﻛﻪ ﻣﺸﺨﺺﻛﻨﻨﺪﺓ ﭘﺮﻭﺗﻜﻞ ‪ IPv4‬ﺍﺳﺖ‪ ،‬ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﺎﺯﺳﺎﺯﻱ ﻣﺠﺪﺩ)‪ (reassembly‬ﺭﺍ ﺗﻮﺻـﻴﻒ ﻣـﻲﻛﻨـﺪ ﻛـﻪ‬ ‫‪۱۱-۳‬‬
‫ﻣﻨﺠﺮ ﺑﻪ ﺗﻮﻟﻴﺪ ﻳﻚ ﻓِﺮﮔﻤﻨﺖ ﺟﺪﻳﺪ ﻣﻲﮔﺮﺩﺩ ﻛﻪ ﺟﺎﻱ ﻗﺴﻤﺖﻫﺎﻱ ﻫﻢﭘﻮﺷﺎﻥ ﻓِﺮﮔﻤﻨﺖﻫﺎﻱ ﻗﺒﻞ ﺭﺍ ﭘﺮ ﻣﻲﻛﻨﺪ‪ .‬ﺑﺎ ﺩﺍﺷـﺘﻦ ﭼﻨـﻴﻦ‬
‫ﭘﻴﺎﺩﻩﺳﺎﺯﻱ‪ ،‬ﻳﻚ ﺣﻤﻠﻪﻛﻨﻨﺪﻩ ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﺳﺮﻱ ﺑﺴﺘﻪﻫﺎﺋﻲ ﺭﺍ ﺑﺴﺎﺯﺩ ﻛﻪ ﺩﺭ ﺁﻧﻬﺎ ﭘﺎﺋﻴﻦﺗﺮﻳﻦ ﻓِﺮﮔﻤﻨـﺖ )‪ (zero-offset‬ﺷـﺎﻣﻞ‬
‫ﺩﺍﺩﻩﻫﺎﻱ ﺑﻲﺁﺯﺍﺭ ﺑﻮﺩﻩ )ﺑﻨﺎﺑﺮﺍﻳﻦ ﺑﺘﻮﺳﻂ ﻣﺪﻳﺮﻳﺖ ﻓﻴﻠﺘـﺮ ﺑـﺴﺘﻪﻫـﺎ ﻋﺒـﻮﺭ ﻛﻨـﺪ( ﻭ ﺑﺮﺧـﻲ ﺑـﺴﺘﻪﻫـﺎﻱ ﺑﻌـﺪ ﻛـﻪ ﺩﺍﺭﺍﻱ ‪offset‬‬
‫ﻏﻴﺮﺻﻔﺮﺑﻮﺩﻩ ﻭ ﺭﻭﻱ ﺍﻃﻼﻋﺎﺕ ﺳﺮﺁﻳﻨﺪ ‪) TCP‬ﻣﺜﻼﹰ ﭘﻮﺭﺕ ﻣﻘـﺼﺪ( ﺍﻓﺘـﺎﺩﻩ ﻭ ﺑﺎﻋـﺚ ﺗﻐﻴﻴـﺮ ﺁﻧﻬـﺎ ﺷـﻮﺩ‪ .‬ﺑـﺴﺘﺔ ﺩﻭﻡ ﺍﺯ ﺑﻴـﺸﺘﺮ‬
‫ﭘﻴﺎﺩﻩﺳﺎﺯﻱﻫﺎ ﻋﺒﻮﺭ ﻧﻤﻮﺩﻩ ﺯﻳﺮﺍ ﺩﺍﺭﺍﻱ ﻳﻚ ‪ fragment offset‬ﺻﻔﺮ ﻧﻴﺴﺖ‪ .‬ﺭﻭﺷﻲ ﺭﺍ ﭘﻴﺸﻨﻬﺎﺩ ﻛﻨﻴﺪ ﻛﻪ ﺑﺘﻮﺍﻧـﺪ ﺍﺯ ﺳـﻮﻱ ﻳـﻚ‬
‫ﻓﻴﻠﺘﺮ ﺑﺴﺘﻪﻫﺎ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺷﺪﻩ ﻭ ﺑﺎ ﺍﻳﻦ ﺣﻤﻠﻪ ﻣﻘﺎﺑﻠﻪ ﻧﻤﺎﻳﺪ‪.‬‬
‫ﻓﺼﻞ ﻳﺎﺯﺩﻫﻢ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٢٢‬‬
‫ﺿﺮﻭﺭﺕ ﻗﺎﻧﻮﻥ » ﺑﺎﻻﺗﺮ ﺭﺍ ﻧﺨﻮﺍﻧﺪ« ﺑﺮﺍﻱ ﻳﻚ ﺳﻴﺴﺘﻢ ﺍﻣﻦ ﭼﻨﺪ ﺳﻄﺤﻪ ﻛﺎﻣﻼﹰ ﺭﻭﺷﻦ ﺍﺳﺖ‪ .‬ﺍﻫﻤﻴﺖ ﻗﺎﻧﻮﻥ » ﭘﺎﺋﻴﻦﺗﺮ ﺭﺍ ﻧﻨﻮﻳﺴﺪ«‬ ‫‪۱۱-۴‬‬
‫ﭼﻴﺴﺖ؟‬
‫ﺩﺭ ﺷﻜﻞ ‪ ۱۱-۵‬ﻳﻚ ﻟﻴﻨﻚ ﺍﺳﺐ ﺗﺮﻭﺍ ﺩﺭ ﺯﻧﺠﻴﺮﺓ ‪ copy-and-observe-later‬ﭘﺎﺭﻩ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺩﻭ ﺯﺍﻭﻳﺔ ﻣﻤﻜﻦ ﺩﻳﮕﺮ ﺑﺮﺍﻱ‬ ‫‪۱۱-۵‬‬
‫ﺣﻤﻠﻪ ﺑﺘﻮﺳﻂ ‪ Alice‬ﻭﺟﻮﺩ ﺩﺍﺭﺩ‪ Alice :‬ﻭﺍﺭﺩ ﺳﻴﺴﺘﻢ ﺷﺪﻩ ﻭ ﺗﻼﺵ ﻛﻨﺪ ﺗﺎ ﺩﻧﺒﺎﻟﻪ ﺭﺍ ﻣﺴﺘﻘﻴﻤﺎﹰ ﺑﺨﻮﺍﻧﺪ ﻭ ﻳﺎ ﺍﻳﻨﻜﻪ ‪ Alice‬ﻳﻚ‬
‫ﺳﻄﺢ ﺍﻣﻨﻴﺘﻲ ﺣﺴﺎﺱ ﺭﺍ ﺑﻪ ﻓﺎﻳﻞ ﺟﻴﺐ ﻣﺨﻔﻲ ﺍﻋﻤﺎﻝ ﻧﻤﺎﻳﺪ‪ .‬ﺁﻳﺎ ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ ﺍﺯ ﺍﻳﻦ ﺣﻤﻼﺕ ﺟﻠﻮﮔﻴﺮﻱ ﻣﻲﻛﻨﺪ؟‬
‫ﭘﻴﻮﺳﺖ )ﺍﻟﻒ(‬
‫ﺟﻨﺒﻪﻫﺎﺋﻲ ﺍﺯ‬
‫ﺗﺌﻮﺭﻱ ﺍﺯ ﺍﻋﺪﺍﺩ‬
‫ﺍﻋﺪﺍﺩ ﺍﻭﻝ ﻭ ﺍﻭﻝ ﻧﺴﺒﻲ‬ ‫ﺍﻟﻒ ‪۱ -‬‬

‫ﻣﻘﺴﻮﻡﻋﻠﻴﻪﻫﺎ‬
‫ﺍﻋﺪﺍﺩ ﺍﻭﻝ‬
‫ﺍﻋﺪﺍﺩ ﺍﻭﻝ ﻧﺴﺒﻲ‬
‫ﺣﺴﺎﺏ ﭘﻴﻤﺎﻧﻪﺍﻱ‬ ‫ﺍﻟﻒ‪۲ -‬‬

‫ﭘﻴﻮﺳﺖ )ﺍﻟﻒ(‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٢٤‬‬
‫ﺍﻋﺪﺍﺩ ﺍﻭﻝ ﻭ ﺍﻭﻝ ﻧﺴﺒﻲ‬ ‫ﺍﻟﻒ‪١-‬‬
‫ﺩﺭ ﺍﻳﻦ ﺑﺨﺶ ﺗﻨﻬﺎ ﺑﺎ ﺍﻋﺪﺍﺩ ﺻﺤﻴﺢ ﻏﻴﺮﻣﻨﻔﻲ ﺳﺮﻭﻛﺎﺭ ﺧﻮﺍﻫﻴﻢ ﺩﺍﺷﺖ‪ .‬ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻋﺪﺍﺩ ﺻـﺤﻴﺢ ﻣﻨﻔـﻲ ﺗﻔـﺎﻭﺕ ﺯﻳـﺎﺩﻱ ﺭﺍ ﺩﺭ ﺑﺤـﺚ‬
‫ﺑﻮﺟﻮﺩ ﻧﻤﻲﺁﻭﺭﺩ‪.‬‬
‫ﻣﻘﺴﻮﻡ ﻋﻠﻴﻪﻫﺎ‬
‫ﻣﻲﮔﻮﺋﻴﻢ ﻛﻪ ‪ a ،b ≠ 0‬ﺭﺍ ﻣﻲﺷﻤﺎﺭﺩ ﺍﮔﺮ ﺑﺮﺍﻱ ﻣﻘﺪﺍﺭﻱ ﺍﺯ ‪ a = mb ،m‬ﺑﺎﺷﺪ ﻛﻪ ﺩﺭﺁﻥ ‪ b ، a‬ﻭ ‪ m‬ﺍﻋﺪﺍﺩ ﺻﺤﻴﺢ ﻣﻲﺑﺎﺷﻨﺪ‪ .‬ﻳﻌﻨﻲ‬
‫‪ a ،b‬ﺭﺍ ﻣﻲﺷﻤﺎﺭﺩ ﺍﮔﺮ ﺗﻘﺴﻴﻢ ﺍﻳﻦ ﺩﻭ ﺑﺮﻫﻢ ﺑﺎﻗﻴﻤﺎﻧﺪﻩ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ‪ .‬ﻋﻼﻣﺖ ‪ b | a‬ﺍﻏﻠﺐ ﺑﻪ ﻣﻔﻬﻮﻡ ﺍﻳﻦﻛﻪ ‪ a ،b‬ﺭﺍ ﻣﻲﺷﻤﺎﺭﺩ ﺑﻜـﺎﺭ‬
‫ﻣﻲﺭﻭﺩ‪ .‬ﻫﻤﭽﻨﻴﻦ ‪ b | a‬ﺑﻪ ﺍﻳﻦ ﻣﻔﻬﻮﻡ ﺍﺳﺖ ﻛﻪ ‪ b‬ﻣﻘﺴﻮﻡﻋﻠﻴﻪ ‪ a‬ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ‪ ،‬ﻣﻘﺴﻮﻡﻋﻠﻴﻪﻫﺎﻱ ﻋﺪﺩ ‪ ،۲۴‬ﺍﻋـﺪﺍﺩ ‪،۳ ،۲ ،۱‬‬
‫‪ ۱۲ ،۸ ،۶ ،۴‬ﻭ ‪ ۲۴‬ﻫﺴﺘﻨﺪ‪.‬‬
‫ﺭﻭﺍﺑﻂ ﺯﻳﺮ ﺑﺮﻗﺮﺍﺭﻧﺪ‪:‬‬
‫ﺍﮔﺮ ‪ ، a | 1‬ﺁﻧﮕﺎﻩ ‪a = E1‬‬ ‫•‬
‫ﺍﮔﺮ ‪ a | b‬ﻭ ‪ b | a‬ﺁﻧﮕﺎﻩ ‪a = Eb‬‬ ‫•‬
‫ﻫﺮ ‪ 0 ، b ≠ 0‬ﺭﺍ ﻣﻲﺷﻤﺎﺭﺩ‬ ‫•‬
‫ﺍﮔﺮ ‪ b | g‬ﻭ ‪ ،b | h‬ﺁﻧﮕﺎﻩ ﺑﺮﺍﻱ ﻫﺮ ﻋﺪﺩ ﺻﺤﻴﺢ ﺍﺧﺘﻴﺎﺭﻱ ‪ m‬ﻭ ‪b | (mg + nh) ،n‬‬ ‫•‬
‫ﺑﺮﺍﻱ ﻣﻼﺣﻈﺔ ﺁﺧﺮﻳﻦ ﻧﻜﺘﻪ ﺫﻛﺮﺷﺪﻩ ﺗﻮﺟﻪ ﻛﻨﻴﺪ ﻛﻪ‬
‫ﺍﮔﺮ ‪ ، b | g‬ﺁﻧﮕﺎﻩ ﺑﺮﺍﻱ ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ‪ g = b × g1 ، g1‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‬
‫ﺍﮔﺮ ‪ ، b | h‬ﺁﻧﮕﺎﻩ ﺑﺮﺍﻱ ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ‪ h = b × g2 ، g2‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ‬
‫)‪mg + nh = mbg1 + nbh1 = b × (mg1 + nh1‬‬
‫ﻭ ﺩﺭ ﻧﺘﻴﺠﻪ ‪ b‬ﻣﻘﺴﻮﻡ ﻋﻠﻴﻪ ‪ mg + nh‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪.‬‬
‫ﺍﻋﺪﺍﺩ ﺍﻭﻝ‬
‫ﻫﺮ ﻋﺪﺩ ﺻﺤﻴﺢ ‪ p > 1‬ﻳﻚ ﻋﺪﺩ ﺍﻭﻝ ﺍﺳﺖ ﺍﮔﺮ ﺗﻨﻬﺎ ﻣﻘﺴﻮﻡﻋﻠﻴﻪﻫﺎﻱ ﺁﻥ ‪ E۱‬ﻭ ‪ E p‬ﺑﺎﺷﻨﺪ‪ .‬ﺍﻋﺪﺍﺩ ﺍﻭﻝ ﻧﻘﺶ ﻣﻬﻤـﻲ ﺩﺭ ﺗﺌـﻮﺭﻱ‬
‫ﺍﻋﺪﺍﺩ ﻭ ﺩﺭ ﺗﻜﻨﻴﻚﻫﺎﻱ ﻣﻮﺭﺩ ﺑﺤﺚ ﺩﺭ ﻓﺼﻞ ‪ ۳‬ﺍﻳﻦ ﻛﺘﺎﺏ ﺩﺍﺭﻧﺪ‪.‬‬
‫ﻫﺮ ﻋﺪﺩ ﺻﺤﻴﺢ ‪ a > 1‬ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﻪ ﻓﺮﻡ ﻳﻜﺘﺎﺋﻲ ﺑﻪ ﺻﻮﺭﺕ ﻓﺎﻛﺘﻮﺭ ﺯﻳﺮ ﺩﺭﺁﻭﺭﺩ‪:‬‬
‫‪٤٢٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺟﻨﺒﻪﻫﺎﺋﻲ ﺍﺯ ﺗﺌﻮﺭﻱ ﺍﻋﺪﺍﺩ‬
‫‪a = p1a1 p2a2 … ptat‬‬
‫ﻛﻪ ﺩﺭﺁﻥ ‪ p1 M p2 M . . . M pt‬ﺍﻋﺪﺍﺩ ﺍﻭﻝ ﺑﻮﺩﻩ ﻭ ﻫﺮ ‪ ai‬ﻳﻚ ﻋﺪﺩ ﺻـﺤﻴﺢ ﻣﺜﺒـﺖ ﺍﺳـﺖ‪ .‬ﺑـﺮﺍﻱ ﻣﺜـﺎﻝ‪ ۹۱ = ۷ × ۱۳ ،‬ﻭ‬
‫‪ ۱۱۰۱۱ = ۷ × ۱۱۲ × ۱۳‬ﻣﻲﺑﺎﺷﺪ‪.‬‬
‫ﺑﻴﺎﻥ ﻣﺴﺄﻟﻪ ﺑﻪ ﻧﺤﻮ ﺩﻳﮕﺮ ﻧﻴﺰ ﻣﻔﻴﺪ ﺍﺳﺖ‪ .‬ﺍﮔﺮ ‪ P‬ﻣﺠﻤﻮﻋﺔ ﻫﻤﺔ ﺍﻋﺪﺍﺩ ﺍﻭﻝ ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ﻫﺮ ﻋﺪﺩ ﺻﺤﻴﺢ ﻣﺜﺒﺖ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑـﻪ‬
‫ﻓﺮﻡ ﻳﻜﺘﺎﺋﻲ ﺑﻪ ﺷﻜﻞ ﺯﻳﺮ ﻧﻮﺷﺖ‪:‬‬

‫ﻛﻪ ﺩﺭ ﺁﻥ ﻫﺮ ‪ ap ≥ 0‬ﺍﺳﺖ‬ ‫‪a = Π p ap‬‬
‫‪p ∈P‬‬
‫ﻣﻤﻜﻦ ﺍﺳﺖ‪ .‬ﺑﺮﺍﻱ ﻫﺮ ﻣﻘﺪﺍﺭ ‪ ،a‬ﺑﻴﺸﺘﺮ ﺗﻮﺍﻥﻫﺎﻱ ‪ ap‬ﺻﻔﺮ ﻫﺴﺘﻨﺪ‪.‬‬ ‫ﻃﺮﻑ ﺳﻤﺖ ﺭﺍﺳﺖ ﻋﺒﺎﺭﺕ ﺑﺎﻻ‪ ،‬ﺣﺎﺻﻠﻀﺮﺏ ﺗﻤﺎﻡ ﺍﻋﺪﺍﺩ ﺍﻭﻝ ‪p‬‬
‫ﺍﻧﺪﺍﺯﺓ ﻫﺮ ﻋﺪﺩ ﻣﺜﺒﺖ ﺩﺍﺩﻩ ﺷﺪﻩ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﺑﺎ ﻟﻴﺴﺖ ﻧﻤﻮﺩﻥ ﺗﻤﺎﻡ ﺗﻮﺍﻥﻫﺎﻱ ﻏﻴﺮﺻﻔﺮ ﻓﺮﻣﻮﻝ ﻗﺒﻞ ﺗﻌﻴﻴﻦ ﻛﺮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ‪ ،‬ﻋﺪﺩ‬
‫ﺻﺤﻴﺢ ‪ ۱۲‬ﺑﺼﻮﺭﺕ } ‪ a3 = ۱‬ﻭ ‪ { a2 = ۲‬ﻭ ﻋﺪﺩ ﺻﺤﻴﺢ ‪ ۱۸‬ﺑـﺼﻮﺭﺕ } ‪ a3 = ۲‬ﻭ ‪ { a2 = ۱‬ﻧـﺸﺎﻥ ﺩﺍﺩﻩ ﻣـﻲﺷـﻮﺩ‪.‬‬
‫ﺣﺎﺻﻠﻀﺮﺏ ﺩﻭ ﻋﺪﺩ ﻣﻌﺎﺩﻝ ﺟﻤﻊ ﻛﺮﺩﻥ ﺗﻮﺍﻥﻫﺎﻱ ﻣﺘﻨﺎﻇﺮ ﺑﺎ ﻫﻢ ﺍﺳﺖ‪.‬‬
‫‪k = mn‬‬ ‫→‬ ‫‪kp = mp + np‬‬ ‫ﺑﺮﺍﻱ ﺗﻤﺎﻡ ﻣﻘﺎﺩﻳﺮ ‪p‬‬
‫ﺑﺒﻴﻨﻴﻢ ﺑﺮﺣﺴﺐ ﻓﺎﻛﺘﻮﺭﻫﺎﻱ ﺍﻭﻝ ﺫﻛﺮﺷﺪﻩ ‪ a | b‬ﭼﻪ ﻣﻌﻨﻲ ﻣﻲﺩﻫﺪ؟ ﻫﺮ ﻋﺪﺩ ﺻﺤﻴﺢ ﺑﻪ ﻓﺮﻡ ‪ pk‬ﺭﺍ ﺗﻨﻬﺎ ﻣـﻲﺗـﻮﺍﻥ ﺑـﻪ ﻳـﻚ ﻋـﺪﺩ‬
‫ﺻﺤﻴﺢ ﺑﺎ ﺗﻮﺍﻥ ﻛﻮﭼﻚﺗﺮ ﻳﺎ ﻣﺴﺎﻭﻱ ﻋﺪﺩ ﺍﻭﻝ ‪ ( j ≤ k ) pj‬ﺗﻘﺴﻴﻢ ﻛﺮﺩ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ ﻣﻲﺗﻮﺍﻥ ﮔﻔﺖ‬
‫‪a|b‬‬ ‫→‬ ‫‪ap ≤ bp‬‬ ‫ﺑﺮﺍﻱ ﺗﻤﺎﻡ ‪ p‬ﻫﺎ‬
‫ﺍﻋﺪﺍﺩ ﺍﻭﻝ ﻧﺴﺒﻲ‬

‫ﻧﻤﺎﺩ )‪ gcd (a , b‬ﺭﺍ ﺑﺮﺍﻱ ﻧﻤﺎﻳﺶ ﺑﺰﺭﮔﺘﺮﻳﻦ ﻣﻘﺴﻮﻡﻋﻠﻴﻪ ﻣﺸﺘﺮﻙ ‪ a‬ﻭ ‪ b‬ﺑﻜﺎﺭ ﻣﻲﺑـﺮﻳﻢ‪ .‬ﻋـﺪﺩ ﺻـﺤﻴﺢ ﻣﺜﺒـﺖ ‪ c‬ﺭﺍ ﺑﺰﺭﮔﺘـﺮﻳﻦ‬
‫ﻣﻘﺴﻮﻡﻋﻠﻴﻪ ﻣﺸﺘﺮﻙ ‪ a‬ﻭ ‪ b‬ﻣﻲﻧﺎﻣﻴﻢ ﺍﮔﺮ‬
‫‪ c -۱‬ﻳﻚ ﻣﻘﺴﻮﻡﻋﻠﻴﻪ ‪ a‬ﻭ ‪ b‬ﺑﺎﺷﺪ‪.‬‬
‫‪ -۲‬ﻫﺮ ﻣﻘﺴﻮﻡﻋﻠﻴﻪ ‪ a‬ﻭ ‪ b‬ﻳﻚ ﻣﻘﺴﻮﻡﻋﻠﻴﻪ ‪ c‬ﺑﺎﺷﺪ‪.‬‬
‫ﺑﻴﺎﻥ ﺩﻳﮕﺮ ﻣﻄﻠﺐ ﭼﻨﻴﻦ ﺍﺳﺖ‪:‬‬
‫)‪ = gcd (a , b‬ﻣﺎﻛﺰﻳﻤﻢ ‪ k‬ﺑﺎ ﺷﺮﻁ ﺍﻳﻨﻜﻪ ‪ k | a‬ﻭ ‪k | b‬‬
‫ﭼﻮﻥ ﻣﻲﺧﻮﺍﻫﻴﻢ ﻛﻪ ﺑﺰﺭﮔﺘﺮﻳﻦ ﻣﻘـﺴﻮﻡﻋﻠﻴـﻪ ﻣـﺸﺘﺮﻙ ﻣﺜﺒـﺖ ﺑﺎﺷـﺪ‪ .gcd(a,b)=gcd(-a,b)=gcd(a,-b)=gcd(-a,-b) ،‬ﺩﺭ‬
‫ﺣﺎﻟﺖ ﻛﻠﻲ‪ . gcd (a , b) = gcd (|a| ,|b|) ،‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ ‪ . gcd (60,24) = gcd (60,-24) = 12‬ﻫﻤﭽﻨﻴﻦ ﭼﻮﻥ ﺗﻤﺎﻡ ﺍﻋﺪﺍﺩ‬
‫ﺻﺤﻴﺢ ‪ 0‬ﺭﺍ ﻣﻲﺷﻤﺎﺭﻧﺪ‪. gcd (a , 0) = |a| ،‬‬

‫ﭘﻴﻮﺳﺖ )ﺍﻟﻒ(‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٢٦‬‬
‫ﺗﻌﻴﻴﻦ ﺑﺰﺭﮔﺘﺮﻳﻦ ﻣﻘﺴﻮﻡﻋﻠﻴﻪ ﻣﺸﺘﺮﻙ ﺩﻭ ﻋﺪﺩ ﺻﺤﻴﺢ ﻣﺜﺒﺖ ﺳﺎﺩﻩ ﺍﺳـﺖ ﺩﺭ ﺻـﻮﺭﺗﻲ ﻛـﻪ ﺑﺘـﻮﺍﻥ ﺁﻥ ﺩﻭ ﻋـﺪﺩ ﺭﺍ ﺑـﺼﻮﺭﺕ‬
‫ﻣﻀﺮﺑﻲ ﺍﺯ ﺍﻋﺪﺍﺩ ﺍﻭﻝ ﻧﻮﺷﺖ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ‬
‫‪300 = 22 × 31 × 52‬‬
‫‪18 = 21 × 32‬‬
‫‪gcd (18,300) = 21 × 31× 50 = 6‬‬
‫ﺩﺭ ﺣﺎﻟﺖ ﻛﻠﻲ‬
‫)‪k = gcd (a , b‬‬ ‫)‪→ kp = min (ap , bp‬‬ ‫ﺑﺮﺍﻱ ﺗﻤﺎﻡ ﻣﻘﺎﺩﻳﺮ ‪p‬‬
‫ﺗﻌﻴﻴﻦ ﻓﺎﻛﺘﻮﺭﻫﺎﻱ ﺍﻭﻝ ﻳﻚ ﻋﺪﺩ ﺑﺰﺭﮒ ﻛﺎﺭ ﺁﺳﺎﻧﻲ ﻧﻴﺴﺖ ﻭ ﺑﻨﺎﺑﺮﺍﻳﻦ ﺭﺍﺑﻄﺔ ﻗﺒﻞ ﻣﺴﺘﻘﻴﻤﺎﹰ ﺑﻪ ﻣﺤﺎﺳﺒﺔ ﺑﺰﺭﮔﺘﺮﻳﻦ ﻣﻘـﺴﻮﻡﻋﻠﻴـﻪ‬
‫ﻣﺸﺘﺮﻙ ﻣﻨﺠﺮ ﻧﺨﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫ﺍﻋﺪﺍﺩ ﺻﺤﻴﺢ ‪ a‬ﻭ ‪ b‬ﻧﺴﺒﺖ ﺑﻪ ﻫﻢ ﺍﻭﻝﺍﻧﺪ ﺍﮔﺮ ﻫﻴﭻ ﻓﺎﻛﺘﻮﺭ ﺍﻭﻝ ﻣﺸﺘﺮﻛﻲ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﻨﺪ‪ ،‬ﻳﻌﻨﻲ ﺍﮔﺮ ﺗﻨﻬﺎ ﻓﺎﻛﺘﻮﺭ ﻣﺸﺘﺮﻙ ﺁﻧﻬـﺎ‬
‫ﻋﺪﺩ ‪ ۱‬ﺑﺎﺷﺪ‪ .‬ﺍﻳﻦ ﺑﻴﺎﻥ ﻣﻌﺎﺩﻝ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺑﮕﻮﺋﻴﻢ ‪ a‬ﻭ ‪ b‬ﻧﺴﺒﺖ ﺑﻪ ﻫﻢ ﺍﻭﻝﺍﻧﺪ ﺍﮔﺮ ‪ gcd (a ,b ) = 1‬ﺑﺎﺷﺪ‪ .‬ﺑﺮﺍﻱ ﻣﺜﺎﻝ‪ ۸ ،‬ﻭ ‪۱۵‬‬
‫ﻧﺴﺒﺖ ﺑﻪ ﻫﻢ ﺍﻭﻝﺍﻧﺪ ﺯﻳﺮﺍ ﻣﻘﺴﻮﻡﻋﻠﻴﻪﻫﺎﻱ ‪ ۸‬ﻣﺴﺎﻭﻱ ‪ ۱‬ﻭ ‪ ۲‬ﻭ ‪ ۴‬ﻭ ‪ ۸‬ﺑﻮﺩﻩ ﻭ ﻣﻘﺴﻮﻡﻋﻠﻴﻪﻫﺎﻱ ‪ ،۱۵‬ﺍﻋﺪﺍﺩ ‪ ۱‬ﻭ ‪ ۳‬ﻭ ‪ ۵‬ﻭ ‪ ۱۵‬ﻫﺴﺘﻨﺪ ﻭ‬
‫ﺑﻨﺎﺑﺮﺍﻳﻦ ‪ ۱‬ﺗﻨﻬﺎ ﻋﺪﺩ ﻣﺸﺘﺮﻙ ﺍﻳﻦ ﺩﻭ ﻟﻴﺴﺖ ﺍﺳﺖ‪.‬‬
‫ﺣﺴﺎﺏ ﭘﻴﻤﺎﻧﻪﺍﻱ‬ ‫ﺍﻟﻒ ‪٢-‬‬
‫ﺑﺮﺍﻱ ﻫﺮ ﻋﺪﺩ ﺻﺤﻴﺢ ﻣﺜﺒﺖ ‪ n‬ﻭ ﻫﺮ ﻋﺪﺩ ﺻﺤﻴﺢ ﻏﻴﺮﻣﻨﻔﻲ ‪ ، a‬ﺍﮔﺮ ‪ a‬ﺭﺍ ﺑﺮ ‪ n‬ﺗﻘﺴﻴﻢ ﻛﻨﻴﻢ‪ ،‬ﻳﻚ ﺧﺎﺭﺝ ﻗﺴﻤﺖ ﺻﺤﻴﺢ ‪ q‬ﻭ ﻳـﻚ‬
‫ﺑﺎﻗﻴﻤﺎﻧﺪﺓ ﺻﺤﻴﺢ ‪ r‬ﺑﺪﺳﺖ ﻣﻲﺁﻭﺭﻳﻢ ﻛﻪ ﺍﺯ ﺭﺍﺑﻄﺔ ﺯﻳﺮ ﺗﺒﻌﻴﺖ ﻣﻲﻛﻨﻨﺪ‪:‬‬
‫‪a = qn + r‬‬ ‫⎦‪0 ≤ r M n ; q = ⎣a / n‬‬
‫ﻛﻪ ﺩﺭ ﺁﻥ ⎦ ‪ ⎣ x‬ﺑﺰﺭﮔﺘﺮﻳﻦ ﻋﺪﺩ ﺻﺤﻴﺢ ﻛﻮﭼﻜﺘﺮ ﻳﺎ ﻣﺴﺎﻭﻱ ‪ x‬ﺍﺳﺖ‪.‬‬
‫ﺷﻜﻞ ﺍﻟﻒ‪ ۱-‬ﻧﺸﺎﻥ ﻣﻲﺩﻫﺪ ﻛﻪ ﺑﺎ ﺩﺍﺷﺘﻦ ‪ a‬ﻭ ‪ n‬ﻣﺜﺒﺖ‪ ،‬ﻫﻤﻴﺸﻪ ﻣﻲﺗﻮﺍﻥ ‪ q‬ﻭ ‪ r‬ﺭﺍ ﻃﻮﺭﻱ ﭘﻴﺪﺍ ﻛﺮﺩ ﻛﻪ ﺷﺮﻁ ﻗﺒﻞ ﺭﺍ ﺍﺭﺿﺎﺀ‬
‫ﻛﻨﺪ‪ .‬ﺑﺎ ﻧﻤﺎﻳﺶ ﺍﻋﺪﺍﺩ ﺻﺤﻴﺢ ﺭﻭﻱ ﻳﻚ ﻣﺤﻮﺭ ﺍﻋﺪﺍﺩ‪ a ،‬ﺩﺭ ﺟﺎﺋﻲ ﺍﺯ ﺧﻂ ﻗﺮﺍﺭ ﺧﻮﺍﻫﺪ ﮔﺮﻓﺖ )ﻣﻘﺪﺍﺭ ﻣﺜﺒﺖ ‪ a‬ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳـﺖ‪،‬‬
‫ﻣﻲﺗﻮﺍﻥ ﻋﺪﺩ ﻣﻨﻔﻲ ‪ a‬ﺭﺍ ﻧﻴﺰ ﺭﻭﻱ ﻣﺤﻮﺭ ﻧﺸﺎﻥ ﺩﺍﺩ(‪ .‬ﺑﺎ ﺷﺮﻭﻉ ﺍﺯ ‪ 0‬ﺑﺴﻤﺖ ‪ ،2n ،n‬ﺗﺎ ‪ qn‬ﻃـﻮﺭﻱ ﭘـﻴﺶ ﻣـﻲﺭﻭﻳـﻢ ﻛـﻪ ‪ qn ≤ a‬ﻭ‬
‫‪ (q + 1)n > 1‬ﺑﺎﺷﺪ‪ .‬ﻓﺎﺻﻠﺔ ﺑﻴﻦ ‪ qn‬ﺗﺎ ‪ a‬ﺑﺮﺍﺑﺮ ‪ r‬ﺑﻮﺩﻩ ﻭ ﻣﺎ ﺍﻧﺪﺍﺯﻩﻫﺎﻱ ﻳﻜﺘﺎﻱ ﻣﻘﺎﺩﻳﺮ ‪ q‬ﻭ ‪ r‬ﺭﺍ ﭘﻴﺪﺍ ﻛﺮﺩﻩﺍﻳـﻢ‪ .‬ﺑﺎﻗﻴﻤﺎﻧـﺪﺓ ‪ r‬ﺭﺍ‬
‫ﺍﻏﻠﺐ ‪ residue‬ﮔﻮﻳﻨﺪ‪.‬‬
‫‪٤٢٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﺟﻨﺒﻪﻫﺎﺋﻲ ﺍﺯ ﺗﺌﻮﺭﻱ ﺍﻋﺪﺍﺩ‬
‫‪n‬‬
‫‪n‬‬ ‫‪2n‬‬ ‫‪3n‬‬ ‫‪qn‬‬ ‫‪a‬‬ ‫‪(q + 1)n‬‬
‫‪0 1 20‬‬
‫‪r‬‬
‫‪a = qn + r ; 0 ≤ r Mn‬‬ ‫ﺭﺍﺑﻄﺔ‬ ‫ﺷﻜﻞ ﺍﻟﻒ‪۱-‬‬
‫ﺍﮔﺮ ‪ a‬ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ﻭ ‪ n‬ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ﻣﺜﺒﺖ ﺑﺎﺷـﺪ‪ ،‬ﺑﺎﻗﻴﻤﺎﻧـﺪﺓ ﺗﻘـﺴﻴﻢ ‪ a‬ﺑـﺮ ‪ n‬ﺭﺍ ﺑـﺼﻮﺭﺕ ‪ a mod n‬ﺗﻌﺮﻳـﻒ‬
‫ﻣﻲﻛﻨﻴﻢ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ‪ ،‬ﺑﺮﺍﻱ ﻫﺮ ﻋﺪﺩ ﺻﺤﻴﺢ ‪ ،n‬ﻫﻤﻴﺸﻪ ﻣﻲﺗﻮﺍﻥ ﻧﻮﺷﺖ‪:‬‬
‫) ‪a = ⎣a / n⎦ × n + ( a mod n‬‬
‫ﺩﻭ ﻋﺪﺩ ﺻﺤﻴﺢ ‪ a‬ﻭ ‪ b‬ﺭﺍ ﻫﻢﻧﻬﺸﺖ ﺑﻪ ﭘﻴﻤﺎﻧﺔ ‪ n‬ﮔﻮﻳﻨﺪ ﻫﺮﮔﺎﻩ ) ‪ ( a mod n ) = ( b mod n‬ﺑﺎﺷﺪ‪ .‬ﺍﻳﻦ ﺧﺎﺻﻴﺖ ﺭﺍ‬
‫ﺑـﺼﻮﺭﺕ ‪ a ≡ b mod n‬ﻣـﻲﻧﻮﻳـﺴﻨﺪ‪ .‬ﺑﻌﻨـﻮﺍﻥ ﻣﺜـﺎﻝ ‪ 73 ≡ 4 mod 23‬ﻭ ‪ . 21 ≡ -9 mod 10‬ﺗﻮﺟـﻪ ﻛﻨﻴـﺪ ﻛـﻪ ﺍﮔـﺮ‬
‫‪ a ≡ 0 mod n‬ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ‪. n | a‬‬
‫ﻋﻤﻠﮕﺮ ﭘﻴﻤﺎﻧﻪ ﺩﺍﺭﺍﻱ ﺧﻮﺍﺹ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫‪ -۱‬ﺍﮔﺮ )‪ ،n | (a-b‬ﺁﻧﮕﺎﻩ ‪ a ≡ b mod n‬ﺍﺳﺖ‪.‬‬
‫‪ ( a mod n) = ( b mod n) -۲‬ﺑﻪ ﻣﻔﻬﻮﻡ ‪ a ≡ b mod n‬ﺍﺳﺖ‪.‬‬
‫‪ -۳‬ﺍﮔﺮ ‪ a ≡ b mod n‬ﺑﺎﺷﺪ‪ b ≡ a mod n ،‬ﺍﺳﺖ‪.‬‬
‫‪ -۴‬ﺍﮔﺮ ‪ a ≡ b mod n‬ﻭ ‪ b ≡ c mod n‬ﺑﺎﺷﺪ‪ a ≡ c mod n ،‬ﺍﺳﺖ‪.‬‬
‫ﺑﺮﺍﻱ ﺍﺛﺒﺎﺕ ﺧﺎﺻـﻴﺖ ﺍﻭﻝ‪ ،‬ﺍﮔـﺮ )‪ ، n | (a-b‬ﺁﻧﮕـﺎﻩ ﺑـﺮﺍﻱ ﻣﻘـﺪﺍﺭﻱ ﺍﺯ ‪ .( a - b ) = kn ، k‬ﺑﻨـﺎﺑﺮﺍﻳﻦ ﻣـﻲﺗـﻮﺍﻥ ﻧﻮﺷـﺖ‬
‫‪ . a = b + kn‬ﺩﺭ ﻧﺘﻴﺠﻪ) ‪ ) = ( a mod n‬ﺑﺎﻗﻴﻤﺎﻧﺪﻩ ﺗﻘﺴﻴﻢ ‪ b + kn‬ﺑﺮ ‪ ) = ( n‬ﺑﺎﻗﻴﻤﺎﻧﺪﺓ ﺗﻘﺴﻴﻢ ‪ b‬ﺑﺮ ‪( b mod n ) = ( n‬‬
‫ﺑﻘﻴﻪ ﺧﻮﺍﺹ ﻧﻴﺰ ﺑﻪ ﺁﺳﺎﻧﻲ ﺍﺛﺒﺎﺕ ﻣﻲﺷﻮﻧﺪ‪.‬‬
‫ﻋﻤﻠﮕﺮ )‪ (mod n‬ﺗﻤﺎﻡ ﺍﻋﺪﺍﺩ ﺻﺤﻴﺢ ﺭﺍ ﺑﻪ ﻣﺠﻤﻮﻋﺔ ﺍﻋﺪﺍﺩ ﺻﺤﻴﺢ })‪ { 0 , 1 , 2 , …, (n-1‬ﻧﮕﺎﺷﺖ ﻣﻲﻛﻨﺪ‪ .‬ﺩﺭ ﺍﻳﻨﺠـﺎ‬
‫ﺍﻳﻦ ﺳﺆﺍﻝ ﻣﻄﺮﺡ ﻣﻲﺷﻮﺩ‪ :‬ﺁﻳﺎ ﻣﻲﺗﻮﺍﻥ ﻋﻤﻠﻴﺎﺕ ﺣﺴﺎﺏ ﺩﺭ ﺍﻳﻦ ﻣﺠﻤﻮﻋﺔ ﻣﺤﺪﻭﺩ ﺭﺍ ﺍﻧﺠﺎﻡ ﺩﺍﺩ؟ ﺟﻮﺍﺏ ﺳﺆﺍﻝ ﻣﺜﺒـﺖ ﺑـﻮﺩﻩ ﻭ ﺗﻜﻨﻴـﻚ‬
‫ﺷﻨﺎﺧﺘﻪ ﺷﺪﻩ ﺑﺮﺍﻱ ﺍﻧﺠﺎﻡ ﺍﻳﻦ ﻋﻤﻞ ﺣﺴﺎﺏ ﭘﻴﻤﺎﻧﻪﺍﻱ )‪ (modular‬ﺍﺳﺖ‪.‬‬

‫ﭘﻴﻮﺳﺖ )ﺍﻟﻒ(‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٢٨‬‬
‫ﺣﺴﺎﺏ ﭘﻴﻤﺎﻧﻪﺍﻱ ﺩﺍﺭﺍﻱ ﺧﻮﺍﺹ ﺯﻳﺮ ﺍﺳﺖ‪:‬‬
‫‪[ (a mod n) + (b mod n) ] mod n = ( a + b ) mod n -۱‬‬
‫‪[ (a mod n) - (b mod n) ] mod n = ( a - b ) mod n -۲‬‬
‫‪[ (a mod n) × (b mod n) ] mod n = ( a × b ) mod n -۳‬‬
‫ﺧﺎﺻﻴﺖ ﺍﻭﻝ ﺭﺍ ﺛﺎﺑﺖ ﻣﻲﻛﻨﻴﻢ‪ .‬ﺍﮔﺮ ‪ ( a mod n ) = ra‬ﻭ ‪ ( b mod n ) = rb‬ﺗﻌﺮﻳـﻒ ﺷـﻮﺩ‪ ،‬ﺁﻧﮕـﺎﻩ ﺑـﺮﺍﻱ ﻳـﻚ ﻋـﺪﺩ‬
‫ﺻﺤﻴﺢ ‪ a = ra + jn ، j‬ﺑﻮﺩﻩ ﻭ ﺑﺮﺍﻱ ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ‪ b = rb + kn ، k‬ﺧﻮﺍﻫﺪ ﺑﻮﺩ‪ .‬ﺁﻧﮕﺎﻩ‬
‫‪( a + b ) mod n = ( ra + jn + rb + kn ) mod n‬‬
‫‪= ( ra + rb + (k + j)n ) mod n‬‬
‫‪= ( ra + rb ) mod n‬‬
‫‪= [(a mod n) + (b mod n)] mod n‬‬
‫ﺑﻘﻴﺔ ﺧﻮﺍﺹ ﻧﻴﺰ ﺑﻪ ﺁﺳﺎﻧﻲ ﺍﺛﺒﺎﺕ ﻣﻲﺷﻮﻧﺪ‪.‬‬

‫ﭘﻴﻮﺳﺖ )ﺏ(‬
‫ﻭﺍﮊﻩﻫﺎﻱ‬
‫ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬
‫ﮔﺮﭼﻪ ﺍﻳﻦ ﻭﺍﮊﻩﻫﺎ ﺩﺭ ﻃﻮﻝ ﻓﺼﻮﻝ ﻛﺘﺎﺏ ﺑﻄﻮﺭ ﻣﻔﺼﻞ ﺗﻌﺮﻳﻒ ﺷﺪﻩ ﻭ ﻣﻮﺭﺩ ﺑﺤﺚ ﻗـﺮﺍﺭ ﮔﺮﻓﺘـﻪﺍﻧـﺪ ﻭﻟـﻲ‬ ‫ﺍ‬
‫ﺑﺮﺍﻱ ﻛﺴﻲ ﻛﻪ ﺗﻨﻬﺎ ﺑﺪﻧﺒﺎﻝ ﺁﺷﻨﺎﺋﻲ ﺑﺎ ﺗﻌﺮﻳﻒ ﻣﺨﺘﺼﺮ ﺁﻧﻬﺎﺳﺖ‪ ،‬ﺍﻳﻦ ﻭﺍﮊﻩﻧﺎﻣﻪ ﻣﻲﺗﻮﺍﻧﺪ ﻣﻔﻴﺪ ﻭﺍﻗﻊ ﺷﻮﺩ‪.‬‬
‫‪) asymmetric encription‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻏﻴﺮﻣﺘﻘﺎﺭﻥ(‪ :‬ﻧﻮﻋﻲ ﺳﻴﺴﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻪ ﺩﺭ ﺁﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ‬

‫ﻭ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺩﻭ ﻛﻠﻴﺪ ﻣﺨﺘﻠﻒ ﺍﻧﺠﺎﻡ ﻣﻲﺷﻮﺩ‪ .‬ﻧﺎﻡ ﻳﻜﻲ ﺍﺯ ﻛﻠﻴﺪﻫﺎ‪ ،‬ﻛﻠﻴﺪﻋﻤﻮﻣﻲ ﻭ ﻧﺎﻡ ﺩﻳﮕﺮﻱ‬
‫ﻛﻠﻴﺪﺧﺼﻮﺻﻲ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻧﻮﻉ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺍ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﻧﻴﺰ ﻣﻲﺧﻮﺍﻧﻨﺪ‪.‬‬
‫‪) authentication‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ(‪ :‬ﻋﻤﻞ ﺗﺄﺋﻴﺪ ﻫﻮﻳﺖ ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ﺳﻴﺴﺘﻢ ﺍﺳﺖ‪ .‬ﺩﺭ ﺍﻳﻦ ﻣﻘﻮﻟﻪ‬
‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺭﺍ ﻣﻲﺗﻮﺍﻥ ﻧﻮﻋﻲ ﺍﺣﺮﺍﺯ ﻫﻮﻳﺖ ﺩﺍﻧﺴﺖ‪.‬‬
‫‪) authenticator‬ﺍﻋﺘﺒﺎﺭﺳﻨﺞ(‪ :‬ﻧﻮﻋﻲ ﺍﻃﻼﻋﺎﺕ ﺍﺿﺎﻓﻲ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﭘﻴﺎﻡ ﻣﺘﺼﻞ ﻣﻲﺷﻮﺩ ﺗﺎ ﮔﻴﺮﻧﺪﻩ ﺭﺍ ﻗﺎﺩﺭ‬
‫ﺳﺎﺯﺩ ﺗﺎ ﻣﻌﺘﺒﺮﺑﻮﺩﻥ ﭘﻴﺎﻡ ﺭﺍ ﺁﺯﻣﺎﻳﺶ ﻛﻨﺪ‪ .‬ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﻣﻤﻜﻦ ﺍﺳﺖ ﻣﺴﺘﻘﻞ ﺍﺯ ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﺑﻮﺩﻩ )ﻣﺜﻞ ﻳﻚ‬
‫‪ nonce‬ﻳﺎ ﻳﻚ ﺷﻨﺎﺳﺔ ﻣﻨﺒﻊ( ﻭ ﻳﺎ ﻣﻤﻜﻦ ﺍﺳﺖ ﺗﺎﺑﻌﻲ ﺍﺯ ﻣﺤﺘﻮﺍﻱ ﭘﻴﺎﻡ ﺑﺎﺷﺪ)ﻣﺜﻞ ﻳﻚ ﺍﻧﺪﺍﺯﺓ ‪ hash‬ﻳﺎ ﻳﻚ‬
‫‪.( parity‬‬
‫ﭘﻴﻮﺳﺖ )ﺏ(‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٣٠‬‬
‫‪) avalanche effect‬ﺍﺛﺮ ﺑﻬﻤﻨﻲ(‪ :‬ﻳﻚ ﺧﺎﺻﻴﺖ ﻣﺜﺒﺖ ﺩﺭ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻪ ﺑﻮﺍﺳﻄﺔ ﺁﻥ ﻳﻚ ﺗﻐﻴﻴﺮ ﻛﻮﭼﻚ ﺩﺭ ﻣﺘﻦ‬
‫ﺳﺎﺩﻩ ﻭ ﻳﺎ ﻛﻠﻴﺪ‪ ،‬ﻣﻮﺟﺐ ﺗﻐﻴﻴﺮ ﺑﺰﺭﮔﻲ ﺩﺭ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﻣﻲﮔﺮﺩﺩ‪ .‬ﺑﺮﺍﻱ ﻳﻚ ﻛﹸﺪ ﺩﺭﻫﻢﺳﺎﺯ‪ ،‬ﺍﺛﺮ ﺑﻬﻤﻨﻲ ﺑﺎﻋﺚ ﻣﻲﮔﺮﺩﺩ ﺗﺎ ﺗﻐﻴﻴﺮ‬
‫ﻛﻮﭼﻜﻲ ﺩﺭ ﭘﻴﺎﻡ ﻣﻮﺟﺐ ﺗﻐﻴﻴﺮ ﺑﺰﺭﮔﻲ ﺩﺭ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﺷﻮﺩ‪.‬‬
‫‪) bacteria‬ﺑﺎﻛﺘﺮﻱ(‪ :‬ﺑﺮﻧﺎﻣﻪﺍﻱ ﻛﻪ ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻛﭙﻲﻫﺎﺋﻲ ﺍﺯ ﺧﻮﺩ‪ ،‬ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ ﺭﺍ ﺑﻪ ﻛﺎﺭ ﺑﻴﻬﻮﺩﻩ ﻣﺸﻐﻮﻝ ﻣﻲﺳﺎﺯﺩ‪.‬‬
‫‪) birthday attack‬ﺣﻤﻠﺔ ﺭﻭﺯ ﺗﻮﻟﺪ(‪ :‬ﺍﻳﻦ ﺣﻤﻠﻪ ﻛﻪ ﻧﻮﻋﻲ ﺗﻼﺵ ﺑﺮﺍﻱ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﺍﺳﺖ‪ ،‬ﺳﻌﻲ ﻣﻲﻛﻨﺪ ﺗﺎ ﺩﻭ ﻣﻘﺪﺍﺭ ﻣﺨﺘﻠﻒ‬
‫ﺩﺭ ﺩﺍﻣﻨﺔ ﻳﻚ ﺗﺎﺑﻊ ﺭﺍ ﻛﻪ ﺑﻪ ﻳﻚ ﻣﻘﺪﺍﺭ ﻳﻜﺴﺎﻥ ﺩﺭ ﺑُﺮﺩ ﺗﺎﺑﻊ ﻧﮕﺎﺷﺖ ﻣﻲﺷﻮﻧﺪ‪ ،‬ﭘﻴﺪﺍ ﻛﻨﺪ‪.‬‬
‫‪) block chaining‬ﺯﻧﺠﻴﺮﻩﻛﺮﺩﻥ ﻗﺎﻟﺐﻫﺎ(‪ :‬ﺭﻭﺷﻲ ﺩﺭ ﺧﻼﻝ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻗﺎﻟﺒﻲ ﻣﺘﻘﺎﺭﻥ ﺍﺳﺖ ﻛﻪ ﻳﻚ ﺑﻠﻮﻙ ﺧﺮﻭﺟﻲ ﺭﺍ ﻧﻪ ﺗﻨﻬﺎ‬
‫ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﻣﺘﻦ ﺳﺎﺩﺓ ﺟﺎﺭﻱ ﻭ ﻛﻠﻴﺪ ﻛﺮﺩﻩ‪ ،‬ﺑﻠﻜﻪ ﺁﻥ ﺭﺍ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﻭﺭﻭﺩﻱ ﻭ‪ /‬ﻳﺎ ﺧﺮﻭﺟﻲ ﻣﺮﺣﻠﺔ ﻗﺒﻞ ﻧﻴﺰ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺍﺛﺮ ﺯﻧﺠﻴﺮﻩﻛﺮﺩﻥ‬
‫ﻗﺎﻟﺐﻫﺎ ﺍﻳﻦ ﺍﺳﺖ ﻛﻪ ﺩﻭ ﺑﻠﻮﻙ ﻣﺘﻦ ﺳﺎﺩﺓ ﻣﺸﺎﺑﻪ‪ ،‬ﺩﻭ ﺑﻠﻮﻙ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﻣﺘﻔﺎﻭﺕ ﺗﻮﻟﻴﺪ ﻛﺮﺩﻩ ﻭ ﺩﺭ ﻧﺘﻴﺠﻪ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﺳﺨﺖﺗﺮ‬
‫ﺧﻮﺍﻫﺪ ﺷﺪ‪.‬‬
‫‪) block cipher‬ﺭﻣﺰ ﻗﺎﻟﺒﻲ(‪ :‬ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺁﻥ ﻳﻚ ﺑﻠﻮﻙ ﺍﺯ ﺑﻴﺖﻫﺎﻱ ﻣﺘﻦ ﺳﺎﺩﻩ )ﻣﻌﻤﻮﻻﹰ ‪ ۶۴‬ﻳﺎ‬
‫‪ ۱۲۸‬ﺑﻴﺖ(‪ ،‬ﻛﻼﹰ ﺑﻪ ﺻﻮﺭﺕ ﻳﻚ ﺑﻠﻮﻙ ﺍﺯ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﺎ ﻫﻤﺎﻥ ﻃﻮﻝ ﺗﺒﺪﻳﻞ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪) byte‬ﺑﺎﻳﺖ(‪ :‬ﻳﻚ ﺭﺩﻳﻒ ‪ -۸‬ﺗﺎﺋﻲ ﺍﺯ ﺑﻴﺖﻫﺎ ﺭﺍ ﮔﻮﻳﻨﺪ‪ .‬ﺑﻪ ﻧﺎﻡ ﺍﹸﻛﺘﺖ ﻧﻴﺰ ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪) cipher‬ﺭﻣﺰ(‪ :‬ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﺳﺖ‪ .‬ﻳﻚ ﺭﻣﺰ‪ ،‬ﻳﻚ ﺑﺨﺶ ﺍﺯ ﺍﻃﻼﻋﺎﺕ )ﻳﻚ ﻋﻨﺼﺮ ﺍﺯ ﻣﺘﻦ ﺳﺎﺩﻩ( ﺭﺍ‬
‫ﺑﺎ ﻫﺪﻑ ﭘﻨﻬﺎﻥ ﻛﺮﺩﻥ ﻣﺤﺘﻮﺍﻱ ﺁﻥ ﺑﺎ ﻋﻨﺼﺮ ﺩﻳﮕﺮﻱ ﻋﻮﺽ ﻣﻲﻛﻨﺪ‪ .‬ﻧﻮﻋﺎﹰ ﻧﺤﻮﺓ ﺍﻳﻦ ﺗﻌﻮﻳﺾ ﺍﺯ ﻃﺮﻳﻖ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻫﺪﺍﻳﺖ‬
‫‪) ciphertext‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ(‪ :‬ﺧﺮﻭﺟﻲ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﻓﺮﻡ ﺭﻣﺰﺷﺪﺓ ﺩﺍﺩﻩﻫﺎ ﻳﺎ ﭘﻴﺎﻡ ﻣﻲﺑﺎﺷﺪ‪.‬‬
‫‪) code‬ﻛﹸﺪ(‪ :‬ﻳﻚ ﻗﺎﻋﺪﺓ ﺗﻐﻴﻴﺮﻧﺎﭘﺬﻳﺮ ﺑﺮﺍﻱ ﺟﺎﻳﮕﺰﻳﻦ ﻛﺮﺩﻥ ﻳﻚ ﺑﺨﺶ ﺍﺯ ﺍﻃﻼﻋﺎﺕ )ﻣﺜﻞ ﺣﺮﻑ‪ ،‬ﻛﻠﻤﻪ‪ ،‬ﺟﻤﻠﻪ( ﺑﺎ ﻋﻨﺼﺮ ﺩﻳﮕﺮﻱ‬
‫ﺍﺳﺖ ﻛﻪ ﻟﺰﻭﻣﺎﹰ ﺍﺯ ﺟﻨﺲ ﺍﻃﻼﻋﺎﺕ ﺍﻭﻟﻴﻪ ﻧﻴﺴﺖ‪ .‬ﻣﻌﻤﻮﻻﹰ ﻫﺪﻑ ﺍﻳﻦ ﻋﻤﻞ ﭘﻨﻬﺎﻥ ﻛﺮﺩﻥ ﺍﻃﻼﻋﺎﺕ ﻧﻴﺴﺖ‪ .‬ﻣﺜﺎﻝﻫﺎﺋﻲ ﺩﺭ ﺍﻳﻦ ﺯﻣﻴﻨﻪ‬
‫ﺷﺎﻣﻞ ﻛﹸﺪ ﺣﺮﻓﻲ ‪) ASCII‬ﻫﺮ ﻋﻼﻣﺖ ﺑﺘﻮﺳﻂ ﻳﻚ ﺭﺩﻳﻒ ‪ -۷‬ﺑﻴﺘﻲ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ( ﻭ ﻛﹸﺪ ﻓﺮﻛﺎﻧﺴﻲ ‪) FSK‬ﻫﺮ ﻣﻘﺪﺍﺭ ﺑﺎﻳﻨﺮﻱ‬
‫ﺑﺎ ﻳﻚ ﻓﺮﻛﺎﻧﺲ ﺧﺎﺹ ﻧﺸﺎﻥ ﺩﺍﺩﻩ ﻣﻲﺷﻮﺩ(‪ ،‬ﻣﻲﺑﺎﺷﻨﺪ‪.‬‬
‫‪) computaionally secure‬ﺍﺯﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﺍﻣﻦ(‪ :‬ﺍﺯ ﺍﻳﻨﺠﻬﺖ ﺍﻣﻦ ﺍﺳﺖ ﻛﻪ ﺯﻣﺎﻥ ﻭ‪ /‬ﻳﺎ ﻫﺰﻳﻨﺔ ﺷﻜﺴﺘﻦ ﺍﻣﻨﻴﺖ ﺑﻘﺪﺭﻱ‬
‫ﺑﺎﻻﺳﺖ ﻛﻪ ﺍﻧﺠﺎﻡ ﺁﻥ ﻣﻌﻘﻮﻝ ﻧﻤﻲﺑﺎﺷﺪ‪.‬‬
‫‪) confusion‬ﮔﻴﺞ ﻛﺮﺩﻥ(‪ :‬ﻳﻚ ﺗﻜﻨﻴﻚ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺟﺴﺘﺠﻮﻱ ﻫﺮﭼﻪ ﭘﻴﭽﻴﺪﻩﺗﺮ ﻛﺮﺩﻥ ﺭﺍﺑﻄﺔ ﺑﻴﻦ ﺧﻮﺍﺹ ﺁﻣﺎﺭﻱ‬
‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺑﺎ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ‪.‬ﺍﻳﻦ ﺍﻣﺮ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﻣﺨﻠﻮﻁﻛﻨﻨﺪﺓ ﭘﻴﭽﻴﺪﻩ ﻛﻪ ﻭﺍﺑﺴﺘﻪ ﺑﻪ ﻛﻠﻴﺪ ﻭ ﻣﺘﻦ‬
‫ﻭﺭﻭﺩﻱﺍﻧﺪ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪.‬‬
‫‪) conventional encryption‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺳﻤﻲ(‪ :‬ﻫﻤﺎﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺍﺳﺖ‪.‬‬
‫‪) covert channel‬ﻛﺎﻧﺎﻝ ﭘﻨﻬﺎﻥ(‪ :‬ﻳﻚ ﻛﺎﻧﺎﻝ ﺍﺭﺗﺒﺎﻃﻲ ﺍﺳﺖ ﻛﻪ ﺍﻧﺘﻘﺎﻝ ﺍﻃﻼﻋﺎﺕ ﺭﺍ ﺑﻨﺤﻮﻱ ﻣﻤﻜﻦ ﻣﻲﺳﺎﺯﺩ ﻛﻪ ﺧﺎﺭﺝ ﺍﺯ ﺍﻫﺪﺍﻑ‬
‫ﻃﺮﺍﺣﻲ ﺁﻥ ﺗﺴﻬﻴﻼﺕ ﺑﻮﺩﻩ ﺍﺳﺖ‪.‬‬
‫‪) cryptanalysis‬ﺷﻜﺴﺘﻦ ﺭﻣﺰ(‪ :‬ﺷﺎﺧﻪﺍﻱ ﺍﺯ ﻋﻠﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﻣﺮﺗﺒﻂ ﺑﺎ ﻛﺸﻒ ﺭﻣﺰ ﺑﺮﺍﻱ ﺍﺳﺘﺨﺮﺍﺝ ﺍﻃﻼﻋﺎﺕ‪ ،‬ﻭ ﻳﺎ ﺟﻌﻞ‬
‫ﺍﻃﻼﻋﺎﺕ ﺭﻣﺰﺷﺪﻩ ﺑﻨﺤﻮﻱ ﺍﺳﺖ ﻛﻪ ﻣﻌﺘﺒﺮ ﺗﻠﻘﻲ ﮔﺮﺩﺩ‪.‬‬
‫‪٤٣١‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻭﺍﮊﻩﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬
‫‪) cryptographic checksum‬ﺟﻤﻊ ﻛﻨﺘﺮﻟﻲ ﺭﻣﺰﻱ(‪ :‬ﻳﻚ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ ﺍﺳﺖ ﻛﻪ ﺗﺎﺑﻌﻲ ﻫﻢ ﺍﺯ ﺩﻳﺘﺎﺋﻲ ﻛﻪ ﺑﺎﻳﺪ ﺍﻋﺘﺒﺎﺭ ﺁﻥ‬
‫ﺳﻨﺠﻴﺪﻩ ﺷﻮﺩ ﻭ ﻫﻢ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﺳﺮّﻱ ﻣﻲﺑﺎﺷﺪ‪ .‬ﺑﻪ ﺁﻥ ﻛﹸﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ )‪ (MAC‬ﻧﻴﺰ ﮔﻔﺘﻪ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪) cryptography‬ﺭﻣﺰﻧﮕﺎﺭﻱ(‪ :‬ﺷﺎﺧﻪﺍﻱ ﺍﺯ ﻋﻠﻢ ﺭﻣﺰﺷﻨﺎﺳﻲ ﺍﺳﺖ ﻛﻪ ﻣﺮﺗﺒﻂ ﺑﺎ ﻃﺮﺍﺣﻲ ﺍﻟﮕﻮﺭﻳﺘﻢﻫﺎﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫ﺑﻮﺩﻩ ﻛﻪ ﻫﺪﻑ ﺁﻧﻬﺎ ﺳﺮّﻱ ﻧﮕﺎﻩ ﺩﺍﺷﺘﻦ ﻭ‪ /‬ﻳﺎ ﻣﻌﺘﺒﺮﻧﮕﺎﻩ ﺩﺍﺷﺘﻦ ﭘﻴﺎﻡ ﺍﺳﺖ‪.‬‬
‫‪) cryptology‬ﺭﻣﺰﺷﻨﺎﺳﻲ(‪ :‬ﺑﺮﺭﺳﻲ ﺍﺭﺗﺒﺎﻃﺎﺕ ﺍﻣﻦ ﺍﺳﺖ ﻛﻪ ﻫﻢ ﺷﺎﺧﺔ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﻫﻢ ﺷﺎﺧﺔ ﻛﺸﻒ ﺭﻣﺰ ﺭﺍ ﺷﺎﻣﻞ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫‪) decryption‬ﺭﻣﺰﮔﺸﺎﺋﻲ(‪ :‬ﺗﺒﺪﻳﻞ ﻣﺘﻦ ﻭ ﻳﺎ ﺩﻳﺘﺎﻱ ﺭﻣﺰﺷﺪﻩ )ﻛﻪ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷﻮﺩ( ﺑﻪ ﻣﺘﻦ ﻭ ﻳﺎ ﺩﻳﺘﺎﻱ ﺍﻭﻟﻴﻪ )ﻛﻪ‬
‫ﻣﺘﻦ ﺳﺎﺩﻩ ﻧﺎﻣﻴﺪﻩ ﻣﻲﺷﻮﺩ( ﺍﺳﺖ‪.‬‬
‫‪) differential cryptanalysis‬ﺷﻜﺴﺘﻦ ﺗﻔﺎﺿﻠﻲ ﺭﻣﺰ(‪ :‬ﺭﻭﺷﻲ ﻛﻪ ﺩﺭ ﺁﻥ ﻣﺘﻮﻥ ﺳﺎﺩﺓ ﺍﻧﺘﺨﺎﺏ ﺷﺪﻩ ﺑﺎ ﺍﹸﻟﮕﻮﻫﺎﻱ ﺗﻔﺎﺿﻠﻲ‬
‫‪ XOR‬ﺷﺪﻩ ﺑﺨﺼﻮﺹ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﻧﺪ‪ .‬ﺍﹸﻟﮕﻮﻫﺎﻱ ﺗﻔﺎﺿﻠﻲ ﻣﺘﻦ ﺭﻣﺰﺷﺪﺓ ﻣﻨﺘﺠﻪ‪ ،‬ﺍﻃﻼﻋﺎﺗﻲ ﺭﺍ ﺑﻪ ﺩﺳﺖ ﻣﻲﺩﻫﻨﺪ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ‬
‫ﺑﺮﺍﻱ ﻛﺸﻒ ﻛﻠﻴﺪ ﺭﻣﺰ ﻣﻔﻴﺪ ﺑﺎﺷﺪ‪.‬‬
‫‪) diffusion‬ﭘﺨﺶ ﻛﺮﺩﻥ(‪ :‬ﻳﻚ ﺗﻜﻨﻴﻚ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﭘﻲ ﺍﻳﺠﺎﺩ ﺍﺑﻬﺎﻡ ﺩﺭ ﺳﺎﺧﺘﺎﺭ ﺁﻣﺎﺭﻱ ﭘﻴﺎﻡ‪ ،‬ﺑﺎ ﭘﺨﺶ ﻛﺮﺩﻥ ﺍﺛﺮ ﻫﺮ‬
‫ﻋﻨﺼﺮ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﻪ ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﻋﻨﺎﺻﺮ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‪ ،‬ﺍﺳﺖ‪.‬‬
‫‪) digital signature‬ﺍﻣﻀﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ(‪ :‬ﻳﻚ ﺗﻜﻨﻴﻚ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺖ ﻛﻪ ﺧﻠﻖﻛﻨﻨﺪﺓ ﭘﻴﺎﻡ ﺭﺍ ﻗﺎﺩﺭ ﻣﻲﺳﺎﺯﺩ ﺗﺎ ﻛﹸﺪﻱ ﻛﻪ ﺧﺎﺻﻴﺖ‬
‫ﻳﻚ ﺍﻣﻀﺎﺀ ﺭﺍ ﺩﺍﺭﺩ ﺑﻪ ﭘﻴﺎﻡ ﻣﺘﺼﻞ ﺳﺎﺯﺩ‪ .‬ﺍﻣﻀﺎﺀ ﺑﺎ ﻣﺤﺎﺳﺒﺔ ‪ hash‬ﭘﻴﺎﻡ ﻭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﭘﻴﺎﻡ ﺑﺎ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺧﻠﻖﻛﻨﻨﺪﺓ ﭘﻴﺎﻡ ﺍﻧﺠﺎﻡ‬
‫ﻣﻲﺷﻮﺩ‪ .‬ﺍﻣﻀﺎﺀ‪ ،‬ﻣﻨﺒﻊ ﺻﺪﻭﺭ ﻭ ﺻﺤﺖ ﭘﻴﺎﻡ ﺭﺍ ﺗﻀﻤﻴﻦ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪) digram‬ﺩﻭ‪ -‬ﺣﺮﻓﻲ(‪ :‬ﻳﻚ ﺭﺩﻳﻒ ﺩﻭ‪ -‬ﺣﺮﻓﻲ ﺍﺳﺖ‪ .‬ﺩﺭ ﺯﺑﺎﻥ ﺍﻧﮕﻠﻴﺴﻲ ﻭ ﺳﺎﻳﺮ ﺯﺑﺎﻥﻫﺎ‪ ،‬ﻭﻗﻮﻉ ﻧﺴﺒﻲ ﺩﻭ‪ -‬ﺣﺮﻓﻲﻫﺎ ﺩﺭ ﻣﺘﻦ ﺳﺎﺩﻩ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﺩﺭ ﺷﻜﺴﺘﻦ ﺑﻌﻀﻲ ﺭﻣﺰﻫﺎ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪.‬‬
‫‪) discretionary access control‬ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻣﻨﺼﻔﺎﻧﻪ(‪ :‬ﻳﻚ ﺳﺮﻭﻳﺲ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻛﻪ ﻳﻚ ﺳﻴﺎﺳﺖ ﺍﻣﻨﻴﺘﻲ‪،‬‬
‫ﻣﺒﺘﻨﻲ ﺑﺮ ﻫﻮﻳﺖ ﻣﻮﺟﻮﺩﻳﺖﻫﺎﻱ ﺳﻴﺴﺘﻢ ﻭ ﺣﻘﻮﻕ ﺩﺳﺖﻳﺎﺑﻲ ﺁﻧﻬﺎ ﺑﻪ ﻣﻨﺎﺑﻊ ﺳﻴﺴﺘﻢ‪ ،‬ﺭﺍ ﭘﻴﺎﺩﻩ ﻣﻲﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﺳﺮﻭﻳﺲ ﺍﺯ ﺍﻳﻦﺟﻬﺖ‬
‫»ﻣﻨﺼﻔﺎﻧﻪ« ﻧﺎﻡ ﺩﺍﺭﺩ ﻛﻪ ﻳﻚ ﻣﻮﺟﻮﺩﻳﺖ ﻣﻤﻜﻦ ﺍﺳﺖ ﺩﺍﺭﺍﻱ ﺁﻧﭽﻨﺎﻥ ﺣﻖ ﺩﺳﺖﻳﺎﺑﻲ ﺑﺎﺷﺪ ﻛﻪ ﺑﺘﻮﺍﻧﺪ ﺑﺎ ﺻﻼﺣﺪﻳﺪ ﺧﻮﺩ ﺑﻪ ﻣﻮﺟﻮﺩﻳﺖ‬
‫ﺩﻳﮕﺮﻱ ﺣﻖ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺑﻌﻀﻲ ﻣﻨﺎﺑﻊ ﺭﺍ ﺗﻔﻮﻳﺾ ﻧﻤﺎﻳﺪ‪.‬‬
‫‪) divisor‬ﻣﻘﺴﻮﻡ ﻋﻠﻴﻪ(‪ :‬ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ﺭﺍ ﻣﻘﺴﻮﻡ ﻋﻠﻴﻪ ﻋﺪﺩ ﺻﺤﻴﺢ ﺩﻳﮕﺮ ﮔﻮﻳﻨﺪ ﺩﺭ ﺻﻮﺭﺗﻲ ﻛﻪ ﺑﺎﻗﻴﻤﺎﻧﺪﺓ ﺗﻘﺴﻴﻢ ﺍﻳﻦ ﺑﺮ ﺁﻥ‬
‫ﺻﻔﺮ ﺑﺎﺷﺪ‪.‬‬
‫‪) encryption‬ﺭﻣﺰﻧﮕﺎﺭﻱ(‪ :‬ﺗﺒﺪﻳﻞ ﻳﻚ ﻣﺘﻦ ﺳﺎﺩﻩ ﻭ ﻳﺎ ﺩﻳﺘﺎ ﺑﻪ ﻳﻚ ﻓﺮﻡ ﻧﺎﻣﻔﻬﻮﻡ ﺭﺍ ﮔﻮﻳﻨﺪ ﻛﻪ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻧﮕﺎﺷﺖ‬
‫ﺑﺮﮔﺸﺖﭘﺬﻳﺮ ﻣﺒﺘﻨﻲ ﺑﺮ ﻳﻚ ﺟﺪﻭﻝ ﺗﺒﺪﻳﻞ ﻳﺎ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪.‬‬
‫‪) firewall‬ﺩﻳﻮﺍﺭ ﺁﺗﺶ(‪ :‬ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮﻛﻪ ﺑﻌﻨﻮﺍﻥ ﻭﺍﺳﻂ ﺍﺭﺗﺒﺎﻁ ﺑﺎ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﻱ ﺧﺎﺭﺝ ﺍﺯ ﻳﻚ ﺷﺒﻜﻪ ﺗﺨﺼﻴﺺ ﻳﺎﻓﺘﻪ ﻭ ﻋﻮﺍﻣﻞ‬
‫ﺣﻔﺎﻇﺘﻲ ﺑﺨﺼﻮﺻﻲ ﺩﺭ ﺁﻥ ﺗﻌﺒﻴﻪ ﺷﺪﻩ ﺍﺳﺖ ﺗﺎ ﻓﺎﻳﻞﻫﺎﻱ ﺣﺴﺎﺱ ﻭ ﻳﺎ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﻱ ﺩﺭﻭﻥ ﺷﺒﻜﻪ ﺭﺍ ﻣﺤﺎﻓﻈﺖ ﻧﻤﺎﻳﺪ‪ .‬ﺍﻳﻦ ﺩﺳﺘﮕﺎﻩ ﺑﻪ‬
‫ﺷﺒﻜﺔ ﺧﺎﺭﺟﻲ‪ ،‬ﺑﺨﺼﻮﺹ ﺍﻳﻨﺘﺮﻧﺖ‪ ،‬ﺍﺗﺼﺎﻻﺕ ﻭ ﺧﻄﻮﻁ ﺗﻠﻔﻨﻲ ﻭﺭﻭﺩﻱ ﺳﺮﻭﻳﺲ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪) greatest common divisor‬ﺑﺰﺭﮔﺘﺮﻳﻦ ﻣﻘﺴﻮﻡ ﻋﻠﻴﻪ ﻣﺸﺘﺮﻙ(‪ :‬ﺑﺰﺭﮔﺘﺮﻳﻦ ﻣﻘﺴﻮﻡ ﻋﻠﻴﻪ ﻣﺸﺘﺮﻙ ﺩﻭ ﻋﺪﺩ ﺻﺤﻴﺢ ‪ a‬ﻭ ‪،b‬‬
‫ﺑﺰﺭﮔﺘﺮﻳﻦ ﻋﺪﺩ ﺻﺤﻴﺢ ﻣﺜﺒﺘﻲ ﺍﺳﺖ ﻛﻪ ﻫﻢ ‪ a‬ﻭ ﻫﻢ ‪ b‬ﺭﺍ ﻣﻲﺷﻤﺎﺭﺩ‪ .‬ﮔﻮﻳﻨﺪ ﻳﻚ ﻋﺪﺩ ﺻﺤﻴﺢ ﻋﺪﺩ ﺻﺤﻴﺢ ﺩﻳﮕﺮ ﺭﺍ ﻣﻲﺷﻤﺎﺭﺩ ﺩﺭ‬
‫ﺻﻮﺭﺗﻲ ﻛﻪ ﺗﻘﺴﻴﻢ ﺁﻥ ﺩﻭ ﺑﻪ ﻫﻢ ﺑﺎﻗﻴﻤﺎﻧﺪﻩ ﻧﺪﺍﺷﺘﻪ ﺑﺎﺷﺪ‪.‬‬
‫ﭘﻴﻮﺳﺖ )ﺏ(‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٣٢‬‬
‫‪) hash function‬ﺗﺎﺑﻊ ﺩﺭﻫﻢﺳﺎﺯ(‪ :‬ﺗﺎﺑﻌﻲ ﺭﺍ ﮔﻮﻳﻨﺪﻛﻪ ﻳﻚ ﺑﻠﻮﻙ ﺩﻳﺘﺎ ﻳﺎ ﭘﻴﺎﻡ ﺑﺎ ﻃﻮﻝ ﻣﺘﻐﻴﺮ ﺭﺍ ﺑﻪ ﻳﻚ ﺍﻧﺪﺍﺯﺓ ﺛﺎﺑﺖ‪ ،‬ﻛﻪ ﻛﹸﺪ‬
‫‪ hash‬ﺧﻮﺍﻧﺪﻩ ﻣﻲﺷﻮﺩ‪ ،‬ﻧﮕﺎﺷﺖ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻳﻦ ﺗﺎﺑﻊ ﻃﻮﺭﻱ ﻃﺮﺍﺣﻲ ﻣﻲﺷﻮﺩ ﻛﻪ ﻛﻪ ﻭﻗﺘﻲ ﻣﻮﺭﺩ ﻣﺤﺎﻓﻈﺖ ﻭﺍﻗﻊ ﮔﺮﺩﺩ ﻳﻚ ﺍﻋﺘﺒﺎﺭﺳﻨﺞ‬
‫ﺑﺮﺍﻱ ﺩﻳﺘﺎ ﻭ ﻳﺎ ﭘﻴﺎﻡ ﺑﺎﺷﺪ‪ .‬ﺑﻪ ﺁﻥ ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ ﻫﻢ ﻣﻲﮔﻮﻳﻨﺪ‪.‬‬
‫‪) honeypot‬ﻃﻌﻤﻪ( ‪ :‬ﻳﻚ ﺳﻴﺴﺘﻢ ﺩﺍﻡ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﻓﺮﻳﺐ ﺩﺍﺩﻥ ﺣﻤﻠﻪ ﻛﻨﻨﺪﻩﻫﺎ ﻭ ﺩﻭﺭ ﻧﮕﺎﻩﺩﺍﺷﺘﻦ ﺁﻧﻬﺎ ﺍﺯ ﺳﻴﺴﺘﻢﻫﺎﻱ ﺍﺻـﻠﻲ‬
‫ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪ .‬ﻧﻮﻋﻲ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ ﺍﺳﺖ‪.‬‬
‫‪) initialization vector‬ﺑﺮﺩﺍﺭ ﺁﻏﺎﺯﮔﺮ(‪ :‬ﻳﻚ ﺑﻠﻮﻙ ﺗﺼﺎﺩﻓﻲ ﺍﺯ ﺩﺍﺩﻩﻫﺎ ﺍﺳﺖ ﻛﻪ ﺑﺮﺍﻱ ﺁﻏﺎﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺑﻠﻮﻙﻫﺎﻱ ﻣﺘﻌﺪﺩ ﺩﻳﺘﺎ‬
‫ﺩﺭ ﻫﻨﮕﺎﻡ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﺗﻜﻨﻴﻚ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺯﻧﺠﻴﺮﻩﺍﻱ ﻗﺎﻟﺒﻲ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺍﺯ ‪ IV‬ﺑﺮﺍﻱ ﺧﻨﺜﻲ ﻧﻤﻮﺩﻥ ﺣﻤﻼﺕ ﻣﺘﻦ ﺳﺎﺩﺓ‬
‫ﻣﻌﻠﻮﻡ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪) intruder‬ﻣﻬﺎﺟﻢ(‪ :‬ﻓﺮﺩﻱ ﻛﻪ ﺑﺼﻮﺭﺕ ﻏﻴﺮﻣﺠﺎﺯ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﺩﺳﺖ ﻳﺎﻓﺘﻪ ﻭ ﻳﺎ ﺑﺮﺍﻱ ﺍﻳﻦ ﻣﻨﻈﻮﺭ ﺗﻼﺵ ﻣﻲﻛﻨﺪ‪ .‬ﺍﻭ‬
‫ﻣﻲﺗﻮﺍﻧﺪ ﻳﻚ ﻛﺎﺭﺑﺮ ﻣﻌﺘﺒﺮ ﺑﻮﺩﻩ ﻛﻪ ﺑﺮﺍﻱ ﻛﺴﺐ ﺍﻣﺘﻴﺎﺯﺍﺗﻲ ﺑﻴﺸﺘﺮ ﺍﺯ ﺣﻘﻮﻕ ﺧﻮﺩ ﺗﻼﺵ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫‪) intrusion detection system‬ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﺗﻬﺎﺟﻢ(‪ :‬ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﺍﺑﺰﺍﺭﻫﺎﻱ ﺧﻮﺩﻛﺎﺭ ﻛﻪ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ‬
‫ﺩﺳﺖﻳﺎﺑﻲﻫﺎﻱ ﻏﻴﺮﻣﺠﺎﺯ ﺑﻪ ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﻴﺰﺑﺎﻥ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪ :Kerberos‬ﻧﺎﻣﻲ ﺍﺳﺖ ﻛﻪ ﺑﻪ ﺑﺮﻧﺎﻣﺔ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﺮﻭﮊﺓ ‪ Athena‬ﺩﺍﺩﻩ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪) key distribution center‬ﻣﺮﻛﺰ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ(‪ :‬ﻳﻚ ﺳﻴﺴﺘﻢ ﻣﻌﺘﺒﺮ ﺑﺮﺍﻱ ﺍﺭﺳﺎﻝ ﻛﻠﻴﺪﻫﺎﻱ ﻣﻮﻗﺖ ﺍﺟﻼﺱ ﺑﻪ ﺭﺅﺳﺎﻱ ﺍﺭﺗﺒﺎﻁ‬
‫ﺍﺳﺖ‪ .‬ﻫﺮ ﻛﻠﻴﺪ ﺍﺟﻼﺱ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ ﻛﻠﻴﺪ ﺍﺻﻠﻲ‪ ،‬ﻛﻪ ﺑﻴﻦ ﻣﺮﻛﺰ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﻭ ﺭﺋﻴﺲ ﻣﻮﺭﺩﻧﻈﺮ ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﮔﺬﺍﺷﺘﻪ ﺷﺪﻩ ﺍﺳﺖ‪،‬‬
‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪) logic bomb‬ﺑﻤﺐ ﻻﺟﻴﻚ(‪ :‬ﻣﻨﻄﻘﻲ ﻛﻪ ﺩﺭ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﻃﻮﺭﻱ ﺟﺎﺳﺎﺯﻱ ﺷﺪﻩ ﺍﺳﺖ ﻛﻪ ﻭﻗﻮﻉ ﺷﺮﺍﻳﻂ ﺧﺎﺻﻲ ﺩﺭ‬
‫ﺳﻴﺴﺘﻢ ﺭﺍ ﻛﻨﺘﺮﻝ ﻛﻨﺪ‪ .‬ﻭﻗﺘﻲ ﺍﻳﻦ ﺷﺮﺍﻳﻂ ﺣﺎﺻﻞ ﺷﻮﻧﺪ‪ ،‬ﻋﻤﻠﻲ ﺍﺟﺮﺍ ﺧﻮﺍﻫﺪ ﺷﺪ ﻛﻪ ﻣﻨﺠﺮ ﺑﻪ ﻓﻌﺎﻟﻴﺖﻫﺎﻱ ﻏﻴﺮﻣﺠﺎﺯ ﻣﻲﮔﺮﺩﺩ‪.‬‬
‫‪) mandatory access control‬ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺍﺟﺒﺎﺭﻱ(‪ :‬ﻭﺳﻴﻠﻪﺍﻱ ﺑﺮﺍﻱ ﻣﺤﺪﻭﺩﻛﺮﺩﻥ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﻣﻮﺿﻮﻋﺎﺕ ﺍﺳﺖ ﻛﻪ‬
‫ﻣﺒﺘﻨﻲ ﺑﺮ ﺗﺨﺼﻴﺺ ﺻﻔﺎﺗﻲ ﺑﻪ ﻳﻚ ﻛﺎﺭﺑﺮ‪ ،‬ﻳﻚ ﻓﺎﻳﻞ ﻭ ﺳﺎﻳﺮ ﻣﻮﺿﻮﻋﺎﺕ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻛﻨﺘﺮﻝﻫﺎ ﺑﻪ ﺍﻳﻦ ﻣﻔﻬﻮﻡ ﺍﺟﺒﺎﺭﻱ ﻫﺴﺘﻨﺪ ﻛﻪ‬
‫ﻧﻤﻲﺗﻮﺍﻧﻨﺪ ﺑﺘﻮﺳﻂ ﻛﺎﺭﺑﺮ ﻭ ﻳﺎ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺍﻭ ﺩﺳﺘﻜﺎﺭﻱ ﺷﻮﻧﺪ‪.‬‬
‫‪) man-in-the-middle attack‬ﺣﻤﻠﺔ ﻭﺍﺳﻄﻪﮔﺮﺍﻧﻪ(‪ :‬ﻧﻮﻋﻲ ﺣﻤﻠﺔ ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ ﻓﻌﺎﻝ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺁﻥ ﺣﻤﻠﻪ ﻛﻨﻨﺪﻩ ﺩﺭ‬
‫ﺟﺮﻳﺎﻥ ﻣﺨﺎﺑﺮﺓ ﺩﺍﺩﻩﻫﺎ ﻭﺍﺭﺩ ﺷﺪﻩ ﻭ ﺑﻄﻮﺭ ﺍﻧﺘﺨﺎﺑﻲ ﺩﻳﺘﺎﻱ ﺍﻧﺘﻘﺎﻝ ﺩﺍﺩﻩ ﺷﺪﻩ ﺭﺍ ﻃﻮﺭﻱ ﺩﺳﺘﻜﺎﺭﻱ ﻧﻤﺎﻳﺪ ﻛﻪ ﺧﻮﺩ ﺭﺍ ﺑﺠﺎﻱ ﻳﻚ ﻳﺎ ﭼﻨﺪ‬
‫ﻃﺮﻑ ﺩﺭﮔﻴﺮ ﺍﺭﺗﺒﺎﻁ ﺟﺎ ﺑﺰﻧﺪ‪.‬‬
‫‪) master key‬ﻛﻠﻴﺪ ﺍﺻﻠﻲ(‪ :‬ﻳﻚ ﻛﻠﻴﺪ ﭘﺮﺩﻭﺍﻡ ﻛﻪ ﺑﻴﻦ ﻳﻚ ﻣﺮﻛﺰ ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ ﻭ ﻳﻚ ﺭﺋﻴﺲ ﺍﺭﺗﺒﺎﻁ ﺑﻪ ﺍﺷﺘﺮﺍﻙ ﮔﺬﺍﺷﺘﻪ ﻣﻲﺷﻮﺩ‬
‫ﺗﺎ ﺍﺯ ﺁﻥ ﺑﺮﺍﻱ ﺭﻣﺰﻛﺮﺩﻥ ﺍﻧﺘﻘﺎﻝ ﻛﻠﻴﺪﻫﺎﻱ ﺍﺟﻼﺱ ﺍﺳﺘﻔﺎﺩﻩ ﺷﻮﺩ‪ . .‬ﻣﻌﻤﻮﻻﹰ ﻛﻠﻴﺪﻫﺎﻱ ﺍﺻﻠﻲ ﺑﻪ ﻓﺮﻣﻲ ﺧﺎﺭﺝ ﺍﺯ ﻗﻮﺍﻋﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺗﻮﺯﻳﻊ‬
‫ﻣﻲﺷﻮﻧﺪ‪ .‬ﺑﺎ ﺁﻥ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ -‬ﻛﻠﻴﺪ ﻫﻢ ﻣﻲﮔﻮﻳﻨﺪ‪.‬‬
‫‪ : meet-in-the-middle attack‬ﺍﻳﻦ ﻳﻚ ﺣﻤﻠﺔ ﺷﻜﺴﺘﻦ ﺭﻣﺰ ﺍﺳﺖ ﻛﻪ ﺗﻼﺵ ﻣﻲﻛﻨﺪ ﺗﺎ ﺍﻧﺪﺍﺯﻩﺍﻱ ﺩﺭ ﺑﺮﺩ ﻭ ﺩﺍﻣﻨﻪ ﺗﺮﻛﻴﺐ ﺩﻭ‬
‫ﭘﻴﺎﻡ ﺭﺍ ﺑﻨﺤﻮﻱ ﭘﻴﺪﺍ ﻧﻤﺎﻳﺪ ﻛﻪ ﻧﮕﺎﺷﺖ ﻣﺴﺘﻘﻴﻢ ﺗﺎﺑﻊ ﺍﻭﻝ ﺑﺮﺍﺑﺮ ﺗﺼﻮﻳﺮ ﻣﻌﻜﻮﺱ ﺗﺎﺑﻊ ﺩﻭﻡ ﺑﺎﺷﺪ‪ .‬ﺑﻌﺒﺎﺭﺕ ﺩﻳﮕﺮ ﻣﻼﻗﺎﺕ ﺩﻭ ﻣﻘﺪﺍﺭ ﺩﺭ‬
‫ﻭﺳﻂ ﺩﻭ ﺗﺎﺑﻊ ﺗﺮﻛﻴﺒﻲ ﺍﻧﺠﺎﻡ ﺷﻮﺩ‪.‬‬
‫‪) message authentication‬ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ(‪ :‬ﻋﻤﻠﻲ ﻛﻪ ﺑﺮﺍﻱ ﺗﺄﺋﻴﺪ ﺻﺤﺖ ﭘﻴﺎﻡ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪٤٣٣‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻭﺍﮊﻩﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬
‫‪ :(MAC) Message authentication code‬ﺳﺮﺟﻤﻊ ﻣﺮﺗﺒﻂ ﺑﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪) message digest‬ﭼﻜﻴﺪﺓ ﭘﻴﺎﻡ(‪ :‬ﺗﺎﺑﻊ ﺩﺭﻫﻢ ﺳﺎﺯ )‪(hash‬‬
‫‪) modular arithmetic‬ﺣﺴﺎﺏ ﭘﻴﻤﺎﻧﻪﺍﻱ(‪ :‬ﻧﻮﻋﻲ ﺍﺯ ﺣﺴﺎﺏ ﺍﻋﺪﺍﺩ ﺻﺤﻴﺢ ﻛﻪ ﺑﺮﺍﻱ ﻋﺪﺩﻱ ﻣﺎﻧﻨﺪ ‪ ، n‬ﻫﻤﺔ ﺍﻋﺪﺍﺩ ﺻﺤﻴﺢ ﺭﺍ‬
‫ﺑﻪ ﻳﻚ ﻣﺠﻤﻮﻋﺔ ﻣﺘﻨﺎﻫﻲ ]‪ [0, 1,…,n-1‬ﻛﺎﻫﺶ ﻣﻲﺩﻫﺪ‪ .‬ﻫﺮ ﻋﺪﺩ ﺻﺤﻴﺢ ﺧﺎﺭﺝ ﺍﺯ ﺍﻳﻦ ﻣﺤﺪﻭﺩﻩ ﺑﺎ ﺍﻧﺘﺨﺎﺏ ﺑﺎﻗﻴﻤﺎﻧﺪﺓ ﺗﻘﺴﻴﻢ ﺁﻥ‬
‫ﺑﺮ ‪ n‬ﺑﻪ ﻳﻚ ﻋﺪﺩ ﺩﺍﺧﻞ ﺍﻳﻦ ﻣﺤﺪﻭﺩﻩ ﺗﺒﺪﻳﻞ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪) mode of operation‬ﻣُﻮﺩ ﻋﻤﻠﻴﺎﺗﻲ(‪ :‬ﺗﻜﻨﻴﻜﻲ ﺑﺮﺍﻱ ﺍﺭﺗﻘﺎﺀ ﺍﺛﺮ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﻳﺎ ﻭﻓﻖ ﺩﺍﺩﻥ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺑﻪ‬
‫ﻛﺎﺭﺑﺮﺩﻱ ﺑﺨﺼﻮﺹ‪ ،‬ﻫﻤﭽﻮﻥ ﺍﻋﻤﺎﻝ ﻳﻚ ﺭﻣﺰ ﻗﺎﻟﺒﻲ ﺑﻪ ﺭﺩﻳﻔﻲ ﺍﺯ ﺑﻠﻮﻙﻫﺎﻱ ﺩﻳﺘﺎ ﻭ ﻳﺎ ﻳﻚ ﺟﺮﻳﺎﻥ ﺩﺍﺩﻩﻫﺎﺳﺖ‪.‬‬
‫‪) multilevel security‬ﺍﻣﻨﻴﺖ ﭼﻨﺪ ﻻﻳﻪ(‪ :‬ﻗﺎﺑﻠﻴﺘﻲ ﺍﺳﺖ ﻛﻪ ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﺭﺍ ﺑﻪ ﺳﻄﻮﺡ ﭼﻨﺪﮔﺎﻧﺔ ﻃﺒﻘﻪﺑﻨﺪﻱ ﺩﺍﺩﻩﻫﺎ ﺍﻋﻤﺎﻝ‬
‫‪) multiple encryption‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﭼﻨﺪﮔﺎﻧﻪ(‪ :‬ﺍﺳﺘﻔﺎﺩﺓ ﻣﻜﺮﺭ ﺍﺯ ﻳﻚ ﺗﺎﺑﻊ ﺭﻣﺰﻧﮕﺎﺭﻱ‪ ،‬ﺑﺎ ﻛﻠﻴﺪﻫﺎﻱ ﻣﺨﺘﻠﻒ‪ ،‬ﺑﺮﺍﻱ ﺗﻮﻟﻴﺪ ﻳﻚ‬
‫ﻧﮕﺎﺷﺖ ﭘﻴﭽﻴﺪﻩﺗﺮ ﺍﺯ ﻣﺘﻦ ﺳﺎﺩﻩ ﺑﻪ ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪ :nibble‬ﺭﺩﻳﻔﻲ ﺍﺯ ﭼﻬﺎﺭ ﺑﻴﺖ ﺭﺍ ﮔﻮﻳﻨﺪ‬
‫‪ :nonce‬ﻳﻚ ﺷﻨﺎﺳﻪ ﻭ ﻳﺎ ﻳﻚ ﻋﺪﺩ ﻛﻪ ﺗﻨﻬﺎ ﻳﻚﺑﺎﺭ ﺑﻜﺎﺭ ﻣﻲﺭﻭﺩ‪.‬‬
‫‪) one-way function‬ﺗﺎﺑﻊ ﻳﻚ‪ -‬ﻃﺮﻓﻪ(‪ :‬ﺗﺎﺑﻌﻲ ﻛﻪ ﻣﺤﺎﺳﺒﺔ ﺁﻥ ﺁﺳﺎﻥ ﺑﻮﺩﻩ ﻭﻟﻲ ﻣﺤﺎﺳﺒﺔ ﻣﻌﻜﻮﺱ ﺁﻥ ﻏﻴﺮﻣﻤﻜﻦ ﺍﺳﺖ‪.‬‬
‫‪) password‬ﻛﻠﻤﺔ ﻋﺒﻮﺭ(‪ :‬ﻳﻚ ﺍﻧﺪﺍﺯﺓ ﺳﺮّﻱ‪ ،‬ﻣﻌﻤﻮﻻﹰ ﺭﺩﻳﻔﻲ ﺍﺯ ﻛﺎﺭﺍﻛﺘﺮﻫﺎ‪ ،‬ﻛﻪ ﺍﺯ ﺁﻥ ﺑﻌﻨﻮﺍﻥ ﻳﻚ ﺍﻃﻼﻋﺎﺕ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺍﺳﺘﻔﺎﺩﻩ‬
‫ﻣﻲﺷﻮﺩ‪ .‬ﻳﻚ ﻛﻠﻤﺔ ﻋﺒﻮﺭ ﻣﻌﻤﻮﻻﹰ ﺑﺎ ﻳﻚ ﺷﻨﺎﺳﺔ ﻛﺎﺭﺑﺮ ﺟﻔﺖ ﺑﻮﺩﻩ ﻛﻪ ﺍﻳﻦ ﺷﻨﺎﺳﺔ ﺩﺭ ﻋﻤﻞ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﺑﺼﻮﺭﺕ ﻭﺍﺿﺢ ﺍﺭﺍﺋﻪ‬
‫ﻣﻲﺷﻮﺩ‪ .‬ﺩﺭ ﺑﻌﻀﻲ ﻣﻮﺍﺭﺩ ﺍﻳﻦ ﺷﻨﺎﺳﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺿﻤﻨﻲ ﺑﺎﺷﺪ‪.‬‬
‫‪) plaintext‬ﻣﺘﻦ ﺳﺎﺩﻩ(‪ :‬ﻭﺭﻭﺩﻱ ﻳﻚ ﺗﺎﺑﻊ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﻳﺎ ﺧﺮﻭﺟﻲ ﻳﻚ ﺗﺎﺑﻊ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺍﺳﺖ‪.‬‬
‫‪) primitive root‬ﺭﻳﺸﺔ ﺍﻭﻟﻴﻪ(‪ :‬ﺍﮔﺮ ‪ r‬ﻭ ‪ n‬ﻧﺴﺒﺖ ﺑﻪ ﻫﻢ ﺍﻭﻝ ﺑﺎﺷﻨﺪ‪ ،n > 0 ،‬ﻭ ﺍﮔﺮ )‪ Φ (n‬ﻛﻮﭼﻚﺗﺮﻳﻦ ﺗﻮﺍﻥ ﻣﺜﺒﺖ ‪m‬‬
‫ﺑﻨﺤﻮﻱ ﺑﺎﺷﺪ ﻛﻪ ‪ rm ≡ 1 mod n‬ﺑﺎﺷﺪ‪ ،‬ﺁﻧﮕﺎﻩ ‪ r‬ﺭﺍ ﺭﻳﺸﺔ ﺍﻭﻟﻴﺔ ﺑﺎ ﭘﻴﻤﺎﻧﺔ ‪ n‬ﺧﻮﺍﻧﻨﺪ‪.‬‬
‫‪) private key‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ(‪ :‬ﻳﻜﻲ ﺍﺯ ﺩﻭ ﻛﻠﻴﺪﻱ ﻛﻪ ﺩﺭ ﺳﻴﺴﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﺎﻣﺘﻘﺎﺭﻥ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﺑﻤﻨﻈﻮﺭ ﺍﺭﺗﺒﺎﻃﺎﺕ‬
‫ﺍﻣﻦ‪ ،‬ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺑﺎﻳﺴﺘﻲ ﺗﻨﻬﺎ ﺑﺮﺍﻱ ﺧﻠﻖﻛﻨﻨﺪﺓ ﺁﻥ ﻣﻌﻠﻮﻡ ﺑﺎﺷﺪ‪.‬‬
‫‪) pseudorandom number generator‬ﺗﻮﻟﻴﺪﻛﻨﻨﺪﺓ ﺍﻋﺪﺍﺩ ﺷﺒﻪ ﺗﺼﺎﺩﻓﻲ(‪ :‬ﺗﺎﺑﻌﻲ ﻛﻪ ﺑﺼﻮﺭﺕ ﻳﻘﻴﻨﻲ ﺭﺩﻳﻔﻲ ﺍﺯ ﺍﻋﺪﺍﺩ ﺭﺍ‬
‫ﺩﺭﺳﺖ ﻣﻲﻛﻨﺪ ﻛﻪ ﻇﺎﻫﺮﺍﹰ ﺍﺯ ﻧﻈﺮ ﺁﻣﺎﺭﻱ ﺗﺼﺎﺩﻓﻲ ﻫﺴﺘﻨﺪ‪.‬‬
‫‪) public key‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ(‪ :‬ﻳﻜﻲ ﺍﺯ ﺩﻭ ﻛﻠﻴﺪﻱ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺳﻴﺴﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﺎﻣﺘﻘﺎﺭﻥ ﺍﺯ ﺁﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪ .‬ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‪،‬‬
‫ﺩﺭ ﻣﻌﺮﺽ ﺍﺳﺘﻔﺎﺩﺓ ﻋﻤﻮﻡ ﻗﺮﺍﺭ ﻣﻲﮔﻴﺮﺩ ﺗﺎ ﺑﻬﻤﺮﺍﻩ ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ ﺟﻔﺖ ﺁﻥ ﻣﻮﺭﺩ ﺍﺳﺘﻔﺎﺩﻩ ﻗﺮﺍﺭ ﮔﻴﺮﺩ‪.‬‬
‫‪) public-key certificate‬ﮔﻮﺍﻫﻲﻧﺎﻣﺔ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ(‪ :‬ﺷﺎﻣﻞ ﻳﻚ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﺑﺎﺿﺎﻓﻪ ‪ User ID‬ﺻﺎﺣﺐ ﺁﻥ ﺍﺳﺖ‪ ،‬ﻛﻪ‬
‫ﻛﻞ ﺁﻥ ﺑﺘﻮﺳﻂ ﻳﻚ ﺷﺨﺺ ﺛﺎﻟﺚ ﻣﻌﺘﺒﺮ ﺍﻣﻀﺎﺀ ﺷﺪﻩ ﺍﺳﺖ‪ .‬ﺷﺨﺺ ﺛﺎﻟﺚ ﻣﻌﻤﻮﻻﹰ ﻳﻚ ﻣﻘﺎﻡ ﻣﺴﺌﻮﻝ ﺻﺪﻭﺭﮔﻮﺍﻫﻲﻧﺎﻣﻪ )‪ (CA‬ﺍﺳﺖ‬
‫ﻛﻪ ﻫﻤﭽﻮﻥ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﺩﻭﻟﺘﻲ ﻭ ﻳﺎ ﻳﻚ ﻣﺆﺳﺴﺔ ﺍﻋﺘﺒﺎﺭﻱ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ ﻳﻚ ﺟﻤﻌﻴﺖ ﺍﺯ ﻛﺎﺭﺑﺮﺍﻥ ﺍﺳﺖ‪.‬‬
‫‪) public-key encryption‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ(‪ :‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﺎﻣﺘﻘﺎﺭﻥ‪.‬‬

‫ﭘﻴﻮﺳﺖ )ﺏ(‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٣٤‬‬
‫)‪) public-key infrastructure(PKI‬ﺯﻳﺮﺳﺎﺧﺖ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ(‪ :‬ﻣﺠﻤﻮﻋﺔ ﺳﺨﺖﺍﻓﺰﺍﺭﻫﺎ‪ ،‬ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎ‪ ،‬ﻣﺮﺩﻡ‪ ،‬ﺳﻴﺎﺳﺖﻫﺎ ﻭ‬
‫ﺭَﻭﻳﻪﻫﺎﻱ ﻻﺯﻡ ﺑﺮﺍﻱ ﺧﻠﻖ‪ ،‬ﻣﺪﻳﺮﻳﺖ‪ ،‬ﺫﺧﻴﺮﻩ ﺳﺎﺯﻱ‪ ،‬ﺗﻮﺯﻳﻊ ﻭ ﺍﺑﻄﺎﻝ ﮔﻮﺍﻫﻲﻧﺎﻣﻪﻫﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ ﻣﺒﺘﻨﻲ ﺑﺮ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﺎﻣﺘﻘﺎﺭﻥ ﻣﻲﺑﺎﺷﺪ‪.‬‬
‫‪) relatively prime‬ﺍﻭﻝ ﻧﺴﺒﻲ(‪ :‬ﺩﻭ ﻋﺪﺩ ﺩﺭ ﺻﻮﺭﺗﻲ ﻧﺴﺒﺖ ﺑﻪ ﻫﻢ ﺍﻭﻝ ﻫﺴﺘﻨﺪ ﻛﻪ ﻫﻴﭻ ﻓﺎﻛﺘﻮﺭ ﺍﻭﻝ ﻣﺸﺘﺮﻛﻲ ﺑﺎ ﻫﻢ ﻧﺪﺍﺷﺘﻪ‬
‫ﺑﺎﺷﻨﺪ‪ ،‬ﻳﻌﻨﻲ ﻣﻘﺴﻮﻡ ﻋﻠﻴﻪ ﻣﺸﺘﺮﻙ ﺁﻧﻬﺎ ﻳﻚ ﺑﺎﺷﺪ‪.‬‬
‫‪) replay attack‬ﺣﻤﻼﺕ ﺑﺎﺯﺧﻮﺍﻧﻲ(‪ :‬ﺣﻤﻠﻪﺍﻱ ﻛﻪ ﺩﺭ ﺁﻥ ﻳﻚ ﺳﺮﻭﻳﺲ ﻛﻪ ﻗﺒﻼﹰ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﻭ ﻛﺎﻣﻞ ﺷﺪﻩ ﺍﺳﺖ ﺑﺎ ﺟﻌﻞ‬
‫ﺗﻘﺎﺿﺎﻱ ﻣﺠﺪﺩﻱ ﺑﺮﺍﻱ ﻛﺴﺐ ﻓﺮﺍﻣﻴﻦ ﻣﻌﺘﺒﺮ ﺗﻼﺵ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪ :residue‬ﻭﻗﺘـﻲ ﻋـﺪﺩ ﺻــﺤﻴﺢ ‪ a‬ﺑـﺮ ﻋــﺪﺩ ﺻـﺤﻴﺢ ‪ n‬ﺗﻘــﺴﻴﻢ ﻣـﻲﺷــﻮﺩ‪ ،‬ﺑﺎﻗﻴﻤﺎﻧـﺪﺓ ‪ r‬ﺭﺍ ‪ residue‬ﮔﻮﻳﻨــﺪ‪ .‬ﺑﻄـﻮﺭ ﻣﻌــﺎﺩﻝ‬
‫‪r = a mod n‬‬
‫‪ :residue class‬ﺗﻤﺎﻡ ﺍﻋﺪﺍﺩ ﺻﺤﻴﺤﻲ ﻛﻪ ﻭﻗﺘﻲ ﺑﺮ ‪ n‬ﺗﻘﺴﻴﻢ ﺷﻮﻧﺪ ﺩﺍﺭﺍﻱ ﺑﺎﻗﻴﻤﺎﻧﺪﺓ ﻳﻜﺴﺎﻧﻲ ﺑﺎﺷﻨﺪ ﻳﻚ ‪ residue class‬ﺑﻪ‬
‫‪ r E2n ،rEn ،r‬ﻭ ‪ ...‬ﻣﺘﻌﻠﻖ ﺑﻪ‬ ‫ﭘﻴﻤﺎﻧﻪ ‪ n‬ﺭﺍ ﺗﺸﻜﻴﻞ ﻣﻲﺩﻫﻨﺪ‪ .‬ﺑﻨﺎﺑﺮﺍﻳﻦ‪ ،‬ﺑﺮﺍﻱ ﻳﻚ ﺑﺎﻗﻴﻤﺎﻧﺪﺓ ﺩﺍﺩﻩ ﺷﺪﻩ ‪ ،r‬ﺍﻋﺪﺍﺩ ﺻﺤﻴﺢ‬
‫)‪ residue class (mod n‬ﻫﺴﺘﻨﺪ‪.‬‬
‫‪ :RSA algorithm‬ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﺳﺖ ﻛﻪ ﺑﺮ ﻣﺒﻨﺎﻱ ﺑﺘﻮﺍﻥ ﺭﺳﺎﻧﺪﻥ ﻳﻚ ﻋﺪﺩ ﺩﺭ ﺣﺴﺎﺏ ﭘﻴﻤﺎﻧﻪﺍﻱ‬
‫ﻗﺮﺍﺭ ﺩﺍﺭﺩ‪ .‬ﺍﻳﻦ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺗﻨﻬﺎ ﺍﻟﮕﻮﺭﻳﺘﻢ ﭘﺬﻳﺮﻓﺘﻪ ﺷﺪﻩ ﻋﻤﻮﻣﻲ ﺑﺮﺍﻱ ﻳﻚ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ‪ -‬ﻋﻤﻮﻣﻲ ﺍﻣﻦ ﻭ ﻋﻤﻠﻲ ﺍﺳﺖ‪.‬‬
‫‪) secret key‬ﻛﻠﻴﺪ ﺳﺮّﻱ(‪ :‬ﻛﻠﻴﺪﻱ ﺍﺳﺖ ﻛﻪ ﺍﺯ ﺁﻥ ﺩﺭ ﻳﻚ ﺳﻴﺴﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪) security attack‬ﺣﻤﻠﺔ ﺍﻣﻨﻴﺘﻲ(‪ :‬ﻳﻚ ﺿﺮﺑﻪ ﺑﺮ ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ ﻛﻪ ﺍﺯ ﻳﻚ ﺗﻬﺪﻳﺪ ﻫﻮﺷﻤﻨﺪﺍﻧﻪ ﻧﺎﺷﻲ ﻣﻲﺷﻮﺩ‪ .‬ﻳﻌﻨﻲ ﻳﻚ ﻋﻤﻞ‬
‫ﻫﻮﺷﻤﻨﺪﺍﻧﻪ ﺑﺮﺍﻱ ﻳﻚ ﺗﻼﺵ ﻫﻮﺷﻤﻨﺪﺍﻧﻪ ﺩﺭ ﺟﻬﺖ ﺷﻜﺴﺖ ﺳﺮﻭﻳﺲﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﻭ ﻧﻘﺾ ﺳﻴﺎﺳﺖ ﺍﻣﻨﻴﺘﻲ ﻳﻚ ﺳﻴﺴﺘﻢ ﺍﺳﺖ‪.‬‬
‫‪) security mechanism‬ﻣﻜﺎﻧﻴﺴﻢ ﺍﻣﻨﻴﺘﻲ(‪ :‬ﻳﻚ ﭘﺮﺩﺍﺯﺵ )ﻳﺎ ﺩﺳﺘﮕﺎﻫﻲ ﻛﻪ ﺍﻳﻦ ﭘﺮﺩﺍﺯﺵ ﺭﺍ ﻓﺮﺍﻫﻢ ﻣﻲﻛﻨﺪ( ﻛﻪ ﺑﺮﺍﻱ ﺗﺸﺨﻴﺺ‪،‬‬
‫ﺟﻠﻮﮔﻴﺮﻱ ﻭ ﻳﺎ ﺑﺎﺯﻳﺎﺑﻲ ﻳﻚ ﺣﻤﻠﺔ ﺍﻣﻨﻴﺘﻲ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﺍﺳﺖ‪.‬‬
‫‪) security service‬ﺳﺮﻭﻳﺲ ﺍﻣﻨﻴﺘﻲ(‪ :‬ﻳﻚ ﭘﺮﺩﺍﺯﺵ ﻭ ﻳﺎ ﻳﻚ ﺳﺮﻭﻳﺲ ﺍﺭﺗﺒﺎﻃﻲ ﺍﺳﺖ ﻛﻪ ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢﻫﺎﻱ ﭘﺮﺩﺍﺯﺵ ﺩﻳﺘﺎ ﻭ‬
‫ﺍﻧﺘﻘﺎﻝ ﺍﻃﻼﻋﺎﺕ ﻳﻚ ﺳﺎﺯﻣﺎﻥ ﺭﺍ ﺍﺭﺗﻘﺎﺀ ﻣﻲﺩﻫﺪ‪ .‬ﺳﺮﻭﻳﺲﻫﺎ ﺑﻪ ﻣﻨﻈﻮﺭ ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ ﻃﺮﺍﺣﻲ ﺷﺪﻩ ﻭ ﺍﺯ ﻳﻚ ﻳﺎ ﭼﻨﺪ‬
‫ﻣﻜﺎﻧﻴﺴﻢ ﺍﻣﻨﻴﺘﻲ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﺳﺮﻭﻳﺲ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﻨﺪ‪.‬‬
‫‪) security threat‬ﺗﻬﺪﻳﺪ ﺍﻣﻨﻴﺘﻲ(‪ :‬ﺧﻄﺮ ﺑﺎﻟﻘﻮﻩﺍﻱ ﺑﺮﺍﻱ ﻧﻘﺾ ﺍﻣﻨﻴﺖ ﺍﺳﺖ ﻛﻪ ﻭﻗﺘﻲ ﻭﺟﻮﺩ ﺩﺍﺭﺩ ﻛﻪ ﺷﺮﺍﻳﻂ‪ ،‬ﻗﺎﺑﻠﻴﺖ‪ ،‬ﻋﻤﻞ ﻭ ﻳﺎ‬
‫ﺭﻭﻳﺪﺍﺩﻱ ﺑﺘﻮﺍﻧﺪ ﺍﻣﻨﻴﺖ ﺭﺍ ﻧﻘﺾ ﻛﺮﺩﻩ ﻭ ﺍﻳﺠﺎﺩ ﺍﺧﻼﻝ ﻧﻤﺎﻳﺪ‪ .‬ﺑﻌﺒﺎﺭﺕ ﺩﻳﮕﺮ ﻳﻚ ﺗﻬﺪﻳﺪ ﻳﻚ ﺧﻄﺮ ﺑﺎﻟﻘﻮﻩ ﺍﺳﺖ ﻛﻪ ﻣﻤﻜﻦ ﺍﺳﺖ ﺍﺯ ﻳﻚ‬
‫ﻧﻘﻄﺔ ﺿﻌﻒ ﺍﺳﺘﻔﺎﺩﻩ ﻛﻨﺪ‪.‬‬
‫‪) session key‬ﻛﻠﻴﺪ ﺍﺟﻼﺱ(‪ :‬ﻳﻚ ﻛﻠﻴﺪ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﻮﻗﺖ ﺍﺳﺖ ﻛﻪ ﺑﻴﻦ ﺩﻭ ﺭﺋﻴﺲ ﺍﺭﺗﺒﺎﻁ ﺍﺯ ﺁﻥ ﺑﺮﺍﻱ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺍﺳﺘﻔﺎﺩﻩ‬
‫‪) steganography‬ﭘﻨﻬﺎﻥ ﻧﮕﺎﺭﻱ(‪ :‬ﺭﻭﺵﻫﺎﻱ ﭘﻨﻬﺎﻥ ﻛﺮﺩﻥ ﻭﺟﻮﺩ ﻳﻚ ﭘﻴﺎﻡ ﻭ ﻳﺎ ﺩﺍﺩﻩﻫﺎﻱ ﺩﻳﮕﺮ ﺍﺳﺖ‪ .‬ﺍﻳﻦ ﻣﻘﻮﻟﻪ ﺑﺎ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫ﻛﻪ ﺩﺭ ﺁﻥ ﻣﻔﻬﻮﻡ ﭘﻴﺎﻡ‪ ،‬ﻭ ﻧﻪ ﻭﺟﻮﺩ ﭘﻴﺎﻡ‪ ،‬ﭘﻨﻬﺎﻥ ﻣﻲﺷﻮﺩ ﻣﺘﻔﺎﻭﺕ ﺍﺳﺖ‪.‬‬
‫‪) stream cipher‬ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ(‪ :‬ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﺍﺳﺖ ﻛﻪ ﺩﺭ ﺁﻥ ﻣﺘﻦ ﺭﻣﺰ ﺷﺪﺓ ﺧﺮﻭﺟﻲ‪ ،‬ﺑﻴﺖ‪ -‬ﺑﻪ‪ -‬ﺑﻴﺖ ﻭ‬
‫ﻳﺎ ﺑﺎﻳﺖ‪ -‬ﺑﻪ‪ -‬ﺑﺎﻳﺖ‪ ،‬ﺍﺯ ﺭﻭﻱ ﺩﻧﺒﺎﻟﺔ ﻣﺘﻦ ﺳﺎﺩﺓ ﻭﺭﻭﺩﻱ ﺗﻮﻟﻴﺪ ﻣﻲﺷﻮﺩ‪.‬‬
‫‪٤٣٥‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻭﺍﮊﻩﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬
‫‪) symmetric encryption‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ(‪ :‬ﻳﻚ ﺭﻭﺵ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻪ ﺩﺭ ﺁﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺭﻣﺰﮔﺸﺎﺋﻲ ﺑﺎ ﺍﺳﺘﻔﺎﺩﻩ ﺍﺯ ﻳﻚ‬
‫ﻛﻠﻴﺪ ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪ .‬ﺑﻪ ﺁﻥ ﺭﻣﺰﻧﮕﺎﺭﻱ ﺭﺳﻤﻲ ﻭ ﻳﺎ ﺳﻨﹼﺘﻲ ﻧﻴﺰ ﮔﻮﻳﻨﺪ‪.‬‬
‫‪) trapdoor‬ﺩﺭﺏ ﻣﺨﻔﻲ(‪ :‬ﻧﻘﻄﺔ ﻭﺭﻭﺩﻱ ﻣﺨﻔﻲ ﻭ ﻏﻴﺮﻣﺴﺘﻨﺪﻱ ﻛﻪ ﺩﺳﺖﻳﺎﺑﻲ ﺑﻪ ﺑﺮﻧﺎﻣﻪ ﻳﺎ ﺳﻴﺴﺘﻢ‪ ،‬ﺑﺪﻭﻥ ﻋﺒﻮﺭ ﺍﺯ ﻣﺮﺍﺣﻞ ﻣﻌﻤﻮﻝ‬
‫ﻛﻨﺘﺮﻟﻲ‪ ،‬ﺭﺍ ﺍﻣﻜﺎﻥﭘﺬﻳﺮ ﻣﻲﻧﻤﺎﻳﺪ‪.‬‬
‫‪) trapdoor one-way function‬ﺗﺎﺑﻊ ﻳﻚ‪ -‬ﻃﺮﻓﻪ ﺑﺎ ﺩﺭﺏ ﻣﺨﻔﻲ(‪ :‬ﺗﺎﺑﻌﻲ ﻛﻪ ﻣﺤﺎﺳﺒﺔ ﺁﻥ ﺳﺎﺩﻩ ﺑﻮﺩﻩ ﻭ ﻣﺤﺎﺳﺒﺔ ﻣﻌﻜﻮﺱ‬
‫ﺁﻥ ﻣﻘﺪﻭﺭ ﻧﻴﺴﺖ ﻣﮕﺮ ﺍﻳﻨﻜﻪ ﺍﻃﻼﻋﺎﺕ ﻭﻳﮋﻩﺍﻱ ﺩﺭ ﺩﺳﺖ ﺑﺎﺷﺪ‪.‬‬
‫‪) Trojan horse‬ﺍﺳﺐ ﺗﺮﻭﺍ(‪ :‬ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﻛﺎﻣﭙﻴﻮﺗﺮﻱ ﻛﻪ ﺩﺭ ﻇﺎﻫﺮ ﻣﻔﻴﺪ ﻭ ﻗﺎﺑﻞ ﺍﺳﺘﻔﺎﺩﻩ ﺑﻮﺩﻩ ﻭﻟﻲ ﺷﺎﻣﻞ ﻳﻚ ﺗﺎﺑﻊ ﺑﺎﻟﻘﻮﻩ‬
‫ﺑﺪﺍﻧﺪﻳﺶ ﻧﻴﺰ ﻫﺴﺖ ﻛﻪ ﻣﻜﺎﻧﻴﺴﻢﻫﺎﻱ ﺍﻣﻨﻴﺘﻲ ﺭﺍ ﺷﻜﺴﺖ ﻣﻲﺩﻫﺪ‪ .‬ﺍﻳﻦ ﻛﺎﺭ‪ ،‬ﮔﺎﻫﻲ ﺑﺎ ﺍﺳﺘﺜﻤﺎﺭ ﺍﻋﺘﺒﺎﺭﻫﺎﻱ ﻗﺎﻧﻮﻧﻲ ﻣﻮﺟﻮﺩﻳﺘﻲ ﻛﻪ ﺑﺮﻧﺎﻣﻪ‬
‫ﺭﺍ ﺑﻜﺎﺭ ﮔﺮﻓﺘﻪ ﺍﺳﺖ‪ ،‬ﺻﻮﺭﺕ ﻣﻲﭘﺬﻳﺮﺩ‪.‬‬
‫‪) trusted system‬ﺳﻴﺴﺘﻢ ﻣﻮﺭﺩ ﺍﻋﺘﻤﺎﺩ(‪ :‬ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻭ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻛﻪ ﺑﺮﺍﻱ ﺍﺟﺮﺍﻱ ﻳﻚ ﺳﻴﺎﺳﺖ ﺍﻣﻨﻴﺘﻲ ﻣﻮﺭﺩ ﺗﺄﺋﻴﺪ ﺍﺳﺖ‪.‬‬
‫‪) unconditionally secure‬ﺑﻄﻮﺭ ﻏﻴﺮﻣﺸﺮﻭﻁ ﺍﻣﻦ(‪ :‬ﺩﺭ ﺑﺮﺍﺑﺮ ﺩﺷﻤﻨﻲ ﻛﻪ ﺯﻣﺎﻥ ﻧﺎﻣﺤﺪﻭﺩ ﻭ ﻣﻨﺎﺑﻊ ﻣﺤﺎﺳﺒﺎﺗﻲ ﻧﺎﻣﺤﺪﻭﺩ ﺩﺍﺭﺩ‪،‬‬
‫ﺍﻣﻦ ﺍﺳﺖ‬
‫)‪) virtual private network(VPN‬ﺷﺒﻜﺔ ﺧﺼﻮﺻﻲ ﻣﺠﺎﺯﻱ(‪ :‬ﺷﺎﻣﻞ ﻣﺠﻤﻮﻋﻪﺍﻱ ﺍﺯ ﻛﺎﻣﭙﻴﻮﺗﺮﻫﺎﺳﺖ ﻛﻪ ﺑﺘﻮﺳﻂ ﻳﻚ ﺷﺒﻜﺔ‬
‫ﻧﺴﺒﺘﺎﹰ ﻧﺎﺍﻣﻦ ﺑﻬﻢ ﻣﺘﺼﻞ ﺷﺪﻩ ﻭ ﺍﺯ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﭘﺮﻭﺗﻜﻞﻫﺎﻱ ﻣﺨﺼﻮﺹ ﺑﺮﺍﻱ ﺍﻳﺠﺎﺩ ﺍﻣﻨﻴﺖ ﺍﺳﺘﻔﺎﺩﻩ ﻣﻲﻛﻨﺪ‪.‬‬
‫‪) virus‬ﻭﻳﺮﻭﺱ(‪ :‬ﻛﹸﺪ ﺑﺮﻧﺎﻣﻪﺍﻱ ﻛﻪ ﺩﺭ ﺩﺭﻭﻥ ﻳﻚ ﺑﺮﻧﺎﻣﺔ ﺩﻳﮕﺮ ﺟﺎﺳﺎﺯﻱ ﺷﺪﻩ ﻭ ﺑﺎﻋﺚ ﻣﻲﺷﻮﺩ ﺗﺎ ﻳﻚ ﻛﭙﻲ ﺍﺯ ﻭﻳﺮﻭﺱ ﺩﺭ ﺑﺮﻧﺎﻣﻪ‬
‫ﻳﺎ ﺑﺮﻧﺎﻣﻪﻫﺎﻱ ﺩﻳﮕﺮ ﻭﺍﺭﺩ ﺷﻮﺩ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺍﻧﺘﺸﺎﺭ‪ ،‬ﻭﻳﺮﻭﺱ ﻣﻌﻤﻮﻻﹰ ﻋﻤﻠﻴﺎﺕ ﻧﺎﺧﻮﺍﺳﺘﻪﺍﻱ ﺭﺍ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪) worm‬ﻛِﺮﻡ(‪ :‬ﺑﺮﻧﺎﻣﻪﺍﻱ ﺍﺳﺖ ﻛﻪ ﻣﻲﺗﻮﺍﻧﺪ ﺧﻮﺩ ﺭﺍ ﺗﻜﺜﻴﺮ ﻛﺮﺩﻩ ﻭ ﻛﭙﻲﻫﺎﻱ ﺧﻮﺩ ﺭﺍ ﺩﺭ ﻋﺮﺽ ﺷﺒﻜﻪ ﺍﺯ ﻳﻚ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺑﻪ ﻛﺎﻣﭙﻴﻮﺗﺮ‬
‫ﺩﻳﮕﺮ ﺍﺭﺳﺎﻝ ﺩﺍﺭﺩ‪ .‬ﭘﺲ ﺍﺯ ﻭﺭﻭﺩ‪ ،‬ﻳﻚ ﻛِﺮﻡ ﻣﻤﻜﻦ ﺍﺳﺖ ﻓﻌﺎﻝ ﺷﺪﻩ ﻭ ﻣﺠﺪﺩﺍﹰ ﺗﻜﺜﻴﺮ ﻭ ﺍﻧﺘﺸﺎﺭ ﻳﺎﺑﺪ‪ .‬ﻋﻼﻭﻩ ﺑﺮ ﺍﻧﺘﺸﺎﺭ‪ ،‬ﻛِﺮﻡ ﻣﻌﻤﻮﻻﹰ‬
‫ﻛﺎﺭﻫﺎﻱ ﻧﺎﺧﻮﺍﺳﺘﻪﺍﻱ ﺭﺍ ﻧﻴﺰ ﺍﻧﺠﺎﻡ ﻣﻲﺩﻫﺪ‪.‬‬
‫‪) zombie‬ﺯﺍﻣﺒﻲ(‪ :‬ﺑﺮﻧﺎﻣﻪﺍﻱ ﺍﺳﺖ ﻛﻪ ﺑﻄﻮﺭ ﻣﺨﻔﻴﺎﻧﻪ ﻛﻨﺘﺮﻝ ﻛﺎﻣﭙﻴﻮﺗﺮ ﺩﻳﮕﺮﻱ‪،‬ﻛﻪ ﺑﻪ ﺍﻳﻨﺘﺮﻧﺖ ﻣﺘﺼﻞ ﺍﺳﺖ‪ ،‬ﺭﺍ ﺑﺪﺳﺖ ﮔﺮﻓﺘﻪ ﻭ ﺍﺯ‬
‫ﺁﻥ ﻛﺎﻣﭙﻴﻮﺗﺮ ﻣﺒﺎﺩﺭﺕ ﺑﻪ ﺣﻤﻼﺗﻲ ﻣﻲﻛﻨﺪ ﻛﻪ ﺩﻧﺒﺎﻝ ﻛﺮﺩﻥ ﺁﻥ ﺑﺮﺍﻱ ﺧﻠﻖﻛﻨﻨﺪﺓ ﺯﺍﻣﺒﻲ ﻧﻴﺰ ﻣﺸﻜﻞ ﺍﺳﺖ‪.‬‬
(‫ﭘﻴﻮﺳﺖ )ﺝ‬
‫ﻣﺮﺍﺟﻊ‬
ACM Association for Computing Machinery

IEEE Institute of Electrical and Electronics Engineers
NIST National Institute of Standards and Technology
ALVA90 Alvare,A. "How Crackers Crack Passwords or What Passwords to Avoid."

Proceedings, UNIX Security Workshop II, August 1990.
ANDE80 Anderson, J. Computer Security Threat Monitoring and Surveillance. Fort
Washington, PA: James P. Anderson Co., April 1980.
AUDI04 Audin, G. "Next-Gen Firewalls: What to expect." Business Communications
Review, June 2004.
AXEL00 Axelsson, S. "The Base-Rate Fallacy and the Difficulty of Intrusion Detection."
ACM Transactions and Information and system Security, August 2000.
BACE00 Bace, R. Intrusion Detection. Indianapolis, IN: Macmillan Technical Publishing,
2000.
BACE01 Bace, R., and Mell, P. Intrusion Detection Systems. NIST Special Publication SP
800-31 , November 2000.
BARR03 Barreto, P., and Rijmen, V. "The Whirlpool Hashing Function." Submitted to
NESSIE, September 2000, revised May 2003.
BAUE88 Bauer, D., and Koblentz, M."NIDX- An Expert System for Real-Time Network
Intrusion Detection." Proceedings, Computer Networking Symposium, April 1988.
BELL90 Bellovin, S. and Merritt, M. " Limitations of the Kerberos Authentication
System." Computer Communications Review, October 1990.
BELL92 Bellovin, S., "There Be Dragons." Proceedings, UNIX Security Symposium III,
September 1992.
BELL93 Bellovin, S. "Packets Found on an Internet." Computer Communications
Review, July 1993.
(‫ﭘﻴﻮﺳﺖ )ﺝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ٤٣٨
BELL94 Bellovin, S., and Cheswick, W. "Network Firewalls." IEEE Communications Magazine, September
1994.
BELL96a Bellare, M.; Canetti, R.; and Krawczyk, H. "Keying Hash Functions for Message Authentication."
Proceedings, CRYPTO '96, August 1996; published by Springer-Verlag. An expanded version is
available at http://www-cse.ucsd.edu/users/mihir.
BELL96b Bellare, M.; Canetti, R.; and Krawczyk, H. "The HMAC Construction." CryptoBytes, Spring 1996.
BERS92 Berson, T."Differential Cryptoanalysis Mod 232 with Applications to MD5." Proceedings,
EUROCRYPT '92, May 1992; published by Springer-Verlag.
BISH03 Bishop, M. Computer Security: Art and Science. Boston: Addison-Wesley,2003.
BISH05 Bishop, M. Introduction to Computer Security. Boston: Addison-Wesley,2005.
BLOO70 Bloom, B. "Space/time Trade-offs in Hash Coding with Allowable Errors." Communications
of the ACM, July 1970.
BLUM97a Bluementhal, U.; Hien, N.; and Wijnen, B. "Key Derivation for Network Management
Applications." IEEE Network, May/June, 1997.
BLUM97b Blumenthal, U, and Wijnen, B. "Security Features for SNMPv3." The Simple Times, December
1997.
BOER93 Boer, B., and Bosselaers, A. "Collisions for the Compression Function of MD5." Proceedings,
EUROCRYPT '93, 1993; published by Springer-Verlag.
BRYA88 Bryant, W. Designing an Authentication System: A Dialog in Four Scenes. Project Athena
document, February 1988. Available at http://web.mit.edu/kerberos/www/dialogue.html.
CASS01 Cass, S."Anatomy of Malice." IEEE Spectrum, November 2001.
CERT01 CERT Coordination Center. "Denial of Service Attacks." June 2001.
http://www.cert.org/tech_tips/denial_of_service.html
CERT02 CERT Coordination Center. "Multiple vulnerabilities in Many Implementations of the Simple
Network Management Protocol." CERT Advisory CA-2002-03, 25 June 2002.
www.cert.org/advisories/CA-2002-03.html
CHAN02 Chang, R. "Defending Against Flooding-Based Distributed Denial - of – Service Attacks: A
Tutorial." IEEE Communications Magazine, October 2002.
CHAP00 Chapman, D., and Zwicky, E. Building Internet Firewalls. Sebastopol, CA: O'Reilly, 2000.
CHEN98 Cheng, P., et al. "A Security Architecture for the Internet Protocol." IBM Systems Journal, Number
1, 1998.
CHES97 Chess, D. "The Future of Viruses on the Internet." Proceedings, Virus Bulletin International
Conference, October 1997.
CHES03 Cheswick, W., and Bellovin, S. Firewalls and Internet Security: Repelling the wily Hacker.
Reading, MA: Addison-Wesley, 2003.
COHE94 Cohen, F. A Short Course on Computer Viruses. New York: Wiley, 1994.
CORM01 Cormen, T.; Leiserson, C.; Rivest. R.; and Stein. C. Introduction to Algorithms. Cambridge, MA:
Addison-Wesley, 2003.
DAVI89 Davies, D., and Price, W. Security for Computer Networks. New York: Wiley, 1994.
DAMG89 Damgard, I. "A Design Principle for Hash Functions." Proceedings, CRYPTO '89, 1989; published
by Springer-Verlag.
DAVI93 Davies, C., and Ganesan, R. "BApassed: A New Proactive Password Checker." Proceedings,
16th National Computer Security Conference, September 1993.
DAWS96 Dawson, E., and Nielsen, L. "Automated Cryptoanalysis of XOR Plaintext Strings." Cryptologia,
April 1996.
٤٣٩ ‫ﻣﺮﺍﺟﻊ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
DENN87 Denning, D. "An Intrusion-Detection Model." IEEE Transaction on Software Engineering.

February 1987.
DIFF76 Diffie, W., and Hellman, M. "Multiuser Cryptographic Techniques." IEEE Transactions on
Information Theory, November 1976.
DIFF88 Diffie, W., "The First Ten Years of Public-Key Cryptography." Proceedings of the IEEE, May
1988. Reprinted in [SIMM92]
DOBB96 Dobbertin, H. "The Status of MD5 After a Recent Attack." CryptoBytes, Summer 1996.
DORA03 Doraswamy, N., and Harkins, D. IPSec, Upper Saddle River, NJ: Prentice Hall, 2003.
DREW99 Drew, G. Using SET for Secure Electronic Commerce. Upper Saddle River, NJ: Prentice Hall,
1999.
EFF98 Electronic Frontier Foundation. Cracking DES: Secrets of Encryption Research, Wire-tap Politics,
and Chip Design. Sebastopol, CA: O'Reilly, 1998.
ENGE80 Enger, N., and Howerton, P. Computer Security. New York: Amacom, 1980.
FEIS73 Feistel, H. "Cryptography and Computer Privacy." Scientific American, May 1973.
FELT03 Felten, E. "Understanding Trusted Computing: Will Its Benefits Outweigh its Drawbacks?" IEEE
Security and Privacy, May/June 2003.
FLUH00 Fluhrer, S., and McGrew, D. "Statistical Analysis of the Alleged RC4 Key Stream Generator."
Proceedings, Fast Software Encryption 2000, 2000.
FLUH01 Fluhrer, S.; Mantin, I.; and Shamir, A. "Weakness in the Key Scheduling Algorithm of RC4."
Proceedings, Workshop in Selected Areas of Cryptography, 2001.
FORD95 Ford, W. "Advances in Public-Key Certificate Standards." ACM SIGSAC Review, July 1995.
FORR97 Forrest, S.; Hofmeyr, S.; and Somayaji, A. "Computer Immunology." Communications of the
ACM, October 1997.
FRAN01 Frankel, S. Demystifying the IPSec Puzzle. Boston: Artech House, 2001.
GARD77 Gardner, M. "A New Kind of Cipher That Would Take Millions of Years to Break." Scientific
American, August 1977.
GARF97 Garfinkel, S., and Spafford, G. Web Security & Commerce. Cambridge, MA: O'Reilly and
Associates, 1997.
GASS88 Gasser, M. Building a Secure Computer System. New York: Van Nostrand Reinhold, 1988.
GAUD00 Gaudin, S. "The Omega Files." Network World, June 26, 2000.
GOLL99 Gollmann, D. Computer Security. New York: Wiley, 1999.
GUTM02 Gutmann, P. "PKI: It's Not Dead, Just Resting." Computer, August 2002.
HARL01 Harley, D.; Slade, R.; and Gattiker, U. Viruses Revealed. New York: Osborne/McGraw Hill, 2001.
HEBE92 Heberlein, L.; Mukherjee, B.; and Levitt, K. "Internetwork Security Monitor: An Intrusion
Detection System for Large-Scale Networks." Proceedings, 15th National Computer Security
Conference, October 1992.
HELD96 Held, G. Data and Image Compression: Tools and Techniques. New York: Wiley, 1996.
HONE01 The Honeynet Project. Know Your Enemy: Revealing the Security Tools, Tactics, and Motives of
the Blackhat Community. Reading, MA: Addison-Wesley, 2001.
HUIT98 Huitema, C. IPv6: The New Internet Protocol. Upper Saddle River, NJ: Prentice Hall, 1998.
IANS90 I'Anson, C., and Mitchell, C. "Security Defects in CCITT Recommendation X.509 – The Directory
Authentication Framework." Computer Communications Review, April 1990.
ILGU93 Ilgun, K. "USTAT: A Real-Time Intrusion Detection System for UNIX." Proceedings, 1993 IEEE
Computer Society Symposium on Research in Security and Privacy, May 1993.
JAVI91 Javitz, H., and Valdes, A. "The SRI IDES Statistical Anomaly Detector." Proceedings, 1991 IEEE
Computer Society Symposium on Research in Security and Privacy, May 1991.
(‫ﭘﻴﻮﺳﺖ )ﺝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ٤٤٠
JIAN02 Jiang, G. "Multiple Vulnerabilities in SNMP." Security and Privacy Supplement to Computer
Magazine, 2002.
JUEN85 Jueneman, R.; Matyas, S.; and Meyer, C. "Message Authentication." IEEE Communications
Magazine, September 1988.
KENT00 Kent, S. "On the Trail of Intrusions into Information Systems." IEEE Spectrum, December 2000.
KEPH97a Kephart, J.; Sorkin, G.; Chess, D.; and White, S. "Fighting Computer Viruses." Scientific
American, November 1997.
KEPH97b Kephart, J.; Sorkin, G,; Swimmer, B.; and White, S. "Blueprint for a Computer Immune System."
Proceedings, Virus Bulletin International Conference, October 1997.
KLEI90 Klein, D. "Foiling the Cracker: A Survey of, and Improvements to, Password Security."
Proceedings, UNIX Security Workshop II, August 1990.
KNUD98 Knudsen, L., et al. "Analysis Method for Alleged RC4." Proceedings, ASIACRYPT '98, 1998.
KOBL92 Koblas, D., and Koblas, M. "SOCKS." Proceedings, UNIX Security Symposium III, September
1992.
KOHL89 Kohl, J. "The Use of Encryption in Kerberos for Network Authentication." Proceedings, Crypto
'89, 1989; published by Springer-Verlag.
KOHL94 Kohl, J.; Neuman, B.; and Ts'o, T. "The Evolution of the Kerberos Authentication Service." In
Brazier, F., and Johansen, D. Distributed Open Systems. Los Alamitos, CA: IEEE Computer
Society Press, 1994. Available at http://web.mit.edu/kerberos/www/papers.html.
KUMA97 Kumar, I. Cryptology. Laguana Hills, CA: Aegean Park Press, 1997.
LEUT94 Leutwyler, K. "Superhack." Scientific American, July 1994.
LODI98 Lodin, S., and Schuba, C. "Firewalls Fend Off Invasions from the Net." IEEE Spectrum, February
1998.
LUNT88 Lunt, T., and Jagannathan, R. " A Prototype Real-Time Intrusion-Detection Expert System."
Proceedings, 1988 IEEE Computer Society Symposium on Research in Security and Privacy, April
1988.
MACG97 Macgregor, R.; Ezvan, C.; Liguori, L.; and Han, J. Secure Electronic Transactions: Credit Card
Payment on the Web in Theory and Practice. IBM RedBook SG24-4978-00, 1997. Available at
www.redbooks.ibm.com.
MADS93 Madsen, J. "World Record in Password Checking." Usenet, comp.security.misc news-group,
August 18, 1993.
MANT01 Mantin, I., Shamir, A. "A Practical Attack on Broadcast RC4." Proceedings, Fast Software
Encryption, 2001.
MARK97 Markham, T. "Internet Security Protocol." Dr. Dobb's Journal, June 1997.
MCHU00 McHugh, J.; Christie, A.; and Allen, J. "The Role of Intrusion Detection Systems." IEEE Software,
September/October 2000.
MEIN01 Meinel, C. "Code Red for the Web." Scientific American, October 2001.
MENE97 Menezes, A.; van Oorschot, P.; and Vanstone, S. Handbook of Applied Cryptography. Boca Raton,
FL: CRC Press, 1997.
MERK97 Merkle, R. Secrecy, Authentication, and Public Key Systems. PHD Thesis, Stanford University,
June 1979.
MERK89 Merkle, R. "One Way Hash Functions and DES." Proceedings, CRYPTO '89, 1989;published by
Springer-Verlag.
MEYE82 Meyer, C., and Matyas, S. Cryptography: A New Dimension in Computer Data Security. New
York: Wiley, 1982.
٤٤١ ‫ﻣﺮﺍﺟﻊ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
MILL88 Miller, S.; Neuman, B.; Schiller, J.; and Saltzer, J. "Kerberos Authentication and Authorization
System." Section E.2.1, Project Athena Technical Plan, M.I.T. Project Athena, Cambridge, MA.
27 October 1988.
MIRK04 Mirkovic, J., and Relher, P. "A Taxonomy of DDoS Attack and DDoS Defense Mechanisms."
ACM SIGCOMM Computer Communications Review, April 2004.
MIST98 Mister, S., and Tavares, S. "Cryptoanalysis of RC4-Like Ciphers." Proceedings, Workshop in
Selected Areas of Cryptography, SAC' 98. 1998.
MITC90 Mitchell, C.; Walker, M.; and Rush, D. "CCITT/ISO Standards for Secure Message Handling."
IEEE Journal on Selected Areas in Communications, May 1989.
MOOR01 Moore, M. "Inferring Internet Denial-of-Service Activity." Proceedings of the 10th USENIX
Security Symposium, 2001.
NACH97 Nachenberg, C. "Computer Virus-Antivirus Coevolution." Communications of the ACM, January
1997.
NEED78 Needham, R., and Schroeder, M. "Using Encryption for Authentication in Large Networks of
Computers." Communications of the ACM, December 1978.
NING04 Ning, P., et al. "Techniques and Tools for Analyzing Intrusion Alerts." ACM Transactions on
Information and System Security, May 2004.
OPPL97 Oppliger, R. "Internet Security: Firewalls and Beyond." Communications of the ACM, May 1997.
OPPL05 Oppliger, R., and Rytz, R. "Does Trusted Computing Remedy Computer Security Problems?"
IEEE Security and Privacy, March/April 2005.
PATR04 Patrikakis, C.; Masikos, M.; and Zouraraki, O. "Distributed Denial of Service Attacks." The
Internet Protocol Journal, December 2004.
PAUL03 Paul, S., and Preneel, B. "Analysis of Non-fortuitous Predictive States of the RC4 Keystream
Generator." Proceedings, INDOCRYPT '03, 2003.
PAUL04 Paul, S., and Preneel, B. "A New Weakness in the RC4 Keystream Generator and an Approach to
Improve the Secutity of the Cipher." Proceedings, Fast Software Encryption, 2004.
PERL99 Perlman, R. "An Overview of PKI Trust Models." IEEE Network, November/December 1999.
PFLE03 Pfleeger, C. Security in Computing. Upper Saddle River, NJ: Prentice Hall, 2003.
PIAT91 Piattelli-Palmarini, M. "Probability: Neither Rational nor Capricious." Bostonia, March 1991.
PIEP03 Pieprzyk, J.; Hardjono, T.; and Seberry, J. Fundamentals of Computer Security. New York:
Springer-Verlag, 2003.
PORR92 Porras, P. STAT: A State Transition Analysis Tool for Intrusion Detection. Master's Thesis,
University of California at Santa Barbara, July 1992.
PREN02 Preenel, B. "New European Schemes for Signature, Integrity and Encryption (NESSIE): A Status
Report." Proceedings of the 5th International Workshop on Practice and Theory in Public Key
Cryptosystems: Public Key Cryptography. 2002.
PROC01 Proctor, P., The Practical Intrusion Detection Handbook. Upper Saddle River, NJ: Prentice Hall,
2001.
PUDO02 Pudovkina, M. "Statistical Weaknesses in the Alleged RC4 Keystream Generator." Proceedings,
4th International Workshop on Computer Science and Information Technologies, 2002.
RESC01 Rescorla, E. SSL and TLS: Designing and Building Secure Systems. Reading, MA: Addison-
Wesley, 2001.
RIVE78 Rivest, R.; Shamir, A.; and Adleman, L. "A Method for Obtaining Digital Signatures and Public
Key Cryptosystems." Communications of the ACM, February 1978.
ROBS95a Robshaw, M. Stream Ciphers. RSA Laboratories Technical Report TR-701 , July 1995.
http://www.rsasecurity.com/rsalabs
(‫ﭘﻴﻮﺳﺖ )ﺝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ٤٤٢
ROBS95b Robshaw, M. Block Ciphers. RSA Laboratories Technical Report TR-601, August 1995.
http://www.rsasecurity.com/rsalabs
RODR02 Rodriguez, A.,A., et al. TCP/IP Tutorial and Technical Overview. Upper Saddle River: NJ:
Prentice Hall, 2002.
SAFF93 Safford, D.; Schales, D.; and Hess. D. "The TAMU Security Package: An Ongoing Response to
Internet Intruders in an Academic Environment." Proceedings, UNIX Security Symposium IV,
October 1993.
SCHN00 Schneier, B. Secrets and Lies: Digital Security in a Networked World. New York: Wiley 2000.
SCHN96 Schneier, B. Applied Cryptography. New York: Wiley, 1996.
SIMM92 Simmons, G., ed. Contemporary Cryptology: The Science of Information Integrity. Piscataway,
NJ; IEEE Press 1992.
SING99 Singh, S. The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography.
New York: Anchor Books, 1999.
SMIT97 Smith, R. Internet Cryptography. Reading, MA: Addison-Wesley, 1997.
SNAP91 Snapp, S., et al. "A System for Distributed Intrusion Detection." Proceedings, COMPCON Spring
'91, 1991.
SPAF92a Spafford, E. "Observing Reusable Password Choices." Proceedings, UNIX Security Symposium
III, September 1992.
SPAF92b Spafford, E. "OPUS: Preventing Weak Password Choices." Computers and Security, No. 3, 1992.
STAL99 Stallings, W. SNMP, SNMPv2, SNMPv3, and RMON 1 and 2. Reading, MA: Addison-Wesley,
1999.
STAL04 Stallings, W. Computer Networking with Internet Protocols and Technology. Upper Saddle River,
NJ: Prentice Hall, 2004.
STAL06a Stallings, W. Cryptography and Network Security: Principles and Practice, Fourth Edition. Upper
Saddle River, NJ: Prentice Hall, 2006.
STAL06b Stallings, W. "The Whirlpool Secure Hash Function." Cryptologia, January 2006.
STEI88 Steiner, J.; Neuman, C.; and Schiller, J. "Kerberos: An Authentication Service for Open Networked
Systems." Proceedings of the Winter 1988 USENIX Conference, February 1988.
STEP93 Stephenson, P. "Preventive Medicine." LAN Magazine, November 1993.
STER92 Sterling, B. The Hacker Crackdown: Law and Disorder on the Electronic Frontier. New York:
Bantam, 1992.
STIN06 Stinson, D. Cryptography: Theory and Practice. Boca Raton, FL: CRC Press, 2006.
STOL88 Stoll, C. "Stalking the Wiley Hacker." Communications of the ACM, May 1988.
STOL89 Stoll, C. The Cuckoo's Egg. New York: Doubleday, 1989.
SZOR05 Szor, P., The Art of Computer Virus Research and Defense. Reading, MA: Addison-Wesley, 2005.
THOM84 Thompson, K. "Reflections on Trusting Trust (Deliberate Software Bugs)." Communications of the
ACM, August 1984.
TIME90 Time, Inc. Computer Security, Understanding Computers Series. Alexandria, VA: Time-Life
Books, 1990.
TSUD92 Tsudik, G. "Message Authentication with One-Way Hash Functions." Proceedings, INFOCOM '92,
May 1992.
TUNG99 Tung, B. Kerberos: A Network Authentication System. Reading, MA:Addison-Wesley, 1999.
VACC89 Vaccaro, H., and Liepins, G. "Detection of Anomalous Computer Session Activity." Proceedings of
the IEEE Symposium on Research in Security and Privacy, May 1989.
VIJA02 Vijayan, J. "Denial-of-Service Attacks Still a Threat." Computer World, April 8, 2002.
٤٤٣ ‫ﻣﺮﺍﺟﻊ ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
WACK02 Wack, J.; Cutler, K.; and Pole, J. Guidelines on Firewalls and Firewall Policy. NIST Special
Publications SP 800-41, January 2002.
WAGN00 Wagner, D., and Goldberg, I. "Proofs of Security for the UNIX Password Hashing Algorithm."
Proceedings, ASIACRYPT '00, 2000.
WANG05 Wang, X.; Yin, Y.;and Yu, H. "Finding Collisions in the Full SHA-1. Proceedings, Crypto'05,
2005; published by Springer-Verlag.
WILS05 Wilson, J. "The Future of the Firewall." Business Communications Review, May 2005.
YUVA79 Yuval, G. "How to Swindle Rabin." Cryptologia, July 1979.
ZIV77 Ziv, J., and Lempel, A. "A Universal Algorithm for Sequential Data Compression." IEEE
Transactions on Information Theory, May 1977.
‫ﻭﺍﮊﻩﻧﺎﻣﻪ ﺍﻧﮕﻠﻴﺴﻲ‪ -‬ﻓﺎﺭﺳﻲ‬
‫‪abort‬‬ ‫ﻧﺎﺩﻳﺪﻩ ﮔﺮﻓﺘﻦ‬

‫‪access control‬‬ ‫ﻛﻨﺘﺮﻝ ﺩﺳﺖ ﻳﺎﺑﻲ‬
‫‪acquirer‬‬ ‫ﻣﺒﺎﺷﺮ‪ -‬ﻓﺮﺍﻫﻢﻛﻨﻨﺪﻩ‬
‫‪active attack‬‬ ‫ﺣﻤﻠﺔ ﻓﻌﺎﻝ‬
‫‪affiliation‬‬ ‫ﭘﻴﻮﺳﺘﮕﻲ‬
‫‪agent‬‬ ‫ﻋﺎﻣﻞ‬
‫‪aggregate‬‬ ‫ﺗﺮﺍﻛﻢ‬
‫‪alarm‬‬ ‫ﻫﺸﺪﺍﺭ‬
‫‪algorithm‬‬ ‫ﺍﻟﮕﻮﺭﻳﺘﻢ‬
‫‪anomaly‬‬ ‫ﻧﺎﻫﻨﺠﺎﺭﻱ‬
‫‪append‬‬ ‫ﻭﺻﻞ ﻛﺮﺩﻥ‬
‫‪arbiter‬‬ ‫ﺩﺍﻭﺭ‬
‫‪association‬‬ ‫ﺍﺗﺤﺎﺩ‬
‫‪asymmetric‬‬ ‫ﻧﺎﻣﺘﻘﺎﺭﻥ‬
‫‪audit‬‬ ‫ﺑﺎﺯﺭﺳﻲ‪ ،‬ﻣﻤﻴﺰﻱ‬
‫‪authentic‬‬ ‫ﻣﻌﺘﺒﺮ‬
‫‪authentication‬‬ ‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫‪authentication header‬‬ ‫ﺳﺮﺁﻳﻨﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫‪authenticator‬‬ ‫ﺍﻋﺘﺒﺎﺭﺳﻨﺞ‬
‫‪autoexecute‬‬ ‫ﺧﻮﺩﺍﺟﺮﺍ‬
‫‪availibility service‬‬ ‫ﻗﺎﺑﻠﻴﺖ ﺩﺳﺘﺮﺳﻲ‬
‫‪backdoor‬‬ ‫ﺩﺭﺏ ﻣﺨﻔﻲ‬
‫‪bait‬‬ ‫ﻃﻌﻤﻪ‬
‫‪bastion‬‬ ‫ﺩﮊ‬
‫‪batch‬‬ ‫ﺩﺳﺘﻪ‬
‫‪benign‬‬ ‫ﺑﻲ ﺧﻄﺮ‬
‫‪block‬‬ ‫ﺑﻠﻮﻙ‬
‫‪block cipher‬‬ ‫ﺭﻣﺰ ﻗﺎﻟﺒﻲ‬
‫‪body‬‬ ‫ﺑﺪﻧﻪ‬
‫‪bog‬‬ ‫ﺑﺎﺗﻼﻕ‬
‫‪bogus‬‬ ‫ﺳﺎﺧﺘﮕﻲ‬
‫‪boot-sector virus‬‬ ‫ﻭﻳﺮﻭﺱ ﺑﺨﺶ ﺭﺍﻩ ﺍﻧﺪﺍﺯﻱ‬
‫‪bottleneck‬‬ ‫ﮔﻠﻮﮔﺎﻩ‬
‫‪browser‬‬ ‫ﻣﺮﻭﺭﮔﺮ‬
‫‪brute-force attack‬‬ ‫ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ‬
‫‪bug‬‬ ‫ﺍﺷﻜﺎﻝ‬
‫‪byte‬‬ ‫ﺑﺎﻳﺖ‬
‫‪canonical‬‬ ‫ﻗﺎﻧﻮﻧﻲ‬
‫ﻭﺍﮊﻩﻧﺎﻣﺔ ﺍﻧﮕﻠﻴﺴﻲ‪ -‬ﻓﺎﺭﺳﻲ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٤٦‬‬
‫‪CAST-128‬‬ ‫ﻧﺎﻡ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‬

‫‪certificate‬‬ ‫ﮔﻮﺍﻫﻲﻧﺎﻣﻪ‬
‫‪chaining‬‬ ‫ﺯﻧﺠﻴﺮ ﻛﺮﺩﻥ‬
‫‪checksum‬‬ ‫ﺟﻤﻊ ﻛﻨﺘﺮﻟﻲ‬
‫‪cipher‬‬ ‫ﺭﻣﺰ‬
‫‪ciphertext‬‬ ‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‬
‫‪ciphertext-only‬‬ ‫ﻓﻘﻂ‪ -‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‬
‫‪clandestine‬‬ ‫ﺧﻔﻴﻪ‬
‫‪client‬‬ ‫ﻛﻼﻳﻨﺖ‬
‫‪clogging‬‬ ‫ﺍﻧﺴﺪﺍﺩ‬
‫‪codebook‬‬ ‫ﻛﺘﺎﺏ ﻛﹸﺪ‬
‫‪community‬‬ ‫ﺟﺎﻣﻌﻪ‬
‫‪compatibility‬‬ ‫ﺳﺎﺯﮔﺎﺭﻱ‬
‫‪compiler‬‬ ‫ﻛﺎﻣﭙﺎﻳﻠﺮ‬
‫‪component‬‬ ‫ﻣﺆﻟﻔﻪ‬
‫‪compression‬‬ ‫ﻓﺸﺮﺩﻩ ﺳﺎﺯﻱ‬
‫‪compromise‬‬ ‫ﻟﻮ ﺭﻓﺘﻦ‬
‫‪computationally secure‬‬ ‫ﺍﺯ ﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﺍﻣﻦ‬
‫‪computer‬‬ ‫ﺭﺍﻳﺎﻧﻪ‬
‫‪computer security‬‬ ‫ﺍﻣﻨﻴﺖ ﺭﺍﻳﺎﻧﻪ‬
‫‪concatenation‬‬ ‫ﺟﻤﻊ ﺭﺷﺘﻪ ﺍﻱ‬
‫‪concievable‬‬ ‫ﻗﺎﺑﻞ ﺗﺼﻮﺭ‬
‫‪confidentiality‬‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬
‫‪conformance‬‬ ‫ﻣﻄﺎﺑﻘﺖ‬
‫‪confusion‬‬ ‫ﺳﺮﺩﺭﮔﹸﻤﻲ‬
‫‪connection‬‬ ‫ﺍﺗﺼﺎﻝ‬
‫‪connection oriented‬‬ ‫ﺍﺗﺼﺎﻝ ﮔﺮﺍ‬
‫‪connectionless‬‬ ‫ﺑﺪﻭﻥ ﺍﺗﺼﺎﻝ‬
‫‪connection-request‬‬ ‫ﺩﺭﺧﻮﺍﺳﺖ ﺍﺭﺗﺒﺎﻁ‬
‫‪consensus‬‬ ‫ﻣﻄﺎﺑﻘﺖ‬
‫‪context‬‬ ‫ﻣﻘﻮﻟﻪ‬
‫‪conventional‬‬ ‫ﻗﺮﺍﺭﺩﺍﺩﻱ‬
‫‪cookie‬‬ ‫ﻛﻮﻛﻲ‬
‫‪counter‬‬ ‫ﺷﻤﺎﺭﻧﺪﻩ‬
‫‪covert‬‬ ‫ﭘﻨﻬﺎﻥ‬
‫‪cracker‬‬ ‫ﺷﻜﻨﻨﺪﻩ‬
‫‪cryptoanalysis‬‬ ‫ﺷﻜﺴﺘﻦ ﺭﻣﺰ‬
‫‪cryptoanalyst‬‬ ‫ﺷﻜﻨﻨﺪﺓ ﺭﻣﺰ‬
‫‪cryptography‬‬ ‫ﻋﻠﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪cryptology‬‬ ‫ﻋﻠﻢ ﺭﻣﺰﺷﻨﺎﺳﻲ‬
‫‪daemon‬‬ ‫ﺩﻳﻮ‬
‫‪data‬‬ ‫ﺩﺍﺩﻩ‬
‫‪decode‬‬ ‫ﻛﹸﺪﮔﺸﺎﺋﻲ‬
‫‪decoy‬‬ ‫ﺩﺍﻡ‬
‫‪decryption‬‬ ‫ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫‪detached‬‬ ‫ﺟﺪﺍﺷﺪﻩ‪ -‬ﻣﺠﺰﺍ‬
‫‪٤٤٧‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪diffusion‬‬ ‫ﺍﻧﺘﺸﺎﺭ‬
‫‪digest‬‬ ‫ﭼﻜﻴﺪﻩ‬
‫‪digital signature‬‬ ‫ﺍﻣﻀﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ‬
‫‪digram‬‬ ‫ﺩﻭ‪ -‬ﺣﺮﻓﻲ‬
‫‪directory‬‬ ‫ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ‬
‫‪discretionary access cotrol‬‬ ‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻣﻨﺼﻔﺎﻧﻪ‬
‫‪dispatcher‬‬ ‫ﺣﻤﻞﻛﻨﻨﺪﻩ‬
‫‪disruptive‬‬ ‫ﻣﺨﻞ‬
‫‪distributed enviroments‬‬ ‫ﻣﺤﻴﻂ ﻫﺎﻱ ﺗﻮﺯﻳﻊ ﺷﺪﻩ‬
‫‪domain‬‬ ‫ﺩﺍﻣﻨﻪ‪ -‬ﻗﻠﻤﺮﻭ‬
‫‪dual‬‬ ‫ﺩﻭﮔﺎﻧﻪ‬
‫‪eavesdropping‬‬ ‫ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ‪ -‬ﺷﻨﻮﺩ‬
‫‪editor‬‬ ‫ﻭﻳﺮﺍﻳﺶﮔﺮ‬
‫‪elliptic curve‬‬ ‫ﺧﹶﻢ ﺑﻴﻀﻮﻱ‬
‫‪email‬‬ ‫ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‬
‫‪emoticon‬‬ ‫ﺍﺣﺴﺎﺱﻧﻤﺎ‬
‫‪encryption‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪encryption devices‬‬ ‫ﺗﺠﻬﻴﺰﺍﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪end system‬‬ ‫ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ‬
‫‪end-to-end‬‬ ‫ﺳﺮ‪ -‬ﺑﻪ ‪ -‬ﺳﺮ‬
‫‪ephermal‬‬ ‫ﻳﻜﺒﺎﺭﻣﺼﺮﻑ‬
‫‪error-detection‬‬ ‫ﺗﺸﺨﻴﺺ ﺧﻄﺎ‬
‫‪expert system‬‬ ‫ﺳﻴﺴﺘﻢ ﺧﺒﺮﻩ‬
‫‪exploit‬‬ ‫ﺑﻬﺮﻩ ﺑﺮﺩﺍﺭﻱ‬
‫‪extension‬‬ ‫ﺍﻟﺤﺎﻗﻴﻪ‬
‫‪external‬‬ ‫ﺧﺎﺭﺟﻲ‬
‫‪extranet‬‬ ‫ﺍﻛﺴﺘﺮﺍﻧﺖ‬
‫‪fallacy‬‬ ‫ﺧﻄﺎ‬
‫‪fax-back‬‬ ‫ﻓﺎﻛﺲ ﺑﺮﮔﺮﺩﺍﻥ‬
‫‪feasible‬‬ ‫ﻣﻘﺪﻭﺭ‬
‫‪feedback‬‬ ‫ﺑﺎﺯﺧﻮﺭﺩ‬
‫‪Feistel‬‬ ‫ﻧﺎﻡ ﻳﻚ ﺳﺎﺧﺘﺎﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬
‫‪field‬‬ ‫ﻣﻴﺪﺍﻥ‬
‫‪fingerprint‬‬ ‫ﺍﺛﺮ ﺍﻧﮕﺸﺖ‬
‫‪firewall‬‬ ‫ﺩﻳﻮﺍﺭﺁﺗﺶ‬
‫‪flaw‬‬ ‫ﺧﻄﺎ‬
‫‪flooding‬‬ ‫ﺑﻤﺒﺎﺭﺍﻥ‬
‫‪foil‬‬ ‫ﺧﻨﺜﻲ ﻛﺮﺩﻥ‬
‫‪forgery‬‬ ‫ﺗﻘﻠﺐ‪ -‬ﺟﻌﻞ‬
‫‪fragmentation‬‬ ‫ﻗﻄﻌﻪ ﻗﻄﻌﻪ ﻛﺮﺩﻥ‬
‫‪framework‬‬ ‫ﭼﻬﺎﺭﭼﻮﺏ‬
‫‪frond-end processor‬‬ ‫ﭘﺮﺩﺍﺯﺷﮕﺮ ﺧﻂ ﺍﻭﻝ‬
‫‪gateway‬‬ ‫ﺩﺭﻭﺍﺯﻩ‬
‫‪gauge‬‬ ‫ﭘﻴﻤﺎﻧﻪ‬
‫‪genuine‬‬ ‫ﺩﺳﺖ ﺍﻭﻝ‬
‫‪hacker‬‬ ‫َﻫﻜِﺮ‪ -‬ﻧﻔﻮﺫﮔﺮ‬
‫ﻭﺍﮊﻩﻧﺎﻣﺔ ﺍﻧﮕﻠﻴﺴﻲ‪ -‬ﻓﺎﺭﺳﻲ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٤٨‬‬
‫‪handshaking‬‬ ‫ﺩﺳﺘﺪﺍﺩ‬
‫‪hash function‬‬ ‫ﺗﺎﺑﻊ ﺩﺭﻫﻢ ﺳﺎﺯ‬
‫‪header‬‬ ‫ﺳَﺮﺁﻳﻨﺪ‬
‫‪heuristic‬‬ ‫ﺗﺎﺭﻳﺨﻲ‬
‫‪hostile‬‬ ‫ﺧﺼﻤﺎﻧﻪ‬
‫‪hub‬‬ ‫ﻫﺎﺏ‬
‫‪IDEA‬‬ ‫ﻧﺎﻡ ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪identifier‬‬ ‫ﺷﻨﺎﺳﻪ‬
‫‪immune‬‬ ‫ﻣﺼﻮﻥ‬
‫‪impersonation‬‬ ‫ﺟﻌﻞ ﻫﻮﻳﺖ‬
‫‪indispensible‬‬ ‫ﺿﺮﻭﺭﻱ‬
‫‪information security‬‬ ‫ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ‬
‫‪initiator‬‬ ‫ﺁﻏﺎﺯﮔﺮ‬
‫‪inner‬‬ ‫ﺩﺭﻭﻧﻲ‬
‫‪innocuous‬‬ ‫ﺑﻲ ﺁﺯﺍﺭ‬
‫‪integrity‬‬ ‫ﺻﺤﺖ‪-‬ﺍﺻﺎﻟﺖ‬
‫‪intercept‬‬ ‫ﻗﻄﻊ ﻛﺮﺩﻥ‬
‫‪internal‬‬ ‫ﺩﺍﺧﻠﻲ‬
‫‪internet‬‬ ‫ﺑﻴﻦ ﺷﺒﻜﻪ ﺍﻱ‬
‫‪Internet‬‬ ‫ﺍﻳﻨﺘﺮﻧﺖ‬
‫‪Internet Association‬‬ ‫ﺍﻧﺠﻤﻦ ﺍﻳﻨﺘﺮﻧﺖ‬
‫‪Internet Draft‬‬ ‫ﭘﻴﺶﻧﻮﻳﺲ ﺍﻳﻨﺘﺮﻧﺖ‬
‫‪Internet Publication‬‬ ‫ﺍﻧﺘﺸﺎﺭﺍﺕ ﺍﻳﻨﺘﺮﻧﺖ‬
‫‪internet security‬‬ ‫ﺍﻣﻨﻴﺖ ﺍﻳﻨﺘﺮﻧﺖ‬
‫‪Internet society‬‬ ‫ﺟﺎﻣﻌﺔ ﺍﻳﻨﺘﺮﻧﺖ‬
‫‪Internet Standard‬‬ ‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻳﻨﺘﺮﻧﺖ‬
‫‪intranet‬‬ ‫ﺍﻳﻨﺘﺮﺍﻧﺖ‬
‫‪intruder‬‬ ‫ﻣﻬﺎﺟﻢ‬
‫‪intrusion‬‬ ‫ﺗﻬﺎﺟﻢ‬
‫‪Kerberos‬‬ ‫ﻧﺎﻡ ﻳﻚ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫‪key‬‬ ‫ﻛﻠﻴﺪ‬
‫‪key distribution‬‬ ‫ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ‬
‫‪key exchange‬‬ ‫ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‬
‫‪key length‬‬ ‫ﻃﻮﻝ ﻛﻠﻴﺪ‬
‫‪key management‬‬ ‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‬
‫‪key ring‬‬ ‫ﺩﺳﺘﻪ ﻛﻠﻴﺪ‬
‫‪key space‬‬ ‫ﻓﻀﺎﻱ ﻛﻠﻴﺪ‬
‫‪keystone‬‬ ‫ﺳﻨﮓ ﺑﻨﺎ‬
‫‪label‬‬ ‫ﺑﺮﭼﺴﺐ‬
‫‪legitimacy‬‬ ‫ﻣﺸﺮﻭﻋﻴﺖ‬
‫‪legitimate‬‬ ‫ﻣﺸﺮﻭﻉ‪ -‬ﻗﺎﻧﻮﻧﻲ‬
‫‪lifetime‬‬ ‫ﻃﻮﻝ ﻋﻤﺮ‬
‫‪link‬‬ ‫ﭘﻴﻮﻧﺪ‬
‫‪loading‬‬ ‫ﺑﺎﺭﮔﺬﺍﺭﻱ‬
‫‪logic bomb‬‬ ‫ﺑﻤﺐ ﻻﺟﻴﻚ‬
‫‪logical connection‬‬ ‫ﺍﺗﺼﺎﻝ ﻣﻨﻄﻘﻲ‬
‫‪٤٤٩‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪logon‬‬ ‫ﺍﺗﺼﺎﻝ ﺑﻪ ﺳﻴﺴﺘﻢ‬

‫‪macro‬‬ ‫ﻣﺎﻛﺮﻭ‬
‫‪macro virus‬‬ ‫ﻭﻳﺮﻭﺱ ﻣﺎﻛﺮﻭ‬
‫‪mailbox‬‬ ‫ﺻﻨﺪﻭﻕ ﭘﺴﺘﻲ‬
‫‪malicious‬‬ ‫ﺑﺪﺍﻧﺪﻳﺶ‬
‫‪malware‬‬ ‫ﺑﺪﺍﻓﺰﺍﺭ‬
‫‪mapping‬‬ ‫ﻧﮕﺎﺷﺖ‬
‫‪masquerade‬‬ ‫ﺑﺎﻟﻤﺎﺳﻜﻪ‬
‫‪masquerader‬‬ ‫ﻧﻘﺎﺏ ﺩﺍﺭ‬
‫‪master key‬‬ ‫ﻛﻠﻴﺪ ﺍﺻﻠﻲ‬
‫‪mediation‬‬ ‫ﻭﺳﺎﻃﺖ‬
‫‪memory-resident virus‬‬ ‫ﻭﻳﺮﻭﺱ ﻣﺴﺘﻘﺮ ﺩﺭ ﺣﺎﻓﻈﻪ‬
‫‪merchant‬‬ ‫ﺗﺎﺟﺮ‬
‫‪message‬‬ ‫ﭘﻴﺎﻡ‬
‫‪metmorphic virus‬‬ ‫ﻭﻳﺮﻭﺱ ﺩﮔﺮﺩﻳﺲ‬
‫‪metric‬‬ ‫ﻣﻌﻴﺎﺭ‬
‫‪misfeasor‬‬ ‫ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩﻛﻨﻨﺪﻩ‬
‫‪mode‬‬ ‫ﻣُﻮﺩ‬
‫‪modification‬‬ ‫ﺩﺳﺘﻜﺎﺭﻱ‬
‫‪modular‬‬ ‫ﭘﻴﻤﺎﻧﻪ ﺍﻱ‬
‫‪modulo‬‬ ‫ﭘﻴﻤﺎﻧﻪ‬
‫‪monitoring‬‬ ‫ﭘﺎﻳﺶ‪ -‬ﻧﻈﺎﺭﺕ‬
‫‪motivation‬‬ ‫ﺍﻧﮕﻴﺰﺵ‬
‫‪multiplicative inverse‬‬ ‫ﻣﻌﻜﻮﺱ ﺿﺮﺑﻲ‬
‫‪mutation engine‬‬ ‫ﻣﻮﺗﻮﺭ ﺗﻐﻴﻴﺮ‬
‫‪mutual‬‬ ‫ﻣﺘﻘﺎﺑﻞ‬
‫‪native‬‬ ‫ﺑﻮﻣﻲ‬
‫‪nesting‬‬ ‫ﻻﻧﻪ ﺳﺎﺯﻱ‬
‫‪network security‬‬ ‫ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬
‫‪newsgroup‬‬ ‫ﮔﺮﻭﻩ ﺧﺒﺮﻱ‬
‫‪node‬‬ ‫ﮔﺮﻩ‬
‫‪nonce‬‬ ‫ﺣﺎﻝ ﻓﻌﻠﻲ‬
‫‪nonrepudiation‬‬ ‫ﻋﺪﻡ ﺍﻧﻜﺎﺭ‬
‫‪notation‬‬ ‫ﻋﻼﻣﺖ ﺍﺧﺘﺼﺎﺭﻱ‬
‫‪notification‬‬ ‫ﺗﺬﻛﺮ‬
‫‪notion‬‬ ‫ﺁﮔﺎﻫﻲ‬
‫‪obfuscation‬‬ ‫ﺍﺑﻬﺎﻡ ﺯﺍﺋﻲ‬
‫‪object‬‬ ‫ﻣﻮﺿﻮﻉ‬
‫‪octet‬‬ ‫ﺍﹸﻛﺘﺖ‬
‫‪offline‬‬ ‫ﺧﺎﺭﺝ ﺍﺯ ﺧﻂ‬
‫‪one-time key‬‬ ‫ﻛﻠﻴﺪ ﻳﻜﺒﺎﺭﻣﺼﺮﻑ‬
‫‪one-way‬‬ ‫ﻳﻜﻄﺮﻓﻪ‬
‫‪online‬‬ ‫ﺑﺮﺧﻂ‬
‫‪orphan‬‬ ‫ﻳﺘﻴﻢ‬
‫‪outer‬‬ ‫ﺑﻴﺮﻭﻧﻲ‬
‫‪overhead‬‬ ‫ﺳﺮﺑﺎﺭﻩ‬
‫ﻭﺍﮊﻩﻧﺎﻣﺔ ﺍﻧﮕﻠﻴﺴﻲ‪ -‬ﻓﺎﺭﺳﻲ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٥٠‬‬
‫‪overlap‬‬ ‫ﻫﻢﭘﻮﺷﺎﻧﻲ‬
‫‪overt‬‬ ‫ﺁﺷﻜﺎﺭ‬
‫‪packet‬‬ ‫ﺑﺴﺘﻪ‬
‫‪packet switch‬‬ ‫ﺳﻮﺋﻴﭻ ﺑﺴﺘﻪﺍﻱ‬
‫‪pad‬‬ ‫ﻻﺋﻲ‬
‫‪padding‬‬ ‫ﻻﺋﻲﮔﺬﺍﺭﻱ‬
‫‪paradigm‬‬ ‫ﭘﺎﺭﺍﺩﺍﻳﻢ‬
‫‪parasitic virus‬‬ ‫ﻭﻳﺮﻭﺱ ﺍﻧﮕﻠﻲ‬
‫‪passive attack‬‬ ‫ﺣﻤﻠﺔ ﻏﻴﺮﻓﻌﺎﻝ‬
‫‪passphrase‬‬ ‫ﺟﻤﻠﺔ ﻋﺒﻮﺭ‬
‫‪password‬‬ ‫ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
‫‪patent‬‬ ‫ﺛﺒﺖ ﺍﺧﺘﺮﺍﻉ‬
‫‪pattern‬‬ ‫ﺍﻟﮕﻮ‬
‫‪payload‬‬ ‫ﻣﺤﻤﻮﻟﻪ‬
‫‪peer‬‬ ‫ﻧﻈﻴﺮ‬
‫‪peer-to-peer‬‬ ‫ﻧﻈﻴﺮ‪ -‬ﺑﻪ‪ -‬ﻧﻈﻴﺮ‬
‫‪penetration‬‬ ‫ﻧﻔﻮﺫ‬
‫‪permutation‬‬ ‫ﺟﺎﻳﮕﺸﺖ‬
‫‪plaintext‬‬ ‫ﻣﺘﻦ ﺳﺎﺩﻩ‬
‫‪platform‬‬ ‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ‪ -‬ﻛﺎﻣﭙﻴﻮﺗﺮ‬
‫‪polymorphic virus‬‬ ‫ﻭﻳﺮﻭﺱ ﭼﻨﺪﭼﻬﺮﻩ‬
‫‪port‬‬ ‫ﺩﺭﮔﺎﻩ‬
‫‪precedence‬‬ ‫ﺣﻖ ﺗﻘﺪﻡ‬
‫‪primitive root‬‬ ‫ﺭﻳﺸﺔ ﺍﻭﻟﻴﻪ‬
‫‪principal‬‬ ‫ﺭﺋﻴﺲ‬
‫‪private key‬‬ ‫ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ‬
‫‪procedure‬‬ ‫ﺭَﻭﻳﻪ‬
‫‪processor‬‬ ‫ﭘﺮﺩﺍﺯﺵ ﮔﺮ‬
‫‪product system‬‬ ‫ﺳﻴﺴﺘﻢ ﺗﺮﻛﻴﺒﻲ‬
‫‪promulgate‬‬ ‫ﺍﻋﻼﻡ ﻛﺮﺩﻥ‬
‫‪protocol‬‬ ‫ﭘﺮﻭﺗﻜﻞ‬
‫‪proxy‬‬ ‫ﭘﺮﻭﻛﺴﻲ‬
‫‪pseudorandom‬‬ ‫ﺷﺒﻪ ﺗﺼﺎﺩﻓﻲ‬
‫‪public key‬‬ ‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‬
‫‪radix-64‬‬ ‫ﺗﺒﺪﻳﻞ‪radix-64‬‬
‫‪random‬‬ ‫ﺗﺼﺎﺩﻓﻲ‬
‫‪range‬‬ ‫ﺑُﺮﺩ‬
‫‪realm‬‬ ‫ﻗﻠﻤﺮﻭ‬
‫‪receipt‬‬ ‫ﺭﺳﻴﺪ‬
‫‪recovery‬‬ ‫ﺑﺎﺯﻳﺎﺑﻲ‬
‫‪reference monitor‬‬ ‫ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ‬
‫‪reliability‬‬ ‫ﻗﺎﺑﻠﻴﺖ ﺍﻋﺘﻤﺎﺩ‬
‫‪reliable‬‬ ‫ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ‬
‫‪replay‬‬ ‫ﺑﺎﺯﺧﻮﺍﻧﻲ‬
‫‪resource allocation‬‬ ‫ﺗﺨﺼﻴﺺ ﻣﻨﺎﺑﻊ‬
‫‪reversible‬‬ ‫ﺑﺮﮔﺸﺖﭘﺬﻳﺮ‬
‫‪٤٥١‬‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪revokation‬‬ ‫ﺍﺑﻄﺎﻝ‪ -‬ﻟﻐﻮ‬

‫‪round‬‬ ‫ﺩُﻭﺭ‬
‫‪round-function‬‬ ‫ﺗﺎﺑﻊ ﺩُﻭﺭ‬
‫‪router‬‬ ‫ﻣﺴﻴﺮﻳﺎﺏ‬
‫‪rudimentary‬‬ ‫ﻣﻘﺪﻣﺎﺗﻲ‬
‫‪rule-based‬‬ ‫ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﻩ‬
‫‪scalable‬‬ ‫ﻣﻘﻴﺎﺱﭘﺬﻳﺮ‬
‫‪scrambled‬‬ ‫ﺩﺭﻫﻢ ﺭﻳﺨﺘﻪ‬
‫‪secret‬‬ ‫ﺳﺮّﻱ‬
‫‪secret key‬‬ ‫ﻛﻠﻴﺪ ﺳﺮّﻱ‬
‫‪secure‬‬ ‫ﺍﻣﻦ‬
‫‪security‬‬ ‫ﺍﻣﻨﻴﺖ‬
‫‪security architecture‬‬ ‫ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ‬
‫‪security association‬‬ ‫ﺍﺗﺤﺎﺩ ﺍﻣﻨﻴﺘﻲ‬
‫‪security attack‬‬ ‫ﺣﻤﻠﺔ ﺍﻣﻨﻴﺘﻲ‬
‫‪security flaw‬‬ ‫ﻧﻘﺺ ﺍﻣﻨﻴﺘﻲ‬
‫‪security mechanism‬‬ ‫ﺳﺎﺯﻭﻛﺎﺭ ﺍﻣﻨﻴﺘﻲ‬
‫‪security service‬‬ ‫ﺳﺮﻭﻳﺲ ﺍﻣﻨﻴﺘﻲ‬
‫‪seed‬‬ ‫ﺑﺬﺭ‬
‫‪segment‬‬ ‫ﺳِﮕﻤﻨﺖ‬
‫‪sequence number‬‬ ‫ﺷﻤﺎﺭﺓ ﺭﺩﻳﻒ‬
‫‪server‬‬ ‫ﺳِﺮﻭﺭ‬
‫‪session‬‬ ‫ﺍﺟﻼﺱ‬
‫‪session key‬‬ ‫ﻛﻠﻴﺪ ﺍﺟﻼﺱ‬
‫‪shareware‬‬ ‫ﺍﺷﺘﺮﺍﻙﺍﻓﺰﺍﺭ‬
‫‪signatory‬‬ ‫ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ‬
‫‪signature‬‬ ‫ﺍﻣﻀﺎﺀ‬
‫‪smiley‬‬ ‫ﺧﻨﺪﺍﻧﻚ‬
‫‪sniffer‬‬ ‫ﺑﻮ ﻛﺸﻨﺪﻩ‬
‫‪socket‬‬ ‫ﺳﻮﻛﺖ‬
‫‪spam‬‬ ‫ﻧﺎﻣﻪ ﺍﻟﻜﺘﺮﻭﻧﻴﻜﻲ ﻧﺎﺧﻮﺍﺳﺘﻪ‬
‫‪spoofing‬‬ ‫ﺟﻌﻞ ‪ -‬ﺗﻘﻠﻴﺪ‬
‫‪spurious‬‬ ‫ﺳﺎﺧﺘﮕﻲ‪ -‬ﻧﺎﺩﺭﺳﺖ‬
‫‪stack‬‬ ‫ﭘﺸﺘﻪ‬
‫‪stateful inspection firewall‬‬ ‫ﻧﻮﻋﻲ ﺩﻳﻮﺍﺭ ﺁﺗﺶ‬
‫‪stealth virus‬‬ ‫ﻭﻳﺮﻭﺱ ﭘﻨﻬﺎﻥﺷﻮﻧﺪﻩ‬
‫‪stream‬‬ ‫ﺩﻧﺒﺎﻟﻪ‬
‫‪stream cipher‬‬ ‫ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ‬
‫‪subkey‬‬ ‫ﺯﻳﺮﻛﻠﻴﺪ‬
‫‪substitution‬‬ ‫ﺟﺎﻳﮕﺰﻳﻨﻲ‬
‫‪suite‬‬ ‫ﻣﺠﻤﻮﻋﻪ‬
‫‪symmetric encryption‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬
‫‪tag‬‬ ‫ﺩﻧﺒﺎﻟﻪ‬
‫‪terminal‬‬ ‫ﭘﺎﻳﺎﻧﻪ‬
‫‪theft‬‬ ‫ﺩﺯﺩﻱ‬
‫‪thread‬‬ ‫ﺭﺷﺘﻪ‬
‫ﻭﺍﮊﻩﻧﺎﻣﺔ ﺍﻧﮕﻠﻴﺴﻲ‪ -‬ﻓﺎﺭﺳﻲ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٥٢‬‬
‫‪threat‬‬ ‫ﺗﻬﺪﻳﺪ‬
‫‪threshold‬‬ ‫ﺁﺳﺘﺎﻧﻪ‬
‫‪throughput‬‬ ‫ﺗﻮﺍﻥ ﻋﻤﻠﻴﺎﺗﻲ‬
‫‪ticket‬‬ ‫ﺑﻠﻴﺖ‬
‫‪timely‬‬ ‫ﺑﻬﻨﮕﺎﻡ‬
‫‪time-sharing‬‬ ‫ﺍﺷﺘﺮﺍﻙ ﺯﻣﺎﻧﻲ‬
‫‪timestamp‬‬ ‫ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ‬
‫‪traditional‬‬ ‫ﺳﻨﹼﺘﻲ‬
‫‪traffic analysis‬‬ ‫ﺗﺤﻠﻴﻞ ﺗﺮﺍﻓﻴﻚ‬
‫‪trailer‬‬ ‫ﺗﹶﻪ ﺁﻳﻨﺪ‬
‫‪transaction‬‬ ‫ﺳﻨﺪ‬
‫‪transformation‬‬ ‫ﺗﺒﺪﻳﻞ‬
‫‪transparent‬‬ ‫ﺷﻔﺎﻑ‬
‫‪transport‬‬ ‫ﺣﻤﻞﻭﻧﻘﻞ‪ -‬ﺗﺮﺍﺑﺮﻱ‬
‫‪transposition‬‬ ‫ﺟﺎﺑﺠﺎﺋﻲ‬
‫‪trapdoor‬‬ ‫ﺩﺭﺏ ﻣﺨﻔﻲ‬
‫‪trend‬‬ ‫ﺭَﻭَﻧﺪ‬
‫‪trespass‬‬ ‫ﺗﻌﺮﺽ‬
‫‪trigger‬‬ ‫ﻣﺎﺷﻪﻛﺸﻲ‬
‫‪Trojan Horse‬‬ ‫ﺍﺳﺐ ﺗﺮﻭﺍ‬
‫‪trust‬‬ ‫ﺍﻋﺘﻤﺎﺩ‬
‫‪unique‬‬ ‫ﻳﻜﺘﺎ‬
‫‪update‬‬ ‫ﺑﻪ ﺭﻭﺯ ﺩﺭﺁﻭﺭﺩﻥ‬
‫‪utility program‬‬ ‫ﺑﺮﻧﺎﻣﺔ ﻛﻤﻜﻲ‬
‫‪utilization‬‬ ‫ﺑﻬﺮﻩ ﮔﻴﺮﻱ‬
‫‪vendor‬‬ ‫ﻓﺮﻭﺷﻨﺪﻩ‬
‫‪version‬‬ ‫ﻧﺴﺨﻪ‬
‫‪view‬‬ ‫ﻣﻨﻈﺮ‬
‫‪virtual‬‬ ‫ﻣﺠﺎﺯﻱ‬
‫‪virtual circuit‬‬ ‫ﻣﺪﺍﺭ ﻣﺠﺎﺯﻱ‬
‫‪virus‬‬ ‫ﻭﻳﺮﻭﺱ‬
‫‪vulneribility‬‬ ‫ﺁﺳﻴﺐﭘﺬﻳﺮﻱ‬
‫‪web‬‬ ‫ﻭِﺏ‬
‫‪webmail‬‬ ‫ﭘﺴﺖ ﻣﺒﺘﻨﻲ ﺑﺮ ﻭِﺏ‬
‫‪website‬‬ ‫ﻭِﺏ ﺳﺎﻳﺖ‬
‫‪wildcard‬‬ ‫ﻋﺎﻡ ‪ -‬ﻋﻤﻮﻣﻲ‬
‫‪worm‬‬ ‫ﻛِﺮﻡ‬
‫‪zombie‬‬ ‫ﺯﺍﻣﺒﻲ‬
‫ ﺍﻧﮕﻠﻴﺴﻲ‬-‫ﻭﺍﮊﻩﻧﺎﻣﻪ ﻓﺎﺭﺳﻲ‬
threshold ‫ﺁﺳﺘﺎﻧﻪ‬
vulneribility ‫ﺁﺳﻴﺐﭘﺬﻳﺮﻱ‬
overt ‫ﺁﺷﻜﺎﺭ‬
initiator ‫ﺁﻏﺎﺯﮔﺮ‬
notion ‫ﺁﮔﺎﻫﻲ‬
revokation ‫ ﻟﻐﻮ‬-‫ﺍﺑﻄﺎﻝ‬
obfuscation ‫ﺍﺑﻬﺎﻡ ﺯﺍﺋﻲ‬
association ‫ﺍﺗﺤﺎﺩ‬
security association ‫ﺍﺗﺤﺎﺩ ﺍﻣﻨﻴﺘﻲ‬
connection ‫ﺍﺗﺼﺎﻝ‬
logon ‫ﺍﺗﺼﺎﻝ ﺑﻪ ﺳﻴﺴﺘﻢ‬
connection oriented ‫ﺍﺗﺼﺎﻝﮔﺮﺍ‬
logical connection ‫ﺍﺗﺼﺎﻝ ﻣﻨﻄﻘﻲ‬
fingerprint ‫ﺍﺛﺮ ﺍﻧﮕﺸﺖ‬
session ‫ﺍﺟﻼﺱ‬
emoticon ‫ﺍﺣﺴﺎﺱ ﻧﻤﺎ‬
computationally secure ‫ﺍﺯ ﻧﻈﺮ ﻣﺤﺎﺳﺒﺎﺗﻲ ﺍﻣﻦ‬
Trojan Horse ‫ﺍﺳﺐ ﺗﺮﻭﺍ‬
Internet Standard ‫ﺍﺳﺘﺎﻧﺪﺍﺭﺩ ﺍﻳﻨﺘﺮﻧﺖ‬
eavesdropping ‫ ﺷﻨﻮﺩ‬-‫ﺍﺳﺘﺮﺍﻕ ﺳﻤﻊ‬
shareware ‫ﺍﺷﺘﺮﺍﻙﺍﻓﺰﺍﺭ‬
time-sharing ‫ﺍﺷﺘﺮﺍﻙ ﺯﻣﺎﻧﻲ‬
bug ‫ﺍﺷﻜﺎﻝ‬
authenticator ‫ﺍﻋﺘﺒﺎﺭﺳﻨﺞ‬
authentication ‫ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
trust ‫ﺍﻋﺘﻤﺎﺩ‬
promulgate ‫ﺍﻋﻼﻡ ﻛﺮﺩﻥ‬
octet ‫ﺍﹸﻛﺘﺖ‬
extranet ‫ﺍﻛﺴﺘﺮﺍﻧﺖ‬
extension ‫ﺍﻟﺤﺎﻗﻴﻪ‬
pattern ‫ﺍﻟﮕﻮ‬
algorithm ‫ﺍﻟﮕﻮﺭﻳﺘﻢ‬
signature ‫ﺍﻣﻀﺎﺀ‬
signatory ‫ﺍﻣﻀﺎﺀﻛﻨﻨﺪﻩ‬
digital signature ‫ﺍﻣﻀﺎﻱ ﺩﻳﺠﻴﺘﺎﻝ‬
secure ‫ﺍﻣﻦ‬
security ‫ﺍﻣﻨﻴﺖ‬
information security ‫ﺍﻣﻨﻴﺖ ﺍﻃﻼﻋﺎﺕ‬
‫ﻭﺍﮊﻩﻧﺎﻣﺔ ﻓﺎﺭﺳﻲ‪ -‬ﺍﻧﮕﻠﻴﺴﻲ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٥٤‬‬
‫‪internet security‬‬ ‫ﺍﻣﻨﻴﺖ ﺍﻳﻨﺘﺮﻧﺖ‬

‫‪computer security‬‬ ‫ﺍﻣﻨﻴﺖ ﺭﺍﻳﺎﻧﻪ‬
‫‪network security‬‬ ‫ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬
‫‪diffusion‬‬ ‫ﺍﻧﺘﺸﺎﺭ‬
‫‪Internet Publication‬‬ ‫ﺍﻧﺘﺸﺎﺭﺍﺕ ﺍﻳﻨﺘﺮﻧﺖ‬
‫‪Internet Association‬‬ ‫ﺍﻧﺠﻤﻦ ﺍﻳﻨﺘﺮﻧﺖ‬
‫‪clogging‬‬ ‫ﺍﻧﺴﺪﺍﺩ‬
‫‪motivation‬‬ ‫ﺍﻧﮕﻴﺰﺵ‬
‫‪intranet‬‬ ‫ﺍﻳﻨﺘﺮﺍﻧﺖ‬
‫‪Internet‬‬ ‫ﺍﻳﻨﺘﺮﻧﺖ‬
‫‪loading‬‬ ‫ﺑﺎﺭﮔﺬﺍﺭﻱ‬
‫‪replay‬‬ ‫ﺑﺎﺯﺧﻮﺍﻧﻲ‬
‫‪feedback‬‬ ‫ﺑﺎﺯﺧﻮﺭﺩ‬
‫‪audit‬‬ ‫ﺑﺎﺯﺭﺳﻲ ‪ ،‬ﻣﻤﻴﺰﻱ‬
‫‪recovery‬‬ ‫ﺑﺎﺯﻳﺎﺑﻲ‬
‫‪bog‬‬ ‫ﺑﺎﺗﻼﻕ‬
‫‪masquerade‬‬ ‫ﺑﺎﻟﻤﺎﺳﻜﻪ‬
‫‪byte‬‬ ‫ﺑﺎﻳﺖ‬
‫‪malware‬‬ ‫ﺑﺪﺍﻓﺰﺍﺭ‬
‫‪malicious‬‬ ‫ﺑﺪﺍﻧﺪﻳﺶ‬
‫‪body‬‬ ‫ﺑﺪﻧﻪ‬
‫‪connectionless‬‬ ‫ﺑﺪﻭﻥ ﺍﺗﺼﺎﻝ‬
‫‪seed‬‬ ‫ﺑﺬﺭ‬
‫‪label‬‬ ‫ﺑﺮﭼﺴﺐ‬
‫‪timestamp‬‬ ‫ﺑﺮﭼﺴﺐ ﺯﻣﺎﻧﻲ‬
‫‪online‬‬ ‫ﺑﺮﺧﻂ‬
‫‪range‬‬ ‫ﺑُﺮﺩ‬
‫‪reversible‬‬ ‫ﺑﺮﮔﺸﺖﭘﺬﻳﺮ‬
‫‪utility program‬‬ ‫ﺑﺮﻧﺎﻣﺔ ﻛﻤﻜﻲ‬
‫‪packet‬‬ ‫ﺑﺴﺘﻪ‬
‫‪block‬‬ ‫ﺑﻠﻮﻙ‬
‫‪ticket‬‬ ‫ﺑﻠﻴﺖ‬
‫‪logic bomb‬‬ ‫ﺑﻤﺐ ﻻﺟﻴﻚ‬
‫‪flooding‬‬ ‫ﺑﻤﺒﺎﺭﺍﻥ‬
‫‪update‬‬ ‫ﺑﻪ ﺭﻭﺯ ﺩﺭﺁﻭﺭﺩﻥ‬
‫‪exploit‬‬ ‫ﺑﻬﺮﻩ ﺑﺮﺩﺍﺭﻱ‬
‫‪utilization‬‬ ‫ﺑﻬﺮﻩ ﮔﻴﺮﻱ‬
‫‪timely‬‬ ‫ﺑﻬﻨﮕﺎﻡ‬
‫‪sniffer‬‬ ‫ﺑﻮ ﻛﺸﻨﺪﻩ‬
‫‪native‬‬ ‫ﺑﻮﻣﻲ‬
‫‪innocuous‬‬ ‫ﺑﻲ ﺁﺯﺍﺭ‬
‫‪benign‬‬ ‫ﺑﻲ ﺧﻄﺮ‬
‫‪outer‬‬ ‫ﺑﻴﺮﻭﻧﻲ‬
‫‪internet‬‬ ‫ﺑﻴﻦ ﺷﺒﻜﻪﺍﻱ‬
‫‪paradigm‬‬ ‫ﭘﺎﺭﺍﺩﺍﻳﻢ‬
‫‪terminal‬‬ ‫ﭘﺎﻳﺎﻧﻪ‬
‫‪٤٥٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪monitoring‬‬ ‫ﭘﺎﻳﺶ‪ -‬ﻧﻈﺎﺭﺕ‬

‫‪reference monitor‬‬ ‫ﭘﺎﻳﺸﮕﺮ ﻣﺮﺟﻊ‬
‫‪processor‬‬ ‫ﭘﺮﺩﺍﺯﺵﮔﺮ‬
‫‪frond-end processor‬‬ ‫ﭘﺮﺩﺍﺯﺷﮕﺮ ﺧﻂ ﺍﻭﻝ‬
‫‪protocol‬‬ ‫ﭘﺮﻭﺗﻜﻞ‬
‫‪proxy‬‬ ‫ﭘﺮﻭﻛﺴﻲ‬
‫‪email‬‬ ‫ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ‬
‫‪webmail‬‬ ‫ﭘﺴﺖ ﻣﺒﺘﻨﻲ ﺑﺮ ﻭِﺏ‬
‫‪stack‬‬ ‫ﭘﺸﺘﻪ‬
‫‪covert‬‬ ‫ﭘﻨﻬﺎﻥ‬
‫‪message‬‬ ‫ﭘﻴﺎﻡ‬
‫‪Internet Draft‬‬ ‫ﭘﻴﺶ ﻧﻮﻳﺲ ﺍﻳﻨﺘﺮﻧﺖ‬
‫‪gauge‬‬ ‫ﭘﻴﻤﺎﻧﻪ‬
‫‪modulo‬‬ ‫ﭘﻴﻤﺎﻧﻪ‬
‫‪modular‬‬ ‫ﭘﻴﻤﺎﻧﻪ ﺍﻱ‬
‫‪affiliation‬‬ ‫ﭘﻴﻮﺳﺘﮕﻲ‬
‫‪link‬‬ ‫ﭘﻴﻮﻧﺪ‬
‫‪hash function‬‬ ‫ﺗﺎﺑﻊ ﺩﺭﻫﻢ ﺳﺎﺯ‬
‫‪round-function‬‬ ‫ﺗﺎﺑﻊ ﺩُﻭﺭ‬
‫‪merchant‬‬ ‫ﺗﺎﺟﺮ‬
‫‪heuristic‬‬ ‫ﺗﺎﺭﻳﺨﻲ‬
‫‪transformation‬‬ ‫ﺗﺒﺪﻳﻞ‬
‫‪radix-64‬‬ ‫ﺗﺒﺪﻳﻞ‪radix-64‬‬
‫‪encryption devices‬‬ ‫ﺗﺠﻬﻴﺰﺍﺕ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪traffic analysis‬‬ ‫ﺗﺤﻠﻴﻞ ﺗﺮﺍﻓﻴﻚ‬
‫‪resource allocation‬‬ ‫ﺗﺨﺼﻴﺺ ﻣﻨﺎﺑﻊ‬
‫‪notification‬‬ ‫ﺗﺬﻛﺮ‬
‫‪aggregate‬‬ ‫ﺗﺮﺍﻛﻢ‬
‫‪error-detection‬‬ ‫ﺗﺸﺨﻴﺺ ﺧﻄﺎ‬
‫‪random‬‬ ‫ﺗﺼﺎﺩﻓﻲ‬
‫‪trespass‬‬ ‫ﺗﻌﺮﺽ‬
‫‪forgery‬‬ ‫ﺗﻘﻠﺐ‪ -‬ﺟﻌﻞ‬
‫‪trailer‬‬ ‫ﺗﹶﻪﺁﻳﻨﺪ‬
‫‪intrusion‬‬ ‫ﺗﻬﺎﺟﻢ‬
‫‪threat‬‬ ‫ﺗﻬﺪﻳﺪ‬
‫‪throughput‬‬ ‫ﺗﻮﺍﻥ ﻋﻤﻠﻴﺎﺗﻲ‬
‫‪key distribution‬‬ ‫ﺗﻮﺯﻳﻊ ﻛﻠﻴﺪ‬
‫‪patent‬‬ ‫ﺛﺒﺖ ﺍﺧﺘﺮﺍﻉ‬
‫‪transposition‬‬ ‫ﺟﺎﺑﺠﺎﺋﻲ‬
‫‪Internet society‬‬ ‫ﺟﺎﻣﻌﺔ ﺍﻳﻨﺘﺮﻧﺖ‬
‫‪community‬‬ ‫ﺟﺎﻣﻌﻪ‬
‫‪substitution‬‬ ‫ﺟﺎﻳﮕﺰﻳﻨﻲ‬
‫‪permutation‬‬ ‫ﺟﺎﻳﮕﺸﺖ‬
‫‪detached‬‬ ‫ﺟﺪﺍﺷﺪﻩ‪ -‬ﻣﺠﺰﺍ‬
‫‪spoofing‬‬ ‫ﺟﻌﻞ ‪ -‬ﺗﻘﻠﻴﺪ‬
‫‪impersonation‬‬ ‫ﺟﻌﻞ ﻫﻮﻳﺖ‬
‫ﻭﺍﮊﻩﻧﺎﻣﺔ ﻓﺎﺭﺳﻲ‪ -‬ﺍﻧﮕﻠﻴﺴﻲ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٥٦‬‬
‫‪concatenation‬‬ ‫ﺟﻤﻊ ﺭﺷﺘﻪﺍﻱ‬

‫‪checksum‬‬ ‫ﺟﻤﻊ ﻛﻨﺘﺮﻟﻲ‬
‫‪passphrase‬‬ ‫ﺟﻤﻠﺔ ﻋﺒﻮﺭ‬
‫‪digest‬‬ ‫ﭼﻜﻴﺪﻩ‬
‫‪framework‬‬ ‫ﭼﻬﺎﺭﭼﻮﺏ‬
‫‪nonce‬‬ ‫ﺣﺎﻝ ﻓﻌﻠﻲ‬
‫‪precedence‬‬ ‫ﺣﻖ ﺗﻘﺪﻡ‬
‫‪dispatcher‬‬ ‫ﺣﻤﻞﻛﻨﻨﺪﻩ‬
‫‪transport‬‬ ‫ﺣﻤﻞﻭﻧﻘﻞ‪ -‬ﺗﺮﺍﺑﺮﻱ‬
‫‪security attack‬‬ ‫ﺣﻤﻠﺔ ﺍﻣﻨﻴﺘﻲ‬
‫‪passive attack‬‬ ‫ﺣﻤﻠﺔ ﻏﻴﺮﻓﻌﺎﻝ‬
‫‪active attack‬‬ ‫ﺣﻤﻠﺔ ﻓﻌﺎﻝ‬
‫‪brute-force attack‬‬ ‫ﺣﻤﻠﺔ ﻫﻤﻪ ﺟﺎﻧﺒﻪ‬
‫‪offline‬‬ ‫ﺧﺎﺭﺝ ﺍﺯ ﺧﻂ‬
‫‪external‬‬ ‫ﺧﺎﺭﺟﻲ‬
‫‪hostile‬‬ ‫ﺧﺼﻤﺎﻧﻪ‬
‫‪flaw‬‬ ‫ﺧﻄﺎ‬
‫‪fallacy‬‬ ‫ﺧﻄﺎ‬
‫‪clandestine‬‬ ‫ﺧﻔﻴﻪ‬
‫‪elliptic curve‬‬ ‫ﺧﹶﻢ ﺑﻴﻀﻮﻱ‬
‫‪foil‬‬ ‫ﺧﻨﺜﻲ ﻛﺮﺩﻥ‬
‫‪smiley‬‬ ‫ﺧﻨﺪﺍﻧﻚ‬
‫‪autoexecute‬‬ ‫ﺧﻮﺩﺍﺟﺮﺍ‬
‫‪internal‬‬ ‫ﺩﺍﺧﻠﻲ‬
‫‪data‬‬ ‫ﺩﺍﺩﻩ‬
‫‪decoy‬‬ ‫ﺩﺍﻡ‬
‫‪domain‬‬ ‫ﺩﺍﻣﻨﻪ‪ -‬ﻗﻠﻤﺮﻭ‬
‫‪arbiter‬‬ ‫ﺩﺍﻭﺭ‬
‫‪trapdoor‬‬ ‫ﺩﺭﺏ ﻣﺨﻔﻲ‬
‫‪backdoor‬‬ ‫ﺩﺭﺏ ﻣﺨﻔﻲ‬
‫‪connection-request‬‬ ‫ﺩﺭﺧﻮﺍﺳﺖ ﺍﺭﺗﺒﺎﻁ‬
‫‪port‬‬ ‫ﺩﺭﮔﺎﻩ‬
‫‪scrambled‬‬ ‫ﺩﺭﻫﻢ ﺭﻳﺨﺘﻪ‬
‫‪gateway‬‬ ‫ﺩﺭﻭﺍﺯﻩ‬
‫‪inner‬‬ ‫ﺩﺭﻭﻧﻲ‬
‫‪theft‬‬ ‫ﺩﺯﺩﻱ‬
‫‪bastion‬‬ ‫ﺩﮊ‬
‫‪genuine‬‬ ‫ﺩﺳﺖ ﺍﻭﻝ‬
‫‪handshaking‬‬ ‫ﺩﺳﺘﺪﺍﺩ‬
‫‪modification‬‬ ‫ﺩﺳﺘﻜﺎﺭﻱ‬
‫‪batch‬‬ ‫ﺩﺳﺘﻪ‬
‫‪key ring‬‬ ‫ﺩﺳﺘﻪ ﻛﻠﻴﺪ‬
‫‪tag‬‬ ‫ﺩﻧﺒﺎﻟﻪ‬
‫‪stream‬‬ ‫ﺩﻧﺒﺎﻟﻪ‬
‫‪digram‬‬ ‫ﺩﻭ‪ -‬ﺣﺮﻓﻲ‬
‫‪round‬‬ ‫ﺩُﻭﺭ‬
‫‪٤٥٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪dual‬‬ ‫ﺩﻭﮔﺎﻧﻪ‬
‫‪daemon‬‬ ‫ﺩﻳﻮ‬
‫‪firewall‬‬ ‫ﺩﻳﻮﺍﺭﺁﺗﺶ‬
‫‪principal‬‬ ‫ﺭﺋﻴﺲ‬
‫‪computer‬‬ ‫ﺭﺍﻳﺎﻧﻪ‬
‫‪receipt‬‬ ‫ﺭﺳﻴﺪ‬
‫‪thread‬‬ ‫ﺭﺷﺘﻪ‬
‫‪cipher‬‬ ‫ﺭﻣﺰ‬
‫‪stream cipher‬‬ ‫ﺭﻣﺰ ﺩﻧﺒﺎﻟﻪﺍﻱ‬
‫‪block cipher‬‬ ‫ﺭﻣﺰ ﻗﺎﻟﺒﻲ‬
‫‪decryption‬‬ ‫ﺭﻣﺰﮔﺸﺎﺋﻲ‬
‫‪encryption‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪symmetric encryption‬‬ ‫ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬
‫‪trend‬‬ ‫ﺭَﻭَﻧﺪ‬
‫‪procedure‬‬ ‫ﺭَﻭﻳﻪ‬
‫‪primitive root‬‬ ‫ﺭﻳﺸﺔ ﺍﻭﻟﻴﻪ‬
‫‪zombie‬‬ ‫ﺯﺍﻣﺒﻲ‬
‫‪chaining‬‬ ‫ﺯﻧﺠﻴﺮﻛﺮﺩﻥ‬
‫‪subkey‬‬ ‫ﺯﻳﺮﻛﻠﻴﺪ‬
‫‪bogus‬‬ ‫ﺳﺎﺧﺘﮕﻲ‬
‫‪spurious‬‬ ‫ﺳﺎﺧﺘﮕﻲ‪ -‬ﻧﺎﺩﺭﺳﺖ‬
‫‪compatibility‬‬ ‫ﺳﺎﺯﮔﺎﺭﻱ‬
‫‪security mechanism‬‬ ‫ﺳﺎﺯﻭﻛﺎﺭ ﺍﻣﻨﻴﺘﻲ‬
‫‪end-to-end‬‬ ‫ﺳﺮ‪ -‬ﺑﻪ ‪ -‬ﺳﺮ‬
‫‪header‬‬ ‫ﺳَﺮﺁﻳﻨﺪ‬
‫‪authentication header‬‬ ‫ﺳﺮﺁﻳﻨﺪ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫‪overhead‬‬ ‫ﺳﺮﺑﺎﺭﻩ‬
‫‪confusion‬‬ ‫ﺳﺮﺩﺭﮔﹸﻤﻲ‬
‫‪secret‬‬ ‫ﺳﺮّﻱ‬
‫‪server‬‬ ‫ﺳِﺮﻭﺭ‬
‫‪security service‬‬ ‫ﺳﺮﻭﻳﺲ ﺍﻣﻨﻴﺘﻲ‬
‫‪segment‬‬ ‫ﺳِﮕﻤﻨﺖ‬
‫‪transaction‬‬ ‫ﺳﻨﺪ‬
‫‪keystone‬‬ ‫ﺳﻨﮓ ﺑﻨﺎ‬
‫‪traditional‬‬ ‫ﺳﻨﹼﺘﻲ‬
‫‪misfeasor‬‬ ‫ﺳﻮﺀﺍﺳﺘﻔﺎﺩﻩﻛﻨﻨﺪﻩ‬
‫‪packet switch‬‬ ‫ﺳﻮﺋﻴﭻ ﺑﺴﺘﻪﺍﻱ‬
‫‪socket‬‬ ‫ﺳﻮﻛﺖ‬
‫‪end system‬‬ ‫ﺳﻴﺴﺘﻢ ﺍﻧﺘﻬﺎﺋﻲ‬
‫‪product system‬‬ ‫ﺳﻴﺴﺘﻢ ﺗﺮﻛﻴﺒﻲ‬
‫‪expert system‬‬ ‫ﺳﻴﺴﺘﻢ ﺧﺒﺮﻩ‬
‫‪platform‬‬ ‫ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ‪ -‬ﻛﺎﻣﭙﻴﻮﺗﺮ‬
‫‪pseudorandom‬‬ ‫ﺷﺒﻪ ﺗﺼﺎﺩﻓﻲ‬
‫‪transparent‬‬ ‫ﺷﻔﺎﻑ‬
‫‪cryptoanalysis‬‬ ‫ﺷﻜﺴﺘﻦ ﺭﻣﺰ‬
‫‪cryptoanalyst‬‬ ‫ﺷﻜﻨﻨﺪﺓ ﺭﻣﺰ‬
‫ﻭﺍﮊﻩﻧﺎﻣﺔ ﻓﺎﺭﺳﻲ‪ -‬ﺍﻧﮕﻠﻴﺴﻲ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٥٨‬‬
‫‪cracker‬‬ ‫ﺷﻜﻨﻨﺪﻩ‬
‫‪sequence number‬‬ ‫ﺷﻤﺎﺭﺓ ﺭﺩﻳﻒ‬
‫‪counter‬‬ ‫ﺷﻤﺎﺭﻧﺪﻩ‬
‫‪identifier‬‬ ‫ﺷﻨﺎﺳﻪ‬
‫‪integrity‬‬ ‫ﺻﺤﺖ‪-‬ﺍﺻﺎﻟﺖ‬
‫‪mailbox‬‬ ‫ﺻﻨﺪﻭﻕ ﭘﺴﺘﻲ‬
‫‪indispensible‬‬ ‫ﺿﺮﻭﺭﻱ‬
‫‪bait‬‬ ‫ﻃﻌﻤﻪ‬
‫‪lifetime‬‬ ‫ﻃﻮﻝ ﻋﻤﺮ‬
‫‪key length‬‬ ‫ﻃﻮﻝ ﻛﻠﻴﺪ‬
‫‪wildcard‬‬ ‫ﻋﺎﻡ ‪ -‬ﻋﻤﻮﻣﻲ‬
‫‪agent‬‬ ‫ﻋﺎﻣﻞ‬
‫‪nonrepudiation‬‬ ‫ﻋﺪﻡ ﺍﻧﻜﺎﺭ‬
‫‪notation‬‬ ‫ﻋﻼﻣﺖ ﺍﺧﺘﺼﺎﺭﻱ‬
‫‪cryptology‬‬ ‫ﻋﻠﻢ ﺭﻣﺰﺷﻨﺎﺳﻲ‬
‫‪cryptography‬‬ ‫ﻋﻠﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪fax-back‬‬ ‫ﻓﺎﻛﺲ ﺑﺮﮔﺮﺩﺍﻥ‬
‫‪vendor‬‬ ‫ﻓﺮﻭﺷﻨﺪﻩ‬
‫‪compression‬‬ ‫ﻓﺸﺮﺩﻩﺳﺎﺯﻱ‬
‫‪key space‬‬ ‫ﻓﻀﺎﻱ ﻛﻠﻴﺪ‬
‫‪ciphertext-only‬‬ ‫ﻓﻘﻂ‪ -‬ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‬
‫‪directory‬‬ ‫ﻓﻬﺮﺳﺖ ﺭﺍﻫﻨﻤﺎ‬
‫‪reliable‬‬ ‫ﻗﺎﺑﻞ ﺍﻋﺘﻤﺎﺩ‬
‫‪concievable‬‬ ‫ﻗﺎﺑﻞ ﺗﺼﻮﺭ‬
‫‪reliability‬‬ ‫ﻗﺎﺑﻠﻴﺖ ﺍﻋﺘﻤﺎﺩ‬
‫‪availibility service‬‬ ‫ﻗﺎﺑﻠﻴﺖ ﺩﺳﺘﺮﺳﻲ‬
‫‪canonical‬‬ ‫ﻗﺎﻧﻮﻧﻲ‬
‫‪Conventional‬‬ ‫ﻗﺮﺍﺭﺩﺍﺩﻱ‬
‫‪intercept‬‬ ‫ﻗﻄﻊ ﻛﺮﺩﻥ‬
‫‪fragmentation‬‬ ‫ﻗﻄﻌﻪ ﻗﻄﻌﻪ ﻛﺮﺩﻥ‬
‫‪realm‬‬ ‫ﻗﻠﻤﺮﻭ‬
‫‪compiler‬‬ ‫ﻛﺎﻣﭙﺎﻳﻠﺮ‬
‫‪codebook‬‬ ‫ﻛﺘﺎﺏ ﻛﹸﺪ‬
‫‪decode‬‬ ‫ﻛﹸﺪﮔﺸﺎﺋﻲ‬
‫‪worm‬‬ ‫ﻛِﺮﻡ‬
‫‪client‬‬ ‫ﻛﻼﻳﻨﺖ‬
‫‪password‬‬ ‫ﻛﻠﻤﺔ ﻋﺒﻮﺭ‬
‫‪key‬‬ ‫ﻛﻠﻴﺪ‬
‫‪session key‬‬ ‫ﻛﻠﻴﺪ ﺍﺟﻼﺱ‬
‫‪master key‬‬ ‫ﻛﻠﻴﺪ ﺍﺻﻠﻲ‬
‫‪private key‬‬ ‫ﻛﻠﻴﺪ ﺧﺼﻮﺻﻲ‬
‫‪secret key‬‬ ‫ﻛﻠﻴﺪ ﺳﺮّﻱ‬
‫‪public key‬‬ ‫ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ‬
‫‪one-time key‬‬ ‫ﻛﻠﻴﺪ ﻳﻜﺒﺎﺭﻣﺼﺮﻑ‬
‫‪access control‬‬ ‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ‬
‫‪discretionary access cotrol‬‬ ‫ﻛﻨﺘﺮﻝ ﺩﺳﺖﻳﺎﺑﻲ ﻣﻨﺼﻔﺎﻧﻪ‬
‫‪٤٥٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬
‫‪cookie‬‬ ‫ﻛﻮﻛﻲ‬
‫‪node‬‬ ‫ﮔﺮﻩ‬
‫‪newsgroup‬‬ ‫ﮔﺮﻭﻩ ﺧﺒﺮﻱ‬
‫‪bottleneck‬‬ ‫ﮔﻠﻮﮔﺎﻩ‬
‫‪certificate‬‬ ‫ﮔﻮﺍﻫﻲ ﻧﺎﻣﻪ‬
‫‪pad‬‬ ‫ﻻﺋﻲ‬
‫‪padding‬‬ ‫ﻻﺋﻲﮔﺬﺍﺭﻱ‬
‫‪nesting‬‬ ‫ﻻﻧﻪ ﺳﺎﺯﻱ‬
‫‪compromise‬‬ ‫ﻟﻮ ﺭﻓﺘﻦ‬
‫‪component‬‬ ‫ﻣﺆﻟﻔﻪ‬
‫‪trigger‬‬ ‫ﻣﺎﺷﻪ ﻛﺸﻲ‬
‫‪macro‬‬ ‫ﻣﺎﻛﺮﻭ‬
‫‪key exchange‬‬ ‫ﻣﺒﺎﺩﻟﺔ ﻛﻠﻴﺪ‬
‫‪acquirer‬‬ ‫ﻣﺒﺎﺷﺮ‪ -‬ﻓﺮﺍﻫﻢ ﻛﻨﻨﺪﻩ‬
‫‪rule-based‬‬ ‫ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪﻩ‬
‫‪mutual‬‬ ‫ﻣﺘﻘﺎﺑﻞ‬
‫‪ciphertext‬‬ ‫ﻣﺘﻦ ﺭﻣﺰﺷﺪﻩ‬
‫‪plaintext‬‬ ‫ﻣﺘﻦ ﺳﺎﺩﻩ‬
‫‪virtual‬‬ ‫ﻣﺠﺎﺯﻱ‬
‫‪suite‬‬ ‫ﻣﺠﻤﻮﻋﻪ‬
‫‪confidentiality‬‬ ‫ﻣﺤﺮﻣﺎﻧﮕﻲ‬
‫‪payload‬‬ ‫ﻣﺤﻤﻮﻟﻪ‬
‫‪distributed enviroments‬‬ ‫ﻣﺤﻴﻂﻫﺎﻱ ﺗﻮﺯﻳﻊﺷﺪﻩ‬
‫‪disruptive‬‬ ‫ﻣﺨﻞ‬
‫‪virtual circuit‬‬ ‫ﻣﺪﺍﺭ ﻣﺠﺎﺯﻱ‬
‫‪key management‬‬ ‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻴﺪ‬
‫‪browser‬‬ ‫ﻣﺮﻭﺭﮔﺮ‬
‫‪router‬‬ ‫ﻣﺴﻴﺮﻳﺎﺏ‬
‫‪legitimate‬‬ ‫ﻣﺸﺮﻭﻉ‪ -‬ﻗﺎﻧﻮﻧﻲ‬
‫‪legitimacy‬‬ ‫ﻣﺸﺮﻭﻋﻴﺖ‬
‫‪immune‬‬ ‫ﻣﺼﻮﻥ‬
‫‪consensus‬‬ ‫ﻣﻄﺎﺑﻘﺖ‬
‫‪conformance‬‬ ‫ﻣﻄﺎﺑﻘﺖ‬
‫‪authentic‬‬ ‫ﻣﻌﺘﺒﺮ‬
‫‪multiplicative inverse‬‬ ‫ﻣﻌﻜﻮﺱ ﺿﺮﺑﻲ‬
‫‪security architecture‬‬ ‫ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ‬
‫‪metric‬‬ ‫ﻣﻌﻴﺎﺭ‬
‫‪rudimentary‬‬ ‫ﻣﻘﺪﻣﺎﺗﻲ‬
‫‪feasible‬‬ ‫ﻣﻘﺪﻭﺭ‬
‫‪context‬‬ ‫ﻣﻘﻮﻟﻪ‬
‫‪scalable‬‬ ‫ﻣﻘﻴﺎﺱﭘﺬﻳﺮ‬
‫‪view‬‬ ‫ﻣﻨﻈﺮ‬
‫‪intruder‬‬ ‫ﻣﻬﺎﺟﻢ‬
‫‪mutation engine‬‬ ‫ﻣﻮﺗﻮﺭ ﺗﻐﻴﻴﺮ‬
‫‪mode‬‬ ‫ﻣُﻮﺩ‬
‫‪object‬‬ ‫ﻣﻮﺿﻮﻉ‬
‫ﻭﺍﮊﻩﻧﺎﻣﺔ ﻓﺎﺭﺳﻲ‪ -‬ﺍﻧﮕﻠﻴﺴﻲ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٤٦٠‬‬
‫‪field‬‬ ‫ﻣﻴﺪﺍﻥ‬
‫‪abort‬‬ ‫ﻧﺎﺩﻳﺪﻩ ﮔﺮﻓﺘﻦ‬
‫‪Feistel‬‬ ‫ﻧﺎﻡ ﻳﻚ ﺳﺎﺧﺘﺎﺭ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ‬
‫‪Kerberos‬‬ ‫ﻧﺎﻡ ﻳﻚ ﺳﺮﻭﻳﺲ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ‬
‫‪IDEA‬‬ ‫ﻧﺎﻡ ﻳﻚ ﺳﻴﺴﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪CAST-128‬‬ ‫ﻧﺎﻡ ﻳﻚ ﺳﻴﺴﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ‬
‫‪Asymmetric‬‬ ‫ﻧﺎﻣﺘﻘﺎﺭﻥ‬
‫‪spam‬‬ ‫ﻧﺎﻣﺔ ﺍﻟﻜﺘﺮﻭﻧﻴﻜﻲ ﻧﺎﺧﻮﺍﺳﺘﻪ‬
‫‪anomaly‬‬ ‫ﻧﺎﻫﻨﺠﺎﺭﻱ‬
‫‪version‬‬ ‫ﻧﺴﺨﻪ‬
‫‪peer‬‬ ‫ﻧﻈﻴﺮ‬
‫‪peer-to-peer‬‬ ‫ﻧﻈﻴﺮ‪ -‬ﺑﻪ‪ -‬ﻧﻈﻴﺮ‬
‫‪penetration‬‬ ‫ﻧﻔﻮﺫ‬
‫‪masquerader‬‬ ‫ﻧﻘﺎﺏ ﺩﺍﺭ‬
‫‪security flaw‬‬ ‫ﻧﻘﺺ ﺍﻣﻨﻴﺘﻲ‬
‫‪mapping‬‬ ‫ﻧﮕﺎﺷﺖ‬
‫‪stateful inspection firewall‬‬ ‫ﻧﻮﻋﻲ ﺩﻳﻮﺍﺭ ﺁﺗﺶ‬
‫‪hub‬‬ ‫ﻫﺎﺏ‬
‫‪alarm‬‬ ‫ﻫﺸﺪﺍﺭ‬
‫‪hacker‬‬ ‫َﻫﻜِﺮ‪ -‬ﻧﻔﻮﺫﮔﺮ‬
‫‪overlap‬‬ ‫ﻫﻢ ﭘﻮﺷﺎﻧﻲ‬
‫‪web‬‬ ‫ﻭِﺏ‬
‫‪website‬‬ ‫ﻭِﺏ ﺳﺎﻳﺖ‬
‫‪mediation‬‬ ‫ﻭﺳﺎﻃﺖ‬
‫‪append‬‬ ‫ﻭﺻﻞ ﻛﺮﺩﻥ‬
‫‪editor‬‬ ‫ﻭﻳﺮﺍﻳﺶﮔﺮ‬
‫‪virus‬‬ ‫ﻭﻳﺮﻭﺱ‬
‫‪parasitic virus‬‬ ‫ﻭﻳﺮﻭﺱ ﺍﻧﮕﻠﻲ‬
‫‪boot-sector virus‬‬ ‫ﻭﻳﺮﻭﺱ ﺑﺨﺶ ﺭﺍﻩ ﺍﻧﺪﺍﺯﻱ‬
‫‪stealth virus‬‬ ‫ﻭﻳﺮﻭﺱ ﭘﻨﻬﺎﻥ ﺷﻮﻧﺪﻩ‬
‫‪polymorphic virus‬‬ ‫ﻭﻳﺮﻭﺱ ﭼﻨﺪﭼﻬﺮﻩ‬
‫‪metmorphic virus‬‬ ‫ﻭﻳﺮﻭﺱ ﺩﮔﺮﺩﻳﺲ‬
‫‪macro virus‬‬ ‫ﻭﻳﺮﻭﺱ ﻣﺎﻛﺮﻭ‬
‫‪memory-resident virus‬‬ ‫ﻭﻳﺮﻭﺱ ﻣﺴﺘﻘﺮ ﺩﺭ ﺣﺎﻓﻈﻪ‬
‫‪orphan‬‬ ‫ﻳﺘﻴﻢ‬
‫‪RSA‬‬ ‫ﻳﻚ ﺍﻟﮕﻮﺭﻳﺘﻢ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻧﺎﻣﺘﻘﺎﺭﻥ‬
‫‪ephermal‬‬ ‫ﻳﻜﺒﺎﺭﻣﺼﺮﻑ‬
‫‪unique‬‬ ‫ﻳﻜﺘﺎ‬
‫‪one-way‬‬ ‫ﻳﻜﻄﺮﻓﻪ‬
3DES Triple Data Encryption Standard MIB Management Information Base

AES Advanced Encryption Standard MIC Message Integrity Code
AH Authentication Header MIME Multipurpose Internet Mail Extension
ANSI American National Standards Institute MD5 Message Digest, Version 5
AS Authentication Server MTA Mail Transfer Agent
BBS Bulletin Board System MTU Maximum Transmission Unit
BCP Best Current Practice MUA Mail User Agent
CBC Cipher Block Chaining NIST National Institute of Standards and Technology
CC Common Criteria NSA National Security Agency
CERT Computer Emergency Response Team OFB Output Feedback
CESG Communications-Electronics Security group OSI Open System Interconnection
CFB Cipher Feedback OSPF Open Shortest Path First
CMAC Cipher-Based Message Authentication Code PCBC Propagating Cipher Block Chaining
CRT Chinese Remainder Theorem PDU Protocol Data Unit
DDoS Distributed Denial of Service PGP Pretty Good Privacy
DEA Data Encryption Algorithm PKI Public Key Infrastructure
DES Data Encryption Standard POP3 Post Office Protocol, Version 3
DH Diffie-Hellman PRNG Pseudorandom Number Generator
DOI Domain of Interpretation RFC Request for Comments
DoS Denial of Service RNG Random Number Generator
DSA Digital Signature Algorithm RSA Rivest-Shamir-Adelman
DSS Digital Signature Standard SET Secure Electronic Transaction
ECB Electronic Codebook SHA Secure Hash Algorithm
ESP Encapsulating Security Payload SHS Secure Hash Standard
FCS Frame Check Sequence S/MIME Secure MIME
FIPS Federal Information Processing Standard SMTP Simple Mail Transfer Protocol
FTP File Transfer Protocol SNMP Simple Network Management Protocol
HAR Host Audit Protocol SNMPv3 Simple Network Management Protocol,Version 3
HTTP Hyper Text Transfer Protocol SPI Security Parameters Index
IAB Internet Architecture Board SPD Security Policy Database
IESG Internet Engineering Steering Group SSL Secure Sockets Layer
IETF Internet Engineering Task Force ST Security Target
IMAP Internet Mail Access Protocol TCP Transmission Control Protocol
IP Internet Protocol TFTP Trivial File Transfer Protocol
IPSec IP Security TGS Ticket Granting Service
ISO International Organization for Standardization TLS Transport Layer Security
ISP Internet Service Provider TOE Target of Evaluation
ITU International Telecommunication Union TS Technical Specification
ITU-T ITU Telecommunication Standardization Sector UDP User Datagram Protocol
IV Initialization Vector USM User Security Model
KDC Key Distribution Center VACM View-Based Access Control Mode
LAN Local Area Network VPN Virtual Private Network
MAC Message Authentication Code WAN Wide Area Network

Network Security Essentials

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Network Security Essentials

Uploaded by

Copyright:

Available Formats

‫‪www.NetSimulate.

‫ﻭﻳﺮﺍﻳﺶ ﺳﻮّﻡ )‪ ۲۰۰۷‬ﻣﻴﻼﺩﻱ(‬

‫ﺍﺛﺮ‪William Stallings :‬‬

‫ﺗﺮﺟﻤﺔ‪ :‬ﻣﺴﻌﻮﺩ ﻣﻮﺣّﺪ‬

‫در ﺑﺎﺭﺓ ﻧﻮﻳﺴﻨﺪﻩ ‪:‬‬

‫ﺩﺭ ﺑﺎﺭﺓ ﻣﺘﺮﺟﻢ ‪:‬‬

‫ﺑﻨﺎﻡ ﺁﻓﺮﻳﻨﻨﺪﺓ ﺍﻧﺪﻳﺸﻪﻫﺎﻱ ﮊﺭﻑ‬

‫ﭘﻴﺶ ﮔﻔﺘﺎﺭ ‪۹‬‬

‫ﻗﺴﻤﺖ ﺍﻭﻝ ﺭﻣﺰﻧﮕﺎﺭﻱ ‪۳۹‬‬

‫ﻓﺼﻞ ‪ ۲‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻣﺘﻘﺎﺭﻥ ﻭ ﻣﺤﺮﻣﺎﻧﮕﻲ ﭘﻴﺎﻡ ‪۴۱‬‬

‫ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٦‬‬

‫ﻓﺼﻞ ‪ ۳‬ﺭﻣﺰﻧﮕﺎﺭﻱ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ﻭ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ ‪۷۳‬‬

‫‪۷۴‬‬ ‫ﻧﺤﻮﺓ ﺑﺮﺧﻮﺭﺩ ﺑﺎ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ﭘﻴﺎﻡ‬ ‫‪۳-۱‬‬

‫ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ ‪۱۰۹‬‬ ‫ﻗﺴﻤﺖ ﺩﻭﻡ‬

‫ﻓﺼﻞ ‪ ۴‬ﻛﺎﺭﺑﺮﺩﻫﺎﻱ ﺍﻋﺘﺒﺎﺭﺳﻨﺠﻲ ‪۱۱۱‬‬

‫‪۱۱۲‬‬ ‫‪Kerberos‬‬ ‫‪۴-۱‬‬

‫ﻓﺼﻞ ‪ ۵‬ﺍﻣﻨﻴﺖ ﭘﺴﺖ ﺍﻟﻜﺘﺮﻭﻧﻴﻚ ‪۱۵۳‬‬

‫‪۱۵۴‬‬ ‫)‪Pretty Good Privacy (PGP‬‬ ‫‪۵-۱‬‬

‫ﻓﺼﻞ ‪ ۶‬ﺍﻣﻨﻴﺖ ‪۲۰۳ IP‬‬

‫ﻓﺼﻞ ‪ ۷‬ﺍﻣﻨﻴﺖ ‪۲۵۱ WEB‬‬

‫ﻓﺼﻞ ‪ ۸‬ﺍﻣﻨﻴﺖ ﻣﺪﻳﺮﻳﺖ ﺷﺒﻜﻪ ‪۲۸۹‬‬

‫ﺍﻣﻨﻴﺖ ﺳﻴﺴﺘﻢ ‪۳۳۱‬‬ ‫ﻗﺴﻤﺖ ﺳﻮﻡ‬

‫ﻓﺼﻞ ‪ ۹‬ﻣﻬﺎﺟﻤﻴﻦ ‪۳۳۳‬‬

‫ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٨‬‬

‫‪۳۵۱‬‬ ‫ﻣﺪﻳﺮﻳﺖ ﻛﻠﻤﺔﻋﺒﻮﺭ‬ ‫‪۹-۳‬‬

‫ﻓﺼﻞ ‪ ۱۰‬ﻧﺮﻡﺍﻓﺰﺍﺭﻫﺎﻱ ﺑﺪﺍﻧﺪﻳﺶ ‪۳۶۹‬‬

‫ﻓﺼﻞ ‪ ۱۱‬ﺩﻳﻮﺍﺭﻫﺎﻱ ﺁﺗﺶ ‪۳۹۵‬‬

‫)ﺍﻟﻒ( ﺟﻨﺒﻪﻫﺎﺋﻲ ﺍﺯ ﺗﺌﻮﺭﻱ ﺍﻋﺪﺍﺩ ‪۴۲۲‬‬

‫ﭘﻴﺶ ﮔﻔﺘﺎﺭ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪١٠‬‬

‫ﻣﺨﺎﻃﺒﻴﻦ ﻣﻮﺭﺩ ﻧﻈﺮ‬

‫ﻛﺘﺎﺏ ﺩﺭ ﺳﻪ ﻗﺴﻤﺖ ﺳﺎﺯﻣﺎﻥ ﻳﺎﻓﺘﻪ ﺍﺳﺖ‪:‬‬

‫ﻣﻄﺎﻟﺐ ﭘﺸﺘﻴﺒﺎﻥ ﺗﺪﺭﻳﺲ‬

‫ﺑﺮﺍﻱ ﭘﺸﺘﻴﺒﺎﻧﻲ ﻣﺪﺭﺳﻴﻦ‪ ،‬ﻣﻄﺎﻟﺐ ﺯﻳﺮ ﻓﺮﺍﻫﻢ ﺁﻣﺪﻩ ﺍﺳﺖ‪:‬‬

‫ﻓﺎﻳﻞﻫﺎﻱ ‪ :PDF‬ﺗﻤﺎﻡ ﺷﻜﻞﻫﺎ ﻭ ﺟﺪﺍﻭﻝ ﻛﺘﺎﺏ‪.‬‬ ‫•‬

‫ﺍﻃﻼﻋﺎﺕ ﻋﻀﻮﻳﺖ ﺑﺮﺍﻱ ﻳﻚ ﻟﻴﺴﺖ ﭘﺴﺘﻲ ﺍﻳﻨﺘﺮﻧﺘﻲ ﺑﺮﺍﻱ ﻣﺪﺭﺳﻴﻦ‪.‬‬ ‫•‬

‫ﺳﺮﻭﻳﺲ ﺍﻳﻨﺘﺮﻧﺘﻲ ﺑﺮﺍﻱ ﺍﺳﺎﺗﻴﺪ ﻭ ﺩﺍﻧﺸﺠﻮﻳﺎﻥ‬

‫ﭘﺮﻭﮊﻩﻫﺎﻱ ﻣﺮﺑﻮﻁ ﺑﻪ ﺗﺪﺭﻳﺲ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‬

‫ﭘﻴﺶ ﮔﻔﺘﺎﺭ‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪١٢‬‬

‫ﻣﻄﺎﻟﺐ ﺟﺪﻳﺪ ﺩﺭ ﻭﻳﺮﺍﻳﺶ ﺳﻮﻡ‬

‫ﻋﻼﻭﻩ ﺑﺮﺍﻳﻦ‪ ،‬ﺑﺴﻴﺎﺭﻱ ﺍﺯ ﺳﺎﻳﺮ ﻣﻄﺎﻟﺐ ﻛﺘﺎﺏ ﺑﺎﺯﻧﮕﺮﻱ ﻭ ﺑﺮﻭﺯﺭﺳﺎﻧﻲ ﺷﺪﻩﺍﻧﺪ‪.‬‬

‫ﺍﺭﺗﺒﺎﻁ ﺍﻳﻦ ﻛﺘﺎﺏ ﺑﺎ ﻛﺘﺎﺏ ﺭﻣﺰﻧﮕﺎﺭﻱ ﻭ ﺍﻣﻨﻴﺖ ﺷﺒﻜﻪ‪ ،‬ﻭﻳﺮﺍﻳﺶ ﭼﻬﺎﺭﻡ‬

‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪١٤‬‬

‫‪١٥‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬

‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪١٦‬‬

‫ﺭَﻭَﻧﺪ ﺍﻣﻨﻴﺖ‬ ‫‪۱-۱‬‬

‫ﺁﺳﻴﺐﭘﺬﻳﺮﻱﻫﺎﻱ ﮔﺰﺍﺭﺵ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪CERT‬‬ ‫ﺷﻜﻞ ‪۱-۱‬ﺍﻟﻒ‬

‫‪١٧‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬

‫‪1995‬‬ ‫‪1996‬‬ ‫‪1997‬‬ ‫‪1998‬‬ ‫‪1999‬‬ ‫‪2000‬‬ ‫‪2001‬‬ ‫‪2002‬‬ ‫‪2003‬‬

‫ﺷﻜﻞ ‪ ۱-۱‬ﺏ ﺣﻮﺍﺩﺙ ﺍﻣﻨﻴﺘﻲ ﮔﺰﺍﺭﺵ ﺷﺪﻩ ﺑﺘﻮﺳﻂ ‪CERT‬‬

‫ﻣﻌﻤﺎﺭﻱ ﺍﻣﻨﻴﺖ ‪OSI‬‬ ‫‪۱-۲‬‬

‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪١٨‬‬

‫‪Sophisticated command and control‬‬

‫‪High‬‬ ‫‪Intruder Knowledge‬‬ ‫‪Low‬‬

‫‪١٩‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬

‫‪Darth‬‬ ‫ﻣﺤﺘﻮﻳﺎﺕ ﭘﻴﺎﻡ ‪ Bob‬ﺑﻪ ‪Alice‬‬

‫)ﺍﻟﻒ( ﺍﻓﺸﺎﻱ ﻣﺤﺘﻮﻳﺎﺕ ﭘﻴﺎﻡ‬

‫‪Darth‬‬ ‫ﺍﻟﮕﻮﻱ ﭘﻴﺎﻡﻫﺎﻱ ‪ Bob‬ﺑﻪ ‪Alice‬‬

‫)ﺏ( ﺗﺤﻠﻴﻞ ﺗﺮﺍﻓﻴﻚ‬

‫ﺷﻜﻞ ‪ ۱-۳‬ﺣﻤﻼﺕ ﻏﻴﺮﻓﻌﺎﻝ‬

‫ﺣﻤﻼﺕ ﺍﻣﻨﻴﺘﻲ‬ ‫‪۱-۳‬‬

‫ﻓﺼﻞ ﺍﻭﻝ‬ ‫ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫‪٢٠‬‬

‫‪٢١‬‬ ‫ــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ‬ ‫ﻣﻘﺪﻣﻪ‬