传统单一签入的问题

以往的单一签入用户认证，常常产生相当多的问题，包括国内外产品均有相同问题，主要的问题在于达到应用系统单一签入时所采用的方法是不安全的。

《图一 单一签入现况》 - BigPic:599x360

单一签入现况

代送账号/密码

一般登入网页，几乎都使用带送账号密码至目录服务比对，例如透过Web Proxy方式，自动Summit Form代送账号/密码或UID，则黑客只需入侵后台计算机、架起Sniffer，即可窃取用户的账号密码，登入电子化政府单一签入系统。

Client端软件代送密码:

透过Client端软件事先设定好的账号及密码，在应用系统登入画面出现时，便代送账号及密码至应用系统，以达到单一签入用户辨识之目的。

透过一组共通之编码或未编码帐户信息传递：

在各个不同应用系统间传递，应用系统将讯息解译后，即可确认用户，完成单一签入之目的。

透过Portal单一入口进行 URL 之控管

各应用系统使用相同且唯一的一组账号及密码

Man-In-the-Middle技术成风险：

若首页HTTP认证，现行有一非常普遍的技术「Man-In-the-Middle」，黑客只需于网络上装Man-In-the-Middle黑客软件，即使传输使用Https，亦可监听到传输的信息

（1）网页拦截：代送账号/密码或UID之方式，透过Sniffer软件拦截后，通常直接重送即可以该用户身份进入系统

《图二 网页单一签入具风险》 - BigPic:637x339

（4）通常透过简单的网络封包截取软件，即可取得许多账号及密码

资通ARES uPKI 高资安账号 / 密码认证方式

适用Web base 或 Client Server 架构之应用系统验证流程如下所述：

《图三 Web base 或 Client Server 架构之应用系统验证流程》 - BigPic:599x355

这是一个挑战与响应的高资安机制，将一整个含有随机随机数的加密封包传到用户端，用户利用只有自己知道的密码，将该封包解密，若密码正确则可解密成功，取出用户与服务器间传输的随机密钥，这代表身份验证成功，若解密失败，则表示他根本拿不到那把随机产生的通讯密钥进不了系统，由于所有密码的传递皆不在网络上，可大辐降低密码外泄的风险。本机制同时内含时戳，也就是说窃取封包重送是困难的。

此种使用挑战与响应的方式，实现了用户密码不离开个人本机的最高安全机制。

虽然本系统采用了最严谨的认证模式，但由于采用了本公司台、日、美三国的专利技术，使得认证的效能相当的优异，当以一台Intel Xeon(DP)3.4GHz二颗 800MHZ FSB(Front Side Bus)外频频率 2MB L2快取(cache)内存，RAM 4GB使用Windows 2003 Server操作系统做为认证主机的状况下，对25万个账号系统，随机选取的500个账号同时进行认证才只要0.04秒~0.06秒之间，显然具有极高的效能。