帳號:
密碼:
最新動態
產業快訊
CTIMES / 文章 /
網路使用者身份辨識-「單一簽入認證」
拒絕再玩角色扮演

【作者: 資通電腦】   2008年10月21日 星期二

瀏覽人次:【8872】

傳統單一簽入的問題

以往的單一簽入使用者認證,常常產生相當多的問題,包括國內外產品均有相同問題,主要的問題在於達到應用系統單一簽入時所採用的方法是不安全的。


《圖一  單一簽入現況》 - BigPic:599x360
《圖一 單一簽入現況》 - BigPic:599x360

代送帳號/密碼

一般登入網頁,幾乎都使用帶送帳號密碼至目錄服務比對,例如透過Web Proxy方式,自動Summit Form代送帳號/密碼或UID,則駭客只需入侵後台電腦、架起Sniffer,即可竊取使用者的帳號密碼,登入電子化政府單一簽入系統。


Client端軟體代送密碼:

透過Client端軟體事先設定好的帳號及密碼,在應用系統登入畫面出現時,便代送帳號及密碼至應用系統,以達到單一簽入使用者辨識之目的。


透過一組共通之編碼或未編碼帳號資訊傳遞:

在各個不同應用系統間傳遞,應用系統將訊息解譯後,即可確認使用者,完成單一簽入之目的。


透過Portal單一入口進行 URL 之控管

各應用系統使用相同且唯一的一組帳號及密碼

Man-In-the-Middle技術成風險:

若首頁HTTP認證,現行有一非常普遍的技術「Man-In-the-Middle」,駭客只需於網路上裝Man-In-the-Middle駭客軟體,即使傳輸使用Https,亦可監聽到傳輸的資訊


在上述狀況下,會有下列問題發生:


  • (1)網頁攔截:代送帳號/密碼或UID之方式,透過Sniffer軟體攔截後,通常直接重送即可以該使用者身份進入系統



以下圖為例,使用者於網頁上登入,輸入其帳號/密碼,裝起Sniff,即可竊聽使用者之帳號/密碼,進而可幫使用者做登入,又例如入口網,若使用其單一簽入介接模組,介接的應用系統越多,其風險越大。



《圖二  網頁單一簽入具風險》 - BigPic:637x339
《圖二 網頁單一簽入具風險》 - BigPic:637x339
  • (2)帳號及密碼截取:資料之存放通常未加密或輔以另一個密碼來加密儲存,直接取得或破解難度低。


  • (3)身份曝露:一組共通之編碼或未編碼帳號資訊,在各個不同應用系統間傳遞,除了易遭破解或截取資訊重送之外,任何一個應用系統的管理者,均可以輕易取得機構內高階主管之帳號訊息,利用即資訊遊走於其他應用系統間。


  • (4)通常透過簡單的網路封包截取軟體,即可取得許多帳號及密碼



傳統的帳號/密碼認證方式的風險

  • ●無法避免駭客於網路上Sniff或採中間人方式竊取密碼


  • ●無法防止入口網本身被駭客入侵取走所有帳號及密碼


  • ●無法防止加入單一系統被駭客入侵導致所有資安系統瓦解


  • ●無法防止系統管理者不當利用使用者資訊


  • ●無法防止系統建置廠商離職員工不當應用使用者資訊



資通ARES uPKI 高資安帳號 / 密碼認證方式

  • ●符合美國國防部TCSEC (Orange Book)定義之C2-level security及Common Criteria 的認證 (EAL4+),為現今美國國防部DOD官方所採行之標準帳號/密碼認證方式


  • ●網路上只傳遞帳號,不傳密碼,密碼永遠不離開個人電腦


  • ●使用者、各單獨之應用系統與uIAM 密碼主機間,形成個別獨立之認證機制,確保個別應用系統使用上的機密性,不因單一系統受駭客入侵,而瓦解了整體安全機制。


  • ●訊息均加密且內含時戳等訊息,可防止重送攻擊


  • ●支援委任、分層認證,加快認證速度


  • ●適用各種作業平台下使用各種應用程式開發語言之應用系統



適用Web base 或 Client Server 架構之應用系統驗證流程如下所述:


《圖三  Web base 或 Client Server 架構之應用系統驗證流程》 - BigPic:599x355
《圖三 Web base 或 Client Server 架構之應用系統驗證流程》 - BigPic:599x355
  • (1)應用系統必須經過密碼主機的預先設定及經過挑戰與回應的認證,才能與密碼主機連線,並建立起一個隨機密鑰的加密通道。


  • (2)使用者端登入應用系統,輸入帳號及密碼,但密碼永遠保留於使用者本機電腦上,完全不會透過網路傳送出去,使用者僅傳送帳號至應用系統進行登入。


  • (3)此時應用系統會將帳號傳送至密碼主機,根據現在的時間點,產生含時戳之加密隨機亂數通訊密鑰,再將這個挑戰值回傳給使用者。


  • (4)使用者取得這個挑戰值後,如果他有正確的密碼,就能經過複雜的運算解開該隨機亂數通訊密鑰,之後便可回應給系統說我是合法的使用者。



這是一個挑戰與回應的高資安機制,將一整個含有隨機亂數的加密封包傳到使用者端,使用者利用只有自己知道的密碼,將該封包解密,若密碼正確則可解密成功,取出使用者與伺服器間傳輸的隨機密鑰,這代表身份驗證成功,若解密失敗,則表示他根本拿不到那把隨機產生的通訊密鑰進不了系統,由於所有密碼的傳遞皆不在網路上,可大輻降低密碼外洩的風險。本機制同時內含時戳,也就是說竊取封包重送是困難的。


此種使用挑戰與回應的方式,實現了使用者密碼不離開個人本機的最高安全機制。


雖然本系統採用了最嚴謹的認證模式,但由於採用了本公司台、日、美三國的專利技術,使得認證的效能相當的優異,當以一台Intel Xeon(DP)3.4GHz二顆 800MHZ FSB(Front Side Bus)外頻時脈 2MB L2快取(cache)記憶體,RAM 4GB使用Windows 2003 Server作業系統做為認證主機的狀況下,對25萬個帳號系統,隨機選取的500個帳號同時進行認證才只要0.04秒~0.06秒之間,顯然具有極高的效能。


相關文章
防止資料外洩 製造業檔案加密怎麼做?
如何完善企業資安防護?資料加密扮演甚麼角色?
14道安全鎖 強化雲端運算資訊安全
提高產業韌性 智慧製造扮演關鍵角色
駭客攻擊層出不窮 IoT安全備受關注
comments powered by Disqus
相關討論
  相關新聞
» 資策會攜手日本5GMF 推動5G發展與創新應用
» Satellite 2024:仁寶攜手耀登與富宇翔 展全新衛星通信方案
» 圓展與新光保全合作打造遠距照護服務
» 遠傳以智慧空品解決方案打造健康永續城市
» 工研院MWC 2024展會直擊:5G-A通訊、全能助理成下一波AI風潮


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.3.237.87.69
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw