傳統單一簽入的問題
以往的單一簽入使用者認證,常常產生相當多的問題,包括國內外產品均有相同問題,主要的問題在於達到應用系統單一簽入時所採用的方法是不安全的。

(1)代送帳號/密碼
一般登入網頁,幾乎都使用帶送帳號密碼至目錄服務比對,例如 透過Web Proxy方式,自動 Summit Form 代送帳號/密碼或UID,則駭客只需入侵後台電腦、架起Sniffer,即可竊取使用者 的帳號密碼,登入電子化政府單一簽入系統。

(2)Client端軟體代送密碼:透過Client端軟體事先設定好的帳號及密碼,在應用系統登入畫面出現 時,便代送帳號及密碼至應用系統,以達到單一簽入使用者辨識之目的。

(3)透過一組共通之編碼或未編碼帳號資訊,在各個不同應用系統間傳遞,應用系統將訊息解譯 後,即可確認使用者,完成單一簽入之目的。

(4)透過Portal 單一入口進行 URL 之控管。

(5)各應用系統使用相同且唯一的一組帳號及密碼。

(6)若首頁為HTTPS認證,現行有一非常普遍的技術「Man-In-the-Middle」,駭客只需於網路上裝設Man-In-the-Middle駭客軟體,即使傳輸使用Https,亦可監聽到傳輸的資訊。

在上述狀況下,會有下列問題發生:
(1)網頁攔截: 代送帳號/密碼或UID之方式,透過Sniffer軟體攔截後,通常直接重送即可以該使用者身份進入系統。

以下圖為例,使用者於網頁上登入,輸入其帳號/密碼,裝起Sniff,即可竊聽使用者之帳號/密碼,進而可幫使用者做登入,又例如入口網,若使用其單一簽入介接模組,介接的應用系統越多,其風險越大。



(2)帳號及密碼截取: 資料之存放通常未加密或輔以另一個密碼來加密儲存,直接取得或破解難度低。

(3)身份曝露:一組共通之編碼或未編碼帳號資訊,在各個不同應用系統間傳遞,除了易遭破解或截取資訊重送之外,任何一個應用系統的管理者,均可以輕易取得機構內高階主管之帳號訊息,利用即資訊遊走於其他應用系統間。

(4)通常透過簡單的網路封包截取軟體,即可取得許多帳號及密碼。

所以,傳統的帳號/密碼認證方式的風險在於
˙無法避免駭客於網路上Sniff或採中間人方式竊取密碼
˙無法防止入口網本身被駭客入侵取走所有帳號及密碼
˙無法防止加入單一系統被駭客入侵導致所有資安系統瓦解
˙無法防止系統管理者不當利用使用者資訊
˙無法防止系統建置廠商離職員工不當應用使用者資訊

資通ARES uPKI 高資安帳號/密碼認證方式
˙符合美國國防部TCSEC (Orange Book)定義之C2-level security及Common Criteria 的認證 (EAL4+),為現今美國國防部DOD官方所採行之標準帳號/密碼認證方式
˙網路上只傳遞帳號,不傳密碼,密碼永遠不離開個人電腦
˙使用者、各單獨之應用系統與uIAM 密碼主機間,形成個別獨立之認證機制,確保個別應用系統使用上的機密性,不因單一系統受駭客入侵,而瓦解了整體安全機制
˙訊息均加密且內含時戳等訊息,可防止重送攻擊
˙支援委任、分層認證,加快認證速度
˙適用各種作業平台下使用各種應用程式開發語言之應用系統

適用Web base 或 Client Server 架構之應用系統-驗證流程如下所述:


(5)應用系統必須經過密碼主機的預先設定及經過挑戰與回應的認證,才能與密碼主機連線,並建立起一個隨機密鑰的加密通道。

(6)使用者端登入應用系統,輸入帳號及密碼,但密碼永遠保留於使用者本機電腦上,完全不會透過網路傳送出去,使用者僅傳送帳號至應用系統進行登入。

(7)此時應用系統會將帳號傳送至密碼主機,根據現在的時間點,產生含時戳之加密隨機亂數通訊密鑰,再將這個挑戰值回傳給使用者。

(8)使用者取得這個挑戰值後,如果他有正確的密碼,就能經過複雜的運算解開該隨機亂數通訊密鑰,之後便可回應給系統說我是合法的使用者。

這是一個挑戰與回應的高資安機制,將一整個含有隨機亂數的加密封包傳到使用者端,使用者利用只有自己知道的密碼,將該封包解密,若密碼正確則可解密成功,取出使用者與伺服器間傳輸的隨機密鑰,這代表身份驗證成功,若解密失敗,則表示他根本拿不到那把隨機產生的通訊密鑰進不了系統,由於所有密碼的傳遞皆不在網路上,可大輻降低密碼外洩的風險。 本機制同時內含時戳,也就是說竊取封包重送是困難的。

此種使用挑戰與回應的方式,實現了使用者密碼不離開個人本機的最高安全機制。

雖然本系統採用了最嚴謹的認證模式,但由於採用了本公司台、日、美三國的專利技術,使得認證的效能相當的優異,當以一台Intel Xeon(DP)3.4GHz二顆 800MHZ FSB(Front Side Bus)外頻時脈 2MB L2快取(cache)記憶體,RAM 4GB使用Windows 2003 Server作業系統做為認證主機的狀況下,對25萬個帳號系統,隨機選取的500個帳號同時進行認證才只要0.04秒~0.06秒之間,顯然具有極高的效能

>>返回電子報首頁

資通電子報之所有文字及圖片為資通電腦公司所有。 未經確認授權,嚴禁轉貼節錄。
還有更多資訊在本公司的網站上,歡迎參觀 網址:http://www.ares.com.tw/
對我們有任何問題、建議 請來信通知我們e-mail::franklee@ares.com.tw