傳統單一簽入的問題
以往的單一簽入使用者認證,常常產生相當多的問題,包括國內外產品均有相同問題,主要的問題在於達到應用系統單一簽入時所採用的方法是不安全的。
《圖一 單一簽入現況》 - BigPic:599x360 |
|
代送帳號/密碼
一般登入網頁,幾乎都使用帶送帳號密碼至目錄服務比對,例如透過Web Proxy方式,自動Summit Form代送帳號/密碼或UID,則駭客只需入侵後台電腦、架起Sniffer,即可竊取使用者的帳號密碼,登入電子化政府單一簽入系統。
Client端軟體代送密碼:
透過Client端軟體事先設定好的帳號及密碼,在應用系統登入畫面出現時,便代送帳號及密碼至應用系統,以達到單一簽入使用者辨識之目的。
透過一組共通之編碼或未編碼帳號資訊傳遞:
在各個不同應用系統間傳遞,應用系統將訊息解譯後,即可確認使用者,完成單一簽入之目的。
透過Portal單一入口進行 URL 之控管
各應用系統使用相同且唯一的一組帳號及密碼
Man-In-the-Middle技術成風險:
若首頁HTTP認證,現行有一非常普遍的技術「Man-In-the-Middle」,駭客只需於網路上裝Man-In-the-Middle駭客軟體,即使傳輸使用Https,亦可監聽到傳輸的資訊
在上述狀況下,會有下列問題發生:
- (1)網頁攔截:代送帳號/密碼或UID之方式,透過Sniffer軟體攔截後,通常直接重送即可以該使用者身份進入系統
以下圖為例,使用者於網頁上登入,輸入其帳號/密碼,裝起Sniff,即可竊聽使用者之帳號/密碼,進而可幫使用者做登入,又例如入口網,若使用其單一簽入介接模組,介接的應用系統越多,其風險越大。
《圖二 網頁單一簽入具風險》 - BigPic:637x339 |
|
- (2)帳號及密碼截取:資料之存放通常未加密或輔以另一個密碼來加密儲存,直接取得或破解難度低。
- (3)身份曝露:一組共通之編碼或未編碼帳號資訊,在各個不同應用系統間傳遞,除了易遭破解或截取資訊重送之外,任何一個應用系統的管理者,均可以輕易取得機構內高階主管之帳號訊息,利用即資訊遊走於其他應用系統間。
- (4)通常透過簡單的網路封包截取軟體,即可取得許多帳號及密碼
傳統的帳號/密碼認證方式的風險
- ●無法避免駭客於網路上Sniff或採中間人方式竊取密碼
- ●無法防止入口網本身被駭客入侵取走所有帳號及密碼
- ●無法防止加入單一系統被駭客入侵導致所有資安系統瓦解
- ●無法防止系統管理者不當利用使用者資訊
- ●無法防止系統建置廠商離職員工不當應用使用者資訊
資通ARES uPKI 高資安帳號 / 密碼認證方式
- ●符合美國國防部TCSEC (Orange Book)定義之C2-level security及Common Criteria 的認證 (EAL4+),為現今美國國防部DOD官方所採行之標準帳號/密碼認證方式
- ●網路上只傳遞帳號,不傳密碼,密碼永遠不離開個人電腦
- ●使用者、各單獨之應用系統與uIAM 密碼主機間,形成個別獨立之認證機制,確保個別應用系統使用上的機密性,不因單一系統受駭客入侵,而瓦解了整體安全機制。
- ●訊息均加密且內含時戳等訊息,可防止重送攻擊
- ●支援委任、分層認證,加快認證速度
- ●適用各種作業平台下使用各種應用程式開發語言之應用系統
適用Web base 或 Client Server 架構之應用系統驗證流程如下所述:
《圖三 Web base 或 Client Server 架構之應用系統驗證流程》 - BigPic:599x355 |
|
- (1)應用系統必須經過密碼主機的預先設定及經過挑戰與回應的認證,才能與密碼主機連線,並建立起一個隨機密鑰的加密通道。
- (2)使用者端登入應用系統,輸入帳號及密碼,但密碼永遠保留於使用者本機電腦上,完全不會透過網路傳送出去,使用者僅傳送帳號至應用系統進行登入。
- (3)此時應用系統會將帳號傳送至密碼主機,根據現在的時間點,產生含時戳之加密隨機亂數通訊密鑰,再將這個挑戰值回傳給使用者。
- (4)使用者取得這個挑戰值後,如果他有正確的密碼,就能經過複雜的運算解開該隨機亂數通訊密鑰,之後便可回應給系統說我是合法的使用者。
這是一個挑戰與回應的高資安機制,將一整個含有隨機亂數的加密封包傳到使用者端,使用者利用只有自己知道的密碼,將該封包解密,若密碼正確則可解密成功,取出使用者與伺服器間傳輸的隨機密鑰,這代表身份驗證成功,若解密失敗,則表示他根本拿不到那把隨機產生的通訊密鑰進不了系統,由於所有密碼的傳遞皆不在網路上,可大輻降低密碼外洩的風險。本機制同時內含時戳,也就是說竊取封包重送是困難的。
此種使用挑戰與回應的方式,實現了使用者密碼不離開個人本機的最高安全機制。
雖然本系統採用了最嚴謹的認證模式,但由於採用了本公司台、日、美三國的專利技術,使得認證的效能相當的優異,當以一台Intel Xeon(DP)3.4GHz二顆 800MHZ FSB(Front Side Bus)外頻時脈 2MB L2快取(cache)記憶體,RAM 4GB使用Windows 2003 Server作業系統做為認證主機的狀況下,對25萬個帳號系統,隨機選取的500個帳號同時進行認證才只要0.04秒~0.06秒之間,顯然具有極高的效能。