技術交流

拒絕再玩角色扮演 網路使用者身份辨識 - 單一簽入認證

吳建東

• 本期導覽
• 技術交流

傳統單一簽入的問題

以往的單一簽入使用者認證，常常產生相當多的問題，包括國內外產品均有相同問題，主要的問題在於達到應用系統單一簽入時所採用的方法是不安全的。

• 代送帳號/密碼
  一般登入網頁，幾乎都使用帶送帳號密碼至目錄服務比對，例如 透過Web Proxy方式，自動Summit Form 代送帳號/密碼或UID，則駭客只需入侵後台電腦、架起Sniffer，即可竊取使用者的帳號密碼，登入電子化政府單一簽入系統。
• Client端軟體代送密碼:透過Client端軟體事先設定好的帳號及密碼，在應用系統登入畫面出現時，便代送帳號及密碼至應用系統，以達到單一簽入使用者辨識之目的。
• 透過一組共通之編碼或未編碼帳號資訊，在各個不同應用系統間傳遞，應用系統將訊息解譯後，即可確認使用者，完成單一簽入之目的。
• 透過Portal 單一入口進行 URL 之控管。
• 各應用系統使用相同且唯一的一組帳號及密碼。
• 若首頁為HTTPS認證，現行有一非常普遍的技術「Man-In-the-Middle」，駭客只需於網路上裝設Man-In-the-Middle駭客軟體，即使傳輸使用Https，亦可監聽到傳輸的資訊。

風險

• 網頁攔截：代送帳號/密碼或UID之方式，透過Sniffer軟體攔截後，通常直接重送即可以該使用者身份進入系統。

  

• 帳號及密碼截取：資料之存放通常未加密或輔以另一個密碼來加密儲存，直接取得或破解難度低。
• 身份曝露：一組共通之編碼或未編碼帳號資訊，在各個不同應用系統間傳遞，除了易遭破解或截取資訊重送之外，任何一個應用系統的管理者，均可以輕易取得機構內高階主管之帳號訊息，利用即資訊遊走於其他應用系統間。
• 通常透過簡單的網路封包截取軟體，即可取得許多帳號及密碼。

所以，傳統的帳號/密碼認證方式的風險在於：

• 無法避免駭客於網路上Sniff或採中間人方式竊取密碼
• 無法防止入口網本身被駭客入侵取走所有帳號及密碼
• 無法防止加入單一系統被駭客入侵導致所有資安系統瓦解
• 無法防止系統管理者不當利用使用者資訊
• 無法防止系統建置廠商離職員工不當應用使用者資訊

資通ARES uPKI 高資安帳號/密碼認證方式

• 符合美國國防部TCSEC (Orange Book)定義之C2-level security及Common Criteria 的認證 (EAL4+)，為現今美國國防部DOD官方所採行之標準帳號/密碼認證方式
• 網路上只傳遞帳號，不傳密碼，密碼永遠不離開個人電腦
• 使用者、各單獨之應用系統與uIAM 密碼主機間，形成個別獨立之認證機制，確保個別應用系統使用上的機密性，不因單一系統受駭客入侵，而瓦解了整體安全機制
• 訊息均加密且內含時戳等訊息，可防止重送攻擊
• 支援委任、分層認證，加快認證速度
• 適用各種作業平台下使用各種應用程式開發語言之應用系統

適用Web base 或 Client Server 架構之應用系統

• 應用系統必須經過密碼主機的預先設定及經過挑戰與回應的認證，才能與密碼主機連線，並建立起一個隨機密鑰的加密通道。
• 使用者端登入應用系統，輸入帳號及密碼，但密碼永遠保留於使用者本機電腦上，完全不會透過網路傳送出去，使用者僅傳送帳號至應用系統進行登入。
• 此時應用系統會將帳號傳送至密碼主機，根據現在的時間點，產生含時戳之加密隨機亂數通訊密鑰，再將這個挑戰值回傳給使用者。
• 使用者取得這個挑戰值後，如果他有正確的密碼，就能經過複雜的運算解開該隨機亂數通訊密鑰，之後便可回應給系統說我是合法的使用者。

這是一個挑戰與回應的高資安機制，將一整個含有隨機亂數的加密封包傳到使用者端，使用者利用只有自己知道的密碼，將該封包解密，若密碼正確則可解密成功，取出使用者與伺服器間傳輸的隨機密鑰，這代表身份驗證成功，若解密失敗，則表示他根本拿不到那把隨機產生的通訊密鑰進不了系統，由於所有密碼的傳遞皆不在網路上，可大輻降低密碼外洩的風險。 本機制同時內含時戳，也就是說竊取封包重送是困難的。

此種使用挑戰與回應的方式，實現了使用者密碼不離開個人本機的最高安全機制。

雖然本系統採用了最嚴謹的認證模式，但由於採用了本公司台、日、美三國的專利技術，使得認證的效能相當的優異，當以一台Intel Xeon(DP)3.4GHz二顆 800MHZ FSB(Front Side Bus)外頻時脈 2MB L2快取(cache)記憶體，RAM 4GB使用Windows 2003 Server作業系統做為認證主機的狀況下，對25萬個帳號系統，隨機選取的500個帳號同時進行認證才只要0.04秒~0.06秒之間，顯然具有極高的效能。