產品特寫

平衡安全與便利性的單一簽入解決方案

馮明秋 馮明秋
更新於

當今企業為了存活於以秒計算的商業競爭中,必需透過導入 e 化過程,包含 ERP、CRM、SCM、MES 來應對更多的商業活動及服務。目前甚至演進到所謂的 M 化,運用手機來做最即時的資料傳達處理。正因如此,應用系統日益增多,使用者也需各自擁有獨立的帳號及密碼,導致企業及員工需要記憶多組帳號與密碼,這時應用系統以「單一簽入」來控管的需求就因應產生。

然而在解決單一簽入(Single Sign on;SSO)的議題上,從單一帳號到單一登入,甚至針對 Domain 登入與外網透過 VPN 、SSL VPN 登入,如果都是同一組帳號及密碼,就很容易被有心人士竊取帳號及密碼。通常有心人士要竊取密碼需要多方蒐集或一一嘗試,甚至需要破解好幾組帳號及密碼才能達成其目的。因此單一帳號登入系統所發生的資安問題將是企業所擔心的,企業為了提高門檻,又衍生密碼需要三個月換一次,且需要設定複雜及非數字的密碼,以防止單一帳號輕易的被有心人士攔截後導致遭受入侵攻擊,造成企業內部所有系統重要資料被盜取後的嚴重後果。在資訊安全所做的一般解決方式,不外乎以下幾個方案:

  • 將帳號 / 密碼上傳至 SSO 進行身份驗證。
  • 透過 Web Proxy 代送其他系統之帳號及密碼。
  • 認證後透過共通之編碼或未編碼帳號達到單一簽入。

但這些傳統解決方案會發生以下問題,

  • 無法避免駭客於網路上 Sniff 竊取密碼或 UID。
  • 無法防止 SSO 被駭客入侵取走所有帳號及密碼。
  • 無法防止加入單一帳號的系統被駭客入侵,導致所有資安系統瓦解。
  • 無法防止系統管理者不當利用使用者資訊。
  • 與應用系統不易結合的單一簽入系統,無法跨 Domain、跨作業平台、跨多種程式語言。

除了以上的技術問題外,企業員工為協助自己記憶難記的密碼,只有將密碼抄在紙張上,放置在其他造成更多資安漏洞的方法。企業在此項資安議題上,又需要透過行政作業,加強員工宣導及防範措施。如此惡性循環下,令業主實在是防不勝防,狀況日益惡化。

資通 uPKI

資通電腦從 PKI 的最底層元件的開發,到驗證服務機制的發展,都是為了將 PKI 的技術導入企業的應用中,以加強企業的資訊安全。希望企業透過資通協助 e 化的過程中平衡便利性與安全性,以達到企業最大經濟效益為宗旨。因此,資通在認證的部分,建議企業使用憑證做為 SSO 單一簽入的唯一帳號及密碼。運用了 PKI 的特性,除了解決每三個月必須修改一次複雜的密碼外,更解決了使用者習慣及忘記密碼的問題。但是在 SSO 的技術上,企業仍有一些技術問題有待解決。

為了解決企業在 SSO 所遇到的難題,資通秉持解決客戶的問題為當前首要,不斷嘗試及尋找可行的資安方案,最後在研發人員的努力下,終於以 uPKI 產品化服務企業,解決所面臨各種資訊安全技術上的困境及難題的解決方案。此項技術以 Challenge / Response 為基礎,以 Ticket 為概念,並與 Microsoft Active Directory 結合,達成鐵三角的認證,完整的解決單一簽入資安上的問題。

  • 網路上只傳遞帳號,不傳密碼:只傳送帳號至單一簽入伺服器,透過 Challenge / Response 方式進行認證,密碼只存在於本機,不會透過網路傳送出去,網路上的竊聽者將無法利用截取封包方式來取得密碼,嚴密確保資通安全。
  • 提供嚴謹之PKI電子簽章認證機制,達到更高安全等級之認證。
  • 不代送任何帳號及密碼至其他應用系統,完全避免被網路截取之問題。
  • 應用系統間不使用共享之帳號資訊。

任何應用系統間,絕不傳遞相同之共享帳號資訊,不傳遞共同之 Session 資訊、不共同存取相同之資料庫來交換使用者資訊,避免駭客或高權限之應用系統管理者遊走於各系統間,可同時避免因單一系統被駭,而瓦解整個資安體系。

SSO架構與流程

在系統效能上以相互交換 Ticket 的方式先建立 SSO Server 與 AP Server 間的認證,達成降低 SSO Server的負擔,也因為有與應用系統交換 Ticket 的前提下有以下優點:

  • 所有應用系統均需認證,且完全遵循相同且一致之認證機制,確保所有應用系統均達到相同之高安全等級。
  • 使用者與 uIAM 單一簽入及各單獨之應用系統間,形成個別獨立之認證、授權機制,確保個別應用系統使用上的機密性,絕不會因單一系統受駭客入侵,而瓦解了整套安全機制。
  • 訊息均加密且內含時戳等訊息,防止重送攻擊。
  • 進行雙向證證,防止 man-in-the-middle-attacks 中間人攻擊及 Phishing 釣魚網站攻擊。
  • 支援委任、分層認證,加快認證速度。
  • 支援 Multi-tier 多層次架構,使用者、 Web Server 、 DB Server 可分處於個別不同的機器。
  • 支援跨多個網站 、跨領域之認證與授權。

此解決方案可以協助企業在 SSO 單一簽入機制上解決大多數應用系統甚至作業平台、跨 Domain 等問題,更符合美國國防部可信賴電腦系統評估準則(Trusted Computer System Evaluation Criteria, TCSEC)俗稱橘皮書(Orange Book)定義之 C2-level security 規定協助在建置 SSO 機制上不必放棄資訊安全的考量。資通將持續在資安技術上研發,以因應現今越來越多的資安問題,期望與企業共同面對此一多變時代,共創商機,達成雙贏。
閱讀更多
*
應用系統搭配新式數位身份證進行 PKI 認證,您準備好了嗎?
*
新式數位身份證即將上路,該如何整合至應用系統?
*
資通 uPKI 如何協助客戶整合新式數位身份證?