账号:
密码:
CTIMES / 文章 /   
网络用户身份辨识-「单一签入认证」
拒绝再玩角色扮演

【作者: 資通電腦】2008年10月21日 星期二

浏览人次:【6175】
  

传统单一签入的问题

以往的单一签入用户认证,常常产生相当多的问题,包括国内外产品均有相同问题,主要的问题在于达到应用系统单一签入时所采用的方法是不安全的。


《图一 单一签入现况》 - BigPic:599x360
《图一 单一签入现况》 - BigPic:599x360

单一签入现况

代送账号/密码


一般登入网页,几乎都使用带送账号密码至目录服务比对,例如透过Web Proxy方式,自动Summit Form代送账号/密码或UID,则黑客只需入侵后台计算机、架起Sniffer,即可窃取用户的账号密码,登入电子化政府单一签入系统。

Client端软件代送密码:


透过Client端软件事先设定好的账号及密码,在应用系统登入画面出现时,便代送账号及密码至应用系统,以达到单一签入用户辨识之目的。

透过一组共通之编码或未编码帐户信息传递:


在各个不同应用系统间传递,应用系统将讯息解译后,即可确认用户,完成单一签入之目的。

透过Portal单一入口进行 URL 之控管

各应用系统使用相同且唯一的一组账号及密码

Man-In-the-Middle技术成风险:


若首页HTTP认证,现行有一非常普遍的技术「Man-In-the-Middle」,黑客只需于网络上装Man-In-the-Middle黑客软件,即使传输使用Https,亦可监听到传输的信息


  • 在上述状况下,会有下列问题发生:



(1)网页拦截:代送账号/密码或UID之方式,透过Sniffer软件拦截后,通常直接重送即可以该用户身份进入系统



《图二 网页单一签入具风险》 - BigPic:637x339
《图二 网页单一签入具风险》 - BigPic:637x339
  • 网页单一签入具风险


  • (2)账号及密码截取:数据之存放通常未加密或辅以另一个密码来加密储存,直接取得或破解难度低。


  • (3)身份曝露:一组共通之编码或未编码帐户信息,在各个不同应用系统间传递,除了易遭破解或截取信息重送之外,任何一个应用系统的管理者,均可以轻易取得机构内高阶主管之账号讯息,利用即信息游走于其他应用系统间。



(4)通常透过简单的网络封包截取软件,即可取得许多账号及密码

  • 传统的账号/密码认证方式的风险


  • ●无法避免黑客于网络上Sniff或采中间人方式窃取密码


  • ●无法防止入口网本身被黑客入侵取走所有账号及密码


  • ●无法防止加入单一系统被黑客入侵导致所有资安系统瓦解


  • ●无法防止系统管理者不当利用用户信息



资通ARES uPKI 高资安账号 / 密码认证方式

  • ●符合美国国防部TCSEC (Orange Book)定义之C2-level security及Common Criteria 的认证 (EAL4+),为现今美国国防部DOD官方所实行之标准账号/密码认证方式


  • ●网络上只传递账号,不传密码,密码永远不离开个人计算机


  • ●用户、各单独之应用系统与uIAM 密码主机间,形成个别独立之认证机制,确保个别应用系统使用上的机密性,不因单一系统受黑客入侵,而瓦解了整体安全机制。


  • ●讯息均加密且内含时戳等讯息,可防止重送攻击


  • ●支持委任、分层认证,加快认证速度


  • ●适用各种作业平台下使用各种应用程序开发语言之应用系统



适用Web base 或 Client Server 架构之应用系统验证流程如下所述:


《图三 Web base 或 Client Server 架构之应用系统验证流程》 - BigPic:599x355
《图三 Web base 或 Client Server 架构之应用系统验证流程》 - BigPic:599x355
  • (1)应用系统必须经过密码主机的预先设定及经过挑战与响应的认证,才能与密码主机联机,并建立起一个随机密钥的加密信道。


  • (2)用户端登入应用系统,输入账号及密码,但密码永远保留于用户本机计算机上,完全不会透过网络传送出去,用户仅传送账号至应用系统进行登入。


  • (3)此时应用系统会将账号传送至密码主机,根据现在的时间点,产生含时戳之加密随机随机数通讯密钥,再将这个挑战值回传给用户。


  • (4)用户取得这个挑战值后,如果他有正确的密码,就能经过复杂的运算解开该随机随机数通讯密钥,之后便可响应给系统说我是合法的用户。



这是一个挑战与响应的高资安机制,将一整个含有随机随机数的加密封包传到用户端,用户利用只有自己知道的密码,将该封包解密,若密码正确则可解密成功,取出用户与服务器间传输的随机密钥,这代表身份验证成功,若解密失败,则表示他根本拿不到那把随机产生的通讯密钥进不了系统,由于所有密码的传递皆不在网络上,可大辐降低密码外泄的风险。本机制同时内含时戳,也就是说窃取封包重送是困难的。


此种使用挑战与响应的方式,实现了用户密码不离开个人本机的最高安全机制。


虽然本系统采用了最严谨的认证模式,但由于采用了本公司台、日、美三国的专利技术,使得认证的效能相当的优异,当以一台Intel Xeon(DP)3.4GHz二颗 800MHZ FSB(Front Side Bus)外频频率 2MB L2快取(cache)内存,RAM 4GB使用Windows 2003 Server操作系统做为认证主机的状况下,对25万个账号系统,随机选取的500个账号同时进行认证才只要0.04秒~0.06秒之间,显然具有极高的效能。


相关文章
骇客攻击层出不穷 IoT安全备受关注
5G资讯安全发展现况观察与分析
软硬合击 打造物联网安全环境
物联网安全方兴未艾
工业物联网下的资安思维
comments powered by Disqus
相关讨论
  相关新品
mbed
原厂/品牌:RS
供应商:RS
產品類別:
Raspberry Pi
原厂/品牌:RS
供应商:RS
產品類別:
EM500EV-G
原厂/品牌:集博
供应商:集博
產品類別:IDE
  相关新闻
» 迎战疫情!资通电脑再获工业局资安认证
» 迎向5G元年 凌群AI数位转型打前锋
» 仁宝与思科携手打造企业网路生态圈 开拓全球智慧服务商机
» AI自驾商欧特明导入资通ciMes 以MES打造汽车智慧工厂
» 後疫情时代抢先布局 智慧医疗趋势带动跨域合作新风潮
  相关产品
» 宸曜推出新款IGT-30系列工业等级物联网闸道器
» 资通电脑ciMes推出EKS电子看板新功能
» Digi-Key宣布推出供应商主导的KiCad资料库
» Canon全方位智慧商务解决方案聚焦企业转型未来
» 红帽开放原始码技术协助乐天行动网路公司端对端云原生行动网路

AD


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2020 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw