新闻动态
2010-12-13平衡安全与便利性的单一签入解决方案
当今企业为了存活于以秒计算的商业竞争中,必需透过导入 e 化过程,包含 ERP 、 CRM 、 SCM 、 MES 来应对更多的商业活动及服务。目前甚至演进到所谓的 M 化,运用手机来做最实时的数据传达处理。正因如此,应用系统日益增多,使用者也需各自拥有独立的账号及密码,导致企业及员工需要记忆多组账号与密码,这时应用系统以「单一签入」来控管的需求就因应产生。
然而在解决单一签入 SSO(Single Sign on)的议题上,从单一账号到单一登入,甚至针对 Domain 登入与外网透过 VPN 、 SSL VPN 登 入,如果都是同一组账号及密码,就很容易被有心人士窃取账号及密码。通常有心人士要窃取密码需要多方搜集或一一尝试,甚至需要破解好几组账号及密码才能达 成其目的。因此单一账号登入系统所发生的资安问题将是企业所担心的,企业为了提高门坎,又衍生密码需要三个月换一次,且需要设定复杂及非数字的密码,以防 止单一账号轻易的被有心人士拦截后导致遭受入侵攻击,造成企业内部所有系统重要数据被盗取后的严重后果。在信息安全所做的一般解决方式,不外乎以下几个方 案:
- 将账号 / 密码上传至 SSO 进行身份验证。
- 透过 Web Proxy 代送其它系统之账号及密码。
- 认证后透过共通之编码或未编码账号达到单一签入。
但这些传统解决方案会发生以下问题,包含:
- 无法避免黑客于网络上 Sniff 窃取密码或 UID。
- 无法防止 SSO 被黑客入侵取走所有账号及密码。
- 无法防止加入单一账号的系统被黑客入侵,导致所有资安系统瓦解。
- 无法防止系统管理者不当利用使用者信息。
- 与应用系统不易结合的单一签入系统,无法跨 Domain 、 跨作业平台、跨多种程序语言。
除了以上的技术问题外,企业员工为协助自己记忆难记的密码,只有将密码抄在纸张上,放置在其它造成更多资安漏洞的方法。企业在此项资安议题上,又需要透过行政作业,加强员工倡导及防范措施。如此恶性循环下,令业主实在是防不胜防,状况日益恶化。
资通电脑在研发资安技术方面已耕耘近十年,从 PKI 的最底层组件的开发,到验证服务机制的发展,都是为了将 PKI 的技术导入企业的应用中,以加强企业的信息安全。希望企业透过资通协助 e 化的过程中平衡便利性与安全性,以达到企业最大经济效益为宗旨。因此,资通在认证的部分,建议企业使用凭证做为 SSO 单一签入的唯一账号及密码。运用了 PKI 的特性,除了解决每三个月必须修改一次复杂的密码外,更解决了使用者习惯及忘记密码的问题。但是在 SSO 的技术上,企业仍有一些技术问题有待解决。
为了解决企业在 SSO 所遇到的难题,资通秉持解决客户的问题为当前首要,不断尝试及寻找可行的资安方案,最后在研发人员的努力下,终于以 uPKI 产品化服务企业,解决所面临各种信息安全技术上的困境及难题的解决方案。此项技术以 Challenge / Response 为基础,以 Ticket 为概念,并与 Microsoft Active Directory 结合,达成铁三角的认证,完整的解决单一签入资安上的问题,其特点如下:
网络上只传递账号,不传密码
只传送账号至单一签入服务器,透过 Challenge / Response 方式进行认证,密码只存在于本机,不会透过网络传送出去,网络上的窃听者将无法利用截取封包方式来取得密码,严密确保资通安全。
提供严谨之PKI电子签章认证机制
达到更高安全等级之认证。
不代送任何账号及密码至其它应用系统
完全避免被网络截取之问题。
应用系统间不使用共享之账号信息
任何应用系统间,绝不传递相同之共享账号信息,不传递共同之 Session 信息、不共同存取相同之数据库来交换使用者信息,避免黑客或高权限之应用系统管理者游走于各系统间,可同时避免因单一系统被骇,而瓦解整个资安体系。
在系统效能上以相互交换 Ticket 的方式先建立 SSO Server 与 AP Server 间的认证,达成降低 SSO Server 的负担,也因为有与应用系统交换 Ticket 的前提下有以下优点:
- 所有应用系统均需认证,且完全遵循相同且一致之认证机制,确保所有应用系统均达到相同之高安全等级。
- 使用者与 uIAM 单一签入及各单独之应用系统间,形成个别独立之认证、授权机制,确保个别应用系统使用上的机密性,绝不会因单一系统受黑客入侵,而瓦解了整套安全机制。
- 讯息均加密且内含时戳等讯息,防止重送攻击。
- 进行双向证证,防止 Man-in-the-middle-attacks 中间人攻击及 Phishing 钓鱼网站攻击。
- 支持委任、分层认证,加快认证速度。
- 支持 Multi-tier 多层次架构,使用者、 Web Server 、 DB Server 可分处于个别不同的机器。
- 支持跨多个网站 、跨领域之认证与授权。
此解决方案可以协助企业在 SSO 单一签入机制上解决大多数应用系统甚至作业平台、跨 Domain 等问题,更符合美国国防部可信赖计算机系统评估准则(Trusted Computer System Evaluation Criteria, TCSEC)俗称橘皮书(Orange Book)定义之 C2- level security 规定协助在建置 SSO 机制上不必放弃信息安全的考虑。资通将持续在资安技术上研发,以因应现今越来越多的资安问题,期望与企业共同面对此一多变时代,共创商机,达成双赢。
