第二章 背景知識
2.1 使用者認證
一直以來,如何在網際網路上確認遠端使用者的身分,是網路安全中十分重 要的研究議題,而當遠端使用者基於獲取網路上伺服器的某項服務而進行登入 時,遠端使用者首先要通過伺服器的驗證程序,方能取得服務的使用權,在網際 網路蓬勃發展的現今,使用者認證的重要性也愈顯重要。而使用者認證的過程和 運作程序,將由下列二個小節來說明。
2.1.1 使用者認證及運作方式
使用者認證的運作通常是由幾個重要的步驟構成(如圖1所示):1.使用者端向 伺服器端提出登入請求。2.伺服器端回應使用者,並要求使用者提供認證資訊。
3.伺服器檢查登入認證資訊是否正確。4.認證資訊正確,則通過認證;反之,則 不予登入。
Login Request
Identity Response Identity Request
Success / Fail
圖 1 認證示意圖
使用者認證的最主要目的即是確認該服務使用者的身分,因此如何得到強而
有效的認證(Strong authentication)便成為認證過程的一大重點—所謂強而有效 的認證,乃是指在認證的過程中,安全性很高並且透過多方又具公信力的單位,
來確認該使用者的身分證切確無誤。於是各式各樣的認證方式,都朝著有效確認 使用者身分的目標邁進,並期許能降低認證過程中所遭受的安全性威脅。
在多年的網路服務發展之下,許多的身分認證方法隨之誕生,目前網路上驗 證使用者身分的方法,可以區分為以下的三種模式[1]:
1. 單向驗證(One-Way Authentication)
此方式乃是目前網路上最常見的驗證方法,由於此驗證方式簡單且容易實 作,因此網路上大多數的服務系統都是使用此方式來驗證遠端使用者的身 分。在單向驗證模式中,遠端使用者必須事先在伺服器上註冊自己的帳號與 密碼,一旦當遠端使用者想要登入伺服器時,遠端使用者就必須提供所註冊 的帳號與密碼給伺服器,以供伺服器進行驗證的確認動作,由伺服器判斷遠 端使用者是否核可登入系統或使用該伺服器所提供之服務。但是,此驗證方 式有一重大缺點,即是遠端使用者無法辨認伺服器是否真實且合法,故只要 有網路攻擊者偽裝為一台合法的伺服器時,遠端使用者不但無法察覺,更會 將使用者的重要資訊完全提供,所以本方式存有著伺服器偽裝攻擊(Server Spoofing Attack)的安全性問題。
遠端使用者 伺服器
1.使用者提供帳號、密碼
2.伺服器回覆認證結果
圖 2 單向認證
2. 雙向驗證(Mutual Authentication)
由於前述的單向驗證方式,存在伺服器偽裝攻擊的重大安全問題,因而有了 雙向驗證的概念提出,以解決可能產生的伺服器偽裝攻擊之缺點。雙向驗證 的進行方式,便是要求遠端使用者以及伺服器,雙方都提供自己的認證資訊
給予對方,以確認雙方彼此的身分都是正確無誤。如此一來,便可以有效解
3. 使用公正的第三方驗證(Trusted Third-party Authentication)
使用公正的第三方驗證所要達成的目的,和前述的雙向驗證相同,希望可以
而且所有使用者與伺服器均渾然無所覺。
圖 4 公正的第三方驗證
2.1.2 使用者認證技術分類
現行眾多的使用者認證方法,根據Rachna Dhamija及Adrian Perrig[2]兩 位學者研究,將使用者認證方法依技術分類成以下三類:Knowledge based authentication, Token based authentication 和 Biometric based au-thentication 。
1. Knowledge based authentication(以使用者個人資訊為基礎的認證) 此種方式是透過每個使用者擁有的不同個人資訊的前提下,做為認證的一種 方法,例如國人所擁有的身分證字號或是使用者自行建立問題與答案等,雖 然這個方式很容易實作,但它依賴的安全性基礎是建立在連接遠端使用者和 伺服器之間的網路通道必須是安全且可信任的。但是,現實的網路環境並非 如此,現實的網路環境充斥著各種威脅,而遠端使用者和網路伺服器之間的 通訊,是極容易被有心人士所竊聽的。
2. Token based authentication(以憑證為基礎的認證)
此種方式是利用如智慧卡等憑證當做媒介來進行認證的方法,許多實際應用 的此類認證方法通常會搭配 Knowledge based 的技術來提高其安全性,例如
ATM 提款卡再使用上都會搭配一組 PIN 碼使用,來降低冒充身分使用或是卡片 被竊取的安全性問題,也提高使用的安全性。
3. Biometric based authentication(生物識別科技的認證)
生物識別方式的認證,例如指紋辨識、瞳孔辨識或是臉部特徵辨識系統都屬 額外設備,因此多數的系統還是採用 Knowledge based 為技術基礎的認證方 式。