雲端使用者認證系統

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

11

3.1 雲端使用者認證系統

目前不論是 IaaS、PaaS 或是 SaaS，均有許多雲端服務供應商提供各種不同的雲端 服務，而我們認為不論是哪一種雲端服務，在雲端鑑識過程中，身分識別是相當重要的 環節[8][28][29]，為了配合雲端鑑識作業，我們設計一套雲端使用者認證系統，既可順 利完成雲端使用者驗證作業，也可幫助完成雲端鑑識工作之使用者個化程序。

以雲端儲存服務為例，目前除提供有正常註冊的使用者存取雲端資源外，另外，未 註冊或未登入之使用者亦可透過取得分享連結，存取雲端上的檔案，針對這個部分，可 以發現不僅有合法的使用者（有註冊）會存取雲端資源，其他使用者（未註冊或未登入）

也可藉由其他方式使用雲端資源，但如果不能加以驗證或保留相關存取資訊，可能造成 鑑識分析作業發生困難。以下將針對我們所建議的雲端使用者認證系統進行說明。

3.1.1 合法使用者驗證程序

由於已經註冊服務的使用者可能在登入或未登入雲端服務的狀況下存取雲端資 源，而未註冊服務的使用者也可能透過其他方式享用雲端資源，但回歸最原始的服務需 求，是將服務資源提供給這些合法註冊並成功登入的使用者利用，所以雲端服務供應商 必須要確保這些忠實註冊的客戶能夠順利登入並可取得適當的雲端資源，而我們為能使 雲端使用者認證系統可以配合數位鑑識作業，以下將針對我們提出合法註冊使用者之雲 端使用者認證機制（如圖2）進行說明。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

12

圖 2：合法使用者認證程序

對於合法註冊使用者的登入認證程序，以下將依序逐步說明：

Step1. 合法註冊使用者向雲端系統傳送帳號（ID）及密碼（PW）；而雲端使用者認證系 統收到ID 及 PW 後，進行第一次身份驗證，並回傳一個隨機亂數 r 給使用者。

Step2. 合法使用者收到來自認證系統傳送的亂數 r 之後，利用公式（1）產生一把通訊 用的對稱式金鑰𝑆𝐾_{𝑢𝑠𝑒𝑟}，再透過公式（2）利用對稱式金鑰𝑆𝐾_{𝑢𝑠𝑒𝑟}加密產生使用者 認證訊息𝐴𝑢𝑡ℎ_{𝑢𝑠𝑒𝑟}，並傳送回認證系統。

𝑆𝑘_{𝑢𝑠𝑒𝑟} = 𝐻(𝐻(𝐼𝐷‖𝑃𝑊)‖𝑟) （1） 𝐴𝑢𝑡ℎ_{𝑢𝑠𝑒𝑟} = 𝐸_{𝑆𝑘𝑢𝑠𝑒𝑟}(𝐼𝑃, 𝑀𝐴𝐶, 𝑡𝑖𝑚𝑒𝑠𝑡𝑎𝑚𝑝) （2） 其中公式（1）的 ID、PW 為使用者及系統共同持有之資訊，隨機亂數 r 於 每次雙方溝通時均會更新，藉以保證金鑰的安全性，而H(・)為使用 Hash 函數運 算，∥表示將資料串接；在公式（2）中，𝐸_{𝑆𝑘𝑢𝑠𝑒𝑟}則表示使用對稱式金鑰𝑆𝐾_{𝑢𝑠𝑒𝑟}進 行加密，所採用的加密演算法為 AES，另 IP 及 MAC 即為設備之網路位址及網

‧

確認傳輸是否異常。Step3 經過解密取得 IP、MAC 及 timestamp 資訊後，可先檢驗 timestamp 確認傳輸是否發生異常，再進一步比對 MAC 資訊，進行第二次身分驗證，以 此決定是否讓使用者存取雲端服務系統。

3.1.2 匿名使用者驗證程序

在 3.1.1 小節已介紹合法使用者之驗證程序，本小節將接續說明雲端使用者認證系 統如何針對匿名使用者進行驗證程序（如圖3），其中有關匿名使用者，則又包含未註冊 雲端服務及已註冊雲端服務但未登入之使用者兩種類型，而相關程序將依序說明如下。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

14

圖 3：匿名使用者認證程序

對於匿名使用者存取雲端服務資源所需要的認證程序如下：

Step1. 匿名使用者點擊檔案連結 URL，試圖存取服務，雲端使用者認證系統收到訊息

後，向雲端服務系統詢問該檔案之存取權限，而雲端服務系統回傳權限資訊給認 證系統，確認該檔案可被存取後，認證系統傳送隨機亂數r 給匿名使用者。

Step2. 匿名使用者收到隨機亂數 r 後，利用公式（4）產生通訊用的對稱式金鑰𝑆𝐾_𝑎𝑛𝑜，

再透過公式（5）結合對稱式金鑰𝑆𝐾_𝑎𝑛𝑜加密產生認證資訊𝐴𝑢𝑡ℎ_𝑎𝑛𝑜，並回傳至認 證系統。

𝑆𝑘_𝑎𝑛𝑜= 𝐻(𝑈𝑅𝐿 ∥ 𝑟) （4）

𝐴𝑢𝑡ℎ_𝑎𝑛𝑜 = 𝐸_{𝑆𝑘𝑎𝑛𝑜}(𝐼𝑃, 𝑀𝐴𝐶, 𝑡𝑖𝑚𝑒𝑠𝑡𝑎𝑚𝑝) （5）

其中公式（4）的 URL 為檔案的公開連結 URL，公式（5）的𝐴𝑢𝑡ℎ_𝑎𝑛𝑜則代 表匿名使用者的認證訊息，𝐸_{𝑆𝑘𝑎𝑛𝑜}則表示使用對稱式金鑰𝑆𝐾_𝑎𝑛𝑜進行加密。

‧

所以提出日誌中心系統（Log Center System）架構，希望有助於鑑識人員分析鑑識雲端 系統，而Log Center System 主要包含雲端服務供應商的日誌中心（Log Center），其中含 有使用者稽核資料庫（User Audit Database，UADB）及檔案稽核資料庫（File Audit Database，FADB）兩大類資料庫，以及執法機關建立的雲端鑑識中心（Cloud Forensic Center）。

3.2.1 使用者稽核資料庫

使用者稽核資料庫（User Audit Database，UADB）主要是記錄使用者操作檔案的 log

在文檔中 雲端鑑識之身分鑑別與證據調查之研究 - 政大學術集成 (頁 31-35)