以IC卡強化網站使用者身份驗證之研究

以 IC 卡強化網站使用者身份驗證之研究

蔡佳倫1_、李榮耀2* 1_{交通大學網路學習碩士在職專班} 2_{交通大學應用數學系} E-mail: [email protected] E-mail: [email protected]

摘要

隨著網際網路的日漸普及，網路攻擊也隨之日益增多，讓網路安全的重要性 也日益增加，使用者身份驗證一向是網路系統最基本且主要的安全機制，以目前 的網路技術來說，最安全的驗證方式莫過於近幾年來政府積極推動的自然人憑證 最為安全，但是因為自然人憑證主要是利用第三公信單位來驗證使用者的身分， 因此要建置這樣的系統所需要的人力、經費都十分的龐大，並不太適合一般的公 司行號去使用。 本研究主要是以網站系統的使用者身分驗證為研究主軸，在研究中我們利用 低廉的記憶 IC 卡來當作儲存帳號、密碼、加解密鑰匙的工具，用以減輕使用者 記憶的困難性。不過，低廉的記憶 IC 卡本身並不具備 CPU，因此，為了保障卡 片資料的安全性，我們在程式中以 AES 加密演算法來加解密卡片資料。此外， 我們利用 ActiveX 技術來製作我們的使用者端程式，這個 ActiveX 程式會與後端 多個 ASP 網頁進行溝通、對資料做加解密等等工作，藉以改善 HTTP 通訊協定 的缺點，透過本研究除了可以讓帳號密碼傳輸更加的安全外，更可以在通訊的過 程中驗證雙方的身分，不但如此，在使用本機制時還可以搭配 SSL 加密通訊， 達到雙重加密的效果，大大提升網站使用者身份驗證的安全性。

關鍵詞：IC 卡、HTTP 通訊協定、IC 卡、AES、ActiveX

壹﹒前言

隨著網際網路日漸普及，越來越多的系統逐漸移到網路上，希望藉由網路的 特性讓使用者使用上更加的方便，不過也因為網路的便利性以及使用人數的增 多，讓攻擊者的攻擊重心也逐漸轉移到網路上，造成網路攻擊事件日益增多，加 重了網路安全的重要性，在眾多的通訊協定之中，其中又以使用 HTTP 通訊協定 的全球資訊網(World Wide Web，WWW)最為重要，因為它是目前使用者最常使 用的網路服務。

所謂的自然人憑證，希望藉由自然人憑證中的電子憑證來驗證遠端的使用者，進 而提升網路使用的安全性，雖然電子憑證的安全性非常的高，但是所需花費的人 力管理以及財力都十分的驚人，因此不太適合一般的公司或是學校單位來使用， 所以對於目前的網路環境來說，還是多以傳統的帳號密碼方式來驗證遠端的使用 者居多。 以帳號密碼來驗證使用者的方式實作起來雖然簡單、方便，但是卻有著攻擊 者竊聽、使用者記憶及密碼猜測等問題。為了避免攻擊者竊聽網路上的訊息，在 網路上通常是以 SSL 加密通訊協定來加密傳送的資訊，用以保障帳號密碼不被 外人所竊取。這樣的方式雖然可以保障資訊傳輸的安全性，不過資訊到了使用者 電腦或是伺服器還是以明文的方式呈現，而不是在使用者或是伺服器提供正確的 鑰匙之下才得以解密，因此，無法有效的防範攻擊者的竊取資訊。而且它也並未 解決使用者記憶的密碼問題，因為大部分的使用者都習慣選取短小、有意義的密 碼，所以攻擊者還是可以透過線上猜測密碼的方式來破解使用者的密碼，此外， HTTP 通訊協定本身是一種無紀錄狀態(Stateless)的通訊方式，執行的單位是網 頁，所以每次通訊都是獨立的通訊，並無任何紀錄保存下來，如果想要將參數保 存在使用者端的電腦就必須透過 Cookies 來記錄使用者的訊息。雖然這樣的方式 解決了記憶的問題，可惜的是，Cookies 會將資訊存放在一特定的資料夾中，攻 擊者只要竊取該資料夾的資料，便可以偽裝成使用者登入系統之中，因此，在 HTTP 通訊協定之下，還是無法安全的讓伺服器與使用者進行一連串的通訊流 程，以互相驗證對方的身分。 為了有效改進上述問題的發生，在本研究我們主要是以低廉的記憶 IC 卡來 當作儲存帳號、密碼、加解密鑰匙的工具，因為是由 IC 卡來記憶使用者的帳號、 密碼、加解密鑰匙，因此，相對的減輕了使用者記憶的困難性，讓使用者可以很 輕鬆的記憶長串、無意義的密碼，不過，低廉的記憶 IC 卡本身並不具備 CPU， 因此無法對卡片資料做加解密的動作，為了保障卡片資訊的安全，讓記憶的 IC 卡也具備有高階智慧卡對資料保密的功能，因此，我們在存取的程式中加入了 AES 加密技術，當資料需要讀取或寫入時都必須要經由 AES 加密技術的加解密 後才能夠正確的存取，這樣便可以保護卡片中存放的資料，避免因為卡片遺失而 讓資料被攻擊者被盜用。此外，為了方便使用者使用、以及進行使用者電腦與伺 服器電腦之間的溝通協調，我們利用 ActiveX 技術來製作我們的使用者端程式， 這個使用者端程式會與以伺服器後端動態網頁進行一連串的通訊驗證工作，互相 驗證對方的身分。為了增進傳輸的安全性，我們更在溝通協調的過程中加入 AES、RSA、SHA256 等加密技術，這樣的方式可以保障傳輸的資訊，唯有在對 方提供正確的鑰匙之下，資訊才得以加密、解密，不但如此，本研究所提估的程 式除了本身的加密方式外，還可以搭配 SSL 加密通訊使用，以達到雙重加密的 效果，大大提升使用者驗證的安全性。

貳﹒文獻探討

一﹒動態密碼

提出，隨後美國 RSA 公司發現了這項技術的價值，對動態密碼進行了深入的研 究與改進，提出了”時間同步技術”，西元 1984 年提出了專利，並於西元 1986 年 發展出第一個產品 SecurID(初英，2006)。目前常見的動態密碼產生方式有下面 三種(北京啟迅網安科技有限公司，2006)(楊萬悅，2005)(許沁如，2005)： (1)口令序列：口令為一個單向的前後相關的序列，系統只用記錄第 N 個口 令。用戶用第 N－1 個口令登錄時，系統用單向演算法算出第 N 個口令與 自己保存的第 N 個口令匹配，以判斷用戶的合法性。由於 N 是有限的， 用戶登錄 N 次後必須重新初始化口令序列。 (2)挑戰/回答：用戶要求登錄時，系統產生一個亂數發送給用戶。用戶用某 種單向演算法將自己的秘密口令和亂數混合起來發送給系統，系統用同樣 的方法做驗算即可驗證用戶身份。 (3)時間同步：這個方法要求的是伺服器與使用者之間的時間必須保持一 致，以用戶登錄時間作為隨機因素。這種方式對雙方的時間準確度要求較 高，一般採取以分鐘為時間單位的折中辦法。 使用加密或簽章雖然可以有效防止資料在公開網路上外洩或是竄改，但是卻 無法防止攻擊者利用重送驗證資訊來登入系統，因此，便必須要透過動態密碼的 特性，讓每次傳送的驗證資訊皆不一樣，有效防止駭客使用重送攻擊。 二﹒加密演算法 為了保護資料的安全性以及隱密性，通常我們會利用某些數學運算，將原本 大家都看得懂的內容轉換成一堆無用的亂碼，這一堆無用的亂碼在不知反向數學 運算的情況下，想要猜測、解讀回原來的訊息，是十分的困難，這就是所謂的加 密。然而，如果將這些亂碼透過反向數學運算的方式來得到原先大家都看得懂的 內容，這就是所謂的解密。加解密的方法可以分為兩大類的密碼系統：第一類為 對 稱 式 加 密 (Symmetric Encryption) ， 第 二 類 為 非 對 稱 式 加 密 (Asymmetric Encryption)，此外，另外還有一種主要是用來將訊息濃縮、轉換成一個固定長度 的訊息，稱為雜湊函數(Hash Function)。

1.對稱性加密法

對稱式加密法(Symmetric Encryption)，對稱式指的是一把密鑰鑰匙可以同時 用在加密與解密上面，在運算的過程中又可以分為兩大類：一個是串流式加密 (Stream Ciphers)，另一種是區塊加密(Block Ciphers)(楊中皇，2006)。使用串流加 密時，一次會加密資料流中的一個位元或是位元組。利用區塊加密時，會將一小 段明文視為一體，然後產生長度相同的密文區段(巫坤品等人，2005)，例如每 64 位元切成一塊，如果檔案不足 64 位元，填充某個字元以達到剛好 64 位元。目前 對稱式加密法最具代表性的是目前最廣為被使用的 DES 密碼演算法及美國於 2000 年推出的下一代密碼演算法 AES(Advance encryption standard)都屬於此類的 加密方法。

那就是伺服器跟使用者都無法利用它來確認的雙方，因此他還是不能夠完全的提 供我們安全的網路環境。因此，通常我們常利用它來搭配非對稱式的加密法一起 運作，結合兩種系統的長處來保護資料的安全性(工業技術研究院，2003)。 2.非對稱性加密法 非對稱式加密法(Asymmetric Encryption)，非對稱式加密法主要是利用一組 相對的金鑰來進行加解密運算，每一組金鑰對(Key pair)都包含兩把相互對應的 金鑰，一把是可以公開的加密金鑰(簡稱公鑰)，一把是必須保持秘密的解密金鑰 (簡稱密鑰)，而且公鑰很難推導出密鑰(陳彥學，2000)，使用上來說，通常是將 公開鑰匙用於加密，祕密鑰匙用於解密。使用者可以公開公開鑰匙給其他的人加 密重要文件，之後自己再利用私密鑰匙解密，目前使用的最廣泛、最常見對稱性 加密法是 RSA。 非對稱加密法最大的好處在於增加鑰匙的安全性，我們可以透過自行公開鑰 匙或是另外一個公開的第三者來公開鑰匙，利用這隻公開鑰匙所加密的訊息只有 未公開的私密鑰匙才可以解密，不過這類的加密法有著運算法複雜、速度慢的缺 點。有些公開鑰匙加密演算法可以反向使用，利用私密鑰匙來加密資訊，而使用 對應的公開鑰匙解密，利用來驗證簽署該文件的人是否是本人無誤，因此在現實 生活中我們也利用可逆的公開鑰匙演算法(RSA)來提供簽章的服務。 3.雜湊函數 雜湊函式是一種可以將任意長度的訊息加以濃縮、轉換，使其成為一個固定 長度的訊息，這一個固定的訊息就叫做雜湊值(Hash Value) (工業技術研究院， 2003)。雜湊函數的特性在於當使用者給定一個任意長度的訊息，雜湊函式都可 以將他轉換成一固定長度的雜湊輸出值，另外，雜湊函數具備不可逆的單向 ﹝One-Way﹞特性，經過雜湊函數之後的雜湊值是無法還原成原本的訊息，而且 也無法利用雜湊值來產生出一份原始訊息。另外，雜湊函數還必須具備能夠讓每 份不同文件所產生的雜湊值都是唯一，欲找出另外一份文件可以輸出相同的雜湊 值，為計算的不可行，最常見的雜湊函數有 MD5 及 SHA。 2004 年 8 月 17 日的美國加州聖巴巴拉，召開的國際密碼學會議，該會議安 排了三場關於雜湊函數的特別報告。在國際著名密碼學家 Eli Biham 和 Antoine Joux 相繼做了對 SHA-1 的分析與給出 SHA-0 的一個碰撞之後，來自山東大學的 王小雲教授做了破譯 MD5、HAVAL-128、 MD4 和 RIPEMD 算法的報告。也因 為這樣王小雲教授的發現，讓美國已經有考慮重新制定新的技術，因為隨著它們 的發現將使駭客更能在電腦程式碼中放置後門或是捏造電子簽章。美國國家技術

與標準局（NIST）於 2004 年 8 月 24 日發表專門評論，評論的主要內容為：「在

三﹒SQL INIECTION 刑事警察局與新波科技公司合作調查國內的網站，發現國內有將近九成以上 網站皆使用 SQL 相關的資料庫系統，這些資料庫包括 MySQL、SQL Server 2000、 Oracle 等，而這些網站在經警方測試，發現到國內八成以上的網站皆潛藏著 SQL Injection 的危機。SQL Injection 產生的原因主要是因為網站設計者在建置網站的 時候沒有檢查使用者的輸入值，而這些輸入值在與原先設計者預先想要執行的 SQL 命令結合之後產生了與原先的 SQL 命令不相同的指令進而操控資料庫(陳揮 文，2002)。 原本：

select * from crouse where id =' "& request("id") &" ' And pword =' "& request("pword") & " '

如果使用者正常輸入的話，該命令都不會有任何問題，例如我們輸入帳號 crosue，密碼 1214，他看起來就會像下面這個樣子。

select * from crouse where id ='crouse' And pword ='1214'

但是如果遇到一個惡意破壞系統的駭客，他便可以利用修改 SQL 語法的方 式進入系統。

例如：

select * from crouse where id = '' or 'a'='a' and password = ''or 'a'='a'

我們不難發現到後面的 where 條件永遠成立，所以該名駭客得以合法的進入 系統。由上面的例子我們不難發現到要使用該方式進入系統需要事先知道資料表 的欄位名稱，有時系統程式研發人員為了設計的方便，會讓資料表欄位名稱與網 頁表單對應的欄位名稱一模一樣，所以攻擊者可以很輕鬆的檢視網頁的表單欄 位，使用 SQL Injection 攻擊系統，進而進入系統之中。 除此之外，某些資料庫使用--作為說明的符號，只要是--後面的文字都可以 當作說明來看待，因此，攻擊者可以利用這樣的方式來更改 SQL 語法。 例如：

select * from crouse where id = 'admin’--‘ and password = ''or 'a'='a' 資料庫實際的執行只有

select * from crouse where id = `admin` 便可以讓攻擊者很輕鬆的進入到系統之中。

除了進入系統之外，有些資料庫軟體有著許多控制性的語法，攻擊者可以利 用這些控制性的語法來操控系統。

例如：

表 1 登入資料表設計 欄位名稱 說 明 使用者 SHA 卡號 使用者經過 SHA 加密之後的 IC 卡卡號 使用者帳號 使用者所使用的帳號 使用者 SHA 帳號 使用者帳號經過 SHA 加密過後的帳號 使用者 SHA 密碼 使用者密碼經過 SHA 加密過後的密碼 使用者姓名 使用者的姓名 使用者職稱 使用者在學校的職位名稱 使用者等級 使用者所擁有的權限 是否停權 使用者是否有進入系統的權利 表 2 錯誤訊息資料表設計 欄位名稱 說 明 錯誤訊息序號 錯誤發生訊息的編號 IP 連線用的 IP 位址 時間 使用者連線時的時間 發生事件 說明發生了哪些錯誤事件 六﹒驗證流程 這一節我們要開始介紹我們的驗證流程，整個使用方式的通訊過程可以簡單 的 分 為 註 冊 階 段 (Registration Phase) 、 登 入 階 段 (Login Phase) 、 驗 證 階 段 (Authentication Phase)等三個階段，在介紹前我們首先要先定義一些使用的符號。

表 3 運算符號表 符號 說 明

h() 單向雜湊函數

E1key()、D1key() 以 key 為鑰匙的對稱性加密法，用以保護卡片資訊

E2key()、D2key() 以 key 為鑰匙的對稱性加密法，用以保護隨機變數

E3key()、D3key() 以 key 為鑰匙的非對稱性加密法，用以保護帳號密碼

1.註冊期(Registration Phase) 在這邊的發卡程式有兩個部份，一個是系統管理人員使用的卡片帳號密碼寫 入程式，一個是使用者自行寫入的卡片帳號密碼寫入程式，前面曾經提及到使用 這個加密型登入介面時，卡片中必須要存放有 AES 的鑰匙，因此在建議上是希 望由管理者寫入 AES 鑰匙，讓使用者盡量不要接觸到 AES 的鑰匙，以避免鑰匙 外洩或是寫入錯誤，造成系統的不安全或是登入的失敗。當系統管理人員將使用 者帳號、使用者密碼以及系統的 AES 鑰匙寫入到卡片中之後，我們也要將這些 帳號、密碼在經過 SHA256 加密過與個人基本資料傳送到我們的資料庫中，以做 後續驗證帳號密碼之用。當使用者在使用者用的帳號密碼寫入工具時，在顯示的 畫面上並不會直接的顯示出該 AES 鑰匙的資訊。 Step1：Uu->S：IDu、PWu 使用者將自身使用者帳號密碼以安全的管道送到伺服器。 Step2：S->Uu：IC 卡 當伺服器收到之後，首先，它會隨機產生一把使用者與伺服器共有的 AES 加密鑰匙 Keys，並將使用者的帳號密碼以及 IC 卡卡號用 SHA 加密，之後便將用 SHA 加密過後的帳號密碼以及 IC 卡卡號、未經加 密帳號、共有的 AES 鑰匙 Keys 等其他相關資訊一起存放於資料庫 中。最後，將伺服器所使用的 AES 加密鑰匙 Keys、使用者的帳號、 密碼存放於 IC 卡中，並將 IC 卡以安全管道的方式交給使用者使用。 Step3：E1keyu(Keys||IDu||PWu)

3.驗證期(Authentication Phase) 驗證其主要工作在於系統驗證使用者的身分，而在驗證的過程中我們主要是 使用 AES 對稱性加密演算法來加密隨機變數 w，其原因在於 AES 加密演算法速 度快、安全性高，可以避免使用者在使用時時間等待過長的問題發生。另外，為 了避免使用者以 SQL Injection 的方式進入系統，這邊主要是利用單向雜湊的特 性-無法以加密過後的密文來猜測出原本明文的內容為何，假設攻擊者已知ㄧ個 攻擊的指令，這個指令將因為雜湊函數的加密而無法執行。 Step1：伺服器在收到使用者的卡號之後，它首先會將這個 IC 卡卡號用 SHA 加密後再比對資料庫，以找尋出使用者所需要的 AES 鑰匙 Keys，如 果在尋找的過程中無法找出使用者的資料，便會發出錯誤的訊息給使 用者端得知並且將相關錯誤資訊存放於錯誤訊息資料表中，如果比對 出該使用者的話，系統會取出該 AES 鑰匙 Keys，將 AES 鑰匙 Keys 以及加密的 IC 卡卡號註冊成 Session 變數讓後續步驟可以使用。 Step2：S->Uu：E1keys(w)

伺服器會產生一個亂數 w，並將這個亂數 w 註冊成 Session 變數讓後 續的步驟可以使用，之後將這個亂數 w 用鑰匙 Keys 用 AES 加密演 算法加密起來傳送給伺服器。

Step3：D1keyu(E1keyu(Keys||IDu||PWu))

使用者端的ActiveX程式要求使用者輸入卡片解密鑰匙Keyu，用以解 開卡片之資料，如果解密失敗，程式便會停止，如果解密成功，便會

將使用者的IDu、PWu以及伺服器的Keys解開來。

Step4：D2keys(E2Keys(w))=w

利用卡片中的鑰匙 Keys 將隨機變數 w 解密，如果解密的過程中發現 失敗，我們便可以知道伺服器的身分有問題而中斷整個驗証的流程。 Step5：Uu->S：E3keyp(IDu♁w)、E3keyp(PWu♁w)

將隨機亂數 w 與使用者的 IDu 及 PWu 進行 Xor 運算，並以伺服器的 公開鑰匙加密後送到伺服器端。

Step6：IDu=D3Keypr(E3keyp(IDu♁w))♁w and PWu=D3Keypr(E3keyp(PWu♁w))♁w

中並且取消註冊成 Session 變數的隨機亂數 w，以避免入侵者重複傳 送同樣的訊息。

Step8：通知使用者瀏覽器是否成功進入系統。

圖 7 本使用者驗證機制

4.使用者改變密碼期(User change password Phase)

年 6 月 7 日 ， http://ccis.cs.nctu.edu.tw/old-infosec/project/VPN/meetings/meeting_2001_03_14 /PPTP.doc。

[3] 巫坤品、王青青譯(2005)，密碼學與網路安全-原理與實務，(第三版)，碁峰 資訊，原著：William Stallings, Cryptography and Network Security Principles and Practices, 3rd Ed., WILLIAM, 2002.

[4] 王旭正、柯宏叡(2006)，資訊與網路安全-秘密通訊與數位鑑識新技法，博碩 文化股份有限公司。 [5] 北方網(2005)，世界震驚 美國擔心 王小雲破全球兩大密碼算法，存取於 2006 年五月，http://news.big5.enorth.com.cn/system/2005/03/25/000991494.shtml。 [6] 北京啟迅網安科技有限公司(2005)，什麼是動態口令，存取於 2006 年 7 月 8 日，http://www.chiction.cn/tech/base/base2005042501.htm。 [7] 初 英 (2006) ， 資 訊 安 全 的 新 寵 ， 存 取 於 2006 年 7 月 11 日 ， http://www.96112.com.cn/company/qyculture/qyculture06-48.html。 [8] 胡百進(2002)，SQL Injection (資料隱碼)– 駭客的 SQL 填空遊戲(上)(下)， 存 取 於 2006 年 5 月 7 日 ， http://www.microsoft.com/taiwan/sql/SQL_Injection_G1.htm。

[9] 翁木龍、楊中皇、蔡瑞明(2002)，Linux 環境下以 AES 及 SHA-256 強化 VPN 的設計與實現，第十三屆國際資訊管理學術研討會，pp. 541-548。 [10] 陳彥學(2000)，資訊安全理論與實務，文魁資訊股份有限公司。 [11] 陳軒正(2003)，結合 IC 卡之校園安全網頁系統的設計與實現，國立高雄師 範大學資訊教育研究所碩士論文。 [12] 陳揮文(2002)，駭客「資料隱碼」攻擊，存取於 2006 年 6 月 11 日， http://techart.tnua.edu.tw/~suchu/www/Whats-new/News/2002/2002-0422-1.ht ml。 [13] 許沁如(2004)，結合智慧卡之通行碼認證機制研究，世新大學資訊管理學研 究所(含碩專班) 碩士論文。 [14] 張思源(2003)，Web 服務安全之標準及實務應用，財團法人資訊工業策進會。 [15] 楊中皇(2006)，網路安全理論與實務，金禾出版社。 [16] 楊萬悅(2005)，「動態密碼」，舞動網銀個人金融理財服務！，存取於 2006 年 5 月 10 日，http://lottery.hncb.com.tw/monthly/mon025/02503.pdf。 [17] 賴松溪、韓亮、張真誠(2003)，近代密碼學及其應用，旗標出版有限公司。 [18] 謝續平(2004)，交通大學網路安全授課資料，存取於 2006 年 5 月 20 日， http://dsns.csie.nctu.edu.tw/course/netsec/2004fall/。

[19] Chris Anley(2002)，Advanced SQL Injection In SQL Server Applications，存取

於 2006 年 5 月 11 日 ，