具隱私協商與風險管理之聯合服務架構---總計畫

行政院國家科學委員會專題研究計畫 成果報告

具隱私協商與風險管理之聯合服務架構--總計畫 研究成果報告(完整版)

計 畫 類 別 ： 整合型

計 畫 編 號 ： NSC 98-2218-E-011-018-

執 行 期 間 ： 98 年 10 月 01 日至 99 年 08 月 10 日 執 行 單 位 ： 國立臺灣科技大學資訊管理系

計 畫 主 持 人 ： 吳宗成

共 同 主 持 人 ： 簡宏宇、廖鴻圖、查士朝、羅乃維、何煒華 計畫參與人員： 碩士級-專任助理人員：黃淑惠

學士級-專任助理人員：黃民均 學士級-專任助理人員：江茹芸

碩士班研究生-兼任助理人員：劉晏辰 博士班研究生-兼任助理人員：葉國暉 博士後研究：蔡國裕

報 告 附 件 ： 出席國際會議研究心得報告及發表論文

處 理 方 式 ： 本計畫可公開查詢

中 華 民 國 99 年 10 月 15 日

I

目 錄

一、前言... 1

二、研究目的... 3

三、研究方法... 6

四、文獻探討... 10

五、結果與討論... 15

參考文獻... 17

1

一、前言

隨著資訊科技與網際網路的高度應用，以及雲端運算的發展，服務提供者 (Service Provider, SP)開始結合異業或同業網站提供聯合服務(Federated Service)。

對於使用者而言，透過聯合服務平台，只需在該平台內某個SP平台中進行註冊，

並透過跨系統的身分認證即可成為其他SP的合法使用者並使用該SP的服務。然 而，因為SP有時並不能夠掌控到底原先會有哪些使用者可以使用其系統，因此，

目前多半是採用票證導向(Ticket-Based)的做法[5], [32]，類似於Kerberos的概念，

當使用者要使用某個服務時，由該服務所信賴的身分管 理機制，去對使用者做認 證，如果該使用者可以使用服務，則由該身分管 理機制發給票證，而為了要區別 使用者在該服務能夠進行的權限(例如能夠使用服務的期限，使用者是否已經成 年等)，身分管理機制可以在票證中加入屬性資訊，讓SP依照屬性內的資訊來決 定使用者的權限。此外，亦可將使用者的個人資料放在票證中以提供給 SP進行 個人化的服務。

然而，在這樣的過程中，也引發許多的問題：

1. 各服務可能使用不同的存取控制模型：雖然身分管理機制可能在票證中放置 使用者的屬性與其他認證資訊，但是不同的SP，不一定能夠運用這樣的資 訊來進行存取控制。舉例來說，如果有一個SP所使用的是DAC的存取控制 模型，收到一個含有屬性資訊的票證時，可能就 不知道該怎麼去處理。更進 一步來說，對於一個組織來說，其內部的資訊系統，在導入單一登入之後，

也同樣形成可視為是一個聯合服務，不同的是，一個企業或組織，往往會存 在有許多非Web界面的既有系統，這也形成在建 立這樣聯合服務的困難。這 也是最近為何許多組織在導入單一登入系統之後，發現只解決帳號的問題並 不足夠，更需要解決權限的問題。

2. 需要解決身分管理機制與 SP的信賴關係：這個問題可以從兩個方面來看：

首先，當SP是以票證為判斷某個使用者是否可以進行存取時， SP要如何決 定身分管理機制是可以信賴的？這就需要有一個建立信賴關係的機制。在過 去，為 了要散布CA的憑證，使用者在安裝電腦時，會一併將一些公認的Root CA之憑證灌入使用者的電腦。但是，目前對於身分管理機制並沒有一個這 樣的機制，因此，減少SP的管理成本是一個可能方式，舉例來說，像是美 國NIST SP800-63[7]，就將身分管理機制在驗證使用者身分的方式，建立一 個保證等級的標準，1是最低，4是最高，而身分管理機制可以在票證中加入 這樣的資訊，以方便SP決定身分管理機制是否可信[31]。然而，這樣的作法 又會引發另一個問題 ─ 誰可以決定身分管理機制是否為可信賴的？而從 另外一個角度來看，因為可能要將使用者的資料提供給SP，身分管理機制 也需要知道SP是否可信[43]。然而，這也面臨到和前述的情形同樣的狀況 - 誰可以決定該SP是否可信或是真的滿足他所揭示的隱私權政策？

3. 使用者隱私的保護：在SP需要使用者的資料時，過去常使用的做法是使用 者導向的做法(User-Centric)，在使用者導向的做法當中，是由使用者依照SP 所提供的隱私權政策來決定是否要給他自己的資料。然而，過去的做法過於 僵化，變成所有的使用者就只能決定是否要接受SP的隱私權政策，而欠缺 一個在中間做協商的機制。而從另一個角 度來看，使用者有時會有匿名使用

2

又能夠確認是具有權限的使用者才能使用資訊服務，又成為另一難題。

基於上述的問題，本整合型計畫預計完成一「具隱私協商與風險管 理之聯合 服務架構」(以下稱之為本整合型計畫)，以達到在聯合服務的應用環境提供具隱 私保護的跨系統身分認證與存取控制，並建立具客製化的隱私保護機制與風險管 理，讓使用者可依SP的可信賴程度，提供相關的隱私資料，如圖1 所示。本計 畫所提出的聯合服務架構包括以下元件或模組：

1. 跨系統的認證及存取控制模組(子計畫1)，主要提供以下功能：

 跨存取控制模型的存取權限交換

 跨資訊服務的權限整合管理

 跨身分管理機制與SP間使用者個人資料交換與提供 而此模組與其他模組的關係如下：

 使用風險分析與管控模組所提供的SP或是身分管理機制的風險分析結 果，去做為是否信賴相關機制的依據

 整合隱私協商模組，使用者可依SP的風險評估而決定要提供或分享的 個人使用者隱私資料內容

2. 用於身分管理之風險分析與管控模組 (子計畫2)，本模組主要提供以下功 能：

 SP或身分管理機制之自我風險評估

 SP或身分管理者之風險資訊揭露

 資訊安全稽核管理

而此模組與其他模組的關係如下：

 提供跨系統認證及存取控制模組，判斷某身分管理機制或是 SP是否可 信的資訊

 提供使用者分析個人資料交給某SP的風險 3. 個人隱私協商模組，本模組主要提供以下功能：

 個人資料管理

 個人隱私偏好設定

 隱私協商與資料提供

而此模組與其他模組的關係如下：

 提供跨系統認證及存取控制模組，是否要提供使用者個人資料的依據

 可依據SP的風險分析與管控模組所提供之風險數值，提供使用者在進

3

圖1 系統架構示意圖 而針對前述之問題，本架構可提供以下之解決方案：

 對各服務可能使用不同的存取控制模型之問題，本計畫的跨系統的認證及存 取控制模組，提供 異質權限資訊的轉換與整合功能，以一方面使得權限資訊 可以交換，另一方面可以便於整合管理

 對於需要解決身分管理機制與 SP的信賴關係之問題，本架構之風險分析模 組，可了解身分管理機制與SP的風險，並且提供相關的稽核軌跡，以確保 風險管理程序的落實

 對於使用者隱私保護而言，本機制提供隱私協商模組，可用 更有彈性的方式 保護使用者隱私。除此之外，並使用密碼學技術，去落實隱私資料之保護

二、研究目的

網際網路上提供的各項網路服務帶給人前所未有的便利性，在進行電子商務 交易時，使用者僅需提供個人資料，即可不用出門輕鬆完成商業交易。且隨著 Web Service 等標準服務界面的出現，政府與企業紛紛採用並將其利用於資料交 換[15]應用上，而 Web Service 是經由 Web 通訊協定與開放式標準資料格式，SP 可以透過Web Service 提供服務給予其他應用程式的軟體元件。但使用者對不同 服務業者進行線上購物時，無法免除在各服務系統註冊使用者個人帳號，使得產 生反覆登入不同SP 所造成的成本與不便。且越來越多的個人資料需要在網站與 組織之間交換，如何建立一個單一登入或身分管理的機制，對使用者進行認證與 存取控制成為一個重點。為滿足隱私與個人資料保護的要求，本聯合服務平台建

跨系統認證及存取 控制模組

個人隱私協商模組 用於身分管理之風

險分析與控管模組

具隱私協商與風險管理之聯合服務架構

4

犯。

本整合型計畫為10個月期計畫，進 行具隱私協商與風險管理之聯合服務架構 之設計與其相關應用系統的實作。主要目的在於規劃與設計具隱私協商與風險管 理之聯合服務架構，整合跨系統的認證及存取控制、用於身分管理之風險分析與 管控、個人隱私協商及用於聯合服務架構之個人隱私資料保護等技術。

總計畫工作內容主要規劃與建立共同開發平台，以供各子計畫開發與測試，

子計畫的主要任務包括建立跨系統的認證及存取控制、用於身分管 理之風險分析 與管控、個人隱私協商、用於 聯合服務架構之個人隱私資料保護等模組。最後整 合各子計畫所開發的技術並移轉至產業界，減少國內相關產業之開發成本與提升 本身的競爭優勢。

本整合型計畫是結合台灣科技大學資管系、暨南大學資管系、東吳大學資管 系及世新大學資管系四個單位與六位教授來共同進行具隱私協商與風險管理之 聯合服務架構之研究；子計畫一主要目的為負責身分提供者(Identity Provude, IDP)之建立，以提供跨系統的身分鑑別與SP與使用者個人資料間的資料交換與提 供，並再搭配隱私協商模組達成使用者可自行決定資料是否提供或分享，確保個 人隱私;子計畫二的風險評估模組主要針對整體情境，發展一套資料安全風險的 檢測工具，讓聯合服務中所成立的風險管理專責單位，能夠使用這套工具去評估 各SP的，並在認證後存入風險資料庫當中。而在另一方面，讓使用者或聯合服 務的身分管理機制，能夠得知這方面的資訊，而藉由判斷個人資料存放在其中的 安全風險，而決定是否要提供個人資料;子計畫三提供隱私協商模組支援跨組織、

跨操作平台的聯合服務架構，並確保服務使用者的隱私權益，為達成此項目的，

個人隱私協商模組在不同情境下，可能需要在使用者端、服務系統端、第三方隱 私授權認證端（或稱身分認證管理端）等多處執行其協商、授權簽章、稽核等功 能。

計 畫 項 目 計 畫 名 稱

總計畫 具隱私協商與風險管理之聯合服務架構

子計畫一 跨系統的認證及存取控制模組

子計畫二 用於身分管理之風險分析與管控模組

子計畫三 個人隱私協商模組

各子計畫相關的研究範疇及分工合作架構敘述如下：

1. 總計畫

 協調與整合總計畫與所有子計畫的資源，並定期召開工作會議以瞭解各 子計畫的執行進度與系統整合

 設計與開發適用的共同開發平台

 整合測試具隱私協商與風險管理的聯合服務的相關模組

 整體系統的測試規劃，使得各子計畫能順利整合

5

 使用者管理模組(User Management Module, UMM)

 提供使用者進行註冊成為本系統的一員，並提供使用者資料進行新 增、管理、修改與刪除的功能

 鑑別模組(Authentication Module, AM)

 提供SP辨識使用者身分與提供使用者登入介面，鑑別後會將鑑別 結果告知SP

 使用者個人資訊交換模組(Personal Information Exchange Module, PIEM)

 提供SP取得使用者個人資訊的介面，當SP要求的使用者個人資訊 符合使用者提出的隱私偏好後，即會將資訊傳遞給SP

3. 子計畫二

 Asset Management Interface

 維護組織的資產資訊，此介面包含二個元件：Asset Management元 件管理組織資產的價值、重要性與可能危害資產的資安事故等等；

Relationship Management 元件管理資產在企業程序間的關聯

 Risk Assessment

 可讓系統管理者去定義潛在的資安事故，並對資安事故作預期損失 的估價，資料儲存於Risk Treatment資料庫

 Risk Treatment Interface

 Risk Treatment資料庫與三個主要的功能元件支援Risk Treatment Interface來進行風險管理。Risk Treatment Management元件用來協 助採取適當的策略來處理風險。Risk Verification元件用來驗證風險 評鑑與風險處理的正確性與有效性。透過Risk Reporter所產生的報 告，使用者可以存取風險管理程序的資訊(ex：風險評鑑與風險處 理的結果)

4. 子計畫三

 使用者端隱私偏好設定模組(User Privacy Preference Module, UPPM)

 建立與維護個別服務使用者的隱私偏好設定

 使用者端隱私協商模組(User Privacy Negotiation Module, UPNM)

6

用者隱私偏好」之比對及篩選機制，並驗證協商結果之一致性

 應 用 程 式 端隱 私 協商模 組 (Application Privacy Negotiation Module, APNM)

 與UPNM進行隱私協商，並儲存個別使用者的隱私偏好選擇

三、研究方法

本整合型計畫主要提供具隱私保護與風險管理的聯合服務架構，包含跨系統 的身分鑑別與使用者個人資料交換服務、評估SP安全風險的檢測工具、個人隱 私資料的協商機制、資料存取授權等功能。本計畫聯合服務模型以OpenID為基 礎設計，OpenID是一種分散式環境下的鑑別機制標準[35], [36]。該標準下的角色 包含IDP、SP與使用者。OpenID的目的是讓使用者只需一組帳號密碼即可與不同 的SP請求服務，並由所註冊的SP進行鑑別服務，增加使用者的方便性與減少遺 失密碼的風險。然而OpenID1.1中的鑑別機制並沒有考慮到使用者資料隱私的問 題，只要SP跟IDP索取，IDP即會在鑑別之後提供索取的資料給SP，不顧使用者 意願。為避免使用者的隱私權受到侵害，進行OpenID補行，在使用者端之瀏覽 器加入隱私協商代理套件(Privacy Negotiation Agent)以自訂使用者隱私政策、與 SP進行隱私協商，並自動化與IDP進行隱私政策完整性之確認，確認後才准許將 資料傳給SP，藉此改善OpenID的隱私性問題。除身分鑑別機制外，使用者也可 藉由安全風險的評估檢測工具判斷個人資料存放在其中的安全風險，而決定是否 要提供個人資料。

本整合型計畫的研究以開發跨系統的認證及存取控制模組、解決身分管 理機 制與SP的信賴關係，與提供更有彈性的方式保護使用者隱私為主，而總計畫則 在於統籌規劃與建立共同平台（Common Platform）為目的，平台建立架構包括 有(1)系統環境關係圖(如圖2所示)、(2)系統架構圖(如圖3)、(3)系統整合流程圖(如 圖4所示)，藉以整體系統之規劃，使得各子計畫能順利整合。

圖2為系統環境關係圖，其說明具隱私協商與風險管理之聯合服務架構之環 境，整合跨系統的認證及存取控制、用於身分管理之風險分析與管控、個人隱私 協商及用於聯合服務架構之個人隱私資料保護等技術。

7

圖2 系統環境關係圖

圖3為具隱私協商與風險管理之聯合服務架構流程。假設使用者已於 IDP註 冊使用者相關資訊，與評估Web Application相關風險等級情況下。步驟1至3為使 用者取得IDP。當使用者對應用程式提出服務請求時，應用程式將會要求使用者 輸入IDP帳號並記錄使用者選擇的IDP。步驟4至步驟9為隱私協商流程。在取得 IDP位置後，隱私協商模組應用端(以下稱之應用端)利用HTTP標頭(Header)傳送 隱私協商政策。隱私協商模組的User Agent(以下稱之User Agent)偵測到P3P標頭 資訊存在後，將解析隱私政策XML檔案內容，並記錄所有應用端程式所提出的 隱私協商選項。接著User Agent解析應用程式隱私政策的個人資料項目，並與使 用者個人資料偏好設定進行比對。若使用者願意提供的個人資料項目滿足應用端 程式預設隱私政策需求，則隱私協商成功，User Agent將透過HTTP協定傳回預設 隱私政策URL給應用端。若隱私偏好比對失敗，則進行使用者隱私協商建議步驟 (步驟7至8)。

在隱私偏好比對失敗的情況下，應用端會提供隱私協商政策與風險評估模組 對Web Application做的風險評鑑資訊，並且User Agent會針對應用端所提供的隱 私協商政策進行隱私洩漏程度分析，進而讓使用者了解Web Application所存在的 風險等級與提供使用者選取建議的隱私政策。使用者不接受隱私協商模組所建議 的協商策略，亦可自行選擇隱私協商結果，或選擇不接受協商。若使用者在感受 到Web Application高風險的情況下，又或是沒有使用者願意接受的建議隱私政策，

User Agent將會回傳隱私協商失敗訊息給應用端。若使用者根據本身隱私需求選 擇適當的應用端提供的隱私政策(步驟8)，User Agent將會對協商結果所產生的隱 私政策之內容進行SHA-1運算[41]，並透過HTTP協定，告知應用端使用者所選擇 的隱私政策(步驟9)。

隱私協商模組 使用者

隱私協商模組

服務提供者

風險評鑑伺服器

8

子計畫二 風險評估模組(RAM) Web application

應用程式端

子計畫三:

隱私協商模組 (PNP)

身份提供者(IdP)

子計畫一 跨系統認證及存取控制

模組(ACC)

User agent

子計畫三:隱私協商模組(PNP) 3.回應所要使用的IdP

4.提供網站隱私政策

5.比對使用者設定 與網站預設隱私政策

6.比對成功/失敗

9.回應隱私協商結果

10.請求使用者資料 11.重導至登入頁面

12.提供身份驗證資料 13.請求驗證

協商結果一致性 14.驗證SHA1 成功/失敗

17.傳回使用者資料

7.(失敗)提供建議備選隱私政策 8.選擇隱私建議

使用者

15.取得使用者同意 16.接受/拒絕

選擇性流程 必要流程

圖3 系統架構圖

步驟10至17為使用者個人資料取得。應用端透過User Agent將隱私政策協商 結果URL、應用程式端身分識別碼、與所要求的各人資料項目，傳送給使用者所 選擇的IDP(步驟10)。IDP接收User Agent傳送之請求後，首先會對使用者身分進 行辨識。IDP將檢查使用者是否已登入服務，若未登入時，則要求使用者於登入 頁面中輸入使用者名稱、密碼等資料以進行登入動作(步驟11至12)。使用者登入 後，IDP根據隱私政策協商結果URL的內容進行SHA-1運算，並利用HTTP重導的 方式將SHA-1結果放置瀏覽器網址列(圖3步驟13)。User Agent比對先前協商結果 的SHA-1值與IDP所傳送的SHA-1值是否相同，若兩值相同，則代表隱私協商之 結果未被修改，User Agent透過HTTP回傳SHA-1驗證成功訊息給IDP。若SHA-1 比對結果不一致，代表協商結果可能被應用程式修改，則User Agent回傳SHA-1 驗證失敗訊息給IDP。當IDP確認協商結果未被修改，且應用程式要求之個人資 料符合隱私協商結果，則顯示使用者同意畫面告知使用者應用程式欲存取使用者 的個人資料項目，使用者將可選擇是否同意應用程式存取個人資料。若SHA-1驗 證成功且使用者同意分享個人資料，則IDP將回傳使用者個人資料給應用端；若 SHA-1驗證失敗或使用者拒絕分享個人資料，則IDP回傳驗證失敗訊息給應用 端。

當應用端確認使用者身分辨識成功，並取得使用者個人資料，即可在保護使 用者隱私的狀況下，同時提供網路服務。經由以上介紹，可清楚表現出，此整合 型計畫所提出的架構，可讓使用者在了解風險等級的網站中，可讓使用者自行決 定隱私偏好，讓使用者自行決定隱私協商 结果，並且確保使用者個人資訊是向第 三方取得，而取得的使用者資料也能夠符合先前的隱私協商結果。

9

的報告 ，並存放於資料庫中，可讓其他子計畫能夠以RESTful Web Service的方式，

取得某企業或組織的風險資訊。圖4則提供一個風險資訊揭露之範例，為考慮未 來的延展性，此查詢結果以XML方式呈現，其中，<Rank>欄位即表示所彙整的 風險等級。

<RiskReport>

<RS><ID>0001</ID><URL>http://140.118.19.26/Demo1/</URL>

<CName>洋宏宏資訊開發有限公司</CName>

<Location>台南市同安路 999 號</Location><Rank>A</Rank>

</RS>

<Verification><Verifier>NTUST</Verifier>

<Date>20100320</Date></Verification>

</RiskReport>

圖4 風險資訊揭露，以XML為例

圖5是說明針對三個子系統共同運作流程，我們將以多組不同類型使用者相 關資訊進行系統測試，整體系統運作流程如下：一、使用者於IDP註冊：輸入使 用者基本資料，如姓名、生日、地址等；二、自訂隱私政策：基於P3P標準協定，

可以自訂不同使用者之隱私政策；三、選擇應用服務：從虛擬之應用服務，選擇 其中一項服務，進行測試；四、隱私協商：選定應用服務後，SP與使用者進行 隱私協商。若協商成功，則繼續執行身分鑑別；否則重新選擇進行隱私協商；五、

身分鑑別：SP向IDP取得使用者相關資訊，以判斷使用者是否存取權限。若鑑別 成功，則取得所需之服務；否則重新選擇應用服務。

此外，將技術移轉至合作廠商，其中 龍捲風科技主要產品或業務：龍捲風科 技 整 合 資 訊 檢索 (Information Retrieval) 、 自 然 語 言 處理 (Natural Language Processing)、自動分 類技術(Semantic Filter)及智慧型代理人(Intelligent Agent)等優 越的核心技術預計將身分管理驗證機制系統(包含：身分鑑別、存取控制及個人 隱私協商等模組)導入其應用定位即播系統，以加強系統之存取控制的安全性；

惟新科技股份有限公司主要產品與業務為網路安全(Network Security)、內容安全 (Content Security) 、 應 用 程 式 安 全 (Application Security) 、 風 險 管 理 (Risk Management)，預計將風險評估模組導入其企業資訊系統中，以進行風險評估與 分析。

10

圖5 系統整合流程圖

四、文獻探討

以下將對本計畫相關之技術與研究，包含OpenID鑑別協定、OpenID規範、

資 訊 安 全 風 險 管 理 程 序 、 Single Sign-On(SSO) 、 Federated Identity Management(FIM) 、 Federated Identity and Access Management(FIAM) 、 P3P(Platform for Privacy Preferences)規範等作一概略性的介紹，並且說明其與本 計畫之相關性。綜觀與本研究相關之重要 理論與文獻，茲以各種重要之理論領域 區分說明如下：

1. OpenID規範

OpenID鑑別協定是由Live Journal的Fitzpatrick於2005年所提出[4]，現今規範 皆由OpenID Foundation所制定。OpenID是採取去中心化的線上身分鑑別協定，

為讓使用者不需要為每個SP註冊帳號密碼，OpenID設立一個負責鑑別使用者的

自訂隱私 政策

選擇應用 服務

隱私協商

身分鑑別

取得所需之 服務 進行隱私協商

進行身分鑑別

11

過其他IDP鑑別使用者以使用服務；亦可同時為IDP，提供使用者註冊與資料管 理，並為其他SP提供身分鑑別的服務。

如今OpenID的IDP包含Google、Yahoo、AOL等，SP包含WordPress、Blogger 等。可見許多著名的網站與服務皆已加入OpenID協定，可透過OpenID協定進行 身分鑑別或提供服務。於2007年已有4500家網站整合OpenID協定，Yahoo於2008 年宣布已有2.48億使用者註冊Yahoo ID[36]，足見OpenID使用推展之快。因此本 計畫採用OpenID作為鑑別機制的基礎進行延伸，在與各大網站可以溝通的基礎 下再進行機制補強。

OpenID規範包含三個角色，分別為使用者、依賴方(Relying Party)與IDP，分 別簡述如下[35][36]：

 使用者：想要透過IDP向依賴方表明身分，並使用依賴方服務的人

 依賴方：提供服務的網站，會利用IDP鑑識使用者的身分。亦會被稱為 SP

 身分提供者：提供OpenID鑑別服務的網站，可透過OpenID URL、XRI 等方式辨識使用者並進行鑑別。亦會被稱為OpenID提供者(OpenID Provider)

OpenID 鑑 別 協 定 分 為 同 意 階 段 (associate) 、 立 即 檢 查 ID 階 段 (checkid_immediate)、檢查ID階段(checkid_setup)與鑑別階段(check_authentication)，

分別敘述如下

 associate：SP與IDP建立管道以交換秘密參數，在OpenID規範中建議使 用的交換演算法是Diffie-Hellman Key Exchange，並利用雜湊函數確認 完整性。此階段採用POST的方式進行傳遞，請求訊息包含模式與會議 方式；回應內容包含會議識別值、期限、公鑰與秘密參數的雜湊值。

 checkid_immedicate：辨識使用者宣稱的身分是否合法。此階段採用GET 的方式進行傳輸，請求訊息包含模式、使用者身分識別值、會議識別值、

回應位址與信任的根目錄；回應內容除請求內容外，亦包含簽章欄位與 簽章內容，以確認回傳內容的完整性與不可否認性。

 checkid_setup：辨識使用者宣稱的身分是否合法，但會等待IDP進行鑑 別的動作。其傳遞內容與checkid_immedicate只有些微不同，主要在於 模式方面會包含回應或取消的值。

 check_authentication：詢問IDP訊息是否合法，通常是無法進行狀態控制 的SP收到一個無法辨識的會議辨識值時進行。此階段使用POST方式進 行傳輸，請求訊息包含所有傳輸內容與其簽章，回覆訊息會告知正確或 錯誤。

對於使用者、SP與IDP的詳細流程，如Google的Federated Login for Google Account Users[18](如圖6所示)如下圖所示：

12

圖6 Federated Login for Google Account Users [18]

2. 資訊安全風險管理

近年來，企業或組織紛紛建立資訊安全風險管理程序。簡單來說，企業或組 織可以透過資訊安全風險管理程序，找出本身所具有的安全風險或可能發生的意 外事件，並且找出最有效率與效果的處理程序，並對於風險管理程序進行檢討以 確保其持續落實。而從文獻中，一般將資訊安全風險管理程序分為以下幾個主要 的步驟[17], [44], [48]：

 經過風險識別，辨識出對於企業或組織可能造成衝擊的意外事件。

 透過風險評鑑，去評估這些意外事件的發生機率與衝擊，以便評估其期 望損失。

 依照風險評之結果，決定如何進行風險處理。一般常見的處理方法包 括：

 控制：選擇適當的控制措施來控制風險，以便使該意外事件的風險 等級降至組織可接受的範圍之內。

 接受：若風險項目的風險等級為組織所願意承擔的，則接受此風險 項目。

 轉嫁：透過保險等方式，將風險項目轉移至他者。

13

其他的處理時，則迴避可能會導致發生此風險項目發生的風險因 子。

 透過風險監控去確保風險處理措施的有效性，並定期或不定期重新評估 風險，以便確保風險識別與評估結果之有效性。

在1990年代初期，已經約有超過五十種以上的風險管理方法或工具被提出 [2]。隨著資訊安全風險管理持續的演進，有些方法或工具被淘汰，有些則是更 加成熟。本研究檢視市面上諸多資訊安全風險管理方法與工具，包括：Callio[8]、

COBRA[10]、CounterMeasures[11]、CORAS[12]、CRAMM[13]、EAR/Pilar[16]、

GSTOOL[21]、MODULO[33]。發現這些系統正如本研究所訪談專家之意見，雖 然各自的功能都有提供，但是較少從決策者的角度，提供從評估、處理，到後續 監控的完整考量。

3. Single Sign-On (SSO)、Federated Identity Management (FIM)、Federated Identity and Access Management (FIAM)

為減少使用者因為無法記憶密碼而將密碼寫下來或是使用簡單密碼等安全 風險，像是RADIUS(Remote Authentication Dial in User Service) [40]與Kerberos[16]

等單一登入系統即被開發出來。讓使用者只要登入一次，就能使用組織內的多個 不同系統[17], [18]。基本上，傳統的單一登入系統比較針對讓企業的員工去存取 該企業內的不同資訊系統。今年來，聯合身分管理系統被提出，更進一步考慮到 跨組織存取的問題。簡單來說，聯合身分管理系統(Federated Identity Management, FIM)要讓不同的組織可以聯合起來，而使用者只要登入一次，就可以使用到不 統組織所提供的服務[6]。在目前，已有許多有關跨系統身分認證與存取機制的 標 準 被 提 出 ， 像 是ID-FF[23]、SAML[39]、Akenti[45]、WS-Federation[21]、

OpenID[22]、CardSpace[23]。除此之外，Shibboleth、GridShib、MAMS、SWIFT 等系統被提出而應用在網格運算等環境當中。由於目前跨系統身分認證與存取機 制的標準很多且相容性不高，因此如何整合不同標準的界面亦是重要的研究課題，

因此，陸續有許多研究[27], [37], [24]在探討不同標準或系統。

除單一登入與聯合身分管理系統的功能外，聯合身分及存取管理系統更進一 步考量到使用者跨系統進行存取的存取控制與授權問題。就目前來說，多半會採 用Ticket-Based或是斷言導向(Assertion-Based)的方法，由使用者取得存取服務用 的票證，票證是由一個由SP所信賴的對象所發給，當中有使用者的個人資料屬 性，而SP就可依此票證的內容來決定使用者得權限。因為牽涉到信賴關係，所 以如何讓IDP、SP與使用者之間互相知道彼此的可信賴程度或安全等級，就是一 個相當重要的事。舉例來說，IDP可以將其依照NIST SP 800-63的認證信賴等及 放在票證當中，SP就可以知道這個使用者是被用什麼強度的認證方式所認證，

而可以提供不同的服務[30]。

4. P3P(Platform for Privacy Preferences)規範

為 保 障 使 用 者 網 際 網 路 隱 私 權 ，W3C 提 出 P3P(Platform for Privacy

14

站如何使用客戶個人資料。網站隱私政策將會透過HTTP協定的表頭(Header)傳送 給使用者代理程式(User Agent)。目前市面上的P3P使用者代理程式，多內建於網 路瀏覽器中。例如Internet Explorer瀏覽器，可讓使用者透過隱私權設定，管理網 站如何存取使用者Cookie。當IE收到P3P隱私政策後，若隱私政策所宣告的Cookie 存取方式超過與使用者設定門檻，則會顯示警告訊息。目前IE與Firefox瀏覽器的 P3P使用者代理程式，皆未針對隱私政策內的使用者個人資料欄位進行處理，因 此雖然網站有宣告P3P隱私政策，但是IE與Firefox瀏覽器，皆無法透過P3P保護 使用者個人資料。

在P3P規範下，隱私政策是靜態且無法改變，網站對所有使用者都使用相同 的隱私政策。網站若遵照P3P規範，並無法針對不同使用者隱私偏好，提供不同 服務。此外，當使用者無法接受部份隱私政策時，僅能選擇不使用網站服務。P3P 隱私政策宣告使用XML格式，因此具備完善的語法擴充性。在1991年，Anderson 提出P3P隱私政策宣告的XML擴充語法[38]，網站可在隱私政策內新增協商相關 協商標籤(Tag)讓隱私政策具有選擇性，使用者可根據個人偏好選擇隱私政策。

Bajaj等學者亦提出P3P隱私協商的擴充語法[3]，網站與使用者接可在隱私政策的

<DATA>標籤內，宣告自己的協商可接受條件。此外，網站可使用<REWARDS>

標籤，利用折價或試用產品的方式吸引使用者在協商過程提供更多個人資料。

讓同一網路服務下，不同使用者可有不同的隱私偏亦是近年來隱私協商的研 究重點。Bard利用矩陣(Matrix)的方式來儲存網站的隱私宣告與使用者的隱私偏 好[4]。矩陣的欄位代表個人資料項目，矩陣的列代表網路服務目。而矩陣內的 值代表個人資料的重要程度。透過矩陣，可快速比對雙方的可接受隱私策略。[47]

亦使用矩陣的方式儲存使用者隱私偏好。每當隱私協商結果改變時，使用者代理 程式皆會送出隱私更新訊息，使網站伺服器保有最新的使用者隱私偏好。

當隱私協商結果產生後，將使用者隱私偏好存在SP的伺服器，雖然讓每位 使用者可有不同的隱私偏好。但是，使用者無法檢驗網站的協商結果的正確性，

也無法確保網站服務的資料存取是否有照使用者隱私偏好進行。為強制應用程式 存取使用者資料時，能照協商結果進行，Bertocci等學者說明網路服務在存取使 用者資料前，必須根據使用者隱私偏好矩陣，存取使用者資料[47]。但因使用者 偏好放置於網路服務端，因此使用者並沒辦法確認網路服務存取資料是否依照隱 私協商結果。為強制網路服務能遵照協商結果存取資料，[42]提出將隱私協商結 果簽章後，存放在可信任第三方伺服器(Trusted Third Party, TTP)。當使用者有個 人隱私侵犯的疑慮時可透過TTP求證。TTP會定期要求網路SP的存取紀錄(Logs)，

並驗證存取紀錄是否與之前使用者隱私協商結果相同。雖然在此架構下，使用者 可透過TTP驗證存取紀錄，但是存取紀錄卻是由網路SP所提供，並無法確認存取 紀錄是否有被刻意修改。

15

五、結果與討論

OpenID 雖然有提供網路服務傳遞隱私政策的方式，但因為 IDP 無法辨別網 路服務傳送的隱私政策是否與使用者的隱私協商結果相同，造成OpenID 無法檢 驗應用程式存取個人身分或資料時，是否有違反隱私協商結果，並且無法了解判 斷個人資料存放在其中的安全風險。有鑑於應用程式在取得 IDP 提供的使用者 身分或個人資料時存在侵犯隱私的可能性，本整合型計畫提出一個適用於 OpenID 的隱私協商架構，以保障網路使用者的個人隱私。在本架構中，使用者 可以自訂隱私政策並了解合作SP 之風險等級，並讓使用者或聯合服務的身分管 理機制，能夠得知這方面的資訊，而藉由判斷個人資料存放在其中的安全風險，

而決定是否要提供個人資料。因此，本計畫達成之成果如下：

1. 提供具隱私保護的跨系統身分鑑別機制：本計畫以 OpenID 為基礎，並整合 隱私協商機制，除達到跨系統的身分鑑別功能，並加入隱私協商功能，讓使 用者進行跨系統的登入與身分認證時，還兼具客製化的隱私保護功能，以保 護使用者個人隱私資料。

2. 提供跨系統個人資訊交換：以 OpenID 為基礎，除可以供原本 OpenID 之 SP 於鑑別時請求使用者資料外。在與隱私協商模組合作時，可透過與其套件溝 通確認使用者是否願意傳輸該內容以確保使用者的意願與隱私。

3. 使用者可自訂個人隱私偏好與協商策略，而應用程式可對不同的使用者，提 供不同的隱私政策。此外，IDP 可檢驗應用程式所宣告的隱私政策，是否與 使用者協商結果相同，達到保護使用者個人資料隱私之目的。

4. 本計畫僅加入部分欄位與新增步驟即可達到隱私協商的功能，更可提昇使用 者的網頁瀏覽經驗。新增步驟部分可以參考圖 1，而新增加的欄位包含 openid.sreg.policyresult、openid.sreg.appid、openid.sreg.policy、openid.sreg.

policysig、openid.sreg.policytoken 與 openid. sreg.negid。

5. 解決聯合服務的使用者無法了解所使用服務的安全風險的問題。

6. 提供一套協助組織去建立風險管理制度貨評估自身資訊安全風險的工具，而 本工具可讓使用者依本身的需求，客制化風險評估項目。並可有從整體的角 度去監控風險評估的結果。此工具除可應用在其他子計畫外，也可以解決目 前企業界進行風險管理時所面對到工具太複雜的問題，而可有效提升整體資 訊安全。

在實務應用方面，本合型計畫之成果將可應用於：

1. 雲 端 運 算 (Cloud Computing) ： 雲 端 運 算 主 要 是 對 使 用 者 Service on Demand[34]，即提供使用者服務所需的資源。然而雲端運算亦需要進行使用 者之鑑別才可以將資源提供給使用者，而雲端運算之架構又與聯合服務相近 [4]，因此本計畫也適用於雲端運算的環境之中。

2. 在隱私協商部份僅對個人資料維度(Dimension)進行協商，未來將會擴充協商 維度，使協商機制更加彈性。

3. 資料安全風險的檢測工具可以解決目前企業界進行風險管理時所面對到工 具太複雜的問題，而可有效提升整體資訊安全。

16

以及國際會議被接受發表[9], [25], [28], [29], [46], [49], [50]，以期能將我們所提 出之研發成果與國際密碼研究社群分享。其中，論文[40]獲選2010 e-CASE &

e-Tech International Conference (舉辦地點：澳門Macau) 的Distinguished Paper (最 佳論文)，論文[9]獲選The 5th Joint Workshop on Information Security (JWIS 2010) (舉辦地點：中國廣州)的最佳論文。在人才培育方面，本計畫所培育兼具資通安 全理論研究與實務應用之人才，未來將可以投入雲端運算服務等相關科技產業，

提昇我國科技產業之理論研究與實作技術的能量。

17

參考文獻

[1] W.A. Alrodhan and C.J. Mitchell, "A Client-Side Cardspaceliberty Integration Architecture," Proceedings of the 7th Symposium on Identity and Trust on the Internet, pp.1–7, 2008.

[2] A.M. Anderson, "Comparing Risk Analysis Methodologies," Proceedings of the IFIP TC11 Seventh International Conference on Information Security, pp.

301-311, 1991.

[3] S. Bajaj, G. Della-Libera, B. Dixon, M. Dusche, M. Hondo, M. Hur, C. Kaler, H.

Lockhart, H. Maruyama, A. Nadalin, N. Nagaratnam, A. Nash, H. Prafullchandra, and J. Shewchuk, Web Services Federation Language (WSFederation), Specification Version 1.0, 2003.

[4] F. Bard, "Distributed Identity: Yadis," http://community.livejournal.com/lj_dev/

683939.html

[5] R. Bhatti, E. Bertino, and A. Ghafoor, "An Integrated Approach to Federated Identity and Privilege Management in Open Systems," Commun. ACM, Vol.50, No.2, pp.81-87, 2007.

[6] A. Buecker, W. Filip, H. Hinton, H.P. Hippenstiel, M. Hollin, R. Neucom, S.

Weeden, and J. Westman, "Federated Dentity Management and Web Services Security with IBM Tivoli Security Solutions," IBM, 2005.

[7] W.E. Burr, D.F. Dodson, and W.T. Polk, "Electronic Authentication Guideline,"

NIST SP 800-63 Version 1.0.2, National Institute of Standards and Technology, http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf, 2006.

[8] callio. http://www.callio.com/

[9] H.G. Chien, J.Z. Yen, and T.C. Wu, "An Unconditionally Secure Lightweight RFID Authentication Protocol with Untraceability," The 5th Joint Workshop on Information Security (JWIS), 2010.

[10] COBRA. http://www.riskworld.net/

[11] CounterMeasures. http://www.countermeasures.com/

[12] CORAS. http://coras.sourceforge.net/

[13] CRAMM. http://www.cramm.com/

[14] L. Cranor, M. Langheinrich, M. Marchiori ,M. Presler-Marshall, and J. Reagle,

"The Platform for Privacy Preferences 1.0 (P3P1.0) Specification," W3C Recommendation, http://www.w3.org/TR/P3P/, 2002.

[15] L. DeLooze, "Providing Web Service Security in a Federated Environment,"

IEEE Security & Privacy, Vol. 5, No. 1, pp. 73-75, 2007.

[16] EAR / Pilar. http://www.ar-tools.com/

[17] J.H.P. Eloff, L. Labuschagne, and K.P. Badenhorst, "A Comparative Framework for Risk Analysis Methods," Computers & Security, Vol 12, No 6, pp.597–603, 1993.

[18] Federated Login for Google Account Users, http://code.google.com/intl/zh-TW/

apis/accounts/docs/OpenID.html

[19] A. Gopalakrishnan, "Cloud Computing IdentityManagement," SETLabs Briefings, Vol. 7, No. 7, pp. 45-54, 2009.

[20] M.F. Grubb and R. Carter, "Single Sign-On and the System Administrator,"

Proceedings of the 12th Conference on Systems Administration, pp.63–86, 1998.

[21] GSTOOL. http://www.bsi.bund.de/gstool/

[22] D. Hardt, J. Bufu,and J. Hoyt, "OpenID Attribute Exchange 1.0," OpenID Foundation, http://openid.net/specs/openid-attribute-exchange-1_0.html, 2007.

[23] J. Hodges, T. Wason, J. Kemp, and P. Thompson, "Liberty ID-FF Architecture

18

[24] J. Hoyt, J. Daugherty, and D. Recordon, "OpenID Simple Registration Extension 1.0," OpenID Foundation, http://openid.net/specs/openid-simple-registration- extension-1_0.html, 2006.

[25] C.L. Hsu, T.C. Wu, and K.Y. Tsai, "Certificateless Authenticated Key Distribution and Conference Key Distribution Schemes," Proceedings of e-CASE & e-Tech International Conference, pp. 2532 - 2548, 2010.

[26] J. Kohl and C. Neuman, "The Kerberos Network Authentication Service (V5),"

RFC 1510, 1993.

[27] Y. Lee, D Sarangi, O. Kwon, and M. Kim, "Lattice Based Privacy Negotiation Rule Generation for Context-Aware Service," Ubiquitous Intelligence and Computing, pp. 340-352, 2009.

[28] N.W. Lo and K.H. Yeh, "A Secure Communication Protocol for EPCglobal Class 1 Generation 2 RFID Systems," Proceedings of IEEE 24th International Conference on Advanced Information Networking and Applications Workshops, pp. 562 - 566, 2010.

[29] N.W. Lo and K.H. Yeh, "De-synchronization Attack on RFID Authentication Protocols," International Symposium on Information Theory and its Applications, 2010.

[30] M. Maaser, S. Ortmann, P. Langendorger, "NEPP: Negotiation Enhancements for Privacy Policies," in W3C Workshop on Languages for Privacy Policy Negotiation and Semantics-Driven Enforcement, 2006.

[31] P. Madsen and H. Itoh, "Challenges to Supporting Federated Assurance,"

Computer, Vol.42, No.5, pp.42–49, 2009.

[32] E. Maler and D. Reed, "The venn of identity: Options and Issues in Federated Identity Management," IEEE Security and Privacy, Vol.6, No.2, pp.16–23, 2008.

[33] MODULO. http://www.modulo.com/

[34] D. Nurmi, R. Wolski, and C. Grzegorczyk, "The Eucalyptus Open-Source Cloud-computing System," Proceedings of the IEEE/ACM International Symposium on Cluster Computing and the Grid, pp. 124-131, 2009.

[35] OpenID, http://en.wikipedia.org/wiki/OpenID [36] OpenID Foundation, http://openid.net/

[37] F. Paci, R. Ferrini, A. Musci, and E. Bertino, "An Interoperable Approach to Multifactor Identity Verification," Computer, Vol.42, No.5, pp.50–57, 2009.

[38] S. Preibusch, "Privacy Negotiations with P3P," in W3C Workshop on Languages for Privacy Policy Negotiation and Semantics-Driven Enforcement, 2006.

[39] N. Ragouzis, J. Hughes, R. Philpott, E. Maler, P. Madsen, and T. Scavo,

"Security Assertion Markup Language (SAML) v2.0 Technical Overview,"

OASIS Committee Draft 02, 2008.

[40] C. Rigney, A. Rubens, W. Simpson, and S. Willens, "Remote Authentication Dial In User Service (RADIUS)," RFC 2138, 1997.

[41] SHA-1, http://en.wikipedia.org/wiki/SHA-1.

[42] G. Singh and S. Singh, "A Comparative Study of Privacy Mechanisms and a Novel Privacy Mechanism," Information and Communications Security, pp.

346-358, 2009.

[43] A.C. Squicciarini, A. Czeskis, and A. Bhargav-Spantzel, "Privacy Policies Compliance Across Digital Identity Management Systems," Proceedings of the SIGSPATIAL ACM GIS 2008 International Workshop on Security and Privacy in GIS and LBS, SPRINGL’08, pp. 72-81, 2008.

[44] The Committee of Sponsoring Organizations of the Treadway Commission

19

Publications, 2004.

[45] M.R. Thompson, A. Essiari, and S. Mudumbai, "Certificatebased Authorization Policy in a PKI Environment," ACM Transactions on Information and System Security, Vol.6, No.4, pp.566–588, 2003.

[46] K.Y. Tsai, T.C. Wu, C.L. Hsu, and K. Martin, "Provably Secure Concurrent Multisignature with Document Decompostition," Cryptology and Information Security Conference, 2010.

[47] V. Venkatakrishnan, W. Xu, and R. Sharda, "On Supporting Active User Feedback in P3P," 2nd Workshop on Secure Knowledge Management (SKM '06), 2006.

[48] M.E. Whitman and H.J. Mattord, Management of Information Security, 2nd Edition, Course Technology, 2007.

[49] K.H. Yeh, N.W. Lo, Y.J. Li and E. Winata, "An Adaptive n-Resolution Anti-Collision Algorithm for RFID Tag Identification," Proceedings of IEEE 24th International Conference on Advanced Information Networking and Applications Workshops, pp. 335 - 338, 2010.

[50] K.H. Yeh, and T.C. Wu, "Formal Analysis on RFID Authentication Availability,"

The 2nd Provable Security International Conference, 2010.

1

р

р୯ൔ֋ਜ

ൔ֋ВයǺ2008/08/23

ൔ!֋!Γ!!! ύЎǺֆےԋǵᙁֻӹǵᛥΏᆢ! ѦЎǺTzong-Chen WuǵHung-Yu ChienǵNai-Wei Lo!

୍ܺൂՏϷ!

ᙍᆀ!

୯ҥѠ᡼ࣽמεᏢၗૻᆅ౛س௲௤ǵ୯ҥᄤࠄ୯ሞεᏢၗᆅس௲௤ǵ ୯ҥѠ᡼ࣽמεᏢၗૻᆅ౛سշ౛௲௤!

ൔ֋Ьᚒ!

!

The 5th Joint Workshop on Information Security (JWIS 2010) р୯ൔ֋

ୖೖВය! Ծ 98 ԃ 08 Д 04 В Կ 99 ԃ 08 Д 07 В

ୖೖൂՏ!!!!

)୯ ୯ǵࠤѱ*!!

!

ύ୯(ቶԀǴࠄ๮ၭ཰εᏢ)ġ

р୯Ҟ኱

ว߄ፕЎǴว߄ϐፕЎӜᆀ

1. An Unconditionally Secure Lightweight RFID Authentication Protocol with Untraceability, Hung-Yu Chien, Jia-Zhen Yen, Tzong-Chen Wu

2. Formal Analysis on RFID Authentication Availability, Kuo-Hui Yeh, Nai-Wei. Lo, Tzong-Chen Wu

΋ǵ཮᝼ݮଆ

JWIS (Joint Workshop on Information Security)ଆྍܭ 2006 ԃǴಃ΋ۛ JWIS җᗬ୯ KISA(the Korea Institute of Information and Cryptology)ᆶ В ҁ IEICE ޑ ICSS(the Information and Communication System Security of the Institute of Electronics, Information and Communication Engineers)ᖄӝЬᒤǴ٠җᗬ୯లܴζηεᏢ (Sookmyung Womenȷs University)ޑԾฅࣴزᐒᄬ (Research Institute of Natural Science)ॄೢᝢჄᖐᒤǴ཮᝼Ӧᗺࣁᗬ୯२ᅟޑలܴζηεᏢǶҗᗬ୯ ቼᅚεᏢ(Kyung Hee University) Prof. Man Young Rhee ᆶВҁύѧεᏢ(Chuo University)Prof. Hideki Imai ᏼҺ advisory committeeǴ٠җВҁ KDDI/NICT ޑ Koji Nakao Ӄғᆶᗬ୯ۯቼεᏢ(Yonsei

University)Prof. Joo Seok SongӅӕᏼҺε཮ЬৢǶ྽߃ЬືۓՏࣁӼӄᔈҔϐמೌᆶჴ୍Бय़Ǵ

ࣁᏢೌࣴزᆶҾ཰ว߄ࣴزԋ݀ᆶ૸ፕޑࣴ૸཮ǶԜѦǴεᏢҭᗎፎኧՏണрϐၗӼ஑ৎ຾Չ஑

ᚒᄽᖱǶಃΒۛ߾җӕኬࢂҗᗬ୯ KISA ᆶВҁ IEICE ϐ ICSS ᖄӝЬᒤǴॄೢᝢჄᖐᒤϐൂՏࣁ ВҁޑԐዿҖεᏢ(Waseda University*Ǵ཮᝼ӦᗺࣁВҁܿ٧ޑԐዿҖεᏢǶҗᗬ୯ቼᅚεᏢ (Kyung Hee University) Prof. Man Young RheeᆶВҁύѧεᏢ(Chuo University)Prof. Hideki Imai Ӆ ӕᏼҺε཮ᄪ៉ЬৢǴε཮Ьৢ߾җВҁ KDDI/NICT ޑ Koji Nakao Ӄғᆶᗬ୯ᔝ୯εᏢ(Dankook University)Prof. Min Surp Rhee ӅӕᏼҺǴ٠җᗬ୯ۯቼεᏢ Prof. Ju Seok Song ᆶ໩ϺໂεᏢ (Soonchunhyang University)Prof. Heung Youl YoumᏼҺ advisory committefǶֆےԋ௲௤Ԗ۩ڙᗎᄽ ᖱѠ᡼ၗૻӼӄޑว৖ᆶᖿ༈ǴЬᚒࣁȸRecent Activities of Security Research in Taiwan: TWISC

2 Ьᒤ៾Ƕ

ಃΟۛ JWIS җᗬ୯ᅇ໚εᏢ(Hanyang University)ॄೢೕჄᖐᒤǴCCISA २ԛԋࣁЬᒤൂՏϐ

΋Ǵᆶᗬ୯ KISA ϷВҁ IEICE ޑ ICSS ӅӕЬᒤǴ཮᝼Ӧᗺࣁᗬ୯२ᅟޑᅇ໚εᏢǴѠ᡼ၗ೯Ӽ ӄࣴزᆶ௲ᏢύЈ(Taiwan Information Security CenterǴᙁᆀ TWISC)ҭࣁԜۛ཮᝼ޑᜅշൂՏϐ

΋ǶԜۛ཮᝼җВҁύѧεᏢ (Chuo University)Prof. Hideki Imai ǵᗬ୯ቼᅚεᏢ (Kyung Hee University) Prof. Man Young RheeϷѠ᡼ύѧࣴز(Academia Sinica)ၗૻ܌܌ߏ׵ቺ଄ଣγӅӕᏼҺ ε཮ᄪ៉ЬৢǴε཮Ьৢ߾җВҁ KDDI/NICT ޑ Koji Nakao Ӄғǵᗬ୯໩ϺໂεᏢ Prof. Hong Sub LeeϷҁΓӅӕᏼҺǴ٠җᗬ୯ۯቼεᏢ Prof. Joo Seok Songǵ໩ϺໂεᏢ Prof. Heung Youl Youm ϷВҁΐԀεᏢ(Kyusyu University)Prof. Kouichi Sakurai ᏼҺ advisory committeeǶಃѤۛ JWIS ӧѠ

᡼ଯ໢ύξεᏢᖐᒤǴҗВҁύѧεᏢ(Chuo University)Prof. Hideki Imaiǵᗬ୯ቼᅚεᏢ(Kyung Hee University) Prof. Man Young RheeϷѠ᡼ύѧࣴز(Academia Sinica)ၗૻ܌܌ߏ׵ቺ଄ଣγӅӕ ᏼҺε཮ᄪ៉ЬৢǴҗᗬ୯ KAIST ޑ Prof. Kwang Jo KimǵВҁ KDDI / NICT ޑ Prof. Koji Nakao аϷѠ᡼Ѡ᡼ࣽמεᏢၗૻᆅ౛سֆےԋ௲௤ӅӕᏼҺε཮ЬৢǶ

ҁۛ(ಃϖۛ)җεഌ๮ࠄၭ཰εᏢ(South China Agricultural University)ॄೢೕჄᖐᒤǴᜅշൂՏ хࡴǺ1. Information Security Institute of Guangzhou University, China; 2. IT Security Institute of South China Agricultural University, China; 3. Technical Committee on Information and Communication System Security (ICSS), IEICE, Japan; 4. Korea Institute for Information Security and Cryptology (KIISC), Korea; 5. Chinese Cryptology and Information Security Association (CCISA), Taiwan; 6.

Taiwan Information Security Center (TWISC), Taiwan Ƕ Ԝ ۛ ཮ ᝼ җ В ҁ ύ ѧ ε Ꮲ (Chuo University)Prof. Hideki Imaiǵᗬ୯ቼᅚεᏢ(Kyung Hee University) Prof. Man Young Rhee ϷѠ᡼ύ ѧࣴز(Academia Sinica)ၗૻ܌܌ߏ׵ቺ଄ଣγӅӕᏼҺε཮ᄪ៉Ьৢǹadvisory committee ԋ঩

ࣁ Chin-Chen Chang (Feng Chia University, Taiwan)ǵSakurai Kouichi (Kyusyu University, Japan)ǵ Heung Youl Youm (Soonchunhyang University, Korea)Ƕ

3

Β

Βǵε཮᝼ำ

ҁۛ཮᝼΋Ӆԏᒵ 43 ጇፕЎǴځύ 14 ጇፕЎٰԾܭВҁǵ6 ጇፕЎٰԾܭᗬ୯ǵ13 ጇፕЎٰ

ԾܭεഌϷ 10 ጇፕЎٰԾܭѠ᡼ǶךॺޑፕЎȨAn Unconditionally Secure Lightweight RFID Authentication Protocol with Untraceabilityȩҭᕇளҁۛന٫ፕЎǶε཮ҭᗎፎ 3 Տ஑ৎᏢޣ຾Չ஑

ᚒᄽᖱǴϩձࣁ Hideki Imai ( University of Tokyo, Japan)ǵѠ᡼ύѧࣴزଣၗૻ܌܌ߏ׵ቺ଄ଣ γǵFangguo Zhang (Sun Yat-Sen University, China.)Ǵว߄ޑፕЎӜᆀǵբޣϷᗎፎᄽᖱϐ၁ಒϣ

৒ӵΠӈ᝼ำ܌ҢǶ

Thursday, August 5, 2010

09:00~09:15

Opening Ceremony (at Multi-function Conference Hall) Dingyi Pei (Guangzhou University, China)

Mingwu Zhang (South China Agricultural University, China)

09:20~09:35 Group Photo (at Zhuyuan Hotel)

9:40~10:10

Keynote Speech (at Multi-function Conference Hall)

Cryptography in the new era of ICT Hideki Imai (Chuo University / AIST, Japan炸

10:15~10:45 Man Young Rhee (Kyunghee University, Korea)

10:45~10 55 Coffee Break

10:55~12:00

Session 1A Application Security 1 (at Multi-function Conference Hall)

Session 1B Security Analysis 1 (at Bamboo Garden of Hope Hall) Design and Implementation of Forensic

System in Android Smart Phone Xinfang Lee, Chunghuang Yang,

Shihjen Chen, Jainshing Wu

Password Sniff by Forcing Keyboard to Replay Scan Codes Kyungroul Lee, Youngtae Choi, Hyoungjun Yeuk, Kangbin Yim An efficient and Robust scheme for

Secure Communication between a Set-top Box and a Smart Card in IPTV

Services

Hyunwoo Choi, Heungyoul Youm

Security Analysis of Cryptographic Protocols with trust party Based on

Fine-grained Freshness Zhengjie Cheng, Kefei Chen, Xuejia

Lai Examination about the application to the

color image of the digital watermark based on Benford’s Law Kazuomi Noda, Yoshifumi Ueshige,

Kouichi Sakurai

Effective Falsification Attack on WPA-TKIP by Modifying Any

Packet to QoS Packet Yosuke Todo, Toshihiro Ohigashi,

Masakatu Morii Loitering Detection Based on Pedestrian

Models

A Study on Temporal Key Recovery Attack on TKIP Using RC4's Weak

4

Chen, and Kouichi Sakurai Ryoichi Teramura, Toshihiro Ohigashi, Masakatu Morii

12:05~13:05 Lunch (at Zhuyuan Hotel)

14:00~14:30

Keynote Speech (at Multi-function Conference Hall) Dertsai Lee (Academia Sinica, Taiwan)

14:40~15:45

Session 2A Authentication (at Multi-function Conference Hall)

Session 2B Security Management (at Bamboo Garden of Hope Hall)

An Efficient and Privacy Protection Authentication Scheme For Low-cost

RFID Tags

Wenshenq Juang, Huichin Tseng

A Secure Key Management Scheme for Multi-Agent base Sensor Cloud

Computing in Wireless Network Dongbum Lee, Kwangwoo Lee, Seungjoo Kim, Woong Go, Dongho

Won, Jin Kwak

An Improved Anonymous Password Authenticated Key Exchange Schemes

Dexin Yang, Bo Yang

Digital Rights Management Scheme with Privacy Protection Signature without Communication with Home

Server

Yajun Jiang, Mingwu Zhang, Bo Yang

An Unconditionally Secure Lightweight RFID Authentication Protocol with

Untraceability

Hungyu Chien, Jiazhen Yen, Tzongchen Wu

An Anonymous Credential System Based On Short Signature Scheme

Tao Lei, Bo Yang

Construction and Performance of Robust Fingerprint Key Extractor

Ximing Li, Bo Yang

A New Merkle-tree Based Intrusion Prevention Mechanism with Weak Authentication for Wireless Sensor

Networks

Chihhung Wang, Tzuchieh Wei

15:45~15:55 Coffee Break

15:55~17:15

Session 3A Multiparty Protocols (at Multi-function Conference Hall)

Session3B Boolean Functions and Algorithm

(at Bamboo Garden of Hope Hall) Oblivious Transfer and Secure

Computation of Set Intersection and Union with ORPF in The Presence of

Malicious Adversary

Improvement of Inversion Computation based on Binary GCD

Method using Coefficient Tables Tsutomu Ishida, Tomoyuki Nagase,

5

An efficient Compiler from §-Protocol to Deniable Zero Knowledge in CRS Model Guifang Huang, Lei Hu, Dongdai Lin

Design and Analysis of Another Left Shift Binary GCD Algorithm

D. J. Guan, Yanheng Chen An Efficient Electronic Cash Scheme

With Multiple Banks Using Group Signature

Wenshenq Juang, Yichun Yeh

On Resistance of Boolean Functions to Fast Algebraic

Attacks Yusong Du, Dingyi Pei RFC Supported Implementation of Key

Generation Center for Identity-based Encryption

Akira Kanaoka, Takuya Houri, Eiji Okamoto

On Designated-weight Boolean Functions with Highest Algebraic

Immunity

Meicheng Liu, Yusong Du, Dingyi Pei, Dongdai Lin

Efficient 1-Out-n Oblivious Transfer Schemes Based on EDDH Assumption

Huawei Huang, Chunhua Li, Bo Yang

Implementation of Schoof’s Algorithm on the Windows

Platforms

Huiting Hsieh, Chunghuang Yang

Friday, August 6, 2010

09:00~09:30

Keynote Speech (at Multi-function Conference Hall) Fangguo Zhang (Sun Yatsen University, China)

09:35~10:25

Session 4A Application Security 2 (at Multi-function Conference Hall)

Session 4B Security Analysis 2 (at Bamboo Garden of Hope Hall) Layered Protection Scheme using

Postcompression-based Method for Scalable Media Transmission Hyeokchan K on, Jaehoon Nah,

Dongil Seo

Principal Component Analysis of Botnets Takeover

Hiroaki Kikuchi

Hiroaki Kikuchi, Shunji Matsuo, Masato Terada

A Malware Classification Method Based on Threaded Function Call

Traces

Junji Nakazato, Jungsuk Song, Masashi Eto, Daisuke Inoue, Koji

Nakao

Towards Real-time JavaScript Deobfuscation for Analysis Purposes

Gregory Blanc, Youki Kadobayashi

Malware Sandbox Analysis with Formal Analysis on RFID

6

Responses using Dummy Client Takahiro Kasama, Katsunari Yoshioka, Tsutomu Matsumoto, Masaya Yamagata, Masashi Eto,

Daisuke Inoue, Koji Nakao

Kuohui Yeh, N.W. Lo, Tzongchen Wu

10:25~10:35 Coffee Break

10:35~11:30

An Implementation of a Malware Collection and Data Sharing System

Based on Honeypot Chihhung Lin, Chunghuang Yang,

Shihjen Chen, Jainshing Wu

Detection technique of Denial of Service attack using Incomplete HTTP

GET request

Jintae Oh, Donggue Park, Youri Lee, Donggeun Yun, Jongsoo Jang,

Jaecheol Ryou

Trusted Sanitizable Signature Wenchung Kuo, Jiinchiou Cheng,

Yenhung Lin

An enhancement of trusted domain enforcement for dynamic protection of

virtual cluster using live migration Ruo Ando, Youki Kadobayashi,

Yoichi Shinoda

A Note on Ramp Secret Sharing Schemes from Error-Correcting Codes

Qi Chen, Dingyi Pei

On the Applicability of a DBI-Based Generic Unpacking Implementation Hyung Chan Kim, Daisuke Inoue,

Masashi Eto, Jungsuk Song, Koji Nakao

Ο

Οǵ ǵᗎፎᄽᖱᄔा

ε཮Ԝԛᗎፎ 3 Տ஑ৎᏢޣ຾Չ஑ᚒᄽᖱǴځύѠ᡼ڙᗎޑᏢޣࣁύࣴଣၗૻ܌׵ቺ଄ଣ γǴ׵ଣγҭࣁ TWISC ᕴє໣ΓǶӚঁᗎፎᄽᖱᚒҞᆶϣ৒ᄔӵΠǺ

(1) ᄽᖱᚒҞǺCryptography in the new era of ICT ᖱ ޣǺHideki Imai, Chuo University, Japan

ϣ৒ᄔाǺThe new era of Information and Communication Technology symbolized by ubiquitous communications and cloud computing, a new direction of cryptography must be explored again to make it fit for the era. To give some suggestions for the direction, I will talk about standardization of cryptography, highly secure cryptography, light-weight cryptography, comprehensive security of cryptographic systems, and expansion of cryptographic functions.

(2) ᄽᖱᚒҞǺOn Granular Access Control of Secure Messaging Scheme ᖱ ޣǺDer-Tsai Lee, Academia Sinica, Taiwan.

7

being processed in practice today. For example, when we shop on-line or conduct electronic transactions, we are asked to fill out detailed personal information to fulfill the requirement of an on-line transaction. This information will be collected by the on-line retailer. Some of this personal information will be propagated to downstream vendors, such as logistics, among others. Worse yet, we need to dispense our personal data to every e-retailer we patron with, so our precious data is scattered and stored in many places where we donȷt have absolute trust or knowledge about the security credentials of these data collectors. If any link fails to safeguard our precious personal data, the damage is almost irrevocable, resulting in problems such as identity theft. We will discuss in this talk a possible remedial mechanism to minimize this data aggregation problem, and propose a new secure messaging scheme for delivering sensitive data.

(3)ᄽᖱᚒҞǺOblivious Transfer with Timed-Release Properties ᖱ ޣǺFangguo Zhang, Sun Yat-Sen University, China

ϣ৒ᄔाǺOblivious transfer (OT) is an important primitive used in many cryptographic protocols.

Some variants of OT or OT with some properties also have many applications, such as conditional oblivious transfer (COT), restricted adaptive OT, etc. The goal of timed-release cryptography is to encrypt a message so that it can not be decrypted by anyone before the release time. It means ȸsending information to the futureȹ. We will consider two new types OT with timed-release properties: One is an OT with timed-release receiver's privacy. This new type of OT achieves this functionality: after the protocol the receiver can only obtain the messages of his choices from the sender, and the sender can get to know the receiver's choice after a designated future time. So the receiver's privacy is just protected within a period of time. We also present a concrete scheme combining Tzeng's OT scheme with Casassa Mont et al.'s timed-release encryption scheme. Another is timed-release oblivious transfer. In the protocol, after the receiver makes queries for some messages of his choices to the sender and successfully receives the corresponding responses, if and only if a release time T passes, the receiver can open the messages.

Meanwhile, the sender will not get to know which messages the receiver requests.

Timed-release OT can be applied into some special circumstances that the traditional OT cannot. We import a time server into the protocol to achieve the functionality of timed-release OT. To give a generic construction for the protocol, a primitive called verifiably ID-based encrypted blind signature is presented as a basic building block.

Finally we also propose a concrete scheme to realize the protocol.

Ѥ

Ѥǵ ǵፕЎว߄ᄔा

ҁۛ཮᝼΋Ӆԏᒵ 43 ጇፕЎǴӅϩࣁ 8 ঁ൑ԛ(session)Ƕךॺޑว߄ፕЎᄔाӵΠǺ

(1)ፕЎᚒҞǺAn Unconditionally Secure Lightweight RFID Authentication Protocol with Untraceability բ ޣǺHung-Yu Chien, Jia-Zhen Yen, and Tzong-Chen Wu

8

nature of these tiny RFID tags, security threats and privacy issues become the major concerns for those users carrying these tags. Recently, Alomair et al. proposed an unconditionally secure mutual authentication protocol, called the UCS-RFID protocol, for RFID systems. In their proposed protocol, the tag performs only simple modular multiplication operation without any support of random number generation. These merits make it very attractive to practical applications especially for low-cost tags. However, Almomair et al.’s protocol does not achieve backward untraceability. This paper shows the weakness inherent in the USC-RFID protocol, and extends it to provide untraceability in the presence of key compromise.

(2)ፕЎᚒҞǺFormal Analysis on RFID Authentication Availability բ ޣǺKuo-Hui Yeh, Nai-Wei, Lo, and Tzong-Chen Wu

ϣ৒ᄔाǺRegarding to the nature of low-cost RFID tags on security vulnerability, RFID research community has made significant progress on authentication design in recent years by introducing various lightweight RFID authentication protocols to provide robust system security and strong privacy protection. However, a dedicated formal security-provable model for RFID authentication design with resource-restricted tag is required to explore the security insight of lightweight authentication design in detail. In this paper we construct a security analysis model based on service availability evaluation for lightweight RFID authentication. The contribution of our study is summarized in three aspects. First of all, we introduce a formal definition of service availability for RFID authentication.

Secondly, we demonstrate how to apply our proposed formal definition to evaluate service availability of an RFID authentication protocol through adversarial experiments. The third, we show that the proposed service availability experiment can identify security vulnerabilities of existing RFID authentication schemes. In other words, these proposed protocols cannot guarantee authentication availability from an RFID system point of view.

ϖ

ϖǵ ǵ่ፕ

ҁۛ JWIS ཮᝼࣬྽༝ᅈǴନΑѠǵВǵᗬǵεഌޑ௲௤ᆶᏢғว߄ፕЎϷҬࢬѦǴεৎ೸ၸ

΋٤ϕ୏ᇡ᛽Вǵᗬǵεഌ฻Ӧޑၗ೯ӼӄᏢޣᆶࣴزғǴࡌҥᏢೌҬࢬᆅၰǶӆޣǴҗύࣴଣ׵

ଣγޑᄽᖱǴаϷѠ᡼ 10 ጇၗӼ࣬ᜢࣴزፕЎޑว߄ǴᡣВǵᗬǵεഌᏢޣΑှѠ᡼ӧஏዸ౛ፕ ᆶၗӼמೌޑว৖౜ݩǴԋфӦ຾Չ΋൑ၗӼᏢೌѦҬǶΠ΋ۛ JWIS2011 ஒӧВҁᖐᒤǶ ߕᒵ 1. “An Unconditionally Secure Lightweight RFID Authentication Protocol with Untraceability”

Hung-Yu Chien, Jia-Zhen Yen, Tzong-Chen Wu [Best paper award]

ߕᒵ 2. “Formal Analysis on RFID Authentication Availability,” Kuo-Hui Yeh, Nai-Wei Lo, Tzong-Chen Wu

Authentication Protocol with Untraceability

Hungyu Chiena¹, Jiazhen Yenb², Tzongchen Wub^2,3

1Department of Information Management, National Chi-Nan University, Nantou, Taiwan

2Department of Information Management, National Taiwan University of Science and Technology, Taipei, Taiwan

3. Taiwan Information Security Center (TWISC) at National Taiwan University of Science and Technology, Taipei, Taiwan.

Abstract.Since the widespread use of radio-frequency identification (RFID) devices and the obscure nature of these tiny RFID tags, security threats and privacy issues become the major concerns for those users carrying these tags.

Recently, Alomair et al. proposed an unconditionally secure mutual authentication protocol, called the UCS-RFID protocol, for RFID systems. In their proposed protocol, the tag performs only simple modular multiplication operation without any support of random number generation. These merits make it very attractive to practical applications especially for low-cost tags.

However, Almomair et als protocol does not achieve backward untraceability.

This paper shows the weakness inherent in the USC-RFID protocol, and extends it to provide untraceability in the presence of key compromise.

Keywords: Radio frequency identification (RFID); Unconditionally secure;

Privacy, Backward untraceability

1 Introduction

Radio frequency identification (RFID) is a wireless technology that uses radio signals to identify objects automatically and remotely. The most popular tags are passive devices owing to their low cost. Nowadays, RFID devices are widely deployed in many applications, such as supply chain management, inventory control, contactless credit card and so on, due to the low-cost and convenience in identifying objects with non-line-of sight reading, However, there are many potential security threats around the tiny RFID tags attached to users. The carrying items or privacy information contained in these tags might be compromised. Furthermore, low-cost makes these tags very resource-limited, which makes it very challenging to design secure protocols for these tags.

From the point of end users side, a secure RFID system should provide the capability of location/content privacy protection, anonymity, untraceability and availability [2]. Several RFID lightweight authentication protocols like [4-10] have been developed, but not all of them satisfy all the security requirements. All the