Download
1 / 16
160 likes | 224 Vues
運用政府機關數位憑證實現雙向驗證之研究. 北商學報 第 20 期 100 年 7 月 蘇建興 Chien-hsing Su 臺北商業技術學院資訊管理系 王威傑 Wei-chieh Wang 臺北商業技術學院資訊管理系學生 指導老師:葉禾田 報告學生:楊婉喬 M99F0209. 前言.
E N D
運用政府機關數位憑證實現雙向驗證之研究 北商學報 第20 期 100 年7 月 蘇建興 Chien-hsing Su 臺北商業技術學院資訊管理系 王威傑 Wei-chieh Wang 臺北商業技術學院資訊管理系學生 指導老師:葉禾田 報告學生:楊婉喬M99F0209
前言 • 隨著網際網路的發展,使用者透過網際網路即可取得豐富的資訊與互動,造就現在的電子化企業和電子商務。但訊息在公開化的網路上互相傳遞過程中,沒有經過一道安全的加密手續,被有心人士利用特殊軟體擷取封包資訊,資料將必遭遇竊聽或篡改的風險。 • 資訊系統與其資料傳遞過程當中若沒有嚴格的安全機制把關,其安全性將遭受到威脅。
前言 • 以往的驗證只做到用戶端向伺服器端提出證明,用戶端卻不能驗證伺服器端的身分,而現今的詐騙網站層出不窮,所以在辨識雙方之間的身分逐漸重要 • 為了提昇資訊系統的整體安全性,在資料傳輸過程中利用伺服器建構的安全閘道層(SSL),避免資料遭到有心人士竊取。並透過政府機關公開金鑰基礎建設(GPKI),利用憑證裡的公私金鑰進行密碼系統中的雜湊函數與數位簽章,保障用戶端與伺服器端之間的安全。
資訊安全 • 網際網路的出現與發達造成了資訊安全的重要性,如果沒有相對的防範措施,所危害的層面小至個人,大到企業及政府機關,甚至是國家的安全。 • 資訊系統必須達到的需求: (1)資料機密性 (2)身分鑑別性 (3)資料完整性 (4)不可否認性
密碼系統 • RSA演算法-最廣泛使用的非對稱式公鑰密碼系統 • 採用安全閘道層(SSL)交握協定的網站大多數利用RSA做數位簽章,進行簽章及驗章的動作。 • 數位簽章 • 是將傳遞中的訊息摘要利用傳送者的私密金鑰進行簽章產生,透過安全的管道傳遞給接收方,當接收方使用傳送方的公開金鑰簽章驗證,即可確認此訊息的不可否認性。
雙向驗證 • 身分認證階段中,可分成單向確認跟雙向確認。 • 單向確認-為用戶端要與伺服端連線時,用戶端必須提出一些資 訊讓伺服端確認合法性,此機制是必須假設用戶端先 行信任伺服端為合法的,也就是說使用者無法辨識登 入的遠端伺服器的鑑別性。 • 雙向確認-伺服端接收使用者的憑證資訊,向第三方提出證明回 應後,伺服端即可把本機的憑證資訊傳遞給使用者, 同樣進行第三方憑證查詢,達到用戶端與伺服端之間 的信任。
政府機關公開金鑰基礎建設 • 組織及團體憑證管理中心(XCA) 遵照憑證政策保證等級第三級的規定,簽發之組織及團體憑證 (XDC),種類包含:學校、財團法人、社團法人、行政法人、自由職 業事務所及其他組織或團體等六種憑證。 • 自然人憑證(CDC) 自民國92年4月起對我國年滿18歲以上國民所核發的公開金鑰數位憑 證IC卡。適用於電子化政府開發網路相關的應用服務。
系統分析 • 雙向驗證與訊息的傳遞過程,依不同階段共分成以下階段: • 註冊階段 • 身分驗證階段 • 建立連線階段 • 資料驗證階段
身分驗證階段 分兩個主要動作: • 確認用戶端是否為 系統的合法使用者 • 雙方利用憑證做雙向 驗證
建立連線階段 • 為了增進教務資訊系統與用戶端之間傳輸資料的機密性,在完成前階段合法程序時,教務資訊系統將與用戶端建立安全閘道層(SSL),並設定系統執行過程強制使用安全閘道層協定,用以保障資訊的傳遞過程中,不會遭受到竄改或監聽。 • 一旦使用非安全閘道層協定,系統都會拒絕服務。
安全性分析 • 優點 • 具有雙向驗證 • 使用者可以任意更改憑證上的通行碼 • 預防服務失效 • 可攜性高
結論 • 除適用於現有教務資訊系統,亦可用在其他安全等級較高之資訊系統。 • 在雙向驗證的同時,因OCSP機制會連線到相關的憑證管理中心,所以在考量可行性時網路速率品質也將是未來重點。
