vpn 装置 - 云科大计算机网路研究室.ppt

* 身分識別 在現今網路的世界中，要用來確認身份最普遍也最簡單的方式就是要求使用者輸入名稱(user name)及密碼(password)；這樣的方式很容易遭到有心人士盜取合法使用者的密碼。本節要介紹目前被提倡的身分認證方式: One time password Digital Certificates Biometrics 傳統的身分認證方式: 輸入帳號及密碼 第八章 遠端存取與身份識別 * 8.2.1 One time password and Token card One time password(只用一次的密碼) One time password顧名思義就是此組密碼用過一次就會丟棄，這樣子的方法既可以避免使用者忘記密碼，也不必考慮密碼在網路傳送過程被竊聽的問題，因為即使有心人士竊聽到只用一次的密碼，也無法使用。 One time password 已經漸漸普及，目前有許多銀行在推動”web-ATM”或是稱作網路銀行，銀行的用戶只需要購買一台Smart card的讀卡機，再插入其提款卡，如左圖所示，就可以利用網路即時轉帳、進行線上交易等的網路服務，使用one time password就不需要擔心銀行帳戶所使用的密碼被有心人士竊聽。 RFC 2289 One time password 華南銀行的密碼保鏢 第八章 遠端存取與身份識別 * 8.2.1 One time password and Token card One time password的運作方式 一般的作法是系統配給每位合法的使用者一片IC卡，該IC卡外型可類似一簡易型的計算器(calculator)，具有輸入阿拉伯數字(0，1，2， …，9)的功能，內部執行一可產生亂數(random number)的演算法。該演算法可用下列式子表示之：F: (C, S) ? N 執行該演算法時，必須輸入兩個參數C及S (C是系統在使用者登入時動態產生的一隨機值，而S則是系統事先植入在IC卡上的一固定不變的種子值(seed number) )；該演算法執行完畢則產生一與C及S有關的亂數值。該亂數值即被用來當作只用一次的密碼。 左圖說明使用者如何用”只用一次的密碼”的方式來登入系統：使用者必須先向系統管理員申請一片IC卡，帶著這片IC卡，使用者可以利用網路隨時隨地作遠端登入的動作。與傳統的登入過程不同的是：當使用者輸入名稱後，不能馬上輸入密碼，必須等待系統傳回一隨機值(又稱邀請值(challenge))；使用者收到隨機值C之後，將C輸入IC卡(注意不用輸入S因為S已被嵌入在IC卡內)，當IC卡產生一與C及S有關的亂數值後，則將該亂數值當作密碼傳回給系統作身份驗證。 One time password的登入過程 第八章 遠端存取與身份識別 * 8.2.1 One time password and Token card 系統處理” One time password”的過程 左圖說明當使用者利用”One time password”的登入方式，系統必須配合執行相對應的措施：系統必須事先建置一資料庫或檔案，上面記錄每個合法使用者的名稱、該使用者IC卡上的種子值、IC卡上所執行的演算法。當系統傳出隨機值後，系統也必須模擬IC卡計算出正確的密碼，待使用者傳回密碼後與自行算出的密碼比較，相同則為合法的使用者，不同則拒絕該使用者登入系統。 系統處理” One time password”的流程 第八章 遠端存取與身份識別 * 8.2.2 Digital Certificates Digital Certificates 在網路上若要利用RSA的加解密技術以產生數位簽章的功能，使用者必須先自行產生一對鑰匙(P，S)，並將其公開鑰匙P公告天下，這樣的方式讓有心人士極易進行其假冒行為；如使用者Ted要假冒Paul，Ted先產生一對鑰匙(Pted，Sted)，之後告訴大家Paul的公開鑰匙是Pted，Ted再用其私有鑰匙Sted產生數位簽章，如此一來Ted遂可達到假冒Paul的數位簽章之行為。這樣的假冒行為，在我們的日常生活是經常遇到的，例如我們常用印章來代表個人，但是有心人隨時可用你的名字去刻個印章來假冒你，因此為了避免印章被濫用，我們需到戶政事務所去申請印鑑證明，必要的時候(如買賣房屋)出示印鑑證明以證明該印章確實為你所有。 在網路上使用者的公開鑰匙要有公信力，使用者必須向某些具有公權力的機構(稱作認證中心，Certificate Authority ，如左圖所示)，申請電子證書(Digital Certificate)；電子證書是用來證明某公開鑰匙確實為某人或某網路設備所擁有。 台灣網路認證公司 .tw/ 第八章 遠端