存取控制主要是達成Integrity(一致性),在上一篇中討論的存取控制類型及種類,是讓管理者思考在各個面象可有納入管理中
那麼,存取了系統代表可以存取資料嗎?這個答案很肯定的是錯的,有權限連入系統,不代表你可以看、修改、刪除資料
那麼要進入系統我們如何來進行存取控制呢?這個部份就以Identification…
存取控制主要是達成Integrity(一致性),在上一篇中討論的存取控制類型及種類,是讓管理者思考在各個面象可有納入管理中
那麼,存取了系統代表可以存取資料嗎?這個答案很肯定的是錯的,有權限連入系統,不代表你可以看、修改、刪除資料
那麼要進入系統我們如何來進行存取控制呢?這個部份就以Identification, Authentication, Authorization, Accountability四個步驟。
Identification(識別):一般而言,使用者在進入系統前,必須由使用者以提供可識別的資訊給系統。
Authentication(驗證):由系統對使用者所提出的可識別資訊加以驗證。
Authorization(授權):使用者身份被驗證後,授予其應有的權限、身份…等。
Accountability(可規責):當使用者登入系統成功後,對於使用者的動作必須達成可規責,完整的記錄使用者行為。
那麼在上敘的四項步驟中,各別就這麼簡單,沒有其它的議題了?
當然不可能,提到識別,除了選擇系統要以何種方式做識別呢?UserID?帳號編號?還是PIN(Personal Identifiaction Number)?
還是選擇以生物認證做為實體存取控制的機制呢?這一些都是在實體端及科技端所需考量的問題!
那麼系統以何種做驗證,也就是依照識別時所選擇的內容來供驗證囉!
例如:你選擇以帳號名稱為識別,那麼密碼就是你的驗證基礎,以PIN為識別,可以用Token或是指紋做為驗證…等等
在驗證又分為三種方法:Knowledge(Something you know), Ownership( you have), Characteristics (you are / you do)。
在knowledge的部份,當然是你知道一些什麼事情囉,例如:password(密碼),問題設計…等等方式來達成。
那麼在Ownership的部份呢?!你所持有些什麼?像是Tokens, Smartcards, Memory Cards…等等。
光是一個token就又分為有Asynchronous(非同步), synchronous(同步)
在非同步基礎下,又稱為Challenge-Response,使用者在登入電腦時,必須透過手持設備將看到的Challenge & PIN輸入進行驗證
此時非同步驗證時,就可以得知,你手上所持有正確的Token,因此透過兩種不同的傳輸管道來達成驗證的目的。
那麼同步的部份呢?又分為有even-based及time-based,event-based是指,每一次按一下token都會產生一個PIN碼
這個PIN碼的有效性是在你輸入完後,下次一要再登入系統時才會重新產生。
time-based則是依照時間間隔來判斷了,當時間間隔為10分鐘,那麼在此10分鐘內,你所產生的PIN碼都會是相同的。
因此event based可說是每次輸入才變,而time based即是每間隔就改變
像在網路上常見的圖形驗證,就是屬於event based。
smart Cards是目前使用最廣也是便宜的驗證物件,分為接觸性及非接觸性
在接觸性的基礎像信用卡的磁條,沒有接觸到就讀不到
而像是RFID就屬於非接觸性的物件,在卡上含有micro process,可自動演算,可儲存資料供驗證使用
只要有讀取器,在不接觸到卡片,依然可以存取卡片上的資料。
memory cards較常見的就是磁條卡,將資料存放在磁條上,必須持卡人提供卡片供讀取才可使用。
近來爭議最大的Characteristic就是利用生物的特徵,以供做為驗證用
在此也會有一種迷思,那麼生物認證(Biometrics)到底是identification還是Authentication呢?
其實,兩者都算,如果把生物驗證拿來當作身份以供識別就是實體的identfication ;簡稱BIP
拿來當作驗證就是邏輯的Authentication ;簡稱BAL
生物認證是目前各種機制中,被認定為最佳的選擇,但是因有個資敏感性的問題,這也是一種相當難以處理的議題
一般而言,生物認證分成實體的(Physiological)及特徵的(Behavioral)
所謂的實體像是指紋(fingerprints), 虹膜(Iris), 視網膜(Retina), 面紋(facial looks), 掌型(hand geometry)…等等。
而特微的就像是聲紋(Voice inflections), 鍵擊(Keyboard strokes), 簽名特徵(Signature motions)
那麼在生物認證中,總有一個精準度的評斷吧,不然我們如何採購正確驗證設備呢?
在整個生物認證中,被拿來做為評比的重要的三個指標:
FRR(False Reject Rate),FAR(FalseAccept Rate) ,CER(Crossover Error Rate)
FRR:錯誤拒絕率,把對的驗證為錯誤的屬於Type I error
FAR:錯誤接受率,把錯誤的驗證為對的屬於Type II error
CER:交叉錯誤率,集合FRR及FAR兩個曲線的交叉點。
基本上來說FRR是安全的,安全愈過,愈容易被誤判拒絕,變成使用者的不便利,要多試幾次。而FAR則是要命的數字
一般是10萬分之1到百萬分之1為可接受範圍,因此,生物認證,最好的就是CER及FAR愈低的愈好
在生物認證中,即然有實體的、有特徵的,當然依照其屬性來分也分有靜態的及動態的;
靜態的是與生俱來,不容易改變的像指紋、虹膜…等等,動態的就像是擊鍵、聲紋…。
較理論的方面向分為:Consistency(各地一致)、Reliability(可信任)、Usability(使用性)、Efficiency(效率性)及Scalability(擴充性)
綜合兩種以上的驗證基礎(something you know, something you have)叫做two-factor authentication
而三種以上的驗證(something you know, something you have, something you are;do )就稱為Multi-factor又叫Storng authentication。
畢竟在安全控制中不可能只把驗證基礎只拿來做為門禁系統,那麼檔案存取呢?系統存取呢?或者是其它的存取控制所需要的管理機制
這一些只是存取控制中,供識別使用者是「正確」的使用者,當然不管是生物認證,還是其它的驗證方式,都有管理的需求
隨著科技進步愈來愈快,韓國女子用假指紋貼布順利通關美國,像是知名小說改編的電影「天使與魔鬼」中
以虹膜做為辨識的裝置,而造成劇中角色被挖掉眼睛或是砍掉手指以供辨識,都是目前所遇到的問題及挑戰。
Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security