Professional Documents
Culture Documents
System
อาจารย ์ ธนัญชัย ตรีภาค
ภาควิชาวิศวกรรมคอมพิวเตอร ์
คณะวิศวกรรมศาสตร ์
สถาบันเทคโนโลยีพระจอมเกล ้าเจ ้าคุณ
ทหารลาดกระบัง
access control หมายถึง
่
ป้ องกันข ้อมูล จากการเข ้าดูข ้อมูล การเปลียนแปลง
หรือการทาซาข ้ ้อมูลโดยไม่มส ี ท
ิ ธิ
่
ป้ องกันระบบ จากการเข ้าใช ้งาน การเปลียนแปลง
ระบบงานต่างๆ โดยไม่มส ี ท
ิ ธิ รวมถึงการโจมตีระบบงาน
Proactive access control
Guards
Locks
Mantraps
ID badges
CCTV, sensors, alarms
Biometrics
Fences
Card-key and tokens
Guard dogs
Access Control & privacy issues
่
เพิมระดั
บการร ักษาความปลอดภัยโดยใช ้ 2-factor , 3-
factor authentication.
2-factor authentication
ATM card + PIN
Credit card + signature
PIN + fingerprint
Username + Password (NetWare, Unix, NT
default)
3-factor authentication
Username + Password + Fingerprint
ปั ญหาของรหัสผ่าน
Brute force
l0phtcrack
Dictionary
Crack
John the Ripper
Trojan horse login program
Biometrics
่ ามาใช ้งานส่วนตัว
ราคาแพงเมือน
ผลิตภัณฑ ์ยังมีการพัฒนาอย่างต่อเนื่ อง มีผลิตภัณฑ ์
ใหม่ๆ ออกมาเสมอ เทคโนโลยียงั ไม่นิ่ง
ไม่มี common API หรือมาตรฐาน
ผู้ใช ้งานยังไม่ม่นใจที
ั ่
จะยอมร ับใช ้งาน
Tokens
Write Delete
Create Rename
Execute
Access Control ในเครือข่าย
ใน Cisco ใช ้ Access Control List ในการควบคุม
การใช ้งานระบบเครือข่าย
Standard ACL ใช ้ควบคุมแบบไม่ซ ับซ ้อน
Extended ACL ใช ้ควบคุมแบบซ ับซ ้อน
่
Access Control ในระบบอืนๆ
กาหนด Identity ในระบบ
การพิสจ
ู น์ตวั ตน
กาหนดสิทธิการใช ้งานของผูใ้ ช ้งานให ้กับ Identity นั้นๆ
ตามนโยบาย
การควบคุมการใช้งานผู ใ้ ช้งาน
ระบบ
Identification
Authentication
Authorization
Identification
หมายถึงการระบุตวั ตนของสิงต่ ่ างๆในระบบ
่ นหลักฐานแสดงตัวตน
มีการแจ ้งข ้อมูลบางอย่างเพือเป็
(Identity)
Identity ทีดี่ ควรปลอมแปลงยาก เป็ นสิงบ่
่ งบอก
เอกลักษณ์ของ object ต่างๆในระบบได ้
Authentication
หมายถึงการพิสจ ู น์วา่ ผู้ใช ้งานทีเข่ ้าใช ้งานระบบคือ
ผูใ้ ช ้งานคนนั้นๆ ในระบบจริงหรือไม่
เนื่ องจากเป็ นการทางานระยะไกล จึงต ้องส่งข ้อมูล
บางอย่างเพือพิ่ สจ ู น์วา่ เป็ นผู้ใช ้งานจริงๆ (Logical
Authentication)
มักใช ้การพิสจ ู น์หลักฐานการเป็ นบุคคล คนเดียวกันกับ
ผู้ใช ้งานระบบคนนั้นๆ
Authorization
พิสจู น์สท
ิ ธิการใช ้งานระบบ
มี / ไม่มี สิทธิในระบบนั้นๆ
้ าในระบบก่อนการพิสจ
สิทธิจะถูกตังค่ ู น์สท
ิ ธิ
การทา Access Control
Identity
Identity-management
A B wanted ? C D
Identity provider
service provider
central components for federation
Single Sign-On
ใช ้รหัสผ่านเดียวในทุกๆ ระบบงาน
ระบบต ้องทาให ้บัญชีผูใ้ ช ้สามารถสร ้าง/ลบ ได ้อย่าง
รวดเร็ว
Implement ให ้ทางานจริงได ้ยาก
แยกส่วน Authentication / Authorization ออก
จากส่วนของการให ้บริการของ Application
สามารถทาได ้โดยใช ้ผลิตภัณฑ ์ในท ้องตลาด เช่น
Kerberos, CA-Unicenter, Memco Proxima,
IntelliSoft SnareWorks, Tivoli Global Sign-
On, x.509
SSO Scenario
Federation Scenario
ผลิตภัณฑ ์ Single Sign-On
่ า IdM และ SSO แล ้วจึงพัฒนา
ผลิตภัณฑ ์ทีท
Federation ภายหลัง
Oracle Federated Identity Solution
IBM Tivoli Federated Identity Manager
Sun Java System Federation Manager
CA eTrust SiteMinder Federation Security
Services
HP OpenView Select Federation
Active Directory Federation Service (ADFS)
ผลิตภัณฑ ์ Single Sign-On
่ า Federation Service โดยเฉพาะ
ผลิตภัณฑ ์ทีท
Ping Federation
Federated Access Manager
Open Source SSO
Shibboleth
OpenSAML
SourceID toolkits
Guanxi
OpenSSO
Kerberos
What is Kerberos?
พัฒนาโดย MIT
ใช ้งาน secret-based ร่วมกัน
มีจดุ เด่นด ้าน 3rd party authentication
สามารถนามาสร ้างระบบ sign-on ได ้
ไม่มก ี ารส่งรหัสผ่านข ้ามเครือข่าย
องค ์ประกอบของ Kerberos
Ticket
Granting
Service Service
Provider
Key
Distribution
Center
Authen-
Tication
Client Service
User
“Kerberos Server”
Kerberos Terms
่
Ticket: เป็ นข ้อมูลทีจะได ่ นข ้อมูลสาหร ับการ
้ร ับจาก TGS ทีเป็
พิสจ
ู น์ตนและขอใช ้งาน application server หรือทร ัพยากร
ต่างๆ
่ ้สาหร ับระบุ session สาหร ับ
Session Key: เป็ นคีย ์เฉพาะทีใช
่ กข่ายกับทร ัพยากรต่างๆ
เครืองลู
Privilege Attribute Certificate (PAC): เป็ นใบร ับรองที่
เก็บข ้อมูลต่างๆ เช่นuser’s Security ID (SID), group
membership SIDs และสิทธิของผูใ้ ช ้งานของผูใ้ ช ้งานดัง
กล่าง
Ticket
Granting
XYZ Service “Kerberos Server” Service
Key
Distribution
Center
Authen-
Tication
Service
Susan’s
Desktop
Susan Computer
Ticket
Granting
XYZ Service Represents something Service
requiring Kerberos
authentication (web
server, ftp server, ssh Key
server, etc…) Distribution
Center
Authen-
Tication
Service
Susan’s
Desktop
Susan Computer
Ticket
Granting
XYZ Service Service
Key
“I’d like to be allowed to Distribution
get tickets from the Center
Ticket Granting Server,
please.
Authen-
Tication
Service
Susan’s
Desktop
Susan Computer
Ticket
Granting
XYZ Service Service
“Okay. I locked this box with
your secret password. If you
can unlock it, you can use its Key
contents to access my Ticket Distribution
Granting Service.” Center
Authen-
Tication
Service
Susan’s
Desktop
Susan Computer
Ticket
Granting
XYZ Service Service
Key
Distribution
Center
Authen-
Tication
TGT Service
Susan’s
Desktop
Susan Computer
Ticket-Granting Ticket (TGT)
ต ้องนา Ticket-Granting Ticket (TGT) ส่งให ้กับ Ticket
Granting Service เพือร ่ ้องขอ “service tickets” ในการ
ขอใช ้บริการต่างๆ ผ่าน Kerberos authentication.
TGT ไม่มข
ี ้อมูลรหัสผ่านอยู่ภายใน
TGT
“Let me prove I am
Susan to XYZ Service. Ticket
Granting
XYZ Service Here’s a copy of my Service
TGT!”
Key
Distribution
Center
Authen-
TGT Tication
TGT
Service
Susan’s
Desktop
Susan Computer
Hey XYZ:
Susan is Susan. Ticket
CONFIRMED: TGS
Granting
XYZ Service Service
You’re Susan.
Here, take this.
Key
Distribution
Center
Authen-
Tication
TGT
Service
Susan’s
Desktop
Susan Computer
Ticket
Granting
XYZ Service I’m Susan. I’ll prove
Service
it. Here’s a copy of
my legit service ticket
for XYZ.
Key
Distribution
Center
Authen-
Hey XYZ:
Hey XYZ: Tication
Susan is Susan.
Susan is Susan.
TGT
CONFIRMED: TGS Service
CONFIRMED: TGS
Susan’s
Desktop
Susan Computer
That’s Susan alright. Let me
determine if she is
Ticket
authorized to use me.
Granting
XYZ Service Service
Hey XYZ:
Susan is Susan. Key
CONFIRMED: TGS Distribution
Center
Authen-
Hey XYZ:
Tication
Susan is Susan. TGT
CONFIRMED: TGS Service
Susan’s
Desktop
Susan Computer
การทา Authorization
่
การให ้สิทธิการใช ้งานจะเป็ นหน้าทีของ XYZ
service…
ไม่ได ้หมายความว่า authenticated โดย
Kerberos จะได ้ร ับสิทธิในการใช ้งาน XYZ service.
หมายเหตุ
Tickets ใดๆ (TGT และ service-specific
้ าวันหมดอายุโดยผูด้ แู ลระบบ
tickets) มีการตังค่
local system administrator(s). ซึง่ ticket ที่
หมดอายุจะไม่สามารถใช ้งานได ้
้ ้
ถ ้า ticket ยังไม่หมดอายุ จะสามารถใช ้งานซาได
Ticket
ME AGAIN! I’ll prove it. Granting
XYZ Service Service
Here’s another copy of
my legit service ticket
for XYZ.
Key
Distribution
Center
Authen-
Hey XYZ:
Hey XYZ: Tication
Susan is Susan.
Susan is Susan.
TGT
CONFIRMED: TGS Service
CONFIRMED: TGS
Susan’s
Desktop
Susan Computer
That’s Susan… again. Let
me determine if she is
Ticket
authorized to use me.
Granting
XYZ Service Service
Hey XYZ:
Susan is Susan. Key
CONFIRMED: TGS Distribution
Center
Authen-
Hey XYZ:
Tication
Susan is Susan. TGT
CONFIRMED: TGS Service
Susan’s
Desktop
Susan Computer