市政府
bluetooth

身分驗證關卡 確保行動網路安全無虞

  • 闞大成
Mobile OTP使用者認證運作示意圖

前言:

行動裝置的蓬勃興起,固然已為使用者帶來前所未見的便捷性,但也意謂企業員工藉由3G/GPRS等無線網路,存取企業重要資源的機率,肯定比從前大了許多,這對於企業的資訊安全防線而言,堪稱為重大考驗;故在布建防毒或防駭機制前,首要任務,即是善設身分認證把關機制,謝絕非法使用者進入企業大門。

本文:

面對波濤洶湧的BYOD浪潮,多數IT人皆如臨大敵,認為這將是搗毀企業資安防線的潛在後患,正在絞盡腦汁苦思因應之道時,只見企業員工從上到下一副老神在在,不認為BYOD是什麼值得憂慮的洪水猛獸。

他們何以自信滿滿?因為不管使用者透過智慧型手機、平板電腦、PDA、Netbook、常規筆記型電腦,甚至家中Desktop PC存取企業網路,似乎都沒有太大差異,想要踏進企業門戶,少不得需要經由帳號與密碼的認證,證實為合法使用者身分,才能得償所願,順利存取其授權範圍之內的應用程式與資料;過去沒有BYOD是這樣做,如今有了BYOD,也是這樣做,並不會衍生新的安全議題。

也許IT人之所以深感憂慮,乃是怕員工從外部連結企業網路的過程中,進入網際網路的花花世界,難免有不宵之徒躲在暗處伺機窺探,趁勢攔截機敏資料;但多數員工心想,這也沒什麼大不了,公司早已部署VPN解決方案,每一位員工連回企業網路的資料,都早已做了嚴格的加密,而歹徒並非三頭六臂,沒有那把賴以解密的鑰匙,充其量頂多看到一堆亂碼而已,何懼之有?

然而這群員工忽略掉一些殘酷的事實,駭客只要竊取任何一組帳號與密碼,即可堂而皇之化身為合法員工,接著隨便運用1台行動裝置,就能輕輕鬆鬆打開企業的大門,恣意搜括他所設定的獵物;所以企業當務之急,就是設法在大門上加裝安全鎖,阻止駭客進門,而這道安全鎖,正是能夠結合行動裝置應用情境的身分認證機制。

啟動Mobile OTP 輕鬆做好身分安全認證

不可諱言,通常每隔30秒或1分鐘即變換一次密碼的OTP(One-Time Password)機制,對於企業網路與網站存取點的保護,向來頗具立竿見影之效,若能結合行動應用,便可嚴密呵護使用者的帳號與密碼,讓公司迅速確認其身分正確性,避免駭客透過非法手段闖關成功。

於是乎,若干在身分安全認證業界耕耘多時的廠商,便發展出Mobile OTP解決方案,讓Token搖身一變成為App,俾使用戶可直接在Apple APP Store、Google Play等市集下載,如此一來,使用者隨身攜帶的行動裝置,就立即成為某種型式的OTP令牌。

不過前述所言,只是貼近使用者這端的運作情境而已,欲使Mobile OTP發揮成效,企業後檯還得完成一些部署作業,首先便是向該Mobile OTP方案廠商引進認證伺服器,看是要硬體式主機、或是虛擬主機VM版都行,接著進行系統的安裝與設定,其間最重要的工作,即是讓員工的帳號,與他自帶的行動裝置識別ID,牢牢綑綁在一起,成為唯一識別的認證因素。

而這台OTP認證伺服器,亦可與企業既有的SSL VPN、Citrix Access Gateway、 Security Gateway、網頁伺服器認證結合,使得此一雙因素身分認證把關機制,能夠屹立於企業亟欲保護的數位資產之前,形成強而有力的屏障。

經由這番設定,此後員工的個人、與他隨身攜帶的行動裝置,便將連結為密不可分的驗證權仗,日後只要拿著這台已被註冊在案的裝置,與企業認證伺服器做連線,取得一次性密碼,便可連結企業內部網路,再藉由OTP認證伺服器與Active Directory、LDAP或RADIUS等授權機制的整合,存取被允許使用的應用程式或資料。

綜觀上述過程,可說毫不拖泥帶水,並未對使用者產生任何不便;唯一需要留意的是,假使員工的智慧型手機或平板電腦因故障送修,暫時只能使用備用裝置,則個人身分與裝置識別ID的連結性因而消失,原本唯一識別的認證因素就不復存在,這個時候,員工切記知會系統管理員,先取消掉原本的註冊(註:畢竟在外送修,脫離自己的掌控範圍,凡事還是小心為宜),再採取所謂的短期性應變措施,看是要讓備用裝置加入註冊,抑或暫時以電子郵件或簡訊當做OTP載具,只要能填補這段空窗期,其實都無不可。

如果BOYD裝置為Ultrabook,那麼更是再好不過,因為英特爾(Intel)已在第三代Core vPro處理器當中,內建了名為Intel IPT(Intel Identity Protection Technology)的身分保護技術,為了確認使用者的登入用電腦為可信賴平台、而非惡意軟體,進而有效保護網路和網站存取點,所以提供予企業兩種驗證方式,其中一種便是OTP(註:另一是PKI);倘若企業如同前述情境,在後檯部署OTP認證伺服器,則前端設備不管是智慧型手機、平板電腦抑或支援IPT的Ultrabook,通通都可納入管轄範疇。

一旦以Ultrabook作為Mobile OTP認證載具,還會多出一項好處。萬一員工的Ultrabook遭竊或遺失,而裡頭又儲存了客戶名單、報價單等重要資料,也無需驚慌失措,只要在發現事實的當下,立即通知系統管理員,即可從遠端封鎖該台設備,此時外人就算拿到這台Ultrabook,也無法開機讀取資料,甚至若將硬碟卸下,安裝到別台Ultrabook,也照樣讀不出來,所有資料都萬無一失,沒有外洩之虞。

如果是智慧型手機或平板電腦,假使內含機敏資料,恐怕也只能搭配企業所部署的行動裝置管理解決方案(Mobile Device Management;MDM),才能達到與上述Ultrabook相同的防護效果。

或許有人會問,倘若手機或平板遺失,就算並未留存重要資料,但裡頭畢竟還有Mobile OTP載具,倘若就這麼流落在外,似乎仍有風險存在。事實上,假使拾獲裝置的人並蓄意取得,理應不知前一手主人的帳號及應用取向,拿了OTP載具也是白搭;萬一是有心人士蓄意竊奪裝置,也可比照故障送修的前例辦理,在第一時間知會系統管理員進行遠端處理,讓OTP載具立即失效。

善用行動PKI 企業數位資產有保障

當然,如果企業認為動態密碼仍有遭致非法截獲的可能性,深覺不能僅倚靠OTP動態權杖,此時即不妨採行另一種雙因素身分認證技術,那就是基於PKI技術的強身分認證產品解決方案,也就是行動PKI,除需部署伺服器端的SSL憑證、以及用戶端憑證外,並以行動裝置作為用戶端憑證的安全載體。

此乃由於,PKI對於線上交易過程中,兩造傳輸資料本身的隱密性、驗證性、完整性及不可否認性,無庸置疑具備更高的確認效果。

綜觀市面上行動PKI解決方案,有的直接將使用者的數位身分儲存在SIM卡,有的是透過用戶端軟體的型式,裝載於行動裝置上;然而不論是SIM-based或Client-based方案,顯然都受制於特定的裝置或SIM卡,導致密碼管理成本偏高,且有不少前置準備作業需要執行。

有鑑於此,開始有業者提供第三方集中保管機制,由它來保管私有金鑰,當使用者將其帳號及OTP密碼登錄到該平台,就隨即發出另一組OTP給認證管理員進行驗證,只要經驗證無誤,便使用相對應的私有金鑰進行數位簽章,再傳送到任一支援PKI服務的網站上使用,以期增進PKI可用性;因私有金鑰交由第三方負責處理,企業無需擔心金鑰保管問題,亦可達到完全的可攜性,且降低系統建置與維護成本,因而開始受到較多關注。