Your SlideShare is downloading. ×
0
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Information system security wk5-2-authentication

382

Published on

If you have question …

If you have question
Message me!

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
382
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
28
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. IT346 Information System Security Week 5-2: Authentication อ.พงษ์ศกดิ์ ไผ่แดง ั Faculty of Information Technology Page
  • 2. Hashed Passwords  การรักษาความปลอดภัยในการเก็บบันทึก password ที่เป็ นที่นิยมคื อการ ใช้ hashed passwords ควบคู่กบ salt value. ั ‣ ใช้ในระบบปฏิบติการกลุ่ม UNIX รวมไปถึงระบบปฏิบติการประเภทอื่นๆ ั ั  ขันตอนการโหลด password ใหม่เข้าระบบ: ้ ‣ ผูใช้เลือกหรือได้รบ password. Password นี้ จะถูกรวมเข้ากับ salt valueขนาด ้ ั คงที่ ‣ วิธีเดิม: Salt สร้างมาจาก password โดยสร้างตังแต่ตอนที่ password ถูกสร้าง ้ ‣ วิธีใหม่: Salt สร้างมาจากเลขสุ่ม (random number) Faculty of Information Technology Page 2
  • 3. Hashed Passwords  ขันตอนการโหลด password ใหม่เข้าระบบ (ต่อ): ้ ‣ Salt และ password ถูกรวมเข้าด้วยกันและปอนเข้าไปใน hash function ้ • นิ ยมใช้ hash function ที่ทางานช้า เช่น crypt(3) • ทาไม hash function ถึงควรทางานได้อย่างช้าๆในการใช้งานลักษณะนี้? ‣ ค่า Hash ดังกล่าวถูกเก็บไว้ค่กบ plaintext ของ salt และ user ID ของผูใช้ ู ั ้ นันๆ โดยเก็บไว้ใน password file ้ Faculty of Information Technology Page 3
  • 4. Hashed Passwords  จุดประสงค์ของการใช้งาน Salt: ‣ ปองกันไม่ให้ password ที่ซ้ากันได้ค่า hash ออกมาเท่ากัน ซึ่งจะอ่านเห็นจาก ้ password file ‣ เพิ่มระดับความยากในการโจมตีแบบ offline dictionary attacks ตัวอย่างเช่น หาก salt มีขนาด b bits แล้ว จานวน password ที่ตองเดาสาหรับผูใช้นนๆจะ ้ ้ ั้ เพิ่มขึ้นเป็ น 2b เท่า เมื่อเทียบกับการไม่ใช้ salt ‣ ไม่สามารถคาดเดาได้ว่าผูใช้ใช้ password เดียวกันบนระบบอื่นหรือไม่ ้ เนื่ องจากค่า salt สาหรับผูใช้นนๆบนแต่ละระบบ ้ ั้ ก็จะแตกต่างกัน Faculty of Information Technology Page 4
  • 5. Hashed Passwords  ขันตอนการ Log-in บนระบบ Unix ้ ‣ User ให้ User ID และ password ‣ Operating system ใช้ User ID ในการหาช่องเรคคอร์ดของผูใช้ใน password ้ file และดึงค่า plaintext salt และ hash ของ password+salt ออกมา ‣ ค่า salt และ password ที่ user ปอนเข้ามาจะถูกนามารวมกันและ hash ้ ผลลัพธ์ออกมา ‣ ถ้าผลลัพธ์ของการ hash ตรงกับ ค่าที่เก็บไว้ในเรคคอร์ดนัน ก็แสดงว่า ้ ผูใช้ปอน password ได้ถกต้อง ้ ้ ู Faculty of Information Technology Page 5
  • 6. UNIX Implementation  วิธีการดังเดิม ้ ‣ Password มีขนาดสูงสุดที่ 8 ตัวอักษร เมื่อเก็บข้อมูลด้วยการแปลงอักขระ แบบ 7-bit ASCII แล้ว จะได้เป็ น input ขนาด 56 bit ‣ Hash function เรียกว่า crypt(3) ทางานบนพื้นฐานของการเข้ารหัสแบบ DES ‣ ใช้ Salt ขนาด 12 bit ‣ Crypt(3) ได้รบการออกแบบมาเพื่อให้ทนทานต่อการเดา password ั ‣ Software implementation สาหรับ DES ทางานได้ชา เมื่อเทียบกับการสร้าง ้ ด้วย hardware  วิธีการดังเดิม ปั จจุบนถือว่าให้ความปลอดภัยไม่เพียงพอ ้ ั ‣ มีหลักฐานว่าสามารถทา dictionary attack ได้ดวย supercomputer ้ ‣ ยังจาเป็ นต้องใช้วิธีดงเดิมเพื่อทางานร่วมกับ account management software ั้ เดิมหรือเมื่อทางานในระบบที่ใช้ software จากหลากหลายแหล่ง Faculty of Information Technology Page 6
  • 7. การปรับปรุง Implementation  ใช้เทคนิ คการทา hash/salt ที่แข็ งแกร่งกว่าเดิ มบน Unix  Hash function ที่แนะนา ทางานโดยใช้ MD5 เป็ นพื้นฐาน ‣ ใช้ Salt ขนาดใหญ่ข้ ึน สูงสุดที่ 48-bits ‣ Password มีความยาวได้ไม่จากัด ‣ ให้ hash ผลลัพธ์ขนาด 128 bits ‣ สามารถทางานช้ากว่า crypt(3) ได้  OpenBSD ใช้ Bcrypt ซึ่งทางานบนพื้นฐานของการเข้ารหัสแบบ Blowfish block cipher โดยเป็ นเทคนิ คการทา hash/salt ที่แข็ งแกร่งที่สุดบน Unix ‣ Password มีความยาวได้สงสุด 55 ตัวอักษร ู ‣ ใช้ salt ขนาด 128 bit เพื่อสร้าง hash ขนาด 192 bit Faculty of Information Technology Page 7
  • 8. Password Cracking  Dictionary attacks ‣ สร้าง dictionary ขนาดใหญ่บรรจุ password ที่เป็ นไปได้ และลองใช้แต่ละ password ทดสอบกับ password file ‣ Password จะถูก hash พร้อมกับ salt แต่ละอันบน password file และ เปรียบเทียบกับ hash ที่เก็บไว้ใน password file ‣ ถ้าไม่พบค่า match ให้ลองค่าที่ปรับแปลงจากค่าคาทังหมดใน dictionary ของ ้ password ที่มกเป็ นไปได้ (เช่นการสะกดคาย้อนกลับ การเพิ่มตัวเลขหรือ ั อักขระพิเศษ หรือชุดของตัวอักษร) Faculty of Information Technology Page 8
  • 9. Password Cracking  Rainbow table attacks ‣ Rainbow table คือตารางที่เก็บผลลัพธ์ของการ hash โดยคานวณเอาไว้ ล่วงหน้า สร้างโดยการสร้าง dictionary ขนาดใหญ่เก็บ password ที่เป็ นไปได้ จากนัน สาหรับแต่ละ password ให้สร้างค่า hash ที่เป็ นไปได้ทงหมด โดยสร้าง ้ ั้ จากค่า salts ที่เป็ นไปได้ทงหมด จึงเกิดเป็ นตารางขนาดใหญ่ เก็บค่า hash ที่ ั้ เป็ นไปได้ทงหมด ั้ ‣ ปองกันการโจมตีแบบนี้ ได้โดยใช้ salt ขนาดใหญ่ และใช้ค่า hash ที่มีขนาด ้ ใหญ่ Faculty of Information Technology Page 9
  • 10. Observed Password Lengths Password crackers ทางานโดยอาศัยว่าผูใช้ส่วนใหญ่เลือกใช้ password ที่คาดเดา ้ ได้ง่าย สังเกตจากสัดส่วนการตัง password ที่มีความยาวต่างๆ ้ Purdue University study on 54 systems and 7000 users Faculty of Information Technology Page 10
  • 11. Guessing  Passwords Cracked จาก Set ตัวอย่างจานวน 13,797 Accounts ‣ สร้างได้เป็ น dictionary ขนาด 3 ล้านคา และคา แปลงจากคาเหล่านัน ้ Faculty of Information Technology Page 11
  • 12. Password File Access Control Block offline guessing attacks โดยห้ามการเข้าถึง encrypted passwords เข้าถึงได้โดย ผูใช้ท่ีมีสิทธิ ้ พิเศษ (privileged user) เท่านัน ้ Shadow password file •ไฟล์แยกจาก ไฟล์ที่เก็บ user IDs เพื่อเก็บ hashed passwords โดยเฉพาะ Faculty of Information Technology vulnerabilities จุดอ่อนใน OS ความผิดพลาด ของการตัง ้ ที่ทาให้เข้าถึง permissions ทา ไฟล์ได้ ให้ไฟล์อ่านได้ users ที่เข้าถึง ไฟล์ได้ ใช้ password เดียวกันบน ระบบอื่น เข้าถึงไฟล์จาก Backup ของ ไฟล์ ดัก password จาก network traffic Page 12
  • 13. เทคนิ คการเลือก Password ผูใช้ควรตระหนักถึงความสาคัญของการใช้ password ที่เดายาก และให้แนวทางการตัง password ที่ ้ ้ แข็งแกร่งแก่ผใช้ ู้ ผูใช้จดจาได้ยาก ้ ระบบ run โปรแกรม password cracker เป็ นระยะเพื่อตรวจสอบความแข็ งแกร่งของ password ผูใช้เลือก password เองได้ โดยระบบทาการตรวจสอบ ้ ความแข็งแกร่ง หากไม่เพียงพอ จะไม่รบ password นันๆ ั ้ Faculty of Information Technology สามารถกาจัด password ที่เดาได้ง่ายได้ ในขณะที่ให้ผูใช้ ้ สามารถจดจา password ที่ตนตังเองได้ดวย ้ ้ Page 13
  • 14. การตรวจสอบ Password แบบ Proactive  การบังคับใช้กฎ บังคับให้ password เป็ นไปตามกฎที่ระบุไว้ ตัวอย่างเช่น: ‣ ต้องมีความยาวอย่างน้อย 8 ตัวอักษร ‣ ต้องประกอบด้วย ตัวอักษรใหญ่ ตัวอักษรเล็ก ตัวเลข และเครื่องหมาย อย่าง ่ ละ 1 ตัวเป็ นอย่างตา  Proactive Password Checker ‣ http://www.openwall.com/passwdqc/  Password cracker ‣ พัฒนา dictionary ขนาดใหญ่บรรจุ password ที่ไม่ควรใช้ ‣ มีขอจากัดด้านระยะเวลาที่ใช้ และพื้นที่จดเก็บ ้ ั  Bloom filter ‣ พัฒนาตารางขนาดใหญ่ โดยอาศัย hash function ‣ ตรวจสอบ password ที่ตองการเทียบกับตารางที่สร้างขึ้น ้ Faculty of Information Technology Page 14
  • 15. Token Authentication  ใช้ส่ิ งที่ผูใช้ครอบครอง ในการตรวจสอบตัวตนของผูใช้ ้ ้ ‣ บัตรพิมพ์นูน (embossed card) ‣ บัตรแถบแม่เหล็ก (magnetic stripe card) ‣ บัตร memory card ‣ บัตร smartcard Faculty of Information Technology Page 15
  • 16. ชนิ ดของ Card ที่ใช้เป็ น Token C Type ard D efiningF re eatu E ple xam E bos ed m s A TM M netics ag tripe pre-paid M ory em pro es o c sr S art m - (E tric c ntac lec al o t) C ntac s o tles B m IDc io etric ard (R antenna) adio C ntac o t Faculty of Information Technology Page 16
  • 17. Memory Cards  เก็บข้อมูลได้ แต่ประมวลผลข้อมูลไม่ได้  แบบที่นิยมที่สุดคื อเก็บในรูปแถบแม่เหล็ ก ‣ เก็บ security code อย่างง่าย อ่านได้ง่าย  อาจมีหน่ วยความจา (electronic memory) ภายใน  ใช้งานเดี่ ยวๆ เพื่อใช้ในการเข้าถึ งทางกายภาพ ‣ ห้องพักโรงแรม, ATM  ให้ความปลอดภัยมากขึ้ นเมื่อใช้ควบคู่กบ password หรือ PIN ั  ข้อเสี ยของ memory cards ได้แก่: ‣ ต้องการเครื่องอ่านพิเศษ ‣ ทา token หาย ‣ ไม่เป็ นที่ช่ื นชอบของผูใช้ ้ Faculty of Information Technology Page 17
  • 18. Smart Tokens แบ่งออกได้เป็ น 3 ประเภท:  แบ่งตามคุณลักษณะเชิงกายภาพ (Physical characteristics): ‣ Smart tokens ที่มี microprocessor ฝังภายใน ‣ Smart card = smart token ในรูปของ card ‣ Smart token ที่มีลกษณะคล้ายเครื่องคิดเลข กุญแจ หรือสิ่งพกพาเล็กๆ ั  แบ่งตามประเภทสัมผัส (Interface): ‣ Manual interface ที่มี keypad และ display ที่ทางานโต้ตอบกับ card ‣ Electronic interface ที่มีการสื่อสารกับเครื่อง reader/writer Faculty of Information Technology Page 18
  • 19. Smart Tokens  โปรโตคอลที่ใช้ในการพิสจน์ตวตน (Authentication protocol): ู ั จุดประสงค์ของ smart token คือใช้เป็ นเครื่องมือให้ผูใช้พิสจน์ตวตน ้ ู ั Static: ‣ ผูใช้ authenticate ตนเองต่อ token; จากนัน token จึง authenticate ผูใช้ต่อ ้ ้ ้ ระบบ Dynamic password generator: ‣ Token สร้าง password ที่ไม่ซ้ากัน เป็ นระยะๆ. ‣ Password ถูกปอนเข้าไปยังระบบคอมพิวเตอร์ เพื่อใช้ทา authentication อาจ ้ ทาด้วยมือโดยผูใช้ หรือทาง electronically ผ่าน token นันๆ ้ ้ ‣ Token และระบบคอมพิวเตอร์ ต้องได้รบการกาหนดค่าเริ่มต้น และถูกทาให้ ั ทางาน synchronized กันตลอด เพื่อให้ระบบคอมพิวเตอร์รู ้ password ปั จจุบน ั ของ token. Faculty of Information Technology Page 19
  • 20. Smart Tokens  โปรโตคอลที่ใช้ในการพิสจน์ตวตน (Authentication protocol): ู ั จุดประสงค์ของ smart token คือใช้เป็ นเครื่องมือให้ผูใช้พิสจน์ตวตน ้ ู ั Challenge-response: ‣ ระบบคอมพิวเตอร์สร้าง challenge ‣ Smart token สร้าง response โดยใช้ขอมูลจาก challenge (เช่นอ้างจาก ้ symmetric key หรือ asymmetric key) Faculty of Information Technology Page 20
  • 21. Smart Card  Smart card มี electronic interface และอาจใช้งานกับโปรโตคอลอันใดที่ กล่าวมาก็ได้  Smart card บรรจุ microprocessor ได้แก่: ‣ Processor, memory, และ I/O ports. ‣ บางเวอร์ชนมีวงจร co-processing พิเศษสาหรับการดาเนิ นการประเภท ั่ cryptographic เพื่อให้งานที่เกี่ยวข้องกับการ encoding/decoding ข้อความ หรืองานสร้าง digital signature ทาได้เร็วขึ้น ‣ Card บางอันมี I/O ports ที่เข้าถึงโดยเครื่อง reader ได้โดยตรง (electrical contacts) ในขณะที่ card ประเภทอื่นใช้เสาอากาศฝังอยู่เพื่อสื่ อสารแบบไร้ สายกับเครื่อง reader Faculty of Information Technology Page 21
  • 22. Smart Card  Dimensions ตามมาตรฐาน ISO 7816-2. Faculty of Information Technology Page 22
  • 23. Smart Card  Smart card ส่วนใหญ่ใช้ memory รูปแบบต่อไปนี้ ‣ Read-Only Memory (ROM) เก็บข้อมูลที่ไม่เปลี่ยนแปลงตลอดอายุการใช้ งาน เช่น หมายเลขการ์ด หรือชื่ อผูถือบัตร ้ ‣ Electrically Erasable Programmable ROM (EEPROM) เก็บ application data และ programs (เช่น protocols ที่การ์ดสามารถทางานได้) และยังอาจเก็บ ข้อมูลที่มีการเปลี่ยนแปลง (เช่น บัตรโทรศัพท์ใช้ EEPROM ในการเก็บเวลา สนทนาคงเหลือ) ่ ่ ‣ Random Access Memory (RAM) เก็บข้อมูลชัวคราวที่แอพพลิ เคชันสร้าง ขึ้นมาระหว่างการทางาน Faculty of Information Technology Page 23
  • 24. การสื่อสารระหว่าง Smart Card และเครื่อง Reader Communication Initialization between a Smart Card and a Reader Faculty of Information Technology Page 24
  • 25. Smart Card Communication  รูปแบบการทางานโต้ตอบระหว่าง smart card และเครื่อง reader หรือ ระบบคอมพิวเตอร์ ่ ‣ ทุกครังที่ใส่ card เข้าไปในเครื่อง reader เครื่อง reader จะส่งคาสัง reset เพื่อ ้ ‣ ‣ ‣ ‣ กาหนดค่าเริ่มต้นให้กบค่าพารามิเตอร์ต่างๆ เช่น ค่า clock ั Card ตอบกลับด้วย answer to reset (ATR) message ซึ่ง ATR ระบุ พารามิเตอร์และโปรโตคอลที่ card สามารถทางานได้ พร้อมทังฟั งก์ชนการ ้ ั่ ทางานที่ card สามารถทาได้ เครื่อง read terminal อาจสามารถขอเปลี่ยนโปรโตคอลที่ใช้ และ ่ ค่าพารามิเตอร์ต่างๆ ผ่านคาสัง protocol type selection (PTS) command PTS response จาก Card ยืนยันพารามิเตอร์และโปรโตคอลที่จะใช้ จากนันเครื่อง terminal และ card สามารถทางานร่วมกันได้ ้ Faculty of Information Technology Page 25
  • 26. Biometric Authentication  มุ่งที่จะ authenticate บุคคลโดยอาศัย ‣ คุณลักษณะเฉพาะทางกายภาพ (static หรือ dynamic) facial characteristics หน้า fingerprints ลายนิ้ วมือ hand geometry มือ retinal pattern ลายจอตา iris ลายม่านตา signature ลายเซ็น voiceprint เสียงพูด  ทางานบนพื้นฐานของ pattern recognition  มีความซับซ้อนเชิงเทคนิ คและมีค่าใช้จ่ายสูง ‣ เมื่อเทียบกับ passwords และ tokens Faculty of Information Technology Page 26
  • 27. Biometric Authentication  Facial Characteristics (คุณลักษณะใบหน้า): ‣ ระบุคุณลักษณะจาก ตาแหน่งเชิงสัมพันธ์ (relative location) และ รูปร่าง (shape) ของ feature หลักบนใบหน้า เช่น รูปตา คิ้ว จมูก ปาก และคาง ‣ วิธีการอื่นเช่นการใช้กล้องอินฟราเรด (infrared camera) สร้าง thermogram ของใบหน้า ซึ่งสัมพันธ์กบระบบหลอดเลื อดข้างใต้ใบหน้า ั Faculty of Information Technology Page 27
  • 28. Biometric Authentication  Fingerprints (ลายนิ้ วมือ): ‣ รูปแบบของสันและร่องบนพื้นผิ วของปลายนิ้ วมือ ซึ่งปั จจุบนเชื่ อว่าไม่ซ้ากัน ั ระหว่างบุคคล ‣ ระบบจดจา fingerprint และจับคู่ match อัตโนมัติ ทางานโดยดึง feature จานวนหนึ่ งออกมาจากลายนิ้ วมือเพื่อเก็บบันทึกในรูปคณิ ตศาสตร์เพื่อเป็ น ตัวแทนของ pattern ลายนิ้ วมือตัวเต็ม  Hand geometry (รูปเชิงเรขาคณิ ตของมือ): ‣ ระบุ feature ของมือ เช่น รูปร่าง ความกว้าง-ยาวของนิ้ วมือ Faculty of Information Technology Page 28
  • 29. Biometric Authentication  Retinal pattern (ลายจอตา): ‣ Pattern ที่เกิดจากเส้นหลอดเลือดดาใต้ผิวจอตา ซึ่งเป็ นเอกลักษณ์บุคคล จึง เหมาะต่อการนามาใช้ในการระบุตวตนของบุคคล ั ‣ Retinal biometric system ได้ภาพดิจิตอลของ retinal pattern จากการฉาย ่ ลาแสงความเข้มตา อาจเป็ นแสงที่มองเห็นได้ (visual light) หรือแสง ่ อินฟราเรด (infrared light) ความเข้มตา เข้าไปในลูกตา  Iris (ม่านตา): ‣ ลายโครงสร้างอย่างละเอียดของม่านตา Faculty of Information Technology Page 29
  • 30. Biometric Authentication  Signature (ลายเซ็น): ‣ แต่ละบุคคลมีรปแบบลายมือเขียนที่แตกต่างกันไป และรูปแบบดังกล่าวจะเห็น ู ชัดเจนในลายเซ็นซึ่งเป็ นสิ่งที่เขียนบ่อย ‣ อย่างไรก็ตาม ลายเซ็นแต่ละอันของบุคคลเดียวกันก็ไม่เหมือนกันโดยสมบูรณ์ จึงเป็ นงานที่ซบซ้อนที่จะพัฒนาการเก็บตัวแทนลายเซ็นที่จะสามารถจับคู่ ั match กับลายเซ็นที่บุคคลนันๆจะเขียนขึ้นในอนาคตได้ ้  Voice (เสี ยง): ‣ Voice pattern มีความสัมพันธ์กบคุณลักษณะทางกายภาพและกายวิภาคของผู ้ ั เปล่งเสียง ‣ อย่างไรก็ตาม ตัวอย่างเสียงที่เปล่งโดยบุคคลเดียวกันก็ยงแตกต่างกันในแต่ละ ั ครัง จึงทาให้การทาการรูจาเป็ นไปอย่างซับซ้อน ้ ้ Faculty of Information Technology Page 30
  • 31. ค่าใช้จ่ายเทียบกับระดับความถูกต้อง Faculty of Information Technology Page 31
  • 32. การทางานของ Biometric System ่  ระบบลงทะเบียนข้อมูล Biometric โดยทัวไปสร้างการเชื่ อมโยงระหว่าง ผูใช้กบคุณลักษณะทาง biometric ของผูใช้ ้ ั ้ ‣ บุคคลแต่ละคนที่จะมีขอมูลอยู่ในฐานข้อมูลผูใช้ได้ ต้องลงทะเบียนก่อน ้ ้ (เทียบได้กบการได้รบ password) ั ั ‣ ผูใช้ระบุชื่อ และมักต้องระบุ password หรือ PIN ต่อระบบ จากนันระบบจะรับ ้ ้ คุณลักษณะทาง biometric (เช่น ลายนิ้ วมือ) เข้ามาผ่านเครื่องรับ ‣ ระบบแปลงข้อมูลดังกล่าวให้เป็ นข้อมูลดิ จิตอล และสกัดชุดของ features ที่จะ ใช้ออกมาเป็ นชุดตัวเลข ซึ่งเป็ นตัวแทนคุณลักษณะทาง biometric ของผูใช้ ้ เรียกว่า user’s template Faculty of Information Technology Page 32
  • 33. การทางานของ Biometric System  ขึ้นกับรูปแบบการใช้งาน การพิสจน์ตวตน ู ั ‣ Verification ตรวจสอบว่าเป็ นผูใช้ที่ ้ ของผูใช้อาจเป็ นการระบุตวตน ้ ั (Identification) หรือตรวจสอบตัวตน (Verification) กล่าวอ้างจริง ‣ ผูใช้ปอน PIN และใช้ biometric ้ ้ sensor ‣ ระบบสกัด feature และตรวจสอบกับ user’s template. ‣ ถ้าตรงกัน ถือว่าผูใช้ได้รบการ ้ ั authenticate เรียบร้อย ‣ Identification ระบุตวตนของผูใช้ที่ ั ้ ไม่ทราบมาก่อนว่าเป็ นผูใด ้ ‣ ใช้ biometric sensor โดยไม่ใช้ ข้อมูลอื่นประกอบ ‣ ระบบเปรียบเทียบ template ที่ได้ กับเซ็ตของ template ที่มีบนทึกอยู่ ั ในระบบ Faculty of Information Technology Page 33
  • 34. ความถูกต้องของ Biometric Faculty of Information Technology Page 34
  • 35. เส้นแสดงคุณลักษณะการทางานในอุดมคติของระบบวัดด้วย Biometric ่ แอพพลิเคชันต่างๆก็อาศัยข้อดีขอเสียระหว่าง false match rate และ false non้ match rate.  อาจเลือกจุด threshold ที่ เทียบได้กบจุดบนเส้นโค้งที่ ั false match rate เท่ากับ false non-match rate  High-security app ต้องการ false match rate ่ ตาๆ  Forensic application ระบบ หาบุคคลต้องสงสัยที่เป็ นไป ได้เพื่อนาไปตรวจสอบ ต่อไป จึงมักต้องการ false ่ non-match rate ตา Faculty of Information Technology Page 35
  • 36. Biometric Measurement ต่างๆ กราฟแสดงคุณลักษณะการทางาน Faculty of Information Technology Page 36
  • 37. Remote User Authentication  Authentication ข้าม network, the Internet, หรือ communications link ต่างๆถือเป็ นการดาเนิ นการที่ซบซ้อน ั ‣ ต้องรับมือกับภัยคุกคามเพิ่มเติม เช่น: • การดักฟั ง (Eavesdropping) เพื่อดักจับ password • การ Replay ขันตอนการ authentication ที่เคยสังเกตการณ์ไว้ล่วงหน้า ้  โดยปกติแล้วจะใช้ challenge-response protocol เพื่อรับมือกับภัย คุกคามเหล่านี้ Faculty of Information Technology Page 37
  • 38. Password Protocol ‣ ผูใช้ส่ง identity ของตนไปยัง remote host ้ ‣ Host สร้าง random number (เรียกว่า nonce) r, และระบุ hash function, h() และฟั งก์ชน f() ั่ ที่จะให้ใช้กบ response จากนัน คืน challenge, ั ้ {r, h(), f()} ให้กบผูใช้ ั ้ ‣ ผูใช้คืน hash ของ password Puser, นามารวม ้ กับค่า rreturn ที่ได้มาด้วยฟั งก์ชน f() แล้วคืนค่า ั่ f(rreturn, h(Puser)) กลับไป ‣ Host มีการเก็บ hash ของ password ของผูใช้ ้ Authentication ด้วย Password h(Puser @server) ‣ เช่นระบบ Kerberos ‣ ใช้ random number เพื่อปองกันปั ญหา ‣ Host คานวณ f(r, h(Puser @server)) ้ ที่ attacker ดักจับการรับส่งข้อมูล ‣ ถ้า f(r, h(P )) = f(r , h(P )), user @server return user ผูใช้จะได้รบการ authenticate ้ ั Faculty of Information Technology Page 38
  • 39. Token Protocol ‣ ผูใช้ส่ง identity ของตนไปยัง remote host ้ ‣ Host สร้าง nonce r, และระบุ h() และฟั งก์ชน ั่ f() ที่จะใช้ คืน challenge, {r, h(), f()} ให้ผใช้ ู้ ‣ ผูใช้ปอน password P เพื่อ activate passcode W ้ ้ ที่เก็บอยู่ใน token ‣ ผูใช้คืน f(rreturn, h(W)). ้  ผูใช้ถือ token ที่บนทึก static ้ ั passcode หรือสร้าง random passcode ที่ใช้ครังเดียว ้  Password แชร์กนระหว่างผูใช้และ ั ้ token และไม่เกี่ยวข้องกับ remote host Faculty of Information Technology ‣ Static passcode: Host เก็บ h(Wuser @server) และ คานวณ f(r, h(Wuser @server)) เพื่อเปรียบเทียบ กับ f(rreturn, h(W)). ‣ Dynamic passcode: Host สร้าง one-time passcode (synchronized กับ token) และ คานวณ f(r, h(Wone-time @server)) เพื่อ เปรียบเทียบกับ f(rreturn, h(W)). Page 39
  • 40. Static Biometric Protocol ‣ ผูใช้ส่ง identity ของตนไปยัง remote host ้ ‣ Host สร้าง nonce r, และระบุ encryption function E(). ‣ Client ควบคุมเครื่องมือ biometric D’ ‣ Biometric B’ ของผูใช้ถกนามาสร้าง ้ ู biometric template BT’ ‣ ผูใช้คืน E(rreturn,D’, BT’) กลับไป ้ ‣ Host ทาการ decrypts message เพื่อดึงค่า rreturn ,D’ และ BT’ ออกมา ‣ Host ทาการ authenticate โดยเปรียบเทียบ ค่า device ID D’ กับลิ สต์ของเครื่อง biometric ที่ลงทะเบียนไว้ ‣ ค่าระดับการ match (Matching score) ระหว่าง BT’ และ BT ที่เก็บต้องเกินกว่า threshold ที่กาหนด Faculty of Information Technology Page 40
  • 41. Dynamic Biometric Protocol ‣ Sequence challenge x ชุดของตัวเลข, ความแตกต่าง จาก Static Biometric  Host ให้ random sequence และ random number เป็ น challenge Faculty of Information Technology ตัวอักษร, หรือ คา ‣ ผูใช้รบค่า x, x’ แล้วพูด พิมพ์ หรื อเขี ยนค่า ้ ั sequence ที่ได้รบ การกระทานันสร้าง ั ้ สัญญาณ biometric signal BS(x’) จากค่า biometric B’ ‣ ผูใช้ทาการ encryption และคื นค่า E(rreturn, ้ BS(x’)). ‣ Host ทาการ decrypts ข้อความที่ได้รบ ได้ ั ค่า BS(x’) และทาการเปรียบเทียบจาก BS(x’), x และ BT(ผูใช้) ้ Page 41

×