打造企業優質網路 : 資訊安全現況與市場趨勢 國立政治大學資訊科學系 胡毓忠 教授 URL:
演講者簡介 現任國立政治大學資訊科學系教授 曾任: 國立政治大學資訊科學系系主任 國立政治大學資訊科學系副教授 國立政治大學資訊管理系副教授 研究興趣: 網際網路安全 語意網與資訊網服務 軟體代理者系統
演講大綱 背景及目標 資訊安全的現況 電子憑證和公鑰匙架構 現有電子商務安全 具高可信度的語意網金字塔 未來資訊網服務安全趨勢 現有無線上網安全機制 未來無線上網安全的趨勢 普及式資訊網服務的安全 結論
背景及目標 本次演講主要目的是介紹企業界現今及未來最為重要 的資訊網服務的安全議題,包括了有現有安全式電子 商務、行動式無線上網安全、及未來高可信度的資訊 網服務和語意網等科技。而這些科技將融合起來形成 一個普及式資訊網服務的安全架構。我們希望能夠配 合第一次演講的系統與網路安全的架構基礎概念,來 掌握資訊安全的現況及未來的市場發展趨勢以完成打 造企業優質網路的終極目標
資訊安全系統的建置考量 資訊安全的目的除了利用一些現有的安全防護機制來 建構一個具防衛體系及入侵偵測的高可信度的運作環 境之外。另外最重要的是評估如何來確保資訊網上具 有利益考量的的資訊交易能夠具體的得到保障和風險 的降低,因此資訊安全的需要考量依據將是: 瞭解各種安全防護機制的使用面和涵蓋的範圍 掌握現有和未來安全科技的發展趨勢 取得投資資訊安全機制成本和其保護資產的平衡點 評估現有和未來自身的需求以便於作有效益的投資
電子憑證和公鑰匙架構 現有 X.509 公鑰匙 (PKI) 的架構是所有網路安全的基石 以 X.509 的電子憑證雖然已經行之多年可是其拓樸架構 的演進還有很多的討論及改善的空間 現有的 X.509 電子憑證只能提供簡單的身份驗證的機制 卻無法提供其它如授權 (authorization) 和代理權 (delegation) 等重要的資訊安全機制 憑證註銷問題的解決一直都是很重要但是很難的議題 PKI 架構未來也要能提供無線上網服務和資訊網服務等 新一代的網路服務的功能
理想的 X.509 公鑰匙架構
現有電子商務交易安全 現有電子商務 (B2C) 安全通訊的機制幾乎是完全建立在 SSL 的安全通訊協定之上 網站和網頁在執行電子商務交易的安全則有賴於其 Web Server 網站所使用的作業系統、 Web Server 的系 統程式及開發環境、伺服器端的 CGI 應用程式、和資 料庫管理系統等的安全機制整合 Web Server 通常是在防火牆之外,而連通後端的資料 庫管理系統雖然有受到防火牆的保護,但是其安全並 不是絕對的
現有電子商務交易的簡單示意圖
電子貨幣的分類和使用 以 SSL 安全通訊協定來執行傳統式簽章卡的付費 以 SET 新一代安全付費網路來執行整合式簽帳卡的付 費 以軟體和智慧卡及數位網路來進行電子貨幣的使用 微量付費的電子貨幣使用的方便性和安全的均衡考量 電子貨幣使用的考量因素: 匿名性 流通性 重複使用 連線或者離線的驗證
SET 的付費運作機制
語意網( Semantic Web) 的含意 利用具有以 XML , RDF(S) 以及其它的一些具有表達本 體論 (Ontology) 知識的旗標語言 (Markup Language) 來 提供給網路上的代理者程式 (Agent) 自動化的處理,交 換及整合訊息 語意網的實現將會是新一波全球資訊網的到來 語意網的實現和現有工業界所強力推動的資訊網服務 (Web Services) 具有相輔相成的功效 語意網和資訊網服務等科技的推動和 W3C 的組織的關 係非常的密切 語意網和資訊網服務的可信和安全在未來將會是一個 需要審慎考量的研究發展重點
具可信度的語意網金字塔
語意網( Semantic Web) 的發展趨勢
語意網階層示意圖
資訊網服務 (Web Services) 的含意 資訊網服務是透過一個高互通性的模組化軟體使未來 的電子商務及其它在 Web 上面的各式各樣的電子化服 務可以在不受電腦平台,作業系統,系統軟體的差異 性的限制下來完成其目的 因為 XML 的旗標語言的方便性、彈性、及高度的延展 性可以讓我們在未來資訊網服務下的資訊、資料、以 及文件的交換可以非常容易達成 資訊網服務是目前全世界學術界及知名的電腦資訊公 司非常積極投入的一個研究課題,因此相關的標準協 定已經陸陸續續被制訂出來 安全式的資訊網服務當然也是主要研究的方向之一
資訊服務網階層示意圖
安全資訊網服務的趨勢階層架構圖
現有及未來無線上網安全機制 現有無線上網的安全機制是利用 SSID , MAC , WEP (Wired Equivalent Privacy) 等方式來達到無線上網的 使用者認證 (Authentication) 和隱密性 (Secrecy) 通訊等 的安全控管目的 配合現有 VPN 的方式來進行無線上網者安全控管及保 護也是可行的方法之一 學界和業界不斷的對於現有無線上網安全機制強韌度 的質疑和挑戰導致於另一個無線上網安全標準 IEEE i 的被提出 無線上網和資訊網服務的結合將可以帶動另一種行動 式電子化服務的新契機和商機
現有無線上網安全機制 (I)
現有無線上網安全機制 (II)
未來無線上網安全的趨勢
普及式資訊網服務的安全 普及式運算 (Ubiquitous Computing) 所提供的資訊網服 務是一個不限時間,不限地點且無所不在的電子化服 務,這種幾乎是完全無障礙的資訊網服務所隱含的理 念是我們更要能提供一個高可信度且具安全機制的服 務架構。因為方便的使用資訊網服務並不代表服務是 毫無控管機制。因此資訊安全所要考慮的一些準則如 隱密性、資訊完整性、可認證性、不可抵賴性、隱私 性等依然是未來在發展普及式資訊網服務時的主要安 全考量因素。
結論 我們認知到現在及未來的主要安全技術的發展趨勢將 會是圍繞在幾個主要議題之上,它們分別是:無線上 網的安全、資訊網服務的安全、語意網的可信度及安 全。而結合這些安全議題所造就出的是一個普及式資 訊網服務的安全架構的建立。這些議題當中有些是學 術界關心的研究議題,而有些則是工商業界有興趣把 它們發展成為實物化的運作系統。這些所產生的挑戰 和商機將會是無窮盡的!!
參考的資料 Bring Semantics to Web Services, Security in a Web Services World: A Proposed Architecture and Roadmap, secmap/. secmap/ IBM Web Services Security (WS-Security), Gupta, V. and S. Gupta, Securing the Wireless Internet, IEEE Communication Magazine, Dec Wireless Security in (Wi-Fi) Networks, DELL White Paper
問題與回答