CHAPTER7 Access Control

ACCESS CONTROL การควบค�มการเข้�าถึ ง (Access Control) หมายถึ�ง การทำ�าให�ม� �นใจว่�าทำร�พยากรต่�างๆ ของระบบจะได้�ร�บอน�ญาต่ให�ถึ กใช้�โด้ยผู้ �ใช้�ทำ$�ม$สิ&ทำธิ์&(เทำ�าน�*น [http://www.sans.org/security-resources/glossary.php]

การคว่บค�มการเข�าถึ�งระบบ ต่�องอาศั�ยเทำคโนโลย$ต่�างๆ เป็/นกลไกการทำ�างาน ป็ระกอบด้�ว่ย 4 กลไก ได้�แก�การระบ�ต่�ว่ต่น (Identification)การพ&สิ จน1ต่�ว่ต่น (Authentication)การก�าหนด้สิ&ทำธิ์&( (Authorization)การจ�ด้ทำ�าป็ระว่�ต่&การเข�าใช้�ระบบ (Accountability)

IDENTIFICATION เป็/นกลไกทำ$�ได้�จ�ด้เต่ร$ยมสิารสินเทำศัของบ�คคลทำ$�จะเข�าใช้�ระบบ โด้ยทำ��ว่ไป็

เร$ยกว่�า “Identifier” ซึ่��ง Identifier ของผู้ �ใช้�แต่�ละคนจะต่�องม$ค�าไม�ซึ่�*าก�น เช้�น Username, PIN Code, Password และม�กจะใช้�ร�ว่มก�บกลไกการพ&สิ จน1ต่�ว่ต่น

สิ&�งทำ$�ใช้�พ&สิ จน1ต่�ว่ต่น สิ&�งทำ$�ร � สิ&�งทำ$�ม$ สิ&�งทำ$�เป็/น

AUTHENTICATION การพิ�สู�จน์�ตั�วตัน์ (Authentication) หมายถึ�ง กระบว่นการย3นย�นคว่ามถึ กต่�องของต่�ว่บ�คคลทำ$�กล�าว่อ�าง [http://www.sans.org/security-resources/glossary.php]

การพ&สิ จน1ต่�ว่ต่น แบ�งเป็/น 2 ข�*นต่อน ค3อ ระบ�ต่�ว่ต่น พ&สิ จน1ต่�ว่ต่น

AUTHENTICATION

ว�ธี�การที่��ใช้�พิ�สู�จน์�ตั�วบ�คคล อาศั�ยสิ&�งทำ$�เก$�ยว่ข�องก�บต่�ว่บ�คคล 3 ป็ระการ

1 .สู��งที่��ร�� (Something you know) ได้�แก� รห�สิผู้�าน (Password)2. สู��งที่��ม� (Something you have) เช้�น บ�ต่รเอทำ$เอ4ม บ�ต่รป็ระจ�า

ต่�ว่ป็ระช้าช้น เป็/นต่�น3. สู��งที่��เป็!น์ (Something you are) ได้�แก� การพ&สิ จน1ต่�ว่ต่นด้�ว่ย

ล�กษณะทำางช้$ว่ภาพ (Biometric) เช้�น ต่รว่จลาย น&*ว่ม3อ เสิ�นเล3อด้ด้�าบนฝ่9าม3อ หร3อลายม�านต่า เป็/นต่�น

AUTHENTICATION

SOMETHING YOU KNOW สิ&�งทำ$�ผู้ �ใช้�ร � (Something you know) ทำ$�สิามารถึน�ามาใช้�พ&สิ จน1ต่�ว่ต่นได้� และน&ยมน�ามาใช้�เป็/นกลไกพ3*นฐานของการพ&สิ จน1ต่�ว่ต่น ค3อ รห�สิผู้�าน“ ”

รหั�สูผ่$าน์ (Password) ค3อ ค�าหร3อกล��มของต่�ว่อ�กษรทำ$�ม$เพ$ยงผู้ �ใช้�คนเด้$ยว่เทำ�าน�*นทำ$�ทำราบ Passphrase “ว่ล$ผู้�าน หมายถึ�ง ช้�ด้ของต่�ว่อ�กษร ม$ล�กษณะคล�ายก�บ”รห�สิผู้�าน แต่�จะม$คว่ามยาว่มากกว่�ารห�สิผู้�านและคาด้เด้าได้�ยากกว่�าด้�ว่ย เช้�น std@sskrual@ne

ค�ณล�กษณะของ Passphrase ทำ$�ด้$ม$คว่ามยาว่มากพอทำ$�จะทำ�าให�การคาด้เด้า Passphrase เป็/นเร3�องยากต่�องไม�สิร�างจากค�าคมทำ$�โด้�งด้�งในนว่น&ยาย ภาพยนต่ร1 หร3อภาพยนต่ร1โฆษณา

ง�ายต่�อการจด้จ�า และสิะกด้ค�าได้�ถึ กต่�องสิามารถึใช้�กฎเกณฑ์1ต่�างๆ เพ3�อเพ&�มคว่ามยากต่�อการคาด้เด้าและง�ายต่�อการจด้จ�าได้� และเม3�อผู้�านกฎเกณฑ์1ด้�งกล�าว่แล�ว่ จะทำ�าให�ได้� “Virtual Password”

ไม�คว่รใช้�ต่�ว่อ�กษรซึ่�*าก�นในรห�สิผู้�านรห�สิผู้�านทำ$�เก&ด้จากการก�าหนด้โด้ยไร�กฎเกณฑ์1 หร3อไร�เง3�อนไขทำ$�ต่ายต่�ว่ จะช้�ว่ยให�แฮคเกอร1คาด้เด้าได้�ยาก

SOMETHING YOU KNOW

PANIDA PANICHKUL 9

บ�ต่รแถึบแม�เหล4ก เช้�น บ�ต่รเอทำ$เอ4ม บ�ต่รเครด้&ต่ บ�ต่รเด้บ&ต่ บ�ต่รอ�จฉร&ยะ บ�ต่รทำ$�ฝ่@งไมโครช้&ป็

SOMETHING YOU HAVE

Two-factor Authentication การทำ$�จะสิามารถึผู้�านกระบว่นการพ&สิ จน1ต่�ว่ต่นได้� จะต่�องม$ (1) อ�ป็กรณ1 ซึ่��งก4ค3อต่�ว่บ�ต่ร และ (2) รห�สิล�บบางอย�าง เช้�น PIN Code

Two-factor Authentication เพ&�มระด้�บช้�*นการร�กษาคว่ามป็ลอด้ภ�ย

SOMETHING YOU HAVE

BIOMETRIC ป็@ญหาทำ$�เก&ด้ก�บการพ&สิ จน1ต่�ว่ต่นโด้ยใช้�สิ&�งทำ$�ผู้ �ใช้�ร � เช้�น รห�สิผู้�าน ค3อการล3ม

รห�สิผู้�าน และป็@ญหาทำ$�เก&ด้ก�บการพ&สิ จน1ต่�ว่ต่นโด้ยใช้�สิ&�งทำ$�ผู้ �ใช้�ม$ เช้�น บ�ต่รเอทำ$เอ4ม ค3อ

การล3มบ�ต่รและทำ�าหาย จ�งได้�ม$การพ&สิ จน1ต่�ว่ต่นโด้ยใช้� สิ&�งทำ$�ผู้ �ใช้�เป็/น “ (Something you are)”

แทำน น��นค3อ การพ&สิ จน1จากล�กษณะทำางช้$ว่ภาพหร3อทำางร�างกายของผู้ �ใช้� เร$ยกว่�า “Biometric”

ต่�ว่อย�างเช้�น พ&สิ จน1ด้�ว่ยลายน&*ว่ม3อ (Fingerprint) ลายม3อ (Palm Scan: รอยเสิ�นเล3อด้ทำ$�ฝ่9าม3อ) จด้จ�าใบหน�า (Face Recognition) ร ป็ร�างของม3อ (Hand Geometry) สิแกนเรต่&นา (Retina Scan) และสิแกนม�านต่า (Iris Scan) เป็/นต่�น

BIOMETRIC

การใช้�ระบบ Biometric

ม$ 2 ข�*นต่อน1 .น�าข�อม ลทำางช้$ว่ภาพเข�าสิ �ระบบคร�*งแรก

(Enrollment)

Data Capture SignalProcessing

Matching

DataStorage

BIOMETRIC

2. การพ&สิ จน1ต่�ว่ต่น (Authentication)

BIOMETRIC

AUTHORIZATION การก%าหัน์ดสู�ที่ธี�' (Authorization) ค3อ การจ�าก�ด้สิ&ทำธิ์&(ในการกระทำ�าใด้ๆ

ต่�อระบบและข�อม ลในระบบของผู้ �ใช้�ทำ$�ผู้�านการพ&สิ จน1ต่�ว่ต่นมาแล�ว่ [Stamp, 2006]

Access Control List (ACL) Matrix ค3อ กลไกการคว่บค�มการเข�าถึ�งทำร�พยากรของระบบ โด้ยการแสิด้งรายช้3�อผู้ �ใช้�ระบบ และการกระทำ�าทำ$�ผู้ �ใช้�ได้�ร�บอน�ญาต่ให�กระทำ�าต่�อทำร�พยากรใด้ๆ ของระบบ

ต่าราง ACL ป็ระกอบด้�ว่ย1. Subject ผู้ �ใช้�ทำ$�ม$สิ&ทำธิ์&(เข�าถึ�งระบบ2. Object ทำร�พยากรต่�างๆ ของระบบ ทำ$�จะถึ กใช้�โด้ยผู้ �ใช้�3. Access Operation การกระทำ�าทำ$� Subject ได้�ร�บอน�ญาต่ให�กระทำ�า

ต่�อ Object ได้� เช้�น อ�าน (Read) เข$ยน (Write) และป็ระมว่ลผู้ล (Execute) เป็/นต่�น

องค1ป็ระกอบทำ�*ง 3 จะถึ กน�ามาสิร�างเป็/นต่าราง โด้ยก�าหนด้ให� Subject อย �ในแนว่นอน (Row) สิ�ว่น Object อย �ในแนว่ต่�*ง (Column) และ Access Operation จะก�าหนด้ไว่�ในช้�องทำ$�เก&ด้จากการต่�ด้ก�นของ Subject และ Object ด้�งต่�ว่อย�างต่�อไป็น$*

AUTHORIZATION

OS Accounting Program

Accounting Data

Insurance Data

Payroll Data

Somsri rx rx r - - Apichat rx rx r rw rw Manee rwx rwx r rw rw Udom rx rx rw rw r

AUTHORIZATION

PHYSICAL ACCESS CONTROL

เป็/นการป็Aองก�นสิ&�งใด้ๆทำางกายภาพ ไม�ว่�าจะเป็/นสิ&�งของ อ�ป็กรณ1 สิถึานทำ$� หร3อพ3*นทำ$�ใด้ขององค1กร จากการเข�าถึ�งทำ$�ไม�ได้�อน�ญาต่หร3อการน�าไป็ใช้�ในทำางทำ$�ผู้&ด้