Authentica 3.2

支援多種認證系統，以頁為控管單位的文件安全平臺

Authentica在1998年成立，一直以企業敏感資訊防護的解決方案為主，他們的企業資訊版權管理（Enterprise Digital Rights Management，E-DRM）套件，企圖讓使用者放心地彼此分享重要文件與電子郵件，同時能夠保有著作權與擁有權，無須顧慮儲存在何處或被誰持有。

Authentica表示他們會致力於加強企業掌控機密資訊與智慧財產的IT能力，確保這些資訊不會被轉送到任何未被授權的使用者，敏感性的商業流程能夠自動化以減少處理時間與成本，而且這些文件資訊防護也必須達到相容美國聯邦政府的規定。例如1999年的Gramm-Leach-Bliley Act金融服務現代化法案（Financial services Modernization Act）的消費者個人金融隱私保障規定，HIPAA醫療保險流通與責任法（Health Insurance Portability and Accountability Act）界定的病患醫療隱私，加州政府通過的SB 1386妨害資訊安全法案（Security Breach Information Act），裡面也明示客戶個人資訊被公開須主動告知，以及要求企業落實內部控管的Sarbanes-Oxley沙賓法。

Authentica的E-DRM解決方案在全球主打大型組織、企業或政府單位，力邁科技行銷業務處協理尤柏威表示，Authentica的產品具有一定的安全性、延展性和穩定性，使得美國司法部能夠讓7000位使用者線上處理2千多萬分文件。安全性方面，Authentica採用RSA RC4的128位元技術處理資料加密、完整性、活動持續稽核、主從式網路連線加密，並支援多種認證方式。數位版權控管則讓公司可以限制文件的轉寄、列印、複製/選取文字、保存期限和浮水印的各種功能，達到文件保護的目的。對一般使用者來說，密鑰和授權規則會存放在Authentica Policy Server，ARM整合在桌面應用程式後，可獨立維護文件內容，預防來自作業系統和內容管理系統的滲透。延展性方面，Authentica的產品架構，支援HA的容錯機制與負載平衡，能夠與LDAP整合，而Authentica的API提供，一般需求的功能開發可以用Server Extension API，系統整合時協力廠商可用Server Management API開發，避免因為開發人員異動導致應用程式後續無法發展新需求。

Authentica在臺灣先前由寬華科技代理，原負責這項品牌的工作團隊，後來另起爐灶成立力邁科技。力邁科技和力霸資訊比鄰而居，兩間公司有密切的分工合作關係，力霸資源以IT整體解決方案、系統整合和委外服務為主，而力邁科技則專門提供Authentica產品的售前與售中服務。

Authentica的解決方案相當完整，目前共有PageRecall、MailRecall、NetRecall等產品，解決文件、電子郵件與網頁的安全控管，Authentica在今年三月推出SecureOffice，補足微軟Office應用程式與檔案格式整合的安全控管，以因應競爭廠商與微軟Office 2003挾帶的IRM。

IRM的優勢同時也是限制，因為微軟的資訊版權管理，必須要用到.NET Passport和AD網域的相互配合，跨出單一企業的內部網路，客戶必和合作夥伴協調做樹系信任的動作，工程浩大。然而現有的E-DRM廠商大多用網站伺服器認證的方式處理用戶端跨網路認證的問題。主從式架構為骨幹

Authentica的解決方案使用主動式權限管理（Active Rights Management，ARM）的技術，即使文件資訊發行後在外轉遞傳送，仍然能夠繼續設定該文件的權限，並且企業可以取得文件讀取的記錄，稽核使用狀況。

Authentica的產品全部依賴Policy Server作為認證服務的基礎，Policy Server僅支援Windows和Solaris兩種平臺。目前Policy Server 3.2版支援Authentica Secure Office，並且提供舊版Policy Server設定轉移與升級的功能，以便繼續支援Secure Office。

尤柏威說，Authentica的加解密架構稱為「AirKey」，無論文件檔案是發布或開啟，Policy Server會動態分派密鑰到用戶端，暫存在用戶端電腦的記憶體區塊，解密時會將密鑰採用封包的方式傳送，逐次解密，每次解密後密鑰都會自動從記憶體裡移除，然後下一個封包才會再送至用戶端，如此反覆傳送解密，直到檔案完全解開。密鑰不斷產生，又陸續消失，就像空氣一樣捉摸不定，即使用Sniffer側錄網路封包，還需要將資料排序，一次封包的解密頂多只能解開一張頁面。Airkey還有另一個優點，加解密的負載分散到用戶端電腦處理，尤柏威表示，封包式傳送與解密，即使用戶端只有撥接網路的頻寬等級，也可以負荷這種分散式流量。

除了Policy Server，Authentica的技術分成伺服器和用戶端應用程式兩大部分，伺服器應用程式包括Content Security Server、Secure Gateway，用戶端方面有PageRecall、MailRecall和NetRecall。尤柏威說，目前Authentica的模組包括Secure Gateway自動批次大量套用文件政策、PDF自動轉檔並套用文件政策的網頁和Notes整合套件。

Content Security Server是一支網頁應用程式，讓管理者能夠安全地部署與管理訊息和檔案，標準防護會在資訊傳送過程保護內容，進階防護在標準防護上增加傳送後的內容控管。Secure Gateway 可以搭配MailRecall、 PageRecall、NetRecall或Content Security Server等產品，整合Clearswift MAILsweeper、Trend Micro eManager、Tumbleweed Secure Mail，支援RFC822電子郵件訊息的內容掃描引擎，以便保護Authentica Content Security Server控管的電子郵件附檔。Secure Office、PageRecall、MailRecall和NetRecall分別對治不同的文件檔案處理方式。Secure Office和PageRecall主攻微軟Office、奧多比PDF和既有的內容管理暨工作流程系統，例如Documentum eRoom、Lotus Notes/Domino、微軟SharePoint等；MailRecall整合微軟Outlook、Eudora、Lotus Notes/Domino；NetRecall和瀏覽器外掛程式Authentica Web Viewer讓Policy Server能夠保護與管理企業網站頁面，根據不同網頁提供不同的存取權限，支援離線閱覽，而且可以追蹤網頁使用歷程。Policy Server支援多種認證，也強調授權

Policy Server安裝時必須先在資料庫伺服器上建立特定名稱的資料庫，設定資料庫登入和使用權限後，然後才用產品光碟安裝。繼續設定Policy Server前，必須要匯入授權檔案。授權檔由Authentica原廠根據伺服器硬碟分割區的序號產生，相當特別。Policy Server取得授權後，需連結先前設定的資料庫，隨後才能正式啟動服務。

關於使用者群組、政策範本、網路實體和時間規格要在Policy Server Administrator這套應用程式裡面設定完成之後，才能夠算是大功告成。Policy Server功能很豐富，支援Passphase、Certificate、SecurID、Entrust等4種認證方法，Passphase內又提供3種認證，可透過共享祕密（Shared Secret）、NT網域或是LDAP等帳號整合的方式；文件權限方面，Policy Server Administrator可以設定文件檢視、列印、選取文字/圖片等權限，以及製作文件保護、內容受保護且允許存取、使用者可刪除自有內容、自有內容設定過期、文件離線工作的延長期限、浮水印選擇、系統管理者設定等；系統管理者權限，包括使用者管理、規則管理、內容管理、記錄檔管理、刪除所有內容、完整管理等，相當多樣化。以頁為控管單位

Authentica的用戶端產品大多冠上「Recall」，Recall字面是召回或回收之意，對E-DRM解決方案來說，這項功能意思是快速廢止該文件檔案的意思。因為除了日常的文件製作防護與事後追蹤管理，對企業來說，緊急時更需要這種立即關閉所有機密檔案存取的快速控制開關，避免機密外洩程度進一步擴張。

除了提供文件檢視、列印、浮水印、離線閱讀等各式各樣的權限設定，Authentica特別強調他們控管文件的層級，並不只限於文檔內容的任何更動，更能夠做到以頁為單位的控管方式，讓文件發行者可以針對每一頁，設定個別的用量許可與使用期限，當系統追蹤檔案的存取歷程時，可以掌握使用者逐頁讀取與列印文件的狀況。

PageRecall：目前是3.1版，支援128位元的RC4加密和X.509數位憑證，以及192/256位元的AES加密，整合Windows Active Directory單一登入認證。PageRecall也支援SSPI（Windows Security Service Provider Interface）的API，便於應用程式整合。

PageRecall會嵌入Adobe Acrobat，該軟體的使用介面會新增選單，可直接操作PDF檔案的相關保護功能，例如自定文件安全政策，Web Viewer可以協助網頁瀏覽器讀取PDF檔的操作，PageRecall也支援Acrobat的網頁快速模式（Fast Web mode）和網頁瀏覽器的數位認證儲存。

Secure Office：今年甫發表1.0，可以控管Word、Excel、PowerPoint的文件，值得一提的是，Secure Office內嵌Office應用程式，會直接取代原先的「檔案」選單，換成英文的「File」選單，這意味著這些Office應用程式原先的開啟檔案與列印功能，完全被Secure Office取代。

MailRecall：整合常用的郵件應用程式，可以處理本機電腦定義好的郵寄清單，例如Outlook連絡人，而Authentica Policy Server在受保護信件的傳遞與交換上，可以處理已知與未知的收信人電子郵件位址，支援Exchange Server，自動整合伺服器上的郵件寄送清單，管理者不需要特別定義對應。Policy Server並不支援Sendmail伺服器，不過還是可以手動對應郵寄清單。

假如未知的收件人第一次接到受保護的電子郵件，Policy Server上可以設定歡迎訊息，提示這些使用者該如何下載與安裝Web Viewer外掛程式，以便讀取信件。

NetRecall：特別強調文件加解密處理，以每一張網頁和每一個圖片檔為單位傳輸密鑰。Content Manager負責處理網頁內容的保護、指定、政策管理與活動追蹤，而Dynamic Protection Module是ISAPI過濾器模組，用來設定微軟的IIS網站伺服器。Web Viewer保護HTML和JPEG、GIF、BMP、PNG等圖片檔案，會以ActiveX或Smart Update外掛程式安裝到IE和Netscape上。

Authentica產品和功能雖然完整，費用有相當的門檻，較適合大型企業使用，使用者介面如果可以提供本地化的語言支援，相信操作與使用上會更簡單易用，系統管理者對認證與帳號整合的掌握度也會影響管理效率。Passphrase

口令（passphrase）在Authentica的解決方案內可以和密鑰檔案或智慧卡搭配，在Policy Server上完整認證使用者身分。口令組成格式能夠包含多個詞彙與空格，與密碼（password）不盡相同，雖然兩者都是用來比對使用者身分。

密碼的長度通常只有6到10個字元，而口令可以是一整段更長的字串。

密碼因為較短顯得薄弱，容易被破解。如果直接將密碼作為密鑰使用，一般人多半只會輸入8個字元，而且傾向於可能被猜出的普通單詞和字母。

口令則會允許使用者輸入更多字元。雖然這些字元仍然可能被猜到，但是可能性已經大為降低。如果將一道密碼使用雜湊的方式從口令再產生密鑰，將能夠保有較高的安全性。口令較能夠避免字典式的窮舉法盲目攻擊，同時可以用結構化的方式組成，達到比密碼更容易記憶的效果，減少寫下密碼的機密外洩風險。

口令目前很普遍應用在PGP、OpenPGP和GPG等加密系統中。文⊙李宗翰