การเปรียบเทียบเทคโนโลยีการยืนยันตัวตน

Comparison of Authentication Technologies

นายณั ฐ พงศ ป น ลี้

วรมั น ต เจริ ญ รั ก ษา
วิ ภ าดา เจตสั น ติ์
สิ ท ธิ ทรั พ ย ศุ ก ล
Software Development
Faculty of Engineering
Chulalongkorn University

บทคัดยอ 1. บทนํา

บทความนี้นําเสนอการเปรียบเทียบเทคโนโลยี บทความนี้ เ ป น ส ว นหนึ่ ง ของวิ ช า Special

การยื น ยั น ตั ว ตนแต ล ะวิ ธี ที่ เ ป น ที่ นิ ย มใช โดยการ Problem I (Computer Security) 2110497 จัดทําขึ้น
พิ จ ารณาถึ ง ข อ ดี แ ละข อ เสี ย ของวิ ธี ต า ง ๆ เพื่ อ นํ า ไป เพื่อเปนการเปรียบเทียบระบบยืนยันตัวตนที่เปนที่นิยม
ประกอบการตั ด สิ น ใจในการเลื อ กใช เ ทคโนโลยี ก าร ตางๆ ซึ่งไดแก OpenID, OpenSSO, LDAP, Radius,
ยืนยันตัวตนแตละวิธีไปใช ใหเหมาะสมกับวัตถุประสงค AD โดยจะนําเอาขอดี ขอเสียของแตละวิธีมาพิจารณา
การใชงานของ application ที่พัฒนา และวิเคราะหรูปแบบการทํางาน ที่เหมาะสมกับวิธีนั้นๆ
และนํามาสรุปผลการทํางานของระบบยืนยันตัวตนแต
คําสําคัญ: การยืนยันตัวตน, ความปลอดภัย, อินเทอรเน็ต
ละวิธีวาแตละวิธี เหมาะสมกับงานประเภทใดหรือการ
, เครือขาย
ทํางานประเภทใดโดยจะแสดงผลลัพธในรูปของตาราง
Abstract สรุปผล
This article presents the comparison of
authentication technology in many well-known
2. ขอมูลที่ใชในพิจารณา
ways by advantages and disadvantages
consideration. The resulting will be used for OpenID
choosing suitable technology which used in OpenID เปนระบบ authentication ที่ทําให
application.
เราสามารถเขาใชเว็บไซตที่เปดรับ มาตรฐาน OpenID
Key words: authentication, security, internet, ได โดยที่ไมจําเปนตองสมัครสมาชิกเว็บไซตนั้นใหม
network และไมตองจํา Username กับ Password จํานวนมาก ซึ่ง
ช ว ยสร า งความสะดวกสบายให แ ก ผู ใ ช บ ริ ก าร

1
อินเทอรเน็ตเปนอยางมาก แนวคิดหลักของ OpenID คือ
การทําบัตรประจําตัวประชาชนบนโลกอินเทอรเน็ต ที่
สามารถนําไปยืนยันตัวตนตามที่ตางๆ ได
ขอดี 
1. สะดวกในการเข า ใช ง านเว็ บ ไซต ที่ ต อ งทํ า การ
ล็ อ กอิ น ซึ่ ง เว็ บ ไซต นั้ น ต อ งรองรั บ มาตรฐานของ
OpenID
2. นําไปใชงานไดงายและสะดวก
3. มีการใชงานอยางแพรหลาย
ขอเสีย  LDAP
1. ไมสามารถใชงานกับ stand alone applicationได
2. มีขอจํากัดใจการปรับแตงและจัดการขอมูลเนื่องจาก
ขอมูลทั้งหมดนั้นอยูใน OpenID server
OpenSSO
Open Web SSO project (OpenSSO)
ใหบริการการยืนยันตัวตนเพื่อใหงายตอการนําไปพัฒนา
ตอของ transparent single sign-on (SSO) ในฐานะที่
เปนองคประกอบของระบบการรักษาความปลอดภัยใน
network infrastructure. OpenSSO ใหบริการองคกร
สําหรับการทํา web application ซึ่งอาจจะดําเนินการ
ยืนยันตัวตนเปนจํานวนมาก และหลากหลาย platform
เชน web และ application server โครงการนี้มีรากฐาน
บน code base ของ Sun Java(TM) System Access
Manager ตัวแกนของผลิตภัณฑ identity infrastructure
ที่ถูกนําเสนอโดย Sun Microsystems.
รูป 1 สถาปตยกรรมของ OpenSSO
2
ขอดี 
1. งายตอการนํามาใชงานรวมกับ software เดิมที่มีอยู
2. ใชงานไดทั้ง website และ application server
3. ใชงานไดกับหลากหลายระบบปฏิบัติการ
ขอเสีย 
1. รันบน Java Virtual Machine จึงทํางานไดชากวา
native code
2. ไมสามารถเขาถึง resource โดยขาม domain ได
หรือ Lightweight Directory Access
LDAP
Protocol เปน protocol ที่มีการพัฒนามาจาก Protocol
X.500 (X.500 เปนมาตรฐานเกี่ยวกับ Directory ที่สราง
ขึ้นบน OSI Model) ที่ใชในการเขาถึงปรับปรุงขอมูล
ภายใน Directory ซึ่ง Directory นั้นเปรียบเสมือนกับ
database รูปแบบหนึ่งที่มีการเก็บขอมูลเปน object
LDAP มี ก ารทํ า งานอยู ใ นระดั บ ของ
Application Layer โดยทํางานบน protocol TCP/IP
แนว คิดของ LDAP เกิดจากความตองการที่จะใหเครื่อง
Client (Lightweifht PC Client) นั้นสามารถเขาถึง
Directory ของมาตรฐาน X.500 ในฝงเซิรฟเวอรผาน
เครือขายอินเตอรเน็ตได ซึ่งมาตรฐาน X.500 นี้มีความ
ยุงยากซับซอนของ protocol อยู LDAP จึงไดถูก
ปรับปรุงขึ้นจากการนํ าเอามาตรฐาน X.500 มาพัฒนา
โดยยึด function เดิมๆ เปนสวนมาก และตัดบางสวนที่
ทําให X.500 มีขนาดใหญเกินไปออก
ความ แตกตางของ LDAP กับ X.500 สรุปได
ดังนี้
1. LDAP นั้นมีการทํางานบน TCP/IP แต Protocol
ของ X.500 นั้นตองการ OSI Stack
2. คําสั่งในการใชงานของ LDAP นั้นสามารถใชงาน
ไดงาย โดยไมตองทําการระบุตัวเองนั้นคือไมตอง
ใชรหัสผานในการทํางาน
3. และ สามารถสงรหัสผานในรูปแบบขอความธรรม ขอเสีย 
ได ในขณะที่ X.500 นั้นตองใชระบบการเขารหัสที่ 1. การคอนฟ ก ยุ ง ยากมาก ต อ งใช คํ า สั่ ง เฉพาะของ
เขมงวด LDAP ในการเพิ่ม / ลบผูใชออกจากฐานขอมูล
4. LDAP ใชการเขารหัสที่งายกวา X.500 เทานั้น
2. โครงสรางขอมูลซับซอน
LDAP มีหนาที่การทํางานที่สามารถแบง
3. การนํา LDAP มาปรับใชใหเขากับระบบงานเดิมที่
หัวขอใหญๆ ได 3 หัวขอใหญๆ
มี อ ยู แ ล ว อ า จ ต อ ง มี ก า ร อ อ ก แ บ บ network
1. Authentication and Control (การตรวจสอบและ infrastructure ใหม หากตองการเชื่อมตอขอมูลกับ
การควบคุม) application จํานวนไมมาก อาจทําใหเสียคาใชจาย
1.1. Bind คือการเชื่อมตอ LDAP Directory โดย มากกวาการใชฐานขอมูลทั่วไป
ที่ Client จะแสดงขอมูลของตนเอง เพื่อขอ
username และ password
Remote Authentication Dial in User Service
1.2. Unbind เปนคําสั่งในการยกเลิกการเชื่อมกับ (RADIUS)
protocol ของ LDAP
คือโปรโตคอลที่มีไวสําหรับการประมวลผล
2. Query
2.1. Search คือการคนหาหรืออานขอมูลโดยจะมี จากสวนกลางผานระบบเครือขายแบบ(AAA) คือการ
การระบุคาของ attribute พิสูจนตัวตัน การใหสิทธิ์ และการที่สามารถตรวจสอบ
2.2. Compare entry คือการเปรียบเทียบขอมูลที่
ระบุไดวาการกระทํานั้นเปนของบุคคลใด RADIUS ถูก
ตองการกับคําที่ใกลเคียง พัฒนาโดย บริษัท Livingston Enterprises ในป 1991
3. Update และถูกพัฒนาตอจนผานมาตรฐานขององคกร IETF
3.1. Add คือ การเพิ่ม entry ใน directory
เนื่องจาก RADIUS เปนเทคโนโลยีข อง
3.2. Delete คือ การลบ entry ใน directory
โปรโตคอล เปนกวาง ผูคนจึงนิยมนําไปใชกับ ISPs ใน
3.3. Modify entry , Modify DN/RDN คือ การ
การเชื่อมตอกับอินเตอรเน็ต หรือบริการทางเครือขาย
ปรับปรุง entry ที่มีอยู
อื่นๆ ซึ่งเครือขายเหลานี้นั้นสามารถใชงานรวมกับ
ซึ่งเกิดจาก attribute และ value ที่มีการ Add และ modems, DSL, access points, VPNs, network ports,
web servers, etc
delete

ขอดี  RADIUS คือ client/server security

protocol ที่ทํางานบนสวน application layer โดยมีการ
1. LDAP เก็บขอมูลเปนโครงสรางแบบตนไม ซึ่ง
สามารถเก็บขอมูลแยกกันอยูหลายๆเครื่องได โดย ทํางานหลักเพื่อรวบรวม account ของ users ใหอยูแต
แยกตามโครงสรางของตนไม เพียงที่เดียว เพื่อ งายตอการบริหาร ไมตองทําหลายจุด
2. LDAP สามารถทํางานไดทั้งบนโปรโตคอลแบบ
หลายเซิรฟเวอร เวลามี users ที่เซิรฟเวอรอื่นๆ ตองการ
Secure และไม Secure
ใชงาน ก็จะสงขอมูลมาตรวจเช็คที่ RADIUS Server นี้
3. ระบบ Authentication บน Linux สามารถใชงาน โดยใชโปรโตคอล UDP ในสวนของ RADIUS server
ผาน LDAP ไดอยางสมบูรณ จะทํา งานในส วนเบื้ อ งหลั ง มีฟ งก ชัน การทํ างานอยู 3
4. สามารถทํา Replication ได ฟงกชัน ดังนี้

3
1. พิสู จ น ตัว ตนของผู ใ ช หรื อ อุ ป กรณ ที่ ม าเชื่ อ มต อ Group Policy Object เปนการปรับแตงคาเพื่อ
กอนที่จะอนุญาตใหมีการเชื่อตออินเตอรเน็ต ควบคุมและจัดการเครื่องไมโครคอมพิวเตอรของผูใชที่
2. การใหและกําหนดสิทธิ์ของผูใช หรือ อุปกรณที่มา ล็อคออนเขาสู Domain
เชื่อมตอ
Active Directory ประกอบดวยองคประกอบ
3. ตรวจสอบการทํางานของสวนที่มีผูใชมาทํางาน
สองสวนทํางานรวมกัน คือ
ขอดี 
1. AD service: ทําหนาที่ใหบริการทั้งผูดูแลและ
1. ใชงานไดหลาย platform
ผูใชงานระบบ นอกจากนี้ใหบริการคนหาออบเจ็กต
2. สามารถตรวจสอบขอ มูลผูใชง านจากแหลงขอ มู ล
และทรั พ ยากรต า งๆ บนระบบเน็ ต เวิ ร ก โดย AD
อื่น เชน SQL, Kerberos, LDAP และ AD Server
service สนับสนุนทั้งโปรโตคอล DNS และ
3. มีการทํา authentication, authorization และ
LDAP
accounting
2. AD database: เปนฐานขอมูลที่จัดเก็บ Directory
ขอเสีย  (ออบเจ็กต) ของระบบเน็ตเวิรก เชน จัดเก็บบัญ ชี
1. ตั้งคายาก รายชื่อผูใช กลุมผูใช รวมถึงรายชื่อและคุณสมบัติ
ของทรัพยากรตางๆ (คอมพิวเตอร เครื่องพิมพ แชร
Active Directory (AD)
โฟลเดอร เป น ต น )โดยออบเจ็ ก ต แ ละทรั พ ยากร
คื อ ระบบรายชื่ อ ที่ เ ก็ บ ข อ มู ล เพื่ อ ใช ใ นการ
ตางๆ จะถูกเก็บอยูที่ Active Directory Database
คนหาและจัดการทรัพยากร รวมทั้งจัดการเครื่อง client
ซึ่ ง จะช ว ยให ผู ใ ช ส ามารถค น หาและเรี ย กใช
ซึ่งมองทุกอยางเปนออบเจ็กตและแตละมีออบเจ็กตก็จะ
ทรัพยากรตางๆ ไดงายและรวดเร็วมากขึ้น
มีรายละเอียดที่แตกตางกันออกไป เชน Users, Printers,
Servers, Databases, Groups, Computers, และ ขอดี 
Security Policies 1. สามารถทําการ search ไดงาย

AD ถือเปนเรื่องใหญสําหรับระบบปฏิบัติการ 2. ทําใหการทํางานมีความปลอดภัยมากขึ้น

ในระดับ Server สมัยใหม โดยAD จะมีฐานขอมูลเพื่อ 3. สามารถกําหนดpermission ใหกับแตละออบเจ็กต

ใชเก็บทรัพยากรตางๆ เพื่องายตอการคนหา จัดการและ ได

บริการ อาทิเชน คอมพิวเตอร เครื่องพิมพ แชรโฟลเดอร 4. หากมีการใช Exchange Serverสําหรับสง Mailใน

แชรหองประชุม และแนนอนที่สุดคือ บัญชีรายชื่อของ อนาคตจําเปนตองมีAD

ผูใช (user) สิทธิและคุณสมบัติของผูใช โดยทรัพยากร 5. สามารถใชGroup Policyในการจัดการกับเครื่อง

เหลานี้จะทําการจัดเก็บไวใน container เพื่อใหงายตอ Clientได

การจัดเก็บและการบริหารใหเปนหมวดหมู 6. ลดความซ้ําซอนของการใช Resource ระบบ

7. สามารถจัดการระบบไดงายขึ้น
ดังนั้นการจัดเก็บก็จะเหมือนกับปา (forest) ที่
มีตนไมอยูหลากหลายพันธุ (Tree) ในตนไมแตละตนก็ ขอเสีย 
จะมีกิ่งแยกไปในแตละ container ขอมูลทั้งหลายแหล 1. อาจตองเสียคาใชจายเพิ่มเติมเพื่อซื้อlicense และ

เหลานี้จะถูกจัดเก็บที่ Active Directory Database การ product ที่ตองใชควบคูกับ AD ในลักษณะของ

จัด AD ใหไดประโยชนตองมีการใชความเกงของ AD server เชน MS Exchange, MS Project, Share

ในเรื่อง delegation และ group policy point, MS SQL, .NET และอื่นๆ

2. ระบบปฏิบัติการของ server ตองเปน Windows

4
3. สรุปการทํางานที่เหมาะสมของแตละระบบ ตาราง 1 ตารางเปรียบเทียบองคประกอบของความปลอดภัย

การยืนยันตัวตน Authen- Authoriza- Auditing

tication tion
D
เทคโนโลยี authentication นอกจากจะทํา OpenID - -
OpenSSO D D D
หนาที่ใหบริการการยืนยันตัวตนของผูใชงานแลว ยังมี LDAP D 1 2
- -
อ ง ค ป ร ะ ก อ บ ข อ ง ค ว า ม ป ล อ ด ภั ย อื่ น อี ก ไ ด แ ก AD D D D
D D D
authorization และ auditing เทคโนโลยีบางชนิดมี RADIUS

ความสามารถครอบคลุ ม องค ป ระกอบของความ

ตาราง 2 ตารางแสดงความเหมาะสมในการนําเทคโนโลยีแตละตัวไปใช
ปลอดภั ย ทั้ ง หมด แต บ างเทคโนโลยี ค รอบคลุ ม แค
งาน
บางส ว นเท า นั้ น หรื อ บางเทคโนโลยี อ าจต อ งตั้ ง ค า
เพิ่ ม เติ ม เพื่ อ ที่ จ ะรองรั บ การทํ า งานที่ ค รอบคลุ ม ทุ ก Open Open LDAP AD RA
ID SSO DIUS
องคประกอบของความปลอดภัย Web - -
App D D D
ความสามารถในการครอบคลุมองคประกอบ Client- -
D D D
-
Server
ของความปลอดภัยของเทคโนโลยี authentication ตางๆ Cross- - - -
D D
สามารถสรุปไดดังตาราง 1 platform

นอกจากความสามารถในการครอบคลุ ม
กิตติกรรมประกาศ
องคประกอบของความปลอดภัยของแตละเทคโนโลยี
authentication จะแตกตางกันแลว ความเหมาะสมที่จะ เอกสารฉบับนี้เปนสวนหนึ่งของวิชา Special
Problem I (Computer Security) 2110497
นํ า ไปใช ง านก็ แ ตกต า งกั น ตามไปด ว ย ทั้ ง นี้ ขึ้ น อยู กั บ
จุดประสงคของการนําไปใชงาน และสถาปตยกรรมของ ขอขอบคุณเพื่อนๆ ทุกคนที่รวมไมรวมมือรวม
แต ล ะระบบที่ จ ะนํ า ไปใช นอกจากนี้ ค วามสามารถ ใจกันทําเอกสารฉบับนี้ใหเสร็จลุลวงดวยดี และซื้อขนม
ปลีกยอยของแตละเทคโนโยลี authentication ที่ได มาใหทานในบางครั้ง
กล า วถึ ง โดยสั ง เขปข า งต น ก็ ทํ า ให ก ารนํ า ไปใช ง าน
ขอขอบคุณ Google และ Wikipedia สําหรับ
แตกตางกันออกไปอีกประการหนึ่ง
ขอมูลทุกอยาง เพราะหาอะไรก็เจอจริงๆ
ตัวอยางเชน OpenID เหมาะจะนําไปใชงาน
ขอขอบคุณอาคารจามจุรี 9 สําหรับบรรยากาศ
กับเว็บไซต ที่เปดใหบุคคลทั่วไปเขาใชงาน เพราะทุกคน
ดีๆ ที่เปดใหนิสิตไดทํางานรวมกั นยันเที่ยงคืนในชวง
สามารถสมัครรับ OpenID ได แตในขณะที่ OpenSSO,
ใกลสอบ
LDAP, AD และ RADIUS ไมเหมาะในบริบทนี้
เนื่องจากการรับบัญชีผูใชเปนไปในวงจํากัด จึงเหมาะกับ ขอบคุ ณ อาจารย สํ า หรั บ โอกาสในการทํ า
การใชงานภายในองคกรมากกวา เชน การทําเว็บไซต เอกสารฉบับนี้
สําหรับพนักงานภายในองคกร หรือ intranet

ทั้งนี้ สามารถสรุปความเหมาะสมของการนํา
1
เทคโนโลยี authentication ไปใชงาน โดยอิงตาม ตองทําการปรับแตงคาใหกับLDAP จึงจะมีคุณสมบัติ
Authorization
ประเภทของ application ไดดังตาราง 2 2
ตองทําการปรับแตงคาใหกับLDAP จึงจะมีคุณสมบัติ
Auditing

5
เอกสารอางอิง
[1] OpenID - Wikipedia, the free encyclopedia
http://en.wikipedia.org/wiki/OpenID
[2] OpenSSO - Wikipedia, the free encyclopedia
http://en.wikipedia.org/wiki/OpenSSO
[3] LDAP คืออะไร?
http://www.aoddy.com/project/openldap-project/what-
is-ldap/
[4] Lightweight Directory Access Protocol
http://202.28.94.55/web/322461/2550/report/g16/ldap.h
tml
[5] Lightweight Directory Access Protocol - Wikipedia,
the free encyclopedia
http://en.wikipedia.org/wiki/Lightweight_Directory_Ac
cess_Protocol
[6] Radius - Wikipedia, the free encyclopedia
en.wikipedia.org/wiki/RADIUS
[6] Active Directory Service (สวนที่ 1)
http://maps.swu.ac.th/index.php?option=com_content&
task=view&id=41&Itemid=68
[7] Active Directory
http://technet.microsoft.com/en-
us/library/bb742424.aspx
[8] Comparing Microsoft Active Directory to Novell's
NDS
http://msdn.microsoft.com/en-us/library/ms808915