编者按:身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题应运而生的。
本文节选了汪德嘉博士《身份危机》一书中的身份认证技术,带你了解到底什么是身份认证,身份认证场景分为什么?常用的身份认证体系?身份认证有着怎样举足轻重的作用?
在互联网时代,身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界。在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。
什么是个人身份认证
个人身份认证 是物理和逻辑访问控制过程的基础组成部分。当个人试图访问具有安全敏感性的计算机系统、数据或实体建筑时,访问控制系统必须做出正确的访问控制决策。个人身份认证的准确性,直接影响访问控制决策的合理性。
为了体现验证的灵活性、准确性,身份验证系统越来越倾向于采用多元化机制,利用不同类别的身份凭证进行验证。对于物理访问,个人身份历来通过纸质或其他非自动化、可随身携带凭证进行验证,如驾照、护照等。对于逻辑访问,用户可通过密码进行身份验证,以获得授权访问计算机系统和数据等资源。近年来,随着互联网身份认证技术的渐渐成熟,硬件认证、软件认证、生物认证、智能认证和加密机制被用于个人身份验证,从而替代或补充传统的物理身份凭证。
个人身份认证的必要性
互联网虚拟世界正不断与现实世界相交融,普通用户的网络身份也与现实身份逐渐趋同。虚拟身份与现实身份的绑定使得身份价值大大提升,与此同时,也催生了一条以贩卖各类身份信息及身份标识为目的谋取利益的黑色产业链。
现阶段,在获取各项互联网服务过程中,身份验证所需的身份标识维度都较为单一(账号密码、身份证信息、口令等等),不法分子很容易通过一些技术手段获取到这些信息并成功冒用身份进行违法活动。现有安全技术还无法快速识别和阻止虚假身份,现有监督和追究手段也无法解决身份假冒、审计追责等问题。因而电信诈骗、网络欺诈等身份伪造行为始终成为互联网+时代健康发展的痈疽。急需革新或重建网络身份标识体系,提升网络身份的唯一性、安全性及不可冒用性,改善互联网+时代的身份管理。
个人身份认证特征
在开放式的网络环境中,个人身份认证指的是用户身份的确认技术,它是网络安全的第一道防线,也是最重要的一道防线。网络中的各种应用和计算机系统都需要通过身份认证来确认用户的合法性然后确定这个用户的个人数据和特定权限。
网络安全存在各种形式的威胁,加密技术可以保证网络中数据传输的机密性,防止被动攻击,而仅有机密性还不能保证数据传输的安全性。例如,在实际应用中,信息系统内机密信息的授权访问,首要的问题就是确认访问者是谁,才能确定其权限,完成访问控制。陌生用户A和B之间虽然可以有一条安全的秘密信道,但未解决对方是谁的情况下,机密的数据就有可能传送给错误的对象,造成系统的异常。这类确认实体身份的技术就是身份认证技术,身份认证对抗的主要安全威胁是实体身份的“冒充”攻击和实体标识的“重放”攻击,其根本目的是为了区分实体身份,防止其它实体占用被认证实体的身份。所以,要解决实体身份的鉴别问题,应满足以下目标:
1)身份认证性:即对于诚实方A和B而言,A通过成功的证明自己的身份,同时B成功的接受A的身份。
2)不可传递性:B不能用A的身份信息向第三方C认证A的身份。
3)不可伪造性:任何不同于A的主体C执行协议担当A的角色并成功完成认证不可能(概率非常小)。
个人身份认证工作机制
个人身份认证机制,就是为每个人创建独特的身份识别ID,并运用于互联网世界当中。个人身份认证指在解决个人身份伪造问题,解决身份伪造类社会问题的关键在于为每一个体创建一个唯一的且无法篡改的身份识别ID。这一ID将集合该个体的多重维度信息,包括历时性与共时性的、静态的与动态的、横向的与纵向的信息,将其所知道的(账密、口令等)、所拥有的(生物特征、硬件设备等)、所经历的(历史行为)等进行唯一关联。我们可以称之为SID(超级ID),由于融合了个体的全方位信息,它具有唯一性、个体无法篡改自己的SID,同样也无法篡改他人的SID,SID不会遗失也无法冒用。通过这个多维ID能够对个人进行准确的身份鉴别与身份追溯。
传统的基于身份证、护照或者其它网络帐号的身份标识存在着容易遗失、被盗取、被复制等问题。并且传统的静态身份标识也无法审查个人的历史行为及其与其他ID或者组织之间的关联。未来互联网+的发展需要建立起一套强大可信的身份标识体系。需要赋予每一个体这样一个唯一的身份标识。
这一辨识度高、安全性好的虚拟SID将适用于各类需要进行身份识别的生活场景。例如,机场安检通道中一个乘客利用随身设备出示一个二维码(该二维码由其本人的SID生成,代表其个人身份),安检机器扫描后得到乘客的个人数据,并且根据乘客独有的数据随机进行生物特征扫描、问题提问、口令验证等。当乘客身份SID鉴定通过后,安检机器可以从权威部门获取该乘客的一些关键安全信息,例如犯罪记录、出入境记录、过往安检记录等,从而快速地完成安检过程。又例如,我们可以直接给另一个SID发即时网络信息,通过在线快速进行SID身份认证,我们可以获知聊天软件的另一边的聊天对象是真实可信的。
虚拟SID并非孤立和静态的,虚拟的SID之间的关系与线下的人与人之间的关系一样,可以进行交互、关联、变化。例如我属于T企业,我的SID就可以与T企业的组织SID之间建立一个工作组织所属关系;或者我毕业于S大学,我的SID就与S大学的SID之间建立关联。
此外,个人之间的亲属关系、同事关系、交易关联等等都可以在SID之间的关系中体现。如此形成的SID网络将成为SID身份的可信度中关键构成部分。某一个体的身份证可以伪造,但是其关系网络很难伪造。同样,当一个SID与诸多的SID建立起关联,这个SID也就难以被冒用、盗取或篡改。当一个庞大的SID网络构建起来之后,那么每一个人或者组织的身份就能用一种非常简便的方式进行鉴别。
在实际生活中,用户身份认证一般分为三种:基于信息秘密的身份认证(whatyouknow)、基于信任物体的身份认证(whatyouhave)、基于生物特征的身份认证(whatareyou)。最近的用户身份验证方法有助于更好地保护身份。举个例子,iPhoneTouchID功能的流行,让很多人适应了用指纹作为身份验证的方法。更新的Windows10计算机提供指纹传感器或虹膜扫描作为生物特征识别用户身份验证。今年9月的时候推出的iPhone十周年纪念版iphoneX,采用人脸识别技术取代指纹扫描,来进行用户身份验证。而网络世界中的身份认证也与现实世界中别无二致,也以这三种形式为主,某些场合甚至采取两种或多种方式进行混合认证,即所谓的双(多)因素认证。从双因子走向多因子,在确保正确的用户上又多了一重保障。个人身份认证的实现方式有多种,目前采用各种密码算法的身份认证技术,从表现形式上有:传统的静态口令认证技术、动态口令身份认证技术、基于硬件的双钥身份认证技术、生物识别身份认证技术等。在下文中我们将详细介绍身份认证的各种认证方式。
什么是身份管理
广义讲,身份管理系统 (也称为身份及访问管理系统,或IAM系统)可在某个系统内管理个人身份,比如一家公司、一个网络,甚或一个国家。具体讲,企业IT中的ID管理,就是定义并管理单个网络用户的角色和访问权限,以及用户被赋予/拒绝这些权限的情况。ID管理系统的核心目标,是每人一个身份。该数字ID一旦被建立,在每个用户的整个“访问生命周期”里都应受到维护、修改和监视。ID管理系统为管理员提供各种工具和技术,可以修改用户角色,跟踪用户活动,创建活动报告,贯彻策略执行。这些系统的设计目标,是要提供在整个企业里管理用户访问的方法,以及确保符合企业策略和政府监管规定。
ID管理系统必须足够灵活,足够健壮,才可以适应当今计算环境的复杂性。原因之一:企业计算环境曾经很大程度上是内部部署的,ID管理系统在员工都在工作场所上班的时候对用户进行身份验证和跟踪管理。那个时候的企业环境,是有着安全围栏围着的。而今天,这个围栏不再存在。今天的ID管理系统,应能让管理员很方便地进行访问权限管理,服务对象也应包括各类用户——国内公司里上班的雇员和国外远程办公的承包商;混合计算环境——企业内计算、软件即服务(SaaS)应用程序、影子IT和BYOD用户;计算架构——UNIX、Windows、Macintosh、iOS、安卓、IoT设备。最终,ID管理系统应能对整个企业,以一致而可扩展的方式,对用户进行集中管理。最近几年,身份即服务(IDaaS)以云端订阅的方式,作为第三方托管服务而兴起,为企业内客户和云系统客户提供ID管理。
身份管理必要性
ID管理是任何企业安全计划的重要部分,因为今天的数字化经济中,ID管理与企业安全和生产力密不可分。被盗用户凭证常常是进入企业网络及其信息资产的入口点。企业采用ID管理来保护其信息资产不受勒索软件、犯罪黑客行为、网络钓鱼和其他恶意软件攻击的威胁。CybersecurityVentures预测,2017年,仅全球勒索软件破坏的损失,就可达50亿美元,比2016年上升了15%。很多企业里,用户权限有时候会比所需的要高。健壮的ID管理系统,可通过确保整个企业内应用一致的用户访问规则和策略,为企业添加一层重要的防护。
ID管理系统可增强企业生产力。这些系统的中央管理功能,可减少保护用户凭证和访问权限的复杂性及开销。同时,ID管理系统还让员工在各种环境下更富生产力和安全性,无论他们是在家工作还是在办公室开工,还是在出差途中。很多政府要求企业注重身份管理。Sarbanes-Oxley法案、Gramm-Leach-Bliley金融服务法案和HIPAA法案,都要求企业为客户及员工信息访问控制负责。ID系统可帮助企业遵从这些规定。
《通用数据保护条例》(GDPR)是更近一些的规定,要求强安全和强用户访问控制。GDPR强制企业保护欧盟公民的个人数据和隐私。该条例将于2018年5月正式生效,在欧盟国家经营或拥有欧盟公民客户的每家公司均受其管辖。2017年3月1日,纽约州金融服务署(NYDFS)新网络安全规定宣布生效。该规定描述了很多在纽约运营的金融服务公司应遵从的安全运营要求,包括监视授权用户活动和维护审计日志——ID管理系统通常都会做的那些事。
ID管理系统可以自动化为企业网络和数据提供安全的用户访问,减轻IT在这些琐碎但重要的任务上的负担,并帮助他们持续符合政府的规定。鉴于如今每个IT职位同时也是安全职位的态势;全球性网络安全劳动力紧缺在持续;不合规所遭受的惩罚可让企业损失数百万甚至数十亿美元;上述这些都是非常重大的好处。
身份管理带来的利益
实现ID管理和相关最佳实践,可以多种形式带来重大竞争优势。现下,大多数公司需要为外部用户赋予到内部系统的访问权限。向客户、合作伙伴、供应商、承包商和雇员开放公司网络,可提升效率,降低运营成本。
ID管理系统可使公司在不破坏安全的情况下,将访问权限扩展至其各种各样的信息系统,包括企业内应用、移动App、SaaS工具等。向外部提供更多访问,可驱动整个企业的协作,提升生产效率、员工满意度,提振研究和开发,最终形成收益增加。
ID管理可减少IT支持团队接到的口令重置类求助电话。ID管理系统能让管理员自动化这些动作和其他耗时耗力的任务。ID管理系统可成为安全网络的基石,因为用户身份管理是访问控制拼图的重要一块。ID管理系统要求公司企业定义自身访问策略,具体描述哪些人可以在哪种情况下对哪些数据资源具有访问权。
因此,管理良好的ID,意味着对用户访问更好的控制,也就是内部和外部数据泄露风险的降低。这非常重要,因为,伴随着外部威胁的持续上升,内部攻击同样愈驱频繁。根据IBM《2016网络安全情报索引》,约有60%的数据泄露时由公司自己的雇员导致的。当然,75%是恶意的,25%是无意的。正如前文提到的,通过提供工具实现全面安全、审计和访问策略,ID管理系统能够增强合规。很多系统如今都有确保公司合规的诸多功能。
身份管理系统工作机制
过去几年中,典型的ID管理系统包括4个基本元素:
(1)系统用于定义个人用户的个人数据目录(不妨想做是ID存储库);
(2)用于添加、修改和删除这些数据(与访问生命周期管理相关)的一套工具;
(3)监管用户访问(执行安全策略和访问权限)的系统;
(4)审计和报告系统(核实系统上在发生什么)。
监管用户访问一直以来都涉及到一系列的用户身份验证方法,包括口令、数字证书、令牌和智能卡。硬件令牌和信用卡大小的智能卡被当成双因子身份验证的其中一个部分。双因子身份验证结合你知道的某些事(比如你的口令)和你拥有的某样东西(令牌或卡),来核实你的身份。智能卡嵌入了一块集成电路芯片,可能是安全微控制器,或者内部存储或存储芯片等价物。出现于2005年的软件令牌,可存在于任意带存储功能的设备中,从U盘到手机都可以。今天的复杂计算环境里,随着安全威胁的提升,强用户名和口令不再管用。时至今日,ID管理系统往往综合了生物特征识别、机器学习和人工智能,以及基于风险的身份验证等因素。
在管理层级,今天的ID管理系统提供更先进的用户审计和报告——感谢上下文敏感的网络访问控制和基于风险的身份验证(RBA)之类的技术。上下文敏感的网络访问控制基于策略,根据各种属性预先规定了事件及其结果。例如,没被列入白名单的IP,就会被封禁。或者,如果没有表明设备被托管的证书,上下文敏感网络访问控制就不会触发身份验证过程。
相比之下,RBA更为灵活,往往受到某种程度的AI驱动。有了RBA,基本上就为身份验证事件打开风险评级和机器学习的大门了。RBA根据当前风险状况对身份验证过程应用不同级别的严格度。风险越高,对用户的身份验证过程越严格。用户地理位置或IP地址的改变,可能会触发附加的身份验证要求,只有全部通过,用户才能继续访问公司的信息资源。
实现身份管理解决方案面临的挑战或风险
ID管理的成功实现,需要深谋远虑和各部门间的协作。在项目开始前就建立了内聚ID管理策略的企业——目标清晰、利益相关者认可、业务过程有定义,更有可能成功。只有在人力资源、IT、安全和其他部门都参与的情况下,ID管理才会得到最佳成效。
身份信息往往来自多个存储库,比如微软活动目录(AD)或人力资源应用。ID管理系统必须能够同步这些来自不同系统的用户身份信息,提供统一的真相。
鉴于当今IT人才的紧缺,ID管理系统还得能让企业可以在各种情况和计算环境中管理各种各样的用户——自动化实时管理。人工调整成百上千用户的访问权限和控制,是不现实的。比如说,解绑离职员工访问权限的工作就会被疏忽掉,尤其是在人工处理的情况下,而这往往是很多企业的现状。报告员工离职,然后自动解除该员工所用各个App、服务和硬件的访问权配置,需要一个自动化的全面ID管理解决方案。
身份验证也必须让用户易于执行,让IT部门易于部署,而且最重要的,必须安全。这也是为什么移动设备正成为用户身份验证中心的原因,因为智能手机可以提供用户当前位置、IP地址,以及可用于身份验证目的的其他信息。需要谨记的一个风险是:集中式操作也会向黑客和破解者呈现出诱人的目标。整个公司所有ID管理活动都在一个仪表板上呈现,不仅仅给管理员带来了便利,也为黑客和破解者减少了攻击复杂度。一旦被黑,入侵者便可以创建高权限ID,访问庞大的资源。
结束:身份认证技术是对网络通信双方进行真实身份鉴别,也可以说是网络信息安全的看门人。身份认证的目的是鉴别网络使用者的身份是否合法真实,再决定是否给予其访问网络资源的授权。对于身份认证不能通过的使用者,网络系统就会阻止其对相关网络的访问。身份认证技术是计算机网络中鉴别使用者身份的有效手段。在网络系统中,使用者的身份信息是用一组特定数据来标识的,计算机及相关网络对使用者的授权也是对这一组数据信息进行的授权。保证使用者标识数据的合法身份,也就是保证使用者物理身份与数字身份完全符合,是身份认证技术的重点解决对象。
账号密码成为互联网世界里保护用户信息安全的最主要手段之一。也是现今大多数网络系统所使用的最简单的访问控制方法,通过密码的匹配来确认用户的合法性。在下篇文章中将会解密账号密码的发展现状及账号密码存在众多的安全性及可用性问题,敬请期待!
原题目《虚拟与现实的交融,网络安全是身份认证技术拯救的“重灾区”》