簡(jiǎn)約科技 2015-07-23

---

對(duì)于企業(yè)而言，21世紀(jì)重要的除了人才恐怕還要加上一點(diǎn)，那就是數(shù)據(jù)。于是乎，各種安全手段紛紛上馬，一是保護(hù)企業(yè)正常業(yè)務(wù)，二就是保護(hù)企業(yè)重要數(shù)據(jù)。無(wú)論防火墻、防病毒、防黑客、防入侵等等，都或多或少地肩負(fù)著一些保護(hù)數(shù)據(jù)的責(zé)任。

保護(hù)數(shù)據(jù)不僅僅是要讓數(shù)據(jù)正確、長(zhǎng)久地存在，更重要的是，要讓不該看到數(shù)據(jù)的人看不到。這方面，就必須依靠身份認(rèn)證技術(shù)來(lái)給數(shù)據(jù)加上一把鎖。“門(mén)鎖”的意義就在于，讓該進(jìn)來(lái)的人進(jìn)來(lái)，而擋住不該進(jìn)入的人。數(shù)據(jù)存在的價(jià)值就是需要被合理訪(fǎng)問(wèn)，而不是把它押在箱子底下不讓人問(wèn)津。所以，建立信息安全體系的目的應(yīng)該是保證系統(tǒng)中的數(shù)據(jù)只能被有權(quán)限的人訪(fǎng)問(wèn)，未經(jīng)授權(quán)的人則無(wú)法訪(fǎng)問(wèn)到數(shù)據(jù)。如果沒(méi)有有效的身份認(rèn)證手段，訪(fǎng)問(wèn)者的身份就很容易被偽造，使得未經(jīng)授權(quán)的人仿冒有權(quán)限的人的身份，這樣，任何安全防范體系就都形同虛設(shè)，所有安全投入就被無(wú)情地浪費(fèi)了。就好像人們建造了一座非常結(jié)實(shí)的房子，安裝了非常堅(jiān)固的大門(mén)，卻沒(méi)有鎖門(mén)。

可以說(shuō)，身份認(rèn)證技術(shù)能夠密切結(jié)合企業(yè)的業(yè)務(wù)流程，阻止對(duì)重要資源的非法訪(fǎng)問(wèn)。身份認(rèn)證技術(shù)可以用于解決訪(fǎng)問(wèn)者的物理身份和數(shù)字身份的一致性問(wèn)題，給其他安全技術(shù)提供權(quán)限管理的依據(jù)。所以說(shuō)，身份認(rèn)證是整個(gè)信息安全體系的基礎(chǔ)。

身份如何驗(yàn)證

如何通過(guò)技術(shù)手段保證物理身份與數(shù)字身份相對(duì)應(yīng)呢?在真實(shí)世界中，驗(yàn)證一個(gè)人的身份主要通過(guò)三種方式：一是根據(jù)你所知道的信息來(lái)證明身份，假設(shè)某些信息只有某人知道，比如暗號(hào)等，通過(guò)詢(xún)問(wèn)這個(gè)信息就可以確認(rèn)此人的身份;二是根據(jù)你所擁有的物品來(lái)證明身份，假設(shè)某一物品只有某人才有，比如印章等，通過(guò)出示該物品也可以確認(rèn)個(gè)人的身份;三是直接根據(jù)你獨(dú)一無(wú)二的身體特征來(lái)證明身份，比如指紋、虹膜等。這三種方式中，恐怕只有指紋的安全系數(shù)是比較高的，其他方式都容易被他人仿冒。不過(guò)應(yīng)用指紋識(shí)別的企業(yè)可謂鳳毛麟角，或者并沒(méi)有用到保護(hù)數(shù)據(jù)上。

更簡(jiǎn)單、更有效的身份認(rèn)證可以使用身份認(rèn)證安全產(chǎn)品來(lái)實(shí)現(xiàn)。而身份認(rèn)證技術(shù)又可以分為軟件認(rèn)證和硬件認(rèn)證。從認(rèn)證需要驗(yàn)證的條件來(lái)看，身份認(rèn)證技術(shù)還可以分為單因子認(rèn)證和雙因子認(rèn)證。單因子認(rèn)證是僅通過(guò)一個(gè)條件來(lái)驗(yàn)證一個(gè)人的身份。由于只使用一種條件判斷用戶(hù)的身份，單因子認(rèn)證很容易被仿冒。雙因子認(rèn)證通過(guò)組合兩種不同條件(如通過(guò)密碼和芯片組合)來(lái)證明一個(gè)人的身份，安全性有了明顯提高。從認(rèn)證信息來(lái)看，身份認(rèn)證技術(shù)還可以分為靜態(tài)認(rèn)證和動(dòng)態(tài)認(rèn)證?，F(xiàn)在計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種

用戶(hù)名/密碼方式 這是簡(jiǎn)單也是較常用的身份認(rèn)證方法。每個(gè)用戶(hù)的密碼是由用戶(hù)自己設(shè)定的，只有自己才知道。只要能夠正確輸入密碼，計(jì)算機(jī)就認(rèn)為操作者是合法用戶(hù)。實(shí)際上，由于許多用戶(hù)為了防止忘記密碼，經(jīng)常采用諸如生日、電話(huà)號(hào)碼等容易被猜測(cè)的字符串作為密碼，或者把密碼抄在紙上放在一個(gè)自認(rèn)為安全的地方，這樣很容易造成密碼泄漏。即使能保證用戶(hù)密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，在驗(yàn)證過(guò)程中需要在計(jì)算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次驗(yàn)證使用的驗(yàn)證信息都是相同的，很容易被駐留在計(jì)算機(jī)內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽(tīng)設(shè)備截獲。因此用戶(hù)名/密碼方式在保密要求稍高一些的地方已經(jīng)被認(rèn)為是一種極不安全的身份認(rèn)證方式。

IC卡認(rèn)證 IC卡是一種內(nèi)置集成電路的芯片，芯片中存有與用戶(hù)身份相關(guān)的數(shù)據(jù)， IC卡由專(zhuān)門(mén)的廠(chǎng)商通過(guò)專(zhuān)門(mén)的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。IC卡由合法用戶(hù)隨身攜帶，登錄時(shí)必須將IC卡插入專(zhuān)用的讀卡器讀取其中的信息，以驗(yàn)證用戶(hù)的身份。然而由于每次從IC卡中讀取的數(shù)據(jù)是靜態(tài)的，通過(guò)內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽(tīng)等技術(shù)還是很容易截取到用戶(hù)的身份驗(yàn)證信息，因此還是存在安全隱患。

動(dòng)態(tài)口令 動(dòng)態(tài)口令技術(shù)是一種讓用戶(hù)密碼按照時(shí)間或使用次數(shù)不斷變化、每個(gè)密碼只能使用一次的技術(shù)。它采用一種叫作動(dòng)態(tài)令牌的專(zhuān)用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運(yùn)行專(zhuān)門(mén)的密碼算法，根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼。用戶(hù)使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶(hù)端計(jì)算機(jī)，即可實(shí)現(xiàn)身份認(rèn)證。由于每次使用的密碼必須由動(dòng)態(tài)令牌來(lái)產(chǎn)生，只有合法用戶(hù)才持有該硬件，所以只要通過(guò)密碼驗(yàn)證就可以認(rèn)為該用戶(hù)的身份是可靠的。而用戶(hù)每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無(wú)法利用這個(gè)密碼來(lái)仿冒合法用戶(hù)的身份。動(dòng)態(tài)口令技術(shù)采用一次一密的方法，有效保證了用戶(hù)身份的安全性。但是如果客戶(hù)端與服務(wù)器端的時(shí)間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶(hù)無(wú)法登錄的問(wèn)題。并且用戶(hù)每次登錄時(shí)需要通過(guò)鍵盤(pán)輸入一長(zhǎng)串無(wú)規(guī)律的密碼，一旦輸錯(cuò)就要重新操作，使用起來(lái)非常不方便。

生物特征認(rèn)證 生物特征認(rèn)證是指采用每個(gè)人獨(dú)一無(wú)二的生物特征來(lái)驗(yàn)證用戶(hù)身份的技術(shù)。常見(jiàn)的有指紋識(shí)別、虹膜識(shí)別等。從理論上說(shuō)，生物特征認(rèn)證是可靠的身份認(rèn)證方式，因?yàn)樗苯邮褂萌说奈锢硖卣鱽?lái)表示每一個(gè)人的數(shù)字身份，不同的人具有不同的生物特征，因此幾乎不可能被仿冒。生物特征認(rèn)證基于生物特征識(shí)別技術(shù)，受到該技術(shù)成熟度的影響，采用生物特征的認(rèn)證技術(shù)具有較大的局限性。首先，生物特征識(shí)別的準(zhǔn)確性和穩(wěn)定性還有待提高，特別是如果用戶(hù)身體受到傷病的影響，往往導(dǎo)致無(wú)法正常識(shí)別，造成合法用戶(hù)無(wú)法登陸。其次，由于研發(fā)投入較大和產(chǎn)量較小等原因，生物特征認(rèn)證系統(tǒng)的成本非常高，目前只適合于一些安全性要求非常高的場(chǎng)合，如銀行、部隊(duì)等使用，目前還無(wú)法做到大面積推廣。

USB Key認(rèn)證 就像用鑰匙開(kāi)啟門(mén)鎖一樣，基于USB Key的身份認(rèn)證方式是一種方便、安全的開(kāi)啟電腦的方式。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶(hù)的密鑰或數(shù)字證書(shū)，利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶(hù)身份的認(rèn)證。USB Key具有安全可靠，便于攜帶、使用方便、成本低廉的優(yōu)點(diǎn)，加上PKI體系完善的數(shù)據(jù)保護(hù)機(jī)制，使用USB Key存儲(chǔ)數(shù)字證書(shū)的認(rèn)證方式已經(jīng)成為目前主要的認(rèn)證模式。

身份管理更上層樓

如果企業(yè)采用了先進(jìn)的身份認(rèn)證技術(shù)，而沒(méi)有對(duì)其進(jìn)行有效管理的話(huà)，身份認(rèn)證技術(shù)的效果就會(huì)大打折扣。據(jù)預(yù)測(cè)，到2015年，身份管理軟件的全球收入將達(dá)到100億美元，年復(fù)合增長(zhǎng)率將達(dá)到9.7%。又據(jù)Gartner報(bào)告顯示，一個(gè)1萬(wàn)人的企業(yè)若導(dǎo)入一套完整身份管理方案，可以在三年內(nèi)獲得高達(dá)300%的投資回報(bào)率，節(jié)省將近350萬(wàn)美元的企業(yè)成本;此外，Giga Information Group也指出身份管理對(duì)于IT部們的工作效率、成本、帳號(hào)控管、權(quán)限設(shè)定等有很大的改善。而Price water house公司也表示目前會(huì)計(jì)公司的身份管理軟體每年都以2倍的速度在增長(zhǎng)。這一些都表明，身份管理方案已漸成趨勢(shì)。

用戶(hù)身份管理是在企業(yè)、乃至更大范圍內(nèi)管理用戶(hù)身份的一個(gè)過(guò)程。它可幫助企業(yè)以低成本將恰當(dāng)?shù)馁Y源提供給用戶(hù)。它的管理覆蓋用戶(hù)的整個(gè)工作流程，包括在不同系統(tǒng)上創(chuàng)建賬號(hào)、將訪(fǎng)問(wèn)權(quán)擴(kuò)展到外部服務(wù)，以及臨時(shí)暫停訪(fǎng)問(wèn)權(quán)限或永久廢除賬號(hào)。有效的用戶(hù)身份服務(wù)能夠降低諸如密碼保密性能不足之類(lèi)的安全風(fēng)險(xiǎn)，并較大可能地消除可能影響用戶(hù)生產(chǎn)力的障礙。另外，用戶(hù)身份服務(wù)還可通過(guò)基于角色的賬戶(hù)創(chuàng)建和企業(yè)資源訪(fǎng)問(wèn)權(quán)限，來(lái)實(shí)現(xiàn)集中的管理功能和自動(dòng)化功能。

企業(yè)應(yīng)該按業(yè)務(wù)對(duì)用戶(hù)分組：?jiǎn)T工、客戶(hù)、供應(yīng)商、合作伙伴等等。每位用戶(hù)都有獨(dú)立的在線(xiàn)“身份”，以便于管理，以減少風(fēng)險(xiǎn)。相比而言，一個(gè)用戶(hù)只有一個(gè)身份要比有多個(gè)身份管理起來(lái)容易許多。企業(yè)可以按用戶(hù)的需求來(lái)管理他們的身份，并籍此不斷提高客戶(hù)滿(mǎn)意度。在企業(yè)內(nèi)部，用戶(hù)身份管理工具由IT部門(mén)部署，并與人力資源應(yīng)用程序集成。具體的用戶(hù)角色都有預(yù)定義的訪(fǎng)問(wèn)權(quán)限。當(dāng)員工成為某一“角色”時(shí)，他對(duì)企業(yè)資源的訪(fǎng)問(wèn)權(quán)限會(huì)按IT部門(mén)預(yù)定義的權(quán)限動(dòng)態(tài)進(jìn)行更新。這種方法從根本上降低了成本，并有效地實(shí)現(xiàn)了企業(yè)流程的自動(dòng)化。在企業(yè)外部，當(dāng)它吸引了一個(gè)客戶(hù)、供應(yīng)商或合作伙伴時(shí)，它一定要確保用戶(hù)身份的注冊(cè)和交易過(guò)程是直接、順暢和安全的，這一點(diǎn)至關(guān)重要。為了讓用戶(hù)有被重視的感覺(jué)，一定要讓他們相信，他們所提交的信息將成為高度機(jī)密，并且不會(huì)出現(xiàn)安全問(wèn)題。

身份管理系統(tǒng)如何選

對(duì)于許多企業(yè)來(lái)說(shuō)，對(duì)大多數(shù)安全產(chǎn)品的選購(gòu)基本可以做到心中有數(shù)了。但是對(duì)于身份管理系統(tǒng)來(lái)說(shuō)，并不知道從哪些方面考察指標(biāo)。下面幾個(gè)方面是身份管理系統(tǒng)所應(yīng)該具備的。

目錄式基礎(chǔ)架構(gòu) 利用目錄，企業(yè)可以將員工信息歸類(lèi)到易于訪(fǎng)問(wèn)的分層結(jié)構(gòu)中。身份管理系統(tǒng)需要一個(gè)以穩(wěn)定且可擴(kuò)展的目錄為基礎(chǔ)的強(qiáng)大的基礎(chǔ)性骨干架構(gòu)。這種體系結(jié)構(gòu)的優(yōu)勢(shì)使目錄能夠在簡(jiǎn)單的分布式環(huán)境中同步、復(fù)制和鏈接不同信息庫(kù)的信息。目錄能夠跨越不同的地理位置提供超強(qiáng)的快速查找功能，這對(duì)企業(yè)的成功至關(guān)重要。

用戶(hù)驗(yàn)證 我們現(xiàn)在可用生物識(shí)別、智能卡和數(shù)字許可證證書(shū)等方式來(lái)驗(yàn)證用戶(hù)的身份。它們是可信交易的基礎(chǔ)。通過(guò)這些方式，企業(yè)可以在確保其與用戶(hù)之間的通信保持高度機(jī)密的同時(shí)，驗(yàn)證用戶(hù)提交的信息，從而在雙方之間建立一定的信任級(jí)別。

單點(diǎn)登錄和安全訪(fǎng)問(wèn) 單點(diǎn)登錄技術(shù)可以簡(jiǎn)化對(duì)企業(yè)應(yīng)用程序的訪(fǎng)問(wèn)。它使用戶(hù)不必再為需要記住多個(gè)系統(tǒng)的多個(gè)訪(fǎng)問(wèn)密碼而煩惱。安裝了這一功能后，管理員使用一個(gè)界面就可以管理多個(gè)系統(tǒng)，從而有助于降低IT部門(mén)的管理成本?；赪eb的業(yè)務(wù)提供了不同的系統(tǒng)接入點(diǎn)，讓用戶(hù)能通過(guò)因特網(wǎng)、外部網(wǎng)和內(nèi)部網(wǎng)等多種方式進(jìn)行連接，輕松實(shí)現(xiàn)對(duì)多種公司資源的安全訪(fǎng)問(wèn)。

自助式注冊(cè)和自助式管理 自助式注冊(cè)和自助式管理通過(guò)將相應(yīng)的管理權(quán)交給用戶(hù)，從而降低了企業(yè)成本，提高了用戶(hù)效率。例如，用戶(hù)提交了一份基于Web的表格后就可完成關(guān)于某一業(yè)務(wù)的自助式注冊(cè)，然后立即就可以開(kāi)始安全交易。這期間只需要很少，或者根本就不需要人工干預(yù)。密碼重設(shè)的成本也非常昂貴，如果用戶(hù)能夠自己重設(shè)遺忘的密碼，這不僅有利于公司的運(yùn)營(yíng)，同時(shí)還能減少I(mǎi)T部門(mén)的工作量，提高用戶(hù)工作效率。

帳戶(hù)移動(dòng)性 身份管理戰(zhàn)略的一個(gè)關(guān)鍵要求就是要確保用戶(hù)賬戶(hù)的移動(dòng)性，便于移動(dòng)商務(wù)辦公。關(guān)鍵是用戶(hù)移動(dòng)時(shí)，其身份也要移動(dòng)，且無(wú)論用戶(hù)從何處連接公司網(wǎng)絡(luò)，他們都要具有相同的訪(fǎng)問(wèn)級(jí)別。身份管理基礎(chǔ)架構(gòu)必須具備足夠的靈活性，才能滿(mǎn)足這一類(lèi)型用戶(hù)對(duì)移動(dòng)性的需求。另外，身份管理基礎(chǔ)架構(gòu)還必須具有開(kāi)放和可擴(kuò)展的特點(diǎn)，以便支持未來(lái)的Web服務(wù)和與其他業(yè)務(wù)環(huán)境的集成。

總體而言，身份和訪(fǎng)問(wèn)管理問(wèn)題通常具有雙重性質(zhì)。一方面要增加安全性，另一方面要降低成本。可以根據(jù)企業(yè)的具體需求，將天平傾向安全或成本。

---

---

---