在安全领域,很少有人不知道RSA。1977年,由Ron Rivest、Adi Shamirh和LenAdleman在(美国麻省理工学院)开发的RSA,作为最有影响力的公钥加密算法,已被ISO推荐为公钥数据加密标准。而其背后的RSA公司历经几次变化,最终在2006年被EMC收购,成为RSA,EMC信息安全事业部。
2012年11月22日,EMC信息安全事业部RSA中国区资深技术顾问冯崇彪主持了“探寻可信、安全登录之谜”的技术研讨会。会上,他深度分析了四种主流身份认证的特点,并就RSA身份认证决策树做了演示,希望可以通过RSA开放接口与更多安全企业以及安全领域的开发者一起构建满足不同企业安全需求的生态系统。
对比四种主流身份认证
在他看来,来自桌面的移动终端的复杂多样,BYOD(Bring Your Own Device)接入的新需求,与来自数据中心端的虚拟化广泛应用与云计算的落地实践,还有来自更为高级的网络与黑客威胁,使得企业正面临越加严重的安全威胁。这其中,身份认证最为困难,但需求最为迫切。
这不难理解。企业最初仅需要对内部员工实现内部网络设备和远程设备的管理,但现在不仅要对员工,还需要对合同工、代理商、客户等各类客户,包括手机、平板、PC和笔记本以及其他接入工具要实现统一管理,复杂度呈指数增长。不止如此,曾经只存在企业内部服务器是数据如今也可能分布在公共云和Hosted应用上,多源管理难度更大。所以,要实现业务协同,任何时候从任意设备访问信息,保护内外敏感数据和用户访问业务安全,提升生产力,强身份认证必不可少。
目前主流身份认证主要有以下四种:
OTP、基于风险、PKI和动态基于知识的四类认证方式对比图
一次性密码(OTP),通过双因素认证的各类组合实现对一个人行为的判别。目前用的较多的是静态密码+令牌组成的。其中令牌可以是时间型(一分钟内有效),也可以是现在银行中常用的动态口令卡,U盾等。
基于风险的认证,更多可以看为依照风险的高低而采用多重技术手段的统一。比如对于普通账号和VIP账号之间采用不同认证方式;通过用户使用习惯设定验证信息(如IP地址转移需要再次认证等)。而这些对于风险的判断都是在后台完成的。这张图很好说明了现有安全方式的统一。
第三是数字证书(PKI),通过申请证书,进行激活来实现认证。比如银行与游戏厂商经常使用的U盾中存储的个人信息就是数字证书。
第四是动态的基于知识的认证,通过询问客户问题的方式来认证用户。问题库是基于现实中公共数据资源和商业数据资源,通过用户提前输入作储备,登录时通过对相关回复做验证的方式来确认。
RSA身份认证决策树支持不同需求
基于风险的认证更受重视
四类认证在市场上各有应用群。但结合国际越来越重视基于风险的认证的趋势,冯崇彪认为,“建立基于风险的分析是所有认证解决方案的基础”。针对不同的用户群,应该有一套可以提供广泛认证技术、方法和平台可以满足独特需求的灵活选择方案。这其中,既包含可为不同用户群提供强身份认证,也包含提供不同认证方式以及认证流程,及端到端认证方案。
为此,RSA推出了针对小型和中企业的RSA Authentication Manager Express,企业级用户的RSA Authentication Manager,企业级-消费者应用的RSA Adaptive Authentication,大型机构的RSA Digital Certificate Services和面向B-C市场机构的RSA Identity Verification。更为创新的是,企业用户只需要通过一个工具,回答以下几类问题,就能确定自己需要的哪一种类型的RSA身份认证决策树的方案。
您是否控制最终用户的环境?
访问是否仅限于web应用?
您的身份认证是否需要对文件加密?
身份认证方法是否要提供交易监控和其他检测?
开发者有机会与RSA合作
移动互联与云计算催生了各类生态系统,安全也不例外。RSA身份认证决策树可以帮助用户简化操作,但在接口方面仍需更多开发协作。冯崇彪表示:“对企业而言,一般存在三个层面的集成:客户端、中间层应用端和后台认证端。客户端方面,RSA有各类认证设备,比如针对BYOD可以提供软件认证方式来满足各类硬件的需求,同时也会提供KPI和开放结果,比如与AppStore来做集成。中间层,有些应用已经内嵌了RSA的认证技术,通过RSA自适应身份认证直接做配置即可实现认证;对客户自己研发的应用或系统,则需要通过RSA开放接口来认证。以业内较为关注的信息防泄露为例,RSA认证系统可以和第三方的信息防泄露集成,把认证集成到信息防泄漏系统的登录认证中,名单可以通过官网面去看,而针对于不同的信息防泄露,有很多直接可以跟RSA的认证系统集成(RSA Ready),个性化需求则可以通过双发的技术部门来与RSA开发接口对接来完成。后台认证,RSA提供了各类认证方式来满足不同企业的需求。”
对于集成所涉及的改造代码等工作,冯崇彪说:“做接口,动态口令和自适应认证等方面,如RSA出一个接口与企业端应用集成所需要工作不大,但是数字证书则要多一些。RSA的接口和文档都是开放的,也希望与国内更多安全厂商和安全领域的开发者一起合作,共同为不同企业的安全需求提供更加周到的服务”。