认证方案没有最强是有更强---双因素认证

RSA SecureID被窃事件已经过去有一段时间了,但是它在认证领域的影响却远没有结束。各大安全厂商纷纷审视自己的认证方案,并推出很多新的认证方式,认证产品的新浪潮正在袭来。或许没有最强的认证解决方案,在不同环境下选择最合适的才是最安全的,那么现在都有哪些认证方案?各方案的优缺点是什么?未来几年还有怎样的发展趋势?针对以上疑问,近日,本站记者采访了SafeNet亚太区副总裁陈泓先生。

两种不同的种子生成方案

陈泓先生首先介绍了一些SafeNet的整体情况,并对比了其他供应商提供的认证方案。可以从下面这两张图中看到。

在每一个OTP里都有一个种子文件,这个种子文件一定要在每一次认证的时候跟这个背后的OTP服务器进行签名,它是一个对称算法。通常供应商的做法是这样的,他们在给所有的客户发token(令牌)的时候,会在自己这里做编程然后把种子文件放进去,这个工作是在供应商自己这边来做的。然后他们会把这个种子文件保留在OTP认证的服务器上。

其他供应商的生成方案

而如果这个种子文件被偷了,它的整个安全系统就崩溃了,因为任何拿到这个种子文件的骇客都可以去仿冒这些客户的身份。然后就可以非法的进入到这些客户的网络里去提取资料。“这就像把所有的鸡蛋都放在一个篮子里”,陈泓说道。

SafeNet的种子生成方案

这方面,SafeNet的方案如上图所示,种子的生成不是在SafeNet这边完成的,而是在客户端做的。所以客户有能力去保证他的种子文件能够安全,当然他要设立很多的安全机制。而且如果说一个客户的安全有问题的话,是不会影响到别的客户的。

这两种方案的风险承担不同,用户需要认真考虑作出选择。

云计算与认证市场的趋势

陈泓认为市场的趋势主要有两个方面,第一,OTP令牌的厂商将有更好的控制力和管理力。针对市场一些新的变化,最明显的就是虚拟化的发展(云计算的普及现在还在初期阶段,与广泛的大众应用还有一些距离),虚拟化在私有企业和银行方面都得到了较好的发展。包括数据中心的整合,很多大企业现在为了节省资源会把很多的数据中心整合到一起,让它的分支机构远程登陆,也就是用web portals(网站入口)的形式去做远程的访问。这种情况越来越多,如何解决身份认证的问题跟传统的解决方式有很大的不同。

其次,SaaS的身份认证以前都是用浏览器去进入企业的网路,有一个演变就是从AD的网路慢慢转入远程的控制或者以云的方式进行身份认证。在这方面是会有很大的挑战。现在很多员工都有移动设备,如何控制这些设备对企业资源的访问是一个重要的问题。以前很简单的身份认证双因素的这种方式,可能需要有完整的可信的身份认证的环境。

陈泓表示,云计算趋势是必然的,那么安全认证在云计算趋势下的发展是什么呢?陈泓表示有以下四个方面:

虚拟化与云安全

下一代PKI的应用

身份认证解决方案

合规

而这四个方面也是SafeNet这两年发展的主要方向。整个安全市场的趋势主要是两点,陈泓说道,“更好的可控性和可管理性。”

问:有业内人士认为在云环境下的终端是最难管理的,反倒是云环境中的集中式服务器管理会容易一些。我不知道您怎么看这个观点?跟他们的商业模式有关吗?

陈泓:当然是终端最难管理。现在大家用手机、笔记本电脑各种不同的移动设备,你现在要上到云的环境,要如何控制跟管理呢?很难的。另一个方面,如何在供应商那边区分存储的身份。

光学认证方案和软件认证方案

现场,陈泓演示了一个光学交易签名。传统的令牌在确认交易时,要手动输入一些信息,用户可能会觉得很麻烦,光学令牌就省去了手动输入的操作。确认的时候,只要将令牌对着电脑或手机屏幕中闪烁的光源,令牌会自动识别所交易的信息,然后你再确认就可以了。这种方式也可以很好的避免中间人攻击。目前,这种新方案还没有在国内推行。

针对目前有厂商推出的软件认证方案,陈泓表示SafeNet也有软件认证的方案,不过软件认证会不会成为趋势现在讨论可能还为时过早。

不同的认证方案,满足不同的需求。在这个信息泛滥,公开隐私的互联网大时代,如何保护自己唯一的身份是一个越来越值得深思的问题。