信息安全從身份認證開始

程彥博

智能設備的廣泛使用，讓攻擊點變得更加廣泛。在萬物互聯(lián)的趨勢下，信息安全威脅顯得尤為嚴重。要在這樣的趨勢下實現(xiàn)設備和數據的安全，身份認證是尤為重要的一環(huán)。如何確保所有的設備都能進行融合的認證管理，HID Global公司高管進行了解釋。

在移動互聯(lián)網和物聯(lián)網進入大發(fā)展時期的當下，人們已經意識到，越來越多的設備變得智能、可以接入網絡，將給人類社會的信息安全體系帶來嚴重威脅。

智能設備的廣泛使用，讓攻擊點變得更加廣泛，給了攻擊者更多的可乘之機。對于用戶而言，如何確保自己的設備不被惡意控制，保障自己的信息和應用安全，成為不可避免的話題。

在移動互聯(lián)網和物聯(lián)網上曠日持久的攻防戰(zhàn)中，身份認證是一個橋頭堡。如果沒有強壯的身份認證機制，如果攻擊者可以輕松繞過身份認證機制進行操作，比如對受害者的賬戶進行轉賬，比如通過受害者的移動設備下載公司的機密資料……就會讓用戶在享受移動互聯(lián)所帶來的生活和工作便利的同時，產生不小的安全隱憂。

驗證的五個層面

HID Global公司大中華區(qū)營銷總監(jiān)趙建邦認為，身份認證是非常重要的一個環(huán)節(jié)。以銀行業(yè)為例，用戶在進行賬戶操作時系統(tǒng)就需要進行多個層面的認證，才能保證用戶的信息和資金安全。“HID Global的ActivID身份驗證產品就為普及實現(xiàn)可信網上交易的真正多因子驗證提供五個關鍵層面驗證?！壁w建邦指出，這五個層面的驗證包括：用戶驗證、設備驗證、渠道驗證、交易驗證和應用驗證。

放棄簡單的密碼而使用強大的用戶驗證是網上銀行安全的基礎。趙建邦指出，最佳驗證用戶方法是雙因子身份驗證，即至少集成以下方法中的兩種：用戶所知的東西（如ID或靜態(tài)密碼），用戶擁有的東西（如移動設備、USB Key或OTP動態(tài)密碼），用戶所具備的特征（如生物識別或行為識別特征）。

一旦確定了用戶的身份，驗證用戶是否正在使用“已知”的設備非常重要。具有代理檢測和地理定位等要素的復雜設備識別被認為更安全。

對于驗證渠道，必須包括預防性網頁惡意程序控件（如實時的惡意程序檢測、主動強化的瀏覽器等）。而使用帶外數據（Out Of Band，OOB）驗證是驗證交易的有效方式之一。

此外，驗證應用對于手機銀行業(yè)務尤為重要。該層保護移動設備上用于提供敏感信息的應用。該應用必須在結構上獲得強化，并且能夠使用最終用戶的憑證卡執(zhí)行雙重身份驗證。添加該層可實現(xiàn)端到端的保護，使網絡罪犯的犯罪活動更加困難，成本更加高昂。

此外，ActivID欺詐檢測服務的另外一大重要特點便是對用戶完全透明。受保護應用程序不需要下載任何的插件、不改變用戶現(xiàn)有的登錄習慣，ActivID欺詐檢測服務默默地保護用戶的安全，且適用于包括平板、手機等在內的計算機平臺，也適用于這些平臺的一系列瀏覽器。同時ActivID欺詐檢測也兼容現(xiàn)在的動態(tài)令牌、USB-Key和卡終端等，并支持云端服務保證黑客名單實時更新?？傮w來說，HID Global通過多層策略體現(xiàn)了強大的身份認證。

“該分層方法使金融機構能夠以方便、遞增的方式增加對網上欺詐的防護，從而安全地訪問網上服務和云應用。HID Global通過集成式身份驗證平臺提供統(tǒng)一的方法，這樣組織可以輕松地管理眾多用戶和不同設備的憑證卡，同時提供始終如一并且便利的保護，從而抵御金融機構在全球范圍內面臨的最新欺詐問題。”趙建邦表示，分層戰(zhàn)略可以提高安全性，同時確保銀行根據特定的威脅級別和客戶的偏好，使用風險適當的解決方案。此外，使用支持多種渠道和多種用戶群體的公共平臺也會降低分層網上銀行安全解決方案的總體擁有成本。

不僅用于金融行業(yè)

事實上，不僅是手機銀行的身份驗證，也不僅是在金融行業(yè)，HID Global一直在致力于構建融合的安全身份解決方案，可以實現(xiàn)用戶在門禁、桌面登錄、支付等多個領域的身份統(tǒng)一認證。趙建邦指出，HID Global融合安全身份解決方案以Seos技術為基礎。“不管是軟件還是硬件，都可以支持Seos。Seos技術允許其他技術使用相同的語言進行交流，同時防止各個平臺之間交流的信息遭到未經授權的竊取。它具有靈活、可移植、安全、私密、可適應性和可行性等特點。”趙建邦說。

據了解，由Seos提供支持的HID Global iCLASS SE平臺基于OSDP雙向通信等行業(yè)標準，采用動態(tài)技術取代靜態(tài)技術，可確保安防功能不受硬件和介質的影響，并確?；A架構更容易在現(xiàn)有功能基礎上進一步發(fā)展，從而能夠適應和應對不斷變化的威脅。

iCLASS SE平臺還通過雙重身份驗證和帶密鑰的密碼保護機制增強安全性，并且使用安全消息傳送協(xié)議，該協(xié)議在由互操作產品組成的安防生態(tài)系統(tǒng)內的可信通信平臺上實現(xiàn)。此外，Seos技術能夠將任何使用無線技術（如NFC或藍牙）的智能設備變成可信的憑證卡。因此，智能手機現(xiàn)在可以接收數字證卡和密鑰，并且將證卡和密鑰“出示”給iCLASS SE讀卡器，該智能手機還可以產生一次性動態(tài)密碼（OTP），用于安全地登錄至另一臺移動設備或臺式電腦，用于訪問網絡或云應用和Web應用。

融合的安全身份管理

通過Seos解決方案，用戶完全可以把手機這樣的智能設備作為身份認證工具，用手機開門，進入授權區(qū)域，再獲得授權登錄計算機工作站，簽署和加密電子郵件和文檔……以前在科幻電影中常見的場景慢慢變成了現(xiàn)實。這一切都可以使用HID Global融合的身份認證解決方案來完成。將更多的設備納入到身份認證體系中來，進行更加廣泛的融合安全身份管理，HID Global的解決方案在未來的物聯(lián)網時代更加具有想象空間，也更加能夠解決物聯(lián)網時代人們面臨的日益嚴重的安全威脅挑戰(zhàn)。

“我相信，物聯(lián)網的普及應用將推動NFC等新一代安全身份管理技術的應用。我們可以通過將物品貼上NFC/RFID標簽來確定其獨特的身份，從而可以在日后通過非接觸讀卡器或任何NFC智能電話或平板電腦來方便地驗證，從而為用戶提供物聯(lián)網時代的驗證和安全保障?！壁w建邦告訴記者。