【51CTO.com原创稿件】黥刑,秦汉时期广泛使用的一种刑法,就是于罪犯身体的某个部位刺字并染色,这也是一种身份认证的方式。时至今日,我们用到的身份认证方式大致可分为生物识别、证物和密码这三类识别。就原理而言,这些识别方式早在几千年就以应用,随时间推移有了长足的发展,尤其是与信息技术融合之后,在体验、安全性等方面都有了颠覆性的变化。
近日,在身份认证授权和RTC协议等领域有深厚技术积累的玉符科技CTO王伟,接受了51CTO的专访。大家就互联网初期至今身份认证技术的发展历程、混合云环境下身份认证的挑战与应对方案进行了深入的探讨。
互联网到AI时期,身份认证技术的演变
从身份认证角度来讲,不同时期采用的技术有很大差别,也有少数技术被从最初延续到现在还在被使用,但在使用过程中不断进化。
互联网初期:MD5、hash、Kerbero、SAML
最初的身份认证,仅仅是对账号,采用MD5、不同hash等技术进行最基本的加密、解密。内网盛行时期,采用Kerbero、federation、SAML等等协议,支撑身份管控所有相关的服务。
Kerbero协议,用于Ticketing时期,当是通过系统认证后,开始为用户授发一个Ticket。用户可以凭借Ticket访问各个子系统。
OASIS组织的SAML和微软支持的WS-Federation,是联合身份认证中的两大标准,两者主要区别在于SAML直接使用XML加密和XML签名,意味着其可以和REST协同工作,而WS-Federation则需要SOAP。WS-Federation是WS一系列的协议其中之一,解决不同体系之间的账号互相Trust,互相做联合的协议。
SAML是一个非常典型的用于身份认证的标准,发展至今仍有很多公司在使用。 SAML本身有各种复杂的配置,可以在不同场景中使用。目前只有少数大公司支持有限的几种配置,这样一来,如果理解和学习了这个协议,做联合时很容易。
后互联网时期:Open ID Connect、多因子
后互联网或当前这个互联网时代以后,基于XML的SAML臃肿不足日益凸显,欲解决一个很小的问题,令牌(Token)的整个有效载荷(Payload)非常庞大。虽然时间和不同用户证明了毋庸置疑的安全性,但在新型互联网公司,大部分人开始觉得SAML不太适应现在的需求。
Open ID Connect是一个类SAML的标准,优势在于基于较成熟的OAuth授权协议且相对较轻量化,趋势非常迅猛,新公司普遍采用这个标准。
AI时期:多因素、量子计算
多因子认证也开始逐渐被认可,验证码的方式就是其中的一种形式。也就是知道一些因子证明你之后,还可以知道一些其他因素来证明你是你,进行第二次因子认证。
AI时代,随数学中的加密、解密提供的各种算法和技术不断趋近成熟,在加上计算能力的增强,使得身份认证的安全不会被现有资源所破解,兼顾易用的同时具有灵动性。不但可以鉴别用户,知道用户拥有什么,还可以对用户进行画像,哪怕没有用户名、密码,也没有身份证书,也可以快速知道是哪个用户。
当然,安全是相对不是绝对,任何密码理论上都是完全可以破译,只要有足够的时间和预算能力。
或许,当量子计算机出现,现在身份认证领域里所有的技术,都有可能被瞬间破解。这时就要靠人为去干预,不断采用新技术,更新现有防范措施,安全才会得以保障。
混合云环境下,身份认证的挑战与业界应对方法
现在乃至未来,我们将看到越来越多的大中小企业将业务迁移到云端,同时这些企业也会根据自身需求,尝试采用来自不同云计算提供商(如AWS、微软Azure、阿里云等)的云服务组合。
混合云环境下,身份认证的挑战和以前有很大的不同,主要有以下五点:
- 云之间是异构的,很多方面的认证机制不一样。
- 企业之间的应用不同,技术架构、组织架构也不同,服务云上的服务也完全不一样。
- 异构系统身份如何打通。
- 不同的异构系统,安全程度也参差不齐,如何在统一的平台服务中,做身份认证,保证所有的应用都很安全的被访问。
- 任何时间、地点用任何设备,都能被安全认证。
对于业务应对这些挑战有何通用的方案,王伟表示,当下中国公司还处于云身份认证的初级阶段,这方面的方案相比要弱于欧美一些。欧美一些大公司最常见的做法是把传统本地部署身份认证方法搬到云上,可原传统方式不可链接的其他云服务,上云后依旧不可以解决各云之间连接的问题。
所有的解决方案身份认证的技术都是相同的,想SAML、open ID connect 、Kerberos,但行业中的解决方案各有不同,如何最有效的把不同的体系集成在一起,实现在任何地点、时间,设备,让用户得到一个易用、安全的云身份认证体验。
面对混合云环境下,身份认证的这些挑战,企业级云身份认证服务应需而生。意指在于助力企业实现身份统一云管理,更安全的连接每个用户、应用、设备及文件。
融入深度学习的身份认证 自动化的同时更加灵动
在整个服务过程中,会融入深度学习技术,不断分析用户使用情况,建立使用模型、为用户提供画像。针对危险行为,第一时间报警,由系统全程自动化的快速解决问题。当然,还是有极少的特殊情况是需要人为干预的。
自动化对于当下的IT管控极其重要,整个背后基于以下三点:
- 应对攻击,构建已知威胁模型。
- 针对不同环境,构建不同的风险模型。
- 为每一个系统用户做画像
这三点的集合,再通过整个深度学习和相应的模型自动化,来为整个生命周期进行实时的安全。最大化客户的安全保障之下,还要给用户较好的体验,但安全和体验是相互矛盾的、想越安全越痛苦,要想越方便就越不安全,两者之间的平衡点很难把控。基于各种模型,再加深度学习,实现平衡点在安全和体验之间灵动。
【被访人简介】
现任玉符科技CTO,首席架构师并联合创始人。负责核心技术架构的设计研发。对身份认证授权和RTC协议等领域具有深厚的技术积累和对未来市场发展的洞察力。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
