程彥博

智能設(shè)備的廣泛使用，讓攻擊點(diǎn)變得更加廣泛。在萬(wàn)物互聯(lián)的趨勢(shì)下，信息安全威脅顯得尤為嚴(yán)重。要在這樣的趨勢(shì)下實(shí)現(xiàn)設(shè)備和數(shù)據(jù)的安全，身份認(rèn)證是尤為重要的一環(huán)。如何確保所有的設(shè)備都能進(jìn)行融合的認(rèn)證管理，HID Global公司高管進(jìn)行了解釋。

在移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)進(jìn)入大發(fā)展時(shí)期的當(dāng)下，人們已經(jīng)意識(shí)到，越來(lái)越多的設(shè)備變得智能、可以接入網(wǎng)絡(luò)，將給人類(lèi)社會(huì)的信息安全體系帶來(lái)嚴(yán)重威脅。

智能設(shè)備的廣泛使用，讓攻擊點(diǎn)變得更加廣泛，給了攻擊者更多的可乘之機(jī)。對(duì)于用戶而言，如何確保自己的設(shè)備不被惡意控制，保障自己的信息和應(yīng)用安全，成為不可避免的話題。

在移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)上曠日持久的攻防戰(zhàn)中，身份認(rèn)證是一個(gè)橋頭堡。如果沒(méi)有強(qiáng)壯的身份認(rèn)證機(jī)制，如果攻擊者可以輕松繞過(guò)身份認(rèn)證機(jī)制進(jìn)行操作，比如對(duì)受害者的賬戶進(jìn)行轉(zhuǎn)賬，比如通過(guò)受害者的移動(dòng)設(shè)備下載公司的機(jī)密資料……就會(huì)讓用戶在享受移動(dòng)互聯(lián)所帶來(lái)的生活和工作便利的同時(shí)，產(chǎn)生不小的安全隱憂。

驗(yàn)證的五個(gè)層面

HID Global公司大中華區(qū)營(yíng)銷(xiāo)總監(jiān)趙建邦認(rèn)為，身份認(rèn)證是非常重要的一個(gè)環(huán)節(jié)。以銀行業(yè)為例，用戶在進(jìn)行賬戶操作時(shí)系統(tǒng)就需要進(jìn)行多個(gè)層面的認(rèn)證，才能保證用戶的信息和資金安全?！癏ID Global的ActivID身份驗(yàn)證產(chǎn)品就為普及實(shí)現(xiàn)可信網(wǎng)上交易的真正多因子驗(yàn)證提供五個(gè)關(guān)鍵層面驗(yàn)證?！壁w建邦指出，這五個(gè)層面的驗(yàn)證包括：用戶驗(yàn)證、設(shè)備驗(yàn)證、渠道驗(yàn)證、交易驗(yàn)證和應(yīng)用驗(yàn)證。

放棄簡(jiǎn)單的密碼而使用強(qiáng)大的用戶驗(yàn)證是網(wǎng)上銀行安全的基礎(chǔ)。趙建邦指出，最佳驗(yàn)證用戶方法是雙因子身份驗(yàn)證，即至少集成以下方法中的兩種：用戶所知的東西（如ID或靜態(tài)密碼），用戶擁有的東西（如移動(dòng)設(shè)備、USB Key或OTP動(dòng)態(tài)密碼），用戶所具備的特征（如生物識(shí)別或行為識(shí)別特征）。

一旦確定了用戶的身份，驗(yàn)證用戶是否正在使用“已知”的設(shè)備非常重要。具有代理檢測(cè)和地理定位等要素的復(fù)雜設(shè)備識(shí)別被認(rèn)為更安全。

對(duì)于驗(yàn)證渠道，必須包括預(yù)防性網(wǎng)頁(yè)惡意程序控件（如實(shí)時(shí)的惡意程序檢測(cè)、主動(dòng)強(qiáng)化的瀏覽器等）。而使用帶外數(shù)據(jù)（Out Of Band，OOB）驗(yàn)證是驗(yàn)證交易的有效方式之一。

此外，驗(yàn)證應(yīng)用對(duì)于手機(jī)銀行業(yè)務(wù)尤為重要。該層保護(hù)移動(dòng)設(shè)備上用于提供敏感信息的應(yīng)用。該應(yīng)用必須在結(jié)構(gòu)上獲得強(qiáng)化，并且能夠使用最終用戶的憑證卡執(zhí)行雙重身份驗(yàn)證。添加該層可實(shí)現(xiàn)端到端的保護(hù)，使網(wǎng)絡(luò)罪犯的犯罪活動(dòng)更加困難，成本更加高昂。

此外，ActivID欺詐檢測(cè)服務(wù)的另外一大重要特點(diǎn)便是對(duì)用戶完全透明。受保護(hù)應(yīng)用程序不需要下載任何的插件、不改變用戶現(xiàn)有的登錄習(xí)慣，ActivID欺詐檢測(cè)服務(wù)默默地保護(hù)用戶的安全，且適用于包括平板、手機(jī)等在內(nèi)的計(jì)算機(jī)平臺(tái)，也適用于這些平臺(tái)的一系列瀏覽器。同時(shí)ActivID欺詐檢測(cè)也兼容現(xiàn)在的動(dòng)態(tài)令牌、USB-Key和卡終端等，并支持云端服務(wù)保證黑客名單實(shí)時(shí)更新?？傮w來(lái)說(shuō)，HID Global通過(guò)多層策略體現(xiàn)了強(qiáng)大的身份認(rèn)證。

“該分層方法使金融機(jī)構(gòu)能夠以方便、遞增的方式增加對(duì)網(wǎng)上欺詐的防護(hù)，從而安全地訪問(wèn)網(wǎng)上服務(wù)和云應(yīng)用。HID Global通過(guò)集成式身份驗(yàn)證平臺(tái)提供統(tǒng)一的方法，這樣組織可以輕松地管理眾多用戶和不同設(shè)備的憑證卡，同時(shí)提供始終如一并且便利的保護(hù)，從而抵御金融機(jī)構(gòu)在全球范圍內(nèi)面臨的最新欺詐問(wèn)題。”趙建邦表示，分層戰(zhàn)略可以提高安全性，同時(shí)確保銀行根據(jù)特定的威脅級(jí)別和客戶的偏好，使用風(fēng)險(xiǎn)適當(dāng)?shù)慕鉀Q方案。此外，使用支持多種渠道和多種用戶群體的公共平臺(tái)也會(huì)降低分層網(wǎng)上銀行安全解決方案的總體擁有成本。

不僅用于金融行業(yè)

事實(shí)上，不僅是手機(jī)銀行的身份驗(yàn)證，也不僅是在金融行業(yè)，HID Global一直在致力于構(gòu)建融合的安全身份解決方案，可以實(shí)現(xiàn)用戶在門(mén)禁、桌面登錄、支付等多個(gè)領(lǐng)域的身份統(tǒng)一認(rèn)證。趙建邦指出，HID Global融合安全身份解決方案以Seos技術(shù)為基礎(chǔ)?！安还苁擒浖€是硬件，都可以支持Seos。Seos技術(shù)允許其他技術(shù)使用相同的語(yǔ)言進(jìn)行交流，同時(shí)防止各個(gè)平臺(tái)之間交流的信息遭到未經(jīng)授權(quán)的竊取。它具有靈活、可移植、安全、私密、可適應(yīng)性和可行性等特點(diǎn)?！壁w建邦說(shuō)。

據(jù)了解，由Seos提供支持的HID Global iCLASS SE平臺(tái)基于OSDP雙向通信等行業(yè)標(biāo)準(zhǔn)，采用動(dòng)態(tài)技術(shù)取代靜態(tài)技術(shù)，可確保安防功能不受硬件和介質(zhì)的影響，并確?；A(chǔ)架構(gòu)更容易在現(xiàn)有功能基礎(chǔ)上進(jìn)一步發(fā)展，從而能夠適應(yīng)和應(yīng)對(duì)不斷變化的威脅。

iCLASS SE平臺(tái)還通過(guò)雙重身份驗(yàn)證和帶密鑰的密碼保護(hù)機(jī)制增強(qiáng)安全性，并且使用安全消息傳送協(xié)議，該協(xié)議在由互操作產(chǎn)品組成的安防生態(tài)系統(tǒng)內(nèi)的可信通信平臺(tái)上實(shí)現(xiàn)。此外，Seos技術(shù)能夠?qū)⑷魏问褂脽o(wú)線技術(shù)（如NFC或藍(lán)牙）的智能設(shè)備變成可信的憑證卡。因此，智能手機(jī)現(xiàn)在可以接收數(shù)字證卡和密鑰，并且將證卡和密鑰“出示”給iCLASS SE讀卡器，該智能手機(jī)還可以產(chǎn)生一次性動(dòng)態(tài)密碼（OTP），用于安全地登錄至另一臺(tái)移動(dòng)設(shè)備或臺(tái)式電腦，用于訪問(wèn)網(wǎng)絡(luò)或云應(yīng)用和Web應(yīng)用。

融合的安全身份管理

通過(guò)Seos解決方案，用戶完全可以把手機(jī)這樣的智能設(shè)備作為身份認(rèn)證工具，用手機(jī)開(kāi)門(mén)，進(jìn)入授權(quán)區(qū)域，再獲得授權(quán)登錄計(jì)算機(jī)工作站，簽署和加密電子郵件和文檔……以前在科幻電影中常見(jiàn)的場(chǎng)景慢慢變成了現(xiàn)實(shí)。這一切都可以使用HID Global融合的身份認(rèn)證解決方案來(lái)完成。將更多的設(shè)備納入到身份認(rèn)證體系中來(lái)，進(jìn)行更加廣泛的融合安全身份管理，HID Global的解決方案在未來(lái)的物聯(lián)網(wǎng)時(shí)代更加具有想象空間，也更加能夠解決物聯(lián)網(wǎng)時(shí)代人們面臨的日益嚴(yán)重的安全威脅挑戰(zhàn)。

“我相信，物聯(lián)網(wǎng)的普及應(yīng)用將推動(dòng)NFC等新一代安全身份管理技術(shù)的應(yīng)用。我們可以通過(guò)將物品貼上NFC/RFID標(biāo)簽來(lái)確定其獨(dú)特的身份，從而可以在日后通過(guò)非接觸讀卡器或任何NFC智能電話或平板電腦來(lái)方便地驗(yàn)證，從而為用戶提供物聯(lián)網(wǎng)時(shí)代的驗(yàn)證和安全保障?！壁w建邦告訴記者。