在安全領(lǐng)域，很少有人不知道RSA。1977年，由Ron Rivest、Adi Shamirh和LenAdleman在(美國麻省理工學(xué)院)開發(fā)的RSA，作為最有影響力的公鑰加密算法，已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。而其背后的RSA公司歷經(jīng)幾次變化，最終在2006年被EMC收購，成為RSA，EMC信息安全事業(yè)部。

2012年11月22日，EMC信息安全事業(yè)部RSA中國區(qū)資深技術(shù)顧問馮崇彪主持了“探尋可信、安全登錄之謎”的技術(shù)研討會。會上，他深度分析了四種主流身份認(rèn)證的特點(diǎn)，并就RSA身份認(rèn)證決策樹做了演示，希望可以通過RSA開放接口與更多安全企業(yè)以及安全領(lǐng)域的開發(fā)者一起構(gòu)建滿足不同企業(yè)安全需求的生態(tài)系統(tǒng)。

對比四種主流身份認(rèn)證

在他看來，來自桌面的移動終端的復(fù)雜多樣，BYOD(Bring Your Own Device)接入的新需求，與來自數(shù)據(jù)中心端的虛擬化廣泛應(yīng)用與云計(jì)算的落地實(shí)踐，還有來自更為高級的網(wǎng)絡(luò)與黑客威脅，使得企業(yè)正面臨越加嚴(yán)重的安全威脅。這其中，身份認(rèn)證最為困難，但需求最為迫切。

這不難理解。企業(yè)最初僅需要對內(nèi)部員工實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)設(shè)備和遠(yuǎn)程設(shè)備的管理，但現(xiàn)在不僅要對員工，還需要對合同工、代理商、客戶等各類客戶，包括手機(jī)、平板、PC和筆記本以及其他接入工具要實(shí)現(xiàn)統(tǒng)一管理，復(fù)雜度呈指數(shù)增長。不止如此，曾經(jīng)只存在企業(yè)內(nèi)部服務(wù)器是數(shù)據(jù)如今也可能分布在公共云和Hosted應(yīng)用上，多源管理難度更大。所以，要實(shí)現(xiàn)業(yè)務(wù)協(xié)同，任何時(shí)候從任意設(shè)備訪問信息，保護(hù)內(nèi)外敏感數(shù)據(jù)和用戶訪問業(yè)務(wù)安全，提升生產(chǎn)力，強(qiáng)身份認(rèn)證必不可少。

目前主流身份認(rèn)證主要有以下四種：

OTP、基于風(fēng)險(xiǎn)、PKI和動態(tài)基于知識的四類認(rèn)證方式對比圖

一次性密碼(OTP)，通過雙因素認(rèn)證的各類組合實(shí)現(xiàn)對一個人行為的判別。目前用的較多的是靜態(tài)密碼+令牌組成的。其中令牌可以是時(shí)間型(一分鐘內(nèi)有效)，也可以是現(xiàn)在銀行中常用的動態(tài)口令卡，U盾等。

基于風(fēng)險(xiǎn)的認(rèn)證，更多可以看為依照風(fēng)險(xiǎn)的高低而采用多重技術(shù)手段的統(tǒng)一。比如對于普通賬號和VIP賬號之間采用不同認(rèn)證方式;通過用戶使用習(xí)慣設(shè)定驗(yàn)證信息(如IP地址轉(zhuǎn)移需要再次認(rèn)證等)。而這些對于風(fēng)險(xiǎn)的判斷都是在后臺完成的。這張圖很好說明了現(xiàn)有安全方式的統(tǒng)一。

第三是數(shù)字證書(PKI)，通過申請證書，進(jìn)行激活來實(shí)現(xiàn)認(rèn)證。比如銀行與游戲廠商經(jīng)常使用的U盾中存儲的個人信息就是數(shù)字證書。

第四是動態(tài)的基于知識的認(rèn)證，通過詢問客戶問題的方式來認(rèn)證用戶。問題庫是基于現(xiàn)實(shí)中公共數(shù)據(jù)資源和商業(yè)數(shù)據(jù)資源，通過用戶提前輸入作儲備，登錄時(shí)通過對相關(guān)回復(fù)做驗(yàn)證的方式來確認(rèn)。

RSA身份認(rèn)證決策樹支持不同需求

基于風(fēng)險(xiǎn)的認(rèn)證更受重視

四類認(rèn)證在市場上各有應(yīng)用群。但結(jié)合國際越來越重視基于風(fēng)險(xiǎn)的認(rèn)證的趨勢，馮崇彪認(rèn)為，“建立基于風(fēng)險(xiǎn)的分析是所有認(rèn)證解決方案的基礎(chǔ)”。針對不同的用戶群，應(yīng)該有一套可以提供廣泛認(rèn)證技術(shù)、方法和平臺可以滿足獨(dú)特需求的靈活選擇方案。這其中，既包含可為不同用戶群提供強(qiáng)身份認(rèn)證，也包含提供不同認(rèn)證方式以及認(rèn)證流程，及端到端認(rèn)證方案。

為此，RSA推出了針對小型和中企業(yè)的RSA Authentication Manager Express，企業(yè)級用戶的RSA Authentication Manager，企業(yè)級-消費(fèi)者應(yīng)用的RSA Adaptive Authentication，大型機(jī)構(gòu)的RSA Digital Certificate Services和面向B-C市場機(jī)構(gòu)的RSA Identity Verification。更為創(chuàng)新的是，企業(yè)用戶只需要通過一個工具，回答以下幾類問題，就能確定自己需要的哪一種類型的RSA身份認(rèn)證決策樹的方案。

您是否控制最終用戶的環(huán)境?

訪問是否僅限于web應(yīng)用?

您的身份認(rèn)證是否需要對文件加密?

身份認(rèn)證方法是否要提供交易監(jiān)控和其他檢測?

開發(fā)者有機(jī)會與RSA合作

移動互聯(lián)與云計(jì)算催生了各類生態(tài)系統(tǒng)，安全也不例外。RSA身份認(rèn)證決策樹可以幫助用戶簡化操作，但在接口方面仍需更多開發(fā)協(xié)作。馮崇彪表示：“對企業(yè)而言，一般存在三個層面的集成：客戶端、中間層應(yīng)用端和后臺認(rèn)證端?？蛻舳朔矫?，RSA有各類認(rèn)證設(shè)備，比如針對BYOD可以提供軟件認(rèn)證方式來滿足各類硬件的需求，同時(shí)也會提供KPI和開放結(jié)果，比如與AppStore來做集成。中間層，有些應(yīng)用已經(jīng)內(nèi)嵌了RSA的認(rèn)證技術(shù)，通過RSA自適應(yīng)身份認(rèn)證直接做配置即可實(shí)現(xiàn)認(rèn)證;對客戶自己研發(fā)的應(yīng)用或系統(tǒng)，則需要通過RSA開放接口來認(rèn)證。以業(yè)內(nèi)較為關(guān)注的信息防泄露為例，RSA認(rèn)證系統(tǒng)可以和第三方的信息防泄露集成，把認(rèn)證集成到信息防泄漏系統(tǒng)的登錄認(rèn)證中，名單可以通過官網(wǎng)面去看，而針對于不同的信息防泄露，有很多直接可以跟RSA的認(rèn)證系統(tǒng)集成(RSA Ready)，個性化需求則可以通過雙發(fā)的技術(shù)部門來與RSA開發(fā)接口對接來完成。后臺認(rèn)證，RSA提供了各類認(rèn)證方式來滿足不同企業(yè)的需求。”

對于集成所涉及的改造代碼等工作，馮崇彪說：“做接口，動態(tài)口令和自適應(yīng)認(rèn)證等方面，如RSA出一個接口與企業(yè)端應(yīng)用集成所需要工作不大，但是數(shù)字證書則要多一些。RSA的接口和文檔都是開放的，也希望與國內(nèi)更多安全廠商和安全領(lǐng)域的開發(fā)者一起合作，共同為不同企業(yè)的安全需求提供更加周到的服務(wù)”。