首先，這對(duì)于眾多開(kāi)發(fā)者來(lái)說(shuō)算是個(gè)好消息。開(kāi)發(fā)人員現(xiàn)在能夠基于企業(yè)級(jí)技術(shù)層面在開(kāi)發(fā)的apps上加密重要數(shù)據(jù)。 Identity Mixer，是一款能夠在用戶(hù)登錄各類(lèi)網(wǎng)站平臺(tái)或apps時(shí)，提供平臺(tái)所需用戶(hù)身份認(rèn)證信息(該信息是經(jīng)過(guò)加密，且僅僅只是提供所需要信息，不會(huì)額外提供其他信息)，且能確保用戶(hù)個(gè)人數(shù)據(jù)安全的工具，目前已經(jīng)對(duì)開(kāi)發(fā)人員開(kāi)放了。

Identity Mixer的目的

該工具功能是通過(guò)IBM的云服務(wù)BlueMix實(shí)現(xiàn)的，目的是為了針對(duì)各網(wǎng)站平臺(tái)或者apps的開(kāi)發(fā)者，去降低、控制他們平臺(tái)的用戶(hù)數(shù)據(jù)可能因遭受黑客攻擊而導(dǎo)致泄露的風(fēng)險(xiǎn)。開(kāi)發(fā)者可以通過(guò)將Identity Mixer嵌入到他們的apps中，去解決目前在應(yīng)用安全方面面臨的各種安全問(wèn)題，如后臺(tái)數(shù)據(jù)庫(kù)遭拖庫(kù)，這個(gè)應(yīng)該算是屢見(jiàn)不鮮的。目前也迫切地需要一個(gè)系統(tǒng)能夠?qū)@些遭到竊取的數(shù)據(jù)進(jìn)行有效保護(hù)，而Identity Mixer的目的就是在保護(hù)這些用戶(hù)數(shù)據(jù)上。

根據(jù)IBM Identity Mixer 開(kāi)發(fā)者 Zurich所說(shuō)，

Identity Mixer是IBM將近10年來(lái)的研究成果，可以幫助用戶(hù)最大限度減少因在平時(shí)的各種網(wǎng)絡(luò)活動(dòng)中(如登錄某網(wǎng)站，線(xiàn)上平臺(tái)交易等)，因需身份認(rèn)證所需的授權(quán)，將個(gè)人的身份信息完全地暴露出來(lái)，從而可以導(dǎo)致較高的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

作為開(kāi)發(fā)者之一，來(lái)自Brown University的計(jì)算機(jī)科學(xué)教授Dr. Anna Lysyanskaya所說(shuō)，

實(shí)際上，該系統(tǒng)已經(jīng)在今年1月份的時(shí)候就開(kāi)始試運(yùn)行。

Identity Mixer的作用

它是基于云平臺(tái)進(jìn)行運(yùn)行的，通過(guò)相應(yīng)的加密算法，將用戶(hù)的個(gè)人數(shù)據(jù)進(jìn)行加密，然后將其中相對(duì)應(yīng)的數(shù)據(jù)與第三方apps或者網(wǎng)站平臺(tái)進(jìn)行共享。所以，如果某個(gè)服務(wù)需要輸入你的年齡，那么Identity Mixer只允許將年齡信息傳遞給apps，不會(huì)提供其他額外的數(shù)據(jù)。

例如訂閱Netflix賬戶(hù)需要年滿(mǎn)18周歲并且必須生活在特定地區(qū)，用戶(hù)可以使用Identity Mixer作為一種加密的ID卡，而不需要在Netflix界面輸入個(gè)人信息。如果Netflix公司被黑客攻擊，發(fā)生信息泄露黑客可能得知用戶(hù)是18到100歲之間，但也僅此而已。

目前Identity Mixer的應(yīng)用情況

在試運(yùn)行階段， 德國(guó)和澳大利亞作為Identity Mixer的一個(gè)大的試點(diǎn)進(jìn)行研究。在澳大利亞，它被用來(lái)保障農(nóng)產(chǎn)品出口數(shù)據(jù)的安全，因合作商需要獲取農(nóng)產(chǎn)品的物理位置，所以Identity Mixer將只會(huì)提供遠(yuǎn)程物理位置給到合作伙伴。在德國(guó)，紅十字會(huì)(The German Red Cross)，或者紅十字勛章組織( Deutsches Rotes Kreuz)，將Identity Mixer應(yīng)用在保護(hù)室內(nèi)傳感器收集的信息、醫(yī)療記錄和家庭合約等數(shù)據(jù)的安全上。

Identity Mixer與傳統(tǒng)身份認(rèn)證方法的區(qū)別

我們可以簡(jiǎn)單了解下Identity Mixer和傳統(tǒng)的身份認(rèn)證方法的區(qū)別

如上圖，第一種方法，一般來(lái)說(shuō)，有三個(gè)角色，一個(gè)是在線(xiàn)身份提供者或者證書(shū)發(fā)行者(可以是證書(shū)機(jī)構(gòu)等)，一個(gè)是用戶(hù)，一個(gè)是身份驗(yàn)證者，每一次用戶(hù)進(jìn)行身份驗(yàn)證時(shí)，發(fā)行人將為驗(yàn)證者明確要求的用戶(hù)身份的各種屬性提供認(rèn)證證明，但發(fā)行人卻逐步成為系統(tǒng)中的瓶頸，因?yàn)樗梢愿櫵杏脩?hù)的交易數(shù)據(jù)處理。目前來(lái)說(shuō)，按照這一方法的應(yīng)用例子包括OpenID，facebook登錄連接和安全斷言標(biāo)記語(yǔ)言(SAML)定義的安全域之間的交換數(shù)據(jù)和授權(quán)認(rèn)證。

如上圖，第二種方法，用戶(hù)預(yù)先從發(fā)行人那里得到證書(shū)，接下來(lái)就無(wú)需發(fā)行人進(jìn)一步的認(rèn)證。這樣可以避免第一種方法中“無(wú)所不知”的發(fā)行人記錄下用戶(hù)蹤跡信息的情況，但它的缺點(diǎn)是，采用經(jīng)典的加密算法，用戶(hù)往往需要在不同的驗(yàn)證者之間的每個(gè)認(rèn)證中，都提供自己身份與所有的屬性的認(rèn)證證明，這樣增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。這類(lèi)應(yīng)用例子比較典型的包括X.509客戶(hù)端證書(shū)等。

而Identity Mixer相對(duì)來(lái)說(shuō)提供了兩全其美的解決辦法：發(fā)行人沒(méi)有參與在認(rèn)證過(guò)程中，但同時(shí)，用戶(hù)可以根據(jù)驗(yàn)證者需要選擇只發(fā)送相對(duì)應(yīng)信息屬性，并同時(shí)確保不鏈接在與他們的交易中。

結(jié)語(yǔ)

目前，不管是從國(guó)內(nèi)還是國(guó)外的各大安全事件來(lái)看，用戶(hù)數(shù)據(jù)泄露仍然為各大企業(yè)面臨的一大威脅，而對(duì)用戶(hù)數(shù)據(jù)做好保護(hù)，比如通過(guò)加密的方式進(jìn)行，會(huì)是一種合適的選擇。當(dāng)然，海量的數(shù)據(jù)加密涉及的各類(lèi)影響因素仍然需要企業(yè)進(jìn)行權(quán)衡。

Identity Mixer的演示demo及相關(guān)信息鏈接為：Identity Mixer

關(guān)于加密算法方面的代碼可以參考 GitHub上的project：GitHub