【51CTO.com原創(chuàng)稿件】黥刑，秦漢時期廣泛使用的一種刑法，就是于罪犯身體的某個部位刺字并染色，這也是一種身份認(rèn)證的方式。時至今日，我們用到的身份認(rèn)證方式大致可分為生物識別、證物和密碼這三類識別。就原理而言，這些識別方式早在幾千年就以應(yīng)用，隨時間推移有了長足的發(fā)展，尤其是與信息技術(shù)融合之后，在體驗(yàn)、安全性等方面都有了顛覆性的變化。

近日，在身份認(rèn)證授權(quán)和RTC協(xié)議等領(lǐng)域有深厚技術(shù)積累的玉符科技CTO王偉，接受了51CTO的專訪。大家就互聯(lián)網(wǎng)初期至今身份認(rèn)證技術(shù)的發(fā)展歷程、混合云環(huán)境下身份認(rèn)證的挑戰(zhàn)與應(yīng)對方案進(jìn)行了深入的探討。

[[218124]]

互聯(lián)網(wǎng)到AI時期，身份認(rèn)證技術(shù)的演變

從身份認(rèn)證角度來講，不同時期采用的技術(shù)有很大差別，也有少數(shù)技術(shù)被從最初延續(xù)到現(xiàn)在還在被使用，但在使用過程中不斷進(jìn)化。

互聯(lián)網(wǎng)初期：MD5、hash、Kerbero、SAML

最初的身份認(rèn)證，僅僅是對賬號，采用MD5、不同hash等技術(shù)進(jìn)行最基本的加密、解密。內(nèi)網(wǎng)盛行時期，采用Kerbero、federation、SAML等等協(xié)議，支撐身份管控所有相關(guān)的服務(wù)。

Kerbero協(xié)議，用于Ticketing時期，當(dāng)是通過系統(tǒng)認(rèn)證后，開始為用戶授發(fā)一個Ticket。用戶可以憑借Ticket訪問各個子系統(tǒng)。

OASIS組織的SAML和微軟支持的WS-Federation，是聯(lián)合身份認(rèn)證中的兩大標(biāo)準(zhǔn)，兩者主要區(qū)別在于SAML直接使用XML加密和XML簽名，意味著其可以和REST協(xié)同工作，而WS-Federation則需要SOAP。WS-Federation是WS一系列的協(xié)議其中之一，解決不同體系之間的賬號互相Trust，互相做聯(lián)合的協(xié)議。

SAML是一個非常典型的用于身份認(rèn)證的標(biāo)準(zhǔn)，發(fā)展至今仍有很多公司在使用。 SAML本身有各種復(fù)雜的配置，可以在不同場景中使用。目前只有少數(shù)大公司支持有限的幾種配置，這樣一來，如果理解和學(xué)習(xí)了這個協(xié)議，做聯(lián)合時很容易。

后互聯(lián)網(wǎng)時期：Open ID Connect、多因子

后互聯(lián)網(wǎng)或當(dāng)前這個互聯(lián)網(wǎng)時代以后，基于XML的SAML臃腫不足日益凸顯，欲解決一個很小的問題，令牌（Token）的整個有效載荷（Payload）非常龐大。雖然時間和不同用戶證明了毋庸置疑的安全性，但在新型互聯(lián)網(wǎng)公司，大部分人開始覺得SAML不太適應(yīng)現(xiàn)在的需求。

Open ID Connect是一個類SAML的標(biāo)準(zhǔn)，優(yōu)勢在于基于較成熟的OAuth授權(quán)協(xié)議且相對較輕量化，趨勢非常迅猛，新公司普遍采用這個標(biāo)準(zhǔn)。

AI時期：多因素、量子計算

多因子認(rèn)證也開始逐漸被認(rèn)可，驗(yàn)證碼的方式就是其中的一種形式。也就是知道一些因子證明你之后，還可以知道一些其他因素來證明你是你，進(jìn)行第二次因子認(rèn)證。

AI時代，隨數(shù)學(xué)中的加密、解密提供的各種算法和技術(shù)不斷趨近成熟，在加上計算能力的增強(qiáng)，使得身份認(rèn)證的安全不會被現(xiàn)有資源所破解，兼顧易用的同時具有靈動性。不但可以鑒別用戶，知道用戶擁有什么，還可以對用戶進(jìn)行畫像，哪怕沒有用戶名、密碼，也沒有身份證書，也可以快速知道是哪個用戶。

當(dāng)然，安全是相對不是絕對，任何密碼理論上都是完全可以破譯，只要有足夠的時間和預(yù)算能力。

或許，當(dāng)量子計算機(jī)出現(xiàn)，現(xiàn)在身份認(rèn)證領(lǐng)域里所有的技術(shù)，都有可能被瞬間破解。這時就要靠人為去干預(yù)，不斷采用新技術(shù)，更新現(xiàn)有防范措施，安全才會得以保障。

混合云環(huán)境下，身份認(rèn)證的挑戰(zhàn)與業(yè)界應(yīng)對方法

現(xiàn)在乃至未來，我們將看到越來越多的大中小企業(yè)將業(yè)務(wù)遷移到云端，同時這些企業(yè)也會根據(jù)自身需求，嘗試采用來自不同云計算提供商(如AWS、微軟Azure、阿里云等)的云服務(wù)組合。

混合云環(huán)境下，身份認(rèn)證的挑戰(zhàn)和以前有很大的不同，主要有以下五點(diǎn)：

• 云之間是異構(gòu)的，很多方面的認(rèn)證機(jī)制不一樣。
• 企業(yè)之間的應(yīng)用不同，技術(shù)架構(gòu)、組織架構(gòu)也不同，服務(wù)云上的服務(wù)也完全不一樣。
• 異構(gòu)系統(tǒng)身份如何打通。
• 不同的異構(gòu)系統(tǒng)，安全程度也參差不齊，如何在統(tǒng)一的平臺服務(wù)中，做身份認(rèn)證，保證所有的應(yīng)用都很安全的被訪問。
• 任何時間、地點(diǎn)用任何設(shè)備，都能被安全認(rèn)證。

對于業(yè)務(wù)應(yīng)對這些挑戰(zhàn)有何通用的方案，王偉表示，當(dāng)下中國公司還處于云身份認(rèn)證的初級階段，這方面的方案相比要弱于歐美一些。歐美一些大公司最常見的做法是把傳統(tǒng)本地部署身份認(rèn)證方法搬到云上，可原傳統(tǒng)方式不可鏈接的其他云服務(wù)，上云后依舊不可以解決各云之間連接的問題。

所有的解決方案身份認(rèn)證的技術(shù)都是相同的，想SAML、open ID connect 、Kerberos，但行業(yè)中的解決方案各有不同，如何最有效的把不同的體系集成在一起，實(shí)現(xiàn)在任何地點(diǎn)、時間，設(shè)備，讓用戶得到一個易用、安全的云身份認(rèn)證體驗(yàn)。

面對混合云環(huán)境下，身份認(rèn)證的這些挑戰(zhàn)，企業(yè)級云身份認(rèn)證服務(wù)應(yīng)需而生。意指在于助力企業(yè)實(shí)現(xiàn)身份統(tǒng)一云管理，更安全的連接每個用戶、應(yīng)用、設(shè)備及文件。

融入深度學(xué)習(xí)的身份認(rèn)證 自動化的同時更加靈動

在整個服務(wù)過程中，會融入深度學(xué)習(xí)技術(shù)，不斷分析用戶使用情況，建立使用模型、為用戶提供畫像。針對危險行為，第一時間報警，由系統(tǒng)全程自動化的快速解決問題。當(dāng)然，還是有極少的特殊情況是需要人為干預(yù)的。

自動化對于當(dāng)下的IT管控極其重要，整個背后基于以下三點(diǎn)：

• 應(yīng)對攻擊，構(gòu)建已知威脅模型。
• 針對不同環(huán)境，構(gòu)建不同的風(fēng)險模型。
• 為每一個系統(tǒng)用戶做畫像

這三點(diǎn)的集合，再通過整個深度學(xué)習(xí)和相應(yīng)的模型自動化，來為整個生命周期進(jìn)行實(shí)時的安全。最大化客戶的安全保障之下，還要給用戶較好的體驗(yàn)，但安全和體驗(yàn)是相互矛盾的、想越安全越痛苦，要想越方便就越不安全，兩者之間的平衡點(diǎn)很難把控?；诟鞣N模型，再加深度學(xué)習(xí)，實(shí)現(xiàn)平衡點(diǎn)在安全和體驗(yàn)之間靈動。

【被訪人簡介】

現(xiàn)任玉符科技CTO，首席架構(gòu)師并聯(lián)合創(chuàng)始人。負(fù)責(zé)核心技術(shù)架構(gòu)的設(shè)計研發(fā)。對身份認(rèn)證授權(quán)和RTC協(xié)議等領(lǐng)域具有深厚的技術(shù)積累和對未來市場發(fā)展的洞察力。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】