關(guān)于身份驗證系統(tǒng)如何發(fā)揮作用以提供本地和國際不同部門之間的信任和互操作性，行業(yè)人士存在一些不同的觀點。與此同時，這些解決方案應(yīng)確保適當?shù)碾[私水平。需要采用全面的安全工具和措施來應(yīng)對威脅，例如某些特權(quán)參與者在身份驗證生態(tài)系統(tǒng)中濫用權(quán)力。

問題的國際范圍

當前的身份管理方法存在許多薄弱環(huán)節(jié)，這些薄弱環(huán)節(jié)成為網(wǎng)絡(luò)犯罪分子的目標。此外，這些孤立的系統(tǒng)沒有整合或重疊，這使執(zhí)法機構(gòu)無法在國際層面上進行協(xié)調(diào)。

在這一點上，身份驗證的方法正在轉(zhuǎn)變。安全專業(yè)人員提出了新的原則，開發(fā)了輔助技術(shù)，并指定了測試這些服務(wù)的新方案。

現(xiàn)代身份驗證服務(wù)的實施與各行業(yè)各個部門之間的交互程度密切相關(guān)。高端解決方案已經(jīng)在企業(yè)層面和國家層面上創(chuàng)建，但是其中大多數(shù)忽略了互操作性的需求。一些行業(yè)專家正在積極討論這些問題，以試圖找到相關(guān)的解決辦法。

下一代身份驗證系統(tǒng)可以應(yīng)對相關(guān)領(lǐng)域的安全問題，例如通過人工智能算法進行身份識別，然而新的風險也在不斷出現(xiàn)。

商業(yè)和數(shù)字服務(wù)正變得越來越相互關(guān)聯(lián)。數(shù)字交易要求不同系統(tǒng)之間有足夠的信任和保密性，這只能通過統(tǒng)一的身份解決方案來實現(xiàn)。換句話說，全球各地的組織需要創(chuàng)建一個統(tǒng)一的數(shù)字身份模型來降低安全風險。

安全身份驗證的風險

下一代身份驗證系統(tǒng)的發(fā)展將使社會在關(guān)鍵領(lǐng)域越來越依賴這項技術(shù)。因此，針對這種環(huán)境的網(wǎng)絡(luò)攻擊將不斷升級。惡意行為者將試圖發(fā)現(xiàn)并利用設(shè)備和識別機制中的漏洞來訪問敏感數(shù)據(jù)。

就是說，需要了解在這種情況下面臨的最大威脅以及破壞此類系統(tǒng)動機的不同方面。

• 內(nèi)部威脅。動機：服務(wù)中斷或獲利。偽裝成可信任個體的入侵者可以利用通過規(guī)避物理安全性獲得的訪問權(quán)限。
• 不道德的競爭。動機：獲得競爭優(yōu)勢。網(wǎng)絡(luò)犯罪分子可以利用內(nèi)部人員和其他第三方實施攻擊。
• 敵對國家的攻擊行為。動機：政治和經(jīng)濟利益。這種類型涵蓋間諜活動、帳戶接管、身份驗證系統(tǒng)入侵和監(jiān)視。
• 有組織的犯罪。動機：獲利。這些狡猾的措施和手段包括身份盜竊、賬戶接管、數(shù)據(jù)濫用、認證系統(tǒng)泄露、中間人(MITM)攻擊和文件偽造。
• 黑客行為。動機：影響企業(yè)目標，造成聲譽損害。帳戶接管和模擬，以及身份驗證和授權(quán)。

以下概述目前身份驗證系統(tǒng)的主要安全風險。

• 隱私：犯罪者可能會獲取大量個人數(shù)據(jù)，其中包括生物特征識別、行為和地理位置詳細信息。
• 完整性：破壞這些解決方案的完整性可能會減少生態(tài)系統(tǒng)參與者之間的信任。
• 可用性：網(wǎng)絡(luò)攻擊者可能試圖入侵身份驗證基礎(chǔ)設(shè)施，破壞參與者嚴重依賴的服務(wù)，從而造成級聯(lián)效應(yīng)。

在構(gòu)建安全的數(shù)字身份環(huán)境并確保這些服務(wù)的可用性和完整性時，信息安全專業(yè)人員將面臨新的挑戰(zhàn)。違約可能會帶來更嚴重的系統(tǒng)性后果，破壞參與者之間的信任，從而支持網(wǎng)絡(luò)空間的有效運行。

安全解決方案

未來的身份驗證將由分布式異構(gòu)基礎(chǔ)設(shè)施提供支持。信任和透明度以及服務(wù)的可靠性將在全球范圍內(nèi)發(fā)揮根本性作用。在這種模式下降低安全風險是一項復雜的任務(wù)，取決于集體方法。

除非以協(xié)調(diào)的方式解決所有安全問題，否則這項技術(shù)就無法發(fā)揮其全部潛力。信息安全專家需要參與開發(fā)一種用于數(shù)字身份驗證的防篡改技術(shù)。

這里有一些可能的方法來應(yīng)對在不久的將來可能面臨的挑戰(zhàn)。

(1) 保證、信任和透明度：身份驗證基礎(chǔ)設(shè)施組件的彈性是通過參與者之間所有交互的透明性來實現(xiàn)的。社區(qū)將需要了解這種系統(tǒng)中的信任級別，并準確衡量信任差距。這將有助于實施防御措施以保持完整性。

盡管在區(qū)域和國家兩級為自主身份驗證服務(wù)制定方法和安全標準方面取得了重大進展，但對于分布式身份框架仍沒有統(tǒng)一的標準，以確保不同網(wǎng)絡(luò)空間部門方法的兼容性，并建立良好的信任度。這些標準需要在國際范圍內(nèi)形成，借鑒以前的經(jīng)驗(開源代碼和FIDO或DID等聯(lián)盟)，并提供新的方法。

(2) 共享的管理原則：在國際范圍內(nèi)對身份驗證系統(tǒng)進行標準化和認證的共同努力將為所有參與者提供網(wǎng)絡(luò)安全的基線水平。例如，已經(jīng)為支付交易安全(PCI DSS)和航空業(yè)(SARP和ICAO)制定了此類標準。這些基本原則將為數(shù)字身份認證過程指定技術(shù)要求和性能標準，同時還要解決隱私挑戰(zhàn)。

最終用戶需要控制個人數(shù)據(jù)，并了解如何處理這些數(shù)據(jù)以及向誰傳輸這些數(shù)據(jù)。為企業(yè)和政治制定額外的激勵模型將鼓勵所有相關(guān)實體支持身份驗證服務(wù)的互操作性和創(chuàng)新，同時深入了解誰負責確保分布式環(huán)境不同部分的安全。

(3) 使參與者聚集在一起：將不同行業(yè)參與者聚集在一起將有助于探索其各個部門的互操作性，為制定管理原則以確保適當?shù)陌踩詣?chuàng)造激勵。這樣，就有可能選出身份驗證領(lǐng)域的主要實體(政府、私營部門、社會)和主要參與者(銀行、電信服務(wù)提供商、科技公司)。

這樣將為組織各部門之間的合作提供新的機會，不僅確定建立全球身份驗證基礎(chǔ)設(shè)施的主要障礙，而且還規(guī)避了這些障礙。經(jīng)濟、政治甚至危機因素(例如發(fā)生的冠狀病毒疫情)都強調(diào)了采取協(xié)作行動的必要性，并自然形成了下一代身份驗證服務(wù)。

(4) 合作運營安全性(OPSEC)：信息安全團隊必然要面對嚴峻的挑戰(zhàn)，保護未來分布式、異構(gòu)和固有的復雜身份驗證系統(tǒng)免受黑客及其惡意代碼的攻擊。這些應(yīng)該是數(shù)字身份領(lǐng)域所有安全專業(yè)人員的全新方法和協(xié)調(diào)行動。

隨著其他技術(shù)的發(fā)展和下一代身份驗證系統(tǒng)的部署，專家將需要考慮未來的潛在威脅。待辦事項清單上的一件事是確保適當水平的分布式組件量子加密。雖然某些檢測、跟蹤和消除欺詐活動的方法可用于隔離的身份驗證系統(tǒng)，但尚未為此類端到端解決方案創(chuàng)建這些方法。需要系統(tǒng)的風險和威脅建模，以考慮不同行業(yè)參與者的特權(quán)。

通用的事件報告框架將是評估當前風險和優(yōu)化事件響應(yīng)率的關(guān)鍵。在信息安全區(qū)層面的協(xié)調(diào)努力以及國際身份驗證安全標準和數(shù)據(jù)共享的制定，將確保生態(tài)系統(tǒng)所有成員的安全水平，并釋放下一代數(shù)字身份技術(shù)的真正潛力。