NSTIC建议顾客的身份数据通过类似的身份代理人来解决这个问题。像PayPal公司这样的身份代理人会允许每个用户注册、存储他们的个人身份信息,并且需要时,代表用户提交它们。在NSTIC架构下,经过认证的身份代理人将同因特网商户与其他身份代理人建立关系,所以当消费者被提示提供他/她的在线身份信息时,该商户会将消费者重定向给代理人。在这里消费者会提供强健的身份数据来核实他/她就是事实上请求鉴定的那个人,随后该代理人会和商户共享这个数据。
如今这个身份代理人的方法从技术上被许多厂商支持,但是各自以专有的方式进行。其中的一些主要商家像Google、Amazon、Apple和Microsoft使用集中化的身份店铺用于他们自己和业务伙伴的授权。但是尽管这个方法将人们必须维护的因特网身份数量降至最低,可它们的适用范围有限,并且他们仍然不得不依赖于标准的用户名/密码来认证某人的身份。
所以NSTIC的工作成果对于一般的企业来说意味着什么呢?尽管NSTIC正在努力致力于提高标准、流程和协议的适用级别,这些需要到位以便让可信第三方保护消费者身份。这首先会要求主要的商家、例如大型企业的认同。从道德上讲,任何在线商户应该全力保护它的消费者的在线身份及信息,但是从经济利益角度上这是没有激励性的。因为这让消费者轻易地在商户店面间再次使用他们的帐户,会为竞争对手打开市场大门。而且尽管NSTIC正在做出努力来减少位于美国的商户站点的欺诈事件,但是因特网已经向世界范围的市场打开,这让人们对因特网代理人能否跨越地理界限产生质疑。
还有一个企业如何能够为了他们自己的目标利用NSTIC工作成果?通常企业们必须为他们的员工定义一个唯一的身份并且发布不同的凭证。到目前为止,NSTIC的关注点一直是消费者使用:没有理由这些同样的身份不能访问像业务系统、电子邮件和保险金应用这样的公司资源。将消费者的身份信息和他/她的雇主共享可以减少一般人需要维护的凭证的总数。此外,通过使用NSTIC凭证,工作场所的欺诈访问也可能会减少,并且让企业为那些想远程办公、或者经常出差的员工提供更多的外部访问。
扩展性可能也是个问题。世界上有数不尽的公司和商户站点不是大型因特网商户。许多消费者继续在这些站点上创建他们的身份。将这些小型公司和商户的站点纳入这个架构,而且对于想参与其中的公司,让成本降低是一项棘手的问题。此外,消费者如何“强健地”认证仍是悬而未决的问题。所有的消费者会在邮箱中收到硬件口令牌么?要建立、分发和维护强健的凭证仍然价格不菲。理想情况下,随着NSTIC推动人们普遍接受它的身份模型,电子经济的规模效应会降低强认证技术的成本。
最后要考虑的一点、而且可能在大多数消费者的心目当中是最重要的:就是身份代理人怎么能够保护消费者的身份数据,以及如果这些代理人被入侵会发生什么事情。至少就那些小型站点来说,可能所有消费者的身份不会被侵害。但是身份代理人需要维护消费者全部的身份数据。这些数据的泄漏可能给消费者以及身份代理人造成影响深远的问题,甚至是迄今为止我们尚未遇到的。
因此,尽管NSTIC在说服小型和大型商户及企业踏上在线身份保护列车上仍然有很长的路要走,从理想上来讲,减少因特网身份盗窃和欺诈仍然会驱动市场在不远的将来接受它。
NSTIC的身份计划:身份代理人能阻止因特网身份盗窃么?
NSTIC的身份计划:身份代理人能阻止因特网身份盗窃么?(一)
NSTIC的身份计划:身份代理人能阻止因特网身份盗窃么?(二)
考虑下这个场景:你恰好在线购买了一双89美元的运动鞋。为了完成这个交易,你必须在商户的web站点输入你的个人身份信息并创建一个帐户——只是以防你以后打算从他们这里购买更多的鞋——使用的是你已经在其它无数站点一样的密码。
听起来熟悉么?生活在一个绝大多数食品、服务、业务和运营都已经转移到Web上的时代里,一个人会认为在数以亿计的消费者当中任何个人的在线身份和敏感信息会是安全的。好吧,重新考虑下。
在如今的因特网经济环境下,消费者难得面对面地与商户碰面。相反,顾客们被要求创建因特网身份,并且一次又一次地使用它以便购买食品和服务。尽管这个看起来是毫无坏处的,却会频繁地引起一个危险的问题:不像一个活生生的人可以在商铺购物,并且当使用他/她的信用卡时被验明真身;在因特网市场上购物的顾客们被要求创建一个“电子身份”以便从他们喜爱的在线商铺购买东西。如果某个有经验的窃贼获得这些详细信息,他们仅仅点击几下鼠标就能够轻易地盗窃你的身份。
从企业的角度来看,不仅是攻击者不断地努力收集此类身份数据(通常与信用卡和其它有价值的个人信息相关),同样还有不断发展的确保在线身份数据安全的挑战增加了业务运营的成本。为了解决这个和消费者欺诈相关的问题,美国商务部开始制定一个计划创建更为强健的因特网身份,在人口稠密的区域减少因特网身份盗窃和欺诈事件。这些努力的结果就是美国国家标准技术研究院(National Institute of Standards and Technology ,简称NIST)国家项目办公室成立“国家网络空间可信身份战略工程”(National Strategy for Trusted Identities in Cyberspace,简称NSTIC)。
该NSTIC工程由公众和政府人员联合组成,他们正在设计标准框架来尝试减少身份欺诈发生,让世界上的消费者安全地在线操作,无需不得不牢记各种各样的密码、或是携带多个安全口令牌。事实上,这个NSTIC工程正在改造进行在线身份验证的方式。对于NSTIC来说第一个主要交付是用于构建电子身份环境治理架构的建议文档。在2012年1月这个名为“用于构建电子身份环境治理的建议”的文档向公众发布,用于评审和考量。
该NSTIC身份建议的基本架构强调创建一个“身份代理人”,其遵循了现今因特网金融经纪人的运作方式。例如,如果某个消费者拥有一个PayPal的帐户,并且该消费者要购物的商户站点和PayPal公司有协议。这个消费者可以选择在当前商户的web站点输入他/她的支付信息,或者更为理想的是点击站点上的PayPal公司图标。如果他们选择后者,购物人被重定向到PayPal公司的web站点,在这里他/她登录、接受支付费用,然后再被重定向到商户的结账页面,该页面的支付信息显示为“全额支付完成”。无需消费者在该商户站点输入支付信息就可以完成一切操作。但是如果用户想在以后返回该商户站点购物时被辨认出来的话,他/她仍然必须向该商户直接提供个人身份信息,即使这些金融信息由第三方的金融经纪人(如PayPal公司)保管。
NSTIC的身份计划:身份代理人能阻止因特网身份盗窃么?
NSTIC的身份计划:身份代理人能阻止因特网身份盗窃么?(一)
NSTIC的身份计划:身份代理人能阻止因特网身份盗窃么?(二)
2000年左右互联网的普及带我们进入网络时代,2012年平板电脑和智能手机的普及带我们进入了即时通信时代。几年前,当我们探讨企业安全时,我们面对的环境相对单纯,涉及到的人往往仅是公司自己的员工,涉及到的设备仅仅是本地和远程办公室的部分终端,涉及到的访问点仅仅是网络或者VPN,涉及到的信息仅仅是服务器应用……而当我们刚刚设定好安全策略准备喘口气时,信息爆炸、即时通讯以及层出不穷的新型网络威胁惊扰了我们的“安枕梦”——内部外部各类用户需要使用企业数据,BYOD设备随处可见,访问点种类繁多越来越不可控,除了服务器应用外我们的很多信息还放到了公共云上……信息时代让我们体验便捷的同时让我们感到企业数据走在安全的边缘。在最近的一次“探寻可信、安全登录之谜”的技术研讨会上,TechTarget中国记者采访了EMC信息安全事业部RSA中国区资深技术顾问冯崇彪,了解如何构建强身份认证体系以保证当今企业的信息安全。
冯崇彪介绍说,相对现在的安全手段来说,传统的威胁不足为患,但现代黑客攻击方式不断升级,鱼叉式的钓鱼工具、宙斯木马、APT的攻击,也叫高级可持续性威胁等新型攻击方式挑战着企业的安全防护体系,对企业的威胁非常之大。另外,BYOD(Bring Your Own Devices)已经成为一种新的办公方式,员工通常习惯于通过自己的智能手机、Pad等方式随时随地接入企业数据进行办公,这无疑给黑客更多的可乘之机。第三个方面就在云和可管理服务方面,云和虚拟化带来的资源共享给企业带来便利的同时也给身份认证带来了更多挑战。
面对喷涌而来的新型威胁方式,传统的认证方式自然无法招架,于是,多种身份认证手段随之而生,冯崇彪对如下的认证方式进行了一一解析:
一次性密码 (OTP):OTP是由一个静态口令加上一个令牌组成。令牌码,如时间型的令牌码,在当前这一分钟之内有效,过了这一分钟就无效,这个口令用一次别人就不能再用了,所以叫做一次性口令。总体而言,这种一次性密码在很大程度上能够加强用户的身份认证的安全,是非常好的一种认证方式。
基于风险的认证:基于风险的认证就不是一刀切,需要根据用户行为或者动作来判断他的行为或者动作风险的高低,根据他风险的高低来判别使用什么样的认证方式。在这里,冯崇彪举了一个非常贴切的例子,比如到淘宝买东西,突然有一天系统发现交易的IP地址来自于美国或者英国,是国外的一笔交易,而且这个数额还跟你平时正常的交易额差异很大,这样风险就比较高,系统会立即弹出告警,询问你,这是不是你自己做的交易,或者如果发现明显异常,就直接阻断你的交易,这就叫做基于风险的交易,即根据不同情况进行判断。
数字证书 (PKI):即公钥体系架构。冯崇彪介绍说,数字证书的技术是基于PKI的架构,用户做认证,首先需要申请证书,激活之后这个证书可以用于做邮件的加密或者做用户的认证等各种方式,如像银行的U盾或者游戏厂商的USB证书,通过这种数字证书也可以保证认证的安全。数字证书的方式也是双因素,需要有一个静态密码,一个证书,证书有软件和硬件的证书。USB这种属于硬件证书,但缺点是它在使用的时候要插到USB口,经常插拔,一是容易损坏,二是容易遗忘。现在有高级的黑客程序,对于这种U盾也可以做到对其访问,当你输入密码的时候,可以直接把你的私钥拿走,然后就可以做后面黑客动作,所以安全也是相对的。
动态的基于知识的认证:即通过询问客户问题的方式认证用户。问题库是基于现实中公共数据资源和商业数据资源,这在我们日常进行签证、论坛空间访问时也经常遇到。
介绍完四种认证方式后,冯崇彪指出,对于不同的挑战我们需要采用不同的认证技术,上面谈到了四个方面的挑战,一是不同的用户群,二是BYOD,三是迁移到云和可管理服务带来的新的问题,四是高级威胁的挑战。对于这四种不同的挑战,我们需要采用不同的认证技术。比如一次性口令,对于不同的用户群可以有不同的认证选择。BYOD的一次性口令可以内嵌到手机里边去,或者软件令牌的方式嵌到设备里边去,这种方式可以用。在针对云的挑战的时候,一种是可以用OTP联合身份做集成。联合身份是什么意思呢?企业可能有多个不同的应用,这个应用有的是公司内部的,有的是合作伙伴的,有的是门户的等等,用这种联合身份的方式,一个人在系统里边只有一个身份,原来可能有不同的用户名,但是在联合身份里边,实际上是一个身份的方式,这个集成之后,只要在进门口时做一次性口令认证,进去之后就会单点登录进去。
另外基于风险的认证,针对四个不同方面的挑战,可以去无缝的和不同的用户群采用,基于他的行为特点去判断风险的峰值,风险的峰值高,认证强度就强,低的话就用低的认证方式。用户自己要去管理认证设备。
RSA认为针对不同挑战应采用不同的安全技术
就RSA本身而言,冯崇彪介绍说,RSA提供广泛的认证技术、方法及平台,来满足客户的特定需求。每个客户对于自己的身份认证都有不同的需求,RSA可以满足提供各种认证的技术、方法。比如,RSA针对于各行各业规模不同的机构,提供不同的认证方式,同时可以保护集成最广泛的应用和设备,为不同的用户群提供强身份认证,提供不同的认证方式的因素以及认证处理的流程,而且根据客户的预算来定制,可以做客户的端到端的认证解决方案。与此同时,RSA也在持续创新,关注市场,防范新的高级威胁。
为方便企业用户,RSA推出了身份认证决策树,帮助企业理解怎么样去选择认证的方式。冯崇彪介绍说,现在市场上各种认证方式非常多,认证设备也非常多,认证技术也非常多,对于企业来说,很难判断应该用什么样的认证方式对于我来说是最合适的,这个工具可以帮助您来做这方面的决策,对于用户来说,只需回答下面四个问题:
您是否控制最终用户的环境?
访问是否仅限于web应用?
您的身份认证是否需要对文件加密?
身份认证方法是否要提供交易监控和其他检测?
完成选项之后,系统会根据作答自动给出建议的解决方案。例如,进行作答之后,系统显示这其中基于知识的身份认证、软件令牌、移动设备上的软件令牌、基于风险的身份认证、短信令牌,以上这些是适合该企业的,这样企业就可以开始考虑这些方面。
企业的风险变幻莫测,企业安全身份认证方式也要随需而变。
本文来源:TechTarget中国 作者:吴迪