压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

1.大風(fēng)起兮云飛揚

1993年，美國著名雜志《紐約客》的漫畫家施泰納創(chuàng)作了這樣一幅荒誕卻廣為流傳的漫畫，真切地體現(xiàn)了互聯(lián)網(wǎng)世界的公開性與匿名性。

“在互聯(lián)網(wǎng)上，沒有人知道你是條狗。”

科技雜志《連線》曾經(jīng)發(fā)表評論說：“網(wǎng)絡(luò)匿名會把人變成徹頭徹尾的混蛋。”

隨著全球全面進(jìn)入數(shù)字化時代，數(shù)字經(jīng)濟(jì)飛速發(fā)展。2020年，全球因網(wǎng)絡(luò)犯罪造成的損失總計超過一萬億美金，網(wǎng)絡(luò)犯罪給世界經(jīng)濟(jì)造成的損失超過全球GDP的1%；2021年，網(wǎng)絡(luò)黑灰產(chǎn)的市場效益將比肩世界第三大經(jīng)濟(jì)體。

毋庸諱言，安全成為保障經(jīng)濟(jì)數(shù)字化轉(zhuǎn)型平穩(wěn)健康發(fā)展的底座。可信性是所有安全最基礎(chǔ)的東西，解決的是軟件、硬件、數(shù)據(jù)和人員等作假的問題，依賴的主要是數(shù)字證書等技術(shù)和運營體系。身份是建立信任的基礎(chǔ)。

早在2018年，360就依托瀏覽器產(chǎn)品，極具戰(zhàn)略前瞻性地推行“360根證書計劃”，目前已覆蓋全球98%HTTP流量，成為中國唯一、全球第五大自有根證書庫。而后，360聯(lián)合統(tǒng)信軟件、多家國內(nèi)CA、網(wǎng)關(guān)廠商、Ukey廠商在2020年8月，再度共同發(fā)布“信創(chuàng)國密根證書計劃”，進(jìn)一步夯實了數(shù)字證書的安全根基。如今，進(jìn)一步將身份云列為安全大腦的云端基礎(chǔ)設(shè)施。

為什么身份云如此重要？

用戶的郵箱賬號、網(wǎng)盤賬號、QQ/微信賬號、支付寶賬號等等，實際都是“身份”，它不僅與數(shù)據(jù)信息相關(guān)，更涉及到財產(chǎn)安全，所以都需要配備口令（Password），目的就是為了證明這個“身份”是你的、是安全的，即在互聯(lián)網(wǎng)上證明“你是你”。

口令有巨大的安全風(fēng)險，因為口令很容易大規(guī)模被盜。可以通過網(wǎng)絡(luò)釣魚和社會工程偷取口令，且口令往往成千上萬地集中存儲在服務(wù)器上特容易被連鍋端。黑客可以下載口令數(shù)據(jù)庫，然后暴力破解掉這些加鹽散列的口令。大部分口令都是短小而簡單的，暴力破解往往非常有效。

簡單化身份管理面臨的問題：

1）隱私保護(hù)。個人的真實信息已經(jīng)普遍存在于網(wǎng)絡(luò)，而互聯(lián)網(wǎng)企業(yè)安全和隱私保護(hù)能力不足。隱私泄露事件頻發(fā)，危害巨大。網(wǎng)民迫切需要隱私保護(hù)，如果沒有隱私保護(hù)，網(wǎng)民使用網(wǎng)絡(luò)信心不足，可能會影響了整個“互聯(lián)網(wǎng)+”的發(fā)展進(jìn)程。

2）網(wǎng)絡(luò)欺詐。網(wǎng)民安全意識有限，身份保護(hù)能力不足，要靠專業(yè)機(jī)構(gòu)提高網(wǎng)絡(luò)安全水平。目前網(wǎng)絡(luò)欺詐呈高水平、多樣化，防不勝防。

3）網(wǎng)絡(luò)謠言。網(wǎng)絡(luò)謠言屢屢出現(xiàn)，真假難辯。一個是敵對勢力干擾，還有網(wǎng)民不負(fù)責(zé)任的傳播。現(xiàn)有監(jiān)督和追究手段不能適應(yīng)網(wǎng)絡(luò)發(fā)展，包括身份假冒、追究困難等等。

4）黑色產(chǎn)業(yè)鏈。網(wǎng)絡(luò)身份與現(xiàn)實身份綁定提升了身份價值，催生了黑色產(chǎn)業(yè)鏈。大量應(yīng)用需要真實.身份標(biāo)識，催生了身份標(biāo)識買賣。目前的安全技術(shù)還無法阻止虛假身份，身份.證在網(wǎng)上應(yīng)用亟待提高安全性。

小結(jié)：在數(shù)字經(jīng)濟(jì)時代，身份數(shù)據(jù)已成為爭先搶占的戰(zhàn)略資源。

2.萬丈高樓平地起

互聯(lián)網(wǎng)的開放性和匿名性使得安全問題越來越突出。認(rèn)證體制是網(wǎng)絡(luò)安全的第一道大門，它確保網(wǎng)絡(luò)傳輸?shù)男畔①Y源只能被合法用戶所訪問，因此身份認(rèn)證技術(shù)是整個信息安全的基礎(chǔ)。基于現(xiàn)代密碼技術(shù)，PKI和IBC是2種最典型和有效的認(rèn)證體制。

PKI認(rèn)證體制

PKI（Public Key Infrastructure，公開密鑰體制）是1976年由美國的Diffie和Hellman提出的一種新型密碼體制。PKI證書認(rèn)證體制是Kohnfelder于1978年在論文《發(fā)展一種實用的公鑰密碼體制》第一次明確定義數(shù)字證書，并把它作為身份可信憑證。

PKI的理論功能是基于公鑰密碼算法，通信者之間可以獲得帶有可信第三方簽名的證書，證書中含有通信者的工作公鑰。

在此基礎(chǔ)上，通信者通過別人的工作公鑰對信息進(jìn)行加密傳輸(加密信封)，通過自己的工作私鑰對信息進(jìn)行簽名；在此安全基礎(chǔ)上，通信者之間可以進(jìn)行密鑰交換，為對稱密碼算法(加解密速度更快快的密碼算法)實現(xiàn)密鑰共享。

簡單來說，PKI體制中，通過可信第三方CA簽發(fā)的證書綁定了證書所有者的身份信息與該所有者的公鑰；通信發(fā)起方獲得通信接收方的公開證書中的公鑰加密信息、通信接收方使用該公鑰對應(yīng)的私鑰解密信息；通信雙方可以用自己的私鑰對信息進(jìn)行簽名。注意：公私鑰是成對使用的。

實際應(yīng)用時，通常雙方都有2個公私密鑰對，分別用于加解密和簽名驗簽。密鑰管理（公私鑰管理）是PKI體制的安全核心。

一個完整的PKI一般包括：

證書權(quán)威(certificate authority，CA)、注冊管理中心(registration authority，RA)、終端實體、證書使用者、存儲證書和證書撤銷列表的數(shù)據(jù)庫系統(tǒng)(證書庫)及證書信任方等。

PKI在實際應(yīng)用上是一套軟硬件系統(tǒng)和安全策略的集合，它提供了一整套安全機(jī)制，使用戶在不知道對方身份或分布地很廣的情況下，以證書為基礎(chǔ)，通過一系列的信任關(guān)系進(jìn)行通信和電子商務(wù)交易等。

PKI安全策略建立和定義了一個組織信息安全方面的指導(dǎo)方針，同時也定義了密碼系統(tǒng)使用的處理方法和原則。它包括一個組織怎樣處理密鑰和有價值的信息，根據(jù)風(fēng)險的級別定義安全控制的級別。

一般情況下，在PKI中有2種類型的策略：

證書策略：用于管理證書的使用，比如：可以確認(rèn)某一CA是在Internet上的共有CA，還是某一企業(yè)內(nèi)部的私有CA；

認(rèn)證過程聲明CPS(Certificate Practice Statement)：這是一個包含如何在實踐中增強(qiáng)和支持安全策略的一些操作過程的詳細(xì)文檔。它包括CA是如何建立和運行的、證書是如何發(fā)行、接收和廢除、密鑰是如何產(chǎn)生與注冊、以及密鑰是如何存儲、用戶是如何得到密鑰等。

PKI數(shù)字證書在信息安全領(lǐng)域的典型應(yīng)用實例是HTTPS，使用SSL服務(wù)器數(shù)字證書實現(xiàn)安全的HTTP服務(wù)，解決Web服務(wù)的身份認(rèn)證（和安全傳輸）問題，成效非常顯著。

IBC認(rèn)證體制

1984年Shamir首次提出了IBC概念。

IBC（identity-based cryptograph，基于標(biāo)識的密碼體制）是在傳統(tǒng)的PKI基礎(chǔ)上發(fā)展而來。

IBC中每個人的公鑰就是他的身份標(biāo)識，比如E-mail地址、電話號碼等。而私鑰則以數(shù)據(jù)的形式由用戶自己掌握，密鑰管理相當(dāng)簡單，可以很方便地對數(shù)據(jù)信息進(jìn)行加解密。

IBC將用戶的身份標(biāo)識(如電子郵件地址、手機(jī)號碼)直接作為用戶的公鑰，用戶向一個稱為私鑰產(chǎn)生器PKG(Private Key Generator)可信第三方認(rèn)證自己的身份并獲得私鑰。

IBC加密解密

IBC簽名驗簽

IBC中用戶身份即是公鑰，公鑰本身就標(biāo)識了公鑰的主人是誰，實現(xiàn)了用戶公鑰和用戶身份的天然綁定，擺脫了對第三方簽發(fā)證書的依賴。身份標(biāo)識可以直接獲取，無需設(shè)置專門的容器存放，也無需采取安全措施防止篡改、替代，大大簡化了公鑰密碼的使用和管理過程。IBC中加密密文或驗證簽名只需要獲得一組系統(tǒng)參數(shù)和對方的身份，實現(xiàn)起來簡單、高效。

IBC可以采用短期密鑰的方法來解決密鑰撤銷問題，密鑰管理相對簡單。

雖然IBC能夠提供比PKI更加簡單易用的公鑰密碼服務(wù)，但是IBC比PKI對應(yīng)用環(huán)境有更多的限制。公鑰是用戶身份標(biāo)識這個特性，客觀上要求用戶身份標(biāo)識必須唯一，比較適合于在電子郵件、移動電話等具有唯一標(biāo)識符環(huán)境中使用。

另外，IBC的用戶私鑰是可信第三方產(chǎn)生的，存在密鑰托管的問題，不適合在大型開放式環(huán)境中應(yīng)用而適合在比較封閉的小型私有環(huán)境中使用。概括起來講，就是IBC適合在具有身份唯一標(biāo)識符的小型封閉式環(huán)境中使用。

相對于傳統(tǒng)PKI認(rèn)證，IBC有如下弱點：

1) 私鑰的密鑰托管問題

IBC密碼系統(tǒng)中用戶的私鑰由私鑰生成中心PKG生成的，用戶必須以完全信任PKG為前提，相信PKG不會閱讀秘密通信或偽造他們的簽名。因此密鑰托管局限性，使得它不適合在一些不允許密鑰托管的開放式場景下大規(guī)模應(yīng)用，不能滿足當(dāng)今網(wǎng)絡(luò)空間大規(guī)模的需求，包括大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)及移動通信等。

2) 生成私鑰的PKG負(fù)擔(dān)過重

在IBC認(rèn)證體系中，所有用戶的私鑰均由PKG負(fù)責(zé)生成，因此隨著系統(tǒng)的 擴(kuò)大或者用戶的增加，將會導(dǎo)致PKG負(fù)擔(dān)過重。

3) 認(rèn)證計算速度慢

與PKI認(rèn)證體制相比，計算速度慢。IBC認(rèn)證算法一般都是基于對(pairing) 構(gòu)造的，這使得計算相對來說較復(fù)雜，而且效率較低。

小結(jié)：當(dāng)前和未來很長一段時間，PKI數(shù)字證書認(rèn)證體制，仍是可信度和安全性最高、應(yīng)用范圍最廣的身份認(rèn)證手段。

3.道術(shù)將為天下裂

基于PKI的數(shù)字證書認(rèn)證體系，在移動互聯(lián)網(wǎng)場景下使用時面臨諸多挑戰(zhàn)，雖然有手機(jī)盾、SD Key等多種解決方案，但不能很好滿足移動設(shè)備場景下對認(rèn)證的需求。最大的問題是便利性和安全性難以兼顧。

同時，替代傳統(tǒng)口令的智能設(shè)備的強(qiáng)認(rèn)證方式種類繁多，包括USB Key、安全芯片、可穿戴設(shè)備、IC卡、指紋識別、虹膜識別、聲紋識別、人臉識別、掌紋識別等，用戶需要比口令更便捷的認(rèn)證方式。

FIDO(Fast IDentity Online，快速在線身份認(rèn)證)聯(lián)盟是全球性的行業(yè)協(xié)會，致力于不依賴“共享秘密”解決傳統(tǒng)口令（password）給認(rèn)證所帶來的弊端。

FIDO的優(yōu)勢如下：

將認(rèn)證方式與認(rèn)證協(xié)議分離；

支持盡可能多的認(rèn)證方式，充分利用現(xiàn)有硬件設(shè)備內(nèi)嵌的安全能力；

支持不同的安全級別，服務(wù)商能了解設(shè)備具有的認(rèn)證方式和能力并設(shè)置認(rèn)證策略；

保護(hù)用戶隱私，用戶信息不被泄露并無法被追蹤；

在所有用戶的而所有設(shè)備對所有應(yīng)用支持多樣化的認(rèn)證方式。

基于公私鑰對的非對稱加密體系，只在本地的可信執(zhí)行環(huán)境（TEE）中存儲用戶的生物特征信息，是FIDO相較于傳統(tǒng)認(rèn)證方式的兩個重要不同點。

FIDO支持兩種認(rèn)證協(xié)議，UAF和U2F。用戶的直觀體驗如下圖所示。

第一種情形，在智能設(shè)備上，用戶確認(rèn)交易時，可以利用智能設(shè)備的指紋識別功能完成用戶身份認(rèn)證；（無密碼體驗）

第二種情形，在PC端，用戶登錄輸入賬號密碼之外，還可以使用比如帶USB接口、或藍(lán)牙接口的FIDO指紋識別器進(jìn)行雙因子身份驗證。（雙因子體驗）

FIDO引入的認(rèn)證器是本地認(rèn)證與遠(yuǎn)端FIDO認(rèn)證服務(wù)之間安全通信的核心部件。

一方面，在本地安全硬件的支撐下完成方便靈活的本地身份認(rèn)證，獲得與應(yīng)用綁定的特定密鑰；同時使用UAF協(xié)議建立安全通道，使用該密鑰在FIDO服務(wù)器完成“在線身份認(rèn)證”。

從身份認(rèn)證體制的角度看，F(xiàn)IDO是立足于解決“安全性和便利性”痛點的新型身份認(rèn)證方案。“更簡單的部署和使用，以及更強(qiáng)力的安全性保障”（Simpler，stronger authentication），這是明顯的優(yōu)點。

另外，F(xiàn)IDO2.0正式發(fā)布后，通過標(biāo)準(zhǔn)化的Web API接口，瀏覽器提供商講天然實現(xiàn)對FIDO2.0的支撐；同時FIDO2.0還可以把手機(jī)作為基礎(chǔ)的身份認(rèn)證設(shè)備，提升認(rèn)證便捷性。

小結(jié)：FIDO以簡單易用的統(tǒng)一協(xié)議，成功替代口令（Password）這種安全性不足的認(rèn)證方式。

4.大道為公成大同

FIDO利用安全協(xié)議實現(xiàn)了用戶的快速身份認(rèn)證，從而證明用戶是該設(shè)備的合法使用者，但FIDO不能證明應(yīng)用使用者的真實.身份，特別是應(yīng)用需要高安全級別認(rèn)證時。所以，還需要結(jié)合數(shù)字證書實現(xiàn)第三方身份認(rèn)證。同時，使用合法的數(shù)字證書和密碼產(chǎn)品和服務(wù)，才能滿足我國密碼合規(guī)性等要求。

實際形成的方案即FIDO+數(shù)字證書的組合方案。

這種方式，需要在FIDO服務(wù)器后面增加數(shù)字證書相關(guān)的交互處理，從而獲得基于數(shù)字證書與電子簽名的合規(guī)性、法律有效性等能力。

當(dāng)FIDO組合PKI數(shù)字證書模塊之后，認(rèn)證結(jié)果可以綁定到數(shù)字證書，即可借助PKI認(rèn)證體制完成高可信身份認(rèn)證，徹底解決設(shè)備和用戶身份認(rèn)證的安全需求。

從功能劃分的角度，身份安全一般又可稱為身份與訪問管理（IAM）。根據(jù)Gartner的分類，IAM包含了身份管理、訪問管理、特權(quán)賬號管理以及身份認(rèn)證四個部分。身份是一切安全的基礎(chǔ)。

“零信任”代表的新一代安全模型，基于網(wǎng)絡(luò)安全邊界不再固定的實際情況，本質(zhì)是以身份為中心進(jìn)行動態(tài)訪問控制，牽引網(wǎng)絡(luò)安全架構(gòu)從過去的“網(wǎng)絡(luò)中心化”走向“身份中心化”，將成為安全行業(yè)的重要方向。

“身份中心化”，大勢所趨；身份云，未來可期。

說明：文章所有資料來源于網(wǎng)上公開材料，版權(quán)歸原作者所有。

編輯：老開。網(wǎng)絡(luò)安全從業(yè)者，關(guān)注以身份安全為核心的解決方案與產(chǎn)品。

本文章發(fā)布渠道為國密應(yīng)用研究院，轉(zhuǎn)載請注明。

轉(zhuǎn)載自FreeBuf.COM