——HID Global公司高管详解融合身份认证管理
在移动互联网和物联网进入大发展时期的当下,人们已经意识到,越来越多的设备变得智能、可以接入网络,将给人类社会的信息安全体系带来严重威胁。
智能设备的广泛使用,让攻击点变得更加广泛,给了攻击者更多的可乘之机。对于用户而言,如何确保自己的设备不被恶意控制,保障自己的信息和应用安全,成为不可避免的话题。
在移动互联网和物联网上旷日持久的攻防战中,身份认证是一个桥头堡。如果没有强壮的身份认证机制,如果攻击者可以轻松绕过身份认证机制进行操作,比如对受害者的账户进行转账,比如通过受害者的移动设备下载公司的机密资料……就会让用户在享受移动互联所带来的生活和工作便利的同时,产生不小的安全隐忧。
验证的五个层面
HID Global公司大中华区营销总监赵建邦认为,身份认证是非常重要的一个环节。以银行业为例,用户在进行账户操作时系统就需要进行多个层面的认证,才能保证用户的信息和资金安全。“HID Global的ActivID身份验证产品就为普及实现可信网上交易的真正多因子验证提供五个关键层面验证。”赵建邦指出,这五个层面的验证包括:用户验证、设备验证、渠道验证、交易验证和应用验证。
放弃简单的密码而使用强大的用户验证是网上银行安全的基础。赵建邦指出,最佳验证用户方法是双因子身份验证,即至少集成以下方法中的两种:用户所知的东西(如ID或静态密码),用户拥有的东西(如移动设备、USB Key或OTP动态密码),用户所具备的特征(如生物识别或行为识别特征)。
一旦确定了用户的身份,验证用户是否正在使用“已知”的设备非常重要。具有代理检测和地理定位等要素的复杂设备识别被认为更安全。
对于验证渠道,必须包括预防性网页恶意程序控件(如实时的恶意程序检测、主动强化的浏览器等)。而使用带外数据(Out Of Band,OOB)验证是验证交易的有效方式之一。
此外,验证应用对于手机银行业务尤为重要。该层保护移动设备上用于提供敏感信息的应用。该应用必须在结构上获得强化,并且能够使用最终用户的凭证卡执行双重身份验证。添加该层可实现端到端的保护,使网络罪犯的犯罪活动更加困难,成本更加高昂。
此外,ActivID欺诈检测服务的另外一大重要特点便是对用户完全透明。受保护应用程序不需要下载任何的插件、不改变用户现有的登录习惯,ActivID欺诈检测服务默默地保护用户的安全,且适用于包括平板、手机等在内的计算机平台,也适用于这些平台的一系列浏览器。同时ActivID欺诈检测也兼容现在的动态令牌、USB-Key和卡终端等,并支持云端服务保证黑客名单实时更新。总体来说,HID Global通过多层策略体现了强大的身份认证。
“该分层方法使金融机构能够以方便、递增的方式增加对网上欺诈的防护,从而安全地访问网上服务和云应用。HID Global通过集成式身份验证平台提供统一的方法,这样组织可以轻松地管理众多用户和不同设备的凭证卡,同时提供始终如一并且便利的保护,从而抵御金融机构在全球范围内面临的最新欺诈问题。”赵建邦表示,分层战略可以提高安全性,同时确保银行根据特定的威胁级别和客户的偏好,使用风险适当的解决方案。此外,使用支持多种渠道和多种用户群体的公共平台也会降低分层网上银行安全解决方案的总体拥有成本。
不仅用于金融行业
事实上,不仅是手机银行的身份验证,也不仅是在金融行业,HID Global一直在致力于构建融合的安全身份解决方案,可以实现用户在门禁、桌面登录、支付等多个领域的身份统一认证。赵建邦指出,HID Global融合安全身份解决方案以Seos技术为基础。“不管是软件还是硬件,都可以支持Seos。Seos技术允许其他技术使用相同的语言进行交流,同时防止各个平台之间交流的信息遭到未经授权的窃取。它具有灵活、可移植、安全、私密、可适应性和可行性等特点。”赵建邦说。
据了解,由Seos提供支持的HID Global iCLASS SE平台基于OSDP双向通信等行业标准,采用动态技术取代静态技术,可确保安防功能不受硬件和介质的影响,并确保基础架构更容易在现有功能基础上进一步发展,从而能够适应和应对不断变化的威胁。
iCLASS SE平台还通过双重身份验证和带密钥的密码保护机制增强安全性,并且使用安全消息传送协议,该协议在由互操作产品组成的安防生态系统内的可信通信平台上实现。此外,Seos技术能够将任何使用无线技术(如NFC或蓝牙)的智能设备变成可信的凭证卡。因此,智能手机现在可以接收数字证卡和密钥,并且将证卡和密钥“出示”给iCLASS SE读卡器,该智能手机还可以产生一次性动态密码(OTP),用于安全地登录至另一台移动设备或台式电脑,用于访问网络或云应用和Web应用。
融合的安全身份管理
通过Seos解决方案,用户完全可以把手机这样的智能设备作为身份认证工具,用手机开门,进入授权区域,再获得授权登录计算机工作站,签署和加密电子邮件和文档……以前在科幻电影中常见的场景慢慢变成了现实。这一切都可以使用HID Global融合的身份认证解决方案来完成。将更多的设备纳入到身份认证体系中来,进行更加广泛的融合安全身份管理,HID Global的解决方案在未来的物联网时代更加具有想象空间,也更加能够解决物联网时代人们面临的日益严重的安全威胁挑战。
“我相信,物联网的普及应用将推动NFC等新一代安全身份管理技术的应用。我们可以通过将物品贴上NFC/RFID标签来确定其独特的身份,从而可以在日后通过非接触读卡器或任何NFC智能电话或平板电脑来方便地验证,从而为用户提供物联网时代的验证和安全保障。”赵建邦告诉记者。
本报记者 程彦博
……