RSA SecureID被窃事件已经过去有一段时间了，但是它在认证领域的影响却远没有结束。各大安全厂商纷纷审视自己的认证方案，并推出很多新的认证方式，认证产品的新浪潮正在袭来。或许没有最强的认证解决方案，在不同环境下选择最合适的才是最安全的，那么现在都有哪些认证方案？各方案的优缺点是什么?未来几年还有怎样的发展趋势？针对以上疑问，近日，本站记者采访了SafeNet亚太区副总裁陈泓先生。

　　两种不同的种子生成方案

　　陈泓先生首先介绍了一些SafeNet的整体情况，并对比了其他供应商提供的认证方案。可以从下面这两张图中看到。

　　在每一个OTP里都有一个种子文件，这个种子文件一定要在每一次认证的时候跟这个背后的OTP服务器进行签名，它是一个对称算法。通常供应商的做法是这样的，他们在给所有的客户发token（令牌）的时候，会在自己这里做编程然后把种子文件放进去，这个工作是在供应商自己这边来做的。然后他们会把这个种子文件保留在OTP认证的服务器上。

　　而如果这个种子文件被偷了，它的整个安全系统就崩溃了，因为任何拿到这个种子文件的骇客都可以去仿冒这些客户的身份。然后就可以非法的进入到这些客户的网络里去提取资料。“这就像把所有的鸡蛋都放在一个篮子里”，陈泓说道。

　　这方面，SafeNet的方案如上图所示，种子的生成不是在SafeNet这边完成的，而是在客户端做的。所以客户有能力去保证他的种子文件能够安全，当然他要设立很多的安全机制。而且如果说一个客户的安全有问题的话，是不会影响到别的客户的。

　　这两种方案的风险承担不同，用户需要认真考虑作出选择。

　　云计算与认证市场的趋势

　　陈泓认为市场的趋势主要有两个方面，第一，OTP令牌的厂商将有更好的控制力和管理力。针对市场一些新的变化，最明显的就是虚拟化的发展（云计算的普及现在还在初期阶段，与广泛的大众应用还有一些距离），虚拟化在私有企业和银行方面都得到了较好的发展。包括数据中心的整合，很多大企业现在为了节省资源会把很多的数据中心整合到一起，让它的分支机构远程登陆，也就是用web portals（网站入口）的形式去做远程的访问。这种情况越来越多，如何解决身份认证的问题跟传统的解决方式有很大的不同。

　　其次，SaaS的身份认证以前都是用浏览器去进入企业的网路，有一个演变就是从AD的网路慢慢转入远程的控制或者以云的方式进行身份认证。在这方面是会有很大的挑战。现在很多员工都有移动设备，如何控制这些设备对企业资源的访问是一个重要的问题。以前很简单的身份认证双因素的这种方式，可能需要有完整的可信的身份认证的环境。

　　陈泓表示，云计算趋势是必然的，那么安全认证在云计算趋势下的发展是什么呢？陈泓表示有以下四个方面：

• 虚拟化与云安全
• 下一代PKI的应用
• 身份认证解决方案
• 合规

　　而这四个方面也是SafeNet这两年发展的主要方向。整个安全市场的趋势主要是两点，陈泓说道，“更好的可控性和可管理性。”

　　问：有业内人士认为在云环境下的终端是最难管理的，反倒是云环境中的集中式服务器管理会容易一些。我不知道您怎么看这个观点？跟他们的商业模式有关吗？

　　陈泓：当然是终端最难管理。现在大家用手机、笔记本电脑各种不同的移动设备，你现在要上到云的环境，要如何控制跟管理呢？很难的。另一个方面，如何在供应商那边区分存储的身份。

　　光学认证方案和软件认证方案

　　现场，陈泓演示了一个光学交易签名。传统的令牌在确认交易时，要手动输入一些信息，用户可能会觉得很麻烦，光学令牌就省去了手动输入的操作。确认的时候，只要将令牌对着电脑或手机屏幕中闪烁的光源，令牌会自动识别所交易的信息，然后你再确认就可以了。这种方式也可以很好的避免中间人攻击。目前，这种新方案还没有在国内推行。

　　针对目前有厂商推出的软件认证方案，陈泓表示SafeNet也有软件认证的方案，不过软件认证会不会成为趋势现在讨论可能还为时过早。

　　不同的认证方案，满足不同的需求。在这个信息泛滥，公开隐私的互联网大时代，如何保护自己唯一的身份是一个越来越值得深思的问题。