安全认证如何选择 软件认证或取代硬件令牌?

日期: 2011-07-05 作者:刘平 来源:TechTarget中国

3月18日,RSA遭遇了APT攻击,SecureID被偷。在漫长的近三个月后,RSA对此作出确切的回应,表示将更换SecurID令牌,因为其最大的客户们在针对政府承办商的攻击中受害,他们认为这与双因素认证机制有关。   这一事件将我们忽略的令牌安全问题摆了出来,安全认证成为热点话题。如何保证数据安全?如何实现有效的身份认证和访问管理?在各大厂商均提出令牌更换服务的同时,我们该如何选择?安全认证会又如何发展?带着这些疑问,近日,本站记者专访了CA Technologies亚太区高级认证总监Andy Lee先生。

  软件认证的优势   CA Technologies公司在四月份的时候曾推出了CA……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

3月18日,RSA遭遇了APT攻击,SecureID被偷。在漫长的近三个月后,RSA对此作出确切的回应,表示将更换SecurID令牌,因为其最大的客户们在针对政府承办商的攻击中受害,他们认为这与双因素认证机制有关。

  这一事件将我们忽略的令牌安全问题摆了出来,安全认证成为热点话题。如何保证数据安全?如何实现有效的身份认证和访问管理?在各大厂商均提出令牌更换服务的同时,我们该如何选择?安全认证会又如何发展?带着这些疑问,近日,本站记者专访了CA Technologies亚太区高级认证总监Andy Lee先生。

  软件认证的优势

  CA Technologies公司在四月份的时候曾推出了CA ArcotID安全软件认证更换计划,软件认证与硬件令牌非常不同,什么是软件认证?它有什么优势?它是否会在未来替代硬件令牌?

  对此,Andy Lee表示,提到硬件令牌有几个事情大家可以做参考,第一件事情,过去这么多年,我们在跟客户交流的时候,大家都有一个共识,带一个额外的硬件令牌非常的不方便。仅是从使用者的经验上来说,当令牌没带的时候,比如说一个企业用它的令牌来看邮件,你没有这个硬件令牌,真的是束手无策,完全没有办法。而软件认证则可以解决使用者方便性的问题。

  第二点,用户数据的隐私性。当一个安全性的产品,你提供的厂商那里还存有一部分你的秘密时,你一定会感到不安,害怕数据泄漏。这方面,软件认证是完全不知道你的秘密是什么的。

  第三点,还有一个安全领域里比较重要的事情是公开性,假如你的计算方法不能公开的,这本身就是一个秘密了,而这个秘密是有部分人知道的,这样一来,这个人或者这一群人就变成泄密的关键点。而安全是你应该看到这一切,CA Technologies的算法就是完全公开的来做的。

  另外一点,这是更有利的。硬件令牌没办法漫游,所谓的漫游是说,硬件令牌是实体的,我今天摆在家里就在家里。而Arcot ID是安全软件认证,所以可以在Arcot的服务器上也存有一份用户的资料。比如说你今天出门,没带电脑(手机不带的情况不太大)。假设在机场,你需要连接你公司的网络,Arcot可以让你漫游一份到浏览器的记忆体里面,假如说你有Arcot server,你可以用各种形式,比如说你发一个临时性密码的短信,让它能够暂时性地发一份Arcot ID到你的记忆系统,让你一次性地使用。当你用完,看完邮件以后,把浏览器给关了,这个Arcot ID就没了。

  Arcot OTP也是针对这点,Arcot OTP是利用你的手机或者iPad的处理系统,能够把你的令牌摆在你的随身携带的平台上面。如果是硬件令牌没带放在家里,大部分情况下,今天可能不上网银了,假如手机没有带的话,很多人可能会回家拿,因为手机是生活的一部分。Arcot OTP的最主要的针对的就是这种移动平台。比起Arcot OTP,Arcot ID是基于PKI 的认证,它可以做更多的事情。比如满足数字签名的需要,文件处理的需要等等。

  运用Flash解决软件认证发展的阻碍

  软件认证尽管有如此多的好处却没有得到大量的普及,这是为什么呢?

  Andy Lee谈到了软件认证发展开始遇到的阻碍。什么样的阻碍呢?你用一个软件不管是笔记本或者台式机,做认证这些事情的时候,需要运行一些软件。那你就必须买存储软件,对很多客户来说,这是一件很麻烦的事情。尽管你的软件再容易安装,或者他们有人用Java F的形式,它都会影响到用户体验。用户会思考软件来自哪里?能不能信任?很多人一看到选择框时,第一件事就是看哪个是NO,然后点下去,根本不看里面的内容,这样一来,软件认证没办法工作。

  CA Arcot一开始也在挣扎这个事情怎么样来解决,直到后来Adobe变成Arcot的投资人,Adobe又收购了Micro media,大家用的Flash是由他们来提供的。然后Arcot就想到了用Flash来做分发渠道,因为Flash在全球的台式机和手提电脑的占有率超过了99%。

  这样一来,对使用者而言,什么东西都不需要安装,可以直接使用。我觉得这种方式更合适,也许在一个企业里,企业的IT可以强制性的或帮助性的让员工在他的机器上面安装一套软件。但是针对消费大众,比如银行的客户,没有办法做这件事情,完全要依赖消费大众他们有没有办法做这个安装的工作。现在,我们把这套手续移除掉,这个就形成了及时使用,不需要任何损耗。我觉得这个从实用性来讲,应该是一个很大的长处。

  软件漏洞对对软件认证的影响

  问:您刚才说把它嵌入到Adobe的Flash中,前一阵Adobe的Flash漏洞有很多,黑客攻击也特别多,Flash软件的安全问题对安全认证是否有影响?

  Andy Lee:我们只是运算的软件利用它这个来做分销渠道。所以它的安全性跟我们的认证是不影响的。我稍微解释一下不影响的原因,如果你使用一个软件的方式来保护一个东西,比如说私钥,通常你会让使用者选一个他想用的保护方式。举个例子,假如说现在有一句话是“我们今天早上10点开会”,这句话用一个密码‘123’来保护。所谓的保护,就是安全区域某种形式的密码。如果你用‘456’来试的话,它出来的结果是没有意义的乱码。直到你拿‘123’试的时候,出现了这句话。那么你就知道保护这句话的密码是‘123’。在安全领域,我可以尝试任何组合的密码做这样的攻击,直到我攻击成功为止。

  在密钥保护方面也是这样,直到有一个结果出来,符合它的数学特征,那就是试功了。Arcot ID的关键保护原理在于,不管你怎么试,试出来的结果都是有意义的。用刚刚的例子,“我们今早上10点开会”,你拿‘123’可以显示出来,你拿‘456’的时候,它将显示“我们中午12点吃饭”,你用‘789’,显示“我们下午六点下班”。每一个都是有意义的,所以你攻击时无从晓得到底窃取成功没有。它使用的方式是从服务器上做一个数字签名。签完以后送回服务器,服务器拿你的公钥来,公钥试这个数字签名对不对,我在服务器端就知道你用的是错的私钥。只有在服务器端这个可以被检测。这点非常重要,我之前说,机场的那种情况下把你的文件保存在浏览器记忆系统里面去,就算有人把你的浏览器记忆系统给偷了,他拿了你的Arcot ID的复制品,他来做这个离线的东西也没办法试。你在别人的机器上面放置一个复制品,人家也没办法试。你无法知道你试的结果是对是错。我们在1999年IT会议上面发表了关于这方面的文章。没有秘密,所有东西都是公开的,我们怎么做的,什么样的形式完全是公开存在的。

  软件认证对硬件令牌的挑战

  问:现在硬件令牌市场普及率很高,贵公司的这种形式,我觉得还是挺有挑战的,对市场也是一种震撼吧。

  Andy Lee:我想我们的出发点最主要是针对客户,因为很多客户他们有这样的疑虑,我们至少能够让他们有一个安心的解决方案。昨天听说国内有一家很大的银行,已经买了14000万令牌,你说把这14000万个令牌,全部替换掉需要多少钱。对于硬件令牌的更换不是那么容易做的。

CA Technologies的Andy Lee

图为坐在采访会议室的Andy Lee

  云计算趋势下的云认证

  Andy Lee表示,CA ArcotID安全软件认证主要为云计算服务。Arcot很早就在做云认证了,现在全球以我们的产品来保护的认证已经超过一亿五千万。

  目前我想说,大部分人在考虑云计算时,第一件考虑的事情就是安全。怎么样有足够的安全?我们一开始就做这方面的事情。我想云计算已经是不可避免的趋势,就跟当初有人说不需要,传统的客户服务器运转好好的。现在有谁敢这样说。

  软件认证或取代硬件令牌?

  在问到安全认证的趋势时,Andy Lee说道,“我想中国有一句俗话,一种米养百样人。比如说在某些情况下,你公司只有50个人,那你觉得每个人发个令牌没什么了不起的,很容易。在这个规模很小的情况下,选择性非常多。公司只有5个人,你可以用指纹,读视网膜。假如说到了比较大一点的层面,你就得考虑大部分人的方便性,怎么样照顾到给他们硬件令牌的安全性。硬件令牌是有它的历史原因的,没有人质疑它安全性怎么样,人们觉得手上握一个东西,感觉很安全。所以我觉得这个事情应该是见仁见智的,有的企业需要考虑安全性,假如有比硬件更安全,更方便的使用的话,他当然会做这样的考虑。”

  此外,他还补充道,“从另外一个角度来看,也许你保护的东西没有这么严格,你的安全性要求没这么高。大部分人一直不停在关注目前的安全性够不够。我想说,以后的趋势,当然我们是很希望大家能够替换,使用我们的方案,但完全替换可能还要一段时间。就像用钥匙,现在很多人也在用房卡,目前都是并存的。

  成本比较:软件方案和硬件方案

  任何技术的实施,成本都是其中一个重要的因素,那么相比于硬件方案,软件方案的成本是否有优势呢?

  Andy Lee说道,“我想从硬件的成本上面来看,大家在比的时候,一个令牌多少钱,然后再跟软件比。事实上,这样比是不太对的。你想想,一个硬件的令牌我当初在设定之后怎么发给使用者。假如是企业的员工进办公室领一个,没有代价。可是你想想要是谁买谁领的话,谁来发这个令牌?令牌要存在哪里?需不需要一个库存系统?。很少有人对这些一开始分发的成本进行计算。”

  “针对消费者大众的话,我今天用快递,用邮包寄给你,国内的邮寄成本不太高。假如到英国去,你寄一个令牌,大概五六英镑。你寄这个令牌的时候,不可能拿平信,要挂号,收的人要签名,这个成本又很高。而软件在开销上面,是能够帮助一个企业,或者消费大众降低成本的。”

  “其次,我们说令牌损失的比率,大家以为不太高,事实上还挺高的。你掉了一个令牌以后还得再发一个,这又是一个成本。你用的令牌假如出了问题,可能是电池没了,现在不能用,那你打电话到客服中心,客服中心的人为了支援这个问题,又是一个成本。这些成本没有计算在里面,,其实隐形的成本相当高。而一个软件认证形式的存在,这些都是不需要开销的。全部是你自己可以完成的事情。所以我觉得从成本效益(性价比)来讲,软件认证远远高于令牌。”

  如何平衡安全性与便捷性

  目前,就CA ArcotID安全软件认证产品来说,在金融,银行以及生物医疗等传统领域都有得到应用。还有一些新的领域,比如说社交网络,网络游戏。Andy Lee还谈到了各个地区,国家在这方面的使用差别,每个国家在法律执行力和成熟度方面都有很多不同。

   “在国内,很早以前在网银这部分有所谓的银监会颁布的命令。可是它当初颁布命令,一开始说拿金额来限制,你单笔交易不能超过一千元,当日交易总额不能超过五千人民币。假如超过的话,你需要来做双重身份认证,这是一个很好很好的初衷。”Andy Lee说,“我想有很多大众版的用户,绝对是想用专业版的功能。可是他又有点无奈,万一在三家银行都有账户,每一家买一个令牌,好几百块钱的事情,而且身上带着三个令牌,口袋里一大包。我想政府一开始有这样的法律,是从银行的角度要考虑对消费者要有足够的保护。但是否考虑到他们使用上面的方便性呢。”

   “我想这个情形会慢慢好转。我记得一开始的时候,几年以前跟银行交谈的时候,他们的关注方向,比如说五年前,一致在安全上,其他事情都不考虑。什么东西最安全,我就用什么。最近开始有人考虑,要足够安全,可是同样使用者的经验也是很重要的”他补充道。

  最后,Andy Lee表示,“在安全领域,安全性和便捷性通常也需要平衡。这个平衡点在哪里,我想对我们安全技术组来说,我们会做到一个完美的平衡。”

  关于Andy Lee先生

  Andy先生现任CA Technologies亚太区高级认证总监。他曾在Arcot,PeopleSoft,Vantive,Lucent/Avaya和Mosaics等公司担任高级技术和管理职位,并拥有超过18年的企业软件系统开发经验。在他负责监管公司亚太地区以前,他曾任Arcot公司研究与开发总监,负责安全商业系统研发。CA Technologies收购Arcot之后,他现在领导CA Technologies亚太区高级认证解决方案部。

作者

刘平
刘平

相关推荐