程彥博

智能設(shè)備的廣泛使用，讓攻擊點變得更加廣泛。在萬物互聯(lián)的趨勢下，信息安全威脅顯得尤為嚴重。要在這樣的趨勢下實現(xiàn)設(shè)備和數(shù)據(jù)的安全，身份認證是尤為重要的一環(huán)。如何確保所有的設(shè)備都能進行融合的認證管理，HID Global公司高管進行了解釋。

在移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)進入大發(fā)展時期的當下，人們已經(jīng)意識到，越來越多的設(shè)備變得智能、可以接入網(wǎng)絡(luò)，將給人類社會的信息安全體系帶來嚴重威脅。

智能設(shè)備的廣泛使用，讓攻擊點變得更加廣泛，給了攻擊者更多的可乘之機。對于用戶而言，如何確保自己的設(shè)備不被惡意控制，保障自己的信息和應(yīng)用安全，成為不可避免的話題。

在移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)上曠日持久的攻防戰(zhàn)中，身份認證是一個橋頭堡。如果沒有強壯的身份認證機制，如果攻擊者可以輕松繞過身份認證機制進行操作，比如對受害者的賬戶進行轉(zhuǎn)賬，比如通過受害者的移動設(shè)備下載公司的機密資料……就會讓用戶在享受移動互聯(lián)所帶來的生活和工作便利的同時，產(chǎn)生不小的安全隱憂。

驗證的五個層面

HID Global公司大中華區(qū)營銷總監(jiān)趙建邦認為，身份認證是非常重要的一個環(huán)節(jié)。以銀行業(yè)為例，用戶在進行賬戶操作時系統(tǒng)就需要進行多個層面的認證，才能保證用戶的信息和資金安全?！癏ID Global的ActivID身份驗證產(chǎn)品就為普及實現(xiàn)可信網(wǎng)上交易的真正多因子驗證提供五個關(guān)鍵層面驗證。”趙建邦指出，這五個層面的驗證包括：用戶驗證、設(shè)備驗證、渠道驗證、交易驗證和應(yīng)用驗證。

放棄簡單的密碼而使用強大的用戶驗證是網(wǎng)上銀行安全的基礎(chǔ)。趙建邦指出，最佳驗證用戶方法是雙因子身份驗證，即至少集成以下方法中的兩種：用戶所知的東西（如ID或靜態(tài)密碼），用戶擁有的東西（如移動設(shè)備、USB Key或OTP動態(tài)密碼），用戶所具備的特征（如生物識別或行為識別特征）。

一旦確定了用戶的身份，驗證用戶是否正在使用“已知”的設(shè)備非常重要。具有代理檢測和地理定位等要素的復(fù)雜設(shè)備識別被認為更安全。

對于驗證渠道，必須包括預(yù)防性網(wǎng)頁惡意程序控件（如實時的惡意程序檢測、主動強化的瀏覽器等）。而使用帶外數(shù)據(jù)（Out Of Band，OOB）驗證是驗證交易的有效方式之一。

此外，驗證應(yīng)用對于手機銀行業(yè)務(wù)尤為重要。該層保護移動設(shè)備上用于提供敏感信息的應(yīng)用。該應(yīng)用必須在結(jié)構(gòu)上獲得強化，并且能夠使用最終用戶的憑證卡執(zhí)行雙重身份驗證。添加該層可實現(xiàn)端到端的保護，使網(wǎng)絡(luò)罪犯的犯罪活動更加困難，成本更加高昂。

此外，ActivID欺詐檢測服務(wù)的另外一大重要特點便是對用戶完全透明。受保護應(yīng)用程序不需要下載任何的插件、不改變用戶現(xiàn)有的登錄習(xí)慣，ActivID欺詐檢測服務(wù)默默地保護用戶的安全，且適用于包括平板、手機等在內(nèi)的計算機平臺，也適用于這些平臺的一系列瀏覽器。同時ActivID欺詐檢測也兼容現(xiàn)在的動態(tài)令牌、USB-Key和卡終端等，并支持云端服務(wù)保證黑客名單實時更新?？傮w來說，HID Global通過多層策略體現(xiàn)了強大的身份認證。

“該分層方法使金融機構(gòu)能夠以方便、遞增的方式增加對網(wǎng)上欺詐的防護，從而安全地訪問網(wǎng)上服務(wù)和云應(yīng)用。HID Global通過集成式身份驗證平臺提供統(tǒng)一的方法，這樣組織可以輕松地管理眾多用戶和不同設(shè)備的憑證卡，同時提供始終如一并且便利的保護，從而抵御金融機構(gòu)在全球范圍內(nèi)面臨的最新欺詐問題?！壁w建邦表示，分層戰(zhàn)略可以提高安全性，同時確保銀行根據(jù)特定的威脅級別和客戶的偏好，使用風(fēng)險適當?shù)慕鉀Q方案。此外，使用支持多種渠道和多種用戶群體的公共平臺也會降低分層網(wǎng)上銀行安全解決方案的總體擁有成本。

不僅用于金融行業(yè)

事實上，不僅是手機銀行的身份驗證，也不僅是在金融行業(yè)，HID Global一直在致力于構(gòu)建融合的安全身份解決方案，可以實現(xiàn)用戶在門禁、桌面登錄、支付等多個領(lǐng)域的身份統(tǒng)一認證。趙建邦指出，HID Global融合安全身份解決方案以Seos技術(shù)為基礎(chǔ)。“不管是軟件還是硬件，都可以支持Seos。Seos技術(shù)允許其他技術(shù)使用相同的語言進行交流，同時防止各個平臺之間交流的信息遭到未經(jīng)授權(quán)的竊取。它具有靈活、可移植、安全、私密、可適應(yīng)性和可行性等特點?！壁w建邦說。

據(jù)了解，由Seos提供支持的HID Global iCLASS SE平臺基于OSDP雙向通信等行業(yè)標準，采用動態(tài)技術(shù)取代靜態(tài)技術(shù)，可確保安防功能不受硬件和介質(zhì)的影響，并確保基礎(chǔ)架構(gòu)更容易在現(xiàn)有功能基礎(chǔ)上進一步發(fā)展，從而能夠適應(yīng)和應(yīng)對不斷變化的威脅。

iCLASS SE平臺還通過雙重身份驗證和帶密鑰的密碼保護機制增強安全性，并且使用安全消息傳送協(xié)議，該協(xié)議在由互操作產(chǎn)品組成的安防生態(tài)系統(tǒng)內(nèi)的可信通信平臺上實現(xiàn)。此外，Seos技術(shù)能夠?qū)⑷魏问褂脽o線技術(shù)（如NFC或藍牙）的智能設(shè)備變成可信的憑證卡。因此，智能手機現(xiàn)在可以接收數(shù)字證卡和密鑰，并且將證卡和密鑰“出示”給iCLASS SE讀卡器，該智能手機還可以產(chǎn)生一次性動態(tài)密碼（OTP），用于安全地登錄至另一臺移動設(shè)備或臺式電腦，用于訪問網(wǎng)絡(luò)或云應(yīng)用和Web應(yīng)用。

融合的安全身份管理

通過Seos解決方案，用戶完全可以把手機這樣的智能設(shè)備作為身份認證工具，用手機開門，進入授權(quán)區(qū)域，再獲得授權(quán)登錄計算機工作站，簽署和加密電子郵件和文檔……以前在科幻電影中常見的場景慢慢變成了現(xiàn)實。這一切都可以使用HID Global融合的身份認證解決方案來完成。將更多的設(shè)備納入到身份認證體系中來，進行更加廣泛的融合安全身份管理，HID Global的解決方案在未來的物聯(lián)網(wǎng)時代更加具有想象空間，也更加能夠解決物聯(lián)網(wǎng)時代人們面臨的日益嚴重的安全威脅挑戰(zhàn)。

“我相信，物聯(lián)網(wǎng)的普及應(yīng)用將推動NFC等新一代安全身份管理技術(shù)的應(yīng)用。我們可以通過將物品貼上NFC/RFID標簽來確定其獨特的身份，從而可以在日后通過非接觸讀卡器或任何NFC智能電話或平板電腦來方便地驗證，從而為用戶提供物聯(lián)網(wǎng)時代的驗證和安全保障。”趙建邦告訴記者。