RSA陈华：云计算环境呼唤强身份认证

RSA安全专家陈华工程师近日表示，可以兼容多种认证技术的平台身份认证解决方案将成为未来云计算环境下身份认证的主流平台，在当今复杂网络安全形势下强认证技术将越来越成为企业或组织的必然选择。

RSA安全专家陈华工程师

　当前，可以让使用者无限扩展资源的云计算技术，正在企业IT部门的重要考察对象之列。然而，安全因素是CIO们对云计算犹豫的主要因素之一。基于网络分配资源的云计算，面临诸多的安全挑战，如身份认证安全挑战、虚拟化安全挑战和数据安全挑战等。

陈华对IT专家网记者表示，从网络信息安全的身份认证、授权、保密性、完整性和不可否认等五个要素来看，现代身份认证技术是网络信息安全的基础，然而，静态口令仍然是目前最普遍使用的身份认证方式。然而，静态口令存在终身使用、复杂的易于忘记而简单的易于破解、难于管理、被第三方技术支持人员掌握等安全隐患。

对于近年来发生的多起信息安全事件，陈华认为，都与静态口令的不安全性有关。

陈华表示，最基本、最简单的口令问题已经成为网络安全最薄弱、最容易被忽视的问题。

由于云的应用离不开网络，云的共享性让安全隐患增大，简单的静态口令显然不适合云环境，那么，企业应当如何解决云环境下的身份认证安全隐患呢？

陈华介绍，与静态口令相对应的，是强身份认证技术，有生物认证技术、数字证书认证技术、OTP认证技术、智能卡身份认证技术、短信/手机认证和多因素风险身份认证等。

1、生物认证技术

　　生物认证技术，包括指纹、虹膜、面容识别、语音、DNA比对等的。该技术具有精确性与唯一性完美结合、使用者无需随身携带认证设备的优点，然而，该技术无法继承现有应用，且需要特殊的外围采集设备，使用维护成本很高。

2、数字认证技术

这是一种基于公私钥密码体系的身份认证技术，通过为每一个用户分配一个私钥和一个公钥证书来实现安全的身份认证和数据加密功能。该技术具有双向认证、数据加密、数字签名等优势，然而也无法集成现有应用，且客户端需要驱动程序，管理、部署和维护复杂，此外，某些特定场景(如登录unix)无法使用。

3、双因素口令技术

陈华着重介绍了双因素口令。所谓双因素概念，就是你知道的(RSA令牌)+你持有的(PIN码)，这类似于银行卡+取款密码，要取钱缺一不可。其中PIN码可在初次使用令牌时候设定，PIN码之外，该技术通过比对令牌和认证服务器各自单独运算的结果是否相符来确定用户的身份。

双因素口令技术

　　RSA的基于时间同步技术的双因素身份认证技术，以唯一的128位种子为基础，令牌码通过RSA算法根据时间变化，每60秒钟变化一次，让安全性更为提高。

基于时间同步技术的双因素身份认证技术

RSA双因素身份认证的认证过程

4、异步技术的挑战应答身份认证技术

异步技术的挑战应答身份认证技术

5、OTP身份认证技术

这是一种技术成熟、稳定，部署、使用和维护管理非常简单、灵活的身份认证技术，适用范围广泛，但其缺点是OTP身份认证技术不足，无法有效防范中间人攻击。

6、基于风险的多因素身份认证技术

一种基于用户设备或使用行为及习惯等多因素进行风险评估的身份认证技术。该技术具有后台部署对前端用户没有任何影响、适用于所有基于web方式的应用、可以与其他现有认证技术无缝集成、适用于对所有用户进行保护等优点，其缺点是它仍然是一种相对安全的身份认证技术，而且因为对前端用户毫无影响，用户看不到你的付出，不适合向用户收费。

基于风险的多因素身份认证技术

7、以知识为基础的动态认证

改身份认证方式通过提问进行身份认证，常用来保护呼叫中心和网上开户，登记，管理，和其他高风险活动等。

此外，陈华还向IT专家网介绍了手机短信认证、RFID技术、笔记认证与步态认证技术、矩阵卡、邮件认证、联合身份认证技术(Federated Identity)，以及实践不多的量子认证技术等，他们各有特点和应用场合。

综合来说，当前主流身份认证技术简明比较如下表所示：

陈华最后总结说，动态口令仍然是目前最简单、安全的身份认证技术，但任何单一身份认证技术都无法满足未来云计算对安全身份认证的要求，可以兼容多种认证技术的平台身份认证解决方案将成为未来云计算环境下身份认证的主流平台。他进一步指出，在当今复杂网络安全形势下强认证技术将越来越成为企业或组织的必然选择。

强认证技术将越来越成为企业或组织的必然选择