身份云为什么? 浅谈身份认证与FIDO

1.大风起兮云飞扬

1993年,美国著名杂志《纽约客》的漫画家施泰纳创作了这样一幅荒诞却广为流传的漫画,真切地体现了互联网世界的公开性与匿名性。

“在互联网上,没有人知道你是条狗。”

科技杂志《连线》曾经发表评论说:“网络匿名会把人变成彻头彻尾的混蛋。”

随着全球全面进入数字化时代,数字经济飞速发展。2020年,全球因网络犯罪造成的损失总计超过一万亿美金,网络犯罪给世界经济造成的损失超过全球GDP的1%;2021年,网络黑灰产的市场效益将比肩世界第三大经济体。

毋庸讳言,安全成为保障经济数字化转型平稳健康发展的底座。可信性是所有安全最基础的东西,解决的是软件、硬件、数据和人员等作假的问题,依赖的主要是数字证书等技术和运营体系。身份是建立信任的基础。

早在2018年,360就依托浏览器产品,极具战略前瞻性地推行“360根证书计划”,目前已覆盖全球98%HTTP流量,成为中国唯一、全球第五大自有根证书库。而后,360联合统信软件、多家国内CA、网关厂商、Ukey厂商在2020年8月,再度共同发布“信创国密根证书计划”,进一步夯实了数字证书的安全根基。如今,进一步将身份云列为安全大脑的云端基础设施。

为什么身份云如此重要?

用户的邮箱账号、网盘账号、QQ/微信账号、支付宝账号等等,实际都是“身份”,它不仅与数据信息相关,更涉及到财产安全,所以都需要配备口令(Password),目的就是为了证明这个“身份”是你的、是安全的,即在互联网上证明“你是你”。

口令有巨大的安全风险,因为口令很容易大规模被盗。可以通过网络钓鱼和社会工程偷取口令,且口令往往成千上万地集中存储在服务器上特容易被连锅端。黑客可以下载口令数据库,然后暴力破解掉这些加盐散列的口令。大部分口令都是短小而简单的,暴力破解往往非常有效。

简单化身份管理面临的问题:

1)隐私保护。个人的真实信息已经普遍存在于网络,而互联网企业安全和隐私保护能力不足。隐私泄露事件频发,危害巨大。网民迫切需要隐私保护,如果没有隐私保护,网民使用网络信心不足,可能会影响了整个“互联网+”的发展进程。

2)网络欺诈。网民安全意识有限,身份保护能力不足,要靠专业机构提高网络安全水平。目前网络欺诈呈高水平、多样化,防不胜防。

3)网络谣言。网络谣言屡屡出现,真假难辩。一个是敌对势力干扰,还有网民不负责任的传播。现有监督和追究手段不能适应网络发展,包括身份假冒、追究困难等等。

4)黑色产业链。网络身份与现实身份绑定提升了身份价值,催生了黑色产业链。大量应用需要真实身份标识,催生了身份标识买卖。目前的安全技术还无法阻止虚假身份,身份证在网上应用亟待提高安全性。

小结:在数字经济时代,身份数据已成为争先抢占的战略资源。

2.万丈高楼平地起

互联网的开放性和匿名性使得安全问题越来越突出。认证体制是网络安全的第一道大门,它确保网络传输的信息资源只能被合法用户所访问,因此身份认证技术是整个信息安全的基础。基于现代密码技术,PKI和IBC是2种最典型和有效的认证体制。

PKI认证体制

PKI(Public Key Infrastructure,公开密钥体制)是1976年由美国的Diffie和Hellman提出的一种新型密码体制。PKI证书认证体制是Kohnfelder于1978年在论文《发展一种实用的公钥密码体制》第一次明确定义数字证书,并把它作为身份可信凭证。

PKI的理论功能是基于公钥密码算法,通信者之间可以获得带有可信第三方签名的证书,证书中含有通信者的工作公钥。

在此基础上,通信者通过别人的工作公钥对信息进行加密传输(加密信封),通过自己的工作私钥对信息进行签名;在此安全基础上,通信者之间可以进行密钥交换,为对称密码算法(加解密速度更快快的密码算法)实现密钥共享。

简单来说,PKI体制中,通过可信第三方CA签发的证书绑定了证书所有者的身份信息与该所有者的公钥;通信发起方获得通信接收方的公开证书中的公钥加密信息、通信接收方使用该公钥对应的私钥解密信息;通信双方可以用自己的私钥对信息进行签名。注意:公私钥是成对使用的。

实际应用时,通常双方都有2个公私密钥对,分别用于加解密和签名验签。密钥管理(公私钥管理)是PKI体制的安全核心。

一个完整的PKI一般包括:

证书权威(certificate authority,CA)、注册管理中心(registration authority,RA)、终端实体、证书使用者、存储证书和证书撤销列表的数据库系统(证书库)及证书信任方等。

PKI在实际应用上是一套软硬件系统和安全策略的集合,它提供了一整套安全机制,使用户在不知道对方身份或分布地很广的情况下,以证书为基础,通过一系列的信任关系进行通信和电子商务交易等。

PKI安全策略建立和定义了一个组织信息安全方面的指导方针,同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息,根据风险的级别定义安全控制的级别。

一般情况下,在PKI中有2种类型的策略:

证书策略:用于管理证书的使用,比如:可以确认某一CA是在Internet上的共有CA,还是某一企业内部的私有CA;

认证过程声明CPS(Certificate Practice Statement):这是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档。它包括CA是如何建立和运行的、证书是如何发行、接收和废除、密钥是如何产生与注册、以及密钥是如何存储、用户是如何得到密钥等。

PKI数字证书在信息安全领域的典型应用实例是HTTPS,使用SSL服务器数字证书实现安全的HTTP服务,解决Web服务的身份认证(和安全传输)问题,成效非常显著。

IBC认证体制

1984年Shamir首次提出了IBC概念。

IBC(identity-based cryptograph,基于标识的密码体制)是在传统的PKI基础上发展而来。

IBC中每个人的公钥就是他的身份标识,比如E-mail地址、电话号码等。而私钥则以数据的形式由用户自己掌握,密钥管理相当简单,可以很方便地对数据信息进行加解密。

IBC将用户的身份标识(如电子邮件地址、手机号码)直接作为用户的公钥,用户向一个称为私钥产生器PKG(Private Key Generator)可信第三方认证自己的身份并获得私钥。

IBC加密解密
IBC签名验签

IBC中用户身份即是公钥,公钥本身就标识了公钥的主人是谁,实现了用户公钥和用户身份的天然绑定,摆脱了对第三方签发证书的依赖。身份标识可以直接获取,无需设置专门的容器存放,也无需采取安全措施防止篡改、替代,大大简化了公钥密码的使用和管理过程。IBC中加密密文或验证签名只需要获得一组系统参数和对方的身份,实现起来简单、高效。

IBC可以采用短期密钥的方法来解决密钥撤销问题,密钥管理相对简单。

虽然IBC能够提供比PKI更加简单易用的公钥密码服务,但是IBC比PKI对应用环境有更多的限制。公钥是用户身份标识这个特性,客观上要求用户身份标识必须唯一,比较适合于在电子邮件、移动电话等具有唯一标识符环境中使用。

另外,IBC的用户私钥是可信第三方产生的,存在密钥托管的问题,不适合在大型开放式环境中应用而适合在比较封闭的小型私有环境中使用。概括起来讲,就是IBC适合在具有身份唯一标识符的小型封闭式环境中使用。

相对于传统PKI认证,IBC有如下弱点:

1) 私钥的密钥托管问题

IBC密码系统中用户的私钥由私钥生成中心PKG生成的,用户必须以完全信任PKG为前提,相信PKG不会阅读秘密通信或伪造他们的签名。因此密钥托管局限性,使得它不适合在一些不允许密钥托管的开放式场景下大规模应用,不能满足当今网络空间大规模的需求,包括大数据、云计算、物联网及移动通信等。

2) 生成私钥的PKG负担过重

在IBC认证体系中,所有用户的私钥均由PKG负责生成,因此随着系统的 扩大或者用户的增加,将会导致PKG负担过重。

3) 认证计算速度慢

与PKI认证体制相比,计算速度慢。IBC认证算法一般都是基于对(pairing) 构造的,这使得计算相对来说较复杂,而且效率较低。

小结:当前和未来很长一段时间,PKI数字证书认证体制,仍是可信度和安全性最高、应用范围最广的身份认证手段。

3.道术将为天下裂

基于PKI的数字证书认证体系,在移动互联网场景下使用时面临诸多挑战,虽然有手机盾、SD Key等多种解决方案,但不能很好满足移动设备场景下对认证的需求。最大的问题是便利性和安全性难以兼顾。

同时,替代传统口令的智能设备的强认证方式种类繁多,包括USB Key、安全芯片、可穿戴设备、IC卡、指纹识别、虹膜识别、声纹识别、人脸识别、掌纹识别等,用户需要比口令更便捷的认证方式。

FIDO(Fast IDentity Online,快速在线身份认证)联盟是全球性的行业协会,致力于不依赖“共享秘密”解决传统口令(password)给认证所带来的弊端。

FIDO的优势如下:

将认证方式与认证协议分离;

支持尽可能多的认证方式,充分利用现有硬件设备内嵌的安全能力;

支持不同的安全级别,服务商能了解设备具有的认证方式和能力并设置认证策略;

保护用户隐私,用户信息不被泄露并无法被追踪;

在所有用户的而所有设备对所有应用支持多样化的认证方式。

基于公私钥对的非对称加密体系,只在本地的可信执行环境(TEE)中存储用户的生物特征信息,是FIDO相较于传统认证方式的两个重要不同点。

FIDO支持两种认证协议,UAF和U2F。用户的直观体验如下图所示。

第一种情形,在智能设备上,用户确认交易时,可以利用智能设备的指纹识别功能完成用户身份认证;(无密码体验)

第二种情形,在PC端,用户登录输入账号密码之外,还可以使用比如带USB接口、或蓝牙接口的FIDO指纹识别器进行双因子身份验证。(双因子体验)

FIDO引入的认证器是本地认证与远端FIDO认证服务之间安全通信的核心部件。

一方面,在本地安全硬件的支撑下完成方便灵活的本地身份认证,获得与应用绑定的特定密钥;同时使用UAF协议建立安全通道,使用该密钥在FIDO服务器完成“在线身份认证”。

从身份认证体制的角度看,FIDO是立足于解决“安全性和便利性”痛点的新型身份认证方案。“更简单的部署和使用,以及更强力的安全性保障”(Simpler,stronger authentication),这是明显的优点。

另外,FIDO2.0正式发布后,通过标准化的Web API接口,浏览器提供商讲天然实现对FIDO2.0的支撑;同时FIDO2.0还可以把手机作为基础的身份认证设备,提升认证便捷性。

小结:FIDO以简单易用的统一协议,成功替代口令(Password)这种安全性不足的认证方式。

4.大道为公成大同

FIDO利用安全协议实现了用户的快速身份认证,从而证明用户是该设备的合法使用者,但FIDO不能证明应用使用者的真实身份,特别是应用需要高安全级别认证时。所以,还需要结合数字证书实现第三方身份认证。同时,使用合法的数字证书和密码产品和服务,才能满足我国密码合规性等要求。

实际形成的方案即FIDO+数字证书的组合方案。

这种方式,需要在FIDO服务器后面增加数字证书相关的交互处理,从而获得基于数字证书与电子签名的合规性、法律有效性等能力。

当FIDO组合PKI数字证书模块之后,认证结果可以绑定到数字证书,即可借助PKI认证体制完成高可信身份认证,彻底解决设备和用户身份认证的安全需求。

从功能划分的角度,身份安全一般又可称为身份与访问管理(IAM)。根据Gartner的分类,IAM包含了身份管理、访问管理、特权账号管理以及身份认证四个部分。身份是一切安全的基础。

“零信任”代表的新一代安全模型,基于网络安全边界不再固定的实际情况,本质是以身份为中心进行动态访问控制,牵引网络安全架构从过去的“网络中心化”走向“身份中心化”,将成为安全行业的重要方向。

“身份中心化”,大势所趋;身份云,未来可期。

说明:文章所有资料来源于网上公开材料,版权归原作者所有。

编辑:老开。网络安全从业者,关注以身份安全为核心的解决方案与产品。

本文章发布渠道为国密应用研究院,转载请注明。

标签: