【精明用户】混合认证模式

的确，纯粹的双因数认证对于安全起到了很高的保障作用。但不可否认的是，其带来的IT管理问题也无法忽视。

美国《Network World》的安全编辑撰文指出，美国很多年营业额在1.5亿到10亿美元的中型企业用户，很多都不考虑双因数认证的问题。因为他们认为，双因数认证系统不仅难于配置，而且花费在购买和实施上的资金也较高，特别是其管理和维护的复杂度也过高。

回到国内，记者发现类似的问题确实也有不少。这个问题的关键在于，这些中型企业恰好处于市场的成长期，用户的账号像兔子繁殖一样增加。因此认证需要的安全预算和人力不成正比。在此模式下，部署最安全的双因数认证体系固然会给企业的IT部分增加较大的压力。

不过，这并不意味着认证安全无法解决。事实上，很多企业已经开始行动了。在此，记者很高兴地看到了一种具有中国特色的“混合认证”模式已经投入了使用。

顾名思义，“混合认证”就是把传统的身份认证与双因数认证进行了整合，以求获得最佳性价比。在此，请跟随记者去看看福建兴业银行的典型应用。福建兴业银行在认证系统中，将对人的认证和对机器的认证进行了有机结合。在OA办公领域，采用的都是传统的“用户名+密码”的方式，而在分散各地的ATM机器中，采用了双因数认证，通过收集ATM机器的序列号与后台的Radius服务器进行自动无线认证，从而确保了安全监管的需求。

“我们通过这种混合认证模式，既保证了OA系统的简单、高效，同时又在安全的基础上，降低了企业网的运营成本。”福建兴业银行的IT安全负责 人解释说，“这是把有限的资金用在生产网上。”

对于类似的认证，确实可以确保企业的安全与利益。神州数码网络的安全产品经理颜世峰曾向记者坦言，如果国内企业普遍采用了混合认证模式，那么可以极大地规范企业网中的隐性安全问题，包括一些私有设备和无线设备的准入控制，都可以低成本地解决。

事实上，中国特色的模式还不仅如此。叶宜斌曾经和记者开玩笑地说道:“在这个世界上，没有哪个国家的人比中国人更喜欢发短信了。”因此，利用短信进行安全认证也成为了一大特色。

短信认证的成本很低，客户端只需要一部手机，服务器端类似一部具备SIM卡的短信群发机。用户登录时用手机接收用户名和密码，这种模式甚至可以规定用户安全认证的期限。不过叶宜斌也指出，短信认证虽然安全、成本低，但是其无法与企业目录服务(AD)进行整合，因此易用性受到挑战。

【系统整合】平坦概念出炉

近年来，在美国安全界一直有一个困扰:就是如何避免内网安全的泥石流问题。所谓泥石流问题，其根源还是多重账户密码现象。要知道，无论是多么完善的认证系统，或者认证系统与内网安全技术结合的多么好，用户都难以避免多账户密码的输入问题。

登录账户、密码，邮件账户、密码，办公账户、密码等等，还有多账户、多密码的问题已经引起企业IT人员的重视。因为人们难以记忆不同的账户名和密码，而这往往导致安全隐患的出现。事实上，在2004年8月欧洲的InfoSecurity大会期间，有70%的伦敦往返者欣然地和其他在会议中的人士共享他们的登录信息，其初衷仅仅是为了少记忆一点账户名和密码。

为此，将安全认证、内网安全、包括VPN信息中的账户密码统一起来，已经是不可忽视的问题了。王景辉介绍说，目前各家厂商都希望将认证系统、内网安全设备，包括VPN、UTM等，与企业的AD整合到一起。他认为，这样做绝对是一个很好的思路。

因为目前企业用AD的很多，微软的产品多，因此安全技术中的所有模块都可以进行整合，包括认证系统与AD的深度开发。在很多情况下，让企业的IT人员维护两套甚至更多的账号系统一样也是不现实的，而且相当麻烦。

合理的方法是与用户既有的认证系统结合起来，而目前使用最多的就是域账号。对此，企业的VPN、动态VPN包括认证系统都可以使用相同的AD账户，从而实现单点登录(Single Sign On)。

从更大的方面说，整个网络准入控制阶段都可以与AD结合。正如Cisco的安全工程师所说的，现在的整体安全技术，最起码都要做到与AD结合，做到与Radius认证结合，因为这两个是最常用的。

有意思的是，根据美国《Network World》和本报在2005年的统计，无论是中国用户还是美国用户，企业网中部署AD的都相当多，从中也反映出Windows认证的规模最广。但要把AD与内网安全进行整合，目前最大挑战在于，安全厂商必须对微软的产品特别了解，需要一定的技术支持才能做相应的开发。

以新华人寿的认证系统为例，传统的Windows登录域界面已经被修改，新的界面已经与后台AD和企业邮件系统作了整合，一次登录就可以实现访问所有应用。

此外，根据用户的具体需求，王景辉表示内网安全技术还可以进一步与LDAP、X.509证书进行结合。记者了解到，目前国内的很多政府部门都在做类似的工作。以河南计生委的安全系统为例。河南计生委的数字证书都是基于原CA公司的认证系统生成的。因此，他们在部署其他安全设备的时候，不能另起炉灶再搞一套，否则会出现多次认证的问题。这就要求安全厂商需要同原CA厂商合作，一起做认证接口的数据交换——安全厂商负责认证信息提交，CA厂商负责认证与返还信息。最后，与CA证书结合后的安全系统同样可以实现一次性的三点认证(身份、域、VPN)。

记者注意到，美国《Network World》的安全编辑近期非常热衷于统一认证管理UIM的概念，他认为将双因数认证、企业中央AD、后台认证服务器和信任仓库、以及部分网络准入控制的模块整合在一起，就可以形成最完善的UIM体制。

其理由也很简单—认证几乎无可避免:很多应用使用权力分配的、或者所有权的认证方法和数据库，因此想要利用一个简单的认证平台去支持所有的应用几乎是不可能的。而这正是UIM存在的基础。

对此，国内安全厂商的看法是，UIM很重要，可以解决企业用户的认证管理问题，不过从更大的内网安全方向看，UIM仍不是全部。颜世峰的看法是，一套完善的内网安全技术至少包括三方面:第一网络准入控制NAC(也可以算是UIM)。它保证了只有合法的、健康的主机才可以接入网络，其中包括用户身份认证与接入设备的准入控制管理;第二，网络终端管理NTM。它解决企业办公终端的易用性、统一管理、终端安全等问题;第三，网络安全运行管理NSRM。它可以动态保证网络设备、网络线路的安全、稳定运行，自动发现网络故障、自动解决并报警。

看到了么，一套身份认证系统，就牵扯出整个内网安全的各个组成部分。现在应该没有人会怀疑安全的平坦化了，但请记住，平坦才刚刚开始。

编看编想:平坦的安全缺乏标准

安全是平的，但在平坦的技术中缺乏标准。不论是身份认证还是更加庞大的内网安全，各个国家都没有对应的通用标准。事实上，即便是802.1X协议，各个安全厂家之间也无法完全通用。

对内网安全技术来说，现在国内外没有一个厂商大到有很强的实力，把不同的专业安全厂商的产品集成到一起，因此很多还要靠大家一起来做。因此业界有天融信的TOPSEC，也有CheckPoint的OPSEC，也有神州数码自己定义的协议SOAP。

业界需要标准，但是没有。王景辉无奈地向记者表示，各家厂商不得不定义自己的通信接口和密钥协商机制，其中还要确保协议隧道中的所有数据都是加密的。不过他同时认为，目前的状态可以满足市场需求。

记得有印象，早在2000年就有人提出统一安全标准的问题，但是做不到。退一步说，目前安全市场的趋势是变化和更新速度非常快。开发一个安全协议要考虑保护用户现有和既有的投资，要让过去的设备能用起来。但现在的情况是，还没有等协议出来，过去的设备已经过时了，从这个角度上说，统一所有厂家的安全协议没有价值。

而且，各国政府在安全上是有自己的想法的，国际厂商出一个协议，不一定能够认同。