为什么需要进行
无密码认证
壹
安全的本质在于保护数据和资产。数据保护的关键在于管理数据的访问身份。传统的账号方式将用户划分为合法和非法,这种划分的基础就是“身份”。有效的数据资产保护需要注重人的“身份”管理,即关注访问数据资产的每个用户的真实身份上。
要实现访问数据资产的身份化管理,需要明确谁在访问数据资产、谁在下载文件、谁在传输数据等操作,即确认“谁”的身份。这种身份确认有许多手段,如将账号与个人绑定,以便知道谁在使用,相当于“谁管理,谁负责”。然而,这种方式存在一些弊端,即尽管存在账号与人之间的映射关系,但登录仍依赖账号和密码方式。一旦非法人员绕过了这层关系,直接使用合法账号和密码登录,仍会存在非法使用合法账号的情况。因此,账号和密码成为了身份确认的关键。
针对账号和密码的管理手段有很多,比如定期更改密码可以解决长时间不更改密码导致密码被盗的问题,而弱口令检查则能够发现使用简单口令的情况。然而,这些手段虽然给攻击者或非法利用者带来一定的挑战,但不能从根本上解决实际的安全问题。此外,口令代管和弱口令检查需要消耗大量的人力和物力,并且维护成本也很高。一旦相关人员忘记进行代管或弱口令检查,就会存在一定的风险。
无密码认证
解决方案
贰
为了解决这些问题,现有的多因素认证技术,如人脸识别、指纹识别、短信验证码、电子邮箱等提供了更高的安全保障。通过基于身份特征的认证方式,这些技术不再依赖传统的密码认证,从而有效解决了传统认证方式的限制,并提升了身份管理的安全性。
在数据资产管理中,通过借鉴这种思路,采用类似于“无密码”认证方式来保护数据资产。所谓“无密码”并不是完全摒弃密码,而是指通过使用基于身份特征的认证方式,摆脱了频繁记录和更改密码的困扰,避免了密码泄露的风险。通过整合统一身份与访问管理 (IAM)、资产统一认证引擎(AE)与超级SIM卡认证等技术,实现了资产的无密码认证。这种方式不仅提高了安全性,也简化了用户操作流程,并减少了密码管理的负担。
无密码认证的
工作原理
叁
数据资产无密码认证的实现思路是将认证请求、业务请求和认证过程进行分离管理,并在通过不同的信道进行相应的操作。
认证请求和业务请求分离
原来认证和业务都是放到一起,比如登录主机,用户终端登录主机服务器,主机本地认证之后,则可以直接登录。将认证服务和业务服务分离则认证的动作不再由原有的主机进行执行,而是借助外置的统一的认证服务器做,这样做有如下优势:
1、集中管理:可以将认证过程集中在统一的认证服务器上,这样可以更好地管理和控制认证逻辑,提高认证策略管理的效率,特别是在大量设备管理过程中。
2、提高安全性:认证请求和业务请求分离提高系统的安全性,外置的统一认证服务器可以专门处理用户身份验证并采取相应的措施安全,比如多因素认证等。而业务服务器更专注提高业务,减少安全漏洞的风险。
3、提升扩展性:通过将认证业务分离,可以更容易地扩展系统的认证能力。当需要新增认证方法或更改认证策略时,只需在认证服务器上进行修改,而不会影响到所有的业务服务。
认证通道和业务通道分离
通过采用不同的信道,认证通道和业务通道分离,可以为认证过程提供额外的安全层,从而更好地保护认证过程中涉及的敏感信息。其中,利用超级SIM的通信信道来实现整个“身份”认证的过程,能够有效防止非法用户拦截用户请求并获取用户信息进行非法登录。这种方式提供了安全的通信信道,并将身份信息存储到SIM卡中,有效提高了认证过程的安全性,并确保用户身份的真实性和数据的机密性。
数据资产无密码认证的详细流程,统一身份与访问管理 (IAM)负责用户身份信息管理,认证引擎服务器(AE)负责身份认证过程。当用户需要访问数据资产时,数据资产向认证引擎服务器(AE)发送认证请求。AE服务器会与用户绑定的超级SIM卡进行通信,确认用户的身份。一旦用户身份验证通过,AE服务器会向数据资产发送许可证,允许用户进行访问。从而实现了数据资产的无密码认证能力。这种方案用户在访问主机时无需输入繁琐的密码,而是通过AE和超级SIM卡的验证完成身份认证。这不仅简化了用户的操作流程,还提高了数据资产认证的安全性。
对于特殊的账号,如主机设备的程序账号,可以通过例外处理方式,避免改变原有的账号登录逻辑和流程,减少对程序的改动,并且确保程序账号的便利性和兼容性。通过针对不同类型的账号进行个别处理,我们可以平衡密码认证和无密码认证之间的需求差异。这种灵活的处理方式既保障了数据资产的安全性,又不给程序账号的使用带来任何不便。同时,对于普通账号,仍然可以享受无密码认证带来的便利和安全性的提升。
通过添加身份认证,可以为数据资产提供安全的保障,有效地解决了数据资产安全方面的关键问题,从根本上防止了未经授权的访问和数据泄露,既提升了数据资产的整体安全性,又保护了数据的完整性和机密性。同时,其满足等级保护要求,并能够有效应对数据资产安全方面的挑战。
技术文章丨资产无密码认证
