【事件背景】洋葱服务为什么没被成功接盘?_搜狐科技_搜狐网 https://www.sohu.com/a/124452755_354899
今天无意中看到这则新闻,发现人家洋葱认证服务已经停运1年多啦,瞬时伤心,免费的验证服务终究不会长久。
洋葱的创始人 也就是dnspod创始人 给我们免费的认证验证 说没就没了 转而现在都是付费的IAM或者其他CAS认证系统
基于此,笔者就来说说企业开发和产品管理中经常要用到的统一身份认证服务,一遍在多个系统进行用户身份登录和权限的认证的互联网那些事儿。
统一身份认证子系统(UIA: UNIFIED IDENTITY SERVICE )主要有三大功能模块:身份认证模块、权限管理模块和安全审计模块。
统一身份认证(CAS)包括了统一身份认证服务和IAM 单点登录 SSO这两大块
通常情况下应用系统身份认证方式能辨别用户的真实身份,是实现业务系统向基层网安部门推广的前提条件。建设多样化的身份认证手段,是提升业务系统安全性与灵活性的关键举措。网综平台要求各类业务系统使用统一的用户身份;业务系统能够根据实际应用场景及信息内容的重要性,控制终端的使用环境及资源。建设一套集中、统一、多样化、高效的安全认证服务与控制系统,形成业务系统的统一认证和安全控制技术体系和安全服务体系,“安全中心系统”正是解决应用系统统一认证与集中安全控制的技术平台、服务平台、管理平台。
最早的统一身份认证系统产品当属linux的LDAP目录服务和windows的AD域目录服务。
统一身份认证的优点是,采用统一身份认证后,用户只需要使用同一用户名、同一令牌就可以登录所有允许他登录的系统,用户使用更加方便;从安全角度出发,管理人员可以在认证系统集中地对各个应用系统上的用户进行管理。
统一身份认证发展阶段:LADP目录服务--->集中身份验证服务--->双因子认证2FA--->多因素认证MFA--->生物特征身份认证-->…
单一因素认证(用户名+密码+验证码)短时间不会消亡,还会依然有大量的系统沿用这以传统认证方式...
名词解释:
双因子认证(2FA)是指结合密码以及实物(信用卡、SMS手机、ukey、Token令牌或指纹等生物标志)两种条件对用户进行认证的方法。这种方法已经为企业所采用,特别是在远程访问时,但在其它领域应用还很有限。双因子认证的推广之所以受阻,主要在于其需要使用额外的工具并且为IT和技术支持人员带来负担。其批评者还指出这种方法也容易遭受攻击,即在非常小的时间窗口内,易受到中间人(man-in-the-middle)攻击(这也是采用严格SSL处理的更多原因)。双因子认证,支持CAS,SAML,OAuth,OIDC等10多种认证协议,实现应用的快速集成,并通过组织架构同步,权限管理等模块,实现全平台业务管理与访问控制。尤其是国内互联网企业申请等级保护(简称等保)的首选。
统一身份认证平台,全面支持公/私有云,大数据,物联网及移动应用的统一认证与访问控制,构建以应用、账户、认证、授权、审计的5A体系为架构的企业内控管理平台。OpenID+OAuth+MFA(AK/SK)
那么问题来了:目前双因素认证厂商有哪些?该怎么选?
双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证。因每次认证时的随机参数不同,所以每次产生的动态密码也不同。由于每次计算时参数的随机性保证了每次密码的不可预测性,从而在最基本的密码认证这一环节保证了系统的安全性。解决因口令欺诈而导致的重大损失,防止恶意入侵者或人为破坏,解决由口令泄密导致的入侵问题。
目前世界上做的最早的当属RSA,同时也是种类最全、专业能力最强的企业,但可惜的是营业执照不是中国的,而且其价格也是高的离谱,最近国家信息安全领域,都强制要求使用国产,无疑是将橄榄枝伸向国内企业。
就国内双因素认证厂家来讲,东联、宁顿、曦辰算是比较早的一批公司,市场份额做的也是非常大,最常见的就是我们身边的网银动态令牌,规模庞大,用户广泛,就是解决用户登录密码泄露造成信息及数据丢失的问题。但就企业自身而言,其内部一直以来就存在着安全隐患,如VPN、OWA、Vmware、Citrix、Linux服务器、Windows服务器、Route、SWitch、Web管理员等,这些密码一旦泄露,就不是简简单单的小问题,严重的将危及企业存亡,所以解决弱口令问题是企业发展的基石。
据圈内朋友所说,他们采用的一套CKEY DAS的双因素动态认证系统,最终实现登录用户名和密码的同时,还需要输入一个动态密码,该动态密码的载体为软件APP、硬件令牌或者短信,且可以结合使用,各有利弊,该动态密码不停的变换,共有10的6次方种可能,并且有尝试登录次数限制,非常有效的解决他们内部信息安全管理的问题,他们的应用场景为openvpn和Citrix桌面虚拟化,结合CKey DAS解决弱口令的问题,目前运行一切正常。
传言CKEY DAS的抱负是要与RSA一决雌雄,在目前的短信认证、APP认证、硬件令牌认证的基础之上,后期将增加指纹认证、虹膜认证等生物识别,让企业快速跨进未来,作为IT圈中的一员,能看到国内企业不断赶超国外企业是非常兴奋的,CKEY DAS与RSA之间的角逐我个人非常期待。
【项目的具体需求和详细过程】
在项目开发中,遇到了以下问题:
项目中,面向的用户有PC操作员、手机用户等,不同的用户登陆逻辑所在微服务,不一定是一套,甚至有可能来自不同的团队开发维护,那么导致鉴权时需要到处请求;
解决思路:
提出一个统一认证中心,对所有的登陆逻辑做统一处理,此服务可调用 不同的管理系统,如:操作员系统、终端用户系统、QQ开放平台等,可复合调用组装,再将结果返回;
实现架构图:
说明:
1. API Gateway(orange): 网关,可进行:分流、token认证、API鉴权、https转为http; (需提前将角色与API关系、应用id与API的关系进行存储,以供以后API鉴权使用)
2. Auth: 用户管理中心,作用:管理租户信息、操作员信息、角色、API权限等;
3. 用户管理:市场用户管理系统,即to Client的用户管理系统;
4. 设备管理:是指终端设备系统,包括设备导入 ,设备分配等功能;
5. 业务组件A、业务组件...:指通用的业务微服务;
6. 统一认证中心:指进行操作员、to C用户、设备所有相关系统登陆的统一处理中心,可以调用不同的系统,进行组织查询,最后返回登陆所需信息,如:token、credentialToken 等;
7. API聚合组件A、API聚合组件...:对外提供API接口,一个接口可以对内的请求次数,以达到对外提供功能性API的目的;将来也可在此基础上做一些open API的业务;
举个栗子:
手机APP用户登陆:
1. 用户在手机APP端输入用户名、密码,请求后台时,需要APP自动加上应用id及凭证;
2. 通过 API Gateway,进行分流、https转换成http;
3. 到统一认证中心进行登陆请求;
4. 统一认证中心再访问Auth层,查询到相关逻辑,再返回给统一认证中心;
5. 统一认证中心再访问to C用户管理系统,查询到相关逻辑,再返回给统一认证中心;
6. 统一认证中心生成相应的token,返回给前端系统;
总结
一个IT社区很早就意识到传统密码不能确保重要数据的可靠安全性,因为它们很容易被攻破。 2FA提供了额外的数据保护措施,加强了公司对其信息安全的信心。上述所有的2FA解决方案均支持移动令牌,并提供灵活的认证方式。但是,一些供应商已经进一步尝试着重于基于风险的方法。
如果您的公司使用大量基于Saas的应用程序,则SecureAuth IdP和Okta Adaptive MFA等解决方案将尤为适合。如果您的公司经常与第三方组织进行互操作,并且需要为他们提供有限的网络资源访问权限,那么SecurAccess将是一个明智的选择。如果您主要考虑内部部署解决方案,那么SecurID和CA Strong Authentication是您最好的选择。如果您喜欢高级报告和欺诈检测功能,那么Vasco IDENTIKEY和赛门铁克VIP值得考虑。
【参考资料】
1、设置 MFA Alibaba Cloud Documentation Center https://www.alibabacloud.com/help/zh/doc-detail/28635.htm
2、2018年多因素身份验证(MFA)行业现状及发展趋势分析 (目录)_百度文库 https://wenku.baidu.com/view/90c39ea329ea81c758f5f61fb7360b4c2e3f2aec.html
3、7个最佳的双因素认证解决方案 https://baijiahao.baidu.com/s?id=1591527103024291221
4、首页 . 认证云IDaaS平台 https://www.idsmanager.com/
5、统一身份认证服务 IAM - 管理与部署 - 产品 - 华为云 https://www.huaweicloud.com/product/iam.html (免费的哦)
6、Wicresoft - 安全身份认证及访问控制管理 http://www.wicresoft.com/cn/services.aspx?navid=247
7、身份认证产品_ iToken身份认证_管理系统_上讯信息 http://www.suninfo.com/view-2104.html
8、深圳竹云科技有限公司-身份认证方案 http://www.bamboocloud.com/list_94.aspx
9、改造Nginx,让邮件系统也支持双因子验证 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客 http://www.freebuf.com/articles/network/135640.html
10、为SSH登录建立双因子验证机制(谷歌身份验证器) - CSDN博客 https://blog.csdn.net/bwlab/article/details/51321746