支招 | 如何解决身份验证系统安全问题

对于身份验证系统如何在本地和国际的不同部门之间提供信任、信任和互操作性，有许多不同的观点。与此同时，这些解决方案应该确保一个体面的隐私水平。为了应对ID验证系统中某些特权参与者滥用权力等威胁，需要使用安全防护工具。

[[383295]]

目前的身份管理方法存在许多薄弱环节，这些薄弱环节构成了多种形式的网络犯罪。此外，由于这些孤立的系统没有重叠，执法机构无法在国际一级进行协调行动。

关于这一点，ID验证的方法正在进行转换。安全专业人员提出了新的原则，开发了辅助技术，并指定了测试这些服务的新场景。

现代身份验证服务的实施与行业各部门之间的互动程度密切相关。在企业和国家级别已经创建了高端解决方案，但其中大多数忽略了互操作性的需要。专家团体正在积极讨论这些问题，试图找到相关的解决方案。

下一代身份验证系统可以应对相关领域的安全问题，比如通过人工智能算法进行身份欺骗。然而，新的风险仍在继续出现。

企业和数字服务越来越紧密地联系在一起。数字交易需要不同系统之间有足够的信任和机密性，这只能通过统一的身份解决方案来实现。换言之，国际社会需要建立统一的数字身份模型，以降低安全风险。

安全身份验证的风险

下一代身份验证系统的发展将使社会在关键领域越来越依赖这项技术。因此，针对这种环境的网络攻击将会升级。恶意参与者将试图找到并利用设备和识别机制中的漏洞来访问敏感数据。

在此背景下,最严重的威胁以及破坏此类系统的动机往往来自以下几个不同层面：

• 内部威胁，主要以中断服务或金钱为动机，入侵者通过伪装成受信任的个人，可以通过绕过物理安全获取访问权限;
• 恶意竞争，主要动机是以此来获得竞争优势。犯罪分子可以让内部人士和其他第三方协同完成攻击;
• 国家间的政治对抗，主要以政治和经济收益为动机。这种类型包括间谍活动、帐户接管、认证系统妥协和监视等;
• 有组织犯罪，主要动机是获取金钱。欺诈手段包括身份盗窃、账户接管、数据滥用、认证系统妥协、中间人攻击和文件伪造;
• 黑客行为，以扰乱目标运作为动机，对目标造成声誉损害。可以应用帐户接管和模拟，以及身份验证和授权泄漏。

接下来，让我们了解下当前身份验证系统的主要安全风险：

• 隐私：犯罪者可能会获得大量的个人数据，包括生物识别、行为和地理位置细节。
• 完整性：破坏这些解决方案的完整性可能会降低生态系统参与者之间的信任。
• 可用性：攻击者可能试图入侵身份验证基础架构，以破坏参与者严重依赖的服务，从而造成级联效应。

信息安全专业人员在构建安全的数字身份环境并确保这些服务的可用性和完整性时将面临新的挑战。违反可能会导致更严重的系统后果，破坏参与者之间的信任，从而破坏网络空间的有效运行。

安全解决方案

未来的ID验证将由分布式和异构的基础设施支持。信任和透明度，以及服务的可靠性，将在全球范围内发挥重要作用。在这种模式下，减少安全风险是一项复杂的任务，它依赖于一种集体的方法。

由于所有的安全问题都以协调的方式解决，因此该技术无法充分发挥其潜力。信息安全专家需要介入，开发一种数字身份验证的防篡改技术。

以下是一些在不久的将来可能发生挑战的应对方法：

• 保证、信任和透明性:ID验证基础架构组件的弹性是通过参与者之间所有交互的透明性来实现的。社区需要了解这样一个系统中的信任水平，并准确衡量信任差距。这将促进防御的实施，以保持完整性;
• 共享管理原则:协作国际标准化和认证身份验证系统将为所有参与者提供基线水平的网络安全。例如，已经形成了支付交易安全(pcidss)和航空工业(SARPs, ICAO)的标准。这些基本原则将指定数字身份过程的技术要求和性能标准，同时还将解决隐私挑战。

最终用户需要控制个人数据，并了解其处理方式以及将数据传输给谁。开发针对企业和政治的其他激励模型将鼓励所有参与的实体支持ID验证服务的互操作性和创新，并深刻了解谁负责确保分布式环境不同部分的安全性。

• 聚集参与者：由不同行业参与者组成的大会将有助于探索其各个部门的互操作性，从而激励人们制定管理原则以确保适当的安全性。这样，就有可能在ID验证区域中选出主要实体(政府，私营部门，社会)和关键参与者(银行，电信服务提供商，技术公司)。这样的聚集将为部门之间的合作提供新的机会，能够及时找出并规避建立全球ID验证基础设施的主要障碍。
• 合作运营安全性:信息安全社区必然会迎接严峻的挑战，保护未来分布式的、异构的和内在复杂的身份验证系统免受黑客及其恶意代码的攻击。这应该是数字身份领域所有安全专业人员采取的全新方法和协调行动。

随着其他技术的发展和下一代身份验证系统的部署，专家们需要考虑未来潜在的威胁。他们的待办事项之一是确保分布式组件的量子密码学达到适当的水平。虽然一些检测、跟踪和中和欺诈活动的方法可以用于独立的身份验证系统，但它们还没有为这类端到端解决方案创建。建立系统风险和威胁模型，考虑不同行业参与者的特权很有必要。

通用的事件报告框架将是评估当前风险和优化事件响应率的关键。在信息安全社区层面的协调努力以及国际身份验证安全标准和数据共享的开发将会确保生态系统所有成员的安全水平，并释放出下一代数字身份技术的真正潜力。