在安全領域，很少有人不知道RSA。1977年，由Ron Rivest、Adi Shamirh和LenAdleman在(美國麻省理工學院)開發的RSA，作為最有影響力的公鑰加密算法，已被ISO推薦為公鑰數據加密標準。而其背后的RSA公司歷經幾次變化，最終在2006年被EMC收購，成為RSA，EMC信息安全事業部。

2012年11月22日，EMC信息安全事業部RSA中國區資深技術顧問馮崇彪主持了“探尋可信、安全登錄之謎”的技術研討會。會上，他深度分析了四種主流身份認證的特點，并就RSA身份認證決策樹做了演示，希望可以通過RSA開放接口與更多安全企業以及安全領域的開發者一起構建滿足不同企業安全需求的生態系統。

對比四種主流身份認證

在他看來，來自桌面的移動終端的復雜多樣，BYOD(Bring Your Own Device)接入的新需求，與來自數據中心端的虛擬化廣泛應用與云計算的落地實踐，還有來自更為高級的網絡與黑客威脅，使得企業正面臨越加嚴重的安全威脅。這其中，身份認證最為困難，但需求最為迫切。

這不難理解。企業最初僅需要對內部員工實現內部網絡設備和遠程設備的管理，但現在不僅要對員工，還需要對合同工、代理商、客戶等各類客戶，包括手機、平板、PC和筆記本以及其他接入工具要實現統一管理，復雜度呈指數增長。不止如此，曾經只存在企業內部服務器是數據如今也可能分布在公共云和Hosted應用上，多源管理難度更大。所以，要實現業務協同，任何時候從任意設備訪問信息，保護內外敏感數據和用戶訪問業務安全，提升生產力，強身份認證必不可少。

目前主流身份認證主要有以下四種：

OTP、基于風險、PKI和動態基于知識的四類認證方式對比圖

一次性密碼(OTP)，通過雙因素認證的各類組合實現對一個人行為的判別。目前用的較多的是靜態密碼+令牌組成的。其中令牌可以是時間型(一分鐘內有效)，也可以是現在銀行中常用的動態口令卡，U盾等。

基于風險的認證，更多可以看為依照風險的高低而采用多重技術手段的統一。比如對于普通賬號和VIP賬號之間采用不同認證方式;通過用戶使用習慣設定驗證信息(如IP地址轉移需要再次認證等)。而這些對于風險的判斷都是在后臺完成的。這張圖很好說明了現有安全方式的統一。

第三是數字證書(PKI)，通過申請證書，進行激活來實現認證。比如銀行與游戲廠商經常使用的U盾中存儲的個人信息就是數字證書。

第四是動態的基于知識的認證，通過詢問客戶問題的方式來認證用戶。問題庫是基于現實中公共數據資源和商業數據資源，通過用戶提前輸入作儲備，登錄時通過對相關回復做驗證的方式來確認。

RSA身份認證決策樹支持不同需求

基于風險的認證更受重視

四類認證在市場上各有應用群。但結合國際越來越重視基于風險的認證的趨勢，馮崇彪認為，“建立基于風險的分析是所有認證解決方案的基礎”。針對不同的用戶群，應該有一套可以提供廣泛認證技術、方法和平臺可以滿足獨特需求的靈活選擇方案。這其中，既包含可為不同用戶群提供強身份認證，也包含提供不同認證方式以及認證流程，及端到端認證方案。

為此，RSA推出了針對小型和中企業的RSA Authentication Manager Express，企業級用戶的RSA Authentication Manager，企業級-消費者應用的RSA Adaptive Authentication，大型機構的RSA Digital Certificate Services和面向B-C市場機構的RSA Identity Verification。更為創新的是，企業用戶只需要通過一個工具，回答以下幾類問題，就能確定自己需要的哪一種類型的RSA身份認證決策樹的方案。

您是否控制最終用戶的環境?

訪問是否僅限于web應用?

您的身份認證是否需要對文件加密?

身份認證方法是否要提供交易監控和其他檢測?

開發者有機會與RSA合作

移動互聯與云計算催生了各類生態系統，安全也不例外。RSA身份認證決策樹可以幫助用戶簡化操作，但在接口方面仍需更多開發協作。馮崇彪表示：“對企業而言，一般存在三個層面的集成：客戶端、中間層應用端和后臺認證端?？蛻舳朔矫?，RSA有各類認證設備，比如針對BYOD可以提供軟件認證方式來滿足各類硬件的需求，同時也會提供KPI和開放結果，比如與AppStore來做集成。中間層，有些應用已經內嵌了RSA的認證技術，通過RSA自適應身份認證直接做配置即可實現認證;對客戶自己研發的應用或系統，則需要通過RSA開放接口來認證。以業內較為關注的信息防泄露為例，RSA認證系統可以和第三方的信息防泄露集成，把認證集成到信息防泄漏系統的登錄認證中，名單可以通過官網面去看，而針對于不同的信息防泄露，有很多直接可以跟RSA的認證系統集成(RSA Ready)，個性化需求則可以通過雙發的技術部門來與RSA開發接口對接來完成。后臺認證，RSA提供了各類認證方式來滿足不同企業的需求。”

對于集成所涉及的改造代碼等工作，馮崇彪說：“做接口，動態口令和自適應認證等方面，如RSA出一個接口與企業端應用集成所需要工作不大，但是數字證書則要多一些。RSA的接口和文檔都是開放的，也希望與國內更多安全廠商和安全領域的開發者一起合作，共同為不同企業的安全需求提供更加周到的服務”。