【51CTO.com原創稿件】黥刑，秦漢時期廣泛使用的一種刑法，就是于罪犯身體的某個部位刺字并染色，這也是一種身份認證的方式。時至今日，我們用到的身份認證方式大致可分為生物識別、證物和密碼這三類識別。就原理而言，這些識別方式早在幾千年就以應用，隨時間推移有了長足的發展，尤其是與信息技術融合之后，在體驗、安全性等方面都有了顛覆性的變化。

近日，在身份認證授權和RTC協議等領域有深厚技術積累的玉符科技CTO王偉，接受了51CTO的專訪。大家就互聯網初期至今身份認證技術的發展歷程、混合云環境下身份認證的挑戰與應對方案進行了深入的探討。

[[218124]]

互聯網到AI時期，身份認證技術的演變

從身份認證角度來講，不同時期采用的技術有很大差別，也有少數技術被從最初延續到現在還在被使用，但在使用過程中不斷進化。

互聯網初期：MD5、hash、Kerbero、SAML

最初的身份認證，僅僅是對賬號，采用MD5、不同hash等技術進行最基本的加密、解密。內網盛行時期，采用Kerbero、federation、SAML等等協議，支撐身份管控所有相關的服務。

Kerbero協議，用于Ticketing時期，當是通過系統認證后，開始為用戶授發一個Ticket。用戶可以憑借Ticket訪問各個子系統。

OASIS組織的SAML和微軟支持的WS-Federation，是聯合身份認證中的兩大標準，兩者主要區別在于SAML直接使用XML加密和XML簽名，意味著其可以和REST協同工作，而WS-Federation則需要SOAP。WS-Federation是WS一系列的協議其中之一，解決不同體系之間的賬號互相Trust，互相做聯合的協議。

SAML是一個非常典型的用于身份認證的標準，發展至今仍有很多公司在使用。 SAML本身有各種復雜的配置，可以在不同場景中使用。目前只有少數大公司支持有限的幾種配置，這樣一來，如果理解和學習了這個協議，做聯合時很容易。

后互聯網時期：Open ID Connect、多因子

后互聯網或當前這個互聯網時代以后，基于XML的SAML臃腫不足日益凸顯，欲解決一個很小的問題，令牌（Token）的整個有效載荷（Payload）非常龐大。雖然時間和不同用戶證明了毋庸置疑的安全性，但在新型互聯網公司，大部分人開始覺得SAML不太適應現在的需求。

Open ID Connect是一個類SAML的標準，優勢在于基于較成熟的OAuth授權協議且相對較輕量化，趨勢非常迅猛，新公司普遍采用這個標準。

AI時期：多因素、量子計算

多因子認證也開始逐漸被認可，驗證碼的方式就是其中的一種形式。也就是知道一些因子證明你之后，還可以知道一些其他因素來證明你是你，進行第二次因子認證。

AI時代，隨數學中的加密、解密提供的各種算法和技術不斷趨近成熟，在加上計算能力的增強，使得身份認證的安全不會被現有資源所破解，兼顧易用的同時具有靈動性。不但可以鑒別用戶，知道用戶擁有什么，還可以對用戶進行畫像，哪怕沒有用戶名、密碼，也沒有身份證書，也可以快速知道是哪個用戶。

當然，安全是相對不是絕對，任何密碼理論上都是完全可以破譯，只要有足夠的時間和預算能力。

或許，當量子計算機出現，現在身份認證領域里所有的技術，都有可能被瞬間破解。這時就要靠人為去干預，不斷采用新技術，更新現有防范措施，安全才會得以保障。

混合云環境下，身份認證的挑戰與業界應對方法

現在乃至未來，我們將看到越來越多的大中小企業將業務遷移到云端，同時這些企業也會根據自身需求，嘗試采用來自不同云計算提供商(如AWS、微軟Azure、阿里云等)的云服務組合。

混合云環境下，身份認證的挑戰和以前有很大的不同，主要有以下五點：

• 云之間是異構的，很多方面的認證機制不一樣。
• 企業之間的應用不同，技術架構、組織架構也不同，服務云上的服務也完全不一樣。
• 異構系統身份如何打通。
• 不同的異構系統，安全程度也參差不齊，如何在統一的平臺服務中，做身份認證，保證所有的應用都很安全的被訪問。
• 任何時間、地點用任何設備，都能被安全認證。

對于業務應對這些挑戰有何通用的方案，王偉表示，當下中國公司還處于云身份認證的初級階段，這方面的方案相比要弱于歐美一些。歐美一些大公司最常見的做法是把傳統本地部署身份認證方法搬到云上，可原傳統方式不可鏈接的其他云服務，上云后依舊不可以解決各云之間連接的問題。

所有的解決方案身份認證的技術都是相同的，想SAML、open ID connect 、Kerberos，但行業中的解決方案各有不同，如何最有效的把不同的體系集成在一起，實現在任何地點、時間，設備，讓用戶得到一個易用、安全的云身份認證體驗。

面對混合云環境下，身份認證的這些挑戰，企業級云身份認證服務應需而生。意指在于助力企業實現身份統一云管理，更安全的連接每個用戶、應用、設備及文件。

融入深度學習的身份認證 自動化的同時更加靈動

在整個服務過程中，會融入深度學習技術，不斷分析用戶使用情況，建立使用模型、為用戶提供畫像。針對危險行為，第一時間報警，由系統全程自動化的快速解決問題。當然，還是有極少的特殊情況是需要人為干預的。

自動化對于當下的IT管控極其重要，整個背后基于以下三點：

• 應對攻擊，構建已知威脅模型。
• 針對不同環境，構建不同的風險模型。
• 為每一個系統用戶做畫像

這三點的集合，再通過整個深度學習和相應的模型自動化，來為整個生命周期進行實時的安全。最大化客戶的安全保障之下，還要給用戶較好的體驗，但安全和體驗是相互矛盾的、想越安全越痛苦，要想越方便就越不安全，兩者之間的平衡點很難把控。基于各種模型，再加深度學習，實現平衡點在安全和體驗之間靈動。

【被訪人簡介】

現任玉符科技CTO，首席架構師并聯合創始人。負責核心技術架構的設計研發。對身份認證授權和RTC協議等領域具有深厚的技術積累和對未來市場發展的洞察力。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】