令牌只是一切的开始OATH发布的第一个标准是为混杂信息认证代码(Hashed Message Authentication Code,下称HMAC)一次性密码所制订的,它对运算方法进行了规定,以确保能以事件激发的方式生成安全的密码。自那以后,OATH就忙于向互联网工程工作小组(Internet Engineering Task Force,下称IETF)来提交和修改用于认证架构的其他组件的标准,包括密钥设置、Challenge Response Algorithm等。它还开发了两个版本的参考架构,为安全认证所需的其余基础设施搭好了框架,这包括新令牌的设置、多重认证类型的确认以及授权和审核等等。
Reference Architecture 2.0在先前版本的基础上增加了一系列新功能,并在细节方面做了改进。其中最具创意的功能当属基于风险的认证。在Reference Architecture 2.0中有一个风险模块,它会为每次操作进行风险评估并打分,然后以此为参考为以后的操作挑选合适的认证方法。例如,如果一台可识别的电脑在工作时间发来账户余额查询,那将获得比较低的风险评分,只需用户名和密码之类的简单认证即可,而如果在非工作时间,一个陌生的IP地址发来大额转帐的请求,则会获得较高的风险评分,因而也就需要更严格的认证方法,并很有可能需要使用特殊的密码令牌进行签字才能完成交易。
如今,政府在安全方面不断对企业施压,而消费者对企业的安全要求也越来越高,因此许多企业迫于压力都将认证后台外包,各大
电子商务网站和在线金融网站便是个中的代表。这一外包趋势或许是各大安全厂商展示功夫的最好机会。
企业的IT部门如果想推出针对内部用户的多重认证方案,可以看看市场上基于OATH的产品。虽然眼下企业在这方面的选择不是太多,但在大量OATH框架开发商的不懈努力下,过不了几年就一定会有各种价格适中、功能强大的产品出现。目前,市面上最出色的两款基于OATH的产品来自于Card Technologies公司和Authenex公司。
专家意见希望:多重认证的标准诞生,大量安全认证产品走向市场,导致安全认证的总体成本下降
力量:包括业内巨头美国在线、Entrust公司、IBM和VeriSign公司,以及一些名气不大的专业认证公司。
前景:在线服务供应商,尤其是金融服务公司,希望加强安全措施,以达到国家鼓励的双重认证机制。建立统一的标准可以减少成本,简化执行流程。从目前来看,OATH很有希望。但最大的问题是,令牌能否真正解决在线欺诈问题。
【责任编辑:
董晶晶 TEL:(010)68479336-8033】
|
服 务 CIO 推 进 信 息 化 
