机房360首页
当前位置:首页 » 云安全 » 云安世纪科李勇奇:CloudID云认证

云安世纪科李勇奇:CloudID云认证

来源:机房360 作者:yuxin编辑 更新时间:2013-5-16 17:54:37

摘要:第六届CCS云计算高峰论坛于昨日(5月15日)在北京国家会议中心盛大举行,与期同时举行的还有CENCE中国企业网络通信大会,各大知名厂商与专家纷纷聚集于此,共同探讨未来云计算的发展趋势,北京云安世纪科技有限公司CEO李勇奇,在现场做了发言。

  第六届CCS云计算高峰论坛于昨日(5月15日)在北京国家会议中心盛大举行,与期同时举行的还有CENCE中国企业网络通信大会,本届主题讲主要面向私有云,公有云,同时为期两天的会议还有很多专场,包括大数据专场,应用与服务专场等。各大知名厂商与专家纷纷聚集于此,共同探讨未来云计算的发展趋势。
  
  北京云安世纪科技有限公司CEO李勇奇,在现场做了发言,以下为全文实录:
  
  很高兴有机会跟大家说说云安全,今天主要给大家介绍的是互联网上云认证,首先讲一下云认证的背景,因为互联网的应用相对已经很多,主要包括互联网上,不管是油箱还是微博,大量采用静态口令,安全性相对来说非常低,所以说帐号的安全性,这是一个比较突出的问题,企业认证也做过一段时间,后来碰到互联网厂商给我们打电话,想解决互联网应用认证的安全,想做长认证。以前的一个方案,可能会购买一个企业级的身份认证产品,比如说采用硬盘还是动态口令,这种情况下,如果直接购买产品的话,他的成本非常高,比如说一个设备,贵的可能有几十万块钱,便宜的最少几十万块钱,并且不单单是购买成本,他的维护使用后边升级的成本都非常高。后来都提出一个问题,怎样能够在互联网上快速的把身份认证的安全信息提高,并且要非常方便,而且价格尽量能够低,我们知道在互联网上很多应用,本身是免费的,如果为了增强认证的安全性,额外付出的成本太高的话,这样企业来说互联网上的运营商可能会觉得接受不了。云安世纪基于SAAS的认证,取名叫CLoudID。
  
  第一种方式在互联网上提供OTP的活动,保持原来的用户名和静态口令登录方式不变,额外等价一个动态口令认证。作为云安世纪来说首先把手机令牌,不管是iPhone、还是安卓,基于手机动态口令已经做的很完善,包括有的互联网厂商也需要硬件令牌我们也提供。身份认证都是为互联网应用服务,在互联网上提供接口,这个接口是替HttP(S)来做。把手机关联到令牌上,中间用户觉得使用麻烦,可能会解除绑定,需要做一个查询和认证的接口。我们为什么只提供ODP,而不是完整的帐号,在互联网上的云,比较大的问题就是信任问题,如果说我把企业的帐号,互联网提供的是电子邮件,把所有电子邮件的帐号放到我这个地方托管,他肯定首先不相信我,不信任我,所以我们通过只提供ODP,让原来的互联网厂商,帐号还是你自己管,所以说避开了信任问题。
  
  示意图,左边是用户名+静态口令,CloudID通过动态口令进行认证。流程图,集成CloudID,互联网用户首先登录,登录过程中还是输入原来帐号和动态口令,这个时候应用会到CloudID查询,这个人绑定过没有,如果绑定过会继续输入一次性的动态口令,这个动态口令也是用户输入到应用,应用拿到动态口令以后到CloudID进行校验,校验之后才会成功。对应用来说要多一个API调用,这都是我们做的手机硬盘,我们专门做一个比较中性的网站,提供各个智能手机的硬盘,其中苹果发布的是APPStero。网游登录方式首先是输入用户口号,如果基于CloudID会多一个绑定令牌的过程,绑定令牌,手机事先下载APP,在手机上激活以后,每一个手机有一个唯一的序列号,这上面有一个一分钟一遍的动态口令,这个时候绑定的时候,用户需要把他手上拿的手机硬盘序号和当前的动态口令输进去,这样完全绑定,绑定完以后他下次登陆的时候,如果还是输入帐号和他的口令,如果输入成功,这个时候系统在应用里边调用,就能检测到绑定令牌,这个时候就要求用户继续输入动态口令,如果这个口令输对了,他就直接进去了。当然这个过程我们给互联网厂商推荐的时候,也是做成可选的,大概我们做过一个调查和统计,互联网毕竟多一个步骤,大概有20%-25%的用户,有可能会自己愿意绑定这个硬盘,为了增加他的安全性,这个方式也是做成可选的。
  
  互联网上提供认证,他能够提供简单的安全认证和单点登录,这种认证要求所有的帐号完全由云认证中心管理,相当于把应用帐号从帐号管理中解脱出来,我们走的一个标准协议是OpenID,所以说我们通过OppenID的方式来给用户提供帐号管理。包括我们的帐号管理,硬盘方式也都会提供,这种方式在国内也是有类似的,举一个例子,登录一个论坛的时候,下面可以用人人网登录或者新浪微博帐号登录,平常做登录用OpenID会更好一些。大家在网上会有很多的帐号和口令,这样用户特别麻烦,安全风险相对比较大。通过OpenID提供一个模式提供单点登录,当然也需要用户来做集成。这是他的流程图,平时在淘宝上做支付的比较类似,第一部用户登到应用,如果用户看到你没有登录的话,会自动重新有一个认证服务器,用户并不关心也没有必要知道,认证成功以后他会重新到应用里边去,并且携带了刚才用户登陆的身份信息。应用拿到身份信息会在后边做一个交验,每次点会员登录,同时支付第三方OpenID,也支持本地登录,如果用CloudID登录,自动跳到云认证的门户,在这儿提供完整的用户注册,安全增强,包括刚才所说的动态口令,他登录完了以后帐号刚好绑定手机令牌,第一步输入动态口令,结束之后自动调转。这样的话,这个电商就能知道你的ID号是什么样的,实际上这个情况下,对LEPU来说不需要每一个用户在我这儿注册,只是通过认证是真实的用户就可以了。这对于电商来说免除注册过程,潜在的客户量也会大一些,并且对个人而言,我有一个安全的帐号,可以到各个互联网应用登陆,这样就简化登录,增强了安全性。

本文地址:http://www.jifang360.com/news/2013516/n223547994.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
更多
推荐图片