RFID安全新理念——身份认证

  
     
    基于身份认证的访问系统让商业活动更加安全

    在传统“各自为政”式的网络中安全管理应用程序分散在多个部门，每个部门视各自需要而使用不同的应用程序来监
控资源访问。目前，安全系统正在全球化，企业越来越多地转向采用诸如IBM、Netegrity、Novell和Oblix这样的生产商所提供的身份认证管理解决方案，以使网络策略和许可权限更好地同商业目标相吻合，而不仅仅是从IT角度考虑系统该如何管理。

    IBM 安全战略总监Chris O’Connor说：“传统的企业安全模型是对少量的数据中心进行参数化得来的，其中滋生了各种适应性问题和安全问题。”

    桌面和文件柜一团乱麻不算什么，但混乱的网络注定不可能安全。数字身份认证不再只是一种使SSO（单点登录）可行的方法，它已开始成为在混乱中产生秩序的关键工具。

    身份认证不仅仅定义用户是谁；它把“谁”与“什么”直接联系在一起。用户在组织中的角色是什么，用户需要访问什么资源和信息，以及他/她能够对信息做什么操作，不能做什么操作……身份认证是一张全景图，它使整体策略和流程全面而一致地应用于整个企业中。

    通过强化每个用户的访问与授权信息，身份认证解决方案可以让网络状态及时更新。身份认证解决方案使新员工能够迅速访问网络，同时在前任员工有机会入侵之前清理掉其留下的无用账户；能够提供审核信息，以确保企业对管理法规条例的遵守；能够保护隐私和加强访问控制。但最重要的是，基于身份认证的网络管理使安全脱离数据中心，并与企业的需求相符。

    身份认证仓库

    向基于身份认证的网络管理迁移，需要改造现有的系统，但这并不意味着彻底推翻现有的软件基础架构。相反，身份认证系统使现有的基础架构更为强壮，更为智能化，并且更易于防范未经授权的访问企图。

    我们要做的第一步工作是建立身份认证仓库，这样用户的访问信息就可以独立于应用程序来进行集中维护。典型的形式是网络目录，例如 LDAP 目录、微软的活动目录或者 Novell 的 eDirectory。

    问题在于很多组织已经维护有多个网络身份验证信息目录，相应的也有多个合作伙伴、供应商和客户数据库，这里面常包含有重复数据和非公共数据。

    网络体系架构顾问John McNeely认为，正在形成的两类目录集成工具能够解决这个问题。例如Novell Nsure Identity Manager元目录 (Metadirectory) 解决方案建立单一的授权 (Authoritative) 目录以作为所有数据的数据源。与之相反，OctetString Virtual Directory Engine这样的虚拟目录产品将所有数据展现为单一的虚拟数据仓库，实际上它要从各个数据源抽取数据。

    企业在选择建立身份认证仓库的工具时，应考虑企业中已有的组织架构。McNeely 解释说：“如果不同的工作组对各自的数据有归属权问题，那么虚拟目录就是极好的选择，它不会改动数据，只是指向数据的位置。如果数据的准确性在整个企业内同等重要，那么元目录将是理想的选择，任何有访问权限的人将看到相同的信息。没有哪种方式在任何情况下都有明显优势，选择取决于特定的公司需要。”