3月16日，在IT168举办的“联合挑战第一期大话身份识别”视频直播的节目现场，荣新IT培训中心课程总监张琦、Aladdin技术经理陈海林以及从事网管、开发和项目策划的网友代表聚在一起，热烈讨论了有关身份识别的相关话题。

　　在视频直播前，ChinaUnix、IXPUB两大社区以及一线使用者的反馈也着实让身份识别这个话题热闹了起来。

　　下面就本期活动摘出有关身份识别市场应用以及相关技术产品现状和发展趋势的内容：

　　一、趣闻趣答：“知道什么是身份识别吗”

　　·街头随拍到的视频短片中：

　　记者：“听说过身份识别吗?知道什么是身份识别吗?用过什么相关产品吗?”

　　用户甲：“听说过。就是用一些技术辨别身份的产品吧。……用过一些产品，感觉还可以。”

　　用户乙：“没听说过。不知道什么是身份识别。”

　　用户丙：“听说过，网银什么的就会用到，感觉安全性还可以。”

　　用户丁：“不知道，没必要试用这产品吧。”

　　……

　　·张琦：

　　实际上真正的身份识别我们每个人都在接触，只不过他们不知道，我们说一个最简单的例子，我们有自己的用户名，有密码，那么用户名代表的是你的身份，那么密码代表什么呢?你输完密码以后证明你的身份是正确的，可以进入到系统里面，那么这个系统里面不单单指的是计算机系统，或者是网络系统，在任何一个比如说门径里面，包括这个卡，这个卡同时输入密码，因为这个卡丢了以后别人也会进来，或者加上密码，加上卡，这实际上是大家在生活当中的一种身份识别。

　　·陈海林：

　　身份识别实际上牵扯到两个内容，一个就是身份，一个就是识别。实际上我们每天都会牵扯到身份和身份识别，我举一个非常简单的例子，我要来北京出差，然后我定飞机票，飞机票写的我的名字是陈海林，然后我安检的时候我告诉安检的人说我叫陈海林，那个安检的人就会说你凭什么叫陈海林，你要证明给我看你是陈海林，所以从这一点就看到你的身份认证是陈海林，那么我怎么证明我的身份呢?我必须要出示证件，所以这个就是牵扯到在现实生活中我们每件事情都会牵扯到身份和身份认证，同时我们也打个比方来说，如果我到银行ATM机上我去取款，如果我要取一个陈海林的帐号，我要取钱也是一样的，首先你要有身份的证明，怎么样来证明你的身份呢?你必须要有信用卡，卡插进去以后输入这个卡加上一个密码和PIN码，两个要素都有的话，你就证明说你的确是陈海林，你可以登陆我的取款机可以取钱了，这也是身份认证的过程。

　　·从事网管的网友尹红斌：

　　很多人对身份识别，他觉得在网上进行交易的时候才会用到身份识别，实际上其实像平时包括我们的户口本，你去银行取款需要密码，都是一种身份识别，但是我们平时因为用的非常非常普遍，还有包括网上交易的，跟生活已经非常密切了，他们好像不知道，我没有用过，其实这个东西还是一个认识的问题。

　　·从事技术开发的网友刘丹：

　　我最近听说了两件事情，一个就是电话骗钱的事情，因为现在模仿人的声音通过这种方式给家里的老人打电话骗钱的方式，另外一种就是我的同事，因为现在公司有很多采用指纹识别门禁卡，因为门禁卡可能是识别不太准确的原因，从正常的时间迟到了还没有认出来，这个也是挺有意思的事。

　　二、联合挑战：深入剖析身份认证

　　·陈海林：

　　目前为止，最普遍的身份认证的方式就是用户名加上密码来登陆系统，这种方式最普遍，但是它的问题安全性是非常非常低的，我可以通过各种各样的办法来破解，或者说我可以获得你的用户名和密码，办法有很多，我可以通过木马，我可以通过暴力破解，我可以通过猜测，我可以通过对操作系统的漏洞来获得你的应用程序的用户名和密码。所以说密码用得最普遍，但是它的安全性是非常非常低的。

　　所以说在企业里面IT的管理人他就必须要想尽办法来加强身份认证的一个安全的机制。那么他想到了证书，想到使用数字证书，如果说你把这个证书放在硬盘里面，或者放在浏览器里面，它安全性上面肯定比以前的密码好一点，但是有问题的话还不是最安全的一个解决方案，什么才是安全的解决方案呢?

　　我们这边推荐的就是双因素身份认证，双因素身份认证由两部分组成，你所拥有的一个硬件设备，加上你所知道的一个静态的密码，那么这两者就组成了一个双因素身份认证的一个概念，那么你在做双因素身份认证当中用的比较多的，像网民，插进电脑以后输入密码你就可以用里面的证书来做身份认证了，还有一种方式使用一次性密码的令牌，每次用的时候按一下这个按纽，生成六位数的动态码，这个号码用过一次以后就作废掉了，你下次再用的时候需要再按一次按纽，重新获得新的身份认证，其他黑客要冒充你的身份就会非常非常的困难，所以这就是一个双因素身份认证的机制，你所拥有的硬件设备加上这个设备所对的那个PIN码获得，你加上一个生物特征，指纹来进行身份认证，在企业里面用的比较多的是双因素的身份认证。

　　一次性密码的这样一个令牌，每次使用非常方便，用这个动态码作为身份认证，令牌也有多种机制，有硬件令牌，有软件令牌，硬件令牌生成号码原理的机制是不一样的，有时间同步的，有事件同步的，也有应答的令牌，有人说我每天带着这个令牌太麻烦，是不是可以用手机来做身份认证呢?也可以，你的解决方案比较好的办法还可以把这个灵牌做成一个软件的形式把它安装到你的手机上面，我只要拿着手机运行里面的软件令牌的应用程序，我也一样可以获得六到八位的动态码，也可以用它作为身份认证。如果说你觉得在手机上面安装软件还是太麻烦的话，我需要拿到手机就可以做认证可不可以呢?也可以，你可以通过以短消息的形式发到手机上面，这个手机只要在任何时候上网就可以获得这个身份认证了，身份认证的技术也非常非常多，硬件的，软件的，短消息的，那么对客户来说他有很多很多不同的选择。

　　此外，企业里面一定会有很多的重要的应用程序是要保护的，有各种各样的防火墙，各种各样的网络设备，各种各样的操作系统，登陆这些资源的话你都可以用令牌的技术把它保护起来，那么以前用户登这些系统的话很麻烦，不同的系统我有一个密码，登不同系统的话我要借很多很复杂的密码，现在很方便了，把所有的系统全部用动态令牌保护起来的话，不管登哪一个应用程序都可以用同一个令牌的密码，可以登所有的应用程序，所以对我来说只要记一个令牌的密码就可以了，反而对他来说安全，同时又很方便。这就是一个双因素身份认证的技术。

　　·张琦：

　　除了企业当中的应用，实际上在电子商务的过程当中这些令牌已经很普遍了，这些令牌在使用的时候，刚才您也提到了单点登陆的问题，咱们更多见到的不同的几种，低端的这种只能是里面有一个证书，里面只能存储一个证书，它的算法还是把它提出来放在计算机内存里面进行计算，这时候容易泄露的;高端一点的产品，是多个证书，这里面通过自己的芯片运算这个是不进入到计算机的，所以它的安全性，很多有都说我自己可以做一个证书，做一个CA，这样把证书倒到计算机里面，但是证书是可以被导入导出的，而往往大家在证书的时候，在导入证书的时候需要输入密码，而大家所有人的意识是这样的，就是说我用户名的密码跟导入证书的密码是同样的密码，所以在使用证书的时候也出现了黑客使用证书登陆到系统，他既然已经猜到了第一层密码，后面证书导入的密码也猜到了，但是好一点的产品就是可以放多个证书，本身它的算法跟计算机没有关系。

　　三、挑战结语：身份认证有望成最先普及的IT技术

　　·张琦：

　　其实身份识别最能普遍走到咱们自己的日常生活当中。比如，你从电梯里出来，有的时候是声控的灯，有的人习惯跺脚，有的人习惯咳嗽，咳嗽一声你的老母亲知道是你回来了，别人家不开门，你们家把门开了，这就是声音识别，身份识别它的价值还是很大的，也是走向生活百姓家推广的一种技术吧。

　　·陈海林：

　　我谈一下我们未来的一个发展方向，因为在国内随着网上银行，网上证券，电子商务这样的普及，对于重要的资源，应用程序的访问以后或多或少都会采用这样一个双因素认证的机制。所以说可以预见，在不远的将来几乎每个人身上都会携带这样一个双因素认证的令牌，每个人或多或少都会有Token在他的身上。还有一个方向是，我预计应该是在不愿的将来，我们以后开房门、去开车门的时候，可能都不用钥匙了，而只需要用你的指纹就可以了。

　　四、Q/A

　　1.现实中有很多网游密码被盗的问题，有一种密保卡，所对应的一个方阵，每次电脑上出现随机码，然后找到你相应的位置输入进去，以此来识别。还有一种电子的也是像那样一个小电子卡，用来保存这个密码，但这种卡片万一丢失的话?

　　·陈海林：

　　你提到的密保，有点像刮刮卡一样的，也是身份认证的一个技术，实际上这种技术就是看你在用这个技术的时候，你是使用单因素，还是双因素，服务器上面只是一个条带代码，那么它实际上是一个单因素认证，单因素认证，一定是比双因素认证的安全性差一点，如果说可能的话我是不是可以建议那个网游的公司使用双因素认证，除了你输入卡上的号的密码以后再加上你的一个静态密码，这样登陆网游的帐号，如果说万一我这个卡丢了，其他人捡到我这个卡的话，他可以根据这个码输入进去，但是他还是没有办法知道我脑子里面的静态码，这样他的应用程序安全级别就会有很大的提高。我建议尽可能的是采用双因素认证，它一定要比单因素认证的级别高。

　　2.当一个新员工入职的时候，他可能会办好多手续，里面包括要有各种帐号，那么他如果用同一个密码，他肯定非常的不安全，如果每个都不一样的话，那么这么多的号码又是非常繁琐的过程，员工离职的时候也是一样的，这么多的帐号你去管理的话也是非常繁琐的一件事情。那么该怎么样去处理这样一个问题?既要它安全，又要它简便，通过双重认证的话能不能解决这个问题呢?

　　·陈海林：

　　你刚才提到的这个需求，它的范畴相对来说比较大，实际上你所提到的这些内容就是说IT管理里面要做到身份管理、认证管理、授权管理，那么这些都是在安全的范畴里面的。如果说你要真正来实现你的需求你要做一个庞大的项目，然后在这个项目里面，你要做到一个完整的员工的生命周期的管理。包括他进入你的企业以后，那么你通过这个系统自动的在不同的系统里面创建帐号，自动在这个帐号里面给他分配相应的角色，他们就有相应的这些权限去访问不同的OA系统，财务系统，邮件系统，就是说这是一个非常完整，非常大的一个项目。

　　如果说你觉得这个项目相对来说比较难实现的话，我这边有两个建议：一个就是单点登陆，也就是说对你的员工来说，每个员工你给他发令牌，那么他可以把所有应用程序的用户名和密码，他可以起一个很复杂的密码，把这个密码所有的应用程序的密码保持在令牌里面，每天我去点击财务系统，点击OA系统，点击邮件系统的时候，他发现我这个Key里面有密码，自动的就帮我把用户名和密码填到登陆界面里面去了，我就可以直接登陆到应用程序里面去了，我每天有这个Key的密码我就可以登陆所有的系统，我这个系统密码可以起很复杂的，这是一种办法，那么它的好处是什么呢?我的应用程序不可以做任何的更改就可以实现了，直接定义一下应用程序的登陆的窗口就可以直接实现了，比较方便。

　　但是它只能帮你保管密码，没有办法很好提升你的安全性，没有办法做到双因素认证，底层还是单因素认证的。相对来说你比较注重安全性的话，就是采用我刚才说的建议，我在所有应用程序上面我嵌入双因数的令牌，然后我去访问这些资源的时候，我就必须要输入我的用户名，我的双因素认证的号码，包括动态码加上静态码，双因素认证码以后才能登陆到这个系统里面，如果把所有的资源都保护起来以后，每个员工拿着令牌，知道这个令牌的密码我就可以访问所有的程序，也是非常方便的。但是有一个嵌入的过程，如果是我自己开发的应用程序，你就要用到我们给你的一个开发包，嵌到应用程序里面，应用程序要做一点更改。它有一定的开发量。就是说短期来看，两种办法，都可以很好的来解决安全性的问题。