3月18日，RSA遭遇了APT攻击，SecureID被偷。在漫长的近三个月后，RSA对此作出确切的回应，表示将更换SecurID令牌，因为其最大的客户们在针对政府承办商的攻击中受害，他们认为这与双因素认证机制有关。

　　这一事件将我们忽略的令牌安全问题摆了出来，安全认证成为热点话题。如何保证数据安全？如何实现有效的身份认证和访问管理？在各大厂商均提出令牌更换服务的同时，我们该如何选择？安全认证会又如何发展？带着这些疑问，近日，本站记者专访了CA Technologies亚太区高级认证总监Andy Lee先生。

　　软件认证的优势

　　CA Technologies公司在四月份的时候曾推出了CA ArcotID安全软件认证更换计划，软件认证与硬件令牌非常不同，什么是软件认证？它有什么优势？它是否会在未来替代硬件令牌？

　　对此，Andy Lee表示，提到硬件令牌有几个事情大家可以做参考，第一件事情，过去这么多年，我们在跟客户交流的时候，大家都有一个共识，带一个额外的硬件令牌非常的不方便。仅是从使用者的经验上来说，当令牌没带的时候，比如说一个企业用它的令牌来看邮件，你没有这个硬件令牌，真的是束手无策，完全没有办法。而软件认证则可以解决使用者方便性的问题。

　　第二点，用户数据的隐私性。当一个安全性的产品，你提供的厂商那里还存有一部分你的秘密时，你一定会感到不安，害怕数据泄漏。这方面，软件认证是完全不知道你的秘密是什么的。

　　第三点，还有一个安全领域里比较重要的事情是公开性，假如你的计算方法不能公开的，这本身就是一个秘密了，而这个秘密是有部分人知道的，这样一来，这个人或者这一群人就变成泄密的关键点。而安全是你应该看到这一切，CA Technologies的算法就是完全公开的来做的。

　　另外一点，这是更有利的。硬件令牌没办法漫游，所谓的漫游是说，硬件令牌是实体的，我今天摆在家里就在家里。而Arcot ID是安全软件认证，所以可以在Arcot的服务器上也存有一份用户的资料。比如说你今天出门，没带电脑（手机不带的情况不太大）。假设在机场，你需要连接你公司的网络，Arcot可以让你漫游一份到浏览器的记忆体里面，假如说你有Arcot server，你可以用各种形式，比如说你发一个临时性密码的短信，让它能够暂时性地发一份Arcot ID到你的记忆系统，让你一次性地使用。当你用完，看完邮件以后，把浏览器给关了，这个Arcot ID就没了。

　　Arcot OTP也是针对这点，Arcot OTP是利用你的手机或者iPad的处理系统，能够把你的令牌摆在你的随身携带的平台上面。如果是硬件令牌没带放在家里，大部分情况下，今天可能不上网银了，假如手机没有带的话，很多人可能会回家拿，因为手机是生活的一部分。Arcot OTP的最主要的针对的就是这种移动平台。比起Arcot OTP，Arcot ID是基于PKI 的认证，它可以做更多的事情。比如满足数字签名的需要，文件处理的需要等等。

　　运用Flash解决软件认证发展的阻碍

　　软件认证尽管有如此多的好处却没有得到大量的普及，这是为什么呢？

　　Andy Lee谈到了软件认证发展开始遇到的阻碍。什么样的阻碍呢？你用一个软件不管是笔记本或者台式机，做认证这些事情的时候，需要运行一些软件。那你就必须买存储软件，对很多客户来说，这是一件很麻烦的事情。尽管你的软件再容易安装，或者他们有人用Java F的形式，它都会影响到用户体验。用户会思考软件来自哪里？能不能信任？很多人一看到选择框时，第一件事就是看哪个是NO，然后点下去，根本不看里面的内容，这样一来，软件认证没办法工作。

　　CA Arcot一开始也在挣扎这个事情怎么样来解决，直到后来Adobe变成Arcot的投资人，Adobe又收购了Micro media，大家用的Flash是由他们来提供的。然后Arcot就想到了用Flash来做分发渠道，因为Flash在全球的台式机和手提电脑的占有率超过了99%。

　　这样一来，对使用者而言，什么东西都不需要安装，可以直接使用。我觉得这种方式更合适，也许在一个企业里，企业的IT可以强制性的或帮助性的让员工在他的机器上面安装一套软件。但是针对消费大众，比如银行的客户，没有办法做这件事情，完全要依赖消费大众他们有没有办法做这个安装的工作。现在，我们把这套手续移除掉，这个就形成了及时使用，不需要任何损耗。我觉得这个从实用性来讲，应该是一个很大的长处。

　　软件漏洞对对软件认证的影响

　　问：您刚才说把它嵌入到Adobe的Flash中，前一阵Adobe的Flash漏洞有很多，黑客攻击也特别多，Flash软件的安全问题对安全认证是否有影响？

　　Andy Lee：我们只是运算的软件利用它这个来做分销渠道。所以它的安全性跟我们的认证是不影响的。我稍微解释一下不影响的原因，如果你使用一个软件的方式来保护一个东西，比如说私钥，通常你会让使用者选一个他想用的保护方式。举个例子，假如说现在有一句话是“我们今天早上10点开会”，这句话用一个密码‘123’来保护。所谓的保护，就是安全区域某种形式的密码。如果你用‘456’来试的话，它出来的结果是没有意义的乱码。直到你拿‘123’试的时候，出现了这句话。那么你就知道保护这句话的密码是‘123’。在安全领域，我可以尝试任何组合的密码做这样的攻击，直到我攻击成功为止。

　　在密钥保护方面也是这样，直到有一个结果出来，符合它的数学特征，那就是试功了。Arcot ID的关键保护原理在于，不管你怎么试，试出来的结果都是有意义的。用刚刚的例子，“我们今早上10点开会”，你拿‘123’可以显示出来，你拿‘456’的时候，它将显示“我们中午12点吃饭”，你用‘789’，显示“我们下午六点下班”。每一个都是有意义的，所以你攻击时无从晓得到底窃取成功没有。它使用的方式是从服务器上做一个数字签名。签完以后送回服务器，服务器拿你的公钥来，公钥试这个数字签名对不对，我在服务器端就知道你用的是错的私钥。只有在服务器端这个可以被检测。这点非常重要，我之前说，机场的那种情况下把你的文件保存在浏览器记忆系统里面去，就算有人把你的浏览器记忆系统给偷了，他拿了你的Arcot ID的复制品，他来做这个离线的东西也没办法试。你在别人的机器上面放置一个复制品，人家也没办法试。你无法知道你试的结果是对是错。我们在1999年IT会议上面发表了关于这方面的文章。没有秘密，所有东西都是公开的，我们怎么做的，什么样的形式完全是公开存在的。

　　软件认证对硬件令牌的挑战

　　问：现在硬件令牌市场普及率很高，贵公司的这种形式，我觉得还是挺有挑战的，对市场也是一种震撼吧。

　　Andy Lee：我想我们的出发点最主要是针对客户，因为很多客户他们有这样的疑虑，我们至少能够让他们有一个安心的解决方案。昨天听说国内有一家很大的银行，已经买了14000万令牌，你说把这14000万个令牌，全部替换掉需要多少钱。对于硬件令牌的更换不是那么容易做的。

图为坐在采访会议室的Andy Lee

　　云计算趋势下的云认证

　　Andy Lee表示，CA ArcotID安全软件认证主要为云计算服务。Arcot很早就在做云认证了，现在全球以我们的产品来保护的认证已经超过一亿五千万。

　　目前我想说，大部分人在考虑云计算时，第一件考虑的事情就是安全。怎么样有足够的安全？我们一开始就做这方面的事情。我想云计算已经是不可避免的趋势，就跟当初有人说不需要，传统的客户服务器运转好好的。现在有谁敢这样说。

　　软件认证或取代硬件令牌？

　　在问到安全认证的趋势时，Andy Lee说道，“我想中国有一句俗话，一种米养百样人。比如说在某些情况下，你公司只有50个人，那你觉得每个人发个令牌没什么了不起的，很容易。在这个规模很小的情况下，选择性非常多。公司只有5个人，你可以用指纹，读视网膜。假如说到了比较大一点的层面，你就得考虑大部分人的方便性，怎么样照顾到给他们硬件令牌的安全性。硬件令牌是有它的历史原因的，没有人质疑它安全性怎么样，人们觉得手上握一个东西，感觉很安全。所以我觉得这个事情应该是见仁见智的，有的企业需要考虑安全性，假如有比硬件更安全，更方便的使用的话，他当然会做这样的考虑。”

　　此外，他还补充道，“从另外一个角度来看，也许你保护的东西没有这么严格，你的安全性要求没这么高。大部分人一直不停在关注目前的安全性够不够。我想说，以后的趋势，当然我们是很希望大家能够替换，使用我们的方案，但完全替换可能还要一段时间。就像用钥匙，现在很多人也在用房卡，目前都是并存的。

　　成本比较：软件方案和硬件方案

　　任何技术的实施，成本都是其中一个重要的因素，那么相比于硬件方案，软件方案的成本是否有优势呢？

　　Andy Lee说道，“我想从硬件的成本上面来看，大家在比的时候，一个令牌多少钱，然后再跟软件比。事实上，这样比是不太对的。你想想，一个硬件的令牌我当初在设定之后怎么发给使用者。假如是企业的员工进办公室领一个，没有代价。可是你想想要是谁买谁领的话，谁来发这个令牌？令牌要存在哪里？需不需要一个库存系统？。很少有人对这些一开始分发的成本进行计算。”

　　“针对消费者大众的话，我今天用快递，用邮包寄给你，国内的邮寄成本不太高。假如到英国去，你寄一个令牌，大概五六英镑。你寄这个令牌的时候，不可能拿平信，要挂号，收的人要签名，这个成本又很高。而软件在开销上面，是能够帮助一个企业,或者消费大众降低成本的。”

　　“其次，我们说令牌损失的比率，大家以为不太高，事实上还挺高的。你掉了一个令牌以后还得再发一个，这又是一个成本。你用的令牌假如出了问题，可能是电池没了，现在不能用，那你打电话到客服中心，客服中心的人为了支援这个问题，又是一个成本。这些成本没有计算在里面，，其实隐形的成本相当高。而一个软件认证形式的存在，这些都是不需要开销的。全部是你自己可以完成的事情。所以我觉得从成本效益（性价比）来讲，软件认证远远高于令牌。”

　　如何平衡安全性与便捷性

　　目前，就CA ArcotID安全软件认证产品来说，在金融，银行以及生物医疗等传统领域都有得到应用。还有一些新的领域，比如说社交网络，网络游戏。Andy Lee还谈到了各个地区，国家在这方面的使用差别，每个国家在法律执行力和成熟度方面都有很多不同。

　　 “在国内，很早以前在网银这部分有所谓的银监会颁布的命令。可是它当初颁布命令，一开始说拿金额来限制，你单笔交易不能超过一千元，当日交易总额不能超过五千人民币。假如超过的话，你需要来做双重身份认证，这是一个很好很好的初衷。”Andy Lee说，“我想有很多大众版的用户，绝对是想用专业版的功能。可是他又有点无奈，万一在三家银行都有账户，每一家买一个令牌，好几百块钱的事情，而且身上带着三个令牌，口袋里一大包。我想政府一开始有这样的法律，是从银行的角度要考虑对消费者要有足够的保护。但是否考虑到他们使用上面的方便性呢。”

　　 “我想这个情形会慢慢好转。我记得一开始的时候，几年以前跟银行交谈的时候，他们的关注方向，比如说五年前，一致在安全上，其他事情都不考虑。什么东西最安全，我就用什么。最近开始有人考虑，要足够安全，可是同样使用者的经验也是很重要的”他补充道。

　　最后，Andy Lee表示，“在安全领域，安全性和便捷性通常也需要平衡。这个平衡点在哪里，我想对我们安全技术组来说，我们会做到一个完美的平衡。”

　　关于Andy Lee先生

　　Andy先生现任CA Technologies亚太区高级认证总监。他曾在Arcot，PeopleSoft，Vantive，Lucent/Avaya和Mosaics等公司担任高级技术和管理职位，并拥有超过18年的企业软件系统开发经验。在他负责监管公司亚太地区以前，他曾任Arcot公司研究与开发总监，负责安全商业系统研发。CA Technologies收购Arcot之后，他现在领导CA Technologies亚太区高级认证解决方案部。