1、移动与互联网服务中的通用认证架构解析

移动与互联网服务中的通用认证架构解析

信息时代的变革与安全挑战

在过去几十年里，信息技术给世界带来了两大显著变革。其一为计算机化，计算机逐渐融入生活的方方面面，许多原本需人工交互的服务如今由计算机提供。比如，当你从银行账户取款、在图书馆找书或在机场办理登机手续时，大概率是在与承载这些服务的计算机系统交互。其二是互联网的广泛普及，它是一个连接众多计算机的开放网络。如今，对计算机化和自动化服务的访问都通过这个开放网络进行，像使用网上银行支付、在网上书店订书或浏览朋友的在线相册，都离不开互联网及各种接入互联网的通信链路。

在开放网络中访问应用和服务时，安全保障至关重要。许多服务需要进行访问控制，例如只有账户所有者才能从银行账户付款。通常，控制服务访问需识别请求者身份并验证其真实性，即服务端要对请求者进行身份验证。

在封闭网络（如传统电话系统）中，基于网络假定的物理安全性，身份验证可以是隐式的。但在像互联网这样的开放网络中，物理安全不再适用，攻击者很容易向远程服务器声称自己是任意身份，甚至伪装成远程服务器欺骗客户端（如使用IP地址欺骗）。因此，为确保身份验证过程的可信度，需要运用加密技术进行相互身份验证。

在开放网络中，仅在通信会话开始时验证双方身份是不够的。攻击者可能会等待身份验证完成后，通过插入、修改或删除交换的消息来劫持会话。为防止这种情况，身份验证过程还应建立会话密钥，以保证整个通信会话的完整性。此外，某些服务中交换的消息可能需要保密。例如，在线相册仅对家人和朋友开放，当朋友合法查看相册图片时，信息从相册服务器传输到朋友的浏览器，可能会经过多个物理安全级别不同的通信链路，如朋友的计算机通过开放的无线链路连接到接入路由器。此时，就需要使用加密技术保护传输中的消息