撰稿 | 蓝河

编辑 | 图图

10月26日下午，十三届全国人大常委会第十四次会议，表决通过了《密码法》，将自2020年1月1日起施行。旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提升密码管理科学化、规范化、法治化水平，是我国密码领域的综合性、基础性法律。

在笔者看来，《密码法》的颁布绝不仅仅只意味着我国“首部”密码法律的出现，更对定义密码、规范密码、管理密码起到了强有力的法律依据和保障。

要知道，“密码”作为保障网络信息安全的核心要素，一直以来都是解决安全问题最直观、最有效的手段，“密码的安全性”甚至直接决定了网络信息的安全与否。尤其是广泛应用于各个行业和领域的“商用密码”，它们的“安全性”与“合法性”更是《密码法》当中最值得关注的一点。

根据《密码法》的要求，商用密码产品及服务使用方应按照国家密码管理局有关规定，对商用密码产品、密码服务、密码技术进行安全性以及合规性认证，同时与其他法规的密码相关要求相衔接。

通过衔接，我们可以看到，“等保2.0”当中规定，涉及网络及传输的国家秘密信息，应依法采用密码保护；第三级以上网络应当采用密码保护，并使用国家密码管理部门认可的密码技术、产品和服务。

而国家密码管理局于2018年2月8日发布《信息系统密码应用基本要求》中则明确提出，等保二级及以上信息系统应采用符合《GM/T0028-2014密码模块安全要求》中相应等级密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理等。

这也就意味着，企业必须要使用国家密码管理部门认可“资质”的“商用密码”，才能够符合《密码法》的规定。

因此我们不得不感叹，《密码法》的颁布不仅仅是密码应用和管理的一次规范，更是对行业内“商用密码”提供方和适用方的一次双重检验——“商用密码”从此需要“持证上岗”了。

从动态密码身份认证说起

“动态密码”是十分常见的一种“商用密码”，也称之为一次性密码（OTP）。每隔30/60秒变化一个6/8位密码且一次使用有效，业务系统在现有账号密码认证基础之上再增加一层动态密码认证，可以有效保护账号安全，形成“双因子认证”。这是一种简单易用的口令保护技术，生成动态密码的工具称之为“动态令牌”，常见有硬件令牌、手机令牌、H5轻应用、短信等形式。

动态令牌端的密码生成基于HASH算法，通过算法计算一个随机数字，并与服务端相同算法下计算出来的随机数字做比对，如果数字相同则认证通过。

而在这个过程中，随机密码的计算是通过本地进行的，不需要联网，由此便规避了因为联网而可能带来的窃取和篡改，从而使“安全性”和“便捷性”更高。

企业为什么越来越需要“动态密码”？

这个问题其实需要从“企业办公场景”的演进开始说起。

远的咱不提，就说10年前，那时候企业办公最常见的也是大多数的方式是什么——在固定的办公场所里，使用企业自己配置的台式电脑，连接办公场所里的有线网络进行办公。

当然，也有一部分企业或个人已经开始使用可移动的笔记本电脑连接无线网络进行办公，但总的来说，10年前的“企业办公场景”还是相对来说比较“固定化”的。

因此在这样一个时代背景下，插在电脑USB接口上的“证书”就十分符合企业对于“双因子认证”的需求。毕竟那么大一台电脑放在那，搬也搬不走，“证书”插上去就可以一用一整天，对于这样的办公环境来说，既方便又安全。

但今天人们用来办公的设备是什么？是手机、是平板电脑，所有可能接入网络的终端也早已从原来的 PC变成了Win、macOS、iOS、甚至是IoT等。人们不需要在拘泥在固定的办公场所里，随时随地都可以使用移动设备对企业的系统进行登录。

这就是企业办公场景的“移动化”。

同时，由于PKI/证书只支持IE，而后续IE已经不被微软支持，并且大量的应用也不再支持IE；另外USB KEY也容易发生损坏和丢失，针对员工人数较高的企业，派发很麻烦，维护成本也更高。

这样一来，应用场景兼容性高、维护成本低的“动态密码”就自然而然成为了企业的不错选择。

“动态密码”场景越来越多，如何“减负”？

在企业级市场需求中，动态密码应用场景最早开始于VPN移动办公及Web邮箱（OWA）的双因子认证。

随着Wi-Fi技术普及，动态密码又开始为不同场景访客Guest Wi-Fi短信认证。

到这里为止，动态密码一直都是以“便捷性”为特点而饱受赞誉的。但是现在，行业里却有很多企业和用户，因为“动态密码”的“繁重”而叫苦不迭。

事实上，我们显然低估了企业发展的速度，以及伴随着企业的发展而同时提高的对于网络信息安全的诉求。

假设一家大型企业拥有数千甚至上万名员工，每天要对每一名员工按照“零信任安全”的原则进行“动态密码”验证，并且每次验证都要耗费一定的时间，那么这的确是一件极其“繁重”的事情。

同时，随着移动办公软件的普及和增多，同一名员工可能会使用不止一款办公软件。就以企业微信、钉钉为例，每一款办公软件都拥有一套独立的账号密码体系，每使用一款不同的办公应用就意味着需要再进行一次重复的“验证”，这又让“动态密码”更加“繁重”了许多。

而除了办公软件以外，SaaS和越来越多业务系统的应用，也会使得企业面临着同样类似的情况。一旦每个业务都需要与“动态密码”认证进行接口对接，那无论是对于开发对接还是用户使用来说，又会是一次“繁重”的困扰。

如何变重为“轻”？最直接的办法就是“一个账号”通行整个企业。

宁盾为业务系统建设统一单点登录门户，并在门户上集成动态密码认证，具备了“多业务的统一门户、安全认证”的能力。对于员工而言，无需重复“身份验证”，就可以访问所有的资源和业务系统；对企业来讲，更是简化了多应用系统重复登录，提升了入口安全。

“推送认证”、“人脸识别”，移动化演进中的安全认证技术

无论是替代动态密码的推送认证技术，还是通过企业微信、钉钉“扫一扫”认证、还是面向自行开发移动门户APP的生物识别， 安全认证将变得更加便捷及智能。

“零信任”安全，从“人”到“端”的信任扩展

“零信任安全”最早由研究机构于2010年提出，指导原则是“用不信任，始终验证”。而“动态密码”作为“零信任安全”中非常有效的认证手段，但只能解决“人”的信任问题，而对于“端”的信任如何去执行呢？

终端数量的急剧增多 ——传统的“终端准入”采用的是802.1x认证方式，需要在每一台设备上安装客户端，一旦当客户端大于一定数量时，就将会对企业的资金成本、运维成本、人力成本和时间成本，带来极大的挑战。

甚至往往由于各种问题还会导致用户无法正常上网，如此一来，员工痛恨，IT背锅。

在笔者看来，适当地改良解决不了问题，必须要遵循“轻量化”的思维进行彻底的革新，才能够满足企业移动化办公场景对于“便捷性”和“安全性”所提出来的要求。

在终端认证上，“宁盾NDACE轻量级准入方案”采用的是镜像流量的旁路部署模式，通过Web 或者“零客户端”的方式进行身份验证，终端兼容性、用户体验都非常好，也更加便捷“轻量”。

以 加AD的电脑为例，无需安装客户端，即可实现无感知身份认证及终端检查 。

写在最后

“动态密码”只是一个起点，从企业身份认证现状来看，碎片化、场景化特点日趋明显。无论是针对人还是端，如何用“轻量化、产品化”的思路，实现“全场景”覆盖能力，把企业身份认证这件事情做好，帮助企业在移动化发展过程中搭建基于“零信任”的安全基础设施，也许这正是宁盾们奋斗的目标吧。