因为目前企业用AD的很多，微软的产品多，因此安全技术中的所有模块都可以进行整合，包括认证系统与AD的深度开发。在很多情况下，让企业的IT人员维护两套甚至更多的账号系统一样也是不现实的，而且相当麻烦。

　　合理的方法是与用户既有的认证系统结合起来，而目前使用最多的就是域账号。对此，企业的VPN、动态VPN包括认证系统都可以使用相同的AD账户，从而实现单点登录(Single Sign On)。

　　从更大的方面说，整个网络准入控制阶段都可以与AD结合。正如Cisco的安全工程师所说的，现在的整体安全技术，最起码都要做到与AD结合，做到与Radius认证结合，因为这两个是最常用的。

　　有意思的是，根据美国《Network World》和本报在2005年的统计，无论是中国用户还是美国用户，企业网中部署AD的都相当多，从中也反映出Windows认证的规模最广。但要把 AD与内网安全进行整合，目前最大挑战在于，安全厂商必须对微软的产品特别了解，需要一定的技术支持才能做相应的开发。

　　以新华人寿的认证系统为例，传统的Windows登录域界面已经被修改，而新的界面已经与后台的AD和企业邮件系统作了整合，一次登录就可以实现访问所有的应用。

　　此外，根据用户的具体需求，王景辉表示内网安全技术还可以进一步与LDAP、X.509证书进行结合。记者了解到，目前国内的很多政府部门都在做类似的工作。以河南计生委的安全系统为例。河南计生委的数字证书都是基于原CA公司的认证系统生成的。因此，他们在部署其它安全设备的时候，不能另起炉灶再搞一套，否则会出现多次认证的问题。这就要求安全厂商需要同原CA厂商合作，一起做认证接口的数据交换----安全厂商负责认证信息提交，CA厂商负责认证与返还信息。最后，与CA证书结合后的安全系统，同样可以实现一次性的三点认证(身份、域、VPN)。

　　记者注意到，美国《Network World》的安全编辑近期非常热衷于统一认证管理UIM的概念，他认为将双因数认证、企业中央AD、后台认证服务器和信任仓库、以及部分网络准入控制的模块整合在一起，就可以形成最完善的UIM体制。

　　他们的理由也很简单----认证几乎无可避免:很多应用使用权力分配的或者所有权的认证方法和数据库，因此想要利用一个简单的认证平台去支持所有的应用几乎是不可能的。而这正是UIM存在的基础。

　　针对此问题，国内安全厂商的看法是，UIM很重要，可以解决企业用户的认证管理问题，不过从更大的内网安全方向看，UIM仍不是全部。颜世峰的看法是，一套完善的内网安全技术，至少包括三方面:第一网络准入控制NAC(也可以算是UIM)。它保证了只有合法的、健康的主机才可以接入网络，其中包括用户身份认证与接入设备的准入控制管理;第二，网络终端管理NTM。它解决企业办公终端的易用性、统一管理、终端安全等问题;第三，网络安全运行管理NSRM。它可以动态保证网络设备、网络线路的安全、稳定运行，自动发现网络故障、自动解决并报警。

　　看到了么，一套身份认证系统，就牵扯出整个内网安全的各个组成部分。现在应该没有人会怀疑安全的平坦化了，但请记住，平坦才刚刚开始。

平坦的安全缺乏标准

　　安全是平的，但在平坦的技术中缺乏标准。不论是身份认证还是更加庞大的内网安全，各个国家都没有对应的通用标准。事实上，即便是802.1X协议，各个安全厂家之间也无法完全通用。

　　对内网安全技术来说，现在国内外没有一个厂商大到有很强的实力，把不同的专业安全厂商的产品集成到一起，因此很多还要靠大家一起来做。因此业界有天融信的TOPSEC，也有CheckPoint的OPSEC，也有神州数码自己定义的协议SOAP。

　　业界需要标准，但是没有。王景辉无奈地向记者表示，各家厂商不得不定义自己的通信接口和密钥协商机制，其中还要确保协议隧道中的所有数据都是加密的。不过他同时认为，目前的状态可以满足市场需求。

　　记得有印象，早在2000年就有人提出统一安全标准的问题，但是做不到。退一步说，目前安全市场的趋势是变化和更新速度非常快。开发一个安全协议要考虑保护用户现有和既有的投资，要让过去的设备能用起来。但现在的情况是，还没有等协议出来，过去的设备已经过时了，从这个角度上说，统一所有厂家的安全协议没有价值。

　　而且，中国政府在安全上是有自己的想法的，国际厂商出一个协议，不一定能够认同。像以前的WAPI事件，就是一个例子。

摸索中的身份管理

　　由于目前的工具、框架和标准还不成熟，部署全面的身份管理系统几乎是不可能的。但这并不意味着人们不能通过针对单一登录、双因素认证、自动配置或基于角色的访问控制的项目来完成身份管理的某些部分。

　　这正是今年Burton Group Catalyst大会的中心话题。在大会上，CEO Jamie Lewis指出，自去年大会后，业界主要在应用框架和工具领域取得了进展。不过，他补充说，这些框架还没有达到1.0状态，可能在相当长的时间内不会为黄金时代的来临做好准备。

　　但是，Lewis说:“有理由持谨慎乐观的态度。” CA、HP、IBM、Juniper、Microsoft、Novell和Oracle等主要厂商对身份管理作出了承诺。Sarbanes-Oxley法案等法规正在促使企业加强他们的内部控制。在线顾客认证已经成为涉及新银行法规和与身份偷窃以及在线欺诈相关的安全问题的热门话题。鉴于目前还没有一种完全合一的身份管理产品，各公司稳扎稳打，尝试利用部分产品来解决特殊问题。

　　例如，加拿大卡尔加里市TransCanada Pipeline公司有3000名用户，这些用户以前平均拥有13种口令，口令问题占帮助台呼叫的20%。据技术设计师Martin Vant Erve说，这家公司开始部署单一登录和双因素认证技术来提高安全性、方便用户的使用以及减少帮助台呼叫。

　　TransCanada选择了来自Passlogix公司的名为V-Go的单一登录产品，并采用了RSA SecureID(已经被公司20%的员工使用)提供的双因素认证。

　　Vant Erve谨慎地实施这一部署，成立了多个试验小组，甚至在开始时让用户自愿报名使用。最后，全公司接受了这个项目。该项目达到了两个目标:改进了安全性;方便了用户在公司3000种应用和网站间的导航。不过，Vant Erve发现帮助台呼叫增加了。他表示，“我忘了我的令牌现在成了人们打电话的3个主要原因之一。”

　　据Toro公司企业信息服务副总裁Michael Drazan说，遵从性是推动这家公司部署基于角色的访问控制的因素。

　　他当时有很多问题需要解决。首先，他的安全团队将大部分时间用于应付口令问题;其次，Drazan还面临一个财务上的限制:他不想把更多的钱用在安全上，因为他的主要战略目标是将IT资源用于帮助推动业务的发展，而非用在运营上。

　　因此，Drazan着手实施一项基于角色的访问控制项目。该项目基于Sun的Java System Access Manager和Prodigen的 Contouring Engine，对日志文件进行筛选，发现人们使用什么应用。例如，如果一位雇员访问12个应用但从来没有使用其中的9个应用，那么可以在与这位雇员、安全团队和数据所有者商量后，创建一个减少访问的新角色。

　　该公司采取了逐个应用实施的方式，已经完成了其核心SAP和Ariba应用的访问控制。Drazan说，SAP交易访问减少了63%，审计没遇到问题，安全管理减少了，其安全预算也没有增加。他说，下一步工作是将基于角色的访问控制扩展到交易员、批发商和供应商。

　　参加这次大会的其他用户强调了建立身份管理的困难。UBS公司经理William Gebhardt表示，当他尽全力建立安全的在线金融服务系统时，必须在安全可用性与成本之间取得平衡。例如，如果他减少令牌的尺寸，可以省钱，但他的老年客户可能看不清屏幕上的字。他说公司应当从建立身份管理架构入手，开始实施身份管理项目。但他接着说:“这将是相当困难的工作。”

联合的魅力——利用EAP结合PKI实现网络接入控制

　　为了保证网络资源的安全可控，网络接入控制已经成为当前主要的安全环节。其中，采用网络身份鉴别协议EAP同PKI技术相结合，成为了集通用、安全、高性价比于一身的做法。

　　网络，无论是局域网、城域网还是广域网，都是一种资源，而资源就需要保护，不能任何人、任何设备都随意接入。随着WLAN的迅速发展，网络接入变得更简单，但无线在带来方便性的同时，也使得网络接入的安全问题显得日益突出。

　　目前业界的看法是，网络接入控制是保证网络安全的一个重要环节，而接入控制的关键是身份鉴别。在已有的各种身份鉴别方法中，PKI是被公认为最安全有效的。而网络身份鉴别协议EAP同PKI的结合，能够实现安全的网络接入控制。

　　协议决定安全

　　PKI是Public Key Infrastructure-公钥基础设施的简称，它是一种基于公开密码学的信息安全技术和体系。在公开密码技术中，信息加密涉及一对密钥(公钥和私钥)。为了安全发布公钥防止假冒，公钥及公钥持有人姓名等信息被放在X509格式的数字证书中，并且数字证书由一个权威的、可信的第三方数字签名，该可信的第三方称为CA-Certification Authority。通过数字证书可以实现身份鉴别、信息保密及数字签名。

　　EAP是为点对点协议(PPP)设计的身份鉴别协议，它采用Request/Response方式，这点同RADIUS非常类似。EAP涉及三个实体: Peer、Authenticator及Authentication Server。这里的Peer即待接入的终端设备，如计算机;Authenticator是网络接入设备，如接入服务器、交换机、无线接入点AP等; Authentication Server用于完成用户的身份鉴别。

　　在采用EAP协议后，Peer就会连接到Authenticator，而Authenticator会向Peer发出EAP请求，要求Peer提交身份信息，Peer响应身份信息后，Peer与Authentication Server之间交换信息，完成身份鉴别。身份鉴别成功后，Peer即可接入到Authenticator，并连到网络上。

　　在这个过程中，Authenticator与Authentication Server是从功能上划分为二个实体，实际上Authentication Server与Authenticator可在一个设备上实现。当这两个功能在不同设备上实现时，Authenticator相当于Peer和 Authentication Server之间鉴别信息交换的桥梁。如果需要，Authenticator将实现EAP与其他身份鉴别协议间的转换。当这两个功能分开实现时， Authenticator与Authentication Server之间可走RADIUS协议。

　　新协议的基础

　　PKI是目前实际身份鉴别的最好技术，这是因为PKI不但能够实现身份鉴别，而且能够同密钥协商机制有机地结合，实现数据链路层的信息加密。据专家介绍，目前国际上基于PKI的EAP身份鉴别方法有许多种，对于国内用户来说，比较有现实意义的主要集中在EAP-TLS和PEAP两种技术上(目前也有EAP -TTLS技术)。

　　EAP-TLS是一个IETF标准。TLS即传输层安全(Transport Layer Security)，也称为SSL。它原本是一种传输层的安全协议，主要实现两个功能:身份鉴别与信息加密。TLS可实现基于证书的单向身份鉴别(只鉴别服务器)和双向身份鉴别(同时鉴别客户端与服务器)。TLS在完成身份鉴别的同时，还交换密钥信息，通过密钥信息可导出会话密钥用于信息加密。

　　需要指出的是，在这里TLS并不是作为一个安全传输层协议跑在TCP/IP层之上，而是将TLS的Handshake Record直接嵌套在EAP数据包中，作为EAP Request/Response的数据来传送，通过TLS的Handshake Record完成单向或双向的身份鉴别。EAP-TLS只利用了TLS的身份鉴别功能，并没有利用TLS建立的加密通道。

　　为了能够进一步利用TLS建立的安全通道交换EAP身份鉴别信息，IETF随后出台了PEAP(Protected EAP Protocol)标准草案。PEAP不但通过EAP Request/Response数据包传送TLS的Handshake Record完成身份鉴别，并且完成身份鉴别后进一步通过TLS的Data Record再传送EAP身份鉴别协议。

　　这就是说，在使用PKI数字证书进行的身份鉴别协议中，EAP-TLS必须使用客户端证书完成客户端的身份鉴别，而PEAP则可以使用客户端证书，也可以不使用客户端证书，这是因为

本文引用地址：http://www.ipmotor.net/news/jishu/2006/1201/content_83.htm