探索PKI：什么是数字身份及其为什么重要？

什么是数字身份及其它的重要性在哪？面对这一问题，此前Hashed Out发布了一篇名为“What Is Digital Identity & Why Does It Matter?”的文章，里面详细介绍了关于数字身份的概念及作用。以下为原文，经公钥密码开放社区编译：

在一个人人互连的数字世界中，数字身份是网络安全的关键部分。

对于每个企业来说，一种最令人担忧的情况是有人创建一个看起来就是你公司的网站，这种情况不仅会导致业务流失，还会带来声誉上的损害。

为了对抗这种在线身份威胁，解决方案是建立一个可验证的数字身份，以向你的客户和网站访问者证明你确实是真实的。

然而，你的数字身份不仅仅是你的在线身份。从更技术的角度来看，你的数字身份是在特定背景下唯一识别你、你的公司和你的设备的证明。它有助于授权特定用户访问你的IT系统、数据和网络，或者防止他们访问这些内容。

举个例子，假设一台设备在星期五晚上8:53访问了你公司的财务信息。你怎么知道这是员工在家里的电脑上登录，还是一个黑客通过受控的物联网设备访问这些记录呢？这就是数字身份发挥作用的地方。

一、什么是数字身份？

简单来说，数字身份就像是你在互联网上的可验证的“护照”。

在美国国家标准与技术研究院（NIST）的《数字身份准则》（SP-800-63-3）中，数字身份被描述为“在线交易参与者的唯一身份证明”。从稍微技术的角度来看，你的数字身份是一系列属性，可以在不同的情境下唯一识别你和你的设备，从而向内部或外部实体证明你是合法用户，并且具有特定系统或数据的访问权限。

如果还不太明白，下面是一些数字身份的简单示例，它们能够帮助我们更好地理解这个概念：

• IP地址
• 登录凭据（用户名和密码）
• 数字证书
• 设备的MAC地址

拥有一个经过验证的数字身份的好处在于——它能够在网络上唯一标识你的业务，并让你的客户知道你的网站是合法且安全的。这有助于建立信任，从长远来看，对企业的品牌形象和声誉都有着莫大的好处。

1、数字身份是PKI的核心

在之前的文章中，我们也有介绍过PKI，PKI是一个完整的政策、流程和技术生态系统，它是保障互联网通信所依赖的框架，并且确保数字通信的安全，也是人们组织有效访问控制和管理的重要因素。

2、利用PKI验证用户的数字身份有助于组织在业务中实施零信任架构。零信任模型包括以下过程：

• 验证用户声称自己的身份
• 验证用户对其尝试访问的文件/系统是否具备授权或权限
• 在经过标识符审核和权限确认后，授予他们访问权限
• 以及在连接期间继续验证他们的访问是否合法

3、数字身份的应用之处

数字身份能够帮助你确定你在网络上与谁进行交互，以及谁试图访问你的系统或数据。例如，它帮助你回答各种重要问题，比如：

• 刚刚登录你的网络并访问会计文件的设备是你的会计师还是黑客？
• 软件更新是来自你的IT部门还是来自黑客？
• 你正在使用的网站是你供应商拥有的合法网站，还是一个钓鱼网站？
• 你通过电子邮件收到的汇款请求是真实的，来自你的上司吗？

可以说数字身份建立了数字信任，而如果没有数字信任，人们就无法在网络上进行安全通信。在企业和组织中，数字身份应用的方式略有不同。因为公司可能没有用户可以验证的生物特征，所以一般会使用其他方法来验证组织及其网站的合法性。例如：

• 官方的公司记录（公司名称、验证的地址和电话号码）
• X.509数字证书（SSL/TLS证书、电子邮件签名证书、设备或客户端身份验证证书、代码签名证书、文档签名证书等）
• 加密密钥
• 数字签名
• 网站信任印章

4、数字身份不存在于真空中

我们需要注意的一件事是，数字身份本身并没有价值，它必须作为一个更大生态系统的一部分来支持和验证。

数字身份需要有上下文，也就是说它必须与特定的个人、设备或组织相关联，并且可以被验证。如果这些数字身份没有指向特定（且可验证）的个人或设备，那么它们就不会为你的安全或访问管理计划提供任何价值。实际上，这种情况将毫无意义。

现在，让我们将这个概念应用到企业内部授予个人访问权限的方式上。作为公司的员工，可能需要满足一定的要求，才能获得访问公司IT系统或文件的凭证。例如，在授予你任何形式的访问权限之前，你的公司可能会验证以下信息：

• 你是该组织的合法（且在职）员工
• 你的工作需要你具备访问权限来执行特定的功能
• 你的经理授权你拥有具有的权限

如果你没有满足上述任何要求，那么你将无法获得这些权限。没有这些权限，即使你完成了身份验证过程，你也无法访问这些资源。授权和身份验证是两个相关但独立的概念。

简单来说，授权是关于拥有访问特定数据、系统、工具或其他资源的权限，而身份验证是为了证明你的身份，以便你可以使用或访问那些你被授权的资源。

这便是证书颁发机构（CA）的用武之地了。

5、CA使用你的数字身份来验证你的组织和用户

CA是一种可信赖的第三方机构，所有主要浏览器（如Chrome、Safari、Mozilla等）都信任它们，因为它们必须符合一些标准和要求（由CA/Browser论坛或称为CA/B论坛提供的规定）。CA使用官方记录来核实组织的真实信息（如公司名称、地址、联系信息等）。它们还负责提供或帮助生成证书中的其他项目（只要申请的组织符合一定的要求）。

举例来说，为了帮助浏览器信任特定的网站，证书颁发机构会颁发一种称为SSL证书的数字证书。

该数字证书会将一个组织的真实身份与其加密密钥对绑定在一起。这样，只有该组织——而且只有该组织——才能使用该证书来证明其身份，向用户提供以下保证：

• 它们连接到正确的网站和服务器（身份验证）
• 它们的数据是安全的，不会被网络犯罪分子窃取或篡改（加密措施确保数据完整性和安全性）

因此，每当你访问一个安全的网站时，你的浏览器会显示安全锁和“HTTPS”。

这也是帮助你的网站避免出现令人讨厌的警告（如Google Chrome中的“不安全”警告）的原因。

二、为什么数字身份非常重要？

数字身份之所以重要，是因为互联网本身是一种不安全的通信方式。数据以不安全、未加密的格式通过互联网从服务器传输到服务器。这意味着任何掌握相关技术的人都可以通过中间人攻击 (MitM) 拦截、读取或更改他们认为合适的数据。

从业务角度来看，数字身份对于访问管理和实施零信任基础设施至关重要。它为IT管理员提供了一种将特定访问权限与个人用户帐户关联并验证只有这些用户才能访问那些系统或数据的方式。

从本质上讲，数字身份就是让一个值得信赖且可靠的第三方验证你的身份。如果没有它，任何人都可以冒充你的公司并欺骗毫无戒心的用户，让他们相信他们就是你。当你与世界各地的人们（可能从未见过或见过面）进行交流时，能够验证某人的身份至关重要。

数字身份不仅仅适用于网站的数据传输。它还适用于组织的内部IT环境。监控连接设备和用户的数字身份可以让我们识别网络上发生的任何可疑活动。这可以帮助我们减轻因网络相关的泄露或网络攻击而可能导致的任何潜在损害或数据盗窃。

例如，假设你注意到办公室的智能恒温器试图访问HR数据库和员工文件。这应该会自动发出设备可能受到损害的警报，因为：

该物联网设备无权访问这些系统，并且它没有理由访问这些系统或文件。    

所有这些不同的功能都强调了互联网上数字身份的重要性。

数字身份的重要性无需多提，那么组织如何利用数字身份保护业务的安全性？

三、利用数字身份保护业务安全的四种方式

当下，互联网无处不在，组织依赖互联网进行营销和销售产品或服务，以及推动公司的日常运营和沟通。但是，对于客户而言，如何能将企业与网络犯罪冒名顶替者区分开来？以下是一些我们可以采取的措施来建立你组织的数字身份。

1、在你网站上安装SSL/TLS证书

SSL/TLS证书可以认证你的网站的合法性，与用户的浏览器建立安全的加密连接，通过使用数字签名确保你的数据完整性。

2、使用电子邮件签名证书让用户知道你的消息是合法的

电子邮件是黑客欺诈个人和企业的一大手段。相关数据显示，每年，因为电子邮件钓鱼、企业电子邮件被篡改欺诈（BEC）和电子邮件帐户被篡改（EAC）等问题造成的损失超过数十亿美元。

因此，为了确定收到的电子邮件的合法性，客户可以使用电子邮件签名证书进行验证。当你发送一个使用了数字签名的电子邮件时，你会看到邮件中出现一个标记（如下图所示）：

用有效的数字签名签署的电子邮件，证明了数字身份的有效性。数字证书通常提供了关于签名的详细信息，包括使用的哈希值以及电子邮件签名的日期/时间的时间戳信息。

你可以使用电子邮件签名证书来加密邮件（与其他电子邮件签名证书用户交换邮件时），以及PKI进行设备对服务器的身份验证（作为增加公司密码安全性的无密码身份验证形式）。 

3、使用代码签名证书对软件进行签名以保护供应链

你可能会惊讶地发现，数字证书不仅可以用于保护你的电子邮件和网站。还有一种名为代码签名证书的数字证书可用于对软件代码进行签名。这有助于向用户保证你的软件是合法的，并且自发布以来没有人对其进行篡改。

基本上，这是显示已验证的发布者信息（图1）与未验证的发布者信息（图2）之间的区别：

由经过验证的发布者签名以证明其数字身份的软件消息示例（图1）

来自未知或未经验证的发布者的软件消息示例（图2）

因此，如果你是一家软件公司，正在推出一个关键补丁，你的客户可以验证更新是否合法并由你的企业发布（而不是冒名顶替者）。

4、使用PKI客户端身份验证简化登录和避免凭证钓鱼欺诈

凭证泄露是全球企业面临的一个大问题。根据此前Verizon2020年数据泄露调查报告（DBIR）的数据显示，2019年四分之四的与黑客相关的入侵中涉及到被盗或丢失的凭证。

避免凭证泄露的一种方式是限制需要用户输入凭证的站点和Web应用程序。你可以通过使用基于PKI证书的身份验证（即客户端身份验证）来实现这一点。这种无密码身份验证方法使你的员工可以使用与其唯一数字身份相关联的数字证书登录以访问系统、文件或数据。它消除了记住或输入繁琐的用户名和密码的需求。（你只需登录到设备即可。）

根据Sectigo的说法，当将基于PKI的身份验证与可信平台模块结合使用时，比密码和基于短信的多重身份验证（MFA）方法更安全。

（图源：Sectigo）

四、写在最后

一言以蔽之，投入精力建立和保护你的数字身份是每个IT团队的一项至关重要的关键职责。它可以帮助您建立数字信任，确保你的客户不会被那些试图欺诈他们、冒充你的不良分子所迷惑。同时，它还可以帮助你辨别和验证某人是否具有合法的权限和授权，以安全访问你的网络、IT系统、服务器、文件或其他数据。

随着世界越来越依赖互联网和数字通信，并且企业越来越多地采用零信任的IT架构，使用和保护组织及用户的数字身份变得更加重要。这种趋势进一步凸显了数字身份的价值和保护的必要性。

只有通过努力建立和保护数字身份，才能确保组织的业务在数字时代得以良好运营并与客户建立可信的关系，从而在数字世界中安全航行。

来源｜Hashed Out
编辑｜公钥密码开放社区
重要声明：本文来自公钥密码开放社区，经授权转载，版权归原作者所有，不代表锐成观点，转载的目的在于传递更多知识和信息。