认识电脑中验证系统和用户身份的困难之处

核心提示：妨碍身份管理以及在线认证系统的一大问题就是如何准确地识别连接到某个服务的系统或者用户的身份， 近来人们广泛注意到一种可能的识别方法，认识电脑中验证系统和用户身份的困难之处，那就是找到并识别“机器ID”，这种ID是为每个实体系统特别制定的唯一标识符，即使是终端系统和相关网络均被攻击的情况下依然安全

妨碍身份管理以及在线认证系统的一大问题就是如何准确地识别连接到某个服务的系统或者用户的身份。

近来人们广泛注意到一种可能的识别方法，那就是找到并识别“机器ID”，这种ID是为每个实体系统特别制定的唯一标识符，一般很难伪造出可靠的标识符的。这种方法会跟踪内网IP地址，终端用户系统补丁水平以及浏览器配置，甚至会跟踪终端用户系统硬件配置。

这样的话就有这么个问题了：如果有2个以上用户在使用同一个授权的系统的时候，你如何准确判定他们的身份呢？——系统如何处理来自不同用户的相似的识别请求呢？

如果授权系统是跟其他软件一起安装的，那么这个问题可能早就解决了，并且除了偶然情况，它不会再出现。很多防拷贝软件和硬件的工作模式都是这样的——已安装的产品的一部分是由附加的代码组成的，以便确保只有合法的安装文件才能正常使用。此类方法本该根据系统的识别信息来修改密钥软件、需要使用‘Dongle’这种硬件来验证、寻找隐藏的系统文件或者可移除的媒介，或者甚至在原始的安装媒介上寻找认为毁坏的空间。

尽管商家用尽所能来阻止人们复制或者不正当地使用软件，人们却费尽心机地想要克服上述的各种防止非授权用户的手段。让我们再回到本文提出的概念上来——开发并引入某种在线使用的等价系统，随着破解该系统的金钱诱惑的增长，人们绕过或者破解它的积极性也越来越高，并且越来越多的匿名化倾向也导致人们希望绕过认证。即使绕过系统得不到多少实际的利益，这些系统也会由于自身的某些原因而致使人们想要绕过它。当Windows Genuine Advantage和Windows XP激活工具无法正常工作时，合法系统用户遇到的这些问题会被详细地记录下来。如果系统在用户什么都没做的情况下坏了，这对它正要保护的人们来说又有什么好处呢？

把此类机制引入到在线环境中比仅仅允许它存在于终端用户系统上要更困难。开发者和管理者需要在由动态协议引起的问题方面达成一致意见，该动态协议能够处理来自不同数据源的连续请求，也能处理各种使用网络服务的、可能的终端设备，不单单指使用不同操作系统的计算机，还指screen reader，收集，Kiosks，以及其他的可联网设备。本地应用可以从MAC地址以及硬盘序列号中获得信息，但是通过联网的系统比较难获得这些信息。像ActiveX这样的依赖平台的技术，可以简化该过程，但它会引起安全问题还会给其他平台用户（OS X和Linux）带来麻烦。

我们有很多方法可以进行基本的验证并跨站点跟踪状态，但是这些方法都有弊端。当系统数量成比例增长、并且在其中不少系统使用加载平衡和代理的情况下，这些方法就会显露各种问题。即使是当前最好的方案也存在严重的漏洞，用户可以强行使系统还原，迫使系统进入安全模式，在此模式中附加安全和认证措施的等级都是最低的（很多情况下变成一个简单问题）。人们提出了一些实现这些系统的方法，包括浏览器认证、使用的用户名、系统补丁等级，然而这些方法都可以被网络应用欺骗或者躲避过去。总而言之，这些方法都没有真正地与正在使用的特定系统绑定。

有部分困难是来自创建一个足够严谨的系统，用它验证并对硬件用户身份或者终端用户系统配置的变化发出预警，并且还要使该系统足够灵活能够识别并认可那些使用同一机器的多个用户以及合理程度的系统变化，比如在更换硬盘、更新系统补丁或者其他例行的更新时可能出现的情况。事实上，很多系统已经几乎实现了这个功能，但却对应用或者基础系统所面临的安全问题没有任何实质贡献。

从整体角度来看，用来识别特定系统的系统附件有可能会降低系统的整体安全性（因而突出整个系统设计存在的问题）。

但是，我们有解决方案。

我们测试实验中有一款产品是平台无关的，可以达成以上目标。不需要在客户端安装任何东西，完全不依赖平台和系统，似乎Nabu（该产品）很接近我们的目标：使用户能够安全地与在线服务进行互动（反之亦然），即使是终端系统和相关网络均被攻击的情况下依然安全。如果是用网络Kiosk或者锁定的只读系统，对解决当今信息安全研究人员所面临的关键问题非常有利。