ハイブリッドクラウド環境でディープラーニングを取り入れたID認証はより柔軟

[51CTO.com からのオリジナル記事] 入れ墨は秦と漢の時代に広く使用されていた刑法の一種でした。それは犯罪者の体の特定の部分に入れ墨を入れたり染めたりする行為でした。それは身元認証の一種でもありました。現在、私たちが使用している ID 認証方法は、生体認証、証拠、パスワードの 3 つのカテゴリに大別できます。原則として、これらの識別方法は何千年もの間使用されており、特に情報技術と統合されてからは時間の経過とともに大幅に進化し、エクスペリエンス、セキュリティ、その他の側面に破壊的な変化をもたらしました。

最近、身分認証認可とRTCプロトコルの分野で深い技術的蓄積を持つYufu TechnologyのCTOである王偉氏が51CTOとの独占インタビューに応じた。インターネットの黎明期から現在までのID認証技術の発展、ハイブリッドクラウド環境におけるID認証の課題と解決策について、参加者全員が深く議論しました。

[[218124]]

インターネットからAI時代への本人認証技術の進化

本人認証の観点から見ると、異なる時期に使用されるテクノロジーは大きく異なります。当初から現在まで継続され、現在も使用されている技術もいくつかありますが、使用されているうちに常に進化しています。

初期のインターネット: MD5、ハッシュ、Kerbero、SAML

初期の ID 認証は、MD5、さまざまなハッシュ、およびその他のテクノロジーを使用して、アカウントの最も基本的な暗号化と復号化を実行するだけでした。イントラネットが普及していた頃は、Kerbero、フェデレーション、SAML などのプロトコルが、ID 管理に関連するすべてのサービスをサポートするために使用されていました。

チケット発行期間中は Kerbero プロトコルが使用されます。システムが認証されると、ユーザーにチケットが発行されます。ユーザーはチケットを使用して各サブシステムにアクセスできます。

OASIS 組織の SAML と Microsoft がサポートする WS-Federation は、フェデレーション ID 認証の 2 つの主要な標準です。両者の主な違いは、SAML は XML 暗号化と XML 署名を直接使用するため REST で動作できるのに対し、WS-Federation では SOAP が必要であることです。 WS-Federation は WS シリーズのプロトコルの 1 つであり、異なるシステム内のアカウント間の相互信頼とフェデレーションの問題を解決します。

SAML は ID 認証の非常に典型的な標準であり、現在でも多くの企業で使用されています。 SAML 自体にはさまざまな複雑な構成があり、さまざまなシナリオで使用できます。現在、限られた数の構成をサポートしている大企業はごくわずかであるため、プロトコルを理解して学習すればフェデレーションは簡単に実行できます。

ポストインターネット時代: Open ID Connect、多要素認証

ポストインターネット時代、あるいは現在のインターネット時代において、XML ベースの SAML はますます肥大化し、不十分になってきています。非常に小さな問題を解決するために、トークンのペイロード全体は非常に大きくなります。時間の経過とさまざまなユーザーによってその疑う余地のないセキュリティが証明されていますが、新しいインターネット企業では、ほとんどの人が SAML は現在のニーズに適していないと感じ始めています。

Open ID Connect は SAML のような標準です。その利点は、より成熟した OAuth 認証プロトコルに基づいており、比較的軽量であることです。この傾向は非常に急速であり、新しい企業は一般的にこの標準を採用しています。

AI時代：多要素、量子コンピューティング

多要素認証も徐々に認知されつつあり、認証コードもそのひとつです。つまり、自分を証明するいくつかの要素を知った後、自分が自分であることを証明するための他のいくつかの要素も知り、2 要素認証を実行できます。

AI時代では、数学における暗号化と復号化によって提供されるさまざまなアルゴリズムとテクノロジーが成熟し続け、コンピューティングパワーの向上と相まって、ID認証のセキュリティは既存のリソースによって破られることはなく、使いやすく柔軟性も向上します。ユーザーを識別してそのユーザーが所有しているものを把握できるだけでなく、ユーザーのプロファイルを作成することもできます。ユーザー名、パスワード、または ID 証明書がなくても、ユーザーをすばやく識別できます。

もちろん、セキュリティは絶対的なものではなく、相対的なものです。理論的には、十分な時間と予算があれば、どんなパスワードでも解読可能です。

おそらく、量子コンピュータが登場すれば、現在の本人認証分野の技術はすべて一瞬にして解読されることになるだろう。現時点では、安全性は人間の介入、新しいテクノロジーの継続的な導入、既存の予防措置の更新によってのみ保証されます。

ハイブリッドクラウド環境におけるID認証の課題と業界の対応

現在そして将来、ますます多くの大規模、中規模、小規模の企業がビジネスをクラウドに移行するでしょう。同時に、これらの企業は、自社のニーズに応じて、さまざまなクラウド コンピューティング プロバイダー (AWS、Microsoft Azure、Alibaba Cloud など) のクラウド サービスを組み合わせて導入しようとします。

ハイブリッド クラウド環境では、ID 認証の課題は以前とは大きく異なります。主なポイントは5つあります。

• クラウドは異種であり、その認証メカニズムは多くの点で異なります。
• 企業間でアプリケーションが異なり、技術アーキテクチャや組織構造も異なります。サービスクラウド上のサービスも全く異なります。
• 異種システムのアイデンティティを接続する方法。
• 異機種システムごとにセキュリティ レベルが異なります。すべてのアプリケーションに安全にアクセスできるようにするために、統合プラットフォーム サービスで ID 認証を実行するにはどうすればよいでしょうか?
• いつでも、どこでも、あらゆるデバイスを安全に認証できます。

企業がこれらの課題に対処するための一般的なソリューションについて、王偉氏は、中国企業はクラウドID認証においてまだ初期段階にあり、この点でのソリューションは欧米のソリューションに比べて弱いと述べた。ヨーロッパや米国の一部の大企業では、従来のローカルに展開された ID 認証方法をクラウドに移行するのが最も一般的な方法です。しかし、従来の方法では接続できない他のクラウドサービスでは、クラウドに移行した後のクラウド間の接続の問題が解決できません。

すべてのソリューションは、SAML、Open ID Connect、Kerberos などの同じ認証テクノロジを使用しますが、業界のソリューションは異なります。さまざまなシステムを最も効果的に統合して、場所、時間、デバイスを問わず、ユーザーに使いやすく安全なクラウド認証エクスペリエンスを提供する方法。

ハイブリッド クラウド環境での ID 認証のこれらの課題に直面して、エンタープライズ レベルのクラウド ID 認証サービスが登場しました。企業が統合クラウド ID 管理を実現し、各ユーザー、アプリケーション、デバイス、ファイルをより安全に接続できるようにすることを目的としています。

ディープラーニングを取り入れたID認証は自動化され、より柔軟になります

ディープラーニング技術をサービスプロセス全体に統合し、ユーザーの使用状況を継続的に分析し、使用モデルを確立し、ユーザーのポートレートを提供します。危険行為については、直ちに警察に通報され、完全自動化されたシステムを通じて問題が迅速に解決されます。もちろん、人間の介入を必要とする特殊なケースはまだごくわずかです。

自動化は現在の IT 管理と制御にとって非常に重要であり、次の 3 つのポイントに基づいています。

• 攻撃に備え、既知の脅威のモデルを構築します。
• さまざまな環境に合わせてさまざまなリスク モデルを構築します。
• 各システムユーザーのプロファイルを作成する

これら 3 つのポイントをディープラーニングと対応するモデルの自動化を通じて組み合わせることで、ライフサイクル全体にわたってリアルタイムのセキュリティを提供できます。顧客のセキュリティを最大限に高めるだけでなく、ユーザーに優れたエクスペリエンスを提供する必要もあります。しかし、セキュリティとエクスペリエンスは矛盾しています。より安全を望めば、より苦痛を伴い、より便利を望めば、より安全性は低下します。両者のバランスを取るのは難しい。さまざまなモデルとディープラーニングに基づいて、セキュリティとエクスペリエンスの柔軟なバランスを実現できます。

【インタビュー対象者プロフィール】

彼は現在、Yufu Technology の CTO、チーフアーキテクト、共同創設者です。コア技術アーキテクチャの設計と開発を担当します。 ID認証・認可やRTCプロトコルなどの分野で深い技術的蓄積があり、将来の市場発展に対する洞察力も持っています。

[51CTO オリジナル記事、パートナーサイトに転載する場合は、元の著者とソースを 51CTO.com として明記してください]