ハイブリッドクラウド環境でディープラーニングを取り入れたID認証はより柔軟

[51CTO.com からのオリジナル記事] 入れ墨は、秦と漢の時代に広く使用されていた刑法の一種です。犯罪者の体の特定の部分に入れ墨や染色をすることを含み、身元認証の一形態でもありました。現在、私たちが使用している ID 認証方法は、生体認証、証拠、パスワードの 3 つのカテゴリに大別できます。原則として、これらの識別方法は何千年もの間使用されており、特に情報技術と統合されてからは時間の経過とともに大幅に進化し、エクスペリエンス、セキュリティ、その他の側面に破壊的な変化をもたらしました。

最近、身分認証認可とRTCプロトコルの分野で深い技術的蓄積を持つYufu TechnologyのCTOである王偉氏が51CTOとの独占インタビューに応じた。インターネットの黎明期から現在までのID認証技術の発展、ハイブリッドクラウド環境におけるID認証の課題と解決策について、参加者全員が深く議論しました。

[[218124]]

インターネットからAI時代への本人認証技術の進化

本人認証の観点から見ると、時代によって使用される技術は大きく異なります。また、初期から現在まで継続して使用され続けている技術もいくつかありますが、使用中に常に進化しています。

初期のインターネット: MD5、ハッシュ、Kerbero、SAML

初期の ID 認証は、MD5、さまざまなハッシュ、およびその他のテクノロジーを使用して、アカウントの最も基本的な暗号化と復号化を実行するだけでした。イントラネットが普及していた頃は、Kerbero、フェデレーション、SAML などのプロトコルが、ID 管理に関連するすべてのサービスをサポートするために使用されていました。

チケット発行期間中は Kerbero プロトコルが使用されます。システムが認証されると、ユーザーにチケットが発行されます。ユーザーはチケットを使用して各サブシステムにアクセスできます。

OASIS 組織の SAML と Microsoft がサポートする WS-Federation は、フェデレーション ID 認証の 2 つの主要な標準です。この 2 つの主な違いは、SAML では XML 暗号化と XML 署名が直接使用されるため REST で動作し、WS-Federation では SOAP が必要であることです。 WS-Federation は WS シリーズのプロトコルの 1 つであり、異なるシステム内のアカウント間の相互信頼とフェデレーションの問題を解決します。

SAML は ID 認証の非常に典型的な標準であり、現在でも多くの企業で使用されています。 SAML 自体にはさまざまな複雑な構成があり、さまざまなシナリオで使用できます。現在、限られた数の構成をサポートしている大企業はごくわずかであるため、プロトコルを理解して学習すればフェデレーションは簡単に実行できます。

ポストインターネット時代: Open ID Connect、多要素認証

ポストインターネット時代、あるいは現在のインターネット時代において、XML ベースの SAML はますます肥大化し、不十分になっています。小さな問題を解決するために、トークンのペイロード全体が非常に大きくなります。時間の経過とさまざまなユーザーによってその疑う余地のないセキュリティが証明されていますが、新しいインターネット企業では、ほとんどの人が SAML は現在のニーズに適していないと感じ始めています。

Open ID Connect は SAML に似た標準です。より成熟した OAuth 認証プロトコルに基づいており、比較的軽量であるという利点があります。この傾向は非常に急速で、新しい企業は一般的にこの標準を採用しています。

AI時代：多要素、量子コンピューティング

多要素認証も徐々に認知されつつあり、認証コードもそのひとつです。つまり、自分を証明するいくつかの要素を知った後、自分が自分であることを証明するための他のいくつかの要素も知り、2 要素認証を実行できます。

AI時代では、数学における暗号化と復号化によって提供されるさまざまなアルゴリズムとテクノロジーが成熟し続け、コンピューティングパワーの向上と相まって、ID認証のセキュリティは既存のリソースによって破られることはなく、使いやすく柔軟性も向上します。ユーザーを識別してそのユーザーが持っている情報を把握できるだけでなく、ユーザーのプロファイルを作成することもできます。ユーザー名、パスワード、または ID 証明書がなくても、ユーザーをすばやく識別できます。

もちろん、セキュリティは絶対的なものではなく相対的なものです。理論上は、十分な時間と予算があれば、どんなパスワードでも解読可能です。

おそらく、量子コンピュータが登場すれば、現在の本人認証分野の技術はすべて一瞬にして解読されることになるかもしれない。現時点では、安全性は人間の介入、新しいテクノロジーの継続的な導入、既存の予防措置の更新によってのみ保証されます。

ハイブリッドクラウド環境におけるID認証の課題と業界の対応

現在および将来、大規模、中規模、小規模の企業がビジネスをクラウドに移行するケースがますます増えるでしょう。同時に、これらの企業は、自社のニーズに応じて、さまざまなクラウド コンピューティング プロバイダー (AWS、Microsoft Azure、Alibaba Cloud など) のクラウド サービスを組み合わせて採用しようとします。

ハイブリッド クラウド環境では、ID 認証の課題は以前とは大きく異なります。主なポイントは次の 5 つです。

• クラウドは異種であり、その認証メカニズムは多くの点で異なります。
• 企業間でアプリケーションが異なり、技術アーキテクチャや組織構造も異なります。サービスクラウド上のサービスもまったく異なります。
• 異種システムのアイデンティティを接続する方法。
• 異機種システムにはそれぞれ異なるセキュリティ レベルがあります。統合プラットフォーム サービスで ID 認証を実行して、すべてのアプリケーションに安全にアクセスできるようにするにはどうすればよいでしょうか。
• いつでも、どこでも、あらゆるデバイスを安全に認証できます。

企業がこれらの課題に対処するための一般的なソリューションについて、王偉氏は、中国企業はクラウドID認証においてまだ初期段階にあり、この点でのソリューションは欧米のソリューションに比べて弱いと述べた。欧米の一部大企業では、従来のローカルで展開されている ID 認証方式をクラウドに移行することが最も一般的な方法です。しかし、従来の方法では接続できない他のクラウド サービスでは、クラウドに移行した後もクラウド間の接続の問題を解決できません。

すべてのソリューションは、SAML、オープン ID コネクト、Kerberos などの同じ認証テクノロジを使用していますが、業界のソリューションは異なります。さまざまなシステムを最も効果的に統合して、場所、時間、デバイスを問わず、使いやすく安全なクラウド認証エクスペリエンスをユーザーに提供するにはどうすればよいでしょうか。

ハイブリッド クラウド環境での ID 認証のこれらの課題に直面して、エンタープライズ レベルのクラウド ID 認証サービスが登場しました。企業が統合クラウド ID 管理を実現し、各ユーザー、アプリケーション、デバイス、ファイルをより安全に接続できるようにすることを目的としています。

ディープラーニングを取り入れたID認証は自動化され、より柔軟になります

ディープラーニング技術をサービスプロセス全体に統合し、ユーザーの使用状況を継続的に分析し、使用モデルを確立し、ユーザーのポートレートを提供します。危険行為については、直ちに警察に通報され、完全に自動化されたシステムを通じて問題が迅速に解決されます。もちろん、人間の介入を必要とする特殊なケースはまだごくわずかです。

自動化は現在の IT 管理と制御にとって非常に重要であり、次の 3 つのポイントに基づいています。

• 攻撃に備え、既知の脅威のモデルを構築します。
• さまざまな環境に合わせてさまざまなリスク モデルを構築します。
• 各システムユーザーのプロファイルを作成する

これら 3 つのポイントをディープラーニングと対応するモデルの自動化を通じて組み合わせることで、ライフサイクル全体にわたってリアルタイムのセキュリティを提供できます。顧客のセキュリティを最大限に高めるだけでなく、ユーザーに優れたエクスペリエンスを提供する必要があります。しかし、セキュリティとエクスペリエンスは矛盾しています。より安全を望めば、苦痛も大きくなります。より便利を望めば、安全性は低下します。この 2 つのバランスを取るのは困難です。さまざまなモデルとディープラーニングに基づいて、セキュリティとエクスペリエンスの柔軟なバランスを実現できます。

【インタビュー対象者プロフィール】

彼は現在、Yufu Technology の CTO、チーフアーキテクト、共同創設者です。コア技術アーキテクチャの設計と開発を担当します。 ID認証・認可やRTCプロトコルなどの分野で深い技術的蓄積があり、将来の市場発展に対する洞察力も持っています。

[51CTO オリジナル記事、パートナーサイトに転載する場合は、元の著者とソースを 51CTO.com として明記してください]