身份认证管理系统量身做

　　对企业来说，重要的是找到适合其独特需求的身份认证管理系统，而不是改动自身的业务实践来生硬地套用某个解决方案。客户可能会问：我应该买什么样的身份认证管理系统，一个周末就可以安装好吗？其实身份认证管理并非简单地安装即可，也不是即插即用的产品，而是要有战略计划。在开始比较产品之前，要识别出目前无法妥善解决的问题，并对希望产品完成哪些工作心里有数。”

　　没有哪一种解决方案能够普遍适用于任何组织，而且成功的身份认证应用开始时规模会比较小。企业不要期望立刻就能从基于身份认证的网络管理中获得回报，和任何大型IT项目一样，要真正做到为业务服务则需要磨合的时间。这可能需要几个月时间来为它搭建起工作的架构，还需要另外几个月时间来让头几个部分正常运转起来，系统部署2～3个月后，才可能开始看到它的价值，完全认识其价值则需要6个月时间。所以整个周期将长达1年甚至更长。然而，如果企业的目标是使网络更安全和更适合未来发展，那么花在应用身份认证上的时间无疑是值得的。

　　盛大网络曾携手第一理财、中商网、中国票务中心、核新软件、金银岛、当当网六家企业，共同打造网络生活的全新身份认证平台，提高网上安全级别身份认证。出品了具有自主知识产权的盛大密宝，主要用于提高网络身份认证的安全级别，进一步保障帐号和交易安全。盛大密宝采用了基于时间同步的双因素动态密码认证技术，每分钟会产生一个绝不重复、无规律、且不可第2次使用的6位或8位数字密码。用户的帐号一旦绑定了“盛大密宝”，即实现了双因素认证。用户登陆时需在原帐号密码（又称静态密码）输入的基础上再输入密宝当时所显示的动态密码，其不可预知的特性使得盗号者风险加大，从而提高了帐号的安全性。

　　在机器之间进行身份认证数据的交换，将有助于跨组织间的安全交易。但信任机制真的可以自动化吗？无论你原来将钱存在什么地方，在世界上任何地方的ATM机上插入银行卡，敲入密码，几分钟内便可取出当地的货币。撇开手续费不考虑，这个交易是无缝透明的，与你在家乡取钱没什么两样。这就是同盟系统。通过使用简单的身份验证，加盟银行基于相互的信任来提供资金，彼此独立的各家银行在同盟网络里可以共享业务处理的交易流。如今，IT主要供应商和他们的客户都认为，同样的模型也可以用于供应商、合作伙伴和消费者之间的集成网络系统。随着开放的同盟化身份认证标准日渐成熟，IT 业界将能够成功部署复杂并安全的访问控制。

　　广东电信是应用单点登录的很好范例。由于业务运营的需要，广东电信企业内部的用户需要同时访问多个业务系统，并时常浏览企业内部网中的相关信息资源。在实施企业门户系统之前，由于用户在访问不同系统时需要分别独立启动不同的应用程序，因而获得的信息较为零散；同时，用户需要在各系统间频繁地切换，操作较复杂，无法快速地获得相关业务信息并加以分析利用；此外，用户在进行业务操作时，需要分别登录到不同的应用系统中，由于系统较多，用户账号或密码遗忘现象时有发生; 而在安全性和系统管理方面，广东电信需要大量的IT技术管理人员，分别管理和维护不同系统（如：ERP、统计分析、OA等）的用户信息。

　　针对这种状况，广东电信希望通过实施建立一个企业级的门户，为企业用户提供统一的信息资源访问入口，建立统一的、基于角色的和个性化的信息访问、集成平台；通过实施单点登录功能，使用户只需一次登录就可以根据相关的规则去访问不同的应用系统，提高IT系统的易用性；并且在此基础上进一步实现企业用户协同和知识管理功能。

　　采用单点登录方案后，当用户登录时，通过SSL协议进行认证。在建立SSL握手通信时，用户将其数字证书提交给门户Web服务器，门户Web服务器对客户端的身份进行认证，并由统一的LDAP中的CA认证中心向该用户发出证书。同时，门户服务器将客户端的证书同门户用户进行映射。广东电信用户认为：单点登录系统可以提供基于角色和Web的内、外统一的用户界面，使企业员工随时随地获取自己所需要的信息。

　　当然，目前非常先进的身份认证还要数生物识别技术。中国从事生物特征识别技术产品开发的厂家多达200多家，但产品趋同化现象严重，超过40%的产品都用于低端的考勤、门禁上。在技术方面，多数企业的硬件设备还只是源于国外的几个硬件供应商。尤其在虹膜识别这一细化领域内，由于虹膜识别技术研究难度大，能够进入者更在少数。中国是除美国外，目前世界上第二个拥有此项技术的国家。