1. 我是CIO首页
  2. 资讯
  3. 安全

没有王国的钥匙:新的单点登录算法提供了卓越的隐私

没有王国的钥匙:新的单点登录算法提供了卓越的隐私
一种新的安全的单点登录算法,消除了未经用户同意收集和泄露个人信息的所有可能性。图片来源:东京科技大学

在过去的几十年中,随着信息时代的成熟,它已经塑造了密码学的世界,并使其成为一个多变的领域。在当前可用于确保安全的数据传输和用户识别的无数编码方法和密码系统中,一些由于其安全性或实用性而变得非常流行。例如,如果曾经被允许使用您的Facebook或Gmail ID和密码登录网站,则您在工作中遇到了单点登录(SSO)系统。对于大多数智能手机,情况也是如此,在这些智能手机中,使用单个用户名和密码组合登录即可访问许多不同的服务和应用程序。

SSO方案通过仅登录一个特定的系统,使用户可以选择访问多个系统。该特定系统称为“ 身份提供者”,被视为可以验证和存储用户身份的受信任实体。当用户尝试通过SSO访问服务时,“服务提供者”要求该身份提供者对用户进行身份验证。

SSO系统的优点很多。首先,用户不必记住每个网站或应用程序的几种用户名和密码组合。这意味着更少的人忘记了密码,从而减少了致电IT支持中心的电话。而且,SSO减少了登录的麻烦,例如可以鼓励员工使用公司的面向安全的工具来执行诸如安全文件传输之类的任务。

但是,有了这些优势,人们就不得不担心一些问题。SSO系统通常由大型技术公司运行,过去曾有报道称,大型技术公司未经他们的同意就从应用程序和网站(服务提供商)收集人们的个人信息,用于有针对性的广告和其他营销目的。某些人还担心,当他们将ID和密码提供给SSO机制时,它们可能会被第三方本地存储。

为了解决这些问题,东京理科大学的Iriyama Satoshi副教授和他的同事Maki Kihara博士最近开发了一种新的SSO算法,该算法原则上可以防止此类整体信息交换。在研究密码学的动机之后,他们在密码学上发表的论文中详细描述了该新算法。Iriyama博士说:“我们的目标是开发一种SSO算法,该算法不会向服务提供商披露用户的身份和敏感的个人信息。这样,我们的SSO算法仅将个人信息用于对用户进行身份验证,这在最初的意图是引入了SSO系统。”

由于此SSO算法的设计方式,本质上不可能未经授权就披露用户信息。正如Iriyama博士所解释的,这是通过应用“仍在加密状态下处理信息”的原理来实现的。在他们的SSO算法中,所有各方都交换加密的消息,但从不交换解密密钥,并且没人拥有所有的难题,因为没有人拥有所有信息的密钥。当服务提供者(而非身份提供者)知道用户是否已成功通过身份验证时,他们却无法访问用户的身份及其任何敏感的个人信息。反过来,这断开了允许身份提供者从服务提供者提取特定用户信息的链接。

所提出的方案具有许多其他优点。在安全性方面,从设计上来说,它不能渗透所有典型的攻击形式,即信息或密码被盗。例如,正如Iriyama博士所解释的:“我们的算法不仅可以与ID和密码一起使用,而且可以与其他任何类型的身份信息一起使用,例如生物识别,信用卡数据和用户已知的唯一编号。 ” 这也意味着用户只能提供他们希望公开的身份信息,从而降低了大科技公司或其他第三方窃取个人信息的风险。此外,该算法运行速度非常快,这是确保计算负担不会妨碍其实现的基本素质。

这项研究有望在当前的SSO系统中带来积极的变化,从而鼓励更多的用户使用它们并从中受益。

本文为作者 胡慧 独立观点,并不代表 我是CIO 立场。

发表评论

登录后才能评论