端点安全新范式：无负担身份验证与持续加密监控

致IT安全技术思想领袖的公开信：采用新方法防御网络攻击，最小化用户负担

关键议题：

WinMagic拥有超过25年的持续创新经验，不断推高端点加密的技术标准。凭借我们在应用密码学和在线访问端点保护领域的专业积累，我们相信新的思维方式能够彻底改变网络安全现状，最终实现完全消除账户劫持问题，且用户无需承担任何操作负担。

我们将重点分析当前挑战，并提出其他领域未曾见过的解决方案或理念。尽管理解业界的质疑态度，我们仍乐观认为这些创新方法将获得支持，行业也会对其进行了完善和扩展。我们的承诺在于持续改进这些解决方案，并将其融入行业标准和平台以实现更广泛的应用。

本信函主要面向企业用户，但我们的策略绝大多数同样适用于消费者场景。

核心方案聚焦两个关键领域：身份验证与安全访问

1) 强化身份验证体系

当今环境下，我们需要既强大（精确）又能抵御大规模攻击的身份验证方法，同时具备对抗新型未知攻击的韧性。为此我们提出：

a. 验证重心转移：系统应认证端点设备，再由端点验证用户身份

• 现代端点设备普遍支持基于硬件的公钥认证（如FIDO和PKI），这可实现几乎不可破解的设备真实性验证
• 端点设备始终负责验证用户的本地访问权限，且比服务器和网络更适合执行此操作
• 现代端点可创建独特的"用户+设备"身份标识，其私钥仅存储于端点硬件加密芯片中（用户登录后生成），并在用户注销或屏幕锁定时自动清除
• 这种身份验证过程对用户完全透明，同时完成了用户和设备双重验证

通过"身份与设备绑定"增强安全：扩展上述理念，核心是将身份与特定设备绑定，为组合实体生成唯一私钥。每个用户-设备组合形成访问在线资源的独立身份。该方法可应用于各种"账户"场景，无论是"用户+设备"、"应用+设备"还是"服务+设备"。这种方法强化了在线身份验证，为身份框架奠定坚实基础，与行业"身份优先"倡议高度契合。

b. 持续监控机制

• 强调完整性与安全性：客户端登录在线账户时的不可伪造认证是否足够？答案是否定的。FIDO等强认证方法及MGM度假村、凯撒攻击等社会工程学攻击表明，攻击者可通过不同渠道成功入侵账户
• 零信任安全架构与Gartner持续自适应信任（CAT）建议登录后持续验证，但我们认为长期持续监控能提供更可靠的单次验证，甚至在登录前阶段就发挥作用
• 我们可以从端点开机到关机的全程监控用户和设备，而不仅限于登录前后。鉴于巨大的经济利益，攻击日益复杂化，分层防御比单一登录检查更有效
• 值得注意的是，虽然这种方法看似过度，但许多企业已拥有管理和持续监控端点及用户的解决方案（如磁盘加密系统），只需整合增强现有方案即可实现目标韧性水平

当采用"端点加密"解决方案时，这种综合方法可与端点保持持久连接，持续监控安全状态并主动控制用户访问。该连接作为身份提供商（IdP）与端点间的"安全通道"，类似于银行要求客户拨打信用卡背面号码而非接听陌生来电。

如果服务器验证客户端成功，它不会向可能通过不安全通道被劫持的请求端点授予访问权限，而是通过安全持久连接向受管端点提供访问。

本质上，这种故障安全方案确保IdP永远不会向攻击者授予访问权限，即使其绕过认证。这可能是实现阻止攻击者未授权访问终极目标的关键突破。

2) 安全访问：保护所有交易

虽然身份验证获得广泛关注，但保护登录后会话（本质上是保障交易安全）才是认证的核心目标，目前这仍是重大安全缺口。除了安全会话所需措施实施不完整外，许多解决方案在认证后授予过长访问权限，反而引入可被利用的漏洞。

在不深入技术细节的情况下，我们的核心建议包括：

a. 会话密钥建立：认证过程应建立会话密钥这一基础且关键步骤，但当前包括FIDO在内的认证方法都忽略了这一点。虽然TLS在初始阶段建立密钥被视为黄金标准，但当后续主体认证发生时这种安全机制就被打破。认证后继续依赖现有会话密钥会造成漏洞，一旦认识到这个缺陷就会显现风险。

b. 加密优先于认证：有效加密可以消除认证需求。我们的研究表明，当前解决方案有时低效使用密码学技术，导致不必要的复杂性甚至安全缺口。正确加密能确保数据对未授权实体不可访问。对于联合认证，身份提供商（IdP）可为终端和服务提供商（SP）设置TLS会话密钥，避免复杂的持有者密钥声明。

c. 传输层交易保护：在TLS层采用"用户+设备"和"应用+设备"身份概念，无需用户干预即可保护所有交易。这种方法特别适用于企业管理非人类账户。

d. 动态优于静态——利用加密密钥：加密密钥比静态令牌或cookie提供更强安全性。我们主张尽可能使用原则上无法在端点外检索的加密密钥。验证应依赖端点解密数据的能力，而非依赖可被外部读取的令牌。这种方法超越了传统动态和静态认证方式，对网络安全产生重大影响。

展望不久的未来，即使在标准变更前，用户也能完全透明地使用在线服务：

• 用户登录端点 → 端点生成"设备上的用户"身份私钥
• 用户通过https/TLS连接服务提供商SP/网站时，TLS同时使用服务器和客户端证书
• SP由此确认端点与用户的真实性，无需额外操作即可授予访问权限
• IdP管理端点与用户，只需在需要时通知SP"设备1上的用户A"身份/密钥/证书失效

总结

在行业支持下，我们提出的解决方案提供：

• 通过身份与设备绑定及持续验证，实现无用户摩擦的极致安全认证
• 通过战略性地利用加密技术（优选TLS层级），确保所有交易安全——这是网络安全的终极目标，超越单纯身份验证
• 最引人注目的是：即使攻击者成功绕过认证，仍然无法获得访问权限。解决方案只向受管端点而非请求端点（非攻击者）授予访问！

我们相信密码学是建立数字领域信任的最佳技术。虽然我们的方案涵盖多个方面，但重点在于更有效地应用密码学技术，建立几乎不可突破的基础框架，支撑并简化其他安全措施。我们邀请您共同参与这场变革之旅，迈向没有用户负担的更安全数字未来！

Thi Nguyen-Huu

创始人兼CEO

WinMagic公司