该工具功能是通过IBM的云服务BlueMix实现的,目的是为了针对各网站平台或者apps的开发者,去降低、控制他们平台的用户数据可能因遭受黑客攻击而导致泄露的风险。开发者可以通过将Identity Mixer嵌入到他们的apps中,去解决目前在应用安全方面面临的各种安全问题,如后台数据库遭拖库,这个应该算是屡见不鲜的。目前也迫切地需要一个系统能够对这些遭到窃取的数据进行有效保护,而Identity Mixer的目的就是在保护这些用户数据上。
根据IBM Identity Mixer 开发者 Zurich所说,
Identity Mixer是IBM将近10年来的研究成果,可以帮助用户最大限度减少因在平时的各种网络活动中(如登录某网站,线上平台交易等),因需身份认证所需的授权,将个人的身份信息完全地暴露出来,从而可以导致较高的数据泄露风险。
作为开发者之一,来自Brown University的计算机科学教授Dr. Anna Lysyanskaya所说,
实际上,该系统已经在今年1月份的时候就开始试运行。
它是基于云平台进行运行的,通过相应的加密算法,将用户的个人数据进行加密,然后将其中相对应的数据与第三方apps或者网站平台进行共享。所以,如果某个服务需要输入你的年龄,那么Identity Mixer只允许将年龄信息传递给apps,不会提供其他额外的数据。
例如订阅Netflix账户需要年满18周岁并且必须生活在特定地区,用户可以使用Identity Mixer作为一种加密的ID卡,而不需要在Netflix界面输入个人信息。如果Netflix公司被黑客攻击,发生信息泄露黑客可能得知用户是18到100岁之间,但也仅此而已。
在试运行阶段, 德国和澳大利亚作为Identity Mixer的一个大的试点进行研究。在澳大利亚,它被用来保障农产品出口数据的安全,因合作商需要获取农产品的物理位置,所以Identity Mixer将只会提供远程物理位置给到合作伙伴。在德国,红十字会(The German Red Cross),或者红十字勋章组织( Deutsches Rotes Kreuz),将Identity Mixer应用在保护室内传感器收集的信息、医疗记录和家庭合约等数据的安全上。
我们可以简单了解下Identity Mixer和传统的身份认证方法的区别
如上图,第一种方法,一般来说,有三个角色,一个是在线身份提供者或者证书发行者(可以是证书机构等),一个是用户,一个是身份验证者,每一次用户进行身份验证时,发行人将为验证者明确要求的用户身份的各种属性提供认证证明,但发行人却逐步成为系统中的瓶颈,因为它可以跟踪所有用户的交易数据处理。目前来说,按照这一方法的应用例子包括OpenID,facebook登录连接和安全断言标记语言(SAML)定义的安全域之间的交换数据和授权认证。
如上图,第二种方法,用户预先从发行人那里得到证书,接下来就无需发行人进一步的认证。这样可以避免第一种方法中“无所不知”的发行人记录下用户踪迹信息的情况,但它的缺点是,采用经典的加密算法,用户往往需要在不同的验证者之间的每个认证中,都提供自己身份与所有的属性的认证证明,这样增加了数据泄露的风险。这类应用例子比较典型的包括X.509客户端证书等。
而Identity Mixer相对来说提供了两全其美的解决办法:发行人没有参与在认证过程中,但同时,用户可以根据验证者需要选择只发送相对应信息属性,并同时确保不链接在与他们的交易中。
目前,不管是从国内还是国外的各大安全事件来看,用户数据泄露仍然为各大企业面临的一大威胁,而对用户数据做好保护,比如通过加密的方式进行,会是一种合适的选择。当然,海量的数据加密涉及的各类影响因素仍然需要企业进行权衡。
Identity Mixer的演示demo及相关信息链接为: Identity Mixer
关于加密算法方面的代码可以参考 GitHub上的project: GitHub
*原文地址: thetech , idemix ,FB小编troy编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)