如果你試圖管理幾十個、甚至幾百個密碼，或如果有人給你發(fā)送電子郵件試圖騙取你的身份證書，你恐怕也會有像我一樣存在身份證書管理的危機(jī)感！

　　身份證書及身份證書管理問題正在成為IT中最熱門的話題之一，身份證書管理問題也逐漸列入首席信息官的議事日程。

　　如果你開始考慮身份證書及身份證書管理問題，過不了多久，你就會感到精疲力竭，因為，這個問題過于龐雜。

　　一、危機(jī)隨處可見

　　首先，我來給你講述幾種情況，恐怕會讓你徹夜難眠。

　　密碼并不是唯一的，雖然密碼或許是如今應(yīng)用最主要的認(rèn)證方式之一，但由于密碼易于泄露，因此已成為當(dāng)前借以攻擊系統(tǒng)的主要方法。

　　首先，密碼并不能真正確認(rèn)使用者，有了密碼就可以進(jìn)入系統(tǒng)。我可以把密碼給你，你也可以?；ㄕ邪盐业拿艽a騙到手，但系統(tǒng)卻不能區(qū)分你和我。

　　當(dāng)你考慮身份證書相關(guān)問題時，需要掌握幾條基本規(guī)則。雖然這些不是指導(dǎo)性原則，但可用來對現(xiàn)有的身份證書問題進(jìn)行詳細(xì)探討。為了及早考慮身份證書和身份證書管理問題，你應(yīng)該了解這些規(guī)則對身份證書管理的重大意義。

　　為什么應(yīng)該關(guān)心這個問題？我們正不斷面對個人的或職業(yè)的身份證書問題。我們越是進(jìn)入在線商務(wù)時代，我們就越面臨經(jīng)濟(jì)犯罪。因此，類似“誰在敲開我們數(shù)字時代的大門”這樣一個重要問題則更加緊迫地擺在了技術(shù)經(jīng)理們的面前。

　　二、身份證書管理需要考慮的因素

　　1、身份證書要有關(guān)聯(lián)性。就像算式A+B = B+A一樣，身份證書也是有關(guān)聯(lián)的。我去當(dāng)?shù)氐某匈徺I商品，想要簽支票結(jié)賬，但店員并不認(rèn)識我；他們要求看一下我的駕駛執(zhí)照；他們實際上不相信我，但他們非常相信州政府；當(dāng)我出示駕駛執(zhí)照時，他們知道新罕布什爾州相信我，因此他們也就相信了我，至少相信我所說的身份。

　　如果我出示的是護(hù)照，其關(guān)聯(lián)性也同樣適用，因為他們也相信聯(lián)邦政府。

　　2、身份證書要限制為特定的應(yīng)用來使用。如果我給超市的支票包含了有關(guān)我的許多信息，如我的社會保險號碼、收入、健康記錄等，那么有關(guān)我業(yè)務(wù)的一些信息就有可能被他泄露給我的競爭對手，這將把我置于危險的境地。

　　其實，超市只需要知道我是誰就足夠了，因為一旦財務(wù)文件（支票）有誤，他們需要有一種與我取得聯(lián)系的途徑。他們不需要了解我的其他任何情況，換句話說，他們只需要知道我的住址或聯(lián)系電話，以便財務(wù)文件有誤時能找到我。向他們提供我的保險號碼、收入、健康記錄或其他任何信息都將把我置于危險的狀態(tài)。

　　3、用戶需要控制好自己的身份證書。以前，我的鑰匙鏈裝有無線頻率證明（RFID），這樣我就可以在某些加油站購買汽油。不幸的是，任何人都可以未經(jīng)我的同意使用RFID讀卡器閱讀我的無線頻率證明。

　　然而，如果現(xiàn)在有人讀取我的鑰匙鏈信息，便無法知道我是誰，因為他們必須先訪問一個數(shù)據(jù)庫，其中我的鑰匙鏈的ID與我的真實身份證書相關(guān)聯(lián)。但坦率地講，即便如此，我還是很緊張，因為他們可以蒙騙讀卡器，以我的鑰匙鏈的ID進(jìn)行加油。

　　以目前的油價來看，這種盜竊RFID證書行為完全可以大發(fā)橫財，因此，用戶必須有權(quán)批準(zhǔn)是否將身份證書傳輸給申請方。

　　4、身份證書的驗證需要對等進(jìn)行。你每天可能會收到來自Paypal、銀行等單位的各類電子郵件不少于5個，它們都要求你打開你的賬戶或確認(rèn)身份。我們應(yīng)該知道，有些恐怕是試圖竊取你的身份證書。但這同時也表明，與交換身份證書相關(guān)聯(lián)的信任需要對等完成。如果你要求我的身份證書，我就絕對需要確切地知道你是誰。

　　只有通過具有資質(zhì)的機(jī)構(gòu)使用其網(wǎng)站來完成確認(rèn)過程，而這個機(jī)構(gòu)又必須有誠信。但現(xiàn)在的情況是，有些騙取身份證書的行為獲得了成功，因此可以說，當(dāng)前有些機(jī)構(gòu)存在信任危機(jī)。

　　5、身份證書應(yīng)該以加密的方式一次性傳輸。當(dāng)我將自己的身份證書信息發(fā)送給一個網(wǎng)站時，應(yīng)該按照兩因子確認(rèn)方式進(jìn)行，且這一加密傳輸過程應(yīng)該具有有限的生命周期；傳輸線路應(yīng)該具有偵聽功能，以防今后再使用同一傳輸路徑；目前使用的兩因子確認(rèn)技術(shù)頗像RSA實驗室中安全身份證書的操作方式。

　　6、身份證書應(yīng)該是通用的。我的鑰匙鏈上有十幾個條形碼，從超市卡到West Marine應(yīng)有盡有。這實在是滑稽，我所打交道的每一家公司都有確認(rèn)我身份的唯一方式。

　　我們所需要的是完全電子化的單一身份介質(zhì)，它包含所有相關(guān)信息。允許我們分割使用身份證書，這樣，當(dāng)我需要簽支票時，它就會告訴超市或銀行我是誰；當(dāng)我向醫(yī)生出示身份證書時，它就會告訴醫(yī)生有關(guān)我健康的全部信息。

　　身份證書通過分割使用，便可以訪問專門信息。理想的結(jié)果應(yīng)該是身份證書捆綁某些生物數(shù)據(jù)，用以證明我的真實身份。例如，在超市或在線簽支票，或者銀行在線查驗身份時，它應(yīng)該可以用來顯示外貌特征等。

　　顯然，身份證書已經(jīng)成為技術(shù)人員處理日常工作生活中最重要的工作之一。然而，我們才剛剛涉及這些問題，我們需要考慮的事情和需要完成的工作還很多。