今年1月，芯片制造巨頭英特爾披露了一項(xiàng)堪稱有史以來最為強(qiáng)悍的身份認(rèn)證技術(shù)：去年九月發(fā)布的第六代 Core 處理器家族支持全新的多因素身份驗(yàn)證。但即使到現(xiàn)在，了解此事的人也少之又少。今天，我們就來看看，英特爾處理器的這項(xiàng)安全機(jī)制的具體內(nèi)容及其意義究竟何在？

　　英特爾驗(yàn)證

這項(xiàng)被稱為 “英特爾驗(yàn)證”（Intel Authenticate）的多因素認(rèn)證技術(shù)的目標(biāo)是部分替代現(xiàn)存的密碼技術(shù)，屬于英特爾在過去多年中推出的多項(xiàng)安全技術(shù)的又一補(bǔ)充。它的目標(biāo)用戶是企業(yè)。從固件層面上來看，這些芯片組存儲(chǔ)了黑客無法訪問的策略和認(rèn)證數(shù)據(jù)。

比如，認(rèn)證數(shù)據(jù)可以是用戶的指紋或者 PIN 碼。此外，策略是指有認(rèn)證過的智能手機(jī)在設(shè)備附近，外加 PIN 碼就可以登錄設(shè)備。如果設(shè)備沒有連接到企業(yè)網(wǎng)絡(luò)，這項(xiàng)策略就會(huì)增加一臺(tái)范圍內(nèi)的智能手機(jī)，結(jié)合有效的 PIN 碼和內(nèi)置傳感器讀取的有效指紋，即可解鎖設(shè)備。

因此，如果你在辦公室里使用筆記本，連接到了 WiFi ，手機(jī)就放在桌上，在藍(lán)牙范圍之內(nèi)，你要做的事情就是輸入 PIN 碼即可重新登陸到 PC 。如果你在周末去了咖啡館，則需要提供指紋，以證明自己不是小偷。

英特爾客戶端計(jì)算業(yè)務(wù)副總裁托馬斯·加里森（Thomas Garrison）表示：“英特爾驗(yàn)證在平臺(tái)架構(gòu)的硬件上內(nèi)置了多因素認(rèn)證機(jī)制。這樣，使用病毒或惡意軟件竊取用戶身份憑據(jù)等常見手段就無法奏效。這套機(jī)制包含了 PIN 碼、通過 iOS 或安卓手機(jī)藍(lán)牙功能得到的距離、使用 vPro 系統(tǒng)得到的邏輯距離以及生物指紋數(shù)據(jù)等因素。”

操作系統(tǒng)必須能夠與固件進(jìn)行通訊，以得到是否允許用戶登入的確認(rèn)信息。目前，Windows 7、8、10 均支持英特爾驗(yàn)證。指紋和 PIN 對(duì)操作系統(tǒng)而言均不可見，因此代碼無論是在內(nèi)核，還是在用戶空間中，都無法竊取它們。

如果你遭遇了手機(jī)丟失等情況，無法登入，也可以退而選擇口令登錄。該系統(tǒng)應(yīng)當(dāng)能夠幫助很難記住復(fù)雜密碼的員工，以及那些時(shí)常需要幫人重設(shè)密碼的 IT 支持人員。

底層

英特爾驗(yàn)證使用了兩種（可能）讓安全研究人員和隱私倡導(dǎo)者感到焦慮的硬件級(jí)的系統(tǒng)：英特爾的管理引擎（Management Engine，ME）和主動(dòng)管理技術(shù)（Active Management Technology，AMT）。這兩種系統(tǒng)均有數(shù)年歷史，它們?cè)诓僮飨到y(tǒng)層以下工作，對(duì)于大多數(shù)運(yùn)行在其上的軟件而言均為不可見的。它們的本來功能是讓系統(tǒng)管理員遠(yuǎn)程控制設(shè)備，但也提供了其它特性。比如，“主動(dòng)管理技術(shù)”還提供網(wǎng)絡(luò)位置檢測(cè)功能，這項(xiàng)功能在英特爾驗(yàn)證中也得到了使用。

內(nèi)置在主板芯片組中的管理引擎系統(tǒng)為存儲(chǔ)策略和用戶的認(rèn)證數(shù)據(jù)提供了安全的內(nèi)存區(qū)域。這些數(shù)據(jù)被禁止離開安全區(qū)域，如果沒有合適的權(quán)限也無法訪問它們。這項(xiàng)特性能夠制止不懷好意的人設(shè)置松散的策略，或者清除用戶的登錄信息。

想應(yīng)用此安全機(jī)制的用戶需要下載固件，然后激活英特爾驗(yàn)證。該軟件只在英特爾第六代天湖（Skylake） CPU 的 vPro 版本上運(yùn)行。Skylake vPro 組件已經(jīng)在早些時(shí)候發(fā)布。

這一整套系統(tǒng)似乎是之前 Chipzilla 推出過的企業(yè)友好芯片中雙因素認(rèn)證措施的一次迭代，比如2011年 Sandy Bridge vPro 和2015年的 Broadwell vPro 家族。以前，它被稱為“英特爾身份保護(hù)”（ Intel Identity Protection），為用戶提供雙因素認(rèn)證支持，比如使用用戶名、密碼和硬件令牌，或者用戶名、密碼和一次性手機(jī)短信進(jìn)行登錄。

這次 vPro 系列發(fā)布會(huì)與去年的發(fā)布會(huì)極其相似，不同的是這次，英特爾加入了藍(lán)牙和指紋識(shí)別器支持，這讓該系統(tǒng)對(duì)用戶更加友好了一些。

誠然，“英特爾驗(yàn)證” 核心的管理引擎不可能永遠(yuǎn)不出現(xiàn)任何漏洞，操作系統(tǒng)也可能夠繞過這一機(jī)制。登錄認(rèn)證不過是 IT 管理人員的一種工具，而不是防御黑客攻擊的萬全之策。