身份管理(IDM)策略思考..docxVIP

身份管理（IDM）策略思考2009-03-31 15:36:26 ?来源?[电信网技术]摘要 　随着科技以及互联网的蓬勃发展，网络在我们工作和生活中的重要性越来越大。一方面人们拥有越来越多的身份，另一方面网络上的身份逐渐与现实中的身份有越来越多的关联和互动。本文介绍了身份管理的相关概念，身份管理的模型、现状，以及身份管理的策略思考。1? 引言在现实生活中，每个人都有自己的身份：国家的公民，家庭的成员，公司的员工，银行的成员等。这些身份通常是由不同ID在一定范围内的惟一性标识。在社会活动中除了人与人相互介绍传递信任关系以外，一般会用不同的证书来证明所拥有的身份，例如身份证、员工卡/工作证、户口本、银行卡等。证书一般都难以伪造，避免了身份仿冒。随着科技以及互联网的蓬勃发展，网络在我们的工作和生活中越来越重要。一方面人们拥有越来越多的身份：例如QQ号码，MSN号码，BBS用户名、电子邮件账号、博客名等；另一方面网络上的身份逐渐与现实中的身份有越来越多的关联和互动：网络上的ID可能关联银行账号、身份证号码、家庭住址等。身份的管理涉及到公民隐私、财产安全、网络运营安全甚至国家安全。从近年来频繁出现的与身份管理相关的网络侵权、网络诈骗等违法犯罪活动可以看出，现有的身份管理已经暴露出越来越多的问题，身份管理相关的研究以及实施已经迫在眉睫。2? 身份管理相关概念2.1? 身份（Identity）身份是实体的结构化表示，可以采用一份/多份证书、标识符、属性或者模式的形式；可以采用实物、数字模拟的光电形式或者任何句法，并且具有相关隐式或显式时间和位置规范。实体可以是自然人、法人，也可以是虚拟或者是寄存的物体。身份可以采用姓名、用户名和密码、身份证、数字证书表示等。身份的4个组成部分如下所示：（1）标识符：标识符是用于表示某实体身份的一个名称，如用户ID、网络ID、电子邮件地址、假名、集体的名称等。（2）证书：身份证书通常用于对自身的身份进行认证的安全参数。证书包括口令、令牌、安全提示、PKI相关信息，如密钥、证书、证书签发机构、密码信息等。（3）属性：身份属性是实体的描述符，如实体类型、优先IP地址、域、地址信息、电话号码、信用等级。属性还可包括权利、特权、受托方清单和特殊的限制条件。（4）模式信息：模式信息指某一实体的任何行为。模式信息常常根据过去的交互产生，而不是由实体自己确定。可用于评估身份保证级别的模式信息实例包括IP地址、接入点、位置信息、使用时间和被访问的系统。模式包括侵入检测所用的被跟踪信息，如失败的身份断言尝试、密钥重置计数等。智能特性还可能将当时的事件考虑在内，以预测将来的使用模式。模式信息往往要遵守特殊的隐私保护规定。2.2? 身份管理（Identity Management）身份管理是指借助包含技术、运行和法律不同方面的系统和方法的组合，来完成的对于身份的各种操作，包括结构化生成、捕捉、句法表示、存储、加标签、维护、检索、使用和销毁。一般来说，身份管理平台需要针对身份的查询（断言）做出响应，判断是否符合所生成的身份。例如拨号用户上网时，需要提供用户名和密码，这时认证系统就是身份管理平台的主要部分，负责通过核对密码来判断用户名是否合法有效。由于现有身份管理与业务紧耦合，且已经大量存在，不可能重新建设一个身份管理平台来替代所有已存在的平台。因此，不可能只建设惟一的身份总管理机构，身份管理平台应当考虑互联互通、信任传递、单点登录、统一账单等。3? 身份管理模型最简单的身份管理模型如图1所示，消息交换的最基本形式涉及采用商定的协议和信息模型的两个参与方。图1 采用简单查询/响应的断言过程示例参与认证过程的各方可以是任何种类的实体或代理人。从传统看，这些参与方可以是个人、组织或机构。但更广义地说，参与方可以是任何物理或虚拟的物体，如网络设备、软件、终端设备、传感器、加了有源标签的实物、加了无源标签的物体或地理空间结构。例如，网络设备可以当做具有特定IdM能力的代表最终用户、提供商和政府机构的实体。在数字权利管理语境中，实体可以是受版权保护的资料，如多媒体或IPTV内容。最先收到断言的响应方不是身份提供者时，身份提供者的作用从依赖方中分离出来，不同于依赖方。此时是相对复杂的三方身份管理模型（见图2）。依赖方的主要作用是解释来自身份提供者的响应，并决定是否有足够强的信心认定自称的身份是合法的，身份提供者则是许多依赖方可以使用的中心资源。除了响应依赖方的查询之外，身份提供者的主要作用还包括管理标识符、证书、属性、模式信息和相关密码资料的生成、更新、中止和删除。该三方模型已经被业界标准、业务协议、多方联盟广泛使用。图2 三方身份管理模型示例?图3描绘了另一种身份管理模型，订户/权利主张实体被置于身份关系的中心。在用户为中心的5方管理模型中