IDM技术研究(讨论二稿).doc

中国通信标准化协会 课题编号： IDM技术研究 2008年6月 研 究 报 告 要 点 身份管理（Identity Management）是解决大规模异构网络环境中用户身份管理而提出的一种网络安全新技术，其目标是通过标识一个系统中的个体并将用户权限和相关约束条件与身份标识相关联，进而控制成员对于系统资源的访问，形成集身份认证、授权管理、责任认定于一体的基础设施框架，从而有效降低管理用户身份、属性和信任证书的成本，提高系统效率和安全性。 网络与信息安全技术工作委员会安全基础工作组(TC8/WG4) 研究单位：西安邮电学院 项目完成人： 项目参加人： 完成日期： 目 录 1. 概述 4 2. 身份 7 2.1 身份生命周期 7 2.2 身份选择、提供及登记 7 2.2.1 服务和资源的发现 8 2.2.2 身份认证 8 2.3 身份绑定 9 2.4 身份证明 9 2.5 身份变更 9 2.6 解除绑定 9 2.7 身份注销 9 2.8 身份数据模式 10 2.9 身份关系 12 2.10 其它特征：群组和角色 12 3．IDM系统架构 13 3.1身份管理模型 13 3.2身份管理的流程 15 4. IDM系统组成 18 4.1 IDM控制平台 18 4.2 密码管理系统 18 4.3 登录管理 18 4.4 验证服务 18 4.5 多平台的互操作服务 18 5．结论 18 6．参考文献 18  IDM相关技术研究 1. 概述 随着互联网等现代通讯技术的飞速发展和日益普及，我国的信息化建设越来越完善，电子政务、电子商务得到了迅猛的发展。各个现代企业也越来越重视网络信息系统的建设，各种电子邮件系统、网络办公、电子财务、人事管理等针对特定行业的业务系统的信息网络化发展速度飞快。经常进行的网络活动——发送电子邮件、进行个人或单位的报税、网上银行账户管理和交易、网上购物、在线电子游戏、网上办公系统的使用等，都需要双方之间或者一方向另一方发送相应的身份信息。由于互联网上针对同一个应用系统存在着大量不同类型的身份信息，同时，同一用户也会面对各种不同的应用场景。也就是说，当应用系统正常运营时，用户可能需要同时访问多个应用系统，并经常访问系统中的部分受保护的信息资源。由于用户在访问不同应用系统时需要独立访问该应用系统。同时，用户还可能需要在各系统间频繁地切换，操作较复杂，无法快速地获得相关业务信息并加以分析利用。此外，用户在进行业务操作时，需要分别登录到不同的应用系统中，由于系统较多，用户的身份认证信息容易混杂或丢失，或者一套简单认证信息多系统使用，造成保密强度降低等问题。这就需要创建一个灵活的身份管理基础设施PMI（Privilege Management Infrastructure）。 身份管理(IdM：Identity Management)，广义上讲应当包括用户的认证、授权以及认证和授权之后相关信息的保存和管理。它必须灵活地支持已有的和被广泛使用的多种身份认证机制和协议，还要支持现在使用的各种不同的应用和服务平台。身份管理的框架必须在用户、应用平台和网络需求中寻求某种平衡。这些网络需求对身份管理的设计有着深远的影响，不仅仅是对身份信息的用户接口，而且还有结构本身和其如何建立。此外，这还为各种身份管理系统的互联性提供了新的商机。目前，各个企业组织都在不断提高对其客户、伙伴、厂商、供应商和员工的访问能力。由于这些企业组织的结构起初不是为了这种访问能力而建立的，因此需要增加一系列彼此独立的单点解决方案来解决出现的具体的身份和访问问题。然而，这些应用漏洞百出，其安全模式不兼容、身份管理不一致、审计机制各不相同，导致了效率低下、剽窃身份和非法访问的风险增加，不能满足管理一致性的要求。这样就会形成身份“存储库”和数不清的重复工作的例子，甚至在管理这些用户和身份上造成更加严峻的挑战。身份的统一集中管理能够很好的解决这一问题，而基于标准框架的解决方案同时能够避免后期的不易扩展和不同身份域之间的难于合并或者信息共享。 对企业用户来说，身份是访问组织内部不同服务的钥匙，保证了他们的效率。从信息安全的角度来看，身份则被视作需要保护的资产，同时也用于保护其它信息资源。身份管理的最佳定义是“用于保证身份完整性和隐私性，并确定如何将指令译为准入口令的商业流程、组织和技术”这个定义强调身份管理在安全基础构建中所起的重要作用。身份是企业基础构建的重要元素。不论是在操作系统!网络!数据库或是应用软件环境下，每个系统都需要一个特有的身份验证系统。这可以通过创建用户或系统来做到。在分立的环境中，这一身份创建过程可能需要跨多个系统，而每一个系统都有自己的身