互联网时代网络身份管理技术的发展

互联网时代网络身份管理技术的发展

在互联网深入日常生活的各个方面中，因为每个人都享受非常方便的同时，他们也受到许多登录帐户和密码的困扰。随着云计算的应用，负责公司信息安全的专业人士们尽最大努力将应用程序和数据安全转移到云服务。在保证信息安全的前提下,如何推动各种服务应用之间的信息共享,正在成为ICT领域中一个热点问题。在此背景下,网络身份及身份管理技术就成为解决上述问题一个关键核心技术之一。一、互联网身份管理的基本过程信息系统中的身份管理就是对实体的身份生命周期的管理,包括实体身份的建立、身份的描述与定义、身份的注销三个基本过程。自互联网诞生之日起,身份管理就是一个重要课题,起初表现在各种设备识别技术和访问控制技术上。设备或系统识别包括MAC地址、NIC、IP地址和DNS解析等技术,它帮助通信的双方了解对方是“哪一个”设备或应用程序系统。二、网络身份验证根据国际电信联盟(ITU-T)身份管理专家组的归纳,对网络身份管理存在五个方面的利益需求:2.1用户需求(1)我已经证实了这一点(2)账户安全和隐私保护(3)登录方便的链接2.2网络运营商和服务提供商的需求(1)安全(2)经济2.3水电费、定机费、定机费、定速费、定机费、订经营单位(1)许多政府和企业部门的公共服务需要认证身份,如:网上报税、缴纳水电费、定机票、订旅店等等。(2)政府和企业部门的内部管理系统,如:政务系统、企业ERP系统等等。2.4各类网络服务(1)需要通过网络访问控制手段提高网络安全性,减少盗号、冒用身份、网络欺诈、恶意攻击等。(2)需要通过各类网络服务的访问控制手段,使用户的网络行为留下不可否认的凭据,在发生纠纷或违法事件时,便于仲裁或执法部门取证。(3)在最大程度地保护个人隐私的前提下实现网络实名制。2.5国家机构的隐私保护在中国,“非政府组织”似乎尚无明确界定。因此,如果有这方面的需求,其隐私保护需求更多地体现在用户需求和政府的公共政策上。三、多层次的身份管理能力网络身份管理能力与ICT基础构架中的多个层面有关,但我们重点关注的是适用于应用层面、业务层面和传送层面的身份管理能力能力。可归纳为以下几种能力:3.1资源检测能力3.2识别管理能力3.3认证管理能力3.4属性管理能力3.5身份管理能力3.6为身份辩护3.7身份管理的相互操作能力四、引入身份管理模式,提高网络和业务融合的能力随着ICT行业应用与在线服务系统的迅猛发展,用户的身份会涉及到不同组织、不同服务和产品领域。各种不同身份管理标准和规范相继推出。然而,不同的标准组织针对自己特定的市场需求都各有侧重,有的关注用户为中心的身份管理,有的关注应用为中心的身份管理,有的关注网络为中心的身份管理,不同的身份管理机制之间缺乏有效的互通机制,因而导致了身份管理的孤岛问题。在网络融合迅速推进的大环境下,不仅网络和业务应用需要融合,基于各种业务和应用系统的身份管理解决方案也需要进行融合。融合不能依赖主流商业网站或商业机构来进行,那样会让商业机构或网站合理合法地掌握部分网民的真实身份信息,在中国的主流商业网站大都有外资背景,这是非常危险的。因此,有赖于我们自己完善我国的网络身份管理制度和技术,为网络信息系上一条自己的安全带。首先应明确,网络身份管理不仅仅是技术层面的问题,还牵涉到国家的主权、政策管制、法律法规遵从等问题,有必要从国家安全的层面来全盘考虑,统一管理,分步骤部署实施。其次引入完整的身份管理机制。互联网初期,网页浏览、信息检索等业务本身涉及的价值不大,因此相应的安全问题也不突出。现在,这些问题发生了本质的变化。根源在于互联网设计时缺乏数字身份系统,后期依据不同目的引入各种不同的解决方案,每个系统都有自己的优缺点,但是没有一个系统可以满足全部数字标示方案的要求。因此引入完整的身份管理机制,不但能有效弥补现阶段互联网技术本身安全机制的不足,而且还可为后续电信网络和互联网承载各种电子商务(e-Commerce)或者电子政务(e-Government)提供高安全性保障。三是引入统一的身份管理平台。现阶段,网络和业务融合已成为信息通信领域发展的显著标志之一。原来电信领域中单一网络服务正在被各种融合服务所取代,互联网提供公众用户集成使用话音、数据、视频融合服务的良好体验。但是网络和业务融合往往涉及到运营商内部不同系统、跨运营商之间、与服务提供商之间、与内容提供商之间、服务提供商与内容提供商之间、家乡属地和漫游属地之间等不同网络层面、业务层面的融合,统一的身份管理管理平台完全可以充当其中的融合桥梁,实现跨系统、跨域、跨平台之间的融合基础;而且独立公共的身份和身份管理对于网络和业务融合的健康发展提供了基础保障,互联网发展一个成功经验就是多角色组成服务产业链,增强应用和服务创新能力,因此一个与业务和应用脱离的第三方身份和身份管理对于快速引入新的服务供应者具有重要意义。四是引入电子身份证技术,提升国家对互联网业务监管和安全监管的能力。随着互联网在线服务的蓬勃发展,特别是包括网络购物、在线银行以及网络支付等电子商务的发展,给原来面向实体企业管理的国家政府机构设置、政策规章制度的制定等各个方面都带来了一系列新的难题,对于这条新的虚拟世界的物流、资金流和信息流如何提供有效管理,对产业链条上多方加强监管的能力已经成为当前政府机构需要解决的首要问题。另一方面随着互联网日益成为一个融合信息媒体中心,必然对个人信息安全和国家信息安全带来巨大挑战,诸如人肉搜索等带来的社会和个人安全问题已经日益突出。因此随着传统互联网从完全虚拟世界向现实世界过渡的过程中,需要充分利用电子身份证及身份管理的基础设施在信息发布和流通的自由化与信息溯源和隐私防护的可监管性之间达成一个平衡,最终实现互联网络健康和谐发展。人们需要证明自己的身份,居民身份证提供了这样的手段,方便人们处理入学、找工作、购置房产、旅行、开办银行户头等事务。在虚拟的网络环境中,人们同样需要“电子身份证来证明自己的身份,目前做法的凭据仍然是靠居民身份证;首先是电子身份证自身的安全,否则不法之徒可以盗用用户身份逃避责任并嫁祸他人。如果电子身份证是可信的,服务提供商可以利用验证电子身份证作为访问控制的条件,使用户的其它账户达到安全,通过采用“前台匿名,后台实名”的方式可实现实名隐私的保护,使服务提供商不需要知道用户的隐私信息就可以完成“实名”认证,解除用户对“实名”信息及联络方式被网站有意或无意泄露的担心。目前,不同产业领域和业务领域中分别建设彼此隔离和自治的身份管理体系,一个用户可能拥有多个账户,他需要记住多对用户名及密码以及使用多种安全措施,对用户而言不胜其烦。身份管理需要提供单点登录与登出的认证能力。一方面运营商希望保护其用户账号的安全,另一方面,通过对用户合法性的认证,避免受到恶意攻击。独立建立一套安全的账户保护体系对任何一个运营商而言都是沉重的负担。互联网电子身份证体系是国家网络安全的基础设施,运营商只是使用者,无需投资。即发现具有权威性的身份资源,比如与实体或者标识符相关联的信息来源及其提供的信息。此外,还应包括通过身份同盟发现可用的能力。发现机制搜索身份资源的过程类似于Web搜索,在搜索引擎里输入身份特征,会搜索出与之匹配的身份标识符和身份提供商列表。这种查询与响应场景要求身份提供者必须注册为对特定的用户和设备提供特定的身份服务的提供商。标识符是通常指配给实体的名称或表达方式,就象电话号码或电子邮件地址一样,既可用于服务/设备访问,也可用于通信网的选路。标识符也与证书有关,因此护照、驾驶执照或信用卡都带有与证书捆绑的标识符。标识符在融合ICT的网络中使用时尤其重要,此时大量的功能都要使用标识符,其中标识符的唯一性加上URL或端点选路之类的某组相关属性成为最重要的信息,而证书就不是必需的了。在许多标识符用例中,要进行的活动是全球分布的分级登记解析活动的一部分,包括划分地址码块或名称空间以及进一步划分为多种级别以便最后提供给某最终用户一个功能性标识符。证书管理能力包括创建、发布、管理用于认证身份声明的信息。证书可以包括用户名/密码、动态密码、数字证书、公共密钥基础架构证书、安全令牌和生物识别技术等。属性就是实体的特性描述,有可能是作为证书或标识符指配过程的一部分捕获的相对静态的信息(如名称、物理地址、联系人信息等),也有可能是动态信息(如当时实体的时空位置)。有些新的以用户为中心的可互操作协议和平台提供了一种供最终用户指定需要处理属性信息的事项的手段。身份模式的管理包括身份模式发现、检索、改变等能力,即对身份创建、交换,对身份模式进行联盟,组成身份。身份模式的管理是身份管理安全需求的重要内容,从认证、身份盗窃防护、伪冒身份检测、知识产权保护、WWW搜索服务的互操作性、网络安全分析和法律执行援助等,都与身份模式管理有关。所有身份资源及其提供都有相关的身份保证和信任级别。根据所使用的环境需求不同,需要提供不同的身份保证和信任级别,例如在某些环境中可以使用匿名,