《统一身份管理技术架构及应用前景分析》由会员分享,可在线阅读,更多相关《统一身份管理技术架构及应用前景分析(4页珍藏版)》请在金锄头文库上搜索。
1、 86 TelecommunicaTions Technology / 20096统一身份管理 技术架构及应用前景分析刘利军 王 静中国移动通信研究院 北京 1 0 0 0 5 31 前言随着固定、移动网络的融合和移动互联网的迅猛发展,异构网络的共存和业务的多样化成为当前网络的重要特点之一。与此同时,在融合开始阶段,网络和业务体现出很强的独立性和自治性,用户访问不同网络和业务时,需要重复认证和授权,不仅用户需要维护多个身份信息,也增加了运营商用户认证管理和计费的困难。如何在融合网络服务环境下提供一种身份基础设施,在不同网络、业务中建立可靠的身份认证共享服务,避免各网络、业务异构认证机制带来的复
2、杂性,提升用户对网络和业务的使用体验及身份服务安全性,成为IDM(Identity Management,身份管理)技术研究的重要方向。IDM技术为不同网络和业务系统提供统一登录和身份信息共享服务,用户基于最初访问的一次身份认证就能对所有被授权的资源进行无缝访问,提高了访问效率及安全性。有效的IDM平台可以保证网络活动的有序开展。2 I D M技术国内外研究进展( 1 ) I T U - TITU-T正在积极开展IDM方面的研究,主要工作由SG17和SG13两个工作组承担。SG17目前的研究工作主要集中在IDM的功能需求、基础框架、数据模型、互操作要求等方面。SG13重点关注NGN 中的IDM
3、研究,针对NGN中的IDM需求开展应用场景和技术机制研究工作。此外,2007年12月 ITU-T的TSAG会议决定成立身份管理的联合协调活动组(JCA-IDM)和身份管理全球标准举措组(IDM-GSI)进行IDM技术的跨组织推动工作。( 2 ) L i b e r t y A l l i a n c eLiberty Alliance(LA)是一个商业联盟,成员包括面向消费者的企业、研究机构及政府组织。它成立的目的是使网络业务建立在公开标准之上,通过联盟保护用户上网时身份信息的安全性和隐私性。LA已经基本完成身份联盟框架、身份网络服务框架、身份服务接口、身份与HTTP等协议的绑定工作。( 3
4、) OMA开放移动联盟MWS(OMA-Mobile Web Service)工作组制定了移动Web服务网络身份规范。协议以单点登录技术为基础,通过联盟的身份和属性管理建立信任圈,在自由Web服务环境下以私有服务的方式访问用户属性。协议目标是使用户在一次登录和认证之后可以方便地管理自己的在线身份、个人信专题网络安全 87息、个性化配置、消费喜好等属性信息,提高工作效率和安全性。( 4 ) Op e n I DOpenID 是一个以用户为中心的数字身份识别框架,具有开放、分散、自由等特性。用户注册获取OpenID后,就可以凭借此OpenID在多个网站之间自由登录,而不需要每上一个网站都需要注册。O
5、penID的基本理念是通过URI来认证一个网站和用户的惟一身份。另外,CCSA也已经开始了IDM的相关研究工作,TC8 WG4(基础设施工作组)已经确立了几个IDM相关的研究课题,国内主要的研究单位和厂商也在积极推进相关研究工作,目前研究重点集中在体系架构、数据模型、互操作模型及接口等方面。3 I D M关键技术3 . 1 总体框架( 1 ) I DM通用框架IDM系统至少包括3个必不可少的组成元素:最终用户、依赖方(服务提供方)和身份提供方。IDP(Identity Provider,身份提供方)是IDM系统的核心,一方面,IDP为用户提供身份服务,如接受用户的身份注册请求,对用户身份信息进
6、行有效性验证以及用户身份信息管理等;另一方面,IDP接受SP的认证请求,对用户身份进行认证,SP则为用户提供应用服务。IDP提供的身份服务按照功能可以分为4种。 证书身份服务身份证书是用来统一认证声称身份的安全参数,包括密码、令牌、安全提示、PKI相关信息(如钥匙、凭证、签署凭证机构、加密信息等)。 标识符身份服务标识符通常是分配给做出断言实体的名称或表述,如电话号码或电子邮件地址,用于接入服务/设备或通过通信网实现路由选择。标识符可以是任何用来表示用户实体身份的标识,如用户ID、网络ID、电子邮件地址、假名、组名等。 属性身份服务身份属性是对某一实体的描述,如实体类型、首选IP地址、域、地址
7、信息、电话号码、信誉评级等,还可包括权利、特权、委托名单和特别限制。其他类型的属性包括入侵检测跟踪的信息,如失败的身份断言尝试、重复键入的国家名等。属性也可以作为证书或标识符分配过程的一部分(如名称、物理地址、联系信息等)或动态信息(如目前实体地理空间位置)等。 模式身份服务模式信息是与实体行为相关的特性。一般情况下,模式信息由实体管理系统根据信誉和以往交易确定,而不是由实体本身确定。模式信息可用来评估身份保证情况,包括IP地址、接入点、位置信息、使用时间和所接入的系统。( 2 ) I DM服务模式在IDM服务过程中,IDP主要采用查询/应答机制为用户、SP提供身份服务。IDM服务模式如下:
8、用户向SP请求应用服务或资源; SP要求用户提供身份信息以及IDP相关信息,用户向SP提交身份信息(如标识符、信任状等)以及IDP地址等信息进行响应; SP请求IDP对用户提交的身份信息进行认证,并要求IDP提供所需的用户身份信息,IDP对SP的请求进行应答; SP获得身份提供的认证结果后,向用户提供相应的服务。大多数IDM系统根据该服务模式提供服务,或以此模式为基础进行扩展,进而形成各自的IDM系统和认证平台。由于各大组织所采用的技术有较大区别,因此,设计通用的IDM系统并提高不同IDM系统间的互操作性成为当前IDM技术研究的重点。( 3 ) I DM功能模块IDM系统模块及其功能如下: S
9、SO Logic,为用户和SP提供单点登录/登出功能; A u t h e n t i c a t i o n M e t h o d s Provider,提供认证方法; Authentication Methods Logic,决定适当的认证规则/策略,包括认证方法、认证方法安全水平、使用认证代理需求和便利性、重认证规则等; Assertions Generation Logic,断言产生逻辑,决定适当的断言、证书产生规则和策略,包括断言格式及断言信息、使用断言产生代理的需求和便利性; Aliasing Function,保护用户隐私功能,如假名产生、匿名等; Permission Man
10、agement(权限管理),用户控制并决定与SP共享哪些身份属性,(授权)用户设置管理权限,MNO考虑用户定义的权限; Identity Attribute Sharing(共享身份属性),支持任意属性组合的共享,基于权限管理设置规则; Common Identity Data Model,AuthP /AttrP /SP之间采用相同的数据格式,为了在不同的IDM系统之间以及各个SP和IDP之间进行统一通信,ITU对统一的身份数据模型做了相关定义; Management of ID data,管理用户侧所需的身份数据,至少包括用于访问服务时的认证身份的信任状。3 . 2 身份联盟身份联盟是一个
11、很重要的概念,身份提供者和应用服务提供商之间通过身份联盟将运营商系统和服务提供商系统的用户身份信息进行联合。如果用户想使用SSO(Single Sign On,单点登录)业务去访问一个第三方业务,首先需要向运营商和应用提供商请求88 TelecommunicaTions Technology / 20096身份联盟。如果用户已选择身份联盟并且已经登录过,则服务提供商和运营商将处理这些账户联盟。当用户在运营商网络登录并向服务提供商请求业务后,在运营商和服务提供商之间会进行SAML声明交互,这对所有第三方来说是透明的。服务提供商认可SAML声明中的认证方法后会将声明中的ID和用户账户进行关联,因此
12、,用户不需要提供额外的认证凭证就可以直接访问业务。3 . 3 单点登录SSO是目前比较流行的企业业务整合解决方案之一。采用SSO技术后,用户只需要登录一次就可以访问多个应用系统中所有相互信任的服务和资源。S S O技术实现机制如下:当用户第一次访问服务时,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份校验,如果通过校验,应该返回给用户一个认证的凭据Ticket;用户再访问别的应用时,会将这个Ticket带上,作为自己认证的凭据,应用系统接收到请求之后会把Ticket送到认证系统进行校验,检查Ticket的合法性。如果通过校验,用户就可以在不用再次登录的情
13、况下访问其他服务。实现SSO系统要求如下: 所有应用系统共享一个身份认证系统; 所有应用系统能够识别和提取Ticket信息; 应用系统能够识别已经登录过的用户并自动判断当前用户是否登录过,从而完成SSO功能。4 I D M在电信网络中的应用分析运营商对IDM技术的应用需求可以分为内部网络/业务的需求以及作为IDP对外提供身份服务的需求两类。4 . 1 内部网络/ 业务需求运营商内部网络和业务对IDM的需求可以体现为以下4个方面。( 1 ) 跨不同网络(层次)间统一身份认证目前,不同接入网的用户认证是单独规划的,因此,用户在接入不同网络时需要接受独立的身份认证,无法在不同的认证结果间建立可信的传
14、递关系,从而降低了网络接入和切换的效率。如果能够实现不同接入网络或网络层次之间的身份关联和认证结果可信传递,对已经在某一网络登录过的用户实现在确认身份信息情况下的直接接入,将有效改善网络的切换效率。( 2 ) 网络与业务间身份认证关系传递在现有的电信网络中,网络接入认证与不同业务平台的认证机制是完全独立的。用户在登录网络和业务时需要分别进行单独认证。网络层的认证基本是基于用户的(U/I)SIM卡实现的,安全强度较高。不同业务平台的认证机制采用用户名/口令/Digest等不同的方式,安全强度各不相同。如果能够将网络的认证结果可信地传递给业务层,从而在网络和业务的认证间建立可信的依赖关系,就可以避
15、免用户在先登录移动网络后再访问业务时进行重新接入认证,一方面将提高业务的认证效率,同时也提高了用户使用业务的安全性。( 3 ) 不同业务间的统一认证随着数据业务的迅猛发展,业务平台也越来越多,用户在不同业务中拥有不同的账户,在使用不同业务时需要进行单独的身份认证,既降低了用户使用的便捷性,也增加了安全隐患。实现不同业务中用户身份的有效关联,并在不同业务之间进行统一身份认证将对业务的推广具有重要的作用。( 4 ) 网络设备身份管理及认证问题随着网络开放性的不断增加,特别是将来以P2P技术为代表的分布式网络架构的出现,为保证网络域安全通信链路的建立,不同网络设备也需要有特定的身份标识以在建立可信链
16、接时进行身份认证。对全网网络设备身份标识的分配、管理及其信任传递关系需要进行深入研究,在保证充分安全的前提下,提高可信网络通信链路建立的效率。4 . 2 作为I D P 对外提供服务的需求由于电信运营商掌握大量的用户身份资源,可提供完善的身份认证机制,并具有可靠的品牌和在产业链中的巨大影响力,在IDM商业模式中,运营商具备作为IDP向第三方提供身份服务的天然优势,其业务驱动力体现为以下两个方面: 向第三方业务提供重用的认证信息及其他身份信息; 通过提供跨服务域的S S O服务,提高用户访问服务时的友好性,此外,进一步向新业务开放用户信息(如用户嗜好、设备能力等),将提升用户对新业务的体验。作为IDP时运营商应作为服务的访问点,并管理用户身份,对第三方服务提供者而言,运营商作为可信方和其用户的代理。对于与第三方业务提供者合作并向其提供身份服务这种模式,根据SP规模的大小和已有身份管理能力的不同,可以有不同的合作和服务提供策略。
