互聯(lián)網(wǎng)是沒有身份層的����。
——金·卡梅隆,微軟首席身份架構(gòu)師
什么是“身份層”�����?金·卡梅隆在論文《身份法則》中給出了答案:互聯(lián)網(wǎng)是在沒有辦法知道你連接到誰和什么的情況下建立起來的�����。
這限制了我們能用它做的事情��,并使我們面臨越來越大的危險�。如果我們無所作為,我們將面臨盜竊和欺騙事件迅速增多的情況����。這些事件將逐漸削弱公眾對互聯(lián)網(wǎng)的信任。
而事實也證明了金·卡梅隆預言的正確性:
超過90%的美國消費者認為他們已經(jīng)失去了對各種實體如何收集和使用個人信息的控制權(quán)�����;
80%與黑客相關(guān)的漏洞是由于用戶密碼泄露;
80% 數(shù)據(jù)泄露事件與失竊的特權(quán)身份有關(guān);
那么���,問題來了:如何重構(gòu)互聯(lián)網(wǎng)身份層?這就有了數(shù)字身份管理技術(shù)��。
眾所周知��,身份����、身份識別、身份認證��、身份授權(quán)是當下各類數(shù)字化應用服務系統(tǒng)中的核心要素之一��,是打開數(shù)字世界大門的鑰匙��。
應用系統(tǒng)只有在確認了用戶身份后�,才能進行授權(quán)并提供相應服務。因此���,身份認證和授權(quán)訪問管理是任何身份管理系統(tǒng)的關(guān)鍵任務���。
這些身份持有者通過憑證訪問自己的身份���,并可以使用憑證授權(quán)執(zhí)行各種任務。
隨著IT技術(shù)環(huán)境的日益復雜與多樣化����,數(shù)字身份管理系統(tǒng)也在逐漸持續(xù)升級變革中。截至目前可簡單概括為四大類:集中式�、聯(lián)合式、用戶中心式�����、自主主權(quán)式���。
集中式身份由中心化機構(gòu)頒發(fā),用戶身份的訪問權(quán)限由底層機構(gòu)或第三方公司頒發(fā)和控制���,通常用于特定目的�����。一般而言�����,中心化身份賦予頒發(fā)機構(gòu)比與身份關(guān)聯(lián)的用戶更多的權(quán)力��。
中心化身份系統(tǒng)還會導致身份分裂����,因為許多網(wǎng)站和在線服務強迫用戶創(chuàng)建單獨的身份,從而形成數(shù)據(jù)孤島�,導致用戶控制權(quán)減少���,網(wǎng)站或服務控制權(quán)增加�。
這也是為什么很多企業(yè)員工要記憶數(shù)個甚至數(shù)十個賬號密碼的原因所在�����。
聯(lián)合身份可以跨多個 IT 服務甚至跨多個組織使用����,允許用戶使用相同的憑據(jù)登錄形成聯(lián)合的不同服務。
例如��,用戶可以使用他們的OA帳戶憑據(jù)登錄其他所有應用程序。因為他們在多個服務之間共享聯(lián)合身份�,也就是我們熟知的單點登錄 SSO。
然而���,聯(lián)合身份管理通常被稱為信任圈���,其中身份提供者永遠不會與外部服務提供商共享用戶憑據(jù)。雖然聯(lián)合身份可以為用戶提供便利���,但控制權(quán)仍在身份提供者手中��。
以用戶為中心的身份旨在讓用戶更好地控制自己的數(shù)字身份。通過這種方式����,用戶能夠保持并使用 OpenID 或 OAuth 等數(shù)字身份服務獨立管理自己的數(shù)字身份。
以用戶為中心的身份要求用戶向指定服務提供商授予權(quán)限����。該服務提供商可以在不泄露任何機密信息的情況下向第三方驗證其身份�����。
例如,“使用微信登錄”功能允許擁有微信帳戶的用戶向任何集成此功能的第三方驗證其身份��,而無需暴露其身份憑證。
然而,雖然以用戶為中心的身份提高了身份的可移植性���,但并沒有讓用戶完全控制身份���。因此���,如果用戶被指定身份提供商禁止,他們也將失去對其一直在使用的任何相關(guān)第三方應用程序的訪問權(quán)限��。
自主主權(quán)身份 (簡寫:SSI) 一種新興的去中心化身份方法��,旨在讓實體(例如個人�����、組織和對象)能夠完全控制其數(shù)字身份,而無需依賴任何外部權(quán)威�����,從而消除單點故障���。
SSI通過讓每個用戶自主擁有自己的身份信息�,不同的用戶可以將憑據(jù)和個人信息存儲在類似于“數(shù)字錢包”的管理工具中����。而在進行身份認證時���,相關(guān)身份信息的使用也會分布在分布式計算機系統(tǒng)中���,如分布式賬本/區(qū)塊鏈等���。
這樣可以使數(shù)字身份避免被篡改和竊取的影響����,即使用戶的身份信息以電子格式記錄���,也難以被更改、竊取或刪除����。其獨特的透明性更是讓身份信息可以即時驗證,而不必依賴身份發(fā)行者�����,從而實現(xiàn)自主主權(quán)身份控制����。
SSI 的出現(xiàn)代表了一種范式轉(zhuǎn)變�,即權(quán)力和控制權(quán)從身份和服務提供者轉(zhuǎn)移到用戶,用戶必須在數(shù)字交互過程中成為身份和信息流管理的中心��。
區(qū)塊鏈技術(shù)的興起為SSI的發(fā)展鋪平了道路,通過分布式賬本技術(shù)實現(xiàn)新型用戶控制的彈性身份管理系統(tǒng)正在全球?qū)W術(shù)界和工業(yè)界強勁發(fā)展�����。
盡管當前業(yè)界對SSI管理系統(tǒng)的實現(xiàn)還沒有明確共識����,但以下四個關(guān)鍵要素卻是企業(yè)組織在構(gòu)建去中心化身份管理系統(tǒng)時必不可少的:
系統(tǒng)需要構(gòu)建一個去中心化的數(shù)據(jù)庫,在區(qū)塊鏈網(wǎng)絡中的計算機之間共享�����,以一種很難改變���、黑客攻擊或欺騙系統(tǒng)的方式記錄身份相關(guān)信息����。
一個應用程序��,允許用戶創(chuàng)建自己的去中心化標識符并管理他們的可驗證憑據(jù)�����。
這主要指區(qū)塊鏈上的唯一標識符����,由一串字母和數(shù)字組成,其中包含公鑰和驗證信息等詳細信息�����。
紙質(zhì)憑證和數(shù)字憑證的數(shù)字加密安全版本����,人們可以將其提交給需要驗證的組織����。
此外����,最早提出“自主主權(quán)身份”的美國技術(shù)專家克里斯托弗·艾倫分享了關(guān)于自我主權(quán)身份的愿景,并提出了十條具體原則:
存在:實體必須具有獨立存在����,它絕不能僅僅以數(shù)字形式存在��。
控制:實體必須能夠控制自己的身份��,他們應該始終能夠引用�、更新或隱藏它�。
訪問:實體應能直接訪問自己的身份和所有相關(guān)數(shù)據(jù)。所有數(shù)據(jù)必須可見且可訪問��,無需守門人�。
透明度:系統(tǒng)及其邏輯在其運作方式、管理方式和更新方式方面必須是透明的���。
持久性:身份必須是長期存在的����,至少要達到用戶希望的期限��,但它不應與“被遺忘權(quán)相矛盾�。
可移植性:所有關(guān)于身份的信息都必須可移植。身份不得由單一第三方持有����。
同意:實體必須同意使用其身份并共享所有相關(guān)數(shù)據(jù)���。
保護:實體的權(quán)利必須受到保護,當網(wǎng)絡的需要與實體的權(quán)利發(fā)生沖突時�����,應優(yōu)先考慮實體的權(quán)利���。
對于所有身份場景而言��,遵循所有這些原則的完全自主主權(quán)身份是否存在仍有爭議��,但卻也是每一個數(shù)字身份安全廠商開發(fā)下一個解決方案時努力追求的理想�。
派拉軟件作為國內(nèi)領(lǐng)先數(shù)字身份安全廠商��,也將持續(xù)結(jié)合新技術(shù)���、新理論、新實踐�,向更高階的數(shù)字身份安全產(chǎn)品與解決方案進階,為企業(yè)組織日益多樣����、復雜���、變化的數(shù)字化業(yè)務與安全場景不斷創(chuàng)新賦能。
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認證IDA
細粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測API-SD
API管理平臺APIM
ESB 企業(yè)服務總線
特權(quán)訪問管理PAM
數(shù)據(jù)庫訪問管理CQ
數(shù)據(jù)治理平臺PDMP
一體化零信任
運維安全
數(shù)據(jù)安全治理
遠程辦公安全
國產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺
數(shù)字化員工門戶
熱門文章
7*24小時服務
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認證
滬公網(wǎng)安備 31011502012922號