面向未來互聯(lián)網(wǎng)的身份管理機(jī)制研究

□ 文 王海濤 劉力軍

一、引言

隨著網(wǎng)絡(luò)時(shí)代的到來，互聯(lián)網(wǎng)的規(guī)模急劇膨脹并且應(yīng)用服務(wù)快速擴(kuò)張，互聯(lián)網(wǎng)在人們的工作學(xué)習(xí)和生活?yuàn)蕵分邪l(fā)揮著舉足輕重的作用。人們?cè)絹碓诫x不開互聯(lián)網(wǎng)，不斷開拓新的應(yīng)用領(lǐng)域，包括社會(huì)治理、健康醫(yī)療、商業(yè)物流、交通旅游和居家娛樂等。但是，當(dāng)前互聯(lián)網(wǎng)曝露了許多弊端，特別是服務(wù)質(zhì)量保障和安全隱私問題，這些問題也催生了未來互聯(lián)網(wǎng)的研究不斷深入。未來互聯(lián)網(wǎng)將采用泛在網(wǎng)絡(luò)模式和分布式網(wǎng)絡(luò)架構(gòu)，綜合利用包括云計(jì)算（Cloud Computing）、軟件定義網(wǎng)絡(luò)（Software Defined Network， SDN）和區(qū)塊鏈（Blockchain）在內(nèi)的多種新興網(wǎng)絡(luò)通信技術(shù)，盡可能解耦網(wǎng)絡(luò)控制功能與分組轉(zhuǎn)發(fā)功能，提高了網(wǎng)絡(luò)的可控性和靈活性，呈現(xiàn)出異構(gòu)性、動(dòng)態(tài)性、靈活性和自治性等顯著特征，也隨之曝露出許多新的安全問題和挑戰(zhàn)。其中，作為構(gòu)建網(wǎng)絡(luò)信任體系的必備要素，身份管理（Identity Management， IdM）是未來互聯(lián)網(wǎng)安全防護(hù)中急需解決的核心問題之一。

身份管理用于識(shí)別、驗(yàn)證和管理網(wǎng)絡(luò)用戶的身份，可以提供有關(guān)互聯(lián)網(wǎng)用戶的配置文件、服務(wù)特性和訪問策略，從而確保網(wǎng)絡(luò)操作的透明性，如網(wǎng)絡(luò)路由和用戶移動(dòng)性等，并在各種網(wǎng)絡(luò)實(shí)體（用戶、網(wǎng)絡(luò)元素和軟件應(yīng)用）之間建立必要的信任關(guān)系，有效控制網(wǎng)絡(luò)的訪問權(quán)限和資源的高效利用，從而極大地提升了網(wǎng)絡(luò)的安全性能。目前，互聯(lián)網(wǎng)中每個(gè)用戶可能擁有多個(gè)數(shù)字身份并有不斷增加之勢(shì)，如一次性口令（One Time Password，OT P）、個(gè)人身份號(hào)(Personal Identity Number， PIN)或數(shù)字證書（X.509），甚至包括各種生物特征身份。在未來互聯(lián)網(wǎng)中，許多安全隱私問題與用戶身份緊密相關(guān)，包括海量數(shù)字身份的存儲(chǔ)和管理、身份竊取、和身份偽造等?；ヂ?lián)網(wǎng)中的身份管理不僅要防止非法用戶未授權(quán)地使用數(shù)字身份、減少身份信息泛濫和增強(qiáng)用戶身份隱私性，還需要確保網(wǎng)絡(luò)整體的安全性、可靠性和互操作性。

二、未來互聯(lián)網(wǎng)體系架構(gòu)

近二十年，未來互聯(lián)網(wǎng)得到了業(yè)界廣泛討論和研究，但至今未就其體系架構(gòu)和設(shè)計(jì)思路達(dá)成一致。比較公認(rèn)的觀點(diǎn)將未來互聯(lián)網(wǎng)看作一種面向服務(wù)的以用戶為中心的互聯(lián)網(wǎng)。互聯(lián)網(wǎng)與其看成網(wǎng)絡(luò)，不如視為一組服務(wù)，包括網(wǎng)絡(luò)可訪問、信息可獲取、業(yè)務(wù)可享用。未來互聯(lián)網(wǎng)期望的目標(biāo)主要包括：異構(gòu)網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)高生存性、業(yè)務(wù)多樣性、服務(wù)個(gè)性化、安全隱私性、管理自主性、成本有效性和資源可計(jì)量性。隨著移動(dòng)設(shè)備的普及和移動(dòng)互聯(lián)網(wǎng)的發(fā)展，人們?cè)絹碓揭蕾囋诰€協(xié)作和社交網(wǎng)絡(luò)媒體來獲取、共享和傳遞信息。另外，隨著云計(jì)算和大數(shù)據(jù)的興起，個(gè)人計(jì)算機(jī)已經(jīng)逐漸被云計(jì)算取代，平臺(tái)即服務(wù)、網(wǎng)絡(luò)即服務(wù)、軟件即服務(wù)、計(jì)算即服務(wù)和數(shù)據(jù)即服務(wù)的新理念已深入人心，充分解放了用戶的羈絆，極大促進(jìn)了大眾創(chuàng)業(yè)和萬眾創(chuàng)新。但是，未來互聯(lián)網(wǎng)泛在的網(wǎng)絡(luò)、多樣化的服務(wù)和海量的數(shù)據(jù)對(duì)用戶身份管理提出了更高要求，需要高效可靠的機(jī)制來存儲(chǔ)、控制和監(jiān)管巨量用戶身份并保護(hù)個(gè)人隱私信息。

基于上述未來網(wǎng)絡(luò)的需求和特點(diǎn)，如圖1所示，這是一種適用于未來互聯(lián)網(wǎng)的四層體系架構(gòu)，自底向上依次是網(wǎng)絡(luò)設(shè)備層、接入網(wǎng)層、核心網(wǎng)層和業(yè)務(wù)網(wǎng)層，涵蓋網(wǎng)絡(luò)覆蓋、網(wǎng)絡(luò)訪問、網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)應(yīng)用全要素。未來互聯(lián)網(wǎng)架構(gòu)在保持傳統(tǒng)互聯(lián)網(wǎng)架構(gòu)層次化和簡(jiǎn)單化的同時(shí)，可以靈活方便地融合集成各種網(wǎng)絡(luò)類型并能很好地適應(yīng)不斷涌現(xiàn)的新服務(wù)。但是，未來互聯(lián)網(wǎng)不僅有傳統(tǒng)互聯(lián)網(wǎng)固有的問題，如網(wǎng)絡(luò)安全性、服務(wù)質(zhì)量和網(wǎng)絡(luò)成本等，還要解決諸多新挑戰(zhàn)，包括網(wǎng)絡(luò)無縫切換、服務(wù)高效發(fā)現(xiàn)和網(wǎng)絡(luò)快速選擇等。

圖1 一種未來互聯(lián)網(wǎng)體系架構(gòu)

圖2 涉及第三方實(shí)體的交易關(guān)系圖

三、身份管理基本概念和生命周期

3.1 基本概念

隨著網(wǎng)絡(luò)的不斷發(fā)展和應(yīng)用，虛擬世界和物理世界將逐漸融合在一起，促使傳統(tǒng)交易的概念和模式都發(fā)生了巨大變化，也影響著通信實(shí)體之間的信任關(guān)系和信任程度。換句話說，通信參與方之間的連接和信任對(duì)于網(wǎng)絡(luò)交易成功與否至關(guān)重要。在多方參與的網(wǎng)絡(luò)交易過程中，涉及到的與身份管理相關(guān)的概念主要包括實(shí)體、身份、標(biāo)識(shí)符和證書。一般而言，在交易過程中如果通信實(shí)體之間無法直接建立信任關(guān)系，有必要通過受信任的第三方（如中介方或仲裁機(jī)構(gòu)）來協(xié)助完成交易如圖2所示，第三方實(shí)體負(fù)責(zé)提供有關(guān)參與方的信息，實(shí)現(xiàn)身份驗(yàn)證和確認(rèn)。實(shí)際上，交易參與各方的身份需要通過某種身份管理系統(tǒng)來控制，身份管理系統(tǒng)是一種負(fù)責(zé)管理身份集合、身份注冊(cè)、使用和注銷以及相關(guān)身份信息的一套機(jī)制。

身份管理系統(tǒng)涉及的概念主要包括：實(shí)體、身份、標(biāo)識(shí)符和證書，保存相關(guān)身份信息并執(zhí)行必要的認(rèn)證和授權(quán)操作。實(shí)體可以是人、設(shè)備、網(wǎng)絡(luò)服務(wù)或任何相關(guān)對(duì)象，身份用于提供有關(guān)實(shí)體及其系統(tǒng)的必要信息。每個(gè)實(shí)體可擁有多個(gè)特定的身份和本系統(tǒng)內(nèi)唯一的標(biāo)識(shí)符（如字符串），并使用具有一定生命周期的證書來表明其合法身份。實(shí)體是真實(shí)存在的，而身份是一種虛擬概念。身份與一個(gè)唯一的標(biāo)識(shí)符相關(guān)聯(lián)，并連同證書可以證明身份的擁有者。證書不唯一且有多種類型，可以在實(shí)體和系統(tǒng)之間建立證書（如口令）或由第三方實(shí)體下發(fā)（如通行證）。綜上所述，實(shí)體、身份及標(biāo)識(shí)符之間的關(guān)系如圖3所示。

身份管理系統(tǒng)一般包括三類實(shí)體： 用戶、身份提供者和服務(wù)提供者。用戶使用身份管理系統(tǒng)訪問服務(wù)提供者提供服務(wù)前需要驗(yàn)證身份；為此，身份提供者需要為用戶發(fā)放證書并提供身份認(rèn)證服務(wù)。

3.2 身份管理生命周期

身份管理系統(tǒng)中的實(shí)體、身份和證書具有確定過的生命周期，包括生成、存活和消亡三個(gè)階段。身份管理需要解決的一個(gè)難題是在生命周期內(nèi)確保實(shí)體與其關(guān)聯(lián)的身份和證書保持同步一致。以某實(shí)體的身份為例，身份的生成階段是指實(shí)體初次向系統(tǒng)注冊(cè)的時(shí)期；身份的消亡是指實(shí)體向系統(tǒng)注銷的時(shí)候；身份存活期間，身份可以按需更新或暫停使用。需要說明的是，即使賬戶注銷導(dǎo)致其身份消亡，相關(guān)記錄也需要保留一定的時(shí)間。相對(duì)而言，證書的生成自信息系統(tǒng)或受信任的第三方機(jī)構(gòu)發(fā)放證書開始，終止于證書過期或撤銷。有時(shí)由于實(shí)體消失、證書丟失或被盜用而提前消亡。

身份管理系統(tǒng)的主要操作包括：識(shí)別、認(rèn)證、授權(quán)和記賬。識(shí)別是指實(shí)體通過標(biāo)識(shí)符向系統(tǒng)提供身份信息的行動(dòng)，識(shí)別只允許系統(tǒng)了解所涉及的實(shí)體有哪些，但不提供特定的證據(jù)。接下來，需要通過認(rèn)證操作來驗(yàn)證實(shí)體的身份，認(rèn)證過程要求相關(guān)實(shí)體提供證明其身份的證書以表明該實(shí)體確實(shí)為特定身份的擁有者。通過認(rèn)證后，不同身份的實(shí)體就擁有了系統(tǒng)中特定的權(quán)限和允許的操作，為不同身份的實(shí)體分配權(quán)限的過程即為授權(quán)階段。此外，還有一個(gè)記賬（審計(jì)）過程負(fù)責(zé)記錄身份管理系統(tǒng)中發(fā)生的所有行動(dòng)及相關(guān)信息。

圖3 實(shí)體、身份及標(biāo)識(shí)符之間的關(guān)系

四、身份管理系統(tǒng)設(shè)計(jì)

4.1 系統(tǒng)業(yè)務(wù)需求

未來互聯(lián)網(wǎng)的身份管理系統(tǒng)必須滿足包括隱私性、安全性、可用性、可信賴和互操作性等一系列需求。未來互聯(lián)網(wǎng)的身份管理系統(tǒng)采用以用戶為中心的服務(wù)模式，要求數(shù)據(jù)傳輸和共享的各方均參與保護(hù)用戶的敏感信息。通過身份管理系統(tǒng)提供的用戶隱私性保護(hù)可以防止個(gè)人信息泄露或被非法利用，從而確保用戶匿名/假名的有效性。身份管理系統(tǒng)的安全性是指系統(tǒng)可以有效防止針對(duì)信息服務(wù)可用性、完整性和機(jī)密性的各種攻擊。為了增強(qiáng)身份管理系統(tǒng)的可靠性，有必要將用戶的身份信息分布到多個(gè)身份提供者。身份管理系統(tǒng)的可用性是指用戶可以高效方便地訪問系統(tǒng)并達(dá)到使用滿意的目標(biāo)，為此，希望身份管理系統(tǒng)的大部分操作對(duì)用戶是透明的，無論用戶身處何地及使用何種設(shè)備。此外，身份管理系統(tǒng)還要考慮其建設(shè)投入成本和用戶的支付成本，因?yàn)榘嘿F的系統(tǒng)顯然不利于其大規(guī)模推廣使用。可信賴性是所有交易正常進(jìn)行的前提條件，特別是身份管理系統(tǒng)的許多操作對(duì)用戶都是默許的，對(duì)系統(tǒng)操作的信賴性不可或缺。此外，身份管理系統(tǒng)還需要考慮部署所在地的法律規(guī)定。身份管理系統(tǒng)的互操作性是指系統(tǒng)能夠與現(xiàn)存的其他安全系統(tǒng)共存并符合國際標(biāo)準(zhǔn)。最后，身份管理系統(tǒng)必須考慮用戶的情景信息并能根據(jù)動(dòng)態(tài)變化的用戶需求做出調(diào)整。

4.2 身份管理實(shí)現(xiàn)模型

當(dāng)前，身份管理實(shí)現(xiàn)模型主要可分為三類：集中模型、分離模型和聯(lián)合模型。在集中模型中，服務(wù)提供者同時(shí)充當(dāng)身份提供者，所有身份存儲(chǔ)和相關(guān)操作由單個(gè)服務(wù)器獨(dú)自完成。該模型很簡(jiǎn)單但是可擴(kuò)展性和安全性較差。分離模型采用客戶/服務(wù)器模式，分離身份提供者和服務(wù)提供者，所有身份存儲(chǔ)和驗(yàn)證操作由身份提供者完成，但身份提供者很有可能成為安全脆弱點(diǎn)。聯(lián)合模型中多個(gè)服務(wù)提供者協(xié)作完成身份存儲(chǔ)和認(rèn)證操作，不過需要在服務(wù)提供者之間建立必要的信任機(jī)制和通信協(xié)議，該模式較為可靠但實(shí)現(xiàn)相對(duì)復(fù)雜。

身份管理運(yùn)作范式也包括三類：以網(wǎng)絡(luò)為中心、以服務(wù)為中心和以用戶為中心。早期的身份管理系統(tǒng)大多采用網(wǎng)絡(luò)中心范式，與當(dāng)時(shí)的網(wǎng)絡(luò)中心服務(wù)模式相對(duì)應(yīng)。網(wǎng)絡(luò)名字空間中的每個(gè)身份是唯一的并且每個(gè)實(shí)體有其對(duì)應(yīng)的身份。這種范式是沒有考慮身份應(yīng)用的特定場(chǎng)景以及相應(yīng)的約束。服務(wù)中心范式充分考慮跨越多個(gè)網(wǎng)絡(luò)域的不同服務(wù)提供者提供的差異化服務(wù)，并提供一種為用戶動(dòng)態(tài)和顯式委派服務(wù)權(quán)限的手段。但是由于來自不同服務(wù)提供商的服務(wù)可能有不同的訪問控制機(jī)制和信任級(jí)別，有效組合這些服務(wù)往往比較困難。此外，在不同服務(wù)之間動(dòng)態(tài)委派訪問權(quán)限也并非易事。隨著用戶中心網(wǎng)絡(luò)模式的興起，以用戶為中心的身份管理范式成為主流，用戶中心范式將服務(wù)提供商對(duì)證書的絕對(duì)控制逐漸轉(zhuǎn)變?yōu)橛捎脩糇陨沓袚?dān)必要的身份和證書控制責(zé)任。

4.3 身份管理方法和工具

最常用和簡(jiǎn)單的身份管理方法是使用口令或密碼，但是這種方法的安全性較弱。為了增強(qiáng)安全性，業(yè)界提出了所謂的認(rèn)證令牌。令牌提供了用戶電子身份，只允許令牌擁有者訪問特定的信息。認(rèn)證令牌可以存儲(chǔ)如數(shù)字簽名之類的加密密鑰，提升了身份認(rèn)證的安全性。此外，為了確保令牌的機(jī)密性，創(chuàng)建了多種配套管理工具，如磁卡、智能芯片卡和射頻識(shí)別卡等。當(dāng)前通常采用雙因子認(rèn)證手段，即結(jié)合使用口令和智能卡來和證明用戶的身份，但仍然會(huì)遭受偽造和盜用。為此，可以引入用戶的生物特征來進(jìn)一步增強(qiáng)身份認(rèn)證系統(tǒng)的安全性，即采用所謂的多因子認(rèn)證機(jī)制。生物特征包括用戶的物理特征和行為特征，前者如指紋、掌紋、人臉和視網(wǎng)膜等，后者如步態(tài)和肢體動(dòng)作等。

五、結(jié)束語

身份認(rèn)證與管理是提高網(wǎng)絡(luò)安全可靠性和服務(wù)隱私性的關(guān)鍵技術(shù)之一，對(duì)于構(gòu)建未來互聯(lián)網(wǎng)可信認(rèn)證體系、創(chuàng)新開放網(wǎng)絡(luò)經(jīng)濟(jì)模式和支持互聯(lián)網(wǎng)健康可持續(xù)發(fā)展舉足輕重。當(dāng)前網(wǎng)絡(luò)已經(jīng)滲透到人類社會(huì)的方方面面，未來互聯(lián)網(wǎng)架構(gòu)必將支持泛在的網(wǎng)絡(luò)服務(wù)模式和分布式的網(wǎng)絡(luò)結(jié)構(gòu)，在為用戶提供使用便捷性和服務(wù)友好性的同時(shí)也帶來了一些新的安全問題和技術(shù)挑戰(zhàn)，特別是支持用戶安全透明漫游網(wǎng)絡(luò)的身份認(rèn)證和身份管理問題亟待解決。

迄今，業(yè)界針對(duì)未來互聯(lián)網(wǎng)架構(gòu)的身份管理問題進(jìn)行了許多積極探索和有益嘗試，并在身份管理模型、認(rèn)證方式和管理工具方面陸續(xù)提出了一些有參考價(jià)值的解決方案。但是，當(dāng)前針對(duì)未來網(wǎng)絡(luò)的身份管理技術(shù)的研究仍處于起步階段，很多理論研究和技術(shù)創(chuàng)新成果的有效性和實(shí)用性仍需要經(jīng)歷實(shí)踐的檢驗(yàn)，同時(shí)還急需開展相關(guān)技術(shù)的標(biāo)準(zhǔn)化和產(chǎn)業(yè)化工作。今后，隨著網(wǎng)絡(luò)空間安全、大數(shù)據(jù)、區(qū)塊鏈和人工智能等新技術(shù)的快速發(fā)展進(jìn)步，相信不久的將來必會(huì)構(gòu)建出一套契合未來互聯(lián)網(wǎng)架構(gòu)和發(fā)展應(yīng)用模式的新型身份管理體系，為打造可信的萬物互聯(lián)智能社會(huì)奠定技術(shù)支撐。