作者:林思日 杨树堂 倪佑生
论文 关键词:身份管理 移动服务 web服务 移动运营商 服务商 身份认证 服务提供商
论文摘要:身份和身份管理已成为移动报务中很重要的组成部分。比起集中式的身份管理,移动领域巾采刀的联合身份管理能使月户更方便、更快捷地使用到个性化的移动服务,但又不失安全性。本文基于身份联合框架,探讨和研究了联合身份管理及并在移动服务中的应用。
引言
随着当今移动通信技术的 发展 ,例如基于分组交换的移动 网络 的发展、拥有彩屏和x日tml浏览器的移动设备的出现,商家可以为用户提供相对于有线网络来说更方便、更自由的移动服务。在这些服务中,用户身份是一个很重要的组成部分,商家只有在获得有效的、经过认证的用户身份后,才能为该用户提供个性化的移动服务。可是现今这些服务并不像人们所想象得那样迅速发展,其中有四个主要原因:
——用户和商家之间不能建立相互信任的关系。一方面商家希望获得用户更多的身份信息以方便其提供更有效的服务.而另一方面用户又不愿意自己的隐私得不到有效的保障。
——各个商家的用户身份管理处于相互独立的状态,这样用户就需要记住自己在不同服务处不同的用户名和密码。wWW.133229.cOM
——由于自身体积大小的限制移动设备通常使用小型的键盘和屏幕.这些硬件上的限制使得用户在使用服务时输入用户名和密码并不是那么的方便。各个商家在建立有效的身份管理机制上投入了大量的时间和财力.从而影响了这些服务的及时部署和最终的利润。
建立一个有效的身份管理架构可以很好地解决上面出现的问题。在这个架构中,各个商家基于某个协议建立起广泛的相互信任关系:一个商家做出的关于用户身份的认证声明将被其它商家所信任。这样就为用户提供了一个无缝化的服务环境.用户只需单次登录.然后点击就可以轻松获得各种个性化的移动服务。
现有的身份管理架构可以分为两种:集中式的身份管理和联合的身份管理。其中集中式的身份管理以微软的passport机制为代表,它是一种web服务它将用户的网络身份和相关信息存放在大型数据库中实行集中式的管理所以注册了passport的用户可以采用passport关联的应用程序在internet上任何位置进行验证,passport验证票证也可以被解码到cookie中,以便实现单一登录而无需重复登录。
但是它的缺点也是显而易见的,由于身份管理是集中式的,所以单点故障很可能导致认证瘫痪。而且,最关键的问题在于passport只能在相似的平台中部署,虽然多数线上消费者使用windowspc连接互联网,但他们的数字身份却是由isp或是移动服务商所颁发而这一领域又多属于unix/linux系统的市场。此外,从手机、pda或其它非windows平台访问网络的情况也越来越普及因此以平台无关的方式来进行身份管理越发重要。
联合身份管理
1.身份联合框架
2002年7月,由诺基亚、sun、intel、hp以及gm等160多家公司和组织组成的自由联盟(liberty alliance)提出了身份联合框架(ldentityfederationframeworkid一ff}。该框架基于身份联合来实现身份管理,并制定了一系列的开放性的规范和标准来实现以下几个目的
(1)用户可以选择性地将其在不同服务商处的帐户连接起来。
(2)用户在其中一个帐户处经过身份认证后就可以连接到其它帐户而不用重新登录从而实现了单点登录。
(3)当用户在其中一个帐户处退出登录后,在其它帐户处也会注销其登录会话信息从而实现了单点退出。
(4)在固定设备和移动设备上都能实现身份的联合。该框架中.由于用户的网络数字身份信息是保存在不同的地方.所以解决了集中式身份管理中存在的单点故障问题。而且该框架是以soap和saml为基础的开放性的架构.如图1所示,所以它与具体部署平台和实现语言无关。
2.参与角色和架构组件
在一个典型的身份管理商业系统中.通常包含三种角色:用户(use:)、服务提供者(servieeprovider,以下简称sp)和身份提供者(一dentityprovider.以下简称ldp)。其中sp是指提供web服务的商业性或是非盈利性组织idp是提供身份认证服务的特殊的sp它管理用户的身份信息.并为其它sp提供认证声明。在身份联合框架中,webserviee、metadata&sehemas和webredirection三个架构组件将这三个角色联系在一起。如图2所示。
图2中.ldp和sp之间使用web服务的方式进行相互通信,使用web重定向方式在用户设备上为用户提供服务.而metadata schemas指定idp和sp之间交互各种信息的一套元数据和数据格式。
3.信任圈模型
信任圈模型构成了联合身份管理的基础。拥有商业联系的一个或是多个idp和一组sp,通过某种约定共同构建成一个认证域也称为信任圈(cirefeoftrust).如图3所示。在这个信任圈中ldp做出的认证声明被所有与其联合的sp所信任。用户可以选择将其在ldp处的帐户和在sp处的帐户之间建立连接,这样.用户下一次在idp处通过身份认证后,就可以在信任圈中无缝地、安全地使用sp提供的个性化服务。
基于自由联盟提出的开放式的联合身份管理架构.移动运营商和服务提供商可以按照某种商业协议共同组成一个信任圈。在这个信任圈中服务提供商完全信任移动运营商提供的身份认证声明,并且可以从运营商处获得用户身份信息web服务,从而使服务提供商和移动运营商联合起来共同为客户提供个性化的移动月民务。
在联合身份管理架构中.有两种设备可以用于访问移动服务:普通的浏览器客户端和lecp。
1.普通浏览器客户端
用户使用普通手机浏览器直接访问移动服务的优点在于它对现今存在的客户端软件和 网络 设备不需要做任何的改变。但是在这种情况下,服务提供者就无法得知能为该用户提供身份认证的身份服务者到底是谁。在实际情况中,服务提供者会向用户提供一个列表让用户从中选择其身份提供者。但是由于移动设备的小键盘和小屏幕,这种选择往往会使用户丧失耐心。所以这种模式适用于在信任圈内只有一个ldp时使用。
2.lec/lecp
lec/lecp(liberty一enabledcli一ento:proxy)是指支持自由联盟架构的客户端或是代理器。它拥有用户在访问sp时所希望使用的ldp的相关信息,或是知道如何获得这些信息。lec/lecp可以是pc机、机顶盒、移动设备或是像wap网关和日ttp代理服务器之类的网络设备。
图4显示了在无线领域中基于libertv的认证架构的一种实现方法。在图中运营商在作为身份提供者的同时还拥有一个lecp的四ap网关或是盯tp代理服务器,而服务商也在它的服务中添加了对liberty协议的支持。当用户通过点击访问服务商的url时,用户的手机首先将会与运营商的网关建立会话然后再连接到服务处(图4中的第1、2步}:服务商能从http请求中识别出网关是lec网关.并向运营商处的身份提供者发出一个认证用户身份的请求(图4中的第3、4步)运营商在认证完用户的身份后将返回给服务商认证声明(图4中的第5、6步);此时服务商就可以根据该认证声明为用户提供相应的服务(图4中的第7.8步)。
运营商可以以不同的方式认证用户身份.比如wpki、用户名加密码或是电话号码。其中使用电话号码是最简单的认证方式,因为运营商可以在网关处自动地认证用户的身份。
服务商或许还需要更多的与用户身份相关的个人信息,例如用户的在线配置信息、个人购物喜好或是购物记录、移动用户的当前位置信息和日志记录等等以便于服务商向用户提供更好的个性化服务。此时,服务商也可以以webserviee的方式通过lec网关向运营商请求用户的相关属性信息,如图5所示。
在图5中,运营商处的发现服务将向移动服务商提供可以获取用户属性的地址,然后服务商从该地址访问属性web服务运营商的属性web服务提供者将根据用户的设定检查该服务商是否拥有访问并使用这些属性的授权检查通过后就以web月及务的方式为移动服务商提供这些属性。
由此可见,在移动领域中引入联合身份管理后服务提供者和运营商共同构成了一个信任圈在这个信任圈中.用户既可以方便地向服务商提供自己的身份,又可以完全掌控自己的个人信息从而可以授权特定的服务商使用特定的个人属性信息。而且最主要的是整个认证过程对用户来说是透明的在用户看来就好像是“只是点击就得到了个性化的移动服务”,整个过程是无缝的不会经常被输入用户名和密码的提示所打断。
3.联合身份管理的评价
通过上面联合身份管理在移动服务中的应用的研究讨论,我们可以很明显地看到.联合身份管理将给移动服务中的各个参与方所带来的好处:
——对于用户来说可以更快更方便地访问到个性化的服务.又不失匿名性和隐私而且对于自己的网络身份信息和属性拥有完全的控制权:
——对于服务提供商来说,减少在访问管理架构上的花费提高操作过程效率.而且服务的快速部署可以适应多变的市场瓣求,在竟争中抢得先机;
——对于移动运营商来说,增加了新的收入渠道他们可为服务提供商提供身份服务还可以将一些重要的信息(例如移动用户的位置和在线状态)出售给服务提供商。
结论
目前,移动服务的快速 发展 需要用户和服务商之间建立一个可靠的相互信任环境这就需要一个更为有效的身份管理架构来管理用户的数字身份。本文基于自由联盟提出的身份管理框架讨论了开放式的联合身份管理在移动服务中的应用.以及给用户、服务提供商和移动运营商所带来的好处。联合身份管理不仅具有研究价值还具有广阔的市场前景。