En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>IAM(身份與訪問(wèn)控制)> 從集中式、聯(lián)合式、用戶中心式到自主主權(quán)式,身份安全正在顛覆性變革

從集中式、聯(lián)合式、用戶中心式到自主主權(quán)式,身份安全正在顛覆性變革

文章

2024-08-01瀏覽次數(shù):478

互聯(lián)網(wǎng)是沒(méi)有身份層的。

——金·卡梅隆,微軟首席身份架構(gòu)師

 

什么是“身份層”?金·卡梅隆在論文《身份法則》中給出了答案:互聯(lián)網(wǎng)是在沒(méi)有辦法知道你連接到誰(shuí)和什么的情況下建立起來(lái)的。

 

這限制了我們能用它做的事情,并使我們面臨越來(lái)越大的危險(xiǎn)。如果我們無(wú)所作為,我們將面臨盜竊和欺騙事件迅速增多的情況。這些事件將逐漸削弱公眾對(duì)互聯(lián)網(wǎng)的信任。

 

而事實(shí)也證明了金·卡梅隆預(yù)言的正確性:

 

超過(guò)90%的美國(guó)消費(fèi)者認(rèn)為他們已經(jīng)失去了對(duì)各種實(shí)體如何收集和使用個(gè)人信息的控制權(quán);

80%與黑客相關(guān)的漏洞是由于用戶密碼泄露;

身份與訪問(wèn)控制仍是勒索軟件攻擊的首選;

80% 數(shù)據(jù)泄露事件與失竊的特權(quán)身份有關(guān);

   ......

 

那么,問(wèn)題來(lái)了:如何重構(gòu)互聯(lián)網(wǎng)身份層?這就有了數(shù)字身份管理技術(shù)。

 

眾所周知,身份、身份識(shí)別、身份認(rèn)證、身份授權(quán)是當(dāng)下各類(lèi)數(shù)字化應(yīng)用服務(wù)系統(tǒng)中的核心要素之一,是打開(kāi)數(shù)字世界大門(mén)的鑰匙。

 

應(yīng)用系統(tǒng)只有在確認(rèn)了用戶身份后,才能進(jìn)行授權(quán)并提供相應(yīng)服務(wù)。因此,身份認(rèn)證和授權(quán)訪問(wèn)管理是任何身份管理系統(tǒng)的關(guān)鍵任務(wù)。

 

這些身份持有者通過(guò)憑證訪問(wèn)自己的身份,并可以使用憑證授權(quán)執(zhí)行各種任務(wù)。

 

隨著IT技術(shù)環(huán)境的日益復(fù)雜與多樣化,數(shù)字身份管理系統(tǒng)也在逐漸持續(xù)升級(jí)變革中。截至目前可簡(jiǎn)單概括為四大類(lèi):集中式、聯(lián)合式、用戶中心式、自主主權(quán)式。

 

 

 

01

集中式身份管理

 

集中式身份由中心化機(jī)構(gòu)頒發(fā),用戶身份的訪問(wèn)權(quán)限由底層機(jī)構(gòu)或第三方公司頒發(fā)和控制,通常用于特定目的。一般而言,中心化身份賦予頒發(fā)機(jī)構(gòu)比與身份關(guān)聯(lián)的用戶更多的權(quán)力。

 

中心化身份系統(tǒng)還會(huì)導(dǎo)致身份分裂,因?yàn)樵S多網(wǎng)站和在線服務(wù)強(qiáng)迫用戶創(chuàng)建單獨(dú)的身份,從而形成數(shù)據(jù)孤島,導(dǎo)致用戶控制權(quán)減少,網(wǎng)站或服務(wù)控制權(quán)增加。

 

這也是為什么很多企業(yè)員工要記憶數(shù)個(gè)甚至數(shù)十個(gè)賬號(hào)密碼的原因所在。

 

 

 

02

聯(lián)合式身份管理

 

聯(lián)合身份可以跨多個(gè)  IT  服務(wù)甚至跨多個(gè)組織使用,允許用戶使用相同的憑據(jù)登錄形成聯(lián)合的不同服務(wù)。

 

例如,用戶可以使用他們的OA帳戶憑據(jù)登錄其他所有應(yīng)用程序。因?yàn)樗麄冊(cè)诙鄠€(gè)服務(wù)之間共享聯(lián)合身份,也就是我們熟知的單點(diǎn)登錄 SSO。

 

然而,聯(lián)合身份管理通常被稱(chēng)為信任圈,其中身份提供者永遠(yuǎn)不會(huì)與外部服務(wù)提供商共享用戶憑據(jù)。雖然聯(lián)合身份可以為用戶提供便利,但控制權(quán)仍在身份提供者手中。

 

 

 

03

以用戶為中心的身份管理

 

以用戶為中心的身份旨在讓用戶更好地控制自己的數(shù)字身份。通過(guò)這種方式,用戶能夠保持并使用  OpenID 或  OAuth 等數(shù)字身份服務(wù)獨(dú)立管理自己的數(shù)字身份。

 

以用戶為中心的身份要求用戶向指定服務(wù)提供商授予權(quán)限。該服務(wù)提供商可以在不泄露任何機(jī)密信息的情況下向第三方驗(yàn)證其身份。

 

例如,“使用微信登錄”功能允許擁有微信帳戶的用戶向任何集成此功能的第三方驗(yàn)證其身份,而無(wú)需暴露其身份憑證。

 

然而,雖然以用戶為中心的身份提高了身份的可移植性,但并沒(méi)有讓用戶完全控制身份。因此,如果用戶被指定身份提供商禁止,他們也將失去對(duì)其一直在使用的任何相關(guān)第三方應(yīng)用程序的訪問(wèn)權(quán)限。

 

 

 

04

自主主權(quán)身份管理

 

自主主權(quán)身份  (簡(jiǎn)寫(xiě):SSI)  一種新興的去中心化身份方法,旨在讓實(shí)體(例如個(gè)人、組織和對(duì)象)能夠完全控制其數(shù)字身份,而無(wú)需依賴任何外部權(quán)威,從而消除單點(diǎn)故障。

 

SSI通過(guò)讓每個(gè)用戶自主擁有自己的身份信息,不同的用戶可以將憑據(jù)和個(gè)人信息存儲(chǔ)在類(lèi)似于“數(shù)字錢(qián)包”的管理工具中。而在進(jìn)行身份認(rèn)證時(shí),相關(guān)身份信息的使用也會(huì)分布在分布式計(jì)算機(jī)系統(tǒng)中,如分布式賬本/區(qū)塊鏈等。

 

這樣可以使數(shù)字身份避免被篡改和竊取的影響,即使用戶的身份信息以電子格式記錄,也難以被更改、竊取或刪除。其獨(dú)特的透明性更是讓身份信息可以即時(shí)驗(yàn)證,而不必依賴身份發(fā)行者,從而實(shí)現(xiàn)自主主權(quán)身份控制。

 

SSI 的出現(xiàn)代表了一種范式轉(zhuǎn)變,即權(quán)力和控制權(quán)從身份和服務(wù)提供者轉(zhuǎn)移到用戶,用戶必須在數(shù)字交互過(guò)程中成為身份和信息流管理的中心。

 

區(qū)塊鏈技術(shù)的興起為SSI的發(fā)展鋪平了道路,通過(guò)分布式賬本技術(shù)實(shí)現(xiàn)新型用戶控制的彈性身份管理系統(tǒng)正在全球?qū)W術(shù)界和工業(yè)界強(qiáng)勁發(fā)展。

 

盡管當(dāng)前業(yè)界對(duì)SSI管理系統(tǒng)的實(shí)現(xiàn)還沒(méi)有明確共識(shí),但以下四個(gè)關(guān)鍵要素卻是企業(yè)組織在構(gòu)建去中心化身份管理系統(tǒng)時(shí)必不可少的:

 

01

圖片

區(qū)塊鏈

系統(tǒng)需要構(gòu)建一個(gè)去中心化的數(shù)據(jù)庫(kù),在區(qū)塊鏈網(wǎng)絡(luò)中的計(jì)算機(jī)之間共享,以一種很難改變、黑客攻擊或欺騙系統(tǒng)的方式記錄身份相關(guān)信息。

 

02

圖片

去中心化身份管理工具

一個(gè)應(yīng)用程序,允許用戶創(chuàng)建自己的去中心化標(biāo)識(shí)符并管理他們的可驗(yàn)證憑據(jù)。

 

03

圖片

去中心化身份標(biāo)識(shí)符(DID)

這主要指區(qū)塊鏈上的唯一標(biāo)識(shí)符,由一串字母和數(shù)字組成,其中包含公鑰和驗(yàn)證信息等詳細(xì)信息。

 

04

圖片

 可驗(yàn)證憑證(VC)

紙質(zhì)憑證和數(shù)字憑證的數(shù)字加密安全版本,人們可以將其提交給需要驗(yàn)證的組織。

 

此外,最早提出“自主主權(quán)身份”的美國(guó)技術(shù)專(zhuān)家克里斯托弗·艾倫分享了關(guān)于自我主權(quán)身份的愿景,并提出了十條具體原則:

 

存在:實(shí)體必須具有獨(dú)立存在,它絕不能僅僅以數(shù)字形式存在。

控制:實(shí)體必須能夠控制自己的身份,他們應(yīng)該始終能夠引用、更新或隱藏它。

訪問(wèn):實(shí)體應(yīng)能直接訪問(wèn)自己的身份和所有相關(guān)數(shù)據(jù)。所有數(shù)據(jù)必須可見(jiàn)且可訪問(wèn),無(wú)需守門(mén)人。

透明度:系統(tǒng)及其邏輯在其運(yùn)作方式、管理方式和更新方式方面必須是透明的。

持久性:身份必須是長(zhǎng)期存在的,至少要達(dá)到用戶希望的期限,但它不應(yīng)與“被遺忘權(quán)相矛盾。

可移植性:所有關(guān)于身份的信息都必須可移植。身份不得由單一第三方持有。

互操作性:身份應(yīng)該盡可能被廣泛使用。

同意:實(shí)體必須同意使用其身份并共享所有相關(guān)數(shù)據(jù)。

最小化:必須盡量減少索賠披露。

保護(hù):實(shí)體的權(quán)利必須受到保護(hù),當(dāng)網(wǎng)絡(luò)的需要與實(shí)體的權(quán)利發(fā)生沖突時(shí),應(yīng)優(yōu)先考慮實(shí)體的權(quán)利。

 

對(duì)于所有身份場(chǎng)景而言,遵循所有這些原則的完全自主主權(quán)身份是否存在仍有爭(zhēng)議,但卻也是每一個(gè)數(shù)字身份安全廠商開(kāi)發(fā)下一個(gè)解決方案時(shí)努力追求的理想。

 

派拉軟件作為國(guó)內(nèi)領(lǐng)先數(shù)字身份安全廠商,也將持續(xù)結(jié)合新技術(shù)、新理論、新實(shí)踐,向更高階的數(shù)字身份安全產(chǎn)品與解決方案進(jìn)階,為企業(yè)組織日益多樣、復(fù)雜、變化的數(shù)字化業(yè)務(wù)與安全場(chǎng)景不斷創(chuàng)新賦能。