微软首席身份架构师金·卡梅隆曾说:互联网的构建缺少一个身份层。互联网的构建方式让你无法得知所连接的人和物是什么。这限制了我们对互联网的使用,并让我们面临越来越多的危险。如果我们坐视不管,将面临迅速激增的盗窃和欺诈事件,这些不断累积的事件将改变公众对互联网的信任。
互联网连接着数十亿人和设备,而且绝大多数人都互不相识。身份或身份的缺失,是网络犯罪的主要原因之一。
这篇文章不需要罗列那些网络对人们隐私的侵犯所造成的威胁,而是先介绍一下 我们在互联网上数字身份的三种模式。
一、中心化数字身份模式
这是目前最普遍使用的身份模式,由政府或者企业颁发。比如,我们的身份证、护照、银行卡。比如我们在各种网站注册的账户。
采用中心化数字身份模式时,用户必须在这个中心化系统建立某个账户。机构向用户提供了代表这个用户身份的某种凭证,以及这个凭证所对应的某些权限。如果删除了这个账户,这个用户就从互联网的某个区域消失了。但是关联的数据却可能仍旧属于机构,不再受用户控制。
中心化的数字身份模式带来若干问题,比如:
- 用户记忆和管理用户名和密码复杂。
- 用户需要适应不同机构网站的安全策略,比如复杂的密码策略或者隐私策略。
- 用户身份只能在某个机构使用。但是如果用户为了方便,在不同机构采用相同的用户名和密码,就带来了严重的数据安全风险。
二、联邦化身份管理模式
中心化数字身份模式的痛点显而易见,业界就推出了联邦化身份管理模式。在用户和机构之间加入了IdP来提供身份。用户只需要在IdP拥有一个身份,就可以登录使用该IdP的网站、服务或者应用程序。
联邦化身份管理在互联网逐渐普及,与“以用户为中心的身份线”互补使用。
我们在互联网上,经常使用微信来登录不同的网站,或者使用电信运营商提供的身份服务来登录社交账号等都属于联邦化的身份管理。
企业内部不同的应用系统,也通过这种技术来实现统一的身份管理,在企业内部提供统一的身份源来登录使用不同的业务系统。通过SAML、OAuth2.0,OIDC协议实现SSO单点登录是企业内关于身份的一种典型应用。
联邦化身份管理模式依然未能构建出统一的互联网身份层。因为:
- 没有一家IdP能适配所有的互联网应用。
- 用户或者互联网应用对于IdP的信任问题。
- IdP越大,一旦泄露数据,风险也越大。
三、分布式数字身份模式
区块链技术的出现,为分布式数字身份的实现提供了技术基础。分布式数字身份模型,实现了点对点连接。在公私钥加密技术的保障下,你与对等实体之间可以采用直接、私密的连接方式。
当区块链技术与分布式公钥基础设施(DPKI)结合使用时,我们能够摆脱依赖于中心化或联邦化身份验证系统的局限,构建一个去中心化的互联网身份中间层。通过在公共区块链上存储公钥,可以对等实体交换的数字身份凭证进行签名验证,从而实现对现实世界身份的有效认证。
分布式数字身份的本质,就是将实体钱包中的实体身份证变成数字钱包中的数字身份凭证。
四、后记
随着《数据安全法》等系列法律法规的相继出台,以及等级保护(等保)和商用密码产品安全评估(密评)的广泛实施,个人身份安全和隐私保护的重要性日益凸显。企业和个人对数据保护的意识显著增强,积极采取各种措施来确保信息安全,防止个人数据泄露和滥用。
安当的ASP身份认证系统,就是采用目前主流的联邦化身份管理模式。在众多企业应用中,ASP系统作为IdP的角色,实现了企业内应用间的单点登录(SSO),以及用户的多因素认证(MFA)等能力。采用基于安当国密标准UKEY提供的证书功能以及签名验签认证技术,就可以安全地鉴别用户身份。为企业的身份安全增加一道保险。
安当将继续探索在SSI(自助管理身份)、DDI(分布式数字身份)方面的前沿技术,并在未来产品演进中加入更多匹配客户安全需求的功能。
文章作者:太白 ©本文章解释权归安当西安研发中心所有
