-
-
[原创]从集中式、联合式、用户中心式到自主主权式,身份安全正在颠覆性变革
-
发表于: 2024-9-13 15:19 1501
-
段落引用 互联网是没有身份层的。
1 | ——金·卡梅隆,微软首席身份架构师 |
什么是“身份层”?金·卡梅隆在论文《身份法则》中给出了答案:互联网是在没有办法知道你连接到谁和什么的情况下建立起来的。
这限制了我们能用它做的事情,并使我们面临越来越大的危险。如果我们无所作为,我们将面临盗窃和欺骗事件迅速增多的情况。这些事件将逐渐削弱公众对互联网的信任。
而事实也证明了金·卡梅隆预言的正确性:
1、超过90%的美国消费者认为他们已经失去了对各种实体如何收集和使用个人信息的控制权;
2、80%与黑客相关的漏洞是由于用户密码泄露;
3、身份与访问控制仍是勒索软件攻击的首选;
4、80% 数据泄露事件与失窃的特权身份有关;
那么,问题来了:如何重构互联网身份层?这就有了数字身份管理技术。
众所周知,身份、身份识别、身份认证、身份授权是当下各类数字化应用服务系统中的核心要素之一,是打开数字世界大门的钥匙。
应用系统只有在确认了用户身份后,才能进行授权并提供相应服务。因此,身份认证和授权访问管理是任何身份管理系统的关键任务。这些身份持有者通过凭证访问自己的身份,并可以使用凭证授权执行各种任务。
随着IT技术环境的日益复杂与多样化,数字身份管理系统也在逐渐持续升级变革中。截至目前可简单概括为四大类:集中式、联合式、用户中心式、自主主权式。
一、集中式身份管理
集中式身份由中心化机构颁发,用户身份的访问权限由底层机构或第三方公司颁发和控制,通常用于特定目的。一般而言,中心化身份赋予颁发机构比与身份关联的用户更多的权力。
中心化身份系统还会导致身份分裂,因为许多网站和在线服务强迫用户创建单独的身份,从而形成数据孤岛,导致用户控制权减少,网站或服务控制权增加。这也是为什么很多企业员工要记忆数个甚至数十个账号密码的原因所在。
二、联合式身份管理
联合身份可以跨多个 IT 服务甚至跨多个组织使用,允许用户使用相同的凭据登录形成联合的不同服务。
例如,用户可以使用他们的OA帐户凭据登录其他所有应用程序。因为他们在多个服务之间共享联合身份,也就是我们熟知的单点登录 SSO。
然而,联合身份管理通常被称为信任圈,其中身份提供者永远不会与外部服务提供商共享用户凭据。虽然联合身份可以为用户提供便利,但控制权仍在身份提供者手中。
三、以用户为中心的身份管理
以用户为中心的身份旨在让用户更好地控制自己的数字身份。通过这种方式,用户能够保持并使用 OpenID 或 OAuth 等数字身份服务独立管理自己的数字身份。
以用户为中心的身份要求用户向指定服务提供商授予权限。该服务提供商可以在不泄露任何机密信息的情况下向第三方验证其身份。例如,“使用微信登录”功能允许拥有微信帐户的用户向任何集成此功能的第三方验证其身份,而无需暴露其身份凭证。
然而,虽然以用户为中心的身份提高了身份的可移植性,但并没有让用户完全控制身份。因此,如果用户被指定身份提供商禁止,他们也将失去对其一直在使用的任何相关第三方应用程序的访问权限。
四、自主主权身份管理
自主主权身份 (简写:SSI) 一种新兴的去中心化身份方法,旨在让实体(例如个人、组织和对象)能够完全控制其数字身份,而无需依赖任何外部权威,从而消除单点故障。
SSI通过让每个用户自主拥有自己的身份信息,不同的用户可以将凭据和个人信息存储在类似于“数字钱包”的管理工具中。而在进行身份认证时,相关身份信息的使用也会分布在分布式计算机系统中,如分布式账本/区块链等。
这样可以使数字身份避免被篡改和窃取的影响,即使用户的身份信息以电子格式记录,也难以被更改、窃取或删除。其独特的透明性更是让身份信息可以即时验证,而不必依赖身份发行者,从而实现自主主权身份控制。
SSI 的出现代表了一种范式转变,即权力和控制权从身份和服务提供者转移到用户,用户必须在数字交互过程中成为身份和信息流管理的中心。
区块链技术的兴起为SSI的发展铺平了道路,通过分布式账本技术实现新型用户控制的弹性身份管理系统正在全球学术界和工业界强劲发展。
尽管当前业界对SSI管理系统的实现还没有明确共识,但以下四个关键要素却是企业组织在构建去中心化身份管理系统时必不可少的:
1、区块链
系统需要构建一个去中心化的数据库,在区块链网络中的计算机之间共享,以一种很难改变、黑客攻击或欺骗系统的方式记录身份相关信息。
2、去中心化身份管理工具
一个应用程序,允许用户创建自己的去中心化标识符并管理他们的可验证凭据。
3、去中心化身份标识符(DID)
这主要指区块链上的唯一标识符,由一串字母和数字组成,其中包含公钥和验证信息等详细信息。
4、可验证凭证(VC)
纸质凭证和数字凭证的数字加密安全版本,人们可以将其提交给需要验证的组织。
此外,最早提出“自主主权身份”的美国技术专家克里斯托弗·艾伦分享了关于自我主权身份的愿景,并提出了十条具体原则:
**存在:**实体必须具有独立存在,它绝不能仅仅以数字形式存在。
**控制:**实体必须能够控制自己的身份,他们应该始终能够引用、更新或隐藏它。
**访问:**实体应能直接访问自己的身份和所有相关数据。所有数据必须可见且可访问,无需守门人。
**透明度:**系统及其逻辑在其运作方式、管理方式和更新方式方面必须是透明的。
**持久性:**身份必须是长期存在的,至少要达到用户希望的期限,但它不应与“被遗忘权相矛盾。
**可移植性:**所有关于身份的信息都必须可移植。身份不得由单一第三方持有。
**互操作性:**身份应该尽可能被广泛使用。
**同意:**实体必须同意使用其身份并共享所有相关数据。
**最小化:**必须尽量减少索赔披露。
**保护:**实体的权利必须受到保护,当网络的需要与实体的权利发生冲突时,应优先考虑实体的权利。
对于所有身份场景而言,遵循所有这些原则的完全自主主权身份是否存在仍有争议,但却也是每一个数字身份安全厂商开发下一个解决方案时努力追求的理想。
派拉软件作为国内领先数字身份安全厂商,也将持续结合新技术、新理论、新实践,向更高阶的数字身份安全产品与解决方案进阶,为企业组织日益多样、复杂、变化的数字化业务与安全场景不断创新赋能。