從集中式、聯(lián)合式、用戶中心式到自主主權(quán)式，身份安全正在顛覆性變革

互聯(lián)網(wǎng)是沒(méi)有身份層的。

——金·卡梅隆，微軟首席身份架構(gòu)師

什么是“身份層”？金·卡梅隆在論文《身份法則》中給出了答案：互聯(lián)網(wǎng)是在沒(méi)有辦法知道你連接到誰(shuí)和什么的情況下建立起來(lái)的。

這限制了我們能用它做的事情，并使我們面臨越來(lái)越大的危險(xiǎn)。如果我們無(wú)所作為，我們將面臨盜竊和欺騙事件迅速增多的情況。這些事件將逐漸削弱公眾對(duì)互聯(lián)網(wǎng)的信任。

而事實(shí)也證明了金·卡梅隆預(yù)言的正確性：

那么，問(wèn)題來(lái)了：如何重構(gòu)互聯(lián)網(wǎng)身份層？這就有了數(shù)字身份管理技術(shù)。

眾所周知，身份、身份識(shí)別、身份認(rèn)證、身份授權(quán)是當(dāng)下各類數(shù)字化應(yīng)用服務(wù)系統(tǒng)中的核心要素之一，是打開(kāi)數(shù)字世界大門的鑰匙。

應(yīng)用系統(tǒng)只有在確認(rèn)了用戶身份后，才能進(jìn)行授權(quán)并提供相應(yīng)服務(wù)。因此，身份認(rèn)證和授權(quán)訪問(wèn)管理是任何身份管理系統(tǒng)的關(guān)鍵任務(wù)。

這些身份持有者通過(guò)憑證訪問(wèn)自己的身份，并可以使用憑證授權(quán)執(zhí)行各種任務(wù)。

隨著IT技術(shù)環(huán)境的日益復(fù)雜與多樣化，數(shù)字身份管理系統(tǒng)也在逐漸持續(xù)升級(jí)變革中。截至目前可簡(jiǎn)單概括為四大類：集中式、聯(lián)合式、用戶中心式、自主主權(quán)式。

01

集中式身份管理

集中式身份由中心化機(jī)構(gòu)頒發(fā)，用戶身份的訪問(wèn)權(quán)限由底層機(jī)構(gòu)或第三方公司頒發(fā)和控制，通常用于特定目的。一般而言，中心化身份賦予頒發(fā)機(jī)構(gòu)比與身份關(guān)聯(lián)的用戶更多的權(quán)力。

中心化身份系統(tǒng)還會(huì)導(dǎo)致身份分裂，因?yàn)樵S多網(wǎng)站和在線服務(wù)強(qiáng)迫用戶創(chuàng)建單獨(dú)的身份，從而形成數(shù)據(jù)孤島，導(dǎo)致用戶控制權(quán)減少，網(wǎng)站或服務(wù)控制權(quán)增加。

這也是為什么很多企業(yè)員工要記憶數(shù)個(gè)甚至數(shù)十個(gè)賬號(hào)密碼的原因所在。

02

聯(lián)合式身份管理

聯(lián)合身份可以跨多個(gè)  IT  服務(wù)甚至跨多個(gè)組織使用，允許用戶使用相同的憑據(jù)登錄形成聯(lián)合的不同服務(wù)。

例如，用戶可以使用他們的OA帳戶憑據(jù)登錄其他所有應(yīng)用程序。因?yàn)樗麄冊(cè)诙鄠€(gè)服務(wù)之間共享聯(lián)合身份，也就是我們熟知的單點(diǎn)登錄 SSO。

然而，聯(lián)合身份管理通常被稱為信任圈，其中身份提供者永遠(yuǎn)不會(huì)與外部服務(wù)提供商共享用戶憑據(jù)。雖然聯(lián)合身份可以為用戶提供便利，但控制權(quán)仍在身份提供者手中。

03

以用戶為中心的身份管理

以用戶為中心的身份旨在讓用戶更好地控制自己的數(shù)字身份。通過(guò)這種方式，用戶能夠保持并使用  OpenID 或  OAuth 等數(shù)字身份服務(wù)獨(dú)立管理自己的數(shù)字身份。

以用戶為中心的身份要求用戶向指定服務(wù)提供商授予權(quán)限。該服務(wù)提供商可以在不泄露任何機(jī)密信息的情況下向第三方驗(yàn)證其身份。

例如，“使用微信登錄”功能允許擁有微信帳戶的用戶向任何集成此功能的第三方驗(yàn)證其身份，而無(wú)需暴露其身份憑證。

然而，雖然以用戶為中心的身份提高了身份的可移植性，但并沒(méi)有讓用戶完全控制身份。因此，如果用戶被指定身份提供商禁止，他們也將失去對(duì)其一直在使用的任何相關(guān)第三方應(yīng)用程序的訪問(wèn)權(quán)限。

04

自主主權(quán)身份管理

自主主權(quán)身份  (簡(jiǎn)寫：SSI)  一種新興的去中心化身份方法，旨在讓實(shí)體（例如個(gè)人、組織和對(duì)象）能夠完全控制其數(shù)字身份，而無(wú)需依賴任何外部權(quán)威，從而消除單點(diǎn)故障。

SSI通過(guò)讓每個(gè)用戶自主擁有自己的身份信息，不同的用戶可以將憑據(jù)和個(gè)人信息存儲(chǔ)在類似于“數(shù)字錢包”的管理工具中。而在進(jìn)行身份認(rèn)證時(shí)，相關(guān)身份信息的使用也會(huì)分布在分布式計(jì)算機(jī)系統(tǒng)中，如分布式賬本/區(qū)塊鏈等。

這樣可以使數(shù)字身份避免被篡改和竊取的影響，即使用戶的身份信息以電子格式記錄，也難以被更改、竊取或刪除。其獨(dú)特的透明性更是讓身份信息可以即時(shí)驗(yàn)證，而不必依賴身份發(fā)行者，從而實(shí)現(xiàn)自主主權(quán)身份控制。

SSI 的出現(xiàn)代表了一種范式轉(zhuǎn)變，即權(quán)力和控制權(quán)從身份和服務(wù)提供者轉(zhuǎn)移到用戶，用戶必須在數(shù)字交互過(guò)程中成為身份和信息流管理的中心。

區(qū)塊鏈技術(shù)的興起為SSI的發(fā)展鋪平了道路，通過(guò)分布式賬本技術(shù)實(shí)現(xiàn)新型用戶控制的彈性身份管理系統(tǒng)正在全球?qū)W術(shù)界和工業(yè)界強(qiáng)勁發(fā)展。

盡管當(dāng)前業(yè)界對(duì)SSI管理系統(tǒng)的實(shí)現(xiàn)還沒(méi)有明確共識(shí)，但以下四個(gè)關(guān)鍵要素卻是企業(yè)組織在構(gòu)建去中心化身份管理系統(tǒng)時(shí)必不可少的：

對(duì)于所有身份場(chǎng)景而言，遵循所有這些原則的完全自主主權(quán)身份是否存在仍有爭(zhēng)議，但卻也是每一個(gè)數(shù)字身份安全廠商開(kāi)發(fā)下一個(gè)解決方案時(shí)努力追求的理想。

派拉軟件作為國(guó)內(nèi)領(lǐng)先數(shù)字身份安全廠商，也將持續(xù)結(jié)合新技術(shù)、新理論、新實(shí)踐，向更高階的數(shù)字身份安全產(chǎn)品與解決方案進(jìn)階，為企業(yè)組織日益多樣、復(fù)雜、變化的數(shù)字化業(yè)務(wù)與安全場(chǎng)景不斷創(chuàng)新賦能。