淺談聯(lián)合身份管理在移動(dòng)服務(wù)中的應(yīng)用

論文關(guān)鍵詞：身份　移動(dòng)服務(wù)　Web服務(wù)　移動(dòng)運(yùn)營(yíng)商　服務(wù)商　身份認(rèn)證　服務(wù)提供商

論文摘要:身份和身份管理已成為移動(dòng)報(bào)務(wù)中很重要的組成部分。比起集中式的身份管理，移動(dòng)領(lǐng)域巾采刀的聯(lián)合身份管理能使月戶更方便、更快捷地使用到個(gè)性化的移動(dòng)服務(wù)，但又不失安全性。本文基于身份聯(lián)合框架，探討和研究了聯(lián)合身份管理及并在移動(dòng)服務(wù)中的應(yīng)用。

　　引言

　　隨著當(dāng)今移動(dòng)技術(shù)的發(fā)展，例如基于分組交換的移動(dòng)網(wǎng)絡(luò)的發(fā)展、擁有彩屏和X日TML瀏覽器的移動(dòng)設(shè)備的出現(xiàn)，商家可以為用戶提供相對(duì)于有線網(wǎng)絡(luò)來說更方便、更自由的移動(dòng)服務(wù)。在這些服務(wù)中，用戶身份是一個(gè)很重要的組成部分，商家只有在獲得有效的、經(jīng)過認(rèn)證的用戶身份后，才能為該用戶提供個(gè)性化的移動(dòng)服務(wù)�？墒乾F(xiàn)今這些服務(wù)并不像人們所想象得那樣迅速發(fā)展，其中有四個(gè)主要原因:

　　——用戶和商家之間不能建立相互信任的關(guān)系。一方面商家希望獲得用戶更多的身份信息以方便其提供更有效的服務(wù).而另一方面用戶又不愿意自己的隱私得不到有效的保障。

　　——各個(gè)商家的用戶身份管理處于相互獨(dú)立的狀態(tài)，這樣用戶就需要記住自己在不同服務(wù)處不同的用戶名和密碼。

　　——由于自身體積大小的限制移動(dòng)設(shè)備通常使用小型的鍵盤和屏幕.這些硬件上的限制使得用戶在使用服務(wù)時(shí)輸入用戶名和密碼并不是那么的方便。各個(gè)商家在建立有效的身份管理機(jī)制上投入了大量的時(shí)間和財(cái)力.從而影響了這些服務(wù)的及時(shí)部署和最終的利潤(rùn)。

　　建立一個(gè)有效的身份管理架構(gòu)可以很好地解決上面出現(xiàn)的問題。在這個(gè)架構(gòu)中，各個(gè)商家基于某個(gè)協(xié)議建立起廣泛的相互信任關(guān)系:一個(gè)商家做出的關(guān)于用戶身份的認(rèn)證聲明將被其它商家所信任。這樣就為用戶提供了一個(gè)無縫化的服務(wù).用戶只需單次登錄.然后點(diǎn)擊就可以輕松獲得各種個(gè)性化的移動(dòng)服務(wù)。

　　現(xiàn)有的身份管理架構(gòu)可以分為兩種:集中式的身份管理和聯(lián)合的身份管理。其中集中式的身份管理以微軟的Passport機(jī)制為代表，它是一種Web服務(wù)它將用戶的網(wǎng)絡(luò)身份和相關(guān)信息存放在大型數(shù)據(jù)庫(kù)中實(shí)行集中式的管理所以注冊(cè)了Passport的用戶可以采用Passport關(guān)聯(lián)的應(yīng)用程序在Internet上任何位置進(jìn)行驗(yàn)證，PassPort驗(yàn)證票證也可以被解碼到cookie中，以便實(shí)現(xiàn)單一登錄而無需重復(fù)登錄。

　　但是它的缺點(diǎn)也是顯而易見的，由于身份管理是集中式的，所以單點(diǎn)故障很可能導(dǎo)致認(rèn)證癱瘓。而且，最關(guān)鍵的問題在于Passport只能在相似的平臺(tái)中部署，雖然多數(shù)線上消費(fèi)者使用WindowsPC連接互聯(lián)網(wǎng)，但他們的數(shù)字身份卻是由IsP或是移動(dòng)服務(wù)商所頒發(fā)而這一領(lǐng)域又多屬于Unix/Linux系統(tǒng)的。此外，從手機(jī)、PDA或其它非Windows平臺(tái)訪問網(wǎng)絡(luò)的情況也越來越普及因此以平臺(tái)無關(guān)的方式來進(jìn)行身份管理越發(fā)重要。

　　聯(lián)合身份管理

　　1.身份聯(lián)合框架

　　2002年7月，由諾基亞、SUN、Intel、HP以及GM等160多家公司和組織組成的自由聯(lián)盟(Liberty Alliance)提出了身份聯(lián)合框架(ldentityFederationFrameworkID一FF}。該框架基于身份聯(lián)合來實(shí)現(xiàn)身份管理，并制定了一系列的開放性的規(guī)范和標(biāo)準(zhǔn)來實(shí)現(xiàn)以下幾個(gè)目的

　�。�1）用戶可以選擇性地將其在不同服務(wù)商處的帳戶連接起來。

　　(2)用戶在其中一個(gè)帳戶處經(jīng)過身份認(rèn)證后就可以連接到其它帳戶而不用重新登錄從而實(shí)現(xiàn)了單點(diǎn)登錄。

　　(3)當(dāng)用戶在其中一個(gè)帳戶處退出登錄后，在其它帳戶處也會(huì)注銷其登錄會(huì)話信息從而實(shí)現(xiàn)了單點(diǎn)退出。

　　(4)在固定設(shè)備和移動(dòng)設(shè)備上都能實(shí)現(xiàn)身份的聯(lián)合。該框架中.由于用戶的網(wǎng)絡(luò)數(shù)字身份信息是保存在不同的地方.所以解決了集中式身份管理中存在的單點(diǎn)故障問題。而且該框架是以SOAP和SAML為基礎(chǔ)的開放性的架構(gòu).如圖1所示，所以它與具體部署平臺(tái)和實(shí)現(xiàn)無關(guān)。

　　　　　　　　　　　　

　　 2.參與角色和架構(gòu)組件

　　在一個(gè)典型的身份管理商業(yè)系統(tǒng)中.通常包含三種角色:用戶(Use:)、服務(wù)提供者(ServieeProvider，以下簡(jiǎn)稱sp)和身份提供者(一dentityprovider.以下簡(jiǎn)稱ldP)。其中SP是指提供Web服務(wù)的商業(yè)性或是非盈利性組織Idp是提供身份認(rèn)證服務(wù)的特殊的SP它管理用戶的身份信息.并為其它SP提供認(rèn)證聲明。在身份聯(lián)合框架中，Webserviee、metadata&sehemas和Webredirection三個(gè)架構(gòu)組件將這三個(gè)角色聯(lián)系在一起。如圖2所示。

　　　　　　　　　　　　　

　　圖2中.ldP和SP之間使用Web服務(wù)的方式進(jìn)行相互通信，使用Web重定向方式在用戶設(shè)備上為用戶提供服務(wù).而metadata schemas指定Idp和Sp之間交互各種信息的一套元數(shù)據(jù)和數(shù)據(jù)格式。

　　3.信任圈模型

　　信任圈模型構(gòu)成了聯(lián)合身份的基礎(chǔ)。擁有商業(yè)聯(lián)系的一個(gè)或是多個(gè)IdP和一組SP，通過某種約定共同構(gòu)建成一個(gè)認(rèn)證域也稱為信任圈(CirefeofTrust).如圖3所示。在這個(gè)信任圈中l(wèi)dP做出的認(rèn)證聲明被所有與其聯(lián)合的SP所信任。用戶可以選擇將其在ldP處的帳戶和在SP處的帳戶之間建立連接，這樣.用戶下一次在IdP處通過身份認(rèn)證后，就可以在信任圈中無縫地、安全地使用sP提供的個(gè)性化服務(wù)。

　　　　　　　　　　　　

　　聯(lián)合身份管理在移動(dòng)服務(wù)中的應(yīng)用

　　基于自由聯(lián)盟提出的開放式的聯(lián)合身份管理架構(gòu).移動(dòng)運(yùn)營(yíng)商和服務(wù)提供商可以按照某種商業(yè)協(xié)議共同組成一個(gè)信任圈。在這個(gè)信任圈中服務(wù)提供商完全信任移動(dòng)運(yùn)營(yíng)商提供的身份認(rèn)證聲明，并且可以從運(yùn)營(yíng)商處獲得用戶身份信息Web服務(wù)，從而使服務(wù)提供商和移動(dòng)運(yùn)營(yíng)商聯(lián)合起來共同為客戶提供個(gè)性化的移動(dòng)月民務(wù)。

　　在聯(lián)合身份管理架構(gòu)中.有兩種設(shè)備可以用于訪問移動(dòng)服務(wù):普通的瀏覽器客戶端和LECP。

　　1.普通瀏覽器客戶端

　　用戶使用普通手機(jī)瀏覽器直接訪問移動(dòng)服務(wù)的優(yōu)點(diǎn)在于它對(duì)現(xiàn)今存在的客戶端軟件和網(wǎng)絡(luò)設(shè)備不需要做任何的改變。但是在這種情況下，服務(wù)提供者就無法得知能為該用戶提供身份認(rèn)證的身份服務(wù)者到底是誰。在實(shí)際情況中，服務(wù)提供者會(huì)向用戶提供一個(gè)列表讓用戶從中選擇其身份提供者。但是由于移動(dòng)設(shè)備的小鍵盤和小屏幕，這種選擇往往會(huì)使用戶喪失耐心。所以這種模式適用于在信任圈內(nèi)只有一個(gè)ldP時(shí)使用。

　　2.LEC/LECP

　　LEC/LECP(Liberty一enabledCli一ento:Proxy)是指支持自由聯(lián)盟架構(gòu)的客戶端或是代理器。它擁有用戶在訪問SP時(shí)所希望使用的ldP的相關(guān)信息，或是知道如何獲得這些信息。LEC/LECP可以是PC機(jī)、機(jī)頂盒、移動(dòng)設(shè)備或是像WAP網(wǎng)關(guān)和日TTP代理服務(wù)器之類的網(wǎng)絡(luò)設(shè)備。

　　圖4顯示了在無線領(lǐng)域中基于Libertv的認(rèn)證架構(gòu)的一種實(shí)現(xiàn)方法。在圖中運(yùn)營(yíng)商在作為身份提供者的同時(shí)還擁有一個(gè)LECP的四AP網(wǎng)關(guān)或是盯TP代理服務(wù)器，而服務(wù)商也在它的服務(wù)中添加了對(duì)Liberty協(xié)議的支持。當(dāng)用戶通過點(diǎn)擊訪問服務(wù)商的URL時(shí)，用戶的手機(jī)首先將會(huì)與運(yùn)營(yíng)商的網(wǎng)關(guān)建立會(huì)話然后再連接到服務(wù)處(圖4中的第1、2步}:服務(wù)商能從HTTP請(qǐng)求中識(shí)別出網(wǎng)關(guān)是LEC網(wǎng)關(guān).并向運(yùn)營(yíng)商處的身份提供者發(fā)出一個(gè)認(rèn)證用戶身份的請(qǐng)求(圖4中的第3、4步)運(yùn)營(yíng)商在認(rèn)證完用戶的身份后將返回給服務(wù)商認(rèn)證聲明(圖4中的第5、6步);此時(shí)服務(wù)商就可以根據(jù)該認(rèn)證聲明為用戶提供相應(yīng)的服務(wù)(圖4中的第7.8步)。

　　　　　　　　　　　　　　

　　運(yùn)營(yíng)商可以以不同的方式認(rèn)證用戶身份.比如WPKI、用戶名加密碼或是電話號(hào)碼。其中使用電話號(hào)碼是最簡(jiǎn)單的認(rèn)證方式，因?yàn)檫\(yùn)營(yíng)商可以在網(wǎng)關(guān)處自動(dòng)地認(rèn)證用戶的身份。

　　服務(wù)商或許還需要更多的與用戶身份相關(guān)的個(gè)人信息，例如用戶的在線配置信息、個(gè)人購(gòu)物喜好或是購(gòu)物記錄、移動(dòng)用戶的當(dāng)前位置信息和日志記錄等等以便于服務(wù)商向用戶提供更好的個(gè)性化服務(wù)。此時(shí)，服務(wù)商也可以以WebServiee的方式通過LEC網(wǎng)關(guān)向運(yùn)營(yíng)商請(qǐng)求用戶的相關(guān)屬性信息，如圖5所示。

　　在圖5中，運(yùn)營(yíng)商處的發(fā)現(xiàn)服務(wù)將向移動(dòng)服務(wù)商提供可以獲取用戶屬性的地址，然后服務(wù)商從該地址訪問屬性Web服務(wù)運(yùn)營(yíng)商的屬性Web服務(wù)提供者將根據(jù)用戶的設(shè)定檢查該服務(wù)商是否擁有訪問并使用這些屬性的授權(quán)檢查通過后就以Web月及務(wù)的方式為移動(dòng)服務(wù)商提供這些屬性。

　　　　　　　　　

　　由此可見，在移動(dòng)領(lǐng)域中引入聯(lián)合身份后服務(wù)提供者和運(yùn)營(yíng)商共同構(gòu)成了一個(gè)信任圈在這個(gè)信任圈中.用戶既可以方便地向服務(wù)商提供自己的身份，又可以完全掌控自己的個(gè)人信息從而可以授權(quán)特定的服務(wù)商使用特定的個(gè)人屬性信息。而且最主要的是整個(gè)認(rèn)

　　證過程對(duì)用戶來說是透明的在用戶看來就好像是“只是點(diǎn)擊就得到了個(gè)性化的移動(dòng)服務(wù)”，整個(gè)過程是無縫的不會(huì)經(jīng)常被輸入用戶名和密碼的提示所打斷。

　　3.聯(lián)合身份管理的評(píng)價(jià)

　　通過上面聯(lián)合身份管理在移動(dòng)服務(wù)中的應(yīng)用的研究討論，我們可以很明顯地看到.聯(lián)合身份管理將給移動(dòng)服務(wù)中的各個(gè)參與方所帶來的好處:

　　——對(duì)于用戶來說可以更快更方便地訪問到個(gè)性化的服務(wù).又不失匿名性和隱私而且對(duì)于自己的網(wǎng)絡(luò)身份信息和屬性擁有完全的控制權(quán):

　　——對(duì)于服務(wù)提供商來說，減少在訪問管理架構(gòu)上的花費(fèi)提高操作過程效率.而且服務(wù)的快速部署可以適應(yīng)多變的瓣求，在竟?fàn)幹袚尩孟葯C(jī);

　　——對(duì)于移動(dòng)運(yùn)營(yíng)商來說，增加了新的收入渠道他們可為服務(wù)提供商提供身份服務(wù)還可以將一些重要的信息(例如移動(dòng)用戶的位置和在線狀態(tài))出售給服務(wù)提供商。

　　結(jié)論

　　目前，移動(dòng)服務(wù)的快速發(fā)展需要用戶和服務(wù)商之間建立一個(gè)可靠的相互信任這就需要一個(gè)更為有效的身份管理架構(gòu)來管理用戶的數(shù)字身份。本文基于自由聯(lián)盟提出的身份管理框架討論了開放式的聯(lián)合身份管理在移動(dòng)服務(wù)中的應(yīng)用.以及給用戶、服務(wù)提供商和移動(dòng)運(yùn)營(yíng)商所帶來的好處。聯(lián)合身份管理不僅具有研究?jī)r(jià)值還具有廣闊的市場(chǎng)前景。

【淺談聯(lián)合身份管理在移動(dòng)服務(wù)中的應(yīng)用】相關(guān)文章：

淺談全面預(yù)算管理在實(shí)務(wù)中的應(yīng)用03-26

淺談病案信息在醫(yī)院管理中的應(yīng)用12-11

淺談亂世流離中的身份錯(cuò)位03-01

淺談直放站在移動(dòng)通信中的應(yīng)用03-04

淺談生活中的數(shù)學(xué)應(yīng)用06-27

淺談風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)在企業(yè)管理中的應(yīng)用03-01

淺談上網(wǎng)行為管理在網(wǎng)絡(luò)中應(yīng)用03-26

淺談服務(wù)營(yíng)銷中的員工情緒情感管理03-18

淺談雌雄同體理論在《啊!拓荒者》性別身份探索中的應(yīng)用01-08