本站小編為你精心準(zhǔn)備了聯(lián)合身份角色和架構(gòu)組件參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫(xiě)作靈感。歡迎深入閱讀并收藏。

隨著當(dāng)今移動(dòng)通信技術(shù)的發(fā)展，例如基于分組交換的移動(dòng)網(wǎng)絡(luò)的發(fā)展、擁有彩屏和日TML瀏覽器的移動(dòng)設(shè)備的出現(xiàn)，商家可以為用戶(hù)提供相對(duì)于有線(xiàn)網(wǎng)絡(luò)來(lái)說(shuō)更方便、更自由的移動(dòng)服務(wù)。在這些服務(wù)中，用戶(hù)身份是一個(gè)很重要的組成部分，商家只有在獲得有效的、經(jīng)過(guò)認(rèn)證的用戶(hù)身份后，才能為該用戶(hù)提供個(gè)性化的移動(dòng)服務(wù)。可是現(xiàn)今這些服務(wù)并不像人們所想象得那樣迅速發(fā)展，其中有四個(gè)主要原因:

——用戶(hù)和商家之間不能建立相互信任的關(guān)系。一方面商家希望獲得用戶(hù)更多的身份信息以方便其提供更有效的服務(wù).而另一方面用戶(hù)又不愿意自己的隱私得不到有效的保障。

——各個(gè)商家的用戶(hù)身份管理處于相互獨(dú)立的狀態(tài)，這樣用戶(hù)就需要記住自己在不同服務(wù)處不同的用戶(hù)名和密碼。

——由于自身體積大小的限制移動(dòng)設(shè)備通常使用小型的鍵盤(pán)和屏幕.這些硬件上的限制使得用戶(hù)在使用服務(wù)時(shí)輸入用戶(hù)名和密碼并不是那么的方便。各個(gè)商家在建立有效的身份管理機(jī)制上投入了大量的時(shí)間和財(cái)力.從而影響了這些服務(wù)的及時(shí)部署和最終的利潤(rùn)。

建立一個(gè)有效的身份管理架構(gòu)可以很好地解決上面出現(xiàn)的問(wèn)題。在這個(gè)架構(gòu)中，各個(gè)商家基于某個(gè)協(xié)議建立起廣泛的相互信任關(guān)系:一個(gè)商家做出的關(guān)于用戶(hù)身份的認(rèn)證聲明將被其它商家所信任。這樣就為用戶(hù)提供了一個(gè)無(wú)縫化的服務(wù)環(huán)境.用戶(hù)只需單次登錄.然后點(diǎn)擊就可以輕松獲得各種個(gè)性化的移動(dòng)服務(wù)。

現(xiàn)有的身份管理架構(gòu)可以分為兩種:集中式的身份管理和聯(lián)合的身份管理。其中集中式的身份管理以微軟的Passport機(jī)制為代表，它是一種Web服務(wù)它將用戶(hù)的網(wǎng)絡(luò)身份和相關(guān)信息存放在大型數(shù)據(jù)庫(kù)中實(shí)行集中式的管理所以注冊(cè)了Passport的用戶(hù)可以采用Passport關(guān)聯(lián)的應(yīng)用程序在Internet上任何位置進(jìn)行驗(yàn)證，PassPort驗(yàn)證票證也可以被解碼到cookie中，以便實(shí)現(xiàn)單一登錄而無(wú)需重復(fù)登錄。

但是它的缺點(diǎn)也是顯而易見(jiàn)的，由于身份管理是集中式的，所以單點(diǎn)故障很可能導(dǎo)致認(rèn)證癱瘓。而且，最關(guān)鍵的問(wèn)題在于Passport只能在相似的平臺(tái)中部署，雖然多數(shù)線(xiàn)上消費(fèi)者使用WindowsPC連接互聯(lián)網(wǎng)，但他們的數(shù)字身份卻是由IsP或是移動(dòng)服務(wù)商所頒發(fā)而這一領(lǐng)域又多屬于Unix/Linux系統(tǒng)的市場(chǎng)。此外，從手機(jī)、PDA或其它非Windows平臺(tái)訪(fǎng)問(wèn)網(wǎng)絡(luò)的情況也越來(lái)越普及因此以平臺(tái)無(wú)關(guān)的方式來(lái)進(jìn)行身份管理越發(fā)重要。

聯(lián)合身份管理

1.身份聯(lián)合框架

2002年7月，由諾基亞、SUN、Intel、HP以及GM等160多家公司和組織組成的自由聯(lián)盟(LibertyAlliance)提出了身份聯(lián)合框架(ldentityFederationFrameworkID一FF}。該框架基于身份聯(lián)合來(lái)實(shí)現(xiàn)身份管理，并制定了一系列的開(kāi)放性的規(guī)范和標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)以下幾個(gè)目的

（1）用戶(hù)可以選擇性地將其在不同服務(wù)商處的帳戶(hù)連接起來(lái)。

(2)用戶(hù)在其中一個(gè)帳戶(hù)處經(jīng)過(guò)身份認(rèn)證后就可以連接到其它帳戶(hù)而不用重新登錄從而實(shí)現(xiàn)了單點(diǎn)登錄。

(3)當(dāng)用戶(hù)在其中一個(gè)帳戶(hù)處退出登錄后，在其它帳戶(hù)處也會(huì)注銷(xiāo)其登錄會(huì)話(huà)信息從而實(shí)現(xiàn)了單點(diǎn)退出。

(4)在固定設(shè)備和移動(dòng)設(shè)備上都能實(shí)現(xiàn)身份的聯(lián)合。該框架中.由于用戶(hù)的網(wǎng)絡(luò)數(shù)字身份信息是保存在不同的地方.所以解決了集中式身份管理中存在的單點(diǎn)故障問(wèn)題。而且該框架是以SOAP和SAML為基礎(chǔ)的開(kāi)放性的架構(gòu).如圖1所示，所以它與具體部署平臺(tái)和實(shí)現(xiàn)語(yǔ)言無(wú)關(guān)。

2.參與角色和架構(gòu)組件

在一個(gè)典型的身份管理商業(yè)系統(tǒng)中.通常包含三種角色:用戶(hù)(Use:)、服務(wù)提供者(ServieeProvider，以下簡(jiǎn)稱(chēng)sp)和身份提供者(一dentityprovider.以下簡(jiǎn)稱(chēng)ldP)。其中SP是指提供Web服務(wù)的商業(yè)性或是非盈利性組織Idp是提供身份認(rèn)證服務(wù)的特殊的SP它管理用戶(hù)的身份信息.并為其它SP提供認(rèn)證聲明。在身份聯(lián)合框架中，Webserviee、metadata&sehemas和Webredirection三個(gè)架構(gòu)組件將這三個(gè)角色聯(lián)系在一起。

中.ldP和SP之間使用Web服務(wù)的方式進(jìn)行相互通信，使用Web重定向方式在用戶(hù)設(shè)備上為用戶(hù)提供服務(wù).而metadataschemas指定Idp和Sp之間交互各種信息的一套元數(shù)據(jù)和數(shù)據(jù)格式。3.信任圈模型

信任圈模型構(gòu)成了聯(lián)合身份管理的基礎(chǔ)。擁有商業(yè)聯(lián)系的一個(gè)或是多個(gè)IdP和一組SP，通過(guò)某種約定共同構(gòu)建成一個(gè)認(rèn)證域也稱(chēng)為信任圈(CirefeofTrust).如圖3所示。在這個(gè)信任圈中l(wèi)dP做出的認(rèn)證聲明被所有與其聯(lián)合的SP所信任。用戶(hù)可以選擇將其在ldP處的帳戶(hù)和在SP處的帳戶(hù)之間建立連接，這樣.用戶(hù)下一次在IdP處通過(guò)身份認(rèn)證后，就可以在信任圈中無(wú)縫地、安全地使用sP提供的個(gè)性化服務(wù)。

聯(lián)合身份管理在移動(dòng)服務(wù)中的應(yīng)用

基于自由聯(lián)盟提出的開(kāi)放式的聯(lián)合身份管理架構(gòu).移動(dòng)運(yùn)營(yíng)商和服務(wù)提供商可以按照某種商業(yè)協(xié)議共同組成一個(gè)信任圈。在這個(gè)信任圈中服務(wù)提供商完全信任移動(dòng)運(yùn)營(yíng)商提供的身份認(rèn)證聲明，并且可以從運(yùn)營(yíng)商處獲得用戶(hù)身份信息Web服務(wù)，從而使服務(wù)提供商和移動(dòng)運(yùn)營(yíng)商聯(lián)合起來(lái)共同為客戶(hù)提供個(gè)性化的移動(dòng)月民務(wù)。

在聯(lián)合身份管理架構(gòu)中.有兩種設(shè)備可以用于訪(fǎng)問(wèn)移動(dòng)服務(wù):普通的瀏覽器客戶(hù)端和LECP。

1.普通瀏覽器客戶(hù)端

用戶(hù)使用普通手機(jī)瀏覽器直接訪(fǎng)問(wèn)移動(dòng)服務(wù)的優(yōu)點(diǎn)在于它對(duì)現(xiàn)今存在的客戶(hù)端軟件和網(wǎng)絡(luò)設(shè)備不需要做任何的改變。但是在這種情況下，服務(wù)提供者就無(wú)法得知能為該用戶(hù)提供身份認(rèn)證的身份服務(wù)者到底是誰(shuí)。在實(shí)際情況中，服務(wù)提供者會(huì)向用戶(hù)提供一個(gè)列表讓用戶(hù)從中選擇其身份提供者。但是由于移動(dòng)設(shè)備的小鍵盤(pán)和小屏幕，這種選擇往往會(huì)使用戶(hù)喪失耐心。所以這種模式適用于在信任圈內(nèi)只有一個(gè)ldP時(shí)使用。

2.LEC/LECP

LEC/LECP(Liberty一enabledCli一ento:Proxy)是指支持自由聯(lián)盟架構(gòu)的客戶(hù)端或是器。它擁有用戶(hù)在訪(fǎng)問(wèn)SP時(shí)所希望使用的ldP的相關(guān)信息，或是知道如何獲得這些信息。LEC/LECP可以是PC機(jī)、機(jī)頂盒、移動(dòng)設(shè)備或是像WAP網(wǎng)關(guān)和日TTP服務(wù)器之類(lèi)的網(wǎng)絡(luò)設(shè)備。

顯示了在無(wú)線(xiàn)領(lǐng)域中基于Libertv的認(rèn)證架構(gòu)的一種實(shí)現(xiàn)方法。在圖中運(yùn)營(yíng)商在作為身份提供者的同時(shí)還擁有一個(gè)LECP的四AP網(wǎng)關(guān)或是盯TP服務(wù)器，而服務(wù)商也在它的服務(wù)中添加了對(duì)Liberty協(xié)議的支持。當(dāng)用戶(hù)通過(guò)點(diǎn)擊訪(fǎng)問(wèn)服務(wù)商的URL時(shí)，用戶(hù)的手機(jī)首先將會(huì)與運(yùn)營(yíng)商的網(wǎng)關(guān)建立會(huì)話(huà)然后再連接到服務(wù)處(圖4中的第1、2步}:服務(wù)商能從HTTP請(qǐng)求中識(shí)別出網(wǎng)關(guān)是LEC網(wǎng)關(guān).并向運(yùn)營(yíng)商處的身份提供者發(fā)出一個(gè)認(rèn)證用戶(hù)身份的請(qǐng)求(圖4中的第3、4步)運(yùn)營(yíng)商在認(rèn)證完用戶(hù)的身份后將返回給服務(wù)商認(rèn)證聲明(圖4中的第5、6步);此時(shí)服務(wù)商就可以根據(jù)該認(rèn)證聲明為用戶(hù)提供相應(yīng)的服務(wù)(圖4中的第7.8步)。

運(yùn)營(yíng)商可以以不同的方式認(rèn)證用戶(hù)身份.比如WPKI、用戶(hù)名加密碼或是電話(huà)號(hào)碼。其中使用電話(huà)號(hào)碼是最簡(jiǎn)單的認(rèn)證方式，因?yàn)檫\(yùn)營(yíng)商可以在網(wǎng)關(guān)處自動(dòng)地認(rèn)證用戶(hù)的身份。

服務(wù)商或許還需要更多的與用戶(hù)身份相關(guān)的個(gè)人信息，例如用戶(hù)的在線(xiàn)配置信息、個(gè)人購(gòu)物喜好或是購(gòu)物記錄、移動(dòng)用戶(hù)的當(dāng)前位置信息和日志記錄等等以便于服務(wù)商向用戶(hù)提供更好的個(gè)性化服務(wù)。此時(shí)，服務(wù)商也可以以WebServiee的方式通過(guò)LEC網(wǎng)關(guān)向運(yùn)營(yíng)商請(qǐng)求用戶(hù)的相關(guān)屬性信息中，運(yùn)營(yíng)商處的發(fā)現(xiàn)服務(wù)將向移動(dòng)服務(wù)商提供可以獲取用戶(hù)屬性的地址，然后服務(wù)商從該地址訪(fǎng)問(wèn)屬性Web服務(wù)運(yùn)營(yíng)商的屬性Web服務(wù)提供者將根據(jù)用戶(hù)的設(shè)定檢查該服務(wù)商是否擁有訪(fǎng)問(wèn)并使用這些屬性的授權(quán)檢查通過(guò)后就以Web月及務(wù)的方式為移動(dòng)服務(wù)商提供這些屬性。

由此可見(jiàn)，在移動(dòng)領(lǐng)域中引入聯(lián)合身份管理后服務(wù)提供者和運(yùn)營(yíng)商共同構(gòu)成了一個(gè)信任圈在這個(gè)信任圈中.用戶(hù)既可以方便地向服務(wù)商提供自己的身份，又可以完全掌控自己的個(gè)人信息從而可以授權(quán)特定的服務(wù)商使用特定的個(gè)人屬性信息。而且最主要的是整個(gè)認(rèn)證過(guò)程對(duì)用戶(hù)來(lái)說(shuō)是透明的在用戶(hù)看來(lái)就好像是“只是點(diǎn)擊就得到了個(gè)性化的移動(dòng)服務(wù)”，整個(gè)過(guò)程是無(wú)縫的不會(huì)經(jīng)常被輸入用戶(hù)名和密碼的提示所打斷。

3.聯(lián)合身份管理的評(píng)價(jià)

通過(guò)上面聯(lián)合身份管理在移動(dòng)服務(wù)中的應(yīng)用的研究討論，我們可以很明顯地看到.聯(lián)合身份管理將給移動(dòng)服務(wù)中的各個(gè)參與方所帶來(lái)的好處:

——對(duì)于用戶(hù)來(lái)說(shuō)可以更快更方便地訪(fǎng)問(wèn)到個(gè)性化的服務(wù).又不失匿名性和隱私而且對(duì)于自己的網(wǎng)絡(luò)身份信息和屬性擁有完全的控制權(quán):

——對(duì)于服務(wù)提供商來(lái)說(shuō)，減少在訪(fǎng)問(wèn)管理架構(gòu)上的花費(fèi)提高操作過(guò)程效率.而且服務(wù)的快速部署可以適應(yīng)多變的市場(chǎng)瓣求，在竟?fàn)幹袚尩孟葯C(jī);

——對(duì)于移動(dòng)運(yùn)營(yíng)商來(lái)說(shuō)，增加了新的收入渠道他們可為服務(wù)提供商提供身份服務(wù)還可以將一些重要的信息(例如移動(dòng)用戶(hù)的位置和在線(xiàn)狀態(tài))出售給服務(wù)提供商。

結(jié)論

目前，移動(dòng)服務(wù)的快速發(fā)展需要用戶(hù)和服務(wù)商之間建立一個(gè)可靠的相互信任環(huán)境這就需要一個(gè)更為有效的身份管理架構(gòu)來(lái)管理用戶(hù)的數(shù)字身份。本文基于自由聯(lián)盟提出的身份管理框架討論了開(kāi)放式的聯(lián)合身份管理在移動(dòng)服務(wù)中的應(yīng)用.以及給用戶(hù)、服務(wù)提供商和移動(dòng)運(yùn)營(yíng)商所帶來(lái)的好處。聯(lián)合身份管理不僅具有研究?jī)r(jià)值還具有廣闊的市場(chǎng)前景