通信學論文-淺談聯(lián)合身份管理在移動服務中的應用.doc

通信學論文-淺談聯(lián)合身份管理在移動服務中的應用作者：林思日楊樹堂倪佑生論文關鍵詞：身份管理移動服務Web服務移動運營商服務商身份認證服務提供商論文摘要:身份和身份管理已成為移動報務中很重要的組成部分。比起集中式的身份管理，移動領域巾采刀的聯(lián)合身份管理能使月戶更方便、更快捷地使用到個性化的移動服務，但又不失安全性。本文基于身份聯(lián)合框架，探討和研究了聯(lián)合身份管理及并在移動服務中的應用。引言隨著當今移動通信技術的發(fā)展，例如基于分組交換的移動網(wǎng)絡的發(fā)展、擁有彩屏和X日TML瀏覽器的移動設備的出現(xiàn)，商家可以為用戶提供相對于有線網(wǎng)絡來說更方便、更自由的移動服務。在這些服務中，用戶身份是一個很重要的組成部分，商家只有在獲得有效的、經(jīng)過認證的用戶身份后，才能為該用戶提供個性化的移動服務。可是現(xiàn)今這些服務并不像人們所想象得那樣迅速發(fā)展，其中有四個主要原因:用戶和商家之間不能建立相互信任的關系。一方面商家希望獲得用戶更多的身份信息以方便其提供更有效的服務.而另一方面用戶又不愿意自己的隱私得不到有效的保障。各個商家的用戶身份管理處于相互獨立的狀態(tài)，這樣用戶就需要記住自己在不同服務處不同的用戶名和密碼。由于自身體積大小的限制移動設備通常使用小型的鍵盤和屏幕.這些硬件上的限制使得用戶在使用服務時輸入用戶名和密碼并不是那么的方便。各個商家在建立有效的身份管理機制上投入了大量的時間和財力.從而影響了這些服務的及時部署和最終的利潤。建立一個有效的身份管理架構可以很好地解決上面出現(xiàn)的問題。在這個架構中，各個商家基于某個協(xié)議建立起廣泛的相互信任關系:一個商家做出的關于用戶身份的認證聲明將被其它商家所信任。這樣就為用戶提供了一個無縫化的服務環(huán)境.用戶只需單次登錄.然后點擊就可以輕松獲得各種個性化的移動服務。現(xiàn)有的身份管理架構可以分為兩種:集中式的身份管理和聯(lián)合的身份管理。其中集中式的身份管理以微軟的Passport機制為代表，它是一種Web服務它將用戶的網(wǎng)絡身份和相關信息存放在大型數(shù)據(jù)庫中實行集中式的管理所以注冊了Passport的用戶可以采用Passport關聯(lián)的應用程序在Internet上任何位置進行驗證，PassPort驗證票證也可以被解碼到cookie中，以便實現(xiàn)單一登錄而無需重復登錄。但是它的缺點也是顯而易見的，由于身份管理是集中式的，所以單點故障很可能導致認證癱瘓。而且，最關鍵的問題在于Passport只能在相似的平臺中部署，雖然多數(shù)線上消費者使用WindowsPC連接互聯(lián)網(wǎng)，但他們的數(shù)字身份卻是由IsP或是移動服務商所頒發(fā)而這一領域又多屬于Unix/Linux系統(tǒng)的市場。此外，從手機、PDA或其它非Windows平臺訪問網(wǎng)絡的情況也越來越普及因此以平臺無關的方式來進行身份管理越發(fā)重要。聯(lián)合身份管理1.身份聯(lián)合框架2002年7月，由諾基亞、SUN、Intel、HP以及GM等160多家公司和組織組成的自由聯(lián)盟(LibertyAlliance)提出了身份聯(lián)合框架(ldentityFederationFrameworkID一FF。該框架基于身份聯(lián)合來實現(xiàn)身份管理，并制定了一系列的開放性的規(guī)范和標準來實現(xiàn)以下幾個目的（1）用戶可以選擇性地將其在不同服務商處的帳戶連接起來。(2)用戶在其中一個帳戶處經(jīng)過身份認證后就可以連接到其它帳戶而不用重新登錄從而實現(xiàn)了單點登錄。(3)當用戶在其中一個帳戶處退出登錄后，在其它帳戶處也會注銷其登錄會話信息從而實現(xiàn)了單點退出。(4)在固定設備和移動設備上都能實現(xiàn)身份的聯(lián)合。該框架中.由于用戶的網(wǎng)絡數(shù)字身份信息是保存在不同的地方.所以解決了集中式身份管理中存在的單點故障問題。而且該框架是以SOAP和SAML為基礎的開放性的架構.如圖1所示，所以它與具體部署平臺和實現(xiàn)語言無關。2.參與角色和架構組件在一個典型的身份管理商業(yè)系統(tǒng)中.通常包含三種角色:用戶(Use:)、服務提供者(ServieeProvider，以下簡稱sp)和身份提供者(一dentityprovider.以下簡稱ldP)。其中SP是指提供Web服務的商業(yè)性或是非盈利性組織Idp是提供身份認證服務的特殊的SP它管理用戶的身份信息.并為其它SP提供認證聲明。在身份聯(lián)合框架中，Webserviee、metadata&sehemas和Webredirection三個架構組件將這三個角色聯(lián)系在一起。如圖2所示。圖2中.ldP和SP之間使用Web服務的方式進行相互通信，使用Web重定向方式在用戶設備上為用戶提供服務.而metadataschemas指定Idp和Sp之間交互各種信息的一套元數(shù)據(jù)和數(shù)據(jù)格式。3.信任圈模型信任圈模型構成了聯(lián)合身份管理的基礎。擁有商業(yè)聯(lián)系的一個或是多個IdP和一組SP，通過某種約定共同構建成一個認證域也稱為信任圈(CirefeofTrust).如圖3所示。在這個信任圈中l(wèi)dP做出的認證聲明被所有與其聯(lián)合的SP所信任。用戶可以選擇將其在ldP處的帳戶和在SP處的帳戶之間建立連接，這樣.用戶下一次在IdP處通過身份認證后，就可以在信任圈中無縫地、安全地使用sP提供的個性化服務。聯(lián)合身份管理在移動服務中的應用基于自由聯(lián)盟提出的開放式的聯(lián)合身份管理架構.移動運營商和服務提供商可以按照某種商業(yè)協(xié)議共同組成一個信任圈。在這個信任圈中服務提供商完全信任移動運營商提供的身份認證聲明，并且可以從運營商處獲得用戶身份信息Web服務，從而使服務提供商和移動運營商聯(lián)合起來共同為客戶提供個性化的移動月民務。在聯(lián)合身份管理架構中.有兩種設備可以用于訪問移動服務:普通的瀏覽器客戶端和LECP。1.普通瀏覽器客戶端用戶使用普通手機瀏覽器直接訪問移動服務的優(yōu)點在于它對現(xiàn)今存在的客戶端軟件和網(wǎng)絡設備不需要做任何的改變。但是在這種情況下，服務提供者就無法得知能為該用戶提供身份認證的身份服務者到底是誰。在實際情況中，服務提供者會向用戶提供一個列表讓用戶從中選擇其身份提供者。但是由于移動設備的小鍵盤和小屏幕，這種選擇往往會使用戶喪失耐心。所以這種模式適用于在信任圈內(nèi)只有一個ldP時使用。2.LEC/LECPLEC/LECP(Liberty一enabledCli一ento:Proxy)是指支持自由聯(lián)盟架構的客戶端或是代理器。它擁有用戶在訪問SP時所希望使用的ldP的相關信息，或是知道如何獲得這些信息。LEC/LECP可以是PC機、機頂盒、移動設備或是像WAP網(wǎng)關和日TTP代理服務器之類的網(wǎng)絡設備。圖4顯示了在無線領域中基于Libertv的認證架構的一種實現(xiàn)方法。在圖中運營商在作為身份提供者的同時還擁有一個LECP的四AP網(wǎng)關或是盯TP代理服務器，而服務商也在它的服務中添加了對Liberty協(xié)議的支持。當用戶通過點擊訪問服務商的URL時，用戶的手機首先將會與運營商的網(wǎng)關建立會話然后再連接到服務處(圖4中的第1、2步:服務商能從HTTP請求中識別出網(wǎng)關是LEC網(wǎng)關.并向運營商處的身份提供者發(fā)出一個認證用戶身份的請求(圖4中的第3、4步)運營商在認證完用戶的身份后將返回給服務商認證聲明(圖4中的第5、6步)；此時服務商就可以根據(jù)該認證聲明為用戶提供相應的服務(圖4中的第7.8步)。運營商可以以不同的方式認證用戶身份.比如WPKI、用戶名加密碼或是電話號碼。其中使用電話號碼是最簡單的認證方式，因為運營商可以在網(wǎng)關處自動地認證用戶的身份。服務商或許還需要更多的與用戶身份相關的個人信息，例如用戶的在線配置信息、個人購物喜好或是購物記錄、移動用戶的當前位置信息和日志記錄等等以便于服務商向用戶提供更好的個性化服務。此時，服務商也可以以WebServiee的方式通過LEC網(wǎng)關向運營商請求用戶的相關屬性信息，如圖5所示。在圖5中，運營商處的發(fā)現(xiàn)服務將向移動服務商提供可以獲取用戶屬性的地址，然后服務商從該地址訪問屬性Web服務運營商的屬性Web服務提供者將根據(jù)用戶的設定檢查該服務商是否擁有訪問并使用這些屬性的授權檢查通過后就以Web月及務的方式為移動服務商提供這些屬性。由此可見，在移動領域中引入聯(lián)合身份管理后服務提供者和運營商共同構成了一個信任圈在這個信任圈中.用戶既可以方便地向服務商提供自己的身份，又可以完全掌控自己的個人信息從而可以授權特定的服務商使用特定的個人屬性信息。而且最主要的是整個認證過程對用戶來說是透明的在用戶看來就好像是“只是點擊就得到了個性化的移動服務”，整個過程是無縫的不會經(jīng)常被輸入用戶名和密碼的提示所打斷。3.聯(lián)合身份管理的評價通過上面聯(lián)合身份管理在移動服務中的應用的研究討論，我們可以很明顯地看到.聯(lián)合身份管理將給移動服務中的各個參與方所帶來的好處:對于用戶來說可以更快更方便地訪問到個性化的服務.又不失匿名性和隱私而且對于自己的網(wǎng)絡身份信息和屬性擁有完全的控制權:對于服務提供商來說，減少在訪問管理架構上的花費提高操作過程效率.而且服務的快速部署可以適應多變的市場瓣求，在竟爭中搶得先機；對于移動運營商來說，增加了新的收入渠道他們可為服務提供商提