淺談聯合身份管理在移動服務中的應用

論文關鍵詞：身份　移動服務　Web服務　移動運營商　服務商　身份認證　服務提供商

論文摘要:身份和身份管理已成為移動報務中很重要的組成部分。比起集中式的身份管理，移動領域巾采刀的聯合身份管理能使月戶更方便、更快捷地使用到個性化的移動服務，但又不失安全性。本文基于身份聯合框架，探討和研究了聯合身份管理及并在移動服務中的應用。

　　引言

　　隨著當今移動技術的發(fā)展，例如基于分組交換的移動網絡的發(fā)展、擁有彩屏和X日TML瀏覽器的移動設備的出現，商家可以為用戶提供相對于有線網絡來說更方便、更自由的移動服務。在這些服務中，用戶身份是一個很重要的組成部分，商家只有在獲得有效的、經過認證的用戶身份后，才能為該用戶提供個性化的移動服務�？墒乾F今這些服務并不像人們所想象得那樣迅速發(fā)展，其中有四個主要原因:

　　——用戶和商家之間不能建立相互信任的關系。一方面商家希望獲得用戶更多的身份信息以方便其提供更有效的服務.而另一方面用戶又不愿意自己的隱私得不到有效的保障。

　　——各個商家的用戶身份管理處于相互獨立的狀態(tài)，這樣用戶就需要記住自己在不同服務處不同的用戶名和密碼。

　　——由于自身體積大小的限制移動設備通常使用小型的鍵盤和屏幕.這些硬件上的限制使得用戶在使用服務時輸入用戶名和密碼并不是那么的方便。各個商家在建立有效的身份管理機制上投入了大量的時間和財力.從而影響了這些服務的及時部署和最終的利潤。

　　建立一個有效的身份管理架構可以很好地解決上面出現的問題。在這個架構中，各個商家基于某個協議建立起廣泛的相互信任關系:一個商家做出的關于用戶身份的認證聲明將被其它商家所信任。這樣就為用戶提供了一個無縫化的服務.用戶只需單次登錄.然后點擊就可以輕松獲得各種個性化的移動服務。

　　現有的身份管理架構可以分為兩種:集中式的身份管理和聯合的身份管理。其中集中式的身份管理以微軟的Passport機制為代表，它是一種Web服務它將用戶的網絡身份和相關信息存放在大型數據庫中實行集中式的管理所以注冊了Passport的用戶可以采用Passport關聯的應用程序在Internet上任何位置進行驗證，PassPort驗證票證也可以被解碼到cookie中，以便實現單一登錄而無需重復登錄。

　　但是它的缺點也是顯而易見的，由于身份管理是集中式的，所以單點故障很可能導致認證癱瘓。而且，最關鍵的問題在于Passport只能在相似的平臺中部署，雖然多數線上消費者使用WindowsPC連接互聯網，但他們的數字身份卻是由IsP或是移動服務商所頒發(fā)而這一領域又多屬于Unix/Linux系統的。此外，從手機、PDA或其它非Windows平臺訪問網絡的情況也越來越普及因此以平臺無關的方式來進行身份管理越發(fā)重要。

　　聯合身份管理

　　1.身份聯合框架

　　2002年7月，由諾基亞、SUN、Intel、HP以及GM等160多家公司和組織組成的自由聯盟(Liberty Alliance)提出了身份聯合框架(ldentityFederationFrameworkID一FF}。該框架基于身份聯合來實現身份管理，并制定了一系列的開放性的規(guī)范和標準來實現以下幾個目的

　�。�1）用戶可以選擇性地將其在不同服務商處的帳戶連接起來。

　　(2)用戶在其中一個帳戶處經過身份認證后就可以連接到其它帳戶而不用重新登錄從而實現了單點登錄。

　　(3)當用戶在其中一個帳戶處退出登錄后，在其它帳戶處也會注銷其登錄會話信息從而實現了單點退出。

　　(4)在固定設備和移動設備上都能實現身份的聯合。該框架中.由于用戶的網絡數字身份信息是保存在不同的地方.所以解決了集中式身份管理中存在的單點故障問題。而且該框架是以SOAP和SAML為基礎的開放性的架構.如圖1所示，所以它與具體部署平臺和實現無關。

　　　　　　　　　　　　

　　 2.參與角色和架構組件

　　在一個典型的身份管理商業(yè)系統中.通常包含三種角色:用戶(Use:)、服務提供者(ServieeProvider，以下簡稱sp)和身份提供者(一dentityprovider.以下簡稱ldP)。其中SP是指提供Web服務的商業(yè)性或是非盈利性組織Idp是提供身份認證服務的特殊的SP它管理用戶的身份信息.并為其它SP提供認證聲明。在身份聯合框架中，Webserviee、metadata&sehemas和Webredirection三個架構組件將這三個角色聯系在一起。如圖2所示。

　　　　　　　　　　　　　

　　圖2中.ldP和SP之間使用Web服務的方式進行相互通信，使用Web重定向方式在用戶設備上為用戶提供服務.而metadata schemas指定Idp和Sp之間交互各種信息的一套元數據和數據格式。

　　3.信任圈模型

　　信任圈模型構成了聯合身份的基礎。擁有商業(yè)聯系的一個或是多個IdP和一組SP，通過某種約定共同構建成一個認證域也稱為信任圈(CirefeofTrust).如圖3所示。在這個信任圈中l(wèi)dP做出的認證聲明被所有與其聯合的SP所信任。用戶可以選擇將其在ldP處的帳戶和在SP處的帳戶之間建立連接，這樣.用戶下一次在IdP處通過身份認證后，就可以在信任圈中無縫地、安全地使用sP提供的個性化服務。

　　　　　　　　　　　　

　　聯合身份管理在移動服務中的應用

　　基于自由聯盟提出的開放式的聯合身份管理架構.移動運營商和服務提供商可以按照某種商業(yè)協議共同組成一個信任圈。在這個信任圈中服務提供商完全信任移動運營商提供的身份認證聲明，并且可以從運營商處獲得用戶身份信息Web服務，從而使服務提供商和移動運營商聯合起來共同為客戶提供個性化的移動月民務。

　　在聯合身份管理架構中.有兩種設備可以用于訪問移動服務:普通的瀏覽器客戶端和LECP。

　　1.普通瀏覽器客戶端

　　用戶使用普通手機瀏覽器直接訪問移動服務的優(yōu)點在于它對現今存在的客戶端軟件和網絡設備不需要做任何的改變。但是在這種情況下，服務提供者就無法得知能為該用戶提供身份認證的身份服務者到底是誰。在實際情況中，服務提供者會向用戶提供一個列表讓用戶從中選擇其身份提供者。但是由于移動設備的小鍵盤和小屏幕，這種選擇往往會使用戶喪失耐心。所以這種模式適用于在信任圈內只有一個ldP時使用。

　　2.LEC/LECP

　　LEC/LECP(Liberty一enabledCli一ento:Proxy)是指支持自由聯盟架構的客戶端或是代理器。它擁有用戶在訪問SP時所希望使用的ldP的相關信息，或是知道如何獲得這些信息。LEC/LECP可以是PC機、機頂盒、移動設備或是像WAP網關和日TTP代理服務器之類的網絡設備。

　　圖4顯示了在無線領域中基于Libertv的認證架構的一種實現方法。在圖中運營商在作為身份提供者的同時還擁有一個LECP的四AP網關或是盯TP代理服務器，而服務商也在它的服務中添加了對Liberty協議的支持。當用戶通過點擊訪問服務商的URL時，用戶的手機首先將會與運營商的網關建立會話然后再連接到服務處(圖4中的第1、2步}:服務商能從HTTP請求中識別出網關是LEC網關.并向運營商處的身份提供者發(fā)出一個認證用戶身份的請求(圖4中的第3、4步)運營商在認證完用戶的身份后將返回給服務商認證聲明(圖4中的第5、6步);此時服務商就可以根據該認證聲明為用戶提供相應的服務(圖4中的第7.8步)。

　　　　　　　　　　　　　　

　　運營商可以以不同的方式認證用戶身份.比如WPKI、用戶名加密碼或是電話號碼。其中使用電話號碼是最簡單的認證方式，因為運營商可以在網關處自動地認證用戶的身份。

　　服務商或許還需要更多的與用戶身份相關的個人信息，例如用戶的在線配置信息、個人購物喜好或是購物記錄、移動用戶的當前位置信息和日志記錄等等以便于服務商向用戶提供更好的個性化服務。此時，服務商也可以以WebServiee的方式通過LEC網關向運營商請求用戶的相關屬性信息，如圖5所示。

　　在圖5中，運營商處的發(fā)現服務將向移動服務商提供可以獲取用戶屬性的地址，然后服務商從該地址訪問屬性Web服務運營商的屬性Web服務提供者將根據用戶的設定檢查該服務商是否擁有訪問并使用這些屬性的授權檢查通過后就以Web月及務的方式為移動服務商提供這些屬性。

　　　　　　　　　

　　由此可見，在移動領域中引入聯合身份后服務提供者和運營商共同構成了一個信任圈在這個信任圈中.用戶既可以方便地向服務商提供自己的身份，又可以完全掌控自己的個人信息從而可以授權特定的服務商使用特定的個人屬性信息。而且最主要的是整個認

　　證過程對用戶來說是透明的在用戶看來就好像是“只是點擊就得到了個性化的移動服務”，整個過程是無縫的不會經常被輸入用戶名和密碼的提示所打斷。

　　3.聯合身份管理的評價

　　通過上面聯合身份管理在移動服務中的應用的研究討論，我們可以很明顯地看到.聯合身份管理將給移動服務中的各個參與方所帶來的好處:

　　——對于用戶來說可以更快更方便地訪問到個性化的服務.又不失匿名性和隱私而且對于自己的網絡身份信息和屬性擁有完全的控制權:

　　——對于服務提供商來說，減少在訪問管理架構上的花費提高操作過程效率.而且服務的快速部署可以適應多變的瓣求，在竟爭中搶得先機;

　　——對于移動運營商來說，增加了新的收入渠道他們可為服務提供商提供身份服務還可以將一些重要的信息(例如移動用戶的位置和在線狀態(tài))出售給服務提供商。

　　結論

　　目前，移動服務的快速發(fā)展需要用戶和服務商之間建立一個可靠的相互信任這就需要一個更為有效的身份管理架構來管理用戶的數字身份。本文基于自由聯盟提出的身份管理框架討論了開放式的聯合身份管理在移動服務中的應用.以及給用戶、服務提供商和移動運營商所帶來的好處。聯合身份管理不僅具有研究價值還具有廣闊的市場前景。

【淺談聯合身份管理在移動服務中的應用】相關文章：

淺談雌雄同體理論在《啊!拓荒者》性別身份探索中的應用05-30

淺談全面質量管理在企業(yè)中的應用論文04-20

淺談會展策劃與管理中的人性化服務論文11-11

淺談現代教育技術在醫(yī)學教育中的應用07-24

醫(yī)院護理管理中績效管理的應用價值04-29

淺談MOF材料的應用04-21

淺談物流成本控制中的包裝管理的論文06-05

淺談智能移動電話與移動智能網的發(fā)展08-08

淺談人性假設理論在學校管理中的運用04-15

淺談財務軟件在現代企業(yè)中的應用04-16