了解数字标识
您是谁? 这个问题很简单,但答案却并不简单。 您的身份表示方法会因所到之处的不同而有所变化。 当您在机场的出入境通关口出示护照时,您的身份是某一国家的公民。 当您由于超速行驶而被警察拦截并出示自己的驾驶执照时,您的身份是居住在某一地区的合法司机。 当您使用信用卡在书店购买最畅销的小说时,您的身份是具有某一特定帐号的顾客。 不同的环境中需要使用不同的标识,每种标识的表示方法和所提供的信息均不尽相同。
在所有这些环境中,您可以通过一些便于理解的方法来确定自己的标识。 但在一个非常重要的环境,即网络环境中,标识的确定目前还比较混乱。 正如在现实环境中一样,我们都拥有多种数字标识,并以不同的方法表达它们。 但是,现在并没有一种统一的方法来处理这些数字标识。 相反,我们仍然在一个复杂、混乱且不安全的环境中苦苦挣扎。
然而,不同种类的数字标识始终是必不可少的,因为只凭单个标识不可能满足全部需求。 实际上,这些标识始终是由一些不同的源所提供的,因为只凭单个标识提供者同样不可能满足全部的需求。 这就意味着解决之道不是去强制要求使用一个数字标识系统,更合适的做法是寻找一致的方法来使用多个数字标识系统。 我们需要的是由多个主要用于处理标识的元系统所组成的系统。
需要通过合作来实现该标识元系统。 单个组织只凭一己之力不可能完成一个解决方案。 幸运的是,可以通过使用与供应商无关的通信标准来解决此问题。 这些标准基于 SOAP 和 XML,包括 WS-Security、WS-Trust、WS-MetadataExchange 和 WS-SecurityPolicy。 通过使用这些 Web 服务技术,可以定义一致的方法,来使用由任何源通过任何标识技术所创建的任何数字标识。
Microsoft 与其他公司通力协作,在定义此基于标准的标识元系统方面起着举足轻重的作用。 Microsoft 还在 Windows 中添加了新功能,从而帮助实现标识元系统。 任何 Windows 应用程序,包括诸如下一版的 Internet Explorer 等 Microsoft 技术产品,以及由其他方开发的应用程序,都可以通过 Windows CardSpace(最初代号为“InfoCard”)为用户提供一种通用的方法来使用数字标识。 CardSpace 作为 .NET Framework 3.0 的一部分,计划于 2007 年初发布,适用于 Windows Vista、Windows XP 和 Windows Server 2003。
Windows 是一种广泛使用的操作系统,因而 Cardspace 便成为实现标识元系统的重要部分。 除非其他组织也实现了此方案,否则该解决方案仍然无法成功实施。 因此,Microsoft 积极鼓励创建和使用能参与到标识元系统中的软件。 其目的是让相关人员可以在运行任何操作系统的任何机器上,就像当前在现实环境中使用标识那样,方便、有效和安全地使用数字标识。
介绍数字标识
同现实环境中的标识一样,数字标识也拥有各种形式和大小。 例如,您或许拥有一个 Yahoo 的电子邮件帐户,它通过电子邮件地址进行标识。 您可能还拥有诸如 Amazon 或 eBay 等各种商业组织的数字标识,以及诸如 MySpace.com 等站点的标识。这些组织和站点一般由您定义的用户名来标识。 在工作中,您可能还拥有雇主分配给您的数字标识,由您的网络登录信息进行标识。 此标识可能由某些目录服务进行维护,例如 Active Directory,并且通常只在公司网络范围内可用。
正如在现实环境中那样,我们有充分的理由在不同环境中使用不同的数字标识。 例如,通常需要将不同的信息与每个标识关联起来。 您使用的 Amazon 标识可以允许您访问信用卡号,而 MySpace.com 标识则不允许此操作。 每个标识的获取规则也不尽相同。 在 Amazon 获取数字标识比较容易, 只需创建一个用户名和密码即可。 从您的雇主那里获取数字标识可能有点困难,因为您至少需要得到运行公司网络的管理员的批准。
表示数字标识:安全令牌
尽管数字标识间存在差异,但它们都拥有一个重要的共性: 当在网络上传输数字标识时,每个标识都由某种安全令牌表示。 安全令牌其实是用于表达数字标识信息的一组字节。 如图 1 所示,此信息由一个或多个声明组成,每个声明包含此标识所传递的总信息的某一部分。 一个简单的安全令牌可能只包括一个含有用户名的声明,而稍复杂一点的安全令牌可能包括含有用户的名、姓、家庭住址及更多信息的多个声明。 某些数字标识的安全令牌可能还包括含有诸如信用卡号等敏感性信息的声明。
图 1. 安全令牌
大多数安全令牌都提供了某些信息,以证实这些声明确实属于提出这些声明的用户。 执行此操作的一个简单(且目前比较常用)的方法是将密码连同声明一起发送。 一个较为有效的方法是使用私有密钥对全部或部分声明进行数字签名,然后提供相应的公共密钥(可能包装在证书中)。 此外,表示数字标识的安全令牌通常还会提供某种证明,供令牌接收方验证此令牌确实代表拥有该标识的个人或组织。
Windows CardSpace 和 Active Directory
Active Directory 显然是标识提供者的重要备选者。 CardSpace 预定于 2007 年年初发布,而暂时还没有发布新版 Active Directory 的计划。 Microsoft 已经提出 Active Directory 最终将能够起到标识提供者的作用,但并未宣布该功能何时将会实现。
更直接的问题是 CardSpace 如何同 Active Directory 联合身份验证服务 (ADFS) 发生联系。 ADFS 现在就已可使用,而且初看起来与 CardSpace 极为类似。 但事实上,这两种技术完全不同。 CardSpace 会提供一个标识选择器和一个自发行标识提供者,二者都可在客户端计算机上运行。 ADFS 是一种基于服务器的软件,该软件允许某个组织通过 WS-Federation 连同其他组织,使用 Active Directory 来对其标识进行联合身份验证。 另一个重要的区别在于,如上一节所述使用 CardSpace 的浏览器起到了极为积极的作用,而使用 ADFS 的浏览器则没有这个意识完全处于被动状态。 当二者都涉及到标识时,CardSpace 和 ADFS 会执行完全不同的功能。
Windows CardSpace 和 Windows Live ID
Microsoft Windows Live ID 系统(以前称作 Passport),最初用来提供可供 Internet 上的任何站点使用的标准身份验证系统。 现在,从最初形式发展而来的网络主要包括由 Microsoft 本身运行的一些站点。 即使 Windows Live ID 现在一天能处理近十亿次登录,但事实很明显: 哪怕是一个像 Microsoft 这样大的组织,都不可能成为 Internet 上所有内容唯一的标识提供者。
CardSpace 和标识元系统具有非常多的标识及标识提供者的常规视图,代表了完全不同的方法。 Microsoft 已经表示将修改 Windows Live ID 使之起到标识提供者的作用,并且用户将能够通过 CardSpace 登录到他们的 Windows Live ID 帐户。 然而 CardSpace 与 Windows Live ID 不存在任何依赖关系,并且总有一天 Windows Live ID 提供的标识提供者将不会在标识元系统中起到任何特定的作用。
结束语
不可否认,标识元系统解决的问题以及所提供的解决方案都非常重要。 提供标准方法来使用各种数字标识,可让网络世界变得像现实世界一样方便和安全。 让用户控制在何种情况下使用何种标识,使人们可以直接负责使用其数字标识的方式。 使用包括自发行标识在内的数字标识,可减少对基于密码的 Web 登录的需求,同时增强用户对网站标识的信任度,还可减少困扰许多用户的网页仿冒攻击。
Windows CardSpace 是这些解决方案的关键部分。 要想实现上述美好目标,就需要为其他操作系统创建软件、构建标识提供者、提供依赖方和执行标准的 Web 服务协议,使元系统得以存在并实现互操作。 Microsoft 通过为 Windows 提供软件来履行其职责,但是只凭一己之力还无法完成标识元系统的伟大设想。 其他个人和组织也应该了解通过更有效使用数字标识将得到的益处,并且积极地参与进来。
尽管如此,CardSpace 仍就是用途广泛。 由于 CardSpace 底层的标识元系统是基于开放协议,因此可以在任何平台或设备上针对标识提供者、依赖方以及其他标识选择器构建与 CardSpace 相兼容的软件。 而且由于 CardSpace 显示的界面简单直观,因此可以断定任何 Windows 软件都能够使用 CardSpace。 基于所有上述事实,我们必须承认 Windows CardSpace 对于所有对数字标识感兴趣的人而言具有重要意义。
