浅谈联合身份管理在移动服务中的应用网

关键词：身份　移动服务　Web服务　移动运营商　服务商　身份认证　服务提供商

论文摘要:身份和身份管理已成为移动报务中很重要的组成部分。比起集中式的身份管理，移动领域巾采刀的联合身份管理能使月户更方便、更快捷地使用到个性化的移动服务，但又不失安全性。本文基于身份联合框架，探讨和研究了联合身份管理及并在移动服务中的应用。

　　引言

　　随着当今移动技术的发展，例如基于分组交换的移动网络的发展、拥有彩屏和X日TML浏览器的移动设备的出现，商家可以为用户提供相对于有线网络来说更方便、更自由的移动服务。在这些服务中，用户身份是一个很重要的组成部分，商家只有在获得有效的、经过认证的用户身份后，才能为该用户提供个性化的移动服务。可是现今这些服务并不像人们所想象得那样迅速发展，其中有四个主要原因:

　　——用户和商家之间不能建立相互信任的关系。一方面商家希望获得用户更多的身份信息以方便其提供更有效的服务.而另一方面用户又不愿意自己的隐私得不到有效的保障。

　　——各个商家的用户身份管理处于相互独立的状态，这样用户就需要记住自己在不同服务处不同的用户名和密码。

　　——由于自身体积大小的限制移动设备通常使用小型的键盘和屏幕.这些硬件上的限制使得用户在使用服务时输入用户名和密码并不是那么的方便。各个商家在建立有效的身份管理机制上投入了大量的时间和财力.从而影响了这些服务的及时部署和最终的利润。

　　建立一个有效的身份管理架构可以很好地解决上面出现的问题。在这个架构中，各个商家基于某个协议建立起广泛的相互信任关系:一个商家做出的关于用户身份的认证声明将被其它商家所信任。这样就为用户提供了一个无缝化的服务.用户只需单次登录.然后点击就可以轻松获得各种个性化的移动服务。

　　现有的身份管理架构可以分为两种:集中式的身份管理和联合的身份管理。其中集中式的身份管理以微软的Passport机制为代表，它是一种Web服务它将用户的网络身份和相关信息存放在大型数据库中实行集中式的管理所以注册了Passport的用户可以采用Passport关联的应用程序在Internet上任何位置进行验证，PassPort验证票证也可以被解码到cookie中，以便实现单一登录而无需重复登录。

　　但是它的缺点也是显而易见的，由于身份管理是集中式的，所以单点故障很可能导致认证瘫痪。而且，最关键的问题在于Passport只能在相似的平台中部署，虽然多数线上消费者使用WindowsPC连接互联网，但他们的数字身份却是由IsP或是移动服务商所颁发而这一领域又多属于Unix/Linux系统的。此外，从手机、PDA或其它非Windows平台访问网络的情况也越来越普及因此以平台无关的方式来进行身份管理越发重要。

　　联合身份管理

　　1.身份联合框架

　　2002年7月，由诺基亚、SUN、Intel、HP以及GM等160多家公司和组织组成的自由联盟(Liberty Alliance)提出了身份联合框架(ldentityFederationFrameworkID一FF}。该框架基于身份联合来实现身份管理，并制定了一系列的开放性的规范和标准来实现以下几个目的

　　（1）用户可以选择性地将其在不同服务商处的帐户连接起来。

　　(2)用户在其中一个帐户处经过身份认证后就可以连接到其它帐户而不用重新登录从而实现了单点登录。

　　(3)当用户在其中一个帐户处退出登录后，在其它帐户处也会注销其登录会话信息从而实现了单点退出。

　　(4)在固定设备和移动设备上都能实现身份的联合。该框架中.由于用户的网络数字身份信息是保存在不同的地方.所以解决了集中式身份管理中存在的单点故障问题。而且该框架是以SOAP和SAML为基础的开放性的架构.如图1所示，所以它与具体部署平台和实现无关。

　　 2.参与角色和架构组件

　　在一个典型的身份管理商业系统中.通常包含三种角色:用户(Use:)、服务提供者(ServieeProvider，以下简称sp)和身份提供者(一dentityprovider.以下简称ldP)。其中SP是指提供Web服务的商业性或是非盈利性组织Idp是提供身份认证服务的特殊的SP它管理用户的身份信息.并为其它SP提供认证声明。在身份联合框架中，Webserviee、metadata&sehemas和Webredirection三个架构组件将这三个角色联系在一起。如图2所示。

　　图2中.ldP和SP之间使用Web服务的方式进行相互通信，使用Web重定向方式在用户设备上为用户提供服务.而metadata schemas指定Idp和Sp之间交互各种信息的一套元数据和数据格式。