身份管理并不是什么新鲜词。但是，岁末年初，CA、惠普、IBM却联手掀起身份识别与管理市场的波澜，吸引了业界的关注。CA收购Netegrity进一步完善其eTrust身份和访问管理产品体系、惠普在OpenView中正式集成了身份管理解决方案、IBM宣布收购身份识别软件供应商SRD继续扩展其信息管理软件系列功能、BMC以3300万美元的现金收购Calendra来强化其产品在身份管理方面的力量......所有这一切都在证明，身份管理应用正在扑面而来！

过招身份管理 取应用者王天下  

    “在全球范围内，身份管理(IDentity Management)市场增长的空间无限广阔。尤其是在中国，这一市场几乎可以被看作是一块处女地。”中国惠普有限公司副总裁及软件产品部总经理宋中杰的一席话道出了软件巨头们频频出招的玄机所在。

    的确，身份识别已经成为保障信息资源安全的重要措施之一。数字身份是相对于软件系统而言的，主要用于确保不断增加的系统及应用能被安全访问。无论是打开电脑的操作系统，还是开启企业内部的应用系统，身份验证必不可少。正因如此，一直以来，身份管理是系统安全环境中的核心部分，是围绕数字身份生命周期实施的创建、维护、使用和终止等一系列活动。

    如今，身份管理市场已拥有诸多产品和解决方案，包括BMC、CA、惠普、IBM、Novell、Oracle、Sun和微软等都针对不同的客户和环境推出了相应的身份管理产品和解决方案。这些方案间实际上存在很多重迭，其优劣主要取决于身份信息的一致和更新、是否满足相关管理政策和法规、能够保证隐私加强信任并确保实现所有安全策略。

集中身份识别策略

    近几年来，各企业不同程度地积累了一些信息技术资源，包括网络设备、PC和服务器产品，也包括许多企业应用系统。

    宋中杰把企业信息资源架构非常形象地比喻成一个建筑物，各种应用系统就是分散在建筑物里面的许多房间;通常登录应用系统需要输入的用户名和密码，犹如每个房间的门，需要正确的钥匙才能打开。过去，作为一名企业员工，必须记住并随身携带每一个需要进入的“房间钥匙”，随着“房间”数量的不断增长，员工需要背负的“钥匙”越来越多，不但给工作带来了很大负担，而且经常会混淆。调查显示，在北美的大中型企业里，平均每位员工拥有4个密码，仅密码管理费用每年就达到400美元/人。对于这些企业，部署身份管理解决方案已成为迫在眉睫的任务。

    就国内企业而言，虽然信息管理系统的应用没有那么普及，但是在金融、电信等行业，信息化建设已经初见成效。随着企业数据与应用大集中工作的开展，许多用户已经提出了身份管理需求，并进入实际的立项阶段，在单点登录方面的需求更为强烈。值得一提的是，单点登录只是面向最终用户的一个“现象”，而其背后隐藏着的是企业IT环境中集成的身份管理安全策略。  

    安全是身份管理首要解决的问题。传统意义上的安全，主要是防止恶意入侵，在企业内部网络设备和硬件服务器的保护方面这一点的表现最为突出。管理员会根据不同需要对IT设备和应用系统设置不同的密码，不但要防止黑客通过网络进行恶意攻击，还为了杜绝内部非专业人员的误操作。

    CA公司产品市场经理谢春颖认为，如今企业的安全策略已经发生了调整，那就是要让正确的人看到正确的信息。这里面包含两层含义:一是要让用户只能看到应该看到的信息;二是让用户看到所有应该看到的信息，不能有遗漏。这就对身份管理解决方案提出了更高的要求。作为首个将服务提供、执行和审计集成到一个通用的基础架构、并共享一个统一的管理界面解决方案，CA公司eTrust身份识别和访问管理套件可支持IT部门管理日益增多的用户，确保日趋复杂的资源和服务的安全，并使企业的安全管理操作符合相应的法律规范。

    高效的身份管理是网络经济最重要的推动力，也是最大的市场机会之一。部署身份管理解决方案不但可以提高企业IT系统应用效率，更重要的是还能够降低企业应用的维护成本。过去企业中有新员工加入时，管理员通常需要几天时间才能为他开通所有应用，并赋予恰当的访问权限。如果企业采用身份管理解决方案，新员工在几分钟内即可获得相应的企业资源访问权限，而且无需记住多个密码，就可以访问服务器、打印机以及不同的应用系统。

    甲骨文在2003年底发布的安全组件Oracle Identity Management，能够保证企业雇员或商业合作伙伴一次仅输入一个名字和密码就可以登录若干个应用程序。甲骨文表示，集中身份识别服务是该公司在数据库和应用服务器软件中引进网格功能的计划的重要组成部分。无独有偶，Sun公司在2004年第二季度发布包括Sun Java System Identity Manager (身份识别管理器)、Sun Java System Access Manager (访问管理器), 以及Sun Java System Directory Server Enterprise Edition(目录服务器企业版)在内的一整套完整的新产品，并宣布与一批合作伙伴结成联盟，以期巩固其在规模达40亿美元的身份识别管理市场中的地位。

    当SOA风靡全球的时候，面向服务似乎也将成为身份管理的一种必然趋势。宋中杰介绍，市场上绝大多数身份管理解决方案都是基于角色的，而Select Identity和Select Access则是基于情景的，能够和企业业务结合，更加强调服务。谢春颖则表示，包括CA在内的许多软件开发商都研究并试图在身份管理解决方案中应用SOA。  

口令成为过去

    网络技术的发展，尤其是Internet的逐日普及，让世界空间变得更小，人与人的距离变得更近。哪怕相隔万里，哪怕不曾谋面，可以即时交谈犹如同处一室，甚至可以共享同一首音乐、同一段电影。但是，人们在虚拟的世界里拥有数字化身份的同时，也为信息资源的安全带来了隐患。

    如何准确鉴定一个人的身份，保障信息资源被有秩序地应用是当今信息时代必须解决的社会问题。由于传统的身份鉴别方法，如钥匙、证件等物件身份标识已落伍，寻找能够支持数字虚拟技术的身份认证方法也就成为了身份管理需求产生初期的重要工作。伴随着基于网络技术应用的产生，用户名/密码身份识别和验证方式逐渐占据了主流。但是，这种方式的安全性一直受到质疑。特别是当企业内部应用系统愈来愈多时，记忆如此多密码无疑给企业员工带来了许多负担。许多用户为防止忘记这些密码，经常采用诸如生日、电话号码等容易被窃取的字符串作为密码，或者把密码记录在轻易可以拿到的地方。

    从技术角度上看，无论账号还是密码都可能会在网络通信过程被监听，或者被驻留用户计算机的间谍软件破解。这给企业身份管理工作提出的巨大挑战。比尔?盖茨曾说过，“在身份识别方面，口令的保护能力已变得微弱，因此我们不能够依靠用户名/密码这种简单的身份认证办法。”口令很快会成为历史，并被向生物统计和智能卡技术所代替。

    其实，许多新的技术已经开始冲击着原有认证方式的垄断地位，包括智能卡认证、动态密码方式、生物特征身份识别，以及借助硬件设备的识别技术，如最为常见的USB Key。

    智能卡通常又称IC卡，是一种内置集成电路的芯片，存有与用户身份相关数据。合法用户需要登录系统时，必须将卡插入专用读卡器读取相应信息，以验证用户身份。目前，新加坡等一些国家的电子政务工程中就采用这种技术。

    动态密码技术是一种让用户密码不断和有规律地变化密码的技术。应用此技术需要配备一种叫做动态令牌的专用硬件，它内置电源、密码生成器和显示屏。生产者会预先定义密码生成算法，根据时间、使用次数或其它约定生成密码并显示在显示屏上，认证服务器运用相同算法可以取得相同的密码串。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机即可。由于用户每次使用的密码都会有所变化，即使黑客能够截获某次密码，也无法重复利用密码仿冒合法用户。

    基于USB Key的身份认证方式是近几年出现的认证技术。它采用内置芯片的USB接口硬件设备，含有用户密钥或数字证书，利用内置的密码算法实现对用户身份的认证。它在国内财务管理软件领域运用较为广泛。

    自上世纪后期自动生物特征识别技术诞生以来，用作身份鉴别的系统软件技术受到更多人的关注。比尔－盖茨曾断言:生物识别技术将成为未来IT产业的重要革新。这种技术的原理是采用每个人独一无二的生物特征来验证用户身份，如指纹、掌纹、虹膜、脸像、声音、笔迹等。理论上，生物特征识别是最可靠的认证方式，几乎不可能被仿冒。生物识别身份的过程通常包括生物特征数据采样、生物特征提取和特征匹配三个步骤。采样是通过传感器对生物特征进行原始数据采集的过程;提取则是从传感器采集的数据中抽取出反映个体特性的信息;匹配阶段则指应用到身份管理系统中，计算生物特征之间的相似性并进行排序和一致性判断的过程。

联邦身份护航e-Business  

    "试想，随着自动生物特征识别技术的发展与繁荣，若干年后只要我们站在电脑旁就能自动登录操作系统，通过语言操作各种应用系统，而无需记住一串串的密码，甚至不用键盘输入……何等美妙！"

    电子商务（e-Business）显然是社会信息化的终极目标。企业所有采购和营销业务都在Internet上完成，个人购物和娱乐也在虚拟环境下完成，生活和工作都会变得非常轻松。但这一切终究离不开相互授权，身份管理系统成了加强商业关系责任、保护企业与个人隐私以及相关规章制度控制的基础。

    电子商务环境下，身份管理已经不能局限于企业内部，而是扩展到企业生态链上下游，要求为分散的身份提供者建立信任关系。基于这种需求，联邦身份管理应运而生。它强调在分布式安全与策略域中建立用户身份信赖关系，每个用户不但享有本地身份和安全信息，持有内部目录、元目录、账户服务配置和公钥基础设施等服务，同时能够依据相应标准和定义共享联邦中的信息资源。从这个角度来讲，联邦身份管理包含两层含义。

    首先，促使企业内部分散的应用系统和信息资源形成“联邦”，实现用户身份的统一集成和智能化管理。当前，在每个企业内部都分散着不止一个应用系统，而不同系统通常由不同的厂商设计和开发，因此采用不同的技术和身份识别安全策略。企业身份管理解决方案需要对所有的信息资源的用户身份进行统一管理，在保证应用系统高效和安全应用的同时，降低企业应用维护成本。

    其次，在实现了企业内部应用身份管理的集成之后，建立企业之间的联邦关系，为实现电子商务打下基础。在基础设施完备、应用架构成型之后，企业信息化的下一步重点应该是运用IT手段帮助企业整合生态链，实现企业间应用的对接。联邦身份管理的出现，不但有助于实现企业间应用的相互授权，能够更好执行相关的信任安全策略。

    为了满足企业对于身份管理，众厂商纷纷对联邦身份管理进行了热情的投入。谢春颖介绍，CA购买Netegrity就是为了进一步丰富面向电子商务的身份管理解决方案，虽然早先CA的eTrust解决方案中已经具备了身份管理功能，但是主要是面向单个企业内部。而Netegrity的产品技术则在电子商务方向上更具优势，强调企业之间身份的信任和授权。

    惠普的OpenView Select Federation身份管理软件，帮助企业和他们的业务伙伴跨越公司界限，安全访问不同系统的信息资源。由于使用工业标准的联合协议，该软件可以在Internet上连接若干帐号一次性而且安全地通过认证，当一个用户浏览同属一个联盟的不同网站时，软件将识别出该用户，并提供基于参数和身份的安全、个性化体验。

    和SOA一样，虽然联邦身份管理被认为是一种必然趋势，但是现实情景离普及应用还有一段路要走，而这个过程最重要的工作就是标准制订。目前已经存在的标准体系有SAML（安全断言标记语言）、ID-FF（自由身份联邦框架）、ID-WSF(身份Web服务框架)和WS-Federation，一些组织和研究机构还在继续研究制定新标准。虽然新标准的不断出台说明联邦身份管理受到了越来越多的关注，但如何统一这些标准以促进联邦身份管理的成功部署也是一个难题。至于如何将联邦身份管理和新的平台技术及环境比如手机移动应用平台相结合，也值得探究。