微软进军身份认证管理
2006/9/1 来源:中国计算机报 作者:晓 程


  据悉,微软公司正在为其操作系统进行身份管理技术的开发。微软希望这一技术将发展成为跨平台的业界标准,企业可以通过这种标准来保障电子商务和资源共享的安全性。微软身份认证系统为单一存储和开发平台,目的是将应用程序与身份验证进行关联。其中包括基于XML规范的描述身份及访问API的数据结构。该身份认证系统架构于的新文件存储系统WinFS之上,将身份认证视作程序员和终端用户可使用的对象。
  这是微软在通用身份模型上的第二次尝试,在此之前是已经成为一种广泛应用的客户服务的Passport。这次微软预期将其身份认证系统推广到客户和企业用户,使用者将身份信息存储在本地,而不是像Passport那样需要用户将身份信息提交到一个中央身份数据库中。微软计划将身份认证系统集成到更大规模的基于Web服务的联合身份认证中去。
  微软身份认证系统的核心是基于XML的信息卡(Information Card),信息卡可让用户与其他用户或服务器进行个人信息数据的交换。
  信息卡的基本功能是提供使用户或组织能够互相辨认的机制,这很像手机上通过显示来电号码作为身份标志。信息卡在电子商务卡的基础上加入了安全策略和加密技术,使用诸如IP Security,SSL和Web服务协议等来保护通信过程的安全。
  除了进行基本的用户辨别,信息卡还能被用于更正式的数字信息交换。终端用户可以控制用于交流的身份数据信息,这些数据包括姓名,诸如电子邮件地址的身份认证声明等,并使用安全策略和数字证书来验证身份信息,在安全策略中定义了对ID可进行什么样的操作。用户可以自己签署身份证书,也可以通过授权企业中的验证机构进行。用户可以选择是否在信息卡中加入更多的信息,比如家庭住址,电话号码或信用卡号码等,并可以自动更新数据或是声明信息卡作废。一些专家和用户认为微软的身份认证系统显示了解决网络安全问题的潜力。
  微软的这一模型看起来具有很好的模块安全性,而这正是现有技术所缺少的。现在企业的身份认证管理需求十分迫切,这一系统可让人们正在做的一些事情简化,这是通过在活动目录中创建小的资源域来控制对机器群组的访问来实现的。活动目录可被用来储存信息卡,微软计划在服务器操作系统中将验证授权技术移植到活动目录,并加入基于规则访问的授权管理技术以支持身份认证系统。
  信息卡也能被用于点对点的信息交换中,包括验证电子邮件的发送者或是创建单一认证用以减轻IT部门创建和维护多系统中用户账号的负担。信息卡也可用来保障访问控制以及用户和公司间、公司部门间通讯的安全性。信息卡的接受者可以将其与某些权限相关联,比如访问一个桌面文件或是服务器上的数据,并使用信息卡来验证随后进行的通信过程中的发送者。也可以通过将一个发送者的信息卡从系统中移除来撤消其访问权限。