统一身份认证技术发展研究和建议
摘自:《网络安全技术和产业动态》2023年第3期,总第33期。
统一身份认证技术是指在一个系统或者服务中,以一组统一的标识符(如数字证书、口令、生物特征等)对实体身份(人、组织、设备、软件应用、服务等)进行检验并提供证明,从而实现一次验证身份即可访问授权范围内的多个应用及资源,并对访问行为进行全程审计。随着信息化和网络化的加速推进,统一身份认证技术受到了越来越广泛的关注和应用。
01技术发展情况
(资料图片仅供参考)
统一身份认证将不同的认证方式进行整合和统一,在多个应用系统中,用户只需要一次身份认证就可以访问具有相应权限的其他应用系统,从而实现单点登录和访问授权控制等。当前计算机及网络系统中主要的统一身份认证技术包括OAuth、OpenID Connect、SAML等身份验证技术及RBAC、ABAC等权限控制技术。
从技术和应用标准化角度看,国际标准化组织(ISO)、国际电信联盟(ITU)和国际身份安全联盟(IDSA)也已经开始以身份管理和隐私保护标准为研究对象,开展框架性标准的研制工作。Liberty Alliance、OpenID、OASIS、W3C、3GPP和IETF等组织也分别开展了身份管理和身份认证的技术框架设计。我国在“全国信息安全标准化技术委员会”成立了鉴别与授权工作组”(WG4),持续推动身份管理、认证和授权技术的发展和标准化工作,并相继发布了多个相关标准。
未来统一身份认证发展趋势主要体现在:一是基于“统一”的全生命周期身份管理;二是集成密码技术的身份认证将成为标配;三是实体可在公众网络和企业组织网络中便捷漫游;四是“无口令身份认证”零登录技术将会兴起。
02技术发展难点
统一身份认证技术发展难点主要有以下方面:
1.目前各地方及各行业标准不一,各自管理,实现全社会各应用系统的统一认证仍然存在较大的技术和管理困难,严重地影响了数字化社会的发展。
2.多样化的应用场景、异构平台、不同的交互模式以及不同的身份认证标识,如何整合实现统一的身份认证仍需有技术突破。
3.由于统一身份认证平台涉及到大量的敏感信息,在统一身份认证过程中,用户的身份信息可能会被泄露或滥用,如何在保护用户隐私的前提下实现跨应用统一身份认证是一个难题。
4.各类平台用户数据价值极大,平台运营商因自身商业保护而建立了一定的技术壁垒,形成一个个认证孤岛,导致不同生态圈的身份互认进展缓慢。
03技术产业落地情况
统一身份认证管理产品已被广泛应用于网上银行、证券、工商、电子政务、电子商务以及其他领域。
根据贝哲斯咨询发布的统一身份认证管理市场调研报告,全球统一身份认证管理市场规模在2022年达到705.33亿元(人民币)。报告预计至2028年全球统一身份认证管理市场规模将会达到1575.95亿元。从企业来看,全球范围内,统一身份认证平台核心厂商主要包括Okta、Ping Identity、One Login和Auth0等。这些新锐身份管理厂商不仅仅提供传统IAM软件, IDaaS服务市场增长极为迅速。
据相关报告显示,2022年统一身份认证管理国内需求快速增长,市场规模达约80亿元,同比增长约18%。预计2028年可达到150亿元,约占全球市场的10%。参考最新网络安全行业全景图,国内统一身份认证代表厂商有竹云、芯盾时代、派拉、快页等。这些厂商主要的客户案例还是为企业组织内部建立统一身份认证平台,为企业组织内的员工、客户和合作伙伴提供快捷、安全、方便的应用环境。
04意见和建议
综上所述,建议从以下三个方面推进统一身份认证技术的发展。
1.完善统一身份认证框架和技术标准体系建设,尽快将在互联网浪潮下涌现出的、已获得规模化应用的认证技术标准化和规范化,加快社会公共应用服务系统统一身份认证标准体系建设和系列标准制定、宣贯推行,助力新时代数字中国建设。
2.加强统一身份认证技术攻关研究,深化异构平台、不同的交互模式以及不同的身份认证标识等复杂多样化应用场景的认证技术攻关,如开展无密码身份认证、基于用户行为的自然人身份认证、基于芯片安全封装的身份认证、基于区块链的身份认证等,最大化地减少人为操作、成本代价和安全风险。
3.总结推广行业、企业统一身份认证典型系统应用案例,对各地各行业结合自身业务实际进行的大量应用实践进行总结,形成知识积累并对外分享,促进提高信息化应用系统的方便、快捷、安全使用。
中国网络安全产业联盟(CCIA)主办,快页信息技术有限公司供稿。