了解数字标识

　　您是谁? 这个问题很简单，但答案却并不简单。 您的身份表示方法会因所到之处的不同而有所变化。 当您在机场的出入境通关口出示护照时，您的身份是某一国家的公民。 当您由于超速行驶而被警察拦截并出示自己的驾驶执照时，您的身份是居住在某一地区的合法司机。 当您使用信用卡在书店购买最畅销的小说时，您的身份是具有某一特定帐号的顾客。 不同的环境中需要使用不同的标识，每种标识的表示方法和所提供的信息均不尽相同。

　　在所有这些环境中，您可以通过一些便于理解的方法来确定自己的标识。 但在一个非常重要的环境，即网络环境中，标识的确定目前还比较混乱。 正如在现实环境中一样，我们都拥有多种数字标识，并以不同的方法表达它们。 但是，现在并没有一种统一的方法来处理这些数字标识。 相反，我们仍然在一个复杂、混乱且不的环境中苦苦挣扎。

　　然而，不同种类的数字标识始终是必不可少的，因为只凭单个标识不可能满足全部需求。 实际上，这些标识始终是由一些不同的源所提供的，因为只凭单个标识提供者同样不可能满足全部的需求。 这就意味着解决之道不是去强制要求使用一个数字标识系统，更合适的做法是寻找一致的方法来使用多个数字标识系统。 我们需要的是由多个主要用于处理标识的元系统所组成的系统。

　　需要通过合作来实现该标识元系统。 单个组织只凭一己之力不可能完成一个解决方案。 幸运的是，可以通过使用与供应商无关的通信标准来解决此问题。 这些标准基于 SOAP 和 XML，包括 WS-Security、WS-Trust、WS-MetadataExchange 和 WS-SecurityPolicy。 通过使用这些 Web 服务技术，可以定义一致的方法，来使用由任何源通过任何标识技术所创建的任何数字标识。

　　Microsoft 与其他公司通力协作，在定义此基于标准的标识元系统方面起着举足轻重的作用。 Microsoft 还在 中添加了新功能，从而帮助实现标识元系统。 任何 应用程序，包括诸如下一版的 Internet Explorer 等 Microsoft 技术产品，以及由其他方开发的应用程序，都可以通过 Windows CardSpace(最初代号为“InfoCard”)为用户提供一种通用的方法来使用数字标识。 CardSpace 作为 .NET Framework 3.0 的一部分，计划于 2007 年初发布，适用于 Windows Vista、Windows XP 和 Windows Server 2003。

　　Windows 是一种广泛使用的操作系统，因而 Cardspace 便成为实现标识元系统的重要部分。 除非其他组织也实现了此方案，否则该解决方案仍然无法成功实施。 因此，Microsoft 积极鼓励创建和使用能参与到标识元系统中的软件。 其目的是让相关人员可以在运行任何操作系统的任何机器上，就像当前在现实环境中使用标识那样，方便、有效和地使用数字标识。

　　介绍数字标识

　　同现实环境中的标识一样，数字标识也拥有各种形式和大小。 例如，您或许拥有一个 Yahoo 的电子邮件帐户，它通过电子邮件地址进行标识。 您可能还拥有诸如 Amazon 或 eBay 等各种商业组织的数字标识，以及诸如 MySpace.com 等站点的标识。这些组织和站点一般由您定义的用户名来标识。 在工作中，您可能还拥有雇主分配给您的数字标识，由您的网络登录信息进行标识。 此标识可能由某些目录服务进行维护，例如 Active Directory，并且通常只在公司网络范围内可用。

　　正如在现实环境中那样，我们有充分的理由在不同环境中使用不同的数字标识。 例如，通常需要将不同的信息与每个标识关联起来。 您使用的 Amazon 标识可以允许您访问信用卡号，而 MySpace.com 标识则不允许此操作。 每个标识的获取规则也不尽相同。 在 Amazon 获取数字标识比较容易， 只需创建一个用户名和密码即可。 从您的雇主那里获取数字标识可能有点困难，因为您至少需要得到运行公司网络的管理员的批准。

　　表示数字标识：安全令牌

　　尽管数字标识间存在差异，但它们都拥有一个重要的共性： 当在网络上传输数字标识时，每个标识都由某种安全令牌表示。 安全令牌其实是用于表达数字标识信息的一组字节。 如图 1 所示，此信息由一个或多个声明组成，每个声明包含此标识所传递的总信息的某一部分。 一个简单的安全令牌可能只包括一个含有用户名的声明，而稍复杂一点的安全令牌可能包括含有用户的名、姓、家庭住址及更多信息的多个声明。 某些数字标识的安全令牌可能还包括含有诸如信用卡号等敏感性信息的声明。

　　图 1. 安全令牌

　　大多数安全令牌都提供了某些信息，以证实这些声明确实属于提出这些声明的用户。 执行此操作的一个简单(且目前比较常用)的方法是将密码连同声明一起发送。 一个较为有效的方法是使用私有密钥对全部或部分声明进行数字签名，然后提供相应的公共密钥(可能包装在证书中)。 此外，表示数字标识的安全令牌通常还会提供某种证明，供令牌接收方验证此令牌确实代表拥有该标识的个人或组织。

[1]           ...