Inte rn et实 现 安全 并非 是 白日梦

zz7061098

编者按：安全顾问Roger A. Grimes 最近在他的个人博客中发表了一篇日志，从个人的角度谈论了他对相关Web服务规范的看法。其观点是对互联网上现有的Web服务、安全、身份/认证标准的一个更简单而行之有效的提议。
    基本上，所有的这些开放的标准协议和规范将允许多个群体建立巨大的相互关联的身份/认证系统。这些标准也将是你连接到云服务的必经之路。云服务让服务和服务器在互联网上是“矩阵”的。前面提到的这些规范让身份/认证服务成为连接到云服务成为“云”本身的必需品。

　　从一个或者更多的认证供应商那里，你将会获得一个或者更多的安全令牌，并且具有灵活的使用权。每个安全令牌可以有一个或多个claim。claim是与特定的身份相关联的信息属性。claim可能是真实姓名、出生日期，表明你已年满21岁——等等的任何东西。对于任何一个特定的身份，您都可以凭自己的喜好提供信息，或者你也可以只针对某些特定的服务提供信息。你还可以保持完全匿名的身份，或者伪装匿名。

　　伪装匿名可让你保持是匿名的身份(即不暴露你的真实身份)，只要你提供可信的第三方证明就可以使用另一种身份。只要你的服务供应商接受第三方的认证，你就可以对特定的服务保持匿名的身份。例如，在美国的多数地区，你不得不年满21岁甚至更大的年龄才可以购买酒类产品。当你购买酒类产品时，商店并不关心你的名字或住址(这些都在你的许可证上)是否真实有效。他们只关心你提供的ID是否确实是属于你的，并且你已年满21岁。伪装匿名的网上ID可能在不透露你其他信息的情况下确认你已年满21岁，所以你可以在互联网上购买酒类产品。当你不必透露更多的必要信息就可进行交易时，世界将会宽泛很多。

　　所有的这些新的规范和标准让我们能够构建一个巨大的身份交换系统，在那里许多单独的身份/认证系统被连接起来创造一个巨大的可信的圈子。这些可信的网络不仅将包括银行、制造商、零售商，还包括巨大的云服务，包括在市场上竞争的服务供应商，所有的他们都可以(不同程度地)为用户提供担保。

　　事实是，由今天的每个商业互联网服务独有的认证系统建立起的管辖范围将不复存在。云服务的用户将可以无缝地移动到另一个云服务中去。一个作为个体的企业也将可以对云提供服务，并可争取到不同的云中的更多的用户。甚至是现在的国家身份系统也将会与他们、与云相互关联。今后的互联网也会变得更加安全有用。

　　是的，这一设想还有很长的路要走，但是这些协议已经走在了前面，并已经开始在厂商的产品中得到应用。这不是一个白日梦，几十年来身份管理发展的顶峰已经到来，并且在不久的将来它将会来到你身边的web。我已经对《Fixing the Internet》白皮书进行了更新(现在是2.0版本)，以反映这些现有协议的所扮演的角色，并提供了一个更简便的可替代的解决方案(名为2号解决方案)，今天，该方案在不需要其他新协议的情况下就可得到实施。你可以点击这里下载更新后的协议。让我们一起来拯救互联网!