RFID安全新理念——身份认证

    需求是源动力

    虽然有各种商业上、运作上和法律法规方面的障碍要克服，同盟化身份认证正处在里程碑式的发展中。过去几年中开发的标准和技术已经由假想进入到实际应用。
Liberty Alliance 的 Nicholson说：“在过去6个月中，我们见证了许多 2002 年和2003 年间做出的计划被付诸实践，” 他引用了 AOL、Fidelity 和欧洲移动运营商 Orange 所作的重要部署。

    事实上，尚未考虑同盟化身份认证的企业将很快感受到来自生产商和合作伙伴的压力。Reynolds & Reynolds 是一家为汽车行业提供 IT 服务、解决方案和软件的公司，该公司采用了 Netegrity 的同盟化身份认证系统。作为公司信息安全总监，Steve Kessler认为公司在身份认证方面所做出的努力完全来源于客户的驱动。Kessler说：“同盟化身份认证绝对是意料之中的事，已有4家不同的汽车公司和销售商要求实现跨门户身份验证，也就是建立同盟。”

    沃尔玛通过同样的方式实现了仓库操作的RFID标准化，较大型的公司可能很快就会要求其客户与其建立身份认证同盟关系，考虑到这种可能性，现在就开始为同盟做计划很有意义。

    同盟化之路

    实现同盟化当然不像拨动开关那么容易，但也不是什么不可逾越的障碍。就像龟兔赛跑一样，缓慢但是坚定就能取得胜利。Sun 公司的Shikiar说：“人们需要循序渐进。首先要做一个评估，如现在的体系架构是什么样？需要转变成什么样？要采用哪些标准？这些标准是否与现有的体系架构相符？”

    最好的策略就是把工作重点放在最需要的领域。“如果我来考虑实现同盟化，我会先确定几个最能从同盟化中获益的领域，然后先在这几个领域实施。”Shikiar 说道： “我在哪些领域中的合作伙伴最能从中获益？在这中间，又有哪些合作伙伴最有可能同我在此项目上进行合作？”

    然而，在急着跳上同盟化这驾马车之前，感兴趣的组织首先要建立起扎实的内部身份认证基础架构。

    Oracle 公司的 Sullivan 认为：“要先使自己的身份认证基础架构就绪，因为如果自己还无法控制身份认证，就谈不上和别人共享，”这意味着要做出恰当的技术选择，既强调灵活性，又要满足可搭建于同盟化基础之上的需求——即使暂时还用不到它。

    毕竟，正如 Liberty Alliance 的 Nicholson 所说的， “身份认证从本质上来说就是同盟化的，它是一种分布式的事物。会不会有一天，同盟化的身份认证成为我们在 Web 上所作工作的核心组成部分，而我们却丝毫意识不到它的存在？我相信会如此。它解决了真正的问题，满足了真正的需求。”

    身份认证与SOA

    随着企业逐步向Web服务迁移，身份认证开始引起人们的重视。Burton集团CEO Jamie Lewis说：“身份认证与Web服务是紧密相连的，这就好像阴与阳一样。”

    至于究竟是SOA（面向服务的体系架构）导致了身份认证的产生，还是企业对身份认证的采用使得SOA被更多的接受，Lewis认为这是一个“鸡与蛋”的问题——两者将互相促进。虽然关于Web服务的潜在安全问题有很多争论，他相信SOA最终会带来更好的企业级安全性。

    Lewis认为，当涉及到安全性时，开发者过去不得不做很多重复工作。虽然诸如C#、Java和Python这样的现代编程语言运用各个层面上的抽象，将开发者从内存管理这样的底层工作中解放了出来，但实现用户身份验证和授权这样的基本功能并没有标准的工具可以运用。

    通过创建标准的安全机制并将其发布为Web服务，不仅使网络管理员能够加强安全策略的一致性，而且使应用程序开发者从创建安全控件这样的繁琐工作中解放出来。

基于身份认证的安全控件是SOA的自然选择，因为这些控件不依赖于任何单一的应用程序设计或技术。从简单的密码到数字证书，再到生物检测，任何工具都可以用来验证某个用户的身份与特定的身份认证是否相符。只要对用户数字身份认证的有效性满意，单一的服务无需了解底层的身份验证体系。

    Lewis预测，随着SOA的演进，身份认证的作用将继续扩展，不再局限于目前这样仅仅与用户账户及许可权限相关联，而将进一步包含服务自身的身份认证。尤其是当服务开始在没有人工干预的情况下互连时，验证服务请求来源有效性的需求将日益迫切。

    IBM安全策略总监Chris O’Connor透露，其Tivoli部门正在为机器建立同人的身份认证一样的标准。我们可以设想一台服务器，它能够测试自身当前的操作状态，并与一套公认的、静态的属性相比较以确定其操作系统是否改变。