身份与访问管理技术发展现状与趋势分析

Gartner对身份与访问管理（Identity and access management，IAM）技术有清晰的定义：IAM是可有效控制人或物等不同类型用户访问行为和权限，保障拥有合法权限的人或物体在规定的时间、地点有权限访问对应资源的管理系统。

2002年，美国国会颁布萨班斯-奥克斯利法案。该法案的核心要求是规避风险、完善内部控制，以确保财务信息披露的准确性，要求针对财务信息的生成、访问、收集、存储、分析、处理、传输和使用进行严密控制。通过该法案，可看到上市公司在员工权限管理、业务活动的记录、对合作伙伴协作活动的跟踪与监控以及客户体验及隐私保护面临较大挑战。2000—2010年间，国内对于IAM技术的研究仍处于起步阶段，较多研究和应用以身份认证技术为主，研究的推动主要来源于企业、政府、运营商等行业，但多数是采用国外厂商的产品，国内少数几家企业的类似产品主要以解决单点登录（Single Sign-on，SSO），建立4A（Account，Authentication，Authorization，Audit）体系为主，关注用户、认证、权限与审计。

国内相较国外在网络空间与身份安全战略的制定时间、发展阶段、实施落地以及行业监管方面,尚有一定差距。身份管理关系到网络空间的安全和发展，为获取对网络空间的主导权和控制权，美国于2011年4月发布了《网络空间可信身份国家战略》（National Strategy for Trusted Identities in Cyberspace, NSTIC），计划用10年左右时间，构建一个网络空间与身份安全生态体系，建立综合的身份管理系统，推动个人和组织在网络中使用安全、高效、易用和具备互操作性的身份管理解决方案。

伴随全球数字化演进进程，IAM技术经历了由点到面，由单一功能模块到全面数字身份治理体系的演进过程，现代IAM技术越来越多地被应用于解决连接、共享和安全的问题，确保用户、终端在日益复杂的技术环境中合理访问资源，并满足日益严格的合规性要求。对于任何企业而言，IAM都是一项非常关键的任务。它与业务保持紧密协同，并且需要业务技能，而不仅是技术专长。企业通过成熟的IAM产品可以降低其身份管理成本，同时更重要的是，在支持新业务计划方面变得更敏捷。

从功能侧看，现代IAM系统的核心能力包含身份管理、身份认证、授权和权限管理、工作流及自服务、智能分析和合规审计报表等，具体如图1所示。整个系统的数据流转从上游权威数据源开始，它可以是组织内部的人力资源系统或其他数据源系统，经过身份同步单元，再到身份库、认证、授权单元，最后将身份数据下发到下游若干应用系统。

图1  最基本的IAM系统

 六大核心能力的详细要点如表1所示。

伴随云计算、物联网、区块链、5G、大数据等信息技术的快速发展，IAM朝着服务化、智能化、动态化的方向演进。以IAM为基础，延伸出了众多新应用场景，如图2所示，包含身份云服务（Identity As A Service，IDaaS）、消费者身份管理（Consumer Identity and Access Management，CIAM）以及分布式身份识别（Decentralized Identifiers，DID）等等。

图2  IAM外延的应用场景

传统IAM通过本地部署的IAM系统实现对本地应用的统一管理，通过连接器、接口等方式实现身份数据的同步和认证接入。现代IAM的架构将逐步向柔性的方向发展，演进架构如图3所示，通过身份应用程序接口（Application Program Interface，API）、标准接口和定制集成服务为顶层各类的数字化服务提供IAM能力和服务。技术架构以容器、微服务和API作为支撑，将为本地数据中心、私有云和公有云的万物提供更强的互操作性、兼容性、弹性、安全性，同时保障每个人的隐私安全。

图3  IAM的演进架构

（1）IDaaS

IDaaS可以理解为IAM在云计算环境下提供的身份云服务，是IAM柔性化演进的重要产物。随着组织业务上云，企业、政府陆续使用了各类型的SaaS服务，如何实现云端应用的身份、认证、权限、审计统一管理，对组织至关重要。同时，组织内部还会有较多本地应用，如何打通云上、本地的身份管理体系，通过IDaaS架起身份互联互通的“云桥”，保障任何人，在任何时间、任何地点，安全地访问有权限的资源。IDaaS的优势在于产品标准化、服务交付简单，用户能在短时间内看到效果。而且IDaaS能预集成各类SaaS应用，企业通过IDaaS即时开通身份管理服务和访问控制服务后，能快速实现各类应用的一键集成。

（2）CIAM

如今随着消费的升级，消费者的购买方式和渠道变得多元化，商家很难获悉消费者在何处活跃消费。因此，在所有触点收集消费者数据并生成全渠道单一的用户画像，是企业成功的关键。CIAM 支持一种非侵入性但高效的“渐进式身份认证”策略，通过持续、透明、有价值的信息交换，从客户方收集数据，这有助于扩展和增强客户的体验。CIAM通过在每个渠道提供统一的客户视图，并随着时间的推移，逐步构建配置文件，以便能够更深入地了解用户。CIAM和IAM的具体差异点如表2所示。

“正确识别身份”意味着让企业的消费者和工作人员更容易与企业进行数字化连接。这意味着登录、重置密码、接收个性化的数字内容以及维护安全和隐私变得更加容易。在当下预算有限的环境中，提供安全的用户体验比以往任何时候都迫切。CIAM关注客户和其访问系统之间的连接，从注册到访问的整个旅程，如图4所示。从客户和系统的连接开发中，CIAM会提供注册、身份验证、跨设备识别、单点登录、多因素认证等；在客户旅程中，CIAM会集中存储客户数据，通过智能数据分析，实现对客户的个性化、偏好管理，最终生成用户画像。

图4  CIAM的功能架构

当然，数据收集、分析、共享的安全性如何保障，仍然是非常关键的问题。CIAM以安全的方式存储所有相关的客户数据，遵循数据保护和隐私法规。为了减少洗钱、金融欺诈、网络犯罪等违法活动，监管者要求银行和金融机构实施“了解你的客户”的机制，CIAM将成为金融体系中“了解你的客户”的标准架构组件。

（3）DID

现有的身份管理系统基本是集中式的管理架构，系统集中存储每个用户的身份数据、凭据等，在面向海量消费者、物联网终端的应用场景中，集中式的身份管理系统会面临较大的认证压力。同时，随着用户对身份自主控制和自我隐私保护意识的不断增强，集中式的身份管理系统会面临隐私保护等问题。

区块链提供分布式的信任环境，是实现自我主权身份的必要技术。基于区块链的自我主权身份的核心思想是创造一个全局唯一的身份标识DID，具有高可用性、可解析性和加密可验证性。因此，需要以DID为基础，真正建立以用户为中心的身份管理体系，实现用户数据平权。

首先，区块链技术可以和生物识别技术相结合，创建真实唯一、难以伪造的数字身份；其次，利用区块链形成用户不可篡改的行为记录，与其身份绑定，增强其身份特性和可信行为特性。这对于提升普惠金融是很有意义的方式。通过区块链数字身份，可以对很多以往无法统计的金融行为进行记录，由于信息的不可篡改性，用户的金融信用会得到加强，更有助于其获得金融机构的认可，实现金融权利的应用。

身份与访问控制技术应用范围广泛，不局限于某个行业、某个场景，也不仅仅是一项安全技术，对于万物皆可连接的数字化世界，该技术变得越来越重要。未来，还会延伸出和IAM技术相关的更多场景。本文介绍的几个重要发展趋势也在被越来越广泛地应用，为人、物、应用、数据等提供全流程身份安全管控。 

来源：《网络安全和信息化》杂志

作者：史晓婧