联合身份角色和架构组件随着当今移动通信技术的发展，例如基于分组交换的移动网络的发展、拥有彩屏和日TML浏览器的移动设备的出现，商家可以为用户提供相对于有线网络来说更方便、更自由的移动服务。在这些服务中，用户身份是一个很重要的组成部分，商家只有在获得有效的、经过认证的用户身份后，才能为该用户提供个性化的移动服务。可是现今这些服务并不像人们所想象得那样迅速发展，其中有四个主要原因:——用户和商家之间不能建立相互信任的关系。一方面商家希望获得用户更多的身份信息以方便其提供更有效的服务.而另一方面用户又不愿意自己的隐私得不到有效的保障。——各个商家的用户身份管理处于相互独立的状态，这样用户就需要记住自己在不同服务处不同的用户名和密码。——由于自身体积大小的限制移动设备通常使用小型的键盘和屏幕.这些硬件上的限制使得用户在使用服务时输入用户名和密码并不是那么的方便。各个商家在建立有效的身份管理机制上投入了大量的时间和财力.从而影响了这些服务的及时部署和最终的利润。建立一个有效的身份管理架构可以很好地解决上面出现的问题。在这个架构中，各个商家基于某个协议建立起广泛的相互信任关系:一个商家做出的关于用户身份的认证声明将被其它商家所信任。这样就为用户提供了一个无缝化的服务环境.用户只需单次登录.然后点击就可以轻松获得各种个性化的移动服务。现有的身份管理架构可以分为两种:集中式的身份管理和联合的身份管理。其中集中式的身份管理以微软的Passport机制为代表，它是一种Web服务它将用户的网络身份和相关信息存放在大型数据库中实行集中式的管理所以注册了Passport的用户可以采用Passport关联的应用程序在Internet上任何位置进行验证，PassPort验证票证也可以被解码到cookie中，以便实现单一登录而无需重复登录。但是它的缺点也是显而易见的，由于身份管理是集中式的，所以单点故障很可能导致认证瘫痪。而且，最关键的问题在于Passport只能在相似的平台中部署，虽然多数线上消费者使用WindowsPC连接互联网，但他们的数字身份却是由IsP或是移动服务商所颁发而这一领域又多属于Unix/Linux系统的市场。此外，从手机、PDA或其它非Windows平台访问网络的情况也越来越普及因此以平台无关的方式来进行身份管理越发重要。联合身份管理1.身份联合框架2002年7月，由诺基亚、SUN、Intel、HP以及GM等160多家公司和组织组成的自由联盟提出了身份联合框架用户在其中一个帐户处经过身份认证后就可以连接到其它帐户而不用重新登录从而实现了单点登录。当用户在其中一个帐户处退出登录后，在其它帐户处也会注销其登录会话信息从而实现了单点退出。在固定设备和移动设备上都能实现身份的联合。该框架中.由于用户的网络数字身份信息是保存在不同的地方.所以解决了集中式身份管理中存在的单点故障问题。而且该框架是以SOAP和SAML为基础的开放性的架构.如图1所示，所以它与具体部署平台和实现语言无关。2.参与角色和架构组件在一个典型的身份管理商业系统中.通常包含三种角色:用户、服务提供者和身份提供者。其中SP是指提供Web服务的商业性或是非盈利性组织Idp是提供身份认证服务的特殊的SP它管理用户的身份信息.并为其它SP提供认证声明。在身份联合框架中，Webserviee、metadata&sehemas和Webredirection三个架构组件将这三个角色联系在一起。中.ldP和SP之间使用Web服务的方式进行相互通信，使用Web重定向方式在用户设备上为用户提供服务.而metadataschemas指定Idp和Sp之间交互各种信息的一套元数据和数据格式。3.信任圈模型信任圈模型构成了联合身份管理的基础。拥有商业联系的一个或是多个IdP和一组SP，通过某种约定共同构建成一个认证域也称为信任圈.如图3所示。在这个信任圈中ldP做出的认证声明被所有与其联合的SP所信任。用户可以选择将其在ldP处的帐户和在SP处的帐户之间建立连接，这样.用户下一次在IdP处通过身份认证后，就可以在信任圈中无缝地、安全地使用sP提供的个性化服务。联合身份管理在移动服务中的应用基于自由联盟提出的开放式的联合身份管理架构.移动运营商和服务提供商可以按照某种商业协议共同组成一个信任圈。在这个信任圈中服务提供商完全信任移动运营商提供的身份认证声明，并且可以从运营商处获得用户身份信息Web服务，从而使服务提供商和移动运营商联合起来共同为客户提供个性化的移动月民务。在联合身份管理架构中.有两种设备可以用于访问移动服务:普通的浏览器客户端和LECP。1.普通浏览器客户端用户使用普通手机浏览器直接访问移动服务的优点在于它对现今存在的客户端软件和网络设备不需要做任何的改变。但是在这种情况下，服务提供者就无