国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

Microsoft Corporation適用于：安全性Web 開發(fā)Web 服務(wù)摘要：Identity Metasystem 是一個(gè)針對(duì)數(shù)字標(biāo)識(shí)的互操作體系結(jié)構(gòu)，它假設(shè)用戶具有若干個(gè)基于多項(xiàng)底層技術(shù)、實(shí)現(xiàn)和提供程序的數(shù)字身份。使用該方法，用戶將能夠繼續(xù)保留他們現(xiàn)有的標(biāo)識(shí)基礎(chǔ)結(jié)構(gòu)的利用價(jià)值，選擇最適合他們的標(biāo)識(shí)技術(shù)，并能夠更輕松地從舊技術(shù)遷移至新技術(shù)，而不會(huì)影響與其他技術(shù)的互操作性。本文介紹“標(biāo)識(shí)規(guī)則 (The Laws of Identity)”方法的基本原理，該方法提供一個(gè)用于生成元系統(tǒng)的開放式、可互操作的體系結(jié)構(gòu)，并描述 Microsoft 參與該標(biāo)識(shí)元系統(tǒng)的計(jì)劃。本頁(yè)內(nèi)容

數(shù)字標(biāo)識(shí)：一項(xiàng)挑戰(zhàn)

什么是 Identity Metasystem？

不同場(chǎng)合中的標(biāo)識(shí)功能

標(biāo)識(shí)規(guī)則

標(biāo)識(shí)元系統(tǒng)中的角色

標(biāo)識(shí)元系統(tǒng)的組成部分

標(biāo)識(shí)元系統(tǒng)的優(yōu)勢(shì)

標(biāo)識(shí)元系統(tǒng)的體系結(jié)構(gòu)：WS-* Web 服務(wù)

Microsoft 的實(shí)現(xiàn)計(jì)劃

Passport 給我們的啟示

小結(jié)

獲得更多信息數(shù)字標(biāo)識(shí)：一項(xiàng)挑戰(zhàn)Internet 對(duì)于用戶和業(yè)務(wù)等而言，其價(jià)值仍在持續(xù)增長(zhǎng)。越來越多的人在日常生活中需要使用網(wǎng)絡(luò)，從購(gòu)物、辦理銀行業(yè)務(wù)、支付賬單到多媒體和娛樂消費(fèi)。電子商務(wù)正在蓬勃發(fā)展，其中的業(yè)務(wù)可以通過 Internet 提供更多的服務(wù)和內(nèi)容，實(shí)現(xiàn)網(wǎng)上通信與協(xié)作并創(chuàng)造了多種互聯(lián)的新方式。然而，隨著網(wǎng)上操作的增值，Internet 自身已經(jīng)變得更為復(fù)雜、更容易受到攻擊并且更加危險(xiǎn)。人們對(duì)在線身份的盜取、欺詐和隱私的關(guān)注程度不斷提高，這些都源自一些日漸復(fù)雜的實(shí)踐經(jīng)驗(yàn)，例如，“phishing”— 網(wǎng)頁(yè)仿冒。用戶必須熟記多個(gè)帳戶和密碼以及在站點(diǎn)進(jìn)行身份驗(yàn)證的眾多方法不僅讓用戶屢屢受挫（例如，“密碼匱乏”），而且會(huì)導(dǎo)致不安全的做法，例如，在多個(gè)站點(diǎn)重用相同的帳戶名和密碼。這些問題的根源在于，Internet 在設(shè)計(jì)上沒有體現(xiàn)出一個(gè)數(shù)字標(biāo)識(shí)系統(tǒng)。為了彌補(bǔ)這一缺陷，便引入了許多數(shù)字標(biāo)識(shí)系統(tǒng)，其中每個(gè)系統(tǒng)都有自己的優(yōu)缺點(diǎn)。但沒有一個(gè)系統(tǒng)能夠滿足每個(gè)數(shù)字標(biāo)識(shí)方案的需要。即使能夠創(chuàng)建這樣一種系統(tǒng)，但實(shí)際情況是，目前人們還是使用著許多不同的標(biāo)識(shí)系統(tǒng)，并且還在不斷開發(fā)更多的系統(tǒng)。結(jié)果，當(dāng)前 Internet 上數(shù)字標(biāo)識(shí)的狀態(tài)是一些特殊解決放案不協(xié)調(diào)的大雜燴，這成為了每個(gè) Web 站點(diǎn)上具有不同用戶體驗(yàn)的用戶的負(fù)擔(dān)，它提供的系統(tǒng)非常脆弱，并且限制了電子商務(wù)更完整的實(shí)現(xiàn)。

返回頁(yè)首什么是 Identity Metasystem？如果統(tǒng)一采用單個(gè)數(shù)字標(biāo)識(shí)系統(tǒng)或技術(shù)永遠(yuǎn)不可能實(shí)現(xiàn)，那么對(duì)于 Internet 而言，一個(gè)廣泛使用的、成功的標(biāo)識(shí)解決方案需要一個(gè)不同的方法 — 它能夠?qū)F(xiàn)有的和將來的標(biāo)識(shí)系統(tǒng)連接為一個(gè) identity metasystem（標(biāo)識(shí)元系統(tǒng)）。該元系統(tǒng)（或稱為系統(tǒng)的系統(tǒng)）將利用其子標(biāo)識(shí)系統(tǒng)的功能，提供它們之間的互操作性，并且為它們創(chuàng)建一個(gè)一致且直觀的用戶界面。這樣，在電腦空間方面的提升將使所有人受益，從而使 Internet 更安全，并能夠推進(jìn)電子商務(wù)的發(fā)展，抵抗 phishing 的攻擊，并解決其他數(shù)字標(biāo)識(shí)問題。在互聯(lián)網(wǎng)以外的世界里，人們需要在錢包里攜帶多種身份標(biāo)識(shí)，例如，駕駛證，或者由政府頒發(fā)的其他身份證件、信用卡或聯(lián)名信用卡（例如，飛行積分卡）。人們可以自己控制使用哪種卡，以及在任何特定的情況下顯示多少信息。同樣，標(biāo)識(shí)元系統(tǒng)使用戶能夠在訪問 Internet 資源時(shí)更加安全，并能夠進(jìn)行更好的控制。它允許用戶從他們的數(shù)字身份公文包中選擇標(biāo)識(shí)，并在接受其選擇的 Internet 服務(wù)上使用它們。該元系統(tǒng)啟用由一個(gè)標(biāo)識(shí)系統(tǒng)技術(shù)（該技術(shù)可用在基于不同技術(shù)的系統(tǒng)中）提供的標(biāo)識(shí)，前提是存在一個(gè)中間媒介，它了解兩端的技術(shù)并且可以安全地進(jìn)行所需的轉(zhuǎn)換。需要注意的是，該標(biāo)識(shí)元系統(tǒng)不會(huì)與它所連接的標(biāo)識(shí)系統(tǒng)沖突，也不會(huì)取代它們。另外，它所扮演的角色類似于網(wǎng)際協(xié)議 (IP) 在網(wǎng)絡(luò)領(lǐng)域中的角色。在上世紀(jì)七十年代和八十年代初（當(dāng)時(shí)還沒有發(fā)明 IP），分布式應(yīng)用程序必須清楚地了解網(wǎng)絡(luò)連接，不論是 Ethernet、Token Ring、ArcNet、X.25 還是 Frame Relay。但是，IP 通過提供一個(gè)技術(shù)獨(dú)立的元系統(tǒng)改變了這種局面，該系統(tǒng)使應(yīng)用程序脫離了復(fù)雜的單個(gè)網(wǎng)絡(luò)技術(shù)，從而提供了無縫的互連性，以及一個(gè)用于將未來的網(wǎng)絡(luò)（802.11 無線網(wǎng)絡(luò)）包含在該網(wǎng)絡(luò)元系統(tǒng)中的平臺(tái)。同樣，標(biāo)識(shí)元系統(tǒng)的目的是連接單個(gè)標(biāo)識(shí)系統(tǒng)（從而允許在它們之間進(jìn)行無縫互操作），提供具有技術(shù)獨(dú)立的標(biāo)識(shí)表示形式的應(yīng)用程序，并為它們提供一個(gè)更好的、更一致的用戶體驗(yàn)。該元系統(tǒng)永遠(yuǎn)不會(huì)與它連接的標(biāo)識(shí)系統(tǒng)發(fā)生沖突或者取代它們，相反，它要依賴 這些單個(gè)系統(tǒng)來為它工作！

返回頁(yè)首不同場(chǎng)合中的標(biāo)識(shí)功能人們?cè)诂F(xiàn)實(shí)世界中持有的身份標(biāo)識(shí)有各種形式，比較重要的有出生證、護(hù)照和駕駛證等，比較普通的有名片或咖啡積分卡等。人們?cè)诓煌膱?chǎng)合中使用不同形式的身份標(biāo)識(shí)。標(biāo)識(shí)必須在正確的場(chǎng)合中使用。不在相應(yīng)的場(chǎng)合中使用正確的標(biāo)識(shí)通常不會(huì)產(chǎn)生所需的結(jié)果。例如，試圖使用咖啡卡出境很顯然不適合。另一方面，在 ATM 上使用銀行卡，在邊境使用政府發(fā)行的 ID，在咖啡臺(tái)使用咖啡積分卡，以及在 MSN Hotmail 上使用 Passport Network（以前是 .NET Passport）帳戶顯然合情合理。在某些情況下，區(qū)別不是很明顯。您的確可以在 ATM 上使用政府頒發(fā)的 ID 而不使用銀行卡，但這樣政府就會(huì)了解每一筆金融交易，很多人將會(huì)為此感到不舒服。您可以將社會(huì)保險(xiǎn)號(hào)碼用作學(xué)生的 ID 編號(hào)，但是它有暴露隱私的傾向甚至?xí)L(zhǎng)身份竊取。而且您可以在一些非 Microsoft 站點(diǎn)使用 Passport 帳戶，但沒幾個(gè)站點(diǎn)選擇啟用它；即使有站點(diǎn)啟用它，也很少有用戶這樣做，因?yàn)樗麄冇X得 Microsoft 不可能參與這些交互。通過研究 Passport 體驗(yàn)以及行業(yè)中的其他數(shù)字標(biāo)識(shí)方案，可以使我們與大量行業(yè)專家聯(lián)合制定一些原則，我們相信這些原則對(duì)于一個(gè)成功的、得到廣泛應(yīng)用且持久不衰的數(shù)字標(biāo)識(shí)系統(tǒng)而言是十分重要的。我們稱這些為原則為“標(biāo)識(shí)規(guī)則”。

返回頁(yè)首標(biāo)識(shí)規(guī)則“標(biāo)識(shí)規(guī)則”旨在制定一組基礎(chǔ)原則，任何廣泛應(yīng)用的、可支持的標(biāo)識(shí)體系結(jié)構(gòu)都必須遵循這些原則。通過一個(gè)長(zhǎng)期運(yùn)行、開放式且持續(xù)的 Internet 會(huì)話，來提出這些“規(guī)則”并對(duì)它們進(jìn)行討論和完善?？偠灾?，這些“規(guī)則”可以定義標(biāo)識(shí)元系統(tǒng)的體系結(jié)構(gòu)。這些規(guī)則包括：1.User Control and Consent：標(biāo)識(shí)系統(tǒng)只能在爭(zhēng)得用戶同意的情況下顯示標(biāo)識(shí)用戶身份的信息。2.Minimal Disclosure for a Constrained Use：標(biāo)識(shí)系統(tǒng)必須盡可能少地公布標(biāo)識(shí)信息，因?yàn)檫@是最穩(wěn)妥的長(zhǎng)期解決方案。3.Justifiable Parties：標(biāo)識(shí)系統(tǒng)的設(shè)計(jì)原則為：標(biāo)識(shí)信息的顯示僅限于在給定標(biāo)識(shí)關(guān)系中具有必需且正當(dāng)身份的一方（或若干方）。4.Directed Identity：通用的標(biāo)識(shí)系統(tǒng)必須既支持“全向”標(biāo)識(shí)符以供公眾使用，又要支持“單向”標(biāo)識(shí)符以供個(gè)人使用，從而可以更容易地發(fā)現(xiàn)不必要的隱私關(guān)系泄漏。5.Pluralism of Operators and Technologies：通用的標(biāo)識(shí)系統(tǒng)解決方案必須啟用并使用多個(gè)標(biāo)識(shí)提供程序運(yùn)行的多種標(biāo)識(shí)技術(shù)的互操作。6.Human Integration：標(biāo)識(shí)系統(tǒng)必須將用戶定義為分布式系統(tǒng)的組件，該系統(tǒng)通過一些明確的人機(jī)通訊機(jī)制集成，這些機(jī)制能夠防止針對(duì)識(shí)別的攻擊。7.Consistent Experience Across Contexts：統(tǒng)一的標(biāo)識(shí)元系統(tǒng)必須在通過多個(gè)操作方和技術(shù)啟用環(huán)境分離時(shí)，確保其用戶具有簡(jiǎn)單、一致的體驗(yàn)。有關(guān)更多信息，請(qǐng)參閱標(biāo)識(shí)規(guī)則白皮書。要加入有關(guān)“標(biāo)識(shí)規(guī)則”的討論，請(qǐng)?jiān)L問www.identityblog.com。

返回頁(yè)首標(biāo)識(shí)元系統(tǒng)中的角色不同的人以不同的方式參與該元系統(tǒng)。元系統(tǒng)中的三個(gè)角色是：?Identity Providers（標(biāo)識(shí)提供方），提供數(shù)據(jù)標(biāo)識(shí)。例如，信用卡提供方可能提供啟用支付功能的標(biāo)識(shí)，商家可能為顧客提供標(biāo)識(shí)，政府可能為市民提供標(biāo)識(shí)，而個(gè)人可能在某些情況下使用自己注冊(cè)的標(biāo)識(shí)，例如登錄 Web 站點(diǎn)。?Relying Parties（依賴方），需要標(biāo)識(shí)。例如，一個(gè)利用由其他方所提供標(biāo)識(shí)的 Web 站點(diǎn)或在線服務(wù)。?Subjects（主體），對(duì)其做出聲明的個(gè)體和其他實(shí)體。例如，最終用戶、公司和組織。?在許多情況下，元系統(tǒng)中的參與方會(huì)扮演一個(gè)以上的角色，通常是三個(gè)角色兼具。

返回頁(yè)首標(biāo)識(shí)元系統(tǒng)的組成部分要生成一個(gè)標(biāo)識(shí)元系統(tǒng)，需要具備以下五個(gè)要素：1.一種使用聲明表示標(biāo)識(shí)的方式2.一個(gè)使標(biāo)識(shí)提供方、依賴方和主體之間進(jìn)行協(xié)商的方法3.一個(gè)用于獲取聲明和要求的封裝協(xié)議4.一個(gè)使用聲明轉(zhuǎn)換為技術(shù)和組織邊界建立關(guān)系的方法5.一種跨多種環(huán)境、技術(shù)和操作方的一致的用戶體驗(yàn)基于聲明的標(biāo)識(shí)數(shù)字標(biāo)識(shí)包含有關(guān)標(biāo)識(shí)主體的聲明集，其中“聲明”是有關(guān)其發(fā)行方斷言為有效的主體的信息。這類似于現(xiàn)實(shí)世界中使用的標(biāo)識(shí)。例如，駕駛證上的聲明可能包括發(fā)行地區(qū)、駕駛證編號(hào)、姓名、地址、性別、出生日期、器官捐贈(zèng)者狀況、簽名、照片、準(zhǔn)駕車型以及關(guān)于駕駛權(quán)限的限制。發(fā)行地區(qū)斷言這些聲明是有效的。信用卡上的聲明可能包括發(fā)行方的標(biāo)識(shí)、持卡人姓名、賬號(hào)、失效日期、驗(yàn)證碼和簽名?？òl(fā)行方斷言這些聲明是有效的。自發(fā)行標(biāo)識(shí)的聲明（其中標(biāo)識(shí)提供方和主體是同一實(shí)體）可能包括主體的姓名、地址、電話號(hào)碼、電子郵件地址，或者僅為一個(gè)秘密一般描述。對(duì)于自發(fā)行標(biāo)識(shí)，主體斷言這些聲明是有效的。協(xié)商協(xié)商使元系統(tǒng)中的參與方能夠就如何在元系統(tǒng)中互相連接達(dá)成所需的協(xié)定。協(xié)商用于確定可相互接受的技術(shù)、聲明和要求。例如，如果一方理解 SAML 和 X.509 聲明，而另一方理解 Kerberos 和 X.509 聲明，則雙方將進(jìn)行協(xié)商并確定在彼此之間使用 X.509 聲明。另一種類型的協(xié)商確定依賴方所需的聲明是否可以由一個(gè)特定的標(biāo)識(shí)提供。這兩種協(xié)商都是簡(jiǎn)單的匹配練習(xí)；它們將一方可以提供的內(nèi)容與另一方需要的內(nèi)容加以對(duì)比，以便確定它們是否匹配。封裝協(xié)議封裝協(xié)議提供一個(gè)技術(shù)中立的方式，以便在主體、標(biāo)識(shí)提供方和依賴方之間交換聲明和要求。確定交換內(nèi)容和交換含義的操作由參與方進(jìn)行，而不是由元系統(tǒng)進(jìn)行。例如，封裝協(xié)議將允許應(yīng)用程序檢索 SAML 編碼的聲明，而不必了解或?qū)崿F(xiàn) SAML 協(xié)議。聲明轉(zhuǎn)換程序聲明轉(zhuǎn)換程序通過將一個(gè)系統(tǒng)了解的聲明轉(zhuǎn)換為另一個(gè)系統(tǒng)了解并信任的聲明，在為組織和技術(shù)邊界之間建立起聯(lián)系，從而使大量客戶端和服務(wù)器避免了聲明計(jì)算的復(fù)雜工作。聲明轉(zhuǎn)換程序也可能轉(zhuǎn)換或精煉聲明的語法。例如，一個(gè)聲明斷言“Is an employee”可能轉(zhuǎn)換為一個(gè)新的聲明“OK to purchase book”。聲明“Born on March 22, 1960”可以轉(zhuǎn)換為聲明“Age is over 21 years”，它有意提供較少的信息。聲明轉(zhuǎn)換程序也可能用于更改聲明格式。例如，以某些格式（例如，X.509、Kerberos、SAML 1.0、SAML 2.0、SXIP 等等）編寫的聲明可以轉(zhuǎn)換為使用不同技術(shù)表達(dá)的聲明。聲明轉(zhuǎn)換程序提供當(dāng)前所需的互操作性，還提供了合并新技術(shù)所需的靈活性。一致的用戶體驗(yàn)許多標(biāo)識(shí)攻擊之所以成功，就是因?yàn)橛脩舯黄聊簧巷@示的某些內(nèi)容欺騙了，而不是由不安全的通訊技術(shù)造成的。例如，phishing 攻擊并不出現(xiàn)在 Web 服務(wù)器和瀏覽器之間的安全信道中（一個(gè)可能延伸數(shù)千英里的信道），而是出現(xiàn)在瀏覽器及其用戶之間的兩三英尺中。因此，標(biāo)識(shí)元系統(tǒng)尋求使用戶能夠做出考慮周全且合理的標(biāo)識(shí)決定，具體的措施是開發(fā)一致的、易于理解的集成用戶界面，從而進(jìn)行這樣的選擇。確保整個(gè)系統(tǒng)安全的一個(gè)要點(diǎn)是，呈現(xiàn)一個(gè)易于理解、可預(yù)測(cè)的用戶界面，該界面的外觀和工作方式始終保持一致，無論所使用的基礎(chǔ)標(biāo)識(shí)技術(shù)是什么。另一個(gè)要點(diǎn)是使重要的信息顯而易見 — 例如，以能夠使 spoofing 以顯而易見的方式顯示要進(jìn)行身份驗(yàn)證的站點(diǎn)標(biāo)識(shí)。必須通知用戶依賴方需要哪些個(gè)人信息及目的。這使用戶可以就是否公布該信息做出考慮周全的決定。最后，用戶界面為用戶提供一個(gè)同意公布操作的方法（如果他們同意這些條件）。

返回頁(yè)首標(biāo)識(shí)元系統(tǒng)的優(yōu)勢(shì)Microsoft 認(rèn)識(shí)到，只有參與方在元系統(tǒng)中填充了所有角色以從中獲益時(shí)，該標(biāo)識(shí)元系統(tǒng)才能得到廣泛應(yīng)用。幸運(yùn)的是，事實(shí)即如此。標(biāo)識(shí)元系統(tǒng)的主要優(yōu)勢(shì)包括：?更強(qiáng)大的用戶控制和靈活性。用戶可以決定公布多少信息，公布給誰，以及在什么情況下公布，因此可以更好地保護(hù)他們的隱私。標(biāo)識(shí)提供方和依賴方之間強(qiáng)大的雙向身份驗(yàn)證有助于解決 phishing 和其他騙術(shù)問題。標(biāo)識(shí)和相應(yīng)的個(gè)人信息能夠以多種方式安全地存儲(chǔ)和管理，包括通過用戶選擇的聯(lián)機(jī)標(biāo)識(shí)提供方服務(wù)，或者在用戶的 PC 上，或者在其他設(shè)備中，例如，安全的 USB keychain 存儲(chǔ)設(shè)備、智能卡、PDA 和手機(jī)?更安全，更易于理解的用戶體驗(yàn)。標(biāo)識(shí)元系統(tǒng)啟用一個(gè)跨多個(gè)標(biāo)識(shí)系統(tǒng)的可預(yù)測(cè)且統(tǒng)一的用戶體驗(yàn)。它擴(kuò)展到用戶并與其集成，從而有助于確保人機(jī)信道的安全。?增加了與現(xiàn)有標(biāo)識(shí)系統(tǒng)之間的“接觸”。該標(biāo)識(shí)元系統(tǒng)不會(huì)與它所連接的標(biāo)識(shí)系統(tǒng)發(fā)生沖突，也不會(huì)取代它們，而是保留用戶現(xiàn)有標(biāo)識(shí)解決方案的利用價(jià)值并建立在其基礎(chǔ)之上。它為使用現(xiàn)有標(biāo)識(shí)（例如，公司發(fā)行的標(biāo)識(shí)和聯(lián)機(jī)業(yè)務(wù)發(fā)行的標(biāo)識(shí)）提供了機(jī)會(huì)，使其可以在之前未用到的環(huán)境中使用。?促進(jìn)標(biāo)識(shí)系統(tǒng)創(chuàng)新。該標(biāo)識(shí)元系統(tǒng)使得新開發(fā)的標(biāo)識(shí)技術(shù)和系統(tǒng)更容易地得到快速、廣泛的采用。聲明轉(zhuǎn)換程序允許新系統(tǒng)參與其中，即使多數(shù)參與者不理解其本機(jī)聲明格式和協(xié)議也如此。?抵御攻擊。在黑客攻擊現(xiàn)有標(biāo)識(shí)技術(shù)之前必需使用新技術(shù)。該元系統(tǒng)使新標(biāo)識(shí)技術(shù)能夠在所需的情況下得到快速部署和應(yīng)用。?開拓新市場(chǎng)。該標(biāo)識(shí)元系統(tǒng)可以啟用所有元系統(tǒng)組件的可互操作、獨(dú)立的實(shí)現(xiàn)，這意味著市場(chǎng)前景會(huì)超出開發(fā)人員的想象。許多人會(huì)選擇投入到標(biāo)識(shí)提供商業(yè)務(wù)中。其他人將提供針對(duì)標(biāo)識(shí)的認(rèn)證服務(wù)。一些人將實(shí)現(xiàn)服務(wù)器軟件。其他人將實(shí)現(xiàn)客戶端軟件。設(shè)備制造商和手機(jī)運(yùn)營(yíng)商可以在他們的平臺(tái)上保留標(biāo)識(shí)。這會(huì)為標(biāo)識(shí)經(jīng)紀(jì)人提供很多新的商業(yè)機(jī)會(huì)，其中受信任的媒介會(huì)將聲明從一個(gè)系統(tǒng)轉(zhuǎn)換到另一個(gè)系統(tǒng)。新的商業(yè)機(jī)會(huì)有很多。當(dāng)標(biāo)識(shí)元系統(tǒng)進(jìn)行廣泛部署后，我們能得到一個(gè)更安全、更可信賴的 Internet。該元系統(tǒng)將提供 Net 十分需要的、廣為采用的標(biāo)識(shí)解決方案。該標(biāo)識(shí)元系統(tǒng)可以包括任何人或者以任何方式使用、參與或依賴于標(biāo)識(shí)的任何事物，但不僅限于現(xiàn)有的標(biāo)識(shí)系統(tǒng)、企業(yè)標(biāo)識(shí)、政府標(biāo)識(shí)、Liberty 聯(lián)盟、操作系統(tǒng)、移動(dòng)設(shè)備、聯(lián)機(jī)服務(wù)和智能卡。此外，只有創(chuàng)新者的想象力能夠左右這些可能性。

返回頁(yè)首標(biāo)識(shí)元系統(tǒng)的體系結(jié)構(gòu)：WS-* Web 服務(wù)在過去的幾年中，Microsoft 與經(jīng)一些業(yè)內(nèi)伙伴聯(lián)合開發(fā)了用于 Web 服務(wù)的可組裝、端對(duì)端的體系結(jié)構(gòu)。該體系結(jié)構(gòu)的規(guī)范集已由業(yè)界命名為WS-* Web 服務(wù)體系結(jié)構(gòu)。該體系結(jié)構(gòu)支持標(biāo)識(shí)元系統(tǒng)的需求。用于聲明轉(zhuǎn)換的封裝協(xié)議是 WS-Trust。協(xié)商是使用 WS-MetadataExchange 和 WS-SecurityPolicy 管理的。這些協(xié)議用于生成一個(gè)技術(shù)中立的標(biāo)識(shí)元系統(tǒng)，并形成該標(biāo)識(shí)元系統(tǒng)的“背板”。與其他 Web 服務(wù)協(xié)議一樣，它們也允許新標(biāo)識(shí)和技術(shù)在得到開發(fā)并為業(yè)界所采用后，合并并利用這些新標(biāo)識(shí)和技術(shù)。為了促進(jìn)廣泛采用所需的互操作性，WS-* 規(guī)范出現(xiàn)了并且提供免費(fèi)使用，它們已經(jīng)或?qū)⒁峤唤o開放標(biāo)準(zhǔn)組織并且允許在免版稅的情況下開發(fā)實(shí)現(xiàn)。通過實(shí)現(xiàn)針對(duì)上面三個(gè) WS-* 協(xié)議的支持，可以在元系統(tǒng)中利用現(xiàn)有標(biāo)識(shí)技術(shù)的部署?？晒┰到y(tǒng)使用的技術(shù)包括 LDAP 聲明架構(gòu)、X.509（用于智能卡）、Kerberos（用于 Active Directory 和 UNIX 環(huán)境），以及 SAML（在公司間聯(lián)盟方案中使用的一個(gè)標(biāo)準(zhǔn)）。標(biāo)識(shí)元系統(tǒng)體系結(jié)構(gòu)關(guān)系圖該圖顯示主體、標(biāo)識(shí)提供方和依賴方之間的關(guān)系，展示用于該元系統(tǒng)和通過該元系統(tǒng)利用的特定系統(tǒng)的一些技術(shù)。?安全令牌服務(wù)器實(shí)現(xiàn) WS-Trust 協(xié)議并提供對(duì)聲明轉(zhuǎn)換的支持。?依賴方提供要求的語句，這些語句根據(jù) WS-SecurityPolicy 規(guī)范表示并通過 WS-MetadataExchange 協(xié)議利用。?Identity Selector 實(shí)現(xiàn)一致的用戶體驗(yàn)。在由應(yīng)用程序調(diào)用后，它執(zhí)行依賴方和標(biāo)識(shí)提供方（一個(gè)或多個(gè)）之間的協(xié)商；為主體（例如，最終用戶）顯示“匹配的”標(biāo)識(shí)提供方和依賴方的標(biāo)識(shí)；獲取聲明；以及在主體的監(jiān)督下將它們提供給該應(yīng)用程序。

返回頁(yè)首Microsoft 的實(shí)現(xiàn)計(jì)劃Microsoft 計(jì)劃生成在該標(biāo)識(shí)元系統(tǒng)中填充所有角色的軟件（同時(shí)也鼓勵(lì)其他方生成填充有這些角色的軟件，包括非 Windows 平臺(tái)）。Microsoft 要實(shí)現(xiàn)以下參與該元系統(tǒng)的軟件組件：?“InfoCard”標(biāo)識(shí)選擇程序：“InfoCard”是 WinFX 組件的代號(hào)，該組件提供標(biāo)識(shí)元系統(tǒng)所需的一致用戶體驗(yàn)。它針對(duì) tampering 和 spoofing 進(jìn)行了特別的加強(qiáng)，以保護(hù)最終用戶的數(shù)字身份并維護(hù)最終用戶的控制?？蛻舳擞脩艚缑嬷械目梢暬癐nformation Card”呈現(xiàn)了由“InfoCard”管理的每個(gè)數(shù)字標(biāo)識(shí)。用戶選擇由“InfoCard”呈現(xiàn)的標(biāo)識(shí)來針對(duì)參與的服務(wù)進(jìn)行身份驗(yàn)證。?“InfoCard”簡(jiǎn)單的自發(fā)行標(biāo)識(shí)提供程序：“InfoCard”也包括一個(gè)簡(jiǎn)單的標(biāo)識(shí)提供程序，它允許單個(gè) PC 用戶創(chuàng)建并利用自發(fā)行的標(biāo)識(shí)，允許針對(duì)依賴方進(jìn)行無需密碼的強(qiáng)身份驗(yàn)證。自發(fā)行的標(biāo)識(shí)用于使用戶擔(dān)保他們自己提供的信息，這非常類似于目前用戶在 Web 站點(diǎn)上進(jìn)行注冊(cè)的情況。我們要實(shí)現(xiàn)簡(jiǎn)單的自發(fā)行標(biāo)識(shí)提供程序以幫助引導(dǎo)標(biāo)識(shí)元系統(tǒng)；我們相信某些服務(wù)類型仍將接受自發(fā)行的標(biāo)識(shí)。簡(jiǎn)單的自發(fā)行標(biāo)識(shí)提供程序中保留的標(biāo)識(shí)不會(huì)包括或存儲(chǔ)敏感的個(gè)人信息，例如，Social Security 號(hào)（或所開發(fā)的其他國(guó)家 ID 號(hào)）或信用卡號(hào)。自發(fā)行的標(biāo)識(shí)并不旨在提供托管標(biāo)識(shí)提供程序可以提供的所有功能 — 該市場(chǎng)主要面向?yàn)榭蛻籼峁┩泄軜?biāo)識(shí)解決方案的公司。?Active Directory 標(biāo)識(shí)提供程序：這是一個(gè)與 Active Directory 集成的托管標(biāo)識(shí)提供程序。它包括一個(gè)完整的策略控件集，用于管理標(biāo)識(shí)元系統(tǒng)中 Active Directory 標(biāo)識(shí)的使用。Active Directory Federation Services（Windows Server 2003 R2 提供的一個(gè)新 Active Directory 功能）是將 Active Directory 中的標(biāo)識(shí)與標(biāo)識(shí)元系統(tǒng)集成的第一步。?“Indigo”：代號(hào)為“Indigo”的 Web 服務(wù)運(yùn)行時(shí)為開發(fā)人員提供一個(gè)快速生成和部署分布式應(yīng)用程序的方式，包括標(biāo)識(shí)元系統(tǒng)中的依賴方服務(wù)。標(biāo)識(shí)元系統(tǒng)保留并充分利用現(xiàn)有標(biāo)識(shí)解決方案（包括 Active Directory 和其他標(biāo)識(shí)解決方案）的價(jià)值。Microsoft 的實(shí)現(xiàn)將通過 WS-* 協(xié)議與其他標(biāo)識(shí)選擇程序?qū)崿F(xiàn)、依賴方實(shí)現(xiàn)和標(biāo)識(shí)提供程序?qū)崿F(xiàn)完全的互操作。非 Microsoft 應(yīng)用程序?qū)⒛軌蛳?Microsoft 應(yīng)用程序一樣使用“InfoCard”管理它們的標(biāo)識(shí)。非 Windows 操作系統(tǒng)完全能夠參與我們針對(duì)本行業(yè)生成的標(biāo)識(shí)元系統(tǒng)。其他人可以在無需任何 Microsoft 軟件，無需支付 Microsoft 或無需使用任何 Microsoft 聯(lián)機(jī)標(biāo)識(shí)服務(wù)的情況下，生成元系統(tǒng)完整的端對(duì)端實(shí)現(xiàn)。

返回頁(yè)首Passport 給我們的啟示Microsoft 有關(guān)標(biāo)識(shí)最著名的成果也許就是 Passport Network 了（以前稱為 .NET Passport）。Microsoft 已經(jīng)生成了世界上最大的 Internet 身份驗(yàn)證服務(wù)并從中學(xué)到了很多，并將這些來之不易的經(jīng)驗(yàn)應(yīng)用到標(biāo)識(shí)規(guī)則、標(biāo)識(shí)元系統(tǒng)和幾個(gè)產(chǎn)品的開發(fā)之中。Passport 最初旨在解決以下兩個(gè)問題：成為用于 MSN 和 Microsoft 屬性的標(biāo)識(shí)提供程序，并成為用于 Internet 的標(biāo)識(shí)提供程序。對(duì)于第一個(gè)目標(biāo)而言它是成功的，因?yàn)槊刻煊谐^兩億五千萬個(gè)活動(dòng) Passport 帳戶和超過十億次身份驗(yàn)證。對(duì)于第二個(gè)最初目標(biāo)，通過與合作伙伴、客戶和行業(yè)不斷地接觸，我們清楚地了解到：在許多情況下，Microsoft 在某些事務(wù)（例如，公司及其客戶之間的事務(wù)）中扮演的角色并沒有意義。除了在標(biāo)識(shí)規(guī)則中向我們介紹的觀點(diǎn)之外，值得一提的是，運(yùn)營(yíng)該 Passport 服務(wù)已經(jīng)幫助 Microsoft 深入了解了大型標(biāo)識(shí)提供商所面臨的操作和技術(shù)方面的挑戰(zhàn)。這些經(jīng)驗(yàn)有助于使我們的標(biāo)識(shí)產(chǎn)品滿足大規(guī)模部署的需要。該標(biāo)識(shí)元系統(tǒng)與 Passport 的初始版本存在幾個(gè)根本差別。元系統(tǒng)不存儲(chǔ)個(gè)人信息，由單獨(dú)的標(biāo)識(shí)提供方?jīng)Q定如何存儲(chǔ)該信息以及存在何處。該標(biāo)識(shí)元系統(tǒng)不是針對(duì) Internet 的聯(lián)機(jī)標(biāo)識(shí)提供方；實(shí)際上，它為所有標(biāo)識(shí)提供方提供了一個(gè)共存且彼此競(jìng)爭(zhēng)的方式，它們?cè)谠撛到y(tǒng)中是平等的。最后，雖然 Microsoft 針對(duì)使用 Passport 初始版本的服務(wù)收費(fèi)，但是參與該標(biāo)識(shí)元系統(tǒng)將是免費(fèi)的。Passport 系統(tǒng)本身也已經(jīng)隨之得到了發(fā)展。它不再存儲(chǔ)除用戶名/密碼憑證之外的個(gè)人信息。Passport 現(xiàn)在是一個(gè)身份驗(yàn)證系統(tǒng)，它面向 Microsoft 站點(diǎn)以及那些親密的合作伙伴 — 它扮演了一個(gè)非常適合的角色，用戶和合作伙伴在使用它時(shí)會(huì)感到很舒服。Passport 和 MSN 計(jì)劃將對(duì)標(biāo)識(shí)元系統(tǒng)的支持實(shí)現(xiàn)為 MSN 及其合作伙伴的聯(lián)機(jī)標(biāo)識(shí)提供程序。Passport 用戶將獲得提高的安全性和易用性，而且 MSN Online 合作伙伴將能夠通過該標(biāo)識(shí)元系統(tǒng)與 Passport 進(jìn)行互操作。

返回頁(yè)首小結(jié)當(dāng)今的許多 Internet 問題（從 phishing 攻擊到不一致的用戶體驗(yàn)）都是因?yàn)槎鄠€(gè)數(shù)字標(biāo)識(shí)解決方案拼湊在一起所造成的，軟件開發(fā)商在缺少統(tǒng)一的數(shù)字標(biāo)識(shí)架構(gòu)系統(tǒng)的情況下內(nèi)置了這些解決方案。標(biāo)識(shí)元系統(tǒng)（如標(biāo)識(shí)規(guī)則中定義的一樣）將提供一個(gè)統(tǒng)一的數(shù)字標(biāo)識(shí)結(jié)構(gòu)，利用現(xiàn)有和將來的標(biāo)識(shí)系統(tǒng)，提供和它們之間的互操作性，并能夠?yàn)樗鼈儎?chuàng)建一個(gè)一致且簡(jiǎn)單的用戶界面?；谠跇?biāo)識(shí)規(guī)則方面的工作，Microsoft 正在與業(yè)內(nèi)的其他公司聯(lián)合生成使用已公布的 WS-* 協(xié)議的標(biāo)識(shí)元系統(tǒng)，該系統(tǒng)提供可以與這些公司生成的軟件完全互操作的 Microsoft 實(shí)現(xiàn)。我們相信，目前在聯(lián)機(jī)體驗(yàn)中存在的許多危險(xiǎn)、復(fù)雜性、煩擾和不確定性將來都會(huì)得到解決。標(biāo)識(shí)元系統(tǒng)的廣泛部署將能夠解決這些問題中的大多數(shù)，通過使聯(lián)機(jī)世界更安全、更可信且易于使用，使人們從中受益并加速連接性的長(zhǎng)期增長(zhǎng)。Microsoft 正與業(yè)內(nèi)的其他公司一起定義和部署該標(biāo)識(shí)元系統(tǒng)。我們希望您也能參與進(jìn)來！