隐私安全 云时代的身份和信任体系

现在,互联网和一些特殊的社交网络正在为世界重新定义隐私的概念。在这种情况下,隐私意味着人们有能力去控制他们的哪些信息可以被其他人所使用。

大家对隐私的概念并没有一个广泛的共识。在这个话题上,不同的文化持有不同的观点,并且隐私的含义也在与时俱进。例如,不同于英国把个人所得税都视为隐私,挪威甚至会把每一位公民的收入进行公示,这个开放性的举措可以保证公民缴纳的税务不会出现偏差,但同时却给高收入人群带来了被偷窃、绑架和勒索的风险!

因此,隐私现在是一个均衡的概念。

政府已经意识到了隐私的重要性并且为之立法,然而,这类法律主要是用于政府和组织保存个人资料时使用的,它并不能保护由于个人原因所导致的信息泄露或者是政府员工窃取资料的个人行为。

一些人在使用社交网站时毫无顾忌的泄露个人信息,而这些甚至会对他们自己造成损害。他们有意无意间所传递的信息或者发表的评论很有可能对他们的雇主们造成损失,更不用说通过公开可见的微博传播谣言了。

而信任体系同样很重要,因为它是个人和商业交易发生的基础。在某些情况下,信任体系和隐私是冲突的:骗子和犯罪者可以借口隐私而隐瞒身份或曾经的犯罪记录,这叫人如何安全地实现信任?

对于难以进行身份认证且每天都有大宗交易发生的因特网而言,信任体系应该如何有效的建立起来?一个供选择的方案是ebay网上采用的对买卖双方进行反馈评价的机制,如果一个ebay卖家一直表现得值得信任,那么他的信用评级就会上升,反之亦然!人们可以把评级排名作为选择买卖与否的重要标准。

在云时代中,没有人知道你是谁。一个有趣的对比是:真实身份也会造成威胁,而自创的非法身份ID将不再有效。

这种问题的一个解决方案就是通过基于客户端请求的身份认证来实现的,在这种方案里,一个可信的身份认证系统在整个云端发表一个关于用户身份的可信声明,这就如同我们出国需要护照一样。

身份联盟(如第三方的数字证书中心,像CA等)是一种为了组织间基于需求进行认证而诞生的技术,用户在登录到组织(或公司)的网络时将实现认证流程。当他们使用云服务时自己的身份就会传递给云端的服务器,这种方法通常使用了SAML(安全声明标记语言)和ADFS(活动目录联合服务)技术。这种技术(身份联盟)无疑是安全的,但这必须建立在两个组织间相互信任的基础上,因此也是需要法律支持的。

个体的认证是怎么样实现的呢?我们的身份证可以用于ebay的注册,通过官方认证后,ebay用户在登录时可以产生有他们详细的身份认证信息的记录。

身份和访问管理(IAM)通常用于对特殊资源的访问,而扩展的敏感内容IAM则由于能够探测到数据内容而实现对于应用数据层面的控制,当数据开始建立、被发现或传送的时候,控制就开始执行了,这种技术可以对组织信息泄露威胁及可能造成个人损失的信息公布提供足够的保护。

云提供了很多供个人和企业等机构使用的服务,但它的出现也对隐私、信任体系和身份产生了新的挑战。隐私法规和普通的各类技术并不能保护个人的操作失误,而敏感内容IAM则能够应对诸如此类的问题。