A. 2019年的三個科技「潛力股」:5G、區塊鏈、IAM
前段時間的深圳IT領袖峰會上,億歐作為合作媒體進行了全程報道。在現場的億歐采訪中心,我們跟 科技 領域的多位大咖了解了新技術的應用現狀和前景,從中看到了三個「潛力股」,包括兩個底層技術:5G和區塊鏈,以及一個新興的企業服務市場IAM(身份管理與訪問控制)。
以下是億歐與三位嘉賓(CEG Ventures創始管理合夥人、蘇州超塊鏈創始人史興國、竹雲創始人董寧)在IT領袖峰會上的采訪內容:
王維嘉曾在在美國矽谷創辦美通無線公司,開發出了世界上第一台無線移動聯網,目前為CEG Ventures創始管理合夥人,專注投資前沿技術。
作為無線通訊領域的老兵,王維嘉並不認同2019年是5G應用的元年。首先,判斷一個技術是否到了元年有很多標准,看5G基站的數量是一個標准,但王維嘉更看重實際用戶的數量,看是否達到了百萬用戶。
「具體來說,假如某個應用只能用5G來支持,並且離不開5G,才是5G元年。就像一開始使用iPhone的用戶並不多,然而一旦你用上,你就會用下去,不會再換成諾基亞。當我們能發現這樣一個東西時候就是它的元年。目前從成熟度來講,5G還相對早期。」 王維嘉說到。
王維嘉回憶,當年在移動互聯網還沒有普及之前,有兩派說法,一派認為移動互聯網只是把搜索框放到了手機上,而另一派認為移動互聯網是完全不同的種類,但還不清楚殺手級應用是什麼。
到後來,大家才意識到移動互聯網和PC互聯網的核心區別就是:位置,手機定位催生出眾多O2O應用,以及現在的多家獨角獸公司。
在王維嘉看來,5G現在也是同樣的情況,大家看到5G的速度更快,延時更低,預見5G對於自動駕駛和遠程醫療的幫助。王維嘉認可這些應用場景,但他不認為低延時是哪個催生殺手級應用的關鍵,而殺手級的應用場景還未顯現。以個人的角度來說,他看好高網速這個特性,因為一定有新的應用是必須要高速網路才能支持的。比如VR顯示。
蘇州超塊鏈創始人史興國曾開發了第一款Sparc64位Linux系統,對操作系統國產化起到重要作用,目前致力於區塊鏈底層技術開發。
關於風口上的AI、5G、區塊鏈三個技術,史興國有他獨到的理解:「現有技術里,人工智慧解決現有產業的效率問題,從存量市場上解決問題,本質上是加深產業內涵。而5G和區塊鏈是基礎設施級別的技術,具有外延性,觸及以前從來沒有的應用范圍。」在超塊鏈創始人史國興看來,區塊鏈類似於5G,因為是基礎設施級的技術,所以很多應用場景還看不到,但他相信區塊鏈很可能比5G更早實現產業級應用。
史興國表示,作為一項底層IT技術,區塊鏈技術本身能表達價值和信用,這是區塊鏈跟資料庫的核心區別。從應用落地來看,數字貨幣是區塊鏈最早成熟的應用,只不過這種應用由於變得空心化,跟產業脫鉤,也因此不被政府鼓勵。史國興認為,區塊鏈目前還有兩個方向的應用比較有潛力,一個是供應鏈金融,一個是互聯網內容行業。
之所以是這個兩個行業,是因為當傳統業務以區塊鏈方式支持時,面臨一個問題:如何將現實數據和鏈上數據統一起來。在這個問題不解決之前,最好的落地場景就是不需要線下實體數據上鏈的,比如互聯網內容產業,本身整個產業就是在線上運作,最適合用區塊鏈做支撐。而供應鏈金融通常是面向垂直領域,可以規避到區塊鏈的弱點,追蹤資金的流向。
史興國也介紹了公司的定位,在產業鏈上,超塊鏈作為一家底層技術服務商,為客戶提供並行計算的區塊鏈應用,史興國透露,現在已經有不少公司願意根據區塊鏈的架構來挑戰公司業務,跟實體產業結合的區塊鏈應用預計最快今年下半年就會出現。
竹雲創始人董寧是個具備投資眼光的創業者,在2009年公司成立前,董寧便看到IAM(身份管理與訪問控制)這個領域的前景,「當時無疑知道了這項技術,在分析全球市場後,發現IAM當年的全球市場累計超過250億美金,並保持18%的年復合增長率。在國外,IAM市場被IBM、Oracle這類大公司占據,而國內卻是空白,現在技術上還有幾年的差距。」看到市場前景後,董寧決定投身於IAM領域。
IAM(身份管理與訪問控制)是融合多類信息安全技術對企業數據進行保護。在這個時代,企業除了網路安全、物理安全,還要確保人員許可權和應用系統的安全。比如對於新入職員工的賬號授權,以及對離職員工的賬號回收,都屬於IAM的范疇。
近兩年,數據泄露問題日益嚴峻,數據保護條例也更加完善,於是很多公司意識到要把不同的組織、數據、流程整合到一起,打通信息孤島,以管理好員工、供應商、C端用戶等人員的許可權,IAM市場順勢成長。
董寧介紹,國內IAM市場在2018年快速增長,原因就是2017年我國正式網路安全法,監管驅動了這個市場的發展。再加上各個領域都在進行數字化轉型,企業和組織都發現:IT系統的用戶邊界在擴大。除了許可權和訪問管理,IAM還可以幫組織把不同時期建設的系統快速打通,實現人員流程組織的有限整合。
關於IAM的門檻,董寧認為有兩個:一是好產品,二是對業務場景的熟悉。場景和技術的融合,才能實現有效的身份管理與訪問控制。董寧認為,隨著客戶的積累,先發者的護城河會越挖越深。
B. 訪問控制的基本原理和常見模型
訪問控制的功能及原理:
訪問控制的主要功能包括:保證合法用戶訪問受權保護的網路資源,防止非法的主體進入受保護的網路資源,或防止合法用戶對受保護的網路資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證,同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後,還需要對越權操作進行監控。因此,訪問控制的內容包括認證、控制策略實現和安全審計。
1、認證。包括主體對客體的識別及客體對主體的檢驗確認;
2、控制策略。通過合理地設定控制規則集合,確保用戶對信息資源在授權范圍內的合法使用。既要確保授權用戶的合理使用,又要防止非法用戶侵權進入系統,使重要信息資源泄露。同時對合法用戶,也不能越權行使許可權以外的功能及訪問范圍;
3、安全審計。系統可以自動根據用戶的訪問許可權,對計算機網路環境下的有關活動或行為進行系統的、獨立的檢查驗證,並做出相應評價與審計。
訪問控制的模型:
主要的訪問控制類型有3種模型:自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色訪問控制(RBAC)。
1、自主訪問控制
自主訪問控制(Discretionary Access Control,DAC)是一種接入控制服務,通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件,文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問,並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略,通常,可通過訪問控制列表來限定針對客體可執行的操作。
2、強制訪問控制
強制訪問控制(MAC)是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象,按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。
3、基於角色的訪問控制
角色(Role)是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層,表示為許可權和用戶的關系,所有的授權應該給予角色而不是直接給用戶或用戶組。
C. 身份認證、訪問控制都是對系統使用者進行認證 這兩者什麼區別啊
比如說身份認證是通過某種形式來確認某人是可以進入的;而訪問控制是給某人一個賬號,如果他想要獲取信息,是必須要登錄才能獲得的。
D. 訪問控制的訪問控制的類型
訪問控制可分為自主訪問控制和強制訪問控制兩大類。
自主訪問控制,是指由用戶有權對自身所創建的訪問對象(文件、數據表等)進行訪問,並可將對這些對象的訪問權授予其他用戶和從授予許可權的用戶收回其訪問許可權。
強制訪問控制,是指由系統(通過專門設置的系統安全員)對用戶所創建的對象進行統一的強制性控制,按照規定的規則決定哪些用戶可以對哪些對象進行什麼樣操作系統類型的訪問,即使是創建者用戶,在創建一個對象後,也可能無權訪問該對象。 基於對象的訪問控制(OBAC Model:Object-based Access Control Model):DAC或MAC模型的主要任務都是對系統中的訪問主體和受控對象進行一維的許可權管理。當用戶數量多、處理的信息數據量巨大時,用戶許可權的管理任務將變得十分繁重且難以維護,這就降低了系統的安全性和可靠性。
對於海量的數據和差異較大的數據類型,需要用專門的系統和專門的人員加以處理,要是採用RBAC模型的話,安全管理員除了維護用戶和角色的關聯關系外,還需要將龐大的信息資源訪問許可權賦予有限個角色。
當信息資源的種類增加或減少時,安全管理員必須更新所有角色的訪問許可權設置,如果受控對象的屬性發生變化,和需要將受控對象不同屬性的數據分配給不同的訪問主體處理時,安全管理員將不得不增加新的角色,並且還必須更新原來所有角色的訪問許可權設置以及訪問主體的角色分配設置。
這樣的訪問控制需求變化往往是不可預知的,造成訪問控制管理的難度和工作量巨大。所以在這種情況下,有必要引入基於受控對象的訪問控制模型。
控制策略和控制規則是OBAC訪問控制系統的核心所在,在基於受控對象的訪問控制模型中,將訪問控制列表與受控對象或受控對象的屬性相關聯,並將訪問控制選項設計成為用戶、組或角色及其對應許可權的集合;同時允許對策略和規則進行重用、繼承和派生操作。
這樣,不僅可以對受控對象本身進行訪問控制,受控對象的屬性也可以進行訪問控制,而且派生對象可以繼承父對象的訪問控制設置,這對於信息量巨大、信息內容更新變化頻繁的管理信息系統非常有益,可以減輕由於信息資源的派生、演化和重組等帶來的分配、設定角色許可權等的工作量。
OBAC訪問控制系統是從信息系統的數據差異變化和用戶需求出發,有效地解決了信息數據量大、數據種類繁多、數據更新變化頻繁的大型管理信息系統的安全管理。並從受控對象的角度出發,將訪問主體的訪問許可權直接與受控對象相關聯,一方面定義對象的訪問控制列表,增、刪、修改訪問控制項易於操作,另一方面,當受控對象的屬性發生改變,或者受控對象發生繼承和派生行為時,無須更新訪問主體的許可權,只需要修改受控對象的相應訪問控制項即可,從而減少了訪問主體的許可權管理,降低了授權數據管理的復雜性。 基於任務的訪問控制模型(TBAC Model,Task-based Access Control Model)是從應用和企業層角度來解決安全問題,以面向任務的觀點,從任務(活動)的角度來建立安全模型和實現安全機制,在任務處理的過程中提供動態實時的安全管理。
在TBAC中,對象的訪問許可權控制並不是靜止不變的,而是隨著執行任務的上下文環境發生變化。TBAC首要考慮的是在工作流的環境中對信息的保護問題:在工作流環境中,數據的處理與上一次的處理相關聯,相應的訪問控制也如此,因而TBAC是一種上下文相關的訪問控制模型。其次,TBAC不僅能對不同工作流實行不同的訪問控制策略,而且還能對同一工作流的不同任務實例實行不同的訪問控制策略。從這個意義上說,TBAC是基於任務的,這也表明,TBAC是一種基於實例(instance-based)的訪問控制模型。
TBAC模型由工作流、授權結構體、受託人集、許可集四部分組成。
任務(task)是工作流程中的一個邏輯單元,是一個可區分的動作,與多個用戶相關,也可能包括幾個子任務。授權結構體是任務在計算機中進行控制的一個實例。任務中的子任務,對應於授權結構體中的授權步。
授權結構體(authorization unit):是由一個或多個授權步組成的結構體,它們在邏輯上是聯系在一起的。授權結構體分為一般授權結構體和原子授權結構體。一般授權結構體內的授權步依次執行,原子授權結構體內部的每個授權步緊密聯系,其中任何一個授權步失敗都會導致整個結構體的失敗。
授權步(authorization step)表示一個原始授權處理步,是指在一個工作流程中對處理對象的一次處理過程。授權步是訪問控制所能控制的最小單元,由受託人集(trustee-set)和多個許可集(permissions set)組成。
受託人集是可被授予執行授權步的用戶的集合,許可集則是受託集的成員被授予授權步時擁有的訪問許可。當授權步初始化以後,一個來自受託人集中的成員將被授予授權步,我們稱這個受託人為授權步的執行委託者,該受託人執行授權步過程中所需許可的集合稱為執行者許可集。授權步之間或授權結構體之間的相互關系稱為依賴(dependency),依賴反映了基於任務的訪問控制的原則。授權步的狀態變化一般自我管理,依據執行的條件而自動變遷狀態,但有時也可以由管理員進行調配。
一個工作流的業務流程由多個任務構成。而一個任務對應於一個授權結構體,每個授權結構體由特定的授權步組成。授權結構體之間以及授權步之間通過依賴關系聯系在一起。在TBAC中,一個授權步的處理可以決定後續授權步對處理對象的操作許可,上述許可集合稱為激活許可集。執行者許可集和激活許可集一起稱為授權步的保護態。
TBAC模型一般用五元組(S,O,P,L,AS)來表示,其中S表示主體,O表示客體,P表示許可,L表示生命期(lifecycle),AS表示授權步。由於任務都是有時效性的,所以在基於任務的訪問控制中,用戶對於授予他的許可權的使用也是有時效性的。
因此,若P是授權步AS所激活的許可權,那麼L則是授權步AS的存活期限。在授權步AS被激活之前,它的保護態是無效的,其中包含的許可不可使用。當授權步AS被觸發時,它的委託執行者開始擁有執行者許可集中的許可權,同時它的生命期開始倒記時。在生命期期間,五元組(S,O,P,L,AS)有效。生命期終止時,五元組(S,O,P,L,AS)無效,委託執行者所擁有的許可權被回收。
TBAC的訪問政策及其內部組件關系一般由系統管理員直接配置。通過授權步的動態許可權管理,TBAC支持最小特權原則和最小泄漏原則,在執行任務時只給用戶分配所需的許可權,未執行任務或任務終止後用戶不再擁有所分配的許可權;而且在執行任務過程中,當某一許可權不再使用時,授權步自動將該許可權回收;另外,對於敏感的任務需要不同的用戶執行,這可通過授權步之間的分權依賴實現。
TBAC從工作流中的任務角度建模,可以依據任務和任務狀態的不同,對許可權進行動態管理。因此,TBAC非常適合分布式計算和多點訪問控制的信息處理控制以及在工作流、分布式處理和事務管理系統中的決策制定。 基於角色的訪問控制模型(RBAC Model,Role-based Access Model):RBAC模型的基本思想是將訪問許可權分配給一定的角色,用戶通過飾演不同的角色獲得角色所擁有的訪問許可權。這是因為在很多實際應用中,用戶並不是可以訪問的客體信息資源的所有者(這些信息屬於企業或公司),這樣的話,訪問控制應該基於員工的職務而不是基於員工在哪個組或是誰信息的所有者,即訪問控制是由各個用戶在部門中所擔任的角色來確定的,例如,一個學校可以有教工、老師、學生和其他管理人員等角色。
RBAC從控制主體的角度出發,根據管理中相對穩定的職權和責任來劃分角色,將訪問許可權與角色相聯系,這點與傳統的MAC和DAC將許可權直接授予用戶的方式不同;通過給用戶分配合適的角色,讓用戶與訪問許可權相聯系。角色成為訪問控制中訪問主體和受控對象之間的一座橋梁。
角色可以看作是一組操作的集合,不同的角色具有不同的操作集,這些操作集由系統管理員分配給角色。在下面的實例中,我們假設Tch1,Tch2,Tch3……Tchi是對應的教師,Stud1,Stud 2,Stud3 …Studj是相應的學生,Mng1,Mng 2,Mng 3…Mngk是教務處管理人員,那麼老師的許可權為TchMN={查詢成績、上傳所教課程的成績};學生的許可權為Stud MN={查詢成績、反映意見};教務管理人員的許可權為MngMN={查詢、修改成績、列印成績清單}。
那麼,依據角色的不同,每個主體只能執行自己所制定的訪問功能。用戶在一定的部門中具有一定的角色,其所執行的操作與其所扮演的角色的職能相匹配,這正是基於角色的訪問控制(RBAC)的根本特徵,即:依據RBAC策略,系統定義了各種角色,每種角色可以完成一定的職能,不同的用戶根據其職能和責任被賦予相應的角色,一旦某個用戶成為某角色的成員,則此用戶可以完成該角色所具有的職能。
如今數據安全成疾,蠕蟲和病毒橫行,如何提高網路安全?選擇網路訪問控制(NAC)成為必然,它能夠幫助企業網路免於多種網路安全威脅。
許多企業往往不願意實施基於角色的訪問控制。因為企業擔心冗長而復雜的實施過程,並且由於雇員訪問權要發生變化,也會對工作效率帶來副作用。完成基於角色的矩陣可能是一個需要花費企業幾年時間的復雜過程。有一些新方法可以縮短這個過程,並當即帶來好處。企業可以採用人力資源系統作為數據源,收集所有雇員的部門、職位、位置以及企業的層次結構等信息,並將這些信息用於創建每個訪問級別的角色。下一步就是從活動目錄等位置獲得當前的權利,以及與不同角色的雇員有關的數據共享。下一步,使數據標准化,確保相同角色的雇員擁有相同的訪問權。可以通過從人力資源和活動目錄、修正報告以及雇員的管理者那裡收集數據,用於檢查和糾正。基於角色的訪問控制應用與身份管理系統結合使用,可以實施管理員在自動模式中做出的變化。此過程可以在包含敏感信息的企業網路的其它應用中多次反復實施,確保訪問權的正確性。
E. 計算機系統和網路中常用的兩種訪問控制方式是什麼
訪問控制分為物理訪問控制和邏輯訪問控制;物理訪問控制,如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求,而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。
本文操作環境:windows7系統,DELL G3電腦
訪問控制分為什麼?
訪問控制可以分為兩個層次:物理訪問控制和邏輯訪問控制。 物理訪問控制如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求,而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。
訪問控制技術,指防止對任何資源進行未授權的訪問,從而使計算機系統在合法的范圍內使用。意指用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術,如UniNAC網路准入控制系統的原理就是基於此技術之上。
訪問控制通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。
訪問控制的概念及要素
訪問控制(Access Control)指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段。通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。訪問控制是系統保密性、完整性、可用性和合法使用性的重要基礎,是網路安全防範和資源保護的關鍵策略之一,也是主體依據某些控制策略或許可權對客體本身或其資源進行的不同授權訪問。
訪問控制的主要目的是限制訪問主體對客體的訪問,從而保障數據資源在合法范圍內得以有效使用和管理。為了達到上述目的,訪問控制需要完成兩個任務:識別和確認訪問系統的用戶、決定該用戶可以對某一系統資源進行何種類型的訪問。
訪問控制包括三個要素:主體、客體和控制策略。
(1)主體S(Subject)。是指提出訪問資源具體請求。是某一操作動作的發起者,但不一定是動作的執行者,可能是某一用戶,也可以是用戶啟動的進程、服務和設備等。
(2)客體O(Object)。是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體。客體可以是信息、文件、記錄等集合體,也可以是網路上硬體設施、無限通信中的終端,甚至可以包含另外一個客體。
(3)控制策略A(Attribution)。是主體對客體的相關訪問規則集合,即屬性集合。訪問策略體現了一種授權行為,也是客體對主體某些操作行為的默認。
訪問控制的功能及原理
訪問控制的主要功能包括:保證合法用戶訪問受權保護的網路資源,防止非法的主體進入受保護的網路資源,或防止合法用戶對受保護的網路資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證,同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後,還需要對越權操作進行監控。因此,訪問控制的內容包括認證、控制策略實現和安全審計。
(1)認證。包括主體對客體的識別及客體對主體的檢驗確認。
(2)控制策略。通過合理地設定控制規則集合,確保用戶對信息資源在授權范圍內的合法使用。既要確保授權用戶的合理使用,又要防止非法用戶侵權進入系統,使重要信息資源泄露。同時對合法用戶,也不能越權行使許可權以外的功能及訪問范圍。
(3)安全審計。系統可以自動根據用戶的訪問許可權,對計算機網路環境下的有關活動或行為進行系統的、獨立的檢查驗證,並做出相應評價與審計。
F. 身份認證與訪問控制的區別
身份認證—防止非法用戶進入系統;訪問控制—防止合法用戶對系統資源的非法使用。
G. 什麼是身份和訪問管理
數字身份有助於提供簡單和安全的訪問,輕松注冊服務,個性化內容等,從而有助於提高參與度、增加收入和提高滿意度。通過建立泰科雲強大而安全的數字身份,您不僅可以准確、完整地了解員工/客戶/同事,還可以確保信任和隱私。
H. 訪問控制是指確定什麼以及實施訪問許可權的過程
訪問控制是一套身份驗證和許可權管理機制,用於保證用戶是其所聲稱的身份,以及授予用戶訪問公司數據的恰當許可權。
沒有身份驗證與授權,就沒有數據安全。每一起數據泄露事件中,訪問控制總是最先被調查的策略。
無論是敏感數據意外暴露而被終端用戶不當獲取,還是敏感數據經由公開伺服器上軟體漏洞而暴露的Equifax數據泄露事件,訪問控制都是其中的關鍵部分。
只要沒有恰當實現或維護好訪問控制,其結果都有可能是災難性的。
I. 用於身份管理的區塊鏈:需要考慮的影響
隨著我們的生活越來越多地在網上度過,物理世界變得越來越數字化,身份的概念正在發生巨大變化。驗證我們是誰以及我們如何在線代表對個人和組織來說都至關重要。
人們希望對自己的身份擁有權力,並控制如何以及與誰共享他們的信息。毛球 科技 認為,組織正在面臨更高的安全威脅,同時需要在數字經濟中競爭、優化工作流程以及改善客戶和員工體驗。圍繞身份的不斷重組和不確定性只會減緩戰略創新。
身份和訪問管理( IAM )已成為管理和驗證數字身份的核心構建塊。但是,組織在IAM流程的設計和安全性方面面臨挑戰,促使他們考慮新技術。
區塊鏈不同於現有的IAM架構,因為區塊鏈本質上是分散的。DLT支持共享記錄保存,交易、身份驗證和交互通過網路而不是單個中央機構進行記錄和驗證。
隨著網路犯罪、威脅、欺詐和資產泄露事件的激增,組織在保護敏感數據、保護IT和運營基礎設施(OT)以及保護人們的身份方面發揮著至關重要的作用。許多企業IAM領導者和IT專業人士都在質疑DLT和共識技術的相關優勢和風險,毛球 科技 整理如下:
在IAM流程中使用DLT的問題涉及技術、法律、商業和文化影響。這些影響應該是支持IAM 的任何架構投資的決策過程的基礎。
在評估DLT可以在何處以及如何改進組織的IAM基礎設施和最終用戶體驗時,需要考慮下面14個因素。
公司習慣於中央和專有數據存儲的基礎設施,這為盜竊、破壞、黑客、欺詐和丟失創建了一個蜜罐。這種模式加劇了身份憑證持有者與尋求使用它們的人(包括最終用戶)之間的權力失衡。分布式身份驗證和治理有望提高效率以及個人和機構的利益,但與中心化的現狀背道而馳。
獲得許可的區塊鏈架構是一個需要關鍵考慮的因素,因為很少有企業用例可以完全公開。相反,用例需要保密性和許可權才能讀寫已知參與者的託管區塊鏈。這種區別對安全性、計算和可擴展性還有其他一些影響。
訪問級別、特權和限制會發生變化,可識別的屬性也是如此。DLT必須能夠在各種連接和物聯網環境中以最小的延遲准確處理驗證的頻率和復雜性。
用於驗證和分布式訪問的共識演算法會影響以可擴展和可持續的方式交付服務級別協議所需的速度和計算能力。這些限制推動了IAM區塊鏈的研發,並且是實施范圍不可或缺的一部分。
數字身份功能需要可移植。區塊鏈設計可以確保個人信息、可驗證性和適當的控制在用戶從一個組織過渡到另一個組織時跟隨他們。可以調整這些設計以及時促進此過程。
積累大量個人身份信息(PII)的組織面臨著新的和不斷變化的風險、法規、以隱私為重點的競爭以及消費者日益增長的不信任。DLT支持的用例——例如自我主權身份和數據最小化——通過諸如零知識證明之類的技術提供了更強大的隱私保護。信息和共享控制可以保留在最終用戶手中,而不是在數百個組織中復制和存儲PII。
存在許多身份和認證標准,包括角色、屬性、密鑰和權利。這些必須符合通常不存在的區塊鏈技術和跨鏈互操作性標准。
從集中式範式到分布式範式的轉變需要數據、API、系統和治理機制的互連和協調。這不僅發生在IT和OT資產和環境日益多樣化的大型組織中,而且發生在其他組織和生態系統合作夥伴中。
法規圍繞個人數據,從國際、聯邦和州數據保護法的拼湊到生物識別等特定領域。這些都與IAM和區塊鏈架構決策相關。例如,GDPR的被遺忘權使公民能夠刪除他們的個人信息——這一概念與將PII注冊到資料庫的不變性不一致。
不變性——無法刪除分類賬上的記錄——有利於安全,但它會影響PII的隱私。確定哪些信息保留在鏈上與鏈下對於此列表中的其他標准很重要。鏈上不變性必須平衡各方的要求和保障措施。
確保個人在任何特定時間擁有用於任何任務的正確加密密鑰需要能夠更新、撤銷和更新訪問許可權。這是一個獨特的IAM要求,DLT必須通過設計加以考慮。
IAM UX是分布式或集中式的,是數字身份、個人身份識別和個人數據控制機制的介面。雖然成功的IAM架構掩蓋了最終用戶的復雜性,但IAM UX的設計者不能忽視界面對於教育、同意、易用性和可訪問性的重要性。
隨著數據集的生成和使用規模越來越大——例如,生物識別、 情感 和基因組學——IAM領導者必須考慮當前和長期的風險和合規問題。他們應該專注於數據最小化和隱私工程技術。
新功能、設計和最佳實踐正在不斷改變IAM格局——更不用說區塊鏈、密碼學、人工智慧、網路安全、雲計算、量子計算和數字錢包等關鍵概念的突破性發展。這些都必須在設計時和實施後加以考慮。
與任何新興技術一樣,組織應該首先定義問題。然而,IAM-DLT決策不僅僅是另一項IT盡職調查工作。由於監視資本主義、權力動態、地緣政治威脅、可持續商業模式和人權問題是數字身份模型的基礎,因此IAM-DLT機會會對個人、機構和經濟產生影響。