有效保护系统安全 建立可信赖的身份管理

　　自由联盟（Liberty Alliance）组织的ID-FF（Identification Federation Framework，网络身份统一架构）使用户使用一个身份登录网络，然后跨机构管理其身份。ID-FF提供集成式的电子身份管理方案，能够有效防止身份盗窃事件。 　　

　　ID-FF对安全声明标记语言进行了扩展。安全声明标记语言能够跨越不同的区域、安全地交换用户信息。 　　

　　ID-FF 1.1规定了单点登录和合作伙伴之间的账户共享规则。ID-FF 1.2于2003年11月获得批准。ID-FF 1.2能够提供更丰富的身份管理功能，能够在自由联盟使用的身份域（即信任圈）中建立多方信任关系。ID-FF 1.2提供了账户链接、单点登录和保密支持，并且增加了匿名的一次性登录身份、元数据交换和成员关系。　　

　　用于匿名的一次性身份，即一次使用访问身份来获得服务，在使用短期标识符时十分有用。元数据提供了多种类型的信息，如社会保险信息、生日、驾照号、发票号或订单号，在身份提供者与业务服务提供者之间建立或交换身份信息。成员关系是相互提供可信赖信息的机构之间存在的业务关系。ID-FF 1.2帮助企业不需要第三方验证身份，就能建立身份管理系统，减少了自动管理单点登录和自注册时的费用。

　　图中展示了一位叫Jeff的用户使用在线服务时的过程。Jeff在发现符合条件的服务并得到服务提供商同意后，将自己的身份加入联盟。Jeff同意从一家抵押贷款的银行接收信息。根据自己的资格和银行发送给的待批准的承诺协议，Jeff可以使用抵押贷款核准服务提供商的服务。 　　

　　利用ID-FF 1.2，Jeff可以跨越可信赖的边界，管理自己数据，启用/取消与这家银行存在联盟关系的机构的服务。由于银行和抵押贷款提供者共享联盟化的身份管理，Jeff的用户名和简历在可信赖的区域内被分发。这就实现了控制费用、对用户互动记录的全面审计以及加强安全性和客户保密性。 　　

　　总之，ID-FF 1.2帮助企业通过合作伙伴关系，提供更复杂的基于身份的服务，帮助企业在不牺牲信任和隐私的条件下发展业务，帮助个人用户在保护私密数据的同时，可以从服务中受益。