從事IAM(Identity Access Management)領域的工作已經有3年了,從一開始Linux服務器統一登錄認證的設計開發(新的PAM Module),經歷了漫長的ID Provisioning的維護、開發,中間持續地對ID Provider、Privilege Management的使用、學習和開發,時常會有停下來總結的念頭。偶然發現以前的學習筆記還有朋友瀏覽,不禁有了繼續分享的動力。而最想分享的,莫過於最近對IDoT的思考。
首先,IAM是很有趣的東東,我們平時不會在意它,而它卻陪伴了我們走過了幾千年,比如口令、虎符、腰牌啊,都是用來做身份識別的,驗證這些“信物”、識別使用者的功能,便叫作Identity Provider。而製作、發放這些“信物”的功能,叫做Identity Provisioning。“信物”驗證了、使用者識別了,身份(Identity)就有了,接下來是對訪問(Access)的控制(Privilege Management)。這一功能體系伴隨人類文明已經存在了幾千年,而在這萬物互聯的時代,它似乎要迎來新的契機。
身份識別的技術日新月異,爲了解決密碼(信物)的弊端,對使用者的識別技術不斷髮展:指紋、筆跡、視網膜虹膜、人臉,期間加入活體識別(紅外)、手機短信息(OTP)等等。而與此同時,“信物”技術也不斷體高,密碼管理、數字證書、U-Key等等。與此同時,由於頻繁而又重疊的識別認證,又催生了SSO(Single Sign On)技術,它使IAM體系日漸成熟。它與雲技術結合,發展出了IDaaS(ID as a Service)。這些技術,讓IAM日益完善,面對萬物互聯的時代,會有什麼變革呢?
IDoT的口號,來自於IoT(Internet of Things),突出ID在萬物互聯中的重要性,而這裏的ID,指的就是IAM技術。當然,這口號不是我喊的,但我認同它。爲什麼呢,舉個場景。我有一百臺IoT(共享)設備,我用電腦或者手機去登錄它們,它們如何驗證通過我?目前是通過密碼、證書或者密鑰等技術來實現。如果使用密碼,我每臺設備都要輸入(或者軟件代填),但密碼的管控卻很惱火,如果一百個都是密碼方式,要崩潰了。證書、密鑰方式,要好得多,但也沒好哪去,一把鑰匙開一百把鎖!如果鑰匙丟了、被別人偷去了怎麼辦?那這裏就需要加入使用者識別技術了,多因子身份認證(MFA)。如果我登陸一百臺都需要把這過程挨個來一遍,我也是會崩潰!怎麼辦?SSO!所以,對於IoT,我也同樣需要全套的IAM。IAM體系很適合IoT,會大程度解決IoT在身份識別、權限管理等方面的痛點。但目前的IoT,應用IAM的SSO了嗎?我看了下大多數汽車電子化應用的解決方案(車應該是很貴的設備了吧),沒看到SSO的影子(也可能是我孤陋寡聞了)。我估計,中低端的設備不會支持SSO。支持SSO,按照目前SSO的實現,就要需要處理SAML、OpenID(OAuth2)的能力,除非芯片真的被國人造成白菜價了。否者,這成本,誰願接受?同樣,高級的多因子認證,也不會應用到中低端設備上。未來在中低端設備上,如果實現SSO、如何提供多因子認證,將是在萬物互聯的時代,IAM新的變革,而IDoT將是個美好的願景。