我们可以看一下这个揭示数字身份系统成功和失败的七个必要的定律。
1.用户控制及认可
技术识别系统只能显示用户许可的用户认证信息。(博客圈讨论从这里开始......)
每一个使用系统的人对于认证原系统来讲都同样重要首先,该系统必须用方便和简单的方法提出来。但是,它必须获得所有用户的信任。
要赢得这种信任需要一个全面的考虑。该系统必须被设计为用户把握好哪些数字身份要使用,以及公布哪些信息。
该系统还必须防止欺骗,验证任何索取资料的人的身份。如果用户决定要提供身份信息,它必须准确无误地填到正确的地方。系统需要使得用户意识到哪些信息被收集起来的机制。
当他或她选择了能够追踪上网行为的身份提供商,该系统必须通知用户。
此外,它必须加强该用户是在被控制,不用关心内容,而不是任意地改变其与用户合同的感觉。这意味着要支持用户同意企业以及消费环境。关键是要保留认可的效应即使当拒绝会破坏葱丝的雇佣情况。这符合通知员工并赔偿用人单位。
用户控制法则和认可允许使用的机制,使元系统会记住用户决定,用户可以选择让他们在随后的场合自动应用。
2.被迫使用时最小披露
这揭示了披露最少的认证信息,最好地限制它的使用时最稳定最长期的解决方案(从这里开始......)
我们应该将系统建立在雇用识别信息的基础上,违反始终是可能。这种违反代表风险。为了降低风险,最好是要求信息停留在“需要知道”的基础上,并将其保留在“需要保留”的基础上。通过遵循这些做法,我们可以确保在违约的情况下损伤??尽可能的少。
识别信息的价值减小时,信息总量就会降低。因此,建有极简信息法则的系统是身份盗窃一个不太有吸引力的目标,减少进一步的风险。
通过在明确的情况下(与控制规则描述的使用政策相结合)限制使用,“需要知道”的原则的效果,在降低风险时被进一步放大。将不再有收集和保存信息以防有一天它可能被用到。
“最小识别信息”的概念应被视为意味着不仅是数量最少的债权,而且该信息最不容易识别在多个上下文中某一个人。例如,如果一个场景需要证明在一个指定的年纪,那么最好是获取和存储的年龄类表,而不是出生日期。出生日期是更可能的是与其他要求相关联,唯一标识一个物体,因此代表着非必要的“更多识别信息”。
以同样的方式,唯一标识符可以在其它环境中重复使用(例如,驾照号,社保号码等)代表“更多识别信息”,而不是与证件无关的唯一的专用标识符。在这个意义上说,请求和存储的社会安全号码承担了比分配一个随机生成的学号或员工号有更大的风险。
当这个规则失效时,众多的身份证明灾难就会发生。
我们也可以这样表达最小披露法的规则:认证信息的聚集也是在聚集风险。为了将风险降到最低,最大限度地避免聚集。
3.使成员合理化
数字标识系统必须设计成将披露识别信息限定于已给出的认证关系具有特定身份关系的必要和合理的地方。(从这里开始......)
识别系统必须使其用户在共享信息时意识到与她交流的对象。
这个调整要求适用于被披露信息者和信息的依赖方。微软验证方面的经验对于这方面很有指导作用。网民将验证视为一种登陆MSN站点的方便途径,而这些网站都高兴每天有百万人使用这种验证。然而,对于大多数微软的非MSN站点,他们的客户关系没有什么意义。用户也没有必要在他们所有的互联网活动中使用一个微软身份服务。因此,护照作为互联网的认证系统失败了。
我们将在未来的看到这个规则更多的例子。今天,一些国家的政府在考虑开发数字认证服务。这是有道理的(而且显然是合理的),在政府工作时使用政府发布的认证。但是这将关系到公民是否同意在控制访问一个家庭百科和连接消费者到她的爱好或恶习,成为“必要的和合理的”政府身份。
同样的问题将面临中介机构建立信任机构。该法的目的不是暗示了什么是可能的限制,而是勾勒出我们必须意识到的形态。
我们知道,通知和同意规则系统必须以赢得信任是可预测和“半透明”。但用户需要了解她这样做的其他原因,我们将在人力整合法看。在现实世界中,我们能够判断形势,决定了我们要披露自己。这有其合理的数字部分的类比。
每一个披露方必须向被披露方提供有关信息使用的政策声明。这项政策应包括发生在披露的信息是什么。我们可以查看披露方中定义为授予权限的政策。
任何使用政策将允许在刑事调查的情况下,各方与当局合作。但是,这并不意味着国家是认证关系的部分。当然,哪些信息将被共享应在fang。
4.针对性认证
通用认证系统必须同时为公共事项支持“全向”标识符和为私人实体支持“单向”标识符,从而有利于发现防止相关处理不必要的发布。(从这里开始......)
技术认证总是根据其他认证或者一系列的认证参考现实世界,我们可以说身份是定向的,不是定量的。一个特殊的“组标识”是所有其他(公众)身份的。其他重要的集是存在的(例如,在企业中,一个任意的域,或一个对等体组的身份)。
实体是公众拥有的不变且众所周知的认证。这些公共标识符可以被看作名人出现时的信标。信标是“全方位”(他们愿意透露在所设定的所有其他身份他们的存在)。
一个很典型的公共事实是一个网站有一个公开的URL和公开关键证书。改变一个公共URL有百害而无一利。让每个游客访问网站来验证公开关键证书是很好的。网站存在同样对大家来说是同样可以接受的:它是公开存在的。
第二个公开事实的例子是公开可见的设备,例如视频投影仪。该设备一般放在一个企业的会议室中。到会议室的人可以看到那个投影仪,操作它的可以使用数字服务。在这里所概述的想法中,它有一个全向特性。
在另一方面,访问企业网站的消费者能够使用该网站的身份指导,以决定她是否愿意与它建立关系。然后她的系统可以与该网站通过选择一个标识符建立一个“单向”的身份,与该网站并没有其他用途的关系。和不同的网站的单向身份关系将涉及制造一个完全无关的标识符。因为如此,没有任何操作可以分享在不同站点收集资料和设置进行记录。
当计算机用户进入装有上述投影仪的会议室,其全向认证可以利用来决定(根据控制规则)她是否愿意与它进行交流。如果她需要,一个短期的单向认证关系可以在计算机和事物之间提供一个安全的连接,泄露尽可能少的识别信息按照最小披露的法律建立。
蓝牙等无线技术至今为止还没有主导身份认证规则。他们为私人事例使用公共标记。这就解释了的有希望的投资者在这些领域很胶着。
公钥证书在用来识别个人隐私内容方面也有问题。它可能会很巧合地在和法律相一致时,证书也被广泛使用(即,认证公共Web站点),当涉及到识别个人并经常出错。
另一个例子涉及到RFID技术在护照和学习跟踪应用。RFID设备目前向外全向公众灯塔。这是不适合用于个人使用。
护照检测qi是公用设备,因此,应采用全向信标。但护照应该只响应可信检测。他们不应该对承载和盯住他们作为某一国家的国民的任何窃听者发出信号。已经有这样的例子,无人设备可能被这些灯标引爆。在加州,我们已经看到了第??一个正在采取纠正滥用身份方向性的立法措施。它展示了在我们之前执法者对这些事情的理解后,技术上失败的目标
5.运算和技术的多元化
通用识别系统所必须连通并使多个由不同身份提供者的身份技术内部连通。(从这里开始......)
如果一种有表达身份方式就很不错。但如果在认证中有大量的内容就不适用了。
其中一个原因永远不会有一个单一的,集中的集成系统(与元系统相反),因为在一个环境中。
与政府的服务交流时使用政府提供的数字身份是有意义的(一个简单全面的身份既不意味也不阻止个人和政府直接的)。
但在许多文化中,雇主和雇员不会觉得用政府的标识符来记录舒服。一个政府的身份可能被用来传递税收信息,它甚至是当一个人第一次聘用时所使用的。但就业方面具有足够的自主性,保证其自己的??身份免于每日通过政府开发的技术被监视。
在许多情况下,客户和个人浏览网页时会希望的隐私水平高于任何雇主提供的。
因此,谈到数字身份,它不仅包括提供身份的各个机构(包括个人本身),还有提供不同(和潜在的矛盾)的功能标识系统。
通用系统必须允许分化,同时区分识别我们每个人,在不同的环境,一个市民,一个雇员,一个消费者和一个虚拟个人。
这表明,从另一个角度看,在一个元系统中必须存在不同的身份系统。这意味着我们需要一个简单的封装协议(同意并传输事物的一种方式)。我们还需要一种方法,通过一个统一的用户体验,可以让个人和组织能够选择适当的身份提供者和特点,去了解他们的日常活动来查看信息。
通用标识元系统不一定另一个庞然大物。它必须是多中心(联合证明),也是多中状态(存在于不同的形式)。它允许身份环境出现,发展和自我管理。
像RSS和HTML的系统是很强大的,他们携带任何内容。我们需要的是身份本身也会有几个或者很多内容,但可以在一个元系统表达。
6.人力整合
通用标识元系统必须让人类成为分布式系统的一个组成部分,通过防止身份的攻击明确的人机沟通机制结合起来提供保护。(从这里开始......)
我们已经不错地完成了通过使用可能延伸数千英里的分类通道来保护Web服务器和浏览器之间的通道。但我们未能充分保护浏览器的显示和使用它的人的大脑之间的两三足通道。这个比较短的通道正在遭受来自钓鱼者和pharmers的攻击。
所以。什么身份是用户上网时使用的?传达给她的身份信息有多少li?难道我们的用户数字标识系统界面,客观的研究是有效的?目前身份信息取代了证书的形式。有研究表明证书对用户有意义么?
我们到底在做什么?不管是什么,我们必须更好地做到:识别系统必须延伸和整合人类用户。
卡尔·埃里森和他的同事们创造了术语“ceremony”来形容跨越人与控制论系统组成的混合网络从Web服务器到人脑的互动的全通道。ceremony超出了网络协议来保证通信的与用户的完整性。
这个观念要求深刻改变了用户的体验,使其成为可预测的和足够明确,以便做出明智的决定。
由于识别系统要工作在所有平台上,它必须在所有平台都是安全的。这个属性导致其安全性能不能建立在模糊的或者依赖的平台或软件是未知的或有瑕疵的基础上。
其中一个例子是美国联合航空公司“第9频道。它承载一个飞机和空中交通管制的驾驶舱之间的实时对话。此频道上的对话是非常重要的,专业和专注。参与者不与所有期望是塔和飞机的方面“聊天”。因此,即使有很多无线电噪声和静态的,飞行员和管制员还是很容易挑选出通信的确切内容。出现问题时,频道破坏的预兆标志着情况的紧急,将人的所有能力集中在理解和对危险做出反应。频道的有限符号意味着对交流的高度依赖。
我们要求身份信息交流也需要同样有限且高度可预测的形式。形式是不是“什么感觉好”之类的事情。它是预定好的。
但目前违背了我们的想法计算?在复杂和意外的情况计算时,将光和仪式排除在外不是更加先进?
这些都是有用的问题。但我们绝对搞清楚在指导我么好和谁交流或什么个人认证信息展示时,我们不需要意外的情况。
现在的问题是如何实现在系统和人类用户之间的沟通的高可靠性。在很大程度上,这通过用户测试在客观上测量。
7.跨多个环境的一致体验
在统一标识元系统必须保证同时通过多个运营商和技术,使背景的分离,它的用户有一个简单,一致的体验。
让我们想象未来,我们有一些上下文标识的选择。例如:
浏览:浏览网络自我宣称的身份(放弃没有真正的数据)
个人:我希望站点有一个持续的,但私人的关系(包括我的名字和一个长期的E-mail地址)自我身份断言
社区:与他人合作的公开身份
专业:与我的雇主合作时的公开身份
信用卡:金融机构发行的身份
市民:政府签发的身份
我们可以预期,不同的人都会有这些数字身份的不同组合。
要做到这一点,我们必须使数字身份成为实物,使他们成为“物联网”,用户可以在桌面上看到,添加和删除,选择和共享。(我们选择了“本地”的更古老的词“具体化”。)我们没有发明的图标和列表始终代表文件夹和文件,现在的电脑有什么用?我们必须做相同的数字认证。
在特定情况下什么类型的数字身份是可以接受的?可能的属性将通过从其中一个用户希望获得服务的Web服务进行指定。匹配的实物数字身份可以被显示给用户,谁可以在它们之间选择并使用它们来了解什么信息被请求了。这使用户可以控制那些被释放的东西。
不同的依赖方将需要不同类型的数字身份。下面两件事是明确的:
单一依赖方往往会希望接受一种以上的身份,
用户会想了解他或她的想法,并选择上下文最好的身份。
把所有的法则放在一起,我们可以看到,该请求,选择和无心,听者有意的身份信息必须做到的,这样双方之间的通道是安全的。用户体验还必须防止在用户同意的内容中有歧义,并且双方的理解和参与他们的建议用途。这些想法必须是一贯和明确的。跨内容的一致性是需要这种被在明确与人类系统组件通信的方式进行。
作为用户,我们需要看到我们的各种身份作为一个一体化的世界的一部分,仍然尊重我们独立的环境的需要。
联系客服
