نظرة عامة على إدارة الهوية
إدارة الهوية (IdM) هي عملية إدارة معلومات الهوية (مثل مستندات إثباتية ومعرّفات هوية ونعوت وسمات) والتحكم فيها بصورة آمنة. وتُستعمل هذه المعلومات لتمثل كيانات (مثل مقدمي خدمات ومنظمات مستعمل نهائي والناس وأجهزة الشبكة وتطبيقات وخدمات البرمجيات) في عملية الاتصالات. وقد تتعدد الهويات الرقمية لكيان واحد بغية النفاذ إلى خدمات مختلفة ذات متطلبات مختلفة، وهذه قد تكون موجودة في مواقع متعددة. وتدعم إدارة الهوية الاستيقانَ من كيان. ولأغراض قطاع تقييس الاتصالات، يمثل تأكيد كيان لهوية تفرّد ذلك الكيان في سياق معين.
وتعد إدارة الهوية مكوناً رئيسياً من مكونات الأمن السيبراني لأنها توفر القدرة على إقامة وإدامة الاتصالات الموثوقة بين الكيانات وتمكّن من النفاذ عند الترحال والنفاذ حسب الطلب إلى الشبكات والخدمات الإلكترونية. كما تمكن من منح مجموعة من الامتيازات (بدلاً من كل الامتيازات أو لا شيء) وتسهل تغيير الامتيازات إذا تغيّر دور الكيان. وإذ تعزز إدارة الهوية قدرة المنظمة على تطبيق السياسات الأمنية بتمكين مراقبة نشاط الكيان على الشبكة والتحقق منه، يمكنها أن توفر إمكانية النفاذ إلى كيانات داخل وخارج المنظمة على السواء.
وتضمن إدارةُ الهوية معلومات الهوية على نحو يدعم تحكم آمن وموثوق في النفاذ. وتتحقق هذه القدرة بتحكم المستعمل في المعلومات التي يمكن تعرّف هوية أصحابها شخصياً من خلال تشغيل واحد/إيقاف واحد، وبتمكن المستعمل من اختيار مزود هوية ينوب عنه في وظائف التحقق والتفويض، على النقيض من تقديم مستندات إثباتية لكل مقدم خدمة. وتدعم إدارة الهوية العديد من الخدمات القائمة على أساس الهوية، بما في ذلك: الإعلانات المستهدفة والخدمات الشخصية القائمة على أساس الموقع الجغرافي والاهتمامات والخدمات المستيقن منها الرامية للحد من الاحتيال وسرقة الهوية.
وتنطوي إدارة الهوية على تكنولوجيا معقدة تشمل ما يلي:
• إنشاء معلومات الهوية وتعديلها وتجميد العمل بها وحفظها وإنهاؤها؛
• الاعتراف بالهويات الجزئية التي تمثل الكيانات في سياق أو دور محدد؛
• إرساء الثقة وتقييمها بين الكيانات؛
• الحصول على معلومات عن هوية كيان (مثلاً، عن طريق مقدم هويات موثوق يتولى المسؤولية القانونية عن الحفاظ على معرّفات الهوية والمستندات الإثباتية وبعض نعوت الكيان أو كلها).
أما الإضافة على سلسلة توصيات قطاع تقييس الاتصالات X.1250 بعنوان: لمحة عامة عن إدارة الهوية في سياق الأمن السيبراني، فهي تقدم مقدمة موجزة إلى موضوع إدارة الهوية.
أعمال إدارة الهوية في قطاع تقييس الاتصالات
لئن كان النقاش ما زال دائراً حول بعض المفاهيم الأساسية والمفردات الأساسية، فإن العمل ماضٍ في عدد من المجالات في لجنة الدراسات 17 (لجنة الدراسات الرئيسية في مجال إدارة الهوية) وكذلك في لجنة الدراسات 2 (المعنية بالجوانب التشغيلية لتوفير الخدمات وإدارة الاتصالات) ولجنة الدراسات 13 (المعنية بشبكات المستقبل بما فيها شبكات الخدمة المتنقلة وشبكات الجيل التالي).
وتتولى لجنة الدراسات 2 مسؤولية الدراسات المتصلة بضمان اتساق نسق معرّفات إدارة الهوية وهيكلها وبتحديد السطوح البينية لأنظمة الإدارة لدعم توصيل معلومات الهوية ضمن الميادين التنظيمية أو فيما بينها.
أما لجنة الدراسات 13 فهي المسؤولة عن المعمارية الوظيفية لإدارة الهوية الخاصة بشبكات الجيل التالي والتي تدعم خدمات الهوية ذات القيمة المضافة والتبادل الآمن لمعلومات الهوية وتطبيق سد الثغرات/قابلية التشغيل البيني ما بين مجموعة متنوعة من أنساق معلومات الهوية. كما تتولى لجنة الدراسات 13 مسؤولية تحديد أي تهديدات تتعرض لها إدارة الهوية ضمن شبكات الجيل التالي وآليات للتصدي لها. وقد تمت الموافقة بالفعل على توصية قطاع تقييس الاتصالات Y.2720 بعنوان إطار إدارة الهوية في شبكات الجيل التالي. ويصف هذا المعيار نهج مهيكل لتصميم حلول إدارة الهوية وتحديدها وتنفيذها، ولتسهيل التشغيل البيني في بيئات غير متجانسة.
وتضطلع لجنة الدراسات 17 بمسؤولية الدراسات المتصلة بوضع نموذج عام لإدارة الهوية مستقل عن تكنولوجيات الشبكة ويدعم التبادل الآمن لمعلومات الهوية بين الكيانات. ويشمل هذا العمل أيضاً دراسة عملية اكتشاف المصادر الموثوقة لمعلومات الهوية؛ والآليات التنوعية لسد الثغرات/قابلية التشغيل البيني بين مجموعة متنوعة من أنساق معلومات الهوية؛ وتهديدات إدارة الهوية وآليات مكافحتها وحماية المعلومات التي يمكن تعرّف هوية أصحابها شخصياً (PII) ووضع آليات لضمان ترخيص النفاذ إلى هذه المعلومات عند الاقتضاء فقط. وفي سبتمبر 2009، تمت الموافقة على توصيتين لقطاع تقييس الاتصالات: X.1250 بعنوان مقدرات مرجعية للإدارة العالمية المعززة للهوية وإمكانية التشغيل البيني، و X.1251 بعنوان إطار لتحكم المستعمل في الهوية الرقمية. وبالإضافة إلى ذلك، يجري إعداد مجموعة مرجعية من التعاريف المتصلة بإدارة الهوية للمساعدة في ضمان توحيد المصطلحات واتساقها ضمن معايير إدارة الهوية في قطاع تقييس الاتصالات.
وتأسس نشاط تنسيق مشترك لإدارة الهوية (JCA-IdM) لتنسيق أعمال قطاع تقييس الاتصالات في إدارة الهوية. كما أُطلقت مبادرة المعايير الدولية لإدارة الهوية (IdM-GSI) بغية مواءمة النُهُج المختلفة في جميع أنحاء العالم إزاء إدارة الهوية والتعاون مع الهيئات الأخرى العاملة في هذا الموضوع. وتقدم لجنة الدراسات الرئيسية المعنية بإدارة الهوية معلومات مستفيضة عن أنشطة إدارة الهوية، وقد وافقت على توصيات بشأن إدارة الهوية وهي بصدد إعداد غيرها إلى جانب معلومات أخرى تتصل بأعمال إدارة الهوية.
الاستدلال الأحيائي عن بعد
يركز الاستدلال الأحيائي عن بعد على التعرّف الشخصي والاستيقان باستعمال أجهزة الاستدلال الأحيائي عن بعد في بيئات الاتصالات. وينصرف التركيز بصورة خاصة إلى كيفية تحسين التعرّف على المستعملين والاستيقان منهم باستعمال طرائق استدلال إحيائي عن بعد توفر السلامة والأمن. ويجري عمل قطاع تقييس الاتصالات بشأن هذا الموضوع بالتعاون الوثيق مع المنظمات الأخرى المعنية بوضع المعايير، وهو عمل يغطي مواضيع تشمل ما يلي: التفاعل بين الإنسان والبيئة؛ ومفاتيح الاستدلال الأحيائي الرقمية؛ وملحقات الاستدلال الأحيائي بشهادات X.509؛ والاستيقان بالاستدلال الأحيائي في شبكة مفتوحة.
الاستيقان بالاستدلال الأحيائي
يستطيع الاستدلال الأحيائي أن يدعم خدمات استيقان آمنة إلى درجة عالية، إلا أن تقييس الاستيقان بالاستدلال الأحيائي على شبكة مفتوحة يواجه عدداً من التحديات:
• فقد لا تتوفر لدى مقدمي الخدمات أية معلومات بشأن ماهية أجهزة الاستدلال الأحيائي المستعملة في بيئة المستعمل النهائي، ومستوى/إعدادات الأمن في مثل هذه الأجهزة وكيفية تشغيلها؛
• وتختلف الدقة (معدل القبول الخاطئ) المحددة بمعلمة العتبة على اختلاف منتجات الاستدلال الأحيائي. لذلك، يتعذر على مقدم الخدمة أن يدعي الحفاظ على مستوى دقة ثابت؛
• وقد تتراجع دقة التحقق بالاستدلال الأحيائي مع تقدم المستعملين النهائيين بالعمر، لأن الاستدلال الأحيائي يستخدم خصائص الجسم البشري.
وفي توصية قطاع تقييس الاتصالات X.1084 بعنوان البروتوكول العام للاستيقان بالاستدلال الأحيائي وملامح نموذج النظام العامة لأنظمة الاتصالات في شبكة مفتوحة، يرد توصيف البروتوكولات العامة للاستيقان بالاستدلال الأحيائي وملامحها العامة لأنظمة الاتصالات في شبكة مفتوحة.