“自由联盟”即将公开单一登录标准

因特网个人认证管理技术的标准化组织--“自由联盟计划(The Liberty Alliance Project)”将于7月中旬公开实现“单一登录(Single Sign-on)”的标准。所谓单一登录是一种能够以一个ID使用多种服务的技术。不仅能够省去管理多个ID及密码的麻烦，而且作为今后“Web服务”必需的重要技术正在受到人们的广泛关注。

自由联盟是于去年9月由美国Sun Microsystems倡导设立的。目前，成员企业已达40多家，其中包括美国RSA安全公司、美国在线时代华纳、索尼和NTT DoCoMO等。就自由联盟的目标等问题，日前本刊记者采访了RSA安全公司技术部门副总裁、在该组织中担任架构小组主席一职的斯拉巴·卡夫桑(音)。

自由联盟的目标是？

自由联盟的目标是提供一种Web服务基础技术，以便因特网上的多个服务能够自动合作运行。比如可以通过Web服务将航空公司、宾馆、出租车公司等多个站点连接起来，根据用户指定的条件自动实现机票、宾馆及出租车的预约。只需登录一个站点，多个站点的服务就会自动连接起来作为同一个服务来使用。

要实现这种构想，就需要使加入这种Web服务的各企业共享用户输入的ID及密码，并分别认证用户的身份。而且，除了ID等信息之外，如果能够进一步共享性别及年龄等用户属性，就有望提供更高质量的服务。自由联盟正在制定旨在实现上述服务的技术标准。

具体来讲，这种标准是？

首先，作为第一阶段，将于7月中旬公开实现“单一登录”的技术标准。这是一种能够用单个ID使用多种服务的结构。但是，就象微软的“.NET”战略一样，并不是发布任何站点都通用的ID与密码，而是提供这样一种机制：各参与这种Web服务的站点均持有将各企业发行的ID及密码分别对应起来的表格(对应表)的数据库。

第一阶段将不包括作为Web服务在各站点间自动交换ID及口令的结构。首先亮相的将是集团公司及合作企业等能够相互信赖的企业伙伴之间实现单一登录的“Circle of Trust(信赖圈)”。接着这种信赖圈将会逐渐层叠，最终在更大的企业联盟间实现单一登录服务。

如果将个人信息的共享纳入视野的话，会不会出现隐私方面的问题？

关于在站点间自动交换数据的结构以及在多个服务中共享年龄、性别等用户属性的结构，将在第2阶段之后的标准中提供。但是，个人隐私是非常重要的问题，目前正在反复谨慎地探讨何种人能够访问何种级别的个人信息，以及如何将此纳入系统等问题。另外，除了这种个人隐私方面的问题之外，实际运用过程中，各种服务共享个人信息时，由谁承担成本等业务模式也是一个很重要的问题。