ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΑΤΡΩΝ ΔΙΔΑΚΤΟΡΙΚΗ ΔΙΑΤΡΙΒΗ

Transcript

1 ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΑΤΡΩΝ ΠΟΛΥΤΕΧΝΙΚΗ ΣΧΟΛΗ ΤΜΗΜΑ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ & ΤΕΧΝΟΛΟΓΙΑΣ ΥΠΟΛΟΓΙΣΤΩΝ ΔΙΔΑΚΤΟΡΙΚΗ ΔΙΑΤΡΙΒΗ «Σχεδιασμός και υλοποίηση συστήματος διαχείρισης και ενοποίησης διαφορετικών ταυτοτήτων» ΛΑΜΠΡΟΠΟΥΛΟΣ Α. ΚΩΝΣΤΑΝΤΙΝΟΣ ΔΙΠΛΩΜΑΤΟΥΧΟΣ ΗΛΕΚΤΡΟΛΟΓΟΣ ΜΗΧΑΝΙΚΟΣ & ΤΕΧΝΟΛΟΓΙΑΣ ΥΠΟΛΟΓΙΣΤΩΝ ΑΡΙΘΜΟΣ ΔΙΔΑΚΤΟΡΙΚΗΣ ΔΙΑΤΡΙΒΗΣ: 282 ΠΑΤΡΑ ΔΕΚΕΜΒΡΙΟΣ 2011

2

3

4 2

5 Ευχαριστίες Διδακτορική Διατριβή Λαμπρόπουλος Κωνσταντίνος 3 Θα ήθελα να ευχαριστήσω όλους εκείνους που με στήριξαν με οποιονδήποτε τρόπο κατά την εκπόνηση του διδακτορικού μου. Οι άνθρωποι αυτοί είναι πολύ περισσότεροι από όσους μπορώ να αναφέρω σε αυτές τις λίγες γραμμές ενώ σίγουρα υπάρχουν και εκείνοι που την συνεισφορά τους ακόμα δεν την γνωρίζω, ίσως δεν την έχω κατανοήσει πλήρως. Ιδιαίτερες ευχαριστίες θα πρέπει αρχικά να δώσω στην οικογένεια μου. Στους γονείς μου Αποστόλη και Ελένη, και στις αδερφές μου Βάσω και Ιωάννα. Όχι μόνο για την στήριξή τους κατά την διάρκεια της διατριβής, αλλά για την διορατικότητά τους, την υπομονή τους, τον κόπο και θυσίες που έκαναν ώστε να φτάσουμε όλοι μαζί σε ακόμα μια «Ιθάκη». Εν συνεχεία θέλω να ευχαριστήσω τον επιβλέποντα καθηγητή μου κ. Δενάζη Σπύρο για την καθοδήγηση και τις πολύτιμες συμβουλές του καθόλη την διάρκεια της εκπόνησης του διδακτορικού μου. Η υποστήριξή του δεν περιορίστηκε μόνο στα τεχνικά θέματα της διατριβής αλλά είχε ως γενικότερο στόχο την εκπαίδευση, την δημιουργία δυνατού χαρακτήρα απέναντι σε οποιαδήποτε δυσκολία. Εδώ θα ήθελα να αναφέρω ένα από τα σημαντικότερα μαθήματα ζωής που πήρα από τον κ. Δενάζη: «όσο ποιο δύσκολος είναι ο δρόμος, τόσο σημαντικότερο είναι το ταξίδι». Θέλω επίσης να ευχαριστήσω και τους υπόλοιπους δασκάλους μου, όλους αυτούς που γνώρισα και συνάντησα μέχρι σήμερα. Ανάμεσα σε όλους θέλω να αναγνωρίσω την βοήθεια που πήρα από τον Κώστα και τον Μηνά. Οι φίλοι μου. Πολλοί, διαφορετικοί, ξεχωριστοί. Ο καθένας με τον δικό του τρόπο, μου έδωσε όσο χρειαζόταν κάθε φορά για να πάμε λίγο παραπέρα. Τους ευχαριστώ από τα βάθη της καρδιάς μου. Τέλος, θέλω να ευχαριστήσω την Αμαλία, ίσως λίγο περισσότερο από όλους. Έδωσε όσο μπορούσε, κι ακόμα παραπάνω. Βοήθησε, ανέχτηκε, ξενύχτησε μαζί μου, με στήριξε όταν τα πράγματα δεν ήταν όμορφα και ας πάλευε και αυτή με το δικό της μεταπτυχιακό. Αξίζει σίγουρα ένα μεγάλο μέρος της επιτυχίας.

6 4

7 Περίληψη 1. Αντικείμενο και Περιγραφή της Διατριβής Η διδακτορική διατριβή με τίτλο «Σχεδιασμός και υλοποίηση συστήματος διαχείρισης και ενοποίησης διαφορετικών ταυτοτήτων χρηστών σε δίκτυα νέας γενιάς» πραγματεύεται την οργάνωση και διαχείριση των ταυτοτήτων των χρηστών σε ένα ενοποιημένο δικτυακό περιβάλλον αποτελούμενο από διαφορετικά δίκτυα, τεχνολογίες και υπηρεσίες. Με τον όρο ταυτότητες χρήστη ορίζουμε όλα εκείνα τα προσδιοριστικά που με κάποιο τρόπο τον περιγράφουν, τον χαρακτηρίζουν ή τον αντιπροσωπεύουν. Επειδή η συγκεκριμένη διατριβή εξετάζει αυτά τα προσδιοριστικά σε σχέση με κάποιο δίκτυο ή κάποια ψηφιακή υπηρεσία, τα τελευταία αναφέρονται και ως ψηφιακές ταυτότητες. Θα επίσης να σημειωθεί πως ο όρος «δίκτυα νέας» ή «επόμενης γενιάς» περιγράφει την εξέλιξη των σημερινών δικτύων και τη συμμετοχή τους σε ένα ενοποιημένο δικτυακό περιβάλλον, επονομαζόμενο και ως Μελλοντικό Διαδίκτυο. Η παρούσα διατριβή, αρχικά εξετάζει τις προτεινόμενες αρχιτεκτονικές του Μελλοντικού Διαδικτύου και τις υπηρεσίες που σχεδιάζονται με βάση αυτό. Παρότι η τελική αρχιτεκτονική του Μελλοντικού Διαδικτύου, δεν έχει ορισθεί ακόμα, υπάρχουν μια σειρά από χαρακτηριστικά, που είναι κοινώς αποδεκτά. Ανάμεσα σε αυτά είναι η παροχή ενοποιημένων υπηρεσιών πάνω από μια ανομοιογενής βάση πολλαπλών δικτύων διαφορετικής τεχνολογίας και αρχιτεκτονικής. Για να επιτευχθεί όμως αυτή η ενοποίηση, πρέπει να αντιμετωπιστούν μία σειρά από προβλήματα τεχνολογικά, ασφάλειας, εμπιστοσύνης, οργάνωσης, διαχείρισης κ.τ.λ.. Ανάμεσα σε αυτά τα προβλήματα η συγκεκριμένη διδακτορική διατριβή ασχολήθηκε με την επίλυση της Διαχείρισης Ψηφιακών Ταυτοτήτων (Identity Management IdM). Σε πρώτη φάση, εξετάστηκαν παραδείγματα στα οποία έχουν ήδη αρχίσει να φαίνονται τα πρώτα σημάδια μετάβασης των σημερινών δικτύων στο Μελλοντικό Διαδίκτυο. Αναλύθηκαν μία σειρά από περιπτώσεις όπου πολλαπλά και διαφορετικά πλαίσια (διοικητικές περιοχές και δίκτυα) συνεργάζονται με σκοπό την παροχή πρωτοποριακών ενοποιημένων υπηρεσιών στους τελικούς χρήστες τους. Σε αυτές τις υπηρεσίες εντοπίστηκαν οι τεχνικές που έχουν σχεδιαστεί για την διαχείριση των ψηφιακών ταυτοτήτων και των προσωπικών δεδομένων των χρηστών, τα προβλήματα που προσπαθούν να αντιμετωπίσουν, και οι απαιτήσεις των προτεινόμενων συστημάτων. 5

8 6 Με βάση την παραπάνω ανάλυση, παρατηρήσαμε πως οι προτεινόμενες λύσεις σχεδόν στο σύνολό τους είναι προσαρμοσμένες σε στενά πλαίσια και λειτουργικές μόνο υπό συγκεκριμένες συνθήκες. Αυτό συμβαίνει για δύο λόγους. Το πρόβλημα γίνεται εξαιρετικά πολύπλοκο όταν μεγαλώνει ο αριθμός των εμπλεκόμενων μερών. Όσο μεγαλύτερος είναι ο αριθμός των διαφορετικών πλαισίων (δικτύων, υπηρεσιών κ.α.) που καλούνται να συνεργαστούν για την παροχή μιας ενοποιημένης υπηρεσίας, τόσο πιο δύσκολο είναι να σχεδιαστούν κοινές διαδικασίες και πρωτόκολλα που εξυπηρετούν όλα τα εμπλεκόμενα μέρη. Κάθε περίπτωση είναι προσαρμοσμένη σε διαφορετικές απαιτήσεις. Οποιαδήποτε συνεργασία μεταξύ παρόχων, δικτύων, κ.τ.λ. είναι το αποτέλεσμα κάποιας εμπορικής συμφωνίας με σκοπό το σχεδιασμό και παροχή κάποιας υπηρεσίας και όχι την λύση τεχνικών προβλημάτων των δικτύων. Έτσι κάθε μια από τις σχηματιζόμενες συνεργασίες είναι βασισμένη σε διαφορετικές απαιτήσεις και λειτουργίες. Το αποτέλεσμα είναι να προτείνεται κάθε φορά και ένα διαφορετικό σύστημα «διαχείρισης ψηφιακών ταυτοτήτων». Η συνολική αντιμετώπιση του προβλήματος λοιπόν παρέμενε ένα ανοιχτό θέμα που έως τώρα δεν είχε αντιμετωπιστεί επιτυχώς. Παρότι στην πλειοψηφία τους οι παραπάνω λύσεις υποστηρίζουν πως είναι επεκτάσιμες και λειτουργικές σε παγκόσμια κλίμακα, η αλήθεια είναι ότι αυτό συμβαίνει μόνο υπό συγκεκριμένες συνθήκες. Τέτοιες συνθήκες είναι η εφαρμογή νέου τύπου παγκόσμιων προσδιοριστικών (π.χ. Open-ID, VID, XID) ή η δημιουργία εξαιρετικά μεγάλων ομοσπονδιών εμπιστοσύνης που θα μπορούν να συμπεριλάβουν πολλαπλά δίκτυα διαφορετικού σκοπού κ.τ.λ. Βλέποντας πως καμία από τις υπάρχουσες προσεγγίσεις δεν είναι ικανή να υποστηρίξει ένα Μελλοντικό Διαδίκτυο ενοποιημένων δικτύων και υπηρεσιών, εξετάσαμε το θέμα από μια διαφορετική προοπτική. Απορρίψαμε ιδέα της δημιουργίας μίας κοινής λύσης για όλες τις διαφορετικές περιπτώσεις και προτείναμε τον σχεδιασμό ενός συστήματος που θα έχει ως σκοπό να βοηθάει τα εκάστοτε πλαίσια (δίκτυα, ομοσπονδίες, παρόχους κ.τ.λ.) να αντιμετωπίζουν μόνα τους κάθε φορά τα προβλήματα διαχείρισης ταυτοτήτων που παρουσιάζονται στις υπηρεσίες τους.

9 7 Για να επιτευχθεί αυτό, αποσυνθέσαμε το πολύπλοκο πρόβλημα ώστε να καταλήξουμε στον κοινό παρονομαστή όλων των περιπτώσεων, και σε εκείνες τις διαδικασίες που θα μπορούν να υποστηρίξουν κάθε κατάσταση. Το αποτέλεσμα ήταν να καθοριστεί η κοινή βάση του προβλήματος, που προκύπτει από την αδυναμία των σημερινών δικτύων να μπορούν δυναμικά να ανακαλύψουν τα δεδομένα ταυτότητας που χρειάζονται μια δεδομένη χρονική στιγμή για την ολοκλήρωση μιας υπηρεσίας, και να καθορίσουν ποια είναι αυτά τα δεδομένα. Πρέπει να σημειωθεί ότι η τελική ανταλλαγή των δεδομένων αυτών, δεν αποτελεί μέρος της κοινής βάσης, αφού πλέον εξαρτάται από τις απαιτήσεις, χαρακτηριστικά και τα δεδομένα της εκάστοτε περίπτωσης ξεχωριστά. Έχοντας πλέον καθορίσει το πρόβλημα, προχωρήσαμε στο σχεδιασμό του συστήματος για την αντιμετώπισή του. Αυτό το σύστημα θα έπρεπε πρώτα από όλα να πληροί τις αυστηρές απαιτήσεις ενός παγκόσμιου συστήματος «διαχείρισης ψηφιακών ταυτοτήτων», όπως για παράδειγμα ασφάλεια, εμπιστοσύνη, ιδιοαπόρρητο, απόδοση, επεκτασιμότητα κ.α. Βασισμένοι λοιπόν στα παραπάνω χαρακτηριστικά σχεδιάστηκε το DIMANDS. Το DIMANDS είναι ένα δυναμικό σύστημα που μπορεί να διασυνδέσει και να οργανώσει όλες τις ταυτότητες που ένας χρήστης διατηρεί ως μέλος των διάφορων οργανώσεων (κυβερνητικών, εφαρμογές, υπηρεσίες και προμηθευτές δικτύων κ.λπ.). Ενεργεί ως ένας ανεξάρτητος, κλειστός μηχανισμός που μπορεί εσωτερικά να αναγνωρίσει και να διαχειριστεί ταυτότητες και πληροφορίες ανεξαρτήτου στρώματος. Ο μηχανισμός ανακάλυψης δεδομένων που χρησιμοποιεί είναι σε θέση να αναζητήσει πληροφορίες σε πολλαπλές πηγές για διαφορετικούς τύπους ταυτοτήτων και ιδιοτήτων ταυτότητας. Η ανάγκη για απόλυτη μυστικότητα λόγω των κρίσιμων ζητημάτων ασφάλειας και ιδιοαπορρήτου που προκύπτουν από την προτεινόμενη ενοποίηση ταυτοτήτων αντιμετωπίζεται μέσω ενός ισχυρού μηχανισμού κρυπτογράφησης που αλλάζει την μορφή των πραγματικών ταυτοτήτων και αποκρύπτει τους συσχετισμούς τους, αποτρέποντας έτσι την παρακολούθηση από κακόβουλα τρίτα μέρη και την συλλογή προσωπικών στοιχείων. Το σύστημα DIMANDS έρχεται να καλύψει το κενό της ανακάλυψης ψηφιακών ταυτοτήτων και δεδομένων ταυτότητας, σε οποιοδήποτε δίκτυο ή πλαίσιο κι αν

10 8 βρίσκονται αποθηκευμένες, χωρίς να περιορίζεται από οποιουδήποτε είδους τεχνολογικά ή διοικητικά πλαίσια δικτύων. Δεν εισάγει νέες παγκόσμιες ταυτότητες και έτσι δεν επηρεάζει τις εσωτερικές διαδικασίες των σημερινών δικτύων και υπηρεσιών. Ουσιαστικά δημιουργεί δυναμικές γέφυρες επικοινωνίας μεταξύ καταναλωτών ταυτοτήτων 1 και παραγωγών ταυτοτήτων 2 χωρίς να υπάρχει η ανάγκη ενοποίησης ή δημιουργίας μόνιμων δίαυλων επικοινωνίας ανάμεσα σε όλα τα υπάρχοντα δίκτυα. Όσον αφορά το τεχνικό μέρος, το προτεινόμενο σύστημα στηρίζεται σε μία αρχιτεκτονική τριών επιπέδων. Στα δύο πρώτα επίπεδα βρίσκονται διακεκριμένοι οργανισμοί και αρχές που έχουν ως σκοπό την οργάνωση και λειτουργία της υποδομής του. Το τρίτο και κατώτατο επίπεδο σχηματίζεται από ανεξάρτητους Διαχειριστές Ψηφιακών Ταυτοτήτων (Identity Providers IdP), που παρέχουν την οργάνωση και διαχείριση των ταυτοτήτων και των προσωπικών δεδομένων των τελικών χρηστών. Οι IdPs συνδέονται μέσω ενός καινοτόμου κατανεμημένου Hash Table (DHT). Η επικοινωνία μεταξύ των μερών του συστήματος γίνεται μέσω ασφαλών και έμπιστων συνδέσεων ενώ θα πρέπει να σημειωθεί πως στο σύστημα δεν αποθηκεύονται τα πραγματικά προσωπικά δεδομένα των χρηστών παρέχοντας έτσι τη μέγιστη δυνατή ασφάλεια και ιδιοαπόρρητο. Η συνεισφορά της διδακτορικής διατριβής και οι καινοτομίες του προτεινόμενου συστήματος συνίστανται στα παρακάτω. Το πρόβλημα της διαχείρισης ψηφιακών ταυτοτήτων σε παγκόσμια κλίμακα προσεγγίστηκε από μια καινούρια προοπτική που ως τώρα δεν είχε προταθεί από κανέναν. Αυτή η προοπτική απορρίπτει την επικρατούσα τάση να ενωθούν τα πάντα κάτω από την ίδια ομπρέλα και προτείνει την δημιουργία γεφυρών μεταξύ των υπαρχόντων πλαισίων ώστε να είναι σε θέση να αντιμετωπίζουν αυτόνομα τα εκάστοτε προβλήματά τους. Έγινε αποσύνθεση του πολύπλοκου προβλήματος ώστε να βρεθεί ένας κοινός παρονομαστής για όλες τις περιπτώσεις διαχείρισης ψηφιακών ταυτοτήτων. Βάση αυτής της διαδικασίας δημιουργήθηκε ένα σύστημα ικανό να βοηθάει 1 Ως καταναλωτής ταυτότητας ορίζεται μια οντότητα που χρειάζεται δεδομένα άμεσα συνδεδεμένα με μια ψηφιακή ταυτότητα, ώστε να ολοκληρώσει μία υπηρεσία ή δικτυακή λειτουργία. 2 Ως παραγωγός ταυτότητας ορίζεται μια οντότητα που δημιουργεί και διαχειρίζεται μια ταυτότητα και όλα τα στοιχεία που μπορεί με κάποιο τρόπο να συνδέονται με αυτή.

11 9 οποιονδήποτε χρειάζεται δεδομένα για την ολοκλήρωση μιας υπηρεσίας, να βρίσκει δυναμικά που είναι αποθηκευμένα και πώς να επικοινωνεί γι αυτά. Μία επίσης καινοτομία της προσέγγισης που πρότεινε η έρευνά μας είναι η εκμετάλλευση των ήδη υπαρχόντων συνομοσπονδιών, των πρωτοκόλλων τους και της υπάρχουσας εμπιστοσύνης τους, για την τελική ανταλλαγή των δεδομένων σε παγκόσμια κλίμακα, χωρίς να χρειάζεται αυτές να ενωθούν ή να μετασχηματιστούν. Όσον αφορά το ίδιο το σύστημα, οι καινοτομίες που εισήχθησαν ήταν αρκετές. Κατ αρχάς σχεδιάστηκε ένα μεγάλης κλίμακας σύστημα το οποίο μπορεί να ικανοποιήσει τα ιδιαιτέρως αυστηρά κριτήρια ασφάλειας, εμπιστοσύνης και ιδιοαπορρήτου των συστημάτων διαχείρισης ψηφιακών ταυτοτήτων. Το DIMANDS στηρίζει την αρχιτεκτονική σε του ένα peer to peer δίκτυο με σταθερούς κόμβους. Αυτό με την σειρά του δημιουργεί σταθερούς γείτονες που δημιουργούν μακροχρόνιες σχέσεις εμπιστοσύνης ο ένας με τον άλλον ενώ παράλληλα ορίζει «μονοπάτια εμπιστοσύνης» 3 για την μεταξύ τους ανταλλαγή μηνυμάτων. Οι γειτονικοί κόμβοι μπορούν επίσης μόνοι τους να δημιουργούν τα απαραίτητα διαπιστευτήρια που μόνο αυτοί γνωρίζουν προκειμένου να σχηματίζουν ασφαλείς συνδέσεις μεταξύ τους. Μέχρι σήμερα η δημιουργία ασφαλών συνδέσεων σε μεγάλης κλίμακας δίκτυα απαιτούσε την ύπαρξη ενός έμπιστου μέρους που θα παρήγαγε, θα διαμοίραζε και άρα θα γνώριζε τα διαπιστευτήρια όλων των εμπλεκόμενων μερών. Το DIMANDS είναι το πρώτο μεγάλης κλίμακας σύστημα διαχείρισης ταυτοτήτων που παρέχει πολύ υψηλά επίπεδα ιδιοαπορρήτου. Το μεγαλύτερο πλεονέκτημα του DIMANDS έναντι των άλλων συστημάτων, είναι ότι σε αυτό δεν αποθηκεύεται κανενός είδους πληροφορίες ή πραγματικά προσωπικά δεδομένα που μπορούν να εκθέσουν ή να οδηγήσουν στον χρήστη. Επίσης, παρότι το σύστημα ελέγχεται από οργανώσεις και αρχές, πρέπει να σημειωθεί πως ούτε αυτές έχουν πρόσβαση στα προσωπικά δεδομένα χρηστών που είναι αποθηκευμένα σε αυτό. Τέλος ακόμα μια πρωτοποριακή λειτουργία του συστήματος είναι η ικανότητά του μέσω των δυναμικών «Attributes» να προσφέρει εκτός από την βασική 3 τα μονοπάτια εμπιστοσύνης δεν είναι καινοτομία αυτής της διατριβής

12 10 λειτουργικότητά του, και εξειδικευμένες λύσεις σε άλλα συστήματα που δεν επιθυμούν να υλοποιήσουν το δικό τους σύστημα διαχείρισης ψηφιακών ταυτοτήτων. Η αξιολόγηση της απόδοσης του DIMANDS έγινε μέσω εξομοίωσης με την βοήθεια ενός ευρέως γνωστού λογισμικού εξομοίωσης δικτύων, το OPNET Modeler v.14. Για τις μετρήσεις της εξομοίωσης χρησιμοποιήσαμε πραγματικές μετρήσεις χρόνων αποστολής πακέτων από το Meridian King data set που περιέχει την κίνηση μεταξύ 2000 διάσπαρτων DNS εξυπηρετητών παγκοσμίως. Στα σενάρια εξομοίωσης θεωρούμε ότι ένας DIMANDS κόμβος δέχεται τυχαία αιτήσεις από κάποιον άλλον κόμβο στο DHT. Όταν η αίτηση καταλήξει στον προορισμό της, δημιουργείται μία απάντηση η οποία αποστέλλεται πίσω στον αρχικό κόμβο μέσω της ίδιας διαδρομής που ακολούθησε η αρχική αίτηση. Τα αποτελέσματα της εξομοίωσης επιβεβαιώνουν την αποδοτικότητα του συστήματος. Παράλληλα υλοποιήθηκε ένα δοκιμαστικό σενάριο χρήσης σε περιβάλλον ανάπτυξης λογισμικού Ruby on Rails. Σε αυτό το σενάριο παρουσιάζεται πως ένας άγνωστος χρήστης καταφέρνει με την βοήθεια του DIMANDS να αποκτήσει πρόσβαση σε μία υπηρεσία ενός ξένου παρόχου. Θα πρέπει να σημειωθεί πως τα αποτελέσματα της παρούσας διατριβής έχουν παρουσιαστεί στον ευρωπαϊκό οργανισμό European Telecommunication Standards Institute (ETSI) και πιο συγκεκριμένα στην ομάδα «Identity and access management for Networks and Services» (INS). Αποτέλεσμα αυτής της παρουσίασης είναι η συμμετοχή μας στον οργανισμό και η δημοσίευση ενός draft με τον τίτλο «INS 006 Study to Identify the need for a Global, Distributed Discovery Mechanism». Ένα δεύτερο draft με τίτλο «INS 010 Requirements of a Global, Distributed Discovery Mechanism of identities and providers and capabilities» είναι υπό συγγραφή. Ενδιαφέρον για τα συγκεκριμένα drafts έχει ήδη εκδηλώσει και η ITU-T. 2. Οργάνωση της Διατριβής Η διατριβή είναι οργανωμένη σε επτά κεφάλαια. Στο πρώτο κεφάλαιο παρουσιάζεται μία ανάλυση της έννοιας του Μελλοντικού Διαδικτύου, καθώς και των προσεγγίσεων και προτάσεων που εξετάζει η ερευνητική κοινότητα, για το σχεδιασμό της τελικής αρχιτεκτονικής του. Κλείνοντας το κεφάλαιο κάνουμε αναφορά στα μεγάλα προβλήματα που παρουσιάζονται κατά την προτεινόμενη ενοποίηση δικτύων και υπηρεσιών επικεντρώνοντας το ενδιαφέρον μας στην διαχείριση ψηφιακών ταυτοτήτων.

13 11 Στο δεύτερο κεφάλαιο αναλύουμε τις ψηφιακές ταυτότητες, τα χαρακτηριστικά τους, τις ιδιότητές τους και πως σχετίζονται με έννοιες όπως ασφάλεια, ιδιοαπόρρητο, εμπιστοσύνη κ.τ.λ.. Προχωρώντας στο τρίτο κεφάλαιο δίνουμε τον ορισμό της «Διαχείρισης Ψηφιακών Ταυτοτήτων» και περιγράφουμε πως γινόταν αυτή μέχρι σήμερα στα αυτόνομα και απομονωμένα δίκτυα. Στη συνέχεια αναλύουμε πώς η συμμετοχή των τελευταίων σε μια ενοποιημένη αρχιτεκτονική, δημιουργεί προβλήματα οργάνωσης, αποθήκευσης και ανταλλαγής των προσωπικών δεδομένων των τελικών χρηστών, αλλά και εγείρει ζητήματα ασφάλειας, εμπιστοσύνης και ιδιοαπορρήτου για το ποιος έχει πρόσβαση σε αυτά. Δίνεται μια ενδελεχής ανάλυση του προβλήματος με αριθμητικά δεδομένα, και καταδεικνύεται η πολυπλοκότητά του σε σχέση με τα εμπλεκόμενα μέρη. Το κεφάλαιο τρία κλείνει με την παρουσίαση μιας διαφορετικής προσέγγισης που μπορεί να δώσει λύση στο προαναφερθέν πρόβλημα χωρίς αυτή να περιορίζεται καθόλου από οποιονδήποτε τεχνολογικό ή διοικητικό περιορισμό, και ταυτόχρονα είναι επεκτάσιμη σε μεγάλη κλίμακα. Στο τέταρτο κεφάλαιο, γίνεται μια εκτενής παρουσίαση των σημερινών συστημάτων διαχείρισης ταυτοτήτων καθώς επίσης και των μεγάλων συστημάτων ανακάλυψης ψηφιακών δεδομένων στο Διαδίκτυο. Αναλύεται με λεπτομέρειες η λειτουργία τους ενώ παράλληλα σχολιάζονται οι αδυναμίες τους σε σχέση με την εφαρμογή των προτεινόμενων λύσεων σε μεγάλης κλίμακας ανομοιογενή δικτυακά περιβάλλοντα. Στο επόμενο κεφάλαιο (πέμπτο) παρουσιάζουμε το σύστημα DIMANDS ως την προτεινόμενη λύση στο πρόβλημα που πραγματεύεται η διατριβή. Δίνουμε μια διεξοδική περιγραφή της αρχιτεκτονικής του και των συνεργαζόμενων μερών, ενώ επίσης περιγράφουμε μια σειρά από σενάρια χρήσης που δεν μπορούν να αντιμετωπίσουν τα σημερινά συστήματα. Επιπλέον, σε αυτό το κεφάλαιο δίνουμε και μία επιπλέον ανάλυση του πώς το σύστημα εξυπηρετεί τις αυστηρές απαιτήσεις ασφάλειας, εμπιστοσύνης και ιδιοαπορρήτου ενός παγκόσμιου συστήματος διαχείρισης ταυτοτήτων. Τέλος αυτό το κεφάλαιο κλείνει με την λεπτομερή παρουσίαση του πρωτόκολλου επικοινωνίας που σχεδιάστηκε για το DIMANDS. Στο έκτο κεφάλαιο παρουσιάζεται η αξιολόγηση και η υλοποίηση του προτεινόμενου συστήματος. Εξετάζεται η απόδοσή του, μέσω του εργαλείου εξομοίωσης δικτύων OPNET, καθώς και η περιγραφή της υλοποίησης ενός δοκιμαστικού σεναρίου χρήσης.

14 12 Η διατριβή κλείνει με το κεφάλαιο επτά όπου καταγράφονται τα ευρήματα της διατριβής, τα συμπεράσματα, η μελλοντική εργασία που εκκρεμεί καθώς επίσης και η μελλοντική έρευνα που προέκυψε στα πλαίσια αυτής.

15 Subject and description of the dissertation: Design and implementation of a system for the management and unification of users diverse identities in next generation networks. 13 This PhD thesis entitled The design and the development of a system for the management and unification of users diverse identities in next generation networks examines the organization and management of users identity data in a unified network environment composed by diverse networks, technologies and services. The term identity corresponds to an identifier that can describe, characterize or define a user. In this document we examine users identities under the scope of networks and digital services, thus the term digital identity is also used. Furthermore, it must be clarified that the term next generation networks is used to describe a unified network environment, composed by the collaboration of the existing networks, also known as Future Internet. In this dissertation, we studied Future Internet s suggested architecture and provided services. Despite the fact that its final architecture is still far from being agreed, a large number of features have already been defined. Among them is the provisioning of innovative cross domain services agnostic to the underlying infrastructures. Assuming that the research community manages to overcome the technical issues towards this unification there is a still a fundamental problem that must be addressed. It is the management of users diverse identities and identity related data which are scattered across different network locations and only meaningful within the service context they are used. This is the problem that this dissertation studied and solved. Initially we examined various examples where multiple contexts (networks, providers etc) have already begun to design innovative cross domain services to provide unified services to their users. In these cases we studied the procedures and methods designed to address the problems of identity management. In particular we recorded the requirements of these systems in the area of identity management, the raised problems and the proposed solutions. With this analysis we observed that the proposed systems are usually operational on really narrow contexts and under very specific requirements. This occurred because of the two following reasons.

16 14 The complexity of the problem is directly associated with the number of involving parties. The larger the number of networks-contexts-technologies that try to collaborate for the provisioning of a unified service, the more difficult it is to design common procedures and protocols that serve all the involving parts. Each case is adjusted in its very own specific requirements. Every federation between providers is usually the result of a business agreement that serves very specific non-technical purposes. Accordingly, any IdM solution designed to address its problems will always be tightly coupled with very specific requirements and features of the services it provides. The result is the creation of a large number of diverse IdM systems A unified solution capable of supporting the identity management problems for every case has not yet been proposed. Nearly all existing solutions claim that they are able to expand and be operational in a global scale, however, this is valid only if specific requirements are met. In particular, their applicability highly depends on proprietary features like the use of specific global identity formats (e.g. Open-ID, VID, XID) and protocols (e.g. SAML), while their scope is confined in closed trusted groups (Federations) with statically defined procedures and mechanisms. Since no one of the proposed systems was able to support the Future Internet we approached the problem from a different perspective. We rejected the idea of developing a huge system that would embrace everything, capable of supporting all cases and systems, and examined the idea of creating a system capable of aiding existing networks and contexts, to address their identity management problems on their own. To achieve this, we decomplexed the problem and found the common denominator of all cases. We concluded that the common basis of every problem is the inability of existing networks to: dynamically discover where the information, they currently need in order to complete a network service, exist and how they can communicate with a foreign network and ask about it. It must be noted that, the actual exchange of the data is not part of this common basis since it is highly depended on the very specific requirements and characteristics of each case.

17 15 Having specified the exact problem, we moved towards the design of a system able to address it. Initially we identified the requirements of a global Identity Management system like security, trust, privacy, performance, scalability etc. Based on these characteristics we designed DIMANDS. DIMANDS is a system which organizes all the identity data of a single user that reside scattered across different operational contexts defined by providers, domains, federations, networks etc. It is also designed to operate with existing identifiers of any format. It acts as an independent closed mechanism which can internally organize and manage identities and identity related data of any kind, technology or layer. Its discovery mechanism is not restricted by any kind of administrative or other kind of borders and is able to locate information in multiple sources. The need for absolute security due to the high privacy and trust requirements, raised by the proposed identity unification, is handled by a strong cryptographic mechanism that obfuscates users real identities. Accordingly the system does not collect or store any private identity data but points to authorized places that hold and manage this information. DIMANDS fills the gap for a global discovery system of identities and identity related data, being independent from and kind of technological or administrative borders. In other words the system creates the necessary communication bridges between identity consumers and identity producers, without the need to unify or create stable gateways between existing networks. In the technical part, the system is based on a hierarchical 3-level architecture. In the two top levels of the architecture reside distinguished organizations which sole purpose is to provide the necessary orchestration and governance to the IdPs that comprise the lower third level and provide the DIMANDS functionality. End-users private data are safely stored in the DIMANDS IdP of their choice without being accessible to any of the organizations of the two upper levels. IdPs are connected over a on a Distribute Hash Table (DHT) overlay. Any communication in DIMANDS is held over secure and trusted channels and no real data are stored in it, thus providing maximum privacy to the system. The dissertation s contribution and the innovations of the proposed system are mentioned below. For the first time a new approach to the identity management problem has been introduced. This approach rejects current trends to unify everything

18 16 under the same umbrella and proposes the creation of bridges between existing contexts and networks to allow them to independently deal with their own issues. The complex problem has been decomposed and the common denominator of all cases was found. This led to the creation of a system that helps anyone to dynamically discover the information he currently needs, and how he can communicate about them. Another innovation of our proposed approach is the exploitation of the existing federations, their internal established trust, protocols and procedures for the final data exchange. Considering the system itself, the introduced innovations were many. DIMANDS is a large scale IdM system which is able to address the hard requirements of trust, security and privacy. It introduces a new peer to peer architecture with stable nodes, where all communication is held over paths of trust. The stable nodes are the basis for stable neighbors in the system, which can define their own credentials that only they are aware of- and create secure connections between them. Until now the creation secure connections in a large scale system, required the existence of a commonly trusted entity for the creation and distribution of all the security credentials. DIMANDS is the first large scale identity management system that provides high levels of privacy. The biggest advance of DIMANDS against all other systems is the fact that it does not store and real identities or other identity related data that can expose the user or lead to him. Furthermore, despite the fact that the system is composed by many organizations and entities, its architecture ensures that everyone assumes well defined and separate role, without being able to access data or functions that is not supposed to. Finally one more innovative function of the system is its capability through the dynamic «Attributes» to offer, apart from its basic functionality, specified solutions to other contexts that do not wish to design their own identity management system. Our system s performance was evaluated using a widely accepted simulator tool, the OPNET Modeler v.14. The real round trip time measurements taken from the Meridian King data set which provides RTT measurements among 2000 nodes and

19 17 reflect RTT latencies among globally distributed DNS servers. In our scenario each node in DIMANDS randomly accepts requests destined to a random node in the overlay. Once a request reaches its destination a response is generated and transmitted back to the node that initially accepted the request. The results of our simulation confirm DIMANDS performance. Furthermore we implemented a demo scenario using the Ruby on Rails framework. In this scenario we present how an unknown user successfully grants access to a service of a foreign provider, using DIMANDS functionality. Finally, it must be noted that the results of this dissertation were presented in the European Telecommunication Standards Institute (ETSI) in the ISG «Identity and access management for Networks and Services» (INS). Based on these results, we published the draft entitled «INS 006 Study to Identify the need for a Global, Distributed Discovery Mechanism». A second draft entitled «INS 010 Requirements of a Global, Distributed Discovery Mechanism of identities and providers and capabilities» is under process. ITU-T has also expressed interest on these documents.

20 18

21 19 Περιεχόμενα 1 Εισαγωγή Σχεδιάζοντας το μελλοντικό Διαδίκτυο Εξελικτική προσέγγιση Προσέγγιση «καθαρής τομής» Προς ένα μελλοντικό Διαδίκτυο ενοποιημένων δικτύων και υπηρεσιών Ψηφιακές Ταυτότητες Ορισμοί Μορφότυπα - Formats Ιδιότητες Ψηφιακών Ταυτοτήτων Συσχέτιση Ιδιοαπόρρητο Εμπιστοσύνη Κινητικότητα Διαλειτουργικότητα Διαχείριση Ψηφιακών Ταυτοτήτων Διαχείριση Ψηφιακών Ταυτοτήτων το πρόβλημα Οι 7 νόμοι του Cameron Το πρόβλημα με αριθμούς Αδυναμία αντιμετώπισης σε μεγάλη κλίμακα Μια διαφορετική προσέγγιση Συστήματα διαχείρισης ψηφιακών ταυτοτήτων Ο χρήστης ως επίκεντρο (user-centric) Ψηφιακές κάρτες πληροφοριών (Information Cards) Microsoft CardSpace (Information Cards) Project Higgins (Information Cards) OpenID... 59

22 OASIS XDI DAIDALOS - SWIFT PRIME - PRIMElife PICOS TAS FIDIS Συστήματα διαχείρισης ταυτοτήτων ομοσπονδιών (Federated) Liberty Alliance Kantara Initiative Shibboleth Athens STORK Συστήματα ειδικού σκοπού διαχείρισης ταυτοτήτων DataPortability Project (DPP) και Data Liberation Front (DLF) OSIS OAuth Οργανισμοί Πιστοποίησης ETSI (European Telecommunication Standards Institute) ITU-T (International Telecommunications Union) Ερευνητικές εργασίες Συστήματα ανακάλυψης ψηφιακών δεδομένων (Discovery Frameworks) DNS, DDNS, DNSSEC HANDLE IF-MAP Plutarch Σύστημα διαχείρισης ταυτοτήτων DIMANDS Ορισμός απαιτήσεων συστήματος

23 Το σύστημα DIMANDS Αρχιτεκτονική Λογαριασμός χρήστη στο σύστημα DIMANDS Η διεπαφή χρήστη DIMANDS-client Συνολική αρχιτεκτονική και λειτουργικότητα του DIMANDS Εγγραφή νέας ταυτότητας στο σύστημα DIMANDS Σενάρια χρήσης Λειτουργικότητα συστήματος DIMANDS Επικύρωση ενός άγνωστου χρήστη σε ένα ξένο δίκτυο χρησιμοποιώντας το DIMANDS Υπηρεσίες οικονομικών συναλλαγών στο Διαδίκτυο Εξυπηρετώντας τις ανάγκες εξειδικευμένων πλαισίων Επικοινωνία με ένα μη συνδεδεμένο χρήστη Ορισμός Πρωτοκόλλου του συστήματος DIMANDS Μηνύματα μεταξύ του DIMANDS-client και των εξωτερικών παρόχων υπηρεσιών Μηνύματα μεταξύ πιστοποιημένων παρόχων υπηρεσιών και του DIMANDS D-REQUEST D-CREATE-TRID Μηνύματα μεταξύ του DIMANDS-client και του DIMANDS D-REGISTER D-CREATE-RID D-UPDATE, D-SYNC Μηνύματα μεταξύ παρόχων D-REQUEST

24 Το DIMANDS και βασικές απαιτήσεις ενός παγκόσμιου συστήματος διαχείρισης ταυτοτήτων Ασφάλεια Ιδιοαπόρρητο Εμπιστοσύνη Υλοποίηση - Αξιολόγηση Εξομοίωση Ανάλυση Απόδοσης του DIMANDS Υλοποίηση δοκιμαστικού σεναρίου χρήσης Ευρήματα και μελλοντική εργασία Ευρήματα και συνεισφορά της διατριβής Συμπεράσματα Μελλοντική Εργασία Αναφορές Δημοσιέυσεις Παράρτημα Ο Κατανεμημένος Πίνακας Κατακερματισμού Chord [50]

25 23 Λίστα Εικόνων Εικόνα 1: Παροχή υπηρεσίας εκτός ορίων διοικητικής περιοχής παρόχου Εικόνα 2: Παροχή υπηρεσίας εκτός ορίων διοικητικής περιοχής με την βοήθεια έμπιστου παρόχου Εικόνα 3: Διαδικασία Χρησιμοποίησης Ψηφιακών Καρτών Πληροφοριών [13] Εικόνα 4: Διεπαφή Χρήστη του Microsoft CardSpace [13] Εικόνα 5: Αρχιτεκτονική Συστήματος Higgins [15] Εικόνα 6: Διαδικασία πιστοποίησης χρήστη με το OpenID [17] Εικόνα 7: i-name ταυτότητες [19] Εικόνα 8: Έλεγχος αιτήσεων από τον i-broker. [19] Εικόνα 9: Δημιουργία Virtual Identities από πραγματικές ταυτότητες [20] Εικόνα 10: Αρχιτεκτονική Συστήματος PRIME [22] Εικόνα 11: Αρχιτεκτονική Συστήματος PRIMElife [23] Εικόνα 12: Αρχιτεκτονική Συστήματος PICOS [24] Εικόνα 13: Αρχιτεκτονική Συστήματος TAS3 [25] Εικόνα 14: Αρχιτεκτονική Liberty Alliance [27] Εικόνα 15: Διαδικασία σύνδεσης σε μία υπηρεσία χρησιμοποιώντας έναν λογαριασμό ομοσπονδίας [27] Εικόνα 16: Διαδικασία πιστοποίησης χρήστη με το Shibboleth [30] Εικόνα 17: Διαδικασία πιστοποίησης χρήστη με το Athens [31] Εικόνα 18: Αρχιτεκτονική Συστήματος STORK [32] Εικόνα 19: Επισκόπηση των κυριότερων συστημάτων διαχείρισης ψηφιακών ταυτοτήτων Εικόνα 20: Παγκόσμιο σύστημα οργάνωσης των ψηφιακών ταυτοτήτων χρηστών. [40] Εικόνα 21: Παγκόσμιο σύστημα ανακάλυψης πληροφοριών ψηφιακών ταυτοτήτων 84 Εικόνα 22: Αρχιτεκτονική συστήματος DIMANDS Εικόνα 23: Η βάση δεδομένων ενός λογαριασμού στο DIMANDS Εικόνα 24: Random Identity Number (RID) Εικόνα 25: Η βάση δεδομένων στη DIMANDS-card Εικόνα 26: Συνολική αρχιτεκτονική συστήματος DIMANDS και επικοινωνία με υποσυστήματα και εξωτερικούς προμηθευτές Εικόνα 27: Εγγραφή νέας ψηφιακής ταυτότητας στο DIMANDS... 98

26 24 Εικόνα 28: Λειτουργικότητα DIMANDS - Παροχή υπηρεσίας εκτός ορίων διοικητικής περιοχής παρόχου Εικόνα 29 Πιστοποίηση άγνωστου χρήστη στο σύστημα DIMANDS Εικόνα 30: Αποστολή μηνύματος σε εναλλακτική ταυτότητα μη συνδεδεμένου χρήστη με την βοήθεια του DIMANDS Εικόνα 31: D-REQUEST μήνυμα Εικόνα 32: Απάντηση OK σε ένα D-REQUEST μήνυμα Εικόνα 33:D-CREATE-ΤRID μήνυμα Εικόνα 34: D-REGISTER μήνυμα Εικόνα 35: D-CREATE-RID μήνυμα Εικόνα 36: D-UPDATE μήνυμα Εικόνα 37: D-SYNC μήνυμα Εικόνα 38: Αθροιστική συνάρτηση κατανομής για τον αριθμό των ενδιάμεσων κόμβων Εικόνα 39: Αθροιστική συνάρτηση κατανομής για την χρονική καθυστέρηση των μηνυμάτων Εικόνα 40: Αθροιστική συνάρτηση κατανομής για τον αριθμό των ενδιάμεσων κόμβων Εικόνα 41: Αθροιστική συνάρτηση κατανομής για την χρονική καθυστέρηση των μηνυμάτων Εικόνα 42: Αρχική σελίδα Home Service Εικόνα 43: Σελίδα εγγραφής νέου χρήστη στον πάροχο Home Service Εικόνα 44: Κώδικας για την σελίδα εγγραφής ενός νέου χρήστη Εικόνα 45: Σελίδα προφίλ ενός χρήστη στον πάροχο Home Service Εικόνα 46: Σελίδα προφίλ ενός χρήστη στον πάροχο Government Portal Εικόνα 47: Σελίδα προφίλ ενός χρήστη στον πάροχο Government Portal Εικόνα 48: Αρχική σελίδα του παρόχου DIMANDS node Εικόνα 49: Σελίδα προφίλ ενός χρήστη στον πάροχο DIMANDS node Εικόνα 50: Κώδικας της σελίδας προφίλ ενός χρήστη στον DIMANDS node Εικόνα 51: Εγγραφή νέου χαρακτηριστικού σε μία ταυτότητα χρήστη Εικόνα 52: Σενάριο σύνδεσης ενός άγνωστου χρήστη σε μια υπηρεσία Εικόνα 53: Συναρτήσεις identify και discovery_request Εικόνα 54: Δημιουργία session_id από τον DIMANDS node και αποστολή του

27 25 Εικόνα 55: Απάντηση του session_id από τον DIMANDS node Εικόνα 56: Απάντηση της λίστας από τον DIMANDS node Εικόνα 57: Κώδικας για την ανακατεύθυνση στο Government Portal Εικόνα 58: Ανακατεύθυνση για πιστοποίηση Εικόνα 59: Κώδικας ελέγχου πιστοποίησης στο Government Portal Εικόνα 60: Ο Κατανεμημένος Πίνακας Κατακερματισμού Chord

28 26

29 1 Εισαγωγή Διδακτορική Διατριβή Λαμπρόπουλος Κωνσταντίνος Σχεδιάζοντας το μελλοντικό Διαδίκτυο Όταν στις αρχές της δεκαετίας του 90 το Διαδίκτυο έκανε την εμφάνισή του κανείς δεν μπορούσε να προβλέψει την τεράστια επιτυχία και απήχηση που θα είχε, όχι μόνο στις επικοινωνίες και στις επιστήμες, αλλά ακόμα και στις κοινωνικές σχέσεις και δομές. Ήδη 20 χρόνια μετά, το Διαδίκτυο μέσω μιας μεγάλης γκάμας υπηρεσιών και τεχνολογιών αποτελεί αναπόσπαστο κομμάτι της ζωής μας. Η αδιαμφισβήτητη επιτυχία του Διαδικτύου οφείλεται κατά κύριο λόγο στη μινιμαλιστική δικτυακή αρχιτεκτονική του, που στηρίζεται σε μια απλή υπηρεσία παράδοσης πακέτων μεταξύ δύο τελικών σημείων (προγραμματιζόμενων υπολογιστών) με τον καλύτερο δυνατό τρόπο (best effort). Αυτές οι καθοριστικές αρχικές αποφάσεις σχεδιασμού επέτρεψαν την ανάπτυξη ενός μεγάλου αριθμού καινοτόμων εφαρμογών (από οποιονδήποτε ήθελε να προγραμματίσει αυτούς τους υπολογιστές) και πολλαπλών τεχνολογιών συνδέσεων (ο οποιοσδήποτε μπορεί να συνδεθεί εύκολα εάν υποστηρίζει το βασικό πρότυπο πακέτο-παράδοσης). Όμως παρόλη την επιτυχία του Διαδικτύου, ο τομέας της τεχνολογίας (επιστήμης) δικτύων δεν έγινε αντίστοιχα ώριμος. Το Διαδίκτυο γιγαντώθηκε και άλλαξε πολύ γρηγορότερα από την δυνατότητά μας να το κατανοήσουμε, ώστε να μπορούμε να σχεδιάσουμε και να υλοποιήσουμε μεγάλης κλίμακας και διαφορετικού τύπου δίκτυα. Η ταχεία ανάπτυξή του οδήγησε στον πολλαπλασιασμό υπηρεσιών και τεχνολογιών, συνθέτοντας ένα μωσαϊκό από διαφορετικές μεθόδους προσπέλασης, πρωτοκόλλα, ζώνες συχνοτήτων κ.α. Στην πολυπλοκότητα αυτού του μωσαϊκού συνέβαλλαν και τα διαφορετικά συστήματα επικύρωσης, σχέδια τιμολόγησης, κανόνες πιστοποίησης κ.τ.λ. που κάθε διοικητική περιοχή (administrative domain) εφαρμόζει σύμφωνα με τις ανάγκες της. Την ίδια στιγμή, οι απαιτήσεις των χρηστών έχουν αλλάξει δραστικά τα τελευταία χρόνια, δεδομένου ότι οι τελευταίοι έχουν γίνει σε μεγάλο βαθμό κινητοί και ιδιαίτερα εξαρτώμενοι από τα δίκτυα χρησιμοποιώντας ένα ευρύ φάσμα συσκευών με διαφορετικές υπολογιστικές και δικτυακές δυνατότητες. Βασική τους επιθυμία, είναι η πανταχού παρούσα συνδεσιμότητα και η διατήρηση της σε ένα σταθερό και αποδεκτό επίπεδο ανεξαρτήτως εξωτερικών συνθηκών, χωρίς να χρειάζεται να γνωρίζουν εξειδικευμένες τεχνικές λεπτομέρειες και διαδικασίες.

30 28 Έτσι τα τελευταία χρόνια η ερευνητική κοινότητα έχει αρχίσει να εξετάζει ιδέες που αφορούν την εξέλιξη του Διαδικτύου. Οι προσεγγίσεις αυτές εξετάζουν το κατά πόσο το μελλοντικό Διαδίκτυο θα πρέπει να εξελιχθεί σαν μια προσπάθεια κατανόησης και βελτίωσης της σημερινής υποδομής του (εξελικτική προσέγγιση - evolutionary approach) ή στο σχεδιασμό των νέων δικτυακών αρχιτεκτονικών που θα προτείνουν καινοτόμες προσεγγίσεις που δεν θα περιορίζονται από την τρέχουσα υποδομή (προσέγγιση καθαρής τομής - clean-slate approach) Εξελικτική προσέγγιση Το κύριο επιχείρημα των υπερασπιστών της εξελικτικής προσέγγισης έγκειται στην αδυναμία υιοθέτησης καινοτόμων συστημάτων σε πραγματικά δίκτυα μεγάλης κλίμακας. Υπάρχει ένας μεγάλος αριθμός παραδειγμάτων από πρωτοκόλλα και τεχνολογίες που είναι λίγο πολύ συμβατά με τα υπάρχοντα δικτυακά σύστημα αλλά παρόλα αυτά δεν υιοθετήθηκαν. Χαρακτηριστικά παραδείγματα αποτελούν το IPv6, το interdomain IP multicast, το RSVP, καθώς και τα IntServ, IPsec, S-BGP κ.α. Η αλήθεια είναι ότι τα συγκεκριμένα τα πρωτόκολλα δεν επεκτάθηκαν σε μεγάλη κλίμακα, τουλάχιστον μέχρι τώρα. Ο «πραγματικός κόσμος» υιοθέτησε αντ' αυτών εξελικτικές προσεγγίσεις όπως το NAT, το DiffServ, διάφορες προσαρμοστικές εφαρμογές, και μηχανισμούς ασφάλειας (όπως η ασφάλεια end-host, συστήματα ανίχνευσης παρείσφρησης, φίλτρα δρομολόγησης κ.α.) που συνεργάζονται καλά με την υπάρχουσα αρχιτεκτονική του Διαδικτύου, χωρίς να απαιτούν προσαρμογές στην υπάρχουσα δομή του. Ένα δεύτερο επιχείρημα της «εξελικτικής» προσέγγισης στηρίζεται στα βιομηχανικά οικονομικά, όπου είναι ευρέως γνωστό ότι μια νέα τεχνολογία πιθανώς να μην είναι σε θέση να αντικαταστήσει μια ευρέως επεκταμένη αλλά κατώτερη τεχνολογία, εφ' όσον υπάρχουν δαπάνες που περιλαμβάνονται κατά τη μετατροπή. Έτσι στην περίπτωση του σχεδιασμού μιας νέας αρχιτεκτονικής του «Μελλοντικού Διαδικτύου» θα πρέπει να εξεταστεί εάν αυτή θα προσφέρει μια (η περισσότερες) νέα πολύτιμη υπηρεσία που η τρέχουσα τεχνολογία δεν μπορεί να παρέχει άμεσα ή έμμεσα. Με άλλα λόγια, πώς μπορεί η πρόσθετη αξία μιας νέας τεχνολογίας, να συγκριθεί με το κόστος μετάβασης; Εκτός όμως από το κόστος μετάβασης υπό αμφισβήτηση τίθεται και η ποιότητα αυτής της «νέας τεχνολογίας» που θα μπορούσε να παρουσιάσει η αρχιτεκτονική της «καθαρής τομής». Η υπόσχεση ενός «ασφαλούς και αξιόπιστου μελλοντικού

31 29 Διαδικτύου» που διαφημίζουν οι υποστηρικτές της προσέγγισης της «καθαρής τομής» είναι ελκυστική αλλά καθόλου πειστική: δεν υπάρχει κανένας τρόπος να εγγυηθεί κάποιος ότι μια νέα αρχιτεκτονική σχεδιασμένη από την αρχή θα είναι για παράδειγμα όσο ασφαλής διαφημίζεται. Αντιθέτως, είναι πολύ πιθανό ότι μια ολοκαίνουργια αρχιτεκτονική σύνδεσης μέσω δικτύων θα έχει περισσότερα προβλήματα σχεδιασμού και εφαρμογής όπως και κενά ασφάλειας από την τρέχουσα αρχιτεκτονική Διαδικτύου (που «διορθώνεται» για περισσότερο από 30 έτη τώρα). Βασισμένοι λοιπόν στα παραπάνω επιχειρήματα οι υποστηρικτές της «εξελικτικής» προσέγγισης δηλώνουν πως αντί να προσεγγίζουμε το Διαδίκτυο ως χειροποίητο αντικείμενο που σχεδιάσαμε στο παρελθόν και τώρα μπορούμε να επανασχεδιάσουμε, θα πρέπει να το δούμε ως ένα εξελισσόμενο οικοσύστημα που επηρεάζεται από, και έχει επιπτώσεις σε, διάφορες επιστήμες και δομές και σχέσεις. Η εξέλιξή του πλέον ελέγχεται, όχι μόνο από την τεχνολογία, αλλά και από τη παγκόσμια οικονομία, τις δημιουργικές ιδέες που απορρέουν από τα εκατομμύρια των χρηστών, καθώς επίσης και από ένα συνεχώς μεταβαλλόμενο σύνολο «περιβαλλοντικών πιέσεων» και περιορισμών. Έτσι οι ερευνητές Διαδικτύου θα πρέπει αρχικά να κατανοήσουν την τρέχουσα κατάσταση αυτού του οικοσυστήματος, να προβλέψουν όσο μπορούν τα προβλήματα που θα προκύψουν, και να δημιουργήσουν τις ανάλογες «ευφυείς μεταλλαγές». Αυτό σημαίνει ότι καλούνται να αποφύγουν ή να επιλύσουν τις διάφορες επερχόμενες προκλήσεις με σκοπό την εισαγωγή και υιοθέτηση καινοτομιών στην τρέχουσα αρχιτεκτονική προσδοκώντας να γίνουν οι τελευταίες συμβατές με τις υπάρχουσες τεχνολογίες και συστήματα Προσέγγιση «καθαρής τομής» Από την άλλη μεριά όμως υπάρχουν και οι θερμοί υποστηριχτές της δημιουργίας ενός νέου Διαδικτύου από την αρχή, δηλαδή της «καθαρής τομής» βασισμένοι στην εμπειρία και τα λάθη των προηγούμενων ετών. Κύριο επιχείρημα αυτής της προσέγγισης αποτελεί το γεγονός ότι οι δομικές αδυναμίες του Διαδικτύου που δεν μπορούν να υποστηρίξουν τις σημερινές απαιτήσεις των χρηστών του. Το Διαδίκτυο παρουσιάζει σημάδια γήρανσης και οι αδυναμίες του, που προέρχονται από τις αρχικές σχεδιαστικές αποφάσεις που πάρθηκαν 40 χρόνια πριν, ίσως να μην μπορούν να αντιμετωπιστούν χωρίς μια θεμελιώδη αρχιτεκτονική αλλαγή.

32 30 Μεγάλα προβλήματα όπως spam, κενά ασφάλειας, DDoS κ.α. είναι μόνο λίγα από τα πιο ορατά συμπτώματα της σημερινής χωλαίνουσας αρχιτεκτονικής. Πολλά από προβλήματα ασφάλειας προέρχονται από την χαλαρότητα με την οποία το Διαδίκτυο αντιμετωπίζει για παράδειγμα την έννοια της ταυτότητας. Αυτό έχει ως αποτέλεσμα την εύκολη αντιποίηση διευθύνσεων IP, ονόματα διοικητικών περιοχών, διευθύνσεων ηλεκτρονικού ταχυδρομείου κ.τ.λ.. Η δημιουργία ενός ισχυρότερου πλαισίου για την διαχείριση ταυτοτήτων δεν είναι κάτι εύκολο στη σημερινή αρχιτεκτονική. Ακόμη ένα σοβαρό πρόβλημα είναι πως το Διαδίκτυο δεν μπορεί να διαχειριστεί κινητούς χρήστες, είτε χρήστες που κινούνται μεταξύ τερματικών. Η κινητικότητα είναι δύσκολο να αντιμετωπιστεί επειδή οι διευθύνσεις IP είναι ιεραρχικές και στενά συνδεμένες με τα πρωτοκόλλα δρομολόγησης. Ο διαχωρισμός αυτής της σύζευξης ίσως να απαιτήσει μια νέα σχέση μεταξύ των εννοιών της ονομασίας, της διευθυνσιοδότησης και της δρομολόγησης. Η επίλυση των αντίστοιχων προβλημάτων μπορεί να μας υποχρεώσει να αναθεωρήσουμε μερικές από τις πιο βασικές αρχές πάνω στις οποίες έχει αναπτυχθεί το Διαδίκτυο σήμερα. Παράλληλα το πρότυπο μετάδοσης με τον καλύτερο δυνατό τρόπο (best effort) για τις υπηρεσίες του Διαδικτύου είναι ανίκανο να υποστηρίζει πολλές εφαρμογές πραγματικού χρόνου, όπως το IPTV και η συνεδρίαση μέσω video. Το Διαδίκτυο δεν είναι αρκετά αξιόπιστο, λόγω αποτυχιών εξοπλισμού, προβλημάτων λογισμικού και διαχειριστικών λαθών. Η διαχείριση ενός τέτοιου μεγάλου δικτύου είναι πάρα πολύ ακριβή-συχνά κοστίζει περισσότερο από τον ίδιο τον εξοπλισμό-. Επίσης καταναλώνει πάρα πολλή ενέργεια, σε μια εποχή ανησυχίας για την παγκόσμια αύξηση της θερμοκρασίας λόγω του φαινομένου του θερμοκηπίου. Η τεράστια πλέον δομή του είναι εκτός ελέγχου. Χαρακτηριστικό παράδειγμα είναι το ότι κάθε φορά που το Διαδίκτυο αντιμετωπίζει κάποια πρόκληση (π.χ. από τους φόβους της κατάρρευσης λόγω συμφόρησης προς το τέλος της δεκαετίας του '80 ως τις ανησυχίες cybersecurity σήμερα) η αντιμετώπιση των προβλημάτων γίνεται με την εφαρμογή προσωρινών λύσεων (patches). Η εφαρμογή ολοκληρωμένων λύσεων μεγάλης κλίμακας, κρίνεται μάλλον αδύνατη αφού στην πραγματικότητα δεν υπάρχει κάποιος που να μπορεί να αναλύσει, να οργανώσει και να κατανοήσει σε βάθος τα σημερινά δικτυακά συστήματα και τους συνδυασμούς πρωτοκόλλων και μηχανισμών που προκύπτουν στα πραγματικά δίκτυα.

33 31 Βασισμένοι σε αυτές τις παρατηρήσεις η προσέγγιση «καθαρής τομής» προτείνει τον επανασχεδιασμό του «Μελλοντικού Διαδικτύου» από μηδενική βάση. Μια τέτοια προοπτική θα μπορούσε να παρακάμψει τις μικρές λεπτομέρειες των σημερινών πρωτοκόλλων, τεχνολογιών και λειτουργικών πρακτικών και να επικεντρωθεί στις προκλήσεις της ανάπτυξης μεγάλης κλίμακας δικτυακών υποδομών. Η νέα προσέγγιση να μη λάβει υπόψη, τους πρακτικούς περιορισμούς (υπολογιστικές δυνατότητες, μνήμη, πόρους εύρους ζώνης κ.α.) αλλά να επικεντρωθεί σε σχεδιαστικές απαιτήσεις και σε στόχους όπως αποδοτικότητα, ασφάλεια, μυστικότητα, αξιοπιστία, απόδοση κ.α. Μόνο με αυτόν τον τρόπο το Διαδίκτυο θα μπορέσει να χειριστεί την επερχόμενη «εισβολή» αμέτρητων μικρών αισθητήρων και συσκευών που θα κάνουν μία ακόμα τεχνολογική επανάσταση τον κόσμο μας. 1.2 Προς ένα μελλοντικό Διαδίκτυο ενοποιημένων δικτύων και υπηρεσιών. Όποιες και να είναι οι κατευθύνσεις της επιστημονικής κοινότητας προς το σχεδιασμό και την υλοποίηση του «Διαδικτύου του Μέλλοντος», είναι γεγονός ότι πολλές αλλαγές ήδη έχουν αρχίσει να συμβαίνουν. Ενοποιημένες υπηρεσίες έχουν αρχίσει να εμφανίζονται. Ένα από τα χαρακτηριστικά παραδείγματα είναι εταιρίες που παρέχουν στους πελάτες τους τηλεφωνία, πρόσβαση στο Διαδίκτυο, ακόμα και τηλεόραση μέσω μίας μοναδικής γραμμής. Μεγάλα ετερογενή συστήματα ενοποιούνται και παρουσιάζονται ως τη μορφή ενός σύννεφου (cloud) που παρέχει κάθε είδους υπηρεσίες λογισμικού ή ακόμα και υλικού μέσω πολύ εξειδικευμένων διεπαφών. Ο τελικός χρήστης που μπορεί να είναι από ένα απλός χρήστης του Διαδικτύου, μέχρι μια μεγάλη εταιρία τηλεπικοινωνιακών, μπορεί πλέον να νοικιάζει αποθηκευτικό χώρο, υπολογιστική ισχύ, συστήματα λογισμικού μέσα σε ένα σύννεφο, χωρίς να χρειάζεται ποτέ να ασχοληθεί για την διαχείριση των πραγματικών συστημάτων και του υλικού που έχει στην διάθεσή του. Παραδοσιακές υπηρεσίες, π.χ. κυβερνητικές, τραπεζικές κ.α. πλέον ενσωματώνουν όλες τις διαδικασίες τους στο Διαδίκτυο. Ο πολίτης με αυτό τον τρόπο αποκτά και μία ψηφιακή υπόσταση μέσω της οποίας μπορεί να κάνει συναλλαγές σε πολύ μικρότερο χρόνο και από οποιοδήποτε τερματικό. Γιγάντια κοινωνικά δίκτυα σχηματίζονται από τους χρήστες του διαδικτύου με εξαιρετικές δυνατότητες όχι μόνο επικοινωνίας αλλά και ενημέρωσης, ψυχαγωγίας και κοινωνικής οργάνωσης (π.χ. οργάνωση και συντονισμός διαδηλώσεων). Τα παραδείγματα της εξέλιξης του Διαδικτύου είναι αμέτρητα και

34 32 αυτό που μπορεί κανείς να παρατηρήσει είναι πως σχεδόν κάθε 1 με 1.5 χρόνο, μία καινοτόμα τεχνολογία ή υπηρεσία θα εισβάλει στη ζωή μας μέσω των δικτύων. Χαρακτηριστικά παραδείγματα είναι τα P2P δίκτυα, το youtube.com, τα social networks, το skype.com κ.τ.λ. Και ενώ αυτά τα συστήματα παρουσιάζονται ως μια ακόμα επανάσταση, η αλήθεια είναι ότι στην πλειοψηφία τους περιορίζονται από τους νόμους και τις δομές του σημερινού Διαδικτύου. Χαρακτηριστικά παραδείγματα τέτοιων περιορισμών είναι η αδυναμία υποστήριξης κινητών χρηστών, «εξασφάλισης» ποιότητας, διαχείρισης ψηφιακών ταυτοτήτων και δεδομένων των τελικών χρηστών, η έκθεση σε κινδύνους και επιθέσεις από κακόβουλα στοιχεία κ.α. Υποθέτοντας ότι οι ερευνητικές προσπάθειες εν τέλει κατορθώσουν να υπερνικήσουν τα τεχνολογικά εμπόδια και επιτύχουν το στόχο τους προς την δημιουργία της υποδομής ενός λειτουργικού Μελλοντικού Διαδικτύου, υπάρχει ακόμη ένα θεμελιώδες πρόβλημα που πρέπει να εξεταστεί σχετικά με αυτήν την ενοποίηση. Αυτό αφορά την διαχείριση του μεγάλου αριθμού των ψηφιακών ταυτοτήτων και των ψηφιακών στοιχείων των χρηστών, που αυτή τη στιγμή είναι διάσπαρτα σε διαφορετικά πλαίσια (δίκτυα, παρόχους υπηρεσίες κ.τ.λ.). Όλα αυτά τα στοιχεία ταυτότητας είναι ασύνδετα-ασυσχέτιστα μεταξύ τους, ακολουθούν διαφορετικούς τύπους και πρωτόκολλα, εξυπηρετούν διαφορετικούς σκοπούς και αποθηκευμένα σε διαφορετικές διοικητικές περιοχές.

35 2 Ψηφιακές Ταυτότητες Ορισμοί Ταυτότητα είναι σε γενικές γραμμές μια σειρά στοιχείων που αποδίδεται σε μια δεδομένη οντότητα. Θα μπορούσε κανείς να πει πως ταυτότητα είναι η απάντηση στην ερώτηση «τι έχω εγώ να πω για μένα, και έχουν οι άλλοι να πουν για μένα» [1]. Βάση αυτού του ορισμού λοιπόν θα λέγαμε πως ψηφιακή ταυτότητα είναι η «ψηφιακή αναπαράσταση ενός συνόλου χαρακτηρισμών που προσδίδει ένα ψηφιακό αντικείμενο στον εαυτό του ή σε ένα άλλο ψηφιακό αντικείμενο. Ένας διαφορετικός ορισμός δίνεται από τον [2] όπου ψηφιακή ταυτότητα είναι η «παρουσίαση ή ο ρόλος ενός ψηφιακού αντικειμένου». 2.2 Μορφότυπα - Formats Τα μορφότυπα (formats) των σημερινών ψηφιακών ταυτοτήτων ποικίλουν. Μέχρι σήμερα τα κλειστά δίκτυα συγκεκριμένου σκοπού, όρισαν τον δικό τους τρόπο με τον οποίο ονόμαζαν τους χρήστες τους, ανάλογα με τις ανάγκες τους και τις παρεχόμενες υπηρεσίες π.χ. δίκτυο τηλεφωνίας,. Έτσι έχει προκύψει ένας πολύ μεγάλος αριθμός προσδιοριστικών όπως XRI, usernames, VIDs, tel, URI, URL, ENUM, s κ.α. Κάποια από αυτά ακολουθούν συγκεκριμένους κανόνες, όπως για παράδειγμα τα μορφότυπα των τηλεφώνων όπου περιέχουν μόνο αριθμούς με τα αρχικά ψηφία να ορίζουν την χώρα στην οποία καταλήγει μία συγκεκριμένη κλήση. Άλλα πάλι περιέχουν την ονομασία του παρόχου που τα δημιούργησε και τα εξυπηρετεί ( s), ενώ υπάρχουν και ταυτότητες που δεν ακολουθούν απολύτως κανένα κανόνα. 2.3 Ιδιότητες Ψηφιακών Ταυτοτήτων Μια ψηφιακή ταυτότητα μπορεί να συσχετίζεται με πλήθος διαφορετικών χαρακτηριστικών και άρα μπορεί να χρησιμοποιηθεί για διάφορους σκοπούς, όπως την πιστοποίηση ενός χρήστη ή αντικειμένου, τη μοναδικότητά του, την φήμη του, την επαλήθευση κάποιας ιδιότητάς του κ.α. Υπό το πρίσμα του δικτυακού περιβάλλοντος που ορίζουμε ως «Μελλοντικό Διαδίκτυο» θα αναλύσουμε κάποια ιδιαίτερα χαρακτηριστικά των ψηφιακών ταυτοτήτων, τα οποία και θα εξεταστούν διεξοδικότερα στην συνέχεια της διατριβής.

36 Συσχέτιση Για ένα οποιοδήποτε ψηφιακό αντικείμενο υπάρχουν συνήθως πολλές ψηφιακές ταυτότητες. Αυτές οι ταυτότητες είναι σύνολα χαρακτηριστικών που μερικές φορές μπορούν να συσχετιστούν μεταξύ τους με αποτέλεσμα την δημιουργία νέων ψηφιακών ταυτοτήτων με περισσότερα χαρακτηριστικά. Ο συνδυασμός-συσχέτιση δύο ή περισσοτέρων ταυτοτήτων μπορεί να εξαρτάται από μια σειρά παραμέτρων όπως η οργάνωση διαφορετικών ρόλων που αντιστοιχούν σε έναν χρήστη, περιορισμοί ιδιοαπορρήτου, νομικοί περιορισμοί, πρόσβαση σε υπηρεσίες κ.α Ιδιοαπόρρητο Η πληθώρα των χαρακτηριστικών με τα οποία μπορεί μια ταυτότητα να συνδέεται εγείρει μεγάλα θέματα ιδιοαπορρήτου και ασφάλειας. Μέσω των ψηφιακών ταυτοτήτων μπορεί για παράδειγμα να αποδειχθεί ότι ένας χρήστης είναι ενήλικος, ότι έχει τραπεζικό λογαριασμό σε συγκεκριμένη τράπεζα, ότι είναι κάτοικος συγκεκριμένης περιοχής, αλλά ακόμα και ότι αυτός ο χρήστης έχει εκτίσει ποινή στην φυλακή. Γίνεται φανερό, πως η μη ελεγχόμενη πρόσβαση σε δεδομένα που συνδέονται με ψηφιακές ταυτότητες να εκθέσει ένα χρήστη. Η έννοια του ιδιοαπορρήτου περιλαμβάνει ένα πολύ μεγάλο φάσμα το οποίο θα μπορούσαμε να πούμε πως σε μερικές εκφάνσεις του δεν είναι ακόμα πλήρως κατανοητό. Σε μια πρώτη προσέγγιση, ιδιοαπόρρητο θα μπορούσε να ερμηνευτεί ως το δικαίωμα κάποιου να διατηρήσει συγκεκριμένα δεδομένα μυστικά ή αλλιώς το δικαίωμα να μην ενοχλείται, ή το δικαίωμα να μπορεί να επιλέξει ελεύθερα κάτω από ποιές προϋποθέσεις θέλει να εκθέσει τα προσωπικά του δεδομένα, διαθέσεις ή συμπεριφορές σε τρίτους. Σίγουρα στις παραπάνω ερμηνείες του ιδιοαπορρήτου κάποιος μπορεί να αντιπροτείνει κάποια άλλη ή ακόμα και να αναδιατυπώσει τις προαναφερθείσες. Το ιδιοαπόρρητο θα μπορούσε να χωριστεί σε πολλές κατηγορίες όπως φυσικό, προσωπικό, επικοινωνίας κ.τ.λ.. Η συγκεκριμένη διατριβή ασχολείται με το ιδιοαπόρρητο της επικοινωνίας των χρηστών των σημερινών δικτύων. Αυτός ο τύπος ιδιοαπορρήτου εξετάζει τις συνθήκες ανταλλαγής προσωπικών δεδομένων κατά την χρήση των σημερινών δικτύων, το κατά πόσο ο σημερινός χρήστης μπορεί να ελέγξει το είδος τις πληροφορίας που αποκαλύπτεται σε αυτή, τη διάχυση και χρήση της πληροφορίας, και αν και πού τελικά αυτή μπορεί να αποθηκευτεί.

37 35 Πληροφορίες που μπορεί να αφορούν το ιδιοαπόρρητο στην χρήση των δικτύων είναι για παράδειγμα το πραγματικό όνομα του χρήστη, η ηλικία του, ο τόπος διαμονής του, αλλά και πιο ευαίσθητα δεδομένα όπως θρησκευτικές πεποιθήσεις, ιατρικός φάκελος, ποινικό μητρώο κ.α. Είναι κατανοητό πως δεν θα πρέπει τα παραπάνω υπό οποιεσδήποτε συνθήκες να είναι εύκολα προσβάσιμα από οποιαδήποτε μη εξουσιοδοτημένη οντότητα. Από την άλλη πλευρά όμως, ένα πολύ μεγάλο μέρος των σημερινών υπηρεσιών και διαδικασιών έχουν υιοθετήσει και προσαρμοστεί στο διαδίκτυο δίνοντας μια πληθώρα από ευκολίες στην καθημερινή ζωή τόσο των χρηστών όσο και των παρόχων, οργανισμών κ.α. Χαρακτηριστικά παραδείγματα αποτελούν ο τομέας υγείας όπου τα νοσοκομεία μπορούν δυναμικά και γρήγορα να ενημερώνονται για το ιστορικό ασθενών, ο τομέας τηλεπικοινωνιών όσον αφορά την πρόσβαση π.χ. σε υπηρεσίες ενηλίκων (π.χ. ηλεκτρονικός τζόγος), πρόσβαση σε υπηρεσίες που διαφοροποιούνται ανάλογα την περιοχή που βρίσκεται ο χρήστης (προβολή ταινιών ή αγώνων), αγορές μέσω διαδικτύου κ.α.. Στο ίδιο μοτίβο κινούνται ακόμα και ο τομέας ηλεκτρονικής διακυβέρνησης και οργάνωσης κυβερνητικών οργανισμών, καθώς και η ηλεκτρονική διαχείριση τραπεζικών λογαριασμών για εξοφλήσεις λογαριασμών και αγορές μέσω διαδικτύου. Τα τελευταία χρόνια δε, εμφανίστηκαν και τα κοινωνικά δίκτυα που ενώ ξεκίνησαν σαν ένας εικονικός τόπος γνωριμίας ή επανασύνδεσης ανθρώπων, πλέον έχουν καταλήξει να είναι ένας εικονικός κόσμος με χρήστες που έχουν πρόσβαση σε αλλά είναι και εκτεθειμένοι από μία πληθώρα υπηρεσιών και ατόμων. Παρατηρώντας κανείς τα παραπάνω θα δει πως για την επίτευξη οποιουδήποτε είδους συναλλαγής ή επικοινωνίας σε όλες τις περιπτώσεις θα πρέπει να διαθέσει (εκθέσει) κάποιες προσωπικές πληροφορίες π.χ. το πραγματικό του όνομα, την ηλικία του, τον αριθμό λογαριασμού τράπεζας, κ.α. Για την διαφύλαξη της ιδιοαπορρήτου, έχουν εφαρμοστεί μία σειρά από πολιτικές και μέτρα. Θα λέγαμε όμως πως ακόμα το τελικό αποτέλεσμα δεν βρίσκεται σε ικανοποιητικό επίπεδο. Παρότι έχει δοθεί αρκετή προσοχή στην οργάνωση της διαφύλαξης των προσωπικών δεδομένων από τις διάφορες δικτυακές οντότητες (παρόχους, οργανισμούς, κ.α.), η αλήθεια είναι πως στην πραγματικότητα ο τελικός χρήστης δεν είναι καλά προφυλαγμένος. Είναι ελάχιστες έως σπάνιες οι περιπτώσεις όπου ο τελικός χρήστης έχει πραγματική εικόνα πώς ο κάθε πάροχος διαχειρίζεται τα

38 36 προσωπικά του δεδομένα και τί συμβαίνει με αυτά μετά το πέρας συνεργασίας του με αυτόν. Τα μέτρα που συνήθως εφαρμόζονται από τους παρόχους έχουν την μορφή «αποδοχή ή άρνηση παροχής υπηρεσίας» σε την μορφή μιας μεγάλης λίστας νομικού περιεχομένου που ο τελικός χρήστης σχεδόν ποτέ δεν διαβάζει. Η αλήθεια είναι ότι στον τομέα ενημέρωσης και εκπαίδευσης των τελικών χρηστών σχετικά με τους κινδύνους και τις δυνατότητες διαχείρισης των προσωπικών στοιχείων τους, τα σημερινά δίκτυα υστερούν σε πολύ μεγάλο βαθμό. Επιπρόσθετα, πρέπει να αναφέρουμε πως ακόμα δεν έχει εφαρμοστεί στο διαδίκτυο ένα ενιαίο πλαίσιο διαχείρισης προσωπικών δεδομένων, ενώ στις ελάχιστες περιπτώσεις που αυτό υπάρχει σε μικρότερης κλίμακας δίκτυα, π.χ. η κυβέρνηση μιας περιοχής έχει ορίσει τις ελάχιστες διαδικασίες και πολιτικές χρήσης προσωπικών δεδομένων των πολιτών της, κάτι τέτοιο δεν εφαρμόζεται πάντα π.χ. σε παρόχους που εδρεύουν σε άλλες χώρες (ηλεκτρονικός τζόγος, κοινωνικά δίκτυα κ.α.). Περνώντας σε πιο τεχνικά θέματα όσον αφορά την ιδιοαπόρρητο, θα μπορούσαμε να την συνδέσουμε με τις παρακάτω έννοιες: Ανωνυμία: Η δυνατότητα πρόσβασης σε μία υπηρεσία χωρίς ο χρήστης να αποκαλύψει την πραγματική ταυτότητά του. Στην συγκεκριμένη περίπτωση θα πρέπει αυτός ο χρήστης να μπορεί να πιστοποιηθεί σε περίπτωση π.χ. ενός ποινικού αδικήματος. Ψευδωνυμία: Είναι η ίδια περίπτωση με την ανωνυμία, όμως σε αυτήν την περίπτωση ο χρήστης χρησιμοποιεί μία εικονική ταυτότητα μέσω όμως της οποίας και πάλι θα πρέπει ο χρήστης να μπορεί να πιστοποιηθεί σε περίπτωση π.χ. ενός ποινικού αδικήματος. Κατακερματισμός (αδυναμία σύνδεσης): Η δυνατότητα ενός χρήστη να έχει πρόσβαση σε πολλές και διαφορετικές υπηρεσίες χωρίς να μπορεί κάποιος να δημιουργήσει διασύνδεση μεταξύ αυτών των διαφορετικών διαδικασιών. Συσκότιση (αδυναμία παρατήρησης - καταγραφής): Η δυνατότητα ενός χρήστη να έχει πρόσβαση σε διάφορες υπηρεσίες ή δεδομένα χωρίς να μπορεί κάποιος να αντιληφθεί τι υπηρεσία είναι αυτή (π.χ. η αγορά ταινιών πορνογραφικού περιεχομένου). Η διατήρηση του ιδιοαπορρήτου δεν εξαρτάται μόνο από τις ενέργειες των χρηστών αλλά και από τις ενέργειες των παρόχων. Έτσι κατά την παροχή προσωπικών

39 37 δεδομένων από ένα χρήστη σε μία δικτυακή οντότητα θα πρέπει να ακολουθηθούν τα παρακάτω βήματα και να διασφαλιστεί πώς: Ο χρήστης έχει καταλάβει πλήρως το ποσό πληροφορίας που πρέπει να παρέχει, την διαθεσιμότητα και αποθήκευσή της και ότι συμφωνεί με όλα αυτά. Ο πάροχος πρέπει να συμφωνεί με το ποσό πληροφορίας που παρέχεται από τον χρήστη και ότι έχει καταλάβει ποια είναι τα δικαιώματά του πάνω σε αυτή. Μετά την παροχή των προσωπικών δεδομένων πρέπει να εξασφαλιστεί πως και οι δύο πλευρές εφαρμόζουν την συμφωνία ανταλλαγής, διάθεσης και χρησιμοποίησης αυτών. Αυτό θα πρέπει να γίνει με κάποιο είδος ελέγχουκαταγραφής των ενεργειών των δύο μερών τόσο μεταξύ τους αλλά και προς τρίτους. (π.χ. συνεργασία μεταξύ δύο παρόχων που περιλαμβάνει την ανταλλαγή προσωπικών δεδομένων χρηστών) Σε περίπτωση τροποποίησης της αρχικής συμφωνίας θα πρέπει και οι δύο πλευρές να ακολουθήσουν από την αρχή όλα τα βήματα δημιουργίας νέας συμφωνίας. Όπως προαναφέρθηκε, το ιδιοαπόρρητο σήμερα εξασφαλίζεται κυρίως κατά περίπτωση με κάθε πλαίσιο να ορίζει και να οργανώνει τα δικά του πλαίσια και συστήματα διαχείρισης. Τέτοια συστήματα συνήθως ακολουθούν συγκεκριμένες αρχιτεκτονικές. Κάποια από αυτά, βασίζονται σε εξειδικευμένα μοντέλα που ορίζουν ένα βασικό προφίλ χρήστη (3GPP Generic User Profile (GUP) (3GPP TS ) και μία αρχιτεκτονική για την ανταλλαγή στοιχείων ταυτότητας που βρίσκονται διάσπαρτα σε διαφορετικά δίκτυα. Μια άλλη προσέγγιση -OASIS XACML- δίνει περισσότερη βάση στην διαχείριση και εφαρμογή πολιτικών ορίζοντας τυποποιήσεις μέσω μιας κοινά αποδεκτής γλώσσας (XML) και ενός μοντέλου επεξεργασίας της πληροφορίας. Τέλος μια τρίτη προσέγγιση βασίζεται καθαρά στις δυνατότητες της κρυπτογραφίας για να επιτύχει την μέγιστη δυνατή ασφάλεια κατά την ανταλλαγή ευαίσθητων πληροφοριών (Privacy Enhancing Technologies - PETs) Εμπιστοσύνη Η διαφύλαξη του ιδιοαπορρήτου συνδέεται άμεσα με την εμπιστοσύνη μεταξύ των μερών που έχουν πρόσβαση σε μια ψηφιακή ταυτότητα. Σε ένα αχανές Διαδίκτυο,

40 38 εκτός από ένα πολύ μικρό αριθμό πολύ γνωστών οντοτήτων, οι αιτήσεις για πρόσβαση σε ψηφιακά δεδομένα και ταυτότητες γίνεται κατά κύριο λόγο από αγνώστους. Αν σε αυτό συμψηφίσουμε και το μεγάλο αριθμό επιθέσεων που βασίζονται στην αντιποίηση αρχών ή νόμιμων οργανισμών, η εμπιστοσύνη στο Διαδίκτυο δεν μπορεί να στηριχτεί μόνο στην δήλωση κάποιου για το ποιός είναι, αλλά στην ικανότητά του να το αποδείξει. Μια διαφορετική, αλλά εξίσου σημαντική, μορφή εμπιστοσύνης στο Διαδίκτυο είναι και η αξιοπιστία των οντοτήτων που έχουν αποθηκευμένα τα ψηφιακά δεδομένα των χρηστών και άρα απεριόριστη πρόσβαση σε αυτά. Η εμπιστοσύνη μεταξύ δύο μερών πλέον αποτελεί βασικό κομμάτι στην παροχή υπηρεσιών, ανταλλαγή πληροφοριών ή αποκάλυψης ευαίσθητων δεδομένων σήμερα. Η διαχείρισή της ως τώρα, γίνεται με πολύ στατικούς τρόπους και, όπως και η ιδιοαπόρρητο, εφαρμόζεται συνήθως κατά περίπτωση. Τα περισσότερα συστήματα διαχείρισης εμπιστοσύνης βασίζονται σε μία ήδη προϋπάρχουσα σχέση εμπιστοσύνης. Τέτοια συστήματα απαιτούν την δημιουργία μιας συμφωνίας μεταξύ δύο ή περισσοτέρων μερών και παρέχουν τα εργαλεία διατήρησης αυτής της σχέσης, όπως πρωτόκολλα επικοινωνίας (SAML) ή στοιχεία ασφάλειας (PKI). Τα μειονεκτήματα αυτού του μοντέλου είναι αρκετά. Είναι δύσκολο να εφαρμοστεί και να συντηρηθεί, ιδιαίτερα όταν τα εμπλεκόμενα μέρη είναι πολλά σε αριθμό. Επιπλέον απαιτεί την ύπαρξη κεντρικών αρχών για την διατήρηση και επίβλεψη της ορθής λειτουργίας του. Μια διαφορετική προσέγγιση αποτελεί το PAPE που βασίζεται στην δημιουργία ενός συστήματος όπου οι πάροχοι υπηρεσιών μπορούν να ζητούν προεγκεκριμένες και πιστοποιημένες πολιτικές για άλλους παρόχους, ενώ παράλληλα θα μπορούν και να διαφημίζουν και τις δικές τους πολιτικές. Τέλος μια άλλη κατηγορία συστημάτων εμπιστοσύνης ορίζει κεντρικά σημεία όπου δημιουργούνται λίστες με αξιόπιστες και μη δικτυακές οντότητες. Αυτές οι λίστες όμως, δημιουργούνται χειροκίνητα από κάποιον διαχειριστή κάτι που εγείρει θέματα στο κατά πόσο έγκυρες και ενημερωμένες είναι. Η διαχείριση εμπιστοσύνης πλέον μεταφέρεται σε πιο δυναμικά μοντέλα. Έχουν ήδη αρχίσει να προτείνονται μοντέλα δυναμικής διαπραγμάτευσης εμπιστοσύνης μεταξύ δύο αγνώστων μερών που θέλουν να συνεργαστούν. Η διαπραγμάτευση αυτή συμπεριλαμβάνει τεχνικές αναγνώρισης και εμπιστοσύνης, όπως «γνωστός κάποιου γνωστού μου» (friend of a friend), επίπεδα αξιολόγησης (πόσο αξιόπιστο χρειάζεται

41 39 να είναι κάποιο μέρος για μια συγκεκριμένη υπηρεσία) και δυναμικού ελέγχου, προσαρμογής και διατήρησης της ήδη υπάρχουσας εμπιστοσύνης Κινητικότητα Κινούμενοι προς ένα Διαδίκτυο ενοποιημένων δικτύων και υπηρεσιών, ένας μεγάλος αριθμός ψηφιακών δεδομένων θα μετακινηθούν προς νέες τεχνολογίες, διοικητικές περιοχές και γενικότερα διαφορετικού τύπου πλαίσια. Ανάμεσα σε αυτά βρίσκονται και οι ψηφιακές ταυτότητες, οι οποίες πλέον δεν ανήκουν στον πάροχο που τις δημιούργησε, αλλά στον χρήστη ο οποίος θα έχει την δυνατότητα να μεταφέρει τα ψηφιακά του δεδομένα όπου αυτός επιθυμεί και εμπιστεύεται. Για να υποστηριχτεί όμως κάτι τέτοιο θα πρέπει να παρέχεται στον χρήστη η δυνατότητα να εξάγει τα δεδομένα του από έναν πάροχο και να τα μεταφέρει σε κάποιον άλλον Διαλειτουργικότητα Όπως αναφέρθηκε και παραπάνω, το πλήθος των διαφορετικών format που ακολουθούν οι σημερινές ψηφιακές ταυτότητες είναι εξαιρετικά μεγάλο. Κάποιες από αυτές ακολουθούν συγκεκριμένους κανόνες, άλλες περιέχουν την ονομασία του παρόχου που τις διαχειρίζεται, κοκ. Με την επικείμενη ενοποίηση των σημερινών δικτύων αυτή η διαφορετικότητα ανάγεται σε ένα από τα μεγαλύτερα προβλήματα στην διαχείριση ταυτοτήτων. Αυτό συμβαίνει γιατί μέχρι σήμερα το κάθε δίκτυο είναι σε θέση να αναγνωρίζει και να επεξεργάζεται μόνο συγκεκριμένα format. Για παράδειγμα ορισμένες δικτυακές διαδικασίες στηρίζονται σε πληροφορίες δρομολόγησης που μπορεί μια ταυτότητα να περιέχει ή χρησιμοποιούν συγκεκριμένες τιμές και χαρακτήρες (π.χ. τηλέφωνα) κ.α. Προκύπτει λοιπόν το πρόβλημα της συνεννόησης μεταξύ των δικτύων, τεχνολογιών και γενικότερα πλαισίων που χρησιμοποιούν διαφορετικούς τύπους ταυτότητες.

42 40

43 3 Διαχείριση Ψηφιακών Ταυτοτήτων 41 Από την πρώτη στιγμή δημιουργίας των ψηφιακών ταυτοτήτων εμφανίστηκε η ανάγκη διαχείρισής τους στα διάφορα πλαίσια στα οποία αυτές χρησιμοποιούνταν. Με άλλα λόγια από την αρχή χρειάστηκε να καθοριστεί η πληροφορία που μία ψηφιακή ταυτότητα εμπεριέχει, με ποιές άλλες ταυτότητες συσχετίζεται, σε ποιά πλαίσια (δίκτυα, διοικητικές περιοχές κ.α.) είναι αποδεκτή, τι μορφή (format) ακολουθεί, και μία σειρά από άλλα χαρακτηριστικά και ιδιότητες οι οποίες την κάνουν λειτουργική. Αυτή διαχείριση μέχρι και πριν από λίγα χρόνια ήταν αρκετά εύκολη αφού τα μέχρι πρόσφατα απομονωμένα δίκτυα και υπηρεσίες καθόριζαν από μόνα τους την μορφή και την λειτουργία των ψηφιακών ταυτοτήτων που χρησιμοποιούσαν. Αυτός ο καθορισμός δεν γινόταν με βάση κάποια στάνταρντ αλλά κατά κύριο λόγο βασιζόταν σε εσωτερικές αποφάσεις που κάθε δίκτυο έπαιρνε αυτόνομα. Το αποτέλεσμα ήταν η δημιουργία μιας πολύ μεγάλης γκάμας διαφορετικών ψηφιακών ταυτοτήτων με διαφορετικά χαρακτηριστικά, ιδιότητες και λειτουργικότητα. Όπως αναφέρει και η ITU σε ανάλυσή της [3] σχετικά με τις προϋποθέσεις και τα προβλήματα που πρέπει να αντιμετωπιστούν για την εξέλιξη του Διαδικτύου, «Το εξαιρετικά κατανεμημένο και αυτόνομο περιβάλλον των υπολογιστών και δικτύων (ICT) δημιούργησε απομονωμένα νησιά διαχείρισης ψηφιακών ταυτοτήτων με μεγάλα προβλήματα διαλειτουργικότητας μεταξύ τους». 3.1 Διαχείριση Ψηφιακών Ταυτοτήτων το πρόβλημα Με τη ραγδαία εξάπλωση του Διαδικτύου, η διαφορετικότητα των ψηφιακών ταυτοτήτων άρχισε να δημιουργεί προβλήματα διαλειτουργικότητας και συνεργασίας μεταξύ δικτύων, υπηρεσιών, και πλαισίων όχι μόνο διαφορετικής τεχνολογίας αλλά ακόμα και συστημάτων ίδιας τεχνολογίας που είχαν σχεδιαστεί σε διαφορετικές διοικητικές περιοχές. Χαρακτηριστικό παράδειγμα αποτελούν τα social networks όπου ακόμα και σήμερα είναι ιδιαίτερα δύσκολη ως και αδύνατη η συνεργασία και ανταλλαγή πληροφοριών μεταξύ τους. Παρότι το πρόβλημα άρχισε να διαφαίνεται από νωρίς, η κοινότητα του Διαδικτύου συνεχώς ανέβαλλε την αντιμετώπισή του. Οι όποιες αρχικές προσπάθειες έγιναν, το μόνο που κατάφεραν ήταν να διαπιστώσουν την εξαιρετικά μεγάλη πολυπλοκότητα του προβλήματος. Κάθε διαφορετικό πλαίσιο απαιτούσε διαφορετική λύση, αφού η διαχείριση των ψηφιακών ταυτοτήτων του

44 42 βασιζόταν σε διαφορετικές προϋποθέσεις και λειτουργούσε υπό διαφορετικές συνθήκες. Τον Μάιο του 2005, ο Kim Cameron, μηχανικός της Microsoft μαζί με την ομάδα του, άνοιξε μια συζήτηση με την online κοινότητα για τη ανταλλαγή απόψεων που σχετίζονται με την ταυτότητα και τις απαιτήσεις των χρηστών, για τον τομέα του Διαδικτύου. Τα αποτελέσματα αυτής της συζήτησης συνοψίστηκαν στην έκδοση "Οι νόμοι της ταυτότητας» [4] όπου ο Cameron όρισε τους 7 νόμους που πρέπει να διέπουν τις ψηφιακές ταυτότητες. Η πρόθεση του ήταν να αντιμετωπίσει το γεγονός ότι «το Διαδίκτυο χτίστηκε χωρίς να υπάρχει τρόπος να γνωρίζει κάποιος με ποιον και με τι είναι συνδεδεμένος» καταδεικνύοντας έτσι το πρόβλημα της διαχείρισης ψηφιακών ταυτοτήτων σε εξαιρετικά μεγάλα κατανεμημένα συστήματα όπως το Διαδίκτυο, λαμβάνοντας παράλληλα υπόψη και τις απόψεις των χρηστών για τον όρο «ψηφιακή ταυτότητα». Οι οργανισμοί που ακολουθούν αυτούς τους νόμους κατά τον σχεδιασμό ή την ανάπτυξη οποιουδήποτε συστήματος ή αρχιτεκτονικής διαχείρισης ταυτοτήτων θα είναι σε θέση να υποστηρίξουν με τον καλύτερο δυνατό τρόπο την συνεργασία με άλλους οργανισμούς και τεχνολογίες. Οι επτά νόμοι έχουν ως εξής: 3.2 Οι 7 νόμοι του Cameron 1. Έλεγχος και Συναίνεση από πλευράς Χρήστη: Ο χρήστης θα πρέπει να έχει τον έλεγχο των στοιχείων και δεδομένων του, ως εκ τούτου τα συστήματα ταυτοτήτων δεν θα πρέπει να αποκαλύπτουν τις πληροφορίες αυτές χωρίς τη συγκατάθεσή του. 2. Ελάχιστη Κοινοποίηση για περιορισμένη Χρήση: Κανένα σύστημα δεν είναι 100% ασφαλές, και ως εκ τούτου όσο λιγότερο αναγνωρίσιμα είναι τα δεδομένα που αποθηκεύονται ή διατηρούνται, σε ένα συγκεκριμένο πλαίσιο ή σύστημα, τόσο μικρότερος είναι ο κίνδυνος που διατρέχει ο χρήστης σε περίπτωση που υπάρξει πρόβλημα ασφαλείας στο εν λόγω σύστημα. Επιπλέον, η ελαχιστοποίηση των πληροφοριών αυτών μειώνει την ελκυστικότητα του συστήματος για κλοπή δεδομένων ταυτότητας, μειώνοντας έτσι τους κίνδυνους ακόμα περισσότερο. 3. Δικαιολογημένες Αιτήσεις: Τα συστήματα ταυτοτήτων θα πρέπει να παρέχουν πληροφορίες μόνο σε μέρη που έχουν αποδεδειγμένα βάσιμους λόγους στην πρόσβαση αυτών των πληροφοριών. Κάθε σύστημα, πριν το δικαίωμα πρόσβασης, θα πρέπει να παρέχει πολιτική δήλωση σχετικά με

45 43 τη χρήση της πληροφορίας, όπου θα διευκρινίζεται τι θα συμβεί με τις κοινοποιούμενες πληροφορίες. 4. Κατευθυντική Ταυτότητα: Ένα σύστημα ταυτοτήτων θα πρέπει να μπορεί να υποστηρίξει τόσο την «διαχέουσα» όσο και την «μονής κατεύθυνσης» ταυτότητα. Η πρώτη περίπτωση μπορεί να αντιστοιχιστεί με ένα «φάρο», όπου ο οποιοσδήποτε που θέλει, θα μπορεί να δει και να αναγνωρίσει (ένα πιστοποιητικό SSL μιας ιστοσελίδας, για παράδειγμα). Η άλλη περίπτωση, είναι μια μοναδική σχέση ανταλλαγής μιας ταυτότητας μεταξύ δύο μερών, και θα πρέπει μόνο να είναι γνωστή μόνο σε αυτά τα δύο μέρη (ένα παράδειγμα θα ήταν το username σε ένα ηλεκτρονικό κατάστημα). 5. Ο Πλουραλισμός των Φορέων και των Τεχνολογιών: Κανένα σύστημα ταυτοτήτων ή φορέας παροχής και διαχείρισης ταυτοτήτων δεν θα είναι σε θέση να ικανοποιήσει κάθε πιθανό σενάριο ή πλαίσιο. Ένα σύστημα ταυτότητας λοιπόν θα πρέπει, να μπορεί να υποστηρίξει και την διαλειτουργικότητα με πολλαπλές τεχνολογίες ταυτότητας και φορείς παροχής ταυτοτήτων. Ένα καθολικό «μέτα-σύστημα» ταυτοτήτων θα πρέπει να είναι πολυκεντρικό και πολυμορφικό. 6. Ένταξη των Ανθρώπων: Ο χρήστης θα πρέπει να θεωρηθεί ως το τελικό σημείο της επικοινωνίας ή αλληλεπίδρασης. Ακόμη και το πιο ασφαλές σύστημα μπορεί να εξουδετερώνεται από έναν κακώς πληροφορημένο ή αφελή χρήστη. Η πρόσφατη έκρηξη σε phishing, pharming κ.α. επιθέσεις αποδεικνύει ακριβώς αυτό. Ένα σύστημα ταυτότητας πρέπει να συμπεριλαμβάνει τον ανθρώπινο χρήστη ως αναπόσπαστο μέρος του και να μπορεί να διαχειρίζεται όλες τις αλληλεπιδράσεις που ο τελευταίος μπορεί να έχει με αυτό (μαζί και με τα θέματα ασφάλειας που μπορεί να προκύψουν από αυτήν την αλληλεπίδραση). 7. Σταθερή Εμπειρία μεταξύ διαφορετικών Πλαισίων: Ένα σύστημα ταυτότητας θα πρέπει να παρουσιάσει μια εύκολη και σταθερή διεπαφή απέναντι στον χρήστη ανεξαρτήτως τις τεχνολογίες που εμπλέκονται κάθε φορά. 3.3 Το πρόβλημα με αριθμούς Εξετάζοντας το μέγεθος του προβλήματος με αριθμούς, πρόσφατες μελέτες έδειξαν ότι το μέγεθος του διαδικτύου διπλασιάζεται κάθε 5,32 χρόνια [5]. Ο τομέας του

46 44 ηλεκτρονικού εμπορίου αναμένεται να αυξηθεί κατά 70% μέχρι το 2013, ενώ το 50% των Ευρωπαίων θα αγοράζει απευθείας από το Διαδίκτυο μέχρι το 2013, όπως περιγράφεται στο [6]. Σε αυτήν την έκθεση διαπιστώνονται επίσης κακές υποδομές και πολιτιστικοί παράγοντες, όπως τα επίπεδα εμπιστοσύνης ανάμεσα σε επιχειρήσεις, ως σημαντικά ζητήματα στον περιορισμό του ηλεκτρονικού εμπορίου στην Ευρώπη. Το Online banking είναι επίσης ένας σημαντικός τομέας που πλέον έχει αρχίσει να χρησιμοποιείται από σχεδόν το 1/3 του online πληθυσμού της Ευρώπης, σύμφωνα με [7]. Παράλληλα με τις online υπηρεσίες όμως, παρατηρείται μία ραγδαία άνοδος σε απάτες με στόχο την ταυτότητα, τους κωδικούς πρόσβασης στο Internet, phishing και pharming επιθέσεις κ.α. Περισσότερες από 2000 εταιρείες σε 30 χώρες δέχθηκαν επίθεση μόνο το 2007, με ζημίες υψηλότερες από 3 δισεκατομμύρια δολάρια ετησίως [8] - Οι επιθέσεις phishing και pharming είναι ένας συνδυασμός ανεπιθύμητης αλληλογραφίας, spyware ή malware και πλαστά sites (μια ιστοσελίδα που μιμείται ένα πολύ γνωστό εμπορικό σήμα), με πρόθεση την συλλογή προσωπικών δεδομένων, κωδικών πρόσβασης των χρηστών, τραπεζικών λογαριασμών και αριθμούς πιστωτικών καρτών -. Επιστημονικές έρευνες της Kaspersky Lab αναφέρουν πως από τα τέλη του 2009, η αύξηση του αριθμού των κακόβουλων προγραμμάτων που έχουν σχεδιαστεί για την υποκλοπή προσωπικών δεδομένων έχει ξεπεράσει το 100%. Μέσα στο 2010, πάνω από νέες τραπεζικές υπογραφές Trojan καταχωρήθηκαν στις βάσεις δεδομένων της Kaspersky Lab. Το συγκεκριμένο μέγεθος είναι πέντε φορές μεγαλύτερο σε σχέση με το Παράλληλα η αυξανόμενη αγορά των social networks έθεσε νέα ζητήματα όσον αφορά την προστασία της ιδιωτικής ζωής και την προστασία των ανηλίκων. Στο [9] διαπιστώνεται ότι τόσο facebook.com και myspace.com έλαβε πάνω από 200 εκατομμύρια επισκέπτες κατά τη διάρκεια του Ιανουαρίου Σύμφωνα με την Ευρωπαϊκή Επιτροπή [10] επί του παρόντος 41,7 εκατομμύρια Ευρωπαίοι είναι τακτικοί χρήστες των ιστότοπων κοινωνικής δικτύωσης ένας αριθμός που αναμένεται να αυξηθεί μέχρι και 107,4 εκατομμύρια ως το τέλος του Όσοι περισσότεροι άνθρωποι χρησιμοποιούν έναν online πόρο ή ένα κοινωνικό δίκτυο, τόσο πιο ελκυστικά γίνονται αυτά για τους απατεώνες. Το PayPal, το Amazon, το Yandex και η MasterCard ήταν οι εταιρείες που δέχθηκαν τις περισσότερες επιθέσεις, ενώ το Facebook, το MySpace, το Windows Live και το Live

47 45 Journal ήταν τα κοινωνικά δίκτυα που ήταν υψηλότερα στις προτιμήσεις των κυβερνοεγκληματιών για το Σήμερα, ένας κλεμμένος λογαριασμός του Facebook μπορεί να κοστίσει πολλές εκατοντάδες δολάρια στη μαύρη αγορά. Ακόμα και όταν οι εγκληματίες του κυβερνοχώρου δεν μπορούν να έχουν άμεσα κέρδη από τα κλεμμένα προσωπικά δεδομένα, η κατάσταση εξακολουθεί να είναι επικίνδυνη για το χρήστη. Όπως αναφέρουν ειδικοί στον χώρο, τον τελευταίο καιρό παρατηρείται συνεργασία μεταξύ κοινών και online εγκληματιών. Για παράδειγμα, οι κοινοί εγκληματίες αγοράζουν σαρωμένες φωτογραφίες διαβατηρίων και αδειών οδήγησης από τους εγκληματίες του κυβερνοχώρου, προκειμένου να τις χρησιμοποιήσουν για τις δικές τους παρανομίες. Αλλά και όσον αφορά τις επιθέσεις στο Διαδίκτυο, η αλήθεια είναι ότι εκατομμύρια υπολογιστές, συμπεριλαμβανομένων των υπολογιστών εταιρικών χρηστών, μολύνονται κάθε μέρα και καταλήγουν να γίνονται μέρος ενός botnet που στέλνει μηνύματα spam ή υλοποιεί επιθέσεις DDoS. Είναι απλά θέμα χρόνου η επιθέσεις αυτές σε λίγο καιρό να έχουν στόχο και τις προσωπικές πληροφορίες των χρηστών αυτών των υπολογιστών. 3.4 Αδυναμία αντιμετώπισης σε μεγάλη κλίμακα Πολλές προσπάθειες γίνονται ώστε να αντιμετωπιστούν τα προβλήματα που διαρκώς εμφανίζονται στον τομέα της διαχείρισης ταυτοτήτων, όμως επειδή πίσω από το διαδίκτυο και τις υπηρεσίες του πλέον έχει αναπτυχθεί μια τεράστια οικονομία, τα εμπλεκόμενα μέρη πολλές φορές δεν περιμένουν την ανάπτυξη μιας ενιαίας λύσης, παρά σχεδιάζουν εξειδικευμένες λύσεις για την δική τους περίπτωση. Έτσι παρότι πολλές ερευνητικές ομάδες, τόσο από εταιρίες αλλά και από πανεπιστήμια, έχουν προτείνει μια σειρά λύσεις, παρατηρείται το φαινόμενο αυτές οι λύσεις να είναι εφαρμόσιμες μόνο υπό συγκεκριμένες συνθήκες και πλαίσια χωρίς να είναι δυνατή η ενσωμάτωσή τους ή η συνεργασία τους με άλλα συστήματα και πλαίσια. Πιο συγκεκριμένα, τα συστήματα διαχείρισης ψηφιακών ταυτοτήτων που έχουν παρουσιαστεί ως τώρα, σχεδόν στο σύνολό τους, είναι σχεδιασμένα με τέτοιο τρόπο ώστε λαμβάνουν υπόψη μόνο τις απαιτήσεις που προκύπτουν ως αποτέλεσμα ενός περιορισμένου αριθμού σεναρίων χρήσης. Σε αυτά τα σενάρια συνήθως εξετάζεται ένα υποσύνολο του προβλήματος που αντιμετωπίζει κάποια κοινότητα (πάροχοι υπηρεσιών που συνεργάζονται, οργανισμοί, εταιρίες τηλεπικοινωνιών κ.τ.λ.) κατά την παροχή κάποιων υπηρεσιών.

48 46 Κάθε περίπτωση από αυτές είναι διαφορετική, βασίζεται σε διαφορετικές τεχνολογικές απαιτήσεις και εξυπηρετεί υπηρεσίες διαφορετικού σκοπού. Παράλληλα, οι απαιτήσεις ιδιοαπορρήτου, εμπιστοσύνης και ασφάλειας όχι μόνο είναι διαφορετικές κάθε φορά αλλά και μεταβάλλονται δυναμικά κατά το πέρασμα του χρόνου. Το αποτέλεσμα αυτών των ανεξάρτητων προσπαθειών, είναι η δημιουργία ενός μεγάλου αριθμού διαφορετικών IdM συστημάτων, τα οποία ουσιαστικά ορίζουν την δική τους αποκλειστική «IdM κοινότητα» (επονομαζόμενη ως ομοσπονδία - Federation ή κύκλος εμπιστοσύνης- Circle of Trust κ.λπ.) που αποτελείται μόνο από εκείνα τα μέρη που ικανοποιούν το υποσύνολο των απαιτήσεων, βάση του οποίου σχεδιάστηκε το συγκριμένο IdM σύστημα. Λύσεις που αφορούν την διαχείριση ταυτοτήτων παρέχονται μόνο στα μέλη αυτής της κοινότητας εφόσον αυτά παραμένουν εντός των προκαθορισμένων ορίων της. Αυτή η πρακτική έχει οδηγήσει στο σχηματισμό απομονωμένων «IdM νησιών» με σοβαρά ζητήματα διαλειτουργικότητας. Προσπάθειες για να συνδεθούν και να συνεργαστούν αυτά τα απομονωμένα συστήματα έχουν ήδη προταθεί, όμως και πάλι οι λύσεις τείνουν να ακολουθήσουν την ίδια πρακτική. Ορίζεται ένα νέο μεγαλύτερο πλαίσιο, και μέσα σε αυτό σχεδιάζονται νέες στατικές διαδικασίες αντιστοίχισηςσυσχέτισης εννοιών και δεδομένων ταυτότητας που είναι λειτουργικές μόνο μέσα στα νέα «σύνορα». Με άλλα λόγια, και πάλι δημιουργείται μία νέα IdM κοινότηταομοσπονδία μόνο που είναι μεγαλύτερη αυτή τη φορά. Το κίνητρο όμως πίσω από την δημιουργία μιας νέας ομοσπονδίας δεν είναι η αντιμετώπιση τεχνικών προβλημάτων δικτύων. Μια ομοσπονδία είναι το αποτέλεσμα κάποιας επιχειρησιακής συμφωνίας, πολιτικών αποφάσεων, ηθικών ζητημάτων, κ.λπ. Συνήθως σχηματίζεται από μία ομάδα παρόχων για να μπορέσουν να σχεδιάσουν νέες καινοτόμες υπηρεσίες, να μοιραστούν τους πελάτες τους, και να προσελκύσουν ακόμα περισσότερους. Αυτό έχει ως αποτέλεσμα κάθε νέο IdM σύστημα που σχηματίζεται να μην έχει ως πρωταρχικό στόχο την λύση του ζητήματος της διαχείρισης ψηφιακών ταυτοτήτων παρά την αντιμετώπιση των μόνο των προβλημάτων που προκύπτουν σε ένα πολύ συγκεκριμένο επιχειρησιακό περιβάλλον. Εδώ θα πρέπει να διευκρινιστεί πως, η πρακτική της δημιουργίας εξειδικευμένων ομοσπονδιών, είναι απόλυτα υγιής αφού επιτρέπει στις διάφορες επιχειρηματικές κοινότητες να συνεργάζονται και να σχεδιάζουν καινοτόμες λύσεις διαχείρισης

49 47 ταυτοτήτων που είναι προσαρμοσμένες στις απαιτήσεις τους και στις υπηρεσίες τους. Το μεγάλο λάθος όμως που κάνουν όμως οι σημερινές ερευνητικές ομάδες είναι η προσπάθεια να ενώσουν όλες αυτές τις διαφορετικού σκοπού λύσεις με την δημιουργία όλο και μεγαλύτερων IdM ομοσπονδιών, επαναλαμβάνοντας το πρόβλημα διαρκώς υπό την μορφή fractal. Μια διαφορετική προσέγγιση για την αντιμετώπιση του προβλήματος βασίζεται στην γενική υιοθέτηση ενός παγκόσμιου προσδιοριστικού ή ταυτότητας με πολύ συγκεκριμένη μορφή (format) που θα είναι κατανοητό από όλα τα δίκτυα και τις υπηρεσίες. Ένας μεγάλος αριθμός τέτοιων προσδιοριστικών έχουν προταθεί μέχρι σήμερα (VID, XRID κ.α.), όμως η υιοθέτησή τους αποτελεί το μεγάλο εμπόδιο στην εφαρμογή των προτεινόμενων συστημάτων. Η αλήθεια είναι πως η υιοθέτηση μιας τέτοιας ταυτότητας θα έλυνε αυτόματα πολλά προβλήματα διαχείρισης, όμως κάτι τέτοιο αποδεικνύεται να είναι εξαιρετικά δύσκολο (ίσως και αδύνατο) για δύο λόγους. Πρώτον πολλές διάφορες ερευνητικές ομάδες προσπαθούν να επιβάλλουν την δική τους ταυτότητα αρνούμενες να συνεργαστούν με άλλες κυρίως για οικονομικούς και εταιρικούς λόγους, και δεύτερον η υιοθέτηση από όλους ενός νέου τύπου ταυτότητας, απαιτεί από όλα τα δίκτυα και τις υπηρεσίες να προσαρμόσουν τα πρωτόκολλα και τις διαδικασίες στους ώστε να μπορούν να το επεξεργαστούν. 3.5 Μια διαφορετική προσέγγιση Το IdM πρόβλημα στο «μελλοντικό Διαδίκτυο» πρέπει να προσεγγιστεί από μια διαφορετική προοπτική. Η προτεινόμενη λύση θα πρέπει να ενεργήσει ως κόλλα μεταξύ των σημερινών IdM ομοσπονδιών υποστηρίζοντας τη διαλειτουργικότητα τους με το να επιτρέπει στα διάφορα στοιχεία ταυτότητας να ταξιδεύουν αυτόνομα μεταξύ διαφορετικών πλαισίων χωρίς να επηρεάζονται οι εσωτερικές διαδικασίες δικτύων. Με άλλα λόγια θα πρέπει να επιτραπεί στις διάφορες κοινότητες να σχεδιάζουν τις δικές τους IdM λύσεις, αλλά αντί να γίνεται προσπάθεια όλα αυτά τα διαφορετικά συστήματα να ενωθούν κάτω από μια κοινή ομπρέλα, να δημιουργηθεί ένα αυτόνομο και ανεξάρτητο σύστημα που θα μπορεί να συσχετίζει τα στοιχεία των ψηφιακών ταυτοτήτων ενός χρήστη που βρίσκονται διάσπαρτα ανάμεσα σε αυτές τις λύσεις επιτρέποντας την ανταλλαγή πληροφοριών ανάμεσά τους. Αυτή η διαφορετική οπτική, καταδεικνύεται στο παρακάτω παράδειγμα. Πολυάριθμα πρωτόκολλα και διαδικασίες για την αντιμετώπιση σχεδόν οποιουδήποτε προβλήματος σχετικού με την διαχείριση ταυτοτήτων (επικύρωση, έγκριση,

50 48 ανταλλαγή ιδιοτήτων κ.λπ.) έχουν ήδη σχεδιαστεί. Αυτή η πρακτική δεν αναμένεται για να αλλάξει αφού η αλήθεια είναι ότι επιτρέπει σε καινούρια περιβάλλοντα και τεχνολογικά πλαίσια να δημιουργηθούν και να αναπτυχθούν. Σε αυτό το ανομοιογενές σκηνικό, οι διάφοροι προμηθευτές, οργανισμοί, και γενικότερα πάροχοι ταυτοτήτων, αναμένεται να δημιουργήσουν πολλαπλές συνεργασίες και έτσι θα συμμετάσχουν σε πολλές διαφορετικές ομοσπονδίες. Provider supplier.com participates in Federations A and B Federation Group A webstore.com* supplier.com Federation Group B gov.com* user@webstore.com * the end user has a registered account with this provider Εικόνα 1: Παροχή υπηρεσίας εκτός ορίων διοικητικής περιοχής παρόχου Στην εικόνα 1, ο προμηθευτής «supplier.com» ταυτόχρονα συμμετέχει σε δύο ομοσπονδίες. Την ομοσπονδία Α, που έχει σχηματιστεί από οργανισμούς και προμηθευτές για την παροχή υπηρεσιών αγορών στο διαδίκτυο, και την ομοσπονδία Β, η οποία έχει σχηματιστεί από οργανισμούς και προμηθευτές που βρίσκονται σε μια συγκεκριμένη χώρα. Ένας χρήστης συνδέεται τον λογαριασμό του στον προμηθευτή «webstore.com», χρησιμοποιώντας το προσδιοριστικό «user@webstore.com», και ζητά μια συγκεκριμένη υπηρεσία (μία αγορά ενός προϊόντος από το διαδίκτυο). Προκειμένου να ολοκληρωθεί η συναλλαγή, ο προμηθευτής «webstore.com» πρέπει να έρθει σε επαφή και με άλλους προμηθευτές από την ομοσπονδία Α. Ο «supplier.com» για να ολοκληρώσει το δικό του μέρος της συναλλαγής πρέπει αρχικά να επικυρώσει την ηλικία του χρήστη. Όμως, αυτή η πληροφορία (ηλικία του χρήστη)

51 49 δεν υπάρχει σε κανέναν από τους συμμετέχοντες προμηθευτές στην ομοσπονδία Α, αλλά σε έναν προμηθευτή που συμμετέχει στην ομοσπονδία Β. Οι ομοσπονδίες Α και Β έχουν σχηματιστεί για να εξυπηρετήσουν διαφορετικούς σκοπούς και δεν υπάρχει κανένας λόγος να ενσωματωθούν. Από την άλλη μεριά όμως, οι διάφοροι προμηθευτές δεν μπορούν να απορρίπτουν ή να περιορίσουν την παροχή των υπηρεσιών τους βάση των διαθέσιμων στοιχείων και δεδομένων σε ένα συγκεκριμένο πλαίσιο. Ο προμηθευτής «Supplier.com», με την συμμετοχή του στην ομοσπονδία Β, ήδη διαθέτει όλες τις διαδικασίες και την εμπιστοσύνη που χρειάζεται για να αποκτήσει τις απαραίτητες πληροφορίες και να ολοκληρώσει τη συναλλαγή. Οι υπάρχουσες τεχνολογικές λύσεις παρόλα αυτά αδυνατούν να υποστηρίξουν αυτή την περίπτωση επειδή ο «supplier.com» δεν μπορεί αυτόνομα να ανακαλύψει που βρίσκονται οι επιθυμητές πληροφορίες, ενώ ακόμα κι αν κάπως ήξερε ότι αυτές υπάρχουν στο «gov.com», το όνομα χρήστη δεν είναι κατανοητό στον προμηθευτή «gov.com». Οι διάφοροι προμηθευτές, πάροχοι, οργανισμοί (με μία ονομασία καταναλωτές ταυτότητας) πάντα θα χρειάζονται πρόσβαση σε ποικίλα δεδομένα ταυτοτήτων ανάλογα με τις συγκεκριμένες απαιτήσεις της εκάστοτε υπηρεσίας που πρέπει να παρέχουν. Οι ομοσπονδίες δεν θα είναι πάντα σε θέση να αποθηκεύσουν ή να παρέχουν πρόσβαση στα απαραίτητα δεδομένα για κάθε περίπτωση. Για να αντιμετωπίσουμε λοιπόν το IdM πρόβλημα σε ένα ιδιαίτερα δυναμικό και ετερογενές περιβάλλον δικτύων όπως το μελλοντικό Διαδίκτυο, θα πρέπει να δώσουμε στους προμηθευτές την δυνατότητα να μπορούν ανεξάρτητα να ανακαλύπτουν, να επικοινωνούν και να ανταλλάσουν τα δεδομένα ταυτότητας που χρειάζονται σε κάθε περίπτωση. Η ανταλλαγή αυτών των δεδομένων θα μπορεί κάθε φορά να εκπληρώνεται βάση προεγκατεστημένων και προσυμφωνημένων πρωτόκολλων και τις διαδικασιών. Βέβαια, η υπόθεση ότι οι προμηθευτές «supplier.com» και «gov.com» θα συμμετάσχουν πάντα σε μια κοινή ομοσπονδία δεν θα ισχύει πάντα. Στην εικόνα 2 παρουσιάζεται μια παραλλαγή του παραπάνω σεναρίου όπου οι προμηθευτές «supplier.com» και «gov.com» δεν συμμετέχουν σε κάποια κοινή ομοσπονδία. Υποθέτοντας ότι το «supplier.com» είναι σε θέση να εντοπίσει ότι τα επιθυμητά δεδομένα βρίσκονται στον «gov.com», τότε οι δύο προμηθευτές μπορούν αρχικά να

52 50 επικοινωνήσουν και να ανταλλάξουν πληροφορίες σχετικά με τις ομοσπονδίες που συμμετέχουν. Provider supplier.com participates in Federations A and B Federation Group A supplier.com Federation Group B webstore.com * trusted.com user@webstore.com Federation Group C gov.com * Εικόνα 2: Παροχή υπηρεσίας εκτός ορίων διοικητικής περιοχής με την βοήθεια έμπιστου παρόχου Τέτοιες πληροφορίες (υπάρχουσες ομοσπονδίες και συμμετέχοντες προμηθευτές) υπάρχουν στο Διαδίκτυο [11] και μπορούμε να υποθέσουμε ότι δεν θεωρούνται ευαίσθητες από άποψη ασφάλειας ή ιδιοαπορρήτου. Στην συνέχεια ανάμεσα σε αυτές τις ομοσπονδίες, οι προμηθευτές εντοπίζουν μια κοινή οντότητα (άλλο προμηθευτή, οργανισμό κ.τ.λ..) που έχει καθιερωμένες διαδικασίες και εμπιστοσύνη με και τους δύο, και ικανοποιεί όλες τις απαιτήσεις (π.χ. συγκεκριμένα επίπεδα εμπιστοσύνης) για την ολοκλήρωση της συγκεκριμένης λειτουργίας που επιθυμούν να ολοκληρώσουν. Μια τροχιά εμπιστοσύνης δημιουργείται δυναμικά βασισμένη σε προκαθορισμένες συμφωνίες εμπιστοσύνης και όχι μέσω μιας δυναμικής διαπραγμάτευσης εμπιστοσύνης από την αρχή. Οι δύο προμηθευτές μπορούν να ολοκληρώσουν τη υπηρεσία, είτε άμεσα, με το να ανταλλάξουν τα επιθυμητά στοιχεία χρησιμοποιώντας παγκοσμίως αποδεκτά πρωτόκολλα και διαδικασίες, είτε με τη βοήθεια του ενδιάμεσου παρόχου «trusted.com» που μπορεί να μεταφράσει και να προωθήσει τα δεδομένα προς ανταλλαγή. Σε αυτό το σενάριο, ο «trusted.com» δεν ενεργεί ως πύλη

53 51 που έχει προαποφασιστεί από τις ομοσπονδίες Β και Γ για την ανταλλαγή των στοιχείων. Αυτός ο προμηθευτής ανακαλύπτεται δυναμικά και επιλέγεται από τους «supplier.com» και «gov.com» επειδή ικανοποιεί στην συγκεκριμένη περίπτωση όλες τις απαιτήσεις της συγκεκριμένης λειτουργίας που θέλουν να ολοκληρώσουν. Πρέπει να σημειωθεί εδώ ότι αυτή η διαδικασία δεν είναι σε κάθε περίπτωση υποχρεωτική να ολοκληρωθεί από τα ενδιαφερόμενα συμβαλλόμενα μέρη. Εξαρτάται από τους συμβαλλόμενους προμηθευτές να επιλέξουν εάν και μέχρι ποιό σημείο επιθυμούν να συνεχίσουν και να χρησιμοποιήσουν αυτές τις καθιερωμένες εκ των προτέρων εμπιστοσύνη και διαδικασίες. Μπορούμε να υποστηρίξουμε ότι τελικά θα είναι αρκετά μεγάλος ο αριθμός περιπτώσεων όπου οι προμηθευτές θα αποφασίσουν να προχωρήσουν και να ολοκληρώσουν την ανταλλαγή των στοιχείων ταυτότητας. Αντί λοιπόν να γίνεται προσπάθεια να δημιουργηθεί ένα παγκόσμιο σύστημα διαχείρισης ταυτοτήτων, είναι πιο εφικτό να αναζητηθεί μια λύση που θα διασυνδέει τα διαφορετικά πλαίσια (περιοχές, ομοσπονδίες κ.λπ.) και επιτρέπει στους καταναλωτές ταυτότητας να αντιμετωπίζουν αυτόνομα τα ζητήματα ταυτότητάς που αφορούν τις υπηρεσίες τους. Αναλόγως αυτή η λύση δεν θα πρέπει να χειρίζεται οποιεσδήποτε διαδικασίες σχετικά με την ανταλλαγή και οργάνωση δεδομένων ταυτότητας (κάθε πλαίσιο μπορεί να σχεδιάσει τη λύση του) αλλά θα δημιουργεί τις απαραίτητες δυναμικές γέφυρες μεταξύ των διαφορετικών πλαισίων για την διακίνηση πληροφοριών ταυτότητας που είναι διασκορπισμένες στα διάφορα υπάρχοντα δίκτυα

54 52

55 4 Συστήματα διαχείρισης ψηφιακών ταυτοτήτων 53 Η διαχείριση ψηφιακών ταυτοτήτων είναι ένα θέμα που ερευνάται εντατικά τόσο σε ακαδημαϊκό, όσο και εταιρικό χώρο. Υπάρχουν διάφορες προσεγγίσεις σχετικά με το που εστιάζεται ακριβώς το πρόβλημα, ενώ μία σειρά από λύσεις έχουν ήδη προταθεί βασισμένες σε διαφορετικούς στόχους και απαιτήσεις. Πάρα τη μεγάλη ποικιλία τους, οι προτεινόμενες λύσεις, μπορούν κατά κύριο λόγο να χωριστούν στις παρακάτω κατηγορίες: 1. Οι λύσεις που θέτουν ως επίκεντρο τον χρήστη (user-centric) 2. Οι λύσεις που εφαρμόζονται σε ομοσπονδίες (federated). 3. Λύσεις διαχείρισης ειδικού σκοπού Η πρώτη προσέγγιση εναποθέτει στον τελικό χρήστη τον πλήρη έλεγχο των προσωπικών στοιχείων του ενώ η δεύτερη παρέχει στους διάφορους παρόχους και οργανώσεις που συμμετέχουν σε μία ομοσπονδία, την δυνατότητα να διαχειρίζονται αυτόνομα τις πληροφορίες που είναι σχετικές με τις ταυτότητες των χρηστών τους. 4.1 Ο χρήστης ως επίκεντρο (user-centric) Τα συστήματα διαχείρισης ταυτοτήτων αυτής της κατηγορίας είναι σε θέση να παρέχουν μία σειρά από λύσεις χωρίς να περιορίζονται από τεχνολογικές διαφορές ή διοικητικές περιοχές. Αυτό επιτυγχάνεται με την απευθείας υποβολή, από τον χρήστη, των κατάλληλων δεδομένων που είναι απαραίτητα για την ολοκλήρωση μιας δικτυακής επικοινωνίας. Όμως στην προσπάθεια τους να ικανοποιήσουν όσο το δυνατόν περισσότερες λειτουργίες και πλαίσια, τα συστήματα με επίκεντρο τον χρήστη, εισάγουν νέου τύπου «παγκόσμιες ταυτότητες», ή μηχανισμούς και διαδικασίες που πρέπει να υιοθετηθούν από όλα τα συνεργαζόμενα μέρη. Η ανταλλαγή δεδομένων συνήθως γίνεται με βάση κάποιο ευρέως διαδεδομένο πρωτόκολλο (π.χ. SAML), όμως πολλές φορές η πληθώρα τεχνολογιών, διαφορετικών συστημάτων και εξειδικευμένων πλαισίων, οδηγούν στην αδυναμία ολοκλήρωσης της τελικής επικοινωνίας. Η διαχείριση της εμπιστοσύνης στα συστήματα αυτά συνήθως αφήνεται στα χέρια του τελικού χρήστη, ο οποίος είναι υπεύθυνος να πάρει την τελική απόφαση για το ποιον εμπιστεύεται και πόσα προσωπικά στοιχεία είναι διατεθειμένος να δώσει κατά την διάρκεια μιας δικτυακής διαδικασίας. Παρακάτω γίνεται μια εκτενής αναφορά των κυριότερων συστημάτων που έχουν ως επίκεντρο τον χρήστη.

56 Ψηφιακές κάρτες πληροφοριών (Information Cards) Οι ψηφιακές κάρτες πληροφοριών είναι μια αντιπροσώπευση των ψηφιακών στοιχείων που χρησιμοποιούν οι χρήστες στις on-line συναλλαγές τους. Αποτελούν μια συλλογή χαρακτηριστικών, ιδιοτήτων, ή αξιώσεων, του κατόχου με την μορφή ενός κουπονιού που μπορεί να καταχωρηθεί σε κάποια υπηρεσία ή δίκτυο. Τα χαρακτηριστικά που περιέχει ένα τέτοιο κουπόνι μπορούν να πιστοποιηθούν από κάποια οντότητα (συμπεριλαμβανομένου, σε μερικές περιπτώσεις, και από τον ίδιο το χρήστη). Η χρήση των ψηφιακών καρτών πληροφοριών επιτρέπει στους χρήστες να αποφασίσουν μόνοι τους ποια προσωπικά στοιχεία θα αποκαλύψουν (με την επιλογή των διαφορετικών καρτών) κατά τη διάρκεια μιας on-line διαδικασίας (π.χ. αγορά προϊόντος, δήλωση στοιχείων για δημιουργία λογαριασμού κ.α.). Ο χρήστης κρατά τα προσωπικά στοιχεία του υπό έλεγχο, ενώ τα συμβαλλόμενα μέρη (πάροχοι υπηρεσιών, δίκτυα, οργανισμοί - καταναλωτές ταυτότητας) μπορούν να πάρουν τις πληροφορίες που χρειάζονται απευθείας από αυτόν. Οι ψηφιακές κάρτες πληροφοριών μπορούν να είτε να εκδοθούν από τον χρήστη (Self-Issued ή Personal) π.χ. μια κάρτα στην οποία ο χρήστης δηλώνει το τηλέφωνό του, είτε από εταιρίες και οργανισμούς (Managed Information Cards) που πιστοποιούν την εγκυρότητα κάποιου χαρακτηριστικού του χρήστη. Εικόνα 3: Διαδικασία Χρησιμοποίησης Ψηφιακών Καρτών Πληροφοριών [13]

57 55 Η χρήση τους (εικόνα 3) τα τελευταία χρόνια έχει εξαπλωθεί, και το 2008 μερικές από τις πιο γνωστές εταιρίες που δραστηριοποιούνται στον σχεδιασμό λογισμικού και στο Διαδίκτυο γενικότερα (Equifax, Google, Microsoft, Novell, Oracle, PayPal), ίδρυσαν το Information Card Foundation (ICF) [12] ένα ίδρυμα-οργάνωση με σκοπό να «προάγει τις ψηφιακές κάρτες πληροφοριών σαν το βασικό εξάρτημα για την δημιουργία ενός διαλειτουργικού, ανεξάρτητου και σχεδιασμένου με επίκεντρο τον χρήστη, νέου επιπέδου ταυτότητας που θα εκτείνεται τόσο στα δίκτυα εταιριών αλλά και σε όλο το Διαδίκτυο». Το ίδρυμα ICF έχει ορίσει ως τώρα 5 διαφορετικούς τύπους ψηφιακών καρτών πληροφοριών [14] 1. Self-Issued Cards ή Personal Cards: Αυτές οι κάρτες επιτρέπουν σε έναν χρήστη να δηλώσει χαρακτηριστικά και στοιχεία του και να τα καταθέσει σε ιστοσελίδες που είναι πρόθυμες να τα δεχτούν. Τέτοια στοιχεία μπορούν να περιλαμβάνουν το όνομά του, τη διεύθυνση, τον αριθμό τηλεφώνου, τη διεύθυνση ηλεκτρονικού ταχυδρομείου, την ημερομηνία γέννησης, το γένος του κ.α. 2. Managed Cards: Αυτές οι κάρτες επιτρέπουν σε διάφορους προμηθευτές ταυτότητας να εγγυηθούν για κάποια χαρακτηριστικά η στοιχεία σε ιστοσελίδες που είναι πρόθυμες να τα δεχτούν. Αυτά τα στοιχεία μπορούν να περιλαμβάνουν οποιαδήποτε πληροφορία για τον χρήστη που μπορεί να ζητήσει μία οντότητα (π.χ. ένας πάροχος κάποιας υπηρεσίας) και ο αντίστοιχος προμηθευτής ταυτότητας είναι σε θέση να παρέχει. Για να μπορέσει να ολοκληρωθεί η παραπάνω διαδικασία, πρέπει να διασφαλιστεί η συγκατάθεση του χρήστη, που να επιτρέπει στα δύο παραπάνω μέρη να μοιραστούν την απαιτούμενη πληροφορία. 3. Password Cards: Παρότι ο κύριος στόχος των ψηφιακών καρτών πληροφοριών είναι η δήλωση στοιχείων που να αποδεικνύουν την ταυτότητα ενός χρήστη χωρίς να χρειάζεται να χρησιμοποιούνται κωδικοί πρόσβασης (username/password) η αλήθεια είναι ότι πολλές σελίδες και υπηρεσίες θα παραμείνουν στο σημερινό μοντέλο πιστοποίησης χρηστών. Γι αυτόν τον λόγο η ICF δημιούργησε τις Password Cards ώστε να μπορεί ο χρήστης να συμπληρώνει εύκολα φόρμες κωδικών με την χρήση έτοιμων καρτών.

58 56 4. Action Cards: Τα πλεονεκτήματα που μπορούν να παρέχουν οι ψηφιακές κάρτες πληροφοριών απαιτούν από τις διάφορες ιστοσελίδες που επισκέπτεται ο χρήστης να έχουν ήδη ενσωματώσει την συγκεκριμένη τεχνολογία. Με τα Action Cards όμως ένας χρήστης μπορεί να εκμεταλλευτεί κάποιες από τις λειτουργίες των ψηφιακών καρτών ακόμα και σε ιστοσελίδες που δεν τις υποστηρίζουν. Αυτός ο τύπος κάρτας περιέχει ένα προκαθορισμένο σύνολο κανόνων που δίνουν την δυνατότητα στον χρήστη να δει επιπλέον πληροφορίες σε μία σελίδα. Αυτό γίνεται με την εγκατάσταση ενός επιπρόσθετου λογισμικού στον φυλλομετρητή του (browser extension) το οποίο αυτόματα αναζητά και ενσωματώνει στην σελίδα τα επιπλέον στοιχεία με την μορφή JavaScript κώδικα. 5. Relationship Cards: Όλοι οι παραπάνω τύποι καρτών επιτρέπουν την διαχείριση και κατάθεση προσωπικών δεδομένων ενός χρήστη με ιδιαίτερα στατικό τρόπο. Ένα από τα προγράμματα ανάπτυξης ψηφιακών καρτών πληροφοριών (Higgins [15]) δημιούργησε τις Relationship Cards. Με την χρήση αυτών των καρτών δύο συμβαλλόμενα μέρη μπορούν να καθορίζουν οι πολιτικές χρήσης των στοιχείων που ανταλλάζουν, όχι μόνο για την συγκεκριμένη συναλλαγή αλλά και για ένα μεγαλύτερο χρονικό διάστημα ανταλλαγής δεδομένων. Το πρόγραμμα Higgins εκτός από τα Relationship Cards εισήγαγε και τις Zero- Knowledge Cards. 6. Zero-Knowledge Cards: Τα Z-Cards βασίζονται στα Managed Cards, στα οποία και προσδίδουν επιπλέον λειτουργικότητα. Προσφέρουν μεγαλύτερο επίπεδο ιδιοαπορρήτου αφού αποθηκεύουν τοπικά πιστοποιητικά ασφαλείας για να υποστηρίζουν δηλώσεις όπως π.χ. ο χρήστης είναι πάνω από 21. Επιπλέον τα Z-Cards υποστηρίζουν τα "zero-knowledge proofs" μία μέθοδο κρυπτογραφίας που χρησιμοποιεί πολλαπλές συναλλαγές για να αποδείξει την αυθεντικότητα κάποιου Microsoft CardSpace (Information Cards) Το σύστημα CardSpace [16] είναι μια εφαρμογή λογισμικού που αναπτύχθηκε από τη Microsoft για να διευκολύνει και να απλοποιήσει τον τρόπο που οι χρήστες επιλέγουν ψηφιακές κάρτες πληροφοριών για να αποκτήσουν πρόσβαση σε online υπηρεσίες. Είναι υλοποιημένο σε.net Framework και χρησιμοποιεί τα πρότυπα WS-* για την

59 57 ανταλλαγή δεδομένων. Το σύστημα CardSpace μαζί με τις ψηφιακές κάρτες πληροφοριών αποτελούν μέρη μιας γενικότερης έννοιας, του «μετα-συστήματος ταυτοτήτων», που είχε εμπνευστεί ο Kim Kameron εδώ και αρκετά χρόνια. Με τον όρο «μετα-σύστημα ταυτοτήτων» ορίζεται ένα πλαίσιο για την διασύνδεση και διαλειτουργικότητα του συνόλου των υποσυστημάτων διαχείρισης ψηφιακών ταυτοτήτων, ανεξαρτήτως δικτύου, τεχνολογίας, διοικητικών ή άλλων περιορισμών. Εικόνα 4: Διεπαφή Χρήστη του Microsoft CardSpace [13] Οι βασικοί ρόλοι σε ένα «μετα-σύστημα ταυτοτήτων» είναι ο χρήστης, η οντότητα που ζητάει πληροφορίες για αυτόν και ονομάζεται καταναλωτής στοιχείων ταυτότητας και η οντότητα που διαχειρίζεται τις ταυτότητές του και ονομάζεται πάροχος διαχείρισης ταυτοτήτων. Η βασική διαδικασία που ακολουθείται όταν ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε έναν πόρο που διαχειρίζεται ο καταναλωτής στοιχείων ταυτότητας είναι η εξής: Όταν χρήστης επικοινωνήσει με μια διαδικτυακή πηγή ζητώντας πρόσβαση σε κάποιο πόρο, αυτή η πηγή θα τον ενημερώνει (πιο συγκεκριμένα θα ενημερώσει αυτόματα το λογισμικό διαχείρισης ψηφιακών καρτών) ποιά είναι η πολιτική της όσον αφορά την πρόσβαση στον πόρο, και ποια στοιχεία είναι απαραίτητο να παρουσιάζει ο χρήστης αν απαιτείται έλεγχος ταυτότητας. Το λογισμικό αυτόματα θα διασταυρώσει τα στοιχεία που έλαβε από την

60 58 διαδικτυακή πηγή και βάση των προσωπικών δεδομένων του χρήστη θα του παρουσιάσει την ή τις καταλληλότερες κάρτες ψηφιακών πληροφοριών που μπορεί να αποστείλει (εικόνα 3) Αφού ο χρήστης επιλέξει μία κάρτα, το λογισμικό θα ζητήσει από τον πάροχο διαχείρισης ταυτοτήτων να εκδώσει ένα κλειδί ασφαλείας για αυτήν την κάρτα. Μετά από μία σειρά ελέγχων το λογισμικό λαμβάνει το κλειδί και το ενσωματώνει στην αίτηση που στέλνει στην διαδικτυακή πηγή μαζί με τα ψηφιακά στοιχεία του χρήστη. Η διαδικτυακή πηγή ελέγχει την ορθότητα του κλειδιού ασφαλείας και στην συνέχεια παραχωρεί στον χρήστη πρόσβαση στον πόρο Project Higgins (Information Cards) Το πρόγραμμα Higgins [15] είναι ακόμα ένα σύστημα διαχείρισης ταυτοτήτων που ενοποιεί όλες τις αλληλεπιδράσεις και διαδικασίες που σχετίζονται με ψηφιακές ταυτότητες σε ετερογενή συστήματα. Κύριοι στόχοι του είναι η διαχείριση των διαφορετικών πλαισίων, της διαλειτουργικότητας, καθώς και ο ορισμός των κοινών διεπαφών για ένα σύστημα ταυτότητας με πολλαπλές ψηφιακές ταυτότητες, πρωτόκολλα κ.α. Έχει ως επίκεντρο τον χρήστη, δίνοντάς του ένα ενιαίο κεντρικό σημείο ελέγχου των προτιμήσεών και συσχετίσεων των ταυτοτήτων του μέσω μιας εφαρμογής που ονομάζεται PDS. Στην εφαρμογή PDS ένας χρήστης μπορεί να δει τις κάρτες του, άλλες εφαρμογές από διάφορους παρόχους καθώς και ανθρώπους. Παραδείγματα καρτών (π.χ. SONY) και εφαρμογών (π.χ. κάρτες πληρωμής) φαίνονται στην εικόνα 5. Οι κάρτες που εμφανίζονται με πράσινο αντιπροσωπεύουν μια σχέση μεταξύ του χρήστη και μιας εξωτερικής περιοχής ή μιας επιχείρησης. Η σχέση αυτή περιλαμβάνει μια αμφίδρομη σύνδεση που μοιράζεται και συγχρονίζει μια σειρά από ιδιότητες και χαρακτηριστικά προσωπικών στοιχείων του χρήστη, μεταξύ αυτής της περιοχής και του PDS του. Τα σχεδιαγράμματα που παρουσιάζονται στους κίτρινους κύκλους αντιπροσωπεύουν μια σχέση μεταξύ του χρήστη και ενός άλλου προσώπου. Η σχέση περιλαμβάνει μια αμφίδρομη σύνδεση δεδομένων που μοιράζεται και συγχρονίζει ένα σύνολο ιδιοτήτων μεταξύ του χρήστη και π.χ. ενός φίλου του. Τέλος, τα μπλε κιβώτια αντιπροσωπεύουν διάφορες εφαρμογές που έχουν πρόσβαση στα τοπικά αποθηκευμένα δεδομένα και μπορούν να ενημερώνουν ή/και να προσθέτουν επιπλέον πληροφορίες. Θα πρέπει να σημειωθεί πως η αρχιτεκτονική του συστήματος

61 59 υποστηρίζει την εξαγωγή προσωπικών δεδομένων και στοιχείων για μεταφορά τους σε άλλα πλαίσια Εικόνα 5: Αρχιτεκτονική Συστήματος Higgins [15] OpenID Σύμφωνα με το σύστημα OpenID [17], όταν ένας χρήστης θέλει να εισέλθει σε έναν ιστοχώρο που είναι συμβατός με το openid, αντί να εισάγει τα στοιχεία του (όνομα χρήστη/κωδικός) μπορεί να εισάγει ένα URL. Βάση αυτής της πληροφορίας η ιστοσελίδα αναπροσανατολίζει το χρήστη στον διαδικτυακό χώρο που αντιστοιχεί στο υποβληθέν URL, και εκεί ο χρήστης απλά καλείται να εκτελέσει μια διαδικασία πιστοποίησης. Αν η διαδικασία είναι επιτυχής τότε ο χρήστης εισέρχεται στον αρχικό ιστοχώρο. Το OpenID γίνεται γρήγορα η de facto λύση για την ασφαλή σύνδεση χρηστών στο Διαδίκτυο δεδομένου ότι είναι εξαιρετικά φιλικό προς το χρήστη, εύκολο να υιοθετηθεί από χρήστες και ιστοσελίδες, και παρέχει εύκολη σύνδεση με πολλές ιστοσελίδες με μία μόνο πιστοποίηση (SSO). Εξαλείφει την ανάγκη να θυμάται ο χρήστης πολλές ψηφιακές ταυτότητες και κωδικούς πρόσβασης από πολλαπλούς ιστοχώρους, και μπορεί πλέον να χρησιμοποιεί μόνο μια ενιαία ψηφιακή ταυτότητα (για την πιστοποίησή του στο URL κατά την διαδικασία που περιγράφηκε παραπάνω).

62 60 Το σύστημα OpenID χρησιμοποιεί μόνο το πρότυπο HTTP(S), για να ανταλλάξει μηνύματα μεταξύ του ιστοχώρου που θέλει να επισκεφθεί ο χρήστης και του ιστοχώρου που αντιστοιχεί στο URL που εισάγει και δεν απαιτεί την εγκατάσταση οποιουδήποτε επιπλέον υλικού ή λογισμικού τόσο στους ιστοχώρους όσο και στις συσκευές των χρηστών. Εικόνα 6: Διαδικασία πιστοποίησης χρήστη με το OpenID [17] Θα πρέπει να σημειωθεί πως παρότι σύστημα OpenID σχεδιάστηκε για να παρέχει λύσεις μεταξύ διαφορετικών διοικητικών περιοχών, στην αρχική μορφή του, δεν λήφθηκαν υπόψη παράμετροι που να επιτρέπουν την διαχείριση εμπιστοσύνης μεταξύ των εμπλεκόμενων μερών. Έτσι δεν υπήρχε τρόπος ώστε κάποιος πάροχος που χρησιμοποιεί το OpenID να μπορεί ελέγξει την αυθεντικότητα κάποιου άλλου (προμηθευτή OpenID) ώστε να πάρει απόφαση αν μπορεί να τον εμπιστευτεί. Μια νέα επέκταση αποκαλούμενη PAPE [18], (Provider Authentication Policy Extension - επέκταση επικύρωσης πολιτικής προμηθευτών) παρέχει τα μέσα σε ένα συμβαλλόμενο μέρος να ζητήσει πληροφορίες βασισμένες σε ήδη συμφωνημένες πολιτικές επικύρωσης σχετικά με ένα προμηθευτή OpenID και παράλληλα έναν προμηθευτή OpenID να διαφημίσει όλες τις πληροφορίες που πιστοποιούν την νομιμότητά του.

63 OASIS XDI Το OASIS XRI Data Interchange (XDI) [19] είναι μια προσπάθεια να δημιουργηθεί μια γενικευμένη και μεγάλης κλίμακας υπηρεσία για τη διανομή, τη σύνδεση, και το συγχρονισμό όλων των ψηφιακών δεδομένων μεταξύ του Διαδικτύου και άλλων δικτύων χρησιμοποιώντας έγγραφα XML και XRIs (Extensible Resource Identifiers). Θα πρέπει να αναφέρουμε εδώ, όσον αφορά το προσδιοριστικό XRIs (Extensible Resource Identifiers), πως έχει την δυνατότητα να παρέχει μια ενιαία σύνταξη για να περιγραφούν μια μεγάλη γκάμα προσδιοριστικών που ανήκουν σε διαφορετικά πλαίσια και τεχνολογίες. Είναι ευρέως διαδεδομένο και μπορεί να χρησιμοποιηθεί σε πολλά δίκτυα και εφαρμογές. Η ικανότητά του όμως να μπορεί να υιοθετηθεί από πολλά πλαίσια έχει σαν αποτέλεσμα να μην υπάρχει ένας ενιαίος μηχανισμός που θα μπορεί να οργανώνει και να ανακαλύπτει όλα τα XRI. Το XDI σύστημα εισάγει τις έννοιες του i-name, i-number και i-broker. Το πρώτο είναι ένα φιλικό προς τον χρήστη XRI που έχει πληροφορίες ταυτότητας βασισμένες σε ένα συγκεκριμένο τύπο format και μπορεί να χρησιμοποιηθεί για καθημερινή χρήση π.χ. σε φυλλομετρητές ιστού, σε ηλεκτρονικό ταχυδρομείο κ.τ.λ.. Σε αντίθεση με τις σημερινές ηλεκτρονικές ταυτότητες και ονόματα, το i-name είναι σχεδιασμένο να είναι μοναδικό και να έχει πολύ μεγάλο χρόνο ζωής. Έτσι ενώ οι πληροφορίες που μπορούν να το συνοδεύουν μπορούν συνεχώς να αλλάζουν δυναμικά, το i-name μπορεί να μένει το ίδιο (εικόνα 7). Εικόνα 7: i-name ταυτότητες [19] Η έννοια του i-number αντιπροσωπεύει έναν αριθμό πάλι σε φορμάτ XRI που ανατίθεται μοναδικά σε έναν πόρο. (κάτι σαν μια μόνιμη IP διεύθυνση).

64 62 Οι παραπάνω πληροφορίες καταχωρούνται σε ένα υποσύστημα του XDI που ονομάζεται i-broker. Ο i-broker έχει την ευθύνη να χειρίζεται όλες τις αιτήσεις που αφορούν τον κάτοχο ενός i-name ή i-number (που γίνονται από καταναλωτές ταυτότητας) και βάση των προτιμήσεων, πολιτικών ιδιοαπορρήτου και επιπέδου εμπιστοσύνης να παράγει μία απάντηση μόνο με τα ψηφιακά δεδομένα επιτρέπεται να λάβει ο συντάκτης της αίτησης (εικόνα 8). Εικόνα 8: Έλεγχος αιτήσεων από τον i-broker. [19] Ο σχεδιασμός όμως του XDI απαιτεί από τον τελικό χρήστη να καταχωρήσει όλα τα πραγματικά στοιχεία ταυτότητάς του σε έναν i-broker, εγείροντας θέματα ασφάλειας και ιδιοαπορρήτου DAIDALOS - SWIFT Το DAIDALOS [20] ήταν ένα IP (integrated project) χρηματοδοτούμενο πρόγραμμα από την ευρωπαϊκή ένωση που ως κύριο στόχο είχε να ερευνήσει τα προβλήματα των σημερινών δικτύων και να προτείνει νέες αρχιτεκτονικές και προσαρμογές που θα μπορούσαν να λύσουν μια σειρά από ανοιχτά θέματα, όπως την κινητικότητα των χρηστών. Μεταξύ ενός μεγάλου αριθμού δικτυακών συστημάτων και εννοιών που εξετάστηκαν ήταν και η διαχείριση ψηφιακών ταυτοτήτων. Σε αυτό το πεδίο το DAIDALOS πρότεινε ένα νέο πολυεπίπεδο σύστημα διαχείρισης ψηφιακών ταυτοτήτων που έχει ως επίκεντρο τον χρήστη δίνοντας τη δυνατότητα στον τελευταίο να οργανώσει με ενιαίο τρόπο όλα τα διαφορετικά προφίλ και δεδομένα που έχει διάσπαρτα στα διάφορα δίκτυα. Αυτή ο οργάνωση ουσιαστικά συνίσταται στην σύνδεση πολλαπλών προφίλ, δημιουργώντας έτσι τις λεγόμενες εικονικές ταυτότητες (VIDs) (εικόνα 9). Με τη χρήση εικονικών ταυτοτήτων ένας χρήστης μπορεί να δημιουργήσει πολλαπλές ψηφιακές «προσωπικότητες» έχοντας συνεχώς τον πλήρη έλεγχο του ιδιοαπόρρητού του και πληροφοριών που αποκαλύπτονται

65 63 στην υπηρεσία που προσεγγίζεται. Δύο ή περισσότερα VIDs δεν μπορούν να συσχετιστούν μεταξύ τους, κάτι που εξασφαλίζει ασφάλεια και ιδιοαπόρρητο. Εικόνα 9: Δημιουργία Virtual Identities από πραγματικές ταυτότητες [20] Βάση των αποτελεσμάτων του DAIDALOS το πρόγραμμα SWIFT [21], προσπαθεί να διερευνήσει πιο εξειδικευμένα την περιοχή των ψηφιακών ταυτοτήτων και την εφαρμογή των VIDs για την αντιμετώπιση προβλημάτων που συνδέονται με αυτά PRIME - PRIMElife Το πρόγραμμα PRIME [22] (εικόνα 10) δημιούργησε ένα σύστημα που είχε ως κύριο στόχο τον έλεγχο του ιδιοαπορρήτου στο Διαδίκτυο. Το σύστημα αυτό αποτελείται από δύο μέρη: ένα λογισμικό εγκατεστημένο στον εξυπηρετητή και ένα λογισμικό που είναι εγκατεστημένο και τρέχει στον υπολογιστή του χρήστη (PRIME middleware). Το πρώτο παρέχει υπηρεσίες που επιβλέπουν λειτουργίες όπως έλεγχος πρόσβασης, διαχείριση εμπιστοσύνης, πολιτική διαπραγματεύσεων μεταξύ των εμπλεκομένων μερών σε μια δικτυακή διαδικασία ενώ το δεύτερο δίνει την δυνατότητα στον τελικό χρήστη να ελέγχει το ποσό της πληροφορίας που αποστέλλεται στο δίκτυο. Παράλληλα όμως παρέχει μια συνολική εικόνα των ενεργειών του στο διαδίκτυο, που με οποιονδήποτε τρόπο μπορεί να επηρεάζουν το ιδιοαπόρρητό του, βοηθώντας τον έτσι να πάρει πιο σωστές αποφάσεις κατά την περιήγησή του σε αυτό. Τέλος προστατεύει τον χρήστη από κακόβουλα λογισμικά

66 64 και επιθέσεις ενώ ελέγχει την δικτυακή του κίνηση ανιχνεύοντας αποστολή στοιχείων που μπορεί να έγινε εν αγνοία του. Εικόνα 10: Αρχιτεκτονική Συστήματος PRIME [22] Το πρόγραμμα PRIMElife [23] είναι η συνέχεια του έργου PRIME και ασχολείται κυρίως με προστασία της ιδιωτικής ζωής στις αναδυόμενες εφαρμογές του Διαδικτύου και τη διατήρηση της δια βίου προστασίας της ιδιωτικής ζωής (εικόνα 11). Εικόνα 11: Αρχιτεκτονική Συστήματος PRIMElife [23]

67 PICOS Ακόμα ένα έργο που ασχολείται με τη διαχείριση ψηφιακών ταυτοτήτων και εμπιστοσύνης είναι το πρόγραμμα Picos [24] (εικόνα 12). Εικόνα 12: Αρχιτεκτονική Συστήματος PICOS [24] Το έργο αυτό στοχεύει στην ανάπτυξη μιας καινοτόμας πλατφόρμας για την διαχείριση εμπιστοσύνης, ιδιωτικής ζωής και ψηφιακών ταυτοτήτων σε κοινωνικές υπηρεσίες και εφαρμογές στο Διαδίκτυο και στα δίκτυα κινητής επικοινωνίας. Κύριος σκοπός του έργου είναι η δυνατότητα ελέγχου στα ίχνη προσωπικών δεδομένων και πληροφοριών που μένουν κατά την διάρκεια διαφόρων διαδικτυακών διεργασιών, καθώς και η ανάπτυξη εμπιστοσύνης στο εσωτερικό εξειδικευμένων δικτύων παροχής υπηρεσιών TAS3 Το πρόγραμμα TAS3 (Trusted architecture for securely shared services) [25] αναπτύσσει μεταξύ τομέων ένα ενιαίο πλαίσιο για να διαχειρίζεται και να επεξεργάζεται τις προσωπικές πληροφορίες που διανέμονται και ανήκουν ή αναφέρονται σε ανθρώπους. Βασικός στόχος του προγράμματος είναι η δια βίου διατήρηση του ιδιοαπορρήτου των χρηστών και ο έλεγχος των προσωπικών στοιχείων που αποθηκεύονται σε διάσπαρτα σημεία στα σημερινά δίκτυα. Για να το επιτύχει αυτό, η ερευνητική ομάδα

68 66 θα σχεδιάσει μια σειρά από υπηρεσίες ασφαλείας που θα μπορούν να προσαρμοστούν δυναμικά σε οποιοδήποτε πλαίσιο ή δικτυακό περιβάλλον (εικόνα 13). Εικόνα 13: Αρχιτεκτονική Συστήματος TAS3 [25] To πρόγραμμα θα επιδιώξει να αξιολογήσει τα αποτελέσματά του σε πραγματικές συνθήκες, σε συστήματα ηλεκτρονικής απασχόλησης και υγείας FIDIS Η Ευρωπαϊκή Κοινωνία της Πληροφορίας (European Information Society - EIS) επενδύει σε τεχνολογίες που εξασφαλίζουν την εμπιστοσύνη και την ασφάλεια των πολιτών διατηρώντας παράλληλα στον μέγιστο δυνατό βαθμό το ιδιοαπόρρητό τους. Έτσι προχωρώντας σε μία εποχή όπου ένα πολύ μεγάλο μέρος των προσωπικών χαρακτηριστικών των χρηστών μετατρέπεται σε ψηφιακή μορφή και αποθηκεύεται σε διάφορα δίκτυα και οργανισμούς η EIS καλείται να διαχειριστεί όχι μόνο τα στοιχεία που ήδη κατέχει αλλά και ένα μεγάλο αριθμό από επιπρόσθετα δεδομένα και τεχνολογίες (ψηφιακά ψευδώνυμα, ανωνυμία, εικονικές ταυτότητες κ.τ.λ.) που εμφανίζονται στην ψηφιακή εποχή για να εξυπηρετήσουν όχι μόνο την ασφάλεια των χρηστών αλλά και πολλές φορές το κέρδος, την ευκολία ή ακόμα τη διασκέδαση.

69 67 Παράλληλα καλείται να βρει τρόπο να εξομαλύνει τις εξαιρετικά μεγάλες διαφορές στον τρόπο που τα ευρωπαϊκά κράτη διαχειρίζονται τόσο τις κανονικές, όσο και τις ψηφιακές ταυτότητες των πολιτών τους. Το FIDIS [26]Σφάλμα! Το αρχείο προέλευσης της αναφοράς δεν βρέθηκε. (Future of Identity in the Information Society) αποτελεί μια προσπάθεια του EIS, να καταγράψει τις απαιτήσεις για τη διαχείριση των ταυτοτήτων στο άμεσο μέλλον και να συμβάλλει στον σχεδιασμό και την υλοποίηση των απαραίτητων τεχνολογιών και υποδομών. Το πρόγραμμα FIDIS κινείται σε 7 διαφορετικούς άξονες προσπαθώντας να εμβαθύνει σε μία σειρά από προβλήματα. 1. "Ταυτότητα της ταυτότητας" 2. Δημιουργία οργάνωση και διαχείριση προφίλ 3. Διαλειτουργικότητα των ταυτοτήτων και των συστημάτων διαχείρισής τους 4. Δικαστικές επιπλοκές 5. Ιδιοαπόρρητο και τα νομικά θέματα που σχετίζονται με τις ψηφιακές ταυτότητες 6. Ψηφιακές ταυτότητες υψηλής τεχνολογίας 7. Κινητικότητα και Ταυτότητα 4.2 Συστήματα διαχείρισης ταυτοτήτων ομοσπονδιών (Federated) Ο κοινός παρονομαστής για τα συστήματα διαχείρισης ομοσπονδιών είναι η ύπαρξή ομοσπονδίας. Μια ομοσπονδία ουσιαστικά αποτελεί μια συμφωνία μεταξύ ενός αριθμού οντοτήτων γύρω από ένα σύνολο πολιτικών, πρακτικών, κανόνων και προτύπων. Αυτή η συμφωνία εξασφαλίζει την εμπιστοσύνη μεταξύ τους και την δυνατότητα ανταλλαγής πληροφοριών με τρόπο που είναι κατανοητός σε όλους τους συμμετέχοντες. Οι κανόνες που διέπουν κάθε ομοσπονδία, ο σκοπός της συνεργασίας των συμμετεχόντων και το είδος και η ποσότητα των πληροφοριών που ανταλλάζονται μεταξύ τους, διαφέρει από ομοσπονδία σε ομοσπονδία. Ειδικότερα για τις ομοσπονδίες που σχηματίζονται για την παροχή δικτυακών υπηρεσιών από οντότητες όπως πάροχοι υπηρεσιών, δικτύων, οργανισμοί κ.α. θα λέγαμε πως συνήθως βασικοί στόχοι των συστημάτων τους για την διαχείριση ταυτοτήτων αποτελούν η ενιαία πιστοποίηση όλων των χρηστών τους, η κοινή χρήση των προσωπικών τους δεδομένων, η εφαρμογή πολιτικών ανάλογα την περίπτωση κ.α. Σχεδόν σε όλες τις ομοσπονδίες εμφανίζεται μια δικτυακή οντότητα που ονομάζεται Πάροχος Ταυτοτήτων (Identity Provider IdP) και αποτελεί τον κεντρικό

70 68 κόμβο διαχείρισης των ταυτοτήτων όλων των χρηστών. Παρέχει πληροφορίες ανακάλυψης, συσχέτισης, πολιτικών κ.α. σχετικά όλες τις ψηφιακές ταυτότητες ενώ βασική προϋπόθεση ομαλής λειτουργίας της ομοσπονδίας είναι ο Πάροχος Ταυτοτήτων να εμπιστεύεται όλους του συμμετέχοντες και όλοι οι συμμετέχοντες να γνωρίζουν και να εμπιστεύονται αυτόν Liberty Alliance Το Liberty Alliance Project [27] ήταν μια συμμαχία από επιχειρήσεις και οργανισμούς που ιδρύθηκε το 2001 με σκοπό την ανάπτυξη μιας ολοκληρωμένης λύσης διαχείρισης ταυτοτήτων σε ομοσπονδίες που θα επιτρέπει στις διάφορες επιχειρήσεις, οργανισμούς, παρόχους και τους αντίστοιχους χρήστες τους να ολοκληρώνουν οποιαδήποτε διαδικασία ή συναλλαγή στο διαδίκτυο με ταυτόχρονη προστασία της ιδιωτικής ζωής τους ζωής. Από το 2001 και μετά το πρόγραμμα έχει ασχοληθεί με πολλά θέματα διαχείρισης ταυτοτήτων και έχει δημοσιεύσει έναν μεγάλο αριθμό εγγράφων και στάνταρτ. Οι προτεινόμενες λύσεις κατά κύριο λόγο βασίζονται σε υπάρχοντα πρότυπα (SOAP, WS-Security, SSL / TLS, κ.λπ.) και πάνω σε αυτά σχεδιάζονται και υλοποιούνται μια σειρά από υποδομές και νέα συστήματα. Η αρχιτεκτονική του βασικού συστήματος αποτελείται από τρεις κύριες ενότητες - υποσυστήματα, τα οποία φαίνονται στην εικόνα 14: Εικόνα 14: Αρχιτεκτονική Liberty Alliance [27]

71 69 Identity Federation Framework (ID-FF) Το συγκεκριμένο υποσύστημα παρέχει διαδικασίες συσχέτισης ψηφιακών ταυτοτήτων μέσα σε μία ομοσπονδία. Τέτοιες διαδικασίες είναι η σύνδεση ταυτοτήτων ή ακόμα και λογαριασμών ενός χρήστη που βρίσκονται σε διαφορετικές διοικητικές περιοχές, η πρόσβαση και διατήρηση μίας συνόδου (session) σε πληθώρα δικτυακών πόρων-τόπων με μία και μοναδική πιστοποίηση (SSO) (εικόνα 15) κ.α. Για την παροχή των παραπάνω λειτουργιών, το υποσύστημα προϋποθέτει την ύπαρξη ομοσπονδίας και την δημιουργία ενός «Κύκλου Εμπιστοσύνης» (Circle of Trust - CoT). Το ID-FF αρχικά βασίστηκε σε πρότυπα SAML και XML πρότυπα και με βάση των προδιαγραφών του και κάποιας συνεισφοράς από το σύστημα Shibboleth, ο οργανισμός OASIS διαμόρφωσε τη Security Assertion Markup Language (SAML) 2.0 για την ανταλλαγή στοιχείων μεταξύ Προμηθευτών ταυτότητας και Φορέων παροχής υπηρεσιών. Identity Web Services Framework (ID-WSF) Το υποσύστημα ID-WSF ορίζει μία σειρά από πρότυπα πρωτοκόλλα και συστήματα, για να παρέχει ένα πλαίσιο που βασίζεται σε SOAP και επιτρέπει την ανάπτυξη και διαχείριση μιας σειράς από υπηρεσίες ιστού (Web Services) σχετικές με ψηφιακές ταυτότητες. Το ID-WSF επικεντρώνεται κυρίως στην δημιουργία, ανεύρεση και κατανάλωση αυτών των υπηρεσιών οι οποίες μπορεί να είναι για παράδειγμα η γεωγραφική-θέση ενός χρήστη, το ημερολόγιο και οι επαφές του κ.α. Identity Services Interface Specifications (ID-SIS) Το υποσύστημα ID-SIS ουσιαστικά αποτελεί την σύνδεση των διαφόρων υπηρεσιών (Web Services) που δημιουργούνται με το ID-WSF. Καθορίζει συγκεκριμένους κανόνες και πρότυπα για την ανταλλαγή διαφόρων στοιχείων που σχετίζονται με τις ψηφιακές ταυτότητες. Για παράδειγμα, ένα ημερολόγιο SIS διευκρινίζει πώς μια ταξιδιωτική υπηρεσία θα υποβάλλει μία αίτηση στο στην Υπηρεσία Ημερολόγιου του τελικού χρήστη. Το 2007 και 2008 η Liberty Alliance πρόσθεσε στην υπάρχουσα αρχιτεκτονική της τα Identity Governance Framework (IGF) και Identity Assurance Framework (IAF) αντίστοιχα. Ο σκοπός του πρώτου είναι η δημιουργία ενός πλαισίου που θα καθορίζει σαφείς διαδικασίες για το πως πρέπει οι διάφορες εταιρίες, οργανισμοί (παραγωγοί ταυτοτήτων) να διαχειρίζονται, να αποθηκεύουν και να ανταλλάζουν με ασφάλεια οποιοδήποτε είδος πληροφορίας που σχετίζεται με ταυτότητα. Μεταξύ άλλων το IGF

72 70 στοχεύει να δημιουργήσει μια κοινή βάση για την υιοθέτηση των πολλών και διαφορετικών πρωτοκόλλων που υπάρχουν σήμερα και σχετίζονται με τις ψηφιακές ταυτότητες όπως τα LDAP, SAML, WS-Trust ID-WSF. Ο σκοπός του Identity Assurance Framework (IAF) είναι ο ορισμός επιπέδων αξιοπιστίας των δεδομένων και διαδικασίας πιστοποίησης κάποιας πληροφορίας σχετική με ταυτότητα. Ορίστηκαν 4 επίπεδα αξιοπιστίας και ανάλογα το επίπεδο κατάταξης ο χρήστης έχει διαφορετικά δικαιώματα και περιορισμένη πρόσβαση σε ένα δικτυακό πόρο. Εικόνα 15: Διαδικασία σύνδεσης σε μία υπηρεσία χρησιμοποιώντας έναν Kantara Initiative λογαριασμό ομοσπονδίας [27] Η πρωτοβουλία Kantara (Kantara Initiative) [28] ανακοινώθηκε το 2009 σαν εξέλιξη του Liberty Alliance και αποτελεί μια προσπάθεια να αντιμετωπιστεί το πρόβλημα

73 71 διαχείρισης ψηφιακών ταυτοτήτων σε μεγαλύτερο εύρος. Ο στόχος του Kantara Initiative είναι η δημιουργία ενός παγκόσμιου πλαισίου το οποίο θα λειτουργήσει σαν «ομπρέλα» κάτω από την οποία θα συγκεντρωθούν όλες οι επιμέρους υπάρχουσες λύσεις. Στην προσπάθεια αυτή συμμετέχουν πολλοί οργανισμοί, επιχειρήσεις, εταιρείες πληροφορικής, τηλεπικοινωνιών, καθώς και ανεξάρτητοι προγραμματιστές. Ανάμεσα στην πληθώρα θεμάτων που ασχολείται η πρωτοβουλία αυτή βρίσκονται και τα παρακάτω: Διαλειτουργικότητα και εξασφάλιση συνεργασίας μεταξύ διαφορετικών μερών, Πιστοποίηση Ταυτότητας, Πολιτικές και νομικά θέματα, Ιδιοαπόρρητο, Ιδιοκτησία δεδομένων και Ευθύνες, χρηστικότητα συστημάτων κ.α. Η προσπάθεια αυτή εκτός από οπαδούς, έχει αρκετούς επικριτές, οι οποίοι υποστηρίζουν πως η Kantara Initiative είναι απλά ένα ακόμα δυσλειτουργικό επίπεδο πάνω από εξαιρετικά πολύπλοκες διαδικασίες και υποδομές. Όπως αναφέρεται και στο άρθρο [29] «η αλήθεια είναι πως το σύστημα αυτό αποτελεί ακόμα ένα επίπεδο γραφειοκρατίας επάνω σε ήδη επιβαρυμένες υποδομές» Shibboleth Το σύστημα Shibboleth [30] είναι ένα πρόγραμμα Internet2 Middleware που σχεδίασε και υλοποίησε ένα πλαίσιο διαχείρισης ταυτοτήτων ανοικτού κώδικα για πιστοποίηση και εξουσιοδότηση σε ομοσπονδίες. Αρχικά σχεδιάστηκε για την οργάνωση των διαφορετικών τμημάτων και στοιχείων ταυτότητας σε εκπαιδευτικά ιδρύματα. Εδώ ορίζονται οι ταυτότητες ομοσπονδίας μέσω των οποίων οι συμμετέχοντες σε μία ομοσπονδία μπορούν να ανταλλάξουν στοιχεία και πληροφορίες ταυτότητας για τους χρήστες τους, για την παροχή υπηρεσιών όπως πιστοποίηση σε πολλές δικτυακές περιοχές με μία μόνο πιστοποίηση (SSO) (εικόνα 16). Βασικό χαρακτηριστικό του συστήματος είναι ότι οι πάροχοι πλέον δεν χρειάζεται να αποθηκεύουν ονόματα και κωδικούς χρηστών αφού μια κεντρική υπηρεσία που παρέχεται από έναν η περισσότερους Παρόχους Ταυτότητας (IdPs) αναλαμβάνει να αποθηκεύσει και να παρέχει κάθε φορά τα απαραίτητα στοιχεία για την ολοκλήρωση μια διαδικασίας. Η ανεύρεση στοιχείων για ένα χρήστη από ένα πάροχο υπηρεσιών γίνεται με την εφαρμογή της διαδικασίας Where Are You From (WAYF) κατά τη διάρκεια της 4 the reality is that it is one more layer of bureaucracy on top of already top-heavy structures

74 72 οποίας ο καταναλωτής δεδομένων ταυτότητας (στην συγκεκριμένη περίπτωση ο πάροχος υπηρεσιών) ζητάει από τον χρήστη να του υποδείξει με ποιόν Πάροχο Ταυτοτήτων πρέπει να επικοινωνήσει για λάβει τις πληροφορίες που χρειάζεται. Εικόνα 16: Διαδικασία πιστοποίησης χρήστη με το Shibboleth [30] Το σύστημα έχει σχεδιαστεί στο πρότυπο Security Assertion Markup Language (SAML). Όπως προαναφέρθηκε το Shibboleth μαζί με το Liberty ID-FF συνέβαλαν στην δημιουργία του προτύπου SAML Athens Το σύστημα Athens [31] είναι μια υπηρεσία πρόσβασης και διαχείρισης ταυτοτήτων από το Eduserv που δίνει υψηλά επίπεδα διαχείρισης για στους χρήστες καθώς και υπηρεσίες πρόσβασης σε πολλαπλούς προστατευμένους πόρους με μία μοναδική πιστοποίηση (SSO) (εικόνα 17). Το σύστημα διατίθεται σε διάφορες εκδόσεις με παραλλαγές στις επιλογές και τα επίπεδα ασφάλειας. Ο κύριος στόχος του Athens είναι η αντικατάσταση των πολλών ονομάτων χρήστη και κωδικών πρόσβασης που είναι απαραίτητα για την πρόσβαση σε συγκεκριμένους πόρους με την χρήση ενός μοναδικού ζεύγους ταυτότητας/κωδικού.

75 73 Εικόνα 17: Διαδικασία πιστοποίησης χρήστη με το Athens [31] STORK Το STORK [32] είναι ένα ακόμα πρόγραμμα που χρηματοδοτείται από την Ευρωπαϊκή Ένωση και στοχεύει στο σχεδιασμό μιας ενιαίας ευρωπαϊκής πλατφόρμας βασισμένη σε μία μοναδική ηλεκτρονική ταυτότητα. Εικόνα 18: Αρχιτεκτονική Συστήματος STORK [32]

76 74 Αυτή η ταυτότητα θα επιτρέπει στους Ευρωπαίους πολίτες να χρησιμοποιήσουν ηλεκτρονικές υπηρεσίες και διαδικασίες εκτός των συνόρων τους, μόνο με την παρουσίαση του εθνικού eid τους (εικόνα 18). Το STORK είναι το καλύτερο παράδειγμα των συστημάτων IdM που εφαρμόζονται μόνο μέσα σε ένα συγκεκριμένο πλαίσιο (σύνορα της ΕΕ), σχεδιάζονται για να εξυπηρετήσουν έναν συγκεκριμένο σκοπό (επικύρωση των χρηστών της ΕΕ) και εισαγάγουν νέα φορμάτ ταυτότητας (eid). 4.3 Συστήματα ειδικού σκοπού διαχείρισης ταυτοτήτων DataPortability Project (DPP) και Data Liberation Front (DLF) Όπως προαναφέρθηκε μέχρι σήμερα η πλειοψηφία των παρόχων και οργανισμών στο Internet και τις Τηλεπικοινωνίες δημιουργούσαν τις δικές τους ταυτότητες που ήταν προσαρμοσμένες στα πρωτόκολλα και τις διαδικασίες των εκάστοτε δικτύων τους. Αυτή η πρακτική είχε ως αποτέλεσμα τα προσωπικά δεδομένα των χρηστών όπως καταχωρίσεις blog, σχόλια και φωτογραφίες που βρίσκονται αποθηκευμένα σε ένα δικτυακό τόπο να μην είναι δυνατόν να εξαχθούν και να τοποθετηθούν σε έναν άλλον (πολλές φορές ακόμα και αν οι δύο τόποι παρέχουν τις ίδιες υπηρεσίες social networks). Δύο συστήματα που εργάζονται προς την επίλυση αυτού του προβλήματος, δηλαδή της «κινητικότητας των ψηφιακών δεδομένων και ταυτοτήτων» είναι τα DataPortability Project (DPP) [33] και Data Liberation Front (DLF) [34]. Το πρώτο είναι μια πρωτοβουλία από 8 μη κερδοσκοπικούς οργανισμούς που ασχολούνται με την διαχείριση ψηφιακών ταυτοτήτων, όπως το OpenID. Κύριος σκοπός του είναι η υποστήριξη της ελεύθερης μετακίνησης των χρηστών μεταξύ διαφορετικών δικτύων και υπηρεσιών με την ταυτόχρονη δυνατότητα επαναχρησιμοποίησης δεδομένων που βρίσκονται σε ποικίλους δικτυακούς τόπους. Μεταξύ άλλων κύριο μέλημα του έργου είναι και η διαφύλαξη του ιδιοαπορρήτου των χρηστών. Δεν προτείνει κάποιο συγκεκριμένο σύστημα αλλά λειτουργεί ως προτροπή στους υπάρχοντες δικτυακούς τόπους για υλοποίηση ελεύθερης πρόσβασης και μετακίνησης των δεδομένων των χρηστών. Το σύστημα DLF είναι ένα σύστημα της Google που επιτρέπει στους χρήστες της να εισάγουν και να εξάγουν ψηφιακά δεδομένα για όλες τις υπηρεσίες της. Είναι ένα σύστημα που δεν έχει επεκταθεί αρκετά και μέχρι τώρα δεν υποστηρίζει κάποια

77 75 ενιαία μορφή αρχείων. Για παράδειγμα σε κάποιες υπηρεσίες υποστηρίζεται η εξαγωγή με την μορφή XML αρχείων ενώ σε κάποιες άλλες όχι OSIS Το Open Source Identity Selector (OSIS) [35] είναι μια προσπάθεια οργάνωσης των διαφόρων συστημάτων και λύσεων σχετικά με την διαχείριση ψηφιακών ταυτοτήτων για την κατασκευή ενός νέου διαλειτουργικού στρώματος ταυτότητας για το Διαδίκτυο. Αυτήν την περίοδο αυτό το σύστημα υποστηρίζει μόνο τις ψηφιακές κάρτες πληροφοριών και OpenID πληροφοριών. Παρόλα αυτά, τα υπάρχοντα συστήματα IdM έχουν σχεδιαστεί για να εξυπηρετήσουν διαφορετικούς σκοπούς και η ιδέα του καθορισμού μιας συνήθως αποδεκτής και διαλειτουργικής υποδομής που θα εξυπηρετούσε όλους φαίνεται αρκετά φιλόδοξη OAuth Τέλος, αν και δεν αποτελεί λύση διαχείρισης ταυτότητας με την αυστηρή έννοια, αναφέρουμε και το σύστημα OAuth [36] που αποτελεί ένα «ένα ανοικτό πρωτόκολλο για την πιστοποίηση χρηστών για εφαρμογές προσωπικών συσκευών, και διαδικτύου. Βασίζεται στο HTTP REST ανταλλάζοντας δεδομένα σε μορφή JSON ή XML. Στον παρακάτω πίνακα (εικόνα19) γίνεται μια επισκόπηση των κυριοτέρων συστημάτων διαχείρισης ψηφιακών ταυτοτήτων και δίνεται μια μικρή περιγραφή της λειτουργικότητάς τους, το πώς αυτά διαχειρίζονται την εμπιστοσύνη και κατά πόσο ορίζουν νέου τύπου παγκόσμιες ταυτότητες. Συστήματα (Projects) Microsoft CardSpace Project Higgins OpenID XRI Data Interchange Λειτουργικότητα (Functionality) Διαχείριση Εμπιστοσύνης (Trust management) User-centric Συστήματα με επίκεντρο τον χρήστη Διαχείριση ψηφιακών ταυτοτήτων από τον τελικό χρήστη Διαχείριση ψηφιακών ταυτοτήτων από τον τελικό χρήστη Πιστοποίηση με την χρήση μοναδικής σύνδεσης σε ένα πάροχο Διαμοιρασμός, σύνδεση και συγχρονισμός δεδομένων ταυτότητας με την χρήση XML Ευθύνη τελικού χρήστη Ευθύνη τελικού χρήστη Πλαίσιο:Provider Authentication Policy Extension (PAPE) Ευθύνη τελικού χρήστη Παγκόσμια ταυτότητα (Global identifier) Δεν ορίζεται Δεν ορίζεται Uniform Resource Locator (URL) XRI (Extensible Resource Identifier)

78 76 DAIDALOS - SWIFT PRIME PRIMElife PICOS TAS3 Δημιουργία και διαχείριση πολλαπλών εικονικών προφίλ Διαχείριση ιδιοαπορρήτου σε διαδικτυακές εφαρμογές και διατήρηση δια βίου ιδιοαπορρήτου Έλεγχος ιχνών προσωπικών δεδομένων διαχείριση εμπιστοσύνης με παροχείς υπηρεσιών Διαχείριση διάσπαρτων προσωπικών δεδομένων M. Dabrowski et al. Σύστημα ανακάλυψης μη διασυνδεδεμένων ταυτοτήτων Liberty Federation - Kantara Shibboleth Athens STORK Open Source Identity Selector (OSIS) OAuth Ευθύνη τελικού χρήστη Σύστημα PRIME middleware Πλατφόρμα PICOS για πολλαπλά μοντέλα εμπιστοσύνης Σύστημα διαχείρισης πολιτικών εμπιστοσύνης:tas3 Trust Policy Management Παγκόσμιος οργανισμός εμπιστοσύνης Federated Συστήματα ομοσπονδιών Πιστοποίηση και ανταλλαγή δεδομένων ταυτότητας για ταυτότητες ομοσπονδίας. Πιστοποίηση και έγκριση για ταυτότητες ομοσπονδίας. Διαχείριση προφίλ χρήστη και πιστοποίηση με την χρήση μοναδικής σύνδεσης σε υπηρεσίες Δημιουργία E-relations για τους πολίτες της Ευρωπαϊκής Ένωσης Συμφωνία εμπιστοσύνης μέσα στην ομοσπονδία Συμφωνία εμπιστοσύνης μέσα στην ομοσπονδία Συμφωνία εμπιστοσύνης μέσα στην ομοσπονδία Συμφωνία εμπιστοσύνης στην Ευρωπαϊκή Ένωση Other Orthogonal Approaches Συστήματα ειδικού σκοπού DataPortability Project (DPP) Data Liberation Front (DLF) Ένωση και συνεργασία των υπαρχόντων συστημάτων διαχείρισης ψηφιακών ταυτοτήτων Ασφαλής API έγκριση για εφαρμογές desktop και διαδικτύου Εξαγωγή δεδομένων ταυτότητας από κλειστά δίκτυα και εφαρμογές Εξαγωγή δεδομένων ταυτότητας από κλειστά δίκτυα και εφαρμογές Δεν ορίζεται Δεν ορίζεται Δεν ορίζεται Δεν ορίζεται Virtual Identity (VID) Δεν ορίζεται Δεν ορίζεται Δεν ορίζεται Δεν ορίζεται Federated identity Federated identity Federated identity e-identity (eid) Δεν ορίζεται Δεν ορίζεται Δεν ορίζεται Δεν ορίζεται Εικόνα 19: Επισκόπηση των κυριότερων συστημάτων διαχείρισης ψηφιακών ταυτοτήτων

79 Οργανισμοί Πιστοποίησης ETSI (European Telecommunication Standards Institute) Από το 2003 ο ευρωπαϊκός οργανισμός ETSI (European Telecommunication Standards Institute) αναπτύσσει το Universal Communication Identifier (UCI) [37]. Αυτό το προσδιοριστικό είναι συνδεδεμένο με ένα λογισμικό στην τελική συσκευή του χρήστη Personal User Agent (PUA) που διαπραγματεύεται με άλλα PUA για την παροχή υπηρεσιών επικοινωνίας μεταξύ δύο τελικών σημείων. Ένα UCI είναι ένα μοναδικό προσδιοριστικό που οδηγεί σε ένα μοναδικό δικτυακό τόπο, όπου βρίσκεται ένα πλήρες προφίλ για τον τελικό χρήστη. Είναι μια διαλειτουργική και πολυεπίπεδη λύση για ένα σύστημα διαχείρισης ταυτοτήτων που ικανοποιεί τις απαιτήσεις των δικτύων «επόμενης γενιάς». Παρόλα αυτά η υιοθέτησή του απαιτεί την χρήση ενός μοναδικού αναγνωριστικού, επιβάλλοντας την ανάγκη τροποποίησης των υφιστάμενων συστημάτων και διαδικασιών. Επιπλέον, η λύση είναι εφαρμόσιμη μόνο μέσα σε ομοσπονδία, και δεν είναι σαφές πώς ταυτότητες εξωτερικών συστημάτων μπορούν να επικυρωθούν από το σύστημα. Τέλος η αρχιτεκτονική του είναι στενά συνδεδεμένη με το σύστημα IMS (IP Multimedia Subsystem) και η ανάπτυξη και των δύο συστημάτων γίνεται με αργούς ρυθμούς (κυρίως λόγω της πολυπλοκότητάς τους και ανταγωνισμού των εταιριών τηλεπικοινωνιών). Το ETSI έχει επίσης δημιουργήσει την ομάδα «Identity and access management for Networks and Services» (INS) [38] για να μελετήσει την τρέχουσα περιοχή IdM. Μέχρι τώρα η ομάδα αυτή έχει δημοσιεύσει 6 αναφορές που πραγματεύονται θέματα σχετικά με την διαλειτουργικότητα των συστημάτων διαχείρισης ψηφιακών ταυτοτήτων, τη διαχείριση ιδιοαπορρήτου, τη πιστοποίηση χρηστών σε πολλαπλά δίκτυα κ.α. Θα πρέπει να σημειωθεί πως τα αποτελέσματα αυτής της διατριβής έχουν παρουσιαστεί στην συγκεκριμένη ομάδα (INS) και το αποτέλεσμα είναι η δημοσίευση ενός draft με τον τίτλο «INS 006 Study to Identify the need for a Global, Distributed Discovery Mechanism», και η συγγραφή ενός δεύτερου draft με τίτλο «INS 010 Requirements of a Global, Distributed Discovery Mechanism of identities and providers and capabilities». Ενδιαφέρον για τα συγκεκριμένα drafts έχει ήδη εκδηλώσει και η ITU-T.

80 ITU-T (International Telecommunications Union) Ο οργανισμός ITU-T (International Telecommunications Union) έχει σχηματίσει την ομάδες Study Groups 13 (Future networks including mobile and NGN) και 17 (Security) οι οποίες εκτός από τα προβλήματα δικτύων που εμφανίζονται στις περιοχές που επικεντρώνεται η έρευνά τους, ασχολούνται και με την διαχείριση ψηφιακών ταυτοτήτων από διαφορετικές προοπτικές. Η ομάδα Focus Group on Identity Management (FG IDM) της ITU-T NGN GSI (SG13) σχεδιάζει ένα νέο γενικού τύπου προσδιοριστικό που το ονομάζει NGN User Identity (NUI) [39]. Πρόκειται για ένα νέο είδος ταυτότητας που είναι σύμφωνο με τις απαιτήσεις των δικτύων «επόμενης γενιάς» (NGN) ικανό να παρέχει μια σειρά από λειτουργίες όπως π.χ. ταυτοποίηση, έλεγχος γνησιότητας, αδιάλειπτη πρόσβαση σε δίκτυο και υπηρεσίες, οργάνωση πολλαπλών προφίλ χρήστη κ.τ.λ.. Το NUI περιλαμβάνει μια δημόσια ταυτότητα χρήστη (public) για την επικοινωνία με άλλους χρήστες NGN, και μία ιδιωτική ταυτότητα (private) του χρήστη για δικτυακούς σκοπούς όπως η αναγνώριση σε παρόχους δικτύων η υπηρεσιών. Μέχρι τώρα οι δημοσιεύσεις της (FG IDM) της ITU-T NGN GSI (SG13) περιγράφουν την τρέχουσα κατάσταση των συστημάτων διαχείρισης ταυτοτήτων, αναλύοντας τα υπάρχοντα συστήματα διαχείρισης ταυτότητας και καταδεικνύουν περιοχές και ανοιχτά θέματα που πρέπει να αντιμετωπιστούν 4.5 Ερευνητικές εργασίες Στο σύγγραμμα [40] οι συντάκτες αναγνωρίζουν την ανάγκη για ένα μεγάλης κλίμακας σύστημα IdM ικανό να διαχειριστεί ταυτότητες διαφορετικών στρωμάτων, τύπων και διοικητικών περιοχών. Αυτή η εργασία περιγράφει έναν έγκυρο μηχανισμό ανακαλύψεων ο οποίος ορίζει ένα εσωτερικό κλειστό δίκτυο που οργανώνεται από ένα κοινώς αποδεκτό παγκόσμιο οργανισμό. Ανάμεσα στις αρμοδιότητες αυτού του οργανισμού θα είναι η παραγωγή και διαμοιρασμός όλων των κρυπτογραφικών κλειδιών που απαιτούνται για την λειτουργία του δικτύου, κάτι που όμως δεν συμφωνεί με τις αυστηρές απαιτήσεις διαφύλαξης του ιδιοαπορρήτου ενός παγκόσμιου συστήματος διαχείρισης ταυτοτήτων (εικόνα 20).

81 79 Εικόνα 20: Παγκόσμιο σύστημα οργάνωσης των ψηφιακών ταυτοτήτων χρηστών. [40] 4.6 Συστήματα ανακάλυψης ψηφιακών δεδομένων (Discovery Frameworks) Προτού κλείσουμε το κεφάλαιο θα κάνουμε μια σύντομη αναφορά και σε μεγάλα συστήματα ανακάλυψης (discovery) ψηφιακών δεδομένων, αφού θεωρούμε πως η ανακάλυψη αποτελεί ίσως το θεμελιώδες χαρακτηριστικό του συστήματος που περιγράφει η συγκεκριμένη διατριβή DNS, DDNS, DNSSEC Το σύστημα (DNS) [41] είναι ένα σύστημα που έχει αποθηκευμένες πληροφορίες για τη διεύθυνση κάθε «ζώνης» ή περιοχής-σελίδας (site) που υπάρχουν στο διαδίκτυο. Ακολουθεί μια ιεραρχική αρχιτεκτονική με κάθε επίπεδο αυτής της ιεραρχίας να είναι υπεύθυνο για το επίπεδο ακριβώς από κάτω. Η «ρίζα» του συστήματος που διατηρείται από το IANA (Internet Assigned Numbers Authority) περιέχει πληροφορίες για όλες την βασικές καταλήξεις περιοχών και σελίδων - TLDs (.com,.org,.edu,.info κ.λπ.) καθώς και ποιός είναι υπεύθυνος για αυτές. Ανάλογα, ο οργανισμός που είναι υπεύθυνος για το.edu διατηρεί πληροφορίες για όλους τους ιστοχώρους του.edu κ.τ.λ.. Το DDNS [42] είναι μία υπηρεσία δικτύου που παρέχει την ικανότητα για μια συνδεδεμένη συσκευή, όπως δρομολογητής ή ηλεκτρονικός υπολογιστής, να δηλώσει σε έναν κεντρικό υπολογιστή DNS την αλλαγή - σε πραγματικό χρόνο της ενεργούς DNS καταχώρησης των hostnames της, διευθύνσεων ή άλλων πληροφοριών. Η πιο κοινή χρήση του DDNS είναι η παροχή της δυνατότητας σε χρήστες Διαδικτύου να διατηρούν μία ιστοσελίδα, μεταβάλλοντας, τη IP διεύθυνσή της.

82 80 Οι DNS επεκτάσεις ασφάλειας (DNSSEC) [43] έχουν εισαχθεί ως ένα μέτρο ασφάλειας για να προστατευθεί το DNS από επιθέσεις εισαγωγής κακόβουλων δεδομένων με σκοπό την ανακατεύθυνση χρηστών σε μη έγκυρες και πολλές φορές επικίνδυνες τοποθεσίες στο Διαδίκτυο [44]. Το σύστημα DNS κατά τη διάρκεια ενός DNS αιτήματος δίνει μόνο απλές ναι/όχι απαντήσεις χωρίς να υπάρχει κάποιος τρόπος να επικυρωθεί η οντότητα που υποστηρίζει ότι είναι κάτοχος της διεύθυνσης του ζητούμενου πόρου. Το DNSSEC εισάγει ψηφιακές υπογραφές στην υποδομή του DNS, και επιτρέπει στους τελικούς χρήστες να πλοηγηθούν ασφαλέστερα στο Διαδίκτυο. Η διαδικασία περιλαμβάνει την καθιέρωση μιας «αλυσίδας της εμπιστοσύνης» που ζητά έναν μυστικό κωδικό πρόσβασης ή ένα «κλειδί» προκειμένου να ανταλλαχθούν πληροφορίες σε κάθε επίπεδο του DNS. Εξ ορισμού το DNS σύστημα σχεδιάστηκε για να παρέχει μια συγκεκριμένη λειτουργία: τη μετάφραση ονομάτων περιοχών και σελίδων σε διευθύνσεις IP. Η τροποποίηση της υπάρχουσας λειτουργίας του ή η εκμετάλλευση της υποδομής του σε συστήματα διαχείρισης ψηφιακών ταυτοτήτων εισάγει υψηλούς κινδύνους σε θέματα ασφάλειας, και ιδιοαπορρήτου δεδομένου ότι το σύστημα αυτό έχει σχεδιαστεί με διαφορετικές απαιτήσεις HANDLE Το HANDLE [45] είναι ένα σύστημα που εξασφαλίζει την ανάθεση, διαχείριση, και ανακάλυψη στατικών προσδιοριστικών ψηφιακών αντικείμενων και άλλων πόρων στο διαδίκτυο. Περιλαμβάνει ένα ανοικτό σύνολο πρωτοκόλλων, μια περιοχή ονομάτων, και μια εφαρμογή αναφοράς πρωτοκόλλων. Τα πρωτόκολλα επιτρέπουν σε ένα κατανεμημένο συγκρότημα ηλεκτρονικών υπολογιστών να αποθηκεύουν καθορισμένα προσδιοριστικά πόρων, γνωστά ως handles, όπως επίσης και να χρησιμοποιούν άλλα handles για την ανακάλυψη πληροφοριών απαραίτητων για τον εντοπισμό, πρόσβαση, επικοινωνία, επικύρωση, μεταξύ των πόρων. Το βασικό χαρακτηριστικό του συστήματος είναι πως επιτρέπει στις παραπάνω πληροφορίες να αλλάξουν θέση στο δίκτυο χωρίς να είναι απαραίτητη η αλλαγή των προσδιοριστικών handles. Για να το επιτύχει όμως αυτό θεωρείται δεδομένο ότι ο αιτών ξέρει ήδη το προσδιοριστικό του αντικειμένου που αναζητάει. Τέλος πρέπει να σημειωθεί πως πολλαπλά προσδιοριστικά δεν είναι δυνατόν να αντιστοιχιστούν σε ένα μοναδικό αντικείμενο π.χ. αντιστοίχηση πολλαπλών ψηφιακών ταυτοτήτων σε ένα μοναδικό χρήστη

83 IF-MAP Το IF-MAP [46] είναι μια πρωτοβουλία του δικτύου TCG, για να τυποποιήσει τον τρόπο με τον οποίο οι συσκευές και εφαρμογές δικτύου ανταλλάζουν πληροφορίες μεταξύ τους. Σκοπεύει να παρέχει συντονισμό και συνεργασία καθορίζοντας ένα πρωτόκολλο client/server με την μεριά του server να αποτελεί μια βάση δεδομένων που υποστηρίζει διαδικασίες δημοσίευσης, εγγραφής και εύρεσης πληροφοριών. Ο κεντρικός IF_MAP server μπορεί δυναμικά να συνδέει οποιοδήποτε είδος πληροφοριών, που λαμβάνεται από ετερογενής και ενδεχομένως ανεξάρτητες πηγές, για ένα αντικείμενο (χρήστης, μηχανή, αισθητήρας κ.λπ.) και να δημιουργεί μια ολική εικόνα για αυτό. Τέτοιες πληροφορίες μπορούν παραδείγματος χάριν να είναι: θέση δικτύων (IP), ταυτότητα υλικού (διεύθυνση της MAC), πληροφορίες συνόδου, προνόμια, κ.λπ. Το σύστημα IF-MAP έχει τη δυνατότητα να εντοπίσει πολλαπλές και διαφορετικές πληροφορίες και να τις συνδέσει με ένα αντικείμενο. Εντούτοις η διαδικασία ανακαλύψεων υποθέτει ότι ο αιτών ξέρει ήδη πού είναι καταχωρημένες οι πληροφορίες που αναζητά. Κατά συνέπεια η δυναμική ανακάλυψη ενός αντικειμένου ή πληροφοριών για αυτό χωρίς προηγούμενη γνώση του αντίστοιχου IF_MAP server δεν είναι δυνατή Plutarch Το Plutarch [47] είναι ένα πλαίσιο που σχηματίστηκε με σκοπό να εξετάσει την ετερογένεια των δικτύων επόμενης γενεάς. Είναι μια νέα αρχιτεκτονική για το μελλοντικό Διαδίκτυο που δεν απορρίπτει το υπάρχον «ομοιογενές» Διαδίκτυο αλλά το συμπεριλαμβάνει ως μια αρχιτεκτονική μεταξύ πολλών. Διαιρεί τον κόσμο σε πλαίσια, που το κάθε ένα περιλαμβάνει κάποιο σύνολο hosts, δρομολογητών, διακοπτών, συνδέσεων κ.λπ. Κάθε πλαίσιο καθορίζεται από ένα ορισμένο επίπεδο ομοιογένειας μεταξύ συγκεκριμένων εννοιών όπως διευθύνσεις, πακέτα επικοινωνίας, πρωτόκολλα μεταφορών και υπηρεσίες διαχείρισης ονομάτων. Τα διακριτά πλαίσια διαφέρουν τουλάχιστον σε μια από αυτές τις περιοχές. Μια ενδιάμεση λειτουργία ενεργεί ως γέφυρα και επιτρέπει σε δεδομένα στοιχεία να περάσουν μεταξύ δύο πλαισίων. Αυτό το σύστημα είναι σε θέση να υποστηρίξει την επικοινωνία μεταξύ ετερογενών πλαισίων και επίσης είναι συμβατό σύστημα με τα υπάρχουσα δίκτυα και τεχνολογίες. Ο σκοπός του όμως δεν είναι η διαχείριση ψηφιακών ταυτοτήτων και έτσι μια σειρά από σημαντικές απαιτήσεις όπως το ιδιοαπόρρητο δεν εξετάζονται

84 82

85 5 Σύστημα διαχείρισης ταυτοτήτων DIMANDS 83 Με βάση την ανάλυση του προβλήματος της διαχείρισης ψηφιακών ταυτοτήτων (ενότητα 3) και την καταγραφή των συστημάτων που υπάρχουν σήμερα (ενότητα 4), αποδεικνύεται πως η προσέγγιση που παρουσιάζει αυτή η διατριβή μέχρι σήμερα δεν έχει εξεταστεί. Για να δημιουργήσουμε όμως τις δυναμικές γέφυρες που θα επέτρεπαν στους σημερινούς παρόχους και οργανισμούς να αντιμετωπίσουν μόνοι τους τα προβλήματα διαχείρισης ψηφιακών ταυτοτήτων, πρέπει να αναγνωριστεί η «χρυσή τομή» η οποία διαχωρίζει τα κοινά στοιχεία όλων των περιπτώσεων και αφήνει εκτός τις ιδιαιτερότητες της καθεμίας ξεχωριστά. Η χρυσή αυτή τομή φαίνεται να βρίσκεται μεταξύ της ανακάλυψης δεδομένων ψηφιακών ταυτοτήτων (discovery of identity information) και ανταλλαγής δεδομένων ψηφιακών ταυτοτήτων (exchange of identity information). Σε μεγάλης κλίμακας ανομοιογενή συστήματα και κατ επέκταση σε παγκόσμια κλίμακα η διαχείριση ψηφιακών ταυτοτήτων χρειάζεται έναν ομοιόμορφο τρόπο ανακάλυψης δεδομένων, ώστε να μπορούν όλοι να βρουν τα στοιχεία που χρειάζονται. Από αυτό το σημείο και μετά, η ανταλλαγή θα πρέπει να υλοποιείται σε τοπικό επίπεδο προσαρμοσμένη στα ιδιαίτερα στοιχεία και απαιτήσεις των εμπλεκόμενων μερών. Αυτό λοιπόν που απαιτείται είναι ο σαφής διαχωρισμός μεταξύ ανακάλυψης πληροφοριών ταυτότητας και ανταλλαγής τους. Για την επίτευξη αυτής της προσέγγισης απαιτείται ο σχεδιασμός και υλοποίηση ενός παγκόσμιου μηχανισμού ανακάλυψης δεδομένων ψηφιακών ταυτοτήτων, όπως φαίνεται στην εικόνα 21. Βασισμένοι στα προαναφερθέντα επιχειρήματα δημιουργήθηκε το DIMANDS (Dynamic Identity Mapping Association N Discovery System), ένα πρωτοποριακό σύστημα διαχείρισης ταυτοτήτων που επικεντρώνεται στην ανακάλυψη πληροφοριών ταυτότητας. Το DIMANDS είναι ένα δυναμικό σύστημα που μπορεί να διασυνδέσει και να οργανώσει όλες τις ταυτότητες που ένας χρήστης διατηρεί ως μέλος των διάφορων οργανώσεων (κυβερνητικών, εφαρμογές, υπηρεσίες και προμηθευτές δικτύων κ.λπ.). Ενεργεί ως ένας ανεξάρτητος, κλειστός μηχανισμός που μπορεί εσωτερικά να αναγνωρίσει και να διαχειριστεί ταυτότητες και πληροφορίες, ανεξαρτήτου στρώματος, ενώ ο μηχανισμός ανακάλυψης δεδομένων που χρησιμοποιεί είναι σε θέση να αναζητήσει πληροφορίες σε πολλαπλές πηγές για διαφορετικούς τύπους ταυτοτήτων και ιδιοτήτων ταυτότητας.

86 84 Federation Group A webstore.com* supplier.com Federation Group B gov.com* Supplier.com chooses gov.com Where can I find this information? Check these locations user@webstore.com Discovery mechanism * the end user has a registered account with this provider Εικόνα 21: Παγκόσμιο σύστημα ανακάλυψης πληροφοριών ψηφιακών ταυτοτήτων Η ανάγκη για απόλυτη μυστικότητα λόγω των κρίσιμων ζητημάτων ασφάλειας και ιδιοαπορρήτου που προκύπτουν από την προτεινόμενη ενοποίηση ταυτοτήτων αντιμετωπίζεται μέσω ενός ισχυρού μηχανισμού κρυπτογράφησης που αλλάζει την μορφή των πραγματικών ταυτοτήτων και κρύβει τους συσχετισμούς τους, αποτρέποντας έτσι την παρακολούθηση από κακόβουλα τρίτα μέρη και την συλλογή προσωπικών στοιχείων. 5.1 Ορισμός απαιτήσεων συστήματος. Με βάση την προσέγγιση που περιγράψαμε στην ενότητα 3, αρχικά έγινε καθορισμός των απαιτήσεων του συστήματος DIMANDS. Οι απαιτήσεις αυτές καταγράφονται παρακάτω. 1. Ανεξάρτητο. Το σύστημα πρέπει να υπάρχει ως ανεξάρτητη οντότητα και να μην αποτελεί μέρος ή επέκταση κάποιου άλλου συστήματος διαχείρισης ταυτοτήτων. Το σύστημα θα πρέπει να παραμένει ανεπηρέαστο από τις ιδιαιτερότητες των διαφόρων IdM διαδικασιών που απαιτούνται για την ολοκλήρωση μιας

87 85 υπηρεσίας, μεταξύ ενός παραγωγού ταυτότητας και ενός καταναλωτή ταυτότητας. Πρέπει να υπάρξει ένας σαφής διαχωρισμός μεταξύ ανακάλυψης πληροφοριών που σχετίζονται με ψηφιακές ταυτότητες, και ανταλλαγή αυτών των πληροφοριών. Το σύστημα δεν θα πρέπει να σχετίζεται με την ανταλλαγή πληροφοριών. Η διαχείριση της υποδομής του συστήματος θα πρέπει να είναι ανεξάρτητη από εμπορικά ή άλλα οικονομικά συμφέροντα, που θα μπορούσαν να επηρεάσουν την λειτουργικότητά του προς όφελός τους. 2. Κατανεμημένο. Πολλαπλές οντότητες, φορείς, πάροχοι κ.λπ. θα πρέπει να συμμετέχουν στην υποδομή του συστήματος. Η δημιουργία ενός μοναδικού και καθολικά αποδεκτού οργανισμού για την λειτουργία του, δεν είναι αποδεκτή λύση, λόγω του πλήθους και της φύσης (ευαισθησία) των πληροφοριών στις οποίες αυτός ο οργανισμός θα έχει πρόσβαση. Ένας ή περισσότεροι οργανισμοί θα πρέπει να δημιουργηθούν για να αναλάβουν την εποπτεία του συστήματος. Αυτοί οι οργανισμοί δεν θα πρέπει σε καμία περίπτωση να έχουν πρόσβαση στα προσωπικά δεδομένα των χρηστών. Δεν θα πρέπει να υπάρχει μοναδικό σημείο αποτυχίας του συστήματος. single point of failure Η αρχιτεκτονική του συστήματος θα πρέπει να παρέχει δυνατότητες ανάπτυξης χωρίς περιορισμούς. 3. Διαφύλαξη ιδιοαπορρήτου Το προτεινόμενο σύστημα θα πρέπει να διαφυλάσσει και να προστατεύει το ιδιοαπόρρητο των χρηστών του σε κάθε περίπτωση όπως για παράδειγμα λανθασμένη ρύθμιση παραμέτρων, επιθέσεις από εσωτερικά ή εξωτερικά κακόβουλα μέρη, κ.λπ. Το σύστημα δεν θα αποθηκεύει πραγματικά δεδομένα αλλά δείκτες που υποδεικνύουν τη θέση των πραγματικών πληροφοριών. Οι χρήστες θα πρέπει να έχουν συνεχώς τον πλήρη έλεγχο των πραγματικών στοιχείων τους. Η αποθήκευση των πραγματικών δεδομένων ενός χρήστη θα πρέπει να είναι επιλογή δική του (π.χ. τοπική αποθήκευση).

88 86 Ο τελικός χρήστης πρέπει να έχει τη δυνατότητα να εισάγει, να διαχειρίζεται και να αποσύρει πληροφορίες από το σύστημα, καθώς επίσης και να εφαρμόζει τους κατάλληλους κανόνες σχετικά με τη χρήση των προσωπικών του δεδομένων. Ένας χρήστης θα πρέπει να μπορεί να εφαρμόζει πολιτικές ώστε να επιτρέπει ή να περιορίζει την πρόσβαση συγκεκριμένων μερών σε συγκεκριμένες πληροφορίες. Αντιφατικές πολιτικές και οι κανόνες θα πρέπει να αναγνωρίζονται από το σύστημα και να παρουσιάζονται στο χρήστη. Το σύστημα θα πρέπει να είναι σε θέση να ενεργεί είτε ανεξάρτητα, είτε με τη συγκατάθεση του χρήστη κατά το χειρισμό μιας εισερχόμενης αίτησης. (η διαδικασία θα έχει προαποφασιστεί από το χρήστη). Ένα πλαίσιο ελέγχου πρόσβασης θα πρέπει να έχει την δυνατότητα να επικυρώνει όλα τα εξωτερικά μέρη που επιθυμούν να καταχωρήσουν ή να ζητήσουν πληροφορίες. Παράλληλα θα πρέπει να μπορεί να αξιολογήσει κάθε διαδικασία βάση των αποθηκευμένων πολιτικών και κανόνων που έχει ορίσει ο τελικός χρήστης. Όλες οι αιτήσεις προς το σύστημα δεν πρέπει να περιέχουν οποιαδήποτε πραγματική ταυτότητα η στοιχείο που συσχετίζονται με ένα χρήστη. Όλες οι απαντήσεις του συστήματος δεν πρέπει να περιέχουν οποιαδήποτε πραγματική ταυτότητα η στοιχείο που συσχετίζονται με ένα χρήστη. Η απάντηση του συστήματος σε μία αίτηση θα πρέπει να περιέχει το ελάχιστο ποσό πληροφορίας που απαιτείται για το χειρισμό της τελευταίας. (minimal disclosure). Ο χρήστης πρέπει να έχει τη δυνατότητα να επιλέξει το σημείο (φυσικό διακομιστή μέρος της υποδομής του συστήματος) που θέλει να αποθηκευτούν τα προσωπικά δεδομένα του. Το σύστημα θα πρέπει να καταγράφει κρατάει αρχείο όλες τις αιτήσεις και διαδικασίες που διαχειρίστηκε σχετικά με κάποιον χρήστη. Αυτό το αρχείο θα πρέπει να είναι οποιαδήποτε στιγμή διαθέσιμα στον χρήστη. 4. Ασφαλές Ένας μηχανισμός πιστοποίησης θα ελέγχει την πρόσβαση πιστοποιημένων οντοτήτων στο σύστημα. π.χ. χρηστών

89 87 Οι πληροφορίες που θα βρίσκονται αποθηκευμένες στο σύστημα θα πρέπει να είναι κρυπτογραφημένες, να ακυρώνονται εύκολα, και να μπορούν να επανακτηθούν με ελάχιστο ή καθόλου κίνδυνο ή ζημιά, τόσο για το σύστημα όσο και για τον χρήστη. Ένα πλαίσιο ασφάλειας θα πρέπει να προστατεύει το σύστημα από οποιαδήποτε τύπου εξωτερική επίθεση. π.χ. DDoS επίθεση. Το σύστημα θα πρέπει να διαθέτει μηχανισμούς ασφαλείας απέναντι σε παρακολούθηση κίνησης και δεδομένων που θα μπορούσε να συσχετίσει πληροφορίες γύρω από ένα χρήστη και να δημιουργήσει μοντέλα συμπεριφοράς για αυτόν. Ένα επιπρόσθετο πλαίσιο ασφαλείας είναι απαραίτητο για την ασφάλεια των πραγματικών δεδομένων των χρηστών, ακόμα και αν αυτά είναι αποθηκευμένα εκτός του προτεινόμενου συστήματος. π.χ. αποθήκευση σε τοπικό δίσκο. Οποιαδήποτε μεταφορά-ανταλλαγή δεδομένων μεταξύ δύο μερών του συστήματος θα πρέπει να πραγματοποιείται μέσω ασφαλών συνδέσεων. Αυτό συμπεριλαμβάνει αιτήσεις, εγγραφή δεδομένων, διαχείριση λογαριασμού χρήστη κ.λπ. 5. Αξιόπιστο έμπιστο Το σύστημα θα πρέπει να είναι σε θέση να αποδείξει την αξιοπιστία του σε όλους τους εξωτερικούς φορείς που αλληλεπιδρούν με αυτό. Το σύστημα θα πρέπει να διαθέτει τα μέσα ώστε να παρακολουθεί τη συμπεριφορά των διακομιστών του και να είναι έτοιμο να αναλάβει δράση για την πρόληψη, την παρεμπόδιση ή και την διακοπή μη επιτρεπτών ενεργειών. Το σύστημα σε καμία περίπτωση δεν πρέπει να παρεμβαίνει ή να επηρεάζει την εμπιστοσύνη μεταξύ των δύο εξωτερικών οντοτήτων (π.χ. μεταξύ των δύο φορέων που συμμετέχουν - ή όχι - σε μια ομοσπονδία), εκτός αν του ζητηθεί. Το σύστημα θα πρέπει να λαμβάνει υπόψη οποιαδήποτε διαθέσιμη πληροφορία για την επικύρωση εξωτερικών οντοτήτων. Τέτοιες πληροφορίες μπορεί να προέρχονται από κάποιο σύστημα παγκόσμιας αξιολόγησης (εάν δημιουργηθεί ένα τέτοιο πλαίσιο) ή από πολλαπλές επιμέρους πηγές. 6. Παγκοσμίως προσβάσιμο και λειτουργικό

90 88 Οι υπηρεσίες του προτεινόμενου συστήματος δεν θα πρέπει να περιορίζονται σε κάποιο συγκεκριμένο πλαίσιο και θα πρέπει να είναι προσβάσιμες από διαφορετικές τοποθεσίες και περιβάλλοντα π.χ. τομείς, ομοσπονδίες, χώρες, δίκτυα. Το σύστημα πρέπει να ακολουθεί τους διαφόρους τοπικούς νόμους και ρυθμίσεις στις περιοχές που εφαρμόζεται Το σύστημα θα πρέπει να είναι αρκετά ουδέτερο και ευέλικτο ώστε να μπορεί να προσαρμοστεί στους διαφόρους τοπικούς κανονισμούς που ισχύουν ή μπορεί να αποφασιστούν αργότερα. Ο τελικός χρήστης πρέπει να μπορεί να μεταφέρει τον λογαριασμό που διατηρεί στο σύστημα και τα δεδομένα του σε οποιοδήποτε διακομιστή θέλει ανεξάρτητα από την φυσική θέση του τελευταίου-. Η συμπεριφορά του συστήματος θα πρέπει να είναι ομοιόμορφή. Με δεδομένη, μια συγκεκριμένη κατάσταση λειτουργίας και ένα συγκεκριμένο αριθμό αποθηκευμένων δεδομένων, το σύστημα θα πρέπει να συμπεριφέρεται με τον ίδιο τρόπο για μία συγκεκριμένη αίτηση. 7. Διαλειτουργικό Το σύστημα δεν πρέπει να περιορίζεται σε συγκεκριμένες τεχνολογίες, πρωτόκολλα και formats κ.λπ. Το σύστημα πρέπει να έχει τη δυνατότητα να χειρίζεται κάθε είδους πληροφορία ταυτότητας, καθώς και οποιοδήποτε είδος format. Το σύστημα δεν πρέπει να εισάγει νέους τύπους αναγνωριστικών και format, απαιτώντας την εφαρμογή τους στα υπάρχοντα δίκτυα (αυτή η πρακτική συνήθως οδηγεί σε αργή υιοθέτηση ή απόρριψη της υπηρεσίας). Πρέπει να υιοθετηθεί μια καθολικά αποδεκτή σημασιολογία για την περιγραφή της αποθηκευμένης πληροφορίας, των αιτήσεων και των απαντήσεων κατά ενιαίο τρόπο. Π.χ. υιοθέτηση τεχνολογιών, όπως SAML ή DOI. Μία διεπαφή χρήστη, πρέπει να παρέχει στους χρήστες την δυνατότητα διαχείρισης των δεδομένων τους. Ο μηχανισμός είναι υπεύθυνος για το μετασχηματισμό των ενεργειών και των επιλογών των χρηστών σε για πληροφορίες σύμφωνες με την καθολικά αποδεκτή σημασιολογία.

91 89 Το σύστημα πρέπει να καθορίσει μια σαφή διαδικασία για την εισαγωγή ενός νέου στοιχείου που η περιγραφή του δεν υπάρχει στην καθολικά αποδεκτή σημασιολογία. π.χ. περιγραφή ενός νέου χαρακτηριστικού ταυτότητας. 8. Φιλικό προς τον χρήστη Το σύστημα πρέπει να συνοδεύεται από μία φιλική προς τον χρήστη διεπαφή η οποία θα επιτρέπει την εύκολη χρήση και οργάνωση της υπηρεσίας 5.2 Το σύστημα DIMANDS Αρχιτεκτονική Η αρχιτεκτονική DIMANDS είναι βασισμένη σε έναν καινοτόμο Κατανεμημένο Hash Table και έχει την δυνατότητα να αξιοποιεί ταυτόχρονα τις ικανότητες δρομολόγησης των δικτύων DHT και τα οφέλη ασφάλειας μεμονωμένων Παρόχων Διαχείρισης Ψηφιακών Ταυτοτήτων (Identity Providers - IdPs). Τα βασικά χαρακτηριστικά της αρχιτεκτονικής του DIMANDS που την διαφοροποιεί από τα περισσότερα DHT συστήματα είναι: Στο σύστημα συμμετέχουν μόνο μεμονωμένοι IdPs που λειτουργούν σαν κόμβοι του δικτύου DHT. Το DHT χρησιμοποιείται μόνο για την δρομολόγηση μηνυμάτων και όχι για την αποθήκευση δεδομένων. Οι κόμβοι διατηρούν σταθερή την θέση τους μέσα στο δίκτυο. Η υποδομή του DIMANDS (εικόνα 22) διαμορφώνεται από μία σειρά δακτυλίους CHORD [48], που τοποθετούνται ο ένας πάνω από τον άλλο και δημιουργούν έναν κύλινδρο. Σε αυτόν τον κύλινδρο ο ανώτερος κύκλος και ο χαμηλότερος κύκλος μπορούν άμεσα να επικοινωνήσουν ο ένας με τον άλλον δίνοντας στο DHT μία μορφή που θα λέγαμε ότι θυμίζει ένα donut. Νέοι κύκλοι μπορούν να τοποθετηθούν οπουδήποτε στον κύλινδρο επιτρέποντας στο DIMANDS για να επεκταθεί χωρίς προβλήματα στην λειτουργικότητα ή την απόδοσή του. Η ευθύνη για τον καθορισμό και την διανομή αυτών των CHORD δακτυλίων θα πρέπει να ανατεθεί σε μία μη κερδοσκοπική παγκόσμια οργάνωση (π.χ. ICANN). Αυτή η οργάνωση δεν θα έχει καμία περαιτέρω συμμετοχή στη λειτουργία του DIMANDS ή στις αποθηκευμένες πληροφορίες του.

92 90 Κάθε CHORD κύκλος αντιπροσωπεύει μια προκαθορισμένη γεωγραφική περιοχή (π.χ. μια χώρα) και ανατίθεται σε μια τοπική αρχή (Regional Authority - RA) που εδρεύει σε αυτήν την περιοχή (π.χ. κυβέρνηση). Ευθύνη των RAs η είναι ο έλεγχος, η αξιολόγηση, η παροχή των απαραίτητων πιστοποιητικών ασφάλειας και η παρακολούθηση της καλής συμπεριφοράς όσων IdPs συμμετέχουν στον δακτύλιο που τους έχει ανατεθεί ( το CHORD της γεωγραφικής περιοχής τους). Τα RAs δεν θα έχουν καμία περαιτέρω συμμετοχή στη λειτουργία DIMANDS ή αποθηκευμένες πληροφορίες του. CHORD circles representing geographical areas.fr.uk Each node has neighbors in other CHORD circles Identity Providers in a geographical zone participate as nodes of the CHORD circle (IdPID) Routing in the circle is held exactly like CHORD Regional Authorities monitor CHORD circle Εικόνα 22: Αρχιτεκτονική συστήματος DIMANDS Η πραγματική λειτουργία του DIMANDS παρέχεται μέσω ανεξάρτητων Παρόχων Διαχείρισης Ψηφιακών Ταυτοτήτων (IdPs). Οποιοδήποτε είδος προμηθευτή, οργάνωσης, αρχής κ.λπ. που επιθυμεί να συμμετάσχει στο DIMANDS ως IdP, πρέπει πρώτα να αξιολογηθεί από το RA της γεωγραφικής περιοχής του. Μετά από μία επιτυχή αξιολόγηση, αυτό το IdP ενσωματώνεται, ως νέος κόμβος, στον CHORD δακτύλιο και τοποθετείται σε ένα συγκεκριμένο και μόνιμο σημείο. Αυτό το σημείο ονομάζεται Σημείο Προμηθευτή Ταυτότητας (IdPID) και είναι μια αριθμητική αξία που δείχνει τη θέση του IdP μέσα στο σύστημα DIMANDS. Εδώ πρέπει να σημειωθεί

93 91 πως η δομή του CHORD DHT συστήματος εξασφαλίζει ομοιόμορφη κατανομή κόμβων σε έναν κύκλο για ουσιαστικά έναν άπειρο αριθμό κόμβων. Κάθε IdP (κόμβος DHT) συνδέεται με έναν αριθμό γειτόνων και διατηρεί συνεχώς ασφαλείς συνδέσεις με αυτούς. Αυτοί οι γείτονες μπορεί να βρίσκονται ίδιο δακτύλιο με αυτόν ή σε άλλους, ενώ ο αριθμός τους μπορεί να ποικίλει ανάλογα το μέγεθος του συστήματος. Η επιλογή των γειτόνων που βρίσκονται στον ίδιο δακτύλιο πραγματοποιείται ακριβώς όπως ορίζει το σύστημα CHORD. Για να είναι σε θέση να επιλέξει τους γείτονες στους διαφορετικούς δακτυλίους, ένας κόμβος ζητά από το αντίστοιχο RA έναν κατάλογο, που περιέχει τα IdPIDs των κόμβων που υπάρχουν στην ίδια θέση όπως αυτός, στους υπόλοιπους CHORD δακτυλίους (ή κοντά σε εκείνο το σημείο). Βάση της αρχιτεκτονικής DIMANDS, οι κόμβοι σε αυτόν τον κατάλογο διαμορφώνουν έναν εικονικό κάθετο κύκλο. Έτσι και η επιλογή των γειτόνων σε άλλους κύκλους γίνεται πάλι ακριβώς όπως ορίζει το σύστημα CHORD. Για να παραδώσει ένας κόμβος ένα μήνυμα που προορίζεται σε ένα συγκεκριμένο σημείο στο DHT, πρέπει απλά να το διαβιβάσει κάθετα σε έναν γείτονά του σε άλλο δακτύλιο ή οριζόντια σε έναν γείτονά του στον ίδιο δακτύλιο, χρησιμοποιώντας τη δρομολόγηση CHORD. Η προτεινόμενη αρχιτεκτονική έχει ως σκοπό να ικανοποιήσει μία σειρά από απαιτήσεις που αφορούν την απόδοση του συστήματος, την εμπιστοσύνη μεταξύ των εμπλεκομένων μερών, καθώς και την ασφάλεια και διαφύλαξη του ιδιοαπορρήτου των χρηστών. Ιδιοαπόρρητο: Το σύστημα DIMANDS είναι βασισμένο σε μια ιεραρχική αρχιτεκτονική τριών επιπέδων, όπου διαφορετικές οργανώσεις και πάροχοι υπηρεσιών συμβάλλουν και ενεργούν κάτω από πολύ καλά καθορισμένους και χωριστούς ρόλους, χωρίς να έχουν πρόσβαση σε στοιχεία ή λειτουργίες που δεν τους επιτρέπεται. Στα δύο υψηλότερα επίπεδα της αρχιτεκτονικής, βρίσκονται διακεκριμένες οργανώσεις (ICANN, περιφερειακές αρχές -RAs) που ο μόνος σκοπός τους είναι η κατάλληλη οργάνωση των IdPs που ουσιαστικά παρέχουν την πραγματική λειτουργία του DIMANDS και συνθέτουν το τρίτο και χαμηλότερο επίπεδο. Όλα τα ιδιωτικά δεδομένα των τελικών χρηστών βρίσκονται αποθηκευμένα με ασφάλεια ΜΟΝΟ στον IdP της επιλογής τους, και δεν είναι προσβάσιμα από οποιασδήποτε από τις οργανώσεις των δύο ανώτερων επιπέδων.

94 92 Εμπιστοσύνη: Δεδομένου ότι οι κόμβοι (IdPs) του συστήματος (μετά το πέρας μιας αρχικής περιόδου) σπάνια θα εισέρχονται ή θα εξέρχονται από το DHT, κάθε κόμβος θα διατηρεί σταθερούς γείτονες και θα μπορεί να δημιουργήσει μακροπρόθεσμες σχέσεις εμπιστοσύνης με αυτούς. Έτσι οποιοδήποτε μήνυμα, που προορίζεται σε κάποιον κόμβο στο DIMANDS, θα ταξιδεύει με ασφάλεια μέσω μιας «πορείας εμπιστοσύνης» μεταξύ γειτόνων που γνωρίζει ο ένας τον άλλον για πολύ καιρό. Σε οποιαδήποτε άλλη αρχιτεκτονική (συγκεντρωτική ή ιεραρχική), ο κόμβος προορισμού θα έπρεπε να επεξεργαστεί εισερχόμενα μηνύματα προερχόμενα από άγνωστες πηγές που δεν θα ήταν πάντα εύκολο να επικυρωθούν. Ασφάλεια: Η αρχιτεκτονική DIMANDS δίνει την δυνατότητα στους γειτονικούς κόμβους να δημιουργούν ασφαλείς συνδέσεις μεταξύ τους με ιδιωτικά πιστοποιητικά που μόνο αυτοί ξέρουν, και να ανταλλάσσουν μέσω αυτών των συνδέσεων δεδομένα, παρέχοντας υψηλά επίπεδα της ασφάλειας στο σύστημα. Σε οποιαδήποτε άλλη αρχιτεκτονική είναι αδύνατο να δημιουργηθούν ή να αποθηκευτούν πιστοποιητικά για την εγκατάσταση ασφαλών συνδέσεων μεταξύ όλων των IdPs που συμμετέχουν στο σύστημα. Απόδοση Λειτουργικότητα: Η αρχιτεκτονική DHT προσφέρει χαμηλές απαιτήσεις διαχείρισης και ευρωστία στο σύστημα. Νέοι δακτύλιοι και κόμβοι μπορούν συνεχώς να ενσωματώνονται στο σύστημα χωρίς να επηρεάζουν την λειτουργία ή την αρχιτεκτονική του. Η αποτυχία ενός κόμβου έχει μόνο προσωρινές και τοπικές επιπτώσεις που δεν επηρεάζουν το γενικό σύστημα. Οι γείτονές του μπορούν προσωρινά να προωθήσουν μηνύματα από εναλλακτικές πορείες, και δεν υπάρχει καμία απώλεια στοιχείων δεδομένου ότι κάθε κόμβος είναι αρμόδιος για τη διατήρηση των στοιχείων των χρηστών του. Η αντιστοίχηση των δακτυλίων σε γεωγραφικές περιοχές, εξυπηρετεί την απόδοση του συστήματος. Οι ψηφιακές ταυτότητες των τελικών χρηστών θα είναι αποθηκευμένοι κυρίως σε προμηθευτές που βρίσκονται στη γεωγραφική περιοχή τους (e-κυβέρνηση, e-υγεία, τηλεπικοινωνιακές υπηρεσίες - Telco) και έτσι τα δεδομένα που θα χρειάζεται να προωθηθούν σε παρόχους που βρίσκονται σε μεγάλη απόσταση στο πραγματικό δίκτυο ελαχιστοποιούνται. Καλύτερη απόδοση μπορεί να επιτευχθεί στο σύστημα αν υιοθετηθούν αρχιτεκτονικές κατανεμημένων συστημάτων που

95 93 υποστηρίζουν την τοπικότητα (locality). Τέλος πρέπει να διευκρινιστεί ότι το σύστημα CHORD επιλέχτηκε μεταξύ άλλων κατανεμημένων συστημάτων λόγω της δυνατότητάς της να βελτιώνει την απόδοση του χωρίς να τροποποιεί την θέση των κόμβων σε κάθε δακτύλιο, ικανοποιώντας κατά συνέπεια την απαίτηση DIMANDS για τους στάσιμους κόμβους Λογαριασμός χρήστη στο σύστημα DIMANDS Στο DIMANDS, ένας χρήστης μπορεί να επιλέξει τον IdP που προτιμά και εμπιστεύεται περισσότερο, και να δημιουργήσει έναν λογαριασμό. Κάθε λογαριασμός DIMANDS καθορίζεται από ένα προσδιοριστικό αποκαλούμενο Ταυτότητα Χρήστη (UsID) και είναι μια αριθμητική τιμή που ορίζεται και είναι γνωστή μόνο από το IdP. Σε αυτό το UsID αντιστοιχεί μια μοναδική βάση δεδομένων όπου ο τελικός χρήστης μπορεί να αποθηκεύσει πληροφορίες που επιθυμεί σχετικά με τις ψηφιακές ταυτότητες του (εικόνα 23). Αυτή η βάση δεδομένων έχει τέσσερα πεδία. Τα πεδία «RID» και «TRID» που κρατούν αντιστοιχίες για όλες τις ταυτότητες του χρήστη, το πεδίο «domain» όπου αποθηκεύονται οι πάροχοι που διατηρούν τα αντίστοιχα προφίλ των αποθηκευμένων ταυτοτήτων του χρήστη και ένα μεταβλητό πεδίο που ονομάζεται «Attributes» (Ιδιότητες). UsID: TRID RID Domain Name Attributes umts.com Service: Tel, video Network Authorization: Yes telco.com Service: Tel, video, IM Network Authorization: Yes gov.uk User Validation: Yes Age Validation: Yes Location Validation: Yes Εικόνα 23: Η βάση δεδομένων ενός λογαριασμού στο DIMANDS Το σύστημα DIMANDS κρύβει τις πραγματικές ταυτότητες των χρηστών και τις αντικαθιστά με Τυχαίους Αριθμούς Ταυτότητας (Random Identity Numbers -RIDs). Ένα RID είναι μια μοναδική αντιπροσώπευση μιας μοναδικής ψηφιακής ταυτότητας και βρίσκεται αποθηκευμένο στον IdP που έχει επιλέξει ο χρήστης στο DIMANDS, και στην βάση δεδομένων του παρόχου που διατηρεί το αντίστοιχο προφίλ για την συγκεκριμένη ταυτότητα. Οποιαδήποτε επικοινωνία μεταξύ του παρόχου και του DIMANDS σχετικά με μια ταυτότητα πραγματοποιείται με τη χρησιμοποίηση του αντίστοιχου RID.

96 94 Μία τιμή RID σχηματίζεται από την ένωση δύο επιμέρους τιμών (εικόνα 24). Την τιμή IdPID του IdP (L bits) και το αποτέλεσμα ενός κρυπτογραφικού (συμμετρικού) αλγόριθμου ιδιωτικού κλειδιού (όπως π.χ. AES ή RC4) που έχει ως είσοδο το UsID του χρήστη στα πρώτα Ν bits και ένα τυχαίο αυξανόμενο αριθμό, επόμενα Μ bits (N+M bits). encryption N-bits UsID M-bits Consecutive number input IdP s Private key key Cryptographic Function (encode) output IdPID L bits RID (L+M+N) bits Encoded Value (M+N) bits decryption IdPID L bits RID (L+M+N) bits Encoded value (M+N)-bits IdP s Private key key The first N-bits of the output reveal the UsID of the user Used for routing over DIMANDS overlay input Cryptographic Function (decode) output N-bits UsID M-bits Εικόνα 24: Random Identity Number (RID) Η χρήση του τυχαίως αυξανόμενου αριθμού επιτρέπει στο σύστημα να παράγει 2 M τυχαία και ασύνδετα RID, κάνοντας αδύνατο σε κάποιον να συνδέσει τα RIDs μεταξύ τους ή με τους πραγματικούς τελικούς χρήστες. Χρησιμοποιώντας τα πρώτα L bits ενός RID που περιλαμβάνεται σε μία αίτηση προς το DIMANDS, το σύστημα μπορεί να εντοπίσει και να προωθήσει το μήνυμα στον κατάλληλο IdP. Δεδομένου ότι οι κόμβοι του DIMANDS είναι στάσιμοι, το αίτημα θα διαβιβαστεί πάντα στον σωστό IdP. Ο IdP με την σειρά του, αποκωδικοποιώντας τα υπόλοιπα (M+N) bits του RID (χρησιμοποιώντας το δικό του κρυπτογραφικό κλειδί), μπορεί να ανακτήσει την τιμή UsID, και να προσδιορίσει έτσι το χρήστη στον οποίο το συγκεκριμένο αίτημα αναφέρεται (σχήμα 3). Πρέπει να σημειωθεί ότι η αποκωδικοποίηση ενός RID αποκαλύπτει έναν τελικό χρήστη και όχι την ταυτότητα που αντιπροσωπεύει. Η τιμή TRID είναι ένα προσδιοριστικό που παράγεται από τον πάροχο που διατηρεί το προφίλ μιας ψηφιακής ταυτότητας και αντιστοιχεί σε ένα συγκεκριμένο RID. Χρησιμοποιείται για την επικοινωνία του με τις υπόλοιπες δικτυακές οντότητες

97 95 (οργανώσεις, προμηθευτές κ.λπ.) εκτός του DIMANDS. Οι τιμές RID και TIRD δεν προτείνονται ως νέες παγκόσμιες ψηφιακές ταυτότητες και παραμένουν άγνωστες σε εσωτερικές διαδικασίες δικτύων. Οι προμηθευτές και το DIMANDS ανταλλάσσουν τα RIDs και τα TRIDs μόνο μεταξύ τους ενώ οι σημερινές ταυτότητες μπορούν να συνεχίσουν να χρησιμοποιούνται στα επιμέρους διαφορετικά δίκτυα με την μορφή που ήδη έχουν. Το πεδίο «Attributes» είναι ένα δυναμικό σύνολο προαιρετικών πεδίων που περιέχει περιγραφές που αντιστοιχούν σε κάθε αποθηκευμένη ψηφιακή ταυτότητα. Αυτό το πεδίο δεν περιέχει κανένα ιδιωτικό η προσωπικό δεδομένο που μπορεί να εκθέσει τον χρήστη. Για παράδειγμα το πεδίο «Service» περιγράφει ποια υπηρεσία μπορεί να υποστηρίξει το αντίστοιχο RID και όχι πληροφορίες π.χ. για επικύρωση χρηστών σε αυτήν την υπηρεσία. Το πεδίο «Age Validation» δείχνει ότι ο αντίστοιχος προμηθευτής που αναφέρεται στο πεδίο «domain» μπορεί να επικυρώσει την ηλικία του χρήστη αλλά δεν περιέχει την πραγματική ηλικία του χρήστη. Κανένα πραγματικό στοιχείο ταυτότητας δεν είναι αποθηκευμένο σε αυτήν την βάση δεδομένων Η διεπαφή χρήστη DIMANDS-client Η διεπαφή χρήστη (DIMANDS-client) του DIMANDS είναι μια εφαρμογή με δυνατότητες πλοήγησης στο Διαδίκτυο, που έχει ως σκοπό να βοηθήσει τους τελικούς χρήστες για να διαχειριστούν τα ψηφιακά στοιχεία ταυτότητάς που βρίσκονται στον DIMANDS IdPs τους. Μπορεί να εγκατασταθεί σε πληθώρα τελικών συσκευών όπως π.χ. PC, netbooks ή κινητά τηλέφωνα κ.α. Για την πρόσβαση σε αυτήν την εφαρμογή απαιτείται μία smart card που λέγεται DIMANDS-card. Η DIMANDS-card μπορεί να είναι μια έξυπνη κάρτα που ενεργοποιείται με την εισαγωγή ενός PIN. Οι τελικοί χρήστες μπορούν να μεταφορτώσουν και να εγκαταστήσουν την εφαρμογή DIMANDS-client τοπικά σε μια ή περισσότερες τελικές συσκευές και να την χρησιμοποιήσουν, συνδέοντας την DIMANDS-card. Στη DIMANDS-card υπάρχει μια κρυπτογραφημένη βάση δεδομένων (εικόνα 25) που αποθηκεύει τα ίδια δεδομένα με τη βάση δεδομένων στο λογαριασμό του χρήστη στον DIMANDS IdP, αλλά αντί της τιμής TRID, περιέχει ένα πεδίο με τις πραγματικές ταυτότητες με των χρηστών. Μέσω αυτής της βάσης οι τελικοί χρήστες μπορούν να δουν τις πραγματικές ταυτότητές τους και να εκτελέσουν βασικές λειτουργίες και διαδικασίες όπως εγγραφή νέας ταυτότητας, διαγραφή ή τροποποίηση

98 96 υπαρχόντων στοιχείων, δημιουργία νέων κανόνων κ.λπ. Μετά από την ολοκλήρωση διαχείρισης των δεδομένων τους οι χρήστες μπορούν να ενημερώσουν την βάση που βρίσκεται αποθηκευμένη στον DIMANDS IdP καθώς και τους κανόνες και τις πολιτικές που τα συνοδεύουν. Αυτή η ενημέρωση γίνεται μέσω μιας ασφαλούς σύνδεσης μεταξύ του DIMANDS-client και του IdP. UsID: Name id RID Domain Name Attributes (imsi) umts.com Service: Tel, video Network Authorization: Yes telco.com Service: Tel, video, IM Network Authorization: Yes (tel) gov.uk User Validation: Yes Age Validation: Yes Location Validation: Yes Εικόνα 25: Η βάση δεδομένων στη DIMANDS-card. Την ευθύνη για την δημιουργία και διαχείριση των DIMANDS-client και DIMANDS-card την έχουν οι IdPs που συμμετέχουν στην υποδομή DIMANDS. Και τα δύο μέρη θα πρέπει να ικανοποιούν ένα προκαθορισμένο και πολύ συγκεκριμένο σύνολο υποχρεωτικών απαιτήσεων ασφάλειας και ιδιοαπορρήτου. Κάθε IdP μπορεί να τους τροποποιήσει μόνο με προσθήκη βελτιώσεων στην ασφάλεια Συνολική αρχιτεκτονική και λειτουργικότητα του DIMANDS Η εικόνα 26 απεικονίζει το πώς τα διάφορα υποσυστήματα του DIMANDS συνδέονται και αλληλεπιδρούν μεταξύ τους, καθώς επίσης και πως το συνολικό σύστημα επικοινωνεί με εξωτερικούς φορείς όπως π.χ. πάροχοι υπηρεσιών. Μόνο επικυρωμένοι εξωτερικοί φορείς μπορούν να επικοινωνήσουν με το DIMANDS ζητώντας πληροφορίες. Μια αίτηση μπορεί να σταλεί σε οποιοδήποτε κόμβο του DIMANDS, και στη συνέχεια να διαβιβαστεί εσωτερικά στον τελικό του προορισμό.. Κάθε πάροχος υπηρεσιών, οργάνωση ή οποιαδήποτε άλλη οντότητα που θέλει να υποβάλλει αιτήσεις στο DIMANDS πρέπει να αποκτήσει μια λίστα από διαθέσιμους DIMANDS κόμβους, να επιλέξει έναν από αυτούς και να δημιουργήσει μία μακράς διάρκειας ασφαλή σύνδεση με αυτόν. Αυτή τη λίστα μπορεί να την πάρει μόνο από το RA της γεωγραφικής περιοχής της. Η μακράς διάρκειας σύνδεση είναι απαραίτητη για δύο λόγους. Ο πρώτος είναι να ελαχιστοποιήσει τις αιτήσεις στα RAs για την

99 97 ανάκτηση διαθέσιμων DIMANDS κόμβων και ο δεύτερος είναι ότι η μακροχρόνιες συνδέσεις δημιουργούν σταδιακά σχέσεις εμπιστοσύνης μεταξύ των DIMANDS κόμβων και των εξωτερικών οντοτήτων που ζητούν πληροφορίες, ενισχύοντας έτσι την ασφάλεια του συστήματος. Πρέπει να σημειωθεί ότι η απάντηση ενός αιτήματος επιστρέφεται πίσω στην εξωτερική οντότητα από τον DIMANDS κόμβο που αυτή διατηρεί μακράς διάρκειας σύνδεση και όχι από τον κόμβο του συστήματος που επεξεργάστηκε πραγματικά το αίτημα. Αυτό απαιτείται για λόγους ασφαλείας και για να αποφευχθούν οι man-in-the-middle επιθέσεις. DIMANDS overlay DIMANDS IdP Database UsID: TRID RID Domain Name Attributes umts.com Service: Tel, video Network Authorization: Yes uop.gr Service: Providers request information using a valid RID Identity consumer (supplier.com) DIMANDS responds the location of the information, user TRID Through DIMANDS-client a user can manage the information stored in the IdP telco.com Service: Tel, video, IM Network Authorization: Yes gov.com User Validation: Yes Age Validation: Yes Location Validation: Yes DIMANDS-client DIMANDS-card Database UsID: Name id RID Domain Attributes Name (imsi) umts.com Service: Tel, video Network Authorization: Yes john@uop.gr uop.gr Service: (tel) telco.com Service: Tel, video, IM Network Authorization: Yes John Smith gov.com User Validation: Yes Age Validation: Yes Location Validation: Yes Providers exchange information for user TRID and complete the network operation Identity Producer (gov.com) TRID RID Username John Smith Εικόνα 26: Συνολική αρχιτεκτονική συστήματος DIMANDS και επικοινωνία με υποσυστήματα και εξωτερικούς προμηθευτές Εγγραφή νέας ταυτότητας στο σύστημα DIMANDS Κάθε φορά που ένας χρήστης δημιουργεί ένα νέο λογαριασμό σε κάποιο πάροχο υπηρεσιών ή οργανισμό, δημιουργείται και ένα προφίλ με την ψηφιακή ταυτότητα που επιλέγει, στη βάση δεδομένων του αντίστοιχου παρόχου η οργανισμού. Εάν ο χρήστης επιθυμεί να εγγράψει αυτή τη νέα ψηφιακή ταυτότητα στο σύστημα DIMANDS πρέπει να ολοκληρώσει την ακόλουθη διαδικασία (Ο πάροχος πρέπει να έχει μια ιστοσελίδα συμβατή με την DIMANDS αρχιτεκτονική). Ο χρήστης

100 98 συνδέεται στην εφαρμογή DIMANDS-Client και επιλέγει την «Εγγραφή νέας ταυτότητας» επιλογή (εικόνα 27). End User DIMANDS-card DIMANDS-Client Provider DIMANDS IdP Login Select Add New Identity option Enter provider s URL Login (credentials) Secure connection User validated OK Get New RID New RID Provider Validation Generate new RID Add new pair (Username, RID) Store (Username/Rid) pair Store (Username/Rid) pair Add new pair (Username, RID) Εικόνα 27: Εγγραφή νέας ψηφιακής ταυτότητας στο DIMANDS Στη συνέχεια του ζητείται να εισάγει το URL του παρόχου που κατέχει το προφίλ για την ψηφιακή ταυτότητα. Η εφαρμογή DIMANDS-Client δημιουργεί μια ασφαλή σύνδεση με την ιστοσελίδα του παρόχου και ο χρήστης καλείται να υποβληθεί σε μια δεύτερη διαδικασία πιστοποίησης στην ιστοσελίδα του παρόχου για να αποδείξει ότι είναι ο νόμιμος ιδιοκτήτης της ψηφιακής ταυτότητας που θέλει να εγγράψει. (Διαπιστευτήρια για την δεύτερη πιστοποίηση θα πρέπει να έχουν δοθεί στο χρήστη με τη δημιουργία του λογαριασμού του). Μόλις ο χρήστης επικυρωθεί, η εφαρμογή DIMANDS-Client επικοινωνεί με τον IdP και ζητά τη δημιουργία ενός νέου RID. Προτού το IdP παράγει το νέο RID είναι υποχρεωτικό να επικυρωθεί και ο πάροχος που κατέχει το προφίλ για την αντίστοιχη ψηφιακή ταυτότητα. Η επικύρωση αυτή είναι απαραίτητη για να διασφαλιστεί ότι κανένα κακόβουλο άτομο δεν θα έχει την δυνατότητα να εγγράψει ψευδή δεδομένα στο DIMANDS για να μπορέσει να εκτελέσει phishing επιθέσεις. Αφού επικυρωθεί και ο πάροχος, ένα νέο RID δημιουργείται και μεταδίδεται πίσω στην εφαρμογή DIMANDS-Client. Το νέο αυτό RID αντιστοιχίζεται με την ψηφιακή ταυτότητα του χρήστη και αποθηκεύεται στην τοπική κρυπτογραφημένη βάση δεδομένων. Τέλος, η εφαρμογή DIMANDS-Client

101 99 μεταδίδει το ζεύγος RID/ψηφιακή ταυτότητα, και στον πάροχο ώστε να το αποθηκεύσει και δική του βάση δεδομένων. Αυτή η διαδικασία πρέπει να πραγματοποιηθεί μόνο μία φορά. Ο πάροχος στη συνέχεια είναι υπεύθυνος στο να δημιουργεί και να ενημερώνει συχνά τις τιμές TRID για αυτήν την ταυτότητα. Στο τέλος αυτής της διαδικασίας, η βάση δεδομένων του προμηθευτή περιέχει τις τιμές RID/TRID/username, η βάση δεδομένων του DIMANDS IdP περιέχει τις τιμές RID/TRID, και η βάση δεδομένων της DIMANDScard περιέχει τις τιμές RID/username. 5.3 Σενάρια χρήσης Λειτουργικότητα συστήματος DIMANDS Όντας μια ανεξάρτητη και αυτόνομη οντότητα, το DIMANDS έχει την ικανότητα να παρέχει διαχείριση ταυτοτήτων μεταξύ οντοτήτων (π.χ. παρόχων) διαφορετικών διοικητικών περιοχών. Το εικόνα 28 παρουσιάζει ένα σενάριο παράδοσης μιας υπηρεσίας που απαιτεί τη συνεργασία παρόχων που συμμετέχουν σε πολλαπλές διοικητικές περιοχές που κάποιες από αυτές δεν συνεργάζονται μεταξύ τους. Ένας χρήστης με την ψηφιακή ταυτότητα συνδέεται στο λογαριασμό του, στον πάροχο υπηρεσιών «webstore.com» και ζητά μια συγκεκριμένη υπηρεσία (π.χ. μια διαδικτυακή αγορά). Προκειμένου να ολοκληρωθεί η συναλλαγή, ο πάροχος "webstore.com" πρέπει να επικοινωνήσει και με άλλους φορείς (π.χ. paypal.com, supplier.com κλπ). Όλοι αυτοί οι φορείς έχουν δημιουργήσει και συμμετέχουν σε μία ομοσπονδία (Α) στην οποία έχουν προσυμφωνήσει τόσο τις πολιτικές συνεργασίας τους όσο και τα τεχνικά θέματα για την ανταλλαγή δεδομένων μεταξύ τους. Όμως ο «supplier.com» για να καλύψει το δικό του μέρος στην παροχή της υπηρεσίας, χρειάζεται να επικυρώσει την ηλικία του χρήστη. Αυτή η πληροφορία όμως δεν υπάρχει σε κανένα από τους συμμετέχοντες μέσα στην ομοσπονδία F1, αλλά σε μια οργάνωση («gov.com») που ο πάροχος «supplier.com» γνωρίζει και συνεργάζεται σε διαφορετική ομοσπονδία (Β). Η υπάρχουσες τεχνολογίες και λύσεις αδυνατούν να στηρίξουν την ανωτέρω διαδικασία, διότι ο πάροχος «supplier.com» δεν μπορεί αυτόνομα να ανακαλύψει που βρίσκεται η επιθυμητή πληροφορία (περιορίζεται να χρησιμοποιήσει μόνο πληροφορίες που υπάρχουν στην ομοσπονδία Α), ενώ παράλληλα, ακόμη και αν με

102 100 κάποιο τρόπο γνώριζε ότι οι πληροφορίες που θέλει υπάρχουν στο «gov.com», η ψηφιακή ταυτότητα δεν σημαίνει τίποτα για το «gov.com». User Federation: A webstore.com supplier.com gov.com DIMANDS overlay Service Request: user@webstore.com Service Response: OK user@webstore.com Service Request: user@webstore.com DIMANDS Req: user@webstore.com Age validation DIMANDS Req: RID (user@webstore.com) Supplier.com wants: Age validation Service Response: OK user@webstore.com Age Validation user: TRID Federation: B DIMANDS Resp: List (domains/trids) Εικόνα 28: Λειτουργικότητα DIMANDS - Παροχή υπηρεσίας εκτός ορίων διοικητικής περιοχής παρόχου Χρησιμοποιώντας τη λειτουργικότητα του DIMANDS, ο πάροχος «supplier.com» στέλνει μια αίτηση ζητώντας επικύρωση ηλικίας. Δεδομένου ότι δεν γνωρίζει κάποιο έγκυρο RID (ο χρήστης δεν έχει ενεργό λογαριασμό στο supplier.com) για να επικοινωνήσει άμεσα με το DIMANDS, διαβιβάζει την αίτηση στον πάροχο «webstore.com», ο οποίος με τη σειρά του ανακτά από τη βάση δεδομένων του, το αντίστοιχο RID και προωθεί το αίτημα στο DIMANDS εξ ονόματος της «supplier.com». Το DIMANDS επικυρώνει ότι ο «supplier.com» είναι ένας νόμιμος φορέας και απαντάει ένα μήνυμα που περιέχει μια λίστα με domains, τα οποία μπορούν να επικυρώσουν την ηλικία του χρήστη καθώς και μια σειρά από TRIDs. Ο πάροχος «supplier.com» λαμβάνει τη λίστα και μεταξύ των παρόχων που περιέχει επιλέγει τον «gov.com» που εμπιστεύεται περισσότερο (συμμετέχει στην ομοσπονδία Β). Χρησιμοποιώντας το αντίστοιχο TRID, μπορεί τώρα να επικοινωνήσει απευθείας με τον φορέα και να αποκτήσει την επιθυμητή πληροφορία

103 Επικύρωση ενός άγνωστου χρήστη σε ένα ξένο δίκτυο χρησιμοποιώντας το DIMANDS Σε αυτό το παράδειγμα παρουσιάζουμε πως ένας άγνωστος χρήστης μπορεί συνδεθεί σε ένα ξένο δίκτυο με ασφάλεια, χρησιμοποιώντας την λειτουργικότητα του DIMANDS. Ο χρήστης ανάβει το laptop του και συνδέεται με ένα δημόσιο WiFi HotSpot. Ανοίγει τη ένα πρόγραμμα περιήγησης Ιστού του και συνδέεται αυτόματα σε μία προκαθορισμένη ιστοσελίδα (την ιστοσελίδα του προμηθευτή που παρέχει δίκτυο μέσω του δημόσιου HotSpot). Εάν δεν έχει έναν λογαριασμό στον συγκεκριμένο προμηθευτή, οι υπάρχουσες πρακτικές δίνουν την δυνατότητα να επικυρωθεί μέσω ενός συμβαλλόμενου εξωτερικού μέρους (π.χ. Ένας πάροχος που συνεργάζεται με τον προμηθευτή και στον οποίον ο χρήστης έχει λογαριασμό). Εντούτοις, σήμερα η επιλογή αυτού του συνεργάσιμου συμβαλλόμενου μέρους γίνεται μέσω μιας στατικής διαδικασίας, κυρίως με το να ζητηθεί από τον χρήστη να επιλέξει μεταξύ μιας προκαθορισμένης λίστας προκαθορισμένων προμηθευτών. Κάθε υπηρεσία όμως προϋποθέτει διαφορετικές απαιτήσεις ασφάλειας, πολιτικές συμφωνίες, επίπεδα εμπιστοσύνης κ.λπ. όπου οι χρήστες δεν είναι πάντα σε θέση να κρίνουν σωστά κατά τη διάρκεια της επιλογής τους. Επιπλέον η λίστα συνεργάσιμων συμβαλλόμενων μερών μπορεί να μην περιλαμβάνει πάντα τον πιο αρμόδιο προμηθευτή για μια συγκεκριμένη δεδομένη περίπτωση - ο προμηθευτής που καλύπτει όλες απαιτήσεις ασφάλειας κλπ-. Επιπλέον, χρησιμοποιώντας αυτές τις πρακτικές, οι μη εξοικειωμένοι με την τεχνολογία χρήστες είναι διαρκώς εκτεθειμένοι σε μία σειρά από κινδύνους (phishing attacks) ενώ μπορούν εύκολα να εξαπατηθούν για να παρέχουν προσωπικά στοιχεία και δεδομένα σε κακόβουλα μέρη. Χρησιμοποιώντας το DIMANDS, είναι σίγουρο ότι ο προμηθευτής της υπηρεσίας θα είναι σε θέση πάντα να εντοπίσει αυτόνομα το καλύτερο διαθέσιμο συμβαλλόμενο μέρος (προϋποθέτοντας ότι αυτό το συμβαλλόμενο μέρος υπάρχει και ο προμηθευτής της υπηρεσίας έχει την άδεια για να έχει πρόσβαση στις πληροφορίες του) για κάθε περίπτωση. Το μόνο πράγμα ο χρήστης πρέπει να κάνει είναι απλά υποβάλλει στην σελίδα του προμηθευτή της υπηρεσίας ΟΠΟΙΟΔΗΠΟΤΕ είδος ψηφιακής ταυτότητας θέλει. (π.χ. user@home_pr.com). Από εκεί και πέρα είναι απολύτως βέβαιος ότι φορείς (προμηθευτές που διαχειρίζονται τα προφίλ του στο ίντερνετ) με αρκετά μεγάλη εμπειρία σε θέματα δικτύωσης θα αναλάβουν αυτόνομα όλες τις διαδικασίες και θα παράσχουν σωστά το απαραίτητο ποσό πληροφοριών στον ξένο προμηθευτή.

104 102 Όταν ο προμηθευτής υπηρεσίας (foreign_pr.com) διαπιστώσει πως δεν είναι σε θέση να αναγνωρίσει τον χρήστη βάση της ψηφιακής ταυτότητας που υπέβαλλε ο τελευταίος αποστέλλει ένα αίτημα στο σύστημα DIMANDS ζητώντας πληροφορίες για να επικυρώσει τον άγνωστο χρήστη. Αυτό το αίτημα διαβιβάζεται στο DIMANDS μέσω του προμηθευτή home_pr.com που κατέχει ένα έγκυρο RID. Το DIMANDS επεξεργάζεται το αίτημα και απαντά στον foreign_pr.com μία λίστα με παρόχους (domains) που μπορούν να επικυρώσουν το χρήστη και τα αντίστοιχα TRIDs. Μεταξύ των παρόχων αυτών, ο foreing_pr.com επιλέγει τον πιο κατάλληλο (καλύπτει όλες τις απαιτήσεις ασφαλείας, πολιτικές, επίπεδο εμπιστοσύνης κ.λπ.) και επικοινωνεί μαζί του. Ο χρήστης μεταφέρεται στην ιστοσελίδα του trusted_pr.com για να ολοκληρώσει μια διαδικασία επικύρωσης, προκειμένου να αποδείξει ότι είναι ο νόμιμος ιδιοκτήτης της υποβληθείσας ψηφιακής ταυτότητας. (εικόνα 29). User foreign_pr.com (HotSpot Provider) Federation: A trusted_pr.com* home_pr.com* DIMANDS overlay Service Request: connect (user@home_pr.com) DIMANDS Req: user@home_pr.com foreign_pr.com wants: Authentication DIMANDS Req: RID (user@home_pr.com) foreign_pr.com wants: Authentication Authenticate user: TRID Authentication Challenge process (e.g. OpenID authentication) Authentication Success DIMANDS Resp: List (domains/trids) Service Response: Connected * the end user has a registered account with this provider and his username is already registered to DIMANDS (the provider possesses a valid RID and TRID) Εικόνα 29 Πιστοποίηση άγνωστου χρήστη στο σύστημα DIMANDS Θα πρέπει εδώ να διευκρινίσουμε ότι οι λεπτομέρειες της διαδικασίας επικύρωσης δεν είναι μέρος του συστήματος DIMANDS. Ο τρόπος με τον οποίο οι δύο προμηθευτές θα επικυρώσουν τελικά τον τελικό χρήστη μπορεί να είναι διαφορετικός σε κάθε περίπτωση. Για παράδειγμα η διαδικασία επικύρωσης μπορεί να βασιστεί στο πλαίσιο OpenID. Μια εναλλακτική μέθοδος που θεωρούμε ασφαλέστερη είναι να

105 103 ζητηθεί από τον τελικό χρήστη να απαντήσει σωστά σε μια προκαθορισμένη ερώτηση. Με αυτόν τον τρόπο ο χρήστης μπορεί επίσης να σιγουρευτεί ότι ο trusted_pr.com είναι ο νόμιμος φορέας και όχι κάποιος κακόβουλος φορέας που προσπαθεί να τον αντιποιηθεί (Μόνο ο νόμιμος φορέας θα γνωρίζει ποια είναι η σωστή ερώτηση που πρέπει να υποβάλλει στον τελικό χρήστη). Αναλόγως η λειτουργικότητα του DIMANDS μπορεί να «οχυρώσει» την διαδικασία πιστοποίησης Open-ID από επιθέσεις phishing. Πιο συγκεκριμένα, στο παραπάνω παράδειγμα, όταν ο foreign_pr.com επικοινωνεί μέσω του DIMANDS με τον trusted.com, και οι δύο πάροχοι ήδη γνωρίζουν ποιος είναι ο χρήστης που πρέπει να πιστοποιηθεί (μέσω της τιμής TRID). Ο χρήστης δεν χρειάζεται να καταχωρήσει και το username και το password παρά μόνο το password. Έτσι κάποιος κακόβουλος ενδιάμεσος παρατηρητής δεν αποκτά όλες τις πληροφορίες που είναι απαραίτητες για να συνδεθεί σε μια υπηρεσία προσποιούμενος τον χρήστη. Ο χρήστης μπορεί άμεσα να αναγνωριστεί μέσω του πρωτοκόλλου WiFi. Αν υποθέσουμε ότι το δίκτυο WiFi έχει επιτρέψει μια διαδικασία επικύρωσης 802.1X, η συσκευή του χρήστη θα υποβάλει ένα αίτημα επικύρωσης WiFi που περιέχει μια ψηφιακή ταυτότητα (π.χ. Eap-TLS), ή ένα IMSI (eap-sim). Κατά συνέπεια όταν ο χρήστης ανοίγει τη μηχανή αναζήτησης Ιστού θα μεταφέρεται αυτόματα στην σελίδα του trusted_pr.com για να ολοκληρώσει τη διαδικασία επικύρωσης. Επιπλέον, ο χρήστης μπορεί επίσης να αναγνωριστεί άμεσα και από τη MAC διεύθυνση της συσκευής του. Εντούτοις για να είναι σε θέση να εκμεταλλευτούμε αυτήν την περίπτωση, οι κατασκευαστές υλικού πρέπει να δώσουν τη δυνατότητα στους τελικούς χρήστες να δημιουργήσουν έναν λογαριασμό με τη MAC διεύθυνση τους και να την καταχωρήσουν στο DIMANDS. Κατά συνέπεια όταν ένας ξένος πάροχος υπηρεσίας λαμβάνει τη διεύθυνση MAC ενός εισερχόμενου αιτήματος σύνδεσης, μπορεί να στείλει το αίτημα DIMANDS μέσω του αντίστοιχου κατασκευαστή (μια διεύθυνση της MAC είναι ήδη μοναδική διεύθυνση και περιέχει πληροφορίες για τον κατασκευαστή που το δημιούργησε). Τέλος πρέπει να διευκρινίσουμε ότι στο παραπάνω παράδειγμα το foreign_pr.com και ο προμηθευτής home_pr.com δεν έχουν οποιαδήποτε προγενέστερη γνώση ή εμπιστοσύνη μεταξύ τους. Αυτή η κατάσταση εγείρει το ζήτημα του γιατί το home_pr.com να προωθήσει ένα μήνυμα που προέρχεται από ένα άγνωστο πάροχο στο DIMANDS και πόσο ασφαλής είναι η συμμετοχή του. Το μήνυμα αιτήματος δεν

106 104 περιέχει οποιαδήποτε ευαίσθητα στοιχεία που μπορούν να κλαπούν από το home_pr.com. Επίσης, η απάντηση από το DIMANDS διαβιβάζεται κατευθείαν στον πάροχο foreign_pr.com, κατά συνέπεια ένας κακόβουλος προμηθευτής home_pr.com μπορεί μόνο να τροποποιήσει το αρχικό αίτημα. Αυτό θα οδηγούσε μόνο στη μετάδοση μιας άκυρης λίστας στην απάντηση του DIMANDS και αποτυχία της παροχής υπηρεσιών από το foreign_pr.com. O foreign_pr.com δεν κινδυνεύει σε καμία περίπτωση. Φυσικά, εάν ένας κακόβουλος προμηθευτής κατηγορηθεί για οποιοδήποτε είδος κακής συμπεριφοράς, μπορεί ακόμα και να του επιβληθεί άρνηση συνεργασίας με τις υπηρεσίες DIMANDS Υπηρεσίες οικονομικών συναλλαγών στο Διαδίκτυο Χρησιμοποιώντας το DIMANDS οι οικονομικές συναλλαγές των χρηστών στο Διαδίκτυο μπορούν να ολοκληρωθούν αυτόματα και με ασφάλεια. Στο παράδειγμα της προηγούμενης ενότητας ο foreign_pr.com μπορεί αυτόνομα να εντοπίσει μια υπηρεσία πληρωμής για την υπηρεσία που θα διαθέσει στον άγνωστο χρήστη. Αφού ολοκληρώσει την πιστοποίησή του, μπορεί να ξανά υποβάλλει στο σύστημα μία αίτηση ζητώντας από το DIMANDS πληροφορίες για οντότητες που συνεργάζονται με τον χρήστη και είναι σε θέση να κάνουν οικονομικές συναλλαγές εκ μέρους του. Η ίδια διαδικασία επαναλαμβάνεται και από την λίστα που παραλαμβάνει ο foreign_pr.com διαλέγει ένα έμπιστο οργανισμό π.χ. μία τράπεζα ή έναν τηλεπικοινωνιακό οργανισμό (ο οποίος μπορεί να χρεώσει απευθείας τον λογαριασμό του χρήστη) και ανακατευθύνει τον χρήστη ώστε να περάσει μια δεύτερη διαδικασία πρόκλησης που αυτήν την φορά αποδεικνύει την συγκατάθεσή του για την πληρωμή. Θα πρέπει να σημειώσουμε στην συγκεκριμένη περίπτωση πως είναι δυνατόν ο foreign_pr.com με μία διαδικασία πρόκλησης και να πιστοποιήσει τον χρήστη αλλά και να ολοκληρώσει την πληρωμή της υπηρεσίας. Το μόνο απαιτούμενο σε αυτήν την περίπτωση είναι η εύρεση ενός έμπιστου μέρους που να μπορεί να ικανοποιήσει και τις δύο διαδικασίες Εξυπηρετώντας τις ανάγκες εξειδικευμένων πλαισίων Η ανοικτή αρχιτεκτονική του DIMANDS δίνει την δυνατότητα σε προμηθευτές να σχεδιάσουν εξειδικευμένες υπηρεσίες που είναι ανεξάρτητες διοικητικών περιοχών χωρίς να υπάρχει ανάγκη να σχεδιαστούν και τα αντίστοιχα συστήματα IdM για κάθε περίπτωση. Για παράδειγμα, στο άρθρο [49] οι συντάκτες παρουσιάζουν πώς τα

107 105 υπάρχοντα κοινωνικά δίκτυα σχεδιάζουν τις Social Networks Connect Services (SNCSs) για να επιτρέψουν σε εξωτερικά μέρη να αναπτύσσουν κοινωνικές εφαρμογές χωρίς να χρειάζονται ο καθένας να χρειάζεται να χτίσει το δικό του κοινωνικό δίκτυο. Μεταξύ των αναφερομένων προκλήσεων στα SNCSs είναι η διαχείριση ταυτοτήτων των χρηστών. Εάν για παράδειγμα, η διεύθυνση ηλεκτρονικού ταχυδρομείου ενός χρήστη στο Facebook διαφέρει από αυτή στην διοικητική περιοχή του εξωτερικού μέρους οι δύο λογαριασμοί δεν μπορούν να συνδεθούν και το SNCS δεν μπορεί να ολοκληρωθεί. Σε αυτή την περίπτωση, τα κοινωνικά δίκτυα και τα εξωτερικά μέρη μπορούν να ορίσουν δυναμικά «DIMANDS Attributes» και να χρησιμοποιήσουν άμεσα το σύστημα DIMANDS. Τέτοιες ιδιότητες θα μπορούσαν να είναι σε σχέση με τις υπηρεσίες που περιγράφονται στο [49] - «εύρεση φίλων του χρήστη < >», «πιστοποίηση χρήστη < >», «εύρεση εικόνων χρήστη < > στα κοινωνικά δίκτυα < >», κ.λπ. Επιπλέον, υπηρεσίες όπως ο εντοπισμός εικόνων του χρήστη σε διαφορετικά κοινωνικά δίκτυα, πρόσκληση φίλων από άλλα κοινωνικά δίκτυα, και άλλες διαδικασίες που μέχρι τώρα δεν είναι δυνατόν να ολοκληρωθούν χωρίς να ζητηθεί από τον χρήστη να δώσει τα πραγματικά πιστοποιητικά σύνδεσής του, μπορούν εύκολα να υποστηριχθούν με το DIMANDS. Για παράδειγμα, εάν μία εξωτερική εφαρμογή θέλει να εντοπίσει έναν χρήστη σε ένα συγκεκριμένο κοινωνικό δίκτυο το μόνο που χρειάζεται να κάνει είναι να υποβάλλει ένα αίτημα στο DIMANDS και να ανακτήσει το αντίστοιχο TRID που αντιπροσωπεύει τον λογαριασμό του σε αυτό το δίκτυο Επικοινωνία με ένα μη συνδεδεμένο χρήστη Ο χρήστης John διατηρεί ένα λογαριασμό σε μία υπηρεσία άμεσων μηνυμάτων Instant Messaging (IM) που την διαχειρίζεται ο πάροχος «im.com». Η σύνδεση στην υπηρεσία γίνεται με τη χρήση μιας εφαρμογής μέσω της οποίας ο χρήστης μπορεί να ανταλλάσει μηνύματα με τους φίλους του. Κάποια στιγμή ο χρήστης αποφασίζει να στείλει ένα επείγον μήνυμα στον φίλο του Nick (Nick@im.com), ο οποίος επίσης διατηρεί λογαριασμό στην ίδια υπηρεσία αλλά την συγκεκριμένη στιγμή δεν είναι συνδεδεμένος. Ο χρήστης John δεν γνωρίζει άλλο τρόπο για να επικοινωνήσει με τον Nick. Από την άλλη μεριά όμως, ο Nick, έχει πάντα μαζί του το κινητό του και μπορεί συνεχώς να λαμβάνει μηνύματα IM με την μορφή SMS. Παρότι επιτρέπει την λήψη

108 106 μηνυμάτων που επείγουν, δεν είναι σε θέση να γνωρίζει πως κάποιος θέλει να του στείλει ένα τέτοιο μήνυμα. Και σε αυτήν την περίπτωση το σύστημα DIMANDS είναι σε θέση να δώσει λύση για την ολοκλήρωση της παραπάνω επικοινωνίας. Όταν ο χρήστης John στείλει το επείγον μήνυμα στον πάροχο «im.com», και ο τελευταίος αναγνωρίσει πως ο παραλήπτης δεν είναι συνδεδεμένος, θα υποβάλλει μια αίτηση στο DIMANDS αναζητώντας εναλλακτικούς τρόπους να στείλει το άμεσο μήνυμα. Στην λίστα που θα παραλάβει, θα αναγνωρίσει πως ο χρήστης Nick διατηρεί ένα λογαριασμό στον πάροχο κινητής τηλεφωνίας telco.com. Έτσι ο «im.com» θα μετασχηματίσει το μήνυμα σε SMS και θα το αποστείλει στον «telco.com» ώστε ο τελευταίος να το προωθήσει στην κινητή συσκευή του χρήστη (εικόνα 30). Requester im.com telco.com DIMANDS Instant Message for Session ID User is offline Request: From: Session ID DIMANDS validates domain im.com Translation IM->SMS SMS for user: TRID DIMANDS Resp: List (domains/trids) SMS delivery Instant Message for delivered as SMS SMS for user: TRID Status: delivered Εικόνα 30: Αποστολή μηνύματος σε εναλλακτική ταυτότητα μη συνδεδεμένου χρήστη με την βοήθεια του DIMANDS 5.4 Ορισμός Πρωτοκόλλου του συστήματος DIMANDS Η επικοινωνία μεταξύ των διάφορων στοιχείων του DIMANDS απαιτεί ένα ισχυρό και δυναμικό πρωτόκολλο ικανό να ικανοποιήσει τα διαφορετικά και πολυάριθμα σενάρια χρήσης και εμπλεκόμενα μέρη. Δεδομένου ότι ένας από τους κύριους στόχους κατά τον σχεδιασμό του συστήματος, ήταν η αποφυγή της εισαγωγής νέων διαδικασιών και πρωτόκολλων, αντί του σχεδιασμού ενός νέου πρωτοκόλλου από την

109 107 αρχή, εξετάστηκε εάν τα υπάρχοντα πρωτόκολλα μπορούν να χρησιμοποιηθούν για να υποστηρίξουν την επικοινωνία του συστήματος. Μεταξύ των υπαρχόντων πρωτοκόλλων επιλέξαμε το Security Assertion Markup Language (SAML) για την μεταφορά πληροφοριών που σχετίζονται με ψηφιακές ταυτότητες και το Session Initiation Protocol (SIP) ως το υφιστάμενο πρωτόκολλο μεταφοράς πακέτων. Παρότι το πρωτόκολλο SAML έχει ως βασικό σκοπό τον χειρισμό ισχυρισμών που σχετίζονται με την ασφάλεια, επιλέχτηκε για τη δυναμική φύση του, και τη δυνατότητά του να περιγραφεί μέσω του XML σχήματος οποιοδήποτε είδος πληροφοριών ταυτότητας. Το πρωτόκολλο SIP, επιλέχτηκε επειδή το format πακέτων του μπορεί εντελώς να υποστηρίξει την μεταφορά δεδομένων στο DIMANDS. Οι ικανότητά του να παρέχει ασφάλεια, συμπίεση στοιχείων καθώς και η δυνατότητά του να υιοθετεί συνεχώς νέα χαρακτηριστικά με τις επεκτάσεις του, είναι μερικά από τα χαρακτηριστικά γνωρίσματα του SIP που το DIMANDS επιδιώκει να εκμεταλλευτεί. Για να αποφύγουμε παρερμηνείες μεταξύ ίδιων μηνυμάτων ή διαδικασιών μεταξύ του συστήματός μας και των δύο επιλεγμένων πρωτοκόλλων, καθορίσαμε νέα είδη SIP και SAML πακέτων. Ο σκοπός μας στην τρέχουσα φάση εργασίας μας δεν είναι να προτείνουμε νέες επεκτάσεις ή προσαρμογές στα παραπάνω πρωτόκολλα ώστε να συμπεριληφθεί το DIMANDS, αλλά να εκμεταλλευτούμε ευρέως αποδεκτά και λειτουργικά σχήματα και τις διαδικασίες. Παρακάτω παρουσιάζονται όλα τα μηνύματα που αναλύουν λεπτομερώς τα πιο σημαντικά πεδία του πρωτοκόλλου. Τα τετριμμένα μηνύματα π.χ. όπως το ack ή μηνύματα που δεν φέρουν οποιεσδήποτε πληροφορίες που περιλαμβάνουν τη λειτουργία DIMANDS δεν παρουσιάζονται εκτενώς. Ακόμα πρέπει να αναφέρουμε πως σε όλα τα προηγούμενοι σχήματα η επικοινωνία μεταξύ DIMANDS και άλλων οργανισμών ή παρόχων ακολουθεί το συγκεκριμένο πρωτόκολλο. Για λόγους αναγνωσιμότητας δεν παρουσιάστηκαν εκεί όμως οι λεπτομέρειες του πρωτοκόλλου Μηνύματα μεταξύ του DIMANDS-client και των εξωτερικών παρόχων υπηρεσιών Όπως προαναφέρθηκε η εφαρμογή DIMANDS-client υποστηρίζει περιορισμένες λειτουργίες πλοήγησης στο Διαδίκτυο. Για την υλοποίηση αυτής της επικοινωνίας μπορούν να χρησιμοποιηθούν ευρέως διαδεδομένα πρωτόκολλα και διαδικασίες π.χ. http, GET/POST κ.τ.λ..

110 Μηνύματα μεταξύ πιστοποιημένων παρόχων υπηρεσιών και του DIMANDS D-REQUEST Το D-REQUEST πακέτο αποστέλλεται από έναν πάροχο υπηρεσιών που θέλει να υποβάλλει μία αίτηση ανακάλυψης πληροφοριών προς το DIMANDS και φαίνεται στην εικόνα 31. Στην πρώτη γραμμή του πακέτου βρίσκεται η τιμή RID που καταδεικνύει τον χρήστη και το IdP που αφορούν την αίτηση. Το πεδίο Via αποθηκεύει πληροφορίες για την διαδρομή του πακέτου εσωτερικά προς τον τελικό προορισμό του ώστε η απάντηση του συστήματος να προωθηθεί προς τον αρχικό IdP που έκανε την αρχική αίτηση. Τέλος το πεδίο From περιέχει πληροφορίες για την οντότητα που θέλει να αποκτήσει πρόσβαση στις ζητούμενες πληροφορίες. Εικόνα 31: D-REQUEST μήνυμα

111 109 Το σώμα του πακέτου είναι μια αίτηση για κάποιο ή κάποια στοιχεία. Το πρωτόκολλο που χρησιμοποιείται είναι το SAML (SAML attribute query). Όπως φαίνεται στην εικόνα, το πεδίο <saml:nameid δείχνει το (RID) για το οποίο προορίζεται αυτή η αίτηση Το <saml:attribute πεδίο καθορίζει ποιες είναι οι ζητούμενες πληροφορίες. Στην συγκεκριμένη περίπτωση βλέπουμε πως ο πάροχος που κάνει την αίτηση προς το σύστημα αναζητά κάποιο τελικό σημείο στο οποίο ο χρήστης RID έχει την δυνατότητα να συνδεθεί σε VoIP. Πρέπει να σημειωθεί πως τα formats των ονομάτων και των χαρακτηριστικών (attributes) στο παράδειγμα είναι καθορισμένα από εμάς και όχι κάποιες τιμές που ακολουθούν κάποιο στάνταρντ ( ) Ένα D-REQUEST πακέτο λαμβάνει σαν απάντηση ένα OK ή ένα ERROR μήνυμα. Το OK πακέτο φαίνεται στην εικόνα 32. Το σώμα του πακέτου αυτού είναι μία απάντηση σε SAML που περιέχει το πεδίο AttributeValue με τις πληροφορίες που ζήτησε ο αιτών. Στην συγκεκριμένη περίπτωση, ο αιτών ενημερώνεται πως η πληροφορία που χρειάζεται μπορεί να αποκτηθεί από τον prov_alt.com χρησιμοποιώντας το TRID: @prov_alt.com. Εικόνα 32: Απάντηση OK σε ένα D-REQUEST μήνυμα D-CREATE-TRID Το πακέτο D-CREATE-TRID (εικόνα 33) αποστέλλεται από κάποιον εξωτερικό πάροχο προς το DIMANDS όποτε αυτός κρίνει ότι είναι σκόπιμη η ανανέωση της τιμής TRID. Το πακέτο απαντάται με ένα OK μήνυμα ή ένα ERROR πακέτο.

112 110 Εικόνα 33:D-CREATE-ΤRID μήνυμα Μηνύματα μεταξύ του DIMANDS-client και του DIMANDS D-REGISTER Το πακέτο D-REGISTER αποστέλλεται από το DIMANDS-client προς το DIMANDS για να ενεργοποιηθεί η διαδικασία εγγραφής μιας νέας ταυτότητας στο σύστημα. Το πακέτο φαίνεται στην εικόνα 34. Η πρώτη γραμμή του πακέτου δείχνει πλέον τον λογαριασμό του χρήστη (UsID) που θέλει να εγγράψει την νέα ταυτότητα Το πεδίο Authorization σε αυτό το πακέτο εξυπηρετεί διαδικασίες ασφάλειας κατά την πιστοποίηση. Εικόνα 34: D-REGISTER μήνυμα

113 111 Η διαδικασία εγγραφής είναι η ίδια με την εγγραφή στο IMS σύστημα. Το πρώτο πακέτο που αποστέλλεται λαμβάνει από το σύστημα την απάντηση Unauthorized που περιέχει ένα πεδίο challenge data. Βάση αυτού του πεδίου το πακέτο εγγραφής αποστέλλεται πάλι με νέα στοιχεία και η διαδικασία ολοκληρώνεται με την ανταλλαγή μιας σειράς πακέτων που πιστοποιούν την ασφάλεια της. D-CREATE-RID Το πακέτο D-CREATE-RID χρησιμοποιείται από την εφαρμογή DIMANDS-client για να αιτηθεί από το σύστημα την δημιουργία ενός νέου RID κατά την διάρκεια της διαδικασίας εγγραφής μιας νέας ταυτότητας. Το πακέτο απαντάται με ένα OK μήνυμα που περιέχει ένα SAML σώμα με το νέο RID ή ένα ERROR πακέτο (εικόνα 35). D-UPDATE, D-SYNC Εικόνα 35: D-CREATE-RID μήνυμα Το πακέτο D-UPDATE χρησιμοποιείται για να ενημερώνει την βάση δεδομένων που διατηρεί ο χρήστης στον IdP του DIMANDS. Στην εικόνα 36 φαίνεται ένα D- UPDATE πακέτο. Η πρώτη γραμμή του περιέχει την πληροφορία UsID Το σώμα του πακέτου είναι ένα SAML Update πακέτο. Το SAML update πακέτο είναι ένα νέο πακέτο που ορίστηκε για να εξυπηρετήσει την λειτουργία του

114 112 DIMANDS. Σε αυτό υπάρχουν τα πεδία Database και Rules που περιέχουν τις ενημερωμένες πληροφορίες που θέλει να εγγράψει ο χρήστης στο σύστημα Εικόνα 36: D-UPDATE μήνυμα Αναλόγως το D-SYNC πακέτο χρησιμοποιείται ώστε η DIMANDS-client εφαρμογή να μπορεί να κατεβάσει τα δεδομένα που ήδη βρίσκονται στον IdP. Εικόνα 37: D-SYNC μήνυμα Τα D-UPDATE και D-SYNC πακέτα απαντώνται με ένα OK ή ένα ERROR πακέτο.

115 Μηνύματα μεταξύ παρόχων. D-REQUEST Το μόνο πακέτο που μπορεί να αποσταλεί μεταξύ δύο παρόχων και αφορά το DIMANDS είναι το D-REQUEST σε περίπτωση που ο αιτών πάροχος δεν γνωρίζει κάποιο RID του χρήστη για τον οποίο ψάχνει πληροφορίες. Όπως περιγράφηκε παραπάνω, αυτός ο πάροχος δημιουργεί κανονικά την αίτηση και στο πεδίο <saml:nameid συμπληρώνει το username του χρήστη που έχει διαθέσιμο. Στην συνέχεια το πακέτο αυτό αποστέλλεται στον πάροχο που έχει εκδώσει το αντίστοιχο username, ο οποίος με την σειρά του το αντικαθιστά με το σωστό RID. Τα υπόλοιπα πεδία του πακέτου αυτά παραμένουν όπως περιγράφηκαν παραπάνω. 5.5 Το DIMANDS και βασικές απαιτήσεις ενός παγκόσμιου συστήματος διαχείρισης ταυτοτήτων Ασφάλεια Παρότι το σύστημα DIMANDS διαμορφώνεται από ένα μεγάλο αριθμό μεμονωμένων IdPs, η αρχιτεκτονική του παρέχει μέγιστη ασφάλεια. Όλου του είδους οι ανταλλαγές δεδομένων και γενικότερα επικοινωνίας μεταξύ δύο μερών, εξυπηρετούνται πάνω από ασφαλείς συνδέσεις. Η κρυπτογράφηση όλων των μηνυμάτων παρέχει ακεραιότητα στην επικοινωνία ενώ παράλληλα, ο έλεγχος της συμπεριφοράς όλων των συμμετεχόντων από τα RAs προστατεύει το σύστημα από εσωτερικά κακόβουλα συμβαλλόμενα μέρη. Ο έλεγχος κάθε IdP γίνεται από τους γείτονές του οι οποίοι αξιολογούν την συμπεριφορά του και αναφέρουν στο αντίστοιχο RA της περιοχής τους τυχόν ακατάλληλες ενέργειες. Οποιοδήποτε είδος μη αποδεκτής συμπεριφοράς ενός IdP μπορεί να οδηγήσει στη μόνιμη αφαίρεσή του από το σύστημα. Μόνο επικυρωμένοι προμηθευτές και οργανισμοί μπορούν να καταχωρήσουν ή να ανακτήσουν πληροφορίες από το σύστημα DIMANDS. Αυτή η επικύρωση μπορεί να επιτευχθεί μέσω πιστοποιητικών και εξασφαλίζει ότι καμία κακόβουλη οντότητα δεν θα έχει τη δυνατότητα να εγγράψει ψεύτικες συνδέσεις ή στοιχεία που μπορούν να βοηθήσουν σε επιθέσεις όπως π.χ. οι phishing επιθέσεις, ή στην παράνομη συλλογή πληροφοριών ταυτότητας. Εξωτερικές οντότητες με ύποπτη ή ανάρμοστη συμπεριφορά δεν θα λαμβάνουν τις υπηρεσίες του DIMANDS.

116 114 Η DIMANDS-client εφαρμογή αποτελεί ένα από τα πιο βασικά μέρη στην αρχιτεκτονική DIMANDS και έτσι οποιοδήποτε κενό ασφάλειας σε αυτή μπορεί να προκαλέσει σοβαρή έκθεση ευαίσθητων. Σχετικά με αυτήν, αρχικά πρέπει να εξασφαλιστεί ότι η εφαρμογή δεν μπορεί να τροποποιηθεί ή να διανεμηθεί από οποιοδήποτε αναρμόδιο συμβαλλόμενο μέρος. Η διανομή της θα πρέπει να γίνεται μόνο από επικυρωμένους IdPs μέσω ασφαλών ιστοσελίδων που υποστηρίζουν τεχνολογίες ασφαλείας όπως SSL. Επιπλέον, όπως αναφέρεται παραπάνω, η εφαρμογή DIMANDS-client είναι μια εφαρμογή με δυνατότητες πλοήγησης στο Διαδίκτυο. Πρέπει να είναι αρκετά φιλική προς τον χρήστη και να βοηθάει στην κατανόηση του συστήματος. Παράλληλα όμως αυτή η λειτουργικότητα (πλοήγηση στο Διαδίκτυο) δημιουργεί και μία σειρά από κρίσιμα θέματα ασφάλειας π.χ. crossscript επιθέσεις. Η εφαρμογή λοιπόν δεν μπορεί να στηριχτεί πάνω στους υπάρχοντες φυλλομετρητές αφού το σύστημα θα είναι διαρκώς εκτεθειμένο στο μεγάλο αριθμό διαφορετικών κενών ασφάλειας που μπορούν να έχουν οι τελευταίοι. Κατά συνέπεια προτείνουμε η DIMANDS-client να είναι μια ανεξάρτητη εφαρμογή που θα σχεδιαστεί κατά τέτοιο τρόπο ώστε να καλύπτει συγκεκριμένες απαιτήσεις ασφάλειας, και να έχει πολύ συγκεκριμένες δυνατότητες πλοήγησης στο Διαδίκτυο μόνο για τις λειτουργίες του DIMANDS. Επιπλέον για την DIMANDS -card, πρέπει να εξασφαλιστεί ότι η σύνδεσή της με τη DIMANDS-client είναι απολύτως ασφαλής. Υπάρχουν μια μεγάλη γκάμα από ασφαλή πλαίσια που παρέχουν ικανοποιητική ασφάλεια και διασφαλίζουν την ακεραιότητα ανταλλαγής με τη χρήση έξυπνων καρτών. Η αμοιβαία επικύρωση PKI Mutual PKI (Private Key Infrastructure) είναι υποχρεωτική ενώ η συχνή επικύρωση προτείνεται, ώστε να εξασφαλιστεί ότι η DIMANDS -card συνδέεται με μία έγκυρη και ασφαλή DIMANDS-client. Τέλος, όσον αφορά την προστασία του συστήματος DIMANDS από τις επιθέσεις σε δίκτυα μεγάλης κλίμακας π.χ. επιθέσεις DDoS, υπάρχουν πολλές λύσεις που μπορούν να χρησιμοποιηθούν αναλόγως την φύση της επίθεσης. Αυτού του είδος η ανάλυσης ασφάλειας είναι έξω από το πεδίο αυτής της διατριβής Ιδιοαπόρρητο Όσον αφορά το ιδιοαπόρρητο, η αρχιτεκτονική 3 επιπέδων του συστήματος DIMANDS εξασφαλίζει ότι τα δεδομένα κάθε χρήστη θα παραμένουν υπό τον έλεγχο του προμηθευτή ταυτότητας (IdP) της επιλογής του, και δεν θα είναι προσβάσιμα από

117 115 οποιαδήποτε άλλη οντότητα του συστήματος (π.χ. ICANN ή RAs). Η συσκότιση των πραγματικών ταυτοτήτων (με τη χρήση των RIDs και TRIDs) εξασφαλίζει μέγιστη ασφάλεια από την καταγραφή και συλλογή δεδομένων ακόμη και μέσα στο DIMANDS. Το ισχυρότερο όπλο του DIMANDS που αφορά το ιδιοαπόρρητο είναι η φύση των αποθηκευμένων πληροφοριών. Το σύστημα κρατά μη αναγνωρίσιμα και ασύνδετα στοιχεία ταυτοτήτων και περιγραφές των ικανοτήτων τους. Κανένα πραγματικό στοιχείο, προσωπικό δεδομένο ή στοιχείο ταυτότητας δεν βρίσκεται στο DIMANDS. Οι πραγματικές πληροφορίες είναι διεσπαρμένες και καλά προστατευμένες στους προμηθευτές και τις οργανώσεις που εξέδωσαν τις πραγματικές ταυτότητες του χρήστη Εμπιστοσύνη Με την ανάθεση αναθέτει των εικονικών κύκλων CHORD γεωγραφικές περιοχές το DIMANDS ενδυναμώνει την εμπιστοσύνη των χρηστών προς το σύστημα. Αυτό συμβαίνει επειδή οι τελικοί χρήστες πιο εύκολα εμπιστεύονται οργανισμούς και παρόχους (IdPs) που κατοικούν στην ίδια γεωγραφική περιοχή, μοιράζονται τον ίδιο πολιτισμό, και υπακούνε στις ίδιες πολιτικές ασφάλειας και κανόνες που επιβάλλονται από μια τοπικά διακεκριμένη αρχή. Βέβαια ο ισχυρότερος λόγος σχετικά με το γιατί οι τελικοί χρήστες μπορούν να εμπιστευτούν το DIMANDS, είναι το γεγονός ότι οι αποθηκευμένες πληροφορίες σε αυτό δεν εμπεριέχουν οποιοδήποτε ευαίσθητο προσωπικό δεδομένο και άρα δεν μπορούν να οδηγήσουν στην έκθεση προσωπική πληροφοριών. Το DIMANDS αποδεικνύει την αξιοπιστία του στους IdPs που συμμετέχουν στην υποδομή του και τους εξωτερικούς προμηθευτές και οργανισμούς που ανταλλάσσουν τις πληροφορίες με αυτό, μέσω της προσεκτικά σχεδιασμένης αρχιτεκτονικής του που εξασφαλίζει την μέγιστη δυνατή μυστικότητα και ασφάλεια. Οι μακροπρόθεσμες συνδέσεις μεταξύ των κόμβων DIMANDS και των εξωτερικών προμηθευτών που συνδυάζονται με τις σχέσεις εμπιστοσύνης μεταξύ των γειτόνων στο DIMANDS παρέχουν υψηλά επίπεδα εμπιστοσύνης και ασφάλειας για το συνολικό σύστημα.

118 116

119 6 Υλοποίηση - Αξιολόγηση Εξομοίωση Ανάλυση Απόδοσης του DIMANDS Το σύστημα DIMANDS διαμορφώνεται από υπολογιστές που συνδέονται σε Κατανεμημένο Hash Table. Οργανώνοντας όμως ένα σύστημα σε DHT, δημιουργείται επιπρόσθετη καθυστέρηση πακέτων και φορτίο δικτύου λόγω των επιπλέον παραγόμενων δεδομένων για την μεταφορά μιας αίτησης μέσα στο DHT. Για να αξιολογήσουμε την απόδοση του συστήματός μας σε μεγάλη κλίμακα, χρησιμοποιήσαμε ένα ευρέως γνωστό λογισμικό εξομοίωσης δικτύων, το OPNET Modeler v.14. Για τις μετρήσεις της εξομοίωσης χρησιμοποιήσαμε πραγματικές μετρήσεις χρόνων αποστολής πακέτων από το Meridian King data set που περιέχει την κίνηση μεταξύ 2000 διάσπαρτων DNS εξυπηρετητών παγκοσμίως. Στα σενάρια εξομοίωσης θεωρούμε ότι ένας DIMANDS κόμβος δέχεται τυχαία αιτήσεις από κάποιον άλλον κόμβο στο DHT. Όταν η αίτηση καταλήξει στον προορισμό της, δημιουργείται μία απάντηση η οποία αποστέλλεται πίσω στον αρχικό κόμβο. Πρέπει να σημειωθεί ότι η απάντηση αυτή ακολουθεί την ίδια διαδρομή εμπιστοσύνης που ακολούθησε η αρχική αίτηση μέχρι να καταλήξει στον προορισμό της (με αντίθετη φορά). Τα χαρακτηριστικά του συστήματος που εξετάστηκαν στα πλαίσια της εξομοίωσης ήταν 1. Ο μέσος αριθμός κόμβων που ακολουθούν τα μηνύματα που αποστέλλονται σε έναν κόμβο του DIMANDS από κάποιο εξωτερικό φορέα, μέχρις ότου ο φορέας αυτός λάβει την αντίστοιχη απάντηση 2. Ο χρόνος που απαιτείται για να λάβει, ένας εξωτερικός φορέας, απάντηση σε μία αίτηση που κατέθεσε στο σύστημα DIMANDS. Δύο είδη αξιολογήσεων εκτελέσθηκαν. Ο σκοπός της πρώτης αξιολόγησης ήταν να διερευνηθεί εάν η απόδοση του DIMANDS επηρεάζεται από τον αριθμό των δακτυλίων CHORD ή τη διανομή των κόμβων (IdPs) στο DHT. Δύο διαφορετικά DHT εξετάστηκαν. Στο πρώτο, 2000 κόμβοι διανεμήθηκαν εξίσου σε 40 γεωγραφικές περιοχές (CHORD δακτυλίους), κατά συνέπεια κάθε δακτύλιος περιείχε 50 κόμβους. Κάθε κόμβος διατηρούσε 6 γείτονες στον δακτύλιό του και 6 γείτονες σε άλλους. Στο δεύτερο DHT οι 2000 κόμβοι διανεμήθηκαν εξίσου σε 4 δακτυλίους CHORD όπου κάθε δακτύλιος περιείχε 500 κόμβους. Κάθε κόμβος διατηρούσε 9 γείτονες στον ίδιο

120 118 δακτύλιο και 2 γείτονες σε άλλους. Πρέπει να διευκρινιστεί ότι σε αυτήν την αξιολόγηση, οι κόμβοι διανεμήθηκαν εντελώς τυχαία. Οι εικόνες 38 και 39 παρουσιάζουν αντίστοιχα την αθροιστική συνάρτηση κατανομής για τον αριθμό των ενδιάμεσων κόμβων και την χρονική καθυστέρηση που απαιτούνται για την ολοκλήρωση της υποβολής μιας αίτησης στο σύστημα DIMANDS και λήψης της απάντησης. Όπως απεικονίζεται, η μέση καθυστέρηση για τη δρομολόγηση ενός μηνύματος στο DHT και για τις δύο δομές είναι περίπου δευτερόλεπτα ενώ ο μέσος αριθμός ενδιάμεσων κόμβων είναι 11 έως 12. Με βάση αυτά τα αποτελέσματα μπορούμε να δεχτούμε ότι η απόδοση DIMANDS δεν επηρεάζεται από τη δομή του. Εικόνα 38: Αθροιστική συνάρτηση κατανομής για τον αριθμό των ενδιάμεσων κόμβων

121 119 Εικόνα 39: Αθροιστική συνάρτηση κατανομής για την χρονική καθυστέρηση των μηνυμάτων Ο σκοπός της δεύτερης αξιολόγησης ήταν να εξεταστεί η απόδοση DIMANDS εάν η διανομή των κόμβων της είναι βασισμένη σε έναν συγκεκριμένο αλγόριθμο βελτιστοποίησης τοποθεσίας. Ο αλγόριθμος που επιλέχθηκε ήταν ο Proximity Neighbor Selection (PNS). Για αυτήν την προσομοίωση διαλέξαμε δύο DHT που σχηματίζονται από 4 δακτυλίους CHORD που ο καθένας τους περιέχει 500 κόμβους. Στο ένα από αυτά τα DHT οι κόμβοι έχουν διανεμηθεί εντελώς τυχαία ενώ στον άλλον οι κόμβοι έχουν οργανωθεί βάσει του PNS αλγορίθμου. Οι εικόνες 40 και 41 παρουσιάζουν τη cumulative density function για τον αριθμό των ενδιάμεσων κόμβων και την χρονική καθυστέρηση που απαιτούνται για την ολοκλήρωση της υποβολής μιας αίτησης στα δύο διαφορετικά DHT και λήψης της απάντησης. Όπως απεικονίζεται, ο μέσος αριθμός ενδιάμεσων κόμβων δεν επηρεάζεται από τον αλγόριθμο βελτιστοποίησης τοποθεσίας, αλλά η μέση καθυστέρηση για τη δρομολόγηση ενός μηνύματος στο DHT μειώνεται από 0.85 έως 0.7 δευτερόλεπτα στην περίπτωση του DHT που οι κόμβοι του είναι οργανωμένοι βάση του αλγορίθμου PNS.

122 120 Εικόνα 40: Αθροιστική συνάρτηση κατανομής για τον αριθμό των ενδιάμεσων κόμβων Εικόνα 41: Αθροιστική συνάρτηση κατανομής για την χρονική καθυστέρηση των μηνυμάτων

123 121 Πρέπει να διευκρινίσουμε ότι οι ανωτέρω μετρήσεις παρουσιάζουν τη χειρότερη δυνατή περίπτωση και αποδεικνύουν ότι η απόδοση του συστήματος μπορεί να βελτιωθεί με την εφαρμογή αλγορίθμων βελτιστοποίησης δρομολόγησης. Επιπλέον πρέπει να σημειωθεί ότι σε όλα τα παραπάνω σενάρια, ο κόμβος προορισμού ενός αιτήματος επιλέχτηκε τυχαία και θα μπορούσε να είναι οποιοσδήποτε κόμβος στο DHT. Σε πραγματικές συνθήκες, ο κόμβος προορισμού μίας αίτησης DIMANDS συνήθως θα βρίσκεται γεωγραφικά σε κοντινή απόσταση. Αυτός ακριβώς είναι και ο λόγος που η αρχιτεκτονική DIMANDS οργανώνεται σε γεωγραφικές περιοχές, ώστε να εξασφαλιστεί ότι ο αριθμός μηνυμάτων μεταξύ προμηθευτών που βρίσκονται σε μεγάλες αποστάσεις στο πραγματικό δίκτυο ελαχιστοποιούνται. 6.2 Υλοποίηση δοκιμαστικού σεναρίου χρήσης. Στα πλαίσια της υλοποίησης του συστήματος DIMANDS δημιουργήθηκε ένα demo (δοκιμαστικό σενάριο χρήσης) που παρουσιάζει την πιστοποίηση και πρόσβαση ενός άγνωστου χρήστη σε μία υπηρεσία ενός ξένου παρόχου. Στόχος αυτού του σεναρίου είναι η δημιουργία ενός δοκιμαστικού λογισμικού το οποίο θα χρησιμοποιήσουμε ως βάση σενάρια χρήσης σε πραγματικές συνθήκες. Για την υλοποίηση της παραπάνω διαδικασίας δημιουργήθηκαν 4 εικονικοί πάροχοι. Service Provider. Home Service. Government Portal. DIMANDS node. Πιο συγκεκριμένα το σενάριο που εξετάσαμε έχει ως εξής. Ένας χρήστης χρησιμοποιώντας έναν φυλλομετρητή ιστού (browser) αρχικά δημιουργεί από έναν λογαριασμό στους παρόχους Home Service και Government Portal, και στην συνέχεια καταχωρεί τις αντίστοιχες ψηφιακές ταυτότητες στον DIMANDS node. Στην συνέχεια συνδέεται στον Service Provider, και προσπαθεί να αποκτήσει πρόσβαση σε μια υπηρεσία του. Για να του επιτραπεί όμως η πρόσβαση, ο Service Provider του ζητάει να περάσει επιτυχώς μια διαδικασία πιστοποίησης εισάγοντας ένα οποιοδήποτε αναγνωριστικό (ψηφιακή ταυτότητα). Ο χρήστης εισάγει την ψηφιακή ταυτότητα που έχει δημιουργήσει στον Home Service πάροχο. Χρησιμοποιώντας αυτό το αναγνωριστικό ο Service Provider μέσω και του Home Service θα ανακαλύψει από τον DIMANDS node με ποιο τρόπο μπορεί να πιστοποιήσει τον συγκεκριμένο χρήστη. Αυτός ο τρόπος είναι να τον ανακατευθύνει

124 122 στον πάροχο Government Portal. Μετά από μία επιτυχή πιστοποίηση στον Government Portal, ο Service Provider παραχωρεί δυνατότητα πρόσβασης στην υπηρεσία. Η ακριβής ακολουθία μηνυμάτων του σεναρίου φαίνεται στην εικόνα 52. Η υλοποίηση των σελίδων και των βάσεων δεδομένων έγινε στο περιβάλλον ανάπτυξης λογισμικού Ruby on Rails ενώ το πρωτόκολλο ανταλλαγής μηνυμάτων που ακολουθήθηκε στο συγκεκριμένο σενάριο χρήσης είναι το JSON και όχι το πρωτόκολλο που παρουσιάζουμε στο κεφάλαιο. Ο λόγος επιλογής της Ruby on Rails ήταν το γεγονός πως μέσω αυτής, μπορεί κάποιος να παράγει πολύ γρήγορα κώδικα για πολλές και διαφορετικές λειτουργίες. Κάτι τέτοιο χρειαζόμασταν για την δημιουργία του πολύπλοκου σεναρίου που περιγραψαμε. Πιο συγκεκριμένα, με την γλώσσα προγραμματισμού Ruby, που είναι μία δυναμική αντικειμενοστρεφής γλώσσα, επιτύχαμε όχι μόνο την εύκολη συγγραφή κώδικα, αλλά την διαχείριση των απαραίτητων βάσεων δεδομένων, τη δημιουργία δυναμικών ιστοσελίδων κ.α. Από την άλλη μεριά το περιβάλλον ανάπτυξης Rails που ακολουθεί την αρχιτεκτονική MVC (Model, View, Controller), έδωσε την βάση για να συνεργαστούν όλα τα επιμέρους υποσυστήματα που υλοποιήθηκαν. Τέλος η επιλογή του πρωτόκολλου JSON είναι προσωρινή, και έγινε με σκοπό την γρήγορη αξιολόγηση των υποσυστημάτων του σεναρίου. Με την υλοποίηση του DIMANDS πρωτοκόλλου θα αντικατασταθεί. Για τον καθένα από τους παραπάνω παρόχους σχεδιάστηκαν μία σειρά από λειτουργίες και ιστοσελίδες. Επειδή δεν είναι δυνατόν να συμπεριληφθεί όλος ο κώδικας για την δημιουργία του σεναρίου, στην περιγραφή που ακολουθεί θα παραθέσουμε μόνο κάποια ενδεικτικά μέρη του. Ο κώδικας στο σύνολό του είναι διαθέσιμος στο διαδίκτυο. Home Provider - Government Portal. Οι δύο αυτοί πάροχοι δίνουν την δυνατότητα σε ένα χρήστη να δημιουργήσει ένα λογαριασμό επιλέγοντας το αναγνωριστικό (username) που επιθυμεί. Στην συνέχεια ο χρήστης μπορεί να καταχωρήσει αυτό το αναγνωριστικό στον DIMANDS node. Στις παρακάτω εικόνες (42, 43) φαίνονται η αρχική σελίδα του Home Provider και πως ο χρήστης μπορεί να δημιουργήσει έναν λογαριασμό. Τέλος φαίνονται η σελίδα προφίλ ενός εγγεγραμμένου χρήστη τόσο στον Home Provider όσο και στο Government Portal.

125 123 Εικόνα 42: Αρχική σελίδα Home Service. Εικόνα 43: Σελίδα εγγραφής νέου χρήστη στον πάροχο Home Service. Ο κώδικας για την παρουσίαση της σελίδας που φαίνεται στην εικόνα 43 είναι ο παρακάτω (εικόνα 44). Μετά την εγγραφή του, ο νέος χρήστης ανακατευθύνεται στην σελίδα προφίλ του. Εκεί όπως φαίνεται στην παρακάτω εικόνα, ο χρήστης μπορεί να δεί πληροφορίες για τον λογαριασμό του (εικόνα 45).

126 124 Εικόνα 44: Κώδικας για την σελίδα εγγραφής ενός νέου χρήστη. Πρέπει να σημειωθεί πως οι τιμές RID και TRID στο συγκεκριμένο demo εισάγονται απευθείας από τον χρήστη, με εγγραφή στην βάση δεδομένων του παρόχου (database). Σε επόμενη έκδοση του demo οι τιμές αυτές θα ενημερώνονται αυτόματα. Εικόνα 45: Σελίδα προφίλ ενός χρήστη στον πάροχο Home Service. Μέσω μιας ανάλογης διαδικασίας ο χρήστης μπορεί να δημιουργήσει έναν αντίστοιχο λογαριασμό και στον πάροχο Government Portal. Θα παρατηρήσει κανείς πως κατά την εγγραφή στον συγκεκριμένο πάροχο ζητείται από τον χρήστη να δηλώσει μία