چرا و چگونه نیازمند مدیریت راهبردی هویت دیجیتال هستیم

نویسنده: راه پرداخت در تاریخ 23 شهریور سال 1395 ساعت 9:47 0

عباس خداوردی؛ ماهنامه پیوست؛ شماره 37 / انقلاب ترادیسی دیجیتال (Digital Transformation) آغاز شده و بخش عمده‌ای از اطلاعات، فرایندها، تکنولوژی‌ها، استانداردها و البته قوانین و مقررات به حوزه دیجیتال در حال انتقال است. در کنار این موضوع دو مسئله اتصال به شبکه (Hyper connectivity) و جابه‌جایی (Mobility) هم به طرز فراگیری در حال گسترش است به‌نحوی‌که اغلب افراد از طرق مختلف به شبکه‌ها متصل و افراد به‌طور مرتب در حال جابه‌جا شدن هستند و این جابه‌جایی هم در سطح ملی و هم در سطح بین‌المللی دیده می‌شود. این افراد نیاز دارند بتوانند خدمات مبتنی بر فناوری اطلاعات را در همه‌جا و در هر زمان دریافت کنند. مشکلی فعلی این است که کاربر با حوزه‌های (Domain) مختلف ارائه خدمت مواجه است؛ خدماتی نظیر بانکی، سلامت، آموزشی، دولتی و غیره. هر حوزه به‌صورت کاملاً جزیره‌ای و مستقل به تعریف هویت خاص آن حوزه (Domain Specific ID) و روش خاصی برای احراز هویت کاربر می‌پردازد. ازجمله این روش‌ها می‌توان به پسورد، توکن، بیومتریک و رمز یک‌بارمصرف اشاره کرد؛ بنابراین کاربر در هر حوزه خدماتی باید هویت ویژه آن حوزه را داشته باشد و از روش خاص احراز هویت آن حوزه تبعیت کند.

از سوی دیگر در اغلب روش‌های متداول کنونی، تمرکز بر شناسایی و احراز هویت کاربر است، درحالی‌که شناسایی و احراز هویت خدمتگزار نیز به همان درجه و حتی بیشتر اهمیت دارد؛ بنابراین کاربر از طرفی سهولت لازم را ندارد و از سوی دیگر به دلیل عدم وجود مکانیسم یکپارچه‌ای برای شناسایی خدمتگزار، همواره با تردید به انتخاب ارائه‌دهنده خدمت می‌پردازد. افزون بر این همواره نگرانی از حفظ امنیت داده‌ها و البته رعایت حریم خصوصی وجود دارد. از دیدگاه خدمتگزار نیز نگرانی از جعل و سرقت هویت کاربر مطرح است و خصوصاً انجام این امر در سطح وسیع خسارات زیادی به خدمتگزاران و همچنین کاربران وارد می‌کند. در این خصوص به‌صورت متناوب شاهد اخباری هستیم مبنی بر اینکه حملات وسیعی به بخش مدیریت هویت سامانه‌های مختلف صورت می‌پذیرد و سرقت هویت و متعاقباً اطلاعات کاربران در سطح بعضاً میلیونی به چشم می‌خورد. مطالعات چند سال اخیر بیانگر این است که سرقت هویت همواره جزو ۱۰ تهدید و مخاطره اول در فضای سایبر به شمار می‌رود. طبق آخرین آمار میزان خسارت کشور آمریکا از این موضوع در سال ۲۰۱۴ میلادی بالغ‌بر ۱۵ میلیارد دلار بوده و موضوع سرقت هویت برای بیش از ۱۷ میلیون آمریکایی حداقل یک‌بار در این سال رخ داده است. جالب است که میزان خسارت وارده در سال ۲۰۱۶ میلادی بالغ‌بر ۱۵ میلیارد دلار و در سال ۲۰۱۵ بیش از ۱۶ میلیارد دلار بوده است. همچنین بررسی‌ها نشان می‌دهد خسارت وارده طی شش سال اخیر در این کشور بالغ‌بر ۱۱۲ میلیارد دلار بوده است! پژوهش‌های انجام‌شده در کشور انگلستان نیز پیش‌بینی کرده‌اند که میزان خسارت مستقیم ناشی از سرقت هویت به‌صورت سالانه به بیش از ۷۳ میلیارد پوند خواهد رسید!

در کنار مشکلاتی که برای کاربر و خدمتگزار وجود دارد، در حال حاضر حاکمیت در این فضا برای مدیریت هویت به قدر کافی قدرتمند نیست و ازاین‌رو دولت‌ها و به‌خصوص دولت‌های کشورهای درحال‌توسعه زیان فراوانی را متحمل می‌شوند بدون اینکه بتوانند از هویت و اطلاعات شهروندان خود چه در سطح ملی و چه در سطح بین‌المللی به‌اندازه کافی حفاظت کنند. به‌عنوان یک مثال ملموس می‌توان به گسترش شبکه‌های اجتماعی اشاره کرد. این شبکه‌ها حجم قابل‌توجهی از هویت‌ها، ارتباطات بین هویت‌ها، اطلاعات مرتبط با هر هویت و حتی افکار و عقاید آن‌ها را جمع‌آوری و گاه مدیریت می‌کنند و قدرت دولت‌ها برای اعمال مدیریت در این فضا بسیار محدود است. شاید این موضوع یکی از دلایل ایجاد محدودیت و فیلترینگ‌های غیرمنطقی توسط این دولت‌ها باشد. ازاین‌رو موضوع مدیریت هویت دیجیتال برای همه دولت‌های جهان در سطح ملی و بین‌المللی چالشی جدی است و همگان در حال تلاش برای ساماندهی و ایجاد یک نظام در این حوزه هستند.

نکته آخر دراین‌باره اشاره به بررسی‌های صورت گرفته در زمینه تحلیل مخاطرات امنیتی فضای سایبر است. همان‌گونه که ذکر شد با گسترش شبکه‌ها و مهاجرت داده‌ها، فرایندها و تراکنش‌ها به این فضا، ارزش دارایی‌های دیجیتال (Digital Asset) به‌صورت فزاینده‌ای رو به افزایش است. امروزه برخلاف گذشته که افراد مجبور به نگهداری حجم قابل‌توجهی از اطلاعات به روش‌های مختلفی پیش خود بودند، اطلاعات افراد در شبکه‌ها و نزد خدمتگزاران مختلف ذخیره می‌شود و کافی است فرد به شیوه امنی هویت خود را اثبات کند تا بتواند به آن اطلاعات دست یابد و خدمت مناسب را دریافت کند. رواج رایانش ابری و ذخیره اطلاعات افراد و سازمان‌ها در فضای ابری نیز بر اهمیت شیوه دسترسی امن به این اطلاعات افزوده است. به همین دلیل به‌صورت پیوسته نهادهای مختلفی به تحلیل مخاطرات این حوزه می‌پردازند. بر اساس این مطالعات در حال حاضر ضعیف‌ترین حلقه امنیتی، «احراز هویت کاربر» شناسایی شده است؛ به‌عبارت‌دیگر سازمان‌ها و دولت‌ها به جهت حفظ و ارتقای امنیت زیرساخت‌های سخت‌افزاری و نرم‌افزاری خود سرمایه‌گذاری لازم را به عمل می‌آورند، به‌طوری‌که داده‌ها اغلب به‌صورت امنی در شبکه‌ها جابه‌جا و ذخیره می‌شوند، لکن در حوزه شناسایی امن کاربر و مدیریت اعطای دسترسی به او، همچنان ضعف جدی وجود دارد. از سوی دیگر مطالعات و بررسی‌ها بیانگر این است که حملات هکرها بیشتر به سمت جعل و سرقت هویت مهاجرت کرده، زیرا با به دست آوردن یک هویت صحیح و مجاز می‌توان به منابع فراوان دیجیتال دست یافت که معمولاً این نوع حملات یعنی به دست آوردن یک هویت مجاز کم‌هزینه‌تر و ساده‌تر است. این موضوع اهمیت پرداختن به شیوه احراز و مدیریت هویت کاربر و ساماندهی این بخش را بیشتر نمایان می‌کند.

در همین راستا می‌توان به نتایج پژوهش صورت گرفته توسط سازمان OECD یا Organization for Economic Co-operation and Development اشاره کرد که از کشورهای مختلفی نظیر آمریکا، انگلستان، آلمان و چندین کشور دیگر از سراسر جهان تشکیل شده و هدف از آن همکاری دولت‌ها به جهت شناسایی و بررسی مسائل اقتصادی، اجتماعی و محیطی در راستای جهانی شدن است. این سازمان تحقیقات وسیعی در حوزه مدیریت هویت دیجیتال انجام داده و حاصل آن انتشار مقالاتی بسیار مفید و راهبردی است که در وب‌سایت این سازمان قابل‌دسترسی است. بررسی‌های صورت گرفته توسط این سازمان مؤید آن است که موضوع مدیریت هویت دیجیتال یک پیش‌نیاز اساسی به دلیل تحقق اهداف اقتصادی در فضای اینترنت است و ازاین‌رو دولت‌ها باید با نگاه ویژه‌ای با این موضوع برخورد کنند.

بنابراین به‌طور خلاصه می‌توان مشکلات و مخاطرات کنونی ناشی از عدم وجود یک «نظام جامع مدیریت هویت دیجیتال» را عدم امنیت احراز هویت کاربر، عدم امنیت احراز هویت خدمتگزار، عدم امکان کنترل دسترسی (Authorization) کاربر و خدمتگزار، موضوع حریم خصوصی کاربر و قدرت کم حاکمیت‌ها در فضای سایبر برشمرد. این عوامل سبب عدم تحقق «اعتماد» در این فضا می‌شوند و از گسترش تراکنش‌ها در این فضا جلوگیری می‌کنند.

«هویت دیجیتال» به معنی مجموعه ویژگی‌ها و خصوصیات یک موجود (Entity) است که آن را به‌صورت منحصربه‌فردی در فضای سایبر توصیف می‌کند. این شی‌ء یا موجود می‌تواند انسان یا غیرانسان باشد. در یک تعریف دیگر هویت دیجیتال نگاشتی از یک هویت فیزیکی در فضای سایبر است اگرچه الزاماً یک هویت دیجیتال، مابازای فیزیکی ندارد. در تعریف جدیدی که موسسه Global Identity Foundation در قالب Identity 3.0 ارائه می‌دهد، موجود را به پنج دسته تقسیم می‌کند که عبارت‌اند از: People, Devices, Organizations, Code و Agents. دلیل این تقسیم‌بندی این است که در فضای سایبر دیگر تنها انسان‌ها نیستند که با هم تعامل می‌کنند و اشیا، ماشین‌ها و موارد دیگر نیز به تدریج اضافه شده‌اند. در تعریف هویت لازم است به مفاهیم موجود در Industry 4.0 نیز اشاره شود. تمرکز Industry 4.0 بر موضوع اتوماسیون نوین در تولید (Manufacturing) با محوریت کاربرد فناوری اطلاعات و البته هوش مصنوعی است که منجر به ایجاد کارخانه‌های هوشمند (Smart Manufacturing) می‌شود. پرداختن به موضوع و جزییات Industry 4.0 خارج از محدوده این نوشتار است لیکن از نظر مدیریت هویت، حتماً باید به مفاهیم آن توجه شود. در انقلاب صنعتی موسوم به Industry 4.0، موضوع هویت اشیا و ماشین‌ها از اهمیت بسیار زیادی برخوردار می‌شود، زیرا در هوشمندسازی تولید که آینده این صنعت را رقم می‌زند، محوریت هویت ماشین‌آلات و اجزای آن‌ها موضوعیت دارد.

در نظام‌های متداول و جاری کشورها، نظام‌های ثبت‌نام ملی (National Registry System) مسئولیت ایجاد و نگهداشت هویت‌های مرتبط با انسان‌ها و افراد را بر عهده دارند. نظام‌های مدیریت هویت (دیجیتال) هر کشور تابعی از ساختارهای حقوقی، قانونی، فرهنگی، سیاسی و اقتصادی آن کشورهاست. از این حیث اگرچه مشابهت‌هایی بین کشورهای مختلف وجود دارد ولی تقریباً نمی‌توان یک مدل کلی را که به‌صورت بین‌المللی پذیرفته شده باشد، پیدا کرد؛ اگرچه ممکن است نمونه‌هایی در سطح منطقه‌ای (چند کشور) دیده شود. نهادهای مورداطمینان در کشورهای مختلف را معمولاً می‌توان بانک‌ها، اپراتورهای تلفن (همراه) و دولت‌ها (عمدتاً سازمان‌های ثبت‌احوال و شهرداری‌ها) در نظر گرفت. بر همین اساس بسته به ساختار یک کشور، نظام ثبت هویت خاص آن کشور وجود دارد.

به‌طورکلی چرخه حیات یک هویت با تولد آن آغاز می‌شود و سپس موجود، هویتی را ادعا می‌کند و یکی از نظام‌های مورد اعتماد (نظیر ثبت‌احوال، بانک یا اپراتورها) نسبت به بررسی مدعی و تأیید آن اقدام می‌کنند. ممکن است پس‌ازاین مرحله که عملیات ثبت‌نام (Registry) صورت می‌گیرد، عملیات اعتباربخشی یا Credentialing نیز انجام پذیرد به این معنی که به فرد کارت یا دفترچه‌ای (نظیر شناسنامه یا گذرنامه) داده شود که ازآن‌پس می‌تواند برای احراز هویت او مورداستفاده قرار گیرد. در اغلب کشورها چنین نظامی وجود دارد و این Credential به‌عنوان «هویت ریشه» یا هویت اصلی (Core Identity) او مورداستفاده قرار می‌گیرد. حوزه‌های مختلف ارائه خدمات بعداً می‌توانند هویت مختص خود را در حوزه‌های مربوطه، بر اساس همین هویت ریشه استخراج (Derive) کنند. به‌عنوان‌مثال فرد می‌تواند هویت بانکی داشته باشد که صرفاً در حوزه بانکی مورداستفاده قرار می‌گیرد و البته این هویت بر اساس هویت ریشه او تولید شده و این هویت ریشه، پایه کلیه هویت‌های استخراج‌شده بعدی است؛ اما موضوع مدیریت هویت مفهومی فراتر از ثبت‌نام و اعتباردهی است و بیشتر به حوزه استفاده از این هویت پس از خلق و اعتباربخشی می‌پردازد، به‌طوری‌که کنترل و مدیریت تعاملات و دسترسی‌های ایشان را بر عهده دارد؛ بنابراین الزاماً مسئولیت موضوع ثبت‌نام و اعتباربخشی و مدیریت هویت بر عهده یک نهاد نیست و بهتر است بگوییم عمدتاً دو نهاد مختلف این وظایف را بر عهده دارند. اگرچه بخش اول یعنی نظام‌های ثبت‌احوال که به ثبت هویت می‌پردازد، سابقه زیادی دارد اما بخش دوم به دلیل پیچیدگی‌های آن و نیز نو بودن موضوع همچنان در حال تکامل است.

موضوع ثبت‌نام و هویت‌بخشی به خدمتگزاران نیز از سالیان پیش وجود داشته و توسط نهادهای مختلف انجام می‌گرفته است. ازجمله این نهادها می‌توان به نظام‌های ثبت شرکت‌ها و ایجاد هویت اشخاص حقوقی اشاره کرد. البته وقتی صحبت از ارائه خدمات در فضای سایبر به میان می‌آید، ایجاد نگاشت امن و موردتوافق در این فضا پیچیده‌تر می‌شود و می‌توان گفت در سطح ملی چنین نظام‌هایی به بلوغ نظام‌های ثبت افراد حقیقی نیستند. در واقع این نظام‌های ثبت‌نام چه برای اشخاص و چه برای خدمتگزاران دیجیتال (وب‌سایت‌ها) نقش شخص سوم مورد اعتماد یا Trusted Third Party (TTP) را بازی می‌کنند. در نظر گرفتن موضوع ارائه خدمات توسط شرکت‌های بین‌المللی، وجود چنین نظام‌های ملی را با چالش و پیچیدگی بیشتری مواجه می‌کند. در کشور ما بیش از یک دهه است که مرکز توسعه تجارت الکترونیکی وظیفه ثبت‌نام وب‌سایت‌ها را با محوریت تجارت الکترونیکی (e-commerce) بر عهده داشته که در این خصوص «نماد اعتماد الکترونیکی» نیز به آن‌ها ارائه می‌دهد. اگرچه با تعاریف و تحلیلی که در این نوشتار آمده، این مرکز تنها بخشی از نظام جامع هویت دیجیتالی به حساب می‌آید و لازم است در یک نظام جامع مدیریت هویت دیجیتالی اشخاص، خدمتگزاران و احیاناً اشیا به‌صورت یکپارچه موردتوجه قرار گیرد.

همان‌گونه که ذکر شد نظام‌های متداول و سنتی ثبت‌احوال اولاً به‌طورمعمول فقط برای فضای آنالوگ قابل‌استفاده هستند و آن‌ها کارکرد خود را به‌عنوان یک نهاد با نقش مرکز اعتماد (Trust Center) در فضای دیجیتال و مورد وثوق کلیه ذی‌نفعان از دست می‌دهند. همچنین این نهادها صرفاً هویت افراد را پوشش می‌دهند و چهار حوزه دیگر مطرح در Identity 3.0 را که قبلاً مورداشاره قرار گرفت، پوشش نمی‌دهند؛ بنابراین برای طراحی یک نظام جامع هویت دیجیتالی، باید تعاریف جدید و نقش‌ها و مسئولیت‌های نوینی ایجاد شود به‌طوری‌که کلیه تراکنش‌ها و هویت‌ها قابل مدیریت باشد. همان‌طور که بعداً خواهیم دید تغییر در ساختارهای متداول و جاری یک کشور به منظور ایجاد یک نظام جامع مدیریت هویت دیجیتال، امری کاملاً طبیعی است.

مفهوم دیگری که باید در طراحی یک سیستم مدیریت هویت دیجیتال در نظر گرفته شود «اکوسیستم هویت دیجیتال» است. در یک تعریف ساده می‌توان گفت اکوسیستم مجموعه کلیه ذی‌نفعان، تکنولوژی‌ها، خط‌مشی‌ها و استانداردهایی است که در یک محیط برخط امکان تراکنش‌های امن را به وجود می‌آورد. بدیهی است این محیط کاملاً کاربر محور (User-centric) است. این مفهوم نخستین بار توسط دولت آمریکا در پروژه راهبرد ملی دولت آمریکا برای مدیریت هویت (National Strategy for Trusted Identities in Cyberspace) معرفی شد اما مفهوم گسترده‌ای است که برای طراحی هر سیستم مدیریت هویت دیجیتال باید به‌صورت دقیق به آن پرداخته شود.

وابستگی سیستم‌های مدیریت هویت دیجیتال به ساختار آن کشور از یک سو و چندبعدی (Multi-Disciplinary) بودن آن‌ها از سوی دیگر سبب می‌شود در طراحی چنین سیستم‌هایی نیاز به تغییراتی در ساختارهای متداول کشورها به وجود آید به شکلی که معمولاً علاوه بر تغییر در ساختار برخی سازمان‌ها، یک سازمان جدید فرابخشی متولد و وظیفه این حوزه به او محول می‌شود. برای مثال می‌توان به کشور فرانسه اشاره کرد. در این کشور پروژه France Connect اجرا شده است که کاربران برای دسترسی به خدمات باید نخست توسط این سیستم احراز هویت شوند و البته قبلاً خدمتگزاران خود را در این سیستم ثبت کرده‌اند. برای ایجاد این سیستم تغییرات اساسی در بخش‌های فناوری اطلاعات سازمان‌های مختلف به وجود آمد و نهایتاً هم یک سازمان جدید متولد و وظیفه این سیستم به او محول شد. تجربه مشابهی را می‌توان در کشور بلژیک مثال زد؛ این کشور برای اجرای طرح کارت ملی هوشمند، سازمانی به نام Fedict تأسیس کرد که وظیفه مدیریت هویت دیجیتال یا بهره‌برداری از این کارت برای ارائه خدمات مختلف الکترونیکی به او محول شد. بدیهی است در کشور ما نیز باید اکوسیستم مدیریت هویت دیجیتال به‌طور کامل تحلیل و طراحی شود به‌طوری‌که کلیه ذی‌نفعان شناسایی، نقش‌ها و مسئولیت‌های آنان برایشان به‌صورت دقیق و قانونی تعریف و کلیه فرایندها، قوانین و مقررات مرتبط تدوین شود.

در یک سیستم مدیریت هویت دیجیتال، نهادی به نام تأمین‌کننده هویت (Identity Provider) وجود دارد. این موجودیت که در فضای دیجیتال متولد می‌شود، نقش‌ها و مسئولیت‌های مختلفی را بر عهده می‌گیرد که ازجمله آن‌ها می‌توان به شناسایی کاربر و ارائه هویت او به خدمتگزار، اطمینان از اصالت خدمتگزار و ارائه بخشی از اطلاعات موردنظر کاربر -که قبلاً موردتوافق طرفین قرار گرفته است- به خدمتگزار، اشاره کرد. البته نظر به گسترش تعاملات به اشیا و سیستم‌ها، شناسایی و مدیریت دسترسی آن‌ها نیز می‌تواند جزو وظایف این نهاد باشد. این نهاد معمولاً مورد ارجاع خدمتگزاران به جهت اطمینان از هویت کاربر قرار می‌گیرد. به این منظور باید تأمین‌کننده هویت با سیستم‌های ثبت‌نام نظیر سازمان‌های ثبت‌احوال یا ادارات مهاجرت مرتبط باشد. بسته به ساختار یک کشور «تأمین‌کننده هویت» می‌تواند یگانه یا چندگانه یا متمرکز یا توزیع‌شده باشد. همچنین این نهاد می‌تواند خصوصی یا دولتی باشد. به‌عنوان‌مثال در کشور آمریکا شرکت‌های فیس‌بوک و گوگل به‌عنوان تأمین‌کننده هویت خصوصی شناخته می‌شوند و کاربر به اختیار خود می‌تواند یکی از این تأمین‌کننده‌ها را به خدمتگزار معرفی کند تا هویت او را احراز و به خدمتگزار اعلام کند. در برخی از کشورها تأمین‌کننده هویت در یک حوزه خدمت خاص ایجاد شده است. به‌عنوان‌مثال در کشور سوئد به منظور مدیریت هویت مشتریان در حوزه بانکی، شرکتی به نام BankID تأسیس شده و مشکل احراز هویت کاربر را در این حوزه برطرف کرده است به‌طوری‌که کلیه بانک‌ها (و بعضاً سازمان‌های دولتی) برای احراز هویت مشتریان خود از این نهاد سرویس می‌گیرند. نکته آخر اینکه در کلیه کشورهایی که از خدمات چنین نهادی استفاده می‌کنند، یک مدل تجاری (Business Model) وجود دارد و به جهت اهمیت این سرویس، معمولاً خدمات به‌صورت رایگان ارائه نمی‌شود و البته عموماً هزینه از خدمتگزار دریافت می‌شود. در کشور ما در حال حاضر نهاد دولتی یا خصوصی‌ای که به‌صورت فراگیر چنین خدماتی ارائه دهد، وجود ندارد.

در کنار مفهوم تأمین‌کننده هویت، می‌توان به نقش دیگری تحت عنوان «تأمین‌کننده ویژگی» (Attribute Provider) اشاره کرد. در واقع این نقش به تأمین اطلاعات تکمیلی یک هویت برای انجام یک تراکنش می‌پردازد و بدیهی است که این نهاد مورد اعتماد کلیه طرف‌های تعامل‌کننده است. به‌عنوان‌مثال چنانچه برای انجام خرید یک منزل، میزان اعتبار مالی فرد موردنیاز باشد -که در حوزه بانکی تعریف شده است- یک نهاد تأمین‌کننده ویژگی در حوزه بانکی مورد درخواست قرار می‌گیرد و این اطلاعات تکمیلی از او دریافت می‌شود. به‌طورکلی اطلاعات تکمیلی یک هویت می‌تواند در حوزه‌های مختلفی نظیر آموزش (مدارک و سوابق تحصیلی یک فرد)، سلامت و مانند آن تعریف شود. ارتباط با یک AP می‌تواند از طریق تأمین‌کننده هویت صورت پذیرد یا اینکه خدمتگزار به‌صورت مستقیم از یک AP اطلاعات تکمیلی را درخواست کند. بدیهی است که در مدل اول، موضوع مدیریت‌شده‌تر است. به راحتی می‌توان دریافت که یک خدمتگزار می‌تواند خود نقش AP را برای یک خدمتگزار دیگر بازی کند و برعکس. در اینجا بحث امنیت و حریم خصوصی به‌صورت جدی مطرح می‌شود که چه سطحی از اطلاعات یک فرد در یک حوزه خاص می‌تواند برای خدمتگزار دیگر افشا شود و نقش فرد دریافت‌کننده خدمت در این افشا و در واقع مجوز او، چگونه پیاده‌سازی می‌شود. در یک نظام جامع مدیریت هویت دیجیتال لازم است تعامل بین خدمتگزاران و تأمین‌کنندگان ویژگی به‌صورت درستی با حفظ امنیت و حریم خصوصی کاربر تعریف شده باشد. در کشور ما ۱۲ سازمان به‌عنوان AP های اصلی توسط سازمان فناوری اطلاعات شناسایی شده‌اند که در طراحی NIX قرار است از آن‌ها بهره گرفته شود. به این موضوع در ادامه بیشتر پرداخته می‌شود.

نهاد و مفهوم تأمین‌کننده هویت می‌تواند زمینه‌ساز شکل‌گیری مفهوم دیگری به نام Identity Federation شود. مفهوم Federation در این حوزه به معنی سیستمی به منظور استفاده از هویت یک شخص است که در چند سیستم مدیریت هویت به اشتراک گذاشته شده است؛ به‌عبارت‌دیگر هر خدمتگزاری می‌تواند برای خود سیستم مدیریت هویت کاربران/کارکنان داشته باشد و چند خدمتگزار، سیستم‌های مدیریت هویت خود را در یک محیط Federated به اشتراک بگذارند. معمولاً در این نظام‌ها یک تأمین‌کننده هویت متمرکز به وجود می‌آید و همه خدمتگزاران برای احراز هویت مشتریان خود از آن بهره می‌گیرند. موضوع Single Sign On (SSO) به‌طورمعمول در نظام‌های یکپارچه تعریف می‌شود. در برخی از کشورها بسته به ساختار آن‌ها، یک تأمین‌کننده هویت دولتی می‌تواند وجود داشته باشد تا در یک نظام Federated برای کلیه خدمتگزاران حوزه دولت الکترونیکی مورداستفاده قرار گیرد. در چنین نظام‌های یکپارچه‌ای امکان اعمال حاکمیت و مدیریت بسیار بالاست.

بنا بر آنچه گفته شد تأمین‌کننده هویت نهاد مورد اعتمادی است که بین خدمتگزار، کاربر و سازمان‌های ثبت‌احوال قرار می‌گیرند و وظیفه اصلی آن احراز هویت متقابل کاربر و خدمتگزار است. درعین‌حال برای ارائه برخی خدمات نیاز است خدمتگزاران، اطلاعات تکمیلی از یک خدمتگزار دیگر یا تأمین‌کننده ویژگی دریافت کنند. به این منظور می‌توان از مدل مش (Mesh) که در آن همه سیستم‌ها با یکدیگر مرتبط هستند، بهره جست یا نهادی به منظور ساماندهی به ارتباطات بین خدمتگزاران و تأمین‌کنندگان ویژگی به وجود آورد. این نهاد می‌تواند در کنار یک تأمین‌کننده هویت متمرکز وجود داشته باشد به شکلی که برای ارائه یک خدمت، با یکدیگر در تعامل باشند. می‌توان مدلی را متصور شد که در آن، این وظیفه یعنی به اشتراک‌گذاری اطلاعات بین خدمتگزاران نیز بر عهده تأمین‌کننده هویت باشد. در حوزه دولت الکترونیکی کشور ما مفهومی به نام

National Information Exchange (NIX) مدت‌هاست مدنظر متصدیان امر قرار دارد. این مرکز عمدتاً به ساماندهی تعاملات و اطلاعات تبادلی بین خدمتگزاران و تأمین‌کنندگان ویژگی خواهد پرداخت. با توجه به موضوعات مطرح‌شده در این نوشتار، لازم است در طراحی این مرکز حتماً به مفاهیم مدیریت هویت دیجیتال و نقش کاربر نهایی در تراکنش‌ها و البته نقش و نهادی به نام «تأمین‌کننده هویت» توجه ویژه شود؛ همچنین خدمات اینترنتی علاوه بر خدمات ارائه‌شده در بستر شبکه ملی اطلاعات نیز پوشش داده شود.

موضوع «هویت ریشه» و «تصدیق هویت قوی» نیز دو مفهوم حائز اهمیت در حوزه مدیریت هویت دیجیتال هستند. موضوع هویت ریشه برای اولین بار توسط نهاد Secure Identity Alliance مطرح شد. این نهاد که مجموعه‌ای از شرکت‌های فعال در حوزه تولید هویت و Credential است، به بررسی شیوه استفاده از هویت دیجیتال با تمرکز بر ارائه خدمات دولت الکترونیکی می‌پردازد. پیشرفت در صنعت فناوری اطلاعات و الکترونیکی سبب شده است امنیت فیزیکی Credential ها به تدریج کمرنگ شود و مهاجرت به سمت امنیت دیجیتال (Digital Security) صورت پذیرد، به‌نحوی‌که احراز هویت افراد کاملاً الکترونیکی و اتوماتیک و البته امن انجام شود. «هویت ریشه» به شیوه بسیار امنی عمدتاً توسط دولت‌ها و توسط سایر نهادهای مورد اعتماد به وجود می‌آید و برای کلیه خدمات بعدی مورداستفاده قرار می‌گیرد. هویت‌های دیگر موردنیاز می‌تواند از این هویت استخراج (Derive) شود. به‌عنوان‌مثال چنانچه هویت همراه (Mobile ID) برای خدماتی موردنیاز باشد، می‌تواند از این هویت استخراج شود. به منظور تولید چنین هویتی که امنیت آن از اهمیت بسیار بالایی برخوردار است، باید از تکنولوژی‌های به‌روز و ایمن بهره گرفته شود؛ به همین دلیل موضوع «تصدیق هویت قوی» (Strong Authentication) مطرح می‌شود. روش‌هایی که به‌صورت استاندارد برای تصدیق هویت کاربر مورداستفاده قرار می‌گیرند عبارت‌اند از آنچه دارم نظیر یک کارت، آنچه می‌دانم نظیر پسورد، آنچه هستم نظیر اثرانگشت و عکس و آنچه رفتار می‌کنم که این موضوع آخر به نسبت سه موضوع دیگر جدیدتر است. به منظور ایجاد روش «تصدیق هویت قوی» سعی می‌شود چند روش تصدیق هویت با یکدیگر ترکیب شوند و حتماً از المان امن (Secure Element) یعنی یک تراشه الکترونیکی که می‌تواند در یک کارت هوشمند، یک توکن یا تلفن همراه وجود داشته باشد، استفاده شود. یکی از روش‌هایی که روی امن بودن آن به جهت ایجاد تصدیق هویت امن، اجماع وجود دارد، کارت‌های هوشمند مجهز به تکنولوژی بیومتریک است. در این کارت‌ها تراشه الکترونیکی و سیستم‌عامل بارگذاری‌شده به همراه کلیدهای رمزنگاری ذخیره‌شده در آن‌ها که با انواع رمزها ترکیب می‌شوند و نهایتاً امکان تطبیق بیومتریکی را به وجود می‌آورند، تقریباً بالاترین «سطح اطمینان» را مهیا می‌کنند و می‌توانند بهترین مدیا برای ذخیره و نگهداری از «هویت ریشه» به منظور ایجاد زمینه «تصدیق هویت قوی» باشند. استفاده از روش‌های تکمیلی نظیر رمز یک‌بارمصرف (OTP) یا کانال‌های کمکی نظیر موبایل می‌تواند به افزایش سطح اطمینان «تصدیق هویت قوی» کمک کند. بدیهی است که یک سیستم مدیریت هویت دیجیتال امن باید مجهز به مکانیسم‌های استفاده از «هویت ریشه» و «تصدیق هویت قوی» باشد تا بتواند در سطح ملی و به‌صورت جامع مورداستفاده قرار گیرد.

از دیگر موضوعات مهم در یک سیستم مدیریت هویت دیجیتال موضوع «سطح اطمینان» (Assurance Level) بوده؛ در واقع این مفهوم به معنی میزان اطمینان یک خدمتگزار از هویت کاربر خود است. این «سطح اطمینان» بر اساس روش و مکانیسم تصدیق هویت کاربر به وجود می‌آید. به‌عنوان‌مثال کاربر می‌تواند صرفاً از نام کاربری و پسورد برای احراز هویت استفاده کند یا از کارت هوشمند خود به همراه پسورد. مسلم است روش دوم اطمینان بیشتری برای تأیید هویت به خدمتگزار می‌دهد. عمدتاً دو استاندارد که آمریکایی و اروپایی هستند برای تعریف سطوح اطمینان و چهار سطح اطمینان که از سطح یک (پایین‌ترین) تا سطح چهار (بالاترین) تعریف می‌شوند، وجود دارند. معمولاً سطح چهار که بالاترین سطح امنیت است بر اساس مکانیسم‌های «تصدیق هویت قوی» تعریف می‌شود که نیاز به یک «المان امن» و بیومتریک وجود دارد. یکی از کاربردهای اصلی «سطح اطمینان» این است که در ارائه خدمات مختلف بر اساس اهمیت آن‌ها، چه درجه‌ای از «سطح اطمینان» موردنیاز است. مشخص است هرچه اهمیت یک خدمت افزایش می‌یابد «سطح اطمینان» بالاتری موردنیاز است. به‌طورمعمول خدمات بانکی، سلامت و دولت الکترونیکی نیاز به بالاترین «سطح اطمینان» و طبیعتاً «تصدیق هویت قوی» نیازمند هستند. بدیهی است که تعیین «سطح اطمینان» برای یک خدمت خاص بر اساس تحلیل مخاطرات (Risk Assessment) صورت گرفته و میزان پذیرش ریسک در هر خدمت است. از کاربردهای دیگر «سطح اطمینان» ایجاد زمینه برای سازگاری متقابل (Interoperability)، تعریف مسئولیت (Liability) و امکان تدوین قوانین و مقررات بوده که بعداً به آن‌ها پرداخته خواهد شد.

مفهوم «سازگاری متقابل» یا Interoperability در هر سیستمی از اهمیت بالایی برخوردار است به‌نحوی‌که تضمین می‌کند سیستم‌های مختلف می‌توانند با یکدیگر کار کنند. به این منظور قاعدتاً باید استانداردهای یکسانی را به اشتراک بگذارند به‌طوری‌که این «سازگاری» و انطباق در حوزه‌های فنی، امنیتی و حتی قوانین و مقررات به وجود آید. در حوزه مدیریت هویت دیجیتال نیز این امر وجود دارد به شکلی که حوزه‌های مختلف ارائه خدمات بتوانند با اشتراک‌گذاری سیستم‌های مدیریت هویت دیجیتال خود، امکان تعامل را به وجود آورند. بنا بر آنچه ذکر شد موضوع «سطح اطمینان» برای به وجود آمدن این سازگاری حائز اهمیت است چرا که سیستم‌های مختلف می‌توانند برداشت مشترکی از امنیت و شیوه احراز هویت داشته باشند.

در یک سیستم مدیریت هویت دیجیتال موضوع «مسئولیت» یا Liability باید به‌صورت صریح و دقیق مشخص شود. به این معنی که هنگام رخداد یک واقعه امنیتی منجر به خسارت، چه کسی مسئولیت دارد و جرائم و جبران خسارت به چه صورت باید انجام شود. به‌عنوان‌مثال چنانچه مقرراتی وجود داشته باشد که برای ارائه دسته ویژه‌ای از خدمات باید از «سطح اطمینان» خاصی تبعیت شود و خدمتگزار آن را رعایت نکند و این امر تبعاتی برای کاربر ایجاد کند، بدیهی است که «مسئولیت» بر عهده خدمتگزار است و باید جبران خسارت کند. موضوع «مسئولیت» باید در یک سیستم مدیریت هویت دیجیتال به‌صورت مشخص و دقیق تعریف شده باشد. در این خصوص بیمه‌ها نیز می‌توانند برای جبران خسارت و انتقال ریسک مورداستفاده قرار گیرند.

وقتی راجع به یک سیستم مدیریت هویت دیجیتال در سطح ملی صحبت می‌شود، علاوه بر موضوعات تکنولوژیک باید موضوع تنظیم مقررات و رگولاتوری به‌صورت جدی موردتوجه قرار گیرد و اساساً نمی‌توان یک سیستم مدیریت هویت دیجیتال را بدون وجود چنین بخشی تصور کرد. وظیفه این مقررات در واقع ایجاد «سازگاری متقابل»، امنیت، حفظ حریم خصوصی، تدوین روال‌ها و فرآیندها، مشخص کردن چارچوب «مسئولیت»، تدوین «سطوح اطمینان»، نظام‌های ارزیابی و اعتباربخشی و البته تدوین مدل تجاری (Business Model) است. این مقررات اولاً باید تابعی از سایر قوانین و مقررات حقوقی آن کشور در حوزه‌های تراکنش‌های دیجیتال و البته هویت دیجیتال باشد. ثانیاً فضای جدید را تنظیم (Regulate) و نقش حاکمیت را تدوین می‌کند. در تدوین این مقررات باید به قوانین بین‌المللی و گاهی منطقه‌ای نیز توجه داشت، زیرا تعامل در فضای سایبر محدود به مرزهای فیزیکی یک کشور نمی‌شود. به‌عنوان‌مثال اخیراً مقرراتی تحت عنوان General Data Protection Regulation در اتحادیه اروپا به تصویب رسیده که در آن چارچوبی برای حفظ امنیت داده‌های دیجیتال و البته هویت اتباع اروپایی تدوین شده، لکن تبعیت از آن برای کلیه کشورهای جهان که با اتحادیه اروپا تعامل دارند، اجباری است. در کنار تدوین قوانین و مقررات باید رگولاتوری هم در این حوزه نقشی فعال ایفا کند. لازم است که کل نظام مدیریت هویت دیجیتال و البته تأمین‌کننده (گان) هویت زیر نظر این رگولاتوری فعالیت کنند و البته نظارت کامل بر اجرای قوانین و مقررات تدوینی توسط این نهاد صورت پذیرد.

در حوزه استانداردسازی نیز علاوه بر حوزه‌های فنی که قبلاً تدوین شده‌اند که حوزه‌های رمزنگاری، کارت هوشمند، بیومتریک، امنیت و غیره را شامل می‌شود- شاید بتوان گفت مهم‌ترین استاندارد حاضر ISO/IEC 24760 A framework for identity management باشد که توسط موسسه ایزو در حال تدوین و تکمیل است. درعین‌حال استانداردی که دولت‌ها بتوانند بر آن اساس نسبت به طراحی سیستم مدیریت هویت دیجیتال ملی خود اقدام کنند، وجود ندارد و هر کشوری باید بسته به نیاز خود دسته‌ای از استانداردها را برای بخش‌های مختلف سیستم مربوطه برگزیند.