科研信息化技术与应用,2015, 6 (1) of identity and the framework of identity management, this paper analyses the development trend of Identity Management

科研信息化技术与应用 2015, 6(1): 41 49 应用 / APPLICATION 身份管理发展趋势和中国科学院身份管理系统薛聪 1,2, 向继 1 1, 高能 1. 中国科学院信息工程研究所信息安全国家重点实验室, 北京 100093 2. 中国科学院大学, 北京 100049 摘要 : 用户通过使用网络身份访问互联网应用及服务身份管理整合了用户身份信息保护和资源访问控制等诸多技术, 为优化用户体验奠定基础本文基于网络身份特点及身份管理基础框架, 分析了身份管理的发展趋势, 并介绍了基于云架构的中国科学院统一身份管理系统应用案例, 该系统使用单点登录多重认证和多级安全策略, 实现了应用服务间网络身份的安全高效部署及融合关键词 : 身份管理 ; 身份管理系统 ; 单点登录 doi:10.11871/j.issn.1674-9480.2015.01.005 The Trend of Identity Management and the Identity Management System of Chinese Academy of Sciences Xue Cong 1,2, Xiang Ji 1, Gao Neng 1 1.State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China 2.University of Chinese Academy of Sciences, Beijing 100049, China Abstract: Generally, the internet applications and services need to be able to accept user network identities. Identity Management Technology integrates identity data protection and resource access control technology, and provides the foundation for optimizing user experience. Based on the characteristics 基金项目 : 中国科学院十二五信息化专项项目中国科学院网络安全保障与服务工程统一认证管理系统及其应用 (XXH12501-02) 41

科研信息化技术与应用,2015, 6 (1) of identity and the framework of identity management, this paper analyses the development trend of Identity Management, and introduces the Identity Management System of Chinese Academy of Sciences in cloud architecture. This system uses single sign-on, multiple authentication and multilevel security policies so as to implement the secure and efficient deployment of identities between various applications or services. Keywords: identity management; identity management system; single sign-on 引言随着购物社交网站资源协作等多种互联网应用的发展, 人们对使用远程资源和服务更加依赖, 网络生活已经平行于现实世界, 使更方便的信息交流方式成为可能在网络空间中, 每个用户使用一段代表性信息作为网络身份 (Identity), 让不同地方的用户和各种各样的互联网应用识别自己, 从而进行更加个性便捷的信息交流例如, 在网上购物时, 我们的个人喜好能被系统预先处理并保存到服务器, 在使用同一账户时, 不需要重复选择, 相关信息就能被准确调入 ; 不同的企业用户, 通过向云计算服务商声明自己的身份, 定制化的利用网络中计算及存储资源用户的身份, 已成为网络应用提供优质用户体验的基础与此同时, 身份信息的应用也带来了用户隐私泄露资源非法访问等安全问题, 美国每年由于账号被盗隐私泄露等身份相关的安全事件带来的经济损失达到数十亿美元因此, 用户的身份信息需要身份管理技术, 使网络身份信息既被快速部署及识别, 又不被他人篡改冒用多种身份管理技术从而应运而生, 并带来了巨大的商业机遇, 如个性化广告推荐企业跨国合作等, 身份服务已成为网络服务的新兴领域同时, 安全高效的身份管理技术得到了科研和商业的高度重视, 相关组织及法律机构也在积极推动开放的标准化身份协议发展 OpenID 身份识别框架的用户总量已经超过 100 亿,Facebook Google 雅虎等主流服务提供方均已采用 ;Shibboleth 身份协议在美国 Internet2 推动下已被 100 多个高校和组织使用本文将从三部分系统的介绍身份管理 : 第一部分介绍网络身份的定义及使用, 以及身份管理基础框架 ; 第二部分将结合身份管理现状分析其发展趋势, 第三部分将介绍了中国科学院的应用案例, 分析了该身份管理系统的主要框架及安全性 1 身份管理框架现实生活中, 身份通常包含特定机构已证明属实的个人属性信息 ( 如名字身份证号码等 ), 而网络身份按照国际通信组织 Y.2720 的定义, 包含三个基本的数据字段 : 标识符凭据和属性值标识符唯一代表用户, 如 ID URI 等 ; 凭据是部分或完整的身份证明, 如口令数字证书指纹 Kerberos 票据 SAML 断言等 ; 属性值通常包括一些用户基本信息, 如姓名生日等一个用户在多个系统上可以有多个网络身份网络身份管理技术, 整合了用户身份信息和资源访问控制等诸多技术, 降低了应用服务提供方维护用户身份信息的成本, 同时保护身份在其生命周期内的完整性网络身份管理必须能够保证身份信息的机密性完整性和可用性, 并能够防止窃听重放篡改删除中间人身份盗用和钓鱼等攻击在身份管理中涉及多个当事方使用或管理网络身份及解决方案, 将身份管理的当事方可分为以下四类主体即用户, 是网络身份所对应的实体, 一个主体通常有多种身份属性, 作为身份管理技术来说, 保护用户的身份属性不被误用是目前的热点问题身份提供方为主体生成并指派特定身份属性值以及认证凭据 ( 例如证书 ) 身份属性值在身份提供方之间可以绑定例如, 学籍管理系统中, 学籍 42

薛聪等 : 身份管理发展趋势和中国科学院身份管理系统与学生的身份属性 ( 学号选课科目 ) 绑定, 学籍又可与其他身份凭据 ( 如档案身份证号等 ) 建立身份信息依赖关系依赖方即网络应用或者服务, 为用户提供服务或资源接入许可, 是要求用户提交身份凭据的一方例如, 大学的选课系统, 用户使用该服务时需提交自己的身份凭据, 而这个身份凭据从身份提供方学籍系统中获取的控制方专指可获取身份信息的执法机构和监察部门例如, 为取证调查需要获取特定用户身份信息的使用记录图 1 显示了各个参与方之间的关系, 身份提供方和依赖方间的关联减轻身份提供方和主体间的身份管理负担, 主体不用管理多个服务账户, 而只需管理在身份提供方的账户即可依赖方通过身份提供方提供身份管理服务, 可将维护认证安全的精力用于提供服务身份提供方在为多个依赖方提供身份信息管理, 可获得经济效益身份提供方与依赖方之间的合作关系也进一步要求升级身份管理服务, 例如一些更强的认证手段 ( 如智能卡 ) 单点登录属性共享等身份提供方同时将面临安全性和机密性方面的集中挑战, 如身份信息的泄露滥用等图 1 身份管理参与方之间关系 Fig.1 The relationship of identity management parties 2 身份管理发展趋势身份管理技术发展至今, 身份管理体系不断调整, 身份认证平台更加多样, 多种认证授权协议广泛推广, 并形成以控制为中心的安全防护架构社交网络移动互联网云计算发展正在驱动复杂身份和访问管理的转变, 未来身份管理将会呈现如下一些发展趋势 : (1) 打破企业或机构的身份边界, 逐步形成以用户为中心的身份管理体系身份管理发展的三个阶段 : 以应用为中心的身份管理以企业为中心的身份管理和以用户为中心的身份管理传统的机构组织内部的身份管理, 身份信息仅在内部使用在未来这种身份边界将会逐步被打破, 形成以用户为中心的身份管理体系以应用为中心的身份管理每个服务或应用系统负责管理自己用户的身份, 每个系统既是身份提供方也是依赖方, 每个应用的身份与其他应用相互独立, 导致每个用户需要记住很多应用的登录账号和口令, 不胜其烦以应用为中心的身份管理在国内仍是主流, 这种方式简单易部署, 对单个应用来说易于管理, 但是缺点是扩展性不强, 无论是用户还是管理员都要做大量的身份管理操作以企业为中心的身份管理在以企业为中心的身份管理中, 企业 ( 或机构 ) 利用一个集中的系统管理其用户的身份, 用户可以利用该身份登录所有企业内部的应用或者服务, 实现单点登录以应用为中心的身份管理正逐步由以企业为中心的身份管理取代微软的 Active Directory 管理系统 Oracle 的 OpenSSO 系统等就可以为企业提供身份管理和单点登录服务以企业为中心的身份管理可以解决内部用户的身份管理和应用登录问题, 但是对于外部用户的身份管理或合作企业的登录, 仍存在拓展性问题特别是目前从事网上购物社交网络娱乐等业务的互联网企业通常面临数以亿计的外部用户, 即使一个企业有多家合作企业, 在各自用户之间实现便利的跨企业访问, 通过以企业为中心的身份管理也无法实现 43

科研信息化技术与应用,2015, 6 (1) 以用户为中心的身份管理在以用户为中心的身份管理中, 一个企业不再区分内部用户和外部用户, 企业管理的身份不再限定于一个企业内部使用, 可以访问合作企业的应用同时, 一个用户的身份也不一定由他所在的企业管理, 例如用户可以利用 QQ 账号访问企业内部的应用在以用户为中心的身份管理中, 身份与企业或者应用之间的关联关系将会弱化, 用户可以从他信赖的身份提供方获取网络身份, 然后利用该身份访问那些与身份提供方合作的应用或者服务未来可能发展成为这样一个格局 : 一个企业用户利用 QQ 账号登录企业内部邮箱和办公系统, 而另一个用户则用网银账号登录企业内部邮箱和办公系统以用户为中心的身份管理扩展性好, 而且易于实现跨企业跨地域的合作, 但是这种身份管理需要更安全高效的身份共享机制以及全社会的积极响应和配合未来的身份边界将会被打破, 逐步形成以用户为中心的身份管理 [2] (2) 移动和物联网平台将是未来身份认证的主流平台传统的身份认证环境中,PC 机 Windows 操作系统和 IE 浏览器是主流平台, 绝大多数的身份管理和身份认证操作都是在这个平台上开展的但是随着手机平板电脑等移动智能终端的发展, 这一情况将发生转变, 预计到 2020 年,80% 的用户将会利用智能手机等非 PC 平台开展身份认证操作 [2], 企业移动设备占身份管理投入总比将从今天的 5% 上升至 40% 以上 [3] 访问控制实现跨平台发展, 传统的身份管理工具将难以适应移动设备终端产生的大量上下文环境信息, 急需移动设备管理策略这一转变不仅仅体现在平台的切换, 更需要重新设计身份认证技术和架构身份管理和企业移动设备管理 ( Enterprise Mobility Management,EMM) 将同步发展传统的 AD 域认证 USB Key 证书认证等方式在 PC 平台具有很好的用户体验, 但如果向非 PC 平台移植这些 PC 平台的认证方式就会得不偿失需要针对新平台移动化的特点设计新的身份认证技术例如苹果的 TouchID 结合指纹识别和安全容器等技术实现安全的身份认证, 具有优秀的用户体验, 将会在未来的身份认证领域占有优势地位同时, 物联网势必带来更多的人和事物的联合 ( 比如移动电话, 平板电脑及可穿戴设备 ) 以及与环境和互相之间的交流, 基于他们的活动身份获取和丢失属性来描述当前状态的身份 (3) 身份管理服务将成为一个新兴的竞争市场由独立的身份提供方提供的身份管理服务将会成为一个新兴的充分竞争的市场预计到 2020 年, 一个企业所接收的身份中将有超过 60% 来自于外部的身份提供方 [2] 实际上, 利用外部身份提供方提供的身份访问企业内部应用情况已经出现, 例如利用 QQ 账号可以登录 9000 多家网站, 包括购物媒体娱乐等等这种方式既带来便捷的操作方式, 又减少了企业在身份管理上的投入在很多国家已经开展身份管理服务的应用, 例如, 一些欧洲国家支持利用第三方的身份提供方提供的身份访问政府, 提供电子政务服务英国政府的身份保证项目与几家身份提供方签订合同, 将为英国所有的在线服务提供身份认证服务 ; 美国的国家网络空间可信身份战略 NSTIC, 由国家商务部主导, 投入资金支持了若干企业进行身份生态体系的探索和应用示范, 第一轮的应用示范已经接近完成, 第二轮也即将开始整个身份管理服务将会构成一个身份生态环境, 形成一个由多方参与企业主导充分竞争的市场环境这一生态体系在国内已经有一些雏形, 例如公安部会提供身份证验证服务, 商业银行提供银行卡验证服务, 工商总局提供企业应用执照的验证服务等, 许多网站及应用也基于这些信息实现用户原始身份的验证同时, 诸多网站也支持利用腾讯阿里或者新浪提供的账号登录这个生态环境将会由政府和企业共同合作构建, 有的机构提供基础真实身份的验证服务 ( 身份证营业执照等 ), 有的机构提供网络身份管理和认证服务, 有的机构提供用户属性的共享服务等, 这些机构间将会充分竞争, 优胜劣汰, 从中为用户提供优质和安全服务的机构将会获得巨大的商业利益一旦这个生态环境建成, 一个用户将从很多账号 44

薛聪等 : 身份管理发展趋势和中国科学院身份管理系统在上海登录, 而一分钟后在福建登录, 将会告警可能出现身份盗用攻击, 将会禁止用户登录同时基于属性的访问控制 (Attributes-based Access Control, ABAC) 实现将访问用户从角色限制到属性限制的转变, 符合资源限定属性的用户即通过验证, 将变成了接入控制的一个新趋势 3 应用案例 : 中国科学院身份管理系统图 2 安全防护策略转变模型 Fig. 2 The transformation module of secure policies 口令的注册和维护中解脱出来, 而只需要记录少数几个账号和口令即可 (4) 安全防护将从以控制为中心的安全向以人为中心的安全转变在传统的身份管理中, 防止非授权用户访问资源的途径是通过安全控制, 即制定详细的安全访问控制策略 ( 例如基于角色的访问控制 ), 来授权用户访问的资源常用的安全控制策略是权限最小化策略, 即一个用户只能够接入允许访问的资源, 但是这一策略在互联网上时代越来越不能适应任何不被禁止的行为都能访问, 才是未来安全策略的发展方向由于很多安全策略需要依赖特定用户的行为或者其他属性来进行综合考量, 仅仅基于角色一个属性进行访问决策将存在绝大的安全风险, 基于安全控制的静态安全防护已经不能适应未来安全发展的需求, 因此, 以人为中心的安全 (Personal-centric Security, PCS) 防护策略才是发展趋势 [2] ( 图 2) 在 PCS 策略中, 特定用户的行为, 特别是异常行为将成为访问控制判定的重要依据, 任何决策不仅仅基于人的身份或者角色, 还将针对个人的行为目前, 一些大型互联网企业如腾讯阿里等已经开始使用以人为中心的安全防护策略, 他们监控每个用户的登录行为, 并根据行为是否有异常来判定是否允许该用户登录或者进行某些关键操作 ( 如支付转账等 ) 例如, 如果发现用户在一分钟前中国科学院 ( 以下简称中科院 ) 作为国家最高的学术机构, 研究院所遍布全国, 各院所不同服务管理平台信息交流频繁, 建立统一的身份管理体系, 可大大提升用户管理的高效性, 同时共享的用户信息服务, 各业务系统可有机的整合在一起, 实现互联互通十二五期间, 在中科院信息化工作处的组织下, 由中科院信息工程研究所承担, 中科院计算机网络中心中科院文献情报中心中国科学院大学等单位共同参与, 建设了中国科学院统一身份管理系统该系统支持中科院机关和各院所服务平台及信息化系统用户的统一身份管理和院内重点应用的统一认证与单点登录, 为院机关和各个研究所的用户和应用提供统一 CA 统一用户身份管理和统一认证单点登录等安全服务, 形成中科院统一认证安全基础设施, 如图 3 所示该系统的特点是将用户身份管理安全凭证发放和管理应用安全认证与单点登录等功能以云服务的方式提供给院所用户和重点应用, 不依靠各研究所专属软硬件, 实现了快速部署, 降低维护成本, 并采用 USB Key 证书认证用户名口令认证动态口令图 3 中国科学院身份与访问管理服务云 Fig. 3 The identity and access management cloud of CAS 45

科研信息化技术与应用 2015, 6 (1) 认证等多种认证方式在提供便利性的同时定义多户身份信息的管理统一认证系统实现单点登录功级安全策略保障认证的安全性能由统一认证网关单点登录服务器用户认证 1 中科院统一身份认证管理系统接口服务器组成用户数据库存储院内用户的身份本系统由统一身份管理系统统一认证系统以信息认证凭证等身份管理系统进行信息更新维及用户数据库三部分组成统一身份管理系统主要护用户管理服务器与各业务系统进行数据同步进行院内用户数字身份全生命周期的统一管理由用户查询服务器向业务系统提供用户信息查询服用户身份管理 Web 服务器用户管理服务器策务实现用户认证和单点登录系统组成架构图如略管理服务器和用户查询服务器等组成身份管理图 4 所示系统通过 Web 服务方式提供接口供管理员进行用用户在使用统一身份认证管理系统时分两种情图4 系统组成架构图 Fig. 4 The architecture of identity management system 图5 单点登录技术方案 Fig. 5 The technical solution of Single Sign-On 46

薛聪等 : 身份管理发展趋势和中国科学院身份管理系统况, 如图 5 所示当用户首次通过统一身份认证管理系统进行登录时, 登录可以利用用户名 / 口令的方式或 UKey 的数字证书的方式进行, 登录成功以后, 统一身份认证管理系统为用户浏览器发放一个安全票据供用户访问业务系统时使用, 安全票据记录了用户登录成功的信息, 并由统一身份认证管理系统进行数字签名, 保证其不可伪造和篡改用户访问业务系统时, 用户浏览器会自动将安全票据附加在请求中一并提交给业务系统, 业务系统的单点登录模块如果未在用户的请求中发现安全票据则会将用户重定向到单点登录入口则要求用户进行登录, 如果发现了安全票据, 则会对票据进行验证, 验证通过以后允许用户访问业务系统 ( 图 5(a)) 当用户首次访问业务系统时, 业务系统发现用户没有提交有效的安全票据, 将用户浏览器重定向到统一身份认证管理系统检查用户是否已经登录 ; 若未登录则在登录成功后, 统一身份认证管理系统产生一个安全票据, 并将用户浏览器重定向回业务系统, 业务系统接收到安全票据以后, 对其签名进行验证, 验证通过则允许用户通过再访问其他业务系统时类似, 业务系统将用户浏览器重定向到统一身份认证管理系统, 会发现该用户已经在系统登录过后跳过用户登录流程, 直接给用户发放安全票据 ( 图 5(b)) 中科院统一身份认证管理系统具备良好的安全性设计在上述流程中, 身份管理服务器和用户客户端都默认写入受信任的证书链, 基于公钥体制基础, 使服务器和客户端都无法伪造统一身份认证管理系统 (UAMS) 与业务系统服务器之间采用 SSL 连接, 业务系统服务器证书和 URL 的管理在 UAMS 端, 攻击者不能通过业务系统服务器伪造或替换上述信息, 从而大大降低了安全保护的范围客户获得的安全票据基于智能型 UKey, 也克服伪造与窃听风险在每次会话有效期内, 服务器端产生一个不同的随机数, 且设定 Session 过期时间, 降低有效 Session 攻击可能, 从而限制重放攻击 (2) 统一认证应用方案 : 研究所应用服务统一认证在该案例中通过改造增加单点登录模块与数据同步模块, 可分别支持研究所用户的统一身份管理和研究所 ARP 系统所内办公系统等重点应用的对接, 实现单点登录和用户数据同步的功能单点登录方面, 将研究所门户与统一身份认证管理系统的单点登录入口进行整合, 实现登录页面统一, 如果用户在未登录情况下访问其他业务系统, 都会被重定向到研究所门户的登录页面进行单点登录用户在研究所门户登录后, 通过各个业务系统与统一认证系统的单点登录接口, 实现用户访问各业务系统无需重新登录, 如图 6 所示同时考虑到不同地域的研究所对单点登录性能的需求, 统一认证网关和单点登录服务器也支持在部分图 6 研究所统一认证应用部署架构 Fig. 6 The deployment architecture of institute unified authentication application 图 7 研究所统一认证分布式架构 Fig. 7 The distributed architecture of institute unified authentication application 47

科研信息化技术与应用,2015, 6 (1) 分院部署分布式部署, 各分院部署的统一认证网关和单点登录服务器主要负责分院管辖各个研究所重点业务系统的单点登录, 如图 7 所示在原研究所门户的用户名 / 口令登录方式的基础上, 增加基于 UKey 的证书认证登录方式各个业务系统根据自身安全需求确定所需的用户认证方式如果用户使用低安全级别的认证方式 ( 用户名 / 口令 ) 登录内网办公平台, 但是希望访问需要高安全级别认证方式的其他业务系统时, 该业务系统会将用户重定向到内网办公平台的登录入口, 采用对应高安全级别认证方式重新认证在用户管理上, 研究所管理人员分别通过 ARP 系统和统一身份管理系统的用户管理界面管理研究所正式用户和研究所临时用户, 通过数据同步接口同步到统一身份管理系统中如果需要统一身份管理系统还可将用户信息同步到院电子邮件科技文献检索教育信息化等其他院公共服务中 (3) 中科院统一身份管理系统发展方向中科院统一身份管理系统于 2013 年初上线运行, 到 2014 年底, 已经覆盖了十余个分院一百多个研究所, 涉及数以万计的用户和 100 多个应用和服务, 整合了院机关院电子邮件科技文献教育信息化研究所门户等多个平台的统一认证应用 ( 图 8) 中国科学院统一身份管理系统不是一个静态的系统, 它需要随着身份管理技术的发展不断演进, 今后, 它主要沿着如下三个方向发展 : 作为一个身份服务提供商, 除了服务于院内应用外, 还可以通过身份联合的方式实现与外部应用的互联, 例如新浪微博, 教育网应用, 美国 InCommon 联盟的应用等目前研究组正在与北大网络中心, 美国 Internet2 组织等进行沟通和交流, 就身份联合方案进行研讨, 争取尽快实现实验验证, 为应用扩展奠定基础支持智能手机等非 PC 终端, 提供新的认证技术随着移动办公等应用的发展, 实现登录的平台将逐步从 PC 平台向手机平板等平台迁移, 而目前的 USB Key 等认证方式不太适应于非 PC 平台的环境, 需要开发新的用户体验更好而安全性有保障的认证机制, 同时还需要与移动设备管理等安全平台进行对接打造以人为中心的安全 : 目前系统的安全策略还是静态配置的, 随着应用的铺开, 安全防护可能不足以满足需求系统将加强对用户行为的监控, 以发现异常的用户登录行为, 并阻断恶意的用户登录, 保障系统的安全 4 结语网络身份管理可有效的对用户与互联网的互动行为进行安全控制, 同时也是定制和优化互联网应用服务的用户体验的基础身份管理的发展将打破易用性安全性机密性之间的平衡, 提升分类身份方案的互操作性, 同时保护用户隐私, 防止身份信息滥用中国科学院统一身份管理系统顺应了全球身份管理的发展需求, 建立了覆盖全院范围的身份管理系统, 并逐步实现与国内外主流身份服务提供商进行身份融合, 在塑造身份管理生态系统的服务导向中起到示范作用, 并为身份管理提供安全快速实现方面的技术参考参考文献图 8 中科院统一身份管理系统发展概况 Fig. 8 The general situation of identity management system of Chinese Academy of Sciences [1] International Telecommunication Union Recommendation Y.2720: NGN identity management framework [2009-01] http://www.itu.int/rec/t-rec-y. 2720-200901-I. 48

薛聪等 : 身份管理发展趋势和中国科学院身份管理系统 [2] Bertino E, Takahashi K. Identity Management: Concepts, Technologies, and Systems [M]. Artech House, 2011.12-38. [3] Ray W, Earl P, Gregg K. Predicts 2014: Identity and Access Management,Gartner, 2013-11. [4] Gartner Predicts 2015: Identity and Access Management [2014-11]. https://www.gartner.com/doc/2912417/predicts-- identity-access-management. [5] Meints M, Zwingelberg H. D3. 17: Identity management systems recent developments[j]. Brussels, Belgium: Future of Identity in the Information Society, 2009. [6] Cowles R, Jackson C, Welch V, et al. A Model for Identity Management in Future Scientific Collaboratories1[J]. 2014. [7] Tormo G D, Mármol F G, Pérez G M. Identity Management in Cloud Systems[M] Springer Berlin Heidelberg, 2014: 177-210. 收稿日期 :2014 年 12 月 25 日薛聪 : 中国科学院大学, 博士研究生, 主要研究方向为网络与系统安全 Email: xuecong@iie.ac.cn 向继 : 中国科学院信息工程研究所, 高级工程师, 博士, 主要研究方向为网络与系统安全 Email: jixiang@is.ac.cn 高能 : 中国科学院信息工程研究所, 副研究员, 博士, 主要研究方向为网络与系统安全 Email: gaoneng@is.ac.cn 49

科 研 信 息 化 技 术 与 应 用,2015, 6 (1) of identity and the framework of identity management, this paper analyses the development trend of Identity Management

科研信息化技术与应用,2015, 6 (1) of identity and the framework of identity management, this paper analyses the development trend of Identity Management