返回首页

Windows CardSpace的??的ACeS的甲板
Windows CardSpace的(WCS)的一个。NET Framework中的王牌组件 3.0发行包和微软即将转移到创造的心脏 一个单一的简单的网络数字身份解决方案。它是招摇 被视为一种普遍削减普遍犯规的野生卡解决方案 当代的网络空间。它提供了一个创新的西装,自称 胜过能力,将风险互联网的有机演变和 赋予了不同的数字标识管理的标准为基础的解决方案。夜总会 整个域的现有或即将完全不同的身份验证系统 连贯起来也卡。幸运的是,大量的金额"; suchquot; 信息是在网络上..但不幸的是,很多被 口头上说比理解。本文是一个不起眼的的尝试编译 一个简洁,话语渴望WCS的技术引进。身份洗牌??背景
今天,当我们步入另一个新的一年来临,地位和互联网在我们的日常工作​​,日常生活的针对性,持续增长的跨越英镑。 veritably互联网改变了我们沟通的方式,学习,工作和享受 - 它在本质上动摇了人类社会的每一个方面,一个能想到的。增长及其在商务和私人领域的意义在其用户的指数飙升近几年大大提供的服务。 Web 2.0的应许之地,部落格,混搭,真实世界的网络等活跃一个光明的未来的Web的希望。然而,虽然所有这是真实的,听起来不错,存在一定的不愉快不能以任何方式忽视的现实。
根据Gartner的报告,22%的网上买家在线"; stoppedquot;购买,而另外25%"; reducedquot;相同!哈佛大学的研究假设一些好的钓鱼网站可以很容易地欺骗其目标用户的90%到家具的敏感信息。而这还不是全部,有害的做法喜欢钓鱼和网址嫁接是假想增长最快的领域,之一IT行业的年复合增长率超过1000%!唉!互联网主要是不安全仍然为它的用户。它暴露了它的用户扩散的危险,并正在逐步失去其光泽由于越来越专业化和有组织犯罪的边缘。风险严重的危机是迫在眉睫的大在Web上,不经意间威胁其生物进化。身份盗窃和完善的在线危险如钓鱼,网址嫁接,phraud的做法,欺骗,间谍软件,恶意阻碍Web的推进。
的时间和金钱的支出吨,尽管水管无数语无伦次认证系统和解决身份quot;筒仓hellquot;,银行或航空公司等关键业务轴承在线首当其冲欺诈交易或欺诈。举例来说,翠鸟航空公司最近遭受一个价值百万美元的损失,由于网上订票欺诈行为。这样的例子不计其数,可透露和引用。另一方面,休闲的网上冲浪者发现至今网站恼人的和复杂的,尽管所有upgradations和进步。他们厌倦永久管理 过多的用户名放大器的密码对(称为quot一种现象;密码fatiguequot),所以他们往往妥协安全重用单一对多个地方。这麻烦只有轻浮冲浪?我们不是困扰最多的填补上几乎每一个其他网站类似的登记表格我们访问?我们没有经历过的高度重合,凭借其中,我们随即开始接受巨大的不请自来的垃圾邮件的收件箱中,后提交这些登记表格?虽然大多数企业都辛勤和发展了即兴的身份解决方案
为应对这些挑战,网络仍然没有!有既不是一致的 放大器;安全的方式来表示对网站的身份,也尚未有任何全面 评估框架,托管网站的真伪,网上资源,提供 服务等不幸的是,现今互联网甚至没有建 一个办法知道是谁真正处理!因此,巨大的差距是剩下的 要填写的是制造一个quot;身份layerquot;互联网。决战 这些事实,如静音和脆弱的互联网继续增长,而犯 交易仍然在它的几乎一样走在一个生活雷区安全吗? 有什么办法防止随之而来的大规模网络泡沫胸围?是不是很好 理解,迅速向前移动的成本也可以是巨大的?然后, 由于这样的危机,Web 2.0的梦想不断实现吗?也有过 一个有价值的解决方案,以目前的身份代表和认证 不一致?
当然,也有是!现在有一个新生的身份解决方案,你有 已经猜到了它的名字。野生动植物保护协会已经出现像一个光辉灿烂的光射线 在隧道的尽头,偶然不出现一个 临近火车!但在更深的钻研它nitty gritties,让我们 一些准的解决方案的先决条件方面的处理。众议院的新游戏规则"
一个持久的和普遍接受的身份的解决方案都必须锁摩托符合 - 以下基本规则: 用户控制:身份解决方案都必须以用户为中心 也就是说,它必须把控制正视它的用户,要求用户的同意,才 透露任何身份信息(识别用户)和记住用户   ; 作出的决定或喜好等。 最小的披露:由于身份信息 敏感,解决方案必须获得,保留和披露quot;至少确定 informationquo​​t;尽可能地规避任何风险。 合理的缔约方:该解决方案必须披露的识别 信息有限,各方只能有一个必要的和合理的 在一个特定身份关系的地方。这项规定同时适用于 用户??是谁披露和服务提供商??谁要求它。 导演的身份:通用的解决方案必须支持 全方位的身份(具有持久性的公共标识 由公共实体使用,例如零售网站的网址或公共密钥证书, 并可以发给大家)和单向身份(有 一个短暂的,无中生有,完全正交的私人标识符使用 由私人实体,对案件情况的基础上,如在一个僻静的一个- O一 会话)。因此,应促进相互发现,同时防止任何   ;潜在的滥用。 允许多元化:由于身份可以不同的表达 一个普遍认同的解决方案必须使用不同的技术,使互操作 不同标识提供者之间的各种身份的技术运行。 因此,它必须是开放的,非专有的放大器供应商不可知可用 所有。 人力整合:身份解决方案必须更好地结合起来 人类用户的身份系统,深刻地改变现有的 人机界面或用户体验。用户体验应该 可预见的,直观的和毫不含糊的,足以让明智的决策 &# 160; 针对身份的攻击的保护。 一致的体验:对于统一的解决方案 可用的,它必须保证它的用户一个简单的,一致的体验,完全 封装从底层使用的技术或供应商。
这些基本规则是俗称为quot; Identityquot的法律; 他们遵守概念化的身份解决方案的建筑师是必要的 由建筑师创造的蓝图遵守了万有引力定律 建设或水坝。MS护照??规则的违规?
MS护照(现在已知的Windows Live ID)几乎肯定会被微软最知名的身份努力直到日期。护照最初是一个标准的身份(或验证系统)供应商互联网。然而,它作为身份提供者以压倒多数成功联机Microsoft服务(MSN,Hotmail等),超过300万活跃Passport帐户,每天一个亿的认证,haplessly不及格互联网的身份提供商!这可能是背后一个主要的原因拍卖巨头eBay和作业现场的巨型怪物下降的支持。
,但护照未能帮助微软获得的深刻理解 业务和技术的挑战,互联网规模的标识提供者 和认证服务的脸。它使微软实现一个基本点, 任何一个组织,它是过度的,甚至大如微软,法 作为一个在互联网上的每一个资源的唯一标识提供者。它也荒谬 如MS外部党之间的交易中发挥任何作用,说, 一个充满爱心的安全精明的公司和其主要的员工或客户。微软 结果显示,成功地运用所有一个卓越的韧性 来之不易的教训放大器;查明身份的法律专业知识获得, 概念化标识元系统的眼光和发展的WCS。切割甲板 - 身份,WCS和标识元系统的身份
,以了解WCS的解决方案的前提条件是越来越熟悉WCS的术语,让我们开始讨论相关的术语。一个quot;数字identityquot;是一个关于自己的数字主题提出的索赔或其他数字化的主题。一个quot;数字subjectquot;是一个中央实体(人或事物在数字上)正在考虑,例如人,电脑,文件,服务,组织等一个quot; claimquot;仅仅是一个断言真理的东西,通常是在有争议或疑问,例如"我Andreaquot;"我的帐户#ABC - 12345quot;所有这类索赔评价由有兴趣的人士。
一个人的身份可以是各种各样的,因为她可以拥有多个根据身份的背景下,例如银行卡在自动取款机,在边境管制站的护照检查的Windows Live Hotmail的身份证件(护照)。由于巨大的多样性之间身份和数字表示,他们往往倾向于走出去背景下,例如护照:在ATM机(或在eBay Live ID登录:((不过,所有的数字身份有一个明确的共性,即在传输时网络中,每个数字标识是代表某种安全令牌。一简单的安全令牌可能只包括一个声称包含用户名,而更复杂,可能包括用户的地址,信用卡,如敏感索赔身份证号码放大器;卡到期日期等一些最流行的安全令牌格式的用户名(如文本题写),X.509证书和Kerberos门票。但是,这些格式的传统设计只传达认证信息,因此它们不能被用来运输额外的设置所需的索赔。然而,令牌创建使用安全性断言标记语言(SAML)的,由行业组织OASIS创建一个基于XML的标准,允许。这些跨为一组进程或机器边界的安全令牌旅游个字节,其实用词不当,因为他们也可以包含任意设置索赔完全与安全无关的的信息。标识元系统
一个数字识别系统或技术的普遍采用的是遥远的梦想。因此,一个成功和广泛采用的标识解决方案互联网需要不同的方法吗??的办法是连接现有(和将来)的身份进入一个标识元系统系统。该元系统(或系统)的系统提供互操作性作为一个框架组成的识别系统,利用自己的长处,并启用之间创建一个一致的用户界面,为他们。因此,标识元系统将不参加或更换识别系统,它连接。这将是实施一个基于Web服务的框架,可以使用WS - *协议与会各方之间的沟通(债权),从而将完全保持开放和非专有。它将发挥的作用类似于Internet协议(知识产权),而不是在网络即领域的竞争,或更换它连接的各种系统,它将依靠个别系统做其工作。由此产生的改进,作为这样一个元系统在网络空间的结果,所有人受益,使互联网的潜力,更安全的地方推动电子商务,打击网络钓鱼和解决其他数字身份挑战。
因此,它应当从根本上从原来的版本不同护照在几个方面。元系统将遵守所有法律身份,存储任何个人信息,并委托如何放大器的决定;存储的信息,其身份提供商。标识元系统不是一个互联网的网上身份认证提供者,事实上,它将提供一个所有的身份提供共存和民主竞争在平等的地位。最后,与原始版本的护照,这将是开放的,非专有的,和参与收费!
供参考:护照(Windows Live ID登录)已经发展到作为一个伟大的交易"统一loginquot;服务和现在不再存储的个人信息以外的其他用户名/密码凭据。护照现在打得相对多舒适的作用,针对微软的认证系统的作用网站和它的MSN合作伙伴,让他们与护照进行互操作,通过标识元系统。重要的是要注意标识元系统愿景是不是纯粹的微软主动,而是许多的共同愿景整个行业和共同努力,解决当前的身份挑战互联网。在Windows CardSpace
的Windows的CardSpace(WCS)是微软的抱负努力的核心 实施标识元系统 - 一个统一,安全和可互操作的身份 互联网层。 WCS,原代号为"InfoCardquot,是一项新功能 的Windows(Vista中,XP放大器; 2003平台),使用户能够提供 在一个简单,安全和可信的方式,在线服务的数字身份。 参与标识元系统内作为身份选择器(IDS)。 虽然,WCS是微软为Windows身份选择软件的实施, 60; 其他操作系统的一些类似的身份选择实现 可能在萌芽状态。 WCS铺平了一个适用于任何Windows应用程序的方式(例如 如Internet Explorer 7.0)为用户提供一个一致的手段,与他们的工作 通过一个简单和熟悉的比喻,一卡的数字标识。
设置"cardsquot;?呀!由于卡的方式,我们经常代表 或证明我们的身份,在现实世界,例如商店:信用卡, 一个ATM借记卡/银行卡,在工作中:我的卡,在业务:名片,所以在 等等。因此,套牌,是为用户采用自然的隐喻 当选择一个数字身份提供。所以,每当一个用户或受 需要身份验证的网站或Web服务,WCS弹出窗口有担保 UI的quot; cardsquot;或组合(如果用户打开她的钱包) 用户选择。用户的需求,只能选择一个合适的的卡,没有 提供的用户名和密码,或填补冗长的在线表格!这些 "信息cardsquot;代表一以贯之的用户的数字身份和 安全的方式。每个供应商或管理cardquot; quot;有一些身份数据/索赔 "associatedquot(虽然实际上没有存储卡),并已发出 用户通过一个标识的供应商,用户的银行,雇主或政府。 当然,用户可以自己也作为标识提供者,无奇不有因为 这基本上是我们做什么我们每次在网站填写的登记表格。 的WCS使用户能够创建这样的quot;个人或自发行cardsquot;也 有限的身份数据集关联。重要的是要在这里指出, 信息卡只包含元数据,可以提供有关索赔 何处及如何得到它们。它们不包含任何实际的身份数据 也不是他们的旅行通过线路在用户的计算机,除非明确 出口或网域内的漫游。WCS王牌 - 一个强项
野生动植物保护协会,格罗瑟标识元系统的一个微妙而显着的部分,采用 以下独特的卖点(USPS): - I)与不同的识别系统的无缝集成
不同的数字今天使用来自不同来源的身份,表示在各种格式,并使用不同的底层技术。因此,它是相当困难的坤锦等不同的身份系统在一起。然而,寻找其共性,以下三种不同的角色可以毫不犹豫地分类:
主体(用户):??的个人或中央实体约 如人索赔的银行帐户持有人。
?身份提供者(国内流离失所者):发行人的数字身份 如信用卡提供商。
?依赖方(RPS):依靠数字身份的实体 ,说,作为一个网站或在线服务的验证等。
*在某些情况下,在元系统的参与者(或当事人)可同时 发挥多个作用。

图1:WCS的元系统的角色之间的互动协议
这些元系统的角色之间的互动的底层协议是当一个用户希望访问一个安全的网上资源居住证或开始 交易需要身份验证,她的WCS兼容的客户端 应用程序(IE 7.0)触发WCS请求安全令牌要求 RP的。 请求的安全令牌要求的信息包含在 RP的政策和细节,如所需的安全性令牌格式的RP 接受并精确地预计,声称必须包含这些标记。所要求的 RP响应这些细节。 一旦收到安全令牌的要求,RP的微创 预计,野生动植物保护协会介绍了匹配的国内流离失所者列表(能够满足 要求)给用户,并要求选择。 用户选择一个合适的IDP能够满足RP的要求 通过选择合适的信息卡。此卡代表了她 身份,但其数据是国有放大器; IDP管理。 WCS的请求从选定的国内流离失所者的安全令牌。 要求的国内流离失所者返回了所需的格式安培的安全令牌(; 预计索赔)基于RP的要求。 一旦此安全令牌已收到,野生动植物保护协会要求用户获得 她的令牌释放到RP的批准。 最后,安全令牌(IDP和提供会议RP 要求)传递给RP。 RP使用此令牌验证 用户授予访问其资源(或任何其他任意 目的)。
重要的是要注意,定义标识元系统和野生动植物保护协会实施这些交流都使用开放标准的互操作WS - *协议(如WS - Security的放大器的WS - Trust)。统一的元系统也完全不可知的安全令牌的格式,并提供支持多因素认证证书和Kerberos一样。这允许WCS和标识元系统的无缝集成与任何数字标识技术(或将会)到位。二)简化但强大的控制,通过数字身份
使用采集和传输安全标准的开放协议令牌是有用的,它是无用的,如果有没有简单的方法,为用户了解关于这些标记所代表的数字身份作出明智的决定。完整的元系统崩溃,因为它的复杂性!因此,一个WCS和标识元系统的主要目标是授权用户(天真或复杂的),以更好的决定,关于使用他们的数字身份。要实现这一目标,WCS实现了与直观的用户界面数字标识。下图说明了最重要的部分这个接口,在屏幕上选择一个标识。

图2:WCS标识选择屏幕
每个信息卡(或InfoCard的),图中显示,代表了数字身份,用户可能目前到RP。伴随着独特的可视化表示,每张卡还可以包含的某些信息关于数字身份。此信息包括联系的IDP获得这个标识的安全令牌,什么样的记号这个IDP的问题,正是声称可以包含这些记号。通过选择特别是卡,用户实际上是选择一个特定的安全要求具体的设置与创建一个具体IDP的索赔的令牌。技术从用户的复杂性被隐藏,使她采取明确的决定。
如前所述,这一进程始于一个客户端请求的应用程序RP的策略。一旦这个信息是返回,并通过WCS的用户接口显示卡选择屏幕上显示的每个信息卡她拥有上系统。只有一些卡是适用于特定情况下,因此,任何信息卡,其相关的安全性令牌和索赔不这个RP是灰色的,不能提交的要求相匹配。一旦用户选择了一个特别的卡,野生动植物保护协会与国内流离失所者问题的请求该卡。国内流离失所者返回的安全令牌传递到RP认证。
因此,野生动植物保护协会提供了一个一致的和可预见的的方式来选择和使用他们的数字标识。没有这一点,但专家用户,其结果必然一定会混乱或错误,会被击败的目的。野生动植物保护协会还盾牌用户在安全,如基本安全技术方面的差异令牌格式X.509证书,SAML,野生动植物保护协会等提供了卓越的安全性每个信息卡与个人识别码(PIN)保护,要求用户输入PIN前的信息卡,是用来。要防止任何可行的入侵或攻击其他本地运行的系统进程,WCS创建了一个私人主办的身份选择Windows桌面屏幕。三)免于用户名和密码
今天在互联网上最常见的安全令牌是用户名和各自的身份验证机制提供相关联的密码。由于大多数网站通常使用SSL通信的浏览器,该方法已经宣布在合理的安全。 SSL只是确保整个通信是加密的,因此攻击者无法窃取信息窃听电线。基于用户名/密码认证方案简单的(因为没有第三方IDP是必需的),但过于薄弱,易受网络钓鱼攻击。可以通过发送迷惑的电子邮件,网络钓鱼攻击诱使用户模仿真正的网站记录,揭示其密码和其他个人信息。如果密码不是主要用于在网络上,网络钓鱼可以较小的威胁。要做到这一点,为了提高Web登录安全性,一般,WCS允许更换基于密码的Web登录具有更强的机制,从而从用户名自由和密码。
而不是密码的身份验证,RP(如网站)而依靠更强的安全性令牌(即能均匀地接受,也就是说,一个组或网站环)。这种做法将减少使用密码,它肯定是一个可与WCS使用的选项。虽然,通常是一个RP的可能要接受由第三方信任的IDP创建的安全令牌,在许许多多的情况下,这可能是不可行的。所以,是一个复杂的数字标识(由发行 尊敬的第三党IDP)真正需要的只是承认多个访问相同的用户?没有本质的!因此,要解决这种情况下,WCS包含一个自发行IDP本地Windows系统上运行,它可以产生令牌就像任何其他的IDP。
自发行IDP只包含基本信息,如用户的姓名,地址,电子邮件ID,电话号码等,当用户选择提交这些卡到RP,该用户的系统上自行颁发的IDP生成一个SAML令牌包含的用户在此卡上的信息。 "自行颁发的IDP也生成一个公钥/私钥对,签订安全令牌的私钥。为了防止攻击者重用它,这令牌包含时间戳和其他信息,使得任何人都没用除了其原有的用户。然后,应用程序发送此签署的道理,与其相关的公共密钥,到RP。 RP可以使用公钥验证安全令牌的数字签名,从而保证了该标记正在提交其合法拥有者。为了使不可能的RP获得在一起,跟踪用户的活动,通过比较,用户的公钥,自发行IDP创建一个不同的密钥对每RP的访问此卡。值得庆幸的是,所有这些细节都被隐藏的用户从只是选择一个作为她的身份信息卡。四)改进的保证用户的远程应用程序的身份
虽然,基于密码的Web登录自由将有助于减少疼痛钓鱼,也不会消除的问题!如果用户受骗访问钓鱼者的网站,该网站可能会接受任何用户提供的安全令牌,自发行或其他,然后要求信息,如信用卡数。钓鱼者不会收购它的网站用户的密码模仿,但他或她肯定会学习其他敏感信息。因此,在硬币的另一面,问题是用户无法区别于真正的网站(用户的银行),由冒名顶替网站钓鱼者。该网站可以像他原来有相同的标志,CSS,内容,甚至可以使用SSL生成用户的舒适度。顺便说一句,网络钓鱼者也能获得就像别人证书。如果用户点击一个链接提供一个钓鱼者的电子邮件,他可能会发现自己连接到一些看起来就像他的银行的网站。在互联网右下角的小锁资源管理器,甚至可能存在,说明通信是安全的使用SSL。 WCS和标识元系统解决这个问题,在时尚在本节随后的诗句描述:
通过一个网站,以证明其信誉有保证的方式提供)用户:提高网站向用户证明身份的方式,可能需要一个网站通常是因为这些天改善当前的SSL证书使用SSL证书证明其身份。 SSL证书只能证明一个给定的网站有一个特定的DNS名称,但没有任何保证此DNS名称对应于该网站上显示的信息!一个钓鱼者可能会发出的,他拥有一个DNS名称,并已精心制作的证书看起来就像你的银行。因此,SSL证书是不够的解决这个问题。为了解决这个问题,创造高保证证书正在沉思。这些证书将包含更多的的信息比传统的SSL如名称,位置,和组织,它是标志证书发出。证书也将被更权威人士因为它更难以取得,因为这将需要更强的信息协议与权威的问题。国内流离失所者和RPS都可以使用这个新WCS的应用程序的用户类型的证书,以证明自己的身份。
B提供了一个优越的手段,为用户来评估一个网站的身份)确定:但是,一个人仍然需要做出决定哪些网站她的信任。 WCS使这个决定明确,要求每一位用户批准使用的每一个国内流离失所者和RP,他或她希望访问。当信息卡是第一个用户的系统上安装一个屏幕要求用户以确认他或她是愿意接受国内流离失所者创建的安全令牌发行此卡。同样,一个RP的,如一个网站的首次访问,会出现一个屏幕,要求用户指明他或她愿意将它传送数字身份信息。下图描绘了一个样本屏幕显示在用户第一次访问一个假设RP看起来。

图3:屏幕上显示的RP资源的第一次访问
这个例子表明,在屏幕上可以包括名称,位置,网站URL和徽标的组织,其身份是被批准,也可以包括已证实了这一组织的名称和标志信息。因此,用户现在可以做出明智的决定以来的表现在屏幕上取决于国内流离失所者提供的证书水平或RP。如果提供更高保证的证书,屏幕显示该组织的名称,位置,网站的网址和标志已核实等这个组织更值得信任。如果只有一个SSL证书提供,屏幕会表明,较低水平的信任是必要的。而且,如果提供一个更弱的证书,或者没有在所有的证书,是,屏幕会指出,有没有任何证据显示此网站实际上是声称自己是谁。
提供这样一个一致的和可预见的的经验,进入新网站将帮助做出更好决策的普通用户。每个应用程序建立野生动植物保护协会,包括IE 7.0,将任务明确批准,从用户,使用他或她与WCS访问每个IDP和RP。用户永远看到相同的屏幕上,将提供有关保证的水平的指导用户可以拥有,该网站是谁声称。另外,用户需要作出决定信任网站的首次访问该网站。 后来的访问将不能决定屏幕显示。如果此屏幕上出现了以前访问的网站,它是一个强大的的迹象表明,他或她不知何故受骗访问一个钓鱼网站。摊牌??揭示的的InfoCard
我们现在发现从野生动植物保护协会的角度来看信息卡(的InfoCard)位。 同时,用户,信息卡是简单的可视化表示的 是她的屏幕上显示的数字身份,为野生动植物保护协会,一个信息 卡实际上是一种结构化的XML文档存储在用户的机器。野生动植物保护协会 提供了一个图形工具,可以让用户创建自发行的信用卡。对于其他 国内流离失所者,用户需要以某种方式获得,如通过合适的卡, IDP的网站或通过IDP发送电子邮件。有没有这样的授权方式 获取信息卡,并可能是由个别IDP定义。然而, 一旦收购,每张卡(甚至自发行)的数字签名 IDP各自的发行,并配备IDP的证书。此签名 是用来验证的国内流离失所者本身的身份。一旦卡在用户的 &# 160; &# 160; 这 &# 160; & #160; |阿尼尔KR。


贾扬D.库卡尼


最好的问候,
阿尼尔夏尔马


最好的问候,
阿尼尔夏尔马







活动预告:





活动预告:

再次感谢。

亲切的问候,
阿尼尔夏尔马

谢谢!
最好的问候,
阿尼尔夏尔马


回答