Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Internet continua a essere uno strumento estremamente prezioso, tuttavia deve anche affrontare sfide significative. Sono in aumento furti di identità e frodi in linea nonché timori riguardo alla protezione dei dati personali. Gli utenti devono tenere traccia di un numero sempre maggiore di account e password. Poiché faticano a ricordare tutte le password, utilizzano gli stessi nomi account e password per tutti i siti, andando incontro a maggiori rischi per la sicurezza.
CardSpace è l'implementazione Microsoft di un metasistema delle identità che consente agli utenti di scegliere tra più identità personali e di utilizzarle in contesti dove vengano accettate, indipendente dai sistemi delle identità da cui tali identità hanno origine e vengono utilizzate. In questo argomento vengono illustrati in dettaglio tale problema e la soluzione CardSpace, vengono inoltre descritte le modalità di utilizzo di CardSpace da parte di utenti di Windows Communication Foundation (WCF). Molti di questi problemi sono dovuti alla mancanza di una soluzione di identità adottata su vasta scala in Internet.
Opportunità e sfide
Internet continua a essere uno strumento estremamente prezioso per utenti e aziende. Un numero sempre maggiore di persone utilizza il Web per svolgere attività quotidiane: fare acquisti, eseguire operazioni bancarie, effettuare pagamenti e divertirsi. L'e-commerce è in fase di crescita, le aziende offrono più servizi e contenuti via Internet, comunicando e collaborando in linea e ideando nuove modalità di connessione.
Tuttavia, con la maggiore rilevanza delle attività svolte in linea, aumenta anche la complessità e la pericolosità di Internet. Sono in aumento furti di identità e frodi in linea nonché timori riguardo alla protezione dei dati personali. Vengono inoltre ideate pratiche sempre più sofisticate come il phishing. In risposta, sono stati concepiti numerosi sistemi progettati per proteggere l'identità. Tale diversità di sistemi comporta difficoltà nel ricordare le password e l'esecuzione di operazioni non sicure.
Questi problemi sono dovuti al fatto che Internet è stato progettato senza tenere in considerazione un sistema delle identità digitali. Per risolvere tale problematica, sono stati introdotti numerosi sistemi delle identità digitali, ciascuno con propri punti di forza e punti di debolezza. Ma nessun sistema soddisfa i requisiti di tutti gli scenari delle identità digitali. Attualmente vengono utilizzati molti sistemi delle identità diversi tra loro e altri sono in corso di sviluppo. Il risultato è un insieme incoerente di soluzioni improvvisate per ogni sito Web, che rendono fragile l'intero sistema e limitano la piena realizzazione della promessa dell'e-commerce.
Metasistema delle identità aperto
Poiché è improbabile venga adottato un unico sistema o tecnologia delle identità digitali, affinché una soluzione di identità venga universalmente adottata in Internet è necessario un approccio diverso, in grado di connettere sistemi delle identità esistenti e futuri in un metasistema delle identità, ovvero in un sistema di sistemi delle identità. Tale metasistema sfrutta i punti di forza dei sistemi delle identità che lo costituiscono, assicura l'interoperabilità tra di essi e consente di creare un'interfaccia utente semplice e coerente. I conseguenti miglioramenti del ciberspazio vanno a vantaggio di tutti, aumentando la sicurezza di Internet e rendendolo potenzialmente in grado di favorire l'e-commerce, prevenire attacchi di phishing e risolvere altre problematiche connesse alle identità digitali.
Gestire la diversità dei sistemi
Nella vita reale vengono utilizzati varie forme di identificazione, ad esempio patente o carta d'identità rilasciata da un ente governativo, carte di credito, tessere aeree per viaggiatori frequenti e altro ancora. È possibile controllare quale documento utilizzare e la quantità di informazioni che si desidera rivelare in una determinata situazione.
Analogamente, il metasistema delle identità facilita la protezione e il controllo durante l'accesso alle risorse in Internet. Consente di selezionare tra diverse identità digitali personali e di utilizzarle per servizi Internet che accettino tali identità. Il metasistema consente di utilizzare identità fornite da una tecnologia di sistema delle identità all'interno di sistemi basati su tecnologie diverse, purché esista un intermediario in grado di comprendere entrambe le tecnologie, nonché disposto ed eseguire le conversioni necessarie e attendibile.
È importante notare che il metasistema delle identità non è in competizione né sostituisce i sistemi delle identità connessi. L'obiettivo del metasistema delle identità è piuttosto quello di connettere diversi sistemi delle identità, consentendo di semplificare l'interoperabilità tra di essi, di offrire applicazioni con una rappresentazione delle identità indipendente da tecnologie, nonché di migliorare e rendere più coerente l'esperienza utente in tutte le applicazioni. L'attività del metasistema si basa sui singoli sistemi.
Identità in contesto
Nella vita reale, l'identità di una persona può essere attestata da documenti più importanti, ad esempio certificato di nascita, passaporto e patente di guida, oppure meno importanti, ad esempio biglietti da visita o tessere fedeltà. Le diverse forme di identificazione personale vengono utilizzate in diversi contesti dove sono accettate.
Le identità possono essere in contesto o fuori contesto. Le identità utilizzate fuori contesto non portano generalmente al risultato desiderato. Tentare ad esempio di utilizzare una tessera fedeltà per valicare la frontiera è ovviamente fuori contesto. Al contrario, utilizzare un bancomat presso uno sportello automatico, una carta di identità rilasciata da un ente governativo presso una frontiera, una tessera fedeltà presso un esercizio commerciale e un account di Passport Network (precedentemente noto come .NET Passport) in MSN Hotmail è chiaramente in contesto.
In alcuni casi, la distinzione è meno chiara. È possibile utilizzare una carta d'identità rilasciata da un ente governativo presso uno sportello bancario, ma questo comporterebbe mettere a conoscenza l'istituto bancario di alcune informazioni personali. È possibile utilizzare un numero di previdenza sociale come numero ID studente, ma ciò favorisce i furti di identità. È possibile utilizzare account Passport presso siti non Microsoft, ma solo alcuni siti scelgono di abilitare l'operazione e, anche in questi casi, pochi utenti lo fanno in quanto ritengono che la partecipazione di Microsoft in queste interazioni sia fuori contesto.
L'analisi dell'esperienza Passport e di altre iniziative riguardanti le identità digitali nel settore ha portato a collaborare con numerosi esperti per definire un insieme di principi fondamentali al fine di creare un sistema delle identità digitali stabile e adottato su vasta scala in Internet. Nella sezione seguente vengono descritti tali principi.
Principi o leggi dell'identità
Il metasistema delle identità aperto è progettato per seguire un insieme di principi, chiamati anche leggi dell'identità, sviluppati grazie al costante contributo di un vasto gruppo di persone attive nella comunità delle identità digitali.
I principi che un sistema delle identità deve seguire sono i seguenti.
- Controllo e consenso dell'utente
I sistemi delle identità rivelano informazioni in grado di identificare un utente solo previo consenso dell'interessato.
- Divulgazione minima per un tempo limitato
Il sistema delle identità che consente di divulgare la quantità minima di informazioni di identificazione rappresenta la soluzione più stabile e di più lungo termine.
- Parti legittime
I sistemi delle identità divulgano le informazioni di identificazione solo a parti che svolgono un ruolo necessario e legittimo in una data relazione di identità.
- Identità indirizzata
I sistemi delle identità supportano sia identificatori omnidirezionali utilizzabili da entità pubbliche sia identificatori unidirezionali utilizzabili da entità private, facilitando in tal modo l'individuazione e impedendo il rilascio non necessario di handle di correlazione.
- Pluralità di operatori e tecnologie
I sistemi delle identità indirizzano e abilitano i meccanismi interni di più tecnologie di identità amministrati da più provider di identità.
- Integrazione umana
I sistemi delle identità definiscono l'utente umano come componente del sistema distribuito, integrato mediante meccanismi di comunicazione uomo-macchina non ambigui che offrono protezione contro attacchi alle identità.
- Coerenza tra i vari contesti
I sistemi delle identità facilitano la negoziazione tra un componente e l'utente di un'identità specifica. Questo approccio presenta un'interfaccia tecnica e umana coerente consentendo l'autonomia dell'identità in contesti diversi.
Architettura di un metasistema delle identità aperto
Questa sezione descrive l'architettura generale di un metasistema delle identità aperto.
Ruoli
Diverse parti partecipano al metasistema in modi diversi. All'interno del metasistema vengono svolti i ruoli seguenti:
I provider di identità rilasciano identità. Ad esempio, i provider di carte di credito possono rilasciare identità che abilitano i pagamenti, le aziende possono rilasciare identità ai loro clienti, i governi possono rilasciare identità ai cittadini e gli individui possono utilizzare identità autocertificate per accedere a siti Web.
I componenti richiedono identità. Ad esempio, un sito Web o un servizio in linea che utilizza identità offerte da altre parti.
I soggetti sono individui e altre entità per i quali vengono eseguite attestazioni, ad esempio utenti finali, aziende e organizzazioni.
Ogni persona ed entità che partecipa a un metasistema delle identità può svolgere tutti i ruoli, ogni persona ed entità può inoltre svolgere più di uno ruolo alla volta. Spesso una persona o entità svolge contemporaneamente tutti e tre i ruoli.
Componenti
In questa sezione vengono descritti i componenti e i concetti principali del metasistema.
Il metasistema è costituito da cinque componenti principali:
Un modo per rappresentare identità utilizzando attestazioni.
Un mezzo che consente a provider di identità, componenti e soggetti di negoziare.
Un protocollo di incapsulamento per ottenere attestazioni e requisiti.
Un mezzo per fornire un collegamento tra limiti tecnologici e organizzativi utilizzando la trasformazione di attestazioni.
Un'esperienza utente coerente tra più contesti, tecnologie e operatori.
Identità basate su attestazioni
Le identità sono costituite da insiemi di attestazioni asserite riguardo al soggetto dell'identità. Le attestazioni su una patente di guida potrebbero ad esempio includere: stato che rilascia la patente, numero della patente di guida, nome, indirizzo, sesso, data di nascita, tipi di veicoli che possono essere guidati dal titolare della patente e così via. Lo stato che rilascia la patente di guida asserisce la validità di tali attestazioni.
Le attestazioni su una carta di credito potrebbero includere: nome dell'istituito emittente la carta di credito, nome del titolare, numero di conto corrente, data di scadenza, codice di sicurezza e firma del titolare della carta di credito. L'istituto emittente la carta di credito asserisce la validità di tali attestazioni.
Le attestazioni di un'identità autocertificata, ad esempio un biglietto da visita, potrebbero includere: nome, indirizzo e numero di telefono. Per quanto riguarda le identità autocertificate, è l'utente stesso ad asserire la validità di tali attestazioni.
Negoziazione
La negoziazione consente ai partecipanti al metasistema di stipulare accordi necessari per connettersi tra loro all'interno del metasistema. La negoziazione viene utilizzata per determinare tecnologie, attestazioni e requisiti accettabili da ambedue le parti. Ad esempio, se una parte comprendere attestazioni SAML e X.509 e un'altra parte comprende attestazioni Kerberos e X.509, le parti negoziano e decidono di utilizzare attestazioni X.509. Un altro tipo di negoziazione determina se le attestazioni richieste da un componente possono essere fornite da una particolare identità. Entrambi i tipi di negoziazioni sono semplici esercizi di corrispondenza; confrontano gli elementi che una delle due parti può offrire con quelli richiesti dall'altra per determinare se esiste una corrispondenza.
Protocollo di incapsulamento
Il protocollo di incapsulamento fornisce un sistema indipendente da tecnologie per lo scambio di attestazioni e requisiti tra soggetti, provider di identità e componenti. Il contenuto e il significato dei dati scambiati viene determinato dai partecipanti, non dal metasistema. Ad esempio, il protocollo di incapsulamento consente a un'applicazione di recuperare attestazioni con codifica SAML senza dover comprendere o implementare il protocollo SAML.
Trasformatori di attestazioni
I trasformatori di attestazioni forniscono un collegamento tra limiti organizzativi e tecnici, traducendo attestazioni comprese da un sistema in attestazioni comprese e considerate attendibili da un altro sistema, proteggendo quindi l'insieme di client e server dalle complessità derivanti dalla valutazione delle attestazioni. I trasformatori di attestazioni possono inoltre trasformare o perfezionare la semantica delle attestazioni. Ad esempio, un'attestazione che asserisce "Dipendente" potrebbe venire trasformata nella nuova attestazione "Conferma acquisto libro". L'attestazione "Nato il 22 marzo 1960" potrebbe venire trasformata nell'attestazione "Età superiore a 21 anni", che fornisce intenzionalmente una quantità minore di informazioni. I trasformatori di attestazioni possono essere inoltre utilizzati per modificare i formati delle attestazioni. Ad esempio, le attestazioni elaborate in formati come X.509, Kerberos, SAML 1.0 SAML 2.0, SXIP e altri potrebbero essere trasformate in attestazioni espresse utilizzando diverse tecnologie. I trasformatori di attestazioni forniscono l'interoperabilità attualmente richiesta, oltre alla flessibilità necessaria per incorporare nuove tecnologie.
Esperienza utente coerente
Molti attacchi alle identità hanno esito positivo perché l'utente è stato tratto in inganno da un elemento visualizzato sullo schermo, non a causa di tecnologie di comunicazione non protette. Ad esempio, gli attacchi di phishing non si verificano nel canale protetto tra server Web e browser, canale che può estendersi per migliaia di chilometri, bensì nella breve distanza tra il browser e l'utente che lo utilizza. Il metasistema delle identità, pertanto, tenta di concedere agli utenti la possibilità di formulare scelte di identità informate e ragionevoli abilitando lo sviluppo di un'interfaccia utente coerente, comprensibile e integrata per la formulazione di tali scelte.
Un fattore determinante per la protezione dell'intero sistema è presentare un'interfaccia utente di facile apprendimento e prevedibile, che venga visualizzata e funzioni nello stesso modo indipendentemente dalle tecnologie di identità sottostanti. Un altro fattore determinante è rendere ovvie le informazioni importanti, ad esempio visualizzando l'identità del sito che viene autenticato in una modalità che rende evidenti i tentativi di spoofing. L'utente deve essere informato sul tipo di informazioni personali richieste dai componenti e sul loro scopo. Ciò consente agli utenti di scegliere se rivelare o non rivelare tali informazioni. Infine, l'interfaccia utente consente di concedere di rivelare tali informazioni, se l'utente accetta le condizioni.
Specifiche WS-*
Come per altre funzionalità di WCF, la tecnologia CardSpace si basa su un insieme di specifiche aperte, ovvero sull'architettura dei servizi Web WS- *. Il protocollo di incapsulamento utilizzato per la trasformazione di attestazioni è il protocollo WS- Trust. Le negoziazioni vengono condotte utilizzando WS-MetadataExchange e WS-SecurityPolicy. Questi protocolli consentono di generare un metasistema delle identità indipendente da tecnologie e formano il backplane di tale metasistema. Come altri protocolli di servizi Web, consentono inoltre di incorporare e utilizzare nuovi tipi di identità e tecnologie sviluppate e adottate nel settore.
Per favorire l'interoperabilità necessaria a un'adozione su vasta scala, le specifiche del protocollo WS- * vengono pubblicate e rese disponibili gratuitamente, sono costantemente sottoposte all'approvazione da parte di enti di standardizzazione e consentono di sviluppare le implementazioni in forma di licenza gratuita priva di royalty.
Scenario end-to-end
Nella figura seguente vengono illustrati i processi end-to-end che si verificano quando si utilizza CardSpace per accedere a un sito che necessita di convalida degli utenti.
.gif)
Conclusione
Molti dei problemi attualmente presenti su Internet, dagli attacchi di phishing a esperienze utente incoerenti, sono dovuti alla natura eterogenea delle soluzioni di identità digitale ideate dagli sviluppatori in assenza di un sistema di identità digitale progettato in modo unificato. Un metasistema delle identità, come definito dalle leggi dell'identità, fornisce un'infrasruttura unificata di identità digitale, utilizza sistemi delle identità esistenti e futuri, assicura l'interoperabilità tra di essi e consente di creare un'interfaccia utente comune semplice e coerente. Partendo dalle leggi dell'identità, Microsoft è impegnata con altri operatori del settore nella creazione del metasistema delle identità utilizzando protocolli WS- * pubblicati, tali da consentire la piena interoperabilità delle implementazioni Microsoft con quelle prodotte da altri. Il sistema CardSpace rappresenta l'implementazione Microsoft di componenti del metasistema delle identità.
L'utilizzo di CardSpace consente di superare gran parte dei rischi, problemi, disagi e delle incertezze delle attuali esperienze in linea. Una distribuzione su vasta scala del metasistema delle identità può risolvere molti di questi problemi, andare a vantaggio di tutti e favorire l'aumento a lungo termine della connettività rendendo il Web più sicuro, più attendibile e più semplice da utilizzare. Microsoft è impegnata con altri operatori del settore nella definizione e nella distribuzione del metasistema delle identità.
.gif)
Invia commenti su questo argomento a Microsoft.
Copyright © 2007 Microsoft Corporation. Tutti i diritti riservati.