Share via

  • 项目

安全观察 标识,第 1 部分中的想法

Jesper M. Johansson

内容

什么是一个标识?
标识问题
验证身份
利益相关者在标识
使用标识
实现有多少标识?
标识的原则
1。 身份提供程序是至少为敏感作为最敏感的依赖方。
2。 允许在企业可保护其客户的关系,并可拥有和控制它认为为商业机密的信息。

许多我们认为我们很好的句柄保留来自重新设置这些日期上一个概念: 标识。 unrelenting 速度,发现各种新标识项目,最最后将替换密码某种类型的分布式标识系统和/或内容的表单中。 所有这些系统有一个基本的目标,将我们需要使用一个标识记住的用户名和密码组合的大量。 相反,这些新的系统将提供一个标识获取我们的所有内容的访问的。

我看 127,128 密码我已存储在我 密码安全我认为的实际声音非常吸引人。 和每次我转到 Microsoft.com 的任何属性并将要求,再次,我的 Windows Live ID 和密码,我实现我们还有很长可以之前到达单一登录 (SSO) 的世界。

标识,但是,是一个 nebulous 的概念和 oft misunderstood 的一个。 此文章中, 我布局标识和原则的身份识别系统必须满足一些想法。 我没有足够的灰色头发还以假装这些是这些系统必须遵循的基本法律。 但是,我确实相信的使用者看来,法院中以及企业支持和部署的中无法遵守这些原则的任何身份识别系统也将失败。 一个标识系统为理论上种因为可能会必须最终提供值给一个业务和用户如果要成功。

什么是一个标识?

标识的只是将放,计算机系统中是实体的抽象表示形式。 基本原理将它定义为"sameness"以下两个操作。 两个 (或更多) 的内容是相同,如果它们相同的。 是的将限定为高度循环定义。 因此,而,假设标识指出实体可自定义和识别。 也许这是简单:

(P=Q)→(P=Q)

是标识的基本定义 symbolic 逻辑中。 P 等于问: 如果 P 是 Q 相同。 如果 Peter 显然是 Peter Peter 是 Peter,restated 会略有是不同。 现在,我们需要是证明他 (或她?) 实际上是 Peter 的 Peter 一个方法。

证明身份的方法是在数字系统非常有趣。 在数字的世界中我们有略有不同定义的标识与 symbolic 逻辑中。 他本白皮书"中 标识的法律管辖"Kim Cameron 定义数字标识"一个集的声明由有关其自身的一个数字主题或另一个数字的主题"。

这是逻辑比单纯的不同定义。 纯逻辑定义只是您的身份。 在数字的世界中标识要显示的声明中的根级。 换句话说,数字标识是不属于您,但而,您选择是。 在数字标识系统,为长时间为 Peter,或人声称 Peter,可以提供一个可接受证明该声明 (表示该可验证声明),我们必须接受 Peter 的标识。 声明 Cameron 讨论有关是实质上是一个 manifestation 标识。 这些 authenticators Peter,或提供所有需要 Peter。

其中在于第一个标识问题。 数字标识不 ontological (在理论意义上) 标识相同实际存在的一个实际实体的表示形式。 数字标识是临时的。 数字标识不完整。 数字标识是可选的。 和,最有趣的是,单个物理实体可以存在许多不同的声明,因此,有许多不同的数字标识。 它们不具有到 ontological 实体的 1:1 关系时,数字标识是很可能是最有用的。

标识问题

一个基于声明的数字标识概念使许多有趣的问题。 首先是一个标识具有价格。 您可以为仅几个的千位美元购买整个新标识。 该货币获得正常工作的社会安全号码以及通过有效地址,您可以更改。 驱动程序的许可证、 信用卡、 Passport 与其余部分可以是必须的。 如果您希望具有可验证的个人历史记录的标识的可能成本将您更多的相当一段。

包括我自己的一些人声明这意味着 ontological 标识是无意义,与数字标识系统。 个人,我发现真正的标识 (或在是至少标识的正确性) 是不相关和 uninteresting 时数字系统的上下文中处理它。 应用程序在大量大多数标识只是意味着您可以始终之间。 如果可以向我今天所做两周前的显示相同的所在,我将假设是同一个人 / 实体 / 计算机并为您提供任何访问我授予您最后一次。

假定,ontological true 的标识是临时,不仅与大多数应用程序无关,我不关心您绑定到实际的实体。 我在大多数情况下只需要相关,不是真正的物理标识。 任何依赖于绑定到实际的和不可变的实体的标识的应用程序 doomed 从该的开始并且依赖于这样的安全连接意味着您始终将错误,并且它们将始终为关键。 任何实际的人可以破坏这样的系统,只是通过覆盖或预缴税身份的声明或,当然,通过与另一个实体 (无意或有意) 共享它们。

而是,通过构建假定任何声明的标识是虚设,并 (2) 的只是尝试关联会话之间的标识 (1) 为基础的系统,我们可以构建更加具有复原性、 有用的重要系统。 和我们浪费尝试解决问题,在历史记录,没有人已经能够不的个人的隐私 outrageous 冲突解决的最少资源。

验证身份

另一个问题标识是由其自身的标识不内容您可以使用。 还,在历史记录,标识通常被已经为授予,没有身份验证。 在莎士比亚的 Henry IV,没有一段字符的显示位置"我是 Robert 简略,但是,此县,和一个 K 的 justices 的 the 和平的差 esquire"。 curiously,的人物说浅表说要向其时间的标识此声明时间为事实,与没有进一步的验证。 返回宣传资料 (如) 在 Norse Sagas 的早期表单中,并且您会发现类似声明由 Thor 和 Odin,都立即接受没有问题的标识。

显然,如果您有只有一个眼将,在一个八 legged steed riding 并且声明为 Odin,一个可能会认为您提供的身份验证的段。 但是,Internet 上, 我们不能使用我们 ride 的装载为验证身份。 为旧说的是,"在 Internet 上没有人知道您是一个狗"。 因此,几乎不过接受未经身份验证的身份的声明。 因此,我们需要以某种方式验证身份。

"ay,有鸭,rub"。 (hamlet)。 您如何证明您的身份? 别是忘概念验证您的身份为重要可能是多因此,作为实际的标识。 因此,我们如何证明身份? 我们用来使用该方法是某种形式的共享机密的身份验证,称为"密码"。 在 2 月 14 2006 Microsoft Chairman 比尔·盖茨声明密码将丢失其中 Dinosaurs 其余三到四年。

但我在 3 月 2009 撰写本文,它是相当明确 Bill 是错误。 我有多个密码现在与我在 2006 年 2 月发布。 我只是在工作,拥有网络密码、 我的 Unix 密码、 报告系统、 人力资源系统的密码、 密码在公司库存 Broker 和优点提供程序、 我的开发人员计算机和几个服务器,我的便携式计算机的我的电话 PIN 的管理密码根密码的开支密码和两个访问公司产品为不同的用户的密码无关。 仍,尽管有这么多密码,我可以 honestly 说我确实不希望密码已失效。 它们并不实际不正确的身份验证声明。

比尔·盖茨想什么? 他认为,三年前,现在 InfoCard 会替换了所有这些密码。 这是最终的 InfoCard 重命名 Windows CardSpace 是一种在 Windows Vista 和更高版本在 Windows XP SP 3 的身份验证技术。

点将转到已创建卡的任何人。 我将提供额外的贷方如果您找到一个网站接受 Windows CardSpace 凭据。 如果只是想尝试,您可以参与的测试 Windows Live 的 InfoCard.

利益相关者在标识

有的课程,其他方法进行身份验证的标识。 一些很多有用,在某些情况下。 要理解位置,您需要了解标识系统中利益相关者之间区别。

标识服务的提供程序是为其他各方提供服务的某些实体。 通常,提供程序包含标识数据库,并验证标识的这些最终用户的身份。 通常,提供程序不是用户。 因此,提供程序可以处理多更大的人员可以比结构化数据卷。 是例如提供程序可用于任意长度的共享的机密证明自己的身份。 因此,用于身份验证的标识提供者的身份凭据通常可以比什么,我可以记住更复杂的多个订单的量。 因此,很可能很多订单的量更安全。 我说"可能"因为是否真的很依赖极大地将机密信息的管理方式。 它实现将提供身份证明如果做不实际保留其机密的一个 4096 位机密不正确。

对自身进行身份验证,标识提供者可以很轻松地使用构造 (如数字证书。 数字证书是只是相当可观块 (几个千位字节) 的结构化信息。 计算机可以轻松地发送的作为每个交易记录的一部分。 您并我,但是,不会太 thrilled 如果我们需要输入的交易记录的验证。

最终用户将需要具有宣称其标识的实体。 通常,用户是人员,但的并不总是这样,用户也可以是计算机系统。 因此,用户可以提供的声明的质量极大地变化。

最后,还有依赖方。 依赖方是信任提供该用户某些服务之前验证用户标识提供者的该实体。 依赖方几乎始终是计算机系统。 范围内依赖方向用户和标识提供者证明自己身份,它可以这样使用同样的安全声明为标识提供程序使用。

值得注意一种情况中的用户通常是在另一个依赖方。 如果用户是一个软件,或具有的软件的帮助,此用户可以轻松地处理作为提供程序相同类型的结构化数据。 就是为什么分布式的标识协议,如 OAuth和各种安全规范部分的 WS-* 大量关注重要数量进行身份验证的结构化数据,它们主要重点相互身份验证的服务。 即使这些规范直接处理人员,它们往往会转通过名义进行的用户可以处理结构化的数据的服务。 通常,Broker 是只在用户计算机上的应用程序。

使用标识

用户 (人员) 使用计算机系统作为中间从依赖方访问服务时概念是非常重要的。 它将转到如何使标识可用用户,相对于系统的核心。 遗憾的是,不是到目前为止已找到小成功的 InfoCard 几个系统真正解决该主题。 较大的程度上流程物理人员使用的标识服务访问内容时类似 图 1

fig01.gif

图 1 使用的标识服务的过程流

请注意,"然后 A Miracle 发生"(TAMO) 框。 系统 sociotechnical 方面,使用户能够充分利用它们的方式其中一个系统是真正进行或被破坏。

已很多尝试解决 TAMO 问题。 因在 incongruity 我们想要使用强标识,在 Internet 上通常基于的证书,最附带有关,但用户永久拒绝键入在每次需要访问服务。 Microsoft Passport,当前调用 Windows Live ID 是早期的尝试。 Google 已进入与其 Google 帐户 fray 并且有其他,也。 即使 Windows CardSpace 可以是说已经在解决此问题的尝试。 所有旨在提供一定级别的 SSO。 所有成功,很大程度上,这样,拥有其各种 purveyors 的特定解决方案的域中。 所有几乎完全之外其 purveyor 域失败。

在其余此文章和第 2 部分中,我将解决此问题更详细。 请注意我做不 purport 解决问题,而只是指出为什么其他人已还解决该问题是一些原因。 最终,我将到达一我认为此问题的任何解决方案必须遵循的原则。 ,反过来,将导致,指出要求和它最结论,ontological 标识可能只是到管道梦想。

实现有多少标识?

不正在设计可以提供 SSO,标识系统,即使的是大部分技术的工作将与标识大的挑战。 并不即使在进行解决方案平稳功能和使用,位置,遗憾的,轻松将。 挑战是用户现在具有多个标识。 我上面的提到我有和超过 100。 每日我使用至少 20 个或其中的 25。 用户可能有太多标识,但我不会考虑的 foregone 结论。

在 purist 现在会说"SSO 可以修复该问题"。 但是,我不要认为这是一个问题。 至少不很大的问题。 我喜欢有多个标识。 具有多个标识意味着我可以停留确信,我使用的各种服务无法关联我的信息。 我没有授予我股票 Broker 标识我的电子邮件提供商也执行我需向我的信用卡公司我在我最喜欢的联机购物网站使用的标识。 并且只我知道我使用照片共享站点的标识。 具有多个标识使我能够使我的生活和 compartmentalized 的我隐私。

此外如果信用卡公司设法获取本身一点编写了,其他的标识将不会受到影响。 如果我有单一的身份识别的可能,或者可能不到大小写取决于如何实现的单个的标识。 正确实现的 SSO 系统将永远不会公开一个站点使用另一个相关的站点中的系统故障。 但是,强制的分离不简单,标识提供者受到威胁时, 依赖它的每个站点被自动泄漏。

这后一点是成为一个通用身份提供数字标识到目前为止,系统 Cameron 描述已失败的原因的一个原因,任何单个标识提供程序是一个极其敏感的实体。

标识的原则

有几个原则的标识,必须在至少某种方法来提供成功的数字标识系统中满足。 这些是的法律 Cameron 所述的标识纸张法律非常不同。 Cameron 的法律已设计原则) 使用更多或更少的情况下,) 的实质上是定义为可信的数字标识系统的技术要求。 在这种情况下,它们是一组需要但不足条件成功。 而许多系统可以将用于满足或超过 Cameron 的法律,我不要认为有将广泛成功不还考虑到我在此处定义的原则。 我的原则是处理不是通过直接的设计点系统的业务要求的高级原则。

1.身份提供程序至少为敏感作为最敏感的依赖方。

首先,如我之前提到的标识提供者将信任所有方。 这就是原因我们称其为"依赖方"。 这意味着标识提供者必须至少也受到由于最敏感的依赖方需要。 此单点是许多候选通用系统有无法创建大量到达 SSO 系统的原因,此信任只是没有。 即使此信任保证,很特别难证明原因一方应该信任另一个。

您是否信任您的电子邮件提供商与银行帐户信息和所有的支票帐户数据? 如果回答"否"则不应信任它提供用于登录到您的银行的标识。 使用者现在被 deluged 由不可靠的软件、 incomprehensible 的弹出窗口和供应反恶意软件商合法和不以合法) 声明您不可能是浏览 Internet 安全地除非您支付它们的。 因此,和相当明智地使用者将信任几乎没有人。 现在,很少的组织是信任为其他组织的候选标识提供者。 生成这种信任关系不从。 它是脆弱的主张。 earning 它回后由于失去了违反几乎不可能。

如果我们曾经看公司提供一个成功的通用数字标识系统,将从已盈余分析非常高级别的信任的一个公司。 有趣的是,许多在标识提供程序空间播放器不非常高最在该的调查或它们不会显示在所有 (请参见 Ponemon Institute 已经第五年的调查最受信任的公司的隐私).

2.允许企业可保护其客户的关系,并可拥有和控制它认为为商业机密的信息。

一个 MBA 的任何人知道有与业务成功的三种方法: 您有该最创新的产品或了该最低的价格在 Excel 客户 intimacy (或所有三个的组合)。 有趣的是,几乎每个业务兴趣后的方案: 客户 intimacy。 客户关系尤其是在一个联机的业务是 sacred! 在切换成本在世界中是 Nothing,其中每个人都保证 (有关"保证"的某些松散定义),最低的价格,而同一产品是可用任何地方,旁边客户关系变得关键。 即使在创新不会发生,如社会网络和电子邮件提供商中, 客户连接是仍然重要。

为什么没有大的网站接受从另一个公司 (或拥有它们为在 Expedia 的情况下未使用的其他公司) 的凭据的一个主要原因是它 dilutes 与其客户的关系。 假设,是例如如果 Yahoo 从 NetIdentitiesRUs 只接收一个声明的是,它确实是客户登录的 923071235309342-2。 Yahoo 将不再拥有其客户的数据库。 它不会知道实际上是客户。 Yahoo 可能不能管理客户和系统它所需要的方式。 它不再可以通过跨检查与在其子公司和收购数据库标识执行操作客户研究。 它未能不甚至销售信息给额外收入的第三方 (应它想要和选择了客户加入,当然)。 清楚地,Yahoo 将不能特别兴趣的放弃并且,因此,将需要为此,某些异常激励。

现在假设而 Yahoo 是标识提供程序。 Yahoo 可以获得完全的客户 923071235309342 2 是在 Web 上因为它知道准确的站点请求为该客户的声明上的信息。 Yahoo 未能编译该客户的浏览习惯,允许使用 astonishingly 高的点击率的需求量 well-targeted 广告上的宝贵数据。 一个广告投资组织和尤其是指实际上是广告本身业务中,这是竞争优势,您就不能放弃。

信任由其他公司提供的标识将等价于放弃大量的机会。 提供您自己给其他人将其上被跳。 换言之,还有冲突,结果正是内容发现 Web 今天上。 conglomerates 中, 我们看到一个通用的标识并而所有主要 conglomerates 还是标识提供者,几乎没有人依赖它们。

此分析指向基本的中心不在标识设置。 在标识提供者和根本没有值被依赖方没有大的值。 除非市场可以弄清如何 Equalize 两个,我们将继续看到作为具有实际上它们之间 1:1 关系之类的依赖方的多个标识提供者。

检查返回下一个月时我将介绍在这两篇系列剩余的原则。

Jesper M.O Johansson 是从事基于风险的安全视觉和安全策略已知财富 200 公司的首席安全架构师。 他还是 TechNet Magazine 的特约。 他的工作包括确保在某些世界上最大,大多数分布式系统的安全。 他持有一个博士 在管理的信息系统拥有 Security 中, 遇到多个到 20 年,并在企业安全作为 MVP。 他最新的著作是在 Windows Server 2008 Security Resource Kit