Технологии и продукты Microsoft в обеспечении ИБ Лекция 13. Системы управления идентичностью

Высшая школа экономики Цели Рассмотреть популярные стандарты управления идентичностью Изучить принципы построения систем управления идентичностью Рассмотреть особенности безопасной аутентификации через Microsoft.NET Passport Выявить недостатки Microsoft.NET Passport Изучить отличия подхода Windows CardSpace от Microsoft.NET Passport

Высшая школа экономики Популярные стандарты и технологии WS-Security Security Assertion Markup Language XML Access Control Markup Language (XACML) Extensible Rules Markup Language (XrML) XML Encryption и XML Digital Signature Service Provisioning Markup Language (SPML) XML Key Management Specification (XKMS)

Высшая школа экономики законов управления идентичностью 1. Контроль и согласие пользователя 2. Минимально необходимый уровень раскрытия данных 3. Доверенные стороны 4. «Каждому своё» 5. Плюрализм операторов и технологий 6. Участие человека 7. Единообразный интерфейс в различных контекстах

Высшая школа экономики NET Passport aka Windows Live Id Single Sign-On Система сайтов-участники Билет (cookie) для защищенной передачи учетных данных и профилей пользователей на сайты-участники Механизм замедления

Высшая школа экономики Профиль пользователя Адрес электронной почты Имя и фамилия Место жительства Предпочтения относительно языка Часовой пояс Пол Дата рождения Профессия «кошелек» - средства для безопасного управления телефонными номерами, данными кредитных карточек и счетами, избавляющие пользователей от необходимости заново вводить эти данные каждый раз при посещении сайтов-участников.

Высшая школа экономики NET Passport: недостатки Replay-attack! Решение: Защищенный вход Ни владельцы сайтов, ни пользователи в общем случае не были заинтересованы в Microsoft как посреднике в их взаимодействии

Высшая школа экономики Технология Cardspace 1. Компонент метасистемы управления идентичностью 2. Абстрактный уровень для технологий аутентификации 3. Предотвращение фишинговых атак 4. Удобный пользовательский интерфейс 5. Безопасность 6. Защита персональных данных 7. Фреймворк для разработки

Высшая школа экономики Метасистема управления идентичностью Интернет- сервисы Партнеры Клиенты Метасистема управления идентичностью Интуитивный интерфейс – повышение доступности для пользователей Интеграция с приложениями WS-* Web Services Architecture

Высшая школа экономики Framework for Interoperability TCP/IP of Identities TCP/IP of Identities Defined on open standards – WS* Defined on open standards – WS* Extended by CardSpaces definition of CLAIMS Extended by CardSpaces definition of CLAIMS 1e0b-464c-4961-a934-d47f91b66228/infocard- techref-beta2-published.pdf 1e0b-464c-4961-a934-d47f91b66228/infocard- techref-beta2-published.pdf 1e0b-464c-4961-a934-d47f91b66228/infocard- techref-beta2-published.pdf 1e0b-464c-4961-a934-d47f91b66228/infocard- techref-beta2-published.pdf CardSpace is security token agnostic CardSpace is security token agnostic SAML, Kerberos, X.509, custom SAML, Kerberos, X.509, custom Identity Providers can bridge different identity silos Identity Providers can bridge different identity silos Multiprotocol Federation Interoperability Demonstration Multiprotocol Federation Interoperability Demonstration Burton Group – Gerry Gebel - November 1th 2005Burton Group – Gerry Gebel - November 1th 2005

Высшая школа экономики Информационная карта: определения цифровое удостоверение, которое пользователь потенциально может предоставить участвующей стороне визуальное отображение цифрового удостоверения на экране компьютера. XML-документ, хранящийся на компьютере пользователя, работающем под управлением Windows

Высшая школа экономики Содержит заявления о пользователе, подтвержденные им самим Not corroborated Хранится локально Подписана и зашифрована, чтобы предотвратить атаки Создается банками, магазинами, правительством и т.д. Локально хранятся только метаданные Данные хранятся на стороне Identity –провайдера и извлекаются только при предъявлении карточки Карты CardSpace: примеры САМОВЫПУЩЕННАЯУПРАВЛЯЕМАЯ

Высшая школа экономики Варианты аутентификации Имя пользователя/пароль (что может потребовать от пользователя введения пароля при каждом использовании карты) Удостоверение Kerberos Сертификаты X.509 v3 (или на базе программного обеспечения, или со смарт- карт); Маркеры доступа SAML, созданные издателем самостоятельно формируемых удостоверений

Высшая школа экономики Преимущества Поддержка любой системы цифровых удостоверений Единообразный пользовательский контроль над цифровым удостоверением Замена основанной на паролях веб- регистрации Повышение доверия пользователей удостоверениям удаленных приложений

Высшая школа экономики Метафора кошелька Набор чьих-то утверждений обо мне Набор чьих-то утверждений обо мне Заявления сохранены в виде защищенных объектов Заявления сохранены в виде защищенных объектов

Высшая школа экономики NET и CardSpace Совместимость Интеграция

Высшая школа экономики Использованные источники Seven Perspectives on CardSpace // Microsoft, слайды. Bjones R. Seven Perspectives on CardSpace // Microsoft, слайды. Kim Camerons Identity Weblog. Авдошин С.М., Савельева А.А. Криптотехнологии Microsoft // М.: Новые технологии, 2008.

Спасибо за внимание!