Windows CardSpace: Tìm hiểu về nhận dạng số
Windows CardSpace cung cấp những gì
Kiểm tra thẻ thông tin
Từ quan điểm của người dùng, thẻ thông tin là một đại diện ảo của nhận dạng số mà họ thấy trên màn hình. Mặc dù vậy với CardSpace, một thẻ thông tin thực sự là một tài liệu XML được lưu trên máy tính Windows của người dùng. Với điều đó, bạn cần phải hiểu các thẻ có được như thế nào và chúng gồm những gì. Phần này chúng tôi sẽ xem xét đến điều đó và một số vấn đề khác có liên quan.
Các thẻ thông tin có được như thế nào
Mỗi thẻ thông tin được tạo bởi nhà cung cấp nhận dạng. Với nhà tự cung cấp nhận dạng, CardSpace cung cấp một công cụ đồ họa cho phép người dùng có thể tạo thẻ. Với các nhà cung cấp nhận dạng khác, điển hình sẽ chạy trên máy tính khác, mỗi người dùng phải có được các thẻ thích hợp theo một số cách, chẳng hạn như thông qua website của nhà cung cấp nhận dạng hoặc thông qua thông báo email được gửi bởi nhà cung cấp nhận dạng. Điều này thực hiện như thế nào được định nghĩa bởi nhà cung cấp nhận dạng – không có cách nào được ủy thác cho việc cấp các thẻ thông tin này.
Mặc dù đã được cấp nhưng mỗi thẻ (thậm chí thẻ được tạo bởi nhà tự cung cấp nhận dạng) đều được ký số bởi nhà cung cấp nhận dạng đã phát hành nó, đó là chứng chỉ của nhà cung cấp nhận dạng. Chữ ký này được sử dụng để thẩm định sự khác nhau của bản thân nhà cung cấp. Khi thẻ này hoạt động trên máy tính người dùng, bằng việc kích đúp nó sẽ hiện ra màn hình cho phép người dùng cài đặt thẻ nào trong kho lưu trữ của CardSpace chuẩn. Điều này cũng yêu cầu người dùng phải chứng thực nhà cung cấp là một nguồn của cấp thẻ bảo mật, như mô tả ở phần trước (mặc dù vậy sự phê chuẩn này không yêu cầu đối với các thẻ thông tin được tạo bởi nhà tự cung cấp nhận dạng). Khi người dùng đã thực hiện, thẻ này có thể được sử dụng để yêu cầu các thẻ bảo mật.
Thẻ thông tin gồm có những gì
Nội dung thẻ thông tin có thể giúp người dùng chọn một cách thông minh nhận dạng số. Chúng cũng cho phép CardSpace so sánh thẻ với các yêu cầu của nhóm phụ thuộc, và có được thẻ bảo mật thích hợp từ nhà cung cấp nhận dạng đã phát hành thẻ này. Để thực hiện hai mục tiêu này, các thẻ thông tin gồm có:
- Một file JPEG hoặc GIF cho ảnh của thẻ mà người dùng nhìn thấy trên màn hình của họ, cùng với tên của thẻ cũng được hiển thị.
- Nhiều loại thẻ bảo mật có thể được yêu cầu từ nhà cung cấp nhận dạng này, cùng với một danh sách “claim” trong mỗi thẻ này. Điều này cho phép CardSpace so sánh chính sách của nhóm phụ thuộc với các nhà cung cấp nhận dạng mà có thể tạo các thẻ bảo mật đáp ứng yêu cầu cần thiết của nhóm phụ thuộc.
- URL cho mỗi điểm kết tại nhà cung cấp, có thể được truy cập để yêu cầu một thẻ bảo mật.
- Nhận dạng URL và điểm cuối tại nhà cung cấp nhận dạng, từ đó chính sách của nó có thể được thu nhận. Như đã mô tả, thông tin URL này cũng cho CardSpace cách yêu cầu nhà cung cấp nhận dạng nên xác thực như thế nào.
- Ngày và thời gian thẻ thông tin được tạo.
- Mỗi CardSpace tham chiếu với một thẻ, thẻ này là một bộ nhận dạng duy nhất được chỉ định như một URL. Bộ nhận dạng này được tạo bởi nhà cung cấp nhận dạng đã phát hành thẻ này, và nó được gửi lại cho nhà cung cấp đó mỗi khi thẻ bảo mật được yêu cầu sử dụng.
Bạn cũng cần phải chú ý những gì không có trong thẻ thông tin, đó là dữ liệu nhậy cảm về nhận dạng. Ví dụ, một thẻ thông tin được tạo bởi công ty thẻ tín dụng sẽ không có số thẻ tín dụng của người dùng. Kiểu thông tin nhậy cảm này có thể xuất hiện như một “claim” trong thẻ bảo mật được tạo bởi nhà cung cấp nhận dạng, nó luôn luôn được lưu tại hệ thống của nhà cung cấp nhận dạng. Khi gửi vào thẻ bảo mật, thông tin này sẽ được mã hóa, làm cho nó không thể truy cập từ phía kẻ tấn công và CardSpace. Điểm chính của điều này là thông tin nhạy cảm không bao giờ có trong thẻ thông tin và vì vậy mà nó không bao giờ được lưu trên máy tính của người dùng. Nếu người dùng chọn thì người sở hữu thẻ thông tin có thể sử dụng CardSpace để xem trước thông tin sẽ xuất hiện trong thẻ bảo mật được tạo bằng sử dụng thẻ này. Thông tin này sẽ được lấy ra từ nhà cung cấp đã phát hành thẻ khi người dùng yêu cầu xem nó. Khi được hiển thị xong, thông tin nhạy cảm sau đó sẽ được xóa khỏi hệ thống của người dùng.
Roaming với các thẻ thông tin
Người dùng thường muốn thể hiện cùng một nhận dạng số trên nhiều máy tính khác nhau. Vì có thể một số người sử dụng cả máy tính tại công sở, máy tính khác ở nhà và máy thứ ba khi đi trên đường. Để roaming giữa các máy tính khác nhau này, CardSpace đã đưa ra một tính năng mới đó là tính năng export thẻ. Tùy chọn này cho phép bạn copy thẻ thông tin vào một thiết bị lưu trữ mở rộng như USB. Các thẻ sau đó được cài đặt trên nhiều máy tính, việc cho phép người dùng yêu cầu thẻ bảo mật từ các nhà cung cấp vẫn như cũ dù họ đang sử dụng máy tính ở nhà hay văn phòng hoặc trên loptop trong một khách sạn nào đó. Để bảo vệ chống lại những kẻ tấn công, các thẻ thông tin đã export được mã hóa bằng mã được lấy từ cụm từ mật khẩu mà người dùng đã chọn. Điều này bảo đảm được rằng nếu thiết bị lưu trữ có bị mất thì ai đó, người không biết mật khẩu, sẽ không thể giải mã được thông tin trong thẻ này.
Thu hồi các thẻ thông tin
Đây là một vấn đề mà CardSpace phải giải quyết. Khi một nhà cung cấp nhận dạng đã phát hành thẻ thông tin đến một người dùng, làm cách nào có thể thu hồi thẻ này? Theo cách đơn giản nhất, bản thân nhà cung cấp nhận dạng muốn dừng các thẻ bảo mật đang phát hành dựa trên thẻ này. Có lẽ việc sử dụng nhà cung cấp nhận dạng này yêu cầu một hợp đồng đã trả và người dùng đã không giữ các thanh toán của họ. Sự hủy bỏ trong trường hợp này là đơn giản: nhà cung cấp nhận dạng chỉ cần dừng các yêu cầu đang thực hiện cho thẻ bảo mật được thực hiện với thẻ này. Mỗi yêu cầu mang một tham chiếu CardSpace duy nhất và vì vậy nó hoàn toàn dễ dang cho nhà cung cấp nhận dạng nhận ra các yêu cầu được thực hiện với các thẻ mà nó đã thu hồi.
Một trường hợp phức tạp hơn đó là khi người dùng muốn thu hồi một thẻ thông tin. Có lẽ một kẻ tấn công nào đó đã đánh cắp máy tính sách tay của họ, máy tính này lại gồm có các thẻ thông tin đã cài đặt được phát hành bởi nhà cung cấp nhận dạng mở rộng. Như đã đề cập trong phần trên, mỗi thẻ thông tin có thể được gán một mã PIN, mã phải nhập vào mỗi lần khi thẻ được sử dụng. Nếu điều này được thực hiện thì kẻ tấn công sẽ không thể sử dụng được các thẻ bị đánh cắp trừ khi người này biết mã PIN. Ngoài ra, một số nhà cung cấp nhận dạng có thể yêu cầu người dùng nhập vào mật khẩu hoặc sử dụng thẻ thông minh mỗi lần một thẻ bảo mật được yêu cầu với thẻ thông tin cụ thể. Với các thẻ không có các bảo vệ đó, người dùng sẽ cần phải liên lạc với nhà cung cấp nhận dạng, cho họ biết rằng các thẻ đó cần phải cấm sử dụng. Với các thẻ yêu cầu, không có một cơ chế chuẩn nào cho việc thực hiện điều này. Mỗi nhà cung cấp phải cung cấp một thủ tục của chính họ cho người dùng để hủy bỏ một thẻ thông tin, và sau đó dừng các yêu cầu được thực hiện với thẻ đó.
Tuy nhiên thẻ thông tin được tạo bởi bản thân nhà cung cấp nhận dạng là thế nào? Trong trường hợp máy tính xách tay bị đánh cắp, nhà cung cấp các thẻ đó cũng bị lấy cắp và vì vậy không có cách nào để báo cho nó dừng các yêu cầu trái phép lại. Đây cũng giống như trường hợp mất mật khẩu, chỉ có giải pháp là báo cho các tổ chức chấp nhận mật khẩu này biết về nó đã bị mất. Nếu các thẻ thông tin bị mất cùng với nhà tự cung cấp nhận dạng đã tạo chúng thì chủ sở hữu của chúng cần phải hủy tài khoản của anh ta tại mỗi nhóm phụ thuộc có thể chấp nhận thẻ bảo mật được tạo bằng sử dụng các thẻ hiện đã bị mất đó.
(Còn nữa)