Bài viết này chúng tôi sẽ giới thiệu các tính năng mới có của một thành phần có tên mã CardSpace, CardSpace sẽ cung cấp một giải pháp dựa trên các chuẩn để làm việc với việc quản lý nhận dạng số.
Tìm hiểu về nhận dạng số
Bạn là ai? Đó là một câu hỏi đơn giản nhưng nó không dễ dàng trả lời chút nào. Cách bạn miêu tả sự nhận dạng của bạn sẽ thay đổi khi bạn đi vòng quanh thế giới. Khi trình diện hộ chiếu tại bàn nhập cảnh của một sân bay, bạn sẽ là công dân của nước đó. Khi trình diện bằng lái xe của mình cho cảnh sát, bạn sẽ là người có đủ tư cách lái xe. Khi dùng thẻ tín dụng để trả tiền cho một cuốn tiểu thuyết bán chạy nhất tại một cửa hàng sách, bạn sẽ là khách hàng với số tài khoản của mình. Các vấn đề khác nhau yêu cầu đến các nhận dạng khác nhau, mỗi một kiểu nhận dạng lại được diễn tả theo nhiều cách khác nhau và cung cấp thông tin khác nhau.
Tất cả các vấn đề này có nhiều cách hiểu đối với mọi người để thành lập sự nhận dạng. Trong thế giới liên kết mạng, sự nhận dạng hiện là một thứ được quan tâm rất nhiều. Điều đó là vì trong thế giới vật lý, tất cả chúng ta phải sử dụng nhiều nhận dạng số khác nhau được diễn tả theo nhiều cách khác nhau. Mặc dù vậy ngày nay vẫn chưa có cách phù hợp với việc giải quyết tất cả các nhận dạng số này. Thay vì đó chúng ta đang phải đấu tranh vật lộn trong môi trường phức tạp, lộn xộn và không an toàn.
Cho đến lúc này, các kiểu khác nhau của nhận dạng số sẽ vẫn cần thiết – không có nhận dạng đơn nào có thể đáp ứng nổi. Và sự thật là các nhận dạng đó sẽ luôn luôn được cung cấp bởi nhiều nguồn khác nhau – không có một nhà cung cấp nào có thể cáng đáng nổi nhiệm vụ phức tạp này. Điều đó có nghĩa là giải pháp không thể ủy nhiệm cho một hệ thống nào đó về việc nhận dạng số, tuy nhiên chúng ta sẽ tìm ra một phương pháp tốt hơn để sử dụng đa hệ thống nhận dạng số. Những gì yêu cầu ở đây là một hệ thống của các hệ thống - metasystem – tập trung vào sự nhận dạng.
Để thực hiện một hệ thống như vậy trong thực tế cần phải có sự cộng tác. Không một tổ chức đơn lẻ nào có thể đưa ra một giải pháp. Tuy nhiên, các chuẩn truyền thông của các nhà cung cấp trung lập tồn tại có thể được sử dụng để giải quyết vấn đề này. Dựa trên SOAP và XML, các chuẩn này gồm có WS-Security, WS-Trust, WS-MetadataExchange và WS-SecurityPolicy. Sử dụng các công nghệ dịch vụ web, chúng ta có thể định nghĩa một cách thích hợp để làm việc với các nhận dạng số được tạo bởi bất cứ nguồn nào đang sử dụng công nghệ nhận dạng.
Microsoft cũng đang bổ sung thêm các tính năng mới cho Windows để làm cho hệ thống nhận dạng xác thực hơn. Windows CardSpace, tên mã ban đầu là "InfoCard," được bổ sung vào ứng dụng của Windows, gộp bên trong nó các công nghệ của Microsoft như Internet Explorer thế hệ kế tiếp (IE7), … giúp người dùng có một cách chung làm việc với nhận dạng số. Là một phần của .NET Framework 3.0, CardSpace được đưa vào trong Windows Vista, Windows XP và Windows Server 2003 và được đưa ra vào đầu năm 2007.
Windows là một hệ điều hành được sử dụng rộng rãi, vì vậy Cardspace là một phần quan trọng trong việc tạo một hệ thống nhận dạng thực thụ. Giải pháp này không thể thành công nếu không có các tổ chức khác thực thi nó. Chính vì vậy mà Microsoft khuyến khích sự sáng tạo và nhiều người sử dụng phần mềm nhằm tham gia vào hệ thống nhận dạng này. Mục đích vươn tới của nó là cho phép tất cả người dùng, chạy trên bất cứ hệ điều hành nào, sử dụng nhận dạng số đều dễ dàng, hiệu quả và an toàn như sử dụng nhận dạng của họ trong thế giới vật lý.
Mô tả nhận dạng số
Giống như sự nhận dạng trong thế giới thực, nhận dạng số cũng có nhiều góc độ và kích cỡ. Ví dụ bạn có một tài khoản email với Yahoo, bạn sẽ được nhận dạng bằng một địa chỉ email. Bạn cũng có thể có các nhận dạng số với nhiều tổ chức thương mại khác, như Amazon hoặc eBay cùng với các nhận dạng cho nhiều vị trí khác nhau như MySpace.com. Mỗi một kiểu nhận dạng đó đều điển hình được nhận dạng bằng tên sử dụng mà bạn đã định nghĩa. Sự nhận dạng này có thể được duy trì bởi một số dịch vụ thư mục như Active Directory, và ngày nay, nó thực sự hữu dụng bên trong ranh giới mạng công ty của bạn.
Giống như trong thế giới thực, có nhiều lý do chính đáng để sử dụng các nhận dạng số khác nhau trong nhiều vấn đề khác nhau. Nhìn chung, ví dụ để kết hợp các thông tin khác nhau với mỗi một sự nhận dạng; một sự nhận dạng mà bạn sử dụng với Amazon có thể cho phép truy cập bằng số thẻ tín dụng của bạn, trong khi sử dụng với MySpace.com lại không được. Các nguyên tắc cho mỗi một sự nhận dạng ở đây cũng khác nhau. Sự nhận dạng ở Amazon rất đơn giản: chỉ cần tên người dùng và mật khẩu, nhưng nhận dạng số cho các nhân viên của bạn khó hơn đôi chút, tối thiểu nó cũng cần đến sự cho phép của quản trị viên, những người điều hành mạng công ty của bạn.
Mô tả nhận dạng số: Thẻ bảo mật
Mặc dù đa dạng nhưng tất cả những nhận dạng số đều có một điểm quan trọng chung đó là khi truyền trên mạng, mỗi một nhận dạng số được biểu diễn bằng một số thẻ bảo mật. Thẻ bảo mật chỉ là một tập hợp các byte biểu diễn thông tin về nhận dạng số. Như trong hình 1, thông tin này gồm có một hoặc nhiều claims, mỗi claim gồm có một số thông tin được để truyền đạt nhận dạng này. Thẻ bảo mật đơn giản có thể chỉ gồm có một “claim” đó là tên người dùng, những thẻ phức tạp hơn có thể gồm nhiều “claim” như tên, họ, địa chỉ nhà,…. Các thẻ bảo mật cho nhận dạng số có thể cũng gồm các “claim” chứa thông tin nhạy cảm như số thẻ tín dụng.
Hình 1: Thẻ bảo mật
Với hầu hết các thẻ bảo mật, một số thông tin được cung cấp để cho phép các “claim” này thực sự thuộc về người dùng, người đang thể hiện chúng. Một cách đơn giản (và hiện nay đang được ưa thích) để thực hiện điều này đó là gửi một mật khẩu cùng với các “claim”. Phương pháp mạnh hơn là gán số hóa tất cả hoặc một số “claim” bằng một khóa riêng, sau đó cung cấp khóa công cộng tương ứng, có lẽ được gộp trong một chứng chỉ. Mặc dù đã được thực hiện nhưng các thẻ bảo mật thể hiện nhận dạng số thường cung cấp chung chung một số loại bằng chứng cho phép người nhận thẻ có thể thẩm định rằng thẻ này thực sự biểu diễn cá nhân hoặc tổ chức với sự nhận dạng đó.
Trong khi ý tưởng cơ bản về thẻ bảo mật là như vậy – nó là một bộ sưu tập các “claim” – thì chúng ta có rất nhiều các định dạng khác nhau được sử dụng ngày nay để thể hiện các thẻ này. Ví dụ đơn giản nhất là tên người dùng được thể hiện như một chuỗi văn bản, các định dạng phức tạp hơn là các chứng chỉ X.509 và các thẻ Kerberos. Không có định dạng nào trong các định dạng đó được thiết kế để cho phép truyền đạt một tập “claim” linh động, mặc dù vậy, một số thứ khá hữu dụng cho các chứng chỉ số. Các thẻ đã tạo bằng cách sử dụng Security Assertion Markup Language (SAML), một chuẩn đã tạo bởi nhóm công nghiệp trong lĩnh vực CNTT OASIS cho phép điều này. Dựa trên XML, SAML có thể được sử dụng để định nghĩa các thẻ bảo mật gồm có các tập “claim” yêu cầu.
Theo truyền thống, các nhận dạng số được sử dụng chính cho việc thẩm định. Hầu hết các định dạng thẻ bảo mật ngày nay – tên người dùng, chứng chỉ X.509 và các thẻ Kerberos – tương ứng với vấn đề này, vì thông tin chúng mạng được tập trung phần lớn và việc thẩm định một nhận dạng. Nhưng tại sao sự nhận dạng số không hữu dụng như các nhận dạng thực? Mỗi thẻ trong ví của bạn tương ứng với mỗi nhận dạng và mỗi cái mang một thông tin cần thiết mà đơn vị cấp các thẻ đó xác nhận là đúng. Cho Ví dụ, bằng lái xe của bạn gồm có tên, tuổi, có lẽ cả ảnh của bạn và một số thông tin khác, tất cả chúng được xác nhận là đúng bởi một tổ chức có quyền. Một thẻ số diễn tả thông tin này cũng rất hữu dụng cho các vấn đề khác như việc minh chứng rằng bạn đã 21 tuổi hoặc hơn. Tương tự, mỗi thẻ tín dụng của bạn mang một số thẻ và thời hạn cùng với tên của bạn. Các thẻ đó rất hữu dụng trong thế giới vật lý, nó có thể tạo một nhận dạng số đối với mỗi thẻ để có thể được sử dụng tạo một thẻ bảo mật mang các “claim” thích hợp.
Mặc dù các thẻ bảo mật có lịch sử lâu đời tập trung vào việc truyền đạt các thông tin thẩm định, nhưng bạn cần nhận ra rằng khái niệm nhận dạng số là rộng hơn nữa. Chúng ta không sử dụng các thẻ tín dụng để thẩm định bản thân, nhưng thông tin mà nó mang như số thẻ tín dụng vẫn rất có giá trị. Trong thực tế, thuật ngữ thẻ bảo mật là một thuật ngữ sai, từ khi các thẻ có thể mang thông tin thì không có gì là bảo mật. Bằng cách sử dụng SAML hoặc các phương pháp khác, bạn hoàn toàn có thể định nghĩa các thẻ bảo mật gồm có nhiều thông tin mong muốn. Các nhận dạng số giờ đây có thể trở thành hữu dụng hơn nhiều trong thế giới kết nối mạng như những nhận dạng mà chúng ta sử dụng trong thế giới thực.
Sử dụng nhận dạng số: Windows CardSpace và hệ thống Metasystem
Cuộc sống sẽ trở nên đơn giản hơn nếu chúng ta chỉ có một thẻ nhận dạng số, được thể hiện bằng một định dạng thẻ bảo mật, và được sử dụng cho mọi thứ. Cũng với các lý do đó mà chúng tôi có các nhận dạng khác nhau trong thế giới vật lý, chúng ta sẽ luôn có các nhận dạng khác nhau trong thế giới số. Thách thức ở đây là việc tạo, sử dụng và quản lý các nhận dạng số một cách dễ hiểu và hiệu quả.
Đây thực sự là một vấn đề đối với hệ thống nhận dạng metasystem. Đúng hơn là phát minh ra một công nghệ khác cho việc tạo và biểu diễn các nhận dạng số, hệ thống nhận dạng metasystem cung cấp một cách phù hợp để có thể làm việc với nhiều loại nhận dạng số khác nhau mà không cần quan tâm đến loại thẻ bảo mật chúng sử dụng. Việc hiểu các giao thức chuẩn mà bất kỳ ai có thể thực thi trên các nền, hệ thống, nhận dạng metasystem cho phép nhận và sử dụng các loại thẻ bảo mật để truyền đạt nhận dạng.
Bằng cách cung cấp cách cho người dùng để chọn nhận dạng và hơn thế nữa, Windows CardSpace đóng một vai trò quan trọng trong hệ thống nhận dạng metasystem. Bài viết này sẽ mô tả về CardSpace và cách nó phù hợp với hệ thống nhận dạng metasystem như thế nào. Mục đích là để làm sáng tỏ công nghệ này và cách chúng làm việc ra sao. Mặc dù vậy mô tả này được dựa trên phiên bản beta của hệ thống và một số khía cạnh của nó có thể thay đổi khi Microsoft đưa ra bản phát hành cuối cùng.
Windows CardSpace cung cấp những gì
Windows CardSpace: Kiểm tra thẻ thông tin