Windows CardSpace: Kiểm tra thẻ thông tin
Trong trường hợp máy tính xách tay bị đánh cắp, nhà cung cấp các thẻ đó cũng bị
lấy cắp và vì vậy không có cách nào để báo cho nó dừng các yêu cầu trái phép lại.
Đây cũng giống như trường hợp mất mật khẩu, chỉ có giải pháp là báo cho các tổ
chức chấp nhận mật khẩu này biết về nó đã bị mất
8 trang |
Chia sẻ: hao_hao | Lượt xem: 1773 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Windows CardSpace: Kiểm tra thẻ thông tin, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Windows CardSpace: Kiểm tra thẻ
thông tin
Kiểm tra thẻ thông tin
Từ quan điểm của người dùng, thẻ thông tin là một đại diện ảo của nhận dạng số
mà họ thấy trên màn hình. Mặc dù vậy với CardSpace, một thẻ thông tin thực sự là
một tài liệu XML được lưu trên máy tính Windows của người dùng. Với điều đó,
bạn cần phải hiểu các thẻ có được như thế nào và chúng gồm những gì. Phần này
chúng tôi sẽ xem xét đến điều đó và một số vấn đề khác có liên quan.
Các thẻ thông tin có được như thế nào
Mỗi thẻ thông tin được tạo bởi nhà cung cấp nhận dạng. Với nhà tự cung cấp nhận
dạng, CardSpace cung cấp một công cụ đồ họa cho phép người dùng có thể tạo thẻ.
Với các nhà cung cấp nhận dạng khác, điển hình sẽ chạy trên máy tính khác, mỗi
người dùng phải có được các thẻ thích hợp theo một số cách, chẳng hạn như thông
qua website của nhà cung cấp nhận dạng hoặc thông qua thông báo email được gửi
bởi nhà cung cấp nhận dạng. Điều này thực hiện như thế nào được định nghĩa bởi
nhà cung cấp nhận dạng – không có cách nào được ủy thác cho việc cấp các thẻ
thông tin này.
Mặc dù đã được cấp nhưng mỗi thẻ (thậm chí thẻ được tạo bởi nhà tự cung cấp
nhận dạng) đều được ký số bởi nhà cung cấp nhận dạng đã phát hành nó, đó là
chứng chỉ của nhà cung cấp nhận dạng. Chữ ký này được sử dụng để thẩm định sự
khác nhau của bản thân nhà cung cấp. Khi thẻ này hoạt động trên máy tính người
dùng, bằng việc kích đúp nó sẽ hiện ra màn hình cho phép người dùng cài đặt thẻ
nào trong kho lưu trữ của CardSpace chuẩn. Điều này cũng yêu cầu người dùng
phải chứng thực nhà cung cấp là một nguồn của cấp thẻ bảo mật, như mô tả ở phần
trước (mặc dù vậy sự phê chuẩn này không yêu cầu đối với các thẻ thông tin được
tạo bởi nhà tự cung cấp nhận dạng). Khi người dùng đã thực hiện, thẻ này có thể
được sử dụng để yêu cầu các thẻ bảo mật.
Thẻ thông tin gồm có những gì
Nội dung thẻ thông tin có thể giúp người dùng
chọn một cách thông minh nhận dạng số. Chúng
cũng cho phép CardSpace so sánh thẻ với các
yêu cầu của nhóm phụ thuộc, và có được thẻ bảo
mật thích hợp từ nhà cung cấp nhận dạng đã
phát hành thẻ này. Để thực hiện hai mục tiêu này, các thẻ thông tin gồm có:
- Một file JPEG hoặc GIF cho ảnh của thẻ mà người dùng nhìn thấy trên màn hình
của họ, cùng với tên của thẻ cũng được hiển thị.
- Nhiều loại thẻ bảo mật có thể được yêu cầu từ nhà cung cấp nhận dạng này, cùng
với một danh sách “claim” trong mỗi thẻ này. Điều này cho phép CardSpace so
sánh chính sách của nhóm phụ thuộc với các nhà cung cấp nhận dạng mà có thể tạo
các thẻ bảo mật đáp ứng yêu cầu cần thiết của nhóm phụ thuộc.
- URL cho mỗi điểm kết tại nhà cung cấp, có thể được truy cập để yêu cầu một thẻ
bảo mật.
- Nhận dạng URL và điểm cuối tại nhà cung cấp nhận dạng, từ đó chính sách của
nó có thể được thu nhận. Như đã mô tả, thông tin URL này cũng cho CardSpace
cách yêu cầu nhà cung cấp nhận dạng nên xác thực như thế nào.
- Ngày và thời gian thẻ thông tin được tạo.
- Mỗi CardSpace tham chiếu với một thẻ, thẻ này là một bộ nhận dạng duy nhất
được chỉ định như một URL. Bộ nhận dạng này được tạo bởi nhà cung cấp nhận
dạng đã phát hành thẻ này, và nó được gửi lại cho nhà cung cấp đó mỗi khi thẻ bảo
mật được yêu cầu sử dụng.
Bạn cũng cần phải chú ý những gì không có trong thẻ thông tin, đó là dữ liệu nhậy
cảm về nhận dạng. Ví dụ, một thẻ thông tin được tạo bởi công ty thẻ tín dụng sẽ
không có số thẻ tín dụng của người dùng. Kiểu thông tin nhậy cảm này có thể xuất
hiện như một “claim” trong thẻ bảo mật được tạo bởi nhà cung cấp nhận dạng, nó
luôn luôn được lưu tại hệ thống của nhà cung cấp nhận dạng. Khi gửi vào thẻ bảo
mật, thông tin này sẽ được mã hóa, làm cho nó không thể truy cập từ phía kẻ tấn
công và CardSpace. Điểm chính của điều này là thông tin nhạy cảm không bao giờ
có trong thẻ thông tin và vì vậy mà nó không bao giờ được lưu trên máy tính của
người dùng. Nếu người dùng chọn thì người sở hữu thẻ thông tin có thể sử dụng
CardSpace để xem trước thông tin sẽ xuất hiện trong thẻ bảo mật được tạo bằng sử
dụng thẻ này. Thông tin này sẽ được lấy ra từ nhà cung cấp đã phát hành thẻ khi
người dùng yêu cầu xem nó. Khi được hiển thị xong, thông tin nhạy cảm sau đó sẽ
được xóa khỏi hệ thống của người dùng.
Roaming với các thẻ thông tin
Người dùng thường muốn thể hiện cùng một nhận dạng số trên nhiều máy tính
khác nhau. Vì có thể một số người sử dụng cả máy tính tại công sở, máy tính khác
ở nhà và máy thứ ba khi đi trên đường. Để roaming giữa các máy tính khác nhau
này, CardSpace đã đưa ra một tính năng mới đó là tính năng export thẻ. Tùy chọn
này cho phép bạn copy thẻ thông tin vào một thiết bị lưu trữ mở rộng như USB.
Các thẻ sau đó được cài đặt trên nhiều máy tính, việc cho phép người dùng yêu cầu
thẻ bảo mật từ các nhà cung cấp vẫn như cũ dù họ đang sử dụng máy tính ở nhà
hay văn phòng hoặc trên loptop trong một khách sạn nào đó. Để bảo vệ chống lại
những kẻ tấn công, các thẻ thông tin đã export được mã hóa bằng mã được lấy từ
cụm từ mật khẩu mà người dùng đã chọn. Điều này bảo đảm được rằng nếu thiết bị
lưu trữ có bị mất thì ai đó, người không biết mật khẩu, sẽ không thể giải mã được
thông tin trong thẻ này.
Thu hồi các thẻ thông tin
Đây là một vấn đề mà CardSpace phải giải quyết. Khi một nhà cung cấp nhận dạng
đã phát hành thẻ thông tin đến một người dùng, làm cách nào có thể thu hồi thẻ
này? Theo cách đơn giản nhất, bản thân nhà cung cấp nhận dạng muốn dừng các
thẻ bảo mật đang phát hành dựa trên thẻ này. Có lẽ việc sử dụng nhà cung cấp
nhận dạng này yêu cầu một hợp đồng đã trả và người dùng đã không giữ các thanh
toán của họ. Sự hủy bỏ trong trường hợp này là đơn giản: nhà cung cấp nhận dạng
chỉ cần dừng các yêu cầu đang thực hiện cho thẻ bảo mật được thực hiện với thẻ
này. Mỗi yêu cầu mang một tham chiếu CardSpace duy nhất và vì vậy nó hoàn
toàn dễ dang cho nhà cung cấp nhận dạng nhận ra các yêu cầu được thực hiện với
các thẻ mà nó đã thu hồi.
Một trường hợp phức tạp hơn đó là khi người dùng muốn thu hồi một thẻ thông tin.
Có lẽ một kẻ tấn công nào đó đã đánh cắp máy tính sách tay của họ, máy tính này
lại gồm có các thẻ thông tin đã cài đặt được phát hành bởi nhà cung cấp nhận dạng
mở rộng. Như đã đề cập trong phần trên, mỗi thẻ thông tin có thể được gán một mã
PIN, mã phải nhập vào mỗi lần khi thẻ được sử dụng. Nếu điều này được thực hiện
thì kẻ tấn công sẽ không thể sử dụng được các thẻ bị đánh cắp trừ khi người này
biết mã PIN. Ngoài ra, một số nhà cung cấp nhận dạng có thể yêu cầu người dùng
nhập vào mật khẩu hoặc sử dụng thẻ thông minh mỗi lần một thẻ bảo mật được yêu
cầu với thẻ thông tin cụ thể. Với các thẻ không có các bảo vệ đó, người dùng sẽ
cần phải liên lạc với nhà cung cấp nhận dạng, cho họ biết rằng các thẻ đó cần phải
cấm sử dụng. Với các thẻ yêu cầu, không có một cơ chế chuẩn nào cho việc thực
hiện điều này. Mỗi nhà cung cấp phải cung cấp một thủ tục của chính họ cho người
dùng để hủy bỏ một thẻ thông tin, và sau đó dừng các yêu cầu được thực hiện với
thẻ đó.
Tuy nhiên thẻ thông tin được tạo bởi bản thân nhà cung cấp nhận dạng là thế nào?
Trong trường hợp máy tính xách tay bị đánh cắp, nhà cung cấp các thẻ đó cũng bị
lấy cắp và vì vậy không có cách nào để báo cho nó dừng các yêu cầu trái phép lại.
Đây cũng giống như trường hợp mất mật khẩu, chỉ có giải pháp là báo cho các tổ
chức chấp nhận mật khẩu này biết về nó đã bị mất. Nếu các thẻ thông tin bị mất
cùng với nhà tự cung cấp nhận dạng đã tạo chúng thì chủ sở hữu của chúng cần
phải hủy tài khoản của anh ta tại mỗi nhóm phụ thuộc có thể chấp nhận thẻ bảo
mật được tạo bằng sử dụng các thẻ hiện đã bị mất đó.
Các file đính kèm theo tài liệu này:
- windows_cardspace_6056.pdf