Xem mẫu
- Windows CardSpace cung cấp những gì?
- Windows CardSpace cung cấp những gì
Có 4 khía cạnh mới quan trọng mà công nghệ này đưa ra.
Hỗ trợ cho các hệ thống nhận dạng số
Điều khiển người dùng hợp lý
Thay thế đăng nhập web dựa trên mật khẩu
Cải thiện sự tin cậy của người dùng trong nhận dạng các ứng dụng từ
xa
Dưới đây chúng tôi sẽ mô tả về CardSpace như một phần của hệ thống nhận
dạng metasystem về 4 khía cạnh nêu trên.
Hỗ trợ các hệ thống nhận dạng số
Nhiều nhận dạng số mà chúng ta sử dụng thường đến từ nhiều nguồn khác
nhau, được biểu diễn theo nhiều cách khác nhau. Hay nói theo cách khác,
chúng ta dựa vào một số điển hình hệ thống nhận dạng số khác nhau, mỗi
một hệ thống trong đó có thể sử dụng các công nghệ khác nhau. Để nghĩ về
tính đa dạng này theo một cách chung, nó sẽ rất hữu dụng nếu định nghĩa rõ
3 vai trò riêng biệt:
• Người dùng: Cũng được biết đến như một đối tượng, người dùng là thực
thể được kết hợp với một nhận dạng số. Người dùng thường là mọi người
nói chung, nhưng các tổ chức, các ứng dụng và máy tính… cũng có thể có
sự nhận dạng số.
- • Nhà cung cấp: Nhà cung cấp nhận dạng giống như tên được ngụ ý của nó:
cung cấp sự nhận dạng số cho người dùng. Với nhận dạng số, ví dụ bạn sử
dụng với Amazon, một nhà cung cấp dịch vụ khá hiệu quả, bạn chỉ cần định
nghĩa tên và mật khẩu. Các hệ nhận dạng số được tạo bởi những nhà cung
cấp khác nhau có thể mang những thông tin khác nhau và cung cấp các mức
bảo mật khác nhau đối với người dùng.
• Các nhóm phụ thuộc: Đây là các ứng dụng phụ thuộc vào sự nhận dạng
số. Nhóm phụ thuộc này thường sử dụng một nhận dạng để thẩm định người
dùng, sau đó thực hiện một quyết định thẩm định, quyết định đó có thể là
cho phép người dùng này truy cập vào một số thông tin quan trọng. Các
nhóm phụ thuộc cũng có thể sử dụng nhận dạng để lấy số thẻ tín dụng, thẩm
định rằng người dùng đang truy cập tại các lần khác nhau hoặc cho nhiều
mục đích khác. Ví dụ điển hình về nhóm phụ thuộc là các website của cửa
hàng sách trực tuyến, các trang bán đấu giá và bất kỳ ứng dụng chấp nhận
yêu cầu thông qua dịch vụ website.
Với 3 vai trò này, bạn hoàn toàn không mấy khó khăn để hiểu Windows
CardSpace và hiểu về hệ thống nhận dạng metasystem có thể hỗ trợ các nhận
dạng số như thế nào. Hình 2 dưới đây thể hiện các hành động tương tác cơ
bản giữa các vai trò trên.
- Hình 2: Những tương tác giữa người dùng, nhà cung cấp và các nhóm phụ
thuộc
Như những gì hình 2 đã thể hiện, người dùng dựa vào một ứng dụng hỗ trợ
CardSpace, ví dụ như trình duyệt web, để truy cập vào các nhóm phụ thuộc
khác. Người dùng này cũng có thể chọn từ một nhóm các nhà cung cấp nhận
dạng nguồn của nhận dạng số mà anh ta thể hiện với các nhóm phụ thuộc đó.
Bất cứ sự lựa chọn nào mà anh ta thực hiện thì sự trao đổi cơ bản giữa các
nhóm đó diễn ra theo 3 bước:
Trước tiên, ứng dụng lấy các yêu cầu thẻ bảo mật của nhóm phụ thuộc mà
người dùng mong muốn truy cập.
Thông tin này có trong chính sách của nhóm phụ thuộc và nó gồm nhiều thứ
trong đó có các định dạng thẻ bảo mật mà nhóm phụ thuộc sẽ chấp nhận,
chính xác là những “claim” mà các thẻ đó phải có.
- 1. Khi đã có được các thông tin chi tiết về thẻ bảo mật cả nhóm phụ thuộc,
ứng dụng chuyển thông tin này đến CardSpace, hỏi nó để yêu cầu một thẻ từ
nhà cung cấp nhận dạng thích hợp.
2. Khi thẻ bảo mật được nhận, CardSpace sẽ gửi nó đến ứng dụng để tiếp tục
gửi nó đến nhóm phụ thuộc.
Nhóm phụ thuộc sau đó có thể sử dụng thẻ này để thẩm định người dùng
hoặc sử dụng cho một số mục đích khác. Quan sát này sẽ minh chứng cho
các khía cạnh quan trọng nhất của quá trình. Chúng gồm các chi tiết dưới
đây:
• Windows CardSpace và hệ thống nhận dạng metasystem hoàn toàn không
biết về định dạng của thẻ bảo mật được yêu cầu từ nhà cung cấp nhận dạng
và đã chuyển qua đến nhóm phụ thuộc. Trong thực tế, CardSpace không biết
một chút nào về những gì định dạng bên trong thẻ này. Vì điều này nên
CardSpace có thể làm việc với bất cứ hệ thống nhận dạng số nào, sử dụng
bất kỳ biểu thẻ bảo mật, trong đó gồm có tên người dùng, chứng chỉ X.509,
các thẻ Kerberos, SAML,…. Ngoài ra nó cũng có thể được nhúng vào các hệ
thống nhận dạng số có thể xuất hiện trong tương lai.
• Tất cả các trao đổi đã định nghĩa bởi hệ thống nhận dạng metasystem và
được thực hiện bởi CardSpace đều được thực hiện bằng các giao thức phổ
biến và mở.
Trong kịch bản tổng quát nhất, chính sách của nhóm phụ thuộc được mô tả
bằng WS-SecurityPolicy, chính sách đó được lấy bằng sử dụng WS-
- MetadataExchange, một thẻ bảo mật có được bằng sử dụng WS-Trust, và thẻ
đó được chuyển đến nhóm phụ thuộc bằng WS-Security.
Trong kịch bản đơn giản hơn (có thể chung hơn) của việc tương tác trình
duyệt Web với một website, chính sách của nhóm phụ thuộc có thể được
diễn tả bằng HTML, cả hai thông tin chính sách này và thẻ bảo mật có thể
được trao đổi bằng HTTPS. Trong khi các tương tác với nhà cung cấp nhận
dạng vẫn phụ thuộc vào WS-Trust, thì website sẽ không yêu cầu thực hiện
bất kỳ các chi tiết kỹ thuật WS-* để hành động như một nhóm phụ thuộc.
Trong kịch bản này, làm việc với CardSpace sẽ không yêu cầu đến các nhóm
phụ thuộc hoặc nhà cung cấp nhận dạng để thực hiện các giao thức quyền sở
hữu.
Như những gì trong hình 2, CardSpace hữu dụng nếu các nhà cung cấp nhận
dạng và nhóm phụ thuộc thi hành các giao thức được sử dụng bởi hệ thống
nhận dạng metasystem. Trong khi Microsoft đang cố gắng thực hiện hệ
thống nhận dạng metasystem và đã tạo được Windows CardSpace để cung
cấp các thành phần chính cho Windows, thì các cố gắng đó sẽ không thể
thành công nếu không có sự tham dự của các tổ chức khác.
Điều khiển người dùng hợp lý
Việc có các giao thức chuẩn cho việc thu và phát các thẻ bảo mật thực sự
hữu dụng. Do vẫn chưa có cách nào cho người dùng có thể hiểu và tạo các
quyết định quan trọng về nhận dạng số mà các thẻ này thể hiện nên hệ thống
sẽ che lấp sự phức tạp không cần thiết. Chính vì vậy, một trong những mục
- tiêu chính của CardSpace và hệ thống nhận dạng metasystem là cho phép
người dùng từ một dang sách bảo mật tạo được quyết định sáng suốt về sử
dụng các nhận dạng số của họ.
Để thực hiện điều này, CardSpace đã cho ra một giao diện người dùng mang
tính trực giác cao để làm việc với các nhận dạng số. Hình 3 thể hiện những
phần quan trọng nhất của giao diện này, cửa sổ đã sử dụng để chọn một nhận
dạng.
Hình 3: Màn hình chọn nhận dạng của CardSpace
Như những gì hình này minh chứng, mỗi nhận dạng số được hiển thị như
một thẻ thông tin, đôi khi được viết tắt là InfoCard. Mỗi một thẻ thể hiện
một nhận dạng số mà người dùng có thể thể hiện với nhóm phụ thuộc. Cùng
với sự miêu tả ảo được thể hiện trong màn hình, mỗi thẻ cũng đều có các
thông tin về nhận dạng số cụ thể. Thông tin này gồm có những gì một nhà
- cung cấp nhận dạng thực hiện liên lạc để thu được thẻ bảo mật cho nhận
dạng này, loại thẻ mà nhà cung cấp có thể đưa ra và những “claim” nào có
trong các thẻ. (chúng tôi sẽ mô tả ở phần sau, mỗi thẻ thông tin được tạo bởi
mỗi nhà cung cấp nhận dạng và sau đó được cài đặt trên máy tính người
dùng). Bằng cách chọn một thẻ cụ thể, có nghĩa là người dùng đang chọn để
yêu cầu cho một thẻ bảo mật riêng với một thiết lập cụ thể các “claim” được
tạo bởi nhà cung cấp nhận dạng cụ thể. Mặc dù vậy, sự phức tạp trong công
nghệ được ẩn đi ở đây làm cho người dùng không phải bận tâm khi nghĩ về
các thuật ngữ mà họ gặp phải. Hình 4 là mở rộng của hình 2, cho bạn thấy
được rõ hơn nơi mà quyết định của người dùng phù hợp trong quá trình.
- Hình 4: Chọn nhận dạng
Như đã được nói ở phần trên, quá trình bắt đầu với một ứng dụng yêu cầu
một chính sách của nhóm phụ thuộc. Sự triệu gọi mà chính sách này chỉ thị
loại thẻ bảo mật gì, nhóm phụ thuộc có thể chấp nhận và các “claim” nào mà
các thẻ đó buộc phải có. Khi một thông tin này được trả về và được đưa đến
CardSpace thì hệ thống sẽ hiển thị màn hình chọn thẻ. Để tạo cho người
dùng có một cảm nhận phù hợp, mọi thẻ thông tin mà người dùng sở hữu
trên hệ thống đều được thể hiện ở đây, giống như các thẻ trong ví bạn có thể
nhìn thấy khi mở ví ra. Mặc dù vậy, chỉ có một số thẻ được chấp nhận trong
bất kỳ tình huống nào, và vì vậy các thẻ thông tin có các “claim” không phù
- hợp với yêu cầu của nhóm phụ thuộc thì người dùng không thể đệ trình
chúng. Khi người dùng kích chuột vào một thẻ nào đó, CardSpace đưa ra
một yêu cầu, như đã mô tả ở phần trên để phân biệt nhà cung cấp có liên
quan đến thẻ. Sau đó nhà cung cấp sẽ trả lại thẻ bảo mật, thẻ đã được chuyển
đến nhóm phụ thuộc.
Cung cấp cách thức thích hợp cho người dùng để họ có thể chọn các nhận
dạng số quan trọng qua cả hai lý do:
• Người dùng cảm thấy có sự phù hợp và cách có thể dự đoán để sử dụng các
nhận dạng số của họ. Không có điều này thì các kết quả sẽ lộn xộn và gây ra
lỗi. Mỗi một ứng dụng xây dựng để sử dụng CardSpace thì ứng dụng này sẽ
phải sử dụng cơ chế tương tự để làm việc với các nhận dạng số, việc trình
bày chúng cho người dùng cũng thông qua giao diện tương tự.
• Người dùng được bảo vệ đối với nhiều công nghệ bảo mật khác nhau. Bạn
không nên quan tâm nhiều xem thẻ bảo mật của nhận dạng riêng được biểu
diễn bằng các chứng chỉ X.509, SAML, hoặc theo một số cách nào đó. Bằng
cách cung cấp một trình bày ảo chung chung, CardSpace bảo đảm cho người
dùng thấy được rằng họ không phải đối mặt với những phức tạp không cần
thiết. Mọi thứ được trình bày dưới dạng những gì để người dùng quan tâm
đến: nhận dạng bản thân họ và thông tin mà có bên trong.
Với sự bảo mật tốt hơn, người dùng có thể chọn bảo vệ các thẻ thông tin cá
nhân với các số nhận dạng cá nhân (PIN), chúng yêu cầu người dùng phải
nhập vào giá trị này trước khi thẻ thông tin được sử dụng. Đi sâu hơn nữa là
việc ngăn chặn các tấn công, CardSpace đã tạo một Windows desktop riêng
- có màn hình chọn nhận dạng để cho phép người dùng chọn thẻ. Điều này
cũng tương tự như cơ chế được sử dụng để cách ly màn hình đăng nhập của
Windows, và nó cũng ngăn chặn các tấn công bằng quá trình chạy cục bộ.
Thực sự đáng giá để chỉ ra rằng việc cung cấp một cơ chế phù hợp cho
người dùng để họ có thể chọn nhận dạng số nào có thể sử dụng là một phần
của hệ thống nhận dạng metasystem. Bài viết này chúng tôi chỉ giới thiệu tập
trung vào CardSpace, công nghệ của Windows..
Thay thế đăng nhập web dựa trên mật khẩu
Loại điển hình nhất của thẻ bảo mật trên Internet ngày nay vẫn là tên người
dùng. Cách chung nhất để chứng tỏ rằng tên người dùng thực sự là của bạn
là cung cấp một mật khẩu đi kèm với nó. Đôi khi tên người dùng và mật
khẩu được gán cho bạn bởi trang mà bạn đang truy cập, mặc dù vậy thông
thường thì bạn là người chọn cả hai. Vì các trang thực hiện điều này sử dụng
SSL cho việc truyền thông với trình duyệt của bạn nên phương pháp này
được xem như là một phương pháp an toàn đáng kể. SSL bảo đảm toàn bộ
sự truyền thông đều được mã hóa và vì vậy những kẻ tấn công không thể ăn
cắp mật khẩu của bạn bằng cách ‘nghe’ trộm dữ liệu trong khi bạn đang
truyền thông.
Mặc dù vậy các cơ chế dựa trên mật khẩu như vậy vẫn có nhiều lỗ hổng đối
với các kiểu tấn công khác. Bằng việc gửi các thông báo email đánh lừa,
những kẻ tấn công đánh lừa người dùng đăng nhập vào các bản copy giả
mạo của trang thực, từ đó lấy mật khẩu và các thông tin cá nhân của bạn.
Tuy nhiên nếu mật khẩu có cơ chế thẩm định tốt trên web thì kiểu tấn công
- giả mạo này sẽ giảm mức độ nguy hiểm, khi đó sẽ không có mật khẩu nào bị
đánh cắp. Để thực hiện được điều này và cải thiện tính bảo mật cho việc
đăng nhập vào các trang web, CardSpace cho phép bạn có thể thay thế đăng
nhập Web dựa trên mật khẩu với một cơ chế mạnh hơn.
Hơn cả việc thẩm định người dùng bằng mật khẩu, một nhóm phụ thuộc như
một website có thể thẩm định người dùng bằng các thẻ bảo mật. Ví dụ, một
công ty đang cung cấp một nhóm website cũng có thể giới thiệu một nhà
cung cấp nhận dạng hoạt động trên một số cơ chế và có thể truy cập từ bất
kỳ máy khách nào, đó là khả năng của việc đưa ra các thẻ được chấp nhận
bởi tất cả các trang trong nhóm đó. Phương pháp này cũng tối thiểu hóa
được việc phải sử dụng nhiều mật khẩu và nó hiển nhiên là một tùy chọn có
thể được sử dụng với CardSpace. Tuy nhiên điều này vẫn chỉ được áp dụng
với các website cụ thể bởi vì không có nhà cung cấp nào có tất cả website sẽ
chấp nhận đưa ra các thẻ bảo mật.
Về vấn đề người dùng chọn tên người dùng và mật khẩu của họ. Phương
pháp này được sử dụng rộng rãi trên các website ngày nay bởi vì đơn giản
không cần đến nhà cung cấp nhận dạng nhóm thứ ba nào. Nó không cung
cấp nhiều sự tin cậy mà người dùng thực sự là những gì mà họ đòi hỏi, điều
này cũng là vì website không thể biết được tên nào mà người dùng cung cấp
thực sự là của họ. Tuy nhiên các website sử dụng phương pháp này chỉ cần
nhận ra người dùng cụ thể mỗi khi họ đăng nhập. Tất cả điều này yêu cầu
một nhận dạng số duy nhất cho người dùng, không cần tất cả các thông tin
đúng về họ.
Trong bảng tóm tắt ngắn ngọn, vấn đề ở đây là: nhóm phụ thuộc thích chấp
- nhận các thẻ bảo mật được tạo bởi một nhà cung cấp nhận dạng vì thực hiện
như trên sẽ cho phép thay thế các đăng nhập dựa trên mật khẩu có thể bị giả
mạo. Mặc dù vậy, trong hầu hết các trường hợp không có nhà cung cấp nhận
dạng nhóm thứ ba được chấp nhận rộng rãi để tạo các thẻ này. Chính mục
đích chỉ là đề nhận được nhiều sự truy cập bởi cùng một người dùng nên
nhận dạng số phức tạp không được yêu cầu ở đây.
Để giải quyết vấn đề này, CardSpace đưa vào nhà cung cấp nhận dạng của
bản thân nó. Như hình 5 thể hiện, nhà cung cấp nhận dạng tự đưa ra này hoạt
động trên hệ thống Windows cục bộ, nó có thể đưa ra các thẻ thông tin giống
như nhiều nhà cung cấp nhận dạng khác. (Trong thực tế, để phân biệt các
nhà cung cấp nhận dạng mở rộng ở điểm khác nhau trong bản chất của nó,
thì các nhà cung cấp mở rộng đôi khi được quy vào nhà cung cấp nhận dạng
được quản lý và các thẻ thông tin mà chúng tạo ra được coi là thẻ được quản
lý). Trong ví dụ thể hiện trong hình 5, người dùng có 3 thẻ có được từ các
nhà cung cấp nhận dạng mở rộng, cùng với một thẻ thu được từ bản thân nhà
cung cấp nhận dạng của nó.
- Hình 5. Người dùng với thẻ thông tin từ chính nhà cung cấp nhận dạng của
nó
Các thẻ thông tin được tạo từ chính nhà cung cấp nhận dạng có thể chỉ gồm
các thông tin cơ bản như tên của người dùng, địa chỉ bưu điện, email và số
điện thoại. Khi người dùng chọn để đệ trình một trong những thẻ đến nhóm
phụ thuộc thì nhà cung tự cung cấp nhận dạng trên hệ thống của người dùng
sẽ tạo một thẻ SAML, thẻ này gồm có thông tin mà người dùng đã đặt trên
nó. Nhà tự cung cấp nhận dạng cũng tạo một cặp khóa công khai/ riêng,
đánh dấu thẻ bảo mật bên với khóa riêng. Để ngăn chặn kẻ tấn công sử dụng
lại, thẻ này được xây dựng có tem thời gian và các thông tin khác, làm cho
nó trở thành hoàn toàn vô dụng ngoại trừ người sử dụng gốc. Sau đó ứng
dụng gửi thẻ đã đánh dấu này cùng với khóa công khai của nó đến nhóm phụ
thuộc. Nhóm phụ thuộc có thể sử dụng khóa công khai để hợp lệ hóa chữ ký
số của thẻ bảo mật, như vậy việc bảo đảm thẻ đang tồn tại được thể hiện bởi
- chính quyền sở hữu nó. Để làm cho nó trở thành không có tính khả thi đối
với các nhóm phụ thuộc giúp kiểm tra hành động của người dùng bằng cách
so sánh khóa công khai của họ thì nhà tự cung cấp nhận dạng phải tạo một
cặp khóa khác cho mỗi nhóm phụ thuộc, nhóm được truy cập bằng thẻ này
(mặc dù những thông tin chi tiết này được ẩn đối với người dùng do đó
người dùng chỉ thấy được thẻ thông tin riêng của nhận dạng này).
Ý tưởng chính của vấn đề này: vì các thẻ bảo mật được đưa ra bởi hầu hết
các nhà cung cấp nhận dạng (gồm có những thẻ được tạo bởi nhà tự cung
cấp nhận dạng của CardSpace) không sử dụng mật khẩu, nên các nhóm phụ
thuộc gồm có các website,… có thể sử dụng thẻ này thay thế cho mật khẩu
để thẩm định người dùng của họ. Nếu một site không sử dụng mật khẩu thì
những tấn công giả mạo có thể tấn công vào người dùng để lấy trộm mật
khẩu của họ.
Việc giả mạo là một vấn đề nguy hiểm. Nếu những tính năng có nhiều lợi
ích của CardSpace Windows và hệ thống nhận dạng metasystem có thể làm
giảm được vấn đề này thì chúng sẽ cải thiện một cách đáng kể thế giới
online ngày nay.
Cải thiện sự tin cậy của người dùng trong nhận dạng về các ứng dụng
web
Việc đăng nhập dựa trên mật khẩu sẽ giảm được vết thương tấn công giả
mạo, tuy nhiên nó sẽ không loại trừ được vấn đề. Nếu người dùng bị đánh
lừa truy cập vào một site của kẻ tấn công giả mạo thì site đó có thể chấp
nhận bất cứ thẻ bảo mật nào mà người dùng được cấp, bản thân đưa ra hoặc
- trong các trường hợp khác, sau đó người dùng này sẽ bị hỏi yêu cầu thông
tin như số thẻ tín dụng. Kẻ tấn công giả mạo sẽ không thu được mật khẩu
của người dùng cho site nếu nó đang cạnh tranh, nhưng người dùng có thể
học thêm được nhiều điều hữu dụng khác.
Nguồn gốc của vấn đề này là sự bất lực của người dùng trong việc phân biệt
site thực của ngân hàng của họ với site được kẻ lừa đảo đưa lên. Cả hai có
thể hiển thị cùng logo và các kiểu đồ họa khác. Cả hai có thậm chí có thể sử
dụng SSL để bảo vệ truyền thông, và những kẻ giả mạo cũng có thể thu
được các chứng chỉ giống như bất kỳ ai. Nếu người dùng kích chuột vào một
liên kết được cung cấp trong thông báo email của kẻ giả mạo thì người này
có thể bị kết nối đến một site giống như site ngân hàng của họ. Khóa nhỏ
trong góc phải bên dưới của Internet Explorer thậm chí có thể được hiện lên
và chỉ thị rằng sự truyền thông được bảo đảm bởi SSL.
Để sửa vấn đề này yêu cầu đến hai thứ:
• Đưa ra một cách thức bảo mật cao hơn website cho người dùng.
• Đưa ra một cách phù hợp với người dùng để giúp họ học mức tin cậy mà
site đang cung cấp như một bằng chứng về sự nhận dạng của nó, sau đó làm
cho họ quyết định rõ ràng xem có nên tin tưởng vào website này không.
Windows CardSpace và hệ thống nhận dạng metasystem được đưa ra nhằm
giải quyết hai vấn đề trên.
Giải quyết vấn đề đầu tiên đó là làm thế nào để một website có thể chứng tỏ
- được sự nhận dạng của nó với người dùng, nó phụ thuộc vào việc cải thiện
các chứng chỉ được sử dụng để thực hiện điều này. Ngày nay, một website
chứng tỏ một cách điển hình sự nhận dạng của nó với chứng chỉ được tạo
cho truyền thông SSL. Điều này là tốt hơn là không có gì, nhưng các chứng
chỉ SSL quả thực chỉ chứng tỏ được rằng một site được cho có một tên DNS
riêng biệt và không có sự bảo đảm nào cho tên DNS tương ứng với thông tin
được hiển thị trên trang này. Ví dụ, kẻ giả mạo có thể sử dụng chứng chỉ
được cấp cho tên DNS mà họ sở hữu để bảo vệ sự truyền thông với một site
đã được chuẩn bị cho lừa đảo một cách cẩn thận giống như ngân hàng của
bạn. Các chứng chỉ SSL không đủ để giải quyết vấn đề này.
Để giải quyết vấn đề này, Microsoft đã làm việc với các tổ chức khác trong
lĩnh vực để tạo ra một mức chứng chỉ mới. Chứng chỉ này có thể gồm nhiều
thông tin hơn chứng chỉ SSL truyền thống, chúng gồm có tên, vị trí, logo của
tổ chức nó được đưa ra. Chứng chỉ bảo đảm an toàn mức cao hơn này cũng
sẽ cho một nguồn thông tin chính thức hơn vì nó đòi hỏi sự thỏa thuận chặt
chẽ hơn với quyền đưa ra nó. Cả nhà cung cấp nhận dạng và các nhóm phụ
thuộc đều có thể sử dụng loại chứng chỉ mới này để chứng tỏ sự nhận dạng
của họ với người dùng ứng dụng CardSpace.
Việc tạo các chứng chỉ có mức an toàn cao hơn nhằm giải quyết vấn đề đầu
tiên trong hai vấn đề được nêu ở trên. Người dùng phải đưa ra quyết định về
các site mà họ tin tưởng. CardSpace tạo quyết định này một cách rõ ràng,
yêu cầu mỗi người dùng chấp thuận sử dụng các nhà cung cấp nhận dạng và
nhóm phụ thuộc mà họ muốn truy cập. Khi thẻ thông tin được cài đặt lần
đầu trên hệ thống của người dùng thì sẽ có một màn hình hỏi người dùng,
thẩm định rằng họ đang sẵn lòng chấp nhận các thẻ bảo mật được tạo bởi
- nhà cung cấp nhận dạng đã đưa ra thẻ này. Tương tự, thời điểm đầu tiên,
nhóm phụ thuộc như một website bị truy cập, một màn hình sẽ xuất hiện yêu
cầu đòi người dùng tự nguyện gửi thông tin nhận dạng số. Hình 6 thể hiện
một ví dụ màn hình hiển thị sự truy cập lần đầu của người dùng đến nhóm
phụ thuộc có thể trông như thế nào:
Hình 6: Màn hình hiển thị lần đầu nhóm phụ thuộc được truy cập.
Như những gì ví dụ này thể hiện, màn hình có thể gồm có tên, vị trí, website
URL, logo của tổ chức (như Overdue Media). Nó cũng có thể gồm có tên và
logo của tổ chức đã thẩm định thông tin này (như VeriSign).
Để giúp người dùng tạo được các quyết định sáng suốt, những gì đã hiển thị
trên hình sẽ thay đổi phụ thuộc vào loại chứng chỉ được cấp bởi nhà cung
cấp nhận dạng hoặc nhóm phụ thuộc. Nếu chứng chỉ an toàn hơn đã mô tả
trong phần trước được cấp thì màn hình có thể chỉ thị tên, vị trí, website
- URL và logo của tổ chức sẽ được thẩm định như hình 6. Điều này chỉ thị
đến người dùng rằng tổ chức này xứng đáng được tin cậy hơn. Nếu chỉ có
một chứng chỉ SSL được cấp thì màn hình sẽ chỉ thị rằng không có bằng
chứng của tất cả những gì mà website nào đã yêu cầu. Mục đích của nó là để
giúp đỡ người dùng tạo các quyết định chính thức về nhà cung cấp nhận
dạng nào sẽ cung cấp cho họ các nhận dạng số và nhóm phụ thuộc nào được
phép nhận nhận dạng số đó.
Tất cả các vấn đề ở trên đều tựa quanh một câu hỏi: liệu điều này sẽ thực sự
giúp đỡ được những người dùng Windows? Vậy những người không có kiến
thức về bảo mật – những người không biết chứng chỉ là gì – sẽ thực sự tạo
được các quyết định sáng suốt với CardSpace? Ít nhất, việc cung cấp một
cảm nhận phù hợp và có thể dự đoán với việc truy cập vào các trang mới sẽ
được giúp đỡ. Mọi ứng dụng được xây dựng trên CardSpace gồm có Internet
Explorer 7 sẽ yêu cầu sự phê chuẩn dứt khoát của người dùng đối với việc
sử dụng mỗi nhà cung cấp nhận dạng và nhóm phụ thuộc mà họ truy cập với
CardSpace. Người dùng sẽ luôn luôn thấy các màn hình tương tự cho điều
này và màn hình đó sẽ cung cấp một sự hướng dẫn cho biết mức an toàn mà
người dùng có thể có. Thêm vào đó người dùng chỉ tạo một quyết định tin
tưởng vào site lần đầu họ truy cập. Các lần truy cập sau đó, thậm chí các
tháng sau đó sẽ không hiển thị màn hình như màn hình hiển thị trong hình 6.
Nếu màn hình này xuất hiện khi người dùng truy cập vào site mà họ đã truy
cập từ trước thì rất có thể họ đã bị lừa truy cập vào một site giả mạo.
Sử dụng Windows CardSpace: Kịch bản ví dụ
Cách rõ ràng nhất để cảm nhận được CardSpace và hệ thống nhận dạng
metasystem có thể được sử dụng như thế nào chúng ta hãy xem xét một ví
- dụ điển hình. Ví dụ, nghĩ về những gì sẽ xảy ra khi bạn truy cập vào một cửa
hàng trực tuyến như một cửa hàng sách chẳng hạn. Trong trường hợp đơn
giản nhất, không có nhận dạng số nào liên quan – bất cứ ai cũng có thể duyệt
qua tất cả các quyển sách và đặt hàng chúng mà không cần bảo chủ cửa hàng
họ là ai. Mặc dù vậy, khi đặt hàng bạn cần phải đăng nhập, đăng nhập đó đòi
hỏi phải cung cấp nhận dạng số. Ngày nay, hầu như thực hiện việc này bằng
cách nhập vào tên người dùng và mật khẩu, cả hai đều do bạn tự chọn. Nếu
cửa hàng trực tuyến này cũng hỗ trợ CardSpace và hệ thống nhận dạng số
metasystem thì nó sẽ cung cấp cho người dùng một tùy chọn khác cho việc
nhận dạng bản thân: sử dụng thẻ thông tin. Để thực hiện điều này, cửa hàng
có thể đưa ra các nút riêng biệt trên màn hình đăng nhập mà bạn có thể kích
để đăng nhập với một thẻ thông tin chứ không cần tên và mật khẩu.
Kích nút này trình duyệt sẽ sử dụng CardSpace để đăng nhập vào site.
Thông thường, bạn sẽ được thấy màn hình chọn của CardSpace và sẽ chọn
một trong các thẻ để nhận dạng bản thân bạn cho cửa hàng này. Có vẻ phù
hợp (mặc dù không yêu cầu) khi thẻ thông tin mà bạn chọn trong trường hợp
này sẽ là một thẻ được tạo bởi bản thân nhà cung cấp nhận dạng – đó là một
trong những cách bạn đã tạo. Nếu tất cả các site cần thực hiện ở đây là nhận
ra bạn là khách hành khác với các khách hàng khác, biểu mẫu đơn giản của
nhận dạng số này thực sự hiệu quả. Để trả cho việc mua bán, bạn có thể
nhập vào thông tin thẻ tín dụng của mình và địa chỉ hòn thư trên biểu mẫu
web thông thường.
Trong kịch bản đơn giản này, CardSpace đã cung cấp cách đăng nhập vào
một cửa hàng mua bán trực tuyến mà không cần sử dụng đến mật khẩu. Điều
này quả thực hữu dụng và nó là một bước tiến về nhận dạng số trên Internet.
Tuy nhiên đây mới chỉ là bắt đầu về nhận dạng số được sử dụng như thế nào.
nguon tai.lieu . vn
