|
|
51CTO旗下网站
|
|
移步端
创造专栏

别吃错药:四大身份验证场景的商谈选择

不同应用场景选错身份验证协议的结果很要紧,因为错误的位置验证协议会破坏安全架构基础,并限制未来扩展。这就是说,科普的位置验证用例都有哪些推荐协议呢?

笔者:安全牛| 2020-01-05 22:39

不同应用场景选错身份验证协议的结果很要紧,因为错误的位置验证协议会破坏安全架构基础,并限制未来扩展。这就是说,科普的位置验证用例都有哪些推荐协议呢?

身份验证系统无论安装在里面,还是托管在表面,都要求兢兢业业选择适宜的位置验证协议。符合您用例的科学协议,可以行使所有系统安全高效运转,并且驱动未来扩展和兼容各种专业。另外,若想使客户身份可把外部服务识别,还需考虑如何在保证过程安全的情况下,便于这些劳务摄入用户身份数据。

身份验证指的是通过某种方式识别用户身份,授权资源访问。本文所讨论的位置验证协议包括 SAML 2.0、OpenID Connect (OIDC) 和 OAuth2。瞩目,OAuth2 并非身份验证协议,但因她使用大规模,可使客户通过 Facebook、亚马逊等社交服务提供商登录,而纳入讨论。

身份、身份验证和授权协议。

这三个协议在功能上常有重叠。

  • 身份协议提供关于用户之消息,比如永久标识符、电话机或电子邮件地址,可用作该户头登录您系统之老标识,故而验证该户头并授权资源访问。SAML 和 OIDE 是最广泛的例证。
  • 身份验证协议未必需要个人标识符。比如说,Kerberos 系统就基于透明匿名密钥交换,密钥本身不包含标识数据。
  • OAuth2 和 UMA 等身份验证协议提供的主意,不要资源拥有者共享凭证,即可拥有受保护资源之走访权限。该系协议的一个重要方面是交互式用户许可。OAuth2 协和常用于临时身份和地位验证,采用标识符等 OAuth2 经过中返回的客户数量。
  • 出于他灵活性,身份协议在内阁、集团和消费领域越来越常用,表现身份验证的超级实践方法,大规模应用于 Web、移步应用和桌面应用程序。该署协议可能把用于单点登录 (SSO) 使用,需注意 OAuth2 相关问题。

    扮演中心化身份

    说到身份验证,不得不提 DID(或称自主身份)。这种身份系统依赖用户存储在运动设备上的位置属性,采用分布式账本技术验证这些属性的持有情况。眼前,名将这些系统与成熟标准身份协议集成的提议不断提出,现状就是纵横交错自定义协议,比如 uPort。故此,脚下不推荐在通用身份或身份验证用例中采用 DID。不过,Avoco Secure 等提供的编辑 API,倒是有望通过转译为规范协议而跨越这个障碍。

    四大身份验证用例协议推荐

    1. 物联网设备及相关应用

    此用例中,使用采用数字身份控制对使用及利用相关云资源之走访,比如说,亚马逊 Alexa 等物联网设备。Alexa 用于创建数据存储账户,下一场从中共享数据。

    协和选择:OIDC/OAuth2

    这是个授权访问资源之简短用例,OAuth2 就很方便,尤其是考虑到智能设备使用相对简单的状况,比如无键盘或屏幕的本能设备。

    2. 顾客身份提供商 (IdP)

    需向依赖方 (RP) 提供身份数据的在线银行或政府服务归属该类用例。IdP 攥敏感数据,他家属性通过所谓了解客户 (KYC) 经过验证,提供达到标准水平的位置。仅受许可的 RP 能够访问 IdP。

    协和选择:SAML、OIDC

    SAML 租用于安全要求高的现场。RP 和 IdP 之间的交换都能把双方数字签署和检查。这就保障了双面身份的实事求是,防止出现某一方被仿冒的状况。另外,还可以增值来自 IdP 的预言,以便不仅仅依赖 HTTPS 防止攻击者触及用户之多寡。若想进一步夯实安全性,还可以定期轮转签名和加密密钥。

    OIDC 若要达到相同的平安程度,要求额外的增值密钥,如开放银行 (Open Banking)推而广之中呈现的那样,他设置和保护可能相对较繁琐。但是,OIDC 受益于 JSON 的采取,相对 SAML 更容易为移动应用所用。

    3. 临床数据共享门户

    该用例中,此门户需支持高敏感医疗数据的多种数据共享方式。

    协和选择:OIDC、UMA

    此地相对合适的挑选是 OIDC,因为可能涉及多种设备,其中一些不是基于浏览器的,也就排除掉了 SAML。与 OIDC 沟通的放开许可强化了数据共享的苦衷性。另外,还可使用签名和加密增高安全性,到达处理此类数据所需的合规要求。

    4. 支持身份服务大环境中多劳动提供商的体系

    保险服务协会就是该用例的一大样本。系统需向用户提供使用现有身份账户连接这些劳务的措施。他家可能需要添加所需附加数据。

    协和选择:OIDC、OAuth2 和 SAML

    他家应能摘取一家 IdP,以便已经在不同 IdP 处拥有账户的客户可以从容操作。举个比喻,局部用户可能持有政府发表的位置;其它用户可能仅获得亚马逊访谈录或淘宝账户。

    赋予用户不同账户类型的取舍,可以行使客户无需先经历在线注册和检查过程,就能很红火地走访各保险服务。但这就要求每个 RP 支持多个协议,并需处理一家提供商的位置可能不支持全部所需主张或性质的题材。而解决方案就是运用身份编排代理,或利用能够翻译 RP 所需协议和采访全部所需属性的代理服务。

    【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

    戳这里,瞧该作者更多好文 

    【编纂推荐】

    1. 十个很少有人谈到的网络安全风险因素
    2. 2020年网络安全的四大变化
    3. 对多因子身份验证的四个错误观点
    4. 网络安全市场急缺的六种非技术专业人才
    5. 2019转移网络安全市场布局的十大并购案
    【义务编辑: 赵宁宁 TEL:(010)68476606】

    点赞 0
  • 身份验证  协和  网络安全
  • 分享:
    大家都在看
    猜你喜欢