• 發行項

安全性監控 在第 2 部分的識別的想法

Jesper M. Johansson

內容

是平台無從驗證
適用於使用者的認知架構
保證雙向識別
允許使用者提供適用於 「 服務 」 所提供的保證層級的宣告
焦點放在相對於標準的身分識別宣告的一致性
不要混合信任層級
不會違反法律或法規 — 或期望
允許所有的使用者面對的屬性,修改或刪除
摘要

我 embarked 有點件吃力的工作描述識別系統的最後一次的月份,在就特別為什麼我們仍然 don’t 有一項工業標準的一個。 第一個,我 defi ned 何種識別真的是,為什麼我們關心的識別身份數位系統中。 然後我涵蓋使用識別問題 — 尤其是,事實我們都有不只是一個識別,但許多。 然後我指出如果您不認為你有足夠,您可以永遠建立,或購買,幾個更多。

在討論,這問題中建立驗證因為我們通常會認為做為 ontological 的識別身分的 — 實際、 實體的人員的表示。 在大多數的系統彼此間的關係結果為一個不必要的複雜性。 大部分的身分識別不需要代表真實世界實體他們識別,或甚至根本識別任何真實世界的實體的 — 在就其實很通常,如果要執行這項操作,不需要。

我最後,涵蓋驗證的運作方式,特別,該真正有趣的部分就會發生在其中的某些服務消費者提供的識別證明 socio 技術系統中。 我注意成功的數位識別系統必須符合特定準則,並符合一組的基本原則。 我可以在組件我,涵蓋前兩個這類原則: 的身份識別提供者是為最機密的信賴至少為機密 」 與允許企業可以保護客戶的關係並能擁有及控制它 deems 為商業機密的資訊 」。 這裡,在部份 II,我推斷數列所涵蓋成功數位身份識別系統必須符合的其他原則。

是平台無從驗證

因為它們將錢的企業公司將 cater 到他們的客戶。 它們會 endeavor 減少"friction"交出他們的硬碟盈餘分析元客戶所需的數量。 任何智慧的企業會避免進行降低客戶的機率的保持在的客戶其客戶的需求也任何會減少客戶基底的需求。 這表示沒有主流商務將使用的身分識別的解決方案,排除某些數目客戶能夠花在企業的金錢。 同樣地,不合理的商業要實作需要其客戶到額外的長度來安裝新的軟體或元件,以使用它的識別身份解決方案。

類似的實作決策將會進行的識別方案的客戶的子集合。 讓我們假設這類解決方案成本 $ 萬來實作。 讓我們也假設可用現金流量的企業 — 它不 earmarked 任何目前開發專案的營收的比例 (7 %,其總營收。 在這種情況下公司需要產生的額外 $ 71.5 萬中從為了涵蓋的實作成本方案的營收。 會是一個大量,特別是如果它只是以累加方式改進的解決方案提供客戶的子集。 那里必須是一個 measureable 的影響,這些客戶來左右對齊它的安全性。 幾如果有的話),個識別方案將會符合這些需求。

適用於使用者的認知架構

最後,識別系統,讓使用者使用必須人類的認知架構內工作。 似乎的尊重,人類就沒有發展數位身份識別系統處理。 您也可以會看起來,他們特別智慧型設計要執行這項操作。 多學者 cognitive 科學中的宣告基本的配線的人就為了處理一個的洞穴中的生命週期 foraging 食物 (以及兄弟),並嘗試 saber toothed 貓的不受攻擊。 一定,mankind 有花很長的時間生活中的隔間比洞穴和比 electrons 煙霧訊號與許多長通訊。 在洞穴生命,我們一些用於數位的識別,並因此,我們沒有發展與特別針對瞭解它們的線路。

因此,我們的世界的心理模型並不包含數百個數位身分識別來保護電子交易的管理。 但是,是非常合理設定人員必須時住在洞穴中使用程式碼的文字。 某些文字可能有特殊的意義,而且有特殊的結果。 " 請"可能有某種 forerunner 在 caveman 說話,只要說一。

我不說,使用或目前相當的程式碼的文字 — 密碼 — 是只合理的方法來驗證數位的身份識別。 我說是否大部份的使用者接受您的數位識別系統,它必須不需要,變更它們的世界認知的模型。 認知的模型是主要 hard-wired。 我們當然可以處理與認知的模型不符合系統,但這樣做,是付出的成本: 壓力,挫折動怒。 使用這類系統必須包含超過這些因素的成本的好處。 相反的 intuitively 明顯系統將會收到採用更高的層的級,即使它提供了較少的其他優點。

保證雙向識別

數位識別系統的最重要層面之間),另一個,不幸的是,不也瞭解這類系統的使用者 — 是信賴及/或使用者的識別提供者的識別。 信賴 — 或更就常服務提供者 — 通常隱含信任由使用者。 這就是為什麼網路釣魚攻擊 — 也就竊取的偽裝成受信任的廠商的識別身分,所以非常成功。 它不需要許多這個笨老頭足夠數量的使用者,以顯示其密碼。

成功的數位識別系統必須允許所有合作對象來符合系統使用者的認知模型的方式來驗證其本身。 不幸的是,這很重要的方面的系統通常會忽略由服務提供者。 我 」 安全性是關於密碼和貸方卡 」,數列中我說明了如何受歡迎的信用卡發卡公司主動拒絕之前您驗證它本身識別您。 在撰寫本文它讓我沒有享受探索還是拒絕要求使用者驗證之前先顯示一個數位身份識別使用者的報表。 如果您移至 [探索卡網站,您將會重新導向並要求您的使用者名稱和密碼,而不需任何機會,以確認您不傳送您的認證到網路釣魚網站。 一個只可以奇觀多少探索帳戶已遭入侵 cardholders 已經因為 conditioned 提供者,其使用者名稱和密碼,以要求的任何人。

在另一方面,是不可能認為 SSL 已成功數位識別系統的元件。 它允許使用者驗證的事實是幾乎無法辨識至少使用者。 許多服務提供者會忽略事實它的主要設計是要證明伺服器身分。 而是,SSL 可用的昂貴的金鑰交換機制以及發行憑證,來檢查沒有人困擾的公司的營收的主要來源。 為目前實作,SSL 數位識別系統中無法做為元件。 它並不會使用使用者的認知模型,且這個識別會因此不良大多數不知道如何使用它時才允許服務提供者來識別自己,呈現給使用者。

成功的端對端數位識別系統必須對這兩個合作對象的識別交易驗證工作流程不可或缺的一部分。 但是,數位識別系統必須先並 foremost 後,數位識別問題解決了。 傳輸的宣告,證明數位身分識別、 驗證數位的識別,並授與適當的存取權數位身分識別管理重新整理儲存數位的識別的數位識別碼的數位身分是很難在其上的所有問題。 如果數位識別系統可以用來解決其他問題也,是加分,但它不是在系統的設計目標。

網路釣魚是一個完美的例子。 網路釣魚是人為問題,不是數位-識別其中一個。 網路釣魚攻擊人類就,不技術。 最後,網路釣魚,唯一的解決方案會幫助人做出更具智慧的安全性。 識別系統可以肯定的但不是犧牲的核心目的的這類系統也就是說明使用者和服務提供者識別本身彼此。

允許使用者提供適用於 「 服務 」 所提供的保證層級的宣告

大部分的使用者使用許多不同的資訊服務。 某些服務提供像是銀行帳戶或退休存款帳戶這類的高度敏感資訊。 有些提供可能在某些情況下例如電子郵件機密的資訊。 其他人提供的值例如社交網路站台的使用者的聲望的資訊。 還是其他人提供不完全機密,例如軟體供應商的技術支援網站的資訊。

還,敏感度這些服務的相關的不同層級,儘管許多嘗試使用相同的識別。 就例如我用來存取我的電子郵件相同的識別要求每次我試著從 [我的軟體供應商取得產品資訊 ; 如果選擇要執行這項操作,我可以管理我的銀行資訊,使用相同的識別。 我相信我的電子郵件有重大的值 ; 我的銀行資訊絕對不會。 軟體產品資訊? 不這麼多。 因為我可以輕鬆地取得以列印出及即使磁碟機 30 英哩傳送它的所有銷售人員,我會認為該資訊,都有幾乎沒有值。

這種多載使用是認證的 endemic 識別系統。 這稱為 「 單一登入"。 某些方式的儲存格單一登入是一個吸引人的概念。 在企業環境中, 有很好的商業價值並,如果還沒有可用,它應該新增到議程現在。 外,我們處理非常不同的資訊企業單一登入是值的危險的。 如果您受到最多到您 newsstand 並銷售員要求您識別的兩個表單之前,您可以購買早上紙張,您就一定物件,但同一個要求之前,您可以從您的銀行帳戶或磁碟機中新的車開撤退 $ 2,000 就不會引發您 eyebrows。

宣告的相同分隔必須成功數位識別系統來支援。 使用者應該要能夠呈現一組適當的資料所代表的風險層級的憑證,或服務它們 arerequesting。

單一登入不 [適合用在廣泛使用的數位識別系統]。 當然可以接受使用單一登入存取系統本身,但實際的認證向信賴,服務提供者 — 必須 commensurate 與使用者正在接收的服務。 該原因很高可能的任何表單成功的數位識別系統採用,它將會支援兩層識別系統: 本身和其他實際識別信賴使用者簽章數位識別系統中的一層。 提供此功能,得很好的系統是 Microsoft 的 InfoCard 系統。

仍然較高,良好的數位識別系統應該使其方便使用者送出一組宣告為該服務,服務定義的但它們傳送到另一個服務時,警告使用者。 亦即數位識別系統應該可以幫助識別他們嘗試存取的服務提供者的使用者。

焦點放在相對於標準的身分識別宣告的一致性

成功的數位識別系統必須遵守個人的從右至隱私權。 雖然隱私權的確切的期望大幅不同文化特性之間,整體人類想隱私,但是定義它是 indisputable。 您甚至可能會呼叫隱私權 innate 的人類需要。 它可以輕易地視為一個安全] 需要的 圖 1 ] 所示的需求的 Abraham Maslow 階層下。 Maslow,撰寫 pre-Internet 的時間可能只是已排除它,因為隱私不最多的問題在 1943年。

fig01.gif

[圖 1 Maslow ’s 階層架構的需求

如果我們接受為人類需要或至少一個想要的隱私,我們可以討論這項需求數位識別系統的內容中。 請考慮,就例如一個系統 (例如您喜愛的嗜好有關的討論區。 大部分這類的討論區需要驗證 ; 亦即它們實作數位識別系統。 您要使用何種識別該版? 您是否使用您的真實姓名或著您執行跳如 「 深層 Diver 13"Moniker 的? 大多數的我們可能會使用某種暱稱。 需要我們這類目的登錄為有效的電話號碼] 和 [首頁的地址就可能會被視為隱私權的違規情形。 需要我們使用數位身份識別,對應到我們實體的人,並且它也對應到我們的健全狀況記錄幾乎可以確定可較快得到即將被視為隱私權的違規情形。

我通常已經說過,於大多數的用途數位識別系統需要只能關心是否使用者可以持續介於。 使用者不需要繫結他或她數位身份識別指定的系統實體的識別身份或甚至在另一個系統中使用一個數位身份識別。 使用者應該能夠隱藏它們,則為 True 的識別身份,並隱藏連結至其他的系統是否在相同的敏感度層級或其他的使用不同的數位身分識別。

系統,在本質上必須著重顯示由使用者,宣告的一致性而非繫結這些標準,通常是以 ontological 識別宣告。 只要呈現相同的宣告一組,應該接受使用者,且於大多數的用途都在系統要求。 執行個體需要零售網站。 零售商真的不需要在意使用者實際上是誰,除非法來管理交易需要。 零售商必須只能處理使用者是否可以呈現相同的就是今天以及當它們設定他們的帳戶是否的付款方法仍然正常運作。 在大部分的情況下,足以讓成功的交易。 許多身分識別系統會 overdo 「 識別 」 部分,並嘗試繫結使用者,相較於使用者的身份。

比提供使用者能夠保護或許更重要他或她 ontological 識別是能夠輕鬆製造的識別身份。 數位識別系統之後就都是只是軟體。 它可以很輕易地協助管理以最大化使用者隱私權的識別身份的使用者。 數位身分的系統,實作這項功能代表一個多更好的機會成功以上忽略它。

不要混合信任層級

一個有趣的功能,數位識別系統的是通常需要使用不同的服務提供者的身分識別提供者。 如果使用者置於服務提供者信任不符合的放在識別提供者的信任層級,還有明顯 discord。 如果使用者信任服務提供者,但服務提供者使用無法識別提供者,使用者可能 reluctant 非常因此使用服務提供者。 這可能會發生有趣範例是 Expedia.com。 先前一的 Microsoft 分公司 Expedia 使用 Microsoft Passport,現在 Windows Live ID,驗證, [圖 2 ] 所示。

fig02.gif

[圖 2] Expedia 支援登入 Windows Live ID。

現在讓我們假設使用者信任 Expedia,但不是 Microsoft。 如果 Expedia 所需的 Windows Live ID (這不是) 使用該使用者會願意使用 Expedia 根本嗎? 可能的。 可能不是。 以其中較先發生者大小寫可能,使用者是能夠使用 Expedia 識別上 Expedia 相較於一個,是 Windows Live ID,某些使用者可能會想的。

就說相同的信任問題在另一種方法。 如果使用者信任 Microsoft,但不是 Expedia,使用者可能會願意使用 Expedia,如果需要使用 Windows 存留識別碼。 可能是使用者已經 Windows Live ID 使用高度敏感的用途如保護透過 MSN Money 的銀行帳戶資訊。 在這種情況下,某些使用者可能會 reluctant 使用相同 Windows Live ID,保護活頁簿旅遊保留其銀行帳戶資訊。

系統的這個屬性會與前一個項目有關需要宣告以配合他們保護資訊的敏感度很多。 在一個簡單地說使用者必須信任任何的交易中的某些合作對象,但這些合作對象是受信任的範圍可能會不同。 混合信任層級是可能不信任系統的原因為使用者提供。

不會違反法律或法規 — 或期望

在資訊安全性管理的一些問題今天是為 vexing 為法律及法規的相容性。 雖然許多安全性專業人員可能不想為其最好的朋友法學家想,律師也變得必要原因。 隱私權法律規定,一種,這些法律和規定不同轄區不同。

這樣會引發一個有趣的問題。 讓我們假設特定數位識別系統主動招募依賴合作對象。 識別宣告取得收取的信賴,以提供不是非常地敏感,例如存取討論論壇的資訊。 依賴廠商提供的安全性層級識別宣告 commensurate 資訊的敏感度與它們所做的 — 亦即很少。 現在讓我們假設身份識別提供者簽署合約與一個信用報告,機構,因此修改宣告封包包含國家 (地區) 的 ID 編號或一些表示。 這個新的宣告是突然被傳送至討論區。 討論版的安全性通訊協定沒有提供這樣的資訊,它可能會違反各種法律及法規所需的安全性層級。

這些是通常是簡單的問題,如果要解決,而且如果後接剩餘的原則很可能會違反了這一個,但是很仍然是重要的考量。 同樣地,國家 (地區) 的框線內都適用的數位識別系統必須區分不同的規則。 要求特定的識別資訊可能是完全合法一個管轄單位中 ; 相同要求其他地方的資訊可能不合法或受限於。

就例如要求年齡數位識別系統的一部份讓子系的線上隱私權保護法案限於識別提供者中美國與其他轄區類似法。 如果識別提供者讓不要求任何依賴廠商可以使用該資訊,規範需求被轉移到該信賴中,即使它不想資訊。 很明顯地,很重要數位識別系統能夠顧及法律及法規這些類型,並不將任何人都放入違規。

允許所有的使用者面對的屬性,修改或刪除

最後,數位身份識別系統必須放置在自己的資料的控制項中的使用者。 這可能是最具有爭議性的所有原則。 身份識別提供者通常會檢視它們為商務資料收集的資訊。 使用者,相反的考慮其名稱、 地址及其他資訊依他們適時使用其個人屬性可能包括撤銷其他人的權限讓它。

清楚地,目前作法已經拒絕完全控制其資訊的存取使用者的權限 ; 任何人試圖取得其中一個三個美國 若要刪除個人資訊的信用報告機構可以足以這。 如果即使該資訊會詳細說明為不正確,信用報告的機構是通常高興保留銷售的。 正確性與核准的主體資料的無關。 討論 ethics 系統,其他人允許您不需要您同意的識別資訊從獲利的是不在此的文件的範圍之內,但系統就會被廣泛接受的使用者,數位識別系統必須不將它們控制使用者的資訊。

這表示所有的資訊必須修改包括方面,例如使用者名稱。 一個非常常見的使用者名稱類型就是電子郵件地址。 儘管的事實,使用電子郵件地址作為識別項可能會違反分隔原則,先前所討論的某些,也讓必要使用電子郵件地址做為識別項,因為它是保證是唯一的。 但是,也是可變動的實體和另一個人通常授與是先前使用電子郵件地址。 方法識別系統必須不只允許使用者修改他或她的使用者識別碼,如果電子郵件地址但也系統必須處理新使用者挑選舊的地址時發生的問題。 如果新的使用者嘗試遺忘密碼功能,且收到存取另一位使用者的帳戶資訊發生什麼事? 這可能不最佳。 解除委任的電子郵件地址是完全有效的使用的情況。 數位身份識別系統必須處理這個應變措施以及與其他變更,例如名稱的資訊。

摘要

清楚地,數位識別系統是相當複雜。 不只是它們來建立複雜,我們已經知道,但是他們需要遵守廣泛的成功原則也複雜。 我們可以繪製兩個結論從本文的討論。 首先,數位身份識別系統必須能簡化。 我們已經花了幾年來嘗試設計解決不是透過使用者的使用者的系統。 數位識別系統必須提供具有其資訊的控制項的使用者,而不進行 undue 要求。 極端結尾,它們必須支援要是匿名的使用者。 同樣地,它們必須不需要企業在實作系統,系統不值得多精力。

第二個、 數位識別系統必須提供識別服務的使用方式適當。 它們必須提供的多重層級的支援保證層級的宣告需系統這些宣告用來驗證。 亦即在整個網際網路上, 單一登入可能要將只適合用來管理識別身分的系統,它不會識別本身。

是否曾,我們將會看到單一,非常成功的系統符合所有這些原則會維持到看得見。 大多數人會同意我們還不是有。

Jesper 奕 Johansson 是使用以風險為基礎的安全性願景和安全性策略的一個已知 Fortune 200 公司主要安全性架構。 他也是一個參與 TechNet Magazine 編輯器。 確保安全性,在某些世界中的最大、 最分散式系統組成他的工作。 他擁有一個博士 管理資訊系統中, 有超過 20 年發生的安全性,為 Microsoft 最有價值工程師在企業安全性。 他最新的活頁簿是 Windows Server 2008 Security Resource Kit (Microsoft 按,2008年)。