51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

别吃错药:四大身份验证场景的协议选择

作者:安全牛
安全 应用安全 数据安全
不同应用场景选错身份验证协议的后果很严重,因为错误的身份验证协议会破坏安全架构基础,并限制未来扩展。那么,常见的身份验证用例都有哪些推荐协议呢?

不同应用场景选错身份验证协议的后果很严重,因为错误的身份验证协议会破坏安全架构基础,并限制未来扩展。那么,常见的身份验证用例都有哪些推荐协议呢?

[[311793]]

身份验证系统无论安装在内部,还是托管在外部,都需要谨慎选择合适的身份验证协议。符合您用例的正确协议,可以使整个系统安全高效运行,并且驱动未来扩展和兼容各种标准。此外,若想使用户身份可被外部服务识别,还需考虑如何在保证过程安全的情况下,便于这些服务摄入用户身份数据。

身份验证指的是通过某种方式识别用户身份,授权资源访问。本文所讨论的身份验证协议包括 SAML 2.0、OpenID Connect (OIDC) 和 OAuth2。注意,OAuth2 并非身份验证协议,但因其使用广泛,可使用户通过 Facebook、亚马逊等社交服务提供商登录,而纳入讨论。

身份、身份验证和授权协议。

这三个协议在功能上常有重叠。

  • 身份协议提供关于用户的信息,比如永久标识符、电话或电子邮件地址,可用作该用户登录您系统的长期标识,从而验证该用户并授权资源访问。SAML 和 OIDE 是最常见的例子。
  • 身份验证协议未必需要个人标识符。比如说,Kerberos 系统就基于透明匿名密钥交换,密钥本身不包含标识数据。
  • OAuth2 和 UMA 等身份验证协议提供的方法,无需资源拥有者共享凭证,即可获得受保护资源的访问权限。此类协议的一个重要方面是交互式用户许可。OAuth2 协议常用于临时身份和身份验证,使用标识符等 OAuth2 过程中返回的用户数据。

由于其灵活性,身份协议在政府、企业和消费领域越来越常用,作为身份验证的最佳实践方法,广泛应用于 Web、移动应用和桌面应用程序。这些协议可能被用于单点登录 (SSO) 应用,需注意 OAuth2 相关问题。

去中心化身份

说到身份验证,不得不提 DID(或称自主身份)。这种身份系统依赖用户存储在移动设备上的身份属性,使用分布式账本技术验证这些属性的持有情况。当前,将这些系统与成熟标准身份协议集成的建议不断提出,现状就是复杂自定义协议,比如 uPort。因此,目前不推荐在通用身份或身份验证用例中使用 DID。不过,Avoco Secure 等提供的编排 API,倒是有望通过转译为标准协议而跨越这个障碍。

四大身份验证用例协议推荐

1. 物联网设备及相关应用

此用例中,应用采用数字身份控制对应用及应用相关云资源的访问,比如说,亚马逊 Alexa 等物联网设备。Alexa 用于创建数据存储账户,然后从中共享数据。

协议选择:OIDC/OAuth2

这是个授权访问资源的简单用例,OAuth2 就很合适,尤其是考虑到智能设备使用相对简单的情况,比如无键盘或屏幕的智能设备。

2. 消费者身份提供商 (IdP)

需向依赖方 (RP) 提供身份数据的在线银行或政府服务归属该类用例。IdP 持有敏感数据,用户属性通过所谓了解客户 (KYC) 过程验证,提供达到标准水平的身份。仅受许可的 RP 能够访问 IdP。

协议选择:SAML、OIDC

SAML 适用于安全要求高的场合。RP 和 IdP 之间的交换都能被双方数字签署和验证。这就保障了双方身份的真实性,防止出现某一方被假冒的情况。此外,还可以加密来自 IdP 的断言,以便不仅仅依赖 HTTPS 防止攻击者触及用户的数据。若想进一步夯实安全性,还可以定期轮转签名和加密密钥。

OIDC 若要达到相同的安全水平,需要额外的加密密钥,如开放银行 (Open Banking)扩展中呈现的那样,其设置和维护可能相对较繁琐。但是,OIDC 得益于 JSON 的使用,相对 SAML 更容易为移动应用所用。

3. 医疗数据共享门户

该用例中,此门户需支持高敏感医疗数据的多种数据共享方式。

协议选择:OIDC、UMA

此处相对合适的选项是 OIDC,因为可能涉及多种设备,其中有些不是基于浏览器的,也就排除掉了 SAML。与 OIDC 关联的内置许可强化了数据共享的隐私性。此外,还可运用签名和加密增强安全性,达到处理此类数据所需的合规要求。

4. 支持身份服务大环境中多服务提供商的系统

保险服务协会就是该用例的一大样本。系统需向用户提供使用现有身份账户连接这些服务的方式。用户可能需要添加所需附加数据。

协议选择:OIDC、OAuth2 和 SAML

用户应能选择一家 IdP,以便已经在不同 IdP 处拥有账户的用户可以方便操作。举个例子,有些用户可能持有政府颁发的身份;其他用户可能仅拥有亚马逊账户或淘宝账户。

赋予用户不同账户类型的选择,可以使用户无需先经历在线注册和验证过程,就能很方便地访问各保险服务。但这就要求每个 RP 支持多个协议,并需处理一家提供商的身份可能不支持全部所需主张或属性的问题。而解决方案就是使用身份编排代理,或采用能够翻译 RP 所需协议和收集全部所需属性的代理服务。

【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文   

 

责任编辑:赵宁宁 来源: 51CTO专栏
身份验证协议网络安全
相关推荐
API 大身份验证安全隐患
最近一连串的API安全事件(Peloton、Experian、Clubhouse等)无疑迫使许多安全和开发团队仔细检查他们的API安全状况,以确保它们不会成为下一个被攻击对象。

2021-08-31 11:59:41

API安全事件身份验证
ASP.NET七大身份验证方式及解决方案
在BS系统开发中,经常需要使用“身份验证”。因为web应用程序非常特殊,和传统的CS程序不同,默认情况下(不采用任何身份验证方式和权限控制手段),当你的程序在互联网局域网上公开后,任何人都能够访问你的web应用程序的资源,这样很难保障应用程序安全性。

2014-12-11 10:05:13

ASP.NET
PPP身份验证之CHAP验证
下面我们来对PPP身份验证和CHAP验证进行一下说明和介绍。那么总体来说这部分的配置并不是非常复杂,望大家都能够掌握。

2010-09-06 11:24:47

CHAP验证PPP身份验证
改变多因素身份验证5趋势
技术限制和用户抵制阻碍了多因素身份验证(MFA)的广泛采用,但是其采应用量正在增长。

2019-10-29 14:11:55

安全多因素身份验证智能
Telnet身份验证体系分析
文章摘要:作为非常著名的Telnet协议,我们通常都会担心它的安全。那么微软也对Telnet的安全实施进行了改善,这里介绍的就是Telnet身份验证。

2010-07-17 00:57:52

Telnet身份验证
通过RPC协议中继NTLM身份验证渗透测试总结
在本文中,我们建议从impacket到已经很好的ntlmrelayx中添加对RPC协议的支持,并探索它提供的新渗透测试方法。

2020-05-26 14:18:41

RPC协议NTLM
用户身份验证:超越密码
对于广大普通用户来说,在访问需要对身份进行确认的指定系统时,密码就属于最经常见到的工具之一。不过,由于密码已经被公认属于效力比较弱的身份验证模式。

2012-04-10 09:36:58

iOS开发ASIHTTPRequest身份验证
本文为大家介绍了iOS开发ASIHTTPRequest身份验证的内容,其中包括为URL指定要使用的用户名和密码,为request指定要使用的用户名和密码,将凭据存储到keychain,将凭据存储到session中,NTLM授权,使用代理来提供凭据,使用内建的授权对话框(目前只对iOS有效),在服务器请求凭据前向服务器发送凭据等等内容。

2013-07-21 18:32:13

iOS开发ASIHTTPRequ
Postfix sasl身份验证功能
通常我们接受邮件时,能看到邮件时从什么人发来的,什么地方发来的,但是信封的地址太容易造假,我们不能把这些当成身份凭据,那我们怎么才能加强这方面的机制呢,来随我看看Postfixsasl身份验证功能,利用好他,其实身份验证很简单。

2011-02-21 10:54:45

四大常用MQ优缺点和应用场景选择
消息队列(MQ),是一种应用程序对应用程序的通信方法。应用程序通过写和检索出入列队的针对应用程序的数据(消息)来通信,而无需专用连接来链接它们。

2023-02-02 09:37:59

消息队列MQ
对多因子身份验证个错误看法
一旦员工落入网络钓鱼陷阱或共享了密码,未实施多因子身份验证(MFA)方法的公司企业便对攻击敞开了大门。拿什么来阻止他们滑向深渊

2019-11-21 14:53:10

多因子身份验证MFA密码
过时密码验证: 识别行为与身份验证
企业IT安全管理新手DominicVogel总结说依靠密码,强化它或其他方式作为安全方式的日子已经过时了。下一步是什么呢?

2012-10-23 16:12:35

身份验证管理交付方式
不同厂商的各种产品之间存在着差异,他们都希望自己的身份验证管理解决方案能够更加吸引用户的眼球。因此我们看到了不同的软件套装和交付方式。而后者就是我们本文讨论的话题。

2009-04-09 23:44:08

软件身份验证用户
Telnet服务器身份验证
文章摘要:下面我们来对Telnet服务器的身份验证系统进行一下介绍。那么如何配置这个呢?文章中就详细介绍了一下,希望能够帮助大家理解这些内容。

2010-07-19 17:30:47

如何推进远程身份验证发展?
错综复杂的情节像是好莱坞间谍电影里的情节。这很有趣,但是并没有必要。十年后,这些生物识别技术和多层次安全协议已经成为现实。

2022-10-31 10:00:00

微软计划在 Windows 11 中禁用 NTLM 身份验证协议
微软表示Kerberos提供了更好的安全保证,并且比NTLM更具可扩展性,现在成为Windows中首选默认协议。

2023-10-12 08:32:39

Windows微软
选择UPS电源四大要素
如何选择适用于专业网络的UPS,使得种类繁杂的UPS产品得以区分选择UPS时需考虑四个关键因素,可以帮助企业挑选到适合自身业务需求的产品。

2021-07-05 09:18:08

UPS电源
使用 Kerberos 进行 SharePoint 身份验证
虽然SharePoint提供了多个身份验证选项和身份验证区域,但在Intranet方案中企业实现的两个最常见选项还是NTLM和Kerberos。这两种协议都用于典型的质询响应方案中的集成Windows身份验证。NTLM依赖于IIS在质询过程中生成令牌,将令牌发送到客户端,客户端用令牌进行响应,域控制器验证该响应。

2010-11-30 15:31:38

SharePoint Kerberos
Windows Hello 身份验证绕过漏洞
微软Windows10无密码身份验证系统中的一个漏洞已被发现,攻击者可以利用该漏洞欺骗人脸图像以欺骗面部识别系统并控制设备。

2021-07-19 10:10:15

身份验证漏洞Windows Hel
DB2身份验证简介
为了保证数据库系统的安全,DB2数据库使用了身份验证机制,那么在什么地方进行身份验证呢?阅读下文,您就可以找到答案。

2010-11-03 16:07:38

DB2身份验证
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服