Google xác thực người dùng

Sau khi Google xác thực người dùng thành công thì một mã SAML được gửi tới Sannhac.com. Mã SAML này bao gồm các thuộc tính của người dùng mà được cung cấp bởi Google và chữ ký số RSTR được SIIP phát ra. Hình 4.8 mình họa một phần thông tin của thẻ CardSpace trong mã SAML. Sannhac.com sẽ kiểm các thông tin trong mã SAML này. Nếu thông tin là hợp lệ thì Sannhac.com sẽ cho phép người dùng truy cập . Hình 4.9 là kết quả của việc sử dụng thẻ CardSpace đăng nhập vào Sannhac.com. oo le c th c n i d ng i d n qu n tru c p <saml:AttributeStatement> <saml:Attribute AttributeName="givenname" AttributeNamespace=http://schemas.xmlsoap.org/ws/2005/05/identity/claims> <saml:AttributeValue>truongtd217</saml:AttributeValue> </saml:Attribute> <saml:Attribute AttributeName="emailaddress" AttributeNamespace=http://schemas.xmlsoap.org/ws/2005/05/identity/claims> <saml:AttributeValue>truongtd217@gmail.com</saml:AttributeValue> </saml:Attribute>

Hình 4.8: Thông tin của thẻ CardSpace nằm trong mã SAML

Hình 4.9: Kết quả sử dụng CardSpace đăng nhập vào Sannhac.com

4.3 Phân tích sự bảo mật và tính dễ sử dụng

SAML token không được ký được sinh ra bởi Extension trong bước 11 của mục 3.2 bao gồm PPID , các thuộc tính của người dùng được cung cấp bởi IdP , RSTR đã được ký được SIIP phát ra. Một thực thể giả tạo không thể tạo ra một SAML để giả danh trang RP, vì nó không có quyền truy cập tới ba thành phần chính của token là:

<saml:Attribute AttributeName="gender" AttributeNamespace=http://schemas.xmlsoap.org/ws/2005/05/identity/claims> <saml:AttributeValue>1</saml:AttributeValue> </saml:Attribute> <saml:Attribute AttributeName="webpage " AttributeNamespace=http://schemas.xmlsoap.org/ws/2005/05/identity/claims> <saml:AttributeValue>google.com/accounts/o8/id</saml:AttributeValue> </saml:Attribute> <saml:Attribute AttributeName="streetaddress" AttributeNamespace=http://schemas.xmlsoap.org/ws/2005/05/identity/claims> <saml:AttributeValue>google.com/accounts/o8/id</saml:AttributeValue> </saml:Attribute> <saml:Attribute AttributeName="privatepersonalidentifier " AttributeNamespace=http://schemas.xmlsoap.org/ws/2005/05/identity/claims> <saml:AttributeValue>OcGHXGQcRpYVGUpDkfxneSZaJ2+/ZYNHXAz9 sK33K3g=</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>

PPID, RSTR đã được ký bởi SIIP, RSTR chỉ được cấp nếu InfoCard được chọn trên nền tảng đúng và các thông tin của người dùng do IdP cung cấp, cái này chỉ được cung cấp khi người dùng xác thực thành công với IdP . Ngoài ra , các tham số nonce và timestamp được sử dụng để ngăn chặn những cuộc tấn công lặp lại.

Chương trình có những ưu điểm là: lợi thế của một “Cardspace Identity Selector”, và được hỗ trợ bởi tính năng bảo mật được xây dựng chính trong CardSpace. Ví dụ: khi được gọi, “Identity selector” chạy trong một môi trường sandbox, môi trường này tách “identity selector” đang chạy với phần còn lại trên máy người dùng. Điều này giúp bảo vệ “identity selector” với bất kỳ chương trình độc hại nào mà có thể đang chạy trên máy của người dùng. Ngoài ra, tất cả các giá trị được chèn vào trong một số trường của thẻ cá nhân được lưu trữ, mã hóa trên máy của người dùng.

4.4 Kết quả thực nghiệm

Với mục đích minh họa việc tích hợp giao thức OpenID và OAuth mở rộng với thẻ thông tin CardSpace, chúng tôi đã xây dựng ngữ cảnh và chương trình thực nghiệm dựa trên trang web sannhac .com cùng với nhà cung cấp dị ch vụ là Google. Thông qua quá trình thực nghiệm chúng tôi đã đạt được những kết quả như nhau:

 Thể hiện được các bước của giao thức tích hợp OpenID và OAuth mở rộng với CardSpace trong ngữ cảnh chương trình , từ việc người dù ng đăng nhập , lựa chọn thẻ CardSpace , xác thực với nhà cung cấp dịch vụ Google và được chấp nhận bởi trang web sannhac.com.

 Chương trình thực thi cũng minh họa và thể hiện được sự khác biệt giữa việc sử dụng giao thức OpenI D và OAuth mở rộng so với việc chỉ sử dụng OAuth . Sự khác biệt đó thể hiện qua số bước tương tác giữ a sannhac.com và Google. Nếu s ử dụng giao thức OAuth thì số bước tương tác là ba , còn khi sử dụng giao thức OpenID và OAuth mở rộng thì số bước chỉ là hai.

 Do CardSpace chỉ mặc định hỗ trợ trên trình duyệt IE7 trở đi nên chương trình chưa thực hiện được trên các trình duyệt khác như : Firefox, Chrome, Opera, v.v.

Trong chương 4 đã mô tả chi tiết về hệ thống và đưa ra ngữ cảnh của chương trình. Từ đó, luận văn đã áp dụng mô hình và phương pháp tích hợp OpenID và OAuth mở rộng ở trong chương 3 vào trong ngữ cảnh của chương trình.

KẾT LUẬN

Hiện nay , người dùng sử dụng nhiề u hệ thống quản lý định danh mà mỗi hệ thống lại có cơ chế thực hiện định danh khác nhau nên người dùng sẽ cảm thấy khó khăn trong việc nhớ và quản lý những thuộc tính định danh của mình , vì vậy, các hệ thống quản lý định danh đã ra đời để giúp để giúp quản lý các thuộc tính định danh của người dùng , đảm bảo tính an toàn và tiện quản lý các thuộc tính định danh của người dùng . Từ đó, luận văn đã tìm hiểu được nội dung và các t hành phần của hệ thống quản lý định danh , bao gồm các nguyên tắc , mô hình hoạt động chung , một số hệ thống quản lý định danh hiện nay , cùng một số vấn đề khi xây dựng hệ thống quản lý định danh. Ngoài ra, luận văn cũng t ìm hiểu nội dung và giao thức của CardSpace , OpenID, OAuth, mối quan hệ giữa các hệ thống quản lý định danh CardSpace , OpenID, OAuth và phương pháp tích hợp giữa OpenID với CardSpace , giữa OAuth với CardSpace. Từ đó, luận văn tiến hành nghiên cứu, đề xuất, thực hiện và giải quyết được những vấn đề sau:

 Tìm hiểu nội dung và giao thức của OpenID và OAuth mở rộng.

 Phương pháp tích hợp OpenID và OAuth mở rộng với thẻ thông tin

CardSpace.

 Xây dựng được chư ơng trình thực nghiệm mình họa cho phương pháp tích hợp OpenID và OAuth mở rộng với CardSpace . Chương trình này là trong suốt với IdP và IS , sử dụng một trình duyệt mở rộng và chỉ yêu cầu thay đổi nhỏ đối với RP . Chương trình đã lợi dụng được điểm giống nhau giữa IdP và CardSpace, điều này làm giảm công sức cần thiết cho việc xây dựng một hệ thống tích hợp đầy đủ . Ngoài ra, việc thực hiện chương trình cũng không yêu cầu sự hợp tác kỹ thuật giữa Microsoft và các nhà cung cấp dịch vụ.

 So sánh, đánh giá việc sử dụng OpenID và OAuth mở rộng với việc sử dụng OpenID, OAuth.

Luận văn cũng đưa ra được những ưu điểm của việc sử dụng OpenID và OAuth mở rộng so với việc sử dụng OpenID hoặc OAuth.

Những ưu điểm của việc sử dụng OpenID và OAuth so với OAuth

 OAuth sử dụng cơ chế ba bước để có thể xin được sự ủy quyền của người dùng, thẻ truy cập và truy cập vào dữ liệu người dùng so với sử dụ ng OpenID và OAuth mở rộng với chỉ có hai bước.

 Giảm tương tác giữa RP và IdP : Trong OAuth, để RP có thể lấy được dữ liệu người dùng từ IdP phải trải qua ba bước. Còn khi sử dụng OAuth và OpenID mở rộng, chỉ cần trải qua 2 bước thì RP có thể lấy được dữ liệu của người dùng trên IdP. Từ đó, việc sử OAuth và OpenID mở rộng sẽ làm giảm tương tác giữa RP và IdP so với việc sử dụng OAuth

 Tăng hiệu năng của mô hình tích hợp với CardSpace : Từ mô hình, phương pháp tích hợp OAuth với CardSpace, OpenID và OAuth mở rộng với

CardSpace thì chúng tôi thấy việc xác thực và lấy thông tin người dùng khi sử dụng OpenID và OAuth mở rộng sẽ nhanh hơn so với việc sử dụng OAuth. Điều này xuất phát từ việc giảm thiểu số bước trao đổi thông tin giữa RP và IdP của OpenID và OAuth mở rộng so với OAuth.

Những ưu điểm của việc sử dụng OpenID và OAuth mở rộng so với OpenID

 Sử dụng OpenID chỉ là một cơ chế xác thực người dùng

 Sử dụng OpenID và OAuth mở rộng vừa là cơ chế xác thực người dùng vừa l à cơ chế truy cập vào dữ liệu của người dùng.

Kế hoạch trong tương lai của luận văn sẽ tiếp tục nghiên cứu CardSpace Identity Selector để cho phép truy cập và tích hợp tới các nhà cung cấp nhận dạng khác như : Shibboleth, Liberty, OpenID, OAuth, v.v. Luận văn cũng sẽ mở rộng chương trình để hỗ trợ đồng thời nhiều nhà cung cấp định danh , nhiều RP mà cho phép hỗ trợ CardSpace. Vì CardSpace chỉ được Microsoft hỗ trợ từ trình duyệt IE7, do vậy, luận văn tiếp tục mở rộng và hoàn thiện chương trình để có thể hỗ trợ việc gọi CardSpace từ nhiều trình duyệt khác nhau như: Firefox, Opera, Chrome, v.v.

TÀI LIỆU THAM KHẢO Tiếng Anh

[1] Thierry Nabeth, Mireille Hildebrandt. “D 2.1 Inventory of topics and clusters”, FIDIS WP2, Wednesday, 21 September 2005.

http://www.fidis.net/fileadmin/fidis/deliverables/fidis-wp2- del2.1_Inventory_of_topics_and_clusters.pdf

[2] Axel Bucker (2005). Federated Identity Management And Web Services Security With IBM Tivoli Security Solutions. An IBM Redbooks.

[3] Joseph A. Stanko (2007), “ Single sign-on over the internet using public-key cryptography”, US Patent 7, 246, 230.

[4] Microsoft (2005), “ Microsoft’s Vision for an Identity Metasystem”, http://www.identityblog.com/stories/2005/10/06/IdentityMetasystem.pdf [5] A. Nanda. “Identity selector interoperability profile v1. 0”. Microsoft

Corporation, 2007.

[6] Andreas Pfitzmann, Marit Hansen (2010). “Anonymity, Unlinkability,

Undetectability, Unobservability, Pseudonymity, and Identity

Management”.

http://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.31.pdf

[7] Gail-Joon Ahn, John Lam (2005), “Managing privacy preferences for federated identity management”, New York, USA: ACM Press. http://wiki.piratenpartij.nl/_media/pdf:onderzoek:ahn-

managing_privacy_preferences_for_federated_identity.pdf

[8] Michael B. Jones, “A Guide to Using the Identity Selector Interoper-ability Profile V1.5 within Web Applications and Browsers. Microsoft Corporation”, 2008.

[9] Vittorio BertoRPi, Garrett Serack and Caleb Baker, “Understanding windows CardSpace: An introduction to the concepts and challenges of digital identities”, 2007.

[10] Tim Berners-Lee (2005). “Uniform Resource Identifier (URI): Generic Syntax”. http://tools.ietf.org/html/rfc3986.

[11] David Recordon and Brad Fitzpatrick. OpenID Authentication 1.1, 2006. http://openid.net/specs/openid-authentication-1_1.html.

[12] OpenID Community. OpenID Authentication 2.0 | Final, 2007.

http://openid.net/specs/openid- authentication- 2_0.html.

[13] Haitham S. Al-Sinani and Chris J. Mitchell. “Client-based CardSpace- OpenID interoperation”. In Proceedings of ISCIS '11 | the 26th In-

ternational Symposium on Computer and Information Sciences, London,

[14] Eran Hammer-Lahav. The OAuth 1.0 Protocol | RFC5849, 2010. http://tools.ietf.org/html/rfc5849.

[15] H. S. Al-Sinani, “Browser Extension-based Interoperation Between OAuth and Information Card-based Systems”, Technical Report: RHUL–MA– 2011–15 (Department of Mathematics, Royal Holloway, Univer-sity of London), 2011, http://www.ma.rhul.ac.uk/static/techrep/2011/RHUL-MA- 2011-15.pdf.

[16] David Recordon, D.Balfanz , D. Recordon and J. Smarr . OpenID OAuth Extension, 10 september 2008. http://step2.googlecode.com/svn/spec/ope nid_oauth_extension/drafts/0/ openid_oauth_extension.html.

Giao thức tích hợp giữa OpenID và CardSpace