CON270 Windows CardSpace TM 简介

1. CON270WindowsCardSpaceTM简介

2. 课程内容概述 • Windows CardSpace(代码名“Infocard” )是微软解决用户身份管理的最新技术。它基于元身份系统(Identity Metasystem), 通过开放协议(WS-*)实现不同系统之间安全的身份协商、认证及代理。 • 在这个讲座里，我们将讨论元身份系统背后的设计动机， CardSpace本身的特性，以及包括Windows Communication Foundation（代码名“Indigo”）在内的各种技术如何集成在一起，为您的应用程序、网站或是网络服务带来安全一致的身份管理架构。

3. 课程内容安排 • 当今互联网身份技术遇到的挑战 • 元身份系统 • WindowsCardSpaceTM介绍 • WindowsCardSpaceTM情景详解 • 未来之路

4. 互联网身份技术遇到的挑战

5. 现代社会对互联的要求

6. 你是谁？

7. 互联网的身份危机 由于缺乏统一、安全的网络身份技术： 用户失去信心 “网络钓鱼”等攻击 密码综合症 大量不一致的、自创的身份系统

8. 用户对互联网安全的信心… “由于越来越多的身份盗窃、软件病毒、数据泄漏等事件，消费者对于电子商务的安全越来越谨慎…” 根据Gartner对5000名美国成年人所作的调查，超过42%的人表示对“网络钓鱼”等网络诈骗的顾虑影响了他们的网络行为。接近3/4的受访者表示他们对从哪里购买网上商品更加谨慎了，约1/3的用户则表示，如果不是因为这些顾虑，他们将在网上购买更多的商品。 来源: http://www.redherring.com/Article.aspx?a=12507

9. 用户对互联网安全的信心… 最新的统计数据表明，“网络钓鱼”等攻击主要集中于财务服务网站。所有类似的攻击中，约85%将银行和在线支付中介等机构作为攻击目标。 来源:http://news.com.com/Banks+bearing+the+brunt+of+phishing+scams/2100-1029_3-5543998.html

10. 新的“钓鱼”网站统计数据 2004年12月 –2005年12月 7,197 5,259 5,242 4,564 4,630 4,367 4,280 3,326 2,854 2,870 2,625 2,560 1,707 May Jun Jul Apr Aug Mar Sep Feb Oct Jan Nov Dec04 Dec05 “网络钓鱼” (Phishing) Source:http://www.antiphishing.org

11. 进行密码盗窃的网站统计数据 2500 1912 2000 1500 958 965 918 1044 863 526 1000 495 260 500 Aug Sep July Oct 0 June May Nov Dec April Source:http://www.antiphishing.org

12. 密码综合症

13. 面向互联网的身份系统 解决方案？ 元身份系统 基于开放标准 基于“网络身份定律” 更多详情请参考：http://www.identityblog.com

14. 元身份系统

15. “网络身份定律” • 用户控制及许可 • 最少信息披露原则 • 参与者的合理性 • 身份的“方向性” • 对身份提供商及技术的无关性 • 人的参与 • 用户体验的一致性 欢迎参加在www.identityblog.com的讨论！

16. 微软的愿景: 元身份系统 • 元身份系统是一种身份模型 • 对开发者的抽象层 • 与底层技术无关的方式取得身份数据 • 开发者可以集中尽力于身份数据本身而非底层设施的实现 • 对最终用户的抽象层 • 与技术和情境无关的一致的用户体验 • 使数字身份更具吸引力 • 与现有身份技术可协同工作 • 对现有系统的增强，而非取代 • IT专业人士选择具体的身份技术

17. Windows CardSpaceTM简介

18. Windows CardSpaceTM 一致的用户体验 帮助消除用户名和密码 协助减少“钓鱼”等网络诈骗 支持双因素认证 (T-FA) 更安全 更简便 基于WS-* 系列开放式协议

19. CardSpaceTM运行环境 用户界面(ICardAgt.exe)运行于单独的桌面以及特定的账户下 核心服务(Infocard.exe)于用户界面分离 有效阻止用户态程序的恶意攻击

20. 支持卡片类型 自发布卡片 受管卡片 自己创建 由银行、商店、政府、俱乐部等提供

21. 身分认证的参与者 客户端 依赖方(网站) 身份提供者

22. Contoso租车网

23. 场景过程详解1 使用自发布卡片登录

24. 使用自发布卡片登录 客户端 依赖方(网站)

25. 选择一种自发布卡片 客户端 依赖方(网站)

26. 客户端通过卡片创建一个Token 客户端 依赖方(网站)

27. 客户端加密、签名并返回Token 客户端 依赖方(网站)

28. 场景过程详解2 使用受管卡片登录

29. 使用受管卡片登陆 客户端 依赖方(网站) 身份提供者

30. 选择一张受管卡片 客户端 认证:X509, Kerb, SIC, U/PWD… 身份提供者

31. 向身份提供者请求Token (RST) 客户端 依赖方(网站) 身份提供者

32. 返回Token (RSTR) 客户端 依赖方(网站) 身份提供者

33. WCF程序对CardSpace的支持 • 将WCF服务的绑定(binding)的凭据类型修改为“IssuedToken” • 客户端的绑定也需作类似修改 <wsHttpBinding> <binding name=“infoCardBinding" > <security mode="Message"> <message clientCredentialType="IssuedToken“/> </security> </binding> </wsHttpBinding>

34. 代码示例 创建一个支持WindowsCardSpaceTM的网站

35. a. 对登陆页面的修改

36. b.对登陆页面的修改 public partial class Login_aspx : System.Web.UI.Page { protected void Page_Load(object sender, EventArgs e) { string xmlToken = Request["xmlToken"]; TokenHelper tokenHelper = new TokenHelper(xmlToken); // Lookup the account using the uniqueId string username = MembershipHelper.GetUser( tokenHelper.getUniqueID()); if (username != null) { MembershipUser user = Membership.GetUser(username); // give the cookie back to the browser. FormsAuthentication.SetLoginCookie(user.UserName, false); } } }

37. 未来之路

38. 未来之路 Portable STS Portable STS

39. 未来之路 IDMS Windows CardSpace *nix Linfocard icard STS’ 微软活动目录 PingID, IBM, Sun, …

41. 与本次主题有关的Session和活动 • CON222: 如何将网站身份认证向CardSpace迁移