Tích hợp OpenID và OAuth mở rộng với thẻ thông tin CardSpace Trương Đình Trường Trường Đại học Công nghệ Luận văn ThS ngành: Công nghệ phần mềm; Mã số: 60 48 10 Người hướng dẫn: TS.. V
Trang 1Tích hợp OpenID và OAuth mở rộng với thẻ
thông tin CardSpace Trương Đình Trường
Trường Đại học Công nghệ Luận văn ThS ngành: Công nghệ phần mềm; Mã số: 60 48 10
Người hướng dẫn: TS Võ Đình Hiếu
Năm bảo vệ: 2012
Abstract: Tổng quan về hệ thống quản lý định danh trình bày chi tiết về hệ thống quản lý
định danh, bao gồm các nguyên tắc, mô hình hoạt động chung, một số hệ thống quản lý định danh hiện nay, cùng một số vấn đề khi xây dựng hệ thống quản lý định danh Tìm hiểu về CardSpace, OpenID và OAuth trình bày chi tiết về hệ thống quản lý định danh CardSpace, OpenID và OAuth , bao gồm nội dung, giao thức, mô hình, phương pháp và giao thức tích hợp OpenID với CardSpace, OAuth với CardSpace Tìm hiểu, phân tích, đưa ra phương pháp tích hợp OpenID và OAuth mở rộng với CardSpace Tích hợp OpenID và OAuth mở rộng với thẻ thông tin CardSpace trình bày chi tiết nội dung, giao thức OpenID và OAuth mở rộng, phân tích những ưu điểm của OpenID và OAuth mở rộng so với OpenID, OAuth Từ đó đưa ra mô hình và phương pháp tích hợp OpenID và OAuth mở rộng với thẻ thông tin CardSpace Thực nghiệm hệ thống trình bày về phần thực nghiê ̣m cho mô hình
Keywords: Công nghệ phần mềm; Hệ thống phần mềm; Thẻ thông tin CardSpace; Quản
lý định danh
Content
I GIỚITHIỆU
Trong nỗ lực để đơn giản hóa quản lý định danh và giảm thiểu việc tấn công định danh, một
số hệ thống quản lý định danh được đề xuất (ví dụ: CardSpace, OpenID, OAuth, …) Trong luận văn này, chúng tôi nghiên cứu một trường hợp liên quan tới một Card thông tin cho phép bởi RP (Relying Party), một OpenID và OAuth cho phép bởi IdP (Identity Provider) Từ đó đưa ra mô hình tích hợp OpenID và OAuth mở rộng với thẻ thông tin CardSpace
Trang 2II TÍCHHỢPOPENIDVÀOAUTHVỚICARDSPACE
A Giới thiệu CardSpace
CardSpace được Microsoft tích hợp vào từ hệ điều hành Windows Vista và là một phần mềm khách mà cho phép người dùng cung cấp nhận dạng số của họ tới các dịch vụ trực tuyến một cách đơn giản, tin cậy [1]
B Giới thiệu OpenID và OAuth mở rộng
Nhà cung cấp vừa sử dụng OpenID như một cơ chế xác thực người dùng, đồng thời cũng sử dụng OAuth cho việc truy cập dữ liệu của người dùng Từ đó đã hình thành lên đặc tả mới đó là đặc tả OpenID và OAuth mở rộng [2]
C Tích hợp OpenID và OAuth mở rộng với thẻ thông tin Cardspace
Mô hình tích hợp được thể hiện thông qua các bước sau:
1 UA→RP: Yêu cầu trang đăng nhập từ RP
2 RP→UA: RP trả lại một trang đăng nhập
3 Extension→UA: Extension kiểm tra RP có hỗ trợ cho việc đặng nhập bằng CardSpace hay không
4 User→UA: User chọn biểu tượng đăng nhập bằng CardSpace
5 Selector→InfoCard: Selector hiển thị nổi bật những thẻ thỏa mãn với chính sách của RP
6 User→Selector: User lựa chọn thẻ phù hợp
7 Selector↔SIIP: Selector gửi mã RST tới SIIP và SIIP sẽ trả lại Selector một RSTR
8 Selector→Extension/UA: Extension sẽ chặn RSTR không được gửi tới RP
9 Nếu RP sử dụng HTTP: Extension sẽ sử dụng địa chỉ của IdP được lấy trong RSTR để khởi tạo yêu cầu xác thực OpenID có nhúng chấp nhận OAuth và gửi tới IdP
10 Nếu RP sử dụng HTTPS thì Extension gợi ý User nhập vào địa chỉ IdP và khởi tạo yêu cầu xác thực OpenID có nhúng chấp nhận OAuth và gửi tới IdP
11 IdP→User: IdP xác thực người dùng
12 RP↔IdP: RP sử dụng “request token” để trao đổi lấy “access token” với IdP
13 Extension→RP: Extension khôi phục mã SAML và thông tin User từ IdP rồi gửi tới RP
14 RP→User: RP xác minh mã SAML Nếu hợp lệ thì RP cho phép User truy cập
III KẾTLUẬN
Luận văn đã tìm hiểu được nội dung, giao thức của CardSpace, OpenID, OAuth, OpenID và OAuth mở rộng Từ đó đưa ra mô hình tích hợp OpenID và OAuth mở rộng với thẻ thông tin CardSpace Kế hoạch trong tương lại của luận văn tiếp tục nghiên cứu CardSpace để cho phép tích hợp với nhiều nhà cung cấp định danh khác như: Shibboleth
References
Tiếng Anh
[1] Thierry Nabeth, Mireille Hildebrandt “D 2.1 Inventory of topics and clusters”, FIDIS WP2, Wednesday, 21 September 2005
http://www.fidis.net/fileadmin/fidis/deliverables/fidis-wp2-del2.1_Inventory_of_topics_and_clusters.pdf
[2] Axel Bucker (2005) Federated Identity Management And Web Services Security With IBM Tivoli Security Solutions An IBM Redbooks
Trang 3[3] Joseph A Stanko (2007), “ Single sign-on over the internet using public-key
cryptography”, US Patent 7, 246, 230
[4] Microsoft (2005), “ Microsoft’s Vision for an Identity Metasystem”, http://www.identityblog.com/stories/2005/10/06/IdentityMetasystem.pdf
[5] A Nanda “Identity selector interoperability profile v1 0” Microsoft Corporation, 2007
[6] Andreas Pfitzmann, Marit Hansen (2010) “Anonymity, Unlinkability, Undetectability, Unobservability, Pseudonymity, and Identity Management”
http://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.31.pdf
[7] Gail-Joon Ahn, John Lam (2005), “Managing privacy preferences for federated identity management”, New York, USA: ACM Press
http://wiki.piratenpartij.nl/_media/pdf:onderzoek:ahn-managing_privacy_preferences_for_federated_identity.pdf
[8] Michael B Jones, “A Guide to Using the Identity Selector Interoper-ability Profile V1.5 within Web Applications and Browsers Microsoft Corporation”, 2008
[9] Vittorio BertoRPi, Garrett Serack and Caleb Baker, “Understanding windows CardSpace: An introduction to the concepts and challenges of digital identities”,
2007
[10] Tim Berners-Lee (2005) “Uniform Resource Identifier (URI): Generic Syntax” http://tools.ietf.org/html/rfc3986
[11] David Recordon and Brad Fitzpatrick OpenID Authentication 1.1, 2006 http://openid.net/specs/openid-authentication-1_1.html
[12] OpenID Community OpenID Authentication 2.0 | Final, 2007 http://openid.net/specs/openid- authentication- 2_0.html
[13] Haitham S Al-Sinani and Chris J Mitchell “Client-based CardSpace-OpenID
interoperation” In Proceedings of ISCIS '11 | the 26th In-ternational Symposium on
Computer and Information Sciences, London, UK, 26-28 September 2011
[14] Eran Hammer-Lahav The OAuth 1.0 Protocol | RFC5849, 2010 http://tools.ietf.org/html/rfc5849
[15] H S Al-Sinani, “Browser Extension-based Interoperation Between OAuth and
Information Card-based Systems”, Technical Report: RHUL–MA–2011–15
(Department of Mathematics, Royal Holloway, Univer-sity of London), 2011, http://www.ma.rhul.ac.uk/static/techrep/2011/RHUL-MA-2011-15.pdf
[16] David Recordon, D.Balfanz , D Recordon and J Smarr OpenID OAuth Extension,
10 september 2008 http://step2.googlecode.com/svn/spec/ope nid_oauth_extension/drafts/0/ openid_oauth_extension.html