CON270CON270WindowsWindows CardSpaceCardSpaceTMTM 简介简介

课程内容概述课程内容概述Windows CardSpace(Windows CardSpace( 代码名“代码名“ Infocard” )Infocard” ) 是是微软解决用户身份管理的最新技术。它基于元身份微软解决用户身份管理的最新技术。它基于元身份系统系统 (Identity Metasystem), (Identity Metasystem), 通过开放协议通过开放协议(WS-*)(WS-*) 实现不同系统之间安全的身份协商、认证实现不同系统之间安全的身份协商、认证及代理。及代理。在这个讲座里，我们将讨论元身份系统背后的设计在这个讲座里，我们将讨论元身份系统背后的设计动机， 动机， CardSpaceCardSpace 本身的特性，以及包括本身的特性，以及包括Windows Communication FoundationWindows Communication Foundation （代码（代码名“名“ IndigoIndigo”” ）在内的各种技术如何集成在一起）在内的各种技术如何集成在一起，为您的应用程序、网站或是网络服务带来安全一，为您的应用程序、网站或是网络服务带来安全一致的身份管理架构。致的身份管理架构。

课程内容安排课程内容安排当今互联网身份技术遇到的挑战当今互联网身份技术遇到的挑战元身份系统元身份系统WindowsWindows CardSpaceCardSpaceTMTM 介绍介绍WindowsWindows CardSpaceCardSpaceTMTM 情景详解情景详解未来之路未来之路

互联网身份技术遇到的挑战互联网身份技术遇到的挑战

现代社会对互联的要求现代社会对互联的要求

你是谁？你是谁？

互联网的身份危机互联网的身份危机由于缺乏统一、安全的网络身份技术：由于缺乏统一、安全的网络身份技术：

用户失去信心用户失去信心 ““ 网络钓鱼”等攻击网络钓鱼”等攻击密码综合症密码综合症大量不一致的、自创的身份系统大量不一致的、自创的身份系统

用户对互联网安全的信心用户对互联网安全的信心……““由于越来越多的身份盗窃、软件由于越来越多的身份盗窃、软件病毒、数据泄漏等事件，消费者对病毒、数据泄漏等事件，消费者对于电子商务的安全越来越谨慎于电子商务的安全越来越谨慎…”…”根据根据 GartnerGartner 对对 50005000 名美国成名美国成年人所作的调查，超过年人所作的调查，超过 42%42% 的人的人表示对“网络钓鱼表示对“网络钓鱼””等网络诈骗的等网络诈骗的顾虑影响了他们的网络行为。接近顾虑影响了他们的网络行为。接近3/43/4 的受访者表示他们对从哪里购的受访者表示他们对从哪里购买网上商品更加谨慎了，约买网上商品更加谨慎了，约 1/31/3 的的用户则表示，如果不是因为这些顾用户则表示，如果不是因为这些顾虑，他们将在网上购买更多的商品虑，他们将在网上购买更多的商品。。来源来源 : : http://www.redherring.com/Article.aspx?a=12507http://www.redherring.com/Article.aspx?a=12507

用户对互联网安全的信心用户对互联网安全的信心……

最新的统计数据表明，“网络钓鱼”等最新的统计数据表明，“网络钓鱼”等攻击主要集中于财务服务网站。所有类攻击主要集中于财务服务网站。所有类似的攻击中，约似的攻击中，约 85%85% 将银行和在线支将银行和在线支付中介等机构作为攻击目标。付中介等机构作为攻击目标。来源来源 :: http://news.com.com/Banks+bearing+the+brunt+of+phishinghttp://news.com.com/Banks+bearing+the+brunt+of+phishing+scams/2100-1029_3-5543998.html+scams/2100-1029_3-5543998.html

新的“钓鱼新的“钓鱼””网站统计数据网站统计数据20042004 年年 1212 月月 – – 20052005 年年 1212 月月

Dec04

Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec05

7,197

4,6304,3675,2425,259

4,5644,280

3,3262,8542,8702,6252,560

1,707

Source: http://www.antiphishing.org

““ 网络钓鱼” 网络钓鱼” (Phishing)(Phishing)

2500

2000

1500

1000

500

0April

MayJune July Aug Sep Oct

NovDec

260

495526

918 958 965863 1044

1912

Source: http://www.antiphishing.org

进行密码盗窃的网站统计数据进行密码盗窃的网站统计数据

密码综合症密码综合症

面向互联网的身份系统面向互联网的身份系统基于开放标准基于开放标准基于基于““网络身份定律网络身份定律””

更多详情请参考：更多详情请参考： http://www.identityblog.com

解决方案？解决方案？元身份系统元身份系统

元身份系统元身份系统

““网络身份定律网络身份定律””

1.1. 用户控制及许可用户控制及许可2.2. 最少信息披露原则最少信息披露原则3.3. 参与者的合理性参与者的合理性4.4. 身份的“方向性”身份的“方向性”5.5. 对身份提供商及技术的无关性对身份提供商及技术的无关性6.6. 人的参与人的参与7.7. 用户体验的一致性用户体验的一致性欢迎参加在欢迎参加在 www.identityblog.comwww.identityblog.com 的讨论！的讨论！

微软的愿景微软的愿景 :: 元身份系统元身份系统元身份系统是一种身份模型元身份系统是一种身份模型

对开发者的抽象层对开发者的抽象层与底层技术无关的方式取得身份数据与底层技术无关的方式取得身份数据开发者可以集中尽力于身份数据本身而非底层设施的实现开发者可以集中尽力于身份数据本身而非底层设施的实现

对最终用户的抽象层对最终用户的抽象层与技术和情境无关的一致的用户体验与技术和情境无关的一致的用户体验使数字身份更具吸引力使数字身份更具吸引力

与现有身份技术可协同工作与现有身份技术可协同工作对现有系统的增强，而非取代对现有系统的增强，而非取代ITIT专业人士选择具体的身份技术专业人士选择具体的身份技术

Windows CardSpaceWindows CardSpaceTMTM 简介简介

Windows CardSWindows CardSpacepaceTMTM

一致的用户体验一致的用户体验帮助消除用户名和帮助消除用户名和密码密码

协助减少“钓鱼”协助减少“钓鱼”等网络诈骗等网络诈骗支持双因素认证支持双因素认证(T-FA)(T-FA)

更安全更安全

基于基于WS-* WS-* 系列开放式协议系列开放式协议

更简便更简便

CardSCardSpacepaceTMTM 运行环境运行环境用户界面用户界面 (ICardAgt.exe)(ICardAgt.exe)运行于单独的桌面以及特运行于单独的桌面以及特定的账户下定的账户下核心服务核心服务 (Infocard.exe)(Infocard.exe)于用户界面分离于用户界面分离有效阻止用户态程序的恶有效阻止用户态程序的恶意攻击意攻击

自己创建自己创建 由银行、商店、政府、俱乐部由银行、商店、政府、俱乐部等提供等提供

支持卡片类型支持卡片类型自发布卡片 受管卡片

客户端

依赖方依赖方 (( 网站网站 ))

身份提供者

身分认证的参与者身分认证的参与者

ContosoContoso 租车网租车网

使用自发布卡片登录使用自发布卡片登录场景过程详解场景过程详解 11

客户端

依赖方 ( 网站 )

使用自发布卡片登录使用自发布卡片登录

选择一种自发布卡片选择一种自发布卡片客户端

依赖方 ( 网站 )

客户端

客户端通过卡片创建一个客户端通过卡片创建一个 TokenToken

依赖方 ( 网站 )

客户端

客户端加密、签名并返回客户端加密、签名并返回 TokenToken

依赖方 ( 网站 )

使用受管卡片登录使用受管卡片登录场景过程详解场景过程详解 22

使用受管卡片登陆使用受管卡片登陆客户端

身份提供者依赖方 ( 网站 )

选择一张受管卡片选择一张受管卡片

身份提供者

认证认证 ::X509, Kerb, SIC, X509, Kerb, SIC, U/PWDU/PWD……

客户端

身份提供者

向身份提供者请求向身份提供者请求 Token (RST)Token (RST)

客户端

依赖方 ( 网站 )

返回返回 Token (RSTR)Token (RSTR)

身份提供者

客户端

依赖方 ( 网站 )

WCFWCF 程序对程序对 CardSpaceCardSpace 的支持的支持将将 WCFWCF 服务的绑定服务的绑定 (binding)(binding) 的凭据类型修改的凭据类型修改为为““ IssuedToken”IssuedToken”客户端的绑定也需作类似修改客户端的绑定也需作类似修改

<wsHttpBinding><wsHttpBinding> <binding name=“<binding name=“infoCardBindinginfoCardBinding" >" > <security mode="Message"><security mode="Message"> <message clientCredentialType="IssuedToken“<message clientCredentialType="IssuedToken“ />/> </security></security> </binding></binding></wsHttpBinding></wsHttpBinding>

创建一个支持创建一个支持WindowsWindows CardSpaceCardSpaceTMTM 的网的网站站代码示例代码示例

a. a. 对登陆页面的修改对登陆页面的修改

b.b. 对登陆页面的修改对登陆页面的修改public partial class Login_aspx : System.Web.UI.Page{ protected void Page_Load(object sender, EventArgs e) { string xmlToken = Request["xmlToken"];

TokenHelper tokenHelper = new TokenHelper(xmlToken);

// Lookup the account using the uniqueId string username = MembershipHelper.GetUser( tokenHelper.getUniqueID()); if (username != null) { MembershipUser user = Membership.GetUser(username);

// give the cookie back to the browser. FormsAuthentication.SetLoginCookie(user.UserName, false); } } }

未来之路

未来之路未来之路

PortableSTS

PortableSTS

Windows

CardSpace

未来之路未来之路

*nixLinfocard

icardIDMSIDMS

微软活动目录PingID, IBM, Sun, …

STS’

Technical Chats and Webcastshttp://www.microsoft.com/communities/chats/default.mspx http://www.microsoft.com/usa/webcasts/default.asp

Microsoft Learning and Certificationhttp://www.microsoft.com/learning/default.mspx

MSDN & TechNet http://microsoft.com/msdnhttp://microsoft.com/technet

Virtual Labshttp://www.microsoft.com/technet/traincert/virtuallab/rms.mspx

Newsgroupshttp://communities2.microsoft.com/communities/newsgroups/en-us/default.aspx

Technical Community Siteshttp://www.microsoft.com/communities/default.mspx

User Groupshttp://www.microsoft.com/communities/usergroups/default.mspx

与本次主题有关的与本次主题有关的 SessionSession 和活动和活动CON222: CON222: 如何将网站身份认证向如何将网站身份认证向 CardSpaceCardSpace迁移迁移