Скачать презентацию Архитектура Сервисов Аутентификации и Авторизации и сетевая идентификация Скачать презентацию Архитектура Сервисов Аутентификации и Авторизации и сетевая идентификация

544d1cec683558582f2a8adbbd1fc6d1.ppt

  • Количество слайдов: 26

Архитектура Сервисов Аутентификации и Авторизации и сетевая идентификация в Интернет RELARN 2003 19 июня, Архитектура Сервисов Аутентификации и Авторизации и сетевая идентификация в Интернет RELARN 2003 19 июня, 2003 Yuri Demchenko, NLnet Labs June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity Slide 2_

Содержание · Услуги Аутентификации (Auth. N) и Авторизации (Auth. Z) в научных и образовательных Содержание · Услуги Аутентификации (Auth. N) и Авторизации (Auth. Z) в научных и образовательных сетях · Архитектура безопасности на основе XML · Управление доступом на основе ролей (RBAC) · Сетевая идентификация и Liberty Alliance Project · Примеры систем распределенной аутентификации и авторизации · Круглый стол – Грид и безопасность · Справочная информация June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 2

Auth. N/Auth. Z в научных и образовательных сетях · Доступ к многосайтовым Веб/Интернет ресурсам Auth. N/Auth. Z в научных и образовательных сетях · Доступ к многосайтовым Веб/Интернет ресурсам u Перенаправление + cookie (SSO) · Межуниверситетские ресурсы и доступ к внешним ресурсам или предоставление доступа для внешних пользователей · Распределенные университетские кампусы и дистанционное обучение · Грид-центры и Грид-приложения Различные административные домены и домены безопасности u Продолжительные (транзитивные) задачи u Динамические ресурсы u · Системы распределенных интерактивных агентов (IIDS – Interactive Intelligent Disctributed Systems) June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 3

Современная архитектура сервисов Auth. N и Auth. Z Проблемы · Множество логинов/паролей – на Современная архитектура сервисов Auth. N и Auth. Z Проблемы · Множество логинов/паролей – на каждый ресурс/сайт · Ограничение одним доменом безопасности или множество сертификатов открытых ключей · Сложность частичной динамической делегации полномочий Требования к современной архитектуре Auth. N/Z · Разделение сервисов аутентификации (Auth. N) и авторизации (Auth. Z) Аутентификация в «домашней» организации u Авторизация ресурсом u · Конфиденциальность, приватность и анонимность · Управление доступом на основе ролей и политики безопасности (RBAC) · Использование инфраструктуры управления привелегиями (PMI) June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 4

Новая парадигма безопасности приложений Безопасность приложений на основе XML и традиционная модель сетевой безопасноти Новая парадигма безопасности приложений Безопасность приложений на основе XML и традиционная модель сетевой безопасноти Традиционная модель безопаснести (ISO 7498 -2): · · Host-to-host или point-to-point security Ориентированная на архитектуру Client/server Основанные на соединение (connection-oriented) и нет (connectionless) В общем случае единый доверительный домен (на основе PKI) Безопасность приложений основе XML · Безопасность между конечными точками приложений (End-to-end) · Ориентированная на документ (или семантический обьект) u Мандаты и маркеры безопасности могут быть ассоциированы с документом или сообщением или их частью · Потенциально работает между доменами административными и безопасности · Позволяет создавать динамические и виртуальные ассоциации June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 5

Компоненты безопасности XML - приложений · XML Signature · XML Encryption · Декларации безопасности Компоненты безопасности XML - приложений · XML Signature · XML Encryption · Декларации безопасности (Security Assertions) u SAML (Security Assertion Mark-up Language) u Xr. ML (XML Right Mark-up Language) u XACML (XML Access Control Mark-up Language) · XKMS (XML Key Management Specification) · Архитектурные расширения u Web Services Security (WS-Security) u OGSA Security June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 6

Основные черты XML-подписи Фундаментальная черта: возможность подписывать отдельные части документа так же как и Основные черты XML-подписи Фундаментальная черта: возможность подписывать отдельные части документа так же как и целый документ. · XML-документ может иметь длинную историю, при этом различные части докумепнта могут создаваться и визироваться различными субьектами и в различное время · Различные стороны/субьекты могут иметь полномочия подписывать только различные части документа · Позволяет сохранять целостность одних частей документа и иметь возможность изменять другие части документа · Позволяют присоединять маркеры/мандаты безопасности к документу в отличие от использования безопасного соединения клиент/сервер · XML-подпись обеспечивает сервисы безопасности для протколов, основанных на XML u А также основу для включения информации о состоянии June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 7

Структура XML-подписи <Signature ID? > <Signed. Info> <Canonicalization. Method/> <Signature. Method/> (<Reference URI? > Структура XML-подписи ( ()? )+ ()? ()* June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 8

Расширение архитектуры XML-безопасности WS-Security (Web Services Security) · Расширения к формату сообщений SOAP (Simple Расширение архитектуры XML-безопасности WS-Security (Web Services Security) · Расширения к формату сообщений SOAP (Simple Object Access Protocol) u Стандартные заголовки для аутентификации и авторизации, аудита, ассоциаций безопасности, приватности – Обмена удостоверяющими мандатами/маркерами в формате X. 509 PKC, SAML, Xr. ML, XCBF u Цифровая подпись, шифрование · Протоколы для синхронного и асинхронного обмена сообщениями и организации междоменных кооперативных Веб-сервисов OGSA Security (Open Grid Services Architecture) · Построена на основе WS-Security · Функциональность для создания виртуальных организаций (ВО) u u Делегирования полномочий (credentials) и федерация идентификаторов субьекта Анонимность/приватность, ассоциации для управления доступом · Поддержка транзитивных процессов с конечными состояниями (transitional stateful processes) June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 9

Управление доступом на основе ролей RBAC – Role Based Access Control · Роль описывает Управление доступом на основе ролей RBAC – Role Based Access Control · Роль описывает функцию · Права определяют доступ к ресурсу в определенном режиме Преимущества RBAC · · · Легко управлять и контролировать Раздельное назначение роли-пользователи и роли-привилегии Масштабируемость Поддерживает принцип минимально необходимых привилегий Наследование и агрегирование привилегий/прав Возможность делегирования June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 10

Инфраструктура управления привилегиями PMI – Privilege Management Infrastructure · Строится на основе Сертификатов Атрибутов Инфраструктура управления привилегиями PMI – Privilege Management Infrastructure · Строится на основе Сертификатов Атрибутов (AC – Attribute Certificate) · АС совместно с СОК определены стандартом X. 509 version 4 u СОК используется для аутентификации, АС используется для авторизации · PMI как основа для построения RBAC АС позволяет связать идентификатор пользователя с ролями и роли с привилегиями u Поддерживает иерархические системы RBAC, предоставляя возможность обьединения роль и дополнительных привилегий u Ограничивает глубину делегирования u · Политика PMI Используется для контроля доступа к ресурсам на основе ролей u Правила определения ролей для пользователей и привилегий для пользователей u Раздельные политики для субьекта, SOA, иерархия ролей, делегирование, др. u June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 11

Liberty Alliance и сетевая идентификация Liberty Alliance Project (LAP) · LAP вводит понятия провайдера Liberty Alliance и сетевая идентификация Liberty Alliance Project (LAP) · LAP вводит понятия провайдера идентификации (identity provider) и круга доверия (trust circle) · LAP обеспечивает полный контроль за своим идентификатором и ассоциациями/федерациями, которые могут создаваться провайдерами идентификации – на основании предварительного согласия пользователя · LAP использует SAML и расширяет его новыми элементами и протоколами · LAP определяет три модели доверия, основанные на PKI или бизнесотношениях: взаимное, через посредника-брокера и среди сообщества · Основные функции LAP: Федерация идентификации; Представление провайдера идентификации; аутентификация; использование псевдонимов и поддержка анонимности; глобальный выход из системы June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 12

Oткрытые системы для Auth. N/Auth. Z Разработаны в рамках проектов Internet 2, FP 5 Oткрытые системы для Auth. N/Auth. Z Разработаны в рамках проектов Internet 2, FP 5 и национальных научных сетей · PERMIS (Privil. Ege and Role Management Infrastructure Standards validation) - http: //www. permis. org/ · Shibboleth - http: //shibboleth. internet 2. edu/ · A-Select - http: //a-select. surfnet. nl/ · FEIDE (Federated Identity for Education) - http: //www. feide. no/ · PAPI - http: //www. rediris. es/app/papi/index. en. html · SPOCP - http: //www. spocp. org/ June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 13

Круглый стол – Грид и безопасность · · · LJG, EGEE and RDIG Technologies Круглый стол – Грид и безопасность · · · LJG, EGEE and RDIG Technologies for GRID – promotion, experience exchange, implementaion Virtual Organisations – reality vs virtuality Security technologies for modern networking infrastrcuture and applications Terminology on GRID and Security · GLORIAD Project – http: //www. gloriad. org/ · Mailing lists: [email protected] org - closed [email protected] org - open June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 14

Справочная информация · · XML Web Services WS-Security OGSA basics OGSA Security June 19, Справочная информация · · XML Web Services WS-Security OGSA basics OGSA Security June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 15

Архитектура на основе XML Web Service • Описание на основе WSDL (Web Services Description Архитектура на основе XML Web Service • Описание на основе WSDL (Web Services Description Language) • Обмен сообщениями в формате SOAP при помощи протоколов HTTP, SMTP, TCP, etc. • Публикация и поиск посредством UDDI Веб-сервис – программная система, идентифицируемая URI, интерфейс внешнего доступа которой and bindings описываются при помощи XML. Другие программные системы могут обнаруживать и взаимодействовать с Веб-сервисами в соответствии с их описанием на основе использования XML-сообщений посредством протоколов Интернет. June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 16

Модель безопасности Web Services Security token types • Username/password • X. 509 PKC • Модель безопасности Web Services Security token types • Username/password • X. 509 PKC • SAML • Xr. ML • XCBF WS-Security: describes how to attach signature and encryption headers to SOAP messages. In addition, it describes how to attach security tokens, including binary security tokens such as X. 509 certificates, SAML, Kerberos tickets and others, to messages. Core Specification - Web Services Security: SOAP Message Security http: //www. oasis-open. org/committees/download. php/1043/WSS-SOAPMessage. Security-11 -0303. pdf June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 17

WS-Security: Расширения к формату SOAP Заголовок SOAP (Header) URI: http: //schemas. xmlsoap. org/ws/2002/04/secext Маршрутизация WS-Security: Расширения к формату SOAP Заголовок SOAP (Header) URI: http: //schemas. xmlsoap. org/ws/2002/04/secext Маршрутизация SOAP (Routing) Пространства имен, используемые в WS-Security: SOAP S http: //www. w 3. org/2001/12/soap-envelope XML Digital Sign ds http: //www. w 3. org/2000/09/xmldsig# XML Encryption xenc http: //www. w 3. org/2001/04/xmlenc# XML/SOAP Routing m http: //schemas. xmlsoap. org/rp WSSL wsse http: //schemas. xmlsoap. org/ws/2002/04/secext Маркеры/мандаты (Security token) Цифровая подпись Dig. Signature description: Normalisation Transformation Signed elements Dig. Signature value Ref to DSign Sec token Содержание сообщения SOAP (SOAP Payload) June 19, 2003 RELARN 2003 Элементы безопасности · Заголовок определяет конечного получателя/исполнителя · Допускаются множественные заголовки/получатели · Новые заголовки Auth. N/Auth. Z Services and Network Identity 18

Open Grid Services Architecture (OGSA) · WSDL extensions to describe specifics of Grid Services Open Grid Services Architecture (OGSA) · WSDL extensions to describe specifics of Grid Services Defines new port. Type - Grid. Service u Provides mechanism to create Virtual Organisation u Provides mechanism to create transient services - Factories u Provides soft-state registration of GSH - Registry u · Grid services can maintain internal state for the lifetime of the service. The existence of state distinguishes one instance of a service from another that provides the same interface. · OGSA services can be created and destroyed dynamically · Grid Service is assigned globally (persistent) unique name, the Grid service handle (GSH) · Grid services may be upgraded during their lifetime and referenced by Grid (dynamic) service reference (GSR) June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 19

Архитектура безопасности OGSA Security Построена на основе WS-Security June 19, 2003 RELARN 2003 Auth. Архитектура безопасности OGSA Security Построена на основе WS-Security June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 20

Proxy Certificate Profile · Impersonation – used for Single-Sign-On and Delegation Unrestricted Impersonation u Proxy Certificate Profile · Impersonation – used for Single-Sign-On and Delegation Unrestricted Impersonation u Restricted Impersonation defined by policy u · Proxy with Unique Name Allows using in conjunction with Attribute Cert u Used when proxy identity is referenced to 3 rd party, or interact with VO policy u · Limited validity time – approx. 24 hours Proxy Certificate (PC) properties: · It is signed by either an X. 509 End Entity Certificate (EEC), or by another PC. This EEC or PC is referred to as the Proxy Issuer (PI). · It can sign only another PC. It cannot sign an EEC. · It has its own public and private key pair, distinct from any other EEC or PC. · It has an identity derived from the identity of the EEC that signed the PC. · Although its identity is derived from the EEC's identity, it is also unique. · It contains a new X. 509 extension to identify it as a PC and to place policies on the use of the PC. This new extension, along with other X. 509 fields and extensions, are used to enable proper path validation and use of the PC. June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 21

Reference: PKI Basics PKI (Public Key Infrastructure) – Инфраструктура открытых ключей (ИОК) · Связывает Reference: PKI Basics PKI (Public Key Infrastructure) – Инфраструктура открытых ключей (ИОК) · Связывает идентификатор (имя собственное, distinguished name) субьекта с его открытым ключом · Основа ИОК – Сертификат открытого ключа (СОК, PKC - Public Key Certificate) u CRL – Certificate Revocation List · Компоненты ИОК Identification Service (IS) u Registration Authority (RA) u Certification Authority (CA) u Certificate Repository (CR), normally built on LDAP u June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 22

Reference: PKC vs AC: Purposes · X. 509 PKC binds an identity and a Reference: PKC vs AC: Purposes · X. 509 PKC binds an identity and a public key · AC is a component of X. 509 Role-based PMI AC contains no public key u AC may contain attributes that specify group membership, role, security clearance, or other authorisation information associated with the AC holder u Analogy: PKC is like passport, and AC is like entry visa u · PKC is used for Authentication and AC is used for Authorisation – AC may be included into Authentication message · PKC relies on Certification Authority and AC requires Attribute Authority (AA) June 19, 2003 RELARN 2003 Auth. N/Auth. Z Services and Network Identity 23

PKC vs AC: Certificates structure X. 509 PKC · Version · Serial number · PKC vs AC: Certificates structure X. 509 PKC · Version · Serial number · Signature · Issuer · Validity · Subject Public key info · Issuer unique identifier · Extensions June 19, 2003 RELARN 2003 AC · · · · · Version Holder Issuer Signature Serial number Validity Attributes Issuer unique ID Extensions Auth. N/Auth. Z Services and Network Identity 24

X. 509 PKC Fields and Extensions – RFC 3280 X. 509 PKC Fields · X. 509 PKC Fields and Extensions – RFC 3280 X. 509 PKC Fields · Serial Number · Subject Public Key · Issuer Unique ID · Subject Unique ID X. 509 PKC Extensions · Standard Extensions u u u u X. 509 PKC Fields · Private Extensions u u u Authority Information Access Subject Information Access · Custom Extensions u u u June 19, 2003 RELARN 2003 Authority Key Identifier Subject Key Identifier Key Usage Extended Key Usage CRL Distribution List Private Key Usage Period Certificate Policies Policy Mappings Subject Alternative Name Issuer Alternative Name Subject Directory Attributes Basic Constraints Name Constraints Auth. N/Auth. Z Services and Network Identity 25

AC Attribute Types and AC Extensions AC Attribute Types · Service Authentication Information · AC Attribute Types and AC Extensions AC Attribute Types · Service Authentication Information · Access Identity · Charging Identity · Group · Role · Clearance · Profile of AC June 19, 2003 RELARN 2003 AC Extensions · Audit Identity To protect privacy and provide anonymity u May be traceable via AC issuer u · · AC Targeting Authority Key Identifier Authority Information Access CRL Distribution Points Auth. N/Auth. Z Services and Network Identity 26