信息安全原理与技术ch06-身份认证与访问控制.pptVIP

Ch6-身份认证与访问控制 图 6.3 OpenID的工作流程 Ch6-身份认证与访问控制 （1）终端用户请求登录RP网站，用户选择了以OpenID方式来登录。 （2）RP将OpenID的登录界面返回给终端用户。 （3）终端用户以OpenID登陆RP网站。 （4）RP网站对用户的OpenID进行标准化。OpenID以xri://、xri://$ip或者xri://$dns开头，先去掉这些符号；然后对如下的字符串进行判断，如果第一个字符是=、@、+、$、!，则视为标准的XRI，否则视为HTTP URL（若没有http,为其增加http://）。 OpenID的交互过程： Ch6-身份认证与访问控制 （5）RP发现IDP，如果OpenID是XRI，就采用XRI解析，如果是URL，则用YADIS协议解析，若YADIS解析失败，则用HTTP发现。 （6）RP跟IDP建立一个关联。两者之间可以建立一个安全通道，用于传输信息并降低交互次数。 （7）IDP处理RP的关联请求。 （8）RP请求IDP对用户身份进行验证。 （9）IDP对用户认证，如请求用户进行登录认证。 （10）用户登录IDP。 Ch6-身份认证与访问控制 （11）IDP将认证结果返回给RP。 （12）RP对IDP的结果进行分析。 （13）RP分析后，如用户合法，则返回用户认证成功，可以使用RP服务。 Ch6-身份认证与访问控制 OpenID的交互流程如图6.4所示 Ch6-身份认证与访问控制 OAuth协议 OAuth是一个开放的授权协议，允许用户在不泄露用户名/密码的情况下，和其他网站共享存储在另一个网站上的个人资源(照片、视频、通信录等)。 OAuth是一种授权服务，不同于OpenID，但与OpenID相辅相成。OAuth是为了让用户授权一个应用程序去访问用户的信息。 IETF目前正在起草OAuth2.0协议 。 OAuth2.0定义了如下4个角色：资源所有者、客户端、资源服务器、授权服务器 。 Ch6-身份认证与访问控制 (1)资源所有者（Resource Owner）：一个实体，能授权一个应用（即客户端）访问受保护的资源。 (2)客户端（Client）：代表受保护资源的应用程序，能获得授权并请求访问受保护的资源。 (3)资源服务器（Resource Server）：一个服务器，托管受保护资源的服务器，通过存取令牌（token）接收受保护资源的访问请求，并能应答对受保护的资源的请求。 (4)授权服务器（Authorization Server）：一个服务器，能成功认证资源所有者及获得资源所有者的授权，认证成功及获得授权后能发布访问令牌（token）。它可能与资源服务器合设，也可能是一个独立的网络设备。 Ch6-身份认证与访问控制 OAuth2.0的工作流程 OAuth2.0的工作流程如图6.5所示： Ch6-身份认证与访问控制 (1)客户端想要访问受资源所有者控制的网络资源，但客户端并不知道资源所有者的认证凭证。客户端需要在授权服务器注册，以便获取客户端的认证凭据(如client_id，client_secret)。客户端请求资源所有者授权，访问用户的网络资源。 (2)资源所有者在授权客户端访问前，资源所有者需要通过授权服务器的认证。 (3)资源所有者认证成功后，客户端接收到一个访问资源授权凭证，授权凭证代表资源所有者允许客户端访问网络资源。 (4)客户端向授权服务器请求访问令牌，请求消息包含用于认证客户端的认证凭证和访问资源的授权凭证。 Ch6-身份认证与访问控制 (5)授权服务器根据客户端的认证凭证认证客户端，并验证资源访问授权凭证的有效性，如果都成功，则向客户端发布一个访问令牌。 (6)客户端向资源服务器请求访问受保护的资源，请求包含一个访问令牌。资源服务器验证访问令牌的有效性，如果有效，则客户端能访问资源服务器上受保护的资源。 OAuth是一个令牌的协议。能用于Web2.0中授权第三方安全访问网络资源。一些电信运营商已认可OAuth能确保第三方应用安全访问电信网络资源，而且GSMA 的RCS计划已经明确要求使用OAuth2.0来保证网络资源的授权访问。 Ch6-身份认证与访问控制 OpenID和OAuth的作用就是为开放平台提供规范、简洁、安全的通信、授权和管理机制。这两种协议已经得到了很多大型厂商的支持 ，如Yahoo，Facebook，Twitter，Microsoft，Google等，国内的新浪，豆瓣，腾讯等都已开始应用这两项技术。 Ch6-身份认证与访问控制 6.2访问控制概述 一个经过计算机系统识别和验证后的用户（合法用户）进入系统后，并非意味着他具有对系统所有资源的访问权限。 访问控制的任务 就是要根据一