Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Während das Internet immer wertvoller für uns wird, steht es auch vor bedeutenden Herausforderungen. Online-Identitätsdiebstahl, Betrug und Datenschutzprobleme häufen sich. Benutzer müssen den Überblick über eine wachsende Anzahl von Konten und Kennwörtern behalten. Dies führt zur sogenannten "Password Fatigue" (Kennwortermüdung), einem Phänomen, dass die Überforderung der Benutzer durch die Vielzahl zu merkender Namen und Kennwörter beschreibt. Dadurch entstehen unsichere Praktiken wie die Nutzung des selben Benutzernamens und Kennworts bei mehreren Websites.
CardSpace ist Microsofts Umsetzung eines Identitätsmetasystems. Mit diesem System können Benutzer aus einer Reihe ihnen gehörender Identitäten wählen, um diese in verschiedenen Kontexten zu verwenden. Dort werden die Identitäten unabhängig von dem der Erstellung und Verwendung zugrunde liegenden Identitätssystem akzeptiert. Dieses Thema erläutert die Problemstellung und wie die CardSpace-Lösung im Detail aussieht, und zeigt auf, wie Windows Communication Foundation (WCF)-Benutzer CardSpace verwenden können. Viele der vorhandenen Probleme resultieren daraus, dass es keine weit verbreitete Identitätslösung für das Internet gibt.
Möglichkeiten und Herausforderungen
Sowohl für private als auch für geschäftliche Benutzer wird das Internet auch weiterhin immer wertvoller. Heute nutzen mehr Leute das Internet für alltägliche Dinge, von Einkäufen, Bankgeschäften und Rechnungsbegleichung bis hin zum Konsum von Medien- und Unterhaltungsprodukten. Der E-Commerce wächst, da Unternehmen immer mehr Dienste und Inhalte im Internet anbieten, online kommunizieren und zusammenarbeiten, und neue Wege entwickeln, Verbindungen untereinander aufzubauen.
Doch während der finanzielle Wert der Onlineaktivitäten zugenommen hat, wurde das Internet selbst komplexer und gefährlicher. Online-Identitätsdiebstahl, Betrug und Datenschutzprobleme häufen sich. Außerdem werden zunehmend raffinierte Vorgehensweisen, wie z. B. das sogenannte "Phishing", entwickelt. Als Reaktion wurde eine Vielzahl von Systemen zum Schutz der Identität erdacht. Diese Vielfalt führt zu dem bereits genannten Problem der Password Fatigue und zu unsicheren Vorgehensweisen.
Die Ursache dieser Probleme ist, dass bei der Entwicklung des Internets noch nicht an ein System für digitale Identität gedacht wurde. Um diesen Mangel zu beheben, wurden zahlreiche digitale Identitätssysteme eingeführt, die alle eigene Stärken und Schwächen aufweisen. Aber keines dieser einzelnen Systeme erfüllt die Anforderungen aller digitalen Identitätsszenarios. Tatsächlich sind heute viele verschiedene Identitätssysteme in Gebrauch, und es werden immer noch weitere entwickelt. Dadurch entsteht ein inkonsistentes Sammelsurium von improvisierten Lösungen auf jeder Website, das das System im Ganzen instabil werden lässt und die volle Ausschöpfung der Möglichkeiten des E-Commerce einschränkt.
Offenes Identitätsmetasystem
Da die allgemeine Umsetzung eines einzigen digitalen Identitätssystems oder einer entsprechenden Technologie sich vermutlich niemals durchsetzen wird, erfordert die erfolgreiche und weithin angewandte Identitätslösung für das Internet einen anderen Ansatz: Einen Ansatz, der bestehende und zukünftige Identitätssysteme zu einem Identitätsmetasystem (oder "System von Systemen") verbinden kann. Dieses Metasystem nutzt die Stärken der eingesetzten Identitätssysteme, schafft Kompatibilität zwischen ihnen und ermöglicht die Entwicklung einer konsistenten und einfachen Benutzeroberfläche, über die auf alle Systeme zugegriffen werden kann. Die im Cyberspace daraus entstehenden Verbesserungen sind für alle von Vorteil. Sie machen das Internet zu einem sichereren Ort und haben das Potenzial, den E-Commerce anzukurbeln, das Phishing zu bekämpfen und weitere Herausforderungen im Zusammenhang mit digitaler Identität zu lösen.
Beibehalten der Systemvielfalt
In der Welt jenseits des Internets tragen Menschen viele Formen der Identifikation in ihren Brieftaschen bei sich, beispielsweise einen Führerschein oder andere von staatlichen Stellen ausgestellte Papiere oder Kreditkarten und Karten wie Kunden- oder Bonuskarten. Die Menschen entscheiden selbst, welche Karte sie verwenden und wie viel Information sie in einer bestimmten Situation preisgeben.
Auf ähnliche Weise macht das Identitätsmetasystem es Benutzern leichter, sicher und kontrolliert auf Ressourcen im Internet zuzugreifen. Der Benutzer kann eine Identität aus dem Bestand seiner digitalen Identitäten auswählen und verwendet diese bei einem Internetdienst seiner Wahl, bei dem die Identitäten akzeptiert werden. Mit dem Metasystem können Identitäten, die von einer Identitätssystemtechnologie bereitgestellt werden, innerhalb von auf unterschiedlichen Technologien basierenden Systemen verwendet werden, solange es einen Vermittler gibt, der beide Technologien versteht und willens und vertrauenswürdig genug ist, die erforderlichen Übersetzungen vorzunehmen.
Ein wichtiger Aspekt ist, dass das Identitätsmetasystem weder mit den Identitätssystsmen, die es verbindet, in Konkurrenz steht, noch sie ersetzen soll. Die Ziele des Identitätsmetasystems sind stattdessen: die einzelnen Identitätssysteme zu verbinden, ein nahtloses Zusammenspiel zu ermöglichen, Anwendungen eine von Technologie unabhängige Darstellung von Identitäten bereitzustellen, und eine bessere und konsistentere Benutzeroberfläche zu bieten. Das Metasystem verlässt sich auf die einzelnen Systeme, um seine Arbeit zu erledigen.
Identitäten abhängig vom Kontext
Die Identifikationspapiere, die eine Person in der Offline-Welt besitzt, reichen von wichtigen, wie Geburtsurkunde, Pass und Führerschein, zu banalen, wie Visitenkarten oder einer Kundenkarte vom Pizzadienst. Menschen verwenden die verschiedenen Formen der Identifikation in den verschiedenen Kontexten, in denen diese akzeptiert werden.
Identitäten können in einen Kontext passen oder nicht. Im falschen Kontext verwendete Identitäten führen in der Regel nicht zum gewünschten Ergebnis. Der Versuch, mit der Karte vom Pizzadienst eine Grenze zu überqueren, ist ein eindeutiges Beispiel für falschen Kontext. Andererseits ist die Verwendung einer Bankkarte am Geldautomaten, eines Personalausweises an der Grenze, einer Kundenkarte beim Pizzadienst und eines Passport Network (früher: .NET Passport)-Kontos bei MSN Hotmail eindeutig kontextgerecht.
In manchen Fällen ist der Unterschied weniger offensichtlich. Mit Ihrem Personalausweis können Sie vielleicht auch dann bei Ihrer Bank Geld vom Konto abheben, wenn Sie Ihre Bankkarte vergessen haben, aber wenn dies bedeuten würde, dass der Staat von jeder finanziellen Transaktion erfährt, würden sich viele Menschen unwohl dabei fühlen. Sie können mit Ihrem Sozialversicherungsausweis Ihr Alter nachweisen, aber das erleichtert Identitätsdiebstahl. Und Sie können Passport-Konten bei den Websites von einigen anderen Anbietern als Microsoft verwenden, aber nur wenige Sites führten dies ein, und selbst wenn, nutzten nur wenige Menschen diese Möglichkeit, da sie das Gefühl hatten, die Mitwirkung von Microsoft bei diesen Interaktionen sei nicht kontextgerecht.
Die Auswertung der Erfahrungen mit Passport und anderen digitalen Identitätsinitiativen in der Branche führte zur Zusammenarbeit mit einem vielfältigen Team von Branchenexperten, aus der eine Reihe von Prinzipien hervorgingen, die von entscheidender Bedeutung für ein erfolgreiches, weithin umgesetztes und dauerhaftes digitales Identitätssystem im Internet sind. Im folgenden Abschnitt werden diese Prinzipien beschrieben.
Prinzipien ('Identitätsgesetze')
Das offene Identitätsmetasystem wurde basierend auf einer Reihe von Prinzipien (oder "Identitätsgesetzen") entworfen, die mit fortlaufendem Feedback und Input von einer großen Gemeinschaft zum Thema digitale Identität entwickelt wurden.
Die Prinzipien, auf denen ein Identitätssystem beruhen sollte, sind Folgende.
- Benutzerkontrolle und -zustimmung
Identitätssysteme geben Informationen, die einen Benutzer identifizieren, nur mit Zustimmung des Benutzers preis.
- Minimale Offenlegung für eine eingeschränkte Zeit
Die Identitätssystemlösung, die die geringste Menge an identifizierender Information offen legt, ist die stabilste und langfristigste Lösung.
- Berechtigte Seiten
Identitätssysteme legen identifizierende Informationen nur gegenüber Seiten offen, die eine notwendige und berechtigte Position in einer bestimmten Identitätsbeziehung einnehmen.
- Gerichtete Identität
Identitätssysteme unterstützen sowohl "omnidirektionale" Identifikatoren, die von öffentlichen Entitäten genutzt werden, als auch "unidirektionale" Identifikatoren, die von Privatpersonen genutzt werden, um so die Erkennung zu erleichtern, während unnötiges Aufdecken der wechselseitigen Beziehungen vermieden wird.
- Pluralismus von Operatoren und Technologien
Identitätssysteme aktivieren die Innenleben mehrerer, von unterschiedlichen Identitätsanbietern betriebener Identitätstechnologien, und führen diese zusammen.
- Integration des Menschen
Identitätssysteme definieren den menschlichen Benutzer als Komponente des verteilten Systems. Dies geschieht durch unzweideutige Mensch-Maschine-Kommunikationsmechanismen, die vor Identitätsangriffen schützen.
- Konsistente Benutzeroberfläche in allen Kontexten
Identitätssysteme erleichtern den Austausch zwischen einer abhängigen Seite und dem Benutzer einer bestimmten Identität. Dies schafft eine harmonische Schnittstelle zwischen Mensch und Technik und lässt gleichzeitig Identitätsautonomie in unterschiedlichen Kontexten zu.
Offene Identitätsmetasystem-Architektur
In diesem Abschnitt wird die allgemeine Architektur eines offenen Identitätsmetasystems behandelt.
Rollen
Verschiedene Seiten nehmen auf verschiedene Arten am Metasystem teil. Die Rollen innerhalb des Metasystems sind:
Identitätsanbieter geben Identitäten aus. Mögliche Beispiele: Kreditkartenanbieter geben Identitäten aus, mit denen Bezahlung möglich ist, Unternehmen geben Identitäten an ihre Kunden aus, Staaten geben Identitäten an ihre Bürger aus und Privatpersonen nutzen selbst erstellte Identitäten in Kontexten wie dem Anmelden bei einer Website.
Abhängige Seiten verlangen Identitäten. Beispielsweise eine Website oder ein Onlinedienst, der Identitäten verwendet, die von anderen Seiten angeboten werden.
Inhaber sind die Privatpersonen und anderen Entitäten, über die Ansprüche gemacht werden. Beispiele sind Endbenutzer, Firmen und Organisationen.
Jede Person und Instanz, die Teil eines Identitätsmetasystems ist, kann alle Rollen übernehmen, und jede Person und Instanz kann mehr als eine Rolle zur gleichen Zeit übernehmen. Oft übernimmt eine Person oder eine Entität alle drei Rollen gleichzeitig.
Komponenten
In diesem Abschnitt werden die Hauptkomponenten und -begriffe des Metasystems beschrieben.
Das Metasystem besteht aus fünf Hauptkomponenten:
Eine Art, Identitäten mithilfe von Ansprüchen darzustellen.
Ein Mittel, mithilfe dessen Identitätsanbieter, abhängige Seiten und Inhaber verhandeln können.
Ein kapselndes Protokoll, um Ansprüche und Anforderungen zu erhalten.
Ein Mittel, um Technologie und organisatorische Grenzen mithilfe von Anspruchstransformationen zu überbrücken.
Eine konsistente Benutzeroberfläche in mehreren Kontexten, Technologien und Operatoren.
Anspruchbasierte Identitäten
Identitäten bestehen aus Sätzen von Ansprüchen, die über den Inhaber der Identität gemacht werden. Auf einem Führerschein können zum Beispiel folgende Ansprüche enthalten sein: ausstellender Landkreis, Führerscheinnummer, Name, Adresse, Geburtsdatum, erlaubte Fahrzeugtypen usw. Der ausstellende Landkreis versichert die Richtigkeit der Ansprüche.
Zu den Ansprüchen auf einer Kreditkarte können die Identität des Kartenausstellers, der Name des Karteninhabers, die Kontonummer, die Gültigkeitsdauer und die Unterschrift des Karteninhabers gehören. Der Kartenaussteller versichert die Richtigkeit der Ansprüche.
Auf einer selbst ausgestellten Identität (z. B. Visitenkarten) können Ansprüche wie Name, Adresse und Telefonnummer stehen. Bei selbst ausgestellten Identitäten versichern Sie selbst die Richtigkeit der Ansprüche.
Verhandlung
Verhandlung ermöglicht es den Teilnehmern im Metasystem, Übereinkünfte zu treffen, um innerhalb des Metasystems Verbindungen zueinander herzustellen. Durch Verhandlung werden Technologien, Ansprüche und Anforderungen festgelegt, die für alle Teilnehmer akzeptabel sind. Wenn z. B. eine Seite SAML- und X.509-Ansprüche versteht und eine andere Kerberos- und X.509-Ansprüche, verhandeln die Seiten und entscheiden sich dafür, untereinander X.509-Ansprüche zu verwenden. Ein anderer Verhandlungstyp legt fest, ob von einer der abhängigen Seiten geforderte Ansprüche von einer bestimmten Identität bereitgestellt werden können. Beide Verhandlungsarten sind einfache Übereinstimmungsprüfungen. Sie vergleichen, was eine Seite bieten kann, mit dem, was eine andere erfordert, um Übereinstimmungen festzustellen.
Kapselndes Protokoll
Das kapselnde Protokoll stellt einen Technologie-neutralen Weg zum Austausch von Ansprüchen und Anforderungen zwischen Inhabern, Identitätsanbietern und abhängigen Seiten bereit. Die Teilnehmer bestimmen den Inhalt und die Bedeutung von dem, was getauscht wird, nicht das Metasystem. So könnte das kapselnde Protokoll beispielsweise einer Anwendung erlauben, SAML-kodierte Ansprüche abzurufen, ohne dass es das SAML-Protokoll verstehen oder implementieren muss.
Anspruchstransformatoren
Anspruchstransformatoren überbrücken organisatorische und technische Grenzen, indem sie Ansprüche, die in einem System verstanden werden, in Ansprüche übersetzen, die in einem anderen System verstanden und als vertrauenswürdig akzeptiert werden. So wird die Masse der Clients und Server von der Komplexität der Anspruchsbewertung befreit. Anspruchstransformatoren transformieren oder verfeinern möglicherweise auch die Semantik von Ansprüchen. Der Anspruch "Ist ein Angestellter" könnte beispielsweise in den neuen Anspruch "Darf Buch kaufen" umgewandelt werden. Der Anspruch "Geboren 22. März 1960" könnte in den Anspruch "Alter über 21" transformiert werden, wodurch willentlich weniger Informationen preisgegeben werden. Anspruchstransformatoren können auch genutzt werden, um Anspruchsformate zu ändern. Zum Beispiel könnten Ansprüche in Formaten wie X.509, Kerberos, SAML 1.0, SAML 2.0 oder SXIP in Ansprüche transformiert werden, die mit anderen Technologien ausgedrückt werden. Anspruchstransformatoren bieten nicht nur die heute benötigte Interoperabilität, sondern darüber hinaus die erforderliche Flexibilität zur Integration neuer Technologien.
Konsistente Benutzeroberfläche
Viele Identitätsattacken hatten Erfolg, weil die Benutzer sich von der Darstellung auf dem Bildschirm in die Irre führen ließen, und nicht aufgrund von unsicheren Kommunikationstechnologien. Phishing-Attacken treten beispielsweise nicht in dem gesicherten Kanal zwischen Webservern und Browsern auf – einem Kanal, der tausende von Kilometern lang sein kann – sondern in den wenigen Zentimetern zwischen Browser und dem Menschen, der ihn einsetzt. Das Identitätsmetasystem versucht deswegen, Benutzern das Treffen von informierten und vernünftigen Identitätsentscheidungen zu erleichtern, indem es die Entwicklung einer konsistenten, verständlichen und integrierten Benutzeroberfläche für diese Entscheidungen ermöglicht.
Ein Schlüssel zur Sicherung des gesamten Systems ist die Bereitstellung einer leicht erlernbaren, vorhersagbaren Benutzeroberfläche, die immer gleich aussieht und funktioniert, unabhängig davon, welche zugrunde liegenden Identitätstechnologien verwendet werden. Ein weiterer Schlüssel ist, wichtige Informationen klar darzustellen, also z. B. die Identität der Seite, bei der Sie sich gerade identifizieren, auf eine Art anzuzeigen, die Manipulationsversuche offensichtlich macht. Der Benutzer muss darüber informiert werden, welche Elemente persönlicher Information die abhängigen Seiten anfordern, und zu welchem Zweck. So können Benutzer informierte Entscheidungen darüber treffen, ob sie diese Informationen offen legen möchten oder nicht. Und schließlich bietet die Benutzeroberfläche dem Benutzer die Möglichkeit, aktiv der Offenlegung zuzustimmen, wenn er die Bedingungen akzeptiert.
WS-*-Spezifikationen
Wie andere Features von WCF basiert die CardSpace-Technologie auf einem Satz offener Spezifikationen, der WS-* Web Services-Architektur. Das kapselnde Protokoll, das für die Anspruchstransformation verwendet wird, ist WS-Trust. Verhandlungen werden mit WS-MetadataExchange und WS-SecurityPolicy durchgeführt. Diese Protokolle ermöglichen die Entwicklung eines Technologie-neutralen Identitätsmetasystems und bilden sein "Rückgrat". Wie andere Webdienstprotokolle erlauben sie außerdem, neue Arten von Identitäten und Technologien zu integrieren und zu verwenden, wenn sie in der Branche entwickelt und angewendet werden.
Um die zur breiten Umsetzung nötige Interoperabilität zu unterstützen, werden die Spezifikationen für WS-* veröffentlicht und stehen zur freien Verfügung. Außerdem wurden sie und werden sie weiterhin bei offenen Standardisierungsinstitutionen eingereicht und ermöglichen die lizenzgebührenfreie Entwicklung von Anwendungen.
Durchgängiges Szenario
Die folgende Abbildung veranschaulicht die Gesamtheit der Prozesse, die bei der Verwendung von CardSpace zum Zugriff auf eine Seite mit Benutzerauthentifizierung auftreten.
.gif)
Schlussfolgerung
Viele der heutigen Probleme des Internets, von Phishing-Attacken bis hin zu inkonsistenten Benutzeroberflächen, entstehen aus dem Flickenteppich der digitalen Identitätslösungen, den Softwareentwickler geschaffen haben, weil sie nicht auf ein einigendes und strukturiertes Systems für digitale Identität zurückgreifen konnten. Ein Identitätsmetasystem, wie es durch die Identitätsgesetze definiert wird, bietet ein einheitliches Gewand für digitale Identität, verwendet vorhandene und zukünftige Identitätssysteme, sorgt für Interoperabilität zwischen ihnen und ermöglicht die Entwicklung einer konsistenten und unkomplizierten Benutzeroberfläche, über die auf alle zugegriffen werden kann. Microsoft konzentriert seine Anstrengungen auf die Identitätsgesetze und arbeitet mit Anderen aus der Branche zusammen, um ein auf den veröffentlichten WS-*-Protokollen basierendes Identitätsmetasystem aufzubauen. Dank dieser Protokolle werden die Microsoft-Anwendungen vollständig kompatibel mit denen anderer Anbieter sein. Microsofts Umsetzung der Komponenten des Identitätsmetasystems ist das CardSpace-System.
Dank CardSpace können viele der Gefahren, Komplikationen, Ärgernisse und Unsicherheiten bisheriger Onlineerfahrungen bald der Vergangenheit angehören. Der weitläufige Einsatz des Identitätsmetasystems hat das Potenzial, viele dieser Probleme zu lösen, wovon alle profitieren können und wodurch das langfristige Wachstum der Verbindungen beschleunigt wird, indem die Online-Welt sicherer, vertrauenswürdiger und benutzerfreundlicher gestaltet wird. Microsoft arbeitet gemeinsam mit Anderen aus der Branche daran, das Identitätsmetasystem zu definieren und bereitzustellen.
.gif)
Senden Sie Kommentare zu diesem Thema an Microsoft.
Copyright © 2007 by Microsoft Corporation. Alle Rechte vorbehalten.