用户投稿客户端的属性或属性值无法向IdP认证客户端。例如,提交用户名和员工ID的用户将不会向IdP进行身份验证。
.以明文形式传输的密码很容易受到攻击,但是它可以对客户端进行身份验证,例如,PAP是一个典型示例。
.由密码的哈希值加密的时间戳要求客户端和IdP都共享密钥以解密和验证身份。
.由主体的私钥加密的来自IdP的随机数利用了质询/响应和非对称加密的功能。来自IdP的随机数是一个挑战。如果客户端通过其私钥作为响应来加密随机数,则只有成对的公钥才能对其进行解密。
认证方式
身份验证(authentication)是“验证用户,进程或设备的身份的过程,通常将其作为允许访问信息系统中资源的先决条件”。(FIPS 200)
.凭据将主体的身份绑定到包含机密的身份验证器。通过证明其拥有和控制验证器、出示凭据,甚至直接提交机密来验证主体。。
.身份(identity)是“一组属性值(即特徵),通过它可以识别实体,并且在身份管理者的职责範围内,足以将该实体与任何其他实体区分开。” (NIST SP 800-161)
参考
.身份管理
.建立身份
资料来源: Wentz Wu QOTD-20210112
微信扫一扫打赏
支付宝扫一扫打赏
