Windows CardSpace
Windows CardSpace — ныне отмененное клиентское ПО с патентованной технологией единого входа от Microsoft. WCS — это способ идентификации пользователей при перемещении между ресурсами Интернета без необходимости повторного ввода имен и паролей.
В отличие от ранее используемых технологий унифицированной идентификации (например, Microsoft Passport) WCS управляет непосредственно пользователями и приложениями, с которыми устанавливается контакт (а не из централизованного ресурса). Можно применять разные схемы и уровни сложности для идентификации при доступе на Web-форумы и для банковских операций.
15 февраля 2011 корпорация Майкрософт объявила об отмене Windows CardSpace 2.0 и о работе над замещающим ПО U-Prove.
Содержание
Критика
- Реализация Windows CardSpace гораздо сложнее альтернативных вариантов (например, OpenID).
- Требуется установка дополнительного ПО (или встроенная поддержка в ОС).
- Нет простой и быстрой возможности перенести или взять с собой личные ключи на другой компьютер, например, в Интернет-кафе.
- Технологии CardSpace запатентованы Microsoft, [1] так что в реальности нет возможности создать сторонние приложения, использующие её.
См. также
Ссылки
Литература
- Кристиан Нейгел, Билл Ивьен, Джей Глинн, Карли Уотсон, Морган Скиннер C# 2005 и платформа .NET 3.0 для профессионалов = Professional C# 2005 with .NET 3.0. — М .: «Диалектика», 2007. — ISBN 978-5-8459-1317-3
Примечания
 Программные интерфейсы и фреймворки Microsoft Windows | |
|---|---|
| Графика | Проводник Windows • DirectX • Direct3D • GDI • Windows Presentation Foundation • Windows Color System • Windows Image Acquisition • Windows Imaging Component |
| Звук | DirectSound • DirectMusic • XACT • Speech API • MME |
| Мультимедиа | DirectShow • Windows Media • Media Foundation |
| Веб | MSHTML • MSXML • Платформа RSS для Windows • JScript • ActiveX • XMLHttpRequest • Гаджеты |
| Доступ к данным | Компоненты Microsoft Data Access • Extensible Storage Engine • ADO.NET • Sync Framework • Jet-механизм |
| Сети | Winsock (LSP) • Filtering Platform • NDIS • Windows Rally • Сервис фоновой интеллектуальой передачи данных • P2P API |
| Коммуникации | TAPI |
| Администрирование | Консоль Win32 • Windows Script Host • Инструментарий управления Windows • PowerShell • Планировщик задач • Offline Files • Теневое копирование • Windows Installer • Диспетчер ошибок Windows • Журнал событий Windows |
| Модель компонентов | COM • COM+ • DCOM • .NET Framework |
| Библиотеки | Microsoft Foundation Classes (MFC) • Active Template Library (ATL) • Windows Template Library (WTL) • Base Class Library (BCL) |
| Разработка драйверов | Windows Driver Model • Windows Driver Foundation (KMDF • UMDF) |
| Безопасность | CryptoAPI (CAPICOM) • Windows CardSpace • Data protection API • Security Support Provider Interface |
| .NET | .NET Framework • ASP.NET • ADO.NET • .NET Remoting • Windows Presentation Foundation • Windows Workflow Foundation • Windows Communication Foundation • Windows CardSpace • XNA Framework • Silverlight • Библиотека параллельного программирования |
| Межпроцессное взаимодействие | Dynamic Data Exchange (DDE) • MSRPC • Именованные каналы |
| Текст и поддержка языков | Framework Текстовых сервисов • Объектная модель текстов • Редактор метода ввода • Языковые пакеты • Многоязычный интерфейс |
| Игры | XNA Framework • DirectX |
| .NET Framework | |
|---|---|
| Архитектура | Base Class Library • Common Language Infrastructure • .NET assembly • метаданные • COM Interop |
| Инфраструктура | Common Language Runtime • Common Type System • Common Intermediate Language • Virtual Execution System • Dynamic Language Runtime |
| Языки Microsoft | C# • Cω • Visual Basic .NET • C++/CLI (Managed) • Visual J# • JScript .NET • Windows PowerShell • IronPython • IronRuby • F# • Spec# • Sing# |
| Другие языки | A# • Boo • IronLisp • L# • Nemerle • P# • PascalABC.NET • PHP • Scala • Delphi Prism |
| Windows Foundations | Presentation • Communication • Workflow |
| Компоненты | ADO.NET (Entity Framework · Data Services) · ASP.NET (AJAX · MVC · Dynamic Data) · .NET Remoting · Language Integrated Query · Windows CardSpace · Windows Forms · XAML · ClickOnce · Dynamic Language Runtime · Parallel FX Library (PLINQ · TPL) |
| Реализации | DotGNU • Mono • .NET Compact Framework (Xbox 360) • .NET Micro Framework • Portable.NET • XNA Framework • Silverlight • Shared Source Common Language Infrastructure |
| Сравнения | C# и Java • C# и Visual Basic .NET |
| Будущие технологии | Acropolis • Jasper |
| API и фреймворки Microsoft | |
|---|---|
| Графика | Desktop Window Manager · Direct2D · Direct3D (extensions) · GDI / GDI+ · WPF · Windows Color System · Windows Image Acquisition · Windows Imaging Component |
| Аудио | DirectMusic · DirectSound · DirectX plugin · XACT · Speech API · XAudio2 |
| Мультимедиа | DirectX (Media Objects · Video Acceleration) · DirectInput · DirectShow · Image Mastering API · Managed DirectX · Media Foundation · XNA · Windows Media · Video for Windows |
| Web | MSHTML · RSS Platform · JScript · VBScript · BHO · XDR · SideBar Gadgets |
| Доступ к данным | Data Access Components · Extensible Storage Engine · ADO.NET · ADO.NET Entity Framework · Sync Framework · Jet Engine · MSXML · OLE DB · OPC |
| Сеть | Winsock (LSP) · Winsock Kernel · Filtering Platform · Network Driver Interface Specification · Windows Rally · BITS · P2P API · MSMQ · MS MPI · DirectPlay |
| Коммуникации | Messaging API · Telephony API · WCF |
| Win32 console · Windows Script Host · WMI (extensions) · PowerShell · Task Scheduler · Offline Files · Shadow Copy · Windows Installer · Error Reporting · Event Log · Common Log File System | |
| Компонентная модель | COM · COM+ · ActiveX · Distributed Component Object Model · .NET Framework |
| Библиотеки | Base Class Library (BCL) · Microsoft Foundation Classes (MFC) · Active Template Library (ATL) · Windows Template Library (WTL) |
| Драйверы устройств | Windows Driver Model · Windows Driver Foundation (KMDF · UMDF) · WDDM · NDIS · UAA · Broadcast Driver Architecture · VxD |
| Безопасность | Crypto API (CAPICOM) · Windows CardSpace · Data Protection API · Security Support Provider Interface (SSPI) |
| .NET | ASP.NET · ADO.NET · Base Class Library (BCL) · Remoting · Silverlight · TPL · WCF · WCS · WPF · WF |
| Программное обеспечение | EFx Factory · Enterprise Library · Composite UI · CCF · CSF |
| IPC | MSRPC · Dynamic Data Exchange (DDE) · Remoting · WCF |
| Доступность | Active Accessibility · UI Automation |
| DirectWrite · Text Services Framework · Text Object Model · Input method editor · Language Interface Pack · Multilingual User Interface · Uniscribe | |
Wikimedia Foundation . 2010 .
Смотреть что такое «Windows CardSpace» в других словарях:
Windows CardSpace — (codenamed InfoCard), is Microsoft s client software for the Identity Metasystem. CardSpace is an instance of a class of identity client software called an Identity Selector. CardSpace stores references to users digital identities for them,… … Wikipedia
Windows CardSpace — (ehemals InfoCard) ist Bestandteil des Microsoft .NET Frameworks. CardSpace ist eine Technologie zur Identitätsverwaltung und kann zur Authentifizierung und/oder Identifizierung gegenüber Webseiten und Webservices genutzt werden. Unter Windows… … Deutsch Wikipedia
Windows CardSpace — (nom de code : InfoCard), est un système désormais obsolète de gestion d identités par authentification unique mise en place par Microsoft pour son système d exploitation Windows Vista. Microsoft a annoncé le 15 février 2011 son abandon,… … Wikipédia en Français
CardSpace — Windows CardSpace (ehemals InfoCard) ist Bestandteil des Microsoft .NET Frameworks. CardSpace ist eine Technologie zur Identitätsverwaltung und kann zur Authentifizierung und/oder Identifizierung gegenüber Webseiten und Webservices genutzt werden … Deutsch Wikipedia
Windows Live ID — An example of a Windows Live ID sign in page Type Single sign on … Wikipedia
Windows Live ID — Разработчик Microsoft Сайт … Википедия
Windows PowerShell — Windows PowerShell … Википедия
Windows Script Host — (WSH; первоначально назывался Windows Scripting Host, был переименован ко второму выпуску) компонент Microsoft Windows, предназначенный для запуска сценариев на скриптовых языках JScript и VBScript, а также и на других дополнительно… … Википедия
Windows Media — Windows Media мультимедийный набор от Microsoft для создания и распространения аудио и видеофайлов для Windows. Включает набор средств разработки и интерфейс программирования приложений. Составляющие Приложения Windows Media Encoder Windows … Википедия
Windows Template Library — Тип библиотека (программирование) Разработчик Nenad Stefanovic Написана на С++ Операционная система Microsoft Windows Последняя версия WTL 8.1.11324 (21.11.2011) Лицензия … Википедия
Знакомство с Windows CardSpace
Работая в системе Windows Vista, многие наверняка заметили новый элемент в панели управления, называемый Windows CardSpace, и задались вопросом, для чего он предназначен. Windows CardSpace — новый пользовательский инструмент управления идентификацией, который позволяет создавать так называемые личные информационные карты и управлять ими.
Информационные карты представляют собой XML-файлы c цифровой подписью, с помощью которых можно идентифицировать себя на Web-сайтах, поддерживающих технологию CardSpace.
CardSpace — это часть технологии Microsoft Identity Metasystem, Internet-ориентированного подхода компании к управлению идентификацией. С появлением технологии Identity Metasystem корпорация Microsoft отказывается от понятия универсальной и однопользовательской идентификации в Internet. Помните ранние времена Microsoft Passport? Вместо этого корпорация теперь фокусируется на создании универсальной инфраструктуры, которая сможет объединить существующие и будущие системы управления идентификацией и обеспечить взаимодействие между этими разрозненными системами. Более подробно об Identity Metasystem рассказано в статье, опубликованной на сайте Microsoft, «Microsoft’s Vision for an Identity Metasystem» (http://msdn.microsoft.com/en-us/library/ms996422.aspx).
А теперь посмотрим на компонент CardSpace и его интерфейс и попробуем понять, какую пользу может получить от CardSpace обычный пользователь Windows. Кроме того, выясним, на чем основано функционирование CardSpace.
Что может CardSpace
CardSpace предоставляет удобную для использования и безопасную альтернативу традиционной схеме «имя пользователя/пароль» для идентификации и проверки подлинности в Internet. И хотя использование имен и паролей является пока еще господствующей парадигмой идентификации и проверки подлинности в Internet, этот подход имеет немало слабых мест. С паролями очень много хлопот: пользователи вынуждены иметь дело со слишком большим их количеством, а это приводит к повторному использованию и созданию слабых паролей. Неумелая практика управления паролями создает массу возможностей для злоумышленников. Прибавьте увеличение числа краж паролей с помощью поддельных Web-сайтов и перехвата данных через каналы связи (так называемых атак man-in-the-middle), и вам станет понятно, почему схема «имя/пароль» далека от идеала.
CardSpace в состоянии решить эти проблемы. Пользователям с информационными картами не требуется запоминать различные комбинации имен и паролей; они могут просто выбрать нужную из набора карт CardSpace, чтобы идентифицировать себя на сайте, поддерживающем CardSpace. Информационные карты защищены лучше, чем пароли, так как они при хранении и передаче по сети шифруются надежным алгоритмом Advanced Encryption Standard (AES).
Во взаимодействии с помощью CardSpace участвуют три стороны: пользователь, провайдер идентификации и доверяющая сторона. Пользователь управляет всеми операциями, в которых использует свои информационные карты. Он выбирает, какие информационные карты создавать и какие задействовать для идентификации на конкретном Web-сайте.
Провайдеры идентификации издают информационные карты для пользователей. Например, компании могут выпускать удостоверения для своих заказчиков, а организации — идентифицировать своих сотрудников. Информационные карты, которые выпускают компании, онлайновые службы, организации или правительственные учреждения, называются «обслуживаемыми» картами. Обслуживаемые информационные карты специфичны для каждого сайта, организации или компании. Они выпускаются сторонними провайдерами идентификации, которые могут взимать с пользователя плату за выпущенную информационную карту. Информационная карта предоставляет «утверждения» о владельце от его имени. «Утверждение» есть понятие Identity Metasystem, обозначающее набор фактов и сведений о пользователе. Имя и пол пользователя, доказательство того, что подлинность пользователя проверена определенным уполномоченным органом, — примеры «утверждений», которые могут храниться в обслуживаемой информационной карте. С точки зрения идентификации пользователя информационные карты можно сравнить с сертификатами SSL, которые мы используем для идентификации на Web-сайтах.
Но пользователи могут быть провайдерами идентификации сами для себя и издавать собственные информационные карты, которые называются «личными» («самоизданными») информационными картами. В отличие от обслуживаемых информационных карт личные информационные карты являются универсальными картами общего назначения и могут использоваться с различными приложениями и/или Web-сайтами. Не все сайты и приложения принимают личные информационные карты. В процессе обмена информацией CardSpace Web-сайт может потребовать, чтобы информационная карта пользователя была обслуживаемой картой, выпущенной доверенным провайдером идентификации, таким, например, как удостоверяющий центр VeriSign.
И наконец, доверяющая сторона принимает и задействует информационные карты, предоставляемые пользователем. Доверяющей стороной обычно являются Web-сайты, которые применяют информационные карты для идентификации и/или проверки подлинности пользователей либо для персонализации Web-контента.
Интерфейс CardSpace
CardSpace хранит различные цифровые удостоверения пользователей и представляет их пользователям в виде информационных карт. В терминологии Identity Metasystem система CardSpace также называется «селектором удостоверений»: она предоставляет удобный интерфейс, который позволяет легко выбирать и использовать различные удостоверения в приложениях и на Web-сайтах.
Для ознакомления с интерфейсом CardSpace следует зарегистрироваться на любом поддерживающем CardSpace Web-сайте. Примеры таких сайтов: signon.com или сайт Кима Кэмерона (Kim Cameron) Identity Weblog (http://www.identityblog.com/). Ким является автором проекта «Законы идентификации» (The Laws of Identity). В правом верхнем углу стартовой страницы сайта находится значок для регистрации в системе с помощью CardSpace (буква «i» в пурпурном прямоугольнике).
Когда вы щелкаете по этому значку, при первом использовании CardSpace на этом сайте перед пользователем появляется диалоговая панель с вопросом Do you want to send a card to this site? («Хотите отправить карту на этот сайт?»), как показано на экране 1. Этот диалог позволяет идентифицировать Web-сайт перед отправкой на него одной из персональных информационных карт. На панели Tasks в правой части окна следует просмотреть сведения из сертификата X.509 или «Заявление о конфиденциальности» данного сайта. Это демонстрирует ключевое преимущество в безопасности технологии CardSpace: проверка подлинности сервера. Проверка подлинности сервера также является одним из аргументов, почему CardSpace может лучше защитить пользователей от такого вида мошенничества, как «фишинг». Фишинг-атаки представляют собой попытки злоумышленника, выдавая себя за заслуживающий доверия объект, заполучить такую конфиденциальную информацию о пользователях, как их имена, пароли, информация о кредитных картах.
Основываясь на доверии к идентифицирующей данный сайт информации, следует принять решение и выбрать одну из информационных карт, щелкнув ссылку «Да, выбрать карту для отправки» (Yes, choose a card to send), либо прекратить обмен данными CardSpace, щелкнув ссылку «Нет, вернуться на сайт» (No, return to the site).
Если вы хотите продолжить обмен данными CardSpace и если это первый случай использования CardSpace в вашей системе, появится экран с приглашением создать карту для отправки (Create a card to send to), где можно выбрать либо создание личной информационной карты, либо установку обслуживаемой карты.
Если вы решаете создать личную карту, появляется диалоговая панель для редактирования новой карты Edit a new card, показанная на экране 2. Здесь пользователь задает имя новой информационной карты, выбирает значок или картинку для представления карты и вводит значения определенных параметров, которые будут храниться в информационной карте. Когда вы создаете новую информационную карту для идентификации себя на определенном Web-сайте, CardSpace отмечает красным цветом те параметры карты, которые обязательны для данного сайта. Эти параметры образуют то самое «утверждение», которое сайту необходимо получить от пользователя до того, как пользователь получит доступ к его содержимому.
Если вы выберете вариант установки обслуживаемой карты, CardSpace запросит информационный файл карты (то есть файл с расширением .crd).
Если вы ранее уже использовали CardSpace (в этом случае ваше хранилище CardSpace уже содержит информационные карты), то появится экран Choose a card to send to, который показывает информационные карты, доступные в данный момент в системе (экран 3). В списке доступных информационных карт будут как личные, так и обслуживаемые информационные карты.
Чтобы определить, какие подробности содержатся в информационной карте, следует выбрать нужную карту и нажать кнопку просмотра Preview. Если вы уже использовали какую-либо карту, экран просмотра будет содержать историю использования этой карты и дату ее создания (экран 4).
Помимо демонстрации всех данных карты, экран просмотра позволяет установить важное дополнительное свойство информационной карты — PIN-код. Эта мера безопасности добавляет к информационной карте еще один уровень защиты. На панели задач диалогового окна просмотра карты можно увидеть параметр блокировки карты Lock this card. Если вы выберете блокировку карты, будет выдан запрос на ввод PIN-кода. После этого каждый раз при использовании данной карты система будет требовать ввод PIN-кода. Блокировка информационных карт необходима при работе на компьютерах общего пользования, а также в ситуациях, когда карта содержит персональные данные или идентифицирует пользователя для доступа к специализированным сайтам, например сайтам, осуществляющим банковские онлайн-операции. Организации, которым необходимо обеспечить еще более высокий уровень безопасности для защиты доступа к информационным картам своих пользователей, могут потребовать наличия сертификата, хранящегося на смарт-карте. Это означает, что перед получением доступа и применением информационной карты пользователь должен вставить в специальное устройство компьютера соответствующую смарт-карту и подтвердить свою личность вводом ее PIN-кода.
Когда пользователь выбирает обслуживаемую информационную карту, CardSpace обращается к издателю информационной карты (то есть к провайдеру идентификации) для получения XML-маркера с цифровой подписью, содержащего запрашиваемые «утверждения».
Что «под капотом»?
Функция CardSpace по умолчанию устанавливается в Windows Vista. Однако она доступна и как загружаемый модуль для Windows XP и Windows Server 2003 через Windows Update. Дабы убедиться, что Windows CardSpace установлена в системе, откройте панель управления и найдите элемент Windows CardSpace или службу Windows CardSpace в разделе «Службы» в консоли «Управление компьютером».
Работа Windows CardSpace базируется на компонентах .NET Framework 3.0 и более новых версиях, которые работают в системах Windows Server 2008, Vista, XP и Windows 2003; библиотека .NET Framework 3.0 входит в состав, но не установлена в системе Windows Server 2008 по умолчанию. Таким образом, самый простой способ добавить поддержку CardSpace в Windows Server 2008 — это установить компоненты .NET Framework 3.0.
Для использования CardSpace необходим также совместимый Web-обозреватель. Internet Explorer 7 (IE 7) изначально поддерживает CardSpace, а сторонние разработчики интегрируют поддержку CardSpace в свои платформы. Например, можно найти встраиваемый модуль для поддержки CardSpace в обозревателе Firefox на сайте http://www.codeplex.com/IdentitySelector.
Microsoft реализовала функцию Windows CardSpace поверх стека протоколов Web Services (WS-*), открытого набора базирующихся на XML протоколов для взаимодействия Web-служб. Любое приложение или платформа, которые поддерживают протоколы WS-*, могут быть интегрированы с CardSpace. Дополнительную информацию о спецификациях WS-* можно найти в статье на сайте Microsoft «Web Services Specifications Index Page» (http://msdn.microsoft.com/en-us/library/ms951274.aspx).
Для реализации приема информационных карт на сайте разработчику необходимо добавить в Web-контент соответствующие тэги HTML, которые определяют, какие данные от пользователей требуются сайту. Разработчику также необходимо реализовать на сайте код, который дешифрует информационные карты и извлекает из них данные пользователей. В Internet можно быстро найти примеры программного кода для интеграции информационных карт не только на Web-сайтах, работающих на технологиях Microsoft, но и для других Web-платформ, например Apache.
Если провайдер идентификации желает предоставлять пользователям обслуживаемые информационные карты, он должен иметь в своем распоряжении систему Security Token Service (STS). Система STS — уполномоченный орган, который может создавать обслуживаемые информационные карты. Провайдер идентификации, не желающий разрабатывать собственную STS, может купить готовую систему у сторонних разработчиков, таких как Ping Identity (http://www.pingidentity.com/). Другой вариант — дождаться выпуска корпорацией Microsoft продукта Federated Identity Server (известного как Geneva), который будет реализовывать совместимую с технологией Identity Metasystem систему STS, позволяющую взаимодействовать с CardSpace. Систему Geneva можно рассматривать как следующий шаг в эволюции Microsoft Active Directory Federation Services (ADFS), встроенной в системы Windows 2008 и Windows 2003.
Безопасная альтернатива
Имея понятный интерфейс и защищенную архитектуру, CardSpace предлагает достойную альтернативу классической схеме «имя пользователя/пароль» и предоставляет пользователям возможность самостоятельно управлять их идентификацией в Internet. Успех CardSpace будут сильно зависеть от числа Web-сайтов и приложений, которые поддержат эту технологию.
