Sự khác nhau giữa mã thông báo bảo mật và vé bảo mật là gì?

Question

Sự khác nhau giữa mã thông báo bảo mật và vé bảo mật là gì?

Tôi đã thấy các điều khoản này được sử dụng thay thế cho nhau. Có những định nghĩa "tiêu chuẩn công nghiệp" nào không? hoặc các thuật ngữ này được định nghĩa khác nhau tùy thuộc vào công nghệ/giao thức/triển khai?

Answer 1

Các từ mã thông báo và vé phụ thuộc rất nhiều vào loại hệ thống bạn đang xử lý; và trong bối cảnh bạn đang nói. Trên các dẫn xuất của Windows NT, khái niệm về mã thông báo là một danh tính.Khi người dùng hoặc dịch vụ đăng nhập vào một hệ thống, hệ thống sẽ xác thực danh tính của họ một lần và tạo một mã thông báo cho người dùng/dịch vụ đó và phục vụ như danh tính của họ. Hệ thống sau đó không cần phải xác thực danh tính mỗi khi một chương trình mở một tệp, ví dụ. Điều này về cơ bản đảm bảo một sự tách biệt rõ ràng giữa xác thực (chứng minh một người dùng/dịch vụ là họ nói họ là ai) và ủy quyền (xác định liệu một người dùng/dịch vụ có thể truy cập một số tài nguyên).

Mặt khác, (một lần nữa cho các dẫn xuất NT) từ vé thường đề cập đến Kerberos tickets. Chúng được sử dụng cho hai máy trên một miền để có thể chứng minh danh tính của nhau. Sau khi chứng minh danh tính của mình cho bộ điều khiển miền (với các phương tiện truyền thống như mật khẩu hoặc thẻ thông minh), bộ điều khiển miền sẽ làm mờ một vé có thể được chuyển tới máy từ xa để xác minh danh tính.

Nếu một người đang xử lý một máy từ xa thì có khả năng cả vé và thẻ đều có liên quan. Ví dụ, nếu máy A mở một tệp chia sẻ trên máy B, thì máy A xác thực người dùng bằng cách sử dụng nó với bộ điều khiển miền, do đó nhận được một vé Kerberos. Sau đó, nó sử dụng vé Kerberos để xác minh danh tính của nó với máy B. Máy B sau đó tạo phiên cho máy A, đúc một mã thông báo, để phục vụ như là nhận dạng phiên cho các truy vấn ủy quyền cục bộ trên máy B.

Là Feral và Oded có những nơi khác trong câu hỏi này mặc dù, đây là ngôn ngữ rất cụ thể theo miền.

Answer 2

A mã bảo mật trở thành vé bảo mật sau khi yêu cầu dịch vụ được xác thực thành công. Đối với SOAP, sau khi nhận được một thông báo SOAP là xác nhận, vé bảo mật đó được sử dụng cho tất cả các yêu cầu tiếp theo. Tôi nghĩ về mã thông báo bảo mật ở cấp độ cao hơn, nghiêm ngặt hơn, trong khi đó, vé bảo mật được cung cấp bởi nhà cung cấp dịch vụ và hữu ích hơn.

Theo này (không còn hiện hành) bài viết MSDN, Brokered Authentication: Security Token Service:

... khách hàng có được một bối cảnh an ninh Mã (SCT) (mà chứng tỏ mà khách hàng đã được chứng thực) từ STS và lưu trữ nó. Sau khi máy khách được xác thực với STS, khách hàng có thể sử dụng mã thông báo phiên để yêu cầu mã thông báo dịch vụ để liên lạc với dịch vụ . Cách STS xác nhận một an ninh thẻ được trình bày bởi một khách hàng và các vấn đề thẻ dịch vụ cũng tương tự như cách thức Kerberos giao thức xác nhận một vé vé cấp và đưa ra một dịch vụ vé.

"Mã thông báo bảo mật" có cùng ý nghĩa như tôi quen thuộc, nhưng "mã thông báo dịch vụ" được sử dụng thay cho "phiếu dịch vụ". Phần cuối của câu, về Kerberos, đọc thật kỳ quặc, nghĩa là "vé cấp vé".

Dưới đây là một lời giải thích, nơi mà các thuật ngữ quen thuộc hơn với tôi (đó là cụ thể về SAML for Single Sign On):

SSO ở dạng cơ bản của nó chỉ có nghĩa là một nhà cung cấp dịch vụ sẽ tin tưởng thông tin xác thực được cung cấp sử dụng tiêu chuẩn SAML bởi một nhà cung cấp danh tính ... Xin lưu ý rằng khi chúng tôi sử dụng thuật ngữ 'mã thông báo', chúng tôi không nói về một số loại mã thông báo bảo mật thực, nhưng hoàn toàn khác, một vé bảo mật là một phần của tiêu chuẩn SAML .

Bây giờ cho phần tiếp theo của câu hỏi của bạn, đó là về tiêu chuẩn. This blog post có bốn trường hợp sử dụng OASIS WS cho mã thông báo bảo mật (chính sách?), Với các liên kết đến các tiêu chuẩn. Trong trường hợp bạn có bất kỳ vấn đề nào khi truy cập vào đó, OASIS có một trang là standards for security tokens.