CISSP考点拾遗——联邦身份之联邦模型

最新推荐文章于 2024-04-29 10:38:41 发布
最新推荐文章于 2024-04-29 10:38:41 发布
阅读量325 收藏 2
点赞数 1
分类专栏: CISSP考点拾遗 文章标签: 安全架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/single_element/article/details/125070690
版权

说明:“考点拾遗”系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点。

一、联邦成员:

提供身份验证服务的IdP和使用这些服务的RP被称为联邦成员。

IdP(Identity Provider,身份提供商):

管理订户(subscriber)的主要身份验证凭据,并发布从这些凭据派生的断言的一方,也叫做CSP(credential service providers,凭据服务提供商)。

RP (Relying Party,依赖方):

依赖于IdP对订户身份的断言,为订户提供业务服务的一方,也叫做SP(service provider,服务提供商)

从IdP的角度来看,联邦由它所服务的RPs组成。

从RP的角度来看,联邦由它所使用IdPs组成。

二、联邦模型:

根据NIST SP 800-63c,联邦成员建立关系的模型有4种:手动注册(Manual Registration)、动态注册(Dynamic Registration)、联邦权威(Federation Authorities)、代理式联邦(Proxied Federation)。

1、手动注册(Manual Registration)

在手动注册模式中,IdP和RP手动配置希望互操作的各方的配置信息。

如下图,手动注册包括三个步骤:

  1. RP的系统管理员与IdP的系统管理员共享RP的属性,后者将这些属性与RP相关联。

  2. IdP的系统管理员与RP的系统管理员共享IdP的属性,RP的系统管理员将这些属性与IdP相关联。

  3. IdP和RP使用标准的联邦协议进行通信。

2、动态注册(Dynamic Registration)

动态注册模型中的各方通常事先并不了解彼此,联邦成员之间的关系可以在事务处理时进行协商。

如下图,动态注册包括以下步骤:

  1. 发现。RP到IdP的一个众所周知的位置去寻找IdP的元数据。

  2. 验证。RP和IdP确定彼此的有效性。这可以通过键入信息、元数据、软件

    声明或其他方式来实现。

  3. 注册RP属性。RP将其属性发送给IdP,IdP将这些属性与RP相关联。

  4. 联邦协议。IdP和RP使用标准的联邦协议进行通信。

3、联邦权威(Federation Authorities)

联邦成员遵从被称为联邦权威(Federation Authorities)的机构来帮助做出联邦决定并建立各方之间的工作关系。在该模型中,联邦权威通常对联邦中的每一方进行某种级别的审查(vetting),以验证是否符合预定的安全性和完整性标准。

联邦权威可以协助成员之间的技术连接和配置过程,例如公布IdPs的配置数据,或发布RP的软件声明。

4、代理式联邦(Proxied Federation)

在代理式联邦模型中,IdP和RP之间的通信是以阻止双方直接通信的方式进行的。有多种方法可以达到这种效果。常见配置包括:

  • 充当联邦代理(proxy,也作broker)的第三方,

  • 分发通信的节点网络

下图是使用代理的情况,代理一方面充当IdP,另一方面充当RP。所以适用于IdP和RP的所有规范性要求也必然适用于其各自角色的代理人。

代理式联邦模型有几项关键的优势:

  1. 联邦代理可以通过提供一个通用的集成接口来简化RP和IdP之间的技术集成;

  2. 代理有效地使RP和IdP彼此不可见,在某种程度上提供了商业保密性,当联邦成员希望保护订户列表,不受彼此影响的情况下,代理模型是理想的选择;

  3. 类似的,代理还可以减轻隐私风险。

我全家都是CISSP
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CISSP学习详细笔记、错题,考点标黑标红
03-19
CISSP学习详细笔记、错题,考点标黑标红。个人历时3月考试通过,欢迎沟通
单点登录协议SAML介绍
07-28 3435
      当今,越来越多的系统通过Web服务、门户和集成化应用程序彼此链接,对于保证欲共享的信息安全交换的标准的需求也随之日益显著起来。SAML(安全性断言标记语言,Security Assertion Markup Language)提供了一个健壮且可扩展的数据格式集,在各种环境下交换数据和身份识别信息。这里的一个关键概念是身份联邦,它可满足SAML的定义,也就是说可使用独立、受管理的多个信息
一文读懂联邦认证
Authing的博客
11-20 1514
什么是联邦认证 在互联网早期,你的各类账号信息分散在不同的站点和应用,这存在以下问题: 每次访问一个新的站点都要注册一个新的用户名和密码账号。 这个账户就仅仅被存储在这个站点。 你无法在不同的站点下保持登录,用户的信息在不同的站点间也无法互通。 联邦认证通过标准协议将不同的身份提供商联合起来对用户进行认证。联邦是一种身份提供商之间的信任关系,建立联邦关系的身份提供商之间可以通过标准协议互相拉取用户信息。 为什么需要联邦认证 联邦认证是一种分布式的身份认证,当用户在身份提供商登录时,用户可以选择到当前身份
联邦身份认证——SAML
hi_kevin的专栏
08-29 1723
转载自:http://blog.csdn.net/peterwanghao/article/details/4271813
上网冲浪这么多年,你可能从来没有拥有过你的“账户”
Candy链上笔记
05-17 461
这期文章最开始想解读W3C的DID标准,但是我们去搜DID关键词的话,会出现很多名词DPKI、PKI、VC等,往往会令人感到很困惑,那么学习与探索之路就很难继续下去。 为了大家能更好的理解,就先写一篇文章对互联网身份的发展背景进行简单地解释。那么这期,我们就先从身份开始聊起。 1. 身份的功能 百度词条里面对身份的解释是:身份指人的出身和社会地位。 这个身份包括两层含义:一是主权国家赋予本国公民的法律或者公民属性的身份;另外就是大众常说的出身决定命运的...
Azure设计模式之联邦身份模式
我的英文站点:https://iorilan.medium.com/
01-27 605
联合身份模式将身份验证职责交给外部标识提供程序。这样可以简化开发,并最大限度地减少用户管理的任务,提高了应用程序的用户体验。问题背景用户信息通常来自不同组织所提供的应用程序,来满足不同的业务需要。这些用户可能需要使用特定的(和不同的)凭据。这可能导致用户体验下降。当用户使用太多不同的登录凭据,有可能会忘记它们,也会暴露安全漏洞。当用户离开公司时,该帐户必须立即被注销。在大公司很容易忽略这一点。那里
联邦学习模型分类
WangYouJin321的博客
08-09 1062
我们都听过联邦学习分类方法中有:纵向横向和迁移,横向联邦学习机器学习中,特征、标签和样本是最基本的概念,下图展示了特征样本标签之间的关系横向联邦学习,就是指两个样本集合中样本的特征重合较高,但是样本来源不一样。就比如图中,两个样本集合分别是两家银行的客户。一般银行管理的数据特征都是相似的,但是客户是不同的,这样我们就可以采用横向联邦学习的方式训练模型。纵向联邦学习。...
联邦学习】用Tensorflow实现联邦模型AlexNet on CIFAR-10
热门推荐
Life is short
10-03 1万+
本文将用Tensorflow实现联邦学习场景下的卷积神经网络,AlexNet。Client端和Server端代码分开编写,简单易懂,可拓展性强。
使用模型平均下的深度网络的联邦学习
librahfacebook的博客
05-16 8523
本文出自Google的Federated Learning of Deep Networks using Model Averaging,主要介绍使用模型平均方法的联邦式学习。 文章目录引言一、 简介二、 联邦式学习三、 联邦式优化四、 联邦平均算法五、 实验结果六、 结论和未来工作 引言 丰富的数据通常是隐私敏感性的,数量大或者两者都有,这将会妨碍使用传统方法登录到数据中心并在此进行训练。我...
CISSP Summary Sunflower 太阳花重要考点总结
02-22
传说中的太阳花考点总结 英文版 包含CISSP 10 domains 个人经验是不错的备考中期查缺补漏的资料 总结非常全面 考完后觉得可能比考试更technical一些
经验分享-通往CISSP成功之路
10-20
经验分享-通往CISSP成功之路 从网上收集的、最新的CISSP备考指南,供各位CISSPer参考。
CISSP OSG 第九版 英文版
05-29
CISSP OSG 第九版 英文版
CISSP学习笔记 CISSP关键知识点总结汇总.zip
01-05
CISSP学习笔记、CISSP关键知识点总结汇总,以网上搜集到的CISSP学习资料为基础,补充修改了关键内容,不保证正确。 第一章 通过原则和策略的安全治理 第二章 人员安全和风险管理概念 第三章 业务连续性计划 第四章 ...
安全架构概述
最新发布
hummhumm的专栏
04-29 999
网络安全概述。
内网安全【1】——域信息收集/应用网络凭证/CS插件/Android/BloodHound
weixin_42090431的博客
04-28 531
因此,域中的计算机本地管理员账号,极有可能能够登陆域中较多的计算机,本地管理员的密码在服务器上后期修改的概率,远低于在个人办公电脑上的概率,而域用户权限是较低的,是无法在域成员主机上安装软件的,这将会发生下面的一幕:某个域用户需要使用viso软件进行绘图操作,于是联系网络管理员进行安装,网络管理员采用域管理员身份登录了域成员主机,并帮助其安装了viso软件,于是这个有计算机基础的员工,切换身份登录到了本地计算机的管理员,后执行mimikatz,从内存当中抓取了域管理员的密码,便成功的控制了整个域。
标准更新丨美国发布玩具安全标准ASTM F963-23
yzc9311的博客
04-26 400
ASTM F963是根据美国联邦法规的强制性要求而制定,一般来说标准的内容充分包含了CPSC 16CFR的有关技术要求,制造商能确保产品符合ASTM F963的要求,也就基本满足了CPSC 16 CFR的有关技术要求,目前CPSC仍采用ASTM F963-17。新版标准主要修订了声响、电池可触及性、膨胀材料和弹射玩具的技术要求,另外,澄清和调整了邻苯二甲酸酯、玩具基材重金属的豁免以及溯源标签的要求,使其保持与联邦法规和美国消费品安全委员会(CPSC)的政策一致。调整了条款的次序,使其更加符合逻辑。
最佳实践之部署安全且具有韧性的AI系统
lurenjia404的博客
04-26 529
AI安全是一个高速发展的研究领域。随着各政府、行业界和学术界发现AI技术潜在弱点以及利用这些弱点的技术,除了将传统的IT最佳实践应用于人工智能系统,他们需要不断升级更新AI人工智能系统以应对不断变化的风险。
RTU遥测终端为城市排水安全保驾护航!
mantoo2014的博客
04-23 452
漫途多参数遥测终端MTW46-10-4A与低功耗遥测终端M4315,能够实时在线监测城市下水管道、涵洞、水浸点及河道的水位状况,同时精准采集水位、流量、流速和水质等数据。一旦监测到险情,平台会通过手机APP、短信通知以及现场声光报警器等多种方式,向城市管理者发出预警,从而有效预防和应对各类排水问题,确保城市排水系统的安全、稳定运行。漫途低功耗远程采集终端M4315是一款实现数据采集、远程传输、远程运维的智能设备,具有功耗低、体积小巧、盲区小、安装便捷等特点,适用于地下管网、雨水井等特殊环境的工业级设备。
cissp 知识点 4000
10-27
CISSP的知识点涵盖了广泛的信息安全领域,如安全与风险管理、资产安全安全工程、通信与网络安全身份与访问管理等。 首先,安全与风险管理是CISSP认证中的重要知识点之一。这主要包括风险管理、安全政策与程序、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值