[authentication] ontwerp

Soap webservices hebben sessies. Elke sessie is uniek en hieraan kun je dus je user-info hangen.

Je kunt daar bovenop via een standaard-authorization met users werken. Als je dit op een goede manier wilt doen, kun je hierbij de Active Directory raadplegen en om het windows-wachtwoord vragen.

Hierbovenop kun je dan weer je eigen authorisaties leggen als je wilt.

Het mechanisms wat je voorstelt is gebaseerd op assertions (claims/credentials/...). Jij genereert een assertion, de client presenteert de assertion en de server interpreteert de assertion en past z'n authorizaties voor de client aan.

Normaal gesproken creeer je een assertion door een signature over de data te zetten. In jouw geval is dat userlvl en de tijd. (NB: het precise doel van de 'key' die je noemt is me niet geheel duidelijk. Dient deze om een sessie te bepalen? Is it werkelijk een cryptografische sleutel die gebruikt wordt voor encryptie/authenticatie?)

Een assertion is normaal iets anders dan een 'password'.

Met betrekking tot praktische aspecten:
- hoe groot mag de assertion ('password') zijn en moet deze door een mens over te typen zijn?
- een handtekening kan met een public/private keys, maar ook met een eenvoudig symmetrisch algoritme en een gedeelde sleutel tussen jou en de server applicatie.

misschien heb je hier wat aan.

-> SE&A

joopst schreef op dinsdag 25 april 2006 @ 12:12:
misschien heb je hier wat aan.

Dat heeft er totaal niets mee van doen Encryptie != Authenticatie
Het verhaal van Rukapul is echter spot-on en TS zal wat meer moeten uitwijden over wat hij nu precies bedoelt.

[ Voor 4% gewijzigd door RobIII op 25-04-2006 12:21 ]

Die random sleutel zou ik een challenge of sessie-id noemen.

De response is vervolgens de assertion. De server mag deze overigens maar eenmalig accepteren.

Een nette oplossing zou de assertion kunnen definitieren als { DATA, MAC} waarbij DATA gedefinieerd is als { challenge, userlevel, validitytime, randomnonce* } en MAC (message authentication code) gedefinieerd is als HMAC-SHA1{ DATA, secretkey}, waarbij secretkey bekend is bij de server en bij degene/applicatie die de assertion uitgeeft. Het probleem is dat DATA >100 bits groot kan zijn is en MAC in dit voorbeeld 160 bits. Indien we het hexadecimaal representeren dan is dat dus al gauw zo'n 64 karakters, wat iets te lang is om per telefoon door te geven. Door DATA klein te houden en een ander algoritme voor de MAC te kiezen kan het kleiner.

Een aanpak die hier wellicht het meest geschikt is is het volgende: houd DATA klein (bv 128 bits, precies 1 block) en encrypt data met secretkey (bv AES). Zodoende beperk je het tot 128 bits, wat hexadecimaal neerkomt op 32 karakters.

(* ivm choosen plaintext, etc.)

[ Voor 6% gewijzigd door Rukapul op 25-04-2006 15:51 ]

In principe is een assertion niet meer dan een claim door een partij dat een bepaald statement waar is. Informatie over assertions vind je bijvoorbeeld hier. Dat wikipedia gaat in op de meest relevante standaard mbt assertions: Security Assertion Markup Language (SAML).

In dit geval praten we over een zgn authorisatie assertion. De applicatie/persoon die de assertion maakt geeft de gebruiker/client een authorisatie, namelijk het mogen uitvoeren van functies op de server op een bepaald level gedurende een bepaalde tijd. De server accepteert alleen assertions die gemaakt zijn door de applicatie die de assertion maakt. Dit wordt afgedwongen door een geheime sleutel te gebruiken.

Laat bovenstaand Wikipedia artikel je niet van de wijs brengen. Assertions als concept hoeven niet ingewikkeld te zijn. De standaarden zoals SAML zijn slechts complex door de vele opties die ze bieden.

In dit geval doe je er goed aan om slechts het concept te snappen. Vervolgens maak je je eigen eenvoudige realisatie om aan de andere ontwerpeisen te voldoen. SAML zelf kun je niet gebruiken omdat het te groot wordt om telefonisch door te geven, o.a. omdat er gebruik gemaakt wordt van XML encoding.