오픈ID

OpenID
더 오픈ID 로고

OpenID는 비영리 오픈에서 추진하는 개방형 표준분산형 인증 프로토콜이다.아이디 파운데이션.그것은 사용자들이 타사의 정체성 공급자(4월 1일까지 IDP)서비스를 이용하여(또는 RP파티 의존하는 것으로 알려져)사이트에 협조하고, 사용자들이 여러 관계 없는 웹 사이트에 각각의 독립적 정체성과 비밀 번호를 가질 필요 없이 로그인 하도록 해야 할 필요성을 웹 마스터들 자신의 애드 혹 로그인 시스템 제공을 제거한다는 인증할 수 있습니다.[1]사용자가 열기를 선택하여 계정을 생성ID 제공자,[1] 그런 다음 해당 계정을 사용하여 열기를 허용하는 모든 웹 사이트에 로그인하십시오.ID 인증.여러 대형 조직에서 Open을 발급하거나 승인함그들의 웹사이트에 있는 아이디들.[2]

더 오픈ID 표준은 ID 제공자와 오픈 사이에 발생해야 하는 통신을 위한 프레임워크를 제공한다.ID 승인자("회신 파티").[3]표준에 대한 확장(오픈)ID 속성 교환) 오픈에서 이름, 성별 등의 사용자 속성 전송을 용이하게 한다.의존하는 당사자에 대한 ID ID ID 제공자(각 의존하는 당사자는 요구 사항에 따라 다른 속성 집합을 요청할 수 있다).[4]더 오픈ID 프로토콜은 사용자의 ID를 인증하는 데 중앙 기관에 의존하지 않는다.게다가, 서비스도 오픈도 없다.ID 표준은 공통(암호 등)부터 소설(스마트 카드 또는 생체 인식 등)에 이르는 접근을 허용하면서 사용자를 인증하는 특정 수단을 요구할 수 있다.

오픈의 최종 버전ID는 OpenID 2.0이며, 2007년 12월에 최종 발행되었다.[5]오픈이라는 용어ID는 또한 오픈에 지정된 식별자를 가리킬 수 있다.ID 표준: 이 식별자는 고유한 URI(Uniform Resource Identifier)의 형태를 취하며 일부 "Open"에 의해 관리됨인증을 처리하는 ID 공급자".[1]

입양

2016년 3월 현재 10억개 이상의 오픈이 있다.인터넷상의 ID 사용 계정(아래 참조)과 약 1,100,934개의 사이트가 오픈을 통합했다.ID소비자 지지도:[6]AOL, 플릭커, 구글 아마존 닷 컴, 정규(공급자 이름 우분투 원), LiveJournal, 마이크로 소프트(공급자 이름 마이크로 소프트 계정), 믹시, Myspace, Novell, 오픈 스트리트 맵, 오렌지, 시어스, 태양, 텔레콤 이탈리아, 유니버셜 뮤직 그룹 베리 사인, 워드 프레스, Yahoo!, BBC,[7]IBM,[8]PayPal,[9]과 Steam,[10], 몇몇의 사람 혹은.ganizations 또한자체 인증 관리 기능을 가지고 있다.

규모가 큰 조직 중 다수는 아니지만 사용자가 계정을 등록하기 위해 기존 이메일 계정이나 휴대폰 번호의 형태로 인증을 제공해야 한다(이 경우 오픈으로 사용할 수 있음).ID ID).별도의 신원 세부 정보가 필요 없는 등록을 허용하는 몇몇 소규모 기업이 있다.

Facebook은 Open을 사용했다.과거에는 아이디가 있었지만 페이스북 커넥트로 이동했다.[11]Blogger도 Open을 사용아이디는, 하지만 2018년 5월부터는 더 이상 지원하지 않는다.[12]

기술 개요

최종 사용자는 특정 신원을 주장하고자 하는 기업이다.신뢰할 수 있는 당사자(RP)는 최종 사용자의 식별자를 확인하려는 웹 사이트 또는 응용 프로그램이다.이 당사자를 위한 다른 용어로는 "서비스 제공자" 또는 이제 구식 "소비자"가 있다.ID 제공자 또는 열기ID 제공자(OP)는 오픈 등록을 전문으로 하는 서비스다.ID URL 또는 XRI.OpenID는 최종 사용자가 신뢰할 수 있는 상대방과 통신할 수 있도록 한다.이 통신은 식별자 또는 오픈을 통해 이루어진다.ID: 최종 사용자가 최종 사용자의 ID 이름을 지정하기 위해 선택한 URL 또는 XRI.ID 공급자가 오픈을 제공함ID 인증(및 다른 ID 서비스)교환은 user-agent에 의해 활성화되며, 이는 최종 사용자가 신뢰할 수 있는 상대방과 통신하기 위해 사용하는 프로그램(브라우저 등)이다.ID 공급자.

로그인 중

최종 사용자는 Open을 지정하는 옵션을 제공하는 신뢰할 수 있는 당사자(예: 웹 사이트)와 상호 작용인증 목적의 ID, 일반적으로 최종 사용자가 이전에 Open을 등록한 경우ID(예:alice.openid.example.org)(Open 포함)ID 제공자(예:openid.example.org).[1]

신뢰할 수 있는 당사자는 일반적으로 오픈을 변환한다.표준 URL 양식의 ID(예:http://alice.openid.example.org/).

  • OpenID 1.0을 사용하는 경우, 해당 당사자는 URL로 식별된 HTML 리소스를 요청하고 HTML 링크 태그를 읽어 오픈을 검색한다.ID 제공자의 URL(예:http://openid.example.org/openid-auth.php신뢰할 수 있는 당사자는 위임된 ID를 사용할지 여부도 발견한다(아래 참조).
  • OpenID 2.0을 사용하여 신뢰할 수 있는 당사자가 Open을 검색컨텐츠 유형을 가진 XRDS 문서(Yadis 문서라고도 함)를 요청하여 ID 제공자 URLapplication/xrds+xml; 이 문서는 대상 URL에서 사용할 수 있으며 대상 XRI에 대해 항상 사용할 수 있다.

신뢰할 수 있는 당사자가 오픈과 통신할 수 있는 두 가지 모드가 있다.ID 공급자:

  • checkid_immediate, 이에 의존하는 당사자가 오픈을 요청한다.ID 제공자가 최종 사용자와 상호 작용하지 않음.모든 통신은 최종 사용자에게 명시적으로 통지하지 않고 최종 사용자의 사용자 에이전트를 통해 중계된다.
  • checkid_setup최종 사용자가 오픈과 통신하는 경우신뢰할 수 있는 파티에 액세스하는 데 사용된 것과 동일한 사용자 에이전트를 통한 ID 공급자.

checkid_immediate모드는 다시 로 떨어질 수 있다.checkid_setup작업을 자동화할 수 없는 경우 모드.

첫째, 신뢰할 수 있는 당사자와 공개자ID 제공자(선택적으로)는 관련 핸들에 의해 참조되는 공유 암호를 설정하며, 이 비밀은 해당 당사자가 저장한다.만약 사용한다면checkid_setup모드, 신뢰할 수 있는 당사자가 최종 사용자의 사용자 에이전트를 개방으로 리디렉션최종 사용자가 직접 Open으로 인증할 수 있도록 ID 제공자ID 공급자.

인증 방법은 다양할 수 있지만 일반적으로 공개ID 제공자는 최종 사용자에게 비밀번호 또는 일부 암호화 토큰을 요구하는 메시지를 표시한 다음, 최종 사용자가 필요한 ID 세부사항을 수신하기 위해 신뢰할 수 있는 당사자를 신뢰하는지 여부를 묻는다.

최종 사용자가 열기를 거부하는 경우ID 제공자가 신뢰할 수 있는 당사자를 신뢰하도록 요청한 후, 사용자 에이전트는 인증이 거부되었음을 나타내는 메시지와 함께 다시 신뢰할 수 있는 당사자에게 리디렉션되고, 신뢰할 수 있는 당사자는 최종 사용자 인증을 거부한다.

최종 사용자가 열기를 수락하는 경우ID 제공자의 신뢰할 수 있는 파티를 요청하면, 사용자 에이전트는 최종 사용자의 인증 정보와 함께 다시 신뢰할 수 있는 파티로 리디렉션된다.그런 다음 해당 당사자는 해당 자격 증명이 실제로 오픈에서 제공되었는지 확인해야 함ID 공급자.신뢰할 수 있는 파티 및 열려 있는 경우ID 제공자가 이전에 공유 암호를 설정한 경우, 신뢰할 수 있는 당사자가 오픈의 ID를 검증할 수 있음ID 제공자는 공유된 비밀의 복사본을 최종 사용자의 자격 증명과 함께 받은 비밀의 사본과 비교함으로써, 그러한 의존적인 당사자는 세션 간의 공유 비밀을 저장하기 때문에 상태 저장이라고 불린다.이와는 대조적으로, 무국적자멍청하게 의존하는 당사자는 한 가지 더 배경 요청을 해야 한다.check_authentication() 오픈에서 실제로 데이터가 전달되었는지 확인ID 공급자.

오픈 후ID가 확인되었고, 인증은 성공한 것으로 간주되며, 최종 사용자는 주어진 오픈에서 지정한 ID로 신뢰할 수 있는 당사자에 로그인한 것으로 간주된다.ID(예:alice.openid.example.org그 다음, 일반적으로 최종 사용자의 오픈을 저장한다.ID와 최종 사용자의 다른 세션 정보.

식별자

오픈을 얻으려면Open에 로그인하는 데 사용할 수 있는 ID 사용 URLID 사용 웹 사이트, 사용자가 열기 등록ID 제공자가 있는 ID 식별자.ID 제공자는 Open으로 자동 구성되는 URL(예: username.example.com)을 등록할 수 있는 기능을 제공한다.ID 인증 서비스.

일단 그들이 오픈을 등록하면ID, 사용자는 자신의 통제 하에 있는 기존 URL(블로그나 홈페이지 등)을 별칭 또는 "위임된 ID"로 사용할 수도 있다.적절한 오픈을 삽입하기만 하면 된다.HTML[13] ID 태그 또는 Yadis 문서를 제공하십시오.[14]

열기부터 시작ID 인증 2.0(및 일부 1.1 구현), Open과 함께 사용할 수 있는 두 가지 유형의 식별자가 있음ID: URL 및 XRI.

XRI는 교차 도메인 디지털 아이덴티티를 위해 특별히 설계된 새로운 형태의 인터넷 식별자다.예를 들어, XRI는 일반적으로 동의어로 동시에 등록되는 i-namei-number의 두 가지 형태로 나타난다.I-names는 도메인 이름처럼 재할당 가능한 반면, I-number는 재할당되지 않는다.XRI i-name이 Open으로 사용되는 경우ID 식별자, 그것은 즉시 동의어 i-숫자(Canonical)로 해결된다.XRDS 문서의 ID 요소).이 i-number는 오픈이다.신뢰할 수 있는 당사자가 저장한 ID 식별자.이러한 방법으로, 사용자와 신뢰할 수 있는 당사자 모두 최종 사용자의 오픈으로부터 보호된다.재할당 가능한 DNS 이름에 기반한 URL에서 발생할 수 있는 ID ID를 다른 당사자가 인수할 경우.

오픈ID 파운데이션

더 오픈ID Foundation(OIDF)은 오픈을 촉진하고 강화ID 커뮤니티 및 기술.OIDF는 오픈을 촉진하고 보호하고자 하는 개인 개발자, 정부 기관 및 기업의 비영리 국제 표준 개발 조직이다.아이디 더 오픈ID재단은 2007년 6월 결성되어 개발자, 벤더, 유저 등의 오픈 커뮤니티를 대표하는 공공신탁기구로 활동하고 있다.OIDF는 필요한 인프라를 제공하고 Open의 채택을 촉진 및 지원하는 데 도움을 줌으로써 커뮤니티를 돕는다.ID. 여기에는 지식재산 및 트레이드마크 관리, 바이러스성 성장 촉진 및 오픈 글로벌 참여 등이 포함된다.아이디.

사람

더 오픈ID재단의 이사회는 지역사회 구성원 4명과 기업 구성원 8명으로 구성된다.[15]

챕터

OIDF는 디지털 아이덴티티를 촉진하고 오픈의 추가 채택을 장려하기 위한 글로벌 조직이다.ID, OIDF는 회원 장의 창설을 장려했다.회원 장은 공식적으로 재단의 일부로서 오픈의 개발 및 채택을 지원하기 위해 자체 지역구에서 활동한다.인터넷상에서 사용자 중심 정체성의 틀로서의 ID.

지적재산 및 기여계약서

OIDF는 개방성을 보장한다.ID 규격은 자유롭게 구현할 수 있으므로 OIDF는 모든 기여자가 기여도 계약에 서명할 것을 요구한다.이 계약은 모두 재단에 집단 명세서를 출판할 수 있는 저작권 사용권을 부여하고 특허 비대리 계약을 포함한다.비주장 합의서에는 기부자가 오픈을 이행했다고 누군가를 고소하지 않을 것이라고 명시되어 있다.ID 사양.

법적 문제

더 오픈미국의 ID 상표가 오픈에 할당되었다.2008년 3월 ID재단 [16]설립그것은 오픈 전에 넷메쉬사에 의해 등록되었다.ID Foundation은 운영 중이었습니다.[17][18]유럽에서는, 2007년 8월 31일 현재, 오픈.ID 상표가 Open에 등록됨유럽재단.[19]

더 오픈ID 로고는 랜디 "ydnar" Reddig에 의해 디자인되었는데, 그는 2005년에 오픈에 대한 권리를 양도할 계획을 밝혔다.ID 조직.[20]

오픈의 원래 발표 이후ID, 공식 사이트는 다음과 같이 명시하였다.[21]

아무도 이것을 소유해서는 안 된다.아무도 이걸로 돈을 벌 생각 없어목표는 이 모든 부분을 가능한 한 가장 자유로운 면허 하에 풀어주는 것이다. 그래서 게임하는 데 필요한 돈이나 면허나 등록이 없다.이런 것이 존재한다면 공동체 전체에 이익이 되고, 우리는 모두 공동체의 일부분이다.

Sun Microsystems, VeriSign 및 Open에 관련된 다수의 소규모 기업ID는 오픈을 포함하는 특허 비보증 약정서를 발행했다.ID 1.1 규격.이 협약은 그 회사들이 오픈에 대해 어떠한 특허도 주장하지 않을 것이라고 명시하고 있다.ID 구현 및 Open에 대해 특허를 위협하거나 주장하는 모든 사용자로부터 약속을 취소함ID 구현자.[22][23]

보안

인증 버그

2012년 3월, 한 연구 논문은[24] 오픈에서 두 가지 일반적인 보안 문제를 보고했다.ID. 두 가지 문제 모두 공격자가 피해자의 신뢰할 수 있는 당사자 계정에 로그인할 수 있도록 허용한다.첫 번째 이슈는 OpenID와 Google(개방형 ID 제공자)이다.ID)[25][26] 이 문제를 해결하기 위해 게시된 보안 권고 사항.구글의 조언에 따르면 "공격자는 오픈을 위조할 수 있다.사용자의 전자 메일 주소를 묻지 않은 후 서명되지 않은 전자 메일 주소를 IDP 응답에 삽입하는 ID 요청.공격자가 이 속성이 서명되지 않은 것을 알아차리지 못하는 웹 사이트에 이 응답을 릴레이하면, 웹 사이트는 속아서 공격자가 로컬 계정에 로그인하도록 할 수 있다."이 연구 논문은 야후를 포함한 많은 인기 웹사이트들이 취약하다고 확인되었다고 주장한다. 메일, smartsheet.com, 조호, manymoon.com, diigo.com.연구진은 피해 당사자들에게 통보했고, 피해 당사자들은 취약한 코드를 고쳤다.

두 번째 이슈에 대해서는 공격자가 피해자의 RP 계정에 로그인할 수 있도록 하는 「데이터 타입 혼동 논리 결함」이라고 했다.구글페이팔은 처음에 취약하다는 것이 확인되었다.OpenID는 이 결함에 대한 취약성 보고서를[27] 게시했다.이 보고서는 구글과 페이팔이 수정사항을 적용했으며, 다른 오픈을 제안하고 있다고 말한다.ID 공급업체를 통해 구현 여부를 확인하십시오.

피싱

일부 관측통들은 오픈을 제안했다.ID는 보안 취약점이 있어 피싱 공격에 취약한 것으로 판명될 수 있다.[28][29][30]예를 들어 악의적인 릴레이 당사자는 최종 사용자가 자신의 자격 증명을 입력하도록 요청하는 가짜 ID 제공자 인증 페이지로 최종 사용자를 전달할 수 있다.이 작업을 완료하면 악의적인 당사자(이 경우 위조 인증 페이지를 제어하기도 함)가 ID 제공자와 함께 최종 사용자의 계정에 액세스한 다음 해당 최종 사용자의 오픈을 사용할 수 있다.다른 서비스에 로그인할 ID.

잠재적인 피싱 공격에 대처하기 위해 일부 오픈ID 제공자는 최종 사용자를 신뢰할 수 있는 당사자와 인증하기 전에 인증해야 한다.[31]이것은 최종 사용자가 ID 제공자의 정책을 아는 것에 의존한다.2008년 12월 오픈ID Foundation은 PAPE(Provider Authentication Policy Extension) 버전 1.0을 승인했으며, 이 버전에서는 "신뢰할 수 있는 당사자가 해당 오픈을 요청할 수 있도록 지원함ID 제공자는 사용자를 인증할 때 및 열기용으로 지정된 인증 정책을 사용함ID 제공자는 어떤 정책이 실제로 사용되었는지 신뢰할 수 있는 당사자에게 알려야 한다."[32]

개인 정보 보호 및 신뢰 문제

Open과 함께 확인된 기타 보안 문제ID는 개인 정보 보호의 부족과 신뢰 문제를 해결하지 못하는 것을 포함한다.[33]그러나 이 문제가 오픈만의 문제는 아니다.ID는 일반적으로 사용되는 인터넷의 상태일 뿐이다.[citation needed]

그러나 ID 공급자는 사용자의 공개 로그를 얻는다.ID 로그인: 사용자가 어떤 웹 사이트에 로그인했는지 알 수 있으므로 사이트추적이 훨씬 쉬워진다.손상된 오픈ID 계정은 또한 단일 사이트의 손상된 계정보다 더 심각한 개인 정보 침해일 가능성이 높다.

보안되지 않은 연결에서 인증 가로채기

TLS/SSL을 사용하지 않을 때 인증 체계의 마지막 단계에는 또 다른 중요한 취약성이 존재한다. 즉, ID 제공자에서 의존하는 당사자로의 리디렉션-URL이다.이 리디렉션의 문제는 이 URL을 얻을 수 있는 사람(예: 와이어 냄새를 맡음)이라면 누구나 재생할 수 있고 피해자 사용자로 사이트에 로그인할 수 있다는 사실이다.ID 제공자 중 일부는 nonces(한 번 사용한 수)를 사용하여 사용자가 사이트에 한 번 로그인할 수 있으며 연속된 모든 시도를 실패하게 한다.nonce 솔루션은 사용자가 URL을 처음 사용하는 경우 작동하지만, 와이어를 스니핑하는 빠른 공격자는 URL을 얻어 사용자의 TCP 연결을 즉시 재설정(공격자가 와이어를 스니핑하고 필요한 TCP 시퀀스 번호를 알고 있는 경우)한 다음 위에서 설명한 대로 재생 공격을 실행할 수 있다.따라서 nonces는 패시브 공격자로부터 보호만 할 뿐 능동 공격자가 재생 공격을 실행하는 것을 막을 수는 없다.[34]인증 프로세스에서 TLS/SSL을 사용하면 이러한 위험을 크게 줄일 수 있다.

이는 다음과 같이 재작성할 수 있다.

IF(RP1과 RP2 모두 Bob을 클라이언트로 가지고 있음) AND // 공통 사례(Bob은 RP1과 RP2가 모두 동일한 IDP를 사용함) AND// 공통 사례(RP1은 클라이언트와의 연결을 보호하기 위해 VPN/SSL/TLS를 사용하지 않음) //예방 가능!그러면 RP2는 RP1 END-IF로 Bob을 가장하기에 충분한 자격 증명을 얻을 수 있다.

커버트 리디렉션

2014년 5월 1일, "OAuth 2.0 및 Open 관련 Covert Redirect"라는 이름의 버그아이디"가 공개됐다.[35][36]이것은 싱가포르 난양공대 물리수학과학대학의 수학 박사과정 학생 왕징에 의해 발견되었다.[37][38][39]

오픈의 발표ID: "Covert Redirect"는 2014년 5월에 공개된 것으로, 잘 알려진 위협인 개방형 리디렉터를 사용하는 공격자의 예로서, 예방수단이 잘 알려져 있다.더 오픈ID Connect 프로토콜은 이 취약성을 방지하기 위해 개방적 리디렉터를 차단하는 엄격한 조치를 요구한다."[40]

"지금까지의 일반적인 합의는 Covert Redirect가 그만큼 나쁘지는 않지만 여전히 위협적이라는 겁니다.무엇이 위험하게 만드는지 이해하기 위해서는 오픈 리디렉션에 대한 기본적인 이해와 이를 어떻게 활용할 수 있는지에 대한 이해가 필요하다."[41]

패치를 즉시 사용할 수 있게 하지는 않았다.41번 매개 변수의 오리 아이젠 창업자 겸 회장 겸 최고혁신책임자는 수 마퀘트 포렘바에게 "어떤 분산 시스템에서도 참여자들이 올바른 일을 할 수 있도록 선의의 성격에 기대를 걸고 있다.OAuth 및 Open과 같은 경우ID, 배포가 워낙 방대해서 가까운 시일 내에 모든 웹사이트가 패치되기를 기대하는 것은 불합리하다고 말했다.[42]

역사

오리지널 오픈ID 인증 프로토콜은 Six Atract에서 근무하던 중, 인기 커뮤니티 웹사이트 LiveJournal을 만든 브래드 피츠패트릭에 의해[43] 2005년 5월에 개발되었다.[44]처음에 야디스(Yet another distributed identity system)[45]의 약어인 'Yet another distributed identity system(Yet other distributed identity system프로젝트에 사용할 수 있도록 Six Atract에 openid.net 도메인 이름을 부여한 후의 ID.[46]블로그 포스트 코멘트를 위해 LiveJournal 및 동료 LiveJournal 엔진 커뮤니티 DeadJournal에서 OpenID 지원이 곧 구현되어 디지털 ID 커뮤니티에서 빠르게 주목을 받았다.[47][48]웹 개발자 JanRain은 오픈의 초기 후원자였다.ID, 오픈 제공ID 소프트웨어 라이브러리 및 오픈을 중심으로 비즈니스 확장ID 기반 서비스.

6월 하순에 오픈 사이에 논의가 시작되었다.엔터프라이즈 소프트웨어 회사 NetMesh의 ID 사용자 및 개발자, 오픈 간 상호 운용성에 대한 협업으로 이어짐ID와 NetMesh의 유사한 LID(Light-weight Identity) 프로토콜이 협업의 직접적인 결과는 원래 오픈에 사용되었던 이름을 채택한 야디스 디스커버리 프로토콜이었다.id. 새로운 야디스는 2005년 10월 24일에 발표되었다.[49]며칠 후 2005년 인터넷 ID 워크샵에서 논의한 후 XRI/i 네임 개발자들이 야디스 프로젝트에 참여하여 프로토콜에 활용하기 위한 XRDS(Extensible Resource Descriptor Sequence) 형식을 기여하였다.[50][51]

12월에 Sxip Identity의 개발자들은 오픈과 논의를 시작했다.ID/Yadis 커뮤니티는[52] SXIP(Simple Extensible Identity Protocol) 버전 2.0을 LID 및 Open과 같은 URL 기반 ID로 개발한다고 발표한 후ID.[53] JanRain은 2006년 3월에 오픈을 위한 SREG(Simple Registration) 확장을 개발했다.원시 프로파일[54] 교환이 가능한 ID로, 4월에 확장 공식화 제안서를 오픈에 제출.ID. 같은 달, 오픈에 XRI 지원 전체를 통합하는 작업도 시작되었음ID.[55] 5월 초경 키 오픈ID 개발자인 David Recordon은 Six Alist를 떠나 VeriSign에 합류하여 오픈을 위한 디지털 아이덴티티와 가이드에 더욱 초점을 맞추었다.아이디 스펙.[48][56]6월 초까지 SXIP 2.0과 오픈의 주요 차이점ID 프로젝트는 Open에서 여러 명의 사용자를 지원하기로 합의하여 해결됨전체 ID URL이 아닌 ID 제공자 URL의 제출에 의한 ID. 이와 함께 확장 및 XRI 지원 추가가 진행 중ID는 본격적인 디지털 아이덴티티 프레임워크로 진화하고 있었고, 레코든은 "We see Open"이라고 선언하였다.ID는 식별자, 검색, 인증 및 메시지 서비스 계층의 계층을 포괄하는 프레임워크의 우산으로서, 이 모든 것을 일종의 '열림'이라고 부른다.ID 2.0'."[57] 7월 말 sxip은 자사의 디지털 ID 교환(DIX) 프로토콜을 오픈(Open)으로 병합하기 시작했다.ID, 오픈 초안 제출8월 ID AX(Attribute Exchange) 확장.2006년 말, ZDNet의 의견서가 오픈에 대한 주장을 만들었다.사용자, 웹 사이트 운영자 및 기업인에 대한 ID.[58]

2007년 1월 31일, Symantec은 오픈에 대한 지원을 발표했다.ID 이니셔티브 제품 및 서비스의 ID.[59]일주일 후인 2월 6일 마이크로소프트는 얀레인, Sxip, VeriSign과 공동으로 오픈 간 상호 운용성에 관한 공동 연구를 발표했다.ID 및 Microsoft의 Windows CardSpace 디지털 ID 플랫폼, 특히 Open용 피싱 방지 인증 솔루션 개발에 집중ID. 협업의 일환으로 마이크로소프트는 오픈 지원을 약속했다.미래 ID 서버 제품의 ID와 JanRain, Sxip, VeriSign은 마이크로소프트의 정보 카드 프로필에 대한 지원을 향후 ID 솔루션에 추가할 것을 약속했다.[60]2월 중순, AOL은 실험적인 오픈을 발표했다.ID 제공자 서비스는 모든 AOL 및 AIM(AOL Instant Messenger) 계정에 대해 기능했다.[61]

5월에, Sun Microsystems는 오픈과 함께 일하기 시작했다.ID 커뮤니티, 오픈 발표ID 프로그램,[62] 오픈과 비보증 서약서 입력ID 커뮤니티, Open 구현에 대해 어떠한 특허도 주장하지 않기로 약속아이디.[22] 6월 오픈ID 리더십이 오픈을 형성했다.오픈 관리를 위한 오리건 소재 공익법인 ID재단ID 브랜드 및 자산.[63]같은 달, 독립 오픈ID 유럽재단은 벨기에에서[64] Snorri Giorgetti에 의해 결성되었다.12월 초까지, 프로토콜과 최종 오픈의 주요 공헌자들에 의해 비주관 합의서가 수집되었다.ID 인증 2.0 및 열기ID 속성 Exchange 1.0 사양은 12월 5일에 비준되었다.[65]

2008년 1월 중순, 야후!는 초기 오픈을 발표했다.ID 2.0 지원은 제공자로서, 그리고 신뢰할 수 있는 당사자로서, 이달 말까지 제공자 서비스를 해제한다.[66]2월 초, 구글, IBM, 마이크로소프트, 베리사인, 야후!가 오픈에 합류했다.ID 재단은 기업 이사로 구성된다.[67]5월 초에 SourceForge, Inc.는 Open을 도입했다.ID 제공업체 및 주요 오픈 소스 소프트웨어 개발 웹 사이트 SourceForge.net에 대한 파트너 지원.[68]7월 말, 인기 소셜 네트워크 서비스 마이스페이스는 오픈에 대한 지원을 발표했다.공급자 ID.[69]10월 말에 구글은 오픈으로 지원을 시작했다.ID 제공자 및 Microsoft에서 Windows Live ID가 Open을 지원한다고 발표함ID.[70] JanRain은 11월에 웹사이트가 오픈을 받아들일 수 있는 무료 호스트 서비스인 RPX Basic을 발표했다.Open을 설치, 통합 및 구성할 필요 없이 등록 및 로그인할 수 있는 IDID 열린 원본 라이브러리.[71]

2009년 1월, PayPal은 오픈에 참가했다.법인회원으로 ID재단이 가입했고, 2월에는 페이스북이 그 뒤를 이었다.더 오픈ID재단은 집행위원회를 구성하고 돈 티보를 전무이사로 선임했다.3월에 마이스페이스는 이전에 발표했던 오픈을 시작했다.모든 MySpace 사용자가 자신의 MySpace URL을 Open으로 사용할 수 있도록 하는 ID 공급자 서비스ID. 5월에 Facebook은 사용자들이 자동 로그인이 가능한 Open을 사용할 [72][73]수 있도록 하는 신뢰할 수 있는 파티 기능을 시작했다.페이스북에 로그인하기 위한 ID 계정(예:[74] Google)

2013년 9월, Janrain은 MyOpen을 발표했다.ID.com은 2014년 2월 1일에 폐쇄될 것이다; 파이 차트는 2013년 2분기 현재 페이스북과 구글이 소셜 로그인 공간을 장악하고 있음을 보여주었다.[75]Facebook이 오픈을 떠난 이후ID; 더 이상 스폰서가 아니며, 게시판에 표시되거나, 오픈 허용아이디 로그인.[15][76]

2016년 5월, Symantec은 pip.verisignlabs.com 오픈을 중단할 것이라고 발표했다.ID Personal Identity Portal 서비스.[77][78]

2018년 3월, 스택 오버플로우가 오픈 종료를 발표했다.비용을 정당화하기에 불충분한 사용을 이유로 ID 지원.공지사항에는 활동을 바탕으로 페이스북, 구글, 이메일/암호 기반 계정 인증을 이용자들이 강력하게 선호한다고 명시돼 있다.[79]

OAuth를 사용한 OpenID 대 유사 인증

OpenID는 단일 사용자 자격 증명 집합을 사용하여 여러 사이트에 접속하는 방식이며, OAuth는 한 사이트의 허가를 용이하게 하여 다른 사이트의 사용자 계정과 관련된 정보에 접속하여 사용하는 방식이다.OAuth는 인증 프로토콜은 아니지만, 하나의 일부로 사용할 수 있다.

사용자가 애플리케이션에 접속하는 맥락에서의 인증은 현재 사용자가 누구인지, 그리고 그 존재 여부를 애플리케이션에게 알려준다.[...] 인증은 사용자와 애플리케이션과의 존재에 관한 것이며, 인터넷 규모의 인증 프로토콜은 네트워크와 보안 경계를 넘나들며 이것을 할 수 있어야 한다.

그러나 OAuth는 어플리케이션에 그 어떤 것도 알려주지 않는다.OAuth는 사용자에 대해 절대적으로 아무 말도 하지 않으며, 사용자가 어떻게 자신의 존재를 증명했는지 또는 심지어 그들이 아직 거기에 있다고 해도 말하지 않는다.OAuth 클라이언트에 관한 한, 토큰을 요청했고, 토큰을 얻었고, 결국 그 토큰을 어떤 API에 액세스하는데 사용했다.누가 애플리케이션을 승인했는지, 심지어 그곳에 사용자가 있었는지에 대해서는 아무것도 모른다.사실, OAuth의 많은 요점은 사용자가 클라이언트와 접근 중인 자원 사이의 연결에 존재하지 않는 상황에서 사용을 위해 위임된 접근 권한을 부여하는 것이다.이것은 클라이언트 인증에는 훌륭하지만, 사용자가 있는지 없는지(그리고 그들이 누구인지)를 파악하는 것이 전체 요점인 인증에는 정말 나쁘다.[80]

다음 도면은 Open 사용 간의 차이를 강조한다.인증을 위한 ID 대 OAuth.Open을 사용하는 경우 주의하십시오.ID, 프로세스는 사용자에게 ID를 요청하는 애플리케이션(일반적으로 Open)으로 시작되며,ID URI), 반면 OAuth의 경우 애플리케이션은 사용자를 대신하여 API에 액세스(집 안으로)하기 위해 제한된 액세스 OAuth 토큰(발렛 키)을 직접 요청한다.사용자가 그러한 액세스 권한을 부여할 수 있는 경우, 애플리케이션은 API를 사용하여 프로파일(ID)을 설정하기 위한 고유 식별자를 검색할 수 있다.

OpenID vs. Pseudo-Authentication using OAuth

의사 인증에 대한 공격

OpenID는 인증을 위해 OAuth를 오용하는 사용자에 대해 아래와 같은 공격을 방지하는 암호화 검증 메커니즘을 제공한다.

발렛 키는 사용자를 어떤 방식으로도 설명하지 않으며, 일부 주택에 대한 제한된 접근 권한만 제공한다(사용자의 키는 아니지만, 키가 있을 뿐임).따라서 키가 손상되면(사용자가 악의적이어서 다른 사람의 집 열쇠를 훔칠 수 있다), 사용자는 자신의 진위를 요구한 어플리케이션에 집주인 흉내를 낼 수 있다.키가 신뢰 체인의 어느 지점에 의해 손상되는 경우, 악의적인 사용자는 키를 가로채서 동일한 OAuth 인증 서버에 대한 유사 인증을 위해 OAuth2에 의존하는 모든 응용 프로그램에 대해 사용자 X를 가장하는 데 사용할 수 있다.반대로 공증된 편지에는 사용자에 대한 요청 신청서에 의해 확인할 수 있는 사용자 서명이 들어 있어 이 공격은 실행 가능성이 없다.[81]

문자 확인

그 편지는 인증이 되기 위해 공개키 암호화를 사용할 수 있다.

  • 요청된 응용프로그램은 암호화 공용 키를 인증 서버에 제공하는 사용자에게 제공한다.
  • 인증 서버는 응용 프로그램의 공개 키를 이용한 챌린지 대응을 위해 사용자가 알고 있는 비밀의 단방향 해시(예: 암호)에 해당하는 암호화 키가 포함된 문서를 암호화한다.
  • 사용자는 암호화된 문서를 다시 응용프로그램에 전달하고, 응용프로그램은 이를 해독한다.
  • 애플리케이션은 수신된 암호화 키를 사용하여 임의의 구문을 암호화한 후, 사용자도 똑같이 할 것을 요구하고, 그 결과를 비교한 후, 만약 일치한다면, 사용자는 정품이다.

OIDC(OpenID Connect)

2014년 2월 오픈ID Foundation, OpenID Connect는 3세대 Open 입니다.ID 기술.OAuth 2.0 인증 프레임워크 위에 있는 인증 계층이다.[82]그것은 컴퓨터 클라이언트가 인증 서버가 수행하는 인증을 기반으로 최종 사용자의 신원을 확인할 수 있을 뿐만 아니라 최종 사용자에 대한 기본적인 프로파일 정보를 상호운용 가능하고 REST와 같은 방식으로 얻을 수 있게 해준다.기술적 용어로 OpenID Connect는 JSON을 데이터 형식으로 사용하여 RESTful HTTP API를 지정한다.

OpenID Connect는 웹 기반, 모바일 및 JavaScript 클라이언트를 포함한 다양한 당사자가 인증된 세션 및 최종 사용자에 대한 정보를 요청하고 수신할 수 있도록 한다.더 오픈ID Connect 사양이 확장 가능하여 ID 데이터 암호화, Open 검색 등의 선택적 기능을 지원ID 공급자 및 세션 관리.

참고 항목

참조

  1. ^ a b c d Eldon, Eric (2009-04-14). "Single sign-on service OpenID getting more usage". venturebeat.com. Retrieved 2009-04-25.
  2. ^ "What is an OpenID?". Retrieved 19 June 2014.
  3. ^ "OpenID Authentication 2.0 specification – Final". Retrieved 2011-10-24.
  4. ^ "OpenID Attribute Exchange 1.0 – Final". Retrieved 2011-10-24.
  5. ^ "OpenID Authentication 2.0 - Final". 2007-12-05. Retrieved 2014-05-18.
  6. ^ "OpenID Usage Statistics".
  7. ^ bashburn, bill (2008-04-22). "BBC Joins OpenID Foundation".
  8. ^ "Technology Leaders Join OpenID Foundation to Promote Open Identity Management on the Web". 2008-02-07.
  9. ^ "PayPal Access Uses OpenID 2.0". OpenID ·. Retrieved 19 June 2014.
  10. ^ "Steam Community :: Steam Web API Documentation". Retrieved 2012-02-10.
  11. ^ Perez, Juan Carlos. "Facebook, Google launch data portability programs to all". Network World, Inc. Retrieved 19 June 2014.
  12. ^ "It's spring cleaning time for Blogger". Blogger team. Retrieved 10 September 2019.
  13. ^ "OpenID Authentication 1.1#Delegation".
  14. ^ Paul Tarjan. "Easy OpenID Delegation with Yadis". Archived from the original on 2009-07-04. Retrieved 2009-06-30.
  15. ^ a b "Leadership". openID Foundation. Retrieved 19 June 2014.
  16. ^ "Trademark Assignment, Serial #: 78899244". United States Patent and Trademark Office. 2008-05-06. Retrieved 2008-05-19. Exec Dt: 03/27/2008
  17. ^ "Latest Status Info". United States Patent and Trademark Office. 2006-03-27. Retrieved 2008-03-20.
  18. ^ "NetMesh: Company / Management". NetMesh. Archived from the original on 2007-08-30. Retrieved 2008-03-20.
  19. ^ "OpenID Europe Trademark & Logo Policy". OpenID Europe Foundation. Archived from the original on 2008-03-09. Retrieved 2008-03-20.
  20. ^ Reddig, Randy (2005-06-29). "OpenID Logo". Danga Interactive. Retrieved 2008-03-20.
  21. ^ Fitzpatrick, Brad. "Intellectual Property".
  22. ^ a b "Sun OpenID: Non-Assertion Covenant". Sun Microsystems. Retrieved 2008-03-20.
  23. ^ "VeriSign's OpenID Non-Assertion Patent Covenant". VeriSign. Archived from the original on 2008-04-15. Retrieved 2008-03-20.
  24. ^ Rui Wang; Shuo Chen & XiaoFeng Wang. "Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services".
  25. ^ "Attribute Exchange Security Alert".
  26. ^ "Security advisory to websites using OpenID Attribute Exchange".
  27. ^ "Vulnerability report: Data confusion".
  28. ^ Crowley, Paul (2005-06-01). "Phishing attacks on OpenID". Danga Interactive. Retrieved 2008-03-20.
  29. ^ Anderson, Tim (2007-03-05). "OpenID still open to abuse". IT Week. Retrieved 2007-03-13.
  30. ^ Slot, Marco. "Beginner's guide to OpenID phishing". Retrieved 2007-07-31.
  31. ^ "Verisign PIP FAQ". Archived from the original on 2008-11-13. Retrieved 2008-11-13.
  32. ^ Jones, Mike. "PAPE Approved as an OpenID Specification". OpenID Foundation.
  33. ^ Stefan Brands (2007-08-22). "The problem(s) with OpenID". Archived from the original on 2011-05-16. Retrieved 2010-12-12. (www.idcorner.org/?p=html의 ID 코너에 게시됨)
  34. ^ Tsyrklevich, Eugene. "Single Sign-On for the Internet: A Security Story" (PDF). Blackhat USA. Retrieved 2012-04-19.
  35. ^ "Serious security flaw in OAuth, OpenID discovered". CNET. 2 May 2014. Retrieved 10 November 2014.
  36. ^ "Covert Redirect". Tetraph. 1 May 2014. Retrieved 10 November 2014.
  37. ^ "Facebook, Google Users Threatened by New Security Flaw". Yahoo. 2 May 2014. Retrieved 10 November 2014.
  38. ^ "Nasty Covert Redirect Vulnerability found in OAuth and OpenID". The Hacker News. 3 May 2014. Retrieved 10 November 2014.
  39. ^ "Math student detects OAuth, OpenID security vulnerability". Tech Xplore. 3 May 2014. Retrieved 10 November 2014.
  40. ^ "Covert Redirect". OpenID. 15 May 2014. Retrieved 10 November 2014.
  41. ^ "'Covert Redirect' vulnerability impacts OAuth 2.0, OpenID". SC Magazine. 2 May 2014. Retrieved 10 November 2014.
  42. ^ "Lessons to be Learned from Covert Redirect". 41st Parameter. 5 May 2014. Retrieved 10 November 2014.
  43. ^ Fitzpatrick, Brad (2005-05-16). "Distributed Identity: Yadis". LiveJournal. Archived from the original on 2006-05-04. Retrieved 2008-03-20.
  44. ^ Waters, John K (2007-12-01). "OpenID Updates Identity Spec". Redmond Developer News. Archived from the original on 2008-02-08. Retrieved 2008-03-20.
  45. ^ "Glossary". LiveJournal Server: Technical Info. Retrieved 13 October 2009.
  46. ^ Lehn, David I. (18 May 2005). "18 May 2005". Advogato blog for dlehn. Advogato. Archived from the original on 21 December 2010. Retrieved 13 October 2009. They were looking for a name and managed to email me about openid.net right before I was going to offer it to them. So I gave it to them for the new and improved OpenID project.
  47. ^ "OpenID: an actually distributed identity system". 2005-09-24. Archived from the original on 2005-09-24. Retrieved 2008-03-20.
  48. ^ a b Fitzpatrick, Brad (2006-05-30). "brad's life – OpenID and SixApart". LiveJournal. Archived from the original on 2007-04-25. Retrieved 2008-03-20.
  49. ^ Recordon, David (2005-12-24). "Announcing YADIS...again". Danga Interactive. Retrieved 2008-03-20.
  50. ^ Reed, Dummond (2005-12-31). "Implementing YADIS with no new software". Danga Interactive. Retrieved 2008-03-20.
  51. ^ Reed, Drummond (2008-11-30). "XRD Begins". Equals Drummond. Retrieved 5 January 2009.
  52. ^ Hardt, Dick (2005-12-18). "Sxip concerns with YADIS". Danga Interactive. Retrieved 2008-03-20.
  53. ^ Hardt, Dick (2005-12-10). "SXIP 2.0 Teaser". Identity 2.0. Archived from the original on 2007-08-14. Retrieved 2008-03-20.
  54. ^ Hoyt, Josh (2006-03-15). "OpenID + Simple Registration Information Exchange". Danga Interactive. Retrieved 2008-03-20.
  55. ^ Grey, Victor (2006-04-02). "Proposal for an XRI (i-name) profile for OpenID". Danga Interactive. Retrieved 2008-03-20.
  56. ^ Recordon, David (2006-04-29). "Movin' On..." LiveJournal. Archived from the original on 2006-10-20. Retrieved 2008-03-20.
  57. ^ Recordon, David (2006-06-16). "Moving OpenID Forward". Danga Interactive. Retrieved 2008-05-19.
  58. ^ Johannes Ernst and David Recordon. Editor:Phil Becker (2006-12-04). "The case for OpenID". ZDNet. Retrieved 2010-12-12. {{cite news}}: author=일반 이름 포함(도움말)
  59. ^ "Symantec Unveils Security 2.0 Identity Initiative at DEMO 07 Conference". Symantec. 2007-01-31. Retrieved 2008-03-20.
  60. ^ Graves, Michael (2007-02-06). "VeriSign, Microsoft & Partners to Work together on OpenID + Cardspace". VeriSign. Archived from the original on 2008-05-03. Retrieved 2008-03-20.
  61. ^ Panzer, John (2007-02-16). "AOL and 63 Million OpenIDs". AOL Developer Network. Archived from the original on 2008-05-11. Retrieved 2008-03-20.
  62. ^ "Sun Microsystems Announces OpenID Program". PR Newswire. 2007-05-07. Retrieved 2008-03-20.
  63. ^ OpenID Board of Directors (2007-06-01). "OpenID Foundation". Retrieved 2008-03-20.
  64. ^ 오픈ID 유럽 재단
  65. ^ "OpenID 2.0...Final(ly)!". OpenID Foundation. 2007-12-05. Retrieved 2008-03-20.
  66. ^ "Yahoo! Announces Support for OpenID; Users Able to Access Multiple Internet Sites with Their Yahoo! ID". Yahoo!. 2008-01-17. Archived from the original on 2008-03-04. Retrieved 2008-03-20.
  67. ^ "Technology Leaders Join OpenID Foundation to Promote Open Identity Management on the Web". OpenID Foundation. Marketwire. 2008-02-07. Retrieved 2008-03-20.
  68. ^ "SourceForge Implements OpenID Technology" (Press release). SourceForge, Inc. May 7, 2008. Archived from the original on May 13, 2008. Retrieved 2008-05-21.
  69. ^ "MySpace Announces Support for "OpenID" and Introduces New Data Availability Implementations". Business Wire. MySpace. 2008-07-22. p. 2. Retrieved 2008-07-23.
  70. ^ "Microsoft and Google announce OpenID support". OpenID Foundation. 2008-10-30.
  71. ^ "JanRain Releases Free Version of Industry Leading OpenID Solution" (Press release). JanRain, Inc. November 14, 2008. Archived from the original on December 18, 2008. Retrieved 2008-11-14.
  72. ^ "Facebook Developers Facebook Developers News". Developers.facebook.com. 2009-05-18. Archived from the original on 2009-12-23. Retrieved 2009-07-28.
  73. ^ "Facebook now accepts Google account logins". Pocket-lint.com. 2009-05-19. Retrieved 2009-07-28.
  74. ^ "OpenID Requirements – Facebook Developer Wiki". Wiki.developers.facebook.com. 2009-06-26. Archived from the original on 2009-12-23. Retrieved 2009-07-28.
  75. ^ Kane, Zee M (4 September 2013). "MyOpenID to shut down. Will be turned off on February 1, 2014". The Next Web. Retrieved 5 September 2013.
  76. ^ "OpenID Sponsoring Members". Retrieved 17 April 2014.
  77. ^ "Symantec Personal Identification Portal banner indicates service will be discontinued on 12 September 2016". Archived from the original on 11 June 2016. Retrieved 17 May 2016.
  78. ^ "Is Symantec failing hard at being Google?". 7 May 2016. Retrieved 17 May 2016.
  79. ^ "Support for OpenID ended on July 25, 2018".
  80. ^ "User Authentication with OAuth 2.0". OAuth.net. Retrieved 19 March 2015.
  81. ^ "Why is it a bad idea to use plain oauth2 for authentication?". Information Security Stack Exchange. Retrieved 7 July 2018.
  82. ^ "OpenID Connect FAQ and Q&As". Retrieved 25 August 2014.

외부 링크