有人会碰巧知道使用“多阶段身份验证”的术语吗,每个阶段都授予特定级别的授权?
这个概念是您例如浏览网页,而不是识别和验证,并且您的授权级别为 0。
在某些时候,您希望执行需要授权的操作,因此您使用用户名和密码(或 OAuth 令牌等)进行身份验证,您现在拥有授权级别 1。
现在您希望执行特权操作,在此特定站点上,这需要您执行 2 因素身份验证。您请求操作,并且身份验证机制请求您输入,您授予它,您现在处于授权级别 2。
这是否仅适用于操作,或者您现在对会话的授权配置文件是否针对其余交互进行了更改是无关紧要的 - 对于这个问题。(如果您对什么会更好/更容易/更安全有一个好主意,也请随时回答)
这种“多阶段身份验证”叫什么?有人知道这个的实际术语吗?我可能只是在我的 Google 课程中失败了,但是有人可以为我提供一个有效且可接受的类似应用程序的术语吗?
- 所以在这里添加一些我在评论中部分提到的答案: OASIS Trust Elevation and IBM Step-up authentication from the accepted answer
这称为加强认证;我找不到任何非 IBM 对它的引用,但它已在Identity Ecosystem Steering Group工作组会议上反复讨论过。在过去的一年里,我参与的较少,但这是我们都认为有价值但并不紧迫的主题之一。(所以请继续努力,进行研究并提出解决方案)。
我想我记得在 NIST 800-63 中提到过这一点,但我现在找不到。与您的问题密切相关的是 NIST 所谓的“多令牌身份验证”,其中多个独立令牌串联使用以实现更高级别的保证。
索赔人向验证者出示由两个或更多令牌生成的令牌验证器,以证明他或她的身份。令牌组合的特征在于令牌使用的因素的组合(既是令牌表现所固有的,也包括那些用于激活令牌的因素)。要求索赔人输入密码并使用单因素加密设备的验证者是多令牌身份验证的一个示例。该组合被认为是多因素的,因为密码是您知道的,而加密设备是您拥有的。NIST 800-63
如果您在升级身份验证中找不到任何内容,您可能会寻找从事多令牌身份验证的人员。
我想我也听说过这被称为动态身份验证,但似乎 Visa 已将该术语吸收为专有技术,因此我会将其作为搜索术语丢弃。
我从未听说过具体的、普遍接受的术语,但它是最小特权原则的应用。
我已经看到执行此操作的应用程序通过各种术语来调用它:
同意 Mark C. Wallace 的回答,希望添加另一个参考源,该参考源使用术语逐步验证来解决这种精确情况。
Auth0 文档页面Step-Up Authentication提到了这一点,并且还展示了如何利用OpenID Connect规范中定义的内容来解决它的可能方法,更具体地说,以下声明:
acr- 身份验证上下文类参考:是一个字符串,用于指定在当前会话上执行的身份验证的“类”。amr- 身份验证方法参考:是用于对当前会话进行身份验证的方法的 JSON 区分大小写字符串列表。acr_values- 这是一个空格分隔的字符串,指定acr已请求用于处理请求的值,这些值按优先顺序显示。这可用于在acr要执行身份验证时请求上述类。