Identitätssicherheit und Datenschutz werden als eine der sieben größten Bedrohungen für die Cloud-Sicherheit angesehen. In letzter Zeit wurden einige Lösungen für das Identitätsmanagement vorgeschlagen, um diese Probleme zu lösen. Allerdings kann keine dieser Lösungen alle wünschenswerten Eigenschaften erfüllen. Insbesondere die Unverkettbarkeit stellt sicher, dass keiner der Cloud-Service-Provider (CSP), selbst wenn sie sich absprechen, die Transaktionen desselben Benutzers verknüpfen kann. Andererseits ist die delegierbare Authentifizierung einzigartig für die Cloud-Plattform, in der sich mehrere CSPs zusammenschließen können, um einen gebündelten Dienst anzubieten, wobei einer von ihnen der Quellanbieter ist, der mit den Kunden interagiert und die Authentifizierung durchführt, während die anderen für die Kunden transparent sind. Es ist zu beachten, dass CSPs unterschiedliche Authentifizierungsmechanismen haben können, die sich auf unterschiedliche Attribute stützen.
In diesem Papier wird SPICE vorgestellt – das erste digitale Identitätsmanagementsystem, das diese und andere wünschenswerte Eigenschaften erfüllt. Die Neuartigkeit unseres Systems beruht auf der Kombination und Nutzung von zwei Gruppensignaturen, so dass wir die Signatur randomisieren können, um dieselbe Signatur für mehrere Verwendungen unterschiedlich aussehen zu lassen und einige Teile der Nachrichten zu verbergen, die den CSP nicht betreffen. Unser Verfahren ist aufgrund seiner Einfachheit und Effizienz sehr gut für Cloud-Systeme geeignet. …
Ein Digital Identity Management System (DIM-System) sollte die folgenden wünschenswerten Sicherheits-/Privatsphären- und Funktionseigenschaften für die Authentifizierung aufweisen:
- Unverkettbarkeit. Beim Cloud Computing kann ein Nutzer mehrere Dienste erwerben, die mit demselben oder verschiedenen CSPs verbunden sind. Die Unverkettbarkeit stellt sicher, dass kein CSP, selbst wenn er sich abspricht, verschiedene Transaktionen desselben Nutzers miteinander verknüpfen kann, unabhängig davon, ob es sich um denselben Dienst oder um verschiedene Dienste handelt.-
- Delegierbare Authentifizierung. Jeder CSP möchte den Benutzer auf seine eigene Weise authentifizieren, bevor er sein Dienstleistungspaket anbietet. Die Authentifizierung sollte delegierbar sein, so dass der empfangende CSP einen Benutzer authentifizieren kann, ohne direkt mit dem Benutzer1 oder dem Registrar zu kommunizieren und ohne dem Quell-CSP vollständig zu vertrauen.
- Anonymität. Die Benutzer sollten in der Lage sein, sich gegenüber dem ZDA anonym als autorisierte Benutzer zu authentifizieren, ohne dem ZDA ihre tatsächliche Identität oder ihre genauen Attribute mitzuteilen.- Verantwortlichkeit. Die Benutzer können ihre Anonymität missbrauchen. Bei Bedarf kann eine vertrauenswürdige Partei die Anonymität aufheben, so dass die Benutzer für ihre böswilligen Handlungen zur Rechenschaft gezogen werden können
- Benutzerzentrierte Zugriffskontrolle. Die Nutzer sollten in der Lage sein zu kontrollieren, welche Informationen sie über sich selbst in der Cloud oder gegenüber einem CSP preisgeben wollen, und zu kontrollieren, wer auf diese Informationen zugreifen kann und wie diese Informationen verwendet werden, um das Risiko von Identitätsdiebstahl und Betrug zu minimieren.
- Einmalige Registrierung. Die Nutzer müssen sich nur einmal registrieren, um die Anmeldedaten zu erhalten, ohne jedes Mal die Registrierungsstelle kontaktieren zu müssen, wenn eine Authentifizierung erforderlich ist.
Quelle: SPICE – Simple Privacy-Preserving Identity-Management for Cloud Environment (Aus dem Jahr 2012)