Information Sharing and User Privacy in the Third-party Identity Management Landscape

@EricaHe 2016-08-09T01:41:49.000000Z 字数 1294 阅读 686

论文笔记

作者：Anna Vapen, Niklas Carlsson, Anirban Mahanti, and Nahid Shahmehri

单位：Link¨oping University, Sweden & NICTA, Australia

来源：IFIP-sec'15

Abstract & Introduction

文章主要归纳分析了不同第三方身份管理关系（RP-IdP Relationship），对其作出了数据的统计与整理，并由此，根据RP所请求的权限，以及多个IdP同时存在于一个RP等情景，对用户隐私泄露的风险做出了评估。

OAuth是目前最主流的认证授权协议（前三者为2012年4月的数据）：
- 在人工对最流行的180个网站中进行分析，OAuth占到了67%，OpenID仅有11%
- 在数据爬取结果中（3203个网站），OAuth占到了79%，OpenID仅有6%
- 有39/180，和441/3203的网站同时采用了两者
- 在排名前200的网站中，从2012年4月到2014年9月的过程里，OAuth的使用率增加了24%，OpenID降低了10%
排名前五的IdP占据了90%的市场

Basic Information(B)：email address、age range、language、public information
Personal Information（P）：gender, country, time zone ,friend list, political views, religion, sexual orientation
Created Content(C)：images, likes, check-in history, watched video, location history
Friends' data(F)：data of other users
Actions taken on behalf of the user(A)

此处输入图片的描述

此处输入图片的描述

此处输入图片的描述

Information Collision：
从不同IdP平台导入的信息可能存在冲突（比如email地址之类的），从而使得身份管理更加复杂
Account Merging and Collisions：
在提供多个IdP登录的应用中，只有部分应用会提供账号合并的功能，而剩下的则不是注册失败（甚至原来的账号也不能使用），或者建立一个功能不完备的临时账号，就是建立了一个新账号。
Cross-IdP Information Leakage：
有些情况下，在不同IdP共存的时候，可能会有IdP A中的信息，通过RP上的账号，泄露到IdP B中——这主要是当RP拥有能够在IdP B上发布消息的能力时候会发生。