clant

??????我們現在對RB-XACML profile進行研究，盡量找出他的不足之初，基本是我一個人在做。Sun的Anderson制定current RB-XACML有問題可以問他。 下面我提供一些關于XACML的連接。

??????XACML是由OASIS technique committee制定的，目前的規范是2.0，大家可以從這個連接下載：http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml

??????XACML3.0最近剛出來，是用來制定administration and delegation of XACML的，我的導師的觀點，delegation是屬于daministration的一部分。
從上面的連接可以下載。。

若大家真的對XACML有興趣，必須加入OASIS的mailing lists，從上面那個連接加入。

??????Sun什么事情都不落后，他針對XACML已經開發API了，基本上實現了XACML1.0的全部規范，2.0也差不多了，你需要從CVS里面下載，另外一點，SUN也有針對XACML實現的討論的mailing lists.
Sun implemenation of XACML的連接在這里：
http://sunxacml.sourceforge.net/

?????????請問誰現在在看RB-XACML profile，是否可以跟小弟討論一下，里面的user-role assignment如何來弄，如何將user-role assignment, role-permission assignment整合起來。

?????????現在介紹一些SAML，SAML的全稱是 SECURITY ASSERTATION MARKUP LANGUAGE。他表示安全的信息傳遞以斷言的形式表示。SAML的specification可以在下面的連接：
http://www.oasis-open.org/committees/security/
和XACML一樣，你最好也加入他們的user mailing lists來看別人提出的問題。我現在只簡單說明一下SAML有什么用，詳細的請看specification

SAML實現單點登陸?
?????????單點登陸表示用戶A在站點A認證登陸了，到用戶到達站點B的時候自動登陸，不需要在站點B重新輸入用戶名和密碼再次驗證。如何做到這樣呢，需要用SAML，站點B會向站點A發出SAML 的認證請求，站點A會回復站點B一個SAML認證斷言，說明用戶A在我站點A認證過了，而站點B信任站點A來的認證斷言。所以。。。

SAML在web services中的應用?
?????????web service-security，security的信息加在soap head信息中，我們將安全信息用SAML表達，將SAML斷言放在soap head里面

SAML在XACML結合使用?
?????????這個是我研究的東西，也是要做的。因為在分布式系統中，policies可能不在同一個地方，PEP和PDP可能是不同的domain或者application，XACML請求和決定等信息最好放在SAML中來傳遞，也就是SAML2.0 profile of XACML,大家可以去XACML官方網站下載（我在上面一提了XACML的連接了）。。

若有朋友在使用SAML和XACML結合，來研究SAML2.0 Profile of XACML，請聯系小弟討論一下好嗎？？

Web服務的安全模型和安全規范

?????????Web 服務安全性模型引入了一個由各個相互聯系的規范組成的集合，這些規范描述了把安全性功能程序放到 Web 服務環境中的方法。體系結構被設計成允許對規范進行混合匹配，使實現者能夠僅部署他們需要的那部分。這些規范中的第一個 — Web 服務安全性（Web Services Security）（或稱 WS-Security）文檔 — 提供了把消息完整性和機密性功能程序添加到 Web 服務中所必需的基本元素，并且提供把安全性令牌（例如，數字證書和 Kerberos 票據）關聯到 SOAP 消息的方法。WS-Security 為正提議的 Web 服務安全性模型打下了基礎。隨著時間的推移，除安全性外，還將引入其它規范來解決安全性策略、信任、隱私權和授權。



??????訪問控制模型有很多，按照年代來例舉有: BLP model, HRU model, The Clark wilson model, The chinese wall model, RBAC model.

ACL and capability lists 是屬于 protection matrix model中兩種實現方式。Idea來自 access control matrix。

??????XACML是一個access control policy，request and response語言，它的idea來自access control matrix (subject, resource (object), action).她可以用來實現以上的幾種model。

?????????我的畢業設計中是XACML同時實現了ACL and RBAC，單點登陸是用proxy certificate來實現的。。現在SAML比較成績了，可以用SAML和XACML結合了。。請問你們有用到將SAML 和XACML結合嗎？？ 你們有發表或者提供技術報告否？？

?????????web service作為一個service，client or another service來訪問，需要進行認證和授權。所以在SOAP消息中攜帶安全因素，是否允許調用service某個function對information object進行訪問，可以寫access control policy。
??????關于單點登陸的問題如果通過saml實現，應該是有著很大實際意義的實現；如何通過這些實現對分布式用戶或者資源的訪問控制不是一個簡單的問題，尤其在分布式策略的制定上也是一個需要通過一定機制劃分的問題，關鍵在于這種策略的制定應該層次清楚和控制明確；
saml的應用prototype希望哪位lz能夠提供一下？

SAML 國外，國內都已經在用了。。

實現請訪問：http://www.opensaml.org/