??????我們現(xiàn)在對(duì)RB-XACML profile進(jìn)行研究,盡量找出他的不足之初,基本是我一個(gè)人在做。Sun的Anderson制定current RB-XACML有問(wèn)題可以問(wèn)他。 下面我提供一些關(guān)于XACML的連接。
??????XACML是由OASIS technique committee制定的,目前的規(guī)范是2.0,大家可以從這個(gè)連接下載:http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml
??????XACML3.0最近剛出來(lái),是用來(lái)制定administration and delegation of XACML的,我的導(dǎo)師的觀點(diǎn),delegation是屬于daministration的一部分。
從上面的連接可以下載。。
若大家真的對(duì)XACML有興趣,必須加入OASIS的mailing lists,從上面那個(gè)連接加入。
??????Sun什么事情都不落后,他針對(duì)XACML已經(jīng)開發(fā)API了,基本上實(shí)現(xiàn)了XACML1.0的全部規(guī)范,2.0也差不多了,你需要從CVS里面下載,另外一點(diǎn),SUN也有針對(duì)XACML實(shí)現(xiàn)的討論的mailing lists.
Sun implemenation of XACML的連接在這里:
http://sunxacml.sourceforge.net/
?????????請(qǐng)問(wèn)誰(shuí)現(xiàn)在在看RB-XACML profile,是否可以跟小弟討論一下,里面的user-role assignment如何來(lái)弄,如何將user-role assignment, role-permission assignment整合起來(lái)。
?????????現(xiàn)在介紹一些SAML,SAML的全稱是 SECURITY ASSERTATION MARKUP LANGUAGE。他表示安全的信息傳遞以斷言的形式表示。SAML的specification可以在下面的連接:
http://www.oasis-open.org/committees/security/
和XACML一樣,你最好也加入他們的user mailing lists來(lái)看別人提出的問(wèn)題。我現(xiàn)在只簡(jiǎn)單說(shuō)明一下SAML有什么用,詳細(xì)的請(qǐng)看specification
SAML實(shí)現(xiàn)單點(diǎn)登陸?
?????????單點(diǎn)登陸表示用戶A在站點(diǎn)A認(rèn)證登陸了,到用戶到達(dá)站點(diǎn)B的時(shí)候自動(dòng)登陸,不需要在站點(diǎn)B重新輸入用戶名和密碼再次驗(yàn)證。如何做到這樣呢,需要用SAML,站點(diǎn)B會(huì)向站點(diǎn)A發(fā)出SAML 的認(rèn)證請(qǐng)求,站點(diǎn)A會(huì)回復(fù)站點(diǎn)B一個(gè)SAML認(rèn)證斷言,說(shuō)明用戶A在我站點(diǎn)A認(rèn)證過(guò)了,而站點(diǎn)B信任站點(diǎn)A來(lái)的認(rèn)證斷言。所以。。。
SAML在web services中的應(yīng)用?
?????????web service-security,security的信息加在soap head信息中,我們將安全信息用SAML表達(dá),將SAML斷言放在soap head里面
SAML在XACML結(jié)合使用?
?????????這個(gè)是我研究的東西,也是要做的。因?yàn)樵诜植际较到y(tǒng)中,policies可能不在同一個(gè)地方,PEP和PDP可能是不同的domain或者application,XACML請(qǐng)求和決定等信息最好放在SAML中來(lái)傳遞,也就是SAML2.0 profile of XACML,大家可以去XACML官方網(wǎng)站下載(我在上面一提了XACML的連接了)。。
若有朋友在使用SAML和XACML結(jié)合,來(lái)研究SAML2.0 Profile of XACML,請(qǐng)聯(lián)系小弟討論一下好嗎??
Web服務(wù)的安全模型和安全規(guī)范
?????????Web 服務(wù)安全性模型引入了一個(gè)由各個(gè)相互聯(lián)系的規(guī)范組成的集合,這些規(guī)范描述了把安全性功能程序放到 Web 服務(wù)環(huán)境中的方法。體系結(jié)構(gòu)被設(shè)計(jì)成允許對(duì)規(guī)范進(jìn)行混合匹配,使實(shí)現(xiàn)者能夠僅部署他們需要的那部分。這些規(guī)范中的第一個(gè) — Web 服務(wù)安全性(Web Services Security)(或稱 WS-Security)文檔 — 提供了把消息完整性和機(jī)密性功能程序添加到 Web 服務(wù)中所必需的基本元素,并且提供把安全性令牌(例如,數(shù)字證書和 Kerberos 票據(jù))關(guān)聯(lián)到 SOAP 消息的方法。WS-Security 為正提議的 Web 服務(wù)安全性模型打下了基礎(chǔ)。隨著時(shí)間的推移,除安全性外,還將引入其它規(guī)范來(lái)解決安全性策略、信任、隱私權(quán)和授權(quán)。
??????訪問(wèn)控制模型有很多,按照年代來(lái)例舉有: BLP model, HRU model, The Clark wilson model, The chinese wall model, RBAC model.
ACL and capability lists 是屬于 protection matrix model中兩種實(shí)現(xiàn)方式。Idea來(lái)自 access control matrix。
??????XACML是一個(gè)access control policy,request and response語(yǔ)言,它的idea來(lái)自access control matrix (subject, resource (object), action).她可以用來(lái)實(shí)現(xiàn)以上的幾種model。
?????????我的畢業(yè)設(shè)計(jì)中是XACML同時(shí)實(shí)現(xiàn)了ACL and RBAC,單點(diǎn)登陸是用proxy certificate來(lái)實(shí)現(xiàn)的。。現(xiàn)在SAML比較成績(jī)了,可以用SAML和XACML結(jié)合了。。請(qǐng)問(wèn)你們有用到將SAML 和XACML結(jié)合嗎?? 你們有發(fā)表或者提供技術(shù)報(bào)告否??
?????????web service作為一個(gè)service,client or another service來(lái)訪問(wèn),需要進(jìn)行認(rèn)證和授權(quán)。所以在SOAP消息中攜帶安全因素,是否允許調(diào)用service某個(gè)function對(duì)information object進(jìn)行訪問(wèn),可以寫access control policy。
??????關(guān)于單點(diǎn)登陸的問(wèn)題如果通過(guò)saml實(shí)現(xiàn),應(yīng)該是有著很大實(shí)際意義的實(shí)現(xiàn);如何通過(guò)這些實(shí)現(xiàn)對(duì)分布式用戶或者資源的訪問(wèn)控制不是一個(gè)簡(jiǎn)單的問(wèn)題,尤其在分布式策略的制定上也是一個(gè)需要通過(guò)一定機(jī)制劃分的問(wèn)題,關(guān)鍵在于這種策略的制定應(yīng)該層次清楚和控制明確;
saml的應(yīng)用prototype希望哪位lz能夠提供一下?
SAML 國(guó)外,國(guó)內(nèi)都已經(jīng)在用了。。
實(shí)現(xiàn)請(qǐng)?jiān)L問(wèn):http://www.opensaml.org/