??????我們現(xiàn)在對RB-XACML profile進(jìn)行研究,盡量找出他的不足之初,基本是我一個(gè)人在做。Sun的Anderson制定current RB-XACML有問題可以問他。 下面我提供一些關(guān)于XACML的連接。
??????XACML是由OASIS technique committee制定的,目前的規(guī)范是2.0,大家可以從這個(gè)連接下載:http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml
??????XACML3.0最近剛出來,是用來制定administration and delegation of XACML的,我的導(dǎo)師的觀點(diǎn),delegation是屬于daministration的一部分。
從上面的連接可以下載。。
若大家真的對XACML有興趣,必須加入OASIS的mailing lists,從上面那個(gè)連接加入。
??????Sun什么事情都不落后,他針對XACML已經(jīng)開發(fā)API了,基本上實(shí)現(xiàn)了XACML1.0的全部規(guī)范,2.0也差不多了,你需要從CVS里面下載,另外一點(diǎn),SUN也有針對XACML實(shí)現(xiàn)的討論的mailing lists.
Sun implemenation of XACML的連接在這里:
http://sunxacml.sourceforge.net/
?????????請問誰現(xiàn)在在看RB-XACML profile,是否可以跟小弟討論一下,里面的user-role assignment如何來弄,如何將user-role assignment, role-permission assignment整合起來。
?????????現(xiàn)在介紹一些SAML,SAML的全稱是 SECURITY ASSERTATION MARKUP LANGUAGE。他表示安全的信息傳遞以斷言的形式表示。SAML的specification可以在下面的連接:
http://www.oasis-open.org/committees/security/
和XACML一樣,你最好也加入他們的user mailing lists來看別人提出的問題。我現(xiàn)在只簡單說明一下SAML有什么用,詳細(xì)的請看specification
SAML實(shí)現(xiàn)單點(diǎn)登陸?
?????????單點(diǎn)登陸表示用戶A在站點(diǎn)A認(rèn)證登陸了,到用戶到達(dá)站點(diǎn)B的時(shí)候自動(dòng)登陸,不需要在站點(diǎn)B重新輸入用戶名和密碼再次驗(yàn)證。如何做到這樣呢,需要用SAML,站點(diǎn)B會向站點(diǎn)A發(fā)出SAML 的認(rèn)證請求,站點(diǎn)A會回復(fù)站點(diǎn)B一個(gè)SAML認(rèn)證斷言,說明用戶A在我站點(diǎn)A認(rèn)證過了,而站點(diǎn)B信任站點(diǎn)A來的認(rèn)證斷言。所以。。。
SAML在web services中的應(yīng)用?
?????????web service-security,security的信息加在soap head信息中,我們將安全信息用SAML表達(dá),將SAML斷言放在soap head里面
SAML在XACML結(jié)合使用?
?????????這個(gè)是我研究的東西,也是要做的。因?yàn)樵诜植际较到y(tǒng)中,policies可能不在同一個(gè)地方,PEP和PDP可能是不同的domain或者application,XACML請求和決定等信息最好放在SAML中來傳遞,也就是SAML2.0 profile of XACML,大家可以去XACML官方網(wǎng)站下載(我在上面一提了XACML的連接了)。。
若有朋友在使用SAML和XACML結(jié)合,來研究SAML2.0 Profile of XACML,請聯(lián)系小弟討論一下好嗎??
Web服務(wù)的安全模型和安全規(guī)范
?????????Web 服務(wù)安全性模型引入了一個(gè)由各個(gè)相互聯(lián)系的規(guī)范組成的集合,這些規(guī)范描述了把安全性功能程序放到 Web 服務(wù)環(huán)境中的方法。體系結(jié)構(gòu)被設(shè)計(jì)成允許對規(guī)范進(jìn)行混合匹配,使實(shí)現(xiàn)者能夠僅部署他們需要的那部分。這些規(guī)范中的第一個(gè) — Web 服務(wù)安全性(Web Services Security)(或稱 WS-Security)文檔 — 提供了把消息完整性和機(jī)密性功能程序添加到 Web 服務(wù)中所必需的基本元素,并且提供把安全性令牌(例如,數(shù)字證書和 Kerberos 票據(jù))關(guān)聯(lián)到 SOAP 消息的方法。WS-Security 為正提議的 Web 服務(wù)安全性模型打下了基礎(chǔ)。隨著時(shí)間的推移,除安全性外,還將引入其它規(guī)范來解決安全性策略、信任、隱私權(quán)和授權(quán)。
??????訪問控制模型有很多,按照年代來例舉有: BLP model, HRU model, The Clark wilson model, The chinese wall model, RBAC model.
ACL and capability lists 是屬于 protection matrix model中兩種實(shí)現(xiàn)方式。Idea來自 access control matrix。
??????XACML是一個(gè)access control policy,request and response語言,它的idea來自access control matrix (subject, resource (object), action).她可以用來實(shí)現(xiàn)以上的幾種model。
?????????我的畢業(yè)設(shè)計(jì)中是XACML同時(shí)實(shí)現(xiàn)了ACL and RBAC,單點(diǎn)登陸是用proxy certificate來實(shí)現(xiàn)的。。現(xiàn)在SAML比較成績了,可以用SAML和XACML結(jié)合了。。請問你們有用到將SAML 和XACML結(jié)合嗎?? 你們有發(fā)表或者提供技術(shù)報(bào)告否??
?????????web service作為一個(gè)service,client or another service來訪問,需要進(jìn)行認(rèn)證和授權(quán)。所以在SOAP消息中攜帶安全因素,是否允許調(diào)用service某個(gè)function對information object進(jìn)行訪問,可以寫access control policy。
??????關(guān)于單點(diǎn)登陸的問題如果通過saml實(shí)現(xiàn),應(yīng)該是有著很大實(shí)際意義的實(shí)現(xiàn);如何通過這些實(shí)現(xiàn)對分布式用戶或者資源的訪問控制不是一個(gè)簡單的問題,尤其在分布式策略的制定上也是一個(gè)需要通過一定機(jī)制劃分的問題,關(guān)鍵在于這種策略的制定應(yīng)該層次清楚和控制明確;
saml的應(yīng)用prototype希望哪位lz能夠提供一下?
SAML 國外,國內(nèi)都已經(jīng)在用了。。
實(shí)現(xiàn)請?jiān)L問:http://www.opensaml.org/