?????????互聯(lián)網(wǎng)安全方面最具挑戰(zhàn)性的一個(gè)問題是維持一次無縫操作和安全環(huán)境時(shí), 使各不相同的安全系統(tǒng)達(dá)到一體化。由于一些公司經(jīng)常需要通過網(wǎng)絡(luò)來交換機(jī)密的資料或數(shù)據(jù),因此,對(duì)于安全意義非常重大的Web服務(wù)來說,對(duì)這種功能的要求尤為重要,比如進(jìn)行電子商務(wù)活動(dòng)。?
?
結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織(OASIS)建立的安全標(biāo)準(zhǔn)SAML(安全聲明標(biāo)記語(yǔ)言),是基于XML(可擴(kuò)展標(biāo)記語(yǔ)言)面向Web服務(wù)的架構(gòu)。SAML通過因特網(wǎng)對(duì)不同的安全系統(tǒng)的信息交換進(jìn)行處理。
了解SAML
?????????SAML并不是一項(xiàng)新技術(shù)。確切地說,它是一種語(yǔ)言,進(jìn)行單一的XML描述,允許不同安全系統(tǒng)產(chǎn)生的信息進(jìn)行交換。通常來說,一個(gè)企業(yè)物理或邏輯的范圍已經(jīng)界定了企業(yè)的IT安全;然而,由于在線合作需要共享更可靠的安全服務(wù)環(huán)境,因此IT安全越來越成為人們關(guān)注的重點(diǎn)問題。
?????????SAML正是為解決網(wǎng)絡(luò)安全性問題而發(fā)揮其作用。SAML在傳統(tǒng)意義上的安全界定與商務(wù)站點(diǎn)之間,建立了一種安全信息的交換渠道。SAML作為安全信息交換的"中間人",促使一個(gè)站點(diǎn)上的交易業(yè)務(wù)能夠在另一個(gè)信任的站點(diǎn)上得到處理完成。由此可見,實(shí)現(xiàn)交易雙方商業(yè)協(xié)議或合作的一個(gè)先決條件,是要求使用SAML作為共享的安全架構(gòu)的一部份。
SAML是如何工作的
?????????SAML在標(biāo)準(zhǔn)行業(yè)傳輸協(xié)議環(huán)境里工作,例如HTTP、SMTP和FTP;同時(shí)也服務(wù)于各種各樣的XML文件交換框架,如:SOAP和BizTalk。SAML具備的一個(gè)最突出的好處,是使用戶能夠通過因特網(wǎng)進(jìn)行安全證書移動(dòng)。也就是說,使用SAML標(biāo)準(zhǔn)作為安全認(rèn)證和共享資料的中間語(yǔ)言,能夠在多個(gè)站點(diǎn)之間實(shí)現(xiàn)單點(diǎn)登錄。
?????????此外,SAML還針對(duì)不同的安全系統(tǒng)提供了一個(gè)共有的框架,允許企業(yè)及其供應(yīng)商、客戶與合作伙伴進(jìn)行安全的認(rèn)證、授權(quán)和基本信息交換。由于SAML是通過XML對(duì)現(xiàn)有的安全模式進(jìn)行描述,因此它是一個(gè)中立的平臺(tái)并且不需要依賴于供應(yīng)商的基礎(chǔ)結(jié)構(gòu)。
Web瀏覽器-SAML聲明是由一個(gè)Web瀏覽器通過cookies或URL鏈接進(jìn)行通信。
HTTP - SAML聲明通過標(biāo)題或一個(gè)HTTP POST ,從源站點(diǎn)傳送到目的站點(diǎn)。
MIME - SAML 聲明被封裝為一個(gè)單一的MIME(多用途網(wǎng)際郵件擴(kuò)充協(xié)議)安全包,由消息的有效載荷組成,例如:一張定購(gòu)單、或在線銀行的信用報(bào)告書等等。
SOAP - SAML 聲明限制/約束SOAP文檔的信封標(biāo)題以保證有效載荷。
?????????ebXML- 電子商務(wù)全球化標(biāo)準(zhǔn)提供了一個(gè)基于MIME的封裝結(jié)構(gòu),通常用于綁定SAML聲明進(jìn)行商業(yè)有效載荷。
?????????若你所見,SAML使用的對(duì)象稱為斷言或聲明。這些聲明由值得信任的權(quán)威安全機(jī)構(gòu),通過使用請(qǐng)求/響應(yīng)協(xié)議(SAMLQuery, SAML QueryResponse)產(chǎn)生并發(fā)送。SAML在XML中為認(rèn)證聲明和認(rèn)證屬性建立了一個(gè)數(shù)據(jù)格式,其參數(shù)取決于安全服務(wù)產(chǎn)生的基于政策的認(rèn)證結(jié)果。
SAML的消息格式能夠從一個(gè)源站點(diǎn)(站點(diǎn)起到SAML認(rèn)證管理機(jī)構(gòu)的作用)將聲明發(fā)送給一個(gè)接受者。使電子商務(wù)合作中的事務(wù)處理速度得到加快,并且使認(rèn)證環(huán)境的復(fù)雜性得到全面的簡(jiǎn)化。事實(shí)上,SAML并沒有創(chuàng)建安全政策,而是由相關(guān)的安全權(quán)威機(jī)構(gòu)進(jìn)行制定;但是SAML為這些安全政策的表達(dá)提供了標(biāo)準(zhǔn)格式,因此安全決議能夠得到有效地制定。
SAML的工作原理
1.用戶向認(rèn)證機(jī)構(gòu)提交證書(這里的認(rèn)識(shí)機(jī)構(gòu)是指SAML能夠識(shí)別的任何安全引擎或商業(yè)應(yīng)用程序)。
2.認(rèn)證機(jī)構(gòu)對(duì)用戶的證書進(jìn)行斷言,并且產(chǎn)生一個(gè)認(rèn)證聲明以及一個(gè)或更多的屬性聲明(例如用戶資料信息)。用戶立即就會(huì)得到由SAML斷言的認(rèn)證和識(shí)別標(biāo)志。
3.用戶使用這個(gè)SAML標(biāo)志嘗試訪問一個(gè)受保護(hù)的資源。
4.最終用戶對(duì)保護(hù)資源的訪問請(qǐng)求被PEP(Policy Enforcement Point)截取,同時(shí)最終用戶的SAML標(biāo)志(認(rèn)證聲明)被PEP提交給屬性管理(能夠被SAML識(shí)別的任何安全引擎或商業(yè)應(yīng)用程序)。
5.屬性管理或PDP(Policy Decision Point)基于自身的政策標(biāo)準(zhǔn)產(chǎn)生一個(gè)決定。一旦批準(zhǔn)最終用戶對(duì)保護(hù)資源進(jìn)行訪問,就會(huì)產(chǎn)生一個(gè)附加在SAML標(biāo)志上的屬性聲明。最終用戶的SAML標(biāo)志就能夠以單點(diǎn)登錄方式呈現(xiàn)給信任的商業(yè)伙伴。
SAML如何使用
介紹幾種SAML的使用方式
單點(diǎn)登錄
?????????舉一個(gè)簡(jiǎn)單的例子:用戶在一個(gè)站點(diǎn)上取得認(rèn)證授權(quán),當(dāng)用戶需要訪問另一個(gè)相關(guān)站點(diǎn)的資源時(shí),目的站點(diǎn)(保護(hù)資源的持有者)能夠使用SAML從源站點(diǎn)調(diào)取用戶的證書信息。此時(shí)SAML對(duì)信息交換的處理發(fā)生在后臺(tái),因此用戶的資源實(shí)際上被不同的安全系統(tǒng)進(jìn)行了定位。
授權(quán)服務(wù)
?????????通常來說,當(dāng)一個(gè)用戶請(qǐng)求訪問一個(gè)動(dòng)態(tài)保護(hù)的或受限制的Web 資源時(shí),訪問請(qǐng)求已被傳遞給一個(gè)后端應(yīng)用程序。SAML使合作組織的后端安全架構(gòu)相互作用,確定是否他們準(zhǔn)予用戶的訪問請(qǐng)求。
B2B
?????????在B2B情形中,參與在線商業(yè)合作的雙方能夠利用SAML,允許他們各自的安全架構(gòu)彼此進(jìn)行信息交換,從而使商業(yè)活動(dòng)得到安全快捷的進(jìn)行。或者,合伙人通過使用值得信任的第三方SAML B2B服務(wù),在交易過程中對(duì)安全信息進(jìn)行交換和斷言。
會(huì)話
????????當(dāng)用戶采用單點(diǎn)登錄方式并且保持會(huì)話參數(shù)和通過不同資源站點(diǎn)的數(shù)據(jù)時(shí),SAML能夠允許用戶在不同站點(diǎn)自由行進(jìn)。源站點(diǎn)提供證書信息,目的站點(diǎn)保持會(huì)話對(duì)所需要的數(shù)據(jù)進(jìn)行驗(yàn)證。在這個(gè)過程中,用戶可能并沒有意識(shí)到后臺(tái)正在進(jìn)行的相關(guān)安全處理。
掌握SAML的實(shí)際應(yīng)用知識(shí)
?????????企業(yè)管理者需要知道SAML能夠提供哪些服務(wù)。SAML促進(jìn)了不同安全系統(tǒng)之間的互操作性,是Web服務(wù)功能性方面的一大發(fā)展。在許多情形中,管理將越來越需要對(duì)安全問題進(jìn)行監(jiān)督,并且實(shí)現(xiàn)安全標(biāo)準(zhǔn)的通信。