網際網路安全方面最具挑戰性的乙個問題是維持一次無縫操作和安全環境時, 使各不相同的安全系統達到一體化。由於一些公司經常需要通過網路來交換機密的資料或資料,因此,對於安全意義非常重大的web服務來說,對這種功能的要求尤為重要,比如進行電子商務活動。
結構化資訊標準促進組織(oasis)建立的安全標準saml(安全宣告標記語言),是基於xml(可擴充套件標記語言)面向web服務的架構。saml通過網際網路對不同的安全系統的資訊交換進行處理。
saml正是為解決網路安全性問題而發揮其作用。saml在傳統意義上的安全界定與商務站點之間,建立了一種安全資訊的交換渠道。saml作為安全資訊交 換的"中間人",促使乙個站點上的交易業務能夠在另乙個信任的站點上得到處理完成。由此可見,實現交易雙方商業協議或合作的乙個先決條件,是要求使用 saml作為共享的安全架構的一部份。
saml是如何工作的
saml在標準行業傳輸協議環境裡工作,例如http、**tp和ftp;同時也服務於各種各樣的xml檔案交換框架,如:soap和biztalk。 saml具備的乙個最突出的好處,是使使用者能夠通過網際網路進行安全證書移動。也就是說,使用saml標準作為安全認證和共享資料的中間語言,能夠在多個站 點之間實現單點登入。
此外,saml還針對不同的安全系統提供了乙個共有的框架,允許企業及其**商、客戶與合作夥伴進行安全的認證、授權和基本資訊交換。由於saml是通過xml對現有的安全模式進行描述,因此它是乙個中立的平台並且不需要依賴於**商的基礎結構。
web瀏覽器-saml宣告是由乙個web瀏覽器通過cookies或url鏈結進行通訊。
http - saml宣告通過標題或乙個http post ,從源站點傳送到目的站點。
soap - saml 宣告限制/約束soap文件的信封標題以保證有效載荷。
ebxml- 電子商務全球化標準提供了乙個基於mime的封裝結構,通常用於繫結saml宣告進行商業有效載荷。
若你所見,saml使用的物件稱為斷言或宣告。這些宣告由值得信任的權威安全機構,通過使用請求/響應協議(samlquery, saml queryresponse)產生並傳送。saml在xml中為認證宣告和認證屬性建立了乙個資料格式,其引數取決於安全服務產生的基於政策 的認證結果。
saml的訊息格式能夠從乙個源站點(站點起到saml認證管理機構的作用)將宣告傳送給乙個接受者。使電子商務合作中的事務處理速度得到加快,並且使認 證環境的複雜性得到全面的簡化。事實上,saml並沒有建立安全政策,而是由相關的安全權威機構進行制定;但是saml為這些安全政策的表達提供了標準格 式,因此安全決議能夠得到有效地制定。
saml的工作原理
1.使用者向認證機構提交證書(這裡的認識機構是指saml能夠識別的任何安全引擎或商業應用程式)。
2.認證機構對使用者的證書進行斷言,並且產生乙個認證宣告以及乙個或更多的屬性宣告(例如使用者資料資訊)。使用者立即就會得到由saml斷言的認證和識別標誌。
3.使用者使用這個saml標誌嘗試訪問乙個受保護的資源。
4.終端使用者對保護資源的訪問請求被pep(policy enforcement point)擷取,同時終端使用者的saml標誌(認證宣告)被pep提交給屬性管理(能夠被saml識別的任何安全引擎或商業應用程式)。
5.屬性管理或pdp(policy decision point)基於自身的政策標準產生乙個決定。一旦批准終端使用者對保護資源進行訪問,就會產生乙個附加在saml標誌上的屬性宣告。終端使用者的saml標誌就能夠以單點登入方式呈現給信任的商業夥伴。
saml如何使用
介紹幾種saml的使用方式
單點登入
舉乙個簡單的例子:使用者在乙個站點上取得認證授權,當使用者需要訪問另乙個相關站點的資源時,目的站點(保護資源的持有者)能夠使用saml從源站點調取使用者的證書資訊。此時saml對資訊交換的處理發生在後台,因此使用者的資源實際上被不同的安全系統進行了定位。
授權服務
通常來說,當乙個使用者請求訪問乙個動態保護的或受限制的web 資源時,訪問請求已被傳遞給乙個後端應用程式。saml使合作組織的後端安全架構相互作用,確定是否他們准予使用者的訪問請求。
會話當使用者採用單點登入方式並且保持會話引數和通過不同資源站點的資料時,saml能夠允許使用者在不同站點自由行進。源站點提供證書資訊,目的站點保持會話對所需要的資料進行驗證。在這個過程中,使用者可能並沒有意識到後台正在進行的相關安全處理。
掌握saml的實際應用知識
企業管理者需要知道saml能夠提供哪些服務。saml促進了不同安全系統之間的互操作性,是web服務功能性方面的一大發展。在許多情形中,管理將越來越需要對安全問題進行監督,並且實現安全標準的通訊。
mysql 網路安全性 MySQL安全性指南(1)
作為乙個mysql的系統管理員,你有責任維護你的mysql資料庫系統的資料安全性和完整性。本文主要主要介紹如何建立乙個安全的mysql系統,從系統內部和外部網路兩個角度,為你提供乙個指南。為什麼安全性很重要,你應該防範那些攻擊?伺服器面臨的風險 內部安全性 如何處理?連線伺服器的客戶端風險 外部安全...
mysql 網路安全性 MySQL安全性指南(3)
2.4 不用grant設定使用者 當你發出一條grant語句時,你指定乙個使用者名稱和主機名,可能還有口令。對該使用者生成乙個user表記錄,並且這些值記錄在user host和password列中。如果你在grant語句中指定全域性許可權,這些許可權記錄在記錄的許可權列中。其中要留神的是grant...
提高IIS的安全性
概要 使用iis的省缺設定就象把你屋子的鑰匙給了別人,本文教你如何把門鎖上。本文不是100 直譯,括號中的是討飯貓的廢話 沒有任何系統是100 安全的,系統漏洞會不斷地發現,這是因為黑客和系統管理員一樣也在整天看著新聞組,收集著這方面的資訊。黑與反黑之間的戰鬥會永遠進行下去。如果你採用iis的省缺設...