随笔 - 19, 文章 - 93, 评论 - 17, 引用 - 0
数据加载中……

XACML 和 SAML的讨论

      我们现在对RB-XACML profile进行研究,尽量找出他的不足之初,基本是我一个人在做。Sun的Anderson制定current RB-XACML有问题可以问他。 下面我提供一些关于XACML的连接。

      XACML是由OASIS technique committee制定的,目前的规范是2.0,大家可以从这个连接下载:http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml

      XACML3.0最近刚出来,是用来制定administration and delegation of XACML的,我的导师的观点,delegation是属于daministration的一部分。
从上面的连接可以下载。。

若大家真的对XACML有兴趣,必须加入OASIS的mailing lists,从上面那个连接加入。

      Sun什么事情都不落后,他针对XACML已经开发API了,基本上实现了XACML1.0的全部规范,2.0也差不多了,你需要从CVS里面下载,另外一点,SUN也有针对XACML实现的讨论的mailing lists.
Sun implemenation of XACML的连接在这里:
http://sunxacml.sourceforge.net/

         请问谁现在在看RB-XACML profile,是否可以跟小弟讨论一下,里面的user-role assignment如何来弄,如何将user-role assignment, role-permission assignment整合起来。

         现在介绍一些SAML,SAML的全称是 SECURITY ASSERTATION MARKUP LANGUAGE。他表示安全的信息传递以断言的形式表示。SAML的specification可以在下面的连接:
http://www.oasis-open.org/committees/security/
和XACML一样,你最好也加入他们的user mailing lists来看别人提出的问题。我现在只简单说明一下SAML有什么用,详细的请看specification

SAML实现单点登陆 
         单点登陆表示用户A在站点A认证登陆了,到用户到达站点B的时候自动登陆,不需要在站点B重新输入用户名和密码再次验证。如何做到这样呢,需要用SAML,站点B会向站点A发出SAML 的认证请求,站点A会回复站点B一个SAML认证断言,说明用户A在我站点A认证过了,而站点B信任站点A来的认证断言。所以。。。

SAML在web services中的应用 
         web service-security,security的信息加在soap head信息中,我们将安全信息用SAML表达,将SAML断言放在soap head里面

SAML在XACML结合使用 
         这个是我研究的东西,也是要做的。因为在分布式系统中,policies可能不在同一个地方,PEP和PDP可能是不同的domain或者application,XACML请求和决定等信息最好放在SAML中来传递,也就是SAML2.0 profile of XACML,大家可以去XACML官方网站下载(我在上面一提了XACML的连接了)。。

若有朋友在使用SAML和XACML结合,来研究SAML2.0 Profile of XACML,请联系小弟讨论一下好吗??

Web服务的安全模型和安全规范

         Web 服务安全性模型引入了一个由各个相互联系的规范组成的集合,这些规范描述了把安全性功能程序放到 Web 服务环境中的方法。体系结构被设计成允许对规范进行混合匹配,使实现者能够仅部署他们需要的那部分。这些规范中的第一个 — Web 服务安全性(Web Services Security)(或称 WS-Security)文档 — 提供了把消息完整性和机密性功能程序添加到 Web 服务中所必需的基本元素,并且提供把安全性令牌(例如,数字证书和 Kerberos 票据)关联到 SOAP 消息的方法。WS-Security 为正提议的 Web 服务安全性模型打下了基础。随着时间的推移,除安全性外,还将引入其它规范来解决安全性策略、信任、隐私权和授权。



      访问控制模型有很多,按照年代来例举有: BLP model, HRU model, The Clark wilson model, The chinese wall model, RBAC model.

ACL and capability lists 是属于 protection matrix model中两种实现方式。Idea来自 access control matrix。

      XACML是一个access control policy,request and response语言,它的idea来自access control matrix (subject, resource (object), action).她可以用来实现以上的几种model。

         我的毕业设计中是XACML同时实现了ACL and RBAC,单点登陆是用proxy certificate来实现的。。现在SAML比较成绩了,可以用SAML和XACML结合了。。请问你们有用到将SAML 和XACML结合吗?? 你们有发表或者提供技术报告否??

         web service作为一个service,client or another service来访问,需要进行认证和授权。所以在SOAP消息中携带安全因素,是否允许调用service某个function对information object进行访问,可以写access control policy。
      关于单点登陆的问题如果通过saml实现,应该是有着很大实际意义的实现;如何通过这些实现对分布式用户或者资源的访问控制不是一个简单的问题,尤其在分布式策略的制定上也是一个需要通过一定机制划分的问题,关键在于这种策略的制定应该层次清楚和控制明确;
saml的应用prototype希望哪位lz能够提供一下?

SAML 国外,国内都已经在用了。。

实现请访问:http://www.opensaml.org/

posted on 2006-04-19 11:07 BPM 阅读(2255) 评论(9)  编辑  收藏 所属分类: Java 安全标准

评论

# re: XACML 和 SAML的讨论  回复  更多评论   

你好,请问你有什么聊天工具的联系方式吗?
我钻研saml和xacml很长时间了
希望和你交流!
2007-03-31 21:40 | 王强

# re: XACML 和 SAML的讨论[未登录]  回复  更多评论   

可不可以把你的论文给我看看,我也是在研究xacml在web中的应用。我的邮箱是lwlxg@163.com,谢谢
2008-02-25 12:27 | 刘伟

# re: XACML 和 SAML的讨论  回复  更多评论   

本人在做身份管理的产品研发,目前也是正在考虑SAML以及XACML,希望一起研究 willfcareer@sohu.com
2009-03-05 14:38 | willfcareer

# re: XACML 和 SAML的讨论  回复  更多评论   

本人正在做XACML和SAML在WS-Resources中的研究,希望能和你交流,一起研究。我的邮箱是yuanguo.h_001@yahoo.com
2009-04-29 19:19 | 霍远国

# re: XACML 和 SAML的讨论  回复  更多评论   

可不可以把你的论文给我看,我也是在研究xacml在web中的应用。我的邮箱是jsh6620012yahoo.com.cn,方便的话把联系方式留到信箱里,以后请教.谢谢
2009-09-05 10:21 | 郭嗣鑫

# re: XACML 和 SAML的讨论  回复  更多评论   

可不可以把你的论文给我看看呢,我正在做XACML和其它机制结合的研究,正好发现你做了ACL,RBAC和XACML的结合。放心,只是参考一下思路,不会做任何其他应用。jinjinwang2005@126.com
2009-09-09 11:12 | 金金

# re: XACML 和 SAML的讨论  回复  更多评论   

我在研究saml和xacml结合实现SSO,目前一头迷雾状态。
我现在研究的是opensaml和sunxacml。
还望博主点播。

希望能发一些资料到我的mail:berserker1981@gmail.com

拜谢!!
2011-01-20 16:33 | HL

# re: XACML 和 SAML的讨论  回复  更多评论   

博主你好,我正在学习XACML技术,要完成一个毕业设计,能发一份你的论文给我,留个联系方式讨论一下吗,谢谢,感激不尽!mail:xuminv@gmail.com
2011-03-22 10:21 | chenzui

# re: XACML 和 SAML的讨论  回复  更多评论   

博主您好。我现在也在看XACML和SAML相结合方面的内容,毕业论文可能也要跟这个有关系。您有什么新的进展能发给我看看么?邮箱:chenjun6036@gmail.com
2014-03-06 10:23 | chenjun

只有注册用户登录后才能发表评论。


网站导航: