clant

      我们现在对RB-XACML profile进行研究，尽量找出他的不足之初，基本是我一个人在做。Sun的Anderson制定current RB-XACML有问题可以问他。 下面我提供一些关于XACML的连接。

      XACML是由OASIS technique committee制定的，目前的规范是2.0，大家可以从这个连接下载：http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml

      XACML3.0最近刚出来，是用来制定administration and delegation of XACML的，我的导师的观点，delegation是属于daministration的一部分。
从上面的连接可以下载。。

若大家真的对XACML有兴趣，必须加入OASIS的mailing lists，从上面那个连接加入。

      Sun什么事情都不落后，他针对XACML已经开发API了，基本上实现了XACML1.0的全部规范，2.0也差不多了，你需要从CVS里面下载，另外一点，SUN也有针对XACML实现的讨论的mailing lists.
Sun implemenation of XACML的连接在这里：
http://sunxacml.sourceforge.net/

         请问谁现在在看RB-XACML profile，是否可以跟小弟讨论一下，里面的user-role assignment如何来弄，如何将user-role assignment, role-permission assignment整合起来。

         现在介绍一些SAML，SAML的全称是 SECURITY ASSERTATION MARKUP LANGUAGE。他表示安全的信息传递以断言的形式表示。SAML的specification可以在下面的连接：
http://www.oasis-open.org/committees/security/
和XACML一样，你最好也加入他们的user mailing lists来看别人提出的问题。我现在只简单说明一下SAML有什么用，详细的请看specification

SAML实现单点登陆 
         单点登陆表示用户A在站点A认证登陆了，到用户到达站点B的时候自动登陆，不需要在站点B重新输入用户名和密码再次验证。如何做到这样呢，需要用SAML，站点B会向站点A发出SAML 的认证请求，站点A会回复站点B一个SAML认证断言，说明用户A在我站点A认证过了，而站点B信任站点A来的认证断言。所以。。。

SAML在web services中的应用 
         web service-security，security的信息加在soap head信息中，我们将安全信息用SAML表达，将SAML断言放在soap head里面

SAML在XACML结合使用 
         这个是我研究的东西，也是要做的。因为在分布式系统中，policies可能不在同一个地方，PEP和PDP可能是不同的domain或者application，XACML请求和决定等信息最好放在SAML中来传递，也就是SAML2.0 profile of XACML,大家可以去XACML官方网站下载（我在上面一提了XACML的连接了）。。

若有朋友在使用SAML和XACML结合，来研究SAML2.0 Profile of XACML，请联系小弟讨论一下好吗？？

Web服务的安全模型和安全规范

         Web 服务安全性模型引入了一个由各个相互联系的规范组成的集合，这些规范描述了把安全性功能程序放到 Web 服务环境中的方法。体系结构被设计成允许对规范进行混合匹配，使实现者能够仅部署他们需要的那部分。这些规范中的第一个 — Web 服务安全性（Web Services Security）（或称 WS-Security）文档 — 提供了把消息完整性和机密性功能程序添加到 Web 服务中所必需的基本元素，并且提供把安全性令牌（例如，数字证书和 Kerberos 票据）关联到 SOAP 消息的方法。WS-Security 为正提议的 Web 服务安全性模型打下了基础。随着时间的推移，除安全性外，还将引入其它规范来解决安全性策略、信任、隐私权和授权。



      访问控制模型有很多，按照年代来例举有: BLP model, HRU model, The Clark wilson model, The chinese wall model, RBAC model.

ACL and capability lists 是属于 protection matrix model中两种实现方式。Idea来自 access control matrix。

      XACML是一个access control policy，request and response语言，它的idea来自access control matrix (subject, resource (object), action).她可以用来实现以上的几种model。

         我的毕业设计中是XACML同时实现了ACL and RBAC，单点登陆是用proxy certificate来实现的。。现在SAML比较成绩了，可以用SAML和XACML结合了。。请问你们有用到将SAML 和XACML结合吗？？ 你们有发表或者提供技术报告否？？

         web service作为一个service，client or another service来访问，需要进行认证和授权。所以在SOAP消息中携带安全因素，是否允许调用service某个function对information object进行访问，可以写access control policy。
      关于单点登陆的问题如果通过saml实现，应该是有着很大实际意义的实现；如何通过这些实现对分布式用户或者资源的访问控制不是一个简单的问题，尤其在分布式策略的制定上也是一个需要通过一定机制划分的问题，关键在于这种策略的制定应该层次清楚和控制明确；
saml的应用prototype希望哪位lz能够提供一下？

SAML 国外，国内都已经在用了。。

实现请访问：http://www.opensaml.org/