XACML是由OASIS technique committee制定的,目前的规范是2.0,大家可以从这个连接下载:http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml
XACML3.0最近刚出来,是用来制定administration and delegation of XACML的,我的导师的观点,delegation是属于daministration的一部分。
从上面的连接可以下载。。
若大家真的对XACML有兴趣,必须加入OASIS的mailing lists,从上面那个连接加入。
Sun什么事情都不落后,他针对XACML已经开发API了,基本上实现了XACML1.0的全部规范,2.0也差不多了,你需要从CVS里面下载,另外一点,SUN也有针对XACML实现的讨论的mailing lists.
Sun implemenation of XACML的连接在这里:
http://sunxacml.sourceforge.net/
请问谁现在在看RB-XACML profile,是否可以跟小弟讨论一下,里面的user-role assignment如何来弄,如何将user-role assignment, role-permission assignment整合起来。
现在介绍一些SAML,SAML的全称是 SECURITY ASSERTATION MARKUP LANGUAGE。他表示安全的信息传递以断言的形式表示。SAML的specification可以在下面的连接:
http://www.oasis-open.org/committees/security/
和XACML一样,你最好也加入他们的user mailing lists来看别人提出的问题。我现在只简单说明一下SAML有什么用,详细的请看specification
SAML实现单点登陆
单点登陆表示用户A在站点A认证登陆了,到用户到达站点B的时候自动登陆,不需要在站点B重新输入用户名和密码再次验证。如何做到这样呢,需要用SAML,站点B会向站点A发出SAML 的认证请求,站点A会回复站点B一个SAML认证断言,说明用户A在我站点A认证过了,而站点B信任站点A来的认证断言。所以。。。
SAML在web services中的应用
web service-security,security的信息加在soap head信息中,我们将安全信息用SAML表达,将SAML断言放在soap head里面
SAML在XACML结合使用
这个是我研究的东西,也是要做的。因为在分布式系统中,policies可能不在同一个地方,PEP和PDP可能是不同的domain或者application,XACML请求和决定等信息最好放在SAML中来传递,也就是SAML2.0 profile of XACML,大家可以去XACML官方网站下载(我在上面一提了XACML的连接了)。
在系统安全方面分为:身份认证和访问控制(权限管理):
身份认证、单点登录方面的的技术规范或协议有Kerbos、SAML;
在访问控制(权限管理)有RBAC、ACL、XACML;
我们已经讲这些技术进行整合,正在开发新的统一身份认证与权限管理系统。