進入21世紀,信息化的浪潮席卷了整個世界。可以說,現(xiàn)在的任何一項生產(chǎn)活動都離不開計算機、網(wǎng)絡(luò)和信息系統(tǒng),越來越多的組織機構(gòu)和企業(yè)建立了各種計算機信息系統(tǒng)以滿足日益激烈的市場競爭的需要。在信息系統(tǒng)中,有兩個安全需求是非常重要的:如何保證人員的安全登錄和登出?如何控制不同層次的人員使用不同的功能?解決這兩個問題的辦法是采用認證技術(shù)和授權(quán)技術(shù)。目前常見的方法是分別構(gòu)建不同的認證授權(quán)平臺和系統(tǒng),認證授權(quán)屬于分散管理模式,其造成的結(jié)果是重復(fù)建設(shè)、無法高效互聯(lián)互通、管理成本高以及系統(tǒng)總體安全性降低。因此,如何能夠設(shè)計和建設(shè)一個通用架構(gòu)和基礎(chǔ)平臺,承載不同組織和機構(gòu)的信息系統(tǒng),避免重復(fù)建設(shè),實現(xiàn)跨域跨機構(gòu)、可移植、可信任和可擴展的認證授權(quán)與審計,是一個亟待研究解決的問題。
認證和授權(quán)是任何信息化的系統(tǒng)都應(yīng)當(dāng)包含的功能,因此工業(yè)界也討論和設(shè)立了很多關(guān)于這方面的標準。其中,認證的需求目標比較獨立和明確,關(guān)于認證的標準比較多比較全,大眾的認知度也比較高。授權(quán)管理的需求相對比較分散和模糊,標準不多,應(yīng)用的實際效果也一般。下面,我們就對這兩種標準的應(yīng)用和發(fā)展分別做一個綜述。
1、身份認證的標準
這里把認證分為3大類:認證方案類、單點登陸(SSO)協(xié)議類和認證實現(xiàn)類。
認證方案是指認證的方式、手段、涉及的設(shè)備和協(xié)議,最常見例子就是用戶名/口令方式,其他的還有一次性口令方案、X.509數(shù)字證書方案、生物認證方案、智能卡認證方案、Kerberos認證方案等。這些方案描述的是認證的實體,包括流程、序列、實現(xiàn),甚至包括數(shù)學(xué)證明和安全性分析。隨著時間的推移,這些方案在不斷發(fā)明、使用、被攻破的過程中也在不斷地優(yōu)化和改進。
SSO協(xié)議指的是集成各種認證方案以實現(xiàn)單點登錄目的的協(xié)議規(guī)范,主要的有安全性斷言標記語言(SAML) V1.0/V1.1/V2協(xié)議、網(wǎng)絡(luò)身份統(tǒng)一架構(gòu)(ID-FF) 1.2協(xié)議、WS-Federation協(xié)議和.Net Passport協(xié)議。其中SAML[5-6]協(xié)議由結(jié)構(gòu)化信息標準促進組織(OASIS)制定,規(guī)定了SSO在客戶端(Browser)和工件(Artifact)實現(xiàn)的流程,定義了認證斷言和屬性斷言,它們都遵循萬維網(wǎng)聯(lián)盟(W3C)的XMLSchema規(guī)范和XMLSig規(guī)范,以可擴展標記語言(XML)的格式描述。ID-FF 1.2協(xié)議由Liberty Alliance組織制定,Liberty規(guī)范要求建立聯(lián)盟關(guān)系的系統(tǒng)的賬號之間要建立映射,通過映射關(guān)系間接地實現(xiàn)賬號的全局性,該規(guī)范和SAML越來越融合。SAML的標準化程度比較高,將認證的功能和流程做了統(tǒng)一的規(guī)劃和定義,各大軟件廠商對其支持力度也在逐漸加強;ID-FF使用的技術(shù)與SAML越來越趨同;而WS-Federation協(xié)議和.Net Passport協(xié)議比較封閉,被提及的次數(shù)越來越少。
認證實現(xiàn)是指工業(yè)界形成的實際技術(shù)框架標準和開源社區(qū)基于標準構(gòu)建的認證系統(tǒng),他們雖然在建立之初并沒有經(jīng)過標準化委員會的認證和支持,但是,他們在實際的軟件開發(fā)人員中有著先入為主的重要印象和深遠的范例意義。Java認證授權(quán)服務(wù)(JAAS)就是一項JAVA領(lǐng)域的實際標準,它規(guī)定了一系列的調(diào)用接口和規(guī)范,提供了靈活和可伸縮的機制來規(guī)范客戶端或服務(wù)器端的JAVA程序。許多基于JAVA技術(shù)構(gòu)建的大型應(yīng)用和服務(wù),無論是軟件巨頭推出的產(chǎn)品還是極具影響力的開源社區(qū)推出的系統(tǒng),都已經(jīng)聲稱支持這項規(guī)范,商用系統(tǒng)有Webshpere和Weblogic等,開源社區(qū)有JBoss和Tomcat等。開源社區(qū)基于標準構(gòu)建的認證系統(tǒng)影響力也不小,比如Internet2的Shibboleth,致力于校園網(wǎng)教育系統(tǒng)的認證聯(lián)盟建立,實現(xiàn)Web資源的共享;又比如Acegi Security為Spring Framework提供一個兼容的安全認證服務(wù);還有耶魯大學(xué)開發(fā)的單點登錄系統(tǒng)(CAS),在互聯(lián)網(wǎng)上被討論的熱度也很高。
2、授權(quán)管理的標準
授權(quán)管理有著悠久的歷史,但是發(fā)展比較緩慢,基本還是在早期的理論上修補,沒有具有突破性質(zhì)和廣泛應(yīng)用價值的新成果出現(xiàn)。比較熱門的研究有基于任務(wù)的授權(quán)、基于工作流的授權(quán)等,但離標準的形成和大規(guī)模應(yīng)用還有相當(dāng)長的距離。
授權(quán)管理基礎(chǔ)設(shè)施(PMI)授權(quán)管理基礎(chǔ)設(shè)施是一種被寄予厚望的授權(quán)架構(gòu)標準,它推薦使用屬性證書(由Asn.1格式描述)來定義出現(xiàn)在各種系統(tǒng)中的權(quán)限,使用簽名技術(shù)保護授權(quán)。但是由于Asn.1語義艱澀、開放性不夠等諸多原因,這項標準發(fā)展到現(xiàn)在,應(yīng)用的狀況并不是特別理想。
可擴展的訪問控制標記語言(XACML)是一種有影響力的授權(quán)描述標準,和SAML一樣,也是由OASIS定義,它擴展了傳統(tǒng)的訪問控制列表(ACLs)技術(shù),提供了表達復(fù)雜邏輯策略的能力,使得應(yīng)用程序更加靈活地使用訪問控制策略。
Java容器授權(quán)合同(JACC)是一種被工業(yè)界實際采用卻未標準化的技術(shù)標準,基于JAVA
構(gòu)建的大型企業(yè)應(yīng)用都在不經(jīng)意間使用了該項技術(shù),比如在Portal、App Server領(lǐng)域,占據(jù)較大市場份額的商用系統(tǒng)都內(nèi)置了對該技術(shù)的支持。
