?????????XACML是由OASIS? technique? committee制定的,目前的規(guī)范是2.0,大家可以從這個(gè)連接下載:http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml?
?????????XACML3.0最近剛出來,是用來制定administration? and? delegation? of? XACML的,我的導(dǎo)師的觀點(diǎn),delegation是屬于daministration的一部分。?
從上面的連接可以下載。。?
?????????若大家真的對(duì)XACML有興趣,必須加入OASIS的mailing? lists,從上面那個(gè)連接加入。?
Sun什么事情都不落后,他針對(duì)XACML已經(jīng)開發(fā)API了,基本上實(shí)現(xiàn)了XACML1.0的全部規(guī)范,2.0也差不多了,你需要從CVS里面下載,另外一點(diǎn),SUN也有針對(duì)XACML實(shí)現(xiàn)的討論的mailing? lists.?
Sun? implemenation? of? XACML的連接在這里:?
http://sunxacml.sourceforge.net/?
?????????請(qǐng)問誰現(xiàn)在在看RB-XACML? profile,是否可以跟小弟討論一下,里面的user-role? assignment如何來弄,如何將user-role? assignment,? role-permission? assignment整合起來。
?????????現(xiàn)在介紹一些SAML,SAML的全稱是? SECURITY? ASSERTATION? MARKUP? LANGUAGE。他表示安全的信息傳遞以斷言的形式表示。SAML的specification可以在下面的連接:?
http://www.oasis-open.org/committees/security/?
和XACML一樣,你最好也加入他們的user? mailing? lists來看別人提出的問題。我現(xiàn)在只簡(jiǎn)單說明一下SAML有什么用,詳細(xì)的請(qǐng)看specification?
SAML實(shí)現(xiàn)單點(diǎn)登陸??
?????????單點(diǎn)登陸表示用戶A在站點(diǎn)A認(rèn)證登陸了,到用戶到達(dá)站點(diǎn)B的時(shí)候自動(dòng)登陸,不需要在站點(diǎn)B重新輸入用戶名和密碼再次驗(yàn)證。如何做到這樣呢,需要用SAML,站點(diǎn)B會(huì)向站點(diǎn)A發(fā)出SAML? 的認(rèn)證請(qǐng)求,站點(diǎn)A會(huì)回復(fù)站點(diǎn)B一個(gè)SAML認(rèn)證斷言,說明用戶A在我站點(diǎn)A認(rèn)證過了,而站點(diǎn)B信任站點(diǎn)A來的認(rèn)證斷言。所以。。。?
SAML在web? services中的應(yīng)用??
?????????web? service-security,security的信息加在soap? head信息中,我們將安全信息用SAML表達(dá),將SAML斷言放在soap? head里面?
SAML在XACML結(jié)合使用??
?????????這個(gè)是我研究的東西,也是要做的。因?yàn)樵诜植际较到y(tǒng)中,policies可能不在同一個(gè)地方,PEP和PDP可能是不同的domain或者application,XACML請(qǐng)求和決定等信息最好放在SAML中來傳遞,也就是SAML2.0? profile? of? XACML,大家可以去XACML官方網(wǎng)站下載(我在上面一提了XACML的連接了)。
在系統(tǒng)安全方面分為:身份認(rèn)證和訪問控制(權(quán)限管理):??
?????????身份認(rèn)證、單點(diǎn)登錄方面的的技術(shù)規(guī)范或協(xié)議有Kerbos、SAML;??
?????????在訪問控制(權(quán)限管理)有RBAC、ACL、XACML;?
我們已經(jīng)講這些技術(shù)進(jìn)行整合,正在開發(fā)新的統(tǒng)一身份認(rèn)證與權(quán)限管理系統(tǒng)。