?????????互聯網安全方面最具挑戰性的一個問題是維持一次無縫操作和安全環境時, 使各不相同的安全系統達到一體化。由于一些公司經常需要通過網絡來交換機密的資料或數據,因此,對于安全意義非常重大的Web服務來說,對這種功能的要求尤為重要,比如進行電子商務活動。?
?
結構化信息標準促進組織(OASIS)建立的安全標準SAML(安全聲明標記語言),是基于XML(可擴展標記語言)面向Web服務的架構。SAML通過因特網對不同的安全系統的信息交換進行處理。
了解SAML
?????????SAML并不是一項新技術。確切地說,它是一種語言,進行單一的XML描述,允許不同安全系統產生的信息進行交換。通常來說,一個企業物理或邏輯的范圍已經界定了企業的IT安全;然而,由于在線合作需要共享更可靠的安全服務環境,因此IT安全越來越成為人們關注的重點問題。
?????????SAML正是為解決網絡安全性問題而發揮其作用。SAML在傳統意義上的安全界定與商務站點之間,建立了一種安全信息的交換渠道。SAML作為安全信息交換的"中間人",促使一個站點上的交易業務能夠在另一個信任的站點上得到處理完成。由此可見,實現交易雙方商業協議或合作的一個先決條件,是要求使用SAML作為共享的安全架構的一部份。
SAML是如何工作的
?????????SAML在標準行業傳輸協議環境里工作,例如HTTP、SMTP和FTP;同時也服務于各種各樣的XML文件交換框架,如:SOAP和BizTalk。SAML具備的一個最突出的好處,是使用戶能夠通過因特網進行安全證書移動。也就是說,使用SAML標準作為安全認證和共享資料的中間語言,能夠在多個站點之間實現單點登錄。
?????????此外,SAML還針對不同的安全系統提供了一個共有的框架,允許企業及其供應商、客戶與合作伙伴進行安全的認證、授權和基本信息交換。由于SAML是通過XML對現有的安全模式進行描述,因此它是一個中立的平臺并且不需要依賴于供應商的基礎結構。
Web瀏覽器-SAML聲明是由一個Web瀏覽器通過cookies或URL鏈接進行通信。
HTTP - SAML聲明通過標題或一個HTTP POST ,從源站點傳送到目的站點。
MIME - SAML 聲明被封裝為一個單一的MIME(多用途網際郵件擴充協議)安全包,由消息的有效載荷組成,例如:一張定購單、或在線銀行的信用報告書等等。
SOAP - SAML 聲明限制/約束SOAP文檔的信封標題以保證有效載荷。
?????????ebXML- 電子商務全球化標準提供了一個基于MIME的封裝結構,通常用于綁定SAML聲明進行商業有效載荷。
?????????若你所見,SAML使用的對象稱為斷言或聲明。這些聲明由值得信任的權威安全機構,通過使用請求/響應協議(SAMLQuery, SAML QueryResponse)產生并發送。SAML在XML中為認證聲明和認證屬性建立了一個數據格式,其參數取決于安全服務產生的基于政策的認證結果。
SAML的消息格式能夠從一個源站點(站點起到SAML認證管理機構的作用)將聲明發送給一個接受者。使電子商務合作中的事務處理速度得到加快,并且使認證環境的復雜性得到全面的簡化。事實上,SAML并沒有創建安全政策,而是由相關的安全權威機構進行制定;但是SAML為這些安全政策的表達提供了標準格式,因此安全決議能夠得到有效地制定。
SAML的工作原理
1.用戶向認證機構提交證書(這里的認識機構是指SAML能夠識別的任何安全引擎或商業應用程序)。
2.認證機構對用戶的證書進行斷言,并且產生一個認證聲明以及一個或更多的屬性聲明(例如用戶資料信息)。用戶立即就會得到由SAML斷言的認證和識別標志。
3.用戶使用這個SAML標志嘗試訪問一個受保護的資源。
4.最終用戶對保護資源的訪問請求被PEP(Policy Enforcement Point)截取,同時最終用戶的SAML標志(認證聲明)被PEP提交給屬性管理(能夠被SAML識別的任何安全引擎或商業應用程序)。
5.屬性管理或PDP(Policy Decision Point)基于自身的政策標準產生一個決定。一旦批準最終用戶對保護資源進行訪問,就會產生一個附加在SAML標志上的屬性聲明。最終用戶的SAML標志就能夠以單點登錄方式呈現給信任的商業伙伴。
SAML如何使用
介紹幾種SAML的使用方式
單點登錄
?????????舉一個簡單的例子:用戶在一個站點上取得認證授權,當用戶需要訪問另一個相關站點的資源時,目的站點(保護資源的持有者)能夠使用SAML從源站點調取用戶的證書信息。此時SAML對信息交換的處理發生在后臺,因此用戶的資源實際上被不同的安全系統進行了定位。
授權服務
?????????通常來說,當一個用戶請求訪問一個動態保護的或受限制的Web 資源時,訪問請求已被傳遞給一個后端應用程序。SAML使合作組織的后端安全架構相互作用,確定是否他們準予用戶的訪問請求。
B2B
?????????在B2B情形中,參與在線商業合作的雙方能夠利用SAML,允許他們各自的安全架構彼此進行信息交換,從而使商業活動得到安全快捷的進行。或者,合伙人通過使用值得信任的第三方SAML B2B服務,在交易過程中對安全信息進行交換和斷言。
會話
????????當用戶采用單點登錄方式并且保持會話參數和通過不同資源站點的數據時,SAML能夠允許用戶在不同站點自由行進。源站點提供證書信息,目的站點保持會話對所需要的數據進行驗證。在這個過程中,用戶可能并沒有意識到后臺正在進行的相關安全處理。
掌握SAML的實際應用知識
?????????企業管理者需要知道SAML能夠提供哪些服務。SAML促進了不同安全系統之間的互操作性,是Web服務功能性方面的一大發展。在許多情形中,管理將越來越需要對安全問題進行監督,并且實現安全標準的通信。