超级会员免费看
网络服务安全与联邦冲突解决
1. 网络服务安全概述
在网络服务中,安全决策需要安全信息,这些信息以安全令牌的形式表达,用于声明安全声明。安全令牌可以包含各种已签名或未签名的特定于应用程序的文本和二进制数据,比如用户名、Kerberos 票据、X.509 证书、加密和/或签名密钥等。例如,一条消息可能包含消息主体某部分的数字签名以及验证该签名所需的公钥,这样消息的每个接收者都能确定消息在传输过程中未被篡改。
1.1 WS - Security 规范
WS - Security 核心规范仅定义了两种令牌格式,即用户名格式和二进制令牌格式,但它具有扩展性,可以使用其他格式。安全令牌的一个主要候选者是安全断言标记语言(SAML)。SAML 以 XML 语法将任何安全信息表达为发布者关于某个主体的断言。SAML 断言可以声明主体已通过身份验证(身份验证断言)、已被授权(授权断言)或主体拥有某个特定属性(属性断言),例如角色成员资格。目前,结构化信息系统促进组织(OASIS)正在为作为 WS - Security 令牌的 SAML 断言指定标准配置文件。
此外,WS - Security 规范除了定义 SOAP 头元素和安全令牌格式外,还为另外两个安全标准定义了处理规则,即如何使用 XML 数字签名和 XML 加密来保护 SOAP 消息的部分或全部内容。最后,它还定义了一种方式来表示接收者何时应丢弃过时的消息。
1.2 实现网络服务安全的架构考虑
为实现网络服务安全,有几种架构方法:
- 库方法 :为应用程序开发人员提供适当的库,使应用程序能够进行安全控制。例如,微软提供了名为
订阅专栏 解锁全文
扫一扫
847
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
