實現(xiàn)互聯(lián)網(wǎng)安全指日可待
有些人會認為我所從事的工作很重大并且面臨這種種困難,而我卻不那么認為,我覺得我對互聯(lián)網(wǎng)安全有著宏偉的計劃。實現(xiàn)互聯(lián)網(wǎng)安全并不是白日夢,我敢說,從今天起,互聯(lián)網(wǎng)也許可以變得更安全。
去年五月,我在一個白皮書和“Security Adviser”欄目的一些文章中就如何確保互聯(lián)網(wǎng)安全發(fā)表了我的想法,這些文章是《Fixing the Internet》 和《Defending ‘Fixing the Internet’》。當時,我認為這對推動我的觀點將會起到一些作用,直到今天我仍然認為這至少是很有遠見的。
然而,我沒有過多地對現(xiàn)有的協(xié)議和標準發(fā)表我個人的看法,尤其是那些最近公布的已經(jīng)對互聯(lián)網(wǎng)安全起到了一定作用的安全協(xié)議,也許我當時應(yīng)該至少說點什么。這些協(xié)議由許多專家研究并制定出來,而它們也并非烏托邦式的夢想,有些甚至已經(jīng)成為了事實上的標準。任何基于互聯(lián)網(wǎng)的安全系統(tǒng)都很可能會用到它們,也許會涉及到所有的這些協(xié)議。
以下是一些協(xié)議,可以幫助你建立更安全的互聯(lián)網(wǎng):
“簡化對象訪問協(xié)議”(Simple Object Access Protocol,SOAP)是基于XML協(xié)議的獨立平臺,用來在Web服務(wù)和網(wǎng)絡(luò)參與者間發(fā)送消息(即數(shù)據(jù))。如果將HTTP看作是人體的血液循環(huán)系統(tǒng),那么SOAP中的消息就是血紅細胞。
“安全主張標記語言”(Security Assertion Markup Language,SAML)是基于XML的標準,在不同的安全域(domain,下同)中讓身份/認證和授權(quán)信息得以交換。SAML 2.0 已經(jīng)被大多數(shù)的職業(yè)球員迅速接受并采用。
“Web服務(wù)規(guī)范和擴展”(Web Services specifications and extensions,WS-*)是各種(通常之間毫無關(guān)聯(lián))與Web服務(wù)和與Web服務(wù)安全相關(guān)的事物的通訊標準。Web服務(wù)(WS)規(guī)范讓各種應(yīng)用和計算機在不可信的網(wǎng)絡(luò)(如互聯(lián)網(wǎng))中得以成功、可靠地交換。
“web服務(wù)安全”(WS-Security)是適用于Web服務(wù)的安全規(guī)范的通用交換協(xié)議。它討論的是如何確保通過Web的信息的機密性和完整性。“Web服務(wù)安全”使用SOAP消息來確保應(yīng)用層的端到端的安全。
“Web服務(wù)聯(lián)合”(WS-Federation)結(jié)合了機制和協(xié)議,讓非安全域也能保證身份和認證信息交換的安全。這一標準讓單獨的認證域進行交換,為更大的安全域(甚至可能是全球范圍的域)建立了基礎(chǔ)。“Web服務(wù)聯(lián)合”是個很重要的東西。
“Web服務(wù)信任”(WS-Trust)是一個用于處理身份/認證安全令牌(token)的Web服務(wù)規(guī)范。其中包括provisioning、de-provisioning、更新和確認參加的令牌(validating participating tokens)。運用WS-Federation,WS-Trust可為不同安全域中的應(yīng)用程序在各實體間安排信任關(guān)系。否則,實現(xiàn)這一步可能需要一個很困難的過程。
“安全令牌服務(wù)”(Security Token Service,STS)是一個Web服務(wù),像WS-Security和WS-Trust規(guī)范中定義的那樣發(fā)放安全令牌。如果符合規(guī)范中闡述的一些一般性條例,那么任何一個可處理安全令牌的驗證信息提供者都可以被看作是STS。
“開放身份證”(OpenID)是在Web服務(wù)供應(yīng)者和用戶間交換身份/認證令牌的一個分散做法。它可以管理和保護多種類型的認證,包括密碼、數(shù)字證書和具有雙重特點的安全令牌。一個用戶可以擁有多個OpenID認證,并在需要的時候提交適當?shù)摹J茉S多國際大型廠商的支持,OpenID在不久的將來有希望成為事實上的Web瀏覽器標準。微軟最近宣布啟用CardSpace(適用于Windows XP專業(yè)版及以后的版本),同時,Windows Live ID也已經(jīng)符合了OpenID規(guī)范。
#p#
基本上,所有的這些開放的標準協(xié)議和規(guī)范將允許多個群體建立巨大的相互關(guān)聯(lián)的身份/認證系統(tǒng)。這些標準也將是你連接到云服務(wù)的必經(jīng)之路。云服務(wù)讓服務(wù)和服務(wù)器在互聯(lián)網(wǎng)上是“矩陣”的。前面提到的這些規(guī)范讓身份/認證服務(wù)成為連接到云服務(wù)成為“云”本身的必需品。
從一個或者更多的認證供應(yīng)商那里,你將會獲得一個或者更多的安全令牌,并且具有靈活的使用權(quán)。每個安全令牌可以有一個或多個claim。claim是與特定的身份相關(guān)聯(lián)的信息屬性。claim可能是真實姓名、出生日期,表明你已年滿21歲——等等的任何東西。對于任何一個特定的身份,您都可以憑自己的喜好提供信息,或者你也可以只針對某些特定的服務(wù)提供信息。你還可以保持完全匿名的身份,或者偽裝匿名。
偽裝匿名可讓你保持是匿名的身份(即不暴露你的真實身份),只要你提供可信的第三方證明就可以使用另一種身份。只要你的服務(wù)供應(yīng)商接受第三方的認證,你就可以對特定的服務(wù)保持匿名的身份。例如,在美國的多數(shù)地區(qū),你不得不年滿21歲甚至更大的年齡才可以購買酒類產(chǎn)品。當你購買酒類產(chǎn)品時,商店并不關(guān)心你的名字或住址(這些都在你的許可證上)是否真實有效。他們只關(guān)心你提供的ID是否確實是屬于你的,并且你已年滿21歲。偽裝匿名的網(wǎng)上ID可能在不透露你其他信息的情況下確認你已年滿21歲,所以你可以在互聯(lián)網(wǎng)上購買酒類產(chǎn)品。當你不必透露更多的必要信息就可進行交易時,世界將會寬泛很多。
所有的這些新的規(guī)范和標準讓我們能夠構(gòu)建一個巨大的身份交換系統(tǒng),在那里許多單獨的身份/認證系統(tǒng)被連接起來創(chuàng)造一個巨大的可信的圈子。這些可信的網(wǎng)絡(luò)不僅將包括銀行、制造商、零售商,還包括巨大的云服務(wù),包括在市場上競爭的服務(wù)供應(yīng)商,所有的他們都可以(不同程度地)為用戶提供擔保。
事實是,由今天的每個商業(yè)互聯(lián)網(wǎng)服務(wù)獨有的認證系統(tǒng)建立起的管轄范圍將不復(fù)存在。云服務(wù)的用戶將可以無縫地移動到另一個云服務(wù)中去。一個作為個體的企業(yè)也將可以對云提供服務(wù),并可爭取到不同的云中的更多的用戶。甚至是現(xiàn)在的國家身份系統(tǒng)也將會與他們、與云相互關(guān)聯(lián)。今后的互聯(lián)網(wǎng)也會變得更加安全有用。
是的,這一設(shè)想還有很長的路要走,但是這些協(xié)議已經(jīng)走在了前面,并已經(jīng)開始在廠商的產(chǎn)品中得到應(yīng)用。這不是一個白日夢,幾十年來身份管理發(fā)展的頂峰已經(jīng)到來,并且在不久的將來它將會來到你身邊的web。我已經(jīng)對《Fixing the Internet》白皮書進行了更新(現(xiàn)在是2.0版本),以反映這些現(xiàn)有協(xié)議的所扮演的角色,并提供了一個更簡便的可替代的解決方案(名為2號解決方案),今天,該方案在不需要其他新協(xié)議的情況下就可得到實施。你可以點擊這里下載更新后的協(xié)議。讓我們一起來拯救互聯(lián)網(wǎng)!
【編輯推薦】
