有些人会认为我所从事的工作很重大并且面临这种种困难,而我却不那么认为,我觉得我对互联网安全有着宏伟的计划。实现互联网安全并不是白日梦,我敢说,从今天起,互联网也许可以变得更安全。
去年五月,我在一个白皮书和“Security Adviser”栏目的一些文章中就如何确保互联网安全发表了我的想法,这些文章是《Fixing the Internet》 和《Defending ‘Fixing the Internet’》。当时,我认为这对推动我的观点将会起到一些作用,直到今天我仍然认为这至少是很有远见的。
然而,我没有过多地对现有的协议和标准发表我个人的看法,尤其是那些最近公布的已经对互联网安全起到了一定作用的安全协议,也许我当时应该至少说点什么。这些协议由许多专家研究并制定出来,而它们也并非乌托邦式的梦想,有些甚至已经成为了事实上的标准。任何基于互联网的安全系统都很可能会用到它们,也许会涉及到所有的这些协议。
以下是一些协议,可以帮助你建立更安全的互联网:
“简化对象访问协议”(Simple Object Access Protocol,SOAP)是基于XML协议的独立平台,用来在Web服务和网络参与者间发送消息(即数据)。如果将HTTP看作是人体的血液循环系统,那么SOAP中的消息就是血红细胞。
“安全主张标记语言”(Security Assertion Markup Language,SAML)是基于XML的标准,在不同的安全域(domain,下同)中让身份/认证和授权信息得以交换。SAML 2.0 已经被大多数的职业球员迅速接受并采用。
“Web服务规范和扩展”(Web Services specifications and extensions,WS-*)是各种(通常之间毫无关联)与Web服务和与Web服务安全相关的事物的通讯标准。Web服务(WS)规范让各种应用和计算机在不可信的网络(如互联网)中得以成功、可靠地交换。
“web服务安全”(WS-Security)是适用于Web服务的安全规范的通用交换协议。它讨论的是如何确保通过Web的信息的机密性和完整性。“Web服务安全”使用SOAP消息来确保应用层的端到端的安全。
“Web服务联合”(WS-Federation)结合了机制和协议,让非安全域也能保证身份和认证信息交换的安全。这一标准让单独的认证域进行交换,为更大的安全域(甚至可能是全球范围的域)建立了基础。“Web服务联合”是个很重要的东西。
“Web服务信任”(WS-Trust)是一个用于处理身份/认证安全令牌(token)的Web服务规范。其中包括provisioning、de-provisioning、更新和确认参加的令牌(validating participating tokens)。运用WS-Federation,WS-Trust可为不同安全域中的应用程序在各实体间安排信任关系。否则,实现这一步可能需要一个很困难的过程。
“安全令牌服务”(Security Token Service,STS)是一个Web服务,像WS-Security和WS-Trust规范中定义的那样发放安全令牌。如果符合规范中阐述的一些一般性条例,那么任何一个可处理安全令牌的验证信息提供者都可以被看作是STS。
“开放身份证”(OpenID)是在Web服务供应者和用户间交换身份/认证令牌的一个分散做法。它可以管理和保护多种类型的认证,包括密码、数字证书和具有双重特点的安全令牌。一个用户可以拥有多个OpenID认证,并在需要的时候提交适当的。受许多国际大型厂商的支持,OpenID在不久的将来有希望成为事实上的Web浏览器标准。微软最近宣布启用CardSpace(适用于Windows XP专业版及以后的版本),同时,Windows Live ID也已经符合了OpenID规范。
#p#
基本上,所有的这些开放的标准协议和规范将允许多个群体建立巨大的相互关联的身份/认证系统。这些标准也将是你连接到云服务的必经之路。云服务让服务和服务器在互联网上是“矩阵”的。前面提到的这些规范让身份/认证服务成为连接到云服务成为“云”本身的必需品。
从一个或者更多的认证供应商那里,你将会获得一个或者更多的安全令牌,并且具有灵活的使用权。每个安全令牌可以有一个或多个claim。claim是与特定的身份相关联的信息属性。claim可能是真实姓名、出生日期,表明你已年满21岁——等等的任何东西。对于任何一个特定的身份,您都可以凭自己的喜好提供信息,或者你也可以只针对某些特定的服务提供信息。你还可以保持完全匿名的身份,或者伪装匿名。
伪装匿名可让你保持是匿名的身份(即不暴露你的真实身份),只要你提供可信的第三方证明就可以使用另一种身份。只要你的服务供应商接受第三方的认证,你就可以对特定的服务保持匿名的身份。例如,在美国的多数地区,你不得不年满21岁甚至更大的年龄才可以购买酒类产品。当你购买酒类产品时,商店并不关心你的名字或住址(这些都在你的许可证上)是否真实有效。他们只关心你提供的ID是否确实是属于你的,并且你已年满21岁。伪装匿名的网上ID可能在不透露你其他信息的情况下确认你已年满21岁,所以你可以在互联网上购买酒类产品。当你不必透露更多的必要信息就可进行交易时,世界将会宽泛很多。
所有的这些新的规范和标准让我们能够构建一个巨大的身份交换系统,在那里许多单独的身份/认证系统被连接起来创造一个巨大的可信的圈子。这些可信的网络不仅将包括银行、制造商、零售商,还包括巨大的云服务,包括在市场上竞争的服务供应商,所有的他们都可以(不同程度地)为用户提供担保。
事实是,由今天的每个商业互联网服务独有的认证系统建立起的管辖范围将不复存在。云服务的用户将可以无缝地移动到另一个云服务中去。一个作为个体的企业也将可以对云提供服务,并可争取到不同的云中的更多的用户。甚至是现在的国家身份系统也将会与他们、与云相互关联。今后的互联网也会变得更加安全有用。
是的,这一设想还有很长的路要走,但是这些协议已经走在了前面,并已经开始在厂商的产品中得到应用。这不是一个白日梦,几十年来身份管理发展的顶峰已经到来,并且在不久的将来它将会来到你身边的web。我已经对《Fixing the Internet》白皮书进行了更新(现在是2.0版本),以反映这些现有协议的所扮演的角色,并提供了一个更简便的可替代的解决方案(名为2号解决方案),今天,该方案在不需要其他新协议的情况下就可得到实施。你可以点击这里下载更新后的协议。让我们一起来拯救互联网!
【编辑推荐】