實現互聯網安全指日可待
有些人會認為我所從事的工作很重大并且面臨這種種困難,而我卻不那么認為,我覺得我對互聯網安全有著宏偉的計劃。實現互聯網安全并不是白日夢,我敢說,從今天起,互聯網也許可以變得更安全。
去年五月,我在一個白皮書和“Security Adviser”欄目的一些文章中就如何確保互聯網安全發表了我的想法,這些文章是《Fixing the Internet》 和《Defending ‘Fixing the Internet’》。當時,我認為這對推動我的觀點將會起到一些作用,直到今天我仍然認為這至少是很有遠見的。
然而,我沒有過多地對現有的協議和標準發表我個人的看法,尤其是那些最近公布的已經對互聯網安全起到了一定作用的安全協議,也許我當時應該至少說點什么。這些協議由許多專家研究并制定出來,而它們也并非烏托邦式的夢想,有些甚至已經成為了事實上的標準。任何基于互聯網的安全系統都很可能會用到它們,也許會涉及到所有的這些協議。
以下是一些協議,可以幫助你建立更安全的互聯網:
“簡化對象訪問協議”(Simple Object Access Protocol,SOAP)是基于XML協議的獨立平臺,用來在Web服務和網絡參與者間發送消息(即數據)。如果將HTTP看作是人體的血液循環系統,那么SOAP中的消息就是血紅細胞。
“安全主張標記語言”(Security Assertion Markup Language,SAML)是基于XML的標準,在不同的安全域(domain,下同)中讓身份/認證和授權信息得以交換。SAML 2.0 已經被大多數的職業球員迅速接受并采用。
“Web服務規范和擴展”(Web Services specifications and extensions,WS-*)是各種(通常之間毫無關聯)與Web服務和與Web服務安全相關的事物的通訊標準。Web服務(WS)規范讓各種應用和計算機在不可信的網絡(如互聯網)中得以成功、可靠地交換。
“web服務安全”(WS-Security)是適用于Web服務的安全規范的通用交換協議。它討論的是如何確保通過Web的信息的機密性和完整性。“Web服務安全”使用SOAP消息來確保應用層的端到端的安全。
“Web服務聯合”(WS-Federation)結合了機制和協議,讓非安全域也能保證身份和認證信息交換的安全。這一標準讓單獨的認證域進行交換,為更大的安全域(甚至可能是全球范圍的域)建立了基礎。“Web服務聯合”是個很重要的東西。
“Web服務信任”(WS-Trust)是一個用于處理身份/認證安全令牌(token)的Web服務規范。其中包括provisioning、de-provisioning、更新和確認參加的令牌(validating participating tokens)。運用WS-Federation,WS-Trust可為不同安全域中的應用程序在各實體間安排信任關系。否則,實現這一步可能需要一個很困難的過程。
“安全令牌服務”(Security Token Service,STS)是一個Web服務,像WS-Security和WS-Trust規范中定義的那樣發放安全令牌。如果符合規范中闡述的一些一般性條例,那么任何一個可處理安全令牌的驗證信息提供者都可以被看作是STS。
“開放身份證”(OpenID)是在Web服務供應者和用戶間交換身份/認證令牌的一個分散做法。它可以管理和保護多種類型的認證,包括密碼、數字證書和具有雙重特點的安全令牌。一個用戶可以擁有多個OpenID認證,并在需要的時候提交適當的。受許多國際大型廠商的支持,OpenID在不久的將來有希望成為事實上的Web瀏覽器標準。微軟最近宣布啟用CardSpace(適用于Windows XP專業版及以后的版本),同時,Windows Live ID也已經符合了OpenID規范。
#p#
基本上,所有的這些開放的標準協議和規范將允許多個群體建立巨大的相互關聯的身份/認證系統。這些標準也將是你連接到云服務的必經之路。云服務讓服務和服務器在互聯網上是“矩陣”的。前面提到的這些規范讓身份/認證服務成為連接到云服務成為“云”本身的必需品。
從一個或者更多的認證供應商那里,你將會獲得一個或者更多的安全令牌,并且具有靈活的使用權。每個安全令牌可以有一個或多個claim。claim是與特定的身份相關聯的信息屬性。claim可能是真實姓名、出生日期,表明你已年滿21歲——等等的任何東西。對于任何一個特定的身份,您都可以憑自己的喜好提供信息,或者你也可以只針對某些特定的服務提供信息。你還可以保持完全匿名的身份,或者偽裝匿名。
偽裝匿名可讓你保持是匿名的身份(即不暴露你的真實身份),只要你提供可信的第三方證明就可以使用另一種身份。只要你的服務供應商接受第三方的認證,你就可以對特定的服務保持匿名的身份。例如,在美國的多數地區,你不得不年滿21歲甚至更大的年齡才可以購買酒類產品。當你購買酒類產品時,商店并不關心你的名字或住址(這些都在你的許可證上)是否真實有效。他們只關心你提供的ID是否確實是屬于你的,并且你已年滿21歲。偽裝匿名的網上ID可能在不透露你其他信息的情況下確認你已年滿21歲,所以你可以在互聯網上購買酒類產品。當你不必透露更多的必要信息就可進行交易時,世界將會寬泛很多。
所有的這些新的規范和標準讓我們能夠構建一個巨大的身份交換系統,在那里許多單獨的身份/認證系統被連接起來創造一個巨大的可信的圈子。這些可信的網絡不僅將包括銀行、制造商、零售商,還包括巨大的云服務,包括在市場上競爭的服務供應商,所有的他們都可以(不同程度地)為用戶提供擔保。
事實是,由今天的每個商業互聯網服務獨有的認證系統建立起的管轄范圍將不復存在。云服務的用戶將可以無縫地移動到另一個云服務中去。一個作為個體的企業也將可以對云提供服務,并可爭取到不同的云中的更多的用戶。甚至是現在的國家身份系統也將會與他們、與云相互關聯。今后的互聯網也會變得更加安全有用。
是的,這一設想還有很長的路要走,但是這些協議已經走在了前面,并已經開始在廠商的產品中得到應用。這不是一個白日夢,幾十年來身份管理發展的頂峰已經到來,并且在不久的將來它將會來到你身邊的web。我已經對《Fixing the Internet》白皮書進行了更新(現在是2.0版本),以反映這些現有協議的所扮演的角色,并提供了一個更簡便的可替代的解決方案(名為2號解決方案),今天,該方案在不需要其他新協議的情況下就可得到實施。你可以點擊這里下載更新后的協議。讓我們一起來拯救互聯網!
【編輯推薦】
