有些人會(huì)認(rèn)為我所從事的工作很重大并且面臨這種種困難，而我卻不那么認(rèn)為，我覺(jué)得我對(duì)互聯(lián)網(wǎng)安全有著宏偉的計(jì)劃。實(shí)現(xiàn)互聯(lián)網(wǎng)安全并不是白日夢(mèng)，我敢說(shuō)，從今天起，互聯(lián)網(wǎng)也許可以變得更安全。

去年五月，我在一個(gè)白皮書(shū)和“Security Adviser”欄目的一些文章中就如何確?；ヂ?lián)網(wǎng)安全發(fā)表了我的想法，這些文章是《Fixing the Internet》 和《Defending ‘Fixing the Internet’》。當(dāng)時(shí)，我認(rèn)為這對(duì)推動(dòng)我的觀點(diǎn)將會(huì)起到一些作用，直到今天我仍然認(rèn)為這至少是很有遠(yuǎn)見(jiàn)的。

然而，我沒(méi)有過(guò)多地對(duì)現(xiàn)有的協(xié)議和標(biāo)準(zhǔn)發(fā)表我個(gè)人的看法，尤其是那些最近公布的已經(jīng)對(duì)互聯(lián)網(wǎng)安全起到了一定作用的安全協(xié)議，也許我當(dāng)時(shí)應(yīng)該至少說(shuō)點(diǎn)什么。這些協(xié)議由許多專(zhuān)家研究并制定出來(lái)，而它們也并非烏托邦式的夢(mèng)想，有些甚至已經(jīng)成為了事實(shí)上的標(biāo)準(zhǔn)。任何基于互聯(lián)網(wǎng)的安全系統(tǒng)都很可能會(huì)用到它們，也許會(huì)涉及到所有的這些協(xié)議。

以下是一些協(xié)議，可以幫助你建立更安全的互聯(lián)網(wǎng)：

“簡(jiǎn)化對(duì)象訪問(wèn)協(xié)議”（Simple Object Access Protocol，SOAP）是基于XML協(xié)議的獨(dú)立平臺(tái)，用來(lái)在Web服務(wù)和網(wǎng)絡(luò)參與者間發(fā)送消息（即數(shù)據(jù)）。如果將HTTP看作是人體的血液循環(huán)系統(tǒng)，那么SOAP中的消息就是血紅細(xì)胞。

“安全主張標(biāo)記語(yǔ)言”（Security Assertion Markup Language，SAML）是基于XML的標(biāo)準(zhǔn)，在不同的安全域（domain，下同）中讓身份/認(rèn)證和授權(quán)信息得以交換。SAML 2.0 已經(jīng)被大多數(shù)的職業(yè)球員迅速接受并采用。

“Web服務(wù)規(guī)范和擴(kuò)展”（Web Services specifications and extensions，WS-*）是各種（通常之間毫無(wú)關(guān)聯(lián)）與Web服務(wù)和與Web服務(wù)安全相關(guān)的事物的通訊標(biāo)準(zhǔn)。Web服務(wù)(WS)規(guī)范讓各種應(yīng)用和計(jì)算機(jī)在不可信的網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）中得以成功、可靠地交換。

“web服務(wù)安全”（WS-Security）是適用于Web服務(wù)的安全規(guī)范的通用交換協(xié)議。它討論的是如何確保通過(guò)Web的信息的機(jī)密性和完整性?！癢eb服務(wù)安全”使用SOAP消息來(lái)確保應(yīng)用層的端到端的安全。

“Web服務(wù)聯(lián)合”（WS-Federation）結(jié)合了機(jī)制和協(xié)議，讓非安全域也能保證身份和認(rèn)證信息交換的安全。這一標(biāo)準(zhǔn)讓單獨(dú)的認(rèn)證域進(jìn)行交換，為更大的安全域（甚至可能是全球范圍的域）建立了基礎(chǔ)?！癢eb服務(wù)聯(lián)合”是個(gè)很重要的東西。

“Web服務(wù)信任”（WS-Trust）是一個(gè)用于處理身份/認(rèn)證安全令牌（token）的Web服務(wù)規(guī)范。其中包括provisioning、de-provisioning、更新和確認(rèn)參加的令牌（validating participating tokens）。運(yùn)用WS-Federation，WS-Trust可為不同安全域中的應(yīng)用程序在各實(shí)體間安排信任關(guān)系。否則，實(shí)現(xiàn)這一步可能需要一個(gè)很困難的過(guò)程。

“安全令牌服務(wù)”（Security Token Service，STS）是一個(gè)Web服務(wù)，像WS-Security和WS-Trust規(guī)范中定義的那樣發(fā)放安全令牌。如果符合規(guī)范中闡述的一些一般性條例，那么任何一個(gè)可處理安全令牌的驗(yàn)證信息提供者都可以被看作是STS。

“開(kāi)放身份證”（OpenID)是在Web服務(wù)供應(yīng)者和用戶間交換身份/認(rèn)證令牌的一個(gè)分散做法。它可以管理和保護(hù)多種類(lèi)型的認(rèn)證，包括密碼、數(shù)字證書(shū)和具有雙重特點(diǎn)的安全令牌。一個(gè)用戶可以擁有多個(gè)OpenID認(rèn)證，并在需要的時(shí)候提交適當(dāng)?shù)?。受許多國(guó)際大型廠商的支持，OpenID在不久的將來(lái)有希望成為事實(shí)上的Web瀏覽器標(biāo)準(zhǔn)。微軟最近宣布啟用CardSpace（適用于Windows XP專(zhuān)業(yè)版及以后的版本），同時(shí)，Windows Live ID也已經(jīng)符合了OpenID規(guī)范。
#p#
基本上，所有的這些開(kāi)放的標(biāo)準(zhǔn)協(xié)議和規(guī)范將允許多個(gè)群體建立巨大的相互關(guān)聯(lián)的身份/認(rèn)證系統(tǒng)。這些標(biāo)準(zhǔn)也將是你連接到云服務(wù)的必經(jīng)之路。云服務(wù)讓服務(wù)和服務(wù)器在互聯(lián)網(wǎng)上是“矩陣”的。前面提到的這些規(guī)范讓身份/認(rèn)證服務(wù)成為連接到云服務(wù)成為“云”本身的必需品。

從一個(gè)或者更多的認(rèn)證供應(yīng)商那里，你將會(huì)獲得一個(gè)或者更多的安全令牌，并且具有靈活的使用權(quán)。每個(gè)安全令牌可以有一個(gè)或多個(gè)claim。claim是與特定的身份相關(guān)聯(lián)的信息屬性。claim可能是真實(shí)姓名、出生日期，表明你已年滿21歲——等等的任何東西。對(duì)于任何一個(gè)特定的身份，您都可以憑自己的喜好提供信息，或者你也可以只針對(duì)某些特定的服務(wù)提供信息。你還可以保持完全匿名的身份，或者偽裝匿名。

偽裝匿名可讓你保持是匿名的身份（即不暴露你的真實(shí)身份），只要你提供可信的第三方證明就可以使用另一種身份。只要你的服務(wù)供應(yīng)商接受第三方的認(rèn)證，你就可以對(duì)特定的服務(wù)保持匿名的身份。例如，在美國(guó)的多數(shù)地區(qū)，你不得不年滿21歲甚至更大的年齡才可以購(gòu)買(mǎi)酒類(lèi)產(chǎn)品。當(dāng)你購(gòu)買(mǎi)酒類(lèi)產(chǎn)品時(shí)，商店并不關(guān)心你的名字或住址（這些都在你的許可證上）是否真實(shí)有效。他們只關(guān)心你提供的ID是否確實(shí)是屬于你的，并且你已年滿21歲。偽裝匿名的網(wǎng)上ID可能在不透露你其他信息的情況下確認(rèn)你已年滿21歲，所以你可以在互聯(lián)網(wǎng)上購(gòu)買(mǎi)酒類(lèi)產(chǎn)品。當(dāng)你不必透露更多的必要信息就可進(jìn)行交易時(shí)，世界將會(huì)寬泛很多。

所有的這些新的規(guī)范和標(biāo)準(zhǔn)讓我們能夠構(gòu)建一個(gè)巨大的身份交換系統(tǒng)，在那里許多單獨(dú)的身份/認(rèn)證系統(tǒng)被連接起來(lái)創(chuàng)造一個(gè)巨大的可信的圈子。這些可信的網(wǎng)絡(luò)不僅將包括銀行、制造商、零售商，還包括巨大的云服務(wù)，包括在市場(chǎng)上競(jìng)爭(zhēng)的服務(wù)供應(yīng)商，所有的他們都可以（不同程度地）為用戶提供擔(dān)保。

事實(shí)是，由今天的每個(gè)商業(yè)互聯(lián)網(wǎng)服務(wù)獨(dú)有的認(rèn)證系統(tǒng)建立起的管轄范圍將不復(fù)存在。云服務(wù)的用戶將可以無(wú)縫地移動(dòng)到另一個(gè)云服務(wù)中去。一個(gè)作為個(gè)體的企業(yè)也將可以對(duì)云提供服務(wù)，并可爭(zhēng)取到不同的云中的更多的用戶。甚至是現(xiàn)在的國(guó)家身份系統(tǒng)也將會(huì)與他們、與云相互關(guān)聯(lián)。今后的互聯(lián)網(wǎng)也會(huì)變得更加安全有用。

是的，這一設(shè)想還有很長(zhǎng)的路要走，但是這些協(xié)議已經(jīng)走在了前面，并已經(jīng)開(kāi)始在廠商的產(chǎn)品中得到應(yīng)用。這不是一個(gè)白日夢(mèng)，幾十年來(lái)身份管理發(fā)展的頂峰已經(jīng)到來(lái)，并且在不久的將來(lái)它將會(huì)來(lái)到你身邊的web。我已經(jīng)對(duì)《Fixing the Internet》白皮書(shū)進(jìn)行了更新（現(xiàn)在是2.0版本），以反映這些現(xiàn)有協(xié)議的所扮演的角色，并提供了一個(gè)更簡(jiǎn)便的可替代的解決方案（名為2號(hào)解決方案），今天，該方案在不需要其他新協(xié)議的情況下就可得到實(shí)施。你可以點(diǎn)擊這里下載更新后的協(xié)議。讓我們一起來(lái)拯救互聯(lián)網(wǎng)！

【編輯推薦】

1. Web服務(wù)綜合管理指日可待
2. 802.11n順勢(shì)出擊 新高潮指日可待
3. 新技術(shù)不斷涌現(xiàn) 無(wú)線視頻指日可待