将消息路由通过联邦的方法有多种，并且可以根据所采用的信任机制进行分类。信任机制的选择限 制了规则决策的实现。不管选择何种部署方案，都要求交互双方的身份能够被信任机制验证。信任机制 必须确保给定NAI标识的IdP实体是本域中允许的IdP，任何RP声称的服务是该RP所允许的服务。 下面是信任决策的分类， a）AAA代理 在一个典型的应用场景中，RP是一个AAA客户端，能够直接向AAA代理发送请求。信任机制由 AAA组织的逐跳完整性保护提供。RP能够直接向正确的联邦提交请求，或者通过联邦选择机构获取 RP及IdP所在联邦的信息，并能将消息路由到合适的联邦。结合请求和响应消息中新增的属性，消息 路由提供规则决策。例如，当联邦选择机构把消息路由到给定的联邦时，会选择给定联邦的规则。消息 在经过联邦选择机构传输时需验证名字，由RP端的实体确认其身份和验证声称的名字。联邦选择机构 把消息路由到合适的IdP，同时确认IdP的名字。该路由可以静态配置，联邦选择机构也可以通过路由 协议来交换给定IdP的可读信息，以及便用跨AAA组织的策略。这种路由协议能够将名学约束泛洪到 AAA组织的适当端点上。 b）信任中间人 信任中间人能够在RP端的实体和IdP端的实体之间建立密钥，用来传递消息，而不是通过AAA 代理传递消息。由于每条消息涉及的实体变少，因此只需在更少跳之间发送单个消息，这种方式不但提 高了处理消息的效率，而且提高处理消息的安全性。规则决策包括对信任中间人密钥的授权决策。同时， 每个证书还关联了规则内容和信任的其他方面内容。信任中间人在泛洪规则和名字约束方面可以使用类 似AAA代理的路由协议。 c）全局证书 全局证书，例如公钥、公钥基础设施里的证书，可以用来建立信任。对于一个给定的NAI，通过类 似域名系统的目录或分布式数据库来，RP可以发现要联系的端点。存储空间由数据库或者证书提供， 用于存储决策规则和名字约束信息。若不需要代理或者信任中间人，并且RP和IdP能够执行和决定规 则，那么决策规则可以适当地简化，但可能应用某些规则时更复杂。例如，如果IdP和RP之间存在多 个规则集，会难以确定正确的规则集，尤其是当决策过程中涉及第三方。此外，当需要信任目录信息时 决策规则会更复杂。 实际应用部署可以是基本方法的混合。例如，对于RP来说，通常在机构内部将流量路由到AAA 代理，然后该代理使用以上三种方法中的任何一种将消息发送到IdP。IdP也可以在其机构的边界处使 用代理。联邦既可以提供传统的AAA代理接口，也可为了提高效率和安全性而提供其他机制。

6.2.5 AAA安全

AAA框架应在两个不同的环节进行安全检查。第一个是AAA骨干组件间的连接安全。第二个是 AAA骨干节点的安全。 尽管某些EAP方法具有保护客户端认证证书的能力，但是IdP返回给RP的MSK只能由RADIUS 的安全性来保护。当掩盖部分属性时，MSK可能泄露信息给被动窃听者。因此RADIUS需结合TLS或 DTLS来防止这类攻击。

6.2.6SAML断言

在传统的AAA框架下，一个来自IdP的背定回答就能够完成授权网络访问。在ABFAB中，充许 RP在授权之前，获取更多关于Client的额外信息。因此，ABFAB要求IdP能够向RP传输关于Client 的任意属性集合。 SAML是用来传递关于实体（包括RP，IDP，以及Client）的扩展属性集。由于SAML在属性空 间上是可扩展的，所以ABFAB暂时无需更新核心SAML规范。但是ABFAB需更新IdP，使其能够向 RP返回SAML断言，并且IdP和RP都需要实现新的SAML描述规范，该规范用于在AAA消息中携 带SAML断言。 SAML断言的可选签名可用于保护和提供断言源。这些签名通常基于非对称密钥操作。验证者能够 检查加密操作，以及断言源的名字与公钥的绑定。在联邦环境中，RP不需要每次都检验该绑定，联邦 中存在的技术信任可以作为一种替代方法，来验证发起者和SAML断言的一致性。 SAML断言使用名字字符串标识属性。这个名字字符串既可以由SAML发行者指定，也可以由名 字空间（例如URI或者对象标识符OID等）限定。因此相同的属性可以有不同的名字字符串。在多数 情况下，SAML断言中允许使用的属性和名字由联邦合约决定。所以RP需要将SAML发行者或联邦名、 类型以及语义映射到RP策略使用的名字、类型和语义中。其他情况下，由联邦代理修改联邦内跨边界 传输的SAMIL断言并进行必要的名字、类型和值的映射。如果代理修改SAML断言，需移除断言上的 所有签名，因为更改SAML语句的内容会使这些签名无效，此时需要技术上的信任机制来保证断言的 致性。（代理可以重新签名SAML断言，但是代理中仍然存在建立信任的问题）最后，允许属性存放 在原始IdP的命名空间里，此时，RP需要从联邦合约中获取并执行必要的映射操作。 如果SAML断言采用基于NAI的名字格式，则SAML语句中的名字格式应与RADIUS或Diameter 使用的名字格式相同，便于名学匹配。如果不是，EAP服务器则需要验证SAML断言主体圆钢标准，判断主体 是否与RADIUS或Diameter会话中NAI标识的主体相同。 RADIUS允许对符合IETFRFC5080的EAP服务器进行多条查询。此时，每个“访问一接受”消 息都会返回一个状态信息。然后EAP客户端可以利用这个状态信息发送新的“访问一请求”消息。多 条SAML查询请求可以利用最后一次“访问一接受”消息中的状态信息连接不同的RADIUS会话，建 新的“访问一请求”消息来完成。 身份保证等级可以确保认证过程中RP指定的条件得到满足。本标准使用SAML认证请求将身份保 证等级从EAP服务器传送到RP。当身份保证等级跨越不同联邦之间的边界时，需要在两个联邦之间共 享指定的策略，并且由边界上的代理服务器对该策略进行映射。边界代理服务器也可以向EAP服务器 提供信息，由EAP服务器对该策略进行映射。如果没有映射，EAP服务器不能理解策略需求，因而不 能够执行期望的保证等级操作

6.3 Client 到 IdP

Client与IdP之间的通信需要处理如下情况。 Client与IdP需要相互认证。 Client与IdP需要相互认可RP的身份。

本标准使用EAP的目的在于实现Client与IdP之间的相互认证，以及辅助创建新的EAP通道绑定 文件来决定RP身份。IETFRFC6677定义了一个通道绑定机制的框架，允许IdP检验AAA框架和Client 提供的RP身份。

6.3.2可扩展的认证协议（EAP）

传统的web联邦没有规定Client如何与IdP进行认证，因此难以确认需认证的实体、使用的证书以 及该证书的接收端。浏览器认证方式支持明文用户名和密码的认证方式，难以支持更安全的认证方式。 在多数情况下，认证接口已经验证了目标服务器。若潜在攻击者获得了认证接口的控制权，则整个系统 的安全性就会降低，且存在被钓鱼攻击的危险。 因此Client和IdP之间需要使用IETFRFC3748定义的通信方法。 安全和可扩展性需求：RP不能拥有Client的长期密钥。否则，除了有价值的密钥可能会被泄露外 当Client与IdP交换密钥时还会带来同步问题。 支持多种认证机制需求：认证框架必须允许集成灵活的认证机制。单一认证机制不能适用于所有认 正场景，例如，有些IdP需要硬件令牌，而有些使用密码。目前，还没有一个服务提供者能够同时支持 多种认证方法和来自IdP的其他方法。 EAP框架能够满足上述需求，如图2所示。 EAP是一个端到端的框架，它通过EAP认证者（如RP）在对端（如Client或个体）和后端（如IdP） 之间提供双向通信，这也是联邦身份所要求的通信路径。尽管AAA系统已经支持EAP，但是仍存在如 下问题： 一如何将EAP负载从终端主机传送到RP。 一需要验证RP中关于Client的语句是否与IdP中关于Client的语句一致，需检查联邦以及指定 联邦的策略或配置，确认其语句是否与上述关于Client的语句一致。 选择哪个IdP来提供服务。 本框架使用的EAP方法需要满足以下要求。 一需要提供Client与IdP的相互认证。 一需要支持通道绑定。 截止目前，唯一满足上述要求的EAP方法是TEAP，该方法既可以单独使用（与Client证书一起）， 也可以与其他方法一起使用。例如TEAP与用于相互认证的内部EAP方法一起使用。

6.3.3EAP通道定

6.4Client到RP

在某些情况下，Client与RP之间的交互是最复杂的，因为这些交互包括。 运行RP提供的目的服务协议。 进行RP与Client之间的相互认证。 提供必要的安全服务，满足其他服务协议的要求。 处理必要的Client重认证。

YD/T34572019

YD/T3457—2019 接收者：RP 在Client到IdP的通信阶段。 初始化者：Client －观察者：Client、RP、AAA客户端、AAA代理、AAA服务器、IdP 接收者：IdP 在IdP到RP的通信阶段。 初始化者：RP 观察者：IdP、AAA服务器、AAA代理、AAA客户端、RP 接收者：IdP 任一或全部通信连接都有可能发生窃听和攻击。 系统中的不同实体也会共谋或被迫共谋。一些重要的共谋方式如下。 如果两个RP共谋，则它们有两个节点的可用信息，可用于分析单个RP是否提供多种服务。 如果一个RP和一个AAA代理共谋，则会破坏系统的信任关系，因为RP能够就其身份向IdP 撒谎。目前还没有解决这种问题的方法。 一 如果多个AAA代理共谋，将被视为单个节点来分析。 联邦组件包含所有的AAA实体。允许没有AAA代理实体，因为AAA客户端可以直接和AAA服 务器通信。信任路由协议和RADIUS动态发现协议可以用于缩短AAA客户端和AAA服务器之间的通 信路径，此时路径上也可能存在AAA代理。 该架构里的IdP被分成多个逻辑片段，并在实际系统中耦合在一起。这些片段之间的连接处很容易 被攻击和窃听，但是，由于这些片段都在单个实体的控制下，所以也很容易受到有效保护。

8.3ABFAB数据流的隐私

8.3.1Client 到 RP

变电站标准规范范本8.3.2Client到 IdP

在此过程中，RP通过联邦组件，使用Client提供的域名信息在Client和IdP之间初始化一个 内TLS通道，用于向IdP发送认证证书。

8.3.3IdP 到RP

在本阶段，IdP通知RP关于用户认证的成功或失败的消息，并且有选择地发送主体的身份信息。 和前面的数据流一样，很多操作信息都会通过AAA在IdP和RP之间传输，因此有同样的隐私问 题。此外，通过RADIUS头或SAML断言，认证主体的显式身份信息会从IdP被发送到RP。这些信息 包括协议相关的标识符，如SAML名字ID，同时还有关于主体的任意属性信息。类似地，当通过RADIUS 发送时，在RP和IdP之间路径上的所有AAA实体都能够窃听到，除非采取了额外的安全措施。当使 用SAML发送时，需要保证信息的机密性，

8.4用户和实体之间的关系

用户和IdP之间：IdP是与用户有直接关系的实体，在实体提供服务和交换用户证书时创建。 用户和RP之间：RP与用户是否有直接关系取决于服务。有些服务只向存在直接关系的用户提供 服务（例如，某些敏感服务），而有些不要求有直接关系，只需使用基本的联邦信任来满足关系要求。 允许用户对RP保持匿名。如果尝试通过数据最小化来保证隐私，则用户需向RP透露服务操作必需的 属性信息。 用户和联邦组件之间：允许用户不知道任何联邦组件的实体，也可以与其没有关系。对于这些实体 来说，不必知道关于用户的属性信息，因此应该 信息，防止可能的访问

在AAA通信中，除了核心的身份认证和授权同轴电缆标准，在授权的应用会话中，也会交换资源消耗相关的 息

8.6数据和标识符的收集与保留