对等通道安全性
对等通道启用依赖于多方消息传递的多种分布式应用程序类型。示例包括在 Internet 范围内由受信任源分发内容(如媒体或软件更新)、朋友们一起交换音乐和图片或同事们一起协作编辑一个文档。这些方案都需要一个独特的安全模型。对等通道安全模型就是为满足这些方案而设计的,此模型为不同标识、身份验证和授权模型的各自需要提供可靠的安全模型。
安全方案
内容分发方案要求每个内容接收方都要标识内容源。由于该方案的分布式性质,并不是总能够知道和信任处理或截取消息的中介。为了有效缓解非受信任中介篡改消息的威胁,应用程序可以在发送方保护消息,以便能够容易地检测出任何篡改尝试。在这种情况下,根据内容的保密性,可能有必要进行加密。
像组文档协作这样的协作方案通常需要对参与会话的每个成员单独进行标识和身份验证。这意味着必须有定义用户组和对这些组进行身份验证的机制才能进行安全的会话。而且,应用程序可能需要在消息级别对每个消息进行身份验证来跟踪每个消息。在这些类型的应用程序中,可以牺牲性能来实现更可靠的安全方案。
一组临时用户中进行的通信会话可能需要非正式的安全模型,如对该组中一般秘密的了解。对于这些类型的应用程序,具有便于建立和配置的安全模型比具有最强的身份验证形式或提供不可否认措施更重要。对于这些方案,基于密码的身份验证机制有助于确保通信层的安全,同时仍允许进行消息身份验证。基于密码的安全性是对等通道的默认设置。
令牌类型
对等通道只能识别一种强标识令牌类型,即 X.509 证书,X.509 证书基于可实现的身份验证和授权类型,提供强标识模型。使用证书易于提供保密性和完整性。但 X.509 证书可能难以使用和部署。
对等通道还可通过使用密码为简单应用程序提供支持。应用程序可以根据提供的密码选择设置快速而简单的对等组。在这种情况下,组所有者确定密码并将密码通知成员。每个成员必须先使用此密码登录,才能加入会话。密码仅用于允许加入会话,不能用于执行消息身份验证。这是因为对等端组共享的对称令牌难以、也不适合用于进行源身份验证。
安全模型
对等通道提供保证对等端之间各个链接安全的功能。这意味着消息决不会在不安全的链接上流动(从应用程序角度讲)。在内部,每个链接(两个对等端之间的传输通道)都使用传输层安全 (TLS) 保证安全。这意味着某一发送方在撰写并发送消息时,消息会通过安全传输发送给该发送方的每个中间对等端,这些对等端访问消息,然后通过安全连接将消息发送到他们的中间对等端。此安全模型仅在传输级别有效并独立于消息安全模型。
对等通道还提供一种保护消息独立于所使用的传输安全的途径。在此模型中,虽然当前只支持 X.509 证书,但消息在源上可以使用源的安全令牌加以保护。然后通过对等网络传输安全消息。每个接收对等端都可以验证源的真实性。请注意,消息具有安全保护,中介无法篡改。
为了实现保密性,应用程序可使用具有可靠组成员资格方案的传输安全以防止未经授权访问该消息。
只要应用程序选择了一种受支持的令牌类型,对等通道就不再需要特定的标识模型。应用程序可以完全控制这些标识和身份验证决策的生命周期。