HANA 安全与三种认证模式
HANA提供了三种不同的认证方式,当然这三种方式,可以同时支持,也可以选择部分支持。
这三种方式主要基于不同的场景下使用:
A,密码方式,这是一种传统的认证方式,用户提交用户名与密码,只有通过认证后,才能
B.Kerberos协议(网络授权方式),允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。它也指由麻省理工实现此协议,并发布的一套免费软件。它的设计主要针对客户-服务器模型,并提供了一系列交互认证——用户和服务器都能验证对方的身份。Kerberos协议可以保护网络实体免受窃听和重复攻击。Kerberos协议基于对称密码学,并需要一个值得信赖的第三方。因为Kerberos使用了DES加密算法(用56 bit 的密钥),美国出口管制当局把它归类为军需品,并禁止其出口。Kerberos协议本身的缺点也非常明显:
1.失败于单点:它需要中心服务器的持续响应。当Kerberos服务结束前,没有人可以连接到服务器。这个缺陷可以通过使用复合Kerberos服务器和缺陷认证机制弥补。
2.Kerberos要求参与通信的主机的时钟同步。票据具有一定有效期,因此,如果主机的时钟与Kerberos服务器的时钟不同步,认证会失败。默认设置要求时钟的时间相差不超过10分钟。在实践中,通常用网络时间协议后台程序来保持主机时钟同步。
3.管理协议并没有标准化,在服务器实现工具中有一些差别。RFC 3244描述了密码更改。
4.因为所有用户使用的密钥都存储于中心服务器中,危及服务器的安全的行为将危及所有用户的密钥。
5.一个危险客户机将危及用户密码。
C.SAML(安全断言标记语言),
全称是Security Assertion Markup Language。它是一个基于XML的标准,用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider),这两者构成了前面所说的不同的安全域。
SAML的应用随着云计算的发展而得到了更快的推广。越来越多的企业意识到,在每一个SAAS厂商维护一套用户名和密码是一件费时费力的事情, 寻求将企业内的身份认证扩展到SAAS应用中。领先的SAAS应用厂商如Google, Salesforce纷纷提供SAML的单点登录接口。
SAML 主要包括三个方面:1.认证申明。表明用户是否已经认证,通常用于单点登录。2.属性申明。表明 某个Subject 的属性。3.授权申明。表明 某个资源的权限。
由于SAML在两个拥有共享用户的站点间建立了信任关系,所以安全性是需考虑的一个非常重要的因素。SAML中的安全弱点可能危及用户在目标站点的个人信息。SAML依靠一批制定完善的安全标准,包括SSL和X.509,来保护SAML源站点和目标站点之间通信的安全。源站点和目标站点之间的所有通信都经过了加密。为确保参与SAML交互的双方站点都能验证对方的身份,还使用了证书。
==============================
无论是传统模式,还是基于服务器客户端的方式,还是网络基于云的方式,HANA都有效提供了安全认证。通过不同的方式,让不同的应用模式更加安全与可靠。