对等通道支持依赖于多方消息传送的各种分布式应用程序类型。 一些示例包括 Internet 规模内容分发,其中受信任的源分发内容(如媒体或软件更新)、一组好友交换音乐和照片,或一组同事协作编辑文档。 每个方案都需要唯一的安全模型。 对等通道安全模型旨在解决这些方案,并为不同标识、身份验证和授权模型各自的需求提供健全的安全模型。
安全方案
内容分发方案要求每个内容收件人标识内容源。 由于方案的分布式性质,并不总是能够知道并信任处理或截获消息的中介。 为了有效缓解不受信任的中介可能篡改消息的威胁,应用程序可以在发送方保护消息,以便轻松检测到任何篡改尝试。 在这种情况下,根据内容的机密性,可能需要加密。
组文档协作等协作方案通常需要单独标识和验证参与会话的每个成员。 这意味着必须有一种机制来定义用户组并对这些组进行身份验证,才能建立安全的会话。 此外,应用程序可能需要通过消息级别的身份验证来跟踪每个消息。 在这些类型的应用程序中,性能可以牺牲为更强大的安全方案。
一组休闲用户的通信会话可能需要非正式的安全模型,例如了解组中的常见机密。 对于这些类型的应用程序,具有方便建立和配置的安全模型比具有最强形式的身份验证或提供不可否认性措施更重要。 对于这些方案,基于密码的身份验证机制有助于保护通信层,同时仍允许消息身份验证。 基于密码的安全性是对等通道的默认设置。
令牌类型
对等通道仅识别单一的用于强标识的令牌类型,即 X.509 证书,该证书基于可实施的身份验证和授权类型提供强有力的身份模型。 使用证书可以轻松提供机密性和完整性。 但是,X.509 证书可能难以使用和部署。
对等通道还可通过使用密码为简单应用程序提供支持。 应用程序可以选择根据提供的密码设置快速简单的对等组。 在这种情况下,组所有者决定并将密码传达给成员。 每个成员必须使用此密码登录,然后才能加入会话。 密码只能用于允许进入会话;它们不能用于执行消息身份验证。 这是因为一组对等方共享的对称令牌很难且不适合用于源身份验证。
安全模型
对等通道提供保证对等端之间各个链接安全的功能。 这意味着消息从不流于不安全的链接(从应用程序的角度来看)。 在内部,每个链路(两个对等之间的传输通道)都使用传输层安全性(TLS)进行保护。 这意味着,当发送方撰写并发送邮件时,会通过安全传输将其发送到其每个即时对等方,这些对等方访问该消息,并反过来通过安全连接将消息发送到其即时对等方。 此安全性仅适用于传输级别,并且独立于消息安全模型。
对等通道还提供一种保护消息独立于所使用的传输安全的途径。 在此模型中,消息在源头使用源的安全令牌进行保护,但目前仅支持 X.509 证书。 然后,通过对等网络传输安全消息。 每个接收对等方都可以验证源的真实性。 请注意,消息受到保护,以便中介无法篡改它。
为了实现机密性,应用程序可以使用具有强组成员身份方案的传输安全性来防止对消息进行未经授权的访问。
只要应用程序选择受支持的令牌类型之一,对等通道就不需要特定的标识模型。 应用程序完全拥有这些标识和身份验证决策的生命周期。