3. 信任模型 (Trust Model)
MATF 框架基于一个信任模型运行, 该模型是其设计和功能的核心. 本节概述此信任模型的关键组成部分, 以及它对联邦成员和联邦运营方的影响.
3.1. 联邦运营方的角色 (Role of the Federation Operator)
联邦运营方在 MATF 框架中承担关键角色. 该实体负责:
-
管理中央信任锚, 用于在联邦内不同域之间建立信任.
-
审核联邦成员, 确保它们满足所需的标准和策略.
-
维护并保护联邦元数据, 其中包括公钥固定 (public key pins) [RFC7469], 颁发者证书以及其他必要信息.
此外, 联邦运营方 SHOULD 制定自己的威胁模型, 以主动识别潜在风险和威胁. 该过程包括检查运行环境, 评估内部和外部威胁, 并理解漏洞可能如何被利用. 威胁模型的目标是使联邦运营方能够建立缓解策略, 以处理已识别的风险.
联邦的安全性和稳定性依赖于联邦运营方的完整性和能力. 成员必须能够完全信任这一中央权威, 因为其角色对于维护联邦的可靠性和安全性至关重要.
3.2. 联邦成员的职责 (Federation Members' Responsibilities)
联邦成员共同承担在联邦内维护信任和安全的责任.
它们的职责包括:
-
遵守联邦的安全策略和流程.
-
确保提交的元数据准确且及时.
-
配合联邦运营方的审核和安全措施.
通过履行这些职责, 联邦成员帮助维持信任框架, 从而在联邦内实现安全可靠的通信.
联邦成员向联邦提交成员元数据. 作为联邦运营的一部分, 联邦 MUST 确保所提交成员元数据的真实性和完整性, 并确保提交成员的真实性.
3.3. 信任链 (Chain of Trust)
每个联邦都在一个信任框架内运行, 该框架包含其自身的安全策略和流程. 此框架旨在确保联邦内通信的完整性, 真实性和机密性. 该框架的关键组成部分包括:
-
公钥固定 [RFC7469] 和预加载, 用于阻止路径上攻击. 如果对等方所呈现证书中的公钥与联邦元数据中发布的固定值不匹配, 则拒绝该对等方.
-
定期更新并验证联邦元数据, 以防止使用过时或已被攻陷的信息.
联邦运营方聚合, 签名并发布联邦元数据. 联邦元数据将所有成员的成员元数据与额外的联邦特定信息组合在一起. 通过信任联邦及其关联的联邦元数据签名验证密钥, 联邦成员信任联邦元数据中包含的信息.
联邦的信任锚通过联邦元数据签名验证密钥建立. 这是一个关键组件, 需要安全分发和验证. 为实现这一点, 签名验证密钥材料使用 JSON Web Key (JWK) Set [RFC7517] 分发, 从而提供一个灵活框架来公开多个公钥, 包括当前签名验证密钥和用于轮换的密钥. 这种结构化方法确保成员可以方便地访问验证所需的密钥.
指纹验证 [RFC7638] 引入了额外的安全层, 联邦成员可借此独立验证密钥的真实性. 该过程将计算出的密钥密码学指纹与可信值进行比较, 从而确保其完整性. 重要的是, 此验证过程可以通过不同于 JWK Set 本身的信道执行, 通过消除对单一分发机制的依赖来增强安全性.
此信任框架对于在联邦内不同信任域之间实现无缝且安全的互操作性至关重要.
3.4. 成员审核 (Member Vetting)
为确保 MATF 框架的安全性和完整性, 成员审核过程是必需的. 详细的审核流程超出本文档范围, 但可由 eIDAS 和 eduGAIN 等既有框架指导.
以下是对既有框架的非规范性引用:
-
eIDAS: eIDAS 法规可为成员审核和身份保证实践提供指导.
-
eduGAIN: eduGAIN 是连接全球身份联邦的跨联邦服务, 主要服务于研究和教育领域. 关于参与要求和联邦实践的 eduGAIN 文档可为成员审核流程提供参考 [eduGAIN].
3.5. 元数据真实性 (Metadata Authenticity)
确保元数据真实性是维护 MATF 框架安全性和可信度的必要条件. 本文档规定了用于保护和验证联邦元数据真实性的机制, 包括 JWS 签名. 用于认证成员元数据提交的操作流程超出本文档范围, 由联邦运营方或适用的监管机构定义.