跳到主要内容

9. 安全考虑事项 (Security Considerations)

9.1. 安全风险和信任管理 (Security Risks and Trust Management)

与 MATF framework 相关的安全风险局限于每个单独的 federation. federation operator 和 federation member 共同负责维护信任和安全. 妥善处理 metadata 并彻底审核成员, 对维持这种信任至关重要.

在 intermediary 处终止会话并向 application 传递 identity material 的部署会引入关键的信任边界. 如果 intermediary 被攻破, 或未能正确清理入站 header, 攻击者可能伪造对等方的 entity_id. 因此, 向 application 传递 identity material 的 intermediary 必须遵守第 5.6 节中的要求.

除非诊断需要, 实现应该避免记录所传递的 certificate, pin 或 identity value, 以防止意外暴露特定会话的 identity material.

9.2. TLS

TLS 1.3 的安全考虑事项详见 [RFC8446] 的第 10 节以及 Appendix C, D 和 E.

9.3. Federation Metadata 更新 (Federation Metadata Updates)

定期更新 federation metadata 的本地副本对于访问关于活跃实体, 当前 public key pins [RFC7469] 和有效 issuer certificate 的最新信息至关重要. 使用过期 metadata 可能使系统暴露于安全风险, 例如与已撤销实体交互或接受被篡改的数据.

9.4. 验证 Federation Metadata Signature (Verifying the Federation Metadata Signature)

确保 MATF framework 内的数据完整性和安全性依赖于验证已下载 federation metadata 的 signature. 该验证通过使用接收方信任的 federation signature verification key 验证 JWS signature 来确认 metadata 的来源. 它还确认已签名内容未被未授权方更改. 通过验证 signature, 可以维持用于验证的信息的完整性信任, 包括 member public key pins 和 issuer certificates. 为实现稳健实现, 需要考虑 [RFC7515] 中列出的安全方面, 该文档描述了与 algorithm selection, key compromise 和 signature integrity 相关的安全考虑事项.

9.5. 时间同步 (Time Synchronization)

在所有 federation member 之间保持时钟同步对 MATF framework 的安全性至关重要. 不准确的 timestamp 可能破坏 digital signature 和 certificate 的有效性, 妨碍可靠的日志分析, 并可能使系统暴露于基于时间的攻击. 因此, 所有 federation member 都必须采用方法, 确保其系统时钟与可靠时间源同步.