HANA 安全与三种认证模式

HANA提供了三种不同的认证方式，当然这三种方式，可以同时支持，也可以选择部分支持。

这三种方式主要基于不同的场景下使用：

A，密码方式，这是一种传统的认证方式，用户提交用户名与密码，只有通过认证后，才能

B.Kerberos协议（网络授权方式），允许某实体在非安全网络环境下通信，向另一个实体以一种安全的方式证明自己的身份。它也指由麻省理工实现此协议，并发布的一套免费软件。它的设计主要针对客户-服务器模型，并提供了一系列交互认证——用户和服务器都能验证对方的身份。Kerberos协议可以保护网络实体免受窃听和重复攻击。Kerberos协议基于对称密码学，并需要一个值得信赖的第三方。因为Kerberos使用了DES加密算法（用56 bit 的密钥），美国出口管制当局把它归类为军需品，并禁止其出口。Kerberos协议本身的缺点也非常明显：

1.失败于单点：它需要中心服务器的持续响应。当Kerberos服务结束前，没有人可以连接到服务器。这个缺陷可以通过使用复合Kerberos服务器和缺陷认证机制弥补。

2.Kerberos要求参与通信的主机的时钟同步。票据具有一定有效期，因此，如果主机的时钟与Kerberos服务器的时钟不同步，认证会失败。默认设置要求时钟的时间相差不超过10分钟。在实践中，通常用网络时间协议后台程序来保持主机时钟同步。

3.管理协议并没有标准化，在服务器实现工具中有一些差别。RFC 3244描述了密码更改。

4.因为所有用户使用的密钥都存储于中心服务器中，危及服务器的安全的行为将危及所有用户的密钥。

5.一个危险客户机将危及用户密码。

C.SAML（安全断言标记语言），

全称是Security Assertion Markup Language。它是一个基于XML的标准，用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider)，这两者构成了前面所说的不同的安全域。

SAML的应用随着云计算的发展而得到了更快的推广。越来越多的企业意识到，在每一个SAAS厂商维护一套用户名和密码是一件费时费力的事情， 寻求将企业内的身份认证扩展到SAAS应用中。领先的SAAS应用厂商如Google, Salesforce纷纷提供SAML的单点登录接口。

SAML 主要包括三个方面：1.认证申明。表明用户是否已经认证，通常用于单点登录。2.属性申明。表明 某个Subject 的属性。3.授权申明。表明 某个资源的权限。

由于SAML在两个拥有共享用户的站点间建立了信任关系，所以安全性是需考虑的一个非常重要的因素。SAML中的安全弱点可能危及用户在目标站点的个人信息。SAML依靠一批制定完善的安全标准，包括SSL和X.509，来保护SAML源站点和目标站点之间通信的安全。源站点和目标站点之间的所有通信都经过了加密。为确保参与SAML交互的双方站点都能验证对方的身份，还使用了证书。

==============================

无论是传统模式，还是基于服务器客户端的方式，还是网络基于云的方式，HANA都有效提供了安全认证。通过不同的方式，让不同的应用模式更加安全与可靠。