惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Engineering at Meta
Engineering at Meta
人人都是产品经理
人人都是产品经理
大猫的无限游戏
大猫的无限游戏
博客园 - 三生石上(FineUI控件)
量子位
腾讯CDC
The Cloudflare Blog
酷 壳 – CoolShell
酷 壳 – CoolShell
云风的 BLOG
云风的 BLOG
Vercel News
Vercel News
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
L
LangChain Blog
aimingoo的专栏
aimingoo的专栏
The Hacker News
The Hacker News
T
The Exploit Database - CXSecurity.com
B
Blog
S
SegmentFault 最新的问题
P
Privacy & Cybersecurity Law Blog
T
Threatpost
博客园 - 聂微东
T
Tailwind CSS Blog
The Last Watchdog
The Last Watchdog
C
Check Point Blog
N
Netflix TechBlog - Medium
D
DataBreaches.Net
爱范儿
爱范儿
IT之家
IT之家
S
Secure Thoughts
M
MIT News - Artificial intelligence
NISL@THU
NISL@THU
C
Cisco Blogs
TaoSecurity Blog
TaoSecurity Blog
有赞技术团队
有赞技术团队
A
Arctic Wolf
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
P
Proofpoint News Feed
Spread Privacy
Spread Privacy
Schneier on Security
Schneier on Security
Simon Willison's Weblog
Simon Willison's Weblog
G
GRAHAM CLULEY
雷峰网
雷峰网
Project Zero
Project Zero
博客园 - Franky
H
Heimdal Security Blog
A
About on SuperTechFans
Security Latest
Security Latest
Webroot Blog
Webroot Blog
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
Hugging Face - Blog
Hugging Face - Blog
H
Hackread – Cybersecurity News, Data Breaches, AI and More

土法炼钢兴趣小组的算法知识备份

国密算法与国密 TLS 系列索引 【系统架构设计】架构质量属性:不只是"高可用高性能" 【系统架构设计百科】告警策略:如何避免"狼来了" 【系统架构设计】CQRS:读写分离的架构哲学 【系统架构设计】空间架构:极端扩展场景的解法 【系统架构设计】微服务架构深度审视:优势、代价与适用边界 【系统架构设计】扩展性原理:水平、垂直与对角扩展 【系统架构设计】无状态设计:扩展的第一步也是最难的一步 【系统架构设计】缓存架构:从本地到分布式的多级缓存体系 【系统架构设计】管道与过滤器:Unix 哲学的架构表达 【系统架构设计】复杂性管理:架构的核心战场 【系统架构设计】消息队列架构:异步解耦的设计与陷阱 【系统架构设计】CDN 架构:全球加速的设计原理 【系统架构设计】连接池设计:被忽视的性能杀手 【系统架构设计】弹性设计模式:熔断器、舱壁与超时 【系统架构设计】高可用设计模式:冗余、故障转移与仲裁 【系统架构设计】容量规划:从拍脑袋到数据驱动 【系统架构设计】数据库扩展:分库分表的工程实践与替代方案 【系统架构设计】SLO 工程:可靠性的量化管理 【系统架构设计】性能建模:用数学思维分析系统瓶颈 【系统架构设计】混沌工程:主动验证系统的韧性 【系统架构设计】零拷贝与内存映射:数据搬运的极致优化 【系统架构设计】线程模型:从 thread-per-request 到协程 【系统架构设计】容灾架构:多活与灾备设计 【系统架构设计】数据库性能模式:索引、查询与连接管理 【系统架构设计】数据建模:从关系范式到文档模型的真实权衡 【系统架构设计】吞吐量优化:批处理、流水线与并发模型 【系统架构设计】流处理架构:从批处理到实时的范式迁移 【系统架构设计】搜索引擎架构:倒排索引之上的系统设计 【系统架构设计】时序数据架构:监控与 IoT 的存储设计 【系统架构设计】数据迁移与版本化:在线不停机的数据演进 【系统架构设计】数据湖与数据仓库:分析架构的演进路线 【系统架构设计】API 网关设计:入口层的职责边界 【系统架构设计】应用层数据一致性模式:在正确性与性能之间走钢丝 【系统架构设计】多模数据库选型:Polyglot Persistence 的工程实践 【系统架构设计】服务发现与注册:动态拓扑的基础设施 【系统架构设计】配置管理架构:从配置文件到配置中心 【系统架构设计】全链路压测:大规模系统的性能验证 【系统架构设计】幂等性设计:分布式环境下的安全重试 【系统架构设计】契约测试与 Schema 演进:服务间的信任协议 【系统架构设计】长连接与推送架构:WebSocket、SSE 与 MQTT 【系统架构设计】延迟分析:从 P50 到 P999 的全链路追踪 【系统架构设计百科】DDD 战术模式:聚合、实体与值对象 【系统架构设计百科】防腐层与开放主机服务:系统集成的 DDD 方案 【系统架构设计百科】领域事件与事件风暴:从业务到架构的桥梁 【系统架构设计百科】CQRS + Event Sourcing 完整实战:从领域建模到部署 【系统架构设计百科】DDD 与微服务:用领域模型划分服务边界 【系统架构设计】DDD 战略设计:限界上下文与上下文映射 【系统架构设计百科】认证架构:从 Session 到 JWT 到 OIDC 【系统架构设计】API 设计哲学:REST vs GraphQL vs gRPC 的真实权衡 排序算法专题:从 TimSort 到并行排序 【密码学百科】国密算法体系:SM2/SM3/SM4/SM9 全景解读 【密码学百科】承诺方案:Pedersen 承诺、向量承诺与多项式承诺 【密码学百科】不经意传输与隐私信息检索:OT、OT 扩展与 PIR 【密码学百科】门限密码学:门限签名、门限解密与分布式密钥生成 完美哈希:从理论到 gperf 实践 【密码学百科】安全多方计算:从 Yao 的混淆电路到实用 MPC 【密码学百科】同态加密:从 Paillier 到全同态加密(FHE) 【密码学百科】零知识证明系统:zk-SNARKs、zk-STARKs 与 Bulletproofs 【密码学百科】概率论与密码分析:生日攻击、差分分析与线性分析 【密码学百科】计算复杂性与归约:密码安全性证明的基石 【密码学百科】秘密共享:Shamir 方案、VSS 与安全多方计算入口 【密码学百科】椭圆曲线代数:Weierstrass 方程、点群运算与曲线选择 【密码学百科】离散对数与配对密码学:从 DLP 到 BLS 签名 【密码学百科】格密码数学基础:SVP、LWE 与格基约化 【密码学百科】抽象代数:群、环、域的密码学视角 【密码学百科】有限域算术:GF(2^n) 运算与在 AES/ECC 中的应用 【密码学百科】数论进阶:二次剩余、椭圆曲线上的 Weil 配对 【密码学百科】密码学简史:从凯撒密码到量子时代 【密码学百科】威胁模型与安全目标:CIA 三要素之外 【密码学百科】Kerckhoffs 原则与现代密码设计哲学 【密码学百科】随机性:密码学的基石 【密码学百科】信息论入门:熵、完美保密与 Shannon 定理 【密码学百科】分组密码原理:Feistel 网络与 SPN 结构 【密码学百科】AES 逐步拆解:SubBytes 到 MixColumns 的数学 【密码学百科】分组密码工作模式全览:ECB/CBC/CTR/OFB/CFB 【密码学百科】流密码:RC4 的兴衰与 ChaCha20 的崛起 【密码学百科】密码学哈希函数:MD5→SHA-2→SHA-3 的进化之路 【密码学百科】MAC 与 HMAC:消息认证的正确姿势 【密码学百科】认证加密(AEAD):GCM、ChaCha20-Poly1305 与 OCB 【密码学百科】密钥派生函数:HKDF、PBKDF2、Argon2 与密码存储 【密码学百科】公钥密码的数论基础:模运算、群、原根 【密码学百科】RSA 从原理到攻击:教科书 RSA 为什么不安全 【密码学百科】Diffie-Hellman 密钥交换与离散对数问题 【密码学百科】椭圆曲线密码学(ECC):从几何直觉到点群运算 【密码学百科】数字签名:ECDSA、EdDSA 与 Schnorr 签名 【密码学百科】现代密钥交换:X25519、ECDHE 与前向保密 【密码学百科】混合加密与 KEM/DEM 范式:ECIES 与 HPKE 【密码学百科】填充方案:PKCS#1 v1.5、OAEP 与 PSS 【密码学百科】TLS 协议全解析:从握手到 0-RTT 【密码学百科】PKI 与数字证书:信任链的构建与崩塌 【密码学百科】密码认证协议:从 SRP 到 OPAQUE 【密码学百科】零知识证明入门:如何证明你知道而不泄露 【密码学百科】安全信道构造:Noise 协议框架与 Signal 协议 【密码学百科】密钥管理工程:HSM、KMS 与密钥生命周期 【密码学百科】侧信道攻击:从时序攻击到功耗分析 【密码学百科】密码学实现陷阱:三层漏洞分类、审计工具链与系统性预防 密码敏捷性:如何设计可升级的密码系统 【密码学百科】OpenSSL/BoringSSL 架构剖析:ENGINE、Provider 与 FIPS 模块 排序基准测试:用数据说话
AI Agent 身份与安全 — 系列规划
Liao Tonglang · 2026-06-18 · via 土法炼钢兴趣小组的算法知识备份

本文是写作规划,不是可发布正文。定位:IAM 系列(人)+ 零信任系列(边界)的自然延伸,回答 「非人类主体如何获得、行使、审计权限」


一、为什么写这个系列

1.1 现有内容的覆盖情况

已有系列 覆盖 缺口
iam/ (20) 人、SSO、OAuth、服务身份 SPIFFE Agent 作为独立主体未系统展开
zero-trust/ (18) 持续验证、设备姿态、策略引擎 #18-zero-trust-emerging 仅前瞻 1 篇
llm-infra/ (25) Agent 框架、MCP、网关 偏工程栈,非身份安全模型
architecture/61-zero-trust 概览 不展开 Agent

结论:当 LLM Agent 代表用户调用 API、读写邮件、执行 SQL 时,传统 OAuth「用户登录 → 拿 token → 调 API」模型不够用。需要新系列拆解:Agent 身份、委托链、工具级授权、审计与撤销

1.2 系列边界

: - Agent 作为 OAuth/OIDC 客户端或 Resource Owner 的扩展 - MCP(Model Context Protocol)的安全模型与 threat model - 工具调用(function calling)的授权粒度 - 与 SPIFFE、零信任策略引擎的集成 - 真实协议与草案(RFC 8693 Token Exchange、CAEP/SSE draft)

不是: - Prompt 工程或 Agent 编排教程 - 替代 llm-infra/ 的框架选型 - 对未发布标准的臆测性「标准答案」

与 zero-trust/18 的关系:该文是前瞻入口;本系列是系统展开。


二、核心问题与目标读者

2.1 五个关键问题

  1. Agent 的「身份」绑定在谁身上? 用户委托 vs 服务账户 vs 独立 Agent ID — Token Exchange 如何表达 act claim? → 第 2、3 章。

  2. 工具调用的授权边界在哪? 「能调 search API」不够——SQL 的 WHERE 子句、文件路径是否该进策略? → 第 4、5 章。

  3. MCP 的信任模型是什么? Host、Client、Server 三方的认证、授权、数据隔离。 → 第 6、7 章。

  4. Agent 会话如何持续验证与撤销? 用户 revoke 后正在运行的 Agent 怎么办?CAEP/SSE 能否用? → 第 8 章。

  5. Agent 行为如何审计? 工具调用日志、PII、归因链(哪个用户委托的哪个 Agent 读了哪条记录)。 → 第 9、10 章。

2.2 目标读者

  • 平台安全工程师、IAM 架构师、AI 应用后端负责人
  • 先修:iam/02-sso-oidciam/10-workload-identityzero-trust/06-continuous-verification
  • 不假设:已读过 MCP 源码

三、篇目结构(10 篇)

第一部分:身份模型(第 1–3 篇)

01 — 系列索引

  • 5 个问题、阅读路径、与 IAM/ZT/LLM-infra 边界
  • 争议清单:哪些已有共识、哪些仍在草案

02 — Agent 身份谱系:从 API Key 到委托 Token

  • 四代模型:API Key → OAuth 用户 token → Service Account → Delegated Agent Token
  • RFC 8693 OAuth 2.0 Token Exchange:subject_tokenactor_tokenact claim
  • JWT 结构示例(来自 RFC,非编造)
  • iam/06-jwt-jwks 交叉引用
  • :把用户 refresh token 直接塞给 Agent — 撤销与 scope 失控

03 — 细粒度 Scope 与 UMA 2.0 启示

  • 从 coarse scope(read:mail)到 resource-specific consent
  • UMA 2.0 的 Permission Ticket 模型是否适用于 Agent
  • Google OAuth incremental auth 对照
  • 不展开完整 UMA 教程 — 只取 Agent 相关机制

第二部分:工具与 MCP(第 4–7 篇)

04 — Function Calling 的授权模型

  • Tool schema 暴露面 = 攻击面
  • 允许列表 vs 策略引擎(OPA/Cedar)在 tool 层的应用
  • SQL Agent:statement class 限制、read-only 角色、row-level 策略
  • iam/13-policy-enginespostgresql-kernel RLS 边界(PG RLS 另文引用)

05 — 人机协同授权:Human-in-the-Loop

  • 高风险操作 step-up:转账、删除、外发
  • 同步确认 vs 异步审批队列
  • 超时与 Agent 状态机

06 — MCP 架构与安全基线

  • Host / Client / Server 三角
  • Transport:stdio vs SSE 的安全差异
  • 认证:OAuth 2.1 for MCP(跟踪 IETF/OAuth 草案版本,写清版本边界)
  • 来源:MCP 官方 spec(A 级)

07 — MCP Server 隔离与供应链

  • 多 Server 并存时的 secret 隔离
  • 恶意 tool description 注入(indirect prompt injection 的安全侧)
  • zero-trust/13-supply-chain-zt 联动

第三部分:持续信任与审计(第 8–10 篇)

08 — Agent 会话的持续验证与撤销

  • OpenID CAEP / Shared Signals Events(draft 状态标注)
  • 短有效期 token + 轮询 vs 推送 revocation
  • iam/07-session-revocationzero-trust/06-continuous-verification 对照
  • :Agent 缓存 tool 结果含 PII — revoke 后缓存仍泄露

09 — Agent 审计日志与归因

  • 最小日志集:delegator_id、agent_id、tool_name、resource、decision、policy_version
  • OpenTelemetry span 建模 Agent 工具调用
  • iam/19-pam-iga-audit 联动
  • PII 在 Agent 链路中的清洗点

10 — 落地架构与案例框架

  • 参考架构:IdP + Policy Engine + Agent Gateway + MCP Host
  • 开源组件:Keycloak、OPA、Envoy ext_authz — 能力边界
  • 商业:Azure AI Foundry、Bedrock Agents — B 级来源,不背书
  • 迁移路径:从「用户 token 直连 API」到「Agent Gateway 代签」
  • 案例:仅使用公开文档可核实的部署(不写虚构 FinCo)

四、依赖关系

01 (索引)
├── 02 (Agent 身份) ←── iam/02, iam/06
├── 03 (Scope/UMA) ←── 02
│   ├── 04 (Function Calling) ←── iam/13
│   ├── 05 (Human-in-the-Loop) ←── iam/09
│   └── 06 (MCP 架构) ←── 02
│       └── 07 (MCP 供应链) ←── zt/13
│           ├── 08 (持续验证) ←── iam/07, zt/06
│           └── 09 (审计) ←── iam/19
│               └── 10 (落地架构) ←── 全部

五、阅读路径

读者 路径
IAM 工程师转 Agent 安全 01→02→03→08→09
MCP 应用开发者 01→06→07→04
架构师 01→02→05→10
完整 01→…→10

六、来源台账

A 级

  • RFC 8693(Token Exchange)
  • RFC 6749、OAuth 2.1 草案(标注 draft 号与日期)
  • MCP Specification(modelcontextprotocol.io,标注版本)
  • OpenID CAEP / SSE 草案
  • Keycloak、OPA 官方文档(具体版本)

B 级

  • Anthropic/OpenAI/Google 官方 Agent 安全文档
  • NIST AI RMF(辅助 threat framing)

C 级(仅线索)

  • 社交媒体「Agent 安全最佳实践」无版本帖

版本纪律

  • 每个草案结论标注 「截至 YYYY-MM 的 draft 状态」
  • 标准更新时文内写「以 spec vX 为准,旧版差异见脚注」

七、实验台账

实验 说明
Token Exchange Keycloak 或 Auth0 配置 actor/subject token(若支持),记录 claim
OPA tool 策略 Rego 拒绝特定 tool + 路径组合
MCP stdio 本地 Host + 两个 Server,验证 secret 不交叉
OTel span 一次 Agent 工具链的 trace 结构

无法实测的协议行为(如 CAEP 推送)— 不写进结论,只写「规范意图 + 待验证」。


八、系列联动

系列 联动
iam/ 02、06、07、10、13、19
zero-trust/ 06、07、13、18
llm-infra/ Agent 框架、MCP 工程篇
observability/ 09 审计与 OTel

九、边界承诺

承诺

  • 草案标准明确标注状态
  • Threat model 分「已发生案例」与「理论风险」
  • 每个协议机制配序列图
  • 与 IAM 系列风格一致:中文标点、相对 .html 链接

不承诺

  • Prompt injection 全文(仅 tool/metadata 注入的安全侧)
  • 具体 LLM 模型对齐
  • 替企业做法务合规认定

十、写作顺序

  1. 01 索引 — 定边界与引用锚点
  2. 02 Token Exchange — 全系列理论基础
  3. 06 MCP 架构 — 工程读者最多入口,可与 02 并行
  4. 04 Function Calling 授权
  5. 08 持续验证 → 09 审计
  6. 03、05、07、10 补齐

十一、待确认问题

  1. 系列目录:post/agent-identity/ vs post/iam/agent-identity/(子系列)?
  2. MCP spec 更新快 — 是否每篇标注 spec commit hash?
  3. 是否单独立法「Multi-Agent 互信」(A2A 协议)专篇?
  4. 中文监管语境(生成式 AI 暂行办法)是否专章 — 还是仅 B 级引用?

规划版本:v1,2026-06-18 下一步:确认目录与待确认问题 → 编写 index.md → 开始 02、06

同主题继续阅读

把当前热点继续串成多页阅读,而不是停在单篇消费。

2026-06-18 · architecture / security

【Agent 身份与安全】AI Agent 的身份、委托与审计

IAM 系列(人)与零信任系列(边界)的自然延伸:当 LLM Agent 代表用户调用 API、执行 SQL、读写邮件时,传统 OAuth 模型如何扩展?拆解 Token Exchange、MCP 安全模型、工具级授权、持续验证与审计归因。