GB/T 31501-2015信息安全技術(shù)鑒別與授權(quán)授權(quán)應(yīng)用程序判定接口規(guī)范

ICS35040

L80.

中華人民共和國國家標(biāo)準

GB/T31501—2015

信息安全技術(shù)鑒別與授權(quán)

授權(quán)應(yīng)用程序判定接口規(guī)范

Informationsecuritytechnology—Authenticationandauthorization—

Specificationforauthorizationapplicationprogrammingdecisioninterface

2015-05-15發(fā)布2016-01-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準化管理委員會

GB/T31501—2015

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………3

框架

5………………………3

訪問控制框架

5.1………………………3

訪問控制服務(wù)組件

5.2…………………4

訪問控制信息

5.3………………………5

授權(quán)使用模型

6API……………………10

系統(tǒng)結(jié)構(gòu)

6.1……………10

支持的函數(shù)

6.2…………………………10

狀態(tài)機

6.3………………11

信任模型

6.4……………13

功能和可移植性要求

7……………………15

功能要求

7.1……………15

移植性要求

7.2…………………………15

常量和變量定義

8…………………………16

字符串與類字符串?dāng)?shù)據(jù)

8.1……………16

狀態(tài)值

8.2………………17

常量

8.3…………………18

授權(quán)和機制

8.4ID……………………20

附錄資料性附錄函數(shù)說明

A()…………22

參考文獻

……………………51

GB/T31501—2015

前言

本標(biāo)準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準由全國信息安全標(biāo)準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準起草單位中國科學(xué)院軟件研究所北京數(shù)字證書鑒別中心有限公司中科正陽信息安全技

:、、

術(shù)有限公司

。

本標(biāo)準主要起草人馮登國張立武李曉峰王雅哲高志剛徐震段美姣汪丹黃亮翟征德

:、、、、、、、、、、

詹榜華

。

Ⅰ

GB/T31501—2015

引言

訪問控制作為一種基本的安全措施在實際系統(tǒng)中得到廣泛的應(yīng)用隨著訪問控制技術(shù)的日趨復(fù)雜

,,

訪問控制已成為一類安全基礎(chǔ)服務(wù)而廣泛的應(yīng)用集成需求需要訪問控制安全服務(wù)能夠給應(yīng)用程序提

,

供一個統(tǒng)一的編程接口使得應(yīng)用程序能夠在不同的訪問控制服務(wù)之間具有可移植性而目前缺少這類

,,

國家標(biāo)準為了解決這個問題本標(biāo)準參考了的技術(shù)標(biāo)準參考文獻等相關(guān)標(biāo)準和規(guī)

。,OpenGroup([1])

范在保證適應(yīng)多種應(yīng)用場景的情況下定義了授權(quán)應(yīng)用程序判定接口規(guī)范

,,。

本標(biāo)準定義的授權(quán)應(yīng)用程序判定接口規(guī)范可用于符合訪問控制框架的系統(tǒng)中盡

GB/T18794.3,

管本標(biāo)準提供了允許主體控制哪些特權(quán)屬性可以被用于訪問控制授權(quán)請求判定中通常被稱為最小特

(

權(quán)但并不提供特權(quán)屬性管理

),。

本標(biāo)準的設(shè)計目標(biāo)如下

:

定義一個簡單靈活的安全組件提供者和需要安全保護的應(yīng)用程序開發(fā)者可以通過調(diào)用

a)、API,

此來實現(xiàn)授權(quán)功能

API;

訪問判定時可以應(yīng)用透明地進行策略規(guī)則的評估

b);

獨立于應(yīng)用的策略集中管理

c);

透明地提供廣泛的策略規(guī)則詞法和語義如訪問控制列表能力標(biāo)簽邏輯謂詞等

d)(、、、);

將鑒別和授權(quán)分離

e);

允許從鑒別數(shù)據(jù)中推導(dǎo)出授權(quán)屬性

f);

透明地支持任意合理的授權(quán)屬性類型如訪問標(biāo)識組角色等

g)(、、);

易于在多層次結(jié)構(gòu)的應(yīng)用系統(tǒng)中提供授權(quán)服務(wù)

h);

在多層應(yīng)用配置中允許使用外部授權(quán)屬性

i);

應(yīng)用程序可以訪問應(yīng)用于其資源的訪問控制策略

j);

的實現(xiàn)支持多種訪問控制機制

k)API;

單一程序可以同時使用多個鑒別和授權(quán)服務(wù)

l);

支持應(yīng)用程序訪問與授權(quán)服務(wù)操作相關(guān)的審計數(shù)據(jù)

m)。

本標(biāo)準不涉及以下內(nèi)容

:

授權(quán)策略管理

a);

描述證書委托服務(wù)或語義

b);

描述一個審計服務(wù)

c)API;

描述授權(quán)服務(wù)如何以及何時生成審計事件

d);

在異構(gòu)環(huán)境下定義用來交換證書信息的格式

e),PAC;

支持每一種可能的授權(quán)策略規(guī)則詞法和語義

f)。

Ⅱ

GB/T31501—2015

信息安全技術(shù)鑒別與授權(quán)

授權(quán)應(yīng)用程序判定接口規(guī)范

1范圍

本標(biāo)準定義了訪問控制服務(wù)為授權(quán)應(yīng)用提供的授權(quán)判定編程應(yīng)用接口并定義了與判定接口相關(guān)

,

的數(shù)據(jù)結(jié)構(gòu)和語言形式的接口

C。

本標(biāo)準適用于訪問控制服務(wù)中授權(quán)判定接口的設(shè)計和實現(xiàn)訪問控制服務(wù)的測試和產(chǎn)品采購亦可

,

參照使用

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第部分訪問控制框架

GB/T18794.3—20033:

信息安全技術(shù)術(shù)語

GB/T25069—2010

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2010。

31

.

訪問控制信息accesscontrolinformation

用于訪問控制目的的任何信息其中包括上下文信息

,。

定義

[GB/T18794.3—2003,3.4.5]

32

.

訪問控制判定功能accesscontroldecisionfunction

一種特定功能它通過對訪問請求發(fā)起者的目標(biāo)的訪問請求的或