信息安全技術 鑒別與授權 授權應用程序判定接口規(guī)范-編制說明

PAGE《信息安全技術鑒別與授權授權應用程序判定接口規(guī)范》編制說明《授權應用程序判定接口規(guī)范》編制說明PAGE1編制背景項目背景2011年，第十一屆全國人民代表大會第四次會議審議通過的《中華人民共和國國民經(jīng)濟和社會發(fā)展第十二個五年規(guī)劃綱要》明確提出要“完善信息安全標準體系”，十二五”將在“十一五”的基礎上，一方面繼續(xù)加強信息安全保障體系建設急需的、關鍵的信息安全標準，另一方面將更加注重標準質(zhì)量，講求標準的實際應用效果。訪問控制作為一種基本的安全措施在實際系統(tǒng)中得到廣泛的應用，隨著訪問控制技術的日趨復雜，訪問控制已成為一類安全基礎服務。國際標準化組織(ISO)為解決開放系統(tǒng)的安全問題，在1996、1997兩年間擬定《信息技術開放系統(tǒng)互連開放系統(tǒng)安全框架》(ISO-10181)標準，包括內(nèi)含概述(ISO-10181-1,1996)、訪問控制框架(ISO-10181-3,1996)等七部份。我國也在2003年將其轉(zhuǎn)化為國家標準（GB/T18794）。該系列標準對我國開放系統(tǒng)授權（訪問控制）技術的標準化具有一定的推動作用。然而，該標準是一個抽象標準，雖然ISO/IEC10181-3（GB18794-3）提供了訪問控制的通用框架，將訪問控制實施功能和訪問控制決策功能部件分離，但主要用來指導高層次系統(tǒng)架構，而對訪問控制及其管理接口的規(guī)范無能為力，無法提升相關系統(tǒng)的互操作性。與此同時，我國的信息化建設迅速推進，大量訪問控制中間件或系統(tǒng)在建設過程中缺乏規(guī)范的授權接口和參考模型，實現(xiàn)異?；靵y，給互操作和進一步的信息化集成工作帶來隱患。規(guī)范接口是互操作的必要工作。所以，客觀上我國需要一個授權接口標準對信息系統(tǒng)的授權子系統(tǒng)的接口進行標準化。此舉一方面可以提升信息系統(tǒng)的互操作能力，另一方面將有助于授權中間件的研發(fā)和推廣。從宏觀角度看來也將有助于推進我國信息安全保障體系建設。任務來源《授權應用程序編程接口規(guī)范》是全國信息安全標準化委員會的系列標準之一，是WG4工作組制定的系列標準之一。根據(jù)國家信息安全標準化技術委員會WG4（標識﹑認證和授權）工作組安排的標準化制定任務，提出了《授權應用程序編程接口規(guī)范》的標準制定工作，2010年4月份委派信息安全國家重點實驗室作為《授權應用程序編程接口規(guī)范》標準的召集單位并進行制定此標準的工作。編制意義和目的訪問控制作為一種基本的安全措施在實際系統(tǒng)中得到廣泛的應用，隨著訪問控制技術的日趨復雜，訪問控制已成為一類安全基礎服務，而廣泛的應用集成需求需要訪問控制安全服務能夠給應用程序提供一個統(tǒng)一的編程接口，使得應用程序能夠在不同的訪問控制服務之間具有可移植性，而目前缺少這類國家標準。國際標準化組織(ISO)為解決開放系統(tǒng)的安全問題，在1996、1997兩年間擬定《信息技術開放系統(tǒng)互連開放系統(tǒng)安全框架》(ISO-10181)標準，包括內(nèi)含概述(ISO-10181-1,1996)、訪問控制框架(ISO-10181-3,1996)等七部份。我國也在2003年將其轉(zhuǎn)化為國家標準（GB/T18794）。該系列標準對我國開放系統(tǒng)授權（訪問控制）技術的標準化具有一定的推動作用。然而，該標準是一個抽象標準，主要用來指導高層次系統(tǒng)設計，而對訪問控制及其管理接口的規(guī)范無能為力，無法提升相關系統(tǒng)的互操作性。與此同時，我國的信息化建設迅速推進，大量系統(tǒng)在建設過程中缺乏規(guī)范的授權接口和參考模型，實現(xiàn)異?；靵y，給進一步的信息化集成工作帶來隱患。所以，客觀上我國需要一個授權接口標準對信息系統(tǒng)的授權子系統(tǒng)的接口進行標準化。此舉一方面可以提升信息系統(tǒng)的互操作能力。另一方面，將有助于授權中間件的研發(fā)和推廣。從宏觀角度看來將有助于推進我國信息安全保障體系建設。本項目的目標是從現(xiàn)有抽象訪問控制標準、授權接口和典型的訪問控制實現(xiàn)出發(fā)，導出全面的授權應用程序接口需求；定義一個簡單、靈活的API，安全組件提供者和安全敏感的應用程序開發(fā)者可以通過調(diào)用此API來實現(xiàn)授權功能，最終形成授權應用程序編程接口規(guī)范。授權API的定義過程會對授權過程中的互操作規(guī)范、內(nèi)在授權邏輯結構和外在的應用環(huán)境進行深入研究，并對具體的訪問控制服務組件、授權API使用模型、參數(shù)傳遞規(guī)則等制定了詳細的實施細則，保證了多種應用環(huán)境下授權過程的互操作性和兼容性，填補了該領域相關的標準空白，對我國授權體系標準化工作的后期開展具有指導作用。編制依據(jù)和原則編制依據(jù)《授權應用程序編程接口規(guī)范》標準在編制時參考了有影響力的國外標準和專業(yè)規(guī)范，同時結合了信息安全國家重點實驗室開發(fā)跨域認證授權系統(tǒng)的經(jīng)驗。本標準在國內(nèi)屬于較新領域。本標準參考的國際標準有：OpenGroupTechnicalStandardC908-2000Authorization(AZN)API編制原則先進性良好的標準應對技術的發(fā)展起著推動作用，它要有一定的前瞻性。作為標準，不僅要適合我國當前的信息安全技術的發(fā)展水平，而且要考慮到與國際接軌。因此，在標準的制定和寫作上，在對授權應用程序編程接口的規(guī)范處理上，我們吸收國際標準的先進模式，跟蹤國際信息安全的先進思想。這樣使我們的標準能滿足信息安全技術進一步發(fā)展的需要。兼容性《授權應用程序編程接口規(guī)范》在編制過程中，充分考慮了和已頒布國標、在研國標的兼容性和內(nèi)在關系。本標準基于GB/T-18794.3-2003提出的訪問控制框架，給出了具體的訪問控制機制，并基于C語言實現(xiàn)了相關功能函數(shù)的調(diào)用接口，并考慮了和《可擴展訪問控制標記語言標準》的區(qū)分，與現(xiàn)行的國家信息安全方面的相關標準、條例保持一致?？刹僮餍允跈鄳贸绦蚓幊探涌谝?guī)范(aznAPI)在國內(nèi)外眾多的產(chǎn)品和項目已進行了較大規(guī)模的應用，例如IBMTivoliAccessManager等。這些應用都為aznAPI標準的普及提供了良好的前期基礎。該標準對aznAPI內(nèi)部組件結構進行了清晰劃分，對組件間調(diào)用關系和過程給出詳細描述，并基于C語言實現(xiàn)了編程接口，盡可能讓技術人員容易理解和開發(fā)，應用系統(tǒng)可利用該標準快速實現(xiàn)安全授權模塊。編制過程中，避免出現(xiàn)對標準的理解歧義誤導產(chǎn)品實施的情況；同時，又保證為不同廠商進行擴展留有余地。編制過程說明2006年3月開始進行國家信息安全戰(zhàn)略研究與標準制定工作專項“授權應用程序接口技術及其標準化研究”，針對國內(nèi)外授權標準和相關產(chǎn)品以及授權應用程序接口需求進行了比較全面的調(diào)研，形成了《授權技術體系與應用編程接口規(guī)范研究報告》。2007年3月，定以信息安全國家重點實驗室作為召集單位，開始進行《授權應用程序編程接口規(guī)范》的預編制工作。2007年9月，調(diào)研國內(nèi)外授權應用程序接口相關的主要產(chǎn)品和技術標準，及其應用環(huán)境和應用需求，并完成審查工作。2007年12月至2008年12月，在調(diào)研工作的基礎上進行了該標準的預編制工作。2008年11月，信安標委組織專家對《授權應用程序接口技術及其標準化研究》專項進行了評審。2008年12月，形成預編制標準草案，在內(nèi)部征求意見并修改。2009年5月，信安標委組織專家對《授權應用程序編程接口規(guī)范》預編制課題進行了評審，對有關問題進行了質(zhì)詢，與會專家主要提出的問題有格式不規(guī)范、引言不合適、文字不準確等。會后標準編寫組根據(jù)意見進行了修改。2010年4月，以信息安全國家重點實驗室作為召集單位，開始進行《信息安全技術鑒別與授權授權應用程序編程接口規(guī)范》標準的制定工作。2010年5月至2011年11月，進行了該標準的正式編制工作，在預編制工作的基礎上進一步調(diào)研修改，形成標準草案。2011年12月6日，信安標委WG4工作組對該標準的研制工作進行階段性驗收，專家組對標準若干細節(jié)提出修改意見并委托國家信息安全工程技術研究中心的袁峰高工作為本標準的責任專家，負責后繼的修改進程。2012年4月16日，標準負責人根據(jù)前階段專家組的修改建議完成相關修改工作，在責任專家的組織下召開了組內(nèi)評審會議，同意該標準進入征求意見稿階段。2012年4月16日，組內(nèi)評審會議一致建議將該標準名稱改為“授權應用程序判定接口規(guī)范”。相關信息技術介紹授權應用程序編程接口簡介國外現(xiàn)有的應用程序授權接口主要產(chǎn)品包括：AznAPI、OSID授權接口、Tivoli訪問管理器、Permis中的應用程序接口、SunJava系統(tǒng)訪問管理器和Microsoft授權API。AznAPI是OpenGroup指定的一個規(guī)范，是ISO7498-2中訪問控制架構的實現(xiàn)。AznAPI作為授權應用編程接口其能夠適應不同的應用場合，具有足夠的抽象能力，在保證封裝能力的基礎上，同時為AEF擴張新的功能提供了可能。OSID中的授權接口規(guī)范定義中，其主要關注的是授權信息的管理問題，如授權的管理，功能的管理和客體的管理，以及一些相關的查詢函數(shù)。Tivoli按照AznAPI規(guī)范設計了授權應用接口，在遵守AznAPI的基礎上，對編程接口進行了擴展；Permis中除了授權編程接口外，屬性證書的管理是其考慮的另外一個主要問題；SunJavaAccessManager中授權API中的訪問控制判定是依策略進行的，在判定時，指定策略服務和策略后，就可以調(diào)用接口進行訪問控制判定，而判定信息的收集是由具體實現(xiàn)進行的；在Microsoft產(chǎn)品架構中，將基于ACL的訪問控制和基于角色的訪問控制分為兩部分來進行，或者說分為兩個層次，ACL是與資源管理器相關的，而基于角色的訪問控制和應用服務相關，Microsoft分別提供這兩個層次的授權應用接口。授權應用接口的調(diào)用者只需要進行適當?shù)某跏蓟?，授權接口的實現(xiàn)會根據(jù)系統(tǒng)（或ActiveDirectory）中的信息進行授權判定。國內(nèi)目前缺少這類規(guī)范，大量訪問控制中間件在建設過程中缺乏規(guī)范的授權接口和參考模型，實現(xiàn)異?；靵y，給互操作和進一步的信息化集成工作帶來隱患。參照國際上現(xiàn)有的多個產(chǎn)品提供的授權應用程序編程接口，可以通過AznAPI為多個獨立的應用程序提供標準的授權決策機制，其優(yōu)點包括：縮減開發(fā)和管理訪問應用程序的成本縮減所有權的總成本并減少對獨立授權系統(tǒng)的管理利用現(xiàn)有的安全性基礎結構允許新商家更安全地開放啟用各種更新的應用程序允許開發(fā)周期更短安全地共享信息授權應用程序編程接口規(guī)范的主要內(nèi)容規(guī)范的主要研究內(nèi)容和任務主要包括以下部分：規(guī)范的概述和目標給出該規(guī)范的適用范圍和設計需要達到的目標?？傮w架構描述授權API使用的訪問控制框架，定義訪問控制過程中的組件角色，明確規(guī)定訪問控制信息。授權API使用模型給出授權API的系統(tǒng)結構圖以及授權API中提供的函數(shù)族，簡單描述每一個族的功能；概括調(diào)用授權API應用的狀態(tài)機，指明可以引起狀態(tài)轉(zhuǎn)移的授權API函數(shù)調(diào)用和其它操作；表述授權API系統(tǒng)組件之間的信任關系并對信任模型進行約束定義。功能和可移植性要求描述授權API實現(xiàn)所要支持的所有功能，限制在授權API中強制實現(xiàn)的功能函數(shù)；針對API的可移植性給出相應說明。參數(shù)傳遞規(guī)則描述在授權API函數(shù)中使用的數(shù)據(jù)類型和常量，解釋函數(shù)調(diào)用規(guī)則；對函數(shù)實現(xiàn)涉及的多種技術細節(jié)以及參數(shù)傳遞規(guī)則進行說明。函數(shù)規(guī)范概述基于C語言給出詳盡的授權API函數(shù)定義。術語說明訪問控制Accesscontrol阻止非授權地使用資源，包括以一種非授權的方式使用資源。屬性列表Attributelist應用程序和aznAPI實現(xiàn)交互屬性－屬性值對的數(shù)據(jù)結構。認證Authentication驗證一個聲稱者或者系統(tǒng)實體身份的過程。權威Authority一個計算機實體，其實現(xiàn)一個安全服務。授權Authorization授予主體訪問權限。能力Capability是一個標記，表明擁有者具有訪問系統(tǒng)資源的權限，擁有此標記，訪問控制機制會認為擁有者已被授權訪問標記中指明的資源。憑證句柄Credentialhandle指向憑證鏈的句柄。憑證鏈Credentialschain由aznAPI實現(xiàn)維護的結構，包含發(fā)起者特權屬性的內(nèi)部表示。合成憑證鏈Combinedcredschain有序列表的憑證鏈，其中的每個元素表示一個主體的特權屬性，其通過訪問請求來傳遞，列表中的第一個元素是訪問請求發(fā)起者的憑證鏈，列表中的其他元素是以系列中介的憑證鏈，這些中介傳遞發(fā)起者的訪問請求。判決或判定DecisionADF對判定請求的響應。判定請求或判決請求DecisionrequestAEF發(fā)送給ADF的信息，此信息詢問ADF“允許還是拒絕一個特定的訪問請求”。資格Entitlement包含ADI和訪問控制策略規(guī)則信息的數(shù)據(jù)結構，應用程序可以使用此信息來決定其行為或者在其代碼中進行訪問控制判定。標識Identity傳遞到aznAPI的發(fā)起者ACI，本規(guī)范使用這個術語來描述所有發(fā)起者的信息，包括名稱、身份證書和能力。本規(guī)范中其由特定含義，不要與其它系統(tǒng)中的標識術語相混淆。標簽Label與受保護資源綁定的標記，其標明了此資源的安全相關屬性。操作Operation發(fā)起者的訪問請求中要求在受保護資源上執(zhí)行的操作。特權屬性證書PrivilegeAttributeCertificate(PAC)保護特權屬性的數(shù)據(jù)結構，產(chǎn)生此屬性的權威可能對其進行簽名。特權屬性Privilegeattribute與發(fā)起者相關的屬性，當與受保護資源的控制屬性匹配時，用來允許或拒絕訪問此受保護資源。受保護資源Protectedresource訪問受訪問策略限制的目標?？傮w說明和解釋標準的結構本標準的框架如下：1范圍 （準則適用范圍）2規(guī)范性引用文件 （引用的國家和國際標準）3術語和定義 （指出了本標準的關鍵術語）4縮略語 （說明和定義了本標準適用的縮略語）5概述 （說明授權涵蓋的內(nèi)容以及本標準適用的部分）6目標 （詳細說明了本標準的設計目標及不涉及的內(nèi)容）7總體架構 （描述了訪問控制總體框架）8授權API使用模型 （詳細說明了授權API的系統(tǒng)結構、提供的函數(shù)族、狀態(tài)機，以及信任模型）9功能和可移植性要求 （詳細說明授權API實現(xiàn)所要支持的所有功能和可移植性要求）10參數(shù)傳遞規(guī)則 （說明在授權API函數(shù)中使用的數(shù)據(jù)類型和常量，及函數(shù)調(diào)用規(guī)則）附錄A函數(shù)調(diào)用定義 （定義了授權API函數(shù)及相應的C語言定義）附錄B頭