信息安全技術(shù) 鑒別與授權(quán) 授權(quán)應(yīng)用程序判定接口規(guī)范-編制說明

PAGE《信息安全技術(shù)鑒別與授權(quán)授權(quán)應(yīng)用程序判定接口規(guī)范》編制說明《授權(quán)應(yīng)用程序判定接口規(guī)范》編制說明PAGE1編制背景項目背景2011年，第十一屆全國人民代表大會第四次會議審議通過的《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十二個五年規(guī)劃綱要》明確提出要“完善信息安全標(biāo)準(zhǔn)體系”，十二五”將在“十一五”的基礎(chǔ)上，一方面繼續(xù)加強(qiáng)信息安全保障體系建設(shè)急需的、關(guān)鍵的信息安全標(biāo)準(zhǔn)，另一方面將更加注重標(biāo)準(zhǔn)質(zhì)量，講求標(biāo)準(zhǔn)的實際應(yīng)用效果。訪問控制作為一種基本的安全措施在實際系統(tǒng)中得到廣泛的應(yīng)用，隨著訪問控制技術(shù)的日趨復(fù)雜，訪問控制已成為一類安全基礎(chǔ)服務(wù)。國際標(biāo)準(zhǔn)化組織(ISO)為解決開放系統(tǒng)的安全問題，在1996、1997兩年間擬定《信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架》(ISO-10181)標(biāo)準(zhǔn)，包括內(nèi)含概述(ISO-10181-1,1996)、訪問控制框架(ISO-10181-3,1996)等七部份。我國也在2003年將其轉(zhuǎn)化為國家標(biāo)準(zhǔn)（GB/T18794）。該系列標(biāo)準(zhǔn)對我國開放系統(tǒng)授權(quán)（訪問控制）技術(shù)的標(biāo)準(zhǔn)化具有一定的推動作用。然而，該標(biāo)準(zhǔn)是一個抽象標(biāo)準(zhǔn)，雖然ISO/IEC10181-3（GB18794-3）提供了訪問控制的通用框架，將訪問控制實施功能和訪問控制決策功能部件分離，但主要用來指導(dǎo)高層次系統(tǒng)架構(gòu)，而對訪問控制及其管理接口的規(guī)范無能為力，無法提升相關(guān)系統(tǒng)的互操作性。與此同時，我國的信息化建設(shè)迅速推進(jìn)，大量訪問控制中間件或系統(tǒng)在建設(shè)過程中缺乏規(guī)范的授權(quán)接口和參考模型，實現(xiàn)異?；靵y，給互操作和進(jìn)一步的信息化集成工作帶來隱患。規(guī)范接口是互操作的必要工作。所以，客觀上我國需要一個授權(quán)接口標(biāo)準(zhǔn)對信息系統(tǒng)的授權(quán)子系統(tǒng)的接口進(jìn)行標(biāo)準(zhǔn)化。此舉一方面可以提升信息系統(tǒng)的互操作能力，另一方面將有助于授權(quán)中間件的研發(fā)和推廣。從宏觀角度看來也將有助于推進(jìn)我國信息安全保障體系建設(shè)。任務(wù)來源《授權(quán)應(yīng)用程序編程接口規(guī)范》是全國信息安全標(biāo)準(zhǔn)化委員會的系列標(biāo)準(zhǔn)之一，是WG4工作組制定的系列標(biāo)準(zhǔn)之一。根據(jù)國家信息安全標(biāo)準(zhǔn)化技術(shù)委員會WG4（標(biāo)識﹑認(rèn)證和授權(quán)）工作組安排的標(biāo)準(zhǔn)化制定任務(wù)，提出了《授權(quán)應(yīng)用程序編程接口規(guī)范》的標(biāo)準(zhǔn)制定工作，2010年4月份委派信息安全國家重點(diǎn)實驗室作為《授權(quán)應(yīng)用程序編程接口規(guī)范》標(biāo)準(zhǔn)的召集單位并進(jìn)行制定此標(biāo)準(zhǔn)的工作。編制意義和目的訪問控制作為一種基本的安全措施在實際系統(tǒng)中得到廣泛的應(yīng)用，隨著訪問控制技術(shù)的日趨復(fù)雜，訪問控制已成為一類安全基礎(chǔ)服務(wù)，而廣泛的應(yīng)用集成需求需要訪問控制安全服務(wù)能夠給應(yīng)用程序提供一個統(tǒng)一的編程接口，使得應(yīng)用程序能夠在不同的訪問控制服務(wù)之間具有可移植性，而目前缺少這類國家標(biāo)準(zhǔn)。國際標(biāo)準(zhǔn)化組織(ISO)為解決開放系統(tǒng)的安全問題，在1996、1997兩年間擬定《信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架》(ISO-10181)標(biāo)準(zhǔn)，包括內(nèi)含概述(ISO-10181-1,1996)、訪問控制框架(ISO-10181-3,1996)等七部份。我國也在2003年將其轉(zhuǎn)化為國家標(biāo)準(zhǔn)（GB/T18794）。該系列標(biāo)準(zhǔn)對我國開放系統(tǒng)授權(quán)（訪問控制）技術(shù)的標(biāo)準(zhǔn)化具有一定的推動作用。然而，該標(biāo)準(zhǔn)是一個抽象標(biāo)準(zhǔn)，主要用來指導(dǎo)高層次系統(tǒng)設(shè)計，而對訪問控制及其管理接口的規(guī)范無能為力，無法提升相關(guān)系統(tǒng)的互操作性。與此同時，我國的信息化建設(shè)迅速推進(jìn)，大量系統(tǒng)在建設(shè)過程中缺乏規(guī)范的授權(quán)接口和參考模型，實現(xiàn)異?；靵y，給進(jìn)一步的信息化集成工作帶來隱患。所以，客觀上我國需要一個授權(quán)接口標(biāo)準(zhǔn)對信息系統(tǒng)的授權(quán)子系統(tǒng)的接口進(jìn)行標(biāo)準(zhǔn)化。此舉一方面可以提升信息系統(tǒng)的互操作能力。另一方面，將有助于授權(quán)中間件的研發(fā)和推廣。從宏觀角度看來將有助于推進(jìn)我國信息安全保障體系建設(shè)。本項目的目標(biāo)是從現(xiàn)有抽象訪問控制標(biāo)準(zhǔn)、授權(quán)接口和典型的訪問控制實現(xiàn)出發(fā)，導(dǎo)出全面的授權(quán)應(yīng)用程序接口需求；定義一個簡單、靈活的API，安全組件提供者和安全敏感的應(yīng)用程序開發(fā)者可以通過調(diào)用此API來實現(xiàn)授權(quán)功能，最終形成授權(quán)應(yīng)用程序編程接口規(guī)范。授權(quán)API的定義過程會對授權(quán)過程中的互操作規(guī)范、內(nèi)在授權(quán)邏輯結(jié)構(gòu)和外在的應(yīng)用環(huán)境進(jìn)行深入研究，并對具體的訪問控制服務(wù)組件、授權(quán)API使用模型、參數(shù)傳遞規(guī)則等制定了詳細(xì)的實施細(xì)則，保證了多種應(yīng)用環(huán)境下授權(quán)過程的互操作性和兼容性，填補(bǔ)了該領(lǐng)域相關(guān)的標(biāo)準(zhǔn)空白，對我國授權(quán)體系標(biāo)準(zhǔn)化工作的后期開展具有指導(dǎo)作用。編制依據(jù)和原則編制依據(jù)《授權(quán)應(yīng)用程序編程接口規(guī)范》標(biāo)準(zhǔn)在編制時參考了有影響力的國外標(biāo)準(zhǔn)和專業(yè)規(guī)范，同時結(jié)合了信息安全國家重點(diǎn)實驗室開發(fā)跨域認(rèn)證授權(quán)系統(tǒng)的經(jīng)驗。本標(biāo)準(zhǔn)在國內(nèi)屬于較新領(lǐng)域。本標(biāo)準(zhǔn)參考的國際標(biāo)準(zhǔn)有：OpenGroupTechnicalStandardC908-2000Authorization(AZN)API編制原則先進(jìn)性良好的標(biāo)準(zhǔn)應(yīng)對技術(shù)的發(fā)展起著推動作用，它要有一定的前瞻性。作為標(biāo)準(zhǔn)，不僅要適合我國當(dāng)前的信息安全技術(shù)的發(fā)展水平，而且要考慮到與國際接軌。因此，在標(biāo)準(zhǔn)的制定和寫作上，在對授權(quán)應(yīng)用程序編程接口的規(guī)范處理上，我們吸收國際標(biāo)準(zhǔn)的先進(jìn)模式，跟蹤國際信息安全的先進(jìn)思想。這樣使我們的標(biāo)準(zhǔn)能滿足信息安全技術(shù)進(jìn)一步發(fā)展的需要。兼容性《授權(quán)應(yīng)用程序編程接口規(guī)范》在編制過程中，充分考慮了和已頒布國標(biāo)、在研國標(biāo)的兼容性和內(nèi)在關(guān)系。本標(biāo)準(zhǔn)基于GB/T-18794.3-2003提出的訪問控制框架，給出了具體的訪問控制機(jī)制，并基于C語言實現(xiàn)了相關(guān)功能函數(shù)的調(diào)用接口，并考慮了和《可擴(kuò)展訪問控制標(biāo)記語言標(biāo)準(zhǔn)》的區(qū)分，與現(xiàn)行的國家信息安全方面的相關(guān)標(biāo)準(zhǔn)、條例保持一致?？刹僮餍允跈?quán)應(yīng)用程序編程接口規(guī)范(aznAPI)在國內(nèi)外眾多的產(chǎn)品和項目已進(jìn)行了較大規(guī)模的應(yīng)用，例如IBMTivoliAccessManager等。這些應(yīng)用都為aznAPI標(biāo)準(zhǔn)的普及提供了良好的前期基礎(chǔ)。該標(biāo)準(zhǔn)對aznAPI內(nèi)部組件結(jié)構(gòu)進(jìn)行了清晰劃分，對組件間調(diào)用關(guān)系和過程給出詳細(xì)描述，并基于C語言實現(xiàn)了編程接口，盡可能讓技術(shù)人員容易理解和開發(fā)，應(yīng)用系統(tǒng)可利用該標(biāo)準(zhǔn)快速實現(xiàn)安全授權(quán)模塊。編制過程中，避免出現(xiàn)對標(biāo)準(zhǔn)的理解歧義誤導(dǎo)產(chǎn)品實施的情況；同時，又保證為不同廠商進(jìn)行擴(kuò)展留有余地。編制過程說明2006年3月開始進(jìn)行國家信息安全戰(zhàn)略研究與標(biāo)準(zhǔn)制定工作專項“授權(quán)應(yīng)用程序接口技術(shù)及其標(biāo)準(zhǔn)化研究”，針對國內(nèi)外授權(quán)標(biāo)準(zhǔn)和相關(guān)產(chǎn)品以及授權(quán)應(yīng)用程序接口需求進(jìn)行了比較全面的調(diào)研，形成了《授權(quán)技術(shù)體系與應(yīng)用編程接口規(guī)范研究報告》。2007年3月，定以信息安全國家重點(diǎn)實驗室作為召集單位，開始進(jìn)行《授權(quán)應(yīng)用程序編程接口規(guī)范》的預(yù)編制工作。2007年9月，調(diào)研國內(nèi)外授權(quán)應(yīng)用程序接口相關(guān)的主要產(chǎn)品和技術(shù)標(biāo)準(zhǔn)，及其應(yīng)用環(huán)境和應(yīng)用需求，并完成審查工作。2007年12月至2008年12月，在調(diào)研工作的基礎(chǔ)上進(jìn)行了該標(biāo)準(zhǔn)的預(yù)編制工作。2008年11月，信安標(biāo)委組織專家對《授權(quán)應(yīng)用程序接口技術(shù)及其標(biāo)準(zhǔn)化研究》專項進(jìn)行了評審。2008年12月，形成預(yù)編制標(biāo)準(zhǔn)草案，在內(nèi)部征求意見并修改。2009年5月，信安標(biāo)委組織專家對《授權(quán)應(yīng)用程序編程接口規(guī)范》預(yù)編制課題進(jìn)行了評審，對有關(guān)問題進(jìn)行了質(zhì)詢，與會專家主要提出的問題有格式不規(guī)范、引言不合適、文字不準(zhǔn)確等。會后標(biāo)準(zhǔn)編寫組根據(jù)意見進(jìn)行了修改。2010年4月，以信息安全國家重點(diǎn)實驗室作為召集單位，開始進(jìn)行《信息安全技術(shù)鑒別與授權(quán)授權(quán)應(yīng)用程序編程接口規(guī)范》標(biāo)準(zhǔn)的制定工作。2010年5月至2011年11月，進(jìn)行了該標(biāo)準(zhǔn)的正式編制工作，在預(yù)編制工作的基礎(chǔ)上進(jìn)一步調(diào)研修改，形成標(biāo)準(zhǔn)草案。2011年12月6日，信安標(biāo)委WG4工作組對該標(biāo)準(zhǔn)的研制工作進(jìn)行階段性驗收，專家組對標(biāo)準(zhǔn)若干細(xì)節(jié)提出修改意見并委托國家信息安全工程技術(shù)研究中心的袁峰高工作為本標(biāo)準(zhǔn)的責(zé)任專家，負(fù)責(zé)后繼的修改進(jìn)程。2012年4月16日，標(biāo)準(zhǔn)負(fù)責(zé)人根據(jù)前階段專家組的修改建議完成相關(guān)修改工作，在責(zé)任專家的組織下召開了組內(nèi)評審會議，同意該標(biāo)準(zhǔn)進(jìn)入征求意見稿階段。2012年4月16日，組內(nèi)評審會議一致建議將該標(biāo)準(zhǔn)名稱改為“授權(quán)應(yīng)用程序判定接口規(guī)范”。相關(guān)信息技術(shù)介紹授權(quán)應(yīng)用程序編程接口簡介國外現(xiàn)有的應(yīng)用程序授權(quán)接口主要產(chǎn)品包括：AznAPI、OSID授權(quán)接口、Tivoli訪問管理器、Permis中的應(yīng)用程序接口、SunJava系統(tǒng)訪問管理器和Microsoft授權(quán)API。AznAPI是OpenGroup指定的一個規(guī)范，是ISO7498-2中訪問控制架構(gòu)的實現(xiàn)。AznAPI作為授權(quán)應(yīng)用編程接口其能夠適應(yīng)不同的應(yīng)用場合，具有足夠的抽象能力，在保證封裝能力的基礎(chǔ)上，同時為AEF擴(kuò)張新的功能提供了可能。OSID中的授權(quán)接口規(guī)范定義中，其主要關(guān)注的是授權(quán)信息的管理問題，如授權(quán)的管理，功能的管理和客體的管理，以及一些相關(guān)的查詢函數(shù)。Tivoli按照AznAPI規(guī)范設(shè)計了授權(quán)應(yīng)用接口，在遵守AznAPI的基礎(chǔ)上，對編程接口進(jìn)行了擴(kuò)展；Permis中除了授權(quán)編程接口外，屬性證書的管理是其考慮的另外一個主要問題；SunJavaAccessManager中授權(quán)API中的訪問控制判定是依策略進(jìn)行的，在判定時，指定策略服務(wù)和策略后，就可以調(diào)用接口進(jìn)行訪問控制判定，而判定信息的收集是由具體實現(xiàn)進(jìn)行的；在Microsoft產(chǎn)品架構(gòu)中，將基于ACL的訪問控制和基于角色的訪問控制分為兩部分來進(jìn)行，或者說分為兩個層次，ACL是與資源管理器相關(guān)的，而基于角色的訪問控制和應(yīng)用服務(wù)相關(guān)，Microsoft分別提供這兩個層次的授權(quán)應(yīng)用接口。授權(quán)應(yīng)用接口的調(diào)用者只需要進(jìn)行適當(dāng)?shù)某跏蓟跈?quán)接口的實現(xiàn)會根據(jù)系統(tǒng)（或ActiveDirectory）中的信息進(jìn)行授權(quán)判定。國內(nèi)目前缺少這類規(guī)范，大量訪問控制中間件在建設(shè)過程中缺乏規(guī)范的授權(quán)接口和參考模型，實現(xiàn)異?；靵y，給互操作和進(jìn)一步的信息化集成工作帶來隱患。參照國際上現(xiàn)有的多個產(chǎn)品提供的授權(quán)應(yīng)用程序編程接口，可以通過AznAPI為多個獨(dú)立的應(yīng)用程序提供標(biāo)準(zhǔn)的授權(quán)決策機(jī)制，其優(yōu)點(diǎn)包括：縮減開發(fā)和管理訪問應(yīng)用程序的成本縮減所有權(quán)的總成本并減少對獨(dú)立授權(quán)系統(tǒng)的管理利用現(xiàn)有的安全性基礎(chǔ)結(jié)構(gòu)允許新商家更安全地開放啟用各種更新的應(yīng)用程序允許開發(fā)周期更短安全地共享信息授權(quán)應(yīng)用程序編程接口規(guī)范的主要內(nèi)容規(guī)范的主要研究內(nèi)容和任務(wù)主要包括以下部分：規(guī)范的概述和目標(biāo)給出該規(guī)范的適用范圍和設(shè)計需要達(dá)到的目標(biāo)?？傮w架構(gòu)描述授權(quán)API使用的訪問控制框架，定義訪問控制過程中的組件角色，明確規(guī)定訪問控制信息。授權(quán)API使用模型給出授權(quán)API的系統(tǒng)結(jié)構(gòu)圖以及授權(quán)API中提供的函數(shù)族，簡單描述每一個族的功能；概括調(diào)用授權(quán)API應(yīng)用的狀態(tài)機(jī)，指明可以引起狀態(tài)轉(zhuǎn)移的授權(quán)API函數(shù)調(diào)用和其它操作；表述授權(quán)API系統(tǒng)組件之間的信任關(guān)系并對信任模型進(jìn)行約束定義。功能和可移植性要求描述授權(quán)API實現(xiàn)所要支持的所有功能，限制在授權(quán)API中強(qiáng)制實現(xiàn)的功能函數(shù)；針對API的可移植性給出相應(yīng)說明。參數(shù)傳遞規(guī)則描述在授權(quán)API函數(shù)中使用的數(shù)據(jù)類型和常量，解釋函數(shù)調(diào)用規(guī)則；對函數(shù)實現(xiàn)涉及的多種技術(shù)細(xì)節(jié)以及參數(shù)傳遞規(guī)則進(jìn)行說明。函數(shù)規(guī)范概述基于C語言給出詳盡的授權(quán)API函數(shù)定義。術(shù)語說明訪問控制Accesscontrol阻止非授權(quán)地使用資源，包括以一種非授權(quán)的方式使用資源。屬性列表Attributelist應(yīng)用程序和aznAPI實現(xiàn)交互屬性－屬性值對的數(shù)據(jù)結(jié)構(gòu)。認(rèn)證Authentication驗證一個聲稱者或者系統(tǒng)實體身份的過程。權(quán)威Authority一個計算機(jī)實體，其實現(xiàn)一個安全服務(wù)。授權(quán)Authorization授予主體訪問權(quán)限。能力Capability是一個標(biāo)記，表明擁有者具有訪問系統(tǒng)資源的權(quán)限，擁有此標(biāo)記，訪問控制機(jī)制會認(rèn)為擁有者已被授權(quán)訪問標(biāo)記中指明的資源。憑證句柄Credentialhandle指向憑證鏈的句柄。憑證鏈Credentialschain由aznAPI實現(xiàn)維護(hù)的結(jié)構(gòu)，包含發(fā)起者特權(quán)屬性的內(nèi)部表示。合成憑證鏈Combinedcredschain有序列表的憑證鏈，其中的每個元素表示一個主體的特權(quán)屬性，其通過訪問請求來傳遞，列表中的第一個元素是訪問請求發(fā)起者的憑證鏈，列表中的其他元素是以系列中介的憑證鏈，這些中介傳遞發(fā)起者的訪問請求。判決或判定DecisionADF對判定請求的響應(yīng)。判定請求或判決請求DecisionrequestAEF發(fā)送給ADF的信息，此信息詢問ADF“允許還是拒絕一個特定的訪問請求”。資格Entitlement包含ADI和訪問控制策略規(guī)則信息的數(shù)據(jù)結(jié)構(gòu)，應(yīng)用程序可以使用此信息來決定其行為或者在其代碼中進(jìn)行訪問控制判定。標(biāo)識Identity傳遞到aznAPI的發(fā)起者ACI，本規(guī)范使用這個術(shù)語來描述所有發(fā)起者的信息，包括名稱、身份證書和能力。本規(guī)范中其由特定含義，不要與其它系統(tǒng)中的標(biāo)識術(shù)語相混淆。標(biāo)簽Label與受保護(hù)資源綁定的標(biāo)記，其標(biāo)明了此資源的安全相關(guān)屬性。操作Operation發(fā)起者的訪問請求中要求在受保護(hù)資源上執(zhí)行的操作。特權(quán)屬性證書PrivilegeAttributeCertificate(PAC)保護(hù)特權(quán)屬性的數(shù)據(jù)結(jié)構(gòu)，產(chǎn)生此屬性的權(quán)威可能對其進(jìn)行簽名。特權(quán)屬性Privilegeattribute與發(fā)起者相關(guān)的屬性，當(dāng)與受保護(hù)資源的控制屬性匹配時，用來允許或拒絕訪問此受保護(hù)資源。受保護(hù)資源Protectedresource訪問受訪問策略限制的目標(biāo)?？傮w說明和解釋標(biāo)準(zhǔn)的結(jié)構(gòu)本標(biāo)準(zhǔn)的框架如下：1范圍 （準(zhǔn)則適用范圍）2規(guī)范性引用文件 （引用的國家和國際標(biāo)準(zhǔn)）3術(shù)語和定義 （指出了本標(biāo)準(zhǔn)的關(guān)鍵術(shù)語）4縮略語 （說明和定義了本標(biāo)準(zhǔn)適用的縮略語）5概述 （說明授權(quán)涵蓋的內(nèi)容以及本標(biāo)準(zhǔn)適用的部分）6目標(biāo) （詳細(xì)說明了本標(biāo)準(zhǔn)的設(shè)計目標(biāo)及不涉及的內(nèi)容）7總體架構(gòu) （描述了訪問控制總體框架）8授權(quán)API使用模型 （詳細(xì)說明了授權(quán)API的系統(tǒng)結(jié)構(gòu)、提供的函數(shù)族、狀態(tài)機(jī)，以及信任模型）9功能和可移植性要求 （詳細(xì)說明授權(quán)API實現(xiàn)所要支持的所有功能和可移植性要求）10參數(shù)傳遞規(guī)則 （說明在授權(quán)API函數(shù)中使用的數(shù)據(jù)類型和常量，及函數(shù)調(diào)用規(guī)則）附錄A函數(shù)調(diào)用定義 （定義了授權(quán)API函數(shù)及相應(yīng)的C語言定義）附錄B頭