《信息技术 安全技术 认证中间件框架与接口规范》编制说明

《认证中间件框架与接口规范》

编制说明

中国科学院软件研究所

中国科学院数据与通信保护研究教育中心

北京数字证书认证中心有限公司。

二○一三年二月

《认证中间件框架与接口规范》编制说明中国科学院软件研究所

《认证中间件框架与接口规范》编制说明中国科学院软件研究所

1编制背景

1.1任务来源

2010年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会

讨论通过，研究制定《认证中间件框架与接口规范》国家标准，国标计划号：20100379－T-469。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由中

国科学院软件研究所负责主编。

2编制意义和目的

身份鉴别是保障系统安全的最基本功能之一，是绝大多数信息系统的首要安全需求。然

而长期以来，安全功能与具体业务的紧密结合使得应用系统开发人员往往在考虑业务功能的

同时还需要考虑安全功能的实现。因为不是所有的开发人员都具备全面的安全知识，这样做

不仅费时费力，还不能保证安全功能的完整实施。因此，将安全功能，特别是身份鉴别功能

与业务功能剥离，以中间件的方式为应用系统提供专门的安全保护，是安全领域的发展趋势。

此外，由于各个系统在建设过程中缺乏规范的鉴别接口和参考模型，不同系统之间互不

兼容，无法互通互联，造成大量重复开发建设，浪费严重。同时更给进一步的系统集成工作

带来困难。

因此，我国迫切需要制定认证中间件的框架及接口规范，对信息系统的鉴别过程进行标

准化。从而提升信息系统的互操作能力，促进认证中间件的研发和推广，从宏观角度看来也

将有助于推进我国信息安全保障体系建设。

本标准的目标即是提供一套认证中间件的框架规范及其组件描述与接口定义，对鉴别实

施过程予以规范。

3编制依据和原则

3.1编制原则

3.1.1先进性

良好的标准应对技术的发展起着推动作用，它要有一定的前瞻性。作为标准，不仅要适

合我国当前的信息安全技术的发展水平，而且要考虑到与国际接轨。因此，在标准的制定和

写作上，在对认证中间件框架与接口标准处理上，我们应吸收国际标准的先进模式，跟踪国

际信息安全的先进思想。这样使我们的标准能满足信息安全技术进一步发展的需要。

1

《认证中间件框架与接口规范》编制说明中国科学院软件研究所

3.1.2可操作性

充分考虑到认证中间件相关技术发展的实际情况，即：认证中间件系统研制与建设的状

况。对于认证中间件系统的构建和运行尽可能做到清晰、明确，技术人员容易理解，避免出

现由于对标准的解释不同，而指导产品实施的情况。同时，又保证为不同厂商进行扩展留有

余地。

标准定义严格，描述清楚，易于理解，易于实现。

4编制过程说明

2009年中国科学院软件研究所进行《认证中间件框架与接口规范》标准起草工作。结

合国内外已有的认证中间件系统架构基础上，参考国内外有关认证中间件框架与接口规范的

文献及标准，在2009年4月形成了《认证中间件框架与接口规范》国家标准草案，并申请

标准编制立项。

2010年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会

讨论通过，由中国科学院软件研究所作为项目召集单位，研究制定《认证中间件框架与接口

规范》国家标准，国标计划号：20100379－T-469。

在此期间，中国科学院数据与通信保护研究教育中心与北京数字证书认证中心有限公司

参与了该标准的编制工作。项目组结合认证中间件技术的研究工作和国内外在认证中间件与

认证服务相关标准方面的进展，对标准草案进行了进一步修改，明确了认证中间件与基于服

务架构的关系，以及认证中间件与网络信任体系其它组件间的关系。在此基础上，于2011

年4月形成了《认证中间件框架与接口规范》标准征求意见稿。

2011年8月，信安标委秘书处组织召开了专家评审会，会后项目组针对专家的意见进

行了修改，完成标准征求意见稿。

2011年12月16日信安标委秘书处组织召开了组内专家评审，项目组针对专家的意见

进行了修改与完善。

2013年1月6日，信安标委秘书处组织召开了专家评审会，根据专家意见，并参照各

部门意见及网络反馈意见，形成了标准送审稿。

2013年1月6日至2013年1月21日，安标委委员函审意见征集，2013年2月21日，

针对函审意见进行了修改与完善。

5相关信息技术介绍

5.1鉴别技术简介

目前，国内外对认证中间件的研究内容非常活跃，国际上近年来涌现出一大批相关的项

目，对认证中间件的理念进行了实现，在鉴别方面，比较有代表性和影响力的主要有集中鉴

别服务(CAS，CentralAuthenticationService）与Shibboleth项目。

CAS是耶鲁大学开发的认证中间件系统，目前应用广泛，该系统可实现独立于平台的

鉴别功能，可以为多个Web应用提供单点登录服务；它将用户身份鉴别集中于单一的Web

2

《认证中间件框架与接口规范》编制说明中国科学院软件研究所

应用，从而简化了用户的密码管理，提高安全性；而且当应用需要修改身份验证的业务逻辑

时，只需要修改CAS中的代码，简化了维护代价。CAS方案提出并实现了认证中间件系统

应具有的基本特性，但是只考虑了集中式的鉴别与身份管理，无法适应新型的网络环境需求。

Shibboleth项目是internet2组织开发的一个中间件产品，它是基于SAML标准的一个跨

域鉴别实现，其动机是在各个大学之间建立信任关系以及共享Web资源。Shibboleth实现了

比较完整的跨域的单点登录框架以及基于属性的授权框架，因此也应用于在网格中解决虚拟

组织之间的身份鉴别以及资源管理问题。Shibboleth项目是目前比较优秀的一个安全中间件

方案，但其架构较为复杂，部署和维护代价较高，同时难以根据应用需要进行裁剪来实现轻

量级的鉴别系统。此外，Shibboleth也考虑了一些访问控制方面的应用，例如可以属性发布

服务的提供，但对于用户属性的安全管理却没有作过多考虑。

在鉴别框架标准方面，ISO提出的开放系统下鉴别安全框架（ISO/IEC10181-2）是早期

比较有影响的一个，其重要之处是将具体的鉴别和访问控制判决功能和具体的实施点分开，

以后提出的多种框架都是在其基础上进行了扩展。目前该标准已被采纳为我国的国家标准

（GB/T18794.2—2002）。

近年来，与应用相剥离的通用鉴别授权技术在国际上得到广泛的重视，相继出现了Web

服务联盟语言(WS-Federation）、安全断言置标语言(SAML，securityassertionmarkup

language）、可扩展访问控制置标语言规范（XACML）和RFC2904（AAAAuthorization

Framework）等相关技术规范。

WS-Federation规范旨在将企业在不同身份验证和授权系统中共享用户和机器身份信息

的方式标准化。规范中描述了如何管理和代理异构联合的环境中的信任关系，包括支持联合

身份。它定义的机制和过程可将用户的信任信息从一个安全域映射到资源需要的鉴别和授权

信息中，或映射到来自于另一个安全域的服务提供者。

安全断言置标语言SAML是允许Web站点安全地共享身份信息的一种规范，它为鉴别

提供了一个有效安全互通的信息标准格式，异构应用间可以使用SAML的XML词汇表和请

求/应答模式通过HTTP交换身份信息。这种信息共享标准化能保证应用间跨平台互操作的

有效性与安全性，避免信息共享通道的建设重复性及异构化。

5.2本标准主要内容

《认证中间件框架与接口规范》旨在提供一套与应用系统无关的鉴别框架机制，帮助应

用系统与用户实体之间建立信任关系，为进一步判断用户是否可以访问资源提供先决条件；

从而提高安全功能模块的复用性，降低开发和维护成本，减少安全风险，并为系统间的互联

互通提供基础。本规范描述了认证中间件体系框架，明确了认证中间件与应用系统之间的关

系，阐述了其各组件功能及接口定义，细化了认证中间件的工作流程。其具体内容如下：

认证中间件体系框架

本标准描述认证中间件体系框架，明确认证中间件与应用系统之间的关系，其目的在于

提供一种安全的、与应用分离的鉴别系统实现规范。

认证中间件采用分布式架构，可以同时为多个应用系统服务。认证中间件由鉴别服务提

供方与鉴别服务适配点组件两部分共同组成。鉴别服务提供方的主要功能是通过一定的身份

鉴别机制，完成对用户身份的鉴别，并将鉴别结果以断言形式发布给各应用系统。鉴别服务

方并不限定具体的身份鉴别机制，只是提供统一的接口，具体与用户的鉴别交互过程由各鉴

别机制的实现自己完成。同时，作为附加功能，它还可以提供用户单点登录、隐私保护以及

属性查询功能。鉴别服务适配点作用于应用系统内，与鉴别服务提供方交互，辅助完成用户

身份鉴别过程。鉴别适配点组件作用于应用系统内部，应用系统对它的输出结果是完全信任

3

《认证中间件框架与接口规范》编制说明中国科学院软件研究所

的。

认证中间件的工作模式分为直接鉴别模式与代理鉴别模式两种。直接鉴别模式指的是鉴

别服务提供方直接与用户交互完成身份鉴别。其典型使用场景是基于Web的应用服务。代

理鉴别模式指的是鉴别服务提供方不直接与用户交互完成身份鉴别，而是通过作用于应用系

统中的鉴别适配点代理完成交互的通信过程。其典型使用场景是使用RADIUS或

DIAMETER协议的应用服务，或者应用系统直接与鉴别服务提供方集成在一起的情况。

组件功能及接口定义：认证中间件的组成包括认证中间件管理组件、身份鉴别组件、单

点登录组件、隐私保护组件、属性查询组件以及鉴别适配点组件等。其中，身份鉴别组件和

鉴别适配点组件是必需组件，单点登录组件、隐私保护组件以及属性查询组件是可选组件。

这些组件独立完成各自的功能，并通过认证中间件管理组件完成统一灵活的组装与调用，以

满足不同应用场景的需求。

本标准详细描述各组件功能以及各组件间的消息接口规范。其目标是使所有满足本标准

的组件可以作为一致性实现进行集成和互操作。

鉴别流程定义说明认证中间件在不同工作模式下，典型的工作流程，其中包括直接鉴别

模式下的身份鉴别流程、代理鉴别模式下的身份鉴别流程以及直接鉴别模式下的单点登录流

程，规范认证中间件的安全实施过程。

5.3术语说明

断言assertion

给依赖方的包含了用户身份信息的可信声明。断言也可以包含验证过的属性。断言可能

是经过数字签名的，或者是通过一个安全协议从可信源获取的。

属性attribute

属性是对象的性质及对象之间的关系的统称。

鉴别authentication

在用户身份间建立信任的过程。

鉴别密钥协商authenticatedkeyagreement

两方或者两方以上的实体通过交互建立起彼此间身份的信任关系，并形成一个共同的秘

密密钥，用于保护后续的通信安全。

认证中间件authenticationmiddleware

可提供消息鉴别、身份鉴别以及单点登录等功能的中间件系统。

鉴别协议authenticationprotocol

两方或者两方以上的实体为了实现对某一实体或某些实体的身份鉴别，经过协商后达成

的一致意见。

鉴别服务提供方authenticationserviceprovider

对用户身份进行鉴别的实体。

鉴别服务适配点authenticationserviceadapter

4

《认证中间件框架与接口规范》编制说明中国科学院软件研究所

对鉴别请求进行过滤，并维持用户鉴别状态的实体。

组件component

组件实现特定的功能，符合一套接口标准并对外提供一个或者多个接口，它是系统中可

替换的部分，可以包含或者使用其它的组件来构成更大粒度的组件。

上下文context

保证系统中不同的组件能够一致运行所需要保存的一些信息，比如用户的连接信息、鉴

别状态等。

实体entity

任何可以发送或接收信息的硬件或软件进程，许多情况下，实体就是一个特定的软件模

块。

身份identity

个体唯一确定的名字。尽管个人法律上的名字没必要唯一，但是个人身份必须包括足够

的附加信息（例如，地址，雇员或账户号码之类的唯一确定的标识）保证完整名字的唯一性。

密钥协商keyagreement

两方或者两方以上的实体通过交互来形成一个共同的秘密密钥，用于保护后续的通信安

全。

密钥类型keytype

密钥的类型，一般分为对称密钥和非对称密钥。

遗留系统legacysystem

遗留系统是指那些基本上不能进行修改和进化以满足新变化了的业务需求的信息系统，

通常是大型的软件系统，已经融入企业的业务运行和决策管理机制之中，维护工作困难。

中间件middleware

中间件是一种独立的系统软件，它处于操作系统软件与应用软件的中间，属于可复用软

件的范畴。

口令password

保存在用户记忆中的，用于鉴别他或者她的身份的秘密。一般是字符串。

隐私privacy

用户所拥有的不希望被所属范围域之外的实体获取的一些信息，比如用户真实姓名。

隐私保护privacyprotection

保护用户隐私的措施，比如使用用户假名。

依赖方relyingparty

5

《认证中间件框架与接口规范》编制说明中国科学院软件研究所

根据从另一方实体处获得的信息来决定如何进行动作的系统实体。例如，应用系统依赖

于认证中间件对用户进行身份鉴别。

单点登录singlesignon

在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

状态码statuscode

用于表示某一组件功能是否成功实现以及可能的错误原因的值。

6总体说明和解释

6.1标准的结构

本标准的框架如下：

1范围

2规范性引用文件

3术语和定义

4缩略语

5认证中间件目标