信息安全技术 鉴别与授权 授权应用程序判定接口规范-编制说明

PAGE《信息安全技术鉴别与授权授权应用程序判定接口规范》编制说明《授权应用程序判定接口规范》编制说明PAGE1编制背景项目背景2011年，第十一届全国人民代表大会第四次会议审议通过的《中华人民共和国国民经济和社会发展第十二个五年规划纲要》明确提出要“完善信息安全标准体系”，十二五”将在“十一五”的基础上，一方面继续加强信息安全保障体系建设急需的、关键的信息安全标准，另一方面将更加注重标准质量，讲求标准的实际应用效果。访问控制作为一种基本的安全措施在实际系统中得到广泛的应用，随着访问控制技术的日趋复杂，访问控制已成为一类安全基础服务。国际标准化组织(ISO)为解决开放系统的安全问题，在1996、1997两年间拟定《信息技术开放系统互连开放系统安全框架》(ISO-10181)标准，包括内含概述(ISO-10181-1,1996)、访问控制框架(ISO-10181-3,1996)等七部份。我国也在2003年将其转化为国家标准（GB/T18794）。该系列标准对我国开放系统授权（访问控制）技术的标准化具有一定的推动作用。然而，该标准是一个抽象标准，虽然ISO/IEC10181-3（GB18794-3）提供了访问控制的通用框架，将访问控制实施功能和访问控制决策功能部件分离，但主要用来指导高层次系统架构，而对访问控制及其管理接口的规范无能为力，无法提升相关系统的互操作性。与此同时，我国的信息化建设迅速推进，大量访问控制中间件或系统在建设过程中缺乏规范的授权接口和参考模型，实现异常混乱，给互操作和进一步的信息化集成工作带来隐患。规范接口是互操作的必要工作。所以，客观上我国需要一个授权接口标准对信息系统的授权子系统的接口进行标准化。此举一方面可以提升信息系统的互操作能力，另一方面将有助于授权中间件的研发和推广。从宏观角度看来也将有助于推进我国信息安全保障体系建设。任务来源《授权应用程序编程接口规范》是全国信息安全标准化委员会的系列标准之一，是WG4工作组制定的系列标准之一。根据国家信息安全标准化技术委员会WG4（标识﹑认证和授权）工作组安排的标准化制定任务，提出了《授权应用程序编程接口规范》的标准制定工作，2010年4月份委派信息安全国家重点实验室作为《授权应用程序编程接口规范》标准的召集单位并进行制定此标准的工作。编制意义和目的访问控制作为一种基本的安全措施在实际系统中得到广泛的应用，随着访问控制技术的日趋复杂，访问控制已成为一类安全基础服务，而广泛的应用集成需求需要访问控制安全服务能够给应用程序提供一个统一的编程接口，使得应用程序能够在不同的访问控制服务之间具有可移植性，而目前缺少这类国家标准。国际标准化组织(ISO)为解决开放系统的安全问题，在1996、1997两年间拟定《信息技术开放系统互连开放系统安全框架》(ISO-10181)标准，包括内含概述(ISO-10181-1,1996)、访问控制框架(ISO-10181-3,1996)等七部份。我国也在2003年将其转化为国家标准（GB/T18794）。该系列标准对我国开放系统授权（访问控制）技术的标准化具有一定的推动作用。然而，该标准是一个抽象标准，主要用来指导高层次系统设计，而对访问控制及其管理接口的规范无能为力，无法提升相关系统的互操作性。与此同时，我国的信息化建设迅速推进，大量系统在建设过程中缺乏规范的授权接口和参考模型，实现异常混乱，给进一步的信息化集成工作带来隐患。所以，客观上我国需要一个授权接口标准对信息系统的授权子系统的接口进行标准化。此举一方面可以提升信息系统的互操作能力。另一方面，将有助于授权中间件的研发和推广。从宏观角度看来将有助于推进我国信息安全保障体系建设。本项目的目标是从现有抽象访问控制标准、授权接口和典型的访问控制实现出发，导出全面的授权应用程序接口需求；定义一个简单、灵活的API，安全组件提供者和安全敏感的应用程序开发者可以通过调用此API来实现授权功能，最终形成授权应用程序编程接口规范。授权API的定义过程会对授权过程中的互操作规范、内在授权逻辑结构和外在的应用环境进行深入研究，并对具体的访问控制服务组件、授权API使用模型、参数传递规则等制定了详细的实施细则，保证了多种应用环境下授权过程的互操作性和兼容性，填补了该领域相关的标准空白，对我国授权体系标准化工作的后期开展具有指导作用。编制依据和原则编制依据《授权应用程序编程接口规范》标准在编制时参考了有影响力的国外标准和专业规范，同时结合了信息安全国家重点实验室开发跨域认证授权系统的经验。本标准在国内属于较新领域。本标准参考的国际标准有：OpenGroupTechnicalStandardC908-2000Authorization(AZN)API编制原则先进性良好的标准应对技术的发展起着推动作用，它要有一定的前瞻性。作为标准，不仅要适合我国当前的信息安全技术的发展水平，而且要考虑到与国际接轨。因此，在标准的制定和写作上，在对授权应用程序编程接口的规范处理上，我们吸收国际标准的先进模式，跟踪国际信息安全的先进思想。这样使我们的标准能满足信息安全技术进一步发展的需要。兼容性《授权应用程序编程接口规范》在编制过程中，充分考虑了和已颁布国标、在研国标的兼容性和内在关系。本标准基于GB/T-18794.3-2003提出的访问控制框架，给出了具体的访问控制机制，并基于C语言实现了相关功能函数的调用接口，并考虑了和《可扩展访问控制标记语言标准》的区分，与现行的国家信息安全方面的相关标准、条例保持一致。可操作性授权应用程序编程接口规范(aznAPI)在国内外众多的产品和项目已进行了较大规模的应用，例如IBMTivoliAccessManager等。这些应用都为aznAPI标准的普及提供了良好的前期基础。该标准对aznAPI内部组件结构进行了清晰划分，对组件间调用关系和过程给出详细描述，并基于C语言实现了编程接口，尽可能让技术人员容易理解和开发，应用系统可利用该标准快速实现安全授权模块。编制过程中，避免出现对标准的理解歧义误导产品实施的情况；同时，又保证为不同厂商进行扩展留有余地。编制过程说明2006年3月开始进行国家信息安全战略研究与标准制定工作专项“授权应用程序接口技术及其标准化研究”，针对国内外授权标准和相关产品以及授权应用程序接口需求进行了比较全面的调研，形成了《授权技术体系与应用编程接口规范研究报告》。2007年3月，定以信息安全国家重点实验室作为召集单位，开始进行《授权应用程序编程接口规范》的预编制工作。2007年9月，调研国内外授权应用程序接口相关的主要产品和技术标准，及其应用环境和应用需求，并完成审查工作。2007年12月至2008年12月，在调研工作的基础上进行了该标准的预编制工作。2008年11月，信安标委组织专家对《授权应用程序接口技术及其标准化研究》专项进行了评审。2008年12月，形成预编制标准草案，在内部征求意见并修改。2009年5月，信安标委组织专家对《授权应用程序编程接口规范》预编制课题进行了评审，对有关问题进行了质询，与会专家主要提出的问题有格式不规范、引言不合适、文字不准确等。会后标准编写组根据意见进行了修改。2010年4月，以信息安全国家重点实验室作为召集单位，开始进行《信息安全技术鉴别与授权授权应用程序编程接口规范》标准的制定工作。2010年5月至2011年11月，进行了该标准的正式编制工作，在预编制工作的基础上进一步调研修改，形成标准草案。2011年12月6日，信安标委WG4工作组对该标准的研制工作进行阶段性验收，专家组对标准若干细节提出修改意见并委托国家信息安全工程技术研究中心的袁峰高工作为本标准的责任专家，负责后继的修改进程。2012年4月16日，标准负责人根据前阶段专家组的修改建议完成相关修改工作，在责任专家的组织下召开了组内评审会议，同意该标准进入征求意见稿阶段。2012年4月16日，组内评审会议一致建议将该标准名称改为“授权应用程序判定接口规范”。相关信息技术介绍授权应用程序编程接口简介国外现有的应用程序授权接口主要产品包括：AznAPI、OSID授权接口、Tivoli访问管理器、Permis中的应用程序接口、SunJava系统访问管理器和Microsoft授权API。AznAPI是OpenGroup指定的一个规范，是ISO7498-2中访问控制架构的实现。AznAPI作为授权应用编程接口其能够适应不同的应用场合，具有足够的抽象能力，在保证封装能力的基础上，同时为AEF扩张新的功能提供了可能。OSID中的授权接口规范定义中，其主要关注的是授权信息的管理问题，如授权的管理，功能的管理和客体的管理，以及一些相关的查询函数。Tivoli按照AznAPI规范设计了授权应用接口，在遵守AznAPI的基础上，对编程接口进行了扩展；Permis中除了授权编程接口外，属性证书的管理是其考虑的另外一个主要问题；SunJavaAccessManager中授权API中的访问控制判定是依策略进行的，在判定时，指定策略服务和策略后，就可以调用接口进行访问控制判定，而判定信息的收集是由具体实现进行的；在Microsoft产品架构中，将基于ACL的访问控制和基于角色的访问控制分为两部分来进行，或者说分为两个层次，ACL是与资源管理器相关的，而基于角色的访问控制和应用服务相关，Microsoft分别提供这两个层次的授权应用接口。授权应用接口的调用者只需要进行适当的初始化，授权接口的实现会根据系统（或ActiveDirectory）中的信息进行授权判定。国内目前缺少这类规范，大量访问控制中间件在建设过程中缺乏规范的授权接口和参考模型，实现异常混乱，给互操作和进一步的信息化集成工作带来隐患。参照国际上现有的多个产品提供的授权应用程序编程接口，可以通过AznAPI为多个独立的应用程序提供标准的授权决策机制，其优点包括：缩减开发和管理访问应用程序的成本缩减所有权的总成本并减少对独立授权系统的管理利用现有的安全性基础结构允许新商家更安全地开放启用各种更新的应用程序允许开发周期更短安全地共享信息授权应用程序编程接口规范的主要内容规范的主要研究内容和任务主要包括以下部分：规范的概述和目标给出该规范的适用范围和设计需要达到的目标。总体架构描述授权API使用的访问控制框架，定义访问控制过程中的组件角色，明确规定访问控制信息。授权API使用模型给出授权API的系统结构图以及授权API中提供的函数族，简单描述每一个族的功能；概括调用授权API应用的状态机，指明可以引起状态转移的授权API函数调用和其它操作；表述授权API系统组件之间的信任关系并对信任模型进行约束定义。功能和可移植性要求描述授权API实现所要支持的所有功能，限制在授权API中强制实现的功能函数；针对API的可移植性给出相应说明。参数传递规则描述在授权API函数中使用的数据类型和常量，解释函数调用规则；对函数实现涉及的多种技术细节以及参数传递规则进行说明。函数规范概述基于C语言给出详尽的授权API函数定义。术语说明访问控制Accesscontrol阻止非授权地使用资源，包括以一种非授权的方式使用资源。属性列表Attributelist应用程序和aznAPI实现交互属性－属性值对的数据结构。认证Authentication验证一个声称者或者系统实体身份的过程。权威Authority一个计算机实体，其实现一个安全服务。授权Authorization授予主体访问权限。能力Capability是一个标记，表明拥有者具有访问系统资源的权限，拥有此标记，访问控制机制会认为拥有者已被授权访问标记中指明的资源。凭证句柄Credentialhandle指向凭证链的句柄。凭证链Credentialschain由aznAPI实现维护的结构，包含发起者特权属性的内部表示。合成凭证链Combinedcredschain有序列表的凭证链，其中的每个元素表示一个主体的特权属性，其通过访问请求来传递，列表中的第一个元素是访问请求发起者的凭证链，列表中的其他元素是以系列中介的凭证链，这些中介传递发起者的访问请求。判决或判定DecisionADF对判定请求的响应。判定请求或判决请求DecisionrequestAEF发送给ADF的信息，此信息询问ADF“允许还是拒绝一个特定的访问请求”。资格Entitlement包含ADI和访问控制策略规则信息的数据结构，应用程序可以使用此信息来决定其行为或者在其代码中进行访问控制判定。标识Identity传递到aznAPI的发起者ACI，本规范使用这个术语来描述所有发起者的信息，包括名称、身份证书和能力。本规范中其由特定含义，不要与其它系统中的标识术语相混淆。标签Label与受保护资源绑定的标记，其标明了此资源的安全相关属性。操作Operation发起者的访问请求中要求在受保护资源上执行的操作。特权属性证书PrivilegeAttributeCertificate(PAC)保护特权属性的数据结构，产生此属性的权威可能对其进行签名。特权属性Privilegeattribute与发起者相关的属性，当与受保护资源的控制属性匹配时，用来允许或拒绝访问此受保护资源。受保护资源Protectedresource访问受访问策略限制的目标。总体说明和解释标准的结构本标准的框架如下：1范围 （准则适用范围）2规范性引用文件 （引用的国家和国际标准）3术语和定义 （指出了本标准的关键术语）4缩略语 （说明和定义了本标准适用的缩略语）5概述 （说明授权涵盖的内容以及本标准适用的部分）6目标 （详细说明了本标准的设计目标及不涉及的内容）7总体架构 （描述了访问控制总体框架）8授权API使用模型 （详细说明了授权API的系统结构、提供的函数族、状态机，以及信任模型）9功能和可移植性要求 （详细说明授权API实现所要支持的所有功能和可移植性要求）10参数传递规则 （说明在授权API函数中使用的数据类型和常量，及函数调用规则）附录A函数调用定义 （定义了授权API函数及相应的C语言定义）附录B头