信息安全技术 鉴别与授权-授权应用程序编程接口规范.docx

《信息安全技术 鉴别与授权-授权应用程序编程接口规范.docx》由会员分享，可在线阅读，更多相关《信息安全技术 鉴别与授权-授权应用程序编程接口规范.docx（58页珍藏版）》请在优知文库上搜索。

1、ICS点击此处添加中国标准文献分类号OB中华人民共和家标准GB/TXXXXX-XXXX信息安全技术鉴别与授权授权应用程序判定接口规范Informationsecuritytechno1.ogy-AuthenticationandAuthorizationAuthorizationapp1.icationprogrammingdecisioninerfacespecification（征求意见稿）XXXX-XX-XX发布XXXX-XX-XX实施中华人民共和国国家质量监督检验检疫总局分在中国国家标准化管理委员会发布1楚国本标准规定访问控制服务给应用程序提供的编程应用接1(API，描述了相关的数据结

2、构和C语言形式的接口定义，本标准适用于访问控制服务向外提供的携程接口的设计和实现，访问控制眼务的测试和产品采购亦可参照使用.2规范性引用文件下列文件中对于本文件的应用是必不可少的.凡是注H期的引用文件,仅注H期的版本适用于本文件.凡是不注日期的引用文件，其最新版本(包括所有的修改革)适用于本文件.GB/T18794.3-2003信息技术开放系统互连开放系统安全框架第3部分:访问拄制框架，GBZT25069-2010信息安全技术术语3术语和定义卜列术语和定义适用于本文件。访问控制Accesscontro1.一种保证数据处叫!系统的资源只能由被授权主体按授权方式进行访问的手段.GB/T25069-

3、2010.定义2.2.1.423.2访问请求Accessrequest操作和操作数,它们构成一个试图进行的访问的基本成分.CB/T18794.32003,定义3.4.93.3访问控制信息AccessContro1.Information(ACI)用于访问控制目的的任何信息，其中包括上下文信息.(GB/T18791.32003,定义3.4.53.4访问控制判决功能AccessContro1.DecisionFunction(ADF)一种特定功能，它通过对访问请求、ADI(发起者的、目标的、访问请求的或以前决策保留下来的ADI)以及该访问请求的上卜文，使用访问控制策略规则而做出访问控制判决.GB/

4、T18791.3-2003.定义3.4.33.5访问控制判决信息AccessContro1.DecisionInformation(ADI)在作出一个特定访问控制判决时可供ADF使用的部分(也可能是全部)CI.(GBT18791.32003,定义3.4.2j3.6访问控制实施功能AccessContro1.EnforcementFunction(AEF)一种特定功能，它是每一访问请求中发起者和目标之间访问路径的一部分，并实旗由ADF做出的决策。GB/T18791.3-2003.定义3.4.4属性列表Attribute1.ist应用程序和aznAPI实现交互璃性一网性值对的数据结构.3.8审计标

5、识Auditid包含一个用干审计日的标识的网性.3.9认证Authentication脸证个声称者或者系统实体身份的过程.权威Authority一个计。机实体,其实现一个安全服务.授权Authorization授予主体访问权限.媛存Buffer应用程序和aznAPI实现可以用来交换非未知(opaque)数据的数据结构.能力CapabiIity是一个标记，表明抓有者具有访问系统资源的权限拥有此标记.访问控制机制会认为抓有者已被授权访问标记中指明的资源.许可权C1.earance能用来与目标安全标签进行比较的发起者绑定ACI.GB/T18791.32003,定义3.4.13上下文COnteXt从访

6、问请求上下文中获取的信息,其与GB/T18794.3中“上下文信息”的定义相同,在此规范中可以与上下文互换.CB/T18794.32003,定义3.4.143.16凭证句柄Credentia1.hand1.e指向凭证槌的句柄.3.17凭证展Credentia1.schainE1.1.aznAPI实现维妒的结构，包含发起者特权姐性的内部我示，3.18合成凭证集Combinedcredschain一个有序列入的凭证魅，其中的每个元素表示一个主体的特权属性，其递过访问请求来传递，列表中的笫个元素是访问请求发起者的凭证链，列表中的其他元素是以系列中介的凭证链，这些中介传递发起者的访问请求，3.19判决

7、或判定DecisionADF时判定请求的响应。3.20判定请求或判决请求DecisionrequestAEF发送给ADF的信息，此信息询问ADF“允许还是拒绝一个特定的访问谛求”。3.21资格Entit1.ement包含AD1.和访问控制策略规则信息的数据结构,应用程序Ur以使用此信息来决定其行为或者在其代码中进行访问控制判定.3.22标识Identity传递到HZnAPI的发起者ACI.本规范使用这个术谙洪描述所有发起者的信息,包括名称、身份证书和能力本规他中其由特定含义,不要与此它系统中的标识术语相混消.3.23发起者InitiatOr一个试图访问其它实体的实体（如人类用户或基于计算机的实

8、体）.GB/T18791.32003,定义3.4.15J3.24中介Intermediary是一个实体，此实体接收发起者发送的一个访问求，并且代表发起者发送另一个访问诂求，3.25标签1.abe1.与受保护资源绑定的标记，其标明了此资源的安全相关属性。3.26操作OPeratiOn发起者的访问请求中要求在受保护资源上执行的具体访问动作”3.27特权属性证书Privi1.egeAttributeCertificate(PAC)保护特权属性的数据结构，产生此属性的权城可能而其进行签名。3. 28特权属性Privi1.egeattribute与发起者相关的属性，当与受保护资源的控制属性见配时，用来允

9、许或拒绝访问此受保护资源。3.29受保护资源Protectedresource访问受访问策略限制的目标。3.30目标Target被试图访问的实体.(GB/T187W.32003.定义3.4.234缩略语下列缩略谱适用千本文件：ACI访问控制信息(AcccssContro1.Information)ADF访问控制判决功能(AccessContro1.FunctionADI访问控制判决信息(AccessDorisionInformation)AEF访问控制实施功能(AccessEnforcementFunction)API应用程序编程接I(APP1.iCatiOnPrOgramming1.ntCi

10、gacc)aznPI授权应用程序编程接口(AU1.hodZation/Xpp1.icaiionPrgrammingImerface)ID标识(Identity)PAC特权睇性证书(Privi1.ege.AttributeCertificate5概述通常将授权定义为:将访问权限赋予一个主体（如用户或程序）。然而以上这个定义并没有严格区分以下两个概念：a）用来声称一个主体可以被授于一组特权M性的管理行为.b）在判定主体已经被献予所需的特权属性后，允许主体访问资源的操作行为.以上两种行为都可以被描述为“授予主体访问权”.由于上述慨念在授权定义中是模糊的，所以区分特权属性管理和访问控制是很必要的，行为

11、U是特权属性管理任务,而行为b是访问控制任务.i.GB,T25W6-20I0信息安全技术术语规范中，访问控制定义为：种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。本文定义了一个访问控制应用程序接口（API）.此APIUr用于符合GB,T187943访问控制框架的系统中.尽管此AP1.提供了允许主体控制哪些特权属性可以被用于访问控制授权请求判决中（通常被称为最小特权），但弁不提供特权属性管理.6目标此AP1.设计目标如下：a）定义一个简单、灵活的API,安全组件提供者和需要安全保护的应用程序开发者可以通过调用此RP1.来实现授权功能。b）访问判决时可以应用透明地进行策略规则的

12、评估.c）独立于应用的策珞集中管埋.d）透明地提供广泛的策略规则词法和语义（如访问控制列表、能力、标签、逻辑调词等）。e）将认证和授权分离。f）允许从认证数据中推导出授权展性.g）透明地支持任意合理的授权随性类型（如访问标识、如、角色等.h）易于在多层次结构的应用系统中提供授权服务.i）在多层应用配置中允许使用外部授权属性.J）应用程序可以访问陶用于其资源的访问捽制策略.k）PI的实现支持多种访问控制机制.1）单程序可以同时使用多个认证和授权服务，m）支持应用程序访问与授权限务律作相关的审计数据。下面是此规范不涉及的内容：a）定义一个管理授权策略的API.b）描述证书委托服务或语义。c）描述一

13、个审计服务APId）描述授权服务如何以及何时生成审计事件.e）在弁构环境下，定义用来交换证书估恩的PAC格式.f）支持短一种可能的授权策略规则词法和语义，7总体架构本文中定义的授权API用于GB,T18794.3访问控制梃架中，本堂简的地描述了此框架，读者可以从GB-T187M3中获取更多的信息。本文定义了一个授权AP1.程序接口，通过此接口衢要控制资源访问的系统组件可以向系统访问控制眼务提出访问控制判决谛求。GB,T18794.3访问控制框架支持独立系统和网络系统.本文中的系统指“一个或一组计算机,通过网用授权API,可使用访问控制服务来保护这个些）计算机的资淞”.7.1GB/T18794.

14、3访问控制框架GB/T18794.3访问捽制框架如图1所示.图1G8/T18794.3访问控制框架本框架在访问请求中定义了四个组件角色：a）发起者b）目标c）访问控制实躺功能（AEFd）访问控制判决功能（ADF）发起者发送访问请求，访问访求说明了在目标中执行的掾作，访问控制实施功能（AEF）仲裁访问请求，AEIADF发送判定请求来询问此访问请求是否被授权或拒绝.ADF决定访问请求是否被授权或拒绝.7.2访问控制服务组件访问控制服务包括系统组件AEF和M）F.7.2.1ADFADF根据访问控制判决信息（ADD做出访问控制判决,ADI描述了发起者、目标、访问i。求、系统和环境安全相关的屈性.ADI

15、在731.2节中详细讨论.图2描述了ADF用来进行访问控制判决的信息.判决请求判决发起ADI目标ADIADF上下文信息访问请求ADIRmAD1.访问控制策略图2ADF输入7.2.2AEF访问控制实施功能实施fADF的访问控制判决结果.授权AP1.是一个媒介，通过此API,AEF调用RDF来获取访问控制判决的结果，AEF使用此API向ADF传递访问控制信息(ACIr如图3所示,此API的的实现负责从AEF提供的ACI中推导出ADI.并H.将此AD1.提交给ADKADF根据上述AD1.信息.以及访问控制策略和当前上下文AD1.来做出访问判决.2 .3访问控制信息访问控制估恩(ACI)是AEF可获取的与访问控制判决可能相关的信息,授权AP1.(aznAPI)的职责是：a确定AE