GB/T 31501-2015信息安全技術(shù)鑒別與授權(quán)授權(quán)應(yīng)用程序判定接口規(guī)范

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T31501—2015

信息安全技術(shù)鑒別與授權(quán)

授權(quán)應(yīng)用程序判定接口規(guī)范

Informationsecuritytechnology—Authenticationandauthorization—

Specificationforauthorizationapplicationprogrammingdecisioninterface

2015-05-15發(fā)布2016-01-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T31501—2015

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………3

框架

5………………………3

訪問控制框架

5.1………………………3

訪問控制服務(wù)組件

5.2…………………4

訪問控制信息

5.3………………………5

授權(quán)使用模型

6API……………………10

系統(tǒng)結(jié)構(gòu)

6.1……………10

支持的函數(shù)

6.2…………………………10

狀態(tài)機(jī)

6.3………………11

信任模型

6.4……………13

功能和可移植性要求

7……………………15

功能要求

7.1……………15

移植性要求

7.2…………………………15

常量和變量定義

8…………………………16

字符串與類字符串?dāng)?shù)據(jù)

8.1……………16

狀態(tài)值

8.2………………17

常量

8.3…………………18

授權(quán)和機(jī)制

8.4ID……………………20

附錄資料性附錄函數(shù)說(shuō)明

A()…………22

參考文獻(xiàn)

……………………51

GB/T31501—2015

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)科學(xué)院軟件研究所北京數(shù)字證書鑒別中心有限公司中科正陽(yáng)信息安全技

:、、

術(shù)有限公司

。

本標(biāo)準(zhǔn)主要起草人馮登國(guó)張立武李曉峰王雅哲高志剛徐震段美姣汪丹黃亮翟征德

:、、、、、、、、、、

詹榜華

。

Ⅰ

GB/T31501—2015

引言

訪問控制作為一種基本的安全措施在實(shí)際系統(tǒng)中得到廣泛的應(yīng)用隨著訪問控制技術(shù)的日趨復(fù)雜

,,

訪問控制已成為一類安全基礎(chǔ)服務(wù)而廣泛的應(yīng)用集成需求需要訪問控制安全服務(wù)能夠給應(yīng)用程序提

,

供一個(gè)統(tǒng)一的編程接口使得應(yīng)用程序能夠在不同的訪問控制服務(wù)之間具有可移植性而目前缺少這類

,,

國(guó)家標(biāo)準(zhǔn)為了解決這個(gè)問題本標(biāo)準(zhǔn)參考了的技術(shù)標(biāo)準(zhǔn)參考文獻(xiàn)等相關(guān)標(biāo)準(zhǔn)和規(guī)

。,OpenGroup([1])

范在保證適應(yīng)多種應(yīng)用場(chǎng)景的情況下定義了授權(quán)應(yīng)用程序判定接口規(guī)范

,,。

本標(biāo)準(zhǔn)定義的授權(quán)應(yīng)用程序判定接口規(guī)范可用于符合訪問控制框架的系統(tǒng)中盡

GB/T18794.3,

管本標(biāo)準(zhǔn)提供了允許主體控制哪些特權(quán)屬性可以被用于訪問控制授權(quán)請(qǐng)求判定中通常被稱為最小特

(

權(quán)但并不提供特權(quán)屬性管理

),。

本標(biāo)準(zhǔn)的設(shè)計(jì)目標(biāo)如下

:

定義一個(gè)簡(jiǎn)單靈活的安全組件提供者和需要安全保護(hù)的應(yīng)用程序開發(fā)者可以通過(guò)調(diào)用

a)、API,

此來(lái)實(shí)現(xiàn)授權(quán)功能

API;

訪問判定時(shí)可以應(yīng)用透明地進(jìn)行策略規(guī)則的評(píng)估

b);

獨(dú)立于應(yīng)用的策略集中管理

c);

透明地提供廣泛的策略規(guī)則詞法和語(yǔ)義如訪問控制列表能力標(biāo)簽邏輯謂詞等

d)(、、、);

將鑒別和授權(quán)分離

e);

允許從鑒別數(shù)據(jù)中推導(dǎo)出授權(quán)屬性

f);

透明地支持任意合理的授權(quán)屬性類型如訪問標(biāo)識(shí)組角色等

g)(、、);

易于在多層次結(jié)構(gòu)的應(yīng)用系統(tǒng)中提供授權(quán)服務(wù)

h);

在多層應(yīng)用配置中允許使用外部授權(quán)屬性

i);

應(yīng)用程序可以訪問應(yīng)用于其資源的訪問控制策略

j);

的實(shí)現(xiàn)支持多種訪問控制機(jī)制

k)API;

單一程序可以同時(shí)使用多個(gè)鑒別和授權(quán)服務(wù)

l);

支持應(yīng)用程序訪問與授權(quán)服務(wù)操作相關(guān)的審計(jì)數(shù)據(jù)

m)。

本標(biāo)準(zhǔn)不涉及以下內(nèi)容

:

授權(quán)策略管理

a);

描述證書委托服務(wù)或語(yǔ)義

b);

描述一個(gè)審計(jì)服務(wù)

c)API;

描述授權(quán)服務(wù)如何以及何時(shí)生成審計(jì)事件

d);

在異構(gòu)環(huán)境下定義用來(lái)交換證書信息的格式

e),PAC;

支持每一種可能的授權(quán)策略規(guī)則詞法和語(yǔ)義

f)。

Ⅱ

GB/T31501—2015

信息安全技術(shù)鑒別與授權(quán)

授權(quán)應(yīng)用程序判定接口規(guī)范

1范圍

本標(biāo)準(zhǔn)定義了訪問控制服務(wù)為授權(quán)應(yīng)用提供的授權(quán)判定編程應(yīng)用接口并定義了與判定接口相關(guān)

,

的數(shù)據(jù)結(jié)構(gòu)和語(yǔ)言形式的接口

C。

本標(biāo)準(zhǔn)適用于訪問控制服務(wù)中授權(quán)判定接口的設(shè)計(jì)和實(shí)現(xiàn)訪問控制服務(wù)的測(cè)試和產(chǎn)品采購(gòu)亦可

,

參照使用

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第部分訪問控制框架

GB/T18794.3—20033:

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069—2010。

31

.

訪問控制信息accesscontrolinformation

用于訪問控制目的的任何信息其中包括上下文信息

,。

定義

[GB/T18794.3—2003,3.4.5]

32

.

訪問控制判定功能accesscontroldecisionfunction

一種特定功能它通過(guò)對(duì)訪問請(qǐng)求發(fā)起者的目標(biāo)的訪問請(qǐng)求的或