信息技術 安全技術 認證中間件框架與接口規(guī)范-編制說明

PAGE《認證中間件框架與接口規(guī)范》編制說明中國科學院軟件研究所中國科學院數據與通信保護研究教育中心

北京數字證書認證中心有限公司。二○一三年二月《認證中間件框架與接口規(guī)范》編制說明中國科學院軟件研究所PAGE6編制背景任務來源2010年，經國標委批準，全國信息安全標準化技術委員會（SAC/TC260）主任辦公會討論通過，研究制定《認證中間件框架與接口規(guī)范》國家標準，國標計劃號：20100379－T-469。該項目由全國信息安全標準化技術委員會提出，全國信息安全標準化技術委員會歸口，由中國科學院軟件研究所負責主編。編制意義和目的身份鑒別是保障系統(tǒng)安全的最基本功能之一，是絕大多數信息系統(tǒng)的首要安全需求。然而長期以來，安全功能與具體業(yè)務的緊密結合使得應用系統(tǒng)開發(fā)人員往往在考慮業(yè)務功能的同時還需要考慮安全功能的實現。因為不是所有的開發(fā)人員都具備全面的安全知識，這樣做不僅費時費力，還不能保證安全功能的完整實施。因此，將安全功能，特別是身份鑒別功能與業(yè)務功能剝離，以中間件的方式為應用系統(tǒng)提供專門的安全保護，是安全領域的發(fā)展趨勢。此外，由于各個系統(tǒng)在建設過程中缺乏規(guī)范的鑒別接口和參考模型，不同系統(tǒng)之間互不兼容，無法互通互聯，造成大量重復開發(fā)建設，浪費嚴重。同時更給進一步的系統(tǒng)集成工作帶來困難。因此，我國迫切需要制定認證中間件的框架及接口規(guī)范，對信息系統(tǒng)的鑒別過程進行標準化。從而提升信息系統(tǒng)的互操作能力，促進認證中間件的研發(fā)和推廣，從宏觀角度看來也將有助于推進我國信息安全保障體系建設。本標準的目標即是提供一套認證中間件的框架規(guī)范及其組件描述與接口定義，對鑒別實施過程予以規(guī)范。編制依據和原則編制原則先進性良好的標準應對技術的發(fā)展起著推動作用，它要有一定的前瞻性。作為標準，不僅要適合我國當前的信息安全技術的發(fā)展水平，而且要考慮到與國際接軌。因此，在標準的制定和寫作上，在對認證中間件框架與接口標準處理上，我們應吸收國際標準的先進模式，跟蹤國際信息安全的先進思想。這樣使我們的標準能滿足信息安全技術進一步發(fā)展的需要?？刹僮餍猿浞挚紤]到認證中間件相關技術發(fā)展的實際情況，即：認證中間件系統(tǒng)研制與建設的狀況。對于認證中間件系統(tǒng)的構建和運行盡可能做到清晰、明確，技術人員容易理解，避免出現由于對標準的解釋不同，而指導產品實施的情況。同時，又保證為不同廠商進行擴展留有余地。標準定義嚴格，描述清楚，易于理解，易于實現。編制過程說明2009年中國科學院軟件研究所進行《認證中間件框架與接口規(guī)范》標準起草工作。結合國內外已有的認證中間件系統(tǒng)架構基礎上，參考國內外有關認證中間件框架與接口規(guī)范的文獻及標準，在2009年4月形成了《認證中間件框架與接口規(guī)范》國家標準草案，并申請標準編制立項。2010年，經國標委批準，全國信息安全標準化技術委員會（SAC/TC260）主任辦公會討論通過，由中國科學院軟件研究所作為項目召集單位，研究制定《認證中間件框架與接口規(guī)范》國家標準，國標計劃號：20100379－T-469。在此期間，中國科學院數據與通信保護研究教育中心與北京數字證書認證中心有限公司參與了該標準的編制工作。項目組結合認證中間件技術的研究工作和國內外在認證中間件與認證服務相關標準方面的進展，對標準草案進行了進一步修改，明確了認證中間件與基于服務架構的關系，以及認證中間件與網絡信任體系其它組件間的關系。在此基礎上，于2011年4月形成了《認證中間件框架與接口規(guī)范》標準征求意見稿。2011年8月，信安標委秘書處組織召開了專家評審會，會后項目組針對專家的意見進行了修改，完成標準征求意見稿。2011年12月16日信安標委秘書處組織召開了組內專家評審，項目組針對專家的意見進行了修改與完善。2013年1月6日，信安標委秘書處組織召開了專家評審會，根據專家意見，并參照各部門意見及網絡反饋意見，形成了標準送審稿。2013年1月6日至2013年1月21日，安標委委員函審意見征集，2013年2月21日，針對函審意見進行了修改與完善。相關信息技術介紹鑒別技術簡介目前，國內外對認證中間件的研究內容非?；钴S，國際上近年來涌現出一大批相關的項目，對認證中間件的理念進行了實現，在鑒別方面，比較有代表性和影響力的主要有集中鑒別服務(CAS，CentralAuthenticationService）與Shibboleth項目。CAS是耶魯大學開發(fā)的認證中間件系統(tǒng)，目前應用廣泛，該系統(tǒng)可實現獨立于平臺的鑒別功能，可以為多個Web應用提供單點登錄服務；它將用戶身份鑒別集中于單一的Web應用，從而簡化了用戶的密碼管理，提高安全性；而且當應用需要修改身份驗證的業(yè)務邏輯時，只需要修改CAS中的代碼，簡化了維護代價。CAS方案提出并實現了認證中間件系統(tǒng)應具有的基本特性，但是只考慮了集中式的鑒別與身份管理，無法適應新型的網絡環(huán)境需求。Shibboleth項目是internet2組織開發(fā)的一個中間件產品，它是基于SAML標準的一個跨域鑒別實現，其動機是在各個大學之間建立信任關系以及共享Web資源。Shibboleth實現了比較完整的跨域的單點登錄框架以及基于屬性的授權框架，因此也應用于在網格中解決虛擬組織之間的身份鑒別以及資源管理問題。Shibboleth項目是目前比較優(yōu)秀的一個安全中間件方案，但其架構較為復雜，部署和維護代價較高，同時難以根據應用需要進行裁剪來實現輕量級的鑒別系統(tǒng)。此外，Shibboleth也考慮了一些訪問控制方面的應用，例如可以屬性發(fā)布服務的提供，但對于用戶屬性的安全管理卻沒有作過多考慮。在鑒別框架標準方面，ISO提出的開放系統(tǒng)下鑒別安全框架（ISO/IEC10181-2）是早期比較有影響的一個，其重要之處是將具體的鑒別和訪問控制判決功能和具體的實施點分開，以后提出的多種框架都是在其基礎上進行了擴展。目前該標準已被采納為我國的國家標準（GB/T18794.2—2002）。近年來，與應用相剝離的通用鑒別授權技術在國際上得到廣泛的重視，相繼出現了Web服務聯盟語言(WS-Federation）、安全斷言置標語言(SAML，securityassertionmarkuplanguage）、可擴展訪問控制置標語言規(guī)范（XACML）和RFC2904（AAAAuthorizationFramework）等相關技術規(guī)范。WS-Federation規(guī)范旨在將企業(yè)在不同身份驗證和授權系統(tǒng)中共享用戶和機器身份信息的方式標準化。規(guī)范中描述了如何管理和代理異構聯合的環(huán)境中的信任關系，包括支持聯合身份。它定義的機制和過程可將用戶的信任信息從一個安全域映射到資源需要的鑒別和授權信息中，或映射到來自于另一個安全域的服務提供者。安全斷言置標語言SAML是允許Web站點安全地共享身份信息的一種規(guī)范，它為鑒別提供了一個有效安全互通的信息標準格式，異構應用間可以使用SAML的XML詞匯表和請求/應答模式通過HTTP交換身份信息。這種信息共享標準化能保證應用間跨平臺互操作的有效性與安全性，避免信息共享通道的建設重復性及異構化。本標準主要內容《認證中間件框架與接口規(guī)范》旨在提供一套與應用系統(tǒng)無關的鑒別框架機制，幫助應用系統(tǒng)與用戶實體之間建立信任關系，為進一步判斷用戶是否可以訪問資源提供先決條件；從而提高安全功能模塊的復用性，降低開發(fā)和維護成本，減少安全風險，并為系統(tǒng)間的互聯互通提供基礎。本規(guī)范描述了認證中間件體系框架，明確了認證中間件與應用系統(tǒng)之間的關系，闡述了其各組件功能及接口定義，細化了認證中間件的工作流程。其具體內容如下：認證中間件體系框架本標準描述認證中間件體系框架，明確認證中間件與應用系統(tǒng)之間的關系，其目的在于提供一種安全的、與應用分離的鑒別系統(tǒng)實現規(guī)范。認證中間件采用分布式架構，可以同時為多個應用系統(tǒng)服務。認證中間件由鑒別服務提供方與鑒別服務適配點組件兩部分共同組成。鑒別服務提供方的主要功能是通過一定的身份鑒別機制，完成對用戶身份的鑒別，并將鑒別結果以斷言形式發(fā)布給各應用系統(tǒng)。鑒別服務方并不限定具體的身份鑒別機制，只是提供統(tǒng)一的接口，具體與用戶的鑒別交互過程由各鑒別機制的實現自己完成。同時，作為附加功能，它還可以提供用戶單點登錄、隱私保護以及屬性查詢功能。鑒別服務適配點作用于應用系統(tǒng)內，與鑒別服務提供方交互，輔助完成用戶身份鑒別過程。鑒別適配點組件作用于應用系統(tǒng)內部，應用系統(tǒng)對它的輸出結果是完全信任的。認證中間件的工作模式分為直接鑒別模式與代理鑒別模式兩種。直接鑒別模式指的是鑒別服務提供方直接與用戶交互完成身份鑒別。其典型使用場景是基于Web的應用服務。代理鑒別模式指的是鑒別服務提供方不直接與用戶交互完成身份鑒別，而是通過作用于應用系統(tǒng)中的鑒別適配點代理完成交互的通信過程。其典型使用場景是使用RADIUS或DIAMETER協議的應用服務，或者應用系統(tǒng)直接與鑒別服務提供方集成在一起的情況。組件功能及接口定義：認證中間件的組成包括認證中間件管理組件、身份鑒別組件、單點登錄組件、隱私保護組件、屬性查詢組件以及鑒別適配點組件等。其中，身份鑒別組件和鑒別適配點組件是必需組件，單點登錄組件、隱私保護組件以及屬性查詢組件是可選組件。這些組件獨立完成各自的功能，并通過認證中間件管理組件完成統(tǒng)一靈活的組裝與調用，以滿足不同應用場景的需求。本標準詳細描述各組件功能以及各組件間的消息接口規(guī)范。其目標是使所有滿足本標準的組件可以作為一致性實現進行集成和互操作。鑒別流程定義說明認證中間件在不同工作模式下，典型的工作流程，其中包括直接鑒別模式下的身份鑒別流程、代理鑒別模式下的身份鑒別流程以及直接鑒別模式下的單點登錄流程，規(guī)范認證中間件的安全實施過程。術語說明斷言assertion給依賴方的包含了用戶身份信息的可信聲明。斷言也可以包含驗證過的屬性。斷言可能是經過數字簽名的，或者是通過一個安全協議從可信源獲取的。屬性attribute屬性是對象的性質及對象之間的關系的統(tǒng)稱。鑒別authentication在用戶身份間建立信任的過程。鑒別密鑰協商authenticatedkeyagreement兩方或者兩方以上的實體通過交互建立起彼此間身份的信任關系，并形成一個共同的秘密密鑰，用于保護后續(xù)的通信安全。認證中間件authenticationmiddleware可提供消息鑒別、身份鑒別以及單點登錄等功能的中間件系統(tǒng)。鑒別協議authenticationprotocol兩方或者兩方以上的實體為了實現對某一實體或某些實體的身份鑒別，經過協商后達成的一致意見。鑒別服務提供方authenticationserviceprovider對用戶身份進行鑒別的實體。鑒別服務適配點authenticationserviceadapter對鑒別請求進行過濾，并維持用戶鑒別狀態(tài)的實體。組件component組件實現特定的功能，符合一套接口標準并對外提供一個或者多個接口，它是系統(tǒng)中可替換的部分，可以包含或者使用其它的組件來構成更大粒度的組件。上下文context保證系統(tǒng)中不同的組件能夠一致運行所需要保存的一些信息，比如用戶的連接信息、鑒別狀態(tài)等。實體entity任何可以發(fā)送或接收信息的硬件或軟件進程，許多情況下，實體就是一個特定的軟件模塊。身份identity個體唯一確定的名字。盡管個人法律上的名字沒必要唯一，但是個人身份必須包括足夠的附加信息（例如，地址，雇員或賬戶號碼之類的唯一確定的標識）保證完整名字的唯一性。密鑰協商keyagreement兩方或者兩方以上的實體通過交互來形成一個共同的秘密密鑰，用于保護后續(xù)的通信安全。密鑰類型keytype密鑰的類型，一般分為對稱密鑰和非對稱密鑰。遺留系統(tǒng)legacysystem遺留系統(tǒng)是指那些基本上不能進行修改和進化以滿足新變化了的業(yè)務需求的信息系統(tǒng)，通常是大型的軟件系統(tǒng)，已經融入企業(yè)的業(yè)務運行和決策管理機制之中，維護工作困難。中間件middleware中間件是一種獨立的系統(tǒng)軟件，它處于操作系統(tǒng)軟件與應用軟件的中間，屬于可復用軟件的范疇?？诹頿assword保存在用戶記憶中的，用于鑒別他或者她的身份的秘密。一般是字符串。隱私privacy用戶所擁有的不希望被所屬范圍域之外的實體獲取的一些信息，比如用戶真實姓名。隱私保護privacyprotection保護用戶隱私的措施，比如使用用戶假名。依賴方relyingparty根據從另一方實體處獲得的信息來決定如何進行動作的系統(tǒng)實體。例如，應用系統(tǒng)依賴于認證中間件對用戶進行身份鑒別。單點登錄singlesignon在多個應用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。狀態(tài)碼statuscode用于表示某一組件功能是否成功實現以及可能的錯誤原因的值。總體說明和解釋標準的結構本標準的框架如下：1范圍2規(guī)范性引用文件 3術語和定義 4縮略語 5認證中間件目標 5.1功能性目標 5.2非功能性目標 5.3安全目標 6認證中間件框架 6.1概述 6.2認證中間件的工作模式 6.3組件描述 6.4鑒別斷言 6.5認證中間件與應用系統(tǒng)的關系 6.6認證中間件與面向服務架構 7組件規(guī)范 7.1認證中間件管理組件 7.2身份鑒別組件 7.3單點登錄組件 7.4隱私保護組件 7.5屬性查詢組件 附錄A（資料性附錄）認證中間件工作流程參考的主要文獻和標準GB/T18794.2—2002信息技術開放系統(tǒng)互連開放系統(tǒng)安全框架第2部分：鑒別框架GB/T15843.1—2008信息技術安全技術實體鑒別第1部分:概述TheOpenGroup.X/OpenSingleSignOnService(XSSO)PluggableAuthenticationModulesRFC2865：RemoteAuthenticationDialInUserServiceRFC3588：DiameterBaseProtocol目錄1 編制背景 11.1任務來源 12 編制