GB-T 30275-2013 信息安全技术 鉴别与授权 认证中间件框架与接口规范.pdf
- 文档编号:14660681
- 上传时间:2023-06-25
- 格式:PDF
- 页数:28
- 大小:588.24KB
GB-T 30275-2013 信息安全技术 鉴别与授权 认证中间件框架与接口规范.pdf
《GB-T 30275-2013 信息安全技术 鉴别与授权 认证中间件框架与接口规范.pdf》由会员分享,可在线阅读,更多相关《GB-T 30275-2013 信息安全技术 鉴别与授权 认证中间件框架与接口规范.pdf(28页珍藏版)》请在冰点文库上搜索。
ICS35.040L80中华人民共和国国家标准GB/T302752013信息安全技术鉴别与授权认证中间件框架与接口规范InformationsecuritytechnologyAuthenticationandauthorizationAuthenticationmiddlewareframeworkandinterfacespecification2013-12-31发布2014-07-15实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布目次前言引言1范围12规范性引用文件13术语和定义14缩略语25认证中间件目标35.1功能性目标35.2非功能性目标35.3安全目标36认证中间件框架36.1概述36.2认证中间件的工作模式56.3组件描述66.4鉴别断言76.5认证中间件与应用系统的关系76.6认证中间件与面向服务架构77组件规范87.1认证中间件管理组件87.2身份鉴别组件107.3单点登录组件127.4隐私保护组件157.5属性查询组件16附录A(资料性附录)认证中间件工作流程18参考文献22GB/T302752013前言本标准按照GB/T1.12009给出的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本文件某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。
本标准主要起草单位:
中国科学院软件研究所、中国科学院数据与通信保护研究教育中心、北京数字证书认证中心有限公司。
本标准主要起草人:
徐静、冯登国、荆继武、张立武、张严、李强、杨婧、张振峰、詹榜华、阎实。
GB/T302752013引言身份鉴别是保障系统安全的最基本功能之一,是绝大多数信息系统的首要安全需求。
然而长期以来,安全功能与具体业务的紧密结合使得应用系统开发人员往往在考虑业务功能的同时还需要考虑安全功能的实现。
因为不是所有的开发人员都具备全面的安全知识,这样做不仅费时费力,还不能保证安全功能的完整实施。
因此,将安全功能,特别是身份鉴别功能与业务功能剥离,以中间件的方式为应用系统提供专门的安全保护,是安全领域的发展趋势。
此外,由于各个系统在建设过程中缺乏规范的鉴别接口和参考模型,不同系统之间互不兼容,无法互通互联,造成大量重复开发建设,浪费严重。
同时更给进一步的系统集成工作带来困难。
因此,我国迫切需要制定认证中间件的框架及接口规范,对信息系统的鉴别过程进行标准化。
从而提升信息系统的互操作能力,促进认证中间件的研发和推广,从宏观角度看来也将有助于推进我国信息安全保障体系建设。
本标准的主要目标是提供一套认证中间件的框架规范及其组件描述,并对鉴别实施过程予以规范,但为使本标准具有更好的可实现性与可操作性,本标准中同时对通用接口进行了若干定义,以便作为实现时的参考,这些定义不影响本标准中认证中间件框架的通用性。
在实际应用中,可根据需求对这些接口进行进一步规范。
GB/T302752013信息安全技术鉴别与授权认证中间件框架与接口规范1范围本标准规定了认证中间件体系框架、组件、功能及通用接口,并给出了认证中间件的工作流程。
本标准适用于认证中间件及其组件的设计、开发,并可指导对该类系统的检测及相关应用的开发。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T9387.21995信息处理系统开放系统互连基本参考模型第2部分:
安全体系结构GB/T15843.12008信息技术安全技术实体鉴别第1部分:
概述GB/T18794.22002信息技术开放系统互连开放系统安全框架第2部分:
鉴别框架GB/T250692010信息安全技术术语3术语和定义GB/T9387.21995、GB/T15843.12008、GB/T18794.22002和GB/T250692010界定的以及下列术语和定义适用于本文件。
3.1依赖方relyingparty根据从另一方实体处获得的信息来决定如何进行动作的系统实体。
注:
例如应用系统依赖于认证中间件对用户进行身份鉴别。
3.2断言assertion给依赖方的包含了用户身份信息的可信声明,也可以包含验证过的属性。
注:
断言可能是经过数字签名的,或者是通过一个安全协议从可信源获取的。
3.3属性attribute对象的性质及对象之间的关系的统称。
3.4鉴别authentication在用户身份间建立信任的过程。
3.5鉴别密钥协商authenticatedkeyagreement两方或者两方以上的实体通过交互建立起彼此间身份的信任关系,并形成一个共同的秘密密钥,用于保护后续的通信安全。
1GB/T3027520133.6认证中间件authenticationmiddleware可提供消息鉴别、身份鉴别以及单点登录等功能的中间件系统。
3.7鉴别协议authenticationprotocol两方或者两方以上的实体为了实现对某一实体或某些实体的身份鉴别,经过协商后达成的一致意见。
3.8鉴别服务提供方authenticationserviceprovider对用户身份进行鉴别的实体。
3.9鉴别服务适配点authenticationserviceadapter对鉴别请求进行过滤,并维持用户鉴别状态的实体。
3.10上下文context保证系统中不同的组件能够一致运行所需要保存的一些信息,比如用户的连接信息、鉴别状态等。
3.11实体entity任何可以发送或接收信息的硬件或软件进程。
注:
实体就是一个特定的软件模块。
3.12身份identity个体唯一确定的名字。
注:
当个人法律上的名字不唯一时,可以通过地址、雇员或账户号码等附加信息来保证身份的唯一性。
3.13遗留系统legacysystem那些基本上不能进行修改和进化以满足新变化了的业务需求的信息系统。
注:
通常是大型的软件系统,已经融入企业的业务运行和决策管理机制之中,维护工作困难。
3.14中间件middleware一种独立的系统软件,它处于操作系统软件与应用软件的中间,属于可复用软件的范畴。
3.15单点登录singlesignon在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
3.16状态码statuscode用于表示某一组件功能是否成功实现以及可能的错误原因的值。
4缩略语下列缩略语适用于本文件。
AKA:
鉴别密钥协商(AuthenticatedKeyAgreement)ASP:
鉴别服务提供方(AuthenticationServiceProvider)2GB/T302752013ASA:
鉴别服务适配点(AuthenticationServiceAdapter)C/S:
客户端服务器应用(Client/ServerApplication)SSL:
安全套接字层协议(SecuritySocketLayer)SSO:
单点登录(SingleSignOn)TTP:
可信第三方(TrustedThirdParty)5认证中间件目标5.1功能性目标认证中间件应实现以下功能性目标:
a)认证中间件应提供一套与应用系统无关的鉴别框架,帮助应用系统与用户实体之间建立信任关系,为进一步判断用户是否可以访问资源提供先决条件;b)认证中间件定义的接口应与所处理的鉴别信息无关,可以支持所有可能的交互流程;c)认证中间件应支持应用系统调用相关接口建立用户安全上下文;d)一旦会话终止,或用户登出后,认证中间件应启动清理会话服务,清除用户上下文。
5.2非功能性目标认证中间件应实现以下非功能性目标:
a)认证中间件不指定具体的鉴别机制;b)认证中间件框架与具体的操作系统或平台是无关的,但认证中间件的具体实现系统可能是相关的;c)认证中间件应能够与遗留系统进行集成。
5.3安全目标认证中间件应实现以下安全目标:
a)认证中间件不能对应用系统引入错误;b)认证中间件不能恶意的影响系统的其他服务;c)认证中间件应确保不能被绕过;d)认证中间件应能够支持应用系统中的授权机制;e)认证中间件应保证认证中间件环境中出现的安全相关的事件都是可审计的;f)认证中间件的具体实现应保护其获得或生成的安全相关信息的安全性,使得其他服务能足够信任该中间件提供的信息;g)认证中间件的具体实现应能够保护在其组件之间传递及组件与其他服务之间传递的安全相关信息的安全性。
6认证中间件框架6.1概述认证中间件所采用的鉴别模型如图1所示。
声称方与验证方交互完成身份的鉴别,然后由验证方将鉴别结果以断言的形式发布给依赖方。
声称方与验证方之间的身份鉴别过程可能是有可信第三方的参与。
验证方与依赖方可以是同一实体,也可以是分开的不同实体。
3GB/T302752013图1鉴别模型根据图1中的鉴别模型,认证中间件的整体框架结构如图2所示。
认证中间件采用分布式架构,可以同时为多个应用系统服务。
认证中间件由鉴别服务提供方与鉴别服务适配点组件两部分共同组成。
图2认证中间件框架结构鉴别服务提供方的主要功能是通过一定的身份鉴别机制,完成对用户身份的鉴别,并将鉴别结果以断言形式发布给各应用系统。
鉴别服务提供方并不限定具体的身份鉴别机制,只是提供统一的接口,具体与用户的鉴别交互过程由各鉴别机制的实现自己完成。
同时,作为附加功能,它还可以提供用户单点登录、隐私保护以及属性查询功能。
鉴别服务提供方对应于鉴别模型中的验证方。
鉴别服务适配点作用于应用系统内,与鉴别服务提供方交互,辅助完成用户身份鉴别过程。
鉴别适配点与应用系统一起对应于鉴别模型中的依赖方。
鉴别服务适配点与鉴别服务提供方之间的通信默认是通过可信信道保护的。
如果应用系统与鉴别服务提供方集成在一起,即验证方与依赖方为统一实体,则这种可信信道为系统内部数据传输。
如果应用系统与鉴别服务提供方分布在不同的系统中,彼此之间需要远程通信,则这种可信信道为二者之间的加密信道。
用户通过客户端完成与认证中间件及应用系统的交互,从而完成对用户身份的鉴别。
客户端根据不同的应用场景表现为不同的形式。
例如:
在普通的C/S应用中,本标准中的客户端即为普通意义上的用户端应用程序;在基于Web的应用中,本标准中的客户端为用户浏览器;在移动应用中,本标准中的客户端为便携设备。
客户端对应于鉴别抽象模型中的声称方。
4GB/T302752013用户信息存储点存放用户身份信息。
一个用户的身份信息中需包含一个可区分标识符,用以唯一标识该用户。
在本标准中以用户名指代该可区分标识符。
认证中间件的内部组成框架如图3所示。
在鉴别服务提供方内部,身份鉴别组件是必需组件,单点登录组件、隐私保护组件以及属性查询组件是可选组件。
这些组件独立完成各自的功能,并通过认证中间件管理组件完成统一灵活的组装与调用,以满足不同应用场景的需求。
图3认证中间件组成框架6.2认证中间件的工作模式6.2.1直接鉴别模式直接鉴别模式指的是鉴别服务提供方直接与用户交互完成身份鉴别。
在直接鉴别模式下,认证中间件中的鉴别服务提供方与鉴别服务适配点不共享同一个用户上下文,而是分别与用户建立上下文,鉴别服务提供方和鉴别服务适配点与同一个用户的会话是异步的。
在用户鉴别过程中,鉴别服务适配点不直接向鉴别服务提供方发出鉴别请求,而是告知未鉴别的用户需要进行身份鉴别。
用户通过一定的机制,找到自己的鉴别服务提供方,并与之直接交互完成身份鉴别。
之后,用户携带鉴别断言再次访问应用系统,鉴别适配点检验断言确实是由认可的鉴别服务提供方发布,即完成用户身份鉴别过程。
该过程中,鉴别断言中必须加入完整性保护机制,以保证身份鉴别结果不被篡改。
直接鉴别模式的典型使用场景是基于Web的应用服务。
直接鉴别模式下典型的工作流程见附录A,但并不限定只能按照这些流程执行。
同时,在具体实现时,应采用相应的通信组件对流程中的消息内容进行封装。
6.2.2代理鉴别模式代理鉴别模式指的是鉴别服务提供方不直接与用户交互完成身份鉴别,而是通过作用于应用系统中的鉴别适配点代理完成交互的通信过程。
在代理鉴别模式下,只有鉴别适配点与用户交互,建立用户上下文,鉴别服务提供方和鉴别服务适5GB/T302752013配点与同一个用户的会话是同步的。
在用户鉴别过程中,由鉴别服务适配点直接向鉴别服务提供方发起身份鉴别请求,并转发用户与鉴别服务提供方之间的通信交互消息。
鉴别过程完成后,鉴别服务提供方直接将鉴别断言返回给鉴别服务适配点。
该过程中,鉴别服务适配点与鉴别服务提供方之间应建立可信信道。
代理鉴别模式的典型使用场景是使用RADIUS或DIAMETER协议的应用服务,或者应用系统直接与鉴别服务提供方集成在一起的情况。
代理鉴别模式下典型的工作流程见附录A,但并不限定只能按照这些流程执行。
同时,在具体实现时,应采用相应的通信组件对流程中的消息内容进行封装。
6.3组件描述6.3.1认证中间件管理组件认证中间件管理组件是认证中间件框架的必需部分,是保证整个中间件正常运转的关键功能模块。
它根据中间件的配置完成组件的组装,以及同鉴别适配点之间可信信道的建立。
然后根据不同应用情景下的工作流程,通过一定的通信组件与用户以及鉴别适配点交互,并且调用相应的组件完成既定的功能目标。
认证中间件管理组件应支持安全相关的事件审计。
6.3.2身份鉴别组件身份鉴别组件是认证中间件框架中必需的部分,是完成用户身份鉴别的核心。
对外,该组件屏蔽了内部的具体鉴别机制,只提供一般的身份鉴别接口。
对内,它可以支持各种不同身份鉴别机制的实现。
鉴别机制按照其实现结果的不同分为简单身份鉴别机制与带密钥协商的身份鉴别机制。
身份鉴别组件中至少应包含一种简单身份鉴别机制的实现。
对于带密钥协商的身份鉴别机制,在某些应用场景下可以不实现。
采用简单身份鉴别机制,则认证中间件与用户交互后,实现对用户身份的识别与验证。
在简单身份鉴别机制下,身份鉴别组件输出的鉴别结果中只包含用户的身份信息。
同时,在鉴别过程中以及之后,需要通过其他的通信加密机制,如SSL等,来保护用户与认证中间件以及应用系统之间的通信。
简单身份鉴别适用于认证中间件的直接鉴别工作模式以及代理鉴别工作模式。
采用带密钥协商的身份鉴别,则认证中间件与用户交互后,不仅完成对用户身份的识别,同时与用户协商建立会话密钥。
在带密钥协商的身份鉴别机制下,身份鉴别组件输出的鉴别结果中包含用户的身份信息以及协商生成的会话密钥。
同时,在鉴别完成后,用户与应用系统之间的通信通过该会话密钥来保护。
带密钥协商的身份鉴别主要适用于认证中间件的代理鉴别工作模式。
本标准不对具体的身份鉴别机制及其安全性进行规定,但它们的实现应符合一定的标准规范,达到相应标准规范中的安全要求。
6.3.3鉴别适配点组件鉴别服务适配点组件是认证中间件框架中必需的部分,它主要负责对用户鉴别状态的过滤,以及对于鉴别断言的解析。
同时,当鉴别服务提供方不与用户直接交互的情况下,该组件将负责二者通信信息的传递。
在简单身份鉴别方式下,该组件负责将鉴别服务提供方发布的鉴别断言解析为本地应用系统需要的鉴别结果形式,供应用系统获取用户身份信息。
在带密钥协商的身份鉴别方式下,该组件负责解析鉴别服务提供方发布的鉴别断言,向应用系统输出用户身份信息,并储存会话密钥,负责对用户与应用系统之间通信内容的加解密工作。
如果鉴别服务提供方需要与鉴别服务适配点之间建立加密信道,则鉴别服务适配点组件需要与鉴别服务提供方中的认证中间件管理组件通过预享机制,完成加密信道的建立。
6GB/T3027520136.3.4单点登录组件单点登录组件是认证中间件框架中可选的部分,主要负责实现用户访问与一个认证中间件相连的多个应用系统时,可以获得“一次登录,多次访问”的体验过程。
只考虑认证中间件工作于直接鉴别模式,且身份鉴别组件提供简单身份鉴别情况下的单点登录。
对于其他情况,不考虑其单点登录过程。
6.3.5隐私保护组件隐私保护组件是认证中间件框架中可选的部分,主要负责提供保护用户隐私信息的机制。
根据用户需求的不同以及应用场景的不同,隐私信息包含的范围和隐私保护所涉及的实体范围都是不同的,本标准只考虑通过假名映射的方式保护用户身份的隐私性。
即,鉴别服务提供方向应用系统提供用户的假名,从而避免应用系统获得用户的真实身份。
对于其他的隐私保护实现方式,本标准不予以规范。
6.3.6属性查询组件属性查询组件是认证中间件框架中可选的部分,主要负责用户身份鉴别之后,对用户属性信息的查询。
属性查询同时涉及数字身份管理以及授权访问控制领域,因此本标准只规定通用的属性查询接口,具体的实现方式不予以规范。
6.4鉴别断言在鉴别过程结束后,鉴别服务提供方应为鉴别后的用户生成鉴别断言以使得鉴别依赖方能够验证用户的身份合法性。
此处所述鉴别断言是指由鉴别服务提供方生成,包含了用户身份等信息的可信消息。
本标准中使用的鉴别断言可能包含用户身份信息和密钥协商信息等信息。
其中身份信息至少包含用户身份标识、鉴别方式和鉴别时间这三个部分,根据实际需求的不同还可以包含其他的一些信息,比如用户IP地址等。
密钥协商信息至少包含会话密钥值、密钥类型这两个部分,根据实际需求的不同还可以包含其他的一些信息,比如密钥有效期等。
在实际应用中,可根据需要自行设计断言格式。
此时鉴别断言必须采用相应的安全机制(例如,鉴别服务提供方的数字签名)来保证用户身份信息,鉴别服务提供方标识等信息的完整性,防止被篡改。
此外,在实际应用中,鉴别断言中还可以同时包含如用户属性等在内的其他信息,本标准不对这些信息的内容进行限定,但这些信息不应影响断言中用户身份信息与密钥协商信息的安全。
6.5认证中间件与应用系统的关系鉴别适配点组件作用于应用系统内部,应用系统对它的输出结果是完全信任的。
在简单身份鉴别方式下,鉴别适配点组件解析鉴别断言后,向应用系统输出用户身份信息。
应用系统无条件信任该信息。
在带密钥协商的身份鉴别方式下,鉴别服务适配点组件解析鉴别断言,向应用系统输出用户身份信息,并储存会话密钥。
应用系统无条件信任鉴别服务适配点组件输出的用户身份信息,并且相信与用户的通信过程是在加密信道保护下完成的。
6.6认证中间件与面向服务架构本标准仅对认证中间件各组件实现的功能及其应满足的安全需求进行了限定,而并未对认证中间件各组件的具体实现及配置方式进行要求,故本标准规定的认证中间件对面向服务架构兼容。
特别的,7GB/T302752013本标准中规定的认证中间件所应满足的与具体应用形态无关特性与面向服务架构相关需求吻合,因此本标准所规定的认证中间件可以通过扩展以鉴别服务的形式实现,以便于其在现有面向服务相关业务流程中的实施。
对具体扩展模式不予规范,该扩展应在不破坏本标准规定的相关功能需求、非功能需求及安全功能的前提下,满足面向服务架构相关标准的要求。
7组件规范7.1认证中间件管理组件7.1.1概述认证中间件管理组件结构如图4所示。
图4认证中间件管理组件结构认证中间件管理组件负责整个认证中间件的初始化以及系统中各组件的运作管理。
对外,它通过与具体应用相关的通信组件,实现和用户以及鉴别服务适配点之间的交互。
对内,它根据认证中间件的配置情况以及所完成的功能,与鉴别服务提供方中的各个组件进行交互。
认证中间件管理组件提供了一个接口处理来自用户或者鉴别适配点组件的鉴别请求。
用户和鉴别适配组件通过这个接口来通知认证中间件管理组件进行鉴别处理,并获取此次鉴别处理的鉴别断言。
认证中间件可以提供不同的鉴别方式。
当认证中间件支持用户对鉴别方式进行选择时,认证中间件管理组件提供了一个与用户交互的接口,用以协商确定具体的鉴别方式。
认证中间件管理组件应能够对用户选择的鉴别方式进行检查,以确定是否支持该方式,以及其实现组件能否正常启动。
认证中间件管理组件还提供一个用于审计的接口,它会输出当前鉴别用户的信息,至少包括用户名、鉴别方式、鉴别状态、鉴别时间等,从而保证认证中间件中的用户鉴别事件是可审计的。
在认证中间件内部,认证中间件管理组件并不实现具体的鉴别功能。
因此,在认证中间件管理组件与其他的各个组件之间都存在着交互的接口。
这些接口的具体描述参见第7章其他条中各组件的接口规范。
8GB/T3027520137.1.2接口描述7.1.2.1鉴别接口AMF_AUTHAMF_AUTH接口用于启动整个用户身份鉴别流程,它需要提供以下输入和输出:
输入:
a)用户上下文用户上下文包括用户的相关信息,可以用于区分不同的用户。
从用户上下文中可以获取用户的连接信息等内容。
此接口可以由用户或者鉴别适配组件来调用,分别对应于直接鉴别模式和代理鉴别模式。
若是由用户调用,则此参数为空,认证中间件管理组件会在后面与用户的交互中来生成用户上下文;如果是鉴别适配组件来调用,则需要由鉴别适配点来给出用户上下文。
b)适配点会话标识用户在鉴别前与适配点建立连接的会话标识,此信息会被加入到最后输出的鉴别断言中,用以防止鉴别断言被其他人截获冒用或重放。
输出:
a)鉴别断言鉴别处理的结果将以鉴别断言的形式输出。
鉴别处理结果可能包括两个部分:
用户身份信息和密钥协商信息。
身份信息至少包含用户身份标识、鉴别方式和鉴别时间这三个部分,根据实际需求的不同还可以包含其他的一些信息,比如用户IP地址等。
密钥协商信息至少包含会话密钥值、密钥类型这两个部分,根据实际需求的不同还可以包含其他的一些信息,比如密钥有效期等。
b)状态码根据情况的不同,可能返回以下几种状态码:
AMMC_ERR认证中间件管理组件错误IA_ERR身份鉴别组件错误IA_AM_ERR鉴别机制模块错误AMF_SYS_ERR系统错误AMF_CON_ERR连接错误AMF_AUTH_ERR鉴别错误AMF_AUTH_FAILURE鉴别失败AMF_AUTH_SUCC鉴别成功AMF_KA_ERR密钥协商错误AMF_KA_FAILURE密钥协商失败AMF_AKA_SUCC鉴别密钥协商成功7.1.2.2鉴别方式协商接口AMF_AGREE用户和认证中间件管理组件通过AMF_AGREE接口来进行协商并确定此次鉴别所采用的鉴别方式,此接口需要提供以下的输入和输出。
输入:
a)鉴别方式鉴别方式用于指定身份鉴别组件所采用的鉴别机制,如口令鉴别、证书鉴别以及其他鉴别协议等。
这个参数会传递给身份鉴别组件来判断是否支
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB-T 30275-2013 信息安全技术 鉴别与授权 认证中间件框架与接口规范 GB 30275 2013 信息 安全技术 鉴别 授权 认证 中间件 框架 接口 规范