PAGE《認(rèn)證中間件框架與接口規(guī)范》編制說明中國科學(xué)院軟件研究所中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心

北京數(shù)字證書認(rèn)證中心有限公司。二○一三年二月《認(rèn)證中間件框架與接口規(guī)范》編制說明中國科學(xué)院軟件研究所PAGE6編制背景任務(wù)來源2010年，經(jīng)國標(biāo)委批準(zhǔn)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）主任辦公會(huì)討論通過，研究制定《認(rèn)證中間件框架與接口規(guī)范》國家標(biāo)準(zhǔn)，國標(biāo)計(jì)劃號：20100379－T-469。該項(xiàng)目由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口，由中國科學(xué)院軟件研究所負(fù)責(zé)主編。編制意義和目的身份鑒別是保障系統(tǒng)安全的最基本功能之一，是絕大多數(shù)信息系統(tǒng)的首要安全需求。然而長期以來，安全功能與具體業(yè)務(wù)的緊密結(jié)合使得應(yīng)用系統(tǒng)開發(fā)人員往往在考慮業(yè)務(wù)功能的同時(shí)還需要考慮安全功能的實(shí)現(xiàn)。因?yàn)椴皇撬械拈_發(fā)人員都具備全面的安全知識(shí)，這樣做不僅費(fèi)時(shí)費(fèi)力，還不能保證安全功能的完整實(shí)施。因此，將安全功能，特別是身份鑒別功能與業(yè)務(wù)功能剝離，以中間件的方式為應(yīng)用系統(tǒng)提供專門的安全保護(hù)，是安全領(lǐng)域的發(fā)展趨勢。此外，由于各個(gè)系統(tǒng)在建設(shè)過程中缺乏規(guī)范的鑒別接口和參考模型，不同系統(tǒng)之間互不兼容，無法互通互聯(lián)，造成大量重復(fù)開發(fā)建設(shè)，浪費(fèi)嚴(yán)重。同時(shí)更給進(jìn)一步的系統(tǒng)集成工作帶來困難。因此，我國迫切需要制定認(rèn)證中間件的框架及接口規(guī)范，對信息系統(tǒng)的鑒別過程進(jìn)行標(biāo)準(zhǔn)化。從而提升信息系統(tǒng)的互操作能力，促進(jìn)認(rèn)證中間件的研發(fā)和推廣，從宏觀角度看來也將有助于推進(jìn)我國信息安全保障體系建設(shè)。本標(biāo)準(zhǔn)的目標(biāo)即是提供一套認(rèn)證中間件的框架規(guī)范及其組件描述與接口定義，對鑒別實(shí)施過程予以規(guī)范。編制依據(jù)和原則編制原則先進(jìn)性良好的標(biāo)準(zhǔn)應(yīng)對技術(shù)的發(fā)展起著推動(dòng)作用，它要有一定的前瞻性。作為標(biāo)準(zhǔn)，不僅要適合我國當(dāng)前的信息安全技術(shù)的發(fā)展水平，而且要考慮到與國際接軌。因此，在標(biāo)準(zhǔn)的制定和寫作上，在對認(rèn)證中間件框架與接口標(biāo)準(zhǔn)處理上，我們應(yīng)吸收國際標(biāo)準(zhǔn)的先進(jìn)模式，跟蹤國際信息安全的先進(jìn)思想。這樣使我們的標(biāo)準(zhǔn)能滿足信息安全技術(shù)進(jìn)一步發(fā)展的需要?？刹僮餍猿浞挚紤]到認(rèn)證中間件相關(guān)技術(shù)發(fā)展的實(shí)際情況，即：認(rèn)證中間件系統(tǒng)研制與建設(shè)的狀況。對于認(rèn)證中間件系統(tǒng)的構(gòu)建和運(yùn)行盡可能做到清晰、明確，技術(shù)人員容易理解，避免出現(xiàn)由于對標(biāo)準(zhǔn)的解釋不同，而指導(dǎo)產(chǎn)品實(shí)施的情況。同時(shí)，又保證為不同廠商進(jìn)行擴(kuò)展留有余地。標(biāo)準(zhǔn)定義嚴(yán)格，描述清楚，易于理解，易于實(shí)現(xiàn)。編制過程說明2009年中國科學(xué)院軟件研究所進(jìn)行《認(rèn)證中間件框架與接口規(guī)范》標(biāo)準(zhǔn)起草工作。結(jié)合國內(nèi)外已有的認(rèn)證中間件系統(tǒng)架構(gòu)基礎(chǔ)上，參考國內(nèi)外有關(guān)認(rèn)證中間件框架與接口規(guī)范的文獻(xiàn)及標(biāo)準(zhǔn)，在2009年4月形成了《認(rèn)證中間件框架與接口規(guī)范》國家標(biāo)準(zhǔn)草案，并申請標(biāo)準(zhǔn)編制立項(xiàng)。2010年，經(jīng)國標(biāo)委批準(zhǔn)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）主任辦公會(huì)討論通過，由中國科學(xué)院軟件研究所作為項(xiàng)目召集單位，研究制定《認(rèn)證中間件框架與接口規(guī)范》國家標(biāo)準(zhǔn)，國標(biāo)計(jì)劃號：20100379－T-469。在此期間，中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心與北京數(shù)字證書認(rèn)證中心有限公司參與了該標(biāo)準(zhǔn)的編制工作。項(xiàng)目組結(jié)合認(rèn)證中間件技術(shù)的研究工作和國內(nèi)外在認(rèn)證中間件與認(rèn)證服務(wù)相關(guān)標(biāo)準(zhǔn)方面的進(jìn)展，對標(biāo)準(zhǔn)草案進(jìn)行了進(jìn)一步修改，明確了認(rèn)證中間件與基于服務(wù)架構(gòu)的關(guān)系，以及認(rèn)證中間件與網(wǎng)絡(luò)信任體系其它組件間的關(guān)系。在此基礎(chǔ)上，于2011年4月形成了《認(rèn)證中間件框架與接口規(guī)范》標(biāo)準(zhǔn)征求意見稿。2011年8月，信安標(biāo)委秘書處組織召開了專家評審會(huì)，會(huì)后項(xiàng)目組針對專家的意見進(jìn)行了修改，完成標(biāo)準(zhǔn)征求意見稿。2011年12月16日信安標(biāo)委秘書處組織召開了組內(nèi)專家評審，項(xiàng)目組針對專家的意見進(jìn)行了修改與完善。2013年1月6日，信安標(biāo)委秘書處組織召開了專家評審會(huì)，根據(jù)專家意見，并參照各部門意見及網(wǎng)絡(luò)反饋意見，形成了標(biāo)準(zhǔn)送審稿。2013年1月6日至2013年1月21日，安標(biāo)委委員函審意見征集，2013年2月21日，針對函審意見進(jìn)行了修改與完善。相關(guān)信息技術(shù)介紹鑒別技術(shù)簡介目前，國內(nèi)外對認(rèn)證中間件的研究內(nèi)容非常活躍，國際上近年來涌現(xiàn)出一大批相關(guān)的項(xiàng)目，對認(rèn)證中間件的理念進(jìn)行了實(shí)現(xiàn)，在鑒別方面，比較有代表性和影響力的主要有集中鑒別服務(wù)(CAS，CentralAuthenticationService）與Shibboleth項(xiàng)目。CAS是耶魯大學(xué)開發(fā)的認(rèn)證中間件系統(tǒng)，目前應(yīng)用廣泛，該系統(tǒng)可實(shí)現(xiàn)獨(dú)立于平臺(tái)的鑒別功能，可以為多個(gè)Web應(yīng)用提供單點(diǎn)登錄服務(wù)；它將用戶身份鑒別集中于單一的Web應(yīng)用，從而簡化了用戶的密碼管理，提高安全性；而且當(dāng)應(yīng)用需要修改身份驗(yàn)證的業(yè)務(wù)邏輯時(shí)，只需要修改CAS中的代碼，簡化了維護(hù)代價(jià)。CAS方案提出并實(shí)現(xiàn)了認(rèn)證中間件系統(tǒng)應(yīng)具有的基本特性，但是只考慮了集中式的鑒別與身份管理，無法適應(yīng)新型的網(wǎng)絡(luò)環(huán)境需求。Shibboleth項(xiàng)目是internet2組織開發(fā)的一個(gè)中間件產(chǎn)品，它是基于SAML標(biāo)準(zhǔn)的一個(gè)跨域鑒別實(shí)現(xiàn)，其動(dòng)機(jī)是在各個(gè)大學(xué)之間建立信任關(guān)系以及共享Web資源。Shibboleth實(shí)現(xiàn)了比較完整的跨域的單點(diǎn)登錄框架以及基于屬性的授權(quán)框架，因此也應(yīng)用于在網(wǎng)格中解決虛擬組織之間的身份鑒別以及資源管理問題。Shibboleth項(xiàng)目是目前比較優(yōu)秀的一個(gè)安全中間件方案，但其架構(gòu)較為復(fù)雜，部署和維護(hù)代價(jià)較高，同時(shí)難以根據(jù)應(yīng)用需要進(jìn)行裁剪來實(shí)現(xiàn)輕量級的鑒別系統(tǒng)。此外，Shibboleth也考慮了一些訪問控制方面的應(yīng)用，例如可以屬性發(fā)布服務(wù)的提供，但對于用戶屬性的安全管理卻沒有作過多考慮。在鑒別框架標(biāo)準(zhǔn)方面，ISO提出的開放系統(tǒng)下鑒別安全框架（ISO/IEC10181-2）是早期比較有影響的一個(gè)，其重要之處是將具體的鑒別和訪問控制判決功能和具體的實(shí)施點(diǎn)分開，以后提出的多種框架都是在其基礎(chǔ)上進(jìn)行了擴(kuò)展。目前該標(biāo)準(zhǔn)已被采納為我國的國家標(biāo)準(zhǔn)（GB/T18794.2—2002）。近年來，與應(yīng)用相剝離的通用鑒別授權(quán)技術(shù)在國際上得到廣泛的重視，相繼出現(xiàn)了Web服務(wù)聯(lián)盟語言(WS-Federation）、安全斷言置標(biāo)語言(SAML，securityassertionmarkuplanguage）、可擴(kuò)展訪問控制置標(biāo)語言規(guī)范（XACML）和RFC2904（AAAAuthorizationFramework）等相關(guān)技術(shù)規(guī)范。WS-Federation規(guī)范旨在將企業(yè)在不同身份驗(yàn)證和授權(quán)系統(tǒng)中共享用戶和機(jī)器身份信息的方式標(biāo)準(zhǔn)化。規(guī)范中描述了如何管理和代理異構(gòu)聯(lián)合的環(huán)境中的信任關(guān)系，包括支持聯(lián)合身份。它定義的機(jī)制和過程可將用戶的信任信息從一個(gè)安全域映射到資源需要的鑒別和授權(quán)信息中，或映射到來自于另一個(gè)安全域的服務(wù)提供者。安全斷言置標(biāo)語言SAML是允許Web站點(diǎn)安全地共享身份信息的一種規(guī)范，它為鑒別提供了一個(gè)有效安全互通的信息標(biāo)準(zhǔn)格式，異構(gòu)應(yīng)用間可以使用SAML的XML詞匯表和請求/應(yīng)答模式通過HTTP交換身份信息。這種信息共享標(biāo)準(zhǔn)化能保證應(yīng)用間跨平臺(tái)互操作的有效性與安全性，避免信息共享通道的建設(shè)重復(fù)性及異構(gòu)化。本標(biāo)準(zhǔn)主要內(nèi)容《認(rèn)證中間件框架與接口規(guī)范》旨在提供一套與應(yīng)用系統(tǒng)無關(guān)的鑒別框架機(jī)制，幫助應(yīng)用系統(tǒng)與用戶實(shí)體之間建立信任關(guān)系，為進(jìn)一步判斷用戶是否可以訪問資源提供先決條件；從而提高安全功能模塊的復(fù)用性，降低開發(fā)和維護(hù)成本，減少安全風(fēng)險(xiǎn)，并為系統(tǒng)間的互聯(lián)互通提供基礎(chǔ)。本規(guī)范描述了認(rèn)證中間件體系框架，明確了認(rèn)證中間件與應(yīng)用系統(tǒng)之間的關(guān)系，闡述了其各組件功能及接口定義，細(xì)化了認(rèn)證中間件的工作流程。其具體內(nèi)容如下：認(rèn)證中間件體系框架本標(biāo)準(zhǔn)描述認(rèn)證中間件體系框架，明確認(rèn)證中間件與應(yīng)用系統(tǒng)之間的關(guān)系，其目的在于提供一種安全的、與應(yīng)用分離的鑒別系統(tǒng)實(shí)現(xiàn)規(guī)范。認(rèn)證中間件采用分布式架構(gòu)，可以同時(shí)為多個(gè)應(yīng)用系統(tǒng)服務(wù)。認(rèn)證中間件由鑒別服務(wù)提供方與鑒別服務(wù)適配點(diǎn)組件兩部分共同組成。鑒別服務(wù)提供方的主要功能是通過一定的身份鑒別機(jī)制，完成對用戶身份的鑒別，并將鑒別結(jié)果以斷言形式發(fā)布給各應(yīng)用系統(tǒng)。鑒別服務(wù)方并不限定具體的身份鑒別機(jī)制，只是提供統(tǒng)一的接口，具體與用戶的鑒別交互過程由各鑒別機(jī)制的實(shí)現(xiàn)自己完成。同時(shí)，作為附加功能，它還可以提供用戶單點(diǎn)登錄、隱私保護(hù)以及屬性查詢功能。鑒別服務(wù)適配點(diǎn)作用于應(yīng)用系統(tǒng)內(nèi)，與鑒別服務(wù)提供方交互，輔助完成用戶身份鑒別過程。鑒別適配點(diǎn)組件作用于應(yīng)用系統(tǒng)內(nèi)部，應(yīng)用系統(tǒng)對它的輸出結(jié)果是完全信任的。認(rèn)證中間件的工作模式分為直接鑒別模式與代理鑒別模式兩種。直接鑒別模式指的是鑒別服務(wù)提供方直接與用戶交互完成身份鑒別。其典型使用場景是基于Web的應(yīng)用服務(wù)。代理鑒別模式指的是鑒別服務(wù)提供方不直接與用戶交互完成身份鑒別，而是通過作用于應(yīng)用系統(tǒng)中的鑒別適配點(diǎn)代理完成交互的通信過程。其典型使用場景是使用RADIUS或DIAMETER協(xié)議的應(yīng)用服務(wù)，或者應(yīng)用系統(tǒng)直接與鑒別服務(wù)提供方集成在一起的情況。組件功能及接口定義：認(rèn)證中間件的組成包括認(rèn)證中間件管理組件、身份鑒別組件、單點(diǎn)登錄組件、隱私保護(hù)組件、屬性查詢組件以及鑒別適配點(diǎn)組件等。其中，身份鑒別組件和鑒別適配點(diǎn)組件是必需組件，單點(diǎn)登錄組件、隱私保護(hù)組件以及屬性查詢組件是可選組件。這些組件獨(dú)立完成各自的功能，并通過認(rèn)證中間件管理組件完成統(tǒng)一靈活的組裝與調(diào)用，以滿足不同應(yīng)用場景的需求。本標(biāo)準(zhǔn)詳細(xì)描述各組件功能以及各組件間的消息接口規(guī)范。其目標(biāo)是使所有滿足本標(biāo)準(zhǔn)的組件可以作為一致性實(shí)現(xiàn)進(jìn)行集成和互操作。鑒別流程定義說明認(rèn)證中間件在不同工作模式下，典型的工作流程，其中包括直接鑒別模式下的身份鑒別流程、代理鑒別模式下的身份鑒別流程以及直接鑒別模式下的單點(diǎn)登錄流程，規(guī)范認(rèn)證中間件的安全實(shí)施過程。術(shù)語說明斷言assertion給依賴方的包含了用戶身份信息的可信聲明。斷言也可以包含驗(yàn)證過的屬性。斷言可能是經(jīng)過數(shù)字簽名的，或者是通過一個(gè)安全協(xié)議從可信源獲取的。屬性attribute屬性是對象的性質(zhì)及對象之間的關(guān)系的統(tǒng)稱。鑒別authentication在用戶身份間建立信任的過程。鑒別密鑰協(xié)商authenticatedkeyagreement兩方或者兩方以上的實(shí)體通過交互建立起彼此間身份的信任關(guān)系，并形成一個(gè)共同的秘密密鑰，用于保護(hù)后續(xù)的通信安全。認(rèn)證中間件authenticationmiddleware可提供消息鑒別、身份鑒別以及單點(diǎn)登錄等功能的中間件系統(tǒng)。鑒別協(xié)議authenticationprotocol兩方或者兩方以上的實(shí)體為了實(shí)現(xiàn)對某一實(shí)體或某些實(shí)體的身份鑒別，經(jīng)過協(xié)商后達(dá)成的一致意見。鑒別服務(wù)提供方authenticationserviceprovider對用戶身份進(jìn)行鑒別的實(shí)體。鑒別服務(wù)適配點(diǎn)authenticationserviceadapter對鑒別請求進(jìn)行過濾，并維持用戶鑒別狀態(tài)的實(shí)體。組件component組件實(shí)現(xiàn)特定的功能，符合一套接口標(biāo)準(zhǔn)并對外提供一個(gè)或者多個(gè)接口，它是系統(tǒng)中可替換的部分，可以包含或者使用其它的組件來構(gòu)成更大粒度的組件。上下文context保證系統(tǒng)中不同的組件能夠一致運(yùn)行所需要保存的一些信息，比如用戶的連接信息、鑒別狀態(tài)等。實(shí)體entity任何可以發(fā)送或接收信息的硬件或軟件進(jìn)程，許多情況下，實(shí)體就是一個(gè)特定的軟件模塊。身份identity個(gè)體唯一確定的名字。盡管個(gè)人法律上的名字沒必要唯一，但是個(gè)人身份必須包括足夠的附加信息（例如，地址，雇員或賬戶號碼之類的唯一確定的標(biāo)識(shí)）保證完整名字的唯一性。密鑰協(xié)商keyagreement兩方或者兩方以上的實(shí)體通過交互來形成一個(gè)共同的秘密密鑰，用于保護(hù)后續(xù)的通信安全。密鑰類型keytype密鑰的類型，一般分為對稱密鑰和非對稱密鑰。遺留系統(tǒng)legacysystem遺留系統(tǒng)是指那些基本上不能進(jìn)行修改和進(jìn)化以滿足新變化了的業(yè)務(wù)需求的信息系統(tǒng)，通常是大型的軟件系統(tǒng)，已經(jīng)融入企業(yè)的業(yè)務(wù)運(yùn)行和決策管理機(jī)制之中，維護(hù)工作困難。中間件middleware中間件是一種獨(dú)立的系統(tǒng)軟件，它處于操作系統(tǒng)軟件與應(yīng)用軟件的中間，屬于可復(fù)用軟件的范疇?？诹頿assword保存在用戶記憶中的，用于鑒別他或者她的身份的秘密。一般是字符串。隱私privacy用戶所擁有的不希望被所屬范圍域之外的實(shí)體獲取的一些信息，比如用戶真實(shí)姓名。隱私保護(hù)privacyprotection保護(hù)用戶隱私的措施，比如使用用戶假名。依賴方relyingparty根據(jù)從另一方實(shí)體處獲得的信息來決定如何進(jìn)行動(dòng)作的系統(tǒng)實(shí)體。例如，應(yīng)用系統(tǒng)依賴于認(rèn)證中間件對用戶進(jìn)行身份鑒別。單點(diǎn)登錄singlesignon在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。狀態(tài)碼statuscode用于表示某一組件功能是否成功實(shí)現(xiàn)以及可能的錯(cuò)誤原因的值。總體說明和解釋標(biāo)準(zhǔn)的結(jié)構(gòu)本標(biāo)準(zhǔn)的框架如下：1范圍2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5認(rèn)證中間件目標(biāo) 5.1功能性目標(biāo) 5.2非功能性目標(biāo) 5.3安全目標(biāo) 6認(rèn)證中間件框架 6.1概述 6.2認(rèn)證中間件的工作模式 6.3組件描述 6.4鑒別斷言 6.5認(rèn)證中間件與應(yīng)用系統(tǒng)的關(guān)系 6.6認(rèn)證中間件與面向服務(wù)架構(gòu) 7組件規(guī)范 7.1認(rèn)證中間件管理組件 7.2身份鑒別組件 7.3單點(diǎn)登錄組件 7.4隱私保護(hù)組件 7.5屬性查詢組件 附錄A（資料性附錄）認(rèn)證中間件工作流程參考的主要文獻(xiàn)和標(biāo)準(zhǔn)GB/T18794.2—2002信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第2部分：鑒別框架GB/T15843.1—2008信息技術(shù)安全技術(shù)實(shí)體鑒別第1部分:概述TheOpenGroup.X/OpenSingleSignOnService(XSSO)PluggableAuthenticationModulesRFC2865：RemoteAuthenticationDialInUserServiceRFC3588：DiameterBaseProtocol目錄1 編制背景 11.1任務(wù)來源 12 編制