國家標準《信息安全技術 鑒別與授權 訪問控制中間件框架與接口》征求意見稿
責編:mhshi |2017-07-10 14:52:48各相關單位和專家:
經標準編制單位的辛勤努力,現已形成國家標準《信息安全技術 鑒別與授權 訪問控制中間件框架與接口》征求意見稿。為確保標準質量,信安標委秘書處面向社會廣泛征求意見。
懇切希望您對該標準提出寶貴意見。并將意見于2017年8月17日前反饋給信安標委秘書處。
聯系人:許玉娜???xuyuna@cesi.cn?? 010—64102731
全國信息安全標準化技術委員會秘書處
2017年7月3日
標準文本:鑒別與授權 訪問控制中間件框架與接口
編制說明:
國家標準《信息安全技術 鑒別與授權訪問控制中間件框架與接口》
(征求意見稿)編制說明
一、工作簡況
本標準的任務來源是國家標準化管理委員會,任務編號為20120529-T-469。
本標準承辦單位為中國科學院軟件研究所,協作單位為中國科學院數據與通信保護研究教育中心、北京數字證書認證中心有限公司、中國電子技術標準化研究所、國家射頻識別產品質量監督檢驗中心。主要起草人為張嚴、張立武、高志剛、王鵬翩、馮登國、荊繼武、吳檳、李強、陳星、高能、閻實、羅艷。
2010年中國科學院軟件研究所作為召集單位,進行《訪問控制中間件框架與接口規范》標準的預編制工作。調研了相關技術和標準。結合期間承擔國家科技支撐計劃項目子課題“信息安全共性服務構件技術研究”,發改委CNGI項目“CNGI跨域認證授權系列標準規范及應用驗證”等相關項目在訪問控制和訪問控制中間件的技術成果。在2010年形成了《訪問控制中間件框架與接口規范》國家標準草案。
2011年開始,聯合中國科學院數據與通信保護研究教育中心、北京數字證書認證中心有限公司和中國電子技術標準化研究所等單位,對已完成的《訪問控制中間件框架與接口規范》國家標準草案,形成了新的版本,并獲得了信息安全技術國家標準委員會的批復,正式立項。
2012年,中國科學院軟件研究所作為召集單位,和中國科學院數據與通信保護研究教育中心、北京數字證書認證中心有限公司和中國電子技術標準化研究所一起,結合應用項目對與應用無關的訪問控制服務技術的研究工作和國內外在訪問控制中間件與訪問控制服務相關標準方面的進展,對規范草案進行了進一步修改,于2012年11月形成了《訪問控制中間件框架與接口規范》標準征求意見稿。
2013年至2016年,項目組持續進行標準的征求意見和修訂工作。對術語、縮略語等部分進行了修訂,對第5部分內容進行了整合,調整了第6部分的接口示例到附錄B中。2016年6月在TC260周會期間在WG4工作組內進行了匯報和征求意見,并根據工作組成員的反饋進行了修訂。
2016年10月17日至10月20日,全國信息安全標準化技術委員會在成都組織召開了2016年第二次工作組“會議周”,期間與會專家和工作組各成員單位對《訪問控制中間件框架與接口規范》國家標準草案(2016年10月10日版本)進行了評審,提出了修改意見。經過組內成員單位投票,決定本標準草案通過組內評審,建議進入征求意見階段。會后,項目組對會上各單位提出的意見進行了處理,形成了標準征求意見稿。2017年2月27日,根據WG4秘書處的要求,項目組將修改后的標準征求意見稿通過郵件方式發送至WG4組內各單位進行組內征求意見。
2017年6月,信安標委秘書處在北京組織召開了標準文本修改會,會上專家建議本標準名稱修改為《訪問控制中間件框架與接口》,項目組采納了該意見。
二、標準編制原則和確定主要內容的論據及解決的主要問題
本標準在制定時主要參考了項目組承擔的國家科技支撐計劃項目子課題“信息安全共性服務構件技術研究”,發改委CNGI項目“CNGI跨域認證授權系列標準規范及應用驗證”等相關項目在訪問控制和訪問控制中間件的技術成果。并結合項目組已制定形成的GB/T 30275-2013《信息安全技術 鑒別與授權 認證中間件框架與接口規范》標準中對于認證授權中間件框架與接口的規定范圍,并充分考慮到訪問控制中間件框架與接口規范相關技術發展的實際情況,對于訪問控制中間件系統的構建和運行盡可能做到清晰、明確,技術人員容易理解,避免出現由于對標準的解釋不同,而指導產品實施的情況。同時,又保證為不同廠商進行擴展留有余地。
為了實現標準的可用性和互操作性,本標準在制定過程中使用了當前通用的可擴展置標語言(XML)對消息格式進行規范,并采用安全斷言置標語言(SAML)與可擴展訪問控制標記語言(XACML)來對屬性斷言進行描述,通過上述措施,使得遵循本標準實現的訪問控制中間件間具有互操作性,并可滿足分布式訪問控制所需的功能和安全需求。
三、主要試驗情況分析
本標準通過項目組承擔的國家科技支撐計劃項目子課題“信息安全共性服務構件技術研究”,發改委CNGI項目“CNGI跨域認證授權系列標準規范及應用驗證”等相關項目的示范驗證系統進行了驗證,證明了本標準所規定的訪問控制中間件架構可以滿足與應用無關的分布式訪問控制需求,同時具有互操作性。
四、知識產權情況說明
本標準未涉及已知的專利等知識產權內容。
五、產業化情況、推廣應用論證和預期達到的經濟效果
(本章無內容)
六、采用國際標準和國外先進標準情況
(本章無內容)
七、與現行相關法律、法規、規章及相關標準的協調性
本標準所涉及內容與現有法律、法規和強制性國家標準之間沒有沖突。
八、重大分歧意見的處理經過和依據
本標準制定過程中未產生重大分歧意見。
九、標準性質的建議
建議作為推薦性標準實施。
十、貫徹標準的要求和措施建議
(本章無內容)
十一、替代或廢止現行相關標準的建議
(本章無內容)
十二、其它應予說明的事項
(本章無內容)
國家標準《訪問控制中間件框架與接口》編制工作組
2017-6-19