各相关单位和专家:
经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术 鉴别与授权 访问控制中间件框架与接口》征求意见稿。为确保标准质量,信安标委秘书处面向社会广泛征求意见。
恳切希望您对该标准提出宝贵意见。并将意见于2017年8月17日前反馈给信安标委秘书处。
联系人:许玉娜 xuyuna@cesi.cn 010—64102731
全国信息安全标准化技术委员会秘书处
2017年7月3日
标准文本:鉴别与授权 访问控制中间件框架与接口
编制说明:
国家标准《信息安全技术 鉴别与授权访问控制中间件框架与接口》
(征求意见稿)编制说明
一、工作简况
本标准的任务来源是国家标准化管理委员会,任务编号为20120529-T-469。
本标准承办单位为中国科学院软件研究所,协作单位为中国科学院数据与通信保护研究教育中心、北京数字证书认证中心有限公司、中国电子技术标准化研究所、国家射频识别产品质量监督检验中心。主要起草人为张严、张立武、高志刚、王鹏翩、冯登国、荆继武、吴槟、李强、陈星、高能、阎实、罗艳。
2010年中国科学院软件研究所作为召集单位,进行《访问控制中间件框架与接口规范》标准的预编制工作。调研了相关技术和标准。结合期间承担国家科技支撑计划项目子课题“信息安全共性服务构件技术研究”,发改委CNGI项目“CNGI跨域认证授权系列标准规范及应用验证”等相关项目在访问控制和访问控制中间件的技术成果。在2010年形成了《访问控制中间件框架与接口规范》国家标准草案。
2011年开始,联合中国科学院数据与通信保护研究教育中心、北京数字证书认证中心有限公司和中国电子技术标准化研究所等单位,对已完成的《访问控制中间件框架与接口规范》国家标准草案,形成了新的版本,并获得了信息安全技术国家标准委员会的批复,正式立项。
2012年,中国科学院软件研究所作为召集单位,和中国科学院数据与通信保护研究教育中心、北京数字证书认证中心有限公司和中国电子技术标准化研究所一起,结合应用项目对与应用无关的访问控制服务技术的研究工作和国内外在访问控制中间件与访问控制服务相关标准方面的进展,对规范草案进行了进一步修改,于2012年11月形成了《访问控制中间件框架与接口规范》标准征求意见稿。
2013年至2016年,项目组持续进行标准的征求意见和修订工作。对术语、缩略语等部分进行了修订,对第5部分内容进行了整合,调整了第6部分的接口示例到附录B中。2016年6月在TC260周会期间在WG4工作组内进行了汇报和征求意见,并根据工作组成员的反馈进行了修订。
2016年10月17日至10月20日,全国信息安全标准化技术委员会在成都组织召开了2016年第二次工作组“会议周”,期间与会专家和工作组各成员单位对《访问控制中间件框架与接口规范》国家标准草案(2016年10月10日版本)进行了评审,提出了修改意见。经过组内成员单位投票,决定本标准草案通过组内评审,建议进入征求意见阶段。会后,项目组对会上各单位提出的意见进行了处理,形成了标准征求意见稿。2017年2月27日,根据WG4秘书处的要求,项目组将修改后的标准征求意见稿通过邮件方式发送至WG4组内各单位进行组内征求意见。
2017年6月,信安标委秘书处在北京组织召开了标准文本修改会,会上专家建议本标准名称修改为《访问控制中间件框架与接口》,项目组采纳了该意见。
二、标准编制原则和确定主要内容的论据及解决的主要问题
本标准在制定时主要参考了项目组承担的国家科技支撑计划项目子课题“信息安全共性服务构件技术研究”,发改委CNGI项目“CNGI跨域认证授权系列标准规范及应用验证”等相关项目在访问控制和访问控制中间件的技术成果。并结合项目组已制定形成的GB/T 30275-2013《信息安全技术 鉴别与授权 认证中间件框架与接口规范》标准中对于认证授权中间件框架与接口的规定范围,并充分考虑到访问控制中间件框架与接口规范相关技术发展的实际情况,对于访问控制中间件系统的构建和运行尽可能做到清晰、明确,技术人员容易理解,避免出现由于对标准的解释不同,而指导产品实施的情况。同时,又保证为不同厂商进行扩展留有余地。
为了实现标准的可用性和互操作性,本标准在制定过程中使用了当前通用的可扩展置标语言(XML)对消息格式进行规范,并采用安全断言置标语言(SAML)与可扩展访问控制标记语言(XACML)来对属性断言进行描述,通过上述措施,使得遵循本标准实现的访问控制中间件间具有互操作性,并可满足分布式访问控制所需的功能和安全需求。
三、主要试验情况分析
本标准通过项目组承担的国家科技支撑计划项目子课题“信息安全共性服务构件技术研究”,发改委CNGI项目“CNGI跨域认证授权系列标准规范及应用验证”等相关项目的示范验证系统进行了验证,证明了本标准所规定的访问控制中间件架构可以满足与应用无关的分布式访问控制需求,同时具有互操作性。
四、知识产权情况说明
本标准未涉及已知的专利等知识产权内容。
五、产业化情况、推广应用论证和预期达到的经济效果
(本章无内容)
六、采用国际标准和国外先进标准情况
(本章无内容)
七、与现行相关法律、法规、规章及相关标准的协调性
本标准所涉及内容与现有法律、法规和强制性国家标准之间没有冲突。
八、重大分歧意见的处理经过和依据
本标准制定过程中未产生重大分歧意见。
九、标准性质的建议
建议作为推荐性标准实施。
十、贯彻标准的要求和措施建议
(本章无内容)
十一、替代或废止现行相关标准的建议
(本章无内容)
十二、其它应予说明的事项
(本章无内容)
国家标准《访问控制中间件框架与接口》编制工作组
2017-6-19