信息安全技术 鉴别与授权-授权应用程序编程接口规范.docx

ICS点击此处添加中国标准文献分类号OB中华人民共和家标准GB/TXXXXX-XXXX信息安全技术鉴别与授权授权应用程序判定接口规范Informationsecuritytechno1.ogy-AuthenticationandAuthorizationAuthorizationapp1.icationprogrammingdecisioninerfacespecification（征求意见稿）XXXX-XX-XX发布XXXX-XX-XX实施中华人民共和国国家质量监督检验检疫总局分在中国国家标准化管理委员会发布1楚国本标准规定访问控制服务给应用程序提供的编程应用接1(API，描述了相关的数据结构和C语言形式的接口定义，本标准适用于访问控制服务向外提供的携程接口的设计和实现，访问控制眼务的测试和产品采购亦可参照使用.2规范性引用文件下列文件中对于本文件的应用是必不可少的.凡是注H期的引用文件,仅注H期的版本适用于本文件.凡是不注日期的引用文件，其最新版本(包括所有的修改革)适用于本文件.GB/T18794.3-2003信息技术开放系统互连开放系统安全框架第3部分:访问拄制框架，GBZT25069-2010信息安全技术术语3术语和定义卜列术语和定义适用于本文件。访问控制Accesscontro1.一种保证数据处叫!系统的资源只能由被授权主体按授权方式进行访问的手段.GB/T25069-2010.定义2.2.1.423.2访问请求Accessrequest操作和操作数,它们构成一个试图进行的访问的基本成分.CB/T18794.32003,定义3.4.93.3访问控制信息AccessContro1.Information(ACI)用于访问控制目的的任何信息，其中包括上下文信息.(GB/T18791.32003,定义3.4.53.4访问控制判决功能AccessContro1.DecisionFunction(ADF)一种特定功能，它通过对访问请求、ADI(发起者的、目标的、访问请求的或以前决策保留下来的ADI)以及该访问请求的上卜文，使用访问控制策略规则而做出访问控制判决.GB/T18791.3-2003.定义3.4.33.5访问控制判决信息AccessContro1.DecisionInformation(ADI)在作出一个特定访问控制判决时可供ADF使用的部分(也可能是全部)CI.(GBT18791.32003,定义3.4.2j3.6访问控制实施功能AccessContro1.EnforcementFunction(AEF)一种特定功能，它是每一访问请求中发起者和目标之间访问路径的一部分，并实旗由ADF做出的决策。GB/T18791.3-2003.定义3.4.4属性列表Attribute1.ist应用程序和aznAPI实现交互璃性一网性值对的数据结构.3.8审计标识Auditid包含一个用干审计日的标识的网性.3.9认证Authentication脸证个声称者或者系统实体身份的过程.权威Authority一个计。机实体,其实现一个安全服务.授权Authorization授予主体访问权限.媛存Buffer应用程序和aznAPI实现可以用来交换非未知(opaque)数据的数据结构.能力CapabiIity是一个标记，表明抓有者具有访问系统资源的权限拥有此标记.访问控制机制会认为抓有者已被授权访问标记中指明的资源.许可权C1.earance能用来与目标安全标签进行比较的发起者绑定ACI.GB/T18791.32003,定义3.4.13上下文COnteXt从访问请求上下文中获取的信息,其与GB/T18794.3中“上下文信息”的定义相同,在此规范中可以与上下文互换.CB/T18794.32003,定义3.4.143.16凭证句柄Credentia1.hand1.e指向凭证槌的句柄.3.17凭证展Credentia1.schainE1.1.aznAPI实现维妒的结构，包含发起者特权姐性的内部我示，3.18合成凭证集Combinedcredschain一个有序列入的凭证魅，其中的每个元素表示一个主体的特权属性，其递过访问请求来传递，列表中的笫个元素是访问请求发起者的凭证链，列表中的其他元素是以系列中介的凭证链，这些中介传递发起者的访问请求，3.19判决或判定DecisionADF时判定请求的响应。3.20判定请求或判决请求DecisionrequestAEF发送给ADF的信息，此信息询问ADF“允许还是拒绝一个特定的访问谛求”。3.21资格Entit1.ement包含AD1.和访问控制策略规则信息的数据结构,应用程序Ur以使用此信息来决定其行为或者在其代码中进行访问控制判定.3.22标识Identity传递到HZnAPI的发起者ACI.本规范使用这个术谙洪描述所有发起者的信息,包括名称、身份证书和能力"本规他中其由特定含义,不要与此它系统中的标识术语相混消.3.23发起者InitiatOr一个试图访问其它实体的实体（如人类用户或基于计算机的实体）.GB/T18791.32003,定义3.4.15J3.24中介Intermediary是一个实体，此实体接收发起者发送的一个访问求，并且代表发起者发送另一个访问诂求，3.25标签1.abe1.与受保护资源绑定的标记，其标明了此资源的安全相关属性。3.26操作OPeratiOn发起者的访问请求中要求在受保护资源上执行的具体访问动作”3.27特权属性证书Privi1.egeAttributeCertificate(PAC)保护特权属性的数据结构，产生此属性的权城可能而其进行签名。3. 28特权属性Privi1.egeattribute与发起者相关的属性，当与受保护资源的控制属性见配时，用来允许或拒绝访问此受保护资源。3.29受保护资源Protectedresource访问受访问策略限制的目标。3.30目标Target被试图访问的实体.(GB/T187W.32003.定义3.4.234缩略语下列缩略谱适用千本文件：ACI访问控制信息(AcccssContro1.Information)ADF访问控制判决功能(AccessContro1.Function>ADI访问控制判决信息(AccessDorisionInformation)AEF访问控制实施功能(AccessEnforcementFunction)API应用程序编程接I(APP1.iCatiOnPrOgramming1.ntCigacc)aznPI授权应用程序编程接口(AU1.hodZation/Xpp1.icaiionPrgrammingImerface)ID标识(Identity)PAC特权睇性证书(Privi1.ege.AttributeCertificate>5概述通常将授权定义为:将访问权限赋予一个主体（如用户或程序）。然而以上这个定义并没有严格区分以下两个概念：a）用来声称一个主体可以被授于一组特权M性的管理行为.b）在判定主体已经被献予所需的特权属性后，允许主体访问资源的操作行为.以上两种行为都可以被描述为“授予主体访问权”.由于上述慨念在授权定义中是模糊的，所以区分特权属性管理和访问控制是很必要的，行为U是特权属性管理任务,而行为b是访问控制任务.i.GB,'T25W6-20I0信息安全技术术语规范中，访问控制定义为：种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。本文定义了一个访问控制应用程序接口（API）.此APIUr用于符合GB,T187943访问控制框架的系统中.尽管此AP1.提供了允许主体控制哪些特权属性可以被用于访问控制授权请求判决中（通常被称为最小特权），但弁不提供特权属性管理.6目标此AP1.设计目标如下：a）定义一个简单、灵活的API,安全组件提供者和需要安全保护的应用程序开发者可以通过调用此RP1.来实现授权功能。b）访问判决时可以应用透明地进行策略规则的评估.c）独立于应用的策珞集中管埋.d）透明地提供广泛的策略规则词法和语义（如访问控制列表、能力、标签、逻辑调词等）。e）将认证和授权分离。f）允许从认证数据中推导出授权展性.g）透明地支持任意合理的授权随性类型（如访问标识、如、角色等.h）易于在多层次结构的应用系统中提供授权服务.i）在多层应用配置中允许使用外部授权属性.J）应用程序可以访问陶用于其资源的访问捽制策略.k）PI的实现支持多种访问控制机制.1）单程序可以同时使用多个认证和授权服务，m）支持应用程序访问与授权限务律作相关的审计数据。下面是此规范不涉及的内容：a）定义一个管理授权策略的API.b）描述证书委托服务或语义。c）描述一个审计服务APId）描述授权服务如何以及何时生成审计事件.e）在弁构环境下，定义用来交换证书估恩的PAC格式.f）支持短一种可能的授权策略规则词法和语义，7总体架构本文中定义的授权API用于GB,T18794.3访问控制梃架中，本堂简的地描述了此框架，读者可以从GB-T187M3中获取更多的信息。本文定义了一个授权AP1.程序接口，通过此接口衢要控制资源访问的系统组件可以向系统访问控制眼务提出访问控制判决谛求。GB,T18794.3访问控制框架支持独立系统和网络系统.本文中的系统指“一个或一组计算机,通过网用授权API,可使用访问控制服务来保护这个些）计算机的资淞”.7.1GB/T18794.3访问控制框架GB/T18794.3访问捽制框架如图1所示.图1G8/T18794.3访问控制框架本框架在访问请求中定义了四个组件角色：a）发起者b）目标c）访问控制实躺功能（AEFd）访问控制判决功能（ADF）发起者发送访问请求，访问访求说明了在目标中执行的掾作，访问控制实施功能（AEF）仲裁访问请求，AEIADF发送判定请求来询问此访问请求是否被授权或拒绝.ADF决定访问请求是否被授权或拒绝.7.2访问控制服务组件访问控制服务包括系统组件AEF和M）F.7.2.1ADFADF根据访问控制判决信息（ADD做出访问控制判决,ADI描述了发起者、目标、访问i。求、系统和环境安全相关的屈性.ADI在731.2节中详细讨论.图2描述了ADF用来进行访问控制判决的信息.判决请求判决发起ADI目标ADIADF上下文信息访问请求ADIRmAD1.访问控制策略图2ADF输入7.2.2AEF访问控制实施功能实施fADF的访问控制判决结果.授权AP1.是一个媒介，通过此API,AEF调用RDF来获取访问控制判决的结果，AEF使用此API向ADF传递访问控制信息(ACIr如图3所示,此API的的实现负责从AEF提供的ACI中推导出ADI.并H.将此AD1.提交给ADKADF根据上述AD1.信息.以及访问控制策略和当前上下文AD1.来做出访问判决.2 .3访问控制信息访问控制估恩(ACI)是AEF可获取的与访问控制判决可能相关的信息,授权AP1.(aznAPI)的职责是：a确定AEF提交的与访问控制判决有关的ACI信息，b)将AEF提交的ACI转化为ADF可用的AD1.c）将AD1.提交给ADF.本文考虑了几种访问控制信息。这些信息描述了发起者、目标、访问请求以及请求上下文与授权相关的械性.7 .3.1发起者信息发起者信思描述了访问请求发起者安全相关属性：发起者AC1.是AEF可获取的发起者信息.发起者ADI是经过aznAPI格发起拧ACI转换后的发起者伯恩，这些信息ADF可以茯取.7. 3.1.1发起者AC1.由认证服务生成的发起者AC1.数据结构在此标准中称为标识.标识可以做简单,如只包括发起者的名称字符小，也可以很复杂，如包括X5（）9数字证书.授权AP1.可以接受能力作为标识，能力是由认证服务提供的I1.接断言，如图4所示，能力是某权成的断言（如使用签名）。在能力中并不是必须要标明发起者，无论谁拥有能力都可以使用。在图4中，发起者使用虚线来表示.能力中包括一个策略入口列表每个入口指定了一个目标客体,同时定义规则用来描述发起者允许执行的操作，注：>znAP1.实现不要求支持所有的标识格式同时也不是必发要支持傥力.客体I客体2规则1规则2.1授权所言图4靛力由授权服务产生的发起并ACI数据结内被称为PAC.并不砧只有授权服务可以产生PAC认证以务也可以产生PAC来声称用户标识。在“推模式”中，RAC是用户特权属性、（aznAPI实现中，由认证眼务产生的PAC被当作标识来处理,以此来区分AZN自己产生的授权数据结构,）aznAPI实现也可以将PAC数据结构作为用户凭证信息的内部表示.AEE通过aznAPI是不可见这些数楙结构的.PAC应符合7.3.7.1.8. 3.1.2发起者AD1.发起者AD1.是从发起者ACI中衍生出来的授权相关信息.通过aznAPI传递给ADKAznAP1.符发起若ADI存储在称为凭证链的数据结构中.因为凭证链不会传递给aznAPI的两用齐，同时不同的授权限务可以使用不同的凭证链格式，所以凭证就数据结构格式定义不包括在此标准中。尽管aznAPI不允许调用者H接访问凭证疑，但其提供访问凭证链属性信息的接口困数，图5显示了aznAPI如何将发起者AC1.转换为凭证拣,并且返回一个凭证句柄给调用者,aznAPI可以用在将特权属性从客户相推到EF的系统中，或者要求AEF从某个存储或眼务中采用拉模式获取特权属性的系统中,在推模式环境卜，发起者AC1.中包含被客户端推来的特权属性，并且被料换为UJ以被aznAP1.实现使用的内部数据.在拉模式环境下,ACI发起者只包含第一特权属性（如发起者被认证的名称）,而aznAPI实现在构建发起者凭证健时，从适当的存储或结构中获取发起存的其它特权属性.图5将发起老AC1.转化为一个凭证7.3.2目标信息目标信息描述C访问请求中与目标相关的安全信息：a）目标AChAEF可以获取的目标仁息b）11标ADhaznAPI转换目标ACI获得的目标信息。7.3.2.1目标AC1.通常aznAPI稀要的目标ACI数掘只½目标名.安全标锭是此规则的特例.AznAPI可以支持包含安全标签的AD1.的访问控制判决。在某些她于标签的授权系统中，授权眼务并不知道标签信息是如何在目标中被编码的，以及标签是如何以与目标相关的元数据的方式存储起来的.在这些例子中AEF需要获取目标安全标签,并将他们作为目标ACI传递给aznAP1.授权AP1.可以被实现为支持处理不同类型的标签，在支持多种标签的实现中，调用者需要明确使用的标签模式ID,使得API知道在此调用中使用哪类标签.7.3.2.2目标AD1.不同的授权服务实现可以包含不同数状的I1.标AD1.和数据类型，目标AD1.数据通常并不返回给调用者，所以目标AD1.数据格式不在此标准中定义，由于有些授权API调用者可旎会因为其它用途使用授权策略数据,所以授权AP1.支杼符AD1.数据外部化为数据结构,此数据结构称为资格。资格应符合7.372.7.3.3请求信息请求信息描述了访问请求相关的安全璃性：a）请求ACI跟AEF可以获取的请求信息.b）请求ADI是授权API将请求ACI转换后的请求信息。7.3.3.1请求AC1.az11API只要求请求ACI包含请求的操作名称.7.3.3.2请求AD1.不同授权服务实现可以有不同类里和数状的请求ADI数据.请求ADI数据并不返I，”给调用者.所以请求ADI数据格式弁不在此标准中定义.7.3.4上下文信息：下文信息描述T访问请求发生上下文的安全相关屈性.上下文AC1.是AEF可以获取的上下文信息.上下文AD1.有两个来源：a）第一个来源是aznAPI将上下文ACI转换后的结果。b）第二个来涉是授权服务可以直接获取而并非由ACI提供的上下文信息.7.3.4.1上下文AC1.aznAPI定义了四种上卜文ACI数据，这些数据可以作为上下文信息传递给授权眼务：时间：请求发生的时间.地点：请求发起的地点（源地址.路由；将请求从发起者仅通到AEF通过的连接，认证质量：用于建立发起者身份的认证的质量.另外,上下文信息并不局限于此,SAP1.允许AEF使用非透明类型的参数传递给授权服务,使用这些参数说明应用或授权服务相关的上下文伯恩.使用这些通过不透明参数传递特定上下文伯息格式的授权眼务的应用可移掖性低，7.3.4.2上下文AD1.不同的授权服务的实现可以有不同数忒和类型的上下文ADI数掘.上下文ADI数据在aznAPI中不返回给调用者，所以在此标准中不定义上下文AD1.数据格式，7.3.5预留信息授权服务可以保用同一发起者请求的操作序列信息，并由此来蚁出访问控制判决。如，用于ATM中的授权服务保存了林个用户在当前所取的钱致信思，并以此来实现每天的取钱限制策略，授权服务为此目的保留的信息是ADI,并且不会通过授权AP1.暴理给应用程序.因此.保曲的AD1.信息的格式在此标准中不涉及.7. 3.6访问控制策略信息访问控制策略信息包括用来评估其它的ADI并且做出访问控制决策的设则.冏用者并不能从授权API中获取访问控制策略信息，不同的授权服务可以使用不同类型和数收的访问控制策略佶息,所以访间控制策略信息格式不在此标准中定义。授权服务可以以资格的形式外部化访问控制策略信息，这部分内容在737.2中描述.8. 3.7外部化AD1.授权AP1.X寸调用者有感隐藏了发起者AD1.和访问控制策略信息的细节。然而，这些信息在某些情况下对调用者是有用的，因此，授权AP1.允许授权服务外部化发起者ADI和访问控制策略信息，9. 3.7.1PACs授权API将外部化的发起者ADI放在一个称为PAC的数据结构中，图6表明了PAC的创建过程，发起者AD1.的外部化允许授权服务以它的角度断言发起者的安全相关特征，这与从认证服务角度看到的发起者的安全相关特征是不同的“某授权服务可以使用这个功能产生签名的M性证书，其它服务以此作为授权数据源.因为此标准只定义了个不透明的PC结构，由一个授权服务产生的PAC不能保证被其它授权限务使用.在将来的标准中会定义一个标准的PAC结构，以此为基础，授权限务之间可以传递发起者授权璃性的断言.it.答名的PAC可以川来构建委托协议.授权AP1.不徒提供委托服务.个委托协议必须允许希里成为发愁者谛求委托的实体可以将以下内容传递於一个目标： 被委托的请求. 个可信史东，证明城初从访前发起并处得轲的请求已姓被认i£. 委托衣被授权将谛求以发起存的名义转发给I1.标的可信衣示. 发起考的怡任发示和委托W的死i£信息”授权服务可以签名PAC来形成发起者的信任丧示和委托者的凭证信息,甚至UJ以包含身份信息（如证书发布者标识和身份证书序列号）建立起到发起者认证数据的一个琏接,但授权服务并不在请求中绑定PAC以加密或其它方式.代我发起拧或作为发起者委托者身份的AEF必须使用一个独立的加密:设施或委托服务来绑定由aznPI生成的PAC与委托请求消息。注：术语委托在此处的含义与DnC和SnSAME系统中的概念相同.委托是个安全功能，通过此功能接受到访何讲求的中间者以发起者的名义来睛来动同受保护的资源，在其它文件中（如X.5O9）变托有不同的含义7. 3.7.2资格授权AP1.将外部化的访问控制策珞信息存储在称为资格的数据结构中。外部化的访问控制策略信息允许应用程序基于授权策略来定制系统的行为.例如,其允许应用程序修改系统菜单来显示发起行,可以执行的访问,而不是显示系统中所有的操作.资格信恩也可以被应用程序用来做出其自己的访问判决，而不是依赖F在授权服务中实现的ADFe图6凭证外部化为PAC授权API定义了一个可移植的、徒个授权服务可以支持的资格数据格式，是一个特定发起者可以在某个特定目标上执行的操作列衣。图7显示资格信息的格式示例。主体数据周困的虚线表示发起者数据是吃含的,其并不包含在授权AP1.返回的资格数据中.发起行目标1目标2允许的操作列表禁止的操作列表允许的操作列表禁止的操作列表图7可移植的资格示例可移植的资格数据表示保证了在所有的授权服务中都可以被支持，但其不是非常有效的。一些授权限务可能使用单一规则或者使用通配符来表示发起者在许多目标上的操作授权，甚至Ur以用一个单一规则或表达式来描述多个发起者的授权然而不同的授权服务使用不同的规则格式,并且不存在一个单一规则格式可以用来有效地表示所有授权眼务，范于这个原因，授权AP1.允许授权限务以北透明类型参数的形式返回非移抗的资格信息,如图8所示，非移掖资格信息UJ通过任意的规则方式进行描述，现期I规则2图8非移植资格示例使FH非移植资格要求调用授权AP1.的应用程序来理解授权限务规则格式,并且防止调用授权Ap1.的应用程序使用有不同规则格式的授权魔务.8授权AP1.使用模型7.1 系统结构图9是使用授权API的系统结肉，E9授权AP1.系统结构在使用授权AP1.的系统中的资源请求由AEF来仲机.AEF认证用户（通用使用认证服务），同时AEF也通过将访问控制信息传递给授权AP1.来授权请求，其完成被授权的谛求并F1.拒绝未被授权的请求.授权AP1.将从AEF中发来的AC1.转换成AD1.同时利用ADE做出访问判决.ADF使用AD1.和访问策略规则来判决发起者在目标上执行操作的请求是被允许还是拒绝.7.2 支持的函数表1列出了文献1中提供的授权API函数族,并且简的描述了每一个族的功能.表1授权服务AP1.函数接”族命名前缀接口族支持的功能Uznjni1.ia1.izc.azn-shutdown初始化授权AP1.的实现系统停止运行时，清除授权API的实现azn_crcds创建.删除、修改和合并链从凭证徒中获取佰息基于凭证就创建PACazn_id加于由认证眼芬产生的认证玩识建立认证法azn_dccision做出访问判决azn_cnti1.1.emen1.获取访问控制策略信息azn_pac用于由授权限务产生的PAC建立凭证能ain_error从由授权API/数返回的状态值中获取错误信息azn.authority由aznAPI实现支持的认证、授权和凭证、标维、Pi1.C发现机制aicaur1.is创建和删除旗性/值列表将参数可入属性/值列表从出性/值列表中读取参数数据azn_re1.ease择放在授权API实现中分配的数据7.3 状态机图10概括/词用授权AP1.应用的状态机（通常是一个AEF）,AEF应该按图中的顺序啊川授权AP1.函数.图中所描述的仅是状态机的大致情况,并没有列举出授权服分实现调用者所有可能的状态.由于AEF通过API而不是授权AP1.调用认证服务,所以图中并非斑个状态都是由授权AP1.函数调用引起的。S11O授权AP1.状态机概览表2指明了可以引起状态轴移的授权API函数调用和其它AEF操作,表2授权AP1.状态机迁移迁移引起迁移的操作1AEF获取己被认证来务认证的发起者的请求2AEF获取请求，AEF认证发起者3AEF狭取由一个授权API实现产生的PAC所描述的发起者的请求4AEF调用a7n_dccision_acccs$_;i1.1.owcd()来授权请求(授权服务使用从环境中狭取的认证服务标识胞含地建立凭证混)5AEF调用azn_i1.gCjCmd5(),其参数中的ID为空(授权服务使用从环境中获取的认证标识)6AEF调用azn_id_ct_crcdsO，其参数中的ID是在认证发起者时由AEF产生7AEF调用azn_pac_gct_crcds()8AEF调用azn_creds_«)mbine<>来给发起者添加凭证就9AEF调用azn_creds_mOdifyo来改变凭证链的弱性10AEF现用a7n_crcds_modify()来改变凭证链的属性I1.AEF调用azn_ckcision_access_a1.1.owcd()12AEF调用azn_crcds_ge1._pac()13AEF调用azn_creds_ge(_pac()14AEF调用a7n_decision_acccss_a1.1.owcd()图IO的状态机可以分为三个阶段：a）凭证建立图10中初始状态的最左边一列的状态网干此阶段,在此阶段中.AEF使用授权API建立凭证链.授权服务将使用此凭证链作为后续操作的基础.b）凭证修改图10中初始状态的右边的第二列属干此阶段，在此阶段中，AEF通过修改凭证链中的数据或合并发起拧的凭证琏来改变发起者的凭证鞋.c）凭证使用图IO中域右边一列的状态属于此阶段，在此阶段中，AEF在授权判决或创建可传递给其它AEF的PAC中使用凭证链.8. 3.1没有包括在状态图中的函数为了简化状态图，状态图中忽略了些授权AP1.函数，这些忽略掉的函数包括：a）管理函数b）内存管理C）错误信息的获取<1）凭证信息获取O资格8. 3.1.1管理函数管理函数包括授权API的初始化和关闭函数，初始化在使用任何授权P1因数而必须调用.关闭函数在调用呆后一个授权函数后或在AEF退出前必须被调用.8. 3.1.2内存管理这些函数包括创建和删除凭证链和属性列表数据结构，这些数据结构必须在使用前被创建。在创建凭证链的调用中假定凭证链的内存通过调用azn_ceds_cr«i1.e（1.1.被分配。授权服务不择放凭证链和属性数据结构内存，AEF必须词用azn-rc1.case或azn_CrCdCntia1.ddete来择放内存.8. 3.1.3错误信息的获取在调用授权AP1.函数返回一个错误状态后，可以调用错误信息获取函数，8. 3.1.4凭证信息获取在建立凭证链后的任何时候都可以调用此类函数，9. 3.1.5资格在建立凭证锥后的任何时候都可以网用此类函数.8.4信任模型安全系统的每一个组件需要知道其信任哪些组件,以及他Q可以被信任来做什么.本节表述了使用授权Ap1.的系统组件之间的信任关系.8.4.1认证和授权的关系授权AP1.将认证和授权分商开来,如图11所示：图11认证和授权的关系发起者可以使用认证服务来创建个标识，EF在接收发起者访问清求时获取此标识。AEF调用授权API将发起者标识转化为凭证链，凭证徒被用来做访问控制判决，在实现中如果需要招发起者的请求传递给另一个AEF.AEF可以调用授权AP1.将凭证擅转化成一个PAC，此PAC龙示授权服务对发起者的观点（此处不是认证服务对发起者的观点，认证服务的观点表示为标识）.另外一个AEF接收到此PAC后,可以将其转化为一个凭证链，此凭证徒UJ用于访问控制判决.在一个使用授权AP1.的系统中： 认证数据表示为标识. 发起者的授权数据AQ，在授权服务中总是表示为凭证链. 关于发起者的授权数据ACI在授权眼务外总是表示为PAC.基于以上原因,可以区分认证数据和授权数据.关于认证数据的可信判决取决于AEF,一个授权API实现并不对其它AEF传递来的身份信息是否可信作出判断。8.4.2TCB边界图12决示AEF、授权API、ADF、PAC服芬、认证服务和认证服务使用的任何机制均位于系统的可信计算册（TCB中，因此需要防止他们未经授权被修改。图12授权AP1.系统中的信任关系系统中的组件有如下信任关系：a）目标资源的属主信任AEF.含地信任认证和授权服务（包含在以外边的灰色框内的所有组件），以此来阻止非授权的发起者访问目标，b）认证服务信任认证机制功能iE确,同时能鲂提供发起者正确的标识.c）AEF佶任认证服务提供正确的和羟过认证的发起者标识，隐含地伯任认证机制.d）授权AP1.信任AEF提供正确的AC1.e）AEF信任授权AP1.健州做出并且返回正确的访问判决，同时可以返回正确的PAC资格和凭证依特权属性,AEF隐含地信任授权极务.O授权服务信任实现基于发起拧安全陋性存储能够将发起齐标识正确地转化为凭证健.g）授权AP1.信任PAC服务能纾将凭证链正确地转化为PAC服务，并且返回正确的凭证边特权属性.h）授权API实现和PACfM务信任安全属性存储能保持正确的信息.i）授权AP1.伯任授权服务ADF能够基于访问控制策略做出正确的访问判决.j）授权AP1.信任授权服务的资格眼务（ES）能铭施丁访问控制策略存储返回正确的资格，k）ADF和ES信任访问控制策珞行储包含正确的信息.9功能和可移植性要求1 .1功镜要求在本节将描述授权AP1.实现所要支持的所有功能,1.1.1 函数表3中描述的函数应该在授权API中实现,并且要与胡准保持一致.符合第7章中给出的细节.表3必缜实现的函数azn_a(tt1.ist_*产a1.1.attr1.istca1.1.s*/azn_creds_crcateazn_creds_dc1.ctca7n_dccision_acccss_a1.1.owcdazn.error_9t*a1.1.errorca1.1.s/azn_id_ge1._credsUznJnitiaIizcaznC1.casiC*a1.1.re1.easeca1.1.s*/azn_shutdown在笫7章中描述的其他函数功能可以选择实现，而时于未实现的功能，函数要返回AZN_S_UN1.MP1.EMENTED_FUNCTIoN,1.1.2 授权'股务、模式和机制所有的授权服务实现必须支持使用ZN-NU1.1.JD,此参数表明使用缺省的权成和跳省的机制【“提供资格服务、标记模式、凭证修改服务和PAC服务的授权实现必须支持使用AZN_NU1.1._ID.此参数表明使用缺省的服务或模式。授权服务实现不要求支持任何显式权威、模式、机制或服务ID.将来，补充标准可以定义授权、模式、机制和服务ID的标准可移植集合。1.1.3 显性所有授权AP1.实现必须能膨从azn_iniiia1.izc。中返WIAZN_C_VERS1.oN属性和其字符值.2 .2移植性要求应用程序如果只使用以上描述的aznAP1.的功能,并MaZnAPI的不同实现都支持应用程序的资源和操作，那么这些不同实现之间具有可移机性.9 .2.1费源和操作命名本标准不为受保护的资源或操作定义标准的命名空间或命名词法,在下一个版本中可能会包括这一部分.在受保护的资源和愫作的命名空间和命名词法定义前，程序开发者需要检i他们的授权AP1.文档，以此来保证他In的资源名称和操作名称在其使用的授权RPI中被支持.10参数传递规则本章描述在授权API南数中使用的数据类蟹和常量，并且解择函数调用规则。命名规则和格式遵循XDAS规范.10 1结构化数据类型本章描述授权AP1.程序返回的未在C中定义的结构化数据，10.2字符串数据和相近数据102.1缓冲区大量的授权AP1.程序采用内存线冲区作为其参数或返回值.内存缓冲区在授权AP1.间传递,同时冏用者使用a/n.bu1.fcrj来描述单字节缓冲区,此数窕类型是一个指向缓冲区描述符的指计，其缓冲区描述符包括一个长度域和一个值域，长度域描述数据长度，而位域包含一个指向真实数据的指针：(ypcdefstructazn_buf1.cr_dcsc_struct(size1.ength;void*va1.>e;azn_buf!'er_dcsc.*azn_buf1.er_t:azn_buffcr_dcsc对象内存的分配和择放应由应用程序来执行,新创建的azn_buffer_dcsc对象可以初始化为AZN_C_EMPTY-BUFFERazn_buffer_t客体在azn_ai1.riiS1.ge1.entryjn1.ftjva1.>e和azn_Cred$_get_pac中是,个输出，在这种情况T.在aznJ>ufejdesc中的镀冲区数心分配由授权API来实现.此种慑冲区必须由应用程序调用azn_rdcasc_buffcr来择放.10.2.2字符串大量的授权AP1.程序以字符邓作为其输入参数和返回值，调用者使用aZn_s1.ring_(数据类型在授权API间传递字符*：typcdcfcharazn_Mring_t;这是个字符中数据类型，用来编码标识能力、许可或类似概念，字符串使用以“0”为结尾的UTF-8字符数姐来表示。10.2.3凭证句柄大出的授权AP1.以凭证句柄为其参数或返回免证句柄，调用者使用azn-creds-h-(数据类型在授权API间传递凭证句柄：azn_crcds_h_t各种类型的a7n_crcds_h被非透明地处埋，这与凭证链的具体实现有关.在应用程序使用凭证句柄的，其必须调用M1.credSUfeaIe来初始化句柄，此函数分鼠一个新的、空的凭证链结构，并将其与一个句柄相关联，并返回此句柄，当应用程序不再备要一个凭证链结构时,应用程序必须调用azn.creds_de1.ete来择放凭证琏结构.1024属性列表句柄大愤的授权API程序以属性列衣句柄为其参数或者返回一个碱性列表句柄.调用者使用azn_attr1.iSt_h_t数据类型在授权API间传递属性列表句柄.azn_attr1.ist_h_t各种azn_at(r1.i$(_h_(被非透明地处理，这与授权API实现维护的名称，值对列去有关，授权API提供接口通过属性列表句柄指定属性列表来获取名称/值对.在应用程序使用国性列表句柄前.应川程序必须调用azn-attriiSJC1.rate来初始化句柄.当应用程序不需要此句柄时，需要调用aznattr1.istde1.ete来删除句柄,103状态假授权AP1.程序返W1.类型为azn.staius.t的状态嫔码azn_sja（us_t为了与标准C语言条件测试规则保持一段，授权API实现中的azn_SiaUIS应该Ur以映射为一个将数.冏用成功的总是返W1.AZN_S_COMP1.E