《信息安全技術(shù)鑒別與授權(quán)訪(fǎng)問(wèn)控制中間件框架與接口》

GB/TXXXXX—XXXX

訪(fǎng)問(wèn)控制中間件框架與接口

1范圍

本標(biāo)準(zhǔn)規(guī)定了訪(fǎng)問(wèn)控制中間件的框架結(jié)構(gòu)與內(nèi)部組件關(guān)系，定義了該框架內(nèi)各組成部分的功能、操

作流程及接口定義。

本標(biāo)準(zhǔn)適用于訪(fǎng)問(wèn)控制中間件的設(shè)計(jì)與實(shí)現(xiàn)，并可指導(dǎo)對(duì)該類(lèi)中間件系統(tǒng)的檢測(cè)及相關(guān)應(yīng)用的開(kāi)

發(fā)，對(duì)該類(lèi)中間件產(chǎn)品的采購(gòu)亦可參照使用。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T9387.2-1995信息技術(shù)開(kāi)放系統(tǒng)互連基本參考模型第2部分安全體系結(jié)構(gòu)

GB/T18793-2002信息技術(shù)可擴(kuò)展置標(biāo)語(yǔ)言（XML）1.0

GB/T18794.3-2003信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架第3部分訪(fǎng)問(wèn)控制框架

GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)

GB/T29242-2012信息安全技術(shù)鑒別與授權(quán)安全斷言置標(biāo)語(yǔ)言規(guī)范

GB/T30281-2013信息安全技術(shù)鑒別與授權(quán)可擴(kuò)展訪(fǎng)問(wèn)控制標(biāo)記語(yǔ)言規(guī)范

GB/T31501-2015信息安全技術(shù)鑒別與授權(quán)授權(quán)應(yīng)用程序判定接口規(guī)范

3術(shù)語(yǔ)與定義

GB/T25069-2010、GB/T18794.3-2003界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

屬性attribute

主體、資源、動(dòng)作和環(huán)境的某個(gè)特征，該特征可以在策略中被引用。

3.2

決策decision

依據(jù)訪(fǎng)問(wèn)控制策略做出的評(píng)估結(jié)果。

3.3

環(huán)境environment

一組與決策相關(guān)的屬性集合，獨(dú)立于特定的主體，資源或者動(dòng)作。

3.4

資源resource

數(shù)據(jù)，服務(wù)或者系統(tǒng)組件。

3.5

主體subject

訪(fǎng)問(wèn)控制行為的發(fā)起者。

3.6

用戶(hù)user

2

GB/TXXXXX—XXXX

使用系統(tǒng)和系統(tǒng)資源的自然人。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件：

IF-AQ：屬性查詢(xún)接口（Interface-AttributeQuery）

IF-CDAQ：跨域?qū)傩圆樵?xún)接口（Interface-CrossDomainAttributeQuery）

IF-DM：決策管理接口（Interface-DecisionManagement）

IF-PD：策略決策接口（Interface-PolicyDecision）

IF-PQ：策略查詢(xún)接口（Interface-PolicyQuery）

LDAP：輕量級(jí)目錄訪(fǎng)問(wèn)協(xié)議（LightweightDirectoryAccessProtocol）

RPC：遠(yuǎn)程過(guò)程調(diào)用（RemoteProcedureCall）

SAML：安全斷言標(biāo)記語(yǔ)言（SecurityAssertionMarkupLanguage）

SOAP：簡(jiǎn)單對(duì)象訪(fǎng)問(wèn)協(xié)議（SimpleObjectAccessProtocol）

SSL：安全套接層（SecureSocketsLayer）

TLS：傳輸層安全（TransportLayerSecurity）

XACML：可擴(kuò)展訪(fǎng)問(wèn)控制標(biāo)記語(yǔ)言（eXtensibleAccessControlMarkupLanguage）

XML：可擴(kuò)展標(biāo)記語(yǔ)言（eXtensibleMarkupLanguage）

5訪(fǎng)問(wèn)控制中間件體系框架

5.1概述

訪(fǎng)問(wèn)控制過(guò)程包含三個(gè)參與方：發(fā)起者、訪(fǎng)問(wèn)控制中間件和訪(fǎng)問(wèn)目標(biāo)。發(fā)起者是試圖訪(fǎng)問(wèn)目標(biāo)的實(shí)

體；訪(fǎng)問(wèn)控制中間件是通過(guò)對(duì)適用的訪(fǎng)問(wèn)控制信息進(jìn)行評(píng)估以決定發(fā)起者是否可以對(duì)目標(biāo)進(jìn)行特定類(lèi)型

訪(fǎng)問(wèn)的一系列組件及組件間接口的集合；訪(fǎng)問(wèn)目標(biāo)是被試圖訪(fǎng)問(wèn)的實(shí)體。

訪(fǎng)問(wèn)控制中間件體系框架如圖1所示。該體系框架對(duì)于不同的設(shè)備、拓?fù)浣Y(jié)構(gòu)與應(yīng)用配置的訪(fǎng)問(wèn)控

制需求進(jìn)行了綜合考慮，并且對(duì)此類(lèi)需求是通用的。訪(fǎng)問(wèn)控制中間件包括了訪(fǎng)問(wèn)控制實(shí)施組件、訪(fǎng)問(wèn)控

制決策組件、訪(fǎng)問(wèn)控制策略應(yīng)答組件和訪(fǎng)問(wèn)控制屬性應(yīng)答組件。組件的功能見(jiàn)5.2節(jié)，組件的接口定義

見(jiàn)5.3節(jié)。附錄A給出了訪(fǎng)問(wèn)控制中間件的典型應(yīng)用場(chǎng)景。

3

GB/TXXXXX—XXXX

圖1訪(fǎng)問(wèn)控制中間件體系框架

5.2組件定義

5.2.1訪(fǎng)問(wèn)控制實(shí)施組件

概述

訪(fǎng)問(wèn)控制實(shí)施組件處于發(fā)起者與目標(biāo)之間，攔截發(fā)起者的訪(fǎng)問(wèn)請(qǐng)求，協(xié)助收集訪(fǎng)問(wèn)決策的輔助性信

息，傳遞決策請(qǐng)求至訪(fǎng)問(wèn)控制決策組件并根據(jù)返回的判定結(jié)果決定訪(fǎng)問(wèn)是否可以執(zhí)行。

訪(fǎng)問(wèn)控制實(shí)施組件是直接面向訪(fǎng)問(wèn)請(qǐng)求的應(yīng)答模塊，將發(fā)起者請(qǐng)求和具體的授權(quán)決策過(guò)程等復(fù)雜的

業(yè)務(wù)邏輯進(jìn)行剝離，是決定訪(fǎng)問(wèn)控制中間件和具體業(yè)務(wù)應(yīng)用系統(tǒng)能否實(shí)現(xiàn)插拔組裝的基礎(chǔ)性模塊。

訪(fǎng)問(wèn)控制實(shí)施組件應(yīng)實(shí)現(xiàn)至節(jié)中規(guī)定的功能。

接收訪(fǎng)問(wèn)請(qǐng)求

訪(fǎng)問(wèn)控制實(shí)施組件應(yīng)能夠接收來(lái)自發(fā)起者的訪(fǎng)問(wèn)請(qǐng)求。發(fā)起訪(fǎng)問(wèn)請(qǐng)求的發(fā)起者（用戶(hù)）可能來(lái)自不

同物理位置并通過(guò)不同的訪(fǎng)問(wèn)代理方式，例如“瀏覽器/服務(wù)器”結(jié)構(gòu)或者“客戶(hù)端/服務(wù)器”結(jié)構(gòu)，訪(fǎng)

問(wèn)控制實(shí)施組件應(yīng)該根據(jù)固定交互模式對(duì)來(lái)自用戶(hù)代理的請(qǐng)求進(jìn)行一致化處理，對(duì)原始請(qǐng)求規(guī)定一致的

邏輯實(shí)體，例如用戶(hù)標(biāo)識(shí)、訪(fǎng)問(wèn)動(dòng)作、資源標(biāo)識(shí)、屬性信息等，訪(fǎng)問(wèn)請(qǐng)求的格式可依據(jù)GB/T30281-2013

等標(biāo)準(zhǔn)。

訪(fǎng)問(wèn)請(qǐng)求信息的傳遞不限制具體的傳輸協(xié)議，滿(mǎn)足訪(fǎng)問(wèn)控制實(shí)施組件要求的應(yīng)用協(xié)議都可以負(fù)責(zé)處

理信息傳遞。

收集訪(fǎng)問(wèn)決策相關(guān)輔助性信息

訪(fǎng)問(wèn)控制實(shí)施組件應(yīng)能夠收集其他對(duì)訪(fǎng)問(wèn)決策提供幫助的輔助性信息。用戶(hù)原始請(qǐng)求中包含的訪(fǎng)問(wèn)

信息可能并不足以使訪(fǎng)問(wèn)控制決策組件給出確定的決策結(jié)果，訪(fǎng)問(wèn)控制實(shí)施組件在將訪(fǎng)問(wèn)請(qǐng)求轉(zhuǎn)發(fā)之

4

GB/TXXXXX—XXXX

前，應(yīng)根據(jù)應(yīng)用需求對(duì)訪(fǎng)問(wèn)請(qǐng)求附加若干有利于加速?zèng)Q策過(guò)程的輔助信息，例如用戶(hù)的屬性信息、組件

本身可以感知的若干系統(tǒng)信息。強(qiáng)制性規(guī)定添加哪些輔助信息并不合適，不同的業(yè)務(wù)系統(tǒng)會(huì)有不同的專(zhuān)

注點(diǎn)，可能來(lái)自于主體、資源以及環(huán)境，應(yīng)允許管理者通過(guò)配置的方式指定優(yōu)先附加的輔助信息。

輔助信息的添加并不一定限制在訪(fǎng)問(wèn)控制實(shí)施組件中，其他組件根據(jù)需要也可以具備該功能，例如

訪(fǎng)問(wèn)控制決策組件中。根據(jù)GB/T18794.3-2003中的說(shuō)明，輔助信息的獲取方式可分為“推”模式和“拉”

模式，采用哪種模式取決于系統(tǒng)的決策邏輯和某些強(qiáng)制性選擇，本標(biāo)準(zhǔn)在可以添加輔助信息的模塊進(jìn)行

顯式說(shuō)明，采用何種方案最終由用戶(hù)選擇。

請(qǐng)求格式轉(zhuǎn)換

訪(fǎng)問(wèn)控制實(shí)施組件應(yīng)能夠?qū)?duì)請(qǐng)求格式進(jìn)行標(biāo)準(zhǔn)形式的轉(zhuǎn)換。將用戶(hù)發(fā)送的訪(fǎng)問(wèn)請(qǐng)求和系統(tǒng)收集的

輔助信息用統(tǒng)一的方式描述可顯著提高組件的運(yùn)行效率并降低開(kāi)發(fā)成本，本標(biāo)準(zhǔn)建議采用對(duì)訪(fǎng)問(wèn)請(qǐng)求進(jìn)

行統(tǒng)一描述，基于屬性的描述機(jī)制通過(guò)靈活豐富的表達(dá)能力對(duì)訪(fǎng)問(wèn)決策中涉及的主體、資源、動(dòng)作、環(huán)

境等信息進(jìn)行定義。

傳遞決策請(qǐng)求及接收決策結(jié)果

訪(fǎng)問(wèn)控制實(shí)施組件應(yīng)能夠傳遞決策請(qǐng)求至訪(fǎng)問(wèn)控制決策組件并接收決策結(jié)果。組件將訪(fǎng)問(wèn)請(qǐng)求完成

統(tǒng)一格式轉(zhuǎn)換后，生成決策請(qǐng)求并將其轉(zhuǎn)送至訪(fǎng)問(wèn)控制決策組件并等待其傳回最終決策結(jié)果。此間的請(qǐng)

求/應(yīng)答交互應(yīng)遵循相關(guān)標(biāo)準(zhǔn)中定義的格式。

訪(fǎng)問(wèn)請(qǐng)求的決策結(jié)果可能表示為某種抽象形式，訪(fǎng)問(wèn)實(shí)施組件應(yīng)根據(jù)組件所在的應(yīng)用場(chǎng)景和技術(shù)背

景將其轉(zhuǎn)換為具體的應(yīng)用程序執(zhí)行邏輯，保證高層抽象安全約束和底層程序邏輯的一致性。

5.2.2訪(fǎng)問(wèn)控制決策組件

概述

訪(fǎng)問(wèn)控制決策組件負(fù)責(zé)從訪(fǎng)問(wèn)控制實(shí)施組件接受決策請(qǐng)求，通過(guò)查找適用策略和相對(duì)應(yīng)的訪(fǎng)問(wèn)控制

屬性，依據(jù)訪(fǎng)問(wèn)判定邏輯產(chǎn)生一個(gè)決策結(jié)果，并將該決策結(jié)果返回給訪(fǎng)問(wèn)控制實(shí)施組件。

訪(fǎng)問(wèn)控制決策組件應(yīng)實(shí)現(xiàn)至節(jié)中規(guī)定的功能。

接收決策請(qǐng)求

組件接收到來(lái)自訪(fǎng)問(wèn)控制實(shí)施組件的決策請(qǐng)求后，需要對(duì)請(qǐng)求內(nèi)的信息進(jìn)行解析分類(lèi)，對(duì)不同類(lèi)型

的信息實(shí)體進(jìn)行臨時(shí)性存儲(chǔ)。根據(jù)決策的具體執(zhí)行邏輯，可能會(huì)針對(duì)某種類(lèi)型信息優(yōu)先和訪(fǎng)問(wèn)控制策略

進(jìn)行匹配，因此在做出實(shí)際的訪(fǎng)問(wèn)決策前，應(yīng)通過(guò)信息分類(lèi)機(jī)制提高后期的執(zhí)行效率，例如可根據(jù)主體、

資源、動(dòng)作等進(jìn)行分類(lèi)存儲(chǔ)，也可根據(jù)角色、組、安全等級(jí)等不同的屬性類(lèi)型進(jìn)行分類(lèi)。

執(zhí)行訪(fǎng)問(wèn)決策邏輯

訪(fǎng)問(wèn)決策邏輯是整個(gè)組件的核心功能，其通用性和兼容性決定了整個(gè)中間件部署復(fù)雜度以及與應(yīng)用

場(chǎng)景的整合難度。決策邏輯應(yīng)該考慮到已有的多種訪(fǎng)問(wèn)控制模型和訪(fǎng)問(wèn)控制機(jī)制，盡可能提高兼容性以

減少重新部署安全策略的代價(jià)。GB/T18794.3-2003對(duì)多種訪(fǎng)問(wèn)控制機(jī)制進(jìn)行了說(shuō)明，包括訪(fǎng)問(wèn)控制列

表方案、權(quán)利方案、基于標(biāo)簽的方案、基于上下文的方案以及基于以上方案的變種等。上述方案間的區(qū)

別在于如何將訪(fǎng)問(wèn)相關(guān)信息進(jìn)行組合綁定和決策邏輯所關(guān)注的關(guān)鍵決策信息，另外各種方案的訪(fǎng)問(wèn)控制

策略描述在實(shí)現(xiàn)過(guò)程中也有很大不同。

基于屬性的訪(fǎng)問(wèn)控制模型提供了一種高層抽象的泛化描述能力，可以將以往出現(xiàn)的各種方案在一致

的邏輯語(yǔ)義下進(jìn)行轉(zhuǎn)化表達(dá)。其訪(fǎng)問(wèn)決策邏輯主要依賴(lài)三部分輸入?yún)?shù)：訪(fǎng)問(wèn)請(qǐng)求、屬性信息、訪(fǎng)問(wèn)控

5

GB/TXXXXX—XXXX

制策略，大體的決策流程為：首先以系統(tǒng)特別關(guān)注的敏感信息為關(guān)鍵字對(duì)訪(fǎng)問(wèn)控制策略進(jìn)行檢索，獲取

可能對(duì)決策結(jié)果產(chǎn)生影響的有效策略集合；然后根據(jù)決策請(qǐng)求對(duì)策略集合內(nèi)的策略進(jìn)一步詳細(xì)匹配；策

略匹配過(guò)程中可能需要決策請(qǐng)求之外更詳細(xì)的屬性信息，組件檢索信息后完成對(duì)策略的精確評(píng)估，從而

獲得最后的決策結(jié)果。

該組件匹配的策略在基于屬性的描述框架內(nèi)進(jìn)行定義，以便于對(duì)其他訪(fǎng)問(wèn)控制機(jī)制的兼容性轉(zhuǎn)化。

該決策邏輯從多種訪(fǎng)問(wèn)控制機(jī)制和模型中概括出基于關(guān)鍵標(biāo)識(shí)匹配的一致性邏輯，“匹配”和“檢

索”是決策邏輯的兩類(lèi)最基本操作，其他方案都可以在此基礎(chǔ)上進(jìn)行轉(zhuǎn)換。例如：

訪(fǎng)問(wèn)控制列表方案的決策邏輯可以理解為：從請(qǐng)求中提取資源信息，以該信息為關(guān)鍵字檢索策略，

獲取和該資源相關(guān)的策略集合，通過(guò)將請(qǐng)求中的主體信息和訪(fǎng)問(wèn)動(dòng)作特征與集合內(nèi)的策略逐一比較匹

配，判斷最終的權(quán)限擁有權(quán)。

該組件的實(shí)現(xiàn)框架支持基于角色的控制方案、基于歷史的控制方案、基于時(shí)間約束的控制方案和基

于任務(wù)的控制方案等新興發(fā)展起來(lái)的訪(fǎng)問(wèn)授權(quán)機(jī)制。

大型的信息系統(tǒng)條目眾多，導(dǎo)致其所涉及的安全策略數(shù)目繁雜、策略間關(guān)系不夠清晰，為了避免出

現(xiàn)不可預(yù)知的決策結(jié)果，需要從宏觀(guān)角度制定最基本的資源安全策略，以提供最低限度的安全保障。訪(fǎng)

問(wèn)控制決策組件通過(guò)開(kāi)放式策略和保守式策略實(shí)現(xiàn)這種可預(yù)知的和最低限度的安全保障。開(kāi)放式策略的

決策邏輯為：如果沒(méi)有提供顯式策略明確禁止某訪(fǎng)問(wèn)行為，則認(rèn)為允許該類(lèi)訪(fǎng)問(wèn)進(jìn)行；保守式策略的決

策邏輯為：如果沒(méi)有提供顯式策略明確允許某訪(fǎng)問(wèn)行為，則認(rèn)為禁止該類(lèi)訪(fǎng)問(wèn)進(jìn)行。采用何種策略取決

于具體應(yīng)用的資源對(duì)象敏感性和資源對(duì)象使用目的。

該組件應(yīng)考慮如下情況，即多條策略同時(shí)給出明確決策結(jié)果，且決策結(jié)果存在沖突。此時(shí)組件需要

指定沖突消解策略處理可能產(chǎn)生的決策結(jié)果不一致性，常用的消解策略包括：肯定判定優(yōu)先、否定判定

優(yōu)先、首次判定優(yōu)先等。組件也可以根據(jù)應(yīng)用場(chǎng)景的具體要求或者是安全屬性的自身特性，自定義沖突

消解邏輯滿(mǎn)足安全決策需要。

對(duì)所需訪(fǎng)問(wèn)控制策略進(jìn)行檢索收集

組件在執(zhí)行決策邏輯的過(guò)程中需要以適用策略集合作為請(qǐng)求匹配的參照，因此其內(nèi)部應(yīng)該具有策略

檢索收集的功能。一種最簡(jiǎn)單的處理方式就是：組件在運(yùn)行決策邏輯前，將所有策略一次性導(dǎo)入臨時(shí)存

儲(chǔ)區(qū)，之后所有的匹配操作都針對(duì)存儲(chǔ)區(qū)內(nèi)的策略進(jìn)行。當(dāng)策略數(shù)目較大時(shí)，應(yīng)提供針對(duì)性更強(qiáng)的策略

檢索功能，即根據(jù)某些屬性特征或者策略標(biāo)識(shí)從策略庫(kù)中獲取規(guī)模較小的策略子集，減少實(shí)際匹配的策

略數(shù)量，提高匹配效率。例如以某個(gè)屬性類(lèi)型或者具體的屬性值為關(guān)鍵字，或者以某種特定的策略類(lèi)型

為關(guān)鍵字對(duì)策略庫(kù)進(jìn)行檢索。

該組件不限定策略檢索源的具體實(shí)現(xiàn)，其存儲(chǔ)方式可以為數(shù)據(jù)庫(kù)、目錄服務(wù)器或者文件系統(tǒng)等。建

議組件內(nèi)部設(shè)定臨時(shí)性策略檢索結(jié)果存儲(chǔ)區(qū)，對(duì)檢索后的適用策略實(shí)現(xiàn)本地存放，避免策略匹配過(guò)程涉

及過(guò)多的遠(yuǎn)程交互。同時(shí)，應(yīng)考慮本地策略存儲(chǔ)的及時(shí)更新。

對(duì)所需屬性信息進(jìn)行檢索收集

雖然決策請(qǐng)求中包含了若干決策需要的屬性信息，但不能保證其充分滿(mǎn)足策略匹配的全部需要，因

此組件應(yīng)具有相關(guān)屬性信息的檢索功能。策略匹配過(guò)程涉及多種類(lèi)型的屬性信息，其特征、來(lái)源及發(fā)布

形式可能多有不同，屬性檢索過(guò)程應(yīng)考慮能夠兼容處理不同的屬性格式，例如X509格式的屬性證書(shū)、SAML

格式的安全斷言以及LDAP目錄中的屬性條目等。

組件內(nèi)部的屬性查詢(xún)過(guò)程應(yīng)由決策邏輯觸發(fā)，即當(dāng)決策邏輯無(wú)法完成策略匹配時(shí)，建立與訪(fǎng)問(wèn)控制

屬性應(yīng)答組件的查詢(xún)請(qǐng)求及應(yīng)答。請(qǐng)求雙方應(yīng)該在屬性描述格式、屬性類(lèi)型、請(qǐng)求/應(yīng)答方式等方面達(dá)

成一致的情況下，對(duì)查詢(xún)所得信息進(jìn)行安全傳遞。

6

GB/TXXXXX—XXXX

組件在獲取到所需屬性后，可以在本地建立臨時(shí)存儲(chǔ)區(qū)，避免之后的屬性查詢(xún)涉及過(guò)多的遠(yuǎn)程交互

過(guò)程，造成策略匹配延遲。同時(shí)，應(yīng)考慮本地屬性存儲(chǔ)的及時(shí)更新。

決策歷史記錄的相關(guān)查詢(xún)

考慮到和其他安全組件的集成性，訪(fǎng)問(wèn)控制中間件應(yīng)提供相應(yīng)的服務(wù)功能，例如為安全審計(jì)提供歷

史訪(fǎng)問(wèn)的相關(guān)數(shù)據(jù)等。訪(fǎng)問(wèn)控制決策組件在完成請(qǐng)求決策的同時(shí)，應(yīng)對(duì)整個(gè)過(guò)程涉及的信息進(jìn)行分類(lèi)記

錄，例如某訪(fǎng)問(wèn)請(qǐng)求涉及的匹配策略標(biāo)識(shí)、檢索到的主體屬性信息、資源特征信息、各種環(huán)境信息、最

終決策結(jié)果、組件當(dāng)時(shí)的配置狀態(tài)等。以上信息應(yīng)保證存儲(chǔ)的安全性和與歷史記錄的一致性，并且可根

據(jù)特殊的審計(jì)需要增加相應(yīng)的記錄信息類(lèi)型。

所有歷史記錄信息對(duì)其他安全組件提供基本的輸出功能，但不提供其他領(lǐng)域的業(yè)務(wù)安全分析功能，

本標(biāo)準(zhǔn)也不具體約束數(shù)據(jù)存儲(chǔ)的形式和方案。

5.2.3訪(fǎng)問(wèn)控制策略應(yīng)答組件

概述

訪(fǎng)問(wèn)控制策略應(yīng)答組件負(fù)責(zé)響應(yīng)訪(fǎng)問(wèn)控制決策組件的策略檢索請(qǐng)求，對(duì)不同形式的策略表達(dá)進(jìn)行一

致性轉(zhuǎn)化，完成對(duì)適用策略的檢索并以安全的方式傳輸至訪(fǎng)問(wèn)控制決策組件。

訪(fǎng)問(wèn)控制策略應(yīng)答組件的詳細(xì)功能描述及細(xì)節(jié)如下。

訪(fǎng)問(wèn)控制策略應(yīng)答組件負(fù)責(zé)響應(yīng)訪(fǎng)問(wèn)控制決策組件的策略檢索請(qǐng)求，負(fù)責(zé)整個(gè)中間件訪(fǎng)問(wèn)控制策略

的底層處理。

訪(fǎng)問(wèn)控制策略應(yīng)答組件應(yīng)實(shí)現(xiàn)至節(jié)中規(guī)定的功能。

統(tǒng)一策略描述方式

不同的安全系統(tǒng)可能采用不同的描述方式定義安全策略，但從中間件的角度出發(fā)，其決策邏輯所依

賴(lài)的策略集必須具有統(tǒng)一的格式和語(yǔ)義。策略應(yīng)答組件需要確定系統(tǒng)應(yīng)用的策略類(lèi)型，并對(duì)不同形式的

策略表達(dá)進(jìn)行一致性轉(zhuǎn)化。策略轉(zhuǎn)化過(guò)程可能需要界定不同策略特征間的轉(zhuǎn)換規(guī)則，但應(yīng)保證策略轉(zhuǎn)化

不影響最終的安全目標(biāo)，因此需要根據(jù)系統(tǒng)特征從不同的訪(fǎng)問(wèn)控制策略中抽象高層安全目標(biāo)視圖，并在

轉(zhuǎn)化過(guò)程中實(shí)施目標(biāo)一致性檢測(cè)。

策略檢索

策略應(yīng)答組件必須能夠處理來(lái)自決策組件帶有多種查詢(xún)參數(shù)的策略檢索請(qǐng)求，并獲取滿(mǎn)足要求的策

略集合。最簡(jiǎn)單的策略請(qǐng)求處理方式是應(yīng)答組件返回所有可用的安全策略，但在策略規(guī)模龐大的應(yīng)用場(chǎng)

景下，這種模式顯然無(wú)法提供高效的策略匹配效率。決策組件可能會(huì)以某些策略特征為關(guān)鍵字對(duì)策略庫(kù)

進(jìn)行精確查找，例如用戶(hù)角色名稱(chēng)、資源標(biāo)識(shí)、訪(fǎng)問(wèn)類(lèi)型等，應(yīng)答組件應(yīng)該支持這些定制查詢(xún)參數(shù)的檢

索請(qǐng)求。實(shí)際的策略存儲(chǔ)點(diǎn)可能采用不同的實(shí)現(xiàn)方式，例如數(shù)據(jù)庫(kù)、LDAP服務(wù)器、文件系統(tǒng)等，應(yīng)答組

件應(yīng)該具備檢索多種存儲(chǔ)方式的能力，并對(duì)檢索后的結(jié)果進(jìn)行整合。應(yīng)答組件可通過(guò)自身開(kāi)發(fā)或借助外

部工具的方式提高策略檢索的速度、減少檢索響應(yīng)延遲，也可以通過(guò)內(nèi)部緩存機(jī)制降低組件間的通訊交

互。

策略傳輸

應(yīng)答組件應(yīng)與決策組件就策略傳輸?shù)姆绞胶透袷竭M(jìn)行統(tǒng)一制定，應(yīng)答組件完成策略檢索后，將響應(yīng)

策略集合以安全可靠的傳輸協(xié)議傳輸至決策組件。本標(biāo)準(zhǔn)不強(qiáng)制定義具體的策略傳輸協(xié)議，只對(duì)一些可

選的傳輸方案進(jìn)行說(shuō)明?？梢酝ㄟ^(guò)網(wǎng)絡(luò)層的socket通訊協(xié)議直接對(duì)策略條目進(jìn)行編碼傳輸，另外針對(duì)XML

7

GB/TXXXXX—XXXX

類(lèi)型的策略格式也可以采用類(lèi)似SOAP協(xié)議的XMLRPC方式進(jìn)行傳輸。訪(fǎng)問(wèn)控制中間件可根據(jù)技術(shù)集成難

度、應(yīng)用環(huán)境特點(diǎn)、通訊質(zhì)量要求等自行選用具體的傳輸協(xié)議。

策略管理

實(shí)際應(yīng)用中，訪(fǎng)問(wèn)控制策略管理本身可能涉及一個(gè)相對(duì)獨(dú)立的技術(shù)領(lǐng)域，其實(shí)現(xiàn)技術(shù)和方案復(fù)雜多

樣，本標(biāo)準(zhǔn)不試圖對(duì)策略管理給出完整詳細(xì)的功能規(guī)范，只針對(duì)訪(fǎng)問(wèn)控制中間件的實(shí)際需求對(duì)策略管理

應(yīng)提供的功能提出具體的規(guī)范定義，其涵蓋的功能模塊是策略管理的功能子集。

策略管理服務(wù)（工具或模塊）應(yīng)提供對(duì)策略的一般性管理功能，例如策略的添加、修改、刪除、更

新等，以方便中間件對(duì)系統(tǒng)安全策略的控制和掌握。

在多條策略的安全約束之間，可能存在潛在的沖突威脅，策略管理服務(wù)應(yīng)提供策略?xún)?yōu)先級(jí)機(jī)制，制

定策略沖突消解規(guī)則，便于訪(fǎng)問(wèn)控制決策組件執(zhí)行具體的決策邏輯。

策略管理服務(wù)還應(yīng)提供策略一致性檢測(cè)功能，在策略實(shí)體和高層安全目標(biāo)間進(jìn)行一致性驗(yàn)證和測(cè)

試，保證策略實(shí)體符合系統(tǒng)的安全管理初衷。

本標(biāo)準(zhǔn)不對(duì)以上功能做具體的實(shí)現(xiàn)說(shuō)明，也不強(qiáng)制訪(fǎng)問(wèn)控制中間件必須實(shí)現(xiàn)上述功能。

5.2.4訪(fǎng)問(wèn)控制屬性應(yīng)答組件

概述

訪(fǎng)問(wèn)控制屬性應(yīng)答組件負(fù)責(zé)對(duì)訪(fǎng)問(wèn)判定過(guò)程中需要的各種類(lèi)型屬性信息進(jìn)行收集，生成并發(fā)布屬性

斷言，并將屬性信息集合以安全的方式傳輸至訪(fǎng)問(wèn)控制決策組件。

訪(fǎng)問(wèn)控制策略應(yīng)答組件的詳細(xì)功能描述及細(xì)節(jié)如下。

該組件主要負(fù)責(zé)訪(fǎng)問(wèn)決策可能觸發(fā)的屬性信息收集，輔助訪(fǎng)問(wèn)控制決策組件完成最終的請(qǐng)求決策。

訪(fǎng)問(wèn)控制策略應(yīng)答組件應(yīng)實(shí)現(xiàn)至節(jié)中規(guī)定的功能。

用戶(hù)屬性信息收集

當(dāng)決策請(qǐng)求中包含的用戶(hù)屬性信息不足以使決策邏輯給出決策結(jié)果時(shí)，決策組件需要向訪(fǎng)問(wèn)控制屬

性應(yīng)答組件發(fā)送屬性查詢(xún)請(qǐng)求。用戶(hù)的屬性信息可能來(lái)自多個(gè)屬性管理權(quán)威機(jī)構(gòu)，屬性的頒發(fā)格式可能

不同，最終的屬性存儲(chǔ)點(diǎn)也可能分布在不同的物理地址，屬性應(yīng)答組件應(yīng)該能根據(jù)用戶(hù)標(biāo)識(shí)對(duì)屬性信息

進(jìn)行集成檢索，形成統(tǒng)一的屬性表達(dá)語(yǔ)義，便于進(jìn)一步的屬性斷言發(fā)布。

組件處理的屬性頒發(fā)格式可能為X.509格式的屬性證書(shū)、SAML斷言、LDAP屬性條目等。在對(duì)檢索后

獲取的用戶(hù)屬性進(jìn)行確認(rèn)前，應(yīng)對(duì)這些屬性信息的有效性進(jìn)行驗(yàn)證。驗(yàn)證過(guò)程可能是針對(duì)屬性實(shí)體的數(shù)

字簽名驗(yàn)證，也可能涉及對(duì)屬性頒發(fā)實(shí)體的數(shù)字身份驗(yàn)證，驗(yàn)證能否通過(guò)取決于對(duì)驗(yàn)證信息的可信性。

針對(duì)來(lái)自外域的用戶(hù)屬性信息，組件根據(jù)外域用戶(hù)屬性檢索適用的屬性映射規(guī)則，推導(dǎo)出外域?qū)傩?/p>

對(duì)應(yīng)的本域?qū)傩孕畔?，?shí)現(xiàn)域間屬性轉(zhuǎn)譯，以決策組件可理解的域內(nèi)屬性信息格式進(jìn)行發(fā)布。轉(zhuǎn)譯過(guò)程

涉及屬性信息內(nèi)容的轉(zhuǎn)譯和屬性描述格式的轉(zhuǎn)換。

應(yīng)答組件可通過(guò)自身開(kāi)發(fā)或借助外部工具的方式提高屬性檢索的速度、減少檢索響應(yīng)延遲，也可以

通過(guò)內(nèi)部緩存機(jī)制降低組件間的通訊交互。

其他類(lèi)型屬性信息收集

基于屬性的訪(fǎng)問(wèn)控制機(jī)制決定了決策組件除了可能需要對(duì)用戶(hù)屬性進(jìn)行檢索外，還需要其他類(lèi)型的

信息輔助判斷。這些信息可能來(lái)自信息系統(tǒng)自身狀態(tài)、上下文環(huán)境、網(wǎng)絡(luò)狀況等一些可以描述訪(fǎng)問(wèn)進(jìn)行

時(shí)的外界信息感應(yīng)點(diǎn)，應(yīng)答組件應(yīng)有能力接收或者主動(dòng)查詢(xún)來(lái)自這些感應(yīng)點(diǎn)的屬性信息。

8

GB/TXXXXX—XXXX

本標(biāo)準(zhǔn)不試圖定義感應(yīng)點(diǎn)發(fā)布屬性的方式和屬性格式，屬性應(yīng)答組件應(yīng)將這些屬性信息轉(zhuǎn)換為決策

組件可理解的語(yǔ)義及格式并以屬性斷言的格式進(jìn)行轉(zhuǎn)發(fā)。

屬性斷言發(fā)布

屬性應(yīng)答組件是決策組件唯一信任的屬性發(fā)布點(diǎn)，其他的屬性存儲(chǔ)點(diǎn)和感應(yīng)點(diǎn)對(duì)決策組件來(lái)說(shuō)都應(yīng)

該是透明的，因此應(yīng)答組件在獲取到查詢(xún)的屬性信息后，應(yīng)該以決策組件可驗(yàn)證的屬性斷言方式發(fā)布屬

性信息。斷言應(yīng)包含屬性的主體標(biāo)識(shí)、屬性類(lèi)型或名稱(chēng)、具體的屬性值、應(yīng)答組件對(duì)屬性信息摘要的簽

名等。

屬性斷言格式的定義宜采用GB/T29242-2012標(biāo)準(zhǔn)。

屬性信息傳遞

屬性應(yīng)答組件應(yīng)與決策組件就屬性傳輸?shù)姆绞胶透袷竭M(jìn)行統(tǒng)一制定，應(yīng)答組件完成屬性檢索后，將

屬性信息集合以安全可靠的傳輸協(xié)議傳輸至決策組件。類(lèi)似策略傳輸，本標(biāo)準(zhǔn)不限制定義具體的屬性傳

輸協(xié)議，可以通過(guò)網(wǎng)絡(luò)層的套接字通訊協(xié)議直接對(duì)屬性條目進(jìn)行編碼傳輸，另外針對(duì)XML類(lèi)型的屬性格

式也可以采用類(lèi)似SOAP協(xié)議的XMLRPC方式進(jìn)行傳輸。

屬性管理

屬性管理已經(jīng)存在相關(guān)標(biāo)準(zhǔn)規(guī)范，其實(shí)現(xiàn)技術(shù)和方案復(fù)雜多樣，本標(biāo)準(zhǔn)不試圖對(duì)屬性管理細(xì)節(jié)給出

完整詳細(xì)的功能規(guī)范，只針對(duì)訪(fǎng)問(wèn)控制中間件的實(shí)際需求對(duì)屬性管理應(yīng)提供的功能提出具體的規(guī)范定

義，其涵蓋的功能模塊是屬性管理的功能子集。

屬性管理服務(wù)（工具或模塊）應(yīng)提供對(duì)屬性信息的一般性管理功能，例如屬性的頒發(fā)、撤銷(xiāo)、更新

等，以方便中間件對(duì)屬性信息的控制和掌握。

為了支持跨域訪(fǎng)問(wèn)控制等多域應(yīng)用場(chǎng)景，屬性管理服務(wù)應(yīng)提供域間屬性映射功能，制定屬性映射規(guī)

則，可發(fā)布映射斷言供外域的屬性發(fā)布組件進(jìn)行查詢(xún)。

屬性管理服務(wù)還應(yīng)提供屬性一致性檢測(cè)功能，限制用戶(hù)同時(shí)擁有違反安全約束的多個(gè)屬性。

本標(biāo)準(zhǔn)不對(duì)以上功能做具體的實(shí)現(xiàn)說(shuō)明，也不強(qiáng)制訪(fǎng)問(wèn)控制中間件必須實(shí)現(xiàn)上述功能。屬性管理的

具體實(shí)現(xiàn)應(yīng)參照相應(yīng)的數(shù)字身份管理標(biāo)準(zhǔn)與規(guī)范及其他相關(guān)標(biāo)準(zhǔn)。

5.3組件間接口

5.3.1策略決策接口（IF-PD）

IF-PD是訪(fǎng)問(wèn)控制實(shí)施組件和訪(fǎng)問(wèn)控制決策組件之間的接口。IF-PD接口主要用于傳遞決策請(qǐng)求消息

至訪(fǎng)問(wèn)控制決策組件，并將訪(fǎng)問(wèn)控制決策組件產(chǎn)生的判定結(jié)果以決策應(yīng)答消息的方式傳遞給訪(fǎng)問(wèn)控制實(shí)

施組件。此接口的具體實(shí)現(xiàn)可見(jiàn)GB/T31501-2015或者GB/T30281-2013中的相關(guān)定義。

5.3.2決策管理接口（IF-DM）

IF-DM是管理訪(fǎng)問(wèn)控制決策組件的接口。IF-DM接口主要用于向訪(fǎng)問(wèn)控制決策組件傳遞消息，控制

組件功能的啟動(dòng)與停止，配置組件并控制組件的執(zhí)行流程與執(zhí)行環(huán)境。

IF-DM接口的定義細(xì)節(jié)見(jiàn)6.3節(jié)。

5.3.3策略查詢(xún)接口（IF-PQ）

9

GB/TXXXXX—XXXX

IF-PQ是訪(fǎng)問(wèn)控制決策組件和訪(fǎng)問(wèn)控制策略應(yīng)答組件之間的接口。IF-PQ接口主要用于策略的檢索以

及訪(fǎng)問(wèn)控制策略應(yīng)答組件的配置。IF-PQ按照指定的檢索模式將獲取到的策略轉(zhuǎn)換成指定類(lèi)型的策略，

并返回給訪(fǎng)問(wèn)控制決策組件。

IF-PQ接口的定義細(xì)節(jié)見(jiàn)6.4節(jié)。

5.3.4屬性查詢(xún)接口（IF-AQ）

IF-AQ是訪(fǎng)問(wèn)控制決策組件和訪(fǎng)問(wèn)控制屬性應(yīng)答組件之間的接口。IF-AQ接口主要用于屬性的檢索

以及訪(fǎng)問(wèn)控制屬性應(yīng)答組件的配置。IF-AQ獲取主體的屬性后，將查詢(xún)到的屬性轉(zhuǎn)為指定格式，并返回

給訪(fǎng)問(wèn)控制決策組件。

IF-AQ接口的定義細(xì)節(jié)見(jiàn)6.5節(jié)。

5.3.5跨域?qū)傩圆樵?xún)接口（IF-CDAQ）

IF-CDAQ是不同域的訪(fǎng)問(wèn)控制屬性應(yīng)答組件之間的接口。IF-CDAQ接口主要用于外域訪(fǎng)問(wèn)控制屬

性應(yīng)答組件查詢(xún)本域某個(gè)主體的屬性。本域訪(fǎng)問(wèn)控制屬性應(yīng)答組件獲取主體的屬性后，將查詢(xún)到的屬性

轉(zhuǎn)為指定格式，并返回給外域的訪(fǎng)問(wèn)控制屬性應(yīng)答組件。

IF-AQ接口的定義細(xì)節(jié)見(jiàn)6.6節(jié)

5.4接口間消息流

通過(guò)上述定義的各不同接口，體系結(jié)構(gòu)中的各組件進(jìn)行消息交換。這些基本的消息流如圖2所示。

圖2訪(fǎng)問(wèn)控制中間件體系框架中的消息流

10

GB/TXXXXX—XXXX

a)在發(fā)起者開(kāi)始訪(fǎng)問(wèn)目標(biāo)之前，訪(fǎng)問(wèn)控制中間件需要通過(guò)管理工具進(jìn)行初始化與配置管理，包括

以下三種操作：通過(guò)策略管理工具對(duì)訪(fǎng)問(wèn)控制中間件的策略進(jìn)行管理操作；通過(guò)屬性管理工具

進(jìn)行屬性頒發(fā)與撤銷(xiāo)等管理操作；通過(guò)決策管理工具進(jìn)行決策引擎的管理與配置。（圖2步驟0）

b)當(dāng)發(fā)起者試圖對(duì)目標(biāo)進(jìn)行訪(fǎng)問(wèn)時(shí)，訪(fǎng)問(wèn)控制實(shí)施組件攔截發(fā)起者的訪(fǎng)問(wèn)請(qǐng)求。（圖2步驟1）

c)訪(fǎng)問(wèn)控制實(shí)施組件攔截訪(fǎng)問(wèn)請(qǐng)求后，向訪(fǎng)問(wèn)控制決策組件發(fā)送決策請(qǐng)求。（圖2步驟2）

d)訪(fǎng)問(wèn)控制決策組件以決策請(qǐng)求為參數(shù)調(diào)用策略檢索器從訪(fǎng)問(wèn)控制策略應(yīng)答組件檢索適用策略，

并對(duì)檢索的適用策略進(jìn)行評(píng)估。（圖2步驟3）

e)如果訪(fǎng)問(wèn)控制決策組件在評(píng)估過(guò)程中發(fā)現(xiàn)缺乏相應(yīng)的屬性，則通過(guò)屬性檢索器向本安全域的訪(fǎng)

問(wèn)控制屬性應(yīng)答組件發(fā)出屬性查詢(xún)請(qǐng)求；訪(fǎng)問(wèn)控制屬性應(yīng)答組件查詢(xún)并驗(yàn)證屬性發(fā)布點(diǎn)上存儲(chǔ)

的屬性，生成屬性應(yīng)答返回至訪(fǎng)問(wèn)控制決策組件。（圖2步驟4）

f)如果所查詢(xún)的屬性是其它安全域中的屬性，則由本安全域的訪(fǎng)問(wèn)控制屬性應(yīng)答組件向外域的訪(fǎng)

問(wèn)控制屬性應(yīng)答組件進(jìn)行查詢(xún)，以獲得外域中的訪(fǎng)問(wèn)控制屬性，并通過(guò)屬性映射關(guān)系確定屬性

的可信性，生成屬性應(yīng)答消息。（圖2步驟4a）

g)訪(fǎng)問(wèn)控制決策組件依據(jù)訪(fǎng)問(wèn)控制策略與訪(fǎng)問(wèn)控制屬性完成決策評(píng)估，向訪(fǎng)問(wèn)控制實(shí)施組件發(fā)送

最終決策結(jié)果。（圖2步驟5）

h)訪(fǎng)問(wèn)控制實(shí)施組件根據(jù)返回的決策結(jié)果拒絕或允許發(fā)起者對(duì)目標(biāo)的訪(fǎng)問(wèn)。（圖2步驟6）

6訪(fǎng)問(wèn)控制中間件接口

6.1概述

本章主要對(duì)訪(fǎng)問(wèn)控制中間件的接口進(jìn)行說(shuō)明和定義，對(duì)接口的輸入?yún)?shù)，輸出參數(shù)以及邏輯功能進(jìn)

行規(guī)范，但不強(qiáng)制定義接口的具體實(shí)現(xiàn)方案和形式。

接口的輸入?yún)?shù)與輸出參數(shù)以XML格式定義，消息的示例見(jiàn)附錄B。

接口的實(shí)現(xiàn)應(yīng)支持本節(jié)所定義的接口、以及接口所定義的輸入?yún)?shù)與輸出參數(shù)，但可根據(jù)應(yīng)用環(huán)境

進(jìn)行擴(kuò)展。

6.2常量定義

訪(fǎng)問(wèn)控制中間件各接口返回的消息碼定義如下。

表1消息碼定義

返回消息碼值語(yǔ)義

IF_RESULT_SUCCESS0調(diào)用接口完成預(yù)定功能

IF_RESULT_FAIL1調(diào)用接口未完成預(yù)定功能

IF_RESULT_ILLEGAL_ACTION2非法調(diào)用接口

IF_RESULT_INVALID_PARAM3參數(shù)錯(cuò)誤

IF_RESULT_NOT_INIT4未初始化

IF_RESULT_SELFTEST_ERROR5自檢錯(cuò)誤

6.3策略決策接口(IF-PD)

IF-PD是訪(fǎng)問(wèn)控制實(shí)施組件和訪(fǎng)問(wèn)控制決策組件之間的接口。IF-PD接口主要用于傳遞決策請(qǐng)求消

11

GB/TXXXXX—XXXX

息至訪(fǎng)問(wèn)控制決策組件，并將訪(fǎng)問(wèn)控制決策組件產(chǎn)生的判定結(jié)果以決策應(yīng)答消息的方式傳遞給訪(fǎng)問(wèn)控制

實(shí)施組件。

此接口的具體實(shí)現(xiàn)可見(jiàn)GB/T31501-2015中的相關(guān)定義。

IF-PD的調(diào)用需要建立在安全信道的基礎(chǔ)上，安全信道應(yīng)保證通信數(shù)據(jù)的完整性。

6.4決策管理接口(IF-DM)

IF-DM是管理訪(fǎng)問(wèn)控制決策組件的接口。IF-DM接口主要用于向訪(fǎng)問(wèn)控制決策組件傳遞消息，控

制組件功能的啟動(dòng)與停止，配置組件并控制組件的執(zhí)行流程與執(zhí)行環(huán)境。

IF-DM的調(diào)用需要建立在安全信道的基礎(chǔ)上，安全信道應(yīng)保證通信數(shù)據(jù)的機(jī)密性、完整性。安全

信道的宜依據(jù)SSL/TLS建立。

6.4.1決策管理登錄接口(IF-DM-Login)

功能

決策管理的實(shí)施需要對(duì)決策管理員的身份進(jìn)行認(rèn)證，并在認(rèn)證通過(guò)后建立會(huì)話(huà)。決策管理員的所有

操作需要基于建立的會(huì)話(huà)完成。在調(diào)用決策管理其它的接口之前，決策管理登錄接口必須首先被調(diào)用。

輸入?yún)?shù)

a)輸入?yún)?shù)類(lèi)型定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="login">

<xs:complexType>

<xs:sequence>

<xs:elementname="uerId"type="xs:string"/>

<xs:elementname="credential"type="xs:base64Binary"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸入?yún)?shù)說(shuō)明

1)決策管理員的身份標(biāo)識(shí)；

2)調(diào)用決策管理登錄接口應(yīng)提供調(diào)用者的認(rèn)證信息。認(rèn)證信息由決策管理組件支持的認(rèn)證方

式?jīng)Q定。例如，若采用證書(shū)認(rèn)證方式，認(rèn)證信息應(yīng)該包含決策管理員身份證書(shū)。

輸出參數(shù)

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="message">

<xs:complexType>

<xs:sequence>

<xs:elementname="messageCode"type="xs:string"/>

12

GB/TXXXXX—XXXX

<xs:elementname="sessionId"type="xs:string"minOccurs="0"maxOccurs="1"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸出參數(shù)說(shuō)明

1)調(diào)用決策管理登錄接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼；

2)若決策管理員身份通過(guò)認(rèn)證，還需返回所建立的會(huì)話(huà)的標(biāo)識(shí)。

表2IF-DM-Login接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS認(rèn)證決策管理員身份成功

IF_RESULT_FAIL認(rèn)證決策管理員身份失敗

6.4.2決策管理登出接口(IF-DM-Logout)

功能

決策管理完成后，需要關(guān)閉為完成此次決策管理而創(chuàng)建的會(huì)話(huà)。此接口提供注銷(xiāo)所建立的會(huì)話(huà)的功

能。決策管理員完成所有操作后應(yīng)調(diào)用此接口。

輸入?yún)?shù)

a)輸入?yún)?shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="logout">

<xs:complexType>

<xs:sequence>

<xs:elementname="sessionId"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸入?yún)?shù)說(shuō)明

所注銷(xiāo)的本次會(huì)話(huà)的標(biāo)識(shí)。

輸出參數(shù)

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="message">

<xs:complexType>

<xs:sequence>

13

GB/TXXXXX—XXXX

<xs:elementname="messageCode"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸出參數(shù)說(shuō)明

調(diào)用決策管理登出接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。

表3IF-DM-Logout接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS注銷(xiāo)會(huì)話(huà)成功

IF_RESULT_FAIL注銷(xiāo)會(huì)話(huà)失敗

6.4.3決策管理配置接口(IF-DM-Config)

功能

訪(fǎng)問(wèn)控制策略決策組件應(yīng)是可配置的。決策管理員應(yīng)能夠通過(guò)配置訪(fǎng)問(wèn)控制策略決策組件，靈活控

制訪(fǎng)問(wèn)控制策略決策組件的執(zhí)行流程及執(zhí)行環(huán)境。決策管理配置接口可以但不是必須提供對(duì)配置的檢測(cè)

功能。調(diào)用決策配置管理接口后，訪(fǎng)問(wèn)控制策略決策組件可以即時(shí)對(duì)配置響應(yīng)，也可通過(guò)重新啟動(dòng)對(duì)配

置進(jìn)行響應(yīng)。

輸入?yún)?shù)

a)輸入?yún)?shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="config">

<xs:complexType>

<xs:sequence>

<xs:elementname="plicyStoragePoint"type="xs:anyURI"/>

<xs:elementname="attributeIssuePoint"type="xs:anyURI"/>

<xs:elementname="combiningAlg"type="xs:string"/>

<xs:elementname="supprotPolicy"minOccurs="1"maxOccurs="unbounded">

<xs:complexType>

<xs:sequence>

<xs:elementname="supportPolicyType"type="xs:string"/>

<xs:elementname="policySchema"type="xs:base64Binary"/>

</xs:sequence>

</xs:complexType>

</xs:element>

<xs:elementname="sessionId"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

14

GB/TXXXXX—XXXX

</xs:schema>

b)輸入?yún)?shù)說(shuō)明

調(diào)用決策管理配置接口應(yīng)提供但不局限于提供以下配置信息。

1)策略存儲(chǔ)點(diǎn)：訪(fǎng)問(wèn)控制策略決策組件策略查找點(diǎn)；

2)屬性發(fā)布點(diǎn)：訪(fǎng)問(wèn)控制策略決策組件屬性查找點(diǎn)；

3)合并方法：訪(fǎng)問(wèn)控制策略決策組件對(duì)多個(gè)策略評(píng)估時(shí)的組合邏輯。例如，采用拒絕優(yōu)先，

只要有一個(gè)策略的評(píng)估結(jié)果為拒絕，則最終的決策結(jié)果也為拒絕。訪(fǎng)問(wèn)控制策略決策組件

只有在對(duì)多個(gè)策略評(píng)估時(shí)使用合并方法；

4)支持的策略：訪(fǎng)問(wèn)控制策略決策組件支持的策略類(lèi)型以及相應(yīng)的策略類(lèi)型模式。訪(fǎng)問(wèn)控制

策略決策組件可以根據(jù)策略模式，在對(duì)查詢(xún)的策略解析之前，首先判斷其是否為自己支持

的策略類(lèi)型。例如，訪(fǎng)問(wèn)控制策略決策組件可以但不限于支持XACML格式策略的解析；

5)本次調(diào)用的會(huì)話(huà)標(biāo)識(shí)。

輸出參數(shù)

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="message">

<xs:complexType>

<xs:sequence>

<xs:elementname="messageCode"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸出參數(shù)說(shuō)明

調(diào)用決策管理配置接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。

表4IF-DM-Config接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS配置訪(fǎng)問(wèn)控制策略決策組件成功

IF_RESULT_FAIL配置訪(fǎng)問(wèn)控制策略決策組件失敗

IF_RESULT_INVALID_PARAM配置參數(shù)不符合規(guī)定的格式

6.4.4決策啟動(dòng)接口(IF-DM-Start)

功能

啟動(dòng)訪(fǎng)問(wèn)控制策略決策組件提供的服務(wù)。訪(fǎng)問(wèn)控制策略決策組件啟動(dòng)時(shí)，應(yīng)首先檢查配置信息是否

完備。決策管理啟動(dòng)接口可以但不是必須提供訪(fǎng)問(wèn)控制策略決策組件檢測(cè)功能，以確定系統(tǒng)的狀態(tài)。調(diào)

用該接口前應(yīng)先調(diào)用決策管理配置接口。

輸入?yún)?shù)

15

GB/TXXXXX—XXXX

a)輸入?yún)?shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="start">

<xs:complexType>

<xs:sequence>

<xs:elementname="selfTest"type="xs:string"minOccurs="0"maxOccurs="unbounded"/>

<xs:elementname="sessionId"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸入?yún)?shù)說(shuō)明

1)調(diào)用決策管理啟動(dòng)接口可以但不是必須指定訪(fǎng)問(wèn)控制策略決策組件自檢項(xiàng)。

2)本次調(diào)用的會(huì)話(huà)標(biāo)識(shí)。

輸出參數(shù)

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="message">

<xs:complexType>

<xs:sequence>

<xs:elementname="messageCode"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸出參數(shù)說(shuō)明

調(diào)用決策管理啟動(dòng)接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼，詳見(jiàn)表5：

表5IF-DM-Start接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS訪(fǎng)問(wèn)控制策略決策組件啟動(dòng)成功

IF_RESULT_FAIL訪(fǎng)問(wèn)控制策略決策組件啟動(dòng)失敗

IF_RESULT_NOT_INIT訪(fǎng)問(wèn)控制策略決策組件未配置

IF_RESULT_SELFTEST_ERROR訪(fǎng)問(wèn)控制策略決策組件啟動(dòng)自檢失敗

6.4.5決策停止接口(IF-DM-Stop)

功能

停止訪(fǎng)問(wèn)控制策略決策組件提供的服務(wù)。訪(fǎng)問(wèn)控制策略決策組件停止時(shí)，可以采用如下兩種模式：

16

GB/TXXXXX—XXXX

可停止正在提供的服務(wù)，同時(shí)拒絕新的服務(wù)請(qǐng)求；繼續(xù)完成正在提供的服務(wù)，但是拒絕新的服務(wù)請(qǐng)求。

訪(fǎng)問(wèn)控制策略決策組件停止模式由組件開(kāi)發(fā)者自行選擇，或同時(shí)支持但由調(diào)用者選擇。

輸入?yún)?shù)

a)輸入?yún)?shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="stop">

<xs:complexType>

<xs:sequence>

<xs:elementname="stopPattern"type="xs:string"/>

<xs:elementname="sessionId"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸入?yún)?shù)說(shuō)明

1)調(diào)用決策管理停止接口必須提供采用的停止模式的標(biāo)識(shí)。停止模式的標(biāo)識(shí)由訪(fǎng)問(wèn)控制策略

決策組件自行規(guī)定。

2)本次調(diào)用的會(huì)話(huà)標(biāo)識(shí)。

輸出參數(shù)

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="message">

<xs:complexType>

<xs:sequence>

<xs:elementname="messageCode"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸出參數(shù)說(shuō)明

調(diào)用決策管理停止接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。

表6IF-DM-Stop接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS訪(fǎng)問(wèn)控制策略決策組件停止成功

IF_RESULT_FAIL訪(fǎng)問(wèn)控制策略決策組件停止失敗

IF_RESULT_INVALID_PARAM停止模式的標(biāo)識(shí)不被識(shí)別

6.5策略查詢(xún)接口(IF-PQ)

17

GB/TXXXXX—XXXX

IF-PQ是訪(fǎng)問(wèn)控制決策組件和訪(fǎng)問(wèn)控制策略應(yīng)答組件之間的接口。IF-PQ接口主要用于策略的檢索

以及訪(fǎng)問(wèn)控制策略應(yīng)答組件的配置。IF-PQ按照指定的檢索模式將獲取到的策略轉(zhuǎn)換成指定類(lèi)型的策

略，然后返回給訪(fǎng)問(wèn)控制決策組件。

IF-PQ的調(diào)用需要建立在安全信道的基礎(chǔ)上，安全信道應(yīng)保證通信數(shù)據(jù)的完整性。

6.5.1策略查詢(xún)支持類(lèi)型接口(IF-PQ-SupportPT)

功能

訪(fǎng)問(wèn)控制策略應(yīng)答組件應(yīng)返回支持的策略類(lèi)型。例如，只支持XACML策略。

輸出參數(shù)

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="SupportPT">

<xs:complexType>

<xs:sequence>

<xs:elementname="policyTypeId"type="xs:ID"minOccurs="0"maxOccurs="unbounded"/>

<xs:elementname="messageCode"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸出參數(shù)說(shuō)明

1)調(diào)用策略查詢(xún)支持類(lèi)型接口應(yīng)可以獲得訪(fǎng)問(wèn)控制策略應(yīng)答組件支持的策略類(lèi)型信息。返回

值的數(shù)據(jù)結(jié)構(gòu)，以及策略類(lèi)型的標(biāo)識(shí)由訪(fǎng)問(wèn)控制策略應(yīng)答組件自行規(guī)定。

2)調(diào)用策略查詢(xún)支持類(lèi)型接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。

表7IF-PQ-SupportPT接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS查詢(xún)支持策略類(lèi)型成功

IF_RESULT_FAIL查詢(xún)支持策略類(lèi)型失敗

6.5.2策略查詢(xún)返回類(lèi)型接口(IF-PQ-ReturnPT)

功能

訪(fǎng)問(wèn)控制決策組件可能只支持某種類(lèi)型的組件。訪(fǎng)問(wèn)控制策略應(yīng)答組件應(yīng)能夠指定返回的策略的類(lèi)

型。調(diào)用該接口前應(yīng)先調(diào)用策略查詢(xún)支持類(lèi)型接口。

輸入?yún)?shù)

a)輸入?yún)?shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

18

GB/TXXXXX—XXXX

<xs:elementname="setRetPolicyType"type="xs:string"/>

</xs:schema>

b)輸入?yún)?shù)說(shuō)明

調(diào)用策略查詢(xún)返回類(lèi)型接口應(yīng)提供指定的返回的策略的類(lèi)型。策略類(lèi)型的標(biāo)識(shí)由訪(fǎng)問(wèn)控制策略

應(yīng)答組件自行規(guī)定。

輸出參數(shù)：、

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="message">

<xs:complexType>

<xs:sequence>

<xs:elementname="messageCode"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸出參數(shù)說(shuō)明

調(diào)用策略查詢(xún)返回類(lèi)型接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。

表8IF-PQ-ReturnPT接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS設(shè)置返回的策略的類(lèi)型成功

IF_RESULT_FAIL設(shè)置返回的策略的類(lèi)型失敗

IF_RESULT_INVALID_PARAM設(shè)定的策略類(lèi)型不被支持

6.5.3策略查詢(xún)查找模式接口(IF-PQ-SearchSchema)

功能

訪(fǎng)問(wèn)控制策略應(yīng)答組件應(yīng)能夠指定策略查找的模式，即只查詢(xún)第一條適用的策略，或查詢(xún)所有適用

的策略。

輸入?yún)?shù)

a)輸入?yún)?shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="setSearchPattern"type="xs:string"/>

</xs:schema>

b)輸入?yún)?shù)說(shuō)明：

調(diào)用策略查詢(xún)查找模式接口應(yīng)提供指定的查找模式標(biāo)識(shí)。策略查找模式標(biāo)識(shí)由訪(fǎng)問(wèn)控制策略應(yīng)

答組件自行規(guī)定。

19

GB/TXXXXX—XXXX

輸出參數(shù)

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="message">

<xs:complexType>

<xs:sequence>

<xs:elementname="messageCode"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

a)輸出參數(shù)說(shuō)明

調(diào)用策略查詢(xún)查找模式接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。

表9IF-PQ-SearchSchema接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS設(shè)置策略查找模式成功

IF_RESULT_FAIL設(shè)置策略查找模式失敗

IF_RESULT_INVALID_PARAM設(shè)定的策略查找模式標(biāo)識(shí)不被識(shí)別

6.5.4策略查詢(xún)返回模式接口(IF-PQ-ReturnSchema)

功能

訪(fǎng)問(wèn)控制策略應(yīng)答組件應(yīng)能夠指定策略查詢(xún)結(jié)果返回的模式，即若查詢(xún)到多個(gè)適用策略時(shí)，或?qū)⑦@

些策略直接返回，或?qū)⑦@些策略合并為一個(gè)策略返回。

輸入?yún)?shù)

a)輸入?yún)?shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="setReturnPattern"type="xs:string"/>

</xs:schema>

b)輸入?yún)?shù)說(shuō)明

調(diào)用策略查詢(xún)返回模式接口應(yīng)提供指定的返回模式標(biāo)識(shí)。返