版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
GB/TXXXXX—XXXX訪問控制中間件框架與接口范圍本標(biāo)準(zhǔn)規(guī)定了訪問控制中間件的框架結(jié)構(gòu)與內(nèi)部組件關(guān)系,定義了該框架內(nèi)各組成部分的功能、操作流程及接口定義。本標(biāo)準(zhǔn)適用于訪問控制中間件的設(shè)計(jì)與實(shí)現(xiàn),并可指導(dǎo)對該類中間件系統(tǒng)的檢測及相關(guān)應(yīng)用的開發(fā),對該類中間件產(chǎn)品的采購亦可參照使用。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅所注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T9387.2-1995信息技術(shù)開放系統(tǒng)互連基本參考模型第2部分安全體系結(jié)構(gòu)GB/T18793-2002信息技術(shù)可擴(kuò)展置標(biāo)語言(XML)1.0GB/T18794.3-2003信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第3部分訪問控制框架GB/T25069-2010信息安全技術(shù)術(shù)語GB/T29242-2012信息安全技術(shù)鑒別與授權(quán)安全斷言置標(biāo)語言規(guī)范GB/T30281-2013信息安全技術(shù)鑒別與授權(quán)可擴(kuò)展訪問控制標(biāo)記語言規(guī)范GB/T31501-2015信息安全技術(shù)鑒別與授權(quán)授權(quán)應(yīng)用程序判定接口規(guī)范術(shù)語與定義GB/T25069-2010、GB/T18794.3-2003界定的以及下列術(shù)語和定義適用于本文件。屬性attribute主體、資源、動(dòng)作和環(huán)境的某個(gè)特征,該特征可以在策略中被引用。決策decision依據(jù)訪問控制策略做出的評估結(jié)果。環(huán)境environment一組與決策相關(guān)的屬性集合,獨(dú)立于特定的主體,資源或者動(dòng)作。資源resource數(shù)據(jù),服務(wù)或者系統(tǒng)組件。主體subject訪問控制行為的發(fā)起者。用戶user使用系統(tǒng)和系統(tǒng)資源的自然人??s略語下列縮略語適用于本文件:IF-AQ:屬性查詢接口(Interface-AttributeQuery)IF-CDAQ:跨域?qū)傩圆樵兘涌冢↖nterface-CrossDomainAttributeQuery)IF-DM:決策管理接口(Interface-DecisionManagement)IF-PD:策略決策接口(Interface-PolicyDecision)IF-PQ:策略查詢接口(Interface-PolicyQuery)LDAP:輕量級目錄訪問協(xié)議(LightweightDirectoryAccessProtocol)RPC:遠(yuǎn)程過程調(diào)用(RemoteProcedureCall)SAML:安全斷言標(biāo)記語言(SecurityAssertionMarkupLanguage)SOAP:簡單對象訪問協(xié)議(SimpleObjectAccessProtocol)SSL:安全套接層(SecureSocketsLayer)TLS:傳輸層安全(TransportLayerSecurity)XACML:可擴(kuò)展訪問控制標(biāo)記語言(eXtensibleAccessControlMarkupLanguage)XML:可擴(kuò)展標(biāo)記語言(eXtensibleMarkupLanguage)訪問控制中間件體系框架概述訪問控制過程包含三個(gè)參與方:發(fā)起者、訪問控制中間件和訪問目標(biāo)。發(fā)起者是試圖訪問目標(biāo)的實(shí)體;訪問控制中間件是通過對適用的訪問控制信息進(jìn)行評估以決定發(fā)起者是否可以對目標(biāo)進(jìn)行特定類型訪問的一系列組件及組件間接口的集合;訪問目標(biāo)是被試圖訪問的實(shí)體。訪問控制中間件體系框架如圖1所示。該體系框架對于不同的設(shè)備、拓?fù)浣Y(jié)構(gòu)與應(yīng)用配置的訪問控制需求進(jìn)行了綜合考慮,并且對此類需求是通用的。訪問控制中間件包括了訪問控制實(shí)施組件、訪問控制決策組件、訪問控制策略應(yīng)答組件和訪問控制屬性應(yīng)答組件。組件的功能見5.2節(jié),組件的接口定義見5.3節(jié)。附錄A給出了訪問控制中間件的典型應(yīng)用場景。訪問控制中間件體系框架組件定義訪問控制實(shí)施組件概述訪問控制實(shí)施組件處于發(fā)起者與目標(biāo)之間,攔截發(fā)起者的訪問請求,協(xié)助收集訪問決策的輔助性信息,傳遞決策請求至訪問控制決策組件并根據(jù)返回的判定結(jié)果決定訪問是否可以執(zhí)行。訪問控制實(shí)施組件是直接面向訪問請求的應(yīng)答模塊,將發(fā)起者請求和具體的授權(quán)決策過程等復(fù)雜的業(yè)務(wù)邏輯進(jìn)行剝離,是決定訪問控制中間件和具體業(yè)務(wù)應(yīng)用系統(tǒng)能否實(shí)現(xiàn)插拔組裝的基礎(chǔ)性模塊。訪問控制實(shí)施組件應(yīng)實(shí)現(xiàn)至節(jié)中規(guī)定的功能。接收訪問請求訪問控制實(shí)施組件應(yīng)能夠接收來自發(fā)起者的訪問請求。發(fā)起訪問請求的發(fā)起者(用戶)可能來自不同物理位置并通過不同的訪問代理方式,例如“瀏覽器/服務(wù)器”結(jié)構(gòu)或者“客戶端/服務(wù)器”結(jié)構(gòu),訪問控制實(shí)施組件應(yīng)該根據(jù)固定交互模式對來自用戶代理的請求進(jìn)行一致化處理,對原始請求規(guī)定一致的邏輯實(shí)體,例如用戶標(biāo)識、訪問動(dòng)作、資源標(biāo)識、屬性信息等,訪問請求的格式可依據(jù)GB/T30281-2013等標(biāo)準(zhǔn)。訪問請求信息的傳遞不限制具體的傳輸協(xié)議,滿足訪問控制實(shí)施組件要求的應(yīng)用協(xié)議都可以負(fù)責(zé)處理信息傳遞。收集訪問決策相關(guān)輔助性信息訪問控制實(shí)施組件應(yīng)能夠收集其他對訪問決策提供幫助的輔助性信息。用戶原始請求中包含的訪問信息可能并不足以使訪問控制決策組件給出確定的決策結(jié)果,訪問控制實(shí)施組件在將訪問請求轉(zhuǎn)發(fā)之前,應(yīng)根據(jù)應(yīng)用需求對訪問請求附加若干有利于加速?zèng)Q策過程的輔助信息,例如用戶的屬性信息、組件本身可以感知的若干系統(tǒng)信息。強(qiáng)制性規(guī)定添加哪些輔助信息并不合適,不同的業(yè)務(wù)系統(tǒng)會(huì)有不同的專注點(diǎn),可能來自于主體、資源以及環(huán)境,應(yīng)允許管理者通過配置的方式指定優(yōu)先附加的輔助信息。輔助信息的添加并不一定限制在訪問控制實(shí)施組件中,其他組件根據(jù)需要也可以具備該功能,例如訪問控制決策組件中。根據(jù)GB/T18794.3-2003中的說明,輔助信息的獲取方式可分為“推”模式和“拉”模式,采用哪種模式取決于系統(tǒng)的決策邏輯和某些強(qiáng)制性選擇,本標(biāo)準(zhǔn)在可以添加輔助信息的模塊進(jìn)行顯式說明,采用何種方案最終由用戶選擇。請求格式轉(zhuǎn)換訪問控制實(shí)施組件應(yīng)能夠?qū)φ埱蟾袷竭M(jìn)行標(biāo)準(zhǔn)形式的轉(zhuǎn)換。將用戶發(fā)送的訪問請求和系統(tǒng)收集的輔助信息用統(tǒng)一的方式描述可顯著提高組件的運(yùn)行效率并降低開發(fā)成本,本標(biāo)準(zhǔn)建議采用對訪問請求進(jìn)行統(tǒng)一描述,基于屬性的描述機(jī)制通過靈活豐富的表達(dá)能力對訪問決策中涉及的主體、資源、動(dòng)作、環(huán)境等信息進(jìn)行定義。傳遞決策請求及接收決策結(jié)果訪問控制實(shí)施組件應(yīng)能夠傳遞決策請求至訪問控制決策組件并接收決策結(jié)果。組件將訪問請求完成統(tǒng)一格式轉(zhuǎn)換后,生成決策請求并將其轉(zhuǎn)送至訪問控制決策組件并等待其傳回最終決策結(jié)果。此間的請求/應(yīng)答交互應(yīng)遵循相關(guān)標(biāo)準(zhǔn)中定義的格式。訪問請求的決策結(jié)果可能表示為某種抽象形式,訪問實(shí)施組件應(yīng)根據(jù)組件所在的應(yīng)用場景和技術(shù)背景將其轉(zhuǎn)換為具體的應(yīng)用程序執(zhí)行邏輯,保證高層抽象安全約束和底層程序邏輯的一致性。訪問控制決策組件概述訪問控制決策組件負(fù)責(zé)從訪問控制實(shí)施組件接受決策請求,通過查找適用策略和相對應(yīng)的訪問控制屬性,依據(jù)訪問判定邏輯產(chǎn)生一個(gè)決策結(jié)果,并將該決策結(jié)果返回給訪問控制實(shí)施組件。訪問控制決策組件應(yīng)實(shí)現(xiàn)至節(jié)中規(guī)定的功能。接收決策請求組件接收到來自訪問控制實(shí)施組件的決策請求后,需要對請求內(nèi)的信息進(jìn)行解析分類,對不同類型的信息實(shí)體進(jìn)行臨時(shí)性存儲。根據(jù)決策的具體執(zhí)行邏輯,可能會(huì)針對某種類型信息優(yōu)先和訪問控制策略進(jìn)行匹配,因此在做出實(shí)際的訪問決策前,應(yīng)通過信息分類機(jī)制提高后期的執(zhí)行效率,例如可根據(jù)主體、資源、動(dòng)作等進(jìn)行分類存儲,也可根據(jù)角色、組、安全等級等不同的屬性類型進(jìn)行分類。執(zhí)行訪問決策邏輯訪問決策邏輯是整個(gè)組件的核心功能,其通用性和兼容性決定了整個(gè)中間件部署復(fù)雜度以及與應(yīng)用場景的整合難度。決策邏輯應(yīng)該考慮到已有的多種訪問控制模型和訪問控制機(jī)制,盡可能提高兼容性以減少重新部署安全策略的代價(jià)。GB/T18794.3-2003對多種訪問控制機(jī)制進(jìn)行了說明,包括訪問控制列表方案、權(quán)利方案、基于標(biāo)簽的方案、基于上下文的方案以及基于以上方案的變種等。上述方案間的區(qū)別在于如何將訪問相關(guān)信息進(jìn)行組合綁定和決策邏輯所關(guān)注的關(guān)鍵決策信息,另外各種方案的訪問控制策略描述在實(shí)現(xiàn)過程中也有很大不同?;趯傩缘脑L問控制模型提供了一種高層抽象的泛化描述能力,可以將以往出現(xiàn)的各種方案在一致的邏輯語義下進(jìn)行轉(zhuǎn)化表達(dá)。其訪問決策邏輯主要依賴三部分輸入?yún)?shù):訪問請求、屬性信息、訪問控制策略,大體的決策流程為:首先以系統(tǒng)特別關(guān)注的敏感信息為關(guān)鍵字對訪問控制策略進(jìn)行檢索,獲取可能對決策結(jié)果產(chǎn)生影響的有效策略集合;然后根據(jù)決策請求對策略集合內(nèi)的策略進(jìn)一步詳細(xì)匹配;策略匹配過程中可能需要決策請求之外更詳細(xì)的屬性信息,組件檢索信息后完成對策略的精確評估,從而獲得最后的決策結(jié)果。該組件匹配的策略在基于屬性的描述框架內(nèi)進(jìn)行定義,以便于對其他訪問控制機(jī)制的兼容性轉(zhuǎn)化。該決策邏輯從多種訪問控制機(jī)制和模型中概括出基于關(guān)鍵標(biāo)識匹配的一致性邏輯,“匹配”和“檢索”是決策邏輯的兩類最基本操作,其他方案都可以在此基礎(chǔ)上進(jìn)行轉(zhuǎn)換。例如:訪問控制列表方案的決策邏輯可以理解為:從請求中提取資源信息,以該信息為關(guān)鍵字檢索策略,獲取和該資源相關(guān)的策略集合,通過將請求中的主體信息和訪問動(dòng)作特征與集合內(nèi)的策略逐一比較匹配,判斷最終的權(quán)限擁有權(quán)。該組件的實(shí)現(xiàn)框架支持基于角色的控制方案、基于歷史的控制方案、基于時(shí)間約束的控制方案和基于任務(wù)的控制方案等新興發(fā)展起來的訪問授權(quán)機(jī)制。大型的信息系統(tǒng)條目眾多,導(dǎo)致其所涉及的安全策略數(shù)目繁雜、策略間關(guān)系不夠清晰,為了避免出現(xiàn)不可預(yù)知的決策結(jié)果,需要從宏觀角度制定最基本的資源安全策略,以提供最低限度的安全保障。訪問控制決策組件通過開放式策略和保守式策略實(shí)現(xiàn)這種可預(yù)知的和最低限度的安全保障。開放式策略的決策邏輯為:如果沒有提供顯式策略明確禁止某訪問行為,則認(rèn)為允許該類訪問進(jìn)行;保守式策略的決策邏輯為:如果沒有提供顯式策略明確允許某訪問行為,則認(rèn)為禁止該類訪問進(jìn)行。采用何種策略取決于具體應(yīng)用的資源對象敏感性和資源對象使用目的。該組件應(yīng)考慮如下情況,即多條策略同時(shí)給出明確決策結(jié)果,且決策結(jié)果存在沖突。此時(shí)組件需要指定沖突消解策略處理可能產(chǎn)生的決策結(jié)果不一致性,常用的消解策略包括:肯定判定優(yōu)先、否定判定優(yōu)先、首次判定優(yōu)先等。組件也可以根據(jù)應(yīng)用場景的具體要求或者是安全屬性的自身特性,自定義沖突消解邏輯滿足安全決策需要。對所需訪問控制策略進(jìn)行檢索收集組件在執(zhí)行決策邏輯的過程中需要以適用策略集合作為請求匹配的參照,因此其內(nèi)部應(yīng)該具有策略檢索收集的功能。一種最簡單的處理方式就是:組件在運(yùn)行決策邏輯前,將所有策略一次性導(dǎo)入臨時(shí)存儲區(qū),之后所有的匹配操作都針對存儲區(qū)內(nèi)的策略進(jìn)行。當(dāng)策略數(shù)目較大時(shí),應(yīng)提供針對性更強(qiáng)的策略檢索功能,即根據(jù)某些屬性特征或者策略標(biāo)識從策略庫中獲取規(guī)模較小的策略子集,減少實(shí)際匹配的策略數(shù)量,提高匹配效率。例如以某個(gè)屬性類型或者具體的屬性值為關(guān)鍵字,或者以某種特定的策略類型為關(guān)鍵字對策略庫進(jìn)行檢索。該組件不限定策略檢索源的具體實(shí)現(xiàn),其存儲方式可以為數(shù)據(jù)庫、目錄服務(wù)器或者文件系統(tǒng)等。建議組件內(nèi)部設(shè)定臨時(shí)性策略檢索結(jié)果存儲區(qū),對檢索后的適用策略實(shí)現(xiàn)本地存放,避免策略匹配過程涉及過多的遠(yuǎn)程交互。同時(shí),應(yīng)考慮本地策略存儲的及時(shí)更新。對所需屬性信息進(jìn)行檢索收集雖然決策請求中包含了若干決策需要的屬性信息,但不能保證其充分滿足策略匹配的全部需要,因此組件應(yīng)具有相關(guān)屬性信息的檢索功能。策略匹配過程涉及多種類型的屬性信息,其特征、來源及發(fā)布形式可能多有不同,屬性檢索過程應(yīng)考慮能夠兼容處理不同的屬性格式,例如X509格式的屬性證書、SAML格式的安全斷言以及LDAP目錄中的屬性條目等。組件內(nèi)部的屬性查詢過程應(yīng)由決策邏輯觸發(fā),即當(dāng)決策邏輯無法完成策略匹配時(shí),建立與訪問控制屬性應(yīng)答組件的查詢請求及應(yīng)答。請求雙方應(yīng)該在屬性描述格式、屬性類型、請求/應(yīng)答方式等方面達(dá)成一致的情況下,對查詢所得信息進(jìn)行安全傳遞。組件在獲取到所需屬性后,可以在本地建立臨時(shí)存儲區(qū),避免之后的屬性查詢涉及過多的遠(yuǎn)程交互過程,造成策略匹配延遲。同時(shí),應(yīng)考慮本地屬性存儲的及時(shí)更新。決策歷史記錄的相關(guān)查詢考慮到和其他安全組件的集成性,訪問控制中間件應(yīng)提供相應(yīng)的服務(wù)功能,例如為安全審計(jì)提供歷史訪問的相關(guān)數(shù)據(jù)等。訪問控制決策組件在完成請求決策的同時(shí),應(yīng)對整個(gè)過程涉及的信息進(jìn)行分類記錄,例如某訪問請求涉及的匹配策略標(biāo)識、檢索到的主體屬性信息、資源特征信息、各種環(huán)境信息、最終決策結(jié)果、組件當(dāng)時(shí)的配置狀態(tài)等。以上信息應(yīng)保證存儲的安全性和與歷史記錄的一致性,并且可根據(jù)特殊的審計(jì)需要增加相應(yīng)的記錄信息類型。所有歷史記錄信息對其他安全組件提供基本的輸出功能,但不提供其他領(lǐng)域的業(yè)務(wù)安全分析功能,本標(biāo)準(zhǔn)也不具體約束數(shù)據(jù)存儲的形式和方案。訪問控制策略應(yīng)答組件概述訪問控制策略應(yīng)答組件負(fù)責(zé)響應(yīng)訪問控制決策組件的策略檢索請求,對不同形式的策略表達(dá)進(jìn)行一致性轉(zhuǎn)化,完成對適用策略的檢索并以安全的方式傳輸至訪問控制決策組件。訪問控制策略應(yīng)答組件的詳細(xì)功能描述及細(xì)節(jié)如下。訪問控制策略應(yīng)答組件負(fù)責(zé)響應(yīng)訪問控制決策組件的策略檢索請求,負(fù)責(zé)整個(gè)中間件訪問控制策略的底層處理。訪問控制策略應(yīng)答組件應(yīng)實(shí)現(xiàn)至節(jié)中規(guī)定的功能。統(tǒng)一策略描述方式不同的安全系統(tǒng)可能采用不同的描述方式定義安全策略,但從中間件的角度出發(fā),其決策邏輯所依賴的策略集必須具有統(tǒng)一的格式和語義。策略應(yīng)答組件需要確定系統(tǒng)應(yīng)用的策略類型,并對不同形式的策略表達(dá)進(jìn)行一致性轉(zhuǎn)化。策略轉(zhuǎn)化過程可能需要界定不同策略特征間的轉(zhuǎn)換規(guī)則,但應(yīng)保證策略轉(zhuǎn)化不影響最終的安全目標(biāo),因此需要根據(jù)系統(tǒng)特征從不同的訪問控制策略中抽象高層安全目標(biāo)視圖,并在轉(zhuǎn)化過程中實(shí)施目標(biāo)一致性檢測。策略檢索策略應(yīng)答組件必須能夠處理來自決策組件帶有多種查詢參數(shù)的策略檢索請求,并獲取滿足要求的策略集合。最簡單的策略請求處理方式是應(yīng)答組件返回所有可用的安全策略,但在策略規(guī)模龐大的應(yīng)用場景下,這種模式顯然無法提供高效的策略匹配效率。決策組件可能會(huì)以某些策略特征為關(guān)鍵字對策略庫進(jìn)行精確查找,例如用戶角色名稱、資源標(biāo)識、訪問類型等,應(yīng)答組件應(yīng)該支持這些定制查詢參數(shù)的檢索請求。實(shí)際的策略存儲點(diǎn)可能采用不同的實(shí)現(xiàn)方式,例如數(shù)據(jù)庫、LDAP服務(wù)器、文件系統(tǒng)等,應(yīng)答組件應(yīng)該具備檢索多種存儲方式的能力,并對檢索后的結(jié)果進(jìn)行整合。應(yīng)答組件可通過自身開發(fā)或借助外部工具的方式提高策略檢索的速度、減少檢索響應(yīng)延遲,也可以通過內(nèi)部緩存機(jī)制降低組件間的通訊交互。策略傳輸應(yīng)答組件應(yīng)與決策組件就策略傳輸?shù)姆绞胶透袷竭M(jìn)行統(tǒng)一制定,應(yīng)答組件完成策略檢索后,將響應(yīng)策略集合以安全可靠的傳輸協(xié)議傳輸至決策組件。本標(biāo)準(zhǔn)不強(qiáng)制定義具體的策略傳輸協(xié)議,只對一些可選的傳輸方案進(jìn)行說明??梢酝ㄟ^網(wǎng)絡(luò)層的socket通訊協(xié)議直接對策略條目進(jìn)行編碼傳輸,另外針對XML類型的策略格式也可以采用類似SOAP協(xié)議的XMLRPC方式進(jìn)行傳輸。訪問控制中間件可根據(jù)技術(shù)集成難度、應(yīng)用環(huán)境特點(diǎn)、通訊質(zhì)量要求等自行選用具體的傳輸協(xié)議。策略管理實(shí)際應(yīng)用中,訪問控制策略管理本身可能涉及一個(gè)相對獨(dú)立的技術(shù)領(lǐng)域,其實(shí)現(xiàn)技術(shù)和方案復(fù)雜多樣,本標(biāo)準(zhǔn)不試圖對策略管理給出完整詳細(xì)的功能規(guī)范,只針對訪問控制中間件的實(shí)際需求對策略管理應(yīng)提供的功能提出具體的規(guī)范定義,其涵蓋的功能模塊是策略管理的功能子集。策略管理服務(wù)(工具或模塊)應(yīng)提供對策略的一般性管理功能,例如策略的添加、修改、刪除、更新等,以方便中間件對系統(tǒng)安全策略的控制和掌握。在多條策略的安全約束之間,可能存在潛在的沖突威脅,策略管理服務(wù)應(yīng)提供策略優(yōu)先級機(jī)制,制定策略沖突消解規(guī)則,便于訪問控制決策組件執(zhí)行具體的決策邏輯。策略管理服務(wù)還應(yīng)提供策略一致性檢測功能,在策略實(shí)體和高層安全目標(biāo)間進(jìn)行一致性驗(yàn)證和測試,保證策略實(shí)體符合系統(tǒng)的安全管理初衷。本標(biāo)準(zhǔn)不對以上功能做具體的實(shí)現(xiàn)說明,也不強(qiáng)制訪問控制中間件必須實(shí)現(xiàn)上述功能。訪問控制屬性應(yīng)答組件概述訪問控制屬性應(yīng)答組件負(fù)責(zé)對訪問判定過程中需要的各種類型屬性信息進(jìn)行收集,生成并發(fā)布屬性斷言,并將屬性信息集合以安全的方式傳輸至訪問控制決策組件。訪問控制策略應(yīng)答組件的詳細(xì)功能描述及細(xì)節(jié)如下。該組件主要負(fù)責(zé)訪問決策可能觸發(fā)的屬性信息收集,輔助訪問控制決策組件完成最終的請求決策。訪問控制策略應(yīng)答組件應(yīng)實(shí)現(xiàn)至節(jié)中規(guī)定的功能。用戶屬性信息收集當(dāng)決策請求中包含的用戶屬性信息不足以使決策邏輯給出決策結(jié)果時(shí),決策組件需要向訪問控制屬性應(yīng)答組件發(fā)送屬性查詢請求。用戶的屬性信息可能來自多個(gè)屬性管理權(quán)威機(jī)構(gòu),屬性的頒發(fā)格式可能不同,最終的屬性存儲點(diǎn)也可能分布在不同的物理地址,屬性應(yīng)答組件應(yīng)該能根據(jù)用戶標(biāo)識對屬性信息進(jìn)行集成檢索,形成統(tǒng)一的屬性表達(dá)語義,便于進(jìn)一步的屬性斷言發(fā)布。組件處理的屬性頒發(fā)格式可能為X.509格式的屬性證書、SAML斷言、LDAP屬性條目等。在對檢索后獲取的用戶屬性進(jìn)行確認(rèn)前,應(yīng)對這些屬性信息的有效性進(jìn)行驗(yàn)證。驗(yàn)證過程可能是針對屬性實(shí)體的數(shù)字簽名驗(yàn)證,也可能涉及對屬性頒發(fā)實(shí)體的數(shù)字身份驗(yàn)證,驗(yàn)證能否通過取決于對驗(yàn)證信息的可信性。針對來自外域的用戶屬性信息,組件根據(jù)外域用戶屬性檢索適用的屬性映射規(guī)則,推導(dǎo)出外域?qū)傩詫?yīng)的本域?qū)傩孕畔?,?shí)現(xiàn)域間屬性轉(zhuǎn)譯,以決策組件可理解的域內(nèi)屬性信息格式進(jìn)行發(fā)布。轉(zhuǎn)譯過程涉及屬性信息內(nèi)容的轉(zhuǎn)譯和屬性描述格式的轉(zhuǎn)換。應(yīng)答組件可通過自身開發(fā)或借助外部工具的方式提高屬性檢索的速度、減少檢索響應(yīng)延遲,也可以通過內(nèi)部緩存機(jī)制降低組件間的通訊交互。其他類型屬性信息收集基于屬性的訪問控制機(jī)制決定了決策組件除了可能需要對用戶屬性進(jìn)行檢索外,還需要其他類型的信息輔助判斷。這些信息可能來自信息系統(tǒng)自身狀態(tài)、上下文環(huán)境、網(wǎng)絡(luò)狀況等一些可以描述訪問進(jìn)行時(shí)的外界信息感應(yīng)點(diǎn),應(yīng)答組件應(yīng)有能力接收或者主動(dòng)查詢來自這些感應(yīng)點(diǎn)的屬性信息。本標(biāo)準(zhǔn)不試圖定義感應(yīng)點(diǎn)發(fā)布屬性的方式和屬性格式,屬性應(yīng)答組件應(yīng)將這些屬性信息轉(zhuǎn)換為決策組件可理解的語義及格式并以屬性斷言的格式進(jìn)行轉(zhuǎn)發(fā)。屬性斷言發(fā)布屬性應(yīng)答組件是決策組件唯一信任的屬性發(fā)布點(diǎn),其他的屬性存儲點(diǎn)和感應(yīng)點(diǎn)對決策組件來說都應(yīng)該是透明的,因此應(yīng)答組件在獲取到查詢的屬性信息后,應(yīng)該以決策組件可驗(yàn)證的屬性斷言方式發(fā)布屬性信息。斷言應(yīng)包含屬性的主體標(biāo)識、屬性類型或名稱、具體的屬性值、應(yīng)答組件對屬性信息摘要的簽名等。屬性斷言格式的定義宜采用GB/T29242-2012標(biāo)準(zhǔn)。屬性信息傳遞屬性應(yīng)答組件應(yīng)與決策組件就屬性傳輸?shù)姆绞胶透袷竭M(jìn)行統(tǒng)一制定,應(yīng)答組件完成屬性檢索后,將屬性信息集合以安全可靠的傳輸協(xié)議傳輸至決策組件。類似策略傳輸,本標(biāo)準(zhǔn)不限制定義具體的屬性傳輸協(xié)議,可以通過網(wǎng)絡(luò)層的套接字通訊協(xié)議直接對屬性條目進(jìn)行編碼傳輸,另外針對XML類型的屬性格式也可以采用類似SOAP協(xié)議的XMLRPC方式進(jìn)行傳輸。屬性管理屬性管理已經(jīng)存在相關(guān)標(biāo)準(zhǔn)規(guī)范,其實(shí)現(xiàn)技術(shù)和方案復(fù)雜多樣,本標(biāo)準(zhǔn)不試圖對屬性管理細(xì)節(jié)給出完整詳細(xì)的功能規(guī)范,只針對訪問控制中間件的實(shí)際需求對屬性管理應(yīng)提供的功能提出具體的規(guī)范定義,其涵蓋的功能模塊是屬性管理的功能子集。屬性管理服務(wù)(工具或模塊)應(yīng)提供對屬性信息的一般性管理功能,例如屬性的頒發(fā)、撤銷、更新等,以方便中間件對屬性信息的控制和掌握。為了支持跨域訪問控制等多域應(yīng)用場景,屬性管理服務(wù)應(yīng)提供域間屬性映射功能,制定屬性映射規(guī)則,可發(fā)布映射斷言供外域的屬性發(fā)布組件進(jìn)行查詢。屬性管理服務(wù)還應(yīng)提供屬性一致性檢測功能,限制用戶同時(shí)擁有違反安全約束的多個(gè)屬性。本標(biāo)準(zhǔn)不對以上功能做具體的實(shí)現(xiàn)說明,也不強(qiáng)制訪問控制中間件必須實(shí)現(xiàn)上述功能。屬性管理的具體實(shí)現(xiàn)應(yīng)參照相應(yīng)的數(shù)字身份管理標(biāo)準(zhǔn)與規(guī)范及其他相關(guān)標(biāo)準(zhǔn)。組件間接口策略決策接口(IF-PD)IF-PD是訪問控制實(shí)施組件和訪問控制決策組件之間的接口。IF-PD接口主要用于傳遞決策請求消息至訪問控制決策組件,并將訪問控制決策組件產(chǎn)生的判定結(jié)果以決策應(yīng)答消息的方式傳遞給訪問控制實(shí)施組件。此接口的具體實(shí)現(xiàn)可見GB/T31501-2015或者GB/T30281-2013中的相關(guān)定義。決策管理接口(IF-DM)IF-DM是管理訪問控制決策組件的接口。IF-DM接口主要用于向訪問控制決策組件傳遞消息,控制組件功能的啟動(dòng)與停止,配置組件并控制組件的執(zhí)行流程與執(zhí)行環(huán)境。IF-DM接口的定義細(xì)節(jié)見6.3節(jié)。策略查詢接口(IF-PQ)IF-PQ是訪問控制決策組件和訪問控制策略應(yīng)答組件之間的接口。IF-PQ接口主要用于策略的檢索以及訪問控制策略應(yīng)答組件的配置。IF-PQ按照指定的檢索模式將獲取到的策略轉(zhuǎn)換成指定類型的策略,并返回給訪問控制決策組件。IF-PQ接口的定義細(xì)節(jié)見6.4節(jié)。屬性查詢接口(IF-AQ)IF-AQ是訪問控制決策組件和訪問控制屬性應(yīng)答組件之間的接口。IF-AQ接口主要用于屬性的檢索以及訪問控制屬性應(yīng)答組件的配置。IF-AQ獲取主體的屬性后,將查詢到的屬性轉(zhuǎn)為指定格式,并返回給訪問控制決策組件。IF-AQ接口的定義細(xì)節(jié)見6.5節(jié)??缬?qū)傩圆樵兘涌冢↖F-CDAQ)IF-CDAQ是不同域的訪問控制屬性應(yīng)答組件之間的接口。IF-CDAQ接口主要用于外域訪問控制屬性應(yīng)答組件查詢本域某個(gè)主體的屬性。本域訪問控制屬性應(yīng)答組件獲取主體的屬性后,將查詢到的屬性轉(zhuǎn)為指定格式,并返回給外域的訪問控制屬性應(yīng)答組件。IF-AQ接口的定義細(xì)節(jié)見6.6節(jié)接口間消息流通過上述定義的各不同接口,體系結(jié)構(gòu)中的各組件進(jìn)行消息交換。這些基本的消息流如圖2所示。訪問控制中間件體系框架中的消息流在發(fā)起者開始訪問目標(biāo)之前,訪問控制中間件需要通過管理工具進(jìn)行初始化與配置管理,包括以下三種操作:通過策略管理工具對訪問控制中間件的策略進(jìn)行管理操作;通過屬性管理工具進(jìn)行屬性頒發(fā)與撤銷等管理操作;通過決策管理工具進(jìn)行決策引擎的管理與配置。(圖2步驟0)當(dāng)發(fā)起者試圖對目標(biāo)進(jìn)行訪問時(shí),訪問控制實(shí)施組件攔截發(fā)起者的訪問請求。(圖2步驟1)訪問控制實(shí)施組件攔截訪問請求后,向訪問控制決策組件發(fā)送決策請求。(圖2步驟2)訪問控制決策組件以決策請求為參數(shù)調(diào)用策略檢索器從訪問控制策略應(yīng)答組件檢索適用策略,并對檢索的適用策略進(jìn)行評估。(圖2步驟3)如果訪問控制決策組件在評估過程中發(fā)現(xiàn)缺乏相應(yīng)的屬性,則通過屬性檢索器向本安全域的訪問控制屬性應(yīng)答組件發(fā)出屬性查詢請求;訪問控制屬性應(yīng)答組件查詢并驗(yàn)證屬性發(fā)布點(diǎn)上存儲的屬性,生成屬性應(yīng)答返回至訪問控制決策組件。(圖2步驟4)如果所查詢的屬性是其它安全域中的屬性,則由本安全域的訪問控制屬性應(yīng)答組件向外域的訪問控制屬性應(yīng)答組件進(jìn)行查詢,以獲得外域中的訪問控制屬性,并通過屬性映射關(guān)系確定屬性的可信性,生成屬性應(yīng)答消息。(圖2步驟4a)訪問控制決策組件依據(jù)訪問控制策略與訪問控制屬性完成決策評估,向訪問控制實(shí)施組件發(fā)送最終決策結(jié)果。(圖2步驟5)訪問控制實(shí)施組件根據(jù)返回的決策結(jié)果拒絕或允許發(fā)起者對目標(biāo)的訪問。(圖2步驟6)訪問控制中間件接口概述本章主要對訪問控制中間件的接口進(jìn)行說明和定義,對接口的輸入?yún)?shù),輸出參數(shù)以及邏輯功能進(jìn)行規(guī)范,但不強(qiáng)制定義接口的具體實(shí)現(xiàn)方案和形式。接口的輸入?yún)?shù)與輸出參數(shù)以XML格式定義,消息的示例見附錄B。接口的實(shí)現(xiàn)應(yīng)支持本節(jié)所定義的接口、以及接口所定義的輸入?yún)?shù)與輸出參數(shù),但可根據(jù)應(yīng)用環(huán)境進(jìn)行擴(kuò)展。常量定義訪問控制中間件各接口返回的消息碼定義如下。消息碼定義返回消息碼值語義IF_RESULT_SUCCESS0調(diào)用接口完成預(yù)定功能IF_RESULT_FAIL1調(diào)用接口未完成預(yù)定功能IF_RESULT_ILLEGAL_ACTION2非法調(diào)用接口IF_RESULT_INVALID_PARAM3參數(shù)錯(cuò)誤IF_RESULT_NOT_INIT4未初始化IF_RESULT_SELFTEST_ERROR5自檢錯(cuò)誤策略決策接口(IF-PD) IF-PD是訪問控制實(shí)施組件和訪問控制決策組件之間的接口。IF-PD接口主要用于傳遞決策請求消息至訪問控制決策組件,并將訪問控制決策組件產(chǎn)生的判定結(jié)果以決策應(yīng)答消息的方式傳遞給訪問控制實(shí)施組件。此接口的具體實(shí)現(xiàn)可見GB/T31501-2015中的相關(guān)定義。IF-PD的調(diào)用需要建立在安全信道的基礎(chǔ)上,安全信道應(yīng)保證通信數(shù)據(jù)的完整性。決策管理接口(IF-DM) IF-DM是管理訪問控制決策組件的接口。IF-DM接口主要用于向訪問控制決策組件傳遞消息,控制組件功能的啟動(dòng)與停止,配置組件并控制組件的執(zhí)行流程與執(zhí)行環(huán)境。 IF-DM的調(diào)用需要建立在安全信道的基礎(chǔ)上,安全信道應(yīng)保證通信數(shù)據(jù)的機(jī)密性、完整性。安全信道的宜依據(jù)SSL/TLS建立。決策管理登錄接口(IF-DM-Login)功能 決策管理的實(shí)施需要對決策管理員的身份進(jìn)行認(rèn)證,并在認(rèn)證通過后建立會(huì)話。決策管理員的所有操作需要基于建立的會(huì)話完成。在調(diào)用決策管理其它的接口之前,決策管理登錄接口必須首先被調(diào)用。輸入?yún)?shù)輸入?yún)?shù)類型定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="login"><xs:complexType><xs:sequence><xs:elementname="uerId"type="xs:string"/><xs:elementname="credential"type="xs:base64Binary"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)說明決策管理員的身份標(biāo)識;調(diào)用決策管理登錄接口應(yīng)提供調(diào)用者的認(rèn)證信息。認(rèn)證信息由決策管理組件支持的認(rèn)證方式?jīng)Q定。例如,若采用證書認(rèn)證方式,認(rèn)證信息應(yīng)該包含決策管理員身份證書。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/><xs:elementname="sessionId"type="xs:string"minOccurs="0"maxOccurs="1"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用決策管理登錄接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼;若決策管理員身份通過認(rèn)證,還需返回所建立的會(huì)話的標(biāo)識。IF-DM-Login接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS認(rèn)證決策管理員身份成功IF_RESULT_FAIL認(rèn)證決策管理員身份失敗決策管理登出接口(IF-DM-Logout)功能 決策管理完成后,需要關(guān)閉為完成此次決策管理而創(chuàng)建的會(huì)話。此接口提供注銷所建立的會(huì)話的功能。決策管理員完成所有操作后應(yīng)調(diào)用此接口。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="logout"><xs:complexType><xs:sequence><xs:elementname="sessionId"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)說明所注銷的本次會(huì)話的標(biāo)識。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用決策管理登出接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-DM-Logout接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS注銷會(huì)話成功IF_RESULT_FAIL注銷會(huì)話失敗決策管理配置接口(IF-DM-Config)功能 訪問控制策略決策組件應(yīng)是可配置的。決策管理員應(yīng)能夠通過配置訪問控制策略決策組件,靈活控制訪問控制策略決策組件的執(zhí)行流程及執(zhí)行環(huán)境。決策管理配置接口可以但不是必須提供對配置的檢測功能。調(diào)用決策配置管理接口后,訪問控制策略決策組件可以即時(shí)對配置響應(yīng),也可通過重新啟動(dòng)對配置進(jìn)行響應(yīng)。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="config"><xs:complexType><xs:sequence><xs:elementname="plicyStoragePoint"type="xs:anyURI"/><xs:elementname="attributeIssuePoint"type="xs:anyURI"/><xs:elementname="combiningAlg"type="xs:string"/><xs:elementname="supprotPolicy"minOccurs="1"maxOccurs="unbounded"><xs:complexType><xs:sequence><xs:elementname="supportPolicyType"type="xs:string"/><xs:elementname="policySchema"type="xs:base64Binary"/></xs:sequence></xs:complexType></xs:element><xs:elementname="sessionId"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)說明調(diào)用決策管理配置接口應(yīng)提供但不局限于提供以下配置信息。策略存儲點(diǎn):訪問控制策略決策組件策略查找點(diǎn);屬性發(fā)布點(diǎn):訪問控制策略決策組件屬性查找點(diǎn);合并方法:訪問控制策略決策組件對多個(gè)策略評估時(shí)的組合邏輯。例如,采用拒絕優(yōu)先,只要有一個(gè)策略的評估結(jié)果為拒絕,則最終的決策結(jié)果也為拒絕。訪問控制策略決策組件只有在對多個(gè)策略評估時(shí)使用合并方法;支持的策略:訪問控制策略決策組件支持的策略類型以及相應(yīng)的策略類型模式。訪問控制策略決策組件可以根據(jù)策略模式,在對查詢的策略解析之前,首先判斷其是否為自己支持的策略類型。例如,訪問控制策略決策組件可以但不限于支持XACML格式策略的解析;本次調(diào)用的會(huì)話標(biāo)識。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用決策管理配置接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-DM-Config接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS配置訪問控制策略決策組件成功IF_RESULT_FAIL配置訪問控制策略決策組件失敗IF_RESULT_INVALID_PARAM配置參數(shù)不符合規(guī)定的格式?jīng)Q策啟動(dòng)接口(IF-DM-Start)功能 啟動(dòng)訪問控制策略決策組件提供的服務(wù)。訪問控制策略決策組件啟動(dòng)時(shí),應(yīng)首先檢查配置信息是否完備。決策管理啟動(dòng)接口可以但不是必須提供訪問控制策略決策組件檢測功能,以確定系統(tǒng)的狀態(tài)。調(diào)用該接口前應(yīng)先調(diào)用決策管理配置接口。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="start"><xs:complexType><xs:sequence><xs:elementname="selfTest"type="xs:string"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="sessionId"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)說明調(diào)用決策管理啟動(dòng)接口可以但不是必須指定訪問控制策略決策組件自檢項(xiàng)。本次調(diào)用的會(huì)話標(biāo)識。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用決策管理啟動(dòng)接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼,詳見表5:IF-DM-Start接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS訪問控制策略決策組件啟動(dòng)成功IF_RESULT_FAIL訪問控制策略決策組件啟動(dòng)失敗IF_RESULT_NOT_INIT訪問控制策略決策組件未配置IF_RESULT_SELFTEST_ERROR訪問控制策略決策組件啟動(dòng)自檢失敗決策停止接口(IF-DM-Stop)功能 停止訪問控制策略決策組件提供的服務(wù)。訪問控制策略決策組件停止時(shí),可以采用如下兩種模式:可停止正在提供的服務(wù),同時(shí)拒絕新的服務(wù)請求;繼續(xù)完成正在提供的服務(wù),但是拒絕新的服務(wù)請求。訪問控制策略決策組件停止模式由組件開發(fā)者自行選擇,或同時(shí)支持但由調(diào)用者選擇。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="stop"><xs:complexType><xs:sequence><xs:elementname="stopPattern"type="xs:string"/><xs:elementname="sessionId"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)說明調(diào)用決策管理停止接口必須提供采用的停止模式的標(biāo)識。停止模式的標(biāo)識由訪問控制策略決策組件自行規(guī)定。本次調(diào)用的會(huì)話標(biāo)識。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用決策管理停止接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-DM-Stop接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS訪問控制策略決策組件停止成功IF_RESULT_FAIL訪問控制策略決策組件停止失敗IF_RESULT_INVALID_PARAM停止模式的標(biāo)識不被識別策略查詢接口(IF-PQ) IF-PQ是訪問控制決策組件和訪問控制策略應(yīng)答組件之間的接口。IF-PQ接口主要用于策略的檢索以及訪問控制策略應(yīng)答組件的配置。IF-PQ按照指定的檢索模式將獲取到的策略轉(zhuǎn)換成指定類型的策略,然后返回給訪問控制決策組件。IF-PQ的調(diào)用需要建立在安全信道的基礎(chǔ)上,安全信道應(yīng)保證通信數(shù)據(jù)的完整性。策略查詢支持類型接口(IF-PQ-SupportPT)功能 訪問控制策略應(yīng)答組件應(yīng)返回支持的策略類型。例如,只支持XACML策略。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportPT"><xs:complexType><xs:sequence><xs:elementname="policyTypeId"type="xs:ID"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用策略查詢支持類型接口應(yīng)可以獲得訪問控制策略應(yīng)答組件支持的策略類型信息。返回值的數(shù)據(jù)結(jié)構(gòu),以及策略類型的標(biāo)識由訪問控制策略應(yīng)答組件自行規(guī)定。調(diào)用策略查詢支持類型接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-PQ-SupportPT接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS查詢支持策略類型成功IF_RESULT_FAIL查詢支持策略類型失敗策略查詢返回類型接口(IF-PQ-ReturnPT)功能 訪問控制決策組件可能只支持某種類型的組件。訪問控制策略應(yīng)答組件應(yīng)能夠指定返回的策略的類型。調(diào)用該接口前應(yīng)先調(diào)用策略查詢支持類型接口。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setRetPolicyType"type="xs:string"/></xs:schema>輸入?yún)?shù)說明調(diào)用策略查詢返回類型接口應(yīng)提供指定的返回的策略的類型。策略類型的標(biāo)識由訪問控制策略應(yīng)答組件自行規(guī)定。輸出參數(shù):、輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用策略查詢返回類型接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-PQ-ReturnPT接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設(shè)置返回的策略的類型成功IF_RESULT_FAIL設(shè)置返回的策略的類型失敗IF_RESULT_INVALID_PARAM設(shè)定的策略類型不被支持策略查詢查找模式接口(IF-PQ-SearchSchema)功能 訪問控制策略應(yīng)答組件應(yīng)能夠指定策略查找的模式,即只查詢第一條適用的策略,或查詢所有適用的策略。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setSearchPattern"type="xs:string"/></xs:schema>輸入?yún)?shù)說明:調(diào)用策略查詢查找模式接口應(yīng)提供指定的查找模式標(biāo)識。策略查找模式標(biāo)識由訪問控制策略應(yīng)答組件自行規(guī)定。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用策略查詢查找模式接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-PQ-SearchSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設(shè)置策略查找模式成功IF_RESULT_FAIL設(shè)置策略查找模式失敗IF_RESULT_INVALID_PARAM設(shè)定的策略查找模式標(biāo)識不被識別策略查詢返回模式接口(IF-PQ-ReturnSchema)功能 訪問控制策略應(yīng)答組件應(yīng)能夠指定策略查詢結(jié)果返回的模式,即若查詢到多個(gè)適用策略時(shí),或?qū)⑦@些策略直接返回,或?qū)⑦@些策略合并為一個(gè)策略返回。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setReturnPattern"type="xs:string"/></xs:schema>輸入?yún)?shù)說明調(diào)用策略查詢返回模式接口應(yīng)提供指定的返回模式標(biāo)識。返回模式標(biāo)識由訪問控制策略應(yīng)答組件自行規(guī)定。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用策略查詢返回模式接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-PQ-ReturnSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設(shè)置策略查詢返回模式成功IF_RESULT_FAIL設(shè)置策略查詢返回模式失敗IF_RESULT_INVALID_PARAM設(shè)定的策略查詢返回模式標(biāo)識不被識別策略查詢策略合并模式接口(IF-PQ-PolicyCombine)功能 訪問控制策略應(yīng)答組件應(yīng)指定策略合并的模式。即若訪問控制策略應(yīng)答組件的策略查詢返回模式設(shè)定為將查詢到的多個(gè)策略合并為一個(gè)策略返回時(shí),應(yīng)按照通過調(diào)用該接口指定的策略合并模式對查詢到的策略進(jìn)行合并。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setCombiningAlg"type="xs:string"/></xs:schema>輸入?yún)?shù)說明調(diào)用策略查詢策略合并模式接口應(yīng)提供指定的策略合并模式。策略合并模式由訪問控制策略應(yīng)答組件自行規(guī)定輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用策略查詢策略合并模式接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-PQ-PolicyCombine接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設(shè)置策略合并模式成功IF_RESULT_FAIL設(shè)置策略合并模式失敗IF_RESULT_INVALID_PARAM設(shè)定的策略合并模式解析錯(cuò)誤策略查詢獲取策略接口(IF-PQ-GetPolicy)功能 訪問控制策略應(yīng)答組件應(yīng)能夠返回適用于某一次訪問控制請求的策略。調(diào)用此接口前,應(yīng)先設(shè)定策略查詢返回類型、策略查詢查找模式、策略查詢返回模式、策略查詢策略合并模式。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getPolicyRequest"><xs:complexType><xs:sequence><xs:elementname="subject"type="xs:string"/><xs:elementname="resource"type="xs:string"/><xs:elementname="action"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)說明:用策略查詢獲取策略接口應(yīng)提供訪問控制請求信息。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getPolicyResponse"><xs:complexType><xs:sequence><xs:choice><xs:elementname="policy"type="xs:base64Binary"maxOccurs="unbounded"/><xs:elementname="policySet"type="xs:base64Binary"/></xs:choice><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用策略查詢獲取策略接口應(yīng)能得到適用于某一個(gè)訪問控制請求的策略集,或某一個(gè)單獨(dú)的策略。調(diào)用策略查詢獲取策略接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-PQ-GetPolicy接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取適用的策略成功IF_RESULT_FAIL獲取適用的策略失敗IF_RESULT_NOT_INIT訪問控制策略應(yīng)答組件未配置IF_RESULT_INVALID_PARAM訪問控制請求信息解析錯(cuò)誤屬性查詢接口(IF-AQ) IF-AQ是訪問控制決策組件和訪問控制屬性應(yīng)答組件之間的接口。IF-PQ接口主要用于屬性的檢索以及訪問控制屬性應(yīng)答組件的配置。IF-PQ獲取主體的屬性后,將查詢到的屬性轉(zhuǎn)為指定格式,然后返回給訪問控制決策組件。IF-AQ的調(diào)用需要建立在安全信道的基礎(chǔ)上,安全信道應(yīng)保證通信數(shù)據(jù)的完整性。屬性查詢支持類型接口(IF-AQ-SupportAT)功能 訪問控制屬性應(yīng)答組件應(yīng)提供支持的屬性類型。訪問控制屬性應(yīng)答組件對于本域可以支持多種類型的屬性,也可以僅支持一種類型的屬性。例如,只支持“角色”屬性。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportAT"><xs:complexType><xs:sequence><xs:elementname="attributeId"type="xs:ID"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用屬性查詢支持類型接口應(yīng)可以獲得訪問控制屬性應(yīng)答組件支持的屬性類型信息。返回值的數(shù)據(jù)結(jié)構(gòu),以及屬性類型的標(biāo)識由訪問控制屬性應(yīng)答組件自行規(guī)定。調(diào)用屬性查詢支持類型接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-AQ-SupportAT接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS查詢支持屬性類型成功IF_RESULT_FAIL查詢支持屬性類型失敗屬性查詢支持格式接口(IF-AQ-SupportSchema)功能 訪問控制屬性應(yīng)答組件應(yīng)提供屬性查詢支持的返回格式。例如,或者以SAML斷言的形式返回屬性查詢的結(jié)果,或者直接返回屬性證書。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportSchema"><xs:complexType><xs:sequence><xs:elementname="schemaName"type="xs:string"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用屬性查詢支持格式接口應(yīng)可以獲得訪問控制屬性應(yīng)答組件支持的返回格式。返回格式的標(biāo)識由訪問控制屬性應(yīng)答組件自行規(guī)定。調(diào)用屬性查詢支持格式接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-AQ-SupportSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS查詢支持的返回格式成功IF_RESULT_FAIL查詢支持的返回格式失敗屬性查詢返回格式接口(IF-AQ-ReturnSchema)功能 訪問控制屬性應(yīng)答組件應(yīng)能夠設(shè)定屬性查詢的返回格式。例如,可以設(shè)定直接返回屬性證書。調(diào)用該接口前應(yīng)先調(diào)用屬性查詢支持格式接口。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setReturnSchema"type="xs:string"/></xs:schema>輸入?yún)?shù)說明:調(diào)用屬性查詢返回格式接口應(yīng)提供指定的返回格式。屬性查詢返回格式的標(biāo)識由訪問控制屬性應(yīng)答組件自行規(guī)定。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用屬性查詢返回格式接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-AQ-ReturnSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設(shè)置屬性查詢返回格式成功IF_RESULT_FAIL設(shè)置屬性查詢返回格式失敗IF_RESULT_INVALID_PARAM設(shè)定的屬性查詢返回格式標(biāo)識未識別屬性查詢獲取屬性接口(IF-AQ-GetAttribute)功能 訪問控制屬性應(yīng)答組件應(yīng)能夠返回某一主體所具有的屬性。調(diào)用此接口前,應(yīng)先設(shè)定屬性查詢返回格式。調(diào)用該接口前應(yīng)先調(diào)用屬性查詢支持類型接口、屬性查詢返回格式接口。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getAttributeRequest"><xs:complexType><xs:sequence><xs:elementname="userId"type="xs:ID"/><xs:elementname="attributeId"type="xs:ID"minOccurs="0"/><xs:elementname="Issuer"type="xs:QName"minOccurs="0"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)定義調(diào)用屬性查詢獲取屬性接口應(yīng)提供所查詢主體的唯一標(biāo)識調(diào)用屬性查詢獲取屬性接口應(yīng)提供所要查詢的屬性類型標(biāo)識調(diào)用屬性查詢獲取屬性接口可以但不是必須提供所查詢屬性的頒發(fā)者輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getAttributeResponse"><xs:complexType><xs:sequence><xs:elementname="attribute"maxOccurs="unbounded"><xs:complexType><xs:sequence><xs:elementname="attributeId"type="xs:ID"/><xs:elementname="attributeValue"type="xs:string"/></xs:sequence></xs:complexType></xs:element><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用屬性查詢獲取屬性接口應(yīng)獲得某一主體擁有的屬性信息。屬性信息的格式通過調(diào)用屬性查詢返回格式指定。調(diào)用屬性查詢獲取接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-AQ-GetAttribute接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取某一個(gè)主體的屬性成功IF_RESULT_FAIL獲取某一個(gè)主體的屬性失敗IF_RESULT_NOT_INIT訪問控制屬性應(yīng)答組件未配置IF_RESULT_INVALID_PARAM屬性查詢類型標(biāo)識未識別跨域?qū)傩圆樵兘涌?IF-CDAQ) IF-CDAQ是不同域的訪問控制屬性應(yīng)答組件之間的接口。IF-CDAQ接口主要用于外域訪問控制屬性應(yīng)答組件查詢本域某個(gè)主體的屬性。本域訪問控制屬性應(yīng)答組件獲取主體的屬性后,將查詢到的屬性轉(zhuǎn)為指定格式,然后返回給外域的訪問控制屬性應(yīng)答組件。 IF-CDAQ的調(diào)用需要建立在安全信道的基礎(chǔ)上,安全信道應(yīng)保證通信數(shù)據(jù)的完整性。安全信道的可以但不是必須依據(jù)SSL/TLS建立??缬?qū)傩圆樵冎С诸愋徒涌?IF-CDAQ-SupportAT)功能 訪問控制屬性應(yīng)答組件應(yīng)提供外域可查詢的屬性類型。一般情況下,外域可查詢的屬性類型要少于本域可查詢的屬性類型。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportAT"><xs:complexType><xs:sequence><xs:elementname="attributeId"type="xs:ID"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用跨域?qū)傩圆樵冎С诸愋徒涌趹?yīng)可以獲得訪問控制屬性應(yīng)答組件外域可查詢的屬性類型信息。返回值的數(shù)據(jù)結(jié)構(gòu),以及屬性類型的標(biāo)識由訪問控制屬性應(yīng)答組件自行規(guī)定。調(diào)用跨域?qū)傩圆樵冎С诸愋徒涌趹?yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-CDAQ-SupportAT接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取跨域?qū)傩圆樵冎С謱傩灶愋统晒F_RESULT_FAIL獲取跨域?qū)傩圆樵冎С謱傩灶愋褪】缬驅(qū)傩圆樵兎祷馗袷浇涌?IF-CDAQ-SupportSchema)功能 訪問控制屬性應(yīng)答組件應(yīng)提供跨域?qū)傩圆樵兘Y(jié)果返回格式。例如以SAML斷言格式返回跨域?qū)傩圆樵兘Y(jié)果。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportSchema"><xs:complexType><xs:sequence><xs:elementname="schemaName"type="xs:string"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用跨域?qū)傩圆樵兎祷馗袷浇涌趹?yīng)可以獲得訪問控制屬性應(yīng)答組件跨域?qū)傩圆樵兘Y(jié)果返回格式。返回格式的標(biāo)識由訪問控制屬性應(yīng)答組件自行規(guī)定。調(diào)用屬性查詢返回格式接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-CDAQ-SupportSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取跨域?qū)傩圆樵兎祷馗袷匠晒F_RESULT_FAIL獲取跨域?qū)傩圆樵兎祷馗袷绞傩圆樵儷@取屬性接口(IF-CDAQ-GetAttribute)功能 訪問控制屬性應(yīng)答組件應(yīng)能夠返回外域查詢的本域某一主體所具有的屬性。調(diào)用此接口前一般應(yīng)先調(diào)用跨域?qū)傩圆樵冎С诸愋徒涌诤涂缬驅(qū)傩圆樵兎祷馗袷浇涌?,以確定外域可查詢的屬性類型以及屬性查詢結(jié)果的返回格式。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getAttributeRequest"><xs:complexType><xs:sequence><xs:elementname="userId"type="xs:ID"/><xs:elementname="attributeId"type="xs:ID"minOccurs="0"/><xs:elementname="Issuer"type="xs:QName"minOccurs="0"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)說明調(diào)用跨域?qū)傩圆樵儷@取屬性接口應(yīng)提供所查詢主體的唯一標(biāo)識調(diào)用跨域?qū)傩圆樵儷@取屬性接口應(yīng)提供所要查詢的屬性類型標(biāo)識調(diào)用跨域?qū)傩圆樵儷@取屬性接口可以但不是必須提供所查詢屬性的頒發(fā)者輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getAttributeResponse"><xs:complexType><xs:sequence><xs:elementname="attribute"maxOccurs="unbounded"><xs:complexType><xs:sequence><xs:elementname="attributeId"type="xs:ID"/><xs:elementname="attributeValue"type="xs:string"/></xs:sequence></xs:complexType></xs:element><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說明調(diào)用屬性查詢獲取屬性接口應(yīng)獲得某一主體擁有的屬性信息。屬性信息的格式通過調(diào)用屬性查詢返回格式指定。調(diào)用屬性查詢獲取接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-CDAQ-GetAttribute接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取某一個(gè)主體的屬性成功IF_RESULT_FAIL獲取某一個(gè)主體的屬性失敗IF_RESULT_INVALID_PARAM屬性查詢類型標(biāo)識不支持(資料性附錄)應(yīng)用場景介紹本附錄描述了訪問控制中間件的兩種應(yīng)用場景,部署訪問控制中間件可參考但不局限于此兩種應(yīng)用場景。訪問控制中間件應(yīng)用于單域一般情況下,訪問控制中間件應(yīng)用于單個(gè)域。對域內(nèi)用戶的訪問請求進(jìn)行響應(yīng),并將判定結(jié)果返回給應(yīng)用系統(tǒng)。在這種情況下,訪問控制中間件在判定過程中若需要查詢用戶屬性,只需在域內(nèi)的屬性查詢點(diǎn)查詢。用戶請求對需要進(jìn)行訪問控制的資源的訪問時(shí),請求由應(yīng)用系統(tǒng)進(jìn)行處理,應(yīng)用系統(tǒng)需要與訪問控制中間件交互,中間件此時(shí)被調(diào)用,如果判斷過程需要查詢詳細(xì)信息,則可以訪問策略發(fā)布點(diǎn)和屬性發(fā)布點(diǎn)進(jìn)行查詢,借助獲取的信息進(jìn)行判定,并將結(jié)果返回給應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)根據(jù)判定結(jié)果來決定是否允許用戶的訪問請求。如圖A.1所示。單域應(yīng)用場景訪問控制中間件應(yīng)用于跨域某些情況下,訪問控制中間件可能應(yīng)用于跨域,即需要對外域用戶訪問本域資源進(jìn)行判定。在這種情況下,本域訪問控制中間件可能需要與外域訪問控制中間件交互,查詢外域用戶擁有的外域?qū)傩浴H鐖DA.2所示,位于域A中的用戶在對域B中的某些資源發(fā)出訪問請求時(shí),域B中的訪問控制實(shí)施組件會(huì)調(diào)用訪問控制中間件進(jìn)行判定。此時(shí)域B中沒有該用戶的屬性信息,因此域B中的訪問控制中間件要跨域訪問域A中的訪問控制中間件,以獲取該用戶的屬性信息。域A中的訪問控制中間件進(jìn)行查詢并返回結(jié)果。域B中的訪問控制中間件根據(jù)在本地策略發(fā)布點(diǎn)查詢得到的信息和跨域交互返回的信息來進(jìn)行判定,將結(jié)果返回給訪問控制實(shí)施組件,訪問控制實(shí)施組件根據(jù)判定結(jié)果作出決策??缬驊?yīng)用場景(資料性附錄)接口消息示例概述本章對本標(biāo)準(zhǔn)中的訪問控制接口的消息給出了采用XML描述的具體示例。接口消息示例決策管理登錄接口(IF-DM-Login)輸入<?xmlversion="1.0"encoding="utf-8"?><login><userId>lois</userId><credential>"憑證信息的Base64編碼"</credential> </login>輸出<?xmlversion="1.0"encoding="utf-8"?><message><messageCode>IF_RESULT_SUCCESS</messageCode><sessionId>0ED41D3E6BA1125A4FF0990128A511FE</sessionId></message>決策管理登出接口(IF-
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 交通事故私下調(diào)解協(xié)議書
- 個(gè)人土地補(bǔ)償協(xié)議書
- 闌尾結(jié)石病因介紹
- (立項(xiàng)備案申請模板)海砂淡化及機(jī)制砂項(xiàng)目可行性研究報(bào)告參考范文
- 2023年天津市河西區(qū)高考語文三模試卷
- 山東省菏澤市鄄城縣2024-2025學(xué)年七年級上學(xué)期期中生物學(xué)試題(解析版)-A4
- 2023年直流鼓風(fēng)機(jī)項(xiàng)目融資計(jì)劃書
- 護(hù)理資料培訓(xùn)課件 大便標(biāo)本采集相關(guān)知識
- 養(yǎng)老院老人康復(fù)設(shè)施使用管理制度
- 培訓(xùn)過程控制培訓(xùn)課件
- 公司經(jīng)營發(fā)展規(guī)劃
- 2024年8月酒店銷售部工作計(jì)劃模板
- 大學(xué)美育-美育賞湖南(湖南高速鐵路職業(yè)技術(shù)學(xué)院)知到智慧樹答案
- 菏澤學(xué)院課程與教學(xué)論(專升本)復(fù)習(xí)題
- 電梯井腳手架專項(xiàng)施工方案樣本
- 2024八大特殊作業(yè)安全管理培訓(xùn)
- Unit 4 Plants around us(說課稿)-2024-2025學(xué)年人教PEP版(2024)英語三年級上冊
- Unit 5 The colourful world Part A Letters and sounds(說課稿)-2024-2025學(xué)年人教PEP版(2024)英語三年級上冊
- 2024年抖音直播平臺搭建合同
- 2024年國家公務(wù)員考試《申論》真題(地市級)及答案解析
- 2024-2025大學(xué)英語考試六級漢譯英中英對照
評論
0/150
提交評論