信息安全技術鑒別與授權訪問控制中間件框架與接口

GB/TXXXXX—XXXX訪問控制中間件框架與接口范圍本標準規(guī)定了訪問控制中間件的框架結構與內部組件關系，定義了該框架內各組成部分的功能、操作流程及接口定義。本標準適用于訪問控制中間件的設計與實現，并可指導對該類中間件系統(tǒng)的檢測及相關應用的開發(fā)，對該類中間件產品的采購亦可參照使用。規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T9387.2-1995信息技術開放系統(tǒng)互連基本參考模型第2部分安全體系結構GB/T18793-2002信息技術可擴展置標語言（XML）1.0GB/T18794.3-2003信息技術開放系統(tǒng)互連開放系統(tǒng)安全框架第3部分訪問控制框架GB/T25069-2010信息安全技術術語GB/T29242-2012信息安全技術鑒別與授權安全斷言置標語言規(guī)范GB/T30281-2013信息安全技術鑒別與授權可擴展訪問控制標記語言規(guī)范GB/T31501-2015信息安全技術鑒別與授權授權應用程序判定接口規(guī)范術語與定義GB/T25069-2010、GB/T18794.3-2003界定的以及下列術語和定義適用于本文件。屬性attribute主體、資源、動作和環(huán)境的某個特征，該特征可以在策略中被引用。決策decision依據訪問控制策略做出的評估結果。環(huán)境environment一組與決策相關的屬性集合，獨立于特定的主體，資源或者動作。資源resource數據，服務或者系統(tǒng)組件。主體subject訪問控制行為的發(fā)起者。用戶user使用系統(tǒng)和系統(tǒng)資源的自然人。縮略語下列縮略語適用于本文件：IF-AQ：屬性查詢接口（Interface-AttributeQuery）IF-CDAQ：跨域屬性查詢接口（Interface-CrossDomainAttributeQuery）IF-DM：決策管理接口（Interface-DecisionManagement）IF-PD：策略決策接口（Interface-PolicyDecision）IF-PQ：策略查詢接口（Interface-PolicyQuery）LDAP：輕量級目錄訪問協(xié)議（LightweightDirectoryAccessProtocol）RPC：遠程過程調用（RemoteProcedureCall）SAML：安全斷言標記語言（SecurityAssertionMarkupLanguage）SOAP：簡單對象訪問協(xié)議（SimpleObjectAccessProtocol）SSL：安全套接層（SecureSocketsLayer）TLS：傳輸層安全（TransportLayerSecurity）XACML：可擴展訪問控制標記語言（eXtensibleAccessControlMarkupLanguage）XML：可擴展標記語言（eXtensibleMarkupLanguage）訪問控制中間件體系框架概述訪問控制過程包含三個參與方：發(fā)起者、訪問控制中間件和訪問目標。發(fā)起者是試圖訪問目標的實體；訪問控制中間件是通過對適用的訪問控制信息進行評估以決定發(fā)起者是否可以對目標進行特定類型訪問的一系列組件及組件間接口的集合；訪問目標是被試圖訪問的實體。訪問控制中間件體系框架如圖1所示。該體系框架對于不同的設備、拓撲結構與應用配置的訪問控制需求進行了綜合考慮，并且對此類需求是通用的。訪問控制中間件包括了訪問控制實施組件、訪問控制決策組件、訪問控制策略應答組件和訪問控制屬性應答組件。組件的功能見5.2節(jié)，組件的接口定義見5.3節(jié)。附錄A給出了訪問控制中間件的典型應用場景。訪問控制中間件體系框架組件定義訪問控制實施組件概述訪問控制實施組件處于發(fā)起者與目標之間，攔截發(fā)起者的訪問請求，協(xié)助收集訪問決策的輔助性信息，傳遞決策請求至訪問控制決策組件并根據返回的判定結果決定訪問是否可以執(zhí)行。訪問控制實施組件是直接面向訪問請求的應答模塊，將發(fā)起者請求和具體的授權決策過程等復雜的業(yè)務邏輯進行剝離，是決定訪問控制中間件和具體業(yè)務應用系統(tǒng)能否實現插拔組裝的基礎性模塊。訪問控制實施組件應實現至節(jié)中規(guī)定的功能。接收訪問請求訪問控制實施組件應能夠接收來自發(fā)起者的訪問請求。發(fā)起訪問請求的發(fā)起者（用戶）可能來自不同物理位置并通過不同的訪問代理方式，例如“瀏覽器/服務器”結構或者“客戶端/服務器”結構，訪問控制實施組件應該根據固定交互模式對來自用戶代理的請求進行一致化處理，對原始請求規(guī)定一致的邏輯實體，例如用戶標識、訪問動作、資源標識、屬性信息等，訪問請求的格式可依據GB/T30281-2013等標準。訪問請求信息的傳遞不限制具體的傳輸協(xié)議，滿足訪問控制實施組件要求的應用協(xié)議都可以負責處理信息傳遞。收集訪問決策相關輔助性信息訪問控制實施組件應能夠收集其他對訪問決策提供幫助的輔助性信息。用戶原始請求中包含的訪問信息可能并不足以使訪問控制決策組件給出確定的決策結果，訪問控制實施組件在將訪問請求轉發(fā)之前，應根據應用需求對訪問請求附加若干有利于加速決策過程的輔助信息，例如用戶的屬性信息、組件本身可以感知的若干系統(tǒng)信息。強制性規(guī)定添加哪些輔助信息并不合適，不同的業(yè)務系統(tǒng)會有不同的專注點，可能來自于主體、資源以及環(huán)境，應允許管理者通過配置的方式指定優(yōu)先附加的輔助信息。輔助信息的添加并不一定限制在訪問控制實施組件中，其他組件根據需要也可以具備該功能，例如訪問控制決策組件中。根據GB/T18794.3-2003中的說明，輔助信息的獲取方式可分為“推”模式和“拉”模式，采用哪種模式取決于系統(tǒng)的決策邏輯和某些強制性選擇，本標準在可以添加輔助信息的模塊進行顯式說明，采用何種方案最終由用戶選擇。請求格式轉換訪問控制實施組件應能夠對對請求格式進行標準形式的轉換。將用戶發(fā)送的訪問請求和系統(tǒng)收集的輔助信息用統(tǒng)一的方式描述可顯著提高組件的運行效率并降低開發(fā)成本，本標準建議采用對訪問請求進行統(tǒng)一描述，基于屬性的描述機制通過靈活豐富的表達能力對訪問決策中涉及的主體、資源、動作、環(huán)境等信息進行定義。傳遞決策請求及接收決策結果訪問控制實施組件應能夠傳遞決策請求至訪問控制決策組件并接收決策結果。組件將訪問請求完成統(tǒng)一格式轉換后，生成決策請求并將其轉送至訪問控制決策組件并等待其傳回最終決策結果。此間的請求/應答交互應遵循相關標準中定義的格式。訪問請求的決策結果可能表示為某種抽象形式，訪問實施組件應根據組件所在的應用場景和技術背景將其轉換為具體的應用程序執(zhí)行邏輯，保證高層抽象安全約束和底層程序邏輯的一致性。訪問控制決策組件概述訪問控制決策組件負責從訪問控制實施組件接受決策請求，通過查找適用策略和相對應的訪問控制屬性，依據訪問判定邏輯產生一個決策結果，并將該決策結果返回給訪問控制實施組件。訪問控制決策組件應實現至節(jié)中規(guī)定的功能。接收決策請求組件接收到來自訪問控制實施組件的決策請求后，需要對請求內的信息進行解析分類，對不同類型的信息實體進行臨時性存儲。根據決策的具體執(zhí)行邏輯，可能會針對某種類型信息優(yōu)先和訪問控制策略進行匹配，因此在做出實際的訪問決策前，應通過信息分類機制提高后期的執(zhí)行效率，例如可根據主體、資源、動作等進行分類存儲，也可根據角色、組、安全等級等不同的屬性類型進行分類。執(zhí)行訪問決策邏輯訪問決策邏輯是整個組件的核心功能，其通用性和兼容性決定了整個中間件部署復雜度以及與應用場景的整合難度。決策邏輯應該考慮到已有的多種訪問控制模型和訪問控制機制，盡可能提高兼容性以減少重新部署安全策略的代價。GB/T18794.3-2003對多種訪問控制機制進行了說明，包括訪問控制列表方案、權利方案、基于標簽的方案、基于上下文的方案以及基于以上方案的變種等。上述方案間的區(qū)別在于如何將訪問相關信息進行組合綁定和決策邏輯所關注的關鍵決策信息，另外各種方案的訪問控制策略描述在實現過程中也有很大不同?；趯傩缘脑L問控制模型提供了一種高層抽象的泛化描述能力，可以將以往出現的各種方案在一致的邏輯語義下進行轉化表達。其訪問決策邏輯主要依賴三部分輸入參數：訪問請求、屬性信息、訪問控制策略，大體的決策流程為：首先以系統(tǒng)特別關注的敏感信息為關鍵字對訪問控制策略進行檢索，獲取可能對決策結果產生影響的有效策略集合；然后根據決策請求對策略集合內的策略進一步詳細匹配；策略匹配過程中可能需要決策請求之外更詳細的屬性信息，組件檢索信息后完成對策略的精確評估，從而獲得最后的決策結果。該組件匹配的策略在基于屬性的描述框架內進行定義，以便于對其他訪問控制機制的兼容性轉化。該決策邏輯從多種訪問控制機制和模型中概括出基于關鍵標識匹配的一致性邏輯，“匹配”和“檢索”是決策邏輯的兩類最基本操作，其他方案都可以在此基礎上進行轉換。例如：訪問控制列表方案的決策邏輯可以理解為：從請求中提取資源信息，以該信息為關鍵字檢索策略，獲取和該資源相關的策略集合，通過將請求中的主體信息和訪問動作特征與集合內的策略逐一比較匹配，判斷最終的權限擁有權。該組件的實現框架支持基于角色的控制方案、基于歷史的控制方案、基于時間約束的控制方案和基于任務的控制方案等新興發(fā)展起來的訪問授權機制。大型的信息系統(tǒng)條目眾多，導致其所涉及的安全策略數目繁雜、策略間關系不夠清晰，為了避免出現不可預知的決策結果，需要從宏觀角度制定最基本的資源安全策略，以提供最低限度的安全保障。訪問控制決策組件通過開放式策略和保守式策略實現這種可預知的和最低限度的安全保障。開放式策略的決策邏輯為：如果沒有提供顯式策略明確禁止某訪問行為，則認為允許該類訪問進行；保守式策略的決策邏輯為：如果沒有提供顯式策略明確允許某訪問行為，則認為禁止該類訪問進行。采用何種策略取決于具體應用的資源對象敏感性和資源對象使用目的。該組件應考慮如下情況，即多條策略同時給出明確決策結果，且決策結果存在沖突。此時組件需要指定沖突消解策略處理可能產生的決策結果不一致性，常用的消解策略包括：肯定判定優(yōu)先、否定判定優(yōu)先、首次判定優(yōu)先等。組件也可以根據應用場景的具體要求或者是安全屬性的自身特性，自定義沖突消解邏輯滿足安全決策需要。對所需訪問控制策略進行檢索收集組件在執(zhí)行決策邏輯的過程中需要以適用策略集合作為請求匹配的參照，因此其內部應該具有策略檢索收集的功能。一種最簡單的處理方式就是：組件在運行決策邏輯前，將所有策略一次性導入臨時存儲區(qū)，之后所有的匹配操作都針對存儲區(qū)內的策略進行。當策略數目較大時，應提供針對性更強的策略檢索功能，即根據某些屬性特征或者策略標識從策略庫中獲取規(guī)模較小的策略子集，減少實際匹配的策略數量，提高匹配效率。例如以某個屬性類型或者具體的屬性值為關鍵字，或者以某種特定的策略類型為關鍵字對策略庫進行檢索。該組件不限定策略檢索源的具體實現，其存儲方式可以為數據庫、目錄服務器或者文件系統(tǒng)等。建議組件內部設定臨時性策略檢索結果存儲區(qū)，對檢索后的適用策略實現本地存放，避免策略匹配過程涉及過多的遠程交互。同時，應考慮本地策略存儲的及時更新。對所需屬性信息進行檢索收集雖然決策請求中包含了若干決策需要的屬性信息，但不能保證其充分滿足策略匹配的全部需要，因此組件應具有相關屬性信息的檢索功能。策略匹配過程涉及多種類型的屬性信息，其特征、來源及發(fā)布形式可能多有不同，屬性檢索過程應考慮能夠兼容處理不同的屬性格式，例如X509格式的屬性證書、SAML格式的安全斷言以及LDAP目錄中的屬性條目等。組件內部的屬性查詢過程應由決策邏輯觸發(fā)，即當決策邏輯無法完成策略匹配時，建立與訪問控制屬性應答組件的查詢請求及應答。請求雙方應該在屬性描述格式、屬性類型、請求/應答方式等方面達成一致的情況下，對查詢所得信息進行安全傳遞。組件在獲取到所需屬性后，可以在本地建立臨時存儲區(qū)，避免之后的屬性查詢涉及過多的遠程交互過程，造成策略匹配延遲。同時，應考慮本地屬性存儲的及時更新。決策歷史記錄的相關查詢考慮到和其他安全組件的集成性，訪問控制中間件應提供相應的服務功能，例如為安全審計提供歷史訪問的相關數據等。訪問控制決策組件在完成請求決策的同時，應對整個過程涉及的信息進行分類記錄，例如某訪問請求涉及的匹配策略標識、檢索到的主體屬性信息、資源特征信息、各種環(huán)境信息、最終決策結果、組件當時的配置狀態(tài)等。以上信息應保證存儲的安全性和與歷史記錄的一致性，并且可根據特殊的審計需要增加相應的記錄信息類型。所有歷史記錄信息對其他安全組件提供基本的輸出功能，但不提供其他領域的業(yè)務安全分析功能，本標準也不具體約束數據存儲的形式和方案。訪問控制策略應答組件概述訪問控制策略應答組件負責響應訪問控制決策組件的策略檢索請求，對不同形式的策略表達進行一致性轉化，完成對適用策略的檢索并以安全的方式傳輸至訪問控制決策組件。訪問控制策略應答組件的詳細功能描述及細節(jié)如下。訪問控制策略應答組件負責響應訪問控制決策組件的策略檢索請求，負責整個中間件訪問控制策略的底層處理。訪問控制策略應答組件應實現至節(jié)中規(guī)定的功能。統(tǒng)一策略描述方式不同的安全系統(tǒng)可能采用不同的描述方式定義安全策略，但從中間件的角度出發(fā)，其決策邏輯所依賴的策略集必須具有統(tǒng)一的格式和語義。策略應答組件需要確定系統(tǒng)應用的策略類型，并對不同形式的策略表達進行一致性轉化。策略轉化過程可能需要界定不同策略特征間的轉換規(guī)則，但應保證策略轉化不影響最終的安全目標，因此需要根據系統(tǒng)特征從不同的訪問控制策略中抽象高層安全目標視圖，并在轉化過程中實施目標一致性檢測。策略檢索策略應答組件必須能夠處理來自決策組件帶有多種查詢參數的策略檢索請求，并獲取滿足要求的策略集合。最簡單的策略請求處理方式是應答組件返回所有可用的安全策略，但在策略規(guī)模龐大的應用場景下，這種模式顯然無法提供高效的策略匹配效率。決策組件可能會以某些策略特征為關鍵字對策略庫進行精確查找，例如用戶角色名稱、資源標識、訪問類型等，應答組件應該支持這些定制查詢參數的檢索請求。實際的策略存儲點可能采用不同的實現方式，例如數據庫、LDAP服務器、文件系統(tǒng)等，應答組件應該具備檢索多種存儲方式的能力，并對檢索后的結果進行整合。應答組件可通過自身開發(fā)或借助外部工具的方式提高策略檢索的速度、減少檢索響應延遲，也可以通過內部緩存機制降低組件間的通訊交互。策略傳輸應答組件應與決策組件就策略傳輸的方式和格式進行統(tǒng)一制定，應答組件完成策略檢索后，將響應策略集合以安全可靠的傳輸協(xié)議傳輸至決策組件。本標準不強制定義具體的策略傳輸協(xié)議，只對一些可選的傳輸方案進行說明?？梢酝ㄟ^網絡層的socket通訊協(xié)議直接對策略條目進行編碼傳輸，另外針對XML類型的策略格式也可以采用類似SOAP協(xié)議的XMLRPC方式進行傳輸。訪問控制中間件可根據技術集成難度、應用環(huán)境特點、通訊質量要求等自行選用具體的傳輸協(xié)議。策略管理實際應用中，訪問控制策略管理本身可能涉及一個相對獨立的技術領域，其實現技術和方案復雜多樣，本標準不試圖對策略管理給出完整詳細的功能規(guī)范，只針對訪問控制中間件的實際需求對策略管理應提供的功能提出具體的規(guī)范定義，其涵蓋的功能模塊是策略管理的功能子集。策略管理服務（工具或模塊）應提供對策略的一般性管理功能，例如策略的添加、修改、刪除、更新等，以方便中間件對系統(tǒng)安全策略的控制和掌握。在多條策略的安全約束之間，可能存在潛在的沖突威脅，策略管理服務應提供策略優(yōu)先級機制，制定策略沖突消解規(guī)則，便于訪問控制決策組件執(zhí)行具體的決策邏輯。策略管理服務還應提供策略一致性檢測功能，在策略實體和高層安全目標間進行一致性驗證和測試，保證策略實體符合系統(tǒng)的安全管理初衷。本標準不對以上功能做具體的實現說明，也不強制訪問控制中間件必須實現上述功能。訪問控制屬性應答組件概述訪問控制屬性應答組件負責對訪問判定過程中需要的各種類型屬性信息進行收集，生成并發(fā)布屬性斷言，并將屬性信息集合以安全的方式傳輸至訪問控制決策組件。訪問控制策略應答組件的詳細功能描述及細節(jié)如下。該組件主要負責訪問決策可能觸發(fā)的屬性信息收集，輔助訪問控制決策組件完成最終的請求決策。訪問控制策略應答組件應實現至節(jié)中規(guī)定的功能。用戶屬性信息收集當決策請求中包含的用戶屬性信息不足以使決策邏輯給出決策結果時，決策組件需要向訪問控制屬性應答組件發(fā)送屬性查詢請求。用戶的屬性信息可能來自多個屬性管理權威機構，屬性的頒發(fā)格式可能不同，最終的屬性存儲點也可能分布在不同的物理地址，屬性應答組件應該能根據用戶標識對屬性信息進行集成檢索，形成統(tǒng)一的屬性表達語義，便于進一步的屬性斷言發(fā)布。組件處理的屬性頒發(fā)格式可能為X.509格式的屬性證書、SAML斷言、LDAP屬性條目等。在對檢索后獲取的用戶屬性進行確認前，應對這些屬性信息的有效性進行驗證。驗證過程可能是針對屬性實體的數字簽名驗證，也可能涉及對屬性頒發(fā)實體的數字身份驗證，驗證能否通過取決于對驗證信息的可信性。針對來自外域的用戶屬性信息，組件根據外域用戶屬性檢索適用的屬性映射規(guī)則，推導出外域屬性對應的本域屬性信息，實現域間屬性轉譯，以決策組件可理解的域內屬性信息格式進行發(fā)布。轉譯過程涉及屬性信息內容的轉譯和屬性描述格式的轉換。應答組件可通過自身開發(fā)或借助外部工具的方式提高屬性檢索的速度、減少檢索響應延遲，也可以通過內部緩存機制降低組件間的通訊交互。其他類型屬性信息收集基于屬性的訪問控制機制決定了決策組件除了可能需要對用戶屬性進行檢索外，還需要其他類型的信息輔助判斷。這些信息可能來自信息系統(tǒng)自身狀態(tài)、上下文環(huán)境、網絡狀況等一些可以描述訪問進行時的外界信息感應點，應答組件應有能力接收或者主動查詢來自這些感應點的屬性信息。本標準不試圖定義感應點發(fā)布屬性的方式和屬性格式，屬性應答組件應將這些屬性信息轉換為決策組件可理解的語義及格式并以屬性斷言的格式進行轉發(fā)。屬性斷言發(fā)布屬性應答組件是決策組件唯一信任的屬性發(fā)布點，其他的屬性存儲點和感應點對決策組件來說都應該是透明的，因此應答組件在獲取到查詢的屬性信息后，應該以決策組件可驗證的屬性斷言方式發(fā)布屬性信息。斷言應包含屬性的主體標識、屬性類型或名稱、具體的屬性值、應答組件對屬性信息摘要的簽名等。屬性斷言格式的定義宜采用GB/T29242-2012標準。屬性信息傳遞屬性應答組件應與決策組件就屬性傳輸的方式和格式進行統(tǒng)一制定，應答組件完成屬性檢索后，將屬性信息集合以安全可靠的傳輸協(xié)議傳輸至決策組件。類似策略傳輸，本標準不限制定義具體的屬性傳輸協(xié)議，可以通過網絡層的套接字通訊協(xié)議直接對屬性條目進行編碼傳輸，另外針對XML類型的屬性格式也可以采用類似SOAP協(xié)議的XMLRPC方式進行傳輸。屬性管理屬性管理已經存在相關標準規(guī)范，其實現技術和方案復雜多樣，本標準不試圖對屬性管理細節(jié)給出完整詳細的功能規(guī)范，只針對訪問控制中間件的實際需求對屬性管理應提供的功能提出具體的規(guī)范定義，其涵蓋的功能模塊是屬性管理的功能子集。屬性管理服務（工具或模塊）應提供對屬性信息的一般性管理功能，例如屬性的頒發(fā)、撤銷、更新等，以方便中間件對屬性信息的控制和掌握。為了支持跨域訪問控制等多域應用場景，屬性管理服務應提供域間屬性映射功能，制定屬性映射規(guī)則，可發(fā)布映射斷言供外域的屬性發(fā)布組件進行查詢。屬性管理服務還應提供屬性一致性檢測功能，限制用戶同時擁有違反安全約束的多個屬性。本標準不對以上功能做具體的實現說明，也不強制訪問控制中間件必須實現上述功能。屬性管理的具體實現應參照相應的數字身份管理標準與規(guī)范及其他相關標準。組件間接口策略決策接口（IF-PD）IF-PD是訪問控制實施組件和訪問控制決策組件之間的接口。IF-PD接口主要用于傳遞決策請求消息至訪問控制決策組件，并將訪問控制決策組件產生的判定結果以決策應答消息的方式傳遞給訪問控制實施組件。此接口的具體實現可見GB/T31501-2015或者GB/T30281-2013中的相關定義。決策管理接口（IF-DM）IF-DM是管理訪問控制決策組件的接口。IF-DM接口主要用于向訪問控制決策組件傳遞消息，控制組件功能的啟動與停止，配置組件并控制組件的執(zhí)行流程與執(zhí)行環(huán)境。IF-DM接口的定義細節(jié)見6.3節(jié)。策略查詢接口（IF-PQ）IF-PQ是訪問控制決策組件和訪問控制策略應答組件之間的接口。IF-PQ接口主要用于策略的檢索以及訪問控制策略應答組件的配置。IF-PQ按照指定的檢索模式將獲取到的策略轉換成指定類型的策略，并返回給訪問控制決策組件。IF-PQ接口的定義細節(jié)見6.4節(jié)。屬性查詢接口（IF-AQ）IF-AQ是訪問控制決策組件和訪問控制屬性應答組件之間的接口。IF-AQ接口主要用于屬性的檢索以及訪問控制屬性應答組件的配置。IF-AQ獲取主體的屬性后，將查詢到的屬性轉為指定格式，并返回給訪問控制決策組件。IF-AQ接口的定義細節(jié)見6.5節(jié)?？缬驅傩圆樵兘涌冢↖F-CDAQ）IF-CDAQ是不同域的訪問控制屬性應答組件之間的接口。IF-CDAQ接口主要用于外域訪問控制屬性應答組件查詢本域某個主體的屬性。本域訪問控制屬性應答組件獲取主體的屬性后，將查詢到的屬性轉為指定格式，并返回給外域的訪問控制屬性應答組件。IF-AQ接口的定義細節(jié)見6.6節(jié)接口間消息流通過上述定義的各不同接口，體系結構中的各組件進行消息交換。這些基本的消息流如圖2所示。訪問控制中間件體系框架中的消息流在發(fā)起者開始訪問目標之前，訪問控制中間件需要通過管理工具進行初始化與配置管理，包括以下三種操作：通過策略管理工具對訪問控制中間件的策略進行管理操作；通過屬性管理工具進行屬性頒發(fā)與撤銷等管理操作；通過決策管理工具進行決策引擎的管理與配置。（圖2步驟0）當發(fā)起者試圖對目標進行訪問時，訪問控制實施組件攔截發(fā)起者的訪問請求。（圖2步驟1）訪問控制實施組件攔截訪問請求后，向訪問控制決策組件發(fā)送決策請求。（圖2步驟2）訪問控制決策組件以決策請求為參數調用策略檢索器從訪問控制策略應答組件檢索適用策略，并對檢索的適用策略進行評估。（圖2步驟3）如果訪問控制決策組件在評估過程中發(fā)現缺乏相應的屬性，則通過屬性檢索器向本安全域的訪問控制屬性應答組件發(fā)出屬性查詢請求；訪問控制屬性應答組件查詢并驗證屬性發(fā)布點上存儲的屬性，生成屬性應答返回至訪問控制決策組件。（圖2步驟4）如果所查詢的屬性是其它安全域中的屬性，則由本安全域的訪問控制屬性應答組件向外域的訪問控制屬性應答組件進行查詢，以獲得外域中的訪問控制屬性，并通過屬性映射關系確定屬性的可信性，生成屬性應答消息。（圖2步驟4a）訪問控制決策組件依據訪問控制策略與訪問控制屬性完成決策評估，向訪問控制實施組件發(fā)送最終決策結果。（圖2步驟5）訪問控制實施組件根據返回的決策結果拒絕或允許發(fā)起者對目標的訪問。（圖2步驟6）訪問控制中間件接口概述本章主要對訪問控制中間件的接口進行說明和定義，對接口的輸入參數，輸出參數以及邏輯功能進行規(guī)范，但不強制定義接口的具體實現方案和形式。接口的輸入參數與輸出參數以XML格式定義，消息的示例見附錄B。接口的實現應支持本節(jié)所定義的接口、以及接口所定義的輸入參數與輸出參數，但可根據應用環(huán)境進行擴展。常量定義訪問控制中間件各接口返回的消息碼定義如下。消息碼定義返回消息碼值語義IF_RESULT_SUCCESS0調用接口完成預定功能IF_RESULT_FAIL1調用接口未完成預定功能IF_RESULT_ILLEGAL_ACTION2非法調用接口IF_RESULT_INVALID_PARAM3參數錯誤IF_RESULT_NOT_INIT4未初始化IF_RESULT_SELFTEST_ERROR5自檢錯誤策略決策接口(IF-PD) IF-PD是訪問控制實施組件和訪問控制決策組件之間的接口。IF-PD接口主要用于傳遞決策請求消息至訪問控制決策組件，并將訪問控制決策組件產生的判定結果以決策應答消息的方式傳遞給訪問控制實施組件。此接口的具體實現可見GB/T31501-2015中的相關定義。IF-PD的調用需要建立在安全信道的基礎上，安全信道應保證通信數據的完整性。決策管理接口(IF-DM) IF-DM是管理訪問控制決策組件的接口。IF-DM接口主要用于向訪問控制決策組件傳遞消息，控制組件功能的啟動與停止，配置組件并控制組件的執(zhí)行流程與執(zhí)行環(huán)境。 IF-DM的調用需要建立在安全信道的基礎上，安全信道應保證通信數據的機密性、完整性。安全信道的宜依據SSL/TLS建立。決策管理登錄接口(IF-DM-Login)功能 決策管理的實施需要對決策管理員的身份進行認證，并在認證通過后建立會話。決策管理員的所有操作需要基于建立的會話完成。在調用決策管理其它的接口之前，決策管理登錄接口必須首先被調用。輸入參數輸入參數類型定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="login"><xs:complexType><xs:sequence><xs:elementname="uerId"type="xs:string"/><xs:elementname="credential"type="xs:base64Binary"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入參數說明決策管理員的身份標識；調用決策管理登錄接口應提供調用者的認證信息。認證信息由決策管理組件支持的認證方式決定。例如，若采用證書認證方式，認證信息應該包含決策管理員身份證書。輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/><xs:elementname="sessionId"type="xs:string"minOccurs="0"maxOccurs="1"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用決策管理登錄接口應能夠得到一個預定義的消息碼；若決策管理員身份通過認證，還需返回所建立的會話的標識。IF-DM-Login接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS認證決策管理員身份成功IF_RESULT_FAIL認證決策管理員身份失敗決策管理登出接口(IF-DM-Logout)功能 決策管理完成后，需要關閉為完成此次決策管理而創(chuàng)建的會話。此接口提供注銷所建立的會話的功能。決策管理員完成所有操作后應調用此接口。輸入參數輸入參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="logout"><xs:complexType><xs:sequence><xs:elementname="sessionId"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入參數說明所注銷的本次會話的標識。輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用決策管理登出接口應能夠得到一個預定義的消息碼。IF-DM-Logout接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS注銷會話成功IF_RESULT_FAIL注銷會話失敗決策管理配置接口(IF-DM-Config)功能 訪問控制策略決策組件應是可配置的。決策管理員應能夠通過配置訪問控制策略決策組件，靈活控制訪問控制策略決策組件的執(zhí)行流程及執(zhí)行環(huán)境。決策管理配置接口可以但不是必須提供對配置的檢測功能。調用決策配置管理接口后，訪問控制策略決策組件可以即時對配置響應，也可通過重新啟動對配置進行響應。輸入參數輸入參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="config"><xs:complexType><xs:sequence><xs:elementname="plicyStoragePoint"type="xs:anyURI"/><xs:elementname="attributeIssuePoint"type="xs:anyURI"/><xs:elementname="combiningAlg"type="xs:string"/><xs:elementname="supprotPolicy"minOccurs="1"maxOccurs="unbounded"><xs:complexType><xs:sequence><xs:elementname="supportPolicyType"type="xs:string"/><xs:elementname="policySchema"type="xs:base64Binary"/></xs:sequence></xs:complexType></xs:element><xs:elementname="sessionId"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入參數說明調用決策管理配置接口應提供但不局限于提供以下配置信息。策略存儲點：訪問控制策略決策組件策略查找點；屬性發(fā)布點：訪問控制策略決策組件屬性查找點；合并方法：訪問控制策略決策組件對多個策略評估時的組合邏輯。例如，采用拒絕優(yōu)先，只要有一個策略的評估結果為拒絕，則最終的決策結果也為拒絕。訪問控制策略決策組件只有在對多個策略評估時使用合并方法；支持的策略：訪問控制策略決策組件支持的策略類型以及相應的策略類型模式。訪問控制策略決策組件可以根據策略模式，在對查詢的策略解析之前，首先判斷其是否為自己支持的策略類型。例如，訪問控制策略決策組件可以但不限于支持XACML格式策略的解析；本次調用的會話標識。輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用決策管理配置接口應能夠得到一個預定義的消息碼。IF-DM-Config接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS配置訪問控制策略決策組件成功IF_RESULT_FAIL配置訪問控制策略決策組件失敗IF_RESULT_INVALID_PARAM配置參數不符合規(guī)定的格式決策啟動接口(IF-DM-Start)功能 啟動訪問控制策略決策組件提供的服務。訪問控制策略決策組件啟動時，應首先檢查配置信息是否完備。決策管理啟動接口可以但不是必須提供訪問控制策略決策組件檢測功能，以確定系統(tǒng)的狀態(tài)。調用該接口前應先調用決策管理配置接口。輸入參數輸入參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="start"><xs:complexType><xs:sequence><xs:elementname="selfTest"type="xs:string"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="sessionId"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入參數說明調用決策管理啟動接口可以但不是必須指定訪問控制策略決策組件自檢項。本次調用的會話標識。輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用決策管理啟動接口應能夠得到一個預定義的消息碼，詳見表5：IF-DM-Start接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS訪問控制策略決策組件啟動成功IF_RESULT_FAIL訪問控制策略決策組件啟動失敗IF_RESULT_NOT_INIT訪問控制策略決策組件未配置IF_RESULT_SELFTEST_ERROR訪問控制策略決策組件啟動自檢失敗決策停止接口(IF-DM-Stop)功能 停止訪問控制策略決策組件提供的服務。訪問控制策略決策組件停止時，可以采用如下兩種模式：可停止正在提供的服務，同時拒絕新的服務請求；繼續(xù)完成正在提供的服務，但是拒絕新的服務請求。訪問控制策略決策組件停止模式由組件開發(fā)者自行選擇，或同時支持但由調用者選擇。輸入參數輸入參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="stop"><xs:complexType><xs:sequence><xs:elementname="stopPattern"type="xs:string"/><xs:elementname="sessionId"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入參數說明調用決策管理停止接口必須提供采用的停止模式的標識。停止模式的標識由訪問控制策略決策組件自行規(guī)定。本次調用的會話標識。輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用決策管理停止接口應能夠得到一個預定義的消息碼。IF-DM-Stop接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS訪問控制策略決策組件停止成功IF_RESULT_FAIL訪問控制策略決策組件停止失敗IF_RESULT_INVALID_PARAM停止模式的標識不被識別策略查詢接口(IF-PQ) IF-PQ是訪問控制決策組件和訪問控制策略應答組件之間的接口。IF-PQ接口主要用于策略的檢索以及訪問控制策略應答組件的配置。IF-PQ按照指定的檢索模式將獲取到的策略轉換成指定類型的策略，然后返回給訪問控制決策組件。IF-PQ的調用需要建立在安全信道的基礎上，安全信道應保證通信數據的完整性。策略查詢支持類型接口(IF-PQ-SupportPT)功能 訪問控制策略應答組件應返回支持的策略類型。例如，只支持XACML策略。輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportPT"><xs:complexType><xs:sequence><xs:elementname="policyTypeId"type="xs:ID"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用策略查詢支持類型接口應可以獲得訪問控制策略應答組件支持的策略類型信息。返回值的數據結構，以及策略類型的標識由訪問控制策略應答組件自行規(guī)定。調用策略查詢支持類型接口應能夠得到一個預定義的消息碼。IF-PQ-SupportPT接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS查詢支持策略類型成功IF_RESULT_FAIL查詢支持策略類型失敗策略查詢返回類型接口(IF-PQ-ReturnPT)功能 訪問控制決策組件可能只支持某種類型的組件。訪問控制策略應答組件應能夠指定返回的策略的類型。調用該接口前應先調用策略查詢支持類型接口。輸入參數輸入參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setRetPolicyType"type="xs:string"/></xs:schema>輸入參數說明調用策略查詢返回類型接口應提供指定的返回的策略的類型。策略類型的標識由訪問控制策略應答組件自行規(guī)定。輸出參數：、輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用策略查詢返回類型接口應能夠得到一個預定義的消息碼。IF-PQ-ReturnPT接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設置返回的策略的類型成功IF_RESULT_FAIL設置返回的策略的類型失敗IF_RESULT_INVALID_PARAM設定的策略類型不被支持策略查詢查找模式接口(IF-PQ-SearchSchema)功能 訪問控制策略應答組件應能夠指定策略查找的模式，即只查詢第一條適用的策略，或查詢所有適用的策略。輸入參數輸入參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setSearchPattern"type="xs:string"/></xs:schema>輸入參數說明：調用策略查詢查找模式接口應提供指定的查找模式標識。策略查找模式標識由訪問控制策略應答組件自行規(guī)定。輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用策略查詢查找模式接口應能夠得到一個預定義的消息碼。IF-PQ-SearchSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設置策略查找模式成功IF_RESULT_FAIL設置策略查找模式失敗IF_RESULT_INVALID_PARAM設定的策略查找模式標識不被識別策略查詢返回模式接口(IF-PQ-ReturnSchema)功能 訪問控制策略應答組件應能夠指定策略查詢結果返回的模式，即若查詢到多個適用策略時，或將這些策略直接返回，或將這些策略合并為一個策略返回。輸入參數輸入參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setReturnPattern"type="xs:string"/></xs:schema>輸入參數說明調用策略查詢返回模式接口應提供指定的返回模式標識。返回模式標識由訪問控制策略應答組件自行規(guī)定。輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用策略查詢返回模式接口應能夠得到一個預定義的消息碼。IF-PQ-ReturnSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設置策略查詢返回模式成功IF_RESULT_FAIL設置策略查詢返回模式失敗IF_RESULT_INVALID_PARAM設定的策略查詢返回模式標識不被識別策略查詢策略合并模式接口(IF-PQ-PolicyCombine)功能 訪問控制策略應答組件應指定策略合并的模式。即若訪問控制策略應答組件的策略查詢返回模式設定為將查詢到的多個策略合并為一個策略返回時，應按照通過調用該接口指定的策略合并模式對查詢到的策略進行合并。輸入參數輸入參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setCombiningAlg"type="xs:string"/></xs:schema>輸入參數說明調用策略查詢策略合并模式接口應提供指定的策略合并模式。策略合并模式由訪問控制策略應答組件自行規(guī)定輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用策略查詢策略合并模式接口應能夠得到一個預定義的消息碼。IF-PQ-PolicyCombine接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設置策略合并模式成功IF_RESULT_FAIL設置策略合并模式失敗IF_RESULT_INVALID_PARAM設定的策略合并模式解析錯誤策略查詢獲取策略接口(IF-PQ-GetPolicy)功能 訪問控制策略應答組件應能夠返回適用于某一次訪問控制請求的策略。調用此接口前，應先設定策略查詢返回類型、策略查詢查找模式、策略查詢返回模式、策略查詢策略合并模式。輸入參數輸入參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getPolicyRequest"><xs:complexType><xs:sequence><xs:elementname="subject"type="xs:string"/><xs:elementname="resource"type="xs:string"/><xs:elementname="action"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入參數說明：用策略查詢獲取策略接口應提供訪問控制請求信息。輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getPolicyResponse"><xs:complexType><xs:sequence><xs:choice><xs:elementname="policy"type="xs:base64Binary"maxOccurs="unbounded"/><xs:elementname="policySet"type="xs:base64Binary"/></xs:choice><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用策略查詢獲取策略接口應能得到適用于某一個訪問控制請求的策略集，或某一個單獨的策略。調用策略查詢獲取策略接口應能夠得到一個預定義的消息碼。IF-PQ-GetPolicy接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取適用的策略成功IF_RESULT_FAIL獲取適用的策略失敗IF_RESULT_NOT_INIT訪問控制策略應答組件未配置IF_RESULT_INVALID_PARAM訪問控制請求信息解析錯誤屬性查詢接口(IF-AQ) IF-AQ是訪問控制決策組件和訪問控制屬性應答組件之間的接口。IF-PQ接口主要用于屬性的檢索以及訪問控制屬性應答組件的配置。IF-PQ獲取主體的屬性后，將查詢到的屬性轉為指定格式，然后返回給訪問控制決策組件。IF-AQ的調用需要建立在安全信道的基礎上，安全信道應保證通信數據的完整性。屬性查詢支持類型接口(IF-AQ-SupportAT)功能 訪問控制屬性應答組件應提供支持的屬性類型。訪問控制屬性應答組件對于本域可以支持多種類型的屬性，也可以僅支持一種類型的屬性。例如，只支持“角色”屬性。輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportAT"><xs:complexType><xs:sequence><xs:elementname="attributeId"type="xs:ID"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用屬性查詢支持類型接口應可以獲得訪問控制屬性應答組件支持的屬性類型信息。返回值的數據結構，以及屬性類型的標識由訪問控制屬性應答組件自行規(guī)定。調用屬性查詢支持類型接口應能夠得到一個預定義的消息碼。IF-AQ-SupportAT接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS查詢支持屬性類型成功IF_RESULT_FAIL查詢支持屬性類型失敗屬性查詢支持格式接口(IF-AQ-SupportSchema)功能 訪問控制屬性應答組件應提供屬性查詢支持的返回格式。例如，或者以SAML斷言的形式返回屬性查詢的結果，或者直接返回屬性證書。輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportSchema"><xs:complexType><xs:sequence><xs:elementname="schemaName"type="xs:string"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用屬性查詢支持格式接口應可以獲得訪問控制屬性應答組件支持的返回格式。返回格式的標識由訪問控制屬性應答組件自行規(guī)定。調用屬性查詢支持格式接口應能夠得到一個預定義的消息碼。IF-AQ-SupportSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS查詢支持的返回格式成功IF_RESULT_FAIL查詢支持的返回格式失敗屬性查詢返回格式接口(IF-AQ-ReturnSchema)功能 訪問控制屬性應答組件應能夠設定屬性查詢的返回格式。例如，可以設定直接返回屬性證書。調用該接口前應先調用屬性查詢支持格式接口。輸入參數輸入參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setReturnSchema"type="xs:string"/></xs:schema>輸入參數說明：調用屬性查詢返回格式接口應提供指定的返回格式。屬性查詢返回格式的標識由訪問控制屬性應答組件自行規(guī)定。輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用屬性查詢返回格式接口應能夠得到一個預定義的消息碼。IF-AQ-ReturnSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設置屬性查詢返回格式成功IF_RESULT_FAIL設置屬性查詢返回格式失敗IF_RESULT_INVALID_PARAM設定的屬性查詢返回格式標識未識別屬性查詢獲取屬性接口(IF-AQ-GetAttribute)功能 訪問控制屬性應答組件應能夠返回某一主體所具有的屬性。調用此接口前，應先設定屬性查詢返回格式。調用該接口前應先調用屬性查詢支持類型接口、屬性查詢返回格式接口。輸入參數輸入參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getAttributeRequest"><xs:complexType><xs:sequence><xs:elementname="userId"type="xs:ID"/><xs:elementname="attributeId"type="xs:ID"minOccurs="0"/><xs:elementname="Issuer"type="xs:QName"minOccurs="0"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入參數定義調用屬性查詢獲取屬性接口應提供所查詢主體的唯一標識調用屬性查詢獲取屬性接口應提供所要查詢的屬性類型標識調用屬性查詢獲取屬性接口可以但不是必須提供所查詢屬性的頒發(fā)者輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getAttributeResponse"><xs:complexType><xs:sequence><xs:elementname="attribute"maxOccurs="unbounded"><xs:complexType><xs:sequence><xs:elementname="attributeId"type="xs:ID"/><xs:elementname="attributeValue"type="xs:string"/></xs:sequence></xs:complexType></xs:element><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用屬性查詢獲取屬性接口應獲得某一主體擁有的屬性信息。屬性信息的格式通過調用屬性查詢返回格式指定。調用屬性查詢獲取接口應能夠得到一個預定義的消息碼。IF-AQ-GetAttribute接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取某一個主體的屬性成功IF_RESULT_FAIL獲取某一個主體的屬性失敗IF_RESULT_NOT_INIT訪問控制屬性應答組件未配置IF_RESULT_INVALID_PARAM屬性查詢類型標識未識別跨域屬性查詢接口(IF-CDAQ) IF-CDAQ是不同域的訪問控制屬性應答組件之間的接口。IF-CDAQ接口主要用于外域訪問控制屬性應答組件查詢本域某個主體的屬性。本域訪問控制屬性應答組件獲取主體的屬性后，將查詢到的屬性轉為指定格式，然后返回給外域的訪問控制屬性應答組件。 IF-CDAQ的調用需要建立在安全信道的基礎上，安全信道應保證通信數據的完整性。安全信道的可以但不是必須依據SSL/TLS建立。跨域屬性查詢支持類型接口(IF-CDAQ-SupportAT)功能 訪問控制屬性應答組件應提供外域可查詢的屬性類型。一般情況下，外域可查詢的屬性類型要少于本域可查詢的屬性類型。輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportAT"><xs:complexType><xs:sequence><xs:elementname="attributeId"type="xs:ID"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用跨域屬性查詢支持類型接口應可以獲得訪問控制屬性應答組件外域可查詢的屬性類型信息。返回值的數據結構，以及屬性類型的標識由訪問控制屬性應答組件自行規(guī)定。調用跨域屬性查詢支持類型接口應能夠得到一個預定義的消息碼。IF-CDAQ-SupportAT接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取跨域屬性查詢支持屬性類型成功IF_RESULT_FAIL獲取跨域屬性查詢支持屬性類型失敗跨域屬性查詢返回格式接口(IF-CDAQ-SupportSchema)功能 訪問控制屬性應答組件應提供跨域屬性查詢結果返回格式。例如以SAML斷言格式返回跨域屬性查詢結果。輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportSchema"><xs:complexType><xs:sequence><xs:elementname="schemaName"type="xs:string"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用跨域屬性查詢返回格式接口應可以獲得訪問控制屬性應答組件跨域屬性查詢結果返回格式。返回格式的標識由訪問控制屬性應答組件自行規(guī)定。調用屬性查詢返回格式接口應能夠得到一個預定義的消息碼。IF-CDAQ-SupportSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取跨域屬性查詢返回格式成功IF_RESULT_FAIL獲取跨域屬性查詢返回格式失敗屬性查詢獲取屬性接口(IF-CDAQ-GetAttribute)功能 訪問控制屬性應答組件應能夠返回外域查詢的本域某一主體所具有的屬性。調用此接口前一般應先調用跨域屬性查詢支持類型接口和跨域屬性查詢返回格式接口，以確定外域可查詢的屬性類型以及屬性查詢結果的返回格式。輸入參數輸入參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getAttributeRequest"><xs:complexType><xs:sequence><xs:elementname="userId"type="xs:ID"/><xs:elementname="attributeId"type="xs:ID"minOccurs="0"/><xs:elementname="Issuer"type="xs:QName"minOccurs="0"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入參數說明調用跨域屬性查詢獲取屬性接口應提供所查詢主體的唯一標識調用跨域屬性查詢獲取屬性接口應提供所要查詢的屬性類型標識調用跨域屬性查詢獲取屬性接口可以但不是必須提供所查詢屬性的頒發(fā)者輸出參數輸出參數定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getAttributeResponse"><xs:complexType><xs:sequence><xs:elementname="attribute"maxOccurs="unbounded"><xs:complexType><xs:sequence><xs:elementname="attributeId"type="xs:ID"/><xs:elementname="attributeValue"type="xs:string"/></xs:sequence></xs:complexType></xs:element><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數說明調用屬性查詢獲取屬性接口應獲得某一主體擁有的屬性信息。屬性信息的格式通過調用屬性查詢返回格式指定。調用屬性查詢獲取接口應能夠得到一個預定義的消息碼。IF-CDAQ-GetAttribute接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取某一個主體的屬性成功IF_RESULT_FAIL獲取某一個主體的屬性失敗IF_RESULT_INVALID_PARAM屬性查詢類型標識不支持（資料性附錄）應用場景介紹本附錄描述了訪問控制中間件的兩種應用場景，部署訪問控制中間件可參考但不局限于此兩種應用場景。訪問控制中間件應用于單域一般情況下，訪問控制中間件應用于單個域。對域內用戶的訪問請求進行響應，并將判定結果返回給應用系統(tǒng)。在這種情況下，訪問控制中間件在判定過程中若需要查詢用戶屬性，只需在域內的屬性查詢點查詢。用戶請求對需要進行訪問控制的資源的訪問時，請求由應用系統(tǒng)進行處理，應用系統(tǒng)需要與訪問控制中間件交互，中間件此時被調用，如果判斷過程需要查詢詳細信息，則可以訪問策略發(fā)布點和屬性發(fā)布點進行查詢，借助獲取的信息進行判定，并將結果返回給應用系統(tǒng)。應用系統(tǒng)根據判定結果來決定是否允許用戶的訪問請求。如圖A.1所示。單域應用場景訪問控制中間件應用于跨域某些情況下，訪問控制中間件可能應用于跨域，即需要對外域用戶訪問本域資源進行判定。在這種情況下，本域訪問控制中間件可能需要與外域訪問控制中間件交互，查詢外域用戶擁有的外域屬性。如圖A.2所示，位于域A中的用戶在對域B中的某些資源發(fā)出訪問請求時，域B中的訪問控制實施組件會調用訪問控制中間件進行判定。此時域B中沒有該用戶的屬性信息，因此域B中的訪問控制中間件要跨域訪問域A中的訪問控制中間件，以獲取該用戶的屬性信息。域A中的訪問控制中間件進行查詢并返回結果。域B中的訪問控制中間件根據在本地策略發(fā)布點查詢得到的信息和跨域交互返回的信息來進行判定，將結果返回給訪問控制實施組件，訪問控制實施組件根據判定結果作出決策。跨域應用場景（資料性附錄）接口消息示例概述本章對本標準中的訪問控制接口的消息給出了采用XML描述的具體示例。接口消息示例決策管理登錄接口(IF-DM-Login)輸入<?xmlversion="1.0"encoding="utf-8"?><login><userId>lois</userId><credential>"憑證信息的Base64編碼"</credential> </login>輸出<?xmlversion="1.0"encoding="utf-8"?><message><messageCode>IF_RESULT_SUCCESS</messageCode><sessionId>0ED41D3E6BA1125A4FF0990128A511FE</sessionId></message>決策管理登出接口(IF-