信息安全技術(shù)鑒別與授權(quán)訪問(wèn)控制中間件框架與接口

GB/TXXXXX—XXXX訪問(wèn)控制中間件框架與接口范圍本標(biāo)準(zhǔn)規(guī)定了訪問(wèn)控制中間件的框架結(jié)構(gòu)與內(nèi)部組件關(guān)系，定義了該框架內(nèi)各組成部分的功能、操作流程及接口定義。本標(biāo)準(zhǔn)適用于訪問(wèn)控制中間件的設(shè)計(jì)與實(shí)現(xiàn)，并可指導(dǎo)對(duì)該類中間件系統(tǒng)的檢測(cè)及相關(guān)應(yīng)用的開(kāi)發(fā)，對(duì)該類中間件產(chǎn)品的采購(gòu)亦可參照使用。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T9387.2-1995信息技術(shù)開(kāi)放系統(tǒng)互連基本參考模型第2部分安全體系結(jié)構(gòu)GB/T18793-2002信息技術(shù)可擴(kuò)展置標(biāo)語(yǔ)言（XML）1.0GB/T18794.3-2003信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架第3部分訪問(wèn)控制框架GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)GB/T29242-2012信息安全技術(shù)鑒別與授權(quán)安全斷言置標(biāo)語(yǔ)言規(guī)范GB/T30281-2013信息安全技術(shù)鑒別與授權(quán)可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言規(guī)范GB/T31501-2015信息安全技術(shù)鑒別與授權(quán)授權(quán)應(yīng)用程序判定接口規(guī)范術(shù)語(yǔ)與定義GB/T25069-2010、GB/T18794.3-2003界定的以及下列術(shù)語(yǔ)和定義適用于本文件。屬性attribute主體、資源、動(dòng)作和環(huán)境的某個(gè)特征，該特征可以在策略中被引用。決策decision依據(jù)訪問(wèn)控制策略做出的評(píng)估結(jié)果。環(huán)境environment一組與決策相關(guān)的屬性集合，獨(dú)立于特定的主體，資源或者動(dòng)作。資源resource數(shù)據(jù)，服務(wù)或者系統(tǒng)組件。主體subject訪問(wèn)控制行為的發(fā)起者。用戶user使用系統(tǒng)和系統(tǒng)資源的自然人?？s略語(yǔ)下列縮略語(yǔ)適用于本文件：IF-AQ：屬性查詢接口（Interface-AttributeQuery）IF-CDAQ：跨域?qū)傩圆樵兘涌冢↖nterface-CrossDomainAttributeQuery）IF-DM：決策管理接口（Interface-DecisionManagement）IF-PD：策略決策接口（Interface-PolicyDecision）IF-PQ：策略查詢接口（Interface-PolicyQuery）LDAP：輕量級(jí)目錄訪問(wèn)協(xié)議（LightweightDirectoryAccessProtocol）RPC：遠(yuǎn)程過(guò)程調(diào)用（RemoteProcedureCall）SAML：安全斷言標(biāo)記語(yǔ)言（SecurityAssertionMarkupLanguage）SOAP：簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議（SimpleObjectAccessProtocol）SSL：安全套接層（SecureSocketsLayer）TLS：傳輸層安全（TransportLayerSecurity）XACML：可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言（eXtensibleAccessControlMarkupLanguage）XML：可擴(kuò)展標(biāo)記語(yǔ)言（eXtensibleMarkupLanguage）訪問(wèn)控制中間件體系框架概述訪問(wèn)控制過(guò)程包含三個(gè)參與方：發(fā)起者、訪問(wèn)控制中間件和訪問(wèn)目標(biāo)。發(fā)起者是試圖訪問(wèn)目標(biāo)的實(shí)體；訪問(wèn)控制中間件是通過(guò)對(duì)適用的訪問(wèn)控制信息進(jìn)行評(píng)估以決定發(fā)起者是否可以對(duì)目標(biāo)進(jìn)行特定類型訪問(wèn)的一系列組件及組件間接口的集合；訪問(wèn)目標(biāo)是被試圖訪問(wèn)的實(shí)體。訪問(wèn)控制中間件體系框架如圖1所示。該體系框架對(duì)于不同的設(shè)備、拓?fù)浣Y(jié)構(gòu)與應(yīng)用配置的訪問(wèn)控制需求進(jìn)行了綜合考慮，并且對(duì)此類需求是通用的。訪問(wèn)控制中間件包括了訪問(wèn)控制實(shí)施組件、訪問(wèn)控制決策組件、訪問(wèn)控制策略應(yīng)答組件和訪問(wèn)控制屬性應(yīng)答組件。組件的功能見(jiàn)5.2節(jié)，組件的接口定義見(jiàn)5.3節(jié)。附錄A給出了訪問(wèn)控制中間件的典型應(yīng)用場(chǎng)景。訪問(wèn)控制中間件體系框架組件定義訪問(wèn)控制實(shí)施組件概述訪問(wèn)控制實(shí)施組件處于發(fā)起者與目標(biāo)之間，攔截發(fā)起者的訪問(wèn)請(qǐng)求，協(xié)助收集訪問(wèn)決策的輔助性信息，傳遞決策請(qǐng)求至訪問(wèn)控制決策組件并根據(jù)返回的判定結(jié)果決定訪問(wèn)是否可以執(zhí)行。訪問(wèn)控制實(shí)施組件是直接面向訪問(wèn)請(qǐng)求的應(yīng)答模塊，將發(fā)起者請(qǐng)求和具體的授權(quán)決策過(guò)程等復(fù)雜的業(yè)務(wù)邏輯進(jìn)行剝離，是決定訪問(wèn)控制中間件和具體業(yè)務(wù)應(yīng)用系統(tǒng)能否實(shí)現(xiàn)插拔組裝的基礎(chǔ)性模塊。訪問(wèn)控制實(shí)施組件應(yīng)實(shí)現(xiàn)至節(jié)中規(guī)定的功能。接收訪問(wèn)請(qǐng)求訪問(wèn)控制實(shí)施組件應(yīng)能夠接收來(lái)自發(fā)起者的訪問(wèn)請(qǐng)求。發(fā)起訪問(wèn)請(qǐng)求的發(fā)起者（用戶）可能來(lái)自不同物理位置并通過(guò)不同的訪問(wèn)代理方式，例如“瀏覽器/服務(wù)器”結(jié)構(gòu)或者“客戶端/服務(wù)器”結(jié)構(gòu)，訪問(wèn)控制實(shí)施組件應(yīng)該根據(jù)固定交互模式對(duì)來(lái)自用戶代理的請(qǐng)求進(jìn)行一致化處理，對(duì)原始請(qǐng)求規(guī)定一致的邏輯實(shí)體，例如用戶標(biāo)識(shí)、訪問(wèn)動(dòng)作、資源標(biāo)識(shí)、屬性信息等，訪問(wèn)請(qǐng)求的格式可依據(jù)GB/T30281-2013等標(biāo)準(zhǔn)。訪問(wèn)請(qǐng)求信息的傳遞不限制具體的傳輸協(xié)議，滿足訪問(wèn)控制實(shí)施組件要求的應(yīng)用協(xié)議都可以負(fù)責(zé)處理信息傳遞。收集訪問(wèn)決策相關(guān)輔助性信息訪問(wèn)控制實(shí)施組件應(yīng)能夠收集其他對(duì)訪問(wèn)決策提供幫助的輔助性信息。用戶原始請(qǐng)求中包含的訪問(wèn)信息可能并不足以使訪問(wèn)控制決策組件給出確定的決策結(jié)果，訪問(wèn)控制實(shí)施組件在將訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)之前，應(yīng)根據(jù)應(yīng)用需求對(duì)訪問(wèn)請(qǐng)求附加若干有利于加速?zèng)Q策過(guò)程的輔助信息，例如用戶的屬性信息、組件本身可以感知的若干系統(tǒng)信息。強(qiáng)制性規(guī)定添加哪些輔助信息并不合適，不同的業(yè)務(wù)系統(tǒng)會(huì)有不同的專注點(diǎn)，可能來(lái)自于主體、資源以及環(huán)境，應(yīng)允許管理者通過(guò)配置的方式指定優(yōu)先附加的輔助信息。輔助信息的添加并不一定限制在訪問(wèn)控制實(shí)施組件中，其他組件根據(jù)需要也可以具備該功能，例如訪問(wèn)控制決策組件中。根據(jù)GB/T18794.3-2003中的說(shuō)明，輔助信息的獲取方式可分為“推”模式和“拉”模式，采用哪種模式取決于系統(tǒng)的決策邏輯和某些強(qiáng)制性選擇，本標(biāo)準(zhǔn)在可以添加輔助信息的模塊進(jìn)行顯式說(shuō)明，采用何種方案最終由用戶選擇。請(qǐng)求格式轉(zhuǎn)換訪問(wèn)控制實(shí)施組件應(yīng)能夠?qū)?duì)請(qǐng)求格式進(jìn)行標(biāo)準(zhǔn)形式的轉(zhuǎn)換。將用戶發(fā)送的訪問(wèn)請(qǐng)求和系統(tǒng)收集的輔助信息用統(tǒng)一的方式描述可顯著提高組件的運(yùn)行效率并降低開(kāi)發(fā)成本，本標(biāo)準(zhǔn)建議采用對(duì)訪問(wèn)請(qǐng)求進(jìn)行統(tǒng)一描述，基于屬性的描述機(jī)制通過(guò)靈活豐富的表達(dá)能力對(duì)訪問(wèn)決策中涉及的主體、資源、動(dòng)作、環(huán)境等信息進(jìn)行定義。傳遞決策請(qǐng)求及接收決策結(jié)果訪問(wèn)控制實(shí)施組件應(yīng)能夠傳遞決策請(qǐng)求至訪問(wèn)控制決策組件并接收決策結(jié)果。組件將訪問(wèn)請(qǐng)求完成統(tǒng)一格式轉(zhuǎn)換后，生成決策請(qǐng)求并將其轉(zhuǎn)送至訪問(wèn)控制決策組件并等待其傳回最終決策結(jié)果。此間的請(qǐng)求/應(yīng)答交互應(yīng)遵循相關(guān)標(biāo)準(zhǔn)中定義的格式。訪問(wèn)請(qǐng)求的決策結(jié)果可能表示為某種抽象形式，訪問(wèn)實(shí)施組件應(yīng)根據(jù)組件所在的應(yīng)用場(chǎng)景和技術(shù)背景將其轉(zhuǎn)換為具體的應(yīng)用程序執(zhí)行邏輯，保證高層抽象安全約束和底層程序邏輯的一致性。訪問(wèn)控制決策組件概述訪問(wèn)控制決策組件負(fù)責(zé)從訪問(wèn)控制實(shí)施組件接受決策請(qǐng)求，通過(guò)查找適用策略和相對(duì)應(yīng)的訪問(wèn)控制屬性，依據(jù)訪問(wèn)判定邏輯產(chǎn)生一個(gè)決策結(jié)果，并將該決策結(jié)果返回給訪問(wèn)控制實(shí)施組件。訪問(wèn)控制決策組件應(yīng)實(shí)現(xiàn)至節(jié)中規(guī)定的功能。接收決策請(qǐng)求組件接收到來(lái)自訪問(wèn)控制實(shí)施組件的決策請(qǐng)求后，需要對(duì)請(qǐng)求內(nèi)的信息進(jìn)行解析分類，對(duì)不同類型的信息實(shí)體進(jìn)行臨時(shí)性存儲(chǔ)。根據(jù)決策的具體執(zhí)行邏輯，可能會(huì)針對(duì)某種類型信息優(yōu)先和訪問(wèn)控制策略進(jìn)行匹配，因此在做出實(shí)際的訪問(wèn)決策前，應(yīng)通過(guò)信息分類機(jī)制提高后期的執(zhí)行效率，例如可根據(jù)主體、資源、動(dòng)作等進(jìn)行分類存儲(chǔ)，也可根據(jù)角色、組、安全等級(jí)等不同的屬性類型進(jìn)行分類。執(zhí)行訪問(wèn)決策邏輯訪問(wèn)決策邏輯是整個(gè)組件的核心功能，其通用性和兼容性決定了整個(gè)中間件部署復(fù)雜度以及與應(yīng)用場(chǎng)景的整合難度。決策邏輯應(yīng)該考慮到已有的多種訪問(wèn)控制模型和訪問(wèn)控制機(jī)制，盡可能提高兼容性以減少重新部署安全策略的代價(jià)。GB/T18794.3-2003對(duì)多種訪問(wèn)控制機(jī)制進(jìn)行了說(shuō)明，包括訪問(wèn)控制列表方案、權(quán)利方案、基于標(biāo)簽的方案、基于上下文的方案以及基于以上方案的變種等。上述方案間的區(qū)別在于如何將訪問(wèn)相關(guān)信息進(jìn)行組合綁定和決策邏輯所關(guān)注的關(guān)鍵決策信息，另外各種方案的訪問(wèn)控制策略描述在實(shí)現(xiàn)過(guò)程中也有很大不同?；趯傩缘脑L問(wèn)控制模型提供了一種高層抽象的泛化描述能力，可以將以往出現(xiàn)的各種方案在一致的邏輯語(yǔ)義下進(jìn)行轉(zhuǎn)化表達(dá)。其訪問(wèn)決策邏輯主要依賴三部分輸入?yún)?shù)：訪問(wèn)請(qǐng)求、屬性信息、訪問(wèn)控制策略，大體的決策流程為：首先以系統(tǒng)特別關(guān)注的敏感信息為關(guān)鍵字對(duì)訪問(wèn)控制策略進(jìn)行檢索，獲取可能對(duì)決策結(jié)果產(chǎn)生影響的有效策略集合；然后根據(jù)決策請(qǐng)求對(duì)策略集合內(nèi)的策略進(jìn)一步詳細(xì)匹配；策略匹配過(guò)程中可能需要決策請(qǐng)求之外更詳細(xì)的屬性信息，組件檢索信息后完成對(duì)策略的精確評(píng)估，從而獲得最后的決策結(jié)果。該組件匹配的策略在基于屬性的描述框架內(nèi)進(jìn)行定義，以便于對(duì)其他訪問(wèn)控制機(jī)制的兼容性轉(zhuǎn)化。該決策邏輯從多種訪問(wèn)控制機(jī)制和模型中概括出基于關(guān)鍵標(biāo)識(shí)匹配的一致性邏輯，“匹配”和“檢索”是決策邏輯的兩類最基本操作，其他方案都可以在此基礎(chǔ)上進(jìn)行轉(zhuǎn)換。例如：訪問(wèn)控制列表方案的決策邏輯可以理解為：從請(qǐng)求中提取資源信息，以該信息為關(guān)鍵字檢索策略，獲取和該資源相關(guān)的策略集合，通過(guò)將請(qǐng)求中的主體信息和訪問(wèn)動(dòng)作特征與集合內(nèi)的策略逐一比較匹配，判斷最終的權(quán)限擁有權(quán)。該組件的實(shí)現(xiàn)框架支持基于角色的控制方案、基于歷史的控制方案、基于時(shí)間約束的控制方案和基于任務(wù)的控制方案等新興發(fā)展起來(lái)的訪問(wèn)授權(quán)機(jī)制。大型的信息系統(tǒng)條目眾多，導(dǎo)致其所涉及的安全策略數(shù)目繁雜、策略間關(guān)系不夠清晰，為了避免出現(xiàn)不可預(yù)知的決策結(jié)果，需要從宏觀角度制定最基本的資源安全策略，以提供最低限度的安全保障。訪問(wèn)控制決策組件通過(guò)開(kāi)放式策略和保守式策略實(shí)現(xiàn)這種可預(yù)知的和最低限度的安全保障。開(kāi)放式策略的決策邏輯為：如果沒(méi)有提供顯式策略明確禁止某訪問(wèn)行為，則認(rèn)為允許該類訪問(wèn)進(jìn)行；保守式策略的決策邏輯為：如果沒(méi)有提供顯式策略明確允許某訪問(wèn)行為，則認(rèn)為禁止該類訪問(wèn)進(jìn)行。采用何種策略取決于具體應(yīng)用的資源對(duì)象敏感性和資源對(duì)象使用目的。該組件應(yīng)考慮如下情況，即多條策略同時(shí)給出明確決策結(jié)果，且決策結(jié)果存在沖突。此時(shí)組件需要指定沖突消解策略處理可能產(chǎn)生的決策結(jié)果不一致性，常用的消解策略包括：肯定判定優(yōu)先、否定判定優(yōu)先、首次判定優(yōu)先等。組件也可以根據(jù)應(yīng)用場(chǎng)景的具體要求或者是安全屬性的自身特性，自定義沖突消解邏輯滿足安全決策需要。對(duì)所需訪問(wèn)控制策略進(jìn)行檢索收集組件在執(zhí)行決策邏輯的過(guò)程中需要以適用策略集合作為請(qǐng)求匹配的參照，因此其內(nèi)部應(yīng)該具有策略檢索收集的功能。一種最簡(jiǎn)單的處理方式就是：組件在運(yùn)行決策邏輯前，將所有策略一次性導(dǎo)入臨時(shí)存儲(chǔ)區(qū)，之后所有的匹配操作都針對(duì)存儲(chǔ)區(qū)內(nèi)的策略進(jìn)行。當(dāng)策略數(shù)目較大時(shí)，應(yīng)提供針對(duì)性更強(qiáng)的策略檢索功能，即根據(jù)某些屬性特征或者策略標(biāo)識(shí)從策略庫(kù)中獲取規(guī)模較小的策略子集，減少實(shí)際匹配的策略數(shù)量，提高匹配效率。例如以某個(gè)屬性類型或者具體的屬性值為關(guān)鍵字，或者以某種特定的策略類型為關(guān)鍵字對(duì)策略庫(kù)進(jìn)行檢索。該組件不限定策略檢索源的具體實(shí)現(xiàn)，其存儲(chǔ)方式可以為數(shù)據(jù)庫(kù)、目錄服務(wù)器或者文件系統(tǒng)等。建議組件內(nèi)部設(shè)定臨時(shí)性策略檢索結(jié)果存儲(chǔ)區(qū)，對(duì)檢索后的適用策略實(shí)現(xiàn)本地存放，避免策略匹配過(guò)程涉及過(guò)多的遠(yuǎn)程交互。同時(shí)，應(yīng)考慮本地策略存儲(chǔ)的及時(shí)更新。對(duì)所需屬性信息進(jìn)行檢索收集雖然決策請(qǐng)求中包含了若干決策需要的屬性信息，但不能保證其充分滿足策略匹配的全部需要，因此組件應(yīng)具有相關(guān)屬性信息的檢索功能。策略匹配過(guò)程涉及多種類型的屬性信息，其特征、來(lái)源及發(fā)布形式可能多有不同，屬性檢索過(guò)程應(yīng)考慮能夠兼容處理不同的屬性格式，例如X509格式的屬性證書(shū)、SAML格式的安全斷言以及LDAP目錄中的屬性條目等。組件內(nèi)部的屬性查詢過(guò)程應(yīng)由決策邏輯觸發(fā)，即當(dāng)決策邏輯無(wú)法完成策略匹配時(shí)，建立與訪問(wèn)控制屬性應(yīng)答組件的查詢請(qǐng)求及應(yīng)答。請(qǐng)求雙方應(yīng)該在屬性描述格式、屬性類型、請(qǐng)求/應(yīng)答方式等方面達(dá)成一致的情況下，對(duì)查詢所得信息進(jìn)行安全傳遞。組件在獲取到所需屬性后，可以在本地建立臨時(shí)存儲(chǔ)區(qū)，避免之后的屬性查詢涉及過(guò)多的遠(yuǎn)程交互過(guò)程，造成策略匹配延遲。同時(shí)，應(yīng)考慮本地屬性存儲(chǔ)的及時(shí)更新。決策歷史記錄的相關(guān)查詢考慮到和其他安全組件的集成性，訪問(wèn)控制中間件應(yīng)提供相應(yīng)的服務(wù)功能，例如為安全審計(jì)提供歷史訪問(wèn)的相關(guān)數(shù)據(jù)等。訪問(wèn)控制決策組件在完成請(qǐng)求決策的同時(shí)，應(yīng)對(duì)整個(gè)過(guò)程涉及的信息進(jìn)行分類記錄，例如某訪問(wèn)請(qǐng)求涉及的匹配策略標(biāo)識(shí)、檢索到的主體屬性信息、資源特征信息、各種環(huán)境信息、最終決策結(jié)果、組件當(dāng)時(shí)的配置狀態(tài)等。以上信息應(yīng)保證存儲(chǔ)的安全性和與歷史記錄的一致性，并且可根據(jù)特殊的審計(jì)需要增加相應(yīng)的記錄信息類型。所有歷史記錄信息對(duì)其他安全組件提供基本的輸出功能，但不提供其他領(lǐng)域的業(yè)務(wù)安全分析功能，本標(biāo)準(zhǔn)也不具體約束數(shù)據(jù)存儲(chǔ)的形式和方案。訪問(wèn)控制策略應(yīng)答組件概述訪問(wèn)控制策略應(yīng)答組件負(fù)責(zé)響應(yīng)訪問(wèn)控制決策組件的策略檢索請(qǐng)求，對(duì)不同形式的策略表達(dá)進(jìn)行一致性轉(zhuǎn)化，完成對(duì)適用策略的檢索并以安全的方式傳輸至訪問(wèn)控制決策組件。訪問(wèn)控制策略應(yīng)答組件的詳細(xì)功能描述及細(xì)節(jié)如下。訪問(wèn)控制策略應(yīng)答組件負(fù)責(zé)響應(yīng)訪問(wèn)控制決策組件的策略檢索請(qǐng)求，負(fù)責(zé)整個(gè)中間件訪問(wèn)控制策略的底層處理。訪問(wèn)控制策略應(yīng)答組件應(yīng)實(shí)現(xiàn)至節(jié)中規(guī)定的功能。統(tǒng)一策略描述方式不同的安全系統(tǒng)可能采用不同的描述方式定義安全策略，但從中間件的角度出發(fā)，其決策邏輯所依賴的策略集必須具有統(tǒng)一的格式和語(yǔ)義。策略應(yīng)答組件需要確定系統(tǒng)應(yīng)用的策略類型，并對(duì)不同形式的策略表達(dá)進(jìn)行一致性轉(zhuǎn)化。策略轉(zhuǎn)化過(guò)程可能需要界定不同策略特征間的轉(zhuǎn)換規(guī)則，但應(yīng)保證策略轉(zhuǎn)化不影響最終的安全目標(biāo)，因此需要根據(jù)系統(tǒng)特征從不同的訪問(wèn)控制策略中抽象高層安全目標(biāo)視圖，并在轉(zhuǎn)化過(guò)程中實(shí)施目標(biāo)一致性檢測(cè)。策略檢索策略應(yīng)答組件必須能夠處理來(lái)自決策組件帶有多種查詢參數(shù)的策略檢索請(qǐng)求，并獲取滿足要求的策略集合。最簡(jiǎn)單的策略請(qǐng)求處理方式是應(yīng)答組件返回所有可用的安全策略，但在策略規(guī)模龐大的應(yīng)用場(chǎng)景下，這種模式顯然無(wú)法提供高效的策略匹配效率。決策組件可能會(huì)以某些策略特征為關(guān)鍵字對(duì)策略庫(kù)進(jìn)行精確查找，例如用戶角色名稱、資源標(biāo)識(shí)、訪問(wèn)類型等，應(yīng)答組件應(yīng)該支持這些定制查詢參數(shù)的檢索請(qǐng)求。實(shí)際的策略存儲(chǔ)點(diǎn)可能采用不同的實(shí)現(xiàn)方式，例如數(shù)據(jù)庫(kù)、LDAP服務(wù)器、文件系統(tǒng)等，應(yīng)答組件應(yīng)該具備檢索多種存儲(chǔ)方式的能力，并對(duì)檢索后的結(jié)果進(jìn)行整合。應(yīng)答組件可通過(guò)自身開(kāi)發(fā)或借助外部工具的方式提高策略檢索的速度、減少檢索響應(yīng)延遲，也可以通過(guò)內(nèi)部緩存機(jī)制降低組件間的通訊交互。策略傳輸應(yīng)答組件應(yīng)與決策組件就策略傳輸?shù)姆绞胶透袷竭M(jìn)行統(tǒng)一制定，應(yīng)答組件完成策略檢索后，將響應(yīng)策略集合以安全可靠的傳輸協(xié)議傳輸至決策組件。本標(biāo)準(zhǔn)不強(qiáng)制定義具體的策略傳輸協(xié)議，只對(duì)一些可選的傳輸方案進(jìn)行說(shuō)明?？梢酝ㄟ^(guò)網(wǎng)絡(luò)層的socket通訊協(xié)議直接對(duì)策略條目進(jìn)行編碼傳輸，另外針對(duì)XML類型的策略格式也可以采用類似SOAP協(xié)議的XMLRPC方式進(jìn)行傳輸。訪問(wèn)控制中間件可根據(jù)技術(shù)集成難度、應(yīng)用環(huán)境特點(diǎn)、通訊質(zhì)量要求等自行選用具體的傳輸協(xié)議。策略管理實(shí)際應(yīng)用中，訪問(wèn)控制策略管理本身可能涉及一個(gè)相對(duì)獨(dú)立的技術(shù)領(lǐng)域，其實(shí)現(xiàn)技術(shù)和方案復(fù)雜多樣，本標(biāo)準(zhǔn)不試圖對(duì)策略管理給出完整詳細(xì)的功能規(guī)范，只針對(duì)訪問(wèn)控制中間件的實(shí)際需求對(duì)策略管理應(yīng)提供的功能提出具體的規(guī)范定義，其涵蓋的功能模塊是策略管理的功能子集。策略管理服務(wù)（工具或模塊）應(yīng)提供對(duì)策略的一般性管理功能，例如策略的添加、修改、刪除、更新等，以方便中間件對(duì)系統(tǒng)安全策略的控制和掌握。在多條策略的安全約束之間，可能存在潛在的沖突威脅，策略管理服務(wù)應(yīng)提供策略優(yōu)先級(jí)機(jī)制，制定策略沖突消解規(guī)則，便于訪問(wèn)控制決策組件執(zhí)行具體的決策邏輯。策略管理服務(wù)還應(yīng)提供策略一致性檢測(cè)功能，在策略實(shí)體和高層安全目標(biāo)間進(jìn)行一致性驗(yàn)證和測(cè)試，保證策略實(shí)體符合系統(tǒng)的安全管理初衷。本標(biāo)準(zhǔn)不對(duì)以上功能做具體的實(shí)現(xiàn)說(shuō)明，也不強(qiáng)制訪問(wèn)控制中間件必須實(shí)現(xiàn)上述功能。訪問(wèn)控制屬性應(yīng)答組件概述訪問(wèn)控制屬性應(yīng)答組件負(fù)責(zé)對(duì)訪問(wèn)判定過(guò)程中需要的各種類型屬性信息進(jìn)行收集，生成并發(fā)布屬性斷言，并將屬性信息集合以安全的方式傳輸至訪問(wèn)控制決策組件。訪問(wèn)控制策略應(yīng)答組件的詳細(xì)功能描述及細(xì)節(jié)如下。該組件主要負(fù)責(zé)訪問(wèn)決策可能觸發(fā)的屬性信息收集，輔助訪問(wèn)控制決策組件完成最終的請(qǐng)求決策。訪問(wèn)控制策略應(yīng)答組件應(yīng)實(shí)現(xiàn)至節(jié)中規(guī)定的功能。用戶屬性信息收集當(dāng)決策請(qǐng)求中包含的用戶屬性信息不足以使決策邏輯給出決策結(jié)果時(shí)，決策組件需要向訪問(wèn)控制屬性應(yīng)答組件發(fā)送屬性查詢請(qǐng)求。用戶的屬性信息可能來(lái)自多個(gè)屬性管理權(quán)威機(jī)構(gòu)，屬性的頒發(fā)格式可能不同，最終的屬性存儲(chǔ)點(diǎn)也可能分布在不同的物理地址，屬性應(yīng)答組件應(yīng)該能根據(jù)用戶標(biāo)識(shí)對(duì)屬性信息進(jìn)行集成檢索，形成統(tǒng)一的屬性表達(dá)語(yǔ)義，便于進(jìn)一步的屬性斷言發(fā)布。組件處理的屬性頒發(fā)格式可能為X.509格式的屬性證書(shū)、SAML斷言、LDAP屬性條目等。在對(duì)檢索后獲取的用戶屬性進(jìn)行確認(rèn)前，應(yīng)對(duì)這些屬性信息的有效性進(jìn)行驗(yàn)證。驗(yàn)證過(guò)程可能是針對(duì)屬性實(shí)體的數(shù)字簽名驗(yàn)證，也可能涉及對(duì)屬性頒發(fā)實(shí)體的數(shù)字身份驗(yàn)證，驗(yàn)證能否通過(guò)取決于對(duì)驗(yàn)證信息的可信性。針對(duì)來(lái)自外域的用戶屬性信息，組件根據(jù)外域用戶屬性檢索適用的屬性映射規(guī)則，推導(dǎo)出外域?qū)傩詫?duì)應(yīng)的本域?qū)傩孕畔?，?shí)現(xiàn)域間屬性轉(zhuǎn)譯，以決策組件可理解的域內(nèi)屬性信息格式進(jìn)行發(fā)布。轉(zhuǎn)譯過(guò)程涉及屬性信息內(nèi)容的轉(zhuǎn)譯和屬性描述格式的轉(zhuǎn)換。應(yīng)答組件可通過(guò)自身開(kāi)發(fā)或借助外部工具的方式提高屬性檢索的速度、減少檢索響應(yīng)延遲，也可以通過(guò)內(nèi)部緩存機(jī)制降低組件間的通訊交互。其他類型屬性信息收集基于屬性的訪問(wèn)控制機(jī)制決定了決策組件除了可能需要對(duì)用戶屬性進(jìn)行檢索外，還需要其他類型的信息輔助判斷。這些信息可能來(lái)自信息系統(tǒng)自身狀態(tài)、上下文環(huán)境、網(wǎng)絡(luò)狀況等一些可以描述訪問(wèn)進(jìn)行時(shí)的外界信息感應(yīng)點(diǎn)，應(yīng)答組件應(yīng)有能力接收或者主動(dòng)查詢來(lái)自這些感應(yīng)點(diǎn)的屬性信息。本標(biāo)準(zhǔn)不試圖定義感應(yīng)點(diǎn)發(fā)布屬性的方式和屬性格式，屬性應(yīng)答組件應(yīng)將這些屬性信息轉(zhuǎn)換為決策組件可理解的語(yǔ)義及格式并以屬性斷言的格式進(jìn)行轉(zhuǎn)發(fā)。屬性斷言發(fā)布屬性應(yīng)答組件是決策組件唯一信任的屬性發(fā)布點(diǎn)，其他的屬性存儲(chǔ)點(diǎn)和感應(yīng)點(diǎn)對(duì)決策組件來(lái)說(shuō)都應(yīng)該是透明的，因此應(yīng)答組件在獲取到查詢的屬性信息后，應(yīng)該以決策組件可驗(yàn)證的屬性斷言方式發(fā)布屬性信息。斷言應(yīng)包含屬性的主體標(biāo)識(shí)、屬性類型或名稱、具體的屬性值、應(yīng)答組件對(duì)屬性信息摘要的簽名等。屬性斷言格式的定義宜采用GB/T29242-2012標(biāo)準(zhǔn)。屬性信息傳遞屬性應(yīng)答組件應(yīng)與決策組件就屬性傳輸?shù)姆绞胶透袷竭M(jìn)行統(tǒng)一制定，應(yīng)答組件完成屬性檢索后，將屬性信息集合以安全可靠的傳輸協(xié)議傳輸至決策組件。類似策略傳輸，本標(biāo)準(zhǔn)不限制定義具體的屬性傳輸協(xié)議，可以通過(guò)網(wǎng)絡(luò)層的套接字通訊協(xié)議直接對(duì)屬性條目進(jìn)行編碼傳輸，另外針對(duì)XML類型的屬性格式也可以采用類似SOAP協(xié)議的XMLRPC方式進(jìn)行傳輸。屬性管理屬性管理已經(jīng)存在相關(guān)標(biāo)準(zhǔn)規(guī)范，其實(shí)現(xiàn)技術(shù)和方案復(fù)雜多樣，本標(biāo)準(zhǔn)不試圖對(duì)屬性管理細(xì)節(jié)給出完整詳細(xì)的功能規(guī)范，只針對(duì)訪問(wèn)控制中間件的實(shí)際需求對(duì)屬性管理應(yīng)提供的功能提出具體的規(guī)范定義，其涵蓋的功能模塊是屬性管理的功能子集。屬性管理服務(wù)（工具或模塊）應(yīng)提供對(duì)屬性信息的一般性管理功能，例如屬性的頒發(fā)、撤銷、更新等，以方便中間件對(duì)屬性信息的控制和掌握。為了支持跨域訪問(wèn)控制等多域應(yīng)用場(chǎng)景，屬性管理服務(wù)應(yīng)提供域間屬性映射功能，制定屬性映射規(guī)則，可發(fā)布映射斷言供外域的屬性發(fā)布組件進(jìn)行查詢。屬性管理服務(wù)還應(yīng)提供屬性一致性檢測(cè)功能，限制用戶同時(shí)擁有違反安全約束的多個(gè)屬性。本標(biāo)準(zhǔn)不對(duì)以上功能做具體的實(shí)現(xiàn)說(shuō)明，也不強(qiáng)制訪問(wèn)控制中間件必須實(shí)現(xiàn)上述功能。屬性管理的具體實(shí)現(xiàn)應(yīng)參照相應(yīng)的數(shù)字身份管理標(biāo)準(zhǔn)與規(guī)范及其他相關(guān)標(biāo)準(zhǔn)。組件間接口策略決策接口（IF-PD）IF-PD是訪問(wèn)控制實(shí)施組件和訪問(wèn)控制決策組件之間的接口。IF-PD接口主要用于傳遞決策請(qǐng)求消息至訪問(wèn)控制決策組件，并將訪問(wèn)控制決策組件產(chǎn)生的判定結(jié)果以決策應(yīng)答消息的方式傳遞給訪問(wèn)控制實(shí)施組件。此接口的具體實(shí)現(xiàn)可見(jiàn)GB/T31501-2015或者GB/T30281-2013中的相關(guān)定義。決策管理接口（IF-DM）IF-DM是管理訪問(wèn)控制決策組件的接口。IF-DM接口主要用于向訪問(wèn)控制決策組件傳遞消息，控制組件功能的啟動(dòng)與停止，配置組件并控制組件的執(zhí)行流程與執(zhí)行環(huán)境。IF-DM接口的定義細(xì)節(jié)見(jiàn)6.3節(jié)。策略查詢接口（IF-PQ）IF-PQ是訪問(wèn)控制決策組件和訪問(wèn)控制策略應(yīng)答組件之間的接口。IF-PQ接口主要用于策略的檢索以及訪問(wèn)控制策略應(yīng)答組件的配置。IF-PQ按照指定的檢索模式將獲取到的策略轉(zhuǎn)換成指定類型的策略，并返回給訪問(wèn)控制決策組件。IF-PQ接口的定義細(xì)節(jié)見(jiàn)6.4節(jié)。屬性查詢接口（IF-AQ）IF-AQ是訪問(wèn)控制決策組件和訪問(wèn)控制屬性應(yīng)答組件之間的接口。IF-AQ接口主要用于屬性的檢索以及訪問(wèn)控制屬性應(yīng)答組件的配置。IF-AQ獲取主體的屬性后，將查詢到的屬性轉(zhuǎn)為指定格式，并返回給訪問(wèn)控制決策組件。IF-AQ接口的定義細(xì)節(jié)見(jiàn)6.5節(jié)。跨域?qū)傩圆樵兘涌冢↖F-CDAQ）IF-CDAQ是不同域的訪問(wèn)控制屬性應(yīng)答組件之間的接口。IF-CDAQ接口主要用于外域訪問(wèn)控制屬性應(yīng)答組件查詢本域某個(gè)主體的屬性。本域訪問(wèn)控制屬性應(yīng)答組件獲取主體的屬性后，將查詢到的屬性轉(zhuǎn)為指定格式，并返回給外域的訪問(wèn)控制屬性應(yīng)答組件。IF-AQ接口的定義細(xì)節(jié)見(jiàn)6.6節(jié)接口間消息流通過(guò)上述定義的各不同接口，體系結(jié)構(gòu)中的各組件進(jìn)行消息交換。這些基本的消息流如圖2所示。訪問(wèn)控制中間件體系框架中的消息流在發(fā)起者開(kāi)始訪問(wèn)目標(biāo)之前，訪問(wèn)控制中間件需要通過(guò)管理工具進(jìn)行初始化與配置管理，包括以下三種操作：通過(guò)策略管理工具對(duì)訪問(wèn)控制中間件的策略進(jìn)行管理操作；通過(guò)屬性管理工具進(jìn)行屬性頒發(fā)與撤銷等管理操作；通過(guò)決策管理工具進(jìn)行決策引擎的管理與配置。（圖2步驟0）當(dāng)發(fā)起者試圖對(duì)目標(biāo)進(jìn)行訪問(wèn)時(shí)，訪問(wèn)控制實(shí)施組件攔截發(fā)起者的訪問(wèn)請(qǐng)求。（圖2步驟1）訪問(wèn)控制實(shí)施組件攔截訪問(wèn)請(qǐng)求后，向訪問(wèn)控制決策組件發(fā)送決策請(qǐng)求。（圖2步驟2）訪問(wèn)控制決策組件以決策請(qǐng)求為參數(shù)調(diào)用策略檢索器從訪問(wèn)控制策略應(yīng)答組件檢索適用策略，并對(duì)檢索的適用策略進(jìn)行評(píng)估。（圖2步驟3）如果訪問(wèn)控制決策組件在評(píng)估過(guò)程中發(fā)現(xiàn)缺乏相應(yīng)的屬性，則通過(guò)屬性檢索器向本安全域的訪問(wèn)控制屬性應(yīng)答組件發(fā)出屬性查詢請(qǐng)求；訪問(wèn)控制屬性應(yīng)答組件查詢并驗(yàn)證屬性發(fā)布點(diǎn)上存儲(chǔ)的屬性，生成屬性應(yīng)答返回至訪問(wèn)控制決策組件。（圖2步驟4）如果所查詢的屬性是其它安全域中的屬性，則由本安全域的訪問(wèn)控制屬性應(yīng)答組件向外域的訪問(wèn)控制屬性應(yīng)答組件進(jìn)行查詢，以獲得外域中的訪問(wèn)控制屬性，并通過(guò)屬性映射關(guān)系確定屬性的可信性，生成屬性應(yīng)答消息。（圖2步驟4a）訪問(wèn)控制決策組件依據(jù)訪問(wèn)控制策略與訪問(wèn)控制屬性完成決策評(píng)估，向訪問(wèn)控制實(shí)施組件發(fā)送最終決策結(jié)果。（圖2步驟5）訪問(wèn)控制實(shí)施組件根據(jù)返回的決策結(jié)果拒絕或允許發(fā)起者對(duì)目標(biāo)的訪問(wèn)。（圖2步驟6）訪問(wèn)控制中間件接口概述本章主要對(duì)訪問(wèn)控制中間件的接口進(jìn)行說(shuō)明和定義，對(duì)接口的輸入?yún)?shù)，輸出參數(shù)以及邏輯功能進(jìn)行規(guī)范，但不強(qiáng)制定義接口的具體實(shí)現(xiàn)方案和形式。接口的輸入?yún)?shù)與輸出參數(shù)以XML格式定義，消息的示例見(jiàn)附錄B。接口的實(shí)現(xiàn)應(yīng)支持本節(jié)所定義的接口、以及接口所定義的輸入?yún)?shù)與輸出參數(shù)，但可根據(jù)應(yīng)用環(huán)境進(jìn)行擴(kuò)展。常量定義訪問(wèn)控制中間件各接口返回的消息碼定義如下。消息碼定義返回消息碼值語(yǔ)義IF_RESULT_SUCCESS0調(diào)用接口完成預(yù)定功能IF_RESULT_FAIL1調(diào)用接口未完成預(yù)定功能IF_RESULT_ILLEGAL_ACTION2非法調(diào)用接口IF_RESULT_INVALID_PARAM3參數(shù)錯(cuò)誤IF_RESULT_NOT_INIT4未初始化IF_RESULT_SELFTEST_ERROR5自檢錯(cuò)誤策略決策接口(IF-PD) IF-PD是訪問(wèn)控制實(shí)施組件和訪問(wèn)控制決策組件之間的接口。IF-PD接口主要用于傳遞決策請(qǐng)求消息至訪問(wèn)控制決策組件，并將訪問(wèn)控制決策組件產(chǎn)生的判定結(jié)果以決策應(yīng)答消息的方式傳遞給訪問(wèn)控制實(shí)施組件。此接口的具體實(shí)現(xiàn)可見(jiàn)GB/T31501-2015中的相關(guān)定義。IF-PD的調(diào)用需要建立在安全信道的基礎(chǔ)上，安全信道應(yīng)保證通信數(shù)據(jù)的完整性。決策管理接口(IF-DM) IF-DM是管理訪問(wèn)控制決策組件的接口。IF-DM接口主要用于向訪問(wèn)控制決策組件傳遞消息，控制組件功能的啟動(dòng)與停止，配置組件并控制組件的執(zhí)行流程與執(zhí)行環(huán)境。 IF-DM的調(diào)用需要建立在安全信道的基礎(chǔ)上，安全信道應(yīng)保證通信數(shù)據(jù)的機(jī)密性、完整性。安全信道的宜依據(jù)SSL/TLS建立。決策管理登錄接口(IF-DM-Login)功能 決策管理的實(shí)施需要對(duì)決策管理員的身份進(jìn)行認(rèn)證，并在認(rèn)證通過(guò)后建立會(huì)話。決策管理員的所有操作需要基于建立的會(huì)話完成。在調(diào)用決策管理其它的接口之前，決策管理登錄接口必須首先被調(diào)用。輸入?yún)?shù)輸入?yún)?shù)類型定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="login"><xs:complexType><xs:sequence><xs:elementname="uerId"type="xs:string"/><xs:elementname="credential"type="xs:base64Binary"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)說(shuō)明決策管理員的身份標(biāo)識(shí)；調(diào)用決策管理登錄接口應(yīng)提供調(diào)用者的認(rèn)證信息。認(rèn)證信息由決策管理組件支持的認(rèn)證方式?jīng)Q定。例如，若采用證書(shū)認(rèn)證方式，認(rèn)證信息應(yīng)該包含決策管理員身份證書(shū)。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/><xs:elementname="sessionId"type="xs:string"minOccurs="0"maxOccurs="1"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用決策管理登錄接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼；若決策管理員身份通過(guò)認(rèn)證，還需返回所建立的會(huì)話的標(biāo)識(shí)。IF-DM-Login接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS認(rèn)證決策管理員身份成功IF_RESULT_FAIL認(rèn)證決策管理員身份失敗決策管理登出接口(IF-DM-Logout)功能 決策管理完成后，需要關(guān)閉為完成此次決策管理而創(chuàng)建的會(huì)話。此接口提供注銷所建立的會(huì)話的功能。決策管理員完成所有操作后應(yīng)調(diào)用此接口。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="logout"><xs:complexType><xs:sequence><xs:elementname="sessionId"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)說(shuō)明所注銷的本次會(huì)話的標(biāo)識(shí)。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用決策管理登出接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-DM-Logout接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS注銷會(huì)話成功IF_RESULT_FAIL注銷會(huì)話失敗決策管理配置接口(IF-DM-Config)功能 訪問(wèn)控制策略決策組件應(yīng)是可配置的。決策管理員應(yīng)能夠通過(guò)配置訪問(wèn)控制策略決策組件，靈活控制訪問(wèn)控制策略決策組件的執(zhí)行流程及執(zhí)行環(huán)境。決策管理配置接口可以但不是必須提供對(duì)配置的檢測(cè)功能。調(diào)用決策配置管理接口后，訪問(wèn)控制策略決策組件可以即時(shí)對(duì)配置響應(yīng)，也可通過(guò)重新啟動(dòng)對(duì)配置進(jìn)行響應(yīng)。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="config"><xs:complexType><xs:sequence><xs:elementname="plicyStoragePoint"type="xs:anyURI"/><xs:elementname="attributeIssuePoint"type="xs:anyURI"/><xs:elementname="combiningAlg"type="xs:string"/><xs:elementname="supprotPolicy"minOccurs="1"maxOccurs="unbounded"><xs:complexType><xs:sequence><xs:elementname="supportPolicyType"type="xs:string"/><xs:elementname="policySchema"type="xs:base64Binary"/></xs:sequence></xs:complexType></xs:element><xs:elementname="sessionId"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)說(shuō)明調(diào)用決策管理配置接口應(yīng)提供但不局限于提供以下配置信息。策略存儲(chǔ)點(diǎn)：訪問(wèn)控制策略決策組件策略查找點(diǎn)；屬性發(fā)布點(diǎn)：訪問(wèn)控制策略決策組件屬性查找點(diǎn)；合并方法：訪問(wèn)控制策略決策組件對(duì)多個(gè)策略評(píng)估時(shí)的組合邏輯。例如，采用拒絕優(yōu)先，只要有一個(gè)策略的評(píng)估結(jié)果為拒絕，則最終的決策結(jié)果也為拒絕。訪問(wèn)控制策略決策組件只有在對(duì)多個(gè)策略評(píng)估時(shí)使用合并方法；支持的策略：訪問(wèn)控制策略決策組件支持的策略類型以及相應(yīng)的策略類型模式。訪問(wèn)控制策略決策組件可以根據(jù)策略模式，在對(duì)查詢的策略解析之前，首先判斷其是否為自己支持的策略類型。例如，訪問(wèn)控制策略決策組件可以但不限于支持XACML格式策略的解析；本次調(diào)用的會(huì)話標(biāo)識(shí)。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用決策管理配置接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-DM-Config接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS配置訪問(wèn)控制策略決策組件成功IF_RESULT_FAIL配置訪問(wèn)控制策略決策組件失敗IF_RESULT_INVALID_PARAM配置參數(shù)不符合規(guī)定的格式?jīng)Q策啟動(dòng)接口(IF-DM-Start)功能 啟動(dòng)訪問(wèn)控制策略決策組件提供的服務(wù)。訪問(wèn)控制策略決策組件啟動(dòng)時(shí)，應(yīng)首先檢查配置信息是否完備。決策管理啟動(dòng)接口可以但不是必須提供訪問(wèn)控制策略決策組件檢測(cè)功能，以確定系統(tǒng)的狀態(tài)。調(diào)用該接口前應(yīng)先調(diào)用決策管理配置接口。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="start"><xs:complexType><xs:sequence><xs:elementname="selfTest"type="xs:string"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="sessionId"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)說(shuō)明調(diào)用決策管理啟動(dòng)接口可以但不是必須指定訪問(wèn)控制策略決策組件自檢項(xiàng)。本次調(diào)用的會(huì)話標(biāo)識(shí)。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用決策管理啟動(dòng)接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼，詳見(jiàn)表5：IF-DM-Start接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS訪問(wèn)控制策略決策組件啟動(dòng)成功IF_RESULT_FAIL訪問(wèn)控制策略決策組件啟動(dòng)失敗IF_RESULT_NOT_INIT訪問(wèn)控制策略決策組件未配置IF_RESULT_SELFTEST_ERROR訪問(wèn)控制策略決策組件啟動(dòng)自檢失敗決策停止接口(IF-DM-Stop)功能 停止訪問(wèn)控制策略決策組件提供的服務(wù)。訪問(wèn)控制策略決策組件停止時(shí)，可以采用如下兩種模式：可停止正在提供的服務(wù)，同時(shí)拒絕新的服務(wù)請(qǐng)求；繼續(xù)完成正在提供的服務(wù)，但是拒絕新的服務(wù)請(qǐng)求。訪問(wèn)控制策略決策組件停止模式由組件開(kāi)發(fā)者自行選擇，或同時(shí)支持但由調(diào)用者選擇。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="stop"><xs:complexType><xs:sequence><xs:elementname="stopPattern"type="xs:string"/><xs:elementname="sessionId"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)說(shuō)明調(diào)用決策管理停止接口必須提供采用的停止模式的標(biāo)識(shí)。停止模式的標(biāo)識(shí)由訪問(wèn)控制策略決策組件自行規(guī)定。本次調(diào)用的會(huì)話標(biāo)識(shí)。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用決策管理停止接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-DM-Stop接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS訪問(wèn)控制策略決策組件停止成功IF_RESULT_FAIL訪問(wèn)控制策略決策組件停止失敗IF_RESULT_INVALID_PARAM停止模式的標(biāo)識(shí)不被識(shí)別策略查詢接口(IF-PQ) IF-PQ是訪問(wèn)控制決策組件和訪問(wèn)控制策略應(yīng)答組件之間的接口。IF-PQ接口主要用于策略的檢索以及訪問(wèn)控制策略應(yīng)答組件的配置。IF-PQ按照指定的檢索模式將獲取到的策略轉(zhuǎn)換成指定類型的策略，然后返回給訪問(wèn)控制決策組件。IF-PQ的調(diào)用需要建立在安全信道的基礎(chǔ)上，安全信道應(yīng)保證通信數(shù)據(jù)的完整性。策略查詢支持類型接口(IF-PQ-SupportPT)功能 訪問(wèn)控制策略應(yīng)答組件應(yīng)返回支持的策略類型。例如，只支持XACML策略。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportPT"><xs:complexType><xs:sequence><xs:elementname="policyTypeId"type="xs:ID"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用策略查詢支持類型接口應(yīng)可以獲得訪問(wèn)控制策略應(yīng)答組件支持的策略類型信息。返回值的數(shù)據(jù)結(jié)構(gòu)，以及策略類型的標(biāo)識(shí)由訪問(wèn)控制策略應(yīng)答組件自行規(guī)定。調(diào)用策略查詢支持類型接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-PQ-SupportPT接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS查詢支持策略類型成功IF_RESULT_FAIL查詢支持策略類型失敗策略查詢返回類型接口(IF-PQ-ReturnPT)功能 訪問(wèn)控制決策組件可能只支持某種類型的組件。訪問(wèn)控制策略應(yīng)答組件應(yīng)能夠指定返回的策略的類型。調(diào)用該接口前應(yīng)先調(diào)用策略查詢支持類型接口。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setRetPolicyType"type="xs:string"/></xs:schema>輸入?yún)?shù)說(shuō)明調(diào)用策略查詢返回類型接口應(yīng)提供指定的返回的策略的類型。策略類型的標(biāo)識(shí)由訪問(wèn)控制策略應(yīng)答組件自行規(guī)定。輸出參數(shù)：、輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用策略查詢返回類型接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-PQ-ReturnPT接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設(shè)置返回的策略的類型成功IF_RESULT_FAIL設(shè)置返回的策略的類型失敗IF_RESULT_INVALID_PARAM設(shè)定的策略類型不被支持策略查詢查找模式接口(IF-PQ-SearchSchema)功能 訪問(wèn)控制策略應(yīng)答組件應(yīng)能夠指定策略查找的模式，即只查詢第一條適用的策略，或查詢所有適用的策略。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setSearchPattern"type="xs:string"/></xs:schema>輸入?yún)?shù)說(shuō)明：調(diào)用策略查詢查找模式接口應(yīng)提供指定的查找模式標(biāo)識(shí)。策略查找模式標(biāo)識(shí)由訪問(wèn)控制策略應(yīng)答組件自行規(guī)定。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用策略查詢查找模式接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-PQ-SearchSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設(shè)置策略查找模式成功IF_RESULT_FAIL設(shè)置策略查找模式失敗IF_RESULT_INVALID_PARAM設(shè)定的策略查找模式標(biāo)識(shí)不被識(shí)別策略查詢返回模式接口(IF-PQ-ReturnSchema)功能 訪問(wèn)控制策略應(yīng)答組件應(yīng)能夠指定策略查詢結(jié)果返回的模式，即若查詢到多個(gè)適用策略時(shí)，或?qū)⑦@些策略直接返回，或?qū)⑦@些策略合并為一個(gè)策略返回。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setReturnPattern"type="xs:string"/></xs:schema>輸入?yún)?shù)說(shuō)明調(diào)用策略查詢返回模式接口應(yīng)提供指定的返回模式標(biāo)識(shí)。返回模式標(biāo)識(shí)由訪問(wèn)控制策略應(yīng)答組件自行規(guī)定。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用策略查詢返回模式接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-PQ-ReturnSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設(shè)置策略查詢返回模式成功IF_RESULT_FAIL設(shè)置策略查詢返回模式失敗IF_RESULT_INVALID_PARAM設(shè)定的策略查詢返回模式標(biāo)識(shí)不被識(shí)別策略查詢策略合并模式接口(IF-PQ-PolicyCombine)功能 訪問(wèn)控制策略應(yīng)答組件應(yīng)指定策略合并的模式。即若訪問(wèn)控制策略應(yīng)答組件的策略查詢返回模式設(shè)定為將查詢到的多個(gè)策略合并為一個(gè)策略返回時(shí)，應(yīng)按照通過(guò)調(diào)用該接口指定的策略合并模式對(duì)查詢到的策略進(jìn)行合并。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setCombiningAlg"type="xs:string"/></xs:schema>輸入?yún)?shù)說(shuō)明調(diào)用策略查詢策略合并模式接口應(yīng)提供指定的策略合并模式。策略合并模式由訪問(wèn)控制策略應(yīng)答組件自行規(guī)定輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用策略查詢策略合并模式接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-PQ-PolicyCombine接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設(shè)置策略合并模式成功IF_RESULT_FAIL設(shè)置策略合并模式失敗IF_RESULT_INVALID_PARAM設(shè)定的策略合并模式解析錯(cuò)誤策略查詢獲取策略接口(IF-PQ-GetPolicy)功能 訪問(wèn)控制策略應(yīng)答組件應(yīng)能夠返回適用于某一次訪問(wèn)控制請(qǐng)求的策略。調(diào)用此接口前，應(yīng)先設(shè)定策略查詢返回類型、策略查詢查找模式、策略查詢返回模式、策略查詢策略合并模式。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getPolicyRequest"><xs:complexType><xs:sequence><xs:elementname="subject"type="xs:string"/><xs:elementname="resource"type="xs:string"/><xs:elementname="action"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)說(shuō)明：用策略查詢獲取策略接口應(yīng)提供訪問(wèn)控制請(qǐng)求信息。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getPolicyResponse"><xs:complexType><xs:sequence><xs:choice><xs:elementname="policy"type="xs:base64Binary"maxOccurs="unbounded"/><xs:elementname="policySet"type="xs:base64Binary"/></xs:choice><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用策略查詢獲取策略接口應(yīng)能得到適用于某一個(gè)訪問(wèn)控制請(qǐng)求的策略集，或某一個(gè)單獨(dú)的策略。調(diào)用策略查詢獲取策略接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-PQ-GetPolicy接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取適用的策略成功IF_RESULT_FAIL獲取適用的策略失敗IF_RESULT_NOT_INIT訪問(wèn)控制策略應(yīng)答組件未配置IF_RESULT_INVALID_PARAM訪問(wèn)控制請(qǐng)求信息解析錯(cuò)誤屬性查詢接口(IF-AQ) IF-AQ是訪問(wèn)控制決策組件和訪問(wèn)控制屬性應(yīng)答組件之間的接口。IF-PQ接口主要用于屬性的檢索以及訪問(wèn)控制屬性應(yīng)答組件的配置。IF-PQ獲取主體的屬性后，將查詢到的屬性轉(zhuǎn)為指定格式，然后返回給訪問(wèn)控制決策組件。IF-AQ的調(diào)用需要建立在安全信道的基礎(chǔ)上，安全信道應(yīng)保證通信數(shù)據(jù)的完整性。屬性查詢支持類型接口(IF-AQ-SupportAT)功能 訪問(wèn)控制屬性應(yīng)答組件應(yīng)提供支持的屬性類型。訪問(wèn)控制屬性應(yīng)答組件對(duì)于本域可以支持多種類型的屬性，也可以僅支持一種類型的屬性。例如，只支持“角色”屬性。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportAT"><xs:complexType><xs:sequence><xs:elementname="attributeId"type="xs:ID"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用屬性查詢支持類型接口應(yīng)可以獲得訪問(wèn)控制屬性應(yīng)答組件支持的屬性類型信息。返回值的數(shù)據(jù)結(jié)構(gòu)，以及屬性類型的標(biāo)識(shí)由訪問(wèn)控制屬性應(yīng)答組件自行規(guī)定。調(diào)用屬性查詢支持類型接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-AQ-SupportAT接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS查詢支持屬性類型成功IF_RESULT_FAIL查詢支持屬性類型失敗屬性查詢支持格式接口(IF-AQ-SupportSchema)功能 訪問(wèn)控制屬性應(yīng)答組件應(yīng)提供屬性查詢支持的返回格式。例如，或者以SAML斷言的形式返回屬性查詢的結(jié)果，或者直接返回屬性證書(shū)。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportSchema"><xs:complexType><xs:sequence><xs:elementname="schemaName"type="xs:string"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用屬性查詢支持格式接口應(yīng)可以獲得訪問(wèn)控制屬性應(yīng)答組件支持的返回格式。返回格式的標(biāo)識(shí)由訪問(wèn)控制屬性應(yīng)答組件自行規(guī)定。調(diào)用屬性查詢支持格式接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-AQ-SupportSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS查詢支持的返回格式成功IF_RESULT_FAIL查詢支持的返回格式失敗屬性查詢返回格式接口(IF-AQ-ReturnSchema)功能 訪問(wèn)控制屬性應(yīng)答組件應(yīng)能夠設(shè)定屬性查詢的返回格式。例如，可以設(shè)定直接返回屬性證書(shū)。調(diào)用該接口前應(yīng)先調(diào)用屬性查詢支持格式接口。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="setReturnSchema"type="xs:string"/></xs:schema>輸入?yún)?shù)說(shuō)明：調(diào)用屬性查詢返回格式接口應(yīng)提供指定的返回格式。屬性查詢返回格式的標(biāo)識(shí)由訪問(wèn)控制屬性應(yīng)答組件自行規(guī)定。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="message"><xs:complexType><xs:sequence><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用屬性查詢返回格式接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-AQ-ReturnSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS設(shè)置屬性查詢返回格式成功IF_RESULT_FAIL設(shè)置屬性查詢返回格式失敗IF_RESULT_INVALID_PARAM設(shè)定的屬性查詢返回格式標(biāo)識(shí)未識(shí)別屬性查詢獲取屬性接口(IF-AQ-GetAttribute)功能 訪問(wèn)控制屬性應(yīng)答組件應(yīng)能夠返回某一主體所具有的屬性。調(diào)用此接口前，應(yīng)先設(shè)定屬性查詢返回格式。調(diào)用該接口前應(yīng)先調(diào)用屬性查詢支持類型接口、屬性查詢返回格式接口。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getAttributeRequest"><xs:complexType><xs:sequence><xs:elementname="userId"type="xs:ID"/><xs:elementname="attributeId"type="xs:ID"minOccurs="0"/><xs:elementname="Issuer"type="xs:QName"minOccurs="0"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)定義調(diào)用屬性查詢獲取屬性接口應(yīng)提供所查詢主體的唯一標(biāo)識(shí)調(diào)用屬性查詢獲取屬性接口應(yīng)提供所要查詢的屬性類型標(biāo)識(shí)調(diào)用屬性查詢獲取屬性接口可以但不是必須提供所查詢屬性的頒發(fā)者輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getAttributeResponse"><xs:complexType><xs:sequence><xs:elementname="attribute"maxOccurs="unbounded"><xs:complexType><xs:sequence><xs:elementname="attributeId"type="xs:ID"/><xs:elementname="attributeValue"type="xs:string"/></xs:sequence></xs:complexType></xs:element><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用屬性查詢獲取屬性接口應(yīng)獲得某一主體擁有的屬性信息。屬性信息的格式通過(guò)調(diào)用屬性查詢返回格式指定。調(diào)用屬性查詢獲取接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-AQ-GetAttribute接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取某一個(gè)主體的屬性成功IF_RESULT_FAIL獲取某一個(gè)主體的屬性失敗IF_RESULT_NOT_INIT訪問(wèn)控制屬性應(yīng)答組件未配置IF_RESULT_INVALID_PARAM屬性查詢類型標(biāo)識(shí)未識(shí)別跨域?qū)傩圆樵兘涌?IF-CDAQ) IF-CDAQ是不同域的訪問(wèn)控制屬性應(yīng)答組件之間的接口。IF-CDAQ接口主要用于外域訪問(wèn)控制屬性應(yīng)答組件查詢本域某個(gè)主體的屬性。本域訪問(wèn)控制屬性應(yīng)答組件獲取主體的屬性后，將查詢到的屬性轉(zhuǎn)為指定格式，然后返回給外域的訪問(wèn)控制屬性應(yīng)答組件。 IF-CDAQ的調(diào)用需要建立在安全信道的基礎(chǔ)上，安全信道應(yīng)保證通信數(shù)據(jù)的完整性。安全信道的可以但不是必須依據(jù)SSL/TLS建立。跨域?qū)傩圆樵冎С诸愋徒涌?IF-CDAQ-SupportAT)功能 訪問(wèn)控制屬性應(yīng)答組件應(yīng)提供外域可查詢的屬性類型。一般情況下，外域可查詢的屬性類型要少于本域可查詢的屬性類型。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportAT"><xs:complexType><xs:sequence><xs:elementname="attributeId"type="xs:ID"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用跨域?qū)傩圆樵冎С诸愋徒涌趹?yīng)可以獲得訪問(wèn)控制屬性應(yīng)答組件外域可查詢的屬性類型信息。返回值的數(shù)據(jù)結(jié)構(gòu)，以及屬性類型的標(biāo)識(shí)由訪問(wèn)控制屬性應(yīng)答組件自行規(guī)定。調(diào)用跨域?qū)傩圆樵冎С诸愋徒涌趹?yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-CDAQ-SupportAT接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取跨域?qū)傩圆樵冎С謱傩灶愋统晒F_RESULT_FAIL獲取跨域?qū)傩圆樵冎С謱傩灶愋褪】缬驅(qū)傩圆樵兎祷馗袷浇涌?IF-CDAQ-SupportSchema)功能 訪問(wèn)控制屬性應(yīng)答組件應(yīng)提供跨域?qū)傩圆樵兘Y(jié)果返回格式。例如以SAML斷言格式返回跨域?qū)傩圆樵兘Y(jié)果。輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="SupportSchema"><xs:complexType><xs:sequence><xs:elementname="schemaName"type="xs:string"minOccurs="0"maxOccurs="unbounded"/><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用跨域?qū)傩圆樵兎祷馗袷浇涌趹?yīng)可以獲得訪問(wèn)控制屬性應(yīng)答組件跨域?qū)傩圆樵兘Y(jié)果返回格式。返回格式的標(biāo)識(shí)由訪問(wèn)控制屬性應(yīng)答組件自行規(guī)定。調(diào)用屬性查詢返回格式接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-CDAQ-SupportSchema接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取跨域?qū)傩圆樵兎祷馗袷匠晒F_RESULT_FAIL獲取跨域?qū)傩圆樵兎祷馗袷绞傩圆樵儷@取屬性接口(IF-CDAQ-GetAttribute)功能 訪問(wèn)控制屬性應(yīng)答組件應(yīng)能夠返回外域查詢的本域某一主體所具有的屬性。調(diào)用此接口前一般應(yīng)先調(diào)用跨域?qū)傩圆樵冎С诸愋徒涌诤涂缬驅(qū)傩圆樵兎祷馗袷浇涌?，以確定外域可查詢的屬性類型以及屬性查詢結(jié)果的返回格式。輸入?yún)?shù)輸入?yún)?shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getAttributeRequest"><xs:complexType><xs:sequence><xs:elementname="userId"type="xs:ID"/><xs:elementname="attributeId"type="xs:ID"minOccurs="0"/><xs:elementname="Issuer"type="xs:QName"minOccurs="0"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸入?yún)?shù)說(shuō)明調(diào)用跨域?qū)傩圆樵儷@取屬性接口應(yīng)提供所查詢主體的唯一標(biāo)識(shí)調(diào)用跨域?qū)傩圆樵儷@取屬性接口應(yīng)提供所要查詢的屬性類型標(biāo)識(shí)調(diào)用跨域?qū)傩圆樵儷@取屬性接口可以但不是必須提供所查詢屬性的頒發(fā)者輸出參數(shù)輸出參數(shù)定義<?xmlversion="1.0"encoding="utf-8"?><xs:schemaxmlns:xs="/2001/XMLSchema"><xs:elementname="getAttributeResponse"><xs:complexType><xs:sequence><xs:elementname="attribute"maxOccurs="unbounded"><xs:complexType><xs:sequence><xs:elementname="attributeId"type="xs:ID"/><xs:elementname="attributeValue"type="xs:string"/></xs:sequence></xs:complexType></xs:element><xs:elementname="messageCode"type="xs:string"/></xs:sequence></xs:complexType></xs:element></xs:schema>輸出參數(shù)說(shuō)明調(diào)用屬性查詢獲取屬性接口應(yīng)獲得某一主體擁有的屬性信息。屬性信息的格式通過(guò)調(diào)用屬性查詢返回格式指定。調(diào)用屬性查詢獲取接口應(yīng)能夠得到一個(gè)預(yù)定義的消息碼。IF-CDAQ-GetAttribute接口可以返回的消息碼返回消息碼條件IF_RESULT_SUCCESS獲取某一個(gè)主體的屬性成功IF_RESULT_FAIL獲取某一個(gè)主體的屬性失敗IF_RESULT_INVALID_PARAM屬性查詢類型標(biāo)識(shí)不支持（資料性附錄）應(yīng)用場(chǎng)景介紹本附錄描述了訪問(wèn)控制中間件的兩種應(yīng)用場(chǎng)景，部署訪問(wèn)控制中間件可參考但不局限于此兩種應(yīng)用場(chǎng)景。訪問(wèn)控制中間件應(yīng)用于單域一般情況下，訪問(wèn)控制中間件應(yīng)用于單個(gè)域。對(duì)域內(nèi)用戶的訪問(wèn)請(qǐng)求進(jìn)行響應(yīng)，并將判定結(jié)果返回給應(yīng)用系統(tǒng)。在這種情況下，訪問(wèn)控制中間件在判定過(guò)程中若需要查詢用戶屬性，只需在域內(nèi)的屬性查詢點(diǎn)查詢。用戶請(qǐng)求對(duì)需要進(jìn)行訪問(wèn)控制的資源的訪問(wèn)時(shí)，請(qǐng)求由應(yīng)用系統(tǒng)進(jìn)行處理，應(yīng)用系統(tǒng)需要與訪問(wèn)控制中間件交互，中間件此時(shí)被調(diào)用，如果判斷過(guò)程需要查詢?cè)敿?xì)信息，則可以訪問(wèn)策略發(fā)布點(diǎn)和屬性發(fā)布點(diǎn)進(jìn)行查詢，借助獲取的信息進(jìn)行判定，并將結(jié)果返回給應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)根據(jù)判定結(jié)果來(lái)決定是否允許用戶的訪問(wèn)請(qǐng)求。如圖A.1所示。單域應(yīng)用場(chǎng)景訪問(wèn)控制中間件應(yīng)用于跨域某些情況下，訪問(wèn)控制中間件可能應(yīng)用于跨域，即需要對(duì)外域用戶訪問(wèn)本域資源進(jìn)行判定。在這種情況下，本域訪問(wèn)控制中間件可能需要與外域訪問(wèn)控制中間件交互，查詢外域用戶擁有的外域?qū)傩?。如圖A.2所示，位于域A中的用戶在對(duì)域B中的某些資源發(fā)出訪問(wèn)請(qǐng)求時(shí)，域B中的訪問(wèn)控制實(shí)施組件會(huì)調(diào)用訪問(wèn)控制中間件進(jìn)行判定。此時(shí)域B中沒(méi)有該用戶的屬性信息，因此域B中的訪問(wèn)控制中間件要跨域訪問(wèn)域A中的訪問(wèn)控制中間件，以獲取該用戶的屬性信息。域A中的訪問(wèn)控制中間件進(jìn)行查詢并返回結(jié)果。域B中的訪問(wèn)控制中間件根據(jù)在本地策略發(fā)布點(diǎn)查詢得到的信息和跨域交互返回的信息來(lái)進(jìn)行判定，將結(jié)果返回給訪問(wèn)控制實(shí)施組件，訪問(wèn)控制實(shí)施組件根據(jù)判定結(jié)果作出決策。跨域應(yīng)用場(chǎng)景（資料性附錄）接口消息示例概述本章對(duì)本標(biāo)準(zhǔn)中的訪問(wèn)控制接口的消息給出了采用XML描述的具體示例。接口消息示例決策管理登錄接口(IF-DM-Login)輸入<?xmlversion="1.0"encoding="utf-8"?><login><userId>lois</userId><credential>"憑證信息的Base64編碼"</credential> </login>輸出<?xmlversion="1.0"encoding="utf-8"?><message><messageCode>IF_RESULT_SUCCESS</messageCode><sessionId>0ED41D3E6BA1125A4FF0990128A511FE</sessionId></message>決策管理登出接口(IF-