1 范圍

      本標(biāo)準(zhǔn)確立了鑒別與授權(quán)系統(tǒng)中訪問控制中間件的框架結(jié)構(gòu)與內(nèi)部組件關(guān)系，規(guī)定了訪問控制中間件中各組件的功能、操作流程及接口要求。

      本標(biāo)準(zhǔn)適用于訪問控制中間件及其內(nèi)部組件的設(shè)計(jì)與實(shí)現(xiàn)，并可指導(dǎo)對(duì)該類中間件系統(tǒng)的檢測及相關(guān)應(yīng)用的開發(fā)，對(duì)該類中間件產(chǎn)品的采購亦可參照使用。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 13000 信息技術(shù) 通用多八位編碼字符集（UCS）

      GB/T 18793-2002 信息技術(shù) 可擴(kuò)展置標(biāo)語言（XML）1.0

      GB/T 18794.3-2003 信息技術(shù) 開放系統(tǒng)互連 開放系統(tǒng)安全框架 第3部分：訪問控制框架

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 31501-2015 信息安全技術(shù) 鑒別與授權(quán) 授權(quán)應(yīng)用程序判定接口規(guī)范

3 術(shù)語和定義

      GB/T 25069-2010、GB/T 18794.3-2003界定的以及下列術(shù)語和定義適用于本文件。

3.1

      訪問控制中間件 access control middleware

      通過對(duì)適用的訪問控制信息進(jìn)行評(píng)估以決定發(fā)起者是否可以對(duì)訪問目標(biāo)進(jìn)行特定類型訪問的一系列組件及組件間接口的集合。

3.2

      動(dòng)作 action

      訪問控制行為發(fā)起者執(zhí)行的某種操作。

      注：例如讀取、修改、刪除等。

3.3

      屬性 attribute

      主體、資源、動(dòng)作和環(huán)境的某個(gè)特征，該特征可以在策略中被引用。

3.4

      決策 decision

      依據(jù)訪問控制策略做出的判定結(jié)果。

      注：例如允許或拒絕用戶訪問特定資源。

3.5

      環(huán)境 environment

      一組與決策相關(guān)的屬性集合，獨(dú)立于特定的主體、資源或者動(dòng)作。

3.6

      發(fā)起者 initiator

      訪問控制過程中執(zhí)行操作、試圖訪問目標(biāo)的實(shí)體。

      注：例如訪問系統(tǒng)或服務(wù)的用戶或是執(zhí)行操作的應(yīng)用。

3.7

      資源 resource

      數(shù)據(jù)、服務(wù)或者系統(tǒng)組件。

3.8

      主體 subject

      訪問控制策略中訪問控制行為發(fā)起者的標(biāo)識(shí)。

      注：例如發(fā)起者的用戶名，或是執(zhí)行操作的應(yīng)用標(biāo)識(shí)。

3.9

      訪問目標(biāo) target

      訪問控制過程中發(fā)起者訪問的對(duì)象。

      注：例如資源或服務(wù)。

3.10

      用戶 user

      使用系統(tǒng)和系統(tǒng)資源的自然人。

4 縮略語

      下列縮略語適用于本文件：

      IF-AQ：屬性查詢接口（Interface-Attribute Query）

      IF-AQ-SupportAT：屬性查詢支持類型接口（Interface-Attribute Query-Support Attribute Type）

      IF-AQ-SupportSchema：屬性查詢支持格式接口（Interface-Attribute Query-Support Schema）

      IF-AQ-ReturnSchema：屬性查詢返回格式接口（Interface-Attribute Query-Return Schema）

      IF-AQ-GetAttribute：屬性查詢獲取屬性接口（Interface-Attribute Query-Get Attribute）

      IF-CDAQ：跨域?qū)傩圆樵兘涌冢↖nterface-Cross Domain Attribute Query）

      IF-CDAQ-SupportAT：跨域?qū)傩圆樵冎С诸愋徒涌冢↖nterface-Cross Domain Attribute Query-Support Attribute Type)

      IF-CDAQ-SupportSchema：跨域?qū)傩圆樵冎С指袷浇涌冢↖nterface-Cross Domain Attribute Query-Support Schema)

      IF-CDAQ-GetAttribute：跨域?qū)傩垣@取屬性查詢接口（Interface-Cross Domain Attribute Query-Get Attribute)

      IF-DM：決策管理接口（Interface-Decision Management）

      IF-DM-Login：決策管理登錄接口（Interface-Decision Management-Login）

      IF-DM-Logout：決策管理登出接口（Interface-Decision Management-Logout）

      IF-DM-Config：決策管理配置接口（Interface-Decision Management-Configuration）

      IF-DM-Start：決策啟動(dòng)接口（Interface-Decision Management-Start）

      IF-DM-Stop：決策停止接口（Interface-Decision Management-Stop）

      IF-PD：策略決策接口（Interface-Policy Decision）

      IF-PQ：策略查詢接口（Interface-Policy Query）

      IF-PQ-SupportPT：策略查詢支持類型接口（Interface-Policy Query-Support Policy Type）

      IF-PQ-ReturnPT：策略查詢返回類型接口（Interface-Policy Query-Return Policy Type）

      IF-PQ-SearchSchema：策略查詢查找模式接口（Interface-Policy Query-Search Schema）

      IF-PQ-ReturnSchema：策略查詢返回模式接口（Interface-Policy Query-Return Schema）

      IF-PQ-PolicyCombine：策略查詢合并模式接口（Interface-Policy Query-Policy Combine）

      IF-PQ-GetPolicy：策略查詢獲取策略接口（Interface-Policy Query-Get Policy）

      LDAP：輕量級(jí)目錄訪問協(xié)議（Lightweight Directory Access Protocol）

      RPC：遠(yuǎn)程過程調(diào)用（Remote Procedure Call）

      SAML：安全斷言置標(biāo)語言（Security Assertion Markup Language）

      SOAP：簡單對(duì)象訪問協(xié)議（Simple Object Access Protocol）

      SSL：安全套接層（Secure Sockets Layer）

      TLS：傳輸層安全（Transport Layer Security）

      XACML：可擴(kuò)展訪問控制標(biāo)記語言（eXtensible Access Control Markup Language）

      XML：可擴(kuò)展置標(biāo)語言（eXtensible Markup Language）

5 訪問控制中間件體系框架

5.1 概述

      訪問控制過程包含三個(gè)參與方：發(fā)起者、訪問控制中間件和訪問目標(biāo)。發(fā)起者是試圖訪問訪問目標(biāo)的實(shí)體（用戶或執(zhí)行操作的應(yīng)用）；訪問控制中間件是通過對(duì)適用的訪問控制信息進(jìn)行評(píng)估以決定發(fā)起者是否可以對(duì)目標(biāo)進(jìn)行特定類型訪問的一系列組件及組件間接口的集合；訪問目標(biāo)是被試圖訪問的實(shí)體。

      訪問控制中間件體系框架如圖1所示。該體系框架對(duì)于不同的設(shè)備、拓?fù)浣Y(jié)構(gòu)與應(yīng)用配置的訪問控制需求進(jìn)行了綜合考慮，并且對(duì)此類需求是通用的。訪問控制中間件包括了訪問控制實(shí)施組件、訪問控制決策組件、訪問控制策略應(yīng)答組件和訪問控制屬性應(yīng)答組件。其中訪問控制實(shí)施組件通常位于訪問目標(biāo)所在的應(yīng)用系統(tǒng)中，其余組件位于服務(wù)端。組件的功能見5.2，組件的接口定義見5.3。附錄A給出了訪問控制中間件的典型應(yīng)用場景。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。