1 范圍

      本標準確立了鑒別與授權系統(tǒng)中訪問控制中間件的框架結構與內部組件關系，規(guī)定了訪問控制中間件中各組件的功能、操作流程及接口要求。

      本標準適用于訪問控制中間件及其內部組件的設計與實現(xiàn)，并可指導對該類中間件系統(tǒng)的檢測及相關應用的開發(fā)，對該類中間件產(chǎn)品的采購亦可參照使用。

2 規(guī)范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 13000 信息技術 通用多八位編碼字符集（UCS）

      GB/T 18793-2002 信息技術 可擴展置標語言（XML）1.0

      GB/T 18794.3-2003 信息技術 開放系統(tǒng)互連 開放系統(tǒng)安全框架 第3部分：訪問控制框架

      GB/T 25069-2010 信息安全技術 術語

      GB/T 31501-2015 信息安全技術 鑒別與授權 授權應用程序判定接口規(guī)范

3 術語和定義

      GB/T 25069-2010、GB/T 18794.3-2003界定的以及下列術語和定義適用于本文件。

3.1

      訪問控制中間件 access control middleware

      通過對適用的訪問控制信息進行評估以決定發(fā)起者是否可以對訪問目標進行特定類型訪問的一系列組件及組件間接口的集合。

3.2

      動作 action

      訪問控制行為發(fā)起者執(zhí)行的某種操作。

      注：例如讀取、修改、刪除等。

3.3

      屬性 attribute

      主體、資源、動作和環(huán)境的某個特征，該特征可以在策略中被引用。

3.4

      決策 decision

      依據(jù)訪問控制策略做出的判定結果。

      注：例如允許或拒絕用戶訪問特定資源。

3.5

      環(huán)境 environment

      一組與決策相關的屬性集合，獨立于特定的主體、資源或者動作。

3.6

      發(fā)起者 initiator

      訪問控制過程中執(zhí)行操作、試圖訪問目標的實體。

      注：例如訪問系統(tǒng)或服務的用戶或是執(zhí)行操作的應用。

3.7

      資源 resource

      數(shù)據(jù)、服務或者系統(tǒng)組件。

3.8

      主體 subject

      訪問控制策略中訪問控制行為發(fā)起者的標識。

      注：例如發(fā)起者的用戶名，或是執(zhí)行操作的應用標識。

3.9

      訪問目標 target

      訪問控制過程中發(fā)起者訪問的對象。

      注：例如資源或服務。

3.10

      用戶 user

      使用系統(tǒng)和系統(tǒng)資源的自然人。

4 縮略語

      下列縮略語適用于本文件：

      IF-AQ：屬性查詢接口（Interface-Attribute Query）

      IF-AQ-SupportAT：屬性查詢支持類型接口（Interface-Attribute Query-Support Attribute Type）

      IF-AQ-SupportSchema：屬性查詢支持格式接口（Interface-Attribute Query-Support Schema）

      IF-AQ-ReturnSchema：屬性查詢返回格式接口（Interface-Attribute Query-Return Schema）

      IF-AQ-GetAttribute：屬性查詢獲取屬性接口（Interface-Attribute Query-Get Attribute）

      IF-CDAQ：跨域屬性查詢接口（Interface-Cross Domain Attribute Query）

      IF-CDAQ-SupportAT：跨域屬性查詢支持類型接口（Interface-Cross Domain Attribute Query-Support Attribute Type)

      IF-CDAQ-SupportSchema：跨域屬性查詢支持格式接口（Interface-Cross Domain Attribute Query-Support Schema)

      IF-CDAQ-GetAttribute：跨域屬性獲取屬性查詢接口（Interface-Cross Domain Attribute Query-Get Attribute)

      IF-DM：決策管理接口（Interface-Decision Management）

      IF-DM-Login：決策管理登錄接口（Interface-Decision Management-Login）

      IF-DM-Logout：決策管理登出接口（Interface-Decision Management-Logout）

      IF-DM-Config：決策管理配置接口（Interface-Decision Management-Configuration）

      IF-DM-Start：決策啟動接口（Interface-Decision Management-Start）

      IF-DM-Stop：決策停止接口（Interface-Decision Management-Stop）

      IF-PD：策略決策接口（Interface-Policy Decision）

      IF-PQ：策略查詢接口（Interface-Policy Query）

      IF-PQ-SupportPT：策略查詢支持類型接口（Interface-Policy Query-Support Policy Type）

      IF-PQ-ReturnPT：策略查詢返回類型接口（Interface-Policy Query-Return Policy Type）

      IF-PQ-SearchSchema：策略查詢查找模式接口（Interface-Policy Query-Search Schema）

      IF-PQ-ReturnSchema：策略查詢返回模式接口（Interface-Policy Query-Return Schema）

      IF-PQ-PolicyCombine：策略查詢合并模式接口（Interface-Policy Query-Policy Combine）

      IF-PQ-GetPolicy：策略查詢獲取策略接口（Interface-Policy Query-Get Policy）

      LDAP：輕量級目錄訪問協(xié)議（Lightweight Directory Access Protocol）

      RPC：遠程過程調用（Remote Procedure Call）

      SAML：安全斷言置標語言（Security Assertion Markup Language）

      SOAP：簡單對象訪問協(xié)議（Simple Object Access Protocol）

      SSL：安全套接層（Secure Sockets Layer）

      TLS：傳輸層安全（Transport Layer Security）

      XACML：可擴展訪問控制標記語言（eXtensible Access Control Markup Language）

      XML：可擴展置標語言（eXtensible Markup Language）

5 訪問控制中間件體系框架

5.1 概述

      訪問控制過程包含三個參與方：發(fā)起者、訪問控制中間件和訪問目標。發(fā)起者是試圖訪問訪問目標的實體（用戶或執(zhí)行操作的應用）；訪問控制中間件是通過對適用的訪問控制信息進行評估以決定發(fā)起者是否可以對目標進行特定類型訪問的一系列組件及組件間接口的集合；訪問目標是被試圖訪問的實體。

      訪問控制中間件體系框架如圖1所示。該體系框架對于不同的設備、拓撲結構與應用配置的訪問控制需求進行了綜合考慮，并且對此類需求是通用的。訪問控制中間件包括了訪問控制實施組件、訪問控制決策組件、訪問控制策略應答組件和訪問控制屬性應答組件。其中訪問控制實施組件通常位于訪問目標所在的應用系統(tǒng)中，其余組件位于服務端。組件的功能見5.2，組件的接口定義見5.3。附錄A給出了訪問控制中間件的典型應用場景。

以上為標準部分內容，如需看標準全文，請到相關授權網(wǎng)站購買標準正版。