1 范圍

      本標(biāo)準(zhǔn)確立了鑒別與授權(quán)系統(tǒng)中訪問(wèn)控制中間件的框架結(jié)構(gòu)與內(nèi)部組件關(guān)系，規(guī)定了訪問(wèn)控制中間件中各組件的功能、操作流程及接口要求。

      本標(biāo)準(zhǔn)適用于訪問(wèn)控制中間件及其內(nèi)部組件的設(shè)計(jì)與實(shí)現(xiàn)，并可指導(dǎo)對(duì)該類中間件系統(tǒng)的檢測(cè)及相關(guān)應(yīng)用的開(kāi)發(fā)，對(duì)該類中間件產(chǎn)品的采購(gòu)亦可參照使用。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 13000 信息技術(shù) 通用多八位編碼字符集（UCS）

      GB/T 18793-2002 信息技術(shù) 可擴(kuò)展置標(biāo)語(yǔ)言（XML）1.0

      GB/T 18794.3-2003 信息技術(shù) 開(kāi)放系統(tǒng)互連 開(kāi)放系統(tǒng)安全框架 第3部分：訪問(wèn)控制框架

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)

      GB/T 31501-2015 信息安全技術(shù) 鑒別與授權(quán) 授權(quán)應(yīng)用程序判定接口規(guī)范

3 術(shù)語(yǔ)和定義

      GB/T 25069-2010、GB/T 18794.3-2003界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

      訪問(wèn)控制中間件 access control middleware

      通過(guò)對(duì)適用的訪問(wèn)控制信息進(jìn)行評(píng)估以決定發(fā)起者是否可以對(duì)訪問(wèn)目標(biāo)進(jìn)行特定類型訪問(wèn)的一系列組件及組件間接口的集合。

3.2

      動(dòng)作 action

      訪問(wèn)控制行為發(fā)起者執(zhí)行的某種操作。

      注：例如讀取、修改、刪除等。

3.3

      屬性 attribute

      主體、資源、動(dòng)作和環(huán)境的某個(gè)特征，該特征可以在策略中被引用。

3.4

      決策 decision

      依據(jù)訪問(wèn)控制策略做出的判定結(jié)果。

      注：例如允許或拒絕用戶訪問(wèn)特定資源。

3.5

      環(huán)境 environment

      一組與決策相關(guān)的屬性集合，獨(dú)立于特定的主體、資源或者動(dòng)作。

3.6

      發(fā)起者 initiator

      訪問(wèn)控制過(guò)程中執(zhí)行操作、試圖訪問(wèn)目標(biāo)的實(shí)體。

      注：例如訪問(wèn)系統(tǒng)或服務(wù)的用戶或是執(zhí)行操作的應(yīng)用。

3.7

      資源 resource

      數(shù)據(jù)、服務(wù)或者系統(tǒng)組件。

3.8

      主體 subject

      訪問(wèn)控制策略中訪問(wèn)控制行為發(fā)起者的標(biāo)識(shí)。

      注：例如發(fā)起者的用戶名，或是執(zhí)行操作的應(yīng)用標(biāo)識(shí)。

3.9

      訪問(wèn)目標(biāo) target

      訪問(wèn)控制過(guò)程中發(fā)起者訪問(wèn)的對(duì)象。

      注：例如資源或服務(wù)。

3.10

      用戶 user

      使用系統(tǒng)和系統(tǒng)資源的自然人。

4 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件：

      IF-AQ：屬性查詢接口（Interface-Attribute Query）

      IF-AQ-SupportAT：屬性查詢支持類型接口（Interface-Attribute Query-Support Attribute Type）

      IF-AQ-SupportSchema：屬性查詢支持格式接口（Interface-Attribute Query-Support Schema）

      IF-AQ-ReturnSchema：屬性查詢返回格式接口（Interface-Attribute Query-Return Schema）

      IF-AQ-GetAttribute：屬性查詢獲取屬性接口（Interface-Attribute Query-Get Attribute）

      IF-CDAQ：跨域?qū)傩圆樵兘涌冢↖nterface-Cross Domain Attribute Query）

      IF-CDAQ-SupportAT：跨域?qū)傩圆樵冎С诸愋徒涌冢↖nterface-Cross Domain Attribute Query-Support Attribute Type)

      IF-CDAQ-SupportSchema：跨域?qū)傩圆樵冎С指袷浇涌冢↖nterface-Cross Domain Attribute Query-Support Schema)

      IF-CDAQ-GetAttribute：跨域?qū)傩垣@取屬性查詢接口（Interface-Cross Domain Attribute Query-Get Attribute)

      IF-DM：決策管理接口（Interface-Decision Management）

      IF-DM-Login：決策管理登錄接口（Interface-Decision Management-Login）

      IF-DM-Logout：決策管理登出接口（Interface-Decision Management-Logout）

      IF-DM-Config：決策管理配置接口（Interface-Decision Management-Configuration）

      IF-DM-Start：決策啟動(dòng)接口（Interface-Decision Management-Start）

      IF-DM-Stop：決策停止接口（Interface-Decision Management-Stop）

      IF-PD：策略決策接口（Interface-Policy Decision）

      IF-PQ：策略查詢接口（Interface-Policy Query）

      IF-PQ-SupportPT：策略查詢支持類型接口（Interface-Policy Query-Support Policy Type）

      IF-PQ-ReturnPT：策略查詢返回類型接口（Interface-Policy Query-Return Policy Type）

      IF-PQ-SearchSchema：策略查詢查找模式接口（Interface-Policy Query-Search Schema）

      IF-PQ-ReturnSchema：策略查詢返回模式接口（Interface-Policy Query-Return Schema）

      IF-PQ-PolicyCombine：策略查詢合并模式接口（Interface-Policy Query-Policy Combine）

      IF-PQ-GetPolicy：策略查詢獲取策略接口（Interface-Policy Query-Get Policy）

      LDAP：輕量級(jí)目錄訪問(wèn)協(xié)議（Lightweight Directory Access Protocol）

      RPC：遠(yuǎn)程過(guò)程調(diào)用（Remote Procedure Call）

      SAML：安全斷言置標(biāo)語(yǔ)言（Security Assertion Markup Language）

      SOAP：簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議（Simple Object Access Protocol）

      SSL：安全套接層（Secure Sockets Layer）

      TLS：傳輸層安全（Transport Layer Security）

      XACML：可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言（eXtensible Access Control Markup Language）

      XML：可擴(kuò)展置標(biāo)語(yǔ)言（eXtensible Markup Language）

5 訪問(wèn)控制中間件體系框架

5.1 概述

      訪問(wèn)控制過(guò)程包含三個(gè)參與方：發(fā)起者、訪問(wèn)控制中間件和訪問(wèn)目標(biāo)。發(fā)起者是試圖訪問(wèn)訪問(wèn)目標(biāo)的實(shí)體（用戶或執(zhí)行操作的應(yīng)用）；訪問(wèn)控制中間件是通過(guò)對(duì)適用的訪問(wèn)控制信息進(jìn)行評(píng)估以決定發(fā)起者是否可以對(duì)目標(biāo)進(jìn)行特定類型訪問(wèn)的一系列組件及組件間接口的集合；訪問(wèn)目標(biāo)是被試圖訪問(wèn)的實(shí)體。

      訪問(wèn)控制中間件體系框架如圖1所示。該體系框架對(duì)于不同的設(shè)備、拓?fù)浣Y(jié)構(gòu)與應(yīng)用配置的訪問(wèn)控制需求進(jìn)行了綜合考慮，并且對(duì)此類需求是通用的。訪問(wèn)控制中間件包括了訪問(wèn)控制實(shí)施組件、訪問(wèn)控制決策組件、訪問(wèn)控制策略應(yīng)答組件和訪問(wèn)控制屬性應(yīng)答組件。其中訪問(wèn)控制實(shí)施組件通常位于訪問(wèn)目標(biāo)所在的應(yīng)用系統(tǒng)中，其余組件位于服務(wù)端。組件的功能見(jiàn)5.2，組件的接口定義見(jiàn)5.3。附錄A給出了訪問(wèn)控制中間件的典型應(yīng)用場(chǎng)景。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買(mǎi)標(biāo)準(zhǔn)正版。