1 范圍
本標(biāo)準(zhǔn)確立了鑒別與授權(quán)系統(tǒng)中訪問控制中間件的框架結(jié)構(gòu)與內(nèi)部組件關(guān)系��,規(guī)定了訪問控制中間件中各組件的功能�����、操作流程及接口要求�����。
本標(biāo)準(zhǔn)適用于訪問控制中間件及其內(nèi)部組件的設(shè)計與實現(xiàn),并可指導(dǎo)對該類中間件系統(tǒng)的檢測及相關(guān)應(yīng)用的開發(fā)�,對該類中間件產(chǎn)品的采購亦可參照使用����。
2 規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件��,僅注日期的版本適用于本文件���。凡是不注日期的引用文件��,其最新版本(包括所有的修改單)適用于本文件����。
GB/T 13000 信息技術(shù) 通用多八位編碼字符集(UCS)
GB/T 18793-2002 信息技術(shù) 可擴(kuò)展置標(biāo)語言(XML)1.0
GB/T 18794.3-2003 信息技術(shù) 開放系統(tǒng)互連 開放系統(tǒng)安全框架 第3部分:訪問控制框架
GB/T 25069-2010 信息安全技術(shù) 術(shù)語
GB/T 31501-2015 信息安全技術(shù) 鑒別與授權(quán) 授權(quán)應(yīng)用程序判定接口規(guī)范
3 術(shù)語和定義
GB/T 25069-2010、GB/T 18794.3-2003界定的以及下列術(shù)語和定義適用于本文件��。
3.1
訪問控制中間件 access control middleware
通過對適用的訪問控制信息進(jìn)行評估以決定發(fā)起者是否可以對訪問目標(biāo)進(jìn)行特定類型訪問的一系列組件及組件間接口的集合�。
3.2
動作 action
訪問控制行為發(fā)起者執(zhí)行的某種操作。
注:例如讀取�、修改、刪除等���。
3.3
屬性 attribute
主體���、資源、動作和環(huán)境的某個特征��,該特征可以在策略中被引用�。
3.4
決策 decision
依據(jù)訪問控制策略做出的判定結(jié)果。
注:例如允許或拒絕用戶訪問特定資源���。
3.5
環(huán)境 environment
一組與決策相關(guān)的屬性集合����,獨立于特定的主體�����、資源或者動作。
3.6
發(fā)起者 initiator
訪問控制過程中執(zhí)行操作、試圖訪問目標(biāo)的實體。
注:例如訪問系統(tǒng)或服務(wù)的用戶或是執(zhí)行操作的應(yīng)用。
3.7
資源 resource
數(shù)據(jù)�、服務(wù)或者系統(tǒng)組件。
3.8
主體 subject
訪問控制策略中訪問控制行為發(fā)起者的標(biāo)識。
注:例如發(fā)起者的用戶名�,或是執(zhí)行操作的應(yīng)用標(biāo)識。
3.9
訪問目標(biāo) target
訪問控制過程中發(fā)起者訪問的對象。
注:例如資源或服務(wù)���。
3.10
用戶 user
使用系統(tǒng)和系統(tǒng)資源的自然人��。
4 縮略語
下列縮略語適用于本文件:
IF-AQ:屬性查詢接口(Interface-Attribute Query)
IF-AQ-SupportAT:屬性查詢支持類型接口(Interface-Attribute Query-Support Attribute Type)
IF-AQ-SupportSchema:屬性查詢支持格式接口(Interface-Attribute Query-Support Schema)
IF-AQ-ReturnSchema:屬性查詢返回格式接口(Interface-Attribute Query-Return Schema)
IF-AQ-GetAttribute:屬性查詢獲取屬性接口(Interface-Attribute Query-Get Attribute)
IF-CDAQ:跨域?qū)傩圆樵兘涌冢↖nterface-Cross Domain Attribute Query)
IF-CDAQ-SupportAT:跨域?qū)傩圆樵冎С诸愋徒涌冢↖nterface-Cross Domain Attribute Query-Support Attribute Type)
IF-CDAQ-SupportSchema:跨域?qū)傩圆樵冎С指袷浇涌冢↖nterface-Cross Domain Attribute Query-Support Schema)
IF-CDAQ-GetAttribute:跨域?qū)傩垣@取屬性查詢接口(Interface-Cross Domain Attribute Query-Get Attribute)
IF-DM:決策管理接口(Interface-Decision Management)
IF-DM-Login:決策管理登錄接口(Interface-Decision Management-Login)
IF-DM-Logout:決策管理登出接口(Interface-Decision Management-Logout)
IF-DM-Config:決策管理配置接口(Interface-Decision Management-Configuration)
IF-DM-Start:決策啟動接口(Interface-Decision Management-Start)
IF-DM-Stop:決策停止接口(Interface-Decision Management-Stop)
IF-PD:策略決策接口(Interface-Policy Decision)
IF-PQ:策略查詢接口(Interface-Policy Query)
IF-PQ-SupportPT:策略查詢支持類型接口(Interface-Policy Query-Support Policy Type)
IF-PQ-ReturnPT:策略查詢返回類型接口(Interface-Policy Query-Return Policy Type)
IF-PQ-SearchSchema:策略查詢查找模式接口(Interface-Policy Query-Search Schema)
IF-PQ-ReturnSchema:策略查詢返回模式接口(Interface-Policy Query-Return Schema)
IF-PQ-PolicyCombine:策略查詢合并模式接口(Interface-Policy Query-Policy Combine)
IF-PQ-GetPolicy:策略查詢獲取策略接口(Interface-Policy Query-Get Policy)
LDAP:輕量級目錄訪問協(xié)議(Lightweight Directory Access Protocol)
RPC:遠(yuǎn)程過程調(diào)用(Remote Procedure Call)
SAML:安全斷言置標(biāo)語言(Security Assertion Markup Language)
SOAP:簡單對象訪問協(xié)議(Simple Object Access Protocol)
SSL:安全套接層(Secure Sockets Layer)
TLS:傳輸層安全(Transport Layer Security)
XACML:可擴(kuò)展訪問控制標(biāo)記語言(eXtensible Access Control Markup Language)
XML:可擴(kuò)展置標(biāo)語言(eXtensible Markup Language)
5 訪問控制中間件體系框架
5.1 概述
訪問控制過程包含三個參與方:發(fā)起者、訪問控制中間件和訪問目標(biāo)���。發(fā)起者是試圖訪問訪問目標(biāo)的實體(用戶或執(zhí)行操作的應(yīng)用)����;訪問控制中間件是通過對適用的訪問控制信息進(jìn)行評估以決定發(fā)起者是否可以對目標(biāo)進(jìn)行特定類型訪問的一系列組件及組件間接口的集合��;訪問目標(biāo)是被試圖訪問的實體��。
訪問控制中間件體系框架如圖1所示�����。該體系框架對于不同的設(shè)備�����、拓?fù)浣Y(jié)構(gòu)與應(yīng)用配置的訪問控制需求進(jìn)行了綜合考慮�����,并且對此類需求是通用的��。訪問控制中間件包括了訪問控制實施組件�、訪問控制決策組件、訪問控制策略應(yīng)答組件和訪問控制屬性應(yīng)答組件�。其中訪問控制實施組件通常位于訪問目標(biāo)所在的應(yīng)用系統(tǒng)中,其余組件位于服務(wù)端��。組件的功能見5.2���,組件的接口定義見5.3。附錄A給出了訪問控制中間件的典型應(yīng)用場景。
以上為標(biāo)準(zhǔn)部分內(nèi)容,如需看標(biāo)準(zhǔn)全文�,請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版���。
