GB/T36960-2018
信息安全技术鉴别与授权访问控制中间件框架与接口
Informationsecuritytechnology—Authenticationandauthorization—Accesscontrolmiddlewareframeworkandinterface
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2019-07-01
- 文件格式PDF
- 文本页数42页
- 文件大小2.58M
以图片形式预览信息安全技术鉴别与授权访问控制中间件框架与接口
信息安全技术鉴别与授权访问控制中间件框架与接口
国家标准 GB/T36960一2018 信息安全技术鉴别与授权 访问控制中间件框架与接口 Informationsecuritytechnology一Authenticationandauthorizatiom- Aeesscontrolmiddlewareframeworkandinterface 2018-12-28发布 2019-07-01实施 国家市场监督管理总局 发布 币国国家标准化管理委员会国家标准
GB/T36960一2018 次 目 前言 范围 2 规范性引用文件 术语和定义 缩略语 访问控制中间件体系框架 5.1概述 5.2组件定义 5.3组件间接口 5.4接口间工作过程 访问控制中间件接口 6.1概述 6.2常量定义 6.3策略决策接口(IF-PD) 6.!决策管理接口(IF-DM) 6.5策略查询接口(IF-PQ) 16 6.6属性查询接口(IF-AQ) 22 6.7跨域属性查询接口(IF-CDAQ 26 附录A(资料性附录)应用场景 30 附录B(资料性附录接口消息示例 32 参考文献 39
GB/36960一2018 前 言 本标准按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本标准起草单位:科学院软件研究所、科学院数据与通信保护研究教育中心,北京数字认 证股份有限公司、电子技术标准化研究院
本标准主要起草人:张严、张立武、高志刚、王鹏翩、冯登国,荆继武、吴槟、李强、林雪焰、陈星、高能、 阎实
GB/36960一2018 信息安全技术鉴别与授权 访问控制中间件框架与接口 范围 本标准确立了鉴别与授权系统中访问控制中间件的框架结构与内部组件关系,规定了访问控制中 间件中各组件的功能、操作流程及接口要求
本标准适用于访问控制中间件及其内部组件的设计与实现,并可指导对该类中间件系统的检测及 相关应用的开发,对该类中间件产品的采购亦可参照使用
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
eBT1300息技术酒用多八位编码字符集(ccs GB/T187932002信息技术可扩展置标语言(XMl)1.0 GB/T18794.3一2003信息技术开放系统互连开放系统安全框架第3部分;访问控制框架 GB/T25069一2010信息安全技术术语 GB/T31501一2015信息安全技术鉴别与授权授权应用程序判定接口规范 术语和定义 GB/T250692010,(GB/T18794.32003界定的以及下列术语和定义适用于本文件
3. 访问控制中间件 accesscontroiddleware 通过对适用的访问控制信息进行评估以决定发起者是否可以对访问目标进行特定类型访问的一系 列组件及组件间接口的集合
3.2 动作aetionm 访问控制行为发起者执行的某种操作
注:例如读取、修改、删除等
3.3 属性attribute 主体、资源、动作和环境的某个特征,该特征可以在策略中被引用 3.4 决策deeision" 依据访问控制策略做出的判定结果 注例如允许或拒绝用户访问特定资源
GB/T36960一2018 3.5 环境 environment -组与决策相关的属性集合,独立于特定的主体、资源或者动作 3.6 发起者initiator 访问控制过程中执行操作、试图访问目标的实体
注,例如访问系统或服务的用户或是执行操作的应用
3.7 资源 reS0urce 数据、服务或者系统组件
3.8 主体subjeet 访问控制策略中访问控制行为发起者的标识 注:例如发起者的用户名,或是执行操作的应用标识
3.9 访问目标target 访问控制过程中发起者访问的对象
例如资源或服务 去 3.10 用户 uSer 使用系统和系统资源的自然人
缩略语 下列缩略语适用于本文件: F-AQ:属性查询接口(InterfaceAttributeQuery F-AQ-SupportAT;属性查询支持类型接口(In AttributeType) hnterfhaee-AtributeQuerySuppot Schemma F-AQ-SupportSch nema;属性查询支持格式接口(In nterlface-AttributeQuery- ysSupport F-AQ-ReturnSchema: y-ReturnSehema ;属性查询返回格式接口(Interface-AttributeQu Query IF-AQ-GetAttribute:属性查询获取属性接口(Interface-AttributeQueryGetAttribute) F-CDAQ;跨域属性查询接口Inte terflaceCrossDomainAtributeQuery) F-CDAQ-SupportAT;跨域属性查询支持类型接口Interface-Cros、DomainAttributeQuery SupportAtributeTy ype nterface-CrossDomainAttributeQuery F-CDAQSuportSchema;跨域属性查询支持格式接口(In SupportSchema) nterface-CrossDomainAttributeQuery IF-CDAQ-GetAttribute;跨域属性获取属性查询接口(Inm GetAttribute IF-DM决策管理接口(Interface-DecisionMan anagement F-DM-Iogin:决策管理登录接口(Interface-DecisionManagementl.ogin) F-DM-L.ogout:决策管理登出接口Interlace-DecisionMan anagement-logout F-DMConfig;决策管理配置接口(Interlface-DeecisionManagementConfiguration) -Start) F-DMStart:决策启动接口(Interface-DecisionMan aanagement F-DMStop;决策停止接口(Interface-DeeisionMa tSstop anagement
GB/36960一2018 IF-PD;策略决策接口(Interface-PolieyDecision) F-PQ;策略查询接口(Inm ePolieyQuery) nterface r!PalieyType) F-PQ-SupportPT;策略查询支持类型接口(Inter erlace-PolicyQuerySupport PolieyType) IF-PQ-ReturnPT;策略查询返回类型接口(Int nterface-PolieyQuery-Returm Interface-PolicyQuery-SearchSchemma IF-PQ-SearchSehema;策略查询查找模式接口(I IF-PQ-ReturnSchema;策略查询返回模式接口(lnterface-T ePoliey -ReturnSchema Query IF-PQ-PolicyCombine:策略查询合并模式接口lnterface cPoliey Q Query-PolicyCombine Interface-PolicyQuery-GetPolicy IF-PQ-GetPoliey:策略查询获取策略接口 tweightDirectoryAccessProtocol LDAP:轻量级目录访问协议(Light noteProcedureCall RPC:远程过程调用(Rem sAML;安全断言置标语言(SecurityAsertionMarkupLanguage) SOAP:简单对象访问协议(SimpleObjectAccessProtocol SSL;安全套接层(SecureSocketsIayer nsportLayerSecurity TLS:传输层安全(Tran XAcML;可扩展访问控制标记语言(extensibleAccessControlMarkup language XML;可扩展置标语言(eXtensibleMarkupLanguage 访问控制中间件体系框架 5.1概述 访问控制过程包含三个参与方;发起者、访问控制中间件和访问目标
发起者是试图访问访问目标 的实体(用户或执行操作的应用);访问控制中间件是通过对适用的访问控制信息进行评估以决定发起 者是否可以对目标进行特定类型访问的一系列组件及组件间接口的集合;访问目标是被试图访问的 实体 访问控制中间件体系框架如图1所示
该体系框架对于不同的设备、拓扑结构与应用配置的访问 控制需求进行了综合考虑,并且对此类需求是通用的
访问控制中间件包括了访问控制实施组件,访问 控制决策组件、访问控制策略应答组件和访问控制属性应答组件
其中访问控制实施组件通常位于访 问目标所在的应用系统中,其余组件位于服务端
组件的功能见5.2,组件的接口定义见5,3
附录A 给出了访问控制中间件的典型应用场景
GB/T36960一2018 发起者 访问控制实施组件 访问目标 F-PD 访间控制决策组件 F-AQ IF-PO FcDAQ 访间控制策略 访间控制属性 外域访问控制 应答组件 应答组件 属性应答组件 策 略 性 检 检 索 索 器 器 决策引擎 策略发布点 属性发布点 F-DM 属性管理工具 策略管理工具 决策管理工具 访问控制中间件 访问控制中间件体系框架 图1 5.2组件定义 5.2.1访问控制实施组件 5.2.1.1概述 访问控制实施组件处于发起者与目标之间,接管处理发起者的访问请求,协助收集访问决策的辅助 性信息,传递决策请求至访问控制决策组件并根据返回的判定结果决定访问是否可以执行
访问控制实施组件是直接面向访问请求的应答模块将发起者请求和具体的授权决策过程等复杂 的业务逻辑进行剥离,是决定访问控制中间件和具体业务应用系统能否实现插拔组装的基础性模块
访间控制实施组件应实现5.2.1.25.2.1.5中规定的功能
5.2.1.2接收访问请求 访问控制实施组件应能够接收来自发起者的访问请求
访问控制实施组件应根据固定交互模式对 来自不同代理方式(例如;“浏览器/服务器”结构、“客户端/服务器”结构等)用户代理的请求进行一致化 处理,访问请求的格式宜依据GB/T30281一2013
访问请求信息的传递不限制具体的传输协议,满足访问控制实施组件要求的传输协议都可以负责 处理信息传递
5.2.1.3收集访问决策相关辅助性信息 访问控制实能组件应能够收集其他对访问决策提供帮助的辅助性信息
例如用户的属性信息.组 件本身可以感知的若干系统信息等
应允许管理者通过配置的方式指定优先附加的辅助信息
辅助信 息的添加并不一定限制在访问控制实施组件中,其他组件根据需要也可以具备该功能
根据GB/T18794.3一2003中的说明,辅助信息的获取方式可分为“推”模式和“拉”模式,采用哪种
GB/36960一2018 模式取决于系统的决策逻辑和某些强制性选择,本标准在可以舔加辅助信息的模块进行显式说明,采用 何种方案最终由用户选择
5.2.1.4请求格式转换 访问控制实施组件应能够对请求格式进行标准形式的转换
宜采用基于属性的描述机制对访问请 求进行统一描述 5.2.1.5传递决策请求及接收决策结果 访问控制实施组件应能够传递决策请求至访问控制决策组件并接收决策结果
访问请求的决策结果可能表示为某种抽象形式,访问实施组件应根据组件所在的应用场景和技术 背景将其转换为具体的应用程序执行逻辑,保证高层抽象安全约束和底层程序逻辑的一致性
5.2.2访问控制决策组件 5.2.2.1 概述 访问控制决策组件负责从访问控制实施组件接受决策请求,通过查找适用策略和相对应的访问控 制属性,依据访问判定逻辑产生一个决策结果,并将该决策结果返回给访问控制实施组件
访问控制决策组件应实现5.2.2.2一5.2.2.6中规定的功能
5.2.2.2接收决策请求 访问控制决策组件应能够接收来自访问控制实施组件的决策请求,并对请求内的信息进行解析 分类
5.2.2.3执行访问决策逻辑 访问控制决策组件应实现访问决策逻辑执行功能
决策逻辑应考虑到已有的多种访问控制模型和 访问控制机制,尽可能提高其兼容性
访问控制模型和访问控制机制的类型可参见GB/T18794.32003
访问控制决策组件应从宏观角度制定最基本的资源安全策略,以提供最低限度的安全保障
访问 控制决策组件通过开放式策略和保守式策略实现这种可预知的和最低限度的安全保障
开放式策略的 决策逻辑为;如果没有提供显式策略明确禁止某访问行为,则认为允许该类访问进行;保守式策略的决 策逻辑为;如果没有提供显式策略明确允许某访问行为,则认为禁止该类访问进行
采用何种策略取决 于具体应用的资源对象敏感性和资源对象使用目的 访问控制决策组件应在多条策略同时给出明确决策结果,且决策结果存在冲突时指定冲突消解策 略,以处理可能产生的决策结果不致性,常用的消解策略包括;肯定判定优先,否定判定优先、首次判 定优先等
5.2.2.4对所需访问控制策略进行检索收集 访问控制决策组件内部应具有策略检索收集的功能
例如.组件在运行决策逻辑前,将所有策略 次性导人临时存储区,之后所有的匹配操作都针对存储区内的策略进行
当策略数目较大时,应提供针 对性更强的策略检索功能,即根据某些属性特征或者策略标识从策略库中获取规模较小的策略子集,减 少实际匹配的策略数量,提高匹配效率
例如;以某个属性类型或者具体的属性值为关键字,或者以某 种特定的策略类型为关键字对策略库进行检索
5.2.2.5对所需属性信息进行检索收集 访问控制决策组件应具有相关属性信息的检索功能
属性检索过程应考虑能够兼容处理不同的属
GB/T36960一2018 性格式,例如X.509格式的属性证书、SAML格式的安全断言以及LDAP目录中的属性条目等
5.2.2.6决策历史记录的相关查询 考虑到和其他安全组件的集成性,例如为安全审计提供历史访问的相关数据等
访问控制决策组 件在完成请求决策的同时,应对整个过程涉及的信息进行分类记录
以上信息应保证存储的安全性和 与历史记录的一致性,并且可根据特殊的审计需要增加相应的记录信息类型,本标准不对数据存储的形 式和方案进行规定
5.2.3访问控制策略应答组件 5.2.3.1 概述 访问控制策略应答组件负责响应访问控制决策组件的策略检索请求,对不同形式的策略表达进行 -致性转化,完成对适用策略的检索并以安全的方式传输至访问控制决策组件
访问控制策略应答组件的详细功能描述及细节如下 访问控制策略应答组件负责响应访问控制决策组件的策略检索请求,负责整个中间件访问控制策 略的底层处理
访问控制策略应答组件应实现5.2.3.25.2.3.5中规定的功能
5.2.3.2统一策略描述方式 访问控制策略应答组件应对不同形式的策略表达进行一致性转化,使决策逻辑所依赖的策略集具 有统一的格式和语义
策略转化过程可能需要界定不同策略特征间的转换规则,但应保证策略转化不 影响最终的安全目标
5.2.3.3策略检索 访问控制策略应答组件应能够处理来自决策组件带有多种查询参数的策略检索请求,并获取满足 要求的策略集合 5.2.3.4策略传输 访问控制策略应答组件应与访问控制决策组件就策略传输的方式和格式进行统一制定,应答组件 完成策略检索后,将响应策略集合以安全可靠的传输协议传输至决策组件
例如;通过网络层的socket 通信协议直接对策略条目进行编码传输,或针对XML类型的策略格式采用类似sOAP协议的XML RPC方式进行传输
5.2.3.5策略管理 访问控制策略应答组件应通过策略管理服务(工具或模块)提供对策略的一般性管理功能,例如策 略的添加,修改、删除,更新等,以方便中间件对系统安全策略的控制和掌握 策略管理服务宜提供策略优先级机制,制定策略冲突消解规则,便于访问控制决策组件执行具体的 决策逻辑
策略管理服务宜提供策略一致性检测功能,在策略实体和高层安全目标间进行 -致性验证和测试
保证策略实体符合系统的安全管理初衷
5.2.4访问控制属性应答组件 5.2.4.1 概述 访问控制属性应答组件负责对访问判定过程中需要的各种类型属性信息进行收集,生成并发布属
GB/36960一2018 性断言,并将属性信息集合以安全的方式传输至访问控制决策组件
访问控制策略应答组件的详细功能描述及细节如下 该组件主要负责访问决策可能触发的属性信息收集,辅助访问控制决策组件完成最终的请求决策
访问控制策略应答组件应实现5.2.4.25.2.4.6中规定的功能
5.2.4.2用户属性信息收集 当决策请求中包含的用户属性信息不足以使决策逻辑给出决策结果时,决策组件需要向访问控制 属性应答组件发送属性查询请求
访问控制属性应答组件应能根据用户标识对属性信息进行集成检 索,形成统一的属性表达语义 在对检索后获取的用户属性进行确认前,访问控制属性应答组件应对这些属性信息的有效性进行 验证
验证过程可能是针对属性实体的数字签名验证,也可能涉及对属性颁发实体的数字身份验证,验 证能否通过取决于对验证信息的可信性
针对来自外域的用户属性信息,访问控制属性应答组件应实现域间属性转译,根据外域用户属性检 索适用的属性映射规则,推导出外域属性对应的本域属性信息,以决策组件可理解的域内属性信息格式 进行发布
5.2.4.3其他类型属性信息收集 应答组件宜实现对来自信息系统自身状态、上下文环境、网络状况等一些可以描述访问进行时的外 界信息感应点的属性进行接收和主动查询
在获取这些属性后,属性应答组件应将这些属性信息转换 为决策组件可理解的语义及格式并以属性断言的格式进行转发
5.2.4.4属性断言发布 访问控制属性应答组件在获取到查询的属性信息后,应以决策组件可验证的属性断言方式发布属 性信息
属性断言应包含属性的主体标识、属性类型或名称、具体的属性值、应答组件及对属性信息摘 要的签名等
属性断言格式的定义宜采用GB/T292422012的规定
5.2.4.5属性信息传递 访问控制属性应答组件应与决策组件就属性传输的方式和格式进行统一制定,应答组件完成属性 检索后,将属性信息集合以安全可靠的传输协议传输至决策组件
5.2.4.6属性管理 访问控制属性应答组件应通过属性管理服务(工具或模块)提供对属性信息的一般性管理功能,例 如属性的颁发、撤销、更新等,以方便中间件对属性信息的控制和掌握
为了支持跨域访问控制等多域应用场景,属性管理服务应提供域间属性映射功能,制定属性映射规 则,可发布映射断言供外域的属性发布组件进行查询
属性管理服务应提供属性一致性检测功能,限制用户同时拥有违反安全约束的多个属性
5.3组件间接口 如图2所示,访问控制中间件组件间接口包括位于访问控制实施组件和访问控制决策组件之间的 策略决策接口(IF-PD),位于访问控制决策组件和决策管理工具之间的决策管理接口(IF-DM)、位于访 问控制决策组件和访问控制策略应答组件之间的策略查询接口(IF-PQ)、位于访问控制决策组件和访 问控制属性应答组件之间的属性查询接口(IF-AQ)和位于不同域的访问控制属性应答组件之间的跨域
GB/T36960一2018 属性查询接口(IF-CDAQ)
组件间接口的功能与定义细节见6.3至6.7 5.4接口间工作过程 通过上述定义的各不同接口,访问控制中间件体系结构中的各组件进行消息交换
这些接口间基 本的消息流如图2所示
访间控制实施组件 发起者 访问目标 F-PD 访问控制决策组件 F-AQ F-CDAo IF-P 外域访问控制 访问控制属性 访同控制策略 应答组件 应答组件 风性应答组件 策 属 略 性 检 检 索 索 器 器 决策引擎 属性发布点 策略发布点 F-DM 决策管理工具 策略管理工具 属性管理工具 图2访问控制中间件体系框架工作流程 图2中描述的访问控制中间件基本工作流程包括 在发起者开始访问目标之前,访问控制中间件需要通过管理工具进行初始化与配置管理,包括 a 以下三种操作;通过策略管理工具对访问控制中间件的策略进行管理操作;通过属性管理工具 进行属性颁发与撤销等管理操作;通过决策管理工具进行决策引擎的管理与配置
(图2步骤7) 当发起者试图对目标进行访问时,访问控制实施组件接管发起者的访问请求
图2步骤1 b 访问控制实施组件拦截访问请求后,向访问控制决策组件发送决策请求
图2步骤2) c 访问控制决策组件以决策请求为参数调用策略检索器从访问控制策略应答组件检索适用策 d 略,并对检索的适用策略进行评估
图2步骤3 如果访问控制决策组件在评估过程中发现缺乏相应的属性,则通过属性检索器向本安全域的 H属性查询请求;访问控制属性应答组件查询并验证属性发布点上 访问控制属性应容组件发H 存储的属性 ,生属答版回车 访问控制决策组件
图2步骤4) 如果所查询的属性是其他安全域中的属性,则由本安全域的访问控制属性应答组件向外域的 访问控制属性应答组件进行查询,以获得外域中的访问控制属性,并通过属性映射关系确定属 性的可信性,生成属性应答消息
图2步骤4a) 访问控制决策组件依据访问控制策略与访问控制属性完成决策评估,向访问控制实施组件发 送最终决策结果
图2步骤5) h 访问控制实施组件根据返回的决策结果拒绝或允许发起者对目标的访问
图2步骤6
GB/36960一2018 访问控制中间件接口 6.1概述 本章主要对访问控制中间件的接口进行说明和定义,对接口的输人参数、输出参数的类型以及逻辑 功能进行规范,但不强制定义接口的具体实现方案和形式
本标准以XML格式对输人参数与输出参数应遵循的数据类型进行定义,XML的具体格式由 GB/T18793一2002规定
本章所规定的接口的输人参数与输出参数的字符编码应符合GB/T13000所规定的编码格式 XMI.格式的消息示例参见附录B
接口的实现应支持本章所定义的接口,以及接口所定义的输人参数与输出参数,但可根据应用环境 进行扩展
本章所规定的接口的调用需要建立在安全信道的基础上,此安全信道应保证通信数据的机密性和 完整性,在实现数据机密性和完整性保护机制时,应遵循密码相关国家标准和行业标准
安全信道宜依 据ssL/TIS建立
6.2常量定义 访问控制中间件各接口返回的消息码定义见表1
表1消息码定义 值 返回消息码 语义 调用接口完成预定功能 IF_REsULT_SU(CCESS F_REsUL.T_FAn 调用接口未完成预定功能 F_REsU儿下_L.L.BG;AL_AcrON 非法调用接口 IFRSU儿TINVALIDPARAM 参数错误 IFRESUULTOTINIT 未初始化 FRESULTSELFTEST_ERROR 自检错误 6.3策略决策接口(IF-PD IF-PD是访问控制实施组件和访问控制决策组件之间的接口
IF-PD接口主要用于传递决策请求 消息至访问控制决策组件,并将访问控制决策组件产生的判定结果以决策应答消息的方式传递给访问 控制实施组件
此接口的具体实现可见GB/T31501一2015中的相关定义
6.4决策管理接口(IF-DM 6.4.1概述 IF-DM是管理访问控制决策组件的接口
IF-DM接口主要用于向访问控制决策组件传递消息,控 制组件功能的启动与停止,配置组件并控制组件的执行流程与执行环境
GB/T36960一2018 6.4.2决策管理登录接口(IF-DM-Login) 6.4.2.1功能 决策管理的实施需要对决策管理员的身份进行认证,并在认证通过后建立会话
决策管理员的所 有操作需要基于建立的会话完成
在调用决策管理其他的接口之前,决策管理登录接口应首先被调用
6.4.2.2输入参数 IF=-DM-Lo .ogin接口输人参数描述如下 输人参数定义 a (?xmlversion="1.0"encoding="utf-8"? xs;schemaxmlns: s:xs="http://www.w3.org/2001/XMLSchema"》 login" XS:elementname complexType n elementname="userld”type="xs;string") "credential" type="xs:base64Binary") ementname xS;Sequence xs;complexType xs:element》 /xs:schema》 b 输人参数说明 1) 决策管理员的身份标识 调用决策管理登录接口应提供调用者的认证信息
认证信息由决策管理组件支持的认证 22 方式决定
例如,若采用证书认证方式,认证信息应包含决策管理员身份证书
6.4.2.3输出参数 F-DM-L.ogin接口输出参数描述如下 输出参数定义: a .0”encoding="utf-8"? "\ ?xmlversion= "http://www.w3.org/2001/XML.Schema")y xs:schemaxmlns:xs e" xS;elementname messag6 XS:complexIType "messageCode”type="xs:string"八 name 'sessionld" "xs:string"minOccurs="0"”maxOccurs="1"八 lementname5 type= xS:Seguence xs;complexTypey /xs:element /xs:schema》 b 输出参数说明 1 调用决策管理登录接口应能够得到一个预定义的消息码,消息码的定义见表2; 10
GB/36960一2018 若决策管理员身份通过认证,还需返回所建立的会话的标识
表2IF-DM-Login接口可以返回的消息码 返回消息码 条件 IFRESUULT_SUCCESS 认证决策管理员身份成功 F_RESULT_FAL 认证决策管理员身份失败 6.4.3决策管理登出接口(Ir-DM-Logout) 6.4.3.1 功能 决策管理完成后,需要关闭为完成此次决策管理而创建的会话
此接口提供注销所建立的会话的 功能
决策管理员完成所有操作后应调用此接口 6.4.3.2输入参数 IF-DM-Logout接口输人参数描述如下 输人参数定义 a ?xmlversion="1.0”encodin ="utf-8"? ng //www.w3. .org/2001/XMLSchema"" xs:schemaxmlnsxs= "hutp:" Xs:eementname "logout" complexType XS:Seguence 'sessionld" type="xsstring"八 XS;elementname Xs:Seguence xs;complexType /xs:element 《/xs:schema》 b输人参数说明: 所注销的本次会话的标识
6.4.3.3输出参数 IF-DM-Logout接口输出参数描述如下: 输出参数定义 aa xmlversion="1.0"encoding="utf8"?) ? xs;schemaxmlns;xs="http://www.w3.org/2001/XMLSchema" tmessage" xS;elementname xs:complexType XS sequence xs:elementname="messageCode"type="xs:string" XS;Seguence /xs;complexType) 7/Xs;element 11
GB/T36960一2018 /xs;schema b 输出参数说明 调用决策管理登出接口应能够得到一个预定义的消息码,消息码的定义见表3
表3IP-DM-Logout接口可以返回的消息码 返回消息码 条件 F_REsULT_sUcCEss 注销会话成功 F_RESU1T_FAl 注销会话失败 6.4.4决策管理配置接口(IF-DM-Config 6.4.4.1 功能 访问控制策略决策组件应是可配置的
决策管理员应能够通过配置访问控制策略决策组件,灵活 控制访问控制策略决策组件的执行流程及执行环境
决策管理配置接口可以但不是必须提供对配置的 检测功能
调用决策配置管理接口后,访问控制策略决策组件可以即时对配置响应,也可通过重新启动 对配置进行响应 6.4.4.2输入参数 F-DM-Config接口输人参数描述如下: 输人参数定义: a (?xmlversion="1.0"encoding="utf8"? xs:schemaxmlns:xs="http://www.w3.org/2001/XMISchema"》 xs;elementname="config" XS:complex xType sequence name="plieyStoragePoint”type="xs;anyURI") I "attributelssuePoint”type一"xs:anyURI"八 name combiningAlg”type="xs:string" rotPolicy”minOccurs="1"mnaxOccurs="unbounded" name 'suppro Iype "supportPolieyype”type="xs:string" name "policySchema"type="xs;base64Binary" ementname Seguence xs;complexTy ype xselement》 xs;elementname="sessionld"type="xs;string") xs;sequence xs;complexType 《/xS;element /xs;schema 12
GB/36960一2018 b)输人参数说明: 调用决策管理配置接口应提供但不局限于以下配置信息 策略存储点;访问控制策略决策组件策略查找点
1) 2 属性发布点;访问控制策略决策组件属性查找点
合并方法;访问控制策略决策组件对多个策略评估时的组合逻辑
例如,采用拒绝优先 3 只要有一个策略的评估结果为拒绝,则最终的决策结果也为拒绝
访问控制策略决策组 件只有在对多个策略评估时使用合并方法
支持的策略:访问控制策略决策组件支持的策略类型以及相应的策略类型模式
访问控 制策略决策组件可以根据策略模式,在对查询的策略解析之前,首先判断其是否为自己支 持的策略类型
例如,访问控制策略决策组件可以但不限于支持XACML格式策略的 解析
5 本次调用的会话标识
6.4.4.3输出参数 F-DM-Config接口输出参数描述如下: 输出参数定义: ??xmlversion="1.0" "utf8"? encoding-" XsschemaXmlnsxs "http://www.w3.org/20o1/XMI.Sdhema"
xs:elementname= "message" xs:complexType xs:sequence 'messageCode”type="xs;string"八 XS;elementname XS;seguence, complexType XS; XS:element /Xsschema b 输出参数说明: 调用决策管理配置接口应能够得到一个预定义的消息码,消息码的定义见表4
表4IP-D-Config接口可以返回的消息码 返回消息码 条件 IF_RESULT_SUCCESS 配置访问控制策略决策组件成功 r_REsULT_FAn 配置访问控制策略决策组件失败 F_RESUT_NVALIDPARAM 配置参数不符合规定的格式 6.4.5决策启动接口(IP-DM-Start) 6.4.5.1 功能 启动访问控制策略决策组件提供的服务
访问控制策略决策组件启动时应首先检查配置信息是 否完备
决策管理启动接口可以但不是必须提供访问控制策略决策组件检测功能,以确定系统的状态
调用该接口前应先调用决策管理配置接口
13
GB/T36960一2018 6.4.5.2输入参数 IF-DM-Start接口输人参数描述如下 输人参数定义 a -"1.0" encoding="utf-8"? ?xmlversion= xs;schemaxmlns;xs="http;//www.w3.org/2001/XML.Sehema")y 'start" xs:elementname X complexType sequence "o" ;elementname="selfTest"type="xs;string”nminOceurs=! nmaxOccurs="unbounded" X elementname="sessionld”type="xs;string") xs:sequence xs:complexType xs:element》 /xs:schema 输人参数说明 b 调用决策管理启动接口可以但不是必须指定访问控制策略决策组件自检项
2 本次调用的会话标识
6.4.5.3输出参数 IF-DM-Start接口输出参数描述如下 输出参数定义 a xmlversion="1.0”encoding="utf-8"? xs:schemaxmlns;xs="http;//www,w3.org/2001/XMLSchema"》 'message" elementname= complexType' 'messageCode"type="xs;string"八 name5 S;seguence xs:complexType xS;element 《/xS;schema b 输出参数说明 调用决策管理启动接口应能够得到一个预定义的消息码,消息码的定义见表5
表5IF-DM-Start接口可以返回的消息码 返回消息码 条件 IF_RESUIT_SUCCESS 访问控制策略决策组件启动成功 访问控制策略决策组件启动失败 IF_RESUIT_FAl F_RESULr_NoT_Nn 访问控制策略决策组件未配置 F_REsU1r_sELFTESr_ERRo 访问控制策略决策组件启动自检失败 14
GB/36960一2018 6.4.6决策停止接口(IF-DM-Stop 6.4.6.1 功能 停止访问控制策略决策组件提供的服务
访问控制策略决策组件停止时,可以采用如下两种模式 可停止正在提供的服务,同时拒绝新的服务请求;继续完成正在提供的服务,但是拒绝新的服务请求
访问控制策略决策组件停止模式由组件开发者自行选择,或同时支持但由调用者选择
6.4.6.2输入参数 IF-DM-Stop接口输人参数描述如下 输人参数定义: a ?xmlversion="1.0”encoding="utf-8"? xs;schemaxmlns;xs="http://www.w3.org/2001/XML.Sechema") xs:elementname="stop" Xs;complexIype ementname="stopPattern”type="xs:string"/ xs:elementname="sessionld" "八) type=xs;string xs:sequence xs;complexType /xs:element》 7/xs:schema》 b 输人参数说明 调用决策管理停止接口应提供采用的停止模式的标识
停止模式的标识由访问控制策略 决策组件自行规定
本次调用的会话标识 6.4.6.3输出参数 F-DMstop接口输出参数描述如下 输出参数定义 a ?xmlvers eneodng ="utf-8"?》 rsion="l.0" xs;schemaxmlns;xs="http;//www.w3.org/2001/XMILSchema" e"y xSelementname 'message" complexType XS; X- :sequence 'messageCode" type="xs:string" XS;elementname xs:sequence xs;omplexTypey xs:element》 /xs;schema》 15
GB/T36960一2018 b 输出参数说明 调用决策管理停止接口应能够得到一个预定义的消息码,消息码的定义见表6
表6IF-DM-Stop接口可以返回的消息码 返回消息码 条件 IF_RESULT_SUCCESS 访问控制策略决策组件停止成功 F_REsU1TFAL 访问控制策略决策组件停止失败 IF_RESLTNVALID_PARAM 停止模式的标识不被识别 6.5策略查询接口(IF-PQ 6.5.1概述 IF-PQ是访问控制决策组件和访问控制策略应答组件之间的接口
IF-PQ接口主要用于策略的检 索以及访问控制策略应答组件的配置
IF-PQ按照指定的检索模式将获取到的策略转换成指定类型的 策略,然后返回给访问控制决策组件
6.5.2策略查询支持类型接口IF-PQ-SupportPr) 6.5.2.1 功能 访问控制策略应答组件应返回支持的策略类型
例如,只支持XACML策略 6.5.2.2输出参数 F-PQ-SupportPT接口输出参数描述如下: 输出参数定义 a ?xmlversion="1.0" encoding= ="utf-8"? xs;schemaxmlns;xs="http;//www.w3.org/2001/XMISchema")y ortPT" xS;elementname "Suppor :complexType》 XS;Seguence, "0" xs;elementname="polieyTypeld”type="xs;ID”minOecurs= max(Occurs="un nded" bOu xs;elemmentname="messageCode”type="xs;string"八 XS:seguence xXs;complexIype /xs;element》 /xs:schema 输出参数说明 b 调用策略查询支持类型接口应可以获得访问控制策略应答组件支持的策略类型信息
1 返 回值的数据结构,以及策略类型的标识由访问控制策略应答组件自行规定
调用策略查询支持类型接口应能够得到一个预定义的消息码,消息码定义见表7
16
GB/36960一2018 表7IF-PQ-SupportPT接口可以返回的消息码 返回消息码 条件 IFRESUULTSUCCESS 查询支持策略类型成功 FRESULT_FAIL 查询支持策略类型失败 6.5.3策略查询返回类型接口(IF-PQ-ReturmPT) 6.5.3.1功能 访问控制决策组件可能只支持某种类型的组件
访问控制策略应答组件应能够指定返回的策略的 类型
调用该接口前应先调用策略查询支持类型接口
6.5.3.2输入参数 IF-PQ-ReturnPT接口输人参数描述如下: 输人参数定义 a ?xnmlversion="1.0" encoding="utf8"?) xs;schemaxmlns;xs="http://www.w3.org/2001/XMLSchema"》 "八 xS:elementname一 "setRetPolieyType”type="xs;string" /xs:schemma》 b)输人参数说明: 调用策略查询返回类型接口应提供指定的返回的策略的类型
策略类型的标识由访问控制策 略应答组件自行规定 6.5.3.3输出参数 IF-PQ-ReturnPT接口输出参数描述如下 输出参数定义: a ? xmlversion="1.0"encoding="tf8"? 《XsschemaXmlnsXs "http://www.w3.org/2001/XMISschema" xs:elementname "message" xs;complexType xs;sequence geCode" type="xs:string") Xs:elementname=“message xs:sequence xs:complexType》 xs:element》 《/xs:schema 输出参数说明: b 调用策略查询返回类型接口应能够得到一个预定义的消息码,消息码的定义见表8
17
GB/T36960一2018 表8IF-PQ-Returnr接口可以返回的消息码 返回消息码 条件 F_REsULr_sUcCEss 设置返回的策略的类型成功 F_REsU1T_FAII 设置返回的策略的类型失败 IF_RESUU1TINVALIDPARAM 设定的策略类型不被支持 6.5.4策略查询查找模式接口IF-PQ-SearehSehemma 6.5.4.1 功能 访问控制策略应答组件应能够指定策略查找的模式,即只查询第一条适用的策略,或查询所有适用 的策略
6.5.4.2输入参数 F-PQ-SearehSchema接口输人参数描述如下 输人参数定义 a (?xmlversion="1.0"encoding="utf-8"? 《xS;schemaxmlnsxs= "http://www.w3.org/'2001/XMI.scdhema") xs:elementname="setSearchPattern”type="xs:string" /xs;schema b)输人参数说明 调用策略查询查找模式接口应提供指定的查找模式标识
策略查找模式标识由访问控制策略 应答组件自行规定
6.5.4.3输出参数 IF-PQ-SearchSchema接口输出参数描述如下 输出参数定义 a ?xmlvers ion="1.0”enco ="utf-8"? mdine" 〈xs;schemaxmlns;xs="http://www.w3.org/2001/XM.Schemma") Xs:elementname= message" xs:complexType' uence Sl ageCode" ype="xs;string" ementname meSSa XS sequence mplexype) XS:cOm Xs:element》 《/xs;schema》 输出参数说明 b 调用策略查询查找模式接口应能够得到一个预定义的消息码,消息码的定义见表9
18
GB/T36960一2018 表9IP-Q-SearehSehema接口可以返回的消息码 返回消息码 条件 F_REsULT_sUcCEss 设置策略查找模式成功 F_RESULTFAL 设置策略查找模式失败 IFRESULT_INVALIDPARAM 设定的策略查找模式标识不被识别 6.5.5策略查询返回模式接口(IF-PO-ReturnSchema) 6.5.5.1功能 访间控制策略应答组件应能够指定策略查询结果返回的模式,即若查询到多个适用策略时,或将这 些策略直接返回,或将这些策略合并为一个策略返回
6.5.5.2输入参数 IF-PQ-RetuenSchema接口输人参数描述如下: 输人参数定义: a (?xmlversion="1.0”encoding="utf8"? /www.w3.org/2001/XMSehema"y 《xs;schemaXmlnsxS "hutp:" xs:elementname="setReturnPattern”type="xs:string"八 /xss;schema》 b输人参数说明 调用策略查询返回模式接口应提供指定的返回模式标识
返回模式标识由访问控制策略应答 组件自行规定
6.5.5.3输出参数 IF-PQReturnSchema接口输出参数描述如下 输出参数定义 a xmlversion="1.0"encoding="utf8"? ? 〈xs;schemaxmlns;xs="http;//www.w3.org/2001/XMI.Schenma")y e" xs:elementname= message" xs:complexType Xssequence ssageCode" 'xs;string") XS:elementname= meS tVpe xs:sequence :complexType) XS; xs;element /xS;schema 输出参数说明: b 调用策略查询返回模式接口应能够得到一个预定义的消息码,消息码的定义见表10. 19
GB/T36960一2018 表10IF-PQ-ReturnSsche hema接口可以返回的消息码 返回消息码 条件 F_REsULr_sUcCEss 设置策略查询返回模式成功 F_REsU1T_FAII 设置策略查询返回模式失败 IF_RESUU1TINVALIDPARAM 设定的策略查询返回模式标识不被识别 6.5.6策略查询策略合并模式接口(IP-PO-PolieyCombine) 6.5.6.1 功能 访问控制策略应答组件应指定策略合并的模式
即若访问控制策略应答组件的策略查询返回模式 设定为将查询到的多个策略合并为一个策略返回时,应按照通过调用该接口指定的策略合并模式对查 询到的策略进行合并
6.5.6.2输入参数 IF-PQ-PolicyCombine接口输人参数描述如下 输人参数定义 a ?xmlversion="1.0"enco coding="utf8"? 〈xs;schemaxmlns;xs="http://www.w3.org/2001/XM.Schemma") g"八 xs:elementname "setCombiningAlg”type-"xs;string' /xs:schema》 输人参数说明 b 调用策略查询策略合并模式接口应提供指定的策略合并模式
策略合并模式由访问控制策略 应答组件自行规定
6.5.6.3输出参数 IF-PQ-PolicyCombine接口输出参数描述如下 输出参数定义 a (?xmlversion="1.0"encoding="utf8"?y xs:schemaXmlnsXs= "http://www.w3.org/2001/XMLSehema" xs:elementname= 'rmessage"》 xs;complexIype XS:seguence xs:elementname="messageCode”type="xs;string" XS;Seguence xs:complexType) xS;element /xs:schema b 输出参数说明 20
GB/36960一2018 调用策略查询策略合并模式接口应能够得到一个预定义的消息码,消息码的定义见表11
表11IF-PQ-PolieyCombine接口可以返回的消息码 条件 返回消息码 IFRESUULTSUCCESS 设置策略合并模式成功 IFRESULT_FAL 设置策略合并模式失败 设定的策略合并模式解析错误 F_RESUIT_NVALID_PARAM 6.5.7策略查询获取策略接口(IF-rQ-GetPoliey) 6.5.7.1 功能 访问控制策略应答组件应能够返回适用于某一次访问控制请求的策略
调用此接口前,应先设定 策略查询返回类型、策略查询查找模式、策略查询返回模式、策略查询策略合并模式
6.5.7.2输入参数 IF-PQ-GetPoliey接口输人参数描述如下 输人参数定义 a xmlversion="1.0" encoding= ="utf-8"? ? "http://www.w3.org/2001/XMI.Schema")y xs;schemaxmlns:xs= "getPolieyRequest"y Xs:elementname xs:complexType xs;sequence xs;elementname="subject"type="xs;string" D :elementname="resource”type="xs:string" "八 "xs:st "action”type= xS:elementname= strlng" xs:sequence romplexType) XS; xs;element》 /Xs;schema b 输人参数说明: 用策略查询获取策略接口应提供访问控制请求信息
6.5.7.3输出参数 F-PQ-GetPoliey接口输出参数描述如下 输出参数定义: a (?xnmlversion="1.0”encoding="utf8"?) xs:schemaxmlns;xs= "htp:" //www.w3.org/2001/XMIL.Schema") xs:elementnamme="getPolicyResponse" (xs;complexType 21
GB/T36960一2018 Xs;sequence xs;choice mmaxOccurs="unbounded" XS:elementname "poliey”type="xs;base se64Binary" xs:elementname="policySet”type="xs;base64Binary" / xS:;chOice》 xs:elementname="messageCode"type="xs;string") xS:Seguence xs:complexTypey XS:element /xs;schema b 输出参数说明: 调用策略查询获取策略接口应能得到适用于某一个访问控制请求的策略集,或某一个单 独的策略
调用策略查询获取策略接口应能够得到一个预定义的消息码,消息码的定义见表12 表12IF-PQ-GetPoliey接口可以返回的消息码 返回消息码 条件 FREsULr_sUcCEss 获取适用的策略成功 F_RESLTFAIn 获取适用的策略失败 IF_RSU1TNoT_INT 访问控制策略应答组件未配置 IFRESUU1T_INVALID_PARAM 访问控制请求信息解析错误 6.6属性查询接口(IFAQ) 6.6.1概述 IF-AQ是访问控制决策组件和访问控制属性应答组件之间的接口
IF-PQ接口主要用于属性的 检索以及访问控制属性应答组件的配置
IF-PQ获取主体的属性后,将查询到的属性转为指定格式,然 后返回给访问控制决策组件
6.6.2属性查询支持类型接口(IF-AQ-SupportAT) 6.6.2.1 功能 访问控制属性应答组件应提供支持的属性类型
访问控制属性应答组件对于本域可以支持多种类 型的属性,也可以仅支持一种类型的属性
例如,只支持“角色”属性
6.6.2.2 输出参数 IF-AQ-SupportAT接口输出参数描述如下 a 输出参数定义 (?xmlversion="1.0"encoding="utf-8"? xs;schemaxmlns;:xs= "http //www.w3.org/20o1/XMI.schema") 22
GB/36960一2018 "SupportAT"y Xs;elementname一 xs:complexType' xs;sequence xs:elenmrentname="attributeld”type="xs:D”rminOecurs="o”maxOecurs="unbounded" elementname="messageCode”type="xs;string") Xs:seguence xs:complexType XS:element xs:schema b 输出参数说明 调用属性查询支持类型接口应可以获得访问控制属性应答组件支持的属性类型信息
返 回值的数据结构,以及属性类型的标识由访问控制属性应答组件自行规定
调用属性查询支持类型接口应能够得到一个预定义的消息码,消息码的定义见表13
表13Ir-AQ-SupportAr接口可以返回的消息码 返回消息码 条件 FRs几TsucCEss 查询支持属性类型成功 F_RESLTFAIL 查询支持属性类型失败 6.6.3属性查询支持格式接口(IF-AQ-SupportSehema 6.6.3.1功能 访间控制属性应答组件应提供属性查询支持的返回格式
例如.或者以.sAM断言的形式返回属 性查询的结果,或者直接返回属性证书
6.6.3.2输出参数 IF-AQ-SupportSchema接口输出参数描述如下 输出参数定义: a xmlversion="1.0"encoding="utf8"?) ? 《xsschemaxnlns:xs="http://www.w3.org/2001/XMI.schema" "SupportSchema" XS:elementname5 xs;complexType Xs:seguence -"0" -"schemaName" xs:elementname= type="xs:string”min0ccurs= maxOccurs="un- bounded"/八 xs;elementname="messageCode”type="xs;string") xS;seguence xs:complexType》 《/XS;element 23
GB/T36960一2018 /xs;schema 输出参数说明 b 调用属性查询支持格式接口应可以获得访问控制属性应答组件支持的返回格式
返回格 式的标识由访问控制属性应答组件自行规定
调用属性查询支持格式接口应能够得到一个预定义的消息码,消息码的定义见表14
表14p-AQ-suppnr rtSchema接口可以返回的消息码 返回消息码 条件 IFRESULTScCESS 查询支持的返回格式成功 F_RSULTFAL 查询支持的返回格式失败 6.6.4属性查询返回格式接口(IF-AQ-ReturnSchemma 6.6.4.1 功能 访问控制属性应答组件应能够设定属性查询的返回格式
例如,可以设定直接返回属性证书
调 用该接口前应先调用属性查询支持格式接口
6.6.4.2输入参数 IF-AQ-ReturnSchema接口输人参数描述如下 输人参数定义 a (?xnmlversion=".0"encoding="utf8"? /www.w3.org/2001/XML.Schema")y xs:schemaxnlns:xs="htp:// xs;elementname="setReturnSchema"type="xs;string") /xs:schema b 输人参数说明 调用属性查询返回格式接口应提供指定的返回格式
属性查询返回格式的标识由访问控制属 性应答组件自行规定
6.6.4.3输出参数 IF-AQ-ReturnSchema接口输出参数描述如下 输出参数定义 a xmlversion="1.0" encoding="uf8") xs;schemaxmlns: "http://www.w3.org/2001/XMLSchema" XS= xs:elementname mesage" xs:complexType xs:sequence "八 xs;elementname= "messageCode”type="xs;st :timg" /xs:sequence 《 /xs:complexType) 24
GB/36960一2018 7xXs;element》 /xs;schema》 输出参数说明: b 调用属性查询返回格式接口应能够得到一个预定义的消息码,消息码的定义见表15 表15IF-AQ-ReturnsSchema接口可以返回的消息码 返回消息码 条件 设置属性查询返回格式成功 IF_RESULT_SUCCESS 设置属性查询返回格式失败 IF_RES1TFAl F_RESsULT_NVAL.nPARAM 设定的属性查询返回格式标识未识别 6.6.5属性查询获取属性接口(IF-AQ-GetAttribute) 6.6.5.1功能 访问控制属性应答组件应能够返回某一主体所具有的属性
调用此接口前,应先设定属性查询返 回格式
调用该接口前应先调用属性查询支持类型接口、属性查询返回格式接口
6.6.5.2输入参数 F-AQ-GetAttribute接口输人参数描述如下 输人参数定义 aa ?xmlversion="1.0"”encoding="utf8"?》 xs;schemaxmlns;xs="http://www.w3.org/2001/XMLSchema") 'getAttributeReguest" xs;elementname= xs:complexType xS;Seguence lementname="userld"type="xs;ID") elementname="attributeld" type="xs;ID”minOccurs="o"八 xs;elementname="Issuer”type="xs;QName”minOccurs="o" xs:sequence ;complexType XS6 xs:element》 《/xs;schema》 输人参数说明: b l)调用属性查询获取属性接口应提供所查询主体的唯一标识; 调用属性查询获取属性接口应提供所要查询的属性类型标识; 22 33 调用属性查询获取属性接口可以但不是必须提供所查询属性的颁发者
6.6.5.3输出参数 F-AQ-GetAttribute接口输出参数描述如下 25
GB/T36960一2018 输出参数定义 a ?xmlversion="1.0”encoding="utf8"?) xs:sehemaxmlns;xs="http://www.w3.org/2001/XMLSchema" xs;elementname="getAttributeResponse" xs:complexType X sequence elementname="atribte”maxOeurs="umbounded") complexType sequence lementname="attributeld”type="xs;ID") lenmentnanme="attributeValue"type="xs;string") xs:sequence complexType xs:element xs:elementname= ''messageCode"type="xs;string"/ xs:sequence xs:complexType xs:element》 /xs;schema》 输出参数说明 b 调用属性查询获取属性接口应获得某一主体拥有的属性信息
属性信息的格式酒过调用 属性查询返回格式指定
调用属性查询获取接口应能够得到一个预定义的消息码,消息码的定义见表16. 22 表16IF-AQ-GetAttribute接口可以返回的消息码 返回消息码 条件 F_REsU.T_sUcCEss 获取某一个主体的属性成功 F_REsU1.r_FAM. 获取某一个主体的属性失败 F_REsULT_NoT_NIT 访问控制属性应答组件未配置 IF_RESUU1TINVALIDPARAM 属性查询类型标识未识别 6.7跨域属性查询接口(IF-CDAQ 6.7.1概述 IF-CDAQ是不同域的访问控制属性应答组件之间的接口
IF-CDAQ接口主要用于外域访问控制 属性应答组件查询本域某个主体的属性
本域访问控制属性应答组件获取主体的属性后,将查询到的 属性转为指定格式,然后返回给外域的访问控制属性应答组件
6.7.2跨域属性查询支持类型接口(IF-CDAQ-SupportAT) 6.7.2.1 功能 访问控制属性应答组件应提供外域可查询的属性类型
一般情况下,外域可查询的属性类型要少 26
GB/36960一2018 于本域可查询的属性类型
6.7.2.2输出参数 IF-CDAQ-Su supportAT接口输出参数描述如下 输出参数定义: a ="utf-8"? ?xmlversion="1.0" encoding= "2001/XML.schema"y xs:schemaXmlnsXs= "http://www.w3.org/" "Su supportAT") xSelementname xs;complexType XSsequence "attributeld" -"xs;ID'"”minOccurs="0”maxOccurs "unbounded"八) XS:elementname type一 eCode" XS:elementname type="xs;string") messageC XS;segence Xs:complex exType xS:element /xs:schema b 输出参数说明: 调用跨域属性查询支持类型接口应可以获得访问控制属性应答组件外域可查询的属性类 型信息
返回值的数据结构,以及属性类型的标识由访问控制属性应答组件自行规定
调用跨域属性查询支持类型接口应能够得到一个预定义的消息码,消息码的定义见 表17. 表17IF-CDAQ-SupportAT接口可以返回的消息码 返回消息码 条件 获取跨域属性查询支持属性类型成功 F_RESUnT_SUcCCESS F_RESULT_FAL 获取跨域属性查询支持属性类型失败 rtSchema 6.7.3跨域属性查询返回格式接口(IF-CDAQ-Suppor 6.7.3.1功能 访问控制属性应答组件应提供跨域属性查询结果返回格式
例如以SAML.断言格式返回跨域属 性查询结果
6.7.3.2输出参数 F-CDAQSup rtSchema aa接口输出参数描述如下: uppor 输出参数定义: a GB/T36960一2018 bounded"八 'messageCode”type="xs;string" xs:elementname= /xXs;sequence /xs;complexType) /xs:element》 /XSschema b 输出参数说明 调用跨域属性查询返回格式接口应可以获得访问控制属性应答组件跨域属性查询结果返 回格式
返回格式的标识由访问控制属性应答组件自行规定
调用属性查询返回格式接口应能够得到一个预定义的消息码,消息码的定义见表18. rtSehema 表18IF-CDAQ-Support 接口可以返回的消息码 返回消息码 条件 获取跨域属性查询返回格式成功 F_RESULT_SUCCESS F_REsULr_FA儿 获取跨域属性查询返回格式失败 6.7.4跨域属性查询获取属性接口(IF-CDAQ-GetAttribute) 6.7.4.1功能 访问控制属性应答组件应能够返回外域查询的本域某一主体所具有的属性
调用此接口前一般应 先调用跨域属性查询支持类型接口和跨域属性查询返回格式接口,以确定外域可查询的属性类型以及 属性查询结果的返回格式
6.7.4.2输入参数 F:CDAQGetAttribute接口输人参数描述如下 输人参数定义: a encoding="uf8"?) Xmlverion "hep:/w 3.org/2001/XML.Schema") XSschemaXmlnsxS= ww.w3 Xs name getAttributeRequest") compleXType "userld" s;ID") name type="Xs: "attributeld”type="xs;ID”minOccurs="o") name "Issuer”type="xs:QName”minOccurs="0"八 lementname xS;sequence xscomDlex xType xSelement /xs;schema》 D)输人参数说明 l)调用跨域属性查询获取属性接口应提供所查询主体的唯一标识; 22 调用跨域属性查询获取属性接口应提供所要查询的属性类型标识 33 调用跨域属性查询获取属性接口可以但不是必须提供所查询属性的颁发者
28
GB/36960一2018 6.7.4.3输出参数 IF-CDAQ-GetAttribute接口输出参数描述如下 输出参数定义 a ?xmlversion="1.0" encoding="uf8"?) /2001/XMLSchemna"y xS;schemaxmlns;xs "htp://www.w3. .org 'getAttribu xSelementname buteResponse" xs:complexTy Iype "attribute”maxOccurs="unbounded" name ype "attributeld" "xs:lD"八 type= name "attributeValue”type="xs;string" xs;complexType》 lement "messageCode”type="xs;string") ementname seguence complexType》 xs:element》 xs:schema 输出参数说明: b 调用属性查询获取属性接口应获得某一主体拥有的属性信息
属性信息的格式通过调用 属性查询返回格式指定
调用属性查询获取接口应能够得到一个预定义的消息码,消息码的定义见表19
表19IF-CDAQ-GetAttribute接口可以返回的消息码 返回消息码 条件 IFRESUULT_SUCCESS 获取某一个主体的属性成功 IFRESUIT_FAl 获取某一个主体的属性失败 rF_REsUL.T_INVALDPARAM 属性查询类型标识不支持 29
GB/T36960一2018 附 录 A 资料性附录) 应用场景 A.1介绍 本附录描述了访问控制中间件的两种应用场景,部署访问控制中间件可参考但不局限于此两种应 用场景
A.2访问控制中间件应用于单域 -般情况下,访问控制中间件应用于单个域
对域内用户的访问请求进行响应,并将判定结果返回 给应用系统
在这种情况下,访问控制中间件在判定过程中若需要查询用户属性,只需在域内的属性查 询点查询
用户请求对需要进行访问控制的资源的访问时,请求由应用系统进行处理,应用系统需要与访问控 制中间件交互,中间件此时被调用,如果判断过程需要查询详细信息,则可以访问策略发布点和属性发 布点进行查询,借助获取的信息进行判定,并将结果返回给应用系统
应用系统根据判定结果来决定是 否允许用户的访问请求
如图A.1所示
信息系统 访问控制 资源 实施组件 用户 访问控制中间件 服务器端组件 属性发 策略发 布点 布点 图A.1单域应用场景 A.3访问控制中间件应用于跨域 某些情况下,访问控制中间件可能应用于跨域,即需要对外域用户访问本域资源进行判定
在这种 情况下,本域访问控制中间件可能需要与外域访问控制中间件交互.,查询外域用户拥有的外域属性
如图A.2所示,位于域A中的用户在对域B中的某些资源发出访问请求时,域B中的访问控制实 施组件会调用访问控制中间件进行判定
此时域B中没有该用户的属性信息,因此域B中的访问控制 中间件要跨域访问域A中的访问控制中间件,以获取该用户的属性信息
域A中的访问控制中间件进 行查询并返回结果
域B中的访问控制中间件根据在本地策略发布点查询得到的信息和跨域交互返 30
GB/T36960一2018 回的信息来进行判定,将结果返回给访问控制实施组件,访问控制实施组件根据判定结果作出决策 域4 域日B 信息系统 信息系统 访问控制 访问控制 资源 资源 实施组件 实施组件 用户 访问控制中间件 访闻控制中间件 服务器端组件 服务器端组件 属性发 策略发 属性发 策略发 布点 布点 布点 布点 图A.2跨域应用场景 31
GB/T36960一2018 附 录 B 资料性附录) 接口消息示例 B.1概述 本附录对本标准中的访问控制接口的消息给出了采用XMI描述的具体示例
B.2接口消息示例 B.2.1决策管理登录接口IF-DM-l0ginm 决策管理登录接口的消息示例如下 -输人 xmlversion="1.0" -"utf-8"?y encoding一- (? login userld)user(〈/userld》
GB/T36960一2018 xmlversion="1.0" encoding="uf8"? ? stop 《stopPatern)sopAIserviesGB/36960一2018 Code messageCode)IF_RESULT_sUCCESs(/message /message B.2.9策略查询返回模式接口(IF-PQ-ReturnSchema 策略查询返回模式接口的消息示例如下 输人 ?xmlversion="1.0”encoding="utf-8"?)
GB/36960一2018 参 考文献 [1]GB/T9387.2一1995信息技术开放系统互连基本参考模型第2部分;安全体系结构 [[2]GB/T292422012信息安全技术鉴别与授权安全断言置标语言 [3]GB/T30281一2013信息安全技术鉴别与授权可扩展访问控制标记语言
信息安全技术鉴别与授权访问控制中间件框架与接口GB/T36960-2018
随着互联网的不断发展,信息安全问题越来越受到关注。在信息系统中,访问控制是保护系统安全性的一种重要手段。为了更好地保障信息系统的安全性,我国制定了一系列信息安全标准和规范。其中,信息安全技术鉴别与授权访问控制中间件框架与接口是一项重要的规范。 GB/T36960-2018是我国发布的鉴别与授权访问控制中间件框架与接口的规范,该规范主要包括以下几个方面: 一、总体概述 该规范对中间件框架与接口进行了定义,指导鉴别与授权访问控制中间件的开发和实现。 二、框架体系结构 该规范定义了鉴别与授权访问控制中间件的框架体系结构,包括了基础服务、业务服务和应用接口等。 三、功能要求 该规范对鉴别与授权访问控制中间件的功能要求进行了详细说明,包括身份认证和授权、会话管理、安全审计、访问控制等。 四、性能要求 该规范对鉴别与授权访问控制中间件的性能要求进行了明确,包括响应时间、吞吐量、并发性能等。 五、接口标准 该规范对鉴别与授权访问控制中间件的接口标准进行了规定,包括应用程序接口、管理接口、日志接口等。 六、测试要求 该规范对鉴别与授权访问控制中间件的测试要求进行了说明,包括功能测试、性能测试、接口测试、安全性测试等。 通过GB/T36960-2018的规范,可以有效地指导信息系统开发人员在实现鉴别与授权访问控制中间件时遵循一定的标准和规范。这不仅有助于提高系统的安全性,也有助于提高系统的稳定性和可维护性。 总的来说,信息安全技术鉴别与授权访问控制中间件框架与接口GB/T36960-2018是一项重要的规范,在信息系统的开发和实现中具有非常重要的作用。我们应该积极推广和应用这个规范,不断提高信息系统的安全性和可靠性。
信息安全技术鉴别与授权访问控制中间件框架与接口的相关资料
- 了解信息安全技术公钥基础设施证书策略与认证业务声明框架GB/T26855-2011
- 信息安全技术引入可信第三方的实体鉴别及接入架构规范GB/T28455-2012
- 信息系统安全管理评估要求GB/T28453-2012
- 信息安全技术应用软件系统通用安全技术要求GB/T28452-2012
- GB/T28447-2012信息安全技术电子认证服务机构运营管理规范解析
- 信息安全技术鉴别与授权安全断言标记语言GB/T29242-2012
- 信息安全技术鉴别与授权可扩展访问控制标记语言GB/T30281-2013
- 信息安全技术鉴别与授权地理空间可扩展访问控制置标语言GB/T30280-2013
- 信息安全技术鉴别与授权认证中间件框架与接口规范GB/T30275-2013介绍
- 信息安全技术鉴别与授权数字身份信息服务框架规范GB/T31504-2015
- 信息技术系统间远程通信和信息交换无线高速率超宽带媒体访问控制和物理层接口规范GB/T26230-2010
- 信息技术系统间远程通信和信息交换无线高速率超宽带媒体访问控制和物理层规范GB/T26229-2010
- 信息安全技术鉴别与授权可扩展访问控制标记语言GB/T30281-2013
- 信息安全技术鉴别与授权地理空间可扩展访问控制置标语言GB/T30280-2013
- 合作式智能运输系统专用短程通信规范解读
- 信息安全技术鉴别与授权认证中间件框架与接口规范GB/T30275-2013介绍
- 信息安全技术鉴别与授权访问控制中间件框架与接口GB/T36960-2018
- 信息技术系统间远程通信和信息交换无线高速率超宽带媒体访问控制和物理层接口规范GB/T26230-2010
- 数字电视接收设备机道分离DTV-CSI接口规范第1部分
- 工业自动化系统与集成物理设备控制尺寸测量接口标准(DMIS)GB/T26498-2011介绍
- 粮油储藏粮情测控系统第4部分:信息交换接口协议GB/T26882.4-2011详解
- 工业控制计算机系统总线第2部分:系统外部总线串行接口通用技术条件GB/T26803.2-2011
- 信息安全技术鉴别与授权访问控制中间件框架与接口GB/T36960-2018
