1 范围

      本标准确立了鉴别与授权系统中访问控制中间件的框架结构与内部组件关系，规定了访问控制中间件中各组件的功能、操作流程及接口要求。

      本标准适用于访问控制中间件及其内部组件的设计与实现，并可指导对该类中间件系统的检测及相关应用的开发，对该类中间件产品的采购亦可参照使用。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 13000 信息技术 通用多八位编码字符集（UCS）

      GB/T 18793-2002 信息技术 可扩展置标语言（XML）1.0

      GB/T 18794.3-2003 信息技术 开放系统互连 开放系统安全框架 第3部分：访问控制框架

      GB/T 25069-2010 信息安全技术 术语

      GB/T 31501-2015 信息安全技术 鉴别与授权 授权应用程序判定接口规范

3 术语和定义

      GB/T 25069-2010、GB/T 18794.3-2003界定的以及下列术语和定义适用于本文件。

3.1

      访问控制中间件 access control middleware

      通过对适用的访问控制信息进行评估以决定发起者是否可以对访问目标进行特定类型访问的一系列组件及组件间接口的集合。

3.2

      动作 action

      访问控制行为发起者执行的某种操作。

      注：例如读取、修改、删除等。

3.3

      属性 attribute

      主体、资源、动作和环境的某个特征，该特征可以在策略中被引用。

3.4

      决策 decision

      依据访问控制策略做出的判定结果。

      注：例如允许或拒绝用户访问特定资源。

3.5

      环境 environment

      一组与决策相关的属性集合，独立于特定的主体、资源或者动作。

3.6

      发起者 initiator

      访问控制过程中执行操作、试图访问目标的实体。

      注：例如访问系统或服务的用户或是执行操作的应用。

3.7

      资源 resource

      数据、服务或者系统组件。

3.8

      主体 subject

      访问控制策略中访问控制行为发起者的标识。

      注：例如发起者的用户名，或是执行操作的应用标识。

3.9

      访问目标 target

      访问控制过程中发起者访问的对象。

      注：例如资源或服务。

3.10

      用户 user

      使用系统和系统资源的自然人。

4 缩略语

      下列缩略语适用于本文件：

      IF-AQ：属性查询接口（Interface-Attribute Query）

      IF-AQ-SupportAT：属性查询支持类型接口（Interface-Attribute Query-Support Attribute Type）

      IF-AQ-SupportSchema：属性查询支持格式接口（Interface-Attribute Query-Support Schema）

      IF-AQ-ReturnSchema：属性查询返回格式接口（Interface-Attribute Query-Return Schema）

      IF-AQ-GetAttribute：属性查询获取属性接口（Interface-Attribute Query-Get Attribute）

      IF-CDAQ：跨域属性查询接口（Interface-Cross Domain Attribute Query）

      IF-CDAQ-SupportAT：跨域属性查询支持类型接口（Interface-Cross Domain Attribute Query-Support Attribute Type)

      IF-CDAQ-SupportSchema：跨域属性查询支持格式接口（Interface-Cross Domain Attribute Query-Support Schema)

      IF-CDAQ-GetAttribute：跨域属性获取属性查询接口（Interface-Cross Domain Attribute Query-Get Attribute)

      IF-DM：决策管理接口（Interface-Decision Management）

      IF-DM-Login：决策管理登录接口（Interface-Decision Management-Login）

      IF-DM-Logout：决策管理登出接口（Interface-Decision Management-Logout）

      IF-DM-Config：决策管理配置接口（Interface-Decision Management-Configuration）

      IF-DM-Start：决策启动接口（Interface-Decision Management-Start）

      IF-DM-Stop：决策停止接口（Interface-Decision Management-Stop）

      IF-PD：策略决策接口（Interface-Policy Decision）

      IF-PQ：策略查询接口（Interface-Policy Query）

      IF-PQ-SupportPT：策略查询支持类型接口（Interface-Policy Query-Support Policy Type）

      IF-PQ-ReturnPT：策略查询返回类型接口（Interface-Policy Query-Return Policy Type）

      IF-PQ-SearchSchema：策略查询查找模式接口（Interface-Policy Query-Search Schema）

      IF-PQ-ReturnSchema：策略查询返回模式接口（Interface-Policy Query-Return Schema）

      IF-PQ-PolicyCombine：策略查询合并模式接口（Interface-Policy Query-Policy Combine）

      IF-PQ-GetPolicy：策略查询获取策略接口（Interface-Policy Query-Get Policy）

      LDAP：轻量级目录访问协议（Lightweight Directory Access Protocol）

      RPC：远程过程调用（Remote Procedure Call）

      SAML：安全断言置标语言（Security Assertion Markup Language）

      SOAP：简单对象访问协议（Simple Object Access Protocol）

      SSL：安全套接层（Secure Sockets Layer）

      TLS：传输层安全（Transport Layer Security）

      XACML：可扩展访问控制标记语言（eXtensible Access Control Markup Language）

      XML：可扩展置标语言（eXtensible Markup Language）

5 访问控制中间件体系框架

5.1 概述

      访问控制过程包含三个参与方：发起者、访问控制中间件和访问目标。发起者是试图访问访问目标的实体（用户或执行操作的应用）；访问控制中间件是通过对适用的访问控制信息进行评估以决定发起者是否可以对目标进行特定类型访问的一系列组件及组件间接口的集合；访问目标是被试图访问的实体。

      访问控制中间件体系框架如图1所示。该体系框架对于不同的设备、拓扑结构与应用配置的访问控制需求进行了综合考虑，并且对此类需求是通用的。访问控制中间件包括了访问控制实施组件、访问控制决策组件、访问控制策略应答组件和访问控制属性应答组件。其中访问控制实施组件通常位于访问目标所在的应用系统中，其余组件位于服务端。组件的功能见5.2，组件的接口定义见5.3。附录A给出了访问控制中间件的典型应用场景。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 36960-2018 信息安全技术 鉴别与授权 访问控制中间件框架与接口》