5.2　組件定義

5.2.1　訪問控制實施組件

5.2.1.1　概述

訪問控制實施組件處于發起者與目標之間，接管處理發起者的訪問請求，協助收集訪問決策的輔助性信息，傳遞決策請求至訪問控制決策組件并根據返回的判定結果決定訪問是否可以執行。

訪問控制實施組件是直接面向訪問請求的應答模塊，將發起者請求和具體的授權決策過程等復雜的業務邏輯進行剝離，是決定訪問控制中間件和具體業務應用系統能否實現插拔組裝的基礎性模塊。

訪問控制實施組件應實現5.2.1.2至5.2.1.5中規定的功能。

5.2.1.2　接收訪問請求

訪問控制實施組件應能夠接收來自發起者的訪問請求。訪問控制實施組件應根據固定交互模式對來自不同代理方式（例如：“瀏覽器/服務器”結構、“客戶端/服務器”結構等等）用戶代理的請求進行一致化處理，訪問請求的格式宜依據GB/T 30281-2013標準。

訪問請求信息的傳遞不限制具體的傳輸協議，滿足訪問控制實施組件要求的傳輸協議都可以負責處理信息傳遞。

5.2.1.3　收集訪問決策相關輔助性信息

訪問控制實施組件應能夠收集其他對訪問決策提供幫助的輔助性信息。例如用戶的屬性信息、組件本身可以感知的若干系統信息等等。應允許管理者通過配置的方式指定優先附加的輔助信息。輔助信息的添加并不一定限制在訪問控制實施組件中，其他組件根據需要也可以具備該功能。

根據GB/T 18794.3-2003中的說明，輔助信息的獲取方式可分為“推”模式和“拉”模式，采用哪種模式取決于系統的決策邏輯和某些強制性選擇，本標準在可以添加輔助信息的模塊進行顯式說明，采用何種方案最終由用戶選擇。

5.2.1.4　請求格式轉換

訪問控制實施組件應能夠對對請求格式進行標準形式的轉換。宜采用基于屬性的描述機制對訪問請求進行統一描述。

5.2.1.5　傳遞決策請求及接收決策結果

訪問控制實施組件應能夠傳遞決策請求至訪問控制決策組件并接收決策結果。

訪問請求的決策結果可能表示為某種抽象形式，訪問實施組件應根據組件所在的應用場景和技術背景將其轉換為具體的應用程序執行邏輯，保證高層抽象安全約束和底層程序邏輯的一致性。

5.2.2　訪問控制決策組件

5.2.2.1　概述

訪問控制決策組件負責從訪問控制實施組件接受決策請求，通過查找適用策略和相對應的訪問控制屬性，依據訪問判定邏輯產生一個決策結果，并將該決策結果返回給訪問控制實施組件。

訪問控制決策組件應實現5.2.2.2至5.2.2.6中規定的功能。

5.2.2.2　接收決策請求

訪問控制決策組件應能夠接收來自訪問控制實施組件的決策請求，并對請求內的信息進行解析分類。

5.2.2.3　執行訪問決策邏輯

訪問控制決策組件應實現訪問決策邏輯執行功能。決策邏輯應考慮到已有的多種訪問控制模型和訪問控制機制，盡可能提高其兼容性。訪問控制模型和訪問控制機制的類型可參見GB/T 18794.3-2003。

訪問控制決策組件應從宏觀角度制定最基本的資源安全策略，以提供最低限度的安全保障。訪問控制決策組件通過開放式策略和保守式策略實現這種可預知的和最低限度的安全保障。開放式策略的決策邏輯為：如果沒有提供顯式策略明確禁止某訪問行為，則認為允許該類訪問進行；保守式策略的決策邏輯為：如果沒有提供顯式策略明確允許某訪問行為，則認為禁止該類訪問進行。采用何種策略取決于具體應用的資源對象敏感性和資源對象使用目的。

訪問控制決策組件應在多條策略同時給出明確決策結果，且決策結果存在沖突時指定沖突消解策略，以處理可能產生的決策結果不一致性，常用的消解策略包括：肯定判定優先、否定判定優先、首次判定優先等。

5.2.2.4　對所需訪問控制策略進行檢索收集

訪問控制決策組件內部應具有策略檢索收集的功能。例如：組件在運行決策邏輯前，將所有策略一次性導入臨時存儲區，之后所有的匹配操作都針對存儲區內的策略進行。當策略數目較大時，應提供針對性更強的策略檢索功能，即根據某些屬性特征或者策略標識從策略庫中獲取規模較小的策略子集，減少實際匹配的策略數量，提高匹配效率。例如：以某個屬性類型或者具體的屬性值為關鍵字，或者以某種特定的策略類型為關鍵字對策略庫進行檢索。

5.2.2.5　對所需屬性信息進行檢索收集

訪問控制決策組件應具有相關屬性信息的檢索功能。屬性檢索過程應考慮能夠兼容處理不同的屬性格式，例如X509格式的屬性證書、SAML格式的安全斷言以及LDAP目錄中的屬性條目等。

5.2.2.6　決策歷史記錄的相關查詢

考慮到和其他安全組件的集成性，例如為安全審計提供歷史訪問的相關數據等。訪問控制決策組件在完成請求決策的同時，應對整個過程涉及的信息進行分類記錄。以上信息應保證存儲的安全性和與歷史記錄的一致性，并且可根據特殊的審計需要增加相應的記錄信息類型，本標準不對數據存儲的形式和方案進行規定。

5.2.3　訪問控制策略應答組件

5.2.3.1　概述

訪問控制策略應答組件負責響應訪問控制決策組件的策略檢索請求，對不同形式的策略表達進行一致性轉化，完成對適用策略的檢索并以安全的方式傳輸至訪問控制決策組件。

訪問控制策略應答組件的詳細功能描述及細節如下。

訪問控制策略應答組件負責響應訪問控制決策組件的策略檢索請求，負責整個中間件訪問控制策略的底層處理。

訪問控制策略應答組件應實現5.2.3.2至5.2.3.5中規定的功能。

5.2.3.2　統一策略描述方式

訪問控制策略應答組件應對不同形式的策略表達進行一致性轉化，使決策邏輯所依賴的策略集具有統一的格式和語義。。策略轉化過程可能需要界定不同策略特征間的轉換規則，但應保證策略轉化不影響最終的安全目標。

5.2.3.3　策略檢索

訪問控制策略應答組件應能夠處理來自決策組件帶有多種查詢參數的策略檢索請求，并獲取滿足要求的策略集合。

5.2.3.4　策略傳輸

訪問控制策略應答應答組件應與訪問控制決策組件就策略傳輸的方式和格式進行統一制定，應答組件完成策略檢索后，將響應策略集合以安全可靠的傳輸協議傳輸至決策組件。例如：通過網絡層的socket通訊協議直接對策略條目進行編碼傳輸，或針對XML類型的策略格式采用類似SOAP協議的XML RPC方式進行傳輸。

5.2.3.5　策略管理

訪問控制策略應答應答組件應通過策略管理服務（工具或模塊）提供對策略的一般性管理功能，例如策略的添加、修改、刪除、更新等，以方便中間件對系統安全策略的控制和掌握。

策略管理服務宜提供策略優先級機制，制定策略沖突消解規則，便于訪問控制決策組件執行具體的決策邏輯。

策略管理服務宜提供策略一致性檢測功能，在策略實體和高層安全目標間進行一致性驗證和測試，保證策略實體符合系統的安全管理初衷。

5.2.4　訪問控制屬性應答組件

5.2.4.1　概述

訪問控制屬性應答組件負責對訪問判定過程中需要的各種類型屬性信息進行收集，生成并發布屬性斷言，并將屬性信息集合以安全的方式傳輸至訪問控制決策組件。

訪問控制策略應答組件的詳細功能描述及細節如下。

該組件主要負責訪問決策可能觸發的屬性信息收集，輔助訪問控制決策組件完成最終的請求決策。

訪問控制策略應答組件應實現5.2.4.2至5.2.4.6中規定的功能。

5.2.4.2　用戶屬性信息收集

當決策請求中包含的用戶屬性信息不足以使決策邏輯給出決策結果時，決策組件需要向訪問控制屬性應答組件發送屬性查詢請求。訪問控制屬性應答組件應該能根據用戶標識對屬性信息進行集成檢索，形成統一的屬性表達語義。

在對檢索后獲取的用戶屬性進行確認前，訪問控制屬性應答組件應對這些屬性信息的有效性進行驗證。驗證過程可能是針對屬性實體的數字簽名驗證，也可能涉及對屬性頒發實體的數字身份驗證，驗證能否通過取決于對驗證信息的可信性。

針對來自外域的用戶屬性信息，訪問控制屬性應答組件應實現域間屬性轉譯，根據外域用戶屬性檢索適用的屬性映射規則，推導出外域屬性對應的本域屬性信息，以決策組件可理解的域內屬性信息格式進行發布。

5.2.4.3　其他類型屬性信息收集

應答組件宜實現對來自信息系統自身狀態、上下文環境、網絡狀況等一些可以描述訪問進行時的外界信息感應點的屬性進行接收和主動查詢。在獲取這些屬性后，屬性應答組件應將這些屬性信息轉換為決策組件可理解的語義及格式并以屬性斷言的格式進行轉發。

5.2.4.4　屬性斷言發布

訪問控制屬性應答組件在獲取到查詢的屬性信息后，應該以決策組件可驗證的屬性斷言方式發布屬性信息。屬性斷言應包含屬性的主體標識、屬性類型或名稱、具體的屬性值、應答組件及對屬性信息摘要的簽名等。

屬性斷言格式的定義宜采用GB/T 29242-2012的規定。

5.2.4.5　屬性信息傳遞

訪問控制屬性屬性應答組件應與決策組件就屬性傳輸的方式和格式進行統一制定，應答組件完成屬性檢索后，將屬性信息集合以安全可靠的傳輸協議傳輸至決策組件。

5.2.4.6　屬性管理

訪問控制屬性應答組件應通過屬性管理服務（工具或模塊）提供對屬性信息的一般性管理功能，例如屬性的頒發、撤銷、更新等，以方便中間件對屬性信息的控制和掌握。

為了支持跨域訪問控制等多域應用場景，屬性管理服務應提供域間屬性映射功能，制定屬性映射規則，可發布映射斷言供外域的屬性發布組件進行查詢。

屬性管理服務應提供屬性一致性檢測功能，限制用戶同時擁有違反安全約束的多個屬性。

5.3　組件間接口

5.3.1　策略決策接口（IF-PD）

IF-PD是訪問控制實施組件和訪問控制決策組件之間的接口。IF-PD接口主要用于傳遞決策請求消息至訪問控制決策組件，并將訪問控制決策組件產生的判定結果以決策應答消息的方式傳遞給訪問控制實施組件。此接口的具體實現可見GB/T 31501-2015或GB/T 30281-2013中的相關部分。

5.3.2　決策管理接口（IF-DM）

IF-DM是管理訪問控制決策組件的接口。IF-DM接口主要用于向訪問控制決策組件傳遞消息，控制組件功能的啟動與停止，配置組件并控制組件的執行流程與執行環境。

IF-DM接口的定義細節見6.4節。

5.3.3　策略查詢接口（IF-PQ）

IF-PQ是訪問控制決策組件和訪問控制策略應答組件之間的接口。IF-PQ接口主要用于策略的檢索以及訪問控制策略應答組件的配置。IF-PQ按照指定的檢索模式將獲取到的策略轉換成指定類型的策略，并返回給訪問控制決策組件。

IF-PQ接口的定義細節見6.5節。

5.3.4　屬性查詢接口（IF-AQ）

IF-AQ是訪問控制決策組件和訪問控制屬性應答組件之間的接口。IF-AQ接口主要用于屬性的檢索以及訪問控制屬性應答組件的配置。IF-AQ獲取主體的屬性后，將查詢到的屬性轉為指定格式，并返回給訪問控制決策組件。

IF-AQ接口的定義細節見6.6節。

5.3.5　跨域屬性查詢接口（IF-CDAQ）

IF-CDAQ是不同域的訪問控制屬性應答組件之間的接口。IF-CDAQ接口主要用于外域訪問控制屬性應答組件查詢本域某個主體的屬性。本域訪問控制屬性應答組件獲取主體的屬性后，將查詢到的屬性轉為指定格式，并返回給外域的訪問控制屬性應答組件。

IF-AQ接口的定義細節見6.7節。