5.4　接口間工作過程

通過上述定義的各不同接口，體系結構中的各組件進行消息交換。這些基本的消息流如圖2所示。

圖1　訪問控制中間件體系框架工作流程

a) 在發起者開始訪問目標之前，訪問控制中間件需要通過管理工具進行初始化與配置管理，包括以下三種操作：通過策略管理工具對訪問控制中間件的策略進行管理操作；通過屬性管理工具進行屬性頒發與撤銷等管理操作；通過決策管理工具進行決策引擎的管理與配置。（圖2步驟7）

b) 當發起者試圖對目標進行訪問時，訪問控制實施組件接管發起者的訪問請求。（圖2步驟1）

c) 訪問控制實施組件攔截訪問請求后，向訪問控制決策組件發送決策請求。（圖2步驟2）

d) 訪問控制決策組件以決策請求為參數調用策略檢索器從訪問控制策略應答組件檢索適用策略，并對檢索的適用策略進行評估。（圖2步驟3）

e) 如果訪問控制決策組件在評估過程中發現缺乏相應的屬性，則通過屬性檢索器向本安全域的訪問控制屬性應答組件發出屬性查詢請求；訪問控制屬性應答組件查詢并驗證屬性發布點上存儲的屬性，生成屬性應答返回至訪問控制決策組件。（圖2步驟4）

f) 如果所查詢的屬性是其它安全域中的屬性，則由本安全域的訪問控制屬性應答組件向外域的訪問控制屬性應答組件進行查詢，以獲得外域中的訪問控制屬性，并通過屬性映射關系確定屬性的可信性，生成屬性應答消息。（圖2步驟4a）

g) 訪問控制決策組件依據訪問控制策略與訪問控制屬性完成決策評估，向訪問控制實施組件發送最終決策結果。（圖2步驟5）

h) 訪問控制實施組件根據返回的決策結果拒絕或允許發起者對目標的訪問。（圖2步驟6）