6.4　決策管理接口(IF-DM)

IF-DM是管理訪問控制決策組件的接口。IF-DM接口主要用于向訪問控制決策組件傳遞消息，控制組件功能的啟動與停止，配置組件并控制組件的執行流程與執行環境。

6.4.1　決策管理登錄接口(IF-DM-Login)

6.4.1.1　功能

決策管理的實施需要對決策管理員的身份進行認證，并在認證通過后建立會話。決策管理員的所有操作需要基于建立的會話完成。在調用決策管理其它的接口之前，決策管理登錄接口必須首先被調用。

6.4.1.2　輸入參數

IF-DM-Login接口輸入參數描述如下：

a) 輸入參數類型定義

<?xml version="1.0" encoding="utf-8"?>

<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="login">

<xs:complexType>

<xs:sequence>

<xs:element name="userId" type="xs:string"/>

<xs:element name="credential" type="xs:base64Binary"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b) 輸入參數說明

1) 決策管理員的身份標識；

2) 調用決策管理登錄接口應提供調用者的認證信息。認證信息由決策管理組件支持的認證方式決定。例如，若采用證書認證方式，認證信息應該包含決策管理員身份證書。

6.4.1.3　輸出參數

IF-DM-Login接口輸出參數描述如下：

a) 輸出參數定義

<?xml version="1.0" encoding="utf-8"?>

<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="message">

<xs:complexType>

<xs:sequence>

<xs:element name="messageCode" type="xs:string"/>

<xs:element name="sessionId" type="xs:string"minOccurs="0" maxOccurs="1"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b) 輸出參數說明

1) 調用決策管理登錄接口應能夠得到一個預定義的消息碼；

2) 若決策管理員身份通過認證，還需返回所建立的會話的標識。

表1　IF-DM-Login接口可以返回的消息碼

| 返回消息碼 | 條件 |
| IF_RESULT_SUCCESS | 認證決策管理員身份成功 |
| IF_RESULT_FAIL | 認證決策管理員身份失敗 |

6.4.2　決策管理登出接口(IF-DM-Logout)

6.4.2.1　功能

決策管理完成后，需要關閉為完成此次決策管理而創建的會話。此接口提供注銷所建立的會話的功能。決策管理員完成所有操作后應調用此接口。

6.4.2.2　輸入參數

IF-DM-Logout接口輸入參數描述如下：

a) 輸入參數定義

<?xml version="1.0" encoding="utf-8"?>

<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="logout">

<xs:complexType>

<xs:sequence>

<xs:element name="sessionId" type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b) 輸入參數說明

所注銷的本次會話的標識。

6.4.2.3　輸出參數

IF-DM-Logout接口輸出參數描述如下：

a) 輸出參數定義

<?xml version="1.0" encoding="utf-8"?>

<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="message">

<xs:complexType>

<xs:sequence>

<xs:element name="messageCode" type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b) 輸出參數說明

調用決策管理登出接口應能夠得到一個預定義的消息碼。

表2　IF-DM-Logout接口可以返回的消息碼

6.4.3　決策管理配置接口(IF-DM-Config)

6.4.3.1　功能

訪問控制策略決策組件應是可配置的。決策管理員應能夠通過配置訪問控制策略決策組件，靈活控制訪問控制策略決策組件的執行流程及執行環境。決策管理配置接口可以但不是必須提供對配置的檢測功能。調用決策配置管理接口后，訪問控制策略決策組件可以即時對配置響應，也可通過重新啟動對配置進行響應。

6.4.3.2　輸入參數

IF-DM-Config接口輸入參數描述如下：

a) 輸入參數定義

<?xml version="1.0" encoding="utf-8"?>

<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="config">

<xs:complexType>

<xs:sequence>

<xs:element name="plicyStoragePoint" type="xs:anyURI"/>

<xs:element name="attributeIssuePoint" type="xs:anyURI"/>

<xs:element name="combiningAlg" type="xs:string"/>

<xs:element name="supprotPolicy" minOccurs="1" maxOccurs="unbounded">

<xs:complexType>

<xs:sequence>

<xs:element name="supportPolicyType" type="xs:string"/>

<xs:element name="policySchema" type="xs:base64Binary"/>

</xs:sequence>

</xs:complexType>

</xs:element>

<xs:element name="sessionId" type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b) 輸入參數說明

調用決策管理配置接口應提供但不局限于提供以下配置信息。

1) 策略存儲點：訪問控制策略決策組件策略查找點；

2) 屬性發布點：訪問控制策略決策組件屬性查找點；

3) 合并方法：訪問控制策略決策組件對多個策略評估時的組合邏輯。例如，采用拒絕優先，只要有一個策略的評估結果為拒絕，則最終的決策結果也為拒絕。訪問控制策略決策組件只有在對多個策略評估時使用合并方法；

4) 支持的策略：訪問控制策略決策組件支持的策略類型以及相應的策略類型模式。訪問控制策略決策組件可以根據策略模式，在對查詢的策略解析之前，首先判斷其是否為自己支持的策略類型。例如，訪問控制策略決策組件可以但不限于支持XACML格式策略的解析；

5) 本次調用的會話標識。

6.4.3.3　輸出參數

IF-DM-Config接口輸出參數描述如下：

a) 輸出參數定義

<?xml version="1.0" encoding="utf-8"?>

<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="message">

<xs:complexType>

<xs:sequence>

<xs:element name="messageCode" type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b) 輸出參數說明

調用決策管理配置接口應能夠得到一個預定義的消息碼。

表3　IF-DM-Config接口可以返回的消息碼

6.4.4　決策啟動接口(IF-DM-Start)

6.4.4.1　功能

啟動訪問控制策略決策組件提供的服務。訪問控制策略決策組件啟動時，應首先檢查配置信息是否完備。決策管理啟動接口可以但不是必須提供訪問控制策略決策組件檢測功能，以確定系統的狀態。調用該接口前應先調用決策管理配置接口。

6.4.4.2　輸入參數

IF-DM-Start接口輸入參數描述如下：

a) 輸入參數定義

<?xml version="1.0" encoding="utf-8"?>

<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="start">

<xs:complexType>

<xs:sequence>

<xs:element name="selfTest" type="xs:string" minOccurs="0" maxOccurs="unbounded"/>

<xs:element name="sessionId" type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b) 輸入參數說明

1) 調用決策管理啟動接口可以但不是必須指定訪問控制策略決策組件自檢項。

2) 本次調用的會話標識。

6.4.4.3　輸出參數

IF-DM-Start接口輸出參數描述如下：

a) 輸出參數定義

<?xml version="1.0" encoding="utf-8"?>

<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="message">

<xs:complexType>

<xs:sequence>

<xs:element name="messageCode" type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b) 輸出參數說明

調用決策管理啟動接口應能夠得到一個預定義的消息碼，詳見表5：

表4　IF-DM-Start接口可以返回的消息碼

6.4.5　決策停止接口(IF-DM-Stop)

6.4.5.1　功能

停止訪問控制策略決策組件提供的服務。訪問控制策略決策組件停止時，可以采用如下兩種模式：可停止正在提供的服務，同時拒絕新的服務請求；繼續完成正在提供的服務，但是拒絕新的服務請求。訪問控制策略決策組件停止模式由組件開發者自行選擇，或同時支持但由調用者選擇。

6.4.5.2　輸入參數

IF-DM-Stop接口輸入參數描述如下：

a) 輸入參數定義

<?xml version="1.0" encoding="utf-8"?>

<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="stop">

<xs:complexType>

<xs:sequence>

<xs:element name="stopPattern" type="xs:string"/>

<xs:element name="sessionId" type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b) 輸入參數說明

1) 調用決策管理停止接口必須提供采用的停止模式的標識。停止模式的標識由訪問控制策略決策組件自行規定。

2) 本次調用的會話標識。

6.4.5.3　輸出參數

IF-DM-Stop接口輸出參數描述如下：

a) 輸出參數定義

<?xml version="1.0" encoding="utf-8"?>

<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="message">

<xs:complexType>

<xs:sequence>

<xs:element name="messageCode" type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b) 輸出參數說明

調用決策管理停止接口應能夠得到一個預定義的消息碼。

表5　IF-DM-Stop接口可以返回的消息碼