GB/T 37076—2018 信息安全技術 鑒別與授權 訪問控制中間件框架與接口6.5 策略查詢接口(IF-PQ)
IF-PQ是訪問控制決策組件和訪問控制策略應答組件之間的接口。IF-PQ接口主要用于策略的檢索以及訪問控制策略應答組件的配置。IF-PQ按照指定的檢索模式將獲取到的策略轉換成指定類型的策略,然后返回給訪問控制決策組件。
6.5.1 策略查詢支持類型接口(IF-PQ-SupportPT)
6.5.1.1 功能
訪問控制策略應答組件應返回支持的策略類型。例如,只支持XACML策略。
6.5.1.2 輸出參數
IF-PQ-SupportPT接口輸出參數描述如下:
a) 輸出參數定義
<?xml version="1.0" encoding="utf-8"?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="SupportPT">
<xs:complexType>
<xs:sequence>
<xs:element name="policyTypeId" type="xs:ID" minOccurs="0" maxOccurs="unbounded"/>
<xs:element name="messageCode" type="xs:string"/>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>b) 輸出參數說明
1) 調用策略查詢支持類型接口應可以獲得訪問控制策略應答組件支持的策略類型信息。返回值的數據結構,以及策略類型的標識由訪問控制策略應答組件自行規定。
2) 調用策略查詢支持類型接口應能夠得到一個預定義的消息碼。
表1 IF-PQ-SupportPT接口可以返回的消息碼
| 返回消息碼 | 條件 |
|---|---|
| IF_RESULT_SUCCESS | 查詢支持策略類型成功 |
| IF_RESULT_FAIL | 查詢支持策略類型失敗 |
6.5.2 策略查詢返回類型接口(IF-PQ-ReturnPT)
6.5.2.1 功能
訪問控制決策組件可能只支持某種類型的組件。訪問控制策略應答組件應能夠指定返回的策略的類型。調用該接口前應先調用策略查詢支持類型接口。
6.5.2.2 輸入參數
IF-PQ-ReturnPT接口輸入參數描述如下:
a) 輸入參數定義
<?xml version="1.0" encoding="utf-8"?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="setRetPolicyType" type="xs:string"/>
</xs:schema>b) 輸入參數說明
調用策略查詢返回類型接口應提供指定的返回的策略的類型。策略類型的標識由訪問控制策略應答組件自行規定。
6.5.2.3 輸出參數
IF-PQ-ReturnPT接口輸出參數描述如下:
a) 輸出參數定義
<?xml version="1.0" encoding="utf-8"?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="message">
<xs:complexType>
<xs:sequence>
<xs:element name="messageCode" type="xs:string"/>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>b) 輸出參數說明
調用策略查詢返回類型接口應能夠得到一個預定義的消息碼。
表2 IF-PQ-ReturnPT接口可以返回的消息碼
| 返回消息碼 | 條件 |
|---|---|
| IF_RESULT_SUCCESS | 設置返回的策略的類型成功 |
| IF_RESULT_FAIL | 設置返回的策略的類型失敗 |
| IF_RESULT_INVALID_PARAM | 設定的策略類型不被支持 |
6.5.3 策略查詢查找模式接口(IF-PQ-SearchSchema)
6.5.3.1 功能
訪問控制策略應答組件應能夠指定策略查找的模式,即只查詢第一條適用的策略,或查詢所有適用的策略。
6.5.3.2 輸入參數
IF-PQ-SearchSchema接口輸入參數描述如下:
a) 輸入參數定義
<?xml version="1.0" encoding="utf-8"?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="setSearchPattern" type="xs:string"/>
</xs:schema>b) 輸入參數說明:
調用策略查詢查找模式接口應提供指定的查找模式標識。策略查找模式標識由訪問控制策略應答組件自行規定。
6.5.3.3 輸出參數
IF-PQ-SearchSchema接口輸出參數描述如下:
輸出參數定義
<?xml version="1.0" encoding="utf-8"?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="message">
<xs:complexType>
<xs:sequence>
<xs:element name="messageCode" type="xs:string"/>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>b) 輸出參數說明
調用策略查詢查找模式接口應能夠得到一個預定義的消息碼。
表3 IF-PQ-SearchSchema接口可以返回的消息碼
| 返回消息碼 | 條件 |
|---|---|
| IF_RESULT_SUCCESS | 設置策略查找模式成功 |
| IF_RESULT_FAIL | 設置策略查找模式失敗 |
| IF_RESULT_INVALID_PARAM | 設定的策略查找模式標識不被識別 |
6.5.4 策略查詢返回模式接口(IF-PQ-ReturnSchema)
6.5.4.1 功能
訪問控制策略應答組件應能夠指定策略查詢結果返回的模式,即若查詢到多個適用策略時,或將這些策略直接返回,或將這些策略合并為一個策略返回。
6.5.4.2 輸入參數
IF-PQ-RetuenSchema接口輸入參數描述如下:
a) 輸入參數定義
<?xml version="1.0" encoding="utf-8"?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="setReturnPattern" type="xs:string"/>
</xs:schema>b) 輸入參數說明
調用策略查詢返回模式接口應提供指定的返回模式標識。返回模式標識由訪問控制策略應答組件自行規定。
6.5.4.3 輸出參數
IF-PQ-ReturnSchema接口輸出參數描述如下:
輸出參數定義
<?xml version="1.0" encoding="utf-8"?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="message">
<xs:complexType>
<xs:sequence>
<xs:element name="messageCode" type="xs:string"/>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>輸出參數說明
調用策略查詢返回模式接口應能夠得到一個預定義的消息碼。
表4 IF-PQ-ReturnSchema接口可以返回的消息碼
| 返回消息碼 | 條件 |
|---|---|
| IF_RESULT_SUCCESS | 設置策略查詢返回模式成功 |
| IF_RESULT_FAIL | 設置策略查詢返回模式失敗 |
| IF_RESULT_INVALID_PARAM | 設定的策略查詢返回模式標識不被識別 |
6.5.5 策略查詢策略合并模式接口(IF-PQ-PolicyCombine)
6.5.5.1 功能
訪問控制策略應答組件應指定策略合并的模式。即若訪問控制策略應答組件的策略查詢返回模式設定為將查詢到的多個策略合并為一個策略返回時,應按照通過調用該接口指定的策略合并模式對查詢到的策略進行合并。
6.5.5.2 輸入參數
IF-PQ-PolicyCombine接口輸入參數描述如下:
a) 輸入參數定義
<?xml version="1.0" encoding="utf-8"?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="setCombiningAlg" type="xs:string"/>
</xs:schema>b) 輸入參數說明
1) 調用策略查詢策略合并模式接口應提供指定的策略合并模式。策略合并模式由訪問控制策略應答組件自行規定
6.5.5.3 輸出參數
IF-PQ-PolicyCombine接口輸出參數描述如下:
a) 輸出參數定義
<?xml version="1.0" encoding="utf-8"?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="message">
<xs:complexType>
<xs:sequence>
<xs:element name="messageCode" type="xs:string"/>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>b) 輸出參數說明
調用策略查詢策略合并模式接口應能夠得到一個預定義的消息碼。
表5 IF-PQ-PolicyCombine接口可以返回的消息碼
| 返回消息碼 | 條件 |
|---|---|
| IF_RESULT_SUCCESS | 設置策略合并模式成功 |
| IF_RESULT_FAIL | 設置策略合并模式失敗 |
| IF_RESULT_INVALID_PARAM | 設定的策略合并模式解析錯誤 |
6.5.6 策略查詢獲取策略接口(IF-PQ-GetPolicy)
6.5.6.1 功能
訪問控制策略應答組件應能夠返回適用于某一次訪問控制請求的策略。調用此接口前,應先設定策略查詢返回類型、策略查詢查找模式、策略查詢返回模式、策略查詢策略合并模式。
6.5.6.2 輸入參數
IF-PQ-GetPolicy接口輸入參數描述如下:
a) 輸入參數定義
<?xml version="1.0" encoding="utf-8"?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="getPolicyRequest">
<xs:complexType>
<xs:sequence>
<xs:element name="subject" type="xs:string"/>
<xs:element name="resource" type="xs:string"/>
<xs:element name="action" type="xs:string"/>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>b) 輸入參數說明:
用策略查詢獲取策略接口應提供訪問控制請求信息。
6.5.6.3 輸出參數
IF-PQ-GetPolicy接口輸出參數描述如下:
a) 輸出參數定義
<?xml version="1.0" encoding="utf-8"?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="getPolicyResponse">
<xs:complexType>
<xs:sequence>
<xs:choice>
<xs:element name="policy" type="xs:base64Binary" maxOccurs="unbounded"/>
<xs:element name="policySet" type="xs:base64Binary"/>
</xs:choice>
<xs:element name="messageCode" type="xs:string"/>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>b) 輸出參數說明
1) 調用策略查詢獲取策略接口應能得到適用于某一個訪問控制請求的策略集,或某一個單獨的策略。
2) 調用策略查詢獲取策略接口應能夠得到一個預定義的消息碼。
表6 IF-PQ-GetPolicy接口可以返回的消息碼
| 返回消息碼 | 條件 |
|---|---|
| IF_RESULT_SUCCESS | 獲取適用的策略成功 |
| IF_RESULT_FAIL | 獲取適用的策略失敗 |
| IF_RESULT_NOT_INIT | 訪問控制策略應答組件未配置 |
| IF_RESULT_INVALID_PARAM | 訪問控制請求信息解析錯誤 |
推薦文章: