《信息安全技術(shù)鑒別與授權(quán)訪問控制中間件框架與接口》

GB/TXXXXX—XXXX

訪問控制中間件框架與接口

1范圍

本標準規(guī)定了訪問控制中間件的框架結(jié)構(gòu)與內(nèi)部組件關(guān)系，定義了該框架內(nèi)各組成部分的功能、操

作流程及接口定義。

本標準適用于訪問控制中間件的設(shè)計與實現(xiàn)，并可指導(dǎo)對該類中間件系統(tǒng)的檢測及相關(guān)應(yīng)用的開

發(fā)，對該類中間件產(chǎn)品的采購亦可參照使用。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T9387.2-1995信息技術(shù)開放系統(tǒng)互連基本參考模型第2部分安全體系結(jié)構(gòu)

GB/T18793-2002信息技術(shù)可擴展置標語言（XML）1.0

GB/T18794.3-2003信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第3部分訪問控制框架

GB/T25069-2010信息安全技術(shù)術(shù)語

GB/T29242-2012信息安全技術(shù)鑒別與授權(quán)安全斷言置標語言規(guī)范

GB/T30281-2013信息安全技術(shù)鑒別與授權(quán)可擴展訪問控制標記語言規(guī)范

GB/T31501-2015信息安全技術(shù)鑒別與授權(quán)授權(quán)應(yīng)用程序判定接口規(guī)范

3術(shù)語與定義

GB/T25069-2010、GB/T18794.3-2003界定的以及下列術(shù)語和定義適用于本文件。

3.1

屬性attribute

主體、資源、動作和環(huán)境的某個特征，該特征可以在策略中被引用。

3.2

決策decision

依據(jù)訪問控制策略做出的評估結(jié)果。

3.3

環(huán)境environment

一組與決策相關(guān)的屬性集合，獨立于特定的主體，資源或者動作。

3.4

資源resource

數(shù)據(jù)，服務(wù)或者系統(tǒng)組件。

3.5

主體subject

訪問控制行為的發(fā)起者。

3.6

用戶user

2

GB/TXXXXX—XXXX

使用系統(tǒng)和系統(tǒng)資源的自然人。

4縮略語

下列縮略語適用于本文件：

IF-AQ：屬性查詢接口（Interface-AttributeQuery）

IF-CDAQ：跨域?qū)傩圆樵兘涌冢↖nterface-CrossDomainAttributeQuery）

IF-DM：決策管理接口（Interface-DecisionManagement）

IF-PD：策略決策接口（Interface-PolicyDecision）

IF-PQ：策略查詢接口（Interface-PolicyQuery）

LDAP：輕量級目錄訪問協(xié)議（LightweightDirectoryAccessProtocol）

RPC：遠程過程調(diào)用（RemoteProcedureCall）

SAML：安全斷言標記語言（SecurityAssertionMarkupLanguage）

SOAP：簡單對象訪問協(xié)議（SimpleObjectAccessProtocol）

SSL：安全套接層（SecureSocketsLayer）

TLS：傳輸層安全（TransportLayerSecurity）

XACML：可擴展訪問控制標記語言（eXtensibleAccessControlMarkupLanguage）

XML：可擴展標記語言（eXtensibleMarkupLanguage）

5訪問控制中間件體系框架

5.1概述

訪問控制過程包含三個參與方：發(fā)起者、訪問控制中間件和訪問目標。發(fā)起者是試圖訪問目標的實

體；訪問控制中間件是通過對適用的訪問控制信息進行評估以決定發(fā)起者是否可以對目標進行特定類型

訪問的一系列組件及組件間接口的集合；訪問目標是被試圖訪問的實體。

訪問控制中間件體系框架如圖1所示。該體系框架對于不同的設(shè)備、拓撲結(jié)構(gòu)與應(yīng)用配置的訪問控

制需求進行了綜合考慮，并且對此類需求是通用的。訪問控制中間件包括了訪問控制實施組件、訪問控

制決策組件、訪問控制策略應(yīng)答組件和訪問控制屬性應(yīng)答組件。組件的功能見5.2節(jié)，組件的接口定義

見5.3節(jié)。附錄A給出了訪問控制中間件的典型應(yīng)用場景。

3

GB/TXXXXX—XXXX

圖1訪問控制中間件體系框架

5.2組件定義

5.2.1訪問控制實施組件

概述

訪問控制實施組件處于發(fā)起者與目標之間，攔截發(fā)起者的訪問請求，協(xié)助收集訪問決策的輔助性信

息，傳遞決策請求至訪問控制決策組件并根據(jù)返回的判定結(jié)果決定訪問是否可以執(zhí)行。

訪問控制實施組件是直接面向訪問請求的應(yīng)答模塊，將發(fā)起者請求和具體的授權(quán)決策過程等復(fù)雜的

業(yè)務(wù)邏輯進行剝離，是決定訪問控制中間件和具體業(yè)務(wù)應(yīng)用系統(tǒng)能否實現(xiàn)插拔組裝的基礎(chǔ)性模塊。

訪問控制實施組件應(yīng)實現(xiàn)至節(jié)中規(guī)定的功能。

接收訪問請求

訪問控制實施組件應(yīng)能夠接收來自發(fā)起者的訪問請求。發(fā)起訪問請求的發(fā)起者（用戶）可能來自不

同物理位置并通過不同的訪問代理方式，例如“瀏覽器/服務(wù)器”結(jié)構(gòu)或者“客戶端/服務(wù)器”結(jié)構(gòu)，訪

問控制實施組件應(yīng)該根據(jù)固定交互模式對來自用戶代理的請求進行一致化處理，對原始請求規(guī)定一致的

邏輯實體，例如用戶標識、訪問動作、資源標識、屬性信息等，訪問請求的格式可依據(jù)GB/T30281-2013

等標準。

訪問請求信息的傳遞不限制具體的傳輸協(xié)議，滿足訪問控制實施組件要求的應(yīng)用協(xié)議都可以負責處

理信息傳遞。

收集訪問決策相關(guān)輔助性信息

訪問控制實施組件應(yīng)能夠收集其他對訪問決策提供幫助的輔助性信息。用戶原始請求中包含的訪問

信息可能并不足以使訪問控制決策組件給出確定的決策結(jié)果，訪問控制實施組件在將訪問請求轉(zhuǎn)發(fā)之

4

GB/TXXXXX—XXXX

前，應(yīng)根據(jù)應(yīng)用需求對訪問請求附加若干有利于加速決策過程的輔助信息，例如用戶的屬性信息、組件

本身可以感知的若干系統(tǒng)信息。強制性規(guī)定添加哪些輔助信息并不合適，不同的業(yè)務(wù)系統(tǒng)會有不同的專

注點，可能來自于主體、資源以及環(huán)境，應(yīng)允許管理者通過配置的方式指定優(yōu)先附加的輔助信息。

輔助信息的添加并不一定限制在訪問控制實施組件中，其他組件根據(jù)需要也可以具備該功能，例如

訪問控制決策組件中。根據(jù)GB/T18794.3-2003中的說明，輔助信息的獲取方式可分為“推”模式和“拉”

模式，采用哪種模式取決于系統(tǒng)的決策邏輯和某些強制性選擇，本標準在可以添加輔助信息的模塊進行

顯式說明，采用何種方案最終由用戶選擇。

請求格式轉(zhuǎn)換

訪問控制實施組件應(yīng)能夠?qū)φ埱蟾袷竭M行標準形式的轉(zhuǎn)換。將用戶發(fā)送的訪問請求和系統(tǒng)收集的

輔助信息用統(tǒng)一的方式描述可顯著提高組件的運行效率并降低開發(fā)成本，本標準建議采用對訪問請求進

行統(tǒng)一描述，基于屬性的描述機制通過靈活豐富的表達能力對訪問決策中涉及的主體、資源、動作、環(huán)

境等信息進行定義。

傳遞決策請求及接收決策結(jié)果

訪問控制實施組件應(yīng)能夠傳遞決策請求至訪問控制決策組件并接收決策結(jié)果。組件將訪問請求完成

統(tǒng)一格式轉(zhuǎn)換后，生成決策請求并將其轉(zhuǎn)送至訪問控制決策組件并等待其傳回最終決策結(jié)果。此間的請

求/應(yīng)答交互應(yīng)遵循相關(guān)標準中定義的格式。

訪問請求的決策結(jié)果可能表示為某種抽象形式，訪問實施組件應(yīng)根據(jù)組件所在的應(yīng)用場景和技術(shù)背

景將其轉(zhuǎn)換為具體的應(yīng)用程序執(zhí)行邏輯，保證高層抽象安全約束和底層程序邏輯的一致性。

5.2.2訪問控制決策組件

概述

訪問控制決策組件負責從訪問控制實施組件接受決策請求，通過查找適用策略和相對應(yīng)的訪問控制

屬性，依據(jù)訪問判定邏輯產(chǎn)生一個決策結(jié)果，并將該決策結(jié)果返回給訪問控制實施組件。

訪問控制決策組件應(yīng)實現(xiàn)至節(jié)中規(guī)定的功能。

接收決策請求

組件接收到來自訪問控制實施組件的決策請求后，需要對請求內(nèi)的信息進行解析分類，對不同類型

的信息實體進行臨時性存儲。根據(jù)決策的具體執(zhí)行邏輯，可能會針對某種類型信息優(yōu)先和訪問控制策略

進行匹配，因此在做出實際的訪問決策前，應(yīng)通過信息分類機制提高后期的執(zhí)行效率，例如可根據(jù)主體、

資源、動作等進行分類存儲，也可根據(jù)角色、組、安全等級等不同的屬性類型進行分類。

執(zhí)行訪問決策邏輯

訪問決策邏輯是整個組件的核心功能，其通用性和兼容性決定了整個中間件部署復(fù)雜度以及與應(yīng)用

場景的整合難度。決策邏輯應(yīng)該考慮到已有的多種訪問控制模型和訪問控制機制，盡可能提高兼容性以

減少重新部署安全策略的代價。GB/T18794.3-2003對多種訪問控制機制進行了說明，包括訪問控制列

表方案、權(quán)利方案、基于標簽的方案、基于上下文的方案以及基于以上方案的變種等。上述方案間的區(qū)

別在于如何將訪問相關(guān)信息進行組合綁定和決策邏輯所關(guān)注的關(guān)鍵決策信息，另外各種方案的訪問控制

策略描述在實現(xiàn)過程中也有很大不同。

基于屬性的訪問控制模型提供了一種高層抽象的泛化描述能力，可以將以往出現(xiàn)的各種方案在一致

的邏輯語義下進行轉(zhuǎn)化表達。其訪問決策邏輯主要依賴三部分輸入?yún)?shù)：訪問請求、屬性信息、訪問控

5

GB/TXXXXX—XXXX

制策略，大體的決策流程為：首先以系統(tǒng)特別關(guān)注的敏感信息為關(guān)鍵字對訪問控制策略進行檢索，獲取

可能對決策結(jié)果產(chǎn)生影響的有效策略集合；然后根據(jù)決策請求對策略集合內(nèi)的策略進一步詳細匹配；策

略匹配過程中可能需要決策請求之外更詳細的屬性信息，組件檢索信息后完成對策略的精確評估，從而

獲得最后的決策結(jié)果。

該組件匹配的策略在基于屬性的描述框架內(nèi)進行定義，以便于對其他訪問控制機制的兼容性轉(zhuǎn)化。

該決策邏輯從多種訪問控制機制和模型中概括出基于關(guān)鍵標識匹配的一致性邏輯，“匹配”和“檢

索”是決策邏輯的兩類最基本操作，其他方案都可以在此基礎(chǔ)上進行轉(zhuǎn)換。例如：

訪問控制列表方案的決策邏輯可以理解為：從請求中提取資源信息，以該信息為關(guān)鍵字檢索策略，

獲取和該資源相關(guān)的策略集合，通過將請求中的主體信息和訪問動作特征與集合內(nèi)的策略逐一比較匹

配，判斷最終的權(quán)限擁有權(quán)。

該組件的實現(xiàn)框架支持基于角色的控制方案、基于歷史的控制方案、基于時間約束的控制方案和基

于任務(wù)的控制方案等新興發(fā)展起來的訪問授權(quán)機制。

大型的信息系統(tǒng)條目眾多，導(dǎo)致其所涉及的安全策略數(shù)目繁雜、策略間關(guān)系不夠清晰，為了避免出

現(xiàn)不可預(yù)知的決策結(jié)果，需要從宏觀角度制定最基本的資源安全策略，以提供最低限度的安全保障。訪

問控制決策組件通過開放式策略和保守式策略實現(xiàn)這種可預(yù)知的和最低限度的安全保障。開放式策略的

決策邏輯為：如果沒有提供顯式策略明確禁止某訪問行為，則認為允許該類訪問進行；保守式策略的決

策邏輯為：如果沒有提供顯式策略明確允許某訪問行為，則認為禁止該類訪問進行。采用何種策略取決

于具體應(yīng)用的資源對象敏感性和資源對象使用目的。

該組件應(yīng)考慮如下情況，即多條策略同時給出明確決策結(jié)果，且決策結(jié)果存在沖突。此時組件需要

指定沖突消解策略處理可能產(chǎn)生的決策結(jié)果不一致性，常用的消解策略包括：肯定判定優(yōu)先、否定判定

優(yōu)先、首次判定優(yōu)先等。組件也可以根據(jù)應(yīng)用場景的具體要求或者是安全屬性的自身特性，自定義沖突

消解邏輯滿足安全決策需要。

對所需訪問控制策略進行檢索收集

組件在執(zhí)行決策邏輯的過程中需要以適用策略集合作為請求匹配的參照，因此其內(nèi)部應(yīng)該具有策略

檢索收集的功能。一種最簡單的處理方式就是：組件在運行決策邏輯前，將所有策略一次性導(dǎo)入臨時存

儲區(qū)，之后所有的匹配操作都針對存儲區(qū)內(nèi)的策略進行。當策略數(shù)目較大時，應(yīng)提供針對性更強的策略

檢索功能，即根據(jù)某些屬性特征或者策略標識從策略庫中獲取規(guī)模較小的策略子集，減少實際匹配的策

略數(shù)量，提高匹配效率。例如以某個屬性類型或者具體的屬性值為關(guān)鍵字，或者以某種特定的策略類型

為關(guān)鍵字對策略庫進行檢索。

該組件不限定策略檢索源的具體實現(xiàn)，其存儲方式可以為數(shù)據(jù)庫、目錄服務(wù)器或者文件系統(tǒng)等。建

議組件內(nèi)部設(shè)定臨時性策略檢索結(jié)果存儲區(qū)，對檢索后的適用策略實現(xiàn)本地存放，避免策略匹配過程涉

及過多的遠程交互。同時，應(yīng)考慮本地策略存儲的及時更新。

對所需屬性信息進行檢索收集

雖然決策請求中包含了若干決策需要的屬性信息，但不能保證其充分滿足策略匹配的全部需要，因

此組件應(yīng)具有相關(guān)屬性信息的檢索功能。策略匹配過程涉及多種類型的屬性信息，其特征、來源及發(fā)布

形式可能多有不同，屬性檢索過程應(yīng)考慮能夠兼容處理不同的屬性格式，例如X509格式的屬性證書、SAML

格式的安全斷言以及LDAP目錄中的屬性條目等。

組件內(nèi)部的屬性查詢過程應(yīng)由決策邏輯觸發(fā)，即當決策邏輯無法完成策略匹配時，建立與訪問控制

屬性應(yīng)答組件的查詢請求及應(yīng)答。請求雙方應(yīng)該在屬性描述格式、屬性類型、請求/應(yīng)答方式等方面達

成一致的情況下，對查詢所得信息進行安全傳遞。

6

GB/TXXXXX—XXXX

組件在獲取到所需屬性后，可以在本地建立臨時存儲區(qū)，避免之后的屬性查詢涉及過多的遠程交互

過程，造成策略匹配延遲。同時，應(yīng)考慮本地屬性存儲的及時更新。

決策歷史記錄的相關(guān)查詢

考慮到和其他安全組件的集成性，訪問控制中間件應(yīng)提供相應(yīng)的服務(wù)功能，例如為安全審計提供歷

史訪問的相關(guān)數(shù)據(jù)等。訪問控制決策組件在完成請求決策的同時，應(yīng)對整個過程涉及的信息進行分類記

錄，例如某訪問請求涉及的匹配策略標識、檢索到的主體屬性信息、資源特征信息、各種環(huán)境信息、最

終決策結(jié)果、組件當時的配置狀態(tài)等。以上信息應(yīng)保證存儲的安全性和與歷史記錄的一致性，并且可根

據(jù)特殊的審計需要增加相應(yīng)的記錄信息類型。

所有歷史記錄信息對其他安全組件提供基本的輸出功能，但不提供其他領(lǐng)域的業(yè)務(wù)安全分析功能，

本標準也不具體約束數(shù)據(jù)存儲的形式和方案。

5.2.3訪問控制策略應(yīng)答組件

概述

訪問控制策略應(yīng)答組件負責響應(yīng)訪問控制決策組件的策略檢索請求，對不同形式的策略表達進行一

致性轉(zhuǎn)化，完成對適用策略的檢索并以安全的方式傳輸至訪問控制決策組件。

訪問控制策略應(yīng)答組件的詳細功能描述及細節(jié)如下。

訪問控制策略應(yīng)答組件負責響應(yīng)訪問控制決策組件的策略檢索請求，負責整個中間件訪問控制策略

的底層處理。

訪問控制策略應(yīng)答組件應(yīng)實現(xiàn)至節(jié)中規(guī)定的功能。

統(tǒng)一策略描述方式

不同的安全系統(tǒng)可能采用不同的描述方式定義安全策略，但從中間件的角度出發(fā)，其決策邏輯所依

賴的策略集必須具有統(tǒng)一的格式和語義。策略應(yīng)答組件需要確定系統(tǒng)應(yīng)用的策略類型，并對不同形式的

策略表達進行一致性轉(zhuǎn)化。策略轉(zhuǎn)化過程可能需要界定不同策略特征間的轉(zhuǎn)換規(guī)則，但應(yīng)保證策略轉(zhuǎn)化

不影響最終的安全目標，因此需要根據(jù)系統(tǒng)特征從不同的訪問控制策略中抽象高層安全目標視圖，并在

轉(zhuǎn)化過程中實施目標一致性檢測。

策略檢索

策略應(yīng)答組件必須能夠處理來自決策組件帶有多種查詢參數(shù)的策略檢索請求，并獲取滿足要求的策

略集合。最簡單的策略請求處理方式是應(yīng)答組件返回所有可用的安全策略，但在策略規(guī)模龐大的應(yīng)用場

景下，這種模式顯然無法提供高效的策略匹配效率。決策組件可能會以某些策略特征為關(guān)鍵字對策略庫

進行精確查找，例如用戶角色名稱、資源標識、訪問類型等，應(yīng)答組件應(yīng)該支持這些定制查詢參數(shù)的檢

索請求。實際的策略存儲點可能采用不同的實現(xiàn)方式，例如數(shù)據(jù)庫、LDAP服務(wù)器、文件系統(tǒng)等，應(yīng)答組

件應(yīng)該具備檢索多種存儲方式的能力，并對檢索后的結(jié)果進行整合。應(yīng)答組件可通過自身開發(fā)或借助外

部工具的方式提高策略檢索的速度、減少檢索響應(yīng)延遲，也可以通過內(nèi)部緩存機制降低組件間的通訊交

互。

策略傳輸

應(yīng)答組件應(yīng)與決策組件就策略傳輸?shù)姆绞胶透袷竭M行統(tǒng)一制定，應(yīng)答組件完成策略檢索后，將響應(yīng)

策略集合以安全可靠的傳輸協(xié)議傳輸至決策組件。本標準不強制定義具體的策略傳輸協(xié)議，只對一些可

選的傳輸方案進行說明?？梢酝ㄟ^網(wǎng)絡(luò)層的socket通訊協(xié)議直接對策略條目進行編碼傳輸，另外針對XML

7

GB/TXXXXX—XXXX

類型的策略格式也可以采用類似SOAP協(xié)議的XMLRPC方式進行傳輸。訪問控制中間件可根據(jù)技術(shù)集成難

度、應(yīng)用環(huán)境特點、通訊質(zhì)量要求等自行選用具體的傳輸協(xié)議。

策略管理

實際應(yīng)用中，訪問控制策略管理本身可能涉及一個相對獨立的技術(shù)領(lǐng)域，其實現(xiàn)技術(shù)和方案復(fù)雜多

樣，本標準不試圖對策略管理給出完整詳細的功能規(guī)范，只針對訪問控制中間件的實際需求對策略管理

應(yīng)提供的功能提出具體的規(guī)范定義，其涵蓋的功能模塊是策略管理的功能子集。

策略管理服務(wù)（工具或模塊）應(yīng)提供對策略的一般性管理功能，例如策略的添加、修改、刪除、更

新等，以方便中間件對系統(tǒng)安全策略的控制和掌握。

在多條策略的安全約束之間，可能存在潛在的沖突威脅，策略管理服務(wù)應(yīng)提供策略優(yōu)先級機制，制

定策略沖突消解規(guī)則，便于訪問控制決策組件執(zhí)行具體的決策邏輯。

策略管理服務(wù)還應(yīng)提供策略一致性檢測功能，在策略實體和高層安全目標間進行一致性驗證和測

試，保證策略實體符合系統(tǒng)的安全管理初衷。

本標準不對以上功能做具體的實現(xiàn)說明，也不強制訪問控制中間件必須實現(xiàn)上述功能。

5.2.4訪問控制屬性應(yīng)答組件

概述

訪問控制屬性應(yīng)答組件負責對訪問判定過程中需要的各種類型屬性信息進行收集，生成并發(fā)布屬性

斷言，并將屬性信息集合以安全的方式傳輸至訪問控制決策組件。

訪問控制策略應(yīng)答組件的詳細功能描述及細節(jié)如下。

該組件主要負責訪問決策可能觸發(fā)的屬性信息收集，輔助訪問控制決策組件完成最終的請求決策。

訪問控制策略應(yīng)答組件應(yīng)實現(xiàn)至節(jié)中規(guī)定的功能。

用戶屬性信息收集

當決策請求中包含的用戶屬性信息不足以使決策邏輯給出決策結(jié)果時，決策組件需要向訪問控制屬

性應(yīng)答組件發(fā)送屬性查詢請求。用戶的屬性信息可能來自多個屬性管理權(quán)威機構(gòu)，屬性的頒發(fā)格式可能

不同，最終的屬性存儲點也可能分布在不同的物理地址，屬性應(yīng)答組件應(yīng)該能根據(jù)用戶標識對屬性信息

進行集成檢索，形成統(tǒng)一的屬性表達語義，便于進一步的屬性斷言發(fā)布。

組件處理的屬性頒發(fā)格式可能為X.509格式的屬性證書、SAML斷言、LDAP屬性條目等。在對檢索后

獲取的用戶屬性進行確認前，應(yīng)對這些屬性信息的有效性進行驗證。驗證過程可能是針對屬性實體的數(shù)

字簽名驗證，也可能涉及對屬性頒發(fā)實體的數(shù)字身份驗證，驗證能否通過取決于對驗證信息的可信性。

針對來自外域的用戶屬性信息，組件根據(jù)外域用戶屬性檢索適用的屬性映射規(guī)則，推導(dǎo)出外域?qū)傩?/p>

對應(yīng)的本域?qū)傩孕畔?，實現(xiàn)域間屬性轉(zhuǎn)譯，以決策組件可理解的域內(nèi)屬性信息格式進行發(fā)布。轉(zhuǎn)譯過程

涉及屬性信息內(nèi)容的轉(zhuǎn)譯和屬性描述格式的轉(zhuǎn)換。

應(yīng)答組件可通過自身開發(fā)或借助外部工具的方式提高屬性檢索的速度、減少檢索響應(yīng)延遲，也可以

通過內(nèi)部緩存機制降低組件間的通訊交互。

其他類型屬性信息收集

基于屬性的訪問控制機制決定了決策組件除了可能需要對用戶屬性進行檢索外，還需要其他類型的

信息輔助判斷。這些信息可能來自信息系統(tǒng)自身狀態(tài)、上下文環(huán)境、網(wǎng)絡(luò)狀況等一些可以描述訪問進行

時的外界信息感應(yīng)點，應(yīng)答組件應(yīng)有能力接收或者主動查詢來自這些感應(yīng)點的屬性信息。

8

GB/TXXXXX—XXXX

本標準不試圖定義感應(yīng)點發(fā)布屬性的方式和屬性格式，屬性應(yīng)答組件應(yīng)將這些屬性信息轉(zhuǎn)換為決策

組件可理解的語義及格式并以屬性斷言的格式進行轉(zhuǎn)發(fā)。

屬性斷言發(fā)布

屬性應(yīng)答組件是決策組件唯一信任的屬性發(fā)布點，其他的屬性存儲點和感應(yīng)點對決策組件來說都應(yīng)

該是透明的，因此應(yīng)答組件在獲取到查詢的屬性信息后，應(yīng)該以決策組件可驗證的屬性斷言方式發(fā)布屬

性信息。斷言應(yīng)包含屬性的主體標識、屬性類型或名稱、具體的屬性值、應(yīng)答組件對屬性信息摘要的簽

名等。

屬性斷言格式的定義宜采用GB/T29242-2012標準。

屬性信息傳遞

屬性應(yīng)答組件應(yīng)與決策組件就屬性傳輸?shù)姆绞胶透袷竭M行統(tǒng)一制定，應(yīng)答組件完成屬性檢索后，將

屬性信息集合以安全可靠的傳輸協(xié)議傳輸至決策組件。類似策略傳輸，本標準不限制定義具體的屬性傳

輸協(xié)議，可以通過網(wǎng)絡(luò)層的套接字通訊協(xié)議直接對屬性條目進行編碼傳輸，另外針對XML類型的屬性格

式也可以采用類似SOAP協(xié)議的XMLRPC方式進行傳輸。

屬性管理

屬性管理已經(jīng)存在相關(guān)標準規(guī)范，其實現(xiàn)技術(shù)和方案復(fù)雜多樣，本標準不試圖對屬性管理細節(jié)給出

完整詳細的功能規(guī)范，只針對訪問控制中間件的實際需求對屬性管理應(yīng)提供的功能提出具體的規(guī)范定

義，其涵蓋的功能模塊是屬性管理的功能子集。

屬性管理服務(wù)（工具或模塊）應(yīng)提供對屬性信息的一般性管理功能，例如屬性的頒發(fā)、撤銷、更新

等，以方便中間件對屬性信息的控制和掌握。

為了支持跨域訪問控制等多域應(yīng)用場景，屬性管理服務(wù)應(yīng)提供域間屬性映射功能，制定屬性映射規(guī)

則，可發(fā)布映射斷言供外域的屬性發(fā)布組件進行查詢。

屬性管理服務(wù)還應(yīng)提供屬性一致性檢測功能，限制用戶同時擁有違反安全約束的多個屬性。

本標準不對以上功能做具體的實現(xiàn)說明，也不強制訪問控制中間件必須實現(xiàn)上述功能。屬性管理的

具體實現(xiàn)應(yīng)參照相應(yīng)的數(shù)字身份管理標準與規(guī)范及其他相關(guān)標準。

5.3組件間接口

5.3.1策略決策接口（IF-PD）

IF-PD是訪問控制實施組件和訪問控制決策組件之間的接口。IF-PD接口主要用于傳遞決策請求消息

至訪問控制決策組件，并將訪問控制決策組件產(chǎn)生的判定結(jié)果以決策應(yīng)答消息的方式傳遞給訪問控制實

施組件。此接口的具體實現(xiàn)可見GB/T31501-2015或者GB/T30281-2013中的相關(guān)定義。

5.3.2決策管理接口（IF-DM）

IF-DM是管理訪問控制決策組件的接口。IF-DM接口主要用于向訪問控制決策組件傳遞消息，控制

組件功能的啟動與停止，配置組件并控制組件的執(zhí)行流程與執(zhí)行環(huán)境。

IF-DM接口的定義細節(jié)見6.3節(jié)。

5.3.3策略查詢接口（IF-PQ）

9

GB/TXXXXX—XXXX

IF-PQ是訪問控制決策組件和訪問控制策略應(yīng)答組件之間的接口。IF-PQ接口主要用于策略的檢索以

及訪問控制策略應(yīng)答組件的配置。IF-PQ按照指定的檢索模式將獲取到的策略轉(zhuǎn)換成指定類型的策略，

并返回給訪問控制決策組件。

IF-PQ接口的定義細節(jié)見6.4節(jié)。

5.3.4屬性查詢接口（IF-AQ）

IF-AQ是訪問控制決策組件和訪問控制屬性應(yīng)答組件之間的接口。IF-AQ接口主要用于屬性的檢索

以及訪問控制屬性應(yīng)答組件的配置。IF-AQ獲取主體的屬性后，將查詢到的屬性轉(zhuǎn)為指定格式，并返回

給訪問控制決策組件。

IF-AQ接口的定義細節(jié)見6.5節(jié)。

5.3.5跨域?qū)傩圆樵兘涌冢↖F-CDAQ）

IF-CDAQ是不同域的訪問控制屬性應(yīng)答組件之間的接口。IF-CDAQ接口主要用于外域訪問控制屬

性應(yīng)答組件查詢本域某個主體的屬性。本域訪問控制屬性應(yīng)答組件獲取主體的屬性后，將查詢到的屬性

轉(zhuǎn)為指定格式，并返回給外域的訪問控制屬性應(yīng)答組件。

IF-AQ接口的定義細節(jié)見6.6節(jié)

5.4接口間消息流

通過上述定義的各不同接口，體系結(jié)構(gòu)中的各組件進行消息交換。這些基本的消息流如圖2所示。

圖2訪問控制中間件體系框架中的消息流

10

GB/TXXXXX—XXXX

a)在發(fā)起者開始訪問目標之前，訪問控制中間件需要通過管理工具進行初始化與配置管理，包括

以下三種操作：通過策略管理工具對訪問控制中間件的策略進行管理操作；通過屬性管理工具

進行屬性頒發(fā)與撤銷等管理操作；通過決策管理工具進行決策引擎的管理與配置。（圖2步驟0）

b)當發(fā)起者試圖對目標進行訪問時，訪問控制實施組件攔截發(fā)起者的訪問請求。（圖2步驟1）

c)訪問控制實施組件攔截訪問請求后，向訪問控制決策組件發(fā)送決策請求。（圖2步驟2）

d)訪問控制決策組件以決策請求為參數(shù)調(diào)用策略檢索器從訪問控制策略應(yīng)答組件檢索適用策略，

并對檢索的適用策略進行評估。（圖2步驟3）

e)如果訪問控制決策組件在評估過程中發(fā)現(xiàn)缺乏相應(yīng)的屬性，則通過屬性檢索器向本安全域的訪

問控制屬性應(yīng)答組件發(fā)出屬性查詢請求；訪問控制屬性應(yīng)答組件查詢并驗證屬性發(fā)布點上存儲

的屬性，生成屬性應(yīng)答返回至訪問控制決策組件。（圖2步驟4）

f)如果所查詢的屬性是其它安全域中的屬性，則由本安全域的訪問控制屬性應(yīng)答組件向外域的訪

問控制屬性應(yīng)答組件進行查詢，以獲得外域中的訪問控制屬性，并通過屬性映射關(guān)系確定屬性

的可信性，生成屬性應(yīng)答消息。（圖2步驟4a）

g)訪問控制決策組件依據(jù)訪問控制策略與訪問控制屬性完成決策評估，向訪問控制實施組件發(fā)送

最終決策結(jié)果。（圖2步驟5）

h)訪問控制實施組件根據(jù)返回的決策結(jié)果拒絕或允許發(fā)起者對目標的訪問。（圖2步驟6）

6訪問控制中間件接口

6.1概述

本章主要對訪問控制中間件的接口進行說明和定義，對接口的輸入?yún)?shù)，輸出參數(shù)以及邏輯功能進

行規(guī)范，但不強制定義接口的具體實現(xiàn)方案和形式。

接口的輸入?yún)?shù)與輸出參數(shù)以XML格式定義，消息的示例見附錄B。

接口的實現(xiàn)應(yīng)支持本節(jié)所定義的接口、以及接口所定義的輸入?yún)?shù)與輸出參數(shù)，但可根據(jù)應(yīng)用環(huán)境

進行擴展。

6.2常量定義

訪問控制中間件各接口返回的消息碼定義如下。

表1消息碼定義

返回消息碼值語義

IF_RESULT_SUCCESS0調(diào)用接口完成預(yù)定功能

IF_RESULT_FAIL1調(diào)用接口未完成預(yù)定功能

IF_RESULT_ILLEGAL_ACTION2非法調(diào)用接口

IF_RESULT_INVALID_PARAM3參數(shù)錯誤

IF_RESULT_NOT_INIT4未初始化

IF_RESULT_SELFTEST_ERROR5自檢錯誤

6.3策略決策接口(IF-PD)

IF-PD是訪問控制實施組件和訪問控制決策組件之間的接口。IF-PD接口主要用于傳遞決策請求消

11

GB/TXXXXX—XXXX

息至訪問控制決策組件，并將訪問控制決策組件產(chǎn)生的判定結(jié)果以決策應(yīng)答消息的方式傳遞給訪問控制

實施組件。

此接口的具體實現(xiàn)可見GB/T31501-2015中的相關(guān)定義。

IF-PD的調(diào)用需要建立在安全信道的基礎(chǔ)上，安全信道應(yīng)保證通信數(shù)據(jù)的完整性。

6.4決策管理接口(IF-DM)

IF-DM是管理訪問控制決策組件的接口。IF-DM接口主要用于向訪問控制決策組件傳遞消息，控

制組件功能的啟動與停止，配置組件并控制組件的執(zhí)行流程與執(zhí)行環(huán)境。

IF-DM的調(diào)用需要建立在安全信道的基礎(chǔ)上，安全信道應(yīng)保證通信數(shù)據(jù)的機密性、完整性。安全

信道的宜依據(jù)SSL/TLS建立。

6.4.1決策管理登錄接口(IF-DM-Login)

功能

決策管理的實施需要對決策管理員的身份進行認證，并在認證通過后建立會話。決策管理員的所有

操作需要基于建立的會話完成。在調(diào)用決策管理其它的接口之前，決策管理登錄接口必須首先被調(diào)用。

輸入?yún)?shù)

a)輸入?yún)?shù)類型定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="login">

<xs:complexType>

<xs:sequence>

<xs:elementname="uerId"type="xs:string"/>

<xs:elementname="credential"type="xs:base64Binary"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸入?yún)?shù)說明

1)決策管理員的身份標識；

2)調(diào)用決策管理登錄接口應(yīng)提供調(diào)用者的認證信息。認證信息由決策管理組件支持的認證方

式?jīng)Q定。例如，若采用證書認證方式，認證信息應(yīng)該包含決策管理員身份證書。

輸出參數(shù)

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="message">

<xs:complexType>

<xs:sequence>

<xs:elementname="messageCode"type="xs:string"/>

12

GB/TXXXXX—XXXX

<xs:elementname="sessionId"type="xs:string"minOccurs="0"maxOccurs="1"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸出參數(shù)說明

1)調(diào)用決策管理登錄接口應(yīng)能夠得到一個預(yù)定義的消息碼；

2)若決策管理員身份通過認證，還需返回所建立的會話的標識。

表2IF-DM-Login接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS認證決策管理員身份成功

IF_RESULT_FAIL認證決策管理員身份失敗

6.4.2決策管理登出接口(IF-DM-Logout)

功能

決策管理完成后，需要關(guān)閉為完成此次決策管理而創(chuàng)建的會話。此接口提供注銷所建立的會話的功

能。決策管理員完成所有操作后應(yīng)調(diào)用此接口。

輸入?yún)?shù)

a)輸入?yún)?shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="logout">

<xs:complexType>

<xs:sequence>

<xs:elementname="sessionId"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸入?yún)?shù)說明

所注銷的本次會話的標識。

輸出參數(shù)

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="message">

<xs:complexType>

<xs:sequence>

13

GB/TXXXXX—XXXX

<xs:elementname="messageCode"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸出參數(shù)說明

調(diào)用決策管理登出接口應(yīng)能夠得到一個預(yù)定義的消息碼。

表3IF-DM-Logout接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS注銷會話成功

IF_RESULT_FAIL注銷會話失敗

6.4.3決策管理配置接口(IF-DM-Config)

功能

訪問控制策略決策組件應(yīng)是可配置的。決策管理員應(yīng)能夠通過配置訪問控制策略決策組件，靈活控

制訪問控制策略決策組件的執(zhí)行流程及執(zhí)行環(huán)境。決策管理配置接口可以但不是必須提供對配置的檢測

功能。調(diào)用決策配置管理接口后，訪問控制策略決策組件可以即時對配置響應(yīng)，也可通過重新啟動對配

置進行響應(yīng)。

輸入?yún)?shù)

a)輸入?yún)?shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="config">

<xs:complexType>

<xs:sequence>

<xs:elementname="plicyStoragePoint"type="xs:anyURI"/>

<xs:elementname="attributeIssuePoint"type="xs:anyURI"/>

<xs:elementname="combiningAlg"type="xs:string"/>

<xs:elementname="supprotPolicy"minOccurs="1"maxOccurs="unbounded">

<xs:complexType>

<xs:sequence>

<xs:elementname="supportPolicyType"type="xs:string"/>

<xs:elementname="policySchema"type="xs:base64Binary"/>

</xs:sequence>

</xs:complexType>

</xs:element>

<xs:elementname="sessionId"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

14

GB/TXXXXX—XXXX

</xs:schema>

b)輸入?yún)?shù)說明

調(diào)用決策管理配置接口應(yīng)提供但不局限于提供以下配置信息。

1)策略存儲點：訪問控制策略決策組件策略查找點；

2)屬性發(fā)布點：訪問控制策略決策組件屬性查找點；

3)合并方法：訪問控制策略決策組件對多個策略評估時的組合邏輯。例如，采用拒絕優(yōu)先，

只要有一個策略的評估結(jié)果為拒絕，則最終的決策結(jié)果也為拒絕。訪問控制策略決策組件

只有在對多個策略評估時使用合并方法；

4)支持的策略：訪問控制策略決策組件支持的策略類型以及相應(yīng)的策略類型模式。訪問控制

策略決策組件可以根據(jù)策略模式，在對查詢的策略解析之前，首先判斷其是否為自己支持

的策略類型。例如，訪問控制策略決策組件可以但不限于支持XACML格式策略的解析；

5)本次調(diào)用的會話標識。

輸出參數(shù)

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="message">

<xs:complexType>

<xs:sequence>

<xs:elementname="messageCode"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸出參數(shù)說明

調(diào)用決策管理配置接口應(yīng)能夠得到一個預(yù)定義的消息碼。

表4IF-DM-Config接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS配置訪問控制策略決策組件成功

IF_RESULT_FAIL配置訪問控制策略決策組件失敗

IF_RESULT_INVALID_PARAM配置參數(shù)不符合規(guī)定的格式

6.4.4決策啟動接口(IF-DM-Start)

功能

啟動訪問控制策略決策組件提供的服務(wù)。訪問控制策略決策組件啟動時，應(yīng)首先檢查配置信息是否

完備。決策管理啟動接口可以但不是必須提供訪問控制策略決策組件檢測功能，以確定系統(tǒng)的狀態(tài)。調(diào)

用該接口前應(yīng)先調(diào)用決策管理配置接口。

輸入?yún)?shù)

15

GB/TXXXXX—XXXX

a)輸入?yún)?shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="start">

<xs:complexType>

<xs:sequence>

<xs:elementname="selfTest"type="xs:string"minOccurs="0"maxOccurs="unbounded"/>

<xs:elementname="sessionId"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸入?yún)?shù)說明

1)調(diào)用決策管理啟動接口可以但不是必須指定訪問控制策略決策組件自檢項。

2)本次調(diào)用的會話標識。

輸出參數(shù)

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="message">

<xs:complexType>

<xs:sequence>

<xs:elementname="messageCode"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸出參數(shù)說明

調(diào)用決策管理啟動接口應(yīng)能夠得到一個預(yù)定義的消息碼，詳見表5：

表5IF-DM-Start接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS訪問控制策略決策組件啟動成功

IF_RESULT_FAIL訪問控制策略決策組件啟動失敗

IF_RESULT_NOT_INIT訪問控制策略決策組件未配置

IF_RESULT_SELFTEST_ERROR訪問控制策略決策組件啟動自檢失敗

6.4.5決策停止接口(IF-DM-Stop)

功能

停止訪問控制策略決策組件提供的服務(wù)。訪問控制策略決策組件停止時，可以采用如下兩種模式：

16

GB/TXXXXX—XXXX

可停止正在提供的服務(wù)，同時拒絕新的服務(wù)請求；繼續(xù)完成正在提供的服務(wù)，但是拒絕新的服務(wù)請求。

訪問控制策略決策組件停止模式由組件開發(fā)者自行選擇，或同時支持但由調(diào)用者選擇。

輸入?yún)?shù)

a)輸入?yún)?shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="stop">

<xs:complexType>

<xs:sequence>

<xs:elementname="stopPattern"type="xs:string"/>

<xs:elementname="sessionId"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸入?yún)?shù)說明

1)調(diào)用決策管理停止接口必須提供采用的停止模式的標識。停止模式的標識由訪問控制策略

決策組件自行規(guī)定。

2)本次調(diào)用的會話標識。

輸出參數(shù)

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="message">

<xs:complexType>

<xs:sequence>

<xs:elementname="messageCode"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸出參數(shù)說明

調(diào)用決策管理停止接口應(yīng)能夠得到一個預(yù)定義的消息碼。

表6IF-DM-Stop接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS訪問控制策略決策組件停止成功

IF_RESULT_FAIL訪問控制策略決策組件停止失敗

IF_RESULT_INVALID_PARAM停止模式的標識不被識別

6.5策略查詢接口(IF-PQ)

17

GB/TXXXXX—XXXX

IF-PQ是訪問控制決策組件和訪問控制策略應(yīng)答組件之間的接口。IF-PQ接口主要用于策略的檢索

以及訪問控制策略應(yīng)答組件的配置。IF-PQ按照指定的檢索模式將獲取到的策略轉(zhuǎn)換成指定類型的策

略，然后返回給訪問控制決策組件。

IF-PQ的調(diào)用需要建立在安全信道的基礎(chǔ)上，安全信道應(yīng)保證通信數(shù)據(jù)的完整性。

6.5.1策略查詢支持類型接口(IF-PQ-SupportPT)

功能

訪問控制策略應(yīng)答組件應(yīng)返回支持的策略類型。例如，只支持XACML策略。

輸出參數(shù)

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="SupportPT">

<xs:complexType>

<xs:sequence>

<xs:elementname="policyTypeId"type="xs:ID"minOccurs="0"maxOccurs="unbounded"/>

<xs:elementname="messageCode"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸出參數(shù)說明

1)調(diào)用策略查詢支持類型接口應(yīng)可以獲得訪問控制策略應(yīng)答組件支持的策略類型信息。返回

值的數(shù)據(jù)結(jié)構(gòu)，以及策略類型的標識由訪問控制策略應(yīng)答組件自行規(guī)定。

2)調(diào)用策略查詢支持類型接口應(yīng)能夠得到一個預(yù)定義的消息碼。

表7IF-PQ-SupportPT接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS查詢支持策略類型成功

IF_RESULT_FAIL查詢支持策略類型失敗

6.5.2策略查詢返回類型接口(IF-PQ-ReturnPT)

功能

訪問控制決策組件可能只支持某種類型的組件。訪問控制策略應(yīng)答組件應(yīng)能夠指定返回的策略的類

型。調(diào)用該接口前應(yīng)先調(diào)用策略查詢支持類型接口。

輸入?yún)?shù)

a)輸入?yún)?shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

18

GB/TXXXXX—XXXX

<xs:elementname="setRetPolicyType"type="xs:string"/>

</xs:schema>

b)輸入?yún)?shù)說明

調(diào)用策略查詢返回類型接口應(yīng)提供指定的返回的策略的類型。策略類型的標識由訪問控制策略

應(yīng)答組件自行規(guī)定。

輸出參數(shù)：、

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="message">

<xs:complexType>

<xs:sequence>

<xs:elementname="messageCode"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

b)輸出參數(shù)說明

調(diào)用策略查詢返回類型接口應(yīng)能夠得到一個預(yù)定義的消息碼。

表8IF-PQ-ReturnPT接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS設(shè)置返回的策略的類型成功

IF_RESULT_FAIL設(shè)置返回的策略的類型失敗

IF_RESULT_INVALID_PARAM設(shè)定的策略類型不被支持

6.5.3策略查詢查找模式接口(IF-PQ-SearchSchema)

功能

訪問控制策略應(yīng)答組件應(yīng)能夠指定策略查找的模式，即只查詢第一條適用的策略，或查詢所有適用

的策略。

輸入?yún)?shù)

a)輸入?yún)?shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="setSearchPattern"type="xs:string"/>

</xs:schema>

b)輸入?yún)?shù)說明：

調(diào)用策略查詢查找模式接口應(yīng)提供指定的查找模式標識。策略查找模式標識由訪問控制策略應(yīng)

答組件自行規(guī)定。

19

GB/TXXXXX—XXXX

輸出參數(shù)

a)輸出參數(shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="message">

<xs:complexType>

<xs:sequence>

<xs:elementname="messageCode"type="xs:string"/>

</xs:sequence>

</xs:complexType>

</xs:element>

</xs:schema>

a)輸出參數(shù)說明

調(diào)用策略查詢查找模式接口應(yīng)能夠得到一個預(yù)定義的消息碼。

表9IF-PQ-SearchSchema接口可以返回的消息碼

返回消息碼條件

IF_RESULT_SUCCESS設(shè)置策略查找模式成功

IF_RESULT_FAIL設(shè)置策略查找模式失敗

IF_RESULT_INVALID_PARAM設(shè)定的策略查找模式標識不被識別

6.5.4策略查詢返回模式接口(IF-PQ-ReturnSchema)

功能

訪問控制策略應(yīng)答組件應(yīng)能夠指定策略查詢結(jié)果返回的模式，即若查詢到多個適用策略時，或?qū)⑦@

些策略直接返回，或?qū)⑦@些策略合并為一個策略返回。

輸入?yún)?shù)

a)輸入?yún)?shù)定義

<?xmlversion="1.0"encoding="utf-8"?>

<xs:schemaxmlns:xs="/2001/XMLSchema">

<xs:elementname="setReturnPattern"type="xs:string"/>

</xs:schema>

b)輸入?yún)?shù)說明

調(diào)用策略查詢返回模式接口應(yīng)提供指定的返回模式標識。返