5.4.2 访问控制框架

5.4.2  访问控制框架

本节介绍Web服务的访问控制框架，在此基础上介绍访问控制的基本过程，如图5-14所示。

在该框架下，访问控制的基本过程如下。

第1步：策略管理点（PAP）产生需要的安全策略，这些策略使用XACML语言描述，是访问控制决策的基础。
错误！

图5-14 访问控制框架

第2步：在一个具体的应用程序环境下，策略执行点（PEP）截获用户发送的访问控制请求，这个访问控制请求的内容和格式根据不同的应用程序而不同。

第3步：策略执行点将截获的访问控制请求发送给上下文处理器，由其把请求统一成XACML格式的访问控制请求。

第4步：上下文处理器将产生的XACML格式的访问控制请求发送给访问控制决策点（PDP），请求PDP进行访问控制决策。

第5步：PDP在处理访问控制决策的时候可能需要其他的一些条件，如主体的属性、资源的属性及环境的属性，PDP将这些额外条件请求发送给上下文处理器。

第6步：上下文处理器将依据属性请求的类型，向策略信息点（PIP）发送属性请求。

第7步：PIP根据请求向不同的实体请求不同的属性信息，包括主体的属性信息、环境的属性信息和资源的属性信息，并将得到的信息返回给上下文处理器。

第8步：上下文处理器将属性信息和资源的上下文信息（资源的上下文信息可选）发送给PDP。

第9步：PDP根据策略信息、属性信息，以及资源的上下文信息进行访问控制决策，并将决策结果返回给上下文处理器。上下文处理器将决策结果返回PEP，以执行相应的决策结果。

第10步：在返回的决策结果中可能是拒绝，也可能是许可，还可能带上有相应的职责信息，如需要进行日志记录等。