41、多隐私策略执行系统解析

多隐私策略执行系统解析

1. 粘性策略内容

粘性策略包含以下元素：
- 策略作者：即编写策略的权威机构。
- 全局唯一的策略 ID。
- 策略创建时间和可选的过期时间。
- 该策略所涵盖的资源类型。
- 策略类型。
- 策略语言。
- 用指定策略语言编写的策略本身。

任何数量的粘性策略都可以以依赖应用程序的方式附加到数据资源上，例如作为 SAML 属性断言中的 <Condition> ，或者使用我们定义的 StickyPAD（粘性策略和数据）XML 结构。策略应使用数字签名附加到数据上，这可以通过在 StickyPAD 和 SAML 属性断言中使用 XML <ds:Signature> 结构，或者在通过 Internet 传输数据和策略时使用 SSL/TLS 等外部方式实现。发送 PEP 有责任在发送附带粘性策略的数据时创建相当于我们的 StickyPAD 结构，接收 PEP 则需在图 1 的步骤 0 收到消息时验证其签名。然后 PEP 应解析并解包内容，并将粘性策略与授权决策请求一起传递给 AIPEP（图 1 的步骤 1）。

graph LR
    A[发送 PEP] --> B[创建 StickyPAD 结构并发送数据和策略]
    B --> C[接收 PEP]
    C --> D[验证签名]
    D --> E[解析和解包内容]
    E --> F[传递粘性策略和请求给 AIPEP]