访问控制服务(access control service),工学-信息与通信工程-【通信网络与交换】-【网络服务】-服务安全,让合法用户能够访问服务,非法用户不能访问服务的控制过程。分布式服务访问控制框架如图所示。在该框架下,所有的请求消息首先被策略执行点拦截,如果是未验证过的用户则启动认证服务,并由身份服务返回认证断言;如果是认证过的用户,则使用策略决策点,并根据服务访问授权策略,评估该用户是否有访问此服务的权限。对于跨平台的访问则使用安全网关。分布式服务访问控制框架示意图①策略执行点(policy enforcement point,PEP)。负责访问控制的实施,发出决策请求和强制实施授权决策。上图中的策略执行点是平台级的,而非针对某一个服务组件的策略执行点。绝大多数时候它是个消息拦截器,在消息流中间拦截消息头,询问策略决策点评估应用策略,根据应答消息决定是否让消息继续。它也可能与认证授权服务和隐私管理器交互。对于平台外服务或第三方组件,策略执行点依赖安全网关。②策略决策点(policy decision point,PDP)。评估应用策略,得出授权决策结果。