《信息安全技术鉴别与授权可扩展访问控制标记语言(GB-T 30281-2013).pdf》由会员分享,可在线阅读,更多相关《信息安全技术鉴别与授权可扩展访问控制标记语言(GB-T 30281-2013).pdf(96页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX信息安全技术鉴别与授权可扩展访问控制标记语言Information security technology Authentication and AuthorizationeXtensible Access Control Markup Language(XACML)点击此处添加与国际标准一致性程度的标识(报批稿)(本稿完成日期:2011 年 1 月 17 日)XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.V引言.VI1范围.12规
2、范性引用文件.13术语和定义.13.1基本术语.13.2相关术语.43.3符号.43.4模式组织和命名空间.54缩略语.55XACML 概述.55.1概述.55.2需求.55.3规则和策略组合.55.4组合算法.65.5多主体.65.6基于主体和资源属性的策略.65.7多值属性.75.8基于资源内容的策略.75.9操作符.75.10策略分布.75.11策略索引.85.12抽象层.85.13随同策略实施一起执行的动作.86模型.86.1数据流模型.86.2XACML 上下文.96.3策略语言模型.107策略语法.137.1元素.137.2元素.147.3元素.147.4元素.157.5元素.15
3、GB/T XXXXXXXXXII7.6元素.157.7元素.167.8元素.167.9元素.177.10元素.177.11元素.177.12元素.187.13元素.187.14元素.187.15元素.197.16元素.197.17元素.197.18元素.207.19元素.217.20VersionType 简单类型.217.21VesionMatchType 简单类型.217.22元素.217.23元素.237.24元素.237.25元素.247.26元素.247.27元素.247.28元素.257.29元素.267.30EffectType 简单类型.267.31元素.267.32元素.27
4、7.33元素.277.34元素.287.35元素.287.36元素.287.37AttributeDesignatorType 复合类型.297.38元素.307.39元素.307.40元素.317.41元素.317.42元素.317.43元素.327.44元素.337.45元素.337.46元素.348上下文语法.34GB/T XXXXXXXXXIII8.1元素.348.2元素.358.3元素.358.4元素.368.5元素.368.6元素.368.7元素.378.8元素.378.9元素.388.10元素.388.11元素.398.12元素.398.13元素.408.14元素.408.15元
5、素.408.16元素.419功能需求.419.1概述.419.2策略执行点(PEP).429.3属性评估.429.4表达式评估.449.5算术评估.449.6匹配评估.449.7目标评估.469.8变量引用评估.469.9条件评估.479.10规则评估.479.11策略评估.479.12策略集评估.489.13有层次的资源.489.14授权决策.499.15义务.499.16异常处理.4910XACML扩展点.5010.1可扩展的 XML 属性类型.5010.2结构化属性.5011安全和隐私.5011.1概述.5011.2威胁模型.5011.3安全措施.5212一致性.54GB/T XXXXX
6、XXXXIV12.1介绍.5412.2一致性列表.54附录 A(规范性附录)数据类型和函数.64附录 B(规范性附录)XACML 标识符.78附录 C(规范性附录)组合算法.82参考文献.90GB/T XXXXXXXXXV前言本标准主要根据结构化信息标准促进组织(OASIS)发布的 eXtensible Access Control MarkupLanguage(XACML)2.0 制定。本标准的附录 A、附录 B 和附录 C 为规范性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:信息安全国家重点实验室。本标准主要起草人:冯登国、徐震、张敏、翟征德、王雅哲、高志刚、张凡
7、。GB/T XXXXXXXXXVI引言如何实现大规模分布式应用中的信息资源的受控共享,实现基于策略的安全管理已成为信息安全领域关注的重点之一。目前多数分布式应用仍然独立定义自己的安全策略并实施资源访问控制,不仅无法获得一个完整的安全策略实施视图,而且安全策略的维护代价高,可靠性缺乏足够保障。本标准定义一种通用的可扩展的访问控制策略标记语言(XACML),支持多种访问控制策略类型,允许用户自定义策略扩展,允许用户以一种实现无关的方式定义系统的资源保护策略并控制资源访问控制决策的逻辑过程,实现安全策略定义形式和访问判定过程标准化。GB/T XXXXXXXXX1信息安全技术鉴别与授权可扩展访问控制标
8、记语言1范围本标准规定了可扩展访问控制标记语言(XACML)的数据流模型、语言模型和语法。本标准适用于大规模分布式应用中资源统一访问控制策略语言的编写与分析。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。OASIS eXtensible Access Control Markup Language XACML V2.03术语和定义下列术语和定义适用于本标准。3.1属性attribute在谓词和目标中用于描述主体、资源、动作和环境的特征。3.2授权决策 authoriz
9、ation decisionPDP(策略决策点 Policy Decision Point)依据适用策略产生的评估结果,该结果返回至 PEP(策略执行点 Policy Enforcement Point)。3.3上下文 context决策请求和授权决策的规范表述。3.4上下文处理器 context handler将决策请求从原始格式的决策请求转换成 XACML 规范形式,并将授权决策从 XACML 规范形式转换成原始应答格式的系统实体。3.5决策decision规则、策略或策略集的评估结果。GB/T XXXXXXXXX23.6决策请求decision requestPEP 发送给 PDP 的授
10、权决策请求。3.7效果effect规则条件满足时的预期评估结果,只能为“Permit”或“Deny”。3.8环境environment一组独立于特定的主体,资源或者动作且与授权决策相关的属性集合。3.9命名属性 namedattribute属性的特定实例,具体值取决于属性名、类型、持有者和属性颁发者。3.10义务 obligation由策略或策略集所定义,在 PEP 执行授权决策时必须同时执行的特定操作。3.11策略 policy包括一组规则,一个规则组合算法标识和可选的一组义务,可以是策略集的组成部分。3.12策略管理点policy administration point(PAP)创建策略
11、或策略集的系统实体。3.13策略组合算法policy-combining algorithm用于组合多个策略的决策和义务的程序。3.14策略判定点policy decision point(PDP)依据适用策略进行评估并产生授权决策的系统实体。3.15策略执行点policy enforcement point(PEP)发出决策请求并依据授权决策结果进行访问控制的系统实体。3.16策略信息点policy information point(PIP)GB/T XXXXXXXXX3产生并提供属性值的系统实体。3.17策略集policy set包括一个由策略或者其它策略集构成的集合,一个策略组合算法和
12、一个可选的义务集合。3.18规则 rule由一个目标,一个效果和一个条件构成,是策略的组成部分。3.19主体 subject参与者,其属性用于描述谓词。3.20目标 target由主体、资源和动作三者标识的决策请求集合,是对规则、策略和策略集适用范围的一种限定。3.21类型合一 type Unification对两个类型表达式进行合一的方法。4缩略语下列缩略语适用于本标准:PAP策略管理点(Policy Administrator Point)PDP策略决策点(Policy Decision Point)PEP策略执行点(Policy Enforcement Point)PIP策略信息点(Po
13、licy Information Point)XSLT可扩展样式表转换语言(Extensible Stylesheet Language Transformation)5XACML 概述5.1概述如何实现大规模分布式应用中的信息资源的受控共享,实现基于策略的安全管理已成为信息安全领域关注的重点之一。目前多数分布式应用仍然独立定义自己的安全策略并实施资源访问控制,不仅无法获得一个完整的安全策略实施视图,而且安全策略的维护代价高,可靠性缺乏足够保障。因此迫切需一种通用的策略描述语言,允许组织有效地管理信息系统部件中安全策略组件的实施情况。由于 XML 的句法和语义可以很容易地进行扩展以适应安全应用
14、的需求,并得到了几乎所有主流平台和工具提供商的广泛支持,因此 XML 自然地成为了这种通用安全策略语言的基础。5.2需求GB/T XXXXXXXXX4描述信息系统安全策略的描述语言面临的基本需求是:a)提供一种方法将单独的规则和策略组合成一个策略集,以便使其适用于某次决策请求;b)提供一种灵活的方法来定义策略和规则的组合过程;c)提供一种方法来处理具有不同能力的多个主体;d)提供一种方法来基于主体和资源的属性进行授权决策;e)提供一种方法来处理多值属性;f)提供一种方法基于信息资源的内容进行授权决策;g)提供一组逻辑和数学操作符来处理主体、资源和环境的属性;h)提供一种方法来处理分布的策略组件
15、,同时对策略组件的定位、检索和认证方式进行抽象;i)提供一种方法来基于主体、资源和动作的属性快速地确定适用于给定访问操作的策略;j)提供一个抽象层来将策略编写者同应用环境的细节隔离;k)提供一种方法来指定一组随着策略实施而强制执行的动作。下面分别讨论了 XACML 满足上述需求的方式。5.3规则和策略组合适用于特定决策请求的完整策略可能包含多个规则和策略。例如,一个个人隐私应用中,隐私信息的拥有者可以定义安全策略一些方面,而负责监护这些信息的机构可以定义策略的另外一些方面。为了产生一个授权决策,必须能将这两个分离策略合并成一个适用于请求的单独策略。XACML 定义了三个顶层策略元素:、和。元素
16、包含了一个布尔表达式,它可以独立地进行评估,却不能独立地被 PDP 访问。因此,该元素自身不能作为授权决策的基本单位。该元素可以在 PAP 中独立存在,因此可以作为策略管理的基本单位,并被多个策略重复引用。元素包含了一组元素和一个指定的对元素评估结果进行组合的方式。它是PDP 访问策略的基本单位,因此是授权决策的基础。元素包含一组或其它元素,和一个指定的对它们的评估结果进行组合的方式。它是将多个分离策略合并成一个单独策略的标准方法。Hilton 等人Hilton94讨论了适用于同一决策请求的各个策略的兼容性问题。5.4组合算法XACML 定义了一组可以由 RuleCombiningAlgId
17、或 PolicyCombingAlgId 属性指定的组合算法。规则组合算法定义了基于一组规则评估结果得到授权决策的过程。类似地,策略组合算法定义了基于一组策略评估结果得到授权决策的过程。标准的组合算法如下:a)拒绝优先(有序或无序)b)允许优先(有序或无序)c)首次适用唯一适用根据“拒绝优先”算法,如果一个或元素的评估结果为“Deny”,无论任何其它或元素的评估结果如何,组合后的结果是“Deny”。类似地,根据“允许优先”算法,一个“Permit”评估结果将导致组合结果为“Permit”。根据“首次适用”算法,组合评估结果等同于第一个适用于当前决策请求的、或元素的评估结果。“唯一适用”算法仅适
18、用于策略的组合。该算法产生的组合结果保证有且仅有一个或适用于当前决策请求,而这个适用策略的评估结果就是最终的组合决策结果。如果没有任何GB/T XXXXXXXXX5策略或者策略集适用,则组合结果为“NotApplicable”;如果多于一个的策略或策略集适用,则组合结果为“Indeterminate”。策略和策略集可能带有能够修改组合算法行为的参数。然而,标准的组合算法都不受参数的影响。必要时,用户可以定义自己的组合算法。5.5多主体访问控制策略经常对多个主体的动作制定规则。例如,数额较大的金融交易需要多个具有不同能力的用户主体批准。XACML 认可在一次决策请求中有多个主体。属性“subje
19、ct-category”用于区分具有不同能力的主体。本标准为该属性定义了一组标准值,用户还可以自定义属性值。5.6基于主体和资源属性的策略一个常见的需求是基于身份标识以外的主体特征进行授权决策。也许最常见的一种应用是基于用户的角色。在 XACML 中,主体属性可以通过在请求上下文的元素来表示。该元素包含一个用来标识属性的唯一资源名(URN)。另外一种方式是通过元素,该元素包含一个 Xpath 表达式,可以用来从请求上下文中检索主体属性。XACML 定义了一种标准的方式来引用 LDAP 规范LDAP-1,LDAP-2定义的属性。这样做的目的是鼓励开发人员使用标准的属性标识符。另一个常见的需求是基
20、于资源标识以外的资源属性进行授权决策。在 XACML 中,资源属性可以通过在请求上下文的元素来表示。该元素包含一个用来标识属性的唯一资源名(URN)。另外一种方式是通过元素,该元素包含一个 Xpath 表达式,可以用来从请求上下文中检索资源属性。5.7多值属性常见的属性传输方式都支持多值属性。因此,当 PDP 检索一个命名属性的值时,结果可能有多个。这样多个值称为一个包。包与集合的不同之处在于:包可以包含多个重复的值,而集合不可以。有时,这种情况对应一个错误;当且仅当规则中的任一属性值符合规则的要求,规则就被满足。XACML 提供了一组函数以便策略制定者能够清楚地指定 PDP 如何处理多值属性
21、。这组函数称为“高阶函数”(见 A.3 节)。5.8基于资源内容的策略许多应用要求访问时基于信息资源的内容进行授权决策。例如,一个常见的隐私策略的例子是用户应该能够访问有关自己的纪录。这种情况下,策略必须能够引用信息资源中的主体。当信息资源可以被表示成 XML 文档时,XACML 可以支持这种基于资源内容的授权决策。元素中的 Xpath 表达式可以用来从请求上下文中的信息资源中提取数据。如果信息资源不是 XML 文档,XACML 可以引用资源的属性,如 5.4 节所示。5.9操作符为了实现授权决策,策略需要操作主体、资源、动作和环境的属性。在决策过程中,多种属性参与比较和计算过程。例如在一个金
22、融应用中,用户的可用资金额度等于用户的信用额度与账户余额的和。这种情况需要对主体和资源的属性进行数学操作。更一般的情况,一个策略可能定义了允许执行某个操作的所有角色。策略评估过程需要检查策略中标识出的角色集合与主体拥有的角色集合的交集非空。这种情况需要集合操作。GB/T XXXXXXXXX6XACML 给出了一组内置函数和一种添加自定义函数的方法。这些函数可以通过元素进行嵌套已形成复杂的表达式。元素的 FunctionId 属性标识了可以施加在元素内容上的函数。每个标准函数都接受确定类型的参数,其返回值类型也是确定的。因此策略的数据类型一致性可以在策略编写或解析的时候进行。对请求上下文中的数据
23、值和策略中期望的值进行比较能够确保可预期的判定结果。除了对数值类型和集合的操作符,本规范也定义了对日期、时间和时间长度类型的操作符。本规范还定义了针对多种数据类型的关系操作符,这些数据类型包括 RFC822 和 X.500 命名形式、字符串、URI 等。同样值得注意的是布尔操作符。它允许对规则中的谓词进行组合。例如,一个规则可能定义:只有在工作时间内 AND 地理位置在组织内的终端上发起的访问操作才被允许。XACML 借用了 MathMLMathML和 XQuery 1.0 及 XPath 2.0XF中的函数表示方法。5.10策略分布分布式系统中,不同的策略编写者可以制定自己的策略声明,并且在
24、多个策略实施点进行实施。除了有助于对独立的策略组件进行收集和组合之外,这种方法还有助于策略的及时更新。XACML 并不规定任何策略分布方法。本规范期望 PDP 对所收集策略的目标元素进行检查以确保处理中的策略是适用的。元素可以附着在其适用的信息资源上,如Perritt93中所述。或者,元素可以在一个或者多个位置进行维护,以方便检索。在这种情况下,适用策略可以被信息资源中的标识符或位置符引用。5.11策略索引为了方便管理和提高评估效率,整个组织的安全策略可以表示成多个独立的策略元素。在这种情况下,在策略评估之前,鉴别和检索那些适用的策略声明并对其进行验证是必要的。这就是元素的目的。本规则支持两种
25、方法:策略声明可以存储在数据库中。这种情况下,PDP 应该只从数据库中检索那些适用于当前决策请求的策略声明。此外,PDP 应该按照本规范中定义的方式去评估所检索策略和策略集的元素。或者,PDP 可以加载所有可用策略,并根据特定的决策请求上下文对其元素进行评估,以确定适用的策略和策略集。通过约束来限定策略适用性的方法参见参考文献Sloman94。5.12抽象层PEP 可以有多种形式。例如,一个 PEP 可以是远程访问网关、Web 服务器和电子邮件代理的一部分。要求目前企业中正在应用或者将来要应用的 PEP 都以相同的格式向 PDP 提交决策请求是不现实的。然而,一个特定的策略可能需要在多个 PE
26、P 中实施。要求策略编写者以多种不同的方式编写同一份策略以适应不同 PEP 的格式要求是低效的。与此类似,属性也可以采用不同的承载形式(如 X.509 属性证书和 SAML 属性断言等)。因此,给出一种 XACML PDP 使用的规范化决策请求和应答上下文形式是十分必要的。这种规范化形式称为 XACML 上下文,其句法通过 XML schema 定义。遵守 XACML 规范的 PEP 可以直接提交和接收 XACML 上下文格式的决策请求和应答。否则,一个中间步骤可以把 PEP 能够理解的请求和应答格式转换成 XACML 上下文格式。这样处理的好处在于:可以以一种应用环境无关的方式对策略进行编写
27、和分析。如果原始决策请求和决策结果格式是符合某个 XML schema 的,可扩展样式表转换语言XSLT可以GB/T XXXXXXXXX7用来实现从原始格式到 XACML 上下文格式的转换。类似地,如果请求的资源是 XML 文档,则它可以直接包含在 XACML 请求上下文中或者为其所引用。通过 XPath 表达式,策略评估过程可以引用资源中的值。5.13随同策略实施一起执行的动作很多应用的安全策略指定了必须执行的动作,而不是可以执行的动作;或者两者都指定。Sloman在参考文献Sloman中对这种思想进行了具体描述。XACML 通过元素来描述那些随着策略评估过程而必须执行的动作。这些动作被 K
28、udo 在参考文献Kudo00中描述为临时性动作。本规范没有对这些动作进行定义。因此要正确地实施这种策略,PEP 和 PDP 之间需要事先达成一致。除非 PEP能够理解适用策略中的元素并履行其定义的所有动作,否则它将拒绝相应的资源访问请求。6模型6.1数据流模型如图 1 所示的数据流图显示了 XACML 域中的主要参与者。图 1XACML 数据流图该模型包括以下步骤:1)策略管理点(PAP)编写策略和策略集并提供给策略决策点(PDP)。这些策略或者策略集代表了特定目标的完整策略。2)访问请求者发送给策略执行点(PEP)一个要访问资源的请求。GB/T XXXXXXXXX83)PEP 将请求按照原
29、有格式发送给上下文处理器,请求中可能包含主体、资源、动作和环境的属性信息。4)上下文处理器构造 XACML 请求并将其发送给 PDP。5)PDP 向上下文处理器请求其所需的其它主体、资源、动作和环境属性。6)上下文处理器向 PIP 请求上述属性信息。7)PIP 获得请求的属性。8)PIP 返回请求的属性给上下文处理器。9)(可选),上下文处理器将所获得的资源加入上下文中。10)上下文处理器将所获得的属性和资源(可选)发送至 PDP,PDP 评估策略。11)PDP 将包括授权决策在内的应答上下文返回给上下文处理器。12)上下文处理器将应答上下文转换成 PEP 可以理解的格式,并发送给 PEP。1
30、3)PEP 完成规定的义务操作。14)(图中未显示)如果访问被允许则 PEP 允许对资源的访问,否则拒绝该访问。6.2XACML 上下文为了更好地适应不同的应用环境,通过 XACML 上下文将核心语言和应用环境隔离开。图 2 所示的灰色区域为 XACML 标准的覆盖范围。XACML 上下文由 XML 模式定义,描述 PDP 的输入和输出的规范表述形式。XACML 策略中引用的属性可能以 XPath 形式在 context 中表示,或者表示成主体,资源,动作,环境分别对应的属性指示器和其属性标识,属性数据类型,属性发布者(可选)。具体的应用实施必须对应用环境中的属性表达方式和 XACML 上下文
31、中的属性表达方式进行转换。具体转换细节超出本规范的定义内容。在一些情况下,例如 SAML 应用,可以通过 XSLT 自动完成这种转换。图 2XACML 上下文6.3策略语言模型6.3.1模型概述如图 3 所示,策略语言模型的主要组件是:规则策略策略集GB/T XXXXXXXXX9图 3策略语言模型6.3.2规则6.3.2.1概述规则是策略的最基本单元。规则可以仅限定于 XACML 域中的一个参与者。为了在参与者之间交换规则,他们必须被包装为一个策略。规则主要包括的组件有:目标、结果、条件。6.3.2.2规则目标目标定义了:资源、主体、动作、环境集合。条件元素能进一步增强目标建立的适用性。如果规
32、则要应用到一个特定类型的所有实体,则相关的实体将被目标忽略。XACML PDP 验证请求中的主体,资源,动作和环境属性是否满足目标中定义的匹配。目标的定义是不连续的,目的是适用的规则可以被 PDP 更有效的识别。一个规则可以不包含目标元素。这种情况下,规则的目标和父策略元素的目标相同。某些主体名称形式,资源名称形式和特定类型的资源是结构相关的。例如 X.500 目录和 RFC822 都是针对主体的结构化命名形式。UNIX 文件系统命名形式和 URIs 都是针对资源的结构化命名形式。XML文档也是一种结构化的资源。通常,在一个结构化的命名形式里的节点(不是叶节点)的名字也是一个命名形式的合法实例
33、。6.3.2.3结果规则的结果表明了规则制定者对于规则评估为真的预期的结果。结果值可能为:“Permit”或者“Deny”。6.3.2.4条件条件描述了加在目标断言之上加强规则适用性的布尔表达式。GB/T XXXXXXXXX106.3.3策略6.3.3.1概述从数据流模型可以看出系统实体间不交换规则。因此,PAP 组合规则和策略。一个策略由 4 个主要的部分组成:目标、规则组合算法标识符、规则集、义务。6.3.3.2策略目标XACML 中的,或者元素包含一个元素,目标元素定义了应用策略或者规则的特定主体,资源,动作和环境集合。元素的元素可能由的编写者定义,也有可能从包含元素的和元素的元素计算得
34、出。XACML 并没有定义系统实体如何计算,但是可能会用到两种符合逻辑的方法:方法一,外部,的元素通过计算内部,和元素的并集得到;方法二,外部组件的元素可以通过计算所有内部组件的元素交集得到。两种方法的评估结果是非常不同的:第一种情况,外部组件的元素适用所有满足至少一个内部组件元素的决策请求;第二种情况,外部组件的仅仅适用于满足所有内部组件元素的决策请求。需要注意的是,只有在目标数据模型相对简单的情况下,计算元素的交集才是实际可行的。假如策略编写者声明了元素的元素,则这个元素中的任何含有相同元素的元素将忽略掉元素。这些元素从包含他们的元素继承。6.3.3.3规则组合算法规则组合算法定义了对规则
35、评估结果进行组合从而产生策略评估结果的方法。PDP 放入到应答中的决策值是由规则组合算法计算的策略评估值。策略可以含有影响规则组合算法操作的组合参数。6.3.3.4义务义务可以由策略编写者添加。当 PDP 评估包括义务的策略时,它通过应答返回特定的义务给 PEP。6.3.4策略集6.3.4.1概述策略集包含四个主要的部分:目标、策略组合算法标识符、策略集、义务。6.3.4.2策略组合算法策略组合算法定义了评估策略集时组合策略评估结果的方法。PDP 写入到应答中的决策值是由策略组合算法计算的策略集评估结果。策略集可以含有影响策略组合算法操作的参数。6.3.4.3义务策略集的编写者可以为策略集增加
36、义务。当 PDP 评估包含义务的策略集时,它通过应答返回给 PEP特定的义务。GB/T XXXXXXXXX117策略语法7.1元素元素是 XACML 描述框架的顶层元素。是其它策略集和策略的集合。策略集可能直接使用元素包含一个策略集,或者使用间接包含策略集。元素可以使用元素直接包含策略,或者使用间接引用策略。可以被评估,在这种情况下应该使用 9.11 节定义的评估过程。如果元素包含 URL 形式的其它策略和策略集的引用,那么这些引用应该可以被解析。元素包含的策略集和策略必须使用由 PolicyCombiningAlgId 属性标识的算法组合起来。所有的策略组合算法将其中包含的元素看作元素。如果
37、元素包含的元素匹配请求上下文,那么元素可能被 PDP 使用来产生授权决策。元素包含义务集合,PEP 在执行授权决策的同时必须将它们一起执行。如果 PEP 不理解,或者不能执行集合中的任何一个义务,那么 PEP 认为 PDP 返回了“Deny”授权决策。PolicySet 元素及其类型定义如下:元素是 PolicySetType 复合类型的元素。包含以下属性和元素:PolicySetId要求策略集标识符。PAP 有责任保证 PDP 看到的任何两个策略都没有相同的标识符。这可以通过预定义的 URN 或者 URI 框架来实现。如果策略集标识符是 URL 形式,则它是可解析的。Version 默认 1
38、.0策略集的版本PolicyCombiningAlgId 要求GB/T XXXXXXXXX12组合,和元素的策略组合算法的标识符。标准的策略组合算法在附录C中列出。标准的组合算法标识符在附录B.9节列出。可选策略集的自由格式描述。可选适用于策略集的默认值集。元素的范围是策略集内部。要求元素定义了策略集适用的决策请求的集合。元素可能由策略集制定者制定,也可以从引用的元素的元素计算得出,计算结果是这些元素的交集或并集。任意数量策略集包含的策略集。任意数量策略集包含的策略。任意数量一个策略集的引用。被引用的策略集必须包含在这个策略集中,如果是 URL,则应该是可解析的。任意数量一个策略的引用。被引用
39、的策略必须包含在这个策略集中,如果是 URL,则应该可以解析。可选包含元素集合。可选包含一个元素序列。可选包含一个元素序列,这些元素和元素包含的特定和元素相关。可选包 含 一 个 元 素 序 列,这 些 元 素 和 元 素 包 含 的 特 定和元素相关。7.2元素元素包含对,或元素的自由形式的描述。元素是 xs:string 简单类型。7.3元素元素定义应用到元素的默认值,其元素及其类型定义如下:GB/T XXXXXXXXX13元素是 DefaultsType 复合类型。元素包含以下元素:可选默认的 Xpath 版本。7.4元素应该指定策略集和策略中元素使用的 Xpath 规范的版本。Xpat
40、h1.0规范的URI是http:/www.w3.org/TR/1999/Rec-xpath-19991116。如果策略集和策略包含元素或者基于Xpath的函数,元素是必需的。7.5元素元素标识了父元素要评估的决策请求的集合。元素应该作为和元素的子元素,也可以作为元素的子元素。它包含主体,资源,动作和环境定义。元素应该包含一个,和元素的合取序列。若要的父元素适用于决策请求,元素和元素中的对应部分至少有一组完全匹配。Target 元素及其类型定义如下:元素的类型是 TargetType 复合类型。元素包含下列元素:可选上下文中主体属性的匹配说明。如果缺少此元素,则目标匹配所有主体。可选上下文中资源
41、属性的匹配说明。如果缺少此元素,则目标匹配所有资源。可选上下文中动作属性的匹配说明。如果缺少此元素,则目标匹配所有动作。可选上下文中环境属性的匹配说明。如果缺少此元素,则目标匹配所有环境。7.6元素元素包含元素的析取序列,其元素及其类型定义如下:GB/T XXXXXXXXX14元素类型是 SubjectsType 复合类型。元素包含以下元素:一个或多个,要求7.7元素元素包含一个元素的合取序列,其元素及其类型定义如下:元素类型是 SubjectType 复合类型。元素包含以下元素:一个或多个7.8元素元素通过匹配内含的属性值和请求上下文中元素的主体属性来确定一个主体相关的实体集合,其元素及其类
42、型定义如下:元素类型为 SubjectMatchType 复合类型。元素包含下列属性和元素:MatchId要求指定匹配函数。这个属性的值必须是 9.5 节中 xs:anyURI 类型的合法值。要求内含的属性值。要求选项可以用来确定请求上下文中元素包含的一个或多个主体属性值。要求选项GB/T XXXXXXXXX15可以用来确定请求上下文中的一个或多个属性值。Xpath 表达式应该解析成请求上下文中元素包含的主体属性。7.9元素元素包含一个元素的析取序列,其元素及其类型定义如下:元素类型是 ResourcesType 复合类型。元素包含以下元素:一个或多个,要求7.10元素元素包含一个元素的合取序
43、列,其元素及其类型定义如下:元素类型是 ResourceType 复合类型。元素包含以下元素:一个或多个7.11元素元素通过匹配内含的属性值和请求上下文中元素的资源属性值来确定一个资源相关的实体集合,其元素及其类型定义如下:元素类型为 ResourceMatchType 复合类型。元素包含下列属性和元素:GB/T XXXXXXXXX16MatchId(必需)指定匹配函数。这个属性的值必须是 9.5 节中 xs:anyURI 类型的合法值。要求内含的属性值。要求可以用来确定请求上下文中元素包含的一个或多个资源属性值。要求可以用来确定请求上下文中的一个或多个属性值。Xpath 表达式应该解析成请求
44、上下文中元素包含的资源属性。7.12元素元素包含一个元素的析取序列,其元素及其类型定义如下:元素类型是 ActionsType 复合类型。元素包含以下元素:一个或多个,要求7.13元素元素包含一个元素的合取序列,其元素及其类型定义如下:元素类型是 ActionType 复合类型。元素包含以下元素:一个或多个7.14元素元素通过匹配内含的属性值和请求上下文中元素包含的动作属性值来确定一个动作相关的实体集合,其元素及其类型定义如下:GB/T XXXXXXXXX17元素类型为 ActionMatchType 复合类型。元素包含下列属性和元素:MatchId要求指定匹配函数。这个属性的值必须是 9.5
45、 节中 xs:anyURI 类型的合法值。要求内含的属性值。要求选项可以用来确定请求上下文中元素包含的一个或多个动作属性值。要求选项可以用来确定请求上下文中的一个或多个属性值。Xpath 表达式应该解析成请求上下文中元素包含的动作属性。7.15元素元素包含一个元素的析取序列,其元素及其类型定义如下:元素类型是 EnvironmentsType 复合类型。元素包含以下元素:一个或多个,要求7.16元素元素应该包含一个元素的合取序列,其元素及其类型定义如下:元素类型是 EnvironmentType 复合类型。元素包含以下元素:一个或多个7.17元素元素通过匹配内含的属性值和请求上下文中元素GB/
46、T XXXXXXXXX18包含的环境属性值来确定一个环境相关的实体集合,其元素及其类型定义如下:元素类型为 EnvironmentMatchType 复合类型。元素包含下列属性和元素:MatchId要求指定匹配函数。这个属性的值必须是 9.5 节中 xs:anyURI 类型的合法值。要求内含的属性值。要求可以用来确定请求上下文中元素的一个或多个属性值。要求可以用来确定请求上下文中的一个或多个属性值。Xpath 表达式应该解析成请求上下文中元素包含的环境属性。7.18元素元素通过 id 引用一个元素。如果是一个URL,则它可以解析得到一个元素。但是解析策略集引用的机制超出本规范的讨论范围。其元素
47、及其类型定义如下:元素类型为xacml:IdReferenceType复合类型。IdreferenceType通过以下属性扩展xs:anyURI类型:Version 可选GB/T XXXXXXXXX19指定引用策略集的版本匹配表达式。EarliestVersion可选指定引用策略集适用的最早版本的匹配表达式。LatestVersion 可选指定引用策略集适用的最新版本的匹配表达式。7.21节定义了匹配操作。元素里可能出现这些属性的任意组合。被引用的策略集必须匹配所有的表达式。如果所有的属性都没有,则任何版本的策略集都是可接受的。如果能获得匹配的多个版本,则应该使用最新的一个。7.19元素元素通
48、过 id 引用一个元素。如果是一个 URL,则它可以解析得到一个元素。但是解析策略引用的机制超出了本规范的讨论范围。其元素及其类型定义如下:元素类型为xacml:IdReferenceType复合类型。7.20VersionType 简单类型此类型元素包含策略或者策略集的版本数字。版本号应表示为一个十进制数序列,并以“.”分开。一个数字代表一个直接的数字匹配。“d”表示一个或多个十进制数位。7.21VesionMatchType 简单类型此类型包含一个匹配版本号的受限正则表达式。表达式应该匹配被引用策略或策略集的版本,并且该版本对于引用方策略或策略集是可接受的。版本匹配用“.”分隔,像一个版本
49、字符串。一个数字表示了直接的数字匹配。“*”表示任何单个数字都是有效的。“+”表示任何数字和任何数字序列都是有效的。7.22元素元素是提交给PDP评估的最小实体。应该使用9.10节定义的过程对元素进行评估。这个元素的主要组件是:,和元素以及 RuleCombiningAlgId 属性。定义了元素对于一个决策请求集合的适用性。如果元素包含的GB/T XXXXXXXXX20元素匹配请求上下文,则这个元素可以被PDP用来产生授权决策。请参照9.10节。元素包含一个和元素之间的选择序列。元素包含的规则集必须通过RuleCombiningAlgId属性指定的算法进行组合。元素包含一个义务集合,PEP必须
50、将它和授权决策联合执行。Policy元素及其类型xml定义如下:元素的类型为PolicyType复合类型。元素包含以下属性和元素:PolicyId 要求策略标识符。PAP有责任保证PDP可见的任何两个策略都具有不同的标识符。这可以通过附上预定义的URN或者URI来实现。如果策略标识符是URL形式,则它应该是可解析的。Version 默认1.0策略的版本号。RuleCombiningAlgId 要求规则组合算法的标识符。,和元素必须使用这个算法来组合。可选策略的自由形式描述。可选定义适用于策略的默认值集。元素的范围应该限定在策略内。可选规则组合算法使用的参数序列。可选规则组合算法使用的参数序列。