GB/T30281-2013
信息安全技术鉴别与授权可扩展访问控制标记语言
Informationsecuritytechnology—Authenticationandauthorization—eXtensibleAccessControlMarkupLanguage(XACML)
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2014-07-15
- 文件格式PDF
- 文本页数100页
- 文件大小1.47M
以图片形式预览信息安全技术鉴别与授权可扩展访问控制标记语言
信息安全技术鉴别与授权可扩展访问控制标记语言
国家标准 GB/T30281一2013 信息安全技术鉴别与授权 可扩展访问控制标记语言 lnformationsecuritytechnology一Authentieationandauthorization eXtensibleAccessControlMarkupLanmguageXACML 2013-12-31发布 2014-07-15实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/I30281一2013 目 次 前言 引言 范围 规范性引用文件 术语和定义 缩略语 XACML
概述 5.1!概述 5.2需求 5.3规则和策略组合 5.4组合算法 5.5多主体 5.6基于主体和资源属性的策略 5.7多值属性 5.8基于资源内容的策略 5.9操作符 5.10策略分布 5.11策略索引 5.12抽象层 5.13随同策略实施一起执行的动作 模型 6.1数据流模型 6.2XACML上下文 6.3策略语言模型 策略语法 7.1 PolicySet)元素 Description)元素 2 7.2 7.3PolicySetDefaults》元素 2 2 7.4 XpathVersion》元素 7.5 Target)元素 7.6Subjects)元素 7.7 Subject)元素 7.8SubjectMatch》元素 7.9Resources〉元素 14 7.10Resource)元素 7.1l 15 ResourceMatch)元素
GB/T30281一2013 15 7.12〈Actions)》 元素 15 7.13Aetion)元素 7.14 ActionMatch》元素 16 7.15(Enironments)元素 16 Environment》元素 .1s 1m7 EnvironmentMatch A10 PolicySetldReference .19 PolicyldReference 18 ,0 VersionType简单类型 18 .21VvesnMahTyp简单类叭 18 7.22(Poliey)元素 19 7.23《PolieyDefaults) 20 7.24 20 CombinerParameters 7.25 CombinerParameter 2 21 7.26RuleCombinerParameters 22 7.27PolieyCombinerParameters) 7.28 22 PolicySetCombinerParameters 7.29Rule)元素 2: 7.30EffectType简单类型 23 VariableDefinition)元素 7.31 23 7.32 2 VariableReference)元素 7.33 Expression>元素 24 7.34 Condition)元素 25 7.35 Apply元素 25 7.36《Funetion)元素 5 7.37 AttributeDesignatorType复合类型 26 7.38 eDesignator)元素 2 SubjectAttributel 2r 7.39
GB/T30281一2013 34 8.8AttrributeValue)元素 35 8.9Reponsee)元素 35 8.10Result)元素 36 8.l1(Deeision)元素 36 8.12(Status)元素 37 8.13 StatusCode》元素 37 (StatusMessage)元素 37 StatusDetail)元素 8.16 MissingAttributeDetail)元素 38 功能需求 38 9.1 概述 38 38 9.2策略执行点 9.3属性评估 39 9.4表达式评估 40 9.5算术评估 9.6匹配评估 目标评估 9.7 42 9.8变量引用评估 43 9.9条件评估 44 9.10规则评估 4! 策略评估 R心 44 12策略辈详做 45 8.13有层次的资源 45 9.14授权决策 45 8.15义务 46 9.16异常处理 46 10XACML扩展点 46 10.1可扩展的XML属性类型 46 10.2结构化属性 47 1 安全和隐私 11.1概述 47 11.2威胁模型 47 11.3安全措施 49 12符合性 51 12.1介绍 5 51 12.2符合性列表 附录A规范性附录数据类型和函数 61 76 附录B规范性附录XACML标识符 附录C规范性附录组合算法 8C 89 参考文献
GB/T30281一2013 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本标准起草单位;科学院软件研究所
本标准主要起草人:冯登国、徐震、张敏、翟征德、王雅哲、高志刚、张凡
GB/T30281一2013 引 言 如何实现大规模分布式应用中的信息资源的受控共享,实现基于策略的安全管理已成为信息安全 领域关注的重点之一
目前多数分布式应用仍然独立定义自己的安全策略并实施资源访问控制,不仅 无法获得一个完整的安全策略实施视图,而且安全策略的维护代价高,可靠性缺乏足够保障
本标准定义一种通用的可扩展的访问控制策略标记语言XACML,支持多种访问控制策略类型,允 许用户自定义策略扩展,允许用户以一种实现无关的方式定义系统的资源保护策略并控制资源访问控 制决策的逻辑过程,实现安全策略定义形式和访问判定过程标准化
GB/I30281一2013 信息安全技术鉴别与授权 可扩展访问控制标记语言 范围 本标准规定了可扩展访问控制标记语言(XACML)的数据流模型,语言模型和语法
本标准适用于大规模分布式应用中资源统一访问控制策略语言的编写与分析
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
IEEE754浮点运算标准(StandardforFloating-pointArithmetic IETFRFC822电子邮件的标准格式(StandardfortheFormatoArpaInternetTextMess sages IETFRFC2253轻型目录访问协议(v3);UTF-8字符串表示辨别名(LightweightDirectory AccessProtocolv3):UTF-8StringRepresentationofDistinguishedNames) 1ETFRFc2396统一资源标识符;基本语法(UniformResourcelIdentifiers(URI);GenerieSyn taX IETFRFC2732文本IPv6地址在URL上的格式(FormatforLiteralIPv6AddressesinURL's) CRL简况(InternetX.509PublicKeyInfrastructure ETFRFC3280x.509PKI证书和 CertificateandCertificateRevocationList(CRL)Profile) w3CxQuery1l.0和XPath2.0丽数与操作符(xQuery1.0andxPath2.0FunetionsandOpera tors w3CXM模式,第1部分和第2部分(XMISchema,parts1and2) 术语和定义 下列术语和定义适用于本文件
3.1 属性attribute 在谓词和目标中用于描述主体、资源、动作和环境的特征
3.2 授权决策authorizationdeeisionm PDP依据适用策略产生的评估结果,该结果返回至PEP 3.3 上下文context 决策请求和授权决策的规范表述
上下文处理器 contexthandler 将决策请求从原始格式的决策请求转换成XACML规范形式,并将授权决策从XACML
规范形式
GB/T30281一2013 转换成原始应答格式的系统实体
3.5 决策deeisionm 规则、策略或策略集的评估结果 3.6 决策请求deeisionrequest PEP发送给PDP的授权决策请求
3.7 效果erfeet 规则条件满足时的预期评估结果,其取值为“Permit”或“Deny” 3.8 环境 enVirOnment -组独立于特定的主体,资源或者动作且与授权决策相关的属性集合
3.9 命名属性namedatribute 属性的特定实例,具体值取决于属性名,类型、持有者和属性颁发者
3.10 义务obligation 由策略或策略集所定义,在PEP执行授权决策时应同时执行的特定操作
3.11 策略poliey 执行访问控制决策遵循的规则
由一 -组规则、一个规则组合算法标识和一组义务(可选)组成,是策 略集的组成部分
3.12 策略管理点polieyadministrationpoint 创建策略或策略集的系统实体 3.13 策略组合算法poliey-combiningalgorithm 用于组合多个策略的决策和义务的程序 3.14 策略判定点polieydeeisionpoint 依据适用策略进行评估并产生授权决策的系统实体
3.15 策略执行点polieyenforcementpoint 发出决策请求并依据授权决策结果进行访问控制的系统实体
3.16 npomt 策略信息点polieyinformation 产生并提供属性值的系统实体
3.17 策略集polieyset 包括一个由策略或者其他策略集构成的集合,一个策略组合算法和一个可选的义务集合
GB/I30281一2013 3.18 规则rule 由一个目标、一个效果和一个条件构成,是策略的组成部分 3.19 主体shjeet 参与者.其属性用于描述谓词
3.20 目标target 由主体,资源和动作三者标识的决策请求集合,是对规则策略和策略集适用范围的一种限定
3.21 类型合一ypeUnifeation 对两个类型表达式进行合一的方法
缩略语 下列缩略语适用于本文件
PAP;策略管理点(PolieyAdministratorPoint) PDP策略决策点(PolieyDecisionPoint) PEP策略执行点(PoliceyEnforcementPoint) PIP策略信息点(PolicyInformationPoint) xAcML.可扩展访问控制标记语言(ExtensitbleAcessComtrolMarkupLamguge) xML;可扩展置标语言(Ex xtensibleMarkuplanguage) XSLT:;可扩展样式表转换语言(ExtensibleStylesheetLanguageTransformation) sAML;安全断言标记语言(SeeurityAssertionMarkupLanguage) XPath:XML路径语言(XMLPathlLanguage) URI:通用资源标识符(UniformResourceIdentifier) w3C;万维网联盟(worldwidewebConsortium) LDAP;轻量级目录访问协议(LightweightDirectoryAccessProtocol XACML概述 5.1 概述 如何实现大规模分布式应用中的信息资源的受控共享,实现基于策略的安全管理已成为信息安全 领域关注的重点之一
目前多数分布式应用仍然独立定义自己的安全策略并实施资源访问控制,不仅 无法获得一个完整的安全策略实施视图,而且安全策略的维护代价高,可靠性缺乏足够保障
因此迫切 需一种通用的策略描述语言,允许组织有效地管理信息系统部件中安全策略组件的实施情况
由于 XML的句法和语义能很容易地进行扩展以适应安全应用的需求,并得到了几乎所有主流平台和工具 提供商的广泛支持,因此XML自然地成为了这种通用安全策略语言的基础
5.2需求 描述信息系统安全策略的描述语言面临的基本需求是:
GB/T30281一2013 a)提供一种方法将单独的规则和策略组合成一个策略集,以便使其适用于某次决策请求 b 提供一种方法来定义策略和规则的组合过程 e)提供一种方法来处理具有不同能力的多个主体; 提供一种方法来基于主体和资源的属性进行授权决策 d e提供一种方法来处理多值属性; f 提供一种方法基于信息资源的内容进行授权决策 g提供一组逻辑和数学操作符来处理主体、资源和环境的属性; h 提供一种方法来处理分布的策略组件,同时对策略组件的定位、检索和认证方式进行抽象; 提供一种方法来基于主体、资源和动作的属性快速地确定适用于给定访问操作的策略; 提供一个抽象层来将策略编写者同应用环境的细节隔离" j k提供一种方法来指定一组随着策略实施而强制执行的动作
5.3规则和策略组合 适用于特定决策请求的完整策略可能包含多个规则和策略
例如.一个个人隐私应用中,隐私信息 的拥有者能定义安全策略一些方面,而负责监护这些信息的机构能定义策略的另外一些方面
为了产 生一个授权决策,应能将这两个分离策略合并成一个适用于请求的单独策略 XACML定义了以下三个顶层策略元素: -〈Rule)元素;包含一个布尔表达式,它能独立地进行评估,却不能独立地被PDP访问
因此 该元素自身不能作为授权决策的基本单位
该元素能在PAP中独立存在,因此能作为策略管 理的基本单位,并被多个策略重复引用
Poliey)元素;包含一组《Rule)元素和一个指定的对(Rule)元素评估结果进行组合的方式
它是PDP访问策略的基本单位,因此是授权决策的基础
PolieySet)元素;包含一组(Poliey)或其他(PolieySet)元素,和一个指定的对它们的评估结果 进行组合的方式
它是将多个分离策略合并成一个单独策略的标准方法
5.4组合算法 XACML定义了一组能由RuleCombningAlgd或PolicyCombingAlgld属性指定的组合算法
规 则组合算法定义了基于一组规则评估结果得到授权决策的过程
策略组合算法定义了基于一组策略评 估结果得到授权决策的过程
标准的组合算法如下 -拒绝优先:如果一个(Rule》或(Policy)元素的评估结果为“Deny”,则无论任何其他Rule>)或 Poliey)元素的评估结果如何,组合后的结果是“Deny” 允许优先:一个“Permit”评估结果将导致组合结果为“Permit” 首次适用:组合评估结果等同于第一个适用于当前决策请求的Rule>、〈Poliey)或(PolieySet) 元素的评估结果; 唯一适用;“唯一适用”算法仅适用于策略的组合
该算法产生的组合结果保证有且仅有一个 Poliey)或(PolicySet)适用于当前决策请求,而这个适用策略的评估结果就是最终的组合决 策结果
如果没有任何策略或者策略集适用,则组合结果为“NotAppleable”;如果多于一个 的策略或策略集适用,则组合结果为“Indeterm minate 策略和策略集可能带有能够修改组合算法行为的参数
但是本标准中定义的组合算法都是无参数 的
必要时,用户能定义自己的组合算法
GB/T30281一2013 5.5多主体 访问控制策略经常对多个主体的动作制定规则
例如,数额较大的金融交易需要多个具有不同能 力的用户主体批准
XACMl允许在一次决策请求中有多个主体
属性“subject-category”用于区分 具有不同能力的主体
本标准为该属性定义了一组标准值,用户还能自定义属性值
5.6基于主体和资源属性的策略 在XACML中,主体属性可以通过在请求上下文的(SubjectAttributeDes signator)元素来表示
该 元素包含一个用来标识属性的唯一资源名(URN)
另外一种方式是通过
GB/T30281一2013 策略 义务 访间 3义务 2访问请求 发起者 实施点 服务 3请求12应答 4请求通知 5属性检索 策略 上下文 9资源内容 资源 决策点 10属性值 处理器 -1应答上下文 6属性检索8属性值 1策略 策略 7资源属性 信息点 7环境属性 a主休属性 策略 主体 环境 管理点 图1XACM数据流图 该模型包括以下步骤: 1 PAP编写策略和策略集并提供给PDP
这些策略或者策略集代表了特定目标的完整策略
2) 访问请求者发送给PEP一个要访问资源的请求
3)PEP将请求按照原有格式发送给上下文处理器,请求中可能包含主体、资源、动作和环境的属 性信息
上下文处理器构造XACM1请求并将其发送给PDP 4 5) PDP向上下文处理器请求其所需的其他主体、资源,动作和环境属性
上下文处理器向PIP请求上述属性信息 6 PIP获得请求的属性
7 8)PIP返回请求的属性给上下文处理器
上下文处理器将所获得的资源加人上下文中(可选
9 上下文处理器将所获得的属性和资源(可选)发送至PDP,PDP评估策略 10 PDP将包括授权决策在内的应答上下文返回给上下文处理器
11 上下文处理器将应答上下文转换成PEP能理解的格式,并发送给PEP 2 PEP完成规定的义务操作
13 如果访问被允许则PEP允许对资源的访问,否则拒绝该访问(图1中未显示)
14 6.2XACMMIL上下文 xAcML.上下文将核心语言和应用环境隔离开
图2所示的灰色区域为xACML标准的覆盖范 围
XACMI上下文由XM模式定义,描述PDP的输人和输出的规范表述形式
XACML策略中引 用的属性可能以XPath形式在上下文中表示,或者表示成主体,资源、动作、环境分别对应的属性指示
GB/T30281一2013 器和其属性标识、属性数据类型、属性发布者(可选)
具体的应用实施应对应用环境中的属性表达方式 和XACML上下文中的属性表达方式进行转换,但转换细节超出本标准的定义内容
一些应用如 sAML,能通过XSLT自动完成这种转换
aeml poliey.xml xacmlContext 特定 xacmContext 特定 PDP 域输入 Request.xml Response.xmi 城输出 图2XACML上下文 6.3 策略语言模型 6.3.1模型概述 如图3所示,策略语言模型的主要组件是 规则; 策略; 策略集 策略集 策略组合算法 目标 策略 职责 0.中 0.1 规则组合算法 0. 主体 资源 行为 环境 规则 0.1 条件 效果 图3策略语言模型
GB/I30281一2013 6.3.2规则 6.3.2.1概述 规则是策略的最基本单元
规则能仅限定于XACML
域中的一个参与者
为了在参与者之间交 换规则,他们应被包装为一个策略
规则的组件主要包括目标、结果,条件
6.3.2.2规则目标 目标定义了资源、主体,动作、环境集合
(Condition>条件元素能进一步增强目标建立的适用性
如果规则要应用到一个特定类型的所有 实体,则相关的实体将被目标忽略
DP脸证请求中的主体,资源,动作和环境属性是否满足目标中定 义的匹配
目标的定义是不连续的,目的是适用的规则能被PDP更有效的识别 一个规则可以不包含目标冗素
这种情况下,规则的目标相父策略元素的目标相同 某些主体名称形式、资源名称形式和特定类型的资源是结构相关的
例如RFC822是针对主体的 结构化命名形式,而UNIX文件系统命名形式和URI、都是针对资源的结构化命名形式
XML文档也 是一种结构化的资源
通常,在一个结构化的命名形式里的节点(不能是叶节点)的名字也是一个命名形式的合法实例
非叶节点的主体名称只能在“match”操作中使用如urm:oasis:names;te:xacmll.0;function. rfe822Name-match),而不能在“equal”操作中使用如 urn:oasis;names:tc:xacml:1.0:function: rfc822Name-equal),见附录A
6.3.2.3结果 规则的结果表明了规则制定者对于规则评估为真的预期的结果
结果值可能为“Permit”或者“De- ny 6.3.2.4条件 条件描述了加在目标断言之上加强规则适用性的布尔表达式
6.3.3策略 6.3.3.1概述 个策略由4个主要的部分组成:目标、规则组合算法标识符、一组规则、义务
6.3.3.2策略目标 XACML中的(PolieySet),(Poliey)或者(Rule)元素包含一个
GB/T30281一2013 《Ta arget)元素的决策请求
只有在目标数据模型相对简单的情况下,计算(Target)元素的交集才是实 际可行的 假如策略编写者声明了Poliey)元素的(Target)元素,则这个(Poliey)元素中的任何含有相同 《Tam arget)元素的(Rule)元素将忽略掉(Target)元素
这些Rule)元素从包含他们的(Poliey)元素继承 (TargeD) 6.3.3.3规则组合算法 规则组合算法定义了对规则评估结果进行组合从而产生策略评估结果的方法
PDP应答的决策 值是由规则组合算法计算的策略评估值
策略可以含有影响规则组合算法操作的组合参数
6.3.3.4义务 义务可以由策略编写者添加
当PDP评估包括义务的策略时,它通过应答返回特定的义务给PEP
6.3.4策略集 6.3.4.1概述 策略集包含4个主要的部分:目标,策略组合算法标识符,策略集,义务
6.3.4.2策略组合算法 策略组合算法定义了评估策略集时组合策略评估结果的方法
PDP应答的决策值是由策略组合 算法计算的策略集评估结果
策略集可以含有影响策略组合算法操作的参数
6.3.43义务 策略集的编写者能为策略集增加义务
当PDP评估包含义务的策略集时,它通过应答返回给PEP 特定的义务
策略语法 7.1PolieySet)元素 PolieySet)元素是XACML描述框架的顶层元素
PolieySet)是其他策略集和策略的集合
策 略集可能直接使用(PolieySet)元素包含一个策略集,或者使用(PoieySetldReference e)间接包含策略 集
PoieySet)元素能使用Poliey)元素直接包含策略,或者使用(PolieyldReference)间接引用策略 PolieySet)可以被评估,评估过程见9.11
如果(PolieySet)元素包含URL形式的其他策略和策略集的引用,那么这些引用应能被解析 PolieySet)元素包含的策略集和策略应使用由PolieyCombiningAlgld属性标识的算法组合起来 所有的策略组合算法将其中包含的(PolieySet)元素看作(Poliey)元素
如果《PolieySet)元素包含的 《Ta arget)元素匹配请求上下文,那么(PolieySet)元素可能被PDP使用来产生授权决策
(Obligations)元素包含义务集合,PEP在执行授权决策的同时应将它们一起执行
如果PEP不理 解,或者不能执行集合中的任何一个义务,那么PEP认为PDP返回了“Deny”授权决策
(PolieySet)元素及其类型定义如下 xs:elementname="PolieySet" ml,PolieySetType") type="xacm xs:complexType "PoieySetType") name 10o
GB/I30281一2013 Xs:sequence p" minO -"o"八 Xs:elemmentref="xacml:Description )ccurs xacml:Poli lieySetDeaul" min(Occurs="0"八 xs:elementrel xs;element acml.Target" maxOccurs="unbounded" xs:choicemin ml:PolicySet" acml:Policy xacml:PolicySetlReference"八 xacml:PolicyldReference" xacml:CombinerParameters"八 xacml:PolicyCombinerParameters"/ xacml:PolicySetCombinerParameters"八 XS:chO1ce 'xacml:Obligations”minOceurs="o") rel XS:seguence xs:attributename="PolieySetld”type="xs:anyURI”use="required") ="xacml:VersionType"default="1.0"/ xs:attributename="Version" type= xs;attributename="PoieyCombiningAlgld"type="xs;anyURI”use="required"八 /xs:complexType' PolicySet)元索是PolicySetType复合类型,包含以下属性和元素 Policysetld[必需] 策略集标识符
PAP有责任保证PDP看到的任何两个策略都没有相同的标识符
这能通过 预定义的URN或者URI框架来实现
如果策略集标识符是URL形式,则它是可解析的
Version[默认1.0 策略集的版本 PolieyCombiningAlgld[必需] 组合(PolieySet>,(CombinerParameters>、(PolicyCombinerParameters)和(PolicySetCombin erParameters)元素的策略组合算法的标识符
标准的组合算法标识符见B.9
标准的策略组 合算法见附录c
Description>[可选] 策略集的自由格式描述
PolieySetDefaults>[可选 适用于策略集的默认值集
PoieySetDefaults)元素的范围是策略集内部
Target>[必需] 策略集适用的决策请求的集合
Target)元素可能由策略集制定者制定,也能从引用的(Pol ey)元素的Target)元素计算得出,计算结果是这些元素的交集或并集
PolieySet)》[任意数量 策略集包含的策略集
Poliey>[任意数量] 策略集包含的策略
PolieysSeldReferenee>[任意数量] 个策略集的引用
被引用的策略集应包含在这个策略集中,如果是URL,则应是可解析的
PoieyldRefrence>[任意数量] 1l
GB/T30281一2013 个策略的引用
被引用的策略应包含在这个策略集中,如果是URL,则应能解析
Obigations》[可选 包含(Obligation)元素集合
CombinerParameters》 [可选] 个(CombinerParameter 包含 er)元素序列 PolicyCombinerParameters [可选 包含 个(CombinerParameter)元素序列,这些元素和(PolieySet)元素包含的特定《Poliey)和 PolieyReference)元素相关 PolicySetCombinerParameters [可选 元素序列,这些元素和
GB/T30281一2013 若要(Target)的父元素适用于决策请求,
GB/T30281一2013 7.8(SubjeeIMateh)元素 SubjeetMatch)元素通过匹配内含的属性值和请求上下文中( xacmlcontext:Subject)元素的主体 属性来确定一个主体相关的实体集合,其元素及其类型定义如下 《xS:elementname= -"subjeetMatch" type="xacmlSubjeetMatchType"八 xs:complexTy ypename=SubjeetMatchTy rype") Xs;Sequence xs:elementref="xacml:AttributeValue"八 《XS:choice emlSubjgeetAtributeDesignat xs:elementref="xac tor"八) xs;elementref="xacml:AttributeSelector"八 /xs:choice》 /xs;sequence》 xs:attributename="Matchld”type="xs:anyURI" required") /xs:complexType SlbjeeMatch)元素类型为SbifeeMatehType复合类型,包含下列属性和元素 -Matchld必需 指定匹配函数
这个属性的值应是9.6中xs;anyURI1类型的合法值
xacnml:AttributeValue)[必需] 内含的属性值
(SubjeetAttributeDesignator>[必需,选项 能用来确定请求上下文中(Subject)元素包含的一个或多个主体属性值
(AttributeSelector》[必需,选项] 能用来确定请求上下文中的一个或多个属性值
Xpath表达式应解析成请求上下文中(Subject)元 素包含的主体属性
7.9《Resources)元素 Resources)元素包含 一个 -〈Resource)元素的析取序列,其元素及其类型定义如下 Resources"type="xacml:ResourcesType"八 xs:elementname5 xs:complexTypename- ResourcesType" xs:sequence xs;elementref="xacmlResource”maxOecurs="unbounded"八 /xs;segquence /xs;complexTyper Resources)元素类型是ResourcesType复合类型,包含以下元素 -个或多个,必需 (Resource 7.10Resouree)元素 Resource)元素包含一个ResourceMateh)元素的合取序列,其元素及其类型定义如下: xs:eementname-"Resource”type="xacmlResourceType"八 "ResourceType")》 xXs:complexTypename xs:sequence xs:elementref="xacml:ResourceMatch”maxOccurs="unbounded"八 14
GB/T30281一2013 7Xs:sequence /xs:complexTypey Resource)元素类型是ResourceType复合类型,包含以下元素:
GB/T30281一2013 xs;elementname="Action”type="xaeml:AetionType"八 xs:complexType name="ActionType"y 《Xssequence xs;elementref一"xacml:ActionMatch"maxO)ccurs="unbounded"八 《/XSsequence /xs:complexType' Action)元素类型是ActionType复合类型,包含以下元素 AcionMatch》[一个或多个] 7.14AetionMatch》元素 ActionMatch)元素通过匹配内含的属性值和请求上下文中(xacmlcontext:" ;Aetion)元素包含的动 作属性值来确定 -个动作相关的实体集合,其元素及其类型定义如下 xs:elementname="ActionMatch" type="xacml:ActionMatchType") xs:complexTypename="ActionMatchType"y XS;seguence, xs;elementref="xacml:AttributeValue" xs:choice xs;elementref="xacml:ActionAttributeDesignator") xs:elementref="xacml:AttributeSelector" (/xs:choice》 /xs:sequence》 xs;attributename="Matchld"type="xs;anyURI”use="required" /xs:complexType AetionMatch)元素类型为ActionMatehType复合类型,包含下列属性和元素 -Matchd[必需] 指定匹配函数
这个属性的值应是9.6中xs;anyURI类型的合法值
xacml;AttributeValue>[必需们 内含的属性值
(ActionAttributeDesignator》[必需,选项 能用来确定请求上下文中
GB/T30281一2013 Environment》 [一个或多个,必需 7.16 EnvirOnment nt)元素 Environment 》元素应包含一个(Environmen ntMatch)元素的合取序列,其元素及其类型定义如下 xselementname "Environment”type= "xacmlEnvironmentType" xs:complexT "Environmen ntType" ypename Xs;Sequence xs;elementref="xacml:EnvironmentMatch”maxOccurs="unbounded" xS;equence xs:complexType Environment>元素类型是EnvironmentType复合类型,包含以下元素: EnvironmentMatch 个或多个 EnvironentMatch》元素 7.17 EnvironmentMateh)元素通过匹配内含的属性值和请求上下文中(xacml -context:Environment》 元素包含的环境属性值来确定一个环境相关的实体集合,其元素及其类型定义如下 xs:elementname="EnvironmentMateh”type="xaeml;EnvironmentMatchType"八 xs;complexTypename="EnvironmentMatchType") XS:seguence xs:elementref="xacml:AttributeValue"/ xs:choice xs:elementref="xacml:EnvironmentAttributeDesignator" xs:elementref="xacml:AttributeSelector" /xs:choice》 /xs:sequence xs;attributename=-"Matehld”type="xs;anyURI”use="required"八) /xs:complexType EnvironmentMatch)元素类型为EnvironmentMatchType复合类型,包含下列属性和元素 -Matchld[必需 指定匹配丽数
这个属性的值应是9.6中xs;anyURI1类型的合法值
xacml:AttributeValue》[必需 内含的属性值
-(EnvironmentAttributeDesignator>[必需 能用来确定请求上下文中(Environment)元素的一个或多个属性值
(AttributeSelector>[必需] 能用来确定请求上下文中的一个或多个属性值
Xpath表达式应解析成请求上下文中(Envi ronment)元素包含的环境属性
7.18(PolieySetdReferenee)元素 PolieySetldReference)元素通过id引用一个(PolieySet)元素
如果(PolieySetldReferenee>)是一 个URL,则它能解析得到一个(PolieySet)元素
但是解析策略集引用的机制超出本标准的讨论范围
其元素及其类型定义如下: "PolieySetldReference”type="xacm ml:ldRefereneeType") xXs:elementname= 17
GB/T30281一2013 xs:complexTypename="IdReferenceType") xs:simpleco ontent 《xsextensionbase "xs:anyURI" xs;atributename="xacml.Version"ype="xacml.VersionMatchType" -"optional") uSe xs;attributename="xacml:EarliestVersion" "xacml.VersionMatchType type= "optional"八 use xs:attributename="xacm ml:LatestVersion" -"xacml:VersionMatchType" type= use="optional") /xs:extension /xs:simpleContent /xs;complexType' PolieySetldReference)元素类型为xacml:ldReereneeType复合类型,通过以下属性扩展 xS anyURI类型: Version[可选 指定引用策略集的版本匹配表达式
EarliestVersion[可选 指定引用策略集适用的最早版本的匹配表达式
testversion[可选] t 指定引用策略集适用的最新版本的匹配表达式
被引用的策略集必须匹配所有的表达式,匹配方法见7.21
如果所有的属性都没有,则使用任何版 本的策略集均可
如果能获得匹配的多个版本,则应使用最新的一个
7.19《PolieyldReferenee)元素
GB/I30281一2013 xs:simpleTypename="VersionMatchType"y "y xs:restrictionbase="Xs:string” -"\d+关\.关(\d+I关八十)" Xs:patternvalue ttriction》 /x xs;rest /x xs;simpleType 版本匹配用“”分隔,像一个版本字符串
一个数字表示了直接的数字匹配
“关”表示任何单个数 字都是有效的
“+"表示任何数字和任何数字序列都是有效的
7.22 Poliey)元素 Poliey)元素是提交给PDP评估的最小实体
应使用9.10定义的过程对(Poliey>元素进行评估 Poliey)元素包含一个(VariableDefimition)和(Rudle)元素之间的选择序列
Poliey)元素包含的规则集应通过RuleCombiningAlgld属性指定的算法进行组合
《Policy)元素及其类型定义如下 ntname="Poiey”type="xacml.PolieyType") Xs:elemen xs:complexTypename="PolicyType"》 xacml:Deseription"”min(O)ccurs="0"八 ret xacml:PolicyDefaults”minOccurs="o"八 xacml:CombinerParameters”minOceurs="o") element xacml:Target" KS:element 'unbounded" KS:cho1cemaXOcurS xs:elementref xacml:CombinerParameters"min(Occurs="0"/ xacml;RuleCombinerParameter”min(Occurs="o"八 xs:elementref- xs:elementref="xacml:VariableDefinition"/ xs:elementref="xaeml:Rule") xs:choice xs;:elementref="xacml;Obligations"min(Oecurs="0"八 xs:sequence attributename="Policyld”type="xs;anyURI”use="required"八 XS type="xacml.VersionType”default="1.0"八 《x:atributename="Version"
GB/T30281一2013 PolieyDefaults》[可选 定义适用于策略的默认值集
(PolieyDefaults)元素的范围应限定在策略内 CombinerPa arameters》[可选] 规则组合算法使用的参数序列
RuleCo1 ombiner erParameters y [可选 规则组合算法使用的参数序列
Ta arget>[必需 Taurget)元素定义了策略对于决策请求集的适用性
《Target!)元素能由策略编写者指定,也 能通过对(Rule)元素中包含的(Target)元素计算交集或者并集得出
VariableDefinition>[任意] 通用函数定义
能从规则的任意位置引用
Rule>[任意] 应按照RuleCombningAlgld属性指定的组合算法组合规则序列
目标元素匹配决策请求的 规则应考虑,目标元素不匹配决策请求的规则应忽略 (Obligations》[可选] 义务合取序列
PEP应将其和授权决策联合执行
7.23PolieyDefaults)元素 PoiesyDelaults)元素指定应用到《Poiey)元素的默认值,其元素及其类型定义如下 xs:elementname="PolicyDefaults" ml:DefaultsType") type=“xaC xs:complexTypename= =“DefaultsType”y Xs;Seguence" xs:choice xs:elementref=“xacml:XPathVersion”minOccurs=“0”八) /xs;choice /xs;sequence /xs:complexType) PolieDlault)元素类型是DfaulsType复合类型,包含以下元素 〈XpathVersion》[可选 默认Xpath版本
7.24 CombinerParameters)》元素 CombinerParameters)元素为策略或者规则组合算法传递参数
如果多个(CombinerParameter)元素出现在同一个策略或者策略集里面,他们应和一个包含了所 有这些元素中参数串联序列的《CombinerParameters)元素等价,(CombinerParameters)元素的顺序在 串联后的CombinerParameters)元素中保留
注;本标准中定义的组合算法都是设有参数的
CombinerParameters) )元素及其类型定义如下 CombinerParameters" "CombinerParameters”type="xacml sType") Xs:elementname xs:complexTy "CombinerParameters
GB/T30281一2013 7.27 Pwlteyc 》)元素 CombinerParameterS PolieyCombinerParameters)元素传递一个和特定策略相关的参数给策略组合算法
每个(PolieyCombinerParameters)元素应和同一个策略集里的一个策略相关
如果多个Policy CombinerParanmeters)元素引用了相同的策略,他们应和一个包含了所有这些元素中参数串联序列的
信息安全技术鉴别与授权可扩展访问控制标记语言GB/T30281-2013
在信息化时代,数据安全问题变得越来越重要。因此,访问控制成为了保障系统安全性的重要手段之一。而可扩展访问控制(Extensible Access Control)是一种灵活高效的访问控制策略,通过对资源的属性进行判断,实现对不同级别用户或者角色的访问控制。鉴别与授权可扩展访问控制标记语言GB/T30281-2013就是这样一种标准,它可以规定访问控制策略的表示方法,以实现对数据资源的精细控制。
GB/T30281-2013标准的主要特点如下:
- 支持可扩展的访问控制策略表示方法,可以根据系统需要进行灵活配置;
- 采用XML语言描述,易于解析和处理;
- 支持多种鉴别与授权策略,包括RBAC、ABAC等;
- 具备良好的可扩展性,可以满足未来系统的发展需求。
GB/T30281-2013标准的应用范围涵盖了各类信息系统,包括数据库管理系统、Web应用程序、电子商务平台等。通过使用该标准,可以实现对各类数据资源的精细化控制,保证数据的安全性和完整性。同时,还可以提高系统的可维护性和可扩展性。
尽管GB/T30281-2013标准已经获得了广泛应用,但仍然存在一些亟待解决的问题。例如,如何实现更加细粒度的访问控制,如何应对新兴的Web应用技术等。因此,我们需要不断加强对这一标准的研究和改进,以推动其更好地应用于信息安全领域。
总之,GB/T30281-2013标准是一项重要的信息安全技术,它为系统的安全保障提供了有力支持。相信在不久的将来,这一标准将会在更广泛的信息系统中得到应用。
